广域网技术
广域网是连接不同区域局域网的技术,通常覆盖范围是几十公里到几百公里;与局域网不同的是,广域网是通过租用ISP网络或组建专用网络形成
广域网与局域网的差别就在物理层与数据链路层
广域网的数据链路层协议
HDLC,高级数据链路控制,支持在点到点的同步链路上的数据传输。不支持IP地址协商;高可靠性,但数据帧开销大,效率低
PPP,点到点协议,支持在全双工的同、异步链路上进行点到点的数据传输,被广泛应用
FR,帧中继,工业标准的数据链路协议,通过使用无差错校验机制,加快数据转发速度
ATM,建立在电路交换和分组交换的面向连接的交换技术,信息载体是53字节的ATM信元
广域网设备角色
CE,用户边缘设备,用户端连接服务提供商的边缘设备,CE连接一个或多个PE
PE,服务提供商连接CE的边缘设备,能同时链接CE和P设备
P,服务提供商不连接任何CE的设备
在广域网中,CE与PE之间使用HDLC/PPP/FR协议,在ISP内部使用ATM协议
PPP协议原理及配置
提供安全认证协议族PAP和挑战握手认证协议CHAP,提供LCP链路认证协议和各种NCP网络认证协议
PPP链路建立过程
链路层协商,通过LCP进行链路参数协商
认证协商,进行链路认证
网络层协商,通过NCP协商选择和配置一个网络层协议进行网络层参数协商
链路层协商主要是确定MRU最大接收单元,如果建立失败则返回dead状态,否则进行认证协商,主要进行PAP/CHPA链路认证,认证失败返回terminate状态,否则进行网络层协商,选择并确认一个网络层协议参数,失败返回terminate;terminate状态会释放所有资源,然后返回dead
LCP链路报文
PPP报文格式
Flag标识开始与结束
Address是一个广播地址
Control默认是0x03,表名这是一个无序列帧
Protocol代表不同类型PPP报文,0xC021是LCP报文,0xC023是PAP报文,0xC223代表CHAP报文
LCP报文需要配置的参数是MRU最大传输单元,认证协议(PAP/CHAP),魔术字
LCP协商过程
发送方发送Request报文,接收方检查参数后返回ACK报文;然后接收方再发送Request报文让发送方检查参数是否可以接受
如果接收方参数不接受,那么会返回一个NaK报文,待发送方修改参数后,发送方再发送Request报文,接受方再检查。反方向同理
如果接收方对收到的参数不识别,那么会返回一个Reject报文,等待发送方将不认识的参数删除后,接收方再发送Request报文,接收方再次检查
认证模式——PAP
LCP协商完成后,被认真方会发送明文格式的Request报文给认证方,其中包含认证的账号密码,认证方将接收到的账号密码与本地数据库匹配,认证成功返回Ack报文,认证失败返回NaK报文
认证模式——CHAP
认证方发送一个Challenge报文,其中包括ID和随机数,被认证方收到后,将ID,随机数,密码拼接做MD5运算,返回一个Responce报文给认证方;认证方收到后,将本地存储的密码和随机数,ID做MD5运算后,取结果与Responce中的结果比对,如果正确则认证成功,如果不正确则认证失败
NCP协商过程
以常见的IPCP协议为例,由静态IP地址协商和动态IP地址协商;
静态IP地址协商就是在两端IP地址,发送方发送Request报文携带自己的IP地址,接收方收到后检查IP地址是否与自己的冲突,并且是否是一个合法的单播地址,然后发送ACK确认报文;接收方再发送一个Request报文携带自己的IP地址,发送方收到后返回ACK报文
发送方发送一个Request报文并携带IP地址为0.0.0.0,接收方收到后认为不合法,然后返回一个Nak报文,携带为它分配一个IP地址,发送方收到后及时更新自己的IP地址,再发送一个更新IP地址后的Request报文,接收方检查后返回一个ACK报文确认有效;反方向同理
PPPoE的原理与配置
将PPP帧融合到以太网帧的链路层协议,可以使以太网中的多台主机远程连接到宽带接入服务器;所以既有以太网的组网灵活,也有PPP协议的认证,计费等功能
PPPoE的常见应用场景是拨号上网
PPPoE会话建立过程
发现阶段,PPPoE客户端会发送一个PADI广播报文,收到广播报文的服务器端会返回一个PADO的响应报文,携带自己的MAC地址;客户端收到后选择一个最先收到报文的服务器,发送一个PADR报文,该服务器收到后会返回一个PADS报文,携带Session ID,表示该会话和客户端,会话建立成功
会话阶段,进行PPP协商,包括LCP协商,认证协商和NCP协商
会话终结阶段,客户端或服务器希望终结对话,向对方发送一个PADT报文
网络管理与运维技术
基于SNMP的集中式管理
应用于TCP/IP的网络管理协议,使用运行网络管理软件的中心计算机NMS来管理网元。
SNMP的基本架构
在每个被管理设备上都运行一个代理进程,然后在NMS上运行一个管理进程;管理进程和代理进程之间通过SNMP进行通信;NMS是通过SNMP对网络设备进行管理的软件;NMS向上提供Web可视化界面方便管理员操作
SNMP的信息交互
NMS通过SNMP协议向被管理设备发送修改配置请求请求或查询配置请求,被管理设备的进程收到请求后做出响应;被管理设备也能向NMS发送告警信息,以便管理员发现故障
MIB
是一个数据库,被代理进程能够查询到的设备信息;MIB的最大访问权限,not-accessible:无法进行任何操作 read-only:可以读取信息 read-write:可以读取信息和修改配置 read-create:可以读取信息、修改配置、新增配置和删除配置。
SNMPV1、SNMPV2、SNMPV3
SNMPV1包含五种报文,Get-Request:NMS从被管理设备的代理进程的MIB中提取一个或多个参数值 Get-Next-Request:NMS从代理进程的MIB中按照字典式排序提取下一个参数值 Set-Request:NMS设置代理进程MIB中的一个或多个参数值 Response:代理进程返回一个或多个参数值。它是前三种操作的响应操作 Trap:代理进程主动向NMS发送报文,告知设备上发生的紧急或重要事件;适用于小型网络
SNMPV2在以上基础还添加了GetBulk和Inform,GetBulk是请求所有的设备信息,Inform同样是告警,只不过它会等待NMS响应,或者超时;适用于大中型网络
SNMV3在上述基础添加了报文加密和认证的功能;适用于各种网络
IPV6基础
IP地址长度从32位变成128位
IPV6基本包头
IPV6扩展包头
IP地址分类
单播地址,包括全球单播地址,唯一本地地址,链路本地地址,以及一些特殊的单播地址比如0.0.0.0.0.0.0.0/128表示本机,::1/128表示本地环回地址
组播地址,目的地址为被标识的所有端口,但是只有加入到组播组的端口才能监听到发往该端口的报文
任播地址,发往路由意义上最近的一个接口
IPV6没有定义广播地址,所有的广播报文都将被组播代替
单播地址结构
网络前缀+接口标识 一共128位
接口标识的生成有三种方法,手工配置,系统自动生成和IEEE-EUI64规范;IEEE-EUI64将48bit的MAC地址,展开后将第一个字节的第7位取反,然后在第4个字节后插入FFFE,转换成为64bit的接口标识
常见的单播地址——GUA,也称为可聚合全球单播地址,全球唯一,用于有需要的主机上网
常见的单播地址——ULA,私网地址,唯一本地地址使用了FC00::/7地址块,目前私网地址只使用了FD00::/8地址块
常见单播地址——LLA,有效范围是本地链路,数据包不会转发到始发的链路之外
组播地址结构
Flags表示是临时组播还是永久组播,Scope表示组播范围,Group ID代表组播ID
被请求节点组播地址,是一个节点具备单播或组播地址后加入到组播组后生成的地址,用于邻居发现机制和地址重复检测功能,有效范围是本地链路范围
任播地址结构
任播过程其实与单播过程一样,但是任播能够同时给多台具有相同地址的设备发送报文。这样做的优势是,即使有一台服务器发生故障,客户端不用等待使用其他的服务器即可
IPV6单播地址业务流程
地址配置 全球单播地址可以通过手工配置,无状态自动配置NDP,有状态自动配置DHCPV6进行配置;链路本地地址可以通过手工配置,系统自动生成,EUI等方式生成
DAD 重复地址检测
地址解析 类似于ARP,ICMPV6形成IPV6地址与数据链路层地址的映射关系
无状态自动配置 NDP,使用到路由器请求报文和路由器通告报文;地址解析过程使用到两种ICMPV6报文,邻居请求NS和邻居通告NA;重复地址检测使用ICMPV6的NA和NS检测没有两个重复的单播地址
IPV6地址配置
有状态配置使用DHCPV6自动获取IPV6地址,无状态地址配置使用ICMPV6获取网络前缀再使用EUI获取接口标识组成IPV6地址;
有状态地址配置与无状态地址配置通过ICMPV6报文的M标记和O标记;M=1,O=1表示有状态;M=1,O=1表示无状态
SNTP,由NTP发展而来,主要用于同步因特网中的时钟
DAD
刚刚上线的主机获取到一个IP地址与另一个主机的IPV6地址冲突,它会以这个IPV6地址生成一个被请求节点组播地址A,然后发送组播地址为A的报文到网络;本身存有组播地址的路由器收到后,做出响应,主机就知道这个IPV6地址冲突了
地址解析
使用ICMPV6的NS和NA报文解析数据链路层地址,请求方发送NS报文,接收方返回NA报文,过程类似ARP地址解析
IP路由基础
协议路由表与本地路由表
路由引入需要考虑路由优先级,路由回灌,路由度量值
OSPF基础
链路状态路由协议
路由器之间通过LSA建立邻居关系,然后通过LDSB获知不同路由器的端口开放情况,了解网络的拓扑情况,然后通过SPF计算以自己为根的拥有最短路径的树,以此生成路由表
Router ID
用来表示运行OSPF的路由器的32位标识符,选举:手工配置,从LoopBack接口中选取IP地址最大的,从所有物理接口选择IP地址最大的
度量值
缺省的度量值=100Mbits/接口带宽,OSPF以累积cost值作为开销,从源网络到目的网络的总的cost之和。
OSPF报文格式
采用IP封装,协议号89
OSPF工作过程
建立邻居关系
OSPF使用Hello报文发现并建立邻居关系,在以太网上缺省以组播的方式发送Hello报文。
双方各自发出Hello报文,并且邻居列表为NULL,收到Hello报文后检查参数合格则将对方加入自己的邻居列表,并向对方发送Hello报文。
协商主/从
相互描述LSDB
同步双方LSDB
DR与BDR的作用
在一个MA网络中,重复的LSA洪泛浪费资源,因此指定一个路由器作为DR,它与所有的路由器建立和维护邻居关系并负责LSA的同步;DR的备用路由器叫做BDR
DR/BDR的选举规则
非抢占式的,接口的优先级越大就越优先,但是接口的优先级相同时则Router ID越大越有优先
OSPF支持的网络类型
P2P网络,P2MP网络,广播网络,NBMA网络
OSPF的两种区域
传输区域:不仅仅只承载本区域发起的流量和访问本区域的流量,还要承载源目IP来自其他区域的流量
末端区域:只承载本区域发起的流量和访问本区域的流量
Stub区域
不在区域内转发来自外部AS的流量,骨干网络不能配置成为Stub网络,Stub网络中的所有路由器都要将该区域配置成Stub;而Stub网络中向外部AS发送数据,需要配置默认路由
Totally Stub区域
不允许外部AS发送数据,也不允许区域间路由进入区域内。访问外部AS需要配置默认路由
IS-IS
基于OSI的CLNS(无连接网络服务)的一部分
CLNS的组成:CLNP(类似IP协议),IS-IS(类似OSPF协议),ES-IS(类似ARP)
NSAP
用于提供网络层与上层应用之间的接口
IDP:相当于IP中的主网络号
DSP:相当于IP中的子网号和主机号
NET
主要用于路由计算
IS-IS与OSPF的区别
IS-IS的每一个路由器属于一个区域,而OSPF的一个路由器不同端口都可能属于不同的区域;IS-IS没有骨干网络,OSPF的area 0网络被叫做骨干网络;IS-IS的level-1和level-2级别的路由都采用SPF算法,而在OSPF中只有同一个区域内才采用SPF算法
IS-IS路由器的类别
Level-1路由器:只能在Level-1网络中通信,通过Level-1/2路由器与骨干网络建立连接从而访问其他网络
Level-2路由器:可以和Level-2或Level-1/2路由器建立连接,所有的Level-2路由器构建成为整个区域的骨干网
Level-1/2路由器:用于区域间路由,既可以和Level-1路由器建立连接,也可以和Level-2路由器建立连接
IS-IS支持的网络类型
广播,点到点
IS-IS的报文类型
IIH:用于建立和维持邻居关系,广播网络的Level-1 IS-IS路由器使用Level-1 LAN IIH;广播网络的Level-2 IS-IS路由器使用Level-2 LAN IIH;点到点网络使用P2P IIH
LSP:用于交换链路状态信息
SNP:用于描述全部或部分链路数据库的LSP同步各LSDB;分为CSNP(全序列报文)和PSNP(部分序列报文)
IS-IS的邻居关系建立过程
在Down状态,R1发送Level-1 LAN IIH,此报文邻接列表为空
R2收到此报文后,将临界状态标识为Initial,然后向R发送Level-1 LAN IIH,标识R1是R2的邻接
R1收到此报文后,将自己与R2的邻接状态标识为Up,然后向R2发送一个R2是R1邻接的Level-1 LAN IIH报文
R2收到此报文后。将邻接状态标识为Up,两者成功建立邻接关系
路由器经过2个Hello报文间隔会进行DIS的选举
IS-IS认证分类
根据报文种类,认证可以分为三类:接口认证,区域认证,路由域认证
根据报文的认证方式,可以分为四类:简单认证,MD5认证,keychian认证,HAMC-SHA256认证
接口认证:Hello报文使用的认证密 码保存在接口下,互连的路由器接口必须配置相同的口令
区域认证:区域的每一台L1路由器都必须使用相同的认证模式和具有共同的钥匙串
路由域认证:每一台L2和L1/2的路由器必须使用相同模式的认证
BGP基础
使用TCP作为传输层协议,使用触发式路由更新而不是周期性路由更新
BGP的对等体关系分为EBGP和IBGP,EBGP是位于两个不同的AS之间建立的关系;IBGP是同一个AS内的BGP路由器建立的关系
BGP对等关系建立
先启动BGP的一方发起TCP三次握手,握手完成后双方互相发送Open报文,携带参数用于对等体的建立,然后双方互相发送Keepalive报文用于保持连接
对等体关系建立后,BGP路由器发送BGP Update报文通告路由到对等体
缺省状况下BGP使用报文出接口作为TCP连接的本地接口,在部署IBGP时,建议使用LoopBack地址作为更新源地址保证可靠性
BGP报文类型
BGP状态机
Idle状态:拒绝接受TCP连接,只有收到设备的start事件后才会尝试与其他BGP对等体开始TCP连接
Connect状态:进入TCP连接状态,连接成功进入Opensent;否则进入Active状态
Active状态:不断尝试TCP重复连接,如果超时返回Connect状态
Opensent状态:互相发送Open报文,收到后转为OpenConfirm状态;收到Notification报文转为Idle状态
OpenConfirm状态:互相发送Keepalive报文,如果收到keepalive状态转为establish状态;收到Notification报文转为Idle状态
Establish状态:对等关系建立完毕
BGP路由表的生成
不同于IGP路由协议,BGP本身不会发现并计算路由,而是将IGP路由表中的路由注入到BGP路由表中,并通过Update报文传递给BGP对等体
BGP注入路由的方法:Network,import-route(可以注入静态路由,直连路由,OSPF路由,IS-IS路由)
BGP通过network,import-route,aggregate等方式生成BGP路由,将Update报文转发给对等体。BGP通告规则如下
只发布有效且最优的一条路由
从EBGP获取的路由,转发给自己所有的对等体
从IBGP获取的路由不再转发给其他的对等体
从自己的IBGP学习到的路由,不再转发给EBGP的对等体
BGP路由优选规则
优选Preferred-Value和Local Preference值越大的,越大越优先
剩下八条属性越小越优先
BGP路径属性
路径属性分类
AS_Path:公认必遵属性,用于EBGP之间传递路由无环。路由器在传递给EBGP时会在该路由的AS_Path后加上本地的AS号,传递给IBGP时不会添加
AS_Path影响路由优选,当路由器学习到多条到达目标网段的路由,会选择AS_Path中属性值较少的路由
AS_Path类型:AS_Sequence和AS_SET
修改AS_Path的方法:addictive,overwrite,none overwrite
Origin:标识路由的起源,根据路由被引入BGP的方式不同,存在三种类型的Origin
从IGP引入的路由标记为i,是由network命令注入到BGP中,标记BGP路由的Origin属性为IGP
从EGP学习到的路由标记为e
从其他方式学习到的路由用?标识,属性为incomplete
Next_Hop:用于指定到达目标网络的下一跳地址
把BGP路由通告给EBGP对等体的时候,将该路由的Next_Hop设置为自己的TCP连接源地址
收到EBGP的路由时,准备准发给自己的IBGP对等体的时候,Next_Hop的值保持不变
收到BGP路由的Next_Hop属性值与EBGP对等体同属一个网段,那么Next_Hop的值会保持不变,且会传递给它的对等体
使用 peer next-hop-local可以设置Next_Hop为自己与对端连接的TCP地址
Local_Preference:即本地优先级属性,用于告诉AS中的路由器,哪些是离开本AS的首选路径;Local_Preference只能在IBGP对等体之间传递,而不能在EBGP对等体之间传递;使用bgp default local_preference可以修改缺省Local_Preference的值,缺省为100;通过network和import route引入的路由Local_Preference的值缺省为100
Community:为不同种类的路由打上Community属性值,在不同的AS中,只需要根据Community属性值来进行差异化的策略,而不使用ACL,IPPrefix等
MED:用于向外部对等体指出进入本AS的首选路径,即使进入本AS的入口有多个,依旧可以使用MED动态地影响AS选择进入的路径;MED属性值越小,则相应的进入AS的路由越优;通过network或import route引入静态或直连路由的MED值为0
Preferred-Value:当BGP路由表中存在相同的到达目的地的路由时,会优先选择Preferred-Value值较大的
BGP EVPN
MP-BGP
用于BGP-4的扩展,以允许BGP携带多种网络层协议(IPV6,EVPN等)
为了实现向后兼容性,规定MP-BGP增加两种新的属性,MP_REACH_NLRI和MP_UNREACH_NLRI用于表示可达的目的信息和不可达的目的信息
MP_REACH_NLRI:通告可达的路由,可达路的下一跳给邻居
MP_UNREACH_NLRI:用于撤销不可达的路由
MPLS简介
位于TCP/IP协议栈的数据链路层和网络层之间,在两层之间增加了额外的MPLS头部,也被称为标签
VPLS简介
以太网的二层VPN技术,在MPLS网络上提供了LAN的服务
EVPN简介
是MP-BGP路由的扩展,控制层面采用MP-BGP,学习对端MAC地址;数据平面支持MPLS LSPs或IP/GRE隧道技术,执行数据转发
EVPN常见路由:NLRI,被包含在MP_REACH_NLRI中,用于承载所有的EVPN路由
NLRI路由采用TLV(Type-length-Value)三元组结构,
路由策略与路由控制
常见路由策略
控制路由的发布、控制路由的接收、控制路由的引入
路由匹配工具:ACL和IP-Prefix
路由策略工具:Filter-Policy、Route-Policy
IP-Prefix的匹配机制
分析待匹配路由是否在定义的范围之内,如果在就判断动作是permit还是deny,如果是permit那么匹配结果就是允许,如果是deny那么匹配结果就是拒绝;如果待匹配路由不再定义的范围之内,就匹配下一条表项,如果匹配完了都没找到,匹配结果就是拒绝
Filter-Policy
可用于IS-IS,OSPF,BGP等协议,对于距离矢量协议过滤设置之间传递的路由信息,只需在上游路由器出口配置filter-policy export ,在下游路由器入口配置filter-policy import
对于链路状态协议,无法过滤LSA,所以对于每个路由器设置入口filter-policy import和出口设置filter-policy export,过滤的是引入的路由表项
在BGP中过滤的是对外公布的路由条目
注意配置每个路由器的filter-policy只影响单个路由器的路由表,不影响其他的路由器的路由表学习
Route-Policy
每个Route-Policy由一个或多个节点构成,每个节点都可以是一系列条件语句以及执行语句的集合,每个节点内可以包含多个条件语句;多条条件语句之间的关系可以是“与”,“或”,与匹配所有条件才会执行本节点内的动作,"或"匹配中一个节点就不会向下匹配;主要是由if-match语句完成
双点双向路由重分布
典型的路由模型,针对单向的路由重分布而言,增加了冗余性。但是也会带来次优路径和路由环路等问题
RSTP
RSP的四种端口角色:根端口,指定端口,指派端口,备份端口
三种状态:Discarding(不学习MAC地址不转发BPDU)、Learning(转发但是不学习)、Forwarding(学习也转发)
与STP不同的是,即使网络拓扑稳定后,非根桥无论是否收到根桥发来的BPDU,仍然会发送配置BPDU到其他根;如果一个端口在三个Hello Time没有收到邻居的配置BPDU报文,说明与邻居协商失败;收到次优BPDU会快速与自身缓存的RST BPDU比较,如果更差就会丢弃并响应
备份端口与指派端口能够快速转换成为指定端口和根端口;与终端设备相连的端口叫做边缘端口,不参与RSTP计算;一个端口被选举成为指定端口后会快速地从Discarding状态转换成为Forwarding状态,加快收敛速度,简称P/A机制;开启根保护的角色不只是根端口哦,开通后角色只能保持为指定端口
RSTP的收敛过程
MSTP
将交换网络划分成为多个域,每个域内形成多颗生成树,生成树之间彼此独立
堆叠与集群
堆叠集群的三种角色:主交换机,备交换机,从交换机
主交换机负责管理整个堆叠,备交换机是主交换机的备份,从交换机负责数据流量的转发;堆叠中优先级越高越容易被选择为主交换机
堆叠方式
堆叠连接拓扑
主交换机的选举
已经运行的交换机优于才启动的交换机,堆叠优先级越高的越优先,MAC地址越小越优先
备交换机的选举
主交换机为所有的交换机分配堆叠ID后开始备交换机的选举,除了主交换机外最先启动的交换机越优先,堆叠优先级越高越优先,MAC地址越小越优先
堆叠成员加入
上电后充当堆叠从交换机,获取到堆叠ID后,开始数据转发
堆叠系统合并
两个堆叠系统合并,竞争主交换机,竞争成功的一方不会改变主备从身份,里一个堆叠系统会将自己加入到另一方中,获取堆叠ID
MAD检测
检测和处理堆叠分裂的协议,分为直连检测方式和代理检测方式
直连检测方式
代理检测方式
MAD处理堆叠分裂规则仍然是比较启动时间,堆叠优先级,MAC地址 ;结果为detect和revery,前者是竞争失败后者是竞争成功
堆叠升级
智能升级,传统升级和平滑升级
集群的角色只有主交换机和备交换机
857
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
