數(shù)字化網(wǎng)絡(luò)化智能技術(shù)：生產(chǎn)系統(tǒng)網(wǎng)絡(luò)與通信 課件匯 劉建偉 第5-8章 生產(chǎn)系統(tǒng)網(wǎng)絡(luò)規(guī)劃與設(shè)計- 智能制造網(wǎng)絡(luò)集成案例

第5章生產(chǎn)系統(tǒng)網(wǎng)絡(luò)規(guī)劃與設(shè)計1生產(chǎn)系統(tǒng)網(wǎng)絡(luò)需求1.1生產(chǎn)系統(tǒng)網(wǎng)絡(luò)特點在如今工業(yè)4.0理念不斷推進的浪潮下，OT和IT開始整合不斷打通信息孤島，要求設(shè)備、傳感器、各種智能制造IT系統(tǒng)間普遍流暢的互聯(lián)，迫使網(wǎng)絡(luò)和其相關(guān)設(shè)備遍布生產(chǎn)的每個環(huán)節(jié)與角落。在這個浪潮之中，網(wǎng)絡(luò)所擔任的角色越發(fā)重要的同時，其需要滿足的要求也愈發(fā)復(fù)雜。網(wǎng)絡(luò)作為現(xiàn)在生產(chǎn)系統(tǒng)中最重要的基礎(chǔ)設(shè)施之一需要具有數(shù)據(jù)隔離、訪問控制、高可靠性、低時延等特性，從而滿足在工業(yè)4.0背景下設(shè)備與相關(guān)數(shù)據(jù)的安全以及IT和OT系統(tǒng)間的高度融合，實現(xiàn)對生產(chǎn)更為高效和精細的控制與規(guī)劃。1生產(chǎn)系統(tǒng)網(wǎng)絡(luò)需求1.2生產(chǎn)系統(tǒng)網(wǎng)絡(luò)需求盡管不同行業(yè)的生產(chǎn)系統(tǒng)網(wǎng)絡(luò)其流程、環(huán)境、規(guī)模各有不同，但是其對于網(wǎng)絡(luò)的關(guān)鍵指標都有類似的需求。（1）可靠性：由于網(wǎng)絡(luò)承擔著IT與OT系統(tǒng)間溝通的橋梁，每時每刻都在不斷地傳輸設(shè)備與傳感器的數(shù)據(jù)，所以一旦網(wǎng)絡(luò)中斷將會嚴重影響生產(chǎn)效率，因此必須保證網(wǎng)絡(luò)具有高度的可靠性。其可靠性需要在兩方面進行考慮：一方面是在網(wǎng)絡(luò)設(shè)計時需要考慮使用鏈路冗余、熱備份等技術(shù)增加網(wǎng)絡(luò)的可靠性；另一方面是由于生產(chǎn)環(huán)境可能較為惡劣，存在揚塵或者復(fù)雜的電磁環(huán)境，所以在設(shè)備選型時需要依據(jù)現(xiàn)場實際環(huán)境選擇工業(yè)級網(wǎng)絡(luò)設(shè)備降低設(shè)備故障概率。1生產(chǎn)系統(tǒng)網(wǎng)絡(luò)需求1.2生產(chǎn)系統(tǒng)網(wǎng)絡(luò)需求（2）安全性：在OT系統(tǒng)全面接入IT系統(tǒng)后，以往孤立的設(shè)備現(xiàn)在全部暴露在生產(chǎn)系統(tǒng)網(wǎng)絡(luò)之中。此時網(wǎng)絡(luò)中的惡意用戶或者程序?qū)⒂锌赡軐嶋H設(shè)備產(chǎn)生影響，甚至導(dǎo)致重大安全事故，因此網(wǎng)絡(luò)的安全性也變得更為重要。在進行網(wǎng)絡(luò)設(shè)計時需要將關(guān)鍵設(shè)備和數(shù)據(jù)進行保護或者隔離。2生產(chǎn)系統(tǒng)網(wǎng)絡(luò)設(shè)計2.1生產(chǎn)系統(tǒng)網(wǎng)絡(luò)設(shè)計方法在構(gòu)建高效、可靠和可擴展的生產(chǎn)系統(tǒng)網(wǎng)絡(luò)過程中，需要運用一系列方法和工具來確保所設(shè)計的網(wǎng)絡(luò)能夠滿足特定的場景需求，并達到網(wǎng)絡(luò)設(shè)計標準要求。網(wǎng)絡(luò)設(shè)計可采用模塊化和層次化的設(shè)計方法。2生產(chǎn)系統(tǒng)網(wǎng)絡(luò)設(shè)計模塊化設(shè)計方法將大型網(wǎng)絡(luò)劃分為多個小型的子網(wǎng)或模塊。每個模塊可以完成特定的功能，并且模塊之間相對獨立，這樣可以簡化網(wǎng)絡(luò)管理，也容易隔離故障和模塊升級。2生產(chǎn)系統(tǒng)網(wǎng)絡(luò)設(shè)計層次化設(shè)計方法分層模型如OSI七層模型或TCP/IP四層模型,可將網(wǎng)絡(luò)分為接入層、匯聚層和核心層，每一層都有其特定功能。這樣的設(shè)計方法可以提高網(wǎng)絡(luò)的性能和安全，方便管理。在設(shè)計上，可采用自上而下或者自下而上的設(shè)計思路。2生產(chǎn)系統(tǒng)網(wǎng)絡(luò)設(shè)計自上而下的設(shè)計思路首先進行整體規(guī)劃，明確網(wǎng)絡(luò)的總體目標，然后進行高層架構(gòu)設(shè)計，最后選擇合適的硬件設(shè)備和軟件平臺，完善技術(shù)實現(xiàn)細節(jié)。這種設(shè)計方法需要較多的前期規(guī)劃和分析工作。2生產(chǎn)系統(tǒng)網(wǎng)絡(luò)設(shè)計自下而上的設(shè)計思路與自上而下相反，從現(xiàn)有的網(wǎng)絡(luò)設(shè)施和技術(shù)能力出發(fā)，逐步構(gòu)建網(wǎng)絡(luò)的高層設(shè)計。這種方法適合已有一定基礎(chǔ)設(shè)施，需要對現(xiàn)有網(wǎng)絡(luò)進行擴展或優(yōu)化的情況。2生產(chǎn)系統(tǒng)網(wǎng)絡(luò)設(shè)計2.2網(wǎng)絡(luò)拓撲類型網(wǎng)絡(luò)拓撲是網(wǎng)絡(luò)設(shè)計的基礎(chǔ)，它描述了網(wǎng)絡(luò)中設(shè)備的連接方式，決定了網(wǎng)絡(luò)的性能、成本和可擴展性。常見的拓撲類型包括總線形、星形、環(huán)形、樹形、網(wǎng)狀和混合型。2生產(chǎn)系統(tǒng)網(wǎng)絡(luò)設(shè)計總線型總線型拓撲中，所有節(jié)點通過一根主線進行通信。這種連接方式成本低，布線簡單，但缺點是出現(xiàn)故障后整個網(wǎng)絡(luò)都會收到影響，而且排查比較困難，因此主要應(yīng)用于早期的小型局域網(wǎng)。2生產(chǎn)系統(tǒng)網(wǎng)絡(luò)設(shè)計星型在星型拓撲中，每個節(jié)點都直接連接到一個中心節(jié)點，節(jié)點間通信也要通過這個中心節(jié)點進行轉(zhuǎn)接。這種結(jié)構(gòu)易于對故障進行定位和隔離，且新增或刪除節(jié)點對其他節(jié)點不會產(chǎn)生影響。星型拓撲結(jié)構(gòu)在企業(yè)局域網(wǎng)中較為常用。2生產(chǎn)系統(tǒng)網(wǎng)絡(luò)設(shè)計環(huán)形環(huán)形拓撲中，每個節(jié)點通過點對點連接形成一個閉環(huán)，數(shù)據(jù)沿著環(huán)路單向傳遞。這種結(jié)構(gòu)可以簡化路徑選擇，但單個節(jié)點的故障會影響整個環(huán)路。環(huán)形拓撲結(jié)構(gòu)目前已經(jīng)較少使用。2生產(chǎn)系統(tǒng)網(wǎng)絡(luò)設(shè)計樹形樹形拓撲是星型拓撲的擴展，多個星型網(wǎng)絡(luò)通過上層節(jié)點連接起來，形成層次結(jié)構(gòu)。便于管理和擴展，也便于故障隔離，但上層節(jié)點的故障會影響其下所有子節(jié)點。樹形結(jié)構(gòu)適用于大型企業(yè)多層級的網(wǎng)絡(luò)。2生產(chǎn)系統(tǒng)網(wǎng)絡(luò)設(shè)計網(wǎng)狀網(wǎng)狀拓撲中，每個節(jié)點都可能與其他多個節(jié)點直接相連，形成多條數(shù)據(jù)傳輸路徑。網(wǎng)絡(luò)的可靠性和容錯能力較強，但是這種結(jié)構(gòu)需要復(fù)雜的路由算法，配置管理較為復(fù)雜。網(wǎng)狀拓撲主要應(yīng)用于廣域網(wǎng)和高可用性需求的網(wǎng)絡(luò)。2生產(chǎn)系統(tǒng)網(wǎng)絡(luò)設(shè)計混合型在實際應(yīng)用中，通常會結(jié)合以上多種拓撲結(jié)構(gòu)，根據(jù)實際需求和環(huán)境進行靈活設(shè)計。選擇合適的拓撲結(jié)構(gòu)需要綜合考慮網(wǎng)絡(luò)的規(guī)模、可靠性、成本、可擴展性和管理便利性等因素。2生產(chǎn)系統(tǒng)網(wǎng)絡(luò)設(shè)計2.3網(wǎng)絡(luò)拓撲圖繪制網(wǎng)絡(luò)拓撲圖繪制主要包括以下步驟：11.確定目標與要求：明確網(wǎng)絡(luò)設(shè)計的目的和要求，如帶寬、冗余度、安全性等。22.選擇拓撲類型：根據(jù)網(wǎng)絡(luò)需求和環(huán)境限制，選擇合適的拓撲結(jié)構(gòu)。33.規(guī)劃設(shè)備布局：在圖中布置各個網(wǎng)絡(luò)設(shè)備的圖標，并安排在合理位置上。44.連接設(shè)備：使用線條連接各網(wǎng)絡(luò)設(shè)備，注意要區(qū)分不同類型的連接。55.添加標記信息：添加必要的說明，如設(shè)備名稱、IP地址、子網(wǎng)掩碼、VLAN信息等，確保圖的可讀性。66.檢查與優(yōu)化：檢查拓撲圖的準確性，必要時進行調(diào)整以優(yōu)化網(wǎng)絡(luò)設(shè)計。72生產(chǎn)系統(tǒng)網(wǎng)絡(luò)設(shè)計2.4網(wǎng)絡(luò)設(shè)計中需要考慮的問題1在設(shè)計生產(chǎn)系統(tǒng)網(wǎng)絡(luò)時，需要綜合考慮多種因素以確保系統(tǒng)的高效、穩(wěn)定和安全，主要包括以下幾點：21．冗余與可靠性：采用冗余鏈路和設(shè)備，確保關(guān)鍵網(wǎng)絡(luò)設(shè)備有備份或冗余機制，減少單點故障風(fēng)險。54．安全性：設(shè)計上應(yīng)考慮訪問控制列表、防火墻、數(shù)據(jù)加密等安全措施。43．性能優(yōu)化：要考慮帶寬分配、QoS策略以保證關(guān)鍵應(yīng)用的服務(wù)質(zhì)量。32．可擴展性：設(shè)計應(yīng)考慮易于未來擴展，適應(yīng)網(wǎng)絡(luò)規(guī)模增長。3虛擬局域網(wǎng)交換機作用交換機工作在在OSI模型的第二層，即數(shù)據(jù)鏈路層，交換機將網(wǎng)絡(luò)分割成多個沖突域。交換機的主要功能是進行MAC地址學(xué)習(xí)、轉(zhuǎn)發(fā)和過濾數(shù)據(jù)包。3虛擬局域網(wǎng)MAC地址表初始化交換機剛啟動時，會生成一張空的MAC地址表，該地址表用于保存連接到交換機的所有設(shè)備的位置，如圖5-1所示。圖5-1MAC地址表初始狀態(tài)3虛擬局域網(wǎng)MAC地址表學(xué)習(xí)PC1發(fā)送數(shù)據(jù)幀到PC2，交換機在MAC地址表中記錄發(fā)出數(shù)據(jù)幀中的源地址MAC_1及與之相連的端口F0/1，因為交換機不知道哪個接口連到目的站點，所以把該數(shù)據(jù)幀從所有其它端口發(fā)送出去，如圖5-2所示。圖5-2MAC地址表學(xué)習(xí)3虛擬局域網(wǎng)MAC地址表學(xué)習(xí)PC2、PC3、PC4發(fā)送數(shù)據(jù)幀，交換機把接收到的數(shù)據(jù)幀中的源地址與相應(yīng)的端口記錄在MAC地址表中，至此，交換機的MAC地址表學(xué)習(xí)完成，開始進行數(shù)據(jù)的轉(zhuǎn)發(fā)，如圖5-3所示。圖5-3MAC地址表學(xué)習(xí)完成3虛擬局域網(wǎng)轉(zhuǎn)發(fā)和過濾數(shù)據(jù)包當一個數(shù)據(jù)幀的目的地址已知時，該數(shù)據(jù)幀只會被轉(zhuǎn)發(fā)到該目的地址對應(yīng)的端口而不是所有端口。如PC1向PC2發(fā)送數(shù)據(jù)幀，PC2的MAC地址已經(jīng)在MAC地址表中，交換機只會將該幀轉(zhuǎn)發(fā)到F0/2端口，如圖5-4所示。如果發(fā)送的是廣播幀，交換機將把該數(shù)據(jù)幀從所有其它端口發(fā)送出去。圖5-4轉(zhuǎn)發(fā)和過濾數(shù)據(jù)包3虛擬局域網(wǎng)VLAN的概念VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是指將物理上處于同一局域網(wǎng)內(nèi)的設(shè)備從邏輯上劃分為不同網(wǎng)絡(luò)組的數(shù)據(jù)交換技術(shù)。VLAN的劃分不受網(wǎng)絡(luò)實際物理位置的限制，不同交換機的端口可以劃分到一個VLAN中，形成虛擬工作組。虛擬局域網(wǎng)可以限制廣播范圍，同一個VLAN內(nèi)的設(shè)備形成一個獨立的的廣播域，網(wǎng)絡(luò)中的廣播信息只能在一個VLAN內(nèi)部傳播，不會干擾到其他的VLAN。劃分VLAN后，屬于同一VLAN下的設(shè)備可以互相通信，屬于不同VLAN的設(shè)備無法直接通信。這種設(shè)置增加了網(wǎng)絡(luò)的安全和管理的靈活性。3虛擬局域網(wǎng)VLAN的劃分VLAN的劃分方式有多種，常用的有基于端口的劃分、基于MAC地址的劃分、基于IP地址的劃分等。3虛擬局域網(wǎng)基于端口的VALN根據(jù)交換機上的物理端口劃分多個組，每組構(gòu)成一個局域網(wǎng)。這種方式配置過程簡單清晰，是最常用的一種方式。3虛擬局域網(wǎng)基于MAC地址的VALN根據(jù)終端設(shè)備的MAC地址來劃分VLAN，用戶位置發(fā)生變化后，其VLAN屬性保持不變。3虛擬局域網(wǎng)基于IP地址的VALN根據(jù)終端設(shè)備IP地址進行劃分，每個VLAN與一段獨立的IP網(wǎng)段相對應(yīng)，即使用戶的物理位置改變了，也不許需要重新配置。常用的VLAN劃分方法是基于端口和基于IP相結(jié)合的方法，把幾個端口分配為一個VLAN，并設(shè)置IP地址，這樣一臺交換機可以使用多個VLAN，同時一個VLAN也可以在多臺交換機上使用。3虛擬局域網(wǎng)VLAN幀結(jié)構(gòu)（IEEE802.1Q）IEEE802.1Q是經(jīng)過IEEE認證的對數(shù)據(jù)幀附加VLAN信息的協(xié)議，格式如圖5-5所示。圖5-5IEEE802.1Q幀結(jié)構(gòu)其中，IEEE802.1QHeader格式如圖5-6所示。圖5-6IEEE802.1QHeader結(jié)構(gòu)3虛擬局域網(wǎng)VLAN幀結(jié)構(gòu)（IEEE802.1Q）IEEE802.1QHeader包括2字節(jié)的TPID和2字節(jié)的TCI（TagControlInformation），TCI包括PCP、CFI和VID三個字段。（1）TPID（TagProtocolIdentifier）長度為2字節(jié)，固定取值0x8100,標識這個幀是已被標簽的。（2）TCI（TagControlInformation）長度為2字節(jié)，是幀的控制信息。PCP（PriorityCodePoint）長度為3位，用來定義用戶優(yōu)先級。3虛擬局域網(wǎng)VLAN幀結(jié)構(gòu)（IEEE802.1Q）CFI（CanonicalFormatIndicator）長度為1位，如果字段值為1，則MAC地址為非標準格式，如果字段值為0，則MAC地址為標準格式。VID（VLANIdentifier）長度為12位，標識這個幀是屬于哪個VLAN。3虛擬局域網(wǎng)Access端口Access端口用于連接終端設(shè)備，只能屬于一個VLAN，并且只能傳輸屬于這個VLAN的數(shù)據(jù)幀。當一個沒有標記VLAN信息的數(shù)據(jù)幀進入Access端口時，交換機會自動給該數(shù)據(jù)幀添加端口所屬VLAN的標簽。如果該數(shù)據(jù)幀已經(jīng)帶有VLAN標簽，并且與端口所屬VLAN一致，則該數(shù)據(jù)幀會被去掉標簽后轉(zhuǎn)發(fā)，如果不一致，則會被丟棄。3虛擬局域網(wǎng)Trunk端口Trunk端口用于連接其他交換機或路由器，使多個交換機之間可以進行多VLAN通信，是實現(xiàn)網(wǎng)絡(luò)中VLAN間路由的基礎(chǔ)。Trunk端口利用IEEE802.1Q標準或Cisco的ISL（Inter-SwitchLink）協(xié)議對數(shù)據(jù)幀進行封裝，以標識該數(shù)據(jù)幀屬于哪個VLAN。IEEE802.1Q會在原始數(shù)據(jù)幀中插入一個4字節(jié)的標簽頭，標識VLANID，這樣接收設(shè)備就可以根據(jù)標簽將數(shù)據(jù)幀正確地轉(zhuǎn)發(fā)到相應(yīng)的VLAN中。Trunk端口可以傳輸多個VLAN的流量，它會保留進入端口數(shù)據(jù)幀的VLAN標簽，或者根據(jù)配置添加/移除標簽。3虛擬局域網(wǎng)單交換機VLAN內(nèi)通信PC1、2、3、4分別與交換機SW1的端口F0/1、F0/2、F0/3、F0/4連接。其中端口1和2屬于VLAN1，端口3和4屬于VLAN2。如果從跟端口1相連的PC1上發(fā)送廣播幀，交換機只會把該廣播幀轉(zhuǎn)發(fā)給同屬于VLAN1的端口2，而不會轉(zhuǎn)發(fā)給屬于VLAN2的端口3和4,如圖5-7所示。同理，從跟端口3相連的PC3上發(fā)送廣播幀，交換機只會把該廣播幀轉(zhuǎn)發(fā)給同屬于VLAN2的端口4，而不會轉(zhuǎn)發(fā)給屬于VLAN1的端口1和2。這樣，通過區(qū)分不同的VLAN，限制了廣播幀轉(zhuǎn)發(fā)的范圍。3虛擬局域網(wǎng)單交換機VLAN內(nèi)通信圖5-7單交換機VLAN內(nèi)通信3虛擬局域網(wǎng)跨交換機VLAN內(nèi)通信PC1和PC2分別與交換機SW1的端口F0/1和F0/2連接，PC3和PC4分別與交換機SW2的端口F0/3和F0/4連接。PC1和PC3屬于VLAN1，PC2和PC4屬于VLAN2。如果從PC1上發(fā)送數(shù)據(jù)幀給PC3，需要先發(fā)送給交換機SW1，SW1將該數(shù)據(jù)幀通過Trunk端口F0/5發(fā)送給SW2，SW2收到該數(shù)據(jù)幀后，發(fā)送給屬于VLAN1的PC3，如圖5-8所示。圖5-8跨交換機VLAN內(nèi)通信3虛擬局域網(wǎng)使用路由器進行VLAN間通信VLAN之間需要通過路由器或者三層交換機實現(xiàn)通信，通過路由器實現(xiàn)VLAN間的通信可以使用單臂路由功能，通過單個物理接口來實現(xiàn)多個VLAN數(shù)據(jù)幀的轉(zhuǎn)發(fā)。PC1和PC2分別與交換機SW1的端口F0/1和F0/2連接，PC3和PC4分別與交換機SW2的端口F0/3和F0/4連接。PC1和PC2屬于VLAN1，PC3和PC4屬于VLAN2，主機的配置參數(shù)如表5-1所示，路由器的配置參數(shù)如表5-2所示。如果從PC1上發(fā)送數(shù)據(jù)幀給PC3，需要先發(fā)送給交換機SW1，SW1將該數(shù)據(jù)幀通過Trunk端口發(fā)送給路由器RT1，路由器RT1根據(jù)內(nèi)部路由表，將該數(shù)據(jù)幀轉(zhuǎn)發(fā)給SW2，SW2收到該數(shù)據(jù)幀后，發(fā)送給屬于VLAN2的PC3，如圖5-9所示。3虛擬局域網(wǎng)使用路由器進行VLAN間通信圖5-9使用路由器進行VLAN間通信表5-1主機配置參數(shù)設(shè)置表5-2路由器參數(shù)設(shè)置4冗余網(wǎng)絡(luò)4.1STP在設(shè)計交換網(wǎng)絡(luò)時，為了防止網(wǎng)絡(luò)中的某個設(shè)備或者某條鏈路發(fā)生故障而導(dǎo)致整個網(wǎng)絡(luò)無法正常通信，通常需要設(shè)計冗余鏈路。如果冗余鏈路設(shè)計不合理，會導(dǎo)致產(chǎn)生交換環(huán)路，帶來廣播風(fēng)暴、同一幀的多次復(fù)制、MAC地址表不穩(wěn)定等問題。生成樹協(xié)議STP（SpanningTreeProtocol）定義在IEEE802.1D中，是一個數(shù)據(jù)鏈路層協(xié)議，通過阻塞冗余端口來防止網(wǎng)絡(luò)環(huán)路的產(chǎn)生。4冗余網(wǎng)絡(luò)橋ID（BridgeID）一個橋ID由兩部分構(gòu)成：第一部分是優(yōu)先級，占2字節(jié)，范圍為0~65535，交換機默認優(yōu)先級都是32768；第二部分是交換機MAC地址，占6字節(jié)。4冗余網(wǎng)絡(luò)根網(wǎng)橋（RootBridge）網(wǎng)絡(luò)中只能有一個根網(wǎng)橋，選擇根網(wǎng)橋是基于橋ID的數(shù)值最小原則。橋ID中優(yōu)先級數(shù)值越小，優(yōu)先級越高。如果優(yōu)先級相同，則比較MAC地址，MAC地址小的優(yōu)先級高。因此，具有最小橋ID的交換機為根網(wǎng)橋。4冗余網(wǎng)絡(luò)指定網(wǎng)橋（DesignatedBridge）網(wǎng)絡(luò)中的每一個網(wǎng)段都要選出一個指定網(wǎng)橋，指定網(wǎng)橋到根網(wǎng)橋的累計路徑開銷最小，由指定網(wǎng)橋收發(fā)本網(wǎng)段的數(shù)據(jù)包。4冗余網(wǎng)絡(luò)2端口角色STP端口角色有根端口，指定端口、預(yù)備端口。4冗余網(wǎng)絡(luò)根端口（RootPort）非根網(wǎng)橋上距離根網(wǎng)橋代價最小的端口為根端口，如果端口代價相同，端口的MAC最小的為根端口，交換機通過根端口和根網(wǎng)橋通信，處于轉(zhuǎn)發(fā)狀態(tài)。4冗余網(wǎng)絡(luò)指定端口（DesignatedPort）非根網(wǎng)橋需要為每個網(wǎng)段選出一個指定端口，該網(wǎng)段距離根網(wǎng)橋累計代價最小的端口為指定端口，該網(wǎng)段通過指定端口向根網(wǎng)橋發(fā)送數(shù)據(jù)包。根網(wǎng)橋的每個端口都是指定端口。4冗余網(wǎng)絡(luò)非指定端口除根端口和指定端口外的所有其他端口都是非指定端口，這些端口處于阻塞狀態(tài)，不允許轉(zhuǎn)發(fā)數(shù)據(jù)。3網(wǎng)橋協(xié)議數(shù)據(jù)單元BPDUSTP定義了網(wǎng)橋協(xié)議數(shù)據(jù)單元（BridgeProtocolDataUnit，BPDU）數(shù)據(jù)包，交換機之間用BPDU進行通信，動態(tài)選舉根網(wǎng)橋和備份網(wǎng)橋，以確定該阻塞的交換機端口，消除回路。含BPDU的以太幀包括DLC頭部，LLC頭部，BPDU報文和DLC填充，格式如圖5-10所示。4冗余網(wǎng)絡(luò)非指定端口圖5-10BPDU的以太幀格式（1）DLC頭部長度為14字節(jié)，包括DMA、SMA、L/T三個字段。DMA指目標地址，SMA指源地址，L/T指幀的長度。（2）LLC頭部長度為3字節(jié)。（3）BPDU長度為35字節(jié)。4冗余網(wǎng)絡(luò)非指定端口（4）DLC填充長度為8字節(jié)。BPDU分為兩種類型：第一種是配置BPDU，包含配置信息；第二種是拓撲變化通知BPDU，用于檢測到網(wǎng)絡(luò)拓撲結(jié)構(gòu)變化時通知其他交換機重新計算生成樹。配置BPDU和拓撲變化通知BPDU幀格式分別如圖5-11、5-12所示。圖5-11配置BPDU幀格式4冗余網(wǎng)絡(luò)非指定端口圖5-12拓撲變化通知BPDU幀格式拓撲變化通知BPDU就是配置BPDU的幀頭部內(nèi)容，BPDU幀格式含義：（1）ProtocolIdentifier:2字節(jié)，協(xié)議ID。（2）ProtocolVersionIdentifier：1字節(jié)，版本號，數(shù)值為00表示使用協(xié)議IEEE802.d，數(shù)值為02表示使用協(xié)議IEEE802.1w。4冗余網(wǎng)絡(luò)非指定端口（3）BPDUType：1字節(jié)，消息類型，數(shù)值為0x00表示配置BPDU，數(shù)值為0x80表示配置TCN。（4）Flag：1字節(jié)，標志。（5）RootIdentifier：8字節(jié)，根網(wǎng)橋ID，包括根優(yōu)先級、根端口MAC地址兩部分內(nèi)容。（6）RootPathCost：4字節(jié)，路徑開銷，表示從交換機到達根網(wǎng)橋方向STP路徑開銷累加值。（7）BridgeIdentifier：8字節(jié)，網(wǎng)橋ID，表示轉(zhuǎn)發(fā)根網(wǎng)橋BPDU的網(wǎng)橋的ID，包括交換機的優(yōu)先級、交換機的MAC地址兩部分內(nèi)容。4冗余網(wǎng)絡(luò)非指定端口（8）PortIdentifier：2字節(jié)，端口ID，表示轉(zhuǎn)發(fā)根網(wǎng)橋BPDU的網(wǎng)橋的端口ID。包括端口優(yōu)先級和端口ID兩部分內(nèi)容。（9）MessageAge：2字節(jié)，消息過期時間。（10）MaxAge：2字節(jié)，最長時間，表示有效BPDU消息的最長時間。如果超過該時間未收到消息則認為該端口連接的鏈路發(fā)生故障，默認20秒。（11）HelloTime：2字節(jié)，定時器，表示根網(wǎng)橋定期發(fā)送BPDU的時間間隔，默認2秒。（12）ForwardDelay：2字節(jié)，轉(zhuǎn)發(fā)延遲，表示端口狀態(tài)改變的時間間隔，默認為15秒。4冗余網(wǎng)絡(luò)選舉根網(wǎng)橋根網(wǎng)橋也成稱為根交換機，每個STP網(wǎng)絡(luò)中只有一個根網(wǎng)橋。交換機之間通過交換配置BPDU來確定根網(wǎng)橋，網(wǎng)橋ID最小的為網(wǎng)絡(luò)中的根網(wǎng)橋。4冗余網(wǎng)絡(luò)選舉根端口根端口是非根網(wǎng)橋的所有端口中距離根網(wǎng)橋開銷最小的端口。如果多個端口開銷相等。則比較端口ID，端口ID最小的為根端口。4冗余網(wǎng)絡(luò)選舉指定端口指定端口是同一網(wǎng)段中所有端口中距離根網(wǎng)橋開銷最小的端口。如果多個端口開銷相等,則比較橋ID，橋ID最小的為指定端口；如果端口的橋ID也相等，選擇端口ID最小的為指定端口。4冗余網(wǎng)絡(luò)4端口狀態(tài)交換機的端口包括四種狀態(tài)：阻塞、監(jiān)聽、學(xué)習(xí)和轉(zhuǎn)發(fā)。4冗余網(wǎng)絡(luò)阻塞狀態(tài)交換機初始化時所有端口都處于阻塞狀態(tài)。在阻塞狀態(tài)下，端口不參與幀的轉(zhuǎn)發(fā)，但是會接受BPDU報文并按生成樹協(xié)議處理。當交換機的端口接收到配置BPDU時，端口從阻塞狀態(tài)轉(zhuǎn)為監(jiān)聽狀態(tài)。4冗余網(wǎng)絡(luò)監(jiān)聽狀態(tài)處于監(jiān)聽狀態(tài)的端口不進行用戶幀的轉(zhuǎn)發(fā)，以防止網(wǎng)絡(luò)中產(chǎn)生環(huán)路，但是會接受BPDU報文并按生成樹協(xié)議處理。當協(xié)議定時器超時后，端口從偵聽狀態(tài)轉(zhuǎn)為學(xué)習(xí)狀態(tài)。4冗余網(wǎng)絡(luò)學(xué)習(xí)狀態(tài)處于學(xué)習(xí)狀態(tài)的端口不進行用戶幀的轉(zhuǎn)發(fā)，但交換機會進行轉(zhuǎn)發(fā)BPDU和構(gòu)建MAC地址表。當協(xié)議定時器超時后，端口從學(xué)習(xí)狀態(tài)轉(zhuǎn)為轉(zhuǎn)發(fā)狀態(tài)。4冗余網(wǎng)絡(luò)轉(zhuǎn)發(fā)狀態(tài)在轉(zhuǎn)發(fā)狀態(tài)下，端口進行數(shù)據(jù)幀的轉(zhuǎn)發(fā)，并進行轉(zhuǎn)發(fā)表學(xué)習(xí)。端口也接受BPDU報文并按生成樹協(xié)議處理。4冗余網(wǎng)絡(luò)STP的缺陷當網(wǎng)絡(luò)的拓撲結(jié)構(gòu)發(fā)生變化時，BPDU配置消息需要經(jīng)過一定時間延遲才能傳播到整個網(wǎng)絡(luò)，STP協(xié)議默認的延遲時間是15秒。如果在傳播過程中，某個端口在新舊拓撲結(jié)構(gòu)終端的狀態(tài)不同，將會導(dǎo)致臨時環(huán)路。為了解決拓撲變化導(dǎo)致的臨時環(huán)路問題，STP把端口從阻塞狀態(tài)到轉(zhuǎn)發(fā)狀態(tài)之間加上了一種中間狀態(tài)，處于中間狀態(tài)時只學(xué)習(xí)MAC地址但不轉(zhuǎn)發(fā)數(shù)據(jù)幀，兩次狀態(tài)切換的時間長度都是15秒，通過這種方式保證在拓撲變化時不產(chǎn)生臨時環(huán)路，但是這種做法會導(dǎo)致較長的收斂時間，對于需要實時業(yè)務(wù)處理的場景是有問題的。4冗余網(wǎng)絡(luò)RSTP的基本原理為了解決STP收斂時間長的問題，IEEE制訂了802.1w標準，作為對802.1D的補充。802.1w標準中定義了快速生成樹協(xié)議RSTP（RapidSpanningTreeProtocol），RSTP在STP的基礎(chǔ)上進行了三點改進，加快了收斂速度。（1）為根端口和指定端口設(shè)置了替換端口（AlternatePort）和備份端口（BackupPort），這兩種端口角色可以實現(xiàn)端口狀態(tài)的快速切換。當根端口失效時，替換端口就會成為根端口，并無時延地進入轉(zhuǎn)發(fā)狀態(tài)；當指定端口失效時，備份端口就會成為指定端口，并立即進入轉(zhuǎn)發(fā)狀態(tài)。（2）在只連接了兩個交換端口的點對點鏈路中，指定端口只需要與其連接的網(wǎng)橋進行一次握手就可以立即進入轉(zhuǎn)發(fā)狀態(tài)。4冗余網(wǎng)絡(luò)RSTP的基本原理（3）把直接與終端相連的端口定義為邊緣端口（EdgePort），邊緣端口可以直接進入轉(zhuǎn)發(fā)狀態(tài)，不需要任何延時。4冗余網(wǎng)絡(luò)RSTP的存在的問題RSTP相對于STP協(xié)議可以加快網(wǎng)絡(luò)的收斂速度，并且可以和STP進行混合組網(wǎng)。但是RSTP和STP都是單生成樹協(xié)議，網(wǎng)絡(luò)中只有一顆生成樹，如果網(wǎng)絡(luò)規(guī)模較大時，收斂時間依舊較長。在正常情況下，被阻塞的鏈路處于閑置狀態(tài)，不參與轉(zhuǎn)發(fā)數(shù)據(jù)，會造成資源浪費。4冗余網(wǎng)絡(luò)MSTP的基本原理為了解決STP和RSTP的問題，IEEE制訂了802.1s標準，定義了多生成樹協(xié)議MSTP（MultipleSpanningTreeProtocol）。MSTP具有很多優(yōu)點，得到了廣泛的應(yīng)用。MSTP把網(wǎng)絡(luò)劃分為多個區(qū)域，每個區(qū)域有若干實例，每個實例關(guān)聯(lián)多個VLAN，MSTP將多個VLAN捆綁到一個實例，并為每個實例創(chuàng)建一個生成樹。4冗余網(wǎng)絡(luò)MSTP的優(yōu)點MSTP相對于STP協(xié)議具有很多有點。MSTP可以實現(xiàn)負載均衡和端口狀態(tài)快速切換，可以將多個VALN捆綁到一個實例中，降低資源占用率。MSTP是IEEE的標準協(xié)議，兼容STP/RSTP，可以實現(xiàn)混合組網(wǎng)，并且所有廠家都支持該協(xié)議。5路由原理與冗余協(xié)議路由分類交換機可以實現(xiàn)網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)轉(zhuǎn)發(fā)，而要連接不同的網(wǎng)絡(luò)，進行網(wǎng)絡(luò)之間的數(shù)據(jù)轉(zhuǎn)發(fā)則需要通過路由器來實現(xiàn)。路由器使用路由選擇協(xié)議來選擇網(wǎng)絡(luò)之間的最佳路徑，并在該路徑上進行數(shù)據(jù)轉(zhuǎn)發(fā)。根據(jù)路由的配置方式可以分為靜態(tài)路由和動態(tài)路由；根據(jù)路由的運行原理可以分為距離矢量路由協(xié)議和鏈路狀態(tài)路由協(xié)議；根據(jù)路由的作用范圍可以分為內(nèi)部網(wǎng)關(guān)協(xié)議和外部網(wǎng)關(guān)協(xié)議。5路由原理與冗余協(xié)議靜態(tài)路由靜態(tài)路由是網(wǎng)絡(luò)管理員根據(jù)網(wǎng)絡(luò)的運行情況，通過手工輸入信息來配置路由表。靜態(tài)路由適用于拓撲結(jié)構(gòu)比較簡單的小型網(wǎng)絡(luò)，比動態(tài)路由更穩(wěn)定可靠。但是靜態(tài)路由不能對網(wǎng)絡(luò)變化做出反應(yīng)，不適用于大型復(fù)雜網(wǎng)絡(luò)。大型網(wǎng)絡(luò)的拓撲結(jié)構(gòu)是動態(tài)變化的，管理員很難全面了解網(wǎng)絡(luò)的拓撲信息，而且網(wǎng)絡(luò)變化時通過手工調(diào)整每個路由器的配置信息所需的工作量太大。因此，大型網(wǎng)絡(luò)主要使用動態(tài)路由。5路由原理與冗余協(xié)議默認路由默認路由是指路由表中沒有與數(shù)據(jù)包中的目的地址匹配的表項時，路由器所使用的路由。通過設(shè)置默認路由可以簡化路由器的配置，如果沒有設(shè)置默認路由，當數(shù)據(jù)包的目的地址不在路由表中時就會丟棄該數(shù)據(jù)包。5路由原理與冗余協(xié)議RIP概述路由信息協(xié)議RIP（RoutingInformationProtocols）是一種內(nèi)部網(wǎng)關(guān)協(xié)議，主要應(yīng)用于規(guī)模較小的網(wǎng)絡(luò)。RIP基于距離向量協(xié)議來計算到達目的網(wǎng)絡(luò)的距離，使用跳數(shù)作為度量值，跳數(shù)就是到達目的網(wǎng)絡(luò)需要經(jīng)過的路由器數(shù)量。如果到達目的網(wǎng)絡(luò)的路由器的速度或帶寬不同，但是跳數(shù)相同，RIP會認為路由是等距離的。RIP會選擇跳數(shù)小的路徑為最優(yōu)路徑。RIP支持的跳數(shù)范圍為0-15，大于15的跳數(shù)被認為目的網(wǎng)絡(luò)不可達。RIP通過廣播UDP報文交換路由信息，使用端口號為520。路由器周期性地向相鄰路由器廣播自己的路由信息，默認周期是30s。鄰居路由器根據(jù)收到的路由信息更新自己的路由表。路由器從相鄰路由器收到路由信息更新報文后，根據(jù)以下原則更新路由表信息：5路由原理與冗余協(xié)議RIP概述（1）如果路由表不存在該路由項，如果度量值可達（小于16），則在路由表中增加該路由項。（2）如果路由表中已存在該路由項，當該路由器的下一站地址是該相鄰路由器時，則檢查度量值是否變化，如果度量值有變化，則更新該路由項中的度量值，如果度量值相同，則將該路由項對應(yīng)的超時定時器重置（清零）。路由表中的每個路由項都對應(yīng)一個超時定時器，當路由項在180s內(nèi)沒有更新時定時器超時，將該路由項的度量值標識為不可達（16）。（3）當該路由項的下一站地址不是該相鄰路由器時，如果度量值減少才更新該路由項。這是因為RIP協(xié)議遵循“最短路徑”的原則，只有當找到一條到目標地址更短的路徑時，才5路由原理與冗余協(xié)議RIP概述會改變路徑選擇。一個路由項被標識為不可達之后，經(jīng)過120s（4個周期）仍沒有被更新，就從該路由表中刪除該路由。5路由原理與冗余協(xié)議RIP報文的格式RIP包括RIPv1和RIPv2兩個版本。5路由原理與冗余協(xié)議RIPv1報文格式RIPv1報文格式如圖5-13所示。圖5-13RIPv1報文格式Command：標識該報文是請求報文還是響應(yīng)報文，1是請求報文，2是響應(yīng)報文；Version：RIP的版本，RIPv1的值為1；MustbeZero：表示未使用；5路由原理與冗余協(xié)議RIPv1報文格式STEP3STEP2STEP1AddressFamilyIdentifier（AFI）：地址標識信息，對于IP地址其值為2；IPAddress：表示目的IP地址；Metric：表示度量值。5路由原理與冗余協(xié)議RIPv2報文格式RIPv2報文格式如圖5-14所示。圖5-14RIPv2報文格式Command：標識該報文是請求報文還是響應(yīng)報文，1是請求報文，2是響應(yīng)報文；Version：RIP的版本，RIPv2的值為2；RouteTag：表示外部路由；5路由原理與冗余協(xié)議RIPv2報文格式AddressFamilyIdentifier（AFI）：地址標識信息，對于IP地址其值為2；01子網(wǎng)掩碼：IP地址的子網(wǎng)掩碼；02NextHop：通往目的地址的下一站路由器IP地址。035路由原理與冗余協(xié)議路由器啟動如圖5-15所示，RT1、RT2、RT3三臺路由器直連，運行RIP后，路由器將自己的直連路由添加到路由表中。圖中下一站路由器中的符號“-”表示直接通信，因為和路由器在同一網(wǎng)絡(luò)中的主機不需要通過別的路由器轉(zhuǎn)發(fā)，可以直接通信。因為不需經(jīng)過別的路由器，所以達到目的網(wǎng)絡(luò)的距離也是0。圖5-15初始路由表5路由原理與冗余協(xié)議交換路由信息初始化完成后，運行了RIP的各路由器都向其相鄰路由器周期性地廣播RIP報文，即廣播其路由表中的信息。以路由器R2為例，R2會收到路由器R1和R3的路由信息，更新自己的路由表，更新后的路由表會再發(fā)送給路由器R1和R3，路由器R1和R3再分別更新自己的路由表，交換后的路由表如5-16所示。，圖5-16交換路由后的路由表5路由原理與冗余協(xié)議RIP的局限RIP配置簡單靈活，被廣泛使用，但是也存在很大的局限性。（1）RIP適用于小型網(wǎng)絡(luò)，因為它允許的最大路由項為15，超過15個的目的網(wǎng)絡(luò)會被標記為不可達。（2）RIP的收斂速度慢。正常運行時，RIP每30s就會收到已有路由項的更新報文，如果經(jīng)過180s（6個周期）沒有收到更新報文，才會將次路由信息標識為不可達，這個超時是對于很多應(yīng)用來說是相當長的。（3）RIP只考慮經(jīng)過的路由器數(shù)量，而忽略了鏈路的帶寬、時延等因素，距離越小，路徑越佳。5路由原理與冗余協(xié)議OSPF概述開放式最短路徑優(yōu)先協(xié)議OSPF（OpenShortestPathFirst）是一個內(nèi)部網(wǎng)關(guān)協(xié)議，是一種基于鏈路狀態(tài)的路由選擇協(xié)議。OSPF克服了基于距離向量算法的路由選擇協(xié)議存在的收斂慢、易產(chǎn)生環(huán)路、可擴展性差等問題。5路由原理與冗余協(xié)議OSPF工作原理當路由器開啟OSPF后，路由器之間就會周期性地發(fā)送hello報文，以建立相鄰路由器之間的鄰居關(guān)系。之后，路由器之間會發(fā)送鏈路狀態(tài)公告LSA（LinkStateAdvertisement），LSA包含了路由器的IP地址、掩碼、開銷等信息。每臺路由器都會把和自己相連的鏈路的狀態(tài)發(fā)送給自己的鄰居路由器，收到LSA的路由器根據(jù)LSA的信息內(nèi)容建立自己的鏈路狀態(tài)數(shù)據(jù)庫LSDB（LinkStateDatabase）。運行OSPF協(xié)議的路由器在LSDB基礎(chǔ)上使用SPF算法，計算達到每個網(wǎng)絡(luò)的最短路徑樹，得出到達目的網(wǎng)絡(luò)的最佳路由，形成路由表。形成路由表后，路由器就可以根據(jù)路由表來轉(zhuǎn)發(fā)數(shù)據(jù)了。5路由原理與冗余協(xié)議OSPF協(xié)議報文OSPF分為以下五種報文：5路由原理與冗余協(xié)議Hello報文路由器周期性地向鄰居路由器發(fā)送Hello報文，用來建立和維護相鄰路由器之間的鄰居關(guān)系。5路由原理與冗余協(xié)議DD（DatabaseDescription）報文DD報文用來描述本地路由器的鏈路狀態(tài)數(shù)據(jù)庫LSDB，兩臺路由器通過交換DD報文，實現(xiàn)數(shù)據(jù)庫的同步。5路由原理與冗余協(xié)議LSR（LinkStateRequest）報文LSR報文用于請求相鄰路由器鏈路狀態(tài)數(shù)據(jù)庫中的部分數(shù)據(jù)。兩臺路由器交換過DD報文后，知道對端路由器有哪些LSA是本地LSDB中所缺少的，就需要發(fā)送LSR報文，向?qū)Ψ秸埱笕鄙俚腖SA。5路由原理與冗余協(xié)議LSU（LinkStateUpdate）報文LSU報文是對LSR報文請求的響應(yīng)，用來向?qū)Χ寺酚善靼l(fā)送器所需要的LSA。（5）LSAck（LinkStateAcknowledgment）報文LSAck報文是路由器收到LSU報文后發(fā)出的確認應(yīng)答報文。上述OSPF這五種報文具有相同的報文頭格式，長度為24字節(jié)，如圖5-17所示。圖5-17OSPF的報文頭格式5路由原理與冗余協(xié)議LSU（LinkStateUpdate）報文Version：1字節(jié)，OSPF版本號，OSPFv2值為2，OSPFv3值為3；01Type：1字節(jié)，OSPF報文類型，1：hello，2：DD，3：LSR，4：LSU，5：LSAck；02Packetlength：2字節(jié)，OSPF報文長度，包括報文頭在內(nèi)，單位為字節(jié)；03RouterID：4字節(jié)，發(fā)送該報文的路由器標識，即路由器的IP地址；04AreaID：4字節(jié)，發(fā)送該報文的路由器接口所屬區(qū)域；05Checksum：2字節(jié)，校驗和，對整個包進行差錯檢驗，不包含驗證字段類型字段和驗證數(shù)據(jù)字段；065路由原理與冗余協(xié)議LSU（LinkStateUpdate）報文Autype：2字節(jié)，驗證類型，0：不驗證；1：簡單認證；2：MD5認證；Authentication：8字節(jié)，鑒定字段，其數(shù)值根據(jù)驗證類型而定。當驗證類型為0時未作定義；類型為1時此字段為密碼信息；類型為2時此字段包括KeyID、MD5驗證數(shù)據(jù)長度和序列號的信息。MD5驗證數(shù)據(jù)添加在OSPF報文后面，不包含在Authentication字段中。5路由原理與冗余協(xié)議OSPF區(qū)域OSPF路由器之間會交換鏈路狀態(tài)公告（LSA），當網(wǎng)絡(luò)規(guī)模較大時，OSPF計算將帶來較大的壓力。為了降低計算的復(fù)雜度，OSPF采用分區(qū)域計算，將網(wǎng)絡(luò)中的OSPF路由器分成不同的區(qū)域，每個OSPF路由器只維護所在區(qū)域的完整鏈路狀態(tài)信息。區(qū)域是從邏輯上將路由器劃分為不同的組，每個組用對應(yīng)一個區(qū)域號，區(qū)域號可以用數(shù)字來標識，如Area0，Area1，Area2等，如圖5-18所示。Area0在OSPF中稱為骨干區(qū)域，負責發(fā)布區(qū)域間的路由信息。非骨干區(qū)域必須與Area0相連，通過骨干區(qū)域進行相互通信，非骨干區(qū)域之間不允許相互發(fā)布區(qū)域間的路由信息。在OSPF中，并不是全部接口都位于同一個區(qū)域的路由器稱為區(qū)域邊界路由器（ABR），ABR包含所有相連區(qū)域的鏈路狀態(tài)數(shù)據(jù)庫LSDB。5路由原理與冗余協(xié)議OSPF區(qū)域圖5-18OSPF的區(qū)域5路由原理與冗余協(xié)議鄰居（Neighbor）鄰居是通過路由器之間相互發(fā)送hello報文來實現(xiàn)的，路由器啟動后，會通過OSPF接口周期性發(fā)送hello報文，收到hello報文的OSPF路由器會檢查報文中的參數(shù)，參數(shù)一致的話就會形成鄰居關(guān)系。5路由原理與冗余協(xié)議鄰接（Adjacency）形成鄰居關(guān)系的路由器之間成功交換數(shù)據(jù)庫描述報文（DD）,并交換LSA之后，才能形成鄰接關(guān)系。兩個路由器之間建立了鄰接關(guān)系后，他們的LSDB會進行同步。5路由原理與冗余協(xié)議DR和BDR的工作原理在OSPF協(xié)議中，為了保持鏈路狀態(tài)數(shù)據(jù)庫（LSDB）的同步，需要在路由器之間發(fā)送LSA報文，這就需要在任意兩個路由器之間建立鄰接關(guān)系，這樣在傳送LSA的過程需要占用一定的網(wǎng)絡(luò)帶寬。為了解決這個問題，OSPF采用了在網(wǎng)絡(luò)中選舉一臺指定路由器DR（DesignedRouter）和一臺備份指定路由器BDR（BackupDesignedRouter）的機制。DR同本網(wǎng)絡(luò)的其他路由器建立一種星形的鄰接關(guān)系，用來同步鏈路狀態(tài)數(shù)據(jù)庫，而其他路由器彼此不用建立鄰接關(guān)系。BDR是DR在網(wǎng)絡(luò)中的備份路由器，在DR發(fā)生故障時自動接替DR的工作。在DR存在的情況下，BDR不生成網(wǎng)絡(luò)鏈路廣播消息。5路由原理與冗余協(xié)議DR和BDR的選舉在選舉DR和BDR的時候會先比較路由器各端口的優(yōu)先級，優(yōu)先級最高的為DR，次高的為BDR。在端口優(yōu)先級相同的情況下比較RouterID,RouterID最高者為DR，次高者為BDR。RouterID是網(wǎng)絡(luò)中運行OSPF協(xié)議的路由器的唯一標識，是一個32位的值，用IP地址的形式來表示。RouterID可以手動配置，如果沒有配置，則選取路由器接口的最大IP地址作為RouterID。5路由原理與冗余協(xié)議VRRP概述虛擬路由冗余協(xié)議VRRP（VirtualRouterRedundancyProtocol）是由IETF提出的冗余網(wǎng)關(guān)協(xié)議。VRRP協(xié)議中，一組物理路由器協(xié)同工作，共同組成一個虛擬路由器，該虛擬路由器對外表現(xiàn)為一個固定IP地址和MAC地址，以此來提供默認網(wǎng)關(guān)的高可用性服務(wù)。同一VRRP組中的路由器包含主控路由器和備份路由器，一個VRRP組中只有一個主控路由器，可以有多個備份路由器。主控路由器負責對ARP請求進行應(yīng)答，這樣，不管路由器如何切換，給終端設(shè)備的都是固定的IP地址和MAC地址。5路由原理與冗余協(xié)議VRRP工作原理VRRP的工作過程為：（1）VRRP組中的路由器根據(jù)優(yōu)先級確定主控路由器和備份路由器，優(yōu)先級高的為主路由器，優(yōu)先級低的為備份路由器。（2）主控路由器定期發(fā)送VRRP通告報文，通知組內(nèi)的其他備份路由器其配置信息（如優(yōu)先級等）和工作狀態(tài)。（3）如果備份路由器在定時器超時后沒有收到主控路由器發(fā)送的VRRP報文，則認為主控路由器發(fā)生故障，對外發(fā)送VRRP通告報文，備份組內(nèi)的路由器根據(jù)優(yōu)先級重新選舉主5路由原理與冗余協(xié)議VRRP工作原理控路由器，由其承擔轉(zhuǎn)發(fā)報文任務(wù)。備份路由器的工作方式分為搶占方式和非搶占方式兩種：搶占方式下，當路由器收到VRRP通過報文后，會將自己的優(yōu)先級與通告報文中的優(yōu)先級進行比較，如果大于通過報文中的優(yōu)先級，則自己成為主控路由器，否則為備份路由器。非搶占方式下，只要主控路由器在正常工作狀態(tài)，備份組中的路由器即使被分配了更高的優(yōu)先級，也不會成為主控路由器。6生產(chǎn)系統(tǒng)組網(wǎng)應(yīng)用案例6.1實驗?zāi)康?.掌握基于MOXA設(shè)備的VLAN配置方法2.掌握基于MOXA設(shè)備的RSTP配置方法6生產(chǎn)系統(tǒng)組網(wǎng)應(yīng)用案例6.2實驗相關(guān)知識點1.MOXA網(wǎng)絡(luò)設(shè)備的連接與使用012.基于MOXA設(shè)備的VLAN配置023.基于MOXA設(shè)備的RSTP配置036生產(chǎn)系統(tǒng)組網(wǎng)應(yīng)用案例6.3實驗任務(wù)說明某學(xué)校訂購了一臺倉儲工站（XPET-S1-WH1），該工站可以通過伺服電機的定位移動，移動堆垛機實現(xiàn)抓取、放置指定庫位物料。其中含有一臺EDS-510A交換機、一臺西門子S1500PLC、一組V90伺服驅(qū)動器、一臺HMI。其外部也有一臺EDS-510A交換機以及一臺服務(wù)器，服務(wù)器中運行著諸如MES、OMS等智能系統(tǒng)如圖5-19所示?，F(xiàn)在我們需要將PLC通過交換機與工站中的其余設(shè)備進行連通，服務(wù)器通過工站外的交換機與工站連通。我們把交換機、服務(wù)器稱為非生產(chǎn)設(shè)備、其余設(shè)備稱為生產(chǎn)設(shè)備。具體網(wǎng)絡(luò)要求如下：6生產(chǎn)系統(tǒng)組網(wǎng)應(yīng)用案例6.3實驗任務(wù)說明圖5-19網(wǎng)絡(luò)要求1.為了降低通訊干擾，我們希望生產(chǎn)設(shè)備只可以和非生產(chǎn)設(shè)備中的服務(wù)器進行通信，而不可以與交換機通訊。2.該網(wǎng)絡(luò)應(yīng)具有一定的鏈路冗余能力，收斂時間應(yīng)小于20s。6生產(chǎn)系統(tǒng)組網(wǎng)應(yīng)用案例各個設(shè)備IP要求如表5-3所示.表5-3設(shè)備IP分布6生產(chǎn)系統(tǒng)組網(wǎng)應(yīng)用案例6.4實驗設(shè)備表5-4實驗設(shè)備6生產(chǎn)系統(tǒng)組網(wǎng)應(yīng)用案例6.5實驗原理通過VLAN技術(shù)我們可以將連接在一臺交換機上的設(shè)備在二層網(wǎng)絡(luò)進行隔離降低廣播數(shù)據(jù)的發(fā)送和轉(zhuǎn)發(fā)同時保護數(shù)據(jù)安全。通過諸如STP、RSTP等鏈路冗余技術(shù)可以提高網(wǎng)絡(luò)的鏈路冗余能力，避免因為單點鏈路故障而導(dǎo)致的大范圍網(wǎng)絡(luò)中斷。6生產(chǎn)系統(tǒng)組網(wǎng)應(yīng)用案例準備工作由任務(wù)說明可知我們需要將所有生產(chǎn)設(shè)備連接于一臺交換機，服務(wù)器連接于另一臺并將兩臺交換機相互連接。由于需求中要求網(wǎng)絡(luò)有一定的鏈路冗余能力且收斂時間小于20s，所以應(yīng)該在SW1、SW2間開啟環(huán)網(wǎng)RSTP從而得到滿足需求的網(wǎng)絡(luò)拓撲圖如圖5-20所示。圖5-20網(wǎng)絡(luò)拓撲圖6生產(chǎn)系統(tǒng)組網(wǎng)應(yīng)用案例準備工作因為需求1中希望將生產(chǎn)設(shè)備和非生產(chǎn)設(shè)備間的通信進行一定程度的隔離，所以我們可以采用VLAN對不同端口的設(shè)備進行劃分，具體如表5-5所示。表5-5VLAN劃分6生產(chǎn)系統(tǒng)組網(wǎng)應(yīng)用案例SW1配置接下來按照圖2、表1、表2對SW1進行配置。首先為了訪問SW1修改本機有線適配器IP為00/24稱為PC1。將PC1與SW1的端口7連接，按照表2的規(guī)劃以及網(wǎng)絡(luò)需求，我們應(yīng)該首先對VLAN進行修改。然后由拓撲圖得需要在交換機的5、6端口開啟RSTP的環(huán)網(wǎng)，修改配置如圖5-21所示。圖5-21SW1環(huán)網(wǎng)配置最后我們修改SW1的地址如表5-3所要求的52。6生產(chǎn)系統(tǒng)組網(wǎng)應(yīng)用案例SW2配置將PC1連接至SW2的端口1，并按照表5-5和圖5-21修改VLAN配置VLAN修改完畢后，我們?yōu)镾W2也開啟RSTP環(huán)網(wǎng)如圖5-22所示。圖5-22SW2開啟RSTP至此，SW2的配置也已完成?，F(xiàn)在我們可以進行系統(tǒng)測試，我們將SW1、SW2按照圖1所示連接?？梢钥吹絉STP界面中端口狀態(tài)的改變，說明此時環(huán)網(wǎng)配置成功，如圖5-23所示。6生產(chǎn)系統(tǒng)組網(wǎng)應(yīng)用案例SW2配置圖5-23環(huán)網(wǎng)狀態(tài)此時為了模擬PLC進行通訊測試，我們可以用另一臺電腦稱為PC2并修改IP為00連接至SW1端口3。此時我們可以在PC2上測試發(fā)現(xiàn)PC2不可以ping通SW1即52，可以ping通PC1即00，如圖5-24說明需求1滿足。6生產(chǎn)系統(tǒng)組網(wǎng)應(yīng)用案例SW2配置圖5-24測試結(jié)果我們可以將SW1端口5的網(wǎng)線斷開，圖5-24的測試結(jié)果不變，說明此時RSTP的鏈路冗余功能已經(jīng)實現(xiàn)，實現(xiàn)了需求2。至此實驗結(jié)束。6生產(chǎn)系統(tǒng)組網(wǎng)應(yīng)用案例6.7實驗練習(xí)題請分析SW1與SW2的VLAN配置哪些必須一致哪些不必，為什么。7OSPF應(yīng)用案例7.1實驗?zāi)康?.掌握基于MOXA設(shè)備的網(wǎng)絡(luò)接口配置方法2.掌握基于MOXA設(shè)備的OSPF配置方法7OSPF應(yīng)用案例7.2實驗相關(guān)知識點1.基于MOXA設(shè)備的網(wǎng)絡(luò)接口配置2.基于MOXA設(shè)備的OSPF配置7OSPF應(yīng)用案例7.3實驗任務(wù)說明某實驗室采購了兩臺XPET-S1-WH1以及兩臺EDR-810交換機，現(xiàn)在他們希望在服務(wù)器上部署一定的IT系統(tǒng)使其可以和工站1、工站2通信進行監(jiān)控和管理且已經(jīng)設(shè)定好網(wǎng)絡(luò)拓撲圖，如圖5-25所示。圖5-25網(wǎng)絡(luò)拓撲圖7OSPF應(yīng)用案例7.3實驗任務(wù)說明1.為了方便管理要求服務(wù)器、工站1、工站2分別屬于不同的網(wǎng)段，具體要求如表5-6所示。在右側(cè)編輯區(qū)輸入內(nèi)容3.使用OSPF動態(tài)路由完成上述需求表5-6設(shè)備IP分布2.請通過對路由器進行配置使得網(wǎng)絡(luò)中的設(shè)備可以相互訪問在右側(cè)編輯區(qū)輸入內(nèi)容1327OSPF應(yīng)用案例7.4實驗設(shè)備表5-7實驗設(shè)備7OSPF應(yīng)用案例7.5實驗原理通過OSPF協(xié)議，我們可以使得一組路由器自動的交互各自的路由信息為網(wǎng)絡(luò)提供更快速、準確和可靠的路由選擇。且OSPF協(xié)議與靜態(tài)路由技術(shù)相比可以大幅的減少實施、運維成本的同時還可以極大的提升網(wǎng)絡(luò)的可拓展性，在網(wǎng)絡(luò)接入新的網(wǎng)絡(luò)后可以自動的在路由器間更新相關(guān)的路由信息。7OSPF應(yīng)用案例準備工作根據(jù)題目需求可知，我們網(wǎng)絡(luò)中存在四個網(wǎng)段，分別是服務(wù)器、工站1、工站2、與路由器1和2。我們可以先為每一個網(wǎng)段分配一個VLAN，進行前期規(guī)劃如表5-8所示。同時注意到RT1、RT2的默認地址相同，為了避免IP沖突帶來的影響，我們將RT2默認地址修改為53。表5-8VLAN劃分7OSPF應(yīng)用案例RT1配置由拓撲圖5-25以及表5-8中可知，RT1的3、4端口分別連接工站1和工站2，所以可得3、4端口的PVID分別為10、20；RT1的端口2連接的是RT2所以可得其PVID為1；所以可得RT1的VLAN配置如圖5-26所示。圖5-26RT1VLAN配置7OSPF應(yīng)用案例RT1配置由拓撲圖5-25以及表5-8可知RT1需要至少新接入兩個網(wǎng)段，分別為/24和/24而網(wǎng)關(guān)地址就是對應(yīng)的路由器的接口地址，由此我們得RT1的網(wǎng)絡(luò)接口配置如圖5-27。圖5-27RT1網(wǎng)絡(luò)接口設(shè)置7OSPF應(yīng)用案例RT1配置由于RT1直接連接的網(wǎng)段為/24、/24、/24沒有直接連接服務(wù)器所在的網(wǎng)段/24，所以我們可以通過OSPF動態(tài)路由協(xié)議讓路由器間相互傳遞路由信息。首先要開啟OSPF，我們在GlobalSettings中勾選Enable并將下面的三種路由信息全部勾選使得盡可能多的傳遞路由信息；使能OSPF之后我們新建一個Normal區(qū)域，ID為；最后因為RT1和RT2通端口2相連接，其對應(yīng)的VLANID為1，對應(yīng)的接口名稱為LAN，所以可得OSPFInterfaceSettings配置如圖5-28。7OSPF應(yīng)用案例RT1配置圖5-28RT2OSPF接口設(shè)置7OSPF應(yīng)用案例RT2配置由拓撲圖5-25以及表5-8中可知，RT2的3端口連接服務(wù)器，所以可得3端口的PVID分別為30；RT2的端口2連接的是RT1所以可得其PVID為1；所以可得RT2的VLAN配置如圖5-29所示。圖5-29RT1VLAN配置7OSPF應(yīng)用案例RT2配置由拓撲圖5-25以及表5-8可知RT1需要至少新接入/24網(wǎng)段而網(wǎng)關(guān)地址就是對應(yīng)的路由器的接口地址，由此我們得RT1的網(wǎng)絡(luò)接口配置如圖5-30。圖5-30RT2網(wǎng)絡(luò)接口配置7OSPF應(yīng)用案例RT2配置于RT2直接連接的網(wǎng)段為/24、/24沒有直接連接工站1和工站2所在的網(wǎng)段/24、/24，所以我們可以通過OSPF動態(tài)路由協(xié)議讓路由器間相互傳遞路由信息。首先要開啟OSPF，我們在GlobalSettings中勾選Enable并將下面的三種路由信息全部勾選使得盡可能多的傳遞路由信息；使能OSPF之后我們新建一個Normal區(qū)域，ID為；最后因為RT1和RT2通端口2相連接，其對應(yīng)的VLANID為1，對應(yīng)的接口名稱為LAN，所以可得OSPFInterfaceSettings配置如圖5-31。7OSPF應(yīng)用案例RT2配置圖5-31RT2OSPF接口設(shè)置首先選擇兩臺帶有有線網(wǎng)口的電腦作為測試電腦并分別稱為PC1、PC2。修改PC1的IP地址如表5-6中服務(wù)器1一致；修改PC2的IP地址如表5-6中的工站1一致，如圖5-32所示。7OSPF應(yīng)用案例RT2配置圖5-32PC1、PC2IP配置將RT1的端口2和RT2的端口2相連接，PC1連入RT2的端口3，PC2連入RT1的端口3，PC1可以ping通PC2；將PC2的IP修改為表5-6中的工站2所示，并連入RT1的端口4，PC1可以ping通PC2，以上兩次結(jié)果一致說明實驗成功。7OSPF應(yīng)用案例7.7實驗練習(xí)題請分析RT1與RT2的端口2的VLAN設(shè)置對于OSPF配置的影響。01習(xí)題5習(xí)題5011.Access端口和Trunk端口有什么區(qū)別？022.VLAN間如何實現(xiàn)通信？033.請簡述STP根交換機和跟端口的產(chǎn)生過程。044.請簡述STP端口狀態(tài)的轉(zhuǎn)變過程。055.RSTP在STP基礎(chǔ)之上有什么改進？066.請簡述RIP路由表更新的規(guī)則077.請簡述OSPF選舉DR和BDR的方法。088.請說明VRRP主控路由器發(fā)生故障后，選舉新的主控路由器的過程。謝謝第6章生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全演講人1網(wǎng)絡(luò)安全配置1.1網(wǎng)絡(luò)安全概述隨著信息化浪潮的到來以及個人計算設(shè)備的不斷普及，網(wǎng)絡(luò)深入到各個行業(yè)和組織的角落之中并伴隨著網(wǎng)絡(luò)中急速交互的信息近距離的享受著最新科技的服務(wù)。與此同時組織和個人的數(shù)據(jù)、計算和交互越來越依賴于各個IT系統(tǒng)和計算設(shè)備，這使得網(wǎng)絡(luò)安全的重要性越發(fā)凸顯，以工業(yè)4.0為例。區(qū)別與以往的工業(yè)3.0系統(tǒng)中OT系統(tǒng)為主導(dǎo)，工業(yè)4.0中為了實現(xiàn)自感知、自學(xué)習(xí)、自決策、自執(zhí)行、自適應(yīng)等功能的新型生產(chǎn)方式引入了大量的IT系統(tǒng)與AI系統(tǒng)并通過網(wǎng)絡(luò)與OT系統(tǒng)和傳感器緊密相連。在這其中以端到端數(shù)據(jù)流為基礎(chǔ)，以網(wǎng)絡(luò)互聯(lián)為支撐，使得網(wǎng)絡(luò)穩(wěn)定與安全的重要性日益凸顯。在工業(yè)4.0時代，為了打破信息孤島邊緣設(shè)備互聯(lián)是必不可少的，使得網(wǎng)絡(luò)深入的生產(chǎn)的每個角落。而網(wǎng)絡(luò)的大規(guī)模擴展也使得網(wǎng)絡(luò)安全的工作越發(fā)復(fù)雜也讓非惡意用戶有了更多窺伺網(wǎng)絡(luò)的機會。1網(wǎng)絡(luò)安全配置1.1網(wǎng)絡(luò)安全概述與此同時網(wǎng)絡(luò)被侵入后的影響范圍且與日俱增，以往不聯(lián)網(wǎng)僅僅作為執(zhí)行機構(gòu)的設(shè)備也會收到網(wǎng)絡(luò)攻擊的影響，無論是傳感器、AGV、攝像頭等。這也使得企業(yè)愈發(fā)重視其網(wǎng)絡(luò)的穩(wěn)定性以及安全性，若是網(wǎng)絡(luò)安全和穩(wěn)定得不到保障輕則生產(chǎn)效率嚴重下降重則引起工業(yè)參數(shù)丟失、生產(chǎn)設(shè)備遭受攻擊等嚴重問題。在面臨的眾多網(wǎng)絡(luò)攻擊之中黑客或者非法用戶通過網(wǎng)絡(luò)對IT或者OT系統(tǒng)的入侵是最危險的威脅之一。這些攻擊包括利用系統(tǒng)漏洞進行未授權(quán)登錄，其入侵方式包括網(wǎng)絡(luò)病毒、蠕蟲和木馬等。在2010年甚至出現(xiàn)了一種通過USB傳播的專門攻擊OT的計算機病毒“Stuxnet”。這種病毒專門針對西門子公司旗下的工業(yè)控制系統(tǒng)特別是SCADA系統(tǒng)進行攻擊，并可以干擾正常程序的執(zhí)行或者從中獲取相關(guān)生產(chǎn)數(shù)據(jù)。1網(wǎng)絡(luò)安全配置1.1網(wǎng)絡(luò)安全概述由于西門子的工業(yè)控制系統(tǒng)廣泛應(yīng)用于汽車制造、水利發(fā)電等工業(yè)場景中，對于這些工業(yè)控制系統(tǒng)的入侵使得通過網(wǎng)絡(luò)空間的手段影響甚至攻擊物理空間中的設(shè)備成為可能。甚至于入侵者無需影響原有系統(tǒng)僅僅是竊取企業(yè)網(wǎng)絡(luò)中的關(guān)鍵數(shù)據(jù)也會使得企業(yè)的競爭力受到極大影響，因此事件具有一定的里程碑性質(zhì)并引起了相關(guān)行業(yè)企業(yè)的極大重視。企業(yè)為了提高網(wǎng)絡(luò)的安全性保護關(guān)鍵數(shù)據(jù)和設(shè)備紛紛引入了防火墻（firewall）這一訪問控制技術(shù)。該技術(shù)一般通過分組來控制網(wǎng)絡(luò)間數(shù)據(jù)的傳輸并禁止非法數(shù)據(jù)的傳輸，保護網(wǎng)絡(luò)安全從而增大入侵的難度。但是防火墻并不是萬能的，也不是物理上將可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)分隔，它不能消除入侵的可能性。但是通過防火墻的侵檢測系統(tǒng)（IntrusionDetectionSystem）我們可以對網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)進行分析和檢測從而篩選出可疑的網(wǎng)絡(luò)活動從而提供預(yù)警或是下一步行動的基礎(chǔ)。1網(wǎng)絡(luò)安全配置1.2防火墻概述防火墻是一般用于可信網(wǎng)絡(luò)（防火墻內(nèi)，一般為內(nèi)網(wǎng)）和不可信網(wǎng)絡(luò)（防火墻外一般為Internet）之間并將二者進行分隔保護可信網(wǎng)絡(luò)的一種技術(shù)。由于網(wǎng)絡(luò)攻擊的方式來源的多樣，防火墻技術(shù)為了對抗這些攻擊就成為了涉及機網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全技術(shù)、軟件技術(shù)、安全協(xié)議、網(wǎng)絡(luò)標準化組織（ISO）的安全規(guī)范、安全操作系統(tǒng)等方面的復(fù)雜技術(shù)。如圖6-1在實際應(yīng)用中,防火墻通常用于隔離風(fēng)險區(qū)域(如Internet或其他存在一定風(fēng)險的網(wǎng)絡(luò))與安全區(qū)域(如內(nèi)部網(wǎng)或Intranet)之間的連接,例如公司的內(nèi)網(wǎng)和Internet之間。公司里的員工辦公需要Internet的協(xié)助，而企業(yè)內(nèi)網(wǎng)中的數(shù)據(jù)又需要保密希望僅允許授權(quán)用戶訪問的同時盡可能的避免其它不必要的來自Internet的訪問，降低網(wǎng)絡(luò)風(fēng)險。此時防火墻的包過濾功能就是一種行之有效的方案。1網(wǎng)絡(luò)安全配置1.2防火墻概述圖6-1防火墻示意圖在實際應(yīng)用中防火墻被視為是一種可以提供信息安全服務(wù)并實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。一般被用于不同網(wǎng)絡(luò)之間并作為網(wǎng)絡(luò)的出入口的大門，企業(yè)可以根據(jù)自己的安全需求編輯防火墻中的相關(guān)安全策略從而限制相關(guān)網(wǎng)絡(luò)間的活動保障企業(yè)的信息安全。在邏輯上，防火墻往往充當?shù)氖且粋€分離器、限制器和分析器，通過它企業(yè)可以有效監(jiān)管流經(jīng)防火墻的所有網(wǎng)絡(luò)活動，既可以限制不合理的數(shù)據(jù)流動又可以為對可疑網(wǎng)絡(luò)活動分析提供基礎(chǔ)?？偟膩碚f，防火墻的設(shè)計目的一般為以下幾點：1網(wǎng)絡(luò)安全配置1.2防火墻概述（1）對途經(jīng)防火墻的網(wǎng)絡(luò)活動進行限制，阻擋不符合要求的用戶或者數(shù)據(jù)（2）對用戶群體進行分類，并給予不同的訪問權(quán)限（3）對途經(jīng)的數(shù)據(jù)流進行監(jiān)控和分析由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此可以看成相對獨立的網(wǎng)絡(luò)，如Intranet等相對集中的網(wǎng)絡(luò)，目前防火墻正在成為控制對網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法也是對黑客防范最嚴、安全性較強的一種方式。任何關(guān)鍵網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間都建議放置一個防火墻用以保護關(guān)鍵數(shù)據(jù)。1網(wǎng)絡(luò)安全配置1.3防火墻使用根據(jù)所使用的技術(shù)不同防火墻可以分為分組過濾路由器和應(yīng)用級網(wǎng)關(guān)，本章主要介紹分組過濾路由器的原理以及使用方法。分組過濾路由器可以通過配置過濾規(guī)則對進出路由器的數(shù)據(jù)包執(zhí)行不同的操作，即發(fā)送或者丟棄來保證通信的安全。我們可以通過防火墻中提供的可供選擇的過濾條件來對經(jīng)過的數(shù)據(jù)進行篩選，一般而言數(shù)據(jù)包中的網(wǎng)絡(luò)層或者傳輸層的首部信息都可以作為過濾條件。例如常見的源/目的IP、源/目的端口、協(xié)議類型等等。1網(wǎng)絡(luò)安全配置基于IP的過濾基于IP的過濾規(guī)則是十分常見的一種過濾條件。如圖6-2所示，一臺IP為的服務(wù)器通過一個帶防火墻功能的路由器（EDR-810）與外部網(wǎng)絡(luò)相連接。為了保證服務(wù)器的數(shù)據(jù)安全，我們希望只有00-20范圍內(nèi)的IP可以和服務(wù)器進行通訊。圖6-2防火墻拓撲示意圖1網(wǎng)絡(luò)安全配置基于IP的過濾在路由器中所有的過濾規(guī)則以表格的形式展現(xiàn)在界面中，其序號越小的執(zhí)行優(yōu)先級越高。根據(jù)需求我們可得過濾規(guī)則為放行源地址在00-20范圍內(nèi)的IP以及目的IP為的數(shù)據(jù)包，丟棄其余源IP不在范圍內(nèi)但是目的IP仍為的數(shù)據(jù)包，如圖6-3所示。圖6-3IP過濾配置示意圖1網(wǎng)絡(luò)安全配置基于協(xié)議的過濾基于協(xié)議的過濾也是一種很常見的需求，例如公司不希望內(nèi)部網(wǎng)絡(luò)的設(shè)備花費大量的時間在訪問外部網(wǎng)絡(luò)的USENET新聞上因而影響工作效率，如圖6-4所示。其中內(nèi)部網(wǎng)絡(luò)對應(yīng)的網(wǎng)絡(luò)接口名稱為Inside，外部網(wǎng)絡(luò)對應(yīng)的網(wǎng)絡(luò)接口名稱為Outside。圖6-4基于協(xié)議防火墻拓撲示意圖1網(wǎng)絡(luò)安全配置基于協(xié)議的過濾為了限制內(nèi)部網(wǎng)絡(luò)用戶訪問外部網(wǎng)絡(luò)的網(wǎng)頁，我們可以通過兩個條件來進行篩選和限制路由器中相關(guān)的數(shù)據(jù)包。第一部分為從內(nèi)部到外部的流量，可以通過網(wǎng)絡(luò)接口進行篩選，即從Inside到Outside；第二部分為數(shù)據(jù)包協(xié)議，因為TCP的端口號指出了在TCP上面的應(yīng)用層服務(wù)。例如，端口號23是TELNET，端口號1883是MQTT等。而此時我們需要限制的協(xié)議為USENET，其對應(yīng)的端口號為119，所以我們可以通過這兩個條件將符合需求的數(shù)據(jù)包篩選出來并丟棄的同時避免對其他數(shù)據(jù)包的影響，如圖6-5所示。1網(wǎng)絡(luò)安全配置基于協(xié)議的過濾圖6-5防火墻規(guī)則配置示意圖2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)在互聯(lián)網(wǎng)上，所有公共IPv4地址都必須向互聯(lián)網(wǎng)注冊管理機構(gòu)（RIR）注冊。組織可以從其服務(wù)提供商處租用公共地址。擁有公共IP地址注冊的組織可以將該地址分配給其網(wǎng)絡(luò)設(shè)備，但是IPv4地址其理論最大容量約為43億。在BobKahn與VintCerf在1981年設(shè)計TCP/IP協(xié)議簇（包括IPv4）時個人計算機仍未普及，萬維網(wǎng)還有十多年才出現(xiàn)，當時的設(shè)計者沒有預(yù)料到后續(xù)個人計算機與網(wǎng)絡(luò)的爆發(fā)性發(fā)展。隨著個人計算機的計算機與萬維網(wǎng)的出現(xiàn)，IPv4地址很快耗盡，為了滿足日益增長的IP需求IETF提出幾種短期解決方案其中就有網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）。當然其根本性解決方案是推行IPv6，只是本章主要討論NAT協(xié)議其原理與使用方法。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.1NAT概述一般而言設(shè)備需要訪問Internet時都需要使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）服務(wù)，即由組織為內(nèi)部主機分配私有IP地址。當內(nèi)部主機訪問外部時通過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）服務(wù)將私有地址轉(zhuǎn)為公有IP地址，當流量從外部返回內(nèi)部時網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）服務(wù)將該流量重新轉(zhuǎn)換為內(nèi)部私有IP地址。目前公有IPv4地址已經(jīng)不能滿足每臺設(shè)備一個唯一的地址的聯(lián)網(wǎng)需求，通常使用RFC1918中定義的私有IPv4地址來實施網(wǎng)絡(luò)，如表6-1所示。表6-1RFC1918內(nèi)部地址范圍以上地址可以作為私網(wǎng)在企業(yè)、工廠中使用滿足其內(nèi)部設(shè)備間通訊需求。但是由于這些地址并沒有在前文中的互聯(lián)網(wǎng)注冊管理機構(gòu)（RIR）注冊過，所以私有IPv4地址無法通過互聯(lián)網(wǎng)路由。若是私網(wǎng)內(nèi)的設(shè)備需要訪問外部網(wǎng)絡(luò)的設(shè)備或者資源時就需要通過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）服務(wù)將私有地址轉(zhuǎn)為公有地址，如圖6-6所示。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.1NAT概述圖6-6NAT示意圖值得注意的是網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）服務(wù)將私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址的這一行為很多時候并不是一對一的，而是多對一的，也就是可以將多個私網(wǎng)地址轉(zhuǎn)為同一個公網(wǎng)地址。這一特性使得公網(wǎng)地址的使用效率大大提升，一個公網(wǎng)地址可以為整個私網(wǎng)的設(shè)備服務(wù)。NAT的出現(xiàn)極大的緩解了IPv4地址空間耗盡的問題，但是NAT并不是萬能的，其本身任有一些限制，所以為了根本性的解決這一問題還得是將IPv4過渡到IPv6。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.2NAT術(shù)語在NAT中一般我們常用的地址有四種：內(nèi)部本地地址、內(nèi)部全局地址、外部全局地址、外部本地地址。01內(nèi)部全局地址：當內(nèi)部網(wǎng)絡(luò)設(shè)備與外部網(wǎng)絡(luò)設(shè)備通訊時內(nèi)部網(wǎng)絡(luò)設(shè)備所使用的外部網(wǎng)絡(luò)地址，通常為公網(wǎng)地址。03外部本地地址：外部網(wǎng)絡(luò)中設(shè)備的IP地址，一般為公網(wǎng)IP。05內(nèi)部本地地址：內(nèi)部網(wǎng)絡(luò)中主機通訊時所用的地址，該地址全局唯一且一般為私網(wǎng)地址。02外部全局地址：內(nèi)部網(wǎng)絡(luò)看到的外部網(wǎng)絡(luò)中主機的地址，這一地址是面向內(nèi)部網(wǎng)絡(luò)設(shè)備時所使用的，不一定為公網(wǎng)地址。042網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.3NAT原理NAT有三種類型：靜態(tài)NAT（StaticNAT）、動態(tài)NAT（PooledNAT）、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port-LevelNAT）。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)靜態(tài)NAT靜態(tài)NAT其主要功能為實現(xiàn)本地地址與全局地址間一對一的地址映射，這些映射由網(wǎng)絡(luò)管理員進行配置，并保持不變。顯然這種方式對于節(jié)約公網(wǎng)IP幫助不大，一般用于一些特殊的組網(wǎng)需求，例如為了安全隱藏內(nèi)部主機的IP，或者在不改變設(shè)備IP且存在IP沖突的情況下實現(xiàn)設(shè)備間通訊等。圖6-7靜態(tài)NAT2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)靜態(tài)NAT以圖6-7為例，當內(nèi)部網(wǎng)絡(luò)中一臺地址為00的主機訪問外部網(wǎng)絡(luò)主機00時，數(shù)據(jù)包的源地址是00，目標地址是00，路由器在進行數(shù)據(jù)包轉(zhuǎn)發(fā)時將執(zhí)行以下過程：（1）路由器讀取數(shù)據(jù)包中的源IP地址，即00。再根據(jù)此IP地址在轉(zhuǎn)換表中檢索，如果表中存在對應(yīng)的轉(zhuǎn)換規(guī)則則繼續(xù)執(zhí)行轉(zhuǎn)換，如果沒有找到丟棄該數(shù)據(jù)包。（2）根據(jù)換標中的轉(zhuǎn)換規(guī)則將原本的源地址替換為規(guī)則中的公網(wǎng)地址，即00，替換完畢后轉(zhuǎn)發(fā)該數(shù)據(jù)包。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)靜態(tài)NAT（3）當00的主機收到并處理完經(jīng)過NAT轉(zhuǎn)換后的數(shù)據(jù)包后，會將處理結(jié)果發(fā)送回00。（4）路由器接收到返回數(shù)據(jù)包后依據(jù)包中的目的IP地址在轉(zhuǎn)換表中進行檢索從而得到目的IP為00的數(shù)據(jù)包對應(yīng)的內(nèi)部本地IP地址即00。然后路由器將包中的源目的IP地址替換為檢索到的對應(yīng)數(shù)據(jù)即00后轉(zhuǎn)發(fā)回內(nèi)部。（5）內(nèi)部00主機接收到00主機處理完后返回的數(shù)據(jù)包，此次通信結(jié)束。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)動態(tài)NAT動態(tài)地址轉(zhuǎn)換（動態(tài)NAT）主要功能為實現(xiàn)本地地址與全局地址之間多對多的地址映射，并自動管理可用地址降低運維與部署成本。例如，如果有40個內(nèi)部地址和20個全局地址，當內(nèi)部網(wǎng)絡(luò)設(shè)備需要訪問外部設(shè)備時自動的在20個全局地址中分配一個可用的全局地址，從而不在需要人工配置一對一的映射。但是值得注意的是，一旦全局地址分配完畢，那么其它主機只能等待被占用的公網(wǎng)地址被釋放后才能使用被釋放的地址。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)6-8動態(tài)NAT以圖6-8為例，在開啟動態(tài)NAT后，路由器中會維護一個地址池里面記錄了所有可以被使用的公網(wǎng)地址，所有地址池中地址默認處于NotUse狀態(tài)。當某個內(nèi)網(wǎng)設(shè)備需要訪問外網(wǎng)時路由器會從地址池中找尋一個處于NotUse狀態(tài)的公網(wǎng)地址并分配給這個內(nèi)網(wǎng)地址，此時該公網(wǎng)地址在地址池中的狀態(tài)變?yōu)镮nUse。分配完畢后，該內(nèi)網(wǎng)設(shè)備與外網(wǎng)通信時路由器的工作流程與靜態(tài)NAT時相同，可以參考靜態(tài)NAT設(shè)置。當內(nèi)網(wǎng)主機與公網(wǎng)主機的通信連接結(jié)束以后，為了節(jié)省地址路由器會及時收回分配給該內(nèi)網(wǎng)主機的公網(wǎng)地址，并刪除該內(nèi)網(wǎng)主機與公網(wǎng)地址的對應(yīng)關(guān)系。這時回收的公網(wǎng)地址在地址池中的狀態(tài)由InUse轉(zhuǎn)為NotUse，當有新的內(nèi)網(wǎng)主機需要訪問外網(wǎng)時就可以使用剛剛回收的該公網(wǎng)地址了。需要注意的是，每次內(nèi)網(wǎng)主機與外網(wǎng)通信時其所獲得的公網(wǎng)IP不一定是相同。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)6-8動態(tài)NAT因為每次重新與外網(wǎng)建立通信時是由路由器在地址池中分配一個狀態(tài)為NotUse的公網(wǎng)地址，這一點與靜態(tài)NAT固定的一一對應(yīng)的關(guān)系并不相同。但是也因為這個機制使得路由器可以最大化的利用公網(wǎng)地址，哪個內(nèi)網(wǎng)設(shè)備需要就分配給哪個，從而提升了公網(wǎng)地址的利用效率。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT主要功能為將多個私有IPv4地址映射到單個IPv4地址或幾個地址從而使得一個或幾個公網(wǎng)IP地址就可以將數(shù)千名用戶連接至因特網(wǎng)，其核心在于利用端口號實現(xiàn)公網(wǎng)和私網(wǎng)的轉(zhuǎn)換。這也是我們絕大多數(shù)家用路由器所采用的方式。當路由器需要處理多對一的IP的地址轉(zhuǎn)換時相較于靜態(tài)NAT和動態(tài)NAT會帶來新的問題，當有多個內(nèi)部地址去訪問外部網(wǎng)絡(luò)的某一地址時，無法區(qū)分不同內(nèi)部地址訪問后返回的流量。所以網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT會通過端口號對每個內(nèi)部地址進行跟蹤，當其發(fā)起TCP/IP會話時，它就生成一個TCP或者UDP源端口值或?qū)ｉT為ICMP分配的查詢ID，用來唯一標識該會話，當路由器收到數(shù)據(jù)包時就會使用其源端口號來唯一確定特定的NAT轉(zhuǎn)換。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT通過傳輸層中對于端口的限制確保內(nèi)部設(shè)備對同一個外部設(shè)備會話使用不同的TCP端口號。當外部設(shè)備返回響應(yīng)時，源端口（在響應(yīng)中為目標端口號）決定路由器將數(shù)據(jù)包轉(zhuǎn)發(fā)到哪個設(shè)備，同時該過程還會驗證傳入數(shù)據(jù)包是否是請求數(shù)據(jù)包因而在一定程度上提高的會話的安全性。圖6-9演示了該NAPT過程，將唯一的源端口號添加到內(nèi)部全局地址上來區(qū)分不同的內(nèi)部IP地址。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT圖6-9NAPT以圖6-9為例，當內(nèi)部網(wǎng)絡(luò)中一臺地址為的主機訪問外部網(wǎng)絡(luò)主機00時，數(shù)據(jù)包的源地址是，目標地址是00，路由器在進行數(shù)據(jù)包轉(zhuǎn)發(fā)時將執(zhí)行以下過程：（1）路由器從通信的第一個數(shù)據(jù)包中提取出源地址、源端口號2131、目的地址00和目的端口號80，選擇一個大于1024的未被使用的端口號（如2131），連同路由器的出口地址07，將這些信息記錄在轉(zhuǎn)換表中。在轉(zhuǎn)換表中源地址為，源端口號為2131的數(shù)據(jù)對應(yīng)為地址07，端口號2131。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（2）路由器在根據(jù)內(nèi)網(wǎng)設(shè)備的地址對應(yīng)的轉(zhuǎn)換表的記錄，將原數(shù)據(jù)包中的源地址替換為07，源端口2131替換為2131，替換完畢后進行轉(zhuǎn)發(fā)。（3）當00的主機收到并處理完經(jīng)過NAT轉(zhuǎn)換后的數(shù)據(jù)包后，會從80端口將處理結(jié)果發(fā)送回07，目的端口號為2131。（4）路由器接收到返回數(shù)據(jù)包后依據(jù)包中的目的IP地址在轉(zhuǎn)換表中進行檢索從而得到目的IP為07端口為2131的記錄。然后將數(shù)據(jù)包中的目的地址修改為記錄對應(yīng)的，將目的端口替換為記錄中對應(yīng)的2131，替換完畢后轉(zhuǎn)發(fā)回內(nèi)部網(wǎng)絡(luò)。若是在轉(zhuǎn)換表中無法根據(jù)目的IP和端口號檢索到相關(guān)的記錄，則丟棄該數(shù)據(jù)包。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（5）內(nèi)部主機接收到00主機處理完后返回的數(shù)據(jù)包，此次通信結(jié)束。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.4NAT配置由于目前網(wǎng)絡(luò)中NAT的廣泛應(yīng)用，所以如何正確的配置不同類型的NAT非常重要。在這一部分您將看到如何在MOXA路由器上配置NAT服務(wù)，從而提升地址的利用效率。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)靜態(tài)NAT配置靜態(tài)NAT需要逐個定義內(nèi)部地址與外部地址的一一映射關(guān)系，其允許外部設(shè)備使用映射中的外部地址訪問內(nèi)部設(shè)備。例如圖6-10中所示，內(nèi)部網(wǎng)絡(luò)設(shè)備IP為00，需要通過分配的外部IP00與外部網(wǎng)絡(luò)中的00通訊。圖6-10靜態(tài)NAT拓撲圖2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)靜態(tài)NAT配置（1）建立外部網(wǎng)絡(luò)接口：如圖6-10中所示，路由器中除了默認網(wǎng)段外還需要連接一個網(wǎng)段。不妨設(shè)外部網(wǎng)絡(luò)通過路由器的端口1連接，則我們可以按照圖6-11配置VLAN，按照圖6-12配置網(wǎng)絡(luò)接口。圖6-11VLAN配置2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)靜態(tài)NAT配置圖6-12網(wǎng)絡(luò)接口配置（2）建立靜態(tài)NAT：由于本次采用靜態(tài)NAT，所以我們只需要定義好內(nèi)部本地地址和內(nèi)部全局地址的映射關(guān)系即可。我們需要在GlobalIP中輸入需求的全局地址00，在LocalIP中輸入對應(yīng)的內(nèi)部本地地址00，如圖6-13所示。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)靜態(tài)NAT配置圖6-13NAT配置2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT配置網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT允許路由器為許多內(nèi)部本地地址使用一個內(nèi)部全局地址，從而節(jié)省了內(nèi)部全局地址，使得公網(wǎng)IPv4地址利用效率大大提高。配置完畢此類轉(zhuǎn)換后路由器中將會保存相關(guān)高層協(xié)議信息（如TCP\UDP端口號）用于保證內(nèi)部全局地址與內(nèi)部本地地址的正確轉(zhuǎn)換。例如圖6-14所示，內(nèi)部網(wǎng)絡(luò)中-的設(shè)備需要使用同一個內(nèi)部全局IP00與外部網(wǎng)絡(luò)中的00通訊。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT配置圖6-14NAPT示例拓撲示意圖（1）定義內(nèi)部網(wǎng)絡(luò)接口：不妨設(shè)內(nèi)部網(wǎng)絡(luò)通過路由器的端口3-5連接路由器。所以此時路由器的端口3-5對應(yīng)到同一個VLAN和同一個網(wǎng)絡(luò)接口，我們首先為路由器的端口32網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT配置-5分配VLAN，如圖6-15所示。圖6-15定義內(nèi)部網(wǎng)絡(luò)VLAN然后可以為端口3-5分配內(nèi)部網(wǎng)絡(luò)所對應(yīng)的網(wǎng)段的網(wǎng)絡(luò)接口如圖6-16所示。圖6-16定義內(nèi)部網(wǎng)絡(luò)接口2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT配置（2）定義外部網(wǎng)絡(luò)接口：不妨設(shè)內(nèi)部網(wǎng)絡(luò)通過路由器的端口2連接路由器。我們首先為路由器的端口2分配VLAN，如圖6-17所示。圖6-17定義外部網(wǎng)絡(luò)VLAN然后可以為端口2配外部網(wǎng)絡(luò)所對應(yīng)的網(wǎng)段的網(wǎng)絡(luò)接口如圖6-18所示。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT配置圖6-18定義外部網(wǎng)絡(luò)接口（3）定義NAPT：由于本次采用NPAT，所以我們需要定義好內(nèi)部本地地址