目录
tracert原理
(1)源端首先发送3个TTL字段的值都为1的UDP数据报(目的端口33434表示 traceroute应用)给远程设备,TTL为1的数据报到达第一跳路由器以后随即超时,路由器响应源设备“ICMP 超时消息”。
(2)源端再发送3个UDP数据报,这次更改TTL值为2,到达第2跳路由器以后,第2跳路由器响应源端“ICMP超时消息”,依次类推,直到这些UDP报文到达了目标设备。
(3)目标设备接收到UDP数据报文后,由于报文的端口(33434)是一个在目标设备没有应用的端口,目标设备的UDP协议就会产生一份“ICMP portunreachable”消息返回给源端,表示目标端口不可达,同时说明Tracert执行完毕。
如果通过互联网进行tracert测试不能得到完整的中间节点信息,可能的原因是某些中间节点部署有安全策略,拒绝了tracert的udp端口或ICMP消息。
AAA安全管理机制
Authentication(认证):验证用户是否可以获得网络访问权。 //你是谁?
Authorization(授权):授权用户可以使用哪些服务。 //你能做什么?
Accounting(计费,审计):记录用户使用网络资源的情况。 //你做了什么?
目前设备支持基于RADIUS(常用)协议或HWTACACS协议来实现AAA
认证方式
不认证:对用户非常信任,不对其进行合法检查,一般情况下不采用这种方式。
本地认证:将用户信息配置在设备上。本地认证的优点是速度快,可以为运营降低成本,缺点是存储信息量受设备硬件条件限制。
远端认证:将用户信息配置在认证服务器上。支持通过远程认证拨号用户服务协议RADIUS(Remote Authentication Dial In User Service )协议或华为终端访问控制器控制系统协议HWTACACS(Huawei Terminal Access Controller Access Control System)协议进行远端认证。
IP路由的定义
IP路由工作在第三层,是路由器的功能简称,是一整套路由器组合功能和处理过程:
1)定义网络路径(ip编址)
2)学习网络路径(路由协议和路由表)
路由表来源
- 直连路由
- 非直连路由
- 静态
- 动态。
路由表的表项构成
Destination/Mask:去往目标的网段,或者具体IP地址
Proto:协议,direct、static表示该路由通过何种协议学习到的
Pre:优先级,0~255,越大优先级越低
Cost:开销
Flags:特殊标志
NextHop:下一跳,路由器与本设备直连的接口的IP地址。
Interface:出接口,哪个接口出数据包
3)为IP数据包选择最佳路径(查询路由表)
4)将IP数据包转发到最佳路径
路由的指导转发由路由表负责,路由表有的就转发,没有就丢弃
什么是网络路径
源:发送者所在的ip网段
目的:接受者所在的ip网段
方向:本条设备转发流量的出站接口
距离:由路由协议算法设定、计算、都是逻辑值
路由表中的转发原则
- 最长匹配原则:掩码越长,优先
- 路由优先级:不同路由协议进行比较时,使用优先级。(0-255) (数值越小, 优先级越高)直连:0静态:60 OSPF:10 RIP:100。
- Cost 成本,自身占有的资源,资源越多开销越小。(不同的路由协议,判断成本时,依据不同)。当学习到相同的路由信息时,首先比较协议优先级。协议优先级越高,越被优选。如果优先级相同,则比较cost成本越低,越有可能被优选。如果成本相同:则负载均衡(需要协议支持)
IP数据包的路由转发
- 转发特点:是数据包被路由器从源网络到目的网络的逐跳转发;
- 每一跳(台)路由器收到一个数据包,读取数据包目的地址,查找路由表,选择最佳路径,将数据包转发到最佳路径的下一跳路由器。
数据包经过一个路由器接口(或者ip网段),一般情况下,二层通信在跨越不同网段之后,他的源MAC和目标MAC将被重写(使用出站接口作为帧的源地址,使用下一跳作路由接口作为帧的目的地址。如果是以太网接口(广域网没有mac),会先发送arp解析下一跳的Mac地址)数据包被重新封装一次,TTl被减1,其他信息不变。三层通信的源IP地址和目标IP地址由始至终都保持不变,如果存在NAT,源地址有可能被转换。
- 一个网段=一个广播域=一个子网=一个三层设备接口=一个vlan=一个前缀网段
每一跳路由器收到一个数据包,读取数据包目的地址,查找路由表,选择最佳路径,将数据包转发到最佳路径的
数据包的路由转发过程
路由转发过程同时包含:ARP。二层转发、查找路由表确定出站接口;数据包被重新封装,然后被转发到下一跳路由
- arp三层转二层
- 在两个IP网段内部,二层通信都是联通的,但是相互之间不能通信。路由器每个接口都是一个广播域
- 如果需要从一个网段访问另一个网段,需要配置IP和IP路由,通过三层查找,能够确定流量的转发路径
转发详细步骤:
- PC1向PC2发起UDP通信,应用层生成数据报文,下发给传输层
- 加入传输层TCP/UDP报文头部递交给网络层
- 三层将源IP1.1..1.1和目标IP2.2.2.2封装好
- PC1判断目的IP是非直连通信,数据包首先要递交给网关,在二层封装时,需要查找网关的mac地址
- 二层以太网查询arp缓存,是否有网关的ip和mac映射条目,如果没有,数据包被缓存起来,然后发送arp广播查询(Src:1.1.1.1,Des:1.1.1.254,Smac:A,Dmac:FFFF:FFFF:FFFF)
- 网关收到arp查询,缓存PC1的arp条目(G0/0/0)
- 网关答复PC1的arp查询
- PC1收到网关的arp答复,建立缓存AR1的G0/0/0的arp条目
- 获得网关mac后,将之前缓存的数据包继续封装,发给网关
- 网关收到二层数据帧,解封装,读取IP,判定不是给自己的,需要查路由表,确定转发路径
- 网关根据数据包的目的IP,查询路由表得到转发路径是出站口G0/0/1,目的网段2.2.2.0
- 网关重写二层mac时,发现没有PC2的mac地址,数据包又被缓存起来,然后从AR1的出接口G0/0/1发送arp广播查询(Src:2.2.2.254,Des:2.2.2.2,Smac:D,Dmac:FFFF:FFFF:FFFF)
- PC2收到网关的arp查询后,缓存G0/0/1的arp映射
- PC2回复网关的arp查询,
- 网关收到PC2的arp回复后,G0/0/1缓存PC2的arp映射
- 然后将之前缓存的数据包继续封装,出站接口为源mac,PC2的mac为目的mac,转发给PC2
如果PC1没有配置默认网关,不同网段会直接丢包
路由协议分类
路由表有两种最基本的路由类型:直连路由和非直连路由
分类根据 | ||
算法 | LS链路状态路由协议,OSPF 、ISIS | DV距离矢量路由协议,EIRGP、RIP,BGP |
范围 | IGP内部网关路由协议(不超过10000路由条目)RIP、OSPF 、ISIS | EGP外部网关路由协议,BGP |
类别 | 有类路由协议,RIP version1、IGRP | 无类,除了RIP version1 |
动静 | 动态路由协议 | 静态路由协议 |
业务 | 单播路由协议,RIP、OSPF、BGP、ISIS | 组播路由协议DVMRP、PIM-SM、PIN-DM |
静态路由
- 由网络管理员手工指定路由
- 不需要运行路由协议,不占用系统和网络资源
- 不能发现网络变化,当网络路径发生变化,管理员需要手工更新静态路由
- 适用小型网络或网络边界
动态路由
- 需要人工培植路由器运行路由协议,由路由器自主动态发现和学习路由
- 能够实时监测、自动发现并更新网络路径
- 适合大型网络,较好的扩展性和路由管理能力
- 占用一定的系统和网络资源
什么是路由协议
路由协议是路由器之间交互信息的一种语言。路由协议定义了一套路由器之间通信时使用的规则。路由协议通过在路由器之间共享路由信息来支持可路由协议。路由信息在相邻路由器之间传递,确保所有路由器知道到其它路由器的路径。总之,路由协议创建了路由表,描述了网络拓扑结构;路由协议与路由器协同工作,提供路由最佳选择和数据包转发功能。
动态路由协议
RIP : Routing Information Protocol,路由信息协议。
OSPF : Open Shortest Path First,开放式最短路径优先。
ISIS: Intermediate System to Intermediate System ,中间系统到中间系统。
BGP : Border Gateway Protocol,边界网关协议。
自治系统(Autonomous System)
简称AS ,位于一个共同的技术管理域、使用同一选路策略的一些路由器的集合。
是从互联网的角度,描述一个具体的、专属的网络系统。
可以简单理解为一个企业的网络系统
国际互联网就是由千千万万个AS互相连接而成
内部网关协议(IGP)
不超过10000路由条目
这一类的路由协议,其设计目标就是运行在AS内部;
实现一个AS内部的路由学习和路由连通
实现中小型企业网络的路由
RIP, OSPF ,EIGRP等、
外部网关协议(EGP)
设计目标是互连多个AS,实现大型互联网络;
在多个AS之间,交换、管理路由,实现多个AS之间的路由连通;
管理海量的、巨大数量的路由条目
典型代表是BGP、
衡量动态路由协议的一些性能指标(了解)
正确性
。能够正确找到最优的路由,且无自环。
快收敛
。当网络的拓朴结构发生变化之后,能够迅速在自治系统中作相
应的路由改变。
低开销
。协议自身的开销(内存、CPU、网络带宽)最小。
安全性
。协议自身不易受攻击,有安全机制。
普适性
。适应各种拓扑结构和各种规模的网络。
优先级(preference)
- 对于相同的目的地,不同的路由协议,他会比较路由优先级(0-255),数值越小越优。
当存在多个路由信息源时,具有较高优先级(取值较小)的路由协议发现的路由将成为最优路由﹐并将最优路由放入本地路由表中,用于指导报文的转发。
- 0表示直接连接的路由,255表示任何来自不可信源端的路由;
缺省优先级
路由协议的类型 | 路由协议的优先级 |
Direct | 0 |
OSPF | 10 |
IS-IS | 15 |
Static | 60 |
RIP | 100 |
OSPF ASE | 150 |
OSPF NSSA | 150 |
IBGP | 255 |
EBGP | 255 |
路由度量
路由度量标示出这条路由到达目的的代价。以下因数会影响路由的度量:
1)路径长度
链路状态路由协议为每一条链路设置一个链路开销来标示路径长度,路径长度为所有链路开销的总和。距离矢量路由协议使用跳数来标示路径长度,跳数是指数据从源到目的所经过的设备数量
2)网络带宽
网络带路是链路的传输能力,指的是一条链路能到达的最大传输速率。但不能说高带宽路由比低带宽更优越,如高带宽网络堵塞状态,那报文在这条链路转发时间就越长
3)负载
负载指的是网络的使用程度,涉及cpu,内存等的利用率和每秒处理包的数量
等价路由
同一个路由协议,到同一个目的地有几条相同度量值的路由时,这些路由都会被加入到路由表,数据包会在这几个链路上负载分担
浮动路由
浮动路由又称为路由备份,两条或多条链路组成浮动路由,同一个路由协议,到同一个目的地有几条优先级不同的链路,通过路由优先级调整
路由协议之间的互操作
每种路有协议只能发布和学习自己协议的已知路由,不同路由协议之间交换路由信息需要进行引入(import-route)操作。
路由器查表匹配原则
- 对于一个具体的目的地址,路由器使用最长的前缀(即网络号部分、掩码)匹配方式选择转发路径
- 默认路由(0.0.0.0 0.0.0.0)对于一个目的地址,在路由表没有具体网络前缀匹配的时候使用默认路由
路由环路
报文在两个或几个路由器之间循环路由,知道TTL减位0而丢弃
静态路由规划
- 路由器的直连网络都是已知网络,不需要学习可以直接通信。路由器必须学习非直连路由才可以实现非直连网络之间的通信。如果发生拓补变化,必须更新路由。
- 配置双向路由才能实现源和目的的路由连通。双向默认路由容易产生路由环路
- 末节网络指的是网络层次中最末端、最边缘的网络。末节网络只有一个唯一的路由连接上级网络
- 默认路由代表任意的IP网络和地址,目的地址在路由表中没有具体的网络前缀匹配的都使用默认路由
- 以太网特点:MA多路访问,一对多,串口(广域网):P2P点到点