网络初级课---------HCIA
华为认证的ICT工程师
网络就是通过一些特殊的通道把分布在不同地址位置的物品连接起来,从而实现信息的传输和共享
计算机网络
计算机网络
OSI七层模型
DHCP协议
静态路由
RIP协议
OSPF协议
vlan
ACL
NAT
计算机
1946年诞生,
计算机的功能:
**·**应用层-------将自然语言---->编码
**·**表示层-------将编码---->二进制数
·介质访问控制层----控制硬件,比如将二进制转换为电流输出
**·**物理层-------CPU计算、电流输入输出
对等网
网络扩大方案
增大距离
信号失真-----传输线缆—仅能减小失真,但不能完全避免失真现象
信号衰减-----中继器-----仅能延长5倍的传输距离,现已被淘汰
增加节点
总线型-----由一条多芯的网线向四周延伸,连接各个节点
优点:信道利用率高,结构简单,成本低
缺点:同一时间仅允许两个节点进行通讯
环型------由节点和节点连接的线路组成的闭合环
优点:增加和删除设备简单
缺点:当某一节点故障时,会影响全网,导致整张网络瘫痪
星型-----由中央节点和通过链路连接到中央节点的节点组成
优点:结构简单,连接方便,扩展性强
缺点:信道利用率低,对中央节点要求高,同时仅允许两个节点通讯
全连接型(网状结构)-----实际上是星型拓扑的扩展,使用了全连接的方式,任何节点都可以是中心节点
优点:从节点到节点有多条路径可以选择,稳定
缺点:结构复杂,成本高
集线器-----HUB
地址问题----MAC地址-----由48位二进制组成
延时问题----因为产生大量垃圾信息,增加了信息延时
安全问题----A节点给B节点发消息时,别的节点监听到了
冲突问题----节点A给节点B发消息,同时节点B也给节点C发消息,两个消息在集线器相遇,相互抵消
CSMA/CD-----载波侦听多路访问/冲突检测机制(先听后发,边听边发,冲突停发,随机延迟后重发)
该机制仅减少了冲突的次数,而没有完全避免冲突
冲突域---->连接在同一根物理线路上的所有工作站的集合
网络扩大需求
网络的传输距离无限制
完全没有冲突
实现数据的单播传输
网桥----将物理信号转换为二进制数据,并将数据储存在设备内存中,然后重新生成新的物理信号进行传输。
交换机—网桥的升级版
二层设备,可以处理二进制数据
交换机具备识别MAC地址的功能,并且会根据识别的内容,会生成一个表项,叫MAC地址表。交换机基于地址表进行数据转发。
PC1给PC3发送信息,此时源MAC=PC1,目的MAC=PC3,
当数据来到交换机时,交换机会开启MAC地址自主学习功能,将源MAC地址与接受该数据的端口的关系记录在MAC地址表
然后根据目的MAC地址进行查询转发,若MAC地址表中存在该目的的MAC地址,则直接单播转发,若不存在,则进行洪泛操作(除了流量的入接口外,所有接口复制转发一次流量)
MAC地址表不是永久存在,存在300s的老化时间,这样保证了交换机中的MAC地址表不会过于庞大从而影响数据的转发速率
广播域----一个数据包所洪泛的范围
路由器
隔离广播域----路由器的一个接口就是一个独立的广播域
转发数据----依靠路由表进行
同广播域通讯----依靠交换机进行
跨广播域通讯----借着路由器进行
设备通过IP地址来判断执行同广播域还是跨广播域通讯
IP地址—逻辑地址
IPv4地址----32位二进制组成,点分十进制
IPv6地址----128位二进制,冒号分十六进制
IP地址组成===网络位(该IP所在的网段)+主机位(主机的编号)
网络位相同而主机位可以不同的,即为同一个广播域
掩码
作用:用来判断IP地址的网络位是多少
掩码由32位二进制组成,使用点分十进制,是连续1+连续的0。掩码的1对应的IP地址中的比特位即为网络位。
网关
ARP协议
原理:根据已知的地址来获取与其对应的地址
特殊的MAC地址:FFFF:FFFF:FFFF:-----代表广播地址
工作过程:
发送者
PC1构造一个广播帧(目的MAC地址全F),源IP和源MAC都是PC1自己的,目的IP是192.168.1.100,该数据被发送到交换机,交换机看到目的MAC地址全F,则直接进行洪泛操作,而不用在本地MAC地址表中查询。-----ARP请求报文。-----我是谁,我找192.168.1.100,请回复我。
若PC2接收到该请求报文,根据目的MAC地址,会认为该报文可能是找我的,故而拆除报文封装,查看IP地址内容,因目的IP地址非本地,故丢弃该请求报文
若路由器接收到该请求报文,根据目的MAC地址,会认为该报文可能是找我的,故而拆除报文封装,查看IP地址内容,因目的IP地址为路由器本地IP地址,故查看数据内容,并回复PC1
路由器构造一个单播帧,源IP和源MAC均为路由器本地数值,目的IP为192.168.1.1,目的MAC为AAAA:AAAA:AAAA,该报文为ARP应答报文。
交换机接收到应答报文后,会根据目的MAC地址查询MAC地址表并进行单播转发。
PC1接收到该报文后,成功获取到路由器的MAC地址。并将MAC地址记录在本地的ARP缓存表中,进而构造访问PC3的数据包。
ARP缓存表-----存在老化时间—180s
ARP分类
正向ARP----通过IP地址获取MAC地址-----网络中最常见的
反向ARP----通过MAC地址获取IP地址
免费 (无故) ARP-----自我介绍、冲突检测
代理ARP----由网关设备代替主机查询MAC地址
ISO----国际标准化组织
OSI七层参考模型
应用层------接收用户信息,人机交互的接口,将自然语言---->编码
表示层------将逻辑语言转换为机器语言
会话层-----针对传输的每一种数据建立一条连接(防止数据间相互干扰)
上三层----控制层面
下四层----数据层面
传输层-----区分流量,定义数据传输方式
网络层-----通过IP地址进行逻辑寻址
数据链路层-----介质访问控制–MAC,逻辑链路控制层—LLC
物理层—定义一些物理特性,传播比特流
PDU----协议数据单元
上三层----数据
传输层----数据段
网络层----数据包
数据链路层----数据帧
物理层----比特流
TCP/IP协议栈
物理层
传输介质
同轴电缆
传输速率----10Mbps
粗同轴电缆----500米
细同轴电缆----185米
双绞线
线序
-
568A
绿白、绿、橙白、蓝、蓝白、橙、棕白、棕
-
568B
橙白、橙、绿白、蓝、蓝白、绿、棕白、棕
光纤
双工模式
单工-----设备仅支持发送数据或接收数据
半双工----设备可以发送和接收数据,但是不能同时进行----对讲机
全双工----设备可以发送和接收数据,可以同时进行-----电话
数据链路层
LAN-----局域网,现今局域网使用的数据链路层协议是以太网协议
以太网当中,存在最重要的通讯基础就是MAC地址
数据帧
EthernetⅡ帧格式
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OdbtgKNR-1684245635484)(C:\Users\zhouli’xuan\AppData\Roaming\Typora\typora-user-images\image-20230410211112850.png)]
帧的发送方式
- 单播帧------一对一发送:
- 组播帧------在特定情况下使用,目的为一组设备
- 广播帧------目的MAC全1
网络层
有类地址分类按照IP地址的前8位数字特征进行分类,共分出五类,其中A、B、C类为单播地址,掩码分别为8、16、24位。
特殊地址
-
无效地址------0.X.X.X-------0.0.0.0(1、代表没地址;2、代表所有网络)
-
本地测试地址------127.X.X.X
-
受限广播地址------255.255.255.255
-
主机位全0-----192.168.1.0/24-----代表一个网段
-
主机位全1----192.168.1.255/25----定向广播地址
-
169.254.0.0/16
私有地址
A类:10.0.0.0----10.255.255.255(10.0.0.0/8)
B类:172.16.0.0—172.31.255.266(172.16.0.0/16、172.18.0.0/16…172.31.0.0./6----共16个)
C类:192.168.0.0----192.168.255.255(共有256个地址段,192.168.1.0/24)
公有地址
除了特殊地址和私有地址外的所有单播地址
IP协议
生存时间-----TTL----最大值255
单位为路由器个数,数据包每被一个路由器进行转发,则TTL值-1
IP分片
以太网当中,规定最大传输的一个数据包的大小为1500字节。该值被称为MTU----最大传输单元
ldentification-----标识
- 序号,用于标记数据包的先后顺序,方便后续接收方将数据进行恢复重组.
Flags----标志位----3bit
-
固定位第一位为0
-
DF位----代表该报文是否分片,若为0则代表分片,若为1则代表未分片。
-
MF位----代表该报文是否为最后一片,若为0则代表最后一片,若为1则代表后续还有其他报文。
Fragment-----片偏移(8字节)
- 标识分片后的报文在原始报文中的相对位置
传输层给网络层发送一个5000字节大小的报文,该报文在网络层需要进行IP分片,问此时IP分片的数量以及分片后的报文的标识,标志位和片偏移为多少 (0 185 370 555)
传输层
端口号----作用就是标识进程
-
静态端口-----网络上比较常用的协议固定使用的端口号
-
(1-1023)
-
telent------23 ftp------20/21 http-----80 https-----443 dns-----53 dhcp-----67/68
-
-
动态端口-----某些协议自动随机生成的端口号
- (1024-65535)
TCP协议------传输控制协议
一种面向连接的可靠性协议。
可靠性
确认机制------传输确认,每接收到一个数据段,都需要进行一次确认
重传机制------超时重传,当一个数据段中的某一个包丢失,会提示要求重新传输这个报文
排序机制------传输一个报文,可能会被分成多个数据包,并从不同路径传输,最终到达目的地的顺序会被打乱,需要进行重新排序。重新排序依靠TCP的序号字段
流控机制(滑动窗口机制):通过调节窗口大小来对流量进行控制 。
窗口大小:指无需等待确认就可以连续发送数据的最大量
TCP为了保证自身的可靠性,具备重传机制,故不允许在网络层进行分片。而TCP会在传输层使用分段的方式将报文大小分割成满足网络层MTU数值的大小,以保证不会被网络层分片。
MSS(最大传输段)====MTU-IP头部-TCP头部
PMTU-----路径MTU发现协议
在IP头部中,DF设置为1,表示不能分片
当接收方收到一个不能分片的报文时,会将该报文丢弃,并回复一个ICNP报文(告诉发出者,数据不可达,且表明不可达原因),同时携带本地的MTU值发送方接受到该ICMP报文之后,因为TCP的重传机制,会重新发送一个数据,此时该数据会根据ICMP报文中的新MTU值重新进行分段
面向连接
三次握手
四次挥手
UDP协议----用户数据报协议
- 非面向连接的不可靠传输协议
TCP和UDP的区别
- TCP是面型连接的,而UDP是面向无连接
- TCP是可靠性协议,而UDP是尽力而为
- TCP可以进行流控以及拥塞控制而UDP不能
- TCP可以进行数据分段,而UDP不进行
- TCP消耗资源多,速度慢;UDP消耗资源少,速度快
VLSM技术----可变长子网掩码----子网划分
因为使用主类地址产生的预留IP地址太多,造成了IP地址浪费,所以诞生了VLSM技术,消除IP地址浪费
实现方法:通过从主机位借位到网络位的方式,达到将一个大的网段划分为多个小的网段;借出的位称为子网位,决定了能划分的网段个数
192.168.1.0/24
11000000.10101000.00000001.00000000----IP地址
网络位 主机位
11111111.11111111.11111111.00000000----掩码信息
11000000.10101000.00000001.0 0000000/25---192.168.1.0/25
11000000.10101000.00000001.1 0000000/25---192.168.1.128/25
CIDR技术
将小的网段汇聚成大的网段
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
192.168.0000 00 00.00000000/22----192.168.0.0/22---超网:汇总后的掩码信息<主类掩码
172.16.1.0/24
172.16.2.0/24
172.16.3.0/24
172.16.000000 00.0/22---172.16.0.0/22----子网汇总:汇总后的掩码信息>主类掩码
练习1
10.1.1.0/24 10个网段 8个网段 12个主机 2个网段 42个主机
00001010.00000001.00000001.0000 0000/28
00001010.00000001.00000001.0001 0000/28
00001010.00000001.00000001.0010 0000/28
00001010.00000001.00000001.0011 0000/28
00001010.00000001.00000001.0100 0000/28
00001010.00000001.00000001.0101 0000/28
00001010.00000001.00000001.0110 0000/28
00001010.00000001.00000001.0111 0000/28
00001010.00000001.00000001.1000 0000/28
00001010.00000001.00000001.1001 0000/28
00001010.00000001.00000001.1000 0000/27
00001010.00000001.00000001.1010 0000/28
00001010.00000001.00000001.1011 0000/28
00001010.00000001.00000001.1010 0000/27
00001010.00000001.00000001.1100 0000/28
00001010.00000001.00000001.1101 0000/28
00001010.00000001.00000001.1100 0000/27
00001010.00000001.00000001.1110 0000/28
00001010.00000001.00000001.1111 0000/28
00001010.00000001.00000001.1110 0000/26
练习2
10.1.1.0/24 23个网段
10.1.1.0/29
ICMP----网络层协议
在网络设备中传递各种差错、控制、查询等报文信息。
用于收集各种网络信息、诊断和排除各种网络故障的协议。
ping命令-----
tracert命令
VBP----华为通用路由平台
VRP系统按功能将不同的命令注册于不同的视图
-
----用户视图
-
[Huawei]------系统视图
-
其他视图
命令行使用
- system-view -----从用户视图切换到系统视图
- [Huawei]sysname HCIA -----修改系统名称
- [HCIA]quit -----返回上一视图
- [aaa]undo sysname ----undo 代表删除
- [Huawei]save -----保存配置
支持不完整关键字输入
Tab键自动补齐关键字
Telnet
实现远程管理网络设备。基于TCP协议的23号端口。
C/S架构,客户端/服务端
Telnet协议是明文传输,故具有不安全性
实践
pc配置
<Huawei>system-view
[Huawei]sysname PC
[PC]interface GigabitEthernet 0/0/0
[PC-GigabitEthernet0/0/0]ip address 192.168.1.1 24----配置IP地址及掩码信息
路由器配置:
<Huawei>system-view
[ROuter]sysname Telnet Server
[Telnet Server]interface GigabitEthernet 0/0/0
[Telnet Server-GigabitEthernet0/0/0]ip address 192.168.1.2 24
[Telnet Server]user-interface vty 0 4 ----开启用户接口空间
[Telnet Server-ui-vty0-4]authentication-mode aaa----修改对接口空间进入的用户的认证默认为AAA
[Telnet Server-ui-vty0-4]quit
[Telnet Server]aaa
[Telnet Server-aaa]local-user huawei password cipher 123456 ----设置用户名和密码
[Telnet Server-aaa]local-user huawei privlege level 15 ----设置用户权限等级
[Telnet Server-aaa]local-user huawei service-type telnet ----规定用户访问权限
华为系统对命令分不同级别,并且将用户也分为不同级别。
命令等级:
参观级(0级)
监控级(1)
配置级(2)
管理级(3)
DHCP----动态主机配置协议
基于UDP进行封装,端口号67/68(68号端口属于客户端,67号端口属于服务端)
报文类型
- DHCP discover 客户端用来寻找DHCP服务器,使用的是广播报文
- DHCP offer 服务端回复客户端的discover报文(该报文中携带了网络参数)
- DHCP request 客户端请求获取offer报文中的网络参数
- DHCP ack 对request报文的确认
- DHCP nak 对request报文的拒绝
- DHCP release 客户端发送给服务段,要求释放IP地址
- DHCP inform 当客户端获取到IP地址后,使用该报文获取其他网络参数(现在不用)
- DHCP decline 当客户端检测到IP冲突时,告知给服务器使用
工作过程
-
首先,PC会广播发送DHCP discover报文,Sever在接收到这个广播包以后,先会选择一个未分配的IP地址然后 (单播或广播) 发送一个DHCP offer不报文,该报文携带了网络参数给PC。
- 华为体系中,所有的网络设备均使用单播,linux使用广播,Windows两者均可。
-
若网络中存在多个DHCP服务器,又因为discover报文是广播发送,故所有的DHCP服务器均会回复offer报文给PC端。此时,PC仅对接收到的第一个offer报文进行回复,其余均丢弃。
-
PC再一次使用广播发送request报文向server请求offer报文中携带的网络参数。
- request报文有两重意义;1、向选择的服务端请求网络参数:2、告诉其余服务器,已经有了选择
-
服务器接收到request报文后,若目的为本地,则发送ACK报文回复;若目的不为本地,则丢弃报文
- 当存在两台PC同时请求地址,结果服务器给出的地址是同一个,这也就会导致后一个发送request报文的PC无法获取地址
-
PC接收到ack报文后,可以使用该IP,但是同时PC会发送三次免费ARP来检查网络中是否有其他主机使用该IP地址。
- 如果网络中存在该IP地址,则PC向server发送DHCP decline报文来通知服务器该IP冲突,并重新发送一个DHCP discover报文重新申请IP地址
- 如果网络不存在该IP地址,则会直接使用该IP内容
DHCP租期
PC在申请到IP地址后,会启动下述三种计时器
- 租期更新计时器
- 华为体系中,DHCP服务器下放给PC的IP地址可用时长为24小时
- 当该租期达到50%(12小时),PC会单播发送DHCP request报文给服务器要求续租,如果服务器回复ACk报文,则租期时间刷新为24小时;若服务器回复NBK报文,则PC立马放弃正在使用的IP地址,重新申请,若服务器无回复,则继续使用当前IP,且租期无变化
- 租期重绑定计时器
- 在网络中,可能因为某些原因导致服务端没有收到或者无法回复request报文,在这种情况下,当租期重新绑定计时器超时时,PC会重新广播发送DHCP discover报文,在网络上重新寻找DHCP服务器
- 如果收到了回复,则刷新各类计时器,使用新的IP地址
- 如果收到了拒绝,则PC立刻停止使用现有IP地址,然后重新申请IP地址
- 在网络中,可能因为某些原因导致服务端没有收到或者无法回复request报文,在这种情况下,当租期重新绑定计时器超时时,PC会重新广播发送DHCP discover报文,在网络上重新寻找DHCP服务器
- 租期失效计时器
- 如果PC在租约到期前都没有收到服务器响应,则PC立刻停止使用该IP地址,然后向服务器发送DHCP release报文
- PC主动放弃使用分配的IP地址,此时IP会将计时器设置为超时,并删除本地的IP地址,向服务器发送DHCP release报文,主动是否IP地址
DHCP配置
全局配置
[DHCP Server]interface GigabitEthernet 0/0/0
[DHCP Server-GigabitEthernet0/0/0]ip address 192.168.1.1.24
-
启动DHCP协议
[DHCP Server]dhcp enable
-
配置全局地址池
[DHCP Server]ip pool afhueqgafasfa121----创建池塘 [DHCP Server-ip-pool-afhueqgafasfa121]network 192.168.1.0mask 24----配置可分配的ip地址网段 [DHCP Server-ip-pool-afhueqgafasfa121]gateway-list 192.168.1.1 ---配置网关信息 [DHCP Server-ip-pool-afhueqgafasfa121]dns-list8.8.8.8 114.114.114.114 ---配置DNS
-
接口调用地址池
[DHCP Server]interface GigabitEthernet 0/0/0 [DHCP Server-GigabitEthernet0/0/0]dhcp select global [DHCP Server-ip-pool-afhueqgafasfa121]excluded-ip-address 192.168.1.100 ---排除192.168.1.100 [DHCP Server-ip-pool-afhueggafasfa121]excluded-ip-address 192.168.1.100 192.168.1.200---排除192.168.1.100--192.168.1.200的所有IP地址 [DHCP Server-ip-pool-afhueqgafasfa121]lease day 999 hour 0 minute 0 --修改租期时间为999天0小时0分
接口地址池配置
[DHCP Server]dhcp enable [DHCP Server]interface GigabitEthernet 0/0/0 [DHCP Server-GigabitEthernet0/0/0]dhcp select interface ---激活接口地址池 [DHCP Server-GigabitEthernet0/0/0]dhcp server dns-list 1.2.3.4 ---配置接口地址池中的DNS
静态路由
路由表匹配规则:最长掩码匹配规则。-------路由器总是选择最精确、最优的路由项来进行数据转发
路由信息的来源:设备自动发现、手工配置、通过动态路由协议生成。
直连路由 静态路由 动态路由
直连路由
-
网络设备在启动之后,当设备的接口处于UP状态时,设备能够自己去发先去往与自己接口直连相连的网络的路由。
-
直连路由产生的条件
- 接口必须双UP
- 必须配置IP地址
-
特征
- 优先级—0
- 开销值—0
[r1-GigabitEthernet0/0/2]shutdown----关闭接口物理层面
[r1-GigabitEthernet0/0/2]undo shutdown ----打开接口
[r1]display ip interface brief -----查看接口IP对应表
路由的优先级
路由项的优先级越小,则代表路由项的优先度更高。0-255
路由来源 | 优先级缺省值 |
---|---|
直连路由 | 0 |
OSPF—动态路由 | 10 |
静态路由 | 60 |
RIP—动态路由 | 100 |
BGP | 255 |
[r1]ip route-static 10.2.2.0 24 10.1.1.2 ----后续三个分别为目标网段号、目标网段掩码、下一跳地址
下一跳地址写的是流量流经的下一台路由器的入接口IP地址
[r1]display ip routing-table protocol static---查看静态路由路由表
路由环境
解决思路:IP数据包中规定TTL字段,每经过一台路由器,TTL值减1,当TTL等于0时,路由器丢弃该数据包。
静态路由拓展配置
等价路由
当路由器访问同一个目标网段时,**具备多条开销相似的路由时,**可以让流量拆分后延多条路径进行传输,达到叠加带宽的效果,减少单条链路的压力。—形成等价路由的条件:路由来源相同,开销值相同
路由表中存在等价路由之后,前往该等价路由的目的网段的IP报文会被路由器通过所有有效接口转发,这种转发行为被称为负载分担或负载均衡
环回接口
路由器的虚拟接口,通常用于网络测试,使用环回接口模拟一个真实的用户网段
interface LoopBack 0---创建环回接口,编号为0
ip address 192.168.1.1 24 ----配置环回接口
手工汇总
当路由器需要配置多条路由项时,可以选择将其进行子网汇总,减少配置量,减少路由表数量,降低CPU运算,提高转发效率
ip route-static 192.168.0.0/22 12.0.0.2---目标网段为汇总路由
路由黑洞
在手工汇总时,可能会包含一些网络中实际不存在的网段,造成流量有去无回的现象,并且浪费设备与链路资源。----将流量丢弃的路由器被称为黑洞路由器
在子网划分和子网汇总时进行严格的合理规划。
缺省路由
不限定目标的路由
ip route-static 0.0.0.0 0 12.1.1.1 ----缺省路由0.0.0.0/0
缺省路由可以匹配所有流量信息。
因为最长掩码匹配规则,所有只有当路由表中没有其他路由项匹配流量时,流量才会匹配上缺省路由
**注意事项:**每台路由器上仅存一条缺省路由,且当一个网络中有多台设备需要配置缺省路由时,缺省路由须延相同方向进行数据传递
空接口路由
空接口路由时解决环路的方法----黑洞路由器上存在缺省路由。
解决思路:存在黑洞的路由器配置一条通往汇总网段的空接口路由
当配置空间接口路由后,此时r1发来的去往192.168.0.0/24网段的路由就会匹配上空接口路由,而不是缺省路由,流量可以正常转发至空接口,最终提前结束环路
浮动静态路由
浮动静态路由实际上时给正常链路做了一个备份链路,以保证在正常链路故障的情况下,企业数据流量可以正常通讯,而不会造成较大的流量断路,影响企业效益
ip route-static 192.168.2.0 24 12.0.0.2
ip route-static 192.168.2.0 24 12.0.0.2 preference 61---修改优先级
display ip routing-table protocol static ---查看全局静态路由表
优先级越小,路由项的优先度越高,将10M带宽的链路优先级增大超过静态路由的默认优先级,可以实现浮动静态路由
一般路由的选择,先对比相同目标路由的优先级,选择具备优先级最小的路由项加入路由表中,若存在多条具备最小优先级的路由项,则对比各自的开销值,选择开销最小的
动态路由
动态路由----路由器自身根据网络中链路和节点的信息进行自动调整,根据算法自主生成路由项。适合大中型拓扑结构
静态路由----由网络管理员手工配置,配置内容繁琐,维护成本过高,仅适用于简单的小型网络
自治系统----As
-
由单一的机构或组织所管理的一系列网络设备的集合。----网络分块化,有利于网络管理、定责。
-
ASN----方便管理
- 由16位二进制组成,取值范围1-65535
- IANA------互联网数字分配机构
-
AS内部使用-----内部网关协议IGP
-
AS之间使用-----外部网关协议EGP
动态路由协议分类
-
按照范围分类
- 内部网关协议IGP----RIP、OSPF、ISIS、EIGRP(思科)
- 外部网关协议EGP-----BGP
-
IGP按特点分类
- 距离矢量型—DV----共享路由表
- RIP—路由信息协议
- EIGRP—加强型内部网关路由协议
- 链路状态型----LS—共享拓扑
- OSPF—开放式最短路径优先协议
- ISIS----中间系统到中间系统
- 距离矢量型—DV----共享路由表
-
IGP协议按照是否携带真实掩码信息分类
- 有类别路由协议-----不传递真实掩码
- 无类别路由协议-----传递真实掩码
RIP-----路由信息协议
基本概念
-
版本
- RIPv1----IPv4网络
- RIPv2----IPv4网络
- RIPNG----IPv6网络
-
属于标准的DV型路由协议-----距离矢量-----通过共享路由表来获取全网路由信息
-
RIP时基于UDP协议工作,端口号520
-
RIP使用跳数作为开销值Cost,最大跳数为15,16认为是路由无效
- 当优先级相同时,多条使用路由信息中开销值越小的路由优先度越高
- 开销值计算方法
- 数据包中传递的开销值=本地开销值+1
-
RIP存在周期更新机制------30s周期更新(使用应答报文)—保活,更新路由
RIP算法----贝尔曼福特算法
- 当接收到数据包中含有本地路由表中没有的路由项时,则直接将未知路由信息加载到本地
- 当接收到的数据报中含有本地路由表中已经具备的路由项,且下一跳地址相同,则将数据包中的路由项更新至本地路由表。
- 当接收到的数据包中含有本地路由表中已经具备的路由项,且下一跳地址不相同,比较COST值,若本地路由表中的COST值大,则将数据包中的路由项更新至本地
- 当接收到的数据包中含有本地路由表中已经具备的路由项,且下一跳地址不相同,比较COST值,若本地路由表中的COST值小,则不更新
RIP的数据包
- 请求报文-----在启动RIP进程后,用以获取邻居的路由信息
- 应答报文-----携带了具体的路由信息,用来回答请求报文
RIP工作原理
-
初始化
- RIP初始化时,会从每一个参与RIP工作的接口上发送请求数据报文。该请求数据包会向所有的启动了RIP协议的直连路由器请求一份完整的路由表。该请求数据包中的目的IP地址为224.0.0.9
-
接收请求
- 启动了RIP协议的路由器在接收到请求数据包后,会将自己本地路由表中的所有信息加载到应答报文,用以回复对端。
-
接受到相应报文
- 路由器接收并处理响应数据包,会对比本地路由信息与数据包中的路由信息,从而对本地路由表中的内容进行添加、删除、修改操作
-
常规路由的更新和定时器
- 当路由收敛结束后,路由器会以30s一次的频率发送应答报文。路由器收到应答报文后,会设置一个计时器,该计时器超时,则代表邻居路由器失效。会将该路由项开销值设置为16,并向外发送该路由四次,经过四次后,删除该路由
RIP的计时器
-
更新计时器
- 每台启动了RIP协议的路由器都有一个属于自己的更新计时器
- 计时器周期-----30s
- 是一个倒计时,每当数值为0时,就会向周围发送响应报文
- 主要:当接收到请求报文时,必须立即发送响应报文。
-
无效计时器
-
每台路由器上的每一个路由表项都会有一个无效计时器
-
计时器周期-----为更新计时器的6倍—默认180s
-
每当计时器时间为0,会认为该路由项已经无效,不可用。会将该路由项的开销值设置为16,并且向外进行传输,传输的目的时告诉其余路由器该网段不可达
-
每次该路由条目更新时,将该计时器刷新为180s
-
-
垃圾收集计时器
- 当一个路由项被变为无效路由项(开销值被设置为16),该路由不会被立即删除,而是会启动垃圾收集计时器,在该计时器为0前,该路由器在进行周期更新时,均会携带该路由信息进行更新;一旦计时器时间为0,则删除该路由项(包括该路由项所对应的无效计时器和垃圾收集计时器)
- 垃圾收集计时器周期—更新计时器的四倍----默认120s
- 如果垃圾收集计时器为0前的某一时刻,该路由项被更新为一条有效路由,则无效计时器被复位,垃圾收集计时器被删除
RIP环路问题
环路解决思路
-
最大跳数—最大15跳,限制环路
-
触发更新—当某一个路由器中的路由项发生改变时,不需要等待下一次周期更新到来,可以直接将发生改变的路由项发送------最大优势在于加速网络收敛
-
水平分割机制
- 如果触发更新的数据包还未到达R3,R4接收到了R3发送来的周期更新报文,那么R4则会学习关于3.0的路由信息,最终形成环路
- 水平分割机制
- 如果有一个路由项从路由器的某个接口学习到,那么在周期更新时,将不会从该接口发出该路由项
- 从此口进,不能此口出。
-
毒性逆转
- 带毒传输
- 如果有一个路由项从路由器的某个接口学习到,那么在周期更新时,将此此口发出,但是cost值设置为16
水平分割与毒性逆转原理相同,但是做法相反,所以只能同时执行一个效果。
- 华为默认开启水平分割
- 若水平分割和毒性逆转同时开启,按照毒性逆转来执行
RIPv1
rip1 ----启动RIP协议,配置进程号,进程号进具有本地意义
version 1----选择版本
network 12.0.0.0----宣告,RIP宣告路由时,必须使用主类网段宣告
network 192.168.1.0
network 1.0.0.0
宣告
-
要求
- 宣告所有直连网段
- 必须按照主类宣告
-
目的
- 激活接口-----只有激活RIP接口才能收发RIP的数据包
- 发布路由----只有激活接口对应的网段路由信息才能被加载到应答报文中被发布给其他路由器
RIPv2
rip 1
version 2
undo summary ----关闭自动汇总
network 1.0.0.0
network 192.168.1.0
network 12.0.0.0
RIPv1和RIPv2的区别
-
更新方式
- RIPv1使用广播更新
- RIPv2使用组播更新 ,组播地址224.0.0.9,0100-5e00-00xx
-
更新时是否携带掩码
- RIPv1不携带真实掩码
- RIPv2携带真实掩码
-
RIPv1
RIP拓展配置
- 手工汇总
- rip summary-address 10.1.0.0 255.255.254.0
- 汇总路由配置后,需要使用空接口进行防环操作,且RIP的手工汇总路由会抑制明细路由。
- 缺省路由
- default-route originate ----下放缺省路由
- RIP的缺省路由为下放路由,本地配置路由器不会使用该路由信息,而只是告诉其他路由器添加一条缺省0路由,下一跳为配置路由器.
- 静默接口
- 配置了静默接口的接口无法主动发送RIP数据报文
- 当静默接口收到RIP数据包后,将转变为普通接口,开始发送RIP数据报文
- silent-interface GigabitEthernet 0/0/0
- 一般配置在与用户设备相连的接口
- 手工认证
- 双方均需要配置
- rip authentication-mode simple cipher 123456
- 使用simple---->数据传输时直接携带真实密码9
- 使用MD5------->数据传输时携带哈希值0
- 加速收敛
- timers rip 1 6 4 —三个时间参数分别为更新计时器、无效计时器、垃圾计时器,单位为秒,修改时倍数关系不变,且全网均需要修改
RIP缺点
- 选路不佳—RIP基于跳数进行选路,不考虑带宽和网络延迟问题
- 占用资源过多----30s周期更新产生大量广播或组播报文,占用链路资源
- 收敛速度慢
- 仅支持小型网络----RIP最多支持15跳
OSPF-----开放式最短路径优先协议
基本概念
-
IGP-----AS内部使用
-
链路状态型协议-----传递拓扑
-
传递时携带网络真实掩码
-
SPF算法----最短路径优先算法
-
跨层封装------基于IP协议封装,协议号89
-
OSPF开销值=====参考带宽/实际带宽
-
OSPF优先级----10
-
LSA----链路状态通告
-
OSPF更新方式
- 删除了周期更新,仅保留触发更新机制
- 周期链路状态刷新—30min
-
使用组播更新----224.0.0.0/225.0.0.6
OSPF区域化结构部署----区域划分
- 只有一个区域的OSPF网络-----单区域OSPF网络
- 存在多个区域的OSPF网络-----多区域OSPF网络
区域内部传递拓扑信息,区域间传递路由信息
-
区域编号是32位的bit组成,点分十进制表示
- 区域0----骨干区域
- 其他区域—非骨干区域
- 区域划分的要求
- 必须存在骨干区域
- 所以非骨干区域必须与骨干区域直接相连
-
区域边界路由器—ABR
- 同时属于多个区域,一个接口对应一个区域,且至少有一个接口属于骨干区域
- 区域间可以存在多个ARP设备,一个ABR设备可以对应多个区域
-
自治系统边界路由器----ASBR
5种数据包、7种状态机、2种关系、3种接口角色、4种路由器角色和3张表
OSPF数据包
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6teDlkPM-1684245635485)(C:\Users\zhouli’xuan\AppData\Roaming\Typora\typora-user-images\image-20230507114107239.png)]
-
hello报文
-
用来周期性发现、建立、保活OSPF邻居关系
-
10s一次发送hello报文进行周期保活
-
存在一个hold-time时间,若该时间内没有收到邻居发送的hello报文,则认为邻居不存在,hold-time一般为死亡时间,为hello-time的四倍,即40s
-
Router-ID(RID)
- 全网唯一,标识路由器身份
- IP地址形式标识
-
-
DBD报文
- 链路状态数据库描述报文
- 包含了本地所有拓扑的目录信息
-
LSR报文
- 链路状态请求报文
- 请求获取未知的LSA信息
-
LSU报文
- 链路状态更新报文
- 携带真正的LSA信息的数据包
-
LSAck报文
- 链路状态确认
OSPF状态机
- down----关闭状态-----一旦启动了OSPF协议,则发出hello报文,该报文种携带了本地的RID值,并进入下一个状态
- init----初始化状态----收到的hello报文中携带有接收方本地的RID值,则进入下一个状态
- 2-way-------双向通讯状态----邻居关系建立的标志
条件匹配:匹配成功则进入下一个状态,匹配失败则停留在邻居关系
- exstart----预启动状态----使用未携带信息的DBD报文进行主从关系选举,RID大的为主设备
- exchange----准交换状态----使用未携带目录信息的DBD报文进行目录共享
- loading----加载状态-----邻居间使用LSR/LSU/LSAck报文来获取完整的拓扑信息
- full----转发状态----拓扑交换完成后进入该状态,标志着邻接关系的建立
条件匹配
消除LSA的重复共享,减小路由器及链路的资源消耗
- 指定路由器------DR
- 备份指定路由器------BDR
- 其他路由器----DRother
选举规则:
- 比较接口优先级,0-255;优先级越大接口优先度越高。默认值=1
- RID,越大越优。
一个广播域,进行一次DR/BDR的选举
角色之间关系
- DR与BDR----邻接关系;
- DR与DRother—邻接关系
- BDR与DRother----邻接关系
- DRother与DRother----邻居关系
在一个网络中,可以没有BDR,但是不能没有DR
选举模式—非抢占性,一旦选举成功,不因为新加入的设备
而重新选举,若需要重新选举,则需要重启OSPF进程,而非重启路由器
OSPF工作过程
-
启动OSPF协议,路由器A向本地所有启动了OSPF协议的直连接口,使用组播地址224.0.0.5发送hello报文;
-
hello报文中携带了本地的全网唯一的RID值;
-
之后对端路由器B在启动OSPF后,也会发送hello报文
-
当A接收到的hello报文中存在A的RID值时,则A与B建立邻居关系,并生成邻居表。
-
-
邻居关系建立后,邻居间进行条件匹配,匹配失败则停留在邻居关系,仅10s使用hello包保活;若匹配成功则可以开始建立邻接关系。
-
邻接间共享DBD报文,将本地和邻接的DBD包进行对比,查找RID值,进行主从关系选举。
- 从设备主动发送携带目录信息的DBD报文,主设备通过对比DBD报文内容,使用LSR/LSU/LSAck报文来请求未知LSA信息。
- 该过程完成后,邻接关系建立,并生成数据库表 LSDB)
-
之后,根据本地数据库表,启用spf算法,计算所有到达位置为网段的最短路径,将其加载到本地的ospf路由表中,并将未知路由信息加入到全局路由表。
- 此时路由收敛完成
- 最后,hello包周期保活,并且每30min进行一次周期链路状态刷新。
结构突变
-
新增网段—直接使用更新包告知邻接关系接口—触发更新
-
断开网段—直接使用更新包告知邻接关系接口—触发更新
-
无法沟通—hello包10s发送一次,若40s时间未接收hello包,即超出死亡时间
- 断开邻接关系
- 删除路由信息
- 当无法沟通超过1h,则删除本地储存的LSA信息(华为规定LSA信息仅能由始发设备删除)
1、启动协议
[r1]ospf 1 router-id 1.1.1.1 ----若不配置RID值,则路由器自己选择(环回接口最大IP>物理接口最大IP)
2、创建区域
[r1-ospf-1]area 0
3、宣告并激活接口
[r1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255 ----网段宣告使用反掩码进行宣告[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0-----接口地址宣告
reset ospf 1 process ----重置OSPF进程[r1]display ospf peer ----查看OSPF邻居表
[r2]display ospf peer brief ----查看OSPF邻居简表
[r2]display ospf lsdb ----查看OSPF数据库简表
[r2]display ospf routing ----查看OSPF路由表
OSPF拓展配置
- 修改参考带宽
- 修改优先级
- 静默接口
- 缺省路由
- 手工汇总
- 手工认证
- 加速收敛
RIP和OSPF对比
- 根本区别-----OSPF是基于链路状态的协议,而RIP是基于距离矢量的协议
- RIP仅适用于小型网络;OSPF适用于中大型网络;
- OSPF具备区域化结构部署,RIP没有;
- RIP使用跳数定义开销;OSPF使用带宽定义开销;
- RIP直接封装再UDP协议,OSPF直接封装在IP协议中;
- RIP基于主类宣告,OSOF基于反掩码进行宣告;
- RIP具有周期更新机制,OSPF仅具备触发更新;
- RIP协议收敛完成后,网络中持续性存在大量RIP报文;而OSPF在收敛完成后,报文量极小
交换技术
-
垃圾流量问题
- 交换机在接收到未知单播或广播帧时,会进行洪泛或广播操作,占用其他设备资源及带宽资源
-
安全问题
- 计算机接收到本不应该收到的数据帧,从而读取内容
VLAN-----虚拟局域网
VLAN数据帧
VLAN类型
-
基于端口的VLAN----一层VLAN
- 最常见的方式
- 由网络管理员进行配置,将VLAN编号与交换机物理接口对应。此后,从该接口进入的数据帧都将属于该VLAN。
-
基于MAC地址的VLAN—二层VLAN
- 配置一个VLAN和MAC地址的映射表单,当数据帧进入交换机时,交换机查询该表单,根据不同的源MAC地址来划分不同VLAN
- 一般用于PC接入交换机的端口会改变的网络
-
基于协议的VLAN划分----三层VLAN
VLAN的配置
1.在交换机上创建VLAN
vlan 2----默认情况下交换机存在vlan 1,并且所有接口属于vlan1
vlan batch 2 to 10 20----批量创建vlan2到vlan10以及vlan20
2.将接口划入vlan
int g0/0/0
port link-type access----修改链路类型为Access
port default vlan 2 ----修改端口所属vlan
display vlan ----查看vlan表单
端口类型
-
Access类型
- 一般用于交换机和终端相连的接口
-
Trunk类型
- 一般用于交换机与交换机相连的接口
-
Hybrid类型
- 同时具备Access和Trunk端口的功能
3.配置Trunk干道
int g0/0/24
port link-type trunk-----将接口链路类型设置为trunk干道
port trunk allow-pass vlan 23 ----在trunk干道的允许列表中加入vlan2和vlan3
VLAN之间通讯
多臂路由
单臂路由
int g0/0/0.1
ip address 192.168.2.254 24
dot1q termination vid 2—声明该子接口能出来的VLAN标签
arp broadcast enable -----开启子接口ARP广播功能
交换机连接路由器的接口链路类型修改为Trunk类型
子接口具备队VLAN Tag处理努力,可以将数据帧的VLAN Tag剥离添加
子接口
三层交换机
1.创建vlan
vlan batch 2 3
2.将接口划入vlan或配置Trunk干道
int g0/0/1
port link-type turnk
port trunk allow-pass vlan 2 3
3.创建SVI接口-------完成前两步
int Vlanif 2----创建具备对vlan 2的标签进行操作的接口
ip address 192.168.2.254 24
ACL技术-----访问控制列表
-
ACL原理
- 设备根据事先设置好的报文匹配规则对经过该设备的流量进行匹配,然后对报文执行预先设定的处理动作
-
ACL功能
- 访问控制----在流量流入或者流出的接口上匹配流量
- 动作
- 允许—permit
- 拒绝—deny
- 动作
- 抓取流量
- 访问控制----在流量流入或者流出的接口上匹配流量
-
ACL匹配规则
- 自上而下,逐一匹配,匹配上按照规则进行执行,不再向下匹配
- 若没有匹配上,则执行默认规则
- 华为中,ACL访问控制列表末尾隐含条件为允许所有
-
ACL分类
- 基本ACL
- 只能基于IP报文的源IP地址、报文分片标记来定义规则
- 规则编号:2000-2999
- 高级ACL
- 可以基于IP报文的源IP地址、目的IP地址、IP报文的协议字段、IP优先级、长度、TCP的源目端口、UDP源目端口等信息来定义规则
- 规则编号:3000-3999
- 二层ACL
- 使用以太网数据帧定义规则
- 编号:4000-4999
- 用户自定义ACL
- 基本ACL
需求一: 允许PC1访问192.168.2.0/24网段,而PC2不行
- 分析:该需求仅对源有要求,配置基本ACL,且因为基本ACL仅关注数据包中的源IP地址,故配置时尽量常近目标,避免对其他地址访问误伤。
acl 2000----创建基本ACL列表
rule deny source 192.168.1.2 0.0.0.0 ----编写规则
traffic-filter outbound alc 2000----调用策略
display acl 2000 -----查看ACL列表
通配符:0代表不可变;1代表可变
可以精准匹配某一个IP地址或网段
1、拒绝192.168.1.2和192.168.1.3
rule deny source 192.168.1.2 0.0.0.1
00000011
00000001
2、拒绝192.168.1.0/24网段
rule deny source 192.168.1.1 0.0.0.255
3、拒绝192.168.1.0/24网段中的单数IP
rule deny source 192.168.1.1 0.0.0.254
需求二:PC1可以访问PC3,但是不能访问PC4
分析:对目标有要求,使用高级ACL,由于高级ACL对流量进行了精确匹配,可以避免误伤,所以调用时靠近源,减少链路资源消耗。
acl 3100
rule deny ip source 192.168.1.1 0.0.0.0 destination 192.168.2.2 0.0.0.0
raffic-filter inbound acl 3100
需求三:PC1可以ping通R2,但是不能Telnet R2
acl 3000
rule deny tcp source 192.168.1.1 0.0.0.0 destination 12.0.0.2 0.0.0.0 destination-port eq telnet
NAT技术
私网IP地址
-
在IP地址空间中,A、B、C三类地址各有一部分地址,充当私网IP地址,其余地址称为公网IP地址
A:10.0.0.0----10.255.255.255
B:172.16.0.0----172.31.255.255.255
C:192.168.0.0----192.168.255.255
-
具有可重复性,私网IP不允许在互联网中传输,公网IP地址可以在互联网中使用
静态NAT
静态NAT是通过在私网边界路由器上建立并维护一张静态地址映射表,这张表记录了公有IP地址和私有IP地址之间的对应关系。----一对一的NAT
静态NAT配置位置为边界路由器的出接口
nat static global 12.0.0.100 inside 192.168.1.1
12.0.0.0----漂浮IP----合肥的从运营商处购买的公网IP地址,且该地址必须与边界路由器出接口地址处于同网段
display nat static----查看静态地址映射
动态NAT
1、配置公网IP组
nat address-group 1 12.0.0.10 12.0.0.20—配置公有IP地址NAT组,IP地址段必须是连续的
2、配置ACL抓取私网流量
acl 2000
rule permit source 192.168.1.0 0.0.0.255
3、将ACL与公网IP组绑定
nat outbound 2000 address-group 1
no-pat:改参数配置后,地址转换仅进行IP地址转换,不进行端口转换
NAPT----网络地址端口转换
easy ip
acl 2000
rule permit source 192.168.1.0 0.0.0.255
nat outbound 2000
端口映射
nat server protocol tcp global current-interface 23 inside
192.168.3.1 telnet
2.168.1.2 0.0.0.1
00000011
00000001
2、拒绝192.168.1.0/24网段
rule deny source 192.168.1.1 0.0.0.255
3、拒绝192.168.1.0/24网段中的单数IP
rule deny source 192.168.1.1 0.0.0.254
**需求二:PC1可以访问PC3,但是不能访问PC4**
分析:对目标有要求,使用高级ACL,由于高级ACL对流量进行了精确匹配,可以避免误伤,所以调用时靠近源,减少链路资源消耗。
> acl 3100
>
> rule deny ip source 192.168.1.1 0.0.0.0 destination 192.168.2.2 0.0.0.0
>
> raffic-filter inbound acl 3100
**需求三:PC1可以ping通R2,但是不能Telnet R2**
> acl 3000
>
> rule deny tcp source 192.168.1.1 0.0.0.0 destination 12.0.0.2 0.0.0.0 destination-port eq telnet
#### NAT技术
**私网IP地址**
- 在IP地址空间中,A、B、C三类地址各有一部分地址,充当私网IP地址,其余地址称为公网IP地址
A:10.0.0.0----10.255.255.255
B:172.16.0.0----172.31.255.255.255
C:192.168.0.0----192.168.255.255
- 具有可重复性,私网IP不允许在互联网中传输,公网IP地址可以在互联网中使用
**静态NAT**
静态NAT是通过在私网边界路由器上建立并维护一张静态地址映射表,这张表记录了公有IP地址和私有IP地址之间的对应关系。----一对一的NAT
静态NAT配置位置为边界路由器的出接口
> nat static global 12.0.0.100 inside 192.168.1.1
>
> 12.0.0.0----漂浮IP----合肥的从运营商处购买的公网IP地址,且该地址必须与边界路由器出接口地址处于同网段
>
> display nat static----查看静态地址映射
**动态NAT**
> 1、配置公网IP组
>
> nat address-group 1 12.0.0.10 12.0.0.20---配置公有IP地址NAT组,IP地址段必须是连续的
>
> 2、配置ACL抓取私网流量
>
> acl 2000
>
> rule permit source 192.168.1.0 0.0.0.255
>
> 3、将ACL与公网IP组绑定
>
> nat outbound 2000 address-group 1
no-pat:改参数配置后,地址转换仅进行IP地址转换,不进行端口转换
**NAPT----网络地址端口转换**
easy ip
> acl 2000
>
> rule permit source 192.168.1.0 0.0.0.255
>
> nat outbound 2000
**端口映射**
> nat server protocol tcp global current-interface 23 inside
>
> 192.168.3.1 telnet
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q3YHfh6R-1684245635485)(C:\Users\zhouli'xuan\AppData\Roaming\Typora\typora-user-images\image-20230514162150824.png)]