2-module-底层网络技术讲解课件.ppt

1、1底层网络技术底层网络技术2TCP/IP协议栈协议栈TCP/IP协议栈没有定义底层协议3两种类型底层网络两种类型底层网络 广播网络: 所有站点共享同一信道 点到点网络: 主机对（或路由器）直接相连通常：LAN是广播网络，WAN是点到点网络。Broadcast NetworkPoint-to-Point Network4Local Area Networks 通常用于构建企业网 广播网络 拓扑：总线、环、星形 应用实例：EthernetBus LANRing LAN5MAC and LLC 在广播网络中，站点必须确保同一时刻只有一个站点传送数据 在广播信道上决定站点是否可以传送数据的协议称作Me

2、dium Access Control (MAC) 协议 MAC协议在体系结构中位于数据链路层的MAC子层 MAC子层之上是Logical Link Control (LLC)子层Logical LinkControlMedium AccessControlData LinkLayerto Physical Layerto Network Layer6LAN标准标准IEEE 802 Standards7体系结构应用模式体系结构应用模式 两种应用模式 IEEE802标准模式 Internet模式MACPHYMACPHYLLCInternet 模式IEEE802标准模式8 IEEE802标准模式

3、完整的LAN层次结构和LLC的PDU格式，上层实体使用LLC提供的服务 IEEE标准模式意在提供一种通用的通信服务接口、如：X.25、NetBios、IP、IPX等。 Internet模式 无LLC层、不使用LLC的PDU格式，但MAC继PHY采用IEEE802标准，上层实体直接使用MAC帧封装PDU（对其中的Len有修改）。 该模式不考虑提供CO服务，并以最简化的方法提供CL服务。9Dial-Up AccessAccessRouterModemsPoint-to-Point 链路链路 点到点链路举例: 拨号/DSL接入 路由器之间的高速链路 这里，IP主机和路由器通过串行缆线连接 点到点链路

4、的数据链路层协议很简单: IP数据报的封装 不需要媒质接入控制10点到点链路的数据链路层协议点到点链路的数据链路层协议 SLIP (Serial Line IP) 第一个在拨号链路上传送IP数据报的协议 (from 1988) 封装协议，没有其他功能 PPP (Point-to-Point Protocol): SLIP (1992)的升级版，带有附加功能 用于拨号接入和高速路由器互连 HDLC (High-Level Data Link) : 广泛使用(1979) Cisco路由器串行链路的缺省协议 实际上，PPP是HDLC的一个子集。11交换网络交换网络 一些数据链路层技术可以构建完整的网

5、络，它们有自己的编址、路由和转发机制，这些网络通常称作交换网络. 从IP层看数据链路层交换网络：12交换网络交换网络底层交换网络举例: Switched Ethernet ATM (Asynchronous Transfer Mode) Frame Relay Multiprotocol Label Switching (MPLS)13Ethernet 速率 10Mbps -10 Gbps 标准: 802.3, Ethernet II (DIX) Ethernet: 10Base5 10 Mbps Thick coax cable（淘汰） 10Base2 10 Mbps Thin coax c

6、able（淘汰） 10Base-T 10 Mbps Twisted Pair 100Base-TX 100 Mbps over Category 5 twisted pair 100Base-FX 100 Mbps over Fiber Optics 1000Base-FX1Gbps over Fiber Optics 10000Base-FX10Gbps over Fiber Optics (for wide area links)14以太网的广播方式发送以太网的广播方式发送 总线上的每一个工作的计算机都能检测到 B 发送的数据信号。 由于只有计算机 D 的地址与数据帧首部写入的地址一致，因

7、此只有 D 才接收这个数据帧。 其他所有的计算机（A, C 和 E）都检测到不是发送给它们的数据帧，因此就丢弃这个数据帧而不能够收下来。具有广播特性的总线上实现了一对一的通信。 B向 D发送数据 C D A E匹配电阻（用来吸收总线上传播的信号）匹配电阻不接受不接受不接受接受B只有 D 接受B 发送的数据15以太网的广播方式发送以太网的广播方式发送 为了通信的简便，以太网采取了两种重要的措施 采用较为灵活的无连接的工作方式，即不必先建立连接就可以直接发送数据。 以太网对发送的数据帧不进行编号，也不要求对方发回确这样做的理由是局域网信道的质量很好，因信道质量产生差错的概率是很小的。 16以太网提

8、供的服务以太网提供的服务 以太网提供的服务是不可靠的交付，即尽最大努力的交付。 当目的站收到有差错的数据帧时就丢弃此帧，其他什么也不做。差错的纠正由高层来决定。 如果高层发现丢失了一些数据而进行重传，但以太网并不知道这是一个重传的帧，而是当作一个新的数据帧来发送。 17以太的以太的MAC-“多点接入”表示许多计算机以多点接入的方式连接在一根总线上“载波监听”是指每一个站在发送数据之前先要检测一下总线上是否有其他计算机在发送数据，如果有，则暂时不要发送数据，以免发生碰撞。 总线上并没有什么“载波”。因此， “载波监听”就是用电子技术检测总线上有没有其他计算机发送的数据信号。 “碰撞检测”就是计算

9、机边发送数据边检测信道上的信号电压大小。当几个站同时在总线上发送数据时，总线上的信号电压摆动值将会增大（互相叠加）。当一个站检测到的信号电压摆动值超过一定的门限值时，就认为总线上至少有两个站同时在发送数据，表明产生了碰撞所谓“碰撞”就是发生了冲突。因此“碰撞检测”也称为“冲突检测” 载波监听多点接入载波监听多点接入/碰撞检测碰撞检测CSMA/CD18重要特性重要特性 使用 CSMA/CD 协议的以太网不能进行全双工通信而只能进行双向交替通信（半双工通信）。 每个站在发送数据之后的一小段时间内，存在着遭遇碰撞的可能性。 这种发送的不确定性使整个以太网的平均通信量远小于以太网的最高数据率。 19

10、冲突域 冲突域是CSMA/CD工作的范围 冲突域内所有站点共同竞争共享信道，所有站点的通信容量总和不超过信道传输速率 任何两站点间同时发送数据就会产生冲突的范围属于同一个冲突域 总线型以太网和HUB构成的网络是一个冲突域 广播域 广播帧到达的网络范围称为广播域 每个广播帧，广播域内所有站点都收到 总线型以太网、HUB构成的网络属于同一个广播域，且广播域与冲突域的范围是相同的。重要特性重要特性20802.3MAC帧格式DASALLC-PDU介质相关数据 DA(2 or 6)：目的地址，在帧的前面，便于硬件检测。 SA(2 or 6)：发送站的MAC地址 Len（2）： LLC-PDU的长度 规定

11、帧的最小长度和最大长度。最小长度用于保证CSMA/CD的冲突检测有效。最大长度限制站点占用信道的时间（如0.1us 1ms)如Ethernet 帧 ：641518字节LenCRC21Internet 模式的帧结构DASADataL/TL/T: 长度/类型L/T 1500表示data的类型（称为Ethernet-II帧）注意：L/T实现了两种帧格式的统一例如：L/T = 800H 表示data 为 IP分组L/T = 806H 表示data 为ARP分组L/T = 1FC9H表示data 为IPX分组CRC22以太网的扩展以太网的扩展 传统LAN的传播距离有限，为了实现LAN之间的通信，通常需要

12、一些连接设备。23Ethernet集线器（集线器（Hub）用于主机到Ethernet LAN的连接以及多个Ethernet LANs之间的连接在物理层扩展24优点 使原来属于不同冲突域的局域网上的计算机能够进行跨冲突域的通信。 扩大了局域网覆盖的地理范围。缺点 冲突域增大了，但总的吞吐量并未提高。 如果不同的冲突域使用不同的数据率，那么就不能用集线器将它们互连起来。 用集线器扩展局域网用集线器扩展局域网 25网桥网桥/LAN交换机交换机 用于多个LAN（可以是不同类型）的互连网桥工作在数据链路层 (Layer 2) 26网桥网桥 设计目标: 完全透明完全透明“即插即用（Plug-and-pla

13、y）”无需手工配置不影响现有LAN的操作为了达到以上目标，要实现:(1) 转发帧转发帧(2) 地址学习地址学习(3) 生成树算法生成树算法27网桥的内部结构网桥的内部结构 站表端口管理 软件网桥协议 实体端口 1端口 2缓存网段 B网段 A111222站地址 端口网桥网桥28(1) 帧转发帧转发 每个网桥维护一个转发数据库，它包含 MAC address: 主机名或组地址主机名或组地址port:网桥的端口号网桥的端口号age:该条目的生存（有效）时间该条目的生存（有效）时间29收到帧用目的MAC查找MAC表找到表项否？表中端口是否与接收端口相同？是把帧送到与接收端口不同的端口上排队把帧送到MA

14、C表中的端口上排队否否是用帧中源地址查找MAC地址表刷新表项的时间MAC表中添加新的一项结束目的地址为广播、组播30算法算法: 每收到一个帧，在转发数据库中存储源地址字段和相应到达的端口号 所有的条目经过一定的时间后删除 (缺省是15秒)(2) 地址学习地址学习Port 1Port 2Port 3Port 4Port 5Port 6Src=x, Dest=ySrc=x, Dest=ySrc=x, Dest=ySrc=x, Dest=ySrc=x, Dest=ySrc=x, Dest=yx is at Port 3 Src=y, Dest=xSrc=y, Dest=xSrc=x, Dest=yy

15、 is at Port 4 Src=x, Dest=y31（3）生成树协议）生成树协议不小心形成了环状，会产生什么问题？32（3）生成树协议）生成树协议 生成树考虑 允许网络中出现环路 自动检测出环路的存在 断开环的某些线路，形成生成树，断开的线路作为备份线路 一旦工作的线路发生故障，备份线路加入进来，维持网络的连通性 自动发现网络拓扑的变化，自动形成新的生成树33（3）生成树协议）生成树协议 LAN2ALAN3BC LAN4DLAN 1EFLAN5GA LAN2LAN3B LAN 1 LAN4DLAN5E 生成树算法（生成树算法（IEEE802.1d)：以序列号最小的网桥为根，按照最短路径：

16、以序列号最小的网桥为根，按照最短路径， 动态求出生成树，保证任意两个动态求出生成树，保证任意两个LAN之间只有一条通路，无环路之间只有一条通路，无环路34优点： 过滤通信量。 扩大了物理范围。 提高了可靠性。 可互连不同物理层、不同 MAC 子层和不同速率（如10 Mb/s 和 100 Mb/s 以太网）的局域网。 网桥的优缺点网桥的优缺点 缺点： 存储转发增加了时延。 在MAC 子层并没有流量控制功能。 具有不同 MAC 子层的网段桥接在一起时时延更大。 冲突域被分割，但广播域不变，因此当用户数太多或通信量太大时，会因传播过多的广播信息而产生网络拥塞。这就是所谓的广播风暴。 35以太网交换机

17、（二层交换机）以太网交换机（二层交换机）用硬件实现的以太网桥 物理层：硬件 MAC层：硬件 转发：硬件 生成树协议：硬件 特点 密集端口，典型值8,16,24,32个端口 每个端口均可全双工/半双工 10/100/1000M AutoSense 高性能，所有端口均无阻塞、可满负荷工作36以太网交换机的每个端口都直接与主机相连，并且一般都工作在全双工方式。交换机能同时连通许多对的端口，使每一对相互通信的主机都能像独占通信媒体那样，进行无碰撞地传输数据。 以太网交换机由于使用了专用的交换结构芯片，其交换速率就较高。 以太网交换机的特点以太网交换机的特点37对于普通 10 Mb/s 的共享式以太网，

18、若共有 N 个用户，则每个用户占有的平均带宽只有总带宽(10 Mb/s)的 N 分之一。使用以太网交换机时，虽然在每个端口到主机的带宽还是 10 Mb/s，但由于一个用户在通信时是独占而不是和其他网络用户共享传输媒体的带宽，因此对于拥有 N 对端口的交换机的总容量为 N10 Mb/s。这正是交换机的最大优点。 独占传输媒体的带宽独占传输媒体的带宽 38 收发可同时进行 CSMA/CD失去效用 不受Ethernet最大时延限制，线路可以很长 线路上还可用中继延长距离 Ethernet的特征只剩下了帧结构网桥网桥全双工通信全双工通信39引出的问题引出的问题 随着网络的不断扩大，性能不升反降 原因：

19、广播风暴 解决方法： 路由器（互联网） 支持VLAN的交换机（企业网）40广播信息真是那么频繁出现的吗？广播信息真是那么频繁出现的吗？ 答案是：是的！实际上广播帧会非常频繁地出现。利用TCP/IP协议栈通信时，除了前面出现的ARP外，还有可能需要发出DHCP、RIP等很多其他类型的广播信息。41虚拟局域网 VLAN 是由一些局域网网段构成的与物理位置无关的逻辑组。这些网段具有某些共同的需求。每一个 VLAN 的帧都有一个明确的标识符，指明发送这个帧的工作站是属于哪一个 VLAN。虚拟局域网其实只是局域网给用户提供的一种服务，而并不是一种新型局域网。 解决方案：虚拟局域网解决方案：虚拟局域网42

20、以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1, VLAN2和 VLAN3 的构成 43以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1, VLAN2和 VLAN3 的构成 当 B1 向 VLAN2 工作组内成员发送数据时，工作站 B2 和 B3 将会收到广播的信息。44以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网

21、VLAN1, VLAN2和 VLAN3 的构成 B1 发送数据时，工作站 A1, A2 和 C1都不会收到 B1 发出的广播信息。 45以太网交换机A4B1以太网交换机VLAN3C3B3VLAN1VLAN2C1A2A1A3C2B2以太网交换机以太网交换机三个虚拟局域网 VLAN1, VLAN2和 VLAN3 的构成 虚拟局域网限制了接收广播信息的工作站数，使得网络不会因传播过多的广播信息(即“广播风暴”)而引起性能恶化。 46实现实现VLAN的机制的机制1234交换机交换机广播帧广播帧交换机收到广播交换机收到广播帧后，转发到除帧后，转发到除接收端口外的其接收端口外的其他所有端口。他所有端口。1

22、234交换机交换机广播帧广播帧交换机收到广交换机收到广播帧后，只转播帧后，只转发到属于同一发到属于同一VLANVLAN的其他端的其他端口。口。广播域广播域广播帧广播帧广播域广播域以红、蓝两色识别不同的VLAN，在实际使用中则是用“VLAN ID”来区分的 47直观地描述直观地描述VLAN1234交换机交换机问题：VLAN生成的逻辑上的交换机是互不相通的。因此，在交换机上设置VLAN后，如果未做其他处理，VLAN间是无法通信的。那么，需要那么，需要VLAN间通信间通信时怎么办？（留待稍后时怎么办？（留待稍后解决）解决） 48交换机的端口划分交换机的端口划分 交换机的端口交换机的端口 访问链接（A

23、ccess Link） 汇聚链接（Trunk Link）49VLAN的访问链接的访问链接 访问链接：访问链接：指的是“只属于一个VLAN，且仅向该VLAN转发数据帧”的端口。在大多数情况下，访问链接所连的是客户机。 通常设置VLAN的顺序是： 生成VLAN 设定访问链接（决定各端口属于哪一个VLAN） 设定访问链接的手法，可以是事先固定的、也可以是根据所连的计算机而动态改变设定。前者被称为“静态VLAN”、后者自然就是“动态VLAN”了。 50静态静态VLAN 静态VLAN又被称为基于端口的VLAN（Port Based VLAN）。1234交换机交换机端口端口VLAN11234122VLAN

24、2将交换机的每个端将交换机的每个端口静态指派给口静态指派给VLANVLAN1由于需要一个个端口地指定，因此设定操作烦杂。并且，客户机每次变更所连端口，都必须同时更改该端口所属VLAN的设定这显然不适合那些需要频繁改变拓扑结构的网络。 51动态动态VLAN 大致分为3类： 基于MAC地址的VLAN（MAC Based VLAN） 基于子网的VLAN（Subnet Based VLAN） 基于用户的VLAN（User Based VLAN） 其间的差异，主要在于根据OSI参照模型哪一层的信息决定端口所属的VLAN。 52基于基于MAC地址的地址的VLANMACVLANA1BCD122VLAN2VL

25、AN112341234MAC:AMAC:BMAC:CMAC:DMAC:CMAC:BMAC:AMAC:D即使计算机改变了所连接的端口，交换机仍会查出它的MAC地址，并正确指定端口所属的VLAN。53基于子网的基于子网的VLAN网络地址VLAN192.168.1.0/241192.168.2.0/242VLAN2VLAN112341234即使计算机改变了所连接的端口，交换机仍会通过IP地址正确指定端口所属的VLAN。IP地址地址192.168.1.1IP地址地址192.168.1.2IP地址地址192.168.2.1IP地址地址192.168.2.2IP地址地址192.168.1.1IP地址地址1

26、92.168.2.1IP地址地址192.168.1.2IP地址地址192.168.1.1IP地址地址192.168.2.254基于用户的基于用户的VLAN 基于用户的VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是Windows域中使用的用户名。这些用户名信息，属于OSI第四层以上的信息。 总的来说，决定端口所属VLAN时利用的信息在OSI中的层面越高，就越适于构建灵活多变的网络。55VLAN的汇聚链接的汇聚链接 到此为止，我们学习的都是使用单台交换机设置VLAN时的情况。那么，如果需要设置

27、跨越多台交换机的VLAN时又如何呢？交换机交换机1交换机交换机2ACBD56VLAN的汇聚链接的汇聚链接交换机交换机1交换机交换机2ACBD每增加一个VLAN，都需要添加一条互联网线，并且还需要额外的端口。最简单的方法，自然是在交换机1和交换机2上各设一个红、蓝VLAN专用的接口并互联了。但是57VLAN的汇聚链接的汇聚链接 汇聚链接（Trunk Link）指的是能够转发多个不同VLAN的通信的端口。 汇聚链路上流通的数据帧，都被附加了用于识别分属于哪个VLAN的特殊信息。 交换机交换机1交换机交换机2ACBD 数据数据数据Trunk LinkTrunk Link通过汇聚链路时，自动附加VLA

28、N识别信息通过识别VLAN标识，转发给相应的端口，同时去除VLAN标识，恢复成原始数据帧。58 通过汇聚链路时附加的VLAN识别信息，最具有代表性的是“IEEE 802.1Q”协议。如果交换机支持该这些协议，那么用户就能够高效率地构筑横跨多台交换机的VLAN。 汇聚链路上流通着多个VLAN的数据，自然负载较重。因此，在设定汇聚链接时，有一个前提就是必须支持100Mbps以上的传输速度。 默认条件下，汇聚链接会转发交换机上存在的所有VLAN的数据。换一个角度看，可以认为汇聚链接（端口）同时属于交换机上所有的VLAN。59虚拟局域网使用的太网帧格式（虚拟局域网使用的太网帧格式（802.1Q）虚拟局

29、域网协议允许在以太网的帧格式中插入一个 4 字节的标识符，称为 VLAN 标记(tag)，用来指明发送该帧的工作站属于哪一个虚拟局域网。 802.3MAC 帧字节66246 15004MAC 帧目地地址源地址长度/类型数 据FCS长度/类型 = 802.1Q 标记类型 标记控制信息 1 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 VID 2 字节2 字节插入 4 字节的 VLAN 标记4用户优先级CFI60VLAN间路由间路由 为什么不同VLAN间不通过路由就无法通信。在LAN内的通信，必须在数据帧头中指定通信目标的MAC地址。而为了获取MAC地址，TCP/IP协议下使用的是A

30、RP。ARP解析MAC地址的方法，则是通过广播。也就是说，如果广播报文无法到达，那么就无从解析MAC地址，亦即无法直接通信。计算机分属不同的VLAN，也就意味着分属不同的广播域，自然收不到彼此的广播报文。因此，属于不同VLAN的计算机之间无法直接互相通信。 为了能够在VLAN间通信，需要利用OSI参照模型中更高一层网络层的信息（IP地址）来进行路由。使用路由器进行VLAN间路由 使用三层交换机进行VLAN间路由 61使用路由器进行使用路由器进行VLAN间路由间路由 具体实现过程为：首先将用于连接路由器的交换机端口设为汇聚链接，而路由器上的端口也必须支持汇聚链路。双方用于汇聚链路的协议自然也必须

31、相同。接着在路由器上定义对应各个VLAN的“子接口（Sub Interface）”。尽管实际与交换机连接的物理端口只有一个，但在理论上我们可以把它分割为多个虚拟端口。 VLAN将交换机从逻辑上分割成了多台，因而用于VLAN间路由的路由器，也必须拥有分别对应各个VLAN的虚拟接口。62交换机交换机路由器端口的路由器端口的MAC地址：地址：R连接蓝色VLAN的子接口192.168.2.100/24汇聚链接连接红色VLAN的子接口192.168.1.100/24123456A192.168.1.1/24GW192.168.1.100B192.168.1.2/24GW192.168.1.100C192

32、.168.2.1/24GW192.168.2.100D192.168.2.2/24GW192.168.2.100端口MAC地址VLAN1A12B13C24D256R汇聚63同一同一VLAN内的通信内的通信交换机交换机路由器端口的路由器端口的MAC地址：地址：R连接蓝色VLAN的子接口192.168.2.100/24汇聚链接连接红色VLAN的子接口192.168.1.100/24123456A192.168.1.1/24GW192.168.1.100B192.168.1.2/24GW192.168.1.100C192.168.2.1/24GW192.168.2.100D192.168.2.2/2

33、4GW192.168.2.100数据帧源源MAC：A；目标；目标MAC:B源源IP：192.168.1.1/24目标目标IP：192.168.1.2/24同一同一VLAN内的通信，内的通信，处理均在交换机内部处理均在交换机内部完成完成64不同不同VLAN间通信时数据的流程间通信时数据的流程交换机交换机路由器端口的路由器端口的MAC地地址：址：R连接蓝色VLAN的子接口,192.168.2.100/24连接红色VLAN的子接口,192.168.1.100/24123456A192.168.1.1/24GW192.168.1.100B192.168.1.2/24GW192.168.1.100C19

34、2.168.2.1/24GW192.168.2.100D192.168.2.2/24GW192.168.2.100数据帧源源MAC：A；目标；目标MAC:R源源IP：192.168.1.1/24目标目标IP：192.168.2.1/24 数据帧 数据帧数据帧源源MAC：R；目标；目标MAC:C源源IP：192.168.1.1/24目标目标IP：192.168.2.1/2465使用三层交换机进行使用三层交换机进行VLAN间路由间路由 使用路由器进行VLAN间路由的话，随着VLAN之间流量的不断增加，很可能导致路由器成为整个网络的瓶颈。 交换机使用被称为ASIC（Application Speci

35、fied Integrated Circuit）的专用硬件芯片处理数据帧的交换操作，在很多机型上都能实现以缆线速度（Wired Speed）交换。而路由器，则基本上是基于软件处理的。即使以缆线速度接收到数据包，也无法在不限速的条件下转发出去，因此会成为速度瓶颈。就VLAN间路由而言，流量会集中到路由器和交换机互联的汇聚链路部分，这一部分尤其特别容易成为速度瓶颈。并且从硬件上看，由于需要分别设置路由器和交换机，在一些空间狭小的环境里可能连设置的场所都成问题。 为了解决上述问题，三层交换机应运而生。66三层交换机（三层交换机（Layer 3 Switch） 三层交换机，本质上就是“带有路由功能的（

36、二层）交换机”。路由属于OSI参照模型中第三层网络层的功能，因此带有第三层路由功能的交换机才被称为“三层交换机”。三层交换机三层交换机路由模块路由模块交换模块交换模块内部是汇聚链路内部是汇聚链路67使用三层交换机进行使用三层交换机进行VLAN间路由间路由路由模块路由模块交换模块交换模块A（MAC）192.168.1.1/24GW192.168.1.100B（MAC）192.168.1.2/24GW192.168.1.100C（MAC）192.168.2.1/24GW192.168.2.100D（MAC）192.168.2.2/24GW192.168.2.100红色VLAN接口192.168.1

37、.100/24蓝色VLAN接口192.168.2.100/24源源MAC:A;目标目标MAC:B源源IP：192.168.1.1目标目标IP：192.168.1.21234VLAN内通信在交换模内通信在交换模块内部完成块内部完成68使用三层交换机进行使用三层交换机进行VLAN间路由间路由路由模块路由模块交换模块交换模块A（MAC）192.168.1.1/24GW192.168.1.100B（MAC）192.168.1.2/24GW192.168.1.100C（MAC）192.168.2.1/24GW192.168.2.100D（MAC）192.168.2.2/24GW192.168.2.100

38、红色VLAN接口192.168.1.100/24蓝色VLAN接口192.168.2.100/24Frame 1源源MAC:A;目标目标MAC:R源IP：192.168.1.1目标IP：192.168.2.11234Frame 2附加红色附加红色VLAN识别信息识别信息源源MAC:A;目标目标MAC:R源IP：192.168.1.1目标IP：192.168.2.1Frame 3附加蓝色附加蓝色VLAN识别信息识别信息源源MAC:R;目标目标MAC:C源IP：192.168.1.1目标IP：192.168.2.1Frame 4源源MAC:R;目标目标MAC:C源IP：192.168.1.1目标IP

39、：192.168.2.169VLAN总结总结（1）提高管理效率简化网络中站点的移动、增加和改变等工作 在物理连接的基础上多了一个虚拟连接，性能要有一定开销（2）控制广播数据 支持VLAN的交换设备可以有效的抑制广播数据，VLAN中的广播数据将只被转发到那些和该VLAN的某个成员存在连接的端口上 与路由器相比：性能出色，配置与管理简单 广播域的大小容易控制（3）增强网络安全性：共享LAN易于受到入侵；广播域越大，危险越大70路由器路由器 路由器工作在网络层 (Layer 3) IP网络的互连71网关网关 “网关”用在不同的地方含义也不同 “网关”是早期互联网路由器的通用术语 (Level 3)

40、“网关”也用于表示不同网络互连设备，完成协议转换工作 (“Multi-protocol router”)72Hubs/Switches/RoutersHub/RepeaterBridge/SwitchRouterTraffic isolationnoyesyesPlug and PlayyesyesnoEfficient routingnonoyesCut throughyesyesno73底层网络底层网络 LAN和以太网 点到点广域连接 PPP74 在WAN技术中有一些只提供物理层承载服务的WAN访问技术，如PSTN、ISDN的B通道上的电路交换服务、ADSL的远程接入服务和DDN等，这些服

41、务的共同特点就是为用户提供了点对点的专用物理信道。然而，没有第二层协议的支持，WAN的物理链路是没有办法传输数据的，更不要说进行链路控制了，于是在这些物理层承载服务的基础上定义了点对点协议（PPP），其协议结构如图。IPPPPISDN(B) PSTN ADSL DDN SDHPPP75PPPpoint-to-point protocol Internet的标准RFC1661，1662，1663 支持差错检测、多种协议、允许连接时协商IP地址、允许身份验证 PPP完成以下工作： 成帧并进行错误检测 链路控制协议LCP（Link control protocol）：选择线路、测试线路、释放链路 网

42、络控制协议NCP（Network control protocol）：独立于所使用的网络层协议的方法来协商使用网络层哪些选项。76PPP帧结构帧结构F 净荷净荷CAF校验和校验和1 字节字节2/4 0 -最大长度最大长度111协议协议1/2F：首尾标志7Eh，透明传输采用字符填充A：地址字段，永远为FFh，表示所有站点都可以接收C：控制字段，默认为03h，表示无编号帧协议：指明净荷字段的包类型，支持LCP、NCP、IP、IPX、AppleTalk. LCP（链路控制协议），用于建立/拆除数据链路连接、测试连接质量、协商参数. NCP（网络控制协议），用于协商网络层选项，如动态分配IP地址物理层

43、：支持MODEM拨号、HDLC位串行线、SONET.77ESTABLISHAUTHENTICATEDEADTERMINATEOPENNETWORK检测到检测到载波载波协商失败协商失败连接双方连接双方达成一致达成一致通过身份验证通过身份验证NCP配置配置数据传输结束数据传输结束失去载波失去载波验证失败验证失败PPP通信阶段状态转换图通信阶段状态转换图发LCP包来配置和测试数据链路，打开链路，协商参数链路质量检测LCP决定链路质量是否满足网络层协议要求；进行认证网络层协议通过适当的NCP协议进行单独的配置。LCP能在任何时刻关闭链路，可以是应用户请求或因为物理故障78链路控制协议链路控制协议LCP

44、 链路控制协议负责建立、保持、配置和终结链路通信的发起方首先发送LCP帧来配置和(有选择地)测试数据链路。在数据链路已经建立、协调之后，LCP允许有一个可选的链路质量检测阶段。（决定链路质量是否满足网络层协议的要求）通信链路将一直保持直到LCP帧关闭链路，或者是其它的外部事件发生(比如超时或用户干预等)之前。79PPP认证认证 在PPP会话中认证阶段是可选的，如果需要认证，那么认证将发生在网络协议配置阶段之前。 在认证阶段要求链路的发起方在认证选项中填写认证信息（例如，用户名、主机名和密码），以便确认用户得到了网络管理员的许可能够发起通信。 PPP支持两种认证协议：PAP和CHAP。在一般情况

45、下，CHAP是首选协议。80PAP-口令鉴别协议口令鉴别协议PAP利用双向握手信号建立远端节点的认证；在PPP链路建立完成后，远端节点将不停地在链路上反复发送用户名和密码直到认证通过，否则连接终止。PAP安全性差，密码在链路上是明文传输的，第三方可以毫不费力的从中途截取。PAP两次握手Jiangly alaska接受/拒绝远端节点(jiangly)用户名：jiangly密码：alaska中心节点（HQ)用户名：jiangly密码：alaska81CHAP挑战握手鉴别协议挑战握手鉴别协议 CHAP利用3次握手周期性地检验远端节点的身份； 在PPP链路建立后，主机向远端节点发送询问。远端节点返回一

46、个值，主机将该值与自己的值相比较，如果匹配则认证通过，否则连接中断；CHAP三次握手询问接受/拒绝远端节点(jiangly)用户名：jiangly密码：alaska中心节点（HQ)用户名：jiangly密码：alaska响应比PAP安全：q周期性验证，PAP只进行一次认证；qCHAP不允许连接发起方在没有收到询问消息的情况下进行认证尝试；qCHAP使用不同的询问消息，每个消息都是不可预测的唯一值，这样就可以防范再生攻击；q“共同的秘密”不在线上传输82网络控制协议网络控制协议IPCP IPCP负责配置、使能、停止点对点链路两端的IP协议模块。 IPCP配置的内容主要有IP压缩协议和IP地址。

47、IP地址配置给出了确定本地IP地址的方法， 本地IP地址可以是事先分配的IP地址，需要对方PPP实体予以确认； 本地IP地址也可以要求对方PPP实体动态分配。 通过拨号上网的用户一般没有固定IP地址，在与远程接入服务器进行连接的过程中，有远程AS为用户动态分配一个IP地址，这就是由IP协议配置过程完成。 IP over PPP不需要ARP。83各种协议分组的封装各种协议分组的封装地址控制协议数据区1 1 1 2 可变长 2 1标志CRC标志0021IP报文C021链路控制数据C023口令认证数据C223挑战握手认证数据IP幀LCP幀PAP幀CHAP幀7E FF 03 7E8021网络控制数据I

48、PCP幀84PPPOE PPPOE协议提供了在广播式的网络（如以太网）中多台主机连接到远端的宽带接入服务器上的一种标准。 为了能在广播式的网络上建立、维持各主机与宽带接入服务器之间点对点的关系，那么就需要每个主机与宽带接入服务器之间能建立唯一的点到点的会话。 PPPOE协议共包括两个阶段，即PPPOE的发现阶段和PPPOE的会话阶段。 85原理原理 当一个主机希望能够开始一个PPPOE会话时，它首先会在广播式的网络（在实际应用中，可能还要跨跃多点访问的网络，如ATM等，从而就形成了PPPOEOA的数据包）上寻找一个访问集中器，当然可能网络上会存在多个访问集中器时，对于主机而言则会根据各访问集中器（AC，Access Concentration）所能提供的服务或用户的预先的一些配置来进行相应的选择。86原理原理 当主机选择完了所需要的访问集中器后，就开始和访问集中器建立一个PPPOE会话进程。在这个过程中访问集中器会为每一个PPPOE会话分配一个唯一的进程ID，会话建立起来后就开始了PPPOE的会话阶段，在这个阶段中已建立好点对点连接的双方（这种点对点的结构与PPP不一样，它是一种逻辑上的点对点关系）就采用PPP协议来交换数据报文，从而完成一系列PPP的过程，最终将在这点对点的逻辑通道上进行网络层数据报的传送。