电子教案-《网络设备配置与管理》

网络基础知识回顾任务1计算机网络基础学习目标网络分类网络模型结构ISO/OSI参考模型TCP/IP参考模型几个重点协议IP、ARP、TCP协议网络数据传输流程TCP和UDP端口号学习完本任务，应该能够掌握：1.1.1网络概述参看教材任务1回顾下列内容：网络的定义、分类等？？网络拓扑结构？？思考1网络基本概念定义将地理位置不同并具有独立功能的多台计算机通过通信设备和线路连接起来，以功能完善的网络软件（通信协议、网络操作系统等）来实现资源共享的系统。功能数据通信共享资源提高可靠性提供分布处理能力集中管理负载分担网络基本概念组成计算机系统服务器客户机网络通信系统网卡通信介质：双绞线、同轴电缆、光纤、无线通信设备：中继器、集线器、交换机、路由器等网络操作系统Windows2008Server、Unix、Linux等网络协议网络中的设备之间要正确地传送信息和数据，必须在数据传输的顺序、数据的格式及内容等方面有一个约定或规则。网络协议是网络设备之间通信规则的正式描述。网络的分类按网络覆盖范围划分局域网城域网广域网网络的分类按拓扑类型划分

总线形网络星形网络环形网络网状网络

……网络拓扑结构拓扑结构网络拓扑确定了网络的结构。网络拓扑有两种：物理拓扑，是指实际布线或设备相互连接的几何形式逻辑拓扑，其定义了媒体如何存取主机发送的数据物理拓扑结构分类星型总线型环型树形网状型……网络拓扑结构逻辑拓扑结构分类网络的逻辑拓扑描述的是设备之间是如何通过物理拓扑进行通信，即指网中各台主机通过传输介质相互通信的方式。物理拓扑与逻辑拓扑是各自独立的。最常见的两种逻辑拓扑形式是广播拓扑和令牌拓扑。广播拓扑任一个节点发送的数据都在整个网络上广播，其它所有站点都能够收听到，并且查看自己是否为该数据的接收者，如果是，就保存这些数据继续进行处理，如果不是，就忽略该数据。所有类别的以太网在设备之间通信时使用的就是这种方式，使用CSMA/CD介质访问机制来确定一个结点何时可以使用网络传输介质发送数据包。令牌拓扑令牌拓扑通过向各台主机顺序传递一个电子令牌来确定一个结点何时可以使用网络传输介质发送数据包。使用令牌传递的主要有令牌环和光纤分布式数据接口（FDDI），他们都是在物理环型拓扑上使用令牌传递的。网络的分类按传输介质分

有线网络双绞线网络、同轴电缆网络、光纤网络、光纤同轴混合网络等

无线网络无线电、微波、红外等类型

网络通信模式

单播：一对一组播：一对一组广播：一对所有1.1.2计算机网络模型参看教材任务1回顾下列内容：

典型的网络模型？？网络的体系结构分层？？每层的作用、协议、设备等？？思考2一、ISO/OSI参考模型

OSI参考模型主要是研究异种网络互连时所遇到的兼容性问题，该模型的最大作用就是促成了不同厂商之间的协同工作。采用了协议分层的设计思想，将网络分成七个分离但又相关的层次。在这个OSI七层模型中，每一层都为其上一层提供服务、并为其上一层提供一个访问接口或界面。一、ISO/OSI参考模型不同主机之间的相同层次称为对等层。对等层之间互相通信需要遵守一定的规则，如通信的内容、通信的方式，将需要遵守的规则称为协议（Protocol）,而将某个主机上运行的协议的集合称为协议栈。主机正是利用这个协议栈来接收和发送数据的。（1）物理层物理层的功能物理层的主要功能是完成相邻结点之间原始比特流的传输，控制数据怎样被放置到通信介质上。

物理层的主要设备中继器集线器中继器由于存在损耗，在线路上传输的信号功率会逐渐衰减，衰减到一定程度时将造成信号失真，因此会导致接收错误。中继器就是为解决这一问题而设计的。中继器是最简单的网络互联设备，主要完成物理层的功能，负责在两个结点的物理层上按位传递信息，完成信号的复制、调整和放大功能，以此来延长网络的长度。集线器集线器相当于多端口的中继器，也可以把信号整形、放大后发送到所有结点上。集线器工作原理:共享带宽（共享集线器内部的总线）广播方式工作（2）数据链路层数据链路层的功能数据链路层的主要功能是如何在不可靠的物理线路上进行数据的可靠传输。数据链路层完成的是网络中相邻结点之间可靠的数据通信。为了保证数据的可靠传输，发送方把用户数据封装成帧（Frame），并按顺序传送各帧。数据链路层必须解决由于帧的损坏、丢失和重复所带来的问题。数据链路层还要实现流量控制，以解决防止高速发送方的数据把低速接收方“淹没”的问题。典型的协议：SDLC、HDLC、PPP、STP、帧中继等。数据链路层的主要设备网卡网桥交换机网卡网卡也叫网络适配器，是连接计算机与网络的硬件设备。网卡的主要工作原理是整理计算机上发往网线上的数据，并将数据分解为适当大小的数据包之后向网络上发送出去。对于网卡而言，每块网卡都有一个唯一的网络结点地址，它是网卡生产厂家在生产时烧入ROM（Read0nlyMemory，只读存储芯片）中的，也叫做MAC地址，且保证绝对不会重复。可以在DOS窗口中使用“ipconfig/all”命令查看计算机网卡的MAC地址。网桥网桥工作在数据链路层，用于将两个LAN连接在一起并按MAC地址转发帧。网桥可以用来分隔冲突域，通过增加冲突域的数量，减小每个冲突域的大小，减少冲突发生的可能。连接两个网段的网桥能从一个网段向另一个网段传送完整而且正确的帧，不会传送干扰或有问题的帧。网桥的工作过程：根据源MAC学习，根据目的MAC进行转发参阅教材图1-6分析交换机交换机可看成是多端口的网桥，也是根据源MAC学习，根据目的MAC进行转发。交换机的每个端口都是一个独立的冲突域，可以为每个工作站提供更高的带宽。交换机的工作过程：参阅教材图1-7分析

（3）网络层网络层的功能网络层的主要功能是完成网络中主机间的报文传输。在广域网中，这包括产生从源端到目的端的路由，根据采用的路由协议，选择最优的路径。典型的协议：IP、IPX、RIP、OSPF等。网络层的主要设备路由器路由器路由器是一种连接多个网络或网段的网络层设备，它能将不同网络或网段之间的数据信息进行“翻译”，以使它们能够相互“读懂”对方的数据，从而构成一个更大的网络。路由器属于网络层的一种互联设备，有隔离广播的作用，它的每个端口都是一个独立的广播域，也是一个独立的冲突域。路由器具有判断网络地址和选择路径的功能，它能在多网络互联环境中，建立灵活的连接，可用完全不同的数据分组和介质访问方法连接各种子网。（4）传输层传输层是整个网络的关键部分，实现两个用户进程间端到端（End—to—End）的可靠通信，处理数据包错误、数据包次序，以及其他一些关键传输问题。向下是提供通信服务的最高层，弥补通信子网的差异和不足，向上是用户功能的最低层。传输层的功能提供建立、维护和拆除传输层连接，为网络层提供合适的服务，提供端到端的错误恢复和流量控制，向会话层提供独立于网络层的传送服务和可靠的透明数据传输。典型的协议：TCP、UDP。（5）会话层会话层允许不同机器上的用户之间建立会话关系，会话层管理主机之间的会话进程，即负责建立、管理、终止进程之间的会话。会话层还利用在数据中插入校验点来实现数据的同步。（6）表示层表示层以下各层只关心从源主机到目标主机可靠地传送比特，而表示层关心的是所传送的信息的语法和语义，即传输信息的表示格式。主要功能：对上层数据或信息进行变换以保证一个主机应用层信息可以被另一个主机的应用程序理解。表示层的数据转换包括数据的加密、压缩、格式转换等。典型协议：ASCII、ASN.1、JPEG、MPEG等。（7）应用层

应用层的主要功能为操作系统或网络应用程序提供访问网络服务的接口。典型协议：Telnet、FTP、HTTP、SNMP等。

二、TCP/IP参考模型

TCP/IP参考模型只是现有协议的描述，因而协议与模型非常吻合，是目前最成熟并广为接受的通信协议之一。TCP／IP参考模型分为四层结构：应用层、传输层、网际层和网络访问层。

TCP/IP参考模型及协议栈和OSI参考模型的对应关系：1.1.3重点协议介绍参看教材任务1回顾下列内容：

TCP/IP协议栈？？协议数据包格式？？每层的作用、协议、设备等？？对等层通信？？思考3TCP/IP协议栈HTTP、Telnet、FTP、TFTP、Ping、etcTCP/UDPARP/RARPIPICMPEthernet、802.3、PPP、HDLC、FR、etc接口和线缆应用层传输层网络层

数据链路层提供应用程序网络接口建立端到端连接寻址和路由选择物理介质访问二进制数据流传输

物理层TCP/IP协议数据格式TELNET23FTP20/21SMTP25TFTP69TCP/UDPPACKETSFRAMESBITS比特帧分组报文报文利用PT模拟器捕捉数据包，查看分层数据包格式思考：通信地址？？

域名地址，如IP地址，如

MAC地址，如00-30-18-A2-06-E41、IP协议IP是一个无连接的协议，IP的责任就是把数据从源传送到目的地。它不负责保证传送可靠性、流控制、包顺序等服务。IP可以根据数据报报头中包括的目的地址将数据报传送到目的地址，在此过程中IP负责选择传送的路线，这种选择路线称为路由功能。IP协议版本报文长度服务类型总长度标示符标志片偏移生存时间协议报头校验和源IP地址目的IP地址IP选项IP报头格式：优先级和服务类型字段一般用于QoS（服务质量）；存活期（TimeToLive，TTL）是数据报可以生存的时间上限，它由发送者设置，每经过一次路由，TTL至少减1，如果未到达目的地时生存时间减为零了，则抛弃此数据报；源和目的IP地址用于表示数据从哪里来，要到哪里去。

IP协议IP不提供可靠的传输服务，它不提供端到端的或结点到结点的确认，对数据没有差错控制，它只使用报头的校验码，不提供重发和流量控制。如果出错可以通过ICMP报告，ICMP在IP模块中实现。2、ICMP协议IP协议自身没有内在机制来获取差错信息并处理．为了处理这些错误，TCP/IP设计了ICMP协议，当某个网关发现传输错误时，立即向信源主机发送ICMP报文，不仅用于传输差错报文，还传输控制报文。ICMP（Internet控制消息协议），用于报告错误。ICMP的作用并非是使IP变成一个可靠的协议，而仅用于特殊情况时报告错误和提供反馈。ICMP消息以IP数据报格式传送，因此也不可靠。ICMP协议ICMP报文格式:IP头部中协议字段值必须为1，说明这是一个ICMP报文;ICMP头部中的类型（Type）域用于说明ICMP报文的作用及格式；代码（Code）域用于详细说明某种ICMP报文的类型。参阅教材表1-2学习3、ARP协议在局域网中，网络中实际传输的是“帧”，帧里面封装有源和目的主机的MAC地址。如何获得目标MAC地址？通过地址解析协议获得的。ARP协议解决地址转换问题：ARP协议就负责将某个IP地址解析成对应的MAC地址，其基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。每台主机或路由器内都有一张地址映射表（IP——MAC）静态映射：利用ARP命令创建该表动态映射：利用ARP/RARP协议生成该表ARP-----地址解析协议RARP---逆地址解析协议ARP协议ARP使用目标IP地址的本地广播来获得目标主机或网关的硬件地址。收到硬件地址后，IP地址和硬件地址作为一项记录存储在本地的ARP缓存中。在初始化一个ARP广播请求之前，ARP总要先检测它的缓存，查看是否已有IP地址和硬件地址的映射记录。解析本地IP地址ARPRequest?ARPReply

对应的MAC：00-E0-FC-00-00-12…目的MAC(B)源MAC(A)目的IP(B)源IP(A)数据…IP:/24MAC:00-E0-FC-00-00-11IP:/24MAC:00-E0-FC-00-00-12AB需要的MAC地址？利用PT模拟器捕捉ARP数据包，查看数据包的封装解析远程IP地址1.ARP广播请求(询问网关的MAC地址？)ARP应答(至主机A)(给出路由器C的MAC地址)…目的MAC(C)源MAC(A)目的IP(B)源IP(A)数据…主机A路由器路由器C主机A主机Z主机BABCD解析远程IP地址ARP应答(至路由器C)(给出主机B的MAC地址)2.ARP广播请求(询问主机B的MAC地址？)…目的MAC(B)源MAC(D)目的IP(B)源IP(A)数据…路由器主机B路由器C主机A主机Z主机BACDBARP缓存

为了减少广播量，ARP在缓存中保存地址映射以备用。ARP缓存中的条目既可以由ARP协议自动学习，也可以由用户使用系统自带的“arp”命令添加。“arp–a”命令可以查看本机的ARP缓存表“arp–d”命令删除本机的ARP缓存表“arp–s”命令添加ARP项，可减少ARP请求访问主机的次数每条ARP缓存记录的生命周期为10min，2min内未用则删除缓存容量满时，删除最先的记录ARP缓存总是为本地子网保留硬件广播地址（FFFFFFFFFFF）。作为一个永久项，此项使主机能够接受广播帧，当查看缓存时，该项不会显示。4、TCP/UDP协议IP负责主机到主机的通信，但只能将报文传送给目的计算机，显然这不是一个完整的传输，报文还必须送到目的主机正确的进程，而这正是传输层协议所要做的事情。TCP/IP协议栈为传输层定义了两种服务质量不同的协议，即：传输控制协议（TCP）用户数据报协议（UDP）。TCP协议TCP，传输控制协议，是一种可靠的、面向连接的字节流传送服务，它将一台主机发出的字节流无差错地发往互联网上的其他主机。源主机在传送数据前需要先和目标主机建立连接；在此连接上，被编号的数据段按序收发；发送端，负责把上层传送下来的字节流分成报文段并传递给下层接收端，负责把收到的报文段进行重组后递交给上层要求接收端对每个数据段进行确认，接收主机必须在一个指定的时间内返回一个ACK（确认），用于表明收到了数据，以保证可靠性；处理端到端的流量控制，以避免缓慢接收的接收方没有足够的缓冲区接收发送方发送的大量数据。TCP报文格式0816243116位源端口16位目的端口32位序列号32位确认号URGACKPSHRSTSYNFIN首部长度保留(6位)16位窗口大小16位TCP校验和16位紧急指针选项数据源和目的端口号指明发送进程和接收进程，这两个字段结合源IP和目的IP地址唯一地表示一条连接；32位的序列号表示数据部分第一个字节的编号；32位的确认号表示接收方下一次希望接收的数据序列号，隐含意义是序号小于确认号的数据都已正确接收；16位的窗口值通知对方自己可以接收数据的大小，告诉对方从被确认的字节算起可以发送多少字节，当窗口大小为0时，表示接收缓冲区已满，要求对方暂停发送数据，此字段用来进行流量控制。TCP的三次握手TCP是通过“三次握手”来保证源和目的端的两个进程之间能可靠地建立连接的，三次握手的目标是使数据段的发送和接收同步。同时也向其他主机表明其一次可接收的数据量（窗口大小），并建立逻辑连接。TCP三次握手建立连接的过程：参阅教材图1-13分析UDP协议UDP，用户数据报协议，是一种不可靠的、无连接的传输协议。UDP报文格式：0816243116位源端口16位目的端口16位UDP校验和数据16位UDP长度UDP是一种简单协议，没有确认、重传等可靠机制数据报的到达和传送包的正确顺序都不能被保证，可靠性问题必须由上层协议来完成UDP主要用于不需要对报文进行排序和流量控制、无须应答且通常一次只传送少量数据的的传输环境，另外，UDP协议也应用于那些对可靠性要求不高，但要求网络的延时较小的场合，如话音和视频数据的传送。1.1.4数据传输流程数据包在网络中的传输主要与路径选择以及数据的封装和解封装等有关，期间还需要进行地址解析。

参看教材自学，分析主机远程登录服务器的数据封装过程。层次化模型中数据的流动应用层传输层网络层数据链路层物理层主机A应用层传输层网络层数据链路层物理层主机B数据的封装和解封装1.2.1TCP/UDP端口号传输层协议用端口号来标识和区分各种上层应用服务程序的。在TCP/IP协议栈中，端口号是0～65535之间的整数。套接字（Socket）＝IP＋端口号HTTPFTPTelnetSMTPDNSTFTPSNMPTCPUDPIP数据包套接字8020/2123255369161路由器的配置与管理任务10运行路由协议实现企业网网段互通学习目标衡量路由的参数管理距离与度量值路由收敛路由选择协议RIP路由OSPF路由动态路由配置学习完本任务，应该能够掌握：动态路由静态路由具有简单、高效、可靠性，但不能适应网络拓扑的变化，当网络规模较大时，网管员手工配置路由的工作量很大。动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由表的过程。能实时地适应网络拓扑的变化，自动更新路由表适用于网络规模大、拓扑复杂的网络占用网络带宽和cpu资源动态路由协议：RIPOSPF路由优先级（Preference，管理距离）优先级最高的协议获取的路由被优先选择加入路由表中。RIPOSPFR0R1R1路由表路由来源缺省的管理距离直连的路由0以出接口为出口的静态路由0以下一跳为出口的静态路由1外部BGP20OSPF110IS-IS115RIP（v1和v2）120EGP140内部BGP200设备中不同路由协议的管理距离缺省设置值路由的花费（度量值，Metric）路由的花费标示出了到达这条路由所指的目的地址的代价，通常以下因素会影响到路由的花费值。线路延迟、带宽、线路占有率、线路可信度、跳数、最大传输单元等静态路由的花费值为0。不同的动态路由协议会选择以上的一种或几种因素来计算花费值。该花费值只在同一种路由协议内有比较意义。不同的路由协议之间的路由花费值没有可比性，也不存在换算关系。路由收敛

动态路由协议的运行包含一系列过程：路由器向其它路由器通告本地的直连网络，接收并处理来自其它路由器的路由更新信息，定义决策最优路径的度量等。同一网络中的每个路由器对整个网络拓扑结构有一致的认识，这样一种状态称为收敛。收敛时间成为衡量路由选择协议好坏的一个重要指标，在拓扑发生变化之后，一个网络的收敛速度越快，说明路由选择协议越好。路由协议分类距离矢量路由选择协议RIPBGP链路状态路由选择协议OSPFIS-ISRIP路由协议RIP协议距离矢量路由协议收集所有可到达目的地的不同路径保存有关到达每个目的地的最少站点数的路径信息把所收集的路由信息用RIP协议通知相邻的其它路由器只适用于小型的同构网络，因为它允许的最大跳数为15RIP路由发现的过程/24/24/24/24/24/24R1R2R3目的网络下一跳跳数00目的网络下一跳跳数00目的网络下一跳跳数00目的网络下一跳跳数001目的网络下一跳跳数0011目的网络下一跳跳数001目的网络下一跳跳数0012目的网络下一跳跳数0011目的网络下一跳跳数0012t0t1t2RIP配置配置路由器A的两个直接连接网段参与RIP协议进程

启动RIPRouterA#configRouterA_config#routerripRouterA_config_rip#version2//设置RIP协议的运行版本为2，默认为1向相连路由器宣告直连网段RouterA_config_rip#networkRouterA_config_rip#networkRIP动态路由分别在R1、R2、R3上：清除所有静态/缺省路由添加动态路由noiprouterouteripnetworkOSPF路由协议OSPF路由协议链路状态的路由协议每个路由器向其同一管理域的所有其它路由器发送链路状态广播信息路由器首先必须收集有关的链路状态信息根据一定的算法计算出到每个节点的最短路径特点：

可适应大规模网络路由变化收敛速度快如果网络的拓扑结构发生变化，OSPF立即发送更新报文无路由自环支持变长子网掩码VLSM支持区域划分提供路由分级管理支持以组播地址发送协议报文OSPF划分区域Area2Area1Area0OSPF单区域配置启动路由器A中的OSPF协议进程，进程号为1RouterA#configRouterA_config#routerospf1配置路由器A的两个直连网段以区域0的方式参与OSPF协议进程RouterA_config_ospf_1#networkarea0RouterA_config_ospf_1#networkarea0局域网接入Internet任务11广域网的接入技术学习目标广域网接入类型广域网链路协议HDLCPPP协议及认证PAPCHAP广域网链路协议封装配置学习完本任务，应该能够掌握：广域网接入类型企业在选择广域网连接会关心有哪些解决方案以及相应的成本。拨号连接的模拟调制解调器和ISDN、ATM、DDN、帧中继、DSL、X.25、无线（包括微波、卫星、蜂窝）等每种解决方案在成本和技术参数上都不相同1、DDNDigitalDataNetwork

，数字数据网。DDN包含了数据通信、数字通信、数字传输、数字交叉连接、计算机、带宽管理等技术，可以为客户提供专用的数字数据传输通道，为客户建立自己的专用数据网提供条件，深受广大各户的青睐。DDNDDN的优点传输速率传输质量高、时延短灵活的连接方式网络安全性高可以方便地为用户组建VPN网络运行管理简便DDN的不足DDN需要租用一条专用通信线路，租用费用太高2、ISDNIntegratedServiceDigitalNetwork，即综合业务数字网。它利用公共电话网向用户提供了端对端的数字信道连接，用来承载包括语音和非语音的各种业务。ISDN俗称“一线通”，它有两种速率接入方式：基本速率接口（BRI），由2个带宽64kbps的B信道，和一个带宽16kbps的D信道组成。三个信道设计成2B+D速率接口（PRI），由30个B信道和一个带宽64Kbps的D信道组成ISDNISDN优点：业务实现方便综合的通信业务适宜的性价比ISDN的不足速度不够快费用较高3、X.25X.25是一种分组交换网，以虚电路服务为基础，最适用于异步、不稳定的连接。X.25的优点经济实惠，易于安装和维护是面向连接的，传输可靠性高、适用于误码率较高的通路X.25的不足协议复杂、时延大分组长度可变，存储管理复杂4、帧中继frameRelay，是一种在分组交换网的基础上，结合数字专线技术而产生的数据业务网络。帧中继一般使用光纤作为传输介质，因此误码率极低，能实现近似无差错传输。X.25的优点经济实惠，易于安装和维护是面向连接的，传输可靠性高、适用于误码率较高的通路X.25的不足协议复杂、时延大分组长度可变，存储管理复杂帧中继帧中继的优点与X.25相比，提高了传输速度采用了PVC即永久虚电路技术采用了统计复用技术用户费用相对经济帧中继的不足缺少纠错机制无流量控制功能不适合传输实时信息广域网链路协议HDLC，高级数据链路控制PPP，点到点协议1、HDLCHDLC，High-LevelDataLinkControl，高级数据链路控制。应用在同步网上传输数据、面向比特的数据链路层协议。HDLC的特点：参阅教材神州数码DCR系列路由器以及Cicso路由器系列的串口默认封装HDLC协议。2、PPPPPP，PointtoPointProtocol，点到点协议。PPP是被认可的互联网标准协议，目前得到最广泛的应用。PPP是一种分层协议LCP（LinkControlProtocol，链路控制协议）NCP（NetworkControlProtocol，网络控制协议）PPP的特点：参阅教材PPP的认证PAP和CHAPPPP的PAP认证PAP认证主要是通过使用2次握手提供一种对等节点的建立认证的简单方法。两次握手验证，口令为明文，PAP验证的过程如教材图11-1所示。如果点对点的两端设备采用的是PAP双向认证时，即它同时也作为验证方，则需要双方的两个单向验证过程都完成后，方可进入到网络层协议阶段。

PPP的CHAP认证CHAP认证CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密。使用三次握于机制来启动一条链路和周期性地验证远程节点，不直接传送用户口令，CHAP验证的过程如教材图11-2所示。

广域网链路协议封装配置具体配置命令参阅教材局域网接入Internet任务12网络接入中的NAT技术学习目标网络地址含义NAT技术NAT配置学习完本任务，应该能够掌握：问题1企业网内部使用私网地址，现申请了几个公网地址要求：在共网上发布Web服务器，使得外网用户能访问该Web服务器某企业网络的一部分问题2某企业网络的一部分企业网内部使用私网地址，现申请了几个公网地址要求：企业内网用户能访问外网地址耗尽与网络地址转换IP地址（IPv4）ClassA：1-126ClassB：128-191ClassC：192-223在目前的网络连接中，企业申请到的IP地址都很有限，不能满足内网用户每个终端分配的需要。IPv6逐步替代IPv4在现有的IPv4中保留部分地址供内网使用，所有内网用户都可以反复使用这部分地址，但不可以在公网上被路由。NAT技术NAT私有地址：公网地址必须被注册私有地址被保留，并可以被任何人反复使用。NAT技术网络地址转换或网络地址翻译，是指将网络地址从一个地址空间转换为另一个地址空间的行为。

NAT将网络划分为内部网络（inside）和外部网络（outside）两部分，局域网主机利用NAT访问网络时，是将局域网内部的本地地址转换为全局地址（互联网合法IP地址）后转发数据包。NATNAT技术中的几个术语：内部本地IP地址（Insidelocaladdress）：分配给内部网络上一个主机的IP地址，通常是网管人员自己定义的私有地址。内部全局IP地址（Insideglobaladdress）：分配给内部主机的一个合法的公共地址，当NAT转换时。用于替代内部本地地址出现在外部网络上的地址。外部本地IP地址（Outsidelocaladdress）：分配给外部主机用于NAT处理的地址，是用来代替外部全局地址而出现在内网的地址。外部全局IP地址（Outsideglobaladdress）：外部网络上主机所注册的公共IP地址。NAT转换类型静态NAT(StaticNAT)一个本地地址对应一个全局地址动态NAT(PooleNAT)

定义一个合法的全局地址池一个本地地址对应全局地址池中的一个地址网络地址端口转换PAT(Port-LevelNAT)多个本地地址对应一个全局地址NAT转换类型1.静态NAT

内部主机地址被永久地一对一映射成到外部主机地址

应用场合:利用NAT实现外网主机访问内网服务器

NAT转换类型2.动态NAT定义一个合法的ip地址池内部主机使用地址池中的公网地址来映射应用场合:利用NAT实现内网主机访问互联网

NAT转换类型3.网络地址端口转换NAPT端口复用的特征是内部多个私有地址通过不同的端口被映射到一个公网地址应用场合:利用NAT实现内网主机访问互联网

NAT应用的优缺点地址转换的优点：节省了公共合法IP地址能够处理地址重复的情况增加了灵活性，消除了地址重新编号隐藏了内部的IP地址，提高了网络安全性地址转换的缺点：每条连接增加了延迟故障排除更加困难并非所有应用都能使用地址转换路由器中NAT的实现定义需要进行转换的特征数据定义地址转换的入口和出口定义在转换条件满足时，进行转换的方式具体内容参阅教材问题1企业网内部使用私网地址，现申请了几个公网地址要求：在共网上发布Web服务器，使得外网用户能访问该Web服务器某企业网络的一部分1、静态NAT配置实例指定连接外网的外部端口：ipnatoutside指定连接内网的内部端口ipnatinside在内部本地地址与内部合法地址之间建立静态地址转换ipnatinsidesourcestatic内部本地地址全局合法地址某企业网络的一部分静态NAT配置实例定义内接口interfacef0/0ipnatinside定义外接口interfaces0/0ipnatoutside建立静态地址转换ipnatinsidesourcestatic某企业网络的一部分静态NAT配置实例在R2上进行如下配置：定义内接口interfacef0/0ipnatinside定义外接口interfaces0/0ipnatoutside建立静态地址转换ipnatinsidesourcestatic某企业网络的一部分静态NAT配置实例检查配置结果在pc1上执行ping操作

ping在R2上查看转换结果查看转换的统计信息showipnattranslations查看活跃的转换信息debugipnat清除NAT转换表中所有的动态地址转换条目clearipnattranslation*某企业网络的一部分静态NAT配置验证Showipnattranslations问题2某企业网络的一部分企业网内部使用私网地址，现申请了几个公网地址要求：企业内网用户能访问外网2、动态NAT配置实例某企业网络的一部分1、指定连接外网的外部端口：ipnatoutside2、指定连接内网的内部端口ipnatinside3、定义全局的合法地址池（可以不定义）ipnatpool地址池名称起始地址终止地址netmask子网掩码4、定义一个access-list规则以允许哪些地址可以进行动态地址转换Access-list访问列表号permit源地址通配符5、建立地址转换ipnatinsidesourcelist访问列表号pool地址池名动态NAT配置实例某企业网络的一部分在R1上进行如下配置：1、指定连接外网的外部端口interfaces0/0ipnatoutside2、指定连接内网的内部端口interfacef0/0ipnatinside动态NAT配置实例某企业网络的一部分3、定义内部合法地址池ipnatpoolabc

12.12.12.312.12.12.10netmask4、定义一个access-list规则以允许哪些地址可以进行动态地址转换access-list1permit555、建立地址转换ipnatinsidesourcelist1poolabc动态NAT配置验证Showipnattranslations动态NAT配置深入研究如果我们已经用完地址池中的地址，将发生什么事情？NAT转换失败，并将丢包3、网络地址端口转换NAPT配置某企业网络的一部分在R1上进行如下配置：1、指定连接外网的外部端口interfaces0/0ipnatoutside2、指定连接内网的内部端口interfacef0/0ipnatinside3、网络地址端口转换NAPT配置某企业网络的一部分3、定义内部合法地址池（可以不定义）ipnatpoolabc12.12.12.312.12.12.10netmask4、定义一个access-list规则以允许哪些地址可以进行动态地址转换access-list1permit555、建立地址转换ipnatinsidesourcelist1poolabcoverloadipnatinsidesourcelist1interfaces0/0

overloadPAT配置验证验证Showipnattranslations网络安全设计任务13交换机端口安全学习目标端口安全端口安全技术端口安全配置学习完本任务，应该能够掌握：端口安全概述当网络中某机器由于中毒进而引发大量的广播数据包在网络中泛洪时，此时网络管理员希望尽快地找到根源主机并把它从网络中暂时隔离开。利用交换机的端口安全特性，可以实现网络安全接入，这有助与网络管理员快速定位根源主机并将其从网络中隔离。端口安全概述正常情况下，用户可在任何位置随意接入网络。但是，有些情况下为了安全和便于管理，需要限制特定设备只能从特定端口接入网络。端口安全是一种基于MAC地址的安全机制，这种机制通过检测数据帧中的源MAC地址来控制非授权设备对网络的访问。端口安全的功能：只允许特定MAC地址的设备接入到网络中，防止用户将非法或未授权的设备接入到网络限制端口接入的设备数量，防止用户将过多的设备接入到网络端口安全违规处理一个端口配置为安全端口后，当出现以下任一情况时就会发生安全违规：最大安全数目mac地址表外的一个mac地址试图访问这个端口一个mac地址被配置为其它接口的安全mac地址的站点试图访问这个端口安全违规的三种模式：

protect（保护）

restrict（限制）

shutdown（关闭）端口与地址绑定技术使用端口绑定技术后，使得用户只有连接在固定的端口才可以通信。端口与地址绑定的实现方法有很多，一般有静态和动态之分：静态安全MAC地址使用接口命令switchportport-securitymac-address<mac地址>配置所有的安全MAC地址动态安全MAC地址使用命令动态配置安全mac地址，由交换机自行转换（即动态实现）为了增强安全性，还可以将MAC地址和IP地址绑定起来作为安全地址。端口安全配置参阅教材网络安全设计任务14访问控制列表学习目标ACL定义ACL作用ACL工作流程ACL类型ACL配置学习完本任务，应该能够掌握：为什么使用ACL当网络访问增长时，管理IP通信当数据包通过路由器时，起到过滤作用访问控制列表概述ACL：AccessControlList，访问控制列表是一系列运用到路由器接口的指令序列(即列表)这些指令告诉路由器哪些数据包可以通过、哪些数据包需要拒绝；通过或拒绝是根据一定的规则进行的，如源地址、目标地址、端口号等判断。一个ACL列表中可以包含多个指令，指令放置的顺序很重要。路由器上默认是没有ACL的，也就是说，默认情况下任何数据包都可以通过。ACL工作原理每个ACL语句有两个组件：条件和操作条件基本上是一个规则，定义了要在数据包内容中查找什么来确定数据包是否匹配，每条ACL语句中只可以列出一个条件，但是可以将多个ACL语句组合在一起形成一个列表或策略。当ACL语句条件与比较的数据包内容相匹配时，可以采取两种基本的操作：允许（permit）拒绝（deny）在每个ACL最后都有一条看不见的语句，成为“隐式的拒绝”语句。1、ACL语句ACL工作原理IOS按照各描述语句在ACL中的顺序，将收到的数据包内容与ACL语句依次进行比较。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。2、ACL指令组执行流程ACL工作原理IOS是自上而下处理列表中的语句，一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。ACL语句的顺序很重要。定义列表（即设置过滤规则）时，一般遵循从条件约束性最强的到约束性最弱的顺序列出它们。分析下列两列表定义的含义（网段A包含主机b）：3、ACL中语句顺序列表1定义：拒绝网段A

允许主机b

列表2定义：允许主机b

拒绝网段AACL工作原理inout进入的分组可路由？有

ACL？ACL允许？查询路由表选择外出接口有

ACL？允许？向外转发是否是是是是否否否否4、ACL工作流程ACL类型标准访问控制列表利用源IP地址来做过滤决定，配置简单，但应用场合有限，不能进行复杂条件的过滤；表号范围1-99扩展访问控制列表可利用多个条件来做过滤，如：源IP、目标IP、网络层的协议字段、传输层的端口号等；表号范围100-199ACL作用1、限制网络流量、提高网络性能2、提供对通信流量的控制手段3、提供网络安全访问的基本手段4、在路由器接口处，决定哪种类型的通信流量被转发或被阻塞ACL的一些相关特性

每一个接口可以在进入（Inbound）和离开（Outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL。

ACL语句包括两个动作，一个是拒绝（Deny），一个是允许（Permit）。在路由器接口接收到报文时，应用在接口进入方向的ACL（内向ACL）起作用。在路由选择决定以后，数据准备从某一个接口输出报文时，应用在接口离开方向的ACL（外向ACL）起作用。每个ACL的结尾有一个隐含的denyany（拒绝所有数据包）语句。因此，如果数据包不匹配ACL中的任何语句，将被拒绝，所以一般在最后写一句permitany。ACL配置第一步是配置访问控制列表语句第二步是把配置好的访问控制列表应用到某个接口上。第一步，配置访问控制列表编号列表法access-list<num>{permit|deny}<数据包特征定义>标准访问列表num：1——99的编号数据包特征定义：源地址反掩码扩展访问列表Num：100——199的编号数据包特征定义：协议源地址反掩码目标地址反掩码参数命名列表法ipaccess-list{standard|extended}{num|word}deny|permit<数据包特征定义>第二步，访问控制列表应用到接口上interface<接口>ipaccess-group<num|name><out|in>PC1PC2RF0/0F0/1inoutinout用扩展ACL检查数据包常见端口号通配符掩码（思科）

通配符掩码掩码的二进制形式描述00000000.00000000.00000000.00000000整个lP地址必须匹配5500000000.00000000.00000000.11111111只有前24位需要匹配5500000000.00000000.11111111.11111111只有前16位需要匹配5500000000.11111111.11111111.11111111只有前8位需要匹配5511111111.11111111.11111111.11111111全部不需要匹配5500000000.00000000.00001111.11111111只有前20位需要匹配5500000000.00000000.00000011.11111111只有前22位需要匹配IP地址与通配符掩码的作用规则（思科）

IP地址与通配符掩码的作用规则是：32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配，通配符掩码为1的位所对应的IP地址位不必匹配例如：55IP地址相应的二进制为11000000101010000000000100000001通配符掩码 55相应的二进制为00000000000000000000000011111111该通配符掩码的前24位为0，对应的IP地址位必须匹配，即必须保持原数不变，该通配符掩码的后8位为1，对应的IP地址位不必匹配，即IP地址的后8位可以为任意值。IP地址和通配符掩码55匹配的结果是这个网段内的所有主机。0、0、、0哪些与上述条件匹配两个特殊的关键字（思科）

Host：表示一种精确匹配，是通配符掩码的简写形式。例如，只检查IP地址为0的数据包，可使用以下两种ACL语句。access-list10permit0access-list10permithost0Any：表示全部不进行匹配，是通配符掩码55的简写形式。例如，允许所有的IP地址的数据都通过，可使用以下两种ACL语句。access-list10permit055access-list10permitany访问控制列表配置的注意事项注意访问控制列表中语句的次序，尽量把作用范围小的语句放在前面。新的表项只能被添加到访问表的末尾，这意味着不可能改变已有访问表的顺序。如果必须要改变，只有先删除已存在的访问控制列表，然后创建一个新访问控制列表，将新访问控制列表用到相应的接口上。标准的IP访问控制列表只匹配源地址，一般都使用扩展的IP访问控制列表以达到精确的要求。标准的访问控制列表尽量靠近目的，扩展的访问控制列表尽量靠近过滤源的位置，以免访问控制列表影响其他接口上的数据流。在应用访问控制列表时，要特别注意过滤的方向。在ACL中所有未被允许的都是被拒绝的，所以允许的内容一定要写全面。网络基础知识回顾任务2IP地址与子网划分学习目标IP地址地址格式及分类特殊地址私有地址子网划分子网掩码子网划分方法学习完本任务，应该能够掌握：2.1.1IP地址参看教材任务2回顾下列内容：

IP地址（格式、分类）？？

IP地址规划？？思考1TCP/IP设置TCP/IP协议是Windows的默认网络协议，也是Windows正常运行、实现所有功能所必需的协议。TCP/IP协议配置包括一系列参数，如IP地址、子网掩码和默认网关的。在大规模的网络中也可以使用DHCP服务（动态主机配置协议）来简化TCP/IP参数的设置。1、IP地址在以TCP/IP为通信协议的网络上，每台主机都有唯一的IP地址，IP地址用来唯一标示一台主机，也隐含着网络间的路径信息。IP地址的两级结构：由网络号和主机号两部分组成同一网络内：网络号相同，主机号需不同不同网络内：网络号不同，主机号可相同IP地址表示二进制：在IPv4中用32位二进制表示，而IPv6中用128位二进制表示；在IPv4中习惯用4个十进制数来表示32位IP地址，每个数字之间用点隔开，例如：；在IPv6中习惯用32个十六进制数来表示128位IP地址，每4位之间用冒号隔开，例如：3FFE:FFFF:7654:FEDA:1234:BA78:3210:4562IPV4地址分类为了方便管理，将IP地址分为A、B、C、D、E五类。A类地址的第一字节十进制范围1～126。第一字节二进制范围应为00000000～01111111，转换为十进制数即为0～127，但由于全0不允许使用，127作为测试TCP/IP协议的环回地址，也不可以使用。每个网络中可容纳主机数都是申请的IP地址减去2。网络地址：网络位不变，主机位全0的IP地址代表网络本身，不能分配给某个网络设备使用。广播地址：网络位不变，主机位全1的IP地址代表本网络的广播，也不能分配给某个网络设备使用。发往广播IP地址的数据包被本网络中的所有主机接收。特殊IP地址网络部分主机部分地址类型用途127any全“0”全“1”Any全“0”Any全“1”网络地址代表一个网络直接广播地址特定网络的所有节点环回地址回环测试有限广播地址本网络所有节点所有网络一般用于指定默认路由2个特有地址：169.254.x.x

，DHCP发生故障

组播地址，到55

公有地址和私有地址32位寻址方案（IPv4）表示的IP地址的数量是有限的，几近枯竭，不足以支持越来越多加入Internet的主机和网络数。私有地址只能在LAN内部使用，因特网上的路由器不会处理该地址范围：A：-55B：-55C:-55IP地址规划原则同一网络内：网络号相同，主机号不同；不同网络：网络号不同，主机号可相同；特殊地址：主机号不能全0，也不能全1；私有地址只能在LAN内部使用2、子网划分所谓子网，是把单一网络划分为多个物理网络，并使用路由器将其互联起来。

两层结构IP地址的低效性IP地址资源浪费严重如一个公司有一个需要300个IP地址的物理网络分配B类地址IP网络数量不敷使用如一个公司拥有100个物理网络，每个网络需要10个IP地址分配100个C类地址，地址浪费的同时IP网络数量不能满足Internet的发展需要业务扩展缺乏灵活性如一个公司已有1个C类地址，只使用了10个地址现要增加一个需要5个IP地址的物理网络在没有得到IANA分配的新地址前，无法部署该网络接入Internet无法应对Internet的爆炸式增长子网划分子网的优点：提高系统的可靠性防止全网通信瘫痪增强系统的安全保障设置不同的访问权限便于系统的运行维护故障诊断和隔离IP子网划分的方法从两级结构IP地址的主机号部分借用若干位作为子网号，剩余的作为主机号这样拥有多个物理网络的机构可以将所属的物理网络划分为若干个子网子网划分属于机构的内部事务，外部网络不必了解。主机号网络号

子网划分前的两级IP地址:

子网划分后的三级IP地址:网络号主机号子网号网络地址子网掩码如何区分这两个地址？子网掩码子网掩码用于识别IP地址中的网络地址和主机地址。子网掩码子网掩码构成：由32位二进制数构成，同样采用带点的十进制符号表示。原网络和子网位用二进制“1”表示，主机地址位用“0”表示计算机通过将IP地址和它的子网掩码进行二进制“与”运算，得出此IP地址所属的网络号。

掩码是掩码是掩码是

子网划分后的三级IP地址:网络号主机号子网号

子网掩码:1111…11110000…0000111…111网络号子网号主机号网络号是，主机号是156.2网络号是，主机号是28.2网络号是，主机号是2子网掩码子网掩码指出地址中哪些部分是网络地址，哪些是主机地址。当网络上的主机在相互沟通时，利用子网掩码和IP地址进行逻辑与来得知各自的网络号，进而得知彼此是否在相同的网络区域里。

子网划分后的三级IP地址:网络号主机号子网号

子网掩码:1111…11110000…0000111…111网络号子网号主机号子网掩码所有的网络都必须有一个掩码。如果没有划分子网，就使用默认掩码。默认的子网掩码为：

子网划分后的三级IP地址:网络号主机号子网号

子网掩码:1111…11110000…0000111…111网络号子网号主机号A类为/8B类/16C类为/24子网掩码划分子网时，随着子网地址借用主机位数的变化，子网掩码、子网的数目、每个子网中可用的主机数都会不同。随着子网地址借用主机位数的增多，子网的数目会增加，而每个子网中可用的主机数则会逐渐减少。

子网划分时主机位至少应保留2位。“按位与”操作

为了识别网络地址，TCP/IP对子网掩码和IP地址进行“按位与”的操作。划分子网的步骤

（1）确定要划分的子网数目以及每个子网的主机数目。（2）求出子网数目对应二进制数的位数N及主机数目对应二进制数的位数M。（3）对于该IP地址的原子网掩码，将其主机地址部分的前N位置l(其余全置0)即得出该IP地址划分子网后的子网掩码。（4）确定标识每一个子网的网络地址。（5）确定每一个子网上所使用的主机地址的范围。划分子网确定子网位数，计算子网掩码划分子网计算可用的网络地址

划分子网确定每个子网的主机地址范围

193.1.1.000xxxxx—0/27

193.1.1.001xxxxx23—2/27

193.1.1.010xxxxx45—4/27将一个C类网络用第四个字节的高三位扩展网络编号，进行子网划分。请分析可划分的子网个数、每个子网IP地址的范围及子网掩码。193.1.1.xxxxxxxxxxxxxxxx193.1.1.子网主机地址范围193.1.1.110xxxxx9293—22/27

193.1.1.111xxxxx2425—54/27

......子网掩码：255.255.255.224（/27）子网划分计算子网1：—0193.1.1.00000000111111子网2：3—2193.1.1.001000002111113子网3：5—4193.1.1.010000004111115子网4：7—26193.1.1.0110000061111127子网5：29—58193.1.1.10000000281111159子网6：61—90193.1.1.10100000601111191子网7：93—22193.1.1.11000000921111123子网8：25—54193.1.1.11100000241111155VLSM某公司的组织结构及部门的规模（主机数）。该公司计划用C类/24地址进行本公司的地址布局。VLSM在实际应用中，可能一个单位的各个网络包含不同数量的主机，此时需要创建不同规模的子网，以避免造成对IP地址的浪费。对于不同规模的子网划分称为变长子网划分，需要使用相应的变长子网掩码技术，即VLSM技术。

VLSM是指在同一个网络地址空间内使用一个以上的子网掩码。主要应用场合：把一个网络分为多个不同网络标识的子网时，每个子网的主机数不同，且相差很大对主机数比较多的子网采用较短的子网掩码对主机数比较少的子网采用较长的子网掩码VLSM应用采用了VLSM技术，将原主网络划分称为三级子网（考虑全0和全1子网）。

VLSM应用配置TCP/IP协议的相关参数鼠标右键单击“网上邻居”，选择“属性”/“网络和拨号连接”/“本地连接”/“属性”/“此连接使用下列选定的“组件”/“Internet协议(TCP/IP)”/“属性”交换机的配置与管理任务3管理交换机学习目标交换机工作原理地址学习转发与过滤交换机的管理认识交换机交换机的管理方式交换机的CLI界面学习完本任务，应该能够掌握：任务描述

所有的终端用户必须通过某个接入点接入网络。在企业和校园网环境中，交换机除了是汇接各种网络终端的重要设备，而且网络用户的很多功能需求也都是在交换机上实现的。网络维护人员和网络工程师都必须了解交换机的基础知识、掌握管理和维护交换机的基本操作等。初学者有必要先掌握设备配置命令的语法构成及使用技巧，这样才能更易掌握后面要介绍的一些特殊功能的命令使用。3.1.1冲突越与广播域广播域：一个站点发出一个广播信号后，能接收到这个广播信号的范围，即广播帧能到达的的所有设备的集合。冲突域：一个站点发出一个单播信号后，能接收到这个单播信号的范围，即单播帧能到达的的所有设备的集合。3.1.2交换机工作原理地址学习转发/过滤决定······端口16端口10端口2端口24交换机的数据转发过程假设PC1需和PC4通信；每个设备的MAC地址标注在图中。SwitchRouterPC1PC2PC3PC400-50-56-C0-00-0800-50-56-C0-00-0100-11-D8-9E-74-D400-53-45-00-00-0016

2

1024

MAC地址

端口

00-50-56-C0-00-0100-11-D8-9E-74-D400-50-56-C0-00-0800-53-45-00-00-00······端口16端口10端口2端口24交换机的数据转发过程假设PC1需和PC4通信；每个设备的MAC地址标注在图中。SwitchRouterPC1PC2PC300-50-56-C0-00-0800-50-56-C0-00-0100-11-D8-9E-74-D400-53-45-00-00-0016

2

1024

MAC地址

端口

00-50-56-C0-00-0100-11-D8-9E-74-D400-50-56-C0-00-0800-53-45-00-00-0000-53-45-00-00-0000-50-56-C0-00-01类型IP数据FCSNo!Yes!······端口16端口10端口2端口24SwitchRouterPC1PC2PC3PC400-50-56-C0-00-0800-50-56-C0-00-0100-11-D8-9E-74-D400-53-45-00-00-0016

2

1024

MAC地址

端口

00-50-56-C0-00-0100-11-D8-9E-74-D400-50-56-C0-00-0800-53-45-00-00-0000-50-56-C0-00-0100-50-56-C0-00-08···00-50-56-C0-00-0100-50-56-C0-00-08···00-50-56-C0-00-0100-50-56-C0-00-08···00-50-56-C0-00-0100-53-45-00-00-00···00-50-56-C0-00-0100-11-D8-9E-74-D4···？交换机MAC地址学习交换机MAC地址学习多交换机以太网络环境下的交换机MAC地址表

交换机MAC地址学习交换机和集线器混连环境下的交换机MAC地址表

以太网交换机通过内部的MAC地址表做出转发/过滤的决定MAC地址表存放在交换机的RAM中初始的MAC地址表为空MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD交换机的地址学习MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD交换机的接口收到数据帧后，通过读取帧中的源MAC地址，交换机将端口及其连接的主机映射起来，放入MAC地址表.查找MAC地址表，如没有相应的表项，交换机将该数据帧泛洪（flood）到所有其它的接口上.E0:0260.8c01.1111交换机的地址学习（续）MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCDE0:0260.8c01.1111E3:0260.8c01.4444

如果交换机连接的所有主机都发送过数据帧，就可以建立起一个完整的MAC地址表，交换机将据此做出转发/过滤的决定MAC地址表是动态变化的，如果在一定时间内某一主机没有新的数据帧发送，则相应的表项将被清除.E2:0260.8c01.2222E1:0260.8c01.3333交换机的地址学习（续）MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E