【文章內(nèi)容簡介】 上圖三層交換的許多細節(jié)并沒有考慮，只是為了展示三層交換的結(jié)果。PC1完成TCP/IP封裝，源IP和目的IP都已經(jīng)確定好了，源MAC也已經(jīng)確定好了，目的MAC該如何確定？三層網(wǎng)關(guān)交換機發(fā)送ARP響應(yīng)報文（包含interface vlan 10接口對應(yīng)的MAC），ARP相應(yīng)報文的源MAC為網(wǎng)關(guān)IP的MAC ，目的MAC為PC1的MAC。接下來我們來了解一下三層交換機的詳細工作過程，以PC1PingPC2為例。PC1獲取到網(wǎng)關(guān)IP對應(yīng)的MAC地址后就可以完成TCP/IP封裝，將報文發(fā)送出去，經(jīng)過二層交換機轉(zhuǎn)發(fā)至三層網(wǎng)關(guān)交換機。三層網(wǎng)關(guān)交換機的interface vlan 10 接口會對這個報文進行處理（報文的TAG標記為VLAN 10，并且目的MAC也為interface vlan 10 接口的MAC），SVI在收到這個報文時，會讀取上層內(nèi)容，位于interface vlan 30接口的網(wǎng)段內(nèi)，因此將進行三層轉(zhuǎn)發(fā)。注意：三層網(wǎng)關(guān)交換機會將從PC1所在端口收到報文直接從端口2轉(zhuǎn)發(fā)出去嗎？我們來分析一下，在interface vlan 10收到的報文中會有如下幾個字段：VLAN標記：此時的VLAN標記為VLAN 10，而PC2所連接的對端二層交換上只有VLAN 30。源MAC地址：為VLAN 10中PC1的MAC。目的MAC：為VLAN10網(wǎng)關(guān)接口的MAC地址。經(jīng)過分析得出：直接將報文轉(zhuǎn)發(fā)出去是不能達到PC2的 。三層轉(zhuǎn)發(fā)的實際結(jié)果就是跨VLAN進行轉(zhuǎn)發(fā)，不同VLAN內(nèi)的MAC地址轉(zhuǎn)發(fā)表是完全隔離的，因此三層轉(zhuǎn)發(fā)時，數(shù)據(jù)包從一個VALN進入到另一個VLAN時，源MAC和目的MAC都需要進行變更：源MAC為interface vlan 30的MAC，目的MAC為PC2的MAC。三層網(wǎng)關(guān)交換機發(fā)送ARP查詢報文，查詢PC2的MAC地址，該ARP查詢報文的源MAC地址為interface vlan 30 接口所對應(yīng)的MAC地址。PC2對ARP查詢報文進行響應(yīng)，返回ARP響應(yīng)報文，其源MAC是PC2的MAC地址，目的MAC是VLAN30網(wǎng)關(guān)接口的MAC地址。當三層網(wǎng)關(guān)交換機掌握PC2的ARP表項時，即可以完成二層封裝，然后再查找MAC地址表，將報文從所對應(yīng)端口轉(zhuǎn)發(fā)出去（如果出接口為trunk，則添加目的MAC所屬VLAN的TAG字段）。PC1訪問PC2首先要完成TCP/IP封裝，經(jīng)過二層交換機轉(zhuǎn)發(fā)至三層網(wǎng)關(guān)交換機，三層網(wǎng)關(guān)交換機首先查找ARP表項，找到目的IP所對應(yīng)的MAC地址，完成目的MAC替換（同時替換源MAC地址為目的IP地址所在VLAN的SVI接口MAC），再查找MAC地址項，找到替換后的目的MAC的出接口及對應(yīng)的VLAN標記，進行VLAN標記替換后從相應(yīng)的出接口轉(zhuǎn)發(fā)出去。注意：為了能實現(xiàn)跨網(wǎng)段遠程管理交換機，需要同時在三層網(wǎng)關(guān)交換機上配置管理SVI，并且為了遠程管理二層交換機，需要在二層交換機上創(chuàng)建三層管理SVI，并且配置默認網(wǎng)關(guān)，相當于路由。第三節(jié) 路由基礎(chǔ)及靜態(tài)路由原理 如上圖，PC1和PC2實現(xiàn)了跨網(wǎng)段通信，并且是在同一臺三層網(wǎng)關(guān)交換機下的通信，假設(shè)PC1和PC2是在不同的三層交換機下呢？首先了解什么是路由，三層交換機的SVI接口將從該VLAN收到的數(shù)據(jù)從另外一個SVI接口轉(zhuǎn)發(fā)出去，這個過程稱為路由，實際上，前面學(xué)習(xí)的三層交換也是“路由行為”。再來了解一下什么事路由表，三層交換同二層交換機一樣，同樣存在一張表來指導(dǎo)交換機如何將從一個SVI收到的數(shù)據(jù)包從另外一個SVI轉(zhuǎn)發(fā)出去，這張地址表就是路由表。路由表的工作方式，當一個三層交換機收到一個數(shù)據(jù)包再查找路由表時，如果找不到所匹配的路由條目就會丟棄該報文。下面重點學(xué)習(xí)三層交換機的互聯(lián)方式除了A的直連網(wǎng)段外，在交換機的路由表中有一個重要的概念叫做下一跳地址，即A需要知道將數(shù)據(jù)包轉(zhuǎn)發(fā)給那臺設(shè)備，那么就需要這個下一跳進行標示，因此不同的三層設(shè)備互聯(lián)需要有位于同一網(wǎng)段的一對互連接口地址。明確了要在A、D之間配置一對同一網(wǎng)段的IP地址，那么這對地址應(yīng)該配置在什么接口上？如果配置在SVI接口上，那么A、D之間的互連接口應(yīng)該怎么配置呢？下面來學(xué)習(xí)交換機的三種互聯(lián)方式。使用trunk方式進行互聯(lián)使用trunk方式互聯(lián)要注意，互聯(lián)vlan要是同一個vlan，要做vlan修剪，避免帶寬浪費。使用access接口互聯(lián)使用access互聯(lián)接口互聯(lián)時互聯(lián)的接口SVI可以不用在同一VLAN，因為報文中不會有TAG字段。要在三層設(shè)備的下聯(lián)口做vlan修剪避免不必要的廣播報文占用帶寬。使用路由口互聯(lián)確定了使用哪種方式互聯(lián)后，需要進行路由配置，這里只需要簡單的靜態(tài)路由就可以。下面看一下數(shù)據(jù)轉(zhuǎn)發(fā)的詳細過程：PC1的數(shù)據(jù)封裝，PC1判斷PC2的IP地址與本地IP不在同一網(wǎng)段，在進行TCP/IP封裝時，二層目的目的MAC會采用網(wǎng)關(guān)MAC地址，因此會首先發(fā)送ARP查詢本地配置的網(wǎng)關(guān)IP對應(yīng)的MAC地址，網(wǎng)關(guān)返回ARP響應(yīng)報文，獲取網(wǎng)關(guān)的ARP信息后，完成TCP/IP封裝。在這個過程中，交換機A和B也獲取到了PC1的MAC地址信息，同時A也獲取到了PC1的ARP信息。報文經(jīng)過交換機B轉(zhuǎn)發(fā)至A，在這個過程中，B從VLAN 10的access口接收到報文，查找MAC地址表將其從上聯(lián)口轉(zhuǎn)發(fā)出去，由于上聯(lián)口是trunk接口，因此將攜帶TAG標記（VLAN10）。A收到報文后，查看二層頭部是自己但是三層目的IP不是自己，查找路由表進行三層路由轉(zhuǎn)發(fā)，A查找路由表，（D的接口IP），因此會將報文轉(zhuǎn)發(fā)給交換機D。由于是VLAN的三層路由轉(zhuǎn)發(fā)，因此A在將報文轉(zhuǎn)發(fā)給B時，會修改二層字段信息，源MAC、目的MAC、TAG字段等。源MAC與目的MAC地址替換，(實際上就是獲取路由下一跳IP所對應(yīng)的MAC地址信息)。注意，A和D之間使用不同的接口進行互聯(lián)時，所形成的MAC地址表及ARP表會有所不同，具體體現(xiàn)在ARP表項和MAC表項。使用trunk或者access接口互聯(lián)時會形成ARP和MAC表，使用路由口互聯(lián)時只有ARP表。下面分別來看一下三種方式互聯(lián)時數(shù)據(jù)從A到D的轉(zhuǎn)發(fā)過程:使用Trunk互聯(lián)時：交換機A查找路由表及ARP表以完成二層MAC地址的替換。首先在路由表中查找目的IP對應(yīng)的下一跳IP（），接著查找ARP表項以找到目的IP對應(yīng)的MAC地址（源MAC地址替換為本地SVI的MAC）。A查找MAC地址表根據(jù)替換目的MAC地址后的報文從哪個接口轉(zhuǎn)發(fā)出去，并且根據(jù)表項及輸出接口的類型加上TAG字段。使用access接口互聯(lián)時： 交換機A查找路由表及ARP表完成二層MAC地址的替換。首先在路由表中查找目的IP對應(yīng)的下一跳IP（），接著查找ARP表項以找到目的IP對應(yīng)的MAC地址（源MAC地址替換為本地SVI的MAC）。交換機A查找MAC地址表根據(jù)替換目的MAC地址后的報文從哪個接口轉(zhuǎn)發(fā)出去，并且根據(jù)表項及輸出接口的類型去掉TAG字段。使用路由口互聯(lián)時：交換機A查找路由表及ARP表以完成二層MAC地址的替換。首先在路由表中查找目的IP對應(yīng)的下一跳IP，接著查找ARP表項以找到下一跳IP對應(yīng)的MAC地址，最后將目的MAC替換為下一跳IP對應(yīng)的MAC地址。（源MAC替換為本地gi0/24的MAC，并在ARP表項中直接查找到出接口gi0/24，并且從路由口輸出的報文不攜帶TAG字段）。以上是三種不同方式互聯(lián)時第三步即從交換機A到D的轉(zhuǎn)發(fā)過程。下面來看一下從D到C的轉(zhuǎn)發(fā)過程：首先查找路由表，目的IP地址在本地直連的接口網(wǎng)段內(nèi)，接著查找ARP表，找到目的IP對應(yīng)的MAC地址即PC2的MAC地址，使用PC2的MAC地址替換原目的MAC地址，使用SVI30的MAC地址替換之前的源MAC地址。完成二層MAC地址替換后，D查找MAC地址表以確定將從哪個接口轉(zhuǎn)發(fā)出去，并根據(jù)輸出接口的屬性判斷是否添加TAG標記，如果是trunk接口則添加TAG標記，如果是access口則不添加TAG標記。經(jīng)過以上步驟，數(shù)據(jù)包到達交換機C ，C收到數(shù)據(jù)包后查找MAC 表將報文從連接PC2的接口轉(zhuǎn)發(fā)給PC2，同時剝離access字段。第四節(jié) 靜態(tài)路由及默認路由在第三節(jié)我們用到兩條路由條目：A(config)ip route D(config)ip route 以上兩條路由條目我們叫做靜態(tài)路由條目。在上面的配置中ip route 。那么它們有什么作用？在第三節(jié)中，PC1要與PC2通信，但由于是跨網(wǎng)段通信，PC1會首先把數(shù)據(jù)包轉(zhuǎn)發(fā)給網(wǎng)關(guān)，網(wǎng)關(guān)拆封裝看三層數(shù)據(jù)，目的MAC是自己會進行三層路由轉(zhuǎn)發(fā)，在這個過程中網(wǎng)關(guān)會提取數(shù)據(jù)包中的目的IP并且與路由表中的路由條目的子網(wǎng)掩碼進行與運算，得出的結(jié)果與網(wǎng)絡(luò)號對比，如果一致就把數(shù)據(jù)包轉(zhuǎn)發(fā)給該路由條目所指定的下一跳。如果我們把上面的兩條路由按照如下配置就叫做默認路由。A(config)ip route D(config)ip route 網(wǎng)絡(luò)號、子網(wǎng)掩碼全部為0，意思就是匹配所有，所有數(shù)據(jù)包如果沒有更精確的下一跳，最后都會把數(shù)據(jù)包交給它來處理。那么到這里需要學(xué)習(xí)一下路由的匹配原則：相同路由協(xié)議管理距離相同，那么就來比較代價。代價小的路由條目出現(xiàn)在路由表中。不同路由協(xié)議比較管理距離，管理距離小的出現(xiàn)在路由表中。不同路由協(xié)議的代價沒有可比性。如果出現(xiàn)在路由表中去往同一網(wǎng)段的數(shù)據(jù)包有多個下一跳遵循最長掩碼匹配原則，以最精確匹配的路有條目為準。如果存在多條最長掩碼匹配的條目則執(zhí)行負載均衡。那么什么是負載均衡？當經(jīng)過最小管理距離、最小代價的比較后，存在多個相同的最長匹配路由條目（子網(wǎng)號、掩碼、管理距離、代價均相等，僅下一跳不同）與所收到的報文目的IP匹配，那么在轉(zhuǎn)發(fā)時，將所收到的報文及后續(xù)報文（目的IP相同）根據(jù)不同的下一跳IP“均勻地”從多個不同的輸出接口轉(zhuǎn)發(fā)出去。如圖：，指向不同的下一跳（分別指向B和C），則會執(zhí)行負載均衡。配置如下：A(config)ip route A(config)ip route 如果我們把兩條路由條目這樣配置：A(config)ip route A(config)ip route 50會發(fā)生什么情況？很明顯，就只會有一條路由生效了。，交換機需要將這條路由從路由表中刪除。這就是靜態(tài)浮動路由以及其作用。一般情況下，路由條目的下一跳都為與本地互聯(lián)的對端設(shè)備的互聯(lián)接口IP，與本地出接口IP在同一網(wǎng)段，但也可以配置下一跳IP不屬于本地的直連網(wǎng)段，但要在本地也存在到達這個下一跳IP的路由，通過兩次查找路由表找到“真實”的下一跳IP，這就是我們所講的遞歸路由。第五節(jié) 訪問控制列表（ACL）原理訪問控制ACL類型以及能夠匹配的協(xié)議類型如下：訪問控制列表的命名：數(shù)字命名標準ACL（1913001999），擴展ACL（1001920002699）自定義名稱可以根據(jù)具體需求定義名字，方便一目了然的辨識ACL的用途。訪問控制列表的動作permit 允許permit后面語句匹配的數(shù)據(jù)流通過。deny拒絕deny后面語句匹配的數(shù)據(jù)流通過。訪問控制列表配置多條語句 自動生成的序列號默認以10為單位遞增。也可以在配置ACL中的語句時提前添加不同的序號。序列號的作用是為了后續(xù)添加維護語句。每一條ACE的執(zhí)行順序是從上到下（編號由低到高）依次匹配，一旦匹配成功則跳出該ACL，在ACL中存在一條默認拒絕所有的ACE。訪問控制列表的應(yīng)用位置在接口上調(diào)用已經(jīng)配置好的ACL，數(shù)據(jù)流是從交換機的接口出入，如果所配置的ACL想要發(fā)揮作用，就需要將配置好的ACL應(yīng)用在接口上，接口可以是物理接口也可以是SVI。應(yīng)用的方向根據(jù)ACL的內(nèi)容以及數(shù)據(jù)流進入接口的方向進行配置。訪問控制列表的其它用途防病毒作用，在實際中除了使用ACL控制網(wǎng)段之間的互訪外，還有一種比較常見的用法，就是封閉常見的病毒或木馬占用的端口，并在三層網(wǎng)關(guān)SVI接口下應(yīng)用。注意，防病毒ACL也可能會與某些應(yīng)用的端口號重合，實施時需要注意。控制互訪和防病毒兩種應(yīng)用在實際中也多結(jié)合在一起，因此在配置的時候需要注意ACE的先后順序?；跁r間的ACL配置方法正確配置設(shè)備時間定義時間段 為ACL中的特定ACE關(guān)聯(lián)定義好的時間段。第四章 生成樹原理、虛擬冗余網(wǎng)關(guān)協(xié)議原理、端口聚合第一節(jié) STP原理生成樹的作用是為了防止二層環(huán)路的發(fā)生，部署了生成樹的交換機邏輯堵塞冗余端口，被堵塞的端口不轉(zhuǎn)發(fā)數(shù)據(jù)，丟棄接收到的數(shù)據(jù)，消除二層網(wǎng)絡(luò)中存在的環(huán)路。當活動路徑發(fā)生故障時，自動激活被堵塞的冗余端口，恢復(fù)數(shù)據(jù)轉(zhuǎn)發(fā)和接收，保證網(wǎng)絡(luò)連通性。生成樹所遵循的標準有三個分別是IEEE 、IEEE 、IEEE 。配置了生成樹的交換機之間通過傳遞配置BPDU，比較報文中攜帶的參數(shù)，完成以下工作：選舉一個網(wǎng)橋ID最小的交換機作為根網(wǎng)橋（Root Bridge）。每個非根交換機選舉一個根端口（Root Port）。每個交換機選舉一個除根端口之外的轉(zhuǎn)發(fā)端口—指定端口（Designated Port）。堵塞非根非指定端口。 以上就是交換機生成樹的工作原理。生成樹協(xié)議包括配置BPDU和拓撲變更BPDU兩種協(xié)議報文。配置BPDU中主要攜帶四個字段（根網(wǎng)橋ID、根路徑開銷、發(fā)送網(wǎng)橋ID、發(fā)送端口ID）和Hello Timer、Forwarding delay、MAXage這三個計時器。下面分別來解釋四個字段：網(wǎng)橋ID是交換機在STP網(wǎng)絡(luò)中的標識，由網(wǎng)橋優(yōu)先級（2字節(jié)）和MAC地址（6字節(jié)）兩部分組成。端口ID是端口的標識，由端口優(yōu)先級（1字節(jié)）和端口編號（1字節(jié)）兩部分組成。路徑開銷描述了連接網(wǎng)絡(luò)的端口的“優(yōu)劣”，端口類型和帶寬決定了該端口路徑的開銷。跟交換機的根路徑開銷為零。其它交換機收到BPDU后，把報文中的的根路徑開銷加上接收端口的路徑開銷，得到該端口的“根路徑開銷”，根路徑