计算机网络管理技术知识大纲
一、交换机的数据转发原理
-
数据链路层。负责相邻节点之间的可靠数据通信,并进行有效流量控制。功能有:
- 链路连接的建立、拆除和分离。
- 帧定界和帧同步。
- 顺序控制。
- 进行数据协商。
- 差错检测和恢复,还有链路标识,流量控制等。
-
以太网 。工作在数据链路层,采用CSMA/CD(带冲突检测的载波监听多路访问)避免信号的冲突。mac地址用来识别一个以太网上的某个单独的设备或一组设备。
-
以太网交换机 。能根据以太网帧中的目标MAC地址信息转发数据帧。交换机在RAM中保存一张MAC地址表,它的作用有下面几个方面:
-
**转发。**交换机根据MAC地址表单播转发数据帧
-
**学习。**MAC地址表是交换机通过学习接收的数据帧的源MAC地址来形成的
-
**广播。**如果目标地址在MAC地址表中没有,交换机就向除接收到该数据帧的端口外的其他所有端口广播该数据帧
-
**更新。**交换机MAC地址表的老化时间是300秒;交换机如果发现一个帧的入端口和MAC地址表中源MAC地址的所在端口不同,交换机将MAC 地址重新学习到新的端口
查看mac地址表命令:show mac address-table
-
-
以太网标准。数据链路层包括:MAC(介质访问控制层)和LLC(逻辑链路控制层)
MAC(介质访问控制层):
- 将上层交下来的数据封装成帧进行发送,接收时进行相反过程,将帧解封装;
- 实现和维护介质访问控制层;
- 比特差错检测
- MAC帧寻址
LLC(逻辑链路控制层):
- 建立和释放数据链路层的逻辑连接
- 提供与上层的接口
- 给帧加上序号
-
交换机的基本配置 。
全局配置模式:Switch#config terminal
Switch(config)#
接口配置模式: Switch(config)#interface fa0/1
Switch(config-if)#
Line模式:Switch(config)#line console 0
Switch(config-line)#查看交换机的配置:Switch(config)#show running-config
配置enable明文口令:Switch(config)#enable password 12345
配置enable加密口令:Switch(config)#enable secret abcd
配置IP地址与网关:
设置远程登录口令:
二、交换机的VLAN划分
-
VLAN技术。
- VLAN的主要作用:提高网络的安全性;有效控制网络广播;灵活的管理。
- VLAN的类型 :基于端口划分的VLAN(大部分)根据端口划分VLAN是目前定义VLAN的最常用的方法;基于MAC地址划分的VLAN(部分高级交换机) 根据每个主机的MAC地址来划分
-
交换机VLAN的配置
配置vlan的步骤:
- 创建VLAN
- 将端口加入到相应的VLAN中
- 验证
创建vlan
删除vlan :Switch(config)#no vlan 2
将端口加入VLAN:
验证VLAN的配置:Switch# show vlan brief
三、VLAN trunk的配置
VLAN Trunk是虚拟局域网中继技术,它的作用是让连接在不同交换机上的相同VLAN中的主机互通。 以太网上实现中继可用两种封装类型,ISL(Cisco私有协议)和 IEEE 802.1Q
配置VLAN Trunk
-
配置接口为Trunk模式
Switch(config)# interface interface-id
Switch(config-if)#switchport mode trunk
-
查看接口模式
Switch#show interface interface-id switchport
-
从 trunk中除去某个VLAN
Switch(config-if)#switchport trunk allowed vlan remove vlan-list
-
添加vlan
Switch(config-if)#switchport trunk allowed vlan add vlan-list
四、路由器的原理
- 路由基础。路由是把信息从源端通过网络传递到目的端的行为,在路上,至少碰到一个中间节点。路由包含两个基本的动作:确定最佳路径和通过网络传输信息。在路由的流程中,后者也称为(数据)交换。
- 路由原理。路由设备必须同时具有路由和交换的功能才可以作为一台有效的中继设备。为了进行路由,路由器必须确定下面3项内容:
- 路由器必须确定它是否激活了对该协议组的支持。
- 路由器必须知道目的地网络。
- 路由器必须知道哪个外出接口是到达目的地的最佳路径。
五、静态路由配置
-
静态路由。是指由网络管理员手工配置的路由信息,适用于比较简单的网络环境。
(1)命令语法
Router(config)#ip route network 【mask】{address|interface}【distance】(2)命令功能:静态路由定义了一条到目标网络或子网的路径。
(3)参数说明
ip route:静态路由配置命令(command)
network:目标网络(destination network)
mask:网络掩码(subnet mask)
address:下一跳地址(Next-hop address)
interface:本地出接口(Local outgoing interface)
distance:管理距离(administrative distance) -
默认路由。是一种特殊的静态路由,指的是当路由表中与包的目的地址之间没有匹配
的表项时路由器能够做出的选择。默认路由配置命令:(1)命令语法:
Router(config)#ip route 0.0.0.0 0.0.0.0 {address|interface}【distance】
默认路由和静态路由的命令格式一样。只是把目的地IP和子网掩码改为0.0.0.0
和0.0.0.0。默认路由一般适用于末梢网络(stub network)当中。
(2)命令示例
ip route 0.0.0.0 0.0.0.0 10.0.0.2
该命令实现的末梢网络到达任意一个网络都通过10.0.0.2。
六、两种动态路由协议RIP、OSPF
-
动态路由。是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新和维护路由表的过程。动态路由是基于某种路由协议实现的。适用网络规模大、网络拓扑结构复杂的网络。
特点:(1)减少管理任务(2)占用网络带宽
-
RIP。
-
工作原理:周期性与邻居路由交换路由表来完善自己的路由表,以跳数为度量值来选择最佳路由
-
特点。使用跳数作为选择路径的度量;跳数16,表示网络不可达;默认情况,30S更新一次路由
-
路由的更新规则。
- 更新的路由条目在路由表中没有,则直接在路由表中添加该路由条目;
- 已有相同目的网络的路由条目,且下一跳相同,那么无条件根据最新的路由信息更新其路由表;
- 已有相同目的网络的路由条目,但下一跳不同,则要比较它们的度量值,将度量值较小的一个作为自己的路由表项;
- 已有相同目的网络的路由条目,且度量值相等,保留原来的路由表项。
-
配置:
(1)启动RIP进程
Router(config)# router rip
(2)宣告主网络号
Router(config-router)# network network-number(网段)
(3)验证配置
Router# show ip route
Router# show ip protocols
Router# debug ip rip -
VLSM(可变长子网划分)。
**!注意:**RIPv1不能支持VLSM,RIPv2可以支持VLSM;RIPv1不支持不连续子网
-
-
**OSPF。**是开放式最短路径优先协议,它是基于开放标准的链路状态路由协议。与RIP相比,OSPF收敛更快,适合规模大的网络,应用也更为广泛。
-
链路状态。是指本路由器与哪些路由器相邻,且对应的“代价是多少?”代价=100M/链路带宽
-
Router ID。是在OSPF区域内唯一标识一台路由器的IP地址。
-
LSA(链路状态通告)。LSA被封装在链路状态更新分组LSU中,泛洪发送
-
OSPF单区域配置 。
(1)配置loopback环回接口地址,作为路由器的router id。
Router(config)# interface loopback 0
Router(config-if)# ip address IP地址 掩码
(2)配置OSPF路由进程
Router(config)#router ospf 进程号(1-65535)
进程号指本地路由器的进程号,用于标识一台路由器上的多个OSPF进程。
(3)使用Network命令在路由器上启动OSPF进程
Router(config-router)# network 网络号 反向掩码 area 区域号(4)查看命令:
-
-
访问控制列表(ACL) 。是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
-
ACL的作用
- ACL可以限制网络流量,提高网络性能。
- ACL提供对通信流量的控制手段。
- ACL是提供网络安全访问的基本手段。
- ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
-
ACL 分类
- 标准ACL。编号1—99 1300—1999;只能对源Ip地址进行限制
- 扩展ACL 。编号100—199 2000—2699;可对源IP,目的IP,协议类型,端口进行限制
-
标准ACL。
-
扩展ACL 。
-
-
网络地址转换(NAT)。是一种将私有(保留)地址转化为合法IP地址的转换技术。NAT不仅解决了IP地址不足的问题,而且还能够有效地避免来自外部网络的攻击,隐藏并保护网络内部的计算机。
- NAT的特点。
- 优点:节省公有合法IP地址;处理地址交叉;增强灵活性;安全性
- 缺点:延迟增大;配置和维护的复杂性;不支持某些应用
- 私有地址。
- A类 10.1.0.0—10.16.255.255
- B类 172.16.0.0–172.31.255.255
- C类 192.168.0.0—192.168.255.255
- NAT的实现方式。
- 静态转换(Static Translation)
- 动态转换(Dynamic Translation)
- 端口多路复用(Port Address tanslation,PAT)
- 查看NAT结果。命令:Show ip nat translations
七、三层交换机数据转发原理
-
三层交换的功能
- 根据三层协议对路由进行计算,其支持路由协议有:RIPV1、V2和OSPF等。
- 支持IGMP,DVMRP等各种常用的IP组播协议
- 服务质量QoS
- 支持标准的SNMP网管协议,支持传统的命令行接口(CLI)。
- 对虚拟网的多种划分策略
**!注意:**三层不能完全替代路由器(如NAT)
-
三层交换机的交换方式
- 进程交换。三层路由查询消耗CPU资源
- 快速交换MLS。源IP、目的IP、类型相同;一次查找,缓存存储、多次转发;固定路由某条链路故障引发后续数据报丢失
- CEF(基于拓扑)。(不用查找,直接转发)
-
基于CEF的MLS
八、三层交换机的配置
配置命令:
-
创建vlan:
Switch(config)#vlan vlan-id
Switch(config-vlan)#exit
-
在三层交换机上启动路由功能
Switch(config)#ip routing
-
配置VLAN 的IP地址
Switch (config)#interface vlan vlan-id
Switch (config-if)#ip address Ip-address Subnet-mask
Switch (config-if)#no shutdown
-
在三层交换机上配置路由接口
Switch (config)#interface 接口
Switch (config-if)#no switchport (用来开启路由接口的)
Switch (config-if)#ip address Ip-address Subnet-mask
配置DHCP中继配置:
DHCP(Dynamic Host Configuration Protocol),动态主机配置协议,用来动态的获取IP地址。VLAN能隔离广播,DHCP使用广播传输信息,那么DHCP只能在VLAN内部使用。
Switch(config)#interface vlan vlan-id
Switch(config-if)#ip helper-address Dhcpserver-address
九、VTP
概述:
VTP(VLAN Trunking Protocol)是VLAN中继协议,也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在企业网中,配置VLAN工作量大,可以使用VTP协议,把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。
VTP域
要使用VTP,必须先建立一个VTP管理域,在同一管理域中的交换机共享vlan信息,并且一个交换机只能参加一个管理域。不同域中的交换机不能共享vlan信息。
命令:Switch(config)#vtp domain name // 这里的name指的是自定义name
VTP模式
- 服务器模式(Server)
能创建或删除vlan - 客户机模式(Client)
不能创建或删除vlan
从服务器处学习vlan信息 - 透明模式(Transparent)
不学习vlan信息 - 模式配置命令:Switch(config)#vtp mode server/client/transparent
- 配置vtp密码:Switch(config)#vtp password ……
十、网关冗余
HSRP与VRRP
-
HSRP原理
在两台路由器或三层交换机上虚拟一个网关IP地址,再虚拟一个网关MAC地址。虚拟网关IP地址由管理员定义(在网段内不得与主机IP冲突),虚拟网关MAC地址自动生成 -
特点
抢占默认被关闭,需手动开启;仅支持两台设备;Cisco私有;Active, standby;默认优先级100 -
关键命令:
Switch(config)#int vlan vlan-id
Switch(config-if)#standby 1(自定义的序号) ip Ip-address
Switch(config-if)#standby 1 priority 150 //设置优先级,默认为100
十一、SNMP
SNMP(Simple Network Management Protocol,简单网络管理协议)是广泛用于TCP/IP网络的网络管理标准协议,提供了一种通过运行网络管理软件的中心计算机,即NMS(Network Management Station,网络管理工作站)来管理网元的方法。
- 网络管理员可以利用MS在网络上的任意节点完成信息查询、信息修改和故障排查等工作,提升工作效率。
- 屏蔽了不同产品之间的差异,实现了不同种类和厂商的网络设备之间的统一管理。
SNMP典型架构
SNMP的信息交互
SNMP管理模型
MIB (Management Information Base)
SNMPv1、SNMPv2、SNMPv3
- SNMPv1:
- 不支持设备之间认证
- 交换的信息是明文的
- 最初的,功能简单,MIB不大
- SNMPv2:
- Community标识符认证
- NMS与被管理设备的配置相同
- SNMPv3:
- SNMPv3与SNMPv1和SNMPv2的工作机制基本一致但添加了报头数据和安全参数
- SNMPv3报文具有身份验证和加密处理的功能。
- SNMPv3适用于各种规模的网络,安全性极高。
十二、数据存储RAID;网络存储SAN、NAS
-
RAID技术。
- 实现方式。
- 硬件RAID方式:RAID卡,自己有CPU,不占用主机CPU,透明化,读写面对一张硬盘
- 软件RAID方式:占用主机CPU,换软件容易丢数据
- 数据组织方式。
- 读写都是基于条带
- 条带深度:条带能存储的数据量 4K*3 = 12K
- 校验方式。
- 数据保护机制。
- 常用的RAID级别与分类标准。
- 实现方式。
-
备份。
- 数据备份的类型。
- 容灾与备份。
- 容灾指标。
-
网络存储形态。
- NAS(network attached storage), 对文件操作
- SAN(storage area network),对硬盘发指令
- 两者都需要网络,文件系统的位置不同,Application software + file system 相当于操作系统。
十三、防火墙基本知识:包过滤、状态监测、应用网关
-
包过滤防火墙。是最早出现的、形式最简单的一种防火墙,在路由器上通过访问控制列表来实现,通过检查数据包的报头信息,根据数据包的源地址、目的地址和以上其他的信息组合,按照过滤规则来决定是否允许数据包通过。
**!注意:**过滤规则一般不判断数据包的上下文,只根据当前的数据包内容做决定
-
应用实例
-
优点:
- 性能优于其他防火墙,因为它执行的计算较少,并且容易用硬件方式实现;
- 规则设置简单,通过禁止内部计算机和特定Internet资源连接,单一规则即可保护整个网络;
- 不需要对客户端计算机进行专门配置。
-
缺点:
- 对管理员的知识要求高;
- 不能阻止应用层的攻击;
- 只对某些类型的TCP/IP攻击比较敏感;
- 不支持用户的连接认证;
- 只有有限的日志功能。
-
-
状态防火墙。采用的是状态检测技术,这是由CheckPoint公司最先提出的一项具有突破性的防火墙技术。它把包过滤的快速性和代理的安全性很好地结合在一起,成为防火墙的基本过滤模式。
- 状态检测。
- TCP的连接过程是一个有序过程,新连接一定是通过SYN包来开始的,防火墙可以将连接的信息记录到连接状态表中。
- 数据通信过程是有方向性的,一定是发起方发送SYN,接收方发SYN/ACK,不是此方向的数据就是非法的。
- 因此状态检测可以实现“A可以访问B而B却不能访问A”的效果。
- 包过滤和状态防火墙的比较。
- 状态防火墙更智能,因为它能理解连接的状态:初始化连接、传输数据或者释放连接。
- 一个状态防火墙包含了包过滤防火墙的功能。
- 优点。
- 状态防火墙知晓连接的状态。
- 状态防火墙能比包过滤防火墙阻止更多类型的DoS攻击,并具有更丰富的日志功能。
- 缺点。
- 配置防火墙需要管理员对网络层和传输层的信息非常熟悉,配置起来会比较复杂。
- 由于状态防火墙依然检验的是网络层和传输层的信息而不涉及到应用层,所以它仍然不能阻止应用层攻击。
- 不是所有的协议都象TCP协议那样包含有状态信息 。
- 状态检测。
-
应用网关防火墙。也称为代理防火墙,能够根据网络层、传输层和应用层的信息对数据流进行过滤。绝大多数应用网关防火墙的控制和过滤功能是通过软件来完成的,这能够比包过滤或状态防火墙提供更细粒度的流量控制。
- 认证功能。
- 分类。
- 连接网关防火墙
- 直通代理防火墙
- 优点。
- 能够实现对用户的认证,这能够阻止绝大多数欺骗攻击。
- 使用连接网关防火墙则能够监控连接上的所有数据,使得我们能够检测到应用层攻击,如不良的URL、缓存溢出企图、未授权的访问和更多类型的攻击,同时生成非常详细的日志。
- 缺点。
- 密集性的处理过程要求大量的CPU资源和内存。
- 详尽的日志能够也会占用大量磁盘空间。
- 通常不支持所有的应用,它基本上被限制在一种或少数几种连接类型上。
- 应用网关防火墙有时要求在客户端安装厂商指定的软件,用来处理认证过程和可能的连接重定向 。
-
防火墙的体系结构