OSI
应用层 data
表示层 编码
会话层 载荷
传输层 端口(0-65535) TCP(面向连接的传输层协议,可提供可靠地传输服务 重要数据) UDP(面向无连接的传输层协议,传输可靠性没有保证 不重要数据)协议
网络层 IP地址 32位二进制 逻辑地址寻址
数据链路层 MAC(介质访问控制层,LLC) 物理地址 48位二进制 物理地址
物理层 比特流
1、MAC 媒介访问控制子层
根据MAC地址进行物理寻址
2、LLC:逻辑链路控制子层
为上层服务提供FCS校检
**
IP地址分类:
**
按第一个8位快速判断
A 1-126
B 128-191
C 192-223
D 224-239
E 240-255
A/B/C为单播地址,D为组播地址,E为保留地址
注意:只有单播地址可以作为源目ip地址,其他地址只能作为目标ip
A/B/C类默认的子网掩码长度不同
A 255.0.0.0 1.1.1.1/8
B 255.255.0.0
C 255.255.255.0
单播地址的分类:
1)私有地址:1、免费使用 2、局域网内唯一
2)公有地址: 1、付费使用 2、全球唯一
私有地址:
A:10.0.0.0/8
B: 172.16.0.0/12
C: 192.168.0.0/16
192.168.1.0/24
特殊地址:
1、127 环回地址,默认是127.0.0.1 进行系统测试
2、255.255.255.255 受限广播地址
3、0.0.0.0 无效地址-没有 缺省地址-所有
4、在每个网段中,主机位全0,该地址不是单播地址,网络号,代表网段
192.168.1.0 255.255.255.0
192.168.1.0/24
5、在每个网段中,主机位全1,直接广播地址,不是单播地址
192.168.1.1111 1111/24 192.168.1.255/24
6、自动私有地址,本地链路地址,网络位固定,主机位随机
169.254.0.0/16
子网划分: VLSM 可变长子网掩码
通过延长掩码的长度,将主机位借位网络位
192.168.1.0/24 192.168.1.1-254可用
11000000 10101000 00000001 00000000 192.168.1.0
11111111 11111111 11111111 00000000 255.255.255.0
拆分成2个子网
11000000 10101000 00000001 0 0000000 192.168.1.0 192.168.1.1-126
11111111 11111111 11111111 1 0000000 255.255.255.128
11000000 10101000 00000001 1 0000000 192.168.1.128 192.168.1.129-254
11111111 11111111 11111111 1 0000000 255.255.255.128
子网汇总:
取相同位,去不同位
汇总的条件:
1)母网相同 2)掩码一样
**
DHCP工作过程
**
- DHCP客户端初次接入网络时,会发送DHCP发现报文(DHCP Discover),用于查找和定位DHCP服务器。
- DHCP服务器在收到DHCP发现报文后,发送DHCP提供报文(DHCP Offer),此报文中包含IP地址等配置信息。
- 在DHCP客户端收到服务器发送的DHCP提供报文后,会发送DHCP请求报文(DHCP Request),另外在DHCP客户端获取IP地址并重启后,同样也会发送DHCP请求报文,用于确认分配的IP地址等配置信息。DHCP客户端获取的IP地址租期快要到期时,也发送DHCP请求报文向服务器申请延长IP地址租期。
- 收到DHCP客户端发送的DHCP请求报文后,DHCP服务器会回复DHCP确认报文(DHCP ACK)。客户端收到DHCP确认报文后,会将获取的IP地址等信息进行配置和使用。
- 如果DHCP服务器收到DHCP-REQUEST报文后,没有找到相应的租约记录,则发送 DHCP-NAK报文作为应答,告知DHCP客户端无法分配合适IP地址。
- DHCP客户端通过发送DHCP释放报文(DHCP Release)来释放IP地址。收到DHCP释放报文后,DHCP服务器可以把该IP地址分配给其他DHCP客户端。
**
静态路由
1、负载均衡
2、环回接口
3、静态路由汇总
4、路由黑洞
5、缺省路由
6、空接口路由
7、浮动静态路由
**
缺点:
1、配置量大
2、不能基于拓扑的变化进行实时收敛
总结:只能适合简单的小型网络结构
路由器作用:
1.用于不同网络间的互联
2.为它所承载数据做路径的选择——选路
当一个数据包进入路由器后,路由器将基于数据包中的IP地址,查询本地的路由表,若表中存在记录将无条件按照记录转发;若没有记录将丢弃该流量。
路由器的路由表默认以一个网段为目标;默认仅存在直连网段的路由;
所有非直连网段为未知网段,获取未知网段的方法。
1、四路由器负载均衡(负载均衡:当到达同一目标地址时,存在多条开销相似的路径时,可以让设备将流量拆分后沿多条路径同时传输)
2、环回接口(可以实现用于代表连接用户的接口)
3-4、路由汇总 路由黑洞
当访问多个连续子网时,若基于相同的路径进行;可以将这些子网进行汇总计算;之后仅编辑到达汇总网段的路由条目,来减少路由器路由条目的数量。
路由黑洞一般是在网络边界做汇总回程路由的时候产生的一种不太愿意出现的现象,就是路由汇总的时候有时会有一些网段并不在内网中存在,但是又包含在汇总后的网段中,如果在这个汇总的边界设备上同时还配置了缺省路由,就可能出现一些问题。这时,如果有数据包发向那些不在内网出现的网段(但是又包含在汇总网段)所在的路由器,根据最长匹配原则,并没有找到对应的路由,只能根据默认路由又回到原来的路由器,这就形成了环路,直到TTL值超时,丢弃。
这是我们不愿意看到的现象,所以要有解决这个问题的方案,就是黑洞路由啦,其实就是一条特殊的静态路由,下一跳指向null 0口,一个不存在的口,结果就是将匹配这条路由的数据包丢弃…
所以说,如果是精确汇总(合理规划IP)的话,就不会出现路由黑洞。
5、缺省路由(默认路由)
缺省路由属于特殊的静态路由
PC的网关其实就是一种缺省路由
缺省路由属于“替补路由”,只有当其他的路由不可达时才会使用缺省路由
缺省路由适用于边缘节点,以及企业出口
6、空接口路由(路由黑洞与缺省路由相遇,必然产生环路。在黑洞路由器上配置一条到达汇总地址的空接口路由,来避免环路产生,由于路由器使用最长匹配规则,故在明细路由存在时,空接口路由无效)
7、浮动静态路由(静态路由的默认优先级为60 ;优先级取值范围0-255,越小越优
通过在编写静态路由时,修改默认的优先级,可以实现静态路由备份效果)
**
动态路由
**
动态路由
静态路由
缺点:
1、配置量大
2、不能基于拓扑的变化进行实时收敛
总结:只能适合简单的小型网络结构
动态路由:
优点:
1、实时基于拓扑的变化进行路由表的收敛
缺点:
1、额外占用硬件资源
2、安全风险
3、选路错误的风险
动态路由分类:
1、基于AS进行分类:
IGP 内部网关路由协议
EGP 外部网关路由协议
AS: 自治系统,Autonomous System 标准编号0-65535
其中1-64511为公有,64512-65535私有
AS之内运行的IGP路由协议: RIP OSPF EIGRP ISIS
AS之外运行的EGP路由协议: BGP
IGP协议分类:
1、基于更新时是否携带子网掩码
有类别–不带掩码
无类别–带掩码
2、基于工作特点
DV Distance Vector–距离矢量 --RIP EIGRP 共享路由表
LS Link State --链路状态 --OSPF ISIS 共享拓扑,本地计算
协议比较:
收敛速度 占用资源 选择路由
RIP 较快(计时器 较少 好
OSPF 较快(算法) 多 优
EIGRP 快 少 好
RIP: 路由信息协议,距离矢量,使用UDP 520端口,使用跳数作为度量值
版本:v1 v2 ng(ipv6使用)RIP next generation
工作机制:
周期和触发更新
周期:1、保活 没有hello包 2、没有确认机制 没有ack
破环机制:
1、水平分割--从此口进不从此口出,在直线拓扑中避免环路,主要控制重复的更新
2、触发更新--毒性逆转水平分割
3、最大15跳
4、抑制计时器
v1和v2区别:
1、v1为有类别路由协议--不携带子网掩码,按主类算
v2为无类别路由协议--携带子网掩码
2、v1为广播更新-255.255.255.255
v2为组播更新-224.0.0.9
3、v2支持手工认证
RIP v1配置:
rip 启动时需要定义进程号,默认为1,只有本地意义
version 1 选择版本1
宣告: RIP只能进行主类宣告,基于宣告的主类网段,找到属于该网段的接口
1、激活接口--可以手法RIP的信息
2、该接口的信息可以共享给邻居
network 1.0.0.0
network 12.0.0.0
RIP v2配置:
rip 启动时需要定义进程号,默认为1,只有本地意义
version 2 选择版本2
宣告:
1、激活接口--可以手法RIP的信息
2、该接口的信息可以共享给邻居
undo summary 关闭自动汇总
注意:RIP v2协议更新时虽然携带子网掩码,但是如果没有关闭自动汇总,RIP将携带主类掩码,关闭后将更新为真实掩码
network 1.0.0.0
network 12.0.0.0
RIP的扩展配置
1、手工认证 [r2-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher xixi
2、手工汇总 [r1-GigabitEthernet0/0/0]rip summary-address 1.1.0.0 255.255.252.0
3、加快收敛 [r1-rip-1]timers rip 30 180 120
建议维持原有的倍数关系
不宜过小
rip范围内所有路由器一致
4、缺省路由 [r3-rip-1]default-route originate
**
OSPF: 开放式最短路径优先协议
** V1/V2/V3 V3为IPv6使用
无类别链路状态路由协议 更新量大,所以需要结构化部署 区域划分 地址规划
触发更新,30min周期更新;组播更新地址 224.0.0.5和224.0.0.6
一、OSPF的数据包类型
Hello: 发现、建立、周期保活邻居关系
DBD: 数据库描述
LSR: 链路状态请求
LSU: 链路状态更新 携带各种LSA
LSack: 链路状态确认
LSA: 链路状态通告–具体的一条一条拓扑或路由信息
LSDB: 链路状态数据库 本地所有LSA的集合
二、OSPF状态机
两台直连的OSPF邻居路由器之间,双方不同阶段的关系,为不同的状态
Down: 一旦本地发出Hello包,进入下一状态
Init: 初始化 R1收到R2的Hello包中存在R1的route-id 进入下一状态
2way: 双向通信 邻居关系建立的标志,条件匹配
Exstart: 预启动 使用没有数据库信息的DBD包进行主从关系的选举,RID数值大的为主,优先进入下一状态
Exchange: 准交换 使用携带数据库目录信息的DBD包进行共享,需要ACK确认
Loading: 加载 查看完对端邻居的DBD包后,使用LSR/LSU/LSack来获取未知的LSA信息
Full: 转发 邻接关系建立的标志
三、OSPF的工作过程
路由器上OSPF协议的启动配置完成后,本地收发Hello包,在接收到的Hello包中存在本地的RID,建立邻居关系;生成邻居表;
邻居关系建立后,基于条件进行选择
1、条件匹配失败,维持邻居关系,仅维持Hello周期保活
2、条件匹配成功,可以建立邻接关系
使用DBD包来共享本地的LSDB目录,之后本地基于其他邻接共享的DBD,判断本地未知的LSA信息;
再使用LSR向邻接进行查询,邻接返回LSU包来传递具体的LSA信息,同时本地需要ACK确认接收
当本地收到所有的LSA后,本地LSDB数据库建立完成–数据库表
本地基于LSDB生成有向图–>树形结构图–>路由表;收敛完成,Hello继续周期保活
每30min,周期进行一次DBD包比对;
四、OSPF的基础配置
#启动时需要定义进程号,仅有本地意义,同时建议指定RID,RID必须全网唯一,手工配置>环回接口>物理接口,取ip地址最大值
[r1]ospf 1 router-id 1.1.1.1
#进入区域,进行宣告,1、激活 2、接口信息传递 3 区域划分
宣告时,必须携带反掩码
#区域划分规则
1、星型结构,区域0为骨干区域,大于0的为非骨干区域,非骨干区域必须连接到骨干区域
2、ABR区域边界路由器
[r1]ospf 1 router-id 1.1.1.1
[r1-ospf-1]area 0
[r1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[r2]ospf 1 router-id 2.2.2.2
[r2-ospf-1]area 0
[r2-ospf-1-area-0.0.0.0]network 192.168.1.2 0.0.0.0
[r2-ospf-1-area-0.0.0.0]network 192.168.1.129 0.0.0.0
[r2-ospf-1-area-0.0.0.0]q
[r2-ospf-1]area 1
[r2-ospf-1-area-0.0.0.1]network 192.168.1.5 0.0.0.0
[r2-ospf-1-area-0.0.0.1]network 192.168.1.161 0.0.0.0
[r2-ospf-1-area-0.0.0.1]q
[r2-ospf-1]dis this
[V200R003C00]
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.1.2 0.0.0.0
network 192.168.1.129 0.0.0.0
area 0.0.0.1
network 192.168.1.5 0.0.0.0
network 192.168.1.161 0.0.0.0
[r3]ospf 1 router-id 3.3.3.3
[r3-ospf-1]area 1
[r3-ospf-1-area-0.0.0.1]network 192.168.1.0 0.0.0.255
[r3-ospf-1-area-0.0.0.1]network 5.5.5.5 0.0.0.0
[r3-ospf-1-area-0.0.0.1]q
[r3-ospf-1]dis this
[V200R003C00]
ospf 1 router-id 3.3.3.3
area 0.0.0.1
network 5.5.5.5 0.0.0.0
network 192.168.1.0 0.0.0.255
#邻居关系建立后,进行条件匹配,若成功匹配,则建立邻接关系, 邻接关系间进行LSA洪泛,LSDB同步,,学习未知的LSA ,生成数据库表
dis ospf peer #查看邻居表
dis ospf peer brief #查看邻居摘要
dis ospf lsdb #查看链路状态数据库
dis ospf lsdb router 2.2.2.2 #查看具体链路状态数据库
#LSDB同步完成后–>有向图–>树形结构–>路由表
华为设备中 ,OSPF协议优先级10
ospf 度量 = cost值 = 开销值 = 参考带宽/接口带宽
选路规则=整段路径cost值之和最小路径
当接口带宽大于参考带宽,建议修改参考值,修改时全网一致,注意单位
[r1]ospf 1
[r1-ospf-1]ban
[r1-ospf-1]bandwidth-reference ?
INTEGER<1-2147483648> The reference bandwidth (Mbits/s)
[r1-ospf-1]bandwidth-reference
结构突变:
1、新增网段
直接使用LSU更新LSA发送本地所有邻接关系,对端需要确认
2、断开网段
同上
3、无法沟通
dead time 到时间时,断开邻居关系,删除从该邻接学习到的信息;
默认hello time时间为10s,deadtime 为40s
成为邻接的条件
网络类型:
点到点–一个网段内只能存在两个节点
MA–多路访问,在一个网段内,节点数量不做限制
点到点网络中,邻居关系必然成为邻接关系
MA网络中--进行DR/BDR选举,所有非DR/BDR成员之间为邻居关系 designated router
选举规则:
先比较接口优先级,0-255,默认为1 ,数值越大越优,为0表示放弃
优先级相同,比较参选设备的RID,数值大优
#修改接口优先级
[r2]interface g0/0/0
[r2-GigabitEthernet0/0/0]ospf dr-priority 2
#非抢占,必须重启ospf进程
**
VLAN: 虚拟局域网
**
将交换机逻辑划分成多个广播域
配置思路
1、交换机上创建VLAN
2、交换机上的接口划分到对应VLAN
3、Trunk干道,,,SW-SW SW-RT
4、VLAN间路由 路由器子接口(单臂路由) 多层交换机
配置命令
1、创建VLAN
VLAN编号 0-4095 其中1-4094可用;默认存在VLAN1,且所有接口均属于VLAN1
#创建单个VLAN
[sw1]vlan 2
[sw1]vlan 3
#描述VLAN
[sw1-vlan2]description yunjisuan
#创建多个连续VLAN
[sw1]vlan batch 3 to 10
#花样创建VLAN
[sw1]vlan batch 11 to 20 22
#查看VLAN
[sw1]dis vlan
#删除VLAN
[sw1]undo vlan batch 3 to 20 22
2、划分交换机接口到VLAN中
#进入接口
[sw1]int g0/0/1
#修改端口类型
[sw1-GigabitEthernet0/0/1]port link-type access
#配置接口默认VLAN
[sw1-GigabitEthernet0/0/1]port default vlan 2
#批量修改接口
[sw1]port-group group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/4
#输入以下指令
[sw1-port-group]port link-type access
#显示以下内容
[sw1-GigabitEthernet0/0/3]port link-type access
[sw1-GigabitEthernet0/0/4]port link-type access
#执行以下指令
[sw1-port-group]port default vlan 3
#显示以下输出
[sw1-GigabitEthernet0/0/3]port default vlan 3
[sw1-GigabitEthernet0/0/4]port default vlan 3
#交换机SW2配置
#创建vlan
[sw2]vlan batch 2 to 3
[sw2]int g0/0/1
[sw2-GigabitEthernet0/0/1]port link-type access
[sw2-GigabitEthernet0/0/1]port default vlan 2
[sw2-GigabitEthernet0/0/1]int g0/0/2
[sw2-GigabitEthernet0/0/2]port link-type access
[sw2-GigabitEthernet0/0/2]port default vlan 3
3、Trunk干道
不属于任何一个VLAN,承载所有VLAN流量传递,标记和区分VLAN标签,华为默认trunk仅允许VLAN1通过
#进入接口
[sw1]int g0/0/24
#修改接口类型
[sw1-GigabitEthernet0/0/24]port link-type trunk
#修改默认通过所有VLAN
[sw1-GigabitEthernet0/0/24]port trunk allow-pass vlan all
#也可以使用以下命令
[sw1-GigabitEthernet0/0/24]port trunk allow-pass vlan 2 to 3
[sw2]interface GigabitEthernet 0/0/24
[sw2-GigabitEthernet0/0/24]port link-type trunk
[sw2-GigabitEthernet0/0/24]port trunk allow-pass vlan all
cisco的trunk干道上存在ISL私有标记技术和802.1q公有标记技术,其他厂商使用公有 也称dot1.q
4、VLAN间路由
在一个物理接口上,逻辑配置多个虚拟接口,来识别和标记不同VLAN的流量,为不同的VLAN网段进行路由工作
**
NAT 网络地址转换(公有地址和私有的相互转换)
**
内网 源地址(私有地址—公有地址)目标(公有地址)
外网 源地址(公有)目标(公有—私有地址)
1、动态NAT地址池(已不再使用了,用于内到外的访问)
动态NAT地址池配置
配置一个地址池做NAT转换,本质上仍然是1对1的转换
[r4]int g0/0/0
[r4-GigabitEthernet0/0/0]ip ad 100.0.0.1 24
[isp]int g0/0/0
[isp-GigabitEthernet0/0/0]ip ad 100.0.0.2
[r4]nat address-group 1 100.0.0.100 100.0.0.200
//地址池中的地址不能包含路由器外口的IP地址
[r4]acl 2000
[r4-acl-basic-2000]rule permit source any
[r4-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat
[r4]dis nat outbound
[r4]dis nat session all
2、NAPT/Easy IP(cisco叫PAT,用于内到外的访问)
多个内部主机发起到外网的访问,路由器需要区分不同的内部主机,通过IP地址+源端口号的方式(源端口号被转换后在公网上一定是不会冲突的)
如果内部主机发出的数据包中源端口号冲突,被路由器转换后发送到公网时,会变换源端口以便区分
NAPT配置(网络地址端口转换:映射到某一个或多个公网地址,非出口地址,即PAT)
[r4]acl 2000
[r4-acl-basic-2000]rule permit source any
[r4-GigabitEthernet0/0/0]nat outbound 2000 address-group 1
[r4]dis nat outbound
[r4]dis nat session all
Easy IP及配置(直接映射到出口地址上)——常用
[r4]acl 2000
[r4-acl-basic-2000]rule permit source any
[r4-GigabitEthernet0/0/0]nat outbound 2000
[r4]dis nat outbound
[r4]dis nat session all
静态NAT(1对1,用于外到内的访问)
外到内NAT原理(端口映射)
内部的服务器地址映射到公网,供外网用户访问这台服务器
内部服务器一般不会直接配置公网地址给外网访问的原因:
1.安全性
2.公网地址浪费:一台服务器就会占用一个公网地址
外到内变换目的地址
内到外回包时变换源地址
静态NAT及配置(全地址映射)
接口下的配置:
配置telnet服务
[r2]user-interface vty 0 4
[r2-ui-vty0-4]authentication-mode aaa
[r2-ui-vty0-4]q
[r2]aaa
[r2-aaa]local-user haha password cipher huawei
Info: Add a new user.
[r2-aaa]local-user haha service-type telnet
[r2-aaa]local-user haha privilege level 15
[r4-GigabitEthernet0/0/0]nat static global 100.0.0.5 inside 192.168.1.2 //不能和外口地址冲突
[r4]dis nat static