【文章內(nèi)容簡(jiǎn)介】 上圖三層交換的許多細(xì)節(jié)并沒有考慮，只是為了展示三層交換的結(jié)果。PC1完成TCP/IP封裝，源IP和目的IP都已經(jīng)確定好了，源MAC也已經(jīng)確定好了，目的MAC該如何確定？三層網(wǎng)關(guān)交換機(jī)發(fā)送ARP響應(yīng)報(bào)文（包含interface vlan 10接口對(duì)應(yīng)的MAC），ARP相應(yīng)報(bào)文的源MAC為網(wǎng)關(guān)IP的MAC ，目的MAC為PC1的MAC。接下來我們來了解一下三層交換機(jī)的詳細(xì)工作過程，以PC1PingPC2為例。PC1獲取到網(wǎng)關(guān)IP對(duì)應(yīng)的MAC地址后就可以完成TCP/IP封裝，將報(bào)文發(fā)送出去，經(jīng)過二層交換機(jī)轉(zhuǎn)發(fā)至三層網(wǎng)關(guān)交換機(jī)。三層網(wǎng)關(guān)交換機(jī)的interface vlan 10 接口會(huì)對(duì)這個(gè)報(bào)文進(jìn)行處理（報(bào)文的TAG標(biāo)記為VLAN 10，并且目的MAC也為interface vlan 10 接口的MAC），SVI在收到這個(gè)報(bào)文時(shí)，會(huì)讀取上層內(nèi)容，位于interface vlan 30接口的網(wǎng)段內(nèi)，因此將進(jìn)行三層轉(zhuǎn)發(fā)。注意：三層網(wǎng)關(guān)交換機(jī)會(huì)將從PC1所在端口收到報(bào)文直接從端口2轉(zhuǎn)發(fā)出去嗎？我們來分析一下，在interface vlan 10收到的報(bào)文中會(huì)有如下幾個(gè)字段：VLAN標(biāo)記：此時(shí)的VLAN標(biāo)記為VLAN 10，而PC2所連接的對(duì)端二層交換上只有VLAN 30。源MAC地址：為VLAN 10中PC1的MAC。目的MAC：為VLAN10網(wǎng)關(guān)接口的MAC地址。經(jīng)過分析得出：直接將報(bào)文轉(zhuǎn)發(fā)出去是不能達(dá)到PC2的 。三層轉(zhuǎn)發(fā)的實(shí)際結(jié)果就是跨VLAN進(jìn)行轉(zhuǎn)發(fā)，不同VLAN內(nèi)的MAC地址轉(zhuǎn)發(fā)表是完全隔離的，因此三層轉(zhuǎn)發(fā)時(shí)，數(shù)據(jù)包從一個(gè)VALN進(jìn)入到另一個(gè)VLAN時(shí)，源MAC和目的MAC都需要進(jìn)行變更：源MAC為interface vlan 30的MAC，目的MAC為PC2的MAC。三層網(wǎng)關(guān)交換機(jī)發(fā)送ARP查詢報(bào)文，查詢PC2的MAC地址，該ARP查詢報(bào)文的源MAC地址為interface vlan 30 接口所對(duì)應(yīng)的MAC地址。PC2對(duì)ARP查詢報(bào)文進(jìn)行響應(yīng)，返回ARP響應(yīng)報(bào)文，其源MAC是PC2的MAC地址，目的MAC是VLAN30網(wǎng)關(guān)接口的MAC地址。當(dāng)三層網(wǎng)關(guān)交換機(jī)掌握PC2的ARP表項(xiàng)時(shí)，即可以完成二層封裝，然后再查找MAC地址表，將報(bào)文從所對(duì)應(yīng)端口轉(zhuǎn)發(fā)出去（如果出接口為trunk，則添加目的MAC所屬VLAN的TAG字段）。PC1訪問PC2首先要完成TCP/IP封裝，經(jīng)過二層交換機(jī)轉(zhuǎn)發(fā)至三層網(wǎng)關(guān)交換機(jī)，三層網(wǎng)關(guān)交換機(jī)首先查找ARP表項(xiàng)，找到目的IP所對(duì)應(yīng)的MAC地址，完成目的MAC替換（同時(shí)替換源MAC地址為目的IP地址所在VLAN的SVI接口MAC），再查找MAC地址項(xiàng)，找到替換后的目的MAC的出接口及對(duì)應(yīng)的VLAN標(biāo)記，進(jìn)行VLAN標(biāo)記替換后從相應(yīng)的出接口轉(zhuǎn)發(fā)出去。注意：為了能實(shí)現(xiàn)跨網(wǎng)段遠(yuǎn)程管理交換機(jī)，需要同時(shí)在三層網(wǎng)關(guān)交換機(jī)上配置管理SVI，并且為了遠(yuǎn)程管理二層交換機(jī)，需要在二層交換機(jī)上創(chuàng)建三層管理SVI，并且配置默認(rèn)網(wǎng)關(guān)，相當(dāng)于路由。第三節(jié) 路由基礎(chǔ)及靜態(tài)路由原理 如上圖，PC1和PC2實(shí)現(xiàn)了跨網(wǎng)段通信，并且是在同一臺(tái)三層網(wǎng)關(guān)交換機(jī)下的通信，假設(shè)PC1和PC2是在不同的三層交換機(jī)下呢？首先了解什么是路由，三層交換機(jī)的SVI接口將從該VLAN收到的數(shù)據(jù)從另外一個(gè)SVI接口轉(zhuǎn)發(fā)出去，這個(gè)過程稱為路由，實(shí)際上，前面學(xué)習(xí)的三層交換也是“路由行為”。再來了解一下什么事路由表，三層交換同二層交換機(jī)一樣，同樣存在一張表來指導(dǎo)交換機(jī)如何將從一個(gè)SVI收到的數(shù)據(jù)包從另外一個(gè)SVI轉(zhuǎn)發(fā)出去，這張地址表就是路由表。路由表的工作方式，當(dāng)一個(gè)三層交換機(jī)收到一個(gè)數(shù)據(jù)包再查找路由表時(shí)，如果找不到所匹配的路由條目就會(huì)丟棄該報(bào)文。下面重點(diǎn)學(xué)習(xí)三層交換機(jī)的互聯(lián)方式除了A的直連網(wǎng)段外，在交換機(jī)的路由表中有一個(gè)重要的概念叫做下一跳地址，即A需要知道將數(shù)據(jù)包轉(zhuǎn)發(fā)給那臺(tái)設(shè)備，那么就需要這個(gè)下一跳進(jìn)行標(biāo)示，因此不同的三層設(shè)備互聯(lián)需要有位于同一網(wǎng)段的一對(duì)互連接口地址。明確了要在A、D之間配置一對(duì)同一網(wǎng)段的IP地址，那么這對(duì)地址應(yīng)該配置在什么接口上？如果配置在SVI接口上，那么A、D之間的互連接口應(yīng)該怎么配置呢？下面來學(xué)習(xí)交換機(jī)的三種互聯(lián)方式。使用trunk方式進(jìn)行互聯(lián)使用trunk方式互聯(lián)要注意，互聯(lián)vlan要是同一個(gè)vlan，要做vlan修剪，避免帶寬浪費(fèi)。使用access接口互聯(lián)使用access互聯(lián)接口互聯(lián)時(shí)互聯(lián)的接口SVI可以不用在同一VLAN，因?yàn)閳?bào)文中不會(huì)有TAG字段。要在三層設(shè)備的下聯(lián)口做vlan修剪避免不必要的廣播報(bào)文占用帶寬。使用路由口互聯(lián)確定了使用哪種方式互聯(lián)后，需要進(jìn)行路由配置，這里只需要簡(jiǎn)單的靜態(tài)路由就可以。下面看一下數(shù)據(jù)轉(zhuǎn)發(fā)的詳細(xì)過程：PC1的數(shù)據(jù)封裝，PC1判斷PC2的IP地址與本地IP不在同一網(wǎng)段，在進(jìn)行TCP/IP封裝時(shí)，二層目的目的MAC會(huì)采用網(wǎng)關(guān)MAC地址，因此會(huì)首先發(fā)送ARP查詢本地配置的網(wǎng)關(guān)IP對(duì)應(yīng)的MAC地址，網(wǎng)關(guān)返回ARP響應(yīng)報(bào)文，獲取網(wǎng)關(guān)的ARP信息后，完成TCP/IP封裝。在這個(gè)過程中，交換機(jī)A和B也獲取到了PC1的MAC地址信息，同時(shí)A也獲取到了PC1的ARP信息。報(bào)文經(jīng)過交換機(jī)B轉(zhuǎn)發(fā)至A，在這個(gè)過程中，B從VLAN 10的access口接收到報(bào)文，查找MAC地址表將其從上聯(lián)口轉(zhuǎn)發(fā)出去，由于上聯(lián)口是trunk接口，因此將攜帶TAG標(biāo)記（VLAN10）。A收到報(bào)文后，查看二層頭部是自己但是三層目的IP不是自己，查找路由表進(jìn)行三層路由轉(zhuǎn)發(fā)，A查找路由表，（D的接口IP），因此會(huì)將報(bào)文轉(zhuǎn)發(fā)給交換機(jī)D。由于是VLAN的三層路由轉(zhuǎn)發(fā)，因此A在將報(bào)文轉(zhuǎn)發(fā)給B時(shí)，會(huì)修改二層字段信息，源MAC、目的MAC、TAG字段等。源MAC與目的MAC地址替換，(實(shí)際上就是獲取路由下一跳IP所對(duì)應(yīng)的MAC地址信息)。注意，A和D之間使用不同的接口進(jìn)行互聯(lián)時(shí)，所形成的MAC地址表及ARP表會(huì)有所不同，具體體現(xiàn)在ARP表項(xiàng)和MAC表項(xiàng)。使用trunk或者access接口互聯(lián)時(shí)會(huì)形成ARP和MAC表，使用路由口互聯(lián)時(shí)只有ARP表。下面分別來看一下三種方式互聯(lián)時(shí)數(shù)據(jù)從A到D的轉(zhuǎn)發(fā)過程:使用Trunk互聯(lián)時(shí)：交換機(jī)A查找路由表及ARP表以完成二層MAC地址的替換。首先在路由表中查找目的IP對(duì)應(yīng)的下一跳IP（），接著查找ARP表項(xiàng)以找到目的IP對(duì)應(yīng)的MAC地址（源MAC地址替換為本地SVI的MAC）。A查找MAC地址表根據(jù)替換目的MAC地址后的報(bào)文從哪個(gè)接口轉(zhuǎn)發(fā)出去，并且根據(jù)表項(xiàng)及輸出接口的類型加上TAG字段。使用access接口互聯(lián)時(shí)： 交換機(jī)A查找路由表及ARP表完成二層MAC地址的替換。首先在路由表中查找目的IP對(duì)應(yīng)的下一跳IP（），接著查找ARP表項(xiàng)以找到目的IP對(duì)應(yīng)的MAC地址（源MAC地址替換為本地SVI的MAC）。交換機(jī)A查找MAC地址表根據(jù)替換目的MAC地址后的報(bào)文從哪個(gè)接口轉(zhuǎn)發(fā)出去，并且根據(jù)表項(xiàng)及輸出接口的類型去掉TAG字段。使用路由口互聯(lián)時(shí)：交換機(jī)A查找路由表及ARP表以完成二層MAC地址的替換。首先在路由表中查找目的IP對(duì)應(yīng)的下一跳IP，接著查找ARP表項(xiàng)以找到下一跳IP對(duì)應(yīng)的MAC地址，最后將目的MAC替換為下一跳IP對(duì)應(yīng)的MAC地址。（源MAC替換為本地gi0/24的MAC，并在ARP表項(xiàng)中直接查找到出接口gi0/24，并且從路由口輸出的報(bào)文不攜帶TAG字段）。以上是三種不同方式互聯(lián)時(shí)第三步即從交換機(jī)A到D的轉(zhuǎn)發(fā)過程。下面來看一下從D到C的轉(zhuǎn)發(fā)過程：首先查找路由表，目的IP地址在本地直連的接口網(wǎng)段內(nèi)，接著查找ARP表，找到目的IP對(duì)應(yīng)的MAC地址即PC2的MAC地址，使用PC2的MAC地址替換原目的MAC地址，使用SVI30的MAC地址替換之前的源MAC地址。完成二層MAC地址替換后，D查找MAC地址表以確定將從哪個(gè)接口轉(zhuǎn)發(fā)出去，并根據(jù)輸出接口的屬性判斷是否添加TAG標(biāo)記，如果是trunk接口則添加TAG標(biāo)記，如果是access口則不添加TAG標(biāo)記。經(jīng)過以上步驟，數(shù)據(jù)包到達(dá)交換機(jī)C ，C收到數(shù)據(jù)包后查找MAC 表將報(bào)文從連接PC2的接口轉(zhuǎn)發(fā)給PC2，同時(shí)剝離access字段。第四節(jié) 靜態(tài)路由及默認(rèn)路由在第三節(jié)我們用到兩條路由條目：A(config)ip route D(config)ip route 以上兩條路由條目我們叫做靜態(tài)路由條目。在上面的配置中ip route 。那么它們有什么作用？在第三節(jié)中，PC1要與PC2通信，但由于是跨網(wǎng)段通信，PC1會(huì)首先把數(shù)據(jù)包轉(zhuǎn)發(fā)給網(wǎng)關(guān)，網(wǎng)關(guān)拆封裝看三層數(shù)據(jù)，目的MAC是自己會(huì)進(jìn)行三層路由轉(zhuǎn)發(fā)，在這個(gè)過程中網(wǎng)關(guān)會(huì)提取數(shù)據(jù)包中的目的IP并且與路由表中的路由條目的子網(wǎng)掩碼進(jìn)行與運(yùn)算，得出的結(jié)果與網(wǎng)絡(luò)號(hào)對(duì)比，如果一致就把數(shù)據(jù)包轉(zhuǎn)發(fā)給該路由條目所指定的下一跳。如果我們把上面的兩條路由按照如下配置就叫做默認(rèn)路由。A(config)ip route D(config)ip route 網(wǎng)絡(luò)號(hào)、子網(wǎng)掩碼全部為0，意思就是匹配所有，所有數(shù)據(jù)包如果沒有更精確的下一跳，最后都會(huì)把數(shù)據(jù)包交給它來處理。那么到這里需要學(xué)習(xí)一下路由的匹配原則：相同路由協(xié)議管理距離相同，那么就來比較代價(jià)。代價(jià)小的路由條目出現(xiàn)在路由表中。不同路由協(xié)議比較管理距離，管理距離小的出現(xiàn)在路由表中。不同路由協(xié)議的代價(jià)沒有可比性。如果出現(xiàn)在路由表中去往同一網(wǎng)段的數(shù)據(jù)包有多個(gè)下一跳遵循最長(zhǎng)掩碼匹配原則，以最精確匹配的路有條目為準(zhǔn)。如果存在多條最長(zhǎng)掩碼匹配的條目則執(zhí)行負(fù)載均衡。那么什么是負(fù)載均衡？當(dāng)經(jīng)過最小管理距離、最小代價(jià)的比較后，存在多個(gè)相同的最長(zhǎng)匹配路由條目（子網(wǎng)號(hào)、掩碼、管理距離、代價(jià)均相等，僅下一跳不同）與所收到的報(bào)文目的IP匹配，那么在轉(zhuǎn)發(fā)時(shí)，將所收到的報(bào)文及后續(xù)報(bào)文（目的IP相同）根據(jù)不同的下一跳IP“均勻地”從多個(gè)不同的輸出接口轉(zhuǎn)發(fā)出去。如圖：，指向不同的下一跳（分別指向B和C），則會(huì)執(zhí)行負(fù)載均衡。配置如下：A(config)ip route A(config)ip route 如果我們把兩條路由條目這樣配置：A(config)ip route A(config)ip route 50會(huì)發(fā)生什么情況？很明顯，就只會(huì)有一條路由生效了。，交換機(jī)需要將這條路由從路由表中刪除。這就是靜態(tài)浮動(dòng)路由以及其作用。一般情況下，路由條目的下一跳都為與本地互聯(lián)的對(duì)端設(shè)備的互聯(lián)接口IP，與本地出接口IP在同一網(wǎng)段，但也可以配置下一跳IP不屬于本地的直連網(wǎng)段，但要在本地也存在到達(dá)這個(gè)下一跳IP的路由，通過兩次查找路由表找到“真實(shí)”的下一跳IP，這就是我們所講的遞歸路由。第五節(jié) 訪問控制列表（ACL）原理訪問控制ACL類型以及能夠匹配的協(xié)議類型如下：訪問控制列表的命名：數(shù)字命名標(biāo)準(zhǔn)ACL（1913001999），擴(kuò)展ACL（1001920002699）自定義名稱可以根據(jù)具體需求定義名字，方便一目了然的辨識(shí)ACL的用途。訪問控制列表的動(dòng)作permit 允許permit后面語句匹配的數(shù)據(jù)流通過。deny拒絕deny后面語句匹配的數(shù)據(jù)流通過。訪問控制列表配置多條語句 自動(dòng)生成的序列號(hào)默認(rèn)以10為單位遞增。也可以在配置ACL中的語句時(shí)提前添加不同的序號(hào)。序列號(hào)的作用是為了后續(xù)添加維護(hù)語句。每一條ACE的執(zhí)行順序是從上到下（編號(hào)由低到高）依次匹配，一旦匹配成功則跳出該ACL，在ACL中存在一條默認(rèn)拒絕所有的ACE。訪問控制列表的應(yīng)用位置在接口上調(diào)用已經(jīng)配置好的ACL，數(shù)據(jù)流是從交換機(jī)的接口出入，如果所配置的ACL想要發(fā)揮作用，就需要將配置好的ACL應(yīng)用在接口上，接口可以是物理接口也可以是SVI。應(yīng)用的方向根據(jù)ACL的內(nèi)容以及數(shù)據(jù)流進(jìn)入接口的方向進(jìn)行配置。訪問控制列表的其它用途防病毒作用，在實(shí)際中除了使用ACL控制網(wǎng)段之間的互訪外，還有一種比較常見的用法，就是封閉常見的病毒或木馬占用的端口，并在三層網(wǎng)關(guān)SVI接口下應(yīng)用。注意，防病毒ACL也可能會(huì)與某些應(yīng)用的端口號(hào)重合，實(shí)施時(shí)需要注意?？刂苹ピL和防病毒兩種應(yīng)用在實(shí)際中也多結(jié)合在一起，因此在配置的時(shí)候需要注意ACE的先后順序?；跁r(shí)間的ACL配置方法正確配置設(shè)備時(shí)間定義時(shí)間段 為ACL中的特定ACE關(guān)聯(lián)定義好的時(shí)間段。第四章 生成樹原理、虛擬冗余網(wǎng)關(guān)協(xié)議原理、端口聚合第一節(jié) STP原理生成樹的作用是為了防止二層環(huán)路的發(fā)生，部署了生成樹的交換機(jī)邏輯堵塞冗余端口，被堵塞的端口不轉(zhuǎn)發(fā)數(shù)據(jù)，丟棄接收到的數(shù)據(jù)，消除二層網(wǎng)絡(luò)中存在的環(huán)路。當(dāng)活動(dòng)路徑發(fā)生故障時(shí)，自動(dòng)激活被堵塞的冗余端口，恢復(fù)數(shù)據(jù)轉(zhuǎn)發(fā)和接收，保證網(wǎng)絡(luò)連通性。生成樹所遵循的標(biāo)準(zhǔn)有三個(gè)分別是IEEE 、IEEE 、IEEE 。配置了生成樹的交換機(jī)之間通過傳遞配置BPDU，比較報(bào)文中攜帶的參數(shù)，完成以下工作：選舉一個(gè)網(wǎng)橋ID最小的交換機(jī)作為根網(wǎng)橋（Root Bridge）。每個(gè)非根交換機(jī)選舉一個(gè)根端口（Root Port）。每個(gè)交換機(jī)選舉一個(gè)除根端口之外的轉(zhuǎn)發(fā)端口—指定端口（Designated Port）。堵塞非根非指定端口。 以上就是交換機(jī)生成樹的工作原理。生成樹協(xié)議包括配置BPDU和拓?fù)渥兏麭PDU兩種協(xié)議報(bào)文。配置BPDU中主要攜帶四個(gè)字段（根網(wǎng)橋ID、根路徑開銷、發(fā)送網(wǎng)橋ID、發(fā)送端口ID）和Hello Timer、Forwarding delay、MAXage這三個(gè)計(jì)時(shí)器。下面分別來解釋四個(gè)字段：網(wǎng)橋ID是交換機(jī)在STP網(wǎng)絡(luò)中的標(biāo)識(shí)，由網(wǎng)橋優(yōu)先級(jí)（2字節(jié)）和MAC地址（6字節(jié)）兩部分組成。端口ID是端口的標(biāo)識(shí)，由端口優(yōu)先級(jí)（1字節(jié)）和端口編號(hào)（1字節(jié)）兩部分組成。路徑開銷描述了連接網(wǎng)絡(luò)的端口的“優(yōu)劣”，端口類型和帶寬決定了該端口路徑的開銷。跟交換機(jī)的根路徑開銷為零。其它交換機(jī)收到BPDU后，把報(bào)文中的的根路徑開銷加上接收端口的路徑開銷，得到該端口的“根路徑開銷”，根路徑