目录
Trunk链路和Access链路,以及华为交换机Hybird端口
1、TCP UDP协议的区别
tcp 面向连接---先要进行点到点的连接
tcp 传输可靠----三次握手四次挥手--确认应答、超时重传、排序、流控---滑动窗口机制
tcp 可以进行流控
tcp 可以进行数据分段---mtu
tcp 耗费资源大,传输速度慢
tcp 传输文件,发送邮件,浏览网页 udp 域名查询,语音通话,视频直播
2.OSI七层
OSI/RM--1979年ISO 开放式系统互联参考模型
OSI模型是一个工业的标准.它为现在的互联网提供了很大的贡献。是一个逻辑上的规范和标准,很多厂商都要遵循它。他定义了七层每一层都有不同的功能和规范。
应用层----提供各种应用服务,抽象语言转换为编码,提供人机交互接口
表示层----编码转换成二进制
会话层----(发现,维持,建立)网络应用和网络服务器之间的会话链接
传输层----实现端到端通信---端口号---0-655352^16---其中0不作为传输层端口号使用---则1-655351-1023(知名端口号..专用)SPORT源DPORT目
dhcp67/68动态配置dns域名解析53ftp文件传输20/21
网络层----使用ip地址实现主机之间逻辑寻址以及路由探测---SIP,DIP、
数据链路层----控制物理硬件,将二进制转换为电信号。------以太网中此层需要通过MAC(48位二进制)地址进行物理寻址----Mac地址特点:全球唯一(iEE)分配;格式统一(SMAC,DMAC)获取DMAC方法,-----ARP协议(地址解析协议)正向ARP--通过IP地址获取Mac地址
首先,主机通过广播形式发送ARP请求,已知IP,请求Mac地址。广播域内所有设备都能收到请求包,所有收到数据包的设备都会记录数据包中源IP,Mac地址的对应关系记录到本地的ARP缓存表,之后再看请求的IP地址,如果是本地的IP地址,则进行ARP应答,将本地Mac地址告知;如果不是本地IP地址,则丢弃。之后发送数据时,优先查表,有记录直接发送;没有记录则发送ARP请求包获取Mac地址。
反向ARP--通过Mac地址获取IP地址
免费ARP--1,自我介绍2,检测地址冲突。
物理层----处理传递电信号
获取DIP地址方法:
1,直接知道服务器IP地址
2,通过域名访问服务器
3,通过应用程序访问服务器
4,广播
各层协议数据单元
应用层--数据报文
传输层--tcp数据段 udp数据报
网络层--数据包
数据链路层--数据帧
物理层--比特流
3.域名解析dns
因为输入的是域名信息,但是访问服务器需要IP地址信息,所以,电脑将触发生成一个DNS请求。
DNS协议请求查找的方法:
1,递归查找 --- 电脑向本地DNS服务器发送查找请求
2,迭代查找 --- 本地DNS服务器发送的查找请求
传输层: UDP : 53
网络层: SIP: 68.85.2.101 DIP: 68.87.71.22
DNS的工作原理和过程分为以下几个步骤:
第一步:客户端提出域名解析请求,并将请求发送给本地域名服务器。
第二步:本地域名服务器收到请求后,首先查询本地缓存。如果有这条记录,则本地域名服务器直接返回查询结果。
第三步:如果本地缓存没有记录,则本地域名服务器直接向根域名服务器发送请求,然后根域名服务器返回域的主域名(根的子域) ) 的本地域名服务器。服务器的地址。
第四步:本地服务器向上一步返回的域名服务器发送请求,然后接受请求的服务器查询自己的缓存。如果没有该记录,则返回相关下级域名服务器的地址。
第 五 步:重复第 四 步,直到找到正确的记录。
第六步:本地域名服务器将返回的结果保存到缓存中以备下次使用,并将结果返回给客户端。
DHCP中继
当DHCP服务器和DHCP客户端处于不同广播域时,由中继将双发的广播报文转换为单播报文保证客户机能够正常获取地址
4.三层交换和路由器的不同
1、本质:三层交换是指具有路由功能的交换机,其本质还是交换机。
三层交换机=二层交换机+路由
2、适用场景:路由器是适用于网络之间转发,而三层交换机的适用场景是VLAN。
3、转发方式:三层交换机是使用硬件进行路由的,效率更高;路由器是用路由表(软件)进行路由转发,效率相对来说较低。
4、协议:三层交换机不能进行协议转换;路由器能连接不同协议的网络。
5、功能:三层交换机拥有了路由器的路由功能,但是路由器的很多功能依旧是三层交换机所不具备的,如SLA、NAT、防火墙等功能。
交换机和路由器的区别
工作层次
而交换机主要工作在数据链路层(第二层)
路由器工作在网络层(第三层)。
转发依据
交换机转发所依据的对象时:MAC地址。(物理地址)
路由转发所依据的对象是:IP地址。(网络地址)
主要功能
交换机主要用于组建局域网,
而路由主要功能是将由交换机组好的局域网相互连接起来,或者接入Internet。
交换机能做的,路由都能做。
交换机不能分割广播域,路由可以。
路由还可以提供防火墙的功能。
路由配置比交换机复杂。
5.ospf相关
spf算法
状态机
down 初始状态,没有从邻居收到任何信息
init 收到hello报文,但是自己的rid不在收到的hello报文中
2-way 从邻居收到hello 自己的rid存在hello报文的邻居表中 而且进行DR选举(MA网络)
exstart ;路由器开始向邻居发送DD报文( 不包含摘要报文)i (判断第一个报文,为第一个置1 否则置0)M(判断后续是否还有报文1表示还有)MS 是否为主1为主 rid大的为master
exchange 发送包含摘要信息的DD报文(基于lsdb),
Loading 相互发送LSR LSU LSAck
Full 路由器已经完成了邻居的LSDB同步 完成本地数据库的建立。 --- LSDB(链路状态数据库) --- 生成数据库表。
最后,基于本地的链路状态数据库,生成有向图,之后,通过SPF算法将有向图转换成最短路径树。之后,计算本地到达未知网段的路由信息,将路由信息添加到路由表中。
收敛完成后,hello包依然需要进行10S(p2p ma)(30S)一次的周期保活,每30min进行一次周期更新。
报文类型
Hello :发现和维护邻居
DD:交互链路状态 和摘要
LSR:请求特点LSA
LSU:发送详细LSA
LSAck:确认LSA
OSPF为什么会卡在INIT/2-way状态
可能是设备之间出现单向链路故障的情况
OSPF为什么会卡在e-start状态
OSPF发送的DD报文,两端的MTU不一致
选举DR|BDR的好处
减少邻接关系数量,所有路由器只和DR|BDR建立邻接关系,和其他路由器建立邻居关系,减少网络中泛洪的LSA
6.双绞线T568b,T568a线序
T568a:绿白绿 橙白蓝 蓝白橙 棕白棕
T568b:橙白橙 绿白蓝 蓝白绿 棕白棕
7.stp基本和选举
STP作用:
选举出一个阻塞端口,在保证链路冗余性的前提下,逻辑上破除二层环路。并且STP能够自动响应拓扑变更,灵活切换阻塞端口。
选举及工作原理:
①选举根桥,桥ID越小越优
②选举根端口,(小则优选)
先比较 rpc;
对端的BID;
对端的PID ;
比较本地 PID
指定端口 (小则优)
RPC
本地BID最小
本地PID最小
注; STP在每个网段中选举一个指定接口,指定接口是该网段内到达根桥的最优接口。此外,指定接口还负责向该网段发送BPDU。
指定接口的选举过程是非根桥用自己计算出的BPDU跟别的设备发来的BPDU进行比较。若自己计算出的BPDU更优,则该接口成为指定接口,否则为非指定接口。
③阻塞非根非指定端口
经STP计算后,剩余的接口为非指定接口。
非指定接口将会被STP阻塞,以打破网络中的二层环路,被阻塞的接口既不会接收也不会转发业务数据,也不会发送BPDU,只会持续侦听BPDU,以便感知网络拓扑的变更情况。
8.路由过滤
ACL列表
可以用来匹配路由或者数据,主要有两类。一个是基本的acl和高级acl。
基本的ACL编号2000-2999,可以基于源ip地址匹配,使用报文的源IP地址,分片信息和生效时间段信息来定义规则。
高级ACL编号3000-3999 ,可以基于五元组和协议类型等的匹配,基于数据包进行匹配,可使用IPV4报文的源目ip,源目端口号,协议号等来定义规则
对于使用ACL进行路由匹配的场景,用户只能使用基本ACL
Ip-prefix---前缀列表
[r1]ip ip-prefix zzz(自定义前缀列表的名称)permit(允许和拒绝,仅抓取流量则可以选择permit)192.168.1.0 24---抓取的控制层流量中目标网络的信息。
前缀列表的匹配规则;自上而下,逐一匹配,一旦匹配上则按照对应规则来执行动作,不在向下匹配,末尾隐含拒绝所有的规则。
前缀列表中的规则默认以10为步调自动添加序号,便于插入和删除规则。
ACL和前缀列表区别
前缀列表是将路由条目的网络地址,掩码长度作为匹配条件的过滤器。不同于ACL,前缀列表能够同时匹配IP地址前缀长度以及掩码长度,增强了匹配的精确度。
9.LSA
10、BGP -无类别的路径矢量型协议
基本:
tcp179,触发更新,holdtime:180s;keeplive:60s
BGP路由协议和IGP路由协议的区别
BGP路由协议是距离矢量路由协议,是AS之间的路由协议,基于TCP协议,端口是179,BGP邻居的建立不需要线路直连。采用的是触发式更新策略
IGP路由协议是链路状态协议,AS内的路由协议,基于ip组播协议,IGP之间建立邻居需要线路直连,采用的是周期更新策略
防环机制EBGP
AS-Path,当Ebgp路由器收到BGP路由时检查AS-Path中是否含有本地AS号,如果有则丢弃,防止路由回灌形成的环路
状态机:
Idle:准备TCP连接并监视远程对等体,启用BGP,需要足够资源。
Connect:进行TCP连接,建立失败则进入active状态反复尝试。
Active:TCP建立失败,反复尝试。
OpenSent:TCP建立成功,开始发送open包。open包携带参数协商对等体建立;
OpenConfirm:参数,特性协商成功,自己发送Keeplive包,等待对方的Keeplive包;
Established:收到对方Keeplive包,且双方协商一致,使用update通告路由信息。
11、MPLS
角色
入栈(Ingress LSR):向IP报文中压入标签
中转(Transit LSR):交换标签
出站LSR(Egress LSR):剥离标签
12、VLAN
VLAN 是为了避免二层出现广播风暴给大面积用户带来影响,所采取的一种手段。
Vlan 带来的好处
减少广播风暴
提高一定的安全
简化网络的管理,有易于故障排查
Vlan 是把局域网进行逻辑上的分割,实现方式有两种
1.静态vlan 基于端口的vlan (常用)
2.基于MAC地址的vlan (适合于移动用户)
Vlan之间的通信需要配置TRUNK链路(中继) 封装模式有两种
Trunk链路和Access链路,以及华为交换机Hybird端口
Access链路用于连接终端设备,只允许一个VLAN的数据帧通过,发送数据时不携带Tag。
Trunk链路用于连接交换机,允许多个VLAN通过,根据允许收发列表,发送数据帧时除了PVID一致的VLAN,其余均携带Tag。
Hybird端口用于连接交换机或主机,允许多个VLAN通过,根据允许收发列表,发送数据帧时根据配置灵活带tag或不带tag。实现access和trunk端口的功能
13.NAT
网络地址转换,实现私网IP和公网IP的转换。
有静态NAT,动态NAT,NAPT,Easy IP,NAT Server
14.VPN
VPN使用了哪些技术?
关键技术:隧道技术,身份认证,数据加密与验证
如何建立IPSec VPN
一般部署在企业出口设备之间,通过加密与验证等方式,实现了数据来源验证,数据加密,数据完整性保证和抗重放等功能
IPSec隧道建立过程中需要协商IPSec SA(Security Association,安全联盟),IPSec SA一般通过IKE(Internet key Exchange)生成
15.防火墙
简述防火墙的作用
实现网络攻击的防范,访问控制,身份验证,数据加密,网络地址转换等功能
防火墙数据转发原理
可以根据源目ip,源目端口,协议进行转发
防火墙安全策略匹配原则
由上往下,由精细到粗略
企业网络的基本架构
1. 接入层的主要设备是二层交换机,二层交换机指的是通过识别MAC地址查询MAC地址表来进行二层转发的设备。用于接入企业终端设备,如PC、AP(无线接入点)、IP电话、服务器等
2. 汇聚层的主要设备是三层交换机或者路由器。在三层交换机当中,即拥有MAC地址表以及路由表,相当于是二层交换机和路由器集成的产物。,用于将内网下层所有设备发送的流量汇聚,实现包括网关配置,VLAN接口配置,不同VLAN间的互通等工作。
3. 核心层的主要设备是路由器或高性能的三层核心交换机等,用于快速转发汇聚层上传的数据,通过核心层的网关设备将数据转发至WAN广域网。
冲突域,广播域
冲突域是在同一个网络上两个比特同时进行传输则会产生冲突;在网络内部数据分组所产生与发生冲突的这样一个区域称为冲突域,所有的共享介质环境都是一个冲突域,在共享介质环境中一定类型的冲突域是正常行为。
广播域,广播域是一个逻辑上的计算机组,该组内的所有计算机都会收到同样的广播信息。
网络层设备如何确定以太网上层协议?
数据帧中的TYPE字段来确定上层协议 如果是0X0800则IP协议、如果是0X0806则ARP协议、如果是0x86dd则是IPv6协议
网关的作用是什么?
网关(Gateway)又称网间连接器、协议转换器。网关在传输层上以实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。
路由加表原则
有效的下一跳地址,度量值,管理的距离,最长掩码匹配
15、ARP
ARP欺骗解决方法
1 .主机绑定网关MAC和IP地址为静态(默认为动态),命令: arp -s网关IP网关MAC
2 .在网关上绑定主机MAC和IP地址
3 .使用ARP防火墙
ARP代理
使用一台主机作为指定设备对另外一个设备的ARP请求做出应答,一般发生在网络中不设置网关的情况下
16.vrrp
定义; 虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议,是一种用于提高网络可靠性的容错协议。
版本:vrrpv2,vrrpv3
作用:出口网关的备份,保证出口网关的高可用性,通过VRRP,可以在主机的下一跳设备出现故障时,及时将业务切换到备份设备,从而保障网络通信的连续性和可靠性。
vrrp组:将所有需要协同工作的路由器(并不一定只有两台设备,也可以存在多台设备),放到同一个VRRP组中。为了区分不同的VRRP组,我们需要给每个组设计一个VRID --- 8位二进制构成
虚拟网关:虚拟的IP地址 --- 1,必须得手工指定,2,必须和物理网关接口IP
工作原理
1.vrrp组中进行主备关系选举。开启VRRP后,设备通过目的IP为224.0.0.18组播发送VRR信息,先比较优先级(1-255;缺省100),优先级相同比较接口ip地址(大为主)
2.Master设备通过发送免费ARP报文,将虚拟MAC地址通知给与它连接的设备或者主机,从而承担报文转发任务。
3.选举结束后,仅主会周期性的发送VRRP数据包(发送周期默认为1S),其余备份设备仅侦听,若在3.6S(3 X 周期时间 + 偏移时间(256 - 优先级)/ 256)内没有收到主发送的VRRP数据包,则将判定主失效,将重新进行选举。
状态机:
1、initialize状态
设备启动时进入此状态,当收到接口Startup的消息后,将转入Backup或Master状态(IP地址拥有者的接口优先级为255 直接转为Master),在此状态时,不会对VRRP通告报文做任何处理,
2.Master状态
1.定期(ADVER_INTERVAL)发送VRRP报文。
2.以虚拟MAC地址响应对虚拟IP地址的ARP请求。
3.转发目的MAC地址为虚拟MAC地址的IP报文。
4.默认允许ping通虚拟IP地址。
5.当多台设备同时为Master时,若设备收到与自己优先级相同的报文时,会进一步比较IP地址的大小。如果收到报文的源IP地址比自己大,则切换到Backup状态否则保持Master状态。
3.Backup状态
1.接收Master设备发送的VRRP报文,判断Master设备的状态是否正常。
2. 对虚拟IP地址的ARP请求,不做响应
丢弃目的MAC地址为虚拟MAC地址的IP报文3.丢弃目的IP地址为虚拟IP地址的IP报文
如果收到优先级和自己相同或者比自己优先级大的报文时,重置MASTER_DOWN定时器,不进一步比较IP地址的大小
1531
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
