路由交換技術(shù)（微課版）課件 ch03-構(gòu)建企業(yè)以太網(wǎng);ch04-企業(yè)部門VLAN間隔離

項(xiàng)目3構(gòu)建企業(yè)以太網(wǎng)01學(xué)習(xí)目標(biāo)02項(xiàng)目概述03思維導(dǎo)圖04知識(shí)準(zhǔn)備05項(xiàng)目實(shí)施06項(xiàng)目小結(jié)07拓展知識(shí)08知識(shí)鞏固目錄知識(shí)目標(biāo)1．熟悉以太網(wǎng)協(xié)議的基本概念。2．熟悉以太網(wǎng)數(shù)據(jù)幀的格式。3．理解交換機(jī)基本原理。4．理解ARP基本原理。技能目標(biāo)1．掌握靜態(tài)MAC地址配置方法。2．具備構(gòu)建企業(yè)以太網(wǎng)的能力。3．具備企業(yè)以太網(wǎng)排錯(cuò)的能力。素養(yǎng)目標(biāo)1．通過鼓勵(lì)學(xué)生自主學(xué)習(xí)和探索新技術(shù)，培養(yǎng)他們的創(chuàng)新精神和求知欲。2．通過ARP的實(shí)驗(yàn)，培養(yǎng)學(xué)生網(wǎng)絡(luò)安全的意識(shí)。1學(xué)習(xí)目標(biāo)2項(xiàng)目概述由于藍(lán)箭公司研發(fā)部剛剛組建，需要組建企業(yè)網(wǎng)絡(luò)，滿足正常業(yè)務(wù)的開展。通過需求分析，考慮到公司員工和計(jì)算機(jī)數(shù)量都不多，公司決定搭建一個(gè)穩(wěn)定、高效且易于管理的小型網(wǎng)絡(luò)，一是網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)方面，力求簡單、好拓展、好維護(hù)；二是網(wǎng)絡(luò)性能方面，確保充分利用帶寬資源，以達(dá)到最佳的網(wǎng)絡(luò)性能。本項(xiàng)目將對(duì)以太網(wǎng)交換技術(shù)進(jìn)行深入的剖析，包括以太網(wǎng)協(xié)議的核心原理及數(shù)據(jù)封裝方式，同時(shí)探究交換機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)幀時(shí)的內(nèi)部工作機(jī)制。最后，通過實(shí)例演示，我們將展示如何利用華為交換機(jī)構(gòu)建一個(gè)小型的交換以太網(wǎng)絡(luò)，以便讀者能夠更好地理解并應(yīng)用所學(xué)知識(shí)。在后續(xù)的項(xiàng)目中還將討論以太網(wǎng)的防環(huán)協(xié)議以及如何進(jìn)行配置，旨在提高網(wǎng)絡(luò)的穩(wěn)定性和可靠性。3思維導(dǎo)圖本項(xiàng)目主要學(xué)習(xí)以太網(wǎng)協(xié)議，其所含知識(shí)點(diǎn)如圖3-1所示。圖3-1本項(xiàng)目知識(shí)點(diǎn)4知識(shí)準(zhǔn)備局域網(wǎng)（LocalAreaNetwork，LAN）是一個(gè)在特定地理區(qū)域內(nèi)，如公司、家庭或網(wǎng)吧等，將個(gè)人計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)打印機(jī)等多種電子設(shè)備相互連接的通信網(wǎng)絡(luò)。局域網(wǎng)的覆蓋范圍相對(duì)較小，體現(xiàn)了其“局部”的特性。自20世紀(jì)70年代局域網(wǎng)概念誕生以來，隨著技術(shù)的不斷進(jìn)步與革新，眾多實(shí)現(xiàn)局域網(wǎng)的技術(shù)紛紛涌現(xiàn)。在這些技術(shù)中，以太網(wǎng)憑借其卓越的性能表現(xiàn)逐漸占據(jù)了主導(dǎo)地位。如今，我們?cè)谌粘Ｉ钪兴姷降木钟蚓W(wǎng)，大多采用以太網(wǎng)技術(shù)實(shí)現(xiàn)，成為現(xiàn)代通信領(lǐng)域的重要基石。以太網(wǎng)交換機(jī)在以太網(wǎng)技術(shù)構(gòu)建的局域網(wǎng)中，占據(jù)著一個(gè)關(guān)鍵且基礎(chǔ)的角色。它作為一種網(wǎng)絡(luò)設(shè)備，能夠輕松地將網(wǎng)絡(luò)內(nèi)的個(gè)人計(jì)算機(jī)、服務(wù)器以及網(wǎng)絡(luò)打印機(jī)等各類電子設(shè)備連接在一起，實(shí)現(xiàn)彼此間的通信。本項(xiàng)目涉及到的以太網(wǎng)設(shè)備為華為公司開發(fā)的核心交換機(jī)S5700和接入交換機(jī)S3700。如果談到網(wǎng)絡(luò)設(shè)備廠商，我們就不得不提華為，從1989年華為第一款自主研發(fā)的交換機(jī)開始，中國的民族網(wǎng)絡(luò)設(shè)備品牌一直不忘初心，為實(shí)現(xiàn)網(wǎng)絡(luò)行業(yè)的中國夢砥礪前行。通過近三十年的發(fā)展，我們欣喜的發(fā)現(xiàn)在網(wǎng)絡(luò)最前沿的5G技術(shù)中，中國科技企業(yè)已經(jīng)站在了世界前列。同時(shí)，我們也看到以華為為代表的民族企業(yè)在面對(duì)逆境時(shí)展現(xiàn)出的堅(jiān)韌不拔的精神。雖然當(dāng)前面臨一些挑戰(zhàn)和困難，但只要我們堅(jiān)持走自主創(chuàng)新之路，加強(qiáng)國際合作與交流，就一定能夠在科技強(qiáng)國建設(shè)中取得更加優(yōu)異的成績。4知識(shí)準(zhǔn)備在網(wǎng)絡(luò)通信領(lǐng)域中，OSI模型和TCP/IP模型是兩個(gè)著名的參考模型。它們的出現(xiàn)，無疑為網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展注入了強(qiáng)大的動(dòng)力。從上一項(xiàng)目中了解到，TCP/IP包含TCP/IP標(biāo)準(zhǔn)模型與TCP/IP對(duì)等模型兩個(gè)版本，其區(qū)別在于TCP/IP對(duì)等模型將TCP/IP標(biāo)準(zhǔn)模型中的網(wǎng)絡(luò)接入層分為了物理層和數(shù)據(jù)鏈路層。本書后續(xù)將只要涉及到TCP/IP模型就是指TCP/IP對(duì)等模型，而以太網(wǎng)技術(shù)對(duì)應(yīng)的就是TCP/IP對(duì)等模型中的數(shù)據(jù)鏈路層。本項(xiàng)目是進(jìn)行藍(lán)箭公司研發(fā)部的以太網(wǎng)絡(luò)的組建，在實(shí)施項(xiàng)目之前需要了解以太網(wǎng)絡(luò)的基本知識(shí)，包括：以太網(wǎng)協(xié)議介紹、以太網(wǎng)幀介紹、以太網(wǎng)交換機(jī)、ARP等。4知識(shí)準(zhǔn)備以太網(wǎng)是目前局域網(wǎng)中最為普遍采用的通信協(xié)議標(biāo)準(zhǔn)，它明確規(guī)定了局域網(wǎng)中所使用的電纜類型以及信號(hào)處理方式。這一標(biāo)準(zhǔn)構(gòu)建于載波監(jiān)聽多路訪問/沖突檢測（CarrierSenseMultipleAccess/CollisionDetection，CSMA/CD），它賦予了以太網(wǎng)廣播型網(wǎng)絡(luò)的特性。通過這一機(jī)制，以太網(wǎng)能夠在局域網(wǎng)中實(shí)現(xiàn)高效且穩(wěn)定的數(shù)據(jù)傳輸。1．沖突域沖突域是一個(gè)特定區(qū)域，其中包含了所有連接到同一共享介質(zhì)的節(jié)點(diǎn)。在這個(gè)區(qū)域內(nèi)，所有節(jié)點(diǎn)共享并競爭相同的帶寬資源。當(dāng)一個(gè)節(jié)點(diǎn)發(fā)送報(bào)文時(shí)，無論是單播、組播還是廣播，其他所有節(jié)點(diǎn)都能夠接收到這些報(bào)文。因此，沖突域內(nèi)的通信是廣播性質(zhì)的，如圖3-2所示，通過一個(gè)集線器將3臺(tái)PC連接起來，當(dāng)PC1和PC2同時(shí)發(fā)送數(shù)據(jù)，通信信號(hào)可能會(huì)相互干擾或產(chǎn)生沖突，所以圖3-2是1個(gè)大的沖突域。4.1以太網(wǎng)協(xié)議圖3-2集線器的沖突域4知識(shí)準(zhǔn)備在共享網(wǎng)絡(luò)環(huán)境中，以太網(wǎng)采用CSMA/CD技術(shù)來有效管理數(shù)據(jù)傳輸，進(jìn)而減少?zèng)_突的發(fā)生。CSMA/CD的工作機(jī)制可描述如下。終端設(shè)備始終監(jiān)控共享線路的狀態(tài)。一旦發(fā)現(xiàn)線路空閑，即開始發(fā)送數(shù)據(jù)；若線路處于忙碌狀態(tài)，則設(shè)備會(huì)保持等待，直至線路空閑。然而，在特定情況下，若兩個(gè)或多個(gè)設(shè)備同時(shí)嘗試發(fā)送數(shù)據(jù)，便會(huì)發(fā)生數(shù)據(jù)沖突，導(dǎo)致線路信號(hào)變得不穩(wěn)定。一旦終端設(shè)備檢測到這種不穩(wěn)定狀態(tài)，會(huì)立即停止數(shù)據(jù)發(fā)送，并發(fā)送一串干擾脈沖。這串脈沖的作用在于通知其他設(shè)備，特別是那些與自己同時(shí)發(fā)送數(shù)據(jù)的設(shè)備，線路已發(fā)生沖突。隨后，設(shè)備會(huì)等待一段隨機(jī)時(shí)長，再次嘗試發(fā)送數(shù)據(jù)。因此，CSMA/CD技術(shù)的工作邏輯可概括為：先聽后發(fā)，邊發(fā)邊聽，沖突停發(fā)，隨機(jī)延遲后重發(fā)。4.1以太網(wǎng)協(xié)議4知識(shí)準(zhǔn)備如果把中間的集線器換成是交換機(jī)，如圖3-3所示，交換機(jī)通過其不同接口獨(dú)立地發(fā)送和接收數(shù)據(jù)，確保每個(gè)接口都屬于獨(dú)立的沖突域。這一機(jī)制有效地隔離了網(wǎng)絡(luò)中的物理層沖突域，從而消除了通過交換機(jī)互連的主機(jī)或網(wǎng)絡(luò)間因流量大小而引發(fā)的數(shù)據(jù)發(fā)送沖突擔(dān)憂。交換機(jī)不僅提升了網(wǎng)絡(luò)性能，也簡化了網(wǎng)絡(luò)管理的復(fù)雜性。圖3-3交換機(jī)的沖突域4.1以太網(wǎng)協(xié)議4知識(shí)準(zhǔn)備簡而言之，集線器所構(gòu)成的以太網(wǎng)，其本質(zhì)是共享介質(zhì)的網(wǎng)絡(luò)。因此，為了有效避免數(shù)據(jù)沖突，它依賴于CSMA/CD技術(shù)。然而，一旦我們將集線器替換為交換機(jī)，所有的終端設(shè)備便不再處于同一沖突域之中。這種變化是由交換機(jī)獨(dú)特的運(yùn)作原理所決定的。后續(xù)，我們將會(huì)了解到交換機(jī)的工作機(jī)制。2．廣播域廣播報(bào)文所能到達(dá)的整個(gè)訪問范圍稱為二層廣播域，簡稱廣播域，同一廣播域內(nèi)的主機(jī)都能收到廣播報(bào)文。全1的MAC地址FFFF-FFFF-FFFF為廣播地址，所有節(jié)點(diǎn)都會(huì)處理目的地址為廣播地址的數(shù)據(jù)幀，該數(shù)據(jù)幀所能到達(dá)的整個(gè)訪問范圍稱為二層廣播域，簡稱廣播域。在傳統(tǒng)的以太網(wǎng)中，多個(gè)節(jié)點(diǎn)共同使用集線器連接多個(gè)終端的網(wǎng)絡(luò)，如圖3-4所示，當(dāng)某臺(tái)設(shè)備發(fā)送廣播報(bào)文時(shí)，所有與之相連的設(shè)備均能夠接收到這個(gè)報(bào)文，同時(shí)也帶來了潛在的沖突問題。圖3-4集線器的廣播域4.1以太網(wǎng)協(xié)議4知識(shí)準(zhǔn)備如圖3-5所示，交換機(jī)在處理廣播報(bào)文時(shí)，會(huì)將其轉(zhuǎn)發(fā)至所有接口，這意味著連接到交換機(jī)的所有節(jié)點(diǎn)共同構(gòu)成1個(gè)廣播域。這一特性使得交換機(jī)在以太網(wǎng)中扮演著重要角色，但同時(shí)也需要注意廣播報(bào)文可能帶來的網(wǎng)絡(luò)擁堵問題。4.1以太網(wǎng)協(xié)議圖3-5交換機(jī)的廣播域4知識(shí)準(zhǔn)備以太網(wǎng)技術(shù)主要依賴于以太網(wǎng)幀進(jìn)行數(shù)據(jù)傳輸，而令牌環(huán)網(wǎng)絡(luò)中使用令牌環(huán)幀，幀中繼（FrameRelay，F(xiàn)R）網(wǎng)絡(luò)中使用FR幀。本書在討論幀的概念時(shí)，若未做特別說明，一般默認(rèn)指的是以太網(wǎng)幀，這是因?yàn)樵诒姸嗑W(wǎng)絡(luò)技術(shù)中，以太網(wǎng)以其廣泛的應(yīng)用和成熟的技術(shù)體系成為了主流。本節(jié)將介紹MAC地址的結(jié)構(gòu)和分類和EthernetII格式的以太幀結(jié)構(gòu)的相關(guān)內(nèi)容。4.2以太網(wǎng)幀4知識(shí)準(zhǔn)備1．MAC地址MAC地址（MediumAccessControl，MAC）即介質(zhì)訪問控制地址，在IEEE802標(biāo)準(zhǔn)中被嚴(yán)格定義與規(guī)范。所有遵循IEEE802標(biāo)準(zhǔn)的網(wǎng)絡(luò)接口卡（如以太網(wǎng)卡）都必須配備一個(gè)獨(dú)一無二的MAC地址。就像每個(gè)人擁有一個(gè)獨(dú)特的身份證號(hào)碼來標(biāo)明身份一樣，每塊網(wǎng)卡也有一個(gè)專屬的標(biāo)識(shí)號(hào)碼，那就是MAC地址，它的長度為48位（即6個(gè)字節(jié)）。不同網(wǎng)卡的MAC地址也各不相同，這意味著每塊網(wǎng)卡的MAC地址都具有全球范圍內(nèi)的唯一性。制造商在網(wǎng)卡的生產(chǎn)制造之前，需先行向IEEE申請(qǐng)注冊(cè)，以獲取一個(gè)24位（即3個(gè)字節(jié)）的廠商代碼，業(yè)內(nèi)通常將其稱作組織唯一標(biāo)識(shí)符（Organizationally-UniqueIdentifier，OUI）。在網(wǎng)卡的生產(chǎn)過程中，制造商會(huì)在每塊網(wǎng)卡的只讀存儲(chǔ)器（ReadOnlyMemory，ROM）中永久性地寫入一個(gè)48位的BIA地址（Burned-InAddress，BIA）。這個(gè)BIA地址的前3個(gè)字節(jié)即為制造商的OUI，而后3個(gè)字節(jié)則由制造商自行決定，但須確保不同網(wǎng)卡間的后3個(gè)字節(jié)各不相同。一旦BIA地址被寫入網(wǎng)卡，便無法更改，僅支持讀取操作。圖3-6直觀地展示了BIA地址的構(gòu)成格式。4.2以太網(wǎng)幀圖3-6BIA地址格式4知識(shí)準(zhǔn)備BIA地址是MAC地址的一種特定形式，它屬于單播MAC地址。MAC地址主要分為三種類別：單播、組播和廣播。這三種MAC地址各自具有獨(dú)特的定義，具體如下。單播MAC地址的特征在于其第一個(gè)字節(jié)的最低位為0，這樣的地址用于一對(duì)一的通信。組播MAC地址則是通過其第一個(gè)字節(jié)的最低位為1來標(biāo)識(shí)的，它用于一對(duì)多的通信模式。廣播MAC地址的特點(diǎn)是它的每一個(gè)比特都是1，這種地址用于向網(wǎng)絡(luò)中的所有設(shè)備發(fā)送信息，是組播MAC地址的一個(gè)特殊形式。4.2以太網(wǎng)幀4知識(shí)準(zhǔn)備觀察圖3-7，我們可以發(fā)現(xiàn)，并非所有MAC地址的前3個(gè)字節(jié)都是組織唯一標(biāo)識(shí)符OUI。實(shí)際上，只有單播MAC地址的前3個(gè)字節(jié)才是OUI。而組播或廣播MAC地址的前3個(gè)字節(jié)則不是OUI。值得注意的是，OUI的第1個(gè)字節(jié)的最低位必須是0。MAC地址由48位二進(jìn)制數(shù)組成，為了便于理解和表達(dá)，我們通常采用十六進(jìn)制數(shù)的形式來表示。具體而言，可以將MAC地址分為六組，每組兩位十六進(jìn)制數(shù)，即1個(gè)字節(jié)，中間使用中劃線進(jìn)行連接。另一種表示方法是將MAC地址分為三組，每組四位十六進(jìn)制數(shù)，即2個(gè)字節(jié)，同樣使用中劃線進(jìn)行分隔。圖3-8展示了這兩種表示方法的示例，有助于我們更直觀地理解MAC地址的結(jié)構(gòu)和表示方式。4.2以太網(wǎng)幀圖3-7單播MAC地址、組播MAC地址和廣播MAC地址圖3-8MAC地址格式4知識(shí)準(zhǔn)備2．以太網(wǎng)數(shù)據(jù)幀格式以太網(wǎng)技術(shù)中使用的幀被稱為以太網(wǎng)幀，簡稱以太幀。關(guān)于以太幀的格式，存在兩個(gè)主要標(biāo)準(zhǔn)。其中一個(gè)是IEEE802.3標(biāo)準(zhǔn)定義的格式，通常被稱為IEEE802.3格式。另一個(gè)則是由DEC、Intel和Xerox三家公司聯(lián)合定義的格式，這一格式被廣泛稱為EthernetII格式，也常被稱為DIX格式。圖3-9展示了EthernetII格式與IEEE802.3格式在細(xì)節(jié)上的一些差異，但它們都適用于以太網(wǎng)環(huán)境。目前市場上的網(wǎng)絡(luò)設(shè)備通常都能夠兼容這兩種格式的幀。然而，在實(shí)際應(yīng)用中，EthernetII格式幀更為普遍，被更廣泛地采用。通常，只有在以太幀需要承載某些特定的協(xié)議信息時(shí)，才會(huì)選擇使用IEEE802.3格式幀。4.2以太網(wǎng)幀圖3-9MAC地址格式4知識(shí)準(zhǔn)備以下是對(duì)EthernetII格式幀的各個(gè)字段的解釋。（1）目標(biāo)MAC地址：這是一個(gè)由6個(gè)字節(jié)構(gòu)成的字段，它專門用于標(biāo)識(shí)該網(wǎng)絡(luò)幀的預(yù)定接收者，即目的地。此地址可以是針對(duì)單一接收者的單播MAC地址，也可以同時(shí)發(fā)送給多個(gè)接收者的組播MAC地址，或者發(fā)送給網(wǎng)絡(luò)內(nèi)所有設(shè)備的廣播MAC地址。（2）源MAC地址：同樣是一個(gè)包含6個(gè)字節(jié)的字段，用于標(biāo)識(shí)該網(wǎng)絡(luò)幀的發(fā)送者，即出發(fā)地。與目的MAC地址不同，源MAC地址只能是單播MAC地址，即它只能指向單一的發(fā)送者。（3）類型：這個(gè)字段包含2個(gè)字節(jié)，其主要功能是標(biāo)識(shí)緊隨其后的數(shù)據(jù)的具體類型。例如，當(dāng)字段值為0x0800時(shí)，意味著數(shù)據(jù)是一個(gè)IPv4數(shù)據(jù)包；值為0x86dd時(shí)，表示數(shù)據(jù)是IPv6數(shù)據(jù)包；值為0x0806時(shí)，則表明數(shù)據(jù)是一個(gè)ARP數(shù)據(jù)包；而值為0x8848時(shí)，則代表數(shù)據(jù)是一個(gè)MPLS報(bào)文。這一字段確保了數(shù)據(jù)的正確解析和處理。（4）數(shù)據(jù)：這個(gè)字段的長度并不固定，它的最小長度是46字節(jié)，最大長度可以達(dá)到1500字節(jié)。這是數(shù)據(jù)幀的主體部分，承載著實(shí)際要傳輸?shù)男畔?。?shù)據(jù)的具體類型由前面的類型字段來指示，從而確保接收端能夠正確識(shí)別和處理這些數(shù)據(jù)。（5）FCS：幀校驗(yàn)序列（FrameCheckSequenc），這一序列用于確保數(shù)據(jù)幀在傳輸過程中的完整性。通過FCS，接收方能夠準(zhǔn)確地判斷數(shù)據(jù)幀是否在傳輸過程中出現(xiàn)了任何差錯(cuò)。這一機(jī)制對(duì)于保障網(wǎng)絡(luò)通信的可靠性和穩(wěn)定性至關(guān)重要。4.2以太網(wǎng)幀4知識(shí)準(zhǔn)備IEEE802.3格式幀較EthernetII格式幀有點(diǎn)不同，類型字段改成了長度字段；增加了LLC字段和SNAP字段，以下對(duì)這三個(gè)字段進(jìn)行解釋。（1）長度字段：確定數(shù)據(jù)幀中數(shù)據(jù)載荷部分的長度。鑒于EthernetII標(biāo)準(zhǔn)在IEEE802.3標(biāo)準(zhǔn)出臺(tái)之前已經(jīng)廣泛應(yīng)用，為了確保網(wǎng)絡(luò)設(shè)備能夠準(zhǔn)確識(shí)別數(shù)據(jù)幀是基于EthernetII標(biāo)準(zhǔn)還是IEEE802.3標(biāo)準(zhǔn)封裝的，IEEE802.3x-1997標(biāo)準(zhǔn)進(jìn)行了明確規(guī)定：當(dāng)該字段的值大于或等于0x0600時(shí)，它表示的是一個(gè)類型字段，表明數(shù)據(jù)幀采用的是EthernetII標(biāo)準(zhǔn)封裝；而如果字段的值小于0x05DC，則它作為長度字段，表明數(shù)據(jù)幀是按照IEEE802.3標(biāo)準(zhǔn)進(jìn)行封裝的。目前，市面上的網(wǎng)絡(luò)設(shè)備普遍支持這兩種不同標(biāo)準(zhǔn)的數(shù)據(jù)幀，展現(xiàn)了高度的兼容性和互操作性。（2）LLC字段：邏輯鏈路控制（LogicalLinkControl）由三個(gè)字段構(gòu)成，分別是目的服務(wù)訪問點(diǎn)（DestinationServiceAccessPoint，DSAP）字段、源服務(wù)訪問點(diǎn)（SourceServiceAccessPoint，SSAP）字段，以及控制（Control）字段。這些字段各自發(fā)揮著特定的作用。4.2以太網(wǎng)幀4知識(shí)準(zhǔn)備DSAP/SSAP字段：兩者均占據(jù)1字節(jié)的空間。這些服務(wù)訪問點(diǎn)字段的意思與EthernetII標(biāo)準(zhǔn)中定義的類型字段或IP頭部中的協(xié)議字段類似，但其表達(dá)的含義并不僅限于上層的協(xié)議。舉例來說，若服務(wù)訪問點(diǎn)的值為06，則表明這是一個(gè)IP數(shù)據(jù)包；而若取值為AA，則意味著該數(shù)據(jù)幀使用了緊隨其后的SNAP字段。Control字段：長度為1字節(jié)，其常見的取值為0x03，發(fā)揮著特定的控制作用。（3）SNAP字段：子網(wǎng)絡(luò)訪問協(xié)議（Sub-networkAccessProtocol，SNAP）由3字節(jié)的機(jī)構(gòu)代碼和2字節(jié)的類型組成。4.2以太網(wǎng)幀4知識(shí)準(zhǔn)備交換機(jī)根據(jù)轉(zhuǎn)發(fā)數(shù)據(jù)的接口類型不同，可以分類為不同種類的局域網(wǎng)交換機(jī)，如果交換機(jī)使用以太網(wǎng)口進(jìn)行數(shù)據(jù)傳輸，則稱之為以太網(wǎng)交換機(jī)，如果其接口都是令牌環(huán)接口，則被稱為令牌環(huán)交換機(jī)。這兩種以及其他類型的交換機(jī)都是局域網(wǎng)交換機(jī)這個(gè)大家族中的成員。雖然理論上局域網(wǎng)交換機(jī)的種類很多，但在實(shí)際應(yīng)用中，除了以太網(wǎng)交換機(jī)外，其他類型的交換機(jī)大多已被市場淘汰。因此，在目前的語境下，以太網(wǎng)交換機(jī)與局域網(wǎng)交換機(jī)幾乎是一個(gè)概念。本書后續(xù)提及的交換機(jī)，除非特別注明，均指的是以太網(wǎng)交換機(jī)。簡而言之，以太網(wǎng)交換機(jī)作為局域網(wǎng)交換機(jī)的一種，因其實(shí)用性和普及度，在現(xiàn)實(shí)中幾乎等同于局域網(wǎng)交換機(jī)的概念。4.3以太網(wǎng)交換機(jī)4知識(shí)準(zhǔn)備以太網(wǎng)交換機(jī)（簡稱交換機(jī)）是一種基于介質(zhì)訪問控制（MediaAccessControl，MAC）地址識(shí)別完成以太網(wǎng)數(shù)據(jù)幀轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備。它工作于OSI網(wǎng)絡(luò)參考模型的第二層，即數(shù)據(jù)鏈路層，主要負(fù)責(zé)實(shí)現(xiàn)數(shù)據(jù)傳輸和交換。交換機(jī)為網(wǎng)絡(luò)設(shè)備提供網(wǎng)絡(luò)接口，實(shí)現(xiàn)設(shè)備間的互聯(lián)，通過交換機(jī)，計(jì)算機(jī)、打印機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備可以相互連接，形成一個(gè)局域網(wǎng)，實(shí)現(xiàn)高速的數(shù)據(jù)傳輸和通信服務(wù)。交換機(jī)可以擴(kuò)充網(wǎng)絡(luò)接口，進(jìn)行堆疊以滿足網(wǎng)絡(luò)需求，其具有多個(gè)接口，可以連接多個(gè)設(shè)備，并通過堆疊或級(jí)聯(lián)方式擴(kuò)展網(wǎng)絡(luò)規(guī)模，支持更多的網(wǎng)絡(luò)設(shè)備連接。交換機(jī)還可以緩存MAC地址與相應(yīng)的接口映射，實(shí)現(xiàn)數(shù)據(jù)幀的轉(zhuǎn)發(fā)，在接口上接受計(jì)算機(jī)發(fā)送過來的數(shù)據(jù)幀，根據(jù)幀頭的目的MAC地址查找MAC地址表，然后將該數(shù)據(jù)幀從對(duì)應(yīng)接口上轉(zhuǎn)發(fā)出去，從而實(shí)現(xiàn)數(shù)據(jù)交換。4.3以太網(wǎng)交換機(jī)4知識(shí)準(zhǔn)備1．MAC地址表MAC地址表類似于交換機(jī)內(nèi)部的一張“導(dǎo)航圖”。在MAC地址表中，每個(gè)表項(xiàng)都詳細(xì)記錄了MAC地址及其對(duì)應(yīng)的交換機(jī)接口等信息。對(duì)于圖3-10所示的網(wǎng)絡(luò)，交換機(jī)S1起初沒有存儲(chǔ)任何表項(xiàng)在MAC地址表中。一旦S1某個(gè)接口接收到數(shù)據(jù)幀，S1便會(huì)自動(dòng)記錄數(shù)據(jù)幀的源MAC地址，并將其與接收數(shù)據(jù)的接口關(guān)聯(lián)起來，形成一個(gè)新的表項(xiàng)。查看這張MAC地址表，可以清晰地知道哪臺(tái)設(shè)備連接在交換機(jī)的哪個(gè)接口。

4.3以太網(wǎng)交換機(jī)圖3-10MAC地址表4知識(shí)準(zhǔn)備當(dāng)PC1和PC2開始在網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)時(shí)，S1就能夠捕獲它們的MAC地址，并在MAC地址表中建立相應(yīng)的表項(xiàng)。交換機(jī)在接收數(shù)據(jù)幀的過程中，會(huì)自動(dòng)解析數(shù)據(jù)幀，從而學(xué)習(xí)到MAC地址并創(chuàng)建表項(xiàng)。這些表項(xiàng)在MAC地址表中被標(biāo)記為“Dynamic”，意味著它們是動(dòng)態(tài)學(xué)習(xí)到的。動(dòng)態(tài)表項(xiàng)會(huì)有一個(gè)預(yù)設(shè)的老化時(shí)間，通常是300秒。例如，當(dāng)PC1發(fā)送的數(shù)據(jù)幀首次到達(dá)S1的GE0/0/1接口時(shí)，S1會(huì)記錄下PC1的MAC地址，并將其與GE0/0/1接口關(guān)聯(lián)起來。同時(shí)，S1會(huì)為這個(gè)表項(xiàng)啟動(dòng)一個(gè)計(jì)時(shí)器，從300秒開始倒計(jì)時(shí)。如果在老化時(shí)間內(nèi)，PC1又有新的數(shù)據(jù)幀到達(dá)同一接口，那么這個(gè)表項(xiàng)的計(jì)時(shí)器會(huì)被重置并重新開始倒計(jì)時(shí)。然而，如果S1在老化時(shí)間內(nèi)沒有收到PC1的任何新數(shù)據(jù)，那么計(jì)時(shí)器就會(huì)歸零，這個(gè)表項(xiàng)就會(huì)被從MAC地址表中刪除。這種機(jī)制確保了交換機(jī)的MAC地址表不會(huì)被無用或過時(shí)的信息所占據(jù)，因?yàn)榇鎯?chǔ)空間是有限的。除了動(dòng)態(tài)表項(xiàng)外，我們還可以在交換機(jī)中手動(dòng)添加“靜態(tài)”表項(xiàng)，這些表項(xiàng)不會(huì)因?yàn)槔匣粍h除。MAC地址表的核心作用是作為交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)幀的依據(jù)，確保數(shù)據(jù)能夠準(zhǔn)確、高效地到達(dá)目標(biāo)設(shè)備。

4.3以太網(wǎng)交換機(jī)4知識(shí)準(zhǔn)備2．三種數(shù)據(jù)幀處理方式交換機(jī)作為網(wǎng)絡(luò)中的重要設(shè)備，其主要功能在于對(duì)通過傳輸介質(zhì)進(jìn)入其接口的幀進(jìn)行轉(zhuǎn)發(fā)。其轉(zhuǎn)發(fā)行為主要分為三種方式：泛洪、轉(zhuǎn)發(fā)和丟棄。圖3-11所示為三種數(shù)據(jù)幀處理方式。（1）泛洪：是指交換機(jī)接收到從某一特定接口進(jìn)入的幀后，會(huì)將這個(gè)幀通過除該進(jìn)入接口外的所有其他接口轉(zhuǎn)發(fā)出去。這是一種典型的點(diǎn)到多點(diǎn)的轉(zhuǎn)發(fā)機(jī)制，確保幀能夠廣播到網(wǎng)絡(luò)的各個(gè)角落。（2）轉(zhuǎn)發(fā)：則是一種更為精準(zhǔn)的轉(zhuǎn)發(fā)方式。當(dāng)交換機(jī)從某一接口接收到幀時(shí)，它會(huì)根據(jù)幀中的信息，選擇一個(gè)合適的接口進(jìn)行轉(zhuǎn)發(fā)，而這個(gè)接口必須是除進(jìn)入接口以外的其他接口。這種點(diǎn)到點(diǎn)的轉(zhuǎn)發(fā)行為，使得幀能夠準(zhǔn)確地到達(dá)預(yù)定的目的地。（3）丟棄：操作則相對(duì)簡單直接。當(dāng)交換機(jī)從某一接口接收到幀時(shí)，如果根據(jù)一定的規(guī)則判斷該幀不需要轉(zhuǎn)發(fā)，或者轉(zhuǎn)發(fā)可能導(dǎo)致網(wǎng)絡(luò)擁塞等問題，交換機(jī)就會(huì)選擇直接丟棄這個(gè)幀。這種操作實(shí)際上是一種不轉(zhuǎn)發(fā)行為，有助于維護(hù)網(wǎng)絡(luò)的穩(wěn)定性和效率。

4.3以太網(wǎng)交換機(jī)圖3-11三種數(shù)據(jù)幀處理方式4知識(shí)準(zhǔn)備3．交換機(jī)基本原理交換機(jī)與我們?nèi)粘９ぷ?、生活息息相關(guān)，基本上每一個(gè)家庭都有一臺(tái)交換機(jī)，只不過名稱不同，比如我們熟悉的無線路由器就是一臺(tái)交換機(jī)，但不局限于交換功能，還包含了路由與無線功能。交換機(jī)工作在OSI參考模型的第2層，即數(shù)據(jù)鏈路層。相比于“前任”集線器，交換機(jī)能將網(wǎng)絡(luò)分成小的沖突域，為每個(gè)終端提供更高的帶寬。交換機(jī)在工作中需維護(hù)一張mac地址表，該表有兩個(gè)字段組成，即mac地址和接口號(hào)。通過mac地址表，交換機(jī)能夠直接對(duì)目的節(jié)點(diǎn)發(fā)送數(shù)據(jù)，而不是像集線器一樣以廣播方式發(fā)送數(shù)據(jù)。我們通過一個(gè)小的網(wǎng)絡(luò)實(shí)例來解釋交換機(jī)的是如何轉(zhuǎn)發(fā)數(shù)據(jù)的。如圖3-12所示，主機(jī)PC1要向主機(jī)PC3發(fā)送數(shù)據(jù)幀，幀中會(huì)寫上目的地址和源地址，分別為PC3的地址和PC1的地址。4.3以太網(wǎng)交換機(jī)圖3-12PC1向PC3發(fā)送數(shù)據(jù)幀4知識(shí)準(zhǔn)備當(dāng)交換機(jī)S1從接口1接收到該幀時(shí)會(huì)完成兩個(gè)步驟。第一步，如圖3-13所示，將幀中的源地址，也就是PC1的地址和接收接口1寫到地址表中的“MAC地址”和“接口號(hào)”字段中，這其實(shí)是為將來做準(zhǔn)備，假如將來交換機(jī)接收到一個(gè)發(fā)往PC1的幀，就可以通過這條記錄將幀從接口1直接發(fā)送給PC1。

4.3以太網(wǎng)交換機(jī)圖3-13S1學(xué)習(xí)收到幀的源MAC地址4知識(shí)準(zhǔn)備第二步，如圖3-14所示，交換機(jī)S1將幀直接從接收接口以外的其他接口廣播出去。這時(shí)數(shù)據(jù)幀會(huì)復(fù)制兩份，分別從接口2和接口3發(fā)送出去，當(dāng)PC2從接口2收到幀時(shí)會(huì)拿自己網(wǎng)卡的地址與幀的目的地址進(jìn)行比對(duì)，由于目的地址是PC3的地址，所以PC2認(rèn)為不是發(fā)給自己的幀，丟棄幀。另外一個(gè)幀從接口3進(jìn)入到交換機(jī)S2。當(dāng)數(shù)據(jù)幀進(jìn)入S2時(shí)，也會(huì)經(jīng)歷交換機(jī)S1的兩個(gè)步驟，如圖3-15所示，第一步，將幀中的源地址和接收接口3寫到地址表中；第二步，交換機(jī)S2將幀從接收接口以外的其他接口廣播出去，這時(shí)幀會(huì)復(fù)制兩份，分別從接口1和接口2發(fā)送出去。其中一個(gè)幀從接口2發(fā)送給PC4，PC4發(fā)現(xiàn)幀中的目的地址與自己的地址不一致，丟棄幀。另外一個(gè)幀從接口1發(fā)送給PC3，因?yàn)槟康牡刂肪褪亲约旱牡刂?，于是PC3接收該幀。4.3以太網(wǎng)交換機(jī)圖3-14S1廣播該數(shù)據(jù)幀圖3-15S2學(xué)習(xí)收到幀的源MAC地址并廣播該幀4知識(shí)準(zhǔn)備我們?cè)賮砜纯碢C4發(fā)送數(shù)據(jù)幀給PC1的情況。幀中會(huì)寫上目的地址和源地址，分別為PC1的地址和PC4的地址。交換機(jī)S2從接口2接收該幀，如圖3-16所示，第一步，將幀中的源地址，也就是PC4的地址和接收接口2寫入地址表中；第二步，從交換機(jī)S2的地址表中查到含有PC1地址的記錄，于是按照對(duì)應(yīng)的接口號(hào)將幀從接口3單播出去。交換機(jī)S1從接口3接收到幀，如圖3-17所示，第一步，將幀的源地址和接收接口號(hào)寫入地址表中；第二步，從交換機(jī)S1的地址表中查到含有PC1地址的記錄，于是按照對(duì)應(yīng)的接口號(hào)將幀從接口1發(fā)送出去，PC1成功收到幀。4.3以太網(wǎng)交換機(jī)圖3-16S2學(xué)習(xí)收到幀的源MAC地址并單播該幀圖3-17S1學(xué)習(xí)收到幀的源MAC地址并單播該幀4知識(shí)準(zhǔn)備通過以上方法，當(dāng)所有主機(jī)都參與了一次數(shù)據(jù)的收發(fā)動(dòng)作后，MAC地址表收斂，也就是產(chǎn)生4個(gè)記錄，如圖3-18所示，以后的數(shù)據(jù)轉(zhuǎn)發(fā)都會(huì)通過單播的方式進(jìn)行，極大地減輕了交換機(jī)的負(fù)擔(dān)。4.3以太網(wǎng)交換機(jī)圖3-18S1和S2的MAC地址表各有4條記錄4知識(shí)準(zhǔn)備4.4ARP地址解析協(xié)議（AddressResolutionProtocol，ARP）是一個(gè)非常重要的地址解析協(xié)議，盡管它主要?dú)w類于網(wǎng)絡(luò)層協(xié)議，但在其工作過程中，ARP也涉及到了數(shù)據(jù)鏈路層的一些關(guān)鍵信息。ARP的核心功能是通過已知的IP地址來查詢并獲取相應(yīng)的MAC地址。在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，ARP起到了橋梁的作用，連接了網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層，確保數(shù)據(jù)包能夠準(zhǔn)確、高效地到達(dá)目標(biāo)設(shè)備。1．ARP的基本原理當(dāng)主機(jī)需要向一個(gè)IP地址發(fā)送數(shù)據(jù)時(shí)，該主機(jī)應(yīng)事先得到目標(biāo)主機(jī)的MAC地址。然而，實(shí)際情況并非如此，源設(shè)備最初并不了解目標(biāo)設(shè)備的MAC地址。它需要通過特定的機(jī)制，如DNS，來首先獲取目標(biāo)設(shè)備的IP地址，一旦獲得了IP地址，源設(shè)備會(huì)利用ARP進(jìn)行解析，進(jìn)而獲取目標(biāo)設(shè)備的MAC地址。這里有一個(gè)前提，即每個(gè)設(shè)備都清楚地知道自己的MAC地址和IP地址。4知識(shí)準(zhǔn)備4.4ARP當(dāng)源設(shè)備需要確定某個(gè)IP地址對(duì)應(yīng)的MAC地址時(shí)，它會(huì)發(fā)出一個(gè)廣播幀，如圖3-19所示，這個(gè)廣播幀中攜帶的數(shù)據(jù)是一個(gè)ARP請(qǐng)求報(bào)文。一旦目的設(shè)備接收到這個(gè)ARP請(qǐng)求報(bào)文，如圖3-20所示，它會(huì)以單播幀的形式向源設(shè)備發(fā)送一個(gè)響應(yīng)。這個(gè)響應(yīng)的單播幀中包含的數(shù)據(jù)是一個(gè)ARP應(yīng)答報(bào)文，并且這個(gè)應(yīng)答報(bào)文中會(huì)明確給出目的設(shè)備的MAC地址。通過這種方式，源設(shè)備能夠獲取到該IP地址對(duì)應(yīng)的MAC地址，從而完成地址解析過程。圖3-19PC1以廣播的形式發(fā)出ARP請(qǐng)求報(bào)文圖3-20PC3以單播的形式發(fā)出ARP應(yīng)答報(bào)文4知識(shí)準(zhǔn)備4.4ARP（1）PC1發(fā)送了一個(gè)廣播幀，源MAC地址為A，類型字段指明其是ARP報(bào)文，確切地說是ARP請(qǐng)求報(bào)文。該請(qǐng)求報(bào)文詢問：我的IP地址是20.0.0.1，MAC地址是A，請(qǐng)告知IP地址20.0.0.3對(duì)應(yīng)的MAC地址是什么？（2）由于PC1發(fā)送的是廣播幀，PC2和PC3都能接收到它。它們會(huì)檢查幀的類型字段（值為0x0806），然后將其中的ARP請(qǐng)求報(bào)文傳遞給網(wǎng)絡(luò)層的ARP處理模塊。PC2的ARP處理模塊發(fā)現(xiàn)請(qǐng)求的IP地址20.0.0.3并非自己的，因此不會(huì)回應(yīng)。但它會(huì)將IP地址20.0.0.1與MAC地址A的對(duì)應(yīng)關(guān)系存入ARP緩存表，隨后丟棄這個(gè)ARP請(qǐng)求報(bào)文。PC3的ARP處理模塊識(shí)別到請(qǐng)求的IP地址20.0.0.3正是自己的，因此PC3會(huì)向PC1以單播的形式發(fā)出ARP應(yīng)答報(bào)文，其中目的MAC地址是A，源MAC地址是C，類型字段仍是0x0806。這個(gè)ARP應(yīng)答報(bào)文包含了PC3的IP地址20.0.0.3和MAC地址C。此外，PC3也會(huì)將收到的ARP請(qǐng)求報(bào)文中的20.0.0.1與MAC地址A的對(duì)應(yīng)關(guān)系存進(jìn)自己的ARP緩存表。4知識(shí)準(zhǔn)備4.4ARP（3）當(dāng)PC1收到PC3發(fā)送的單播幀后，它會(huì)將ARP應(yīng)答報(bào)文遞交給網(wǎng)絡(luò)層的ARP處理模塊。PC1的ARP處理模塊會(huì)從應(yīng)答報(bào)文中獲取PC3的MAC地址C，并將20.0.0.3與C的對(duì)應(yīng)關(guān)系存入自己的ARP緩存表。ARP緩存表用于暫時(shí)存儲(chǔ)IP地址與MAC地址的對(duì)應(yīng)關(guān)系。當(dāng)設(shè)備需要向另一臺(tái)設(shè)備發(fā)送單播幀時(shí)，它會(huì)首先檢查自己的ARP緩存表，看是否已經(jīng)存有目標(biāo)設(shè)備的MAC地址。如果找到了，設(shè)備就會(huì)直接使用該地址；如果未找到，設(shè)備則會(huì)發(fā)起ARP請(qǐng)求來獲取所需的MAC地址。ARP緩存表具有動(dòng)態(tài)更新的特性，每一個(gè)條目，即IP地址與MAC地址的對(duì)應(yīng)關(guān)系，都有其生存期，默認(rèn)生存期通常為180秒，這個(gè)值可以根據(jù)需要進(jìn)行配置調(diào)整，一旦超過這個(gè)生存期，該條目就會(huì)被自動(dòng)從ARP緩存表中刪除。同時(shí)，每當(dāng)一個(gè)條目被使用時(shí)，其生存期都會(huì)被重新設(shè)置為180秒，以此確保經(jīng)常使用的條目能夠在緩存中保持更長時(shí)間。通過這種方式，ARP緩存表能夠高效地管理IP地址與MAC地址的對(duì)應(yīng)關(guān)系，從而優(yōu)化網(wǎng)絡(luò)通信過程。4知識(shí)準(zhǔn)備4.4ARP2．ARP的報(bào)文格式ARP的封裝格式如圖3-21所示。圖3-21PC3以單播的形式發(fā)出ARP應(yīng)答報(bào)文4知識(shí)準(zhǔn)備4.4ARP（1）硬件類型：這個(gè)字段是用來標(biāo)記在網(wǎng)絡(luò)中傳輸信息的物理介質(zhì)的，長度為2字節(jié)。當(dāng)數(shù)據(jù)鏈路層選擇以太網(wǎng)作為通信方式時(shí)，字段值是0x0001。（2）協(xié)議類型：用于表明網(wǎng)絡(luò)層所使用的地址類型，長度為2字節(jié)。若網(wǎng)絡(luò)層的地址是IP地址，那么該字段的值就會(huì)被設(shè)定為0x0800。（3）bln：用于指明數(shù)據(jù)鏈路層地址的長度，長度為1字節(jié)。在以太網(wǎng)環(huán)境中，當(dāng)傳輸ARP消息時(shí)，該字段的值通常為6，這是因?yàn)镸AC地址通常由6個(gè)字節(jié)組成。（4）pln：用于標(biāo)識(shí)網(wǎng)絡(luò)層協(xié)議地址的長度，長度為1字節(jié)。當(dāng)網(wǎng)絡(luò)層使用的是IP地址時(shí)，由于IP地址的長度為4字節(jié)，因此該字段的值會(huì)被設(shè)定為4。（5）op：用于標(biāo)識(shí)ARP消息的具體類型，長度為2字節(jié)。例如，當(dāng)ARP消息是請(qǐng)求類型時(shí)，op字段的值為1；而當(dāng)ARP消息是響應(yīng)類型時(shí)，op字段的值為2。（6）源MAC地址：用于標(biāo)識(shí)發(fā)送ARP消息設(shè)備的數(shù)據(jù)鏈路層地址，長度為6字節(jié)。在局域網(wǎng)環(huán)境中，這通常指的是發(fā)送ARP消息的設(shè)備的MAC地址。4知識(shí)準(zhǔn)備4.4ARP（7）源IP地址：用于標(biāo)識(shí)發(fā)送ARP消息設(shè)備的網(wǎng)絡(luò)層地址，長度為4字節(jié)。目前，該字段主要用來表示發(fā)送ARP消息的設(shè)備的IP地址。（8）目的MAC地址：用于標(biāo)識(shí)接收ARP消息設(shè)備的數(shù)據(jù)鏈路層地址，長度為6字節(jié)。在以太網(wǎng)環(huán)境中，這個(gè)字段通常代表接收ARP消息的設(shè)備的MAC地址。（9）目的IP地址：用于標(biāo)識(shí)ARP消息所指向的接收設(shè)備的網(wǎng)絡(luò)層地址，長度為4字節(jié)。目前，該字段主要用來標(biāo)識(shí)接收ARP消息的設(shè)備的IP地址。（10）填充字段：此字段占據(jù)18字節(jié)的空間。當(dāng)沒有填充字段時(shí)，ARP消息的長度為28字節(jié)。然而，由于以太網(wǎng)數(shù)據(jù)幀的載荷部分有一個(gè)最小長度要求，即46字節(jié)，因此需要添加18字節(jié)的填充字段以滿足這一要求。5項(xiàng)目實(shí)施1．任務(wù)描述藍(lán)箭公司研發(fā)部近期完成了組建，其網(wǎng)絡(luò)架構(gòu)中包含了4臺(tái)交換機(jī)。具體而言，S2、S3和S4三臺(tái)交換機(jī)負(fù)責(zé)接入層的工作，而S1則作為匯聚層的交換機(jī)。為確保網(wǎng)絡(luò)的穩(wěn)定與高效運(yùn)行，網(wǎng)絡(luò)管理員目前正忙于對(duì)這四臺(tái)交換機(jī)進(jìn)行基礎(chǔ)配置。藍(lán)箭公司研發(fā)部網(wǎng)絡(luò)拓?fù)淙鐖D3-22所示，現(xiàn)在網(wǎng)絡(luò)已經(jīng)配置完成，網(wǎng)絡(luò)管理員小王同志嘗試進(jìn)行網(wǎng)絡(luò)聯(lián)通性測試，他將用PC1pingPC3來驗(yàn)證兩臺(tái)主機(jī)之間是否能正常通信，并分析PC1是如何獲取到PC3的MAC地址，以便順利的將ICMP報(bào)文封裝成幀發(fā)給PC3的，設(shè)備IP地址如表7-1所示。5.1使用ARP獲取目標(biāo)主機(jī)的MAC地址圖3-22藍(lán)箭公司研發(fā)部網(wǎng)絡(luò)拓?fù)浔?-1藍(lán)箭公司研發(fā)部設(shè)備IP地址分配表5項(xiàng)目實(shí)施2．實(shí)施步驟第一步，按照?qǐng)D3-22所示搭建網(wǎng)絡(luò)拓?fù)?。如果有條件的話，建議使用真實(shí)設(shè)備搭建拓?fù)洌駝t可以使用華為模擬器eNSP來搭建。研發(fā)部占用了一棟公司大樓的一整層，其有三個(gè)辦公室，每個(gè)辦公室使用一臺(tái)接入交換機(jī)，三臺(tái)接入交換機(jī)都與一臺(tái)匯聚交換機(jī)S1相連，由S1將本部門主機(jī)接入公司網(wǎng)絡(luò)。所有主機(jī)使用表7-1配置地址。注意，本實(shí)驗(yàn)沒有三層互聯(lián)需求，不需要配置網(wǎng)關(guān)。第二步，事先在PC1的E0/0/1接口上使用Wireshark軟件進(jìn)行抓包，然后在PC1上pingPC3，觀察PC1是如何使用ARP獲取PC3的MAC地址的。5.1使用ARP獲取目標(biāo)主機(jī)的MAC地址5項(xiàng)目實(shí)施3．測試分析在完成前面的實(shí)施步驟的基礎(chǔ)上觀察PC3的抓包情況。注意，一定要事先在PC1的E0/0/1接口上使用Wireshark軟件抓包，然后在PC1上ping10.1.1.3。如圖3-23所示，此時(shí)由于PC1沒有目標(biāo)主機(jī)PC3的MAC地址，所以無法使用ping命令。PC1使用廣播的形式向全網(wǎng)發(fā)送ARP請(qǐng)求報(bào)文，TargetMACaddress字段為ff:ff:ff:ff:ff:ff，目的是向網(wǎng)絡(luò)詢問10.1.1.3的MAC地址是多少，PC2和PC3均可收到該報(bào)文。5.1使用ARP獲取目標(biāo)主機(jī)的MAC地址圖3-23PC1以廣播的形式發(fā)出ARP請(qǐng)求報(bào)文5項(xiàng)目實(shí)施PC2收到該報(bào)文后，發(fā)現(xiàn)目的IP地址跟自己的IP地址不一樣，丟棄該報(bào)文，同時(shí)在自己的MAC地址緩存表中記錄下PC1的IP地址與PC1的MAC地址的對(duì)應(yīng)關(guān)系，圖3-24所示為PC2的ARP緩存信息。5.1使用ARP獲取目標(biāo)主機(jī)的MAC地址圖3-24PC2的ARP緩存信息5項(xiàng)目實(shí)施PC3收到該報(bào)文后，發(fā)現(xiàn)目標(biāo)IP地址與自己的IP地址一致，接收該報(bào)文，并且回復(fù)一個(gè)ARP應(yīng)答報(bào)文給PC1，該報(bào)文為單播報(bào)文。如圖3-25所示，該ARP應(yīng)答報(bào)文的源MAC地址為PC3的MAC地址，源IP地址為PC3的IP地址，目的MAC地址為PC1的MAC地址，目的IP地址為PC1的IP地址10.1.1.1，同時(shí)PC3會(huì)將PC1的IP地址與PC1的MAC地址的對(duì)應(yīng)關(guān)系寫入自己的ARP緩存中。5.1使用ARP獲取目標(biāo)主機(jī)的MAC地址圖3-25PC3以單播的形式發(fā)出ARP應(yīng)答報(bào)文5項(xiàng)目實(shí)施總的來說，當(dāng)一個(gè)網(wǎng)絡(luò)設(shè)備需要和另一個(gè)網(wǎng)絡(luò)設(shè)備通信時(shí)，如果知道目標(biāo)設(shè)備的IP地址，但其MAC地址未知，那么就需要使用ARP來解析這個(gè)MAC地址，從而與一個(gè)網(wǎng)絡(luò)設(shè)備正常通信。PC1收到PC3發(fā)出的單播ARP應(yīng)答報(bào)文后，從而知道PC3的MAC地址，并且將PC3的IP地址與PC3的MAC地址的對(duì)應(yīng)關(guān)系寫入自己的ARP緩存中。此時(shí)有了PC3的IP地址MAC地址，PC1就可以封裝ICMP報(bào)文來pingPC3了。5.1使用ARP獲取目標(biāo)主機(jī)的MAC地址5項(xiàng)目實(shí)施1．任務(wù)描述在藍(lán)箭公司研發(fā)部的網(wǎng)絡(luò)搭建任務(wù)中，網(wǎng)管小王最初選擇使用Hub來構(gòu)建網(wǎng)絡(luò)。然而，隨著研發(fā)部業(yè)務(wù)量的增加，用戶逐漸反映網(wǎng)絡(luò)速度變慢，這主要是由于Hub的轉(zhuǎn)發(fā)效率不高以及存在的各種缺陷所致。Hub作為集線器，主要工作在物理層，采用廣播的方式發(fā)送數(shù)據(jù)。這意味著當(dāng)Hub收到一個(gè)數(shù)據(jù)包時(shí)，它會(huì)將數(shù)據(jù)廣播到所有連接的端口，無論數(shù)據(jù)包的目標(biāo)地址是什么。這種廣播式的通信方式在設(shè)備數(shù)量較少時(shí)可能不會(huì)有太大問題，但隨著設(shè)備數(shù)量的增加，網(wǎng)絡(luò)中的廣播流量會(huì)急劇上升，導(dǎo)致網(wǎng)絡(luò)擁堵和性能下降。此外，Hub還存在帶寬共享的問題。由于所有設(shè)備共享同一條總線進(jìn)行通信，當(dāng)多個(gè)設(shè)備同時(shí)發(fā)送數(shù)據(jù)時(shí)，它們會(huì)爭奪有限的帶寬資源，從而導(dǎo)致網(wǎng)絡(luò)速度變慢。小王意識(shí)到這些問題后，決定購買一臺(tái)華為S5700交換機(jī)來替代Hub。交換機(jī)與Hub相比，具有更高的轉(zhuǎn)發(fā)效率和更先進(jìn)的網(wǎng)絡(luò)管理功能。在設(shè)備更新后，藍(lán)箭公司研發(fā)部的網(wǎng)絡(luò)性能得到了顯著提升，用戶也不再反映網(wǎng)絡(luò)速度慢的問題了。這充分說明了交換機(jī)在大型網(wǎng)絡(luò)環(huán)境中的優(yōu)勢和必要性。5.2交換機(jī)MAC地址學(xué)習(xí)5項(xiàng)目實(shí)施2．實(shí)施步驟在實(shí)施本任務(wù)前請(qǐng)先完成任務(wù)3.5.1中的基礎(chǔ)網(wǎng)絡(luò)搭建，通過ping命令測試PC1、PC2和PC3之間的聯(lián)通性，保證三臺(tái)PC之間都能夠互相通信。考慮到已經(jīng)利用ping命令檢驗(yàn)了三臺(tái)PC之間的通信狀況，我們可以合理推斷交換機(jī)已利用其動(dòng)態(tài)學(xué)習(xí)過程，在MAC地址表中填充了PC1、PC2及PC3的MAC地址條目。注意，這個(gè)實(shí)驗(yàn)我們只關(guān)注交換機(jī)S1的MAC地址學(xué)習(xí)情況，交換機(jī)S2、S3和S4的MAC地址學(xué)習(xí)類似，讀者可以自行分析。為了更清晰地觀察MAC地址條目的生成流程，建議先執(zhí)行相關(guān)命令，清空交換機(jī)S1通過動(dòng)態(tài)學(xué)習(xí)機(jī)制建立的地址條目。這樣做有助于我們更直觀地了解MAC地址表的創(chuàng)建過程。5.2交換機(jī)MAC地址學(xué)習(xí)此時(shí)可以S1上就沒有MAC地址信息了，如下面命令所示。可以使用以下命令查看設(shè)備上MAC地址的老化時(shí)間。5項(xiàng)目實(shí)施一般情況下MAC地址的老化周期是300秒，為確保接下來的實(shí)驗(yàn)觀察更加準(zhǔn)確和清晰，我們需要防止MAC地址表項(xiàng)因過期而被自動(dòng)清除，可以通過以下命令來將老化周期設(shè)置為0，這一操作實(shí)際上關(guān)閉了MAC地址表的老化功能。如此一來，地址表中的條目就不會(huì)因?yàn)槌銎渖芷诙幌到y(tǒng)自動(dòng)刪除了，從而確保我們能夠在實(shí)驗(yàn)過程中持續(xù)觀察到完整的MAC地址表項(xiàng)。5.2交換機(jī)MAC地址學(xué)習(xí)交換機(jī)在接收到數(shù)據(jù)幀時(shí)，會(huì)利用其源MAC地址來更新或創(chuàng)建相應(yīng)的地址表項(xiàng)。此時(shí)，在PC1上pingPC2。5項(xiàng)目實(shí)施交換機(jī)S1會(huì)接收到兩個(gè)關(guān)鍵的數(shù)據(jù)幀，一個(gè)是源地址為PC1的MAC地址，另一個(gè)是源地址為PC2的MAC地址。完成這些交互后，可以在交換機(jī)S1上查看更新后的MAC地址表。5.2交換機(jī)MAC地址學(xué)習(xí)5項(xiàng)目實(shí)施觀察后發(fā)現(xiàn)，交換機(jī)S1已成功為MAC地址5489-982f-0325和MAC地址5489-98f7-4f5b創(chuàng)建了相應(yīng)的地址表項(xiàng)。每個(gè)表項(xiàng)中詳細(xì)記錄了MAC地址、所屬的VLAN、連接的接口編號(hào)以及類型等關(guān)鍵信息。然而，由于目前交換機(jī)S1尚未接收到來自PC3的數(shù)據(jù)幀，其MAC地址表中尚未包含PC3的MAC地址信息。為了進(jìn)一步完善地址表，我們接下來將在PC1上執(zhí)行ping命令來訪問PC3，這將觸發(fā)PC3發(fā)送數(shù)據(jù)幀，從而使得交換機(jī)S1能夠?qū)W習(xí)到PC3的MAC地址并添加到其地址表中。5.2交換機(jī)MAC地址學(xué)習(xí)5項(xiàng)目實(shí)施在交換機(jī)S1中查看MAC地址表，PC3的MAC地址在含有GE0/0/3接口的表項(xiàng)中出現(xiàn)了。當(dāng)交換機(jī)接收到一個(gè)數(shù)據(jù)包時(shí)，它會(huì)查看目標(biāo)MAC地址，并查詢MAC地址表以找到對(duì)應(yīng)的端口。如果MAC地址表中存在與數(shù)據(jù)包中的目的MAC地址相符的表項(xiàng)，交換機(jī)就會(huì)直接通過該表項(xiàng)中的出接口轉(zhuǎn)發(fā)數(shù)據(jù)包到目標(biāo)設(shè)備。這種方式稱為單播轉(zhuǎn)發(fā)，大大提高了數(shù)據(jù)轉(zhuǎn)發(fā)的效率。5.2交換機(jī)MAC地址學(xué)習(xí)6項(xiàng)目小結(jié)本項(xiàng)目主要聚焦于藍(lán)箭公司研發(fā)部的網(wǎng)絡(luò)搭建，該網(wǎng)絡(luò)屬于二層以太網(wǎng)范疇，包含了四臺(tái)交換機(jī)，它們各自扮演著不同的角色。具體來說，S2、S3和S4這三臺(tái)交換機(jī)共同構(gòu)成了接入層，負(fù)責(zé)數(shù)據(jù)的接入與傳輸任務(wù)，而S1交換機(jī)則作為匯聚層。我們深入剖析了以太網(wǎng)協(xié)議的核心知識(shí)點(diǎn)，包括以太網(wǎng)協(xié)議介紹、以太網(wǎng)幀介紹、以太網(wǎng)交換機(jī)、ARP等內(nèi)容。其中在以太網(wǎng)交換機(jī)的介紹中，重點(diǎn)分析了交換機(jī)MAC地址表的學(xué)習(xí)，其學(xué)習(xí)步驟可以總結(jié)為接收數(shù)據(jù)幀、提取源MAC地址進(jìn)行MAC地址表的添加或更新、查找MAC地址表執(zhí)行轉(zhuǎn)發(fā)動(dòng)作。ARP雖然其是一個(gè)三層網(wǎng)絡(luò)層協(xié)議，但是在二層中起了非常重要的作用。例如，一個(gè)終端在執(zhí)行ICMP的ping命令時(shí)，需要將ICMP報(bào)文封裝成幀，而封裝成幀需要知道對(duì)端設(shè)備的MAC地址，這時(shí)ARP就能發(fā)揮其作用來獲取對(duì)端設(shè)備的MAC地址。本項(xiàng)目設(shè)置了兩個(gè)任務(wù)來鞏固知識(shí)點(diǎn)，一是使用ARP獲取目標(biāo)主機(jī)的MAC地址；二是交換機(jī)MAC地址學(xué)習(xí)。讀者可以從這兩個(gè)任務(wù)中學(xué)習(xí)到以太網(wǎng)協(xié)議的核心機(jī)制。7拓展知識(shí)ARP，即地址解析協(xié)議（AddressResolutionProtocol，ARP），是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。它用于在IP網(wǎng)絡(luò)中將IP地址解析為物理MAC地址，以便實(shí)現(xiàn)數(shù)據(jù)包在局域網(wǎng)上的傳輸。ARP除了任務(wù)3.5.1描述的之外，還有兩個(gè)變種，以適用不同場合的需要，他們分別是免費(fèi)ARP和代理ARP。7拓展知識(shí)免費(fèi)ARP包是一種特殊的ARP請(qǐng)求，它并非期待得到IP對(duì)應(yīng)的MAC地址，而是當(dāng)主機(jī)啟動(dòng)的時(shí)候，發(fā)送一個(gè)ARP請(qǐng)求，即請(qǐng)求自己的IP地址的MAC地址。沒錯(cuò)，你沒有看錯(cuò)，是請(qǐng)求自己的IP地址。為什么要請(qǐng)求自己的IP地址呢？這是為了告訴其他設(shè)備自己的IP地址和MAC地址，讓其他設(shè)備自己的IP地址和MAC地址。免費(fèi)ARP報(bào)文與普通ARP請(qǐng)求報(bào)文的區(qū)別在于報(bào)文中的目標(biāo)IP地址，普通ARP報(bào)文中的目標(biāo)IP地址是其他目標(biāo)設(shè)備的IP地址；而免費(fèi)ARP的請(qǐng)求報(bào)文中，如圖3-26所示，目標(biāo)設(shè)備IP地址是自己的IP地址。以下是免費(fèi)ARP數(shù)據(jù)包的三大核心功能。（1）宣告功能：它是以廣播形式發(fā)送的，無需等待回應(yīng)。其主要目的是向網(wǎng)絡(luò)中的其他計(jì)算機(jī)宣告自身的IP地址和MAC地址信息，確保網(wǎng)絡(luò)中的設(shè)備能夠準(zhǔn)確識(shí)別并與之通信。（2）檢測IP地址沖突：當(dāng)一臺(tái)主機(jī)發(fā)送免費(fèi)ARP請(qǐng)求報(bào)文時(shí)，如果收到了ARP響應(yīng)報(bào)文，這意味著網(wǎng)絡(luò)中已經(jīng)存在使用相同IP地址的另一臺(tái)主機(jī)。通過這種機(jī)制，主機(jī)能夠及時(shí)發(fā)現(xiàn)并處理IP地址沖突，避免網(wǎng)絡(luò)通信故障。（3）更新其他主機(jī)的ARP緩存表：在網(wǎng)絡(luò)環(huán)境中，主機(jī)的ARP緩存表存儲(chǔ)著其他主機(jī)的IP地址和MAC地址映射關(guān)系。當(dāng)主機(jī)的網(wǎng)卡更換或MAC地址發(fā)生變化時(shí)，發(fā)送免費(fèi)ARP數(shù)據(jù)包可以通知其他主機(jī)更新其ARP緩存表，確保通信的準(zhǔn)確性和高效性。通過更新ARP緩存表，網(wǎng)絡(luò)中的設(shè)備能夠保持最新的MAC地址信息，從而實(shí)現(xiàn)順暢的通信。如圖3-26所示，當(dāng)改變主機(jī)的IP地址時(shí)，該主機(jī)會(huì)發(fā)送一個(gè)廣播幀，告知其他主機(jī)自己的新IP地址。1．免費(fèi)ARP5項(xiàng)目實(shí)施圖3-26免費(fèi)ARP的報(bào)文結(jié)構(gòu)1．免費(fèi)ARP7拓展知識(shí)代理ARP是一種特殊類型的ARP，它允許一個(gè)網(wǎng)絡(luò)設(shè)備（通常是路由器或網(wǎng)關(guān)）代表另一個(gè)網(wǎng)絡(luò)設(shè)備來響應(yīng)ARP請(qǐng)求。這種機(jī)制通常在沒有配置默認(rèn)網(wǎng)關(guān)或靜態(tài)路由的小型網(wǎng)絡(luò)中使用，以簡化網(wǎng)絡(luò)配置和允許不同子網(wǎng)間的通信。在代理ARP中，當(dāng)路由器或網(wǎng)關(guān)收到一個(gè)ARP請(qǐng)求時(shí)，如果請(qǐng)求的目的IP地址位于其直接連接的子網(wǎng)之外，并且該路由器或網(wǎng)關(guān)被配置為對(duì)這些請(qǐng)求進(jìn)行代理，它將代替真正的目標(biāo)主機(jī)回應(yīng)這個(gè)ARP請(qǐng)求?；貞?yīng)中包含了路由器或網(wǎng)關(guān)自己的MAC地址，這樣源主機(jī)就會(huì)將數(shù)據(jù)包發(fā)送到這個(gè)地址。然后，路由器或網(wǎng)關(guān)會(huì)負(fù)責(zé)將這些數(shù)據(jù)包轉(zhuǎn)發(fā)到真正的目標(biāo)主機(jī)。1．代理ARP7拓展知識(shí)代理ARP的好處在于它允許不同子網(wǎng)間的設(shè)備在不配置默認(rèn)網(wǎng)關(guān)或靜態(tài)路由的情況下進(jìn)行通信。然而，它也有一些潛在的問題和風(fēng)險(xiǎn)。首先，它增加了網(wǎng)絡(luò)的復(fù)雜性，因?yàn)槁酚善骰蚓W(wǎng)關(guān)需要維護(hù)額外的ARP表項(xiàng)，并處理額外的數(shù)據(jù)轉(zhuǎn)發(fā)。其次，代理ARP可能引入安全風(fēng)險(xiǎn)，因?yàn)閻阂獾木W(wǎng)絡(luò)設(shè)備可能偽造ARP響應(yīng)，導(dǎo)致數(shù)據(jù)被發(fā)送到錯(cuò)誤的目的地。因此，在使用代理ARP時(shí)，需要仔細(xì)考慮網(wǎng)絡(luò)的安全性和穩(wěn)定性。確保只有可信的設(shè)備被配置為代理ARP，并定期檢查網(wǎng)絡(luò)配置和ARP緩存表，以防止?jié)撛诘陌踩珕栴}。同時(shí)，對(duì)于大型或復(fù)雜的網(wǎng)絡(luò)，通常建議使用更傳統(tǒng)的路由和轉(zhuǎn)發(fā)機(jī)制來實(shí)現(xiàn)子網(wǎng)間的通信，以確保更高的網(wǎng)絡(luò)性能和安全性。1．代理ARP8知識(shí)鞏固1．單選題（1）以太網(wǎng)使用的物理層協(xié)議是？（）A．PPP B．IP C．CSMA/CD D．TCP（2）以太網(wǎng)幀的最小長度是？（）A．46字節(jié) B．64字節(jié) C．1500字節(jié) D．9000字節(jié)（3）IEEE802.3標(biāo)準(zhǔn)定義了？（）A．以太網(wǎng)介質(zhì)訪問控制方法 B．TCP/IP協(xié)議棧C．無線網(wǎng)絡(luò)標(biāo)準(zhǔn) D．光纖通信標(biāo)準(zhǔn)謝謝觀看項(xiàng)目4企業(yè)部門VLAN間隔離目錄01學(xué)習(xí)目標(biāo)02項(xiàng)目概述03思維導(dǎo)圖04知識(shí)準(zhǔn)備05項(xiàng)目實(shí)施06項(xiàng)目小結(jié)07拓展知識(shí)08知識(shí)鞏固知識(shí)目標(biāo)1．理解虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN）技術(shù)的背景及概念。2．理解802.1Q幀的組成。3．理解VLAN劃分的不同劃分方式技能目標(biāo)1．能夠根據(jù)網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D確定交換機(jī)接口的類型。2．能夠熟練開展VLAN的基本配置。3．能夠根據(jù)網(wǎng)絡(luò)拓?fù)浼癡LAN劃分要求完成VLAN劃分。素養(yǎng)目標(biāo)1．培養(yǎng)學(xué)生自主探究精神，養(yǎng)成不怕困難攻堅(jiān)克難的品質(zhì)。2．培養(yǎng)學(xué)生實(shí)際操作中的規(guī)范意識(shí)和質(zhì)量意識(shí)。3．培養(yǎng)學(xué)生的團(tuán)隊(duì)協(xié)作意識(shí)，并提升學(xué)生認(rèn)真負(fù)責(zé)、精益求精的工作作風(fēng)。1學(xué)習(xí)目標(biāo)2項(xiàng)目概述藍(lán)箭公司由于業(yè)務(wù)拓展，公司規(guī)模不斷擴(kuò)大，建立了財(cái)務(wù)部，人力資源部，技術(shù)部等多個(gè)下屬部門，辦公人員越來越多，各種網(wǎng)絡(luò)終端數(shù)量不斷增加，但是公司內(nèi)部只有一個(gè)網(wǎng)段。由此引發(fā)了很多問題，例如，當(dāng)大量員工使用各種終端上網(wǎng)時(shí)，經(jīng)常出現(xiàn)IP地主沖突的問題，影響辦公；網(wǎng)絡(luò)訪問速度降低，尤其是使用網(wǎng)絡(luò)的終端數(shù)量較多時(shí)，網(wǎng)絡(luò)速度降低的十分明顯，出現(xiàn)網(wǎng)絡(luò)阻塞等現(xiàn)象；甚至當(dāng)某一員工的計(jì)算機(jī)感染病毒時(shí)，會(huì)導(dǎo)致網(wǎng)絡(luò)內(nèi)其他未有防護(hù)措施的終端也感染病毒。因此，根據(jù)網(wǎng)絡(luò)工程師的建議對(duì)公司網(wǎng)絡(luò)進(jìn)行優(yōu)化，藍(lán)箭公司通過劃分VLAN的方式，將每一個(gè)部門單獨(dú)劃分為一個(gè)VLAN，根據(jù)需求通過使用交換機(jī)等網(wǎng)絡(luò)設(shè)備將不同的不同部門的終端劃分到不同的VLAN中，從而解決上述問題。本章我們就一起來學(xué)習(xí)VLAN的相關(guān)知識(shí)。3思維導(dǎo)圖本項(xiàng)目主要學(xué)習(xí)OSPF協(xié)議，其所含知識(shí)點(diǎn)如圖所示。圖4-1VLAN知識(shí)點(diǎn)4知識(shí)準(zhǔn)備本項(xiàng)目主要介紹使用VLAN來對(duì)對(duì)藍(lán)箭公司現(xiàn)有的網(wǎng)絡(luò)進(jìn)行改造，解決其目前遇到的問題。主要介紹廣播域及廣播幀、CSMA/CD機(jī)制、VLAN的基本概念、端口類型、劃分方法等。VLAN在各種中大型網(wǎng)絡(luò)架構(gòu)中經(jīng)常用到。通過使用VLAN技術(shù)，可以將一個(gè)局域網(wǎng)劃分為若干個(gè)虛擬的局域網(wǎng)，從而大大的降低網(wǎng)絡(luò)中的廣播幀數(shù)量，避免產(chǎn)生廣播風(fēng)暴，提升網(wǎng)絡(luò)利用率。同時(shí)，通過劃分VLAN，配合相應(yīng)的網(wǎng)絡(luò)訪問策略或安全協(xié)議實(shí)現(xiàn)不同VLAN間的隔離，可以有效的保護(hù)不同VLAN中的機(jī)器，實(shí)現(xiàn)信息的安全及網(wǎng)絡(luò)的健壯。VLAN技術(shù)是一種典型的“分治”應(yīng)用。對(duì)于計(jì)算機(jī)專業(yè)而言，“分治”的思想在各個(gè)方面都廣泛應(yīng)用。通過引入分治，可以有效地將大問題拆分為若干個(gè)小問題，分析解決每一個(gè)小問題，最終解決大問題。我們通過學(xué)習(xí)本項(xiàng)目，在掌握VLAN技術(shù)的同時(shí)也需要建立分治的問題解決方法，并將其運(yùn)用到其他知識(shí)的學(xué)習(xí)中，不斷提升分析問題解決問題的能力。4知識(shí)準(zhǔn)備我們知道，在局域網(wǎng)（LocalAreaNetwork，LAN）中傳輸數(shù)據(jù)時(shí)，使用的是MAC地址。具體來講，目的地址為接收方的MAC地址，源地址為發(fā)送放的MAC地址，所傳遞的數(shù)據(jù)采用幀的格式進(jìn)行封裝。如果將目的MAC地址設(shè)置為全1，則其為廣播幀，也就是LAN中的設(shè)備都可以偵聽到。而廣播域，指的是廣播幀所能傳遞到的范圍。以圖4-2為例，在這個(gè)網(wǎng)絡(luò)拓?fù)渲泄灿?個(gè)二層交換機(jī)，每個(gè)交換機(jī)連接了若干個(gè)PC（圖中用2臺(tái)PC模擬），這些PC和交換機(jī)都屬于同一個(gè)LAN中?，F(xiàn)在假設(shè)第三個(gè)交換機(jī)的PC6需要與第5個(gè)交換機(jī)的PC10進(jìn)行第一次通信。因此其在MAC幀的頭部必須寫入PC10的MAC地址，才能將數(shù)據(jù)發(fā)送給PC10。因此PC6第一步需要通過APR請(qǐng)求獲取PC10的MAC地址，然后才能和其通信。根據(jù)ARP協(xié)議的特性，其是以廣播的形式發(fā)送。所以PC6首先發(fā)送一個(gè)廣播幀ARP，交換機(jī)3收到PC6發(fā)送的ARP請(qǐng)求廣播幀后，會(huì)將它轉(zhuǎn)發(fā)到所有的其他接口。于是其他交換機(jī)都收到了該ARP請(qǐng)求并轉(zhuǎn)發(fā)，最終，PC6的ARP請(qǐng)求會(huì)被該LAN中所有的PC都收到。4.1廣播幀及廣播域圖4-2無VLAN的網(wǎng)絡(luò)架構(gòu)示意圖4知識(shí)準(zhǔn)備進(jìn)一步分析這個(gè)過程。PC6的目的只是為了通過發(fā)送一個(gè)ARP請(qǐng)求從而獲得PC10的MAC地址，然后在LAN中將數(shù)據(jù)發(fā)送給它。確切地說，這個(gè)ARP請(qǐng)求，只需要PC10應(yīng)答即可。但是實(shí)際上，由于所有的設(shè)備都處于同一個(gè)LAN，根據(jù)局域網(wǎng)中廣播消息的特性，這一個(gè)APR會(huì)發(fā)送到整個(gè)LAN中，所有的設(shè)備都會(huì)收到這個(gè)請(qǐng)求。這樣一來，第一，每個(gè)交換機(jī)都會(huì)將該ARP幀通過其端口發(fā)送出去，每一個(gè)端口一個(gè)ARP幀，因此網(wǎng)絡(luò)中會(huì)有N個(gè)ARP幀，而這每一個(gè)ARP幀會(huì)占用網(wǎng)絡(luò)帶寬；第二，由于是廣播幀，因此每個(gè)終端PC收到這個(gè)幀之后，都會(huì)對(duì)其進(jìn)行處理，而實(shí)際上只有PC10需要處理，因此這又消耗了其他PC的計(jì)算存儲(chǔ)及網(wǎng)絡(luò)資源。這樣一個(gè)過程，就造成了網(wǎng)絡(luò)帶寬、交換機(jī)轉(zhuǎn)發(fā)以及PC資源的無意義浪費(fèi)。這個(gè)過程可以類比同學(xué)們?nèi)粘Ｉ钪械奈⑿湃旱娜毫暮退搅摹Ｈ毫木褪菑V播，群里面的每位同學(xué)都會(huì)收到這個(gè)信息，私聊就是點(diǎn)對(duì)點(diǎn)，只有一發(fā)送方和接收方收到信息。假設(shè)某位同學(xué)A想私聊群里的某位同學(xué)B，但是其并沒有B同學(xué)的微信。因此，A只能在群里通過“廣播”的方式發(fā)送消息。這個(gè)消息的目的只是為了聯(lián)系上B同學(xué)，群內(nèi)的每一個(gè)同學(xué)都會(huì)收到這個(gè)消息，這個(gè)時(shí)候，群內(nèi)所有同學(xué)的手機(jī)接收到該消息后會(huì)發(fā)送一個(gè)通知，群內(nèi)的同學(xué)點(diǎn)開通知查看信息的內(nèi)容，結(jié)果發(fā)現(xiàn)與自己無關(guān)，浪費(fèi)了手機(jī)的資源，浪費(fèi)了自己的時(shí)間。4.1廣播幀及廣播域4知識(shí)準(zhǔn)備1.VLAN的概念在IEEE802.1Q標(biāo)準(zhǔn)中，對(duì)VLAN的定義為：VLAN，全稱為VirtualLAN，用于在二層交換機(jī)上分割廣播域。VLAN是由一些局域網(wǎng)網(wǎng)段構(gòu)成的，與物理位置無關(guān)的邏輯網(wǎng)段，這些網(wǎng)段具有某些共同的需求。每一個(gè)VLAN的幀都有一個(gè)明確的標(biāo)識(shí)符，用于說明這個(gè)幀屬于哪個(gè)VLAN。這個(gè)定義包含如下幾個(gè)信息。（1）VLAN基于交換式網(wǎng)絡(luò)，主要依托于交換機(jī)。（2）通過使用VLAN，可以將網(wǎng)絡(luò)中的設(shè)備劃分為若干個(gè)邏輯上工作組，每一個(gè)邏輯工作組就是一個(gè)VLAN，并且他們不需要在物理位置上有相關(guān)性。（3）使用VLAN進(jìn)行數(shù)據(jù)通信時(shí)，除了通信雙方的地址之外，數(shù)據(jù)幀中會(huì)有一個(gè)字段，明確標(biāo)識(shí)該數(shù)據(jù)幀屬于哪個(gè)VLAN。4.2VLAN的概念和特性4知識(shí)準(zhǔn)備2.VLAN的特性VLAN的特性主要包括以下5點(diǎn)。（1）VLAN工作在數(shù)據(jù)鏈路層，同一個(gè)VLAN內(nèi)部，計(jì)算機(jī)可以直接進(jìn)行二層通信。（2）每一個(gè)VLAN都是一個(gè)獨(dú)立的局域網(wǎng)，都屬于一個(gè)廣播域。在這個(gè)VLAN中，任一設(shè)備發(fā)送的廣播信息，只在這個(gè)VLAN中傳播，不會(huì)蔓延到其他VLAN中，這樣可以節(jié)省帶寬，提高網(wǎng)絡(luò)處理能力。（3）每一個(gè)VLAN都有一個(gè)獨(dú)一無二的VLAN號(hào)，并且不同的VLAN之間不能直接通信，必須通過第三層路由完成，可以依托路由器，也可以使用三層交換機(jī)。（4）當(dāng)某一VLAN中的設(shè)備發(fā)生病毒感染或其他故障時(shí)，會(huì)被限制其所在的VLAN內(nèi)，不會(huì)影響其他VLAN的正常工作。（5）由于VLAN是用戶和網(wǎng)絡(luò)資源的邏輯組合，因此可根據(jù)應(yīng)用需求將資源和用戶進(jìn)行重新組合，從而實(shí)現(xiàn)網(wǎng)絡(luò)的高效利用，信息的按需收發(fā)4.2VLAN的概念和特性4知識(shí)準(zhǔn)備傳統(tǒng)的以太網(wǎng)幀沒有包含某個(gè)特定的字段，用于標(biāo)識(shí)該數(shù)據(jù)幀屬于哪個(gè)VLAN。但劃分VLAN后，如果沿用傳統(tǒng)的數(shù)據(jù)幀格式，那么交換機(jī)就無法知道該數(shù)據(jù)幀應(yīng)發(fā)送到哪個(gè)VLAN中。圖4-3為一個(gè)劃分了2個(gè)VLAN的簡單網(wǎng)絡(luò)拓?fù)?。兩個(gè)交換機(jī)連接了若干臺(tái)PC（這里用4臺(tái)PC代替），在交換機(jī)上方的PC屬于VLAN20，在交換機(jī)下方的PC屬于VLAN40?，F(xiàn)在，PC2發(fā)送一個(gè)數(shù)據(jù)至PC4，LSW1收到該幀后將其轉(zhuǎn)發(fā)至LSW2，LSW2收到后需要確定該幀應(yīng)該發(fā)送到哪個(gè)VLAN中。4.3VLAN標(biāo)簽及802.1Q幀圖4-3劃分了2個(gè)VLAN的簡單網(wǎng)絡(luò)拓?fù)?知識(shí)準(zhǔn)備1988年，IEEE批準(zhǔn)了802.3ac標(biāo)準(zhǔn)，允許在LAN幀格式中插入一個(gè)4字節(jié)的標(biāo)識(shí)符，稱之為VLAN標(biāo)記（VLANTAG），用于標(biāo)識(shí)發(fā)送該數(shù)據(jù)幀的設(shè)備屬于哪一個(gè)VLAN。VLANTAG插入在MAC幀的源地址和類型字段之間，如圖4-4所示。VLANTAG的前兩個(gè)字節(jié)總是設(shè)置為0x8100，對(duì)于網(wǎng)絡(luò)設(shè)備來講，其數(shù)據(jù)鏈路層檢測到MAC地址的源地址字段后面的兩個(gè)字節(jié)是0x8100時(shí)，就可以獲悉該幀為采用VLAN技術(shù)的數(shù)據(jù)幀。在0x8100后面的兩個(gè)字節(jié)共16位數(shù)據(jù)為描述該VLAN信息的內(nèi)容，其中前3位為用戶優(yōu)先級(jí)字段PRI，取值范圍為0～7，值越大優(yōu)先級(jí)越高。第4位為規(guī)范格式指示符CFI，表示MAC地址在不同的傳輸介質(zhì)中是否以標(biāo)準(zhǔn)格式進(jìn)行封裝，用于兼容以太網(wǎng)和令牌環(huán)網(wǎng)，CFI取值為0表示MAC地址以標(biāo)準(zhǔn)格式進(jìn)行封裝，為1表示以非標(biāo)準(zhǔn)格式封裝，以太網(wǎng)環(huán)境中默認(rèn)設(shè)置為0。后面的12位是VLAN的標(biāo)識(shí)符VLANID，取值范圍是0～4095。由于0和4095為協(xié)議保留取值，所以VLANID的有效取值范圍是1～4094。。4.3VLAN標(biāo)簽及802.1Q幀4知識(shí)準(zhǔn)備交換機(jī)利用VLAN標(biāo)簽中的VID來識(shí)別數(shù)據(jù)幀所屬的VLAN，廣播幀只在同一VLAN內(nèi)轉(zhuǎn)發(fā)，這就將廣播域限制在一個(gè)VLAN內(nèi)，因此通過使用VLANID，可以唯一標(biāo)識(shí)當(dāng)前這個(gè)數(shù)據(jù)幀屬于哪個(gè)VLAN。插入了Tag后的幀，我們稱之為Tagged數(shù)據(jù)幀，反之稱之為Untagged數(shù)據(jù)幀。這里有一點(diǎn)需要大家注意，計(jì)算機(jī)無法識(shí)別Tagged數(shù)據(jù)幀，因此計(jì)算機(jī)處理和發(fā)出的都是Untagged數(shù)據(jù)幀；為了提高處理效率，交換機(jī)內(nèi)部處理的數(shù)據(jù)幀一律都是Tagged幀。4.3VLAN標(biāo)簽及802.1Q幀4知識(shí)準(zhǔn)備現(xiàn)在，我們將該交換機(jī)進(jìn)行VLAN的配置，在其上建立兩個(gè)VLAN，分別為VLAN10和VLAN20，并且讓端口1和4屬于VLAN10，連接的是A和D兩個(gè)PC，端口2和3屬于VLAN20，連接的是B和C兩個(gè)PC。這個(gè)時(shí)候，如果A發(fā)送一個(gè)廣播幀，那么此時(shí)交換機(jī)收到該數(shù)據(jù)幀后，從中讀取VLANID，可以得出其來自于VLAN10，因此只會(huì)把這個(gè)廣播幀在VLAN10中進(jìn)行廣播，也就是只有D會(huì)受到該廣播幀。同樣的，如果C發(fā)送了一個(gè)廣播幀，交換機(jī)分析得到其VLANID為VLAN20，那么此時(shí)只有B能夠收到。我們把這個(gè)過程進(jìn)一步簡化。可以將劃分了VLAN的交換機(jī)，邏輯抽象為內(nèi)部內(nèi)嵌了若干個(gè)小的交換機(jī)。每個(gè)小交換機(jī)連接一個(gè)VLAN，因此，連接在同一個(gè)小交換機(jī)的PC屬于同一個(gè)LAN，同一個(gè)廣播域，其可以直接通信。不同的小交換機(jī)，連接不同的VLAN，因此，不能通信。4.4VLAN的機(jī)制4知識(shí)準(zhǔn)備1.基于端口劃分基于端口劃分又稱為靜態(tài)方式劃分，其是根據(jù)交換機(jī)的端口來劃分VLAN。通過預(yù)先給交換機(jī)的每個(gè)端口配置不同的PVID，當(dāng)一個(gè)數(shù)據(jù)幀進(jìn)入交換機(jī)時(shí)，如果沒有帶VLAN標(biāo)簽，該數(shù)據(jù)幀就會(huì)被打上接口指定PVID的標(biāo)簽，然后數(shù)據(jù)幀將在指定VLAN中傳輸。每個(gè)交換機(jī)的接口都應(yīng)該配置一個(gè)PVID，取值范圍為1～4094。到達(dá)這個(gè)端口的Untagged幀將一律被交換機(jī)劃分到PVID所指代的VLAN。默認(rèn)情況下，PVID的值為1。這種劃分原則簡單而直觀，實(shí)現(xiàn)容易，是目前實(shí)際的網(wǎng)絡(luò)應(yīng)用中最為廣泛的劃分VLAN的方式。但由于需要一個(gè)個(gè)端口地指定，因此當(dāng)網(wǎng)絡(luò)中的計(jì)算機(jī)過多時(shí)，設(shè)定操作就會(huì)變得煩雜無比。并且，計(jì)算機(jī)每次變更所連端口，都必須同時(shí)更改該端口所屬VLAN的設(shè)定，這種方式這不適合頻繁改變拓補(bǔ)結(jié)構(gòu)的網(wǎng)絡(luò)。4.5VLAN的劃分方式4知識(shí)準(zhǔn)備2.基于MAC地址劃分基于MAC地址劃分，是根據(jù)數(shù)據(jù)幀的源MAC地址來劃分VLAN。通過預(yù)先配置MAC地址和VLANID映射關(guān)系表，當(dāng)交換機(jī)收到的是某個(gè)MAC地址發(fā)送來的Untagged數(shù)據(jù)幀時(shí)，就依據(jù)該表給數(shù)據(jù)幀添加指定VLAN的標(biāo)簽，然后數(shù)據(jù)幀將在指定VLAN中傳輸。這種劃分實(shí)現(xiàn)稍微復(fù)雜，但靈活性得到了提高。當(dāng)計(jì)算機(jī)接入交換機(jī)的端口發(fā)生了變化時(shí)，該計(jì)算機(jī)發(fā)送的幀的VLAN歸屬不會(huì)發(fā)生變化（因?yàn)橛?jì)算機(jī)的MAC地址沒有變）。但這種類型的VLAN劃分安全性不是很高，因?yàn)閻阂庥?jì)算機(jī)很容易偽造MAC地址?；贛AC地址的VLAN，可以理解為這是一種在OSI的第二層設(shè)定訪問鏈接的辦法。在設(shè)定必須記錄所連接的所有計(jì)算機(jī)的MAC地址并存儲(chǔ)在映射關(guān)系表中，每新增加一臺(tái)新的計(jì)算機(jī)，都需要重新記錄，并且如果網(wǎng)絡(luò)中既有的計(jì)算機(jī)更換了新的網(wǎng)卡，那就需要重新進(jìn)行設(shè)定。4.5VLAN的劃分方式4知識(shí)準(zhǔn)備3.基于IP子網(wǎng)劃分基于IP子網(wǎng)劃分，是根據(jù)數(shù)據(jù)幀中的源IP地址和子網(wǎng)掩碼來劃分VLAN。通過預(yù)先配置IP地址和VLANID映射關(guān)系表，當(dāng)交換機(jī)收到的是Untagged幀，就依據(jù)該表給數(shù)據(jù)幀添加指定VLAN的標(biāo)簽，然后數(shù)據(jù)幀將在指定VLAN中傳輸。簡單來講，基于IP子網(wǎng)劃分的VLAN，其與基于MAC地址的類似，也需要設(shè)置一個(gè)映射表。只不過這個(gè)映射表記錄的是IP地址和VLANID的對(duì)應(yīng)關(guān)系，而不是MAC地址。因此，網(wǎng)絡(luò)中既有的的計(jì)算機(jī)即使更換了MAC地址，只要其IP地址不變，那么其原來所屬的VLAN依然使用。IP地址是OSI參照模型中的第三層，所以我們可以基于IP子網(wǎng)的VLAN劃分看作是基于OSI第三層的設(shè)定方法。4.5VLAN的劃分方式4知識(shí)準(zhǔn)備4.基于協(xié)議劃分基于協(xié)議劃分。根據(jù)數(shù)據(jù)幀所屬的協(xié)議（族）類型及封裝格式來劃分VLAN。通過預(yù)先配置以太網(wǎng)幀中的協(xié)議域和VLANID的映射關(guān)系表，如果收到的是Untagged幀，就依據(jù)該表給數(shù)據(jù)幀添加指定VLAN的標(biāo)簽，然后數(shù)據(jù)幀將在指定VLAN中傳輸。5.基于策略劃分基于策略劃分。根據(jù)配置的策略劃分VLAN，能實(shí)現(xiàn)多種組合的劃分方式，包括接口、MAC地址、IP地址等。通過預(yù)先配置策略，如果收到的是Untagged幀，且匹配配置的策略時(shí)，給數(shù)據(jù)幀添加指定VLAN的標(biāo)簽，然后數(shù)據(jù)幀將在指定VLAN中傳輸。除此之外，還有一種基于用戶的VLAN，它的原理是根據(jù)交換機(jī)各端口連接的終端中當(dāng)前登錄的用戶來決定該端口屬于哪個(gè)VLAN。這里的用戶，一般是計(jì)算機(jī)操作系統(tǒng)登錄的用戶，比如Windows域中使用的用戶名。采用這種方式，屬于OSI第四層以上。4.5VLAN的劃分方式4知識(shí)準(zhǔn)備以圖4-6為例，針對(duì)上述拓?fù)?，采用各種方式進(jìn)行VLAN的劃分，其對(duì)應(yīng)的內(nèi)容如表4-1所示。4.5VLAN的劃分方式圖4-65種VLAN劃分拓?fù)涫疽鈭D劃分方式VLAN10VLAN20端口GE0/0/1GE0/0/4GE0/0/2GE0/0/3MAC地址MAC1MAC4MAC2MAC3IP子網(wǎng)劃分192.168.10.0/24192.168.20.0/24協(xié)議TCPUDP策略192.168.10.0/24+GE0/0/1+MAC1192.168.20.0/24+GE0/0/1+MAC1表4-1各種劃分方式下VLAN使用的參數(shù)4知識(shí)準(zhǔn)備1.Access端口Access端口一般用于和不能識(shí)別Tag的用戶終端（如用戶主機(jī)、服務(wù)器等）相連，或者不需要區(qū)分不同VLAN成員時(shí)使用。Access接口所連接的這些設(shè)備的網(wǎng)卡往往只收發(fā)無標(biāo)記幀。其只能加入一個(gè)VLAN，且主要用來連接用戶PC、服務(wù)器等終端設(shè)備。Access端口僅允許VLANID與接口PVID相同的數(shù)據(jù)幀通過。當(dāng)Access接口從鏈路上收到一個(gè)Untagged幀，交換機(jī)會(huì)在這個(gè)幀中添加上VID為PVID的Tag，然后對(duì)得到的Tagged幀進(jìn)行轉(zhuǎn)發(fā)操作。當(dāng)Access接口從鏈路上收到一個(gè)Tagged幀，交換機(jī)會(huì)檢查這個(gè)幀的Tag中的VID是否與PVID相同。如果相同，則對(duì)這個(gè)Tagged幀進(jìn)行轉(zhuǎn)發(fā)操作；如果不同，則直接丟棄這個(gè)Tagged幀。當(dāng)一個(gè)Tagged幀從本交換機(jī)的其他接口到達(dá)一個(gè)Access接口后，交換機(jī)會(huì)檢查這個(gè)幀的Tag中的VID是否與PVID相同。如果相同，則將這個(gè)Tagged幀的Tag進(jìn)行剝離，然后將得到的Untagged幀從鏈路上發(fā)送出去，如果不同，則直接丟棄這個(gè)Tagged幀。4.6VLAN中的端口類型4知識(shí)準(zhǔn)備2.Trunk端口Trunk接口一般用于連接交換機(jī)、路由器、AP以及可同時(shí)收發(fā)Tagged幀和Untagged幀的語音終端。Trunk接口允許多個(gè)VLAN的數(shù)據(jù)幀通過，這些數(shù)據(jù)幀通過802.1QTag實(shí)現(xiàn)區(qū)分。Trunk接口常用于交換機(jī)之間的互聯(lián)，也用于連接路由器、防火墻等設(shè)備的子接口。Trunk接口僅允許VLANID在允許通過列表中的數(shù)據(jù)幀通過，可以允許多個(gè)VLAN的幀帶Tag通過，但只允許一個(gè)VLAN的幀從該類接口上發(fā)出時(shí)不帶Tag（即剝除Tag）。當(dāng)Trunk接口從鏈路上收到一個(gè)Untagged幀，交換機(jī)會(huì)在這個(gè)幀中添加上VID為PVID的Tag，然后查看PVID是否在允許通過的VLANID列表中。如果在，則對(duì)得到的Tagged幀進(jìn)行轉(zhuǎn)發(fā)操作；如果不在，則直接丟棄得到的Tagged幀。當(dāng)Trunk接口從鏈路上收到一個(gè)Tagged幀，交換機(jī)會(huì)檢查這個(gè)幀的Tag中的VID是否在允許通過的VLANID列表中。如果在，則對(duì)這個(gè)Tagged幀進(jìn)行轉(zhuǎn)發(fā)操