pvid是什么意思不理解(网络pvid是什么意思)

\

目录第一节 网络第二节 传输和解析IP地址第三节 静态路由第四节：介绍动态路由RIP协议第五节 OSPF协议第六节 VLAN第六节虚拟局域网交换机上的三种接口类型 DHCP动态主机配置协议单臂路（router-on-a-stick）第七节 ACL访问控制列表NAT 网络地址转换(公共地址和私人地址相互转换)Easy IP及配置(直接映射到出口地)

华为目前使用的平台是VRP（Versatile Routing Platform）是华为数据通信产品的通用操作系统平台。 包括路由、交换机、安全、无线等。

通过设备的Console口连接登录到VRP平台

首先，让我们了解设备连接方式：如下图所示。

将设备连接到配置线的一端console嘴，另一端接到电脑COM口

也可以用USB转网口配置线，网头一端接到设备console口，USB一端接到电脑。

VRP是华为拥有完全独立知识产权的网络操作系统，可以在各种硬件平台上运行。VRP具有一致的网络界面、用户界面和管理界面，为用户提供灵活丰富的应用解决方案。

VRP平台以TCP/IP以协议族为核心，实现了数据链路层、网络层和应用层的多种协议，将路由交换技术集成到操作系统中Qos技术、安全技术和IP语音技术等数据通信功能IP以转发引擎技术为基础，为网络设备提供了优秀的数据转发能力。

【IP转发引擎：包括传统的转发引擎IP报文转发、IP快速转发、QoS服务质量、战略路由、安全能力、防火墙等。【广域网互连】:支持PPP/MP、SLIP、HDLC/SDLC、X.25、Frame Relay、LAPB、ISDN和Ethenet等。【路由协议】:支持RIP、OSPF、BGP、IGRP、EIGRP、PIM、DVMRP、BGMP等。【IP业务:支持ARP/Proxy ARP、NAT、DNS、DHCP中继、VLAN、SNA、VoIP和VPN等。【配置管理能力】:支持命令行配置、日志报警、调试信息SNMP管理等。

在学习这里的内容时，让我们先了解一下网络传输介质的知识内容。

网络传输介质简介：

注：单模光纤只能传输一种模式的光，无模间色散，适合长距离高速传输。多模光纤允许不同模式的光在光纤上传输。由于模间色散较大，信号脉冲宽度严重，多模光纤主要用于局域网的短距离传输。

【常用光纤连接器包括】:ST、FC、SC、LC

以下链接是以前小边的分享，可以帮助您了解光纤知识，点击文本自动跳转相关链接。

对光纤、光模块、光纤交换机、光模块网设计及案例进行全面讲解

通俗讲解IP地址与MAC地址的差异和相关性(建议收集)

【交换机工作原理】:交换机也有一个表，叫做MAC地址表存储在交换机知道的内部MAC地址表。

如果主机A发送给主机，B，通过交换机时，暂时对这三种设备。当数据通过交换机时，交换机应该做一个记录，首先查找刚刚发送的数据MAC地址，发现是A，然后记录主机A从哪个端口，然后查看目标MAC地址，是B，接下来，如果MAC地址表中写的口以单播的形式发送B，如果没有记录，在所有接口上复制信息，则以广播洪泛的形式。在这个交换机里MAC通过数据流通记录地址表。

那路由器是怎么工作的呢？首先，您应该知道路由器用于划分接口和隔离广播域。路由器的每个接口相当于一个局域网。路由器中有一个路由表，专门用于存储路由信息。当数据包被路由器接收时，路由器将基于数据包中的目标IP地址，查询当地路由表，确定从源端到目的端的路由路径。第一：选路。二：转发：将路由器输入端的数据包转移到适当的路由器输出端。

路由表的特点：默认情况下，只有直接连接的路由条目，并以目标网段的形式存在。如有记录，则无条件转发。如果没有，则丢弃。有时，即使有路由条目，如果在传输过程中出现错误，如中间短路或堵塞，数据也无法到达目的地址。所有非直接路由条目均为未知网段。

现在，获取未知网段的方法：

【静态路由-管理员手动配置路由条目】

【在动态路由-路由器之间运行相同的算法后，相互学习和交流产生路由条目】

静态路由适用于小型网络或局域网，因为每个路由器都需要添加路由条目，并且需要多次写路由条目。动态路由适用于大型网络和经典网络OSPF和RIP两种。

先不说怎么给路由器加表，路由器中的路由表也分等级。

【优先级(AD)】它是衡量路由质量的，默认存在于同一网络状态下，但如果你想修改优先级，你只能修改路由器中的路由优先级。值越小，协议越好，优先使用，值为0-255。当值为255时，即使有可达路径，路由器也不使用。

另一点延伸：COST值，又称测量值：衡量路径的优缺点，仅用于动态路由协议，值越小，路径越好。

【路由器加表规则】:一般默认直接连接优先级最高。当你学习多个路由条目时，路由器会优先，优先级小的先加表，优先级会相同。cost值，cost如果值小，优先加表。cost如果值相同，则同时添加表格。负载平衡-同时拆卸和传输流量。

配置静态路由命令：

进入特权模式：system-view

可命名设备：sysname 名字

手动查看路由表添加信息：display ip routing-table protocol static

设置端口地址：interface +端口号(例如 g0/0/0)

华为设备ensp部署静态路由的命令是：ip route-static 未知网段 下一跳地址(出接口)

本地设置环境：loopback 值（0-1024）

ip address IP地址

设置完后保存的命令：save （只有退出到最底层模式才能保存成功）

【浮动静态路由】：当拥有多条传输线路时（未知是否负载均衡），可通过路由的优先级，使某条路由优先使用，同时也备份了一个路由线路。

ip route-static 已知网段 下一跳 preference 值（这个值可以自己设定，只要能达到目的即可）。

出接口是数据流量从本地发出后，下一个接口的IP地址，也就是直连的另外一台设备的端口地址。

路由器查表规则：递归查找，最长匹配

【冲突域】

场景：每个主机用同一根同轴电缆通信，这根同轴电缆被称为共享介质，该网络被称为共享式网络，共享式网络中，不同主机同时发送数据，就会产生信号冲突问题，解决方法是采用CSMA/CD，即载波侦听多路访问/冲突检测技术。

【CSMA/CD工作过程】：

1、不断检测线路空闲状态，不空闲时由退避算法决定等待时间后继续检测，否则就发送数据；

2、两台设备同时发送数据时产生冲突；

3、检测到冲突后，会马上停止发送数据，并发送特殊阻塞信息；

4、再由退避算法等待一段时间发送数据；

总结：先听后发、边发边听、冲突停发、随机延迟后重发；

双工模式：

同一物理链路上两台设备的双工模式必须一致。

总结千兆以太网必须使用超5类标准以上双绞线，或千兆及更高等级的光纤；冲突域是通过共享介质进行双向传输的所有节点的集合。冲突域中的主机发送数据时，到达目的地之前可能会发生冲突。CSMA/CD是一种在共享式网络上检测并避免冲突的机制；以太网帧结构网络通信协议

各大通信协议：IBM公司的SNA协议、Novell公司的IPX/SPX协议、国际标准化组织ISO的OSI模型、TCP/IP模型。以太网之外，还有用于管理物理数据在广域网中传输的标准，如PPP点对点协议，HDLC高级数据链路控制协议。

分层模型-TCP/IP

帧格式：

根据IEEE 802.3标准管理和控制数据帧，封装包含头部和尾部信息，封装信息决定数据如何传输。以太网上传输的数据帧有两种格式，由网络层决定使用哪种，用Length/Type的字段值判断两种帧格式属于哪种，小于等于1500为802.3帧，大于等于1536时为EthernetII帧，以太网大多数的数据帧使用EthernetII帧。

以太网的MAC地址：

单播：目的MAC地址第8位为0，从单一的源端发送到单一的目的端，所有主机都能收到源主机发送的单播帧，目的地址不是本机的会被丢弃，目的地址是本机就会接收。

广播：目的MAC地址为FF:FF:FF:FF:FF:FF，从单一的源端发送到所有主机，产生大量流量，当需要所有主机收到相同信息并处理的情况下使用。

组播：目的MAC地址第8位为1，选择性的广播，当需要网络上的一组主机而不是全部主机接收相同信息时使用。

数据帧的发送和接收

数据的处理：当主机接收到属于自己的帧时，检查帧校验序列FCS与本机计算的校验值对比，不同时会丢弃，相同时会根据Type字段确定所要发往的上层协议，把以太网的封装剥掉后将Data送往上层协议，如Type为0x0800时，会将Data发送到IP协议上处理。

数据头的处理：在数据帧发送的过程中，路由器转发时MAC地址会发生变化，如网络结构如下：

A——（B1，B2）——（C1，C2）——E

A->B：由A发送给路由器B，B经过重新封装之后，源IP地址和目的IP地址是不变的，源MAC地址变成B2的MAC地址，目的MAC地址变成C1的MAC地址，封装之后发送给路由器C；

B->C：路由器C收到数据包之后，源IP地址和目的IP地址保持不变，源MAC地址变成C2的MAC地址，目的MAC地址变成主机E的MAC地址，然后发送给主机E。

数据头的处理：在数据帧发送的过程中，只经过二层网络的数据包不会修改源、目的MAC地址，即使两台主机不在同一交换机上。

总结：

数据帧中Type字段的含义；

数据帧的发送和接收过程；

IP报文头部

IP包分片：报头信息用于指导网络设备对报文进行路由和分片。分片用于将超过了数据链路所支持的最大长度数据包分成不同片段传输，接收端根据分片报文中的标识符、标志、片偏移量字段对报文进行重组。同一网段内数据转发通过链路层即可实现，跨网段数据转发需要使用网络设备的路由功能。ICMP协议：

Internet控制消息协议ICMP（Internet Control Message Protocol）是网络层的一个重要协议。用来在网络设备间传递各种差错和控制信息，并对于收集各种网络信息、诊断和排除各种网络故障等方面起着至关重要的作用。控制消息并不能传输用户数据。

ICMP重定向ICMP Redirect消息用于支持路由功能，网关检查到报文有更优路径，会向主机发送Redircet消息通知主机向另一个网关发送报文。

ICMP差错检测(Ping命令)，ICMP Echo Request用来查询，ICMP Echo Reply用来响应某些信息，进行差错检测。

ICMP错误报告，当网络设备无法访问目标网络时，会自动发送ICMP目的不可达报文到发送端设备。

ICMP封装在IP报文中，消息格式取决于Type和Code字段，Type字段为消息类型，Code字段为消息具体参数，Checksum用于检查消息是否完整。消息中包含32位可变参数，通常为0，在ICMP Redirect重新导向消息中，这个字段用于指定网关IP地址，在Echo请求中，这个字段包含标识符和序号，源端根据这两个参数与本端发送的Echo请求关联，用于多个源端请求一一对应回复。

ICMP消息类型与编码：

使用场景：Ping命令、Tracert命令

Tracert是基于报文头中的TTL值逐跳跟踪报文的转发路径，源端首先给目的地址发送TTL为1的UDP报文，等待第一个节点响应的ICMP超时报文，即可获得第一个节点地址，再发送TTL为2的UDP报文，获得第二个节点地址。以此类推，直到发送到目的地址的大于30000的端口上，目的地址检测到没有程序处理该请求，即会向源地址发送ICMP目标端口不可达报文，源端收到不可达报文后，即可判断UDP报文已到达目的端，停止Tracert，并得到经历的路径。

总结

Ping命令使用了ICMP的响应Echo Reply和请求Echo Request消息；

当网络设备收到TTL值为0的报文时，会丢弃该数据包，并向源地址发送ICMP超时的消息；

动态路由的介绍与RIP协议：

当遇到大型网络时，静态路由相当吃力。由此动态路由应运而生。

【动态路由与静态路由相比较】：

静态路由：1.配置管理不方便。2.不适用于中大型网络。3.针对网络拓扑变化不能自动更新。

动态路由的优点：1.配置管理方便。2.适用于中大型网络。3.针对拓扑变化在大限度内可以自动收敛。

当然动态路由也有缺点：1.安全问题。2.容易造成选路不佳，最严重的出现环路。3.占用硬件资源，需要计算机的计算能力相配合。

动态路由协议有多种：ISIS，RIP, OSPF 等等

那么，我们怎么样衡量一个动态路由协议的好坏呢：我们有三个标准

1、选路佳；2、收敛速度快；3、占用资源小。

动态路由协议分类：根据AS进行分类（AS是自治系统，一个逻辑管理域，一个自治系统有时也被称为是一个路由选择域，一个自治系统将会分配一个全局的唯一的16位号码，有时我们把这个号码叫做自治系统号（ASN））

ASN的范围是：0——65535.

私有的是64512—–65535，这个私有ASN不能应用于公网。

公有的是0—–64511。

有人是这么解释的，我认为很形象。每个as 域都有自己的范围和策略就像每个国家一样 ，每个国家有自己的领土范围，而且有自己的法律定义。每个as域内部发生网络变化不会影响到别的as. 各个as 连接起来就是现在的互联网世界。

【ASN根据处理的方式分两种】：

IGP内部网关协议：负责AS内部沟通。常见的有RIP和OSPF两种动态路由协议

EGP外部网关协议：负责AS间的沟通，比如BGP和EGP

BGP是自治系统间的路由协议，BGP交换的网络可达性信息提供了足够的信息来检测路由回路并根据性能优先和策略约束对路由进行决策。

【IGP内部网关协议根据更新时是否携带网络掩码分成两种】：

有类别路由协议：不携带掩码

无类被路由协议：携带掩码

【IGP内部网关协议还可以根据更新特点分成两种】：

DV型：距离矢量型路由协议，如—–RIP协议，他们的特点都是共享路由表。更新的内容是路由条目。

LS型：链路状态型路由协议，如——-OSPF协议

RIP———-路由信息协议，标准的矢量型路由协议，采用贝尔曼福特算法（可点击）。特点是：周期更新，根据拓扑的变化自动重新收敛。设置路由器经过的最大跳数，16跳标记不可达。路由器之间直接共享路由表，默认仅存在更新包，基于UDP520端口工作。

RIP协议在发展过程中，经历了两个版本，都是基于IPV4地址，IPV6地址暂时未知。

第一个版本 RIP version 1

有类别路由协议—-不携带掩码更新—-不支持VLSM（可变长子网掩码）

不支持手工认证，手工认证是指对两端的端口进行加密传输

广播更新

第二个版本 RIP version 2

无类别路由协议—携带掩码更新，支持VLSM

支持手工认证，对两端的端口进行加密传输

组播更新——224.0.0.9

在动态路由协议中，都是要宣告自己知道的网段，动态路由也是会遇到环路的，而RIP协议有独特的防环机制

1.水平分割（仅作用于直线型拓扑和星型拓扑下的防环）：从此口进，不从此口出。这个防环核心是：消除重复更新量，

2.跳数限制metric：最大15跳，16跳默认断路不可达，直接丢弃该路由

3.毒性逆转水平分割：完整地触发更新，也需要条件才能触发。这里要解释的是：毒性，是指16跳，逆转水平分割就是打破水平分割机制的意思。连起来就是断掉之后的路由，依旧会生成信息，但是里面表里记录的跳数就会变成16跳，意味着不可达。

4.抑制计时器: 首先在RIP协议中，华为设备ensp一般更新时间为30s，失效时间180s，抑制计时器180s（在刚才过了180s后）在这个时间里，路由器没有收到相应的回答便会down掉这条路由，再过60s，直接刷新该路由器的路由表。

基本配置;rip 1(进入RIP协议v1，这里的v1是指基于IPV4地址工作，而IPV6地址工作的话则是 rip ng)

version 2(选择版本2）

network 192.168.1.0(只支持宣告主类网）

network 1.0.0.0

好了基本配置就这些，宣告的作用是：1.激活接口（使接口拥有收发更新的能力）2.路由，更新路由表。

【RIP扩展配置 】：

1.（版本2）手工认证:在直连路由器上的两个端口配置，在进入端口后，两边都要输入命令

rip

authentication-mode simple cipher xiix(这是明文认证）或者 authentication-mode simple md5 usual xiix(这是密文认证）

2.手工汇总：在更新路由器上向所有更新发出的接口上配置：

进入端口后，输入命令：rip summary-address 172.16.0.0 255.255.252.0（172.16.0.0是汇总后的路由，后面必须写上点分十进制掩码）

3.缺省路由：在边界路由器上配置一条缺省指令，那么内网的路由器会自动生成一条指向外界路由器的缺省。边界路由器去往外部的缺省路由器，需要手工配置。

进入端口后，输入命令：

1.rip 1

2.version 2

3. default-route originate

4.通过修改抑制计时器来加快收敛速度：

1.rip 1

2.version 2

3.timers rip 15 90 60

本来计时器上的数是30 180 120 ，现在修改的是这些数对应的更新、老化、垃圾收集时间。

OSPF协议：

OSPF协议，现在社会上很常使用的协议，全名叫开放式最短路径优先协议，感兴趣的可以去了解一下最短路径树。它的拓扑状态是标准的链路状态路由协议，属于IGP内部网关协议中的无类别协议，更新时携带掩码，组播更新225.0.0。5/6.

需要结构化部署的协议–区域划分和地址规划。

链路状态型路由协议的距离矢量型特征：区域内传拓扑，区域间传路由。

学习这个OSPF协议，先学习它的工作过程比较容易，但是得先了解一些具体名词可以帮助更好学习。

hello包：用于发现、建立、周期保活邻居关系，里面存在router ID（路由器标识符，在同一个局域网内唯一,使用的形式是IP地址形式）

DBD ：链路状态描述包，里面包含LSA链路状态通告，这是一条包含了拓扑及路由的信息

LSR ：链路状态请求

LSU：链路状态更新，用于携带各种的LSA

LSack：链路状态确认

【OPSF的工作过程】：启动配置完成后，本地使用组播发送hello包到所有邻居打招呼，若收集到其他邻居的hello包，那么建立邻居关系，生成邻居表。和所有邻居建立关系后，会自动生成邻居表。然后更进一步，和邻居继续交流，条件匹配，若失败则停留在邻居关系，本地的hello包还存在，周期保活。若匹配成功，将建立邻接关系，邻接关系将使用DBD/LSR/LSack包来获取未知的LSA链路状态信息，当收集到所有未知网段的信息后，本地生成LSDB—链路状态数据库的数据库表，在本地基于LSDB计算到所有未知网段的最佳路径，然后加载到路由表中。收敛完成后，hello包周期保活邻居，每30min更新（DBD对比数据库）

若发生结构突变：

1、新增、断开网段—–直连设备使用DBD同步信息到所有的邻接处

2、设备断电或无法沟通———到dead time后断开邻接关系。

LSA链路状态通告

LSDB链路状态数据库，所有LSA的集合

OSPF的协议收敛称为：LSA洪泛，LSDB同步

对应于工作过程，OSPF有独特的状态机：

Down状态：初始状态，路由未更新时。一旦本地发出hello包就进入下一状态

INIT 初始状态：接收到的hello包中，若存在本地的RID，那么进入下一状态

2-way双向通信：建立邻居关系的标志。

条件匹配：这个过程1对1的网络直接进入下一状态，MA网络将进行DR/BDR选举（40s)，DRother，非DR/BDR不得进入下一状态

Exstart预启动：进行主从关系选举DR/BDR，Router ID数字大者为主，也就是DR，从关系的都为BDR，DR/BDR与其他非DRother之间会预计划建立邻接关系，优先进入下一状态，并且基于224.0.0.6沟通。而DR/BDR之间只能建立邻居关系。

Exchange准交换：使用真正的DBD包，进行数据库目录的共享，需要ACK确认

Loading加载：使用LSR/LSU/LSACK来获取未知的LSA信息。

Full转发：邻接关系的建立。

以上的状态机每建立一步都会在路由器上的命令行看到，其实就是具体的OPSF工作过程的表现。

【OSPF有区域划分规则】：

1、必须为星型拓扑结构—–区域0位骨干，其他区域必须环绕着区域0为中心

2、ABR—区域边界配备路由器，来及时更新路由信息OSPF优先级为10，度量值为cost值=开销值=参考带宽接口/实际上接口带宽。

先看看选举规则：

1.比较接口优先级，0—–255，越大越优先，默认为1.

2.接口若优先级相同，比较router ID，数字大者选举为DR，否则为BDR。

接下来是配置命令：

进入接口后

ospf 1 启动OSPF开放式最短路径路由信息协议

area 1 选择区域

network 1.1.1.0 0.0.0.255 反掩码宣告（反掩码的作用是精确匹配）

宣告的作用是：1.激活接口，2.路由和拓扑。3.区域划分

{下面有三个表必须得学会查看}：

display ip routing-table 查看路由表

display ospf peer brief 查看邻居表

display ospf ladb 查看链路状态数据库表

display ip routing-table protocol ospf 查看ospf路由表

【OSPF的扩展配置】：

1.修改参考带宽。

ospf 1

bandwidth=”360px”,height=”auto” />

2.做认证

第一种是接口认证的情况，先进入接口后，

明文认证：ospf authentication simple cipher huawei (huawei是明文认证的时候，自己想的密钥）

密文认证：ospf authentication md5 1 cipher huawei (1是必须写的，1是验证字标识符，，，huawei是密文认证的密钥）

第二种的这个区域认证呢，要联系ospf的区域划分。

先进入你要做认证的区域边界路由器，然后

区域明文认证：authentication-mode simple plain(密码) {plain：表示明文显示}

区域密文认证：authentication-mode md5 1 (密码) {1：为验证字标识符}

3、加快收敛速度

先进去接口，然后输入： ospf timer ？（先查看OSPF的一些收敛信息，看看如何适当地修改。假如事先知道也可以直接输入参数。）

ospf timer hello 参数值

ospf timer dead 参数值

4、缺省路由

把只要不知道的网段都丢给默认的缺省路由，不管这个缺省路由是不是事先存在，也可以自己设置,这个设置缺省路由的路由器是边界路由器，或者说是连接其他局域网的，毕竟局域网内部的都应该会知道自己局域网内的网段，然后给这个边界路由器设置命令就行了。进入接口后：

ospf 1

default-route-advertise always

VLAN虚拟局域网：

传统的以太网交换机在转发数据时，只能依据MAC地址表进行以太网帧的转发，整个过程自动完成，我们维护人员无法控制端口之间的转发，而且在交换机两端的路由器不能互相访问。

1、网络安全性能差。由于各个端口之间可以直接互访，降低了网络的安全性。

2、网络效率低。用户可能会收到大量不需要的报文。例如不必要的广播报文，这些报文同时消耗网络带宽和客户主机CPU资源。

3、业务扩展能力差。网络设备平等地对待每台主机的报文，无法实现有差别的服务，例如无法优先转发用于网络管理的以太网帧，或者当我们需要优先使用那个服务时却不能实现。

首先，VLAN的产生是是为了解决网络风暴的产生, 方便管理。为减少广播，需要在没有互访需求的主机之间进行隔离，路由器成本太高。

基于端口划分：网络管理员给交换机的每个端口配置PVID，即Port VLAN ID，有些场合称为端口默认VLAN。如果收到的是untagged帧，则VLAN ID的取值为PVID。

基于MAC地址划分：网络管理员配置好MAC地址和VLAN ID的映射关系表，如果收到的是untagged帧，则依据该表添加VLAN ID。

基于协议划分：网络管理员配置好以太网帧中的协议域和VLAN ID的映射关系表，如果收到的是untagged帧，则依据该表添加VLAN ID。

基于子网划分：根据报文中的IP地址信息，确定添加的VLAN ID。

基于策略划分：根据上面几种划分依据组合进行划分。

如果设备同时支持多种方式，一般情况下，优先使用顺序为：基于策略－基于子网－基于协议－基于MAC地址－基于端口。目前常用的是基于端口的方式。下面我们介绍一下基于端口配置的方式。

交换机上的三种接口类型：

引入VLAN功能后，交换机的端口被划分为3种类型：

（1）Acess端口：通常用于连接终端PC，早期型号的交换机默认的接口类型

（2）Trunk端口：通常用于交换机之间互连接口,路由器和交换机之间的互联接口

（3）Hybrid端口（混合端口）：VRP5.X版本的交换机默认的接口类型

access端口：一般用于连接终端用户，普通终端PC并不能识别带有tag的数据帧

Access端口，用于连接主机，有如下特点：

1.仅仅允许VLAN ID与端口的PVID相同的数据帧通过本端口

2.如果该端口收到对端设备发送的帧是untagged，交换机将强制加上该端口的PVID

3.Access端口发往对端设备的以太网帧永远是untagged frame

4.早期型号的交换机默认端口类型是access，PVID默认是1，VLAN 1由系统创建，不能被删除或修改。

以下：内容是往期分享的内容大家可以去学习补充知识：点击文字自动跳转哦。

交换机设备上的G口、F口、E口、S口区别是什么？都认识的已是高手

交换机三种端口模式Access、Hybrid和Trunk的知识技能点与区别

镜像是什么？端口镜像、VLAN、观察端口，它们是如何工作的？

大家可以打开这个下面链接时往期的内容分享，可以帮助大家更好的理解接下来的内容

VLAN基础及交换机三种端口状态：access、trunk、hybird详解

VLAN是需要创建的，不可能会自己生出来。那么，在交换机上创建vlan信息：

vlan batch 2 5 //添加vlan2、5

vlan batch 2 to 5 //添加vlan2到5

vlan batch 2 5 to 10 //添加vlan2、5到10

undo vlan batch 2 5 to 10 //删除vlan2、5到10

在配置时需要将接口改成access模式，有需要的话，在改VLAN ID时，可以改成默认

port link-type access

port default vlan 2

删除接口下access的配置：

interface Ethernet0/0/1

undo port default vlan

undo port link-type

在交换机的access端口，目前来看在发送数据帧都是会把标签去掉的，这样对面的设备就不知道数据帧是属于哪个VLAN的。在交换机之间，我们还希望交换机携带标签来转发数据帧。

runk接口的PVID值：默认为1

接收到untag帧：加上PVID值的标签

发送专属于PVID的tag帧时：去掉tag变为纯以太网帧再转发

【总结access和trunk】

（1）access接口的特点：

【接收】：

纯以太网帧（通常由PC发出）：打上PVID tag然后转发

属于PVID的tag帧：直接转发

不属于PVID的tag帧：丢弃

【发送】：

属于PVID的tag帧：去掉tag，变为纯以太网帧发送

不属于PVID的tag帧：不能发送出去

从access接口发出的数据帧都不携带任何tag，一般都是发送给PC的

（2）trunk接口的特点：

【接收】：

先看允不允许通过和有没有创建这个vlan

纯以太网帧：打上PVID tag然后转发

属于PVID的tag帧：保留tag直接转发

不属于PVID的tag帧：保留tag直接转发

【发送】：

先看允不允许通过和有没有创建这个vlan，

属于PVID的tag帧：去掉tag，变为纯以太网帧发送

不属于PVID的tag帧：保留tag直接发送

DHCP动态主机配置协议：

DHCP，基于C/S模型 （client客户端和server服务器），有一个动态地址池，统一分发管理IP地址。

[Huawei]ip pool xixi. 创建地址池

Info:It's successful to create an IP address pool.

[Huawei-ip-pool-xixi]network 192.168.1.0 mask 255.255.255.0 所要下放的地址

[Huawei-ip-pool-xixi]gateway-list 192.168.1.1 网关地址

[Huawei-ip-pool-xixi]dns-list 8.8.8.8 DNS服务器地址

[Huawei]interface e0/0/0.1

[Huawei-Ethernet0/0/0.1]dhcp select global

成为DHCP服务器的条件

该接口或者网卡具有合法的IP地址（地址池）

必须连接到所有要下放地址的设备和区域。

【DHCP的工作过程】：

•1. DHCP 客户端初次接入网络时，会发送 DHCP 发现报文（ DHCP Discover ），用于查找和定位 DHCP 服务器。

• 2. DHCP 服务器在收到 DHCP 发现报文后，发送 DHCP 提供报文（ DHCP Offer ），此报文中包含 IP 地址等配置信息。

• 3. 在 DHCP 客户端收到服务器发送的 DHCP 提供报文后，会发送 DHCP 请求报文（ DHCP Request ），另外在 DHCP 客户端获取 IP 地址并重启后，同样也会发送 DHCP 请求报文，用于确认分配的 IP 地 址等配置信息。 DHCP 客户端获取的 IP 地址租期快要到期时，也发送 DHCP 请求报文向服务器申请延长 IP 地址租期。

• 4. 收到 DHCP 客户端发送的 DHCP 请求报文后， DHCP 服务器会回复 DHCP 确认报文（ DHCP ACK ）。客户端收到 DHCP 确认报文后，会将获取的 IP 地址等信息进行配置和使用。

• 5. 如果 DHCP 服务器收到 DHCP-REQUEST 报文后，没有找到相应的租约记录，则发送 DHCP-NAK 报文作为应答，告知 DHCP 客户端无法分配合适 IP 地址。

• 6. DHCP 客户端通过发送 DHCP 释放报文（ DHCP Release ）来释放 IP 地址。收到 DHCP 释放报文后， DHCP 服务器可以把该 IP 地址分配给其他 DHCP 客户端。

【DHCP工作原理：】比如有一个主机A和DHCP服务器B

A发送报文DHCP Discover 向B广播，寻找DHCP服务器。

然后B回给A一个DHCP Offer报文，报文中给出了A的IP地址配置信息。

A收到offer报文后，或者在获取IP地址并重启后，以及主机A在向DHCP服务器B续租IP地址时，同样会发送DHCP请求报文DHCP Request。

B受到后，会回复一个DHCP Ack报文给A.或者在主机A想要续租IP地址时，B在受到A的DHCP Request报文后，也会回复DHCP akc报文。

如果IP租期到达50%，DHCP客户端会向DHCP服务器请求更新IP地址续租。

当达到87.5%时，还没收到服务器响应，会申请重绑定IP。

如果IP地址租约到期还没收到DHCP服务器响应，客户端会停止使用次IP地址。当DHCP客户端不再使用分配的IP地址，也可以向DHCP服务器发送DHCP release报文，申请向DHCP服务器释放该IP地址。

单臂路由（router-on-a-stick）

是指在路由器的一个接口上通过配置子接口（或“逻辑接口”，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通。比如在办公室里工作

【单臂路由的作用是】：

1.控制VLAN

2.封装VLAN的ID号

3.默认情况下，路由器接口的ARP功能是关闭的。意味着路由器自己的ARP表中是没有对端设备的MAC地址条目，则默认情况下，路由器不会从子接口向外发送ARP广播请求。所以，路由器子接口下的ARP广播功能必须开启，否则从PC上不通网关。

ACL访问控制列表：

ACL —-访问控制列表 access-list

首先，得明白五元组是通信术语。通常是指源IP地址，源端口，目的IP地址，目的端口和传输层协议。

1.访问控制—在路由器流量进或出的接口上规则流量 允许 –permit 拒绝—deny

2.定义感兴趣的流量—抓取流量

{基本acl用法}：

[R3]acl 2000

[R3-acl-basic-2000]rule 1 deny source 192.168.1.2 0.0.0.0 定义ACL

[R3-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 （调用）（拒绝ping连接）

高级acl用法

[R2-acl-adv-3000]rule 1 deny tcp source 12.1.1.1 0 destination 23.1.1.3 0 destin

ation-port eq 23（拒绝远程登录）

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 3000 （调用）

命名ACL：

acl name test

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl name xixi （调用）

按照ACL的功能分类：

基于接口的ACL（编号范围1000-1999） //模拟器不支持，现在已经不常用了

基本ACL（编号范围2000-2999）

高级ACL（编号范围3000-3999）

二层ACL（编号范围4000-4999）

ACL匹配规则和顺序：

自上而下查询，一旦匹配便不再往下查询，末尾隐藏拒绝所有（华为默认允许）。ACL的匹配顺序：也就是说，按照ACL规则的编号从小到大进行匹配。

常用的ACL匹配顺序如下：

NAT 网络地址转换（公有地址和私有地址的相互转换）

源地址是内网（私有地址—公有地址）目标（公有地址）

源地址是外网 （公有地址）目标（公有—私有地址）

因此，Nat技术也叫外网转发信息回源地址的技术

下面简单说一下一个NAT技术里面的动态NAT地址池，虽然这个动态NAT地址池不再使用了，但是我们可以从中得出一些有用的东西，对于以后的学习有好处。

静态NAT（1对1，用于外到内的访问）外到内NAT原理(端口映射)

内部的服务器地址映射到公网，供外网用户访问这台服务器

内部服务器一般不会直接配置公网地址给外网访问的原因：

1.安全性

2.公网地址浪费：一台服务器就会占用一个公网地址

接下来的配置：

int s2/0/0 //外口

nat static global 23.1.1.10 inside 12.1.1.1 //不能和外口地址冲突

dis nat static

网络地址端口转换NAPT（Network Address Port Translation）

内到外变换地址

外到内回包时变换目的地址

多个内部主机发起外网的访问，防火墙需要区分不同的内部主机，通过IP地址+源端口号的方式。如果内部主机发出的数据包中源端口号冲突，被防火墙转换后发送到公网，会变换源端口以便区分。

NAPT配置（网络地址端口转换：映射到某一个或多个公网地址，非出口地址，即PAT）

acl 2000

rule permit source 12.1.1.0 0.0.255

nat address-group 1 23.1.1.3 23.1.1.10 //公网地址池中不能包含出口IP地址

int s2/0/1

nat outbound 2000 address-group 1

Easy IP（cisco叫PAT，用于内到外的访问）

Easy IP及配置（直接映射到出口地址上）——常用

acl 2000

rule permit source 12.1.1.0 0.0.255

int s2/0/1

nat outbound 2000

dis nat outbound

dis nat session all