第一节 网络
先说网络是什么?网络是由传输介质将网络终端设备连接起来进行信息传递、资源共享的平台
然后,在早期时候,国际标准化组织ISO提出来OSI开放式系统互联模型,为我们网络的发展奠定了基础。OSI有七层,下面分别说说它们的作用:
应用层:通过人机交互提供各种各样的服务,就是使机器能明白我们意思去做。
表示层:提供编码,解码,加密,解密服务,使我们在享受服务过程中信息更加安全。
会话层:与机器建立连接,发现、建立、维持、终止会话进程
以上三层是产生数据的,在这三层里面涉及到数据被封装和解封装,里面的文件数据形式分类有TCP报文
UDP报文,IP报文
- 数据的封装与解封装:有四层,4321层,分别对应:数据段,数据包,数据帧,比特流
- 关于那个文件数据格式,分别对应TCP,UDP,IP报文
传输层:
提一下:TCP/IP模型:跨层封装
1).根据端口号提供不同的服务
端口号基本有哪些:FTP文本传输协议,都是基于TCP协议工作,控制端口端一般是21,数据端口是20.还有远程登录的端口号是23,SSH安全外壳端口号是22,http服务是80,加密版的http协议https端口号是443,DNS域名解析服务端口号是53
2).提供可靠的传输协议
- TCP传输控制协议---面向连接的可靠传输协议,比如下载资源时
- UDP用户数据报文协议-------非面向连接的不可靠传输协议,比如看直播
虽然说是可靠传输协议,但其实本质上还是不可靠的。
网络层:通过IP地址进行逻辑寻址(简单来说作用就是上网)
- 私有地址本地唯一性:免费,只在本地唯一性
- 公有地址全球唯一性:收费且租用,公网唯一性
数据链路层:分两个层次说:
- LLC 逻辑链路控制子层:为上层提供FCS校验码
- MAC 媒介访问控制子层:根据MAC地址进行物理寻址
物理层:用来定义电器电压,光学特性,接口规范
第二节 传输和解析IP地址
交换机的由来:以前在进行信息传输的时候,信号衰减地很快,有人想出了物理加压的办法想减少信号的减少,发明了中继器,但是信号容易在长距离传输过程中失真。就像以前写的信在邮寄过程中笔迹是会越来越淡的。于是后来发明了交换机,里面重新对内容复制一遍传输。后来又出现了广播风暴,因此发明了路由器。
路由器的话本来就是发明划分广播域的,这也是它的作用,用于连接不同的网络。
交换机是工作在数据链路层的。现在再说交换机作用:1.无线延长传输距离。2.解决冲突域,分割冲突域。3.实现单播。这些跟交换机工作原理有关,交换机工作的时候,会在自身的MAC表中找对应的MAC地址与端口,然后进行传输,吧数据传输到目的端口。
- 交换机带有CSMA/CD 带冲突检测的载波监听多路访问技术
- 冲突域:可能产生冲突的地方
- 广播域:洪泛的地方,向周围广播
- FIFO:先进先出,first in first out
由于交换机里面设计到MAC表,这里又设计到一些:
- ARP协议:地址解析协议,已知对方的某个地址,求对方的另外地址
- RARP协议(反向ARP):通过对端的IP地址获取对端的MAC地址
- AARP协议(正向ARP):通过对端的MAC地址获取对端的IP地址
- 无故ARP:检测地址冲突。原因是主机有时会使用自己的IP地址作为目标地址发送ARP请求,如果后面收到ARP响应表明存在重复地址。对于收到的设备来说,无故ARP用于通告一个新的数据链路标识。当一个设备收到一个arp请求时,发现arp缓冲区中已有发送者的IP地址,则更新此IP地址的MAC地址条目。
- 代理ARP:又称为ARP欺骗。代理ARP就是将一个主机A作为对另一个B主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router,使得子网对该主机来说变得更透明化。
下面讲IPV4地址,这个IPV4地址其实于2020年的11还是12月份就用完了。
!!!以下需要知道点分十进制的原理,如果不懂请先预习
首先看一下分类,我们一般根据网段的第一个八位划分:比如:
- A类网络 0------126(127网段下面会提及)
- B类网络 128-----191
- C类网络 192------223
- D类网络 224----239
- E类网络 240----254网络(255有特殊用途)
ABC三类地址作为单播地址:既可以作为原地址,也可以作为目的地址。
- ABC三类可以统一叫主类网,在默认情况下都有固定掩码。
D类地址;组播地址,只可以作为目标地址
E类地址:科研使用。
特殊的IP地址:
- 0.0.0.0/0 无效地址,也叫缺省地址
- 127.XX.XX.XX 默认情况下是本地环回地址,作用是用来检测本地网卡好坏。一般127.0.0.1最常被使用
- 255.255.255.255 受限广播地址,也叫本地广播地址,这个地址一般作为目的地址被路由器转发。
- 主机位全为1的地址,代表本地网段的所有地址。比如192.168.1.0/24 ,前提是你要会看这个地址是什么意思
- 主机位全为1,本网段内的广播地址,暂时没遇到,只能这能说吧。比如192.168.1.255
- 169.254.XX.XX/16 本地私有地址。首先,私有IP地址是一段保留的IP地址。只使用在局域网中,无法在Internet上使用。如果你的IP地址是自动获取IP地址,而你在网络上又没有找到可用的DHCP服务器,这时你将会从169.254.0.1到169.254.255.254中临时获得一个IP地址。
接下来讲讲IP地址的两个重要概念:
1.VLSM 可变长子网掩码------简称子网划分,根据一个给定的网段合理划分出多个小网段,意义是节省资源,减少开销
2.CIDR无类域间路由汇总-------其实就是把多个小网络汇聚成一个大网络。
如果CIDR汇总后子网掩码长度小于主类网(ABC三类)的子网掩码,我们称为超网
第三节 静态路由
路由器:三层设备,识别IP地址,不同接口在不同的网段
交换机:二层设备,使用MAC地址,所有接口默认在同一个广播域,一个接口就是一个冲突域
集线器:放大器,放大信号,属于一层设备,识别bit流,集线器上面所有接口都在同一个冲突域中
我们在之前说了交换机和路由器的由来,那么你现在知道什么是路由器的作用吗?
路由器就是用来连接局域网和广域网的设备。路由器有三大作用:1连接不同的网络,2.划分广播域,3.路由,选路。
交换机工作原理:而交换机里面也有一个表,叫MAC地址表,里面存储有交换机知道的MAC地址表。如果有主机A发送给主机B,经过交换机时,暂时就这三个设备来说。当数据经过交换机时,交换机要做一个记录,先查找刚才发过来的数据的MAC地址,发现是A,然后记录主机A从哪个端口上来,然后再看目标MAC地址,是B,接下来,如果MAC地址表里面写了哪个口,就用单播形式发给B,如果没记录,在所有的接口上复制一遍信息,就以广播洪泛的形式。这个交换机里面的MAC地址表是靠数据流通来记录的。
那么路由器是怎么工作的?首先,你要知道路由器是用来划分接口,隔离广播域的,路由器每一个接口相当于一个局域网,路由器里面有一个路由表,是专门用来存储路由信息的表,当数据包被路由器接收时,路由器会基于数据包中的目标IP地址,查询本地的路由表,决定数据包从来源端到目的端所经过的路由路径。这是第一个:选路。第二个:转发:将路由器输入端的数据包移送至适当的路由器输出端。
路由表的特点:默认仅存在直连的路由条目,且以一个目标网段形式存在,如果存在记录,则无条件转发,若不存在,则丢弃。有时即使存在路由条目,但是如果在传输过程中,传输过程中出现差错,比如中间遇到短路或者不通,则无法将数据到达目的地址。所有的非直连路由条目为未知网段。
现在,获取未知网段的方法:
- 静态路由—管理员手工配置路由条目
- 动态路由—路由器之间运行相同的算法之后,相互学习沟通产生路由条目
静态路由适用于小型网络或者说局域网,因为需要每个路由器加路由条目,而且需要路由条目写上多次。动态路由适用于大型网络,经典的有OSPF和RIP两种。
那么,先不说怎么给路由器加表,路由器中路由表也分等级。
优先级(AD)是衡量路由好坏的,这是在同等网络状态下默认存在的,但是如果想修改优先级,也只能是修改路由器中的路由优先级。值越小表示协议越好,表示优先使用,取值为0-----255.当值为255时,就算有可达路径,路由器也不采用。
另外延伸一点:COST值,也叫度量值:衡量路径的优劣,只在动态路由协议中使用,值越小表示路径越优。
路由器加表规则:一般默认直连优先级最高,当学习到多条路由条目,路由器会比较优先级,优先级小的先加表,优先级相同则比较cost值,cost值小的优先加表,如果cost值还相同,则同时加表。负载均衡---把流量拆分并且同时传输。
配置静态路由命令:
进入特权模式:system-view
可以命名设备:sysname 名字
查看路由表手动添加信息:display ip routing-table protocol static
设置端口地址:interface +端口号(比如 g0/0/0)
华为设备ensp部署静态路由的命令是:ip route-static 未知网段 下一跳地址(出接口)
本地设置环回:loopback 值(0-1024)
ip address IP地址
设置完后保存的命令:
save (只有退出到最底层模式才能保存成功)
浮动静态路由:当拥有多条传输线路时(未知是否负载均衡),可通过路由的优先级,使某条路由优先使用,同时也备份了一个路由线路。
ip route-static 已知网段 下一跳 preference 值(这个值可以自己设定,只要能达到目的即可)。
出接口是数据流量从本地发出后,下一个接口的IP地址,也就是直连的另外一台设备的端口地址。
接下来讲讲路由器的扩展配置:
1.本地环回地址 。比如:127.0.0.1 检测网卡好坏。检测TCP/IP协议栈道是否能够正常的封装和解封数据。pc中在系统安装完成之后默认存在127.0.0.1 设备中如果不存在,需要手工创建
2.手工汇总:当路由表中达到多个目标地址时,且在本地路由表中拥有相同的下一跳,且可以进行汇总运算,那么只需要一条到达目标的汇总路由即可。
3.路由黑洞:汇总后,如果出现了网络中实际不存在的地址,则有可能导致流量有去无回的现象。还有另外一种情况,就是用路由黑洞的这个Null 0做过滤,使某个设备不想接受某个网段的数据时,用Null 0把数据给丢在路由黑洞里面,这样就实现过滤了。
4.缺省路由0.0.0.0/0,这是一条不限定目标的路由,用来作为一个目的地址,在路由表中如果存在,会排在首行,在路由器查表时在查完所有的静态、动态路由条目后,若依然没有可达路径,则使用该条目。这个缺省地址也可用来做连接的地址,即把局域网与广域网之间连接的机器上配置一条缺省路由,服务器会连接外网进行沟通。
5.空接口防环路由,当黑洞和缺省路由相遇时,必然产生环路。而空接口防环路由就是让下一跳指向Null 0
命令是: ip route-static 192.168.0.0 22 NULL 0
!!!路由器查表规则:递归查找,最长匹配。
第四节:动态路由的介绍与RIP协议
当遇到大型网络时,静态路由相当吃力。由此动态路由应运而生。动态路由与静态路由相比较:
静态路由:1.配置管理不方便。2.不适用于中大型网络。3.针对网络拓扑变化不能自动更新。
而动态路由优点:1.配置管理方便。2.适用于中大型网络。3.针对拓扑变化在大限度内可以自动收敛。
当然动态路由也有缺点:1.安全问题。2.容易造成选路不佳,最严重的出现环路。3.占用硬件资源,需要计算机的计算能力相配合。
动态路由协议有多种:ISIS,RIP, OSPF 等等
那么,我们怎么样衡量一个动态路由协议好坏呢:我们有三个标准
1.选路佳。2.收敛速度快。3.占用资源小。
动态路由协议分类:根据AS进行分类(AS是自治系统,一个逻辑管理域,一个自治系统有时也被称为是一个路由选择域,一个自治系统将会分配一个全局的唯一的16位号码,有时我们把这个号码叫做自治系统号(ASN))
ASN的范围是0------65535.
私有的是64512-----65535,这个私有ASN不能应用于公网。
公有的是0-----64511。
有人是这么解释的,我认为很形象。每个as 域都有自己的范围和策略就像每个国家一样 ,每个国家有自己的的领土范围,而且有自己的法律定义。每个as域内部发生网络变化不会影响到别的as. 各个as 连接起来就是现在的互联网世界。
ASN根据处理的方式分两种:
- IGP内部网关协议:负责AS内部沟通。常见的有RIP和OSPF两种动态路由协议
- EGP外部网关协议:负责AS间的沟通,比如BGP和EGP
再分享一个知识:BGP是自治系统间的路由协议,BGP交换的网络可达性信息提供了足够的信息来检测路由回路并根据性能优先和策略约束对路由进行决策。
然后,IGP内部网关协议根据更新时是否携带网络掩码分成两种:
- 有类别路由协议:不携带掩码
- 无类被路由协议:携带掩码
IGP内部网关协议还可以根据更新特点分成两种:
DV型:距离矢量型路由协议,如-----RIP协议,他们的特点都是共享路由表。更新的内容是路由条目。
LS型:链路状态型路由协议,如-------OSPF协议
RIP----------路由信息协议,标准的矢量型路由协议,采用贝尔曼福特算法(可点击)。特点是:周期更新,根据拓扑的变化自动重新收敛。设置路由器经过的最大跳数,16跳标记不可达。路由器之间直接共享路由表,默认仅存在更新包,基于UDP520端口工作
RIP协议在发展过程中,经历了两个版本,都是基于IPV4地址,IPV6地址暂时未知。
第一个版本 RIP version 1
- 有类别路由协议----不携带掩码更新----不支持VLSM(可变长子网掩码)
- 不支持手工认证,手工认证是指对两端的端口进行加密传输
- 广播更新
第二个版本 RIP version 2
- 无类别路由协议---携带掩码更新,支持VLSM
- 支持手工认证,对两端的端口进行加密传输
- 组播更新------224.0.0.9
在动态路由协议中,都是要宣告自己知道的网段,动态路由也是会遇到环路的,而RIP协议有独特的防环机制
1.水平分割(仅作用于直线型拓扑和星型拓扑下的防环):从此口进,不从此口出。这个防环核心是:消除重复更新量,
2.跳数限制metric:最大15跳,16跳默认断路不可达,直接丢弃该路由
3.毒性逆转水平分割:完整的触发更新,也需要条件才能触发。这里要解释的是:毒性,是指16跳,逆转水平分割就是打破水平分割机制的意思。连起来就是断掉之后的路由,依旧会生成信息,但是里面表里记录的跳数就会变成16跳,意味着不可达。
4.抑制计时器: 首先在RIP协议中,华为设备ensp一般更新时间为30s,失效时间180s,抑制计时器180s(在刚才过了180s后)在这个时间里,路由器没有收到相应的回答便会down掉这条路由,再过60s,直接刷新该路由器的路由表。
基本配置;rip 1(进入RIP协议v1,这里的v1是指基于IPV4地址工作,而IPV6地址工作的话则是 rip ng)
version 2(选择版本2)
network 192.168.1.0(只支持宣告主类网)
network 1.0.0.0
好了基本配置就这些,宣告的作用是:1.激活接口(使接口拥有收发更新的能力)2.路由,更新路由表。
RIP扩展配置 :
1.(版本2)手工认证:在直连路由器上的两个端口配置,在进入端口后,两边都要输入命令
- rip
- authentication-mode simple cipher xiix(这是明文认证)或者 authentication-mode simple md5 usual xiix(这是密文认证)
2.手工汇总:在更新路由器上向所有更新发出的接口上配置:
进入端口后,输入命令:rip summary-address 172.16.0.0 255.255.252.0(172.16.0.0是汇总后的路由,后面必须写上点分十进制掩码)
3.缺省路由:在边界路由器上配置一条缺省指令,那么内网的路由器会自动生成一条指向外界路由器的缺省。边界路由器去往外部的缺省路由,需要手工配置。
进入端口后,输入命令:
1.rip 1
2.version 2
3. default-route originate
4.通过修改抑制计时器来加快收敛速度:
1.rip 1
2.version 2
3.timers rip 15 90 60
本来计时器上的数是30 180 120 ,现在修改的是这些数对应的更新、老化、垃圾收集时间。
第五节 OSPF协议
OSPF协议,现在社会上很常使用的协议,全名叫开放式最短路径优先协议,感兴趣的可以去了解一下最短路径树。它的拓扑状态是标准的链路状态路由协议,属于IGP内部网关协议中的无类别协议,更新时携带掩码,组播更新225.0.0。5/6.
需要结构化部署的协议--区域划分和地址规划。
说一下链路状态型路由协议的距离矢量型特征:区域内传拓扑,区域间传路由。
学习这个OSPF协议,先学习它的工作过程比较容易,但是得先了解一些具体名词可以帮助更好学习。
- hello包:用于发现、建立、周期保活邻居关系,里面存在Router ID(路由器标识符,在同一个局域网内唯一,使用的形式是IP地址形式)
- DBD :链路状态描述包,里面包含LSA链路状态通告,这是一条包含了拓扑及路由的信息
- LSR :链路状态请求
- LSU:链路状态更新,用于携带各种的LSA
- LSack:链路状态确认
OPSF的工作过程:启动配置完成后,本地使用组播发送hello包到所有邻居打招呼,若收集到其他邻居的hello包,那么建立邻居关系,生成邻居表。和所有邻居建立关系后,会自动生成邻居表。然后更进一步,和邻居继续交流,条件匹配,若失败则停留在邻居关系,本地的hello包还存在,周期保活。若匹配成功,将建立邻接关系,邻接关系将使用DBD/LSR/LSack包来获取未知的LSA链路状态信息,当收集到所有未知网段的信息后,本地生成LSDB---链路状态数据库的数据库表,在本地基于LSDB计算到所有未知网段的最佳路径,然后加载到路由表中。收敛完成后,hello包周期保活邻居,每30min更新(DBD对比数据库)
若发生结构突变:
- 1,新增、断开网段-----直连设备使用DBD同步信息到所有的邻接处
- 2.设备断电或无法沟通---------到dead time后断开邻接关系。
LSA链路状态通告
LSDB链路状态数据库,所有LSA的集合
OSPF的协议收敛称为:LSA洪泛,LSDB同步
对应于工作过程,OSPF有独特的状态机:
Down状态:初始状态,路由未更新时。一旦本地发出hello包就进入下一状态
INIT 初始状态:接收到的hello包中,若存在本地的RID,那么进入下一状态
2-way双向通信:建立邻居关系的标志。
条件匹配:这个过程1对1的网络直接进入下一状态,MA网络将进行DR/BDR选举(40s),DRother,非DR/BDR不得进入下一状态
Exstart预启动:进行主从关系选举DR/BDR,Router ID数字大者为主,也就是DR,从关系的都为BDR,DR/BDR与其他非DRother之间会预计划建立邻接关系,优先进入下一状态,并且基于224.0.0.6沟通。而DR/BDR之间只能建立邻居关系。
Exchange准交换:使用真正的DBD包,进行数据库目录的共享,需要ACK确认
Loading加载:使用LSR/LSU/LSACK来获取未知的LSA信息。
Full转发:邻接关系的建立。
以上的状态机每建立一步都会在路由器上的命令行看到,其实就是具体的OPSF工作过程的表现。
接下来,开始学会用OSPF。
OSPF有区域划分规则:
- 1.必须为星型拓扑结构-----区域0位骨干,其他区域必须环绕着区域0为中心
- 2.ABR---区域边界配备路由器,来及时更新路由信息OSPF优先级为10,度量值为cost值=开销值=参考带宽接口/实际上接口带宽。
先看看选举规则:
- 1.比较接口优先级,0-----255,越大越优先,默认为1.
- 2.接口若优先级相同,比较router ID,数字大者选举为DR,否则为BDR。
接下来是配置命令:
进入接口后
- ospf 1 启动OSPF开放式最短路径路由信息协议
- area 1 选择区域
- network 1.1.1.0 0.0.0.255 反掩码宣告(反掩码的作用是精确匹配)
宣告的作用是:1.激活接口,2.路由和拓扑。3.区域划分
下面有三个表必须得学会查看:
display ip routing-table 查看路由表
display ospf peer brief 查看邻居表
display ospf ladb 查看链路状态数据库表
display ip routing-table protocol ospf 查看ospf路由表
OSPF的扩展配置:
1.修改参考带宽。
- ospf 1
- bandwidth-reference 2000(?这个参考带宽修改根据实际情况定,单位是Mbits/s)
2.做认证
第一种是接口认证的情况,先进入接口后,
- 明文认证:ospf authentication simple cipher huawei (huawei是明文认证的时候,自己想的密钥)
- 密文认证:ospf authentication md5 1 cipher huawei (1是必须写的,1是验证字标识符,,,huawei是密文认证的密钥)
第二种的这个区域认证呢,要联系ospf的区域划分。
先进入你要做认证的区域边界路由器,然后
- 区域明文认证:authentication-mode simple plain(密码) {plain:表示明文显示}
- 区域密文认证:authentication-mode md5 1 (密码) {1:为验证字标识符}
3.加快收敛速度
- 先进去接口,然后输入: ospf timer ?(先查看OSPF的一些收敛信息,看看如何适当地修改。假如事先知道也可以直接输入参数。)
- ospf timer hello 参数值
- ospf timer dead 参数值
4。缺省路由
把只要不知道的网段都丢给默认的缺省路由,不管这个缺省路由是不是事先存在,也可以自己设置,这个设置缺省路由的路由器是边界路由器,或者说是连接其他局域网的,毕竟局域网内部的都应该会知道自己局域网内的网段,然后给这个边界路由器设置命令就行了。进入接口后:
- ospf 1
- default-route-advertise always
第六节 VLAN虚拟局域网
传统的以太网交换机在转发数据时,只能依据MAC地址表进行以太网帧的转发,整个过程自动完成,我们维护人员无法控制端口之间的转发,而且在交换机两端的路由器不能互相访问。
1.网络安全性能差。由于各个端口之间可以直接互访,降低了网络的安全性。
2.网络效率低。用户可能收到大量不需要的报文。例如不必要的广播报文,这些报文同时消耗网络带宽和客户主机CPU资源。
3.业务扩展能力差。网络设备平等的对待每台主机的报文,无法实现有差别的服务,例如无法优先转发用于网络管理的以太网帧,或者当我们需要优先使用那个服务时却不能实现。
首先,VLAN的产生是是为了解决网络风暴的产生, 方便管理。为减少广播,需要在没有互访需求的主机之间进行隔离,路由器成本太高。
现在用上图说明一下VLAN是干嘛的。假如ABCD分别是四台主机,是办公室里面的设备,虽然办公室小,但是里面的人员也是分部门的。我们的场景就是把这些主机分组,控制他们不能访问某些设备。那我们为什么不用路由器呢,首先路由器太贵,而且接口少的可怜,但是交换机端口多而且比路由器便宜。
接下来我们想要限制A不能访问B,或者说把A和B分组,然后C和D可以划进A或者B的组,反正就是分组管理。
根据上图,我们可以发现假如用了VLAN技术,我们可以把用户分成多个逻辑网络(group),组内可以通信,组间不允许通信,二层转发的单播、组播、广播转发只能在组间转发。这时你是不是有疑问?为什么只能在组间转发?这就是我们会用VLAN技术把用户分组管理,而且我们也可以很轻松地实现组成员的添加和删除。即VLAN技术提供了一种管理手段,控制端到端的互通。
知道了VLAN的技术目标后,那我们怎么实现VLAN呢?我们通过标签管理实现VLAN。
为了实现转发控制,在待转发的以太网帧中添加VLAN标签,然后设定交换机的端口对该帧和标签的处理方式:丢弃,转发,添加,移除。
转发帧时:检查以太网报文中携带的VLAN标签,是否是运行在该端口运行通过的标签,判断以太网帧是否能够从这个端口转发出去。假如在上面图中,左交换机SW1将主机A发出的所有的以太网帧都加上标签5,然后查询二层转发表,根据目的MAC地址表将该帧转发到右交换机SW2连接的端口,但是假如SW2配置了仅允许VLAN1通过,主机A发的帧就被丢弃。这说明支持VLAN技术的交换机转发以太网帧不再仅仅依靠目的MAC地址,同时还要考虑对端口的VLAN配置情况,从而实现对二层转发的控制。下面就是VLAN标签。
TAG:是指 VLAN TAG。
TPID: Tag protocol identifier , 大小为2字节,帧的协议标识符。
TCI :Tag control information 大小为2字节,帧的控制信息。
VLAN ID :大小为 12比特,也叫VLAN号,总共可以提供4096个数值,取值从0到4095.其中0和4095保留,那么可以配置的只有4094个,VLAN1位默认VLAN。
根据上面黄色字体说的实例,我们可以将这种情况用到下面去,帮助我们更好地理解。
首先,所有以太网帧在交换机内部都是以tagged frame的形式流动的,即某端口从对端设备收到的帧,有可能是untagged的,但是从本交换机其它端口转发来的帧,一定是tagged的。如果收到的是tagged frame,则进入转发过程,如果该端口收到的是untagged frame,则必须加上标签。以下几种方法可以确定标签中的VLAN ID取值:
- 基于端口划分:网络管理员给交换机的每个端口配置PVID,即Port VLAN ID,有些场合称为端口默认VLAN。如果收到的是untagged帧,则VLAN ID的取值为PVID。
- 基于MAC地址划分:网络管理员配置好MAC地址和VLAN ID的映射关系表,如果收到的是untagged帧,则依据该表添加VLAN ID。
- 基于协议划分:网络管理员配置好以太网帧中的协议域和VLAN ID的映射关系表,如果收到的是untagged帧,则依据该表添加VLAN ID。
- 基于子网划分:根据报文中的IP地址信息,确定添加的VLAN ID。
- 基于策略划分:根据上面几种划分依据组合进行划分。
如果设备同时支持多种方式,一般情况下,优先使用顺序为:基于策略-基于子网-基于协议-基于MAC地址-基于端口。目前常用的是基于端口的方式。下面我们介绍一下基于端口配置的方式。
交换机上的三种接口类型
引入VLAN功能后,交换机的端口被划分为3种类型:
(1)Acess端口:通常用于连接终端PC,早期型号的交换机默认的接口类型
(2)Trunk端口:通常用于交换机之间互连接口,路由器和交换机之间的互联接口
(3)Hybrid端口(混合端口):VRP5.X版本的交换机默认的接口类型
access端口:一般用于连接终端用户,普通终端PC并不能识别带有tag的数据帧
Access端口,用于连接主机,有如下特点:
1.仅仅允许VLAN ID与端口的PVID相同的数据帧通过本端口
2.如果该端口收到对端设备发送的帧是untagged,交换机将强制加上该端口的PVID
3.Access端口发往对端设备的以太网帧永远是untagged frame
4.早期型号的交换机默认端口类型是access,PVID默认是1,VLAN 1由系统创建,不能被删除或修改。
VLAN是需要创建的,不可能会自己生出来。那么,在交换机上创建vlan信息:
vlan batch 2 5 //添加vlan2、5
vlan batch 2 to 5 //添加vlan2到5
vlan batch 2 5 to 10 //添加vlan2、5到10
undo vlan batch 2 5 to 10 //删除vlan2、5到10
在配置时需要将接口改成access模式,有需要的话,在改VLAN ID时,可以改成默认
port link-type access
port default vlan 2
删除接口下access的配置:
interface Ethernet0/0/1
undo port default vlan
undo port link-type
在交换机的access端口,目前来看在发送数据帧都是会把标签去掉的,这样对面的设备就不知道数据帧是属于哪个VLAN的。在交换机之间,我们还希望交换机携带标签来转发数据帧。
trunk接口的PVID值:默认为1
接收到untag帧:加上PVID值的标签
发送专属于PVID的tag帧时:去掉tag变为纯以太网帧再转发
access和trunk的小结
(1)access接口的特点:
接收:
纯以太网帧(通常由PC发出):打上PVID tag然后转发
属于PVID的tag帧:直接转发
不属于PVID的tag帧:丢弃
发送:
属于PVID的tag帧:去掉tag,变为纯以太网帧发送
不属于PVID的tag帧:不能发送出去
从access接口发出的数据帧都不携带任何tag,一般都是发送给PC的
(2)trunk接口的特点:
接收:
先看允不允许通过和有没有创建这个vlan
纯以太网帧:打上PVID tag然后转发
属于PVID的tag帧:保留tag直接转发
不属于PVID的tag帧:保留tag直接转发
发送:
先看允不允许通过和有没有创建这个vlan,
属于PVID的tag帧:去掉tag,变为纯以太网帧发送
不属于PVID的tag帧:保留tag直接发送
第六节 DHCP动态主机配置协议
DHCP,基于C/S模型 (client客户端和server服务器),有一个动态地址池,统一分发管理IP地址。
[Huawei]ip pool xixi. 创建地址池
Info:It's successful to create an IP address pool.
[Huawei-ip-pool-xixi]network 192.168.1.0 mask 255.255.255.0 所要下放的地址
[Huawei-ip-pool-xixi]gateway-list 192.168.1.1 网关地址
[Huawei-ip-pool-xixi]dns-list 8.8.8.8 DNS服务器地址
[Huawei]interface e0/0/0.1
[Huawei-Ethernet0/0/0.1]dhcp select global
成为DHCP服务器的条件
- 该接口或者网卡具有合法的IP地址(地址池)
- 必须连接到所有要下放地址的设备和区域。
DHCP的工作过程:
- A发送报文DHCP Discover 向B广播,寻找DHCP服务器。
- 然后B回给A一个DHCP Offer报文,报文中给出了A的IP地址配置信息。
- A收到offer报文后,或者在获取IP地址并重启后,以及主机A在向DHCP服务器B续租IP地址时,同样会发送DHCP请求报文DHCP Request。
- B受到后,会回复一个DHCP Ack报文给A.或者在主机A想要续租IP地址时,B在受到A的DHCP Request报文后,也会回复DHCP akc报文。
如果IP租期到达50%,DHCP客户端会向DHCP服务器请求更新IP地址续租。
当达到87.5%时,还没收到服务器响应,会申请重绑定IP。
如果IP地址租约到期还没收到DHCP服务器响应,客户端会停止使用次IP地址。当DHCP客户端不再使用分配的IP地址,也可以向DHCP服务器发送DHCP release报文,申请向DHCP服务器释放该IP地址。
还有要说的是单臂路由
单臂路由(router-on-a-stick)
是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。比如在办公室里工作
单臂路由是一个很重要的知识点。它的作用是
1.控制VLAN
2.封装VLAN的ID号
3.默认情况下,路由器接口的ARP功能是关闭的。意味着路由器自己的ARP表中是没有对端设备的MAC地址条目,则默认情况下,路由器不会从子接口向外发送ARP广播请求。所以,路由器子接口下的ARP广播功能必须开启,否则从PC上不通网关。
第七节 ACL访问控制列表
ACL ----访问控制列表 access-list
首先,得明白五元组是通信术语。通常是指源IP地址,源端口,目的IP地址,目的端口和传输层协议。
1.访问控制—在路由器流量进或出的接口上规则流量 允许 –permit 拒绝—deny
2.定义感兴趣流量—抓取流量
基本acl用法
[R3]acl 2000
[R3-acl-basic-2000]rule 1 deny source 192.168.1.2 0.0.0.0 定义ACL
[R3-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 (调用)(拒绝ping连接)
高级acl用法
[R2-acl-adv-3000]rule 1 deny tcp source 12.1.1.1 0 destination 23.1.1.3 0 destin
ation-port eq 23(拒绝远程登录)
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 3000 (调用)
命名ACL:
acl name test
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl name xixi (调用)
按照ACL的功能分类:
基于接口的ACL(编号范围1000-1999) //模拟器不支持,现在已经不常用了
基本ACL(编号范围2000-2999)
高级ACL(编号范围3000-3999)
二层ACL(编号范围4000-4999)
ACL匹配规则和顺序:
自上而下查询,一旦匹配便不再往下查询,末尾隐藏拒绝所有(华为默认允许)。ACL的匹配顺序:也就是说,按照ACL规则的编号从小到大进行匹配。
常用的ACL匹配顺序如下:
。
NAT 网络地址转换(公有地址和私有地址的相互转换)
源地址是内网(私有地址—公有地址)目标(公有地址)
源地址是外网 (公有地址)目标(公有—私有地址)
因此,Nat技术也叫外网转发信息回源地址的技术
下面简单说一下一个NAT技术里面的动态NAT地址池,虽然这个动态NAT地址池不再使用了,但是我们可以从中得出一些有用的东西,对于以后的学习有好处。
静态NAT(1对1,用于外到内的访问)外到内NAT原理(端口映射)
内部的服务器地址映射到公网,供外网用户访问这台服务器
内部服务器一般不会直接配置公网地址给外网访问的原因:
1.安全性
2.公网地址浪费:一台服务器就会占用一个公网地址
接口下的配置:
int s2/0/0 //外口
nat static global 23.1.1.10 inside 12.1.1.1 //不能和外口地址冲突
dis nat static
网络地址端口转换NAPT(Network Address Port Translation)
- 内到外变换源地址
- 外到内回包时变换目的地址
多个内部主机发起外网的访问,防火墙需要区分不同的内部主机,通过IP地址+源端口号的方式。如果内部主机发出的数据包中源端口号冲突,被防火墙转换后发送到公网,会变换源端口以便区分。
- NAPT配置(网络地址端口转换:映射到某一个或多个公网地址,非出口地址,即PAT)
- acl 2000
- rule permit source 12.1.1.0 0.0.255
- nat address-group 1 23.1.1.3 23.1.1.10 //公网地址池中不能包含出口IP地址
- int s2/0/1
- nat outbound 2000 address-group 1
Easy IP(cisco叫PAT,用于内到外的访问)
Easy IP及配置(直接映射到出口地址上)——常用
acl 2000
rule permit source 12.1.1.0 0.0.255
int s2/0/1
nat outbound 2000
dis nat outbound
dis nat session all
最后总结一下