目录
四、ARP(地址解析)ICMP(Internet消息控制)TCP(传输控制)UDP(用户数据报)
端口号标识主机上进行通信的不同应用程序
计算机常用端口:65535
0-1023:系统端口,著名端口。系统特许进程使用
1024-65535用户端口:1024-5000临时端口应用程序使用进行通讯。5001-65535服务器端口用户自定义端口
一、OSI七层/TCP/IP四层
OSI | 作用(下层为上层服务) | TCP/IP |
应用层 | 为用户应用提供访问网络的接口 | 应用层 |
表示层 | 为数据格式化、加密、解密 | |
会话层 | 建立、维护、管理会话连接 | |
传输层 | 建立、维护、管理端到端连接 | 主机到主机层 |
网络层 | 寻址及路由选择(逻辑链路) | Internet层 |
数据链路层 | 控制数据链路上的流量(物理链路) | 网络接口层 |
物理层 | 包含多种与物理介质相关的协议(电子光学机械功能性程序性)比特流传输 |
二、OSI七层常见协议
应用层 | Telnet(23) | FTP(21) TFTP SSH(22) | BGP(179) | SNMP(161 162) |
HTTP(80) | SMTP(25) | DNS(53) | DHCP(67 68) | |
传输层 | TCP | UDP | ||
网路层 | ICMP | IGMP | ||
IP | ||||
数据链路层 | PPOE | |||
ETHERNET | PPP | |||
物理层 | 电子 | 光学 | 机械 | 功能程序性 |
三、数据封装与解封装
IOS、XE、XR 和 NX-OS
过程:
封装:数据到达传输层会在数据头部添加一个TCP头部封装成数据段,头部含有源目端口号字段,指明一个应用进程去往另一个应用进程;数据段到达网络层会在数据段头部添加一个IP头部封装成数据包,IP头部含有源目IP地址字段,指明从源主机发送到目的主机;数据包到达数据链路层会在数据包头部添加一个MAC头部,尾部添加一个FCS封装成数据帧,其中MAC头部中含有源目MAC地址用于指明具体的网络节点。FCS(帧校验序列)主要用于检测数据帧,当检测到错误帧时会丢弃错误帧并重新请求该数据帧;最后数据帧到达物理层将数据帧转换成0和1进行编码并发送到接收方
解封装:与封装相反
数据报(datagram):工作在传输层
数据包(packet):工作在网络层
数据帧(frame):工作在数据链路层,数据帧包含帧头、数据部分、帧尾三个部分。其中,帧头和帧尾包含一些必要的控制信息(同步信息、地址信息、差错控制信息等),数据部分则包含网络层传下来的数据,比如IP数据包
比特流:物理链路传输
IP数据包
以太网帧
四、ARP(地址解析)ICMP(Internet消息控制)TCP(传输控制)UDP(用户数据报)
ARP数据包格式
代理ARP、无故ARP、反向ARP
ICMP数据包格式
TCP数据包格式
UDP数据包格式
五、实验
拓扑
VPC5 ping VPC4过程如下
VPC5:设备发现不在同一子网,需要通过网关,ARP广播找网关,然后封装目的MAC地址为R2 E2/0MAC,源MAC为VPC5 eth0,源目IP不变的数据包由VPC5 eth0发出。
R2:接收到VPC5发来的数据包,解帧查看数据包的目的IP地址,然后查看路由表发现去往172.16.1.1/24网络的下一跳为192.168.1.2,然后封装目的MAC为192.168.1.2即R1的E2/1,源MAC为R2的E2/2,源目IP地址不变的数据包由R2 E2/2接口发出。
SW:接收到R2发来的数据包,解帧查看数据包的目的IP地址,发现下一跳与自己在一个子网,MAC地址已经学到,所以直接将此数据包转发给R1的E2/1接口
R1:接收到SW转发过来的数据包后,解帧查看数据包的目的IP地址,然后查看路由表发现去往172.16.1.1/24网络的下一跳为172.16.1.2,然后封装目的MAC为VPC4 ETH0,源MAC为R1 E2/0 ,源目IP地址不变的数据包由R1 E2/0发出,最后路由到了VPC4
由此也可以得到一个结论:数据包在跨子网传输过程中MAC地址是一直在变的,而源目IP地址是一直不变的。我们也知道源目IP地址只有在NAT做转换的时候才会发生改变。
六、访问列表
访问列表是一组按顺序排列的过滤器,定义了一种匹配标准和一个过滤动作,缺省为允许或拒绝一切数据包,按顺序的访问列表的第一个匹配项总是被执行。在第一个匹配项匹配成功后,访问列表其余的匹配项将被忽略。
功能:
安全性过滤器 :保护路由器及路由器传递流量所到达网络的完整性(许可少量,拒绝其它)
流量过滤器 :阻止不必要的数据包通过(拒绝少量,允许其它)
数据包识别:可以链接到其它工具上,提供数据包识别功能
配置访问列表
标准IP访问列表(1-99 1300-1999)
扩展IP访问列表(100-199 2000-2699)过滤选项更丰富
自反访问列表
命名式访问列表
前缀列表:用于在路由更新时允许或拒绝指定的某个地址或地址范围 路由过滤
tcp udp icmp:EQ(等于)NEQ(不等于)GT(大于)LT(小于)range(端口范围)
调用访问列表
策略路由(数据包转发层)
ip access-group (in out)
access-class 虚拟终端telnet会话
route-map:策略列表 ip policy
定义匹配条件
match ip address access-list 1 (prefix-list 1) 匹配访问列表或前缀列表
match length 根据分组的第三层长度进行匹配
match interface 匹配下一跳出接口为指定接口之一的路由
match ip next-hop 匹配下一跳地址为特定访问列表中被允许的那些路由
match metric 匹配具有指定度量值的路由
match route-type 匹配指定类型的路由
match community 匹配BGP共同体
match tag 根据路由的标记进行匹配
定义set动作
set metric 设置路由协议的度量值
set metric-type 设置目标路由协议的度量值类型
set default interface 指定如何发送这样的分组
set interface 指定如何发送这样的分组
set ip default next-hop指定转发的下一跳
set ip next-hop 指定转发的下一跳
set next-hop 指定下一跳的地址,指定BGP的下一跳
set as-path
set community
set local-preference
set weight
set origin
set tag
default 关键字优先级低于明细路由
路由策略(路由信息控制层面)
分发列表:路由过滤
访问列表监控和计费
接口上可以开启跟踪访问列表拒绝的数据包命令