1、企业网络架构基础
网络宇宙:似宇宙洪荒,浩瀚无边,深不可测;网络案例似璀璨群星,千变万化,闪耀环宇。学习网络技术似夜观星象,每有所得,便拍案惊奇,夜不能寐。
路由和交换--通信基础
小型企业:
优点:扁平网络架构进行组网。具有较强的灵活性。大大减少部署和维护成本;
缺点:缺少冗余机制,可靠性不高,容易发生业务终端
大型企业
多层网络架构,优化流量分布,应用各种策略进行流量管理和资源访问控制。多层设计也可以使网络易于扩展。
2、网络模型
两大模型:协议簇(Protocol Suit)
数据封装和解封
应用数据需要经过每一层处理之后才能通过网络传输到目的端
OSI把每一层数据称为PDU(Protocol Data Unit,协议数据单元)
TCP/IP根据不同层分别使用了段、包、帧、比特
逐层向下传递数据,并添加报头和报尾的过程称为封装(打包)
反之,接收方需要逐层向上传递数据,称为解封(拆包)
TCP/IP协议簇中常见的协议
3、网络基础
1、网络概述
硬件方面:通过介质将网络设备和终端连接起来
软件方面:操作系统,应用软件,应用程序互相通讯
实现资源共享、信息传递
2、计算机网络的定义---计算机网络是一组自治计算机互联的集合
网络组成
术语
设备 Device
介质 Media
消息/报文 Message/Data
协议 Protocol
发送方/信息源 Sender/Source
接收方/信息目 Receiver/Destination
network 网络,一组相互连接、通讯的设备
internet 互联网,多个互联互通的网络
Internet 因特网,互联全世界的网络
ISP:Internet Service Providers 因特网服务提供商
网络类型
PAN Personal Area Network 个域网
LAN Loacl Area Network 局域网(一个家庭网络、公司网络)
CAN Campus Area Network 园区网(例如 高校)、
MAN Metropolitan Area Network 城域网
WAN Wide Area Network 广域网 (跨地域)
WLAN Wireless Local Area Network 无线局域网
WWAN Wireless Wide Area Network 无线广域网
协议:Protocol(TCP/IP)
网络通信中“语言”
协议一致,通信自如
计算机之间,事先达成一个详细的约定,并遵循这一约定进行处理方可建立通信
网络的性能指标
1、带宽(bandwidth)
描述在单位时间内从一个节点到另一个节点的数据量
类似水管的粗细、道路的宽度程度
以bps(bit per second,比特每秒)为单位
比特--计算机最小单位,也就是二进制(0 1);
当测试网速时显示的是多少MB;B是字节,一个B=8b
所以100Mb的快带,下载速度大概就是100/8约为12.5MB/s
如:以太网带宽为10Mbps,快速以太网为100Mbps
2、延迟(delay)
描述数据从一个节点传送到另一个节点所经历的时间
通常以ms为单位
网络拓扑(Topology)用来描绘网络结构(网络类型、设备类型、设备数量、线缆、带宽、服务、数据走向等)的示意图
4、应用层
应用层概述
TCP/IP模型的最高层
直接为应用程序提供网络服务
常见的应用层协议
DNS
HTTP
SMTP与POP3/IMAP (邮件)
Telnet(终端)
FTP与TFTP(文件传输)
DNS(Domain name system)域名解析协议
建立IP地址与域名之间的映射关系
将域名解析为IP地址
将IP地址解析为域名
nslookup DNS调试工具
ipconfig/displaydns 查看DNS缓存
ipconfig/flushdns 清空DNS缓存
HTTP 超文本传输协议
帮助客户端访问万维网
不加密协议,通过数据包可以捕获敏感信息
SMTP与POP3:邮件服务
SMTP:简单邮件传输协议,用于发送邮件
POP3:邮局协议版本3,用于接收邮件
IMAP:互联网邮件访问协议,类似POP3,功能更多
Telnet Terminal Network 终端网络 端口号:23
远程连接目标主机(不安全)
测试目标主机是否开放某某端口
FTP File Transfer Protocol 文件传输协议 端口号:20 21
提供可靠的文件传输服务
具有认证、权限等功能
TFTP Trivial File Transfer Protocol 简单文件传输协议 端口号:69
提供不可靠的文件传输服务
常用于网络设备的配置文件和系统文件传输
5、传输层
传输层:定义了主机应用程序之间端到端的连通性
传输层端口:Port
FTP:21、20
HTTP:80
Telnet:23
SMTP:25
SNMP/DNS :既使用TCP,又使用UDP
传输层协议
TCP 传输控制协议
可靠的、面向连接的协议
传输效率低,类似打电话
UDP 用户数据包协议
不可靠的、无连接的服务
传输效率高、类似群聊
TCP会话的建立--三次握手
TCP攻击
TCP会话的拥塞和流量控制
win--窗口大小
TCP会话的四次挥手
UDP传输
不提供重传机制,占用资源小,处理效率高
一些时延敏感的流量,如语音、视频等,通常使用UDP作为传输层协议
TCP和UDP的对比
6、数据链路层与以太网
以太网:Ethernet,当今主导地位的局域网组网技术
PDU---帧
以太网封装(目标mac地址、源mac地址、协议类型)
LLC (Logical Link Control,逻辑链路控制)
负责识别网络层的协议类型,接收上层数据包封装成帧后,向下层传递
MAC (Media Access Control,介质访问控制)
负责控制与连接物理层的物理介质
处理硬件设备的物理寻址、定义网络拓扑及数据帧的传递顺序
协议类型 代表上层协议
帧大小范围 64—1518
MTU 最大传输单元,默认1500字节,每次发送的数据的最大值
帧校验 (FCS) 通过一定的计算公式对数据包进行计算
MAC地址 代表网络接口的物理地址,全球唯一
以太网的MAC地址
7、网络层
ARP
Address Resolution Protocol 地址解析协议
作用:利用局域网广播报文,得到目标主机mac
当一台主机ping目标主机时,通过抓包分析
主机会发送广播报文,询问所有网段内的主机
只有目标主机接收到报文后,比对校验目的IP和自己的IP地址,然后做出应答
当目标MAC为全0或全F时,代表广播报文
arp -a 查看arp缓存
arp -d 清空arp缓存
ARP缓存,根据ARP响应来记录相应的信息
利用此原理可以进行ARP欺骗攻击
ARP报文不能穿越路由器,不能被转发到其他广播域
ICMP 因特网控制消息协议
用于可达性测试
使用ping命令调用
Type 类型
Code 编码
IP协议
IP Internet Protocol 因特网协议、
1、分片技术(仅使用于IPV4)
当数据包比MTU大时,就可以被分解为很多的足够小片段的过程
分片技术中重要的三个字段
Identification 标识 标识相同,代表同属一个数据包
Flags 标志位
Fragment Offset 分段偏移量
ping -f 代表 不分片
2、TTL Time to Live ,生存时间
防止IP数据包在网络内无休止地传输(环路)
每经过一次路由TTL值就会减1
当TTL=0时,数据包就会被丢弃
利用TTL特性,可以实现路由跟踪技术,排错的重要方法之一!
相关命令:ping -i 或tracert -d
8、IP子网划分
IP地址
能被主机使用的,就是A B C三类地址(单播地址)
D类地址用于组播
E类用于实验用途
0开头地址保留;127代表自己本地;
子网掩码
用于区分网络部分和主机部分
1标识网络位、0标识主机位(连续的1和0)
默认子网掩码
A类 255.0.0.0 /8
B类 255.255.0.0 /16
C类 255.255.255.0 /24
网络地址、主机地址(有效IP)、广播地址
每个网段上最小(网络地址)和最大(广播地址)的地址,不能作为有效地址分配给节点
网络地址:主机位全是0,代表一个网段(头)
主机地址:主机位不全是0也不全是1,代表一个网段内的一个节点(身体)
广播地址:主机位全为1,代表一个网段内的所有节点(尾)
发
子网划分
有类IP地址规划的缺陷:为什么要子网划分?
A类 容纳主机数量 --2的24次方-2=16777214
B类 容纳主机数量 --2的16次方-2=65534
C类 容纳主机数量 --2的8次方-2=254
在设计网络时,如果按照默认有类IP地址会造成地址的浪费
一个广播域中PC数量过于庞大,网络可能被广播报文消耗大量的资源
子网划分概述
满足不同网络对IP地址的需求
默认子网掩码可以进一步划分,成为变长子网掩码(VLSM)
即网络位向主机位“借位”
网络位向主机位借位,从而使得网络部分的位数加长:
子网:172.16.0.0
掩码:255.255.255.0
主机:172.16.0.1-172.16.127.254
9、单播、广播、组播、VRP
单播、广播、组播
单播 发送给单个目标
广播
发送给广播域内所有目标
MAC地址 全F
IP 该网段的广播地址
组播 发送给一组目标
MAC地址==01-00-5E开头
D类组播地址
冲突和广播
冲突 只出现在早期的集线器设备
冲突域 产生冲突的设备的集合
广播域 能收到广播的设备的集合
交换机 分割冲突域不分割广播域
路由器 分割冲突域和广播域
VRP 通用路由平台
华为具有完全自主知识产权的网络操作系统
集成了路由交换技术、QoS技术、安全技术和IP语音技术等数据通信功能
命令行
system-view 从用户视图进入系统视图(可以进行配置)
quit 从系统视图返回到用户视图
return 从任意的非用户视图返回到用户视图
CTRL+A 把光标移动到当前命令行的最前端
CTRL+C 停止当前命令的运行
CTRL+Z 回到用户视图
CTRL+J 终止当前连接或切换连接
TAB 可以补全命令
display history-command 显示历史命令
sysname 配置设备名称
配置系统时钟
clock timezone 设置所在时区
clock datetime 设置当前时间和日期
clock daylight-saving-time 设置采用夏时制
display clock 显示当前时间
状态信息查询
display users 显示已连接的终端用户
display this 显示当前视图的运行配置
display diagnostic-information 显示设备所有状态信息
10、数据转发过程
网关
不同网段之间通信,必须要有网关;
网关通常就是一台三层网络设备(路由器、三层交换机、防火墙、服务器)
网关地址就是设备的接口地址;
封装
传输层封装--源端口 目的端口
网络层封装--源IP 目的IP
数据链路层--源MAC目的MAC
例子:打开浏览器,输入www.baidu.com,回车
请问发生了什么事情,哪些协议?顺序如何
封装:
HTTP---TCP---IP(目标IP未知,需要DNS解析)
DNS---UDP---IP(DNS服务器的IP,需要网关)---ethernetII(ARP缓存或请求网关的MAC地址)
网关经过路由找到DNS服务器
数据在进行二层和三层封装之前,主机需要了解mac和ip信息
当数据帧发送到非目的主机时,非目的主机会丢弃该数据帧
传输层通过端口号将数据教给特定应用
配置命令
telnet server enable 开启Telnet服务
display telnet server status 验证telnet服务
user-interface vty 0 4 进入VTY配置模式
authentication-mode password/aaa 配置认证模式
set authentication password r huawei 配置认证密码
user privilege level 15 配置用户级别
user-interface maximum-vty 15 配置最大VTY会话数量
aaa 进入AAA配置模式
11、VRP远程管理
命令
password模式:
user privilege level 15:配置用户权限
AAA
12、路由基础
专业术语
当路由器(或其他三层设备)收到一个IP数据包时,会查看数据包的IP头部忠的目的IP地址,并在路由表中进行查找,在匹配到最优的路由后,将数据包扔给该路由所指的出接口或下一跳
路由器的工作内容:
收到数据包查看目标IP地址
路由选路---路由器负责为数据包选择一条最佳路径,进行转发
维护路由表
查看路由表 display ip routing-table
路由表中包含了路由器可以到达的目的网络
目的网络在路由表中不存在的数据包会被丢弃
13、静态路由
静态路由支持到达同一目标网络的等价负载分担
路由备份(主备)--浮动静态路由
缺省路由
ip route-static 0.0.0.0 mask 下一跳
网关---缺省路由的下一跳
14、动态路由
动态路由--网络拓扑发生变化,路由器会自动更新路由信息
共享路由信息
维护路由表,提供最佳转发路径
具体路由协议
BGP一般是运营商所用的协议;不同AS之间只能跑静态或者BGP
RIP 只看跳数
路由协议操作规则
协议是在接口上运行的
只能学习和发布相同协议已知的路由信息
如果不同的路由协议间需要交换路由信息,就需进行注入(import)
RIP
RIP工作原理
路由器运行RIP后,会首先发送路由更新请求,收到请求的路由器会发送自己的RIP路由进行响应
网络稳定后,路由器会周期性(30s)发送路由更新信息
rip v1
rip v2
RIP --避免环路
水平分割(rip split-horizon)---路由器从某个接口学到的路由,不会从该接口再发回给邻居路由器(默认开启)
触发更新---当路由信息发生变化时,立即向邻居设备发送触发更新报文
毒性反转(rip poison-reverse)---当路由器从某个接口学到路由后,将该路由的跳数设置为16,并从原接收接口发回给邻居路由器(默认不开启)
当水平分割和毒性反转都开启了以后,以毒性反转特性为主
RIP基本配置
rip (创建rip进程;默认是进程1)
version 2(使用的rip 版本)
network 地址~(宣告网络)
配置某个接口不发送RIP报文
int g0/0/0
undo rip output
配置某个接口不接收RIP报文
int g/0/0
undo rip input
配置某个接口为抑制状态,只接收RIP报文
rip
silent-interface g0/0/0(此命令的优先级大于rip output和input)
15、OSPF
开放式最短路径优先(Open Shortest Path First)
IGP类协议;在AS内运行
开销--cost--根据接口带宽计算ospf规划具有区域(area)的概念(一个路由器仅能了解所在区域内的路由信息)
骨干区域---即区域0;
OSPF的路由器类型
路由注入----即把从其他路由协议学习到的路由以引入的方式到OSPF进程中
OSPF核心工作流程
1、建立邻居----通过发送hello 包(周期性发送;组播方式224.0.0.5/6)
2、邻居之间相互泛洪LSA,使得彼此间获取路由信息
查看lsa------display ospf lsdb router
3、通过LSA,生成路由表
4、生成路由表后,通过SPF算法计算最优路径
OSPF三张表
邻居表---记录所有邻居关系
查看邻居表--display ospf peer
链路状态数据库(LSDB)---记录所有链路状态信息
查看链路状态数据库----display ospf lsdb
路由表---记录最佳路由
查看路由表----display ip routing-table protocol ospf
OSPF数据包和状态
Router ID
运行OSPF协议前,必须选取一个RID
用来唯一标识一台OSPF路由器
RID可以手动配置,也可以自己生成
手动配置:ospf 1 router-id 1.1.1.1(强烈建议手动配置)
自己生成:选取IP地址最高的(优先选取回环口IP)
PS:router id 选取具有非抢占性;即选举以后,除非重启ospf进程,才会重新选取router id;选举结束后,即使手动配置router id,也需要重启ospf进程
重启ospf进程:reset ospf process
OSPF数据包结构和类型
协议号 89 封装于IP协议之上
封装分为头部(ospf 数据包报头)和特定类型数据
message type :消息类型(一共五种)
packet length :报文长度
Source OSPF Router :路由器(router)ID
area ID :区域ID
check sum:校验和
Auth type:身份验证类型
OSPF五种数据包
OSPF状态机制
互相收到对方发送的hello包,发现对方邻居表中有自己时,此时双方知道彼此存照在,为two-way状态
Seq:序列号
I:是不是第一个包
M:后面还有没有包
MS:是否为主(1代表为主)
Exstart ---主从关系选举,刚开始彼此都认为自己为master(主),收到彼此发送的DD包后,比较router ID,根据越大越优先原则选取主从
Exchange:互相交换信息
R2有的东西;R1没有时,R1此时为Loading状态
通过LSU发送详细的R1想要知道的信息
R1收到后,彼此都知道对方信息,此时都为Full状态
注:
同一个区域内的路由器,链路状态数据库肯定一模一样
邻居表和路由表肯定不一样
OSPF邻居建立条件
必须三层直连
hello包默认发送间隔为十秒
修改命令;int g0/0/0 ospf timer hello 秒数
发送和死亡为四倍关系;即hello包9秒,dead为36秒
当hello包和dead包修改后,和直连的路由器不一致时,会有如下提示
NeighborDownPrimeReason(接口down掉的理由)= Interface Parameter Mismatch(接口参数不匹配)
区域ID一致:即同一区域内才能建立邻居
认证:Auth Type(默认不配)
子网掩码一致(以太网环境下):hello包内有子网掩码,掩码不一致无法建立邻居;但是点到点环境下不看子网掩码;
网络地址一致:以太网环境和点到点环境均适用
DR BDR选举
仅限于以下两种网络类型
查看网络类型 :display ospf int g0/0/0
DR :Designed Router,指定路由器,类似班长、总经理
BDR : Backup DR,备用DR,类似副班长、副总经理
DRothers :类似普通学生、员工
关系:DR、BDR、DRothers之间都保持邻接关系(full);DRothers之间保持邻居关系(Two-Way)
地址:
224.0.0.6向DR和BDR发送链路状态更新
224.0.0.5向所有OSPF路由器发送
如上图所示:2、3为DRothers;1、4为DR、BDR;
当DRothers(3)拓扑变更后,向组播地址224.0.0.6发送LSU(即通过此地址发送给DR)
DR、BDR监听224.0.0.6这一组播地址
随后DR通过组播地址224.0.0.5向所有路由器发送更新
随后BDR通过组播地址224.0.0.5回复确认报文;DRothers通过224.0.0.6回复确认报文
OSPF度量值
接口带宽大于等于100M,此时cost值为1
OSPF配置
OSPF缺省路由发布
配置:
在出口路由器上静态配置缺省路由
IP route-static 0.0.0.0 0 下一跳地址
利用动态协议发布
ospf 进程号
default-route-advertise
OSPF配置安全认证
注:认证ID 以及密码一定要一样,否则无法建立邻居关系
16、交换基础(二层)
封装:源、目的IP地址;源、目的MAC地址;网络类型
交换机工作在数据链路层,对数据帧进行操作。在收到数据帧后,交换机会根据数据帧的头部信息对数据帧进行转发。
交换机通过mac地址表进行转发
交换机主要功能
终端设备的接入;
以太网数据帧的交换,根据目的MAC地址转发数据帧;
学习MAC地址,并维护MAC地址表;
防止二层环路
17、VLAN
VLAN:虚拟局域网,是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置vlan,可以实现在同一个VLAN内的用户可以进行二层互访,而不同VLAN间的用户被二层隔离。vlan的划分,既能够隔离广播域,又能够提升网络的安全性。
注:交换机接口默认不分割广播域;广播风暴会给网络带来重大问题
vlan:基于接口划分
俩个交换的接口也可以同属于一个vlan
vlan优点:
有效控制广播域范围
增强局域网的安全性
灵活构建虚拟工作组
简化网络管理
通过Tag区分不同vlan
Access:用于连接主机;收到数据后会添加VLAN Tag,VLAN ID和端口得PVID相同。
转发数据前会移除VLAN Tag
Trunk干道端口
hybrid混杂端口
VLAN规划:基于端口最为常见
vlan配置命令
VLAN 间路由
vlan间通讯限制:每个vlan都是一个独立的广播域,不同的vlan之间二层就已经隔离,因此属于不同VLAN的节点之间是无法直接互访的
所以,为了实现不同vlan间的通信,就必须引入路由技术
单臂路由配置
dot1q termination vid 10 关联子接口和vlan
arp broadcast enable 开启子接口的ARP广播功能
配置三层交换
int vlan 10 创建vlan接口
IP add 192.168.1.254 24 配置网关地址
PS:vlan接口的编号必须对应一个已创建的VLAN
注意:配置vlan接口地址,一定要先和接口绑定,vlan的虚拟接口才能up
18、GARP=GVRP
GARP消息类型(无论加入、注销都是单向的学习过程)
join :加入,端口加入vlan
当一个交换机希望其它交换机注册自己的属性信息时,将对外发送join消息
leave:注销,端口退出vlan
当一个交换机希望其它交换机注销自己的属性信息时,将对外发送leave消息
leave all:注销所有
交换机发送leave All 消息,用来注销所有的属性
GVRP注册模式-Normal
默认为normal
GVRP注册模式-Forbidden
配置命令:gvrp registration forbidden
GVRP注册模式-Fixed
配置命令:gvrp registration fixed
19、STP
生成树协议,在提高可靠性的同时又能避免环路带来的各种问题
广播风暴
环路会引起广播风暴
网络中的主机会受到重复帧
造成MAC地址表震荡
STP:通过构造一棵树来消除交换网络中的环路
BPDU:桥协议数据单元
使用组播:01-80-C2-00-00-00
Root Identifier :发送此配置BPDU的交换机所认为的根交换机标识
Root Path Cost :从发送此配置BPDU的交换机到达根交换机的最短路径总开销,含交换机根端口的开销,不含发送此配置BPDU的端口的开销
Bridge Identifier : 发送此配置BPDU的交换机的交换机标识
Port Identifier : 发送此配置BPDU的交换机的端口标识
此上四个标识用来选举最优BPDU
跟桥选举
BID最小的为跟桥(先比较优先级,在比较MAC)越小越优先
每一台交换机启动STP启动后,都认为自己是跟桥
根端口选举(ROOT)
根端口:非跟桥上的端口,到达跟桥最近的端口
指定端口选举(DEST)
跟桥的端口都是指定端口
STP的状态和计时器
完全收敛后:
STP 的指定端口和根端口都是转发状态(Forwarding)
阻塞端口为Discarding
STP计时器
1、Hello 2s,跟桥发送BPDU的间隔
2、Forward Delay (转发延迟) 15s,监听和学习的持续时间
从learning到listening;需要15s。从listening到Forwarding,需要15s
3、Max Age 20s,保持阻塞的最大时间(没有收到BPDU)
阻塞端口20s内没收到BPDU,便会开启侦听状态
计时器
STP拓扑变化
BPDU老化---20s
侦听到学习---15s
学习到转发---15s
跟桥故障后---50s后开始重新选举
1、当SWB检测到链路故障后,收不到跟桥发送来的BPDU;便会认为自己为跟桥
2、于是向SWC发送BPDU说明自己为跟桥
3、但是SWC比较SWB发来的BPDU和SWA发来的BPDU;发现SWA依旧是跟桥
4、于是A口依旧为阻塞状态,保持20s;
5、20s后;15s变learning,15s变转发
拓扑改变导致MAC地址错误
20、DHCP
DHCP系统
DHCP Client (客户端) 需要动态获得IP地址的主机
DHCP Server(服务器) 能提供DHCP功能的服务器或网络设备
DHCP Relay(中继) 一般为路由器或三层交换机等网络设备
查看地址池 display ip pool
关闭dhcp服务
undo dhcp enable
在三层接口开启dhcp服务:
开启dhcp-dns
配置dhcp租期时间(默认1)
unlimited --永不超时
客户端地址释放
ipconfig /release
客户端地址重新获取
ipconfig /renew
DHCP分配出来的地址是有租约的
主机发送的dhcp请求以广播形式发出
接口地址池的优先级高于全局地址池
DHCP配置
配置的话,一定要在三层接口模式下(vlan或者路由器的接口或三层交换机接口)
控制分配的地址范围,防止和重要的设备冲突
21、ACL
访问控制列表ACL可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击。
acl ---第一代防火墙技术
ACL应用场景
ACL可以通过定义规则来允许或拒绝流量的通过
不能过滤由设备自己产生的数据
匹配优先级----越小越优先
192.168.0.0 0.0.0.254 匹配网段内偶数地址
ACL命令:
基本ACL配置
高级ACL配置
ACL接口调用方向的建议:
1、基本ACL尽量调用在离目标最近的出站接口
2、高级ACL尽量调用在离目标最近的入站接口
基础信息
扫一扫
462
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
