WAN总结:
LAN:ethernet 2,802.3+802.2;10M,100M,1G,10G
WAN:F-R,PPP,HDLC,ATM,ISDN;serial,POS/SDH,ATM
WAN不等于Internet;广域网是将距离远的连在一起,能通信的网络,不一定能上网,访问网页;Internet是将WAN和LAN连在一起,可以访问网页和服务器,是网络的集合
信元头:ATM
frame头:ETH,PPP,HDLC,F-R
ISDN
fram-relay
点到点
ATM(信元网络)
WAN连接中的术语:
1,CPE(customer premises equipment)用户前端设备--用户拥有的设备,位于用户一侧
2,demarcation point分界点--分界点是服务提供商最后的负责点,也是CPE的开始。服务提供商负责此点到SP网络的连接,用户负责此点到CPE的布线,通常是连接到CSU/DSU设备
3,local loop本地回环--从分界到最近的交换局
4,certral office (CO)中心局
5,toll network 服务提供商的长途网络
6,DTE--数据终端设备 路由器接口默认情况就是
7,DCE 数据通信设备(如:CSU/DSU),同DTE成对出现,为DTE提供时钟,一边DTE工作
show controllers s1/0 查看接口时钟
广域网的远程连接,按L1分类:
1,电路交换专线(永久的)(E1/T1,HDLC/PPP/SLIP,HDLC/PPP是真实链路连接,E1/T1是利用时分多路复用实现)
2,按需电路交换(需要时才有)
3,包/信元交换专线(分组交换,需先穿件连接,VC(分永久(PVC)和临时(SVC)两种))
4,远程访问(remote access),XDSL(可以利用电话线完成接入,可以保证数据和音频同时传输);cable(利用同轴电缆,确保数据和视频信号同时发送);无线接入(3G,4G,LTE,GSM);power(电力猫接入系统)
广域网连接带宽:
1DS0(初始DS) 64kb/s(采样:8K次/s,每次采样bit为8)
24DS0s DS1/T1=1.544Mb/s
672DS0s DS3/T3 =43.736Mb/s
多个DS0可以复用成T1,多个T1可以复用成T2,多个T2可以复用成T3
SONET指的就是T标准在光纤传输
E1使用31个64k的channel,再加上一个64k的指挥通道,E1的G703是31+1=2.048M,E1的G704标准是1.984M
SDH指的就是E标准
FR:
为了取代X.25,简化了2层功能,是面向数链技术,能提供简单差错校验,典型速率:56k-2M/s,更高的也有,只是很少;可以说是一种二层VPN
DLCI(data-link connection identifier)的范围(16-1007)
0-15he 1008-1023被保留
1019和1020保留用于广播
1023用于cisco LMI
0保留用于LMI类型的ANSI和0.933A
FR的转发依赖与FR route(基于DLCI号转发)
show frame-relay route(比PVC更简单显示,在FR-SW上)
用户和服务商之间连接称为用户-网络接口(UNI)
网络和网络之间连接称为网络-网络接口(NNI)
网络之间的FR配置思路:
在两个FR-SW之间建立一个隧道;将用户的接口的数据发送到隧道,之后隧道再发送到对端物理接口(因为在两FR-SW之间可能存在其他设备无法识别,所以需要建立隧道)
1,创建tunnel
2,写route时,用tunnel接口映射(在FR-SW上同用户相连的接口中写,想让那个用户出去就写那个,两边FR-SW边界上的route要能对应:如:FR1:frame-relay route 145 int tunnel 1 100
FR2: frame-relay route 541 int tunnel 2 200)
PVC:遵从LAP-D标准,没有控制字段,链路一直存在,除非人为删除配置
SVC:遵从LAP-F标准,有控制字段,需要考虑ISP是否支持
承诺信息速率(CIR):承诺每秒发送的信息量,超过承诺的也可以发,但超出的部分会计费;承诺信息速率不是保证的速率,当小于承诺时,也正常
最小承诺信息速率(min CIR):运营商保证的最小带宽;通用标准:min CIR=CIR/2,但不是必须的
当用户接口一旦工作,FR-SW会自动向用户接口发送LMI(local management interface)数据包
LMI是用于CPE(用户前端设备)和FR之间的一种信息标准,负责管理设备之间的连接,维护连接状态,LMI信令协议可以通告PVC的增加和删除
LMI分为3种:
Cisco
ANSI T1.617 ANNEX D
ITU-T Q.933 ANNEX A
在FR-SW和先练的帧中继数据终端设备中,LMI必须是同一种,帧中继提供商(FR-SW)一般会告诉用户他们使用的是那种LMI
ANSI和Q933 A使用的DLCI值为0,CISCO 使用的DLCI为1023,在工作开始,每个都发一个,看对端支持那个就用那个,若都支持,就看速率
FR有两种封装类型: MFR(多链路帧中继捆绑,不是封装类型),IETF,CISCO(直接回车时,cisco私有,但大多厂商都可以做)
用户和FR之间的接口封装类型和LMI都必须相同,但两个用户之间不必要求相同;本链路有效
IP-FR:帧中继ARP--ip和dlci之间的关联(ARP, inverse ARP)
iARP:通过学到的PVC后逆向解析对端DTE接口ip,回应时是FR-SW回应,不是对端回应,因此FR-SW回应时,不知道ip,只能随机回应,所以通常关闭iARP(之后手写map)
FR的网络是NBMA,但不是说FR-SW不支持广播,FR-SW认的是DLCI,根本不管是否是广播;若需要广播时,可以在map后加broadcast,加了之后以单播处理,多个就复制多份发
对端在询问我的ip地址时,不回应(no arp fram-relay)
fram-relay int dlci XX:点到点子接口独享命令,所有数据帧都从XX向外发,包含广播,组播
子接口不支持LMI类型指定,只有在主接口有用,主接口指定了会自动运行到子接口
建议主接口的封装方式和子接口一致
在物理接口下,两router之间没有MAP不能通,但在子接口下可能会通,因为在子接口下是以带接口DLCI号将所有消息转发,转发后到FR-SW,FR-SW查自己的PVC,然后转发(点到点子接口只看DLCI号就转发,FR-SW又有PVC,所以能通)
FR帧结构:
标志,地址,数据,校验,标志
地址:第一个8位组:高位地址标志,CR bite(表示命令起始);EN(扩展地址bite,表示十几个字节,2/3/4三个标准)
第二个8位组:低位标识;FECN(前向拥塞检测),BECN(后向拥塞检测),DE(可丢弃bite)
当流量过大时,会记录那个流量过大,会将其DLCI号记录到本地cache,当有人回包时,到帧中继交换机,交换机会强制将BECN位置1,之后会给源,源收到就知道自己要降速,就根据令牌桶周期降速(当在一个周期连续内收到3个BENC时,就降速,每次在前一次的速率上降25%or1/3,默认降到初始速率的一半就不降了)
FECN:当发送的是像UDP这种没有回送数据时,就开启FECN,当源发送的数据,FR-SW收到,发现不会有回包,就不写入cache,就直接将FECN置1,接收者收到后,查看FECN为1,就产生test数据帧,之后再回给源,源收到test,就降速(目标必须能产生test数据帧,cisco默认test功能关闭,需要手动在接口下开启)
FR中PVC状态:
active :自己和对端链路都正常
inactive :对端链路故障
delete:与FR-SW交互时,没有找到PVC,或者DLCI号错误
static:keeplive被关闭时(不仅影响保活机制,还影响LMI报文的发送,LMI报文默认周期:15s,keeplive默认:10s,3次没收到就认为保活失效,就将自己接口down掉),处于static不能判断PVC是否能工作,关keeplive时,两端都得关,不然依然会发keeplive
PPPOE(point to point protocol over Ethernet):
DSL(digital subscribers line):HDSL(同步DSL,需要2-4对铜质电话线,3-4公里),SDSL(上限3公里,一对铜线,同步DSL,企业使用),VDSL(非对称。上行速率小于下行速率,一般用户使用,上行不会超过16M,下行不会超过52M,距离近,小区内使用),ADSL(上行:不会超过1M,下行:不会超过8M,3-5公里,异步),RADSL(速率与ADSL基本相同。但可以根据电话线的质量动态调整速率,异步),一般称为xDSL;是以铜质电话线 为传输介质的传输技术组合
ADSL:PPPOA,PPPOE,RFC1483,VPN,VoDSL,倾向于1层技术
ADSL有三种调制技术:CAP(无载波振幅调制),DMT(离散多音频),G.lite
5种报文:
PADI(代码域:0x01,pppoe active discovery initiation)
PADO(代码域:0x07,pppoe active discovery offer)
PADR(代码域:0x19,pppoe active discovery request)
PADS(代码域:0x65,pppoe active discovery session-confirmation)
PADT(代码域:0xA7,pppoe active discovery terminate),PPP的LCP子层被拆除,NCP子层(认证子层)不再工作
server:
【1】创建bba-group pppoe +world(默认有一个global组,但不建议用)
【2】在bba中调用virtual-template
【3】在接口下调用bba组 :pppoe enable group +world;配ip
【4】在virtual-template接口下配ip:ip unnumber F1/0 借用物理口ip;peer default ip address pool XX(全局pool),地址推送;开ppp认证
【5】全局定义local pool
【6】给出username,password
client:
【1】打开vpdn:vpdn enable
【2】创建dialer-list X protocol +(协议)+deny/permit/access-list,之后在list中的就可以拨号
【3】物理接口下,pppoe enable;pppoe-client dial-pool-number X
【4】全局下创建dialer口
【5】进入dialer,封装ppp;打开地址协商(接收推送地址):ip add negotiated;认证
【6】写缺省路由 ip route 0.0.0.0 0.0.0.0 dialer X
【7】在client router上做NAT
【8】在dialer口将ip mtu 改小,小于1492(因为多了两个头(ppp,pppoe),所以payload空间就小了,则改小mtu),若国内能上,但国外网站打不开,则改:ip tcp adjust-mss 1452(将tcp头的选项改小)
【9】向运营商请求dns:ppp ipcp dns request(不加accept或加也可以)
【10】还可以设置dialer时间
PPOE报文格式:
4位版本
4为类型字段
代码域1个字节,不同阶段域内的字节也不一样
session id :2字节
length :2字节
负载
补充TCP知识:
TCP/UDP共性:
区分上层服务
建立端到端连接
提供流控
为数据传输提供可靠或不可靠服务
区别:
【1】UDP是有多少发多少,TCP是将数据分成自己适合的大小发送
【2】TCP在发送数据前,先建立TCP会话连接(3次握手),会话结束需要4次握手拆连接;UDP直接发送
【3】UDP在发送数据时,没有保证服务,不可靠;TCP有数据的确认性,能保证可靠性,但不是安全性
TCP:全双工4层协议,所以在断链时,是4次,双方都要发FIN和回ACK
标记(长为6位):
URG:紧急指针(与紧急字段联合工作)
ACK:确认序列号
PSH:接收方应该尽快将这个报文交给应用层;cisco在用,用于区分人机交互式应用和批处理应用
RST:重建连接,cisco用于IDS,ASA做半开连接防御
SYN:同步序号为1表示用来发起一个连接
FIN:会话结束发送,终止连接
窗口大小:16位
校验和:16位
紧急指针:只有URG为1时,才用
可选项
TCP半开攻击:在三次握手建立中,不确认,一直处于发送SYN,回SYN,ACK,但发送方不回ACK;对方会认为未完成,卡在一半,则只能维护,若数量太多,则会大量消耗资源,导致服务器故障
解决方法:在自己设备上设timer,超时就断开,不再维护,但此方法对客户端用户不满意,受带宽,地域影响;因此引入了代理人的概念,代理人代理server做3次握手,而客户端认为是发给server的,之后若代理人收到客户端的ACK,代理人才会和server做3次握手,数据是从客户到代理人在从代理人到server;还可以是在客户和代理3次握手完成后,代理人在将连接拷贝到server,之后数据还是从客户到server
在代理人与客户3次握手时,出现半开,则代理不会和server建立连接,所有的半开都在代理上被拦截,一般代理在防火墙上都有