【正文】 過程中可能存在的臨時(shí)環(huán)路：只有根端口和指定端口才會(huì)處于forwarding狀態(tài)，非根非指定端口最終會(huì)處于Blocking狀態(tài)。更新配置BPDU，更新RootID、RootPathCost、發(fā)送網(wǎng)橋ID、發(fā)送端口ID等參數(shù)。如果根網(wǎng)橋ID、根路徑開銷、發(fā)送網(wǎng)橋ID都相同，則比較發(fā)送端口ID，越小越好。MAXage：交換機(jī)緩存的配置BPDU的老化時(shí)間，缺省20S。其它交換機(jī)收到BPDU后，把報(bào)文中的的根路徑開銷加上接收端口的路徑開銷，得到該端口的“根路徑開銷”，根路徑開銷反應(yīng)了某端口到根交換機(jī)的的“遠(yuǎn)近”。下面分別來(lái)解釋四個(gè)字段：網(wǎng)橋ID是交換機(jī)在STP網(wǎng)絡(luò)中的標(biāo)識(shí)，由網(wǎng)橋優(yōu)先級(jí)（2字節(jié)）和MAC地址（6字節(jié)）兩部分組成。堵塞非根非指定端口。生成樹所遵循的標(biāo)準(zhǔn)有三個(gè)分別是IEEE 、IEEE 、IEEE ?？刂苹ピL和防病毒兩種應(yīng)用在實(shí)際中也多結(jié)合在一起，因此在配置的時(shí)候需要注意ACE的先后順序。訪問控制列表的應(yīng)用位置在接口上調(diào)用已經(jīng)配置好的ACL，數(shù)據(jù)流是從交換機(jī)的接口出入，如果所配置的ACL想要發(fā)揮作用，就需要將配置好的ACL應(yīng)用在接口上，接口可以是物理接口也可以是SVI。訪問控制列表配置多條語(yǔ)句 自動(dòng)生成的序列號(hào)默認(rèn)以10為單位遞增。一般情況下，路由條目的下一跳都為與本地互聯(lián)的對(duì)端設(shè)備的互聯(lián)接口IP，與本地出接口IP在同一網(wǎng)段，但也可以配置下一跳IP不屬于本地的直連網(wǎng)段，但要在本地也存在到達(dá)這個(gè)下一跳IP的路由，通過兩次查找路由表找到“真實(shí)”的下一跳IP，這就是我們所講的遞歸路由。如圖：，指向不同的下一跳（分別指向B和C），則會(huì)執(zhí)行負(fù)載均衡。不同路由協(xié)議的代價(jià)沒有可比性。A(config)ip route D(config)ip route 網(wǎng)絡(luò)號(hào)、子網(wǎng)掩碼全部為0，意思就是匹配所有，所有數(shù)據(jù)包如果沒有更精確的下一跳，最后都會(huì)把數(shù)據(jù)包交給它來(lái)處理。第四節(jié) 靜態(tài)路由及默認(rèn)路由在第三節(jié)我們用到兩條路由條目：A(config)ip route D(config)ip route 以上兩條路由條目我們叫做靜態(tài)路由條目。以上是三種不同方式互聯(lián)時(shí)第三步即從交換機(jī)A到D的轉(zhuǎn)發(fā)過程。交換機(jī)A查找MAC地址表根據(jù)替換目的MAC地址后的報(bào)文從哪個(gè)接口轉(zhuǎn)發(fā)出去，并且根據(jù)表項(xiàng)及輸出接口的類型去掉TAG字段。首先在路由表中查找目的IP對(duì)應(yīng)的下一跳IP（），接著查找ARP表項(xiàng)以找到目的IP對(duì)應(yīng)的MAC地址（源MAC地址替換為本地SVI的MAC）。源MAC與目的MAC地址替換，(實(shí)際上就是獲取路由下一跳IP所對(duì)應(yīng)的MAC地址信息)。在這個(gè)過程中，交換機(jī)A和B也獲取到了PC1的MAC地址信息，同時(shí)A也獲取到了PC1的ARP信息。使用access接口互聯(lián)使用access互聯(lián)接口互聯(lián)時(shí)互聯(lián)的接口SVI可以不用在同一VLAN，因?yàn)閳?bào)文中不會(huì)有TAG字段。路由表的工作方式，當(dāng)一個(gè)三層交換機(jī)收到一個(gè)數(shù)據(jù)包再查找路由表時(shí)，如果找不到所匹配的路由條目就會(huì)丟棄該報(bào)文。PC1訪問PC2首先要完成TCP/IP封裝，經(jīng)過二層交換機(jī)轉(zhuǎn)發(fā)至三層網(wǎng)關(guān)交換機(jī)，三層網(wǎng)關(guān)交換機(jī)首先查找ARP表項(xiàng)，找到目的IP所對(duì)應(yīng)的MAC地址，完成目的MAC替換（同時(shí)替換源MAC地址為目的IP地址所在VLAN的SVI接口MAC），再查找MAC地址項(xiàng)，找到替換后的目的MAC的出接口及對(duì)應(yīng)的VLAN標(biāo)記，進(jìn)行VLAN標(biāo)記替換后從相應(yīng)的出接口轉(zhuǎn)發(fā)出去。三層轉(zhuǎn)發(fā)的實(shí)際結(jié)果就是跨VLAN進(jìn)行轉(zhuǎn)發(fā)，不同VLAN內(nèi)的MAC地址轉(zhuǎn)發(fā)表是完全隔離的，因此三層轉(zhuǎn)發(fā)時(shí)，數(shù)據(jù)包從一個(gè)VALN進(jìn)入到另一個(gè)VLAN時(shí)，源MAC和目的MAC都需要進(jìn)行變更：源MAC為interface vlan 30的MAC，目的MAC為PC2的MAC。注意：三層網(wǎng)關(guān)交換機(jī)會(huì)將從PC1所在端口收到報(bào)文直接從端口2轉(zhuǎn)發(fā)出去嗎？我們來(lái)分析一下，在interface vlan 10收到的報(bào)文中會(huì)有如下幾個(gè)字段：VLAN標(biāo)記：此時(shí)的VLAN標(biāo)記為VLAN 10，而PC2所連接的對(duì)端二層交換上只有VLAN 30。PC1完成TCP/IP封裝，源IP和目的IP都已經(jīng)確定好了，源MAC也已經(jīng)確定好了，目的MAC該如何確定？三層網(wǎng)關(guān)交換機(jī)發(fā)送ARP響應(yīng)報(bào)文（包含interface vlan 10接口對(duì)應(yīng)的MAC），ARP相應(yīng)報(bào)文的源MAC為網(wǎng)關(guān)IP的MAC ，目的MAC為PC1的MAC。對(duì)于設(shè)置網(wǎng)關(guān)有要引入SVI概念，即交換虛擬接口，這種接口是存在交換機(jī)內(nèi)部與VLAN進(jìn)行關(guān)聯(lián)，而不是特指某個(gè)物理接口。第二節(jié) 三層交換相關(guān)原理跨網(wǎng)段（VLAN）互訪要解決的問題不同VLAN內(nèi)的PC無(wú)法直接獲取到對(duì)方的ARP信息，因?yàn)椴煌琕LAN之間隔離廣播報(bào)文。，但有一種例外，就是native vlan。Access接口收發(fā)的數(shù)據(jù)幀都為標(biāo)準(zhǔn)以太網(wǎng)數(shù)據(jù)幀，從Access接口收發(fā)的標(biāo)準(zhǔn)以太網(wǎng)數(shù)據(jù)幀，會(huì)從同一VLAN的其它access接口轉(zhuǎn)發(fā)出去。相互通信的PC都已經(jīng)產(chǎn)生了相應(yīng)的ARP緩存，可以完成二層數(shù)據(jù)封裝。，會(huì)從其他trunk接口轉(zhuǎn)發(fā)出去的條件如下：，查看該幀的TAG字段中VLANID是多少，并將其轉(zhuǎn)發(fā)到相應(yīng)的access口，在從access接口轉(zhuǎn)發(fā)出去的時(shí)候，剝離該TAG字段。 那么如何實(shí)現(xiàn)一條線路上可以傳輸多個(gè)VLAN的數(shù)據(jù)？如圖只需要將接口劃為trunk口即可。關(guān)于VLAN的配置相關(guān)命令將在后面章節(jié)介紹。VLAN有著和普通物理網(wǎng)絡(luò)同樣的屬性。第三節(jié) VLAN原理如上圖所示，假設(shè)在7503E下有一臺(tái)輔導(dǎo)員的主機(jī)，那么在默認(rèn)情況下輔導(dǎo)員主機(jī)會(huì)經(jīng)常收到來(lái)自學(xué)生網(wǎng)段的廣播信息，如ARP查詢、Windows操作系統(tǒng)發(fā)出的諸如Netbios廣播報(bào)文。事實(shí)上，不僅僅是ARP報(bào)文，只要是主機(jī)發(fā)出的所有報(bào)文都會(huì)觸發(fā)交換機(jī)進(jìn)行源MAC地址學(xué)習(xí)。當(dāng)從一個(gè)端口接收到一個(gè)目的MAC為廣播地址（或者未知地址）的報(bào)文（即在MAC地址表中沒有表項(xiàng)與該報(bào)文的目的MAC地址匹配），將向所有其他端口進(jìn)行洪泛此報(bào)文（除了接收該報(bào)文的端口）。Hub這樣的工作原理就會(huì)造成一些問題或風(fēng)險(xiǎn)：當(dāng)Hub上連接的主機(jī)越來(lái)越多時(shí)，所有主機(jī)發(fā)出的數(shù)據(jù)都以廣播幀方式轉(zhuǎn)發(fā)時(shí)，網(wǎng)絡(luò)性能將大幅度降低，同時(shí)廣播方式工作也可能導(dǎo)致安全隱患，例如機(jī)密數(shù)據(jù)會(huì)很容易被監(jiān)聽。在這3種情況下，ARP協(xié)議工作過程是一樣的嗎?數(shù)據(jù)的轉(zhuǎn)發(fā)過程是一樣的嗎？首先要弄清楚的是Hub、switch的工作原理。同時(shí)，PCB在收到ARP查詢報(bào)文時(shí)會(huì)根據(jù)Sender MAC address、Sender IP address字段更新自己的ARP緩存表，PCA在收到ARP響應(yīng)報(bào)文時(shí)也會(huì)根據(jù)Target MAC address、Target IP address字段更新自己的ARP緩存表，此后在數(shù)據(jù)通訊過程中，就利用ARP緩存中的信息填充目的IP所對(duì)應(yīng)的目的MAC地址。但是由于ARP查詢報(bào)文為廣播，那么由誰(shuí)來(lái)響應(yīng)請(qǐng)求呢？答案就在第二步中所提到的四個(gè)字段中，只有IP地址為Target IP address字段中的值的PC進(jìn)行響應(yīng)，其它PC將收到的報(bào)文丟棄，不進(jìn)行回應(yīng)。由于不知道目的MAC地址，因此ARP查詢報(bào)文的目的地址為全F的廣播MAC地址。而目的MAC地址是如何獲取的？ 第二步：ARP協(xié)議自動(dòng)解析目的IP所對(duì)應(yīng)的目的MAC。ARP、DNS、WINS這些輔助性協(xié)議統(tǒng)稱為地址解析協(xié)議。傳輸層，不管是TCP還是UDP，都是使用端口號(hào)作為地址。在通信模型中，通過地址來(lái)表示不同的設(shè)備或者同一個(gè)設(shè)備的不同接口，不同協(xié)議有不同的地址，這些地址的表現(xiàn)形式不同?！癕AC地址”實(shí)際上就是適配器地址或適配器標(biāo)識(shí)符EUI48。 IEEE 的注冊(cè)管理機(jī)構(gòu) RA 負(fù)責(zé)向廠家分配地址字段的前三個(gè)字節(jié)(即高位 24 位)。由于存在種類繁多的物理介質(zhì)，因此在數(shù)據(jù)鏈路層定義了不同的數(shù)據(jù)鏈路層協(xié)議，定義了幀的類型及介質(zhì)訪問方式。IPv4報(bào)文，又叫IPv4包，由20個(gè)字節(jié)的頭部加上數(shù)據(jù)部分組成IPv4頭部通過協(xié)議號(hào)標(biāo)識(shí)被IP封裝的數(shù)據(jù)是哪種協(xié)議，ICMP TCP UDP的協(xié)議號(hào)分別是1 6 17.在網(wǎng)絡(luò)層，通過IPv4地址標(biāo)識(shí)不同的主機(jī)或者同一設(shè)備不同的三層接口。 接收方通過動(dòng)態(tài)調(diào)整窗口的大小進(jìn)行流量控制。? 窗口表示接收方的接收能力。187?；赥CP協(xié)議的應(yīng)用層協(xié)議必須經(jīng)過三次握手建立連接后才能進(jìn)行通信。PC2收到PC1發(fā)送到報(bào)文后，在回應(yīng)的報(bào)文中把ACK置位，確認(rèn)號(hào)置位為a+1，表示知曉了PC1的初始序列號(hào)，同時(shí)把SYN置位，把自己的隨機(jī)序列號(hào)b告訴PC1。 Option字段187。 同步序號(hào)標(biāo)志，置1表示同步序號(hào)，用來(lái)建立連接。 確認(rèn)號(hào)標(biāo)志，置1表示確認(rèn)號(hào)有效，表示收到對(duì)端的特定數(shù)據(jù)。216。查看端口號(hào)：TCP協(xié)議特點(diǎn)：216。在這里，1028，1050都是由源主機(jī)從系統(tǒng)中未使用的而且大于1024的端口號(hào)中隨機(jī)分配的，標(biāo)識(shí)發(fā)送方的進(jìn)程，而目標(biāo)端口則按照規(guī)定使用了知名端口，以便接收方能夠正確處理。20個(gè)字節(jié)的TCP字段協(xié)議頭部包含了更多的字段，通過這些字段，TCP協(xié)議能夠?yàn)樯蠈討?yīng)用提供可靠的、有序的、具備流量控制的能力的傳輸服務(wù)，基于TCP的應(yīng)用程序就不用考慮這些問題。兩個(gè)協(xié)議各有優(yōu)勢(shì)，TCP協(xié)議主要用于一次性傳輸大量的數(shù)據(jù)的應(yīng)用，比如FTP，SMTP、TELNET、HTTP都是基于TCP協(xié)議的,而UDP協(xié)議則用于多次少量數(shù)據(jù)的傳輸，尤其是實(shí)時(shí)性要求比較高的業(yè)務(wù)，比如TFTP、SNMP、DHCP協(xié)議以及視頻、VOIP等應(yīng)用。第二節(jié) TCP/IP協(xié)議族TCP/IP模型由若干個(gè)相互關(guān)聯(lián)的協(xié)議組成，這些協(xié)議組成了TCP/IP協(xié)議族。在傳遞的過程中，每層的協(xié)議都會(huì)把上層信息加上本協(xié)議的頭部，組成一個(gè)協(xié)議數(shù)據(jù)單元—PDU,而這個(gè)加協(xié)議頭部的動(dòng)作就叫做封裝。發(fā)送方由上而下逐層產(chǎn)生的數(shù)據(jù)，最終在物理層變成可以在介質(zhì)上傳輸?shù)男盘?hào)，通過網(wǎng)絡(luò)設(shè)備的傳輸，接收方接收后有一個(gè)由下而上逐層上交數(shù)據(jù)的過程。在以后的介紹中會(huì)始終貫穿這種思路。在網(wǎng)絡(luò)中部署配置某個(gè)協(xié)議，就是要實(shí)現(xiàn)一個(gè)特定的目的。OSI模型只是一個(gè)參考模型，一般只是用作開發(fā)指南，實(shí)際上整個(gè)數(shù)據(jù)通信網(wǎng)絡(luò)是建立在TCP/IP協(xié)議模型之上的。兩種主要的通信模型是國(guó)際標(biāo)準(zhǔn)化組織（ISO）制定的OSI參考模型和美國(guó)國(guó)防部制定的TCP/IP協(xié)議模型。隨后經(jīng)歷了一個(gè)寒假和畢業(yè)實(shí)習(xí)后，于2013年4月底正式進(jìn)入課題系統(tǒng)實(shí)質(zhì)性的編寫階段。正基于這個(gè)背景，產(chǎn)生了《校園網(wǎng)網(wǎng)絡(luò)設(shè)備高級(jí)原理與配置》這個(gè)畢業(yè)設(shè)計(jì)課題。網(wǎng)絡(luò)技術(shù)的發(fā)展也取得了巨大的成就,新技術(shù)層出不窮。在選題后，查閱了大量的文獻(xiàn)資料，對(duì)目前數(shù)通領(lǐng)域的現(xiàn)狀以及采用的技術(shù)進(jìn)行了詳細(xì)的研究，結(jié)合現(xiàn)有的資源，于2013年4月正式定題，課題定名為《校園網(wǎng)網(wǎng)絡(luò)設(shè)備高級(jí)原理與配置》。 第一章 TCP/IP通信基礎(chǔ) 第一節(jié) 網(wǎng)絡(luò)模型在一個(gè)網(wǎng)絡(luò)中，各個(gè)廠商的各種網(wǎng)絡(luò)設(shè)備、包括主機(jī)、服務(wù)器等其他終端之所以能夠相互通信，協(xié)同工作，是因?yàn)樗性O(shè)備都遵從相同的行為規(guī)則，這些行為規(guī)則的集合就構(gòu)成了通信模型。如圖： Internet應(yīng)用的主要模型就是TCP/IP模型，而對(duì)于OSI七層模型來(lái)講對(duì)大多數(shù)廠商的實(shí)現(xiàn)稍顯復(fù)雜，但分層更精確。功能由協(xié)議完成，意味著一個(gè)特定的功能總是由某個(gè)協(xié)議完成的，甚至可能是由多個(gè)相互關(guān)聯(lián)的協(xié)議配合完成的。正常運(yùn)作需要什么條件。數(shù)據(jù)通信是由發(fā)送方、中間網(wǎng)絡(luò)設(shè)備、接收方共同完成的。對(duì)等通信表表示如下圖：了解對(duì)等通信之后我們又有了疑問，一臺(tái)主機(jī)通過交換機(jī)路由器后與另一臺(tái)主機(jī)通信過程中報(bào)文是如何封裝交互的？事實(shí)上，源主機(jī)在發(fā)送數(shù)據(jù)之前，沿協(xié)議棧自上而下傳遞應(yīng)用程序產(chǎn)生的信息。這樣一次完整的數(shù)據(jù)通信便宣告完成。 傳輸層在發(fā)送方和接收方之間提供端到端的傳輸服務(wù).在TCP/IP協(xié)議族中，有兩個(gè)傳輸層協(xié)議，TCP提供面向連接的、可靠的、有序的、流量控制的傳輸服務(wù)的，和它相對(duì)應(yīng)的UDP協(xié)議，則提供無(wú)連接的、不可靠的、無(wú)序的、無(wú)流量控制的傳輸服務(wù)。但由于UDP沒有解決可靠性，基于UDP的應(yīng)用程序必須自己來(lái)解決可靠性。telnet和協(xié)議作為應(yīng)用層協(xié)議，在傳輸層都由TCP協(xié)議承載，為了區(qū)分這兩個(gè)進(jìn)程產(chǎn)生的數(shù)據(jù)，TCP通過源端口1028，目標(biāo)端口23標(biāo)識(shí)主機(jī)A遠(yuǎn)程telnet主機(jī)B的數(shù)據(jù)，通過源端口1050，目標(biāo)端口80標(biāo)識(shí)主機(jī)A訪問主機(jī)C的WWW服務(wù)的數(shù)據(jù)。常見協(xié)議端口號(hào)如圖： 使用netstat查看正在使用的端口號(hào)。 源端口標(biāo)識(shí)發(fā)送方的進(jìn)程，目的端口標(biāo)識(shí)接收方的進(jìn)程。 Flag字段(8位)? ACK 187。? SYN187。216。如圖所示PC1發(fā)送到第一個(gè)報(bào)文SYN置位為1，序列號(hào)是由PC1隨機(jī)廠商的，序列號(hào)為A。建立連接后，所有數(shù)據(jù)的ACK位都會(huì)置位。 發(fā)送方通過序號(hào)對(duì)傳輸?shù)臄?shù)據(jù)的第一個(gè)字節(jié)進(jìn)行編號(hào)。 如果在規(guī)定時(shí)間內(nèi)沒有收到對(duì)已發(fā)送數(shù)據(jù)的確認(rèn)，則進(jìn)行重傳。187。 網(wǎng)絡(luò)層提供主機(jī)到主機(jī)的傳輸服務(wù)，這種服務(wù)是由IP協(xié)議提供的,ICMP輔助IP工作，提供出錯(cuò)和控制信息，而ARP協(xié)議在以太網(wǎng)中提供IP地址和MAC地址之間的映射。數(shù)據(jù)鏈路層通過介質(zhì)在相鄰節(jié)點(diǎn)間提供數(shù)據(jù)傳輸服務(wù)。 MAC地址：在局域網(wǎng)中，硬件地址又稱為物理地址，或 MAC 地址。這種 48 位地址稱為 MAC48，它的通用名稱是EUI48?！鞍l(fā)往本站的幀”包括以下三種幀： 單播(unicast)幀（一對(duì)一）廣播(broadcast)幀（一對(duì)全體）多播(multicast)幀（一對(duì)多） 網(wǎng)絡(luò)設(shè)備對(duì)數(shù)據(jù)的處理基于它所處的層次： 尋址與地址映射：在協(xié)議包的頭部，很重要的一個(gè)字段就是地址。網(wǎng)絡(luò)層，現(xiàn)在遇到的一般是32位的IPv4地址或者是128位的IPv6地址。但這個(gè)地址必須由DNS協(xié)議解析為對(duì)應(yīng)的IP地址，才能封裝