【学习目标】

1.知识目标

了解数据通信的基础知识。

掌握常见的编码技术、多路复用技术的概念。

掌握差错控制的方法。

掌握计算机网络体系结构和相关协议。

掌握交换机和路由器的相关基础知识。

掌握局域网和广域网常见技术。

2.技能目标

使用Visio绘制网络拓扑结构图。

会配置以太网交换机。

会配置路由器。

会排除简单的网络故障。

【认证考点】

了解通信基础知识。

掌握计算机网络基础知识。

掌握局域网与广域网技术。

能够配置以太网交换机。

能够配置常见的路由协议。

项目引导：企业网络设计实施

【项目描述】

重庆有货电子商务公司是一个大中型企业，现将对其进行网络规划设计与实施。该企业由一个总公司网络、一个分公司网络组成。其中总公司网络和分公司网络在不同的地区，总公司有对外服务器（Demilitarized Zone，DMZ区）。网络拓扑结构如图3-1-1所示。完成该项目需要经过需求分析、网络拓扑结构图设计、交换机的配置、路由器的配置、调试测试并运行几个过程，经过上述过程才能完成该项目。

知识储备

3.1数据通信技术基础

数据通信是计算机网络最基本的功能，为网络用户提供了强有力的通信手段。计算机网络建设的主要目的之一就是使分布在不同物理位置的计算机用户相互通信和传送信息。一个数据通信系统可划分为三大部分，即源系统（或发送方）、传输系统（或传输网络）和目的系统（或接收方），如图3-1-2所示。

1.信息、数据与信号

（1）信息。通信的目的是传递信息。信息的载体可以是数值、语音、图形、文字、以及动画等。任何事物的存在都伴随着相应信息的存在，信息不仅能够反映事物的特征、运动和行为还能够借助媒体（如空气、光波、电磁波等）传播和扩散。

（2）数据。运送消息的实体。指把事件的某些属性规范化后的表现形式。数据可分为模拟数据与数字数据两种。

（3）信号。数据的电磁或电气表现。信号一般以时间为自变量，以表示信息的某个参量（振幅、频率或相位）为因变量。

三者的关系是信息一般是用数据来表示的，而表示信息的数据通常要转变为信号进行传递。

2.模拟信号与数字信号

根据信号中代表消息的参数的取值方式不同，信号可分为两大类：

（1）模拟信号。指波高和频率（每秒的波数）是连续变化的信号，如图3-1-3（a）所示，此类信号是家家户户用的电视图像信号、语音信号等。在模拟线路上，模拟信号（如电话中的声音）是通过电流和电压的变化进行传输的。

（2）数字信号。指离散的信号，如图3-1-3（b）所示，计算机使用的由“0”和“1”组成的信号。数字信号在通信线路上传输时要借助电信号的状态来表示二进制代码的值。电信号可以呈现两种状态，分别用“0”和“1”表示。

3.1.1编码技术

信号的常见的分类方法是将信号分为基带信号（Baseband）和宽带信号（Broadband）。来自信源的信号常称为基带信号。像计算机输出的代表各种文字或

图像文件的数据信号都属于基带信号。基带信号包含有较多的低频成分，甚至有直流成分，许多信道又不能传输这种低频成分和直流成分。就必须对基带信号进行调制。

调制可分为两大类。一类是仅仅对基带信号的波形进行变换，使它能够与信道特性相适应。变换后的信号仍然是基带信号。这类调制称为基带调制，过程称为编码（Coding）。另一类调制则需要使用载波（Carrier）进行调制，把基带信号的频率范围搬移到较高的频段，并转换为模拟信号。经过载波调制后的信号称为带通信号，而使用载波的调制称为带通调制。数字数据通常需要经过编码才能传输。

1.数字信号编码

在发送端，要解决如何将二进制数据序列通过某种编码（Encoding）方式转化为可直接传送的基带信号；而在接收端，则要解决如何将收到的基带信号通过解码（Decoding）恢复成与发送端相同的二进制数据序列。下面着重介绍几种常见的数字数据编码方法，如图3-1-4所示。

（1）不归零编码

不归零编码（Non-Return to Zero，NRZ）分别采用两种高低不同的电平来表示两个二进制“1”和“0”。例如，用高电平表示“1”，低电平表示“0”，如图3-1-4（a）所示。NRZ编码虽然简单，但其抗干扰能力较差。另外，由于接收方不能正确判断二进制位的开始与结束，从而收发双方不能保持同步，需要采取另外的措施来保证发送时钟与接收时钟的同步，例如需要用另一个信道同时传送同步时钟信号。

（2）曼彻斯特编码

曼彻斯特编码（Manchester Encoding）将每比特信号周期T分为前T/2和后T/2，用前T/2传送该比特的反（原）码，用后T/2传送该比特的原（反）码。所以在这种编码方式中，每一位电信号的中点（即T/2处）都存在一个电平跳变，如图3-1-4（b）所示。由于任何两次电平跳变的时间间隔是T/2或T，所以提取电平跳变信号就可作为收发双方的同步信号，而不需要另外的同步信号，故曼彻斯特编码又称为“自含时钟编码”。另外，曼彻斯特编码采用跳变方式表达数据较NRZ中以简单的幅度变化来表示数据具有更强的抗干扰能力。

（3）差分曼彻斯特编码

差分曼彻斯特编码是对曼彻斯特编码的一种改进。它保留了曼彻斯特编码作为“自含时钟编码”的优点，仍将每比特中间的跳变作为同步之用，但是每比特的取值则根据其开始处是否出现电平的跳变来决定。通常规定有跳变者代表二进制“0”，无跳变者代表二进制“1”，如图3-1-4（c）所示。之所以采用位边界的跳变方式来决定二进制的取值是因为跳变更易于检测。

2.模拟信号编码

公共电话线是为了传输模拟信号而设计的，为了利用廉价的公共电话交换网实现计算机之间的远程数据传输，就必须首先将发送端的数字信号调制成能够在公共电话网上传输的模拟信号，经传输后再在接收端将模拟信号解调成对应的数字信号。上述过程中实现数字信号与模拟信号转换的设备是调制解调器。数据传输过程如图3-1-5所示。

模拟信号传输的基础是载波，载波可以表示为式（1）。

u（t）= Vsin（

这样就出现了3种基本的编码方式振幅键控法（Amplitude Shift Keying，ASK）、频移键控法（Frequency Shift Keying，FSK）和相移键控法（Phase Shift Keying，PSK）。

3.1.2差错控制

用户通常将发送的数据与通过通信信道后接收到的数据不一致的现象称为传输差错，简称为差错。

差错的产生是无法避免的。信号在物理信道中传输时，线路本身电器特性造成的随机噪声、信号幅度的衰减、频率和相位的畸变、电器信号在线路上产生反射造成的回音效应、相邻线路间的串扰以及各种外界因素（如大气中的闪电、开关的跳火、外界强电流磁场的变化、电源的波动等）都会造成信号的失真。在数据通信中，将会使接收端收到的二进制数位和发送端实际发送的二进制数位不一致，从而造成由“0”变成“1”或由“1”变成“0”的差错。

差错控制的目的和任务就是解决传输线路中的出错情况，分析差错产生的原因和差错类型，采取有效的措施，即差错控制方法来发现和纠正差错，以提高信息的传输质量。

1.差错的类型

传输中的差错都是由噪声引起的。噪声有两大类，一类是信道固有的、持续存在的随机热噪声，另一类是由外界特定的短暂原因所造成的冲击噪声。

热噪声由传输介质导体的电子热运动产生，是一种随机噪声，所引起的传输差错为随机差错，这种差错的特点是所引起的某位码元（二进制数字中每一位的通称）的差错是孤立的，与前后码元没有关系。热噪声导致的随机错误通常较少。

冲击噪声是由外界电磁干扰引起的，与热噪声相比，冲击噪声幅度较大，是引起传输差错的主要原因。冲击噪声所引起的传输差错为突发差错，这种差错的特点是前面的码元出现了错误，往往会使后面的码元也出现错误，即错误之间有相关性。

2.差错的控制

提高数据传输质量的方法有两种。第一种方法是改善通信线路的性能，使错码出现的概率降低到满足系统要求的程度。但这种方法受经济上和技术上的限制，达不到理想的效果。第二种方法是虽然传输中不可避免地会出现某些错码，但可以将其检测出来，并用某种方法纠正检出的错码，以达到提高实际传输质量的目的。其中第二种方法最为常用的。目前广泛采用的有奇偶校验码、方块码和循环冗余码等。

此处只对奇偶校验码和循环冗余码做详细介绍。

（1）奇偶校验

奇偶校验称为字符校验、垂直奇偶校验。奇偶校验是以字符为单位的校验方法，是最简单的一种校验方法。在每个字符编码的后面另外增加一个二进制位，该位称为校验位。其主要目的是使整个编码中1的个数成为奇数或偶数。如果使编码中1的个数成为奇数则称为奇校验；反之，则称为偶校验。

（2）循环冗余码校验

循环冗余校验（Cyclic Redundancy Check，CRC）码是数据通信领域中最常用的一种查错校验码，其特征是信息字段和校验字段的长度可以任意选定。循环冗余检查是一种数据传输检错功能，对数据进行多项式计算，并将得到的结果附在帧的后面，接收设备也执行类似的算法，以保证数据传输的正确性和完整性。

其根本思想就是先在要发送的帧后面附加个数（这个就是用来校验的校验码，但要注意，这里的数也是二进制序列的，下同），生成一个新的帧发送给接收端。当然，这个附加的数不是随意的，它要使所生成的新帧能与发送端和接收端共同选定的某个特定数整除（注意，这里不是直接采用二进制除法，而是采用一种称之为“模2除法”）。到达接收端后，再把接收到的新帧除以（同样采用“模2除法”）这个选定的除数。因为在发送端发送数据帧之前就通过附加一个数，做了“去余”处理（也就已经能整除了），所以结果应该是没有余数。如果有余数，则表明该帧在传输过程中出现了差错。

下面我们通过一个简单的例子来说明循环冗余检验的原理。

②多项式的位数为5，则在数据帧的后面加上4个0，数据帧变为101100110000，然后使用“模2除法”除以除数11001，得到余数。（补几位0与x的最高次幂相同，模除就是进行异或），如图3-1-6所示。

③将计算出来的CRC校验码添加在原始帧的后面，真正的数据帧为101100110100，再把这个数据帧发送到接收端。

④接收端收到数据帧后，用上面选定的除数，用模2除法除去，验证余数是否为0，如果为0，则说明数据帧没有出错。

总之，在接收端对收到的每一帧经过CRC检验后，有以下两种情况：

①若得出的余数=0，则判定这个帧没有差错，就接受。

②若余数≠0，则判定这个帧有差错（但无法确定究竟是哪一位或哪几位出现了差错），就丢弃。

CRC校验中有两个关键点：

一是预先确定一个发送端和接收端都用来作为除数的二进制比特串（或多项式），可以随机选择，也可以使用国际标准，但是最高位和最低位必须为1。现在广泛使用的生成多项式有以下几种：

二是把原始帧与上面多项式计算出的除数进行模2除法运算，计算出CRC码。

3.1.3传输技术

传输技术（Transmission technology）指充分利用不同信道的传输能力构成一个完整的传输系统，使信息得以可靠传输的技术。常使用基带传输方式和频带传输方式。

1.基带传输

基带传输是指在通信线路上原封不动地传输由计算机或终端产生的“0”或“1”数字脉冲信号。这种未经调制的信号所占用的频率范围叫基本频带（这个频带从直流起可高到数百千赫，甚至若干兆赫），简称基带（Baseband）。这种数字信号就称基带信号。举个简单的例子，在有线信道中，直接用电传打字机进行通信时传输的信号就是基带信号。

基带传输是一种最简单的传输方式，不需要调制解调器，设备费用低，近距离通信的局域网一般都采用这种方式。基带传输系统的组成主要由码波形变换器、发送滤波器、信道、接收滤波器和取样判决器等5个功能电路组成。

2.频带传输

上面的传输方式适用于一个单位内部的局域网传输，但除了市内的线路之外，长途线路是无法传送近似于0的分量的。因此就需要利用频带传输，就是用基带脉冲对载波波形的某些参量进行控制，使这些参量随基带脉冲变化，这就是调制。经过调制的信号称为已调信号。已调信号通过线路传输到接收端，然后经过解调恢复为原始基带脉冲。将这种利用模拟信道传输数字信号的方法称为频带传输技术。

这种频带传输不仅克服了目前许多长途电话线路不能直接传输基带信号的缺点，而且能实现多路复用的目的，从而提高了通信线路的利用率。不过频带传输在发送端和接收端都要设置调制解调器。

采用频带传输时，调制解调器（Modem）是最典型的通信设备，要求在发送和接收端都安装调制解调器。当调制解调器作为数据的发送端时，将计算机的数字信号转换成能在电话线上传输的模拟信号；当调制解调器作为数据的接收端时，将电话线上的模拟信号转换为能在计算机中识别的数字信号，如图3-1-7所示。这样不仅使数字信号可用电话线路传输，还可以实现多路复用，提高信道利用率。

（1）调制解调器的基本功能

调制解调器是调制器（Modulator）与解调器（Demodulator）的简称，中文称为调制解调器，根据Modem的谐音，亲昵地称之为“猫”，是一种能够实现通信所需的调制和解调功能的电子设备。一般由调制器和解调器组成。在发送端，将计算机串行口产生的数字信号调制成可以通过电话线传输的模拟信号。在接收端，调制解调器把输入计算机的模拟信号转换成相应的数字信号，送入计算机接口。

计算机内的信息是由“0”和“1”组成数字信号，而在电话线上传递的却只能是模拟电信号。不采取任何措施利用模拟信道来传输数字信号必然会出现很大差错（失真），故在普通电话网上传输数据，就必须将数字信号变换到电话网原来设计时所要求的音频频谱内（即300Hz～3400Hz）。

（2）调制解调器的分类

①外置式Modem

外置式Modem放置于机箱外，通过串行通讯口与主机连接。这种Modem方便灵巧、易于安装，闪烁的指示灯便于监视Modem的工作状况。但外置式Modem需要使用额外的电源与电缆。

②内置式Modem

内置式Modem在安装时需要拆开机箱，并且要对终端和COM口进行设置，安装较为繁琐。这种Modem要占用主板上的扩展槽，但无需额外的电源与电缆，且价格比外置式Modem要便宜一些。

③PCMCIA插卡式

插卡式Modem主要用于笔记本电脑，体积纤巧。配合移动电话，可方便地实现移动办公。

④机架式Modem

机架式Modem相当于把一组Modem集中于一个箱体或外壳里，并由统一的电源进行供电。机架式Modem主要用于Internet/Intranet、电信局、校园网、金融机构等网络的中心机房。

（3）传输速率

Modem的传输速率，指的是Modem每秒钟传送的数据量大小。通常所说的14.4K、28.8K、33.6K等，指的就是Modem的传输速率。传输速率以bps（比特/秒）为单位。因此，一台33.6K的Modem每秒钟可以传输33600bit的数据。Modem在传输时都对数据进行了压缩，因此33.6K的Modem的数据吞吐量理论上可以达到115200bps，甚至230400bps。

3.1.4多路复用技术

多路复用技术是把多个低信道组合成一个高速信道的技术，它可以有效的提高数据链路的利用率，从而使得一条高速的主干链路同时为多条低速的接入链路提供服务也就是使得网络干线可以同时运载大量的语音和数据传输。其目的是通信工程中用于通信线路架设的费用相当高，需要充分利用通信线路的容量，还有网络中传输介质的传输容量都会超过单一信道传输的通信量，为了充分利用传输介质的带宽，需要在一条物理线路上建立多条通信信道。

多路复用通常分为频分多路复用、时分多路复用、波分多路复用、码分多址。

1.频分多路复用

频分多路复用（Frequency Division Multiplexing，FDM）利用通信线路的可用带宽超过了给定的带宽这一优点。FDM的基本原理是，如果每路信号以不同的载波频率进行调制，而且各个载波频率是完全独立的，即各个信道所占用的频带不相互重叠，相邻信道之间用“警戒频带”隔离，那么每个信道就能独立地传输一路信号，如图3-1-8所示。

频分多路复用的主要特点是，信号被划分成若干通道（频道，波段），每个通道互不重叠，独立进行数据传递。每个载波信号形成一个不重叠、相互隔离（不连续）的频带。接收端通过带通滤波器来分离信号。频分多路复用在无线电广播和电视领域中的应用较多。

2.时分多路复用

时分多路复用（Time Division Multiplexing，TDM）是以信道传输时间作为分割对象，通过为多个信道分配互不重叠的时间片段的方法来实现多路复用。时分多路复用将用于传输的时间划分为若干个时间片段，每个用户分得一个时间片。时分多路复用通信，是各路信号在同一信道上占有不同时间片进行通信，如图3-1-9所示。

由抽样理论可知，抽样的一个重要作用，是将时间上连续的信号变成时间上的离散信号，其在信道上占用时间的有限性，为多路信号沿同一信道传输提供条件。具体说就是把时间分成一些均匀的时间片，通过同步（固定分配）或统计（动态分配）的方式，将各路信号的传输时间分配在不同的时间片，以达到互相分开，互不干扰的目的。

3.波分多路复用

波分复用（Wavelength Division Multiplexing，WDM）用同一根光纤内传输多路不同波长的光信号，以提高单根光纤的传输能力。因为光通信的光源在光通信的“窗口”上只占用了很窄的一部分，还有很大的范围没有利用。

也可以这样认为WDM是FDM应用于光纤信道的一个变例。如果让不吗波长的光信号在同一根光纤上传输而互不干扰，利用多个波长适当错开的光源同时在一根光纤上传送各自携带的信息，就可以增加所传输的信息容量。由于是用不同的波长传送各自的信息，因此即使在同一根光纤上也不会相互干扰。在接收端转换成电信号时，可以独立地保持每个不同波长的光源所传送的信息。这种方式就叫做“波分复用”，如图3-1-10所示。

如果将一系列载有信息的不同波长的光载波，在光领域内以1至几百纳米的波长间隔合在一起沿单根光纤传输，然后在接收器端，将各个不同波长的光载波分开。在光纤上的工作窗口上安排100个波长不同的光源，同时在一根光纤上传送各自携带的信息，就能使光纤通信系统的容量提高100倍。

4.码分多址

码分多址（Code Division Multiple Access，CDMA）是采用地址码和时间、频率共同区分信道的方式。CDMA的特征是每个用户有特定的地址码，而地址码之间相互具有正交性，因此各用户信息的发射信号在频率、时间和空间上都可能重叠，从而使用有限的频率资源得到利用。

CDMA是在扩频技术上发展起来的无线通信技术，即将需要传送的具有一定信号带宽的信息数据，从一个带宽远大于信号带宽的高速伪随机码进行调制，使原数据信号的带宽被扩展，再经载波调制并发送出去。接收端也使用完全相同的伪随机码，对接受的带宽信号作相关处理，把宽带信号换成原信息数据的窄带信号即解扩，以实现信息通信。

3.2网络互联基础

网络互联是指将两个以上的通信网络通过一定的方法，用一种或多种网络通信设备相互连接起来，以构成更大的网络系统。网络互联的目的是实现不同网络中的用户可以进行互相通信、共享软件和数据等。

互联网，又称国际网络，指的是网络与网络之间所串连成的庞大网络，这些网络以一组通用的协议相连，形成逻辑上的单一巨大国际网络。

3.2.1 OSI网络参考模型

计算机网络是一个非常复杂的系统，因此网络通信也比较复杂。网络通信的涉及面极广，不仅涉及网络硬件设备（如物理线路、通信设备、计算机等），还涉及各种各样的软件，所以用于网络的通信协议必然很多。实践证明，结构化设计方法是解决复杂问题的一种有效手段，其核心思想就是将系统模块化，并按层次组织各个模块。因此，在研究计算机网络的结构时，通常也按层次进行分析。

1.OSI/RM参考模型的分层结构

为了使不同体系结构的计算机网络都能互连，国际标准化组织ISO于1977年成立了专门机构研究该问题。不久，他们就提出一个试图使各种计算机在世界范围内互连成网的标准框架，即著名的开放系统互连基本参考模型OSI/RM（Open Systems Interconnection Reference Model），简称为OSI。在1983年形成了开放系统互连基本参考模型的正式文件，即著名的ISO 7498国际标准，也就是所谓的七层协议的体系结构。OSI参考模型的7层结构，如图3-2-1所示。

采用层次结构的优点如下：

（1）功能简单、明确。整个复杂的系统被分解为若干个小范围的部分，使得每一部分的功能比较单一。

（2）独立性强。各层具有相对独立的功能，各层彼此不需知道各自的实现细节，而只需了解下层能提供什么服务，上层要求提供什么服务即可。

（3）设计灵活。当某层发生变化时，只要接口关系保持不变，就不会对上下层产生影响，而仅仅是本层内部的变化。

（4）易于实现和维护。设计容易实现，每个层次向上一层提供服务，向下一层请求服务。

（5）易于标准化。每一层的功能和提供的服务均有明确的说明。

2.OSI/RM参考模型各层的功能

（1）物理层（Physical Layer）

物理层定义了通信双方建立、维护和拆除物理链路所需的机械的、电气的、功能和规程的特性。具体地讲，机械特性规定了网络连接时所需接插件的规格尺寸、引脚数量和排列情况等。电气特性规定了在物理连接上传输bit流时线路上信号电平的大小、阻抗匹配、传输速率、距离限制等。功能特性是指对各个信号先分配确切的信号含义。规程特性是指利用信号线进行bit流传输的一组操作规程，包含物理连接的建立、维护、交换信息。

（2）数据链路层（Data Link Layer）

数据链路层在物理层提供比特流服务的基础上，建立相邻节点之间的数据链路。比特流被封装成数据链路协议数据单元（Data Link Layer Protocol Data Unit，DL-PDU），DL-PDU通常称为帧（Frame），以帧为单位进行传输，帧中包含地址、控制、数据及校验码等信息。数据链路层在不可靠的物理介质上提供可靠的传输。将不可靠的物理链路改造成对网络层来说无差错的数据链路。还要协调收发双方的数据传输速率，即进行流量控制，以防止接收方因来不及处理发送方发送的高速数据而导致缓冲器溢出及线路阻塞。

（3）网络层（Network Layer）

网络层负责为分组交换网上的不同主机提供通信服务。在发送数据时，网络层把运输层产生的报文段或用户数据报封装成分组或包（Packet）进行传送。网络层的另一个任务就是要选择合适的路由，使源主机运输层所传下来的分组能够通过网络中的路由器找到目的主机。

（4）传输层（Transport Layer）

传输层的任务就是负责为两个主机中进程之间的通信提供通用的数据传输服务。应用进程利用该服务传送应用层报文。这个层负责获取全部信息，因此，它必须跟踪数据单元碎片、乱序到达的数据包和其它在传输过程中可能发生的危险。为上层提供端到端（最终用户到最终用户）的、透明的、可靠的数据传输服务。传输层还要处理端到端的差错控制和流量控制问题。

（5）会话层（Session Layer）

会话层其主要功能是组织和同步端与端之间的各种进程间的通信（也称为对话）。会话层不参与具体的传输，它提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。如服务器验证用户登录便是由会话层完成的。为表示层提供建立、维护和结束会话连接的功能，并提供会话管理服务。

（6）表示层（Session Layer）

表示层为应用层提供信息表示方式的服务。为了让采用不同编码方法的计算机在通信中能相互理解数据的内容，在计算机通信系统中采用标准的编码表示形式来表达抽象的数据结构，表示层负责管理这些抽象的数据结构，并将计算机内部的表示形式转换成网络通信中采用的标准表示形式，适合于OSI系统内部使用的传送语法。即提供格式化的表示和转换数据服务。数据的压缩和解压缩，加密和解密等工作都由表示层负责。

（7）应用层（Application Layer）

应用层是体系结构中的最上层，定义的是应用进程间通信和交互的规则，为网络用户或应用程序提供各种服务。如万维网应用的HTTP协议，文件传输的FTP协议、电子邮件（E-mail）、网络管理等。

3.2.2 TCP/IP参考模型

我们前面介绍了OSI参考模型，其实网络也可以按照TCP/IP参考模型进行层次划分。TCP/IP参考模型是计算机网络的祖父ARPANET和其后继的因特网使用的参考模型。ARPANET是由美国国防部DoD（U.S.Department of Defense）赞助的研究网络。逐渐地它通过租用的电话线连结了数百所大学和政府部门。当无线网络和卫星出现以后，现有的协议在和它们相连的时候出现了问题，所以需要一种新的参考体系结构。这个体系结构在它的两个主要协议出现以后，被称为TCP/IP参考模型（TCP/IP reference model）。

1.TCP/IP参考模型的分层结构

TCP/IP是一组用于实现网络互连的通信协议。Internet网络体系结构以TCP/IP为核心。基于TCP/IP的参考模型将协议分成四个层次，它们可划分为网络接口层、网际层、运输层和应用层，如图3-2-2所示。

2.TCP/IP参考模型各层的功能

（1）网络接口层

网络访问层的功能包括IP地址与物理地址的映射，以及将IP地址封装成帧。基于不同类型的网络接口，定义了与物理介质的连接。网络访问层包括了数据链路层的地址，因为可以看到源MAC和目标MAC。它是TCP/IP协议的底层，负责接收从网际层传来的IP数据报，并且将IP数据报通过底层物理网络发出去，或者从底层的物理网络上接收物理帧，解封装出IP数据报，交给网际层处理。

（2）网际层

网际层的主要功能包括处理来自传输层的分组发送请求，将分组装入IP数据报，填充报头，选择去往目的节点的路径，然后将数据报发送适当的端口。处理输入数据报，首先检查数据报的合法性，然后进行路由选择。处理ICMP报文，处理路由的选择，流量控制和拥塞控制。

IP协议实现两个基本功能寻址和分段。根据数据报报头中的目的地址将数据传送到目的地址，在这个过程中IP负责选择传送路线，这种路线就叫做路由功能。

（3）传输层

传输层对应于OSI参考模型的传输层，为应用层实体提供端到端的通信功能，保证了数据包的顺序传送及数据的完整性。该层定义了两个主要的协议传输控制协议（Transmission Control Protocol，TCP）和用户数据报协议（User Datagram Protocol，UDP）。

TCP协议提供的是一种可靠的，通过“三次握手”来连接的数据传输服务。而UDP协议提供的则是不保证可靠的（并不是不可靠）、无连接的数据传输服务。

（4）应用层

应用层对应于OSI参考模型的高层，为用户提供所需要的各种服务，如FTP、Telnet、DNS、SMTP等。

3.2.3网络协议IP

网际互连协议（Internet Protocol，IP）是TCP/IP体系中的网络层协议。设计IP的目的是提高网络的可扩展性：一是为了解决互联网问题，实现大规模、异构网络的互联互通；二是分割顶层网络应用和底层网络技术之间的耦合关系，以利于两者的独立发展。根据端到端的设计原则，IP只为主机提供一种无连接、不可靠的、尽力而为的数据报传输服务。

IP是整个TCP/IP协议族的核心，也是构成互联网的基础。IP位于TCP/IP模型的网络层（相当于OSI模型的网络层），对上可载送传输层各种协议的信息，例如TCP、UDP等；对下可将IP信息包放到链路层，通过以太网、令牌环网络等各种技术来传送。

IP主要包含IP编址、IP数据报及IP分组转发过程。

1.IP编址

IP地址（Internet Protocol Address）是指互联网协议地址，IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。

IP地址是一个32位的二进制数，通常被分割为4个“8位二进制数”（也就是4个字节）。IP地址通常用“点分十进制”表示成（a.b.c.d）的形式，其中，a，b，c，d都是0~255之间的十进制整数。如点分十进IP地址（192.168.10.1），实际上是32位二进制数（11000000.10101000.00001010.00000001）。

（1）IP地址分类

最初设计互联网络时，为了便于寻址以及层次化构造网络，每个IP地址包括两个标识码（ID），即网络ID和主机ID。同一个物理网络上的所有主机都使用同一个网络ID，网络上的一个主机（包括网络上工作站，服务器和路由器等）有一个主机ID与其对应。Internet委员会定义了5种IP地址类型以适合不同容量的网络，即A类、B类、C类、D、类、E类，如图3-2-3所示。

A类地址，网络地址长度为7 bit，允许126个不同的A类网络。0和127两个地址用于特殊目的。每个网络的主机数多达224-2（16777214）台（主机位不能是全0或全1），即主机地址范围为1.0.0.0~126.255.255.255，A类地址一般用于大型网络。

B类地址，网络地址长度为14 bit，允许214（16384）个不同的B类网络，每个网络能容纳2l6-2（65536）台主机，起始地址为128~191。这种地址适用于国际性大公司和政府机构等。

C类地址，网络地址长度为21 bit，允许多达221（2097151）个不同的C类网络，起始地址为192~223，每个C类网络能容纳28-2（254）台主机，特别适用于一些小公司或研究机构。

D类地址，不标识网络，此类地址的起始地址为224~239，即主机的地址范围为224.0.0.0~239.255.255.255，用于特殊用途，多用于组播网络。

E类地址，用于科研和将来使用，其起始地址为240~255。

（2）子网掩码

跟随IP地址的有一个32位的子网掩码，它的主要作用是指明一个IP地址哪些位标识的是主机所在的网络，哪些位标识的是主机。子网掩码不能单独存在，它必须结合IP地址一起使用。子网掩码只有一个作用，就是将某个IP地址划分成网络地址和主机地址两部分。子网掩码的设定必须遵循一定的规则。与二进制IP地址相同，子网掩码由1和0组成，且1和0分别连续。左边是网络位，用二进制数字“1”表示，1的数目等于网络位的长度；右边是主机位，用二进制数字“0”表示，0的数目等于主机位的长度。默认子网掩码：

A类：255.0.0.0。

B类：255.255.0.0。

C类：255.255.255.0。

（3）特殊地址

j地址127.0.0.1，是本地回环测试地址，用于测试本机网卡安装是否正确，是否添加了TCP/IP协议。

k如果整个地址为32个1，也就是255.255.255.255我们叫它广播地址。如果我们要把一个数据包发往网络中的所有机器，那么数据包的目的地址就会用到这个广播地址。

l如果整个地址为32个0，也就是0.0.0.0它表示这个网络、这个主机，在路由表中我们把全零看作是默认路由。

m169.254.0.0，表示非正常的地址。如果你的主机获取到这样一个地址，代表你获得的是一个错误地址。

（4）私有地址

地址又分公有地址和私有地址。在一个公共网络上传输数据，必须使用公共地址，这些地址在网上是唯一的。需向ISP（也就是因特网服务提供商）申请分配公共地址，各ISP都要从更上一层的地址注册机构申请。所有的IP地址都由国际组织NIC（网络信息中心）负责统一分配。

携带私有地址的数据包不能直接在Internet进行传输，主要作用是解决公共地址短缺的问题。私有地址（Private address）属于非注册地址，专门为组织机构内部使用。

以下列出留用的内部私有地址：

A类 10.0.0.0--10.255.255.255

B类 172.16.0.0--172.31.255.255

C类 192.168.0.0--192.168.255.255

这些地址只能内部网使用，可以通过代理（Proxy）或网络地址转换（NAT）等系统将私有地址转换成公共地址，从而连接到Internet。

2.IP数据报

TCP/IP协议定义了一个在因特网上传输的包，称为IP数据报，也叫分组。由首部和数据两部分组成。首部的前一部分是固定长度，共20字节，是所有IP数据报必须具有的。在首部的固定部分的后面是一些可选字段，其长度是可变的。首部中的源地址和目的地址都是IP协议地址。

IP数据报的格式能够说明IP协议具有什么功能。IPv4数据报由报头和数据两部分组成。如图3-2-4所示。其中，数据是高层需要传输的数据，报头是为了正确传输高层数据而增加的控制信息。在首部固定部分的后面是可选字段，长度可变。

（1）版本，占4位，指IP协议的版本。通信双方使用的IP协议版本必须一致。广泛使用的IP协议版本号为4（即IPv4）。IP协议版本号为6（即IPv6）。

（2）首部长度，占4位，可表示的最大十进制数值是15。请注意，这个字段所表示数的单位是32位字长（1个32位字长是4字节），因此，当IP的首部长度为1111时（即十进制的15），首部长度就达到60字节。当IP分组的首部长度不是4字节的整数倍时，必须利用最后的填充字段加以填充。

（3）区分服务，占8位，用来获得更好的服务。这个字段在旧标准中叫做服务类型，但实际上一直没有被使用过。1998年IETF把这个字段改名为区分服务DS（Differentiated Services）。只有在使用区分服务时，这个字段才起作用。

（4）总长度，总长度指首部和数据之和的长度，单位为字节。总长度字段为16位，因此数据报的最大长度为216-1=65535字节。

在IP层下面的每一种数据链路层都有自己的帧格式，其中包括帧格式中的数据字段的最大长度，这称为最大传送单元（Maximum Transfer Unit，MTU）。当一个数据报封装成链路层的帧时，此数据报的总长度（即首部加上数据部分）一定不能超过下面的数据链路层的MTU值。

（5）标识（identification），占16位。IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并将此值赋给标识字段。但这个“标识”并不是序号，因为IP是无连接服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。

（6）标志（flag），占3位，但只有2位有意义。

标志字段中的最低位记为MF（More Fragment）。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。

标志字段中间的一位记为DF（Don’t Fragment），意思是“不能分片”。只有当DF=0时才允许分片。

（7）片偏移，占13位。片偏移指出较长的分组在分片后，某片在原分组中的相对位置。也就是说，相对用户数据字段的起点，该片从何处开始。片偏移以8个字节为偏移单位。这就是说，除了最后一个分片，每个分片的长度一定是8字节（64位）的整数倍。

（8）生存时间，占8位，生存时间字段常用的英文缩写是TTL（Time To Live），表明是数据报在网络中的寿命。由发出数据报的源点设置这个字段。其目的是防止无法交付的数据报无限制地在因特网中兜圈子，因而白白消耗网络资源。最初的设计是以秒作为TTL的单位。每经过一个路由器时，就把TTL减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于1秒，就把TTL值减1。当TTL值为0时，就丢弃这个数据报。后来把TTL字段的功能改为“跳数限制”（但名称不变）。路由器在转发数据报之前就把TTL值减1，若TTL值减少到零，就丢弃这个数据报，不再转发。因此，TTL的单位不再是秒，而是跳数。TTL的意义是指明数据报在网络中至多可经过多少个路由器。显然，数据报在网络上经过的路由器的最大数值是255。若把TTL的初始值设为1，就表示这个数据报只能在本局域网中传送。

（9）协议，占8位，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给谁处理过程。

（10）首部检验和，占16位。这个字段只检验数据报的首部，但不包括数据部分。这是因为数据报每经过一个路由器，路由器都要重新计算一下首部检验和（一些字段，如生存时间、标志、片偏移等都可能发生变化）。不检验数据部分可减少计算的工作量。

（11）源地址，占32位。数据报发出时携带的主机IP地址。

（12）目的地址，占32位。数据报目的地的主机IP地址

3.IP分组转发过程

分组转发是指在互联网中路由器转发IP分组的物理传输过程与数据报转发机制。根据分组的目的IP地址与源IP地址是否属于同一个子网可分为直接转发和间接转发。

先简单介绍一下路由器，从图3-2-5（a）中可以看出，路由器的主要工作就是为经过路由器的每个数据包寻找一条最佳的传输路径，并将该数据有效地传送到目的站点。由此可见，选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工作，在路由器中保存着各种传输路径的相关数据——路由表（Routing Table），供路由选择时使用，表中包含的信息决定了数据转发的策略。

可以把整个的网络拓扑简化为图3-2-5（b）所示的那样。在简化图中，网络变成了一条链路，但每一个路由器旁边都注明其IP地址。使用这样的简化图，可以使我们不必关心某个网络内部的具体拓扑以及连接在该网络上有多少台主机，因为这些对于研究分组转发问题并没有什么关系。这样的简化图强调了在互联网上转发分组时，是从一个路由器转发到下一个路由器。在路由表中，对每一条路由而言最主要两个信息是目的网络地址和下一跳地址。

3.2.4 以太网

以太网是一种计算机局域网技术。IEEE组织的IEEE 802.3标准制定了以太网的技术标准，它规定了包括物理层的连线、电子信号和介质访问层协议的内容。以太网是目前应用最普遍的局域网技术，取代了其他局域网技术如令牌环、FDDI和ARCNET。

1.以太网简述

以太网最早由Xerox（施乐）公司创建，在1980年，Dec、Intel和Xerox三家公司联合开发成为一个标准，以太网是应用最为广泛的局域网，包括标准的以太网（10mbit/s）、快速以太网（100mbit/s）、千兆（1000Mbit/s）和万兆（10000Mbit/s）以太网，采用的是CSMA/CD （Carrier Sense Multiple Access /Collision Detection）访问控制法，它们都符合IEEE802.3。

IEEE802.3标准，它规定了包括物理层的连线、电信号和介质访问层协议的内容。历经100M以太网在上世纪末的飞速发展后，目前千兆以太网甚至万兆以太网正在国际组织和领导企业的推动下不断拓展应用范围。

2.以太网的分类

以太网是现实世界中最普遍的一种计算机网络。以太网有两类：第一类是经典以太网，第二类是交换式以太网，使用了一种称为交换机的设备连接不同的计算机。经典以太网是以太网的原始形式，运行速度从3~10 Mbps不等；而交换式以太网正是广泛应用的以太网，可运行在100Mbps、1000Mbps和10000Mbps那样的高速率，分别以快速以太网、千兆以太网和万兆以太网的形式呈现.

（1）快速以太网

1995年3月IEEE宣布了IEEE802.3u100base -T快速以太网标准（Fast Ethernet）， 就这样开始了快速以太网的时代。快速以太网与原来100Mbps带宽下工作的FDDI相比它具有许多的优点，最主要体现在快速以太网技术可以有效的保障用户在布线基础实施上的投资，它支持3类、4类、5类双绞线以及光纤的连接，能有效的利用现有的设施。快速以太网的不足其实也是以太网技术的不足，那就是快速以太网仍是基于CSMA/CD技术，当网络负载较重时，会造成效率的降低，当然这可以使用交换技术来弥补。100Mbps快速以太网标准，又分为100base-Tx、100base-Fx、100base-T4三个子类。

100base-Tx：是一种使用5类数据级无屏蔽双绞线或屏蔽双绞线的快速以太网技术。它使用两对双绞线，一对用于发送，一对用于接收数据。在传输中使用4b/5b编码方式，信号频率为125 MHz。使用同10base-T相同的RJ-45连接器。它的最大网段长度为100 米。它支持全双工的数据传输。

（2）千兆以太网

千兆以太网技术作为最新的高速以太网技术，给用户带来了提高核心网络的有效解决方案，这种解决方案的最大优点是继承了传统以太网技术价格便宜的优点。千兆技术仍然是以太网技术，它采用了与10M以太网相同的帧格式、帧结构、网络协议、全/半双工工作方式、流控模式以及布线系统。

1000Base-LX：使用光纤介质构成星型拓扑，采用多模光纤时，半双工模式下最大长度为316m，全双工模式下最大长度为550m。采用单模光纤时，半双工模式下最大长度为316m，全双工模式下最大长度为5000m，采用8B/10B编码。

1000Base-SX：使用光纤介质构成星型拓扑，采用62.5

1000Base-CX：使用特殊的STP构成星型拓扑，半双工模式下为25m，全双工模式下为50m，采用8B/10B编码。

1000Base-T：使用4对5类UTP构成星型拓扑，最大长度为100m，使用RJ-45接口，采用PAM5编码。

（3）万兆以太网

10G不再使用铜线而只使用光纤作为传输媒体。它使用长距离的光收发器与单模光纤接口，以便能够工作在广域网和城域网的范围。10G也可使用较便宜的多模光纤，但传输距离为65~300m。10G以太网不仅是简单的局域网，也是广域网。

10Gbit/s以太网的主要特点：

①帧格式与10 Mbit/s、100 Mbit/s和1 Gbit/s以太网相同。

②保留IEEE802.3的最大帧和最小帧长度，以便和低速通信网相连。

③传输介质不再使用铜线，只使用光纤。

④只工作在全双工模式下，不存在争用的问题。

10000Base-EW：以太局域网的信号物理层标准，星型拓扑，采用1550 nm波长的激光，使用10um单模光纤的最大长度为40km，64B/66B 编码。

10000Base-LR：以太广域网的信号物理层标准，星型拓扑，采用1310 nm波长的激光，使用10um单模光纤的最大长度为40km，64B/66B 编码。

10000Base-SR：以太局域网的信号物理层标准，星型拓扑，采用850nm 激光，采用62.5um和50um多模光纤的最大长度分别为35m和300m，64B/66B编码。

3.2.5 广域网

除了以太网，还有就是广域网了，广域网是连接不同地区局域网或城域网计算机通信的远程网。通常跨接很大的物理范围，所覆盖的范围从几十公里到几千公里，它能连接多个地区、城市和国家，或横跨几个洲还能提供远距离通信，形成国际性的远程网络。广域网并不等同于互联网。

1.广域网的概述

广域网（WAN，Wide Area Network）也称远程网。广域网一般由主机（资源子网）和通信子网组成。

广域网通常可以传输各种各样的通信类型，比如语音、数据和视频，如图3-2-6所示，为广域网的结构。

可以看出，广域网的主干部分主要负责互连网络中通信子网的功能。广域网内的节点交换机一般采用点到点的专用线路连接起来。各个局域网通过不同的接入方式接入广域网中，形成互连网络。常见的公共数据通信网有公共电话网、公用分组交换网、宽带综合业务数字网、帧中继网和其他的专用网。

2.广域网的特点

（1）覆盖范围广，覆盖距离可达数十公里以上，甚至数万公里以至全球范围，主要用于互连分布在广泛地理范围内的局域网。

（2）一般需要利用公用通信网络提供的信道进行数据传输，通常是由公共通信部门来建设和管理，并向用户提供收费的广域网数据传输服务。

（3）网络结构比较复杂，常采用网状拓扑结构。

（4）传输速率一般低于局域网。为了实现远距离通信通常要采用载波形式的频带传输或光传输，但是在Internet爆炸式增长和多媒体应用需求的推动下，广域网技术迅速发展，目前广域网的传输速率已达10Gbps以上。

3.广域网协议

广域网协议是在OSI参考模型的最下面三层操作，定义了在不同的广域网介质上的通信。主要用于广域网的通信协议比较多，如高级数据链路控制协议、点到点协议、帧中继协议、数字数据网、综合业务数字网、数字用户线、X. 25协议等等。

（1）HDLC协议

高级数据链路控（High-level Data Link Control，HDLC）协议是一种面向比特的高效链路层协议。一般情况下，HDLC通信协议IP核为三个部分，即外部接口模块、数据发送部分和数据接收部分。在这类面向比特的数据链路协议中，帧头和帧尾都是特定的二进制序列，通过控制字段来实现对链路的监控，可以采用多种编码方式实现高效的、可靠的透明传输。故其最大特点是不需要数据必须是规定字符集，对任何一种比特流，均可以实现透明的传输。

主要有四个特点：

①对于任何一种比特流都可透明传输。

②较高的数据链路传输效率。

③所有的帧都有帧校验序列（FCS），传输可靠性高。

④用统一的帧格式来实现传输。

（2）PPP协议

点到点协议（Point to Point Protocol，PPP）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作，并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。

PPP具有以下功能：

①PPP具有动态分配IP地址的能力，允许在连接时刻协商IP地址；

②PPP支持多种网络协议，比如TCP/IP、NetBEUI、NWLINK等；

③PPP具有错误检测能力，但不具备纠错能力，所以PPP是不可靠传输协议；

④无重传的机制，网络开销小，速度快。

⑤PPP具有身份验证功能。

⑥PPP可以用于多种类型的物理介质上，包括串口线、电话线、移动电话和光纤（例如SDH），PPP也用于Internet接入。

PPP提供了3类功能包括有成帧；链路控制协议LCP；网络控制协议NCP。PPP是面向字符类型的协议。

①成帧：它可以毫无歧义的分割出一帧的起始和结束。

②链路控制：有一个称为LCP的链路控制协议，支持同步和异步线路，也支持面向字节的和面向位的编码方式，可用于启动路线、测试线路、协商参数、以及关闭线路。链路控制协议（LCP）LCP建立点对点链路，是PPP中实际工作的部分。LCP位于物理层的上方，负责建立、配置和测试数据链路连接。LCP还负责协商和设置WAN数据链路上的控制选项，这些选项由NCP处理。

③网络控制：具有协商网络层选项的方法，并且协商方法与使用的网络层协议独立。PPP允许多个网络协议共用一个链路，网络控制协议（NCP）负责连接PPP（第二层）和网络协议（第三层）。对于所使用的每个网络层协议，PPP都分别使用独立的NCP来连接。

PPP提供两种认证方式，一种是PAP，一种是CHAP。

相对来说PAP的认证方式安全性没有CHAP高。PAP在传输Password是明文的，而CHAP在传输过程中不传输密码，取代密码的是Hash（哈希值）。PAP认证是通过两次握手实现的，而CHAP则是通过3次握手实现的。PAP认证是被叫提出连接请求，主叫响应。而CHAP则是主叫发出请求，被叫回复一个数据包，这个包里面有主叫发送的随机的哈希值，主叫在数据库中确认无误后发送一个连接成功的数据包连接。

（3）帧中继协议

帧中继（Frame Relay）是于1992年兴起的一种新的公用数据网通讯协议，1994年开始获得迅速发展。帧中继是一种有效的数据传输技术，它可以在一对一或者一对多的应用中快速而低廉的传输数字信息。它可以使用于语音、数据通信，既可用于局域网（LAN）也可用于广域网（WAN）的通信。每个帧中继用户将得到一个接到帧中继节点的专线。帧中继网络对于端用户来说，它通过一条经常改变且对用户不可见的信道来处理和其他用户间的数据传输。

帧中继的主要特点是用户信息以帧（Frame）为单位进行传送，网络在传送过程中对帧结构、传送差错等情况进行检查，对出错帧直接予以丢弃，同时，通过对帧中地址段DLCI的识别，实现用户信息的统计复用。

帧中继是一种数据包交换通信网络，一般用在开放系统互连参考模型（Open System Interconnection）中的数据链路层（Data Link Layer）。永久虚拟电路PVC是用在物理网络交换式虚拟电路（SVCs）上构成端到端逻辑链接的，类似于在公共电话交换网中的电路交换，也是帧中继描述中的一部分，只是现在已经很少在实际中使用。另外，帧中继最初是为紧凑格式版的X.25协议而设计的。

（4）其他协议

ISDN（综合业务数字网）：在上网时可任意拨打电话。普通Modem拨号需要等待1到5分钟才能接入，ISDN 只需要1至3秒钟就可实现接入，速度可达56-128kbps。窄带ISDN也不能满足高质量的VOD等宽带应用。使用ISDN需要专用终端设备。

DDN（数字数据网）：进网速率最高可达2M，接入方式一般为专线。DDN专线向用户提供永久性的数据连接，沿途不进行复杂的软件处理，因此延时较短，避免了传统分组网中传输协议复杂等缺点。DDN专线接入采用交叉连接装置，可根据用户需要，在约定的时间内接通。

ADSL（非对称数字用户环路）：是一种通过普通电话线路提供宽带数据业务的技术它支持上行640kbps～1Mbps与下行1Mbps～8Mbps的速率，其有效传输距离为3～5公里。ADSL无需拨号，始终在线，用户到机房是专线，局端出口是共享方式。ADSL接入需要网卡或USB接口和ADSL MODEM。

4.广域网的数据交换方式

常见的广域网接入技术可以分为专线、电路交换、分组交换三种类型。

（1）专线技术

如图3-2-7所示，由运营商为企业远程节点之间的通信提供的点到点专有线路，用户独占一条24小时在线、点对点的、速率固定的专用线路，并独享带宽。企业需要向运营商支付较高的费用。

由于传输质量好，配置维护相对简单，加上传输费用逐渐降低，专线技术基本已经取代了电路交换和分组交换技术，成为企业组网中最主要的广域网接入技术。

常见的专线技术包括DDN、SDH（E1、E3、POS）、以太网专线（如MSTP、裸光纤）。

（2）电路交换技术

电路交换是广域网上使用的一种交换方式。远程端点之间通过呼叫为每一次会话过程建立、维持和终止一条专用的物理电路。经呼叫建立的物理连接只提供物理层承载服务，在两个端点之间传输二进制位流。电路交换在电信运营商的网络中被广泛使用，其操作过程与普通的电话拨叫过程非常相似。公用交换电话网络（PSTN）和综合业务数字网（ISDN）都是采用电路交换技术的通信网络。

电路交换的特点是传输时延小，透明传输（即传输通路不必对用户数据进行任何修正或解释），但所占带宽固定，线路利用率低。

（3）分组交换技术

分组交换是广域网上经常使用的一类交换技术。通过分组交换，网络设备可以共享一条点对点链路，通过运营商网络在设备之间进行数据包的传递。分组交换主要采用统计复用技术在多台设备之间实现电路共享。

分组交换网采用虚电路和数据报文两种服务方式实现网络通信。所谓虚电路方式，就是采用了多路复用技术在一条物理链路上建立若干条逻辑上的虚电路，从而实现一对多同时通信。所谓数据报文服务，是指通过分组交换机进行存储，然后根据不同的路径将分组转发出去，这样可以动态利用线路的带宽。

虚电路又分为永久虚电路（Permanent Virtual Circuit，PVC）和交换虚电路（Switching Virtual Circuit，SVC）两种。永久虚电路由公共传输网络提供者设置，这种虚电路经设置后会长期存在。交换虚电路需要两个远程端点通过呼叫控制协议来建立，并在完成当前数据传输后拆除。

另外，由于分组交换网络提供的不是物理层的承载服务，必须把要求传输的

数据信息封装在物理网络所要求的数据链路帧的数据字段中才能传输。

3.2.6 帧中继与信元交换

分组交换技术是在通信网以模拟通信为主的时代背景下提出的，当时可提供数

据传输的信道大多数是FDM电话信道，误码率为10-4~10-5，信道传输条件差。由于数据通信的质量要求高，为了解决在高误码率、低质量的传输线路上实现数据可靠传送和计算机联网等功能，在分组交换网内的每个节点必须提供强大的检错、纠错以及流量控制等功能。使得帧中继技术应运而生。

1.帧中继交换

帧中继（Frame Relay）是以分组交换技术为基础的高速分组交换技术。它利用数字系统的低误码率和高传输速率的特点，为用户提供质量更高的快速分组交换服务，是一种用于连接计算机系统的面向分组的通信方法。

（1）帧中继的基本原理

帧中继是X.25在新的传输条件下的发展，它对X.25协议进行了简化和改进。帧中继省略了X.25中的分组层，即网络层，以链路层帧为基础，实现多条逻辑链路的统计复用和转换。由于帧中继省略了网络层，避免了网络层的报文分组和重装的消耗，而且帧中继允许最大帧长在1K字节以上，取消了网络层分组长度的限制，这种灵活性也保证了网络的高吞吐量。

（2）帧中继的应用

帧中继主要用在公共或专用网上的局域网互联以及广域网连接。大多数公共电信局都提供帧中继服务，把它作为建立高性能的虚拟广域连接的一种途径。帧中继是进入带宽范围从56Kbps到1.544Mbps的广域分组交换网的用户接口。

2.信元交换

信元交换又叫异步传输模式（Asynchronous Transfer Mode，ATM），是一种面向连接的快速分组交换技术，它是通过建立虚电路来进行数据传输的。

ATM采用固定长度的信元作为数据传送的基本单位，信元长度为53字节，其中信元头尾5字节，数据为48字节。长度固定的信元可以使ATM交换机的功能尽量简化，只用硬件电路就可以对信元头中的虚电路表示进行识别，因此缩短了每个信元的处理时间。另外ATM采用了统计时分复用的方式来进行数据传输，根据各种业务的统计特性，在保证服务质量（Quality of Service，QoS）要求的前提下，在各个业务之间动态地分配网络带宽。

ATM是网络新技术，它采用基于信元的异步传输模式和虚电路结构，根本上解决了多媒体的实时性及带宽问题。实现面向虚链路的点到点传输，它通常提供155Mbps的带宽。它既汲取了话务通讯中电路交换的“有连接”服务和服务质量保证，又保持了以太网、FDDI等传统网络中带宽可变、适于突发性传输的灵活性，从而成为迄今为止适用范围最广、技术最先进、传输效果最理想的网络互联手段。

3.2.7 VPN技术

VPN就是虚拟专用网（Virtual Private Network）的简称，是指在公共网络中建立虚拟的专用网络，使数据通过安全的“加密通道”在公共网络传送的一种技术。VPN网络结构，如图3-2-8所示。

虚拟专用网络允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虛拟专用网络对用户端透明，用户好像使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。

根据不同的划分标准，VPN又分很多种，如PPTP、L2TP、IPsec、SSL等VPN技术。

1.PPIT VPN技术

点对点隧道协议（Point to Point Tunneling Protocol，PPTP）是实现虚拟专用网（VPN）的方式之一。PPTP使用传输控制协议（TCP）创建控制通道来发送控制命令，以及利用通用路由封装（GRE）通道来封装点对点协议（PPP）数据包以发送数据。这个协议最早由微软等厂商主导开发，但因为它的加密方式容易被破解，微软已经不再建议使用这个协议。

PPTP的协议规范本身并未描述加密或身份验证的部分，它依靠PPP来实现这些安全性功能。因为PPTP协议内置在微软视窗系统家族的各个产品中，在微软PPP协议堆栈中，提供了各种标准的身份验证与加密机制来支持PPTP。在微软视窗系统中，它可以搭配PAP、CHAP、MS-CHAPv1/v2或EAP-TLS来进行身份验证。通常也可以搭配微软点对点加密（MPPE）或IPSec的加密机制来提高安全性。

2.IPSec VPN隧道技术

指采用IPSec协议来实现远程接入的一种VPN技术，IPSec全称为Internet Protocol Security，是由Internet Engineering Task Force （IETF）定义的安全标准框架，在公网上为两个私有网络提供安全通信通道，通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。

主要提供如下的保护功能：

①加密用户数据，实现数据的私密性。

②验证IP报文的完整性，使其在传输的路上不被非法篡改。

③防止如重放攻击等行为。

④即可以确保计算机到计算机的安全，也可以确保两个通信场点（IP 子网到子网）的安全。

⑤使用网络设备特点的安全性算法和秘钥交换的功能，以加强IP通信的安全性需求。

⑥它是一种VPN的实施方式。

3.SSL VPN 隧道技术

SSL（Secure Socket Layer，安全套接字层）VPN即指采用SSL协议来实现远程接入的一种新型VPN技术。它包括服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。

SSL VPN是解决远程用户访问公司敏感数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过相对简易的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL内嵌在浏览器中，它不需要像传统IPSec VPN一样必须为每一台客户机安装客户端软件。

SSL协议主要由SSL握手协议和SSL记录协议组成，它们共同为应用访问连接提供认证、加密和防篡改功能。

SSL VPN网关接入网络有很多不同的类型，从而也导致SSL VPN组网模式有所区别，常见的模式有单臂、双臂两种模式。

（1）单臂模式。所谓单臂模式是指将SSL VPN网关作为于一台代理服务器使用，当内部服务器与该远程代理服务器进行通信时，SSL VPN网关不在网络通讯的关键路径上。也就是说，单臂模式类似环形网络拓扑结构，当一边环路不通时，可以选择其他的路径方式实现通信。因此，单臂模式的优点是当该网络上某点出现故障时，不会影响整个网络的通信；其不足在于对于网络信息资源不能够实现全面的保护。

（2）双臂模式。所谓双臂模式是指将SSL VPN网关架在外网与内网之间，即实现了网桥的功能。同时，该网桥也充当必要的防火墙的作用，从而实现对全网络的保护。这种结构具有很好的安全性，但也有比较明显的不足，即会降低内外网络之间数据传输的稳定性。

4.MPLS VPN隧道技术

MPLS（Multiprotocol Label Switching，多协议标记交换）VPN是一种基于MPLS技术的IP—VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP—VPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。

MPLS使用标签（Label）进行转发，一个标签是一个短的、长度固定的数值，由报文的头部携带，不含拓扑信息，只有局部意义。可以看做是一种面向连接的技术。通过MPLS信令（如LDP，Label Distribute Protocol，标签分配协议）建立好MPLS标记交换通道（Label Switched Path，LSP），数据转发时，在网络入口对报文进行分类，根据分类结果选择相应的LSP，打上相应的标签，中间路由器在收到MPLS报文以后直接根据MPLS报头的标签进行转发，而不用再通过IP报文头的IP地址查找。在LSP出口（或倒数第二跳），弹出MPLS标签，还原为IP包。

（1）MPLS/BGP VPN

MPLS VPN根据PE（Provider Edge）设备是否参与VPN路由处理又细分为二层VPN和三层VPN，一般而言，MPLS/BGP VPN指的是三层VPN。

在MPLS/BGP VPN的连接模型中，网络由运营商的骨干网与用户的各个Site组成，所谓VPN就是对Site集合的划分，一个VPN就对应一个由若干Site组成的集合，如图3-2-9所示。

CE（Custom Edge）：用户Site中直接与服务提供商相连的边缘设备，一般是路由器。

PE（Provider Edge）：骨干网中的边缘设备，它直接与用户的CE相连。

P路由器（Provider Router）：骨干网中不与CE直接相连的设备。

VPN用户站点（Site）：VPN中的一个孤立的IP网络，一般来说，不通过骨干网不具有连通性，公司总部、分支机构都是Site的具体例子。

在MPLS/BGP VPN中，属于同一的VPN的两个Site之间转发报文使用两层标签，在入口PE上为报文打上两层标签，外层标签在骨干网内部进行交换，代表了从PE到对端PE的一条隧道，VPN报文打上这层标签，就可以沿着LSP到达对端PE，然后再使用内层标签决定报文应该转发到哪个SSite上。

（2）MPLS VPN的应用

采用MPLS VPN技术可以把现有IP网络分解成逻辑上隔离的网络，这种逻辑上隔离的网络的应用可以是千变万化的。可以是用在解决企业互连、政府相同/不同部门的互连；也可以用来提供新的业务，如为IP电话业务专门开通一个VPN。

示例：

①用MPLS VPN构建运营支撑网。

利用MPLS VPN技术可以在一个统一的物理网络上实现多个逻辑上相互独立的VPN专网，该特性非常适合于构建运营支撑网，例如，目前国内很多省市的DCN网就采用华为的设备，在一个统一的物理网络上构建网管、OA、计费等多个业务专网。

②MPLS VPN在运营商城域网的应用。

作为运营商的基础网络，宽带城域网需同时服务多种不同的用户，承载多种不同的业务，存在多种接入方式，这一特点决定城域网需同时支持MPLS L3VPN，MPLS L2VPN及其它VPN服务，根据网络实际情况及用户需求开通相应的VPN业务，例如，为用户提供MPLS L2VPN服务以满足用户节约专线租用费用的要求。

③MPLS VPN在企业网络的应用。

MPLS VPN在企业网中同样有广泛应用。例如，在电子政务网中，不同的政府部门有着不同的业务系统，各系统之间的数据多数是要求相互隔离的，同时各业务系统之间又存在着互访的需求，因此大量采用MPLS VPN技术实现这种隔离及互访需求。

5.GRE VPN隧道技术

GRE VPN（Generic Routing Encapsulation）即通用路由封装协议，是对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。是VPN的第三层隧道协议，即在协议层之间采用了一种被称之为Tunnel（隧道）的技术。

Tunnel是一个虚拟的点对点的连接，提供了一条通路使封装的数据报文能够在这个通路上传输，并且在一个Tunnel的两端分别对数据报进行封装及解封装。一个X（任意协议）协议的报文要想穿越IP网络在Tunnel中传输，必须要经过加封装与解封装两个过程，如图3-2-10所示。

①Router A连接Group 1的接口收到IPX协议报文后，首先交由IPX协议处理。

②IPX协议检查报文头中的目的地址域来确定如何路由此包。

③若报文的目的地址要经过Tunnel才能到达，则设备将此报文发给相应的Tunnel接口。

④Tunnel口收到此报文后进行GRE封装，在封装IP报文头后，设备根据此IP包的目的地址及路由表对报文进行转发，从相应的网络接口发送出去。

项目实施

本项目采用华三科技有限公司网络设备完成，首先要确定项目的需求，根据项目需求去设计网络结构图，根据网络结构图去完成交换机、路由器的配置与测试。

需要完成的任务

• 认识常用网络设备
• 安装并使用Visio设计网络结构图
• 配置管理以太网交换机
• 配置管理路由器

3.3任务1：设计网络拓扑图

首先我们来解释一下拓扑的含义，所谓“拓扑”就是把实体抽象成与其大小、形状无关的“点”，而把连接实体的线路抽象成“线”，进而以图的形式来表示这些点与线之间关系的方法，其目的在于研究这些点、线之间的相连关系。表示点和线之间关系的图被称为拓扑结构图。

在计算机网络中，我们把计算机、终端、通信处理机等设备抽象成点，把连接这些设备的通信线路抽象成线，并将由这些点和线所构成的拓扑称为网络拓扑结构。

3.3.1网络拓扑结构分类

在计算机网络中常见的拓扑结构有总线型、星型、环型、树型和网状型，如图3-3-1所示。

1.总线型结构

总线型拓扑中采用单根传输线路作为传输介质，所有站点通过专门的连接器连到这个公共信道上，这个公共的信道称为总线。总线型结构如图3-3-1（a）所示。任何一个站点发送的数据都能通过总线传播，同时能被总线上的所有其他站点接收到。可见，总线型结构的网络是一种广播网络。

总线布局的特点是：结构简单灵活，非常便于扩充；可靠性高，网络响应速度快；设备量少、价格低、安装使用方便；共享资源能力强，极便于广播式工作即一个结点发送所有结点都可接收。总线型拓扑是基本局域网拓扑形式之一。

2.星型结构

星型拓扑中有一个中心节点，其他各节点通过各自的线路与中心节点相连，形成辐射型结构。各节点间的通信必须通过中心节点的作用。星型结构如图3-3-1（b）所示。

星型拓扑结构特点：网络结构简单、便于管理、集中控制、组网容易、网络延迟时间短、误码率低、网络共享能力较差、通信线路利用率不高、中央节点负担过重、可同时连双绞线、同轴电缆及光纤等多种媒介。

树型拓扑结构可以看作成星型拓扑的一种扩展，也称扩展星型拓扑。

3.环型结构

在环型拓扑中，各节点和通信线路连接形成的一个闭合的环。在环路中，数据按照一个方向传输。发送端发出的数据，延环绕行一周后，回到发送端，由发送端将其从环上删除。我们可以看到任何一个节点发出的数据都可以被环上的其他节点接收到。环型结构如图3-3-1（c）所示。

环形网的特点是：信息在网络中沿固定方向流动，两个结点间仅有唯一的通路，大大简化了路径选择的控制；某个结点发生故障时，可以自动旁路，可靠性较高；由于信息是串行穿过多个结点环路接口，当结点过多时，影响传输效率，使网络响应时间变长。但当网络确定时，其延时固定，实时性强。

4.树型拓扑结构

树型结构是分级的集中控制式网络，与星型相比，它的通信线路总长度短、成本较低、节点易于扩充、寻找路径比较方便，但除了叶节点及其相连的线路外，任一节点或其相连的线路故障都会使系统受到影响，如图3-3-1（d）所示。

5.网状拓扑结构

在网状拓扑结构中，节点之间的连接是任意的，每个节点都有多条线路与其他节点相连，这样使得节点之间存在多条路径可选。如图3-3-1（e）所示。

可见网状拓扑可以充分、合理的使用网络资源，并且具有可靠性高的优点。我们知道，广域网覆盖面积大、传输距离长，网络的故障会给大量的用户带来严重的危害，因此在广域网中，为了提高网络的可靠性通常采用网状拓扑结构。

3.3.2网络拓扑图基本名词介绍

1.节点

节点就是网络单元。网络单元是网络系统中的各种数据处理设备、数据通信控制设备和数据终端设备。

2.链路

链路是两个节点间的连线。链路分“物理链路”和“逻辑链路”两种，前者是指实际存在的通信连线，后者是指在逻辑上起作用的网络通路。链路容量是指每个链路在单位时间内可接纳的最大信息量。

3.通路

通路是从发出信息的节点到接收信息的节点之间的一串节点和链路。也就是说，它是一系列穿越通信网络而建立起的节点到节点的链路。

3.3.3常见网络设备

网络设备的种类繁多，且与日俱增。基本的网络设备有：计算机（无论其为个人电脑或服务器）、中继器、交换机、网桥、路由器、网关、网络接口卡（NIC）、无线接入点（WAP）、打印机和调制解调器、光纤收发器、光缆等。下面介绍几种比较重要的。

1.中继器（Repeater）

中继器主要解决信号传输过程中放大信号的设备，它是网络物理层的一种介质连接设备，如图3-3-2所示。由于信号在网络传输介质中有衰减和噪声，使有用的数据信号变得越来越弱，为了保证有用数据的完整性，并在一定范围内传送，要用中继器把接收到的弱信号放大以保持与原数据相同。使用中继器就可以使信号传送到更远的距离。

中继器是扩展网络的最廉价的方法。当扩展网络的目的是要突破距离和结点的限制时，并且连接的网络分支都不会产生太多的数据流量，成本又不能太高时，就可以考虑选择中继器。采用中继器连接网络分支的数目要受具体的网络体系结构限制。

中继器没有隔离和过滤功能，它不能阻挡含有异常的数据包从一个分支传到另一个分支。这意味着，一个分支出现故障可能影响到其它的每一个网络分支。

2.交换机（Switch）

交换机是网络节点上话务承载装置、交换级、控制和信令设备以及其他功能单元的集合体，如图3-3-3所示。交换机能把用户线路、电信电路和（或）其他需要互连的功能单元根据单个用户的请求连接起来。在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的网段，连接在其上的网络设备独自享有全部的带宽。

功能：交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以

及流控。目前交换机还具备了一些新的功能，如对VLAN（虚拟局域网）的支持、

对链路汇聚的支持，甚至有的还具有防火墙的功能。

3.网桥（Bridge）

网桥工作在OSI模型的第二层（数据链路层）连接两个网络的设备。根据数据帧内容转发数据给其他相邻的网络。基本只用于连接相同类型的网络，有时候也连接传输速率不一致的网络。

网桥是一种对帧进行转发的设备，根据MAC分区块，可隔离碰撞。具备“自学习”机制，网桥对站点所处网段的了解是靠“自学习”实现的，有透明网桥、转换网桥、封装网桥、源路由选择网桥。

4.路由器（Router）

路由器工作在网络层，是互联网络的枢纽，可以在多个网络上交换和路由数据包，如图3-3-4所示。路由器通过在相对独立的网络中交换具体协议的信息来实现这个目标。

比起网桥，路由器不但能过滤和分割网络信息流、连接网络分支，还能访问数据包中更多的信息，并且可以提高数据包的传输效率。

路由表包含网络地址、连接信息、路径信息和发送代价等。路由器比网桥慢，主要用于广域网或广域网与局域网的互联。

5.网关（Gateway）

从一个房间走到另外一个房间，必然要经过一扇门。同样，一个网络向另外一个网络发送信息，也必须经过一道“关口”，这道关口就是网关。顾名思义，网关就是一个网络连接到另外一个网络的关口。

网关能互连异类的网络，它从一个环境中读取数据，剥去数据中的老协议，然后用目标网络的协议进行重新包装。网关是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器。

3.3.4使用Visio绘制网络拓扑图

网络拓扑图主要用来反映整个网络里的设备、传输、节点的网络结构图，绘制网络拓扑图的方法也有很多，接下来给大家介绍一种绘制网络拓扑图的方法，如何使用Visio绘制网络拓扑图。

1.以Microsoft Visio 2016为例，首先在电脑上下载并安装Microsoft Visio 2016软件，然后打开该软件，选择“网络”双击鼠标左键进入绘图下一个界面，如图3-3-5所示。

2.选择“基本网络图”双击鼠标左键进入网络界面，如图3-3-6所示。

3.点击“创建”然后就进入工作主界面，如图3-3-7所示。

4.在绘图主界面有绘制基本网络图所需的一些基本形状，可选择合适的形状通过鼠标拖到绘图面板上，如图3-3-8所示。

5.根据所要绘制的基本网络图，选择合适的形状拖到绘图面板上，并排列好顺序、图形对齐、保证图纸的美观，如图3-3-9所示。

6.图形选择完成后，再绘制连接线，可通过图形自带的连接线绘制，也可使用绘图功能键里的折线图功能，如图3-3-10所示。

7.设备连接线绘制完成之后，接下来可对基本网络图上的各个形状进行文字备注。点击绘图功能键里的文字选项，即可添加文字备注了，如图3-3-11所示。

8.经过以上操作，一副基本网络图绘制完成了。接下来选择另存为，将Microsoft Visio文件保存为图片格式即可，如图3-3-12所示。

以上操作就能绘制一幅简单的网络结构图。

3.4任务2：连接与配置交换网络

交换技术是随着电话通信的发展和使用而出现的通信技术。1876年，贝尔发明了电话。人类的声音第1次转换为电信号，并通过电话线实现了远距离传输。电话刚开始使用时，只能实现固定的2个人之间的通话，随着用户的增加，人们开始研究如何构建连接多个用户的电话网络，以实现任意2个用户之间的通信。

2层交换机主要用在小型局域网中，机器数量在二、三十台以下，这样的网络环境下，广播包影响不大，2层交换机的快速交换功能、多个接入端口和低廉价格，为小型网络用户提供了完善的解决方案。

3层交换机是为IP设计的，接口类型简单，拥有很强的3层包处理能力，价格又比相同速率的路由器低得多，非常适用于大规模局域网络。

第7层交换技术通过应用层交换机实现了所有高层网络的功能，使网络管理者能够以更低的成本，更好地分配网络资源。

3.4.1交换机的特点与功能

以太网交换机（Switch）是交换式局域网的核心设备，是一种基于MAC地址识别，具有封装、转发数据包功能的网络设备。第2层交换机属于OSI模型中的数据链路层设备，由多端口的网桥发展而来。第3层交换机结合了第2层交换机和路由器的功能，属于OSI模型中的网络层设备。

1.交换机的特性

（1）交换机连接的每一个网段都是一个独立的广播域，它允许各个网段之间进行通信。

（2）交换机可以互连不同速度和类型的网段，且对网络的大小没有限制。

（3）交换机各端口都独享交换机的带宽，可实现全双工通信。

2.交换机的性能

（1）帧转发速率：是指交换机每秒钟能够转发帧的最大值。值越大证明交换机处理能力越强。

（2）背板带宽：交换机的背板带宽，是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。背板带宽标志了交换机总的数据交换能力，背板带宽越大，转发处理数据速度越快。

（3）交换机内存：交换机的内存中存储着MAC地址表。内存越大，存储的地址表就越大，学习的MAC地址就越多，数据转发的速度也越快。

（4）支持VLAN能力：通过将局域网划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。

3.交换机的功能

交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。交换机还具备了一些新的功能，如对VLAN（虚拟局域网）的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

（1）交换机提供了大量可供线缆连接的端口，还能对信号进行放大，产生一个不失真的电信号。

（2）MAC地址学习，以太网交换机了解每一端口相连设备的MAC地址，并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。

（3）帧的转发与过滤，当一个数据帧的目的地址在MAC地址表中有映射时，它被转发到连接目的节点的端口而不是所有端口（如该数据帧为广播/组播帧则转发至所有端口）。

（4）消除回路，当交换机包括一个冗余回路时，以太网交换机通过生成树协议避免回路的产生，同时允许存在后备路径。

3.4.2 交换机工作原理

采用交换机互连的网络称为交换式网络，每个端口都能独享带宽，所有端口都能够同时进行通信，能够在全双工模式下工作。接下来我们看看交换机是如何工作的。

1.MAC地址学习

交换机有一个MAC地址表，交换机具有MAC地址（网卡物理地址）动态自学习功能，即当交换机收到一个数据帧以后，将数据帧的源地址和输入端口记录在MAC地址表中，形成一个端口与MAC地址对应表，然后根据MAC地址表转发帧。

（1）交换机刚启动时，MAC地址表内无表项。如图3-4-1所示。

（2）PCA发出数据帧，交换机把PCA的帧中的源地址MAC_A与接收到此帧的端口E1/0/1关联起来，交换机把PCA的帧从所有其他端口发送出去（除了接收到帧的端口E1/0/1），如图3-4-2所示。

（3）PCB、PCC、PCD发出数据帧，交换机把接收到的帧中的源地址与相应的端口关联起来。如图3-4-3所示。

2.数据帧的转发

（1）PCA发出目的到PCD的单播数据帧，交换机根据帧中的目的地址，从相应的端口E1/0/4发送出去，交换机不在其他端口上转发此单播数据帧，如图3-4-4所示。

（2）交换机会把广播、组播和未知单播帧从所有其他端口发送出去（除了接收到帧的端口），如图3-4-5所示。

（3）PCA发出目的到PCB的数据帧，接收到帧时，交换机查找MAC地址表，如果发现帧的目的地址关联到接收端口上，则丢弃此帧，如图3-4-6所示。

由以上的工作过程可知，交换机的地址表是通过不断学习建立起来的而且还会不断的更新。

3.4.3 交换机的互连与管理

为了将多个局域网互连成较大的局域网，需要将多个交换机互连。

1.交换机的互连方式

交换机的互连方式一般有级联和堆叠两种方式。

（1）级联

级联扩展模式是最常规、最直接的一种扩展模式。

交换机有“Uplink" （级联）端口。如果交换机备有“Uplink" （级联）端口，则可直接采用这个端口进行级联。在级联时，上一级交换机要连到交换机的普通端口，下层交换机则连到专门的“Uplink" （级联）端口。

这种级联方式的性能比较好，因为级联端口的带宽通常较高。交换机间的级联网线必须是直通线，每段网络不能超过双绞线单段网线的最大长度100m。

（2）堆叠

通过堆叠线缆将交换机的背板连接起来，扩大级联带宽。堆叠方式有菊花链

方式和主从式两种。 提供堆叠接口的交换机之间可以通过专用的堆叠线连接起来。通常，堆叠的带宽是交换机端口速率的几十倍，例如，一台1000Mbit/s的交换机，堆叠后两台交换机之间的带宽可以达到几千兆甚至上万兆。

2.交换机的管理方式

交换机可以通过本地串口和远程WEB进行管理。

（1）本地串口管理

管理型交换机必须要进行配置进行使用，用一根全反电缆对交换机进行配置。把电缆的一端插在交换机背面的Console口中，另一端插在普通计算机的串口里，

然后接通交换机和计算机的电源。通过Windows系统中提供的“超级终端”程序进行配置。

（2）远程WEB管理

在默认状态下，交换机没有IP地址，必须通过串口或（出厂自带IP）指定一个IP地址之后，才能启用这种管理方式。然后通过Web（网络浏览器）管理，当管理员在浏览器中输入交换机的IP地址时，就会出现配置画面。

3.4.4 虚拟局域网技术

VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”。虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点：网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。

1.VLAN的作用

（1）控制广播风暴

限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。VLAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋予某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

（2）增强网络安全

增强局域网的安全性可以将含有敏感数据的用户组与网络的其余用户隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其他VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或3层交换机等3层设备。

（3）提高网络性能

将第2层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。

（4）提高管理效率

VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。通过职能划分，项目管理或特殊应用的处理都变得十分方便。此外，也很容易确定升级网络服务的影响范围。

（5）增加网络灵活性

借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地VLAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。

2.VLAN的划分方式

VLAN的划分方式主要有以下三种：

（1）基于端口划分

这种根据端口来划分VLAN的方式仍然是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网络限制在了一台交换机上。

第2代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。

（2）基于MAC地址划分

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。

（3）基于协议划分

这种划分VLAN的方法是根据每个主机的网络层地址或协议类型（如果支持多协议）划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。

这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。

这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的（相对于前面两种方法），一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。

3.IEEE 802.1Q协议

IEEE 802. 1Q是IEEE 802委员会制定的VLAN标准。是否支持IEEE 802. 1Q标准，是衡量LAN交换机的重要指标之一。目前，新一代的LAN交换机都支持IEEE 802. 1Q。

VLAN间要实现通信，一般的以太网数据帧中没有VLAN的标记信息，那么，从某一VLAN中发送的以太网数据帧将不能被交换机识别后传递。

要解决VLAN的识别问题，可通过在常规的以太网数据帧中增加VLAN标记信息的方法实现，这种方法称为以太网标记协议。

（1）IEEE 802.1Q帧格式

IEEE 802.1Q标准定义了虚拟局域网的以太网帧格式，在传统的以太网帧格式中插入一个4字节的特殊的标志（Tag），该域用于标识数据帧所属的VLAN ID，以指明发送该帧的工作站属于哪一个虚拟局域网。数据帧的格式如图3-4-7所示。

IEEE 802.1Q数据帧的封装是在原有以太网数据帧上插入标记信息，称为Tag标记。

（2）单交换机VLAN标签操作

支持VLAN功能的交换机设备必须要在与主机和交换机进行通信时，区分通信对象。当交换机将数据发送给主机时，必须检查该数据帧，并删除Tag域。而发送给交换机时，为了让对端交换机能够知道数据帧的PVID，它应该将从主机接收到的数据帧增加Tag域后再发送，如图3-4-8所示。

在进入交换机端口时，附加缺省VLAN标签。出交换机端口时，去掉VLAN标签。

只允许默认VLAN的以太网帧通过的端口称为Access链路类型端口。Access端口在收到以太网帧后打VLAN标签，转发出端口时剥离VLAN标签，对终端主机透明，所以通常用来连接不需要识别802.1Q协议的设备，如终端主机、路由器等。

通常在单交换机VLAN环境中，所有端口都是Access链路类型端口。交换机连接有4台PC机，PC机并不能识别带有VLAN标签的以太网帧。通过在交换机上设置与PC相连的端口属于Access链路类型端口，并指定端口属于哪一个VLAN，使交换机能够根据端口进行VLAN划分，不同VLAN间的端口属于不同广播域，从而隔离广播。

（3）跨交换机VLAN标签操作

VLAN跨越交换机时，需要交换机之间传递的以太网数据帧带有802. 1Q标签。这样，数据帧所属的VLAN信息才不会丢失。

在图3-4-9中，PCA和PCB所发出的数据帧到达SWA后，SWA将这些数据帧分别打VLAN 10和VLAN 20的标签。SWA的端口E1/0/24负责对这些带802. 1Q标签的数据帧进行转发，并不对其中的标签进行剥离。

①Trunk链路类型端口

不对VLAN标签进行剥离操作的端口就是Trunk链路类型端口。Trunk链路类型端口可以接收和发送多个VLAN的数据帧，且在接收和发送过程中不对帧中的标签进行任何操作。

不过，默认VLAN（PVID）帧是一个例外。在发送帧时，Trunk端口要剥离默认VLAN（PVID）帧中的标签；同样，交换机从Trunk端口接收到不带标签的帧时，要打上默认VLAN标签。

②Hybrid链路类型端口

除了Access链路类型和Trunk链路类型端口外，交换机还支持第3种链路类型端口，称为Hybrid链路类型端口。Hybrid端口可以接收和发送多个VLAN的数据帧，同时还能够指定对任何VLAN帧进行剥离标签操作。

当网络中大部分主机之间需要隔离，但这些隔离的主机又需要与另一台主机互通时，可以使用Hybrid端口。

4.VLAN配置示例

VLAN的基本配置示例如图3-4-10所示。图中PCA与PCC属于VLAN 10，PCB与PCD属于VIAN 20，交换机之间使用Trunk端口相连，端口的默认VLAN是VLAN 1。

交换机A的配置：

[SWA]vlan 10
[SWA-vlan10]port Ethernet1/0/1
[SWA]vlan 20
[SWA-vlan20]port Ethernet1/0/2
[SWA]interface Ethernet1/0/24
[SWA-Ethernet1/0/24]port link-type trunk 
[SWA-Ethernet1/0/24]port trunk permit vlan 10 20

交换机B的配置：

[SWB]vlan 10
[SWB-vlan10]port Ethernet1/0/1
[SWB]vlan 20
[SWB-vlan20]port Ethernet1/0/2
[SWB]interface Ethernet1/0/24
[SWB-Ethernet1/0/24]port link-type trunk 
[SWB-Ethernet1/0/24]port trunk permit vlan 10 20

配置完成后，PCA与PCC能够互通，PCB与PCD能够互通。但PCA与PCB，PCC与PCD之间不能够互通。

<Switch>display vlan 
 VLAN function is enabled.
 Total 3 VLAN exist（s）.
 Now， the following VLAN exist（s）:
  1（default）， 2， 10 
<Switch> display vlan 2
 VLAN ID: 2
 VLAN Type: static
 Route interface: not configured
 Description: VLAN 0002
 Tagged   Ports: none
 Untagged Ports:  
    Ethernet1/0/1  Ethernet1/0/3  Ethernet1/0/4
<Switch> display interface ethernet 1/0/1
PVID: 2
 Mdi type: auto
 Port link-type: access
  Tagged   VLAN ID : none
  Untagged VLAN ID : 2
 Port priority: 0

3.4.5 冗余链路和链路聚合

在网络互连中，对于单一链路的连接，一旦一条链路出现简单的故障就会造成网络的中断。因此，在实际组建网络的过程中，为了保持网络的稳定性，在多台交换机组成的网络环境中，通常都使用一些备份连接，以提高网络的健壮性、稳定性。

备份连接也称为备份链路或者冗余链路。

1.冗余链路的问题

冗余链路会使网络存在环路，环路会带来以下问题：

（1）广播风暴：环路网络中广播数据充斥整个网络无法处理，并占用大量网络带宽，导致正常业务不能运行，甚至彻底瘫痪。

（2）多帧复制：网络中如果存在环路，目的主机可能会收到某个数据帧的多个副本，从而导致上层协议在处理这些数据帧时无从选择，产生迷惑。

（3）地址表的不稳定：当交换机连接不同网段时，将会出现通过不同端口接收到同一个广播的多个副本的情况，这将会导致MAC地址表的多次刷新。持续的刷新会严重消耗内存资源，影响交换机的工作能力，降低整个网络的运行效率。

（4）多个回路：如果网络有回路，交换机再次接收到该数据帧时，它仍然毫无记录地将数据帧按照MAC地址表转发到指定端口。这样，帧有可能在环路中不断循环和增生。

正因为冗余链路会产生这么多问题,那么需要解决这些问题就会用到生成树协议。

2.生成树协议

STP（Spanning-Tree Protocol，生成树协议）是由IEEE协会制定的，用于在局域网中消除数据链路层物理环路的协议，其标准名称为802.1D。运行该协议的设备通过彼此交互信息发现网络中的环路，并有选择地对某些端口进行阻塞，最终将环路网络结构修剪成无环路的树型网络结构，从而防止报文在环路网络中不断增生和无限循环，避免设备由于重复接收相同的报文造成的报文处理能力下降的问题。

（1）桥协议数据单元

STP采用的协议报文是BPDU（ Bridge Protocol Data Unit，桥协议数据单元）， BPDU包含了足够的信息来完成生成树的计算。

STP协议的配置BPDU报文主要包含以下几部分。

jBPDU中的根桥ID，STP最终决定谁是根桥。

k根路径开销（Root Path Cost）：到根桥的最小路径开销。如果是根桥，其根路径开销为0；如果是非根桥，则为到达根桥的最短路径上所有路径开销之和。

l指定桥ID（ Designated Bridge ID）：生成或转发BPDU的桥ID，由桥优先级和桥MAC组成.

m指定端口ID（Designated Port ID）：发送BPDU的端口ID，由端口优先级和端口索引号组成。

（2）根桥选举

网络中每台设备都有自己的桥ID，桥ID由桥优先级（Bridge Priority） 和桥MAC地址（Bridge Mac Address）两部分组成。因为桥MAC地址在网络中是唯一的，所以能够保证桥ID在网络中也是唯一的。在进行桥ID比较时，先比较优先级，优先级值小者为优；在优先级相等的情况下，再用MAC地址来进行比较，MAC地址小者为优。

网络初始化时，网络中所有的STP设备都认为自己是“根桥”。设备之间通过交换配置BPDU而比较桥ID，网络中桥ID最小的设备被选为根桥。根桥会按照一定的时间间隔产生并向外发送配置BPDU，其他的设备对该配置BPDU进行转发，从而保证拓扑的稳定。

（3）确定端口角色

STP的作用是通过阻断冗余链路使一个有回路的桥接网络修剪成一个无回路的树型拓扑结构。它通过将环路上的某些端口置为阻塞状态，不允许数据帧通过而做到这一点。下面是确定哪些端口是阻塞状态的过程。

j根桥上的所有端口为指定端口（Designated Port，DP）。

k为每个非根桥选择根路径开销最小的那个端口1作为根端口（Root Port，RP），该端口到根桥的路径是此网桥到根桥的最佳路径。

l为每个物理段选出根路径开销最小的那个网桥作为指定桥（Designated Bridge），该指定桥到该物理段的端口作为指定端口，负责所在物理段上的数据转发。

m既不是指定端口也不是根端口的端口是Alternate端口，置于阻塞状态，不转发普通以太网数据帧。

（4）端口状态

前面讨论了STP如何确定端口角色。被确定为根端口或指定端口后，端口就可以处于转发状态，否则就是阻塞状态。事实上，在802. 1D协议中，端口共有5种状态。

①Disabled：表示该端口处于失效状态，不接收和发送任何报文。这种状态可以是由于端口的物理状态（如端口物理层没Up）导致的，也可能是管理者手工将端口关闭。

②Blocking：处于这个状态的端口不能够参与转发数据报文，但是可以接收BPDU配置消息，并交给CPU进行处理。不过不能发送配置消息，也不进行地址学习。

③Listening：处于这个状态的端口不参与数据转发，也不进行地址学习，但是可以接收并发送BPDU配置消息。

④Learning：处于这个状态的端口不能转发数据，但是开始地址学习，并可以接收、处理和发送BPDU配置消息。

⑤Forwarding：一旦端口进入该状态，就可以转发任何数据，同时也进行地址学习和BPDU配置消息的接收、处理和发送。

生成树协议可以解决广播风暴和环路问题，但是收敛时间比较慢，无法适应拓扑结构的变化，于是就有了RSTP协议。

3.RSTP

快速生成树协议（Rapid Spanning Tree Protocol ，RSTP）用于在局域网中消除数据链路层物理环路，其核心是快速生成树算法。RSTP由IEEE 802.1D-1998标准定义的STP（Spanning Tree Protocol，生成树协议）改进而来，除了和传统的STP协议一样具有避免回路、动态管理冗余链路的功能外，RSTP极大的缩短了拓扑收敛时间，在理想的网络拓扑规模下，所有交换设备均支持RSTP协议且配置得当时，拓扑发生变化（链路UP/DOWN）后恢复稳定的时间可以控制在秒级，而传统的拓扑稳定且能正常工作所需时间为50秒。RSTP的主要功能可以归纳如下：

（1）发现并生成局域网的一个最佳树型拓扑结构；

（2）发现拓扑故障并随之进行恢复，自动更新网络拓扑结构，启用备份链路，同时保持最佳树型结构；

（3）RSTP的端口状态在STP的基础上进行了改进。由原来的5种缩减为3种。Forwarding（转发）在这种状态下，端口既转发用户流量又处理BPDU报文。

Learning（学习）这是一种过渡状态。在Learning下，交换设备会根据收到的用户流量，构建MAC地址表，但不转发用户流量，所以叫做学习状态。Learning状态的端口处理BPDU报文，不转发用户流量。Discarding（丢弃）状态的端口只接收BPDU报文。

STP使用生成树算法，能够在交换网络中避免环路造成的故障，并实现冗余路径的备份功能。RSTP则进一步提高了交换网络拓扑变化时的收敛速度。但是没法实现VLAN级负载平衡，造成网络带宽浪费。于是IEEE 802. 1s定义的MSTP协议。

4.MSTP

通过MSTP协议，可以在网络中定义多个生成树实例，每个实例对应多个VLAN，每个实例维护自己的独立生成树。这样既避免了为每个VLAN维护一棵生成树的巨大资源消耗，又可以使不同的VLAN具有完全不同的生成树拓扑，不同VLAN在同一端口上可以具有不同的状态，从而可以实现VLAN一级的负载分担。

5.STP的配置

如图3-4-11所示为一个启用STP防止环路及实现链路冗余的组网。交换机SWA和SWB是核心交换机，之间通过两条并行链路互连备份；SWC是接入交换机，接用户连接到SWC的E1/0/1端口上。很显然，为了提高网络的性能，应该使交换机SWA位于转发路径的中心位置（即生成树的根），同时为了增加可靠性，应该使SWB作为根的备份。

交换机A配置：

[SWA] stp global enable
[SWA]stp priority 0

交换机B配置：

[SWB]stp global enable
[SWB]stp priority 4096

交换机C配置：

[SWC]stp global enable
[SWC]interface Ethernet 1/0/1                                
[SWC-Ethernet1/0/1] stp edged-port 

用display stp查看配置情况。

[SWA]display stp 
-------[CIST Global Info][Mode MSTP]-------
CIST Bridge         ：32768.000f-e23e-f9b0
Bridge Times        ：Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC      ：32768.000f-e23e-f9b0 / 0
CIST RegRoot/IRPC   ：32768.000f-e23e-f9b0 / 0
CIST RootPortId     ：0.0
BPDU-Protection     ：disabled
Bridge Config-
Digest-Snooping     ：disabled
TC or TCN received  ：0

6.链路聚合

链路聚合（ Link Aggregation）指将多个物理端口汇聚在一起，形成一个逻辑端口，以实现出/入流量吞吐量在各成员端口的负荷分担，交换机根据用户配置的端口负荷分担策略决定网络封包从哪个成员端口发送到对端的交换机。当交换机检测到其中一个成员端口的链路发生故障时，就停止在此端口上发送封包，并根据负荷分担策略在剩下的链路中重新计算报文的发送端口，故障端口恢复后再次担任收发端口。链路聚合在增加链路带宽、实现链路传输弹性和工程冗余等方面是一项很重要的技术。

（1）链路聚合的优点

①增加链路带宽：通过把数据流分散在聚合组中各个成员端口，实现端口间的流量负载分担，从而有效地增加了交换机间的链路带宽。

②提供链路可靠性：聚合组可以实时监控同一聚合组内各个成员端口的状态，从而实现成员端口之间彼此动态备份。如果某个端口故障，聚合组及时把数据流从其他端口传输。

（2）链路聚合的分类

按照聚合方式的不同，链路聚合可以分为下面两大类。

①静态聚合：在静态聚合方式下，双方设备不需要启用聚合协议，双方不进行聚合组中成员端口状态的交互。如果一方设备不支持聚合协议或双方设备所支持的聚合协议不兼容，则可以使用静态聚合方式来实现聚合。

②动态聚合：在动态聚合方式下，双方系统使用LACP（Link Aggregation Control Protocol，链路聚合控制协议）来协商链路信息。交互聚合组中成员端口状态。

LACP是一种基于IEEE 802. 3ad标准的、能够实现链路动态聚合与解聚合的协议。LACP协议通过LACPDU（Link Aggregation Control Protocol Data Unit ，链路聚合控制协议数据单元）与对端交互信息。

（3）配置链路聚合

如图3-4-12所示交换机SWA使用端口E1/0/1、E1/0/2和E1/0/3连接到SWB的端口E1/0/1、E1/0/2和E1/0/3。在交换机上启用链路聚合以实现增加带宽和可靠性的需求。

交换机A的配置：

[SWA] interface bridge-aggregation 1
[SWA-Ethernet1/0/1] port link-aggregation group 1
[SWA-Ethernet1/0/2] port link-aggregation group 1
[SWA-Ethernet1/0/3] port link-aggregation group 1

交换机B的配置：

[SWB] interface bridge-aggregation 1
[SWB-Ethernet1/0/1] port link-aggregation group 1
[SWB-Ethernet1/0/2] port link-aggregation group 1 
[SWB-Ethernet1/0/3] port link-aggregation group 1  

用Switch>display link-aggregation summary查看配置情况。

Aggregation Interface Type:
BAGG -- Bridge-Aggregation， RAGG -- Route-Aggregation
Aggregation Mode: S -- Static， D -- Dynamic
Loadsharing Type: Shar -- Loadsharing， NonS -- Non-Loadsharing
Actor System ID: 0x8000， 000f-e267-6c6a
AGG         AGG    Partner ID     Select     Unselect      Share
Interface   Mode                  Ports      Ports         Type
----------------------------------------------------------------------
BAGG1     S         none        3          0     Shar

3.5任务3：配置路由

路由（Routing）是指分组从源到目的地时，决定端到端路径的网络范围的进程。路由工作在OSI参考模型第3层——网络层的数据包转发设备。路由器通过转发数据包来实现网络互连。虽然路由器可以支持多种协议（TCP/IP、IPX/SPX、AppleTalk等协议），但是在我国绝大多数路由器运行TCP/IP协议。路由器通常连接2个或多个由IP子网或点到点协议标识的逻辑端口，至少拥有1个物理端口。路由器根据收到数据包中的网络层地址以及路由器内部维护的路由表决定输出端口以及下一跳地址，并且重写链路层数据包头实现转发数据包。路由器通过动态维护路由表来反映当前的网络拓扑，并通过网络上其他路由器交换路由和链路信息来维护路由表。

3.5.1 路由器的作用

路由器运行在OSI模型的网络层，其核心功能是在多个网络之间选择最佳路由，以转发报文分组。

路由器具有以下功能：

第一，网络互连。路由器支持各种局域网和广域网接口，主要用于互连局域网和广域网，实现不同网络互相通信。

第二，数据处理。提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能。

第三，网络管理。路由器提供包括路由器配置管理、性能管理、容错管理和流量控制等功能。

3.5.2 路由器的工作原理

要理解路由器如何完成数据包的转发，首先要了解路由表。每个路由器中都保存着一张路由表，路由表中主要包括每个目标网络的IP地址、子网掩码、下一个路由器以及跳步数等信息，供路由选择时使用。

1.路由表

路由器依靠路由协议采用自动学习方式或管理员手动配置等方式获得IP数据包要发往的目的地信息。

路由表主要包含下列几项。

（1）目的地址/网络掩码（Destination/Mask）：用来标识IP数据报文的目的地址或目的网络。将目的地址和网络掩码“逻辑与"后，可得到目的主机或路由器所在网段的地址。

（2）出接口（Interface）：指明IP包将从该路由器哪个接口转发。

（3）下一跳地址（Next-hop）：更接近目的网络的下一个路由器地址。如果只配置了出接口，下一跳IP地址是出接口的地址。

（4）度量值（Metric）：说明IP数据包需要花费多大的代价才能到达目标。

路由表有以下几种产生方式。

（1）直连路由：直连路由是由链路层协议发现的，一般指去往路由器的端口地址所在网段的路径。若路由器相应的端口配置了IP地址和子网掩码，且该端口处于激活状态，路由器就会把通向该网段的路由信息填写到路由表中去。直连路由无法使路由器获取与其不直接相连的路由信息。

（2）静态路由：在简单拓扑结构的网络里，管理员根据网络的拓扑结构手动输入路由条目。

（3）动态路由：是指协议学习到的路由。在大型网络环境下，利用路由协议比如OSPF、BGP、RIP 等学习。

2.路由转发

路由器是通过匹配路由表里的路由项来实现数据包的转发。当路由器收到一个数据包时，将数据包的目的IP地址提取出来，然后与路由表中路由项包含的目的地址进行比较。如果与某路由项中的目的地址相同，则认为与此路由项匹配；如果没有路由项能够匹配，则丢弃该数据包。

路由器查看所匹配的路由项的下一跳地址是否在直连链路上，如果在直连链路上，则路由器根据此下一跳转发；如果不在直连链路上，则路由器还需要在路由表中再查找此下一跳地址所匹配的路由项。

确定了最终的下一跳地址后，路由器将此报文送往对应的接口，接口进行相应的地址解析，解析出此地址所对应的链路层地址，然后对IP数据包进行数据封装并转发。

如果路由表中设有路由项能够匹配数据包则丢弃该数据包。但是，如果在路由表中有默认路由存在，则路由器按照默认路由来转发数据包。默认路由又称为缺省路由，其目的地址/掩码为0.0.0.0/0。

3.直连路由

直连路由是指路由器接口直接相连的网段的路由。直连路由不需要特别地配置。只需在路由器的接口上配置IP地址即可。但路由器会根据接口的状态决定是否使用此路由。如果接口的物理层和链路层状态均为UP，路由器即认为接口工作正常，该接口所属网段的路由即可生效并以直连路由出现在路由表中，如果接口状态为DOWN。路由器认为接口工作不正常，不能通过该接口到达其地址所属网段，也就不能以直连路由出现在路由表中。

直连路由的优先级为0，即最高优先级；开销（Cost）也为0，表明是直接相连。优先级和开销不能更改。

4.静态路由

静态路由（Static routing），一种路由的方式，路由项（Routing entry）由手动配置，而非动态决定。与动态路由不同，静态路由是固定的，不会改变，即使网络状况已经改变或是重新被组态。一般来说，静态路由是由网络管理员逐项加入路由表。

静态路由优点：

使用静态路由的另一个好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表，而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。因此，网络出于安全方面的考虑也可以采用静态路由。不占用网络带宽，因为静态路由不会产生更新流量。

静态路由缺点：

大型和复杂的网络环境通常不宜采用静态路由。一方面，网络管理员难以全面地了解整个网络的拓扑结构；另一方面，当网络的拓扑结构和链路状态发生变化时，路由器中的静态路由信息需要大范围地调整，这一工作的难度和复杂程度非常高。当网络发生变化或网络发生故障时，不能重选路由，很可能使路由失败。

5.静态路由的配置

如图3-5-1所示路由器A通过端口连接路由器B在连接路由器C，把网络配置通，让PC能够访问服务器。

路由器接口配置（省略）

路由器A的配置：

[RTA]ip route-static 10.3.0.0 255.255.255.0 10.2.0.2
[RTA]ip route-static 10.4.0.0 255.255.255.0 10.2.0.2

路由器B的配置：

[RTB]ip route-static 10.1.0.0 255.255.255.0 10.2.0.1
[RTB]ip route-static 10.4.0.0 255.255.255.0 10.3.0.2

路由器C的配置：

[RTC]ip route-static 10.1.0.0 255.255.255.0 10.3.0.1
[RTC]ip route-static 10.2.0.0 255.255.255.0 10.3.0.1

配置完成之后PC能够ping通Server。

3.5.3 路由协议

路由可以静态配置，也可以通过路由协议来自动生成。路由协议能够自动发现和计算路由，并在拓扑变化时自动更新，无须人工维护，所以适用于复杂的网络中。

1.路由协议与可路由协议

路由协议：是用来计算、维护路由信息的协议。路由协议通常采用一定的算法、以产生路由，并有一定的方法确定路由的有效性来维护路由。路由协议可以使路由器全面地了解整个网络的运行。

可路由协议：在网络层进行数据包转发的协议。它提供了网络层的地址供终端节点使用，数据和网络层地址信息一起封装在数据包中。由于数据包含有第3层的地址，所以路由器可以根据该地址，对数据包的转发进行判断。例如IP、IPX和AppleTalk等都属于可路由协议。

2.常见路由协议

常见的路由协议有RIP、IGRP（Cisco私有协议）、EIGRP（Cisco私有协议）、OSPF、IS-IS、BGP等。

RIP、IGRP、EIGRP、OSPF、IS-IS是内部网关协议（IGP），适用于单个ISP的统一路由协议的运行，一般由一个ISP运营的网络位于一个AS（自治系统）内，有统一的AS number（自治系统号）。BGP是自治系统间的路由协议，是一种外部网关协议，多用于不同ISP之间交换路由信息，以及大型企业、政府等具有较大规模的私有网络。

（1）RIP（路由信息协议）

RIP很早就被用在Internet上，是最简单的路由协议。它是“路由信息协议（Route Information Protocol）”的简写，主要传递路由信息，通过每隔30秒广播一次路由表，维护相邻路由器的位置关系，同时根据收到的路由表信息计算自己的路由表信息。RIP是一个距离矢量路由协议，最大跳数为15跳，超过15跳的网络则认为目标网络不可达。此协议通常用在网络架构较为简单的小型网络环境。分为RIPv1和RIPv2两个版本，后者支持VLSM技术以及一系列技术上的改进。RIP的收敛速度较慢。

（2）OSPF（开放式最短路径优先）

OSPF协议是“开放式最短路径优先（Open Shortest Path First）”的缩写，属于链路状态路由协议。OSPF提出了“区域（area）”的概念，每个区域中所有路由器维护着一个相同的链路状态数据库（LSDB）。区域又分为骨干区域（骨干区域的编号必须为0）和非骨干区域（非0编号区域），如果一个运行OSPF的网络只存在单一区域，则该区域可以是骨干区域或者非骨干区域。如果该网络存在多个区域，那么必须存在骨干区域，并且所有非骨干区域必须和骨干区域直接相连。OSPF利用所维护的链路状态数据库，通过最短路径优先算法（SPF算法）计算得到路由表。OSPF的收敛速度较快。由于其特有的开放性以及良好的扩展性，OSPF协议在各种网络中广泛部署。

（3）IS-IS（中间系统到中间系统）

IS-IS协议是Intermediate system to intermediate system（中间系统到中间系统）的缩写，属于链路状态路由协议。标准IS-IS协议是由国际标准化组织制定的ISO/IEC 10589：2002所定义的，标准IS-IS不适合用于IP网络，因此IETF制定了适用于IP网络的集成化IS-IS协议（Integrated IS-IS）。和OSPF相同，IS-IS也使用了“区域”的概念，同样也维护着一份链路状态数据库，通过最短生成树算法（SPF）计算出最佳路径。IS-IS的收敛速度较快。集成化IS-IS协议是ISP骨干网上最常用的IGP协议。

（4）IGRP（内部网关路由协议）

IGRP协议是“内部网关路由协议（Interior Gateway Routing Protocol）”的缩写，由Cisco于20世纪80年代独立开发，属于Cisco私有协议。IGRP和RIP一样，同属距离矢量路由协议，因此在诸多方面有着相似点，如IGRP也是周期性的广播路由表，也存在最大跳数（默认为100跳，达到或超过100跳则认为目标网络不可达）。IGRP最大的特点是使用了混合度量值，同时考虑了链路的带宽、延迟、负载、MTU、可靠性5个方面来计算路由的度量值，而不像其他IGP协议单纯的考虑某一个方面来计算度量值。IGRP已经被Cisco独立开发的EIGRP协议所取代，版本号为12.3及其以上的Cisco IOS（Internetwork Operating System）已经不支持该协议，已经罕有运行IGRP协议的网络。

（5）EIGRP（增强型内部网关路由协议）

由于IGRP协议的种种缺陷以及不足，Cisco开发了EIGRP协议（增强型内部网关路由协议）来取代IGRP协议。EIGRP属于高级距离矢量路由协议（又称混合型路由协议），继承了IGRP的混合度量值，最大特点在于引入了非等价负载均衡技术，并拥有极快的收敛速度。EIGRP协议在Cisco设备网络环境中广泛部署。

（6）BGP（边界网关协议）

为了维护各个ISP的独立利益，标准化组织制定了ISP间的路由协议BGP。BGP是“边界网关协议（Border Gateway Protocol）”的缩写，处理各ISP之间的路由传递。但是BGP运行在相对核心的地位，需要用户对网络的结构有相当的了解，否则可能会造成较大损失。

3.5.4 路由器硬件辨识

1.路由器的外观

（1）路由器系列（以H3C为例），如图3-5-2所示。

（2）路由器的接口

一般路由器上的接口分为3大类：用于局域网的LAN接口，用于广域网接入/互联的WAN接口，应用于LAN组网，或者WAN接入/互联网的逻辑接口（配置端口）。图3-5-3显示了MSR36-40路由器的直观图。前面板主要包括配置口（Console）、备份配置口（Auxiliary port，AUX），CF卡插槽和电源开关等部件。前面板还配置了系统指示灯、电源指示灯、CF卡指示灯，以辅助用户对系统运行状态进行监控和判断。

MSR36-40是一种模块化的路由器，它通过提供多种类型的接口模块来实现多种网络的互连。

MSR30系列路由器提供对通用模块SIC（智能接口卡）和MIM（多功能接口模块）接口。

2.路由器硬件架构

路由器是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”以使它们能够相互“读”懂对方的数据，从而构成一个更大的网络。路由器由硬件和软件组成。

硬件主要由中央处理器、内存、接口、控制端口等物理硬件和电路组成。软件主要由路由器的I0S操作系统组成。

路由器硬件结构如下：

（1）中央处理器（CPU）

与计算机一样，路由器也包含了一个中央处理器（CPU）。不同系列和型号的路由器，其中的CPU也不尽相同。Cisco路由器一般采用 Motorola 68030和Orion/R4600两种处理器。路由器的CPU负责路由器的配置管理和数据包的转发工作，如维护路由器所需的各种表格以及路由运算等。路由器对数据包的处理速度很大程度上取决于CPU的类型和性能。

（2）只读内存（ROM）

只读内存（ROM Readly Memory在Cisco路由器中的功能与计算机中的ROM相似，只能读取而不能写入，通常用来存储生产厂家固化写入的程序数据，在特定专业条件下才可以写入如要进行升级，则要替ROM芯片。

ROM中主要包含：

1）系统加电自检代码（POST），用于检测路由器中各硬件部分是否完好。

2）系统弓|导区代码（Boot Strap），用于启动路由器并载入I0S操作系统。

（3）闪存（Flash）

Flash是可读可写的存储器，在系统重新启动或关机之后仍能保存数据。Flash 中存放着当前使用中的I0S。事实上，如果Flash容量足够大，甚至可以存放多个操作系统，这在进行I0S升级时十分有用。当不知道新版I0S是否稳定时，可在升级后仍保留旧版IOS，当出现问题时可迅速退回到旧版操作系统，从而避免长时间的网路故障。

（4）非易失性RAM

NVRAM是可读可写的存储器，在系统重新启动或关机之后仍能保存数据。由于NVRAM仅用于保存启动配置文件（Startup-Config），故其容量较小，通常在路由器上只配置32KB~128KB大小的NVRAM。同时，NVRAM的速度较快，成本也比较高。

（5）随机存储器（RAM）

RAM也是可读可写的存储器，但它存储的内容在系统重启或关机后将被清除。和计算机中的RAM 一样，Cisco路由器中的RAM也是运行期间暂时存放操作系统和数据的存储器，让路由器能迅速访问这些信息。RAM的存取速度优于前面所提到的3种内存的存取速度。

3.5.5 RIP路由协议配置、验证及查看

RIP是一种较为简单的内部网关协议，主要用于规模较小的网络中，比如校园网以及结构较简单的地区性网络。由于RIP的实现较为简单，在配置和维护管理方面也远比OSPF和IS-IS容易，因此在实际组网中有广泛的应用。

RIP是一种基于距离矢量（Distance-Vector）算法的路由协议。RIP使用跳数（Hop.

Count）来衡量到达目的网络的距离。在RIP中，路由器到与它直接相连网络的跳数为0，通过与其直接相连的路由器到达下一个紧邻的网络的跳数为1，其余以此类推，每多经过一个网络，跳数加1。为限制收敛时间，RIP规定度量值取0~15之间的整数，大于或等于16的跳数被定义为无穷大，即目的网络或主机不可达。由于这个限制，使得RIP不适合应用于大型网络。

RIP包括两个版本：RIPv1和RIPv2。RIPvl是有类别路由协议，协议报文中不携带掩码信息，不支持VLSM（Variable Length Subnet Mask，可变长子网掩码）。RIPv1 只支持以广播方式发布协议报文。

RIPv2支持VLSM，同时RIPv2支持明文认证和MD5密文认证。

1.RIP的基本配置

（1）创建RIP进程并进入RIP视图。

Router rip process-id

processid 为进程ID。 通常不必指定，系统自动选用RIP进程1作为当前RIP的进程。

（2）在指定网段接口上使能RIP。

Router-rip-1 network network-address wildcard-mask

network-address为指定网段的地址，其取值可以为各个接口的IP网络地址。

（3）指定全局RIP版本。

Router-rip-1 version { 1 | 2 }

（4）关闭RIPv2自动路由聚合功能。

Router-rip-1 undo summary

2.RIP的基本示例

图3-5-4所示两个路由器A和路由器B分别连着10.0.0.0和192.168.0.0两个网段，需要配通。

路由器接口配置（省略）

路由器A的配置：

[RTA] rip
[RTA-rip-1] network 10.0.0.0 
[RTA-rip-1] network 192.168.0.0
[RTA-rip-1] version 2
[RTA-rip-1] undo summary
[RTA-Serial0/0] rip authentication-mode md5 rfc2453 plain abcdef

路由器B的配置：

[RTB] rip
[RTB-rip-1] network 10.0.0.0 
[RTB-rip-1] network 192.168.0.0
[RTB-rip-1] undo summary
[RTB-rip-1] version 2
[RTB-Serial0/0] rip authentication-mode md5 rfc2453 plain abcdef

查看RIP当前运行状态及配置信息：

<Router> display rip 
 Public VPN-instance name:
    RIP process: 1
       RIP version: 2
       Preference: 100
       Checkzero: Enabled
       Default cost: 0
       Summary: Disabled
       Host routes: Enabled
       Maximum number of load balanced routes: 6
       Update time   :   30 secs  Timeout time         :  180 secs
       Suppress time :  120 secs  Garbage-collect time :  120 secs
       Update output delay:   20（ms）  Output count:    3
       TRIP retransmit time:    5（s）  Retransmit count: 36
       Graceful-restart interval:   60 secs
       Triggered Interval : 5 50 200
       Silent interfaces: None
       Default routes: Disabled
       Verify-source: Enabled
       Networks:
  	   192.168.1.0            192.168.0.0    
       Configured peers: None
       Triggered updates sent: 0
       Number of routes changes: 1
       Number of replies to queries: 0

3.5.6 OSPF**路由协议配置、验证及查看**

OSPF（Open Shortest Path Firs，开放式最短路径优先）是一个内部网关协议（Interior Gateway Protocol，简称IGP），用于在单一自治系统（autonomous system，AS）内决策路由。是对链路状态路由协议的一种实现，隶属内部网关协议（IGP），故运作于自治系统内部。著名的迪克斯加算法被用来计算最短路径树。OSPF支持负载均衡和基于服务类型的选路，也支持多种路由形式，如特定主机路由和子网路由等。

1.OSPF工作原理

OSPF的简单说就是两个相邻的路由器通过发报文的形式成为邻居关系，邻居再相互发送链路状态信息形成邻接关系，之后各自根据最短路径算法算出路由，放在OSPF路由表，OSPF路由与其他路由比较后优的加入全局路由表。整个过程使用了5种报文，分别是Hello报文、DBD报文、LSR报文、LSU报文和LSACK报文。3个阶段，分别是邻居发现、路由通告、路由计算。4张表，分别是邻居表、

链路状态数据库表、OSPF路由表、全局路由表。

具体工作过程：

（1）了解自身链路

每台路由器了解其自身的链路，即与其直连的网络。

（2）寻找邻居

不同于RIP，OSPF协议运行后，并不立即向网络广播路由信息，而是先寻找网络中可与自己交换链路状态信息的周边路由器。可以交互链路状态信息的路由器互为邻居。

（3）创建链路状态数据包

路由器一旦建立了邻居关系，就可以创建链路状态数据包。

（4）链路状态信息传递

路由器将描述链路状态的LSA泛洪到邻居，最终形成包含网络完整链路状态信息的链路状态数据库。

（5）计算路由

路由区域内的每台路由器都可以使用SPF算法来独立计算路由。

2.配置单区域的OSPF

如图3-5-5所示，区域0具有3台路由器RTA、RTB和RTC，它们彼此连接。

将RTA上的loopback接口0的IP地址1.1.1.1设置为RTA的Router ID，将RTB上的loopback接口0的IP地址2.2.2.2设置为RTB的Router ID，将RTC上的loopback接口0的IP地址3.3.3.3设置为RTC的Router ID。完成上述配置后，配置OSPF协议。

路由器接口配置（省略）

路由器A的配置：

[RTA] interface loopback 0
[RTA-loopback-0]ip address 1.1.1.1 255.255.255.255
[RTA-loopback-0]quit
[RTA] router id 1.1.1.1
[RTA] ospf 1
[RTA-ospf-1] area 0
[RTA-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
[RTA-ospf-1-area-0.0.0.0] network 10.0.0.0 0.0.0.255
[RTA-ospf-1-area-0.0.0.0] network 20.0.0.0 0.0.0.255

路由器B的配置：

[RTB]interface loopback 0
[RTB-loopback-0]ip address 2.2.2.2 255.255.255.255
[RTB-loopback-0]quit
[RTB]route id 2.2.2.2
[RTB]ospf 1
[RTB-ospf-1]area 0
[RTB-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
[RTB-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255
[RTB-ospf-1-area-0.0.0.0]network 30.0.0.0 0.0.0.255

路由器C的配置：

[RTC]interface loopback 0
[RTC-loopback-0]ip address 3.3.3.3 255.255.255.255
[RTC-loopback-0]quit
[RTC]router id 3.3.3.3
[RTC]ospf 1
[RTC-ospf-1]area 0
[RTC-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
[RTC-ospf-1-area-0.0.0.0]network 20.0.0.0 0.0.0.255
[RTC-ospf-1-area-0.0.0.0]network 30.0.0.0 0.0.0.255

3.配置多区域的OSPF

如图3-5-6所示，区域0和区域192.168.10.1具有3台路由器RTA、RTB和RTC，它们彼此连接。

路由器接口配置（省略）

路由器A的配置：

[RTA] interface loopback 0
[RTA-loopback-0]ip address 1.1.1.1 255.255.255.255
[RTA-loopback-0]quit
[RTA] router id 1.1.1.1
[RTA] ospf 100
[RTA-ospf-1] area 0
[RTA-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
[RTA-ospf-1-area-0.0.0.0] network 10.0.0.0 0.0.0.255
[RTA-ospf-1-area-0.0.0.0] network 20.0.0.0 0.0.0.255

路由器B的配置：

[RTB] interface loopback 0
[RTB-loopback-0] ip address 2.2.2.2 255.255.255.255
[RTB-loopback-0] quit
[RTB] route id 2.2.2.2
[RTB] ospf 100
[RTB-ospf-100] area 0
[RTB-ospf-100-area-0.0.0.0] network 2.2.2.2 0.0.0.0
[RTB-ospf-100-area-0.0.0.0] network 10.0.0.0 0.0.0.255
[RTB-ospf-100-area-0.0.0.0] quit
[RTB-ospf-100] area 192.168.10.1
[RTB-ospf-100-area-192.168.10.1] network 20.0.0.0 0.0.0.255

路由器C的配置：

[RTC]interface loopback 0
[RTC-loopback-0]ip address 3.3.3.3 255.255.255.255
[RTC-loopback-0]quit
[RTC]router id 3.3.3.3
[RTC]ospf 1
[RTC-ospf-1]area 0
[RTC-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
[RTC-ospf-1-area-0.0.0.0]network 20.0.0.0 0.0.0.255
[RTC-ospf-1-area-0.0.0.0]network 30.0.0.0 0.0.0.255

查看路由信息：

<H3C>display ospf routing
         OSPF Process 1 with Router ID 1.1.1.1
                  Routing Table
 Routing for network
 Destination       Cost     Type    NextHop      AdvRouter    Area
 10.0.0.0/30        1       Transit  0.0.0.0          1.1.1.1     0.0.0.0
 10.0.1.0/30        1       Transit  0.0.0.0          3.3.3.3     0.0.0.0
 3.3.3.3/32         1       Stub    10.0.1.2         3.3.3.3     0.0.0.0
 10.0.2.0/30        2       Transit  10.0.0.2         3.3.3.3     0.0.0.0
 10.0.2.0/30        2       Transit  10.0.1.2         3.3.3.3     0.0.0.0
 2.2.2.2/32         1       Stub    10.0.0.2         2.2.2.2     0.0.0.0
 1.1.1.1/32         0       Stub     0.0.0.0         1.1.1.1     0.0.0.0

3.5.7 BGP路由协议配置、验证及查看

BGP（Border Gateway Protocol，边界网关协议）是运行于TCP上的一种自治系统的路由协议。BGP是唯一一个用来处理像因特网大小的网络的协议，也是唯一能够妥善处理好不相关路由域间的多路连接的协议。BGP构建在EGP的经验之上。BGP系统的主要功能是和其他的BGP系统交换网络可达信息。网络可达信息包括列出的自治系统（AS）的信息。这些信息有效地构造了AS互联的拓扑图并由此清除了路由环路，同时在AS级别上可实施策略决策。

BGP路由选择协议执行中使用4种分组：打开分组（open）、更新分组（update）、存活分组（keepalive）、通告分组（notification）。

1.BGP邻居建立中的状态和过程

（1）空闲（Idle）：为初始状态，当协议激活后开始初始化，复位计时器，并发起第一个TCP连接，并开始倾听远程对等体所发起的连接，同时转向Connect状态。

（2）连接（Connect）：开始TCP连接并等待TCP连接成功的消息。如果TCP连接成功，则进入Open Sent状态；如果TCP连接失败，进入Active状态。

（3）行动（Active）：BGP总是试图建立TCP连接，若连接计时器超时，则退回到Connect状态，TCP连接成功就转为Open sent状态。

（4）OPEN发送（Open sent）：TCP连接已建立，自己已发送第一个OPEN报文，等待接收对方的Open报文，并对报文进行检查，若发现错误则发送Notification消息报文并退回到Idle状态。若检查无误则发送Keepalive消息报文，Keepalive计时器开始计时，并转为Open confirm状态。

（5）OPEN证实（Open confirm）：BGP等待Keepalive报文，同时复位保持计时器。如果收到了Keepalive报文，就转为Established状态，邻居关系协商完成。如果系统收到一条更新或Keepalive消息，它将重新启动保持计时器；如果收到Notification消息，BGP就退回到空闲状态。

（6）已建立（Established）：即建立了邻居（对等体）关系，路由器将和邻居交换Update报文，同时复位保持计时器。

2.BGP基本配置

如图3-5-7所示，所有路由器均运行BGP协议。要求Router A和Router B之间建立EBGP连接，Router B和Router C之间建立IBGP连接，使得Router C能够访问Router A直连的8.1.1.0/24网段。

（1）配置各接口的IP地址（略）

（2）配置IBGP连接

为了防止端口状态不稳定引|起路由震荡，本举例使用Loopback接口来创建IBGP 对等体。

使用Loopback接口创建IBGP对等体时，因为Loopback接口不是两对等体实际连接的接口，所以，必须使用peer connect-interface命令将Loopback接口配置为BGP连接的源接口。 在AS 65009内部，使用OSPF协议，保证Router B到Router C的Loopback 接口路由可达。

#配置Router B：

<RouterB> system-view 
[RouterB] bgp 65009 
[RouterB-bgp] router-id 2.2.2.2 
[RouterB-bgp] peer 3.3.3.3 as-number 65009 
[RouterB-bgp] peer 3.3.3.3 connect-interface 1oopback 0
	[RouterB-bgp] quit 
[RouterB] ospf 1 
[RouterB-ospf-1] area 0 
[RouterB-ospf-1-area 0.0.0.0] network 2.2.2.2 0.0.0.0 
[RouterB-ospf-1-area 0.0.0.0] network 9.1.1.1 0.0.0.255 
[RouterB-ospf-1-area-0.0.0.0] quit 
[RouterB-ospf-1] quit

#配置Router C：

<RouterC> system-view
[RouterC] bgp 65009 
[RouterC-bgp]router-id 3.3.3.3 
[RouterC-bgp]peer 2.2.2.2 as-number 65009 
[RouterC-bgp] peer 2.2.2.2 connect-interface loopbackloopback。 
[RouterC-bgp] quit 
[RouterC] oapf 1 
[RouterC-ospf-1]area 0 
[RouterC-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0 
[Routerc--ospf-1-area-0.0.0.0] network 9.1.1.0 0.0.0.255 
[RoutexC-ospf-1-8rea-0.0.0.0] quit 
[RouterC-ospf-1] quit

查看Router B和Router C之间的IBGP连接情况

[RouterC] display bgp peer 
BGP 1ocal router ID ： 3.3.3.3
Local AS number ： 65009
Total number of peers ： 1
Peers in established state ： 1
Peer    AS   MsgRcvd   M3gSent  OutQ  PrefRcv  Up/Down   State
2.2.2.2  65009    7        10       0       0    00：06：09  Established

以上显示信息表明Router B和Router C之间的IBGP连接已经建立。

（3）配置EBGP直连EBGP

邻居关系的两台路由器（通常属于两个不同运营商），处于不同的AS域，对端的loopback接口一般路由不可达，所以一般使用直连地址建立BGP邻居。因为要求Router C能够访问Router A直连的8.1.1.0/24网段，所以，建立EBGP连接后，需要将8.1.1.0/24网段路由通告到BGP路由表中。

#配置Router A

<RouterA> system-view
[RouterA] bgp 65008
[RouterA-bgp] router-id 1.1.1.1
[RouterA-bgp] peer 3.1.1.1 as-number 65009
[RouterA-bgp] network 8.1.1.1 24
[RouterA-bgp] quit

#配置Router B

[RouterB] bgp 65009
[RouterB-bgp] peer 3.1.1.2 as-number 65008
[RouterB-bgp] quit

#查看Router B的BGP对等体的连接状态。

[RouterB] display bgp peer
BGP 1ocal router ID : 2.2.2.2
Local AS number : 65009
Total number of peers : 2
Peers in established state : 2
Peer    AS   MsgRcvd  MagSent  OutQ   PrefRcv  Up/Down   State
3.3.3.3  65009    12      10     0       3    00:09:16   Established
3.1.1.2  65008    3       3      0       1    00:00:08   Established

可以看出，Router B与Router C ，Router B与Router A之间的BGP连接均已建立。

#查看Router A的BGP路由表。

[RouterA] display bgp routing-table
Total Number of Routes: 1
BGP Local router ID is 1.1.1.1
Status codes: * - valid， ^ - VPNv4 best， > - best， d - damped，
h - history， i - internal， 3 - suppressed， S – Stale
origin : i - IGP，e - EGP，? – incomplete
Network   NextHop   MED     LocPrf    PrefVal  Path/Ogn
*>8.1.1.0/24   0.0.0.0      0         0          i

#显示Router B的BGP路由表。

[RouterB] display bgp routing-table
Total Number of Routes: 1
BGP Local router ID 13 2.2.2.2
Status codes: * - valid， ^ - VPNv4 best， > - best， d - damped，
h - history， i - internal， 3 - suppressed， S – Stale
origin:i-IGP，e-EGP，?-incomplete.
Network     NextHop     MED     LocPrf    PrefVa1    Path/Ogn
*> 8.1.1.0/24  3.1.1.2       0        0         65008       i

#显示Router C的BGP路由表。

[RouterC] display bgp routing-table
Total Number of Routes: 1 .
BGP Local router ID 13 3.3.3.3
Status codes: * - valid， ^ - VPNv4 best， > - best， d - damped，
h - history， i - interna1， 3 - suppressed， S – Stal
eorigin : i - IGE，e - EGP，? – incomplete
Network     NextHop    MED    LocPrf     PrefVa1      Path/0gn
*> 8.1.1.0/24  3.1.1.2      0       100          0         65008i

从路由表可以看出，Router A没有学到AS 65009内部的任何路由，Router C虽然学到了AS 65008中的8.1.1.0的路由，但因为下一跳3.1.1.2不可达，所以也不是有效路由。

（4）配置BGP引入直连路由

在Router B上配置BGP引入直连路由，以便Router A能够获取到网段9.1.1.0/24的路由，Router C能够获取到网段3.1.1.0/24的路由。

#配置Router B。

[RouterB] bgp 65009
[RouterB-bgp] import-route direct

#显示Router A的BGP路由表。

[RouterA] display bgp routing-table
Total Mumber of Routes: 4
BGP local router ID 1s 1.1.1.1
Status codes: * - valid， ^ - VPNv4 best， > - best， d - damped，
h - history， i - interna1， 3 - suppressed， S – Stale
origin : i - IGE，e - EGP，? – incomplete
Network      NextHop    MED   LocPrf     PrefVal    Path/0gn
*> 2.2.2.2/32   3.1.1.1      0        0        65009        i    
*> 3.1.1.0/24   3.1.1.1      0        0        65009        i
*> 8.1.1.0/24   0.0.0.0      0        0        3.1.1.1
*> 9.1.1.0/24   3.1.1.1      0        0        65009         i

以上显示信息表明，在Router B上引入直连路由后，Router A新增了到2.2.2.2/32和9.1.1.0/24两条路由。

#显示Router C的BGP路由表。

[RouterC] display bgp routing-table
Total Number of Routes: 4
BGP Local router ID is 3.3.3.3
Status codes: * - valid，^ - VPNv4 best， > - best， d - damped，
h - history， i - internal， 3 - suppressed， S – Stale
origin : i - IGP，e - EGP，? – incomplete
Network     NextHop     MED    LocPrf    PrefVal    Path/Ogn
*> 2.2.2.2/32    2.2.2.2        0       100       0           ？
*> 3.1.1.0/24    2.2.2.2        0       100       0           ？
*> 8.1.1.0/24    3.1.1.2        0       100       0       65008
*> 9.1.1.0/24    2.2.2.2        0       100       0           ？

以上显示信息表明，到8.1.1.0的路由变为有效路由，下一跳为Router A的地址。

（5）验证配置结果

#使用Ping进行验证。

[RouterC] ping 8.1.1.1
PING 8.1.1.1: 56 data byte3， press CTRL_ _C to break
Reply from 8.1.1.1: bytes=56 Sequence=1 tt1=254 time=2 ms
Reply from 8.1.1.1: bytes=56 Sequence=2 tt1=254 time=2 ms
Reply from 8.1.1.1: bytes=56 Sequence=3 tt1=254 time=2 ms
Reply from 8.1.1.1: bytes=56 Sequence=4 tt1=254 time=2 ms
Reply from 8.1.1.1: bytes=56 Sequence=5 tt1=254 time=2 ms
8.1.1.1 ping statistics ---
5 packet（3） transmitted
5 packet（3） received
0.00% packet loss
round-trip min/avg/max = 2/2/2 ms

本章小结

本章以企业网络项目为引导，介绍了计算机网络基础知识、Microsoft Visio画图软件的使用，重点介绍了网络中交换机与路由器的配置与管理。通过本章的学习，应该具有计算机网络理论知识，会设计网络拓扑图、会交换机、路由器的基本配置。

本章习题

一、单项选择题

1.以下工作于OSI 参考模型数据链路层的设备是（ ）。

A.广域网交换机

B.路由器

C.中继器

D.集线器

2.如果以太网交换机中某个运行STP 的端口不接收或转发数据，接收并发送BPDU，不进行地址学习，那么该端口应该处于（ ）状态。

A. Blocking

B. Listening

C. Learning

D. Forwarding

3.IP 地址10.0.10.32 和掩码255.255.255.224 代表的是一个（ ）。

A. 主机地址

B. 网络地址

C. 广播地址

D. 以上都不对

4.在开放系统互连参考模型（OSI）中，（ ）以帧的形式传输数据流。

A. 网路层

B. 会话层

C. 传输层

D. 数据链路层

5.下面关于OSI 参考模型的说法正确的是（ ）。

A. 传输层的数据称为帧（Frame）

B. 网络层的数据称为段（Segment）

C. 数据链路层的数据称为数据包（Packet）

D. 物理层的数据称为比特（Bit）

6.下列关于路由器特点的描述，不正确的是（ ）。

A. 是网络层设备

B. 根据链路层信息进行路由转发

C. 提供丰富的接口类型

D. 可以支持多种路由协议

7.如果需要在MSR 路由器上配置以太网口的IP 地址，应该在（ ）下配置。

A. 系统视图

B. 用户视图

C. 接口视图

D. 路由协议视图

8.在查看配置的时候，如果配置命令较多，一屏显示不完，则在显示完一屏后，可以按下（ ）显示下一页。

A. <Ctrl+c>键

B. <Enter>键

C. <Ctrl+p>键

D. <Space>键

9.在MSR 路由器上，使用（ ）命令查看设备当前运行版本。

A. display running

B. display software

C. display version

D. display current-version

10.局域网常用的网络拓扑结构为（ ）。

A.总线型

B.环型

C.网状

D.星型

11.数据从上到下封装的格式为（ ）。

A.比特 包 帧 段 数据

B.数据 段 包 帧 比特

C.比特 帧 包 段 数据

D.数据 包 段 帧 比特

12.二层以太网交换机在MAC 地址表中查找与帧目的MAC 地址匹配的表项，从而将帧从相应接口转发出去，如果查找失败，交换机将（ ）。

A. 把帧丢弃

B. 把帧由除入端口以外的所有其他端口发送出去

C. 查找快速转发表

D. 查找路由表

13.（ ）是一种数据封装技术，它是一条点到点的链路，通过这条链路，可以连接多个交换机中的VLAN组成员。

A. STP

B. VLAN

C.Trunk

D.DNS

14.某主机的IP 地址为130.25.3.135，子网掩码为255.255.255.192，那么该主机所在的子网的网络地址为（ ）。

A. 130.25.0.0

B. 130.25.3.0

C. 130.25.3.128

D. 130.25.3.255

15.要在路由器上配置一条静态路由。已知目的地址为192.168.1.0，掩码是20 位， 出接口为GigabitEthernet0/0，出接口IP 地址为10.10.202.1，那么下列配置中哪些是正确的？（ ）。

A. ip route-static 192.168.1.0 255.255.240.0 GigabitEthernet0/0

B. ip route-static 192.168.1.0 255.255.248.0 10.10.202.1

C. ip route-static 192.168.1.0 255.255.240.0 10.10.202.1

D. ip route-static 192.168.1.0 255.255.248.0 GigabitEthernet0/0

二、多项选择题

1.物理层定义了物理接口的( )。

A.机械特性

B.电气特性

C.功能特性

D.规程特性

2.交换机上的以太帧交换依靠MAC 地址映射表，这个表可以通过（ ）来建立。

A. 交换机自行学习

B. 手工添加映射表项

C. 交换机之间相互交换目的地的位置信息

D. 生成树协议交互学习

3.关于STP、RSTP 和MSTP 说法正确的是（ ）。

A. RSTP 是STP 协议的优化版。端口进入转发状态的延迟在某些条件下大大缩短，从而缩短了网络最终达到拓扑稳定所需要的时间。

B. MSTP不能快速收敛，当网络拓扑结构发生变化时，原来阻塞的端口需要等待一段时间才能变为转发状态。

C. MSTP 兼容RSTP，但不兼容STP。

D. MSTP 可以弥补STP 和RSTP 的缺陷，它既能快速收敛，也能使不同VLAN 的流量沿各自的路径转发，从而为冗余链路提供了更好的负载分担机制。

4.链路聚合的作用是（ ）。

A. 增加链路带宽。

B. 可以实现数据的负载均衡。

C. 增加了交换机间的链路可靠性。

D. 可以避免交换网环路。

5.某企业网络管理员需要设置一个子网掩码将其负责的C 类网络211.110.10.0 划分为最少10 个子网，请问可以采用多少位的子网掩码进行划分？（ ）。

A. 28

B. 27

C. 26

D. 29

三、判断题

1.VLAN 技术和端口隔离技术均可以实现数据的二层隔离。（ ）

2.XYZ 公司的两个分公司处于不同地区，其间要搭建广域网连接。根据规划，广域网采用PPP 协议，考虑到网络安全，要求密码类的报文信息不允许在网络上明文传送，那么该采取PAP协议进行验证。（ ）

3.同一个VLAN之中的主机通信必须通过路由器进行信号转发。（ ）

4.对一个B类网段进行子网划分，如果子网掩码是19 位，那么最多能够划分的子网数为8。（ ）

5.某主机的IP 地址为130.25.3.135，子网掩码为255.255.255.192，那么该主机所在的子网的网络地址为130.25.0.0。（ ）

参考文献

1 谢希仁. 计算机网络第七版M，北京：电子工业出版社，2017.1

2夏素霞. 计算机网络技术与应用M，北京：人民邮电出版社，2010.9

2 杭州华三通信有限公司.路由与交换技术M.北京：清华大学出版社，2012.