IP地址
IPv4地址一共32bits
分类:A类 1-126
B类 128-191
C类 192-223
D类 224-239
E类 保留地址
公有IP 私有IP
什么是路由
路由是指导IP报文发送的路径信息
分类:
直连路由 静态路由 动态路由
路由表
目的网络 下一跳 出接口
路由的来源-链路层发现的路由
-动态路由协议发现的路由
静态路由:由管路员手动指定的路由
优点:使用简单,容易实现
可精确控制路由走向,对网线进行最优化调整
对设备性能 要求较低,不额外占用链路带宽
缺点:
网络是否通畅以及是否优化,完全取决于管理员的配置
网络规模扩大时,由于路由表项的增多,将增加配置的繁杂度,以及管理员的工作量
网络拓扑发生变更时,不能自动适应,需要管理员参与修正
静态路由 动态路由 和缺省路由的区别
-
配置方式:
- 静态路由:网络管理员手动配置每个目标网络的路由表项。每个目标网络都需要被明确指定路由,需要手动更新并适应网络变化。
- 动态路由:使用动态路由协议(如OSPF、BGP、RIP等)自动学习和更新路由信息。路由器之间通过交换路由信息,根据设定的算法自动选择最佳路径,并自动更新路由表。
- 缺省路由:作为默认路由表项进行配置,当目标网络没有匹配的路由条目时,数据包会根据缺省路由进行转发。
-
管理复杂度:
- 静态路由:需要手动配置和管理每个目标网络的路由表项,适用于小规模网络,但在大型网络中会变得复杂和繁琐。
- 动态路由:通过动态路由协议自动学习和更新路由信息,减少了手动配置的工作量,并适用于复杂网络环境。
- 缺省路由:只需配置一个缺省路由表项,节省了路由表的规模和管理难度。
-
灵活性和自适应性:
- 静态路由:每个目标网络的路由都是手动配置的,使得网络管理员具有更大的灵活性和控制权,但在网络变化时需要手动更新路由信息。
- 动态路由:动态路由协议可以根据网络的变化自动更新路由表,适应网络拓扑的变化,提供自适应的路由选择。
- 缺省路由:作为默认路由,当没有更具体的路由匹配时,缺省路由会自动指示数据包的流向。
-
扩展性与故障容忍性:
- 静态路由:在网络规模扩大或发生故障时,需要手动更新和管理路由表,扩展性和故障容忍性相对较低。
- 动态路由:动态路由协议能够自动调整路由表项,提供更好的扩展性和故障容忍性,允许网络更加动态地适应变化。
- 缺省路由:作为一个常规的路由表项,缺省路由不会对系统的扩展性和故障容忍性产生直接影响,它只在目标网络无匹配路由时发挥作用。
应用场景
静态路由的使用时机:
- 小型网络:在小型网络中,静态路由可以用于手动配置每个目标网络的路由表项,以确定流量的最佳路径。
- 网络分割:当需要将网络分割成多个子网或虚拟局域网(VLAN)时,可以使用静态路由来连接不同的子网,实现流量的有效转发。
- 测试和故障排除:在网络的测试和故障排除阶段,静态路由可以用于临时配置特定的流量路径,以便分析和验证网络的正确功能。
缺省路由的使用时机:
- 默认网关:缺省路由通常用作网络中的默认网关。当目标网络地址没有匹配的路由表项时,流量将被发送到默认网关,以确保流量的转发,特别是在处理未知目标网络的情况下。
- 简化路由表:在大规模网络中,使用缺省路由可以减少路由表的规模。只需要指定一个缺省路由项,而不是为每个可能的目标网络配置具体的路由表项。
- 边缘网络连接:在将边缘网络(如分支机构或远程办公室)连接到总部网络时,可以使用缺省路由将流量路由到总部网络。这样可以简化配置和管理,并确保边缘网络的流量可以正常传输到总部。
通俗一点讲
静态路由就像我们手动设置了每个具体目的地的导航点,例如你知道去某个地方有多条路可以选择,你会选择其中一条最适合的路线,然后手动设置导航系统。每当你要去不同的地方,你都需要手动输入相应的导航点。在网络中,静态路由是网络管理员手动配置的路由路径,为了将数据包从源地址正确地发送到目标网络。
缺省路由则类似于你在导航系统中设置了一个默认目的地。当你不知道具体要去哪里时,导航系统会自动将你导航到默认目的地。在网络中,缺省路由也被称为默认路由。它是一个特殊的设置,当没有其他更具体的路由匹配时,数据包将根据该路由规则进行转发。它有点像网关的角色,当目标网络无法匹配到特定路由时,网络流量就会被转发到默认路由指定的下一个节点。
总的来说,静态路由是手动配置每个目标网络的具体路由,而缺省路由作为一个通用的设置,当没有更具体的路由匹配时用来指示数据包的流动方向。它们在网络中都发挥着路由选择的作用,根据具体的网络需求和规模来选择最适合的方式。
路由协议
动态路由协议
动态路由协议通过路由信息的交换生成并维护转发引擎所需的路由表。当网络拓扑结构改变时动态路由协议可以自动更新路由表,并负责决定数据传输最佳路径
按工作区域分类:
IGP内部网关协议:RIP OSPF EIGRP IS-IS
EGP外部网关协议:BGP
按工作机制及算法分类:
距离矢量路由协议:RIP IGRP EIGRP
链路状态路由协议:OSPF IS-IS
RIP协议
使用距离矢量路由协议的路由器并不了解网络的拓扑。该路由器只知道:
自身与目的网络之间的距离
应该往哪方向或者使用哪个接口转发数据包
RIP是应用及开发较早的路由协议 是典型的距离矢量路由协议
适用于小型网络 最大跳数15跳(16跳不可达)
RIP基于UDP 使用端口号520
在CISCO IOS平台的管理局了是120
现在RIP生产环境很少见
OSPF
开放最短路径优先 是典型的链路状态路由协议 是目前业内使用最广泛的IGP之一
路由器之间交互的是链路状态信息,而不是直接交互路由;
支持VLSM 支持手工路由汇总
多区域的设计使得OSPF能够支持更大规模的网络
OSPF三张表
邻居表 拓扑数据库 OSPF路由表
ICMP协议
是一种网络协议,常用于在网络中进行错误报告和诊断。它是在网络层(IP层)中工作的,用于发送各种控制消息和错误报告。
ICMP主要用于以下几个方面:
-
发送错误报告:当网络中发生错误时,ICMP可以生成和发送错误报告消息,通知源主机或路由器发生了问题。例如,当目标不可达、超时等情况发生时,ICMP会生成错误报告消息并返回给源主机。
-
回显和回应:ICMP可以用于进行网络设备的连通性测试。其中,最常见的是ICMP Echo Request和Echo Reply消息,也被称为Ping命令。通过发送Echo Request消息到目标设备,如果目标设备可达且正常工作,则会回复Echo Reply消息,以验证两者之间的连通性。
-
传递可能的重定向消息:路由器可以使用ICMP重定向消息来通知源主机,路径选择出现更优的路径。当路由器接收到一个数据包,但发现有更好的下一跳路由时,它可以发送ICMP重定向消息给源主机,以便源主机更新路由表。
总之,ICMP是一种简单的、基于文本的协议,用于进行网络中的错误报告、连通性测试和重定向通知。它是TCP/IP协议族的一部分,在网络中发挥着重要的作用。
ARP地址解析协议
功能:
将IPv4地址解析为mac地址;维护映射的缓存
工作原理:
A主机以广播形式发送ARP查询请求,询问主机B的IP对应的MAC地址
主机B以单播形式回复主机A本机MAC地址
主机A把主机B的IP地址和MAC地址的映射关系写入ARP缓存表
ARP缓存:
动态表项: 通过ARP协议学习,能被更新 缺省老化时间为120s
静态表项:不能被更新,无老化时间限制
注意:
arp报文不能穿越路由,不能被转发到其他广播域
arp -a 查看缓存表里有无对方mac地址
全F代表广播地址
同一网段、不同物理网络上的计算机之间,可以通过ARP代理实现相互通信。
免费ARP是广播报文 它的源目标IP是一样的 目的是为了再次确认网络中的身份 可以用来探测IP地址是否冲突
VLAN------IEEE 802.1Q协议
虚拟局域网(vlan)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置限制,可以根据功能,部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网
vlan可以隔离广播域,有效抑制广播风暴
跨Vlan需要三层网络支持,安全性提高
trunk 和access的区别
Trunk接口:
- 用途:Trunk接口主要用于在交换机之间传输VLAN信息和多个VLAN之间的数据流量。它支持对多个VLAN进行标记,使不同VLAN的数据能够在交换机之间传递。
- VLAN传输:Trunk接口会对数据帧进行标记,通常使用VLAN标记协议(如802.1Q),以区分不同VLAN的数据。这样,在接收端交换机上,可以根据VLAN的标记将数据正确地发送到对应的VLAN。
- 连接设备:通常,Trunk接口会连接两台支持Trunk模式的交换机,或连接到其他设备(如路由器)以便传送多个VLAN的数据。
Access接口:
- 用途:Access接口用于连接终端设备(如计算机、IP电话等)到交换机。它只能属于一个特定的VLAN,用于传输属于该VLAN的数据流量。
- VLAN传输:Access接口不会对数据帧进行标记,传输的数据是未标记的。它只能传输所属的VLAN的数据,不会允许其他VLAN的数据通过该接口传输。
- 连接设备:Access接口通常被用于连接个别用户终端设备,以便将其连接到所属的VLAN中。这样,终端设备可以与同一VLAN中的其他设备进行通信。
一般情况下,连接交换机之间的链路常用Trunk模式,而连接终端设备的链路则常用Access模式来实现对不同VLAN的隔离和数据传输。
广播风暴
指的是当广播数据充斥网络无法处理,并占用大量网络带宽,导致正常业务不能运行,甚至彻底瘫痪,这就发送了“广播风暴”
注意:
一个VLAN中所有设备都是在同一广播域内,不同的VLAN为不同的广播域
VLAN之间相互隔离,广播不能跨越VLAN传播,因此不同VLAN之间的设备一般无法互访,不同VLAN之间需要通过三次设备实现相互通信
一个VLAN一般为一个罗伊子网,由被配置为此VLAN成员的设备组成
VLAN中成员多基于交换机的端口分配,划分VLAN就是对交换机的接口划分
VLAN工作于OSI参考模型的第二层,详见802.1Q帧格式
VLAN是二层交换机的一个非常根本的工作机制
传输层协议
传输层定义了主机应用程序之间端到端的连通性,传输层中最常见的两个协议分别是传输控制协议TCP和用户数据包协议UDP
TCP
TCP(Transmission Control Protocol传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能,用户数据报协议(UDP)是同一层内另一个重要的传输协议。
tcp端口号:
FTP:21 20
http:80
telnet:23
SMTP:25
端口号用来区分不同的网络服务
tcp头部通常使用IP协议来作为网络协议
tcp会话包括源端口号 目的端口号,源IP地址 目的IP地址
TCP通过三次握手建立可靠连接
报文结构
源端口:标识发送方的应用进程。目的端口:标识接收方的应用进程。序号:保证数据传输的有序性。确认号:对收到的数据进行确认。Flag字段(8位)
ACK
一确认号标志,置1表示确认号有效,表示收到对端的特定数据
RST
-复位标志,置1表示拒绝错误和非法的数据包,复位错误的连接
SYN
-同步序号标志,置1表示同步序号,用来建立连接
FIN
-结束标志,置1表示连接将被断开,用于拆除连接
Option字段(可选项)
MSS最大报文段长度,通过置位,协商能承载的TCP数据的大小
UDP是一种面向无连接的传输协议,不能保证传输的可靠性
UDP头部近占8字节,传输数据时没有确认机制 协议号是17
使用UDP传输数据时,由应用程序根据需要提供报文到达确认、排序、流量控制等功能
UDP不提供重传机制,占用资源小,处理效率高
一些时延敏感的流量 ,如语音、视频等、通常使用UDP作为传输层协议
数据转发的过程
交换机可以隔离冲突域,路由器可以隔离广播域
交换机的应用
交换机作为数据链路层设备 转发数据帧
路由器收到了网络中的主机发送的广播报文,不会转发但是会处理
交换机内部有一个mac地址表,对帧的转发方式有三种:泛洪 转发 丢弃
学习mac地址
交换机将收到的数据帧的源mac地址和对应接口记录到mac地址表中。
转发数据帧
当数据帧的目的MAC地址不在MAC表中,或者目的MAC地址为广播地址时,交换机会泛洪改帧
目标主机回复
交换机根据MAC地址表将目标主机的回复信息单播转发给源主机 mac地址表的有效时长是300秒
STP原理与配置
环路会引起广播风暴,会引起MAC地址表震荡 网络组的主机会收到重复数据帧
STP的作用
STP通过阻塞端口来消除环路,并能够实现链路备份的目的
STP操作
1.选举一个根桥
2.每个非根交换机选举一个根端口
3.每个网段选举一个指定端口
4.阻塞非根,非指定端口。
根桥选举
每一台交换机启动STP后,都会认为自己是根桥
优先级数值越低 优先级越高
MAC地址越小越优先
根端口选举
非根交换机在选举根端口时分别依据该端口的根路径开销、对端BID和本段BID
端口优先级默认128
根端口在交换机上进行选举
指定端口在网段上进行选举
指定端口选举
非根交换机在选举指定端口时分别依据根路径开销、BID、PID
未被选举为根端口或指定端口的端口为预备端口,将会被阻塞
端口状态转换
forwarding 转发状态
Learning 学习状态
Listening 监听状态
Blocking 阻塞状态
Disabled 禁用状态
RSTP(802.1w)、MSTP(802.1S)
RSTP相比于STP优点
.P/A机制协商,收敛速度更快,STP网络变更收敛需要30-50s RSTP收敛1s
MSTP相比于RSTP优点
新增实例概念,多个VLAN根据需求划分多个实例,每实例一颗生成树
实现不同实例(vlan组)的流量负分担,提高了链路的使用效率
BPDU
BPDU包含桥ID、路径开销、端口ID、计时器参数。
计时器
配置BPDU报文没经过一个交换机、Message Age都会加1
如果Message Age 大于Max Age,非根桥会丢弃该配置BPDU
Message Age是指BPDU报文的老化时间
根桥故障
非根桥会在BPDU老化之后开始根桥的重新选举
直连链路故障
非直连链路故障后 swc 的预备端口回复到转发状态大约需要50秒
拓扑改变导致MAC地址表错误
MAC地址表项的默认老化时间是300秒 在这段时间内,SWB无法将数据从G0/0/2端口转发给B主机
根保护
进端口
stp root-protection
bpdu保护
stp bpdu-protection
环路保护
进端口,stp loop-protection
避免在网络中的环路
NAT
NAT 网络地址转换 是将IP数据报报头5中的IP地址转换为另一个IP地址的功能
静态nat
nat实现的方式有三种,静态转换 动态转换 和端口多路复用PAT
静态转换是指将内部地址和外部地址进行一对一的转换。这种方法要求申请到的合法公网IP地址足够多,可以与内部IP地址——对应。
静态NAT一般用于那些需要固定的合法IP地址的主机,比如Web服务器、FTP服务器、E-mail服务器等。
动态nat
将多个合法IP地址统一的组织起来,构成一个IP地址池,当有主机需要访问外网时,就分配一个合法IP地址与内部地址进行转换,当主机用完后,就归还该地址。
对于NAT池,如果同时联网用户太多,可能出现地址耗尽的问题。
pat
**端口多路复用(Port address Translation,PAT)**是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外网IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
NAT在使用场景上分为SNAT(源地址NAT)、DNAT(目的地址NAT)和双向地址NAT。
SNAT
源地址转换即内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址,内网的多部主机可以通
过一个有效的公网ip地址访问外部网络。
主要使用场景:局域网私网IP使用有限的公网IP访问互联网。
DNAT
当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部做地址转换,此转换称为DNAT。
主要使用场景:主要用于内部服务对外发布。
双向地址转换
常规地址转换技术只转换报文的源地址或目的地址,而双向地址转换(Bidirectional NAT)技术可以将报文的源地址和目的地址同时转换。
主要使用场景:内网用户通过外网IP/域名访问内网业务。
注意
NAT 只能对IP 报文的头部地址和TCP/UDP 头部的端口信息进行转换。对于一些特殊协
议,例如ICMP、FTP、SIP等,它们报文的数据部分可能包含IP地址或端口信息,这些内容不能被NAT有效的转换。
为了使得这些应用也能透明地完成NAT转换,NAT使用一种称作ALG(Application Level Gateway应用程序级网关)的技术,它能对这些应用程序在通信时应用层数据所包含的地址信息也进行相应的NAT转换。
通常网络设备的ALG功能均有单独的开关。
ACL
工作原理
由一条或多条规则组成
每条规则必须选择动作:允许或拒绝
每条规则都有一个步长(id序列号,默认=5,间隔=5)
序列号越小越先进行匹配
只要有一条规则和报文匹配,就停止查找,成为命中规则
查找完所有规则,如果没有符合条件规则,称为未命名规则
ACL创建后,必须将其应用到某个接口或者其他技术内才会生效
应用在接口是必须选择方向:入站或出站,相对设备来判断
不能过滤由设备自己产生的数据
先细后出
ACL类型:分为数字型ACL和命名型acl
ACL类型:分为数字型ACL和命名型acl
正掩码、反掩码、通配符区别
深度优先”匹配原则
ACL调用建议
1.基本ACL尽量调用在离目标最近的出站接口
2.高级ACL尽量调用在离源头最近的入站接口
配置实例
配置需求:
在Router上部署基本ACL后,ACL将试图穿越Router的源地址为192.168.1.0/24网段的数据包过滤掉,并放行其他流量,从而禁止192.168.1.0/24网段的用户访问Router右侧的服务器网络。
在Router上创建基本ACL,禁止192.168.1.0/24网段访问服务器网络:
[Router] acl 2000
[Router-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255
[Router-acl-basic-2000] rule permit source any
由于从接口GE0/0/1进入Router,所以在接口GE0/0/1的入方向配置流量过滤:
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] traffic-filter inbound acl 2000
[Router-GigabitEthernet0/0/1] quit
433
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
