云計(jì)算技術(shù)應(yīng)用基礎(chǔ)（微課版）工業(yè)和信息化精品系列教材——云計(jì)算技術(shù)第4章云互聯(lián)架構(gòu)技術(shù)認(rèn)識(shí)交換機(jī)計(jì)算機(jī)網(wǎng)絡(luò)概述VLAN通信認(rèn)識(shí)路由器技能實(shí)踐防火墻技術(shù)4.1.1計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)知識(shí)1．計(jì)算機(jī)網(wǎng)絡(luò)的形成與發(fā)展第1階段（網(wǎng)絡(luò)雛形階段）20世紀(jì)60年代中期～20世紀(jì)70年代中期：開(kāi)始進(jìn)行主機(jī)互聯(lián)，多個(gè)獨(dú)立的主計(jì)算機(jī)通過(guò)線(xiàn)路互聯(lián)構(gòu)成計(jì)算機(jī)網(wǎng)絡(luò)，沒(méi)有網(wǎng)絡(luò)操作系統(tǒng)，只形成了通信網(wǎng)；20世紀(jì)60年代后期，阿帕網(wǎng)（ARPANET）出現(xiàn)，稱(chēng)為第二代計(jì)算機(jī)網(wǎng)絡(luò)。20世紀(jì)50年代中期～20世紀(jì)60年代前期：以單臺(tái)計(jì)算機(jī)為中心的遠(yuǎn)程聯(lián)機(jī)系統(tǒng)，構(gòu)成面向終端的計(jì)算機(jī)網(wǎng)絡(luò)，稱(chēng)為第一代計(jì)算機(jī)網(wǎng)絡(luò)。第2階段（網(wǎng)絡(luò)初級(jí)階段）第3階段（第三代計(jì)算機(jī)網(wǎng)絡(luò)）20世紀(jì)70年代后期～20世紀(jì)80年代中期）：以太網(wǎng)產(chǎn)生，國(guó)際標(biāo)準(zhǔn)化組織（ISO）制定了網(wǎng)絡(luò)互聯(lián)標(biāo)準(zhǔn)，即開(kāi)放系統(tǒng)互聯(lián)（OSI），這是全球統(tǒng)一的網(wǎng)絡(luò)體系結(jié)構(gòu)。在這一階段遵循國(guó)際標(biāo)準(zhǔn)化協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)開(kāi)始迅猛發(fā)展。20世紀(jì)80年代后期至今：計(jì)算機(jī)網(wǎng)絡(luò)向綜合化、高速化發(fā)展，同時(shí)出現(xiàn)了多媒體智能化網(wǎng)絡(luò)，現(xiàn)在已經(jīng)發(fā)展到第四代。局域網(wǎng)技術(shù)發(fā)展日益成熟，第四代計(jì)算機(jī)網(wǎng)絡(luò)就是以吉比特/秒（Gbit/s）傳輸速率為主的多媒體智能化網(wǎng)絡(luò)。第4階段（第四代計(jì)算機(jī)網(wǎng)絡(luò)）4.1.1計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)知識(shí)2．計(jì)算機(jī)網(wǎng)絡(luò)的定義計(jì)算機(jī)網(wǎng)絡(luò)是利用通信線(xiàn)路和設(shè)備將分散在不同地點(diǎn)、具有獨(dú)立功能的多個(gè)計(jì)算機(jī)系統(tǒng)互聯(lián)，按網(wǎng)絡(luò)協(xié)議互相通信，由網(wǎng)絡(luò)操作系統(tǒng)管理，能夠?qū)崿F(xiàn)相互通信和資源共享的系統(tǒng)。某公司的網(wǎng)絡(luò)拓?fù)淙鐖D所示。該公司將網(wǎng)絡(luò)在邏輯上分為不同的區(qū)域，包括接入層、匯聚層、核心層、數(shù)據(jù)中心、管理區(qū)。將網(wǎng)絡(luò)分為三層架構(gòu)有諸多優(yōu)點(diǎn)：每一層都有各自獨(dú)立且特定的功能；使用模塊化的設(shè)計(jì)，便于定位錯(cuò)誤，可簡(jiǎn)化網(wǎng)絡(luò)拓展和維護(hù)；可以隔離一個(gè)區(qū)域的拓?fù)渥兓?，避免影響其他區(qū)域。4.1.1計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)知識(shí)3．計(jì)算機(jī)網(wǎng)絡(luò)的功能（2）資源共享資源共享是計(jì)算機(jī)網(wǎng)絡(luò)最重要的功能之一?！百Y源”是指構(gòu)成系統(tǒng)的所有要素，包括軟/硬件資源和數(shù)據(jù)資源，如計(jì)算處理能力、大容量磁盤(pán)、高速打印機(jī)、繪圖儀、通信線(xiàn)路、數(shù)據(jù)庫(kù)、文件和其他計(jì)算機(jī)中的有關(guān)信息等?！肮蚕怼敝傅氖蔷W(wǎng)絡(luò)中的用戶(hù)能夠部分或全部地使用這些資源。（1）數(shù)據(jù)通信數(shù)據(jù)通信是計(jì)算機(jī)網(wǎng)絡(luò)最基本的功能之一。計(jì)算機(jī)網(wǎng)絡(luò)為分布在各地的用戶(hù)提供強(qiáng)有力的通信手段。用戶(hù)可以通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳送電子郵件、發(fā)布新聞消息和進(jìn)行電子商務(wù)活動(dòng)等。（4）分布式處理隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，分布式處理成為可能。分布式處理通過(guò)算法將大型的綜合性問(wèn)題交給不同的計(jì)算機(jī)同時(shí)進(jìn)行處理，用戶(hù)可以根據(jù)需要合理選擇網(wǎng)絡(luò)資源，以實(shí)現(xiàn)快速處理，大大提高了整個(gè)系統(tǒng)的性能。（3）集中管理計(jì)算機(jī)網(wǎng)絡(luò)可實(shí)現(xiàn)數(shù)據(jù)通信與資源共享的功能，使得在一臺(tái)或多臺(tái)服務(wù)器上管理與運(yùn)行網(wǎng)絡(luò)中的資源成為可能。計(jì)算機(jī)網(wǎng)絡(luò)能實(shí)現(xiàn)數(shù)據(jù)的統(tǒng)一集中管理，這一功能在現(xiàn)實(shí)企業(yè)中尤為重要。4.1.2計(jì)算機(jī)網(wǎng)絡(luò)類(lèi)別1．廣域網(wǎng)廣域網(wǎng)（WideAreaNetwork，WAN）覆蓋的地理范圍為幾十千米到幾千千米。廣域網(wǎng)通常覆蓋幾個(gè)城市、幾個(gè)國(guó)家、幾個(gè)洲，甚至全球，形成國(guó)際性的遠(yuǎn)程網(wǎng)絡(luò)。某廣域網(wǎng)拓?fù)淙鐖D所示。它將分布在不同地區(qū)的計(jì)算機(jī)系統(tǒng)互聯(lián)起來(lái)，達(dá)到資源共享的目的。①傳輸距離遠(yuǎn)，傳輸速率較慢，建設(shè)成本高。③廣域網(wǎng)需要適應(yīng)規(guī)范化的網(wǎng)絡(luò)協(xié)議和完善通信服務(wù)與網(wǎng)絡(luò)管理的要求。②廣域網(wǎng)的通信子網(wǎng)主要使用分組交換技術(shù)，可以利用公用分組交換網(wǎng)、衛(wèi)星通信網(wǎng)和無(wú)線(xiàn)分組交換網(wǎng)。①局域網(wǎng)的組建簡(jiǎn)單、靈活，使用方便，傳輸速率快，傳輸速率可達(dá)到100～1000Mbit/s，甚至可以達(dá)到10Gbit/s。③決定局域網(wǎng)特性的主要技術(shù)要素為網(wǎng)絡(luò)拓?fù)洹鬏斀橘|(zhì)等。②局域網(wǎng)覆蓋的地理范圍有限，適用于一個(gè)公司，一般不超出方圓1km。4.1.2計(jì)算機(jī)網(wǎng)絡(luò)類(lèi)別2．局域網(wǎng)局域網(wǎng)（LocalAreaNetwork，LAN）是一種私有封閉型網(wǎng)絡(luò)，在一定程度上能夠防止信息泄露和外部網(wǎng)絡(luò)病毒的攻擊，具有較高的安全性。其特點(diǎn)就是分布范圍有限、可大可小，大到一棟建筑樓與相鄰建筑之間的連接，小到辦公室之間的連接。4.1.2計(jì)算機(jī)網(wǎng)絡(luò)類(lèi)別3．城域網(wǎng)城域網(wǎng)（MetropolitanAreaNetwork，MAN）是在一個(gè)城市范圍內(nèi)建立的計(jì)算機(jī)通信網(wǎng)絡(luò)，它介于局域網(wǎng)與廣域網(wǎng)之間，使用廣域網(wǎng)技術(shù)進(jìn)行組網(wǎng)。它的一個(gè)重要用途是用作骨干網(wǎng)，將位于同一城市內(nèi)不同地點(diǎn)的主機(jī)、數(shù)據(jù)庫(kù)，以及局域網(wǎng)等互相連接起來(lái)，以實(shí)現(xiàn)大量用戶(hù)之間的數(shù)據(jù)、語(yǔ)音、圖形與視頻等多種信息的傳輸，這與廣域網(wǎng)的作用有相似之處。城域網(wǎng)地理范圍為幾十千米到上百千米，可覆蓋一個(gè)城市或地區(qū)，分布在一個(gè)城市內(nèi)，是一種中型網(wǎng)絡(luò)。城域網(wǎng)是一種介于局域網(wǎng)與廣域網(wǎng)之間的高速網(wǎng)絡(luò)。4.1.3網(wǎng)絡(luò)拓?fù)?．總線(xiàn)型拓?fù)淇偩€(xiàn)型拓?fù)涫潜黄毡椴捎玫囊环N結(jié)構(gòu)，它將所有的入網(wǎng)計(jì)算機(jī)均接入一條通信線(xiàn)，為防止信號(hào)反射，一般在總線(xiàn)兩端接有終結(jié)器以匹配線(xiàn)路阻抗。總線(xiàn)型拓?fù)涞膬?yōu)點(diǎn)是信道利用率較高，結(jié)構(gòu)簡(jiǎn)單，價(jià)格相對(duì)便宜；缺點(diǎn)是同一時(shí)刻只能有兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)相互通信，網(wǎng)絡(luò)延伸距離有限，網(wǎng)絡(luò)容納節(jié)點(diǎn)數(shù)有限?？偩€(xiàn)上只要有一個(gè)節(jié)點(diǎn)出現(xiàn)連接問(wèn)題，就會(huì)影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)行。目前，局域網(wǎng)中多采用此種結(jié)構(gòu)，如圖所示。4.1.3網(wǎng)絡(luò)拓?fù)?．環(huán)形拓?fù)洵h(huán)形拓?fù)涫且环N點(diǎn)到點(diǎn)的環(huán)形結(jié)構(gòu)。每臺(tái)設(shè)備都直接連接到環(huán)上，或通過(guò)一個(gè)端口設(shè)備和分支電纜連接到環(huán)上。在初始安裝時(shí)，環(huán)形拓?fù)渚W(wǎng)絡(luò)比較簡(jiǎn)單；但隨著網(wǎng)絡(luò)中節(jié)點(diǎn)的增加，重新配置的難度也會(huì)增加，它對(duì)環(huán)的最大長(zhǎng)度和環(huán)上設(shè)備總數(shù)有限制。此結(jié)構(gòu)可以很容易地找到電纜的故障點(diǎn)，受故障影響的設(shè)備范圍大，在單環(huán)系統(tǒng)上出現(xiàn)的任何錯(cuò)誤都會(huì)影響網(wǎng)絡(luò)中的所有設(shè)備。4.1.3網(wǎng)絡(luò)拓?fù)?．星形拓?fù)湫切瓮負(fù)涫且砸粋€(gè)節(jié)點(diǎn)為中心的處理系統(tǒng)，各種類(lèi)型的入網(wǎng)設(shè)備均與該中心節(jié)點(diǎn)以物理鏈路直接相連。星形拓?fù)涞膬?yōu)點(diǎn)是結(jié)構(gòu)簡(jiǎn)單，建網(wǎng)容易，控制相對(duì)簡(jiǎn)單；缺點(diǎn)是屬于集中控制，主節(jié)點(diǎn)負(fù)載過(guò)重，可靠性低，通信線(xiàn)路利用率低。4.1.3網(wǎng)絡(luò)拓?fù)?．網(wǎng)狀拓?fù)淙B接網(wǎng)狀結(jié)構(gòu)不完全連接網(wǎng)狀結(jié)構(gòu)在全連接網(wǎng)狀結(jié)構(gòu)中，每一個(gè)節(jié)點(diǎn)和網(wǎng)絡(luò)中其他節(jié)點(diǎn)均有鏈路連接。在不完全連接網(wǎng)狀結(jié)構(gòu)中，兩個(gè)節(jié)點(diǎn)之間不一定有直接鏈路連接，它們之間的通信依靠其他節(jié)點(diǎn)轉(zhuǎn)接。4.1.3網(wǎng)絡(luò)拓?fù)?．樹(shù)形拓?fù)錁?shù)形拓?fù)溆煽偩€(xiàn)型拓?fù)溲葑兌鴣?lái)。其形狀像一棵倒置的樹(shù)，頂端是樹(shù)根，下面是樹(shù)根分支，每個(gè)分支還可再帶子分支，樹(shù)根接收各節(jié)點(diǎn)發(fā)送的數(shù)據(jù)，并廣播發(fā)送到全網(wǎng)。此結(jié)構(gòu)擴(kuò)展性好，容易診斷出錯(cuò)誤，但對(duì)根節(jié)點(diǎn)要求較高。4.1.4網(wǎng)絡(luò)傳輸介質(zhì)1．有線(xiàn)傳輸介質(zhì)（1）雙絞線(xiàn)非屏蔽雙絞線(xiàn)屏蔽雙絞線(xiàn)物理特性：銅質(zhì)線(xiàn)芯，傳導(dǎo)性能良好。傳輸特性：可用于傳輸模擬信號(hào)和數(shù)字信號(hào)。連通性：可用于點(diǎn)到點(diǎn)或點(diǎn)到多點(diǎn)連接。地理范圍：可傳輸100m。傳輸速率：傳輸速率可達(dá)10～1000Mbit/s?？垢蓴_性：低頻（10kHz以下）抗干擾性強(qiáng)于同軸電纜，高頻（10～100kHz）抗干擾性弱于同軸電纜。相對(duì)價(jià)格：比同軸電纜和光纖價(jià)格便宜得多。4.1.4網(wǎng)絡(luò)傳輸介質(zhì)1．有線(xiàn)傳輸介質(zhì)（2）同軸電纜物理特性：?jiǎn)胃S電纜直徑為1.02～2.54cm，可在較寬頻率范圍內(nèi)工作。傳輸特性：基帶同軸電纜僅用于數(shù)字傳輸，并使用曼徹斯特編碼，數(shù)據(jù)傳輸速率最高可達(dá)10Mbit/s，基帶同軸電纜被廣泛用于局域網(wǎng)中。連通性：可用于點(diǎn)到點(diǎn)或點(diǎn)到多點(diǎn)的連接。地理范圍：基帶同軸電纜的最大距離限制在185m，網(wǎng)絡(luò)的最大長(zhǎng)度為925m，每個(gè)網(wǎng)絡(luò)支持的最大節(jié)點(diǎn)數(shù)為30；寬帶同軸電纜的最大距離可達(dá)500m，網(wǎng)絡(luò)的最大長(zhǎng)度為2500m，每個(gè)網(wǎng)絡(luò)支持的最大節(jié)點(diǎn)數(shù)為100?？垢蓴_性：抗干擾性比雙絞線(xiàn)強(qiáng)。相對(duì)價(jià)格：比雙絞線(xiàn)貴，比光纖便宜。同軸電纜以硬銅線(xiàn)為芯（導(dǎo)體），外包一層絕緣材料（絕緣層），這層絕緣材料被密織的網(wǎng)狀導(dǎo)體環(huán)繞構(gòu)成屏蔽，其外又覆蓋一層保護(hù)性材料（護(hù)套）。4.1.4網(wǎng)絡(luò)傳輸介質(zhì)1．有線(xiàn)傳輸介質(zhì)（2）同軸電纜單模光纖多模光纖單模光纖具有更大的通信容量和更遠(yuǎn)的傳輸距離。常用的多模光纖是64.5μm芯/125μm外殼和50μm芯/125μm外殼，它是由純石英玻璃制成的，纖芯外面包裹著一層折射率比纖芯低的包層，包層外是一層塑料護(hù)套。只要射到光纖截面的光線(xiàn)的入射角大于某一臨界角度，就可以產(chǎn)生全反射。當(dāng)有許多條從不同角度入射的光線(xiàn)在一根光纖中傳輸時(shí)，這種光纖就稱(chēng)為多模光纖。連通性：采用點(diǎn)到點(diǎn)或點(diǎn)到多點(diǎn)連接。傳輸距離：可以在6～8km的距離內(nèi)不用中繼器傳輸，因此光纖適用于在幾個(gè)建筑物之間通過(guò)點(diǎn)到點(diǎn)的鏈路連接局域網(wǎng)?？垢蓴_性：不受噪聲或電磁波影響，適合在長(zhǎng)距離內(nèi)保持高數(shù)據(jù)傳輸速率，而且能夠提供良好的安全性。相對(duì)價(jià)格：目前價(jià)格比同軸電纜和雙絞線(xiàn)都貴。4.1.4網(wǎng)絡(luò)傳輸介質(zhì)2．無(wú)線(xiàn)傳輸介質(zhì)（1）無(wú)線(xiàn)電波電離層反射會(huì)產(chǎn)生多徑效應(yīng)。多徑效應(yīng)是指同一個(gè)信號(hào)經(jīng)不同的反射路徑到達(dá)同一個(gè)接收點(diǎn)，其強(qiáng)度和時(shí)延都不相同，使得最后得到的信號(hào)失真很大。利用無(wú)線(xiàn)電波電臺(tái)進(jìn)行數(shù)據(jù)通信在技術(shù)上是可行的，但短波信道的通信質(zhì)量較差，一般利用短波無(wú)線(xiàn)電臺(tái)進(jìn)行幾十到幾百比特/秒的低速數(shù)據(jù)傳輸。無(wú)線(xiàn)電波通信主要靠大氣層的電離層反射，電離層會(huì)隨季節(jié)、晝夜及太陽(yáng)活動(dòng)的情況而變化，這就會(huì)導(dǎo)致電離層不穩(wěn)定，從而產(chǎn)生傳輸信號(hào)的衰弱現(xiàn)象。0102034.1.4網(wǎng)絡(luò)傳輸介質(zhì)2．無(wú)線(xiàn)傳輸介質(zhì)（2）微波VS地面微波接力通信可有效地傳輸電報(bào)、電話(huà)、圖像、數(shù)據(jù)等信息。微波波段頻率高，頻段范圍很寬，因此其通信信道的容量很大且傳輸質(zhì)量及可靠性較高。微波通信與相同容量和長(zhǎng)度的電纜載波通信相比，建設(shè)投資少、見(jiàn)效快。地面微波接力通信也存在一些缺點(diǎn)，如相鄰站之間必須直視，不能有障礙物。衛(wèi)星通信就是利用位于36000km高空的人造地球同步衛(wèi)星作為太空無(wú)人值守的微波中繼站的一種特殊形式的微波接力通信。衛(wèi)星通信可以突破地面微波接力通信的距離限制，其最大特點(diǎn)就是通信距離遠(yuǎn)，通信費(fèi)用與通信距離無(wú)關(guān)。同步衛(wèi)星發(fā)射出的電磁波可以輻射到地球1/3以上的表面。只要在地球赤道上空的同步軌道上等距離地放置3顆衛(wèi)星，就能基本實(shí)現(xiàn)全球通信。地面微波接力通信衛(wèi)星通信4.1.4網(wǎng)絡(luò)傳輸介質(zhì)2．無(wú)線(xiàn)傳輸介質(zhì)（3）紅外線(xiàn)和激光紅外線(xiàn)通信和激光通信就是把要傳輸?shù)男盘?hào)分別轉(zhuǎn)換為紅外線(xiàn)信號(hào)和激光信號(hào)，使它們直接在自由空間沿直線(xiàn)進(jìn)行傳播。紅外線(xiàn)通信和激光通信比微波通信具有更強(qiáng)的方向性，難以竊聽(tīng)、不相互干擾，但紅外線(xiàn)和激光對(duì)雨霧等環(huán)境干擾特別敏感。紅外線(xiàn)因?qū)Νh(huán)境氣候較為敏感，一般用于室內(nèi)通信，如組建室內(nèi)的無(wú)線(xiàn)局域網(wǎng)，用于便攜機(jī)之間相互通信。但此時(shí)便攜機(jī)和室內(nèi)必須安裝全方向性的紅外發(fā)送和接收裝置。在建筑物頂上安裝激光收發(fā)器，就可以利用激光連接兩個(gè)建筑物中的局域網(wǎng)，但因激光硬件會(huì)發(fā)出少量射線(xiàn)，故必須經(jīng)過(guò)特許才能安裝。認(rèn)識(shí)交換機(jī)計(jì)算機(jī)網(wǎng)絡(luò)概述VLAN通信認(rèn)識(shí)路由器技能實(shí)踐防火墻技術(shù)4.2.1交換機(jī)外形結(jié)構(gòu)S5700系列以太網(wǎng)交換機(jī)前面板對(duì)應(yīng)端口計(jì)算機(jī)與交換機(jī)接線(xiàn)①RJ45端口：24個(gè)10/100BASE-TX，5類(lèi)UTP或STP。②SFP端口：4個(gè)1000BASE-XSFP。③Console端口：用于配置、管理交換機(jī)，使用交叉線(xiàn)連接。④ETH管理端口：用于配置、管理交換機(jī)，以及升級(jí)交換機(jī)操作系統(tǒng)。⑤USB端口：1個(gè)USB4.0端口，用于Mini-USB控制臺(tái)端口或串行輔助端口。4.2.2交換機(jī)工作原理4．消除回路當(dāng)交換機(jī)包括一個(gè)冗余回路時(shí)，以太網(wǎng)交換機(jī)通過(guò)生成樹(shù)協(xié)議避免回路的產(chǎn)生，同時(shí)允許存在后備路徑。交換機(jī)除了能夠連接同種類(lèi)型的網(wǎng)絡(luò)之外，還可以在不同類(lèi)型的網(wǎng)絡(luò)（如以太網(wǎng)和快速以太網(wǎng)）之間起到互聯(lián)作用。1．網(wǎng)絡(luò)連接交換機(jī)每個(gè)端口上都使用相同的轉(zhuǎn)發(fā)或過(guò)濾邏輯，可以將局域網(wǎng)分為多個(gè)沖突域，每個(gè)沖突域都有獨(dú)立的寬帶，因此可大大提高局域網(wǎng)的帶寬。除了具有網(wǎng)橋、集線(xiàn)器和中繼器的功能以外，交換機(jī)還具有更先進(jìn)的功能，如VLAN。3．轉(zhuǎn)發(fā)過(guò)濾當(dāng)一個(gè)數(shù)據(jù)幀的目的MAC地址在MAC地址表中有映射時(shí)，它將被轉(zhuǎn)發(fā)到連接目的節(jié)點(diǎn)的端口，而不是所有端口（如果該數(shù)據(jù)幀為廣播幀或組播幀，則轉(zhuǎn)發(fā)至所有端口）。2．地址自主學(xué)習(xí)交換機(jī)通過(guò)查看接收到的每個(gè)幀的源MAC地址，來(lái)學(xué)習(xí)每個(gè)端口連接設(shè)備的MAC地址，再建立地址表到端口的映射關(guān)系，并將地址同相應(yīng)的端口映射起來(lái)存放在交換機(jī)緩存的MAC地址表中，從而學(xué)習(xí)到整個(gè)網(wǎng)絡(luò)的地址情況。4.2.2交換機(jī)工作原理5．交換機(jī)地址學(xué)習(xí)和轉(zhuǎn)發(fā)過(guò)濾（1）地址學(xué)習(xí)MAC地址表初始化在MAC地址表中添加地址完整的MAC地址表交換機(jī)將幀的目的MAC地址和MAC地址表中的條目進(jìn)行比較。發(fā)現(xiàn)幀可以通過(guò)GE0/0/3端口到達(dá)目的主機(jī)，便將幀從該端口轉(zhuǎn)發(fā)出去。通過(guò)交換機(jī)MAC地址表的過(guò)濾，交換機(jī)不會(huì)再將該幀廣播到交換機(jī)的GE0/0/2和GE0/0/4端口中，這樣就減少了網(wǎng)絡(luò)中的傳輸流量，優(yōu)化了帶寬，這種操作被稱(chēng)為幀過(guò)濾。4.2.2交換機(jī)工作原理5．交換機(jī)地址學(xué)習(xí)和轉(zhuǎn)發(fā)過(guò)濾（2）轉(zhuǎn)發(fā)過(guò)濾4.2.3交換機(jī)管理方式1．帶外管理方式帶外管理是通過(guò)將計(jì)算機(jī)串口（COM端口）與交換機(jī)的Console端口相連來(lái)管理交換機(jī)的。不同類(lèi)型的交換機(jī)的Console端口所處的位置不同，但交換機(jī)面板上的Console端口都有“CONSOLE”字樣標(biāo)識(shí)。利用交換機(jī)的Console線(xiàn)纜即可將交換機(jī)的Console端口與計(jì)算機(jī)串口COM端口相連，以便進(jìn)行管理。現(xiàn)在很多筆記本電腦已經(jīng)沒(méi)有COM端口，有時(shí)為了方便配置與管理，可以利用USB端口轉(zhuǎn)RS-232端口線(xiàn)纜連接Console線(xiàn)纜進(jìn)行配置、管理。計(jì)算機(jī)串口COM端口交換機(jī)的Console端口交換機(jī)的Console線(xiàn)纜

USB端口轉(zhuǎn)RS-232端口線(xiàn)纜4.2.3交換機(jī)管理方式1．帶外管理方式設(shè)置超級(jí)終端的COM屬性SecureCRT主界面01OPTION02OPTION03OPTION超級(jí)終端進(jìn)入交換機(jī)用戶(hù)模式4.2.3交換機(jī)管理方式1．帶外管理方式“連接”窗口SecureCRT進(jìn)入交換機(jī)用戶(hù)模式04OPTION05OPTION06OPTION設(shè)置“串行”選項(xiàng)4.2.3交換機(jī)管理方式2．帶內(nèi)管理方式帶內(nèi)管理是先通過(guò)網(wǎng)線(xiàn)遠(yuǎn)程連接交換機(jī)，再通過(guò)Telnet、SSH等遠(yuǎn)程方式管理交換機(jī)的。在通過(guò)Console端口對(duì)交換機(jī)進(jìn)行初始化配置時(shí)，如配置交換機(jī)管理IP地址、用戶(hù)、密碼等時(shí)，開(kāi)啟Telnet服務(wù)后，就可以通過(guò)網(wǎng)絡(luò)以Telnet遠(yuǎn)程方式登錄交換機(jī)。勾選“Telnet客戶(hù)端”復(fù)選框輸入命令01OPTION02OPTION03OPTION“運(yùn)行”對(duì)話(huà)框Telnet登錄交換機(jī)用戶(hù)模式04OPTION4.2.4網(wǎng)絡(luò)設(shè)備命令行視圖及使用方法1．命令行視圖交換機(jī)的配置管理界面分為若干種模式，根據(jù)不同配置管理功能，VRP分層的命令結(jié)構(gòu)定義了多種命令行視圖。每條命令只能在特定視圖下執(zhí)行，且都注冊(cè)在一個(gè)或多個(gè)命令行視圖下，用戶(hù)只有先進(jìn)入這個(gè)命令所在的視圖，才能執(zhí)行相應(yīng)的命令。進(jìn)入VRP系統(tǒng)的配置界面后，VRP上最先出現(xiàn)的視圖是用戶(hù)視圖，相關(guān)實(shí)例代碼如下。<Huawei>system-view

//用戶(hù)視圖Entersystemview,returnuserviewwithCtrl+Z.[Huawei] //系統(tǒng)視圖在該視圖下，用戶(hù)可以查看設(shè)備的運(yùn)行狀態(tài)和統(tǒng)計(jì)信息。若要修改系統(tǒng)參數(shù)，則用戶(hù)必須進(jìn)入系統(tǒng)視圖。用戶(hù)還可以通過(guò)系統(tǒng)視圖進(jìn)入其他的功能配置視圖，如端口視圖和協(xié)議視圖。4.2.4網(wǎng)絡(luò)設(shè)備命令行視圖及使用方法2．命令行功能為了簡(jiǎn)化操作，系統(tǒng)提供了快捷鍵，使用戶(hù)能夠快速執(zhí)行相關(guān)操作。例如，按Ctrl+Z快捷鍵可以返回到用戶(hù)視圖，相關(guān)實(shí)例代碼如下。<Huawei>system-viewEntersystemview,returnuserviewwithCtrl+Z.[Huawei]interfaceGigabitEthernet0/0/6[Huawei-GigabitEthernet0/0/6]^z//按Ctrl+Z快捷鍵返回用戶(hù)視圖<Huawei>4.2.4網(wǎng)絡(luò)設(shè)備命令行視圖及使用方法2．命令行功能快捷鍵功能Ctrl+A把光標(biāo)移動(dòng)到當(dāng)前命令行的最前端Ctrl+B將光標(biāo)向左移動(dòng)一個(gè)字符Ctrl+C停止當(dāng)前命令的執(zhí)行Ctrl+D刪除當(dāng)前光標(biāo)所在位置右側(cè)的一個(gè)字符Ctrl+E將光標(biāo)移動(dòng)到當(dāng)前行的末尾Ctrl+F將光標(biāo)向右移動(dòng)一個(gè)字符Ctrl+H刪除光標(biāo)左側(cè)的一個(gè)字符Ctrl+N顯示歷史命令緩沖區(qū)中的后一條命令快捷鍵功能Ctrl+P顯示歷史命令緩沖區(qū)中的前一條命令Ctrl+W刪除光標(biāo)左側(cè)的一個(gè)字符串Ctrl+X刪除光標(biāo)左側(cè)的所有字符Ctrl+Y刪除光標(biāo)所在位置及其右側(cè)的所有字符Esc+B將光標(biāo)向左移動(dòng)一個(gè)字符串Esc+D刪除光標(biāo)右側(cè)的一個(gè)字符串Esc+F將光標(biāo)向右移動(dòng)一個(gè)字符串Backspace刪除光標(biāo)左側(cè)的一個(gè)字符Tab輸入一個(gè)不完整的命令并按Tab鍵，可以補(bǔ)全該命令4.2.4網(wǎng)絡(luò)設(shè)備命令行視圖及使用方法2．命令行功能還有一些快捷鍵也可以用來(lái)執(zhí)行類(lèi)似的操作。例如，與Ctrl+H快捷鍵的功能一樣，按退格鍵（Backspace鍵）也可以刪除光標(biāo)左側(cè)的一個(gè)字符；向左的方向鍵（←）與向右的方向鍵（→）具有與Ctrl+B和Ctrl+F快捷鍵相同的功能，向下的方向鍵（↓）具有與Ctrl+N快捷鍵相同的功能，向上的方向鍵（↑）可以替換Ctrl+P快捷鍵。此外，若命令的前幾個(gè)字母是獨(dú)一無(wú)二的，則系統(tǒng)可以在輸完該命令的前幾個(gè)字母后自動(dòng)將該命令補(bǔ)充完整。例如，用戶(hù)只需輸入“int”并按Tab鍵，系統(tǒng)自動(dòng)將命令補(bǔ)充為interface，相關(guān)實(shí)例代碼如下。<Huawei>sysEntersystemview,returnuserviewwithCtrl+Z.[Huawei]int //按Tab鍵補(bǔ)全命令[Huawei]interface4.2.4網(wǎng)絡(luò)設(shè)備命令行視圖及使用方法3．命令行在線(xiàn)幫助部分幫助指的是當(dāng)用戶(hù)輸入命令時(shí)，如果只記得此命令開(kāi)頭的一個(gè)或幾個(gè)字符，則可以使用命令行的部分幫助功能獲取以該字符或字符串開(kāi)頭的所有關(guān)鍵字的提示。例如，在用戶(hù)視圖下輸入“c?”，相關(guān)實(shí)例代碼如下。<Huawei>c?cdcheckclearclockclustercluster-ftpcompareconfigurationcopy<Huawei>c4.2.4網(wǎng)絡(luò)設(shè)備命令行視圖及使用方法3．命令行在線(xiàn)幫助完全幫助指的是在任一命令視圖下，用戶(hù)可以輸入“?”來(lái)獲取該命令視圖下的所有命令及其簡(jiǎn)單描述。輸入一條命令的部分關(guān)鍵字，后接以空格分隔的“?”，如果該位置為關(guān)鍵字，則系統(tǒng)將列出全部關(guān)鍵字及其描述。例如，在用戶(hù)視圖下輸入“copy?”，相關(guān)實(shí)例代碼如下。<Huawei>copy?STRING<1-64>[drive][path][filename]flash:Devicename<Huawei>copy4.2.5網(wǎng)絡(luò)設(shè)備基本配置命令1．配置設(shè)備名稱(chēng)因?yàn)榫W(wǎng)絡(luò)環(huán)境中設(shè)備眾多，所以為了方便管理員管理，需要對(duì)這些設(shè)備進(jìn)行統(tǒng)一配置?？梢允褂胹ysname命令修改設(shè)備名稱(chēng)，設(shè)備名稱(chēng)一旦設(shè)置會(huì)立刻生效，相關(guān)實(shí)例代碼如下。<Huawei>system-viewEntersystemview,returnuserviewwithCtrl+Z.[Huawei]sysnameSWA//修改交換機(jī)的名稱(chēng)為SWA[SWA]交換機(jī)名稱(chēng)長(zhǎng)度不能超過(guò)255個(gè)字符。在系統(tǒng)視圖下使用undo命令可將交換機(jī)名稱(chēng)恢復(fù)為默認(rèn)名稱(chēng)，相關(guān)實(shí)例代碼如下。[SW1]undosysname //恢復(fù)交換機(jī)的默認(rèn)名稱(chēng)[Huawei] //交換機(jī)默認(rèn)名稱(chēng)為Huawei4.2.5網(wǎng)絡(luò)設(shè)備基本配置命令2．配置返回命令行使用quit命令或return命令可以返回到上一級(jí)視圖或用戶(hù)視圖。quit命令用于返回到上一級(jí)視圖，而return命令用于返回到用戶(hù)視圖，相關(guān)實(shí)例代碼如下。<Huawei>system-viewEntersystemview,returnuserviewwithCtrl+Z.[Huawei]interfaceGigabitEthernet0/0/10[Huawei-GigabitEthernet0/0/10]quit //返回到上一級(jí)視圖[Huawei] [Huawei]interfaceGigabitEthernet0/0/10[Huawei-GigabitEthernet0/0/10]return //返回到用戶(hù)視圖<Huawei>4.2.5網(wǎng)絡(luò)設(shè)備基本配置命令3．配置系統(tǒng)時(shí)鐘協(xié)調(diào)世界時(shí)（CoordinatedUniversalTime，UTC）又稱(chēng)世界統(tǒng)一時(shí)間、世界標(biāo)準(zhǔn)時(shí)間、國(guó)際協(xié)調(diào)時(shí)間。由于系統(tǒng)默認(rèn)采用UTC，而北京在東八區(qū)，我國(guó)時(shí)間與UTC的時(shí)差均為8h，也就是UTC+8。在對(duì)系統(tǒng)時(shí)間和日期進(jìn)行配置前要先設(shè)置時(shí)區(qū)，相關(guān)實(shí)例代碼如下。<Huawei>clocktimezoneCHINA-BJadd08:00:00<Huawei>clockdatetime9:00:002021-04-10<Huawei>displayclock2021-04-1009:00:15+08:00SaturdayTimeZone(CHINA-BJ):UTC+08:00<Huawei>通常情況下，系統(tǒng)時(shí)鐘一旦設(shè)定，即使設(shè)備斷電，設(shè)備時(shí)鐘也可以繼續(xù)運(yùn)行，原則上不再修改，除非需要修正設(shè)備時(shí)間。4.2.5網(wǎng)絡(luò)設(shè)備基本配置命令4．配置用戶(hù)登錄權(quán)限及用戶(hù)級(jí)別默認(rèn)情況下命令級(jí)別分為0～3級(jí)，用戶(hù)級(jí)別分為0～15級(jí)。用戶(hù)0級(jí)為訪問(wèn)級(jí)別，對(duì)應(yīng)網(wǎng)絡(luò)診斷工具命令（如ping、tracert）、從本設(shè)備出發(fā)訪問(wèn)外部設(shè)備的命令（Telnet客戶(hù)端）、部分display命令等。用戶(hù)1級(jí)為監(jiān)控級(jí)別，對(duì)應(yīng)命令0級(jí)和1級(jí)，包括用于系統(tǒng)維護(hù)的命令及display命令等。用戶(hù)2級(jí)是配置級(jí)別，包括向用戶(hù)提供直接網(wǎng)絡(luò)服務(wù)、路由、各個(gè)網(wǎng)絡(luò)層次的命令。用戶(hù)3～15級(jí)是管理級(jí)別，對(duì)應(yīng)命令3級(jí)，該級(jí)別主要用于管理系統(tǒng)運(yùn)行的命令，對(duì)業(yè)務(wù)提供支撐，包括文件系統(tǒng)、FTP和TFTP下載、文件交換配置、電源供應(yīng)控制、備份板控制、用戶(hù)管理、命令級(jí)別設(shè)置、系統(tǒng)內(nèi)部參數(shù)設(shè)置命令，以及用于業(yè)務(wù)故障診斷的debugging命令。12344.2.5網(wǎng)絡(luò)設(shè)備基本配置命令4．配置用戶(hù)登錄權(quán)限及用戶(hù)級(jí)別虛擬類(lèi)型終端（VirtualTypeTerminal，VTY）是一種虛擬線(xiàn)路端口，用戶(hù)通過(guò)終端與設(shè)備建立Telnet或SSH連接后，也就建立了一條VTY，即用戶(hù)可以通過(guò)VTY方式登錄設(shè)備。不同類(lèi)型的VTY支持同時(shí)登錄的用戶(hù)數(shù)量不同，大多數(shù)設(shè)備最多支持15個(gè)用戶(hù)同時(shí)登錄。通過(guò)VTY方式登錄設(shè)備后，使用user-interfacemaximum-vtynumber命令可以配置同時(shí)登錄設(shè)備的VTY類(lèi)型用戶(hù)界面的最大個(gè)數(shù)，相關(guān)實(shí)例代碼如下。<Huawei>system-viewEntersystemview,returnuserviewwithCtrl+Z.[Huawei]user-interfacevty04[Huawei-ui-vty0-4]quit[Huawei] [Huawei]user-interfacemaximum-vty?INTEGER<0-15>ThemaximumnumberofVTYusers,thedefaultvalueis5[Huawei]user-interfacemaximum-vty2//配置同時(shí)在線(xiàn)人數(shù)最多為2個(gè)，默認(rèn)值為5個(gè)4.2.5網(wǎng)絡(luò)設(shè)備基本配置命令4．配置用戶(hù)登錄權(quán)限及用戶(hù)級(jí)別從設(shè)備安全的角度考慮，限制用戶(hù)的訪問(wèn)和操作權(quán)限是很有必要的。規(guī)定用戶(hù)權(quán)限和進(jìn)行用戶(hù)認(rèn)證是提升終端安全的兩種方式。用戶(hù)權(quán)限要求規(guī)定用戶(hù)的級(jí)別，只有特定級(jí)別的用戶(hù)才能執(zhí)行特定級(jí)別的命令。配置用戶(hù)視圖的用戶(hù)認(rèn)證方式后，在用戶(hù)登錄設(shè)備時(shí)，需要輸入密碼進(jìn)行認(rèn)證，這樣就限制了用戶(hù)訪問(wèn)設(shè)備的權(quán)限。在通過(guò)VTY進(jìn)行Telnet連接時(shí)，所有接入設(shè)備的用戶(hù)都必須經(jīng)過(guò)認(rèn)證，相關(guān)實(shí)例代碼如下。4.2.5網(wǎng)絡(luò)設(shè)備基本配置命令4．配置用戶(hù)登錄權(quán)限及用戶(hù)級(jí)別用戶(hù)可以設(shè)置Console界面和VTY界面的屬性，以提高系統(tǒng)的安全性。如果一個(gè)連接上設(shè)備的用戶(hù)一直處于空閑狀態(tài)而不斷開(kāi)，則可能會(huì)給系統(tǒng)帶來(lái)很大風(fēng)險(xiǎn)，所以在等待一個(gè)超時(shí)時(shí)間后，系統(tǒng)會(huì)自動(dòng)中斷與其的連接。這個(gè)閑置切斷時(shí)間又稱(chēng)超時(shí)時(shí)間，默認(rèn)為10min，相關(guān)實(shí)例代碼如下。<Huawei><Huawei>system-viewEntersystemview,returnuserviewwithCtrl+Z.[Huawei]headerlogininformation"Youhaveloggedin"[Huawei]headershellinformation"Pleaseconfigurethedevicecorrectly!"[Huawei]4.2.5網(wǎng)絡(luò)設(shè)備基本配置命令5．配置標(biāo)題信息用戶(hù)可以設(shè)置Console界面和VTY界面的屬性，以提高系統(tǒng)的安全性。如果一個(gè)連接上設(shè)備的用戶(hù)一直處于空閑狀態(tài)而不斷開(kāi)，則可能會(huì)給系統(tǒng)帶來(lái)很大風(fēng)險(xiǎn)，所以在等待一個(gè)超時(shí)時(shí)間后，系統(tǒng)會(huì)自動(dòng)中斷與其的連接。這個(gè)閑置切斷時(shí)間又稱(chēng)超時(shí)時(shí)間，默認(rèn)為10min，相關(guān)實(shí)例代碼如下。header命令用來(lái)設(shè)置用戶(hù)登錄設(shè)備時(shí)終端上顯示的標(biāo)題信息。login參數(shù)用于指定在用戶(hù)登錄設(shè)備認(rèn)證過(guò)程中，激活終端連接時(shí)顯示的標(biāo)題信息。shell參數(shù)用于指定當(dāng)用戶(hù)成功登錄設(shè)備后，已經(jīng)建立了會(huì)話(huà)時(shí)顯示的標(biāo)題信息。header的內(nèi)容可以是字符串或文件名。當(dāng)header的內(nèi)容為字符串時(shí)，標(biāo)題信息以第一個(gè)英文字符作為起始符，以最后一個(gè)英文字符作為結(jié)束符。認(rèn)識(shí)交換機(jī)計(jì)算機(jī)網(wǎng)絡(luò)概述VLAN通信認(rèn)識(shí)路由器技能實(shí)踐防火墻技術(shù)4.3.1VLAN技術(shù)概述虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN）是指在一個(gè)物理網(wǎng)絡(luò)中劃分的邏輯網(wǎng)絡(luò)。使用VLAN技術(shù)的目的是將一個(gè)廣播域網(wǎng)絡(luò)劃分成幾個(gè)邏輯廣播域網(wǎng)絡(luò)，每個(gè)邏輯網(wǎng)絡(luò)內(nèi)的用戶(hù)形成一個(gè)組，組內(nèi)的成員間可以通信，組間的成員不允許通信。一個(gè)VLAN是一個(gè)廣播域，二層的單播、廣播和組播幀在同一VLAN內(nèi)轉(zhuǎn)發(fā)、擴(kuò)散，而不會(huì)直接進(jìn)入其他VLAN，廣播報(bào)文被限制在各個(gè)相應(yīng)的VLAN內(nèi)，這可提高網(wǎng)絡(luò)安全性和交換機(jī)運(yùn)行效率。VLAN劃分方式有很多，如基于端口、基于MAC地址、基于協(xié)議、基于IP子網(wǎng)、基于策略等，目前應(yīng)用得最多的是基于端口劃分，因?yàn)榛诙丝趧澐址绞胶?jiǎn)單實(shí)用。4.3.1VLAN技術(shù)概述1．VLAN的優(yōu)點(diǎn)默認(rèn)狀態(tài)下，一臺(tái)交換機(jī)的所有交換機(jī)端口都在一個(gè)廣播域內(nèi)。而采用VLAN技術(shù)可以限制廣播，減少干擾，將數(shù)據(jù)幀限制在同一個(gè)VLAN內(nèi)，不會(huì)影響其他VLAN，這在一定程度上能節(jié)省帶寬，每個(gè)VLAN都是一個(gè)獨(dú)立的廣播域。從邏輯上將交換機(jī)劃分為若干個(gè)VLAN，可以動(dòng)態(tài)組建網(wǎng)絡(luò)環(huán)境，用戶(hù)無(wú)論在哪兒都可以不做任何修改就接入網(wǎng)絡(luò)。依據(jù)不同的VLAN劃分方式，可以在一臺(tái)交換機(jī)上提供多種網(wǎng)絡(luò)應(yīng)用服務(wù)，這提高了設(shè)備的利用率。不同VLAN的用戶(hù)在未經(jīng)許可的情況下是不能相互訪問(wèn)的，一個(gè)VLAN內(nèi)的廣播幀不會(huì)發(fā)送到另一個(gè)VLAN中，這樣可以保護(hù)用戶(hù)不被其他用戶(hù)竊聽(tīng)，從而保證網(wǎng)絡(luò)的安全。限制廣播域網(wǎng)絡(luò)管理簡(jiǎn)單，可以靈活劃分虛擬工作組提高了網(wǎng)絡(luò)安全性4.3.1VLAN技術(shù)概述2．VLAN的劃分方式基于端口劃分。根據(jù)交換機(jī)的端口編號(hào)來(lái)劃分VLAN，通過(guò)為交換機(jī)的每個(gè)端口配置不同的PVID來(lái)將不同端口劃分到VLAN中。初始情況下，X7系列交換機(jī)的端口處于VLAN1中。此方式配置簡(jiǎn)單，但是當(dāng)主機(jī)移動(dòng)位置時(shí)，需要重新配置VLAN。基于MAC地址劃分。根據(jù)主機(jī)網(wǎng)卡的MAC地址劃分VLAN。此劃分方式需要網(wǎng)絡(luò)管理員提前配置好網(wǎng)絡(luò)中的主機(jī)MAC地址和VLANID之間的映射關(guān)系。基于IP子網(wǎng)劃分。交換機(jī)在接收到不帶標(biāo)簽的數(shù)據(jù)幀時(shí)，會(huì)根據(jù)報(bào)文攜帶的IP地址給數(shù)據(jù)幀添加VLAN標(biāo)簽。基于協(xié)議劃分。根據(jù)數(shù)據(jù)幀的協(xié)議類(lèi)型（或協(xié)議簇類(lèi)型）、封裝格式來(lái)分配VLANID。網(wǎng)絡(luò)管理員需要先配置好協(xié)議類(lèi)型和VLANID之間的映射關(guān)系。1234基于策略劃分。使用幾個(gè)組合的條件來(lái)分配VLAN標(biāo)簽。這些條件包括IP子網(wǎng)、端口和IP地址等。只有當(dāng)所有條件都匹配時(shí)，交換機(jī)才為數(shù)據(jù)幀添加VLAN標(biāo)簽。另外，每一條策略都是需要手動(dòng)配置的。54.3.1VLAN技術(shù)概述3．VLAN數(shù)據(jù)幀格式4.3.1VLAN技術(shù)概述3．VLAN數(shù)據(jù)幀格式字段長(zhǎng)度含義取值TPID2字節(jié)TagProtocolIdentifier（標(biāo)簽協(xié)議標(biāo)識(shí)符），表示數(shù)據(jù)幀類(lèi)型取值為0x8100時(shí)，表示IEEE802.1Q的VLAN數(shù)據(jù)幀。如果不支持IEEE802.1Q的設(shè)備收到這樣的幀，則會(huì)將其丟棄。各設(shè)備廠商可以自定義該字段的值。當(dāng)鄰居設(shè)備將TPID值配置為非0x8100時(shí)，為了能夠識(shí)別這樣的報(bào)文，實(shí)現(xiàn)互通，必須在本設(shè)備上修改TPID值，確保和鄰居設(shè)備的TPID值一致PRI3位Priority，表示數(shù)據(jù)幀的802.1p優(yōu)先級(jí)取值為0～7，值越大優(yōu)先級(jí)越高。當(dāng)網(wǎng)絡(luò)阻塞時(shí)，交換機(jī)優(yōu)先發(fā)送優(yōu)先級(jí)高的數(shù)據(jù)幀CFI1位CanonicalFormatIndicator（標(biāo)準(zhǔn)格式指示位），表示MAC地址在不同的傳輸介質(zhì)中是否以標(biāo)準(zhǔn)格式進(jìn)行封裝，用于兼容以太網(wǎng)和令牌環(huán)網(wǎng)CFI取值為0時(shí)，表示MAC地址以標(biāo)準(zhǔn)格式進(jìn)行封裝；CFI取值為1時(shí)，表示以非標(biāo)準(zhǔn)格式封裝。在以太網(wǎng)中，CFI的值為0VID12位表示該數(shù)據(jù)幀所屬VLAN的IDVLANID取值為0～4095。0和4095為協(xié)議保留取值，因此VLANID的有效取值為1～4094VLAN標(biāo)簽各字段的含義4.3.2端口類(lèi)型1．接入端口如果該端口收到對(duì)端設(shè)備發(fā)送的幀是Untagged數(shù)據(jù)幀，則交換機(jī)將為其強(qiáng)制加上該端口的PVID。如果該端口收到對(duì)端設(shè)備發(fā)送的幀是Tagged數(shù)據(jù)幀，則交換機(jī)會(huì)檢查該標(biāo)簽內(nèi)的VLANID，當(dāng)VLANID與該端口的PVID相同時(shí)，接收該報(bào)文；當(dāng)VLANID與該端口的PVID不同時(shí)，丟棄該報(bào)文。接入端口發(fā)送數(shù)據(jù)幀時(shí)，總是先剝離幀的標(biāo)簽，再進(jìn)行發(fā)送。接入端口發(fā)往對(duì)端設(shè)備的以太網(wǎng)幀永遠(yuǎn)是不帶標(biāo)簽的幀。4.3.2端口類(lèi)型2．干道端口當(dāng)接收到對(duì)端設(shè)備發(fā)送的不帶標(biāo)簽的數(shù)據(jù)幀時(shí)，會(huì)添加該端口的PVID，如果PVID在端口允許通過(guò)的VLANID列表中，則接收該報(bào)文，否則丟棄該報(bào)文。當(dāng)接收到對(duì)端設(shè)備發(fā)送的帶標(biāo)簽的數(shù)據(jù)幀時(shí)，檢查VLANID是否在允許通過(guò)的VLANID列表中，如果在，則接收該報(bào)文，否則丟棄該報(bào)文。端口發(fā)送數(shù)據(jù)幀時(shí)，當(dāng)VLANID與端口的PVID相同，且是該端口允許通過(guò)的VLANID時(shí)，去掉標(biāo)簽，發(fā)送該報(bào)文。當(dāng)VLANID與端口的PVID不同，且是該端口允許通過(guò)的VLANID時(shí)，保留原有標(biāo)簽，發(fā)送該報(bào)文。4.3.2端口類(lèi)型3．混合端口端口攜帶VLAN標(biāo)簽不攜帶VLAN標(biāo)簽接入端口丟棄該報(bào)文為該報(bào)文添加VLAN標(biāo)簽（為本端口的PVID）干道端口判斷本端口是否允許攜帶該VLAN標(biāo)簽的報(bào)文通過(guò)。如果允許，則報(bào)文攜帶原有VLAN標(biāo)簽進(jìn)行轉(zhuǎn)發(fā)，否則丟棄該報(bào)文同上混合端口同上同上不同類(lèi)型端口接收?qǐng)?bào)文時(shí)的處理方式4.3.2端口類(lèi)型3．混合端口端口端口發(fā)送報(bào)文時(shí)的處理方式接入端口去掉報(bào)文攜帶的VLAN標(biāo)簽，并進(jìn)行轉(zhuǎn)發(fā)干道端口首先判斷是否在允許列表中，其次判斷報(bào)文攜帶的VLAN標(biāo)簽是否和端口的PVID相等。如果相等，則去掉報(bào)文攜帶的VLAN標(biāo)簽，并進(jìn)行轉(zhuǎn)發(fā)；否則報(bào)文將攜帶原有的VLAN標(biāo)簽進(jìn)行轉(zhuǎn)發(fā)混合端口首先判斷是否在允許列表中，其次判斷報(bào)文攜帶的VLAN標(biāo)簽在本端口需要做怎樣的處理。如果是以Untagged方式轉(zhuǎn)發(fā)的，則處理方式同接入端口；如果是以Tagged方式轉(zhuǎn)發(fā)的，則處理方式同干道端口不同類(lèi)型端口發(fā)送報(bào)文時(shí)的處理方式4.3.3端口鏈路聚合1．端口鏈路聚合目的增加邏輯鏈路的帶寬提高網(wǎng)絡(luò)的可靠性端口鏈路聚合會(huì)把兩臺(tái)設(shè)備之間的多條物理鏈路聚合在一起，當(dāng)作一條邏輯鏈路來(lái)使用。這兩臺(tái)設(shè)備可以是一對(duì)路由器、一對(duì)交換機(jī)，或者是一臺(tái)路由器和一臺(tái)交換機(jī)。一條聚合鏈路可以包含多條成員鏈路，在華為X7系列交換機(jī)上默認(rèn)最多為8條。端口鏈路聚合能夠增加鏈路帶寬。理論上，通過(guò)聚合幾條鏈路，一個(gè)聚合端口的帶寬可以擴(kuò)展為所有成員端口帶寬的總和，這樣就有效地增加了邏輯鏈路的帶寬。配置了端口鏈路聚合之后，如果一個(gè)成員端口發(fā)生故障，則該成員端口的物理鏈路會(huì)把流量切換到另一條成員鏈路上。端口鏈路聚合還可以在聚合端口上實(shí)現(xiàn)負(fù)載均衡，聚合端口可以把流量分散到多個(gè)不同的成員端口上。通過(guò)成員鏈路把流量發(fā)送到同一個(gè)目的地，可將網(wǎng)絡(luò)發(fā)生擁塞的可能性降到最低。4.3.3端口鏈路聚合2．端口鏈路聚合條件把端口加入Eth-Trunk端口時(shí)，二層Eth-Trunk端口的成員端口必須是二層端口，三層Eth-Trunk端口的成員端口必須是三層端口。一個(gè)Eth-Trunk端口可以加入8個(gè)成員端口，加入Eth-Trunk端口的端口必須是混合端口（默認(rèn)的端口類(lèi)型）。一個(gè)以太網(wǎng)端口只能加入一個(gè)Eth-Trunk端口。如果要把一個(gè)以太網(wǎng)端口加入另一個(gè)Eth-Trunk端口，則必須先把該以太網(wǎng)端口從當(dāng)前所屬的Eth-Trunk端口中刪除。一個(gè)Eth-Trunk端口的成員端口類(lèi)型必須相同。例如，一個(gè)快速以太網(wǎng)端口（FE端口）和一個(gè)吉比特以太網(wǎng)端口（GE端口）不能加入同一個(gè)Eth-Trunk端口。1234成員端口的速率必須相同，如都為100Mbit/s或都為1000Mbit/s。5手動(dòng)負(fù)載分擔(dān)模式簡(jiǎn)稱(chēng)手動(dòng)模式，是一種基本的鏈路聚合方式，在該模式下，Eth-Trunk端口的建立、成員端口的加入都完全是手動(dòng)實(shí)現(xiàn)的，沒(méi)有LACP的參與。該模式下所有成員端口（Selected）都參與數(shù)據(jù)的轉(zhuǎn)發(fā)，負(fù)載分擔(dān)流量，因此稱(chēng)為手動(dòng)負(fù)載分擔(dān)模式。手動(dòng)聚合端口的LACP為關(guān)閉狀態(tài)，即禁止用戶(hù)使用手動(dòng)聚合端口的LACP。在手動(dòng)聚合組中，端口可能處于兩種狀態(tài)：Selected或Standby。處于Selected狀態(tài)且端口號(hào)最小的端口為聚合組的主端口，其他處于Selected狀態(tài)的端口為聚合組的成員端口。由于設(shè)備所能支持的聚合組中的最大端口數(shù)有限，如果處于Selected狀態(tài)的端口數(shù)超過(guò)設(shè)備所能支持的聚合組中的最大端口數(shù)，則系統(tǒng)將按照端口號(hào)從小到大的順序選擇一些端口為Selected端口，其他則為Standby端口。4.3.3端口鏈路聚合3．端口鏈路聚合模式（1）手動(dòng)模式AB4.3.3端口鏈路聚合3．端口鏈路聚合模式（2）LACP模式LACP是一種實(shí)現(xiàn)鏈路動(dòng)態(tài)聚合與解聚合的協(xié)議。LACP通過(guò)鏈路聚合控制協(xié)議數(shù)據(jù)單元（LinkAggregationControlProtocolDataUnit，LACPDU）與對(duì)端交互信息。LACP模式需要LACP的參與。當(dāng)需要在兩個(gè)直連設(shè)備間提供一個(gè)較大的鏈路帶寬且設(shè)備支持LACP時(shí)，建議使用LACP模式。LACP模式不僅可以達(dá)到增加帶寬、提高網(wǎng)絡(luò)可靠性、負(fù)載分擔(dān)的目的，還可以提高Eth-Trunk端口的容錯(cuò)性、提供備份功能。在LACP模式下，部分鏈路是活動(dòng)鏈路，所有活動(dòng)鏈路均參與數(shù)據(jù)轉(zhuǎn)發(fā)。如果某條活動(dòng)鏈路發(fā)生故障，則鏈路聚合組會(huì)自動(dòng)在非活動(dòng)鏈路中選擇一條鏈路作為活動(dòng)鏈路，使參與數(shù)據(jù)轉(zhuǎn)發(fā)的鏈路數(shù)目不變。認(rèn)識(shí)交換機(jī)計(jì)算機(jī)網(wǎng)絡(luò)概述VLAN通信認(rèn)識(shí)路由器技能實(shí)踐防火墻技術(shù)4.4.1路由器外形結(jié)構(gòu)不同廠商、不同型號(hào)的路由器設(shè)備的外形結(jié)構(gòu)有所不同，但它們的功能、端口類(lèi)型幾乎差不多，具體可參考相應(yīng)廠商的產(chǎn)品說(shuō)明書(shū)。這里主要介紹華為AR2240系列路由器產(chǎn)品。4.4.2路由器工作原理路由器接收到數(shù)據(jù)包，提取目的IP地址及其子網(wǎng)掩碼來(lái)計(jì)算目標(biāo)網(wǎng)絡(luò)地址；根據(jù)目標(biāo)網(wǎng)絡(luò)地址查找路由表，如果找到目標(biāo)網(wǎng)絡(luò)地址，則按照相應(yīng)的出口將數(shù)據(jù)包發(fā)送到下一跳地址；如果沒(méi)有找到，則查找是否有默認(rèn)路由，如果有則按照默認(rèn)路由的出口將數(shù)據(jù)包發(fā)送給下一跳地址；如果沒(méi)有找到，則給源IP地址發(fā)送一個(gè)出錯(cuò)ICMP數(shù)據(jù)包以表明無(wú)法轉(zhuǎn)發(fā)該數(shù)據(jù)包；如果是直連路由，則按照MAC地址將其發(fā)送給目標(biāo)站點(diǎn)。4.4.2路由器工作原理在路由表中，每一行就是一條路由信息。通常情況下，一條路由信息由3個(gè)要素組成：目的地/掩碼（Destination/Mask）、出端口、下一跳IP地址（NextHop）。（1）目的地/掩碼（3）下一跳IP地址（2）出端口4.4.3路由選擇1．路由信息的生成靜態(tài)路由（StaticRouting）手動(dòng)配置的路由信息。靜態(tài)路由是由網(wǎng)絡(luò)管理員在路由器上手動(dòng)配置的固定路由。靜態(tài)路由允許對(duì)路由行為進(jìn)行精確的控制，其特點(diǎn)是可減少單向網(wǎng)絡(luò)流量且配置簡(jiǎn)單。靜態(tài)路由是在路由器中設(shè)置的固定路由表。動(dòng)態(tài)路由（DynamicRouting）網(wǎng)絡(luò)設(shè)備通過(guò)運(yùn)行動(dòng)態(tài)路由協(xié)議而得到的路由信息。動(dòng)態(tài)路由減少了管理任務(wù)，網(wǎng)絡(luò)設(shè)備可以自動(dòng)發(fā)現(xiàn)與自己相連的網(wǎng)絡(luò)的路由。動(dòng)態(tài)路由是網(wǎng)絡(luò)中的路由器之間根據(jù)實(shí)時(shí)網(wǎng)絡(luò)拓?fù)渥兓嗷鬟f路由信息，再利用收到的路由信息選擇相應(yīng)的協(xié)議進(jìn)行計(jì)算，從而更新路由表的過(guò)程。動(dòng)態(tài)路由比較適用于大型網(wǎng)絡(luò)。直連路由（DirectRouting）設(shè)備自動(dòng)發(fā)現(xiàn)的路由信息。在網(wǎng)絡(luò)設(shè)備啟動(dòng)后，當(dāng)設(shè)備端口的狀態(tài)為Up時(shí)，設(shè)備會(huì)自動(dòng)發(fā)現(xiàn)與自己的端口直接相連的網(wǎng)絡(luò)的路由。某一網(wǎng)絡(luò)與某臺(tái)設(shè)備直接相連（直連），是指這個(gè)網(wǎng)絡(luò)是與這個(gè)設(shè)備的某個(gè)端口直接相連的。當(dāng)路由器端口配置了正確的IP地址，并且端口處于Up狀態(tài)時(shí)，路由器將自動(dòng)生成一條通過(guò)該端口去往直連網(wǎng)段的路由。直連路由的Protocol屬性為Direct，其Cost值總為0。0102034.4.3路由選擇2．默認(rèn)路由默認(rèn)路由：目的地/掩碼為/0的路由。默認(rèn)路由是一種非常特殊的路由，任何一個(gè)待發(fā)送或待轉(zhuǎn)發(fā)的IP報(bào)文都可以和默認(rèn)路由匹配。（1）動(dòng)態(tài)默認(rèn)路由：默認(rèn)路由是由路由協(xié)議產(chǎn)生的。（2）靜態(tài)默認(rèn)路由：默認(rèn)路由是手動(dòng)配置的。計(jì)算機(jī)或路由器的IP路由表中可能存在默認(rèn)路由，也可能不存在默認(rèn)路由。4.4.3路由選擇3．路由的優(yōu)先級(jí)路由來(lái)源及其默認(rèn)管理距離值路由來(lái)源默認(rèn)管理距離值直連路由（DIRECT）0OSPF10IS-IS15靜態(tài)路由（STATIC）60RIP100OSPFASE150OSPFNSSA150不可達(dá)路由（UNKNOWN）2554.4.3路由選擇4．路由的開(kāi)銷(xiāo)（3）等價(jià)路由：同一種路由協(xié)議發(fā)現(xiàn)的兩條可以到達(dá)同一目的地/掩碼的，且開(kāi)銷(xiāo)相等的路由。（1）一條路由的開(kāi)銷(xiāo)：到達(dá)這條路由的目的地/掩碼需要付出的代價(jià)；同一種路由協(xié)議發(fā)現(xiàn)多條路由可以到達(dá)同一目的地/掩碼時(shí)，將優(yōu)選開(kāi)銷(xiāo)值最小的路由，即只把開(kāi)銷(xiāo)值最小的路由加入本協(xié)議的路由表。（4）負(fù)載分擔(dān)：如果兩條等價(jià)路由都被加入路由器的路由表，那么在進(jìn)行流量轉(zhuǎn)發(fā)的時(shí)候，一部分流量會(huì)根據(jù)第一條路由進(jìn)行轉(zhuǎn)發(fā)，另一部分流量會(huì)根據(jù)第二條路由進(jìn)行轉(zhuǎn)發(fā)。（2）不同的路由協(xié)議對(duì)開(kāi)銷(xiāo)的具體定義是不同的。例如，RIP只將“跳數(shù)”作為開(kāi)銷(xiāo)?！疤鴶?shù)”是指到達(dá)目的地/掩碼需要經(jīng)過(guò)路由器的個(gè)數(shù)。在RIP網(wǎng)絡(luò)穩(wěn)定以后，每臺(tái)路由器都會(huì)周期性地向鄰居路由器通告自己的整張路由表中的路由信息（以RIP應(yīng)答的方式廣播出去），默認(rèn)周期為30s，鄰居路由器根據(jù)收到的路由信息刷新自己的路由表。針對(duì)某一條路由信息，如果180s以后沒(méi)有接收到新的關(guān)于它的路由信息，那么將其標(biāo)記為失效，即將其Metric值標(biāo)記為16。在重新計(jì)時(shí)的120s以后，如果仍然沒(méi)有收到關(guān)于它的更新信息，則該條失效信息會(huì)被刪除。路由器啟動(dòng)時(shí)，路由表中只會(huì)包含直連路由。運(yùn)行RIP之后，路由器會(huì)發(fā)送Request報(bào)文，以請(qǐng)求鄰居路由器的RIP路由。運(yùn)行RIP的鄰居路由器收到該Request報(bào)文后，會(huì)根據(jù)自己的路由表生成Response報(bào)文進(jìn)行回復(fù)。路由器在收到Response報(bào)文后，會(huì)將相應(yīng)的路由添加到自己的路由表中。4.4.4RIP動(dòng)態(tài)路由1．工作原理4.4.4RIP動(dòng)態(tài)路由2．RIP版本RIPv1RIPv1為有類(lèi)別路由協(xié)議，不支持VLSM和CIDR；RIPv1以廣播形式發(fā)送路由信息，目的IP地址為廣播地址55；不支持認(rèn)證功能；RIPv1通過(guò)UDP交換路由信息，端口號(hào)為520。RIPv2RIPv2為無(wú)類(lèi)別路由協(xié)議，支持VLSM，支持路由聚合與CIDR；支持以廣播或組播（）方式發(fā)送報(bào)文；支持明文認(rèn)證和MD5密文認(rèn)證。RIPv2在RIPv1的基礎(chǔ)上進(jìn)行了擴(kuò)展，但RIPv2的報(bào)文格式仍然與RIPv1類(lèi)似。4.4.4RIP動(dòng)態(tài)路由3．RIP的局限性（1）RIP中規(guī)定，一條有效的路由信息的度量不能超過(guò)15，這就使得該協(xié)議不能應(yīng)用于大型的網(wǎng)絡(luò)，應(yīng)該說(shuō)正是因?yàn)樵O(shè)計(jì)者考慮到該協(xié)議只適用于小型網(wǎng)絡(luò)才進(jìn)行了這一限制，對(duì)Metric為16的目標(biāo)網(wǎng)絡(luò)來(lái)說(shuō)，認(rèn)為其不可到達(dá)。（2）收斂速度慢。RIP在實(shí)際應(yīng)用時(shí)很容易出現(xiàn)“計(jì)數(shù)到無(wú)窮大”的現(xiàn)象，這使得路由收斂速度很慢，在網(wǎng)絡(luò)拓?fù)渥兓芫靡院螅酚尚畔⒉拍芊€(wěn)定下來(lái)。（3）根據(jù)跳數(shù)選擇的路由不一定是最優(yōu)路由。RIP以跳數(shù)，即報(bào)文經(jīng)過(guò)的路由器個(gè)數(shù)為衡量標(biāo)準(zhǔn)，并以此來(lái)選擇路由，這一操作欠缺合理性，因?yàn)闆](méi)有考慮網(wǎng)絡(luò)時(shí)延、可靠性、線(xiàn)路負(fù)荷等因素對(duì)傳輸質(zhì)量和速度的影響。4.4.4RIP動(dòng)態(tài)路由4．RIPv1與RIPv2的區(qū)別RIPv1是有類(lèi)別路由協(xié)議，RIPv2是無(wú)類(lèi)別路由協(xié)議。RIPv1不支持VLSM，RIPv2支持VLSM。RIPv1沒(méi)有認(rèn)證的功能，RIPv2支持認(rèn)證功能，并且有明文和MD5密文兩種認(rèn)證方式。RIPv1沒(méi)有手動(dòng)匯總的功能，RIPv2可以在關(guān)閉自動(dòng)匯總功能的前提下，進(jìn)行手動(dòng)匯總。RIPv1是廣播更新，RIPv2是組播更新。RIPv1路由沒(méi)有標(biāo)記的功能，RIPv2可以對(duì)路由打標(biāo)記，用于過(guò)濾和做策略。RIPv1發(fā)送的Update包中可以攜帶25條路由條目，而RIPv2在有認(rèn)證的情況下只能攜帶24條路由。RIPv1發(fā)送的Update包中沒(méi)有next-hop屬性，而RIPv2有next-hop屬性，可以用于路由更新的重定向。4.4.5OSPF動(dòng)態(tài)路由1．OSPF簡(jiǎn)介OSPF是一種鏈路狀態(tài)協(xié)議。各路由器負(fù)責(zé)發(fā)現(xiàn)、維護(hù)與鄰居的關(guān)系，會(huì)描述已知的鄰居列表和鏈路狀態(tài)更新（LinkStateUpdate，LSU）報(bào)文，通過(guò)可靠的泛洪及與AS內(nèi)其他路由器的周期性交互，學(xué)習(xí)到整個(gè)AS的網(wǎng)絡(luò)拓?fù)?，并通過(guò)AS邊界的路由器注入其他AS的路由信息得到整個(gè)網(wǎng)絡(luò)的路由信息。OSPF是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一AS內(nèi)決策路由，它是基于鏈路狀態(tài)的路由協(xié)議。鏈路狀態(tài)是指路由器端口或鏈路的參數(shù)，這些參數(shù)是端口物理?xiàng)l件，包括端口是Up還是Down狀態(tài)、端口的IP地址、分配給端口的子網(wǎng)掩碼、端口所連接的網(wǎng)絡(luò)及路由器進(jìn)行網(wǎng)絡(luò)連接的相關(guān)費(fèi)用等。OSPF通常將規(guī)模較大的網(wǎng)絡(luò)劃分成多個(gè)OSPF區(qū)域，要求路由器與同一區(qū)域內(nèi)的路由器交換鏈路狀態(tài)，并要求在區(qū)域邊界路由器上交換區(qū)域內(nèi)的匯總鏈路狀態(tài)，這樣可以減少傳播的信息量，且可使最短路徑計(jì)算強(qiáng)度減小。4.4.5OSPF動(dòng)態(tài)路由2．OSPF的特點(diǎn)無(wú)環(huán)路。OSPF是一種基于鏈路狀態(tài)的路由協(xié)議，它從設(shè)計(jì)上就保證了無(wú)路由環(huán)路。OSPF支持區(qū)域的劃分，區(qū)域內(nèi)部的路由器使用最短路徑優(yōu)先（ShortestPathFirst，SPF）算法保證區(qū)域內(nèi)部無(wú)環(huán)路。OSPF還利用區(qū)域間的連接規(guī)則保證區(qū)域之間無(wú)路由環(huán)路。收斂速度快。OSPF支持觸發(fā)更新，能夠快速檢測(cè)并通告AS內(nèi)的拓?fù)渥兓U(kuò)展性好。OSPF可以解決網(wǎng)絡(luò)擴(kuò)容帶來(lái)的問(wèn)題。當(dāng)網(wǎng)絡(luò)中的路由器越來(lái)越多，路由信息流量急劇增長(zhǎng)的時(shí)候，OSPF可以將每個(gè)AS劃分為多個(gè)區(qū)域，并限制每個(gè)區(qū)域的范圍。OSPF這種分區(qū)域的特點(diǎn)使得其特別適用于大中型網(wǎng)絡(luò)。提供認(rèn)證功能。OSPF路由器之間的報(bào)文可以配置為必須經(jīng)過(guò)認(rèn)證才能進(jìn)行交換。1234具有更高的優(yōu)先級(jí)和可信度。在RIP中，路由的管理距離是100，而OSPF具有更高的優(yōu)先級(jí)和可信度，其管理距離為10。54.4.5OSPF動(dòng)態(tài)路由3．OSPF的工作原理（1）鄰居與鄰接狀態(tài)關(guān)系運(yùn)行OSPF協(xié)議的路由器之間需要交換鏈路狀態(tài)信息和路由信息，在交換這些信息之前路由器之間需要建立鄰接關(guān)系。鄰居（Neighbor）鄰接OSPF路由器啟動(dòng)后，便會(huì)通過(guò)OSPF端口向外發(fā)送Hello報(bào)文來(lái)發(fā)現(xiàn)鄰居。收到Hello報(bào)文的OSPF路由器會(huì)檢查報(bào)文中定義的一些參數(shù)，如果雙方的參數(shù)一致，則會(huì)彼此形成鄰居關(guān)系，狀態(tài)到達(dá)2-Way即可稱(chēng)為建立了鄰居關(guān)系。形成鄰居關(guān)系的雙方不一定都能形成鄰接關(guān)系，這要根據(jù)網(wǎng)絡(luò)類(lèi)型而定；只有當(dāng)雙方成功交換DD報(bào)文，并同步LSDB后，才能形成真正意義上的鄰接關(guān)系。4.4.5OSPF動(dòng)態(tài)路由3．OSPF的工作原理（2）OSPF協(xié)議的工作原理OSPF協(xié)議要求每臺(tái)運(yùn)行OSPF的路由器都了解整個(gè)網(wǎng)絡(luò)的鏈路狀態(tài)信息，這樣才能計(jì)算出到達(dá)目的地的最優(yōu)路徑。OSPF協(xié)議的收斂過(guò)程由LSA泛洪開(kāi)始，LSA中包含路由器已知的端口IP地址、子網(wǎng)掩碼、開(kāi)銷(xiāo)和網(wǎng)絡(luò)類(lèi)型等信息。收到LSA的路由器可以根據(jù)LSA提供的信息建立自己的LSDB，并在LSDB的基礎(chǔ)上使用SPF算法進(jìn)行運(yùn)算，建立起到達(dá)每個(gè)網(wǎng)絡(luò)的最短路徑樹(shù)。最后，通過(guò)最短路徑樹(shù)得出到達(dá)目標(biāo)網(wǎng)絡(luò)的最優(yōu)路由，并將其加入IP路由表。一臺(tái)既不是DR也不是BDR的路由器，只與DR和BDR形成鄰接關(guān)系并交換鏈路狀態(tài)信息及路由信息，這樣就大大減少了大型廣播型網(wǎng)絡(luò)和NBMA網(wǎng)絡(luò)中的鄰接關(guān)系數(shù)量。在沒(méi)有DR的廣播網(wǎng)絡(luò)中，鄰接關(guān)系的數(shù)量可以根據(jù)公式n(n-1)÷2計(jì)算得出，n代表OSPF協(xié)議的路由器端口的數(shù)量。當(dāng)指定了DR后，所有的路由器都會(huì)與DR建立起鄰接關(guān)系，DR成為該廣播網(wǎng)絡(luò)中的中心點(diǎn)。BDR在DR發(fā)生故障時(shí)接管其業(yè)務(wù)，一個(gè)廣播型網(wǎng)絡(luò)中的所有路由器都必須同BDR建立鄰接關(guān)系。4.4.5OSPF動(dòng)態(tài)路由4．DR與BDR選擇每一個(gè)含有至少兩臺(tái)路由器的廣播型網(wǎng)絡(luò)和NBMA網(wǎng)絡(luò)中都有指定路由器（DesignatedRoute，DR）和備份指定路由器（BackupDesignatedRoute，BDR），DR和BDR可以減少鄰接關(guān)系的數(shù)量，從而減少鏈路狀態(tài)信息及路由信息的交換次數(shù)，這樣可以節(jié)省帶寬，緩解路由器處理的壓力。4.4.5OSPF動(dòng)態(tài)路由5．OSPF區(qū)域劃分運(yùn)行在區(qū)域之間的路由器叫作區(qū)域邊界路由器（AreaBorderRouter，ABR），它包含所有相連區(qū)域的LSDB。自治系統(tǒng)邊界路由器（AutonomousSystemBoundaryRouter，ASBR）是指和其他AS中的路由器交換路由信息的路由器，這種路由器會(huì)向整個(gè)AS通告AS外部路由信息。在規(guī)模較小的公司網(wǎng)絡(luò)中，可以把所有路由器劃分到同一個(gè)區(qū)域中，同一個(gè)OSPF區(qū)域的路由器中的LSDB是完全一致的。OSPF區(qū)域號(hào)可以手動(dòng)配置，為了便于將來(lái)的網(wǎng)絡(luò)擴(kuò)展，推薦將該區(qū)域號(hào)設(shè)置為0，即骨干區(qū)域。認(rèn)識(shí)交換機(jī)計(jì)算機(jī)網(wǎng)絡(luò)概述VLAN通信認(rèn)識(shí)路由器技能實(shí)踐防火墻技術(shù)4.5.1防火墻概述1．防火墻簡(jiǎn)介它會(huì)拒絕所有未經(jīng)允許的命令。防火墻的審查是基礎(chǔ)的逐項(xiàng)審查，任何一個(gè)服務(wù)請(qǐng)求和應(yīng)用操作都將被逐一審查，只有符合允許條件的命令才可能被執(zhí)行，這為保證內(nèi)部計(jì)算機(jī)安全提供了切實(shí)可行的辦法。它會(huì)允許所有未拒絕的命令。防火墻在傳遞信息的時(shí)候都是按照約定的命令執(zhí)行的，也就是在逐項(xiàng)審查后會(huì)拒絕存在潛在危害的命令，因?yàn)榭捎眯詢(xún)?yōu)于安全性，從而導(dǎo)致安全性難以把控。124.5.1防火墻概述2．防火墻的功能（1）支持NAT。防火墻可以作為部署NAT的邏輯地址，因此防火墻可以用來(lái)解決地址空間不足的問(wèn)題，并避免機(jī)構(gòu)在變換ISP時(shí)帶來(lái)的需要重新編址的麻煩。（2）支持虛擬專(zhuān)用網(wǎng)絡(luò)（VirtualPrivateNetwork，VPN）。防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過(guò)VPN可將企業(yè)在地域上分布在全世界各地的局域網(wǎng)或?qū)Ｓ米泳W(wǎng)有機(jī)地互聯(lián)成一個(gè)整體，不僅可省去專(zhuān)用通信線(xiàn)路，還可為信息共享提供技術(shù)保障。（3）支持用戶(hù)制定的各種訪問(wèn)控制策略。（4）支持對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。（5）支持身份認(rèn)證等功能。4.5.1防火墻概述3．防火墻的優(yōu)缺點(diǎn)（1）防火墻的優(yōu)點(diǎn)可增強(qiáng)網(wǎng)絡(luò)安全性提供集中的安全管理提供對(duì)系統(tǒng)的訪問(wèn)控制可增強(qiáng)保密性能有效地記錄網(wǎng)絡(luò)訪問(wèn)情況4.5.1防火墻概述3．防火墻的優(yōu)缺點(diǎn)（2）防火墻的缺點(diǎn)①防火墻不能防范來(lái)自?xún)?nèi)部的攻擊。防火墻對(duì)內(nèi)部用戶(hù)偷竊數(shù)據(jù)、破壞硬件和軟件等行為無(wú)能為力。④防火墻不能防范未知的威脅。防火墻能較好地防范已知的威脅，但不能自動(dòng)防范未知的威脅。②防火墻不能防范未經(jīng)過(guò)防火墻的攻擊。對(duì)于沒(méi)有經(jīng)過(guò)防火墻的數(shù)據(jù)，防火墻無(wú)法檢查，如個(gè)別內(nèi)部網(wǎng)絡(luò)用戶(hù)繞過(guò)防火墻進(jìn)行撥號(hào)訪問(wèn)等。③防火墻不能防范策略配置不當(dāng)或錯(cuò)誤配置帶來(lái)的安全威脅。防火墻是一個(gè)被動(dòng)的安全策略執(zhí)行設(shè)備，要根據(jù)相關(guān)規(guī)定來(lái)執(zhí)行安全防護(hù)操作，而不能自作主張。4.5.1防火墻概述4．防火墻技術(shù)分類(lèi)（1）包過(guò)濾防火墻（2）代理防火墻它也稱(chēng)為應(yīng)用網(wǎng)關(guān)防火墻。第二代防火墻工作在應(yīng)用層上，能夠根據(jù)具體的應(yīng)用對(duì)數(shù)據(jù)進(jìn)行過(guò)濾或者轉(zhuǎn)發(fā)，也就是人們常說(shuō)的代理服務(wù)器、應(yīng)用網(wǎng)關(guān)。這樣的防火墻徹底隔斷了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接通信，內(nèi)部網(wǎng)絡(luò)用戶(hù)對(duì)外部網(wǎng)絡(luò)的訪問(wèn)變成防火墻對(duì)外部網(wǎng)絡(luò)的訪問(wèn)，再由防火墻把訪問(wèn)的結(jié)果轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)用戶(hù)。4.5.1防火墻概述4．防火墻技術(shù)分類(lèi)（3）狀態(tài)檢測(cè)防火墻（4）復(fù)合型防火墻復(fù)合型防火墻結(jié)合了代理防火墻的安全性和包過(guò)濾防火墻的高速等優(yōu)點(diǎn)，實(shí)現(xiàn)了OSI參考模型中第3層～第7層自適應(yīng)的數(shù)據(jù)轉(zhuǎn)發(fā)。（5）下一代防火墻為應(yīng)對(duì)當(dāng)前與未來(lái)的網(wǎng)絡(luò)安全威脅，防火墻必須具備一些新的功能，如具有基于用戶(hù)的高性能并行處理引擎。一些企業(yè)把具有多種功能的防火墻稱(chēng)為下一代防火墻。4.5.2認(rèn)識(shí)防火墻設(shè)備1．防火墻設(shè)備外形華為USG6500E系列防火墻的前、后面板4.5.2認(rèn)識(shí)防火墻設(shè)備2．防火墻設(shè)備連接連接防火墻的各線(xiàn)纜，并連接好電源適配器，給設(shè)備通電。設(shè)備沒(méi)有電源開(kāi)關(guān)，通電后會(huì)立即啟動(dòng)。若防火墻前面板上的SYS指示燈每?jī)擅腴W一次，則表明設(shè)備已進(jìn)入正常運(yùn)行狀態(tài)，可以登錄設(shè)備進(jìn)行配置。PoE供電設(shè)備與防火墻之間必須通過(guò)網(wǎng)線(xiàn)直連。4.5.3防火墻端口區(qū)域及控制策略1．防火墻端口區(qū)域Trust（內(nèi)部，局域網(wǎng)），連接內(nèi)部網(wǎng)絡(luò)。Untrust（外部，Internet），連接外部網(wǎng)絡(luò)，一般指的是Internet。非軍事區(qū)（DemilitarizedZone，DMZ），DMZ中的系統(tǒng)通常為提供對(duì)外服務(wù)的系統(tǒng)，如Web服務(wù)器、FTP服務(wù)器、電子郵件服務(wù)器等；可增強(qiáng)Trust區(qū)域中設(shè)備的安全性；有特殊的訪問(wèn)策略；Trust區(qū)域中的設(shè)備也會(huì)對(duì)DMZ中的系統(tǒng)進(jìn)行訪問(wèn)。4.5.3防火墻端口區(qū)域及控制策略2．DMZ常規(guī)訪問(wèn)控制策略?xún)?nèi)部網(wǎng)絡(luò)可以訪問(wèn)DMZ，方便用戶(hù)使用和管理DMZ中的服務(wù)器。外部網(wǎng)絡(luò)可以訪問(wèn)DMZ中的服務(wù)器，同時(shí)需要由防火墻完成外部地址到服務(wù)器實(shí)際地址的轉(zhuǎn)換。DMZ不能訪問(wèn)外部網(wǎng)絡(luò)。此條策略也有例外。例如，如果DMZ中放置了電子郵件服務(wù)器，則其需要訪問(wèn)外部網(wǎng)絡(luò)，否則它將不能正常工作。010203認(rèn)識(shí)交換機(jī)計(jì)算機(jī)網(wǎng)絡(luò)概述VLAN通信認(rèn)識(shí)路由器技能實(shí)踐防火墻技術(shù)任務(wù)4.1配置交換機(jī)登錄方式1．AAA認(rèn)證方式配置交換機(jī)登錄方式01OPTION02OPTION配置主機(jī)PC1的IP地址配置交換機(jī)LSW103OPTION任務(wù)4.1配置交換機(jī)登錄方式1．AAA認(rèn)證方式顯示交換機(jī)LSW1的配置信息04OPTION05OPTION測(cè)試Telnet連接交換機(jī)LSW1的結(jié)果主機(jī)PC1訪問(wèn)交換機(jī)LSW106OPTION任務(wù)4.1配置交換機(jī)登錄方式2．密碼認(rèn)證方式配置交換機(jī)LSW1顯示交換