華為賽門鐵克HSCDA認證培訓(xùn)考試資料

華為賽門鐵克HSCDA認證培訓(xùn)考試資料

華為賽門鐵克HSCDA認證培訓(xùn)網(wǎng)絡(luò)課程

?數(shù)據(jù)通信

HuaweiSymantec

HueveSymtnecTectnoloj>etCo,IM

幻燈片2

數(shù)據(jù)通信技術(shù)原理

-、

E

參考模型介紹

課OSI

程PPP及PPPOE技術(shù)介紹

目

以太網(wǎng)技術(shù)介紹

錄W

-路由協(xié)議介紹

-

/

幻燈片3

課程目標

,了斛。SI參考模型及各層次設(shè)備和協(xié)議

▲學(xué)福PPP和PPPOE原理

?學(xué)嵬以入網(wǎng)主要技術(shù)

1理解路由及路由協(xié)議功能

數(shù)據(jù)通信技術(shù)原理

OSI金考模型介紹

課

程PPP及PPPOE技術(shù)介紹

目

以太網(wǎng)技術(shù)介紹

錄

路由協(xié)議介紹

y

—

幻燈片5

0sl參考模型

?OSlRM：開放系級互iS參考模?型(OpenSystemInterconnection

ReferenceModel)

.OSlRM定義了網(wǎng)絡(luò)中設(shè)各所遵守的層次結(jié)構(gòu).

.分層結(jié)構(gòu)的優(yōu)點：

簡化網(wǎng)絡(luò)的操作

-提供設(shè)備間豪容性和標淮接口

-促進標準化工作

-娥構(gòu)上可以分局

-易于實現(xiàn)和罐護

MeTectrdo?esCo..LM

幻燈片6—

幻燈片7

數(shù)據(jù)封裝

[?]

]:Hlg

±?l交相機踴由■■ISB

?如據(jù)封裝和解封裝過程

MsSymantocTedvdogw9Co.,LtdP?js?

物理層涉及到在通信信道（channel）上傳輸?shù)脑急忍亓?，它實現(xiàn)傳輸數(shù)據(jù)所需要的機械、

電氣、功能特性及過程等手段。物理層涉及電壓、電纜線、數(shù)據(jù)傳輸速率、接口等的定義。

物理層的要緊網(wǎng)絡(luò)設(shè)備為中繼器、集線器等。

數(shù)據(jù)鏈路層的要緊任務(wù)是提供對物理層的操縱，檢測并糾正可能出現(xiàn)的錯誤，使之對網(wǎng)絡(luò)層

顯現(xiàn)一條無錯線路，同時進行流量調(diào)控（可選）。流量調(diào)控能夠在數(shù)據(jù)鏈路層實現(xiàn)，也能夠

由傳輸層實現(xiàn)。數(shù)據(jù)鏈路層與物理地址、網(wǎng)絡(luò)拓撲、線纜規(guī)劃、錯誤校驗、流量操縱等有關(guān)。

數(shù)據(jù)鏈路層要緊設(shè)備為以太網(wǎng)交換機。

網(wǎng)絡(luò)層檢查網(wǎng)絡(luò)拓撲，以決定傳輸報文的最佳路由，其關(guān)鍵問題是確定數(shù)據(jù)包從源端到目的

端如何選擇路由。網(wǎng)絡(luò)層通過路由選擇協(xié)議來計算路由。存在于網(wǎng)絡(luò)層的設(shè)備要緊有路由器、

三層交換機等。后面您將學(xué)習(xí)到更多關(guān)于網(wǎng)絡(luò)層的知識。

傳輸層的基本功能是從會話層同意數(shù)據(jù)，同時在必要的時候把它分成較小的單元，傳遞給網(wǎng)

絡(luò)層，并確保到達對方的各段信息正確無誤。傳輸層建立、保護虛電路，進行差錯校驗與流

量操縱。

會話層同意不一致機器上的用戶建立、管理與終止應(yīng)用程序間的會話關(guān)系，在協(xié)調(diào)不一致應(yīng)

用程序之間的通信時要涉及會話層，該層使每個應(yīng)用程序明白其它應(yīng)用程序的狀態(tài)。同時，

會話層也提供雙工（duplex）協(xié)商、會話同步等等。

表示層關(guān)注于所傳輸?shù)男畔⒌恼Z法與意義，它把來自應(yīng)用層與計算機有關(guān)的數(shù)據(jù)格式處理成

與計算機無關(guān)的格式，以保障對端設(shè)備能夠準確無誤地懂得發(fā)送端數(shù)據(jù)。同時，表示層也負

責(zé)數(shù)據(jù)加密等。

應(yīng)用層是OSI參考模型最靠近用戶的一層，為應(yīng)用程序提供網(wǎng)絡(luò)服務(wù).應(yīng)用層識別并驗證

目的通信方的可用性，使協(xié)同工作的應(yīng)用程序之間同步。

幻燈片8

TCP/IP協(xié)議和OSI參考模型

?TCP/IP協(xié)漢枝具有簡單的分層設(shè)計，與OSI參考模型有清晰的對應(yīng)關(guān)系.

S冷考筏位

MgSvmwwecTecMo^esCo.,LM8

OSI參考模型依層次結(jié)構(gòu)來劃分：第一層,物理層(3嬴aflayer)；第二層建通路層

(datalinklayer)；第三層,網(wǎng)絡(luò)層(networklayer)：第四層，傳輸層(transportlayer)；

第五層，會話層(sessionlayer)；第六層，表示層(presentationlayer)；第七層，應(yīng)用層

(applicationlayer)。

通常，我們把0S1參考模型第一層到第三層稱之底層(lowerlayer),又叫介質(zhì)層(Media

Layer)。這些層負責(zé)數(shù)據(jù)在網(wǎng)絡(luò)中的傳送，網(wǎng)絡(luò)互連設(shè)備往往位于下三層。底層通常以硬件

與軟件相結(jié)合的方式來實現(xiàn)。OSI參考模型的第五層到第七層稱之高層(upperlayer),又

叫主機層(hostlayer)。高層用于保障數(shù)據(jù)的正確傳輸，通常以軟件方式來實現(xiàn)。

七層OSI參考模型具有下列優(yōu)點：

簡化了有關(guān)的網(wǎng)絡(luò)操作；

提供即插即用的兼容性與不一致廠商之間的標準接口；

使各個廠商能夠設(shè)計出互操作的網(wǎng)絡(luò)設(shè)備，加快數(shù)據(jù)通信網(wǎng)絡(luò)進展；

防止一個區(qū)域網(wǎng)絡(luò)的變化影響另一個區(qū)域的網(wǎng)絡(luò)，因此，每一個區(qū)域的網(wǎng)絡(luò)都能單獨快速升

級；

把復(fù)雜的網(wǎng)絡(luò)問題分解為小的簡單問題，易于學(xué)習(xí)與操作。

需要注意的是，由于種種原因，現(xiàn)在還沒有一個完全遵循OSI七層模型的網(wǎng)絡(luò)體系，但OSI

參考模型的設(shè)計藍圖為我們更好的懂得網(wǎng)絡(luò)體系，學(xué)習(xí)計算機通信網(wǎng)絡(luò)奠定了基礎(chǔ)。

幻燈片9

TCP/IP協(xié)議棧

應(yīng)用后TTP.Telnet.FTP提供應(yīng)用程序同終接口

TFTP.Ping、etc

傳輸層TCPAJDP建立端更站過緩

.pIGMPICMF尋址和路由聲擇

需密層ARP/RARF

Ethernet*8023、PPP、構(gòu)現(xiàn)介原訪問

數(shù)據(jù)微路層HDLC?FRxetc

接口和線纜二進制敷弱流傳物

幻燈片10

ARP一地址解析協(xié)議

10002對成的MAC,

00-E0-FC-00-00-12

地址解析協(xié)議ARP是一種廣播協(xié)議，主機通過它能夠動態(tài)地發(fā)現(xiàn)對應(yīng)于一個IP地址的MAC

層地址。

每一個主機都有一個ARP高速緩存(ARPcache),有IP地址到物理地址的映射表，這些

都是該主機目前明白的一些地址。當主機A欲向本局域網(wǎng)上的主機B發(fā)送一個IP數(shù)據(jù)報時，

就先在其ARP高速緩存中查看有無主機B的IP地址。如有，就可查出其對應(yīng)的物理地址，

然后將該數(shù)據(jù)報發(fā)往此物理地址。

也有可能查不到主機B的IP地址的項目?？赡苁侵鳈CB才入網(wǎng)，也可能是主機A剛剛加電，

其高速緩存還是空的。在這種情況下，假定主機A需要明白主機B的MAC地址，主機A

發(fā)送稱之ARP請求的以太網(wǎng)數(shù)據(jù)幀給網(wǎng)段上的每一臺主機，這個過程稱之廣播。發(fā)送的ARP

請求報文中，帶有自己的IP地址到MAC地址的映射，同時還帶有需要解析的目的主機的

IP地址。目的主機B收到請求報文后，將其中的主機A的IP地址與MAC地址的映射存到

自己的ARP高速緩存中，并把自己的IP地址到MAC地址的映射作為響應(yīng)發(fā)回主機A。主

機A收到ARP應(yīng)答，就得到了主機B的MAC地址，同時，主機A緩存主機B的IP地址

到MAC地址映射。

幻燈片11

RARP-反向地址解析協(xié)議

你的IP地址是10Q01

在工作站Q的「MyJRZAPServer

我的IP地址是

什么？

RARPRequest?

在進行地址轉(zhuǎn)換時，有的時候還要用到反向地址轉(zhuǎn)換協(xié)議RARP。

RARP常用于X終端與無盤工作站等，這些設(shè)備明白自己MAC地址，需要獲得IP地址。

為了使RARP能工作，在局域網(wǎng)上至少有一個主機要充當RARP服務(wù)器。

以上圖為例，無盤工作站需要獲得自己的IP地址，向網(wǎng)絡(luò)中廣播RARP請求，RARP服務(wù)

器接收廣播請求，發(fā)送應(yīng)答報文，無盤工作站獲得IP地址.

對應(yīng)于ARP、RARP請求以廣播方式發(fā)送，ARP、RARP應(yīng)答通常以單播方式發(fā)送，以節(jié)約

網(wǎng)絡(luò)資源。

幻燈片12

二進制與十進制之間的轉(zhuǎn)化

幻燈片13

IP地址的進制轉(zhuǎn)化

?廬地址：192168.111

字節(jié)（8位）?字節(jié)（8位）?字節(jié)（8位）?字節(jié)（8位）

11000000101010000000000100001011

尊干

192?168?1?11

7

SymmecTechnologyCo.,LtdP?je13m,rrT1rt1,mi

每個IP地址是一個寫成4個8位字節(jié)的32比特值。這就意味著存在4個組，每個組包含8

個二進制位，如上圖所示。

幻燈片14

數(shù)據(jù)通信技術(shù)原理

、

OSI參考模理介紹

課

程PPP及PPPOE技術(shù)介紹

目

錄以太網(wǎng)技術(shù)介紹

路由協(xié)議介紹

M田SvmEecTectnoioaetCo.,LM

幻燈片15

PPP協(xié)議簡介

?ppp協(xié)議的定義：

-pppt力議提供了一種標逑的方式在點對點的鏈踣上傳輸多科網(wǎng)

珞層協(xié)議的數(shù)據(jù)報.

PPP陸議與小議桎的對應(yīng)關(guān)系

:MgO；<}PPP慘議

且

32S*KtcTechnolosResCo..Ltd15

幻燈片16

PAP認證(兩次握手)

用戶名/寶瑪

強驗證方的證方

-

說由:RA路由器B

接受佻電

.間質(zhì)：如果路由器A作為臉證方，而路由簿B剜作為被驗證

方，那么這個驗證過程如何進行？

HSWBe?-,>.：TC3.LM2"'U-'"一"

PPP協(xié)議也提供了可選的認證配置參數(shù)選項，缺省情況下點對點通信的兩端是不進行認證

的。在LCP的Config-Request報文中不可一次攜帶多種認證配置選項，務(wù)必二者擇其一

(PAP/CHAP),選擇最希望的那一種，通常是在PPP設(shè)備互連的設(shè)備上進行配置的，但通

常設(shè)備會默認支持一個缺省的認證方式(PAP是大部分設(shè)備所默認的認證方式)。當對端

收到該配置請求報文后，假如支持配置參數(shù)選項中的認證方式，則回應(yīng)一個Config-Ack報

文；否則回應(yīng)一個Config-Nak報文，并附帶上自希望雙方使用的認證方式。當對方接收到

Config-Ack報文后就能夠開始進行認證了，而假如收到得是Config-Nak報文，則根據(jù)自身

是否支持Config-Nak報文中的認證方式來回應(yīng)對方，假如支持則回應(yīng)一個新的

Config-Request(并攜帶上Config-Nak報文中所希望使用的認證協(xié)議)，否則將回應(yīng)一個

Config-Reject報文，那么雙方就無法通過認證，從而不可能建立起PPP鏈路。

PPP支持兩種授權(quán)協(xié)議：PAP(PasswordAuthenticationProtocol)與CHAP(ChallengeHand

AuthenticationProtocol)?

我們所知兩個設(shè)備在使用PAP進行認證之前，應(yīng)該確認那一方是驗證方，那一方是被驗證

方。實際上關(guān)于使用PPP協(xié)議互連的兩端來說，既可作為認證方，也可作為被認證方。但

通常情況下，PAP只使用一個方向上的認證。通常在兩端設(shè)備使用PAP協(xié)議之前，均會設(shè)

備上進行一些相應(yīng)的配置，關(guān)于寬帶工程師而言MA5200可謂是大家最熟悉的產(chǎn)品了，它

默認就作為驗證方，但可通過使用命令PAPAuthenticationPAP/CHAP來更換認證方式，而

關(guān)于被驗證方而言只需設(shè)置用戶名與密碼即可。

PAP認證是兩次握手，在鏈路建立階段，根據(jù)設(shè)備上的配置情況，假如是使用PAP認證，

則驗證方在發(fā)送Config-Request報文時會攜帶認證配置參數(shù)選項，而關(guān)于被驗證方而言則是

不需要，它只需要收到該配置請求報文后根據(jù)自身的情況給對端返回相應(yīng)的報文。假如點對

點的兩端設(shè)備使用的是PAP雙向認證時，也即是它同時也作為驗證方，則如今需要在配置

請求報文中攜帶認證配置參數(shù)選項。因此，我們能夠總結(jié)一下，假如關(guān)于點對點的兩個設(shè)備

在PPP鏈路建立的過程中使用的認證方式為PAP的話，那么驗證方在其Config-Request報

文中務(wù)必含有認證配置參數(shù)選項，且該認證配置參數(shù)選項的數(shù)據(jù)域為0xC023。

當通信設(shè)備的兩端在收到對方返回的Config-Ack報文時，就從各自的鏈路建立階段進入到

認證階段，那么作為被驗證方如今需要向驗證方發(fā)送PAP認證的請求報文，該請求報文攜

帶了用戶名與密碼，當驗證方收到該認證請求報文后，則會根據(jù)報文中的實際內(nèi)容查找本地

的數(shù)據(jù)庫，假如該數(shù)據(jù)庫中有與用戶名與密碼一致的選項時，則回向?qū)Ψ椒祷匾粋€認證請求

響應(yīng)，告訴對方認證已通過。反之，假如用戶名與密碼不符，則向?qū)Ψ椒祷仳炞C不通過的響

應(yīng)報文。假如雙方都配置為驗證方，則需要雙方的兩個單向驗證過程都完成后，方可進入到

網(wǎng)絡(luò)層協(xié)議階段，否則在一定次的認證失敗后，則會從當前狀態(tài)返回鏈路不可用狀態(tài)。

例10：如圖4-1所示，當路由器A（被驗證方）收到了路由器B的Config-Ack報文后，

由因此使用PAP認證，因此作為被驗證方的路由器A應(yīng)主動向驗證方（路由器B）發(fā)送認

證請求報文（PAPAuthenticate）,用戶名與密碼均為163,報文的內(nèi)容如下：

7EFF03C0230101000C03313633033136337E

下劃線的前四個字節(jié)是用戶名，后四個字節(jié)是密碼。

當路由器B收到了該報文后，會向路由器A回應(yīng)一個PAPAuthenticateAck報文，報文內(nèi)容

如下：

7EFF03802102010005007E

如今所回應(yīng)的報文中，并未攜帶任何數(shù)據(jù)，假如是認證不通過，則會在返回的報文中指是因

何原因無法認證通過，可能是無此用戶名或者密碼不匹配。

幻燈片17

CHAP認證（三次握手）

彼貓訐方愉逐方

路山落B

報普而第

?問通：如果路由器A作為驗證方，而路由鑿8則作為被驗證

方，郡么這個驗證過程如何進行？

SymirHcTecUrcio??Co.LW

與PAP認證比起來，CHAP認證函真看安圣性，從前面認證過程的數(shù)據(jù)初交換過雇中不然

發(fā)現(xiàn)，使用PAP認證時，被驗證是使用明文的方式直接將用戶名與密碼發(fā)送給驗證方的，

而關(guān)于PAP認證則不一樣。

CHAP為三次握手協(xié)議，它只在網(wǎng)絡(luò)上傳送用戶名而不傳送口令，因此安全性比PAP高。

在驗證一開始，不像PAP一樣是由被驗證方發(fā)送認證請求報文了，而是由驗證方向被驗證

方發(fā)送一段隨機的報文，并加上自己的主機名，我們通稱這個過程叫做挑戰(zhàn)。當被驗證方收

到驗證方的驗證請求，從中提取出驗證方所發(fā)送過來的主機名，然后根據(jù)該主機名在被驗證

方設(shè)備的后臺數(shù)據(jù)庫中去查找相同的用戶名的記錄，當查找到后就使用該用戶名所對應(yīng)的密

鑰，然后根據(jù)這個密鑰、報文ID與驗證方發(fā)送的隨機報文用Md5加密算法生成應(yīng)答，隨后

將應(yīng)答與自己的主機名送回，同樣驗證方收到被驗證方發(fā)送回應(yīng)后，提取被驗證方的用戶名，

然后去查找本地的數(shù)據(jù)庫，當找到與被驗證方一致用戶名后，根據(jù)該用戶名所對應(yīng)的密鑰、

保留報文ID與隨機報文用Md5加密算法生成結(jié)果,與剛剛被驗證方所返回的應(yīng)答進行比較,

相同則返回Ack,否則返回Nak?

例11：如圖4-2所示，當路由器A(被驗證方)收到了路由器B的Challenge報文后，報

文內(nèi)容如下：

7EFF03C2230101001C10FF41CF22AA8EFlB9999A79A75678C4A74d4135

323030417E

下劃線的前16個字節(jié)是驗證方隨機產(chǎn)生的一段報文，后7個字節(jié)是驗證方的主機名

(MA5200A),而且單個字節(jié)10表示隨機報文的長度。

而如今路由器A會根據(jù)用戶名所對應(yīng)的密鑰使用報文的ID與該報文的內(nèi)容生成一個回應(yīng)報

文，報文內(nèi)容如下：

7EFF03C2230201001F10188622FFCE81D068FF808500A7E3853570706B69

7373406875617E

我們將這個回應(yīng)報文與驗證方發(fā)送的挑戰(zhàn)報文進行比較，報文的代碼域已由原01改為02,

總報文的長度有變化，要緊后而一個下劃線的內(nèi)容是被驗證方的主機名(ppkiss@hua),而

且如今回應(yīng)的16個字節(jié)的報文已經(jīng)是通過MD5算法加密過的。

當驗證方收到了這個回應(yīng)報文后，會根據(jù)報文中被驗證方的主機名(ppkiss@hua)在本地的

數(shù)據(jù)庫中去查找密鑰，然后再對原發(fā)先發(fā)送的那段挑戰(zhàn)報文進行MD5的算法加密，假如所

得的結(jié)果與對方剛發(fā)過來的16個字節(jié)的加密值一樣的話，則就會發(fā)送一個報文通知被驗證

方，你的認證已經(jīng)通過，我們能夠進入到下一個階段了。在實際應(yīng)用當中，我們很多都是使

用PC機來進行撥號這個過程，實際中當驗證方發(fā)送挑戰(zhàn)后，PC機只接收而并不去查本地

數(shù)據(jù)庫，而直接使用在撥號對話框中所輸入的密碼與報文的ID及報報文的內(nèi)容進行MD5

算法加密(這個在PC機使用PPPOE軟件撥入到MA5200時就是這樣的)。

下面來看一下驗證通過時，驗證方給被驗證方所發(fā)送的一段報文內(nèi)容：

7EFF03C2230301001757656c636F6D6520746F204D4135323030412E7E

如今所回應(yīng)的報文的代碼域為03,且報文的實際內(nèi)容是，WelcomtoMA5200Ao

幻燈片18

PPPoE協(xié)議概述

?PPP協(xié)議要求進行通信的雙方之間是點到點的關(guān)系，不

適于廣播類型的以太網(wǎng)和另外一些多點訪問類型的網(wǎng)

珞,于是就產(chǎn)生了PPPoE協(xié)議（Pont-toPointProtocol

overEthernet）

?它不僅為使用橋按以太網(wǎng)接入的用戶提供了一

種寬帶接入手段,同時還能提供方便的接入控

制和計費.每個接入用戶均建立一個溫一無二

PPP的會話,會話建立之前必須如道遠靖法問

集中設(shè)各的MAC地址，PPF正協(xié)議可透過發(fā)現(xiàn)

協(xié)議獲取

MsSymEtcTectnoio^etCo.,LMms18

隨著寬帶網(wǎng)絡(luò)技術(shù)的不斷進展，以xDSL、CableModem與以太網(wǎng)為主的幾種主流寬帶接入

技術(shù)的應(yīng)用已開展的如火如荼。同時又給各大網(wǎng)絡(luò)運營商們帶來了種種困惑，不管使用哪種

接入技術(shù)，關(guān)于他們而言可盼與可求的是如何有效的管理用戶，如何從網(wǎng)絡(luò)的投資中收取回

報，因此關(guān)于各類寬帶接入技術(shù)的收費的問題就變得更加敏感。在傳統(tǒng)的以太網(wǎng)模型中，我

們是不存在所謂的用戶計費的概念，要么用戶能設(shè)置/獲取IP地址上網(wǎng)，要么用戶就無法上

網(wǎng)。IETF的工程師們在秉承窄帶撥號上網(wǎng)的運營思路（使用NAS設(shè)備終結(jié)用戶的PPP數(shù)據(jù)

包），制定出了在以太網(wǎng)上傳送PPP數(shù)據(jù)包的協(xié)議（PointToPointProtocolOverEthernet）,

這個協(xié)議出臺后，各網(wǎng)絡(luò)設(shè)備制造商也相繼推出自己品牌的寬帶接入服務(wù)器（BAS），它不

僅能支持PPPOE協(xié)議數(shù)據(jù)報文的終結(jié)，而且還能支持其它許多協(xié)議。如華為公司的MA5200

與ISN8850。

PPPOE協(xié)議提供了在廣播式的網(wǎng)絡(luò)（如以太網(wǎng)）中多臺主機連接到遠端的訪問集中器（我

們對目前能完成上述功能的設(shè)備為寬帶接入服務(wù)器）上的一種標準。在這種網(wǎng)絡(luò)模型中，我

們不難看出所有用戶的主機都需要能獨立的初始化自己的PPP協(xié)議棧，而且通過PPP協(xié)議

本身所具有的一些特點，能實現(xiàn)在廣播式網(wǎng)絡(luò)上對用戶進行計費與管理。為了能在廣播式的

網(wǎng)絡(luò)上建立、維持各主機與訪問集中器之間點對點的關(guān)系，那么就需要每個主機與訪問集中

器之間能建立唯一的點到點的會話。

幻燈片19

數(shù)據(jù)通信技術(shù)原理

rA

POSI參考模型介紹>

?ffi

:9PPP及PPPOE技術(shù)介紹

目U以太網(wǎng)技術(shù)介紹

'0路由協(xié)議介紹

1耶

P9ys19

幻燈片20

以太網(wǎng)的誕生

?以太網(wǎng)鍛初是由xerox公司開發(fā)的一種基帶局城網(wǎng)技術(shù)，使用同軸

電縫作為網(wǎng)絡(luò)墀體，采用筑波多路訪問和沖突檢割(CSM/VCD)

機制，數(shù)據(jù)傳輸速率達到10Mbps.

?以太網(wǎng)被設(shè)計用來滿足非持續(xù)性網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)那耙?而EEE

8023規(guī)范則是基于最初的以太網(wǎng)技術(shù)于1980年制定.以太網(wǎng)版本

20由DigtalEquipmentCorpor^jon,Intd和Xerox三家公司聯(lián)合

開發(fā)，與IEEE802.3規(guī)范相互兼容.

O)

SymirHcTechnologyCo,,twP?je20**"****

“以太網(wǎng)”一詞是指以CSMA/CD作為MAC算法的一類LAN。

1973年，位于加利福尼亞PaloAlto的Xerox公司提出并實現(xiàn)了最初的以太網(wǎng)。Robert

Metcalfe博士被公認為以太網(wǎng)之父，他研制的實驗室原型系統(tǒng)運行速度是2.94兆比特每秒

(3Mb/s)?這個實驗性以太網(wǎng)(在Xerox公司中被稱之“X-Wire”)用在了Xerox公司早期的一

些產(chǎn)品中，包含世界上第一臺配備網(wǎng)絡(luò)功能、帶有圖形用戶接口的個人工作站一XeroxAlto。

Xerox沒能成功地將Alto或者3Mb/s以太網(wǎng)商品化。這兩項實驗性技術(shù)幾乎完全保留在

Xerox公司內(nèi)部，沒有向外部傳播。

1979年，Xerox與DEC公司(DigitalEquipmentCorporation)聯(lián)合起來，致力于以太網(wǎng)技術(shù)的

標準化與商品化，并促進該項技術(shù)在網(wǎng)絡(luò)產(chǎn)品中的應(yīng)用。這是一個很理想的組合：Xerox有

專利與技術(shù)，而DEC是當時最大的網(wǎng)絡(luò)計算機供應(yīng)商。為了能確保容易地將商品化以太網(wǎng)

集成到廉價芯片中，在Xerox的要求下，Intel公司也加入了這個聯(lián)盟，負責(zé)提供這方面的

指導(dǎo)。由它們構(gòu)成的DEC-Intel-Xerox(DIX)三駕馬車，1980年9月開發(fā)并公布了10Mb/s版

的以太網(wǎng)標準［DIX80］。這個標準所支持的唯一一種物理介質(zhì)是粗同軸電纜。1982年，公布

了該標準的第2版。這一版以太網(wǎng)對信令做了略微修改，并增加了網(wǎng)絡(luò)管理功能。

幻燈片21

從共章表以女網(wǎng)進展到交換式以太網(wǎng)過渡時期，出現(xiàn)了中繼器/蔡寤兩種互逐的網(wǎng)絡(luò)設(shè)

備。這兩種設(shè)備基本原理都一樣，那么單獨講解一下集線器。

事實上集線器(HUB)與中繼器都是物理層上的連接設(shè)備，那為什么這樣說呢？接下去我

們共同來學(xué)習(xí)一下集線器的工作原理。

幻燈片22

二層工作模式

?網(wǎng)橋/二層以太網(wǎng)交倏機的工作模式

他*2SvmamecTectnoio^esCo.,LMe522

既然集線器(HUB")看在以上問題，菰們一起來看看以太網(wǎng)交換玩:以太網(wǎng)交換機是我們

現(xiàn)在組建以太網(wǎng)的必備的設(shè)備。

接下去講講以太網(wǎng)交換機(另稱多端口網(wǎng)橋)。

相比較HUB而言，交換機是工作在數(shù)據(jù)鏈路層的設(shè)備。為什么這么說呢？

要緊是以太網(wǎng)交換機或者者網(wǎng)橋需要完成二個基本功能：

MAC地址學(xué)習(xí)；

轉(zhuǎn)發(fā)與過濾決定；

幻燈片23

什么是三層交換機

?在邏輯上，三層交換和路由是等同的，三層交換的過程就是IP很文選

路的過程.

?三層交換機與路由器在轉(zhuǎn)發(fā)操作上的主要區(qū)別在于其實現(xiàn)的方式：

-三層交換機通過硬件實現(xiàn)查找和首發(fā)I

傳統(tǒng)路由器通過謝處理器上運行的敦件實現(xiàn)2f找將轉(zhuǎn)發(fā)；

三層交換機的轉(zhuǎn)發(fā)路由表與路由器一樣，第要軟件通過踣由協(xié)議耒建立和

?在局域網(wǎng)中引入三層交段：

能/更加羥濟的皆代傳統(tǒng)路由X

幻燈片24

交換機轉(zhuǎn)發(fā)流程

H的MAC蜒*目的事n

00-0D56BF8840F0/7

00-0D560F8870E0/3

H的MAC地*目的端口

OOODXBFW10ES

00410568F88-20FQ/6

OO-OD-56-BF-08-2O

且

QemS*?rwecTechnologyCo..Ltd

交換機底MAC地址袤集彳亍病發(fā)，MAC地址表是目的MAC地址與目的端口的對應(yīng)關(guān)系。

1：假設(shè)PCA向PCB發(fā)送一個數(shù)據(jù)幀，此數(shù)據(jù)幀的目的MAC地址設(shè)置為PCB的MAC地

址00-0D-56-BF-88-20,交換機SWA接收到此數(shù)據(jù)幀之后，需要查找MAC地址表，根據(jù)

MAC地址表中的記錄，將數(shù)據(jù)幀從E0/3口向外轉(zhuǎn)發(fā)。

交換機在轉(zhuǎn)發(fā)數(shù)據(jù)幀的時候，對數(shù)據(jù)幀不做任何修改，假如交換機接收到的是一個廣播數(shù)

據(jù)幀，則向所有端口轉(zhuǎn)發(fā)。

2：交換機SWB接收到了此數(shù)據(jù)幀之后，查找MAC地址表，根據(jù)MAC地址表中的記錄，

將數(shù)據(jù)從E0/6端口上轉(zhuǎn)發(fā)出去，此次轉(zhuǎn)發(fā)仍然不可能對數(shù)據(jù)幀做任何修改。

3：PCB接收到數(shù)據(jù)幀之后，查看目的MAC地址，由于目的MAC地址為接收者本身，因

此PCB處理此數(shù)據(jù)幀并上送上層協(xié)議處理數(shù)據(jù)幀所攜帶的數(shù)據(jù)。

幻燈片25

環(huán)路引起的問題——廣播風(fēng)暴

假如交換機從一個端口上接收到的是一個廣播數(shù)據(jù)幀，則向所有其它端口轉(zhuǎn)發(fā)，而且交換機

在轉(zhuǎn)發(fā)數(shù)據(jù)幀的時候，對數(shù)據(jù)幀不做任何修改，因此，假如交換網(wǎng)絡(luò)中有環(huán)路，則廣播幀會

被無限期的轉(zhuǎn)發(fā)，形成廣播風(fēng)暴。

幻燈片26

為什么引入生成樹協(xié)議

?通過阻斷冗余鞋路來消除橋接網(wǎng)絡(luò)中可能存在的路徑回環(huán)

?當前活功路徑發(fā)生獨障時激活冗余備份離路恢復(fù)網(wǎng)絡(luò)連通性

S*EecTectnoio^esCo.,LMP9ys26

幻燈片27

生成樹協(xié)議的基本原理

?基率思想：在網(wǎng)橋之間傳遞特殊的消息（配置消息），包

含足夠的信息做以下工作：

從網(wǎng)絡(luò)中的所有網(wǎng)橋中，遂出一個作為根河橋（Root）

計算本網(wǎng)橋到根網(wǎng)橋的最短路徑

-對每個LAN,選出離板橋最近的那個網(wǎng)橋作為指定網(wǎng)橋,負

費所在LAN上的效據(jù)轉(zhuǎn)發(fā)

網(wǎng)橋逡擇一個報端口，該端口給出的路徑是比網(wǎng)橋到報橋的

最佳路徑

選擇除根端口之外的包含干生成樹上的翦口〈指定繾口）

Technology8.Udw?27

幻燈片28

生成樹協(xié)議的不足

?竭口從阻塞狀態(tài)進入轉(zhuǎn)發(fā)狀態(tài)必須經(jīng)歷兩倍的ForwardDelay時間，所以

網(wǎng)絡(luò)拓撲結(jié)構(gòu)改變之后需要至少兩倍的ForwardDelay時間，才能恢復(fù)連

通性.

.如果網(wǎng)絡(luò)中的拓樸結(jié)構(gòu)變化睡素,網(wǎng)絡(luò)會負繁的失去連通性，這樣用戶

就會無法忍受.

S*EecTectnoio^esCo.,LMPWZ?d

幻燈片29

快速生成樹協(xié)議RSTP

.快速生成樹協(xié)議是從生成樹林議發(fā)展而來，實現(xiàn)的基本思想一致；

.快速生成樹具備生成樹的所有功能；

?快速生成可改進目的就是當網(wǎng)絡(luò)拓撲結(jié)構(gòu)發(fā)生變化時，盡可陡快的恢復(fù)

網(wǎng)絡(luò)的連通性.

7

Technology8,Ud

幻燈片30

RSTP交換機端口角色

端口角色描述

根端口，是所在交換機上寓根交換機最近的端

RootPort

口，穩(wěn)定時處于轉(zhuǎn)發(fā)狀態(tài).

指定端口，轉(zhuǎn)發(fā)所連接的網(wǎng)段發(fā)往根交換機方向

Designated

的數(shù)據(jù)和從交帙機方向發(fā)往所連接的網(wǎng)段的數(shù)

Port

據(jù)，穩(wěn)定時處于轉(zhuǎn)發(fā)狀態(tài)，

備份端口，不處干轉(zhuǎn)發(fā)狀態(tài)，所屬交換機為端口

BackupPort

所連網(wǎng)段的指定交換機.

頸備蜩口，不處于轉(zhuǎn)發(fā)狀態(tài)，所屬交換機不是蜩

AlternatePort

口所建網(wǎng)段的指定交換機.

rueEko.,\.xnkr加

如前所述，關(guān)于物理層與數(shù)據(jù)鏈路層能夠正常工作，同時開啟了RSTP的交換機端口，RSTP

共定義了四種端口角色，穩(wěn)固時處于轉(zhuǎn)發(fā)狀態(tài)的有根端口與指定端口。

底層沒有開啟的端口稱之Disable端口。

幻燈片31

RSTP的改進一選舉新的根端口

R00t-二2768OOeO-fc16-ee43

LANA的指定端口LANB的指定端口

.LANA

根端口

SWB/

3276832768

OOeO-fc41-4259KjLANC00e0-fc41-43b9

頸南端口

LANC的斬根埸口

指定端口立即轉(zhuǎn)發(fā)

e?4S*EecTecWMwsCo..LtdET31

一個非根交換機選舉出一個新的根端口之后，假如往常的根端口已經(jīng)不處于Forwarding狀

態(tài)，則新的根端口立即進入轉(zhuǎn)發(fā)狀態(tài)。

本例中：SWC上與LANB相連的端口為根端口，假設(shè)此端口斷開，即不再處于轉(zhuǎn)發(fā)狀態(tài)，

則SWC需要重新選擇一個根端口，與LANC相連的端口因此從預(yù)備端口成為新的根端口。

由于舊的根端口已經(jīng)不再處于轉(zhuǎn)發(fā)狀態(tài)，因此網(wǎng)絡(luò)中沒有環(huán)路風(fēng)險，因此新的根端口能夠立

即進入轉(zhuǎn)發(fā)狀態(tài)。

幻燈片32

選舉新的指定端口(邊緣端口)

SWA

根交換機

t533276800e04cl6-ee43

LANA

SWBZ

32768的032768

OOeO-fc4M25900e0-fc41-43b9

-

LAND

遙)

MsSvmMUtcTectnoiog*tCo.,Ltd

邊緣端口(EdgePort)是指不連接任何交換機的端口。

當把一個交換機端口配置成為邊緣端口之后，一旦端口被啟用，則端口立即成為指定端口

(DesignatedPort),并進入轉(zhuǎn)發(fā)狀態(tài)。

幻燈片33

VLAN的產(chǎn)生原因一廣播風(fēng)暴

傳統(tǒng)的局域網(wǎng)使用的是HUB,HUB只有一根總線，一根總線就是一個沖突域。因此傳統(tǒng)的

局域網(wǎng)是一個扁平的網(wǎng)絡(luò)，一個局域網(wǎng)屬于同一個沖突域。任何一臺主機發(fā)出的報文都會被

同一沖突域中的所有其它機器接收到。后來，組網(wǎng)時使用網(wǎng)橋(二層交換機)代替集線器

(HUB),每個端口能夠看成是一根單獨的總線，沖突域縮小到每個端口，使得網(wǎng)絡(luò)發(fā)送

單播報文的效率大大提高，極大地提高了二層網(wǎng)絡(luò)的性能。假如一臺主機發(fā)出廣播報文，設(shè)

備仍然能夠接收到該廣播信息，我們通常把廣播報文所能傳輸?shù)姆秶Q之為廣播域，網(wǎng)橋在

傳遞廣播報文的時候依然要將廣播報文復(fù)制多份，發(fā)送到網(wǎng)絡(luò)的各個角落。隨著網(wǎng)絡(luò)規(guī)模的

擴大，網(wǎng)絡(luò)中的廣播報文越來越多，廣播報文占用的網(wǎng)絡(luò)資源越來越多，嚴重影響網(wǎng)絡(luò)性能，

這就是所謂的廣播風(fēng)暴的問題。

由于網(wǎng)橋二層網(wǎng)絡(luò)工作原理的限制，網(wǎng)橋?qū)V播風(fēng)暴的問題無能為力。為了提高網(wǎng)絡(luò)的效率,

通常需要將網(wǎng)絡(luò)進行分段：把一個大的廣播域劃分成幾個小的廣播域。

幻燈片34

VLAN的優(yōu)點

?相對與傳統(tǒng)的LAN技術(shù)，VLAN真有如下優(yōu)勢:

-隔高廣播域.抑制廣播報文

減少移動和改變的代價

-創(chuàng)建虛擬工作組.超越傳統(tǒng)網(wǎng)絡(luò)的工作方式

-增強遇訊的安全性

增強網(wǎng)絡(luò)的健壯性

J\g.,LKIkFK

VLAN與傳統(tǒng)的LAN相比，具有下列優(yōu)勢：

限制廣播包，提高帶寬的利用率：

有效地解決了廣播風(fēng)暴帶來的性能下降問題。一個VLAN形成一個小的廣播域，同一個

VLAN成員都在由所屬VLAN確定的廣播域內(nèi)，那么，當一個數(shù)據(jù)包沒有路由時，交換機

只會將此數(shù)據(jù)包發(fā)送到所有屬于該VLAN的其他端口，而不是所有的交換機的端口，這樣，

就將數(shù)據(jù)包限制到了一個VLAN內(nèi)。在一定程度上能夠節(jié)約帶寬；

減少移動與改變的代價：

即所說的動態(tài)管理網(wǎng)絡(luò)，也就是當一個用戶從一個位置移動到另一個位置時，他的網(wǎng)絡(luò)屬性

不需要重新配置，而是動態(tài)的完成，這種動態(tài)管理網(wǎng)絡(luò)給網(wǎng)絡(luò)管理者與使用者都帶來了極大

的好處，一個用戶，不管他到哪里，他都能不做任何修改地接入網(wǎng)絡(luò)，這種前景是非常美好

的。當然，并不是所有的VLAN定義方法都能做到這一點；

創(chuàng)建虛擬工作組：

使用VLAN的最終目標就是建立虛擬工作組模型，比如，在企業(yè)網(wǎng)中，同一個部門的就好

像在同一個LAN上一樣，很容易的互相訪問，交流信息，同時，所有的廣播包也都限制在

該虛擬LAN上，而不影響其他VLAN的人。一個人假如從一個辦公地點換到另外一個地點，

而他仍然在該部門，那么，該用戶的配置無須改變；同時，假如一個人盡管辦公地點沒有變,

但他更換了部門，那么，只需網(wǎng)絡(luò)管理員更換一下該用戶的配置即可。這個功能的目標就是

建立一個動態(tài)的組織環(huán)境，當然，這只是一個理想的目標，要實現(xiàn)它，還需要一些其他方面

的支持。用戶不受到物理設(shè)備的限制，VLAN用戶能夠處于網(wǎng)絡(luò)中的任何地方，VLAN對

用戶的應(yīng)用不產(chǎn)生影響；

增強通訊的安全性：

一個VLAN的數(shù)據(jù)包不可能發(fā)送到另一個VLAN,這樣，其他VLAN用戶的網(wǎng)絡(luò)上是收不

到任何該VLAN的數(shù)據(jù)包，確保了該VLAN的信息不可能被其他VLAN的人竊聽，從而實

現(xiàn)了信息的保密；

增強網(wǎng)絡(luò)的健壯性：

當網(wǎng)絡(luò)規(guī)模增大時，部分網(wǎng)絡(luò)出現(xiàn)問題往往會影響整個網(wǎng)絡(luò)，引入VLAN之后，能夠?qū)⒁?/p>

些網(wǎng)絡(luò)故障限制在一個VLAN之內(nèi)。由于VLAN是邏輯上對網(wǎng)絡(luò)進行劃分，組網(wǎng)方案靈活,

配置管理簡單，降低了管理保護的成本。

接入鏈路指的是用于連接主機與交換機的鏈路。通常情況下主機并不需要明白自己屬于什么

VLAN,主機的硬件也不一定支持帶有VLAN標記的幀。主機要求發(fā)送與接收的幀都是沒

有打上標記的幀。

接入鏈路屬于某一個特定的端口，這個端口屬于一個同時只能是一個VLAN。這個端口不能

直接接收其它VLAN的信息，也不能直接向其它VLAN發(fā)送信息。不一致VLAN的信息務(wù)

必通過三層路由處理才能轉(zhuǎn)發(fā)到這個端口上。

干道鏈路是能夠承載多個不一致VLAN數(shù)據(jù)的鏈路。干道鏈路通常用于交換機間的互連，

或者者用于交換機與路由器之間的連接。干道鏈路的英文叫做“trunklink”。

數(shù)據(jù)幀在干道鏈路上傳輸?shù)臅r候，交換機務(wù)必用一種方法來識別數(shù)據(jù)幀是屬于哪個VLAN

的。IEEE802.1Q定義了VLAN幀格式，所有在干道鏈路上傳輸?shù)膸际谴蛏蠘擞浀膸?/p>

(taggedframe)?通過這些標記，交換機就能夠確定什么幀分別屬于哪個VLAN。

與接入鏈路不一致，干道鏈路是用來在不一致的設(shè)備之間(如交換機與路由器之間、交換機

與交換機之間)承載VLAN數(shù)據(jù)的，因此干道鏈路是不屬于任何一個具體的VLAN的。通

過配置，干道鏈路能夠承載所有的VLAN數(shù)據(jù)，也能夠配置為只能傳輸指定的VLAN的數(shù)

據(jù)。

干道鏈路盡管不屬于任何一個具體的VLAN,但是能夠給干道鏈路配置一個pvid(portVLAN

ID).當干道鏈路不論由于什么原因，trunk鏈路上出現(xiàn)了沒有帶標記的幀，交換機就給這

個幀增加帶有pvid的VLAN標記，然后進行處理。

幻燈片36

VLAN的幀格式

這四個字節(jié)的802.1Q標簽頭包含了2個字節(jié)的標簽協(xié)議標識(TPID)與2個字節(jié)的標簽操

縱信息(TCI)o

TPID(TagProtocolIdentifier)是IEEE定義的新的類型，說明這是一個加了802.1Q標簽的

幀。TPID包含了一個固定的值0x8100。

TCI是包含的是幀的操縱信息，它包含了下面的一些元素：

Priority：這3位指明幀的優(yōu)先級。一共有8種優(yōu)先級，0—7。IEEE802.1Q標準使用這三位

信息。

CanonicalFormatIndicator(CFI)：CFI值為0說明是規(guī)范格式，1為非規(guī)范格式。它被用在

令牌環(huán)/源路由FDDI介質(zhì)訪問方法中來指示封裝幀中所帶地址的比特次序信息。

VLANIdentified(VLANID):這是一個12位的域，指明VLAN的ID,從0到4095,共4096

個，每個支持802.1Q協(xié)議的交換機發(fā)送出來的數(shù)據(jù)包都會包含這個域，以指明自己屬于哪

一個VLANo

在一個交換網(wǎng)絡(luò)環(huán)境中，以太網(wǎng)的幀有兩種格式：有些幀是沒有加上這四個字節(jié)標志的，稱

之未標記的幀(ungtaggedframe),有些幀加上了這四個字節(jié)的標志，稱之帶有標記的幀

(taggedframe)。

幻燈片37

以太網(wǎng)交換機的端口分類

?AccessiR口:

一戢用于按用戶計算機的m口.acces總口只能屬于1個VLAN.

?TnjnEi口；

一般用于交施機之間連接的端口，trunk端口可以屬于多個VLAN,可以

接收和發(fā)送多個VLAZ的報文.

?Hybrid端口：

可以用于交換機之間連接，也可以用于按用戶的計算桃hybngW口可

以屬于多個VIAN.可以接收和發(fā)送多個VLAN的板文.

SyizntocTectrdoj^sCo.,LUms37

Hybrid端口與Trunk端口的不一致之處在于hybrid端口能夠同意多個VLAN的報文不打標

簽，而trunk端口只同意缺省VLAN的報文不打標簽。在同一個交換機上hybrid端口與trunk

端口不能并存。

幻燈片38

802.1Q的轉(zhuǎn)發(fā)原貝ij—Access-Link

?當Access端口收到幀時

如果該幀不包含802.1Qtagheader,將打上端口的PVIQ如果該幀包含

8021Qtagheader.交換機不作處理,直摟丟棄.

?當Access端口發(fā)送幀時

到離802IQtagheader,發(fā)出的幀為普通以太網(wǎng)幀

技收方向

PVID1

.發(fā)送方向

I1

HuatAeiSymartecTechnologiesCo.,Ltdpage38

當Access端口收到幀時

假如該幀不包含802.IQtagheader,將打上端口的PVID；假如該幀包含802.IQtagheader,

交換機不作處理，直接丟棄。

當Access端口發(fā)送幀時

剝離802.1Qtagheader,發(fā)出的幀為普通以太網(wǎng)幀

幻燈片39

802.1Q的轉(zhuǎn)發(fā)原貝ij—Trunk-Link

?當Trunk端口收到幀時

如果該幀不包含802.1。tagheader,將打上端口的FMd如果該幀

包含80Z1Qtagheader,則不改變。

?當Trunk端口發(fā)送幀時

當該幀的VSNI口與端口的PVID不同時,直接透傳；為該幀的VLAN

ID與端口的PVI口相同時，則剝者802.1Qtagheader

接收方向

runK

PVID1□in?■

發(fā)送方向

PVID2|

口o

HuaMSymartecTechnologietCo..Ltd

當Trunk端口收到幀時

假如該幀不包含802.IQtagheader,將打上端口的PVID；假如該幀包含802.IQtagheader,

則不改變。

當Trunk端口發(fā)送幀時

當該幀的VLANID與端口的PVID不一致時，直接透傳；當該幀的VLANID與端口的PVID

相同時，則剝離802.1Qtagheader

幻燈片40

802.1Q的轉(zhuǎn)發(fā)原則一HybiM?Link

?當Hybird端口收到幀時

-如果該幀不包含802.1。tagheader,將打上端口的PVID,如果該幀

包含802IQtagheader,則不改變。

?當Hybird端□發(fā)送幀時

判斷VLAN在本端口的屬性。用“disinterface-可看到該端口對哪些

VLAN是untag,哪些VLAN是tag,如果是untagJW剝離802.1Qtag

header再發(fā)送.如果是ta覬直接遺傳.

…_______一，速

HuaMSymartecTechnologyCo.,Ltdpage40*****

Hybird端口收到幀時的