网络技术介绍

一、IP地址基础

IP地址是指在网络中用于标识发送或接收数据报文设备的唯一的逻辑地址。IP地址就像现实中的地址，可以标识网络中的一个节点，数据就是通过它来找到目的地。

IP地址的主要作用：

• 标识主机或网络设备(标识其网络接口，提供其在网络中的位置)
• 网络寻址

在IP网络上，如果用户要将一台计算机连接到Internet上，就需要申请一个IP地址。IP地址就像现实中的地址，可以标识网络中的一个节点，数据就是通过它来找到目的地的。即我们通过IP地址实现全球范围内的网络通信。

IP地址是网络设备接口的属性，不是网络设备本身的属性。当我们说给某台设备分配一个IP地址时，实质上是指给这台设备的某个接口分配一个IP地址。如果设备有多个接口，通常每个接口都至少需要一个IP地址。

注：需要使用IP地址的接口，通常是路由器和计算机的接口。

1、IP地址表示

IP地址的长度是 32 bit，由 4个字节 组成。为了阅读和书写方便，IP地址通常采用 点分十进制数 来表示。

点分十进制表示法：192.168.10.1 》 11000000 10101000 00001010 00000001

这种IP地址表现形式因为方便理解所以广泛使用，但通信设备在对IP地址进行计算时使用的是二进制的操作方式，因此掌握十进制、二进制的转换运算非常有必要。

IPv4地址范围：00000000.00000000.00000000.00000000_{11111111.11111111.11111111.11111111，即0.0.0.0}255.255.255.255。

2、IP地址组成

IPv4地址由如下两部分组成：

• 网络部分 (网络号)：用来标识一个网络。
  • IP地址不能反映任何有关主机位置的地理信息，只能通过网络号码字段判断出主机属于哪个网络。
  • 对于网络号相同的设备，无论实际所处的物理位置如何，它们都是处在同一个网络中。
• 主机部分 (主机号)：用来区分一个网络内的不同主机。

子网掩码(Subnet Mask)，又称网络掩码(Netmask)：区分一个IP地址中的网络部分及主机部分。

• 网络掩码为32 bit，与IP地址的位数一样，通常也以点分十进制数来表示。
• 网络掩码不是一个IP地址，在二进制的表示上是一堆连续的1、后面接一堆连续的0。
• 通常将网络掩码中1的个数称为这个网络掩码的长度。如：掩码0.0.0.0的长度是0，掩码252.0.0.0的长度是6。
• 网络掩码一般与IP地址结合使用，其中值为1的比特对应IP地址中的网络位；值为0的比特对应IP地址中的主机位，以此来辅助我们识别一个IP地址中的网络位与主机位。即网络掩码中1的个数就是IP地址的网络号的位数，0的个数就是IP地址的主机号的位数。

3、IP地址分类

为了方便IP地址的管理及组网，IP地址分成五类：

• A、B、C、D、E类的类别字段分别是二进制数0、10、110、1110、1111，通过网络号码字段的前几个比特就可以判断IP地址属于哪一类，这是区分各类地址最简单的方法。
• A、B、C三类地址是单播IP地址(除一些特殊地址外)，只有这三类地址才能分配给主机接口使用。
• D类地址属于组播IP地址。
• E类地址专门用于特殊的实验目的。

五类地址的范围：

• A类地址：0.0.0.0~127.255.255.255，都是0开头的，一般用于北美/拉美地区的ip分配，欧洲有一部分。
• B类地址：128.0.0.0~191.255.255.255，都是10开头的，一般用于亚洲/欧洲地址。
• C类地址：192.0.0.0~223.255.255.255，都是110开头的，大部分分配给非洲地区。
• D类地址：224.0.0.0~239.255.255.255，都是1110开头的，一般用于组播及大洲分配。
• E类地址：240.0.0.0~255.255.255.255，都是1111开头的，保留地址，分配给全球的科研机构使用。

A/B/C类默认子网掩码：

• A类：8 bit， 0.0.0.0~127.255.255.255/8
• B类：16 bit，128.0.0.0~191.255.255.255/16
• C类：24 bit，192.0.0.0~223.255.255.255/24

主机(Host)，通常指路由器和计算机的统称。并且常把主机的某个接口的IP地址简称为主机IP地址。

组播地址：组播能实现一对多传递消息。

为了节约地址的使用，指定了几个地址段，用于内部网络通信：

• A类：10.0.0.0~10.255.255.255
• B类：172.16.0.0~172.31.255.255
• C类：192.168.0.0~192.168.255.255

4、公网IP地址和私有IP地址

为了解决IP地址短缺的问题，提出了私有地址的概念。私有地址是指内部网络或主机地址，这些地址只能用于某个内部网络，不能用于公共网络。

公网IP地址：IP地址是由 ICANN(Internet Corporation for Assigned Names and Numbers)，互联网名称与数字地址分配机构 统一分配的，以保证任何一个IP地址在Internet上的唯一性。这里的IP地址是指公网IP地址。

私网IP地址：实际上一些网络不需要连接到Internet，比如一个大学的封闭实验室内的网络，只要同一网络中的网络设备的IP地址不冲突即可。在IP地址空间里，A、B、C三类地址中各预留了一些地址专门用于上述情况，称为私网IP地址。

• A类：10.0.0.0~10.255.255.255
• B类：172.16.0.0~172.31.255.255
• C类：192.168.0.0~192.168.255.255

私有网络连接到Internet：私有网络由于使用了私网IP地址，是不允许连接到Internet的。后来在实际需求的驱动下，许多私有网络也希望能够连接到Internet上，从而实现私网与Internet之间的通信，以及通过Internet实现私网与私网之间的通信。私网与Internet的互联，必须使用 网络地址转换(NAT)技术 实现。
注：

• NAT(Network Address Translation)，网络地址转换，其基本作用是实现私网IP地址与公网IP地址之间的转换。
• ICANN(Internet Corporation for Assigned Names and Numbers)，互联网名称与数字地址分配机构

5、特殊IP地址

IP地址空间中，有一些特殊的IP地址，这些IP地址有特殊的含义和作用。

特殊IP地址	地址范围	作用
有限广播地址	255.255.255.255	可作为目的地址，发往该网段所有主机(受限于网关)
任意地址	0.0.0.0	“任何网络”的网络地址；“这个网络上这个主机接口”的IP地址
环回地址	127.0.0.0/8	测试设备自身的软件系统
本地链路地址	169.254.0.0/24	当主机自动获取地址失败后，可使用该网段中的某个地址进行临时通信

• 255.255.255.255
  • 这个地址称为有限广播地址，它可以作为一个IP报文的目的IP地址使用。
  • 路由器接收到目的IP地址为有限广播地址的IP报文后，会停止对该IP报文的转发。
• 0.0.0.0
  • 如果把这个地址作为网络地址，它的意思就是“任何网络”的网络地址；如果把这个地址作为主机接口地址，它的意思就是“这个网络上主机接口”的IP地址。
  • 例如：当一个主机接口在启动过程中尚未获得自己的IP地址时，就可以向网络发送目的IP地址为有限广播地址、源IP地址为0.0.0.0的DHCP请求报文，希望DHCP服务器在收到自己的请求后，能够给自己分配一个可用的IP地址。
• 127.0.0.0/8
  • 这个地址为环回地址，它可以作为一个IP报文的目的IP地址使用。其作用是测试设备自身的软件系统。
  • 一个设备产生的、目的IP地址为环回地址的IP报文是不可能离开这个设备本身的。
• 169.254.0.0/16
  • 如果一个网络设备获取IP地址的方式被设置成了自动获取方式，但是该设备在网络上又没有找到可用的DHCP服务器，那么该设备就会使用169.254.0.0/16网段的某个地址来进行临时通信。
• DHCP(Dynamic Host Configuration Protocol)，动态主机配置协议，用于动态分配网络配置参数，如IP地址。

6、子网掩码及主机可用地址

可用地址：又称主机地址，可以分配给具体的主机接口使用。

子网掩码：用于计算IP地址中的网络号(网络地址)和主机号(主机地址)，和IP地址一起使用。

广播地址：用于向该网络中的所有主机发送数据的特殊地址。

一个网段可用地址数量计算：一个网段的主机位为n位，则IP地址数为：2ⁿ，可用IP地址数为：2ⁿ-2 (减去网络地址和广播地址)。

注意：

• 网络地址和广播地址不能直接被节点或网络设备所使用。
• 一个网段可用地址数量为：2ⁿ-2(n：主机部分的比特位数)

7、IP地址的计算

• 计算流程：

  • 网络地址：将IP地址的主机位全设为0，所得结果是该IP地址所在网络的网络地址。
  • 广播地址：将IP地址的主机位全设为1，所得结果是该IP地址所在网络的广播地址。
  • IP地址数：2ⁿ，n为主机位位数。
  • 可用IP地址数：2ⁿ-2，n为主机位位数。

• 练习1：计算10.128.20.10/8这个A类地址的网络地址、广播地址以及可用地址数。

  • 得到网络地址：10.0.0.0
  • 得到广播地址：10.255.255.255
  • ip地址数：2^24 = 16777216
  • 可用地址数：16777216-2 = 16777214
  • 可用地址范围：10.0.0.1~10.255.255.254

• 练习2：计算172.16.10.1/16这个B类地址的网络地址、广播地址以及可用地址数。

  • 得到网络地址：172.16.0.0
  • 得到广播地址：172.16.255.255
  • ip地址数：2^16 = 65536
  • 可用地址数：65536-2 = 65534
  • 可用地址范围：172.16.0.1~172.16.255.254

8、子网划分

子网划分使用的技术：变长子网掩码VLSM(Variable-Length Subnet Mask)

VLSM允许一个组织根据网络规模的大小来划分网络。将一个网络再划分为更小的多个子网，以供不同组织部门使用。

举例：某公司分配到C类地址201.222.5.0。假设需要20个子网，每个子网有5台主机，我们该如何划分？

• 由c类地址得到子网掩码：255.255.255.0，因此网段为201.222.5.0/24。
• 从八位主机位分出来4位，则支持划分为16个子网。分5位，则支持划分为32个子网。因此需要占5位，则支持划分为20个子网。
• 1111 1000的十进制数是248，因此子网掩码为：255.255.255.248。
• 201.222.5.0/29，地址范围是201.222.5.0~201.222.5.7。网络地址为：201.222.5.0。广播地址为：201.222.5.7。
• 201.222.5.8/29，地址范围是201.222.5.8~201.222.5.15。
• 201.222.5.16/29，地址范围是201.222.5.16~201.222.5.23。

网络技术介绍">二、网络技术介绍

通信：是指人与人、人与物、物与物之间通过某种媒介和行为进行的信息传递与交流。

网络通信：是指终端设备之间通过计算机网络进行的通信。

• A：两台计算机通过一根网线相连，就组成了一个最简单的网络。
• B：由一台路由器(或交换机)和多台计算机设备组成的小型网络。在这样的网络中，通过路由器的中转，每两台计算机之间都可以自由地传递文件。
• C：当计算机想从某个网址获取文件时，必须先接入Internet，然后才能下载。

Internet(译名：英特网、互联网、网际网等)，是目前世界上规模最大的计算机网络，其前身诞生于1969年的 ARPAnet(Advanced Research Projects Agency Network)。Internet的广泛普及和应用是当今信息时代的标志性内容之一。

1、OSI参考模型

开放系统互连参考模型OSI/RM(Open System Interconnection Reference Model)，由 国际化标准组织ISO(The International Organization for Standardization)收录在ISO 7489标准中并于1984年发布。很快成为计算机网络通信的基础模型。

OSI参考模型又被称为七层模型，由下至上依次为：

• 物理层：在设备之间传输比特流，规定了电平、速度和电缆针脚等物理特性。提供机械和电气的规约。
• 数据链路层：将比特组合成字节，再将字节组合成 帧，使用链路层地址(以太网使用MAC地址)来访问介质，并进行差错检测。
• 网络层：定义逻辑地址，供路由器确定路径，负责将数据从源网络传输到目的网络。实现数据从源到目的地的转发。
• 传输层：提供面向连接或非面向连接的数据传递以及进行重传前的差错检测。建立、维护和取消一次端到端的数据传输过程。控制传输节奏的快慢，调整数据的排序等等。
• 会话层：负责建立、管理和终止表示层实体之间的 通信会话。该层的通信由不同设备中的应用程序之间的服务请求和响应组成。
• 表示层：提供各种用于应用层数据的 编码和转换 功能，确保一个系统的应用层发送的数据能被另一个系统的应用层识别。
• 应用层：OSI参考模型中最靠近用户的一层，为应用程序提供网络服务。对应用程序提供接口。

2、TCP/IP参考模型

因为OSI协议栈比较复杂，且TCP和IP两大协议在业界被广泛使用，所以TCP/IP参考模型成为了互联网的主流参考模型。

TCP/IP起源于60年代末美国政府资助的一个分组交换网络研究项目，到90年代已发展成为计算机之间最常用的组网形式。它是一个真正的开放系统，因为协议族的定义及其多种实现，可以不用花钱或花很少的钱就可以公开得到。它成为被称作“全球互联网”或“因特网(Internet)”的基础。

与OSI参考模型一样，TCP(Transfer Control Protocol)/IP(Internet Protocol)协议(传输控制协议/网际协议)也分为不同的层次开发，每一层负责不同的通信功能。但是，TCP/IP协议简化了层次设计，只有五层：应用层、传输层、网络层、数据链路层和物理层。从上图可以看出，TCP/IP协议栈与OSI参考模型有清晰的对应关系，覆盖了OSI参考模型的所有层次。应用层包含了OSI参考模型所有高层协议。

(1)OSI参考模型与TCP/IP协议栈的异同点

• 相同点
  • 都是分层结构，并且工作模式一样，都要求层和层之间具备很密切的协作关系；
  • 有相同的应用层，传输层，网络层，数据链路层，物理层；(注意：这里为了方便比较，才将TCP/IP分为5层，在其他很多文献资料里都把数据链路层和物理层合并为数据链路层或网络接口层：(Network Access Layer)；
  • 都使用包交换技术(Packet-Switched)；
  • 网络工程师必须都要了解这两个模型。
• 不同点
  • TCP/IP把表示层和会话层都归入了应用层；
  • TCP/IP的结构比较简单，因为分层少；
  • TCP/IP标准是在Internet网络不断的发展中建立的，基于实践，有很高的信任度。相比较而言，OSI参考模型是基于理论上的，是作为一种向导！

(2)数据封装和解封装

数据封装：当一台计算机上的应用程序需要通过网络发送数据时，数据会经过一系列的封装步骤，每一步添加一层头部信息(有时也会有尾部)，这些头部信息包含了必要的控制信息，比如地址、协议类型等，以确保数据能够正确地到达目的地并被理解。
应用层：这是最接近用户的一层，直接为应用程序提供服务。在这一层，数据被创建或处理，例如文本、图片或其他形式的数据。
传输层：在此层，数据被分割成更小的数据段，并根据使用的具体协议(如TCP或UDP)添加相应的头部信息。对于TCP，这包括序列号、源端口、目的端口等；而对于UDP，则相对简单，只包含源端口和目的端口。这一层主要负责端到端的通信管理。
网络层：传输层的数据段在这里被加上IP头部信息，形成数据包。IP头部包含了源IP地址、目的IP地址等重要信息，用于指导数据包在网络中的路由选择。
数据链路层：数据包被进一步封装进帧中，每一帧都包含一个帧头和可能的帧尾。帧头通常包含MAC地址(物理地址)，用于同一局域网内设备之间的通信。
物理层：最后，帧被转换成比特流，通过物理介质(如电缆、光纤等)进行传输。

数据解封装：当数据到达目标主机时，它会经历与封装相反的过程——解封装。每一层都会移除上一层所加的头部(和尾部)信息，然后将数据传递给上一层，直到原始的应用程序数据被恢复并呈现给接收的应用程序。
物理层：接收到的比特流首先被还原成帧。
数据链路层：检查帧头中的MAC地址确定是否是发往本机的数据，然后移除帧头和帧尾，将数据包传给网络层。
网络层：检查IP头部，确定数据的目的地，并将数据段交给传输层。
传输层：根据TCP或UDP头部的信息重组数据段，并进行必要的错误检查和校正，最终将结果数据交付给应用层。
应用层：恢复的数据被传递给正确的应用程序，完成整个通信过程。

这个过程保证了数据可以准确无误地从一个地方传输到另一个地方，同时保持了各层之间的独立性，使得网络技术的发展可以在不影响其他层次的情况下进行改进。

3、设备与数据传输单元

名称	TCP/IP 对等模型	设备	数据传输单元 (PDU)
7.应用层 6.表示层 5.会话层	5.应用层	主机	数据 data
4.传输层	4.传输层	防火墙	段 segment
3.网络层	3.网络层	路由器	包 package
2.数据链路层	2.数据链路层	交换机	帧 frame
1.物理层	1.物理层	/	位 bit

网关(Gateway)：又称网间连接器、协议转换器。默认网关在网络层以上实现网络互连。

• 网关设备主要意义：在主机(无论是PC、服务器、路由器还是防火墙，这里统称主机)想要访问另一网段地址时，负责反馈ARP报文，并接收、转发随后而来的数据报文。
• 网关配置主要意义：在主机上生成默认路由，下一跳指向网关设备。

交换机：数据链路层设备，用于在局域网内传输数据。交换机的主要功能是根据MAC地址转发数据帧，实现局域网内的数据交换。

• 交换机一般来说是距离终端用户最近的设备，接入层的交换机一般为二层交换机，又称为以太网交换机，二层是指TCP/IP参考模型的数据链路层。
• 以太网交换机可以实现：数据帧的交换、终端用户设备的接入、基本的接入安全功能、二层链路的冗余等。
• 广播域：一个节点发送一个广播报文其余节点都能够收到的节点的集合。
• 冲突域：在同一个网络上两个设备同时进行传输会产生冲突，在网络报文转发中产生与发生冲突的区域称为冲突域。
• MAC(Media Access Control)地址：在网络中唯一标识一个网卡，每个网卡都需要且会有唯一的一个MAC地址。
• MAC地址表：每台交换机中都有一个MAC地址表，存放了MAC地址与交换机端口编号之间的映射关系。

路由器：网络层设备，可以在因特网中进行数据报文转发。路由器根据所收到的报文的目的地址选择一条合适的路径，将报文传送到下一个路由器或目的地，路径中最后的路由器负责将报文送交目的主机。

• 实现同类型网络或异种网络之间的通信，工作在网络层。
• 隔离广播域
• 维护路由表(Routing Table)、运行路由协议
• 路径(路由信息)选择、IP报文转发
• 广域网接入、网络地址转换
• 连接通过交换机组建的二层网络

防火墙：网络安全设备，用于控制两个网络之间的安全通信。它通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现对网络的安全保护。

• 隔离不同安全级别的网络
• 实现不同安全级别的网络之间的访问控制(安全策略)
• 用户身份认证
• 实现远程接入功能
• 实现数据加密及虚拟专用网业务
• 执行网络地址转换

三、以太网交换

以太网是当今现有局域网(Local Area Network，LAN)采用的最通用的通信协议标准，该标准定义了在局域网中采用的电缆类型和信号处理方法。

早期的以太网：以太网是建立在CSMA/CD机制上的广播型网络。冲突的产生是限制以太网性能的重要因素，早期的以太网设备如集线器HUB是物理层设备，不能隔绝冲突扩散，限制了网络性能的提高。

交换机组网：交换机做为一种能隔绝冲突的二层网络设备，极大地提高了以太网的性能，并替代HUB成为主流的以太网设备。但是交换机对网络中的广播数据流量不做任何限制，这也影响了网络的性能。

网络基本组成架构">1、通信网络基本组成架构

现代网络架构中一般遵循三层网络架构，一般为接入层、汇聚层和核心层。

• 接入层：负载将各种类型的设备接入到网络中的一个层级，一般以二层交换机为主，接入层往往面向大量的用户，设备以多端口，低性能为主。
• 汇聚层：负载将接入层的设备流量汇聚到本层中。
• 核心层：负载将整个网络中的所有流量汇聚本身，然后进行统一的流量转发。

2、以太网二层交换机

以太网二层交换机主要用来接入用户及终端设备，处在通信网络架构的边缘，属于接入设备。

以太网二层交换机转发数据的端口都是以太网口，并且只能够针对数据的 二层头部(以太网数据帧头)中的MAC地址 进行寻址并转发数据。

• 以太网二层交换机：
  • 在园区网络中，交换机一般来说是距离终端用户最近的设备，用于终端接入园区网，接入层的交换机一般为二层交换机。
  • 二层交换设备工作在TCP/IP对等模型的第二层，即数据链路层，它对数据包的转发是建立在MAC(Media Access Control)地址基础之上的。
• 以太网三层交换机：
  • 不同局域网之间的网络互通需要由路由器来完成。随着数据通信网络范围的不断扩大，网络业务的不断丰富，网络间互访的需求越来越大，而路由器由于自身成本高、转发性能低、接口数量少等特点无法很好地满足网络发展的需求。因此出现了三层交换机这样一种能实现高速三层转发的设备。

3、MAC地址表

每台交换机中都有一个MAC地址表，存放了MAC地址与交换机端口编号之间的映射关系。

• MAC地址表记录了交换机学习到的其他设备的MAC地址与接口的对应关系。
• 交换机在转发数据帧时，根据数据帧的目的MAC地址查询MAC地址表。
  • 如果MAC地址表中包含与该帧目的MAC地址对应的表项，则直接通过该表项中的出接口转发该报文；
  • 如果MAC地址表中没有包含该帧目的MAC地址对应的表项时，交换机将采取泛洪方式在除接收接口外的所有接口发送该报文。

4、交换机工作原理

二层交换机工作在数据链路层，它对数据帧的转发是建立在MAC地址基础之上的。交换机不同的接口发送和接收数据是独立的，各接口属于不同的冲突域，因此有效地隔离了网络中的冲突域。

二层交换设备通过学习以太网数据帧的源MAC地址来维护MAC地址与接口的对应关系(保存MAC与接口对应关系的表称为MAC地址表)，通过其目的MAC地址来查找MAC地址表决定向哪个接口转发。

交换机会通过传输介质将进入其端口的每一个帧都进行转发操作，交换机的基本作用就是用来转发数据帧。

交换机对帧的处理行为一共有三种：泛洪(Flooding)，转发(Forwarding)，丢弃(Discarding)。

• 泛洪：当接收到一个未知单播帧时，交换机把从某一端口进来的帧通过所有其它的端口转发出去(注意，“所有其它的端口”是指除了这个帧进入交换机的那个端口以外的所有端口)。
• 转发：当接收到一个已知单播帧时，交换机把从某一端口进来的帧通过另一个端口转发出去(注意，“另一个端口”不能是这个帧进入交换机的那个端口)。
• 丢弃：当数据帧无效、损坏、源地址和目的地址在同一个端口时，交换机把从某一端口进来的帧直接丢弃。

四、VLAN技术

VLAN(Virtual Local Area Network)即虚拟局域网，是将一个物理的LAN在逻辑上划分成 多个广播域(多个VLAN) 的通信技术。

VLAN内的主机间可以直接通信，而VLAN间不能直接互通，从而将广播报文限制在一个VLAN内。由于VLAN间不能直接互访，从而提高了网络安全性。例如，同一个写字楼的不同企业客户，若建立各自独立的LAN，企业的网络投资成本将很高；若共用写字楼已有的LAN，又会导致企业信息安全无法保证。采用VLAN，可以实现各企业客户共享LAN设施，同时保证各自的网络信息安全。

1、VLAN技术目标

VLAN技术把用户划分成多个逻辑的网络(组)，组内可以通信，组间不允许通信，二层转发的单播、组播、广播报文只能在组内转发。同时，VLAN技术可以很容易地实现组成员的添加或删除。

2、VLAN技术产生原因

传统的以太网交换机在转发数据时，采用源地址学习的方式，自动学习各个端口连接的主机的MAC地址，形成转发表，然后依据此表进行以太网帧的转发，整个转发的过程自动完成，所有端口都可以互访，维护人员无法控制端口之间的转发，例如实现B主机不能访问A主机。该网络存在如下缺陷：

• 网络的安全性差。由于各个端口之间可以直接互访，增加了用户进行网络攻击的可能性。
• 网络效率低。用户可能收到大量不需要的报文，这些报文同时消耗网络带宽资源和客户主机CPU资源，例如不必要的广播报文。
• 业务扩展能力差。网络设备平等的对待每台主机的报文，无法实现有差别的服务，例如无法优先转发用于网络管理的以太网帧。

3、VLAN帧格式

VLAN标签长4个字节，直接添加在以太网帧头中，IEEE802.1Q文档对VLAN标签作出了说明。

• TPID：Tag Protocol Identifier，2字节，固定取值，0x8100，是IEEE定义的新类型，表明这是一个携带802.1Q标签的帧。
• TCI：Tag Control Information，2字节。帧的控制信息，详细说明如下：
  • Priority：3比特，指示以太网帧的优先级。一共有8种优先级，0－7，用于提供有差别的转发服务。
  • CFI：Canonical Format Indicator，1比特。用于令牌环/源路由FDDI介质访问中指示地址信息的比特次序信息，即先传送的是低特位还是高比特位。
  • VLAN Identifier：VLAN ID，12比特，取值从0到4095。结合交换机端口的VLAN配置，能够控制以太网帧的转发。
• 使用VLAN标签后，在交换网络环境中，以太网的帧有两种格式：没有加上这四个字节标志的，称为标准以太网帧(untagged frame)；有四字节标志的以太网帧，称为带有VLAN标记的帧(tagged frame)。

4、VLAN划分方式

VLAN的划分包括如下5种方法：

• 基于接口划分：根据交换机的接口来划分VLAN。
  • 网络管理员预先给交换机的每个接口配置不同的PVID，当一个数据帧进入交换机时，如果没有带VLAN标签，该数据帧就会被打上接口指定PVID的标签，然后数据帧将在指定VLAN中传输。
  • 简单直接，灵活性较低。
• 基于MAC地址划分：根据数据帧的源MAC地址来划分VLAN。
  • 网络管理员预先配置MAC地址和VLAN ID映射关系表，当交换机收到的是Untagged帧时，就依据该表给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。
  • 即使设备移动到了不同的物理位置，只要连接到网络，它仍然属于原来的VLAN。
  • 配置比较复杂，需要为每个MAC地址手动配置VLAN信息
• 基于协议类型(IP子网)划分：根据数据帧中的源IP地址和子网掩码来划分VLAN。
  • 网络管理员预先配置IP地址和VLAN ID映射关系表，当交换机收到的是Untagged帧，就依据该表给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。
  • 这种划分方式适合于需要根据逻辑分组而非物理位置组织网络的情况，有助于简化IP寻址方案。
• 基于协议划分：根据数据帧所属的协议(族)类型及封装格式来划分VLAN。
  • 网络管理员预先配置以太网帧中的协议域和VLAN ID的映射关系表，如果收到的是Untagged帧，就依据该表给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。
• 基于策略划分：根据配置的策略划分VLAN，能实现多种组合的划分方式，包括接口、MAC地址、IP地址等。
  • 网络管理员预先配置策略，如果收到的是Untagged帧，且匹配配置的策略时，给数据帧添加指定VLAN的标签，然后数据帧将在指定VLAN中传输。
  • 这种方法能够实现非常精细的控制，但同时也要求网络管理员具备较高的技术水平进行配置和维护。

(1)基于接口的VLAN划分

划分原则：将VLAN ID配置到交换机的物理接口上，从某一个物理接口进入交换机的、由终端计算机发送的Untagged数据帧都被划分到该接口的VLAN ID所表明的那个VLAN。

原理

• 根据交换机的接口来划分VLAN。
• 网络管理员预先给交换机的每个接口配置不同的PVID，将该接口划入PVID对应的VLAN。
• 当一个数据帧进入交换机时，如果没有带VLAN标签，该数据帧就会被打上接口指定PVID的Tag，然后数据帧将在指定PVID中传输。

特点：

• 这种划分原则简单而直观，实现容易，是目前实际网络应用中最为广泛的划分VLAN的方式。
• 当计算机接入交换机的端口发生变化时，该计算机发送的帧的VLAN归属可能会发生变化。

缺省VLAN，PVID(Port VLAN ID)：

• 每个交换机的接口都应该配置一个PVID，到达这个端口的Untagged帧将一律被交换机划分到PVID所指代的VLAN。
• 默认情况下，PVID的值为1。
• 取值：1-4094

(2)基于接口划分VLAN配置案例

组网需求

• 某企业的交换机连接有很多用户，且相同业务用户通过不同的设备接入企业网络。为了通信的安全性，企业希望业务相同的用户之间可以互相访问，业务不同的用户不能直接访问。
• 可以在交换机上配置基于接口划分VLAN，把业务相同的用户连接的接口划分到同一VLAN。这样属于不同VLAN的用户不能直接进行二层通信，同一VLAN内的用户可以直接互相通信。

配置思路：

• 创建VLAN并将连接用户的接口加入VLAN，实现不同业务用户之间的二层流量隔离。
• 配置SW1和SW2的各接口类型以及通过的VLAN，实现相同业务用户通过SW1和SW2通信。

# 创建vlan
[SW1] vlan 10
[SW1-vlan10] quit
[SW1] vlan 20
[SW1-vlan20] quit
[SW2] vlan batch 10 20# 配置access接口,并加入vlan
[SW1] interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10[SW1] interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type access
[SW1] vlan 20
[SW1-vlan20] port GigabitEthernet0/0/2
[SW1-vlan20] quit# 配置trunk接口，并创建对应的允许通过列表
[SW1] interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3] port link-type trunk
[SW1-GigabitEthernet0/0/3] port trunk pvid vlan 1
[SW1-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20# 验证配置
[SW1]display vlan
The total number of vlans is : 3
-------------------------------------------------------------------------------
U: Up;	D: Down;		TG: Tagged;	UT: Untagged;
MP: Vlan-mapping;		ST: Vlan-stacking;
#: ProtocolTransparent-vlan;	*: Management-vlan;
-------------------------------------------------------------------------------
VID	Type	Ports                                                          
-------------------------------------------------------------------------------
1	common	UT:GE0/0/3(U)	……
10	common	UT:GE0/0/1(U)	TG:GE0/0/3(U)                                                     
20	common	UT:GE0/0/2(U)	TG:GE0/0/3(U)

输出信息：

• Tagged/Untagged Port：手动加入本VLAN的接口，分为Tagged和Untagged方式。
• VID或VLAN ID：VLAN编号。
• Type或VLAN Type：VLAN类型，common指普通VLAN。
• Ports：加入该VLAN的接口。

5、VLAN的接口类型

• Access接口：Access接口一般用于和不能识别Tag的用户终端(如用户主机、服务器等)相连，或者不需要区分不同VLAN成员时使用。
  • 交换机上常用来连接用户PC、服务器等终端设备的接口。
  • Access接口所连接的这些设备的网卡往往只收发无标记帧。
  • Access接口只能有且只允许一个vlan通过
  • 从该接口发送的数据帧都是不带TAG的
• Trunk接口：Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。
  • Trunk接口允许多个VLAN的数据帧通过，这些数据帧通过802.1Q Tag实现区分。
  • Trunk接口常用于交换机之间的互联，也用于连接路由器、防火墙等设备的子接口。
  • 通过的时候可以携带TAG，允许剥离标签(当PVID和VLAN ID相同时，可以剥离TAG)
• Hybrid接口：Hybrid接口既可以用于连接不能识别Tag的用户终端(如用户主机、服务器等)，也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。
  • 既有access又有trunk功能，可以连接终端设备，也可以连接交换机、路由器、防火墙等设备。
  • Hybrid接口与Trunk接口类似，也允许多个VLAN的数据帧通过，这些数据帧通过802.1Q Tag实现区分。
  • 用户可以灵活指定Hybrid接口在发送某个(或某些)VLAN的数据帧时是否携带Tag。

华为设备默认的 接口类型是Hybrid。

五、VRP华为路由交换系统

VRP(Versatile Routing Platform)是华为公司自主研发的路由交换系统软件，是华为公司路由器、交换机等网络设备的操作系统。

1、视图

<主机名>：用户视图，可以做一些不影响系统运行的基本操作或查看系统配置。

• 常用形式： 。
• 使用 system-view 命令进入系统视图。
• 使用 ctrl-z 命令返回用户视图。
• 使用 quit 命令退出当前视图。

[主机名]：系统视图，可以做系统的全局配置。

• 常用形式：[Huawei]。
• 使用 interface 命令进入接口视图。
• 使用 undo 命令撤销配置。
• 使用 return 命令返回上一级视图。
• 使用 display 命令查看系统配置。

[主机名-端口]：接口配置视图，所有关于接口的配置，都需要在对应的接口编号视图下实现。

• 常用形式：[Huawei-GigabitEthernet0/0/1]。
• 使用 port link-type 命令配置接口类型。
• 使用 port default vlan 命令配置接口默认VLAN。
• 使用 port trunk allow-pass vlan 命令配置允许通过的VLAN。
• 使用 quit 命令返回上一级视图。

2、帮助命令

• ?：在命令行中输入?，可以查看当前视图下可以使用的命令。
• tab：在命令行中输入部分命令，然后按tab键，可以自动补全命令。

2、VLAN的基础配置命令

vlan命令用来创建VLAN并进入VLAN视图，如果VLAN已存在，直接进入该VLAN的视图。

undo vlan用来删除指定VLAN。

缺省情况下，将所有接口都加入到一个缺省的VLAN中，该VLAN标识为1。

(1)创建vlan

vlan vlan-id 通过此命令创建VLAN并进入VLAN视图，如果VLAN已存在，直接进入该VLAN的视图。

• vlan-id：指定VLAN ID。整数形式，取值范围是1～4094。

vlan batch { vlan-id1 [ to vlan-id2 ] }:通过此命令批量创建VLAN。

• batch：指定批量创建VLAN。
• vlan-id1表示第一个VLAN的编号。
• vlan-id2表示最后一个VLAN的编号。
• vlan-id2的取值必须大于等于vlan-id1，它与vlan-id1共同确定一个VLAN范围。
• 如果不指定to vlan-id2参数，则只创建vlan-id1所指定的VLAN。
• vlan-id1和vlan-id2是整数形式，取值范围是1～4094。

(2)配置接口

port link-type access：在接口视图下，配置接口的链路类型为Access。

port default vlan vlan-id：在接口视图下，配置接口的缺省VLAN。

• 在接口视图下，配置接口的缺省VLAN并同时加入这个VLAN。
• vlan-id：配置缺省VLAN的编号。整数形式，取值范围是1～4094。

port link-type trunk：在接口视图下，配置接口的链路类型为Trunk。

port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] } | all }：在接口视图下，配置trunk类型接口加入的VLAN

• vlan-id1表示第一个VLAN的编号。
• to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于等于vlan-id1的取值。
• vlan-id1和vlan-id 2为整数形式，取值范围是1～4094。
• all：指定Trunk接口加入所有VLAN。

port trunk pvid vlan vlan-id：在接口视图下，配置Trunk类型接口的缺省VLAN。

• vlan-id：指定Trunk类型接口的缺省VLAN编号。整数形式，取值范围是1～4094。

port link-type hybrid：在接口视图下，配置接口的链路类型为Hybrid。

port hybrid untagged vlan { { vlan-id1 [ to vlan-id2 ] } | all }：在接口视图下，配置Hybrid类型接口加入的VLAN，这些VLAN的帧以Untagged方式通过接口。

• vlan-id1 [ to vlan-id2 ]：指定Hybrid类型接口加入的VLAN，其中：
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于等于vlan-id1的取值。
  • vlan-id1和vlan-id 2为整数形式，取值范围是1～4094。
• all：指定Hybrid接口加入所有VLAN。

port hybrid tagged vlan { { vlan-id1 [ to vlan-id2 ] } | all }：在接口视图下，配置Hybrid类型接口加入的VLAN，这些VLAN的帧以Tagged方式通过接口。

• vlan-id1 [ to vlan-id2 ]：指定Hybrid类型接口加入的VLAN，其中：
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于等于vlan-id1的取值。
  • vlan-id1和vlan-id 2为整数形式，取值范围是1～4094。
• all：指定Hybrid接口加入所有VLAN。

port hybrid pvid vlan vlan-id：在接口视图下，配置Hybrid类型接口的缺省VLAN。

• vlan-id：指定Hybrid类型接口的缺省VLAN编号。整数形式，取值范围是1～4094。

六、路由技术

路由是指导报文转发的路径信息，通过路由可以确认转发IP报文的路径。

路由设备是依据路由转发报文到目的网段的网络设备，最常见的路由设备：路由器。

路由设备维护着一张路由表，保存着路由信息。

网关以及中间节点(路由器)根据收到的IP报文其目的地址选择一条合适的路径，并将报文转发到下一个路由器。在路径中的最后一跳路由器二层寻址将报文转发给目的主机。这个过程被称为路由转发。

中间节点选择路径所依赖的表项称为路由表。

路由条目包含明确的出接口以及下一跳，这两项信息指导IP报文转发到相应的下一跳设备上。

1、路由中包含信息

目的网络：标识目的网段

掩码：与目的地址共同标识一个网段

出接口：数据包被路由后离开本路由器的接口

下一跳：路由器转发到达目的网段的数据包所使用的下一跳地址

这些信息标识了目的网段、明确了转发IP报文的路径。

• 通过路由中包含的信息，路由设备可以转发IP报文到相应的路径。
• 目的地址、掩码用于识别IP报文目的地址，路由设备将IP报文匹配到相应的路由之后，根据路由的出接口、下一跳确认转发的路径。
• 只有出接口并不能够确认转发IP报文的下一跳设备，还需要明确的下一跳设备地址。

2、路由表

路由表是网络设备(如路由器或计算机)中用于决定数据包下一跳地址的关键信息表。它包含了若干条目，每个条目指定了到达特定网络目的地的路径信息。

• 路由器通过各种方式发现路由，路由器选择最优的路由条目放入路由表中；
• 路由表指导设备对IP报文的转发
• 路由器通过对路由表的管理实现对路径信息的管理
• 路由表由路由条目组成，但不代表路由表中保存了所有路由，路由表中只会保存“最优的”路由。

# 查看IP路由表
<Huawei> display ip routing-table
Route Flags: R - relay, D - download to fib
----------------------------------------------------------------------------------------------
-Routing Tables: PublicDestinations : 6        Routes : 6
目的网络地址/网络掩码  协议类型  优先级  开销   标志       下一跳地址    出接口Destination/Mask  	Proto   	Pre   Cost   Flags    	NextHop   	Interface1.1.1.1/32   	Static   	60      0       D    	0.0.0.0    	NULL02.2.2.2/32         	Static   	60      0       D    	100.0.0.2  	Vlanif100100.0.0.0/24   	Direct  	 0       0       D    	100.0.0.1  	Vlanif100100.0.0.1/32   	Direct  	 0       0       D    	127.0.0.1  	Vlanif100127.0.0.0/8    	Direct  	 0       0       D    	127.0.0.1  	InLoopBack0127.0.0.1/32   	Direct  	 0       0       D    	127.0.0.1  	InLoopBack0

Destination/Mask：表示此路由的目的网络地址与网络掩码。将目的地址和子网掩码“逻辑与”后可得到目的主机或路由器所在网段的地址。例如：目的地址为1.1.1.1，掩码为255.255.255.0的主机或路由器所在网段的地址为1.1.1.0。Proto(Protocol)：该路由的协议类型，即路由器是通过什么协议获知该路由的。Pre(Preference)：表示此路由的路由协议优先级。针对同一目的地，可能存在不同下一跳、出接口等多条路由，这些不同的路由可能是由不同的路由协议发现的，也可以是手工配置的静态路由。优先级最高(数值最小)者将成为当前的最优路由。Cost：路由开销。当到达同一目的地的多条路由具有相同的路由优先级时，路由开销最小的将成为当前的最优路由。NextHop：表示对于本路由器而言，到达该路由指向的目的网络的下一跳地址。该字段指明了数据转发的下一个设备。Interface：表示此路由的出接口。指明数据将从本路由器的哪个接口转发出去。

3、路由转发流程

来自10.0.1.0/24网段的IP报文想要去往40.0.1.0/24网段，首先到达网关，网关查找路由表项，确定转发的下一跳、出接口，之后报文转发给R2。报文到达R2之后，R2通过查找路由表项转发给R3，R3收到后查找路由表项，发现IP报文目的IP属于本地接口所在网段，直接本地转发。

4、静态路由

静态路由是由网络管理员手动配置路由条目，配置方便，对系统要求低，适用于拓扑结构简单并且稳定的小型网络。

缺点是不能自动适应网络拓扑的变化，需要人工干预。

ip route-static命令可以配置静态路由。

配置案例：

RTA与RTC上配置静态路由，实现10.0.0.0/24与20.1.1.0/24的互通。
因为报文是逐跳转发的，所以每一跳路由设备上都需要配置到达相应目的地址的路由。
另外需要注意通信是双向的，针对通信过程中的往返流量，都需关注途径设备上的路由配置。

# 配置RTA
[RTA] ip route-static 20.1.1.0 255.255.255.0 10.0.0.2 # 配置RTC
[RTC] ip route-static 10.0.0.0 255.255.255.0 S1/0/0

5、缺省路由

缺省路由是一种特殊的路由，当报文没有在路由表中找到匹配的具体路由表项时才使用的路由；如果报文的目的地址不能与路由表的任何目的地址相匹配，那么该报文将选取缺省路由进行转发。

缺省路由在路由表中的形式为 0.0.0.0/0，缺省路由也被叫做默认路由。

# 配置缺省路由
[RTA] ip route-static 0.0.0.0 10.0.0.2

缺省路由应用场景：一般用于企业网络出口，配置一条缺省路由让出口设备能够转发前往Internet上任意地址的IP报文。