1、幻燈片 1幻燈片 2幻燈片 3幻燈片 4幻燈片 5OSI模型的設(shè)計(jì)目的是成為一個(gè)開放網(wǎng)絡(luò)互聯(lián)模型，來克服使用眾多網(wǎng)絡(luò)模型所帶來的互聯(lián)困難和低效性。OSI參考模型很快成為計(jì)算機(jī)網(wǎng)絡(luò)通信的基礎(chǔ)模型。在設(shè)計(jì)時(shí)遵循了以下原則：各個(gè)層之間有清晰的邊界，便于理解；每個(gè)層實(shí)現(xiàn)特定的功能；層次的劃分有利于國際標(biāo)準(zhǔn)協(xié)議的制定；層次的數(shù)目應(yīng)該足夠多，以避免各個(gè)層功能重復(fù)。OSI參考模型具有以下優(yōu)點(diǎn)：簡化了相關(guān)的網(wǎng)絡(luò)操作；提供即插即用的兼容性和不同廠商之間的標(biāo)準(zhǔn)接口；使各個(gè)廠商能夠設(shè)計(jì)出互操作的網(wǎng)絡(luò)設(shè)備，加快數(shù)據(jù)通信網(wǎng)絡(luò)發(fā)展；防止一個(gè)區(qū)域網(wǎng)絡(luò)的變化影響另一個(gè)區(qū)域的網(wǎng)絡(luò)，因此，每一個(gè)區(qū)域的網(wǎng)絡(luò)都能單獨(dú)快速升級；把復(fù)雜

2、的網(wǎng)絡(luò)問題分解為小的簡單問題，易于學(xué)習(xí)和操作?；脽羝?6OSI七層模型中，每一個(gè)對等層數(shù)據(jù)起一個(gè)統(tǒng)一的名字為：協(xié)議數(shù)據(jù)單元（PDU，Protocol Data Unit）。相應(yīng)地，應(yīng)用層數(shù)據(jù)稱為應(yīng)用層協(xié)議數(shù)據(jù)單元（APDU，Application Protocol Data Unit），表示層數(shù)據(jù)稱為表示層協(xié)議數(shù)據(jù)單元（PPDU，Presentation Protocol Data Unit），會話層數(shù)據(jù)稱為會話層協(xié)議數(shù)據(jù)單元（SPDU，Session Protocol Data Unit）。通常，我們把傳輸層數(shù)據(jù)稱為段（Segment），網(wǎng)絡(luò)層數(shù)據(jù)稱為數(shù)據(jù)包（Packet），數(shù)據(jù)鏈路層為幀（

3、Frame），物理層數(shù)據(jù)稱為比特流（Bit）。封裝（Encapsulation）是指網(wǎng)絡(luò)節(jié)點(diǎn)（Node）將要傳送的數(shù)據(jù)用特定的協(xié)議頭打包，來傳送數(shù)據(jù)，同樣在某些層進(jìn)行數(shù)據(jù)處理時(shí)，也會在數(shù)據(jù)尾部加上報(bào)文，這時(shí)候也稱為封裝。OSI七層模型的每一層都對數(shù)據(jù)進(jìn)行封裝，以保證數(shù)據(jù)能夠正確無誤的到達(dá)目的地，被終端主機(jī)接受，執(zhí)行?；脽羝?7物理層涉及到在通信信道（channel）上傳輸?shù)脑急忍亓?，是OSI參考模型的基礎(chǔ)，它實(shí)現(xiàn)傳輸數(shù)據(jù)所需要的機(jī)械、電氣、功能特性。在物理層提供比特流服務(wù)的基礎(chǔ)上，建立相鄰結(jié)點(diǎn)之間的數(shù)據(jù)鏈路，鏈路層主要任務(wù)是提供對物理層的控制，檢測并糾正可能出現(xiàn)的錯(cuò)誤，使之對網(wǎng)絡(luò)層顯現(xiàn)一條無

4、錯(cuò)線路，并且進(jìn)行流量調(diào)控（可選，流量調(diào)控可以在數(shù)據(jù)鏈路層實(shí)現(xiàn)，也可以由傳輸層實(shí)現(xiàn)）。網(wǎng)絡(luò)層檢查網(wǎng)絡(luò)拓?fù)?，以決定傳輸報(bào)文的最佳路由，轉(zhuǎn)發(fā)數(shù)據(jù)包。其關(guān)鍵問題是確定數(shù)據(jù)包從源端到目的端如何選擇路由。網(wǎng)絡(luò)層設(shè)備通過運(yùn)行路由協(xié)議（Routing Protocol）來計(jì)算到目的地的最佳路由，找到數(shù)據(jù)包應(yīng)該轉(zhuǎn)發(fā)的下一個(gè)網(wǎng)絡(luò)設(shè)備，然后利用網(wǎng)絡(luò)層協(xié)議封裝數(shù)據(jù)包，利用下層提供的服務(wù)把數(shù)據(jù)發(fā)送到下一個(gè)網(wǎng)絡(luò)設(shè)備。傳輸層位于OSI參考模型第四層，最終目標(biāo)是向用戶（一般指應(yīng)用層的進(jìn)程），提供有效、可靠的服務(wù)。在會話層及以上的高層次中，數(shù)據(jù)傳送的單位不再另外命名，統(tǒng)稱為報(bào)文。會話層不參與具體的傳輸，它提供包括訪問驗(yàn)證和會話

5、管理在內(nèi)的建立和維護(hù)應(yīng)用之間通信的機(jī)制。如服務(wù)器驗(yàn)證用戶登錄便是由會話層完成的。表示層主要解決用戶信息的語法表示問題。它將欲交換的數(shù)據(jù)從適合于某一用戶的抽象語法，轉(zhuǎn)換為適合于OSI系統(tǒng)內(nèi)部使用的傳送語法。即提供格式化的表示和轉(zhuǎn)換數(shù)據(jù)服務(wù)。數(shù)據(jù)的壓縮和解壓縮，加密和解密等工作都由表示層負(fù)責(zé)。例如圖像格式的顯示，就是由位于表示層的協(xié)議來支持。應(yīng)用層為操作系統(tǒng)或網(wǎng)絡(luò)應(yīng)用程序提供訪問網(wǎng)絡(luò)服務(wù)的接口?；脽羝?8網(wǎng)絡(luò)層數(shù)據(jù)流處理過程：當(dāng)某一網(wǎng)絡(luò)的主機(jī)應(yīng)用程序需要發(fā)送報(bào)文到位于另一個(gè)網(wǎng)絡(luò)的目的地時(shí)，與該主機(jī)在同一網(wǎng)絡(luò)上的路由器的一個(gè)接口會接收到數(shù)據(jù)幀，路由器的鏈路層檢查該幀，確定被攜帶的網(wǎng)絡(luò)層數(shù)據(jù)類型，去掉

6、鏈路層幀頭，并將網(wǎng)絡(luò)層數(shù)據(jù)送往相應(yīng)的網(wǎng)絡(luò)層進(jìn)行處理。網(wǎng)絡(luò)層檢查報(bào)文頭以決定目的地址所在網(wǎng)段，然后通過查找路由表以獲取相應(yīng)輸出接口。輸出接口的鏈路層為該報(bào)文加上鏈路層幀頭，封裝成數(shù)據(jù)幀并發(fā)送到下一跳。每一個(gè)報(bào)文的轉(zhuǎn)發(fā)都要進(jìn)行這一過程。在到達(dá)目的主機(jī)所在網(wǎng)絡(luò)時(shí)，報(bào)文被封裝成目的網(wǎng)絡(luò)的鏈路層數(shù)據(jù)幀，發(fā)送給相應(yīng)的目的主機(jī)。目的主機(jī)接收到該報(bào)文后，經(jīng)過鏈路層、網(wǎng)絡(luò)層的處理，去掉鏈路層幀頭、網(wǎng)絡(luò)層報(bào)文頭后，送給相應(yīng)的協(xié)議模塊處理?；脽羝?9幻燈片 10TCP/IP(Transfer Control Protocol/Internet Protocol，傳輸控制協(xié)議/網(wǎng)際協(xié)議)模型引起開放性和易用性在實(shí)踐中

7、得到了廣泛應(yīng)用，TCP/IP協(xié)議棧也成為了互連網(wǎng)的主流協(xié)議。TCP/IP模型與OSI參考模型的不同點(diǎn)在于TCP/IP把表示層和會話層都?xì)w入應(yīng)用層，所以TCP/IP模型從下至上分為五層：物理層，數(shù)據(jù)鏈路層，網(wǎng)絡(luò)層，傳輸層和應(yīng)用層?；脽羝?11如果某主機(jī)A要將應(yīng)用程序中的某數(shù)據(jù)發(fā)送至服務(wù)器，數(shù)據(jù)首先傳送至應(yīng)用層。主機(jī)的應(yīng)用層通過在數(shù)據(jù)上添加協(xié)議頭來和服務(wù)器的應(yīng)用層通信。所形成的信息單元包含協(xié)議頭、數(shù)據(jù)、可能還有協(xié)議尾，被發(fā)送至傳輸層，傳輸層再添加為服務(wù)器的傳輸層所理解的控制信息的協(xié)議頭。信息單元的大小隨著每一層協(xié)議頭和協(xié)議尾的添加而增加，這些協(xié)議頭和協(xié)議尾包含了服務(wù)器的對應(yīng)層要使用的控制信息。在物

8、理層，整個(gè)信息單元通過網(wǎng)絡(luò)介質(zhì)傳輸。服務(wù)器中的物理層收到信息單元并將其傳送至數(shù)據(jù)鏈路層；然后服務(wù)器中的數(shù)據(jù)鏈路層讀取計(jì)算機(jī)A的數(shù)據(jù)鏈路層添加的協(xié)議頭中的控制信息；然后去除協(xié)議頭和協(xié)議尾，剩余部分被傳送至網(wǎng)絡(luò)層。每一層執(zhí)行相同的動作：從對應(yīng)層讀取協(xié)議頭和協(xié)議尾，并去除，再將剩余信息發(fā)送至上一層。應(yīng)用層執(zhí)行完這些動作后，數(shù)據(jù)就被傳送至服務(wù)器中的應(yīng)用程序，這些數(shù)據(jù)和計(jì)算機(jī)A的應(yīng)用程序所發(fā)送的完全相同?；脽羝?12應(yīng)用層FTP（文件傳輸協(xié)議）：為文件傳輸提供了途徑，它允許數(shù)據(jù)從一臺主機(jī)傳送到另一臺主機(jī)上。HTTP（超文本傳輸協(xié)議）：用來訪問在WWW服務(wù)器上的各種頁面。DNS（域名服務(wù)系統(tǒng)）：用于實(shí)現(xiàn)從

9、主機(jī)域名到IP地址之間的轉(zhuǎn)換。TELNET（虛擬終端服務(wù)）：實(shí)現(xiàn)互聯(lián)網(wǎng)中的工作站登陸到遠(yuǎn)程服務(wù)器的能力。傳輸層TCP （傳輸控制協(xié)議） ：為應(yīng)用程序提供可靠的面向連接的通信服務(wù)，適用于要求得到響應(yīng)的應(yīng)用程序。目前，許多流行的應(yīng)用程序都使用TCP。UDP（用戶數(shù)據(jù)報(bào)協(xié)議）：提供了無連接通信，且不對傳送數(shù)據(jù)包進(jìn)行可靠的保證。適合于一次傳輸小量數(shù)據(jù)，可靠性則由應(yīng)用層來負(fù)責(zé)。網(wǎng)絡(luò)層IP（互聯(lián)網(wǎng)協(xié)議）：IP協(xié)議和路由協(xié)議協(xié)同工作, 尋找能夠?qū)?shù)據(jù)包傳送到目的端的最優(yōu)路徑。IP協(xié)議不關(guān)心數(shù)據(jù)報(bào)文的內(nèi)容，提供無連接的、不可靠的服務(wù)。ARP（地址解析協(xié)議）：把已知的IP地址解析為MAC地址。RARP（反向地址

10、解析協(xié)議）：用于數(shù)據(jù)鏈路層地址已知時(shí)，解析IP地址。ICMP（網(wǎng)際控制消息協(xié)議）：定義了網(wǎng)絡(luò)層控制和傳遞消息的功能。IGMP（網(wǎng)際組管理協(xié)議）：一種組播應(yīng)用協(xié)議，用于加入組播域。 數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層分為兩個(gè)子層：邏輯鏈路控制子層（LLC, Logic Link Control Sublayer），介質(zhì)訪問控制子層（MAC, Media Access Control Sublayer）。物理層為了達(dá)到數(shù)據(jù)傳輸?shù)哪康?，物理層定義了電壓、接口、電纜標(biāo)準(zhǔn)、傳輸距離等。幻燈片 13在數(shù)據(jù)到達(dá)傳輸層以后，傳輸層首先會對數(shù)據(jù)分段以符合網(wǎng)絡(luò)傳輸規(guī)格，分段之后，傳輸層會為每個(gè)數(shù)據(jù)段添加端口號信息以區(qū)分出不同協(xié)

11、議的數(shù)據(jù)。不同的應(yīng)用會有不同的端口號，1024以下端口號為“famous”端口號，1024以上可以自行分配使用。當(dāng)數(shù)據(jù)段傳遞到網(wǎng)絡(luò)層時(shí)，網(wǎng)絡(luò)層會為每個(gè)數(shù)據(jù)段封裝IP包頭，在IP包頭中會包含數(shù)據(jù)所使用的協(xié)議信息(如TCP/UDP:6/17)和源IP地址以及目的IP地址信息。所以，根據(jù)系統(tǒng)為數(shù)據(jù)所添加的三元組信息，我們可以很容易的區(qū)分出不同主機(jī)上的不同應(yīng)用程序。我們把這樣的三元組稱為“套接字”。套接字分為兩種，一種是源套接字，源端口協(xié)議號源IP地址稱為源套接字；一種是目的套接字，目的端口協(xié)議號源IP地址稱為目的套接字?；脽羝?14TCP的連接建立是一個(gè)三次握手過程，目的是為了通信雙方確認(rèn)開始序號，

12、以便后續(xù)通信的有序進(jìn)行。開始連接時(shí)，連接建立方(Client)發(fā)送SYN包，并包含了自己的初始序號a；連接接受方(Server)收到SYN包以后會回復(fù)一個(gè)SYN包，其中包含了對上一個(gè)a包的回應(yīng)信息ACK，回應(yīng)的序號為下一個(gè)希望收到包的序號，即a1，然后還包含了自己的初始序號b；連接建立方(Client)收到回應(yīng)的SYN包以后，回復(fù)一個(gè)ACK包做響應(yīng)，其中包含了下一個(gè)希望收到包的序號即b1。經(jīng)過此三次信息交換以后，TCP連接建立成功，就可以進(jìn)行后續(xù)通信了。幻燈片 15TCP終止連接的四次握手過程如下：首先進(jìn)行關(guān)閉的一方（即發(fā)送第一個(gè)FIN）將執(zhí)行主動關(guān)閉，而另一方（收到這個(gè)FIN）執(zhí)行被動關(guān)閉。

13、當(dāng)服務(wù)器收到這個(gè)FIN，它發(fā)回一個(gè)ACK，確認(rèn)序號為收到的序號加1。和SYN一樣，一個(gè)FIN將占用一個(gè)序號。同時(shí)TCP服務(wù)器還向應(yīng)用程序（即丟棄服務(wù)器）傳送一個(gè)文件結(jié)束符。接著這個(gè)服務(wù)器程序就關(guān)閉它的連接，導(dǎo)致它的TCP端發(fā)送一個(gè)FIN?？蛻舯仨毎l(fā)回一個(gè)確認(rèn)，并將確認(rèn)序號設(shè)置為收到序號加1?；脽羝?16IP欺騙為了獲得訪問權(quán)，入侵者生成一個(gè)帶有偽造源地址的報(bào)文。對于使用基于IP地址驗(yàn)證的應(yīng)用來說，此攻擊方法可以導(dǎo)致未被授權(quán)的用戶可以訪問目的系統(tǒng)，甚至是以root權(quán)限來訪問。即使響應(yīng)報(bào)文不能達(dá)到攻擊者，同樣也會造成對被攻擊對象的破壞。這就造成IP Spoofing攻擊。SYN Flood攻擊由于

14、資源的限制，TCP/IP棧的實(shí)現(xiàn)只能允許有限個(gè)TCP連接。而SYN Flood攻擊正是利用這一點(diǎn)，它偽造一個(gè)SYN報(bào)文，其源地址是一個(gè)偽造的、或者不存在的地址，向服務(wù)器發(fā)起連接，服務(wù)器在收到報(bào)文后用SYN-ACK應(yīng)答，而此應(yīng)答發(fā)出去后，不會收到ACK報(bào)文，造成一個(gè)半連接。如果攻擊者發(fā)送大量這樣的報(bào)文，會在被攻擊主機(jī)上出現(xiàn)大量的半連接，消耗盡其資源，使正常的用戶無法訪問，直到半連接超時(shí)。在一些創(chuàng)建連接不受限制的系統(tǒng)中，SYN Flood攻擊將會消耗掉系統(tǒng)的內(nèi)存等資源，使其不能響應(yīng)合法的請求。幻燈片 17幻燈片 18在以太網(wǎng)數(shù)據(jù)通信中，源主機(jī)發(fā)數(shù)據(jù)給目的主機(jī)，需要了解目的主機(jī)的IP地址和MAC地址

15、進(jìn)行數(shù)據(jù)封裝。而往往在初始通訊時(shí)，源主機(jī)并不知道目的主機(jī)的MAC地址，故為了完成通信過程，需要一種查詢目的主機(jī)MAC地址的技術(shù)，這就是ARP（地址解析協(xié)議，Address Resolution Protocol）用于將目的主機(jī)的IP地址和目的主機(jī)的以太網(wǎng)MAC地址映射關(guān)聯(lián)起來。ARP分為動態(tài)ARP和靜態(tài)ARP動態(tài)ARP是指ARP動態(tài)執(zhí)行并自動尋找IP地址到MAC地址的映射，無需網(wǎng)絡(luò)管理員的介入；靜態(tài)ARP是指IP地址和MAC地址之間有固定的映射關(guān)系，網(wǎng)絡(luò)設(shè)備不能動態(tài)調(diào)整。靜態(tài)ARP需要網(wǎng)絡(luò)管理員手動配置映射表項(xiàng)。在進(jìn)行以太網(wǎng)數(shù)據(jù)通信時(shí)，源主機(jī)需要封裝目的主機(jī)的MAC地址和IP地址，在知道對方的

16、IP地址以后，使用ARP去請求對方的MAC地址。過程如下：源主機(jī)發(fā)送ARP-request，數(shù)據(jù)封裝中源IP地址字段為源主機(jī)IP地址，源MAC地址字段為源主機(jī)的MAC地址，目的IP地址字段為目的主機(jī)IP地址，目的MAC地址被封裝為FF-FF-FF-FF-FF-FF（廣播MAC地址）。當(dāng)交換機(jī)收到該信息以后就會廣播該報(bào)文，在同一網(wǎng)段中的所有主機(jī)都能收到該報(bào)文。當(dāng)主機(jī)收到該報(bào)文以后，查看報(bào)文中的目的IP地址和自己的IP地址是否匹配，若匹配，則記錄下源主機(jī)的MAC地址和IP地址的對應(yīng)關(guān)系，然后將自己的MAC地址封裝進(jìn)ARP-REPLY中單播給源主機(jī)，從而完成ARP“請求應(yīng)答”過程。而如果主機(jī)收到請求

17、報(bào)文以后，報(bào)文中的目的IP地址和自己的IP地址匹配不上，則將會丟棄該請求信息?；脽羝?19二層交換機(jī)處理數(shù)據(jù)包的過程如下：站點(diǎn)A要發(fā)一個(gè)幀給站點(diǎn)D；交換機(jī)從端口1接收到這個(gè)幀，首先查看目的MAC地址，再查看交換機(jī)里Cache 的MAC地址表；如果目的MAC已經(jīng)記錄在MAC表中，則從相應(yīng)端口轉(zhuǎn)發(fā)；如果不存在對應(yīng)表，交換機(jī)把這個(gè)數(shù)據(jù)幀向任何端口轉(zhuǎn)發(fā)出去（除接收這個(gè)幀的端口1）；同時(shí)交換機(jī)查看這個(gè)幀源MAC地址，把端口1和站點(diǎn)A的MAC建立映射關(guān)系（這個(gè)幀的源MAC地址就是站點(diǎn)A物理地址）?？梢钥闯龆咏粨Q機(jī)具有以下特點(diǎn)：一個(gè)端口對應(yīng)一個(gè)沖突域；接收網(wǎng)段上的所有數(shù)據(jù)幀；利用接收數(shù)據(jù)幀中的源MAC地址

18、來建立MAC地址表（源地址自學(xué)習(xí)），使用地址老化機(jī)制進(jìn)行地址表維護(hù)；在MAC地址表中查找數(shù)據(jù)幀中的目的MAC地址，如果找到就將該數(shù)據(jù)幀發(fā)送到相應(yīng)的端口（不包括源端口）；如果找不到，就向所有的端口發(fā)送（不包括源端口）；向所有端口轉(zhuǎn)發(fā)廣播幀和多播幀（不包括源端口）。在交換機(jī)中仍然存在以下缺點(diǎn)：廣播泛濫，安全性仍舊無法得到有效的保證?；脽羝?20虛擬局域網(wǎng)（VLANVirtual Local Area Network）邏輯上把網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶按照一定的原則進(jìn)行劃分，把一個(gè)物理上實(shí)際的網(wǎng)絡(luò)劃分成多個(gè)小的邏輯的網(wǎng)絡(luò)。這些小的邏輯的網(wǎng)絡(luò)形成各自的廣播域，也就是虛擬局域網(wǎng)VLAN。圖中都使用一個(gè)中心交換機(jī)

19、，但是左右各屬于不同的VLAN，形成各自的廣播域，廣播報(bào)文不能跨越這些廣播域傳送。虛擬局域網(wǎng)將一組位于不同物理網(wǎng)段上的用戶在邏輯上劃分成一個(gè)局域網(wǎng)內(nèi)，在功能和操作上與傳統(tǒng)LAN基本相同，可以提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)。 幻燈片 21Hybrid端口與Trunk端口的不同之處在于hybrid端口可以允許多個(gè)VLAN的報(bào)文不打標(biāo)簽，而trunk端口只允許缺省VLAN的報(bào)文不打標(biāo)簽。在同一個(gè)交換機(jī)上hybrid端口和trunk端口不能并存?；脽羝?22端口缺省的模式為Access端口，缺省所有端口都屬于VLAN 1，VLAN 1為缺省VLAN，既不能創(chuàng)建也不能刪除?；脽羝?23接入鏈路指的是用于連

20、接主機(jī)和交換機(jī)的鏈路。通常情況下主機(jī)并不需要知道自己屬于哪些VLAN，主機(jī)的硬件也不一定支持帶有VLAN標(biāo)記的幀。主機(jī)要求發(fā)送和接收的幀都是沒有打上標(biāo)記的幀。接入鏈路屬于某一個(gè)特定的端口，這個(gè)端口屬于一個(gè)并且只能是一個(gè)VLAN。這個(gè)端口不能直接接收其它VLAN的信息，也不能直接向其它VLAN發(fā)送信息。不同VLAN的信息必須通過三層路由處理才能轉(zhuǎn)發(fā)到這個(gè)端口上。干道鏈路是可以承載多個(gè)不同VLAN數(shù)據(jù)的鏈路。干道鏈路通常用于交換機(jī)間的互連，或者用于交換機(jī)和路由器之間的連接。干道鏈路的英文叫做“trunk link”。數(shù)據(jù)幀在干道鏈路上傳輸?shù)臅r(shí)候，交換機(jī)必須用一種方法來識別數(shù)據(jù)幀是屬于哪個(gè)VLAN的

21、。IEEE 802.1Q定義了VLAN幀格式，所有在干道鏈路上傳輸?shù)膸际谴蛏蠘?biāo)記的幀（tagged frame）。通過這些標(biāo)記，交換機(jī)就可以確定哪些幀分別屬于哪個(gè)VLAN。和接入鏈路不同，干道鏈路是用來在不同的設(shè)備之間（如交換機(jī)和路由器之間、交換機(jī)和交換機(jī)之間）承載VLAN數(shù)據(jù)的，因此干道鏈路是不屬于任何一個(gè)具體的VLAN的。通過配置，干道鏈路可以承載所有的VLAN數(shù)據(jù)，也可以配置為只能傳輸指定的VLAN的數(shù)據(jù)。 干道鏈路雖然不屬于任何一個(gè)具體的VLAN，但是可以給干道鏈路配置一個(gè)pvid（port VLAN ID）。當(dāng)干道鏈路不論因?yàn)槭裁丛?，trunk鏈路上出現(xiàn)了沒有帶標(biāo)記的幀，交換機(jī)就

22、給這個(gè)幀增加帶有pvid的VLAN標(biāo)記，然后進(jìn)行處理?；脽羝?24當(dāng)Access端口收到幀時(shí)如果該幀不包含802.1Q tag header，將打上端口的PVID；如果該幀包含802.1Q tag header，交換機(jī)不作處理，直接丟棄。當(dāng)Access端口發(fā)送幀時(shí)剝離802.1Q tag header，發(fā)出的幀為普通以太網(wǎng)幀幻燈片 25當(dāng)Trunk端口收到幀時(shí)如果該幀不包含802.1Q tag header，將打上端口的PVID；如果該幀包含802.1Q tag header，則不改變。當(dāng)Trunk端口發(fā)送幀時(shí)當(dāng)該幀的VLAN ID與端口的PVID不同時(shí)，直接透傳；當(dāng)該幀的VLAN ID與端口

23、的PVID相同時(shí)，則剝離802.1Q tag header 幻燈片 26圖中表示一個(gè)局域網(wǎng)環(huán)境，網(wǎng)絡(luò)中有兩臺交換機(jī)，并且配置了兩個(gè)VLAN。主機(jī)和交換機(jī)之間的鏈路是接入鏈路，交換機(jī)之間通過干道鏈路互相連接。對于主機(jī)來說，它是不需要知道VLAN的存在的。主機(jī)發(fā)出的報(bào)文都是untagged的報(bào)文；交換機(jī)接收到這樣的報(bào)文之后，根據(jù)配置規(guī)則（如端口信息）判斷出報(bào)文所屬VLAN進(jìn)行處理。如果報(bào)文需要通過另外一臺交換機(jī)發(fā)送，則該報(bào)文必須通過干道鏈路傳輸?shù)搅硗庖慌_交換機(jī)上。為了保證其它交換機(jī)正確處理報(bào)文的VLAN信息，在干道鏈路上發(fā)送的報(bào)文都帶上了VLAN標(biāo)記。當(dāng)交換機(jī)最終確定報(bào)文發(fā)送端口后，將報(bào)文發(fā)送給主

24、機(jī)之前，將VLAN的標(biāo)記從以太網(wǎng)幀中刪除，這樣主機(jī)接收到的報(bào)文都是不帶VLAN的標(biāo)記的以太網(wǎng)幀。所以，一般情況下，干道鏈路上傳送的都是Tagged Frame，接入鏈路上傳送的都是Untagged Frame。這樣做的最終結(jié)果是：網(wǎng)絡(luò)中配置的VLAN可以被所有的交換機(jī)正確處理，而主機(jī)不需要了解VLAN信息?；脽羝?27VLAN信息可以跨越多臺交換機(jī)被轉(zhuǎn)遞到相關(guān)的交換機(jī)中。如上圖的所有VLAN-3的數(shù)據(jù)都能通過中間的過渡交換機(jī)實(shí)現(xiàn)通信，同樣VLAN-5的數(shù)據(jù)也可以相互轉(zhuǎn)遞?；脽羝?28VLAN隔離了二層廣播域，也就嚴(yán)格地隔離了各個(gè)VLAN之間的任何流量，分屬于不同VLAN的用戶不能互相通信?；脽?/p>

25、片 29解決VLAN間互通的第一種方法是：為每個(gè)VLAN分配一個(gè)單獨(dú)的路由器接口，VLAN間的數(shù)據(jù)通信通過路由器進(jìn)行三層路由，這樣我們就可以實(shí)現(xiàn)VLAN之間相互通信。但是，隨著每個(gè)交換機(jī)上VLAN數(shù)量的增加，這樣做必然需要大量的路由器接口。出于成本的考慮，一般不可能用這種方案來解決VLAN間路由選路問題。此外，某些VLAN之間可能不需要經(jīng)常進(jìn)行通信，這樣導(dǎo)致路由器的接口沒被充分利用?；脽羝?30為了解決物理接口需求過大的問題，在VLAN技術(shù)的發(fā)展中，出現(xiàn)了另一種路由器獨(dú)臂路由器，用于實(shí)現(xiàn)VLAN間通信的三層網(wǎng)絡(luò)設(shè)備路由器，它只需要一個(gè)以太網(wǎng)接口，通過創(chuàng)建子接口可以承擔(dān)所有VLAN的網(wǎng)關(guān)，而在不

26、同的VLAN間轉(zhuǎn)發(fā)數(shù)據(jù)。 如上圖所示，路由器僅僅提供一個(gè)以太網(wǎng)接口，而在該接口下提供三個(gè)子接口分別作為3個(gè)VLAN用戶的缺省網(wǎng)關(guān)，當(dāng)VLAN100的用戶需要與其它VLAN的用戶進(jìn)行通信時(shí)，該用戶只需將數(shù)據(jù)包發(fā)送給缺省網(wǎng)關(guān)，缺省網(wǎng)關(guān)修改數(shù)據(jù)幀的VLAN標(biāo)簽后再發(fā)送至目的主機(jī)所在VLAN，即完成了VLAN間的通信。 幻燈片 31第三種解決辦法就是三層交換機(jī)，它是將路由器和交換機(jī)合成的一種設(shè)備，融合了路由器和交換機(jī)各自的優(yōu)勢 幻燈片 32圖中的路由器相當(dāng)于存在與交換機(jī)中的一個(gè)路由軟件模塊，它實(shí)現(xiàn)三層路由轉(zhuǎn)發(fā)；而交換機(jī)相當(dāng)于二層交換模塊，它實(shí)現(xiàn)VLAN內(nèi)的二層快速轉(zhuǎn)發(fā)。其用戶設(shè)置的缺省網(wǎng)關(guān)就是三層交換

27、機(jī)中虛擬VLAN接口的IP地址 ?；脽羝?33幻燈片 34幻燈片 35鏈路層發(fā)現(xiàn)的路由也叫做直連路由，是指三層接口在配置IP地址后，并且物理和邏輯均為UP狀態(tài)后，自動被設(shè)備識別的路由。直連路由不需要維護(hù)和計(jì)算，但是只能發(fā)現(xiàn)接口所在網(wǎng)段的路由，并且當(dāng)接口DOWN了以后，路由也就從路由表中刪除。手工配置的靜態(tài)路由是指由管理員手工配置的路由。這樣的路由會一直存在于路由表中，直到路由命令中所指明的出接口DOWN，才會從路由表中被刪掉。并且，靜態(tài)路由不能適應(yīng)網(wǎng)絡(luò)的變化，當(dāng)路徑信息發(fā)生改變以后，還需要由管理員手工更改路由信息。動態(tài)路由協(xié)議發(fā)現(xiàn)的路由是指由路由協(xié)議收集網(wǎng)絡(luò)相關(guān)信息后自動計(jì)算和傳遞的路由。動態(tài)

28、路由協(xié)議首先收集網(wǎng)絡(luò)相關(guān)信息，然后根據(jù)收集到的信息計(jì)算出到達(dá)網(wǎng)絡(luò)中各個(gè)目的的最佳路由并傳遞給其它路由節(jié)點(diǎn)。當(dāng)設(shè)備發(fā)現(xiàn)網(wǎng)絡(luò)發(fā)生改變后會自動重新計(jì)算并更改受影響的路由，以動態(tài)適應(yīng)網(wǎng)絡(luò)的變化?；脽羝?36路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的關(guān)鍵是路由表。每個(gè)路由器中都保存著一張路由表，表中每條路由項(xiàng)都指明數(shù)據(jù)包到某子網(wǎng)或某主機(jī)應(yīng)通過路由器的哪個(gè)物理端口發(fā)送，然后就可到達(dá)該路徑的下一個(gè)路由器，或者不再經(jīng)過別的路由器而傳送到直接相連的網(wǎng)絡(luò)中的目的主機(jī)。路由表中包含了下列關(guān)鍵項(xiàng)：目的地址（Destination）：用來標(biāo)識IP包的目的地址或目的網(wǎng)絡(luò)。網(wǎng)絡(luò)掩碼（Mask）：與目的地址一起來標(biāo)識目的主機(jī)或路由器所在的網(wǎng)段的地址

29、。將目的地址和網(wǎng)絡(luò)掩碼“邏輯與”后可得到目的主機(jī)或路由器所在網(wǎng)段的地址。例如：目的地址為，掩碼為的主機(jī)或路由器所在網(wǎng)段的地址為。掩碼由若干個(gè)連續(xù)“1”構(gòu)成，既可以用點(diǎn)分十進(jìn)制表示，也可以用掩碼中連續(xù)“1”的個(gè)數(shù)來表示。輸出接口（Interface）：說明IP包將從該路由器哪個(gè)接口轉(zhuǎn)發(fā)。下一跳IP地址（Nexthop）：說明IP包所經(jīng)由的下一個(gè)路由器的接口地址。 幻燈片 37在組網(wǎng)結(jié)構(gòu)比較簡單的網(wǎng)絡(luò)中，只需配置靜態(tài)路由就可以使路由器正常工作，仔細(xì)設(shè)置和使用靜態(tài)路由可以改進(jìn)網(wǎng)絡(luò)的性能，并可為重要的應(yīng)用保證帶寬。還有一種靜態(tài)路由類型為稱為接口靜態(tài)路由，它

30、用于表示那些直接連接到路由器接口上的目的網(wǎng)絡(luò)。接口靜態(tài)路由優(yōu)先級是0，這意味著它是直接連接網(wǎng)絡(luò)的路由。靜態(tài)路由還有如下的屬性：可達(dá)路由：正常的路由都屬于這種情況，即IP報(bào)文按照目的地標(biāo)示的路由被送往下一跳，這是靜態(tài)路由的一般用法。目的地不可達(dá)的路由：當(dāng)?shù)侥骋荒康牡氐撵o態(tài)路由具有“reject”屬性時(shí)，任何去往該目的地的IP報(bào)文都將被丟棄，并且通過ICMP 消息通知源主機(jī)目的地不可達(dá)。目的地為黑洞的路由：當(dāng)?shù)侥骋荒康牡氐撵o態(tài)路由具有“blackhole”屬性時(shí)，任何去往該目的地的IP報(bào)文都將被丟棄。同“reject”的區(qū)別是不向源主機(jī)發(fā)送任何消息 幻燈片 38在路由器QuidwayA上配置一條到

31、目的網(wǎng)段/16的靜態(tài)路由，下一跳地址為路由器QuidwayB的S0接口的IP地址。如果鏈路的封裝是PPP或HDLC，也可以指定本路由器的轉(zhuǎn)發(fā)接口。靜態(tài)路由配置命令：QuidwayAip route 16 s0或QuidwayAip route 16 或QuidwayAip route 。 幻燈片 39缺省路由也是一種靜態(tài)路由。簡單地說，缺省路由就是在沒有找到匹配的路由表入口項(xiàng)時(shí)才使用的路由。即只有當(dāng)沒有合適的路由時(shí)，缺省路由才被使用。在

32、路由表中，缺省路由以到網(wǎng)絡(luò)（掩碼為）的路由形式出現(xiàn)?？赏ㄟ^命令display ip route 的輸出看它是否被設(shè)置。如果報(bào)文的目的地址不能與路由表的任何入口項(xiàng)相匹配，那么該報(bào)文將選取缺省路由。如果沒有缺省路由且報(bào)文的目的地址不在路由表中，那么該報(bào)文被丟棄的同時(shí)，將返回源端一個(gè)ICMP報(bào)文指出該目的地址或網(wǎng)絡(luò)不可達(dá)?；脽羝?40PPP協(xié)議主要包括三部分LCP（鏈路控制協(xié)議，Link Control Protocol）、NCP（網(wǎng)絡(luò)控制協(xié)議，Network Control Protocol）和PPP的擴(kuò)展協(xié)議（如Multilink Protocol)。隨著網(wǎng)絡(luò)技術(shù)的不

33、斷發(fā)展，網(wǎng)絡(luò)帶寬已不再是瓶頸，PPP擴(kuò)展協(xié)議的應(yīng)用也就越來越少。PPP協(xié)議特點(diǎn)支持點(diǎn)到點(diǎn)的連接，不同于X.25、frame relay等數(shù)據(jù)鏈路層協(xié)議，具有CHAP、PAP驗(yàn)證協(xié)議，更好的保證了網(wǎng)絡(luò)的安全性；PPP的物理層既支持?jǐn)?shù)據(jù)為8位和無奇偶校驗(yàn)的異步模式，還支持面向比特位的同步鏈接，如frame relay必須為同步電路；PPP有針對不同網(wǎng)絡(luò)層的網(wǎng)絡(luò)控制協(xié)議，如IPCP、IPXCP，并且允許雙方協(xié)商是否對報(bào)文首部進(jìn)行壓縮。PPP支持兩種認(rèn)證協(xié)議：PAP（Password Authentication Protocol）和CHAP（Challenge Hand Authentication Protocol）。 幻燈片 41隨著寬帶網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，以xDSL、Cable Modem和以太網(wǎng)為主的幾種主流寬帶接入技術(shù)的應(yīng)用已開展的如火如荼。同時(shí)又給各大網(wǎng)絡(luò)運(yùn)營商們帶來了種種困惑，無論使用哪種接入技術(shù)，對于他們而言可盼和可求的是如何有效的管理用戶，如何從網(wǎng)絡(luò)的投資中收取回報(bào)，因此對于各種寬