《华为赛门铁克HSCDA认证培训考试资料(数据通信)ddci.docx》由会员分享,可在线阅读,更多相关《华为赛门铁克HSCDA认证培训考试资料(数据通信)ddci.docx(87页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、幻灯片 1幻灯片 2幻灯片 3幻灯片 4幻灯片 5幻灯片 6幻灯片 7物理层涉涉及到在在通信信信道(cchannnell)上传传输的原原始比特特流,它它实现传传输数据据所需要要的机械械、电气气、功能能特性及及过程等等手段。物物理层涉涉及电压压、电缆缆线、数数据传输输速率、接接口等的的定义。物物理层的的主要网网络设备备为中继继器、集集线器等等。数据链路路层的主主要任务务是提供供对物理理层的控控制,检检测并纠纠正可能能出现的的错误,使使之对网网络层显显现一条条无错线线路,并并且进行行流量调调控(可可选)。流流量调控控可以在在数据链链路层实实现,也也可以由由传输层层实现。数数据链路路层与物物理地址址
2、、网络络拓扑、线线缆规划划、错误误校验、流流量控制制等有关关。数据据链路层层主要设设备为以以太网交交换机。网络层检检查网络络拓扑,以以决定传传输报文文的最佳佳路由,其其关键问问题是确确定数据据包从源源端到目目的端如如何选择择路由。网网络层通通过路由由选择协协议来计计算路由由。存在在于网络络层的设设备主要要有路由由器、三三层交换换机等。后面您将学习到更多关于网络层的知识。传输层的的基本功功能是从从会话层层接受数数据,并并且在必必要的时时候把它它分成较较小的单单元,传传递给网网络层,并并确保到到达对方方的各段段信息正正确无误误。传输输层建立立、维护护虚电路路,进行行差错校校验和流流量控制制。会话层
3、允允许不同同机器上上的用户户建立、管管理和终终止应用用程序间间的会话话关系,在在协调不不同应用用程序之之间的通通信时要要涉及会会话层,该该层使每每个应用用程序知知道其它它应用程程序的状状态。同同时,会会话层也也提供双双工(ddupllex)协协商、会会话同步步等等。表示层关关注于所所传输的的信息的的语法和和意义,它它把来自自应用层层与计算算机有关关的数据据格式处处理成与与计算机机无关的的格式,以以保障对对端设备备能够准准确无误误地理解解发送端端数据。同同时,表表示层也也负责数数据加密密等。应用层是是OSII参考模模型最靠靠近用户户的一层层,为应应用程序序提供网网络服务务。应用用层识别别并验证证
4、目的通通信方的的可用性性,使协协同工作作的应用用程序之之间同步步。幻灯片 8OSI参参考模型型依层次次结构来来划分:第一层层,物理理层(PPhyssicaal llayeer);第二层层,数据据链路层层(daata linnk llayeer);第三层层,网络络层(nnetwworkk laayerr);第第四层,传传输层(transport layer);第五层,会话层(session layer);第六层,表示层(presentation layer);第七层,应用层(apppliccatiion layyer)。通常,我我们把OOSI参参考模型型第一层层到第三三层称为为底层(lower
5、layer),又叫介质层(Media Layer)。这些层负责数据在网络中的传送,网络互连设备往往位于下三层。底层通常以硬件和软件相结合的方式来实现。OSI参考模型的第五层到第七层称为高层(upper layer),又叫主机层(host layer)。高层用于保障数据的正确传输,通常以软件方式来实现。七层OSSI参考考模型具具有以下下优点:简化了相相关的网网络操作作;提供即插插即用的的兼容性性和不同同厂商之之间的标标准接口口;使各个厂厂商能够够设计出出互操作作的网络络设备,加加快数据据通信网网络发展展;防止一个个区域网网络的变变化影响响另一个个区域的的网络,因因此,每每一个区区域的网网络都能能
6、单独快快速升级级;把复杂的的网络问问题分解解为小的的简单问问题,易易于学习习和操作作。需要注意意的是,由由于种种种原因,现现在还没没有一个个完全遵遵循OSSI七层层模型的的网络体体系,但但OSII参考模模型的设设计蓝图图为我们们更好的的理解网网络体系系,学习习计算机机通信网网络奠定定了基础础。幻灯片 9幻灯片 10地址解析析协议AARP是是一种广广播协议议,主机机通过它它可以动动态地发发现对应应于一个个IP地址址的MAAC层地地址。每一个主主机都有有一个AARP高高速缓存存(ARRP ccachhe),有有IP地址址到物理理地址的的映射表表,这些些都是该该主机目目前知道道的一些些地址。当当主机
7、AA欲向本本局域网网上的主主机B发送一一个IPP数据报报时,就就先在其其ARPP高速缓缓存中查查看有无无主机BB的IP地址址。如有有,就可可查出其其对应的的物理地地址,然然后将该该数据报报发往此此物理地地址。也有可能能查不到到主机BB的IP地址址的项目目。可能能是主机机B才入网网,也可可能是主主机A刚刚加加电,其其高速缓缓存还是是空的。在在这种情情况下,假假定主机机A需要知知道主机机B的MACC地址,主主机A发送称称为ARRP请求求的以太太网数据据帧给网网段上的的每一台台主机,这这个过程程称为广广播。发发送的AARP请请求报文文中,带带有自己己的IPP地址到到MACC地址的的映射,同同时还带带
8、有需要要解析的的目的主主机的IIP地址址。目的的主机BB收到请请求报文文后,将将其中的的主机AA的IP地址址与MAAC地址址的映射射存到自自己的AARP高高速缓存存中,并并把自己己的IPP地址到到MACC地址的的映射作作为响应应发回主主机A。主机机A收到ARRP应答答,就得得到了主主机B的MACC地址,同同时,主主机A缓存主主机B的IP地址址到MAAC地址址映射。幻灯片 11在进行地地址转换换时,有有时还要要用到反反向地址址转换协协议RAARP。RARPP常用于于X终端和和无盘工工作站等等,这些些设备知知道自己己MACC地址,需需要获得得IP地址址。为了使RRARPP能工作作,在局局域网上上至
9、少有有一个主主机要充充当RAARP服服务器。以上图为为例,无无盘工作作站需要要获得自自己的IIP地址址,向网网络中广广播RAARP请请求,RRARPP服务器器接收广广播请求求,发送送应答报报文,无无盘工作作站获得得IP地址址。对应于AARP、RARRP请求求以广播播方式发发送,AARP、RARRP应答答一般以以单播方方式发送送,以节节省网络络资源。幻灯片 12幻灯片 13每个IPP地址是是一个写写成4个8位字节节的322比特值值。这就就意味着着存在44个组,每每个组包包括8个二进进制位,如如上图所所示。幻灯片 14幻灯片 15幻灯片 16PPP协协议也提提供了可可选的认认证配置置参数选选项,缺
10、缺省情况况下点对对点通信信的两端端是不进进行认证证的。在在LCPP的Connfigg-Reequeest报报文中不不可一次次携带多多种认证证配置选选项,必必须二者者择其一一(PAAP/CCHAPP),选选择最希希望的那那一种,一一般是在在PPPP设备互互连的设设备上进进行配置置的,但但一般设设备会默默认支持持一个缺缺省的认认证方式式(PAAP是大大部分设设备所默默认的认认证方式式)。当当对端收收到该配配置请求求报文后后,如果果支持配配置参数数选项中中的认证证方式,则则回应一一个Coonfiig-AAck报报文;否否则回应应一个CConffig-Nakk报文,并并附带上上自希望望双方采采用的认认
11、证方式式。当对对方接收收到Coonfiig-AAck报报文后就就可以开开始进行行认证了了,而如如果收到到得是CConffig-Nakk报文,则则根据自自身是否否支持CConffig-Nakk报文中中的认证证方式来来回应对对方,如如果支持持则回应应一个新新的Coonfiig-RRequuestt(并携携带上CConffig-Nakk报文中中所希望望使用的的认证协协议),否否则将回回应一个个Connfigg-Reejecct报文文,那么么双方就就无法通通过认证证,从而而不可能能建立起起PPPP链路。PPP支支持两种种授权协协议:PPAP(Passswoord Autthennticcatiion
12、Prootoccol)和和CHAAP(Chaalleengee Haand Autthennticcatiion Prootoccol)。我们所知知两个设设备在使使用PAAP进行行认证之之前,应应该确认认那一方方是验证证方,那那一方是是被验证证方。实实际上对对于使用用PPPP协议互互连的两两端来说说,既可可作为认认证方,也也可作为为被认证证方。但但通常情情况下,PAP只使用一个方向上的认证。一般在两端设备使用PAP协议之前,均会设备上进行一些相应的配置,对于宽带工程师而言MA5200可谓是大家最熟悉的产品了,它默认就作为验证方,但可通过使用命令PAP Authentication PAP/CH
13、AP来更改认证方式,而对于被验证方而言只需设置用户名和密码即可。PAP认认证是两两次握手手,在链链路建立立阶段,依依据设备备上的配配置情况况,如果果是使用用PAPP认证,则则验证方方在发送送Connfigg-Reequeest报报文时会会携带认认证配置置参数选选项,而而对于被被验证方方而言则则是不需需要,它它只需要要收到该该配置请请求报文文后根据据自身的的情况给给对端返返回相应应的报文文。如果果点对点点的两端端设备采采用的是是PAPP双向认认证时,也也即是它它同时也也作为验验证方,则则此时需需要在配配置请求求报文中中携带认认证配置置参数选选项。因因此,我我们可以以总结一一下,如如果对于于点对点
14、点的两个个设备在在PPPP链路建建立的过过程中使使用的认认证方式式为PAAP的话话,那么么验证方方在其CConffig-Reqquesst报文文中必须须含有认认证配置置参数选选项,且且该认证证配置参参数选项项的数据据域为00xC0023 。当通信设设备的两两端在收收到对方方返回的的Connfigg-Acck报文文时,就就从各自自的链路路建立阶阶段进入入到认证证阶段,那那么作为为被验证证方此时时需要向向验证方方发送PPAP认认证的请请求报文文,该请请求报文文携带了了用户名名和密码码,当验验证方收收到该认认证请求求报文后后,则会会根据报报文中的的实际内内容查找找本地的的数据库库,如果果该数据据库中
15、有有与用户户名和密密码一致致的选项项时,则则回向对对方返回回一个认认证请求求响应,告告诉对方方认证已已通过。反反之,如如果用户户名与密密码不符符,则向向对方返返回验证证不通过过的响应应报文。如如果双方方都配置置为验证证方,则则需要双双方的两两个单向向验证过过程都完完成后,方方可进入入到网络络层协议议阶段,否否则在一一定次的的认证失失败后,则则会从当当前状态态返回链链路不可可用状态态。例10:如图4-1所示示,当路路由器AA(被验验证方)收收到了路路由器BB 的Connfigg-Acck报文文后,因因为是使使用PAAP认证证,所以以作为被被验证方方的路由由器A应主动动向验证证方(路路由器BB)发
16、送送认证请请求报文文(PAAP AAuthhentticaate),用用户名和和密码均均为1663,报报文的内内容如下下:7E FFF 003 CC0 223 001 001 000 00C033 311 366 33303 31 36 33 7E下划线的的前四个个字节是是用户名名,后四四个字节节是密码码。当路由器器B收到了了该报文文后,会会向路由由器A回应一一个PAAP AAuthhentticaate Ackk报文,报报文内容容如下:7E FFF 003 880 221 002 001 000 005 000 77E此时所回回应的报报文中,并并未携带带任何数数据,如如果是认认证不通通过,则
17、则会在返返回的报报文中指指是因何何原因无无法认证证通过,可可能是无无此用户户名或密密码不匹匹配。幻灯片 17与PAPP认证比比起来,CHAP认证更具有安全性,从前面认证过程的数据包交换过程中不然发现,采用PAP认证时,被验证是采用明文的方式直接将用户名和密码发送给验证方的,而对于PAP认证则不一样。CHAPP为三次次握手协协议,它它只在网网络上传传送用户户名而不不传送口口令,因因此安全全性比PPAP高高。在验验证一开开始,不不像PAAP一样样是由被被验证方方发送认认证请求求报文了了,而是是由验证证方向被被验证方方发送一一段随机机的报文文,并加加上自己己的主机机名,我我们通称称这个过过程叫做做挑
18、战。当当被验证证方收到到验证方方的验证证请求,从从中提取取出验证证方所发发送过来来的主机机名,然然后根据据该主机机名在被被验证方方设备的的后台数数据库中中去查找找相同的的用户名名的记录录,当查查找到后后就使用用该用户户名所对对应的密密钥,然然后根据据这个密密钥、报报文IDD和验证证方发送送的随机机报文用用Md55加密算算法生成成应答,随随后将应应答和自自己的主主机名送送回,同同样验证证方收到到被验证证方发送送回应后后,提取取被验证证方的用用户名,然然后去查查找本地地的数据据库,当当找到与与被验证证方一致致用户名名后,根根据该用用户名所所对应的的密钥、保保留报文文ID和随随机报文文用Mdd5加密
19、密算法生生成结果果,和刚刚刚被验验证方所所返回的的应答进进行比较较,相同同则返回回Ackk,否则则返回NNak。例11:如图4-2所示示,当路路由器AA(被验验证方)收收到了路路由器BB 的Chaalleengee报文后后,报文文内容如如下:7E FFF 003 CC2 223 001 001 000 11C 110 FFF 441 CCF 222 AAA 88E FF1 BB9 999 99A799 A77 566 788 C44 A774d411 355 322 300 300 411 7EE下划线的的前166个字节节是验证证方随机机产生的的一段报报文,后后7个字节节是验证证方的主主机名(
20、MA5200A),而且单个字节10表示随机报文的长度。而此时路路由器AA会根据据用户名名所对应应的密钥钥使用报报文的IID和该该报文的的内容生生成一个个回应报报文,报报文内容容如下:7E FFF 003 CC2 223 002 001 000 11F 110 118 886 222 FFF CCE 881 DD0 668 FFF 880 885 000 AA7 EE3 885 335700 7006BB 699 733 733 400 688 755 611 7EE我们将这这个回应应报文与与验证方方发送的的挑战报报文进行行比较,报报文的代代码域已已由原001改为为02,总总报文的的长度有有变化
21、,主主要后而而一个下下划线的的内容是是被验证证方的主主机名(ppkisshua),而且此时回应的16个字节的报文已经是经过MD5算法加密过的。当验证方方收到了了这个回回应报文文后,会会根据报报文中被被验证方方的主机机名(pppkiisshuaa)在本本地的数数据库中中去查找找密钥,然然后再对对原发先先发送的的那段挑挑战报文文进行MMD5的的算法加加密,如如果所得得的结果果与对方方刚发过过来的116个字字节的加加密值一一样的话话,则就就会发送送一个报报文通知知被验证证方,你你的认证证已经通通过,我我们可以以进入到到下一个个阶段了了。在实实际应用用当中,我我们很多多都是使使用PCC机来进进行拨号号
22、这个过过程,实实际中当当验证方方发送挑挑战后,PC机只接收而并不去查本地数据库,而直接使用在拨号对话框中所输入的密码和报文的ID及报报文的内容进行MD5算法加密(这个在PC机采用PPPOE软件拨入到MA5200时就是这样的)。下面来看看一下验验证通过过时,验验证方给给被验证证方所发发送的一一段报文文内容:7E FFF 003 CC2 223 003 001 000 117 557 665 66C 663 66F 66D 665 220 774 66F200 4DD 411 355 322 300 300 411 2EE 7EE此时所回回应的报报文的代代码域为为03,且且报文的的实际内内容是,W
23、elcom to MA5200A。幻灯片 18随着宽带带网络技技术的不不断发展展,以xxDSLL、CabbleMModeem和以以太网为为主的几几种主流流宽带接接入技术术的应用用已开展展的如火火如荼。同同时又给给各大网网络运营营商们带带来了种种种困惑惑,无论论使用哪哪种接入入技术,对对于他们们而言可可盼和可可求的是是如何有有效的管管理用户户,如何何从网络络的投资资中收取取回报,因因此对于于各种宽宽带接入入技术的的收费的的问题就就变得更更加敏感感。在传传统的以以太网模模型中,我我们是不不存在所所谓的用用户计费费的概念念,要么么用户能能设置/获取IPP地址上上网,要要么用户户就无法法上网。IETF
24、的工程师们在秉承窄带拨号上网的运营思路(使用NAS设备终结用户的PPP数据包),制定出了在以太网上传送PPP数据包的协议(Point To Point Protocol Over Ethernet),这个协议出台后,各网络设备制造商也相继推出自已品牌的宽带接入服务器(BAS),它不仅能支持PPPOE协议数据报文的终结,而且还能支持其它许多协议。如华为公司的MA5200和ISN8850。PPPOOE协议议提供了了在广播播式的网网络(如如以太网网)中多多台主机机连接到到远端的的访问集集中器(我我们对目目前能完完成上述述功能的的设备为为宽带接接入服务务器)上上的一种种标准。在在这种网网络模型型中,我
25、我们不难难看出所所有用户户的主机机都需要要能独立立的初始始化自已已的PPPP协议议栈,而而且通过过PPPP协议本本身所具具有的一一些特点点,能实实现在广广播式网网络上对对用户进进行计费费和管理理。为了了能在广广播式的的网络上上建立、维维持各主主机与访访问集中中器之间间点对点点的关系系,那么么就需要要每个主主机与访访问集中中器之间间能建立立唯一的的点到点点的会话话。幻灯片 19幻灯片 20“以太网网”一词是是指以CCSMAA/CDD作为MAAC算法法的一类类LANN。19733年,位位于加利利福尼亚亚Pallo AAltoo 的Xerrox公公司提出出并实现现了最初初的以太太网。RRobeert
26、 Mettcallfe博博士被公公认为以以太网之之父,他他研制的的实验室室原型系系统运行行速度是是2.994兆比比特每秒秒(3MMb/ss)。这这个实验验性以太太网(在Xerrox公公司中被被称为“X-WWiree”)用在了了Xerrox公公司早期期的一些些产品中中,包括括世界上上第一台台配备网网络功能能、带有有图形用用户接口口的个人人工作站站Xerrox Altto。Xerrox没没能成功功地将AAltoo或3Mbb/s以以太网商商品化。这这两项实实验性技技术几乎乎完全保保留在XXeroox公司司内部,没没有向外外部传播播。19799年,Xeeroxx与DECC公司(DDigiitall E
27、qquippmennt CCorpporaatioon)联联合起来来,致力力于以太太网技术术的标准准化和商商品化,并并促进该该项技术术在网络络产品中中的应用用。这是是一个很很理想的的组合:Xerrox有有专利和和技术,而而DECC是当时时最大的的网络计计算机供供应商。为为了能确确保容易易地将商商品化以以太网集集成到廉廉价芯片片中,在在Xerrox的的要求下下,Inntell公司也也加入了了这个联联盟,负负责提供供这方面面的指导导。由它它们组成成的DEEC-IInteel-XXeroox (DIXX)三驾驾马车,1980年9月开发并发布了10Mb/s版的以太网标准DIX80。这个标准所支持的唯一
28、一种物理介质是粗同轴电缆。1982年,发布了该标准的第2版。这一版以太网对信令做了略微修改,并增加了网络管理功能。幻灯片 21从共享式式以太网网发展到到交换式式以太网网过渡时时期,出出现了中中继器和和集线器器两种互互连的网网络设备备。这两两种设备备基本原原理都一一样,那那么单独独讲解一一下集线线器。其实集线线器(HHUB)和和中继器器都是物物理层上上的连接接设备,那那为什么么这样说说呢?接接下去我我们共同同来学习习一下集集线器的的工作原原理。幻灯片 22既然集线线器(HHUB)存存在以上上问题,我我们一起起来看看看以太网网交换机机。以太太网交换换机是我我们现在在组建以以太网的的必备的的设备。接
29、下去讲讲讲以太太网交换换机(另另称多端端口网桥桥)。相比较HHUB而而言,交换机机是工作作在数据据链路层层的设备备。为什什么这么么说呢?主要是以以太网交交换机或或者网桥桥需要完完成二个个基本功功能:MAC地地址学习习;转发和过过滤决定定;幻灯片 23幻灯片 24交换机基基于MAAC地址址表进行行转发,MAC地址表是目的MAC地址和目的端口的对应关系。1:假设设PCAA向PCBB发送一一个数据据帧,此此数据帧帧的目的的MACC地址设设置为PPCB的的MACC地址000-0DD-566-BFF-888-200,交换换机SWWA接收收到此数数据帧之之后,需需要查找找MACC地址表表,根据据MACC地
30、址表表中的记记录,将将数据帧帧从E00/3口口向外转转发。交换机在在转发数数据帧的的时候,对对数据帧帧不做任任何修改改,如果果交换机机接收到到的是一一个广播播数据帧帧,则向向所有端端口转发发。2:交换换机SWWB接收收到了此此数据帧帧之后,查查找MAAC地址址表,根根据MAAC地址址表中的的记录,将将数据从从E0/6端口口上转发发出去,此此次转发发仍然不不会对数数据帧做做任何修修改。3:PCCB接收收到数据据帧之后后,查看看目的MMAC地地址,由由于目的的MACC地址为为接收者者本身,所所以PCCB处理理此数据据帧并上上送上层层协议处处理数据据帧所携携带的数数据。幻灯片 25如果交换换机从一一
31、个端口口上接收收到的是是一个广广播数据据帧,则则向所有有其它端端口转发发,而且且交换机机在转发发数据帧帧的时候候,对数数据帧不不做任何何修改,因因此,如如果交换换网络中中有环路路,则广广播帧会会被无限限期的转转发,形形成广播播风暴。幻灯片 26幻灯片 27幻灯片 28幻灯片 29幻灯片 30如前所述述,对于于物理层层和数据据链路层层可以正正常工作作,并且且开启了了RSTPP的交换换机端口口,RSSTP共共定义了了四种端端口角色色,稳定定时处于于转发状状态的有有根端口口和指定定端口。底层没有有开启的的端口称称为Diisabble端端口。幻灯片 31一个非根根交换机机选举出出一个新新的根端端口之后
32、后,如果果以前的的根端口口已经不不处于FForwwarddingg状态,则则新的根根端口立立即进入入转发状状态。本例中:SWCC上与LAANB相相连的端端口为根根端口,假假设此端端口断开开,即不不再处于于转发状状态,则则SWCC需要重重新选择择一个根根端口,与与LANNC相连连的端口口于是从从预备端端口成为为新的根根端口。由由于旧的的根端口口已经不不再处于于转发状状态,因因此网络络中没有有环路风风险,因因此新的的根端口口可以立立即进入入转发状状态。幻灯片 32边缘端口口(Eddge Porrt)是是指不连连接任何何交换机机的端口口。当把一个个交换机机端口配配置成为为边缘端端口之后后,一旦旦端口
33、被被启用,则则端口立立即成为为指定端端口(DDesiignaatedd Poort),并并进入转转发状态态。幻灯片 33传统的局局域网使使用的是是HUBB,HUBB只有一一根总线线,一根根总线就就是一个个冲突域域。所以以传统的的局域网网是一个个扁平的的网络,一一个局域域网属于于同一个个冲突域域。任何何一台主主机发出出的报文文都会被被同一冲冲突域中中的所有有其它机机器接收收到。后后来,组组网时使使用网桥桥(二层层交换机机)代替替集线器器(HUUB),每每个端口口可以看看成是一一根单独独的总线线,冲突突域缩小小到每个个端口,使使得网络络发送单单播报文文的效率率大大提提高,极极大地提提高了二二层网络
34、络的性能能。假如如一台主主机发出出广播报报文,设设备仍然然可以接接收到该该广播信信息,我我们通常常把广播播报文所所能传输输的范围围称之为为广播域域,网桥桥在传递递广播报报文的时时候依然然要将广广播报文文复制多多份,发发送到网网络的各各个角落落。随着着网络规规模的扩扩大,网网络中的的广播报报文越来来越多,广广播报文文占用的的网络资资源越来来越多,严严重影响响网络性性能,这这就是所所谓的广广播风暴暴的问题题。由于网桥桥二层网网络工作作原理的的限制,网网桥对广广播风暴暴的问题题无能为为力。为为了提高高网络的的效率,一一般需要要将网络络进行分分段:把把一个大大的广播播域划分分成几个个小的广广播域。幻灯
35、片 34VLANN与传统统的LAAN相比比,具有有以下优优势:限制广播播包,提提高带宽宽的利用用率:有效地解解决了广广播风暴暴带来的的性能下下降问题题。一个个VLAAN形成成一个小小的广播播域,同同一个VVLANN成员都都在由所所属VLLAN确确定的广广播域内内,那么么,当一一个数据据包没有有路由时时,交换换机只会会将此数数据包发发送到所所有属于于该VLLAN的的其他端端口,而而不是所所有的交交换机的的端口,这这样,就就将数据据包限制制到了一一个VLLAN内内。在一一定程度度上可以以节省带带宽;减少移动动和改变变的代价价:即所说的的动态管管理网络络,也就就是当一一个用户户从一个个位置移移动到另
36、另一个位位置时,他他的网络络属性不不需要重重新配置置,而是是动态的的完成,这这种动态态管理网网络给网网络管理理者和使使用者都都带来了了极大的的好处,一一个用户户,无论论他到哪哪里,他他都能不不做任何何修改地地接入网网络,这这种前景景是非常常美好的的。当然然,并不不是所有有的VLLAN定定义方法法都能做做到这一一点;创建虚拟拟工作组组:使用VLLAN的的最终目目标就是是建立虚虚拟工作作组模型型,例如如,在企企业网中中,同一一个部门门的就好好像在同同一个LLAN上上一样,很很容易的的互相访访问,交交流信息息,同时时,所有有的广播播包也都都限制在在该虚拟拟LANN上,而而不影响响其他VVLANN的人
37、。一一个人如如果从一一个办公公地点换换到另外外一个地地点,而而他仍然然在该部部门,那那么,该该用户的的配置无无须改变变;同时时,如果果一个人人虽然办办公地点点没有变变,但他他更换了了部门,那那么,只只需网络络管理员员更改一一下该用用户的配配置即可可。这个个功能的的目标就就是建立立一个动动态的组组织环境境,当然然,这只只是一个个理想的的目标,要要实现它它,还需需要一些些其他方方面的支支持。用用户不受受到物理理设备的的限制,VLAN用户可以处于网络中的任何地方,VLAN对用户的应用不产生影响;增强通讯讯的安全全性:一个VLLAN的的数据包包不会发发送到另另一个VVLANN,这样样,其他他VLAAN
38、用户户的网络络上是收收不到任任何该VVLANN的数据据包,确确保了该该VLAAN的信信息不会会被其他他VLAAN的人人窃听,从从而实现现了信息息的保密密;增强网络络的健壮壮性:当网络规规模增大大时,部部分网络络出现问问题往往往会影响响整个网网络,引引入VLLAN之之后,可可以将一一些网络络故障限限制在一一个VLLAN之之内。由由于VLLAN是是逻辑上上对网络络进行划划分,组组网方案案灵活,配配置管理理简单,降降低了管管理维护护的成本本。幻灯片 35接入链路路指的是是用于连连接主机机和交换换机的链链路。通通常情况况下主机机并不需需要知道道自己属属于哪些些VLAAN,主主机的硬硬件也不不一定支支持
39、带有有VLAAN标记记的帧。主主机要求求发送和和接收的的帧都是是没有打打上标记记的帧。接入链路路属于某某一个特特定的端端口,这这个端口口属于一一个并且且只能是是一个VVLANN。这个个端口不不能直接接接收其其它VLLAN的的信息,也也不能直直接向其其它VLLAN发发送信息息。不同同VLAAN的信信息必须须通过三三层路由由处理才才能转发发到这个个端口上上。干道链路路是可以以承载多多个不同同VLAAN数据据的链路路。干道道链路通通常用于于交换机机间的互互连,或或者用于于交换机机和路由由器之间间的连接接。干道道链路的的英文叫叫做“truunk linnk”。数据帧在在干道链链路上传传输的时时候,交交
40、换机必必须用一一种方法法来识别别数据帧帧是属于于哪个VVLANN的。IEEEE 8022.1QQ定义了了VLAAN帧格格式,所所有在干干道链路路上传输输的帧都都是打上上标记的的帧(ttaggged fraame)。通通过这些些标记,交交换机就就可以确确定哪些些帧分别别属于哪哪个VLLAN。和接入链链路不同同,干道道链路是是用来在在不同的的设备之之间(如如交换机机和路由由器之间间、交换换机和交交换机之之间)承承载VLLAN数数据的,因因此干道道链路是是不属于于任何一一个具体体的VLLAN的的。通过过配置,干干道链路路可以承承载所有有的VLLAN数数据,也也可以配配置为只只能传输输指定的的VLAA
41、N的数数据。干道链路路虽然不不属于任任何一个个具体的的VLAAN,但但是可以以给干道道链路配配置一个个pviid(porrt VVLANN IDD)。当当干道链链路不论论因为什什么原因因,trrunkk链路上上出现了了没有带带标记的的帧,交交换机就就给这个个帧增加加带有ppvidd的VLAAN标记记,然后后进行处处理。幻灯片 36这四个字字节的8802.1Q标标签头包包含了22个字节节的标签签协议标标识(TTPIDD)和2个字节节的标签签控制信信息(TTCI)。TPIDD(Tagg Prrotoocoll Iddenttifiier)是是IEEEE定义义的新的的类型,表表明这是是一个加加了80
42、02.11Q标签签的帧。TPID包含了一个固定的值0x8100。TCI是是包含的的是帧的的控制信信息,它它包含了了下面的的一些元元素:Priooritty:这这3 位指指明帧的的优先级级。一共共有8种优先先级,007。IEEEE 8802.1Q标标准使用用这三位位信息。Canooniccal Forrmatt Inndiccatoor( CFII ):CFII值为0说明是是规范格格式,11为非规规范格式式。它被被用在令令牌环/源路由由FDDDI介质质访问方方法中来来指示封封装帧中中所带地地址的比比特次序序信息。VLANN Iddenttifiied( VLLAN ID ): 这是一一个122位
43、的域域,指明明VLAAN的ID,从从0到40995,共共40996个,每每个支持持8022.1QQ协议的的交换机机发送出出来的数数据包都都会包含含这个域域,以指指明自己己属于哪哪一个VVLANN。在一个交交换网络络环境中中,以太太网的帧帧有两种种格式:有些帧帧是没有有加上这这四个字字节标志志的,称称为未标标记的帧帧(unngtaaggeed fframme),有有些帧加加上了这这四个字字节的标标志,称称为带有有标记的的帧(ttaggged fraame)。幻灯片 37Hybrrid端端口与TTrunnk端口口的不同同之处在在于hyybriid端口口可以允允许多个个VLAAN的报报文不打打标签,
44、而而truunk端端口只允允许缺省省VLAAN的报报文不打打标签。在在同一个个交换机机上hyybriid端口口和trrunkk端口不不能并存存。幻灯片 38当Acccesss端口收收到帧时时如果该帧帧不包含含8022.1QQ ttag heaaderr,将打打上端口口的PVVID;如果该该帧包含含8022.1QQ taag hheadder,交交换机不不作处理理,直接接丢弃。当Acccesss端口发发送帧时时剥离8002.11Q tagg heeadeer,发发出的帧帧为普通通以太网网帧幻灯片 39当Truunk端端口收到到帧时如果该帧帧不包含含8022.1QQ ttag heaaderr,将
45、打打上端口口的PVVID;如果该该帧包含含8022.1QQ taag hheadder,则则不改变变。当Truunk端端口发送送帧时当该帧的的VLAAN IID与端端口的PPVIDD不同时时,直接接透传;当该帧帧的VLLAN ID与与端口的的PVIID相同同时,则则剥离8802.1Q taag hheadder 幻灯片 40Hybiird端端口收到到帧时的的动作与与Truunk端端口相同同;Hybiird端端口发出出帧时首首先判断断VLAAN在本本端口的的属性。用用“diss innterrfacce”可看到到该端口口对哪些些VLAAN是unttag,哪哪些VLLAN是是tagg,如果果是un
46、ntagg则剥离离8022.1QQ ttag heaaderr 再发发送,如如果是ttag则则直接透透传。幻灯片 41幻灯片 42幻灯片 43幻灯片 44幻灯片 45幻灯片 46幻灯片 47幻灯片 48幻灯片 49幻灯片 50路由器的的功能有有很多,主主要功能能:一提提供了异异构网互互联的机机制,怎怎么提供供的呢?一台路路由器有有多接口口,每接接口在物物理特性性上或者者电气特特性上属属于不同同的网络络类型,二二把报文文从一个个网络发发送到另另外一个个网络。互互联的目目的是通通信,这这就导出出一个概概念:路路由。甚甚么是路路由呢?路由是是指导iip报文文转发的的路径信信息。怎怎么转发发的呢?这是
47、任任何一个个交换设设备必备备的功能能,他应应该知道道某条信信息从哪哪里来到到哪里去去,这主主要是通通过一种种表的形形式表现现出来的的。幻灯片 51在路由表表中有一一个Prrotoocoll字段:指明了了路由的的来源,即即路由是是如何生生成的。路路由的来来源主要要有3 种:链路层协协议发现现的路由由(Diirecct):开销小小,配置置简单,无无需人工工维护,只只能发现现本接口口所属网网段拓扑扑的路由由。手工配置置的静态态路由(Static):静态路由是一种特殊的路由,它由管理员手工配置而成。通过静态路由的配置可建立一个互通的网络,但这种配置问题在于:当一个网络故障发生后,静态路由不会自动修正,
48、必须有管理员的介入。静态路由无开销,配置简单,适合简单拓扑结构的网络。动态路由由协议发发现的路路由(RRIP、OSPPF ):当网络络拓扑结结构十分分复杂时时,手工工配置静静态路由由工作量量大而且且容易出出现错误误,这时时就可用用动态路路由协议议,让其其自动发发现和修修改路由由,无需需人工维维护,但但动态路路由协议议开销大大,配置置复杂。幻灯片 52到相同的的目的地地,不同同的路由由协议(包包括静态态路由)可可能会发发现不同同的路由由,但并并非这些些路由都都是最优优的。事事实上,在在某一时时刻,到到某一目目的地的的当前路路由仅能能由唯一一的路由由协议来来决定。这这样,各各路由协协议(包包括静态态路由)都都被赋予予了一个个优