校园网网络设备高级原理与配置探讨毕业设计.doc

校园网网络设备高级原理与配置探讨校园网网络设备高级原理与配置探讨毕业设计目录摘要3目录4前言6第一章 TCP/IP通信基础8第一节 网络模型-8第二节 TCP/IP协议族-12第二章 ARP、Hub、VLAN原理29第一节 ARP工作原理-29第二节 Hub及二层交换机的工作原理-33第三节 VLAN原理-36第三章802.1Q Trunk/三层原理/静态路由/ACL38第一节 802.1Q相关概念-38第二节 三层交换相关原理-43第三节 路由基础及静态路由原理-48第四节 静态路由及默认路由-56第五节 访问控制列表（ACL）原理-59第四章 生成树原理/VRRP/端口聚合61第一节 STP原理-61第二节 RSTP原理-68第三节 MSTP原理-70第四节 虚拟冗余网关协议原理-72第五节 端口聚合原理及配置-74第五章 动态路由协议77第一节 动态路由协议相关基本概念-77第二节 RIP路由协议-78第三节 开放最短路径优先（OSPF）协议-82第六章 出口地址转换NAT97第一节 NAT原理-97第七章 结束语99参考文献：100附录：100 前言当今世界已进入信息时代，Internet成为21世纪最受关注的行业之一,它的飞速发展和在全球范围的普及应用正在给人类生活带来革命性变化。网络技术的发展也取得了巨大的成就,新技术层出不穷。正基于这个背景，产生了校园网网络设备高级原理与配置这个毕业设计课题。本课题由张国锋老师任指导老师。在课题开始初期，就确立了一个指导方针，即严格按照网络工程的要求，同时也兼顾系统集成过程中其自身的特殊性原则，认真完成每阶段的任务。在选题后，查阅了大量的文献资料，对目前数通领域的现状以及采用的技术进行了详细的研究，结合现有的资源，于2013年4月正式定题，课题定名为校园网网络设备高级原理与配置。随后经历了一个寒假和毕业实习后，于2013年4月底正式进入课题系统实质性的编写阶段。经过分析，主要针对在网络基础及应用比较广泛的技术进行总结探讨，旨在使人打好一个坚实的基础，夯实的地基才是建筑万丈高楼的第一步。在论文的写作过程中，严格按照论文写作规范的要求来写，首先是列写作大纲，然后在大纲的基础上撰写论文初稿，再根据指导老师对初稿审阅后提出的修改意见，完成论文的修改稿，修改稿通过后还对论文中各个细节进行适当的推敲修改，最后形成定稿。 第一章 TCP/IP通信基础 第一节 网络模型在一个网络中，各个厂商的各种网络设备、包括主机、服务器等其他终端之所以能够相互通信，协同工作，是因为所有设备都遵从相同的行为规则，这些行为规则的集合就构成了通信模型。两种主要的通信模型是国际标准化组织（ISO）制定的OSI参考模型和美国国防部制定的TCP/IP协议模型。OSI和TCPIP模型最主要的特点就是都使用了分层设计，也就是把网络要完成的功能划分到若干个相互关联和依赖的层中。其中OSI模型分为七层，从下而上依次是物理层、数据链路层、网络层、传输层、会话层、表示层、应用层，TCP/IP模型相对简洁，分为四层，对应OSI模型物理层和数据链路层的是网络访问层，然后是网络层和传输层，对应OSI模型中会话层、表示层、应用层的是应用层。如图：Internet应用的主要模型就是TCP/IP模型，而对于OSI七层模型来讲对大多数厂商的实现稍显复杂，但分层更精确。OSI模型只是一个参考模型，一般只是用作开发指南，实际上整个数据通信网络是建立在TCP/IP协议模型之上的。为了表述方便,把TCP/IP模型中的网络访问层细分为物理层和数据链路层。在TCP/IP模型中，每一层都定义了一些网络功能，这些功能是由特定的协议实现的。功能由协议完成，意味着一个特定的功能总是由某个协议完成的，甚至可能是由多个相互关联的协议配合完成的。在网络中部署配置某个协议，就是要实现一个特定的目的。那么对于学习网络的人来讲，以下内容就显得非常必要：如果需要的某个功能没有得到正常实现，就要考虑，是不是对应的这个协议出了问题，是没有按照协议规定正常发送、接收数据包呢，还是数据包的格式不正确。我们学习协议，总是先关注这个协议的作用是什么，用在什么地方解决什么问题，协议包如何发送和接收，接收后如何处理，会产生什么结果。正常运作需要什么条件。在以后的介绍中会始终贯穿这种思路。TCP/IP模型各层实现的特定的功能总结如图:无论是OSI模型还是TCP/IP 模型的设计思路实际都体现了以下两条原则：1、每层通过协议完成各自特定的功能，上层协议对下层透明传输。2、上层协议依赖下层提供服务。数据通信是由发送方、中间网络设备、接收方共同完成的。发送方由上而下逐层产生的数据，最终在物理层变成可以在介质上传输的信号，通过网络设备的传输，接收方接收后有一个由下而上逐层上交数据的过程。这个过程是在发送方、网络设备、接收方的相同层的相同协议之间发生的，把相同层相同协议之间协议包的交互叫做对等通信。每层产生的协议报文有各自的名称，比如传输层叫做段、网络层叫包，数据链路层叫帧，物理层叫比特。对等通信表表示如下图：了解对等通信之后我们又有了疑问，一台主机通过交换机路由器后与另一台主机通信过程中报文是如何封装交互的？事实上，源主机在发送数据之前，沿协议栈自上而下传递应用程序产生的信息。在传递的过程中，每层的协议都会把上层信息加上本协议的头部，组成一个协议数据单元PDU,而这个加协议头部的动作就叫做封装。这个封装的动作是由上而下逐层进行的，也就是说每一层都会把上层的协议包看成一个数据，加上本协议的头部，然后再交给下一层去处理。如图所示： 经过物理层后被编译为比特流在网络上传输，当到达要通信的主机后再从下至上经由物理层、数据链路层、网络层、传输层、应用层的协议解封装（又叫做拆封），最后将数据打印到屏幕。这样一次完整的数据通信便宣告完成。第二节 TCP/IP协议族TCP/IP模型由若干个相互关联的协议组成，这些协议组成了TCP/IP协议族。TCP/IP模型的网络访问层包括了OSI模型中物理层和数据链路层的全部细节，典型的包括LAN中的以太网协议、WAN中的PPP、帧中继协议等，而网络层则包括IP协议和它的两个重要的辅助协议：ARP协议和ICMP协议，传输层有两个协议：面向连接的TCP协议和无连接的UDP协议，应用层协议比较多，包括SMTP、FTP、DNS 、SNMP、HTTP、TELNET等。按照从上至下的顺序TCP/IP协议族的主要协议:应用层协议为TCP/IP模型之外的应用程序提供网络服务，不同的应用程序需要不同的应用层协议提供支持，例如：发送和接收邮件需要借助SMTP和POP3，而传输文件则需要借助FTP或者TFTP，访问WWW服务要借助HTTP，而HTTP中的域名又需要DNS协议进行解析，管理网络设备需要依靠SNMP协议，TELNET协议能够帮助远程登录设备。传输层在发送方和接收方之间提供端到端的传输服务.在TCP/IP协议族中，有两个传输层协议，TCP提供面向连接的、可靠的、有序的、流量控制的传输服务的，和它相对应的UDP协议，则提供无连接的、不可靠的、无序的、无流量控制的传输服务。两个协议各有优势，TCP协议主要用于一次性传输大量的数据的应用，比如FTP，SMTP、TELNET、HTTP都是基于TCP协议的,而UDP协议则用于多次少量数据的传输，尤其是实时性要求比较高的业务，比如TFTP、SNMP、DHCP协议以及视频、VOIP等应用。TCP和UDP之所以能提供两种截然不同的服务，是由于TCP和UDP协议定义了各自的协议报文，其中UDP报文头部由八个字节组成，而TCP报文，又叫TCP段，它的头部则由二十个字节组成。相对于TCP，UDP报文的优势在于头部小、传输效率高，不需要建立连接就可以直接传输数据，适合承载实时性的应用程序。但由于UDP没有解决可靠性，基于UDP的应用程序必须自己来解决可靠性。20个字节的TCP字段协议头部包含了更多的字段，通过这些字段，TCP协议能够为上层应用提供可靠的、有序的、具备流量控制的能力的传输服务，基于TCP的应用程序就不用考虑这些问题。TCP/UDP报文格式如图： 在同一台主机上，可能会同时运行多个应用程序和它的进程（每加载的一个应用程序），传输层通过端口来区分这些应用程序和它们的实例。在如图所示的图中，主机A上的用户使用telnet程序远程登录主机B,使用IE浏览器浏览主机C的网页。telnet和http协议作为应用层协议，在传输层都由TCP协议承载，为了区分这两个进程产生的数据，TCP通过源端口1028，目标端口23标识主机A远程telnet主机B的数据，通过源端口1050，目标端口80标识主机A访问主机C的WWW服务的数据。在这里，1028，1050都是由源主机从系统中未使用的而且大于1024的端口号中随机分配的，标识发送方的进程，而目标端口则按照规定使用了知名端口，以便接收方能够正确处理。 常见协议对应的知名端口号，其中80端口标识HTTP协议产生的数据，53对应DNS，SMTP和POP3分别对应25和110，FTP的数据连接和控制连接的端口号分别是20和21。这些端口就是一个协议的数据区别于其他协议的特征，在后续做安全控制时，经常要通过端口号挑选并控制特定数据的传输。常见协议端口号如图：使用netstat查看正在使用的端口号。查看端口号：TCP协议特点： 基于TCP的应用在传输数据之前必须先由TCP建立连接，在传输过程中由TCP解决可靠性、有序性，进行流量控制，传输结束后由TCP拆除连接 通过头部字段的值完成协议的功能：TCP头部字段： 源端口标识发送方的进程，目的端口标识接收方的进程。 序号保证数据传输的有序性，确认号对收到的数据进行确认。 Flag字段(8位) ACK 确认号标志，置1表示确认号有效，表示收到对端的特定数据。 RST 复位标志，置1表示拒绝错误和非法的数据包，复位错误的连接。 SYN 同步序号标志，置1表示同步序号，用来建立连接。 FIN 结束标志，置1表示连接将被断开，用于拆除连接。 Option字段 MSS 最大段大小，通过置位，协商能承载的TCP数据的大小。建立连接过程：TCP是面向连接的，TCP在传输数据之前必须先建立连接为建立连接，两台主机的初始序列号SYN必须同步,同步是通过交换三个TCP报文完成的，和正常的TCP报文不同的是，这个TCP报文FLAG位中的SYN置位为1，表示要和对方协商同步SYN，我们把这个过程叫做三次握手建立连接。如图所示1、PC1发送到第一个报文SYN置位为1，序列号是由PC1随机厂商的，序列号为A。2、PC2收到PC1发送到报文后，在回应的报文中把ACK置位，确认号置位为a+1，表示知晓了PC1的初始序列号，同时把SYN置位，把自己的随机序列号b告诉PC1。3、PC1收到报文，在回应的报文中也通过ACK的置位和确认号表示知晓了PC2的初始序列号。通过双方交换的这三个报文，完成TCP初始序列号的同步，预留了资源，建立了连接，就可以开始传输数据。建立连接后，所有数据的ACK位都会置位。基于TCP协议的应用层协议必须经过三次握手建立连接后才能进行通信。数据传输： 通过序号解决传输数据的有序性，通过序号和确认号解决可靠性。 发送方通过序号对传输的数据的第一个字节进行编号。 接收方通过确认号表达期待接收到数据的序列号。 如果在规定时间内没有收到对已发送数据的确认，则进行重传。 窗口表示接收方的接收能力。 在传输的过程中，如果数据丢失，窗口减半。 接收方通过动态调整窗口的大小进行流量控制。 最简单的的肯定确认协议传输数据的情况： 在送出一个分组时发送方打开定时器，当定时器超时（确认信息还没回来），发送方就认为这个分组丢失因而进行重传。出现分组丢失和损坏的情况如图：拆除连接：经过四次握手拆除连接。网络层提供主机到主机的传输服务，这种服务是由IP协议提供的,ICMP辅助IP工作，提供出错和控制信息，而ARP协议在以太网中提供IP地址和MAC地址之间的映射。IPv4报文，又叫IPv4包，由20个字节的头部加上数据部分组成IPv4头部通过协议号标识被IP封装的数据是哪种协议，ICMP TCP UDP的协议号分别是1 6 17.在网络层，通过IPv4地址标识不同的主机或者同一设备不同的三层接口。其中，源IP表示发送方的主机，这个地址必须是一个单播地址，而目的IP则表示接受方的主机，这个地址可以是单播、广播或者组播地址。 IPv4头部字段：1、服务类型及优先级QOS时用于标记数据优先级，IP优先级3位，DSCP6位2、标识符标识不同的IP报文，同一IP报文的所有分片具有相同的标识符3、标志用于分片标志，DF=1表示不允许分片，DF=0表示允许分片；MF=1表示后面还有分片，MF=0表示这是最后一个分片4、片偏移表示本分片在IP报文中的相对位置5、存活时间 TTL 每经过一个路由器TTL-1,为0则丢弃该报文服务类型及优先级每层协议报文都有特定的名称，传输层一般叫做UDP报文或者TCP段，网络层叫做IP包，而数据链路层的协议包一般叫做帧。数据链路层通过介质在相邻节点间提供数据传输服务。由于存在种类繁多的物理介质，因此在数据链路层定义了不同的数据链路层协议，定义了帧的类型及介质访问方式。在局域网中，IEEE组织通过802.2和802.3定义了一系列协议，而网络中，则定义了HDLC，PPP、帧中继等协议。 Ethernet II的帧格式一个正常的以太网帧的长度在64-1518字节之间，由头部、数据部分和帧检测序列三部分组成头部中源MAC标识发送方的节点，目标MAC标记接收方的节点，类型标识被以太网帧承载的数据是哪种协议，帧检测序列则通过CRC值检测以太网数据帧在传输过程中是否受到破坏。 MAC地址：1、在局域网中，硬件地址又称为物理地址，或 MAC 地址。 2、IEEE 的注册管理机构 RA 负责向厂家分配地址字段的前三个字节(即高位 24 位)。3、地址字段中的后三个字节(即低位 24 位)由厂家自行指派，称为扩展标识符，必须保证生产出的适配器没有重复地址。4、MAC地址的长度为48位（6个字节），通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D5、一个地址块可以生成224个不同的地址。这种 48 位地址称为 MAC-48，它的通用名称是EUI-48。6、“MAC地址”实际上就是适配器地址或适配器标识符EUI-48。7、适配器从网络上每收到一个 MAC帧就会首先用硬件检查 MAC 帧中的 MAC 地址.如果是发往本站的帧则收下，然后再进行其他的处理。否则就将此帧丢弃，不再进行其他的处理。8、“发往本站的帧”包括以下三种帧： 单播(unicast)帧（一对一）广播(broadcast)帧（一对全体）多播(multicast)帧（一对多） 网络设备对数据的处理基于它所处的层次：寻址与地址映射：在协议包的头部，很重要的一个字段就是地址。在通信模型中，通过地址来表示不同的设备或者同一个设备的不同接口，不同协议有不同的地址，这些地址的表现形式不同。我们可以把时隙和信道理解为物理层的地址。数据链路层中，如果是以太网协议，使用48位的mac地址，而帧中继协议使用DLCI作为地址，ATM使用VPI/VCI作为地址。网络层，现在遇到的一般是32位的IPv4地址或者是128位的IPv6地址。传输层，不管是TCP还是UDP，都是使用端口号作为地址。主机名或者URL是应用层的地址。在发送方由上而下进行封装时，经常要根据一个协议的地址获得另外一个协议对应的地址，否则无法正确封装，导致通信失败。比如我们在IE浏览器中输入这个域名，但这个地址必须由DNS协议解析为对应的IP地址，才能封装为IP包，而IP地址又必须由ARP协议解析为对应的MAC地址，才能封装为以太网帧。ARP、DNS、WINS这些辅助性协议统称为地址解析协议。第二章 ARP、Hub、VLAN原理第一节 ARP工作原理 假设同一宿舍的A要传输给B一部刚下载的电影，那么在这个过程中数据是怎么通过PCA传给PCB的？从TCP/IP的封装过程和以太网数据帧格式这两个方面分析，需要以下几步：第一步：PCA将需要传输的数据以TCP/IP协议格式进行封装。 在封装过程中，源端口随机分配大于1024还未被其它应用程序占用的端口，目的端口为FTP协议数据端口20。目的IP可以提前获取或者从收到的数据包中提取。而目的MAC地址是如何获取的？ 第二步：ARP协议自动解析目的IP所对应的目的MAC。当PCA不知道PCB的MAC时，以太网帧便无法完成封装，此时，PCA会发出ARP查询报文来请求PCB的MAC是多少。那么ARP报文是如何获得PCB的MAC？它是二层报文还是三层报文？这就要求了解ARP协议。ARP协议是数据链路层协议，是一个二层报文，因此没有IP头部及以上的信息。由于不知道目的MAC地址，因此ARP查询报文的目的地址为全F的广播MAC地址。如图ARP协议发出查询报文请求PCB的MAC：从图中可以看出，ARP协议查询报文目的地址为广播，还可以看到Sender MAC address、Sender IP address、Target MAC address、Target IP address四个字段值。没错，ARP报文的工作机制就依赖这四个字段。第三步:被请求的PCB返回ARP响应报文。但是由于ARP查询报文为广播，那么由谁来响应请求呢？答案就在第二步中所提到的四个字段中，只有IP地址为Target IP address字段中的值的PC进行响应，其它PC将收到的报文丢弃，不进行回应。在响应时，PCB将四个字段值填充好，同时，由于PCB已经知道PCA的IP、MAC（从请求报文中的Sender MAC address、Sender IP address提取），那么响应报文将是单播报文。第四步：完成TCP/IP协议的封装，进行通信。此时PCA已经知道PCB的MAC，可以完成协议的封装，进行通信了。同时，PCB在收到ARP查询报文时会根据Sender MAC address、Sender IP address字段更新自己的ARP缓存表，PCA在收到ARP响应报文时也会根据Target MAC address、Target IP address字段更新自己的ARP缓存表，此后在数据通讯过程中，就利用ARP缓存中的信息填充目的IP所对应的目的MAC地址。第二节 Hub及二层交换机的工作原理代表Hub下的两台主机之间利用FTP下载电影。代表Switch下两台主机之间利用FTP下载电影。代表Hub下的一台主机和Switch下的一台主机之间用FTP下载电影。在这3种情况下，ARP协议工作过程是一样的吗?数据的转发过程是一样的吗？首先要弄清楚的是Hub、switch的工作原理。 对于Hub集线器而言，主要功能是对接收到的信号进行再生整形放大，以扩大网络的传输距离。其特点是转发数据没有针对性，采用广播方式发送。 图中PC1和PC2传输电影的过程中，PC3也会接受到“电影数据”，但根据以太网帧和TCP/IP的原理会将其丢弃，相当于是垃圾数据。Hub这样的工作原理就会造成一些问题或风险：当Hub上连接的主机越来越多时，所有主机发出的数据都以广播帧方式转发时，网络性能将大幅度降低，同时广播方式工作也可能导致安全隐患，例如机密数据会很容易被监听。 如图当PC1要发送数据包给PC2时（本地ARP缓存没有相关记录），首先发送ARP查询消息。Switch从端口1接收到该报文，将PC1的MAC地址记录在端口1上，形成MAC地址表项。这就是MAC地址学习功能。当从一个端口接收到一个目的MAC为广播地址（或者未知地址）的报文（即在MAC地址表中没有表项与该报文的目的MAC地址匹配），将向所有其他端口进行洪泛此报文（除了接收该报文的端口）。而所有收到ARP查询报文的主机中只有PC2返回ARP响应报文（目的MAC为PC1的MAC地址）到交换机根据MAC地址表从端口转发出去PC2的ARP响应报文，同时学习PC2的MAC地址。经过以上步骤，交换机在PC1和PC2交互ARP信息阶段在相应端口记录了两台PC的MAC地址。交换机后续收到的两台主机之间交互的报文根据形成的MAC地址表来进行转发。事实上，不仅仅是ARP报文，只要是主机发出的所有报文都会触发交换机进行源MAC地址学习。当主机从交换机的一个端口迁移到另一个端口时，MAC地址表项也会随之发生变化（只有当这台主机再次发出报文时，交换机会更新端口）。而交换机的接口DOWN时，与该接口相关的MAC地址都会被清除。而且如果一台主机在规定的MAC地址表老化时间内没有发送任何报文时，交换机会将该PC的MAC地址表项自动删除。第三节 VLAN原理如上图所示，假设在7503E下有一台辅导员的主机，那么在默认情况下辅导员主机会经常收到来自学生网段的广播信息，如ARP查询、Windows操作系统发出的诸如Netbios广播报文。那么为了解决诸如此类的问题，引入VLAN概念。VLAN是一个在物理网络层上划分出来的逻辑网络，这个网络对于OSI模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。利用VLAN技术将一台交换机划分为两台逻辑隔离的“虚拟交换机”，两台“虚拟交换机”之间类似于物理隔离的两台交换机。默认情况一台交换机不进行任何配置时，所有端口都属于VLAN 1，VLAN 1是默认存在的且无法删除。关于VLAN的配置相关命令将在后面章节介绍。第三章 802.1Q Trunk、三层交换基本原理、静态路由、ACL第一节 802.1Q相关概念如果PCA要与PCB通信，PC1要与PC2同时进行通信，而S1与S2、S3之间分别只有一条链路，但是PCA与PCBA，PC1与PC2分别属于VLAN20、VLAN 10。这样ARP报文的必经之路就需要同时传输两个VLAN数据，但是一个接口只能属于一个VLAN，无法同时传输两个VALN内的数据。可是在实际中这样的场景是真实存在的，那么如何解决这个问题？我们可以S1与S2，S1与S3之间分别加一条链路，然后划到不同的VLAN,这样是可以把问题解决，但是如果存在大量VLAN情况下，这样做会浪费大量接口而且不方便管理，因此把上行链路划为Trunk链路就成了优先选择的途径。 那么如何实现一条线路上可以传输多个VLAN的数据？如图只需要将接口划为trunk口即可。标准的以太网数据帧经过trunk口后会变成802.1Q数据帧。TAG字段中包含四个字段值：TPID（16位）、Priority（3位）、CFI（1位）、VLANID（12位）。Trunk接口的工作过程：如上图，VLAN10内的的PC1发出ARP查询报文查询PC2的MAC地址，广播报文除了向本VLAN内的其他端口转发，也会从trunk接口转发出去，在这个过程中会变成802.1Q数据帧（从不同的的VLAN的access口转发出去的标准以太网数据帧会变成不同的802.1Q数据帧（TAG字段的VLANID部分不同）。当汇聚交换机从一个trunk接口接受的一个802.1Q报文时，会从其他trunk接口转发出去的条件如下：1、交换机本地创建了所接收到的802.1Q帧中的VLANID2、在出接口上没有将收到的802.1Q帧中的VLANID修剪掉当接入交换机接上联trunk接口收到一个802.1Q帧时，查看该帧的TAG字段中VLANID是多少，并将其转发到相应的access口，在从access接口转发出去的时候，剥离该TAG字段。PC2收到PC1发出的ARP查询报文，并进行相应。返回的ARP响应报文经过trunk接口的处理过程与前面描述的过程一致。同理，其它VLAN内的PC在通信之前的ARP交互过程也是一样的。相互通信的PC都已经产生了相应的ARP缓存，可以完成二层数据封装。交换机的MAC地址学习上面有提到所有经过交换机转发报文都会引发交换机的MAC地址学习，那么ARP报文必定会引发源MAC地址学习以生成MAC地址表项，来指导后续的报文转发。在本章所描述的场景中，交换机的MAC地址表项包含源MAC和接口信息外，还将包含VLAN信息。经过以上过程S2形成的MAC表项如下图：交换机上连接主机的接口配置为access口。Access接口收发的数据帧都为标准以太网数据帧，从Access接口收发的标准以太网数据帧，会从同一VLAN的其它access接口转发出去，同时也会从trunk接口转换为802.1Q帧转发出去。配置成为trunk的接口收到802.1Q帧，会从相应的access接口（802.1Q帧中TAG字段所对应的VLANID）转发出去，同时剥离TAG标记转变成标准以太网帧。如果交换机上没有配置access接口，只配置了trunk接口，那么也将会将接收到的802.1Q数据帧从其他trunk接口转发出去，但前提是该交换机已经创建了所接收的802.1Q数据帧中所包含的VLANID对应的VLAN，否则将丢弃接收到的802.1Q数据帧。如果trunk做了vlan修剪，那么修剪掉的vlan数据将会被交换机丢弃。Trunk的接口上传输的数据帧都为802.1Q数据帧，但有一种例外，就是native vlan。默认情况下，交换机的所有接口的native vlan 为1.可以对trunk接口上的native vlan进行修改。从native vlan中接收的数据在从trunk接口转发出去时不携带TAG字段。当从trunk接口上接收到一不携带TAG字段的标准以太网帧时，会从native vlan所包含的接口转发出去。第二节 三层交换相关原理跨网段（VLAN）互访要解决的问题1、不同VLAN内的PC无法直接获取到对方的ARP信息，因为不同VLAN之间隔离广播报文。2、二层交换机只能在同一VLAN内根据MAC地址转发报文，无法实现跨VLAN来转发报文。在这里就要引入网关的概念，当一台PCA（0/24）需要访问在同一网段的其它PCB（1/24）时，PCA和PCB的配置如下所示：当一台PCA（0/24）需要访问其它网段的PC时，PCA的IP地址配置如下：那么我们对网关的作用已经有所了解，网关就是PC访问外部网络（除本PC所在网段之外）的必经之路。那么对于上图PC1和PC2的通信，由于是跨网段所以必须会经过网关，由于B、C为二层交换机，那么网关的设置就只能在A上面了。对于设置网关有要引入SVI概念，即交换虚拟接口，这种接口是存在交换机内部与VLAN进行关联，而不是特指某个物理接口。属于同一VLAN内的主机都可以直接访问到这一接口的IP，只要三层交换上有UP的接口（可以使access接口，也可以是trunk接口）属于该VLAN，那么该VLAN的SVI口也会是UP的。那么三层交换机网关的工作原理就很简单了：会根据收到报文的目的地址进行转发，例如PC1去Ping主机PC2。上图三层交换的许多细节并没有考虑，只是为了展示三层交换的结果。PC1完成TCP/IP封装，源IP和目的IP都已经确定好了，源MAC也已经确定好了，目的MAC该如何确定？三层网关交换机发送ARP响应报文（包含interface vlan 10接口对应的MAC），ARP相应报文的源MAC为网关IP的MAC，目的MAC为PC1的MAC。接下来我们来了解一下三层交换机的详细工作过程，以PC1PingPC2为例。1、PC1获取到网关IP对应的MAC地址后就可以完成TCP/IP封装，将报文发送出去，经过二层交换机转发至三层网关交换机。2、三层网关交换机的interface vlan 10 接口会对这个报文进行处理（报文的TAG标记为VLAN 10，并且目的MAC也为interface vlan 10 接口的MAC），SVI在收到这个报文时，会读取上层内容，目的IP为0，位于interface vlan 30接口的网段内，因此将进行三层转发。注意：三层网关交换机会将从PC1所在端口收到报文直接从端口2转发出去吗？我们来分析一下，在interface vlan 10收到的报文中会有如下几个字段：VLAN标记：此时的VLAN标记为VLAN 10，而PC2所连接的对端二层交换上只有VLAN 30。源MAC地址：为VLAN 10中PC1的MAC。目的MAC：为VLAN10网关接口的MAC地址。经过分析得出：直接将报文转发出去是不能达到PC2的 。3、三层转发的实际结果就是跨VLAN进行转发，不同VLAN内的MAC地址转发表是完全隔离的，因此三层转发时，数据包从一个VALN进入到另一个VLAN时，源MAC和目的MAC都需要进行变更：源MAC为interface vlan 30的MAC，目的MAC为PC2的MAC。4、三层网关交换机发送ARP查询报文，查询PC2的MAC地址，该ARP查询报文的源MAC地址为interface vlan 30 接口所对应的MAC地址。5、PC2对ARP查询报文进行响应，返回ARP响应报文，其源MAC是PC2的MAC地址，目的MAC是VLAN30网关接口的MAC地址。6、当三层网关交换机掌握PC2的ARP表项时，即可以完成二层封装，然后再查找MAC地址表，将报文从所对应端口转发出去（如果出接口为trunk，则添加目的MAC所属VLAN的TAG字段）。7、PC1访问PC2首先要完成TCP/IP封装，经过二层交换机转发至三层网关交换机，三层网关交换机首先查找ARP表项，找到目的IP所对应的MAC地址，完成目的MAC替换（同时替换源MAC地址为目的IP地址所在VLAN的SVI接口MAC），再查找MAC地址项，找到替换后的目的MAC的出接口及对应的VLAN标记，进行VLAN标记替换后从相应的出接口转发出去。注意：为了能实现跨网段远程管理交换机，需要同时在三层网关交换机上配置管理SVI，并且为了远程管理二层交换机，需要在二层交换机上创建三层管理SVI，并且配置默认网关，相当于路由。第三节 路由基础及静态路由原理如上图，PC1和PC2实现了跨网段通信，并且是在同一台三层网关交换机下的通信，假设PC1和PC2是在不同的三层交换机下呢？首先了解什么是路由，三层交换机的SVI接口将从该VLAN收到的数据从另外一个SVI接口转发出去，这个过程称为路由，实际上，前面学习的三层交换也是“路由行为”。再来了解一下什么事路由表，三层交换同二层交换机一样，同样存在一张表来指导交换机如何将从一个SVI收到的数据包从另外一个SVI转发出去，这张地址表就是路由表。路由表的工作方式，当一个三层交换机收到一个数据包再查找路由表时，如果找不到所匹配的路由条目就会丢弃该报文。下面重点学习三层交换机的互联方式除了A的直连网段外，在交换机的路由表中有一个重要的概念叫做下一跳地址，即A需要知道将数据包转发给那台设备，那么就需要这个下一跳进行标示，因此不同的三层设备互联需要有位于同一网段的一对互连接口地址。明确了要在A、D之间配置一对同一网段的IP地址，那么这对地址应该配置在什么接口上？如果配置在SVI接口上，那么A、D之间的互连接口应该怎么配置呢？下面来学习交换机的三种互联方式。1、使用trunk方式进行互联使用trunk方式互联要注意，互联vlan要是同一个vlan，要做vlan修剪，避免带宽浪费。2、使用access接口互联使用access互联接口互联时互联的接口SVI可以不用在同一VLAN，因为报文中不会有TAG字段。要在三层设备的下联口做vlan修剪避免不必要的广播报文占用带宽。3、使用路由口互联确定了使用哪种方式互联后，需要进行路由配置，这里只需要简单的静态路由就可以。下面看一下数据转发的详细过程：1、PC1的数据封装，PC1判断PC2的IP地址与本地IP不在同一网段，在进行TCP/IP封装时，二层目的目的MAC会采用网关MAC地址，因此会首先发送ARP查询本地配置的网关IP对应的MAC地址，网关返回ARP响应报文，获取网关的ARP信息后，完成TCP/IP封装。在这个过程中，交换机A和B也获取到了PC1的MAC地址信息，同时A也获取到了PC1的ARP信息。2、报文经过交换机B转发至A，在这个过程中，B从VLAN 10的access口接收到报文，查找MAC地址表将其从上联口转发出去，由于上联口是trunk接口，因此将携带TAG标记（VLAN10）。3、A收到报文后，查看二层头部是自己但是三层目的IP不是自己，查找路由表进行三层路由转发，A查找路由表，去往0/24网段的下一跳为（D的接口IP），因此会将报文转发给交换机D。由于是VLAN的三层路由转发，因此A在将报文转发给B时，会修改二层字段信息，源MAC、目的MAC、TAG字段等。源MAC与目的MAC地址替换，A发送ARP查询报文以获取D的接口IP地址所对应的MAC地址(实际上就是获取路由下一跳IP所对应的MAC地址信息)。注意，A和D之间使用不同的接口进行互联时，所形成的MAC地址表及ARP表会有所不同，具体体现在ARP表项和MAC表项。使用trunk或者access接口互联时会形成ARP和MAC表，使用路由口互联时只有ARP表。下面分别来看一下三种方式互联时数据从A到D的转发过程:使用Trunk互联时：1、交换机A查找路由表及ARP表以完成二层MAC地址的替换。首先在路由表中查找目的IP对应的下一跳IP（），接着查找ARP表项以找到目的IP对应的MAC地址（源MAC地址替换为本地SVI的MAC）。最后将目的MAC地址替换为对应的MAC地址2、A查找MAC地址表根据替换目的MAC地址后的报文从哪个接口转发出去，并且根据表项及输出接口的类型加上TAG字段。使用access接口互联时：1、交换机A查找路由表及ARP表完成二层MAC地址的替换。首先在路由表中查找目的IP对应的下一跳IP（），接着查找ARP表项以找到目的IP对应的MAC地址（源MAC地址替换为本地SVI的MAC）。最后将目的MAC地址替换为对应的MAC地址。2、交换机A查找MAC地址表根据替换目的MAC地址后的报文从哪个接口转发出去，并且根据表项及输出接口的类型去掉TAG字段。使用路由口互联时：1、交换机A查找路由表及ARP表以完成二层MAC地址的替换。首先在路由表中查找目的IP对应的下一跳IP，接着查找ARP表项以找到下一跳IP对应的MAC地址，最后将目的MAC替换为下一跳IP对应的MAC地址。（源MAC替换为本地gi0/24的MAC，并在ARP表项中直接查找到出接口gi0/24，并且从路由口输出的报文不携带TAG字段）。以上是三种不同方式互联时第三步即从交换机A到D的转发过程。下面来看一下从D到C的转发过程：1、首先查找路由表，目的IP地址在本地直连的接口网段内，接着查找ARP表，找到目的IP对应的MAC地址即PC2的MAC地址，使用PC2的MAC地址替换原目的MAC地址，使用SVI30的MAC地址替换之前的源MAC地址。2、完成二层MAC地址替换后，D查找MAC地址表以确定将从哪个接口转发出去，并根据输出接口的属性判断是否添加TAG标记，如果是trunk接口则添加TAG标记，如果是access口则不添加TAG标记。经过以上步骤，数据包到达交换机C ，C收到数据包后查找MAC 表将报文从连接PC2的接口转发给PC2，同时剥离access字段。第四节 静态路由及默认路由在第三节我们用到两条路由条目：A(config)#ip route D(config)#ip route 以上两条路由条目我们叫做静态路由条目。在上面的配置中ip route 是我们手动配置路由的命令后面的192.168.x.x代表网络子网号，代表子网掩码，10.0.0.x就是我们指定的下一跳。那么它们有什么作用？在第三节中，PC1要与PC2通信，但由于是跨网段通信，PC1会首先把数据包转发给网关，网关拆封装看三层数据，目的MAC是自己会进行三层路由转发，在这个过程中网关会提取数据包中的目的IP并且与路由表中的路由条目的子网掩码进行与运算，得出的结果与网络号对比，如果一致就把数据包转发给该路由条目所指定的下一跳。如果我们把上面的两条路由按照如下配置就叫做默认路由。A(config)#ip route D(config)#ip route 网络号、子网掩码全部为0，意思就是匹配所有，所有数据包如果没有更精确的下一跳，最后都会把数据包交给它来处理。那么到这里需要学习一下路由的匹配原则：1、相同路由协议管理距离相同，那么就来比较代价。代价小的路由条目出现在路由表中。2、不同路由协议比较管理距离，管理距离小的出现在路由表中。不同路由协议的代价没有可比性。3、如果出现在路由表中去往同一网段的数据包有多个下一跳遵循最长掩码匹配原则，以最精确匹配的路有条目为准。4、如果存在多条最长掩码匹配的条目则执行负载均衡。那么什么是负载均衡？当经过最小管理距离、最小代价的比较后，存在多个相同的最长匹配路由条目（子网号、掩码、管理距离、代价均相等，仅下一跳不同）与所收到的报文目的IP匹配，那么在转发时，将所收到的报文及后续报文（目的IP相同）根据不同的下一跳IP“均匀地”从多个不同的输出接口转发出去。如图：如果在交换机A上配置两条去往00/24的静态路由，指向不同的下一跳（分别指向B和C），则会执行负载均衡。配置如下：A(config)#ip route A(config)#ip route 如果我们把两条路由条目这样配置：A(config)#ip route A(config)#ip route 50会发生什么情况？很明显，就只会有一条路由生效了。但如果对应的出接口down掉，那么这条路由条目就已经失效，交换机需要将这条路由从路由表中删除，这时候这条路由就会出现在路由表中。这就是静态浮动路由以及其作用。一般情况下，路由条目的下一跳都为与本地互联的对端设备的互联接口IP，与本地出接口IP在同一网段，但也可以配置下一跳IP不属于本地的直连网段，但要在本地也存在到达这个下一跳IP的路由，通过两次查找路由表找到“真实”的下一跳IP，这就是我们所讲的递归路由。第五节 访问控制列表（ACL）原理访问控制ACL类型以及能够匹配的协议类型如下：访问控制列表的命名：1、数字命名标准ACL（1-99、1300-1999），扩展ACL（100-199、2000-2699）2、自定义名称可以根据具体需求定义名字，方便一目了然的辨识ACL的用途。访问控制列表的动作1、permit 允许permit后面语句匹配的数据流通过。2、deny拒绝deny后面语句匹配的数据流通过。访问控制列表配置多条语句1、自动生成的序列号默认以10为单位递增。也可以在配置ACL中的语句时提前添加不同的序号。序列号的作用是为了后续添加维护语句。2、每一条ACE的执行顺序是从上到下（编号由低到高）依次匹配，一旦匹配成功则跳出该ACL，在ACL中存在一条默认拒绝所有的ACE。访问控制