网络原理汇总

最新推荐文章于 2022-07-21 02:38:24 发布

weixin_30480651

最新推荐文章于 2022-07-21 02:38:24 发布

阅读量807

点赞数

原文链接：http://www.cnblogs.com/yueminghai/p/6475990.html

版权

RIP工作原理、特征 :

采用udp 端口号520

两种报文：请求应答

rip的时间间隔：30 180 240

两个版本: v1 发v1 收v1 v2 发v2 收v2

默认的是发v1 收v1 v2

两个版本的区别:

v1是广播 v2是组播，也支持广播

v1不支持认证 v2支持认证（md5和简单认证）

v1不携带子网（特殊情况携带） v2携带子网

v1有类，不支持vlsm v2无类，支持vlsm

v1 只支持自动汇总 v2 支持手动汇总和自动汇总

RIP水平分割是怎样的？以及各协议的防环机制？

rip的防环机制:：自己发出的路由信息自己不接受。从哪个接口收到的路由信息，不会再从这个接口发出去。

路由中毒:当链路故障时，对该路由条目标记为Inf（不可达），并通知邻居路由器触发更新:发现链路故障直接广播

计时器：等待确认的时间(30-180-30)等待再次发送

最大跳数:路由项度量值达到最大值后，路由器不再转发到10.4.0.0的数据包。即，当链路断开后，该路由条目的度量值直接被修改为16跳。将不再转发通向该网络的数据包

ospf的防环机制:通过区域0来防止环路

eigrp的防环机制:通过FC来防止环路 FC=AD<FD （FD是邻居路由器到达本路由器）

bgp的防环路:ebgp通过AS号来防止环路 ibgp是通过邻居关系来防止环路

rip是什么类型的协议，协议号是多少，metrlc值的参数是如何计算的 ?

距离矢量路由协议 UDP 520 根据跳数选路

RIP跟OSPF的区别 :

rip 距离矢量路由协议

ospf 链路状态路由协议

EIGRP 协议 :

1.是唯一的一种LS/DV的混合协议 DV 距离尺量算法 LS 链路带宽算法

2.拥有目前最快的网络路由收敛性.(依靠后备路由器/FS)

3.配置简单,能够支持中型到大型网络，灵活的网络设计

4.增量/触发更新.

5.EIGRP可以支持等价/不等价的负载均衡,默认是支持等价负载均衡,

6.EIGRP默认使用组播(224.0.0.10)进行路由更新.（组播比广播占用带宽小）也可以支持单播更新（可以自动）.

7.EIGRP可以支持VLSM 支持汇总:默认有自动汇总/手工汇总

8.EIGRP可以支持多种网络层协议

9.100%无环路（指的是路由）

OSPF与eigrp谁的收敛速度快，快在哪里?

EIGRP收敛速度快，EIGRP中，路由器会从拓朴表中选出去往特定目的地的最优路由，也称为successor路由，放入路由表，一旦最优路由down掉，EIGRP会马上从拓朴表中找出feasibel successor路由，将其升级为最优路由，并放入路由表，而不用经过计算，这样提高了收敛的速度

在做路由引入到eigrp是应注意些什么?

5个K值

K1＝带宽bandwidth（源和目的之间的最小带宽）　　　　

K2＝负载loading（源和目的之间的最大负载）　　　　

K3＝延迟delay（源和目的之间的延迟总和）　　　　

K4＝可靠性reliability（源和目的之间的最低可靠性）　可靠性指就是丢包率

K5＝MTU（源和目的之间的最小MTU）　　 (MTU 最大传输单元)

EIGRP的四个模块 :

依赖协议（可靠传输协议RTP）、邻居发现、恢复模块、扩散更新算法（DUAL）

70 OSPF的7状态及作用? 5 报文及各个报文的作用

五种报文:

hello 建立邻居

DD 描述各自的链路状态交换物理参数

LSR 请求得到没有的更新的LAS

LSU 更新LSA

LSACK 确认收敛

建立邻居的七个状态:

R1 <--------------------> R2

DR(0) neighbor(0)

down （关闭状态） <------------------->

DR(R2) neighbor(R1)

init R1 （初始化状态） <------------------> R2

选择DR/BDR

two-way（建立邻居状态）<----------------->

exstart (准备交换状态） <-------------------->

LSR

exchange（交换状态） <------------------>

LSU

loading(等待计算状态） <-------------------->

LSACK

full （交换完毕状态） <-------------------->

OSPF协议号:

基于IP承载，协议号89

OSPF默认工作类型、及在组播模式与广播模式应注意哪些问题？组播地址是？

以太网默认的类型是广播，串行链路默认的类型是点到点

接口网路类型 hello时间 dead 是否选录DR/BDP

1.点到点(ptp) 10S *4 40 否

2.广播(brtudcast) 10S *4 40 是

3.非广播多路访问(nbma) 30S *4 120 是

4.点到多点(PTMP) 30S *4 120 否

5.虚链路 (老教材中会有)

失效时间是hello时间的四倍

OSPF如何形成路由表 ?

发送HELLO包，得到邻居表，交换LSA得到拓扑表，根据SPF算法得到路由表

OSPF采用哪种协议？

基于IP承载，协议号89

OSPF DR和BDR的选举:

DR/BDR的选举 (先通过优先级来选优先级越大越优.优先级为0的话不进行选举--优先级一样的话在通过选择route-id来选举 route-id大的为DR )先选BDR，再选DR

以太网数据包经过路由器，哪些部分可能发生变化?

帧头会改变

OSPF收敛时间是多少？

根据接口类型不一样，收敛时间不一样

OSPF引入路由的类型 :

O > OIA> OE1>OE2

OSPF组播地址？

OSPF组播地址：224.0.0.5--hello包.DR---DR---OTHER

224.0.0.6--DR--OTHER--DR

RIPV2-----224.0.0.9

EIGRP ------224.0.0.10

OSPF区域类型有哪些？

普通区域显示 1 2 3 4 5类LSA

特殊区域：作用:不显示没有必要的LSA

stub 显示 1 2 3类LSA

完全 stub 显示 1 2类LSA

NASS 显示 1 2 3 7 类LSA

完全NASS 显示 1 2 7类LSA

一个网络里跑的是0SPF协议，现在又两条链路访问外网，怎样做才能走规定的链路？

策略 F5 反向路由注入（vpn）

OSPFv2的LSA有几类？各个LSA 由谁发出的，发到哪里，发送的内容是什么？

LSA类型(11类) 常用的六类

一类:所有路由器产生描述物理参数链路状态

二类:DR产生描述直连的拓扑

三类:ABR产生(产生路由) 区域间交换路由信息

四类:ABR产生通告ASBR在哪

五类:ASBR产生通告外部路由 (STUB NSSA除外不能传递)

七类:ASBR产生只能在STUB NSSA区域传递

OSPF 的工作过程 :

发送HELLO包，得到邻居表，交换LSA得到拓扑表，根据SPF算法得到路由表

84 IS-IS和ospf之间的优缺点

IS-IS与ospf的区别:

1) IS-IS 只定义了两种网络拓扑类型：broadcast和general topology。在Cisco路由器中链路

分为point-to-point 和broadcast。

OPSF定义了5种网络类型：point-to-point、point-to-multipoint、broadcast和NBMA，以及virtual links

2) 两种协议都维护一个链路状态数据库（Link State Database）

IS-IS使用LSP（Link State PDU），LSP自己就是一个数据报；

OSPF使用LSA（Link State Advertisements），LSA必须被封装（encapsulate）在OSPF报头和IP报头内。

3) 两种协议都使用SPF算法来计算路由

IS-IS在域内（intra-area）运行Level 1 SPF计算路由，在域间（inter-area）运行Level 2

SPF计算路由；

OSPF在域内（intra-area）运行SPF计算路由，在域间（inter-area）运行距离向量算法（distance vector algorithm）来计算路由。

4) 两种协议都使用域（area）来建立两层分级的网络拓扑结构

IS-IS的骨干不是特定的一个域，而是由连续的Level 2 路由器组成；

OSPF的骨干必须有而且必须为area 0;

IS-IS的域边界是在路由器之间的链路（link）上；

OSPF的域边界是在路由器上；

IS-IS的两层分级的网络拓扑结构不是必须的，网络可以完全由Level 1 路由器或完全由Level 2 路由器构成。

OSPF的必须有area 0,可以只有一个area,但必须是area 0。

5) IS-IS的特性之一是：IS-IS路由器最多能有3个域地址（area addresses），这在域间传输中很有用。

6) 两种协议都是无类路由协议，都在area间汇总（summary）

7) 两种协议处理错误（corrupted）LSP/LSA的方法不同：

IS-IS中任何一个路由器都能丢弃（purge）corrupted LSP;

OSPF中只有corrupted LSA的发送者（originator）才能丢弃（purge）它。

8) 在广播网络（broadcast network）中两种协议都要建立adjacency关系

IS-IS中，只要neighbor的Hello数据报中有你的identity，adjacency关系就建立成功。该阶段经历一个三次握手的过程：Down→Init→Up。

OSPF中，建立adjacency关系前经历的过程：

Down→Init→Two-way→Exstart→Exchange→Uploading→Full。

9) IS-IS neighbors会建立adjacency关系，即使Hello-intervals或Hello multipliers不同；

OSPF neighbors不会建立adjacency关系，如果Hello-intervals或Dead-intervals不同。

10) 在广播网络（broadcast network）中两种协议都要选择一个DIS/DR

IS-IS中DIS是动态选择的，即若有更高优先级或更大的地址的路由器加入网络，则新加入的路由器成为DIS；

OSPF中DR相对稳定，即只要DR没有down掉，DR保持其地位；

IS-IS中，广播网络中的路由器与所有的邻居建立adjacency关系；

OSPF中，广播网络中的路由器只与DR和BDR邻居建立adjacency关系；

IS-IS中，DIS不与它的neighbors同步（synchronize）。DIS生成the pseudonode for the LAN

，并且每3秒发送PSNPs（partial sequence number PDUs）或每10秒发送CSNPs（complete

sequence number PDUs）。其他的路由器也可以用PSNPs向DIS申请丢失的LSP或发送给DIS一个新的LSP。因为DIS能flood PDUs,所以DIS不需要与其neighbors同步（synchronization）；有因为不需要与其neighbors同步（synchronization），所以不需要BDIS。

OSPF中，DR/BDR用单播（unicast）传送DDP的方式分别与其他的所以路由器同步（synchronization）。

11) 两种协议都有认证（authentication）

IS-IS只支持简单认证；

OSPF支持简单认证和MD5认证。

12) IS-IS的L1/L2路由器不向L1路由器发布L2路由。L1路由器就象OSPF中的完全端域（totally stubby area）。

13)ISIS 协议的配置中没有一个类似于OSPF协议中的ip ospf network命令的配置选项，因此在NBMA中做为“HUB”的ROUTER必须被配置为point to point subinterfaces（包括地址的改变），以便每一个PVC链路都在不同的SUBNET中。

ISIS 工作原理 :

跟ospf相似

ISIS 路由渗透？

L1/2的路由以默认路由形式在L1显示，路由渗透就让通过列表放行让其在L1显示

BGP协议

主要是解决不同AS之间得通信，传递路由信息

BGP端口号？

BGP 边界网关协议，采用TCP协议承载协议号179

BGP选路原则？

13条选路原则

　　1．优选有最大Weight的路由 (范围0 到 65,535)。

　　A：weight是CISCO私有的参数，路由器配置了权重后在本地有效。大优

　　2.优选有最大LOCAL_PREF值的路由(范围 0到 4,294,967,295).

3.优选从本路由器始发的路由（包括本地network配置的重分布，或者在IGP表中已经

有一些需要被配置路由聚合的地址，在BGP中用Aggregate命令配置的路由聚合，）

　　4.优选有最短AS_PATH的路由

　　A．如果配置了Bgp bestpath as-path ignore，则这个步骤被忽略

　　B.一个AS路径集被当作一个AS，无论在这个集合中有多少AS。

　　C.AS路径长度中没有包括AS_CONFED_SEQUENCE。

　　5.根据Origin属性.优选具有最低起源类型的路由（IGP>EGP>Incomplete）

　　6.优选最小MED 值的路由(范围 0到4,294,967,295).

A．只有在通过两条路径得到第一个AS（对等体）是同一个AS时才进行MED比较；

任何子自治域的联盟系统都会被忽略。也就是说，只有在AS序列号中第一个AS号码一致时，才进行MED比较；任何联盟AS序列号(AS_CONFED_SEQUENCE)都会被忽略。

　　B．如果路由器上配置了 bgp always-compare-med ，在全部的路径进行MED比较。但是这需要全体AS 都同时启用这个功能，否则有可能发生路由环路。

　 C．如果路由器上配置了 bgp bestpath med confed ，将对所有只包括AS_CONFED_SEQUENCE的路径进行MED比较（即路径是起源于本地联盟）。

　　D．如果接收到的路径没有分配MED值，则将此路径分配为0，除非路由器上配置了bestpath missing-is-worst，将被看作MED值为4，294，967，295的路由将在注入到BGP路由选择表之前被改为4，294 ，967，294。

　　E．BGP明确的MED值9（详见本章后面的"BGP明确的MED"段落）也可以影响此步骤。

　　7.外部路由EBGP优先于联盟（confederation）外部路由优于内部路由IBGP（优选 E-BGP路由）注意，路径中包括AS_CONFEND_SEQUENCE属性对联盟只有在本地有效，因此被看作是内部路径。无法区别外部联盟和内部联盟。

　　8. 优选能通过最近的IGP邻居到达的路径（优选对BGP下一跳具有最低IGP度量值的路径）；

　　9.如果在路由器上配置了maximum-paths 【ibgp】N,而且从同一个对等体自治域/子自治域接收到多条外部/外部联盟的路径，则最多可以将N条最近接收到的路径加入到IP路由选择表中。这可以使得eBGP在多条路径上进行负载分担。目前N所代表的最大数目是6；当没有启用此功能时，缺省数值是1。在输入了show ip bgp x.x.x.x后系统输出信息中可以看到最早接收到的路径被标记为最优路径，在将这条最优路径转发到内部对等体之前，需要执行与next_hop_self作用相同的功能。

　　10．如果是external的路由,优选最老的路由(最先被学习到的路由).

　　A.此步骤可以将路由摆动的影响减到最小，因为新接收到的路径不会取代老的，即使这条新接收的路径是通过下面提及到的额外路径选择标准来进行选择的。这使得只在iBGP路径下应用额外的选择步骤更有意义。

　　B.此步骤可以被bgp bestpath compare_routerid命令语句所关闭。

　　C.如果路由器标志是一样的，此步骤可以被屏蔽，因为这说明路由器正在从自己那里接收路由。

　　D.如果当前没有最优路由器，此步骤可以被屏蔽。当提供某个路径的对等体路由器宕机，就会发生丢失当前最优路径的情况。

　　11．如果在同一时间学习到多条到同一目的地的路由,优选最小BGP-router-ID的路由，注意，如果一个路径包括路由反射器属性，起始者标识将代替路由器标识在路径选择过程中起作用。

　　12．如果路由从路由反射器上学习到 ,优选最小Cluster-ID(BGP_ID of the route reflector)长度的路由，而且它运行客户机和其他反射器族中的RR/Clients 之间做对等连接，在这种情况下，路由器必须知道BGP协议中的RR的具体配置。

　　13．优选具有最低对等体地址接收到的路径。这个地址是在BGP对等体上配置并使用的地址，这个地址是本地对等体路由器在其上配置TCP邻居并与远端对等体建立连接时采用的地址。

BGP是怎样防止环的？

bgp的水平分割或者是叫做BGP的防环

ebgp可以通过AS号来防环

ibgp可以通过邻居来防环 (通过ibgp学来的路由不能传递给其他的IBGP)

BGP同步原则 :

igbp的路由表跟ebgp的路由表是否是一样的、如果一样开启同步它才会接收，如果一个有一个没有，只要关闭了同步它才会接收了，如果开启了它不会接收

BGP属性分类，列举常见几种属性，并说出其作用是什么？

1.EBGP>IBGP 默认存在

2.as-path 运用环境 ebgp 1.防环 2.增加虚拟AS号改变选路 (虚拟AS号可以添加自身的AS号)

3. 本地优先取决于协议 route-id (小优)

4.locl-pre只能运用在ibgp中默认的优先级是100 越大越优

5.med值(cost) 只能运用在ebgp中默认值是0 cost值越小越好

med分为两种

来自相同AS的med

来自不同AS的med

默认情况下bgp只开启相同AS的med 不同AS的med默认是关闭的比较不同AS的med 则需要开启才能比较

6.联邦(联盟) 跟路由反射器的作用一样在IBGP间传递路由

作用:减轻边界路由器的压力减少ibgp邻居的个数在一个大的AS号内划分几个私有的AS号

注意事项：

A 小AS内部的路由器必须宣告联邦ID

B 小AS件的EBGP关系，必须相互宣告联邦peer、AS 号

7.团体属性 acl选择过滤bgp路由想让某个路由传到哪就传到哪

8. 源属性

igp : network宣告进来的用i表示

egp : incomplete :　重分发进来.0的用?表示

BGP的4种报文是 :

open 相当于hello包用来建立邻居用的

keeplie 保持消息是周期性发送的每隔60秒发送一次keeplie包查看邻居关系如

果在180秒没有反应会自动断开邻居关系update 增量更notification 检测错误信息'

BGP 的6大状态机？

bgp的六个状态

建立tcp连接: IDLE

CONNECT

ACTIVE

建立bgp连接: OPEN SENT

OPEN CONFIRM

ESTABLISHED

RR反射器联盟的作用？对等体组？

作用:1.减轻边界路由器的压力

2.减少IBGP的个数

3.在IBGP之间传递路由联邦(联盟) 跟路由反射器的作用一样在IBGP间传递路由

作用:减轻边界路由器的压力减少ibgp邻居的个数在一个大的AS号内划分几个私有的 AS号

注意事项： A 小AS内部的路由器必须宣告联邦ID

B 小AS件的EBGP关系，必须相互宣告联邦peer、AS 号对等体组一般用来建立IBGP邻居，减少命令，节省资源

BGP的AS的意义，私有端口和公有端口范围 :

AS号--自治系统更大的网络空间，一个AS可以包含多个AREA区域，一个区域可以包含多个路由器私有--64512-65535

公有--1-64511

策略路由和路由策略的区别是什么？

谁在前，先执行谁策略路由----先策略后路由 ----FW 路由策略----先路由后策略 ----ACL 前缀列表 BGP

vpn的分类

二层vpn：ATM FR PPTP L2TP PPPOE

三层vpnL2L,GRE,IPSEC,DMVPN,REMOTE VPN,EAZY VPN ,SSL VPN,GET VPN,MPLS VPN

vpn的模型: 站点到站点

远程vpn建立L2L的5大步

1、ISAKMP SA 验证邻居

2、设置转换集

3、抓感兴趣流

4、安全关联（MAP）

5、接口调用

ike的两个阶段三个模式:

一阶段验证邻居 ISAMP SA

主模式-------对端地址已知

野蛮模式（主动模式）-----对端地址未知

二阶段设置转换集（快速模式）----4个选项：封装协议，工作模式，加密算法，认证算法: IKE主模式6个包：

1.2包---协商策略

3.4包--DH协商

5.6包--验证对等体

MPLS是什么？基本概念有哪些？

多协议标签交换，LER.LSR,LSP

MPLS 基本工作过程 :

多协议标签交换（MPLS）是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由、转发和交换等能力。更特殊的是，它具有管理各种不同形式通信流的机制。MPLS 独立于第二和第三层协议，诸如 ATM 和 IP。它提供了一种方式，将 IP 地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。

标签的转发和分配 :

转发：压标签--标签交换--弹出标签

分配：独立控制

按需控制

几种常见VPN :

二层vpn：ATM FR PPTP L2TP PPPOE

三层vpnL2L,GRE,IPSEC,DMVPN,REMOTE VPN,EAZY VPN ,SSL VPN,GET VPN,MPLS VPN

SSL VPN 工作原理？

SSL VPN的实现就可以不需要借助软件来完成，在一台没有安装任何软件的PC上同样可以建立SSL

VPN连接，SSL VPN的建立只要在PC上使用支持HTTPS (HTTP over SSL)的网页浏览器就可以完成，摆脱了安装软件的困扰，这就使得SSL VPN在任何环境的PC上都能够建立，因为现在几乎没有任何一台PC上是没有网页浏览器的。

\Lan to Lan工作原理？

两个内网私有地址跨公网通信，必须将数据送到公网出口进行加密封装，穿越公网通信。

简单的说下你所了解 PPTP L2TP IPSec GRE 原理？

pptp,l2tp,都是二层vpn，用微软的拨号软件拨号到中心网关，拨号成功后，获取授权地址，再公网封装进行通信PPTP不是一个标准的协议，采用微软的MPPE内置加密L2TP本省不提供加密，必须结合ipsec来加密。

ipsec：设置转换集，加密数据

GRE：是一个隧道技术，为了内网多个网段跨公网跑动态路由协议

ipsec vpn是做什么的 :

设置转换集，加密数据。

MPLS BGP VPN RT,RD VRF是干什么的？

RD---路由区分，在ipV4前加一个前缀，区分不同的内网

RT--路由目标。RT的作用类似于BGP中扩展团体属性，用于路由信息的分发。它分成Import RT和Export RT，分别用于路由信息的导入、导出策略。

vrf---解决统一设备地址冲入问题

ipsec v pn 的工作过程 :

设置转换集：选择封装协议，工作模式，加密算法，认证算法。

IPSEC VPN 的用到哪些机制、协议层面有哪些 :

封装协议，工作模式，加密算法，认证算法。协议层有ESP,AH

VPN中的角色:

CE--客户边界设备

PE--运营商边界设备

P--运营商中心设备

IP QoS 三种模型 :

I:尽力而为的服务：没有任何保障的目标连接方式。使用先进先出(FIFO)的队列的顺序传输数据包.

II:集成服务(intserv):是一种严格的预定服务，使用RSVP（资源预留协议）所有的中间资源都为流提供预定的服务，提供精确地端到端的服务.

III：区分服务（diffserv）它是以类别为基础，区分服务，可以将通信流分类，然后将他们加入到效率不同的队列中去,

报文的分类和标记:

报文分类可以把有相似QoS要求的业务报文聚合成相应的类。分类的结果就是给报文打上某种标记，即着色。

如果使用IP报文头的Precedence字段（TOS的高3个bit）进行着色，用户可以将报文最多分成8类。当然也可以按照RFC2474的定义，用DSCP（TOS的高6个bit）进行着色。

报文着色以后，就可以方便下游节点进行相应的QoS处理，如拥塞管理、流量整形等。网络管理者可以设置报文分类的策略，这个策略可以包括物理接口、源地址、目的地址、MAC地址、IP协议或应用程序的端口号等。一般的分类算法都局限在IP报文的头部所携带的信息，使用如链路层（Layer 2）、网络层（layer 3）、甚至传输层（layer 4）的信息。所以，它可以是一个由五元组（源地址、源端口号、协议号、目的地址、目的端口号）确定的流这样狭小的范围，也可以是到某某网段的所有报文。通常可以使用ACL来实现。一般在网络边界，对报文进行着色，在网络内部则简单的使用着色的结果作为队列调度、流量整形等处理的依据。

QoS中用CAR来实现报文的分类及着色功能。下游（Downstream）网络可以选择接受上游（Upstream）网络的着色结果，也可以按照自己的分类标准重新进行着色。

CAR是支持报文分类的主要技术，它同时承担流量监管的功能。用户可以通过不同的配置，让CAR只进行着色功能，让CAR只进行流量监管功能，或让CAR在进行流量监管的同时进行着色。CAR可以使用Precedence或DSCP进行着色。

流量监管及整形 :

在提供QoS服务时，网络边界路由器与内部路由器功能有所侧重，并像一个整体一样相互协作。

Diff-Serv将复杂的流分类和流量控制都推至边界路由器来完成。边界路由器主要完成复杂流分类、为分组打DSCP标记、流量的接入速率监管、访问控制等动作。区域内部路由器只需进行简单流分类，对同一类流实施流量控制。这样做避免了Int-Serv模型中的基于每个流（Per-Flow）的复杂流分类及流控，从而使得区分网络内部的转发操作可以得到高效的实现。也就是说流量监管和流量整形主要是在Diff-Serv中的边缘设备上进行。

从高速链路向低速链路传输数据时，带宽会在低速链路接口处出现瓶颈，导致数据丢失严重，特别是会影响到低延时要求的数据如语音等。流量监管（traffic policing）的典型作用是限制进入或流出某一网络的某一连接的流量与突发。在报文满足一定的条件时，如某个连接的报文流量过大，流量监管就可以对该报文采取不同的处理动作，例如丢弃报文，或重新设置报文的优先级等。通常的用法是使用CAR来限制某类报文的流量，例如限制HTTP报文不能占用超过50%的网络带宽。

流量整形（traffic shaping）的典型作用是限制流出某一网络的某一连接的流量与突发，使这

类报文以比较均匀的速度向外发送。流量整形通常使用缓冲区和令牌桶来完成，当报文的发送速度过快时，首先在缓冲区进行缓存，在令牌桶的控制下，再均匀地发送这些被缓冲的文。

TCP/IP传输层协议7

TCP：传输控制协议，面向连接可靠传输协议号是 6

UDP：用户数据协议，面向非连接不可靠传输协议号是 17

TCP的工作过程？？？

1 建立连接（三次握手）

2 数据传输 ○1使用确定保证让数据收到 ○2使用校验码来保证数据传输和准确性

（完整性） ○3使用重传保证数据不丢失 ○4使用滑动窗口来控制流量

3 断开（四次断开） TCP/IP之网络层协议。

IP：因特网协议

ICMP：因特网控制报文协议协议号1 如PING

ARP：地址解析协议 IP地址转换为MAC地址

RARP：逆向地址解析协议把MAC地址转换为IP地址IP---ARP---MAC MAC---RARP----IP

C/S、B/S的含义 :

C/S表示客户端/服务器的模式C 是client，s是server。B/S表示浏览器/服务器模式

二进制、十六进制与十进制的转化？

CSMA/CD 载波监听过程 :

请写出T568A与568B的线序:

T568B 橙白橙绿白蓝蓝白绿棕白棕

T568A 绿白绿橙白蓝蓝白橙棕白棕

1、3---发数据 2、6--收数据 4、5---语音 7、8--供电

综合布线包括什么 :

综合布线包括：有线、信息线、信号线、音频线、视频线、射频线、电源线、光纤等

子系统：有网络、电话、广播、楼宇对讲、楼宇自控、有线电视、监控、报警等

综合布线工程包括：工作区子系统、水平线子系统、设备间子系统、垂直干线子系统、管理间子系统、建筑群子系统

1000BaseTX 1000BaseFX 1000BaseLX 1000BaseCX 代表什么意思？

1000BaseTX

1000Base-SX波长850nm 62.5微米多模光纤50微米多模光纤 275米550米

1000Base-LX波长1300nm 62.5微米多模光纤50微米多模光纤9微米或10微米多模光纤 275米550米5公里

1000Base-CX 同轴电缆对 25米

1000Base-T 4对5类双绞线 100米

单工，全双工，半双工之间的协商关系？

单工--一个方向传

全双工---两个方向能同时进行

半双工---两个方向都能传，但同时只能一个方向传

IP地址的分类，及私有IP地址范围？

分类：A 1----126

B 128 ---191

C 192----223

D 224---239 用于组播

E 240---255 用与科研

特殊地址：

127.0.0.1-------回环地址测试系统及网卡参数

0.0.0.0----------任意地址（缺省路由）

255.255.255.255-----广播地址

网络或者网段的个数取决于IP地址的网络位

主机或者IP的个数取决于IP地址的网络位

私有地址只能用于内部局域网不能在互联网上出现的地址

A：10.0.0.0-10.255.255.255

B：172.16.0.0-172.31.255.255

C：192.168.0.0-192.168.255.255

IPv4 IPv6是多少位，MAC是多少位？mac 地址格式有哪些？

ipv4---32位（二进制） ipv6---128位（16进制）

MAC地址48位。有16进制数据组成，前三组表示厂商，有IEEE来分配，并可以在细分，后三组表示该制造商所制造的某个网络产品（如网卡）的系列号。第25位为0---代表组播MAC 1--代表广播MAC

mac地址老化时间是多长时间？

300S 只要有一个条目到300S，整个表都清空，重新学习

IP地址是如何划分子网的？

VLSM

ICMP协议是什么层协议？ IGMP?

网络层的协议，主要控制一些测试协议如ping,tracert,debug....

IGMP----internet 组管理协议组成员通过这个协议加入组

PING tracert实现原理？

A)Traceroute依赖于ICMP哪个消息？ICMP echo-request 报文

trace route 原理是什么？

首先，Trace route 送出一个TTL是1的IP DATAgram（自带寻址信息的,独立地从数据源行走到终点的数据包）到目的地，当路径上的第一个路由器收到这个datagram时，它就将TTL减小1.此时TTL变为零，所以该路由器会将此datagram丢掉，并返回一个（icmp time exceeded)消息，trace route 收到这个消息后，便知道这个路由器存在于这个路径上，接着trace route再送出另一个TTl是2的datagram，发现第2个路由器......trace route 每次将送出的Datagram的TTl加1来发现另一个路由器，这个重复的动作一直持续到某个datagram抵达目的地。

Traceroute的功能？

网络故障处理常用的工具，通过它我们可以知道源网络设备到目的网络设备之间进行通信所走过的具体路由，从而可以对某些网络故障予以精确定位。

C)PING (Packet Internet Grope)，因特网包探索器，用于测试网络连接量的程序。

原理：网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等。

ARP 协议原理是什么？ARP攻击你会采取哪些措施？

arp工作原理：

1、查看自己的缓存表，是否有自己所要到达目标主机的ip-mac映射，有则直接进行数据发送，如果没有则进行下一步。

2、以广播方式发送arp请求包，包含自己的ip-mac和目的ip-全0

3、目标主机收到后将源主机的ip-mac映射存放在自己的ARP缓存表中。

4、目标主机以单播的形式回复源主机，在回复的数据包中有目标主机的ip和mac地址。

5、当源主机收到目标主机发送的单播回复数据后，将目标主机的ip-mac映射存入自己的 ARP缓存表中。

6、源主机的缓存表中已经有目标主机的地址，源主机开始对目标主机进行数据发送。

Arp解决方法？

1.ip和Mac地址绑定

2.arp -d 删除Arp缓存（暂时解决）

3.使用防Arp攻击软件

简要说明TCP/IP协议及通讯原理？

TCP、IP、UDP的作用、区别与关系？

端口号（上面有）

HTTPS HTTP TELNET FTP TFTP S

SH: 22

DHCP: pop3: SNMP:DNS: POP3 110

SMTP 25 FTP 21（20）

子网划分192.168.1.0/24 划5个子网，每个子网最少30台主机,子网掩码多少/27 255.255.255.224

步长256/8=32

192.168.1.

0-31

32-63

64-95

96-127

128-159

160-191

192-223

224-255

ACL的类型有哪些？标准和扩展ACL的区别？什么是自反ACL?

标准，扩展，基于时间，基于策略，基于MAC,基于协议

标准：源 ---离目的近的地方做

扩展：源，目的，协议，端口-----离源近的地方做自反ACL:自动产生一条返回的列表

请描述一下DHCP协议的工作过程，不同地址段是如何分配地址的？ DHCP中继？

端口号：67（S） 68(C)

四个包：发现，提供，请求，确认

租约默认8天（服务器）设备（1天）

续约：第一次50%,第二次87.5%

重启，关机----恢复默认。

DHCP中继：跨不同的网段分配IP地址

广播---单播

单播---广播

NAT分哪几种？静态NAT和动态NAT的区别？动态中的特殊PAT是怎么回事？

静态:1对1

动态：多对多，多对一

PAT：复用IP

复用接口（dhcp pppoe ）

在现实中一般内网不做缺省，往内网协议注入默认路由

二三层转发原理是什么？

二层--MAC地址表

三层--路由表

PING 和 TRACERT 测试命令的工作原理？跟16一样

介绍你所使用过的网管软件，以及它的特点？

SiteView 聚生网管 Easy网管网络执法官万象网管 LaneCat网猫 sniffer

请介绍几种你所使用过的代理服务器:

WinGate、Microsoft、ProxyServer、WinRoute、ccproxy、SyGate

叙述下图中A主机向B主机建立通信的过程：

首先A主机会检查自己的ARP缓存表(每台装有tcp/ip协议的主机都会有张arp缓存表)，查看是否有B主机的ip-mac对应关系，若存在ip-mac对应关系，则把目标mac写入帧里面发送出数据，由于A主机与B主机是首次通信，所以在A主机的ARP缓存表中没有对方B主机的ip-mac对应关系。这时A主机会依照ARP的工作原理对所有与之相连网络发送arp广播请求包(request)，包含有自己的mac(标准以太网帧格式），目的mac是全F,当请求包到达HUB集线器时(多端口中继器，不学习，所有口广播，共享带宽)，HUB集线器因为不具备学习功能，它将会以广播的方式将A主机的ARP广播请求包（也包括与之相连的A主机端口）广播出去，广播请求包通过HUB集线器传送到交换机（有则转发，无则泛洪），交换机收到由hub发送过来的数据后进行拆帧，并学习主机A的mac地址与端口映射关系，并存放在自己的cam列表中，之后查看自己的cam表有无目标主机B的mac与端口映射关系，如果有B主机的mac与端口映射，交换机将直接通过相应端口进行转发，如果没有B主机mac映射关系，交换机会泛洪给所有端口中，当然，首次发送数据帧会以泛洪的方式到路由器（有则转发，无则丢弃），数据包到达网关后，路由器会拆包，并查看自己的路由表，发现有去往主机B的路由（主机B的网关在路由器上）并通过相应的端口转发给主机B，目标主机B收到由路由器转发过来的A主机请求包后，主机B将会把主机A的ip-mac对应关系存放在自己的RAP缓存表中。

主机B收到arp请求后，会发送arp的reply应答包，应答包再次经过路由器，路由器查看自己的路由表，路由表中有A主机的网段，路由器会把应答包转发给交换机，而此时的交换机的cam例表中已包含了关于A主机mac映射表，交换机将直接把应答包转发给HUB,HUB会以广播的形式将应答包广播给主机A，主机A将会把主机B的ip-mac对应关系存放在自己的arp缓存表中，然后A主机开始对B主机进行数据发送。

请提供几种邮件服务器的建设方案 :

Winmail、 U-Mail、 Exchange

请介绍几种方式用来在web服务器上创建虚拟主机 :

Web服务器虚拟主机的配置

一。定义

所谓虚拟主机是指在一台服务器里运行几个网站，提供WEB、FTP、Mail等服务。

二。虚拟主机的实现方法有三种：

基于IP的方法，基于主机名的方法和基于端口的法官法。

①基于IP的方法：

在服务器里绑定多个IP，然后配置WEB服务器，把多个网站绑定在不同的IP上。访问不同的IP，就看到不同的网站。

②基于端口的方法：

一个IP地址，通过不同的端口实在不同网站的访问。

③基于主机名的方法：

设置多个域名的A记录，使它们解析到同一个IP地址上，即同一个服务器上。然后，在服务器上配置WEB服务端，添加多个网站，为每个网站设定一个主机名。因为HTTP协议访问请求里包含有主机名信息，当WEB服务器收到访问请求时，就可以根据不同的主机名来访问不同的网站。

QQ等即时消息软件采用的基本网络传输协议是什么？

采用的是UDP和TCP协议，QQ主要采用UDP，在某些情况下采用TCP，即时消息多数采用UDP协议

交换部分

什么是网桥，交换机工作原理？光端机是做什么的？

光端机是一个延长数据传输的光纤通信设备，它主要是通过信号调制、光电转化等技术，利用光传输特性来达到远程传输的目的。光端机一般成对使用，分为光发射机和光接收机，光发射机完成电/光转换，并把光信号发射出去用于光纤传输;光接收机主要是把从光纤接收的光信号再还原为电信号，完成光/电转换。光端机作用就是用于远程传输数据。

以太网交换机工作在OSI/RM参考模型的哪一层 :

如何阻止2层和3层互通？

vlan 策略

VLAN的是什么及种类，以及它的作用，原理？

vlan的作用：二层隔离广播域

vlan的分类：基于协议基于子网基于mac 基于端口

vlan的原理：当交换机收到一个数据帧时，首先拆帧查看目标mac，然后对照mac地址表，如果有，则查看vlan id ，vlan id相同则转发。

vlan的链路状态是什么？分别连什么设备？

vlan的接口模式

Send　　Receive　（DTP：Dynamic Trunk Protol）

access　－－　（此接口接设备）接收是打上pvid 发送时去标 pvid就是

vlan id号

trunk(on)　　　 √ √　（本端无条件Trunk.不管对端是否起trunk）接收时是否允

许它通过，否则丢弃

desirable　　　 √　　　　√　（收发DTP，愿意成为Trunk,)默认就是这种类型

auto　　　　　　 ×　　　　√　（平时仅收DTP，愿意成为Trunk)

nenegotiate × × （禁止DTP信息）通常和trunk联用，即起trunk，又不用发

DTP帧

vlan的标签：802.1q isl

802.1q的封装格式

目的mac 源mac tag标记长度类型数据 fcs

isl的封装格式

isl头部目的mac 源mac 长度类型数据 fcs crc

CRC：对数据帧的头部和尾部做一个完整性的校验

tag标记一共4个字节 32位

一个交换机有多少vlan取决于它的vid有多少个bit 2的12次方

isl 总共有30位，26位报头+4位crc（校验）

vid有15个bit 但只用了10个比特 2的10次方

vlan之间是怎么路由的？比如1个三层交换机上连2个vlan，它们之间是怎么通信的?

交换机启三层单臂路由

cisco交换机下trunk的封装类型和trunk下的协议 :

vlan的标签：802.1q isl

DTP（Dynamic Trunking Protocol）cisco专有动态trunk协议

在交换链路上发送此种报文，来协商双方是否能形成Trunk。

VTP是什么,有什么用途？

·VTP（VLAN Trunk Protocol)CISCO私有的协议动态trunk协议

作用：用来在交换区域内同步VLAN的信息----动态学习vlan

vtp中的三个模式以及在配置密码是为了什么？

VTP的三种模式：　 Server　Client　Transparent（透明模式）

对VLAN做增/删/改 √　　　×　　　　√（仅在本地有效）

转发VTP(vlan)信息　　　　√　　　√　　　　√

同步vlan信息　　　　　 √　　　√　　　　×

保存进NVRAM　 √　　　×　　　　√

stp的原理和作用，STP的端口状态，STP的选举过程？

stp作用：在冗余的情况下进行防环。

当前活动路径发生故障时，激活冗余备份链路，恢复网络联通信。

端口角色包括

stp 根端口、指定端口、阻塞端口。

rstp 根端口指定端口 alternate（丢弃）端口 backup端口

mstp 根端口指定端口 alternate（丢弃）端口 backup端口 master端口

端口角色

stp 关闭 ---阻塞----侦听---学习---转发

关闭状态：既不能接收配置BPDU，又不能发送配置BPDU。

阻塞状态：只能接收配置BPDU，不能发送配置BPDU，也不能接收和转发数据。

侦听状态：能接收和发送配置BPDU，不能学习MAC地址。

学习状态：能接收和发送配置BPDU，能学习MAC地址。

转发状态：能接收和发送配置BPDU，也能转发状态。

rstp 丢弃---学习---转发

mstp 丢弃---学习---转发

根桥：BID = 优先级+MAC 选举跟桥时，选择优先级+MAC 通过hash算法计算出来最小值为根桥。桥ID一共由64位组成，桥优先级为16位，桥mac为4位。

根端口：非跟桥到达跟桥最近的端口。

指定端口：非跟桥BID最小的为指定桥每一个网段到根桥最近的端口。

阻塞端口：除了dp rp 之外其余的都为AP

STP、RSTP、MSTP、PVST是什么及作用？

MSTP配置原理 :

注意实例--与vlan的对应关系

STP能进行三层防环吗？三层有环路吗？

不能，二层防环有

在STP协议中，Catalyst交换机BridgeID中优先级缺省值为 :

32768

VRRP和HSRP GLBP的原理区别？

Hsrp与vrrp区别：

vrrp可以指物理接口的ip为虚拟网关（有时会出现报错但是不影响转发数据） hsrp是不可以使用物理接口ip做虚拟网关的hsrp可以同时设置多个主，从而实现负载均衡以及网关的备份 vrrp只能设置一个主

hsrp hello时间 3秒 holdtime(默认10S） vrrp hello 1秒间隔时间 3.009秒

组播地址不一样 hsrp 224.0.0.2 vrrp 224.0.0.18

HSRP--cisco私有 VRRP--公有

VRRP和HSRP怎么配置 :

注意组号用0

VRRP的虚拟地址和真实地址是否能一样 :

能

VRRP默认切换时间是？

1S---3.009S

如何避免网络的单点故障，具体该怎么做，华为和思科的哪些协议可以解决 ?

VRRP HSRP GLBP

做链路捆绑的作用？有哪些？

增加带宽和可靠性 pagp 和 lacp

堆叠技术的原理？做堆叠的每台交换机取出一个端口，可以和核心设备作链路捆绑吗？

交换机堆叠，就是使用两台或多台组合到一起，堆叠后逻辑上还是一台交换机。原理就是通过交换机的操作系统将设备背板连在一起，个人感觉应该是主板互联，逻辑上就变成了块版子。像思科的3750堆叠后交换机1的接口变为1/0/1，交换机2的接口就变为2/0/1，交换机3的接口就变为3/0/1，就好像是一台机器上的3个插槽的接口编号一样。

irf---智能弹性框架50 3750的堆叠特性

UDLD 作用是什么？

UDLD （UniDirectional Link Detection 单向链路检测）：是一个Cisco私有的二层协议，用于监听利用光纤或双绞线连接的以太链路的物理配置，当出现单向链路（只能向一个方向传输，比如我能把数据发给你，你也能收到，但是你发给我的数据我收不到）时，UDLD可以检测出这一状况，关闭相应接口并发送警告信息。单向链路可能引起很多问题，尤其是生成树，可能会造成回环。注意：UDLD需要链路两端设备都支持才能正常运行。

UDLD支持两种工作模式；普通（normal）模式（默认）和激进（aggressive）模式。

普通（normal）模式：这个模式下，UDLD可以检测单向链路，并标记端口为undetermined状态产生系统日志，In other words, normal

mode will shut down a port only if it can explicitly determine that

the asso；ciated link is faulty for an extended period of time.

激进（aggressive）模式：这个模式下，UDLD可以检测到由单向链路。并且会尝试重建链路，连续发送8秒的UDLD message，如果此间没有任何的UDLD echo应答，此端口会被放置于errdisable状态

工作原理：

维护邻居数据库

UDLD 周期性的在每个活动接口上发送hello包（也叫通告advertisement或探针probe）。

当交换机收到hello包后，存储这一信息直到老化时间到期，当老化时间到期前再次收到hello时，则刷新老化时间。

检测和回报交换机会向其邻居发送回复（echo），当邻居在一定时间内没有收到回复，则认为与邻居间的链路出现问题。如果是普通模式，链路有可能会被认为是不确定的状态而不会被关闭（强调一下，普通模式只能检测光纤误解，比如Tx、Rx插反了）。如果是激进模式，则链路会被认为是单向的而被关闭（接口置于err-disable状态）。

Ping tracert 工作原理及用途是什么？（基础知识有）

二层接口与三层接口的区别:

二层接口不能配置IP地址，不能宣告进路由协议，只能对二层以太网帧进行转发。

三层接口可以配置IP地址，可运行路由协议，能接收IP包并且转发。

防火墙部分：

防火墙是干什么的？

防火墙是一个连接两个或多个网络区域，并且基于策略限制区域间流量的设备。（阻止威胁从一个区域蔓延到其他区域）

防火墙的工作原理

低优先级向高优先级发数据，先查看状态化信息表，有记录直接穿越，没有查看路由表，默认拒绝所有，要么ACL放行，要么做监控放行。

怎么防御syn攻击

见备注

Dos攻击？

主机资源耗尽

网络资源耗尽

滞外DDOS攻击

防火墙的区域划分

inside 默认优先级100

outside 默认0

DMZ 0--100之间习惯50

DMZ是什么，如何工作 :

非军事化区域，连接服务器，低优先级的外部要访问，必须穿越防火墙。并且要想再访问内网的话，又得穿越一次防火墙。

防火墙和路由器有什么不同 :

FW本身就是一个路由器，正常跑路由，只是划分了区域优先级，隔离了不同的区域。

IDS IPS的工作原理？

IDS 入侵检测系统只检测不防御属于杂合模式

IPS 入侵防御系统既检测又防御属于在线模式

什么AAA ？代表什么含义 ?

AAA是一种后台服务，是一种对网络用户进行控制的安全措施。

Authentication 认证 (你是谁)

认证强度跟元素有关,用于认证的元素越多越安全，元素包括密码，指纹，证书，视网膜等

知道什么？

密码

用户名和密码

拥有什么？

银行卡

数字证书

你是谁？

指纹

视网膜

Authorization 授权（确定你能做什么）---AAA最麻烦的地方？

授权用户能够使用的命令

授权用户能够访问的资源

授权用户能够获得的信息

主要作用是在用户都有效的情况下，区分特权用户和普通用户

Accounting 审计(确定你做了什么)类似于生活中的摄像头

什么人什么时间做了什么事情

什么情况建议使用AAA？

NAS（网络访问服务器）的数量多、人数多、人员变动频繁

Accounting（审计）-------本地是不支持审计的

透明防火墙？

透明防火墙是二层防火墙技术，在不改变网络原有的规划与配置的情况下，插入网络的时候用。

1.只能有两个接口，

2.如果两个接口都接交换机，两个接口必须要化到不同的vlan 中

3.支持多模式防火墙

多模防火墙？

多模式防火墙使用场合：

1.SP的IDC机房为不同用户做不同的防火墙策略

2.大企业或者学校，希望部门之间完全的隔离

3.若单模防火墙接口非常多的情况下。

两种配置模式：

1. 系统全局配置模式：创建虚拟防火墙，为每一个虚拟防火墙关联接口。

2. 子防火墙配置模式

防火墙的热备？

1.failover的分类（三种分类方式）：故障切换

A/S FO :备用是闲置

A/A FO:网络规划使两个设备都有流量。

串口f/0和lan based f/0

pix可以做两种情况的f/0,asa只能做lan based f/o.因为其没有串口。

硬件FO：没有已建连接的copy

stateful FO:有已建连接的copy。

2.做failover的两台设备的条件：

两个FO或者一个UR和一个FO

硬件,接口，必须相同

加密授权必须相同

7.0以上软件版本可不相同，以下要相同

outside 与outside必须是二层网络

inside与inside必须是二层网络

DMZ和DMZ必须使二层网络

什么是OFFIEC 365？

Office 365 是完整的云中 Office。Office 365 已于2012年6月28日正式发布。从2010年开始，微软面向13个国家和地区的企业公开测试 Office 365，之后陆续为更多国家和地区用户提供 Beta 测试版本。2012年，Office 365 覆盖全球40多个国家和地区。2013年1月29日，微软首推个人版本Office 365。

从最初的基于浏览器的Email到如今的Business Productivity Online套件、Office Live小企业

版和Live@edu，微软拥有行业领先的企业云计算服务技术和经验，Office 365正是基于此而开发出来的，使用Office 365获取云计算服务意味着人们无需改变当前的工作方式，因为Office 365兼容大多数浏览器、智能手机和桌面应用程序。Office 365是微软下一代云计算产品，包括Office SharePoint Online、Exchange Online 和 Lync Online 组件，并为这些组件提供实时升级服务。Office 365 是唯一一个基于 Web 并且与 Microsoft Office 完全兼容的服务。Office 365已于2012年6月28日正式发布。简而言之，Office 365 是含有云存储空间的完整的 Office 软件。

AZURE是什么？

全称：Azure Services Platform 是微软于2008年微软开发者大会上发布的全新的云计算平台，基于微软数据中心PaaS平台，主要向开发人员提供了一个在线的基于Windows系列产品的开发、储存和服务代管等服务的环境。

编辑本段原理Windows Azure服务器Windows Azure 通过控制底层的网状控制器（Fabric Controller）将数据中心数量庞大的Windows 服务器有效的组织起来，给前端的应用提供计算和存储功能，并保证其可靠性。它可以看做是一个在线的操作系统环境，统治了整个数据中心的运算资源，用户可以很方便的调用这些资源，来执行各种应用程序。除此之外，操作系统升级、维护等也可以在系统不宕机的情况下自动完成。

Windows Azure工具同时微软的Windows Azure还提供了一套基于Visual Studio 的 Azure 工具，供开发者在个人计算机上开发、模拟和测试Azure 平台上的应用程序。

编辑本段组成目前 Azure 推出了5项托管服务，包括.NET应用服务、SQL服务、SharePoint服务、Dynamics CRM服务，以及LIve服务等，以帮助客户建立云计算的应用，或将现有的业务扩展到云端。

.NET：

最初被命名为 BizTalk 服务，包括 .NET 应用服务，它由访问控制、服务总线和工作站 3个模块组成。.NET服务提供了一个基础架构，是用户可以不必一遍一遍开发重复的功能和基础设施来构建基于Internet的分布式应用，就可以初步实现 Internet 服务总线的一些功能。

SQL：

是一个云计算平台上的数据库，构建在企业级的 SQL Sever 数据库和 Windows 服务器上。SQL服务提供了一系列丰富的集成服务，可以对数据进行查询、搜索、同步、报告和分析之类的操作。数据可以存储在各种设备上，从数据中心最大的服务器一直到桌面计算机和移动设备，用户可以控制数据而不用管数据在哪里。另外，SQL服务可以为程序提供高级别的安全性、可靠性和伸缩性，减少管理和开发应用程序的时间和成本。

SharePoint：提供协作服务。通过使用协作特性，组织内的用户可以轻松创建、管理和构建他们的协作 Web 站点，并让这些站点为整个组织所使用，通过这种协作和快速开发的服务建立更强的客户关系。

Dynamics CRM：是一个完全集成的客户关系管理系统，提供类似Saleforce 的应用级的服务，用户可以从第一次接触客户开始，在整个购买和售后流程中创建并维护清晰明了的客户数据；可以强化和改进公司的销售、营销和客户服务流程，提供快速、灵活且经济实惠的解决方案；开可以帮助用户在日常业务处理过程中获得持续和显著的改进。

LIve：

以客户为中心，提供诸如联系人信息、博客和图片等服务。微软将Windows Live 的很多功能和资源，通过 Live 服务封装以后提供给软件厂商和开发人员使用。通过Live 服务，可以存储和管理 Windows Live 用户的信息和联系人，将 Live Mesh中的文件和应用同步到用户的不同设备上去。

TCP/IP的通讯原理？

这部分简要介绍一下TCP/IP的内部结构，为讨论与互联网有关的安全问题打下基础。TCP/IP协议组之所以流行，部分原因是因为它可以用在各种各样的信道和底层协议（例如T1和X.25、以太网以及RS-232串行接口）之上。确切地说，TCP/IP协议是一组包括TCP协议和IP协议，UDP（User Datagram Protocol）协议、ICMP（Internet Control Message Protocol）协议和其他一些协议的协议组。

IP ：

网际协议IP是TCP/IP的心脏，也是网络层中最重要的协议。

IP层接收由更低层（网络接口层例如以太网设备驱动程序）发来的数据包，并把该数据包发送到更高层---TCP或UDP层；相反，IP层也把从TCP或UDP层接收来的数据包传送到更低层。IP数据包是不可靠的，因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。IP数据包中含有发送它的主机的地址（源地址）和接收它的主机的地址（目的地址）。

高层的TCP和UDP服务在接收数据包时，通常假设包中的源地址是有效的。也可以这样说，IP地址形成了许多服务的认证基础，这些服务相信数据包是从一个有效的主机发送来的。IP确认包含一个选项，叫作IP source routing，可以用来指定一条源地址和目的地址之间的直接路径。对

于一些TCP和UDP的服务来说，使用了该选项的IP包好象是从路径上的最后一个系统递过来的，而不是来自于它的真实地点。这个选项是为了测试而存在的，说明了它可以被用来欺骗系统来进行平常是被禁止的连接。那么，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。

TCP ：

如果IP数据包中有已经封好的TCP数据包，那么IP将把它们向‘上’传送到TCP层。TCP将包排序并进行错误检查，同时实现虚电路间的连接。TCP数据包中包括序号和确认，所以未按照顺序收到的包可以被排序，而损坏的包可以被重传。

TCP将它的信息送到更高层的应用程序，例如Telnet的服务程序和客户程序。应用程序轮流将信息送回TCP层，TCP层便将它们向下传送到IP层，设备驱动程序和物理介质，最后到接收方。

面向连接的服务（例如Telnet、FTP、rlogin、X Windows和SMTP）需要高度的可靠性，所以它们使用了TCP。DNS在某些情况下使用TCP（发送和接收域名数据库），但使用UDP传送有关单个主机的信息。

UDP：

UDP与TCP位于同一层，但对于数据包的顺序错误或重发。因此，UDP不被应用于那些使用虚电路的面向连接的服务，UDP主要用于那些面向查询---应答的服务，例如NFS。相对于FTP或Telnet，这些服务需要交换的信息量较小。使用UDP的服务包括NTP（网落时间协议）和DNS（DNS也使用TCP）。

欺骗UDP包比欺骗TCP包更容易，因为UDP没有建立初始化连接（也可以称为握手）（因为在两个系统间没有虚电路），也就是说，与UDP相关的服务面临着更大的危险。

ICMP ：

ICMP与IP位于同一层，它被用来传送IP的的控制信息。它主要是用来提供有关通向目的地址的路径信息。ICMP的‘Redirect’信息通知主机通向其他系统的更准确的路径，而‘Unreachable’信息则指出路径有问题。另外，如果路径不可用了，ICMP可以使TCP连接‘体面地’终止。PING是最常用的基于ICMP的服务。

TCP和UDP的端口结构

TCP和UDP服务通常有一个客户/服务器的关系，例如，一个Telnet服务进程开始在系统上处于空闲状态，等待着连接。用户使用Telnet客户程序与服务进程建立一个连接。客户程序向服务进程写入信息，服务进程读出信息并发出响应，客户程序读出响应并向用户报告。因而，这个连接是双工的，可以用来进行读写。

两个系统间的多重Telnet连接是如何相互确认并协调一致呢？TCP或UDP连接唯一地使用每个信息中的如下四项进行确认：

源IP地址发送包的IP地址。

目的IP地址接收包的IP地址。

源端口源系统上的连接的端口。

目的端口目的系统上的连接的端口。

端口是一个软件结构，被客户程序或服务进程用来发送和接收信息。一个端口对应一个16比特的数。服务进程通常使用一个固定的端口，例如，SMTP使用25、Xwindows使用6000。这些端口号是‘广为人知’的，因为在建立与特定的主机或服务的连接时，需要这些地址和目的地址进行通讯。

VRRP的原理？英文名称：Virtual Router Redundancy Protocol

虚拟路由器冗余协议（VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送一个VRRP路由器有唯一的标识:VRID,范围为0—255｡该路由器对外表现为唯一的虚拟MAC地址,地址的格式为00-00-5E-00-01-[VRID]｡主控路由器负责对ARP请求用该MAC地址做应答｡这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响｡

VRRP控制报文只有一种:VRRP通告(advertisement)｡它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内｡这保证了VRID在不同网络中可以重复使用｡为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文｡备份路由器在连续三个通告隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举｡

在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0—255｡若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:255｡优先级0一般用在IP地址所有者主动放弃主控者角色时使用｡可配置的优先级范围为1—254｡优先级的配置原则可以依据链路的速度和成本､路由器性能和可靠性以及其它管理策略设定｡主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现｡对于相同优先级的候选路由器,按照IP地址大小顺序选举｡VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器｡为了保证VRRP协议的安全性,提供了两种安全认证措施:明文认证和IP头认证｡明文认证方式要求:在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码｡适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码｡IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。

什么是HSRP？

HSRP是Cisco对冗余的私有协议。它提供几乎100%的路由器可用性和冗余。所以，如果某台路由器发生故障，备份路由器会接管主路由器的路由功能。然而，Cisco还支持其他可用的行业协议。一个行业标准是虚拟路由器冗余协议（VRRP）。另一个HSRP的可替换选择是网关负载平衡协议（GLBP ），这是Cisco的另一个私有解决方案。

HSRP如何工作？

在使用HSRP的时候，路由器既可以是主的也可以是备用的。如果主路由器在一段时间内没有向备用路由器送HELLO数据包，备用路由器假定主路由器已关闭，从而进行接管。然后备用路由器假定对虚拟IP地址负责，并开始对虚拟IP地址指向的虚拟以太网MAC地址响应。主和备用路由器交换HSRP HELLO包，所以相互知道对方在哪儿。这些HELLO包使用多播224.0.0.2和UDP端口1985。

HSRP的最基本形式从IOS 10.0 开始可用，但是在IOS 11和12版本中有更新的特性发布。

什么决定活动路由器？

首先，你可以配置一个优先数来决定它，然后它是由最高的IP地址决定。缺省优先数是100；一个更高的优先数表示优先路由器。当然，在建立路由器冗余的时候，并不限制于仅仅两台路由器。实际上，可以建立一起工作的路由器组并且拥有多个“备用”路由器。

VPC概念

1、Windows Virtual PC，简称VPC，也叫微软虚拟机，是一款微软虚拟化软件。与VMware、

VirtualBox齐名。使用此技术在一台计算机上同时运行多个操作系统。

2、Microsoft Virtual PC，微软虚拟机，与Windows VPC功能基本相同，但能够支持更多系统

IRF的基本情况？

IRF智能弹性架构，是杭州华三通信技术有限公司（简称：H3C公司）融合高端交换机的技术，在中低端交换机上推出的创新性建设网络核心的新技术。它将帮助用户设计和实施高可用性、高可扩展性和高可靠性的千兆以太网核心和汇聚主干。

　　在堆叠之前要先了解堆叠设备的规格，一个堆叠最多支持多少个设备，或者最多支持多少个端口。

　在堆叠之前要确定堆叠设备的版本，要保证所有堆叠设备的版本相同。在系统启动时、新Unit加入时、merge时都会进行配置比较。配置比较时将以最小ID的Unit的配置作为参照基准。

比较结果不同的Unit将把基准配置保存为临时文件，然后重起。重起时将采用这个临时文件作为自己的配置。

　　为增加堆叠的可靠性，尽量使用环形堆叠。

　　堆叠/IRF设备的版本，配置必须相同。

　　IRF设备堆叠端口相连时一定是UP端口和另一台设备的DOWN端口相连。

　　IRF 是Intelligent Resilient Framework的简称，即智能弹性架构。在使用上，IRF和传统的三层堆叠技术有一点类似。简单来说，就是支持IRF的多台交换设备可以互相连接起来形成一个“联合设备”，我们将这台“联合设备”称为一个Fabric，而将组成Fabric的每个设备称为一个Unit。多个Unit组成Fabric后，无论在管理还是在使用上，就成为了一个整体。也就是说，用户可以将这多台设备看成一台单一设备进行管理和使用。这样既可以通过增加设备来扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设。

LACP是什么？（链路汇聚控制协议）

基于IEEE802.3ad标准的LACP（Link Aggregation Control Protocol，链路汇聚控制协议）是一种实现链路动态汇聚的协议。LACP协议通过LACPDU（Link Aggregation Control Protocol Data Unit，链路汇聚控制协议数据单元）与对端交互信息。

　　使能某端口的LACP协议后，该端口将通过发送LACPDU向对端通告自己的系统优先级、系统MAC地址、端口优先级、端口号和操作Key。对端接收到这些信息后，将这些信息与其它端口所保存的信息比较以选择能够汇聚的端口，从而双方可以对端口加入或退出某个动态汇聚组达成一致。

　　操作Key是在端口汇聚时，LACP协议根据端口的配置（即速率、双工、基本配置、管理Key）生成的一个配置组合。

　　动态汇聚端口在使能LACP协议后，其管理Key缺省为零。静态汇聚端口在使能LACP后，端口的管理Key与汇聚组ID相同。

对于动态汇聚组而言，同组成员一定有相同的操作Key，而手工和静态汇聚组中，Active的端口有相同的操作Key。

　　端口汇聚是将多个端口汇聚在一起形成一个汇聚组，以实现出/入负荷在汇聚组中各个成员端口中的分担，同时也提供了更高的连接可靠性。

BFD是什么？（Bidirectional Forwarding Detection) 双向转发检测

BFD (Bidirectional Forwarding Detection)　BFD (Bidirectional Forwarding Detection)

双向转发检测

　　双向转发检测（BFD）的新协议将帮助解决这个问题，提高故障检测与恢复速度。作为一项IETF草案标准，BFD提供一种检测链路或系统转发传输流能力的简单方法。

　　BFD是从基础传输技术中经过逐步发展而来的，因此它可以检测网络各层的故障。它可以用以太网、多协议标记交换（MPLS）路径、普通路由封装以及IPSec隧道在内的多种类型的传输正确性。

　　从本质上讲，BFD是一种高速的独立HELLO协议（类似于那些在路由协议中使用的协议，如开放最短路径优先协议(OSPF)，或可以与链路、接口、隧道、路由或其他网络转发部件建立联系的中间系统到中间系统协议）。

　　BFD能够与相邻系统建立对等关系，然后，每个系统以协商的速率监测来自其他系统的BFD速率。监测速率能够以毫秒级增量设定。当对等系统没有接到预先设定数量的数据包时，它推断BFD保护的软件或硬件基础设施发生故障，不管基础设施是标记交换路径、其他类型的隧道还是交换以太网络。BFD部署在路由器和其他系统的控制平面上。BFD检测到的网络故障可以由转发平面恢复或由控制平面恢复

QOS是什么？

定义：

1.国际电信联盟(ITU)在x．902标准即“信息技术开放式处理参考模型”中定义服务质量(QoS)为：定义在一个或多个对象的集体行为上的一套质量需求的集合。吞吐量、传输延迟和错误率等一些服务质量参数描述了数据传输的速度和可靠性等。

2.在ATM中定义服务质量(QoS)为“关于ATM性能参数集合的术语，这些参数描述了在一个给定虚拟连接上数据流量的特征”。服务质量参数大多应用在较低层次的协议层上，这些参数并不直接被应用程序所观察和感觉到。这些参数包括信元丢失率、信元错误率、信元错误插入率、信元延迟变化、信元传输延迟和平均信元传输延迟。根据服务质量参数定义了五种服务级别，级别0指的是“尽最大努力”服务方式，在这种服务级别中没有特定的流量参数和绝对的服务质量保证。

3.IETF在研究ATM时就已经开始考虑服务质量的问题。即有陈述：“随着在网络上实时服务的逐步增加，在共享网络上要求提供确定的传输服务。这些确定的传输服务要求应用程序和网络基础设施有能力请求、设置和强化数据的传输。总的来说，这些服务指的是带宽预留和服务质量”。在“基于ATM的IP”中这样描述: “实时应用程序所使用的服务质量参数被假设在数据传输之前的资源预留协议中设置，或者以某种形式携带在数据之中”。“目前的工作正在重点研究服务质量参数怎样被表达出来和怎样做出本地的决定”。[

背景：

在因特网创建初期，没有意识到QoS应用的需要。因此，整个因特网运作如一个“竭尽全力”的系统。每段信息都有4个“服务类别”位和3个“优先级”位，但是他们完全没有派上用场。依发送和接收者看来，数据包从起点到终点的传输过程中会发生许多事情，并产生如下有问题的结果：·

丢失数据包- 当数据包到达一个缓冲器（buffer）已满的路由器时，则代表此次的发送失败，路由器会依网络的状况决定要丢弃、不丢弃一部份或者是所有的数据包，而且这不可能在预先就知道，接收端的应用程序在这时必须请求重新传送，而这同时可能造成总体传输严重的延迟。

·延迟- 或许需要很长时间才能将数据包传送到终点，因为它会被漫长的队列迟滞，或需要运用间接路由以避免阻塞；也许能找到快速、直接的路由。总之，延迟非常难以预料。

·传输顺序出错- 当一群相关的数据包被路由经过因特网时，不同的数据包可能选择不同的路由器，这会导致每个数据包有不同的延迟时间。最后数据包到达目的地的顺序会和数据包从发送端发送出去的顺序不一致，这个问题必须要有特殊额外的协议负责刷新失序的数据包。

·出错- 有些时候，数据包在被运送的途中会发生跑错路径、被合并甚至是毁坏的情况，这时接收端必须要能侦测出这些情况，并将它们统统判别为已遗失的数据包，再请求发送端再送一份同样的数据包。

参数

QoS是通过给定的虚连接描述传输质量的ATM性能参数术语。这些参数包括：CTD、CDV、CER、CLR、CMR和SECBR、ALLserviceclasses、Qos Classes、trafficcontract、trafficcontrol。

含义：

QoS（Quality of Service）即服务质量。对于网络业务，服务质量包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。

网络资源总是有限的，只要存在抢夺网络资源的情况，就会出现服务质量的要求。服务质量是相对网络业务而言的，在保证某类业务的服务质量的同时，可能就是在损害其它业务的服务质量。

例如，在网络总带宽固定的情况下，如果某类业务占用的带宽越多，那么其他业务能使用的带宽就越少，可能会影响其他业务的使用。因此，网络管理者需要根据各种业务的特点来对网络资源进行合理的规划和分配，从而使网络资源得到高效利用。

下面从QoS服务模型出发，对目前使用最多、最成熟的一些QoS技术逐一进行描述。在特定的环境下合理地使用这些技术，可以有效地提高服务质量。

服务模型：

通常QoS提供以下三种服务模型：

l Best-Effort service（尽力而为服务模型）

l Integrated service（综合服务模型，简称Int-Serv）

l Differentiated service（区分服务模型，简称Diff-Serv）

1． Best-Effort服务模型是一个单一的服务模型，也是最简单的服务模型。对Best-Effort服务模型，网络尽最大的可能性来发送报文。但对延时、可靠性等性能不提供任何保证。Best-Effort服务模型是网络的缺省服务模型，通过FIFO（first in first out 先入先出）队列来实现。它适用于绝大多数网络应用，如FTP、E-Mail等。

2． Int-Serv服务模型Int-Serv是一个综合服务模型，它可以满足多种QoS需求。该模型使用资源预留协议（RSVP），RSVP运行在从源端到目的端的每个设备上，可以监视每个流，以防止其消耗资源过多。这种体系能够明确区分并保证每一个业务流的服务质量，为网络提供最细粒度化的服务质量区分。但是，Inter-Serv模型对设备的要求很高，当网络中的数据流数量很大时，设备的存储和处理能力会遇到很大的压力。Inter-Serv模型可扩展性很差，难以在Internet核心网络实施。

3． Diff-Serv服务模型Diff-Serv是一个多服务模型，它可以满足不同的QoS需求。与Int-Ser不同，它不需要通知网络为每个业务预留资源。区分服务实现简单，扩展性较好。

链路效率机制链路效率机制，用于改善链路的性能，间接提高网络的QoS，如降低链路发包的时延（针对特定业务）、调整有效带宽。链路效率机制有很多种，下面介绍两种比较典型的链路效率机制及其基本原理。

α 链路分片与交叉（Link Fragment & Interleave，LFI）

对于低速链路，即使为语音等实时业务报文配置了高优先级队列（如RTP优先队列或LLQ），也不能够保证其时延与抖动，原因在于接口在发送其他数据报文的瞬间，语音业务报文只能等待，而对于低速接口发送较大的数据报文要花费相当的时间。采用LFI以后，数据报文（非RTP实时队列和LLQ中的报文）在发送前被分片、逐一发送，而此时如果有语音报文到达则被优先发送，从而保证了语音等实时业务的时延与抖动。LFI主要用于低速链路。

链路效率机制的工作原理图如图11 所示：链路效率

RTP协议用于在IP网络上承载语音、视频等实时多媒体业务。RTP报文包括数据部分和头部分，RTP的数据部分相对小，而RTP的报头部分较大。12字节的RTP头，加上20字节的IP头和8字节的UDP头，就是40字节的IP/UDP/RTP头。而RTP典型的负载是20字节到160字节。为了避免不必要的带宽消耗，可以使用cRTP特性对报文头进行压缩。cRTP可以将IP/UDP/RTP头从40字节压缩到2～5字节，对于40字节的负载，头压缩到5字节，压缩比为（40+40）/（40+5），约为1.78，可见效果是相当可观的，可以有效的减少链路，尤其是低速链路带宽的消耗。

链路层QoS技术

链路层QoS技术主要针对ATM（Asynchronous Transfer Mode，异步传输模式）、帧中继、令牌环等链路层协议支持QoS。作为一种面向连接的技术，ATM提供对QoS最强有力的支持，而且可以基于每个连接提供特定的QoS保证。帧中继网络确保连接的CIR（Committed Information Rate，承诺信息速率）最小，即在网络拥塞时，传输速度不能小于这个值。令牌环和更新的IEEE802.1p标准具有区分服务的机制。

ATM QoS

ATM是一种大小固定的信元交换和多路复用技术，它是面向连接的，任何用户数据在两个或更多ATM连接设备之间传输之前，都必须建立虚电路（VC，Virtual Circuit）。ATM有两种主要的连接方式（或VC）：永久虚电路（PVC，Permanent Virtual Circuit）和交换虚电路（SVC，Switched Virtual Circuit）。PVC通常是静态的，需要手工或外部配置来建立；而SVC是动态，根据需要创建。它们的创建需要在ATM端点和ATM交换机之间运行信令协议。

ATM通过使ATM端系统显示流量合同来提供QoS保证，流量合同描述了希望的通信流指标。流描述符包括QoS参数，例如峰值信元速率（PCR，Peak Cell Rate）、持续信元速率（SCR，Sustained Cell Rate）以及突发量。

ATM端系统负责确保传输的流量符合QoS合同。ATM端系统通过缓冲数据来对流量进行整形，并按约定的QoS参数传输通信。ATM交换机控制每个用户的通信指标，并将其与QoS合同进行比较。对于超过了QoS合同的通信，交换机可以设置不顺从通信的CLP位。在网络拥塞时，CLP位被设置的信元被丢弃的可能性更大。

β FR QoSFR（Frame Relay，帧中继）是一种流行的适用于数据通信的广域网（WAN）分组技术。它是一种较简单的协议，消除了X.25网络中链路层流控和纠错功能，这些功能被留给端点站的应用程序处理。这种协议最适合于数据通信，因为它可以传送偶然的突发。

帧中继使用VC（Virtual Circuit）运行，VC提供了帧中继网络上两个端点之间的逻辑连接，网络可以使用帧中继VC代替私有的租用线。PVC是网络操作员在网络管理站创建的，而SVC是基于呼叫动态建立的。

帧中继报头中的3个位提供了帧中继网络中的拥塞控制机制，这3个位分别叫做向前显式拥塞通知（FECN，Forward Explicit Congestion Notification）位、向后显式拥塞通知（BECN，

Backward Explicit Congestion Notification）位和丢弃合格（DE，Discard Eligible）位。可以通过交换机将FECN位置1来告知诸如路由器等目标数据终端设备（DTE，Data Terminal

Equipment），在帧从源传送到目的地的方向发生了拥塞。交换机将BECN位置1则告知目标路由器，在帧从源传送到目的地的反方向上发生了拥塞。DE位由路由器或其他DTE设备设置，指出被标记的帧没有传输的其他帧那么重要，它在帧中继网络中提供了一种基本的优先级机制，如果发生拥塞时，DE位被设置的帧将在DE位没有被设置的帧之前被丢弃。

帧中继流量整形（FRTS，Frame Relay Traffic Shaping）对从帧中继VC输出的通信进行整形，使之与配置速率一致，它将超出平均速率的分组放到缓冲区来使突发通信变得平滑。根据配置的排队机制，当有足够的可用资源时，这些缓冲的分组出队并等候被传输。排队算法是基于单个VC配置的，它只能针对接口的出站通信进行设置。FRTS可对每个VC的流量进行整形，将其峰值速率整形为承诺信息速率（CIR，Committed Information Rate）或其他定义的值，如超额信息速率（EIR，Excess Information Rate）。自适应模式的FRTS还能够根据收到的网络BECN拥塞指示符降低帧中继VC的输出量，将PVC的输出流量整形为与网络的可用带宽一致功能

分类

QoS QoS

分类是指具有QoS的网络能够识别哪种应用产生哪种数据包。没有分类，网络就不能确定对特殊数据包要进行的处理。所有应用都会在数据包上留下可以用来识别源应用的标识。分类就是检查这些标识，识别数据包是由哪个应用产生的。以下是4种常见的分类方法。

(1)协议有些协议非常“健谈”，只要它们存在就会导致业务延迟，因此根据协议对数据包进行识别和优先级处理可以降低延迟。应用可以通过它们的EtherType进行识别。譬如，AppleTalk协议采用0x809B，IPX使用0x8137。根据协议进行优先级处理是控制或阻止少数较老设备所使用的“健谈”协议的一种强有力方法。

(2)TCP和UDP端口号码许多应用都采用一些TCP或UDP端口进行通信，如 HTTP采用TCP端口80。通过检查IP数据包的端口号码，智能网络可以确定数据包是由哪类应用产生的，这种方法也称为第四层交换，因为TCP和UDP都位于OSI模型的第四层。

(3)源IP地址许多应用都是通过其源IP地址进行识别的。由于服务器有时是专门针对单一应用而配置的，如电子邮件服务器，所以分析数据包的源IP地址可以识别该数据包是由什么应用产生的。当识别交换机与应用服务器不直接相连，而且许多不同服务器的数据流都到达该交换机时，这种方法就非常有用。

(4)物理端口号码与源IP地址类似，物理端口号码可以指示哪个服务器正在发送数据。这种方法取决于交换机物理端口和应用服务器的映射关系。虽然这是最简单的分类形式，但是它依赖于直接与该交换机连接的服务器。

标注在识别数据包之后，要对它进行标注，这样其他网络设备才能方便地识别这种数据。由于分类可能非常复杂，因此最好只进行一次。识别应用之后就必须对其数据包进行标记处理，以便确保网络上的交换机或路由器可以对该应用进行优先级处理。通过采纳标注数据的两种行业标准，即IEEE 802.1p或差异化服务编码点(DSCP)，就可以确保多厂商网络设备能够对该业务进行优先级处理。

在选择交换机或路由器等产品时，一定要确保它可以识别两种标记方案。虽然DSCP可以替换在局域网环境下主导的标注方案IEEE802.1p，但是与IEEE 802.1p相比，实施DSCP有一定的局限性。在一定时期内，与IEEE 802.1p 设备的兼容性将十分重要。作为一种过渡机制，应选择可以从一种方案向另一种方案转换的交换机。

优先级设置QoS功能

(1)严格优先队列(SPQ) 这是一种最简单的排队方式，它首先为最高优先级的队列进行服务，直到该队列为空，然后为下一个次高优先级队列服务，依此类推。这种方法的优势是高优先级业务总是在低优先级业务之前处理。但是，低优先级业务有可能被高优先级业务完全阻塞。

(2)加权循环(WRR) 这种方法为所有业务队列服务，并且将优先权分配给较高优先级队列。在大多数情况下，相对低优先级，WRR将首先处理高优先级，但是当高优先级业务很多时，较低优先级的业务并没有被完全阻塞。

Qos可以根据报文中的802.1Q判断优先级补充：现在的路由器一般均支持QoS。

路由器上的QoS可以通过下面几种手段获得：

1．通过大带宽得到

在路由器上除增加接口带宽以外不作任何额外工作来保障QoS。由于数据通信没有相应公认的数学模型作保障，该方法只能粗略地使用经验值作估计。通常认为当带宽利用率到达50%以后就应当扩容，保证接口带宽利用率小于50%。

2．通过端到端带宽预留实现

该方法通过使用RSVP或者类似协议在全网范围内通信的节点间端到端预留带宽。该方法能保证QoS，但是代价太高，通常只在企业网或者私网上运行，在大网公网上无法实现。

3．通过接入控制、拥塞控制和区分服务等方式得到该方式无法完全保证QoS。这能与增加接口带宽等方式结合使用，在一定程度上提供相对的QoS。

4．通过MPLS流量工程得到需要QoS的应用

流量约定（SLA,Service Level Agreement服务等级协议）给数据流设定优先级，以此在网络/协议层面上，根据相互商定的尺度，设定有保障的性能、通过量、延迟等界限。一些特定形式的网络数据流需要定义服务质量，

例如：

多媒体流要求有保障的通过量，IP电话需要严格的抖动和延迟限制，性命攸关的应用系统，例如远程外科手术要求有可靠保证的可用性（也称作硬性　QoS）.这些类型的服务被称为非弹性，意思是它们需要固定的带宽才能运作--如果得到多余的带宽，它们也无法使用；如果得到较少的带宽，则根本无法工作。相形之下，弹性应用可以从多余的带宽中受益。

应用

QoS是网络与用户之间以及网络上互相通信的用户之间关于信息传输与共享的质的约定，

例如：

传输延迟允许时间、最小传输画面失真度以及声像同步等,是用来解决网络延迟和阻塞等问题的一种技术。现在的路由器一般均支持QoS。QoS 是网络的一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如 Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。

在Internet等计算机网络上为用户提供高质量的QoS必须解决以下问题：

1． QoS的分类与定义。对QoS进行分类和定义的目的是使网络可以根据不同类型的QoS进行管理和分配资源。例如，给实时服务分配较大的带宽和较多的CPU处理时间等，另一方面，对QoS进行分类定义也方便用户根据不同的应用提出QoS需求。

2．准入控制和协商。即根据网络中资源的使用情况，允许用户进入网络进行多媒体信息传输并协商其QoS。

3．资源预约。为了给用户提供满意的QoS，必须对端系统、路由器以及传输带宽等相应的资源进行预约，以确保这些资源不被其他应用所强用。

4．资源调度与管理。对资源进行预约之后，是否能得到这些资源，还依赖于相应的资源调度与管理系统。

目前的Internet仅提供尽力而为(best-effort service)的传送服务，业务量尽快传送，没有明确的时间和可靠性保障。随着网络多媒体技术的飞速发展，Internet上的多媒体应用层出不穷，

如IP电话、视频会议、视频点播(VOD)、远程教育等多媒体实时业务、电子商务在Internet上传送等。Internet已逐步从单一的数据传送网向数据、语音、图像等多媒体信息的综合传输网演化。这些不同的应用需要有不同的Qos(quality of service)要求，Qos通常用带宽、时延、时延抖动和分组丢失率来衡量。各种应用对服务质量的需求在迅速增长。

显然，现有的尽力传送服务已无法满足各种应用对网络传输质量的不同要求，需要Internet提供多种服务质量类型的业务。而尽力而为的服务仍将提供给那些只需要连通性的应用。

服务质量Qos系指用来表示服务性能之属性的任何组合。为了使其具有价值，这些属性必须是可提供的、可管理的、可验证和计费的，而且在使用时它们必须是始终如一的、可预测的、有的属性甚至是起决定性作用的。为了满足各种用户应用的需要，构建对IP最优并具备各种服务质量机制的网络是完全必要的。

专线服务、语音、文件传递、存储转发、交互式视频和广播视频是现有应用的一些例子

关键指标

QoS的关键指标主要包括：可用性、吞吐量、时延、时延变化(包括抖动和漂移)和丢失。

用性：

是当用户需要时网络即能工作的时间百分比。可用性主要是设备可靠性和网络存活性相结合的结果。对它起作用的还有一些其他因素，包括软件稳定性以及网络演进或升级时不中断服务的能力。

吞吐量：

是在一定时间段内对网上流量(或带宽)的度量。对IP网而言可以从帧中继网借用一些概念。根据应用和服务类型，服务水平协议(SLA)可以规定承诺信息速率(CIR)、突发信息速率(BIR)和最大突发信号长度。承诺信息速率是应该予以严格保证的，对突发信息速率可以有所限定，以在容纳预定长度突发信号的同时容纳从话音到视像以及一般数据的各种服务。一般讲，吞吐量越大越好。

时延

指一项服务从网络入口到出口的平均经过时间。许多服务，特别是话音和视像等实时服务都是高度不能容忍时延的。当时延超过200-250毫秒时，交互式会话是非常麻烦的。为了提供高质量话音和会议电视，网络设备必须能保证低的时延。

产生时延的因素很多，包括分组时延、排队时延、交换时延和传播时延。传播时延是信息通过铜线、光纤或无线链路所需的时间，它是光速的函数。在任何系统中，包括同步数字系列(SDH)、异步传输模式（ATM）和弹性分组环路(RPR)，传播时延总是存在的。

时延变化

QoS流程 QoS流程

是指同一业务流中不同分组所呈现的时延不同。高频率的时延变化称作抖动，而低频率的时延变化称作漂移。抖动主要是由于业务流中相继分组的排队等候时间不同引起的，是对服务质量影响最大的一个问题。某些业务类型，特别是话音和视像等实时业务是极不容忍抖动的。分组到达时间的差异将在话音或视像中造成断续。所有传送系统都有抖动，只要抖动落在规定容差之内就不会影响服务质量。利用缓存可以克服过量的抖动，但这将增加时延，造成其他问题。

漂移是任何同步传输系统都有的一个问题。在SDH系统中是通过严格的全网分级定时来克服漂移的。在异步系统中，漂移一般不是问题。漂移会造成基群失帧，使服务质量的要求不能满足。

丢包

不管是比特丢失还是分组丢失，对分组数据业务的影响比对实时业务的影响都大。在通话期间，丢失一个比特或一个分组的信息往往用户注意不到。在视像广播期间，这在屏幕上可能造成瞬间的波形干扰，然后视像很快恢复如初。即便是用传输控制协议(TCP)传送数据也能处理丢失，因为传输控制协议允许丢失的信息重发。事实上，一种叫做随机早丢(RED)的拥塞控制机制在故意丢失分组，其目的是在流量达到设定门限时抑制TCP传输速率，减少拥塞，同时还使TCP流失去同步，以防止因速率窗口的闭合引起吞吐量摆动。但分组丢失多了，会影响传输质量。所以，要保持统计数字，当超过预定门限时就向网络管理人员告警

VLAN是什么？

VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知

目的：

VLAN（Virtual Local Area Network，虚拟局域网）的目的非常的多。通过认识VLAN的本质，将可以了解到其用处究竟在哪些地方。

第一，要知道192.168.1.2/30和192.168.2.6/30都属于不同的网段，都必须要通过路由器才能进行访问，凡是不同网段间要互相访问，都必须通过路由器。

第二，VLAN本质就是指一个网段，之所以叫做虚拟的局域网，是因为它是在虚拟的路由器的接口下创建的网段。

下面，给予说明。比如一个路由器只有一个用于终端连接的端口（当然这种情况基本不可能发生，只不过简化举例），这个端口被分配了192.168.1.1/24的地址。然而由于公司有两个部门，一个销售部，一个企划部，每个部门要求单独成为一个子网，有单独的服务器。那么当然可以划分为192.168.1.0--127/25、192.168.1.128--255/25。但是路由器的物理端口只应该可以分配一个IP地址，那怎样来区分不同网段了？这就可以在这个物理端口下，创建两个子接口---逻辑接口实现。

比如逻辑接口F0/0.1就分配IP地址192.168.1.1/25，用于销售部，而F0/0.2就分配IP地址192.168.1.129/25，用于企划部。这样就等于用一个物理端口确实现了两个逻辑接口的功能，这样就将原本只能划分一个网段的情形，扩展到了可以划分2个或者更多个网段的情形。这些网段因为是在逻辑接口下创建的，所以称之为虚拟局域网VLAN。

这是在路由器的层次上阐述了VLAN的目的。

第三，将在交换机的层次上阐述VLAN的目的。

在现实中，由于很多原因必须划分出不同网段。比如就简单的只有销售部和企划部两个网段。那么可以简单的将销售部全部接入一个交换机，然后接入路由器的一个端口，把企划部全部接入一个交换机，然后接入一个路由器端口。这种情况是LAN。然而正如上面所说，如果路由器就一个用于终端的接口，那么这两个交换机就必须接入这同一个路由器的接口，这个时候，如果还想保持原来的网段的划分，那么就必须使用路由器的子接口，创建VLAN.

同样，比如两个交换机，如果你想要每个交换机上的端口都分别属于不同的网段，那么你有几个网段，就提供几个路由器的接口，这个时候，虽然在路由器的物理接口上可以定义这个接口可以连接哪个网段，但是在交换机的层次上，它并不能区分哪个端口属于哪个网段，那么唯一实现能区分的方法，就是划分VLAN，使用了VLAN就能区分出某个交换机端口的终端是属于哪个网段的。

综上，当一个交换机上的所有端口中有至少一个端口属于不同网段的时候，当路由器的一个物理端口要连接2个或者以上的网段的时候，就是VLAN发挥作用的时候，这就是VLAN的目的。

优点

限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

优点：

安全：

增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。

成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。

VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。

VLAN 将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分项目管理或特殊应用的处理都变得十分方便，例如可以轻松管理教师的电子教学开发平台。此外，也很容易确定升级网络服务的影响范围。

增加灵活性：

借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。

组建条件：

VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成，同时还严格限制了用户数量。

端口划分VLAN

许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。

例如，

一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。

第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。

以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。

MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。

网络层划分VLAN

这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。

IP组播划分VLAN

IP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。

基于规则的VLAN

也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则（或属性），那么当一个站点加入网络中时，将会被“感知”，并被自动地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。

采用这种方法，整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN，这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时，交换机中软件自动检查进入交换机端口的广播信息的IP源地址，然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。

按用户划分VLAN

基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。

* 以上划分VLAN的方式中，基于端口的VLAN端口方式建立在物理层上；MAC方式建立在数据链路层上；网络层和IP广播方式建立在第三层上。

标准：

对VLAN的标准，我们只是介绍两种比较通用的标准，当然也有一些公司具有自己的标准，比如

Cisco公司的ISL标准，虽然不是一种大众化的标准，但是由于Cisco Catalyst交换机的大量使用，ISL也成为一种不是标准的标准了。

802.10VLAN标准

在1995年，Cisco公司提倡使用IEEE802.10协议。在此之前，IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在网络上传输FramTagging模式中所必须的VLAN标签。然而，大多数802委员会的成员都反对推广802.10。因为，该协议是基于FrameTagging方式的。

802.1Q

Cisco ISL 标签

ISL（Inter-Switch Link)是Cisco公司的专有封装方式，因此只能在Cisco的设备上支持。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和配置。

划分策略：

从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法：

基于端口这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。

基于MAC地址

MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一且固化在网卡上的。MAC地址由12位16进制数表示，前6位为网卡的厂商标识（OUI），后6位为网卡标识（NIC）。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。

基于路由路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。

就目前来说，对于VLAN的划分主要采取上述第1、3种方式，第2种方式为辅助性的方案。

定义：

虚拟局域网(VLAN)是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点：

● 网络设备的移动、添加和修改的管理开销减少；

●可以控制广播活动；

●可提高网络的安全性。

分类：

基于端口的VLAN

基于端口的VLAN的划分是最简单、有效的VLAN划分方法，它按照局域网交换机端口来定义VLAN成员。VLAN从逻辑上把局域网交换机的端口划分开来，从而把终端系统划分为不同的部分，各部分相对独立，在功能上模拟了传统的局域网。基于端口的VLAN又分为在单交换机端口和多交换机端口定义VLAN两种情况

多交换机端口定义VLAN

单交换机端口定义VLAN

基于MAC地址的VLAN

基于MAC地址的VLAN是用终端系统的MAC地址定义的VLAN。MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一的。这种方法允许工作站移动到网络的其他物理网段，而自动保持原来的VLAN成员资格。在网络规模较小时，该方案可以说是一个好的方法，但随着网络规模的扩大，网络设备、用户的增加，则会在很大程度上加大管理的难度。

基于路由的VLAN

路由协议工作在7层协议的第3层—网络层，比如基于IP和IPX的路由协议，这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。在按IP划分的VLAN中，很容易实现路由，即将交换功能和路由功能融合在VLAN交换机中。这种方式既达到了作为VLAN控制广播风暴的最基本目的，又不需要外接路由器。但这种方式对VLAN成员之间的通信速度不是很理想。

基于策略的VLAN

基于策略的VLAN的划分是一种比较有效而直接的方式，主要取决于在VLAN的划分中所采用的策略。

基于端口的VLAN优缺点;

基于端口的VLAN，简单的讲就是交换机的一个端口就是一个虚拟局域网，凡是连接在这个端口上的主机属于同个虚拟局域网之中。基于端口的VLAN的优点为：由于一个端口就是一个独立的局域网。所以，当数据在网络中传输的时候，交换机就不会把数据包转发给其他的端口，如果用户需要将数据发送到其他的虚拟局域网中，就需要先由交换机发往路由器再由路由器发往其他端口；同时以端口为中心的VLAN中完全由用户自由支配端口，无形之中就更利于管理。但是美中不足的是以端口为中心的VLAN，当用户位置改变时，往往也伴随着用户位置的改变而对网线也要进行迁移。如果不会经常移动客户机的话，采用这一方式倒也不错。

静态VLAN的优缺点

可以说静态VLAN与基于端口的VLAN有一丝相似之处，用户可在交换机上让一个或多个交换机端口形成一个略大一些的虚拟局域网。从一定意义上讲静态虚拟局域网在某些程度上弥补了基于端口的虚拟局域网的缺点。缺陷方面，静态VLAN虽说是可以使多个端口的设置成一个虚拟局域网，假如两个不同端口、不同虚拟局域网的人员聚到一起协商一些事情，这时候问题就出现了，因为端口及虚拟局域网的不一致往往就会直接导致某一个虚拟局域网的人员就不能正常的访问他原先所在的VLAN之中（静态虚拟局域网的端口在同一时间只能属于同一个虚拟局域网），这样就需要网络管理人员随时配合及时修改该线路上的端口。

动态VLAN的优缺点

与上面两种虚拟局域网的组成方式相比动态的虚拟局域网的优点真的是太多了。首先它适用于当前的无线局域网技术，其次，当用户有需要时对工作基点进行移动时完全不用担心在静态虚拟局域网与基于端口的虚拟局域网出现的一些问题在动态的虚拟局域网中出现，因为动态的虚拟局域网在建立初期已经由网络管理员将整个网络中的所有MAC地址全部输入到了路由器之中，同时如何由路由器通过MAC地址来自动区分每一台电脑属于那一个虚拟局域网，之后将这台电脑连接到对应的虚拟局域网之中。说起缺点，动态的虚拟局域网的缺点跟本谈不上缺点，只是在VLAN建立初期，网络管理人员需将所有机器的MAC进行登记之后划分出MAC所对应的机器的不同权限（虚拟局域网）即可。

OSI七层参考模型

1、标准化组织

(1) 国际标准化组织 ISO international organization for standardization

(2) 电子电器工程师协会 IEEE institute of electrical and electronics engineers

IEEE LAN标准 802.X协议簇

(3) 美国国家标准局 ANSI american national standards institute

FDDI

(4) 电子工业协会 EIA/TIA electronic industries association/telecomm industries association

RS232 CAT5 HSSI V.24 EIA/TIA568B

(5) 国际电信联盟 ITU international telecomm union

X.25 FRAME FRLAY

(6) INTERNET架构委员会 IAB internet architecture board

2、 OSI RM（Open System Interconnection Reference Model）:开放系统互连参考模型中的

底4层说明

（1）物理层：保证了数据通信物理线路及设备的畅通。

（2）数据链路层：保证了网络中相邻两个物理设备之间的正常通信。

（3）网络层：

A、 Routed protocol:由于数据链路层中的MAC地址是平面随机分布的，因此当网络扩大到一定规模的时候，给寻址数据交换带来了不便。因此类似于IP IPX等routed protocol产生了。他们可以将平面随机分布的MAC地址汇总，例如使用IP地址后，寻址可以根据网段来查找路由，如果不进行汇总，根据单个MAC地址寻址的话当网络扩大到一定规模，网络资源会被巨大浪费，并带来相当大的网络开销。IPX协议是基于novell网络的，其没有形成开放的标准化协议，他的网络地址是由各自网络管理员自由分配的，所以不同的网络互连时网络地址会有冲突的可能。而IP协议是标准化了的，ip地址在全世界范围内进行了分布。所以现在互联网络都是基于IP协议的。

B、 Routing protocol:如rip ospf网络层中的另外一个重要的功能是从原地址到目的地址之

间选择最佳的路由。其中直连路由direct 又叫数据链路层路由是根据mac地址寻址的路由

（4)传输层：保证了网络中任意端到端的正常通信。

7层的简介

物理层 physical layer bit 比特流

数据链路层 data link layer frame 帧

网络层 network layer packet 数据包

传输层 transport layer segment 段

会话层 session layer spdu

表示层 presentation layer ppdu

应用层 application layer apdu pdu(protocol data unit)协议数据单元

1、物理层

（1）协议：常见接口标准 RS-232 V.24 V.35 10BASE-T 100BASE-T

（2）设备：集线器 DTE:路由器 DCE:广域网的交换机 MODEM CSU/DSU

（3）功能：终端设备间传输比特流定义了电压接口电缆标准传输距离等

2、数据链路层

（1）协议：HDLC PPP X.25 FRAME RELAY IEEE802协议。

（2）设备：MODEM CSU/DSU ISDN终端适配器广域网交换机

（3）功能：保证将源主机网络层的数据包准确的传送到目的主机的网络层。保证了网络中相邻两个物理设备之间的正常通信。（点到点的通信）使用MAC地址提供对介质的访问，执行错误检验但不纠错网络拓扑流量控制。

（4）数据链路层分为2个子层：逻辑链路控制子层（LLC,Logic Link Control）介质访问控制子层（MAC Media Access Control）

3、逻辑链路控制子层：

它位于网络层和介质访问控制子层之间，通过SSAP(Sourse Service Access Point)源服务访问点和DSAP(Destination Service Access Point)目的服务访问点,提供了面向连接和面向无连接的网络服务环境的需要，允许多个高层网络协议共享一条链路,负责底层协议与网络层协议的通信介质访问控制子层：把0 1 组建成帧，并通过帧尾部的CRC字段进行错误检测。

4、网络层

（1）协议：路由协议routing protocol :rip ospf bgp 可路由协议routed protocol : IP IPX 其他 ARP RARP ICMP

（2）设备：路由器

（3）功能：确定数据包从源端到目的端如何选择路由。

数据链路层虽然可以解决错帧问题，但是不能解决网络拥塞时转发设备主动进行丢包。最简单的情况是路由器或者交换机的端口buffer溢出了，那么这个丢失的包就被丢弃了，根本不可能被数据链路层找回来，只能依靠上层（>=传输层）来解决。

5、传输层

（1）协议：tcp spx udp

（2）设备：

（3）功能：建立端到端的连接，提供可靠或不可靠的传输，将数据分段并检验并纠错。

6、会话层、表示层、应用层

应用层是人机对话的实际的地方，表示层用于把用户的语言转达表示为计算机可以理解的信息，会话层负责建立、管理和终止表示层之间会话的连接。

iso/osi七层网络通信协议 :只是提供一个模型。现在通用的通信协议都不会用到七层，比如著名的TCP/IP协议只用了四层，许多简单协议只有两层。

传统的开放式系统互连参考模型，是一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是:物理层、数据链路层、网路层、传输层、话路层、表示层和应用层。而TCP/IP通讯协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。这4层分别为：应用层：应用程序间沟通的层，如简单电子邮件传输（SMTP）、文件传输协议（FTP）、网络远程访问协议（Telnet）等。传输层：在此层中，它提供了节点间的数据传送服务，如传输控制协议（TCP）、用户数据报协议（UDP）等，TCP和UDP给数据包加入传输数据并把它传输到下一层中，这一层负责传送数据，并且确定数据已被送达并接收。互连网络层：负责提供基本的数据封包传送功能，让每一块数据包都能够到达目的主机（但不检查是否被正确接收），如网际协议（IP）。

网络接口层：对实际的网络媒体的管理，定义如何使用实际网络（如Ethernet、Serial Line等）来传送数据。

路由器和交换机的区别？

二层交换机：解决相同网络间通信

三层交换机：不但具有二层交换机快速转发的能力，还具有路由功能

四层交换机：可以根据协议，端口转发

路由器：解决不同网络间通信

路由器和交换机的工作原理？

作用：解决不同网络间通信

数据包-----网关----拆包-----查看路由表-----有则转发，无则丢弃

交换机的工作原理？

二层交换机解决相同网络间通信

数据帧----交换机----拆帧学习源MAC地址，对照MAC地址表转发目的MAC----有则转发，无则泛洪

路由器和三层交换机那个路由快？

不能笼统来说，具体的型号性能都不一样

路由器、防火强、三层交换机的作用与区别？

路由--解决不同网络间通信

FW--防火墙是一个连接两个或多个网络区域，并且基于策略限制区域间流量的设备。（阻止威胁从一个区域蔓延到其他区域）三层交换机--不但具有二层交换机快速转发的能力，还具有路由功能

交换机、二层交换机、三层交换机的区别？

矢量距离算法与链路状态算法区别是什么？

距离矢量协议：

1.他收到路由只知道是邻居给的不知道这个路由是谁发起的他也不会去问（好比找路他要从A到C就问别人，别人告诉他怎么走不想路径对不对，所以距离矢量协议容易出环路）

2.根据跳计数选路

链路状态路由协议：

1.他知道自己整个区域的主机（整张拓扑）只要收到路由他就知道路由从哪发起（而链路状态路由协议他手里就好比有个地图我会走最短的路走，不会走错，）

2.根据带宽选路

各个路由协议的管理距离是多少？

路由黑洞作用在什么地方？

解决缺省路由导致的环路

静态路由的配置？静态路由和默认路由的作用？

静态路由：IP route 目的id加目的子网加本地出接口或下一跳地址

（如：IP route 3.3.3.0 255.255.255.0 s1/1）手动配置（手动配置的）

缺省路由：IP route 0.0.0.0 0.0.0.0 本地出接口或下一跳地址 (前四个零表示匹配任意IP

地址、后四个零表示匹配任意子网掩码)

0.0.0.0 0.0.0.0 ---代表任网络。在网络末节，在内网跟外网只有一个出接口的时候用。

转载于:https://www.cnblogs.com/yueminghai/p/6475990.html

weixin_30480651

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
网络原理汇总

RIP工作原理、特征 :采用udp 端口号520两种报文：请求应答rip的时间间隔：30 180 240两个版本: v1 发v1 收v1 v2 发v2 收v2默认的是发v1 收v1 v2两个版本的区别: v1是广播 v2是组播，也支持广播 v1不...
复制链接

扫一扫