h3c端口绑定mac地址步骤（H3C网络工程师从0-1入门到精通教程）

---

创作立场声明：每个人站在不同立场，内容就会有所偏重，客观与否还请大家指正，期待深入探讨交流。

---

中小型企业网站建设的设计思路及要点：

可以看到，在企业网络架构中，有用到非常多的产品：交换机、路由器、防火墙、IDS、IPS、服务器等设备，因此科学合理规划设计就尤为重要。

企业网络架构有三层：接入层、汇聚层、核心层。

接入层接入不同的部门，不同的部门属于不同的VLAN，保证了不同部门之间的安全。

核心层有两个核心交换机，实现负载均衡和热备份，即使有一个核心交换机宕机了，网络也不会瘫痪。

对内服务器有一个IDS入侵检测系统，检测对内服务器的安全。

对外服务器有一个 WAF和IDS ，用来检测外网用户对对外服务器的访问

边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换。

在网络出口处，还有IPS入侵检测系统，实时检测是否有异常攻击行为，并及时阻断。

出口路由器由两个不同的运营商提供，提供对公网路由

防火墙、IPS 和 边界路由器都有两个，实现负载均衡和热备份。即使任何一个宕机了，都不会影响企业网络的正常运作。

根据需求分析如下内容：

1、使用合理的IP子网划分，保证合理性与可扩展性、汇总性、控制性

2、保证冗余性，包括链路冗余与设备冗余

3、安全性，保护重要的部门，除了特定人员可以访问外，其余部门不允许访问，比如财务部，有效的控制病毒、ARP的攻击

4、无线终端，考虑到公司手机与移动电脑增多，增加无线功能，提供给设备连接，要求实现验证功能，而访客区，不进行认证，但不能连接到公司内部，只能访问公司提供的网页服务与Internet连接。

5、保证在正常情况下，访问Internet都是走电信出口，当出现问题后，用网通出去，保证冗余性，需实现自动切换。并且实施NAT技术。

部署思路：

接入层：主要是用户接入识别、严格控制非法用户接入，等

汇聚层：流量访问控制、制定访问策略，等等

核心层：流量高速转发、高可用，等

防火墙：流量出口负载均衡、NAT、域间策略，等

包含的配置：

1、定义IP地址规划表项，方便配置

2、规划VLAN，以及对应的网关地址

3、实施VLAN配置，并且配置交换机之间的链路为Trunk，接入交换机面对终端为Access，无线部分为Hybrid或者Trunk，接防火墙设备为Access

4、配置IP地址，保证直连可达

5、配置MSTP技术、VRRP、端口聚合技术，保证全网无环路、高可靠性、冗余性存在

6、配置路由实现全网可达

7、配置DHCP服务，以及中继，使得PC能够正常获取地址以及DNS等参数

8、配置无线部分，能够让AP正常上线，以及PC能够连接网络，并且获取地址，实现特定需求

9、防火墙配置策略、NAT、VPN等技术，实现访问Internet

话不多说，开始我们今天的内容分享吧。

---

H3CNE-3-OSI模型、TCP IP模型

OSI模型：

开放式系统互联通信参考模型（英语：Open System Interconnection Reference Model，缩写为 OSI），简称为OSI模型（OSI model），一种概念模型，由国际标准化组织提出，一个试图使各种计算机在世界范围内互连为网络的标准框架。定义于ISO/IEC 7498-1。

OSI参考模型的划分：

---

数据包结构：

每一层都有自己的设备及协议：

　　(1)物理层

　　设备：网卡、网线、集线器、中继器、调制解调器

　　(2)数据链路层

　　设备：网桥、交换器

　　(3)网络层

　　设备：路由器

　　(4)网关工作在第四层传输层及其以上

　　(5)交换器的介绍：

　　是用来进行报文交换的机器。多为链路层设备（二层交换机），能够进行地址学习，采用存储转发的形式来交换报文。

　　(6)集线器的介绍：

　　是物理层设备，采用广播的形式来传输信息。

　　(7)介绍路由器的作用：　　第一个作用是连接不同的网络，另一个作用是选择信息传送的线路。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信的负荷，节约网络系统资源，提高网络系统畅通率。

注：网络中的传输中是按比特计算的，比如：网路交换机带宽分为：10Mb/s、100Mb/s、1000Mb/s，10000Mb/s(1Gb/s)。Mb/s换算MB/s：1Mb/s=0.125MB/s。

物理层：

传输数据单元：比特（Bit）

典型的设备：网线、集线器、中继器、调制解调器

物理层是实现最终信号的传输是通过物理层来实现的（是实实在在的物理链路），通过物理介质传输比特流。它负责将数据以比特的方式发送、接收。那物理介质有哪些：有速度、电缆针脚等，还有典型的设备。

典型设备的介绍：

（1）网卡：

网络接口控制器（英语：network interface controller，NIC），又称网络接口控制器，网络适配器（network adapter），网卡（network interface card），或局域网接收器（LAN adapter），是一块被设计用来允许计算机在计算机网络上进行通讯的计算机硬件。由于其拥有MAC地址，因此属于OSI模型的第1层。它使得用户可以通过电缆或无线相互连接。每一个网卡都有一个被称为mac地址的独一无二的48位串行号，它被写在卡上的一块ROM中。在网络上的每一个计算机都必须拥有一个独一无二的MAC地址。没有任何两块被生产出来的网卡拥有同样的地址。这是因为电气电子工程师协会（IEEE）负责为网络接口控制器销售商分配唯一的mac地址。ethernet规定接入interne的设备都必须具备网卡，发送端和接收端的地址便是指网卡的地址，即mac地址。

mac地址的理解：

每块网卡出厂时都会被烧制上一个世界唯一的mac地址，长度为48位2进制，通常由12位16进制数表示，注：前六位是厂商编号，后六位是流水线号。

（2）中继器：中继器是位于第1层（OSI参考模型的物理层）的网络设备。当数据离开源在网络上传送时，它是转换为能够沿着网络介质传输的电脉冲或光脉冲的——这些脉冲称为信号（signal）。当信号离开发送工作站时，信号是规划的，而且很容易辨认出来。但是，当信号沿着网络介质进行传送时， 随着经过的线缆越来越长，信号就会变得越来越弱，越来越差。中继器的目的是在比特级别对网络信号进行再生（放大信号）和重定时，从而使得它们能够在网络上传输更长的距离。

（3）集线器：

集线器的目的是对网络信号进行再生和重定时。它的特性与中继器很相似（被称为多端口中继器multiport repeater）。HUB是网络中各个设备的通用连接点，它通常用于连接LAN的分段。HUB含有多个端口。每一个分组到达某个端口时，都会被复制到其他所有端口，以便所有的LAN分段都能看见所有的分组。集线器并不认识信号、地址或数据中任何信息模式。

注：一个中继器与集线器设备的线缆的数量区别：中继器通常有两个端口，而集线器通常有4到20个或更多的端口。

（4）调制解调器：

调制解调器是Modulator（调制器）与Demodulator（解调器）的简称，中文称为调制解调器（港台称之为数据机），根据Modem的谐音，亲昵地称之为“猫”。它是在发送端通过调制将数字信号转换为模拟信号，而在接收端通过解调再将模拟信号转换为数字信号的一种装置。

调制的理解：就是把数字的信号转换成电话线上传输的模拟信号。

解调的理解：是把模拟信号转换成数字信号，这些合称为调制解调器。

明白地说：物理层的作用就是组网，把一个个电脑的光缆、电缆、双绞线、无线电波等方法连接起来。

数据链路层：

传输数据单位：帧（Frame）

典型的设备：网桥、交换机。

数据链路层在物理层提供的服务基础上向网络提供服务，将比特信息封装成数据帧（Frame），数据链路层在不可靠的物理介质上提供可靠的传输（负责准备物理传输）。我们所熟知的MAC地址和交换机都工作在这一层。作用包括：物理地址寻址、数据的成帧、数据的检错、重发、流量控制等。数据的单位称为帧。

物理链路（物理线路）：是由传输介质与设备组成的。原始的物理传输线路是指没有采用高层的差错控制的基本的物理传输介质与设备。

数据链路（逻辑线路）：在物理线路之上，通过一些规程或协议来控制这些的数据的传输，一保证被传输数据的正确性。

常用的协议介绍：

• ARQ（Automatic Repeat-reQuest ）自动重传请求协议，错误纠正协议之一，包括停止等待ARQ 协议和连续ARQ 协议，错误侦测、正面确认、逾时重传与负面确认继以重传等机制。

• CSMA/CD(Carrrier Sense Multiple Access with Collision Detection)载波监听多点接入/碰撞检测协议。总线型网络，协议的实质是载波监听和碰撞检测。载波监听即发数据前先检测总线上是否有其他计算机在发送数据，如暂时不发数据，避免碰撞。碰撞检测为计算机边发送数据边检测信道上的信号电压大小。

• PPP(Point-to-Ponit Protocol)点对点协议面向字节，由三部分组成：一个将IP 数据报封装到串行链路的方法；一个用于建立、配置和测试数据链路连接的链路控制协议

• LCP(Link Control Protocol) ：一套网络控制协议NCP 。

• HDLC （High-Level Data Link Control ）高级数据链路控制同步网上传输数据、面向比特的数据链路层协议。

• ATM （Asynchronous Transfer Mode ）异步传递方式，建立在电路交换和分组交换的基础上的一种面向连接的快速分组交换技术。 “异步”是指将ATM 信元“异步插入”到同步的 SDH 比特流中。如同步插入则用户在每帧中所占的时隙相对位置固定不变。“同步”是指网络中各链路上的比特流都是受同一非常精确的主时钟的控制。Wi-Fi 、WiMAX 、DTM 、令牌环、以太网、FDDI 、帧中继、 GPRS 、 EVDO 、HSPA 、L2TP 、ISDN。

概述以太网协议;

早期的时候各个公司都有专门属于自己的分组方式，后来形成了统一的标准，那以以太网协议ethernet

了解ethernet：

• 一组电信号构成一个数据包，叫做帧

• 每一数据帧分成：报头head和data两部分

headdata

head包含：（固定18个字节）

• 发送者/原地址，6个字节

• 接收者/目标地址，6个字节

• 数据类型，6个字节

data包含：（最短46字节，最长1500字节）

• 数据包的具体内容

head长度 data长度=最短64字节，最长1518字节，超过最大限制就分片发送

网络层：

传输数据单元：数据包（Packet）。

典型的设备：路由器、防火墙、三层交换器。

网络层就是通过IP来建立两个节点之间的连接。由于TCP/IP协议体系中的网络层功能由IP协议规定和实现，故又称IP层 。负责管理网络地址，定位设备，决定路由。

它有两个主要功能，一个是寻址，一个是路由。

了解寻址：对网络层而言使用IP地址来唯一标识互联网的设备，网络层依靠IP地址进行相互通信（类似于数据链路层的MAC地址）

了解路由：在同一个网络中的内部通信并不需要网络层设备，仅仅靠数据链路层就可以完成相互通信，对于不同的网络之间相互通信则必须借助路由器等三层设备。

比好：使用QQ来给你的朋友发消息，就必须要知道你朋友的QQ号，通过QQ号来给他发消息，因此就建立了连接，这个QQ号就相当于一个IP的节点。

典型设备介绍：

路由器

路由器（英语：Router，又称路径器）是一种电讯网络设备，提供路由与转送两种重要机制，可以决定数据包从来源端到目的端所经过的路由路径（host到host之间的传输路径），这个过程称为路由；将路由器输入端的数据包移送至适当的路由器输出端（在路由器内部进行），这称为转送。路由工作在OSI模型的第三层——即网络层，例如网际协议（IP）。

路由器就是连接两个以上个别网路的设备。

常用协议介绍：

• IP (IPv4 · IPv6) (Internet Protocol) 网络之间互连的协议
• ARP (Address Resolution Protocol) 即地址解析协议，实现通过IP 地址得 知其物理地址。
• RARP (Reverse Address Resolution Protocol)反向地址转换协议允许局域 网的物理机器从网关服务器的 ARP 表或者缓存上请求其 IP地址。
• ICMP (Internet Control Message Protocol ）Internet 控制报文协议。它是TCP/IP 协议族的一个子协议，用于在IP 主机、路由器之间传递控制消息。
• ICMPv6 :
• IGMP (Internet Group Management Protocol) Internet 组管理协议,是因特 网协议家族中的一个组播协议，用于 IP 主机向任一个直接相邻的路由器报 告他们的组成员情况。
• RIP (Router information protocol) 路由信息协议是一种在网关与主机之间交换路由选择信息的标准。
• OSPF (Open Shortest Path Firs)开放式最短路径优先,分布式链路状态协议。
• BGP（Border Gateway Protocol ）边界网关协议，用来连接Internet 上独立系统的路由选择协议.采用路径向量路由选择协议。
• IS-IS （Intermediate System to Intermediate System Routing Protocol ）中间系统到中间系统的路由选择协议.
• IPsec (IP Secure) “Internet 协议安全性”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。

ARP协议

由来：计算机通信基本靠吼，即广播的方式，所有上层的包到最后都要封装上以太网，然后通过以太网协议发送，在谈及以太网协议时候，我们了解到

通信是基于mac的广播方式实现，计算机在发包时，获取自身的mac是容易的，如何获取目标主机的mac，就需要通过arp协议

功能：广播的方式发送数据包，获取目标主机的mac地址

例如：主机172.16.10.10/24访问172.16.10.11/24

：这个包会以广播的方式在发送端所处的自网内传输，所有主机接收后拆开包，发现目标ip为自己的，就响应，返回自己的mac

传输层：

传输数据单元：数据段（Segment）

典型的设备：进程和端口

传输层建立在网路层和会话层之间，作用是为了上层协议提供端到端（最终用户到最终用户）的透明和可靠的数据传输服务，负责分割、组成数据、实现端到端的逻辑连接。我们常说的，传输协议的代表包括：UDP和TCP，那这里的‘端’就是端口号。

常用协议介绍

• TCP （Transmission Control Protocol ）传输控制协议提供可靠的面向连接的服务，传输数据前须先建立连接，结束后释放。可靠的全双工信道。可靠、有序、无丢失、不重复。
• UDP (User Datagram Protocol ）用户数据报协议发送数据前无需建立连接，不使用拥塞控制，不保证可靠交付，尽最大努力交付。
• DCCP （Datagram Congestion Control Protocol ）数据报告控制协议
• SCTP （STREAM CONTROL TRANSMISSION PROTOCOL ）流控制传 输协议
• RTP(Real-time Transport Protocol ）实时传送协议
• RSVP （Resource ReSer Vation Protocol ）资源预留协议
• PPTP ( Point to Point Tunneling Protocol ）点对点隧道协议

注：端口范围0-65535,0-1023为系统占用端口

TCP协议：

可靠传输，TCP数据包没有长度限制，理论上可以无限长，但是为了保证网络的效率，通常TCP数据包的长度不会超过IP数据包的长度，以确保单个TCP数据包不必再分割。

会话层：

会话层就是负责建立、管理和终止表示层实体之间的通信会话，负责建立、维护、控制会话，区分不同的会话，以及提供单工（Simplex）、半双工（Halfduplex）、全双工（Full duplex）三种通信模式的服务。会话层不参与具体的传输，它提供访问验证和会话管理在内的建立和维护应用之间的通信的机制。比如服务器验证用户登录便是由会话中心来完成的。

会话层服务

认证

权限

会话恢复：包括检查点和恢复点

会话层在OSI的模型负责会话检查和恢复，它允许不同来源的信息流作适当的合并或同步化。

会话层的主要功能：

1.为会话实体间创建连接：为给两个对等会话服务用户创建一个会话连接，应该做如下几项工作

（1）将会话地址映射为运输地址

（2）选着需要的运输服务质量参数（QoS）

（3）对话会参数进行协商

（4）识别各个会话连接

（5）传送有限的透明用户数据

2.数据传输阶段：这个阶段是在两个会话用户之间实现由组织的，同步的数据传输，用户数据单元为SSDU，而协议数据单元为SPDU，会话用户之间的数据传送过程是将SSDU转变成SPDU进行的。

3.连接释放：连接释放是通过“有序释放”，“废弃”，“有限量透明用户数据传送”

等功能单元来释放会话连接的。

表示层：

表示层是提供数据格式转换服务，负责数据的编码、转化、确保应用层的正常工作。是我们看到的界面与二进制间互相转化的地方，就是我们的语言与机器语言间的转化。

简单理解就是：格式化数据。格式化的数据其实就是删除所有的数据。

表示层的主要功能：

1.数据语法转换

2.语法表示

3.连接管理

4.数据处理：

（1）数据加密和解密

（2）数据压缩和解压

（3）数据编码和解码

常用的表示协议：

• HTTP/HTML
• FTP
• Telnet
• ASN.1

应用层：应用层是最靠近用户的一层，是为了计算机用户提供应用的接口、也直接提供各种网络服务。

常见的表示层协议

• AFP
• APPC
• BitTorrent
• CFDP
• DHCP
• DNS
• FTAM
• FTP
• Gopher
• HTTP
• IMAP
• iTMS
• IRC
• LDAP
• Modbus
• NFS
• NNTP
• NTP
• POP3
• SIP
• SMB
• SMTP
• SNMP
• SNTP
• SSH
• Telnet
• TFTP
• TSP
• Whois
• X.400
• X.500

网络通信：

想实现通络通信，必须必备四要素

（1）本机的IP地址

（2）子网掩码

（3）网关的IP地址

（4）DNS的IP地址

获取这四种要素要分为两种方式

1.静态获取（即手动配置）

2.动态获取（通过dhcp获取）

（1）最前面的”以太网标头”，设置发出方（本机）的MAC地址和接收方（DHCP服务器）的MAC地址。前者就是本机网卡的MAC地址，后者这时不知道，就填入一个广播地址：FF-FF-FF-FF-FF-FF。

（2）后面的”IP标头”，设置发出方的IP地址和接收方的IP地址。这时，对于这两者，本机都不知道。于是，发出方的IP地址就设为0.0.0.0，接收方的IP地址设为255.255.255.255。

（3）最后的”UDP标头”，设置发出方的端口和接收方的端口。这一部分是DHCP协议规定好的，发出方是68端口，接收方是67端口。

简单来说应用层：

就是应用程序，这一层负责确定通信对象，并确保有足够的资源用于通信，这些当然都是想要通信的应用程序干的事情。

,