VLAN
Virtual Local Area Network,虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。
①限制广播域②增强局域网的安全性③提高了网络的健壮性④灵活构建虚拟工作组
当一个局域网被划分为多个VLAN时,每个VLAN都用一个唯一的VLAN标签来标识。VLAN标签也称为VLAN Tag或802.1Q Tag。
根据接口连接对象以及对收发数据帧处理的不同,华为定义了4种接口的链路类型:Access,Trunk,Hybrid和QinQ。
每个接口都有一个缺省VLAN,又称PVID(Port Default VLAN ID),缺省情况下,所有接口的缺省VLAN均为VLAN1.
划分VLAN优先级:匹配策略>MAC地址=子网>网络层协议>接口
VLAN Aggregation(Super VLAN,VLAN聚合),在一个物理网络内,用多个VLAN隔离广播域,是不同的VLAN属于同一个子网
Super-VLAN:只建立三层接口;Sub-VLAN:只包含物理端口
MUX VLAN(Multiplex VLAN),通过VLAN进行网络资源控制的机制
Principal VLAN + Subordinate VLAN(= Separate + Group)
QinQ(802.1Q-in-802.1Q),扩展VLAN空间的技术(VLAN Stacking / Double VLAN)在标签报文基础上+Tag,分为基本+灵活QinQ
VLAN内二层隔离技术:
端口隔离:用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间的二层隔离
MUX VLAN:VLAN间用户通信,VLAN内用户相互隔离
基于流策略(MQC):根据匹配规则对报文进行流分类,通过流策略将流分类与permit/deny动作相关联,使符合流分类的报文被允许或禁止通过,灵活的VLAN内单向或双向隔离
STP
STP 802.1D 传统生成树协议,收敛慢
RSTP 802.1W 快速生成树协议,收敛快
MSTP 802.1S 多生成树协议,收敛快,且VLAN负载均衡
BPDU报文,封装在以太网数据帧中,目的MAC是组播MAC:01-80-C2-00-00-00
配置BPDU(Configuration BPDU):用来进行生成树计算和维护生成树拓扑的报文
TCN BPDU(Topology Change Notification BPDU):拓扑变化通知BPDU,是在网络拓扑发生变化时,用来通知相关设备的报文
①Root Identifier:当前根桥的BID②Root Path Cost:根路径开销③Bridge Identifier:本交换设备的BID④Port Identifier:发送该BPDU的端口ID
根网桥的选举(所有交换机选一个根交换机):优先级小>MAC地址小
根端口(RP)选举(每个非根交换机选一个根端口):RPC低>对端桥ID低>对端端口ID低
指定端口(DP)选举(每个二层链路选一个指定端口):RPC低>桥ID低>端口ID低
RSTP快速收敛:①Proposal/Agreement机制②根端口快速切换机制③边缘端口禁用
RSTP保护:①BPDU保护②根保护
多生成树协议MSTP(Multiple Spanning Tree Protocol),IEEE802.1s定义,通过生成多个生成树,解决以太网环路问题,在VLAN间实现负载均衡,不同VLAN的流量按照不同的路径转发
静态路由
路由明确了转发IP报文的路径,包含:①目的网络:标识目的网段②掩码:与目的地址共同标识一个网段③出接口:数据包被路由后离开本路由器的接口④下一跳:路由器转发到达目的网段的数据包所使用的下一跳地址。
路由条目优选过程:网段/掩码不同>优先级值小>度量值(开销,Cost)小
常见路由协议优先级:
| 路由协议 | 优先级 |
|---|---|
| Direct | 0 |
| OSPF | 10 |
| IS-IS | 15 |
| Static | 60 |
| RIP | 100 |
| OSPF ASE/NSSA | 150 |
| IBGP/EBGP | 255 |
常用度量值:跳数,带宽,时延,代价,负载,可靠性
路由表最长匹配原则:使用路由条目唯一前缀构造二叉树,特殊路由:①主机路由:匹配32位②默认路由:匹配0位
ACL
ACL由一系列permit或deny语句组成,有序规则的列表,作为匹配工具对报文进行匹配和区分,应用于匹配IP流量,Traffic-filter,NAT,路由策略,防火墙策略部署,Qos等
分类:
规则定义方式:基本,高级,二层,用户自定义,用户
标识方法:数字型,命名型
系统按照ACL规则编号从小到大的进行报文匹配
DHCP
DHCP集中对用户IP地址进行动态管理和配置,采用C/S(Client/Server,客户端/服务器)通信模式,协议报文基于UDP的方式进行交互,采用67(DHCP服务器)和68(DHCP客户端)两个端口号:正常工作时由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等相应的配置信息。
优点:效率高,灵活性强,易于管理
Options预定义选项字段:可变长度,最多312Byte,包含DHCP报文类型,服务器分配给终端的配置信息,如网关IP地址,DNS服务器的IP地址,客户端可以使用的IP地址的有效租期等
Options字段有Type,Length和Value三部分组成,Type范围为1~255,常见的Options:
| Type | Length(Byte) | Value | 作用 |
|---|---|---|---|
| 1 | 4 | Subnet Mask | 设置子网掩码选项 |
| 3 | 4 | Router(网关) | 设置网关地址选项 |
| 50 | 4 | Requested IP Address | 设置请求IP地址选项 |
| 51 | 4 | IP Address Lease Time | 设置IP地址租约时间选项 |
| 53 | 1 | Message Type | 设置DHCP消息类型 |
| 54 | 4 | DHCP Server Identifier | 设置服务器标识 |
| 55 | 9 | Parameter Request List | 设置请求选项列表,客户端利用该选项指明需要从服务器获取哪些网络配置参数 |
| 58 | 4 | Rebinding Time Value | 设置续约T1时间,一般是租期时间的50% |
| 59 | 4 | Renewal Time Value | 设置续约T2时间,一般是租期时间的87.5% |
自定义选项字段:①Option 82:中继代理信息选项②Option 43:厂商特定信息选项
DHCP Snooping:防止网络中非法DHCP服务器分配IP地址,从而有效防范DHCP攻击
VRRP
VRRP能够在不改变组网的情况下,将多台路由器虚拟成一个虚拟路由器,通过配置虚拟路由器的IP地址为没人网关,实现网关的备份
协议版本:VRRPv2(常用)适用IPv4网络;VRRPv3适用IPv4和IPv6网络
Advertisement报文:目的IP地址224.0.0.18,目的MAC地址01-00-5e-00-00-12,协议号112
2781
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
