Hcia5、6、7天总结

最新推荐文章于 2024-10-11 09:42:24 发布

Runnin*

最新推荐文章于 2024-10-11 09:42:24 发布

阅读量769

点赞数

文章标签：网络

本文链接：https://blog.csdn.net/qq_45240770/article/details/126455720

版权

https://mubucm.com/doc/6nHD_mYPFRp

OSPF———开放式最短路径优先协议
- OSPF基于IP协议，协议号89
  - 1.开放式最短路径优先OSPF（Open Shortest Path First）是IETF组织开发的一个基于链路状态的内部网关协议（Interior Gateway Protocol）。
  - 2.OSPF作为基于链路状态的协议，具有收敛快，路由无环、可扩展等优点。
  - 3.OSPFv2基于IPV4，扩展性是基于LSA的扩展。
  - 4.基于IP协议，可靠性得不到保证，所以需要自身实现确认机制，认证机制。
- 概念
  - IGP（AS内部使用的）
  - 链路状态型协议---LS----传递拓扑
  - 传递真实掩码（无类别的路由协议）
  - 优先级---10
  - COST===参考带宽/实际带宽（参考带宽默认100M）
  - OSPFv1、OSPFv2、OSPFv3
  - SPF
  - LSA（链路状态通告）
  - OSPF更新方式
    - 触发更新
    - 周期链路状态刷新--30min
  - 及其消耗路由器资源的协议
  - 通过组播的方式进行数据报文发送，224.0.0.5/224.0.0.6
  - OSPF是跨层封装
    - OSPF协议号---89
- OSPF特点
  - 适应范围广：支持各种规模的网络，最多可支持几百台路由器。
  - 快速收敛：在网络的拓扑结构发生变化后立即发送更新报文。
  - 无自环：由于OSPF根据收集到的链路状态用最短路径树算法计算路由，从算法本身保证了不会生成自环路由。
  - 区域划分：允许自治系统的网络被划分成域来管理。路由器链路状态数据库的减小降低了内存的消耗和CPU的负担；区域间传送路由信息的减少降低了网络带宽的占用。
  - 等价路由：支持到同一目的地址的多条等价路由。
  - 路由分级：使用4类不同的路由，按优先顺序来说分别是：区域内路由、区域间路由、第一类外部路、第二类外部路由。
  - 支持验证：支持基于接口和区域的报文验证，以保证报文交互和路由计算的安全性。
  - 组播发送：在某些类型的链路上以组播地址发送协议报文，减少对其他设备的干扰。
- OSPF区域化结构
  - OSPF为了适应大型网络环境，进行了结构化部署----区域划分
    - 1、骨干区域：被配置为area 0的区域
    - 2、普通区域：没有被配置为特殊区域的非骨干区域
    - 3、特殊区域：特殊配置为此区域
  - 区域划分规则：
    - 非骨干区域必须和骨干区域之间相连。
    - 骨干区域要保证连续性。
    - 区域的边界在路由器上，不同接口划分不同区域。
  - 区域数量不同，单区域OSPF网络/多区域OSPF网络
  - 区域划分特点
    - 区域内部传递拓扑信息，区域之间传递路由信息----经典的链路状态型协议的距离矢量特征。
  - 区域编号----方便管理
    - 由32位二进制组成，点分十进制表示，更多情况用阿拉伯数字表示
    - 区域0---骨干区域
    - 其他区域---非骨干区域
    - 单区域网络-----这个区域必须是骨干区域
    - 多区域网络-----呈星型拓扑，并且所有的非骨干区域必须与骨干区域直接相连
  - 区域划分是基于接口的。
  - 为什么要进行区域划分？
    - 限制LSA的传播范围
    - 减少LSA的数量
  - ABR：区域边界路由器
    - 一定至少有一个接口属于区域0，有若干个接口属于其他区域
- OSPF工作过程：5个数据包、7中状态机、2种关系、3种角色和3种表
  - 5种数据包
    - - 注：
        LSA（链路状态通告）：具体的拓扑或者路由信息；基于LSU包来进行传递；
        LSDB（链路状态数据库）：所有LSA的集合
      - hello包：用来周期保活、发现、建立OSPF邻居关系
        R-ID
        全网唯一
        32位二进制
        手工配置>环回接口IP>物理接口IP
        10s发送一次来确认邻居存在
        死亡时间===4*hello
      - DD包：数据库描述报文
        包含了本地所有邻居的目录信息
      - LSR报文：链路状态请求报文
        请求获取本地未知的链路信息
      - LSU报文：链路状态更新报文
        真正的包含了LSA信息
      - LSAck报文：链路状态确认报文
  - 7种状态机- - -以太网
    - down：关闭状态-----一旦启动OSPF协议，则发出hello包，进入下一状态
    - init：初始化状态----收到的hello包中存在本地的RID值，进入下一状态
    - 2-way：双向通讯状态------邻居关系建立的标志
    - 条件匹配：匹配成功进入下一阶段，匹配失败，则永远停留在邻居状态
      - exstart：预启动状态----使用未携带真实数据的DBD报文进行主从关系选举，RID大为主，优先进入下一阶段
      - exchange：转交换状态-----使用携带真实数据的DBD报文进行目录共享
      - loading：加载状态----邻居之间使用LSR/LSU/LSAck三种报文来获取完整的拓扑信息
      - full：转发状态----拓扑交换完成后进入该状态，标志着邻接关系的建立
  - 条件匹配
    也是一种选举，选择负责人
    - 为什么要有条件匹配
      - 在一个广播域中，若所有设备都建立了邻接关系，则将出现大量的重复更新
      - 条件匹配可以大量减少这些重复更新的数据报文，并且降低邻接关系数量
    - 设备名称
      - DR---指定路由器
      - BDR----备份指定路由器
      - DROther---其他路由器
    - DR与BDR是邻接关系、DR和DROther也是邻接关系、BDR与DROther是邻接关系、DROther与 DROther之间是邻居关系
    - OSPF建立邻接关系的条件
      - 点到点网络：直接建立邻接关系，不需要进行条件匹配
      - MA（以太网）网络：进行条件匹配，40s
    - 选举规则
      - 看接口优先级，0-255；优先级越大越优，默认为1
      - 看RID值，越大越优
    - 选举范围
      - 一个广播域，进行一次选举
      - 一台路由器，即可以是DR，也可以是BDR，更可以是DROther，这取决于从哪个广播域看待
    - 选举模式
      - 非抢占性的：一旦选举成功，不会因为新加入的设备而重新选举
  - 工作过程
    - - OSPF首先启动，路由器A向本地所有的启动了OSPF协议的直连接口，使用组播地址224.0.0.5发送hello 报文；hello中包含了全网唯一的本地的RID值；之后对端路由器B也将回复一个hello报文，该报文中若携带了A的RID值，则A与B建立邻居关系，并生成邻居表。
      - 邻居关系建立以后，邻居间会进行条件匹配，匹配失败则停留在邻居关系，匹配成功，则可以开始建立邻接关系。
      - 邻接之间共享DBD报文，将本地和邻接的DBD报文进行对比，进行主从关系选举，主优先进入下一状态。
      - 之后共享真正携带数据的DBD报文，将本地与邻接的DBD报文进行对比，查找本地没有的LSA信息，通过LSR来询问，对端使用LSU来回答具体的LSA信息，之后本地在使用LSAck报文进行确认。该过程完成之后，生成数据库表（LSDB）。
      - 最后，本地基于数据库表，启用SPF算法，计算到达所有未知网段的最短路径，然后将计算结果加载到本地的路由表中。此时收敛完成。
      - 收敛完成后，双方设备使用hello报文进行周期保活。并进行30min的周期更新。
    - 📌结构突变：
      - 1.新增网段----直连新增网段设备使用DBD告知所有邻居，之后收敛
      - 2.断开网段----直连断开网段设备使用DBD告知所有邻居
      - 3.无法沟通----保活时间到期后，断开邻居关系，删除通过该邻居学习到的所有LSA信息（路由表，但不会删除数据库）
- OSPF配置
  - 宣告的意义：将该宣告地址所属接口划分到相应区域；激活接口，使接口可以收发OSPF报文。
- OSPF扩展配置
  - 修改OSPF开销值
    - 通过修改参考带宽的方式来控制开销值
    - 一台设备进行修改，全OSPF网络设备都需要修改
      - [Huawei-ospf-1]bandwidth-reference 1000 //修改参考带宽为1000Mbps
  - 修改接口优先级
    - 人工的方式影响DR选举结果
      - [Huawei-GigabitEthernet0/0/0]ospf dr-priority 10 //修改接口优先级
      - reset ospf process //重启本机OSPF进程
      - [Huawei-GigabitEthernet0/0/0]ospf dr-priority 0 //代表该设备接口不参与选举
  - 缺省路由
    - 一般是在边界设备上配置
    - 非强制性下发：配置设备上必须有一条缺省路由
      - [Huawei-ospf-1]default-route-advertise //下发缺省
    - 强制性下发
      - [Huawei-ospf-1]default-route-advertise always
  - 静默接口（被动接口）
    - 只接收，但不发送hello报文，一般用于连接用户的接口
      - [Huawei-ospf-1]silent-interface GigabitEthernet 0/0/0 //静默接口为 GE0/0/0
  - 手工认证
    - 认证类型
      - 不认证---0
      - 明文认证---1
      - 密文认证---2
        [Huawei-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher
        123456
        如果要选择密文认证方式，两端需要使用相同规定key id
- RIP和ospf的区别
  - 1.根本区别
    - RIP（路由信息协议）是一种基于距离矢量算法的IGP
    - OSPF（开放最短路径优先）是一种基于链路状态算法的IGP
  - 2.RIP通过UDP报文进行路由信息的交换，端口号520 OSPF通用IP报文，协议号89
  - 3.工作核心不同：
    - RIP：数跳数，0到15，≥16，无穷大，目的网络或主机不可达
    - OSPF：计算链路的度量值，1到65535
  - 4.RIP存在路由环路可能性，OSPF采用SPF算法可有效避免路由环路
  - 5.缺省路由优先级：
    - RIP路由：100
    - OSPF内部路由：10
    - OSPF外部路由：150
  - 6.RIPV1不支持VLSM,V2支持；OSPF支持VLSM和无分类的编址CIDR
  - 7.向谁发：
    - RIP：仅和相邻路由器
    - OSPF：向本AS所有路由器
  - 8.发什么：
    - RIP：当前本路由器所知道的全部信息，即自己现在的路由表
    - OSPF：与本路由器相邻的所有路由器的链路状态
  - 9.什么时候发：
    - RIP：按固定的时间间隔（30S）
    - OSPF：只有当链路状态发生变化时，泛洪法
- 交换技术
  - - 垃圾流量问题：大量的广播帧会占用带宽资源和计算机处理速度。
    - 安全问题：计算机可以轻易收到不应该收到的数据帧，产生安全隐患。
VLAN---虚拟局域网
LAN----局域网
WAN---广域网
- 定义：即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接通信，从而将广播报文限制在一个VLAN内。
- 目的：把一个LAN划分成多个逻辑的VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文就被限制在一个VLAN内。
- 作用
  - （1）控制广播：每一个vlan都是一个独立的广播域，这样就减少了广播对网络宽带的占用，提高了网络传输效率，并且一个VLAN出现了广播风暴不会影响其他的VLAN。
  - （2）增强网络安全性：由于只能在同一VLAN内的端口之间交换数据，不同的VLAN的端口之间不能直接访问，因此vlan可以限制个别主机访问服务器等资源。所以，通过划分VLAN可以提高网络的安全性
  - （3）简化网络管理：一个VLAN可以根据内部职能，对象组成应用将不同地理位置的用户划分为一个逻辑网段，在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网间移动。利用VLAN技术，大大减轻了网络管理和维护工作的负担，降低了网络维护的费用。
- 分类
  - 静态VLAN：
    - 静态vlan也叫做基于端口的vlan，是目前最常见的vlan实现方式。静态vlan即明确指定交换机的端口属于哪个vlan，这需要网络管理员手动配置。当用户主机连接到交换机端口上时，就被发配到了对应的vlan中。
  - 动态vlan：
    - 动态vlan主要是基于MAC地址来分配，他把mac地址跟vlan对应，只要是这个mac地址的设备就属于这个vlan，而不是管我在哪个接口上
- 端口类型
  - Access端口
    - 一般在交换机与终端相连的接口
    - 功能
      - 收：若接收的数据包中没有VLAN标签，则向数据包中添加该接口的所属标签。若数据包中有标签，会丢弃数据包。
      - 发：若将要发出的数据包中VLAN标签值与该接口所属标签相同，则摘掉标签发出数据包，若标签值不相同，则丢弃。
  - Trunk端口---干道
    - 一般在交换机与交换机相连的接口
    - 功能
      - 放通多个vlan
  - Hybrid端口
- VLAN配置
  - VID：用来标识和区分不同VLAN的，范围是0-4095，但是0和4095作为保留，不能使用
  - 一、创建vlan
    - [SW1]vlan 2 //创建vlan 2
    - [SW1]vlan batch 2 to 100 //批量创建vlan2到vlan100
    - [SW1]vlan batch 2 5 10 20 //批量创建vlan2、vlan5、vlan10、vlan20
  - 二、将接口划入vlan
    - [SW1]interface GigabitEthernet 0/0/1 //进入接口
    - [SW1-GigabitEthernet0/0/1]port link-type access //更改接口模式为access接口
    - [SW1-GigabitEthernet0/0/1]port default vlan 2 //更改端口默认vlan为2，默认vlan原本为1
    - [SW1]display vlan //查询vlan详情
    - [SW1]display vlan summary //查询vlan简表
  - 三、配置Trunk干道
    - [SW1-GigabitEthernet0/0/5]port link-type trunk //更改接口类型为trunk接口
    - [SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3 //为trunk口放行vlan2与 vlan3
- 静态vlan的配置
  - VLAN的范围
  - vlan的标识：在以太网上实现中继，有两种封装类型一种是ISL(Cisco私有标准）还有一种是IEEE802.1Q
  - IEEE 802.1Q的帧格式
    - TPIP:包含了一个0x8100的固定值，这个特定的TPID值指明了该帧带有IEEE 802.1q的标识信息。
    - TCI：包含了3个元素
      - （1）priority:3位的用户优先级，IEEE 802.1q不使用该字段。
      - （2)CFI:一位的规范格式标识符，常用于以太网和令牌环网。在以太网中，CFI的值通常为0.
      - （3）VLAN ID:VLAN标识符，该字段唯一标识了帧所属的VLAN。VLAN ID可唯一地标识4096个VLAN,但VLAN 0 和 VLAN 4095是被保留的。
  - 交换机vlan接口类型及ENSP中配置vlan的一些基本命令
    - (1)access 接口类型接入模式：一般用于连接计算机或者路由的端口
      - 作用：数据进入交换机时打上vlan标签，出交换机脱掉vlan标签
    - (2)Trunk 中继：一般用于连接交换机与交换机的端口
      - 作用：用于识别可放行的VLAN标签
    - (3)hybrid 华为私有协议华为交换机接口上默认的接口类型
  - ENSP中配置vlan的一些基本命令：
    - ACCESS类型接口配置方法
      - dis vlan 可以看到vlan id号，和一个vlan中包含哪些接口
      - [sw1]vlan 10 //创建一个vlan id号为10
      - [sw1]vlan batch 10 20 //同时创建vlan 10 和 vlan 20
      - [Huawei] int e0/0/0 //进入接口模式
      - [Huawei -Ethernet0/0/0] port link-type access //定义二层端口为access模式
      - [Huawei -Ethernet0/0/0] port default vlan10 //将端口加入到vlan中
      - [Huawei-Ethernet0/0/0] undo shutdown //开启端口
      - [Huawei -Ethernet0/0/0] undo port default vlan //将端口从vlan删除
      - Huawei-Ethernet0/0/0lport link-tvpe hvbrid //将端口类型恢复成默认的
    - hvbrid模式查看当前端口模式、状态。同时将多个端口加入VLAN
      - [Huaweil port-group 1 //新增组1
      - [Huawei- port-group- 1] group-member Ethernet 0/0/1 to Ethernet 0/0/20 //组1的成员是e0/0/1到e0/0/20
      - [Huawei -port-qroup- 1]port link-type access //定义二层端口为access模式
      - [Huawei-port-group-1] port default vlan 30 //将端口加入到vlan中
    - Trunk类型端口配置方法：（可允许多个vlan通过，可以接受和发送多个vlan报文。）
      - [Huawei] int e0/0/0
      - [Huawei- Ethernet0/0/0]port link-type trunk //定义二层端口为trunk模式
      - [Huawei- Ethernet0/0/0]port trunk allow-pass vlan 10 20 30 //配置Trunk端口允许通过的vlan
      - [Huawei- Ethernet0/0/0] undo shutdown //开启端口
      - [Huawei- Ethernet0/0/0] undo port trunk allow-pass vlan 10 // 禁止Trunk传送某个VLAN的数据，删除这个 vlan
- VLAN间通讯
  - 多臂路由
    - 下联交换机接口一定要使用access
  - 单臂路由
    - 通过划分多个子接口的方式进行数据转发，子接口的个数由下联vlan数量决定
    - sub-interface，是路由器基于以太网接口所创建的一种逻辑接口，由物理接口ID+子接口ID组成
    - 下联交换机必须配置trunk口，放通多个vlan
  - 三层交换机
    - SVI接口------VLANIF接口----虚拟的逻辑的
    - 作用
      - 配置IP，并可以进行路由转发
      - 具备对VLAN标签的添加、剥离操作----本身具备
      - 具备ARP能力----本身也具备
  - 配置
    - - [R1]interface GigabitEthernet 0/0/0.1 //创建子接口，并进入子接口视图
      - [R1-GigabitEthernet0/0/0.1]ip address 192.168.2.254 24 //配置子接口IP地址
      - [R1-GigabitEthernet0/0/0.1]dot1q termination vid 2 //定义该子接口所管理的vlan
      - [R1-GigabitEthernet0/0/0.1]arp broadcast enable //开启子接口arp广播功能
    - - [Huawei]vlan batch 2 3 //批量创建vlan2和vlan3
      - [Huawei]interface GigabitEthernet 0/0/1
      - [Huawei-GigabitEthernet0/0/1] port link-type trunk
      - [Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3 [Huawei]interface GigabitEthernet 0/0/2
      - [Huawei-GigabitEthernet0/0/2] port link-type trunk
      - [Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan 2 to 3
      - [Core]interface Vlanif 2 //创建vlan2的接口空间；表明对vlan2的标签进行操作
      - [Core-Vlanif2]ip address 192.168.2.254 24
- 三层交换机参与下的三层通信流程
  - 网络拓扑
  - 连接逻辑图
  - 通信过程
ACL----访问控制列表
是一种策略
- ACL原理
  - 配置了ACL的网络设备，会根据事先设置好的报文匹配规则对经过该设备的流量进行匹配，然后对流量进行预定义的动作处理。
- ACL功能
  - 访问控制
    - 在设备上的流入或流出方向上，匹配流量，然后执行动作
    - 允许/拒绝
  - 抓取流量
    - ACL经常会跟其他协议共同使用，当与其他协议共同使用时，ACL一般仅作流量匹配，对应动作又其他协议完成
    - 防火墙、路由策略、QoS
- ACL的匹配规则
  - 自上而下，逐一匹配；匹配成功，则直接按该条目执行，不继续向下匹配。
  - 若都没有匹配上，则执行默认规则
    - 思科设备ACL访问控制列表末尾隐含条件：拒绝所有流量
    - 华为设备ACL访问控制列表末尾隐含条件：允许所有流量
- ACL分类
  - 基本ACL
    - 只能基于IP报文的源IP地址、报文分片和时间段来定义规则
    - 编号：2000-2999（规则编号：用于区分不同的规则列表）
  - 高级ACL
    - 基于IP报文的源IP、目的IP、协议字段、IP报文的优先级、报文长度、传输层的源目端口号等信息来规定
    - 编号：3000-3999
  - 二层ACL
    - 使用报文的以太网帧信息来定义规则
    - 编号：4000-4999
  - 用户自定义ACL
    - IP报文、TCP报文、ICMP、端口号、MAC
    - 编号：5000-5999
NAT----网络地址转换
- 处于边界的三层设备都会配置NAT技术
- NAT分类
  - 静态NAT
    - 一对一
    - 在私网边界路由器上建立并维护一张表（静态地址映射表）。记录了私有地址与公有地址的转换关系。
    - 工作过程
    - 配置
      - [Huawei]interface GigabitEthernet 0/0/0 //进入边界设备的对外接口
      - [Huawei-GigabitEthernet0/0/0]nat static global 10.1.1.1 inside 192.168.2.1 //配置静态地址转换。此公有IP地址不能是本路由器上正在使用的公有 IP地址。
      - 漂浮IP：这个IP必须是从运营商合法买到的公网IP地址，并且要与出接口地址处于同一网段。
      - [Huawei]display nat static //查询静态NAT转换表
  - 动态NAT
    - 一对多、多对多
    - 动态NAT，同一时间内，仅允许一个私网IP进行转换。只能等上一个流量回来后，下一个流量才能转换发出。（排队上网）
    - 配置
      - 一、创建公有地址池塘
        [Huawei]nat address-group 1 10.1.1.10 10.1.1.11 //创建一个公有地址组，组号为1，包括了2个IP地址，分别是10.1.1.10和10.1.1.11；必须是合法购买的公网IP；公网IP必须连续
      - 二、抓取流量--->匹配
        [Huawei]acl 2000
        [Huawei-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
      - 三、将ACL与公有地址组绑定并调用
        [Huawei-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no- pat
        [Huawei]display nat address-group
  - NAPT
    - 网络地址端口转换技术
    - 目前互联网上使用最广泛的技术
    - 解决了动态NAT需要排队的问题
    - 维护了一张源端口号与私网地址的映射关系表
    - 1-65535
      - EASY IP
    - 配置
      - 一、抓流量
        [Huawei]acl 2100 [Huawei-acl-basic-2100]rule permit source 192.168.2.0 0.0.0.255
      - 二、接口调用
        [Huawei-GigabitEthernet0/0/0]nat outbound 2100 //easy ip规定，默认使用该接口IP作为公有IP通讯
        [Huawei]display nat outbound //查看NAT配置信息
    - 多对多NAPT
      - 一、创建公有IP组
        [Huawei]nat address-group 2 10.1.1.10 10.1.1.20
      - 二、抓取流量
        [Huawei-acl-basic-2200]rule permit source 192.168.2.0 0.0.0.255
      - 三、调用
        [Huawei-GigabitEthernet0/0/0]nat outbound 2200 address-group 2
    - 端口映射
      - [Huawei-GigabitEthernet0/0/0]nat server protocol tcp global current- interface telnet inside 192.168.2.1 telnet
园区网组网
- 工程项目流程
  - 1. 对接甲方
  - 2. 设备安装
  - 3. 设备上架
  - 4. 连线
  - 5. 配置
    - 1. IP划分 2. 配置二层---交换 3. 配置三层---路由 4. 优化5. 调试---测试 6. 维护 7. 升级
  - 6. 交付和验收
- 园区网络分类
  - 从规模分
    - 大型园区网：终端用户数量上千
    - 中型园区网：终端用户数量过百
    - 小型园区网：终端用户数量不足百
  - 从服务对象分
    - 封闭园区网：仅内部人员使用
    - 开放园区网：允许外部人员使用
  - 从业务分
    - 单业务园区网：业务单一，网络架构简单
    - 多业务园区网：网络规模大，网络架构复杂
  - 从接入方式分
    - 有线园区：通过网络介质连接到设备
    - 无线园区：基于802.11协议部署
- 园区网络典型架构
  - 园区网结构相对（广域网、城域网）比较简单，通常推荐采用树型架构，容易部署和管理；同时可以进一步简化网络结构（简化为二层结构或一层），可扩展性强；此外，为保证网络可靠性，可以在网络关键位置采用冗余备份措施。
  - 树型网络架构通常采用分层结构，分为三个层次：
    - 核心层：是园区网骨干，是园区数据交换的核心，联接园区网的各个组成部分，如数据中心、管理中心、园区出口等
    - 汇聚层：处于园区网的中间层次，完成数据汇聚或交换的功能，可以提供一些关键的网络基本功能，如路由、QoS、安全等。
    - 接入层：为终端用户提供园区网接入功能，是园区网的边界。
  - 我们一般以三层为骨，连接各个功能区如出口区、数据中心区、网络管理区、XX用户区、分支园区等。这里面出口区一般是大多数园区都有的。
  - 分层树型架构的优点：
    - 层次化设计：核心层、汇聚层、接入层，每层功能清晰，架构稳定，易于扩展和维护。模块化设计：每个对应模块一个部门或功能、业务区域，部门或区域内部调整涉及范围小，定位问题容易。
    - 冗余性设计：双节点冗余性设计，适当的冗余性提高可靠性，过度的冗余不便于运行维护。对称性设计：网络的对称性便于业务部署，拓扑直观，便于协议设计和分析。
    - 从理论上讲，分层树型架构的层次可以任意多，但在大多数情况下，3个层次就足够了，这样，可以更好地控制网络规模和网络质量，同时也方便网络管理和维护。
  - 园区网络主要协议/技术
- 基本配置规范
  - 设备命名
    - 如果客户有规范或明确合理要求，则按照客户的规范或要求进行配置。如金融行业规范。
    - 如果客户没有规范或明确合理要求，可参考设备位置、网络位置、设备型号、设备编号等因素，在项目中制定统一的命名规范，如下所示：
  - 设备互联接口描述
    - 项目中所有
    - 涉及到可网管设备互联的端口必须配置端口描述
  - 登陆密码配置
    - 项目中所有可网管设备必须配置远程登陆密码
  - 系统时间配置
    - 项目中所有可网管设备必须重新设置正确的系统时间
      - 手工设置
      - 设置时间服务器
  - 二层交换机管理IP配置
    - 项目中可网管二交换机必须配置管理IP地址，供管理员远程管理设备所用
- IP地址及VLAN规划
  - IP地址分类
    - 用户IP地址
      - 设备管理地址
      - 二层设备与三层设备
      - 三层设备互联地址
  - VLAN分类
    - 同IP地址相对应：
      - 用户VLAN
      - 设备管理VLAN
        二层设备
      - 三层设备互联VLAN
        可选
  - 需要考虑的因素
    - 用户VLAN与设备管理VLAN分开(IP地址)
    - 为网络扩容进行可汇总的预留设计
    - IP地址与VLAN编号(其他相关因素)有一定的对照性