【正文】 章 生成樹原理、虛擬冗余網(wǎng)關(guān)協(xié)議原理、端口聚合第一節(jié) STP原理生成樹的作用是為了防止二層環(huán)路的發(fā)生，部署了生成樹的交換機(jī)邏輯堵塞冗余端口，被堵塞的端口不轉(zhuǎn)發(fā)數(shù)據(jù)，丟棄接收到的數(shù)據(jù)，消除二層網(wǎng)絡(luò)中存在的環(huán)路?？刂苹ピL和防病毒兩種應(yīng)用在實際中也多結(jié)合在一起，因此在配置的時候需要注意ACE的先后順序。訪問控制列表的其它用途防病毒作用，在實際中除了使用ACL控制網(wǎng)段之間的互訪外，還有一種比較常見的用法，就是封閉常見的病毒或木馬占用的端口，并在三層網(wǎng)關(guān)SVI接口下應(yīng)用。訪問控制列表的應(yīng)用位置在接口上調(diào)用已經(jīng)配置好的ACL，數(shù)據(jù)流是從交換機(jī)的接口出入，如果所配置的ACL想要發(fā)揮作用，就需要將配置好的ACL應(yīng)用在接口上，接口可以是物理接口也可以是SVI。序列號的作用是為了后續(xù)添加維護(hù)語句。訪問控制列表配置多條語句 自動生成的序列號默認(rèn)以10為單位遞增。訪問控制列表的動作permit 允許permit后面語句匹配的數(shù)據(jù)流通過。一般情況下，路由條目的下一跳都為與本地互聯(lián)的對端設(shè)備的互聯(lián)接口IP，與本地出接口IP在同一網(wǎng)段，但也可以配置下一跳IP不屬于本地的直連網(wǎng)段，但要在本地也存在到達(dá)這個下一跳IP的路由，通過兩次查找路由表找到“真實”的下一跳IP，這就是我們所講的遞歸路由。交換機(jī)需要將這條路由從路由表中刪除。如圖：，指向不同的下一跳（分別指向B和C），則會執(zhí)行負(fù)載均衡。如果存在多條最長掩碼匹配的條目則執(zhí)行負(fù)載均衡。不同路由協(xié)議的代價沒有可比性。代價小的路由條目出現(xiàn)在路由表中。A(config)ip route D(config)ip route 網(wǎng)絡(luò)號、子網(wǎng)掩碼全部為0，意思就是匹配所有，所有數(shù)據(jù)包如果沒有更精確的下一跳，最后都會把數(shù)據(jù)包交給它來處理。那么它們有什么作用？在第三節(jié)中，PC1要與PC2通信，但由于是跨網(wǎng)段通信，PC1會首先把數(shù)據(jù)包轉(zhuǎn)發(fā)給網(wǎng)關(guān)，網(wǎng)關(guān)拆封裝看三層數(shù)據(jù)，目的MAC是自己會進(jìn)行三層路由轉(zhuǎn)發(fā)，在這個過程中網(wǎng)關(guān)會提取數(shù)據(jù)包中的目的IP并且與路由表中的路由條目的子網(wǎng)掩碼進(jìn)行與運(yùn)算，得出的結(jié)果與網(wǎng)絡(luò)號對比，如果一致就把數(shù)據(jù)包轉(zhuǎn)發(fā)給該路由條目所指定的下一跳。第四節(jié) 靜態(tài)路由及默認(rèn)路由在第三節(jié)我們用到兩條路由條目：A(config)ip route D(config)ip route 以上兩條路由條目我們叫做靜態(tài)路由條目。完成二層MAC地址替換后，D查找MAC地址表以確定將從哪個接口轉(zhuǎn)發(fā)出去，并根據(jù)輸出接口的屬性判斷是否添加TAG標(biāo)記，如果是trunk接口則添加TAG標(biāo)記，如果是access口則不添加TAG標(biāo)記。以上是三種不同方式互聯(lián)時第三步即從交換機(jī)A到D的轉(zhuǎn)發(fā)過程。首先在路由表中查找目的IP對應(yīng)的下一跳IP，接著查找ARP表項以找到下一跳IP對應(yīng)的MAC地址，最后將目的MAC替換為下一跳IP對應(yīng)的MAC地址。交換機(jī)A查找MAC地址表根據(jù)替換目的MAC地址后的報文從哪個接口轉(zhuǎn)發(fā)出去，并且根據(jù)表項及輸出接口的類型去掉TAG字段。使用access接口互聯(lián)時： 交換機(jī)A查找路由表及ARP表完成二層MAC地址的替換。首先在路由表中查找目的IP對應(yīng)的下一跳IP（），接著查找ARP表項以找到目的IP對應(yīng)的MAC地址（源MAC地址替換為本地SVI的MAC）。使用trunk或者access接口互聯(lián)時會形成ARP和MAC表，使用路由口互聯(lián)時只有ARP表。源MAC與目的MAC地址替換，(實際上就是獲取路由下一跳IP所對應(yīng)的MAC地址信息)。A收到報文后，查看二層頭部是自己但是三層目的IP不是自己，查找路由表進(jìn)行三層路由轉(zhuǎn)發(fā)，A查找路由表，（D的接口IP），因此會將報文轉(zhuǎn)發(fā)給交換機(jī)D。在這個過程中，交換機(jī)A和B也獲取到了PC1的MAC地址信息，同時A也獲取到了PC1的ARP信息。使用路由口互聯(lián)確定了使用哪種方式互聯(lián)后，需要進(jìn)行路由配置，這里只需要簡單的靜態(tài)路由就可以。使用access接口互聯(lián)使用access互聯(lián)接口互聯(lián)時互聯(lián)的接口SVI可以不用在同一VLAN，因為報文中不會有TAG字段。明確了要在A、D之間配置一對同一網(wǎng)段的IP地址，那么這對地址應(yīng)該配置在什么接口上？如果配置在SVI接口上，那么A、D之間的互連接口應(yīng)該怎么配置呢？下面來學(xué)習(xí)交換機(jī)的三種互聯(lián)方式。路由表的工作方式，當(dāng)一個三層交換機(jī)收到一個數(shù)據(jù)包再查找路由表時，如果找不到所匹配的路由條目就會丟棄該報文。第三節(jié) 路由基礎(chǔ)及靜態(tài)路由原理 如上圖，PC1和PC2實現(xiàn)了跨網(wǎng)段通信，并且是在同一臺三層網(wǎng)關(guān)交換機(jī)下的通信，假設(shè)PC1和PC2是在不同的三層交換機(jī)下呢？首先了解什么是路由，三層交換機(jī)的SVI接口將從該VLAN收到的數(shù)據(jù)從另外一個SVI接口轉(zhuǎn)發(fā)出去，這個過程稱為路由，實際上，前面學(xué)習(xí)的三層交換也是“路由行為”。PC1訪問PC2首先要完成TCP/IP封裝，經(jīng)過二層交換機(jī)轉(zhuǎn)發(fā)至三層網(wǎng)關(guān)交換機(jī)，三層網(wǎng)關(guān)交換機(jī)首先查找ARP表項，找到目的IP所對應(yīng)的MAC地址，完成目的MAC替換（同時替換源MAC地址為目的IP地址所在VLAN的SVI接口MAC），再查找MAC地址項，找到替換后的目的MAC的出接口及對應(yīng)的VLAN標(biāo)記，進(jìn)行VLAN標(biāo)記替換后從相應(yīng)的出接口轉(zhuǎn)發(fā)出去。PC2對ARP查詢報文進(jìn)行響應(yīng)，返回ARP響應(yīng)報文，其源MAC是PC2的MAC地址，目的MAC是VLAN30網(wǎng)關(guān)接口的MAC地址。三層轉(zhuǎn)發(fā)的實際結(jié)果就是跨VLAN進(jìn)行轉(zhuǎn)發(fā)，不同VLAN內(nèi)的MAC地址轉(zhuǎn)發(fā)表是完全隔離的，因此三層轉(zhuǎn)發(fā)時，數(shù)據(jù)包從一個VALN進(jìn)入到另一個VLAN時，源MAC和目的MAC都需要進(jìn)行變更：源MAC為interface vlan 30的MAC，目的MAC為PC2的MAC。目的MAC：為VLAN10網(wǎng)關(guān)接口的MAC地址。注意：三層網(wǎng)關(guān)交換機(jī)會將從PC1所在端口收到報文直接從端口2轉(zhuǎn)發(fā)出去嗎？我們來分析一下，在interface vlan 10收到的報文中會有如下幾個字段：VLAN標(biāo)記：此時的VLAN標(biāo)記為VLAN 10，而PC2所連接的對端二層交換上只有VLAN 30。PC1獲取到網(wǎng)關(guān)IP對應(yīng)的MAC地址后就可以完成TCP/IP封裝，將報文發(fā)送出去，經(jīng)過二層交換機(jī)轉(zhuǎn)發(fā)至三層網(wǎng)關(guān)交換機(jī)。PC1完成TCP/IP封裝，源IP和目的IP都已經(jīng)確定好了，源MAC也已經(jīng)確定好了，目的MAC該如何確定？三層網(wǎng)關(guān)交換機(jī)發(fā)送ARP響應(yīng)報文（包含interface vlan 10接口對應(yīng)的MAC），ARP相應(yīng)報文的源MAC為網(wǎng)關(guān)IP的MAC ，目的MAC為PC1的MAC。那么三層交換機(jī)網(wǎng)關(guān)的工作原理就很簡單了：會根據(jù)收到報文的目的地址進(jìn)行轉(zhuǎn)發(fā)，例如PC1去Ping主機(jī)PC2。對于設(shè)置網(wǎng)關(guān)有要引入SVI概念，即交換虛擬接口，這種接口是存在交換機(jī)內(nèi)部與VLAN進(jìn)行關(guān)聯(lián)，而不是特指某個物理接口。在這里就要引入網(wǎng)關(guān)的概念，當(dāng)一臺PCA（）需要訪問在同一網(wǎng)段的其它PCB（）時，PCA和PCB的配置如下所示：當(dāng)一臺PCA（）需要訪問其它網(wǎng)段的PC時，PCA的IP地址配置如下：那么我們對網(wǎng)關(guān)的作用已經(jīng)有所了解，網(wǎng)關(guān)就是PC訪問外部網(wǎng)絡(luò)（除本PC所在網(wǎng)段之外）的必經(jīng)之路。第二節(jié) 三層交換相關(guān)原理跨網(wǎng)段（VLAN）互訪要解決的問題不同VLAN內(nèi)的PC無法直接獲取到對方的ARP信息，因為不同VLAN之間隔離廣播報文。從native vlan中接收的數(shù)據(jù)在從trunk接口轉(zhuǎn)發(fā)出去時不攜帶TAG字段。，但有一種例外，就是native vlan。如果交換機(jī)上沒有配置access接口，只配置了trunk接口。Access接口收發(fā)的數(shù)據(jù)幀都為標(biāo)準(zhǔn)以太網(wǎng)數(shù)據(jù)幀，從Access接口收發(fā)的標(biāo)準(zhǔn)以太網(wǎng)數(shù)據(jù)幀，會從同一VLAN的其它access接口轉(zhuǎn)發(fā)出去。在本章所描述的場景中，交換機(jī)的MAC地址表項包含源MAC和接口信息外，還將包含VLAN信息。相互通信的PC都已經(jīng)產(chǎn)生了相應(yīng)的ARP緩存，可以完成二層數(shù)據(jù)封裝。返回的ARP響應(yīng)報文經(jīng)過trunk接口的處理過程與前面描述的過程一致。，會從其他trunk接口轉(zhuǎn)發(fā)出去的條件如下：，查看該幀的TAG字段中VLANID是多少，并將其轉(zhuǎn)發(fā)到相應(yīng)的access口，在從access接口轉(zhuǎn)發(fā)出去的時候，剝離該TAG字段。TAG字段中包含四個字段值：TPID（16位）、Priority（3位）、CFI（1位）、VLANID（12位）。 那么如何實現(xiàn)一條線路上可以傳輸多個VLAN的數(shù)據(jù)？如圖只需要將接口劃為trunk口即可。這樣ARP報文的必經(jīng)之路就需要同時傳輸兩個VLAN數(shù)據(jù)，但是一個接口只能屬于一個VLAN，無法同時傳輸兩個VALN內(nèi)的數(shù)據(jù)。關(guān)于VLAN的配置相關(guān)命令將在后面章節(jié)介紹。 利用VLAN技術(shù)將一臺交換機(jī)劃分為兩臺邏輯隔離的“虛擬交換機(jī)”，兩臺“虛擬交換機(jī)”之間類似于物理隔離的兩臺交換機(jī)。VLAN有著和普通物理網(wǎng)絡(luò)同樣的屬性。VLAN是一個在物理網(wǎng)絡(luò)層上劃分出來的邏輯網(wǎng)絡(luò)，這個網(wǎng)絡(luò)對于OSI模型的第二層網(wǎng)絡(luò)。第三節(jié) VLAN原理如上圖所示，假設(shè)在7503E下有一臺輔導(dǎo)員的主機(jī)，那么在默認(rèn)情況下輔導(dǎo)員主機(jī)會經(jīng)常收到來自學(xué)生網(wǎng)段的廣播信息，如ARP查詢、Windows操作系統(tǒng)發(fā)出的諸如Netbios廣播報文。而交換機(jī)的接口DOWN時，與該接口相關(guān)的MAC地址都會被清除。事實上，不僅僅是ARP報文，只要是主機(jī)發(fā)出的所有報文都會觸發(fā)交換機(jī)進(jìn)行源MAC地址學(xué)習(xí)。經(jīng)過以上步驟，交換機(jī)在PC1和PC2交互ARP信息階段在相應(yīng)端口記錄了兩臺PC的MAC地址。當(dāng)從一個端口接收到一個目的MAC為廣播地址（或者未知地址）的報文（即在MAC地址表中沒有表項與該報文的目的MAC地址匹配），將向所有其他端口進(jìn)行洪泛此報文（除了接收該報文的端口）。Switch從端口1接收到該報文，將PC1的MAC地址記錄在端口1上，形成MAC地址表項。Hub這樣的工作原理就會造成一些問題或風(fēng)險：當(dāng)Hub上連接的主機(jī)越來越多時，所有主機(jī)發(fā)出的數(shù)據(jù)都以廣播幀方式轉(zhuǎn)發(fā)時，網(wǎng)絡(luò)性能將大幅度降低，同時廣播方式工作也可能導(dǎo)致安全隱患，例如機(jī)密數(shù)據(jù)會很容易被監(jiān)聽。其特點是轉(zhuǎn)發(fā)數(shù)據(jù)沒有針對性，采用廣播方式發(fā)送。在這3種情況下，ARP協(xié)議工作過程是一樣的嗎?數(shù)據(jù)的轉(zhuǎn)發(fā)過程是一樣的嗎？首先要弄清楚的是Hub、switch的工作原理。代表Switch下兩臺主機(jī)之間利用FTP下載電影。同時，PCB在收到ARP查詢報文時會根據(jù)Sender MAC address、Sender IP address字段更新自己的ARP緩存表，PCA在收到ARP響應(yīng)報文時也會根據(jù)Target MAC address、Target IP address字段更新自己的ARP緩存表，此后在數(shù)據(jù)通訊過程中，就利用ARP緩存中的信息填充目的IP所對應(yīng)的目的MAC地址。第四步：完成TCP/IP協(xié)議的封裝，進(jìn)行通信。但是由于ARP查詢報文為廣播，那么由誰來響應(yīng)請求呢？答案就在第二步中所提到的四個字段中，只有IP地址為Target IP address字段中的值的PC進(jìn)行響應(yīng)，其它PC將收到的報文丟棄，不進(jìn)行回應(yīng)。沒錯，ARP報文的工作機(jī)制就依賴這四個字段。由于不知道目的MAC地址，因此ARP查詢報文的目的地址為全F的廣播MAC地址。那么ARP報文是如何獲得PCB的MAC？它是二層報文還是三層報文？這就要求了解ARP協(xié)議。而目的MAC地址是如何獲取的？ 第二步：ARP協(xié)議自動解析目的IP所對應(yīng)的目的MAC。 在封裝過程中，源端口隨機(jī)分配大于1024還未被其它應(yīng)用程序占用的端口，目的端口為FTP協(xié)議數(shù)據(jù)端口20。ARP、DNS、WINS這些輔助性協(xié)議統(tǒng)稱為地址解析協(xié)議。在發(fā)送方由上而下進(jìn)行封裝時，經(jīng)常要根據(jù)一個協(xié)議的地址獲得另外一個協(xié)議對應(yīng)的地址，否則無法正確封裝，導(dǎo)致通信失敗。傳輸層，不管是TCP還是UDP，都是使用端口號作為地址。數(shù)據(jù)鏈路層中，如果是以太網(wǎng)協(xié)議，使用48位的mac地址，而幀中繼協(xié)議使用DLCI作為地址，ATM使用VPI/VCI作為地址。在通信模型中，通過地址來表示不同的設(shè)備或者同一個設(shè)備的不同接口，不同協(xié)議有不同的地址，這些地址的表現(xiàn)形式不同。否則就將此幀丟棄，不再進(jìn)行其他的處理?！癕AC地址”實際上就是適配器地址或適配器標(biāo)識符EUI48。MAC地址的長度為48位（6個字節(jié)），通常表示為12個16進(jìn)制數(shù)，每2個16進(jìn)制數(shù)之間用冒號隔開，如：08:00:20:0A:8C:6D一個地址塊可以生成224個不同的地址。 IEEE 的注冊管理機(jī)構(gòu) RA 負(fù)責(zé)向廠家分配地址字段的前三個字節(jié)(即高位 24 位)。 Ethernet II的幀格式一個正常的以太網(wǎng)幀的長度在641518字節(jié)之間，由頭部、數(shù)據(jù)部分和幀檢測序列三部分組成頭部中源MAC標(biāo)識發(fā)送方的節(jié)點，目標(biāo)MAC標(biāo)記接收方的節(jié)點，類型標(biāo)識被以太網(wǎng)幀承載的數(shù)據(jù)是哪種協(xié)議，幀檢測序列則通過CRC值檢測以太網(wǎng)數(shù)據(jù)幀在傳輸過程中是否受到破壞。由于存在種類繁多的物理介質(zhì)，因此在數(shù)據(jù)鏈路層定義了不同的數(shù)據(jù)鏈路層協(xié)議，定義了幀的類型及介質(zhì)訪問方式。 IPv4頭部字段：服務(wù)類型及優(yōu)先級QOS時用于標(biāo)記數(shù)據(jù)優(yōu)先級，IP優(yōu)先級3位，DSCP6位標(biāo)識符標(biāo)識不同的IP報文，同一IP報文的所有分片具有相同的標(biāo)識符標(biāo)志 用于分片標(biāo)志，DF=1表示不允許分片，DF=0表示允許分片；MF=1表示后面還有分片，MF=0表示這是最后一個分片片偏移表示本分片在IP報文中的相對位置存活時間 TTL 每經(jīng)過一個路由器TTL1,為0則丟棄該報文服務(wù)類型及優(yōu)先級每層協(xié)議報文都有特定的名稱，傳輸層一般叫做UDP報文或者TCP段，網(wǎng)絡(luò)層叫做IP包，而數(shù)據(jù)鏈路層的協(xié)議包一般叫做幀。IPv4報文，又叫IPv4包，由20個字節(jié)的頭部加上數(shù)據(jù)部分組成IPv4