【網絡工程】交換機經典配置及【文案】汽車系列

XX3Com8016交換機DHCP配置1功能需求及組網說明8016DHCP配置『配置環(huán)境參數』1.DHCPserver的IP地址192.168.0.10/242.DHCPserver連接在交換機G1/0/0，屬于vlan100，網關即vlan100虛接口地址/243.交換機通過G1/0/1連接SwitchAG1/1，G1/0/2連接SwitchBG1/14.SwitchA通過G2/1連接SwitchCG1/15.vlan10的用戶網段為/246.vlan20的用戶網段為/247.vlan30的用戶網段為/248.SwitchA和SwitchC為二層交換機，SwitchB為三層交換機『組網需求』1.8016作DHCPrelay，利用遠端DHCPserver為SwitchA下面的vlan10分配IP地址2.SwitchB上的vlan20用戶以8016上的vlan20虛接口為網關，8016作DHCPserver直接為其分配IP地址3.SwitchC上的vlan30用戶以SwitchB上的vlan30虛接口為網關，8016作DHCPserver為其分配IP地址2數據配置步驟『8016DHCPrelay數據流程』DHCPRelay的作用則是為了適應客戶端和服務器不在同一網段的情況，通過Relay，不同子網的用戶可以到同一個DHCPserver申請IP地址，這樣便于地址池的管理和維護?！?016DHCPrelay配置】1.DHCPserver要配置到一個VLAN上，這個VLAN可以是任意的，但是要實現(xiàn)Relay，不要將Server同任何客戶端配置到同一個VLAN內，建議專門劃出VLAN給DHCPserver組使用，這里將DHCP服務器組1對應的端口的VLAN配置為100。[Quidway]vlan100[Quidway-vlan100]portgigabitethernet1/0/0[Quidway]interfacevlanif1002.配置DHCPserver的網關地址[Quidway-Vlanif100]ipaddress3.配置DHCP服務器組1對應的IP地址。[Quidway]dhcprelayserver-group1server04.配置DHCP服務器組1服務的VLAN范圍為10[Quidway]dhcprelayserver-group1vlan105.進入G1/0/1，設置為trunk端口，允許vlan10通過[Quidway-gigabitethernet1/0/1]porttrunkpermitvlan106.配置VLAN10的對應網關地址。[Quidway]interfacevlanif10[Quidway-Vlanif10]ipaddress『8016作DHCPserver數據流程』內置DHCPserver下掛的用戶類型有兩種：一種是S8016的VLAN用戶，用戶直接向S8016發(fā)起DHCP請求，這類稱為VLAN地址池用戶；另一種是中間經過了DHCP中繼設備（例如MA5200設備），DHCP請求在到達S8016之前經過了DHCPrelay，這類稱為全局地址池用戶?！?016vlan用戶】1.用戶所在VLANID為20，創(chuàng)建并進入VLAN配置視圖。[Quidway]vlan202.將VLAN20用戶地址分配方式設置為本地。[Quidway-vlan20]addressallocatelocal3.配置VLAN20接口IP地址，同時指定了DHCPserver可分配的地址資源為~55。[Quidway]interfacevlan20[Quidway-Vlanif20]ipaddress4.S8016下掛了一臺DNS服務器，IP地址是5，在S8016中設置DNS服務器的IP地址，同時將這個IP地址在地址池中禁止分配給用戶。[Quidway-vlan2]dhcpserverforbidden-ip5[Quidway-vlan2]dnsprimary-ip55.進入G1/0/2，設置為trunk端口，允許vlan20通過[Quidway-gigabitethernet1/0/2]porttrunkpermitvlan20【全局地址用戶】1.創(chuàng)建全局地址池，并命名為“abc”，地址池用戶網關地址為[Quidway]dhcpserverip-poolabc2.配置路由IP信息[Quidway]dhcpservergatewayabc3.S8016下掛了另外一臺DNS服務器，IP地址是5，在S8016中設置DNS服務器的IP地址，同時將這個IP地址在地址池中禁止分配給用戶。[Quidway]dnsprimary-ipabc5[Quidway]dhcpserverforbidden-ipabc54.配置VLAN200與SwitchB相應的虛接口vlan200在同一個網段[Quidway]interfacevlanif200[Quidway-Vlanif200]ipaddress【SwitchB相關配置】1.創(chuàng)建（進入）vlan30[SwitchB]vlan302.將E0/1加入到vlan30[SwitchB-vlan30]portEthernet0/13.實際當中一般將上行端口設置成trunk屬性，允許vlan透傳[SwitchB-GigabitEthernet2/1]portlink-typetrunk4.允許SwitchC的vlan從G2/1端口透傳通過[SwitchB-GigabitEthernet2/1]porttrunkpermitvlan305.實際當中一般將上行端口設置成trunk屬性，允許vlan透傳[SwitchB-GigabitEthernet1/1]portlink-typetrunk6.允許所有膙lan從E0/3端口透傳通過，也可以指定具體的vlan值[SwitchB-GigabitEthernet1/1]porttrunkpermitvlan307.創(chuàng)建（進入）vlan30的虛接口[SwitchB]interfaceVlan-interface308.給vlan30的虛接口配置IP地址[SwitchB-Vlan-interface30]ipaddress[SwitchB]9.定義一個DHCPserver[SwitchB]dhcp-server0ip[SwitchB-Vlan-interface30]dhcp-server010.創(chuàng)建（進入）vlan200的虛接口，vlan200用于SwitchB與8016互連[SwitchB]interfaceVlan-interface20011.給vlan200的虛接口配置IP地址[SwitchB-Vlan-interface200]ipaddress【SwitchC相關配置】1.創(chuàng)建（進入）vlan30[SwitchC]vlan302.將E0/1加入到vlan30[SwitchC-vlan30]portEthernet0/13.實際當中一般將上行端口設置成trunk屬性，允許vlan透傳[SwitchC-GigabitEthernet1/1]portlink-typetrunk4.允許所有的vlan從E0/3端口透傳通過，也可以指定具體的vlan值[SwitchC-GigabitEthernet1/1]porttrunkpermitvlan303測試驗證1.PC1、PC2和PC3都能夠正確的獲取IP地址和網關2.PC1、PC2和PC3都能夠PING通自己的網關及DHCPserverXX交換機端口鏡像配置--------------------------------------------------------------------------------【3026等交換機鏡像】S2008/S2016/S2026/S2403H/S3026等交換機支持的都是基于端口的鏡像，有兩種方法：方法一1.配置鏡像（觀測）端口[SwitchA]monitor-porte0/82.配置被鏡像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2方法二1.可以一次性定義鏡像和被鏡像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8【8016交換機端口鏡像配置】1.假設8016交換機鏡像端口為E1/0/15，被鏡像端口為E1/0/0，設置端口1/0/15為端口鏡像的觀測端口。[SwitchA]portmonitorethernet1/0/152.設置端口1/0/0為被鏡像端口，對其輸入輸出數據都進行鏡像。[SwitchA]portmirroringethernet1/0/0bothethernet1/0/15也可以通過兩個不同的端口，對輸入和輸出的數據分別鏡像1.設置E1/0/15和E2/0/0為鏡像（觀測）端口[SwitchA]portmonitorethernet1/0/152.設置端口1/0/0為被鏡像端口，分別使用E1/0/15和E2/0/0對輸入和輸出數據進行鏡像。[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0『基于流鏡像的數據流程』基于流鏡像的交換機針對某些流進行鏡像，每個連接都有兩個方向的數據流，對于交換機來說這兩個數據流是要分開鏡像的。【3500/3026E/3026F/3050】〖基于三層流的鏡像〗1.定義一條擴展訪問控制列表[SwitchA]aclnum1012.定義一條規(guī)則報文源地址為/32去往所有目的地址[SwitchA-acl-adv-101]rule0permitipsource0destinationany3.定義一條規(guī)則報文源地址為所有源地址目的地址為/32[SwitchA-acl-adv-101]rule1permitipsourceanydestination04.將符合上述ACL規(guī)則的報文鏡像到E0/8端口[SwitchA]mirrored-toip-group101interfacee0/8〖基于二層流的鏡像〗1.定義一個ACL[SwitchA]aclnum2002.定義一個規(guī)則從E0/1發(fā)送至其它所有端口的數據包[SwitchA]rule0permitingressinterfaceEthernet0/1(egressinterfaceany)3.定義一個規(guī)則從其它所有端口到E0/1端口的數據包[SwitchA]rule1permit(ingressinterfaceany)egressinterfaceEthernet0/14.將符合上述ACL的數據包鏡像到E0/8[SwitchA]mirrored-tolink-group200interfacee0/8【5516】支持對入端口流量進行鏡像配置端口Ethernet3/0/1為監(jiān)測端口，對Ethernet3/0/2端口的入流量鏡像。[SwitchA]mirrorEthernet3/0/2ingress-toEthernet3/0/1【6506/6503/6506R】目前該三款產品只支持對入端口流量進行鏡像，雖然有outbount參數，但是無法配置。鏡像組名為1，監(jiān)測端口為Ethernet4/0/2，端口Ethernet4/0/1的入流量被鏡像。[SwitchA]mirroring-group1inboundEthernet4/0/1mirrored-toEthernet4/0/2【補充說明】1.鏡像一般都可以實現(xiàn)高速率端口鏡像低速率端口，例如1000M端口可以鏡像100M端口，反之則無法實現(xiàn)2.8016支持跨單板端口鏡像XX路由器qoscar+nat+dhcp+vlan配置心得--------------------------------------------------------------------------------好久沒有寫博客了，也好久沒有泡壇了，工作壓力是大了很多，但實際上還是自己懶了很多，也比以前浮澡了很多，趁今天領導都去開會的機會，把昨天的幫客戶解決網絡問題的心得寫一下，供大家參考，也希望大家提出寶貴意見。客戶網絡環(huán)境：一個小型辦公網絡，有兩家公司（A、B）在一個寫字樓辦公，共申請一條4M獨享VDSL專線（其中A是繳3M的專線費用，B是繳1M的專線費用），共60臺電腦左右，各30臺電腦，各三臺非網管24口D-LINK交換機，一臺XX1821路由器（1wan口，4lan口）。用戶特殊需求：（1）、A、B不能互訪。（2）、A、B都通過XX路由器DHCP獲取地址。（3）、A、B帶寬必須劃分開，A享受3M帶寬，B享受1M帶寬（原來的時候B公司網絡流量過大經常影響到A公司網絡辦公）。簡單解決方案：根據現(xiàn)有網絡條件，實際上僅通過XX1821路由器可以實現(xiàn)以上功能，具體實施如下：（1）、在XX路由器1821內部網關口（eth1/0）劃分子接口（eth1/0.1、eth1/0.2），分別配置兩個網關（、），并分別進行封裝與vlan2、vlan3相對應。（2）、在XX路由器1821兩個lan口（eth1/1、eth1/2）劃分兩個vlan(vlan2、vlan3)。（3）、分別在兩個不同的邏輯子接口（eth1/0.1、eth1/0.2）配置nat并應用。（4）、分別在兩個不同的邏輯子接口（eth1/0.1、eth1/0.2）配置dhcp，在同一物理接口針對兩個vlan網絡應用dhcp來分配兩個不同的網段。（5）、由于該路由器lan口為二層端口，無法實現(xiàn)qoscar限速，只能考慮在其唯一的內部網關接口（eth1/0）的子接口上實現(xiàn)qoscar限速達到帶寬限制的作用。（6）、配置wan口地址（X、X、X、X），配置staticroute地址，大功告成。（7）、配置用戶登錄（super、console、vty等）用戶名及密碼（這里僅配置密碼模式）。（8）、測試并觀察端口信息、負載信息等，隨時調整相應策略，由于考慮到其設備處理能力及時間緊迫，并未增加太多策略（如ACL等）和功能。具體配置如下：#sysnameQuidway#clocktimezonegmt-12:000minus12:00:00#cpu-usagecycle1min#connection-limitdisableconnection-limitdefaultactiondenyconnection-limitdefaultamountupper-limit50lower-limit20#webset-packageforceflash:/http.zip#radiusschemesystem#domainsystem#local-user*******passwordcipher.]@*********service-typetelnetterminallevel3service-typeftp#aclnumber2000\\配置natAclrule0permitsource55#aclnumber3000\\配置natAclrule0permitipsource55aclnumber3001\\配置FirewallAclrule0denyipdestination55aclnumber3002\\配置FirewallAclrule0denyipdestination55#interfaceEthernet1/0ipaddressdhcp-alloc#interfaceEthernet1/0.1ipaddressdhcpselectinterface\\dhcp應用于子接口dhcpserverdns-list015firewallpacket-filter3001inbound\\firewallACL過濾應用于接口vlan-typedot1qvid2\\子接口封裝dot1qqoscarinboundanycir4096000cbs204800ebs1000greenpassreddiscard\\流量限速qoscar配置qoscaroutboundanycir4096000cbs204800ebs1000greenpassreddiscard\\流量限速qoscar配置#interfaceEthernet1/0.2ipaddressdhcpselectinterface\\dhcp應用于子接口dhcpserverdns-list015firewallpacket-filter3002inbound\\firewallACL過濾應用于接口vlan-typedot1qvid3\\子接口封裝dot1qqoscarinboundanycir1024000cbs51200ebs1000greenpassreddiscard\\流量限速qoscar配置qoscaroutboundanycir1024000cbs51200ebs1000greenpassreddiscard\\流量限速qoscar配置#interfaceEthernet1/1portaccessvlan2\\將e1/1端口加入vlan2#interfaceEthernet1/2portaccessvlan3\\將e1/1端口加入vlan2#interfaceEthernet1/3#interfaceEthernet1/4#interfaceEthernet2/0\\進入wan口配置ipaddressX、X、X、X24natoutbound3000natoutbound2000#interfaceNULL0#FTPserverenable#iproute-staticy、y、y、ypreference60#user-interfacecon0\\用戶登錄配置authentication-modepasswordsetauthenticationpasswordcipher0HB8%-MB%I^[Q1R','&6NQ!!user-interfacevty04userprivilegelevel3setauthenticationpasswordcipher0HB8%-MB%I^[Q1R','&6NQ!!#return[Quidway]XX路由器和交換機配置地址轉換--------------------------------------------------------------------------------一.端口：路由器——ethernet（以太口）、Serial（串口）、loopback（虛擬端口）交換機——ethernet、vlan、loopback注意：交換機默認其24個端口全在vlan1里面，交換機在給vlan配了ip之后就具有路由器的功能了。另一個需要注意的是，所用的端口是否被shutdown了，如果被shutdown了，需要進入相應的端口執(zhí)行undoshutdown。二.配置ip除了交換機的以太口不可以配置ip外，其他端口都可以，配置方法相同。[Quidway]interface*（所要配置的端口，如vlan1）[Quidway-*]ipadd*.*.*.*（ip）*.*.*.*（掩碼）/*（掩碼位數，一般只在路由器上適用）三.NAT上網（此命令是在VRP版本為3.4的路由器上測試的，在其他版本上是否適用，未經考察）組網圖：R1E0/2E0/3E0/1E1:192.192.169.*/24E0:/24Ip:0/24網關:Ip:1/24網關:Ip:2/24網關:Ip:3/24網關:PCAPCBPCCE0/4TointernetPCDS1E0/5NAPT工作過程：P191.用地址池的方法上網：首先配置路由器的接口的ip地址，然后配置地址轉換，把所有內網地址轉換成所配置的地址池中的地址，參考命令如下：[R1]aclnumber2000//在vrp為3.4的路由器上，2000-2999表示basicacl[R1-acl-basic-2000]rulepermitsource55（地址掩碼的反碼）[R1-acl-basic-2000]ruledenysourceany#這個訪問控制列表定義了IP源地址為/24的外出數據包[R1]nataddress-group1（地址池的組號）05#這條命令定義了一個包含6個公網地址（10～15）的地址池，地址池代號為1[R1]interfacee1[R1-Ethernet1]natoutbound2000（acl的編號）address-group1（地址池的代號）[R1]iproute-static（千萬不要忘記這一步，?。?上面設置了路由器的E0和E1端口IP地址，并在路由表中添加缺省路由。2.共用一個ip上網首先配置路由器的接口的ip地址，參考命令如下：system[Router]sysnameR1[R1]interfacee0[R1-Ethernet0]ipadd24[R1]interfacee1[R1-Ethernet1]ipadd024//這里假設出口ip是0然后配置地址轉換，參考命令如下：[R1]aclnumber2000//在vrp為3.4的路由器上，2000-2999表示basicacl[R1-acl-basic-2000]rulepermitsource55（地址掩碼的反碼）[R1-acl-basic-2000]ruledenysourceany#這個訪問控制列表定義了IP源地址為/24的外出數據包[R1]interfacee1[R1-Ethernet1]natserverprotocoltcpglobal0（E1的ip）inside（內網網關E0的ip）[R1-Ethernet1]natoutbound2000（acl的編號）[R1]iproute-static#上面設置了路由器的E0和E1端口IP地址，并在路由表中添加缺省路由。注：有的組網圖可能會復雜一些，比如交換機上劃分了vlan，需要在路由器上添加到交換機的路由四、配置路由1.默認路由[Quidway]iproute-static（目的地址）（地址掩碼）*.*.*.*（下一條地址）2.靜態(tài)路由[Quidway]iproute-static*.*.*.*（目的地址）*.*.*.*（地址掩碼）*.*.*.*（下一條地址）3.rip（交換機和路由器的配置相同）[Quidway]rip[Quidway-rip]network*.*.*.*（所要啟動rip協(xié)議的端口的網絡號）4.ospf（交換機和路由器的配置相同）[Quidway]routerid*.*.*.*[Quidway]ospf[Quidway-ospf]area*（啟動ospf的自治區(qū)域）[Quidway-ospf-area-0.0.0.*]network*.*.*.*（所要啟動rip協(xié)議的端口的網絡號）*.*.*.*（網絡掩碼的反碼）注：要注意交換機/路由器對應端口所在的自治區(qū)域。幀在網絡通信中的變化端口鏡像：將某些指定端口（出或入方向）的數據流量映射到監(jiān)控端口，以便集中使用數據捕獲軟件進行數據分析[S1]intere0/13[S1-Ethernet0/13]portlink–typeTrunk[S1-Ethernet0/13]porttrunkpermitVLAN23這樣E0/13既屬于VLAN2又屬于VLAN3，“Tagged”表示從該端口通過的保溫都要打上IEEE802.1q標記，用于標記該報文所屬的VLAN。區(qū)域內，每臺路由器描述的是自己能夠確保正確的信息--自己周邊的網絡拓撲結構--無論路由器位于網絡中什么位置，都可以準確無誤得接收到全網的拓撲結構圖；OSPF根據收集到的鏈路狀態(tài)用最短路徑樹算法計算路由，從算法上本身保證了不會生成自環(huán)路由；當網絡拓撲結構發(fā)生變化時，會有一臺或多臺路由器感知到這一變化，重新描述網絡拓撲結構，并將其通知給其它路由器，每個路由器收到更新信息后，都會立即重新運行最短路徑樹算法，得到新的路由。區(qū)域間，通過ABR將一個區(qū)域內已計算出的路由封裝成Type3類的LSA發(fā)送到另一個區(qū)域中來傳遞路由信息。此時的OSPF是基于D-V算法的。為消除自環(huán)，所有ABR將本區(qū)域內的路由信息封裝成LSA后統(tǒng)一發(fā)送給骨干區(qū)域，再由骨干區(qū)域將這些信息發(fā)送給其他區(qū)域，骨干區(qū)域內每一條LSA都確切知道生成者信息（所有區(qū)域必須和骨干區(qū)域相連，骨干區(qū)域自身也必須是連通的）。所以就不會產生路由自環(huán)。服務器00我要用的ip：13；網關：附：displayiproutingiproute-static*.*.*.*(目標ip)*.*.*.*(掩碼)*.*.*.*(下一條ip)iproute*.*.*.*(目標ip)*.*.*.*(掩碼)*.*.*.*(下一條ip)undoiproute-static*.*.*.*(目標ip)*.*.*.*(掩碼)*.*.*.*(下一條ip)import-routestatic將靜態(tài)路由引入ospfdisplayospflsa假如S1上的vlan3與R1的e0/0相連，要設定其Metric值為100[S1]intervlan3[S1-Vlan-interface3]ospfcost100[R1]intere0/0[R1-Ethernet0]ospfcost100[R1]tracert*.*.*.*(目標ip)1ip12ip23ip3說明R1到達目標先到ip1再到ip2再到ip3(目標)，由此可得出最短路徑樹查看交換機的ＭＡＣ地址：displayarpXX路由器交換機VLAN配置實例--------------------------------------------------------------------------------使用4臺PC（pc多和少，原理是一樣的，所以這里我只用了4臺pc），XX路由器（R2621）、交換機（S3026e）各一臺，組建一VLAN，實現(xiàn)虛擬網和物理網之間的連接。實現(xiàn)防火墻策略，和訪問控制（ACL）。方案說明：四臺PC的IP地址、掩碼如下列表：P1網關IP為P2網關IP為P3網關IP為P4網關IP為路由器上Ethernet0的IP為Ethernet1的IP為firewall設置默認為deny實施命令列表：交換機上設置，劃分VLAN：sys//切換到系統(tǒng)視圖[Quidway]vlanenable[Quidway]vlan2[Quidway-vlan2]porte0/1toe0/8[Quidway-vlan2]quit//默認所有端口都屬于VLAN1,指定交換機的e0/1到e0/8八個端口屬于VLAN2[Quidway]vlan3[Quidway-vlan3]porte0/9toe0/16[Quidway-vlan3]quit//指定交換機的e0/9到e0/16八個端口屬于VLAN3[Quidway]disvlanall[Quidway]discu路由器上設置，實現(xiàn)訪問控制：[Router]interfaceethernet0[Router-Ethernet0]ipaddress[Router-Ethernet0]quit//指定ethernet0的ip[Router]interfaceethernet1[Router-Ethernet1]ipaddress[Router-Ethernet1]quit//開啟firewall，并將默認設置為deny[Router]fireenable[Router]firedefaultdeny//允許訪問//firewall策略可根據需要再進行添加[Router]acl101[Router-acl-101]rulepermitipsourcedestination[Router-acl-101]quit//啟用101規(guī)則[Router-Ethernet0]firepa101[Router-Ethernet0]quit[Router-Ethernet1]firepa101[Router-Ethernet1]quitXX三層以太網交換機基本原理及轉發(fā)流程--------------------------------------------------------------------------------1.二層轉發(fā)流程1.1.MAC地址介紹MAC地址是48bit二進制的地址，如：00-e0-fc-00-00-06?？梢苑譃閱尾サ刂?、多播地址和廣播地址。單播地址：第一字節(jié)最低位為0，如：00-e0-fc-00-00-06多播地址：第一字節(jié)最低位為1，如：01-e0-fc-00-00-06廣播地址：48位全1，如：ff-ff-ff-ff-ff-ff注意：1）普通設備網卡或者路由器設備路由接口的MAC地址一定是單播的MAC地址才能保證其與其它設備的互通。2）MAC地址是一個以太網絡設備在網絡上運行的基礎，也是鏈路層功能實現(xiàn)的立足點。1.2.二層轉發(fā)介紹交換機二層的轉發(fā)特性，符合802.1D網橋協(xié)議標準。交換機的二層轉發(fā)涉及到兩個關鍵的線程：地址學習線程和報文轉發(fā)線程。學習線程如下：XX認證技術文章21）交換機接收網段上的所有數據幀，利用接收數據幀中的源MAC地址來建立MAC地址表；2）端口移動機制：交換機如果發(fā)現(xiàn)一個包文的入端口和報文中源MAC地址的所在端口不同，就產生端口移動，將MAC地址重新學習到新的端口；3）地址老化機制：如果交換機在很長一段時間之內沒有收到某臺主機發(fā)出的報文，在該主機對應的MAC地址就會被刪除，等下次報文來的時候會重新學習。注意：老化也是根據源MAC地址進行老化。報文轉發(fā)線程:1）交換機在MAC地址表中查找數據幀中的目的MAC地址，如果找到，就將該數據幀發(fā)送到相應的端口，如果找不到，就向所有的端口發(fā)送；2）如果交換機收到的報文中源MAC地址和目的MAC地址所在的端口相同，則丟棄該報文；3）交換機向入端口以外的其它所有端口轉發(fā)廣播報文。1.3.VLAN二層轉發(fā)介紹報文轉發(fā)線程:引入了VLAN以后對二層交換機的報文轉發(fā)線程產生了如下的影響：1）交換機在MAC地址表中查找數據幀中的目的MAC地址，如果找到（同時還要確保報文的入VLAN和出VLAN是一致的），就將該數據幀發(fā)送到相應的端口，如果找不到，就向（VLAN內）所有的端口發(fā)送；2）如果交換機收到的報文中源MAC地址和目的MAC地址所在的端口相同，則丟棄該報文；3）交換機向（VLAN內）入端口以外的其它所有端口轉發(fā)廣播報文。以太網交換機上通過引入VLAN，帶來了如下的好處：1）限制了局部的網絡流量，在一定程度上可以提高整個網絡的處理能力。2）虛擬的工作組，通過靈活的VLAN設置，把不同的用戶劃分到工作XX認證技術文章3組內；3）安全性，一個VLAN內的用戶和其它VLAN內的用戶不能互訪，提高了安全性。另外，還有常見的兩個概念VLAN的終結和透傳，從字面意思上就可以很好的了解這兩個概念。所謂VLAN的透傳就是某個VLAN不僅在一臺交換機上有效，它還要通過某種方法延伸到別的以太網交換機上，在別的設備上照樣有效；終結的意思及相對，某個VLAN的有效域不能再延伸到別的設備，或者不能通過某條鏈路延伸到別的設備。VLAN透傳可以使用802.1Q技術，VLAN終結可以使用PVLAN技術。IEEE802.1Q協(xié)議是VLAN的技術標準,主要是修改了標準的幀頭，添加了一個tag字段，其中包含了VLANID等VLAN信息，具體實現(xiàn)這里不談，如果有興趣可以看相關的標準和資料。注意：在Trunk端口轉發(fā)報文的時候，如果報文的VLANTag等于端口上配置的默認VLANID，則該報文的Tag應該去掉，對端收到這個不帶Tag信息的報文后，從端口的PVID獲得報文的所屬VLAN信息，因此配置的時候必須保證連接兩臺交換機之間的一條Trunk鏈路兩端的PVID設置相同。為什么要去Tag呢？這樣做是為了保證一般的用戶插到Trunk上以后，仍舊可以正常通信，因為普通用戶無法識別帶有802.1QVlan信息的報文。使用802.1Q技術可以很好的實現(xiàn)VLAN的透傳，可是有的時候需要把VLAN終結掉，也就是說這個VLAN邊界在哪里終止，PVLAN技術可以很好的實現(xiàn)這個功能，同時達到節(jié)省VLAN的目的。cisco的PVLAN意思是privatevlan，而我們的PVLAN意思是primaryvlan。這里的VLAN有兩類：Primaryvlan和secondaryvlan（子VLAN）。實現(xiàn)了接入用戶二層報文的隔離，同時上層交換機下發(fā)的報文可以被每一個用戶接收到，簡化了配置，節(jié)省了VLAN資源。具體實現(xiàn)這里不談，如果有興趣可以相關資料。XX認證技術文章4下面談談三層交換流程。用VLAN分段，隔離了VLAN間的通信，用支持VLAN的路由器（三層設備）可以建立VLAN間通信。但使用路由器來互聯(lián)企業(yè)園區(qū)網中不同的VLAN顯然不合時代的潮流。因為我們可以使用三層交換來實現(xiàn)。差別1（性能）：傳統(tǒng)的路由器基于微處理器轉發(fā)報文，靠軟件處理，而三層交換機通過ASIC硬件來進行報文轉發(fā)，性能差別很大；差別2（接口類型）：三層交換機的接口基本都是以太網接口，沒有路由器接口類型豐富；差別3：三層交換機，還可以工作在二層模式，對某些不需路由的包文直接交換，而路由器不具有二層的功能。首先讓我們看一下設備互通的過程：如圖所示：交換機上劃分了兩個VLAN，在VLAN1，VLAN2上配置了路由接口用來實現(xiàn)vlan1和vlan2之間的互通。A和B之間的互通（以A向B發(fā)起ping請求為例）：1）A檢查報文的目的IP地址，發(fā)現(xiàn)和自己在同一個網段；2）A---->BARP請求報文，該報文在VLAN1內廣播；3）B---->AARP回應報文；4）A---->Bicmprequest;5）B---->Aicmpreply;A和C之間的互通（以A向C發(fā)起ping請求為例）：1）A檢查報文的目的IP地址，發(fā)現(xiàn)和自己不在同一個網段；2）A---->switch（intvlan1）ARP請求報文，該報文在VLAN1內廣播；XX認證技術文章53）網關---->AARP回應報文；4）A---->switchicmprequest（目的MAC是intvlan1的MAC，源MAC是A的MAC，目的IP是C，源IP是A）；5）switch收到報文后判斷出是三層的報文。檢查報文的目的IP地址，發(fā)現(xiàn)是在自己的直連網段；6）switch（intvlan2）---->CARP請求報文，該報文在VLAN2內廣播；7）C--->switch（intvlan2）ARP回應報文；8）switch（intvlan2）---->Cicmprequest（目的MAC是C的MAC，源MAC是intvlan2的MAC，目的IP是C，源IP是A）同步驟4）相比報文的MAC頭進行了重新的封裝，而IP層以上的字段基本上不變；9）C---->Aicmpreply，這以后的處理同前面icmprequest的過程基本相同。以上的各步處理中，如果ARP表中已經有了相應的表項，則不會給對方發(fā)ARP請求報文。怎么樣來區(qū)分二和三層的數據流？3526產品是三層以太網交換機，在其處理流程中既包括了二層的處理功能，又包括了三層的處理功能。區(qū)別二三層轉發(fā)的基本模型：vlan1vlan2ACB如圖所示：三層交換機劃分了2個VLAN，A和B之間的通信是在一個VLAN內6完成，對與交換機而言是二層數據流，A和C之間的通信需要跨越VLAN，是三層的數據流。上面提到的是宏觀的方法，具體到微觀的角度，一個報文從端口進入后，Swtich設備是怎么來區(qū)分二層包文，還是三層報文的呢？從A到B的報文由于在同一個VLAN內部，報文的目的MAC地址將是主機B的MAC地址，而從A到C的報文，要跨越VLAN，報文的目的MAC地址是設備虛接口VLAN1上的MAC地址。因此交換機區(qū)分二三層報文的標準就是看報文的目的MAC地址是否等于交換機虛接口上的MAC地址。以XXS3526交換機為例，三層交換機整個處理流程中分成了三個大的部分：1）平臺軟件協(xié)議棧部分這部分中關鍵功能有：運行路由協(xié)議，維護路由信息表；IP協(xié)議棧功能，在整個系統(tǒng)的處理流程中，這部分擔負著重要的功能，當硬件不能完成報文轉發(fā)的時候，這部分可以代替硬件來完成報文的三層轉發(fā)。另外對交換機進行telnet,ping,ftp,snmp的數據流都是在這部分來處理。舉例：showiproute：RoutingTables:Destination/MaskProtoPreMetricNexthopInterface/0Static600VLAN-Interface/21Direct00VLAN-Interface/32Direct00InLoopBack0/30Direct000VLAN-Interface0/32Direct00InLoopBack0/8Direct00InLoopBack0/32Direct00InLoopBack0XX認證技術文章7維護ARP表showarp：IpAddressMac_AddressVLANIDPortNameType00e0.fc00.55182GigabitEthernet2/1Dynamic50010.b555.f0391Ethernet0/9Dynamic00800.20aa.f41d1Ethernet0/10Dynamic370010.a4aa.fce61Ethernet0/12Dynamic00010.b555.e04f1Ethernet0/8Dynamic2）硬件處理流程主要的表項是：二層MAC地址表，和三層的ipfdb表，這兩個表中用于保存轉發(fā)信息，在轉發(fā)信息比較全的情況下，報文的轉發(fā)和處理全部由硬件來完成處理，不需要軟件的干預。這兩個表的功能是獨立的，沒有相互的關系，因為一個報文只要一進入交換機，硬件就會區(qū)分出這個包是二層還是三層。非此即彼。例如：showmacall：MACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)0000.21cf.73f41LearnedEthernet0/192660002.557c.5a0004.7673.0b381LearnedEthernet0/92620005.5d04.96481LearnedEthernet0/162320005.5df5.9f641LearnedEthernet0/16300MAC地址表是精確匹配的IVL方式，其中關鍵的參數是：VlanID,Portindex。例如：showipfdball：0:System1:Learned2:UsrCfgAge3:UsrCfgnoAgeOther:ErrorIpAddressRtIfVtagVTValidPortMacStatus722InvalidGigabitEthernet2/100-e0-fc-00-55-18822InvalidGigabitEthernet2/100-e0-fc-00-55-1822InvalidGigabitEthernet2/100-e0-fc-00-55-180022InvalidGigabitEthernet2/100-e0-fc-00-55-182XX認證技術文章80322InvalidGigabitEthernet2/100-e0-fc-00-55-180622InvalidGigabitEthernet2/100-e0-fc-00-55-182路由接口索引（RtIf）：該索引用來確定該轉發(fā)表項位于哪個路由接口下面，對3526產品來講，支持的路由接口數目是32；Vlantag:該值用來表明所處的VLAN，該VLAN和路由接口是對應的；Vlantag有效位（VTValid）：用來標識轉發(fā)出去的報文中是否需要插入Vlantag標記。端口索引（Port）：用來說明該轉發(fā)表項的出端口；下一跳MAC：三層設備每完成一跳的轉發(fā)，會重新封裝報文中的MAC頭，硬件ASIC芯片一般依據這個域里面的數值來封裝報文頭。兩個重要的概念：解析，未解析，每次收到報文，ASIC都會從其中提取出源和目的地址在MACTable或者IPFdbTable中進行查找，如果地址在轉發(fā)表中可以找到，則認為該地址是解析的，如果找不到，則認為該地址是未解析的。根據這個地址是源，還是目的，還可以有源解析，目的未解析等等的組合。對于二層未解析，硬件本身可以將該報文在VLAN內廣播，但是對于三層報文地址的未解析報文硬件本身則不對該報文進行任何的處理，而產生CPU中斷，靠軟件來處理。硬件部分的處理可以用這句話來描述：收到報文后，判斷該報文是二或是三層報文，然后判斷其中的源，目的地址是否已經解析，如果已經解析，則硬件完成該報文的轉發(fā)，如果是未解析的情況，則產生CPU中斷，靠軟件來學習該未解析的地址。3）驅動代碼部分其中關鍵的核心有：地址解析任務：在該任務中對已經報上來的未解析的地址進行學習，以便硬件完成后續(xù)的報文的轉發(fā)而不需軟件干預。地址管理任務：為了便于軟件管理和維護，軟件部分保存了一份同硬件中轉發(fā)表相同的地址表copy。XX認證技術文章9fib（forwardinginformationbase）表:這個表的信息來源于iproutetable中的路由信息，之所以把它放在了driver部分，是為了地址解析任務在學IP地址時查找的方便。舉例：showfib：Destination/MaskNexthopFlagInterface/0IVLAN-Interface/21DVLAN-Interface/32DInLoopBack0/300DVLAN-Interface0/32DInLoopBack0/8DInLoopBack0三層轉發(fā)主要涉及到兩個關鍵的線程：地址學習線程和報文轉發(fā)線程，這個和二層的線程是類似的；1）報文轉發(fā)線程主要根據地址學習線程生成的轉發(fā)表（ipfdbtable）信息來對報文進行轉發(fā)，如果里面的信息足夠多，這個轉發(fā)的過程全部由硬件來完成，如果信息不夠，則會要求地址學習線程來進行學習，同時該報文硬件不能轉發(fā)，會交給軟件協(xié)議棧來進行轉發(fā)。2）地址學習線程主要用來生成硬件轉發(fā)表（ipfdbtable）其實ipfdbtable和二層的MAC地址表也是類似的，只不過里面的具體表項所代表的含義和所起的作用不同罷了。有一個問題：在路由器等軟件轉發(fā)引擎中，每收一個報文都會去查路由表查下一跳，然后再查ARP表找下一跳的MAC，可是在三層交換機（如S3526）中，報文轉發(fā)的時候不需要去查路由表和ARP表，這樣的話，這兩個表是不是就沒有什么作用了？回答當然是否定的，在S3526的三層轉發(fā)流程中，過程一般都是這樣的，第一個報文硬件無法轉發(fā)，要進行IP地址的學習，同時為了保證不丟包，該報文也由軟件來進行轉發(fā)，在學習完成以后，第二，第三個報文以XX認證技術文章10后就一直是由硬件來完成轉發(fā)了，這個過程也可以套用“一次路由，多次交換”來形象的進行總結，在一次路由中，要利用路由表和ARP表來學習IP地址，和轉發(fā)第一個報文，在以后的多次交換過程中，則只要有ipfdbtable就可以了。路由器網絡接口解析大全--------------------------------------------------------------------------------路由器網絡接口解析大全我們將通過以下幾個方面來對路由器網絡接口進行全面的介紹和分析。1)接口和活動狀態(tài)(2)硬件字段為你提供接口的硬件類型(3)Internet地址(4)MTU(5)BW(6)DLY(7)可靠性(8)負載(9)封裝(10)回送(11)ARP類型(12)ARP超時(13)最后的輸入和輸出(14)輸出中斷(15)最后一次清除(16)排隊策略(17)隊列消息(18)5-分鐘I/O速率(19)分組和字節(jié)輸入(20)無緩沖(21)接收的廣播(22)Runts(23)Giants(24)Throttles實例:Router#showinterfacee0/0Ethernet0/0isup,lineprotocolisdownHardwareisAmdP2,addressis0009.4375.5e20(bia0009.4375.5e20)Internetaddressis3/24MTU1500bytes,BW10000Kbit,DLY1000usec,reliability172/255,txload3/255,rxload39/255EncapsulationARPA,loopbacknotsetKeepaliveset(10sec)ARPtype:ARPA,ARPTimeout04:00:00Lastinputnever,output00:00:07,outputhangneverLastclearingof"showinterface"countersneverInputqueue:0/75/0/0(size/max/drops/flushes);Totaloutputdrops:0Queueingstrategy:fifoOutputqueue:0/40(size/max)5minuteinputrate0bits/sec,0packets/sec5minuteoutputrate0bits/sec,0packets/sec0packetsinput,0bytes,0nobufferReceived0broadcasts,0runts,0giants,0throttles0inputerrors,0CRC,0frame,0overrun,0ignored0inputpacketswithdribbleconditiondetected50packetsoutput,3270bytes,0underruns50outputerrors,0collisions,2interfaceresets0babbles,0latecollision,0deferred50lostcarrier,0nocarrier0outputbufferfailures,0outputbuffersswappedout(1)接口和活動狀態(tài)在上面的顯示中，內容表示硬件接口是活動的，而處理行協(xié)議的軟件過程相信此接口可用。如果路由器操作員拆卸此硬件接口，第一個字段將顯示信息isadministrativelydown.如果路由器在活動間隔內收到5000個以上的錯誤，單詞Disabled將出現(xiàn)在此字段中，以顯示連路由器自動禁用此端口。行協(xié)議字段還顯示以前提到的三個描述之一：up、down、administrativelydown.如果字段項是up,則表示處理行協(xié)議和軟件過程相信此接口可用，因為她正在接收keepalives的目的也是如此，其他設備可以確定某個空閑連接是否仍然活動。對于以太網接口，Keepalives的默認值是10s。我們不久將注意到，Keepalives設置可以通過為特定接口使用showinterfaces命令來獲得。可以用keepaliveinterface命令來改變keepalives設置。此命令的格式如下：Keepaliveseconds(2)硬件字段為你提供接口的硬件類型在以上的例子中，硬件是CISCO擴展總線(CxBus)以太網，即接口處理器的533-Mbps數據總線。因此，硬件通知我們高速CxBus接口處理器用于支持以太網連接。同時還要注意顯示字段包括接口的Mac地址。Mac是48位長的。因為Mac地址的頭24位是表示生產廠家ID，所以十六進制數00-10-79是由IEEE分配給Csico的標識符。(3)Internet地址如果某個接口是為IP路由配置，那么將為它分配一個Internet地址。此地址后面是他的子網掩碼。IP地址是/24。反斜杠(/)后面表示此地址的頭24位表示網絡，他等于子網掩碼。(4)MTU最大傳輸單元（MTU）表示運行在接口上的協(xié)議的信息字段所支持的最大字節(jié)數。因為以太網楨的信息字段的最大長度是1500字節(jié)，所以它的MTU顯示為1500字節(jié)。對于幾乎所有的以太網應用程序，默認的1500字節(jié)MTU應該是有效的。對于令牌環(huán)，默認的MTU值為8192字節(jié)；但是應該注意的一點是RFC1191建議的MTU值為16-Mbps令牌環(huán)選擇17914的，而為4-Mbps令牌環(huán)選擇4464字節(jié)。最小的MTU是64個字節(jié)，而最大的值是65535字節(jié)。如果IP數據報超過最大的MTU，將對它進行分段，這將增加額外開銷，因為每個最后的數據報都包含它自己的報頭。雖然在高速LAN連接中，通常無需擔心與分段有關的額外開銷，但在低速串行接口上，這可能會是一個比較嚴重的問題?？梢杂肕TUinterface命令來改變默認的MTU，此命令格式如下：mtubytes字節(jié)數可以是從64~6553。(5)BW接口帶寬(BW)通常指的是接口的運行速率，用每秒千字節(jié)表示。因為以太網運行速率為10Mbps，所以BW值顯示為10000Kb。可以用Bandwidth命令設置信息帶寬值，但實際上不用它來調整接口的帶寬，因為對于某些類型的介質，如以太網，帶寬是固定的。對于其他的介質，如串行線，通常通過調整硬件來調整其運行速率。例如通過DSU/CSU上設置不同的時鐘速率來提高或降低串行接口的運行速率。因此，bandwidth命令主要目的是使當前帶寬與高層協(xié)議通信。可以通過以下命令格式設置帶寬值，千位表示以千位每秒表示的帶寬。Bandwidthkilobits(6)DLY此字段表示接口的延遲，用微秒表示。以太網的延遲（DLY）為1000s?？梢允褂胐elayinterface命令為接口設置延遲值。此命令的格式如下：delaytens-of-microseconds(7)可靠性可靠性字段表示接口的可靠性，用255分之幾表示。此字段中所顯示的值由在5分鐘內的冪平均值計算。因為以太網為每個楨計算CRC，所以可靠性是基于CRC錯誤率，而不是位錯誤率。255/255表示接口在5分鐘內100%可靠。雖然沒有可靠性命令，可以考慮定期使用的一個重要命令是clearconuterEXEC命令。此命令的功能是清楚或重置接口計數器。此命令的一般格式取決于正在使用的路由器。下面顯示的是第二種格式用于Cisco7000系列產品：clearcounter[typenumber]clearcounter[typeslot/port]type表示特定的接口類型。如果你不指定特定接口，所有接口的計數器都被清除。(8)負載接口上的發(fā)送和接收負載均顯示為255分之幾。與可靠性字段類似，負載字段也是計算5分鐘內的冪平均值。從上面可以看出，發(fā)送(Txload)負載表示為3/255，而接收(rxload)負載為39/255。因為以太網運行速率為10Mbps，所以可以通過將每分數乘以運行速率來獲得接口活動的一般指示。這是因為每個以太網楨都至少有26個額外字節(jié)，而當信息字段少于45字節(jié)時，將使PAD字符添加到信息字段中。(9)封裝此字段表示分配給接口的封裝方法。在上面的例子中，封裝顯示為ARPA，他的標準的以太網2.0版封裝方法。其他封裝方法還包括IEEE802.3以太網的關鍵字iso1,以及IEEE802.3楨的關鍵字snap（子網訪問協(xié)議）楨變異。(10)回送回送字段表示接口是否處于運行的回送模式。如果設置回送，這是當技術人員夜間將接口放入回送接口進行測試，而忘了重置回送時發(fā)生的常見問題，這會導致第二天早上會有一些有趣的電話打到控制中心?？梢允褂肔oopbackinterface設置命令將接口置于運行的回送模式。Loopback命令沒有參數，應使用noLoopback命令刪除或禁用回送。以下例子顯示了將以太網接口設置為回送模式。Interfaceethernet0/0Loopback可以使用showinterfaceloopbackEXEC命令查看回送的狀態(tài)。如果你的路由器有大量的接口，并且技術人員進行定期檢測，那么在一大早使用此命令以避免不必要的問題是一個不錯的主意。(11)ARP類型此字段表示分配的地址解析協(xié)議（ARP）類型。在IP環(huán)境中，ARP類型是ARPA。默認情況下，以太網接口使用ARPA關鍵字以指定IP接口上的ARPA封裝。可以通過使用arpinterface命令將封裝更改為HPPROBE或SNAP，此命令格式如下：arp{arpa/probe/snap}請注意HPProbe被IOS用于試圖解析IEEE802.3或以太網本地數據連路地址。應將ARP類型設為probe,以使得一個或多個路由器接口透明地與使用稱為”虛擬地址請求和回復”的地址解析技術的HPIEEE802.3主機通信。(12)ARP超時此字段表示當非活動時，ARP項在清洗之前保留于緩存中的時間長度。ARP超時的默認值為4個小時，如上面例子所示：可以通過使用ARPtimeout命令調整ARP緩存項在緩存中的時間長度。此命令格式如：arptimeoutseconds(13)最后的輸入和輸出此字段表示最后一個分組或偵被接口成功接收或發(fā)送以來的小時、分鐘和秒數?？梢允褂么俗侄沃械闹荡_定活動接口是否依然激活或者死接口何時出現(xiàn)故障。關于前者，在第一個showinterface命令指示接口新的最后輸出(這還可以指示是否有問題發(fā)生)后10秒或1分鐘，再輸入第二個showinterface命令。它還表示如果出現(xiàn)問題，并非由于無法接收分組。例如，上面的例子中，最后一個成功輸入發(fā)生在2秒之前。如果我們等待幾秒，并發(fā)布又一個showinterface命令，就可以獲得對此計數器的更新。(14)輸出中斷輸出中斷字段表示自接口由于發(fā)送時間太長而進行最后一次重置以來的時間。此字段的值用小時、分鐘和秒數指定，或者如果未發(fā)生中斷(hang)情況，將永不顯示。如果自最后一次重置以來的小時數超過24，將顯示天數和小時數，直到字段益出。當發(fā)生此情形時，將在此字段中顯示星號(*)。(15)最后一次清除此字段表示測量累計統(tǒng)計信息的接口計數器最后一次被重置為0的時間。清除會影響幾乎所以的統(tǒng)計信息，除了諸如負載和可靠性等路由統(tǒng)計信息之外。最后一次清除所顯示的實際值是基于32位ms計數器的使用。顯示星號表示經過的時間太長無法顯示，而顯示0:00:00表示計數器在2的31次冪ms到2的32次冪ms之前清除。在許多路由器上最后一次清除值將以星期和月或日和小時表示。例如，在上面的例子里，showinterfaces計數器最后一次清除顯示為1w2d。(16)排隊策略此字段表示分配給接口的配對策略。默認為先入后出(Firstinfirstout,FIFO)。如果以前為接口分配了優(yōu)先級配對方式，將在此字段中列出此配對方法。(17)隊列消息對于輸出和輸入隊列，顯示為m/n形式的一隊數字，隨后是由于隊列已滿而丟失的分組數。這里替代了m的值表示隊列中的分組數，而替代n的值表示用分組表示最大隊列大小。通過檢查丟失的分組數以及在一段時間內m和n之間的關系，就可以確定是否需要建議對特定接口的隊列長度進行調整以減少丟失的分組。但是，還應考慮與接口相連的介質和使用級別，以確定對輸出隊列長度進行調試是否有益。使用率高的介質最有可能引起隊列中分組的丟失：路由器在傳輸數據時，將遭遇困難，從而導致輸出分組排隊，而這反過來導致當輸出隊列已滿，且有其他分組到達以便通過接口傳輸到介質時出現(xiàn)分組丟失。在輸入方，丟失的分組和m和n的較大比值表示路由器正忙于進行其他工作，而無法適時地處理進入的分組。如果次情形持續(xù)的時間比較長，則通常表示需要一個更強大的路由器以滿足工作需要。通常，此情形可通過許多路由器接口的進入方向上的大量丟失的分組而觀察到。在上面的showinterfaces中隊列信息字段值顯示目前任一隊列中均無分組。而且，雖然輸出隊列已滿而造成63個分組丟失，但沒有分組由于輸入隊列而丟失。后者是一種常見情形，因為大多數路由器（除非配置過度）不應該在處理進入的數據方面有問題。(18)5-分鐘I/O速率下一個字段顯示在前5分鐘通過接口發(fā)送和接收的平均位數和平均分組數。當解釋在此字段中顯示的數據時，必須考慮幾個因素。首先，必須考慮接口的運行模式和接口相連的網絡的配置。例如，如果接口是LAN接口，則即可以運行在混亂模式，從而度曲LAN上的每一偵，也可以運行在非混亂模式，即僅讀取廣播榛和直接投遞到接口的楨。如果端口處于混亂模式，則讀取所有的分組，并提供一種測試在網絡中流動的數據的方法。如果接口不處于混亂狀態(tài)，則僅對她發(fā)送和接收的流量有感覺，這可能只占網絡中所有流量的一小部分。考慮到網絡配置，如果接口連接到只有一個站的LAN，如WEB服務器，那么所有的流量將流經路由器的接口。這意味著可以獲得一種相對準確的測試網絡活動方法，而無需考慮接口所處的模式。需要考慮的另一個因素是5分鐘I/O速率表示5分鐘時間常數的冪平均值之一事實。因此，任意一個5分鐘I/O速率都是這段時間內每秒流量的大概值。但是4個5分鐘的時間跨度所產生的平均值將在20分鐘的統(tǒng)一流量的即時速率的2%以內。因為分組的長度可變，所以每秒位率通常比從傳輸介質角度檢查接口上的活動更有用。在上面的例子中，輸入速率1540000bps約表示接口運行速率的1/6。你可能會感到奇怪，為什么輸入速率比接口輸出速率大將近一個數量級，回答在于接口的連接。在這一特定的路由器使用環(huán)境中，以太網接口連接到一個只具有一個另外的站（即公司WEB服務器）的10BASE-TLAN。WEB頁請求以統(tǒng)一資源定位器（URL）的形式流動，而對URL請求的響應是WEB頁；這解釋了為什么輸入和輸出方向上的流量級別不成正比?，F(xiàn)在，我們了解了5分鐘I/O速率，接下來讓我們介紹可為某個接口顯示的特定分組的輸入和輸出信息。(19)分組和字節(jié)輸入此字段首先表示路由器接收的無錯誤分組的總數量。其次，它還表示路由器接收的無錯誤分組的總字節(jié)數。如果用字節(jié)數除以分組數，就可以獲得字節(jié)表示的平均分組長度。此信息可用于為在接口上流動的流量類型提供一般表示。例如，相對短的分組通常傳輸交互式的查詢/響應流量，而相對長的分組通常傳輸包括WEB頁的文件及包含在大多數這些頁中的圖形。(20)無緩沖無緩沖字段表示接口所接收的、由于路由器缺乏緩沖空間而不得不丟棄的分組數。不要將此緩沖空間與接口的內部緩沖弄混。當出現(xiàn)連續(xù)的“無緩沖”情形時，通常表示路由器需要更多的內存。但是，如果定期遇到nobuffers值，則可能是由于LAN上的廣播風暴或者串行端口上的噪音發(fā)作所致?？梢酝ㄟ^檢查下一字段確定出現(xiàn)無緩沖值的原因是否屬于廣播風暴所致。(21)接收的廣播此字段表示接口所接收的廣播或多播分組的總數量。要注意的重要一點是許多廣播是自然通信過程的一部分。例如，用于將第三層IP地址解析為第2層Mac地址的ARP取決于發(fā)放一個廣播，以查詢與必須獲得的第3層地址相關的第2層地址的LAN的每一站，如此才能正確形成偵來傳遞分組。同樣，在NovellIPX環(huán)境中，服務器每30s廣播服務聲明協(xié)議(SAP)分組。這些定義了服務器所提供的服務。如果你是嚴格的IP環(huán)境，