路由与交换配置_1_网络互联设备

,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第一部 实施准备,2024/9/15,1,实施准备,网络设备,网络规划,锐捷网络实验室使用,2024/9/15,2,实施准备,网络互联设备,2024/9/15,3,教学目标,通过本章学习能够：,1,、掌握网络传输介质应用场合及特点；,2,、掌握集线器、交换机及路由器之间的区别及应用场合；,3,、精通二层交换机功能原理和特点；,4,、熟悉路由器、三层交换机应用场合及特点；,5,、了解防火墙、,IDS,、,IPS,等安全设备应用场合及特点。,2024/9/15,4,主要内容,网络传输介质互联设备,数据链路层互联设备,物理层设备,网络层互联设备,应用层互联设备,2024/9/15,5,课程议题,网络传输介质,互联设备,2024/9/15,6,网络传输介质-双绞线,线序标准：,568A,白绿、绿、白橙、兰、白兰、橙、白棕、棕,568B,白橙、橙、白绿、兰、白兰、绿、白棕、棕,线缆种类,交叉线 相同设备类型接口使用交叉线,直连线 不同设备类型接口使用直连线,2024/9/15,7,网络传输介质-双绞线,有效线缆长度,100,米,智能,MDI/MDIX,不需要知道电缆另一端为,MDI,还是,MDIX,设备两种电缆（普通、交叉）都可连接交换机、集线器或,NIC,设备。,消除由于电缆配错引起的连接错误简化,10/100M,网络安装维护，降低开销。,2024/9/15,8,光纤中心是光传播的玻璃芯,芯外面包围着一层折射率比芯低的玻璃封套，以使光纤保持在芯内。,再外面的是一层薄的塑料外套，用来保护封套。,光纤分为单模光纤和多模光纤,光柱,保护层,核心线缆,保护层,光线结构示意图,网络传输介质-光纤,2024/9/15,9,网络传输介质-光纤,FC,PC,型光尾纤接头外形图,SC,PC,型光尾纤接头外形图,ST-PC,型光尾纤接头外形图,FC/PC,SC/PC,型光尾纤外形图,2024/9/15,10,网络传输介质续,常见介质型号型号,代表的传输介质,10Base2,细同轴电缆,10Base5,粗同轴电缆,10BaseT,双绞线,100BaseTX,5,类以上双绞线,100BaseFX,单模、多模光纤,1000BaseTX,超,5,类以上双绞线,1000BaseSX,短波多模光纤,1000BaseLX,长波单、多模光纤,2024/9/15,11,课程议题,物理层互联设备,2024/9/15,12,共享式以太网,工作机制,CSMA/CD,：载波侦听、多路访问、冲突检测,听,当,PCA,要发一个数据包给,PCD,的时候,首先,PCA,要先听,HUB,的链路上是否有数据在跑,如果有那么,PCA,等待,如果没有那么,PCA,将数据包发出,.,这样的做法是由于,HUB,上的链路是共享的,所以采用了发数据包之前先进行冲突检测的方法,那么我们称为,CSMA/CD.,PC A,PC B,PC C,PC D,空闲,数据,2024/9/15,13,现在的情况是,PCA,和,PCC,都要发数据,但是两人刚才都检测到,HUB,上是空闲的,.,那么两人都发,.,结果发生了冲突,.,两人都同时启动,BACK OFF,动作,.,随机的生成一个秒数,再发数据包,.,如果再与其他,PC,发送的数据包冲突,.,那么再次,BACK OFF,BACK OFF,一共可进行,15,次,.,物理层设备集线器,听,数据,PC A,PC B,PC C,PC D,冲突,听,数据,随机秒数,冲突域,2024/9/15,14,功能,负责在两个节点的物理层上按比特传递信息，完成信号的整形、放大和复制功能，以此来延长网络的长度。,特点：,所有用户共享,10M,带宽,任何用户发送数据时，所有用户都可以接收到,在某一时刻只允许一个用户传输数据,物理层设备-集线器,2024/9/15,15,课程议题,数据链路层互联设备,2024/9/15,16,网络适配器（Adapter）,网络适配器（网卡）,网络适配器属于数据链路层设备,MAC,地址,每个网卡芯片都会烧录一个全球唯一的,MAC,地址,网卡速率,10,、,100,、,1000M,自适应,双工模式,支持全双工、半双式、自适应,2024/9/15,17,补充：,有关信号的几个基本概念,单向通信,（单工通信）,只能有一个方向的通信而没有反方向的交互。,双向交替通信,（半双工通信）,通信的双方都可以发送信息，但不能双方同时发送,(,当然也就不能同时接收,),。,双向同时通信,（全双工通信）,通信的双方可以同时发送和接收信息。,2024/9/15,18,基带信号,（即基本频带信号）,来自信源的信号。像计算机输出的代表各种文字或图像文件的数据信号都属于基带信号。,基带信号往往包含有较多的低频成分，甚至有直流成分，而许多信道并不能传输这种低频分量或直流分量。因此必须对基带信号进行,调制,(modulation),。,带通信号,把基带信号经过载波调制后，把信号的频率范围搬移到较高的频段以便在信道中传输（即仅在一段频率范围内能够通过信道）。,补充：基带,(baseband),信号和带通,(band pass),信号,2024/9/15,19,补充：几种最基本的调制方法,基带信号往往包含有较多的低频成分，甚至有直流成分，而许多信道并不能传输这种低频分量或直流分量。为了解决这一问题，就必须对基带信号进行,调制,(modulation),。,最基本的二元制调制方法有以下几种：,调幅,(AM),：载波的振幅随基带数字信号而变化。,调频,(FM),：载波的频率随基带数字信号而变化。,调相,(PM),：载波的初始相位随基带数字信号而变化。,2024/9/15,20,对基带数字信号的几种调制方法,0,1,0,0,1,1,1,0,0,基带信号,调幅,调频,调相,2024/9/15,21,数据链路层设备,以太网交换机,特点,以太网交换机是一种具有简化、低价、高性能和高端口密集特点的网络产品。,二层交换机属数据链路层设备，可以识别数据包中的,MAC,地址信息，根据,MAC,地址进行转发，并将这些,MAC,地址与对应的端口记录在自己内部的一个地址表中。,2024/9/15,22,交换机,MAC,地址表学习（一）,MAC,地址表,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,F0/1,F0/3,F0/2,F0/4,A,C,B,D,交换机初始化时,MAC,地址表是空的。,2024/9/15,23,交换机,MAC,地址表学习（二）,MAC,地址表,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,F0/1: 0260.8c01.1111,F0/1,F0/3,F0/2,F0/4,A,C,B,D,主机之间互相发送数据，交换机会学习数据帧的源,MAC,地址。,2024/9/15,24,交换机帧转发原理（一）,已知单播帧,过滤操作,Filtering,F0/1: 0260.8c01.1111,F0/2: 0260.8c01.2222,F0/3: 0260.8c01.3333,F0/4: 0260.8c01.4444,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,X,X,MAC,地址表,F0/1,F0/3,F0/2,F0/4,A,C,B,D,2024/9/15,25,交换机帧转发原理（二）,未知单播帧，广播帧：,执行广播操作,Flooding(,泛洪,),0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,F0/1,F0/3,F0/2,F0/4,F0/1: 0260.8c01.1111,F0/2: 0260.8c01.2222,F0/3: 0260.8c01.3333,F0/4: 0260.8c01.4444,MAC,地址表,A,C,B,D,2024/9/15,26,冲突域与广播域,1,2,3,4,四个冲突域、一个广播域,2024/9/15,27,冲突域与广播域,冲突域（物理分段）：连接在同一导线上的所有工作站的集合，或者说是同一物理网段上所有节点的集合或以太网上竞争同一带宽的节点集合。这个域代表了冲突在其中发生并传播的区域，这个区域可以被认为是共享段。在,OSI,模型中，冲突域被看作是第一层的概念，连接同一冲突域的设备有,Hub,，,Reperter,或者其他进行简单复制信号的设备。也就是说，用,Hub,或者,Repeater,连接的所有节点可以被认为是在同一个冲突域内，它不会划分冲突域。而第二层设备（网桥，交换机）第三层设备（路由器）都可以划分冲突域的，当然也可以连接不同的冲突域。简单的说，可以将,Repeater,等看成是一根电缆，而将网桥等看成是一束电缆。,2024/9/15,28,广播域：接收同样广播消息的节点的集合。如：在该集合中的任何一个节点传输一个广播帧，则所有其他能收到这个帧的节点都被认为是该广播帧的一部分。由于许多设备都极易产生广播，所以如果不维护，就会消耗大量的带宽，降低网络的效率。由于广播域被认为是,OSI,中的第二层概念，所以象,Hub,，交换机等第一，第二层设备连接的节点被认为都是在同一个广播域。而路由器，第三层交换机则可以划分广播域，即可以连接不同的广播域。,注：一个,VLAN,是一个广播域，,VLAN,可以隔离广播，划分,VLAN,的其中的一个目的就是隔离广播。,2024/9/15,29,冲突域与广播域,下面将这三种网络设备打个通俗的比喻来帮助理解：局域网好比一栋大楼，每个人（好比主机）有自己的房间（房间就好比网卡，房号就是物理地址，即,MAC,地址），里面的人（主机）人手一个对讲机，由于工作在同一频道，所以一个人说话，其他人都能听到，这就是广播（向所有主机发送信息包），只有目标才会回应，其他人虽然听见但是不理（丢弃包），而这些能听到广播的所有对讲机设备就够成了一个广播域。而这些对讲机就是集线器（,HUB,），每个对讲机都像是集线器上的端口，大家都知道对讲机在说话时是不能收听的，必须松开对讲键才能收听，这种同一时刻只能收或者发的工作模式就是半双工。而且对讲机同一时刻只能有一个人说话才能听清楚，如果两个或者更多的人一起说就会产生冲突，都没法听清楚，所以这就构成了一个冲突域。,2024/9/15,30,冲突域与广播域,广播域(Broadcast domain)：网络中的一组设备的集合。即同一广播包能到达的所有设备成为一个广播域。当这些设备中的一个发出一个广播时，所有其他的设备都能接收到这个广播帧。HUB和SWITCH的所有端口都是在一个广播域里，路由器上的每个端口自成一个广播域。,2024/9/15,31,冲突域与广播域,有一天楼里的人受不了这种低效率的通信了，所以升级了设备，换成每人一个内线电话（交换机,SWITCH,，每个电话都相当于交换机上的一个端口），每人都有一个内线号码（逻辑地址即,IP,地址）。（这里要额外说一下,IP,地址和,MAC,地址转译的问题，常见的二层交换机只识别,MAC,地址，它内置一个,MAC,地址表，并不断维护和更新它，来确定哪个端口对应那台主机的,MAC,地址，而我们所用的通信软件都是基于,IP,的，,IP,地址和,MAC,地址的转换工作，就由,ARP,地址解析协议来完成。）在最开始时，没人知道哪个号码对应哪个人，所以要想打电话给某个人得先广播一下：“,xxx,，你的号码是多少？”“我的号码是,xxxx”,。这样你就有了目标的号码，所有的内线号码就是通过这种方式不断加入电话簿中（交换机的,MAC,地址表），下次可以直接拨到他的分机号码上去而不用广播了。,2024/9/15,32,冲突域与广播域,大家都知道电话是点对点的通信设备，不会影响到其他人，起冲突的只会限制在本地，一个电话号码的线路相当于一个冲突域，只有再串连分机时，分机和主机之间才会有冲突的发生，这个冲突不会影响到外面其他的电话。而电话号码就像是交换机上的端口号，也就是说交换机上每个端口自成一个冲突域，所以整个大的冲突域被分割成若干的小冲突域了。而且，电话在接听的同时可以说话，这样的工作模式就是全双工。这就是交换机比集线器性能更好的原因之一。,2024/9/15,33,转发方式,交换机的三种转发方式,直通式,存储转发式,无碎片直通式（更高级的直通式转发）,2024/9/15,34,直通式,直通式（,Cut Through,）方式处理过程,在输入端口检测到一个数据包后，只检查其包头，取出目的地址，通过内部的地址表确定相应的输出端口，然后把数据包转发到输出端口这样就完成了交换。因为它只检查数据包的包头（通常只检查,14,个字节）。,2024/9/15,35,Cut,存储转发式,存储转发（,Store and Forward,）处理过程,是计算机网络领域使用得最为广泛的技术之一，在这种工作方式下交换机的控制器先缓存输入到端口的数据包，然后进行,CRC,校验，滤掉不正确的帧，确认包正确后，取出目的地址，通过内部的地址表确定相应的输出端口，然后把数据包转发到输出端口。,2024/9/15,36,无碎片直通式,无碎片直通（,Fragment Free Through,）过程,是介于直通式和存储转发式之间的一种解决方案，它检查数据包的长度是否够,64 Bytes,（,512bit,）如果小于,64 Bytes,，说明该包是碎片（即在信息发送过程中由于冲突而产生的残缺不全的帧），则丢弃该包，如果大于,64 Bytes,，则发送该包。该方式的数据处理速度比存储转发方式快，但比直通式慢。,2024/9/15,37,交换机互连方式,级联：,交换机之间利用以太网接口连接起来,扩展网络范围,单链路带宽瓶颈,延时大,2024/9/15,38,交换机互连方式,堆叠,:,通过堆叠线缆将交换机的背板连接起来，扩大级联带宽,堆叠线缆短（,1,米）,解决带宽瓶颈（单链路,1G,或更大）,延时小,统一管理,2024/9/15,39,堆叠菊花链,链路带宽,1G,锐捷交换机支持最多,8,台交换机堆叠,2024/9/15,40,堆叠,-,主从式,链路带宽,2.66G,2024/9/15,41,交换机性能参数,背板带宽,24X100MX2,4.8G,S2126G 12.8G,包转发率,S2126G 6.6MPPS,MAC,地址表大小,8K,线速交换,1,000Mbps/8bit/(64 + 8 + 12)byte=1,488,095pps,2024/9/15,42,课程议题,网络层互联设备,2024/9/15,43,什么是路由,选择一个将数据包发往某个目标网段或主机的路径就是路由的过程。,172.16.1.0,10.1.1.0,2024/9/15,44,路由器的功能,作用,实现不同,IP,网段主机间的相互访问,实现不同通信协议网段主机间的相互访问,不转发广播数据包,功能,基于,IP,地址的寻径和转发,不同通信协议的转换,特定,IP,数据包的分片和重组,2024/9/15,45,路由器转发数据过程,1,、,路由器从接口收到数据包，读取数据包里的目的,IP,地址,2,、根据目的,IP,地址信息查找路由表进行匹配,3,、匹配成功后，按照路由表中转发信息进行转发,4,、匹配失败，将数据包丢弃，并向源发送方反回错误信息报文,Packet,路由表,目的网段 转发方式,192.168.1.0,从,F1,口发出,192.168.2.0,从,F2,口发出,172.16.1.0,交给,B,2024/9/15,46,路由表的产生方式-直连路由,1.1.1.0,1.1.2.0,1.1.3.0,路由器会自动生成本路由器激活端口所在网段的路由条目,2024/9/15,47,路由表的产生方式-静态路由,在简单拓扑结构的网络里，网络管理员手动输入路由条目。,2024/9/15,48,路由表产生的方式-动态路由,动态路由协议学习到的路由,在大型网络环境下，依靠路由协议比如,OSPF,、,RIP,路由协议学习,2024/9/15,49,路由器接口,配置接口,Console,口,AUX,口,2024/9/15,50,路由器接口,局域网接口,AUI,接口,RJ-45,接口,SC,接口,2024/9/15,51,路由器接口,广域网接口,高速同步串口,异步串口,ISDN BRI,端口,2024/9/15,52,路由器的硬件连接,路由器与局域网的连接,100Mbps FastEthernet:,100BaseTX-,使用,5,类,UTP,或,1,类,STP,，传输,100M,，距离,100,米。,100BaseFX-,使用光纤，传输,100M,，距离,550,米。,2024/9/15,53,路由器的硬件连接,端接用户设备,DTE,DCE,服务提供商,DTE,路由器与局域网的连接,在,DCE,端必须配置时钟频率,Router(config-if)#Clock rate 64000,2024/9/15,54,路由器的硬件连接,ISDN,ISDN BRI S/T,必须外接,NT1,终端设备，再由,NT1,连接电话线,ISDN BRI U,已包含,NT1,终端设备，直接连接电话线,2024/9/15,55,三层交换机,在逻辑上,三层交换和路由是等同的，三层交换的过程就是,IP,报文选路的过程。,三层交换机与路由器在转发操作上的主要区别在于其实现的方式：,三层交换机通过硬件实现查找和转发,传统路由器通过微处理器上运行的软件实现查找和转发,三层交换机的转发路由表与路由器一样，需要软件通过路由协议来建立和维护,2024/9/15,56,课程议题,应用层互联设备,2024/9/15,57,应用层互联设备,防火墙,防火墙作用,一方面阻止来自因特网的对受保护网络的未授权或未验证的访问，另一方面允许内部网络的用户对因特网进行,Web,访问或收发,E-mail,等。,防火墙也可以作为一个访问因特网的权限控制关口，如允许组织内的特定的人可以访问因特网。,特点,现在的许多防火墙同时还具有一些其他特点，如进行身份鉴别，对信息进行安全（加密）处理等等。,2024/9/15,58,防火墙,防火墙的工作模式,路由模式,网桥模式,防火墙的,Internal,内部网络,External,外部网络,DMZ (demilitarized zone),非军事停火区,接口类型,2024/9/15,59,防火墙应用,2024/9/15,60,IDS/IPS,IDS,入侵检测系统,对流经内网的数据根据既定的规则进行安全检测，如有安全事件则发出安全警告。,根据特征库的更新，可以检测出常见病毒、攻击、木马、系统漏洞,IPS,入侵防御系统,对流经内网的数据根据既定的规则进行安全检测，对于非法数据包进行安全过滤，保证内网安全地接入外网。,2024/9/15,61,IDS应用,IDS,IDS,典型应用图,2024/9/15,62,课程回顾,网络传输介质互联设备,物理层设备,数据链路层互联设备,网络层互联设备,应用层互联设备,2024/9/15,63,