网络工程设计
数据是协议产生的 传输层是进行封装的
端口范围: 0~1024 知名端口
30000以上为随机端口
IS-IS属于二层协议但是工作在第三层
数据链路层协议:FR-帧中继、Ethernet、PPP、HDLC(思科的独有协议)、ATM
ARP作用:通过目的的ip地址获取到目的的mac地址
ARP的报文结构:
ARP广播(request):SMAC:AA SIP:1.2
DMAC:FF:FF:FF:FF:FF DIP:1.1
ARP广播(replay):SMAC:ABB SIP:1.2
DMAC:AA DIP:1.1
Type=00800(表示支持16进制)/00806(ARP) 表示一层使用什么协议
MTU:最大传输单元,最大为1500B 大于1500B的需要进行包分片传输
IP的报文结构:
DS字段:优化的 (DIfferentiated services)
Total length:总长
片偏移字段:Identification:0x8815(标记字段)用来区分不同的数据段
Flags:0x02 (Don`t Fragment)标识字段 3b:第一位 0不使用
第二位:表示是否使用包分片(0:可以分片,1:不可以)根据MTU的标识
第三位:是否为最后一个包(0:最后一个,1:后面还有包)
Fragmet:片偏移字段:13个bit用来标识一个分段对应原始数据段的位置
protocol:ICMP(1) 协议字段:标识上层使用什么协议
TCP(6)
UDP(17)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sWS4WHQE-1652955655049)(https://gitee.com/jason-tuchuang/typora-tuchuang/raw/master/image-20220324143524436.png)]
注:R1处有ARP缓存表 AA 1.1
跨网段传输,数据先交给网关
路由器的MAC地址,有多少个接口就有多少个MAC地址
应用层:DATA PDU:协议数据单元
传输层:Sport 30000 Dport 80 data 数据段
网络层:Sip:1.1 Dip:2.1 protocol :6 30000 Dport 80 data 数据包
数据链路层:Smac:AA Dmac:CC type:0x080 Sip:1.1 Dip:2.1 protocol :6 30000 Dport 80 data 数据包 FCS 称为帧
Q:ARP是三层协议工作在二层 那么ARP广播请求谁的地址?
R:PC1的网关地址 ARP请求包:Sip:1.1 Smac:AA
Dip:1.254 Smac:FF
Smac:AA Dmac:FF
ARP回复包:Sip:1.254 Smac:CC
Dip:1.1 Smac:AA
(二层) Smac:CC Dmac:AA
交换机的四个动作:学习、泛洪、转发、丢弃
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Bq72e4Lt-1652955655051)(https://gitee.com/jason-tuchuang/typora-tuchuang/raw/master/image-20220324144932173.png)]
TCP头部报文最小20个B、UDP头部最小8个B
Sequence Number:序列号
Acknowledge Number:确认号
Window:窗口大小
Checksum:校验
Options:选项(24b)
Padding:负载
TCP和UDP区别:本质区别:TCP是面向连接的传输层协议(慢、可靠),UDP面向无连接的传输层协议(快、不可靠)
Q:TCP如何保证可靠?
R:三次握手
丢包重传
四次分手
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VHFxzSNn-1652955655052)(https://gitee.com/jason-tuchuang/typora-tuchuang/raw/master/image-20220324151101442.png)]
客户端使用的源端口一般为随机分配,目标端口则由服务器的应用指定;
源端口号一般为系统中未使用的,且大于1023
目的端口号为服务端开启的应用(服务)所侦听的端口,如HTTP缺省使用80
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-at01V6PM-1652955655053)(https://gitee.com/jason-tuchuang/typora-tuchuang/raw/master/image-20220324151339143.png)]
MAC地址由两部分组成,分别为供应商代码和序列号。其中前24位代表供应商代码 由IEEE管理和分配,剩下的24位序列号由厂商自己分配
路由表的路由来源:1、直连获取
2、通过静态路由获取
3、动态路由协议
ospf工作原理:1、发送HEllo
2、泛洪LSA
3、形成相同的LSDB
4、通过SPF算法,得出最优路径 维护:每十秒发送一次Hello 优先级是10
RIP路由信息协议(端口号520、优先级100、应用层协议、基于UDP封装)
距离矢量路由协议:只关心距离和方向,传递的是路由表
链路状态路由协议:传输的是链路信息,形成相同的拓扑
在宣告RIP路由时 要宣告主类掩码 例:172.16.1.1/24 network 172.16.0.0
rip的工作原理:1、开启RIP后,直接发送请求,收到请求进行回复
2、当网络稳定后,周期(22.5S~30S)性发送消息
RIP中的NEXT hop:0.0.0.0 表示本地转发最优
RIP v1特点:1、以广播的形式发送报文,不支持认证
2、不支持(VLS、CIDR)
RIP v2特点:1、以组播的形式发送报文,地址为224.0.0.9
2、支持VLSM、CIDR
三个计时器:
更新计时器:22.5S~30S
老化计时器:180S超过180S没有收到邻居的更新报文,则吧该路由的度量值设置为16,并且启用垃圾计时器
垃圾计时器:120S若启动了该计时器,超过120S后该路由表中会删除该路由表项
解决环路问题:
1、最大跳数:最大15跳,当为16跳时,表示路由不可达,并删除
2、水平分割:通过对端学习到的路由不会再传回对端
3、路由毒化:当路由器检测到链路出现变化时,直接发送Response报文
命令:
dis rip /database //查看数据库中所有被激活的路由
接口下:undo rip output //停止从某一接口发送更新报文
rip metricin 6 //路由入方向修改跳数(修改值+传递值)
rip metricout 6 //路由出方向修改跳数(修改值+传递值)
rip version 2 broadcast //使路由可以使用广播进行发送V2报文
rip version 2 mulitcast //使路由可以使用组播进行发送V2报文
OSPF 开放式最短路径优先
(链路信息路由、基于IP封装 端口号89) 属于网络层或者传输层,一般来说是网络层 组播地址为224.0.0.5、224.0.0.6 路由器优先级为1 生存时间(40S)Hello时间(10S)必须一致
Q:为什么要有OSPF?
R:RIP优点:配置简单,易于维修,适用于小型网络
缺点:最大15跳、容易产生环路、认证、拓展性差、收敛速度慢
OSPF优点:无环路、收敛快、拓展性好、支持认证
OSPF工作原理:
1、发送Hello消息,建立邻居关系
2、互相泛洪LSA(链路状态消息),形成相同的LSDB(链路状态数据库)
3、运行SPF算法,得出最优路径
区域:骨干区域:AREA 0.0.0.0
非骨干区域:1~2^32
区域的部署原则:非骨干区域之间通信必须要与主干区域相连
Q:为什么要划分区域?
R:为了减小LSDB,减小LSDB震荡
OSPF报文:
1、hello报文:
2、DBD报文:数据库描述报文–描述本地链路数据库,包含少量LSA信息
3、LSR报文:链路状态请求报文:–请求缺少的详细LSA
4、LSU报文:链路状态更新报文:–恢复缺少的详细LSA 包含完整的LSA信息
5、LSACK报文:链路状态确认报文–确认
OSPF状态机:
DOWN:开启OSPF,没有任何报文交互–没有报文
Init:收到hello报文没有自己的Router-id --hello报文交互
2Way:收到hello报文包含自己的Router-id—hello报文交互—邻居关系建立成功
Exstart:进行主从关系的选举–发送两个DD空报文–为保证DD报文可靠
Exchange:进行真正的DD报文交互–传输本地链路状态数据库
loading:进行LSR、LSU、LSACK的报文传输
FULL:进行SPF算法得出最优路径—邻接关系建立成功、
Q:为什么要有Exstart状态?
R: 因为OSPF基于IP封装了,属于不可靠封装,而hello报文每十秒发送一次,LSU、LSR、LSACK互相保证可靠,又因为DBD中包含少量的LSA信息,所以在交互时,不可丢失,为了保证DD报文的可靠性需要在该状态下进行主从关系的选举。
Q:如何保证可靠?
R:从路由使用主路由的序列号进行发送报文
Q:如何选举主从?
R:根据Router-id进行选举,越大越优先
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tohmMLlK-1652955655054)(https://gitee.com/jason-tuchuang/typora-tuchuang/raw/master/image-20220324154917196.png)]
Router-id选举规则:
1、手工指定
2、配置的第一个IP地址作为Router-id
若没有以上2种,选举Router-di规则如下:如果设备商存在的逻辑接口地址,则路由器使用国际接口最大的IP地址作为Router-id,若没有配置逻辑接口,则路由器使用物理接口最大的地址作为Router-id
LSA过渡泛洪的问题:
解决办法:选举一个指定路由器,由指定路由器转发所有的LSA信息,其他的路由器泛洪LSA直接发给指定的路由器
DR:指定路由器
BDR:上面的备份
DROTER:其他
每条链路选举一个DR
DR选举规则:(DR具备不可抢占性,防止LSA重新泛洪,造成网络不稳定)
1、比较优先级,越大越优先,默认是1,为0表示不参加选举
接口下:ospf dr-priority //修改路由器优先级
2、比较Router-id,越大越优先
DR、BDR、DRother之间的关系:
邻居关系:只发送hello报文 DRother与DRother
邻接关系:发送hello报文且泛洪LSA DRother与BDR/DR
AS:自治区域系统:运行相同路由协议的路由器的集合
ABR:区域边界路由器
ASBR:自治系统边间路由器
V-link:虚拟链路 可以实现非骨干区域和骨干区域不相连时,通过相邻的非骨干区域建立邻居关系 不支持认证
选两个自治系统边界路由 并且其中一个她要和area 0 相连
区域内 vlink-peer 2.2.2.2(邻居的Router-id)
区域内 vlink-peer 2.2.2.2(邻居的Router-id)
display ospf vlink //查看v-link邻居关系
进程里 peer-1.1.1.1 //单播建立邻居关系
ospf适用多种网络类型
| 二层链路 | 网络类型 | 邻居/邻接 | 是否选举DR/BDR | 生存时间 | 死亡时间 |
|---|---|---|---|---|---|
| 以太网—BMA(广播多路访问网络) | BMA | 邻居 | 是 | 10S | 40S |
| PPP------P2P(点到点网络) | P2P | 邻接 | 否 | 10S | 40S |
| 多个P2P的集合—P2MP(点到多点) | P2MP | 邻接 | 否 | 30S | 120S |
| FR-------NBMA(非广播多路访问网络 全连接) | NBMA | 邻居 | 是 | 30S | 120S |
| V-link(虚拟链路) | V-link | 邻接 | 否 | 10S | 30S |
Q:为什么要划分多个网络类型?
A:底层链路不同导致不同网络类型的产生
通过网络类型表示二层链路类型,从而构建完整的拓扑
建立邻居关系的必要条件:
1、Router-id 必须唯一
2、area-id 必须一致
3、auth-type 必须一致
4、auth-data 必须一致
以上四个报文都在ospf的头部报文中
hello报文:
1、network 掩码 在BMA、NBMA、P2MP网络环境下必须一致,在P2P、V-link中可以不一致
2、hello interval 10S 间隔必须一致
3、options 选项字段
4、dead-interval 40S 间隔必须一致
1、Router-priority 路由优先级
2、DR 指定路由器–邻居关系建立之后选举
每条链路都选举一个DR
DBD报文:
1、interface MTU:0 接口最大传输单元(默认不开启:开启MTU值后,如果MTU值不一样则会导致停留在Exstart)
接口下:ospf mtu-enable //开启接口MTU
接口下:mtu 1400 //修改接口MTU值
DB Description :0x01(ms)—DBD描述报文
… .0…=I:Init bit is not set —是否为第一个DBD报文1为是0为不是
… …0. =M:More bit is not set —是否为最后一个DBD报文1为不是0为是
… …1=MS Master/Slave bit is set —是否为主从报文1为主0为从
Q:LSA的作用是什么?
A:构建整张拓扑(LSDB)
hello报文中没有LSA头部
DBD报文中带有LSAT头部
LSR报文中带有完整的LSA
LSU报文中带有完整的LSA
LSACK当中带有LSA头部
LSA头部:
LS Age:LSA的寿命,最大为3600S–路由器每间隔1800S会整体泛洪一次—判断LSA新旧程度—越小越新
link-State Advertisement Type:Router-LSA(1)(1类LSA-路由器LSA)–LSA类型—6种
link State ID:3.3.3.3 —路由器的Router-id
链路类型
transnet:描述了本路由器经过一个transit
一类LSA 路由器LSA
LSID:router-id
通告范围:本区域内
通告路由器:本区域内的所有路由器
链路类型:
StubNet:描述了本端路由器到了一个stub网段(loopback)的连接,属于路由信息
P2P:描述了本端路由器到邻居路由器的点到点连接,属于拓扑信息
一类LSA Router-LSA 路由器LSA
Ls id:2.2.2.2 Router-id
Adv rtr:2.2.2.2 区域内所有的路由器
通告范围:本区域内所有路由器
作用:描述了本端的接口信息和DR的接口信息(BMA、NBMA)
描述了本端的接口信息对端的设备信息和所在网段信息
link ID:123.1.1.3 对端的DR接口地址
data:123.1.1.1 本端接口的地址
link Type:transNet 链路类型
link ID:192.168.1.1 loopback地址
data:255.255.255.255 掩码
link type:StubNet 链路类型
link ID:3.3.3.3 对端设备的router-id
data:34.0.0.0 掩码
link type:P2P 链路类型
link id:34.0.0.0 所在网段
data:255.255.255.0 掩码
link type:StubNet 链路类型
display ospf lsdb router //查看一类LSA
Q:为啥要有二类LSA?
A:
二类LSA Network-LSA 网络LSA
Ls id:123.1.1.3 DR的接口地址
Adv rtr:3.3.3.3 通告路由器为DR设备
通告范围:本区域内
作用:描述了某网络内路由器的集合
Net mask:255.255.255.0 网络掩码
display ospf lsdb network //查看二类LSA
一类LSA和二类LSA共同构建域内拓扑
三类LSA sunmmary Network 网络汇总LSA
Ls id:34.0.0.0 区域外某网络的网络号
Adv rtr:3.3.3.3 通告路由器是ABD设备
通告范围:区域间
作用:描述了区域外某条路由信息
特点:因为传递的是路由信息具有距离矢量特性,容易产生环路
缺点:LSDB会增加
解决办法:三类聚合
ABR设备上的区域内:abr-summary 10.1.0.0 255.255.0.0 //三类聚合
在ABR设备上进行聚合,在需要聚合的网段所在的区域内进行聚合
ospf LSA 6种
一类LSA router-LSA
二类lSA network-LSA
构建域内拓扑
三类LSA summary network LSA
五类LSA AS external 自治系统外部LSA
作用:描述AS外部的某条路由信息
通告路由器是ASBR
E type:2 只计算外部开销
四类LSA summary ASBR ASBR汇总LSA
通告范围:除了ASBR所在区域的其他区域
display ospf lsdb asbr
特殊区域
stub区域:末节区域
Totally stub 完全末节区域
Nssa No so stub area 次末节区域
Totally Nssa 完全次末节区域
VLAN 虚拟局域网
交换机所有数据帧,当到达交换机时,如果没有VLAN标签一定会打
Q:为什么要有VLAN?
R:因为广播域越大网络带宽资源和设备资源浪费越严重
vlan工作原理:利用tag区分不同vlan,相同vlan内的主机可以实现二层互通,不同vlan
tag字段:
0x8100 802.1q表示vlan数据帧
pri优先级(取值0-7)用来做QOS(服务质量标准化)
VLAN ID (12b)(取值0-4095 可用的1-4094)
vlan链路类型:
access:接入链路 SW-PC 特点:只允许通过一个vlan
收到数据帧时:首先要查看数据帧是否携带tag,如果无标签则加上本端的PVID,若有tag则查看是否与本端一致,一致则接收,不一致丢弃
发送数据帧时:去掉标签
Trunk:骨干链路 SW-SW 特点:允许通过多个vlan
收到数据帧时:首先要查看数据帧是否携带tag,若无tag则加上本端的PVID,若有tag则查看允许通过列表,有则通过,无则丢弃
发送数据帧时:首先查看允许通过列表,有则发出,无则丢弃。发出时,则查看tag是否与本端PVID一致,一致则去掉tag发出,不一致则直接发出
hybrid:混合链路 SW-PC SW-SW (华为独有) 特点:手工定义允许通过的vlan并设置通过时的动作
动作:tagged:保留标签发出
一般用在主干网
untagged:去掉标签发出
一般与port hybrid pvid 在一起用
工作原理:
收到数据帧时:首先要查看数据帧是否携带tag,若无tag则加上本端的PVID,若有tag则查看允许通过列表,有则通过,无则丢弃
发送数据帧时:首先查看允许通过列表,根据允许通过列表中对应的动作进行转发数据
port hybrid pvid vlan2–给端口打上我们的PVID
port hybrid untagged vlan2 100-其中有二层含义
1、第一层含义就是vlan2和v1an100在允许的列表中
2、第二层含义就是我发送数据帧的时候其中vlan2和vlan100是untag形式发送的
port hybrid tagged vlan3to4 200–其中有二层含义
1、第一层含义就是vlan3和vlan4和vlan200在允许的列表中
2、第二层含义就是我发送数据帧的时候其中vlan3和vlan4和vlan200是tag的形式发送的
vlan间路由:由于vlan彻底隔离了二层互通,想要实现不同vlan间的通信,必须要通过三层设备实现
STP生成树协议
原理:利用阻塞端口,在网络稳定时不转发数据(逻辑上关闭),当网络发生故障时,转发数据
作用:
Q:为什么有STP?
R:
根 根交换机
选举规则:比较网桥ID BID
优先级:默认32768 :越小越优先
MAC地址:越小越优先
根端口:非根交换机到达根交换机最优的端口
选举规则:根路径开销,越小越优先 802.1t 10M=2000000 对端的网桥ID(BID):越小越优先
100M=200000 对端的端口ID(PID):越小越优先
1000M=20000 本端的端口ID(PID):越小越优先
10000M=2000
指定端口:每条链路上到达根交换机最优的端口
选举规则:根路径开销:越小越优先
本端网桥ID(BID):越小越优先
本端端口ID(PID):越小越优先
阻塞非根非指定端口
端口角色:根端口:
指定端口:
预备端口:
工作过程:交换机之间通过交换BPDU(桥协议数据单元),进行端口角色的选举
Protocol ID协议标识:
Protocol Version ID:协议版本
BPDU Type:BPDU类型 配置BPDU
BPDU flags:标志位
Topology change Acknowledgment :拓扑变化确认位
Topology change :拓扑变化位
Root ID:根网桥ID 修改只能是4096的倍数
Root Bridge Priority:根桥的优先级
Root Path Cost :根路径开销
Bridge ID:本端的网桥ID
Message age:消息寿命
Max age:最大寿命 超过20S收不到BPDU则认为根死亡
Hello time :hello 周期 每两秒发送一次
Forward Delay:转发延时 15S
注:只有根交换机才能发送配置BPDU,初始情况下所有交换机都认为自己是根交换机,所以会发送配置BPDU
STP状态机
端口状态转换:Disable:未启用状态
不转发数据不学习mac地址表 不参与生成树的计算
Blocking:阻塞状态
不转发数据帧 不学习mac地址表 接收并处理BPDU但是不发送BPDU
listening:侦听状态
端口不转发数据帧 不学习MAC地址表 只参与生成树的计算 接收并发送BPDU(进行角色选举需要等待15s)
learning:学习状态
端口不转发数据帧 学习mac地址表 参与生成树的计算 接收并发送BPDU(加速mac地址表的老化,等待15s)
forwarding:转发状态
端口正常转发数据帧,学习mac地址,参与生成树的计算,接收并转发BPDU
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-snfGPCKO-1652955655055)(https://gitee.com/jason-tuchuang/typora-tuchuang/raw/master/image-20220325172416767.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Z4Gq8p9t-1652955655055)(https://gitee.com/jason-tuchuang/typora-tuchuang/raw/master/image-20220325172452741.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3EoAPPmE-1652955655056)(https://gitee.com/jason-tuchuang/typora-tuchuang/raw/master/image-20220325173035281.png)]
直连故障:30S 2个转发延时
非直连故障:50S 20s(MAX age) + 2个转发延时
STP缺点:
1、状态机复杂
2、重复状态多
3、网络拓扑发生变化时,收敛机制复杂,速度慢
P/A机制:提议协商机制 是一个端口尽快进入转发状态
前提:点到点链路(全双工工作模式)
RSTP
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ue4ImvUk-1652955655056)(https://gitee.com/jason-tuchuang/typora-tuchuang/raw/master/image-20220325173632973.png)]
与STP的区别
1、端口角色(STP:根端口、阻塞端口、指定端口)
(RSTP:根端口、阻塞端口、指定端口、华为备份端口)
预备端口与备份端口正常情况下都不转发数据,但是要接收BPDU
预备端口后续变为根端口
备份端口后续变为指定端口
2、端口状态
Discarding:丢弃状态:此状态下端口对接收到的数据帧做丢弃处理,端口不转发数据帧,不学习MAC地址表
Learning:学习状态:不转发数据帧,学习MAC地址表,参与生成树计算,接收并转发BPDU
Forwarding:转发状态:正常转发数据帧,学习MAC地址表,参与生成树计算,接收并发送BPDU
3、RSTP收敛快的原因
1、端口状态的减少
2、边缘端口:连接终端设备的端口
不进行端口角色的选举,直接进入Forwarding 状态开始数据的转发
3、P/A机制 提议协商机制—是一个指定端口尽快的进入到Forwarding状态、用于根端口的快速选举
4、4.BPDU flags:0x7c (Agreement,Forwarding,Learning,Port Role:Designated)BPDU标志
0… …=Topology Change Acknowledgment:No 拓扑变化确认位
… …0=Topology Change:No 拓扑变化位
.1… …=Agreement:Yes 同意位
…1. …=Forwarding:Yes 转发位
…1 …=Learning:Yes 学习位
… …0.=Proposal:No 提议位
… 11…=Port Role:Designated (3) 端口角色 2bit
11(指定端口)—10(根端口)—01(预备端口)—(00)保留
5、TC while 计时器=4S
当拓扑发生变化时,故障设备会向上游设备发生TC位为1的BPDU并启动TC while 计时器 在4S内不断向上游发送,老化MAC地址表和学习新的MAC地址表,此动作会一直重复,直到到达根交换机
6、RSTP缺点:部分vlan不通、无法使用流量分担、次优的二层路径
MSTP 多实例生成树(多个RSTP的集合)
状态机变少
P/A机制:提议协商机制
前提:点到点链路(全双工)
交换机通过互相发送RST-BPDU进行参数的对比做出提议和角色的选举,其中主要通过提议和同意进行下一个动作的启动,所以没有转发延时,加快了收敛速度。
在P/A机制进行时要将非阻塞端口阻塞掉,防止潜在环路
端口角色
多个RSTP的集合
将不同vlan划分到不同的RSTP树中,每个vlan的数据从自己的RSTP树走
当网络中有stp RSTP MSTP时,会向下切换到以stp为主,但是并不是模式的切换,只是MSTP、RSTP发送STP的BPDU
stp mcheck //向上迁移
stp mac-hops //stp最大跳数默认是20跳
边缘端口保护:从边缘端口接收到BPDU直接关闭该端口–BPDU保护
根保护/指定端口的保护:当指定端口收到的BPDU中的优先级小于根交换机则直接阻塞指定端口以保护
[SW1-Ethernet0/0/1]stp root-protection
环路保护:若上游接口长时间接收不到BPDU直接将该端口阻塞
[SW1-Ethernet0/0/1]stp loop-protection
TC-BPDU保护:限制对端接收BPDU的数量(默认为1)
stp tc-protection threshold 2
ACL 访问控制列表
是一个单一的选取工具
分类:基本ACL:2000-2999 源IP地址
最好调用在离目标近的出站接口上—避免一棒子打死所有的
高级ACL:3000-3999 源IP、目的IP、源端口、目的端口等
最好调用在离源头最近的接口上—节省链路带宽
二层ACL:4000-4999 源MAC、目的MAC、以太网帧协议类型、时间等等
注:所有的ACL都不能对物理接口进行控制
规则 作用
掩码:连续的1和0 IP地址 1对应网络位、0对应主机位 255.255.0.0
反掩码:连续的0和1 路由协议 0必须匹配、1无需匹配 0.0.255.255
通配符掩码:任意的0和1 ACL 0必须匹配、1无需匹配 0.0.255.0
动作:permit:允许 默认允许所有
deny:拒绝
ACL匹配规则:按照规则ID大小匹配
步长默认为5
步长:规则ID的间隔
作用:方便以后添加的新的规则
高级ACL配置:
rule 5 deny tcp soure 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.0255 destination-port eq 21
(eq等于 gt大于 lt小于 range范围)
NAT网络地址转换
Q:为什么要有NAT技术?
A:因为IPV4地址资源紧缺,私网ip地址不可以出现在公网上
NAT属于过渡技术 使用在内网和外网的边界上
静态NAT:一对一转化 无法进行IP地址的节省
动态NAT:多对多 也是一对一转换 无法实现IP地址的节省
NAPT:多对一的转换 利用端口号识别私网地址
easy-IP:利用出口网关地址进行转换
NAT server:
display nat seeion all //查看NAT所有会话
IS-IS 中间系统到中间系统
和OSPF一样,IS-S也是一种基于链路状态并使用最短路径优先算法进行路由计算的一种lGP协议。IS-IS最初是国际化标准组织SO为它的无连接网络协议CLNP设计的一种动态路由协议。 属于三层但是工作在二层 优先级为15
特点:适用于大型网络环境
收敛速度极快
拓展性强(TLV)
原理:1、发送IIH报文(hello报文),建立邻居关系
2、泛洪LSP(链路状态PDU),形成相同的LSDB
3、运行SPF算法,得出最优路径
CLNP:无连接网络协议 网络层协议
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wYIKsdx1-1652955655057)(https://gitee.com/jason-tuchuang/typora-tuchuang/raw/master/image-20220407161541425.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ifunFqPR-1652955655058)(https://gitee.com/jason-tuchuang/typora-tuchuang/raw/master/image-20220407162315733.png)]
SEL=00 表示在路由器上配置NSAP地址
NET是一类特殊的NSAP(SEL=00),在路由器上配置IS-IS时,只需要考虑NET即可。
路由器级别:
Level-1 路由器
Level-2 路由器(骨干区域路由器)
Level-1-2 路由器
区域:
基于路由器划分的
骨干区域和非骨干区域按照路由器级别进行划分
Level-2 骨干区域
Level-1 非骨干区域
Level-1-2 默认级别
Level–1的邻接关系的建立,区域ID必须一致。
isis //开启isis
network-entity 49.0001.0000.0000.0001.00 //宣告网络实体
is-level level-1 //更改路由器级别
接口下 isis enable //开启ISIS
display ISIS peer //查看isis邻居关系
is-level level-1-2 //虽然默认但必须要打
接口下 isis cost 333 //修改开销值
import-route isis level-2 into level-1 //渗透
level-1的邻接关系的建立,区域ID必须一致,所以level-1-2路由器和level-1路由器建立邻接关系时要保持Area-ID一致
默认接口的开销值是10
窄模式:1-63(最大60)
宽模式:1-16777215
通信原则:
首先level-1-2路由器会向level-1路哟器发送一条ATT位,置为1的LSP,level-1路由器收到后会产生一条下一跳指向level-1-2路由器的缺省.
level-1-2路由器将所在区域的LSP挂在level-2的LSDB上传递给level-2路由器
邻居关系:
level-1路由器和level-1路由器=level-1的邻居关系
level-2路由器和level-2路由器=level-2的邻居关系
level-1路由器和level-1-2路由器=level-1的邻居关系
level-2路由器和level-1-2路由器=level-2的邻居关系
报文:
hello:建立邻居关系,维护邻居
LSP:链路状态PDU,交换链路状态信息
CSNP:全序列号PDU,描述链路状态信息=ospf DD
PSNP:部分序列号PDU,请求和确认链路状态信息=ospf LSR、LSU、LSACK
组播地址:
level-1: 01:80:c2:00:00:14
level-2: 01:80:c2:00:00:15
DIS:指定中间系统
作用:周期性发送CSNP,保障BMA网络中LSDB的同步
实节点:LSP
伪节点:LSP(只在广播链路中存在)
选举时间:40S
DIS没有备份
具有抢占性,与所有的路由器都是邻接关系
BGP 边界网关路由协议(基于TCP封装 端口号179)
路由协议
特性:
距离矢量 RIP BGP
链路状态 OSPF IS-IS
范围:
IGB内部网关协议 RIP OSPF IS-IS
EGP外部网关协议 BGP(边界网关路由协议)
BGP特点:保证可靠传输
增量更新(只更新变更的路由信息,减少带宽的占用)
增强型距离矢量路由协议(无环路)
注重路由选择和路径选路
AS自治区域系统
范围 16Bit 65536 0-35535
私有AS号:64512-65535
邻居关系:
IBGP邻居关系:AS内(传递BGP路由信息、区分IGP协议的路由)
EVGP邻居关系:AS间
配置:
//建立EBGP邻居关系
[R2]bgp100//开启BGP协议
[R2-bgp]router-id 2.2.2.2//设置router-id
[R2-bgp]peer 23.0.0.3 as-number 200//手工指定邻居及所在As
[R2-bgp]network 12.0.0.0//发布路由
//建立IBGP邻居关系
[R2]bgp100 //开启BGP协议
[R2-bgp]router-.id 2.2.2.2 //设置router-id
[R2-bgp]peer 1.1.1.1 as-number 100 //手工指定邻居及所在As
[R2-bgp]peer 1.1.1.1 connect-interface LoopBack 0 //修改更新源接口为loopback0
//从EBGP传到IBGP的路由下一跳不会改变 所以就需要下面一条命令来解决
[R2-bgp]peer 1.1.1.1 next-hop-local //修改下一跳为本地
报文:
KEEPALIVE Message 保活报文:维护邻居关系 每隔60S发送一次 180s收不到认为邻居死亡
NOTIFICATION Message 错误报文
Error code:Cease(6) 错误代码:指明错误的报文
Error subcode :Other Configuration Change (6)错误子代码:指明错误的字段
OPEN Message 开启报文
My AS :100 (本地AS号) 收到的AS号要与本地AS号一致
Hold time (抑制时间):邻居的死亡时间
[R2-bgp]peer 23.0.0.3 timer keepalive 30 hold 90 //协商抑制时间
BGP identifier :本端 Router-id
UPODATE Message 更新报文
Path attributes:路径属性
ORIGIN :IGP (4 bytes) 起源属性
AS_PATH:100(9 bytes) AS路径属性
NEXT_HOP:230.0.0.2 (7bytes) 下一跳属性
MULTI_EXIT_DISE: 0 (7bytes) 多出口鉴别器
refresh Message 刷新报文 刷新路由状态的
通告原则:1、下一跳不改变原则:从EBGP邻居学习到的路由传给IBGP邻居时,下一跳不改变, 因为BGP路由协议是以AS为单位的
2、从IBGP邻居关系学习到的IGBP路由不会传给邻居
路由黑洞:有路由但是数据不能通信(发生在中转AS)
原因:中间的路由器没有到两边的AS路由
解决办法:BGP反射器
BGP联盟
IBGP全互联
防火墙
防火墙和路由器交换机的区别:
路由器、交换机侧重于数据转发,防火墙侧重于控制数据转发
作用:
实现内外网的隔离,且能够保证数据正常通信
传统防火墙:一层一次检测
新一代防火墙:一体化检测
特殊模式:
路由模式:类似于路由器,不同网段的数据通信(默认)
透明模式:类似于交换机,同网段通信
混合模式:以上两种
安全区域:
trust:信任区域 优先级:85
UNtrust:非信任区域 优先级:5
DMZ:非军事化区 优先级:50
local:本地区域 优先级:100
默认策略:
默认拒绝所有
inbound:低优先级去往高优先级
outbound:高优先级去往低优先级
会话表项:
五元组会话表项:
协议 源IP 源端口 目的IP 目的端口
例如:trust—》untrust
数据通过时查看五元组会话表项,五元组匹配成功数据就能通过,不匹配直接丢弃,如果没有表项,创建一个表项,数据回来时首先查看表项,匹配成功转发数据,不匹配策略,如果表项匹配不成功,丢弃数据。(防火墙工作原理)
FTP:21 端口 建立控制连接 发送指令
20端口 数据连接 传输数据
长连接会话:
适用于多通道协议
对于多通道协议通信时,五元组会话在一定时间后会老化,导致控制通道断裂,从而使数据通道无法进行数据的传输
ASPF:应用层包过滤
解决FTP数据通道主动模式的连接问题
通过检查应用层的数据,获取相应的端口信息自动创建会话表项
三元组会话表项
协议 源IP 端口号
[FW1]firewall interzone trust unterust //进入区域间策略
[FW1-interzone-trust-untrust]detect ftp //设置FTP长连接
[FW1-interzone-trust-untrust]display firewall server-map //查看三元组会话表项
//特定网段策略
[FW1]policy interzone trust untrust outbound //创建域间策略
[FW1-policy-interzone-trust-untrust-outbound]policy 1 //设置策略ID
[FW1-policy-interzone-trust-untrust-outbound]action deny //设置策略动作
[FW1-policy-interzone-trust-untrust-outbound]policy source 192.168.1.0 0.0.0.255 //设置源ID地址 通配符掩码
/**防火墙NAT 基于源的NAT
1.保证内网互通
2.保证内网数据能够到达外网
3.配置NAPT**/
[FW1]nat address-group 1 100.1.1.1 100.1.1.2 //创建MAT地址池
[FW1]nat-policy interzone trust untrust outbound //创建NAT域间策略
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 1 //设置策略ID
[FW1-nat-policy-interzone-trust-untrust-outbound]action source-nat //设置基于源地址转换
[FW1-nat-policy-interzone-trust-untrust-outbound]policy source 192.168.1.0 0.0.0.255 //设置源网段
[FW1-nat-policy-interzone-trust-untrust-outbound]address-group 1 //调用NAT地址池
/**基于目的的转换
在DMZ区域内存在服务器集群,并且让外网设备能够访问到服务器
1. 允许untrust区域访问DMZ区域
2.将公网地址100.2.2.1 转换为服务器地址192.168.3.1**/
[FW1]nat server global 100.2.2.1 inside 192.168.3.1
402
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
