信息化網(wǎng)絡(luò)

專題知識(shí)培訓(xùn)

1培訓(xùn)內(nèi)容概要一、數(shù)據(jù)網(wǎng)系統(tǒng)二、MSTP光傳輸系統(tǒng)三、存儲(chǔ)與備份系統(tǒng)2第一部分：數(shù)據(jù)網(wǎng)系統(tǒng)1、網(wǎng)絡(luò)原理知識(shí)介紹2、信息化網(wǎng)絡(luò)的拓?fù)浣榻B3、網(wǎng)絡(luò)設(shè)備的基本配置與維護(hù)31、網(wǎng)絡(luò)基本知識(shí)介紹1.1OSI七層參考模型1.2Switching交換1.3Routing路由1.4Security安全41.1OSI七層參考模型OpenSystemInterconnectionReferenceModel5OSI：開(kāi)放系統(tǒng)互連參考模型（OpenSystemInterconnectionReferenceModel）網(wǎng)絡(luò)世界的法律!6OSIReferenceModelsPCAPCBApplicationPresentationSessionTransportNetworkDatalinkPhysicalApplicationPresentationSessionTransportNetworkDatalinkPhysicalData網(wǎng)絡(luò)設(shè)備傳輸數(shù)據(jù)的過(guò)程是按照OSI七層參考模型來(lái)運(yùn)動(dòng)的。7OSIReferenceModels(cont)ApplicationPresentationSessionTransportNetworkDatalinkPhysical應(yīng)用層數(shù)據(jù)流層我們統(tǒng)稱七層模型的上三層為應(yīng)用層，下四層為數(shù)據(jù)流層。8PPPFrameRelayHDLCETHERNETARPCableDIRVERICMPIPEIGRP網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)圖IGMPTCPUDPOSPFPINGTraceBGPTelnetFTPSMTPApplicationLayerTransportLayerNetworkLayerDataLinkLayerPhysicalLayerDNSTFTPSNMPRIP9EncapsulationApplicationPresentationSessionTransportNetworkDatalinkPhysicaldataTCP/UDPheaderSegmentIPheaderPacketLLCSublayerMACSublayerFCSLLCFCSMACFrame011000110101Bit在發(fā)送數(shù)據(jù)的時(shí)候,就是一個(gè)封裝數(shù)據(jù)的過(guò)程.10DeencapsulationApplicationlayerPresentationlayerSessionlayerTransportlayerNetworklayerDatalinkPhysicallayerLLCSublayerMACSublayer011000110101dataFCSTCPIPLLCMACSegmentPacketFrameBit在接收數(shù)據(jù)的時(shí)候,就是一個(gè)解封裝數(shù)據(jù)的過(guò)成.11七層功能應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層1234567提供應(yīng)用程序間通信處理數(shù)據(jù)格式、數(shù)據(jù)加密等建立、維護(hù)和管理會(huì)話建立主機(jī)端到端連接尋址和路由選擇提供介質(zhì)訪問(wèn)、鏈路管理等比特流傳輸12以太網(wǎng)絡(luò)其他的網(wǎng)絡(luò)拓?fù)湓诮窈蟮恼n程里還要學(xué)習(xí)，我們?cè)谶@里主要介紹一下Broadcast網(wǎng)絡(luò)也就是以太網(wǎng)絡(luò)。

以太網(wǎng)使用CSMA/CD(CarrierSenseandMultipleAccesswithCollisionDetection).CSMA/CD意思是,所有的設(shè)備利用同一個(gè)媒介通信,每一時(shí)刻只能傳輸一個(gè)設(shè)備的信息,但它們可以同時(shí)接收信息.如果兩個(gè)設(shè)備試圖在同一時(shí)刻傳輸,將發(fā)生傳輸沖突,檢測(cè)到?jīng)_突后,兩個(gè)設(shè)備都會(huì)等待一段隨機(jī)的時(shí)間(很短)再進(jìn)行傳輸.

13物理層---HUBCSMA/CD聽(tīng)Packet當(dāng)PCA要發(fā)一個(gè)數(shù)據(jù)包給PCD的時(shí)候,首先PCA要先聽(tīng)HUB的鏈路上是否有數(shù)據(jù)在跑,如果有那么PCA等待,如果沒(méi)有那么PCA將數(shù)據(jù)包發(fā)出.這樣的做法是由于HUB上的鏈路是共享的,所以采用了發(fā)數(shù)據(jù)包之前先進(jìn)行沖突檢測(cè)的方法,那么我們稱為CSMA/CD.PCAPCBPCCPCD空閑14物理層---HUBCSMA/CD聽(tīng)有數(shù)據(jù)在轉(zhuǎn)發(fā)繼續(xù)聽(tīng)HUB上的鏈路是共享的,所以如果HUB上有數(shù)據(jù)在轉(zhuǎn)發(fā),那么此時(shí)PCA需要等待.15物理層---HUBCSMA/CD聽(tīng)Packet現(xiàn)在的情況是PCA和PCC都要發(fā)數(shù)據(jù),但是兩人剛才都檢測(cè)到HUB上是空閑的.那么兩人都發(fā).結(jié)果發(fā)生了沖突.兩人都同時(shí)啟動(dòng)BACKOFF動(dòng)作.隨機(jī)的生成一個(gè)秒數(shù),再發(fā)數(shù)據(jù)包.如果再與其他PC發(fā)送的數(shù)據(jù)包沖突.那么再次BACKOFF,BACKOFF一共可進(jìn)行15次.PCAPCBPCCPCD空閑聽(tīng)Packet隨機(jī)秒數(shù)隨機(jī)秒數(shù)BACKOFF16物理層總結(jié)經(jīng)過(guò)上面的幾個(gè)例子,我們發(fā)現(xiàn)物理層的設(shè)備比如HUB由于沒(méi)有任何的機(jī)制可以避免數(shù)據(jù)發(fā)送時(shí)的沖突,當(dāng)然更不用說(shuō)廣播風(fēng)暴了.所以HUB是不能劃分沖突域和廣播域的.換句話說(shuō),一個(gè)HUB就是一個(gè)沖突域,一個(gè)廣播域.17數(shù)據(jù)鏈路層MAC地址是一個(gè)48位的地址，前24位是廠商號(hào)，后24位是廠商自定義的產(chǎn)品號(hào)。比如：Cisco的MAC都是：0000.0C華為產(chǎn)品前3個(gè)字節(jié)是0x00E0FC18交換基礎(chǔ)交換機(jī)的背板帶寬是交換式的,不互相影響.PacketPacketPacketPacket19沖突域與廣播域1234四個(gè)沖突域,一個(gè)廣播域.20數(shù)據(jù)鏈路層總結(jié)經(jīng)過(guò)上面的幾個(gè)例子,我們發(fā)現(xiàn)數(shù)據(jù)鏈路層的設(shè)備比如Switch由于背板帶寬是交換的而不是共享的,所以可以避免數(shù)據(jù)發(fā)送時(shí)的沖突.所以Switch是可以劃分沖突域的,但是Switch只是一個(gè)二層的設(shè)備不設(shè)計(jì)三層的概念所以不能劃分廣播域.換句話說(shuō),一個(gè)Switch的每個(gè)interface就是一個(gè)沖突域,整個(gè)Switch就是一個(gè)廣播域.21網(wǎng)絡(luò)層介紹定義與指定協(xié)議相關(guān)聯(lián)的源和目標(biāo)邏輯地址定義通過(guò)網(wǎng)絡(luò)的路徑多鏈路連接22IP協(xié)議IP協(xié)議是TCP/IP協(xié)議族中最為核心的協(xié)議，所有TCP、UDP、ICMP及IGMP數(shù)據(jù)都以IP數(shù)據(jù)包格式傳輸。IP地址被我們稱為網(wǎng)絡(luò)邏輯地址，用來(lái)唯一的標(biāo)示一臺(tái)網(wǎng)絡(luò)設(shè)備。IP地址與MAC地址的關(guān)系是，MAC地址被我們稱為物理地址。是廠家出廠設(shè)置的地址一般不做更改，IP地址與MAC地址是通過(guò)ARP協(xié)議進(jìn)行解析對(duì)應(yīng)的。23IP地址IP地址是32位無(wú)符號(hào)整數(shù)，例如。我們可以把IP地址分為五類(lèi)。ClassA:ClassB:ClassC:ClassD:ClassE:NetworkHostHostHostNetworkNetworkHostHostNetworkNetworkNetworkHost8bits8bits8bits8bits1---126128---191240---255224---239192---223地址的第一個(gè)字節(jié)(十進(jìn)制)組播地址科研用24IP地址分類(lèi)1ClassA:Bits:0NNNNNNNHostHostHost891617242532Range(1-126)1ClassB:Bits:10NNNNNNNetworkHostHost891617242532Range(128-191)1ClassC:Bits:110NNNNNNetworkNetworkHost891617242532Range(192-223)1ClassD:Bits:1110MMMMMulticastGroupMulticastGroupMulticastGroup891617242532Range(224-239)25子網(wǎng)掩碼1721600255255002552552550IP

AddressDefault

Subnet

Mask8-bit

Subnet

MaskNetworkHostNetworkHostNetworkSubnetHost“/16”表示子網(wǎng)掩碼有16位.“/24”表示子網(wǎng)掩碼有24位.1111111111111111000000000000000026ClassAddressareaStateAReserve到Usable-55PrivateReserveHostloopB到UsableReserve-55PrivateCReserve到Usable-55PrivateReserveD到55MulticastAllhostAllrouterAllDVMRProuterAllOSPFrouterAllOSPFDR(DesignatedRouter)AllRIPv2router0AllEIGRProuter3AllPIMrouterE到54Reserve55Broadcast27IP報(bào)頭4比特版本4比特IHL8比特服務(wù)類(lèi)型16比特總長(zhǎng)度16比特標(biāo)識(shí)3比特標(biāo)識(shí)13比特分段偏移8比特生存期TTL8比特協(xié)議16比特校驗(yàn)和32比特源地址32比特目的地址選項(xiàng)數(shù)據(jù)28IP報(bào)頭(續(xù))IP版本號(hào)（VersionNumber）----IP報(bào)頭的前4比特標(biāo)識(shí)了IP的運(yùn)行版本（V4或者V6）。IP數(shù)據(jù)包的頭位是版本域。因?yàn)橛懻摰氖荌Pv4數(shù)據(jù)包，所以版本號(hào)為4。4的二進(jìn)制表示是0100。4比特版本4比特IHLIHL（Internet頭長(zhǎng)度）域----她是以32比特字為單位的頭的長(zhǎng)度,標(biāo)識(shí)IP報(bào)頭的長(zhǎng)度。8比特服務(wù)類(lèi)型8比特的服務(wù)類(lèi)型（TOS）域----設(shè)為0，因?yàn)闆](méi)有特殊的TOS需求；這樣，TOS域的值就為00000000。用來(lái)指定該數(shù)據(jù)Packet的優(yōu)先權(quán)，延遲，吞吐量和可靠性參數(shù)。16比特總長(zhǎng)度總長(zhǎng)度字段（TotalLengthField）----這16比特字段包含IPPacket的總長(zhǎng)度。29IP報(bào)頭(續(xù))4比特版本4比特IHL8比特服務(wù)類(lèi)型16比特總長(zhǎng)度16比特標(biāo)識(shí)Packet標(biāo)識(shí)符（PacketIdentifier）----允許一個(gè)主機(jī)來(lái)決定最新到達(dá)的數(shù)據(jù)分段屬于哪一個(gè)Packet.3比特標(biāo)識(shí)數(shù)據(jù)片騙移量字段----指出這個(gè)數(shù)據(jù)片在原有數(shù)據(jù)包中的位置,如果原有數(shù)據(jù)包沒(méi)有被分片.那么這個(gè)字段等于0.13比特分段偏移8比特生存期TTL生存時(shí)間（TTL,Time-To-Live）字段-----在WAN中，IPPacket不能永久漫游，限制了一個(gè)有限的TTL值。8比特的TTL字節(jié)由發(fā)送者確定，最大為255。Packet每經(jīng)過(guò)一個(gè)站，這個(gè)值至少被遞減1。遞減到1以后，則確定該P(yáng)acket是不可傳送的。標(biāo)志（Flags）----接下來(lái)的字段包括3個(gè)1比特標(biāo)志，用來(lái)指出對(duì)Packet的分段是否允許以及在分段已經(jīng)使用時(shí)，是否還允許分段。30IP報(bào)頭(續(xù))4比特版本4比特IHL8比特服務(wù)類(lèi)型16比特總長(zhǎng)度16比特標(biāo)識(shí)3比特標(biāo)識(shí)13比特分段偏移8比特生存期TTL協(xié)議標(biāo)識(shí)符字段（ProtocolIdentifierField）----這8比特字段標(biāo)識(shí)了IP報(bào)頭之后的協(xié)議，例如協(xié)議號(hào)為6就是TCP，協(xié)議號(hào)為17就是UDP,協(xié)議號(hào)為89就是OSPF,協(xié)議號(hào)為88就是EIGRP。8比特協(xié)議16比特校驗(yàn)和校驗(yàn)和（Checksum）----校驗(yàn)和字段是一個(gè)16比特的檢錯(cuò)字段。31IP報(bào)頭(續(xù))4比特版本4比特IHL8比特服務(wù)類(lèi)型16比特總長(zhǎng)度16比特標(biāo)識(shí)3比特標(biāo)識(shí)13比特分段偏移8比特生存期TTL8比特協(xié)議16比特校驗(yàn)和32比特源地址32比特目的地址源IP地址（SourceIPAddress）----本字段為源端計(jì)算機(jī)的IP地址。目標(biāo)IP地址（DestinationIPAddress）----本字段為目標(biāo)計(jì)算機(jī)的IP地址。填充數(shù)據(jù)填充字段（Padding）----為確保IP報(bào)頭總是32比特的整倍數(shù)，本字段填充進(jìn)額外的0。32路由路由的概念就是將個(gè)不同子網(wǎng)的IP,進(jìn)行轉(zhuǎn)發(fā)通信。路由有兩個(gè)功能:

尋路:在路由表中找目的子網(wǎng)的路由條目。

轉(zhuǎn)發(fā):通過(guò)ARP表或MAP表重新進(jìn)行二層的封裝。33路由(續(xù))PCAPCBPCCSOURCEMACSOURCEIPDESTINATIONMACDESTINATIONIPPacketPCAPCAe0e0e1PCCSOURCEMACSOURCEIPDESTINATIONMACDESTINATIONIPPCAe1PCCPCCRouteTableE0cE1c1ARPMAC--IP2MAP二層地址--IP2在路由的過(guò)程中,三層地址不變,二層地址隨著下跳的改變而改變.34ARPARP為IP地址到對(duì)應(yīng)的硬件地址之間提供動(dòng)態(tài)映射.我們之所以用動(dòng)態(tài)這個(gè)詞是因?yàn)檫@個(gè)過(guò)程是自動(dòng)完成的.ARP為IP地址到對(duì)應(yīng)的硬件地址之間提供動(dòng)態(tài)映射.我們之所以用動(dòng)態(tài)這個(gè)詞是因?yàn)檫@個(gè)過(guò)程是自動(dòng)完成的.點(diǎn)對(duì)點(diǎn)鏈路不使用ARP。當(dāng)設(shè)置這些鏈路時(shí)，必須告知內(nèi)核鏈路每一端的IP地址。35ARP－地址解析協(xié)議需要的MAC地址？IP:/24MAC:00-E0-FC-00-00-11IP:/24MAC:00-E0-FC-00-00-12ARPRequest?ARPReply

對(duì)應(yīng)的MAC：00-E0-FC-00-00-1236RARP－反向地址解析協(xié)議我的IP地址是什么？無(wú)盤(pán)工作站RARPServerRARPRequest?RARPReply你的IP地址是37免費(fèi)ARP通過(guò)上一個(gè)膠片的Debug信息我們可以看到另一個(gè)有趣的現(xiàn)象，就是主機(jī)或者路由器會(huì)來(lái)查找本地接口IP地址的MAC地址，我們稱之為免費(fèi)ARP。免費(fèi)ARP有兩個(gè)方面的好處：一、一個(gè)主機(jī)可以通過(guò)查找本地接口IP地址的MAC地址來(lái)確定網(wǎng)絡(luò)中是否有設(shè)置了相同IP地址的主機(jī)。二、如果更改了MAC地址或者更換了NIC，那么主機(jī)收到某個(gè)IP地址的ARP請(qǐng)求而且這個(gè)請(qǐng)求的IP地址已經(jīng)在本地ARP緩存中，主機(jī)就要用ARP請(qǐng)求中的發(fā)送端（在這里也就是他自己）硬件地址對(duì)高速緩存中相應(yīng)的內(nèi)容進(jìn)行更新。38ARP高速緩存ARP高效運(yùn)行的關(guān)鍵是由于每個(gè)主機(jī)上都有一個(gè)ARP高速緩存.這個(gè)高速緩存存放了最近Internet地址到硬件地址之間的映射記錄.高速緩存中每一項(xiàng)的生存時(shí)間一般是20分鐘,起始時(shí)間從被創(chuàng)建時(shí)開(kāi)始算起.Cisco(config-if)#arptimeout?<0-2147483>Seconds39ProxyARP如果ARP請(qǐng)求是從一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)往另一個(gè)網(wǎng)絡(luò)的主機(jī),那么連接這兩個(gè)網(wǎng)絡(luò)的路由器就可以回答該請(qǐng)求,這個(gè)過(guò)程稱作委托ARP或ARP代理(ProxyARP).這樣可以欺騙發(fā)起ARP請(qǐng)求的發(fā)送端,使它誤以為路由器就是目的主機(jī),而事實(shí)上目的主機(jī)是在路由器的”另一邊”.路由器的功能相當(dāng)于目的主機(jī)的代理,把分組從其他主機(jī)轉(zhuǎn)發(fā)給它.ABProxyARP40傳輸層介紹通過(guò)端口號(hào)區(qū)分上層應(yīng)用建立端到端連接(TCP連接)提供面向連接(TCP)和非面向連接(UDP)41面向連接協(xié)議和面向非連接協(xié)議傳輸層有兩種協(xié)議：1、面向連接協(xié)議。2、面向非連接協(xié)議。面向連接協(xié)議的典型代表為T(mén)CP協(xié)議，面向非連接協(xié)議的典型代表為UDP協(xié)議。面向連接協(xié)議要求必須在數(shù)據(jù)傳輸之前先做好連接工作,比如TCP的三次握手工作。ABPacket42一臺(tái)PC機(jī)發(fā)信息的過(guò)程我要發(fā)送DataTCP協(xié)議將數(shù)據(jù)分裝成數(shù)據(jù)段.表面上看應(yīng)用可以轉(zhuǎn)發(fā)大量的數(shù)據(jù).然而TCP或任何傳輸層協(xié)議,必須開(kāi)始把大量數(shù)據(jù)分成更易管理的數(shù)據(jù)塊的過(guò)程,每個(gè)數(shù)據(jù)塊稱為”segment”。SegmentSegmentSegmentSegment分段處理中有一部分是對(duì)整個(gè)TCP報(bào)頭字段的分段,這些字段中最重要的兩個(gè)是序列號(hào)以及正在發(fā)送和接收分段數(shù)據(jù)的應(yīng)用的源和目標(biāo)端口號(hào).序列號(hào)端口號(hào)源端口號(hào)目標(biāo)端口號(hào)43序號(hào)的作用Seq1Seq2Seq3序列號(hào)標(biāo)識(shí)從原始數(shù)據(jù)流中分割出的數(shù)據(jù)段的順序,這使接收方能重建數(shù)據(jù)流,而不會(huì)把內(nèi)容弄混亂。由于網(wǎng)絡(luò)的原因致使我們第一個(gè)發(fā)出的包卻最后一個(gè)到，如果對(duì)方按照接收的順序處理那么數(shù)據(jù)的內(nèi)容可能將混亂。序列號(hào)由于要標(biāo)示數(shù)據(jù)包的順序所以必須是N+1累加的，但是這樣可能會(huì)被黑客捕捉從而推測(cè)我們下一個(gè)數(shù)據(jù)包的序號(hào)進(jìn)行偽裝。所以我們第一個(gè)序列號(hào)是一個(gè)隨即數(shù)，我們稱之為ISN。SeqISN+1SeqISN+2SeqISN+344一臺(tái)PC機(jī)發(fā)信息的過(guò)程（續(xù)）網(wǎng)絡(luò)里可以被路由的地址是IP地址而不是TCP的端口號(hào)，所以我們需要在Segment的上面再加一些信息---IP包頭。我們管加了IP包頭的Segment叫做Packet。源和目標(biāo)機(jī)器的IP地址包含在IP分組的報(bào)頭中,它們使路由器能夠?qū)P分組轉(zhuǎn)發(fā)到本地網(wǎng)以外的目標(biāo).IP信息SegmentPacket源IP地址目的IP地址45TCP概述盡管TCP和UDP都使用相同的網(wǎng)絡(luò)層（IP），TCP卻向應(yīng)用層提供與UDP完全不同的服務(wù)，TCP提供一種面向連接的可靠的字節(jié)流服務(wù)。面向連接的意思是說(shuō)：兩個(gè)使用TCP的應(yīng)用（一個(gè)客戶和一個(gè)服務(wù)器）在彼此交換數(shù)據(jù)之前必須先建立一個(gè)TCP連接以保證數(shù)據(jù)傳輸?shù)目煽啃?。這一過(guò)程與打電話相似，先撥號(hào)震鈴，等待對(duì)方摘機(jī)說(shuō)“喂”然后才說(shuō)明是誰(shuí)。46TCP概述(續(xù))在一個(gè)TCP連接中，僅有兩方進(jìn)行彼此通信，當(dāng)然這個(gè)通訊也可以是雙向的。先建立聯(lián)系，再通話。先建立連接，再傳數(shù)據(jù)。每個(gè)TCP段都包含源端和目的端的端口號(hào)，用于尋找發(fā)端和收端應(yīng)用進(jìn)程。這兩個(gè)值加上IP首部中的源端IP首部中的源端IP地址和目的端IP地址唯一確定一個(gè)TCP連接。代振文2651314俞國(guó)華3539292端口號(hào)：2901端口號(hào)：230一個(gè)IP地址和一個(gè)端口號(hào)也稱為一個(gè)插口Socket。47TCP數(shù)據(jù)格式Sourceport(16)Destinationport(16)Sequencenumber(32)Header

length(4)Acknowledgementnumber(32)Reserved(6)Codebits(6)Window(16)Checksum(16)Urgent(16)Options(0or32ifany)Data(varies)20

BytesBit0Bit15Bit16Bit31URG緊急指針（urgentpointer）有效。URGACKPSHRSTSYNACK確認(rèn)序號(hào)有效。PSH接收方應(yīng)該盡快將這個(gè)報(bào)文段交給應(yīng)用層。RST重建連接。SYN同步序號(hào)用來(lái)發(fā)起一個(gè)連接。FINFIN發(fā)端完成發(fā)送任務(wù)。48PPPFrameRelayHDLCETHERNETARPCableDIRVERICMPIPEIGRPTCP在OSI中的位置IGMPTCPUDPOSPFPINGTraceBGPTelnetFTPSMTPApplicationLayerTransportLayerNetworkLayerDataLinkLayerPhysicalLayerDNSTFTPSNMPRIP49TCP面向連接TCP是一個(gè)面向連接的協(xié)議。無(wú)論哪一個(gè)方向另一方發(fā)送數(shù)據(jù)之前，都必須先在雙方之間建立一條連接。TCP為應(yīng)用層提供全雙工服務(wù)。這意味數(shù)據(jù)能在兩個(gè)方向上獨(dú)立地進(jìn)行傳輸，因此，連接的每一端必須保持每個(gè)方向上的傳輸數(shù)據(jù)序號(hào)。Packet50TCP三次握手SynchronizeSynchronizeAcknowledgeAcknowledgeConnectionEstablishedPCAPCB51TCP面向連接---Three-wayhandshake1、請(qǐng)求端（通常稱為客戶）發(fā)送一個(gè)SYN段指明客戶打算連接的服務(wù)器的端口，以及初始序號(hào)（ISN，在這個(gè)例子中為127974818）。這個(gè)SYN段為報(bào)文段1。2、服務(wù)器發(fā)回包含服務(wù)器的初始序號(hào)的SYN報(bào)文段進(jìn)行確認(rèn)。一個(gè)SYN將占用一個(gè)序號(hào)。3、客戶必須將確認(rèn)序號(hào)設(shè)置為服務(wù)器的ISN加1以對(duì)服務(wù)器的SYN報(bào)文段進(jìn)行確認(rèn)（報(bào)文段3）。為在傳輸數(shù)據(jù)之前，先建立一個(gè)連接。TCP需要有一個(gè)三次握手的動(dòng)作。這三個(gè)報(bào)文段完成連接的建立。這個(gè)過(guò)程也稱為三次握手（three-wayhandshake）。52TCP面向連接---Three-wayhandshake（續(xù)）發(fā)送第一個(gè)SYN的一端將執(zhí)行主動(dòng)打開(kāi)（activeopen）。接收這個(gè)SYN并發(fā)回下一個(gè)SYN的另一端執(zhí)行被動(dòng)打開(kāi)（passiveopen）。SYN1279748181：1279748181（0）Mss1024SYN1355821893：1355821893（0）Ack1279748181Mss1024Ack1355821893我們注意看到在同步序號(hào)后面有一個(gè)（0），意思是沒(méi)有發(fā)送任何數(shù)據(jù)。在三次握手的過(guò)程中TCP是不發(fā)數(shù)據(jù)的。53TCP面向連接---序號(hào)與確認(rèn)既然TCP報(bào)文段作為IP數(shù)據(jù)報(bào)來(lái)傳輸，而IP數(shù)據(jù)報(bào)的到達(dá)可能會(huì)失序，因此TCP報(bào)文段的到達(dá)也可能會(huì)失序。所以TCP將對(duì)受到的數(shù)據(jù)進(jìn)行重新排序，將收到的數(shù)據(jù)以正確的順序交給應(yīng)用層。當(dāng)TCP收到發(fā)自TCP連接另一端的數(shù)據(jù)，它將發(fā)送一個(gè)確認(rèn)。這個(gè)確認(rèn)不是立即發(fā)送通常將推遲幾分之一秒。序號(hào)是32bit的無(wú)符號(hào)數(shù)，序號(hào)到達(dá)2的32次方-1后又從0開(kāi)始。54TCP面向連接---序號(hào)與確認(rèn)（續(xù)）在三次握手以后，開(kāi)始傳送數(shù)據(jù)。PSH1:1025(1024)ACK1,win4096Ack2049,win4096PSH3073:4097(1024)ACK1,win4096PSH1025:2049(1024)ACK1,win4096PSH2049:3073(1024)ACK1,win4096Ack3073,win3072Ack4097,win4096PSH4097:5121(1024)ACK1,win4096PSH5121:6145(1024)ACK1,win4096PSH6145:7169(1024)ACK1,win4096發(fā)送方用序號(hào)來(lái)代表所發(fā)送的數(shù)據(jù)，接收方用Ack來(lái)確認(rèn)所接收的數(shù)據(jù)。在這里我們發(fā)現(xiàn)，接收方不需要對(duì)每一個(gè)數(shù)據(jù)進(jìn)行確認(rèn)。Ack是累積的，表示收方已經(jīng)正確收到了一直到確認(rèn)號(hào)減一的所有字節(jié)。1234567891055TCP滑動(dòng)窗口TCP窗口代表了接收方的接收數(shù)據(jù)能力。每次接收方接收了一批數(shù)據(jù)后，判斷自己今后的接收能力。1、比如接收方通告一個(gè)為4的窗口給發(fā)送方。2、發(fā)送方立即發(fā)送大小為4字節(jié)的數(shù)據(jù)去添滿接收方的窗口（當(dāng)然發(fā)送方也可以不用這么積極）。3、接收方用Ack確認(rèn)，表示已經(jīng)收到發(fā)送方的數(shù)據(jù)。但窗口現(xiàn)在為0，因?yàn)閯偛?字節(jié)的數(shù)據(jù)正在接收方的緩存里排隊(duì)，現(xiàn)在接收方已經(jīng)沒(méi)有窗口了。56TCP滑動(dòng)窗口PSH1:1025(1024)ACK1,win4096Ack2049,win4096PSH3073:4097(1024)ACK1,win4096PSH1025:2049(1024)ACK1,win4096PSH2049:3073(1024)ACK1,win4096Ack3073,win3072Ack4097,win4096PSH4097:5121(1024)ACK1,win4096PSH5121:6145(1024)ACK1,win4096PSH6145:7169(1024)ACK1,win4096讓我們將上一個(gè)圖例的窗口拿出來(lái)分析一下。接收方在三次握手時(shí)，通告了一個(gè)4096的窗口。1-10241024-20482049-30723073-40964097-5120三次握手通告4096字節(jié)窗口1-3發(fā)送數(shù)據(jù)1-3073字節(jié)報(bào)文4通告4096字節(jié)窗口123456789104確認(rèn)2049字節(jié)51報(bào)文5確認(rèn)1024字節(jié)報(bào)文5通告3072字節(jié)窗口報(bào)文6發(fā)送3073-4097字節(jié)報(bào)文7確認(rèn)1024字節(jié)57本單元簡(jiǎn)單講解了OSI七層參考模型的一些基本原理，便于大家在今后一階段的學(xué)習(xí)。大家休息一會(huì)兒，接下來(lái)學(xué)習(xí)的是switching…………….581.2Switching1.2.1園區(qū)網(wǎng)的設(shè)計(jì)1.2.2CommandLine1.2.3VLAN的介紹1.2.4Spanning-tree59園區(qū)網(wǎng)的設(shè)計(jì)1、園區(qū)網(wǎng)，通常是指連接建筑物內(nèi)和一群建筑物之間設(shè)備的企業(yè)網(wǎng)。局域網(wǎng)交換和高速路由選擇技術(shù)被用來(lái)提供建筑物之間的連接。2、分級(jí)網(wǎng)絡(luò)設(shè)計(jì)包括以下3層：核心層——提供最優(yōu)的區(qū)間傳輸匯聚層——提供基于策略的連接接入層——為多業(yè)務(wù)應(yīng)用和其他的網(wǎng)絡(luò)應(yīng)用提供用戶到網(wǎng)絡(luò)的接入601、核心層，是一個(gè)高速的交換式骨干，它的設(shè)計(jì)目標(biāo)是使得交換分組所耗費(fèi)的時(shí)間延遲最小，在園區(qū)網(wǎng)的各個(gè)匯聚層設(shè)備之間提供高速的連接。2、匯聚層，是核心層和接入層的分界點(diǎn)，包含以下一些功能：

A、地址或區(qū)域的匯聚B、將部門(mén)或工作組的訪問(wèn)連接到骨干C、廣播/組播域的定義D、VLAN間路由選擇E、介質(zhì)轉(zhuǎn)換F、安全策略園區(qū)網(wǎng)的設(shè)計(jì)（續(xù)）61園區(qū)網(wǎng)的設(shè)計(jì)（續(xù)）3、接入層，是本地終端用戶被許可接入網(wǎng)絡(luò)的點(diǎn)。通常2層交換機(jī)在接入層中起非常重要的作用。包括下列功能：

A、共享帶寬B、交換帶寬C、MAC層過(guò)濾62園區(qū)網(wǎng)的設(shè)計(jì)（續(xù)）核心層匯聚層接入層63園區(qū)網(wǎng)的設(shè)計(jì)（續(xù)）64園區(qū)網(wǎng)的設(shè)計(jì)（完）65CommandLine66IOS基礎(chǔ)IOS是和Unix、windows、linux一樣的操作系統(tǒng)，是目前使用最廣泛的操作系統(tǒng)之一。IOS是一種特殊的用來(lái)交換數(shù)據(jù)報(bào)文的操作系統(tǒng)，他的結(jié)構(gòu)很大部分用來(lái)致力于是報(bào)文交換更加迅速、更加高速。IOS被設(shè)計(jì)成比較小的、內(nèi)嵌進(jìn)cisco路由器的一種操作系統(tǒng)，為了追求速度，在錯(cuò)誤保護(hù)方面有所犧牲。Quidway設(shè)備系統(tǒng)是VRP，Cisco設(shè)備系統(tǒng)是IOS。目前Quidway系統(tǒng)的最高版本為3.0版，Cisco設(shè)備系統(tǒng)是12.0版。67命令行模式用戶模式：用戶模式：對(duì)交換機(jī)和路由器的有限操作，例如：ping、traceroute、connect、show、telnet命令提示符：Cisco>特權(quán)模式：對(duì)交換機(jī)和路由器更深入的操作，有配置和監(jiān)視權(quán)力，是進(jìn)入其它配置模式的前提，一共16個(gè)級(jí)別，最高級(jí)15命令提示符：Cisco>enablevalue(0-15)

Cisco#

68全局模式：對(duì)交換機(jī)和路由器進(jìn)行各個(gè)協(xié)議的設(shè)置，對(duì)各個(gè)服務(wù)的設(shè)置，對(duì)路由器常規(guī)的設(shè)置，配置各個(gè)應(yīng)用條件，可以從ConfigureMode進(jìn)入LineMode和InterfaceMode，可以配置路由器充當(dāng)?shù)慕巧?。命令提示符：Cisco#configureterminalCisco(config)#(aaa,access-list,)接口模式：進(jìn)入接口，對(duì)接口進(jìn)行配置命令提示符：Cisco(config-if)#InterfaceCisco(config-line)#lineCisco(config-route)#routerconfigureCisco(config-std-nacl)#Namestandofaccess-listCisco(config-ext-nacl)#Nameextendedofaccess-list69基本配置操作配置用戶名,密碼：Cisco用戶名,密碼有兩種數(shù)據(jù)庫(kù),一種是本地?cái)?shù)據(jù)庫(kù),一種是遠(yuǎn)程數(shù)據(jù)庫(kù),遠(yuǎn)程數(shù)據(jù)庫(kù)需要有AAA軟件的支持。Cisco可以基于用戶設(shè)置16個(gè)權(quán)限級(jí)別0-15，其中0級(jí)是User用戶模式，1-15級(jí)是特權(quán)模式。如果從用戶模式轉(zhuǎn)到特權(quán)模式不特別指定級(jí)別的話，默認(rèn)是15級(jí)。在沒(méi)有設(shè)置密碼的情況下，只有15級(jí)是不需要密碼就可以進(jìn)入的加用戶名，密碼，權(quán)限，給密碼加密，應(yīng)用級(jí)別驗(yàn)證。Router(config)#usernamekttprivilege15passwordciscoRouter(config)#servicepassword-encryptionRouter(config)#enablesecretlevel015注意：雖然設(shè)置了15級(jí)的密碼，但是如果不加級(jí)別驗(yàn)證，即使是0級(jí)的用戶在其他級(jí)別沒(méi)有加密碼的情況下一樣可以不需要驗(yàn)證的進(jìn)入特權(quán)模式。70應(yīng)用在VTY和CONSOLE上Router(config)#lineconsole0Router(config-line)#loginlocalRouter(config)#linevty04Router(config-line)#loginlocal（采用本地驗(yàn)證）顯示登陸cisco#showlineTtyTypTx/RxAModemRotyAccOAccIUsesNoiseOverruns*0CTY-----200/0*1VTY-----200/02VTY-----000/03VTY-----000/04VTY-----000/05VTY-----000/0清除用戶登陸cisco#clearline1[confirm][OK]71設(shè)置主機(jī)名Hostname(config)#HostnameXXX單獨(dú)無(wú)用戶名的密碼管理：Hostname(config)#enablepasswordxxxxHostname(config)#enablesecretxxxxWrite命令:Cisco#writeterminal將配置顯示在終端上.相當(dāng)于Showrunning-config命令（防火墻只能用Write)Router#write將配置保存到NVRAM里，相當(dāng)于copyrunning-configstartup-configCisco#writememory將內(nèi)存中的配置寫(xiě)到NVRAM中.相當(dāng)與Copyrunning-configstartup-config命令。72show任務(wù)命令查看版本及引導(dǎo)信息showversion查看運(yùn)行設(shè)置showrunning-config查看開(kāi)機(jī)設(shè)置showstartup-config顯示端口信息showinterfacetypeslot/number顯示路由信息showiproute顯示IP包傳輸情況showiptraffic顯示TCP包傳輸情況showtcpstatistics73VLAN的介紹74為什么需要VLAN在一個(gè)樓里有多臺(tái)交換機(jī).75為什么需要VLAN(續(xù))在一個(gè)園區(qū)網(wǎng)里有多個(gè)樓宇,所有樓宇都在一個(gè)廣播域里.在同一個(gè)廣播域里76VLAN30VLAN20VLAN10為什么需要VLAN(續(xù))VLAN的優(yōu)勢(shì):1.安全2.分割廣播域77VLAN的分類(lèi)靜態(tài)VLAN：這種方法也被稱為“基于端口的成員身份”。動(dòng)態(tài)VLAN：動(dòng)態(tài)VLAN軟件實(shí)現(xiàn)來(lái)建立的。IPVLAN:基于IP網(wǎng)段的VLAN.協(xié)議VLAN：通過(guò)不同的網(wǎng)絡(luò)協(xié)議來(lái)實(shí)現(xiàn)VLAN的，比如IP協(xié)議，IPX協(xié)議。78動(dòng)態(tài)VLANE1E2SwitchBPCAPCDE1E2SwitchAServerPCBPCCPCAVLAN10PCCVLAN10PCBVLAN20PCDVLAN20動(dòng)態(tài)VLAN:是基于MAC地址劃分的.79靜態(tài)VLANE1E2SwitchBE1E2SwitchAPCAPCBPCCPCD靜態(tài)VLAN:是基于端口劃分的.80鏈路類(lèi)型Access-link連接到這個(gè)端口上的設(shè)備完全不知道存在著一個(gè)VLAN。為了保證使接入設(shè)備不需要知道VLAN的存在，交換機(jī)負(fù)責(zé)在Frame被發(fā)送到末端設(shè)備之前將VLAN信息從Frame里拿掉。Trunk-link干道鏈路不屬于某個(gè)具體的VLAN或者說(shuō)TrunkLink屬于所有VLAN。由于一個(gè)VLAN（如果是和IP子網(wǎng)掛聯(lián)的VLAN）確定了一個(gè)廣播域。不論一個(gè)網(wǎng)絡(luò)由多少個(gè)交換機(jī)組成，也無(wú)論一個(gè)VLAN跨越了多少個(gè)交換機(jī)，按照VLAN的定義，一個(gè)VLAN就確定了一個(gè)廣播域。81SingleVlanAccess-link,Trunk-link(續(xù))Vlan1Vlan2Vlan3Vlan4Access-link一般情況下跑一個(gè)VLAN.Trunk-link可以承載多個(gè)VLAN.82Access-link,Trunk-linkE1E2SwitchAPCAPCBPCCPCDSwitchBE1E2Access-linkTrunk-link83Access-link,Trunk-link(續(xù))E1E2SwitchBE1E2SwitchAPCAPCBPCCPCDSourceMacPCADestinationMacPCCVLAN10SourceMacPCADestinationMacPCCSourceMacPCADestinationMacPCCEncapsulationVlanIDDEEncapsulationVlanID84Trunk-linkEncapsulationISL----用于互連多臺(tái)交換機(jī)的Cisco專有封裝協(xié)議。IEEE802.1Q----一種IEEE標(biāo)準(zhǔn)方法。局域網(wǎng)仿真（LANE）----用于通過(guò)異步傳輸模式（ATM）網(wǎng)絡(luò)傳輸VLAN的一種IEEE標(biāo)準(zhǔn)方法。802.10----在標(biāo)準(zhǔn)802.10Frame（光纖分布式數(shù)據(jù)接口FDDI）內(nèi)傳輸VLAN信息的一種Cisco專有方法。VLAN信息被寫(xiě)在802.10Frame的安全關(guān)聯(lián)標(biāo)識(shí)符（SAID）部分。這種方法通常被用來(lái)通過(guò)FDDI骨干網(wǎng)傳輸VLAN。85802.1Q是內(nèi)部封裝，只加入了4個(gè)字節(jié)，并且改變了原有數(shù)據(jù)幀的內(nèi)容。802.1Q是所有廠商的標(biāo)準(zhǔn)，建議使用。ISL封裝方式是Cisco私有的封裝方式，ISL是一個(gè)外部封裝方式。有26字節(jié)的頭和一個(gè)4字節(jié)的尾。這樣總共是加入了30字節(jié)數(shù)，如果是一個(gè)不認(rèn)識(shí)ISL的設(shè)備（非Cisco廠商的設(shè)備），那么將認(rèn)為這是一個(gè)巨幀。Trunk-linkEncapsulation(續(xù))86VLAN與廣播為了保證同屬于一個(gè)VLAN的所有主機(jī)都接收到這個(gè)廣播報(bào)文，交換機(jī)必須按照如下原則進(jìn)行轉(zhuǎn)發(fā)數(shù)據(jù)包：1．發(fā)送給本交換機(jī)中同一個(gè)VLAN中的所有其他端口。2．將這個(gè)數(shù)據(jù)包發(fā)送給本交換機(jī)的包含這個(gè)VLAN的所有Trunklink，以便讓其他交換機(jī)上的同一個(gè)VLAN的端口也發(fā)送該數(shù)據(jù)包。E1E2E3E4E5E6VLAN10VLAN20BroadcastBroadcastBroadcastBroadcastTrunkBroadcast87Spanning-tree88Spanning-tree的概述Spanning-Tree是動(dòng)態(tài)解決在冗余網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中出現(xiàn)環(huán)路問(wèn)題的技術(shù)。那么為什么在網(wǎng)絡(luò)中需要冗余鏈路，冗余鏈路是怎樣產(chǎn)生路由環(huán)路的呢？網(wǎng)段1路由器Y服務(wù)器/主機(jī)X我們看到在這個(gè)網(wǎng)絡(luò)里可能會(huì)有單點(diǎn)故障出現(xiàn)。89冗余鏈路服務(wù)器/主機(jī)X路由器Y我們看到在這個(gè)網(wǎng)絡(luò)里冗余鏈路解決了單點(diǎn)故障的問(wèn)題。90冗余鏈路的問(wèn)題---廣播風(fēng)暴冗余拓?fù)鋮s帶來(lái)的廣播風(fēng)暴是怎么樣形成的。服務(wù)器/主機(jī)X路由器Y廣播風(fēng)暴91冗余鏈路的問(wèn)題---廣播風(fēng)暴（續(xù)）未經(jīng)受廣播風(fēng)暴經(jīng)受廣播風(fēng)暴92冗余鏈路的問(wèn)題冗余拓?fù)鋮s帶來(lái)的重復(fù)幀問(wèn)題。服務(wù)器/主機(jī)X路由器Y重復(fù)數(shù)據(jù)幀93冗余鏈路的問(wèn)題冗余拓?fù)鋷?lái)的MAC地址表不穩(wěn)定的問(wèn)題。服務(wù)器/主機(jī)X路由器YMAC不穩(wěn)MACInterfaceX11231212123MACInterfaceX1MACInterfaceX1MACInterfaceX1不，好像X在我的口2上。不，好像X在我的口2上。不，好像X在我的口2上。MAC不穩(wěn)MAC不穩(wěn)94生成樹(shù)協(xié)議(STP)簡(jiǎn)介生成樹(shù)協(xié)議（STP）是為克服冗余網(wǎng)絡(luò)中透明橋接的問(wèn)題而創(chuàng)建的。STP的目的是通過(guò)協(xié)商一條到根網(wǎng)橋的無(wú)環(huán)路路徑來(lái)避免和消除網(wǎng)絡(luò)中的環(huán)路，它通過(guò)判定網(wǎng)絡(luò)中存在環(huán)路的地方并動(dòng)態(tài)阻斷用余鏈路來(lái)實(shí)現(xiàn)這個(gè)目的。通過(guò)這種方式，它確保到每個(gè)目的地都有一個(gè)路徑，所以永遠(yuǎn)不會(huì)產(chǎn)生橋接環(huán)路。如果某條鏈路失效了，因?yàn)楦W(wǎng)橋知道還存在著冗于鏈路，它就會(huì)啟用它先前關(guān)掉的這條冗余鏈路。這就是說(shuō)有些端口需要被關(guān)閉或置為非轉(zhuǎn)發(fā)模式。這些端口仍然知道網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，并且，如果正在轉(zhuǎn)發(fā)數(shù)據(jù)的鏈路失效了，它們就可以被啟用了。生成樹(shù)協(xié)議執(zhí)行一種被稱為生成樹(shù)算法的（STA）的算法。95生成樹(shù)協(xié)議(STP)實(shí)現(xiàn)基本思想：在網(wǎng)橋之間傳遞特殊的消息（配置消息BPDU），包含足夠的信息做以下工作：從網(wǎng)絡(luò)中的所有網(wǎng)橋中，選出一個(gè)作為根網(wǎng)橋（Root）。服務(wù)器/主機(jī)X路由器Y1231212123Root96生成樹(shù)協(xié)議(STP)實(shí)現(xiàn)路由器Y1231212123計(jì)算本網(wǎng)橋到根網(wǎng)橋的最短路徑。對(duì)每個(gè)LAN，選出離根橋最近的那個(gè)網(wǎng)橋作為指定網(wǎng)橋，負(fù)責(zé)所在LAN上的數(shù)據(jù)轉(zhuǎn)發(fā)。Root服務(wù)器/主機(jī)X97生成樹(shù)協(xié)議(STP)實(shí)現(xiàn)（續(xù)）路由器Y1231212123網(wǎng)橋選擇一個(gè)根端口，該端口給出的路徑是此網(wǎng)橋到根橋的最佳路徑。不進(jìn)行數(shù)據(jù)幀轉(zhuǎn)發(fā)的端口被暫時(shí)阻斷，這些端口將繼續(xù)接收BPDU，但不發(fā)送用戶數(shù)據(jù)。Root服務(wù)器/主機(jī)X98STP建立過(guò)程建立無(wú)環(huán)路生成樹(shù)協(xié)議的第一步是選舉一個(gè)RootBridge。RootBridge是所有Switch用來(lái)決定網(wǎng)絡(luò)中是否存在環(huán)路的參考點(diǎn)。1．在開(kāi)始啟動(dòng)的時(shí)候，Switch先假定自己是RootBridge并將BridgeID設(shè)置為RootID。（假設(shè)自己是RootBridge。）那么BPDU的消息內(nèi)容為：RootID：自己RootPathCost：0DesignatedBridge：自己2．比較BridgeID，先看優(yōu)先級(jí)，優(yōu)先級(jí)越低越好。如果優(yōu)先級(jí)相同，再看MAC誰(shuí)比較低。（比較BridgeID，選舉真正的RootBridge。）2字節(jié)的優(yōu)先級(jí)默認(rèn)是32768。6字節(jié)MAC地址是交換機(jī)的MAC地址。99STP建立過(guò)程（續(xù)）3．當(dāng)選舉了RootBridge后，每臺(tái)Switch必須與RootBridge建立關(guān)聯(lián)。這是通過(guò)偵聽(tīng)從其他各個(gè)端口進(jìn)入的BPDU來(lái)進(jìn)行的。如果能在多個(gè)端口上接收到同一個(gè)BPDU就說(shuō)明存在著到RootBridge的Redundancy鏈路。（查看有沒(méi)有到RootBridge的Redundancy。）1212SWASWBBPDUBPDUBPDURedundancy??！100STP建立過(guò)程---選擇那些端口是轉(zhuǎn)發(fā)（續(xù)）選擇那些端口是轉(zhuǎn)發(fā)，那些端口是阻止。由三個(gè)條件來(lái)選擇：（1）路徑開(kāi)銷(xiāo)：路徑開(kāi)銷(xiāo)是從Switch到RootBridge的方向疊加的。路由器YCostPath=10CostPath=10CostPath=100CostPath=10101STP建立過(guò)程---選擇那些端口是轉(zhuǎn)發(fā)（續(xù)）(2)網(wǎng)橋信息：如果各個(gè)端口接收到的BPDU的路徑開(kāi)銷(xiāo)相同。那么Switch將查看BridgeID以決定哪個(gè)端口應(yīng)該進(jìn)行轉(zhuǎn)發(fā)。有最低BridgeID的端口將被選舉為轉(zhuǎn)發(fā)端口，其他所有端口均被設(shè)置為阻斷。路由器YCostPath=10CostPath=10CostPath=10CostPath=10BridgeIDBridgeID102STP建立過(guò)程---選擇那些端口是轉(zhuǎn)發(fā)（續(xù)）(3)端口信息：如果路徑開(kāi)銷(xiāo)和網(wǎng)橋ID都相同，例：在平行鏈路這種情況下，Bridge將查看端口ID以決定哪個(gè)端口應(yīng)該進(jìn)行轉(zhuǎn)發(fā)。ID最低的端口將進(jìn)行轉(zhuǎn)發(fā)，所有其他端口將被阻斷。PortIDPortID103接口狀態(tài)---Block阻斷（Block）----為了防止Bridge產(chǎn)生Loop，所有端口開(kāi)始都處于Block狀態(tài)。如果交換機(jī)在其他端口收到了同一個(gè)BPDU那么交換機(jī)就認(rèn)為有另一條鏈路可到達(dá)RootBridge。如果生成樹(shù)決定其他鏈路是到RootBridge更好的路徑，那么這個(gè)端口繼續(xù)保持Block。在此其間不能接收和發(fā)送配置消息，也不能地址學(xué)習(xí)。如果本端口被交換機(jī)認(rèn)為是最好的端口，那么進(jìn)入到下面的狀態(tài)。這個(gè)時(shí)間是20秒，為最大生存周期。104接口狀態(tài)---Listening傾聽(tīng)（Listening）----端口從Block狀態(tài)轉(zhuǎn)為L(zhǎng)istening狀態(tài)。它利用這段時(shí)間來(lái)Listening是否還有到RootBridge的其他路徑。在Listening狀態(tài)中，端口可以傾聽(tīng)到配置消息，但是不能轉(zhuǎn)發(fā)或接收用戶數(shù)據(jù)。也不允許端口將它所聽(tīng)到的任何信息放到地址表中。傾聽(tīng)狀態(tài)實(shí)際上是用來(lái)說(shuō)明端口已經(jīng)準(zhǔn)備好進(jìn)行傳輸，但是它愿意再傾聽(tīng)一下以確認(rèn)它不會(huì)產(chǎn)生Loop。Switch傾聽(tīng)的時(shí)間也是轉(zhuǎn)發(fā)延遲（Forwarddelay），這個(gè)時(shí)間為15秒。105接口狀態(tài)---learning、Forward學(xué)習(xí)（learning）----學(xué)習(xí)狀態(tài)與傾聽(tīng)狀態(tài)非常相似，除了端口可以將它所學(xué)到的信息添加地址表這一點(diǎn)之外，它依然不可以發(fā)送或接收用戶數(shù)據(jù)。Switch學(xué)習(xí)的時(shí)間也是轉(zhuǎn)發(fā)延遲（Forwarddelay），這個(gè)時(shí)間為15秒。轉(zhuǎn)發(fā)（Forward）----這個(gè)狀態(tài)意味著端口可以發(fā)送和接收用戶數(shù)據(jù)。BlockListeninglearningForwardMessageAge-20秒ForwardDelay-30秒1061.3Routing1.3.1路由選擇原理1.3.2靜態(tài)路由1.3.3OSPF路由協(xié)議1.3.3ACL107路由選擇原理108什么是路由選擇一個(gè)將數(shù)據(jù)包發(fā)往某個(gè)目標(biāo)網(wǎng)段或主機(jī)的路徑就是路由的過(guò)程。用戶產(chǎn)生的數(shù)據(jù)流比如文件，視頻流，電子郵件等等應(yīng)用被從一個(gè)邏輯的源轉(zhuǎn)發(fā)到一個(gè)邏輯的目的地。用來(lái)表示邏輯源和邏輯目的地的是IP地址，因此我們認(rèn)為路由的過(guò)程是將不同IP地址網(wǎng)段的IP包進(jìn)行轉(zhuǎn)發(fā)。那么實(shí)現(xiàn)這一功能的設(shè)備我們稱之為路由器。109路由表的作用路由器就像網(wǎng)絡(luò)中的向?qū)б粯?，?dāng)IP包來(lái)到路由器后有一個(gè)很重要的任務(wù)就是查看該路由器是否知道這個(gè)IP數(shù)據(jù)包要去的目的地。路由器采用自動(dòng)學(xué)習(xí)，依靠路由協(xié)議學(xué)習(xí)或網(wǎng)絡(luò)管理員手動(dòng)配置等方式獲得IP數(shù)據(jù)包要去往的目的地信息。路由器將這些信息形成“檔案”有選擇的存放在路由表中，以便提供路由服務(wù)。Packet110路由條目的要素一個(gè)路由條目有五個(gè)要素組成：如何形成的路由條目，比如直連路由，靜態(tài)路由，路由協(xié)議等等。如果是單播廣播路由條目，則標(biāo)示該路由條目的是目的地址。如果是組播路由條目的話，則標(biāo)示路由條目的是源地址（詳見(jiàn)Multicast幻燈）。代表該路由條目代價(jià)的Metric值。標(biāo)示該路由條目最終選路結(jié)果的下一跳地址和接口。表明目的地范圍的子網(wǎng)掩碼。111路由表是如何形成的在路由器中存儲(chǔ)路由條目的數(shù)據(jù)庫(kù)不但是路由表，比如OSPF路由協(xié)議的數(shù)據(jù)庫(kù)或EIGRP路由協(xié)議的拓?fù)溥壿嫳?。但是存?chǔ)在路由表里的路由條目一定是可作為路由工作使用的信息。也就是說(shuō)路由表是最后選錄的結(jié)果集合。路由條目可以有三種學(xué)習(xí)方式：1、在大型網(wǎng)絡(luò)環(huán)境下，依靠路由協(xié)議比如OSPF、BGP路由協(xié)議學(xué)習(xí)。112路由表是如何形成的2、在簡(jiǎn)單拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)里，網(wǎng)絡(luò)管理員手動(dòng)輸入路由條目。3、路由器會(huì)自動(dòng)學(xué)習(xí)周邊網(wǎng)絡(luò)情況。113如何選擇進(jìn)入路由表內(nèi)的條目如果有到達(dá)同一個(gè)目的地的多個(gè)路由條目同時(shí)存在那么我們必須選擇一個(gè)或多個(gè)最優(yōu)的條目進(jìn)入路由表。如果選擇了多個(gè)那么就實(shí)現(xiàn)了多鏈路的負(fù)載平衡。在選擇最優(yōu)路由條目的過(guò)程中有兩個(gè)關(guān)鍵條件需要被考慮。1、比較不同路由條目產(chǎn)生的方式是否為最可靠方式。比如是由直連路由自動(dòng)發(fā)現(xiàn)的，還是靜態(tài)路由產(chǎn)生的或者是路由協(xié)議產(chǎn)生的，再比如是由什么路由協(xié)議產(chǎn)生的。2、在相同產(chǎn)生方式的情況下比較不同鏈路的代價(jià)。比較路由條目產(chǎn)生方式的值在華為路由器上我們稱為路由優(yōu)先級(jí)，在思科路由器上我們稱為Distance。兩個(gè)廠商對(duì)不同的產(chǎn)生方式有不同的見(jiàn)解，所以選路條件各不相同。但華為公司的產(chǎn)品問(wèn)世較晚，所以選路方式更加貼切實(shí)際需求。114路由優(yōu)先級(jí)和管理距離路由來(lái)源華為路由優(yōu)先級(jí)思科管理距離直接的接口00以一個(gè)接口為出口的靜態(tài)路由00以下一跳路由器為出口的靜態(tài)路由11EIGRP的Summary5EBGP17020EIGRP5090IGRP100OSPF10110OSPFASE150IS-IS15115RIP（v1/v2）100120EGP140外部EIGRP160170內(nèi)部BGP（IBGP）130200Unkown255255115Distance與MetricNetworkEEIGRP:GETRBORRCRIP:GETRDRIPEIGRP由于EIGRP的Distance為90,RIP的Distance為120.所以EIGRP優(yōu)先.Metric=100Metric=200相同的路由協(xié)議時(shí),也就是Distance相等時(shí).選擇路徑的條件為最小Metric.ABcD116可路由協(xié)議是可以被別人路由的協(xié)議，比如：IP。路由協(xié)議是路由別人的協(xié)議，比如：OSPF?？陕酚蓞f(xié)議和路由協(xié)議Packet在一個(gè)網(wǎng)段內(nèi)數(shù)據(jù)傳輸依靠IPProtocol。Packet在不同網(wǎng)段內(nèi)數(shù)據(jù)傳輸依靠RoutingProtocolAB117有類(lèi)路由協(xié)議和無(wú)類(lèi)路由協(xié)議Classfulrouting不隨個(gè)網(wǎng)絡(luò)地址發(fā)送SubnetMask信息的路由選擇協(xié)議被稱為有類(lèi)路由選擇協(xié)議。RIPv1IGRP屬于有類(lèi)別路由選擇協(xié)議。當(dāng)與外部網(wǎng)絡(luò)（換句話說(shuō)，就是與不同的主類(lèi)網(wǎng)絡(luò)）交換路由時(shí)，接收方路由器將不會(huì)知道Subnet，因?yàn)镾ubnetMask信息沒(méi)有被包括在路由更新數(shù)據(jù)包中。注意：Classfulrouting路由可以交換屬于同一個(gè)主類(lèi)（A類(lèi)，B類(lèi)，C類(lèi)）網(wǎng)絡(luò)子網(wǎng)的路由，但必須使用相同的Subnetmask。118有類(lèi)路由協(xié)議和無(wú)類(lèi)路由協(xié)議(續(xù))這里有兩種情況說(shuō)明，Classfulrouting路由是不帶SubnetMask信息的更新。即使是在同一個(gè)主類(lèi)網(wǎng)絡(luò)里也不帶SubnetMask信息。之所以在同一個(gè)主類(lèi)網(wǎng)絡(luò)里能夠區(qū)分Subnet，是因?yàn)椋喝绻酚筛滦畔⑹顷P(guān)于在接收Interface上所配置的同一主類(lèi)網(wǎng)絡(luò)的，那么路由器將采用配置在本地Interface上的SubnetMask。如果路由更新信息是關(guān)于在接收Interface上所配置的不同主類(lèi)網(wǎng)絡(luò)的，那么路由器將根據(jù)其所屬地址類(lèi)別采用缺省的SubnetMask。/24/24B/24AC/246/28/246/286/28/24/24/16119有類(lèi)路由協(xié)議和無(wú)類(lèi)路由協(xié)議（續(xù)）ClasslessroutingClasslessrouting(無(wú)類(lèi)別路由選擇協(xié)議)可以被看作是第二代路由選擇協(xié)議，它們被設(shè)計(jì)用于克服早期Classfulrouting的一些限制。Classlessrouting包括OSPF，EIGRP，RIPv2，IS-IS，BGPv4。并且可以在主類(lèi)網(wǎng)絡(luò)的邊界人工控制Summary。/24/24B/24AC/246/28/246/286/28/24/246/28/24/24/24/24120DV路由協(xié)議和LS路由協(xié)議DistanceVector路由選擇協(xié)議產(chǎn)生的定期的，例行的路由更新只傳輸?shù)街苯酉噙B的路由設(shè)備。設(shè)備發(fā)送路由更新所最為常用的尋址方式是一種邏輯廣播，盡管在某些情況下，也可以指定使用Unicast傳送方式發(fā)送路由更新。在純DistanceVector環(huán)境中，路由更新包括一個(gè)完整的RouteTable。通過(guò)接收相鄰設(shè)備的CompleteRouteTable，路由器能夠核查所有已知路由，然后根據(jù)所接收的更新信息修改本地路由表。所以DistanceVector有時(shí)被稱為“Routingbyrumor”。/24/24B/24AC/246/28/246/286/28/24/246/28/24/246/286/28/24/24/24不管你知不知道我把我所有的路由信息都傳給你。當(dāng)然對(duì)有些高級(jí)DV路由協(xié)議來(lái)說(shuō)，比如EIGRP，BGP是發(fā)送增量路由信息的，并且可以使用組播地址。121DV路由協(xié)議和LS路由協(xié)議StateLink只當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生變化時(shí)才生成路由更新Update更新數(shù)據(jù)包。當(dāng)鏈路狀態(tài)發(fā)生變化時(shí)，檢測(cè)到這一變化的設(shè)備就生成一個(gè)關(guān)于該鏈路（路由path）的鏈路狀態(tài)通告（LSA）。LSA通過(guò)一個(gè)特殊的Multicast被傳播給所有相鄰設(shè)備。每臺(tái)路由設(shè)備都會(huì)保留LSA的copy也就是不做任何修改，并向其鄰居設(shè)備轉(zhuǎn)發(fā)該LSA（這個(gè)過(guò)程被稱為擴(kuò)散Flooding）,然后更新其拓?fù)浣Y(jié)構(gòu)數(shù)據(jù)庫(kù)（這是一個(gè)包含網(wǎng)絡(luò)所有鏈路狀態(tài)信息的表）。122路由協(xié)議的分類(lèi)ClassfulroutingClasslessroutingStateLinkDistanceVectorABCDABCD123AS自治系統(tǒng)AS100AS200IGPs:RIP,IGRPEGPs:BGP自治系統(tǒng)：使用相同的路由準(zhǔn)則的網(wǎng)絡(luò)的集合,一般是一個(gè)ISP,或者一個(gè)大型的行政機(jī)構(gòu).路由協(xié)議分為兩類(lèi):1.IGP2.EGPIGP在一個(gè)自治系統(tǒng)內(nèi)運(yùn)行。比如:RIPOSPFIS-ISEIGRPIBGP.EGP連接不同的自治系統(tǒng)。比如:EBGP124靜態(tài)路由125靜態(tài)路由的要素目的地址---單播廣播路由都關(guān)心的是目的地，只有組播才關(guān)心源地址。代表目的地址范圍的子網(wǎng)掩碼下一跳---下一跳可以是本地接口也可以是下一跳路由器接口。Router(config)#iprouteserial0126連接Internet的靜態(tài)路由L0InternetS0/24S1/24某機(jī)票代理公司，需要與Internet連接。請(qǐng)配置電信端路由器和機(jī)票公司路由器。注意：www服務(wù)器只是一個(gè)模擬。1E0:2ABWww服務(wù)器127連接Internet的靜態(tài)路由配置由于RouterA不可能把到達(dá)Internet的所有路由信息配置完全，則只需要在RouterA上配置一條默認(rèn)路由，讓所有想要訪問(wèn)Internet或者www服務(wù)器的數(shù)據(jù)包都轉(zhuǎn)發(fā)到電信路由器。至于數(shù)據(jù)包如何找到目的地，這個(gè)是電信路由器需要解決的問(wèn)題。在RouterA中配置Static路由RouterA(config)#iproutes0但是這條Static路由也是有條件的。因?yàn)檫x路是由最大精確匹配作為條件的，所以在本地路由表（RouterTable）中，數(shù)據(jù)包中帶的目的地址與別的所有路由信息都匹配不上的時(shí)候，路由器才會(huì)想默認(rèn)路由轉(zhuǎn)發(fā)數(shù)據(jù)包。128連接Internet的靜態(tài)路由配置（續(xù)）電信路由器的配置就比較簡(jiǎn)單RouterB(config)#iproutes1或者RouterB(config)#iproute大家也許要問(wèn)，為什么沒(méi)用到題目給出的WWW服務(wù)器？其實(shí)我們?cè)诮o出默認(rèn)路由的時(shí)候已經(jīng)解決了這個(gè)問(wèn)題了。默認(rèn)路由的作用就是把自己路由表中沒(méi)有匹配上的任何數(shù)據(jù)包都通過(guò)默認(rèn)路由轉(zhuǎn)發(fā)。那么我們是否配置了到達(dá)WWW服務(wù)器的Static路由信息是沒(méi)有區(qū)別的。129MA下的StaticL0L1L2L0L1L2S0/24S1/24某區(qū)的三個(gè)學(xué)?；ミB共有12個(gè)網(wǎng)段，使用電信通已經(jīng)有的以太網(wǎng)絡(luò)的進(jìn)行通信。L0L1L2S0/24ABC130MA下Static路由的配置RouterA(config)#iprouteNote:在MA的Static路由配置，不可以指定為本路由器出去的接口。因?yàn)槿绻付吮韭酚善鞯某鋈ソ涌?，?shù)據(jù)包面臨B和C兩臺(tái)路由器，根本不知道怎么樣才能到達(dá)目的網(wǎng)段！只有指定為下一跳（NextHop）的網(wǎng)絡(luò)IP地址，數(shù)據(jù)包才能知道到達(dá)目的網(wǎng)段的正確路徑。RouterA(config)#iprouteRouterA(config)#iproute………Note:在RouterB和RouterC上也要進(jìn)行相應(yīng)的配置，路由的黃金規(guī)則是路由的兩端必須都要有對(duì)方的路由條目。131OSPF路由協(xié)議132路由協(xié)議性能綜合性能有路由環(huán)路問(wèn)題無(wú)路由環(huán)路問(wèn)題RIP1RIP2BGPOSPFIS-IS華為技術(shù)摘自華為HCNE133OSPF路由協(xié)議概述可適應(yīng)大規(guī)模網(wǎng)絡(luò)路由變化收斂速度快無(wú)路由環(huán)路支持VLSM支持等值路由負(fù)載平衡區(qū)域劃分功能提供路由的分級(jí)管理支持驗(yàn)證已組播地址發(fā)送協(xié)議報(bào)文134LSA的RTDLSA的RTCOSPF計(jì)算路由的過(guò)程(一）網(wǎng)絡(luò)的拓樸結(jié)構(gòu)3215RARBRCRD（二）每臺(tái)路由器的鏈路狀態(tài)數(shù)據(jù)庫(kù)LSA的RTBLSA的RTALSDB（三）由鏈路狀態(tài)數(shù)據(jù)庫(kù)得到的帶權(quán)有向圖CABD1235135OSPF計(jì)算路由的過(guò)程（續(xù)）CABD123CABD123CABD123CABD123（四）每臺(tái)路由器分別以自己為根節(jié)點(diǎn)計(jì)算最小生成樹(shù)136大型網(wǎng)絡(luò)的OSPFBGPArea0Area5Area3Area4Area2BGPArea1BackboneStandardNSSAStubTotalStudyStandard137ACL138ACL概述訪問(wèn)控制列表是一個(gè)有序的語(yǔ)句集，它是通過(guò)匹配報(bào)文中信息與訪問(wèn)表參數(shù)，來(lái)允許報(bào)文通過(guò)或拒絕報(bào)文通過(guò)某個(gè)接口。這樣的定義并不意味著安全中任何問(wèn)題都能夠用訪問(wèn)列表解決，也不意味著使用訪問(wèn)列表根據(jù)報(bào)文中特定參數(shù)建立一種安全策略或者實(shí)現(xiàn)一個(gè)數(shù)據(jù)流。139訪問(wèn)列表的其它應(yīng)用路由表過(guò)濾Routing

TableQueue

List優(yōu)先級(jí)判斷按需撥號(hào)基于數(shù)據(jù)包檢測(cè)的特殊數(shù)據(jù)通訊應(yīng)用。140訪問(wèn)列表的類(lèi)型路由器至少支持兩種類(lèi)型的訪問(wèn)控制列表：標(biāo)準(zhǔn)訪問(wèn)表和擴(kuò)展訪問(wèn)表。標(biāo)準(zhǔn)的訪問(wèn)表只允許過(guò)濾源地址，并且功能十分有限。擴(kuò)展的訪問(wèn)表允許過(guò)濾源地址、目的地址和上層應(yīng)用。IPStandard1-99Extended100-199NamedName(CiscoIOS11.2andlater)IPXStandard800-899Extended900-999SAPfilters1000-1099NamedName(CiscoIOS11.2.Fandlater)141標(biāo)準(zhǔn)IP訪問(wèn)控制列表標(biāo)準(zhǔn)IP訪問(wèn)控制列表的基本格式為：Access-list[listnumber][permit/deny][sourceaddress][wildcard-mask][log]OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Source訪問(wèn)控制列表的標(biāo)號(hào)有兩個(gè)功能：1.定義了訪問(wèn)控制列表操作的協(xié)議。2.指明了VRP/IOS將所有標(biāo)識(shí)為同一個(gè)號(hào)碼的語(yǔ)句作為一個(gè)實(shí)體。標(biāo)準(zhǔn)訪問(wèn)控制列表的表號(hào)為1-99之間。142標(biāo)準(zhǔn)IP訪問(wèn)控制列表（續(xù)）Access-list[listnumber][permit/deny][sourceaddress][wildcard-mask][log]關(guān)鍵字Permit/Deny用來(lái)表示滿足訪問(wèn)表項(xiàng)的報(bào)文是允許通過(guò)接口，還是要過(guò)濾掉。Permit是允許，Deny是拒絕。對(duì)于標(biāo)準(zhǔn)訪問(wèn)控制列表，源地址是主機(jī)或一組主機(jī)的十進(jìn)制表示。訪問(wèn)列表功能所支持的通配符與子網(wǎng)掩碼的方式是相反的。這就是說(shuō)，二進(jìn)制的0表示一個(gè)匹配條件，二進(jìn)制的1表示一個(gè)不關(guān)心條件。舉例：Access-list1permit55表示匹配源地址為網(wǎng)絡(luò)中的所有報(bào)文。143標(biāo)準(zhǔn)IP訪問(wèn)控制列表（續(xù)）關(guān)鍵字Host不是必須的，但是當(dāng)匹配某一個(gè)特定的主機(jī)地址時(shí)是非常有用的。注意：這個(gè)關(guān)鍵字只有在CiscoIOS中有。Host表示一種精確的匹配，是的簡(jiǎn)寫(xiě)。舉例：Access-list1permit=Access-list1permithost關(guān)鍵字Any不是必須的，但是當(dāng)匹配所有報(bào)文時(shí)是非常有用的。是所有地址的匹配，是55的簡(jiǎn)寫(xiě)。舉例：Access-list1permit55=Access-list1permitany關(guān)鍵字Log，對(duì)那些能夠匹配訪問(wèn)表中的permit和deny語(yǔ)句的報(bào)文作日志。舉例：Access-list1permithostlog144擴(kuò)展IP訪問(wèn)控制列表擴(kuò)展IP訪問(wèn)控制列表的基本格式為：Access-list[listnumber][permit/deny][protocolkeyword][sourceaddresssource-wildcard][sourceport][destinationaddress][destination-wildcard][destinationport][log][options]OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocol表號(hào)：與標(biāo)準(zhǔn)訪問(wèn)列表類(lèi)似，該表號(hào)標(biāo)識(shí)一個(gè)擴(kuò)展的IP訪問(wèn)表。表號(hào)100-199可用來(lái)定義100個(gè)唯一的擴(kuò)展的IP訪問(wèn)表。使用Permit/Deny關(guān)鍵字可以指定那些匹配訪問(wèn)表語(yǔ)句的報(bào)文是否允許通過(guò)一個(gè)接口或者被過(guò)濾掉。145擴(kuò)展IP訪問(wèn)控制列表擴(kuò)展IP訪問(wèn)控制列表的基本格式為：Access-list[listnumber][permit/deny][protocolkeyword][sourceaddresssource-wildcard][sourceport][destinationaddress][destination-wildcard][destinationport][log][options]協(xié)議關(guān)鍵字：定義了需要被過(guò)濾的協(xié)議，例如IP，TCP，UDP，ICMP等等。源地址和通配符的功能與標(biāo)準(zhǔn)IP訪問(wèn)表中的相同，當(dāng)然可以使用Host和Any簡(jiǎn)寫(xiě)。源端口號(hào)可以用幾種不同的方法來(lái)指定。為了記憶方便我們可以使用一個(gè)數(shù)字或者使用一個(gè)可識(shí)別的助記符。例如我們可以使用80或者Http或者www來(lái)指定對(duì)Web的超文本傳輸協(xié)議的操作。目的地址和通配符的結(jié)構(gòu)與源地址和通配符的結(jié)構(gòu)相同。目的端口號(hào)的指定方法與源端口號(hào)的方法相同。146擴(kuò)展IP訪問(wèn)控制列表（續(xù)）關(guān)鍵字Established只用于TCP協(xié)議，并且只用在TCP通信的一個(gè)方向上來(lái)響應(yīng)由另一端發(fā)起的會(huì)話。只有當(dāng)Inside主機(jī)先發(fā)起了會(huì)話，才能允許來(lái)自任何地方的TCP報(bào)文到達(dá)源主機(jī)。關(guān)鍵字precedence用于匹配優(yōu)先級(jí)名稱或數(shù)字0~7。關(guān)鍵字remark用于在訪問(wèn)表中添加文本注釋。Remark放在單個(gè)訪問(wèn)控制列表語(yǔ)句中的訪問(wèn)表號(hào)碼之后，并在其后使用注釋或標(biāo)記。