Linux网络协议和管理·配置

Linux网络协议和管理配置

网桥和交换机

1网桥Bridge

网桥（Bridge）也叫桥接器，是连接两个局域网的一种存储/转发设备，根据MAC地址表对数据帧进行转发，可隔离碰撞域
网桥将网络的多个网段在数据链路层连接起来，并对网络数据帧进行管理
优点：
过滤通信量
扩大了物理范围
提高了可靠性
可互连不同物理层、不同 MAC 子层和不同速率（如10 Mb/s 和 100 Mb/s 以太网）的局域网
缺点：
存储转发增加了时延
在MAC 子层并没有流量控制功能
具有不同 MAC 子层的网段桥接在一起时时延更大
网桥只适合于用户数不太多(不超过几百个)和通信量不太大的局域网，否则有时还会因传播过多的广播信息而产生网络拥塞。这就是所谓的广播风暴

2交换机switch：实现相同局域网主机通信

交换机是工作在OSI参考模型数据链路层的设备，外表和集线器相似
它通过判断数据帧的目的MAC地址，从而将数据帧从合适端口发送出去
交换机是通过MAC地址的学习和维护更新机制来实现数据帧的转发
工作原理：
（1）交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射，并将其写入MAC地址表中
（2）交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较，以决定由哪个端口进行转发
（3）如数据帧中的目的MAC地址不在MAC地址表中，则向所有端口转发。这一过程称为泛洪（flood）
（4）广播帧和组播帧向所有的端口转发

集线器和交换机的比较

（1）交换机属于数据链路层设备，而集线器属于物理层设备
（2）集线器在转发帧时，不对传输介质进行检测，交换机在转发帧之前必须执行 CSMA/CD 算法。若在发送过程中出现碰撞，就必须停止发送和进行退避。所以交换机能隔离冲突，而集线器却只能增加冲突
（3） 交换机的每个端口可提供专用的带宽，而集线器的所有端口只能共享带宽
（4）集线器只能实现半双工传送，而交换机可支持全双工传送
（5）集线器和交换机都无法隔离广播域

路由器 router：实现不同局域网主机通信

为了实现路由,路由器需要做下列事情:
分隔广播域和冲突域
选择路由表中到达目标最好的路径
维护和检查路由信息
连接广域网
路由:把一个数据包从一个设备发送到不同网络里的另一个设备上去。这些工作依靠路由器来完成。
路由器只关心网络的状态和决定网络中的最佳路径。路由的实现依靠路由器中的路由表来完成

虚拟局域网VLAN

vlan原理
虚拟局域网 VLAN 是由一些局域网网段构成的与物理位置无关的逻辑组
这些网段具有某些共同的需求。每一个 VLAN 的帧都有一个明确的标识符，指明发送这个帧的工作站是属于哪一个 VLAN。虚拟局域网其实只是局域网给用户提供的一种服务，而并不是一种新型局域网
优点：
（1）更有效地共享网络资源。如果用交换机构成较大的局域网，大量的广播报文就会使网络性能下降。VLAN能将广播报文限制在本VLAN范围内，从而提升了网络的效能
（2）简化网络管理。当结点物理位置发生变化时，如跨越多个局域网，通过逻辑上配置VLAN即可形成网络设备的逻辑组，无需重新布线和改变IP地址等。这些逻辑组可以跨越一个或多个二层交换机
（3）提高网络的数据安全性。一个VLAN中的结点接收不到另一个VLAN中其他结点的帧

虚拟局域网的实现技术

（1）基于端口的VLAN
（2）基于MAC地址的VLAN
（3）基于协议的VLAN
（4）基于网络地址的VLAN

VLAN 标签各字段含义

TPID：Tag Protocol Identifier（标签协议标识符），2Byte，表示帧类型，取值为0x8100时表示IEEE 802.1Q的VLAN数据帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃，各设备厂商可以自定义该字段的值。当邻居设备将TPID值配置为非0x8100时， 为了能够识别这样的报文，实现互通，必须在本设备上修改TPID值，确保和邻居设备的TPID值配置一致
PRI：Priority，3bit，表示数据帧的802.1p（是IEEE 802.1Q的扩展协议）优先级。取值范围为0～7，值越大优先级越高。当网络阻塞时，交换机优先发送优先级高的数据帧
CFI：Canonical Format Indicator（标准格式指示位），1bit,表示MAC地址在不同的传输介质中是否以标准格式进行封装，用于兼容以太网和令牌环网。CFI取值为0表示MAC地址以标准格式进行封装，为1表示以非标准格式封装。在以太网中，CFI的值为0
VID：VLAN ID，12bit，表示该数据帧所属VLAN的编号。VLAN ID取值范围是0～4095。由于0和4095为协议保留取值，所以VLAN ID的有效取值范围是1～4094

OSI七层参考模型

第7层应用层—直接对应用程序提供服务，应用程序可以变化，但要包括电子消息传输

第6层表示层—格式化数据，以便为应用程序提供通用接口。这可以包括加密服务

第5层会话层—在两个节点之间建立端连接。此服务包括建立连接是以全双工还是以半双工的方式进行设置，尽管可以在层4中处理双工方式

第4层传输层—常规数据递送－面向连接或无连接。包括全双工或半双工、流控制和错误恢复服务

第3层网络层—本层通过寻址来建立两个节点之间的连接，它包括通过互连网络来路由和中继数据

第2层数据链路层—在此层将数据分帧，并处理流控制。本层指定拓扑结构并提供硬件寻址

第1层物理层—原始比特流的传输电子信号传输和硬件接口数据发送时，从第七层传到第一层，接受方则相反。

应用层……………….程序接口规范

表示层 ……………….对数据进行转换，加密，压缩

会话层 ……………….网络连接建立终止

传输层 ……………….保证数据传输的可靠性

网络层…………………路由器，防火墙、多层交换机

数据链路层 ……….网卡，网桥，交换机

物理层…………………中继器，集线器、网线、HUB

各层数据单元

传输层——数据段（Segment）

网络层——分组（数据包）（Packet）

数据链路层——数据帧（Frame）

物理层——比特（Bit）

TCP/IP模型

TCP三次握手

第一次握手：建立连接时，客户端发送syn包（syn=x）到服务器，并进入SYN_SENT状态，等待服务器确认；SYN：同步序列编号（Synchronize Sequence Numbers）。

第二次握手：服务器收到syn包，必须确认客户的SYN（ack=x+1），同时自己也发送一个SYN包（syn=y），即SYN+ACK包，此时服务器进入SYN_RECV状态；

第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=y+1），此包发送完毕，客户端和服务器进入ESTABLISHED（TCP连接成功）状态，完成三次握手。

TCP四次挥手

1 发送断开连接的请求
2 确认，数据还没传完，继续发送
3 数据发送完毕，同意断开
4 确认断开连接

IP地址分类

IP地址包含网络号和主机号两部分，网络号代表一个子网络，主机号则表示该子网络下某一台具体的主机标号，IP地址根据功能和用途的不同可以划分为五类。
A 类地址：1 . 0 . 0 . 0 ~ 126 . 255 . 255 . 255，前 8 位为网络号，后 24 位为主机号
B 类地址：128 . 0 . 0 .0 ~ 191 . 255 . 255 . 255，前16位为主机号，后16位为主机号
C 类地址：192 . 0 . 0 . 0 ~ 223 . 255 . 255 . 255，前24位为网络号，后8位为主机号
D 类地址：224 . 0 . 0 .0 ~ 239 . 255 . 255 . 255
E 类地址：240 . 0 . 0 . 0 ~ 254 . 255 . 255 . 255
A、B、C三类地址是根据网络规模大小来分配给用户的，例如A类地址有24位的主机号，同一个网络下，一个 A 类地址可以容纳 2^24 - 2 = 16777213 台主机，但是A类地址一共只能分配 126 个网络(这里只是做一个理论上的运算，并不代表实际分配情况)，所以这类地址一般分配给那些为数不多的大网络。D类地址用来多播，E类地址做保留地址
另外还有一些特殊地址：
①. 例如主机号全为 1 是该网络的广播地址(例如在一个C类地址的网络中，192. 192 . 192 . 255 , 网络号是前面三个字节， 主机号是后面的一个字节，8位全为1，那么这个地址则是 网络号位 192.192.192.0这个网络的广播地址)。其中 255 . 255 . 255 . 255也是主机所在网络的广播地址；
②. 主机号全为 0 则是该网络的网络地址；
③. 127 . 0 . 0 . 0 ~ 127 . 255 . 255 . 255是主机会送地址，通常用来做网络测试，调试主机与路由是否连接畅通;
④. 其中 10 . 0 . 0 . 0 ~ 10 . 255 . 255 . 255、172 . 16 . 0 . 0 ~ 172 . 31 . 255 . 255、192 . 168 . 0 . 0 ~ 192 . 168 . 255 . 255保留给内部网络使用。

TCP数据报格式

IP数据报格式

IPV4编制

IP地址计算公式

分类地址划分

划分子网

内核参数优化

网络配置

将Linux主机接入到网络，需要配置网络相关设置
一般包括如下内容：
主机名
IP/netmask
路由：默认网关
DNS服务器
主DNS服务器
次DNS服务器
第三个DNS服务器

CentOS 6 之前版本网卡名称

接口命名方式：CentOS 6
以太网：eth[0,1,2,…]
ppp：ppp[0,1,2,…]
网络接口识别并命名相关的udev配置文件：
/etc/udev/rules.d/70-persistent-net.rules
查看网卡：
dmesg |grep –i eth
ethtool -i eth0
卸载网卡驱动：
modprobe -r e1000
rmmod e1000
装载网卡驱动：
modprobe e1000

网络接口识别并命名相关的udev配置文件：

/etc/udev/rules.d/70-persistent-net.rules

[root@centos6|~]#cat /etc/udev/rules.d/70-persistent-net.rules
# This file was automatically generated by the /lib/udev/write_net_rules
# program, run by the persistent-net-generator.rules rules file.
#
# You can modify it, as long as you keep each rule on a single
# line, and change only the value of the NAME= key.

# PCI device 0x8086:0x100f (e1000)
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{
   address}=="00:0c:29:b3:73:a0", ATTR{
   type}=="1", KERNEL=="eth*", NAME="XXXXX"

# PCI device 0x8086:0x100f (e1000) (custom name provided by external tool)
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{
   address}=="00:0c:29:b3:73:a0", ATTR