《初級(jí)交換路由》課件

初級(jí)交換路由交換與路由是計(jì)算機(jī)網(wǎng)絡(luò)中兩個(gè)重要的基礎(chǔ)技術(shù)。本課程將從基礎(chǔ)知識(shí)入手,介紹交換和路由的基本原理,以及它們?cè)诰W(wǎng)絡(luò)中的應(yīng)用。讓我們一起了解更多關(guān)于初級(jí)交換路由的知識(shí)。課程目標(biāo)掌握交換機(jī)工作原理了解交換機(jī)的基本功能和數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制,包括MAC地址學(xué)習(xí)、端口狀態(tài)等。理解生成樹協(xié)議STP學(xué)習(xí)STP的作用和工作過程,知道根橋選舉、端口角色等概念。熟悉VLAN技術(shù)掌握VLAN的基本概念、劃分原則和配置方法,包括接口模式和VLAN中繼協(xié)議。掌握三層交換機(jī)了解三層交換機(jī)的工作機(jī)制和配置步驟,學(xué)習(xí)ACL等高級(jí)功能。課程大綱課程概述全面介紹初級(jí)交換路由知識(shí),涵蓋交換機(jī)和路由器的原理和配置。網(wǎng)絡(luò)基礎(chǔ)深入了解以太網(wǎng)幀結(jié)構(gòu)、MAC地址特性以及交換機(jī)的轉(zhuǎn)發(fā)機(jī)制。生成樹協(xié)議學(xué)習(xí)STP的工作原理、端口狀態(tài)以及根橋選舉和收斂過程。虛擬局域網(wǎng)掌握VLAN的基本概念、劃分原則、接口模式和VTP交換機(jī)管理。交換機(jī)的工作原理交換機(jī)是數(shù)據(jù)鏈路層設(shè)備,其主要功能是根據(jù)目的MAC地址對(duì)收到的以太網(wǎng)幀進(jìn)行轉(zhuǎn)發(fā)。交換機(jī)通過構(gòu)建MAC地址表,記錄設(shè)備MAC地址與交換機(jī)端口的對(duì)應(yīng)關(guān)系,從而實(shí)現(xiàn)高效轉(zhuǎn)發(fā)。當(dāng)交換機(jī)收到一個(gè)以太網(wǎng)幀時(shí),先檢查MAC地址表,如果存在對(duì)應(yīng)關(guān)系則直接轉(zhuǎn)發(fā)到相應(yīng)端口,如果不存在則進(jìn)行廣播轉(zhuǎn)發(fā)。此外,交換機(jī)還可以進(jìn)行VLAN劃分、鏈路聚合等高級(jí)功能。以太網(wǎng)幀的結(jié)構(gòu)以太網(wǎng)數(shù)據(jù)幀包含多個(gè)不同的字段,用于傳輸數(shù)據(jù)和控制信息。主要包括目的MAC地址、源MAC地址、數(shù)據(jù)長(zhǎng)度/類型、數(shù)據(jù)負(fù)載以及幀檢查序列(FCS)等部分。每個(gè)字段都有特定的功能和格式,確保數(shù)據(jù)能夠在網(wǎng)絡(luò)上正確傳輸和接收。MAC地址的特點(diǎn)唯一性MAC地址是由設(shè)備制造商分配的全球唯一標(biāo)識(shí)符,確保了每個(gè)網(wǎng)絡(luò)設(shè)備都有獨(dú)一無二的物理層地址。層級(jí)關(guān)系MAC地址工作在數(shù)據(jù)鏈路層,位于IP地址之下,提供了更加基礎(chǔ)的設(shè)備識(shí)別和尋址功能。結(jié)構(gòu)組成MAC地址由48位二進(jìn)制數(shù)組成,前24位表示制造商編號(hào),后24位表示設(shè)備序列號(hào)。交換機(jī)的轉(zhuǎn)發(fā)機(jī)制1幀檢查交換機(jī)會(huì)檢查以太網(wǎng)幀的MAC地址和VLAN信息。2MAC地址學(xué)習(xí)交換機(jī)會(huì)學(xué)習(xí)每個(gè)端口連接的設(shè)備的MAC地址。3轉(zhuǎn)發(fā)決策交換機(jī)會(huì)根據(jù)MAC地址表做出轉(zhuǎn)發(fā)決策。4幀轉(zhuǎn)發(fā)交換機(jī)會(huì)根據(jù)轉(zhuǎn)發(fā)決策將數(shù)據(jù)幀轉(zhuǎn)發(fā)到目的端口。交換機(jī)的轉(zhuǎn)發(fā)機(jī)制包括四個(gè)關(guān)鍵步驟:幀檢查、MAC地址學(xué)習(xí)、轉(zhuǎn)發(fā)決策和幀轉(zhuǎn)發(fā)。交換機(jī)會(huì)仔細(xì)檢查以太網(wǎng)幀的信息,學(xué)習(xí)連接設(shè)備的MAC地址,根據(jù)MAC地址表做出轉(zhuǎn)發(fā)決策,最后將數(shù)據(jù)幀轉(zhuǎn)發(fā)到目的端口。這一系列動(dòng)作確保了交換機(jī)能夠高效可靠地轉(zhuǎn)發(fā)數(shù)據(jù)流。交換機(jī)的端口狀態(tài)監(jiān)聽狀態(tài)交換機(jī)在啟動(dòng)時(shí)或網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí),會(huì)將端口置于監(jiān)聽狀態(tài),等待收集網(wǎng)絡(luò)信息。學(xué)習(xí)狀態(tài)交換機(jī)會(huì)學(xué)習(xí)并記錄連接到端口的設(shè)備的MAC地址,以優(yōu)化轉(zhuǎn)發(fā)決策。轉(zhuǎn)發(fā)狀態(tài)當(dāng)交換機(jī)確認(rèn)端口可以安全轉(zhuǎn)發(fā)數(shù)據(jù)幀時(shí),會(huì)將端口置于轉(zhuǎn)發(fā)狀態(tài)。阻塞狀態(tài)為防止網(wǎng)絡(luò)環(huán)路,交換機(jī)會(huì)將某些端口置于阻塞狀態(tài),不參與數(shù)據(jù)轉(zhuǎn)發(fā)。生成樹協(xié)議STP1解決網(wǎng)絡(luò)環(huán)路問題STP通過動(dòng)態(tài)計(jì)算網(wǎng)絡(luò)中轉(zhuǎn)發(fā)數(shù)據(jù)的最佳路徑,自動(dòng)阻塞冗余端口,有效避免廣播風(fēng)暴、MAC地址表不穩(wěn)定等問題。2保證網(wǎng)絡(luò)可靠性STP提供了網(wǎng)絡(luò)冗余備份機(jī)制,當(dāng)主路徑發(fā)生故障時(shí),可快速切換到備份路徑,確保網(wǎng)絡(luò)持續(xù)穩(wěn)定運(yùn)行。3標(biāo)準(zhǔn)化網(wǎng)絡(luò)拓?fù)銼TP通過在交換機(jī)和VLAN之間建立標(biāo)準(zhǔn)的生成樹,簡(jiǎn)化了網(wǎng)絡(luò)的管理和維護(hù)。STP的工作過程1初始化交換機(jī)在啟動(dòng)時(shí)會(huì)首先初始化STP,為每個(gè)端口設(shè)置最初的狀態(tài)。2收發(fā)BPDU報(bào)文交換機(jī)之間周期性地交換BPDU報(bào)文,用于交換端口狀態(tài)信息。3確定根橋交換機(jī)通過BPDU報(bào)文比較自身與其他交換機(jī)的優(yōu)先級(jí),選舉出根橋。4選擇端口角色每個(gè)交換機(jī)根據(jù)BPDU報(bào)文確定本端口的角色,包括根端口、指定端口等。5計(jì)算生成樹根橋和其他交換機(jī)計(jì)算出整個(gè)網(wǎng)絡(luò)的生成樹拓?fù)浣Y(jié)構(gòu)。6端口狀態(tài)轉(zhuǎn)換交換機(jī)根據(jù)生成樹拓?fù)湔{(diào)整端口狀態(tài),包括轉(zhuǎn)發(fā)、阻塞、學(xué)習(xí)等。STP的端口角色根端口從交換機(jī)到根橋的最佳路徑,負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)通信。指定端口負(fù)責(zé)接收從根橋轉(zhuǎn)發(fā)過來的數(shù)據(jù),并將其轉(zhuǎn)發(fā)到下游設(shè)備。備份端口備份根端口和指定端口,用于提供冗余路徑,避免單點(diǎn)故障。阻塞端口被禁止轉(zhuǎn)發(fā)數(shù)據(jù)的端口,用于防止環(huán)路,確保網(wǎng)絡(luò)穩(wěn)定。生成樹根橋選舉根橋選擇過程交換機(jī)之間會(huì)交換BPDU信息來確定根橋。根橋是生成樹拓?fù)涞暮诵?，?fù)責(zé)網(wǎng)絡(luò)收斂。比較BPDU優(yōu)先級(jí)BPDU包含優(yōu)先級(jí)等信息,交換機(jī)會(huì)比較這些信息來選舉根橋。優(yōu)先級(jí)最高的交換機(jī)將成為根橋。根橋選舉算法根橋選舉算法會(huì)比較BPDU的橋ID、端口ID等參數(shù),找出最優(yōu)的根橋交換機(jī)。生成樹重置和收斂1觸發(fā)生成樹重置端口狀態(tài)變化、網(wǎng)絡(luò)拓?fù)渥兏?生成樹重新計(jì)算選擇新的根橋和最短路徑3網(wǎng)絡(luò)收斂端口角色重新分配,網(wǎng)絡(luò)穩(wěn)定交換機(jī)使用生成樹協(xié)議STP來避免廣播風(fēng)暴,但當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變更時(shí),需要重新計(jì)算生成樹以確保網(wǎng)絡(luò)的可靠性和高可用性。此過程稱為生成樹重置,最終網(wǎng)絡(luò)將收斂到新的穩(wěn)定狀態(tài)。VLAN的基本概念VLAN簡(jiǎn)介VLAN（虛擬局域網(wǎng)）是在邏輯上將一個(gè)物理網(wǎng)絡(luò)劃分為多個(gè)獨(dú)立的廣播域,每個(gè)VLAN都有自己的IP子網(wǎng)和廣播域。VLAN端口劃分VLAN通過給交換機(jī)端口分配VLANID來實(shí)現(xiàn)網(wǎng)絡(luò)的邏輯劃分,一個(gè)端口只能屬于一個(gè)VLAN。VLAN通信方式VLAN內(nèi)部的主機(jī)可以直接通信,而VLAN之間的通信需要借助三層設(shè)備如路由器進(jìn)行轉(zhuǎn)發(fā)。VLAN的劃分原則業(yè)務(wù)需求根據(jù)組織內(nèi)部不同部門或應(yīng)用的業(yè)務(wù)需求,將網(wǎng)絡(luò)劃分為多個(gè)邏輯子網(wǎng),以隔離廣播域,提高網(wǎng)絡(luò)效率。安全性不同VLAN之間的流量需要經(jīng)過路由器進(jìn)行轉(zhuǎn)發(fā),增強(qiáng)了網(wǎng)絡(luò)安全性,減少了對(duì)內(nèi)部網(wǎng)絡(luò)的威脅。管理便利VLAN劃分可以更好地管理和維護(hù)網(wǎng)絡(luò),根據(jù)業(yè)務(wù)需求調(diào)整VLAN配置更加靈活。性能提升VLAN可以減少?gòu)V播和沖突域的范圍,提高網(wǎng)絡(luò)性能和吞吐量。接口模式與VLAN分配1接口模式交換機(jī)接口有三種基本模式:訪問模式、中繼模式和混合模式。決定了接口如何處理VLAN標(biāo)記。2VLAN分配接口可以靜態(tài)分配到指定VLAN,也可以動(dòng)態(tài)加入VLAN。VLAN分配決定了數(shù)據(jù)包如何在交換網(wǎng)絡(luò)中轉(zhuǎn)發(fā)。3組合應(yīng)用合理搭配接口模式和VLAN分配可以靈活構(gòu)建復(fù)雜的交換網(wǎng)絡(luò)拓?fù)?滿足不同應(yīng)用需求。動(dòng)態(tài)VLAN分配1VLAN識(shí)別交換機(jī)通過檢查以太網(wǎng)幀中的VLAN信息對(duì)數(shù)據(jù)包進(jìn)行識(shí)別和分類。2VLAN自動(dòng)分配基于用戶的憑證信息或者特定端口屬性,交換機(jī)可以自動(dòng)將用戶分配到相應(yīng)的VLAN。3VLAN靈活調(diào)整用戶接入網(wǎng)絡(luò)后,交換機(jī)可以根據(jù)所需服務(wù)動(dòng)態(tài)調(diào)整VLAN分配,提高網(wǎng)絡(luò)的靈活性。動(dòng)態(tài)VLAN分配是交換機(jī)的一項(xiàng)高級(jí)功能,它可以根據(jù)用戶身份或接入端口的特性,自動(dòng)將用戶分配到合適的VLAN中,并在用戶接入或切換時(shí)動(dòng)態(tài)調(diào)整VLAN分配。這種機(jī)制大大提高了網(wǎng)絡(luò)的靈活性和適應(yīng)性,是構(gòu)建復(fù)雜網(wǎng)絡(luò)拓?fù)涞闹匾夹g(shù)。VLAN中繼協(xié)議VLAN中繼VLAN中繼協(xié)議能在交換機(jī)之間傳送多個(gè)VLAN的報(bào)文,實(shí)現(xiàn)不同VLAN之間的通信。自動(dòng)協(xié)商VLAN中繼使用自動(dòng)協(xié)商機(jī)制,雙方交換機(jī)可以自動(dòng)確定要傳送哪些VLAN報(bào)文。VLAN標(biāo)記中繼協(xié)議會(huì)在以太網(wǎng)幀上添加VLAN標(biāo)記,用于標(biāo)識(shí)報(bào)文屬于哪個(gè)VLAN。協(xié)議標(biāo)準(zhǔn)IEEE802.1Q是VLAN中繼協(xié)議的主流標(biāo)準(zhǔn),定義了VLAN報(bào)文的格式和工作機(jī)制。VTP的工作機(jī)制VLAN信息同步VTP(VLANTrunkingProtocol)是一種自動(dòng)化的VLAN配置協(xié)議。它可以在交換機(jī)之間同步VLAN配置信息,讓整個(gè)網(wǎng)絡(luò)中VLAN的定義和分配保持一致。三種工作模式VTP有三種工作模式:服務(wù)器模式、客戶端模式和透明模式。服務(wù)器管理VLAN信息,客戶端從服務(wù)器獲取VLAN信息,透明模式不參與VLAN信息同步。域名和修訂號(hào)VTP域名可以標(biāo)識(shí)一個(gè)VLAN拓?fù)溆?。修訂?hào)用于區(qū)分VLAN配置的版本,服務(wù)器會(huì)將修訂號(hào)更高的配置同步給客戶端。廣播和單播傳輸VTP可以通過廣播或單播方式傳輸VLAN信息。廣播適用于初次配置,單播用于增量更新,能減少帶寬開銷。VTP的配置與管理1配置VTP服務(wù)器首先需要在交換機(jī)上配置VTP服務(wù)器模式,并設(shè)置VTP域名和修訂號(hào)。這將成為網(wǎng)絡(luò)中其他交換機(jī)的參考。2加入VTP客戶端其他交換機(jī)加入VTP域后,將自動(dòng)學(xué)習(xí)和同步主服務(wù)器上的VLAN配置信息。無需單獨(dú)在每臺(tái)交換機(jī)上手動(dòng)配置VLAN。3管理VTP配置可以在VTP服務(wù)器上查看和修改VLAN信息,變更后會(huì)自動(dòng)同步到所有客戶端交換機(jī)。還可以設(shè)置密碼保護(hù)VTP域。路由交換網(wǎng)絡(luò)設(shè)計(jì)良好的路由交換網(wǎng)絡(luò)設(shè)計(jì)是確保網(wǎng)絡(luò)穩(wěn)定、高效運(yùn)行的關(guān)鍵。從物理拓?fù)?、邏輯拓?fù)洹⒙酚煞桨?、交換機(jī)配置等多個(gè)層面進(jìn)行全面規(guī)劃,可以提高網(wǎng)絡(luò)的性能和可靠性。合理劃分網(wǎng)段、部署適當(dāng)?shù)慕粨Q機(jī)和路由器型號(hào)、優(yōu)化鏈路帶寬和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),可以最大化網(wǎng)絡(luò)資源的利用率,降低故障發(fā)生的風(fēng)險(xiǎn)。三層交換機(jī)簡(jiǎn)介多重功能三層交換機(jī)不僅提供二層交換功能，還支持路由功能，能夠?qū)崿F(xiàn)子網(wǎng)間的數(shù)據(jù)轉(zhuǎn)發(fā)。高性能三層交換機(jī)采用專用硬件電路設(shè)計(jì)，具有更快的轉(zhuǎn)發(fā)速度和更高的吞吐量。良好擴(kuò)展性三層交換機(jī)支持多種路由協(xié)議，可以靈活地適應(yīng)不同規(guī)模和拓?fù)涞木W(wǎng)絡(luò)環(huán)境。三層交換機(jī)的工作機(jī)制1路由轉(zhuǎn)發(fā)基于三層協(xié)議的網(wǎng)絡(luò)地址發(fā)送數(shù)據(jù)包2虛擬接口為每個(gè)VLAN建立一個(gè)虛擬三層接口3路由表維護(hù)動(dòng)態(tài)學(xué)習(xí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)并維護(hù)路由表三層交換機(jī)在二層交換功能的基礎(chǔ)上增加了三層路由功能。它可以根據(jù)報(bào)文的目的IP地址進(jìn)行路由轉(zhuǎn)發(fā),并為每個(gè)VLAN建立虛擬三層接口。三層交換機(jī)會(huì)動(dòng)態(tài)學(xué)習(xí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)并維護(hù)路由表,提高整個(gè)網(wǎng)絡(luò)的效率和靈活性。配置三層交換機(jī)1.啟用三層功能首先需要在交換機(jī)全局配置中啟用三層轉(zhuǎn)發(fā)功能,才能進(jìn)行后續(xù)的三層交換配置。2.配置VLAN接口為每個(gè)VLAN創(chuàng)建邏輯VLAN接口,并分配對(duì)應(yīng)的IP地址和子網(wǎng)掩碼。3.設(shè)置VLAN間路由啟用VLAN間的路由轉(zhuǎn)發(fā)功能,實(shí)現(xiàn)不同VLAN之間的通信。4.配置靜態(tài)路由或動(dòng)態(tài)路由協(xié)議根據(jù)實(shí)際需求,配置靜態(tài)路由或者動(dòng)態(tài)路由協(xié)議,如OSPF、EIGRP等。ACL訪問控制列表訪問控制機(jī)制ACL是一種網(wǎng)絡(luò)安全機(jī)制,通過定義訪問規(guī)則來控制數(shù)據(jù)包的進(jìn)出?？梢愿鶕?jù)不同標(biāo)準(zhǔn)如IP地址、端口號(hào)等對(duì)數(shù)據(jù)包進(jìn)行過濾。規(guī)則定義ACL規(guī)則由多個(gè)子規(guī)則組成,每條子規(guī)則包含匹配條件和動(dòng)作。子規(guī)則按順序逐一匹配,直到找到第一條匹配的規(guī)則。應(yīng)用場(chǎng)景ACL廣泛應(yīng)用于網(wǎng)絡(luò)防火墻、路由器等設(shè)備,可以有效阻擋非法訪問,提高網(wǎng)絡(luò)的安全性。同時(shí)也可用于流量控制和QoS等功能。ACL的分類與應(yīng)用1基于標(biāo)準(zhǔn)的ACL基于IP地址對(duì)數(shù)據(jù)包進(jìn)行過濾和訪問控制，通常用于控制進(jìn)出網(wǎng)絡(luò)的流量。2擴(kuò)展的ACL除了IP地址外，還可以基于協(xié)議類型、端口號(hào)等更復(fù)雜的條件進(jìn)行過濾。3命名ACL通過賦予ACL名稱來增強(qiáng)管理和配置的靈活性。4應(yīng)用場(chǎng)景ACL可用于防火墻、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的訪問控制和流量過濾。數(shù)據(jù)包過濾與安全訪問控制列表ACL可以根據(jù)IP地址、協(xié)議類型等條件過濾網(wǎng)絡(luò)流量,阻止未授權(quán)訪問和潛在的攻擊。端口安全配置交換機(jī)端口的MAC地址安全特性可以限制連接設(shè)備,防止MAC地址欺騙。DHCP保護(hù)DHCPSnooping可監(jiān)控DHCP服務(wù)器和客戶端之間的通信,防止非法DHCP服務(wù)器分配IP地址。ARP保護(hù)ARPGuard可檢測(cè)和防御ARP欺騙攻擊,確保網(wǎng)絡(luò)中ARP表的準(zhǔn)確性。DHCP協(xié)議簡(jiǎn)介1動(dòng)態(tài)分配IP地址DHCP允許自動(dòng)分配臨時(shí)IP地址給網(wǎng)絡(luò)設(shè)備,避免手動(dòng)配置的繁瑣。2簡(jiǎn)化網(wǎng)絡(luò)管理DHCP集中管理IP地址池,大大簡(jiǎn)化了網(wǎng)絡(luò)管理員的工作。3提高IP地址利用率DHCP通過動(dòng)態(tài)分配IP地址的方式,最大程度地提高了IP地址的利用率。4支持IP自動(dòng)配置DHCP為設(shè)備提供DNS服務(wù)器、網(wǎng)關(guān)等配置信息,實(shí)現(xiàn)了IP自動(dòng)配置。DHCP服務(wù)器配置1分配IP地址DHCP服務(wù)器從可用的IP地址池中自動(dòng)為客戶端分配IP