OSI七层模型
应用层:人机交互的接口
表示层:加密
会话层:建立一条端到端的虚拟链路,用端口号来区分
上三层为控制层面,是应用程序对数据加工处理的层面
下四层是数据层面,负责数据转发
传输层:分段(受MTU限制) 端口号 UDP/TCP
网络层:IP地址
数据链路层:逻辑链路控制层LLC层+介质访问控制层MAC层
物理层
网速的计算方式:速率=(带宽/8)*85%
MTU:最大传输单元,默认值为1500
端口号:0-65535 其中,1-1023为注明端口,静态端口,固定分配给各种服务
1024-65535:为高端口,动态端口,随机的分配给各个进程
TCP:传输控制协议:面向连接的可靠性传输
TCP数据包:
面向连接:在传输数据之前,通过三次握手,建立端到端的虚链路
可靠传输:确认(保证数据的完整性) 重传(1.未收到确认包 2.接收者收到的数据包不完整,会主动请求重传) 排序(通过序列号进行排序) 流控(滑动窗口机制)
三次握手:保证了面向连接
保证可靠性:1.确认重传 2.周期性传输
UDP:用户数据报协议:非面向连接的不可靠传输协议(即时性高)
UDP数据包:
TCP/IP与OSI七层参考模型的区别:
封装:七层模型从上到下对数据进行加工的过程叫做封装,数据将不断的变大
解封装:对各层报头的读取,删除;与封装的行为相反
PDU:协议数据单元
应用层:数据报文
传输层:段
网络层:包
数据链路层:帧
物理层:比特流
ARP:地址解析协议
正向ARP:已知对端IP地址,通过广播来获取对端的MAC地址
反向ARP:已知对端MAC地址,来获取对端IP地址
无故ARP:地址冲突检测;设备在刚使用一个IP地址,向外进行正向ARP,被请求的目标IP地址为本地的IP地址,正常情况下不会收 到回复;若收到回复,则说明发生地址冲突
IPV4头部:
无线网络是有线网络的最后一公里
HUB(集线器网络,超过俩个人)存在问题:1.地址(身份标识)2.冲突碰撞 3.安全问题 4.传输延时大
地址:MAC地址—网卡芯片的出厂身份ID-48位2进制构成十六进制显示,全球唯一
冲突:结点同时发送数据时,电波相互抵消;CSMA/CD
CSMA/CD:载波侦听多路访问/冲突检测;1.不能完全解决冲突,2.传输效率低
排队:A发出路由前,先进性侦听(在发送之前,看是否有人发送,但凡有人发送,通过接口就能够收到信息,当电流小适的时候,说明没有人发送,此时,A进行发送,同时也是在告诉其他人A正在发送数据包,其他人可以进行接收,等A发送完成,下一个人才能继续发送)
注:
1.广播域越小越好
2.路由器用来隔离广播域,每一个路由器的接口都是一个广播域的边界
交换机是干什么的?
1.无线的传输距离—先将电波识别成二进制,再将二进制转换为电波发出
2.没有冲突–所有结点可以同时手法数据
3.单播–流量一对一收发
交换机工作在OSI七层模型的二层,可以将物理层的电流变成二进制,也可以把二层的二进制变成一层的电流
洪泛:除流量进入接口外的其他所有接口复制转发
ARP:地址解析协议 基于广播,通过对端的IP地址获取对端的MAC地址
广播:将一个数据在一个广播域内进行洪泛 广播域和洪泛范围是对等的,路由器是一个广播域的边界
IPV4地址
IPV4地址:由32位二进制组成;点分十进制进行标识
共有ABCDE五类,ABC为单播地址,D为组播地址,E为保留地址
注:只有IP地址既可以作为源i地址,也可以作为目标IP地址,其他地址只能作为目标IP地址
快速区分类别,关注第一个8位:
1-126—A类---------2^24
128-191—B类 ----2^16(65536)
192-223—C类 ----2^8
224-239—D类
240-255—E类
特殊IP地址:
1.127.0.0.1----环回 检测本地计算机中的网络协议组件是否可以正常工作----用于测试该设备的TCP/IP协议栈道是否能正常工作2.255.255.255.255—受限广播地址
3.0.0.0.0-----无效地址-没有 缺省地址—所有
4.在每个网段中,主机位全0
192.168.1.X 255.255.255.0 ------192.168.1.0-255
主机位全为0 192.168.1.0000 0000 255.255.255.0192.168.1.0 255.255.255.0
该地址不是一个单播地址,这个地址是网络号,代表一个网段;
网络号简写:192.168.1.0 255.255.255.0192.168.1.0/24
5.在每个网段中 主机位全1
192.168.1.1111 1111 255.255.255.255 直接广播地址
6.自动私有地址 本地链路地址 169.254.0.0/16
网络位固定,主机位随机;—终端设备多次自动获取IP地址失败后,本地自己生成的IP地址
子网划分、VLSM–可变长子网掩码
通过延长掩码的长度,将主机位借位到网络位中,使得一个网段被切分为多个网段
192.168.1.0/24 192.168.1.1–254
IP地址:1100 0000.1010 1000.0000 0001.0000 0000 192.168.1.0 192.168.1.1-126
掩码: 1111 1111.1111 1111.1111 1111.1000 0000 255.255.255.128
IP地址:1100 0000.1010 1000.0000 0001.1000 0000 192.168.1.128 192.168.1.129-254
掩码: 1111 1111.1111 1111.1111 1111.1000 0000 255.255.255.128
子网汇总
超网–取相同位,去不同位
CIDR–无类域间路由
半双工:在一个单点的时间内,数据的传递位单向
全双工:同一时间内,数据的收发可以同时进行
DHCP
DHCP服务:动态主机配置协议,统一分发管理IP地址
DHCP工作原理:
1.PC向DHCP服务器发送discover(发现报文,作用:发现DHCP服务器,并且向DHCP服务器请求自己要获取的地址 四层的源端口:68,目标端口:67;三层的源IP地址:0.0.0.0,目标IP地址:255.255.255.255;源MAC地址:PC自己的MAC地址,目标MAC地址:ffffffffffff(广播MAC地址));
2.,DHCP向PC发送offer(应答)报文,向PC分配地址(源端口:67,目标端口:68;源IP地址:DHCP服务器的IP地址,目标IP地址:255.255.255.255;源MAC地址:DHCP-server MAC地址,目标MAC地址:全F),每一个offer里面,包含一个client-MAC地址,用来区分相对应的PC;
3.PC发送request(请求)报文(作用:对offer报文的确认 2.回复给改PC分配地址的server收回地址;源端口:68,目标端口:67;源IP地址:0.0.0.0,目标IP地址:255.255.255.255<告诉所有的server>;源MAC地址:PC-MAC,目标MAC地址:ffffffffffff(广播MAC地址));
4.最后DHCPserver回复一个ACK确认报文
1.若没有源地址,则封装不完整
2.offer给的地址仅是准备分配的地址,无法确定PC是否使用该地址,故request报文中的源IP地址依旧是0.0.0.0
3.收到一个DHCP-request,它所请求的地址和server分配的地址不一致,则PC没有使用该server分配的地址,DHCPserver会收回分配的地址
成为DHCP服务器的条件:
1.该设备必须存在接口或网卡连接到所要下放地址的广播域内
2.该接口或网卡必须已经拥有合法的IP地址
DHCP配置:
开启DHCP服务:
DHCP enable
创建DHCP池塘:一台设备可以创建多个DHCP池塘,一个DHCP池塘只能为一个广播域服务
关联管理范围:
网关地址:
DNS服务器:
注:华为模拟器需要进入接口激活DHCP服务
静态路由
优先级:60
路由器的作用:
1.用于不同网络间的互联
2.为它所承载的数据做路径的选择—选路
当一个数据包进入路由器后,路由器将基于数据包中的目标IP地址,查询本地的路由表;
若表中存在记录,将无条件按照记录转发;若没有记录则丢弃该流量
路由器的路由表默认以一个网段为目标,默认仅存在直连网段的路由
所有非直连网段为未知网段,获取未知网段的方法:
1.静态路由:—管理员手写路由
2.动态路由:路由器上运行同一种算法,之后路由器之间相互协商生成未知网段的路由
静态配置:
下一跳:流量从本地发出后,下一个进入的路由器接口IP地址(MA网络使用)
目标网段+子网掩码+下一跳地址
出接口:流量从本地路由器发出的接口编号(点对点网络使用)
静态路由的扩展配置:
1.负载均衡:当到达同一目标地址时,存在多条开销相同的路径时,可以让设备将流量拆分后沿多条路径同时传输
2.环回接口:
3.静态路由汇总:当访问多个连续子网,若基于相同的路径进行,可以将这些子网进行汇总计算,之后仅编辑到达汇总网段的路由条目,来减少路由器路由条目的数量
4.路由黑洞:汇总的地址中,包含了网络中不存在的网段时,将导致流量有去无回,应该尽量紧缺汇总,避免路由黑洞(主动出现)
5.缺省路由:一条不限定目标路由,在路由器查询完本地所有的直连、静态、动态路由后,若依然没有可达路径才使用
6.空接口路由:
汇总产生的路由黑洞与缺省路由相遇的话,必然会产生环路
解决方法:在黑洞路由器上配置一条到达汇总地址的空接口路由,来避免环路产生;
由于路由器使用最长匹配规则,故在明细路由存在时,空接口路由无效;
7.浮动静态路由:
修改路由条目的优先级:越小越优
静态路由的默认优先级为;优先级范围:0-255;
通过在编写静态路由时,修改默认优先级,可以实现静态路由备份效果
静态的缺点:
1.配置量大
2.不能基于拓扑的变化进行实时的网络收敛
总结:静态只能在简单的小型网络结构中进行工作和配置
动态的优点:可以实时的基于拓扑的变化而进行路由表的收敛
缺点:1.额外占用硬件资源 2.安全风险 3.选路错误的风险
动态路由协议的分类:
1.基于AS进行分类:IGP—内部网关路由协议;EGP—外部网关路由协议
AS:自治系统;编号标准:0-65535,其中1-64511为公有,64512-65535为私有
AS之内运行IGP路由协议:RIP、OSPF、EIGRP、ISIS
AS之间运行EGP路由协议:BGP
IGP协议分类:
1.基于更新时是否携带子网掩码:有类别—不带掩码;无类别–带掩码
2.基于工作特点进行分类:DV距离矢量型—RIP、EIGRP(邻居间共享路由表);LS链路状态型—OSPF、ISIS(邻居间共享拓扑,本地计算路由)
RIP
RIP:路由信息协议—距离矢量路由协议;基于UDP520端口工作;使用条数作为度量;更新方式:异步周期更新(时间:30s;意义:1、保活 ,没有hello包 2、没有确认机制,没有ACK<确认包>)和触发更新(网络结构发生突变);
版本:ripv1、ripv2、ripNG(IPV6协议使用)
端口号:VI、V2版本的接收都是520;其中V1不带掩码,V2带掩码;
优先级:100
RIP的破环机制:
1.水平分割:从此口进,不从此口出—在直线拓扑中避免环路;主要作用:避免重复更新
2.触发更新:毒性逆转水平分割(核心)
3.最大跳数:15跳—16跳为不可达
4.抑制计时器:当路由条目的跳数无征兆变大,那么路由器就不会进行加载该路由条目;抑制时间为120s,超过120s不能自动恢复正常,则路由表直接删除该路由条目
V1和V2的区别:
1.V1为有类别路由协议—不携带子网掩码;按住类计算
V2为无类别路由协议—携带子网掩;
2.V1为广播更新:255.255.255.255
V2为组播更新:224.0.0.9
3.V2支持手工认证
V1的配置:
启动进程号为1的rip进程,默认为1;仅具有本地意义
选择版本1:
宣告:RIP只能进行主类宣告;基于宣告的主类网段,找到属于该网段的接口
1.激活接口—可以收发RIP信息;2.该接口的信息可以共享给邻居
因为V1为有类别协议,更新时不携带子网掩码,按主类进行掩码匹配;故在配置IP地址时,建议配置主类地址,不适用子网划分后的地址(子网划分后的地址容易产生,容易导致巨大路由黑洞)
V2的配置:
启动RIP进程:
选择版本2:
关闭自动汇总:
宣告:按主类进行宣告,但传出去的时接口的真实信息;1.激活、2.接口信息
注:1.RIPV2协议更新时虽然携带主类掩码,但若没有关闭自动汇总功能,RIP讲携带主类掩码;关闭后,将更新接口的真实掩码
2.因为路由器上可能存在多个物理接口,多个IP地址,在访问目标时,默认使用流量发出接口上的IP地址作为源IP地址;
ping -a 1.1.1.1 3.3.3.3 指定源IP地址来访问目标IP地址
RIP的扩展配置
1.V2手工认证:在邻居间跟新收发的接口上,配置相同的秘钥,来保障更新的安全性
进入接口
进行MD5加密,密码为cisci123
2.V2手工汇总:在更新源设备上,所有更新发出的接口上进行汇总配置
进入接口
进行汇总,精确掩码匹配
3.加快收敛:周期更新时间:30s;失效时间:180s;抑制时间:120s
适当加快计时器,可以加快协议的收敛速度;建议维持原有的倍数关系;
且不易修改过小,同时整个网络中所有运行RIP的路由器的计时器应该保持一致;
进入RIP接口
更新时间
失效时间
抑制时间
4.缺省路由:在边界路由器上声明本地的身份;自动向内部所有路由器发送信息,使得内部所有运行RIP协议的路由器产生缺省路由,下一跳指向边界方向;
配置:
边界路由器:
进入RIP
起源,表明自己是缺省路由的源头,表明自己边界的身份;其内部路由会自动拥有缺省路由,跳数正常
VLAN虚拟局域网
交换机和路由器协同工作后,将一个广播域逻辑的切分为多个;
配置思路:
1.在交换机上创建VLAN
2.将交换机上的接口划分到对应的VLAN中
3.Trunk干道(打标签)
4.VLAN间路由:1.路由器子接口(单臂路由);2.多层交换机
配置命令:
1.交换机上创建VLAN:
VLAN编号:0-4095,其中1-4094可用;默认存在VLAN1,且默认交换机上所有的物理接口属于VLAN1;
创建单个VALN,并进入接口
描述标记该VLAN的特征
批量创建VLAN:
创建多个编号不连续的VLAN
创建VLAN11到20以及22
批量删除VLAN
2.交换机的接口划分到对应的VLAN中:
进入接口
线修改接口模式为接入模式
将接口划分到某个VALN中
批量将交换机接口划入VLAN
3.建立Trunk干道:
中继干道—不属于任何一个VLAN,承载所有的流量传递;标记(打标签)和区分(识别和去除标签)不同VLAN流量的能力
注:华为设备默认Trunk干道仅允许VLAN1通过
进入接口
修改接口模式为Trunk
允许所有VLAN通过
仅允许部分VLAN通过Trunk干道
所有Cisco的Trunk干道上存在ISL私有标记技术和802.1q公有标记技术;Cisco以外的厂商均使用802.1q这种公共标记技术;802.1q==dot1q
单臂路由:
4.路由器子接口
在一个物理接口上,逻辑配置多个虚拟接口,来识别和标记不同VLAN的流量,为不同的VLAN网段担任网关,进行路由工作
配置:
创建第一个子接口–0/0/0.1
定义该接口识别和标记的vid
开启ARP广播相应(华为默认不支持子接口进行ARP应答,因此必须开启该功能)
配置该网段的网关IP地址
ACL–访问控制列表
匹配规则:自上而下,逐一匹配,上条匹配按上条执行,不在查看下条
Cisco在末尾隐含一条拒绝所有;在华为末尾隐含允许所有;
作用:
1.访问限制—在路由器流量进或出的接口上匹配流量,之后对其继续宁控制
2.定义感兴趣的流量
ACL分类:
1.标准ACL:仅匹配流量中的源IP地址
2.扩展ACL:匹配流量中的源/目IP地址,端口号或协议号
ACL写法:
1.编号:标准ACL:2000-2999;扩展ACL:3000-3999;一个编号是一张表
2.命名:使用命名的方式创建一个标准ACL列表
命令:
1.标准ACL:因为仅匹配流量中的源IP地址,故调用时为避免误删,尽量靠近目标;
创建编号为2000的ACL
拒绝源IP地址为192.168.1.2的路由,0.0.0.0(简写为0)是通配符,进行精确匹配
注:ACL使用的是通配符;OSPF使用的是反掩码;区别在于:通配符可以0、1穿插;反掩码只能是前面为连续的0,后面是连续的1
默认以5为步调,增加序号,便于插入规则
删除:序号也可以方便删除条目
注:ACL在定制完成后,必须到接口上进行调用才能生效工作
扩展ACL:
因为扩展ACL可以清楚的标记目标,故调用时建议尽量的靠近源
配置命令:
创建扩展ACL,编号为3000
接口调用:
Telnet:远程登陆;基于TCP下的23好端口进行;http是基于TCP下的80端口;RIP基于UDP下的520端口
条件:
1.登录与登录设备之间可以正常通讯
2.被登录设备开启远程登录服务
配置登录用的账号和密码:
账号、密码
该账号功能–Telnet远程登陆
账号权限:15最大,1最小
开启被登录设备的远程功能:
虚拟console口
虚拟登录接口调用认证
拒绝ICMP协议:拒绝ping包
接口调用:
拒绝Telnet访问:
NAT:网络地址转换
私网到公网—修改源IP地址;公网到私网—修改目标IP地址
IPV4地址:ABCDE五种分类
其中ABC三种为单播地址–既可以作为源IP地址,也可以作为目标IP地址;
NAT分类:
Cisco:
1.一对一(静态NAT):固定将一个IP地址转化为另一个IP地址
接口宣告:
2.一对多(动态NAT、PAT–端口地址转换):
内部私有IP地址通过NAT成为同一个公有IP地址时,需要不同的源端口号,来形成唯一的临时映射关系;临时映射—需要内部流量先去外部,有被转换记录,之后返回,映射刷新;
因为需要修改流量的端口,故一对多又被称为PAT–端口地址转换;
一个公有IP地址,仅有65535个端口,故一个时间结点最大一次转发65535个数据包,所以不能在大型网络中使用
配置命令:
overload:携带该单词为动态NAT,不携带为静态;但是因为一对多只能为动态,故即使不配置该单词,设备也会自动添加该单词
ACL抓取流量:
NAT转换:
3.多对多:动、静态均可主要针对大型的局域网,同一时间内大量的数据包需要进入互联网;一个公有IP地址只能进行65535次转发,故同时提供多个公有IP地址
配置命令:
携带overload为动态,就是循环将私有IP地址转换为不同的共有IP地址的不同端口,相当于同时进行多个一对多;
不携带overload为静态,最先出来的一些私有IP地址和各个公有IP地址形成一对一映射
ACL抓取流量:抓取内部本地地址
定义nat池塘:标明可以上网的公有IP;
动态NAT配置
端口映射:
华为:
端口映射:
扫一扫
466
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
