【正文】 MAC地址之間的映射。其中，源IP表示發(fā)送方的主機，這個地址必須是一個單播地址，而目的IP則表示接受方的主機，這個地址可以是單播、廣播或者組播地址。數(shù)據(jù)鏈路層通過介質(zhì)在相鄰節(jié)點間提供數(shù)據(jù)傳輸服務。在局域網(wǎng)中，而網(wǎng)絡中，則定義了HDLC，PPP、幀中繼等協(xié)議。 MAC地址：在局域網(wǎng)中，硬件地址又稱為物理地址，或 MAC 地址。地址字段中的后三個字節(jié)(即低位 24 位)由廠家自行指派，稱為擴展標識符，必須保證生產(chǎn)出的適配器沒有重復地址。這種 48 位地址稱為 MAC48，它的通用名稱是EUI48。適配器從網(wǎng)絡上每收到一個 MAC幀就會首先用硬件檢查 MAC 幀中的 MAC 地址.如果是發(fā)往本站的幀則收下，然后再進行其他的處理。“發(fā)往本站的幀”包括以下三種幀： 單播(unicast)幀（一對一）廣播(broadcast)幀（一對全體）多播(multicast)幀（一對多） 網(wǎng)絡設(shè)備對數(shù)據(jù)的處理基于它所處的層次： 尋址與地址映射：在協(xié)議包的頭部，很重要的一個字段就是地址。我們可以把時隙和信道理解為物理層的地址。網(wǎng)絡層，現(xiàn)在遇到的一般是32位的IPv4地址或者是128位的IPv6地址。主機名或者URL是應用層的地址。但這個地址必須由DNS協(xié)議解析為對應的IP地址，才能封裝為IP包，而IP地址又必須由ARP協(xié)議解析為對應的MAC地址，才能封裝為以太網(wǎng)幀。第二章 ARP、Hub、VLAN原理 第一節(jié) ARP工作原理 假設(shè)同一宿舍的A要傳輸給B一部剛下載的電影，那么在這個過程中數(shù)據(jù)是怎么通過PCA傳給PCB的？ 從TCP/IP的封裝過程和以太網(wǎng)數(shù)據(jù)幀格式這兩個方面分析，需要以下幾步：第一步：PCA將需要傳輸?shù)臄?shù)據(jù)以TCP/IP協(xié)議格式進行封裝。目的IP可以提前獲取或者從收到的數(shù)據(jù)包中提取。當PCA不知道PCB的MAC時，以太網(wǎng)幀便無法完成封裝，此時，PCA會發(fā)出ARP查詢報文來請求PCB的MAC是多少。ARP協(xié)議是數(shù)據(jù)鏈路層協(xié)議，是一個二層報文，因此沒有IP頭部及以上的信息。如圖ARP協(xié)議發(fā)出查詢報文請求PCB的MAC：從圖中可以看出，ARP協(xié)議查詢報文目的地址為廣播，還可以看到Sender MAC address、Sender IP address、Target MAC address、Target IP address四個字段值。第三步:被請求的PCB返回ARP響應報文。在響應時，PCB將四個字段值填充好，同時，由于PCB已經(jīng)知道PCA的IP、MAC（從請求報文中的Sender MAC address、Sender IP address提取），那么響應報文將是單播報文。此時PCA已經(jīng)知道PCB的MAC，可以完成協(xié)議的封裝，進行通信了。第二節(jié) Hub及二層交換機的工作原理代表Hub下的兩臺主機之間利用FTP下載電影。代表Hub下的一臺主機和Switch下的一臺主機之間用FTP下載電影。 對于Hub集線器而言，主要功能是對接收到的信號進行再生整形放大，以擴大網(wǎng)絡的傳輸距離。 圖中PC1和PC2傳輸電影的過程中，PC3也會接受到“電影數(shù)據(jù)”，但根據(jù)以太網(wǎng)幀和TCP/IP的原理會將其丟棄，相當于是垃圾數(shù)據(jù)。 如圖當PC1要發(fā)送數(shù)據(jù)包給PC2時（本地ARP緩存沒有相關(guān)記錄），首先發(fā)送ARP查詢消息。這就是MAC地址學習功能。 而所有收到ARP查詢報文的主機中只有PC2返回ARP響應報文（目的MAC為PC1的MAC地址）到交換機根據(jù)MAC地址表從端口轉(zhuǎn)發(fā)出去PC2的ARP響應報文，同時學習PC2的MAC地址。交換機后續(xù)收到的兩臺主機之間交互的報文根據(jù)形成的MAC地址表來進行轉(zhuǎn)發(fā)。當主機從交換機的一個端口遷移到另一個端口時，MAC地址表項也會隨之發(fā)生變化（只有當這臺主機再次發(fā)出報文時，交換機會更新端口）。而且如果一臺主機在規(guī)定的MAC地址表老化時間內(nèi)沒有發(fā)送任何報文時，交換機會將該PC的MAC地址表項自動刪除。那么為了解決諸如此類的問題，引入VLAN概念。VLAN的劃分不受網(wǎng)絡端口的實際物理位置的限制。第二層的單播、廣播和多播幀在一個VLAN內(nèi)轉(zhuǎn)發(fā)、擴散，而不會直接進入其他的VLAN之中。默認情況一臺交換機不進行任何配置時，所有端口都屬于VLAN 1，VLAN 1是默認存在的且無法刪除。第三章 Trunk、三層交換基本原理、靜態(tài)路由、ACL第一節(jié) 如果PCA要與PCB通信，PC1要與PC2同時進行通信，而S1與SS3之間分別只有一條鏈路，但是PCA與PCBA，PC1與PC2分別屬于VLANVLAN 10?？墒窃趯嶋H中這樣的場景是真實存在的，那么如何解決這個問題？我們可以S1與S2，S1與S3之間分別加一條鏈路，然后劃到不同的VLAN,這樣是可以把問題解決，但是如果存在大量VLAN情況下，這樣做會浪費大量接口而且不方便管理，因此把上行鏈路劃為Trunk鏈路就成了優(yōu)先選擇的途徑。 。Trunk接口的工作過程：如上圖，VLAN10內(nèi)的的PC1發(fā)出ARP查詢報文查詢PC2的MAC地址，廣播報文除了向本VLAN內(nèi)的其他端口轉(zhuǎn)發(fā)，也會從trunk接口轉(zhuǎn)發(fā)出去，（（TAG字段的VLANID部分不同））。PC2收到PC1發(fā)出的ARP查詢報文，并進行相應。同理，其它VLAN內(nèi)的PC在通信之前的ARP交互過程也是一樣的。交換機的MAC地址學習上面有提到所有經(jīng)過交換機轉(zhuǎn)發(fā)報文都會引發(fā)交換機的MAC地址學習，那么ARP報文必定會引發(fā)源MAC地址學習以生成MAC地址表項，來指導后續(xù)的報文轉(zhuǎn)發(fā)。經(jīng)過以上過程S2形成的MAC表項如下圖：交換機上連接主機的接口配置為access口。，會從相應的access接口（）轉(zhuǎn)發(fā)出去，同時剝離TAG標記轉(zhuǎn)變成標準以太網(wǎng)幀。如果trunk做了vlan修剪，那么修剪掉的vlan數(shù)據(jù)將會被交換機丟棄。默認情況下，交換機的所有接口的native vlan vlan進行修改。當從trunk接口上接收到一不攜帶TAG字段的標準以太網(wǎng)幀時，會從native vlan所包含的接口轉(zhuǎn)發(fā)出去。二層交換機只能在同一VLAN內(nèi)根據(jù)MAC地址轉(zhuǎn)發(fā)報文，無法實現(xiàn)跨VLAN來轉(zhuǎn)發(fā)報文。那么對于上圖PC1和PC2的通信，由于是跨網(wǎng)段所以必須會經(jīng)過網(wǎng)關(guān)，由于B、C為二層交換機，那么網(wǎng)關(guān)的設(shè)置就只能在A上面了。屬于同一VLAN內(nèi)的主機都可以直接訪問到這一接口的IP，只要三層交換上有UP的接口（可以使access接口，也可以是trunk接口）屬于該VLAN，那么該VLAN的SVI口也會是UP的。上圖三層交換的許多細節(jié)并沒有考慮，只是為了展示三層交換的結(jié)果。接下來我們來了解一下三層交換機的詳細工作過程，以PC1PingPC2為例。三層網(wǎng)關(guān)交換機的interface vlan 10 接口會對這個報文進行處理（報文的TAG標記為VLAN 10，并且目的MAC也為interface vlan 10 接口的MAC），SVI在收到這個報文時，會讀取上層內(nèi)容，位于interface vlan 30接口的網(wǎng)段內(nèi)，因此將進行三層轉(zhuǎn)發(fā)。源MAC地址：為VLAN 10中PC1的MAC。經(jīng)過分析得出：直接將報文轉(zhuǎn)發(fā)出去是不能達到PC2的 。三層網(wǎng)關(guān)交換機發(fā)送ARP查詢報文，查詢PC2的MAC地址，該ARP查詢報文的源MAC地址為interface vlan 30 接口所對應的MAC地址。當三層網(wǎng)關(guān)交換機掌握PC2的ARP表項時，即可以完成二層封裝，然后再查找MAC地址表，將報文從所對應端口轉(zhuǎn)發(fā)出去（如果出接口為trunk，則添加目的MAC所屬VLAN的TAG字段）。注意：為了能實現(xiàn)跨網(wǎng)段遠程管理交換機，需要同時在三層網(wǎng)關(guān)交換機上配置管理SVI，并且為了遠程管理二層交換機，需要在二層交換機上創(chuàng)建三層管理SVI，并且配置默認網(wǎng)關(guān)，相當于路由。再來了解一下什么事路由表，三層交換同二層交換機一樣，同樣存在一張表來指導交換機如何將從一個SVI收到的數(shù)據(jù)包從另外一個SVI轉(zhuǎn)發(fā)出去，這張地址表就是路由表。下面重點學習三層交換機的互聯(lián)方式除了A的直連網(wǎng)段外，在交換機的路由表中有一個重要的概念叫做下一跳地址，即A需要知道將數(shù)據(jù)包轉(zhuǎn)發(fā)給那臺設(shè)備，那么就需要這個下一跳進行標示，因此不同的三層設(shè)備互聯(lián)需要有位于同一網(wǎng)段的一對互連接口地址。使用trunk方式進行互聯(lián)使用trunk方式互聯(lián)要注意，互聯(lián)vlan要是同一個vlan，要做vlan修剪，避免帶寬浪費。要在三層設(shè)備的下聯(lián)口做vlan修剪避免不必要的廣播報文占用帶寬。下面看一下數(shù)據(jù)轉(zhuǎn)發(fā)的詳細過程：PC1的數(shù)據(jù)封裝，PC1判斷PC2的IP地址與本地IP不在同一網(wǎng)段，在進行TCP/IP封裝時，二層目的目的MAC會采用網(wǎng)關(guān)MAC地址，因此會首先發(fā)送ARP查詢本地配置的網(wǎng)關(guān)IP對應的MAC地址，網(wǎng)關(guān)返回ARP響應報文，獲取網(wǎng)關(guān)的ARP信息后，完成TCP/IP封裝。報文經(jīng)過交換機B轉(zhuǎn)發(fā)至A，在這個過程中，B從VLAN 10的access口接收到報文，查找MAC地址表將其從上聯(lián)口轉(zhuǎn)發(fā)出去，由于上聯(lián)口是trunk接口，因此將攜帶TAG標記（VLAN10）。由于是VLAN的三層路由轉(zhuǎn)發(fā)，因此A在將報文轉(zhuǎn)發(fā)給B時，會修改二層字段信息，源MAC、目的MAC、TAG字段等。注意，A和D之間使用不同的接口進行互聯(lián)時，所形成的MAC地址表及ARP表會有所不同，具體體現(xiàn)在ARP表項和MAC表項。下面分別來看一下三種方式互聯(lián)時數(shù)據(jù)從A到D的轉(zhuǎn)發(fā)過程:使用Trunk互聯(lián)時：交換機A查找路由表及ARP表以完成二層MAC地址的替換。A查找MAC地址表根據(jù)替換目的MAC地址后的報文從哪個接口轉(zhuǎn)發(fā)出去，并且根據(jù)表項及輸出接口的類型加上TAG字段。首先在路由表中查找目的IP對應的下一跳IP（），接著查找ARP表項以找到目的IP對應的MAC地址（源MAC地址替換為本地SVI的MAC）。使用路由口互聯(lián)時：交換機A查找路由表及ARP表以完成二層MAC地址的替換。（源MAC替換為本地gi0/24的MAC，并在ARP表項中直接查找到出接口gi0/24，并且從路由口輸出的報文不攜帶TAG字段）。下面來看一下從D到C的轉(zhuǎn)發(fā)過程：首先查找路由表，目的IP地址在本地直連的接口網(wǎng)段內(nèi)，接著查找ARP表，找到目的IP對應的MAC地址即PC2的MAC地址，使用PC2的MAC地址替換原目的MAC地址，使用SVI30的MAC地址替換之前的源MAC地址。經(jīng)過以上步驟，數(shù)據(jù)包到達交換機C ，C收到數(shù)據(jù)包后查找MAC 表將報文從連接PC2的接口轉(zhuǎn)發(fā)給PC2，同時剝離access字段。在上面的配置中ip route 。如果我們把上面的兩條路由按照如下配置就叫做默認路由。那么到這里需要學習一下路由的匹配原則：相同路由協(xié)議管理距離相同，那么就來比較代價。不同路由協(xié)議比較管理距離，管理距離小的出現(xiàn)在路由表中。如果出現(xiàn)在路由表中去往同一網(wǎng)段的數(shù)據(jù)包有多個下一跳遵循最長掩碼匹配原則，以最精確匹配的路有條目為準。那么什么是負載均衡？當經(jīng)過最小管理距離、最小代價的比較后，存在多個相同的最長匹配路由條目（子網(wǎng)號、掩碼、管理距離、代價均相等，僅下一跳不同）與所收到的報文目的IP匹配，那么在轉(zhuǎn)發(fā)時，將所收到的報文及后續(xù)報文（目的IP相同）根據(jù)不同的下一跳IP“均勻地”從多個不同的輸出接口轉(zhuǎn)發(fā)出去。配置如下：A(config)ip route A(config)ip route 如果我們把兩條路由條目這樣配置：A(config)ip route A(config)ip route 50會發(fā)生什么情況？很明顯，就只會有一條路由生效了。這就是靜態(tài)浮動路由以及其作用。第五節(jié) 訪問控制列表（ACL）原理訪問控制ACL類型以及能夠匹配的協(xié)議類型如下：訪問控制列表的命名：數(shù)字命名標準ACL（1913001999），擴展ACL（1001920002699）自定義名稱可以根據(jù)具體需求定義名字，方便一目了然的辨識ACL的用途。deny拒絕deny后面語句匹配的數(shù)據(jù)流通過。也可以在配置ACL中的語句時提前添加不同的序號。每一條ACE的執(zhí)行順序是從上到下（編號由低到高）依次匹配，一旦匹配成功則跳出該ACL，在ACL中存在一條默認拒絕所有的ACE。應用的方向根據(jù)ACL的內(nèi)容以及數(shù)據(jù)流進入接口的方向進行配置。注意，防病毒ACL也可能會與某些應用的端口號重合，實施時需要注意?；跁r間的ACL配置方法正確配置設(shè)備時間定義時間段 為ACL中的特定ACE關(guān)聯(lián)定義好的時間段。當活動路徑發(fā)生故障時，自動激活被堵塞的冗余端口，恢復數(shù)據(jù)轉(zhuǎn)發(fā)和接收，保證網(wǎng)絡連通性。配置了生成樹的交換機之間通過傳遞配置BPDU，比較報文中攜帶的參數(shù)，完成以下工作：選舉一個網(wǎng)橋ID最小的交換機作為根網(wǎng)橋（Root Bridge）。每個交換機選舉一個除根端口之外的轉(zhuǎn)發(fā)端口—指定端口（Designated Port）。 以上就是交換機生成樹的工作原理。配置BPDU中主要攜帶四個字段（根網(wǎng)橋ID、根路徑開銷、發(fā)送網(wǎng)橋ID、發(fā)送端口ID）和Hello Timer、Forwarding delay、MAXage這三個計時器。端口ID是端口的標識，由端口優(yōu)先級（1字節(jié)）和端口編號（1字節(jié)）兩部分組成。跟交換機的根路徑開銷為零。STP有三個計時器影響端口狀態(tài)和網(wǎng)絡收斂：Hello Timer：根交換機發(fā)送配置BPDU的時間間隔，缺省2S。Forwarding delay：端口在listening或者learning狀態(tài)停留的時間，缺省15S。交換機遵從下面的比較原則，比較各個端口接收或緩存的BPDU，選擇比較出“最優(yōu)”BPDU：先比較根網(wǎng)橋ID，越小越好。如果根網(wǎng)橋ID、根路徑開銷都相同，則比較發(fā)送網(wǎng)橋ID，發(fā)送網(wǎng)橋ID越小越好。經(jīng)過以上四個步驟，總能選出“最優(yōu)”BPDU。根據(jù)選擇的最優(yōu)BPDU完成以下工作：計算到根橋