【25软考网工】第五章（11）【补充】网络互联设备

1. 网络互联设备总结

1.1. 中继器与集线器

1.1.1. 网络演进历史

• 互联距离限制的解决：最早网络通过网线连接，但传输距离限制为100米，超过后需要使用中继器（Repeater）进行信号放大延长传输距离。
• 终端接入需求增长：随着网络发展，终端设备增多，中继器只有2个接口无法满足需求，因此诞生了集线器（HUB）。
• 早期局域网架构：由集线器和中继器互联组成，仅支持内部访问，没有互联网出口。

1.1.2. 集线器

1.1.2.1. 集线器的工作原理

• 泛洪机制：从一个接口进入的数据，进行信号放大后从其他所有接口泛洪（广播）出去，但不包含进入的接口。
• 二层术语：二层网络习惯用"泛洪"（Flooding）来描述这种广播行为，三层网络则习惯用"广播"（Broadcast）。

1.1.2.2. 集线器的两大问题

• 广播风暴：
  • 形成原因：当多个集线器连接形成环路时，数据会无休止地在环路中循环转发。
  • 影响：导致CPU利用率100%，严重影响通信效率，必须通过断开环路解决。
  • 实验现象：在eNSP模拟器中，3个HUB形成环路后，发送一个ARP广播包会导致115万个广播包在短时间内产生。
• 数据扩散：
  • 安全威胁：所有连接设备都能收到其他设备间的通信数据，早期可通过抓包软件获取QQ账号密码等敏感信息。
  • 实验验证：PC1与PC3通信时，PC2也能捕获到全部ICMP报文，证明存在数据泄露风险。

1.1.2.3. 实验演示

• 拓扑搭建：使用eNSP模拟器搭建3个HUB的环形拓扑，连接2台PC进行通信测试。

1.1.2.3.1. 广播风暴现象：

• • 发送ping请求后，Wireshark捕获到大量ARP广播包
  • CPU利用率迅速达到100%，设备风扇高速运转

1.1.2.3.2. 数据扩散现象：

• • PC1与PC3通信时，PC2的抓包软件能捕获全部ICMP请求和应答报文
  • 验证了集线器环境下所有通信数据对所有连接设备可见

1.2. 网桥与交换机

1.2.1. 交换机工作原理

• 划时代意义：交换机通过构建专属信息交换通道，解决了集线器存在的信息泄露和数据扩散问题。例如张三和李四通信时，数据不会泄露给王五、王六等其他用户。
• 默认类型：若无特殊说明，交换机通常指二层以太网交换机（运行以太网协议），区别于FC、ATM等专用交换机。

1.2.1.1. 工作原理八步详解

• 核心三要素：包含MAC地址、对应接口号、所属VLAN信息。MAC表是计算机网络三大重要表之一（另两个是路由表和ARP表）。
• 注意：二层交换机主要是根据MAC地址进行转发，与IP地址无关。
• 初始状态：交换机刚启动时MAC地址表为空，通过自学习机制逐步建立。

• 数据封装：PC1发送给PC4时，以太网帧头包含源MAC(0050−5600−00010050-5600-00010050−5600−0001)和目的MAC(0050−5600−00040050-5600-00040050−5600−0004)，格式为：6字节目的MAC + 6字节源MAC + 2字节类型字段。

• 源地址学习：交换机会将帧头中的源MAC与接收接口(如GE0/0/1)绑定记录，默认VLAN为1。

• 目的MAC查询：若目的MAC无对应表项，则向除接收口外的所有接口泛洪(Flooding)。

• PC2，PC3丢弃，PC4收到
• • PC2及PC3收到数据后帧后将其丢弃，因为这些数据帧并非发送给自己；
  • PC4则收下数据帧，现在PC4要恢复数据给PC1

• 目标响应：只有目标PC4会处理数据，其他主机丢弃。回复时PC4封装源MAC(0050−5600−00040050-5600-00040050−5600−0004)和目的MAC(0050−5600−00010050-5600-00010050−5600−0001)的帧发给PC1.

• 表项完善：交换机学习PC4的MAC与接口GE0/0/4的绑定关系。

• 精准转发：后续通信直接通过MAC地址表查询数据帧的目的MAC地址，转发到出接口GE0/0/1，仅在PC1和PC4间建立专属通道。
• 核心原理：基于源MAC学习构建地址表，基于目的MAC进行精准转发。前期少量泛洪后，通信将完全隔离。

1.2.1.2. 例题:交换机二层转发表占满原因

• 关键现象：MAC地址表清空后短时间再次被占满，属于典型异常。
• 选项分析：
• • A(内存故障)：与MAC表容量无直接关联
  • B(广播风暴)：会导致MAC表震荡而非持续占满
  • C(设备过多)：实际场景难以达到交换机容量上限(普通交换机支持3.2万条目)
  • D(虚假MAC攻击)：攻击者伪造大量MAC地址快速耗尽表空间，是拒绝服务攻击手段
• 攻击示例：Kali Linux系统通过macof命令可实施MAC泛洪攻击
• 扩展考点：该知识点在网络规划设计师考试中曾以简答题形式出现，要求列举二层攻击类型
• 正确答案：D

1.3. 3. 路由器与三层交换机

1.3.1. 路由器

• 问题对应解决方法
  • 数据扩散-----MAC地址表（二层交换机）
  • 广播风暴-----划分VLAN（路由器、三层交换机、防火墙）
• 跨VLAN通信原理: 路由器通过不同端口，连接不同VLAN（如VLAN10和VLAN20），实现跨VLAN通信。例如端口5连接VLAN10，端口8连接VLAN20时，需通过路由器才能实现通信。
• 三层设备类型: 除路由器外，三层交换机和防火墙也属于三层设备，均可实现跨VLAN通信。
• 端口隔离技术: 在同一个VLAN内，若需禁止端口间通信（如端口5和端口6），可使用端口隔离命令port-isolate enable。

1.3.2. 三层交换机

• 本质结构: 由交换模块（二层交换机）和路由模块（路由器）集成，通过内部背板互联。例如VLAN10和VLAN20通过VLANif接口对接实现通信。
• 工作特点: 交换模块处理同VLAN通信，路由模块处理跨VLAN通信，数据转发通过硬件ASIC芯片实现，性能优于软件查表的路由器。

1.3.3. 例题:隔离广播风暴设备

• 解题关键: 默认情况下二层交换机所有端口属于VLAN1，不能隔离广播域；路由器每个接口独立广播域。网桥和二层交换机类似
• 易错点: 若考虑三层交换机或划分VLAN的二层交换机会误选D，但题目未说明特殊配置时应按默认情况处理。
• 答案: C（路由器）

1.3.4. 例题:VLAN间通信设备

• 核心考点: VLAN间通信必须通过三层设备实现。
• 排除法: 二层交换机和网桥（本质是两端口交换机）只能处理同VLAN通信，中继器是物理层设备。
• 答案: C（路由器）

1.3.5. 路由器与三层交换机区别

• 核心差异: 应用场景不同导致功能/性能分化。路由器主要用于网络出口（如连接Internet），三层交换机用于局域网内部组网。
• 功能对比:
  • 路由器特有: NAT、PPPoE拨号、SDH接口等广域网功能
  • 交换机特有: VLAN划分、STP生成树、堆叠等局域网功能
• 性能特点: 交换机基于ASIC芯片转发（类似"十万小学生并行计算"），路由器多依赖CPU处理（类似"博士全能但串行"）

1.3.6. 典型园区网拓扑结构

• 层级划分: 接入层（终端连接）→汇聚层（VLAN聚合）→核心层（高速转发）→出口层（路由器连接外网）
• 设备数量比: 园区网内部交换机可达数千台，出口路由器通常1-4台，体现"交换机为主，路由器为辅"的组网特点

1.3.7. 园区网主要技术应用

• 出口层技术: NAT、OSPF、PPPoE等（路由器实现）
• 核心/汇聚层: OSPF、堆叠、链路聚合（三层交换机实现）
• 接入层: VLAN、STP、端口隔离（二层交换机实现）
• 典型配置差异: 99%交换机不支持NAT，而所有路由器均支持

1.3.8. 路由器与三层交换机对比小结

• 应用场景：路由器主要用于网络出口、骨干网，而三层交换机主要用在局域园区网、城域网
• 协议支持: 路由器是多面手（支持以太网/SDH/ATM等），交换机是专用设备（如纯以太网交换机）
• 成本差异: 同档次设备中路由器成本更高（企业级路由器通常比交换机贵30%-50%）
• 性能对比: 常规企业级路由器的包转发性能低于同价位三层交换机，但骨干网核心路由器（百万级设备）除外

1.4. 多层交换机/网关设备

1.4.1. 网关

• 定义：工作在传输层之上的网络互联设备，用于连接异构网络
• 核心功能：
  • 异构互联：连接不同协议的子网（如以太网与ATM网络）
  • 高层协议转换：对不兼容的高层协议（应用层/表示层等）进行转换
  • 设备兼容：实现异构设备间通信，需处理传输层至应用层的协议翻译和转换
• 典型类型：
  • 协议网关：路由器（支持多网络接口协议转换）
  • 应用网关：数据中台（不同数据格式翻译系统）
  • 安全网关：防火墙（协议级到应用级的过滤防护）

1.4.2. 多层交换机/多业务交换机

硬件特性：

• 模块化设计：支持插入防火墙、入侵检测、负载均衡等业务板卡

厂商差异：

• 华三硬件板卡最丰富（控标优势）
• 华为采用"随板"技术（如随板AC、随板BRAS）

应用现状：

• 使用局限：实际项目配置较少（专业设备性能更优）
• 特殊厂商：迪普（华三系厂商）主推多业务交换机方案

典型板卡：

• 安全类：防火墙板卡、IPS业务模块
• 网络类：Bras业务模块、MPLS功能授权
• 管理类：NetStream业务模块、NQA功能授权

1.4.3. SDN可编程交换机

• 架构变革：
  • 传统架构：每台设备独立具备控制面与转发面
  • SDN架构：控制面集中到SDN控制器，设备仅保留转发功能
• 实际应用：
  • 混合模式：Underlay+Overlay组网（保留传统功能基础上优化）
  • 极端理念：早期SDN要求设备完全放弃控制功能
• 相关技术：
  • NFV：通过网络功能虚拟化实现软件定义功能
  • 商用现状：中低端交换机已普遍支持SDN功能

1.5. 网络演进总结

• 发展阶段：
  • 第一代：集线器（ASIC芯片，共享式局域网）
  • 第二代：二层交换机（MAC地址转发，解决广播风暴）
  • 第三代：三层交换机（集成路由功能）
  • 第四代：多业务交换机（ASIC+多核CPU混合架构）
  • 第五代：SDN交换机（可编程硬件）
• 典型设备：
  • 思科：2960（二层）、3750X（三层）、6800（SDN）
  • 华为：S5700系列（二/三层）、12700E（SDN）
• 技术演进：
  • 从物理层信号放大到智能流量调度
  • 从固定功能到软件可编程
  • 从单一设备到集中控制架构

2. 知识小结