《现代通信接入网技术》课件 模块二 LAN接入技术

《现代通信接入网技术》模块2LAN接入技术22.1数据通信基础2.2以太网技术原理2.3虚拟局域网技术目录2.4以太网接入的控制与管理2.5LAN接入典型组网2.1数据通信基础42.1.1TCP/IP协议栈2.1.2IP编址2.1.3子网划分2.1子目录2.1.1TCP/IP协议栈5数据应用层头部数据表示层头部数据会话层头部数据传输层头部数据网络层头部0101101010110001数据数据链路层头部应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层1.OSI参考模型TCP/IP与OSI参考模型对应关系数据链路接口层网络层传输层应用层2.1.1TCP/IP协议栈6应用层表示层会话层传输层网络层数据链路层物理层应用层传输层网络层数据链路接口层TCP/IPOSI2.TCP/IP协议栈2.1.1TCP/IP协议栈7TELNETSMTPDNSFTPTFTPTCPUDPICMPIPARPRARP网络接口层TCP/IP协议族82.1.2TCP/IP协议栈TCP/IP协议族中最为核心的协议，处于网络层。IP协议是尽力传输的网络协议，其提供的数据传送服务是不可靠的、无连接的。3.典型协议的数据封装格式(1)IP协议92.1.1TCP/IP协议栈UDP是一个简单的面向数据报的传输层协议。UDP不提供可靠性，把应用程序传给IP层的数据发送出去，但是并不保证它们能到达目的地。UDP报文头只有源端口号、目的端口号、长度、校验和数据字段。(2)UDP协议102.1.1TCP/IP协议栈TCP是一种基于连接、面向字节流的协议，可以保证端到端数据通信的可靠性。源端口号（Sourceport）和目的端口号（Destinationport）序列号（Sequencenumber）字段确认号字段(3)TCP协议112.1.1TCP/IP协议栈ARP协议主要用于实现三层IP地址与MAC地址之间的动态映射。在局域网中，当主机或其他网络设备有数据要发送给另一个设备时，先要知道对方的IP地址，但仅仅有IP地址还不够，IP数据报文必须封装成帧才能通过物理网络发送，因此需要一个从IP地址到物理地址的映射。RARP协议用于实现MAC地址到IP地址的映射。RARP常用于X终端和无盘工作站等，这些设备知道自己MAC地址，需要获得IP地址。为了使RARP能工作，在局域网上至少有一个主机要充当RARP服务器(4)ARP/RARPUDP协议122.1.1TCP/IP协议栈ICMP（InternetControlMessageProtocol）是IP层的一个组成部分，它传递差错报文以及其他需要注意的信息。ICMP报文通常被IP层或更高层协议（TCP/UDP）使用。一些ICMP报文把差错报文返回给用户进程。ICMP报文使用基本的IP报头（即20字节）。ICMP报文封装在IP报文中，数据报有前64bit数据表示是ICMP报文。因此ICMP报文实际是IP报文加上该数据报的前64bit数据。ICMP报文有基本格式由Type、Code、Checksum和unused字段组成。(4)ICMP2.1.1TCP/IP协议栈13TCP/IP数据流封装过程网络接口层网络层传输层应用层用户数据TCP段网络接口层网络层传输层应用层IP包用户数据TCP段实际物理网络的帧IP包实际传输PDUdatasegmentpacketframe实际物理网络的帧bit4.TCP/IP层间通信与数据封装2.1.2TCP/IP协议栈14包头部段头部帧尾数据段头部数据数据帧头部包头部段头部数据E-mail信息数据数据段数据包数据帧(取决于不同传输介质)0111111010101100010101101010110001152.1.2IP编址

255255

255

255Dotted

DecimalMaximumNetworkHost128

64

32

16

8

4

2

1

11111111

11111111

11111111

11111111

10101100

00010000

01111010

11001100Binary32bits

172

16

122

204Example

DecimalExample

Binary1891617242532128

64

32

16

8

4

2

1

128

64

32

16

8

4

2

1

128

64

32

16

8

4

2

1

1.IP地址的格式及表示方法162.1.2IP编址2.IP地址的分类172.1.2IP编址数制的转换

172

16

122

1010110000010000

01111010

11001100

204128

0

32

0

8

4

0

0

270

250

23220

0128＋0＋32＋0＋8＋4＋0＋0＝172182.1.2IP编址IP地址的分类练习AddressClassNetworkHost004620192.1.2IP编址IP地址的分类练习答案AddressClassNetworkHost004620ABCCB不存在4202.1.3子网划分1.子网划分的原因自然分类法将IP地址划分为A、B、C、D、E类。每个32位的IP地址都被划分为由网络号和主机号构成的二级结构。为每个机构分配一个Internet网络地址，能够很好地适应满足当时的网络结构。但随着时间的推移，网络计算逐渐成熟，网络的优势被许多大型组织所认知，Internet中出现了很多大型的接入机构。这些机构中需要接入的主机数量众多，单一物理网络容纳主机的数量有限，因此在同一机构内部需要划分多个物理网络。问题：IP地址资源浪费严重IP网络数量不敷使用业务扩展缺乏灵活性212.1.3子网划分上世纪80年代中期，IETF在RFC950和RFC917中针对简单的两层结构IP地址所带来的日趋严重的问题提出了解决方法。这个方法称为子网划分(Subnetting)。即允许将一个自然分类的网络分解为多个子网(Subnet)。划分子网的方法是从IP地址的主机号(host-number)部分借用若干位作为子网号(subnet-number)，剩余的位作为主机号(host-number)。两级的IP地址就变为三级的IP地址，包括网络号(network-number)、子网号（subnet—number)和主机号(host-number)。2.IP子网及子网掩码222.1.3子网划分子网掩码与IP地址一一对应，是32bit的二进制数，子网掩码为1表示网络位，0表示主机位两种方式来表示一个子网掩码：

点分十进制表示法：将二进制的子网掩码划分为点分十进制形式。例如C类默认子网掩码11111111111111111111111100000000可以表示为。

位数表示法：也称为斜线表示法，即在IP地址后面加上一个斜线“/”，然后写上子网掩码中的二进制1的位数。例如C类默认子网掩码11111111111111111111111100000000可以表示为/24。232.1.3子网划分1)计算子网内的可用主机数这是子网划分计算中比较简单的一类问题，与计算A、B、C三类网络可用主机数的方法相同。如果子网的主机号位数为N，那么该子网中可用的主机数目为2N-2个。减2是因为有两个主机地址不可用，即主机号为全0和全1。当主机号为全0时，表示该子网的网络地址；当主机号全1时，表示该子网的广播地址。例如，已知一个C类网络划分成子网后为24，子网掩码为40，计算该子网内可供分配的主机地址数量。要计算可供分配的主机数量，就必须要知道主机号的位数。计算过程如下：计算掩码的位数。将十进制掩码40换算成二进制掩码为11111111.11111111.11111111.11110000，掩码的位数是28.计算主机号位数。主机号位数N=32-28=4计算主机数。该子网内可用的主机数量为24-2=14个3.子网划分的方法242.1.3子网划分2)根据主机地址数划分子网已知每个子网内需要容纳的主机数量的前提下，来划分子网。该问题就变成了求子网掩码。此类问题的计算方法总结如下：a)计算网络主机号的位数：假设每个子网内需要划分出Y个IP地址，那么当Y满足公式2N≥Y+2≥2N-1时，N就是主机号的位数。其中Y+2是因为需要考虑主机号为全0和全1的情况；在这个公式中也存在这样的含义：在满足主机数量符合要求的情况下，能够划分更多的子网。b)计算子网掩码的位数：计算出主机号的位数N后，可得出子网掩码位数为32-N；c)根据子网掩码的位数计算出子网号的位数M。该子网就有2M种划分方法，也可以理解为根据子网位数计算子网个数的公式为：子网个数=2M，其中M为子网位数。要将一个C类网络划分成若干个子网，要求每个子网的主机数为62台，计算过程如下：根据子网划分要求，每个子网的主机地址数量为62计算网络主机号：根据公式2N≥Y+2≥2N-1计算出N=6；子网掩码位数为32-6=26，子网掩码为92；根据子网掩码位数得知子网号位数为6。那么该网络能划分4个子网，这些子网分别是划分后，划分后子网掩码为92，子网数为4个。每个子网的可用主机数为62。每个子网具体信息如下：A子网：网络地址：

开始IP：

结束IP：2,广播地址：3B子网：网络地址：4开始IP：5结束IP：26,广播地址：27C子网：网络地址：28开始IP：29结束IP：90,广播地址：91D子网：网络地址：92开始IP：93结束IP：54广播地址：55。252.1.3子网划分3)根据子网数划分子网子网划分计算中，有时我们要在已知需要划分子网数量的前提下，来划分子网。a)计算子网号的位数。假设需要划分X个子网，每个子网包括尽可能多的主机地址。那么当X满足公式2M≥X≥2M-1时，M就是子网号的位数；b)由子网位数计算出网络掩码并划分子网。例如，需要将B类网络划分成30个子网，要求每个子网包括尽可能多的主机。计算过程如下：a)按照例子中的子网规划需求，需要划分的子网数X=30。b)计算子网号的位数。根据公式2M≥X≥2M-1，计算出M=5c)计算子网掩码。子网掩码位数为16+5=21，子网掩码为。d)由于子网号位数为5，所以该B类网络总共能划分成25=32个子网。这些子网分别是、、…。任意取其中的27个即可满足需求。2.2以太网技术原理272.2.1以太网发展历史2.2.2以太网的分类与标准2.2.3以太网工作原理2.2子目录282.2.1以太网发展历史以太网是ETHERNET的中文译名，是世界上应用最广泛、最为常见的网络技术之一。在不涉及到网络的协议细节时，有人把802.3局域网简称为以太网，是一种基带总线局域网。292.2.2以太网的分类与标准标准以太网快速以太网千兆以太网万兆以太网下一代以太网标准以太网快速以太网千兆以太网万兆以太网下一代以太网标准IEEE802.3IEEE802.3uIEEE802.3zIEEE802.3ak、802.3an802.3ba、802.3az速率（Mbit/s）10100100010G40G\100G介质同轴电缆、双绞线、光纤双绞线、光纤双绞线、光纤光纤光纤典型特性CSMA/CD技术CSMA/CD技术8B/10B编码技术分类特性302.2.3以太网工作原理1.以太网常用传输介质同轴电缆双绞线光纤312.2.3以太网工作原理2. 数据通信的传输模式单播广播组播单播（Unicast）为“一对一”的通信模式，即从源端发出的数据，仅传递给某一具体接收者。广播（Broadcast）为“一对所有”的通信模式。广播方式，系统把信息传送给网络中的所有用户，不管他们是否需要，任何用户都会接收到广播来的信息，信息安全性和有偿服务得不到保障。组播（Multicast）为“一对多”的通信模式。源端将数据发送至一个组地址，只有加入该组的成员可以接收该数据。322.2.3以太网通信原理3.冲突域与广播域冲突域是说如果一个区域中的任意一个节点可以收到该区域中其它节点发出的任何帧，那么该区域为一个冲突域。广播域是指如果一个区域中的任意一个节点都可以收到该区域中其他节点发出的广播帧，那么该区域为一个广播域。一个集线器构成的网络就是一个冲突域和一个广播域；一个交换机的每一个端口是一个冲突域，而其本身是一个广播域；一个路由器的每一个端口都是一个冲突域和一个广播域。332.2.3以太网工作原理4.以太网链路层的分层结构数据链路层再进行分层媒体访问控制子层（MAC）逻辑链路控制子层（LLC）MAC子层负责从LLC子层接收数据，附加上MAC地址和控制信息后把数据发送到物理链路上；在这个过程中提供校验等功能。LLC子层除了定义传统的链路层服务之外，还增加了一些其他有用的特性。这些特性都由DSAP、SSAP和Control字段提供。例如三种类型的点到点传输服务：342.2.3以太网工作原理MAC地址为了进行站点标识，在MAC子层用MAC地址来唯一标识一个站点。MAC地址由IEEE管理，以块为单位进行分配。一个组织（一般是制造商）从IEEE获得唯一的地址块，称为一个组织的OUI（OrganizationallyUniqueIdentifier）。MAC地址有48Bit，但通常被表示为12Bit的点分十六进制数。例如，48Bit的MAC地址表示为12Bit点分十六进制就是00e0.fc39.8034。352.2.3以太网工作原理

6.以太网的帧格式在以太网的发展历程中，以太网的帧格式出现过多个版本。不过，目前正在应用中的帧格式为DIX(Dec、Intel、Xerox)的Ethernet_II帧格式和IEEE的IEEE802.3帧格式（ETHERNET_SNAP）。Ethernet_II帧IEEE802.3帧362.2.3以太网工作原理

6. 共享式以太网工作原理CSMA/CD的工作过程如下：发前先听：发送数据前先检测信道是否空闲。如果空闲，则立即发送；如果繁忙，则等待。边发边听：在发送数据过程中，不断检测是否发生冲突（通过检测线路上的信号是否稳定判断冲突）。遇冲退避：如果检测到冲突，立即停止发送，等待一个随时时间（退避）。重新尝试：当随机时间结束后，重新开始发送尝试。372.2.3以太网工作原理7.交换式以太网工作原理在交换式以太网中经常使用的网络设备是交换机。交换机与Hub一样同为具有多个端口的转发设备，在各个终端主机之间进行数据转发。但相对于Hub的单一冲突域。交换机通过隔离冲突域，使得终端主机可以独占端口的带宽，并实现全双工通信，所以交换式以太网的交换效率大大高于共享式以太网。382.2.2以太网通信原理（1）交换机工作原理交换机相对于集线器而言，多维护了一张表，该表为MAC地址表。表中维护了交换机端口与该端口下设备MAC地址的对应关系。交换机就根据MAC表来进行数据帧的交换转发。对于检测到合法的以太网帧，提取出该帧的源MAC地址。将源MAC地址与接收该帧的接口之间的关系加入到地址表中，从而生成一条表项。对于同一个MAC地址，如果透明网桥先后学习到不同的接口，则后学到的接口信息覆盖先学到的接口信息。对于动态学习到的转发表项，透明网桥会在一段时间后对表项进行老化，即将超过一定生存时间的表项删除掉。392.2.2以太网通信原理（2）MAC地址表的建立与更新透明网桥对于收到数据帧的处理可以划分为以下三种情况：直接转发：收到数据帧的目的MAC能够在转发表中查到，并且对应的出接口与收到报文的接口不是同一个接口，则该数据帧从表项对应的出接口转发出去。丢弃：收到数据帧的目的MAC能够在转发表中查到，并且对应的出接口与收到报文的接口是同一个接口，则该数据帧被丢弃。扩散：收到数据帧的目的MAC是单播MAC，但是在转发表中查找不到，或者收到数据帧的目的MAC是组播或广播MAC时，数据帧向对应网桥组除入接口外的其他接口复制并发送。402.2.2以太网通信原理交换机的转发方式交换机有Cut-Through、Store-and-Forward、Fragment-free三种交换模式：a)快速转发（Cut-Through）交换机接收到目的地址即开始转发过程，特点是延迟小，交换机不检测错误，直接转发数据帧。b)存储转发（Store-and-Forward）交换机接收完整的数据帧后才开始转发过程，这种方式延迟大，延迟取决于数据帧的长度。交换机检测错误，一旦发现错误数据包将会丢弃。c)分段过滤（Fragment-free）交换机接收完数据包的前64字节（一个最短帧长度），然后根据帧头信息查表转发。此交换模式结合了直通方式和存储转发方式的优点。象Cut-Through一样不用等待接收完完整的数据帧才转发，只要接收了64字节后，即可转发，并且同Store-and-Forward模式一样，可以提供错误检测，能够检测前64字节的帧错误，并丢弃错误帧。2.3虚拟局域网技术422.3.1VLAN概述

2.3.2VLAN的划分方法2.3.3VLAN技术原理2.3子目录432.3.1VLAN概述VLAN（VirtualLocalAreaNetwork）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域（多个VLAN）的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接互通，从而将广播报文限制在一个VLAN内。由于VLAN间不能直接互访，因此提高了网络安全性442.3.2VLAN的划分方法VLAN的类型也就是VLAN划分的方式：基于端口划分VLAN

基于MAC地址划分VLAN基于子网划分VLAN基于协议划分VLAN452.3.3VLAN技术原理VLAN技术为了实现转发控制，在待转发的以太网帧中添加VLAN标签，然后设定交换机端口对该标签和帧的处理方式。处理方式包括丢弃帧、转发帧、添加标签、移除标签。转发帧时，通过检查以太网报文中携带的VLAN标签，是否为该端口允许通过的标签，可判断出该以太网帧是否能够从端口转发。支持VLAN技术的交换机，转发以太网帧时不再仅仅依据目的MAC地址，同时还要考虑该端口的VLAN配置情况，从而实现对二层转发的控制。

1. VLAN通信原理462.3.3VLAN技术原理IEEE802.1Q标准对Ethernet帧格式进行了修改，在源MAC地址字段和协议类型字段之间加入4字节的802.1QTag

2.VLAN的帧格式Type：长度为2字节，表示帧类型。取值为0x8100时表示802.1QTag帧。PRI：Priority，长度为3比特，表示帧的优先级，取值范围为0～7，值越大优先级越高。CFI：CanonicalFormatIndicator，长度为1比特，表示MAC地址是否是经典格式。VID：VLANID，长度为12比特，表示该帧所属的VLAN。可配置的VLANID取值范围为0～4095，但是0和4095协议中规定为保留的VLANID，不能给用户使用。472.3.3VLAN技术原理

3. VLAN的转发流程交换机有两个端口A与B,从某端口A收到以太网帧，如果转发表显示目的MAC地址存在于B端口下。引入VLAN后，该帧是否能从B端口转发出去，有以下2个关键点：该帧携带的VLANID是否被交换机创建?创建VLAN的方法有2种，管理员逐个添加或通过GVRP协议自动生成。目的端口是否允许携带该VLANID的帧通过？端口允许通过的VLAN列表，可以由管理员添加或使用GVRP(GARPVLANRegistrationProtocol)协议动态注册。Trunk端口Trunk端口用于连接交换机，在交换机之间传递taggedframe，可以自由设定允许通过多个VLANID，这些ID可以与PVID相同，也可以不同。对接收带Tag的报文处理：当VLANID在接口允许通过的VLANID列表里时，接收该报文。当VLANID不在接口允许通过的VLANID列表里时，丢弃该报文。发送帧处理过程：当VLANID与缺省VLANID相同，且是该接口允许通过的VLANID时，去掉Tag，发送该报文。当VLANID与缺省VLANID不同，且是该接口允许通过的VLANID时，保持原有Tag，发送该报文482.3.3VLAN技术原理

4. VLAN接口类型Access端口对接收不带Tag的报文处理：接收该报文，并打上缺省VLAN的Tag。对接收带Tag的报文处理：当VLANID与缺省VLANID相同时，接收该报文。当VLANID与缺省VLANID不同时，丢弃该报文。发送帧处理过程：先剥离帧的PVIDTag，然后再发送。492.3.3VLAN技术原理

4. VLAN接口类型Hybrid端口：能够灵活的控制VLAN标签的移除。实现各个用户端口相互隔离。1、对于进入端口的报文：A：报文未携带任何的vlantagged标签。此时hybrid端口会将此报文打上自己端口的pvid，然后在pvid

vlan中转发。B：报文携带了vlan标签。此时只要能匹配任意pvid、tagged、untagged中有一个，报文就会通过，并且不被改写。2、对于出端口的报文：A：报文携带的vlan标签与PVID同。此时无论该vlan是否为tagged、untagged，出去的时候均剥离vlan标签转发出去。B：报文携带的vlan标签与tagged同且非pvid。此时报文携带标签直接发出，不做更改。C：报文携带的vlan标签与untagged相同。此时报文剥离vlan标签转发出去。502.3.3VLAN技术原理

4. VLAN接口类型Hybrid端口：能够灵活的控制VLAN标签的移除。实现各个用户端口相互隔离。1、对于进入端口的报文：A：报文未携带任何的vlantagged标签。此时hybrid端口会将此报文打上自己端口的pvid，然后在pvid

vlan中转发。B：报文携带了vlan标签。此时只要能匹配任意pvid、tagged、untagged中有一个，报文就会通过，并且不被改写。2、对于出端口的报文：A：报文携带的vlan标签与PVID同。此时无论该vlan是否为tagged、untagged，出去的时候均剥离vlan标签转发出去。B：报文携带的vlan标签与tagged同且非pvid。此时报文携带标签直接发出，不做更改。C：报文携带的vlan标签与untagged相同。此时报文剥离vlan标签转发出去。2.4以太网接入的控制与管理522.4.1接入网控制与管理的概念2.4.2动态地址分配2.4.3PPP与PPPoE2.4子目录所谓用户管理是指的用户需要接入网运营商那里进行开户登记，并且在用户进行通信时对用户进行认证、授权。532.4.1接入网控制与管理的概念理

用户管理业务管理计费管理所谓安全管理指的是接入网需要保障用户数据（单播地址的帧）的安全性，隔离携带有用户个人信息的广播信息（如ARP（地址解析协议）、DHCP（动态主机配置协议）消息等），防止关键设备受到攻击。所谓业务管理指的是接入网需要支持组播业务，需要为保护QoS提供一定手段。由于组播业务是未来Interner上的重要业务，因此接入网应能够以组播方式支持这项业务，而不以点到点方式来传送组播业务。另外为了保证QoS接入网需要提供一定的带宽控制能力802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许认证协议的数据通过设备连接的交换机端口；认证通过以后，正常的数据就可以顺利地通过以太网端口。802.1x认证由交换机接入端口、中心认证（AAA服务器）构成完整的接入控制系统，AAA服务器可以位于会聚层，也可以位于核心网。542.4.1接入网控制与管理的概念

用户的接入控制与管理采用的方案有802.1xPPPOEPPPOE是在以太网上承载PPP协议，它利用以太网组网时，通过一个远端接入设备连入因特网，并对接入的每一个主机实现控制、计费功能。在采用PPPoE的方式时,PPP帧被封装在以太网帧内,以便于用户接入端的计算机采用以太网网卡匹配接收。PPP协议是点到点连接协议，它包括链路控制协议（LCP：LinkControlProtocol）、网络控制协议（NCP：NetworkControlProtocol）、密码验证协议PAP和挑战握手验证协议CHAP。552.4.1接入网控制与管理的概念理

用户的接入控制与管理采用的方案有802.1xPPPOE连接到互联网上的电脑要相互通信，必须有各自的IP地址，由于IP地址资源有限，不能做到给每个用户分配一个固定的IP地址，所以通常采用DHCP(DynamicHostConfigureProtocol，动态主机配置协议)对上网的用户进行临时的地址分配。562.4.2DHCP

1.DHCP的功能

DHCP主要包括三种角色：DHCPServer，DHCPClient，DHCPRelay（非必须角色）。DHCPServer即DHCP服务器，负责处理来自客户端或中继的地址分配、地址续租、地址释放等请求，为客户端分配IP地址和其他网络配置信息；DHCPClient即DHCP客户端，它通过与DHCP服务器进行报文交互，动态获取IP地址和其他网络配置信息，完成自身的地址配置，也便于集中管理；DHCPRelay即DHCP中继，它实现了不同网段间的DHCP服务器和客户端之间的报文交互。DHCP的地址申请流程如图2-44所示。包括：发现阶段选择阶段提供阶段确认阶段非确认阶段572.4.2DHCP

2.DHCP的工作流程

DHCPRelay即DHCP中继，它实现了不同网段间的DHCP服务器和客户端之间的报文交互。582.4.2DHCP

3.DHCP中继592.4.2DHCP

3.DHCP中继（1）DHCP客户端启动并初始化时，会在本地网络广播Discovery报文，寻找DHCP服务器。若本地网络存在服务器，则直接从该服务器获取IP地址，不需要中继设备。若本地网络中没有DHCP服务器，则与本地中继设备收到Discovery报文后，将广播报文转换成单播报文转发给其他网络上的DHCP服务器。（2）DHCP服务器向中继设备返回单播Offer报文，确认可以申请IP地址。（3）DHCP中继设备收到Offer报文后，将单播报文转换成广播报文返回给DHCPv4客户端。客户端发出Request报文，请求IP地址。（4）DHCP中继设备收到Request报文后，将广播报文转换成单播报文转发给DHCP服务器。DHCP服务器根据收到的Request报文中的信息进行相应配置，通过中继设备将配置信息发给DHCP客户端，完成对DHCP客户端的动态配置。602.4.3PPP与PPPoE协议

1.PPP协议PPP协议是一种点到点链路层协议，主要用于在全双工的同、异步链路上进行点到点的数据传输。它包括链路控制协议（LCP：LinkControlProtocol）、网络控制协议（NCP：NetworkControlProtocol）、密码验证协议PAP（PasswordAuthenticationProtocol）和挑战握手验证协议CHAP（Challenge-HandshakeAuthenticationProtocol）。612.4.3PPP与PPPoE协议

2.PPPoE协议PPP协议要求进行通信的双方之间是点到点的关系，不适于广播型的以太网和多点访问型的网络，于是产生了PPPoE协议(Point-to-PointProtocolOverEthernet)。它不仅为使用桥接以太网接入的用户提供了一种宽带接入手段，同时还能提供方便的接入控制和计费。PPPoE报文的报文格式如图所示。622.4.3PPP与PPPoE协议

2.PPPoE协议PPPoE会话过程可分为三个阶段，即发现阶段、会话阶段和会话终结阶段。阶段描述发现阶段获取对方以太网地址，以及确定唯一的PPPoE会话。会话阶段包含两部分：PPP协商阶段和PPP报文传输阶段。会话终结阶段会话建立以后的任意时刻，发送报文结束PPPoE会话。2.5LAN接入典型组网642.5.12.5.2LAN接入的网络结构设计2.5.3LAN接入设备的选用2.5子目录LAN接入的技术方案设计2.5.3以太网LAN接入的供电目前，以太网宽带接入解决方案主要用到VLAN技术和PPPoE认证。典型网络结构如图。三层交换机每个端口配置成独立的VLAN，享有独立的VID（VLANID）。将每个用户配置成独立的VLAN，利用支持VLAN的LANSWTTCH进行信息的隔离，用户的IP地址被绑定在端口的VLAN号上，以保证正确路由选择。在VLAN方式中，利用VLAN可以隔离ARP,DHCP等携带用户信息的广播信息，从而使用户数据的安全性得到了进一步提高。652.5.1以太网接入的方案设计

（1）规模接入网络对于小规模居民小区来说，用户数少。用户连接到以太网交换设备的双绞线距离不超过100m。小区上连采用光纤收发器，采用1级交换，交换机采用100Mbit/s上联，下联多个10/100Mbit/s电接口，直接接入用户；若用户数超过交换机的端口数，可采用交换机级联662.5.3LAN接入的网络结构设计

（1）规模接入网络对于小规模居民小区来说，用户数少。用户连接到以太网交换设备的双绞线距离不超过100m。小区上连采用光纤收发器，采用1级交换，交换机采用100Mbit/s上联，下联多个10/100Mbit/s电接口，直接接入用户；若用户数超过交换机的端口数，可采用交换机级联672.5.3LAN接入的网络结构设计

⑶大规模接入网络大规模居民小区一般居民楼非常多，楼间距离较大，且相对分散。小区内采用2级交换：小区中心交换机（3层交换机）具备多个千兆光接口直联宽带IP城域网，且多有备份。中心交换机下联口既可以提供百兆光接口，也可以提供千兆光接口。楼道交换机连接基本上与小规模接入网络相同，必要时楼道交换机上联用千兆光接口682.5.3LAN接入的网络结构设计

选用以太网接入设备应注意的问题是设备价格、设备功能、设备性能、设备技术要求及网络整体方案的集成性等。以太网中心接入设备为接入网核心，应具备高性能、可扩展性、高可靠性及强有力的网络控制能力和良好的可管理特性。边缘接入设备是建筑物内用户接入网络的桥梁，应具备灵活性、价格便宜、使用方便和一定的网络服务质量和控制能力。692.5.4以太网接入设备的选用

①中心接入设备至少具有1个1000Base-LX单模光接口，多个100Base-FX多模光接口和多个100Mbit/s电接口。②支持基于802.1Q标准的VLAN划分，并支持跨不同交换机划分VLAN。③支持200个以上的VLAN。采用特别技术的设备应说明在这方面与其他设备的兼容性。④支持IGMP组播协议。⑤支持线速交换。⑥可实现对每个用户的流量和时长的统计，原始话单，按通用的接口提交给计费系统。⑦在1000Mbit/s和100Mbit/s以太网端口上支持端口聚集功能，负荷均分。⑧支持802.1p协议⑨支持多种方式的以太网包过滤功能，支持标准的IP包过滤功能，支持基本的绑定功能，支持多种削减得策略。⑩提供远程登录支持及图形化网管，支持SNMP网络管理协议。702.5.4以太网接入设备的选用中心接入设备要求：①中心接入设备至少具有1个1000Base-LX单模光接口，多个100Base-FX多模光接口和多个100Mbit/s电接口。②支持基于802.1Q标准的VLAN划分，并支持跨不同交换机划分VLAN。③支持200个以上的VLAN。采用特别技术的设备应说明在这方面与其他设备的兼容性。④支持IGMP组播协议。⑤支持线速交换。⑥可实现对每个用户的流量和时长的统计，原始话单，按通用的接口提交给计费系统。⑦在1000Mbit/s和100Mbit/s以太网端口上支持端口聚集功能，负荷均分。⑧支持802.1p协议⑨支持多种方式的以太网包过滤功能，支持标准的IP包过滤功能，支持基本的绑定功能，支持多种削减得策略。⑩提供远程登录支持及图形化网管，支持SNMP网络管理协议。712.5.3以太网接入设备的选用

(1)中心接入设备要求：①边缘接入设备向上必须提供网内设备间中继接口，如100Base-TX接口、100Base-FX接口和100Mbit/s电接口，向下应直接向用户提供10Base-T用户网络接口。②具有基于端口划分VLAN的功能，也可支持基于MAC地址划分VLAN，支持802.1q协议。每个端口均可划分VLAN。③为了满足安全性的基本要求，应当可以与小区、汇接交换机配合实现用户端口的隔离。④支持IGMP组播协议。⑤在其100Mbit/s以太网端口上具有端口聚集功能，并能在聚合的Nx100Mbit/s端口上实现负荷均分。支持IEEE802.1ad标准。⑥支持802.1p协议。⑦支持多种方式的2层包过滤功能，基本的绑定功能，如用户MAC地址和端口的绑定。支持多种削减得策略，如广播削减、组播削减河单播削减等。⑧设备支持标准的生成树协议（IEEE802.1d）。支持生成树，VLAN设置、负载分担。⑨提供远程登录支持及图形化网管。722.5.3LAN接入的网络结构设计

(2)边缘接入设备的技术要求：（3）设备电源：支持直流和交流两种供电方式，直流额定电压为-48V，电压波动的范围为-57V～-40V；交流电压为220V±25%，频率50H±5%。（4）工作环境应能在以下环境中正常工作：室内机：温度5℃～40℃；相对湿度10%～90%（非凝结）；室外机：温度-30℃～40℃；相对湿度10%～90%（非凝结）。（5）设备性能：边缘接入设备在吞吐量、交换时延、丢包率和MAC地址深度等方面，应根据用户具体规模大小和流量大小在规划设计时具体要求。

732.5.4以太网接入设备的选用以太网接入设备的环境，通常不具备正规机房的条件，电源不良。房的设备通过以太网线远端馈电。IEEE802.3af为以太网馈电标准。一个完整的POE（PoweroverEthernet）系统包括供电端设备(PSE,PowerSourcingEquipment)和受电端设备(PD,PoweredDevice)两部分。两者基于IEEE802.3af标准建立有关受电端设备PD的连接情况、设备类型、功耗级别等方面的信息联系,并以此为根据PSE通过以太网向PD供电。电源输出：-48V742.5.4以太网LAN接入设备的供电

2.6网络仿真环境搭建76步骤步骤一、启动eNSP

步骤二、建立拓扑步骤三、建立一条物理连接步骤四、进入终端系统配置界面步骤五、配置终端系统步骤六、启动终端系统设备2.7以太网接入设备安装782.7.1网线的制作2.7.2LAN接入设备的认知2.7.3LAN接入设备的安装2.7子目录以太网接入设备的选用792.7.1网线的制作目前常用的线序标准为EIA/TIA568A和568B。568A标准的线序对应为白绿、绿、白橙、蓝、白蓝、橙、白棕、棕568B标准的线序对应为白橙、橙、白绿、蓝、白蓝、绿、白棕、棕。1.百兆网线802.7.1网线的制作设备连接方法

主机路由器交换机MDIX交换机MDIHub主机交叉交叉直连N/A直连路由器交叉交叉直连N/A直连交换机MDIX直连直连交叉直连交叉交换机MDIN/AN/A直连交叉直连Hub直连直连交叉直连交叉812.7.1网线的制作千兆5类也分为直通和交叉两种。直通网线与我们平时所使用的没有什么差别，都是一一对应的。但是传统的百兆网络只用到4根线缆来传输，而千兆网络要用到8根来传输，所以千兆交叉网线的制作与百兆不同，制作方法如下：1对3，2对6，3对1，4对7，5对8，6对2，7对4，8对52．千兆网线822.7.2以太网接入设备的认知华为交换机分为以下几个系列：旧产品：S2300系列、S3300系列、S5300系列、S9300系列新产品：S2700系列、S3700系列、S5700系列、S7700系列1．交换机832.7.2以太网接入设备的认知A（产品系列）

S-交换机：S2326TP-SIS2700-26TP-SIAR-低端路由器:AR28-09NE-高端路由器:NE20E1．交换机S2326TPSIABCDEFB（子产品系列）

9-核心机箱式交换机：9303、9306、7706、77125-全千兆盒式三层交换机：S5328C-SI3-千兆上行百兆下行的盒式三层交换机：S3328TP-SI2-千兆上行百兆下行的盒式二层交换机：S2326TP-SIC（产品型号更替）

表明产品的更替（或者系列）842.7.2以太网接入设备的认知1．交换机S2326TPSIABCDEFD（可用端口数）09-下行端口为8个，上行端口为1个：S2309TP-SI-AC18-下行端口为16，上行端口为2个：S2318TP-SI-AC26-下行端口为24，上行端口为2个：S2326TP-SI-AC28-下行端口为24，上行端口为4个：S5328C-SI48-下行端口为48，上行端口为0个：S5348TP-SI-ACE（上行接口类型）：C/P/TPC-扩展插槽上行:S5328C-SIP-千兆SFP光口上行:S3352P-SITP-上行接口有光口和电口同时存在：S2326TP-SI-ACF(交换机特性)EI-增强型(StandardsoftwareImage)：表示设备为增强版本，包含某些高级特性。S5328C-EISI-标准型(EnhancedsoftwareImage):表示设备为基础版本，包含基础特性。S5328C-SIPWR-EI-支持POE的增强型:支持远程以太网供电。PWR-SI-支持POE的标准型:支持远程以太网供电。S5348TP-PWR-SIPOE:PoweroverLAN以太网供电24S-光口下行的接口形态：S5328C-EI-24S（端口为全光纤口）852.7.3以太网接入设备的安装1.机房设备安装安装机架和挂墙式机箱时，其位置及其面向都应该按设计要求；机架和设备必须安装牢固可靠，在有抗震要求时应按设计要求；机架和挂墙式机箱安装完工后其水平和垂直度都必须符合设计要求，机架和挂墙式机箱与地面垂直，其前后左右的垂直偏差度均不应大于3mm；安装19英寸机架时，机架前面应预留1.5m的空间，机架背面距离墙面应大于0.8m。交流220V电源或直流-48V电源供电，根据具体情况安装后备电源。保护接地，接地电阻≤4Ω。采用直流供电的设备，其工作地线可与保护地共用一组，接地电阻≤1Ω。设备外壳和电缆屏蔽层均应按有关规范接地。862.7.3以太网接入设备的安装2.楼层设备安装楼层交换机安装在楼内配线间或楼梯间内，严禁挂装在外墙或其他雨水易飘沾、阳光可照射的场所，宜也可加保护箱后安装在墙上或吊装在顶板下，但要注意选择设备箱安装位置时，应考虑设备通风、散热及环境温度、湿度、防尘、防盗、防干扰和楼道的整体美观等方面，一般选在楼房的公共部位，且不妨碍人行通道和搬运通道。设备箱底距离地面一般要求为1.6m。设备箱内应提供220V/10A单相带地源插座，并固定在机箱内。交换机前端处的光终端盒或光纤接收器必须放在机箱内，以提供网络的安全性和可靠性；交换机电源线、光纤及五类线必须分孔进出，严禁信号线与电源线同孔；光纤及5类线余线在机箱内不宜过长，且要用尼龙扎带将5类线扎绑固定好；机箱内线缆和光缆都应贴有规定的标志（标签和编号），说明线缆、光缆的路由和终结点位置。872.7.3以太网接入设备的安装2.楼道设备安装楼道宽带配线箱从型号上可分为两种规格，一种为一般楼房的宽带配线箱，可容纳18个用户连接的模块（排列3排，每排可接6个用户的网线）集中用户楼房宽带配线箱，可根据用户数的情况进行排列（从24个用户到96个用户的网线联接）。楼道宽带配线箱内的模块按照模块标识色谱进行卡接。楼道宽带配线箱内线缆的编号规定：要标明区箱号、单元号、楼层号、房间号、模块排列号，从集线箱到楼道交换机设备箱的联接网线，要标明楼栋号、单元号和线缆的排列编号。。2.8LAN接入设备数据配置892.8.1设备数据配置环境的搭建2.8.2交换机数据配置基本操作2.8.3以太网接入组网应用2.8子目录以太网接入设备的选用902.8.1设备数据配置环境的搭建设备数据配置主要有两种方法：通过串口配置，通过Telnet远程登陆的方法配置通过串口配置时，先用串口配置线连接交换机的console口和PC机的232串口或USB（如果是USB接口，需安装驱动），在计算机上打开超级终端或运行CRT软件，通过简单设置即可开始配置912.8.1设备数据配置环境的搭建（1）Telnet用户登录时，缺省需要进行口令认证，如果没有配置口令而通过Telnet登录，则系统会提示“passwordrequired,butnoneset.”（2）通过Telnet配置交换机时，不要删除或修改对应本telnet连接的交换机上的VLAN接口的IP地址，否则会导致Telnet连接断开（3）Telnet用户登录时，缺省可以访问命令级别为0级的命令（4）如果通过PC直接接在交换机上进行Telnet配置，注意接PC的以太网端口要属于交换机的管理VLAN（5）如果出现“Toomanyusers!”的提示，表示当前Telnet到以太网交换机的用户过多，则请稍候再连（例如华为Quidway系列以太网交换机最多允许5个Telnet用户同时登录）通过Telnet远程登录搭建远程的配置环境922.8.2交换机数据配置基本操作登陆界面及等级切换进入配置界面，按ENTER.<Quidway><Quidway>super\\进入特权模式<Quidway>systemview\\进入系统配置模式[Quidway]\\显示当前配置保存配置[Quidway]sysnamehuawei\\指定设备名称[huawei]quit\\退出当前模式<huawei>save\\保存配置932.8.2交换机数据配置基本操作常用命令显示系统版本信息：displayversion显示系统当前配置：displaycurrent-configuration显示系统保存配置：displaysaved-configuration显示接口信息：displayinterface显示路由信息：displayiprouting-table显示VRRP信息：displayvrrp显示ARP表信息：displayarp显示系统CPU使用率：displaycpu显示系统内存使用率：displaymemory显示系统日志：displayinfo-centerlog显示系统时钟：displayclock验证配置正确后，使用保存配置命令：save删除某条命令，一般使用命令：undo设置以太网端口的全双工/半双工属性:[Quidway-Ethernet0/1]duplexauto/half/full设置端口的速率:[Quidway-Ethernet0/1]speed10/100942.8.2交换机数据配置基本操作VLAN创建及端口指定创建VLAN:进入vlan视图，如果指定的vlan没有创建则先创建它[undo]vlan/vlan_id/undovlan/vlan_id/：删除已创建的vlanport/interface_list/给指定vlan增加/删除以太网接口undoport/interface_list/中参数interface_list由端口类型和端口序号组成[Quidway]vlan10\\创建VLAN10[Quidway-vlan2]quit\\退出VLAN视图[Quidway]interfaceethernet0/1\\进入端口1的端口视图[Quidway-Ethernet1]portaccessvlan10\\将端口1以Access模式加入到VLAN10[Quidway-Ethernet1]quit\\退出[Quidway]interfaceethernet0/23[Quidway-Ethernet23]descriptionto_6506A_E6/0/47[Quidway-Ethernet23]portlink-typetrunk\\设置接口类型为TRUNK[Quidway-Ethernet23]porttrunkpermitvlan1020to25\\允许VLAN10,20至25数据通过[Quidway-Ethernet23]undoporttrunkpermitvlan1\\将VLAN1过滤952.8.2交换机数据配置基本操作（1）创建管理VLAN[Quidway]VLAN100（2）配置设备的管理IP地址[Quidway]interfacevlan-interface100[Quidway-Vlan-interface100]ipaddress（3）配置设备的网关[Quidway]iproute-static管理VLAN及IP的配置962.8.3以太网接入组网应用1.远程管理交换机配置（1）

组网需求PC通过telnet登陆交换机并对其进行管理；分别应用帐号+密码方式、仅密码方式以及radius认证方式；只允许/24网段的地址的PC

TELNET访问。telnet登陆主机的PC与SwitchA之间通过局域网互连（也可以直连），要求PC可以ping通SwitchA。972.8.3以太网接入组网应用（2）配置步骤a)采用账号+密码方式登陆#配置TELNET登陆的ip地址<SwitchA>system-view[SwitchA]vlan2[SwitchA-vlan2]interfaceEthernet1/0/1[SwitchA-vlan2]quit[SwitchA]management-vlan2[SwitchA]interfacevlan2[SwitchA-Vlan-interface2]ipaddress24#进入用户界面视图[SwitchA]user-interfacevty04#配置本地或远端用户名+口令认证方式

[SwitchA-ui-vty0-4]authentication-modescheme#配置登陆用户的级别为最高级别3(缺省为级别1)[SwitchA-ui-vty0-4]userprivilegelevel3#添加TELNET管理的用户，用户类型为”telnet”，用户名为”huawei”，密码为”admin”[SwitchA]local-userhuawei[SwitchA-luser-huawei]service-typetelnetlevel3[SwitchA-luser-huawei]passwordsimpleadmin982.8.3以太网接入组网应用（2）配置步骤b)仅密码方式登陆#配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)#进入用户界面视图[SwitchA]user-interfacevty04#设置认证方式为密码验证方式

[SwitchA-ui-vty0-4]authentication-modepassword#设置登陆验证的password为明文密码”huawei”[SwitchA-ui-vty0-4]setauthenticationpasswordsimplehuawei#配置登陆用户的级别为最高级别3(缺省为级别[SwitchA-ui-vty0-4]userprivilegelevel992.8.3以太网接入组网应用（2）配置步骤c)TELNETRADIUS验证方式配置#配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)#进入用户界面视图[SwitchA]user-interfacevty04#配置远端用户名和口令认证[SwitchA-ui-vty0-4]authentication-modescheme#配置RADIUS认证方案，名为”cams”[SwitchA]radiusschemecams#配置RADIUS认证服务器地址1[SwitchA-radius-cams]primaryauthentication11812#配置交换机与认证服务器的验证口令为”huawei”[SwitchA-radius-cams]keyauthenticationhuawei#送往RADIUS的报文不带域名[SwitchA-radius-cams]user-name-formatwithout-domain#创建（进入）一个域，名为”huawei”[SwitchA]domainhuawei#在域”huawei”中引用名为”cams”的认证方案

[SwitchA-isp-huawei]radius-schemecams#将域”huawei”配置为缺省域

[SwitchA]domaindefaultenableHuawei1002.8.3以太网接入组网应用（2）配置步骤d) TELNET访问控制配置#配置访问控制规则只允许/24网段登录[SwitchA]aclnumber2000[SwitchA-acl-basic-2000]ruledenysourceany[SwitchA-acl-basic-2000]rulepermitsource55#配置只允许符合ACL2000的IP地址登录交换机[SwitchA]user-interfacevty0[SwitchA-ui-vty0-4]acl2000inbound注意：TELNET访问控制配置是在以上三种验证方式配置完成的基础上进行的配置。1012.8.3以太网接入组网应用2. VLAN组网（1）组网需求如图，SwitchA与SwitchB用trunk互连，相同VLAN的PC之间可以互访，不同VLAN的PC之间禁止互访；PC1与PC2之间在不同VLAN，通过设置上层三层交换机SwitchB的VLAN接口10的IP地址为54/24，VLAN接口20的IP地址为54/24可以实现VLAN间的互访。1022.8.3以太网接入组网应用（2）配置步骤a）实现VLAN内互访VLAN间禁访配置过程SwitchA相关配置：#创建（进入）VLAN10，将E0/1加入到VLAN10[SwitchA]vlan10[SwitchA-vlan10]portEthernet0/1#创建（进入）VLAN20，将E0/2加入到VLAN20[SwitchA]vlan20[SwitchA-vlan20]portEthernet0/2#将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过[SwitchA]interfaceGigabitEthernet1/1[SwitchA-GigabitEthernet1/1]portlink-t