实验十七：验证路由器既隔离碰撞域也隔离广播域

一、实验目的验证路由器隔离碰撞域冲突域验证路由器隔离广播域二、实验原理本实验旨在通过实际的网络模拟深层剖析底层网络设备的通信逻辑。实验的核心原理主要依托于以下三个计算机网络的重要概念2.1 基于 CIDR 的 IPv4 地址规划CIDR无类别域间路由Classless Inter-Domain Routing是目前广泛使用的 IP 地址分配方案。在本次实验中我们采用了最常见的/24前缀即子网掩码为255.255.255.0来进行地址规划。网段划分在/24的掩码下IP 地址的前三个十进制数代表“网络号”最后一个数代表“主机号”。这就好比小区名字和具体的门牌号。特殊地址保留在一个规划好的局域网中例如192.168.1.0/24主机号为.0的地址代表整个网络本身网络地址主机号为.255的地址作为定向广播地址使用这两个地址均不能分配给具体的 PC 或路由器接口。默认网关的作用当 PC 发现目标 IP 和自己不在同一个网段时它无法直接将数据送达必须将数据包打包发送给“默认网关”通常是连接该网段的路由器接口如本实验中的192.168.0.254。网关就像是局域网通向外部世界的“海关”。2.2 共享式以太网集线器的工作机制与碰撞原理集线器Hub的“泛洪”机制集线器是一种工作在 OSI 模型第一层物理层的“傻瓜式”设备。它没有独立的“大脑”来识别数据包应该发给谁当它从一个端口接收到电信号时唯一的动作就是将该信号复制并放大向除接收端口外的所有其他端口广播泛洪。碰撞域也称冲突域Collision Domain因为集线器采用泛洪机制连接在同一个集线器上的所有设备共享同一条物理通信信道。我们可以将其想象成一条单行道或一个所有人都在用同一个大喇叭喊话的房间。碰撞的产生当集线器上的两台或多台设备在同一时刻发送数据时电信号就会在物理线缆中发生交汇叠加导致波形破坏、数据变成乱码这就是所谓的“碰撞Collision”。在 Packet Tracer 模拟器中遭遇碰撞的数据帧会被丢弃并以生动的火焰图标和红叉展现出来。因此集线器不能隔离碰撞域。2.3 路由器的工作机制与隔离特性工作在网络层与集线器不同路由器Router工作在 OSI 模型的第三层网络层。它拥有自己的 CPU、内存和路由表是一个“理性”的转发设备。隔离碰撞域路由器的每一个接口都拥有独立的硬件缓冲区Buffer。当多台设备同时向路由器发送数据时路由器会先将数据帧完整接收并排队缓存从而避免了物理层面的电信号冲突。因此路由器的每一个接口都是一个独立的碰撞域边界。隔离广播域Broadcast Domain广播域是指一个广播数据包如目的 IP 为255.255.255.255所能到达的设备范围。为了防止“广播风暴”耗尽全网带宽导致网络瘫痪路由器的底层安全逻辑设定为默认绝对不跨网段转发广播包。 当路由器接口收到一个广播包时它会在自身层面将其默默丢弃。在模拟器中你会观察到广播包信封到达路由器后就会停止传播这直观地验证了路由器隔离广播域的特性。三、实验环境准备与基础配置3.1 构建网络拓扑放置设备与连接线缆在构建网络拓扑阶段主要任务是在 Packet Tracer 的逻辑工作区中搭建出由两个独立局域网组成的共享式以太网环境。首先需要添加核心路由设备从网络设备库中选择型号为1941的路由器放置于工作区中央并命名为 Router0。随后围绕路由器构建共享式物理环境选取两个基础型号为 Hub-PT 的集线器分别置于路由器的左右两侧依次命名为集线器0与集线器1。在终端设备层面选用通用的 PC-PT 型号在左侧集线器周围配置三台计算机PC0、PC1、PC2并在右侧集线器周围作对等配置PC3、PC4、PC5。最后进行物理线缆的连接采用铜轴直通线将两侧的计算机分别汇聚连接至对应的集线器再将两台集线器分别上联至中间的 Router0 路由器。需要注意的是连接完成后集线器与计算机之间的链路指示灯将显示为绿色代表物理层已建立连接而路由器两侧的链路指示灯默认呈红色这是由于路由器的物理接口在初始状态下处于管理性关闭Shutdown模式必须在后续步骤中通过配置命令手动激活。3.2 规划与标注网络参数查看接口与划分网段拓扑搭建完成后必须对网络参数进行详细规划与系统标注这是确保后续设备配置与排错准确无误的关键步骤。首要任务是明确并核对路由器的接口名称与连接关系。为防止接口混淆导致网络通信瘫痪建议在软件首选项的界面设置中开启“始终在逻辑工作区显示端口标签”功能使得接口编号如 Gig0/0、Gig0/1能够直观显示在设备线缆旁。在明确接口对应关系后需使用注释工具进行全局网段与终端参数的标注。对于宏观网络规划应在拓扑图的左侧与右侧空白处分别标注“网络1 CIDR地址块: 192.168.0.0/24”与“网络2 CIDR地址块: 192.168.1.0/24”。针对核心设备 Router0需在其 Gig0/0 和 Gig0/1 接口下方清晰标注预先规划的网关 IP 地址及子网掩码分别为 192.168.0.254 与 192.168.1.254。最后针对每一台终端计算机依次在其设备图标旁注记所分配的IPv4地址、子网掩码以及所属网段对应的默认网关地址。3.3 终端设备 IP 配置网络拓扑与参数规划就绪后下一步是为网络中的每一台终端计算机赋予合法的逻辑身份使其具备在网络层进行通信的能力。在 Packet Tracer 模拟器中需依次单击每台计算机图标进入“Desktop桌面”选项卡打开“IP ConfigurationIP 配置”面板进行静态配置。针对左侧的网络1192.168.0.0/24网段操作者需严格按照前期的地址规划表为 PC0、PC1 和 PC2 分别录入 IPv4 地址 192.168.0.1、192.168.0.2 与 192.168.0.3。在录入 IP 后系统通常会根据 A/B/C 类地址规则自动填充子网掩码为 255.255.255.0但仍需人为核对以防纰漏。至关重要的一步是设定“Default Gateway默认网关”网络1内所有终端的网关必须统一指向 192.168.0.254。同理对于右侧的网络2192.168.1.0/24网段需为 PC3、PC4、PC5 依次配置地址 192.168.1.2、192.168.1.1 和 192.168.1.3并将该网段的默认网关统一设定为 192.168.1.254。网关的正确配置是本实验后续验证“跨网段通信与隔离”的核心前提若网关缺失或填错计算机在面对跨网段的数据发送需求时将在底层直接判定无法送达并丢弃数据包从而导致后续的路由器连通性测试彻底失败。终端设备 IP 配置表设备名称所属网络IPv4 地址子网掩码默认网关PC0网络 1 (192.168.0.0/24)192.168.0.1255.255.255.0192.168.0.254PC1网络 1 (192.168.0.0/24)192.168.0.2255.255.255.0192.168.0.254PC2网络 1 (192.168.0.0/24)192.168.0.3255.255.255.0192.168.0.254PC3网络 2 (192.168.1.0/24)192.168.1.2255.255.255.0192.168.1.254PC4网络 2 (192.168.1.0/24)192.168.1.1255.255.255.0192.168.1.254PC5网络 2 (192.168.1.0/24)192.168.1.3255.255.255.0192.168.1.2543.4 路由器基础配置终端设备的配置完成后虽然它们已经知道了网关的地址但此时的 Router0 路由器并未真正接管网络。思科网络设备的物理接口出于安全与防环路的考量默认处于管理性关闭Administratively Down状态。因此必须通过命令行接口CLI对路由器进行初始化配置。在模拟器中单击 Router0进入“CLI”选项卡在系统提示是否进入初始配置对话框时输入“no”以进入纯手工命令行模式。配置的逻辑路径遵循思科 IOS 系统的层级权限架构首先通过enable命令从受限的用户执行模式跃迁至拥有最高权限的特权执行模式随后使用configure terminal命令进入全局配置模式以取得修改设备运行参数的权限。在全局配置模式下需针对连接两个不同局域网的物理接口分别进行参数下发。使用interface GigabitEthernet0/0命令进入左侧接口的子配置模式通过ip address 192.168.0.254 255.255.255.0命令为其绑定网络1的网关 IP 与子网掩码。紧接着必须执行no shutdown命令以解除接口的管理性关闭状态。此时在逻辑工作区中该接口对应的链路指示灯将由红转绿标志着物理层和数据链路层协议已成功激活。为了提高配置效率在完成 Gig0/0 接口的配置后无需退回全局模式可直接输入interface GigabitEthernet0/1快捷跳转至右侧接口的配置模式并为其下发网络2的网关 IP 地址 192.168.1.254 及其子网掩码同样以no shutdown激活该接口。至此全网的底层寻址与物理连通性已全面打通。Router0 核心配置命令Routerenable // 从用户执行模式进入特权执行模式 Router#configure terminal // 从特权执行模式进入全局配置模式 Router(config)#interface GigabitEthernet0/0 // 进入连接网络1的 Gig0/0 接口配置模式 Router(config-if)#ip address 192.168.0.254 255.255.255.0 // 绑定网络1的默认网关地址及掩码 Router(config-if)#no shutdown // 激活接口链路指示灯变绿 Router(config-if)#interface GigabitEthernet0/1 // 直接跳转至连接网络2的 Gig0/1 接口配置模式 Router(config-if)#ip address 192.168.1.254 255.255.255.0 // 绑定网络2的默认网关地址及掩码 Router(config-if)#no shutdown // 激活接口链路指示灯变绿四、网络连通性测试与环境预热在完成了全网的逻辑寻址与设备激活后盲目进入模拟观察阶段往往会因底层协议的繁杂而导致实验现象混乱。因此本阶段的核心任务是对模拟器的捕获机制进行精准过滤并在真实运行环境下对网络进行连通性确认与缓存预热。4.1 开启 ICMP 协议监视在深入开展数据包转发层面的微观观察之前必须对 Packet Tracer 模拟软件的事件过滤器进行精准设置。该软件的模拟Simulation工作模式在默认状态下会捕获并展示网络中流通的所有底层协议数据单元如生成树协议 STP、思科发现协议 CDP、动态中继协议 DTP 等。为了避免这些周期性发送的背景控制流量对核心实验现象造成严重的视觉干扰必须人为限制软件的监控范围。在软件右下角切换至模拟Simulation工作模式打开“Event List Filters事件列表过滤器”面板。首先清除所有默认勾选的杂散协议随后进入 IPv4 协议选项卡仅勾选“ICMP网际控制报文协议”。4.2 实时模式下的 Ping 测试事件过滤器设置完毕后应暂且将软件切回实时Realtime工作模式执行全网的端到端连通性综合测试。一般而言除了排查极为隐蔽的网络故障需要在模拟模式下逐帧分析外常规的连通性校验均应在实时模式下高效完成。具体操作为进入计算机 PC0 的桌面环境调出命令提示符Command Prompt终端使用“ping”命令依次向局域网内及跨网段的其他计算机如 PC1、PC3 等发起连通性探测。执行这一连串 Ping 操作具备四项不可替代的关键目的其一宏观验证底层物理网络拓扑的构建是否闭环其二校验各终端主机的 IP 地址、子网掩码及默认网关参数是否录入准确其三确认路由器相关接口的寻址参数是否生效其四亦是本实验最核心的隐性目的强制促使网络中的各终端与路由器提前完成基于地址解析协议ARP的交互。由于 ARP 协议在查询未知 MAC 地址时必须采用广播帧如果在未经预热的模拟模式下直接发送单播 ICMP 报文设备将优先触发 ARP 广播解析流程这会产生大量额外的寻址数据包极大地干扰用户对后续纯粹 ICMP 碰撞与广播隔离现象的清晰观察。通过在实时模式下完成 Ping 测试各节点均已获取并缓存了对端接口的 MAC 地址从而彻底排除了 ARP 解析过程对核心实验的干扰。如果在上述连通性探测中出现连片失败如提示 Request timed out 或 Destination host unreachable操作者必须立即中止后续实验进程。需严格依照排错逻辑进行逆向回溯优先检查设备物理接口是否全绿链路状态其次核对主机的 IP 与默认网关配置是否存在笔误最后进入路由器特权模式核验接口的 IP 绑定与激活状态直至全网测试互通为止。ping 192.168.0.2 //测试PC0与PC1的连通性 ping 192.168.1.2 //测试PC0与PC3的连通性五、核心验证过程模拟工作模式在完成了实时的环境预热后为深层剖析网络设备的隔离特性需将 Packet Tracer 切换至“Simulation模拟”工作模式。从现有的拓扑结构与 IP 规划可知路由器 Router0 的 Gig0/0 和 Gig0/1 接口分别下联了一个基于集线器的共享式以太网。理论上路由器的每一个接口都划定了一个独立的碰撞域与广播域。本阶段将通过单步模拟捕获数据帧的流转过程对这一核心理论进行可视化验证。5.1 验证路由器隔离碰撞域要验证碰撞域的边界我们需要人为制造一次物理层面的并发冲突并观察冲突数据帧的传播范围。具体操作与现象如下首先确保处于 Simulation模拟工作模式。使用右侧工具栏的“Add Simple PDU添加简单 PDU”工具分别以 PC1 和 PC2 为源节点、PC0 为目标节点构造两个并行的单播 ICMP 回送请求报文。此时两个待发送的数据帧已在 PC1 和 PC2 上准备就绪。在软件左下方的播放控制栏中单击一次“单步执行Capture/Forward”按钮。可以观察到PC1 和 PC2 发出的单播帧同时抵达集线器 Hub0。由于集线器工作在物理层属于共享介质设备无法对并发的电信号进行排队与避让导致信号在集线器内部发生严重交叠。此时集线器图标上弹出了醒目的“火焰”标识这直观地展现了物理层碰撞Collision的爆发。再次单击“单步执行”按钮。碰撞发生后原本正常的单播帧变为了受损的乱码碎片在软件中表现为带有火焰标识的紫色 PDU。集线器严格按照其物理层泛洪机制将这些受损数据向除接收端口外的所有活跃端口广播。如图所示这些碰撞碎片正向 PC0 以及路由器 Router0 的 Gig0/0 接口蔓延。继续单步执行。当带有火焰的碰撞碎片抵达 PC0 和路由器 Router0 的接口时由于数据在物理层已损坏网卡物理层芯片识别出该电信号不符合以太网帧结构FCS 校验前即被拦截将其作为 Jam Signal拥塞信号 静默丢弃不再触发任何后续回应动作。因此模拟画面最终定格火苗标识停留在接收设备上不会消失同时右下角状态栏将此次通信标记为“Failed失败”。 最核心的现象在于路由器 Router0 拦截了这些碰撞碎片火苗绝没有跨越路由器蔓延至右侧的网络 2。 这一定格画面确凿地验证了本实验的核心结论路由器的物理接口能够有效阻断物理层碰撞的传播即路由器隔离了碰撞域。5.2 验证路由器隔离受限广播目的 IP255.255.255.255广播域是指广播报文能够到达的逻辑范围。在本环节中我们将通过发送受限广播报文验证路由器阻断广播帧跨网段传播的特性。在 Simulation模拟工作模式下点击“Add Complex PDU”工具。以 PC0 为源节点将“Destination IP Address”设定为受限广播地址255.255.255.255协议类型选为“ICMP”序列号为“1”。点击“Create PDU”后待发送的数据单元在 PC0 上生成。单击播放控制栏的“单步执行”按钮。PC0 将封装好的以太网广播帧目的 MAC 地址为全 FFFFF.FFFF.FFFF发送至集线器 Hub0。再次单击“单步执行”按钮。集线器 Hub0 执行物理层泛洪机制将收到的广播帧复制并发送给其余所有连接的端口。此时请密切观察路由器 Router0。它接收了该广播帧但绝对没有将其转发至右侧的 Gig0/1 接口网络 2 未收到任何数据。这从底层逻辑上确凿验证了路由器有效地隔离了广播域。继续单击“单步执行”按钮。由于广播报文封装的是 ICMP 回送请求PC1、PC2 和路由器 Router0 在接收后严格按照协议规范在同一时刻向 PC0 发送 ICMP 单播应答报文。这三个应答信号同时抵达集线器 Hub0发生严重的物理层交叠。最后单击“单步执行”按钮。碰撞产生后数据帧结构被破坏。集线器 Hub0 再次执行泛洪机制将代表碰撞碎片的“火苗”向所有端口广播。由于报文在物理层已被破坏PC0 最终未能接收到任何合法的 ICMP 应答右下角 PDU 状态栏直接将此次通信的最终结果标记为“Failed失败”。单步模拟流程到此终止。5.3 验证路由器隔离定向广播与安全策略目的 IP192.168.1.255定向广播允许主机向另一个特定子网的所有主机发送广播。在本环节中我们将测试 PC0 向网络 2 的广播地址发送数据报验证主机的跨网段寻址机制以及路由器对于定向广播的安全拦截策略。在 Simulation模拟工作模式下使用“Add Complex PDU”工具。以 PC0 为源节点将“Destination IP Address”设定为网络 2 的广播地址192.168.1.255协议类型为“ICMP”序列号为“0”或“1”。当 PC0 发现目的 IP192.168.1.255不属于本地网络192.168.0.0/24时它必须将数据包交由默认网关处理。因此该数据包在数据链路层被封装为单播以太网帧其目的 MAC 地址被明确填写为路由器 Router0 (Gig0/0) 的 MAC 地址而非全 F 的广播 MAC。单击播放控制栏的“单步执行”按钮。PC0 将封装好的单播帧发送至物理介质抵达集线器 Hub0。再次单击“单步执行”按钮。集线器 Hub0 执行物理层泛洪将该单播帧复制发往 PC1、PC2 及 Router0。PC1 与 PC2 的红叉它们的网卡在收到数据帧后核对发现目的 MAC 地址是路由器的 MAC 而非自身直接在数据链路层将该帧丢弃红叉。路由器的安全拦截Router0 拆解数据包后发现目的 IP 为网络 2 的定向广播地址。为了防止 Smurf 等网络放大攻击思科路由器默认开启了no ip directed-broadcast安全策略。因此Router0 拒绝将其转发至网络 2直接将该广播请求在内部丢弃。此时Router0 扮演了网络层‘仲裁者’的角色。它通过查验路由表确认目标网段但因安全策略丢弃了定向广播包并触发 ICMP 差错控制机制。继续单击“单步执行”按钮。由于 Router0 出于安全策略丢弃了报文作为一个标准的网关它主动生成了一个“ICMP 目标不可达Destination Unreachable”的报错报文并将其发往集线器 Hub0准备退回给源主机 PC0。最后单击“单步执行”按钮。集线器 Hub0 将包含退信的单播帧目的 MAC 为 PC0泛洪至本网段。报错信封同时抵达 PC0、PC1、PC2。此时可以看到 PC1 和 PC2 因 MAC 地址不匹配再次出现红叉丢弃报文而 PC0 成功接收该信封定格显示为信封送达状态。虽然 PC0 最终收到的是报错信息而非预期的回送应答但由于 ICMP 协议成功通过报错机制给出了明确反馈右下角状态栏将此次通信标记为 “Successful成功”。这证明了 PC0 与网关之间的通信路径是畅通的只是受限于路由器的安全策略。六、 拓展解析PDU 状态测试背后的秘密在 Packet Tracer 的右下角 PDU 列表中我们常会发现“Successful成功”与“Failed失败”的判定结果有时与直观感受不符。要理解这些状态必须回归到网络协议中 “通信会话是否闭环” 的核心逻辑。6.1 “Failed (失败)” 的底层原理会话超时无响应当状态栏显示为“Failed”时其本质含义是源主机在规定的超时时间内没有收到任何合法的回馈信息。这种情况属于“石沉大海”源主机无法判断数据包是在路径中丢弃了还是目标主机拒绝回答。常见场景包括物理层碰撞销毁如实验 5.1 与 5.2 所示当多个单播应答或请求在集线器中发生碰撞变成“火焰乱码”后这些碎片无法被网卡解析。源主机 PC0 在发出请求后左等右等都等不到任何有效报文最终因超过 ICMP 等待阈值而判定为失败。静默丢弃Silent Drop如果数据包传输到一个没有配置缺省路由的路由器或者触发了某些静默过滤防火墙规则数据包会被直接丢掉且不给源主机发回任何报错。源主机因为得不到明确的“交代”也会显示为失败。ARP 解析彻底失败如果源主机连网关的 MAC 地址都无法获取数据包在封装阶段就会卡死根本发不出去这同样会导致测试直接宣告失败。6.2 “Successful (成功)” 的底层原理逻辑闭环有反馈状态栏显示“Successful”意味着ICMP 测试会话成功闭环。即源主机发出的探测请求得到了网络系统的明确回应。这种回应包含以下两种情况常规意义的成功Echo Reply这是最标准的连通状态。源主机发送 Echo Request请求目标主机收到了并回传了 Echo Reply应答。源主机拿到了期待的结果会话完美闭环。协议逻辑的成功ICMP 报错如实验 5.3 所示PC0 发送了定向广播虽然报文没能到达网络 2但路由器网关作为路径上的管理者“负责任地”给 PC0 回传了一个 ICMP 目标不可达Destination Unreachable的报错包。在 Packet Tracer 的判定逻辑中只要源主机收到了这个“报错包”它就获得了一个明确的诊断结果。它不再是盲目地等待而是清晰地知道数据包在哪里被拦截了、原因是什么。这种“有问有答”的过程在协议层面完成了会话闭环因此状态栏会显示“Successful”。在 Packet Tracer 中收到ICMP Type 3 (Destination Unreachable)报文被视为会话的终结反馈因此状态栏显示为成功。这与实际工程排错中的‘有应必答’原则相契合。6.3 总结在实际的网络工程排错Troubleshooting中收到“目标不可达”的报错信息Successful 状态下的报错其实比单纯的“请求超时”Failed 状态更有价值。前者能告诉你故障发生的具体位置哪台网关拦截的而后者往往意味着路径中存在物理链路故障或静默丢弃策略。通过本实验对 PDU 状态的细致观察应建立起“请求-响应”的闭环通信思维而非仅仅停留在“信封变绿还是变红”的表面现象上。