网络工程师培训资料课件

信息化网络信息化网络专题知识培训专题知识培训1 1信息化网络专题知识培训1培训内容概要培训内容概要一、数据网系统一、数据网系统二、二、MSTP光传输系统光传输系统三、存储与备份系统三、存储与备份系统2 2培训内容概要一、数据网系统2第一部分：数据网系统第一部分：数据网系统1、网络原理知识介绍、网络原理知识介绍2、信息化网络的拓扑介绍、信息化网络的拓扑介绍3、网络设备的基本配置与维护、网络设备的基本配置与维护3 3第一部分：数据网系统1、网络原理知识介绍31、网络基本知识介绍、网络基本知识介绍1.1 OSI 七层参考模型七层参考模型1.2 Switching 交换交换1.3 Routing 路由路由1.4 Security 安全安全4 41、网络基本知识介绍1.1 OSI 七层参考模型41.1 OSI 七层参考模型Open System Interconnection Reference ModelOpen System Interconnection Reference Model5 51.1 OSI 七层参考模型Open System IntOSI：开放系统互连参考模型（Open System Interconnection Reference Model）网络世界的法律网络世界的法律!6 6OSI：开放系统互连参考模型（Open System InOSI Reference ModelsOSI Reference ModelsPCAPCBApplicationPresentationSessionTransportNetworkDatalinkPhysicalApplicationPresentationSessionTransportNetworkDatalinkPhysicalData网络设备传输数据的过程是按照OSI七层参考模型来运动的。7 7OSI Reference ModelsPCAPCBAOSI Reference Models(cont)OSI Reference Models(cont)ApplicationPresentationSessionTransportNetwork Data link Physical应用层应用层数据流层数据流层我们统称七层模型的上三层为应用层，下四层为数据流层。8 8OSI Reference Models(cont)网络协议结构图网络协议结构图Application LayerTransport LayerNetwork LayerData Link LayerPhysical Layer9 9PPP FrameRelay HDLC ETHERNETAREncapsulation Encapsulation ApplicationPresentationSessionTransportNetwork Data link PhysicaldataTCP/UDP header SegmentIP header PacketLLC Sub layerMAC Sub layerFCSLLCFCSMACFrame0 1 1 0 0 0 1 1 0 1 0 1Bit在发送数据的时候,就是一个封装数据的过程.1010Encapsulation ApplicationPreseDe encapsulation De encapsulation Application layerPresentation layerSession layerTransport layerNetwork layer Data link Physical layerLLC Sub layerMAC Sub layer0 1 1 0 0 0 1 1 0 1 0 1dataFCSTCPIPLLCMACSegmentPacketFrameBit在接收数据的时候,就是一个解封装数据的过成.1111De encapsulation Application l七层功能七层功能应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层1234567提供应用程序间通信提供应用程序间通信处理数据格式、数据加密等处理数据格式、数据加密等建立、维护和管理会话建立、维护和管理会话建立主机端到端连接建立主机端到端连接寻址和路由选择寻址和路由选择提供介质访问、链路管理等提供介质访问、链路管理等比特流传输比特流传输1212七层功能应用层表示层会话层传输层网络层数据链路层物理层123以太网络以太网络其他的网络拓扑在今后的课程里还要学习，我们在这里主要介绍一下Broadcast网络也就是以太网络。以太网使用CSMA/CD(Carrier Sense and Multiple Access with Collision Detection).CSMA/CD意思是,所有的设备利用同一个媒介通信,每一时刻只能传输一个设备的信息,但它们可以同时接收信息.如果两个设备试图在同一时刻传输,将发生传输冲突,检测到冲突后,两个设备都会等待一段随机的时间(很短)再进行传输.1313以太网络其他的网络拓扑在今后的课程里还要学习，我们在这里主要物理层-HUBCSMA/CD听Packet当PCA要发一个数据包给PCD的时候,首先PCA要先听HUB的链路上是否有数据在跑,如果有那么PCA等待,如果没有那么PCA将数据包发出.这样的做法是由于HUB上的链路是共享的,所以采用了发数据包之前先进行冲突检测的方法,那么我们称为CSMA/CD.PC APC BPC CPC D空闲1414物理层-HUBCSMA/CD听Packet当PCA要发物理层物理层-HUB-HUBCSMA/CD听有数据在转发继续听HUB上的链路是共享的,所以如果HUB上有数据在转发,那么此时PCA需要等待.1515物理层-HUBCSMA/CD听有数据在转发继续听HUB物理层-HUBCSMA/CD听Packet现在的情况是PCA和PCC都要发数据,但是两人刚才都检测到HUB上是空闲的.那么两人都发.结果发生了冲突.两人都同时启动BACK OFF动作.随机的生成一个秒数,再发数据包.如果再与其他PC发送的数据包冲突.那么再次BACK OFF,BACK OFF一共可进行15次.PC APC BPC CPC D空闲听Packet随机秒数随机秒数BACK OFF1616物理层-HUBCSMA/CD听Packet现在的情况是物理层总结物理层总结经过上面的几个例子经过上面的几个例子,我们发现物理层的设备比如我们发现物理层的设备比如HUBHUB由于没有任何的机制可以避免数据发送时的冲由于没有任何的机制可以避免数据发送时的冲突突,当然更不用说广播风暴了当然更不用说广播风暴了.所以所以HUBHUB是不能划分是不能划分冲突域和广播域的冲突域和广播域的.换句话说换句话说,一个一个HUBHUB就是一个冲就是一个冲突域突域,一个广播域一个广播域.1717物理层总结经过上面的几个例子,我们发现物理层的设备比如HUB数据链路层数据链路层MAC地址是一个48位的地址，前24位是厂商号，后24位是厂商自定义的产品号。比如：Cisco的MAC都是：0000.0C 华为产品前3个字节是0 x00E0FC1818数据链路层MAC地址是一个48位的地址，前24位是厂商号，后交换基础交换基础交换机的背板带宽是交换式的,不互相影响.PacketPacketPacketPacket1919交换基础交换机的背板带宽是交换式的,不互相影响.Packet冲突域与广播域冲突域与广播域1234四个冲突域,一个广播域.2020冲突域与广播域1234四个冲突域,一个广播域.20数据链路层总结数据链路层总结 经过上面的几个例子经过上面的几个例子,我们发现数据链路层的设备比如我们发现数据链路层的设备比如SwitchSwitch由于背板带宽是交换的而不是共享的由于背板带宽是交换的而不是共享的,所以可以避所以可以避免数据发送时的冲突免数据发送时的冲突.所以所以SwitchSwitch是可以划分冲突域的是可以划分冲突域的,但但是是SwitchSwitch只是一个二层的设备不设计三层的概念所以不能只是一个二层的设备不设计三层的概念所以不能划分广播域划分广播域.换句话说换句话说,一个一个SwitchSwitch的每个的每个interfaceinterface就是一就是一个冲突域个冲突域,整个整个SwitchSwitch就是一个广播域就是一个广播域.2121数据链路层总结经过上面的几个例子,我们发现数据链路层的设备比网络层介绍网络层介绍 定义与指定协议相关联的源和目标逻辑地址定义与指定协议相关联的源和目标逻辑地址 定义通过网络的路径定义通过网络的路径多链路连接多链路连接2222网络层介绍 定义与指定协议相关联的源和目标逻辑地址 定义通过IPIP协议协议IP协议是TCP/IP协议族中最为核心的协议，所有TCP、UDP、ICMP及IGMP数据都以IP数据包格式传输。IP地址被我们称为网络逻辑地址，用来唯一的标示一台网络设备。IP地址与MAC地址的关系是，MAC地址被我们称为物理地址。是厂家出厂设置的地址一般不做更改，IP地址与MAC地址是通过ARP协议进行解析对应的。2323IP协议IP协议是TCP/IP协议族中最为核心的协议，所有TIPIP地址地址IP地址是32位无符号整数，例如1.1.1.1。我们可以把IP地址分为五类。Class A:Class B:Class C:Class D:Class E:NetworkHostHostHostNetwork NetworkHostHostNetwork Network NetworkHost8 bits8 bits8 bits8 bits1-126128-191240-255224-239192-223地址的第一个字节(十进制)组播地址组播地址组播地址组播地址科研用科研用科研用科研用2424IP地址IP地址是32位无符号整数，例如1.1.1.1。我们IP IP IP 地址分类地址分类地址分类1Class A:Bits:0NNNNNNNHostHostHost8 916 1724 2532Range(1-126)1Class B:Bits:10NNNNNNNetworkHostHost8 916 1724 2532Range(128-191)1Class C:Bits:110NNNNNNetworkNetworkHost8 916 17242532Range(192-223)1Class D:Bits:1110MMMMMulticast Group Multicast Group Multicast Group8 916 17242532Range(224-239)2525IP 地址分类1Class A:Bits:0NNNNNNNH子网掩码子网掩码1721600255255002552552550IPAddressDefaultSubnetMask8-bitSubnetMaskNetworkHostNetworkHostNetworkSubnetHost“/16”表示子网掩码有表示子网掩码有16位位.“/24”表示子网掩码有表示子网掩码有24位位.11111111 1111111100000000000000002626子网掩码1721600255255002552552550IClassClassAddress areaAddress areaStateStateA A0.0.0.00.0.0.0ReserveReserve1.0.0.01.0.0.0到到到到126.0.0.0126.0.0.0UsableUsable10.0.0.0-10.255.255.25510.0.0.0-10.255.255.255PrivatePrivate127.0.0.0127.0.0.0ReserveReserve127.0.0.1127.0.0.1Host loopHost loopB B128.0.0.0128.0.0.0到到到到191.254.0.0191.254.0.0UsableUsable191.255.0.0191.255.0.0ReserveReserve172.16.0.0-172.31.255.255172.16.0.0-172.31.255.255PrivatePrivateC C192.0.0.0192.0.0.0ReserveReserve192.0.1.0192.0.1.0到到到到223.255.254.0223.255.254.0UsableUsable192.168.0.0-192.168.255.255192.168.0.0-192.168.255.255PrivatePrivate223.255.255.0223.255.255.0ReserveReserveD D224.0.0.0224.0.0.0到到到到239.255.255.255239.255.255.255MulticastMulticast224.0.0.1224.0.0.1All hostAll host224.0.0.2224.0.0.2All routerAll router224.0.0.4224.0.0.4All DVMRP routerAll DVMRP router224.0.0.5224.0.0.5All OSPF routerAll OSPF router224.0.0.6224.0.0.6All OSPF DR(Designated Router)All OSPF DR(Designated Router)224.0.0.9224.0.0.9All RIPv2 routerAll RIPv2 router224.0.0.10224.0.0.10All EIGRP routerAll EIGRP router224.0.0.13224.0.0.13All PIM routerAll PIM routerE E240.0.0.0240.0.0.0到到到到255.255.255.254255.255.255.254ReserveReserve255.255.255.255255.255.255.255BroadcastBroadcast2727ClassAddress areaStateA0.0.0.0IPIP报头报头4比特版本4比特IHL8比特服务类型16比特总长度16比特标识3比特标识13比特分段偏移8比特生存期TTL8比特协议16比特校验和32比特源地址32比特目的地址选项数据2828IP报头4比特IHL16比特总长度16比特标识3比特标识13IPIP报头报头(续续)IP版本号（Version Number）-IP报头的前4比特标识了IP的运行版本（V4或者V6）。IP数据包的头位是版本域。因为讨论的是IPv4数据包，所以版本号为4。4的二进制表示是0100。4比特版本4比特IHLIHL（Internet头长度）域-她是以32比特字为单位的头的长度,标识IP报头的长度。8比特服务类型8比特的服务类型（TOS）域-设为0，因为没有特殊的TOS需求；这样，TOS域的值就为00000000。用来指定该数据Packet的优先权，延迟，吞吐量和可靠性参数。16比特总长度总长度字段（Total Length Field）-这16比特字段包含IP Packet的总长度。2929IP报头(续)IP版本号（Version Number）-IPIP报头报头(续续)4比特版本4比特IHL8比特服务类型16比特总长度16比特标识Packet标识符（Packet Identifier）-允许一个主机来决定最新到达的数据分段属于哪一个Packet.3比特标识数据片骗移量字段-指出这个数据片在原有数据包中的位置,如果原有数据包没有被分片.那么这个字段等于0.13比特分段偏移8比特生存期TTL生存时间（TTL,Time-To-Live）字段-在WAN中，IP Packet不能永久漫游，限制了一个有限的TTL值。8比特的TTL字节由发送者确定，最大为255。Packet每经过一个站，这个值至少被递减1。递减到1以后，则确定该Packet是不可传送的。标志（Flags）-接下来的字段包括3个1比特标志，用来指出对Packet的分段是否允许以及在分段已经使用时，是否还允许分段。3030IP报头(续)4比特版本4比特IHL8比特服务类型16比特总IPIP报头报头(续续)4比特版本4比特IHL8比特服务类型16比特总长度16比特标识3比特标识13比特分段偏移8比特生存期TTL协议标识符字段（Protocol Identifier Field）-这8比特字段标识了IP报头之后的协议，例如协议号为6就是TCP，协议号为17就是UDP,协议号为89就是OSPF,协议号为88就是EIGRP。8比特协议16比特校验和校验和（Checksum）-校验和字段是一个16比特的检错字段。3131IP报头(续)4比特版本4比特IHL8比特服务类型16比特总IPIP报头报头(续续)4比特版本4比特IHL8比特服务类型16比特总长度16比特标识3比特标识13比特分段偏移8比特生存期TTL8比特协议16比特校验和32比特源地址32比特目的地址源IP地址（Source IP Address）-本字段为源端计算机的IP地址。目标IP地址（Destination IP Address）-本字段为目标计算机的IP地址。填充数据填充字段（Padding）-为确保IP报头总是32比特的整倍数，本字段填充进额外的0。3232IP报头(续)4比特版本4比特IHL8比特服务类型16比特总路由路由的概念就是将个不同子网的路由的概念就是将个不同子网的IP,IP,进行转发通信。进行转发通信。路由有两个功能路由有两个功能:寻路寻路:在路由表中找目的子网的路由条目。在路由表中找目的子网的路由条目。转发转发:通过通过ARPARP表或表或MAPMAP表重新进行二层的封装。表重新进行二层的封装。3333路由路由的概念就是将个不同子网的IP,进行转发通信。路由有两路由路由(续续)1.1.1.02.2.2.01.1.1.12.2.2.1PCAPCB1.1.1.21.1.1.32.2.2.2PCCSOURCE MACSOURCE MACSOURCE IPSOURCE IPDESTINATION DESTINATION MACMACDESTINATION DESTINATION IPIPPacketPCAPCAe0e0e1PCCSOURCE MACSOURCE MACSOURCE IPSOURCE IPDESTINATION DESTINATION MACMACDESTINATION DESTINATION IPIPPCAe1PCCPCCRoute Table1.1.1.01.1.1.0E0E0c c2.2.2.02.2.2.0E1 E1 c c1ARPMAC-IP2MAP二层地址-IP2在路由的过程中,三层地址不变,二层地址随着下跳的改变而改变.3434路由(续)1.1.1.02.2.2.01.1.1.12.2.ARPARPARP为IP地址到对应的硬件地址之间提供动态映射.我们之所以用动态这个词是因为这个过程是自动完成的.ARP为IP地址到对应的硬件地址之间提供动态映射.我们之所以用动态这个词是因为这个过程是自动完成的.点对点链路不使用ARP。当设置这些链路时，必须告知内核链路每一端的IP地址。3535ARPARP为IP地址到对应的硬件地址之间提供动态映射.我们ARPARP地址解析协议地址解析协议需要10.0.0.2的MAC地址？IP:10.0.0.1/24MAC:00-E0-FC-00-00-11IP:10.0.0.2/24MAC:00-E0-FC-00-00-12ARP Request?ARP Reply10.0.0.2 对应的MAC：00-E0-FC-00-00-123636ARP地址解析协议需要10.0.0.2的MAC地址？IP:RARPRARP反向地址解析协议反向地址解析协议我的IP地址是什么？无盘工作站RARP ServerRARP Request?RARP Reply你的IP地址是10.0.0.13737RARP反向地址解析协议我的IP地址是什么？无盘工作站RA免费免费ARPARP通过上一个胶片的Debug信息我们可以看到另一个有趣的现象，就是主机或者路由器会来查找本地接口IP地址的MAC地址，我们称之为免费ARP。免费ARP有两个方面的好处：一、一个主机可以通过查找本地接口IP地址的MAC地址来确定网络中是否有设置了相同IP地址的主机。二、如果更改了MAC地址或者更换了NIC，那么主机收到某个IP地址的ARP请求而且这个请求的IP地址已经在本地ARP缓存中，主机就要用ARP请求中的发送端（在这里也就是他自己）硬件地址对高速缓存中相应的内容进行更新。3838免费ARP通过上一个胶片的Debug信息我们可以看到另一个有ARPARP高速缓存高速缓存ARP高效运行的关键是由于每个主机上都有一个ARP高速缓存.这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录.高速缓存中每一项的生存时间一般是20分钟,起始时间从被创建时开始算起.Cisco(config-if)#arp timeout?Seconds3939ARP高速缓存ARP高效运行的关键是由于每个主机上都有一个AProxy ARPProxy ARP如果ARP请求是从一个网络的主机发往另一个网络的主机,那么连接这两个网络的路由器就可以回答该请求,这个过程称作委托ARP或ARP代理(Proxy ARP).这样可以欺骗发起ARP请求的发送端,使它误以为路由器就是目的主机,而事实上目的主机是在路由器的”另一边”.路由器的功能相当于目的主机的代理,把分组从其他主机转发给它.AB10.1.1.220.1.1.2Proxy ARPProxy ARP4040Proxy ARP如果ARP请求是从一个网络的主机发往另一个传输层介绍通过端口号区分上层应用通过端口号区分上层应用建立端到端连接建立端到端连接(TCP连接连接)提供面向连接提供面向连接(TCP)和非面向连接和非面向连接(UDP)4141传输层介绍通过端口号区分上层应用建立端到端连接(TCP连接)面向连接协议和面向非连接协议面向连接协议和面向非连接协议传输层有两种协议：1、面向连接协议。2、面向非连接协议。面向连接协议的典型代表为TCP协议，面向非连接协议的典型代表为UDP协议。面向连接协议要求必须在数据传输之前先做好连接工作,比如TCP的三次握手工作。ABPacket4242面向连接协议和面向非连接协议传输层有两种协议：1、面向连接协一台一台PCPC机发信息的过程机发信息的过程我要发送DataTCP协议将数据分装成数据段.表面上看应用可以转发大量的数据.然而TCP或任何传输层协议,必须开始把大量数据分成更易管理的数据块的过程,每个数据块称为”segment”。分段处理中有一部分是对整个TCP报头字段的分段,这些字段中最重要的两个是序列号以及正在发送和接收分段数据的应用的源和目标端口号.序列号端口号源端口号目标端口号4343一台PC机发信息的过程我要发送DataTCP协议将数据分装成序号的作用序号的作用Seq 1Seq 2Seq 3序列号标识从原始数据流中分割出的数据段的顺序,这使接收方能重建数据流,而不会把内容弄混乱。由于网络的原因致使我们第一个发出的包却最后一个到，如果对方按照接收的顺序处理那么数据的内容可能将混乱。序列号由于要标示数据包的顺序所以必须是N+1累加的，但是这样可能会被黑客捕捉从而推测我们下一个数据包的序号进行伪装。所以我们第一个序列号是一个随即数，我们称之为ISN。Seq ISN+1Seq ISN+2Seq ISN+34444序号的作用Seq 1Seq 2Seq 3序列号标识从原始数据一台一台PCPC机发信息的过程（续）机发信息的过程（续）网络里可以被路由的地址是IP地址而不是TCP的端口号，所以我们需要在Segment的上面再加一些信息-IP包头。我们管加了IP包头的Segment叫做Packet。源和目标机器的IP地址包含在IP分组的报头中,它们使路由器能够将IP分组转发到本地网以外的目标.源IP地址目的IP地址4545一台PC机发信息的过程（续）网络里可以被路由的地址是IP地址TCP概述尽管TCP和UDP都使用相同的网络层（IP），TCP却向应用层提供与UDP完全不同的服务，TCP提供一种面向连接的可靠的字节流服务。面向连接的意思是说：两个使用TCP的应用（一个客户和一个服务器）在彼此交换数据之前必须先建立一个TCP连接以保证数据传输的可靠性。这一过程与打电话相似，先拨号震铃，等待对方摘机说“喂”然后才说明是谁。4646TCP概述尽管TCP和UDP都使用相同的网络层（IP），TCTCPTCP概述概述(续续)在一个TCP连接中，仅有两方进行彼此通信，当然这个通讯也可以是双向的。先建立联系，再通话。先建立连接，再传数据。每个TCP段都包含源端和目的端的端口号，用于寻找发端和收端应用进程。这两个值加上IP首部中的源端IP首部中的源端IP地址和目的端IP地址唯一确定一个TCP连接。代振文2651314俞国华3539292端口号：290110.1.1.1端口号：2310.1.1.10一个IP地址和一个端口号也称为一个插口Socket。4747TCP概述(续)在一个TCP连接中，仅有两方进行彼此通信，当TCPTCP数据格式数据格式Source port(16)Destination port(16)Sequence number(32)Headerlength(4)Acknowledgement number(32)Reserved(6)Code bits(6)Window(16)Checksum(16)Urgent(16)Options(0 or 32 if any)Data(varies)20BytesURG 紧急指针（urgent pointer）有效。URGACKPSHRSTSYNACK 确认序号有效。PSH 接收方应该尽快将这个报文段交给应用层。RST 重建连接。SYN 同步序号用来发起一个连接。FINFIN 发端完成发送任务。4848TCP数据格式Source port(16)DestinaTCPTCP在在OSIOSI中的位置中的位置Application LayerTransport LayerNetwork LayerData Link LayerPhysical Layer4949PPP FrameRelay HDLC ETHERNETARTCPTCP面向连接面向连接TCP是一个面向连接的协议。无论哪一个方向另一方发送数据之前，都必须先在双方之间建立一条连接。TCP为应用层提供全双工服务。这意味数据能在两个方向上独立地进行传输，因此，连接的每一端必须保持每个方向上的传输数据序号。Packet5050TCP面向连接TCP是一个面向连接的协议。无论哪一个方向另一TCPTCP三次握手三次握手SynchronizeSynchronizeAcknowledgeAcknowledgeConnection EstablishedConnection EstablishedPC APC B5151TCP三次握手SynchronizeSynchronizeATCPTCP面向连接面向连接-Three-way handshake-Three-way handshake1、请求端（通常称为客户）发送一个SYN段指明客户打算连接的服务器的端口，以及初始序号（ISN，在这个例子中为127974818）。这个SYN段为报文段1。2、服务器发回包含服务器的初始序号的SYN报文段进行确认。一个SYN将占用一个序号。3、客户必须将确认序号设置为服务器的ISN加1以对服务器的SYN报文段进行确认（报文段3）。为在传输数据之前，先建立一个连接。TCP需要有一个三次握手的动作。这三个报文段完成连接的建立。这个过程也称为三次握手（three-way handshake）。5252TCP面向连接-Three-way handshake1TCPTCP面向连接面向连接-Three-way handshake-Three-way handshake（续）（续）发送第一个SYN的一端将执行主动打开（active open）。接收这个SYN并发回下一个SYN的另一端执行被动打开（passive open）。SYN 1279748181：1279748181（0）Mss 1024SYN 1355821893：1355821893（0）Ack 1279748181 Mss 1024Ack 1355821893我们注意看到在同步序号后面有一个（0），意思是没有发送任何数据。在三次握手的过程中TCP是不发数据的。5353TCP面向连接-Three-way handshake（TCPTCP面向连接面向连接-序号与确认序号与确认既然TCP报文段作为IP数据报来传输，而IP数据报的到达可能会失序，因此TCP报文段的到达也可能会失序。所以TCP将对受到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。当TCP收到发自TCP连接另一端的数据，它将发送一个确认。这个确认不是立即发送通常将推迟几分之一秒。序号是32bit的无符号数，序号到达2的32次方-1后又从0开始。5454TCP面向连接-序号与确认既然TCP报文段作为IP数据报TCPTCP面向连接面向连接-序号与确认（续）序号与确认（续）在三次握手以后，开始传送数据。PSH 1:1025(1024)ACK 1,win 4096Ack 2049,win 4096PSH 3073:4097(1024)ACK 1,win 4096PSH 1025:2049(1024)ACK 1,win 4096PSH 2049:3073(1024)ACK 1,win 4096Ack 3073,win 3072Ack 4097,win 4096PSH 4097:5121(1024)ACK 1,win 4096PSH 5121:6145(1024)ACK 1,win 4096PSH 6145:7169(1024)ACK 1,win 4096发送方用序号来代表所发送的数据，接收方用Ack来确认所接收的数据。在这里我们发现，接收方不需要对每一个数据进行确认。Ack是累积的，表示收方已经正确收到了一直到确认号减一的所有字节。123456789105555TCP面向连接-序号与确认（续）在三次握手以后，开始传送TCPTCP滑动窗口滑动窗口TCP窗口代表了接收方的接收数据能力。每次接收方接收了一批数据后，判断自己今后的接收能力。1、比如接收方通告一个为4的窗口给发送方。2、发送方立即发送大小为4字节的数据去添满接收方的窗口（当然发送方也可以不用这么积极）。3、接收方用Ack确认，表示已经收到发送方的数据。但窗口现在为0，因为刚才4字节的数据正在接收方的缓存里排队，现在接收方已经没有窗口了。5656TCP滑动窗口TCP窗口代表了接收方的接收数据能力。每次接收TCPTCP滑动窗口滑动窗口PSH 1:1025(1024)ACK 1,win 4096Ack 2049,win 4096PSH 3073:4097(1024)ACK 1,win 4096PSH 1025:2049(1024)ACK 1,win 4096PSH 2049:3073(1024)ACK 1,win 4096Ack 3073,win 3072Ack 4097,win 4096PSH 4097:5121(1024)ACK 1,win 4096PSH 5121:6145(1024)ACK 1,win 4096PSH 6145:7169(1024)ACK 1,win 4096让我们将上一个图例的窗口拿出来分析一下。接收方在三次握手时，通告了一个4096的窗口。1-10241024-2048 2049-3072 3073-4096 4097-5120三次握手通告4096字节窗口1-3发送数据 1-3073字节报文4通告4096字节窗口123456789104确认2049字节51报文5确认1024字节报文5通告3072字节窗口报文6发送3073-4097字节报文7确认1024字节5757TCP滑动窗口PSH 1:1025(1024)ACK 1,本单元简单讲解了本单元简单讲解了OSI 七层参考模型的七层参考模型的一些基本原理，便于大家在今后一阶段一些基本原理，便于大家在今后一阶段的学习。的学习。大家休息一会儿，接下来学习的是switching.5858本单元简单讲解了OSI 七层参考模型的大家休息一会儿，接下来1.2 Switching1.2.1 园区网的设计1.2.2 Command Line1.2.3 VLAN的介绍1.2.4 Spanning-tree59591.2 Switching1.2.1 园区网的设计59园区网的设计 1 1、园区网，通常是指连接建筑物内和一群建筑物之间设备、园区网，通常是指连接建筑物内和一群建筑物之间设备的企业网。局域网交换和高速路由选择技术被用来提供建筑的企业网。局域网交换和高速路由选择技术被用来提供建筑物之间的连接。物之间的连接。2 2、分级网络设计包括以下、分级网络设计包括以下3 3层：层：核心层核心层提供最优的区间传输提供最优的区间传输 汇聚层汇聚层提供基于策略的连接提供基于策略的连接 接入层接入层为多业务应用和其他的网络应用提供用户到网络的接入为多业务应用和其他的网络应用提供用户到网络的接入 6060园区网的设计1、园区网，通常是指连接建筑物内和一群建筑物之间1 1、核心层，是一个高速的交换式骨干，它的设计目标是、核心层，是一个高速的交换式骨干，它的设计目标是、核心层，是一个高速的交换式骨干，它的设计目标是、核心层，是一个高速的交换式骨干，它的设计目标是使得交换分组所耗费的时间延迟最小，在园区网的各个汇使得交换分组所耗费的时间延迟最小，在园区网的各个汇使得交换分组所耗费的时间延迟最小，在园区网的各个汇使得交换分组所耗费的时间延迟最小，在园区网的各个汇聚层设备之间提供高速的连接。聚层设备之间提供高速的连接。聚层设备之间提供高速的连接。聚层设备之间提供高速的连接。2 2、汇聚层，是核心层和接入层的分界点，包含以下一些、汇聚层，是核心层和接入层的分界点，包含以下一些、汇聚层，是核心层和接入层的分界点，包含以下一些、汇聚层，是核心层和接入层的分界点，包含以下一些功能：功能：功能：功能：A A、地址或区域的汇聚、地址或区域的汇聚 B B、将部门或工作组的访问连接到骨干、将部门或工作组的访问连接到骨干 C C、广播、广播/组播域的定义组播域的定义 D D、VLAN VLAN间路由选择间路由选择 E E、介质转换、介质转换 F F、安全策略、安全策略园区网的设计（续）61611、核心层，是一个高速的交换式骨干，它的设计目标是使得交换分园区网的设计（续）3 3、接入层，是本地终端用户被许可接入网络的点。通常、接入层，是本地终端用户被许可接入网络的点。通常、接入层，是本地终端用户被许可接入网络的点。通常、接入层，是本地终端用户被许可接入网络的点。通常2 2层交换机在接入层中起非常重要的作用。包括下列功能：层交换机在接入层中起非常重要的作用。包括下列功能：层交换机在接入层中起非常重要的作用。包括下列功能：层交换机在接入层中起非常重要的作用。包括下列功能：A、共享带宽 B、交换带宽 C、MAC层过滤6262园区网的设计（续）3、接入层，是本地终端用户被许可接入网络的园区网的设计（续）核心层汇聚层接入层6363园区网的设计（续）核心层汇聚层接入层63园区网的设计（续）6464园区网的设计（续）64园区网的设计（完）6565园区网的设计（完）65Command Line6666Command Line66IOSIOS基础基础IOS是和Unix、windows、linux一样的操作系统，是目前使用最广泛的操作系统之一。IOS是一种特殊的用来交换数据报文的操作系统，他的结构很大部分用来致力于是报文交换更加迅速、更加高速。IOS被设计成比较小的、内嵌进cisco路由器的一种操作系统，为了追求速度，在错误保护方面有所牺牲。Quidway设备系统是VRP，Cisco设备系统是IOS。目前Quidway系统的最高版本为3.0版，Cisco设备系统是12.0版。6767IOS基础IOS是和Unix、windows、linux一命令行模式用户模式：用户模式：对交换机和路由器的有限操作，例如：ping、traceroute、connect、show、telnet 命令提示符：Cisco 特权模式：对交换机和路由器更深入的操作，有配置和监视权力，是进入其它配置模式的前提，一共16个级别，最高级15命令提示符：Cisco enable value(0-15)Cisco#6868命令行模式用户模式：用户模式：对交换机和路由器的有限操作，例全局模式：对交换机和路由器进行各个协议的设置，对各个服务的设置，对路由器常规的设置，配置各个应用条件，可以从Configure Mode进入Line Mode和Interface Mode，可以配置路由器充当的角色。命令提示符：Cisco#configure terminal Cisco(config)#(aaa,access-list,)接口模式：进入接口，对接口进行配置命令提示符：Cisco(config-if)#InterfaceCisco(config-line)#lineCisco(config-route)#router configureCisco(config-std-nacl)#Name stand of access-listCisco(config-ext-nacl)#Name extended of access-list 6969全局模式：对交换机和路由器进行各个协议的设置，对各个服务的基本配置操作基本配置操作配置用户名,密码：Cisco用户名,密码有两种数据库,一种是本地数据库,一种是远程数据库,远程数据库需要有AAA软件的支持。Cisco可以基于用户设置16个权限级别 0-15，其中0级是User用户模式，1-15级是特权模式。如果从用户模式转到特权模式不特别指定级别的话，默认是15级。在没有设置密码的情况下，只有15级是不需要密码就可以进入的 加用户名，密码，权限，给密码加密，应用级别验证。Router(config)#username ktt privilege 15 password ciscoRouter(config)#service password-encryptionRouter(config)#enable secret level 0 15注意：虽然设置了15级的密码，但是如果不加级别验证，即使是0级的用户在其他级别没有加密码的情况下一样可以不需要验证的进入特权模式。7070基本配置操作配置用户名,密码：加用户名，密码，权限，给密码应用在VTY和CONSOLE上Router(config)#line console 0Router(config-line)#login localRouter(config)#line vty 0 4Router(config-line)#login local（采用本地验证）显示登陆cisco#show line Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns*0 CTY -2 0 0/0*1 VTY -2 0 0/0 2 VTY -0 0 0/0 3 VTY -0 0 0/0 4 VTY -0 0 0/0 5 VTY -0 0 0/0清除用户登陆cisco#clear line 1confirm OK7171应用在VTY和CONSOLE上显示登陆71设置主机名Hostname(config)#Hostname XXX单独无用户名的密码管理：Hostname(config)#enable password xxxxHostname(config)#enable secret xxxx Write 命令:Cisco#write terminal 将配置显示在终端上.相当于Show running-config 命令（防火墙只能用Write)Router#write将配置保存到NVRAM里，相当于copy running-config startup-configCisco#write memory将内存中的配置写到NVRAM中.相当与Copy running-config startup-config命令。7272设置主机名单独无用户名的密码管理：Write 命令:Ciscshow任任任任务务 命令命令命令命令 查查看版本及引看版本及引看版本及引看版本及引导导信息信息信息信息 show version show version 查查看运行看运行看运行看运行设设置置置置 show running-config show running-config 查查看开机看开机看开机看开机设设置置置置 show startup-config show startup-config 显显示端口信息示端口信息示端口信息示端口信息 show interface type slot/number show interface type slot/number 显显示路由信息示路由信息示路由信息示路由信息 show ip routeshow ip route显显示示示示IPIP包包包包传输传输情况情况情况情况show ip trafficshow ip traffic显显示示示示TCPTCP包包包包传输传输情况情况情况情况show tcp statisticsshow tcp statistics7373show任务 命令 查看版本及引导信息 show versiVLAN的介绍7474VLAN的介绍74为什么需要为什么需要VLANVLAN在一个楼里有多台交换机.7575为什么需要VLAN在一个楼里有多台交换机.75为什么需要为什么需要VLAN(VLAN(续续)在一个园区网里有多个楼宇,所有楼宇都在一个广播域里.在同一个广播域里7676为什么需要VLAN(续)在一个园区网里有多个楼宇,所有楼宇都VLAN 30VLAN 20VLAN 10为什么需要为什么需要VLAN(VLAN(续续)VLAN的优势:1.安全 2.分割广播域7777VLAN 30VLAN 20VLAN 10为什么需要VLANVLANVLAN的分类的分类静态静态VLAN：这种方法也被称为“基于端口的成员身份”。动态动态VLAN：动态VLAN软件实现来建立的。IP VLAN:基于IP网段的VLAN.协议协议VLAN：通过不同的网络协议来实现VLAN的，比如IP协议，IPX协议。7878VLAN的分类静态VLAN：这种方法也被称为“基于端口的成员动态动态VLANVLANE1E2Switch BPC APC DE1E2Switch AServerPC BPC CPC A VLAN 10PC C VLAN 10PC B VLAN 20PC D VLAN 20动态动态VLAN:是基于MAC地址划分的.7979动态VLANE1E2Switch BPC APC DE1E2静态静态VLANVLANE1E2Switch BE1E2Switch APC APC BPC CPC D静态静态VLAN:是基于端口划分的.8080静态VLANE1E2Switch BE1E2Switch A链路类型链路类型Access-link连接到这个端口上的设备完全不知道存在着一个VLAN。为了保证使接入设备不需要知道VLAN的存在，交换机负责在Frame被发送到末端设备之前将VLAN信息从Frame里拿掉。Trunk-link干道链路不属于某个具体的VLAN或者说Trunk Link属于所有VLAN。由于一个VLAN（如果是和IP子网挂联的VLAN）确定了一个广播域。不论一个网络由多少个交换机组成，也无论一个VLAN跨越了多少个交换机，按照VLAN的定义，一个VLAN就确定了一个广播域。8181链路类型Access-linkTrunk-link81Single VlanAccess-link,Trunk-link(Access-link,Trunk-link(续续)Vlan 1Vlan 2Vlan 3Vlan 4Access-link一般情况下跑一个VLAN.Trunk-link可以承载多个VLAN.8282Single VlanAccess-link,Trunk-lAccess-link,Trunk-linkAccess-link,Trunk-linkE1E2Switch APC APC BPC CPC DSwitch BE1E2Access-linkTrunk-link8383Access-link,Trunk-linkE1E2SwitAccess-link,Trunk-link(Access-link,Trunk-link(续续)E1E2Switch BE1E2Switch APC APC BPC CPC DSource Mac PC ADestination Mac PC CVLAN 10Source Mac PC ADestination Mac PC CSource Mac PC ADestination Mac PC CEncapsulation Vlan IDDE Encapsulation Vlan ID8484Access-link,Trunk-link(续)E1E2STrunk-link EncapsulationTrunk-link EncapsulationISL-用于互连多台交换机的Cisco专有封装协议。IEEE802.1Q-一种IEEE标准方法。局域网仿真（局域网仿真（LANE）-用于通过异步传输模式（ATM）网络传输VLAN的一种IEEE标准方法。802.10-在标准802.10 Frame（光纤分布式数据接口FDDI）内传输VLAN信息的一种Cisco专有方法。VLAN信息被写在802.10 Frame的安全关联标识符（SAID）部分。这种方法通常被用来通过FDDI骨干网传输VLAN。8585Trunk-link EncapsulationISL-802.1Q是内部封装，只加入了是内部封装，只加入了4个字节，并且改变了原有数据帧的内容个字节，并且改变了原有数据帧的内容。802.1Q是所有厂商的标准，建议使用是所有厂商的标准，建议使用。ISL封装方式是封装方式是Cisco私有的封装方式，私有的封装方式，ISL是一个外部封装方式。有是一个外部封装方式。有26字节的字节的头和一个头和一个4字节的尾。这样总共是加入了字节的尾。这样总共是加入了30字节数，如果是一个不认识字节数，如果是一个不认识ISL的设的设备（非备（非Cisco厂商的设备），那么将认为这是一个巨帧。厂商的设备），那么将认为这是一个巨帧。Trunk-link Encapsulation(Trunk-link Encapsulation(续续)8686802.1Q是内部封装，只加入了4个字节，并且改变了原有数据VLANVLAN与广播与广播为了保证同属于一个VLAN的所有主机都接收到这个广播报文，交换机必须按照如下原则进行转发数据包：1发送给本交换机中同一个VLAN中的所有其他端口。2将这个数据包发送给本交换机的包含这个VLAN的所有Trunk link，以便让其他交换机上的同一个VLAN的端口也发送该数据包。E1E2E3E4E5E6VLAN 10VLAN 20BroadcastBroadcastBroadcastBroadcastTrunkBroadcast8787VLAN与广播为了保证同属于一个VLAN的所有