网络通信:
概念:终端设备之间通过计算机网络进行的通信
例如:两台计算机之间通过网线传递文件;计算机通过Internet下载文件;多台计算机通过路由器传递文件
交换机:
距离终端用户最近的设备(PC,服务器等),用于终端用户接入网络,对数据帧进行交换等
交换机不隔离广播域(收到同一份广播报文的范围),交换机所有接口默认都是一个广播域
交换机收到广播报文后,会复制给每一个活动接口进行转发
通用交换机:
接入交换机:接入学校一个教室机房的网络
汇聚交换机:接入学校个个机房的网络
核心交换机:贵,性能好
堆叠交换机:把几个交换机逻辑上合并为一个交换机
路由器:
网络层设备,指导报文在设备中转发,如果有一台设备不知道目的地址,则丢弃报文
维护路由表,运行路由协议
广域网连接,网络地址转换
连接交换机组建的二层网络
隔离广播域(路由器的每一个接口都是一个广播域)
路由器/三层设备都能接收并处理广播报文,实现数据跨广播域转发
防火墙:
网络安全设备,用于控制两个网络之间的安全通信
隔离不同安全级别的网络
网络:
局域网:覆盖范围一般是方圆几千米内
城域网:一个城市范围内所建立的网络
广域网:范围很大,从几十公里到几千公里,它能连接多个城市甚至国家,并提供远距离通信,形成国际性的大型网络
常见术语:
数据载荷:想要传输的信息
报文:网络中交换与传输的数据单元
头部:在数据载荷的前面添加的信息段(地址信息等)
尾部:在数据载荷的尾部添加的信息段(保证信息不会被篡改)
封装:对数据载荷添加头部和尾部,形成新的报文的过程
网关:跨网段通信;具有三层功能的设备都可以作为网关设备,而不仅仅是路由器;通常情况下,都是终端设备遇到的第一个同网段的IP地址;去往下一跳设备的地址
路由器:为报文选择传递路径的网络设备
终端设备:数据通信系统的端设备,数据的发送者或接收者
网络拓扑:
星型网络:
优点:组网成本低,流量路径单一,方便排查故障,拓展性好
缺点:中心故障,其他全新,可靠性低
总线型网络(使用HUB连接终端):
优点:如果出现故障,一部分终端断开,另一部分还能使用,有一定的可靠性
缺点:冲突域问题,目前已经淘汰HUB
环形网络:
存在一定冗余,有两条链路供数据通过,也可以进行选路,成本相对较低,如果要新增设备,拓展性较差,相对麻烦
树形网络:
可以进行网络的分层分级
冗余性差,一旦存在单点故障问题,可能导致树下分支全部down掉
全网状网络:
可靠性最高,有较高的冗余,组网周期长,工作量极大,拓展能力差
部分网状网络:
有冗余,可靠性较高,组网周期相对较短,工作量正常,组网成本相对较低
组合型的网络拓扑:
有网络的分层分级,有冗余,可靠性高,集合上述优点
OSI:
OSI和TCP/IP都是协议栈
七层参考模型:
物理层:在媒介上传输比特流,提供机械的和电气的规约
数据链路层:将分组数据封装成帧,实现点到点或点到多点方式的直接通信,差错检测。基于IP网络的所有数据,都必须封装在数据帧里为单位进行转发(数据帧)
网络层:【CLNP协议】设备的标识(IPV4,IPV6),基于IP地址报文转发,以及寻找最优路线,提供逻辑地址(数据包)
传输层:建立、维护、管理端到端的通信,用于描述一个唯一的端到端的通信。利用报文的五元组{SIP(源IP)+DIP(目的IP地址)+协议类型(TCP、UDP)+Sport(源端口号)+Dport(目的端口号)}来区分不同的端到端的通信【端口号范围:0~65535】 (数据段)
拓展:
源端口号(未知端口号):大于1023的端口都被认为是未知端口号,源端口号取值就是在未知端口号范围内随机产生,通常从1024开始
目标端口号:1~1023通常分配给应用层协议
会话层:管理通信的两台设备之间对某一个通信的建立、管理和终止,通过进程好分区、隔离不同的应用程序
表示层:进行数据格式的转换,能够让不同系统对同一份数据进行正确的识别和理解,也可以进行加密和压缩
应用层:为应用程序提供一个标准话的接口来实现对应的网络功能(PDU)
TCP/IP参考模型:
应用层,传输层(数据段),网络层(数据包),数据链路层,网络层
常见协议:
应用层:Telnet(远程连接),FTP(下载上传)和TFTP(传输文件,通常用做内网的服务器),SNMP(网关协议),HTTP/HTTPS(网页服务),SMTP(发邮件),POP3(收邮件),NDS(域名解析)DHCP(地址动态分配),BGP
传输层:TCP(面向连接的,通信过程中需要有回馈机制保证可靠的传递,以及流量控制机制,保证发送的效率。只用于单播、非实时性吗,比如邮件),UDP(简单的无连接无反馈的,即使有回馈也是数据的回馈,而不是确认收到,无法保证可靠传递。单播组播广播都可以),OSPF
网络层:ICMP(因特网控制协议),IGMP(因特网组播管理协议),IPV4/6,ISIS,VRRP
数据链路层:PPPoE,Ethernet,ppp,HDLC,ATM
TCP:
三次握手后建立联系传输数据
SYN同步位,作用当同步位位1时,代表我要向你请求建立TCP连接
ACK确认位,作用当确认位为1时,代表该报文具有确认性质
FIN:表示关闭连接
seq:序列号
ack:确认号
三次“握手”:
(例:
1.1.1.1 2.2.2.2 TCP Sport 2000 Dport 80 seq=a ack=0 Flag: SYN=1 ACK=0
2.2.2.2 1.1.1.1 TCP Sport 80 Dport 2000 seq=b ack=a+1 Flag: SYN=1 ACK=1
1.1.1.1 2.2.2.2 TCP Sport 2000 Dport 80 seq=a+1 ack=b+1 Flag: SYN=0 ACK=1
传输数据:
序列号=上一个报文的确认号
确认号=上一个报文的序列号+字节数大小
(例:
1.1.1.1 2.2.2.2 TCP Sport 2000 Dport 80 seq=a+1 ack=b+1 Flag: SYN=0 ACK=1 data=127
2.2.2.2 1.1.1.1 TCP Sport 80 Dport 2000 seq=b+1 ack=a+1+127 Flag: SYN=0 ACK=1
1.1.1.1 2.2.2.2 TCP Sport 2000 Dport 80 seq=a+1+127 ack=b+1+0 Flag: SYN=0 ACK=1 data=200
2.2.2.2 1.1.1.1 TCP Sport 80 Dport 2000 seq=b+1+0 ack=a+1+127+200 Flag: SYN=0 ACK=1 data=500
1.1.1.1 2.2.2.2 TCP Sport 2000 Dport 80 seq=a+1+127+200 ack=b+1+0+500 Flag: SYN=0 ACK=1 data=200
1.1.1.1 2.2.2.2 TCP Sport 2000 Dport 80 seq=a+1+127+200 ack=b+1+0+500 Flag: SYN=0 ACK=1 data=200
1.1.1.1 2.2.2.2 TCP Sport 2000 Dport 80 seq=a+1+127+200 ack=b+1+0+500 Flag: SYN=0 ACK=1 data=200
2.2.2.2 1.1.1.1 TCP Sport 80 Dport 2000 seq=b+1+0+500 ack=a+1+127+200+600 Flag: SYN=0 ACK=1
四次”挥手“断开连接:
(例:
1.1.1.1 2.2.2.2 TCP Sport 2000 Dport 80 seq=a+1+127+200+600 ack=b+1+0+500+0 Flag: FIN=1 ACK=1 data=200
2.2.2.2 1.1.1.1 TCP Sport 80 Dport 2000 seq=b+1+0+500+0 ack=a+1+127+200+600+200+1 Flag: FIN=0 ACK=1
2.2.2.2 1.1.1.1 TCP Sport 80 Dport 2000 seq=b+1+0+500+0 ack=a+1+127+200+600+200+1 Flag: FIN=1 ACK=1
1.1.1.1 2.2.2.2 TCP Sport 2000 Dport 80 seq=a+1+127+200+600+200+1 ack=b+1+0+500+0+1 Flag: FIN=0 ACK=1
网络层IPv4报文格式:
| Version版本号(IPV4和ipV2两个) | Header Length 包头长度 | Type of Server服务类型TOS | Total Length总长度 | |
|---|---|---|---|---|
| identification标识符 | Flags标志位 | Fragment Offset (首)片偏移 | ||
| TTL(防环,TTL值默认为255) | Protocol(协议号) | Header Checksum首部效验和 | ||
| Source IP Address 源IP | ||||
| Destination IP Address目标IP | ||||
| Options可选项 | Padding 填充位 |
TTL:生存时间,防止报文在网络层中转发时形成环路无限转发,当三层设备接收该报文时,TTL值减一,当TTL值等于零时,丢弃该报文。
环路:报文在网络中无限转发,无法到达目的地
FLAG:
R: 保留
DF:不分片,当DF=1代表不允许对此数据报进行分片,当DF=0时,代表可以分片。如果数据大小为2000,DF=1,默认通过数据大小为1518,则丢弃该数据
MF:MF=1代表我是分片但不是最后一个分片,=0时代表我是分片并且是最后一个分片
MF=1 偏移量=0 代表第一个分片
MF=1 偏移量≠0 时分片报文,但不是最后一个分片报文
MF=0 非IP分片报文
MF=0 偏移量≠0 最后一个分片
偏移量:第一个分片的(传输层大小+PDU)/8=第二个分片的偏移量
(传输层大小+第一个分片的PDU+第二个分片的PDU)/8=第三个分片的偏移量
PDU:协议数据单元
数据链路:
链路一般分为两组
1.点到点链路,仅支持两个接口的链路,PPP,HDLC,无需链路层地址来区分不同的接口
2.广播型链路,MA多路访问,允许一条链路上存在两个以上的接口,此时需要区别不同的即可,那么此时规定以太网接口都要有一个全球唯一但链路有效的Mac地址
MAC地址(48位):
设备(本地网卡)的物理地址,唯一
二进制用十六进制表示
0000 0000
8421 8421
MAC地址由48个bit构成,通常通过16进制来进行表示,前24bit由IEEE统一分配,后24bit由厂商自行分配
以太网帧格式:
Ethernet_ll:D.MAC S.MAC Type Data FCS
Type:
0x0800,交给IP协议
0x0806,交给ARP协议
单播报文:第八个bit固定为0,可以用于源目MAC地址
广播报文:所有bit都为1,也就是全FF,只能用于目的MAC地址
组播报文:第八个bit固定为1
数据帧传输:
数据链路层基于MAC地址进行帧的传输
二层数据帧头部 DMAC PC3 SMAC PC2 Type=0x0800 三层头部 SIP PC2 DIP PC3 协议号=6 四层Sport 2000 Dport 80 PDU 以太网帧尾部
ARP
通信四要素:源目IP,源目MAC地址
ARP请求报文:
在APP头部,目标MAC地址未知,但是为了保证报文的完整性,所以该字段全a填充。在帧头部中,因为目标MAC地址依然未知,但是,我们要尽量确保该广播域内所有主机都能接受到ARP请求,因为会有一个正确的目的地址回复,所以使用全FF广播地址作为目的MAC地址。
非目标主机接收到该请求帧后,但因为目标MAC地址是广播地址,所以会接收该帧并剥离二层头部,发现ARP头部目标IP地址不是自己,则丢弃。(接收处理并丢弃)
目标主机接收到该ARP请求帧后,因为目标MAC是广播地址所以会接收该数据帧并且剥离二层头部,发现目标IP是自身IP地址,则主机会将ARP请求中源IP源MAC记录到自身的ARP缓存表中,目的:为了方便以后通信
ARP应答报文就是将请求报文中的源目的地址进行调换,当发送ARP请求的主机收到了ARP响应后,也会记录下ARP响应报文中的源IP源MAC,放到ARP缓存表中,此时双方都知道了对方的源目IP,源目MAC
为了防止ARP表项过大,主机在生成条目之后,会隐藏运行一个1200s的定时器,如果1200s内没有收到该条目主机发来的数据帧,则删除该设备的ARP表项
ARP中间人攻击
防范1.ARP绑定,由管理员手动绑定目标IP和目标MAC地址,绑定后的条目显示为静态ARP,静态ARP无法被ARP应答报文覆盖
2.杀毒软件,当软件检测到某主机发送大量的无请求应答,则该请求全被丢弃
免费ARP
1.用于地址冲突检测,当接口IP地址发生改变的时候就会主动发送免费ARP报文
2.用于刷新其他主机的ARP缓存,再接口MAC地址变更时,发送免费ARP,用于刷新链路上其他接口的ARP缓存
ARP代理
当ARP代理开启时,并且拥有去往DIP的路由器信息,则回应ARP请求
物理层
当设备开始解封装时,剥离二层头部后,设备应当知道该向上层递交到哪个协议之中
数据封装是由上向下逐层封装,每一层无需关系上一层协议头部具体信息
VRP系统
console用户界面:通过console先登录设备,使用用户界面也是命令行的方式进行交互,无需IP网络支持
VTY用户界面:Telnet,SSH登录设备,使用的用户界面也是命令行方式进行交互的,必须有IP网络支持
user-interface con 0 配置console密码认证
authentication-mode password 开启密码认证功能
set authentication password cipher huawei 密码为密文的huawei
idle-timeout 0 0 设置console时间永不超时,前面的0是分钟后面的0是秒
配置Telnet登录方式
user-interface vty 0 4 允许同时远程登录五个用户
authentication-mode password 认证方式为密码认证
user privilege level 2 认证等级为2级
set authentication password cipher huawei 密码为密文的huawei
idle-timeout 0 0 配置超时时间永不超时(默认十分钟)
命令行视图
<用户视图>:查看运行状态和统计信息等功能
[系统视图]:配置系统参数以及通过该视图进入其他功能的配置视图
其他视图:比如接口视图,协议视图,用户可以进行接口参数和协议参数配置
如果视图下命令允许重复配置,那么必须undo去掉错误配置再进行新的配置
如果视图下命令仅允许配置一次,则可以再次配置正确的该命令进行覆盖
display this 查看当前视图下所有配置
display current-configuration 查看当前设备在内存中所有的生效文件,所有配置的命令都在该文件中,断电后,该文件夹失效
网络层协议及IP编址
网络层提供了无连接数据传输服务,即网络在发送数据报文时不需要先建立连接,每个IP数据报文独立发送
IP地址在网络中用于标识一个节点或者网络设备的接口,用于IP报文在网络中寻址
一个IP地址有32bit,分为两层结构
1.网络位,用于区分不同的网络
2.主机位,用于区分同一个网络中不同的主机位
通过网络位是否一致来判断两个主机是否在同一个网段,如果网络位相同,则在同一个网段
如果网络位不同,则不在同一个网段。如果网络位相同,主机位不同则认为该主机是同一个网段的不同主机
子网掩码:用于确认网络位具体到哪,必须是从左到右连续的1,1到哪网络位就到哪,接下来就是连续的0
子网掩码是确定网络位,网络位相同则认为同一网段
| 十进制 | 192. | 168. | 10. | 1 |
|---|---|---|---|---|
| 二进制 | 11000000 | 10101000 | 00001010 | 00000001 |
| IP地址 | 192 | 168 | 10 | 1 |
|---|---|---|---|---|
| 子网掩码 | 255 | 255 | 255 | 0 |
| 11111111 | 11111111 | 11111111 | 00000000 |
192.168.10.1 255.255.255.0 =192.168.10.1/24
十进制与二进制的转换
| 2^7 | 2^6 | 2^5 | 2^4 | 2^3 | 2^2 | 2^1 | 2^0 |
|---|---|---|---|---|---|---|---|
| 128 | 64 | 32 | 16 | 8 | 4 | 2 | 1 |
| 1 | 1 | 0 | 0 | 0 | 0 | 0 | 0 |
=128+64=192
IP地址范围:0.0.0.0~255.255.255.255
IP地址分类
A类地址特点及范围:
二进制开头是0的都是A类地址,默认8bit
01111111 127
0.0.0.0~127.255.255.255/8
B类地址特点及范围:
二进制10开头的都是B类地址,默认16bit
10 000000 10 111111
128.0.0~191.255.255.255/16
C类地址特点及范围:
二进制110开头的都C类地址,默认24bit
110 00000 110 11111
192.0.0.0~223.255.255.255/24
D类地址特点及范围:二进制1110开头的都D类地址
1110 0000 1110 1111
224.0.0.0~239.255.255.255
E类地址特点及范围:二进制1111开头的都E类地址
1111 0000 1111 1111
240.0.0.0~255.255.255.255
区别
ABC类地址用于单播IPV4地址,实现一对一通信
D类地址组播IPV4地址,用于一对多通信
E类地址单播IPV4地址,保留用于科研
0.0.0.0-0.255.255.255保留地址
127.0.0.0~127.255.255.255保留地址,用于进行环回测试,用于主机内部通信,所有源地址或目标地址为127开头的报文都无法从该设备传出
公网和私网地址
为了提高IPv4地址的利用率,A、B、C类地址分为公网地址和私网地址
互联网上通信使用的是公网地址,企业内部使用的是私网地址通信
范围:
A 私网地址:10.0.0.0/8~10.255.255.255/8
B 私网地址:172.16.0.0/16~172.31.255.255/16
C 私网地址:192.168.0.0/24~192.168.255.255/24
IP地址类型
网络地址:用于标识一个网络,主机位全0
广播地址:用于向该网络中所有主机发送数据的特殊地址,主机位全1
可用地址:可分配给网络中的节点或网络设备接口的地址
10.1.1.255/24 子网广播地址,用于标识网段中的所有主机
255.255.255.255 全网广播地址,代表任意网段的任意主机
注意:网络地址和广播地址不能分配给主机,一个网段的可用地址数量为:2^n-2(n:主机部分的比特位)
可边长子网掩码
将子网掩码边长,由网络位向主机位从左至右依次借位
既满足用户需求,又不造成浪费的情况下,多给客户一些地址,给客户一定的冗余
例:192.168.10.1 需要提供五台主机的IP地址
00000001=>00000(网络位)001(主机位)
2的3次方 8-2(广播地址和网络地址)=6个可用地址
192.168.10.0/29---192.168.10.7/29
ICMP协议
ICMP消息类型和编码类型
| 类型 | 编码 | 描述 |
|---|---|---|
| 0 | 0 | Echo Reply |
| 3 | 0 | 网络不可达 |
| 3 | 1 | 主机不可达 |
| 3 | 2 | 协议不可达 |
| 3 | 3 | 端口不可达 |
| 5 | 0 | 重定向 |
| 8 | 0 | Echo Request |
ICMP重定向
ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器也会把初始数据包向它的目的地转发
3508
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
