第1 TCP/IP詳HCIA-R&SHCIA-RS是零基礎入門的華為網絡技術學習課程，課程內容主要講解網絡基礎知識。按照華為官方的課程內容安排，共有37個章節，分為11個模塊，如圖1.1所示，每個模塊講解不同主題的內容。在學習具體內容之前先了解一下各個章節之間的邏輯關系，有助于在學習的時候搭建知識體系。知識形成體系之后才能融會貫通，并且不容易忘記。圖 模塊2：介紹如何做實驗，包括怎么用模擬器，怎么使用華為命相關協議展開講解。TCP/IP總共分為5模塊5網絡層上面是傳輸層，常用的傳輸層協議是TCP模塊8：介紹網絡安全相關的協議，以及企業分支之間互聯的起一個系統性的知識結構了。模塊6～11相對于模塊1～5圖 企業內部網絡結圖 多分支企業網絡結資源。這是怎么實現的呢？通常是用VPN（VirtualPrivateNetwork，虛擬私有網絡）技術進行控制的，例如GREVPN、IPSecVPN、BGPVPN等。使用VPN技術可以控制網絡訪問，還可以對數網絡就是通過介質把設備互連而成的一個規模大、功能強的系不同的特性，這些特性將直接影響通信的諸多方面，如線路編碼方圖 按由下往上的順序學習協議圖 簡單的網企業網絡里，路由器和交換機這些網絡設備之間的互連一般是有線的連接方式，因此在介紹網絡傳輸介質的時候主要介紹有線的傳輸介質，包括同軸電纜、雙絞線、光纖和串口線4種?，F在企業里面，主機大部分是通過WiFi連入網絡的，模塊7中有一個章節專門介紹WiFi的相關內容。下面分別介紹同軸電纜、雙絞線、光纖、串口線這4種不同傳輸圖 同軸電纜的兩個標圖 同軸電纜組成的網絡結一根雙絞線里面總共有4對線，不同的標準使用的線對不一樣，10BASE-T標準只使用了其中的2對，所以傳輸速率較低，只有10Mb/s;1000BASE-T標準使用了41000Mb/s，如圖1.8圖 雙絞線的不同標相比其他類別的線纜，超5類的線纜銅芯更粗，擰距更緊，用的另外有一個需要注意的地方是傳輸距離，不管是哪個標準，有效傳輸距離都是100m，這個是由以太網的載波監聽沖突檢測機制決定的，與線纜粗細無關。封套之間有一個金屬屏蔽層，可以屏蔽外界電磁干擾，如圖1.9使用雙絞線組網方便而且靈活，可以將主機和網絡設備連在一圖 屏蔽和非屏蔽雙絞圖 常見的雙絞線組網結1Gb/s、10Gb/s、40Gb/s，甚至更高。根據光纖傳輸光信號模式的圖 光纖的不同標光纖的連接頭主要有4種，包括ST、FC、SC和LC，如圖1.12所圖 光纖連接頭的不同類RS-232、RS-422和RS-485。RS-232的傳輸速率有限，傳輸距離僅RS-232：主要應用于設備調試，現在絕大部分的網絡設備留有圖 串口電纜的兩個標啟動，這個時候可以用串口線連接設備，打印啟動過程中的相關提前面介紹了4種傳輸介質，分別是同軸電纜、以太網雙絞線、光以太網雙絞線、串口電纜都是通過電信號發送數據；另一種是光介數字1用5V電壓表示，通過電壓的變化就可以發送0和1信息，如圖圖 銅介質的信息發送過在同一個沖突域里面，如果兩臺主機同時發送數據就會出現沖兩個5V的電信號，5V5V；主機C發送10的時候，發出的電平是圖 處于同一個沖突域的主電信號在同一個介質上會產生疊加，主機D收到的信號是圖 數據沖突過為了解決沖突問題，引入了載波偵聽多路訪問／沖突檢測技術(CarrierSenseMultipleAccess/CollisionDetection,CSMA/CD)。CSMA/CD③主機發送數據的時候，同時要監聽線路是否出現沖突，就如剛才的例子，主機D收到的信號實際上是10V5V，這個10V就是一個異常信號，主機發現線路異常就馬上停止發送數據，并往線路上發送一個很強的信號，以強化沖突信號，使線路上其他站點能夠盡早檢測到沖突；圖 半雙工和全雙網絡傳輸介質一節主要介紹了4種有線介質，分別是同軸電纜、鏈路層最常用的協議就是以太網協議，以太網根據IEEE802.3標圖 按由下往上的順序學習協議圖 鏈路層的不同協組織制定了OSI標準，各個廠家都遵循OSI標準就可以互相通信了。圖 OSI7層標物理層：用物理信號發送0101圖 收數據的時候，按由下往上順序剝掉相應的協議頭部，如圖1.22所圖 數據封裝過然后送給鏈路層處理，鏈路層會將01介紹以太網幀結構，如圖1.23圖 以太網幀結其他層協議只有頭部沒有尾部，這個尾部也稱為幀檢查序列(FrameCheckSequence,FCS)，主要功能是通過特定的算法判斷數據幀在介(Ethernet_II)用于封裝實際業務數據，如IP報文；第二種(IEEE802.3)這兩種格式的前兩個字段一樣，都是目標MAC(DestinationMAC)和源MAC(SourceMAC)。目標MAC和源MAC都是6B，目標Ethernet_II和IEEE802.3的數據幀格式有差異，如圖1.24所示。Ethernet_II幀頭部共3個字段，分別是D.MAC、S.MAC和Type;IEEE802.3幀頭部共4個字段，分別是D.MAC、S.MAC、Length和LLC。那么主機收到一個數據幀之后如何判斷這是Ethernet_II幀還是IEEE ①如果這2B的值≥1536（十六進制0x0600），那么這是②如果這2B的值≤1500（十六進制0x05DC），那么這是IEEE簡單來說，主機收到一個數據幀之后，前6B是目標MAC，緊跟IEEE802.3幀，套用4字段的幀格式。報文，另一種封裝ARP報文。Type值=0x0800表示里面是IP報文，Type值=0x0806表示里面是ARP報文。根據前面的定義，可以看到圖 常見的兩種封裝業務報文的幀格IEEE802.3幀格式類似于Ethernet_II幀，只是Ethernet_IIType域在IEEE802.3幀中表示Length，緊跟其后的3B作為LLC字段，圖 IEEE802.3幀結邏輯鏈路控制(LogicalLinkControl,LLC)由目標服務訪問點(DestinationServiceAccessPoint,DSAP)、源服務訪問點(SourceServiceAccessPoint,SSAP)和Control字段組成。當DSAP和SSAP都取特定值0xffIEEE802.3幀就變成了當DSAP和SSAP都取特定值0xaaIEEE802.3幀就變成了ETHERNET_SNAP幀。ETHERNET_SNAPDSAP和SSAP其他的取值均為純IEEE802.3幀。如STP、DSAP和圖 STP報文抓取截以太網MAC主機的物理網卡上都帶有一個MAC地址（MediaAccessControlAddress，媒體訪問控制地址），發送以太網幀的時候必須B的時候，目標MAC就是主機B的MAC地址，源MAC填自己的MACMAC3種不同類型，分別是單播MAC、組播MAC和廣播圖 以太網幀中的MAC地圖 MAC地址由兩個部分組單播MAC最左邊字節的最低位為“0”時是單播MAC地址，如圖1.30所示。目標MAC是單播MAC地址的以太網幀，只能被一個指定主機接收，如主機A發送一個幀，它的目標MAC是00-03-04-05-06-07，這個幀只能被主機B接收。單播MAC大多用于主機間點對點通信。圖 單播MAC的格式和用同步路由信息，但是不需要發給主機A，因為主機沒有運行路由協圖 組播MAC的格式和用圖 廣播MAC的格式和用在實際應用中，主機和網絡設備都會經常用到廣播MAC段確定將幀發送給上層哪個協議處理。如果Type字段的值為圖 數據幀的發送和接本節首先介紹了TCP/IP的發展歷史，以及協議棧的逐層封裝過IP報文結構與IP絡層其他協議的基礎，扎實掌握IP之后，學習其他的協議會簡單得圖 按由下往上的順序學習協議IP1.4節介紹以太網幀結構的時候提到以太網幀中的Type0x0800時，表示該幀的網絡層協議為IP協議，如圖1.35圖 包含IP報文的以太網IP頭總長度為20～60B，最少20B，這是固定的部分。此外還有可選項IPOptions，在特殊場景中需要用到這個字段，通常不填，需要時最長40B。所以，IP頭部長度范圍是20～60B，不固定，如圖圖 IP頭部結Version：用來區分IPv4和IPv6報文，IPv4取值為4,IPv6取值為6HeaderLength：表示IP頭長度，一般情況下這個值是20，有IPOptions字段，取值會大于20，但是不超過60DSField:DifferentServiceField，區分服務字段。工作背景：顯感覺通話質量下降；郵件業務延遲1～2s基本沒影響，甚至延遲處理優先級，語音報文要優先轉發，郵件報文則可以降低一點優先級。DSField用于給不同的報文貼上優先級標簽，例如將語音報文的TotalLength:IP報文總長度，TotalLength-HeaderLength=DataLength。IP報文總長度減去頭部長度，就是數據部分下面介紹幾個與包分片相關的字段：Identification、Flags和FragmentOffset。如圖1.37所示。圖 IP分片相關的字如圖1.38所示。路由器接口有一個參數是MTU（MaximumTransmissionUnit，最大傳輸單元），表示當前接口最大轉發報文長的時候，路由器會對該報文做分片處理，分成2片，第一片1400B，主機B收到這兩個分片的時候，如何判斷這是獨立的兩個報文，Identification：分片編號，同一個報文的不同分片取值相同，圖 分片應用背圖 分片標志位設Flags：分片標志，用來標識是否還有更多分片。圖1.39中分片1的Flags值設置為1，表示后面還有分片，主機B收到這個報文會先放到緩存，等待后面分片到齊；分片2的Flags設置為0，表示后面沒有分片了，主機B看到這個標識就會整合所有分片，還原為最初的報文，然后進一步處理。FragmentOffset：分片偏移量，用來定位分片在原始報文的位2個分片，通過Flags即可判斷哪個先哪個后，如果分片數量超過3下面介紹一個常用的參數TimetoLive，報文生存時間，如圖圖 TimetoLive生存時TimetoLive：簡稱TTL，用來防止網絡環回。應用場景：如圖1.41所示，主機A和主機B之間有3個路由器A、B、C，通常情況下主機A發報文給主機B，應該是經過路由器A，路由器B，然后到達主機B，但是有時候路由器配置不當會導致報文到達路由器B之后，并沒有交給主機B，而是交給路由器C，然后路由器C又交給路由器A，產生環回。圖 TTL應用場環回報文如果不進行消除，會越積越多，最后導致設備崩潰。傳到路由器B的時候變成254，從路由器B傳到路由器C的時候變成下面介紹Protocol參數的作用，如圖1.42圖 Protocol字的Type字段類似，協議字段也是一個十六進制數。該字段可以標識ICMP（InternetControlMessageProtocol，因特網控制報文協議，對應值0x01），也可以標識TCP（TransmissionControlProtocol，傳輸控制協議，對應值0x06）和UDP（UserDatagram圖 IP頭Protocol字段含下面介紹IP頭部的后面3個參數：HeaderChecksum、SourceIP和DestinationIP。HeaderChecksum：頭部校驗和，是將IP頭部的所有字段用特SourceIPAddress：源IP地址，指報文發送端的IP地址。DestinationIPAddress：目標IP地址，指接收端的IP地址。IPOptions：可選參數，該字段平時用得很少，有興趣可以自己IP IP主機之間一般是通過IP地址互相通信，例如主機A通過ping圖 主機間用IP地址互相通圖 主機C的IP地址組同一個網絡里的主機通信時可以直接發送報文，例如主機Aping主機C時，發現目標IP與自己的IP處于同一個網絡，就可以直接封裝以太網報文，MAC地址填主機C的MAC地如果主機Aping另外一個網絡里面的主機F，它的IP地址是圖 不同網絡主機間的通圖 網絡號的應圖 十進制和二進制的對應關一個二進制數如何轉化成十進制數呢，如00101011對應的十進圖 二進制轉十進圖 十進制轉二進圖 IP地址的換這個IP地址的網絡位占3B，主機位占1B，為什么網絡位占3B，而不是1B或2B呢？這是由IP地址的取值范圍決定的，IPv4地址總共分為5類，每一類對應的網絡位長度和取值范圍都不一樣。位的最高位取值固定為0，則網絡位的取值范圍是00000000～那么這個IP地址的網絡位應該是幾字節呢？因為100在～127之間，所以這是一個A類地址，對應的網絡位長度就是1BB類地址網絡位占2B，最左邊2位取固定值10，網絡號范圍～191.255C類地址網絡位占3B，最左邊3位取固定值110，網絡號范圍D類地址沒有網絡位，最左邊4位取固定值1110，用作組播地E類地址也沒有網絡位，最左邊4位取固定值1111，目前沒有使圖 IPv4地址分IP地址分公網IP地址和私網IP地址，使用公網IP地址可以在全世此外還有一些特殊IP～55：用于本地環回，如，論有沒有連接網絡，ping這個地址總能成功，如果不成功：55：除了私網IP地址和特殊IP地址之外的都是公網IP圖 IP地址和子網掩主機A的IP地址是，子網掩碼是，目圖 網絡地址計算過191范圍內，表明這是B類地址，網絡位2B，默認的子網掩碼是，因此它的默認網絡號是成，前面是網絡號，后面是主機號。A類地址主機號占3B;B機號2B;C類地址主機號占1B，如圖1.55圖1.55C1B可以表示的值的范圍是00000000～11111111，共256個值。其對應的IP地址范圍是～55，其中主機位全和全1有特殊用途，分別表示網絡號和廣播地址。那么可以分配給主機使用的IP地址范圍是～54，共2-2=254)個。示網絡號長度，用數字24表示。/24表示圖 IP地址浪費現掩碼(Variable-LengthSubnetMasking,VLSM)解決。是C類網段，默認子網掩碼是，為了掩碼由24位變成26位，對應的十進制數子網掩碼是2位可表示的值有00011011，因此就可以將原來的網段劃分為4個子網，這4個子網的網絡號如圖1.57所圖 變長子網掩這里問個問題，擴展子網掩碼后5與30圖 子網劃網段可以擴展成25、26、27位掩碼，但是不能縮減成23、22位掩右邊有4個網段，路由表就有4個條目，向外通告的時候也有4個條目。這4個條目非常相似，有沒有辦法合成1個條目，提高通告效率圖 路由通實際上這4個條目，除了第三字節有差異之外，其他字節都是一樣的。把第三字節展開成二進制之后，里面又有6位一樣，如圖1.60所示。圖 第三字節二進制展4個不同網段的前2/22一條路由，提高了效率，如圖1.61域間路由(ClasslessInterDomainRouting,CIDR)，也稱為路由聚圖 精簡路由通告條 網IP地址還是私網IP地址？如果公司有5別是24、28、10、15、7，應該如何劃分子網，子網掩碼應該是多3.194/23與34/23IP頭部TTLARP這一節介紹網絡層另外一個常用的協議——ARP(AddressResolutionProtocol)。前面介紹鏈路層的時候，提到過Type字段的取值，值為0x0800時表示里面封裝的是IP報文，值為0x0806時表示里面封裝的是ARP報文。ARP和IP是并列關系，如圖1.62所示。圖 ARP所處的位IPping,telnet等。主機將報文發出之前，必須填好機查MAC地址會查不到，就會發出ARP報文獲得目標IP地址對應的如圖1.65所示，主機A發出ARP請求報文，這是一個廣播報文，目標MAC是廣播MAC地址FF-FF-FF-FF-FF-FF，在報文里請求獲得圖 以太網頭部需要目標圖 主機上的ARP緩存圖 ARP工作基本過圖 ARP格HardwareType：硬件類型，通常是以太網，取值0x0001。ProtocolType：協議類型，通常是IP，取值0x0800。HardwareLength:MAC地址長度，取值6。ProtocolLength:IP地址長度，取值4OperationCode：操作類型，一種是ARP請求，取值0x0001；SourceHardwareAddress：源MAC地址，填主機A的MAC地SourceProtocolAddress源IP地址，填主機A的IP地址DestinationHardwareAddress：目標MAC地址，ARP請求報文里填FF-FF-FF-FF-FFFF,ARP回應報文里填的是具體對應的MACDestinationProtocolAddress：目標IP地址，填主機B的IP地如圖1.67和圖1.68所示，主機A第一次ping主機B的時候發出ARP請求，然后主機B回應一個ARP報文。注意比較請求報文和回應報文的區別，主要是目標MAC填寫的差異。圖 ARP請求報圖 ARP回應報主機通常是自動獲取IP地址。由DHCP服務器統一分配IP地址，不會有IP地址沖突問題；如果有人手動設置IP地址就可能會出現IP地址沖突的情況。ARP可以用來探測是否有IP地址沖突。通常主機在被分配了IP地址或者IP地址發生變更后，會立刻檢測其所分配的IP地址在網絡上是否是唯一的，以避免地址沖突。圖 免費主機在什么情況下會發出ARPARPARPICMP本節介紹ICMP（InternetControlMessageProtocol，因特網控制報文協議）。前面介紹IP頭部結構的時候，提到過Protocol字段的取值，值為1時表示IP報文內是ICMP，值為6時表示TCP，值為17時表示UDP，如圖1.70所示。圖 ICMP所處的位于傳輸層協議。這是因為TCP/UDP帶有端口號，而ICMP不帶端口ICMP用來在網絡設備間傳遞各種差錯和控制信息，主要的功能我們常用的ping命令就屬于ICMPIP地址是00，右邊的網關是路由器BIP地址是②路由器B收到這個報文后查詢路由表，發現轉發接口與接收接口相同，由此可以判斷主機A的路由不是最優的，需要優化。于是路由器B發出一個ICMP重定向報文告訴主機A，去往的最優網關是00；③主機A收到這個重定向報文之后新增一個路由條目，下次訪問服務器時直接發給左邊的網關00。圖 重定向工作過不僅路由器有路由表，主機也有路由表，如圖1.72圖 主機上的路由ICMPICMP定義了各種錯誤消息，用于診斷網絡連接性問題。根據這如圖1.73所示，主機A的IP地址是，服務器A的IP。主機A要發送報文給，但是發錯了，發給了，這個報文先到路由器A，然后到路由器B，路由器B發現網段和自己直連，那么就會查找的MAC地址，但實際上這個服務器不存在，查找失敗，ARP請求也沒有回應。圖 目標不可達錯誤報括ping請求和ping應答，實際上就是ICMP里的EchoRequest和EchoReply，如圖1.74所示。圖 EchoRequest和Echo如圖1.75所示，路由器Aping路由器B的時候，TTL值默認是例如，-c表示指定發多少次EchoRequest，默認是5個，如果需要持續ping，可以指定1000個或者更多，對應的命令是ping-c1000題具體在哪個點呢？如圖1.76所示，主機Aping主機B失敗，問題點圖 ping命令的用圖 故障點在這種情況下可以用Tracert命令。Tracert命令用的也是ICMPEchoRequest和EchoReply，與ping功能不同的是：ping命令的個報文TTL=1，第2個TTL=2，第3個TTL=3，直到目標主機正確回RTA的第1個EchoRequest,TTL=1，到達RTB后，TTL變成0,RTBRTA接著發第2個EchoRequest,TTL=2，到達RTC之后，TTL變0,RTC將其丟棄并發送錯誤報告，RTA獲得第2跳的IP地址圖 Tracert命令工作過ICMPICMP格式相對比較簡單，共4個部分，其中3個部分如圖1.78所示。圖 ICMP格Type和Code不同取值標識不同的ICMP報文，如圖1.79圖1.79Type和Code不同取值標識不同報文第4部分根據不同的類型和代碼其內容有所不同，如重定向，這里會填重定向的路由信息。EchoRequest也可以帶不同的參數，如本節的學習重點是理解ICMP3個功能的應用場景，并掌握ping傳輸層如圖1.80所示。傳輸層最為常見的兩個協議是傳輸控制協議(TransmissionControlProtocol,TCP)DatagramProtocol,UDP)。下面講解傳輸層協議工作原理和報文結圖 按由下往上的順序學習協議實際應用中，用戶經常用計算機同時做多件事情，例如瀏覽網頁、收郵件、用Telnet登錄設備、看在線電影等。同樣的，服務器也會同時提供多種服務，例如可以支持用戶FTP登錄，同時還可以提供網頁瀏覽服務。圖 服務器如何區分不同的業務報傳輸層有兩個常用協議，TCP和UDP，這兩個協議有什么區別大影響。重傳沒有意義，語音播放完了，報文再重傳過來也用不上下面具體介紹TCP和UDP圖 常用的端口TCP圖 3次握手過際應用中TCP是會消耗計算機緩存資源的，緩沖區大小可以進行設圖 TCP發送和接收確認過圖1.84描述的數據發送過程是一個基本模型，實際上數據發送是雙向的，為了提高效率，確認編號和數據編號包含在同一個數據包中。如圖1.85所示，假設主機A先發，當前數據包序號是11，確認序號50，表示主機A已經收到主機B之前發的序號49的數據包，希望下一個收到的數據包序號是50。主機B收到這個報文之后，發送一個數據報文，數據序號是50，確認序號12，表示已經收到主機A發的序號11的數據包，希望下一個收到的數據包序號是12。圖 包序號和確認序段為6表示內部數據是TCP數據，TCP頭部和IP頭部有點類似，也是SourcePort:16位源端口號，指發送方的端口號，可以取～65535之間的隨機值，因為1～1023通常用于標準端口號，如DestinationPort:16位目標端口號，不同服務用不同端口號，SequenceNumber:32位自己當前報文的序列號，從一個隨機AcknowledgeNumber:32位確認序列號，標識當前收到的報HeaderLength:4位頭部長度，包含填充字段之后的長度。單位圖 TCP格URG緊急標志位，置“1”有效，配合后面的UrgentPointer（緊急指針），用來指向需要緊急處理的參數。如果URG置“0”，UrgentPointer無意義，直接填充。ACK確認標志位，表示AcknowledgeNumber這個字段有PSH：推標志位，如果置“1”，當前數據報文不進入緩存，直Window:16位，單位是字節，最大65535B。接收端收到報文之后要先放到緩存區，等待所有報文都被確認之后才能交給應用層，UrgentPointer：配合URG如圖1.87所示，TCP3第一次握手：主機發同步報文給服務器，SYN標志位置“1”，第三次握手：主機發回應給服務器，ACK置“1”，報文序列號圖 標志位和序列號的應如圖1.88所示，主機連續發送3個數據包，編號分別是101但是104在發送過程中丟失了，服務器沒收到104，再發一次確認號圖 TCP數據發送和確認過在上面例子中，主機一次性發了3個數據包，這個數據包是不是如圖1.89所示，最開始主機發4個數據包給服務器，服務器緩存滿了，最后一個被丟棄，服務器通過Window字段通知主機A一次只能接收3072B，后面主機就會調整發送數據包的數量，避免重傳。圖 TCP流量控制過TCP數據發送完成之后，需要關閉TCP連接，從而釋放相關資圖 TCP關閉過UDP如圖1.91所示，UDP報文分為UDP報文頭和UDP數據區域兩部圖 UDP結如圖1.92所示，主機A發送數據包時，以有序的方式發送，每個數據包獨立地在網絡中被傳送，不同的數據包可能會通過不同的網絡路徑到達主機B，因此先發送的數據包不一定先到達主機B。圖 UDP數據轉發過UDP如圖1.93所示，網絡左邊有2臺主機，右邊有2臺網站Web服務器，主機和服務器處于不同網段，中間有2個路由器作為網關。假設主機A要訪問服務器A，報文是如何逐層封裝的？圖 簡單網絡拓口號，源端口號1027是隨機端口號，取值范圍是1024～65535。報連接階段，SYN標志位置“1”，具體內容可參考前文，這里不再重接下來封裝網絡層頭部，如圖1.95所示，Version字段如果是IPv4就取值4;HeaderLength一般取值20；上網業務報文的DSField通常取值0，低優先級；TotalLength跟具體數據報文長度有關；分片相關的3個字段正常填寫；Identification有具體編號；Flags取值0;Offset取值0，表示沒有分片；TTL取默認值255或者128;Protocol取值0x06，表示傳輸層封裝的是TCP;HeaderChecksum是由主機根據特定算法計算出的一串校驗和；源IP地址是主機A的IP地址；目標IP地址是服務器A的IP地址;Options字段然后封裝鏈路層，主機A首先判斷目標IP地址和自己是否處于同圖 TCP封圖 IP頭封如圖1.97所示，主機A得到網關IP地址之后，通過查找ARP緩存表獲得網關對應的MAC地址00-01-02-03-04-08；如果查不到，就如圖1.98所示，鏈路層封裝的目標MAC地址是網關的MAC00-01-02-03-04-08MAC地址是主機A的MAC00-01-02-03-圖 主機A的網關是圖 主機查找網關的MAC地圖 鏈路層封會繼續處理。如圖1.99所示，去掉以太網頭部之后，RTA處理IP頭部，得到目標IP地址，再查路由表得到接口IP地址圖 RTA路由表匹RTA接著會將數據從Ethernet0/1接口發給下一跳，獲得目標MAC地址之后，RTA封裝以太網頭部，然后轉發給如圖1.100所示，和RTA的處理過程類似，RTB通過查路由表和服務器A收到這個以太網幀之后，通過以太網頭部的Type字段0x0800判斷這是IP報文。如圖1.101所示，服務器A拆掉以太網頭然后服務器A通過Protocol字段的值0x06判斷IP包內數據是TCP圖 RTB的轉發過圖 IP報從圖1.102的轉發流程可以看到，主機發出來的報文，在網絡傳圖 TCP報第2 實驗工具介VRPVRP（VersatileRoutingPlatform，通用路由平臺）是華為公司數據通信產品的通用操作系統平臺。如圖2.1所示，PC機用圖 各種設備的操作系防火墻、WLAN等網絡設備都使用VRP操作系統，命令格式保持統圖 通用的操作系統平分設備都用這個版本，VRP1、VRP2、VRP3目前基本不再使用，高圖 VRP的不同版圖 登錄網絡設臺式PC機通常帶有串口接頭，如圖2.5USB頭連接計算機，通常還需要安裝對應的驅動才可以正常使圖 臺式PC機的串口接圖 USB轉串口圖 計算機COM口信硬件連線完成之后，在計算機上打開超級終端工具軟件，如圖變，最后單擊“確定”按鈕就可以進入設備的命令行界面，如圖圖圖 命令視圖 用戶視系統視圖：用戶視圖下，輸入命令system-view，進入系統視圖 系統視接口視圖：系統視圖下，輸入interf，進入接口視圖，如圖2.12圖 接口模圖中接口編號GigabitEthernet0/0/1表示什么呢？首先GigabitEthernet表示接口是GE口，也就是接口最大速率是1Gb/s。圖 接口編號規協議視圖：系統視圖下，輸入協議名稱，進入協議視圖，如圖 圖 視圖之間的切換關用quit命令退回到上一級視圖，用return命令直接回到用戶視圖2.16華為設備4個權限等級指的是虛擬終端接口，實際上就是telnet,vty04表示0、1、2、3、4圖 配置telnet用戶和對應權限等authentication-modeaaa用來指定telnet登錄的時候要輸入用戶名和密碼；另外還有一種方式是password，只要求密碼，不需要用戶名。實際應用中都是用aaa模式，不同人使用不同賬號，方便分配權限。local-userhuawei，用于在設備本地創建一個用戶，用戶名是這里不做具體介紹。passwordcipherhuawei123，用于給huawei這個用戶設置登錄密碼為huawei123。cipher指的是將密碼進行加密，使其不能通過display查看；如果用display查看，顯示出來的將local-userhuaweiservice-typetelnet用來給huawei這個用戶圖 命令快捷圖 簡易命令輸面跟著“？”，例如display？，系統會將display支持的所有參數都圖VRP如圖2.21所示，網絡設備與計算機類似，也有CPU、硬盤、內存。系統軟件和配置文件存放在Flash里，設備上電之后，CPU會將圖 網絡設備硬件結內存里的配置文件叫CurrentConfiguration,Flash里的配置文件叫SavedConfiguration，設備剛上電啟動的時候，Flash里的配置文如果輸入一些命令進行設備配置，這些命令的結果會存放在CurrentConfiguration里，但是不會自動同步到Flash，此時如果設圖 保存系統配可以通過命令查詢當前配置和Flash的配置，如圖2.23 圖 文件操作命圖 恢復出廠配在設備日常維護過程中，有時候需要升級系統版本，或者備份／恢復配置文件，此時可以用FTP或者TFTP上傳／下載文件。如圖2.26所示，FTP需要用戶名密碼，TFTP不需要用戶名密碼，通常用FTP式。下面介紹通過FTP圖 FTP和圖 配置設備接口IP地圖 通過FTP下載文圖 設置下次啟動文圖 重啟設eNSP本節介紹華為模擬器的下載、安裝、實驗過程、常用技巧等內下載eNSP在百度上搜索“eNSP模擬器下載”可以很容易找到模擬器下載 圖 eNSP安裝文安裝eNSP步驟1：默認中文（簡體）安裝語言，單擊“確定”按鈕，如圖圖 選擇安裝語圖 選擇安裝路步驟3這一頁提示安裝3個輔助軟件，分別是WinPcapWireshark、VirtualBox，如果計算機上已經安裝，將不會重復安裝，系統會自動檢測并勾選，建議不要自己更改選項，如圖2.35所圖 安裝輔助軟步驟4：確認安裝信息，單擊“安裝”按鈕，如果是第一次安裝，還會有其他對話框提示安裝上一步勾選的那些軟件，全部單擊圖運行模擬器，進入初始界面，如圖2.37圖 初始界單擊初始界面右上部方框里的“新建”按鈕，新建一個實驗，進入實驗界面，如圖2.38所示。1號方框區域可以選擇設備種類，如路由器、交換機、防火墻等；2號方框區域顯示設備具體型號，例如上面選擇路由器，下面就會列出所有可用的路由器型號；3號區域是實驗臺，所有實驗設備都可以放到實驗臺上。圖 實驗界圖 添加2臺路由如圖2.40所示，先單擊左上角的“設備連線”，再單擊下面的Copper，然后單擊R1路由器，選擇其中一個接口，例如Ethernet圖 連接設備接然后再單擊R2，同樣選擇Ethernet0/0/0接口，將R1和R2連接圖 連接兩臺設比較凌亂，如圖2.41所示，Ethernet0/0/0字樣和R2路由器重疊在一箭頭圖標，再選中Ethernet0/0/0字樣，按住鼠標將其拖到合適的位圖 調整文字描述位圖 啟動設圖 打開設備命令圖 命令行窗口切圖 文本備注工圖 調色板工PC，連接到R2的Ethernet0/0/1接口，并啟動PC。圖 添加PC終PC默認的名字是CLIENT1，可以單擊PC的名字進行修改，如圖雙擊PC1，配置IP地址、子網掩碼和網關，如圖2.50雙擊R2，配置Ethernet0/0/1接口的IP地址，如圖2.51圖圖 配置圖 配置路由器接口IP地圖 PC終端ping路由器IP地圖 抓包分圖 Wireshark抓再到PC1命令行界面ping,Wireshark會抓取所有通圖 抓取通信報圖 系統參數配圖 保存網絡設備配圖保存之后會生成一個文件夾，如圖2.59圖 保存后的文件本節介紹了華為eNSP模擬器的下載、安裝、實驗以及常用工具第3 交換機工作原本章介紹鏈路層相關的內容，包括交換機工作原理、VLAN原圖 Hub設備工作原與Hub相比，交換機就聰明多了，不同設備互相隔離，避免沖是主機B的MAC地址，SWA根據收到的幀里面的目標MAC地址查圖 交換機工作原圖 交換機數據轉發機主機A、主機B、主機C在互相通信前，首先要做的就是獲得對方的MAC地址。最開始的時候需要通過ARP協議獲得MAC地址，例如主機A要獲得主機C的MAC地址時，要先發送ARP請求，然后等待主機C回應該ARP請求。交換機通過分析ARP報文來更新MAC地址表。注意MAC地址表的更新過程：首先，交換機根據來自主機A的ARP請求在MAC地址表中添加主機A的信息，如圖3.5(a)所示；然后，交換機將該ARP請求轉發給主機B和主機C，如圖3.5(b)所示；最后，交換機根據來自主機C的ARP回應在MAC地址表中添加主機C的信息，如圖3.5(c)所示。圖 初始狀態的MAC地址發。如果主機和交換機的連接斷開，例如圖3.5(c)中主機C離開應的表項。可以用displaymac-address查詢交換機MAC地址表的變圖圖 MAC地址表查經離開，ARP緩存表里還有主機C對應的MAC地址，如果主機Aping還有一種MAC地址是廣播MAC，交換機的處理方法也是發給各前面介紹MAC地址的時候，還提到一種特殊MAC——組播另外還有一種特殊情況——丟棄，例如SWA接口Ethernet0/0/0配置的VLAN是1，但是收到的幀攜帶的VLAN是2，這個幀就會被丟以上各種轉發情況匯總如圖3.7圖 交換機轉發規VLANVLAN交換機可以讓不同的主機互相之間同時通信，但是不能隔離廣為了避免全網廣播問題，可以用VLAN（VirtualLocalArea圖 廣播報文轉圖 VLAN基本概VLAN技術是如何實現的呢？或者說交換機如何知道哪個報文屬于VLAN1，哪個報文屬于VLAN2呢？實際上是通過VLAN標簽識別的。如圖3.10所示，這是前面介紹過的普通以太網幀。圖 普通以太網4B的VLAN標簽前2B是TPID（TagProtocolIdentifier，標簽協議標識），華為設備取固定值0x8100，后面2B分3個部分，具體如圖 帶VLAN標簽的CFI:CanonicalFormatIndicator，規范格式指示器，1比特，0VLANID:VLANIdentifier,12比特，可以表示的范圍是0～4095，其中0和4095這兩個ID用的VLANID范圍是1～4094這個VLAN標簽由交換機來添加，如圖3.12所示。主機發出來的以太網幀不攜帶VLANTag，通常也稱為Untagged幀，這個幀到達圖 添加VLAN標交換機根據什么添加VLAN標簽呢？如圖3.13所示，有多種不同圖 VLAN標簽添加的不同方第1種：基于端口，圖中SWA端口G0/0/1和G0/0/7收到的報文第2種：基于MAC地址，SWA根據收到報文的S.MAC添加VLAN標簽，這種方式需要對每個接入SWA的PC都要配置MAC和VLAN的第3種：基于IP網段，SWA收到報文之后需要分析源IP所處的網段，因為要額外分析IP頭，消耗交換機資源，實際中很少用。通常都是基于端口分配VLAN基于端口分配VLAN標簽時，用PVID（PortVLANIDVLANID）配置接口的VLANID，如圖3.14所示。圖 配置接口VLANVLAN標簽是在交換機接口上處理的，交換機接收主機發過來的報文時會添加VLAN標簽，往主機發送報文的時候需要剝離VLAN簽，這是因為主機不能識別帶VLAN標簽的報文。然而如果對端是交換機，發送報文的時候，又需要帶VLAN標簽。為了更好地控制標簽的處理，交換機的接口可以工作于不同模式。圖 交換機接口類Access的工作機制。如圖3.16所示，方框表示交換機，端口PVID=5，主機圖 Access口工作機收方向，指交換機接收主機發來的報文，分3第1種：Untagged報文，交換機會添加一個VLANTag=5，見方第2種：Tag=5的報文，交換機直接放行，不再添加VLANTag，第3種：Tag=10的報文，因為和PVID不一致，直接丟棄，見方發方向，指交換機發往主機的報文，分2第1種：VLAN與PVID一致，Tag=5，剝離VLANTag，還原成記憶技巧：與PVID不一致的報文全部丟棄。Access口只允許一種VLANTagged報文通過。Access口舉例說明：如圖3.17所示，主機A發Untagged報文到SWA的G0/0/1接口，SWA添加VLANTag=10，報文進入交換機之后，攜帶VLANTag=10，然后交換機會從G0/0/3接口轉發出去，因為G0/0/3接口的VLANTag=10，發出去的報文不帶VLANTag。報本身攜帶的VLANTag不一致，根據規則，直接丟棄。 圖 Access口配進到接口模式，將接口配置為Access口：portlink-type給接口指定PVID:portdefaultvlan3Trunk許多種不同VLANtagged報文通過，因此相比Access口來說，多了一個allowpass控制列表，用來控制讓哪幾個VLANTag通過，實際配置的命令是porttrunkallowvlan510，指定讓VLANTag5、10收方向：指上方交換機接收下方交換機發來的報文，分3種情第1種：收到Untagged報文，添加VLANTag=5，見方框左邊第2種：收到在allowpass范圍內的VLANTag報文，直接通過，第3種：收到帶有VLANTag報文，但是該VLANTag不在allow發方向：指上方交換機發報文給下方交換機，分3第1報文帶的VLANTag在allowpass范圍內，同時又和PVID相同，剝掉VLANTag，發送Untagged報文，見方框右邊P1報第2種：報文帶的VLANTag在allowpass范圍內，但是和PVID第3種：報文帶的VLANTag不在allowpass范圍內，直接丟棄，圖 Trunk口工作機Trunk口舉例說明，如圖3.20所示，主機A、C屬于VLAN1，主機B、D屬于VLAN20，交換機連接主機的接口都是Access口，SWApassvlan120。圖 Trunk口工作示主機A發送Untagged報文給SWA,SWA添加VLAN1，這個報文會發往SWB,VLAN1在SWA的allowpass范圍內，同時又和接口的PVID一致，根據Trunk口的規則，會剝掉VLAN標簽，變成Untagged報文發往SWB。SWB收到Untagged報文時會添加VLANTag=1,VLANTag=1在SWB的allowpass范圍內，所以會放行并轉主機B發送Untagged報文給SWA,SWA添加VLANTag=20SWA將報文發送給SWB時，因為其VLANTag20在allowpass范圍個報文時判斷VLANTag20在它的allowpass范圍內，所以會轉發給通常Trunk口的PVID都使用默認的VLAN1，如果要修改Trunk口文無法被正確轉發。可以嘗試分析一下，如果SWA右邊接口的Trunk口配置如圖3.21圖 Trunk口配置命Hybrid圖 Hybrid口應用場Hybrid口的工作機制與Trunk口最大的不同點就是Hybrid口有2個控制列表，一個是TaggedVLAN列表，另一個是UntaggedVLAN圖 Hybrid口工作機收方向：指上方交換機接收下方交換機發來的報文，分3種情第1種：收到Untagged報文，添加VLANTag=5，見左邊P1報第2收到帶有VLANTag報文，且VLANTag在Tagged第3種：收到帶有VLANTag報文，但該VLANTag不在Tagged發方向：指上方交換機發報文給下方交換機，分3第1種：報文帶的VLANTag在TaggedVLAN列表里，透傳，見第2種：報文帶的VLANTag在UntaggedVLAN列表里，剝掉VLANTag發出去，見右邊P2報文處理。第3報文帶的VLANTag不在TaggedVLAN列表又不在UntaggedVLAN列表里，直接丟棄，見右邊P3報文的處理。SWA端口1配置taggedlistvlan23100,untagged列表隨意，SWA端口2配置untaggedlistvlan2100,tagged列表隨意；SWA端口3配置untaggedlistvlan3100,taggedSWB端口1配置taggedlistvlan23100,untaggedSWB端口2配置untaggedlistvlan23100,tagged圖 Hybrid口工作示主機A發送Untagged報文給SWA,SWA2號端口會添加VLAN2,VLAN2在該端口的Untagged列表里，所以繼續轉發（如果反方向：服務器回一個Untagged報文到達SWB的2號端口時會號端口發出去，因為VLAN100在1號端口的Tagged列表里，所以圖 Hybrid口配置命華為交換機的接口支持3種模式，分別是AccessTrunkHybrid。出廠默認的接口模式是Hybrid，默認的VLANTag=1。初次接觸VLAN配置會容易搞混，因為規則太多，最好的解決辦法就是多做實驗，多練習，也可以自己設計一些場景，然后做實驗驗證。圖 檢查當前接口配圖 刪除接口下的配③可以用displaycurrent-configuration查看當前設備的所有配圖 查詢當前所有配Access如圖3.29所示，交換機接口的PVID=2，主機的IP地址分別是圖 Access口實驗拓 步驟2：配置交換機，雙擊LSW1，配置接口模式和PVID，如圖注：配置之前要先在系統模式下創建vlan，使用命令vlan2。如步驟3：驗證實驗結果。主機和交換機都配置好后，可以到主機Trunk如圖3.33所示，PC1和PC3屬于VLAN2,PC2和PC4屬于VLAN3圖 配置交換機接圖 驗證配圖 Trunk口實驗拓圖 配置圖 配置實驗拓展，自己嘗試做以下驗證，增加對Trunk口轉發機制的理解：圖 配置圖在LSW1和LSW2之間的鏈路上啟動抓包，PC1pingPC3,PC2pingPC4,PC1pingPC4觀察ping報文的vlan攜帶情況；將LSW1和LSW2的Trunk口PVID都改成2，將LSW1的Trunk口PVID改成2,LSW2的Trunk口PVID改成3，Hybrid如圖3.38PC1屬于VLAN2,PC2屬于VLAN3,PC3VLAN100,PC1和PC2不能互通，但是都可以訪問PC3。圖 Hybrid實驗拓圖 配置步驟3：配置PC1的IP地址和子網掩碼，如圖3.41所示，PC2和步驟4：驗證PC1與PC3,PC2與PC3,PC1與PC2的連通性，如圖圖 配置圖 配置PC1的IP地址和子網掩圖圖 綜合實驗拓本節介紹了VLAN的應用場景，以及VLAN華為交換機接口的3種模式，分別是Access、Trunk、Hybrid，最后對各種模式做了實驗演示。本節內容相對比較抽象，需要記憶的規則較多，同時又非常重STPSTP（SpanningTree圖 二層冗余鏈廣播風暴問題：如圖3.45所示，交換機SWA、SWB、SWC形成環路，主機A和主機B通信的時候，首先要通過ARP協議獲得對方的MAC地址，ARP協議的目標MAC是廣播MAC地址FF-FF-FF-FF-FF主機A發送一個廣播報文給SWB,SWB會給0、1端口各發一份，份，然后又回到SWB，此時SWB還會繼續轉發，給0、2端口各發一廣播報文隨著時間推移會不斷累加，最終設備端口帶寬都被占MAC地址表振蕩問題：如圖3.46所示，主機A發送ARP報文給SWB,SWB會分析該報文的源MAC地址，并更新到MAC表項：00-05-06-07-08-AA端口G0/0/3時是從G0/0/2收到的，因此SWB會更新MAC地址表，將原來的刪此時如果有其他主機發送報文給主機A,SWB查表發現主機A在中斷。稍后主機A再次發出ARP報文，SWB又重新更新到正確的表圖 環路廣播風暴示意圖 MAC地址表振蕩示意路。破除環路有兩種辦法，一種是手動拔插，但是業務中斷時間較STP前面介紹以太網幀結構的時候，介紹了兩種幀結構，一種是種是IEEE802.3幀，這是用來封裝二層協議報文的，STP報文就是用如圖3.47所示，STP通過BPDU（BridgeProtocolDataUnit，圖 BPDU交的一系列信息，如交換機優先級、MAC地址、接口數量、各接口帶圖 STP幀結3.49所示，SWC通過計算得知左邊端口應該阻塞，該端口被阻塞之圖 阻塞端口避免環STP阻塞端口是怎么計算出來的呢？主要通過4個步驟，如圖3.50所步驟1：根據各個交換機的優先級選取一個根橋(Root步驟2：每個非根交換機選取一個根端口(R:Rootport)，即距離步驟3：為每條鏈路選取一個指定端口(D:Designatedport)，即步驟4：非R非D端口就是阻塞端口(A:AlternativePort)圖 阻塞端口計算過注：步驟2是從交換機的角度來看，例如SWB有2個端口離根橋最近，步驟3是從鏈路的角度來看，例如圖中下方那條鏈路，比較左右兩個端口哪個距離根橋近。步驟1：選取根橋。如圖3.51所示，根據交換機優先級選取根橋，首先比較交換機優先級，優先級取值范圍是0～65535，默認優先級為32768，如果優先級一樣，就比較MAC地址，值越小優先級圖 根橋選圖中SWA的優先級是4096,SWB和SWC的優先級都是32768，因此SWA優先級最高，是根橋(Root)。此外，SWB的MAC地址比圖 非根交換機選取根端圖中LC指的就是鏈路開銷，LC1指鏈路開銷值為1。G0/0/2:2+1=32個端口開銷值一樣，此時要判斷接口對端交換機的優先級，接先級一樣，此時要判斷對端接口ID,SWE的G0/0/1對端的接口ID是步驟3：為每條鏈路選取一個指定端口（D端口）。如圖3.53所圖 選指定端總結一下STP②選取根端口（R端口）：比較交換機各端口到達根橋的cost，④非R非D端口就是ASTP協議中，都是值越小越優，包括交換機的優先級、MAC地所有這些參數都在STP的BPDU報文中交互，然后交換機通過計舉例說明：如圖3.54所示，共有SWA、SWB、SWC、SWD、SWE5臺交換機，各交換機的優先級、MAC地址和各個鏈路的cost見圖 STP拓撲示端口3:SWA→SWD→SWB,cost=11端口端口3:SWD→SWC→SWB,cost=11圖 非根交換機的R端口選SWA-SWC之間的鏈路：上端cost10+1=11costSWA-SWD之間的鏈路：上端cost1+1=2，下端costSWC-SWD之間的鏈路：上端cost為5+1+1=7cost為SWD-SWE之間的兩條鏈路：左邊接口距離根橋最近，因此D端各鏈路的D端口分布如圖3.56圖 各鏈路指定端口選非R非D端口會被阻塞，因此最后的生成樹如圖3.57圖 最終生成如圖3.58所示，最開始的時候SWA是Root,SWC的左邊端口是A端口。后來修改了SWC的優先級，SWC變成了Root，根據規則，圖 臨時環個中間狀態，每個狀態持續15s，共需要30s。30s內，新的A口被選交換機端口共有5①Disabled：禁用狀態。端口不能處理任何報文，使用命令A端口切換到D端口需要經過如下狀態，如圖3.59圖 A端口到D端口的切換過圖 根橋選取前后BPDU發送情出現故障，網絡中就沒有BPDU更新，經過20s后，之前根橋發的Learning這兩個狀態才能進入正常轉發狀態，需要時長SWB認為SWA失效，因此嘗試發送BPDU給SWC，但是SWC能收到SWA發來的BPDU，知道Root還正常工作，因此忽略來自SWB圖 根橋故障場圖 鏈路故障恢MAC如圖3.63所示，主機A和主機B的通信走上面的路徑，SWB的圖 示例拓后來SWC的G0/0/1口出現故障，路徑改為下面那條鏈路，但是來更新的，交換機鏈路故障，但是主機A、主機B本身還有ARP緩存如圖3.64所示，SWC感知到G0/0/1出現故障后，通過一系列動作強①SWC往G0/0/2發送TCN（TopologyChangeNotification，②SWB收到TCN后，給SWC回TCA，讓SWC停止發③SWB給根橋SWA轉發④SWA發TC給SWB，通知SWB刷新MAC⑤SWB給SWC轉發TC，通知SWC刷新MAC圖 網絡拓撲刷新過改成15s（可配置），15s后，MAC地址表被清空，此時如果收到主機A發往主機B的報文時，對SWB來說就是未知單播，根據規則會泛STPstpdisable：停止使用STP功能；stpenable：開始使用STPstpmode：選擇STP模式，共有3個，RSTP和MSTP下一節再介stppriority：stppathcost-standard：指定鏈路cost的計算標準，同樣的帶stpcost2000：對接口強制指定cost值，一般不建議這么配置，圖 STP配置命令和路徑cost計算標查看實驗結果，如圖3.66所示，使用displaystp查看相關信息，圖 查看STP相關參實驗建議：自己設計各種拓撲，各鏈路都使用Ethernet100M圖 實驗拓拓撲搭建好之后，使用displaystp查看各個交換機的優先級，然RSTP與MSTP恢復業務，影響了用戶通信質量。RSTP（RapidSpanning-TreeMSTP（MultiSpanning-TreeProtocol，多生成樹協議）RSTPRSTP可以實現快速收斂，收斂時間縮小到3～5s，如圖3.68所圖 STP與RSTP的差RSTP③P/A備份端口：如圖3.69所示，SWC的G0/0/1和G0/0/2同時連接到右邊的Hub，相當于一個物理環路。STP中，SWC的G0/0/1是D端口，G0/0/2是A端口，如果G0/0/1發生故障，G0/0/2恢復業務需要50s，但實際上業務可以立刻恢復，因為右邊網絡不存在臨時環路問題。圖 備份端邊緣端口：如圖3.70所示，SWC的G0/0/1口連接終端，沒有必圖 邊緣端但是如果將計算機替換為交換機，在其向SWC的G0/0/1發送SWA、SWB、SWC的優先級都是默認值32768，其中SWA的MAC地址最小，因此SWA是Root。經過計算，SWC的G0/0/1口是A端圖 P/A機制工作過后來手動修改了SWC的優先級，從32768改成4096,SWC成為新④SWB收到SWA的Agreement之后，也發Agreement給⑤SWC的G0/0/1收到Agreement之后，確定新的A端口已經存除了上面3個優化點之外，RSTP與STP還有2①HelloBPDUHello報文發送差異：如圖3.72所示，根橋穩定之后，每個交換機都會發HelloBPDU,STP只有根橋才能發HelloBPDU。SWA感知到G0/0/1口狀態變化后，馬上清除G0/0/1口相關的MAC地址表項。SWC為了快速恢復業務，從G0/0/2口發出Proposal,SWB收到這個Proposal后也向SWA發Proposal，同時將圖 RSTP的Hello圖 RSTP拓撲變化處理機如果網絡中有多臺交換機，途經的每臺交換機都會將發出Proposal的接口相關的MAC地址表項清除。大家可以自己比較一下的RSTPBPDU，而RSTP交換機在某端口上接收到STPBPDU時，會在等待兩個HelloTime時間之后，把自己的端口切換到STP工作模式，此后便發送STPBPDU，這樣就實現了兼容性操作。全網同步成RSTPRSTP配置與STP配置類似，不過多了幾個特性，如圖3.74圖 RSTP配MSTP實際應用中，不同的業務可能會走不同的路徑，如圖3.75所示，VLAN2和VLAN3的業務走不同路徑，如果此時通過計算將SWD的G0/0/1口阻塞，那么VLAN3的業務會受影響。為了解決這個問題，需要使用MSTP（MltiSpanningTreeProtocol，多生成樹協議），在一個網絡中同時存在多個生成樹，可以以VLAN為單位，一個VLAN一個生成樹，也可以多個VLAN共享一個生成樹。圖 MSTP工作原本節主要介紹了RSTP，另外簡要介紹了MSTP的工作背景。RSTP采用了多個快速收斂機制，其中最主要的是P/A機制，大大減少了業務恢復時間，從STP的50s減到3～5s。MSTP支持多個生成樹，其收斂時間和RSTP一樣，也是3～5s。第4 路由器工作原本章主要介紹路由器相關的內容，分為4③OSPF④VLAN圖 路由器和交換機的工作位唯一。但是在路由器網絡中允許環路存在，如圖4.2所示，從RTA出圖4.2路由器如何選擇最優路徑注：3層網絡通過IP頭的TTL所示，可以通過displayiprouting-table命令查詢路由表。為了方便圖 路由IP報文，其目標IP是,RTA通過查表，發現可以命中路由表的RTA要將這個報文從接口G0/0/0發出去，并且交給RTB而不是RTD，所以要指定下一跳是RTB的G0/0/1接口，因此路由表里的RTBG0/0/1的MAC地址，路由表里的Interface字段指的是RTA的出Proto:Protocol，表明這條路由信息來自哪里。例如第4個條目圖 路由轉發示例Pre:Preference，路由優先級，和Proto有映射關系。例如第4條，是通過OSPF獲取的，優先級是10；第2條，是通過RIP優先級是100Flags路由標識，通常都是D，表示此條目已經下發到fib(forwardinginformationbase)，fib是路由器里面另外一張更詳路由器具體是如何使用路由表的呢？首先是最長匹配原則，如圖4.5所示，RTA收到一個去往的IP報文，查路由表的時候里面有2個條目都能匹配，但是下方的條目匹配更長，更精準，因此會優選/24這個路由條目。圖 路由最長匹配原所示，上面路徑來自OSPF，下面路徑來自RIP，同樣是去往圖 目標網段一致的場先級是10，通過RIP獲取的路由條目優先級是100，因此會選擇來自注：通過RIPDirect指路由器的直連網段，如圖4.6中RTA的G/0/0/0接口IP和RIP是動態路由，可以自動學習，OSPF比RIP更高效，cost也更精如果網絡中出現兩個條目的路由優先級一樣怎么辦？如圖4.7所圖 路由優先級一致的場用的是千兆口，下面路徑的cost更小，因此會選擇下面那條路徑，如果目標網段、路由來源、cost也一樣怎么辦，如圖4.8所示，圖 等價路此時兩條路徑同時生效，而且都會轉發業務報文，形成等價路圖 等價路由的路由④如果有多條cost路由表的路由來源可以分為3類，第一類是直連路由，第二類是靜態路由，第三類是動態路由(OSPF、RIP會使用動態路由協議生成動態路由。不過，即使是在復雜網絡環境圖 靜態路由示圖 路由表狀此時，主機Bping主機A的IP地址，報文到達RTB，如圖4.12所示，在路由器B上通過命令iproute-static添加靜態路圖 配置靜態路圖 RTB的路由此時主機B再ping主機A的IP地址,RTB收到該報文后，查路由表可以命中/24這個條目，于是就發給NextHop，將報文轉交給RTA。RTA收到該報文后，查詢自己的路由表，如圖4.14所示，此時只配置了RTB的靜態路由，主機Bping主機A并不能成功，因為ping命令其實包括了icmp里面的EchoRequest和EchoReply兩個方向的報文，主機A收到EchoRequest之后還要回EchoReply給主機B，主機B收到EchoReply才算成功。圖 RTA的路由主機A回的報文里面，目標IP是主機B的IP地址，該報文到達RTA的時候，RTA查路由表無法匹配任何條目，報文被丟圖 RTA的路由圖 主機B成功ping主機圖 給主機配置網關于靜態路由的配置，要記好3個參數分別填什么內容，另外在靜態路由除了普通路由功能外，還有以下重要3圖 負載分擔應用場在路由器B上配置兩條靜態路由，目標網段和掩碼一樣，但是下 圖 路由備份工作場圖 RTB的路由將主鏈路停掉，備份鏈路馬上進入工作狀態，如圖4.22圖 主備鏈路切圖 默認路附加練習：如圖4.24所示，3圖 多路由器場景配置靜態路OSPF用，但是有一些弊端，現在的網絡基本不用RIP，華為新版路由交換OSPF（OpenShortestPathFirst，開放式最短路徑優先）具有由器ID的格式與IP地址一樣，可以手動指定路由器ID，通過命令配置：[RTA]ospfrouter-id。圖 路由器如果不指定，OSPF進程啟動后，會自動指定路由器ID，優先使OSPF值÷帶寬。帶寬參考值可配置，默認為100Mb/s。例如，一條100Mb/s鏈路的開銷：100÷100=1，一條10Mb/s鏈路的開銷：100÷10=10圖 OSPF開銷配OSPF條目呢？首先每個路由器會發LSA（LinkStateAdvertisement，鏈圖 OSPF計算過鏈路數量 網段 掩碼 網段開銷LSA。每個路由器會把收到的所有LSA存入自己的LSDB（LinkStateLSDB穩定后，路由器使用SPF（ShortestPathFirst，最短路徑優先）算法對LSDB進行計算，得出最短路徑樹。樹根就是當前路由①發出LSA，②收集LSA，存到③使用SPFOSPFOSPF工作流程如圖4.28所示，RTA和RTB 啟動：路由器上電，接口配置了IP地址，并且配置了OSPF，此時會發出Hlo報文探測鄰居，Helo報文用的目標IP地址是組播IP。如果同一個網段里有多個路由器，都可以收到這個Hlo報文，如圖4.29所示。圖 同網段多個路由由器相關的內容，如圖4.30所示，Hello報文攜帶左邊方框里面的信二個Hello報文后，鄰居才算建立成功。鄰居建立完成后，開始發Hello報文，例如RTA用的版本號是IPv4,RTB用的是IPv6，此時無法建立鄰接：鄰居建立完成后開始同步LSDB，同步過程如圖哪些LSA，此時RTA和RTB互相交互LSDB清單，這個清單就是DD（DatabaseDescription，數據庫摘要）報文。圖 鄰居建立過圖 LSDB同步過DD，小的后發，因此同步最開始需要通過DD報文確定主次，此時發一個DD，該DD中都認為自己是主。DD報文有一個Sequence編主從選好之后，開始交互DD,RTB是主，所以先發，見步驟4、RTA和RTB收到對方DD之后，和自己的LSDB比較，RTA發現缺StateRequest簡稱LSR。RTBLSRLSARTA7,LinkStateRTA收到LSU之后，還要發一個ACK，確認LSU已經收到，見步RTA和RTB之間的LSDB同步完成后，進入Full狀態，只有達到維護關系：LSDB同步完成后進入一個穩定狀態，后面還會使用Hlo報文來維護關系，RTA、RTB周期性發Hlo給對方，例如每10s發一個，如果連續3個周期收不到對方的Hlo報文，就可以判定對方出故障了，然后刪除相應的路由條目。DR與圖 數據庫同步次之為DR（DesignatedRouter，指定路由器）。如圖4.34所示，DR通過路由器優先級選取，值越大，優先級越高，默認值是1，如果優先級都一樣，則比較路由器ID，值最大的就是DR。優先級可以配置，如果設置為0，則不參加選取。DR居建立階段完成，Hlo報文里帶有當前路由器的優先級和路由器ID。DR是數據庫同步中心，在選取DR的同時還會選取一個次優的路由器作為DR的備份，這個路由器稱為BDR（BackupDRR），圖4.34中，RTC優先級最高，是DR,RTA和RTB優先級一樣，但是RTB的路由器ID比RTA大，因此RTB是BDR。圖 數據庫同步中圖 DR選如果DR故障，BDR自動成為DR，網絡中重新選取BDR圖 鄰居和鄰RTA是DR，與另外3個路由器同步數據庫，RTA與RTB、RTC、RTD都是鄰接關系，但是RTC和RTD之間就沒有直接進行數據庫同有鄰居關系的2個路由器，不一定有鄰接關系，但是有鄰接關系的2個路由器，一定是鄰居。（注：BDR也會與網絡上所有的路由器建立鄰接關系。）圖 OSPF狀態OSPF①LSDB②LSDB過大，計算路由時占用太多③網絡振蕩問題，任何鏈路狀態改變，全網路由器都需要更新不同區域的路由器維護的LSDB不一樣。RTD只需要維護RTD和RTA的LSA，但是RTA和RTD不一樣，它有2個LSDB，其中一個是區圖 OSPF區圖中RTA、RTB、RTC處在區域邊界上，它們有一個特殊任務，例如RTB會向區域0通告一個特殊的LSA，在里面告訴RTALSA，告訴RTD/8/8/8/8，同時還有/8，因為RTC也會通告/8這個特殊的LSA只是一個網段概括，RTD只需要了解到RTA有這樣RTD就可以獲取到全網的路由，又可以大大減少LSDB的條圖 OSPF路由器角①IR：完全處于普通區域的路由器，例如②BR：完全處于骨干區域的路由器，例如③ABR：處于兩個區域之間，例如RTA、RTB、④ASBR：與外界互通的路由器，例如RTEAS指的是AutonomousSystem，中文意思是自治系統，圖中路每個網絡都需要和因特網互聯，也就是說每個網絡都需要有出口，和其他的AS連接，這個出口路由器負責往外面發布本AS的路由OSPFOSPF報文封裝在IP報文里面，具體格式如圖4.39所示。IP頭部Protocol字段值為89的時候，表示里面封裝的OSPF報文。目標IP地圖 OSPF報文格其中Version用來標識這是IPv4還是IPv6協議；PacketType標識后面是什么報文，例如PacketType=1時，標識里面是Hello報文；PacketLength、RouterID、AreaID、Checksum比較簡單就不介圖 OSPF報文具體格圖 NetworkMask：發送HelloHelloInterval：發送Hello報文的時間間隔，單位為s，默認是Options：標識發送此報文的OSPF路由器所支持的可選功能，RouterPriority：發送Hello報文的接口的RouterPriority，用RouterDeadInterval：失效時間。如果在此時間內未收到鄰居發來的Hello報文，則認為鄰居失效，單位為s，通常為4HelloDesignatedRouter：發送Hello報文的路由器所選取出的DR的BackupDesignatedRouter：發送Hello報文的路由器所選取Neighbor：鄰居的RouterID列表，表示本路由器已經從這些鄰居收到了合法的Hello報文。如果有多個鄰居，里面會填多個路由器OSPF圖 實驗拓RTA的配置命令如圖4.43所示，首先配置環回IP地址和接口IP地址；然后配置路由器的ID，通常使用環回IP地址作為路由器ID，命令為ospfrouter-id；最后進入Area0，在里面宣告環回IP地址和接口IP地址對應的網