1+X私有网络（数通）

企业私有网络构建运维—局域网络技术

交换机组网

交换以太网大大减少冲突域的范围，显著提升网络的性能，并且加强网络的安全性。目前交换以太网使用的网络设备是交换机和网桥。网桥用于连接物理介质类型相同的局域网。而交换机是具有多个端口的转发设备，在各个终端主机之间进行数据转发。它通过隔离冲突域，使得终端主机可以独占端口的带宽，并实现全双工通信。

交换机主要功能

交换机有三个主要功能：地址学习、转发\过滤和环路避免。这三个主要功能同时被使用，共同在网络中起作用。交换机内有一张MAC（介质访问控制）地址表，表中维护了交换机端口与该端口下设备MAC地址的对应关系，交换机根据MAC地址表进行数据帧的交换转发。而对于收到的数据帧，交换机一般采用三种方式进行处理：直接转发、丢弃和泛洪

• 直接转发：是当收到数据帧的目的MAC地址能够在转发表中查询到，并且对应的出端口与收到报文的端口不是同一个端口时，该数据帧从表项对应的出端口转发出去。
• 丢弃：是如果收到数据帧的目的MAC地址能够在转发表中查询到，而对应的出端口与收到报文的端口是同一个端口时，该数据帧被丢弃。
• 泛洪：是当收到数据帧的目的MAC地址是单播MAC地址，但在转发表中查询不到，或者收到数据帧的目的MAC地址是组播或者广播MAC地址时，数据帧向除了输入端口外的其他端口复制并且发送。

交换机的交换模式

交换机有快速转发、存储转发和分段过滤三种交换模式。在快速转发模式下，交换机接收到目的地址即开始转发过程，交换机不检测错误，直接转发数据帧，延迟小。在存储转发模式下，交换机接收完整的数据帧后才开始转发过程，交换机检测错误，一旦发现错误数据包将会丢弃，数据交换延迟大，并且延迟的大小取决于数据帧的长度。在分段过滤模式下，交换机接收数据包的前64B后，根据帧头信息查表转发。

ARP 及 Proxy ARP

地址解析协议ARP是用来将IP地址映射为正确的MAC地址。ARP表项可以分为动态和静态两种类型。动态ARP是利用ARP广播报文，动态执行并自动进行IP地址到以太网MAC地址的解析，无需手动添加。静态ARP是建立IP地址和MAC地址之间固定的映射关系，在主机和路由器上不能动态调整此映射关系，需要手动添加。设备上有一个ARP高速缓存，用来存放IP地址到MAC地址的映射表，利用ARP请求和应答报文刷新映射表，以便能正确地把三层数据包封装成二层数据帧，达到快速封装数据帧、正确转发数据的目的。

Proxy ARP为代理ARP，当ARP请求是从一台主机发出，用以解析处于同一逻辑三层网络却不在同一物理网段上的另一台主机的硬件地址时，连接它们的具有代理ARP功能的设备就可以应答该请求，使得处于不同物理网段的主机可以正常进行通信。

虚拟局域网 VLAN

虚拟局域网VLAN是一种通过将局域网内的设备逻辑而非物理地划分成一个个网段，从而实现虚拟工作组的技术。VLAN将一个物理的LAN在逻辑上划分成多个广播域。VLAN内的主机间可以直接进行通信，而VLAN间不能互通。如果需要不同VLAN间的主机互通，就必须由路由设备进行转发。VLAN技术在以太网帧的基础上增加了VLAN头，用VLAN ID（0—4095）把用户划分为更小的工作组，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性，且无须被放置在同一个物理空间里。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

VLAN 划分方式

VLAN的划分方式也可以理解为VLAN的类型，包括：

• 基于端口方式：交换机的每个端口配置端口默认VLAN，如果收到的是Untagged帧，
  则VLAN ID的取值为PVID。
• 基于MAC地址方式：配置好MAC地址和VLAN ID的映射关系表，如果收到的是
  Untagged帧，则依据该表添加VLAN ID。
• 基于协议方式：配置好以太网帧中的协议域和VLAN ID的映射关系表，如果收到的是
  Untagged帧，则依据该表添加VLAN ID。
• 基于子网方式：根据报文中的IP地址信息，确定添加的VLAN ID。
• 基于策略方式：安全性很高，可以基于MAC地址+IP地址、MAC地址+IP地址+接口。
  成功划分VLAN后，可以达到禁止用户改变IP地址或者MAC地址的目的。

VLAN 端口类型

VLAN技术的出现，使得交换网络中存在了带VLAN的以太帧和不带VLAN的以太帧。因此，相应地对链路做了区分，分为接入链路和干道链路。

1. 接入链路（Access Link）：连接用户主机和交换机的链路为接入链路。接入链路上通过的帧为不带Tag的以太网帧。
2. 干道链路（Trunk Link）：连接交换机和交换机的链路为干道链路。干道链路上通过的帧一般为带Tag的VLAN帧，也允许通过不带Tag的以太网帧。

基于对VLAN标签不同的处理方式，对以太网交换机的端口做了区分，可以分为3类：

• 接入端口（Access Port）：Access端口是交换机用来连接用户主机的端口，它只能连接接入链路。在同一时刻，Access端口只能归属于一个VLAN，只允许一个VLAN帧通过。Access端口接收到的都是Untagged帧，接收帧时，给帧加上Tag标记。当接收到带
  Tag报文时，如果VLAN ID跟默认VLAN ID相同，则接收该报文。如果跟默认VLAN ID不同，则丢弃该报文。发送帧时，将帧中的Tag标记剥离后再发送。
• 干道端口（Trunk Port）：Trunk端口是交换机用来和其他交换机连接的端口。干道端口允许多个VLAN帧（带Tag标记）通过。在接收帧时，如果没有Tag，则标记上该端口的默认VLAN ID；如果有Tag，则判断该干道端口是否允许该VLAN帧进入，如果不允许
  进入，则丢弃该帧。在发送帧时，如果VLAN ID跟默认VLAN ID相同，则剥离VLAN；如果跟默认VLAN ID不同，则直接发送帧。
• 混合端口（Hybrid Port）：混合端口是交换机上既可以连接用户主机，也可以连接其他交换机的端口。它允许多个VLAN帧通过。在接收帧时，如果没有Tag，则标记上混合端口的默认VLAN ID；如果有Tag，则判断该混合端口是否允许该VLAN帧进入，允许则
  进行下一步处理，如果不允许进入，则丢弃该帧。在发送帧时，交换机判断VLAN在本端口的属性是Untag还是Tag。如果是Untag，则先剥离帧的VLAN Tag后再发送；如果是Tag，则直接发送帧。

DHCP 技术

DHCP 概念

动态主机配置协议DHCP的作用是为局域网中每台计算机自动分配TCP/IP协议的信息，包括IP地址、子网掩码、网关及DNS服务器等。使用DHCP协议时，终端主机无需配置，网络维护方便。

DHCP 工作过程

DHCP协议采用客户端/服务器体系结构，客户端靠发送广播的方式发现信息来寻找DHCP服务器，即向地址255.255.255.255发送特定的广播信息，服务器收到请求后进行响应。而路由器默认情况下是隔离广播域的，对此类报文不予处理，因此，DHCP的组网方式
分为同网段和不同网段两种方式。当DHCP服务器和客户机不在同一个子网时，充当客户主机默认网关的路由器必须将广播包发送到DHCP所在的子网，即DHCP中继。标准的DHCP中继功能比较简单，只是重新封装、续传DHCP报文。

DHCP分配方式

DHCP服务器支持的地址分配方式包括以下3种：

• 手工分配
  由管理员为少数特定的DHCP客户端静态绑定固定的IP地址。通过DHCP服务器将所绑
  定的固定IP地址分配给DHCP客户端。此地址永久被该客户端使用，其他主机无法使用。
• 自动分配
  DHCP服务器为DHCP客户端动态分配租期为无限长的IP地址。只有客户端释放该地址
  后，该地址才能被分配给其他客户端使用。
• 动态分配
  DHCP服务器为DHCP客户端分配具有一定有效期的IP地址。如果客户端没有及时续约，
  到达使用期限后，此地址可能会被其他客户端使用。绝大多数客户端得到的都是这种动态
  分配的地址。

DHCP服务器为DHCP客户端分配IP地址时，采用的基本原则是尽可能地为客户端分配原来使用的IP地址。它采用以下顺序工作DHCP服务器数据库中与DHCP客户端的MAC地址静态绑定的IP地址DHCP客户端曾经使用过的地址最先找到可用的IP地址。如果以上均未找到可用的IP地址，则依次查询超过租期、发生冲突的IP地址。如果找到则进行分配，否则报告错误。

实战案例——使用模拟器构建局域网络

学习目标

• 掌握网络设计方法，提出局域网络的解决方案。
• 综合运用路由、VLAN技术。
• 综合运用网络配置方式，实现局域网络互连互通。

案例目标

（1）通过组网设计，掌握小型网络的组建、路由的设计，对小型网络系统进行分析，提出建网解决方案。
（2）综合运用路由、VLAN的相关技术。
（3）综合运用VLAN创建、Access和Trunk接口配置、VLAN间路由配置、DHCP地址池配置，以及动态路由配置，实现小型网络的互连互通。

案例分析

架构分析

（1）需求分析
本实验的目的在于建立小型局域网。由于公司由不同部门组成，并分布在不同地点，因此需要划分不同网络实现互联互通。设计以下网络：两个部门各使用一台交换机连接，然后连接到总交换机，再通过路由器与外网以及其他部门网络相连。为了控制网络上的广播风暴，增加网络的安全性，在交换机上需要设置VLAN，在路由器与交换机之间需要设置动态路由OSPF协议。
（2）环境要求
配置网卡的计算机，华为eNSP模拟软件。

规划拓扑

（1）拓扑描述
地点1包括部门1和部门2；地点2包括部门3。

部门1网络为子网3：172.16.3.0/24，对应VLAN3。

部门2网络为子网9：172.16.9.0/24，对应VLAN9。

部门1、部门2的计算机分别通过交换机S1、S2接入，然后通过总交换机S3互连。
S3连接路由器R1，R1通过R2与地点2的部门3网络子网5：10.0.5.0/24相连。

（2）拓扑图

注意：路由器使用AR2220。

小型局域网拓扑图如右图所示。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HxWVDq0f-1683772985179)(https://gu-images.obs.cn-north-4.myhuaweicloud.com/gu-images/Typora-images/image-20230505104321717.png)]

案例实施

学习目标

配置过程说明

（1）交换机
S1：需要创建vlan、配置access和trunk接口、并将相应接口加入对应vlan3中。

S2：需要创建vlan、配置access和trunk接口、并将相应接口加入对应vlan9中。

S3：需要创建vlan、配置access和trunk接口、配置vlanif 3和vlanif 9接口及其IP地址，创建vlan1002，并配置vlanif 1002接口及其IP地址192.168.2.1/24。

S4：需要创建vlan、配置access和trunk接口、配置vlanif 105接口及其IP地址，创建vlan1004，并配置vlanif 1004接口及其IP地址192.168.4.1/24。

（2）路由器
R1：配置各接口IP地址、配置OSPF协议。

R2：配置各接口IP地址、配置OSPF协议。

配置各个设备

（1）S1配置步骤

<Huawei> system-view
[Huawei] sysname S1
[S1] vlan batch 3 9 1002
[S1] interface GigabitEthernet 0/0/3
[S1-GigabitEthernet0/0/3] port link-type access
[S1-GigabitEthernet0/0/3] port default vlan 3
[S1-GigabitEthernet0/0/3] quit
[S1] interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1] port link-type trunk
[S1-GigabitEthernet0/0/1] port trunk allow-pass vlan 3 9 1002

（2）S2配置步骤

<Huawei> system-view
[Huawei] sysname S2
[S2] vlan batch 3 9 1002
[S2] interface GigabitEthernet 0/0/3
[S2-GigabitEthernet0/0/3] port link-type access
[S2-GigabitEthernet0/0/3] port default vlan 9
[S2-GigabitEthernet0/0/3] quit
[S2] interface GigabitEthernet 0/0/1
[S2-GigabitEthernet0/0/1] port link-type trunk
[S2-GigabitEthernet0/0/1] port trunk allow-pass vlan 3 9 1002

（3）S3配置步骤

<Huawei> system-view
[Huawei] sysname S3
[S3] vlan batch 3 9 1002
[S3] interface GigabitEthernet 0/0/1
[S3-GigabitEthernet0/0/1] port link-type trunk
[S3-GigabitEthernet0/0/1] port trunk allow-pass vlan 3 9 1002
[S3-GigabitEthernet0/0/1] interface GigabitEthernet 0/0/2
[S3-GigabitEthernet0/0/2] port link-type trunk
[S3-GigabitEthernet0/0/2] port trunk allow-pass vlan 3 9 1002
[S3-GigabitEthernet0/0/2] interface GigabitEthernet 0/0/3
[S3-GigabitEthernet0/0/3] port link-type access
[S3-GigabitEthernet0/0/3] port default vlan 1002
[S3-GigabitEthernet0/0/3] quit

[S3] dhcp enable
[S3] interface Vlanif 3
[S3-Vlanif3] ip address 172.16.3.1 24
[S3-Vlanif3] interface Vlanif 9
[S3-Vlanif9] ip address 172.16.9.1 24
[S3-Vlanif9] dhcp select global
[S3-Vlanif9] interface Vlanif 1002
[S3-Vlanif1002] ip address 192.168.2.1 24
[S3-Vlanif1002] quit

[S3] ospf 1
[S3-ospf-1] area 0
[S3-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[S3-ospf-1-area-0.0.0.0] network 172.16.3.0 0.0.0.255
[S3-ospf-1-area-0.0.0.0] network 172.16.9.0 0.0.0.255
[S3-ospf-1-area-0.0.0.0] quit
[S3-ospf-1] quit
[S3]ip pool vlan9
[S3-ip-pool-vlan9] gateway-list 172.16.9.1
[S3-ip-pool-vlan9] network 172.16.9.0 mask 255.255.255.0
[S3-ip-pool-vlan9] lease day 3
[S3-ip-pool-vlan9] dns-list 8.8.8.8

（4）S4配置步骤

<Huawei>system-view
[Huawei]sysname S4
[S4]vlan batch 105 1004
[S4]interface GigabitEthernet 0/0/1
[S4-GigabitEthernet0/0/1]port link-type access
[S4-GigabitEthernet0/0/1]port default vlan 1004
[S4-GigabitEthernet0/0/1]quit
[S4]interface GigabitEthernet 0/0/2
[S4-GigabitEthernet0/0/2]port link-type access
[S4-GigabitEthernet0/0/2]port default vlan 105
[S4-GigabitEthernet0/0/2]quit

[S4]interface Vlanif 1004
[S4-Vlanif1004]ip address 192.168.4.1 24
[S4-Vlanif1004]quit
[S4]interface Vlanif 105
[S4-Vlanif105]ip address 10.0.5.1 24
[S4]ospf 1
[S4-ospf-1]area 0
[S4-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
[S4-ospf-1-area-0.0.0.0]network 10.0.5.0 0.0.0.255

（5）R1配置步骤

<Huawei>sys
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.2.2 24
[R1-GigabitEthernet0/0/1]quit
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.3.2 24
[R1-GigabitEthernet0/0/0]quit
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255

（6）R2配置步骤

<Huawei>sys
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip address 192.168.4.2 24
[R2-GigabitEthernet0/0/1]quit
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.3.1 24
[R2-GigabitEthernet0/0/0]quit
[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255

查看路由表

（1）查看S3交换机路由表，可以查看到通过OSPF动态学习到的路由策略。

<S3> display ip routing-table
Route Flags: R - relay, D - download to fib
Routing Tables: Public
Destinations : 11 Routes : 11
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.0.5.0/24 OSPF 10 4 D 192.168.2.2 Vlanif1002
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
172.16.3.0/24 Direct 0 0 D 172.16.3.1 Vlanif3
172.16.3.1/32 Direct 0 0 D 127.0.0.1 Vlanif3
172.16.9.0/24 Direct 0 0 D 172.16.9.1 Vlanif9
172.16.9.1/32 Direct 0 0 D 127.0.0.1 Vlanif9
192.168.2.0/24 Direct 0 0 D 192.168.2.1 Vlanif1002
192.168.2.1/32 Direct 0 0 D 127.0.0.1 Vlanif1002
192.168.3.0/24 OSPF 10 2 D 192.168.2.2 Vlanif1002
192.168.4.0/24 OSPF 10 3 D 192.168.2.2 Vlanif1002

（2）查看R1路由器路由表，可以查看到通过OSPF动态学习的路由策略。

<R1>display ip routing-table
Route Flags: R - relay, D - download to fib
Routing Tables: Public
Destinations : 15 Routes : 15
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 RD 192.168.3.1 GigabitEthernet0/0/0
10.0.5.0/24 OSPF 10 3 D 192.168.3.1 GigabitEthernet0/0/0
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
172.16.3.0/24 OSPF 10 2 D 192.168.2.1 GigabitEthernet0/0/1
172.16.9.0/24 OSPF 10 2 D 192.168.2.1 GigabitEthernet0/0/1
192.168.2.0/24 Direct 0 0 D 192.168.2.2 GigabitEthernet0/0/1
192.168.2.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1
192.168.2.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1
192.168.3.0/24 Direct 0 0 D 192.168.3.2 GigabitEthernet0/0/0
192.168.3.2/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0
192.168.3.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0
192.168.4.0/24 OSPF 10 2 D 192.168.3.1 GigabitEthernet0/0/0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0

（4）查看S4交换机路由表，可以查看到通过OSPF动态学习到的路由策略。

<S4>dis ip rout
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 10 Routes : 10
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.0.5.0/24 Direct 0 0 D 10.0.5.1 Vlanif105
10.0.5.1/32 Direct 0 0 D 127.0.0.1 Vlanif105
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
172.16.3.0/24 OSPF 10 4 D 192.168.4.2 Vlanif1004
172.16.9.0/24 OSPF 10 4 D 192.168.4.2 Vlanif1004
192.168.2.0/24 OSPF 10 3 D 192.168.4.2 Vlanif1004
192.168.3.0/24 OSPF 10 2 D 192.168.4.2 Vlanif1004
192.168.4.0/24 Direct 0 0 D 192.168.4.1 Vlanif1004

配置PC地址

4. 配置PC地址
   （1）配置PC1地址配置PC1地址为172.16.3.2/24，网关为172.16.3.1。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7ztX7eO1-1683772985180)(https://gu-images.obs.cn-north-4.myhuaweicloud.com/gu-images/Typora-images/image-20230505111335719.png)]

（2）配置PC2地址配置PC2地址为DHCP自动获取IP地址，如图所示。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5JoG2LRD-1683772985181)(https://gu-images.obs.cn-north-4.myhuaweicloud.com/gu-images/Typora-images/image-20230505111445585.png)]

通过命令行输入命令可查看当前IP地址。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xnhfgcSg-1683772985181)(https://gu-images.obs.cn-north-4.myhuaweicloud.com/gu-images/Typora-images/image-20230505111534360.png)]

（3）配置PC3地址配置PC3地址为10.0.5.2，网关为10.0.5.1。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9RrqyOV7-1683772985182)(https://gu-images.obs.cn-north-4.myhuaweicloud.com/gu-images/Typora-images/image-20230505111600792.png)]

网络连通性测试

5. 网络连通性测试
   （1）PC1连通测试打开PC1命令行模式，通过PING命令对PC2和PC3进行连通测试。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-u8YVcijR-1683772985183)(https://gu-images.obs.cn-north-4.myhuaweicloud.com/gu-images/Typora-images/image-20230505143631441.png)]

（2）PC3连通测试打开PC3命令行模式，通过PING命令对PC1和PC2进行连通测试，如图所示。