计算机网络的概述
dhcp端口号客户端68服务端67
网络的概念
网络拓扑:由图标描述网络基本情况
交换机功能:终端设备的接入、基本的安全功能、广播域的隔离(VLAN)
路由器:路由协议支持、数据转发、广域网链路支持
不冗余不可靠
层次:核心层–汇聚层–接入层(整个服务器可靠、健壮、冗余)
广域网
城域网
局域网
网络参考模型(上)
OSI网际互连
OSI的概念∶(Open system lnterconnect)
开放系统互连参考模型,是由ISO(国际标准化组织)定义的。它是个灵活的、稳健的和可互操作的模型,(框架或者模型)并不是协议,是用来了解和设计网络体系结构的。
OSI模型的目的:
规范不同系统的互联标准,使两个不同的系统能够较容易的通信,而不需要改变底层的硬件或软件的逻辑。
OSI模型七层
OSI把网络按照层次分为七层,由下到上分别为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。
应用层:应用程序及接口(telent、http、ftp)
为应用软件提供接口,使应用程序能够使用网络服务
常见的应用层协议∶http(80)、ftp(20/21)、smtp(25)、pop3(110)、telnet(23)、dns(53)等
表示层:对数据进行转换、加密和压缩(ASCII、GIF、JPG)数据的解码和编码
数据的加密和解密数据的压缩和解压缩
会话层:建立、管理和终止会话
建立、维护、管理应用程序之间的会话。
功能:对话控制、同步
传输层:提供可靠的端到端的报文传输和差错控制(将上层的报文进行分段处理) 作用∶负责建立端到端的连接,保证报文在端到端之间的传输。
功能︰服务点编址、分段与重组、连接控制、流量控制、差错控制。
网络层:将分组从源端传送到目的端;提供网络互联网络层的 (IP地址三层)
作用:负责将分组数据从源端传输到目的端·网络层
功能:为网络设备提供逻辑地址、进行路由选择、分组转发
数据链路层:将分组数据封装成帧;提供节点到节点方式的传输(数据包、MAC地址二层)
作用:在不可靠的物理链路上,提供可靠的数据传输服务,把帧从一跳(结点)移动到另一跳(结点)。
功能:组帧、物理编址、流量控制、差错控制、接入控制
物理层: 在媒体上传输比特;提供机械的和电气的规约()
作用:负责把逐个的比特从一跳(结点)移动到另一跳(结点)。
功能:定义接口和媒体的物理特性
定义比特的表示、数据传输速率、信号的传输模
定义周组物理拓扑(网状、星型、环型、总线型等拓扑)
特点
1、OSI模型每层都有自己的功能集;
2、层与层之间相互独立又相互依靠;
3、上层依赖于下层,下层为上层提供服务。
网络参考模型(中)
单播(点对点) 组播 广播(网段)
Layer3:网络层
设备:路由器
广播、组播控制
对数据做寻址,选择到达目的网络的最佳路径
流量管理
连接广域网(WAN)
IP地址 网络号+主机号
Layer2:数据链路层
设备:交换机
MAC Layer-IEEE802.3协议
MAC地址 48位 16进制
Layer1:物理层
物理层标准规定了信号、连接器和电缆要求
接口 线缆
设备:集线器Hub
整台设备在同一个冲突域(collision domain)
整台设备都在同—个广播域broadcast domain)
设备共享带宽
网络参考模型(下)
数据链路层负责在内部寻址和传输
A----------B
封装
解封装
二层封装技术:
1、以太网 – 共享型网络 属于BMA网络类型
介质访问控制:
在一个物理通道中,使用多个相互不干扰的,不同频率信号来共同进行数据传递;起到增加带宽的效果; — 频分
物理线缆:RJ-45双绞线 -数字信号 RJ-11 电话线 --模拟信号 光纤—光信号
同轴电缆—数字信号
以太网技术被设定为BMA网络类型;
MA使得该网络必须可以容纳2个以上的节点,故必须存在二层的单播地址,—MAC地址
广播型使得该网络必须存在广播和洪泛机制;
以太网存在一个冲突的概念,使用了CSMA/CD在有线网络避免冲突;使用了CSMA/CA在无线网络避免的冲突;后期使用交换机在有线网络彻底解决了冲突;
TCP/IP
TCP/IP协议簇
·传输控制协议/IRlI特网协议(TCP/IP)组是由关国国防部(DoD)所创建的,主要用来确保数据的完整性及在毁灭性战争中维持通信
·是由一组不同功能的协议组合在一起构成的协议簇
·利用一组协议完成OSI所实现的功能
HTTP 80
超文本传输协议,提供浏览网页服务
Telnet23
远程登陆协议,提供远程管理服务.
FTp20、21
文件传输协议,提供互联网文件资源共享服务
SMTP25
简单邮件传输协议,提供互联网电子邮件服务
POP3110
邮局协议,提供互联网电子邮件服务
TFTP69(UDP)
简单文件传输协议,提供简单的文件传输服务
主机到主机层
TCP与UDP
TCP(传输控制协议)属于面向连接的网络协议(可靠的连接)
UDP(用户报文协议)属于无连接的网络协议(尽力而为的传输)
传输控制协议(TCP ) | 用户数据报协议(UDP ) |
---|---|
面向连接 可靠传输 流控 | 无连接 不可靠传输 尽力传递 |
使用TCP的应用∶ | 使用UDP的应用︰ |
web浏览器;电子邮件;文件传输程序 | 域名系统(DNS);视频流;IP语音(VoIP) |
TCP与UDP端口号(十进制表示的标识符)
源端口随机分配,目标端口使用知名端口
应用客户端使用的源端口号一般为系统中未使用的且大于1023 ;
目的端口号为服务器端应用服务的进程。如telnet为23。
三次握手
TCP三次握手:
send SYN(seq=100 ctl=SYN)------->SYN received,send SYN,ACK(seq=300 ack=101 ctl=syn ack)---------->SYN receiced,Established(seq=101 ack=301 ctl=ack)
TCP端口号 源 目的
窗口机制
因特网层
·网络层也叫Internet层
·负责将分组报文从源端发送到目的端·网络层作用
·为网络中的设备提供逻辑地址·负责数据包的寻径和转发
协议:ICMP IGMP
IP协议
ARP协议具有两项基本功能:将IPV4地址解析为MAC地址 维护映射的缓存
工具:ping (ICMP) traceroute/tracert
交换基础VLAN TRUNK(上)
出口层(OR)广域网接入 出口策略 带宽控制
核心层(CO)高速转发 服务器接入 路由选择
汇聚层(GS)流量汇聚 链路冗余 设备冗余 路由选择
接入层(AS)用户接入 接入安全 访问控制
交换机的工作原理:
1.交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射,并将其写入MAC地址表中。
2.交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较,以决定由哪个端口进行转发。
3.如数据帧中的目的MAC地址不在MAC地址表中,则向所有端口转发。这一过程称为泛洪(flood).
4.广播帧和组播帧向所有的端口转发。
交换机的三个主要功能 :
学习:以太网交换机了解每一端口相连设备的MAC地址,并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。
转发/过滤:当一个数据帧的目的地址在MAC地址表中有映射时,它被转发到连接目的节点的端口而不是所有端口(如该数据帧为广播/组播帧则转发至所有端口)。
消除回路:当交换机包括一个冗余回路时,以太网交换机通过生成树协议避免回路的产生,同时允许存在后备路径。
交换机主要功能:Address learning Forward/filter decision(识别帧、转发帧(数据链路层)) Loop avoidance
MAC地址:共48位,前24位是组织唯一标识(厂商)
MAC地址有48位,通常被表示为点分十六进制数。
MAC地址全球唯一,由IEEE对这些地址进行管理和分配。
每个地址由两部分组成,分别是供应商代码和序列号。其中前24位二进制代表该供应商代码。剩下的24位由厂商自己分配。
VLAN概念
整台交换机的所有端口均属于同一个广播域(一个逻辑子网)
将交换机的端口划分进特定的VLAN(不同的广播域)
成员模式:
静态VLAN----交换机上的端口以手动方式分配给VLAN ;
动态VLAN----使用VMPS可以根据连接到交换机端口的设备的源MAC地址,动态地将端口分配给VLAN;
语音VLAN-----将端口配置到语音模式可以使端口支持连接到该端口的IP电话;
交换基础VLAN TRUNK(下)
Trunk概念
当一条链路,需要承载多VLAN信息的时候,需要使用trunk来实现
—般见于交换机之间或交换机与路由器之间
ISL 纯净 以太网
802.1q
802.1Q帧标记∶
默认情况,在802.1Q Trunk上对所有的VLAN打Tag,除了Native VLAN ;-交换机根据以太网帧头信息来转发数据包;
Tag标记字段详细信息:
Tag 标记字段包含一个2 bytes EtherType (以太类型)字段、一个3bits的PRI字段、1bit的CFI字段、12bits的VLAN ID字段;
VLAN的特点
一个VLAN中所有设备都是在同一广播域内﹔广播不能跨越VLAN传播
一个VLAN为一个逻辑子网;由被配置为此VLAN成员的设备组成,不同VLAN间需通过路由器实现相互通信
VLAN中成员多基于Switch端口号码,划分VLAN就是对Switch接口划分.
VLAN工作于OSI参考模型的第二层
VLAN的范围
VLAN | 范围 | 用途 | 是否通过VTP传播 |
---|---|---|---|
0和4095 | 保留 | 用户不能使用 | 不适用 |
1 | 正常范围 | 默认VLAN 能使用,不能删除 | 是 |
2-1000 | 正常范围 | 用户能够创建、使用和删除 | 是 |
1001 | 正常范围 | 用户不能够创建、使用和删除 | 是 |
1002-1005 | 保留 | 为FDDI和令牌环提供 | 不适用 |
1006-1009 | 保留 | 不适用 | |
1010-1024 | 保留 | 不适用 | |
1025-4094 | 保留 | 有限使用 | 否 |
生成树协议(上)
单链路 单设备
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q7rWsMB9-1642386372473)(C:\Users\Lzzzz-x\AppData\Roaming\Typora\typora-user-images\1642318056040.png)]
广播风暴:Host X发送广播帧 交换机继续没完没了的更新广播流量
多帧复制:Host X发送一个单播数据帧给Router Y ; Router Y的MAC地址还没有被每个交换机学习到;Router Y接收2份相同的数据帧的拷贝;
MAC表紊乱:Host×发送一个单播数据帧给Router Y ;
Router Y的MAC地址还没有被每个交换机学习到;
Switches A and B在Port1上学习到Host X的MAC地址;到达Router Y的数据帧被泛洪;
Switches A and B不正确的在Port2上学习到Host X的MAC地址;
攻击行为:MAC泛洪
复杂的环路网络(提高网络冗余性)
采用生成树STP解决环路
通过将特定的端口选为Blocking state,来实现无环的拓扑;IEEE 802.1D规定了这一行为;Cisco采用IEEE802.1D的增强的私有协议生成树PVST+;
STP的操作
1.每个广播域选择一个根桥(root)(Bridge ID 8个字节前两个是桥优先级(最大值就是65535), 后六个是桥MAC地址)
2.每个非根桥上选择一个根端口(Root Port) 根端口∶具有最低根路径的接口 要考虑的因素:
1.最低的根桥ID2.最低的根路径代价3.最低发送者桥ID4.最低端口ID
3.每个段选择一个指定端口(Designated port)指定端口:具有最低根路径的接口
4.阻塞非指定端口
cost值开销 最短路径是cost累加,而cost是基于链路的速率的。
STP路径开销
Link Speed | Cost (New IEEE Specification) | cost (Old IEEE Specification) |
---|---|---|
10 Gb/s | 2 | 1 |
1 Gb/s | 4 | 1 |
100 Mb/s | 19 | 10 |
10 Mb/s | 100 | 100 |
BPDU:
Root ID:由2字节优先级和6字节MAC组成
Cost of Path:路径开销是从Switch 到Root
Briage的方向叠加的
Port ID:端口信息由1字节端口优先级和1字节端口ID组成
Maximum Time:当一段时间未收到任何BPDU,
生存期达到Max Age时,网桥则认为该端口连接的链路发生故障。默认20秒
Hello Time:发送BPDU的周期.默认2秒
Forward Delay.BPDU全网传输延迟,默认15秒
STP的端口状态
Blocking(loss of BPDU detected)(max age = 20 sec)-------->Listening(forward delay=15 sec)-------->Learning(forward delay =15 sec)------->Forwarding
Link comes up------>Blocking(moves to listening after it decides it is a root port or a designated port)----->Listening(forward delay=15 sec)侦听数据帧,不转发也不学习
阻塞状态:不转发frame,接收BPDU
侦听状态:不转发frame,侦听frame
学习状态:不转发frame.学习地址
传发状态:转发frame .学习地址
禁止状态:不转发frme,不接受BPDU
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NyCU8oja-1642386372475)(C:\Users\Lzzzz-x\AppData\Roaming\Typora\typora-user-images\1642324195391.png)]
生成树在工程中的运用
接入设备上利用以太网聚合性扩大链路有效带宽避免网络拥塞提升运营商竞争力
接入设备支持的以太网聚合的两种方式:手工聚合、LACP聚合
两者的主要差异在于手工聚合时两端设备不会运行LACP协议,LACP聚合时两端设备会运行LACP协议,因此更加准确和有效
手工聚合:上层设备不支持LACP协议,下层被级联的设备数量较多
LACP聚合:如果接入设备对应的上层设备支持LACP协议,且希望链路间可以分担负荷 主备保护
数值越小,优先级越高
ACL访问控制列表
ACL的两大主要功能:
流量控制
匹配感兴趣流量
ACL的类型
1.标准访问控制列表
只能根据源地址做过滤
针对整个协议采取相关动作(允许或禁止)ACL的类型
2.扩展访问控制列表
能根据源、目的地地址、端口号等等进行过滤·
能允许或拒绝特定的协议
入站及出站
进影响进 出影响出
入方向的ACL的操作