ARP协议
ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
在TCP/TP协议网络层及其以上,通常是根据IP地址来标识我们想要发送数据包的目标主机。但是在网络最底层数据包传输的过程中,而是根据MAC地址来决定发送的目标主机。互联网中每台主机均有着单独唯一的MAC地址作为标识。
总结就是:上层逻辑与下层物理对接 逻辑地址寻找物理地址
一、ARP原理
我们能够知道,对于一个IP数据报,其要么被发送到本地网络中的其他主机,要么被转发为本地网络中的路由器。所以,在ARP协议中解析的IP地址一定在是本地网络中的。
对于一个IP地址,获得其MAC地址的具体过程如下:
1、查询ARP高速缓存表。每台主机/路由器上都有一个ARP高速缓存表,ARP高速缓存表存放着最近IP地址到MAC地址之间的映射记录。如果ARP高速缓存中存放着对应IP地址的MAC地址就可以直接取用。否则进行步骤2。
2、广播发送ARP请求到以太网上的每个主机。ARP请求中包含目的主机的IP地址。其含义为“如果你是这个IP地址的拥有者,请回答你的MAC地址”。
3、目的主机的ARP层收到这份广播报文后,识别出这是发送端在询问它的IP地址,于是单播回复一个ARP应答,包含本机的目的IP地址和硬件地址。并且将源主机的IP地址和MAAC值存放如ARP缓存表。
4、本机收到ARP应答后就将目的主机的IP地址和MAC地址存入ARP缓存表。同时使用ARP进行请求-应答交换的IP数据报现在就可以传送了。
二、ARP高速缓存表
ARP请求报文到达目的主机的时候,目的主机会将相应的IP地址和MAC地址存入ARP高速缓存中。
当主机收到目标主机发送的ARP高速缓存后,主机会将目标主机的IP地址和MAC地址同样的存入ARP高速缓存内。
存放在ARP高速缓存中包括动态表项和静态表项,动态表项就是如上由ARP协议进行维护。这些表项都设置了一个超时值,如果在超时值内无人使用,将会被删除。如果再次被使用,将会重新更新超时值的值。
对于ARP高速缓存中的静态表项,一般是由管理员来进行设置,无超时值,永久生效。
三、ARP代理
如果ARP协议中的请求主机A和目的主机B是在同一个网段内,但是却处在不同的物理网络中。主机A将广播发送ARP请求包到以太网中,此时连接两个网络的路由器可以代替主机B应答该请求。这个过程就被称为ARP代理。这样子可以欺骗发起ARP请求的发送端,让它误以为路由器就是目的主机,然而事实上目的主机是在路由器的“另一边”。
为什么要有ARP代理?
路由器的一个重要功能是把局域网广播包限制在该网内,不让扩散,否则会造成网络风暴。ARP 请求是个广播包,它询问的对象若在同一个局域网内,就会回答。但如果查询对象不在同一个局域网,就会由路由器提供的代理ARP服务来解决。
四、其它类型的ARP
普通ARP(正向ARP)
1.功能介绍:通过ip地址获得MAC地址
2.工作过程:网络设备A发送数据包给网络设备B,数据包需要填写A,B的源目ip地址和源目MAC地址,这时候会在本地的ARP缓存表查询B的MAC地址,查询不到的话就会发ARP请求包以广播的形式在局域网中散开,B收到到核实目的IP地址是本地的IP地址就会以单播方式发送ARP回应包给A,ARP回应包记录了B的MAC地址
翻转ARP(RARP)
功能介绍:通过MAC地址获得ip地址
无故ARP
1.功能介绍:查询想使用的ip地址是否在局域网中已被占用
2.报文介绍:源目ip都是写本机的ip,源MAC写本机的MAC,目的MAC写广播地址
3.用途:
⑴确定设备的ip是否与其他设备ip冲突,当其他设备接收到无故ARP时,就会核对是否与本机ip冲突,如果冲突了就会返回一个arp应答包告知ip地址已被占用
⑵设备改变物理地址时,可以通过无故arp报文通知其他设备更新arp表项
逆向ARP(IARP)
功能介绍:通过物理地址获得ip地址
ACL
即访问控制列表,其主要有两个作用:
1、访问控制-----在路由器上流量进或出的接口上规则流量;
2、定义感兴趣流量 —为其他的策略匹配流量
分类:
1、标准ACL- - -仅关注数据包中的源ip地址 范围
2、扩展ACL- - -关注数据包中源、目标ip地址、目标端口号、协议号
写法:
编号写法: 1-99 标准 100-199 扩展 删除一条整表消失
命名写法: 一个名字一张列表 可以随意删除某条(命名型acl可以往编号型acl中插入条目) 如下:
使用实例:
基于时间的ACL:默认是调用后24h均执行!
周期执行的acl
其中跨24点的周期acl如下
debug命令配合acl
ACL的小细节总结:
access-list 1 permit 10.1.1.0 只抓取10.1.1.0
access-list 1 permit 10.1.1.0 0.0.0.255 匹配所有10.1.1开头的ip
反掩码意义:1表示不在意 0表示在意
抓取偶数结尾的10.1.1.0/24段中的地址:access-list 1 permit 10.1.1.00.0.0.254 在意最后一位
抓取奇数结尾的10.1.1.0/24段中的地址:access-list 1 permit 10.1.1.1 0.0.0.254
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - rst 是重置位 tcp报文中 释放建立的连接,清空内存,可以阻止访问某个网站,检测到tcp三次握手,捕获,回复rst包进行回复就不会访问到网站
NAT
网络地址转换
重点要点记住:
进 inside先查路由再做转换
进outside先转换再路由
在边界路由器上,流量从内部去往外部时,将数据包中的源ip地址进行修改(内部本地修改为内部全局)
流量从外部进入内部时,修改目标ip地址(外部全局修改为外部本地)
show ip nat translations 查看nat表 ccna中,出去是源转换,回来是目的转换
一对一静态
内部本地改为内部全局
一对多:(动态)PAT --端口地址转换
将多个私有ip地址转换为同一公有ip地址,依赖数据包中的端口号来进行区分;
先使用ACL定义感兴趣流量----哪些私有ip地址被转换
!!! 切记:切记:一旦进行nat配置,就必须定义边界路由器上各个接口的方向
多对多:(静态或动态)
端口映射
通过外部访问12.1.1.2,同时目标端口为80时,目标ip地址就一定被转换为192.168.1.100,端口号80
通过外部访问12.1.1.2同时目标端口为8080时,目标ip地址就一定被转换为192.168.1.200,端口号80
RIP协议
首先先简述一下路由表
从左到右
第一个是协议:1、硬件自发现(打c是网段,打l是主机) 2、静态(人工写上去的)3、动态(程序计算出来的) 协议说明来源
第二个是路由前缀:网络目的地
第三个是括号(管理距离:来源的信任度 0-255 255是完全不信任,0是完全信任。有时候不同的来源是相同的前缀。度量值:为动态服务,只能针对一个动态协议之下比较)
第四个是出接口
第五个是下一跳
距离矢量协议:
路由表中放学习到的路由,如何放?:
1、路由表中没有该路由,就会添加,包中带有源路由出接口的ip,提取出来就是路由表中该路由条目的下一条
2、路由表中有该条路由,先看管理距离,谁小放谁。同一,种协议理应先看度量,但实际不看:先看是否同源,如果同源(同一个下一跳),无条件更新。不同源才会比度量值。
宣告:1、哪些网段参与传播2、哪些接口可以发数据包,收数据包
RIP:
如果路由发生变动,会在所有的口发送request去询问,收到的路由器去查找自己的路由表,有就回复有数据会在环路中循环 但是不会永远循环 受TTL限制。TTL为0会被丢弃。
PS:只能主类宣告
路由信息协议 存在 V1-2; NG(IPV6)
标准的距离矢量路由协议,邻居(直连)间直接共享路由表;默认仅存在更新包;
基于UDP 520端口工作;支持等开销负载均衡,默认支持4条,最大6条,IOS 版本12.4以上支持16条;使用跳数来作为度量,管理距离120;使用周期和触发更新;
触发更新----结构突变时,进行及时的重新收敛
周期更新----保活、确认 30s
V1和V2的区别:
1、V1有类别协议
V2无类别协议–支持VLSM,CIDR无类别域间路由,不支持超网
2、V1 使用广播更新—255.255.255.255
V2使用组播更新—224.0.0.9
3、V2支持手工认证----邻居间身份核实
防环机制:
权衡下来最大16跳
水平分割:作用于接口 收到一个路由,不能再从这个接口发出去,水平分割并不是都是好的,有些情况下是有害的。
毒性逆转:可以忽略水平分割 从一个接口学习到的路由会发送回该接口,但是已经被毒化,跳数设置为16跳,不可达,这样接收方路由器会立刻抛弃该路由,而不是等待其老化时间到
抑制计时器:冻结同源更新180s,240sRIP库里也没有了,刷新RIP库
被动接口
连接pc的接口不往下广播
修改跳数
偏移列表offset-list 只能增大跳数
参数为:ACL、方向、增加的跳数 接口
修改管理距离
关闭水平分割
有时水平分割是有害的
接口认证
1、RIPV2的认证----运行了RIP协议的邻居间,进行身份的核实
先定制key,再在同邻居直连的接口上调用
邻居间key 1、key-string、模式必须相同
缺省路由
在边界路由器上配置RIP缺省后,内部的路由器将自动生成缺省路由指向边界路由器;边界路由器到达ISP的缺省路由,宣告手工静态配置
2530
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
