2网络基础知识以及网络设备课件

第一部分

网络技术及设备内容1计算机网络概述OSI参考模型和TCP/IP协议栈基础数据交换、路由技术基础计算机网络概述计算机网络的分类按网络覆盖范围划分局域网按网络所支持的速率10M网络100M网络1000M网络城域网广域网按拓扑类型划分总线形网络星形网络环形网络网状网络按提供服务的方式对等网络服务器/客户端网络网络通讯的方式单播广播组播网络协议100085北京市海淀区上地东路5号神州数码大厦神州数码网络有限公司负责人（收）北京市友华科技公司100088FROM:RoomNo。108,Bldg。F,

HuiyuanInternationalApartment

No。8AnliRoadChaoyangDistrict

Beijing,PRC 100101TO:DigitalChinaUSA5Musick,IrvineCA,92718U.S.A协议就是一套约定俗成国内信件需要按照此格式美国的信件需要按照此格式计算机网络业界有影响的组织国际标准化组织(ISO)电子电气工程师协会(IEEE)美国国家标准局(ANSI)电子工业协会/电信工业联盟(EIA/TIA)国际电信联盟(ITU)INTERNET行动委员会(IAB)OSI参考模型物理介质应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层处理网络应用数据格式转换网络设备间通信管理端到端的连接寻址和最短路径的选择接入网络介质比特数据流传送应用层表示层会话层传输层网络层数据链路层物理层网络应用数据传输层与层之间功能相互独立（每层遵照自己独有的协议集，与对方相应层次进行通讯）上层通讯依赖于下层通讯OSI参考模型应用层（L7）应用程序接口：http,……

实现多个系统应用进程相互通信,提供应用程序接口物理层数据链路层网络层传输层会话层表示层应用层表示层（L6）数据的解码和编码数据的加密和解密数据的压缩和解压表示层保证一个系统应用层发出的信息能被另一个系统的应用层读出物理层数据链路层网络层传输层会话层表示层应用层会话层（L5）会话的建立、维持、终止系统软件：Windows2003server、ScoUNIX应用软件：IE、CuteFTP、IIS、SQL管理通信实体间的会话物理层数据链路层网络层传输层会话层表示层应用层数据的封装示意用户数据协议数据单元（PDU）数据段（Segment）数据包（Packet）数据帧（Frame）位流（BitFlow）物理层数据链路层网络层传输层会话层表示层应用层数据的解封示意物理层数据链路层网络层传输层会话层表示层应用层用户数据数据解封协议数据单元（PDU)7654321数据数据H4L4数据H3L3数据H2110000101010数据段（Segment）数据包（Packet）数据帧（Frame）数据位（Bits）物理层（L1）线路类型（双绞线、光纤、Wireless）传输速率（bps、Kbps、Mbps、Gbps、10Gbps）传输模式（单工、半双工、全双工）网络物理拓扑结构（星状拓扑、环状拓扑、总线拓扑）双绞线100M双绞线线序双绞线的制作过程如下：1、按照线序图打开线对并排列整齐2、小心的将线头掐平并送入水晶头的8个线槽中，按紧3、用专门的卡线钳子将水晶头中的线掐紧123网络设备以太口的线序标准PinSignalDescription1RX+ReceiveData+2RX-ReceiveData-3TX+TransmitData+4NotapplicableNotapplicable5NotapplicableNotapplicable6TX-TransmitData+7NotapplicableNotapplicable8NotapplicableNotapplicablePinSignalDescription1TX+TransmitData+2TX-TransmitData-3RX+ReceiveData+4NotapplicableNotapplicable5NotapplicableNotapplicable6RX-ReceiveData-7NotapplicableNotapplicable8NotapplicableNotapplicableMDI-XportMDIportHubUplink，网卡，路由器以太口Hub，交换机

直通线和交叉线连接原理图网络传输介质10MbpsEthernet：10BaseT----使用3/4/5类UTP，距离100米。100MbpsFastEthernet:100BaseTX----使用5类UTP，距离100米。100BaseFX----使用单模和多模光纤（直径62.5或125um）。多模光纤连接的最大距离为550米，单模光纤连接的最大距离为3000米。网络传输介质1000MbpsGigabitEthernet：1000Base-SX----使用直径为62.5um或50um的多模光纤，工作波长为770-860nm，传输距离为220-550m。1000Base-LX----使用直径为9um或10um的单模光纤，工作波长为1270-1355nm，传输距离为5km。1000Base-CX----使用150欧屏蔽双绞线（STP），传输距离为25m。1000Base-T----使用5类UTP，距离100米。物理层设备-集线器中继器的一种形式，区别在于集线器能够提供多端口服务，也称为多口中继器。所有端口属于同一个冲突域所有端口属于同一个广播域所有端口共享总线带宽以泛洪方式转发任何形式的数据数据链路层（L2）网段（广播域）中数据通讯的机制数据的差错检测指明上层（L3）网络协议IEEE802模型数据链路层LLC层MAC层MAC：网段（广播域）中数据通讯的机制和数据的差错检测LLC：指明上层网络协议(IEEE802.2)以太网帧格式MAC地址:48位二进制（以十六进制形式表示），设备的物理标识，其值与设备的生产厂商有关TYPE（类型）：指明上层（L3）网络协议DATA（数据）：可变于46Byte－1500Byte之间FCS（帧检测序列）：CRC校验DSTSRCTYPEDATAFCSCSMA/CD听PacketPCAPCBPCCPCD空闲当PCA要发一个数据包给PCD的时候,首先PCA要先听HUB的链路上是否有数据在跑,如果有那么PCA等待,如果没有那么PCA将数据包发出.这样的做法是由于HUB上的链路是共享的,所以采用了发数据包之前先进行冲突检测的方法,那么我们称为CSMA/CD.CSMA/CDHUB上的链路是共享的,所以如果HUB上有数据在转发,那么此时PCA需要等待.听有数据在转发继续听PCAPCBPCCPCDCSMA/CD现在的情况是PCA和PCC都要发数据,但是两人刚才都检测到HUB上是空闲的.那么两人都发.结果发生了冲突.两人都同时启动BACKOFF动作.随机的生成一个秒数,再发数据包.如果再与其他PC发送的数据包冲突.那么再次BACKOFF,BACKOFF一共可进行15次.听PacketPCAPCBPCCPCD空闲听Packet随机秒数随机秒数二层互联设备-交换机每端口属于独立的冲突域所有端口属于同一个广播域每端口带宽独立根据数据帧L2报头信息转发数据外部网E2MAC地址表00d0.f811.111100d0.f822.222200d0.f833.333300d0.f844.4444ABCDF0/1F0/3F0/2F0/4数据帧的过滤及转发XXF0/1:00d0.f811.1111F0/2:00d0.f822.2222F0/3:00d0.f833.3333F0/4:00d0.f844.4444地址学习——MAC地址表形成外部网E2MAC地址表00d0.f811.111100d0.f822.222200d0.f833.333300d0.f844.4444ABCDF0/1F0/3F0/2F0/4地址学习——MAC地址表形成外部网E2MAC地址表00d0.f811.111100d0.f822.222200d0.f833.333300d0.f844.4444ABCDF0/1F0/3F0/2F0/4F0/1:00d0.f811.1111MAC地址表00d0.f811.111100d0.f822.222200d0.f833.333300d0.f844.4444F0/1:00d0.f811.1111F0/2:00d0.f822.2222F0/3:00d0.f833.3333F0/4:00d0.f844.4444ABCDF0/1F0/3F0/2F0/4广播地址（或未知地址）：扩散操作交换机扩散数据网络层（L3）网段间互连(为互连网中每个设备分配逻辑地址)决定数据传输的路径(根据路由信息)TCP/IP协议层次结构TCP/IP协议栈提供应用程序网络接口建立端到端连接寻址和路由选择物理介质访问二进制数据流传输OSI参考模型物理层数据链路层网络层传输层会话层表示层应用层网络层传输层应用层网络接口层TCP/IP协议栈Internet层应用层传输层IP、ICMP、ARP网络接口层IP地址网络位主机位101011000001000001111010

172

16122204128

64

32

16

8

4

2

1

32比特的二进制数每8比特表示成一个十进制数IP地址的分类A类:B类:C类:D类: 组播IP地址

E类:实验研究网络位主机位主机位主机位网络位网络位主机位主机位网络位网络位网络位主机位8888

IP地址的分类A类:B类:C类:0NNNNNNN主机位主机位主机位10NNNNNN网络位主机位主机位110NNNNN网络位网络位主机位8888

(1-126)(128-191)(192-223)私有IP地址（RFC1918)A类:至55B类:至55C类:至55注：RFCRequestForComments,请求注解,Internet标准(草案)IP网段中主机数量的计算计算公式：2N-2（“N”代表主机位数）IP地址当中：主机位全“0”表示IP网络编号主机位全“1”表示该网络中的广播IP地址IP数据包结构Bit0Bit15Bit16Bit31版本(4)总长度（16）字节数标识（16）生存时间（8）目标地址（32）任选项数据(上层协议数据,可变长)源地址(32)头部长度（4）TOS字段（8）标志（3）片偏移（13）协议（8）头部校验和（16）IPv6vs.IPv4IPv6地址的表示方法IPV6地址的表示采用16进制的表示方法。将128bit分为8组，每组16比特，用4个16进制数表示，各组之间用"："隔开，每组中最前面的0可以省略，但每组必须得有一个数，如：

FEDC:BA98:7654:3210:FEDC:BA98:7654:3210

1080:0:0:0:8:800:200C:417AIPv6地址的表示方法在IPV6地址段中有时会出现连续的几组0，这时这些0可以用"::"代替，但一个地址中只能出现一次"::"。如：

1080:0:0:0:8:800:200C:417A=1080::8:800:200C:417A

FF01:0:0:0:0:0:0:101=FF01::101

0:0:0:0:0:0:0:1=::1IPv6地址的表示方法某些情况下，IPV4地址需要包含在IPV6地址中，这时，最后两组用现在习惯使用的IPV4的十进制表示方法，前六组表示方法同上，如：

0:0:0:0:0:0:或::IP的协议号表示数据包封装的上层协议类型Protocol(8)。。。。。。传输层互连网络层TCPUDP协议号IP617ICMP协议目的不可达Echo(Ping)其他InternetControlMessageProtocol网间控制报文协议网际层的自我检测网络层传输层应用层网络接入层Ping功能的实现ABICMPecho询问B可达吗?ICMPechoreply答复可达Trace功能的实现ABC第一跳可达吗？ICMPechorequest(TTL=1)ICMPTTL-expired到达下一跳可达第二跳可达吗？ICMPechorequest(TTL=2)ICMPechoreply顺利到达可达ARP协议

IP:0800.115e.1200.45e1我听到广播了，是关于我的信息，这是我的以太网地址IP:=???我需要的以太网地址IP地址映射Ethernet地址本地ARP主机地址查询过程主机初次与某设备建立连接时1. 主机目前还没有IP地址与MAC地址的对应条目2. 当与某设备进行过数据传输之后在缓冲中即会保存相应条目三层互联设备-路由器每端口属于独立的冲突域每端口属于独立的广播域每端口带宽独立根据数据包L3报头信息转发数据IP数据包结构Bit0Bit15Bit16Bit31版本(4)总长度（16）字节数标识（16）生存时间（8）目标地址（32）任选项数据(上层协议数据,可变长)源地址(32)头部长度（4）TOS字段（8）标志（3）片偏移（13）协议（8）头部校验和（16）路由器转发数据特点02118F1172.161212网络主机..网络端口F0F1路由表F0计算可用的主机地址

172 1600

16

15

14

13

12

11

10

9

8

7

6

5

4

3

2

1

网络主机

......

123655346553565536-...265534N2N-2=216-2=65534子网掩码1721600255255002552552550网络主机网络子网主机“/16”表示子网掩码有16位“/24”表示子网掩码有24位1111111111111111子网划分网络子网间转发数据02118F1子网/子网掩码端口/24/24F0F1路由表F0172.16112网络主机子网..IP网段中子网数量的计算计算公式：2M（“M”代表子网位数）“全0”以及“全1”子网能够被系统支持IP网段中子网数量的计算试求该IP地址所在子网的网络编号试求该IP地址所在子网的广播地址试求该IP地址所在子网的主机IP地址范围网络主机6092子网子网划分练习条件：网络要求：划分20个子网，每个子网5个主机传输层（L4）数据拆分与重组将上层应用加以区分建立主机端到端的连接，负责数据在端到端之间的传输差错恢复流量控制TCP/IP传输层建立端到端连接网络层传输层应用层网络接入层TCP协议：面向连接、可靠UDP协议：无连接、不可靠发送确认发送发送无确认TCP协议段结构Bit0Bit15Bit16Bit31源端口(16)目的端口(16)序号(32)确认号(32)保留(6)代码位(6)窗口(16)校验和(16)紧急指示符(16)任选项(0or32)数据(上层协议数据,可变长)报头长度(4)TCP协议端口号端口号传输层协议应用层协议TCPF

T

PT

E

L

N

E

TD

N

SHTTPS

M

T

PNNTP2123255380119220023序号(32)确认号(32)保留代码位窗口(16)校验和(16)紧急指示符(16)任选项(0or32)数据(上层协议数据,可变长)报头长度表示数据部分是Telnet协议数据发送telnet请求确认连接建立开放23端口20TCP建立连接顺序号=0应答号=0顺序号=0应答号=1顺序号=1应答号=1123TCP数据传输和断开102523149102523249231025492231025493源端口目的端口顺序号应答号顺序号=49应答号=3顺序号=3应答号=50顺序号=3应答号=50顺序号=50应答号=4UDP协议段结构Bit0Bit15Bit16Bit31源端口(16)目的端口(16)数据长度(16)数据校验和(16)非常简单的结构没有序列号和控制字段UDP的端口号端口号传输层协议应用层协议UDPD

N

SSNMPNTPTFTP5369123161220069数据长度(16)数据校验和(16)表示数据部分是TFTP协议的数据内容2：网络技术与实现VLAN原理及基本配置掌握802.1QTrunk相关概念及配置掌握不同网段互访ARP工作方式掌握三层交换基本原理及配置掌握路由表、静态路由概念及配置掌握不同网络设备互联接口的形式掌握基础网络安全解决方案场景描述学生寝室所在的网段为/24，导员办公室的网段为/241层接入交换机RG-S2652G1101寝室1102寝室HubSwitch宿舍1区1号楼导员办公室/24/24导员PC是否会经常收到来自学生网段的广播信息，如ARP查询、Netbios广播报文等？如何解决这个问题?VLAN原理及基本配置VLAN：VirtualLocalAreaNetworkVLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于ISO模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。

1层接入交换机1101寝室1102寝室HubSwitch宿舍1区1号楼导员办公室/24/24利用VLAN技术将这台接入交换机划分为两台隔离的“交换机”VLAN原理及基本配置VLAN：VirtualLocalAreaNetworkRG-S2652G1101寝室1102寝室导员办公室VLAN10VLAN201101寝室1102寝室VLAN20VLAN10导员办公室利用VLAN技术将一台交换机划分为两台逻辑隔离的“虚拟交换机”，两台“虚拟交换机”之间类似于物理隔离的两台交换机广播报文广播报文VLAN原理及基本配置VLAN的基本配置1.根据需求在交换机上创建不同的VLAN2.将相应的端口放置在不同的VLAN中RG-S2652G1101寝室1102寝室导员办公室VLAN10VLAN20sw(config)#vlan10sw(config)#vlan20sw(config)#interfacef0/10sw(config-if)#switchportaccessvlan10sw(config)#interfacef0/1sw(config-if)#switchportaccessvlan20sw(config)#interfacef0/2sw(config-if)#switchportaccessvlan20F0/10F0/1F0/2VLAN原理及基本配置创建VLAN并给VLAN命名Switch(config)#vlanvlan-idSwitch(config-vlan)#namevlan-name删除VLANSwitch(config)#novlanvlan-id将端口分配给一个VLANSwitch(config)#interfaceinterface-id

Switch(config)#interfacerange{port-range}Switch(config-if)#switchportmodeaccess（可选）Switch(config-if)#switchportaccessvlanvlan-idVLAN原理及基本配置查看VLANSwitch#showvlan

VLANNameStatusPorts

-----------------------------------

1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,

Fa0/5,Fa0/6,Fa0/7,Fa0/8,

Fa0/9,Fa0/11,Fa0/12,

Fa0/13,Fa0/18,Fa0/19,Fa0/20,

Fa0/21,Fa0/22,Fa0/24

4xiaoshouactiveFa0/14,Fa0/15,Fa0/16,Fa0/17,Fa0/20,Fa0/24

10caiwuactiveFa0/10,Fa0/23,Fa0/24Switch#showinterfacesfastethernet0/20switchport

InterfaceSwitchportModeAccessNativeProtectedVLANlists

-----------------------------------------------------------------

Fa0/24EnabledTrunk11Enabled1,3-4094场景描述宿舍1区1号楼1101寝室下载1202寝室电影李强要下载王亮PC上的电影1楼接入交换机RG-S2652G1102寝室1202寝室Switch宿舍1区1号楼导员办公室0/24/24Switch2楼接入交换机宿舍1区汇聚交换机李强张磊1/24VLAN10VLAN20VLAN20导员办公室VLAN10/24802.1QTrunk相关概念及配置数据封装的过程（TCP/IP协议栈）李强张磊01应用层传输层网络层数据链路层物理层将需要传输的数据以TCP/IP协议栈的格式进行封装源:0（本地）目的:1目的MAC如何确定？源MAC:ca00.1340.0000（本地）ca00.1340.0000ca04.0b74.0000还是需要ARP协议啊！VLAN10VLAN20VLAN20F0/24F0/10F0/20在F0/24口如何区分VLAN10与VLAN20的ARP数据？1楼接入交换机宿舍1区汇聚交换机2楼接入交换机VLAN10802.1QTrunk相关概念及配置以太网帧变化：标准以太网帧和IEEE802.1Q帧标准以太网帧：DASATypeDataCRC标准以太网帧802.1QTrunk相关概念及配置以太网帧变化：标准以太网帧和IEEE802.1Q帧802.1Q以太网帧（TAG帧）：DASATypeDataCRCDASATypeDataCRCtagTPID0X8100PriorityCFIVLAN

IDTCI带有IEEE802.1Q标签（TAG)的以太网帧802.1QTrunk相关概念及配置标签封装的过程交换机1交换机2数据帧打上Tag标签去除Tag标签802.1Q数据帧只在交换机的trunk链路上传输，对于用户报文是完全透明的。默认条件下，Trunk链路会转发交换机上存在的所有VLAN的数据。Trunk李强0Trunk张磊1802.1QTrunk相关概念及配置TAGVLAN/802.1QVLANSwitchAVLAN30VLAN20VLAN10SwitchBVLAN30VLAN20VLAN10TagVLANIEEE802.1Q通过一个物理端口传输多个VLAN的信息，实现同一VLAN跨越不同的物理交换机802.1QTrunk相关概念及配置Access接口一般用来连接用户终端的接口，承载正常的以太网帧，仅仅属于某个特定的VLANTrunk接口常用来连接网络设备，承载被标识的以太网帧，缺省能够承载交换机上所有VLAN的数据。李强张磊01ca00.1340.0000ca04.0b74.0000VLAN10VLAN20VLAN20F0/24F0/10F0/201层接入交换机宿舍1区汇聚交换机2层接入交换机ACCESSTRUNKTRUNKTRUNKTRUNKACCESS802.1QTrunk相关概念及配置Access接口一般收到的是不带tag的帧。从access口发送出去的帧不带tag。Trunk接口收到带tag的帧后，交换机上存在该VLAN且该接口允许该VLAN通过，则接收，否则直接丢弃该帧。从Trunk接口发送出去时，该接口的nativeVLAN数据帧将不带tag，其他所有VLAN数据帧都带上相应VLAN的tag。802.1QTrunk相关概念及配置NativeVLAN所谓NativeVLAN，也叫缺省VLAN，在这个接口上收发的不带标签的untag报文，都被认为是属于这个VLAN的。一个tag帧经过trunk口时，如果tagVLAN与trunk口的NativeVLAN相同，则会剥去tag标记。vlan10vlan20untagTAG20NativeVLAN10vlan10vlan20第87页802.1QTrunk相关概念及配置VLAN修剪/裁剪技术VLAN的trunk口缺省是能够转发所有VLAN帧（1－4096）的流量。从提高安全性和减少不必要的数据流量这两个角度考虑，我们可以通过设置trunk口的许可VLAN列表（allowed-VLANs），来限制某些VLAN的流量不能通过这个trunk口，这也称为VLAN的修剪。TrunkAllowvlan10,20,40vlan10vlan20vlan10vlan30vlan20vlan40vlan40第88页802.1QTrunk相关概念及配置二层交换网络中VLAN连通性

数据流路径上的所有交换机中必须存在该VLAN。数据流路径上的所有Trunk接口必须允许该VLAN通过。vlan10,20,40vlan10vlan20vlan10vlan30vlan20vlan40vlan40802.1QTrunk相关概念及配置创建VLAN并命名配置交换机接口模式连接用户的接口绑定VLAN连接交换机的接口配置为trunk可选定义trunk的许可列表配置nativevlan查看VLAN的相关信息802.1QTrunk相关概念及配置创建VLAN10，将它命名为manageSwitch(config)#vlan10Switch(config-vlan)#nametest把接口0/10和VLAN10绑定Switch(config)#interfacefastethernet0/10Switch(config-if)#switchportaccessvlan10将一组接口加入某一个VLANSwitch(config)#interfacerangefastethernet0/1-8，0/15，0/20Switch(config-if-range)#switchportaccessvlan20802.1QTrunk相关概念及配置把Fa0/1配成Trunk口Switch(config)#interfacefastethernet0/1Switch(config-if)#switchportmodetrunk把端口Fa0/20配置为Trunk端口，但是不包含VLAN2：Switch(config)#interfacefastethernet0/20Switch(config-if)#switchporttrunkallowedvlanremove2配置nativevlanSwitch(config-if)#switchporttrunknativevlan20在配置Trunk接口时，确保连接链路两端的Trunk口属于相同的nativeVLAN！如何将一个TRUNK口变更为ACCESS口？802.1QTrunk相关概念及配置验证配置信息Switch#showvlan

VLANNameStatusPorts-----------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/5,Fa0/6,Fa0/7,Fa0/8,Fa0/9,Fa0/10,Fa0/11,Fa0/12,Fa0/13,Fa0/18,Fa0/19,Fa0/20,Fa0/21,Fa0/224VLAN0004activeFa0/14,Fa0/15,Fa0/16,Fa0/17,Fa0/205VLAN0005activeFa0/20,Fa0/23,Fa0/24Switch#showinterfacesfastethernet0/20switchport

InterfaceSwitchportModeAccessNativeProtectedVLANlists-----------------------------------------------------------------Fa0/20EnabledTrunk11Enabled1,3-4094802.1QTrunk相关概念及配置一个特殊需求李强张磊01ca00.1340.0000ca04.0b74.0000VLAN10VLAN30VLAN201楼接入交换机宿舍1区汇聚交换机2楼接入交换机如何让李强能访问张磊？场景描述宿舍1区1号楼1101寝室下载1202寝室电影不同VLAN/IP间如何通讯？1楼接入交换机RG-S2652G1102寝室1202寝室Switch宿舍1区1号楼0/24Switch2楼接入交换机李强张磊0/24VLAN20VLAN30/24/24三层交换基本原理及配置不同VLAN三层互访需求

VLAN隔离了VLAN之间的任何流量，分属于不同VLAN的用户不能互相通信将VLAN和IP子网对应，使用三层转发技术，通过路由将报文从一个VLAN转发到另外一个VLANVLAN间互访方法单臂路由（本章不做介绍）三层交换三层交换基本原理及配置/24VLAN10/24VLAN20三层交换：SVI模式三层交换机上分别创建每个VLAN的SVI接口在每个SVI上配置IP地址，作为对应VLAN内主机的网关在交换机内部利用路由功能解决VLAN间通信三层交换机和二层交换机通过trunk链路相连三层交换基本原理及配置SVISwitchvirtualinterface。三层交换基本原理及配置三层交换机的三层转发功能默认开启创建VLAN的虚拟接口并配置IP地址Switch(config)#interfacevlanvlan-idSwitch(config-if)#ipaddress

ip-addressmask

配置实例SVI（switchvirtualinterface）Switch(config)#vlan10Switch(config-vlan)#interfacevlan10Switch(config-if)#ipaddress54255255.255.0下联楼层接入口配置为trunkSwitch(config-if)#switchportmodetrunk三层交换基本原理及配置宿舍1区1号楼1101寝室下载1202寝室电影在这个下载的过程中，李强的PC如何把下载王亮PC上的电影？1楼接入交换机1102寝室1202寝室Switch宿舍1区1号楼导员办公室0/24/24Switch2楼接入交换机宿舍1区汇聚交换机李强张磊0/24VLAN10VLAN20VLAN30导员办公室VLAN10/2454/2454/24三层交换基本原理及配置发送数据前PC要获取网关ARP信息ARP查询报文54的MAC地址是多少？哪台PC需要对这个ARP查询报文进行响应?1楼接入交换机1102寝室1202寝室Switch宿舍1区1号楼0/24Switch2楼接入交换机李强张磊0/24VLAN20VLAN3054/2454/2454的MAC地址是001a.0010.00deARP响应报文宿舍1区汇聚交换机李强PC在发送数据前，会根据目的IP和掩码，判断目的主机是否和自己在同一网段。以确定是否需要通过网关转发数据三层交换基本原理及配置数据封装变化李强张磊00ca00.1340.0000ca04.0b74.0000VLAN30VLAN201楼接入交换机宿舍1区汇聚交换机2楼接入交换机VLAN1054/24MAC:001A.0010.00DE54/24MAC:001A.0010.00DF源MAC:ca00.1340.0000目的MAC:001a.0010.00de

源:0目的:0电影数据TAG:20

三层交换基本原理及配置数据封装变化李强张磊00ca00.1340.0000ca04.0b74.0000VLAN30VLAN201楼接入交换机宿舍1区汇聚交换机2楼接入交换机VLAN1054/24MAC:001A.0010.00DE54/24MAC:001A.0010.00DF源MAC:ca00.1340.0000目的MAC:001a.0010.00de

源:0目的:0电影数据TAG:20

源MAC:001a.0010.00df目的MAC:ca04.0b74.0000

TAG:30

源:0目的:0电影数据源MAC:001a.0010.00df目的MAC:ca04.0b74.0000

三层交换基本原理及配置SVI配置？李强张磊01ca00.1340.0000ca04.0b74.0000VLAN10VLAN30VLAN201层接入交换机宿舍1区汇聚交换机2层接入交换机二层交换机能否进行SVI接口配置？配置的目的是什么？路由基础概念什么是路由把用户数据从一个IP子网转发到另一个IP子网路由设备路由器、三层交换机、防火墙。………宿舍1区宿舍1区核心交换机导员办公室宿舍1区汇聚交换机1101寝室1102寝室1103寝室1201寝室1层接入交换机2层接入交换机宿舍1区2号楼2202寝室2201寝室路由基础概念建立路由建立并维护路由表数据转发基于路由表进行数据的转发。把IP包从出口封装并转发出去路由基础概念路由表路由转发信息构建成一张路由转发表路由表存储在路由设备的NVRM存储器中，非静态存储。S5750#showiprouteCodes:C-connected,S-static,R-RIPB-BGPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefaultGatewayoflastresortisnosetC/24isdirectlyconnected,VLAN10C/32islocalhost.C/24isdirectlyconnected,VLAN20C/32islocalhost.路由基础概念多转发路径到达同一个目标网络可能有多个路由源、多条路径网络号相同、子网掩码相同只有最佳路由才会进入路由表路由优选先比较管理距离值，越小越优先管理距离相等，再比较度量值，越小越优先不同路由协议的度量值不具备可比性路由基础概念管理距离AD:AdministrativeDistance用于衡量路由源的可信度RIPOSPF路由表R

/24O/24O/24路由基础概念管理距离取值范围0－255，数值越小越优先只在设备内部比较时生效厂商私有可以根据需要人为修改管理距离，影响路由优选路由源缺省管理距离直连0静态1RIP120OSPF110IS-IS115EBGP20IBGP200路由基础概念度量值（Metric)同一路由协议衡量路径优劣的参数不同路由协议关于度量值的参数不同，不具有可比性数值越小越优选可以根据需要人为修改，影响路由优选O/16[110/20]via,01:03:01,Serial1/2管理距离度量值路由基础概念直连路由通过接口感知到的直连网络接口配置IP，该接口的物理层和数据链路层UP静态路由使用命令手工添加到路由表，保持静态不变动态路由通过路由协议学习后自动计算加入路由表，动态变化。RIP、OSPF、IS-IS、EIGRP、BGP如果一个交换机SVI所属的物理接口都没有连接任何设备，交换机上是否存在SVI对应的直连路由?路由基础概念数据转发原则基于目标IP进行转发最长匹配原则匹配不到丢弃转发之前必须先基于出口链路进行封装路由基础概念静态路由由管理员根据网络拓扑手工配置简单，无开销拓扑发生变化，不能自动感知拓扑变化，需要管理员人工干预应用场景小型网络。拓扑结构简单，网络稳定的环境数据服务器视频服务器用户数据视频终端宿舍2区宿舍3区办公区汇聚交换机

汇聚交换机核心交换机路由基础概念静态路由配置思路画拓扑图，分析网络情况在源和目标之间画代表数据流的线确保在源和目标之间的三层设备上都有关于目标的正确的路由条目静态路由配置命令Switch(config)#iproute[网络号][子网掩码][下一跳路由器的IP地址/本地接口]例：iproute例：iprouteserial1静态路由描述转发路径的方式有两种指向下一跳路由器直连接口的IP地址（即将数据包交给X.X.X.X）指向本地接口（即从本地某接口发出）路由基础概念浮动静态路由用于路由路径备份，提高可靠性通过设定管理距离值Iproute目标网络子网掩码下一跳/本地出口AD路由基础概念路由等价负载均衡将流量均等地分布到多条度量相同的路径上关于同一个目标网络的多条路由出现在路由表同一个路由源，管理距离和度量值相等路由基础概念缺省路由/0可以匹配所有的IP地址，属于最不精确的匹配当所有已知路由信息都查不到数据包如何转发时，按缺省路由的信息进行转发iproute[转发路由器的IP地址/本地接口]场景描述1区汇聚交换机与1区核心交换机如何互联？李强要下载王亮PC上的电影AccessTrunk如何互联？三层路由口SVI互联方式1创建互联VLAN100

Access接口类型：将物理接口分配到VLAN100S8606;S5750分别配置指向对方的静态路由创建互联VLAN1OOSwitch(config)#vlan100Switch(config-vlan)#interfacevlan100Switch(config-if)#ipaddress255255.255.252将互联接口划入VLAN100Switch(config)#interfacefastethernet0/24Switch(config-if)#switchportaccessvlan100三层路由口SVI互联方式2创建互联VLAN100

Trunk接口类型：互联接口承载VLAN100，900S8606;S5750分别配置指向对方的静态路由创建互联VLAN1OOSwitch(config)#vlan100Switch(config-vlan)#interfacevlan100Switch(config-if)#ipaddress255255.255.252互联接口只承载VLAN100,900Switch(config)#interfacefastethernet0/24Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunkallowedvlanremove1-99,101-899,901-4094三层路由口路由口方式将一个物理接口设定为非交换口在该物理接口下直接配置IP地址S8606;S5750分别配置指向对方的静态路由创建路由口Switch(config)#interfacefastethernet0/24Switch(config-if)#noswitchportSwitch(config-if)#ipaddress255255.255.252设备自环解决方案接入层可能存在设备自环不可控区域可控区域需要部署生成树协议设备自环解决方案设备自环的三种情况BPDUBPDUBPDU如何解决单端口下的环路呢?fa0/24fa0/24fa0/24124设备自环问题解决方案设备单端口自环现象启用生成树功能能否解决单端口下自环问题？只要接收到BPDU报文，关闭端口！Switch(config)#interfastEthernet0/1//进入端口Fa0/1。Switch(config-if)#spanning-treebpduguardenable//打开该端口的的BPDUguard功能。Switch(config-if)#spanning-treebpduguarddisable//关闭该端口的的BPDUguard功能。不要在上联口配置生成树解决设备单端口自环设备自环问题解决方案设备自环解决方案单端口下的环路检查方法环路消除后的恢复方法手动恢复自动恢复sw#shintstatusInterfaceStatusVlanDuplexSpeedType----------------------------------------------------------FastEthernet0/1errdisable1UnknownUnknowncopperFastEthernet0/2down1UnknownUnknowncopperFastEthernet0/3down1UnknownUnknowncopperFastEthernet0/4down1UnknownUnknowncoppersw(config)#errdisablerecoverysw(config)#errdisablerecoveryinterval120设备自环解决方案单端口下的环路解决产生的效果BPDUfa0/24fa0/24fa0/24可能存在的问题?默认开启生成树的非网管交换机BPDU概述基于二层或者三层地址制定一组安全规则，对数据进行安全过滤，防止非法用户接入网络，保护合法用户措施ACL保护端口端口安全802.1x全局地址绑定128√××接入层端口安全技术端口相关安全功能概述禁止交换机端口之间的通讯（二层）保护端口角色保护口非保护口保护端口规则保护口之间禁止通讯保护口允许与非保护口通讯129protectedprotected×√√接入层端口安全技术－保护端口端口相关安全功能保护端口配置sw(config)#intrange

fa0/1-24sw(config-if-range)#switchportprotected级联情况下的配置保护端口可以跨交换机使用连接外界的交换机中，级联其他交换机的端口应配置为保护口130protectedprotected接入层端口安全技术－保护端口配置端口相关安全功能概述基于端口制定接入规则接入规则端口MAC最大个数端口+MAC端口+MAC+VLAN端口+IP端口+IP+MAC+VLAN131

001a.a900.0001VLAN100001a.a900.0002VLAN10√×F0/1F0/2F0/3F0/4√×√端口相关安全功能接入层端口安全技术－端口安全打开端口安全功能sw(config-FastEthernet0/1)#switchportport-security配置最大MAC地址数sw(config-FastEthernet0/1)#switchportport-securitymaximum3配置MAC地址绑定sw(config-FastEthernet0/1)#swpomac-address001a.a900.0001sw(config-FastEthernet0/1)#swpomac001a.a900.0001vlan10配置IP地址绑定sw(config-FastEthernet0/1)#swpobinding配置IP+MAC绑定sw(config-FastEthernet0/1)#swpobi001a.a900.0001vlan10配置违例处理方式sw(config-FastEthernet0/1)#swpoviolation{protect|restrict|shutdown}132接入层端口安全技术－端口安全配置端口相关安全功能内容缺省设置端口安全开关关闭最大安全地址过滤项个数（MAC）128安全地址过滤项无违例处理方式保护(protect)133接入层端口安全技术－端口安全端口安全规则处理规则MAC最大数量MAC绑定MAC+VLAN绑定如果MAC最大数量>MAC绑定：自动学习“MAC最大数量-MAC绑定”个MAC作为IP/MAC过滤项如果MAC最大数量=MAC绑定：只有被绑定的MAC才能合法接入网络IP绑定主机符合被绑定的IP才能合法接入网络IP+MAC+VLAN绑定主机符合被绑定的IP+MAC+VLAN才能合法介入网络端口相关安全功能交换机一个端口最大只能接入1台主机sw(config-FastEthernet0/1)#switchportport-securitymaximum1交换机一个端口最大只能接入4台主机，但其中有一台主机是合法保障的sw(config-FastEthernet0/1)#switchportport-securitymaximum4sw(config-FastEthernet0/1)#swpomac-address001a.a900.0001交换机一个端口只能是合法的IP接入sw(config-FastEthernet0/1)#swpobinding交换机一个端口只能是合法的IP且合法的MAC接入sw(config-FastEthernet0/1)#swpobi001a.a900.0001vlan10134接入层端口安全技术－端口安全应用案例端口相关安全功能概述FastFilterProcessor，快速过滤器交换机种一种高效的硬件过滤引擎，其基本功能就是根据报文的特征筛选出符合一定规则的数据流，并对数据流实施策略，不依赖CPU安全功能的核心FFP资源是有限的依赖FFP的功能ACL端口安全全局地址绑定Dot1x……135端口相关安全功能接入层端口安全技术－FFP芯片实现136111111010IP:MAC:001a.a900.0001报文⑤①②③④Permit/Deny1：安全功能配置2：安全功能下发FFP3：数据报文进入交换机4：匹配FFP内的策略5：决策FFP接入层端口安全技术－FFP工作逻辑端口相关安全功能137网关PC2PC100d0.f800.000100d0.f800.000254001a.a908.9f0bPC与设备之间相互通信后形成的ARP表ARP交互回顾ARP欺骗原理及防ARP欺骗解决方案ARP

Request报文更新ARP表的条件ARP报文中TargetIP为自己用ARP报文中的SenderMAC与SenderIP更新自己的ARP表138网关PC2PC100d0.f800.000100d0.f800.000254001a.a908.9f0bCheat（ARPRequest）ARP交互回顾－

ARPRequestARP欺骗原理及防ARP欺骗解决方案139网关PC2PC100d0.f800.000100d0.f800.000254001a.a908.9f0bCheat（ARPReply）ARP

Reply报文更新ARP表的条件ARP报文中TargetIP为自己当前ARP表中已存在SenderIP的表项用ARP报文中的SenderMAC与SenderIP更新自己的ARP表ARP交互回顾－

ARPReplyARP欺骗原理及防ARP欺骗解决方案140网关PC2PC100d0.f800.000100d0.f800.000254001a.a908.9f0bCheat（

GratuitousARP）GratuitousARP报文更新ARP表的条件GratuitousARP是一种特殊的ARPRequest/Replay报文，即SenderIP与TargetIP一致ARP报文中TargetIP为自己用ARP报文中的SenderMAC与SenderIP更新自己的ARP表ARP交互回顾－

GratuitousARPARP欺骗原理及防ARP欺骗解决方案InvalidARP表项ARP表中的MAC地址为全零（Windows主机）或“Nocompleted”（网络设备）产生原因发送ARPRequest后，为接收ARPReply做准备大量存在的原因同网段扫描（主机）跨网段扫描（网络设备）141ARP交互回顾－

理解invalidARP表项ARP欺骗原理及防ARP欺骗解决方案IP地址发生冲突的条件收到GratuitousARP报文，且Sender/TargetIP与当前IP一致，但SenderMAC与当前MAC不同当针对主机或网络设备发送上述报文时，即为IP冲突攻击142网关PC2PC100d0.f800.000100d0.f800.0002GratuitousARPGratuitousARP主机或网络设备怎样判断IP冲突ARP欺骗原理及防ARP欺骗解决方案主机型ARP欺骗欺骗者主机冒充网关设备对其他主机进行欺骗143网关欺骗者嗨，我是网关PC1ARP欺骗攻击分类-主机型ARP欺骗原理及防ARP欺骗解决方案网关型ARP欺骗欺骗者主机冒充其他主机对网关设备进行欺骗144网关欺骗者嗨，我是PC1PC1ARP欺骗攻击分类-网关型ARP欺骗原理及防ARP欺骗解决方案为什么产生ARP欺骗攻击？表象：网络通讯中断真实目的：截获网络通讯数据145PC1网关主机型网关型欺骗者ARP欺骗攻击目的ARP欺骗原理及防ARP欺骗解决方案怎样判断是否受到了ARP欺骗攻击？网络时断时续或网速特别慢在命令行提示符下执行“arp–d”命令就能好上一会在命令行提示符下执行“arp–a”命令查看网关对应的MAC地址发生了改变146判断ARP欺骗攻击-主机ARP欺骗原理及防ARP欺骗解决方案网关设备怎样判断是否受到了ARP欺骗攻击？ARP表中同一个MAC对应许多IP地址147判断ARP欺骗攻击-网关设备ARP欺骗原理及防ARP欺骗解决方案安全地址主机真实的IP与MAC地址在主机发送ARP报文前获得ARP报文校验检查ARP报文中Sender’sMAC与安全地址中的MAC是否一致，否则丢弃检查ARP报文中Sender’sIP与安全地址中的IP是否一致，否则丢弃148防ARP欺骗－两个基本概念ARP欺骗原理及防ARP欺骗解决方案149流程图安全地址获取丢弃转发ARP报文校验ARP报文S/T字段是否与安全地址一致ARP报文是否安全地址的获取是防ARP欺骗的前提，ARP报文校验是防ARP欺骗的手段防ARP欺骗原理ARP欺骗原理及防ARP欺骗解决方案定义主机的真实信息IP+MAC地址组成获取方式手工指定port-security自动获取DHCPSnoopingDot1x认证150防ARP欺骗原理－安全地址ARP欺骗原理及防ARP欺骗解决方案什么是ACE交换机端口形成的硬件资源表项通过硬件对报文的转发进行判断端口策略未配置安全地址