澳门·威尼斯人(中国)官方网站

标题: [连载]网络的琴弦：玩转IP看监控（10月出版，401#ONVIF 396#GB/T 28181） [查看完整版帖子] [打印本页]

时间: 2015-6-19 12:29

作者: 网语者 标题: [连载]网络的琴弦：玩转IP看监控（10月出版，401#ONVIF 396#GB/T 28181）

《网络的琴弦：玩转IP看监控》出版，感谢Powered by ahtjzy.com

笔者是家园的老网友了，我们以团队执笔以确保每个部分的专业性：一群老家伙从IP网络到IP监控，从业十多年，有扎实的积累。

去年春节，一位从事传统模拟监控产品销售和安装的朋友咨询：有没一本合适的网络教材，让他能比较精通时下的IP监控知识，独立定位和解决问题。我还真推荐不出一本适合的教材。

其实这也不奇怪，毕竟IP网络本身拥有一个非常庞大的知识体系，每一小块知识都足以编辑成为一本不薄的书籍。但对于从事IP监控研发和销售的人员来说，并不需要对每一块知识都深入至协议状态机、异常处理、协议字段如何运用的程度，大家更需要的是一本贴合IP监控业务的IP网络知识普及书籍，了解相关需求的背景，掌握相关特性的运用和相关知识的原理。有了这本书，若要继续深入，可以直接阅读相关RFC协议文档。

所以，笔者以一位监控业务应用者的视角，按照需求问题提出、提供方案解决、基本原理剖析的方式，逐步深入阐述IP监控所涉及的相关IP特性知识点。

我们努力简明清晰的梳理好，多用故事、知识结构化、图表化，让大牛看了愉悦，菜鸟获得知识，所有人都有启发提升。

补充内容 (2015-9-16 17:38):
书籍已经正式命名为《网络的琴弦：玩转IP看监控》，10月与大家见面

*******************************************
《网络的琴弦：玩转IP看监控》一书已正式出版，各大平台有售！
迪哥作品.jpg

附件: 迪哥作品.jpg (2015-10-27 16:38, 116.61 KB) / 下载次数 25
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjcxNjM0fDZiY2Q5NzE1fDE3MTM1NjU1MzJ8MHww

时间: 2015-6-19 12:39

作者: 网语者

点击“只看该作者”高效浏览
http://www.ahtjzy.com/forum.php?mo ... =1&authorid=1129278

1       前言

2       老U的驿站监控
  2.1       模数混合监控……………………………………………… #3
  2.2       单点IP监控改造…………………………………………… #4
  2.3       以太网与交换机转发
      2.3.1       以太网……………………………………………… #7
      2.3.2       转发原理…………………………………………… #7
   2.3.3       基本配置典型实例
  2.4       互联网与分层……………………………………………… #12
  2.5       IP与ARP解析
      2.5.1       IP地址……………………………………………… #36
      2.5.2       ARP解析…………………………………………… #40
      2.5.3       免费ARP…………………………………………… #43
      2.5.4       触发机制…………………………………………… #43
  [Q&A]1万路PON监控项目实战疑惑：IP监控典型课题…… #45
      2.5.5       基本配置典型实例
  2.6       VLAN
      2.6.1       VLAN基础…………………………………………… #52
      2.6.2       交换机处理………………………………………… #52
      2.6.3       组网实战…………………………………………… #60
      2.6.4       基本配置典型实例……………………………… #64
  [Q&A]我们的世界观和方法论：反对病态的互联网观…… #73
  2.7       以太风暴与生成树协议
      2.7.1       以太风暴…………………………………………… #76
      2.7.2       生成树协议………………………………………… #81
      2.7.3       基本配置典型实例………………………………… #82
  2.8       路由表与路由器转发
      2.8.1       路由表……………………………………………… #86
      2.8.2       路由转发…………………………………………… #88
      2.8.3       三层交换…………………………………………… #92
      2.8.4       基本配置典型实例……………………………… #102
  [Q&A]摄像头的视频流量到后端存储和监控屏过程，组播… #103
  2.9       视频码流与突发
      2.9.1       基本概念…………………………………………… #110
  [Q&A]模拟高清四种制式优劣……………………… #111
      2.9.2       突发与缓存………………………………………… #119
      2.9.3       解决方案…………………………………………… #125
  2.10 WLAN
      2.10.1 无线技术…………………………………………… #148
      2.10.2 无线组网…………………………………………… #153
      2.10.3 信道干扰…………………………………………… #159
  2.11 POE
      2.11.1 POE原理............................................................ #170
      2.11.2 供电模式............................................................ #179
      2.11.3 功率限制...........................................................  #181
      2.11.4 基本配置典型实例.............................................  #182
3 老U的远程监控
  3.1典型宽带上网架构
      3.1.1 ADSL宽带............................................................ #183
      3.1.2 PPPoE原理.......................................................... #194
      3.1.3 DHCP原理........................................................... #215
      3.1.4 DNS  原理........................................................... #239
      3.1.5 DNS高级特性...................................................... #333
3.2 NAT
      3.2.1 NAT.................................................................... #339
      3.2.2 NAPT.................................................................. #341
      3.2.3 NAT映射表项与静态映射.................................... #342
      3.2.4 不同类型的NAT................................................. #343
      3.2.5 ALG................................................................... #346
      3.2.6UPnP.................................................................. #349
  3.3 DDNS
      3.3.1 互联网DDNS方案.............................................. #357
      3.3.2 安防DDNS方案................................................ #369

时间: 2015-6-19 13:56

作者: 网语者

本帖最后由网语者于 2015-6-19 17:02 编辑

2老U的驿站监控

2.1模数混合监控

20世纪90年代末，不甘沉湎于波澜不惊的生活的老U选择了下海自主创业，利用自己的微薄积蓄在杭州风景秀丽的虎跑路旁开了一家自助休闲的驿站，供顾客喝茶、打牌、社交。

一天下午场歇时分，冬日的霞光透过南高峰浓郁的树林铺满整个阳光茶房。斑驳的光柱里冲进来一位神情焦虑的中年人，他是中午在此喝茶的顾客，刚才上公交时突然发现丢失了钱包。虽然顾客没有坚持认定钱包丢失在驿站，但老U还是很难过，替顾客难过，也替自己难过。

经过一宿慎重的考虑，他决定在驿站安装一套监控系统：一台数字硬盘录像机DVR（Digital Video Recorder）通过几根同轴电缆一对一地分别连接几个模拟摄像机，覆盖驿站的各个茶房。这套模数混合的监控系统在当时称得上主流配置，虽然模拟摄像机的图像分辨率只达到CIF级别，但好歹可以勉强的看到一些模糊的影像，相当于VCD效果的录像足够为顾客提供必要的线索，同时也为自家驿站提供一个避免纠纷的证据。

图1.DVR通过同轴线缆连接模拟摄像机.png

图1.DVR通过同轴线缆连接模拟摄像机

说明：
CIF：352×288像素
4CIF：704×576像素
D1 ：720×576像素
720P：1280×720像素
1080P：1920×1080像素

附件: 图1.DVR通过同轴线缆连接模拟摄像机.png (2015-6-19 17:01, 12.97 KB) / 下载次数 5
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyMzQ1fDZjYmVmZTBlfDE3MTM1NjU1MzJ8MHww

时间: 2015-6-19 17:14

作者: 网语者

本帖最后由网语者于 2015-6-19 17:15 编辑

2.2单点IP监控改造

经过几年的用心经营，老U的休闲驿站以其优质的服务和良好的口碑在同行中脱颖而出，日渐上升的客源使得休闲驿站经常是一座难求。趁着红火的势头，老U决定扩大经营，兼并了附近的几家门面。自然，监控的部署也是必不可少的。
然而，不爽的事情出现了：新扩的茶房每新增一个摄像机都需新拉一根同轴线缆接到DVR所在的机房，施工成本按照线缆的长度计算，十分不划算。

世间安得双全法，不负如来不负卿，但IT的世界里还真有双全法。那时度娘还没出世，但BBS已经流行。经过一番线上交流和电子市场淘宝，老U发现一种叫IP监控的方案可以化解这个难题：录像机和摄像机分别更换成网络硬盘录像机NVR（Network Video Recorder）和网络摄像机IPC（IP Camera），由一种叫以太网交换机的设备通过网线将它们连接起来；如此，只需在机房和新扩的茶房之间拉“一根“网线就可以解决问题。再考虑到，原先采用同轴线缆传输模拟信号，图像质量受环境干扰太大——干脆淘汰DVR和模拟摄像机，全线升级成“NVR+IPC”的全数字解决方案，如下图。

图2.交换机通过网线连接NVR和IPC.png

图2.交换机通过网线连接NVR和IPC

完成监控改造的老U一时成就满满，但他很好奇：NVR怎么从一根网线上区分来自不同IPC的视频流，又如何将点播请求发送给正确的IPC的呢？

附件: 图2.交换机通过网线连接NVR和IPC.png (2015-6-19 17:06, 21.58 KB) / 下载次数 5
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyMzQ2fDRhZWNjNmMxfDE3MTM1NjU1MzJ8MHww

附件: Q_small.png (2015-6-19 17:13, 4.58 KB) / 下载次数 14
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyMzUwfDE0ZGE2NDZifDE3MTM1NjU1MzJ8MHww

时间: 2015-6-21 11:24

作者: yehua

有小区内用EPON来做IP监控传输的案例？

时间: 2015-6-21 20:40

作者: 网语者

有的，不过在后面章节，敬请等待

时间: 2015-6-22 19:12

作者: 网语者

本帖最后由网语者于 2015-6-23 09:18 编辑

2.3以太网与交换机转发

同轴线缆互联常见的低成本方案是采用转接器进行物理连接，此时来自多个模拟摄像机的模拟视频信号就会相互产生干扰，导致DVR无法进行有效区分，所以通常不会用同一根同轴线缆传输多路模拟视频——当然，这并不是说没有技术可以解决这个问题，方案很多，却不经济，一般只有在历史模拟监控项目的高清改造时才会考虑。模拟监控逐渐被历史淘汰的另一个重要原因是，以太网和IP技术的生命力和发展潜力已经获得了威尼斯人官方网站界的一致认同，并在后续的历史进程中不断焕发出蓬勃的生机。

2.3.1以太网

以太网（Ethernet）常见的线缆有双绞线（即常说的“网线”）和光纤两种，前者威尼斯人官方网站采用澳门威尼斯人app下载号，后者威尼斯人官方网站采用光信号。以太网是一种分组威尼斯人官方网站技术，这个分组叫“以太帧“，它负责承载各种数据在以太网线缆中的传输，就像无数辆装载着信息段的集装箱车奔跑在高速公路上一样。

以太网交换机负责在局域网内连接各个设备：NVR、DVR、IPC、路由器、PC机、服务器等。这些设备各自拥有全球唯一的MAC地址（Media Access Control Address），或称为硬件地址，采用十六进制数表示，共六个字节（48位）。其中，前三个字节（高位24位）是厂家的标识符，后三个字节（低位24位）由厂家自行指派给所生产的设备。例如：“48:EA:63:0E:B7:BF”，“48:EA:63”是浙江宇视科技有限公司的标识符，该设备由宇视科技出品。任何一个设备往其他设备发送以太帧，都需将自己的MAC地址写在以太帧的源地址信息中，将目的设备的MAC地址写在以太帧的目的地址信息中。

2.3.2转发原理

交换机怎么知道该指引一个特定的以太帧往哪个或哪些端口转发呢？交换机内部存在一个MAC地址表，每个表项至少包含MAC地址和设备端口号。转发原则是：如果该表中存在该以太帧的目的MAC地址，则引导该帧往这个表项所对应的端口转发出去；如果不存在，则往入端口之外的所有其他端口进行复制转发。

图3.MAC地址表.png

图3.MAC地址表

如图3，当交换机s7502E-1收到一个目的地址为0000-0000-0006的以太帧，发现MAC地址表中存在该地址所对应的MAC表项，表项中的端口号为GigabitEthernet2/0/3，则引导该以太帧从该端口转发出去。

说明：
这个原则适用于最常见的单播帧和广播帧，组播帧的处理有些复杂，后续谈到组播时再细聊。关于单播、组播和广播的概念，我们将在下一节详细阐述。

交换机有一个源（MAC）学习的关键特性：任何一个以太帧进入交换机，交换机都会记住该帧的源MAC地址，并将该MAC地址和入端口号绑定记录在MAC地址表里，今后若收到目的地址为该MAC地址的以太帧，交换机就知道该指引它往该端口转发了。例如，交换机从端口GigabitEthernet2/0/33收到一个源地址为0001-2828-0800的以太帧，就生成一个MAC地址表项，包含该MAC地址和该端口，如图3。

交换机的原理是不是非常的简单？我们再稍微扩展学习下。MAC表项通常还具备另外两个属性：老化时间和状态。因为交换机的表项容量有限，所以暂时不用的MAC表项应该清除以节省表项空间，这就需要设置一个表项的存活期，即“老化时间”——H3C设备通常默认设置为300秒，300秒内若无对应源MAC地址的以太帧进来，表项就会被删除，否则存活期会被刷新回300秒。既然有动态的源（MAC）学习机制，自然也可以通过手工静态配置MAC表项，“状态”这个字段就用来指明该表项源自动态学习还是静态配置，静态配置的表项没有老化时间。两个属性的示例可见图3。

说明：
现在大部分交换机的MAC表项都有VLAN ID这个重要属性，我们留到后面讲述VLAN时再详细阐述。
交换机的基本原理清楚了，那么一根网线能够同时承载多路视频的原理也就清楚了：来自各个IPC的各路视频被分拆成一个个小包（即所谓的“分组”），分别一个个装载进以太帧并标记好源和目的MAC地址（即所谓的“封装”）送往NVR，反过来NVR向各个IPC发送报文的过程也是一样；由于采用的是分组技术，也就不存在相互干扰的困扰了。

不枉一番努力。老U心满意足地泡了杯龙井茶，对着D1分辨率的清晰画面，慢慢的品味起这明前新茶的芳香和杭城特有的满园春色。
曼妙的雾气让他突然产生一个疑问：IPC将报文发给NVR时需将NVR的MAC地址填写在以太帧的目的地址字段中，但它怎么知道NVR的MAC地址呢？

附件: 图3.MAC地址表.png (2015-6-22 19:11, 7.15 KB) / 下载次数 1
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyNDY5fDNlMDA2NDhhfDE3MTM1NjU1MzJ8MHww

时间: 2015-6-23 14:52

作者: taojian723

楼主加油更新呀！！！

时间: 2015-6-23 15:10

作者: spring_sky24

楼主继续啊，不要tj了:)

时间: 2015-6-23 15:13

作者: 网语者

spring_sky24 发表于 2015-6-23 15:10
楼主继续啊，不要tj了

请放心，有保障：

连载前有思想准备是冷门，怕坚持不下去，提前写好了70%才开始连载的：）

时间: 2015-6-23 17:14

作者: kakalala

楼主加油！！！

时间: 2015-6-23 18:02

作者: 网语者

2.4互联网与分层

独的人生是可悲的，于是家庭诞生了；再大的家庭也就那么点人脉，于是社会诞生了；在庞大复杂的社会体系里，个人才能体现出各方面的价值。计算机也是一样，80年代为了实现资源共享，人们决定将单体计算机组建成网络；到了90年代，人们不再满足于这样的局域网，决定将网络联网组建成网络的网络，于是出现了互联网（Internet）。

由于局域网的技术纷繁多样，除了现在占主流的以太网之外，历史上还有各种其他网络技术，相应的，硬件地址也不一定是MAC地址了。于是便产生了路由器，由路由器来负责连接这些网络。这就意味着，每个局域网内部的信息传输有自己的链路层地址系统，且仅在该局域网内部有效，跨局域网的信息传输就需要制定一个更高层次的地址规范，来统一标记互联网中的个体设备，于是，网络的地址就出现了“分层“的需求，需要分层的，还有相应的协议处理机制。

我们常用的TCP/IP协议栈定义了一个五层架构：应用层、传输层、网络层、链路层和物理层。其中协议部分只关注上面的四层。

TCP/IP协议栈定义的五层架构

说明：
开放系统互连参考模型 (Open System Interconnect 简称OSI）定义了七层模型：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。其中会话层、表示层和应用层在TCP/IP协议栈中合并为应用层。

物理层指网线、光纤等物理传输媒介。

链路层主要包括操作系统中的设备驱动程序，包括网卡驱动，常与物理层传输媒介打交道。我们前面提到的以太帧和以太网交换机转发即属于本层范畴，而MAC地址就是链路层的硬件地址信息。

网络层主要处理IP（Internet Protocol）报文在网络之间的选路，这一层协议包括IP协议、Ping程序用到的ICMP协议等。
传输层主要为两台主机的应用程序威尼斯人官方网站提供传输通道的建立，常见的有TCP（Transmission Control Protocol 传输控制协议）和UDP（User Datagram Protocol用户数据报协议）两种。TCP协议提供可靠的传输保障机制，而UDP协议则不保证可靠性，传输可靠性由应用程序负责保证。

应用层负责特定应用程序的细节处理，比如录像回放的点播功能处理等。

看到这里，老U心头是一群泥马呼啸而过啊，为什么弄得这么复杂？好吧，我们来看个形象的比喻。A、B两家公司是分别位于杭州和旧金山的知名安防公司，他们准备进行战略合作，两位CEO需要互通公函。在这个信息爆炸瞬息万变的年代，CEO是绝不可能亲自走路去送公函的，何况快递业现在这么发达。公函需从杭州的A公司总部到达旧金山的B公司总部，什么交通工具可以一步到达呢？目前没有，这中间需要经过杭州快递员开车上门取货，通过货车送到杭州萧山机场，然后通过飞机航运送到旧金山国际机场，然后再通过货车送到B公司。至于怎么协调两地货车和飞机以保证公函的送达，那是快递公司的事情。由于公函的重要性，公司的行政部门必须跟踪确认公函的及时到达，若中间出现丢失，他们必须重新发函并与快递公司进行交涉。

过程非常完美，对不对？其实整个模型与TCP/IP的五层架构非常类似：公路和空中航线是物理层；两地的货车和飞机是链路层，货车只知道且负责本地区域的陆路传递，飞机只知道且负责航空传递，三个角色均不知道也不必知道其他两个角色范畴内的传输机制；快递公司负责协调公函从A公司送达B公司，这是网络层；两家公司的行政部门要确保公函的及时到达，这是传输层；两家公司的CEO只管签署公函即可，这就是应用层——协议其实就是现实社会的模型抽象，很有意思！

让我们回到真实的TCP/IP世界，简单浏览下这里的运作机制。

当我们在NVR的人机界面上点播了一路前端IPC的实况视频，IPC的视频流处理程序（应用层）对视频进行压缩编码，然后交付TCP发送程序；TCP发送程序（传输层）根据实际传输状况控制报文段的大小和重传的必要性，进行TCP封装后交付给IP包发送程序；IP包发送程序（网络层）收到TCP报文后再封装成IP包，通过查找路由表找到网关的IP地址和出接口，然后交付给以太帧发送程序；以太帧发送程序（链路层）通过查找ARP表（Address Resolution Protocol地址解析协议）完成对IP包的以太帧封装，从正确的网口发送出去。而NVR从链路层收到这个以太帧，会剥掉以太帧封装，再通过IP包接收程序剥掉IP封装，最后通过TCP接收程序剥掉TCP封装，还原出最初的视频包交给视频解码程序处理。

这个过程中，TCP协议对发送报文段的尺寸控制和重传控制是为了保证业务数据的完整性，而IP包处理程序的目标是实现网络之间的信息选路和传递，以太帧处理程序的作用是为了实现局域网内的报文传输。任何一层的协议处理机制都是必不可少的。

附件: [TCP/IP协议栈定义的五层架构] 图片1.png (2015-6-23 18:00, 15.04 KB) / 下载次数 5
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyNTE5fGZiNjAzNDdhfDE3MTM1NjU1MzJ8MHww

时间: 2015-6-23 19:40

作者: 网语者

本帖最后由网语者于 2015-6-23 22:02 编辑

欢迎各位网友提供任何建议和意见。

时间: 2015-6-23 19:41

作者: 网语者

本帖最后由网语者于 2015-6-23 22:40 编辑

也欢迎安防领域的网友们提供项目设计和实施过程中遇到的各种问题，笔者会将相关信息补充到相关章节中。

时间: 2015-6-23 23:36

作者: junmily

有没有无线监控的?

时间: 2015-6-24 03:26

作者: 爻..

这作者看着像是宇视的吧？

时间: 2015-6-24 07:07

作者: 网语者

无线当然是必须的啊，呵呵

时间: 2015-6-24 08:24

作者: wuhuanhao

学习

时间: 2015-6-24 08:41

作者: 毒霸世界

一直在学习。

时间: 2015-6-24 09:05

作者: caoyy35

好贴

时间: 2015-6-24 09:47

作者: Frodo_Wang

支持一个刚进入无线监控市场一年的菜鸟希望在大神这里可以学到更多的知识

时间: 2015-6-24 09:50

作者: 蛮蛮的

不错，楼主辛苦了！

时间: 2015-6-24 09:54

作者: 盖亚盖亚

呃呃

时间: 2015-6-24 10:16

作者: 威尼斯人官方网站电源系统

讲的很不错啊

时间: 2015-6-24 10:45

作者: keboy520

支持楼主发帖

时间: 2015-6-24 10:47

作者: gdlhl

多谢楼主！
学习中。

时间: 2015-6-24 11:15

作者: wwwqgqn

好贴，必须顶

时间: 2015-6-24 12:11

作者: justlucifer

怎么下载。。。。。。。。～

时间: 2015-6-24 14:30

作者: spring_sky24

LZ辛苦，继续！:)

时间: 2015-6-24 15:01

作者: khanzhang

写的非常好，通俗易懂，关注

时间: 2015-6-24 15:08

作者: 郭亚宁爱

写的非常好，通俗易懂，关注

时间: 2015-6-24 15:39

作者: icywindfox

从视频会议到监控也混了7年了，西刹子的书看了好几遍，希望能有更多的好书

时间: 2015-6-24 17:27

作者: jinyulx

好，马克
待继

时间: 2015-6-24 17:43

作者: todaymoon

写的很好啊，标记一下，

时间: 2015-6-24 17:50

作者: mywork

yehua 发表于 2015-6-21 11:24
有小区内用EPON来做IP监控传输的案例？

求学习EPON/GPON来做IP监控
这样跨市跨省大网络大数字化大监控时代来到

时间: 2015-6-24 18:20

作者: 网语者

本帖最后由网语者于 2015-6-24 22:22 编辑

2.5 IP与ARP解析

由于互联网的诞生，局域网内部的链路层地址无法充当设备的唯一性标识（链路层地址只在局域网内部有效），于是IP地址就站上了历史的舞台，用来唯一的标识接入互联网的设备的接口——如果一个设备具有多个接口，那么每个接口都会拥有一个IP地址，典型的如连接多个局域网的路由器，它的每一个接口都有一个独立的IP地址；但计算机通常只有一个接口，那它通常只有一个IP地址，除非特殊组网需要还会配置一些从地址。

2.5.1 IP地址

IP地址是一个32位的二进制数，通常用“点分十进制”表示成（a.b.c.d）的形式。其中a,b,c,d各占用8位，是0~255之间的十进制整数。例如：IP地址（192.168.1.10），实际上是32位二进制数（11000000. 10101000.00000001.00001010）。
例如192.168.1.10。由三个点分开的四段数字最大为255，最小为0。IP地址分为ABCDE五类：

A类：0.0.0.0到127.255.255.255
B类：128.0.0.0到191.255.255.255
C类：192.0.0.0到223.255.255.255
D类：224.0.0.0到239.255.255.255
E类：240.0.0.0到247.255.255.255

A、B、C三类地址称为单播地址，用于标识一个接口，目的地址为单播地址的报文称为单播报文；D类地址称为组播地址，目的地址为组播地址的报文称为组播报文，某一些启用了特定功能的接口可以收到对应组播地址的组播报文；E类地址暂时不用；还有一个特别地址255.255.255.255，称为广播地址，广播报文可以被所有设备接收。

IP（IPv4）地址中，有三段地址专门用于内部专网（或称为“私网”）的规划，不能被传播到互联网（与“私网”相对应，可以称为“公网”）上：A类地址段中的10.0.0.0-10.255.255.255，B类地址段中的172.16.0.0-172.31.255.255，C类地址段中的192.168.0.0-192.168.255.255；或表示为：10.0.0.0/8，172.16.0.0/12，192.168.0.0/16三个网段。

时间: 2015-6-24 18:22

作者: 网语者

mywork 发表于 2015-6-24 17:50
求学习EPON/GPON来做IP监控
这样跨市跨省大网络大数字化大监控时代来到

朋友放心，您所说的三大“大网络、大数字化、大监控”，全球纪录都是我们的团队保持的。

后面会有相关技术层面的分解。

时间: 2015-6-24 18:23

作者: 网语者

justlucifer 发表于 2015-6-24 12:11
怎么下载。。。。。。。。～

目前连载进度有5%了，还在边写边改，预计两个月完成。到时候会在本帖提供PDF下载

时间: 2015-6-24 19:40

作者: wangjun19840729

这个东西专业性太强。

时间: 2015-6-24 19:54

作者: 网语者

本帖最后由网语者于 2015-6-24 22:24 编辑

2.5.2 ARP解析

通过应用层的协议互通，NVR和IPC之间自会知道对方的IP地址——详细的机制与具体的联网协议相关，我们在后续讲到互联互通时再仔细阐述。

以太局域网的内部威尼斯人官方网站需要知道链路层地址，即MAC地址。既然知道了对方的IP地址，怎么才能获取对方的MAC地址呢？
小时候父母和老师经常教导我们，鼻子下面是啥？嘴巴啊，不清楚问就行了。

“谁的IP地址是192.168.1.10（NVR的IP），告诉下MAC地址？“，IPC对着大伙喊，这叫广播。
“嗨，来了来了，是我是我，我的MAC是48:EA:63:0E:B7:BF“，NVR对着IPC应答，这叫单播。

规定这个交互过程的协议叫ARP（address resolution protocal），这个过程称为地址解析。在讨论ARP协议讲解之前，我们先了解下MAC地址的单播、组播、广播知识。

每个以太网设备都有一个唯一的属于自己的MAC地址，叫做单播MAC地址，例如48:EA:63:0E:B7:BF，目的MAC为该地址的以太帧只有它才会接收。有一个特别的MAC地址“FF:FF:FF:FF:FF:FF“，它对应于局域网上的所有设备，只要给这个MAC地址发送报文，局域网上的所有设备都会接收，这个MAC地址称为广播MAC地址。另外还有一类地址，对应于以太网上的一组特定的设备，这类MAC地址叫组播MAC地址，目的为组播MAC地址以太帧，只有加入到这个组播组的设备才会接收。

说明：
关于组播MAC地址的应用，我们在后面讨论组播时再深入介绍。

当IPC不知道NVR的MAC地址的时候，它会发送一个ARP请求报文，通常是一个广播以太帧。大意是“谁知道192.168.1.10的MAC地址是多少，告诉我192.168.1.100”,然后在发送者地址字段填上自己的MAC地址：48:EA:63:0E:00:01，既然不知道对方的MAC地址，目的MAC地址就填广播MAC地址”FF:FF:FF:FF:FF:FF“了。

图4.ARP机制组网图

当NVR收到这个报文后，一看，哦，有人问我MAC地址，那我就告诉他吧。然后发送一个ARP应答报文，通常是一个单播以太帧。大意就是“192.168.1.10的MAC地址是48:EA:63:0E:B7:BF”，然后填上自己的MAC地址48:EA:63:0E:B7:BF，，目的MAC地址就是请求人的MAC地址了：48:EA:63:0E:00:01。对了，还要把对方的IP和MAC地址保存下来：“192.168.1.100 48:EA:63:0E:00:01”，下一次给IPC发送报文的时候就不要再次询问对方的MAC地址了——这个存下来的表项就叫ARP表项。
与此同时，同一局域网内的其他IPC也能收到该IPC发送给NVR的ARP请求，这些IPC虽然不会发送ARP响应，但也会把这个IPC的MAC地址和IP的对应关系保存下了。下次如果需要向这个IPC发送消息就不用再发送ARP请求了。

再回头看发送ARP请求的IPC，在收到NVR的ARP应答报文后，自然就得到了NVR的MAC地址，于是建立了一个关于NVR的ARP表项：“192.168.1.10 48:EA:63:0E:B7:BF”。

到此为止，双方的ARP表中都有关于彼此的MAC地址了。

上述的ARP学习过程是通过协议动态获取的，这种ARP表项叫做动态ARP。为了节省表项资源，ARP表项需要定期老化清除。相对动态ARP，也可以手工静态配置，叫做静态ARP表项。

附件: 图4.ARP机制组网图.gif (2015-6-24 19:53, 18.67 KB) / 下载次数 6
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyNTc5fDdmOGY2OGVifDE3MTM1NjU1MzJ8MHww

时间: 2015-6-24 21:28

作者: phei1001

监控案例、手则方面的资料很欢迎的

时间: 2015-6-24 21:31

作者: xinsong

好贴，赞一个！

时间: 2015-6-24 22:28

作者: 网语者

本帖最后由网语者于 2015-6-24 22:31 编辑

2.5.3 免费ARP

有一种特殊的ARP特性叫做免费ARP（Gratuitous ARP）。免费ARP的过程很简单，就是明知故问，发送一个ARP请求报文。比如NVR发送的免费ARP就是“谁知道192.168.1.10的MAC地址，请告诉我192.168.1.10”。这种明知故问的ARP有什么用呢？当设备获得了一个IP地址或刚开机时，为了确定自己的IP有没被局域网内的其他设备占用，通常会发送一个免费ARP；如果网络上有其它设备也用了这个地址，那个设备就会回应一个ARP应答，于是发送免费ARP的设备就会给予系统提示。例如，NVR收到其他设备关于它的免费ARP的应答，就会提示“IP地址冲突”，便于管理员进行故障排查。

免费ARP的另一个好处是，如果IP所对应的MAC地址发生了变化，发送免费ARP可以使得局域网内的其他IP设备立刻刷新ARP表项。

说明：
MAC地址发生改变的场景比较多，可能是计算机更换了网卡，也可以是主备系统发生了切换。

2.5.4 触发机制

通过ARP解析可以获取对方的MAC地址，原理比较简单。但是昨天老U碰到了一件费解的事情：开始的时候将NVR配成1.1.1.1，IPC配成2.2.2.2，死活不通，后来在BBS上请教了高人，分别改配成192.168.1.10和192.168.1.100才互通成功，这是为什么呢？
我们知道，以太帧用于局域网威尼斯人官方网站，同样MAC地址只有在局域网内有效，所以，只有当设备认为自己与对方处于同一个局域网时，才会通过ARP协议请求对方的MAC地址，然后将报文直接发送给对端设备，这个过程叫二层转发。否则，设备就不会将报文直接发送给对方，而是将报文发送给一个叫“网关”的设备，即前面提到的路由器，由网关转发给处于另一个局域网的目的设备，这个过程叫三层转发。

设备怎么判断对方是否与自己在同一个局域网呢？

一个IP地址可以分解为网络地址和主机地址，网络地址和主机地址的划分由“地址掩码”决定。地址掩码为32bit，由一串1后面跟随一串0组成，其中1表示IP地址中的网络地址对应的位数，而0表示IP地址中主机地址对应的位数。掩码可以用点分十进制表示，例如点分十进制的掩码255.255.255. 0，实际上是32位二进制数11111111. 11111111. 11111111.00000000；掩码也通常用长度值来表示，即值为1的位的数量，例如掩码255.255.255.0用掩码长度来表示就是24。

当我们配置计算机的IP地址时，除了配置IP地址本身，同时需要配置地址掩码。例如，配置主机地址为192.168.1.10，掩码为255.255.255.0，或这样表示：192.168.1.10/24。

网络地址相同的两个IP地址，称它们处于同一网段，也即处于同一局域网。但由于报文的发送方并不知道对方的地址掩码，所以实际的处理方法是：将对方的IP和自己的掩码相与，若结果与自己的网络地址相同，就认为处于同一网段。例如，A主机的地址为192.168.1.10/16，B主机的地址为192.168.1.100/24，A会认为B与自己在同一网段，因为192.168.1.100与A的16位掩码相与的结果为192.168.0.0，刚好是A的网络地址；B也会认为A与自己在同一网段，因为192.168.1.10与B的24位掩码相与的结果为192.168.1.0，刚好是B的网络地址；所以它们俩会进行二层转发。又比如：A主机的地址为1.1.1.1/24，B主机的地址为2.2.2.2/24，A不会认为B与自己在同一网段，因为2.2.2.2与A的24位掩码相与的结果2.2.2.0不是A的网络地址；B也不会认为A与自己在同一网段，因为1.1.1.1与自己的24位掩码相与的结果1.1.1.0不是B的网络地址；所以它们不会去ARP解析对方的MAC地址，而是各自去寻找网关，去解析网关的MAC地址，走三层转发流程。

感觉学有所成的老U点了支利群（浙江的一种好烟。不算广告，我本人不吸烟），悠哉地做到监控屏幕面前，看着客人们在各个茶房聊天喝茶。突然，图像上的人影跳动了起来，视频不像原先那么顺畅了；同时，办公室传来玩游戏的老婆的尖叫声：“电脑中病毒了——“

时间: 2015-6-25 07:42

作者: ablelee

期待更精彩的部分出笼

时间: 2015-6-25 08:56

作者: linhb

本帖最后由 linhb 于 2015-6-25 09:20 编辑

潜水那么多年，出来冒个泡
刚做完个1w多个摄像头的PON的监控项目，感觉按现在视频的国标协议，PON承载会有摄像头突发的问题，只能通过带宽和令牌桶调整勉强适配。
如果不使用裸纤，改用设备承载，最好就是存储平台和视频点使用同一厂家，走厂家的私有协议而非国标，图像质量才有保证

时间: 2015-6-25 09:34

作者: 孙辉

学习了

时间: 2015-6-25 09:34

作者: 孙辉

还有没有啊

时间: 2015-6-25 13:27

作者: 网语者

本帖最后由网语者于 2015-6-25 13:43 编辑

已经有专业出版社接洽了，给出了很好的辅导出版意见，很开心

时间: 2015-6-25 13:43

作者: 网语者

linhb 发表于 2015-6-25 08:56
潜水那么多年，出来冒个泡
刚做完个1w多个摄像头的PON的监控项目，感觉按现在视频的国标协议，PON承载会有 ...

这位网友提出的问题是IP监控的一个典型的课题。视频流是典型的突发流，与国标无关。后面会一章节专门讲解这一问题和解决方案。pon作为接入层设备，缓存相对较小，对于视频流的缓冲能力较低，厂家应该提供接入规格。

时间: 2015-6-25 13:52

作者: icywindfox

现在还是基础部分，期待更多的监控强相关的知识

时间: 2015-6-25 17:28

作者: 网语者

icywindfox 发表于 2015-6-25 13:52
现在还是基础部分，期待更多的监控强相关的知识

对于大牛和动手能力强的朋友，我们也备有实战案例和操作。马上会连载完基础部分的，听取您的意见加速完成

时间: 2015-6-25 17:38

作者: 网语者

本帖最后由网语者于 2015-6-25 17:38 编辑

2.6 VLAN

老U喊来驿站的网管，网管发现中毒的电脑疯狂的发送着广播报文，冲击了连接在同一个交换机上的NVR，导致NVR的CPU负荷过重，严重影响视频解码的效果。为了避免今后再出现电脑中毒影响监控系统的事件，老U决定另买一台交换机，把办公电脑和监控系统隔离。所谓物以类聚，人以群分，好学又实在的老U结交的也是同样好学又实在的网管。网管说：不需要浪费那个钱，在交换机上做下VLAN划分，把办公电脑和监控系统划归到了不同的VLAN就行了。

为什么划分了VLAN就可以避免相互影响呢？

2.6.1 VLAN基础

VLAN（Virtual Local Area Network）虚拟局域网，顾名思义，就是在交换机上虚拟出不同的局域网，不同的VLAN相互隔离，使得报文无法进行二层转发。如下图，交换机上划分了红、蓝两色识别的不同的VLAN——在实际使用中则是用“VLAN ID”来区分的。不同的VLAN相当于不同的几台交换机。

图5.VLAN划分.png

图5.VLAN划分

说明：
VLAN提出的初衷是为了限制广播域。在网络中充斥着大量的广播报文，很多协议都会定期发送广播报文，如ARP、DHCP、RIP、NetBEUI、Apple Talk等；目的MAC在交换机上不存在的单播报文（称为未知单播）也会被交换机以广播的形式转发。广播报文会被连接在交换机上的所有设备收到，干扰CPU的工作，影响系统的正常业务处理性能。通过划分VLAN，VLAN内部的设备产生的广播报文就会被限制在该VLAN内部，不会影响其他VLAN内的设备，从而大大降低广播报文的影响范围和频度。

交换机对于以太帧的转发控制是基于VLAN标签（VLAN TAG）来实现的，VLAN标签被嵌入在以太帧的头部。标签中最重要的属性是VLAN ID，用于标识该以太帧属于哪个VLAN。用户通常可以配置的VLAN ID为2-4094（0和4095都为协议保留值,1为系统默认VLAN）。

2.6.2 交换机处理

为了划分VLAN，交换机首先需要配置各个端口所属的缺省VLAN ID。当一个不带VLAN标签的以太帧从该端口进入交换机，就会被打上端口所属的缺省VLAN的标签。这个VLAN ID称为该端口的PVID（Port-base VLAN ID，端口的缺省VLAN ID），或者说，该端口是该VLAN的access（访问）端口。该端口允许带着该VLAN标签的以太帧进入，而当带着该VLAN标签的以太帧从该端口出去后，VLAN标签就会被剥离。

一个端口是不是只允许VLAN标签为自己所属的PVID的以太帧进出呢？倒也不是。但一个端口若要允许带着其他VLAN标签的以太帧进出，就需要配置trunk（汇聚）对应的VLAN，或者说，该端口是该VLAN的trunk端口。这样，这个端口也允许带着被trunk的VLAN的标签的以太帧进入该端口，但带着该VLAN标签的以太帧从该端口出去后，VLAN标签却不会被剥离。

除了access端口和trunk端口之外，还有一个hybrid（混合）端口。相对于trunk，当一个端口hybrid某个VLAN时，可以指定带有该VLAN标签的以太帧出去后是否继续携带VLAN标签。

需要说明的是，很多计算机、服务器、NVR、DVR、IPC等主机都并不支持带有VLAN标签的以太帧的接收和发送，所以必须保证以太帧在离开交换机前往主机时将VLAN标签剥离。

附件: 图5.VLAN划分.png (2015-6-25 17:37, 40.08 KB) / 下载次数 5
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyNjQ3fDEzMGRiZTI1fDE3MTM1NjU1MzJ8MHww

时间: 2015-6-25 18:08

作者: yasean

楼主写的不错，虽然是写安防，但是包括这么多包交换的内容，可见确实是大牛。佩服佩服

时间: 2015-6-25 18:18

作者: shamashii

做过WLAN，对所谓的TCP拦截技术比较感兴趣，就是所说的键入网址结果被拦截到运营商的PORTAL界面，不知有无相关栏目？

时间: 2015-6-25 19:11

作者: mywork

网语者发表于 2015-6-24 19:54
2.5.2 ARP解析

通过应用层的协议互通，NVR和IPC之间自会知道对方的IP地址——详细的机制与具体的联网协议 ...

“谁的IP地址是192.168.1.10（NVR的IP），告诉下MAC地址？“，IPC对着大伙喊，这叫广播。
“嗨，来了来了，是我是我，我的MAC是48:EA:63:0E:B7:BF“，NVR对着IPC应答，这叫单播。

这个解释最简单最好理解最经典
在PON（点到多点）技术方式也有：下行是广播方式，上行是时分复用（也象单播）

时间: 2015-6-25 19:14

作者: 网语者

shamashii 发表于 2015-6-25 18:18
做过WLAN，对所谓的TCP拦截技术比较感兴趣，就是所说的键入网址结果被拦截到运营商的PORTAL界面，不知有无相 ...

本来规划了portal相关知识，最后评估下来觉得安防方案和开局很少遇到这块内容，就裁剪了

时间: 2015-6-25 19:18

作者: mywork

linhb 发表于 2015-6-25 08:56
潜水那么多年，出来冒个泡
刚做完个1w多个摄像头的PON的监控项目，感觉按现在视频的国标协议，PON承载会有 ...

刚做完个1w多个摄像头的PON的监控项目？
够大了，这个组网规划能上图学习下

时间: 2015-6-25 19:49

作者: spring_sky24

LZ继续

时间: 2015-6-25 20:13

作者: 网语者

本帖最后由网语者于 2015-6-25 20:14 编辑

yasean 发表于 2015-6-25 18:08
楼主写的不错，虽然是写安防，但是包括这么多包交换的内容，可见确实是大牛。佩服佩服

谢谢鼓励，向您夸赞的目标努力。

我们团队刚进入视频监控市场时，是有一句自嘲自勉的玩笑：做网络是高富帅，做监控是草根。

不过视频监控当真不简单，考验机械、电子、光学、网络、业务、智能等理解，跨度很大。很幸运，我们已经在享受这个过程了。

时间: 2015-6-25 20:22

作者: 网语者

2.6.3 组网实战

理解网络知识的最好方法是组网实验，我们来看一个典型的例子。假设下图中，需要将不同楼层的A、C和B、D分别划分到红色VLAN和蓝色VLAN。首先，交换机1和交换机2上分别配置两个VLAN，并配置连接A和连接C的端口的PVID为红VLAN，连接B和连接D的端口的PVID为蓝VLAN。

图6.VLAN划分实例图A.png

图6.VLAN划分实例图A

问题在于，交换机1和交换机2该如何连接呢？最简单的方法，自然是在交换机1和交换机2上各设一个红、蓝VLAN专用的接口并互联，如下图：

图7.VLAN划分实例图B.png

图7.VLAN划分实例图B

但这个办法显然不好，如果再多配置几个VLAN，交换机用于互联的端口就不够用了。这时trunk端口就有用武之地了：交换机互联只各用一个端口，让该端口同时trunk红VLAN和蓝VLAN，一切轻松搞定。如下图：

图8.VLAN划分实例图C.png

图8.VLAN划分实例图C

让我们来次以太帧的VLAN之旅： A发出的以太帧不带VLAN标签，进入交换机1之后被嵌入红VLAN的标签，由于互联的端口trunk了红VLAN，所以该以太帧可以带着标签出来；到了交换机2，因为互联端口trunk了红VLAN，所以顺利进入了交换机2，继而从连接C的端口出来，由于连接C的端口access了红VLAN，标签被剥离；最后以太帧到达C。

从上面的组网可以看出，trunk（汇聚）一词确实名副其实啊，作用大大的！

但老U似乎感觉有些疑惑：交换机怎么知道将以太帧往哪个端口转发呢？嗯，想起来了，当然是MAC地址表了！对啊，还记得MAC地址表里的VLAN属性吗？就是这里的用处了：控制以太帧仅在本VLAN内部做二层转发！

附件: 图6.VLAN划分实例图A.png (2015-6-25 20:19, 31.54 KB) / 下载次数 4
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyNjU0fGMwZTViMGVmfDE3MTM1NjU1MzJ8MHww

附件: 图7.VLAN划分实例图B.png (2015-6-25 20:21, 37.88 KB) / 下载次数 3
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyNjU1fDUwOWMxYjBlfDE3MTM1NjU1MzJ8MHww

附件: 图8.VLAN划分实例图C.png (2015-6-25 20:22, 45.78 KB) / 下载次数 3
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyNjU2fGEzNjEwOTM4fDE3MTM1NjU1MzJ8MHww

时间: 2015-6-25 22:49

作者: linhb

网语者发表于 2015-6-25 13:43
这位网友提出的问题是IP监控的一个典型的课题。视频流是典型的突发流，与国标无关。后面会一章节专门讲解 ...

主要问题在于H.264没有规范上传的突发流量，导致实际使用时对承载设备要求高。
我很期待楼主关于这一方面的课题，做好跟进学习的准备

时间: 2015-6-26 00:22

作者: junmily

mywork 发表于 2015-6-25 19:18
刚做完个1w多个摄像头的PON的监控项目？
够大了，这个组网规划能上图学习下

1万个点位啊，发上来让我开开眼界

时间: 2015-6-26 08:00

作者: icywindfox

linhb 发表于 2015-6-25 22:49
主要问题在于H.264没有规范上传的突发流量，导致实际使用时对承载设备要求高。
我很期待楼主关于这一方面 ...

突发很正常啊，一个I帧的大小约为I帧组的30%到40%，而发送时间只能是1/帧率秒（假设gop=帧率），那么码流突发就能达到码率*30%*帧率，4M，25帧，突发就能到30M，如果想维持4M的码率，I帧发送时间就会持续300毫秒，这个延时太大了

时间: 2015-6-26 08:34

作者: 网语者

本帖最后由网语者于 2015-6-26 08:37 编辑

2.6.4 基本配置典型实例

交换机有四个端口ethernet 0/1、ethernet 0/2、ethernet 0/3、ethernet 0/4。PC1与PC2属于vlan 2的办公网络， IPC与NVR都属于vlan 3的监控网络。

图9.VLAN配置组网图

相关配置如下：

[H3C]vlan2 #创建(进入)vlan 2
[H3C-vlan2]port ethernet 0/1 #将端口E0/1加入到vlan2
[H3C-vlan2]port ethernet 0/4 #将端口E0/4加入到vlan2

[H3C]vlan3 #创建(进入)vlan3
[H3C-vlan3]port ethernet 0/2 #将E0/2加入到vlan3
[H3C-vlan3]port ethernet 0/3 #将E0/3加入到vlan3

配置完成后，PC1和PC2可以互相PING通，IPC和NVR可以相互PING通。PC1、PC2与IPC、NVR两两之间无法PING通。

VLAN的原理和配置弄清楚了，这下老U再也不用担心办公室网络和监控网络网络相互干扰的问题了。

时光飞逝，一眨眼网络已经顺利运行了1个月。有一天，领班在整理机房时不小心接错了端口，这下子大家一起叫了起来：网——上——不——去——了！只见交换机的指示灯一片狂魔乱舞，疯狂闪烁，这可怎么办呢？

附件: 图9.VLAN配置组网图.png (2015-6-26 08:33, 33.57 KB) / 下载次数 3
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyNjcxfGNkNGE2MjgzfDE3MTM1NjU1MzJ8MHww

时间: 2015-6-26 09:59

作者: linhb

junmily 发表于 2015-6-26 00:22
1万个点位啊，发上来让我开开眼界

涉及gov，正在验收阶段，不方便放资料

时间: 2015-6-26 10:01

作者: linhb

icywindfox 发表于 2015-6-26 08:00
突发很正常啊，一个I帧的大小约为I帧组的30%到40%，而发送时间只能是1/帧率秒（假设gop=帧率），那么码流 ...

恩，I帧是突发的原因，所以很期待楼主关于这方面的讲解，看看有什么办法可以解决

时间: 2015-6-26 11:25

作者: keboy520

没想到做视频监控的需要这么多的网络应用知识呢！真的长了见识了，希望版主能把这帖子置顶就好了

时间: 2015-6-26 16:57

作者: supeletian

大才主啊

时间: 2015-6-26 19:03

作者: mywork

网语者发表于 2015-6-25 13:27
已经有专业出版社接洽了，给出了很好的辅导出版意见，很开心

恭喜恭喜!
出版后送个电子档吧

时间: 2015-6-26 19:05

作者: mywork

网语者发表于 2015-6-25 20:13
谢谢鼓励，向您夸赞的目标努力。

我们团队刚进入视频监控市场时，是有一句自嘲自勉的玩笑：做网络是 ...

做互联网才是高大上
其余都是草根啊

时间: 2015-6-27 09:48

作者: Up-T

linhb 发表于 2015-6-26 09:59
涉及gov，正在验收阶段，不方便放资料

省会或市级政府的平安工程吧，1w个好nb。。。请问监控实时预览怎么就解决的？

时间: 2015-6-27 10:14

作者: phei1001

很实用，楼主加油。对我们菜鸟来说，楼主把主流、优质的产品如何选配也介绍介绍

时间: 2015-6-28 10:54

作者: 网语者

本帖最后由网语者于 2015-6-28 11:03 编辑

mywork 发表于 2015-6-26 19:05
做互联网才是高大上
其余都是草根啊

我们的世界观和方法论：反对病态的互联网观

首先，无论威尼斯人官方网站还是IT业界，对于互联网和民用安防两个概念有点混淆。互联网对安防的冲击主要分为技术层面和非技术层面：技术层面，诸如云计算、大数据这样在互联网行业得以广泛应用的技术，的确对安防业大有裨益；非技术层面，主要指对营销理念的冲击，通过对互联网营销模式的理解与应用，口碑式营销和快速迭代。

客观讲，我们是安防行业中最早认识和理解互联网的，但我们反对言必称互联网。互联网可以颠覆服务业，但不能颠覆制造业，它只能使制造企业去规划并生产出更好的产品。过去是买的没有卖的精，互联网则使卖的没有买的精，在这种情况下，制造业只有投入更多精力和能力去打造更好的产品。

很长一段时间以来，社会弥漫一种风气，仿佛话题没有互联网就没法谈了；从去年的安博会开始，安防行业大家无论懂与不懂都在说互联网。但是，有相当比例的人根本不懂互联网，这种盲目的风气，安防行业不需要，这也是社会和安防业最大的敝端——浮躁。

在中国，创业三年能够成活下来的概率是5%，十年还在大约是1%，这是传统行业；如果是互联网行业，小数点还会再移动一位。互联网固然是“不可逆”的大势，但有多少人实质看清，互联网行业过去十年急剧收敛，已经是寡头游戏？随着互联网小微创业近年来的破产倒闭，人们会愈加体味到历史覆辙的残酷。

过往，南海泡沫、郁金香泡沫、互联网泡沫……历史教训总像沙滩上的容颜一般易被人遗忘。如今，又在进行着金融投机、地产投机，以及互联网风潮的饮鸩止渴。中国制造2025和工业4.0，这是我们精工之路坚守的目标，这是通向成功最好的捷径，任何时代，做实业都有最体面的分配。

时间: 2015-6-28 22:26

作者: mywork

网语者发表于 2015-6-28 10:54
我们的世界观和方法论：反对病态的互联网观

首先，无论威尼斯人官方网站还是IT业界，对于互联网和民用安防两个概念 ...

传统各种行业就是制造业，人多，基础投资大，难转身，利润低
互联网行业就象第三产业，更有点更服务行业，人少，投资偏平化，转身易，利润高。

时间: 2015-6-28 22:33

作者: lifuouxie

本帖最后由 lifuouxie 于 2015-6-28 22:33 编辑

形象又专业啊，连菜鸟都越看越有兴趣。期待能一直连载，可以学到好多

时间: 2015-6-29 08:33

作者: 网语者

2.7 以太风暴与生成树协议

领班不小心接错了个端口，咋就导致监视器上的摄像头画面都黑屏了，办公室电脑也上不了QQ了呢？究竟是什么原因导致插错个端口就有这么大的杀伤力，方圆几百米内的电脑、网络摄像机、NVR都无法工作了？其实这与二层转发紧密相关。

2.7.1 以太风暴

图10 以太环网实例图A

之前交换机A与交换机B之间只有一根网线互联，领班不小心接错了线，把交换机A的端口④与交换机B的端口④连接起来，如上图所示。当交换机A中的网络摄像机发出一个以太网广播帧后，交换机A的端口①收到这个广播帧，根据上文中讲述的交换机转发规则，首先学习这个广播帧的源MAC地址，然后进行转发。由于是广播帧，交换机A会从其他所有端口（排除端口①）复制并转发此广播帧，如下图所示：

图11 以太环网实例图B

此广播帧又踏上征途，到达交换机B的端口③和端口④后，同样的根据交换机转发规则，交换机B学习此广播帧的源MAC地址后，然后再进行转发。由于是广播帧，交换机B的端口④收到广播帧后会从除端口④以外的其他端口复制并转发此广播帧，如下图所示：

图12 以太环网实例图C

同样的，交换机B的端口③收到广播帧后会从除端口③以外的其他端口复制并转发此广播帧，如下图所示：

图13 以太环网实例图D

广播帧到达交换机A后，又会被复制并且转发，这样周而复始、循环下去会导致交换机A和交换机B所有的端口上都充满了广播帧，形成了“以太风暴”，导致真正有用且重要的监控视频数据包都无法正常转发了。

图14 以太环网实例图E

附件: 图10.以太环网实例图A.png (2015-6-29 08:30, 23.58 KB) / 下载次数 3
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyODA5fDVkNDUzMmM3fDE3MTM1NjU1MzJ8MHww

附件: 图11.以太环网实例图B.png (2015-6-29 08:30, 25 KB) / 下载次数 3
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyODEwfDI3ZDE1MjUwfDE3MTM1NjU1MzJ8MHww

附件: 图12.以太环网实例图C.png (2015-6-29 08:32, 24.72 KB) / 下载次数 3
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyODExfDAyODc1YzkzfDE3MTM1NjU1MzJ8MHww

附件: 图13.以太环网实例图D.png (2015-6-29 08:32, 24.35 KB) / 下载次数 1
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyODEyfDU5ZjZhODdlfDE3MTM1NjU1MzJ8MHww

附件: 图14.以太环网实例图E.png (2015-6-29 08:33, 24.65 KB) / 下载次数 1
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyODEzfDgyM2ZjOTkyfDE3MTM1NjU1MzJ8MHww

时间: 2015-6-29 09:48

作者: 陈业政189

都一样，不分高低，搞视频的不可能一定会修车。分工

时间: 2015-6-29 14:35

作者: ahczqmz

本帖最后由 ahczqmz 于 2015-6-29 14:36 编辑

书何时出版啊？

时间: 2015-6-29 15:51

作者: spring_sky24

要出书了么?真么火

时间: 2015-6-29 16:09

作者: linhb

本帖最后由 linhb 于 2015-6-29 16:13 编辑

Up-T 发表于 2015-6-27 09:48
省会或市级政府的平安工程吧，1w个好nb。。。请问监控实时预览怎么就解决的？

云存储，海X或宇X等厂家的ipsan具有同时存储和转发功能，通过ipsan转发实现实时预览。

时间: 2015-6-29 17:50

作者: 网语者

2.7.2 生成树协议

为了应对这种因为二层环形组网导致“以太风暴”的现象发生，STP（Spanning Tree Protocol）协议应运而生。STP是一种二层管理协议，它通过有选择性地阻塞网络冗余链路来达到消除网络二层环路的目的，同时还具备链路的备份功能。

说明：
目前为止，我们讲到的交换机均为二层以太网交换机，后续我们还会讲到具有路由功能的三层交换机。二层交换机的另一个称谓叫“网桥”或“桥”，在协议描述文档中通常以网桥的名称出现。下面阐述STP协议时，我们统一以网桥的称谓进行STP协议的描述。

STP协议的基本思想很简单。当初协议设计者联想到自然界中生长的树是不大会出现环路的，如果网络也能够像一棵树一样生长就不会出现环路。于是，STP协议中定义了根桥（Root Bridge）、根端口（Root Port）、指定端口（Designated Port）、路径开销（Path Cost）等概念，目的就在于通过构造一棵树的方法达到裁剪冗余环路的目的，同时实现链路备份和路径最优化。用于构造这棵树的算法称之为生成树算法（Spanning Tree Algorithm）。

要实现上述目的，交换机之间必须进行一些信息的交互，这些信息交互单元就称为BPDU（Bridge Protocol Data Unit报文）。STP BPDU是一种二层报文，目的MAC是多播地址0180—C200—0000，所有支持STP协议的交换机都认识并处理其收到的BPDU报文。该报文里携带有用于生成树计算的所需要用到的相关信息。

STP的工作过程是：首先进行根桥的选举。选举的依据是网桥优先级和网桥MAC地址组合成的桥ID，桥ID最小的网桥将成为网络中的根桥，它的所有端口都连接到下游桥，所有连接到下游桥的端口角色都成为指定端口——指定端口指网桥（包含根桥和非根桥）上用来转发业务数据的端口。接下来，连接根桥的下游网桥将各自选择一条 “最粗壮”的树枝作为到根桥的路径，相应端口的角色就成为根端口。循环这个过程到网络的边缘，一棵树就生成了。

生成树经过一段时间（默认值是30秒左右）稳定之后，“树”上的端口都进入转发状态，其他端口进入阻塞状态。STP BPDU会定时从各个网桥的指定端口发出，以维护链路的状态。如果网络拓扑发生变化，生成树就会重新计算，端口状态也会随之改变。这就是生成树的基本原理。下面以一个实例来说明，STP协议究竟是如何运行的。如下图：

图15 生成树原理示意图A

第一步：选举根桥

首先要选举出一个根桥。选举的依据是：桥ID（网桥优先级+网桥MAC地址）最低者获胜。假设交换机A，B，C的网桥优先级采用默认值32768，那么桥ID的大小就取决于它们的MAC，很明显，交换机A具有最低的MAC：0000-1111-AAAA，选举成为根桥（Root）。

第二步：选取根端口

在激烈的根桥选举大战中，交换机A胜出，接下来要为非根桥（即图中的交换机B和交换机C）选举出一个根端口。根端口就是离根桥最近的端口，如果非根桥有两条物理链路到达根桥，则优先选举COST值最小的物理链路（端口的COST值是交换机根据链路速率等信息自动计算出来的，也可以由管理员手工设置），如果COST值一样则选择端口ID最小的物理链路。这好比一个国家的每个省（非根桥）都要选出一个省长（根端口），作为“接口人”与中央（根桥）联系。一个省的省长（根端口）有且仅有一个，不设副职，如果根端口因为某种原因（比如链路Down掉）不再继续承担接口人这一角色，那么非根桥启动新一轮的选举程序重新选举出一个根端口。经过一番龙争虎斗后，选取出来的根桥和根端口如图10所示：

图16生成树原理示意图B

第三步：选举指定端口

为每台非根桥交换机选出根端口后，接下来要为每段链路选举出指定端口（Designated Port）。每段物理链路无论有多少个端口，都只选出一个作为指定端口，用于转发数据流量，这是真正消除环路的核心法宝。产生环路的条件是到达同一目的地有两条或两条以上的路径可达，如果一段物理链路只有一个端口作为流量转发的“出入口”，环路必定被消除。 “条条大路通罗马”的情况在收敛后的STP树中不存在，即使存在物理上的多条通路，STP也会从中选出一条最优的路径进行流量转发，阻塞掉其它的端口。

图17 生成树原理示意图C

很明显，交换机A的端口①距离根桥的距离更短（交换机A自身就是根桥嘛），所以选择交换机A的端口①作为物理链路1的指定端口。同理换机A的端口②被选中作为物理链路3的指定端口

交换机B的端口①在物理链路1的指定端口竞选过程中失败了，但也不必太伤心，因为交换机B的端口①已经有了一份接口人的工作（交换机B的端口①是根端口），STP会保证它会处于转发状态，不会惨遭被阻塞的命运。

接下来要为物理链路2选举指定端口，其过程会稍稍有点复杂。总体原则是依次比较BPDU中4项技术指标（根桥ID、根路径开销、发送桥ID、发送端口ID），值小者为最优。

物理链路2上有两个端口，分别是交换机B的端口②和交换机C的端口②。交换机B的端口②计算自己的Root Path Cost值是20（物理链路2的Cost值10+物理链路1的Cost值10得来），交换机C的端口②计算自己的Root Path Cost值也是20（物理链路2的Cost值10+物理链路3的Cost值10得来），双方打成平手。

接下来交换机B的端口②收到的交换机C的端口②发来的BPDU中，4项技术指标（根桥ID、根路径开销、发送桥ID、发送端口ID）的前两项与自己的都一样（前两个指标打成平手），接下来比较第三项即发送桥ID。交换机B的端口②发现自己的发送桥ID是0000-1111-BBBB，交换机C的端口②发过来的BPDU的发送桥ID是0000-1111-CCCC，比自己的桥ID数值大，即自己的是最优的，所以把接收到的BPDU丢弃。等待2倍的Forward Delay时间后，如果仍没有收到更优的BPDU，那么自己就是物理链路2的指定端口了，进入Forwarding状态；

交换机C的端口②接收到交换机B的端口②发来的BPDU中，发现BPDU里的发送桥ID是0000-1111-BBBB，比自己的发送桥ID:0000-1111-CCCC优。这种情况下，交换机B的端口②就感叹自愧不如人家，再加上自己又不是交换机C的根端口，只能成为非指定端口将被阻塞掉，不能再转发除BPDU协议报文外的其他任何报文。

经过上面一番竞争和选举后，交换机上的每个端口都有了自己的角色，如上图10所示。只有根端口和指定端口才有资格转发用户业务数据和BPDU报文，而非指定端口则需要丢弃除BPDU协议报文以外的任何报文。

协议也会与时俱进。随着IP网络的发展壮大它所承载的上层应用越来越多，有些应用对数据报文的中断时间要求很高，而STP协议在网络拓扑发生变化时收敛时间在三十多秒，这对于语音电话或视频监控这些应用而言是无法接受的，RSTP（Rapid Spanning Tree Protocol）快速生成树协议在这种背景与呼声下横空出世。

RSTP相比STP最显著的区别就是“快”，主要体现在：当一个端口被选中成为根端口和指定端口后，其进入转发状态的延时将大大缩短，从而缩短了流量收敛所需要的时间。

根端口的端口状态快速迁移的条件是：本设备上旧的根端口已经停止转发数据，而且上游指定端口已经开始转发数据。
指定端口的端口状态快速迁移的条件是：指定端口是边缘端口（即该端口直接与用户终端相连，而没有连接到其它网桥或共享网段上。网桥设备是无法知道自己的端口是否直接与终端相连，所以需要网络管理员手工将端口配置为边缘端口）或者指定端口与点对点链路（即两台网桥设备直接相连的链路）相连。如果指定端口是边缘端口，则指定端口可以直接进入转发状态；如果指定端口连接着点对点链路，则设备可以通过与下游网桥进行协议交互，确认为点对点链路后即刻进入转发状态。

与时俱进的脚步不能停，RSTP解决了拓扑变化后收敛时间过长的问题，但是和STP一样存在以下缺陷：局域网内所有网桥共享一棵生成树，不能以VLAN为单位独立阻塞冗余链路，这在很多组网情形中会带来问题。MSTP（Multiple Spanning Tree Protocol）多生成树协议应运而生，它既可以快速收敛，也能使不同VLAN的流量沿各自的路径转发，还能提高网桥设备的端口利用率，即网桥上的某端口对VLAN2来说是阻塞状态的，但对VLAN3而言是处于转发状态的。相对于STP和RSTP，MSTP的特点如下：

1、MSTP把一个交换网络划分成多个域，每个域内形成多棵生成树，生成树之间彼此独立；
2、MSTP通过设置VLAN与生成树的对应关系表（即VLAN映射表），将一个或多个VLAN对应到一颗生成树，通常我们称一颗生成树为一个“实例”MSTI（Multiple Spanning Tree Instance）；
3、MSTP继承了RSTP的端口状态快速迁移机制；
4、MSTP兼容STP和RSTP，会自适应的向下兼容。

附件: 图15.生成树原理示意图A.png (2015-6-29 17:47, 21.35 KB) / 下载次数 3
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyODU0fDE0OTJiNWNmfDE3MTM1NjU1MzJ8MHww

附件: 图16.生成树原理示意图B.png (2015-6-29 17:48, 22.48 KB) / 下载次数 3
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyODU1fDkxNTM2NWNmfDE3MTM1NjU1MzJ8MHww

附件: 图17.生成树原理示意图C.png (2015-6-29 17:49, 32.84 KB) / 下载次数 3
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyODU2fDg3NTEwY2UyfDE3MTM1NjU1MzJ8MHww

时间: 2015-6-30 08:54

作者: 网语者

2.7.3 基本配置典型实例

如下图所示，网络中所有设备都属于同一个MST域。交换机 A与交换机B为汇聚层设备，交换机C和交换机D为接入层设备。通过配置使不同VLAN的报文按照不同的MSTI转发：VLAN 10的报文沿MSTI 1转发，VLAN 30沿MSTI 3转发，VLAN 40沿MSTI 4转发，VLAN 20沿MSTI 0转发。相关配置如下：

图18 生成树配置举例

(1) 配置VLAN和端口
请按照图在交换机A和交换机B上分别创建VLAN 10、20和30，在交换机C上创建VLAN 10、20和40，在交换机D上创建VLAN 20、30和40；将各设备的各端口配置为Trunk端口并允许相应的VLAN通过，具体配置过程略。

(2) 配置交换机A
# 配置MST域的域名为example，将VLAN 10、30、40分别映射到MSTI 1、3、4上，并配置MSTP的修订级别为0。
<DeviceA> system-view
[DeviceA] stp region-configuration
[DeviceA-mst-region] region-name example
[DeviceA-mst-region] instance 1 vlan 10
[DeviceA-mst-region] instance 3 vlan 30
[DeviceA-mst-region] instance 4 vlan 40
[DeviceA-mst-region] revision-level 0
# 激活MST域的配置。
[DeviceA-mst-region] active region-configuration
[DeviceA-mst-region] quit
# 配置本设备为MSTI 1的根桥。
[DeviceA] stp instance 1 root primary
# 全局使能MSTP协议。
[DeviceA] stp enable

(3)配置交换机B
# 配置MST域的域名为example，将VLAN 10、30、40分别映射到MSTI 1、3、4上，并配置MSTP的修订级别为0。
<DeviceB> system-view
[DeviceB] stp region-configuration
[DeviceB-mst-region] region-name example
[DeviceB-mst-region] instance 1 vlan 10
[DeviceB-mst-region] instance 3 vlan 30
[DeviceB-mst-region] instance 4 vlan 40
[DeviceB-mst-region] revision-level 0
# 激活MST域的配置。
[DeviceB-mst-region] active region-configuration
[DeviceB-mst-region] quit
# 配置本设备为MSTI 3的根桥。
[DeviceB] stp instance 3 root primary
# 全局使能MSTP协议。
[DeviceB] stp enable

(4)配置交换机C
# 配置MST域的域名为example，将VLAN 10、30、40分别映射到MSTI 1、3、4上，并配置MSTP的修订级别为0。
<DeviceC> system-view
[DeviceC] stp region-configuration
[DeviceC-mst-region] region-name example
[DeviceC-mst-region] instance 1 vlan 10
[DeviceC-mst-region] instance 3 vlan 30
[DeviceC-mst-region] instance 4 vlan 40
[DeviceC-mst-region] revision-level 0
# 激活MST域的配置。
[DeviceC-mst-region] active region-configuration
[DeviceC-mst-region] quit
# 配置本设备为MSTI 4的根桥。
[DeviceC] stp instance 4 root primary
# 全局使能MSTP协议。
[DeviceC] stp enable

(5)配置交换机D
# 配置MST域的域名为example，将VLAN 10、30、40分别映射到MSTI 1、3、4上，并配置MSTP的修订级别为0。
<DeviceD> system-view
[DeviceD] stp region-configuration
[DeviceD-mst-region] region-name example
[DeviceD-mst-region] instance 1 vlan 10
[DeviceD-mst-region] instance 3 vlan 30
[DeviceD-mst-region] instance 4 vlan 40
[DeviceD-mst-region] revision-level 0
# 激活MST域的配置。
[DeviceD-mst-region] active region-configuration
[DeviceD-mst-region] quit
# 全局使能MSTP协议。
[DeviceD] stp enable

(6)检验配置效果
当网络拓扑稳定后，通过使用display stp brief命令可以查看各设备上生成树的简要信息。例如：
# 查看交换机A上生成树的简要信息。
[DeviceA] display stp brief
MSTID    Port                      Role  STP State    Protection
0       GigabitEthernet1/0/1       ALTE  DISCARDING NONE
0       GigabitEthernet1/0/2       DESI  FORWARDING NONE
0       GigabitEthernet1/0/3       ROOT  FORWARDING NONE
1       GigabitEthernet1/0/1       DESI  FORWARDING NONE
1       GigabitEthernet1/0/3       DESI  FORWARDING NONE
3       GigabitEthernet1/0/2       DESI  FORWARDING NONE
3       GigabitEthernet1/0/3       ROOT  FORWARDING NONE
# 查看交换机B上生成树的简要信息。
[DeviceB] display stp brief
MSTID    Port                      Role  STP State    Protection
0       GigabitEthernet1/0/1       DESI  FORWARDING NONE
0       GigabitEthernet1/0/2       DESI  FORWARDING NONE
0       GigabitEthernet1/0/3       DESI  FORWARDING NONE
1       GigabitEthernet1/0/2       DESI  FORWARDING NONE
1       GigabitEthernet1/0/3       ROOT  FORWARDING NONE
3       GigabitEthernet1/0/1       DESI  FORWARDING NONE
3       GigabitEthernet1/0/3       DESI  FORWARDING NONE
# 查看交换机 C上生成树的简要信息。
[DeviceC] display stp brief
MSTID    Port                      Role  STP State    Protection
0       GigabitEthernet1/0/1       DESI  FORWARDING NONE
0       GigabitEthernet1/0/2       ROOT  FORWARDING NONE
0       GigabitEthernet1/0/3       DESI  FORWARDING NONE
1       GigabitEthernet1/0/1       ROOT  FORWARDING NONE
1       GigabitEthernet1/0/2       ALTE  DISCARDING NONE
4       GigabitEthernet1/0/3       DESI  FORWARDING NONE
# 查看交换机D上生成树的简要信息。
[DeviceD] display stp brief
MSTID    Port                      Role  STP State    Protection
0       GigabitEthernet1/0/1       ROOT  FORWARDING NONE
0       GigabitEthernet1/0/2       ALTE  DISCARDING NONE
0       GigabitEthernet1/0/3       ALTE  DISCARDING NONE
3       GigabitEthernet1/0/1       ROOT  FORWARDING NONE
3       GigabitEthernet1/0/2       ALTE  DISCARDING NONE
4       GigabitEthernet1/0/3       ROOT  FORWARDING NONE

有一天，老U坐在办公室里上网看新闻，说到杭州茶馆生意比以往红火，便想通过监控系统看看自家茶室的生意状况。但办公网络和监控网络被VLAN隔离了，于是不得不跑到监控室去瞅一眼。老U心想，VLAN隔离了广播域，好是好，但是确实有点不太方便，难道就没有两全之策？于是立马电话联系了网管朋友，网管推荐老U采用路由器或三层交换机来解决这个问题。
为什么路由器或三层交换机可以解决问题，又是如何解决的呢？

附件: 图18.生成树配置举例.png (2015-6-30 08:53, 35.99 KB) / 下载次数 3
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYyODY3fDAzNmNlNmYwfDE3MTM1NjU1MzJ8MHww

时间: 2015-6-30 14:52

作者: junmily

原来mstp与传输里的mstp不是一个东西啊

时间: 2015-6-30 15:09

作者: spring_sky24

LZ是不是应该在首页搞个快速入口或目录，类似大话威尼斯人官方网站的帖子是的，一页一页地跟，比较零散

时间: 2015-6-30 16:36

作者: 网语者

本帖最后由网语者于 2015-6-30 16:37 编辑

spring_sky24 发表于 2015-6-30 15:09
LZ是不是应该在首页搞个快速入口或目录，类似大话威尼斯人官方网站的帖子是的，一页一页地跟，比较零散

入口我也很想啊，还要看@家园副管03 的决策。
目录则请看第二楼，已经有了，直达每一连载的楼层链接马上也做好。

时间: 2015-7-1 11:40

作者: 网语者

2.8 路由表与路由器转发

在“互联网与分层” 一节我们知道网络层位于TCP/IP协议分层模型的第三层，提供发送端到目的端之间的信息传输服务，网络层的数据以IP数据报的形式传输，网络层打包时会添加IP首部信息，包含该IP数据报的发送者的源IP和接收者的目IP信息，而路由器就是通过IP数据报的目的IP（有些情况也会需要源IP）匹配路由表来控制数据报的转发，所以就称为“三层转发“。

图19 路由拓扑图

以太网的“转发设备”就像在交叉路口指挥交通的“交警”一样，需要依据一定的规则来指挥车辆的通行。之前讲过的二层转发是依据“MAC表项”来指挥以太帧转发，三层转发则是依据“路由表”来指挥跨网段的IP数据报转发。路由表是三层转发设备最核心的表项，就像“交通路标牌“一样指导报文的转发。IP报文的三层转发其实是报文经过一个个”交叉路口“时被不断转发的过程。

2.8.1 路由表

路由表一般由动态路由协议负责生成——当然也可以通过管理员手工静态配置来完成。路由协议负责收集信息，构建报文转发的“地图“，然后在路由表中生成相关表项。路由表其实并不知道报文的完整转发路径，只知道到达目的地的最近的下一个”交叉路口“。路由器负责把报文送到下一个“交叉路口”，即下一个路由器，然后由下一个路由器再负责送到下下个路由器，不断往复，直到目的地址。

路由表中的路由表项一般包含如下内容：目的网段和掩码、路由来源、优先级、开销、下一跳地址、出接口，如下图所示：

图20 路由表示例

Destination/Mask：目的网络或主机地址/掩码。
Proto：发现该路由表项的路由协议(即路由来源)，Direct表示设备直连的网段，Static表示手工配置的静态路由，OSPF和RIP表示由动态路由协议OSPF和RIP发现的路由。
Pre：路由的优先级，标识不同路由协议的特权数值。当不同的路由协议学习到相同的路由时（目的网段和掩码都相同），数值较小的生效；若数值相同，则同时生效，这就是等价路由，即两条路由表项都可以用，按照一定的策略进行选择。
Cost或Metric：标识出了到达路由所指目的地的花费，即IP包的“旅途”费用。该花费值只在同一种路由协议内比较同一目的地时才有意义，不同的路由协议之间的路由花费值没有可比性。
NextHop：下一跳IP地址，即下一个转发报文的路由器的地址。
Interface：出接口，去往目的网段的数据包将从本设备的该接口发出。

说明：
直连路由：链路层协议发现的路由，开销小，配置简单，无需人工维护，只能发现本接口所属网段的路由或协商到的对端的路由。
静态路由：利用网络管理员手工配置的路由，不能适应网络变化，应用广泛，尤其是缺省路由。
动态路由协议：动态路由协议动态发现的路由，能自动调整并适应网络的变化，在大型网络中不可或缺，如RIP和OSPF。

附件: 图19.路由拓扑图.png (2015-7-1 11:38, 43.73 KB) / 下载次数 3
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYzMDMyfDBjODM5NWEwfDE3MTM1NjU1MzJ8MHww

附件: 图20.路由表示例.png (2015-7-1 11:39, 36.76 KB) / 下载次数 3
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYzMDMzfDliM2UxZjlhfDE3MTM1NjU1MzJ8MHww

时间: 2015-7-1 17:00

作者: spring_sky24

RIP和OSPF会介绍么

时间: 2015-7-1 17:33

作者: 网语者

本帖最后由网语者于 2015-7-1 17:34 编辑

2.8.2 路由转发

有了路由表这个“交通路标牌“，还需要我们按一定的规则来使用它。一个基本的规则是”最长匹配原则“，即报文到达路由器后如何选取路由表项的基本匹配原则。查找路由表时，将报文目的地址与路由表中各条路由表项的掩码Mask按位“与”操作，如果结果与路由表项的目标地址Destination相同，则说明匹配；然后从匹配的路由表项中选取掩码最长的一个用于转发——这个表项是对目标网络了解得最精确的一个表项。

Destination/Mask Proto  Pre  Cost       NextHop       Interface
0.0.0.0/0          Static  50 18          192.169.81.1    Vlan101
192.169.0.0/16    OSPF  100  10          192.169.81.18 Vlan105
192.169.1.0/24    RIP 60 20          192.169.85.1    Vlan2081

以上图路由表为例，目的IP为192.169.1.100的报文进入后匹配路由表的过程如下。

表项0.0.0.0/0的匹配过程：
表项中掩码转换为二进制“00000000. 00000000.00000000.00000000”，
目的IP “192.169.1.100”转换为二进制“11000000. 10101000.00000001.00001010”，
按位“与”操作后的结果为“00000000. 00000000.00000000.00000000“，即点分十进制”0.0.0.0“，与目的地址Destination值相匹配，其中匹配的掩码长度为0位。

表项192.169.0.0/16匹配过程：
表项中掩码转换为二进制“11111111. 11111111.00000000.00000000”，
目的IP “192.169.1.100”转换为二进制“11000000. 10101000.00000001.00001010”，
按位“与”操作后的结果为“11000000. 10101000.00000000.00000000“，即点分十进制” 192.169.0.0“，与表项中的目的网络Destination值相匹配，其中匹配的掩码长度为16位。

条目192.169.0.0/24匹配过程：
表项中掩码转换为二进制“11111111. 11111111.11111111.00000000”，
目的IP “192.169.1.100”转换为二进制“11000000. 10101000.00000001.00001010”，
按位“与”操作后的结果为“11000000. 10101000.00000001.00000000“，即点分十进制” 192.169.1.0“，与表项中的目的地址Destination值相匹配，其中匹配的掩码长度为24位。
以上三项都匹配，则按“最长匹配原则”选择使用192.169.1.0/24的RIP路由条目，从Vlan2081接口转发。其中表项0.0.0.0/0称为缺省路由或默认路由，它能匹配任何单播IP地址。当一个IP地址匹配不上其他表项时，如果有缺省路由存在，都会匹配缺省路由。

说明：
实际路由匹配处理时，不会真的像例子一样一条条从上往下匹配，而会根据特殊的数据结构组织路由表，然后进行高效的路由匹配。

路由器R1配置指向PC所在网段的静态路由 ip route-static 1.1.2.0 24 8.8.8.1

路由器R2配置指向IPC所在网段的静态路由 ip route-static 1.1.1.0 24 8.8.8.254

图21路由器路由转发示例

有了路由的理论知识，我们再以上图的网络为例看看PC访问IPC时报文转发的全过程：
第一步：PC需配置自己的网关为1.1.2.1，IPC也需配置自己的网关为1.1.1.1，网关即为上图中的各自连接的路由器。
第二步：PC向网关发送目的地址为IPC的IP报文之前，以“IP与ARP解析”一节中的方法检查报文的目的IP 地址1.1.1.100,发现其与PC自身的IP地址不在同一网段，需将报文发往PC的网关；然后查找自身的ARP表中是否有网关1.1.2.1的MAC地址，如果没有则通过ARP解析获取网关的MAC地址，建立ARP表项；然后向网关发送报文，报文目的MAC是网关连接PC的接口E2/1的MAC地址，源MAC是PC的MAC，目的IP是 IPC地址1.1.1.100，源IP是PC的地址1.1.2.100。

Destination/Mask    Proto Pre  Cost       NextHop    Interface
  1.1.1.0/24       Static 10 20          8.8.8.254    E2/8
  1.1.2.0/24       Direct 0 0          1.1.2.1       E2/1
  1.1.2.1/32       Direct 0 0          127.0.0.1    InLoop0
  8.8.8.0/24       Direct 0 0          8.8.8.1       E2/8
  8.8.8.1/32       Direct 0 0          127.0.0.1    InLoop0

图22 R2的路由表

第三步： R2从接口E2/1收到报文后，通过匹配路由表（如上图）中的条目，按照最长匹配原则选取第一个条目，获得下一跳的IP地址为8.8.8.254。R2通过ARP地址表获取8.8.8.254的MAC（即R1接口E1/8的MAC），然后R2将报文的源MAC修改为R2接口E2/8的MAC，目的MAC修改为R1 接口E1/8的MAC，源和目的IP没有变化，将报文从E2/8发出——为什么要修改源和目的MAC呢？因为前面提过：链路层地址MAC只在局域网有效。

Destination/Mask    Proto Pre  Cost       NextHop    Interface
  1.1.2.0/24       Static 10 20          8.8.8.1       E1/8
  1.1.1.0/24       Direct 0 0          1.1.1.1       E1/1
  1.1.1.1/32       Direct 0 0          127.0.0.1    InLoop0
  8.8.8.0/24       Direct 0 0          8.8.8.254    E1/8
  8.8.8.254/32       Direct 0 0          127.0.0.1    InLoop0

图23 R1的路由表

第四步：R1从接口E1/8收到报文后，发现目的IP地址是自己的直连网段，则ARP请求获取目的IP地址IPC的MAC，然后将报文的源MAC修改为R1 接口E1/1的MAC，目的MAC修改为IPC的MAC，源IP和目的IP不变，将报文从E1/1发送给IPC，这样IPC就收到了PC的访问报文。
IPC回复给PC的报文转发流程也类似。

附件: 图21.路由器路由转发示例.png (2015-7-1 17:32, 13.38 KB) / 下载次数 3
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYzMDk1fGM5MDAzYTgyfDE3MTM1NjU1MzJ8MHww

时间: 2015-7-1 23:11

作者: 网语者

spring_sky24 发表于 2015-7-1 17:00
RIP和OSPF会介绍么

会在第三大章介绍的

时间: 2015-7-2 08:30

作者: 南博玩

看完之后对照自己的电脑上路由表看了一下，基本看懂了。小激动一下

时间: 2015-7-2 08:30

作者: 如如

每天都会来看看有没有更新，跪求楼主快更新吧，期待看到老u的新挑战

时间: 2015-7-2 08:52

作者: 网语者

2.8.3 三层交换

网管推荐老U采用路由器或三层交换机来解决问题。我们先看路由器一般是怎么解决老U想在办公网VLAN内看监控网VLAN里的摄像头图像的问题的呢？组网拓扑如图：

图25 采用路由器互联的拓扑以及流量走向图

如上图所示，网络摄像机在红色的监控VLAN里，而桌面计算机都在绿色的办公VLAN里，红绿VLAN内的终端设备互访时流量都需经过路由器转发。问题是解决了，但这个拓扑图让老U看起来觉得怪怪的，二层交换机上的数据报文跑到路由器上，然后又从路由器上跑下来，这样来回折腾着实让人看起来别扭。能否让交换机具有三层转发的功能，流量不通过上面的路由器绕行？答案是可行的。这种兼具二层交换机和路由转发功能的设备称为三层交换机。

三层交换机可是个很棒的设计，其功能特点不仅仅是路由转发加二层交换那么简单，它还具有三层交换的功能——前面的文字为了简单起见，我们将二三层转发统称为转发，在数据威尼斯人官方网站界，我们通常将路由器转发过程中的按照路由表项最长匹配而转发的行为称为“路由转发”或“三层转发”，而把表项直接匹配、免除较复杂的最长匹配而转发的行为称为“交换（Switch）”，例如二层交换机根据MAC表匹配进行转发，通常称为“二层交换”——“交换”一词来源于工业时代的人工电话交换机系统，在老影片中经常看到有人在电话机旁狂摇几下（注意不是拨号），然后就说：给我接XXX；话务员接到要求后就会把相应线头插在要接的端子上，即可通话；个人认为翻译成“切换”更加贴切些，在网络领域，“交换”一词的含义与“转发”基本相同。

那么，三层交换机既然叫“交换机”，顾名思义自然就该有“三层交换”的功能特点。三层交换机的转发过程查找的不是路由表，而是L3FDB表（三层转发信息表），它使得交换机不仅支持最长匹配，还支持精确匹配。L3FDB表的的转发表项包含生效的路由信息表RIB（Routing Information Base）的路由表项和FIB表（Forwarding Information Base）的FIB表项，其中FIB表项源自ARP表项的信息。例如下图中，IP地址为2.2.2.10的PC按照最长匹配原则访问了IP地址为1.1.1.10的NVR之后，三层交换机就获得了关于2.2.2.10和1.1.1.10的两条ARP表项。这样三层交换机就可以生成2.2.2.10/32和1.1.1.10/32两条主机路由。这有什么好处呢？通常的路由表项数据结构中，掩码较长的表项会首先获得匹配，掩码较短的表项需要迭代查找才能命中。有了这两条32位掩码的主机路由，后续互访时就可以一次命中，直接转发，这就是“三层交换”的来由。从上述过程可以看出，在32位掩码的主机路由表项生成之前，需要一次正常的路由转发过程，但只需要“一次路由转发”，就可以生成后续三层交换所需的主机路由，所以这个特点也称为“一次路由，多次交换”，是三层交换机最本质的特征。所谓的精确匹配，就是指一次性命中32位掩码的主机路由的行为，它是最长匹配的一个特例。

图26 三层交换机转发实例

由于FIB表项来自于ARP表项，那么一次命中的“三层交换”过程其实只适合于与交换机直连的两个设备间的互访。如果待访问的目的设备与交换机隔了一个路由器，则交换机依旧只能采用路由转发的匹配过程。所以，三层交换机的优势只有在两台与交换机直连的设备之间互访时才体现出来。

三层交换机即使练就了路由转发和三层交换的功力，它原有的二层交换的老本领也不能丢。当三层交换机收到一个IP报文，究竟是走路由转发（或三层交换）还是二层交换，主要看收到的报文的目的MAC地址是否为交换机自身的接口MAC地址，如果是则走路由转发（或三层交换），如果不是就走二层交换。

附件: 图25.采用路由器互联的拓扑以及流量走向图.png (2015-7-2 08:50, 28.23 KB) / 下载次数 4
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYzMTEwfDdhNDAxMTdjfDE3MTM1NjU1MzJ8MHww

附件: 图26.三层交换机转发实例.png (2015-7-2 08:51, 21.93 KB) / 下载次数 3
https://www.ahtjzy.com/forum.php?mod=attachment&aid=MjYzMTExfDE3OGMzNjE2fDE3MTM1NjU1MzJ8MHww

时间: 2015-7-2 08:53

作者: 网语者

如如发表于 2015-7-2 08:30
每天都会来看看有没有更新，跪求楼主快更新吧，期待看到老u的新挑战

谢谢鼓励！正在进行可读性改造，包括生成树协议也准备重贴，争取让大家看得轻松快乐！

时间: 2015-7-2 09:00

作者: 网语者

南博玩发表于 2015-7-2 08:30
看完之后对照自己的电脑上路由表看了一下，基本看懂了。小激动一下

谢谢，能给别人带来成就和快乐，是我们保持写作和修订最大的动力

时间: 2015-7-2 15:57

作者: 贰十三

刚来就看到这么好的帖子，谢谢楼主分享

时间: 2015-7-2 17:48

作者: borwide

好贴，转安防论坛吧

时间: 2015-7-2 18:04

作者: hurryliao

好书

时间: 2015-7-2 18:27

作者: hurryliao

好书

时间: 2015-7-2 21:28

作者: 南博玩

以前一直以为三层交换机和路由器的区别就是口多口少，现在终于知道根本的区别了

时间: 2015-7-2 21:58

作者: 网语者

让大家感觉有收获，实在是件很开心的事

澳门·威尼斯人(中国)官方网站 (https://www.ahtjzy.com/)