admin 管理员组文章数量: 887021
第一章 网络基础入门
1.1 OSI参考模型及TCP/IP协议栈
数据是如何传输的?
数据在计算机网络中传输通常依赖于TCP/IP协议模型。 什么是网络? 网络是一种连接多个计算机、设备或系统的通信基础设施,其目的是实现资源共享、信息传递、接收和共享。 网络允许不同地理位置的计算机和设备之间进行数据交流。 典型网络拓扑?智分无线(AP)智能化的无线接入点(Access Point)管理策略。
ACE" :"Access Control Equipment"(访问控制设备)或 "Access Control Element"(访问控制元素)。用于控制和管理网络流量、安全性和访问的设备、系统或元素。
"RIIL BMC" 似乎是指 "关键业务运行管理中心"(RIIL Business Management Center)。
IDS 入侵检测系统 有两种主要类型:
网络入侵检测系统(Network Intrusion Detection System,NIDS): NIDS 位于网络中,监视通过网络传输的数据流量。它分析传入和传出的数据包,以检测任何与已知攻击模式或异常行为匹配的情况。一旦发现潜在的入侵,NIDS 可以触发警报或采取其他预定的响应措施。
主机入侵检测系统(Host Intrusion Detection System,HIDS): HIDS 安装在单个主机或服务器上,监视该主机上的操作系统和应用程序活动。它可以检测与主机安全性有关的异常行为,例如潜在的恶意进程、文件更改或异常登录尝试。
SU(Service Unit) 通常用于标识和管理不同的网络资源单元或服务单元,包括服务节点、服务器、路由器、交换机等
服务器汇聚:服务器集中放置点,是一个物理位置或区域,通常位于数据中心内部,用于容纳大量服务器和网络设备。
圈圈 :作用 高可用 实现方式 双链路或堆叠方式或主备
网络的历史发展? MILNE:T用于连接和支持美国国防部和其他军事部门的计算机系统,后期解散MILNET在早期使用了一种名为"MIL-STD-1777"的安全通信协议,以满足军事通信的加密和认证需求。后期军方也是使用TCP/IP标准协议
ARPA Net:成为一个真正的互联网络,它成功地连接了不同类型的计算机,不仅解决了硬件和软件不兼容的问题,还为后来的互联网发展奠定了基础。
NSFNET:成为Internet上主要用于科研和教育的主干部分,代替了ARPANET的骨干地位
Internet:商业机构开始接入Internet,使Internet开始了商业化的新进程
OSI参考模型
为什么使用分层结构? 降低复杂性 提高设备的兼容性 提供标准化的接口 促进模块化工作 简化教学和学习 易于实现与维护 OSI模型将数据通讯过程分割为7个层次,每个层次都负责各自的 功能,并设计了对应的协议实现这些功能,各个层次之间有标准化 的接口。PDU 协议数据单元(Protocol Data Unit)
描述在不同层次的网络协议中传输的数据的单元或块。
比特 帧 包 段 数据
网络层:
网络应用
为网络用户之间的通信提供专用的程序
为用户提供网络管理,文件传输,事务处理等服务
应用层包含的协议最多,也最复杂
一些常见的应用层协议包括HTTP(用于Web浏览)、SMTP(用于电子邮件传输)、FTP(用于文件传输)、DNS(用于域名解析)、POP3和IMAP(用于电子邮件接收)、TELNET(用于远程登录)、SNMP(用于网络管理)等等。
表示层:
数据表示
向上对应用层提供服务,向下接收会话层服务
确保应用接收到的数据可读
规范数据格式于结构
数据压缩和解压,加压和解密
会话层:
会话建立维护管理
会话层不参与具体的传输,它提供包括访问验证和会话管理
在不同的进程间管理维持会话,并能使会话获得同步
担负应用进程服务要求,而运输层不能完成的那部分工作
传输层:
建立主机端到端连接
处理主机之间的传输问题
确保数据传输的可靠性
建立,维护和终止虚电路
容错机制和流量控制
网络层:
寻址和路由
路由数据包,提供逻辑寻址
基于网络层地址进程不同网络系统间的最优路径选择
网络层为建立网络连接和为上层提供服务
数据链路层:
介质访问,链路管理
负责将上层数据封装成固定格式的帧
为了防止数据传输过程钟产生误码,在帧尾部加校验信息
还有流控机制,会试探接受方缓存调整速率大小
物理层:
二进制传输
定义了电气,机械,形状针脚等物理特性
主要功能是完成相邻节点之间原始比特流的传输,它关心的是如何用物理信号表示0和1
传输过程:
发送方对原始数据进行封装,通过介质发送到下一跳设备 中间的网络设备对数据包进行解封装,查看对应信息,根据表项进行转发 数据经过中转达到目的设备,解封装后到达目标应用程序TCP/IP协议栈
与OSI模型的区别 TCP/IP总共定义了 4层 OSI的1、2层合并为网络接入层 OSI的5、6、7层合并为网络应用层 OSI模型与TCP/IP模型都是描述网络设备之间通讯标准流程 TCP/IP模型是Internet的基本协议TCP/IP各层内容简介、数据封装
应用层:
为应用程序提供网络服务 › 网络应用 » 微博、微信、QQ、迅雷…… › 邮件服务(SMTP、POP3) » Outlook、新浪邮箱…… › 网页服务(http、https) » 百度、搜狐、网易 › 网络管理 » SNMP › 远程登录 » Telnet、ssh › 地址服务 » DNS、DHCP传输层:
提供端到端的传输服务 › 基于TCP的协议,可靠传输、有重传机制 » FTP、SMTP、Telnet、HTTP › 基于UDP的协议,不可靠传输、效率高 » TFTP、SNMP、DHCP TCP/UDP端口号范围是0~65535,其中0~1023是熟知端口号,已固定分配给常用应用程序 TCP/UDP 常见协议端口号: 传输层的区别(TCP/UDP ) UDP报文结构简单,传输效率高,但不具备排序功能以及重传机制,数据包到达目的地时,有可能因为网 络问题,出现乱序或者丢包现象 常用在视频、语音应用等 TCP报文结构相对复杂,具备序列号、确认号、窗口大小等字段,使其具备排序功能、重传机制、滑动窗 口机制,确保数据传输的可靠性,使得数据能够准确按序到达目的地 常用在HTTP、FTP等可靠传输 基于TCP协议 传输数据前:由TCP建立连接 传输过程中:由TCP解决可靠性、有序性,进行流量控制 传输结束后:由TCP拆除连接 TCP头部字段 端口号:源端口标识发送方的进程,目的端口标识接收方的进程 序列号:保证数据传输的有序性,确认号对收到的数据进行确认 窗口大小:传输阶段,每次连续发送数据的大小 Flag字段: ACK:确认号标志,置1表示确认号有效,表示收到对端的特定数据 RST:复位标志,置1表示拒绝错误和非法的数据包,复位错误的连接 SYN:同步序号标志,置1表示同步序号,用来建立连接 FIN:结束标志,置1表示连接将被断开,用于拆除连接 TCP建立连接:三次握手 TCP协议工作过程 —— 重传机制 当某个包因网络问题,传输失败,接收方仅确认上一个数据包 发送方将根据确认号,进行数据重传TCP拆除连接 四次挥手
网络层 • 提供主机到主机的传输服务 • IP › 提供主机到主机的传输服务 • ICMP › 辅助IP工作,提供出错和控制信息 • ARP › 解析IP与MAC的映射网络接入层
• 在相邻节点间提供数据传输服务 • 局域网 › IEEE802.2 定义LLC子层 › IEEE802.3 以太网标准 • 广域网 › HDLC › PPP › Frame Relay • 为数据传输提供物理通道 • 定义接口、线缆标准、传输速率、传输距离 等参数 • 物理层介质 › 同轴电缆、双绞线、光纤、无线等报文的封装与解封装:
向下层层封装,向上层层封装
OSI参考模型中,表示层的作用是什么? 数据表示、加密、解密 TCP/IP协议栈与OSI模型的区别是什么? 与OSI模型的区别 TCP/IP总共定义了4层 OSI的1、2层合并为网络接入层 OSI的5、6、7层合并为网络应用层 OSI模型与TCP/IP模型都是描述网络设备之间通讯标准流程 TCP/IP模型是Internet的基本协议1.2 IPV4编制及子网划分
网络位计算?
网络号是通过将IP地址与子网掩码进行逻辑与操作来计算的
IP(Internet Protocol)是网络层的协议族,用于在计算机网络中标识和路由数据包。目前主要有两个版本的IP协议,分别是IPv4和IPv6
IPV4地址的作用? 用于标识一个节点的网络地址 IPv4 报文结构: 版本:目前的IP协议版本号为4 服务类型:用于IP报文的标记,多用于QoS 生存时间:IP报文所允许通过的路由器的最大数量 协议:指出IP报文携带的数据使用的协议 源IP地址:标识IP数据报的源端设备 目的IP地址:标识IP数据报的目的地址 IP地址结构:IPv4地址长度为32位,包括网络位和主机位两部分 网络位是为了标识这个IP地址所属的网段 主机位是为了标识这个IP地址在网段中具体的节点IPv4的表达:
为了方便书写和表达,我们将IPv4地址分为4段,称为“点分十进制” 每段从0开始到255结束,最小的IP是0.0.0.0,最大的IP是255.255.255.255点分十进制的计算:
IP地址分类
早期的网络中,IP地址没有掩码的概念 为了方便划分网络大小,根据网络大小的不同,按照“有类”的方式将网络划分为A、B、C、D、E五类 A、B、C类IP地址的网络位都是固定的,D、E类IP地址没有网络位与主机位A类地址:
网络号:网络位不变,主机位全为零 计算结构就是网络号
A类IP地址范围:1.0.0.0~126.255.255.255; 前8位为网络位,第一位为0,其余的7位可以分配,A类地址共分为 2 7 块,每一块网络号不同; 网络号是通过将IP地址与子网掩码进行逻辑与操作来计算的 每个A类网络可以分配的主机号的数量为 2^ 24 -2=16777214(主机号全为0和全为1的两个地址保留); B类地址: B类IP地址范围:128.0.0.0~191.255.255.255; 前16位为网络位,前两位为10,其余的14位可以分配,B类地址共分为 2^ 14 块; B类网络可以分配的主机号的数量为 2 16 -2=65534(主机号全为0和全为1的两个地址保留);C 类地址:
C类IP地址:192.0.0.0~223.255.255.255; 前24位为网络位,前三位为110,其余的21位可以分配,C类地址共分为 2^ 21 块; C类网络可以分配的主机号的数量为 2 8 -2=254(主机号全为0和全为1的两个地址保留);D类地址:
D类IP地址:224.0.0.0~239.255.255.255; D类地址不标识网络,用于组播地址; E类地址: E类IP地址:240.0.0.0~247.255.255.255; E类地址暂时保留,用于科研实验; 私有IP地址 为了节省IP地址,将IP地址分为 公有地址 私有地址 私有地址 A类:10.0.0.0至10.255.255.255 B类:172.16.0.0至172.31.255.255 C类:192.168.0.0至192.168.255.255 私有地址只能应用于企业内网 在企业边界通过NAT把数据的私有地址转换为公有地址 特殊地址 本地回环地址(测试) 127.X.X.X 网络号:主机位全为0 例:192.168.1.0/24 子网广播地址:主机位全为1 例:192.168.1.255/24 本地广播地址 255.255.255.255 未知地址:网络位和主机位全为0 0.0.0.0VLSM、IP地址规划
VLSM:( Variable Length Subnet Masking ) 可变长度子网掩码 允许根据子网的需求使用不同长度的子网掩码来划分IP地址空间,以提高IP地址的有效利用率和网络灵活性。 子网掩码: 子网掩码用来区分IP地址中的网络位和主机位 子网掩码由连续的1和0组成:1表示对应IP地址的网络位,0表示对应IP地址的主机位 IP地址和子网掩码本质均是由32位二进制数字组成 为了书写方便,使用“/数字”法表示子网掩码 子网划分: 改变子网掩码,把一个大的网络划分为若干个小的网络 提高IP地址的使用率 子网的个数: 2^ 𝑋 (x 代表子网的位数) 每个子网内有效主机个数: 2 y -2(y 代表主机位数) 子网划分: 一个C类网段:192.168.10.0/24 默认掩码 /24(255.255.255.0) 总共IP ,2的8次方=256个 掩码就像一把“刀”,将网段进行“切割” 子网划分案例 —— B类网络 子网划分举例:172.16.0.0 255.255.0.0(/16) 将一个B类地址划分为多个 C类地址 子网划分前可用IP地址数为 2 16 -2=65534个,都在同一个网段 子网划分后172.16.0.0被划分为 2 8 个C类地址,每个子类地址可用IP地址数为254个 CIDR 子网聚合 CIDR(Classless Inter-Domain Routing,无类域间路由) 将多个“有类”的子网合并成一个,以减少路由表中的路由条目 不受制于A B C类地址空间,消除了自然分类地址和子网划分的界限 CIDR 子网聚合案例 路由聚合将多条路由聚合为一条,大大减少了路由器中路由的条目 路由聚合的计算方法 第一步:将地址转换为二进制格式,并将它们对齐 第二步:找到所有地址中都相同的最后一位。在它后面划一条竖线。 第三步:竖线左边的位数为子网掩码位数。 第四步:竖线右边全设为零,竖线左边保持不变,即可形成路由汇总网络地址 园区网络IP地址规划 网络划分影响 网络路由协议算法的效率 网络的性能 网络的扩展 网络的管理 IP地址规划主要遵从四个原则: 唯一性:一个IP网络中不能有两个主机使用相同的IP地址 可扩展性:在IP地址分配时,要有一定的余量,以满足网络扩展时的需要 连续性:分配的连续的IP地址要有利于管理和地址汇总,连续的IP地址易于汇总,减小路由表,提高路由效率 实意性:分配IP地址时尽量使所分配的IP地址具有一定实际意义 例如:使人一看到该IP地址就可以知道此IP地址分配给了哪个部门或哪个地区 节约IP地址的技巧 在分配IP地址时,如需要节约IP地址,注意以下几点: 配置Loopback地址时,使用的子网掩码为32 配置互联地址时,使用的子网掩码为/30 对各业务网关进行统一设定 比如:将所有的网关统一设置成X.X.X.254 在完成IP地址规划之后,公司既可以配置静态IP地址,也可以使用DHCP服务器动态分配IP地址 园区网络IP地址规划练习 在设备管理网段中使用32位的掩码,实际上是将整个IP地址空间分配给该设备管理网段,并为每个设备分配一个唯一的IP地址 某园区网络进行全新组网,网络设计阶段需要对IP地址进行规划,用户需求如下: 整套网络系统需要根据功能模块进行规划: 办公网络,需要进行预留 业务网络,需要进行预留 设备管理网段,使用32位的掩码 设备互联网段,使用30位的掩码 园区的楼宇以及终端设备数量情况如下: 总共3栋楼,每栋楼3层,每层10间房间 每间房间,大约有3台办公设备,3台业务设备 网络设备根据IP地址规划需求进行部署 1. 子网掩码为255.255.0.0,下列哪一个IP地址不在同一个网段中?( C ) A. 172.25.16.20 B. 172.25.16.15 C. 172.16.25.16 D. 172.25.16.16 2. B类地址子网掩码为255.255.255.248,则每个子网的可用主机地址数量为( C ) A. 10 B. 8 C. 6 D. 41.3 ARP原理及配置
OSI模型把网络工作分为七层,IP地址在OSI模型的第三层,MAC地址在第二层,彼此不直接打交道。在 通过以太网发送IP数据包时,需要先封装第三层、第二层的包头,但由于发送时只知道目标IP地址,不知 道其MAC地址,又不能跨第二、三层,所以需要使用地址解析协议即ARP协议。 ARP协议可根据网络层IP数据包包头中的IP地址信息解析出目标硬件地址(MAC地址)信息,以保证通信的顺利进行。ARP协议概述
数据要在以太网中传输,需要完成以太网封装,这项工作由网络层负责; 要完成以太网的数据封装,需要知道目的设备的MAC地址; ARP Address Resolution Protocol 地址解析协 议 作用:将 IP地址解析为 MAC地址 注意:ARP报文不能穿越路由器,不能被转发到其他广播域 ARP缓存表 用于存储IP地址及其经过解析的MAC地址的报文结构
工作原理
先查看ARP表,如果ARP表中没有目的IP地址对应的MAC表项,则发送ARP请求包; 源主机广播发送ARP request 数据包,请求目的主机的MAC地址; 同网段内的所有主机都能收到ARP request请求包,但只有目的主机才会回复ARP reply数据包; 源主机收到ARP reply后,将目的主句的IP-MAC对应关系添加进ARP表中,完成数据的以太网装,进行数据交互 动态表项 通过ARP协议学习,能被更新,缺省老化时间120s 静态表项 手工配置,不能被更新,无老化时间的限制免费ARP
发送ARP请求,请求本机IP对应的MAC 免费ARP的作用: 确定其它设备的 IP地址是否与本机 IP地址冲突 更改了地址,通知其他设备更新 ARP表项 代理ARP(Proxy ARP ) 由启动了代理ARP功能的网关/下一跳设备代为应答ARP请求,该ARP请求的是其他IP对应的MAC地址。 回应ARP请求的条件 本地有去往目的IP的路由表 收到该ARP请求的接口与路由表下一跳不是同一个接口RARP与IARP RARP Reverse Address Resolution Protocol 反向地址解析协议 把MAC地址解析为IP地址 应用场景:常用于无盘工作站 IARP Inverse Address Resolution Protocol 逆向地址解析协议 在帧中继网络中解析对端IP地址和本地DLCL的映射关系 应用场景:应用于帧中继网络 免费ARP的作用是什么?
GARP是一种用于维护IP地址和MAC地址映射关系以及确保网络设备的通信顺畅的重要协议。
RARP和IARP的作用是什么?允许网络设备在需要时将IP地址与硬件地址进行关联,以便实现数据包的正确路由和传输。
1.4 DHCP原理及配置
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、 DNS服务器地址等信息,并能够提升地址的使用率。DHCP原理
场景描述1 笔记本、台式电脑、手机、智能家电、智能穿戴等设备和我们的生活息息相关。但是,这一切连接互联网的基础就是IP地址 如何在用户无感知的体验情况下高效且安全的获得IP地址将是本章我们探讨的话题。 场景描述2 手动配置IP地址存在什么问题? DHCP简介 DHCP(Dynamic Host Configuration Protocol),动态主机配置协议 定义在RFC2131中, C/S架构,为终端设备提供TCP/IP参数(IP地址、掩码、网关、DNS等)的自动配置。 DHCP报文格式和BootP(RFC951、RFC1542)报文兼容,保证了互操作 DHCP协议名词解释 DHCP ClientDHCP客户机,即用户终端设备,可以是手机、电脑、打印机等需要接入网络的终端设备
DHCP ServerDHCP服务器,为终端分配网络参数,管理地址池
Step 1:开启DHCP服务 service dhcp Step 2:配置DHCP服务器 ip dhcp pool Ruijie network 172.16.10.0 255.255.255.0 dns-server 8.8.8.8 default-router 172.16.10.254 释放通过DHCP方式获取到的IP地址 重新通过DHCP方式获取IP地址 DHCP协议工作过程DHCP报文
DHCP协议报文及用途 DHCP报文介绍 —— DHCP Discover 该报文为PC发出的第一个请求报文,为广播报文,主要作用是用来发现DHCP服务器,但PC并不知道DHCP的IP地址,因此目的MAC和目的IP地址都为广播 DHCP报文介绍 —— DHCP Offer 该报文为DHCP服务器返回的第一个报文,当网络中存在多台DHCP服务器时,PC只会保留先收到的DHCP Offer。DHCP Offer中包含DHCP服务器可以为PC分配的IP地址、网关IP、DNS参数等配置信息 DHCP报文介绍 —— DHCP Request PC发出的第二条请求报文,PC根据服务器返回的Offer中的信息,发起正式申请。 DHCP报文介绍 —— DHCP Ack 服务器收到PC的请求报文后,从地址池中分配相应的IP地址返回给PC DHCP协议的租约 租约50%时刻 客户端主动向服务器发送DHCP request报文,请求更新租约时间; 若服务器可用,回复DHCP ack,更新租约; 若服务器不可用,回复DHCP nak,不更新租约; 租约87.5%时刻 客户端主动向服务器发送DHCP request报文,请求更新租约时间; 若服务器可用,回复DHCP ack,更新租约; 若服务器不可用,回复DHCP nak,不更新租约; 待到租约时间过去,客户端会重新发送DHCP discover报文。DHCP中继
校园网中常见的DHCP服务部署方式 校园网中常见的DHCP服务部署方式 方式一:网关交换机作为DHCP服务器 优势:节省一台服务器资源 劣势:地址池配置分散在网络中多台汇聚网关交换机上,无法集中管理 方式二:网关交换机作为DHCP中继,在服务器区部署一台专用的DHCP服务器 优势:集中管理,不需要每一个网段都配置一个DHCP服务器,节约资源 劣势:需要占用一台服务器资源 方式一:网关交换机作为DHCP服务器 每台汇聚网关交换机上都为其下联用户PC网段配置DHCP地址池 方式二:部署专用DHCP服务器 网关交换机作为DHCP中继,在服务器区部署一台专用的DHCP服务器 要保证作为DHCP中继的网关设备与DHCP服务器之间IP/路由可达DHCP安全
DHCP应用服务在校园网运营过程中可能存在的问题 用户使用静态IP地址接入 部分用户手动配置IP地址,但DHCP服务器是不知道的,因此在为DHCP用户分配IP地址的时候,用户通过 DHCP获取到的IP地址,在网络中是已经使用的,导致了IP地址冲突。 用户架设非法DHCP服务器 在同一VLAN中,如果存在恶意用户私自架设了一台DHCP服务器,那么将会使该VLAN内的用户获取到错误的IP地址,导致无法接入进校园网 使用IP source guard解决用户手动配置IP地址问题 使用DHCP Snooping相关功能,可以实现防止下联用户使用静态IP地址接入网络(ip source guard功能) 使用DHCP Snooping实现防非法DHCP服务器问题(1) 在接入交换机上使用DHCP Snooping相关功能,可以实现防止下联用户架设非法DHCP服务器 以下为DHCP Snooping原理动画演示: 使用DHCP Snooping实现防非法DHCP服务器问题(2) 在接入交换机上使用DHCP Snooping相关功能,可以实现防止下联用户架设非法DHCP服务器 以下为DHCP Snooping配置步骤: 1. DHCP报文的目的IP和目的MAC是多少? 2. DHCP报文是基于UDP还是基于TCP? 3. DHCP服务器返回的报文中都包含什么信息? 4. DHCP应用中常见的两种安全问题是什么? 5. 在校园网中网段非常多,为每一个网段配置一台单独的DHCP服务器是不现实的,如何解决这个问题? 本章节主要介绍了DHCP服务的应用场景,DHCP协议的工作原理、报文类型、报文结构以及DHCP的基础 配置和中继模式。 最后讲解了DHCP的安全防护机制。1.5 Windows常用网络命令
电脑已经成为生活和工作很重要的一部分,使用过程中难免会碰到一些网络问题。我们可以使用常见的网络命令,快速定位和解决常见的网络问题。ping
ICMP协议 ICMP协议全称Internet控制报文协议(Internet Control Message Protocol),是网络层的一个重协 议 ICMP协议用来在网络设备间传递各种差错和控制信息 对于收集各种网络信息、诊断和排除各种网络故障具有至关重要的作用 ICMP协议有两个重要应用,在Windows系统与RGOS中经常会使用到 ICMP信息反馈 根据ICMP的反馈信息,可以分析出到达目的地址连通性的信息 根据这些信息反馈,可以初步分析网络故障的原因 Ping命令应用解析 Ping命令 作用:基于ICMP协议,测试网络联通性 默认情况下,ping操作会收到4个ICMP回包,包大小为32字节,TTL等于64。 操作演示: Ping命令扩展(-t) 作用:长ping数据包不中断 说明:键入Ctrl+C可中断ICMP回包 操作演示: Ping命令扩展(-n) 作用:指定单次ping包的发送数量 操作演示: Ping命令扩展(-l) 作用:修改Ping包大小,默认为32字节。可用于测试接口MTU值设置是否合理等场景 操作演示: Ping命令扩展(参数组合) 作用: ping命令后加相应参数,可自定义连通性测试的效果 说明:连续发送10个大小为1500字节的ping包 操作演示: Ping命令扩展(ping域名) 作用:测试与特定网络资源的连通性时,若不知其具体IP地址,可直接ping其域名,此时DNS可自动解析为对应IP地址 操作演示:tracert
Tracert命令应用解析 作用:基于ICMP协议,在探测网络连通性的同时,探测到目标主机所经过的路径,显示沿路径设备的接口IP 原理: 源主机首先发三个包,TTL=1 第一台路由器收到后,TTL-1=0,丢弃并回复源主机ICMP报超时消息 收到超时消息,源主机显示信息并发送下一组三个包,TTL=上一组TTL+1 收到目标主机的应答后程序终止 *号表示探测包丢失 Tracert命令 说明:运营商核心骨干网及大型IDC数据中心为了安全起见一般会通过相关技术做到核心路径隐藏,此时 tracert 并非实际路径跟踪 操作演示: Tracert命令(域名跟踪) 作用:不得知目标具体IP地址的情况下,可tracert其域名,此时DNS将会解析出其IP地址。 操作演示:ipconfig
作用:显示所有适配器(网卡)的基本IP配置 操作演示: IPconfig命令应用解析 Ipconfig /all命令 作用:显示所有适配器(网卡)详细完整的IP配置 操作演示: 清除DNS缓存命令解析 ipconfig /flushdns命令 作用:查看Windows系统arp表项。 说明:可使用ipconfig /flushdns清除DNS缓存表 操作演示:arp
arp -a命令应用解析 作用:查看Windows系统arp表项。 说明:可使用arp –d命令清除arp缓存表 操作演示:route print
作用:查看Windows系统路由表 操作演示: 添加静态路由 route –p add 【目标IP地址/网段】 mask 【子网掩码】【下一跳】 作用:Windows添加静态路由 操作演示 route print查看 Route delete删除 说明:增添/删除静态路由操作需要在Windows超级管理员权限下进行。 1. 下列哪一项不属于Windows系统常用网络命令?( ) A. Ping B. Tracert C. Ifconfig D. Ipconfig 2. arp –a 命令的作用是什么? 本章节主要讲解了Windows环境下常用的网络测试命令,包括:Ping命令、Tracert命令、Ipconfig命令以及其他命令,主要用于网络连通性测试、网络环境探查等作用,帮我我们处理常见的终端网络问题。1.6 RGOS日常管理操作
RGOS平台产生背景:
信息化发展的现状要求网络操作系统需要有新技术的植入,锐捷网络推出的新一代通用操作系统RGOS正是技术创新的充分体现,它是为网络安全运行与管理而设计的完全模块化的支持多种平台的网络操作系统。 RGOS操作系统最主要的三大特性是模块化、安全性、开放性。自问世以来,锐捷网络通用操作系统RGOS, 已经在国内多个行业得到广泛应用,其实际应用价值深受广大用户的喜爱和称赞。以用户需求为中心,以应用价值为导向,锐捷网络通过不断的技术创新,逐步将RGOS完善,新一代通用操作系统RGOS以其特有稳定性、安全性等技术优势,更有助于提升用户使用价值,为用户创造更大的利益。 RGOS平台概述 RGOS全称“锐捷通用操作系统”,即网络设备的操作系统 基于RGOS开发的软件版本目前为11.x,又被称为11.x平台 优势 模块化设计,方便运维管理 故障隔离,提升新功能开发测试效率和系统稳定性 对于硬件平台透明,兼容性高 锐捷设备的常用登陆方式 本地登陆: Console登陆:全新或配置清空的设备,需要使用Console口的方式 远程登陆: Telnet登陆:使用IP网络远程登陆,但传输的数据未加密 SSH登陆:使用IP网络远程登陆,传输数据加密,安全性高,常用SSHv2版本 Web登陆:使用网页登录,操作可视化较便捷 备注:大部分设备开局需要使用Console登陆,部分设备可直接Telnet/Web登陆 常用登陆软件:SecureCRT、Putty、超级终端(仅XP有) 使用Console登入 Console概述 通过配置线连接设备的Console接口 使用终端软件进行设备管理配置 初始化,带外管理 Console管理配置 波特率:9600 数据位:8 奇偶校验:无 停止位:1 数据流控:无 Telnet远程管理 Telnet概述 指通过Windows命令行提示符中的Telnet程序或其他第三方Telnet程序进行设备管理配置 远程管理,带内管理 依赖于设备IP地址与Telnet密码 数据不进行加密 Telnet配置 协议:Telnet 默认端口:23 设备默认开启Telnet服务 SSH概述 使用支持SSH协议程序(SecureCRT)进行设备管理配置 远程管理,带内管理 依赖于管理IP地址 依赖于全局用户名密码 数据加密 SSH管理配置 协议:SSH 默认端口:22CRT使用
登陆软件:SecureCRT 日志管理 根据锐捷网络技术服务部《JSZD-001技术服务部员工行为奖惩条例》工程师在网操作规范第3条:携带工程师个人电脑进入客户网络时,需要提前做好电脑的杀毒等工作,以避免由于电脑病毒影响客户网络正常使用,且开启记录功能(包括Telnet的控制台开启Log日志打印功能) CRT交互窗口 当日志快速滚动刷屏无法键入时可以使用交互窗口 在交互窗口键入命令,可以在多个会话窗口执行 Xmodem使用 使用Xmodem上传脚本或者下载配置文件。以上传为例:
查看命令
CLI命令行基础CLI Command-Line Interface 的缩写,也就是命令行界面
使用Console、Telnet、SSH登陆设备后,将会出现CLI命令行界面,类似DOS的命令行 相对CMD的命令行,RGOS的CLI使用便捷,具备丰富提示信息与错误信息 CLI模式 用户模式 字符光标前是一个“>”符号 有限查看设备信息 特权模式 字符光标前是一个“#”符号 查看设备所有信息 全局配置模式 字符光标前由“(config)#”组成 配置设备全局参数 接口配置模式 字符光标前由“(config-if-xx)#”组成 配置设备接口参数 CLI模式互换 命令行特性-分屏显示 在命令行界面,显示的内容如果超过一页的范围,则会进行分屏显示 在命令行出现“--more--”的提示 使用“回车”键可以逐行显示 使用“空格”键可以翻页 命令行特性-命令缩写及获取帮助 RGOS的命令行支持命令缩写,在能够唯一识别该命令的情况下,可以使用该命令的缩写 但是在命令不唯一的情况下,需要写到能够唯一识别 命令行特性-错误提示 当命令输入错误时,系统将进行提示 “% Unrecognized host or address, or protocol not running”代表命令无法识别,没有这个协议 “% Incomplete command.”代表输入命令不完整 “% Invalid input detected at ‘^’ marker.”代表所示位置命令有错 还有许多其他提示,建议在配置命令行的时候多关注控制台的消息以及错误提示 命令行特性-历史记录及TAB补全 在命令行配置过程中,使用“TAB”键可以对目前的命令进行补全操作 熟练应用“TAB”键以及“?”提示帮助,可以有效记忆命令简单配置
设备命名 设备命名用于标识设备信息 配置规范 一般参照客户规范 如果自定义:参考设备的地理位置、网络位置、设备型号、设备编号等因素,制定统一的命名规范 ( AA-BB-CC-DD ) AA:表示该设备的地理位置 BB:表示设备的网络位置 CC:表示设备的型号 DD: 表示设备的编号 配置网络设备的管理IP 配置管理IP后,能方便对设备进行远程管理 二层交换机通过配置管理VLAN实现,并且交换机可以理解为一台终端,需要配置网关 多层设备的任意一个三层接口IP可以作为管理IP 管理IP配置命令 Ruijie(config)#vlan 10 Ruijie(config)#int vlan 10 Ruijie(config-if-VLAN 10)#ip add 10.1.1.254 255.255.255.0 // 管理 IP 地址 Ruijie(config-if-VLAN 10)#no shutdown Ruijie(config)#ip default-gateway 10.1.1.200 // 当前设备的网关,将被管理设备理解为一台 PC 终端 配置网络设备的登陆密码 通过配置密码可以设备管理的安全性 配置特权模式密码 Ruijie(config)#enable secret level 15 0 ruijie 配置Telnet密码 Ruijie(config)#line vty 0 4 Ruijie(config-line)#password ruijie 配置全局用户密码 Ruijie(config)#username admin password ruijie 密文显示密码 Ruijie(config)#service password-encryption 常用show命令 设备状态查看 Show命令是操作RGOS时,最常用的命令之一 任意命令行模式均可以使用show命令查看当前设备的配置或状态 注意:show run命令查看的是当前设备的配置,不是保存的配置 配置查看:show run-config 管道符应用概述 在Show命令后面可以加上管道符“|”指定信息的输出 管道符类型 | begin xyz :输出信息从xyz开始 | exclude xyz:输出信息排除xyz | include xyz:输出信息包含xyz 接口描述 接口描述用于标识设备接口信息,方便在查看接口状态时识别接口的用途 配置规范 根据客户的规范 自定义:to-对端设备名-对端接口名 Banner配置 登陆设备时,输出提示或警告信息 配置规范 客户规范 自定义 时间配置 NTP协议的作用是让网络设备显示准确的时间,便于监控和维护 手工设置通过clock set设置时间 Ruijie#clock set hh:mm:ss day month year 自动设置/同步时间(依赖于NTP/SNTP服务器) Ruijie ( config ) # {sntp|ntp} enable Ruijie ( config ) # {sntp|ntp} server ip_addr SNMP配置 Simple Notwork Management,网管软件通过该协议获取设备运行信息、配置设备、故障定位 SNMP有版本v1/v2c/v3,默认使用v2c v1/v2c 使用团体名进行认证 V3版本的安全性更高 SNMP配置: Ruijie(config)#snmp-server community ruijie {ro|rw} //ro表示只读属性,网管软件通过该团体名只能获取相关信息 //rw表示可读写属性,网管软件通过该团体名可以执行设备配置操作 日志应用 日志记录了设备运行过程中的一些关键信息,在出现故障时显得尤为重要 日志功能默认开启,并将信息记录在内存中,重启后日志将丢失 项目中,建议搭建syslog服务器,记录关键设备(汇聚/核心)日志信息 网络通讯测试 Ping用于测试网络的连通性,可使用组合命令进行丰富的网络测试 Ruijie#ping 192.168.100.10 source 10.1.1.1 ntime 100 length 1500 timeout 3 //测试从源10.1.1.1到达192.168.100.10的连通性,连续ping100次,每个包长度1500字节,超时时间3秒 Tracertoute用于显示数据包从源地址到目的地址, 所经过的所有网络设备 用于检查网络的连通性,在网络故障发生时,准确地定位故障发生的位置。 Ruijie#traceroute 192.168.100.10 source 10.1.1.1 probe 10 ttl 1 3 timeout 3 //测试从源10.1.1.1到192.168.100.10的连通性,并显示路径上的网络设备,探测数据包每跳最多跟踪10条路 由(例如负载均衡时,会朝多个方向进行探测),TTL值范围是1-3(最多3跳),超时时间3秒RGOS文件管理系统
RGOS的文件系统 如下图,flash中保存的数据时掉电不丢失的数据: 配置文件:config.text RGOS系统文件:rgos.bin 日志文件:syslog.text 其他运行文件 当设备开机运行时,会将RGOS以及配置文件全部都加载到内存中运行 设备配置管理 设备启动时,从Flash介质中读取config.text文件,并作为当前设备的配置 Running config是当前正在运行的配置,保存后,将写入config.text 设备启动时,从Flash介质中读取config.text文件,并作为当前设备的配置 Running config是当前正在运行的配置,保存后,将写入config.text 1. 命令Show running-config的作用是什么? 2. CLI模式主要包括下列哪几项?(多选)( ) A. 用户模式 B. 特权模式 C. 全局配置模式 D. 接口配置模式简单密码恢复
锐捷全系列交换机恢复密码、恢复出场设置(按软件平台区分具体型号)_aruba s2500恢复密码_XF大雄的博客-CSDN博客
实践1-1 交换机密码恢复实验
实践2-2 DHCP协议应用实验
第二章 交换基础
在网络中传输数据时需要遵循一些标准,以太网协议定义了数据在以太网上的传输标准,了解以太网协议是充分理解数据链路层通信的基础。以太网交换机是实现数据链路、集群层通信的要设备,了解以太网交换机的工作原理也是十分必要的。在本课程中,将介绍以太网协议的相关概念、MAC地址的类型、二层交换机的工作流程以及二层交换机的工作原理。2.1 二层交换机工作原理
二层数据发送机制
以太网产生背景 早期的网络设备之间互相通信,仅能实现单点通信 同样的物理环境,只能与一台设备进行互联 为了提高传输效率,简化网络拓扑,需要一种能够进行多点通信的机制 以太网的出现 共享型以太网诞生,其逻辑拓扑是多路访问总线型网络,所有节点共享同一介质 一个节点发送的数据能被传输到该网段上所有设备节点 但是,任意时刻信道只能传输一路数据 每台主机发出的数据可以被其他所有主机所接收 如果有两台主机同时发送数据,则产生冲突 数据发送机制(CSMA/CD) 使用CSMA/CD(带有冲突检测的载波侦听多路访问)机制决定节点如何发送数据 先听后发,边发边听,冲突回退 同一个网段上所有节点处于一个冲突域中,共享带宽,只能工作在半双工模式下 现代交换网络使用交换机组网,每个接口属于单独冲突域,工作在全双工模式下,CSMA/CD机制就不适用了MAC编址
IEEE 802标准中使用MAC地址作为识别以太网中网络设备硬件地址的唯一标识符 MAC地址由48位二进制数组成,通常表示为12个16进制数 前24位是组织唯一标识符OUI(厂商识别码),后24位是节点标识符(厂商分配的序列号) OUI 相同的所有 MAC 地址的最后 24位必须是唯一的值 以太网帧及帧类型 网络层的数据包被加上帧头和帧尾,就构成了可由数据链路层识别的以太网数据帧 现在最常见的是:Ethernet II、802.3 SAP和SNAP 以太网 Ehternet II 帧格式 “类型”字段的值大于或等于0x0600时,表示上层(网络层)数据使用的协议类型,例如:0x0800表示IP协议 以太网帧及帧类型 根据以太网帧的目标MAC,可以分为 单播:广播域中指定节点接收 广播:MAC地址是全1(即FFFF.FFFF.FFFF),广播域中所有节点都可以接收 组播:MAC地址以01开头,只有加入该组的节点才能接收 以太网概述 以太网是目前世界上占主导地位的LAN技术 以太网由OSI模型的物理层和数据链路层的协议组成 80年代由DEC、Intel 和 Xerox (DIX) 协会发布了第一个以太网标准,并由IEEE 标准委员会发布了 LAN 标准 以太网定义了第2层协议(链路层协议)和第1层技术(线缆、接口) 以太网依靠数据链路层的两个单独子层运行 逻辑链路控制(LLC)子层处理上层和下层之间的通信。可以由软件(网卡驱动程序)实现 介质访问控制(MAC)子层定义了介质访问控制、编址、数据封装。可以由硬件(网卡)实现 物理层定义了介质上的比特流、接口和拓扑 常见以太网传输介质 —— 双绞线 双绞线是综合布线中最常用的传输介质 通过4对互相绝缘的导线两两互绞,抵消电磁干扰 线缆根据屏蔽性分类: 屏蔽双绞线STP:减少辐射,防窃听,防干扰 非屏蔽双绞线UTP:成本低,直径小,易安装 按照频率和信噪比分类: 五类:成本低,适用100Mbps 超五类:衰减小,适用1Gbps 六类:衰减小,支持1Gbps 超六类:支持10Gbps 双绞线传输速率为100Mbps~10Gbps 双绞线传输距离最远100米,超过会有衰减 常见以太网传输介质 —— 光纤 光纤的种类很多,根据用途不同,所需要的功能和性能也有所差异 优点:抗干扰性强,传播损耗低,传输速率高 缺点:相比双绞线,光纤较脆弱,对实施环境要求高 光模块按传输模式分为: 单模:不可见光,传输距离远 多模:可见光,传输距离相对较近 正常来说,多模模块需要用多模光纤,单模模块需要单模光纤。若是单模模块使用多模尾纤是可以的,但是多模模块是不能使用单模尾纤 锐捷的光传输速率已经能达到100G,支持型号详见官网 常见以太网传输介质 —— 无线 无线局域网使用的802.11协议也是以太网,传输介质是“空气”(空间) 目前主流的协议有802.11n与802.11ac 无线网络中使用CSMA/CA解决冲突问题二层报文结构
以太网交换机 早期的以太网使用集线器(HUB)实现终端的互联,但无法分割冲突域,需要使用CSMA/CD,传输效率低下 现代的以太网大规模普及交换机(Switch),交换机可以分割冲突域 交换机每个接口都支持全双工或者半双工,以及不同的速率 园区网络通过以太网交换机将大量终端联入网络 以太网交换机需要维护一张重要表项——MAC地址表,并通过MAC地址进行数据帧的转发二层交换机工作原理
二层交换机根据MAC地址,选择性地将帧从接收端口转发到连接目的节点的端口 学习记录:记录源MAC地址和接收端口的对应关系,构建MAC地址表 查表转发:交换机收到一个数据帧后,读取该数据帧的目的MAC,并查看MAC地址表根据查表结果,交换机总共有3种转发行为
MAC地址表的建立 交换机刚启动时,MAC地址表内无表项 PC1发出数据帧,交换机将PC1帧中的源MAC与接收端口关联起来 交换机将PC1的数据帧从其他端口转发出去(接收到帧的端口F0/1除外) PC2、PC3回应数据帧 交换机把收到的帧的源MAC与接收到这个帧的端口关联起来 MAC地址表的维护 MAC地址的维护与老化 当交换机的接口DOWN掉后,与该接口相关的MAC地址都会被清除 当PC一段时间内(MAC地址的老化时间默认5分钟)没有发送任何报文时,交换机会将该PC的MAC地址表项 自动删除 交换机数据帧的单播转发 PC1向PC2发送单播帧 交换机根据帧中目的MAC地址,从相应端口F0/2发送出去 交换机不在其他端口转发此单播帧 交换机数据帧的泛洪转发 目标MAC是广播、组播、未知单播帧时,交换机将进行泛洪转发 从除接收端口之外的所有其他端口发送出去 1. 二层以太网交换机根据端口接收到的报文的( )生成MAC地址表选项。 A. 源MAC地址 B. 目的MAC地址 C. 源IP地址 D. 目的IP地址2.2 vlan原理及配置
VLAN概述
以太网是基于CSMA/CD的通信技术,特点是共享通信介质。当主机的数量过大的时候就会产生广播泛滥等问题,进而导致网络通信性能下降的情况 而VLAN技术就可以解决上述问题。本章节将介绍VLAN的相关概念以及VLAN的数据转发原理和相关配置。VLAN应用场景
如下场景中,公司内部网络随着主机数目增多,出现带宽浪费、安全等问题 交换机从所有接口洪泛广播包 级联的二层交换机组成一个巨大的广播域 广播数据在广播域中洪泛,占用网络带宽,降低设备性能,导致安全隐患 公司大楼的五层和六层均有技术部和财务部的办公室 客户要求部门内部是可以互相通讯的,但部门之间要求相互二层隔离 为了实现需求,需要采用划分 VLAN 的方式实现 VLAN概述 VLAN定义 Virtual Local Area Network 虚拟局域网,可以将一台物理交换机通过配置为多台逻辑交换机 每台逻辑交换机连接一个局域网,称为VLAN 每个VLAN是一个广播域,VLAN可以隔离广播,减小广播域 VLAN的特点 基于逻辑的分组,可以根据业务或功能进行分组 不受物理位置限制,更加灵活组网 减少节点在网络中移动带来的管理代价 不同VLAN内用户要通信需要借助三层设备 VLAN的用途 控制不必要的广播的扩散,从而提高网络带宽利用率,减少资源浪费 划分不同的用户组,对组之间的访问进行限制,从而增加安全性802.1Q封装标准
为了实现在互联线缆上承载多个VLAN的数据帧,需要一种能够区分不同VLAN数据帧的方式 交换机用VLAN标签区分不同VLAN的以太网帧 802.1Q规定了VLAN的标签信息及标签格式 交换机端口类型 Access端口 Access端口只能属于一个VLAN,它发送的帧不带有VLAN标签,一般用于连接计算机的端口 Trunk端口 可以允许多个VLAN通过,它发出的帧一般是带有VLAN标签的,一般用于交换机之间连接的端口 802.1Q标准封装 在标准以太网帧头部增加TAG字段 标记协议标识(TPID)固定值0x8100,表示该帧载有802.1Q标记信息
标记控制信息(TCI) VLAN ID:12bit,表示VID,可用范围1-4094,用来唯一标识一个VLAN Priority:3bit,表示优先级,用于QoS Canonical format indicator:1bit,表示总线型以太网、FDDI、令牌环网 VLAN工作原理VLAN间通信
VLAN的配置步骤 创建VLAN 每台交换机上创建对应VLAN 配置Access接口 将对应的主机根据接口划分到VLAN 查看VLAN状态与端口状态 VLAN基本配置 创建VLAN 步骤1:创建VLAN Switch(config)#vlan vlan-id 步骤2:命名VLAN Switch(config-vlan)#name vlan-name RG-S2652G(config)#vlan 10 // 创建 VLAN RG-S2652G(config-vlan)# name JiShuBu //VLAN的命名,方便运维 RG-S2652G(config)#vlan 20 RG-S2652G(config-vlan)# name CaiWuBu 将一组端口加入VLAN 步骤1:进入到一组需要添加到VLAN的端口中 Swtich(config)#interface range interface-range 步骤2:将端口模式设置为接入端口 Switch(config-range-if)#switchport mode access 步骤3:将一组端口划分到指定VLAN Switch(config-range-if)#swtichport access vlan vlan-id 配置Trunk 步骤1:进入需要配置的端口 swtich(config)#interface interface 步骤2:将端口的模式设置为Trunk Switch(config-if)#switchport mode trunk 步骤3:定义Trunk链路的VLAN控制行为列表 (VLAN修剪等)(可选,慎用) Switch(config-if)#switchport trunk allowed vlan { all | [ add | remove | except ] } vlan-list 查看、删除VLAN 删除VLAN Switch(config)#no vlan VLAN-id 查看配置信息 Switch# show vlan交换机表项
VLAN间通信 —— 单臂路由 在如下应用场景中:单位内部不同子网间需要通信 早期网络将二层交换机与路由器结合,使用“单臂路由”方式进行VLAN间路由 数据帧在Trunk链路上往返发送,会有转发延迟 路由器软件转发IP报文,如果VLAN间路由数据量较大,会消耗大量CPU资源,造成转发性能瓶颈 VLAN间通信 —— 三层交换机 三层交换机集成了VLAN内部的二层交换和VLAN间路由转发功能 简单说,三层交换技术就是“二层交换技术+三层转发”,解决了上述问题 二层交换基于MAC地址,由硬件实现,低延迟 三层交换基于IP地址,使用硬件ASIC技术,转发速度高 交换机表项的建立与数据转发 PC1和 PC2 连接在同一台三层交换机上,位于不同的 VLAN ,从 PC1 ping PC2 的通信过程如下: 1 、 PC1 判断目标 PC2 不在同一个子网中, PC 发送 ARP 解析网关的 MAC 地址 2 、交换机发送 ARP 应答(包含 VLAN10 的 MAC ),同时更新 ARP 表项与 MAC 地址表( PC1 的 IP 和 MAC 地址) 3、PC1发送目的IP地址为192.168.20.2的ICMP请求 4、交换机收到ICMP请求,根据报文的目的MAC是VLAN10接口MAC,判断该报文为三层转发报文 5、交换机根据报文目的IP地址192.168.20.2查找三层转发表项,起初并未建立任何记录,交换机将查找软件路由表,发现一个直连路由,继续查找软件ARP表,起初ARP表中没有关于PC2的表项,交换机继续向VLAN20所有端口发送 ARP请求,以获取PC2的MAC地址 6、PC2收到交换机发送的ARP请求,发送ARP应答,并将自己的MAC地址包含其中 7、交换机收到PC2的ARP应答,记录PC2的IP和MAC地址对应关系到自己的ARP表,并将PC1的ICMP请求发送给 PC2。交换机将在三层转发表项中添加表项(包含IP、MAC、VLAN、出端口),后续的PC1发往PC2的报文就可以 直接通过硬件三层表项直接转发。 8、PC2收到交换机转发过来的ICMP请求,将回应ICMP应答给交换机,交换机将直接把应答报文由硬件三层交换转 发给PC1 9、后续报文都经过查MAC表、查三层转发表的过程,直接进入硬件转发。 1. 下列哪些内容属于VLAN的特点?(多选)( ) A. 基于逻辑的分组,可以根据业务或功能进行分组 B. 不受物理位置限制,更加灵活组网 C. 减少节点在网络中移动带来的管理代价 D. 不同VLAN内用户要通信需要借助三层设备2.3 生成树原理及配置(STP)
STP背景
环路的现象与危害 环路的现象 交换机端口指示灯以相同频率快速闪烁 交换机MAC地址表震荡 交换机因为资源耗尽,登陆操作异常 环路的危害 链路堵塞:广播报文在二层网络中不断泛洪,所有链路都被大量的广播报文充斥 主机系统响应迟缓:主机网卡接收到大量广播报文,操作系统调用大量CPU进程资源来识别这些广播报文 二层交换机管理缓慢:大量广播报文需要CPU处理,浪费CPU大量资源,对正常的请求无法响应 冲击网关设备的CPU:对网关IP地址的ARP请求报文,经过环路的复制转发,不断地发送到网关设备,网关设备的CPU压力不断增大,甚至崩溃 二层冗余网络面临的问题 在一个VLAN内,广播包向接收端口之外的所有端口洪泛 交换机基于工作原理进行:学习记录、查表转发 1、SW1学习PC1_MAC,查MAC地址表,无匹配目的MAC的表项,进行泛洪转发 2、SW2与SW3接收到数据帧,进行学习源MAC,并进行泛洪转发 3、SW2与SW3互相收到对方的相同帧,进行学习源MAC,将会把PC1_MAC重新关联接口 4、SW1根据接收到G0/1与G0/2的相同帧,按先后顺序进行学习与泛洪(MAC地址表不稳定) 5、SW2与SW3又会收到同样的帧,同理循环…… 二层环路解决方案 在交换机上部署生成树协议,逻辑阻塞环路接口 当发生物理故障时,冗余链路可以恢复正常转发STP概述
STP是怎样的一个协议呢? 通过阻断冗余链路,将一个有环路的交换网络修剪成一个无环路的树型拓扑结构 在某条活动(active)的链路断开时, 通过激活被阻断的冗余链路重新修剪拓扑结构以恢复网络的连通。 生成树综述 生成树协议的分类 生成树协议的分类,按照产生的时间先后顺序为STP、RSTP、MSTP 生成树协议所遵循的IEEE标准 三种生成树所遵循的IEEE标准分别为:STP-IEEE 802.3D,RSTP-IEEE 802.3W,MSTP-IEEE 802.3S STP工作原理 STP技术的实现基于SPA(最短路径树算法 shortest path algorithm)算法,通过SPA在构建无环树形结构的时候经历四个步骤: 选举根桥(Root),根桥是整个无环树形结构的根节点; 选举根端口(RP),根端口是距离根桥最近的端口; 选举指定端口(DP),指定端口是设备发出BPDU的接口,每条链路上必定有且只有一个指定端口; 剩下的端口全部Block掉 实现SPA算法所需要的原始数据,则是通过交换机之间交互BPDU(bridge protocol data unit)报文来完成的。BPDU报文结构
BPDU报文介绍 BPDU,Bridge Protocol Data Unit网桥协议数据单元。左图为BPDU报文结构简介,右图为真实报文结构展示 BPDU,Bridge Protocol Data Unit网桥协议数据单元,报文中的各个字段长度以及内容如下: Protocol Identifier:2字节,总是为0; Version:1字节,0为STP、2为RSTP、3为MSTP; Message Type:1字节,0x00为C-BPDU,负责建立和维护STP拓扑,0x80为TCN-BPDU,传达拓扑变更; Flags:1字节,最低位=TC(Topology Change,拓扑变化)标志,最高位=TCA(Topology Change Acknowledgement,拓扑变化确认)标志; Root ID:8字节,指示当前根桥的RID(即“根ID”),由2字节的桥优先级和6字节MAC地址构成; Root Path Cost:4字节,指示发送该BPDU报文的端口累计到根桥的开销(1G接口cost值为4,10G接口 cost值为2); Bridge ID:8字节,指示该BPDU报文发送者的BID,是由2字节的桥优先级和6字节MAC地址构成; Port ID:2字节,第1个字节为该端口优先级,默认128,第2个字节为发送的端口号。事实上端口优先级的后4bit和端口号的8bit,共同构成了端口号,由系统分配且不可修改; Message Age:2字节,指示该BPDU报文的生存时间,即端口保存BPDU的最长时间; Max Age:2字节,指示BPDU消息的最大生存时间,也即老化时间,默认20秒; Hello Time:2字节,指示发送两个相邻BPDU的时间间隔,设备通过不断发送BPDU维持自己的地位,Hello time 是发送的间隔时间,默认2秒; Forward Delay:2字节,指示控制listening和learning状态的持续时间,表示在拓扑结构改变后,交换机在发送数据包前维持在监听和学习状态的时间,默认15秒。 STP的收敛过程-选举根桥 在一个交换广播域中,选举一个交换机为根桥,选举过程: 比较自己收到BPDU和自己发出的BPDU的Bridge ID, Bridge ID更小 的成为根桥: Bridge ID的比较,先比较优先级, 优先级更小 的成为根桥; 若优先级一致,则比较交换机的MAC地址(show sysmac显示的地址), MAC地址更小 的成为根桥 交换机启动生成树协议,并配置根桥优先级命令: Ruijie(config)#spanning-tree mode stp Ruijie(config)#spanning-tree Ruijie(config)#spanning-tree priority ? <0-61440> Bridge priority in increments of 4096 (default value: 32768) 为什么根桥优先级只能是4096的整数倍? Bridge ID:8字节,指示该BPDU报文发送者的BID,是由2字节的桥优先级和6字节MAC地址构成,而在2字节(16bit)的优先级字段中,后12bit用来标识VLAN ID,只有前4bit是通过配置修改的。2^12 =4096。 STP的收敛过程-选举RP 在广播域内所有的 非根桥交换机 选择根端口(RP,ROOT Port),RP是 非根桥交换机上到根桥距离最近 的端口,每个非根桥有且只有一个RP。非根桥从多个接口接收到BPDU,哪个接口是RP?选举过程: 比较接收到的BPDU中的Cost值,最小Cost值的BPDU的接收端口成为RP; 若Cost值一致,则比较多个BPDU中的Bridge ID,最小Bridge ID值的BPDU的接收端口成为RP。Bridge ID 的比较,先比较优先级,再比较MAC,越小越优先; 若Bridge ID一致,则比较多个BPDU中的Port ID,最小Port ID值的BPDU的接收端口成为RP。Port ID的比较,先比较端口优先级,后比较端口号,越小越优先。 修改端口cost值和端口优先级的命令( 为什么端口优先级只能是16的整数倍? ): Ruijie(config-if-GigabitEthernet 0/36)#spanning-tree cost ? <1-200000000> Port path cost Ruijie(config-if-GigabitEthernet 0/36)#spanning-tree port-priority ? <0-240> Port priority in increments of 16 (default value: 128) STP的收敛过程-选举DP 在所有的链路上选举指定端口(DP,Design Port),通过比较同一段链路上两个端口发送的BPDU中的字段来实现,选举过程: 比较同一段链路上两个端口发送的BPDU中的Cost值,Cost值较小的BPDU的发送端口成为DP; 若Cost值一致,则比较同一段链路上两个端口发送的BPDU中的的Bridge ID,Bridge ID值较小的BPDU发送端口成为DP; 若Bridge ID一致,则比较同一段链路上两个端口发送的BPDU中的Port ID,Port ID值较小的BPDU发送端口成为DP。 STP的收敛过程-剩余端口Block RP 和 DP 之外的端口全部 Block STP实际案例 拓扑图说明: 6台交换机的MAC地址分别为1111.1111.1111-6666.6666.6666 SW1,桥优先级4096,所有接口优先级和Cost值均为默认值 SW2,桥优先级8192,所有接口优先级和Cost值均为默认值 SW3,桥优先级默认值,所有接口优先级和Cost为默认值 SW4,桥优先级默认值,所有接口优先级和Cost为默认值 SW5,桥优先级默认值,0/2口优先级为16,其余默认 SW6,桥优先级默认值,所有接口优先级和Cost为默认值 请根据以上信息,分析该拓扑图中的根桥、所有根端口、指定端口和Block端口。 请根据结果,分析该网络中还存在什么问题?STP端口状态
STP生成树收敛完成的过程中,接口会出现的五种状态,分别是:Disable、Blocking、Listening,Learning和Forwarding: Disable状态:此时交换机端口没有激活,丢弃所有收到的帧,不学习mac地址,不接收BPDU报文; Blocking状态:监听BPDU,但是不转发BPDU,丢弃所有收到的数据帧,不学习mac地址也不产生任何MAC地址表项; Listening状态:持续15s,接受并发送BPDU,不转发用户数据,不产生该端口的MAC地址表项,在该状态下完成STP的收敛,此状态下交换机能决定根桥,并可以选择根端口、指定端口和非指定端口; Learning状态:持续15s,接受并发送BPDU,不转发用户数据,完成部分端口的MAC地址表项,目的是为了减少当用户开始转发数据时,带来的大规模广播包泛洪; Forwarding状态:接受并发送BPDU,转发用户数据。 TCN-BPDU详解 IEEE 802.1D协议规定,TCN-BPDU(下文简称TC报文)的产生条件有两个: 网桥上有端口转变为Forwarding状态,且该网桥至少包含一个指定端口; 网桥上有端口从Forwarding状态或Learning状态转变为Blocking状态; 若上述两个条件之一满足,就说明网络拓扑发生了变化,网桥就需要使用TC报文将拓扑发生变化的情况通知根桥。 在日常维护中,TC报文的产生通常有以下几种情况: 设备或链路出现故障,引发STP重新计算,产生TC报文; STP配置参数更改,引发STP重新计算,产生TC报文; 连接终端的端口使能了STP,但没有配置为边缘端口,当终端发生重启等情况导致该端口链路状态变化时,该端口产生TC报文; 来自用户设备的攻击TC报文也可能传入其所接入的二层网络。 TCN-BPDU交互实例 网桥感知到拓扑变化,产生TCN-BPDU,从根端口发出,通知根桥 ; 如果上游网桥不是根桥,则上游网桥会将下一个要发送的配置BPDU 中的TCA位置为1,作为对TCN的确认,发送给下游网桥; 上游网桥从根端口发送TCN-BPDU,通知根桥; 重复第2、3步,直到根桥收到TCN-BPDU; 根桥收到TCN-BPDU后,会将下一个要发送的配置BPDU的TCA位置为1作为对TCN的确认。同时根桥会将自己的MAC地址表老化时间由300秒修改为Forward Delay即15秒,同时根桥还会发出TCN位置为1的配置BPDU,用来通知网络中所有网桥网络拓扑发生了变化。 根桥在之后的Max Age+Forward Delay时间内,将发送TCN置为1的配置BPDU,当网桥收到该配置BPDU后,会将自己MAC地址老化时间由300s缩短为Forward Delay即15秒。 STP重新收敛过程分析STP高级特性
STP高级特性-Port Fast 交换机的某端口如果接入了用户终端,那么常规配置下,该端口需要经过2个Forwarding Delay才能够进入转发状态(Listening和Learning,共计30秒),很明显这是不合理的; 可以将接入用户终端的接口配置为Port Fast,这样该接口可以跳过30秒的等待时间,直接进入转发状态; 如果设置了Port Fast的端口还收到了BPDU,则该端口会经过2个Forwarding Delay后进入转发状态; 下图表示了一个设备的哪些端口可以配置为 Port Fast: 配置命令: Ruijie(config)#interface gigabitEthernet 0/1 Ruijie(config-if-GigabitEthernet 0/1)#spanning-tree portfast STP高级特性-BPDU Guard BPDU Guard的意义就是一个不该接收BPDU的端口(比如portfast端口)一旦收到BPDU报文,那么该功能将会立即关闭该端口,并将端口状态置为error-disabled状态,该模式下,接口可以发出BPDU; BPDU Guard的两种配置模式 全局模式启用:全局模式启用该功能之后,会在所有配置了portfast的接口生效。如果某个接口打开了 Port Fast,而该接口收到了 BPDU,那么该端口就会进入 Error-disabled 状态,表示网络中可能被非法用户增加了一台网络设备,使网络拓朴发生改变。配置命令: Ruijie(config)#spanning-tree portfast bpduguard default 接口模式启用:打开单个接口的 BPDU Guard(与该端口是否配置 portfast 无关)。在这个情况下如果该端口收到了 BPDU,就会进入 Error-disabled 状态 Ruijie(config)#interface gigabitEthernet 0/1 Ruijie(config-if-GigabitEthernet 0/1)#spanning-tree bpduguard enable Error-disabled如何恢复 接口模式下,shutdown然后no shutdown 全局模式下,errdisable recovery interval 300s STP高级特性-BPDU Filter BPDU Filter可以过滤掉接口上收到或发出的BPDU; BPDU Guard的两种配置模式 全局模式启用:打开全局的 BPDU Filter功能,在这种状态下,开启Port Fast的接口将既不收 BPDU,也不发出BPDU,连到portfast端口的主机就收不到BPDU。而如果开启portfast的端口收到了BPDU,那么该端口的portfast属性将失效,同时BPDU Filter也自动失效,配置命令: Ruijie(config)#spanning-tree portfast bpdufilter default 接口模式启用:在接口模式下,开启单个接口的BPDU Filter(与该端口 是否打开 Port Fast 无关)。在这个情况下该接口既不收 BPDU,也不发 BPDU,相当于关闭了该接口的STP功能,接口直接进入转发状态。 Ruijie(config)#interface gigabitEthernet 0/1 Ruijie(config-if-GigabitEthernet 0/1)#spanning-tree bpdufilter enable STP高级特性-Tc-protection TC-BPDU 报文是指携带 TC 标志的 BPDU 报文,交换机收到这类报文表示网络拓扑发生了变化,会进行MAC 地址表的删除操作。对三层交换机,还会引发快转模块的重新打通操作,并改变 ARP 表项的端口状态。 为避免交换机受到伪造 TC-BPDU 报文的恶意攻击时频繁进行以上操作,设备CPU负荷过重,影响网络稳定,可以使用 TC-protection 功能进行保护: 在打开相应功能时,收到TC-BPDU 报文后的一定时间内(一般为 4 秒),只进行一次删除操作,同时监控该时间段内是否收到 TC-BPDU报文。 如果在该时间段内收到了TC-BPDU报文,则设备在该时间超时后再进行一次删除操作。这样可以避免频繁的删除 MAC 地址表项和 ARP表项,保护设备CPU资源。 配置命令: Ruijie(config)#spanning-tree tc-protection 1. 下列关于STP接口状态的描述,错误的是哪一项?( ) A. 被阻塞的接口不会侦听,也不发送BPDU B. 处于Lerarning状态的接口会学习MAC地址,但是不会转发数据 C. 处于Listening状态的接口会持续侦听BPDU D. 被阻塞的接口如果一定时间内收不到BPDU,则会自动切换到Listening状态实践2-1 VLAN实验
实践2-2 生成树(STP)实验
第三章 路由基础
3.1 路由技术介绍和静态路由
路由概述
背景:
在我们的网络中,存在很多不同的IP网段,数据在不同网段之间交互是需要借助三层设备的。这些设备具有路由能力,帮助数据实现跨越不同网段进行转发。 路由是数据通信网络中的基本要素。路由信息是指导报文转发的路径信息,路由过程就是报文转发的过程。 为什么需要路由 PC的网卡在进行发送数据的时候,网络层将检查目的IP与本网卡的IP地址是否处于一个网段 如果属于一个网段,则直接用ARP解析目的IP的MAC地址 如果不属于一个网段,则用ARP解析网关的MAC地址 二层交换网络(同一广播域/VLAN)内,不同网段的主机之间无法直接通信 路由的定义 从一个接口上收到数据包,根据数据包的目的地址进行定向和转发的过程 路由器依据路由表选择下一跳地址/出接口并转发数据,实现跨IP网段通信 直接路由数据通信分析 直接路由:同一个IP网络内的通信 回想一下:同一个LAN中的PC1和PC2之间的通信过程:PC1>ping 192.168.1.200 间接路由:不同IP网络内的通信 再思考一下:如果PC2与其他LAN中的PC3通信,又该如何:PC2>ping 192.168.2.100 认识路由设备 路由的下一跳 路由设备进行路由转发,下一台设备的端口IP地址 下一跳地址由路由表决定,PC客户端的默认下一跳地址通常称为“网关” 如图,PC2想要与PC3通信 下一跳地址是路由设备根据路由表选择的最佳路径 如图,PC2想要与PC3通信 路由表的构成与维护 路由表的构成 路由表是路由器转发数据报文的判断依据。 路由的度量值和管理距离 路由表的度量值 度量值(Metric):路由协议用来衡量路径优劣的参数。表示到达目的地的代价总和 影响度量值的因素:线路带宽、跳数、线路延迟·、线路使用率、线路可信度等 路由表的内容 显示路由表的命令:R1#show ip route 管理距离 管理距离(Administrative Distance),也叫优先级,用来衡量路由源的可信度 管理距离值越低,可信度越高。只有可信度最高的路由会被添加进路由表 管理距离默认值由厂商自定义 路由加表原则 只有最佳路径才会被添加进路由表中,形成路由条目 路由选路原则 —— 最长子网掩码匹配原则 路由设备基于数据包的目的IP地址,按照最长子网掩码匹配原则查找路由表 根据查询结果转发。查询无果则丢弃数据包静态/默认/浮动路由
静态路由 由网络管理员手工配置的路由信息,当网络拓扑发生变化时,管理员需要手工修改静态路由信息 静态路由信息是本地有效的,不会传递给其他的路由器 静态路由一般适用于比较简单的网络环境,大型和复杂的网络环境通常不宜采用静态路由 使用静态路由好处是网络安全保密性高 使用全局配置命令ip route,配置静态路由 下一跳地址必须是直连网络上可达的地址 点对点连接时,下一跳地址可用出接口代替 静态路由配置案例1 —— 基础配置 在3台路由器上配置静态路由,使Net 1与Net 2能互相通信选择100M链路,路径为:Net1-R1-R2-R3-Net2
静态路由配置案例1 —— 查看静态路由 在特权用户模式显示IP路由表ruijie#show ip route
查看R1、R2和R3的路由表 静态路由配置案例2 —— 默认路由 默认静态路由是特殊的静态路由,它的目标网络和子网掩码均为0.0.0.0(默认路由有可能是动态路由) 在R1和R3上配置默认路由,使R1与R3的100M链路故障时,可以使用10M链路 静态路由配置案例3 —— 浮动静态路由 浮动路由就是在静态路由的基础上,加上管理距离参数,管理距离越小,可信度越高 配置了多条浮动路由,只有可信度最高(管理距离最小)的一条浮动路由会被添加到路由表中 当可信度最高的浮动路由失效后,可信度次高的浮动会被添加到路由表中 在R1和R3上配置浮动路由,使得正常状态路径为:Net1-R1-R2-R3-Net2 断开R1与R2、R3与R2的连接后,路径切换为:Net1-R1-R3-Net2 静态路由配置案例3 —— 查看浮动静态路由 配置完成后查看R1和R3的路由表 断开R1与R2、R3与R2的连接后,查看R1和R3的路由表 静态路由配置案例4 —— 三层交换机上配置静态路由 三层交换机也有路由功能,可实现不同VLAN间通信 在两个三层交换机上的SVI(switch virtual interface)口配置IP作为三层接口 三层交换机之间的互联:(方案1)可以选择用trunk (方案2)也可以选择用三层路由接口 在两台三层交换机上配置静态路由 SW1、SW2的SVI与静态路由配置 通过给VLAN10、20、30、40、800配置IP地址并no shutdown,使交换机具有多个虚拟的路由口 VLAN10、20、30、40的SVI地址可以分别作为相应VLAN内PC机的默认网关 (方案1)VLAN 800的SVI地址可以作为SW1与SW2直连通信的路由地址 通过配置静态路由,使不同VLAN、不同IP网络间的PC机能互相通信 SW1、SW2的SVI与静态路由配置 通过给VLAN10、20、30、40、800配置IP地址并no shutdown,使交换机具有多个虚拟的路由口 VLAN10、20、30、40的SVI地址可以分别作为相应VLAN内PC机的默认网关 (方案2)SW1与SW2的G0/5接口可以转化为三层路由接口,作为互联地址 通过配置静态路由,使不同VLAN、不同IP网络间的PC机能互相通信 静态路由配置案例5 —— 汇总路由 路由汇总的定义:把多条路由条目汇总成一条路由条目。 路由汇总的作用:收缩路由表,减轻路由器的负担,提高路由器的转发效率 分别在R1和R2上仅配置一条静态路由(不能使用默认路由),使所有PC能互相通信 配置R1路由器 将172.16.12.0/24、172.16.13.0/24、172.16.14.0/24、172.16.15.0/24汇总成172.16.12.0/22 查看R1的路由表: 静态路由配置案例5 —— 路由汇总的限制 在特定场景下,才可实施路由汇总 在以下的场景中,在R2上不能做路由汇总动态路由概念和分类
动态路由协议 目前网络项目中的主流路由协议有:RIP、OSPF、BGP 这是路由器用来计算、维护网络路由信息的协议,通常有一定的算法,工作在传输层或应用层 RIP基于UDP,端口号520 OSPF基于IP,协议号89 BGP基于TCP,端口号179 路由协议工作机制的四个主要步骤: 邻居发现:路由器通过发送广播或组播报文的方式发现网络中的邻居,并基于特定参数来建立邻居关系。 路由交换:每台路由器将自己已知的路由相关信息发给相邻路由器。 路由计算:每台路由器运行某种算法,计算出最终的路由表。 路由维护:路由器之间通过周期性地发送协议报文来维护邻居信息 动态路由基本概念 衡量路由协议的主要指标 协议计算的正确性:协议使用的算法能够计算出最优的路由,且正确无自环。 路由收敛速度:当网络的拓扑结构发生变化之后,能够迅速感知并及时更新相应的路由信息。 协议占用系统开销:协议自身占用的资源开销(内存、CPU、网络带宽)。 协议自身的安全性:协议自身不易受攻击,有安全机制。 协议适用网络规模:协议可以应用在何种拓扑结构和规模的网络中。 动态路由协议的分类 按照管理范围分类 IGP(内部网关协议):RIP、EIGRP、OSPF、IS-IS(园区网常用协议) EGP(外部网关协议):BGP(主要应用在金融,政府电子政务网,运营商网络) 按照算法分类 距离矢量路由协议:RIP、BGP 链路状态路由协议:OSPF、IS-IS 距离矢量路由协议 路由以矢量(距离、方向)的方式通告出去 距离矢量协议直接传送各自的路由表信息 每台路由器从邻居路由器直接获取路由信息,并将这些路由信息连同自己的本地路由信息发送给其他邻居 如此逐跳传递,达到全网同步。每个路由器都不了解整个网络拓扑 它们只知道与自己直接相连的网络情况,并根据从邻居得到的路由信息更新自己的路由 链路状态路由协议 基于Dijkstra(迪克斯特拉)算法的最短路径优先(SPF)算法,比距离矢量路由协议复杂 路由器并不向邻居直接传递“路由表项”,而是通告给邻居链路状态 链路状态信息包括:接口IP地址和掩码、网络类型、链路开销、链路上所有相邻路由器 运行该路由协议的路由器不是简单地从相邻的路由器学习路由,而是把路由器分成区域,收集区域的所有的路由器的链路状态信息,根据状态信息和SPF算法生成网络拓扑结构,每一个路由器再根据拓扑结构计算出路由3.2 OSPF协议原理及配置
OSPF协议,全称开放最短路径优先协议( Open Shortest Path First ),它是IETF组织开发的一个基于链路状态的内部网关路由协议(IGP)。因其的开放性以及丰富的功能特性,成为目前业内使用最广泛的路由协议之一。OSPF基本概念
专为TCP/IP网络设计,支持VLSM、路由汇总、等价负载均衡、区域划分、认证 OSPF在RGOS平台上的 管理距离(AD)是110 OSPF报文封装在IP报文中, IP协议号为89 OSPF具有无环路、收敛快、扩展性好,可适应大规模网络 OSPF目前应用中有两个版本: V2:适用于IPv4 V3:扩展支持IPv6 OSPF的Cost值 OSPF的接口开销(Cost)计算方式: 基于物理链路的带宽来计算度量值 Cost=默认计算基数/物理链路带宽(Bit为单位),默认计算基数= 10 8 bit=100M 100M带宽的接口,Cost值就是1 10M带宽的接口,Cost值就是10 如结果出现小数,会舍弃小数部分取整(如果整数部分为0,则Cost值记为1), 例如带宽是1000M的链路, Cost值也是1 OSPF路由条目的Cost值 =路由的原始Cost值和沿途入向接口Cost值的累加 如图,当10.1.0.0/24访问10.2.0.0/24时,数据从F0/1出去,这是一条 次优路径 ! 修改Cost值解决 方案一:在OSPF进程中可以修改度量值计算基数来避免这种问题。命令中的1000代表默认计算基数1000M Ruijie(config)#router ospf 10 Ruijie(config-router)#auto-cost reference-bandwidth 1000 方案二:在接口下,使用该命令,直接修改Cost值为200,来影响OSPF路径计算结果 Ruijie(config)#int f0/1 Ruijie(config-if)#ip ospf cost 200OSPF邻居建立过程
OSPF相关术语 Router-ID:在AS中唯一标识一台运行OSPF的路由器的编号 AS(自治系统 Autonomous System) : 使用同一种路由协议一组路由器所构成的一套系统 每个运行OSPF的路由器都必须有一个Router ID,同一个AS内,Router-ID不能重复 Router-ID可以手动命令配置,也可以系统自动选举 邻居(Neighbor): 两台运行OSPF协议的路由器,从它们相连的接口上会相互发出各自的OSPF参数,如果双方的参数符合建立邻居的条件,就会形成邻居关系 邻接(Adjacency): 邻居不一定邻接。如果两台路由设备之间交换链路状态信息,并根据更新后的数据库计算出OSPF路由,才能称为邻接关系 Router ID 在没有手工指定的情况下(手工指定,直接成为Route ID) 如果本地有激活的Loopback接口,则取Loopback接口IP最大值作为OSPF Router-ID 如果没有Loopback接口,则取活跃的物理接口IP地址中的最大值 项目实施中,一般先创建loopback接口并配置IP地址,随后手工指定OSPF Router-ID为该接口地址 OSPF的五种报文类型 有5种不同OSPF报文类型,这些报文类型用从1到5的类型号标识 OSPF邻居建立的三个阶段 邻居发现,形成邻居: (成功的标志:2-Way状态) 通过Hello报文发现并形成邻居关系 形成邻居表 形成邻接,路由通告: (成功的标志:Full状态,LSDB同步) 邻接路由器之间通过LSU洪泛LSA,通告拓扑信息 通过DBD、LSR、LSACK辅助LSA的同步 最终同一个区域内所有路由器LSDB完全相同 路由计算阶段: LSDB同步后,每台路由器独立进行SPF运算 把计算出的最佳路由信息放进路由表OSPF网络类型
OSPF常用的三张状态表 邻居表(Neighbor Table): 通过 Hello报文 形成邻居 用邻居机制来维持路由 邻居表存储双向通信的OSPF路由器列表信息 链路状态数据库(LSDB): 通过 LSU报文 更新LSDB 描述拓扑信息的LSA存储在LSDB中 路由表(RIB): OSPF计算出来的路由将会加载到路由表 路由优先级 O>O IA>[O E1/N1]>[O E2/N2]OSPF区域和基本配置
OSPF的邻居发现过程 OSPF的链路状态摘要交换过程 OSPF的详细链路状态信息同步过程 OSPF的路由计算与路由表加载 每台OSPF路由器都会使用 SPF算法 ,根据自己的LSDB 独立 地计算去往每个目的网络的 最短路径同步后,同一区域的OSPF路由器,LSDB一定是相同的
广播型多路访问网络-Broadcast 以太网接口之下,默认的OSPF网络类型为Broadcast OSPF在广播多路访问的网络上,会进行DR(Designated Router指定路由器)与BDR(Backup Designated Router)的选举 DR与BDR的能够与该链路上其他路由器(DR other)建立邻接关系,进入Full状态 DR other之间建立邻居,停留在2-way状态,不会交换LSA OSPF的DR、BDR机制 DR、BDR的机制减少了在同一广播域中邻接的数量,减少了广播网络中LSA的泛洪,节省带宽 例如右图的案例中 如果两两建立邻接需要15对邻接【排列组合,C(6,2)=15】 如果DR机制,只需要8对邻接 OSPF的DR、BDR的选举 优先级高的成为DR,其次成为BDR Hello报文携带路由设备优先级,默认=1 优先级为0的路由设备不具备选举资格,未来也不可能为DR或者BDR 优先级一致的情况下,Router ID更高的成为DR,第二高的成为BDR DR和BDR一旦选定,即使OSPF区域内新增优先级更高的路由设备,DR和BDR也不会重新选举,只有当DR和BDR都失效后,才参与选举 优先级是基于接口的,修改命令如下 (config)#int vlan 10 (config-if-VLAN 10)#ip ospf priority 10 DR/BDR的选举示例一 R5后来加入网络,虽然它的Router ID比原有的DR和BDR都高,但是出于稳定性的考虑,只能成为 DRother路由器。 DR/BDR的选举示例二 当DR失效时,BDR立刻成为新的DR DRother路由器进行竞争,Router ID高成为新BDR OSPF的单区域问题 同一个区域内所有路由器为了LSDB保持完全相同,在链路发生变动的时候需要更新LSA 每台路由器都会收到的大量的LSA通告; 内部某条链路动荡,都会触发全网路由器重新执行SPF算法,导致网络不稳定; 区域内路由无法汇总,需要维护的路由表越来越大,资源消耗过多,性能下降,影响数据转发 OSPF的单区域问题解决方案 把大型网络分隔为多个较小,可管理的单元 :区域(area): 控制LSA只在区域内洪泛,有效地把拓扑变化控制在区域内,拓扑的变化影响限制在本区域 提高了网络的稳定性和的扩展性,有利于组建大规模的网络 在区域边界可以做路由汇总,减小了路由表 OSPF多区域层次化 OSPF区域可以分为骨干区域和非骨干区域 骨干区域:area 0,骨干区域在逻辑上不能被分割; 非骨干区域:area 0以外的其他区域都是非骨干区域,非骨干区域必须和骨干区域相连 OSPF多区域环境路由器类型 内部路由器IR ( Internal Area Router): 所有接口在同一个Area内 同一区域内的内部路由器,LSDB完全相同 区域边界路由器ABR( Area Border Router): 接口分属于两个或两个以上的区域,并且有一个活动接口属于area 0 ABR为它们所连接的每个区域分别维护单独的LSDB 区域间路由信息必须通过ABR进行传递 自制系统边界路由器ASBR(Auto System Border Router) 自制系统边界的路由器,至少有一个接口属于OSPF之外的其他路由协议 单区域OSPF案例 OSPF路由案例1需求 在三台路由器上配置OSPF路由,配置OSPF进程号为10 配置OSPF区域全为0,使PC1和PC2能ping通PC3 单区域OSPF案例 —— 基础配置 启动OSPF进程: (config)# router ospf [process ID] 配置OSPF运行的接口以及接口的区域ID (建议使用精确宣告): (config-router)# network network mask area [area ID] 单区域OSPF案例 —— 路由表 查看R1、R2和R3的路由表 使用特权用户模式命令show ip route,显示IP路由表 单区域OSPF案例 —— 连通性测试 测试网络连通性 PC1和PC2能ping通PC3 单区域OSPF案例 —— 状态查看 查看OSPF 协议状态:show ip protocols FULL/BDR :表示邻接状态已经建立,并且此时本路由器为BDR角色 查看OSPF邻居表:show ip ospf neighbor 单区域OSPF案例 —— 状态查看 查看接口OSPF相关信息: Show ip ospf interface XX 多区域OSPF案例 OSPF路由案例2需求: 在三台路由器上配置OSPF路由,配置OSPF进程号为10 按照拓扑图配置OSPF区域,使PC1和PC2能ping通PC3 多区域OSPF案例 —— 基本配置 启动OSPF进程: Router(config)# router ospf 进程号 配置OSPF运行的接口以及接口的区域ID : Router (config-router)# network 网络号 反掩码 area 区域id 多区域OSPF案例 —— 路由表 使用特权用户模式命令show ip route,显示IP路由表 “O”表示区域内部路由 “O IA”表示区域间路由 查看R1、R2和R3的路由表 多区域 OSPF 案例——连通性测试 测试网络连通性 PC1 和 PC2 能 ping 通 PC3 1. OSPF在RGOS平台上的管理距离是( )? A. 110 B. 89 C. 10 2. 一个接口,物理链路带宽是50M,那么默认的OSPF开销是多少( )? A. 1 B. 2 C. 10 3. 以下哪项说法是错误的?( ) A. OSPF的hello报文携带的默认设备优先级=1 B. OSPF区域内,任何一台路由器都可以进行路由汇总 C. OSPF优先选择物理IP地址最大的IP作为Router-id D. 同一OSPF区域内,两台路由器的Router-ID可以一致 总结 OSPF是开放的路由协议,支持VLSM、路由汇总、等价负载均衡、区域划分、认证 OSFP在RGOS的管理距离是110,IP协议号89 OSPF具有无环路、收敛快、扩展性好,可适应大规模网络 OSPF最重要的三张表:邻居表、链路状态数据库、路由表 OSPF邻居建立的7个状态 OSPF的广播多路访问网络类型以及DR/BDR机制 OSPF的单区域与多区域的区别实践3-2 OSPF协议基本应用实验
第四章 网络出口控制
4.1 IP访问控制列表
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行控制, 允许其通过或丢弃。 访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而保障网络安全。ACL应用场景
访问控制列表的应用场景 在接入交换机、汇聚交换机、核心交换机完成基本VLAN、路由配置,VLAN内/外的PC可以相互通信 如果想要控制个别数据交互,又不影响与其他数据交互,这种情况下就需要使用访问控制列表 出于安全考虑,要求员工的PC不能访问到主管的网段,这该如何实现? 访问控制列表的功能 访问控制列表(Access Control List),简称ACL,可以定义一系列不同的规则 ACL需要设备接口进行入方向或出方向的调用,根据这些规则对数据包进行分类,并针对不同类型的报文执行不同的处理动作。 ACL主要有以下两大功能: 使用ACL匹配流量 用于流量过滤:可以匹配指定流量,拒绝通过或者允许通过 用于NAT:可以匹配指定流量,对这些指定的流量进行NAT转换 用于QoS:可以根据数据包的协议,指定这些被匹配的数据包的优先级 使用ACL匹配路由 用于路由策略:可以用来匹配路由,进行路由条目的过滤,或者修改路由条目的属性 用于路由重分布:可以匹配路由,在路由重分布时对匹配的路由执行特定的操作通配符
访问控制列表的通配符 通配符也称“反掩码”, 和IP地址结合使用,以描述一个地址范围 反掩码和子网掩码相似,但含义不同 0表示:对应位需要比较 1表示:对应位不比较 访问控制列表的ACE 每一条语句也称为ACE,访问控制表项(Access Control Entry:ACE) ACE匹配的顺序为从上至下,即编号从低到高进行匹配 一旦被某条ACE匹配成功(无论动作是deny或permit), 跳出该ACL 在所有的ACE之后,存在一条默认ACE:deny ip any any(不显示)ACL工作原理和流程
访问控制列表的两种动作 ACL的动作分为两种:permit和deny permit:允许/匹配permit后面语句的数据/路由 deny:禁止/不匹配deny后面语句的数据/路由 Ruijie(config)#ip access-list standard 1 Ruijie(config-ext-nacl)#10 permit ip 192.168.1.0 0.0.0.255 Ruijie(config-ext-nacl)#20 deny ip 192.168.2.0 0.0.0.255 访问控制列表的入方向过滤工作流程 访问控制列表的出方向过滤工作流程 访问控制列表的常用类型 IP标准ACL 只能匹配IP数据包头中的源IP地址 配置ACL的时候使用”standard”关键字 IP扩展ACL 匹配源IP/目的IP、协议(TCP/IP)、协议信息(端口号、标志代码)等 配置ACL的时候使用”extended”关键字 除了上面两种常用类型外,还有以下其他的ACL类型 标准ACL与扩展ACL的不同 标准ACL和扩展ACL能够匹配的数据流类型不同 标准ACL:仅匹配数据包的源IP地址 Ruijie(config)#ip access-list standard 13 Ruijie(config-std-nacl)#permit ? A.B.C.D Source address any Any source host host A single source host 扩展ACL:能够匹配3层及以上多种协议,并且可以同时匹配源IP和目的IP等 访问控制列表的命名 数字命名 默认的命名,需要注意标准和扩展两种类型ACL的数字命名范围是不一样的 标准ACL常用数字命名为1-99,1300-1999扩展ACL常用数字命名为100-199,2000-2699 自定义名称 定义更具有代表意义的名称,推荐使用 比如禁止VLAN10内的PC访问VLAN30,可以定义为DENY_VLAN10_TO_VLAN30 Ruijie(config)#ip access-list standard ? <1-99> IP standard acl <1300-1999> IP standard acl (expanded range) WORD Acl name 访问控制列表的配置命令(标准ACL) ACL通过带条件的语句来标识数据包 例如禁止PC1(IP:192.168.1.10)和PC2(IP:192.168.2.10)访问任意目的的数据流 使用下面的配置方法进行配置 配置完成后,在相关设备的接口上调用即可 访问控制列表的配置命令(扩展ACL) ACL通过带条件的语句来标识数据包 例如禁止PC1(IP:192.168.1.10)和PC2(IP:192.168.2.10)访问PC3(IP:192.168.3.10)的数据流 使用下面的配置方法进行配置 配置完成后,在相关设备的接口上调用即可。 访问控制列表的多条语句配置方法 若存在多种不同的访问控制需求,就需要在一个ACL中定义多条语句 不允许VLAN10内的PC访问192.168.4.0/24内的所有PC 不允许VLAN10内的PC访问192.168.5.0/24内的所有PC 仅允许VLAN 10内的特定PC(192.168.1.10)访问 192.168.3.0/24内的所有PC 允许VLAN 10内PC可以访问10.0.5.5的tcp 80端口,该地址的其他端口均不允许访问 其他数据流放行 配置思路 确定是采用标准ACL还是扩展ACL 将格式相同(动作、数据流类型、子网号、反掩码等)的语句放置在一起配置 根据需求配置多条语句时,要确认所配置的顺序能否满足需求(前后是否有冲突)。具体配置如下: 访问控制列表的序号 自动生成的序号,默认以10位单位递增。也可以在配置ACL中的语句时提前添加不同的序号。 如果新增需求:禁止VLAN 10内的PC访问192.168.6.0/24。配置如下: 访问控制列表的应用位置-1 1、应用在接口的入方向还是出方向? 数据流是从交换机的接口出入,需要将配置好的ACL应用在接口上 接口可以是物理接口也可以是SVI 应用的方向根据ACL的内容以及数据流进入接口的方向进行配置选择 2、在什么设备上配置ACL? 需要结合实际的需求来判断将ACL应用在什么层次的设备上 控制VLAN内的数据流,则需要在接入交换机上配置ACL 控制VLAN间的数据流,则需要在汇聚交换机(网关)配置ACL 配置如下的ACL,应用在何处才能够使得PC A无法访问PC B? B是对的,因为同一个vlan内的数据流不需要经过汇聚交换机 2、在什么设备上配置ACL? 要求VLAN10不能访问VLAN30,VLAN20不能访问VLAN40 如果将ACL配置在接入交换机上,需要在多台交换机上配置,配置工作量较大,而且容易出错 因此控制跨网段转发的数据,建议在汇聚网关(SVI接口)上配置ACL,这样可以减少配置量,并方便维护 3、ACL是在靠近源的设备上应用还是靠近目的的设备上应用? 需要结合ACL的类型以及实际的应用、配置的工作量进行考虑 标准ACL(匹配源地址),在靠近报文目的的设备上进行配置 如果应用在靠近数据源的设备上,会有什么问题? 3、ACL是在靠近源的设备上应用还是靠近目的的设备上应用? 需要结合ACL的类型以及实际的应用、配置的工作量进行考虑 标准ACL(匹配源地址),在靠近报文目的的设备上进行配置 扩展ACL(匹配目的地址),建议在靠近报文源的设备上进行配置 对于扩展ACL,如果想集中控制的话,也可以在报文目的设备上进行配置 若要控制很多源IP网段不能访问PC B,可以在靠近PC B的设备上应用ACL,减少配置工作量,实现集中管理ACL的其他应用
防病毒应用 在实际中除了使用ACL控制网段之间的互访外,还有一种比较常见的用法,就是封闭常见的病毒或木马占用的端口,并在三层网关SVI接口下应用,如下的防病毒ACL配置 防病毒的ACL也可能会与某些应用的端口号重合,实施时需要注意 控制互访和防病毒两种应用在实际中也多结合在一起,因此在配置的时候需要注意ACE的先后顺序 基于时间的ACL配置思路 ACL可以添加时间参数,使其在特定的时间生效 绝对时间段: absolute,定义一个绝对的时间段 周期时间段: periodic,定义一个循环往复的时间段 确保设备时间配置准确:在#模式下使用clock set命令设置 将时间参数和ACE关联 调用ACL 基于时间的ACL配置案例 例如:公司架设有web服务器,其IP地址为192.168.1.100,要求该服务器在特定的时间内对外提供服务, 详细需求如下: 仅在工作日的早上9:00至下午18:00提供员工访问,其他时间均不能访问 仅在2021年 7月28日早上9:00至中午12:00提供员工股访问,其他时间均不能访问 配置基于时间的ACL 配置方法 正确配置设备时间 在#模式下使用clock set命令设置 定义时间段:为ACL中的特定ACE关联定义好的时间段 绝对时间段: absolute,定义一个绝对的时间段 周期时间段: periodic,定义一个循环往复的时间段 配置基于时间的ACL 配置方法 正确配置设备时间 在#模式下使用clock set命令设置 定义时间段:为ACL中的特定ACE关联定义好的时间段 当不在WORK_TIME定义的时间范围内,则所配置的两条ACE语句不生效 1. (多选题)标准ACL序号范围是多少() A. 1-99 B. 100-199 C. 1300-1999 D. 2000-2699 2. (多选题)下列关于ACL的说法中,正确的是() A. 一个ACL中配置了任意一条语句,那么将在所有ACE之后存在一条默认隐式ACE:deny ip any any B. ACL调用的位置,取决于能否最大程度上减少网络中需要被拒绝的流量 C. ACL的匹配顺序是从上到下,如果数据包命中了其中一条ACE,那么剩余的条目将不再匹配 D. 时间ACL生效与否,与设备本身的时间无关 总结 ACL一般应用在网络中有数据流管控的场景之下,需求不同,需要配置的ACL类型也不同。 标准ACL和扩展ACL是最常用的2种ACL,其中标准ACL仅能针对报文的源地址做控制,而扩展ACL则可以针对报文的源地址、目的地址、协议号和端口号等要素进行管控; 防病毒ACL,可以将常见的高危端口和病毒端口阻断,在使用时需要注意这些端口是否和实际业务有冲突, 避免正常业务受到影响; 基于时间的ACL,通过配置时间周期并调用在ACE之后,可以使得ACL在指定的时间周期内生效。4.2 NAT功能及配置
NAT概述
NAT产生的背景
随着Internet的发展和网络应用的增多,IPv4公有地址数量有限的问题已经成为发展瓶颈。NAT技术的出现可以解决这个问题 NAT技术主要用于内部网络主机(使用私网地址)访问外部网络(公网地址),一方面缓解了IPv4地址短缺的问题,另一方面也提升了内网的安全性 NAT的用途 解决地址空间不足的问题IPv4的空间已经严重不足,NAT可以大量节省公网IP
私有IP地址网络与公网互联私有IP网络无法直接在公网上通信,NAT技术可以将其转化为合法的公网地址使私有网络与公网实现互联
使用未注册的公网IP地址与公网互联内网使用的是未注册的公网IP,通过NAT技术也能正常与Internet互联
网络地址转换NAT的概念 NAT (Network Address Translation)是一种把内部私有网络地址翻译成合法公网IP地址的技术 它是一种大型网络中节约注册IP地址数量,并简化IP寻址管理任务的机制 允许一个整体机构以一个公用IP地址出现在Internet上 NAT术语 NAT的分类 静态NAT:手动建立一个内部IP地址到一个外部IP地址的映射关系该方式经常用于企业网的内部设备需要能够被外部网络访问到的场合
动态NAT:将指定的内网IP地址转换为一组外部IP地址(地址池)中的一个IP地址常用于整个公司共用多个公网IP地址访问Internet时
超载NAT:动态NAT的一种特殊形式,利用不同端口号将多个内部IP地址转换为一个外部IP地址常用于整个公司共用1个公网IP地址访问Internet时
端口映射NAT 常用于内部网络中的服务器,将某个服务端口映射到外网地址上,一个公网IP可以映射多个内网的服务,通过端口号区分不同服务静态NAT
静态NAT实现了私有地址和公有地址的一对一映射,内网设备对外完全占有一个固定的公有IP地址 缺点是映射之后的用户如果不是一直在访问互联网,将造成IP地址的浪费 未做映射的用户无法访问互联网,有多少个内网IP地址就需要多少个公网IP地址进行映射,成本较高 静态NAT的工作过程 配置静态NAT,实现私有地址(PC1的IP地址)和公有地址(R1的G0/2接口IP)的一对一映射,使PC1能ping通PC4 第1-3步,数据包从PC1(源IP=192.168.1.1)发出,经过R1时进行源地址转换后,源IP变为100.1.1.100 第4-6步,从PC4进行回包(目的IP=100.1.1.100) ,到达R1时,根据NAT转换表进行目的地址转换,目的IP变为了原来的192.168.1.1 静态NAT的配置步骤 指定接口类型为内部接口或外部接口 (config-if)# ip nat { inside | outside } 配置静态转换条目 (config-if)# ip nat inside source static local-ip { interface interface | global-ip } 静态NAT的验证 PC1能ping通PC4动态NAT
动态NAT需要配置地址池,地址池中公网IP地址可以“租用”给内网主机访问外网 动态NAT的地址池中的IP在被映射时,等于完全被租用被某个内网主机,因此其他主机无法使用 例如下图,此时PC1、PC2正使用地址池中仅有的两个公网IP地址进行动态NAT,那么此时PC3将不能访问互联网 需要等待PC1或者PC2释放地址之后,PC3才能通过动态NAT上网 动态NAT的工作过程 根据拓扑图,配置动态NAT,基于地址池来实现私有地址(PC1和PC2的IP地址)和公有地址的转换 R1的公有地址池为100.1.1.101-100.1.1.105 PC1访问PC4时的地址转换,在R1的NAT转换表中出现临时的转换条目,PC1占用IP地址100.1.1.101 动态NAT的工作过程 根据拓扑图,配置动态NAT,基于地址池来实现私有地址(PC1和PC2的IP地址)和公有地址的转换 R1的公有地址池为100.1.1.101-100.1.1.105 PC1访问PC4时的地址转换,在R1的NAT转换表中出现临时的转换条目,PC1占用IP地址100.1.1.101 PC2访问PC4时的地址转换,在R1的NAT转换表中出现临时的转换条目,PC2占用IP地址100.1.1.102 动态NAT的配置步骤 定义IP访问控制列表(定义需要进行NAT地址转换的私有地址) (config)#access-list access-list-number { permit | deny } 定义一个地址池(定义进行NAT地址转换的公有地址) (config)# ip nat pool pool-name start-ip end-ip { netmask netmask | prefix-length prefix-length } 配置动态转换条目 (config)# ip nat inside source list access-list-number { interface interface | pool pool-name } 动态NAT的验证 PC1和PC2能ping通PC3 动态NAT的地址转换表 R1上使用命令show ip nat translations 可以查看NAT地址转换信息超载NAT
超载NAT的概念 超载NAT可以将公网地址的端口映射给内网地址的端口,实现多个私有地址映射为一个公有地址 超载NAT可以配置地址池,也可以直接使用外网接口的IP地址 如果直接使用外网接口的IP地址,多个内网机器访问外网时,会使用同一个外网地址的不同端口号进行访问 如下图,只配置了一个用于转换的外网IP地址(即G0/2的IP地址),通过超载NAT使PC1和PC2能ping通PC4,但对外来说,都是100.1.1.100的IP地址与外部进行通信 在锐捷RGOS平台,动态NAT默认开启超载功能 超载NAT的工作过程 如下图,描述PC1与PC2访问PC4的NAT转换过程 PC1的数据包到达R1后,将PC1的源端口与源IP映射为外网接口IP与它的一个端口号,替换为新的源IP与源端口 如下图,描述PC1与PC2访问PC4的NAT转换过程 PC1的数据包到达R1后,将PC1的源端口与源IP映射为外网接口IP与它的一个端口号,替换为新的源IP与源端口 PC2的数据包到达R1后,将PC2的源端口与源IP映射为外网接口IP与它的另一个端口号,替换为新的源IP与源端口 超载NAT的配置 超载NAT与动态NAT配置基本一致,唯一不同是必须要指定overload关键字 配置动态转换关键命令 (config)#ip nat inside source list access-list-number { interface interface | pool pool-name } overload超载NAT的验证
超载NAT的地址转换表 R1上使用命令show ip nat translations 可以查看NAT地址转换信息。服务器端口映射
服务器端口映射的应用场景 动态NAT与超载NAT适用于大量内网用户访问外网,但是外网用户却无法主动访问内网的主机 静态NAT虽然可以将内网服务器一对一映射到外网,但是浪费公网地址 企业中常有多种服务应用需要映射到公网,服务器端口映射可以使得这些服务都固定映射到同一个公网IP的不同端口 R1的配置 服务器端口映射的验证 验证映射的Telnet服务是否成功 PC3执行命令 telnet 100.1.1.100 R1上使用命令show ip nat translations 可以查看NAT地址转换信息。 1. (多选题)下列关于NAT的说法,正确的是() A. 静态NAT不适用于内网用户上网使用 B. 动态NAT的地址池中的IP在被映射时,等于完全租用给某个内网主机 C. 超载NAT适用于内网用户上网的场景,公网地址可以基于端口进行映射 D. 内网服务器向外网提供服务时,需要PAT进行映射,外网用户直接访问公网地址的某端口即可 2. (单选题) 路由器上关于某内网服务器有如下配置:ip nat inside source static tcp 192.168.1.4 8080 100.1.1.100 8080,并且内网口ip nat inside 和外网口 ip out side配置准确,关于以上命令说法错误的是() A. 192.168.1.4是内网服务器的IP地址 B. 8080表示该服务器对外提供服务的端口,在内网和互联网,都可以通过8080端口访问到相关服务资源 C. 100.1.1.100一定是该网络出口的公网IP地址 D. 100.1.1.100可能是该网络出口的公网IP地址,也可能不是 总结 NAT的产生背景:解决公网地址匮乏和私网地址访问互联网的问题 NAT的类型:静态NAT、动态NAT、超载NAT、端口映射NAT 讲解了不同NAT技术的工作原理、工作过程以及相关的配置实践4-1 NAT实验
第五章 广域网基础
5.1广域网基础
广域网简介
背景: 广域网是连接不同地区局域网或城域网计算机通信的远程网 通常跨接很大的物理范围,所覆盖的范围从几十公里到几千公里,它能连接多个地区、城市和国家,或横跨几个洲并能提供远距离通信,形成国际性的远程网络 为何需要WAN? 分支机构与总部机构需要 跨越运营商 实现数据互通 出差在外的员工需要 通过互联网 远程拨入公司,访问公司内网的数据资源 广域网并不等同于互联网 WAN技术概念 WAN技术主要集中在OSI参考模型中的第1层(物理层)和第2层(数据链路层) WAN物理层概念 WAN 物理层协议描述连接 WAN 服务所需的电气、机械、操作和功能特性(类似有线局域网的10M、 100M、1000M网线) WAN 物理层还描述了 DTE 和 DCE 之间的接口 DTE:数据终端设备,Data Terminal Equipment DCE:数据通信设备,Data Communicate Equipment WAN数据链路层概念 数据链路层(OSI 第 2 层)协议定义如何封装传向远程位置的数据以及最终数据帧的传输机制(类似以太网中的MAC地址) PPP、HDLC、 Frame Relay 帧中继网络现在基本已经淘汰广域网各种链路介绍
广域网链路类型分类: 电路交换 分组交换 VPN 专线 电路交换 在用户通信之前在节点和终端之间建立专用电路(或信道)的网络,常见的比如ISDN,PSTN等 传输介质主要是电话线,也可以是光纤 由于用户独占分配的固定带宽,因此使用交换电路传输数据的成本通常很高 分组交换(包交换) 分组交换将流量数据分割成数据包,在共享网络上路由 分为PVC(永久虚电路)和SVC(交换虚电路):其中PVC为永久建立的虚链路;SVC为按需建立的虚链路 常见的分组交换技术包含X.25、帧中继以及ATM VPN 运营商管理型VPN:2层MPLS_VPN、3层MPLS_VPN 由运营商承建并维护 企业管理型VPN:IPSEC VPN、GRE VPN、L2TP VPN 利用运营商网络,由企业内部承建并维护 专线 由运营商为企业远程节点之间的通信提供的点到点专有线路,用户独占一条速率固定的专用线路,并独享带宽 常见的专线技术包含DDN、SDH(如E1、T1、POS、ATM专线)、以太网专线(如MSTP、裸光纤) 专线:DDN线路 早期的数据通信使用的是电话交换网络,使用模拟信道传输数据。20 世纪九十年代由当时的邮电部在全国范围内建设了一张专用的数据传输网络——ChinaDDN(china Digital Data Network,中国公用数字数据网) 从运营商的DDN 业务网中为客户提供的数字信道连接,带宽一般为n*64Kpbs,n 为1-32(即64Kpbs— 2.048Mbps) 专线:SDH专线 SDH(Synchronous Digital Hierarchy,同步数字体系)是一种传输技术,将同步复接、线路传输及交换功能融为一体. 速率标准从64K 到10G。 常见的SDH 专线包括E1(2.048M)、E3(34.368M)、POS(155M、622M 、2.5G、10G)、CPOS等 专线:SDH( E1专线) E1 是从运营商的SDH/PDH传输网中为客户提供的数字信道连接,速率为2.048Mbps 在欧洲和中国等大部分国家使用,主要用于金融、政府行业的分支接入 常见接入线缆为V.35、RJ48以及BNC线缆 专线:SDH-POS专线 从运营商的SDH/PDH 传输网中为客户提供的数字信道连接,标准速率为155M(STM-1,OC3)、 622M(STM-4,OC12)、2.5G(STM-16,OC48)、10G(STM-64,OC192) 主要用于金融、政府行业汇聚端接入 常见接入线缆为光纤 CPOS 接口可以理解为一个多通道的 E1接口 可最大支持 63个 E1 线路,或者再细分成 N×64K 时隙的CE1链路 主要用于金融、政府行业汇聚端接入 常见接入线缆为光纤 专线:SDH-MSTP专线 MSTP从运营商的SDH传输网中为客户提供的数字信道连接,通过SDH传输网边缘的MSTP传输设备连接用户,用户的边界设备只要提供以太网的光口或者电。 主要用于金融、政府以及企业端接入 常见接入线缆为网线和光纤 总结 本章节主要讲解了广域网的基本概念,包括物理层和数据链路层的概念; 介绍了广域网的链路类型,包括:电路交换、分组交换、VPN和专线,并且详细介绍了每种广域网链路类型之下的典型链路5.2 PPP协议原理
PPP报文
背景: 点对点协议(Point to Point Protocol,PPP)为在点对点连接上传输多协议数据包提供了一个标准方法。 PPP 最初设计是为两个对等节点之间的 IP 流量传输提供一种封装协议。 PPP协议简介 广域网中的PPP协议: 通常使用在专线的点对点线路中,不需要使用MAC地址(MAC地址是以太网的内容) PPP与以太网一样工作在OSI模型的数据链路层,使用PPP协议封装数据 PPP 协议层次介绍 PPP协议层介绍: PPP协议包含两个子协议:链路层控制协议LCP、网络层控制协议NCP PPP协议的NCP部分上跨到了OSI参考模型的第三层,因此PPP还具有部分网络层的功能 PPP协议工作原理 PPP会话建立: LCP链路建立协商阶段 认证阶段(可选):PAP和CHAP两种认证方式 NCP网络层协议协商阶段协议结构、协商、认证
PPP会话建立协商过程 阶段1:LCP协商阶段 PPP会话建立协商过程 阶段2:身份认证阶段(可选) PPP会话建立协商过程 阶段3:IPCP协商阶段 小结 PPP协议通常工作在广域网的点对点链路中,PPP的通信无需MAC地址 PPP工作在OSI参考模型中的数据链路层,包含2个子协议,分别是LCP和NCP PPP会话建立有三个阶段,分别是LCP协商阶段、身份认证阶段(可选)、NCP协商阶段PPP配置
双方接口封装PPP Router(config-if)# encapsulation ppp 认证方配置对端的用户名和密码 Router(config)# username name password password 认证方配置PPP认证方式(启用PAP或者CHAP认证) Router(config-if)# ppp authentication {chap | chap pap | pap chap | pap} PPP典型配置案例(PAP单向认证) ppp authentication pap命令指定本地为验证方,验证方需要配置被验证方的用户名密码列表。 PAP认证,接口状态验证 PPP典型配置案例(PAP双向认证) ppp authentication pap命令指定本地为验证方,验证方需要配置被验证方的用户名密码列表。 接口状态信息验证 PPP典型配置案例(CHAP单向认证) ppp authentication chap命令指定本地为验证方,验证方需要配置被验证方的用户名密码列表。 接口状态信息验证 PPP典型配置案例(CHAP双向认证) ppp authentication chap命令指定本地为验证方,验证方需要配置被验证方的用户名密码列表。 接口状态信息验证 1. 下列对PPP协议的描述,错误的是哪一项?( ) A. 广域网中的PPP协议通常使用在专线的点对点线路中,需要使用MAC地址标识对端设备。 B. PPP协议工作在数据链路层 C. PPP协议包含两个子协议:链路层控制协议LCP、网络层控制协议NCP D. PPP在认证阶段可以用PAP和CHAP这两种认证方式 总结 PPP协议在广域网中的作用、PPP协议层次介绍;PPP 协议的工作原理,包括:PPP会话建立协商过程的内容;最后讲解了PPP协议基础配置的内容。实践5.1 PPP实验
第六章 WLAN基础
6.1 WLAN基础
背景:
目前无线网络已经广泛的出现在了我们日常的生活和工作中,因此掌握无线技术是从事网络技术工作的基本前提之一 无线局域网的概述 无线局域网 (Wireless Local Area Network,WLAN),指使用无线通信技术,将网络互联起来,构成可以相互通信和实现资源共享的无线网络体系。 WLAN是计算机网络技术与无线通信技术相结合的产物,其本质特点是:计算机与网络不通过通信电缆连接,而是通过无线方式连接。 早期各个厂商开发WLAN技术,只能提供1Mbit/s~ 2Mbit/s的带宽。尽管如此,无线技术还是得到了一定程度的应用,如零售业使用无线射频设备扫描条形码,对物品进行信息收集和统计;医院中使用无线射频设备对病人信息进行收集。 WLAN相关组织和标准 IEEE 美国电气与电子工程师学会,自1997年以来先后公告802.11、802.11b、802.11a、 802.11g、802.11ac等多个802.11协议相关标准 IETF 国际互联网工程任务组,是一个公开性质的大型民间国际团体,汇集了与互联网架构和互联网顺利运作相关的网络设计者、运营者、投资人和研究人员 RFC由IETF发布 Wi-Fi联盟 1991年,无线通信厂商联合成立无线以太网兼容性联盟(Wireless Ethernet Compatibility Alliance,WECA),后来更名为Wi-Fi联盟,和IEEE组织一起成为WLAN技术的标准制定推动者。 WAPI联盟 制定并推广 中国无线网络产品国标 中的安全机制标准WAPI,其包括无线局域网鉴别(WAI)和保密基础结构(WPI)两部分 WLAN工作组件 Station(工作站): 支持802.11的终端设备,比如安装无线网卡的PC,支持WLAN的手机,支持WLAN的PDA等,都属于Station范畴,简称STA Access Point(AP,接入点): 为STA提供基于802.11的无线接入服务,同时将无线的802.11 mac帧格式转换为有线网络的帧,相当于有线网络的无线延伸。 Wireless Medium(无线媒介): 802.11标准定义了2类物理层:射频物理层(2.4GHz和5GHz)和红外物理层。目前广泛应用的是射频方式 Distribution System(DS,分布式系统): 即将各个接入点连接起来的骨干网络,通常是以太网。 WLAN网络类型-独立型 一般是由几个STA组成的暂时性网络,所有STA地位平等,无需设置任何的中心控制结点; WLAN网络类型-基础结构型 需要AP提供接入服务,所有STA关联到AP上,访问外部以及STA之间交互的数据均由AP负责转发。 服务集 BSS(Basic Service Set,基本服务集),是802.11网络提供服务的基本单元。在一个BSS的服务区域内 (即射频信号覆盖的范围内),STA之间能够相互通信(AP1、STA1和STA2就是一个BSS)。 ESS(Extend Service Set,扩展服务集),由多个由多个使用相同SSID的BSS组成。 SSID (service set identifier,服务集标识符),用来标识BSS和ESS。 BSSID:基本服务集标识符,AP的MAC地址,不可修改; ESSID:扩展服务集标识符,通过AP广播出去,可修改。 无线漫游 单个AP的信号覆盖范围是有限的,用户在移动过程中,往往会出现从一个AP覆盖范围跨越到另一个AP覆盖范围的情况。 无线漫游技术可以保证用户在不同的AP之间切换时,网络不中断。 小结 WLAN是通过无线技术,实现了终端之间的信息共享和互联互通,摆脱了终端对于通信线缆的束缚,便利性大大增强; WLAN主要的标准和组织:IEEE、IETF、Wi-Fi联盟、WAPI联盟 WLAN的工作组件:STA、AP、媒介、分布式系统 WLAN的服务集,包含BSS和ESS,以及标识各自特征的BSSID和ESSID 无线漫游,保证用户在不同AP的覆盖范围之间切换时,网络不中断 波的基本概念 射频:即射频信号, 又称RF(Radio Frequency) ,表示可以辐射到空间的拥有一定发射频率的电磁波,依照波长的长短、频率以及波源的不同,电磁波谱可大致分为:无线电波、红外线、可见光、紫外线、X射线(伦琴射线)、γ射线。 波长:波长是指相邻两个有相同相位的点的距离,通常是相邻的波峰或波谷的距离; 振幅:在波动中距离平衡位置的最大位移,即波峰或波谷到平衡位置的最大位移(标量,非负值); 频率:1秒钟波形重复的数量,单位为赫兹; 相位:相对术语,两个同频波之间的关系 电磁波波长与频率的关系:光速=波长*频率 光速恒定,那么波长越长频率越小,反之亦然 频率越高,波长越小,通过不同物理介质衰减越快, 5G比2.4G信号的覆盖范围更小 无线电磁波传输 使用无线传输数据时,需要通过调制,将数字信号调制为电磁波信号,在空间中传输 接收方同样通过解调数据后,将信息组合为数据帧,这些都由物理层负责 无线电磁波传播模型 无线电磁波在传播过程中,能量不断减小,信号不断衰减 就像声音一样,离说话的人越近,听得越清楚,离说话的人越远,听得越模糊 电磁波传播行为损耗 空间传播损耗 吸收(穿透损耗):吸收是导致衰减的主要原因 反射:反射是导致802.11a/b/g无线局域网性能下降的罪魁祸首 散射:入射到粗糙表面的主信号被分解为多路反射信号,这将导致主信号的质量下降,甚至破坏接收信号 折射:在室外,射频信号通常会轻微向地球表面折射,然而大气的变化也可能导致信号远离地球 穿透损耗(吸收) 信号穿透损耗估测 反射损耗 当波撞击到一个比波自身更大的光滑物体时,波可能会往另一个方向传递,这种行为就是反射(Reflection) 反射是最重要的射频传播行为之一 室内的信号遇到金属家具、文件柜和金属门、墙体会造成反射; 室外的信号遇到水面和大气层会发生反射。 多径现象 信号在传播链路中发生反射、散射、衍射 到达接收端的信号往往是多个幅度和相位各不相同的信号的耦合,接收信号与原始信号相比出现随机变化 多径现象是导致无线局域网性能下降的主要原因 折射损耗 射频信号还会发生弯曲,即折射(Refraction) 折射的直接定义就是射频信号在穿越不同密度媒介时发生弯曲,致使波传播方向发生变化 由于大气影响的结果,射频折射现象经常发生,对室外项目影响较大 功率的概念以及单位 单位时间内辐射出的能量定义为功率 ,单位是W AP220-E设备标称功率为100mW,是指AP通过天线可以每秒辐射出100mW的能量。 在无线应用中,我们经常听到的功率单位是dBm而不是W或者mW。 dB (Decibel,分贝) 是一个纯计数单位,本意是表示两个量的比值大小,没有单位。 dB= 10*lg(A/B) dbm即为对于1mw功率的比值大小。100mW的功率,按dBm单位进行折算后的值应为: 10lg(100mW/1mw)=10lg(100)=20dBm。 一些常见的dB值 3db=2,5db=3,7db=5,10db=10,0db=1 dB的加运算即等于普通数的乘运算。 500mw=5*10*10*1mw=7+10+10+0dbm=27dbm 30mw=3*10*1mw=5+10+0dbm=15dbm mW与dBm的换算 为什么要用dB来描述功率呢? 原因是dB能把一个很大(后面跟一长串0的)或者很小(前面有一长串0的)的数比较简短地表示出来。 X = 1000000000000000(多少个0了?)= 10logX = 150 dB X = 0.000000000000001 (多少个0 了?)= 10logX = -150 dB -75dbm等于多少mW? -75dbm=(0-5-10-10-10-10-10-10-10)dBm=1/3/10/10/10/10/10/10/10=0.3×10 -7 接收灵敏度 无线传输的接收灵敏度类似于人们沟通交谈时的听力, 即STA或AP解调出信号所要求的最低信号强度。 一般来说AP的接收灵敏度为-85dBm,甚至达到-105dBm,而STA的接收灵敏度一般在-75dBm WLAN的底噪(环境噪声)为-95dBm,因此信号强度如果低于-95dBm的话,这样的信号就等同于噪声 RSSI (Received Signal Strength Indicator)用来衡量接受灵敏度的指标。 RSSI=X+(-95dBm) RSSI=30,意味着接受灵敏度为为-65dBm WLAN产品辐射 很多的研究已经证明,WLAN产品可以在家庭及商业中使用,对人体来说是安全 典型的WLAN产品输出功率为100mw,对于网卡来说,通常只有10mw至50mw 手机的发射功率在通话时可以超过1W,而无线对讲机甚至可以达到5W 太阳常数,1370W 政府有相关的法令对发射功率进行严格的限制,因此通过政府相关部门认证过的无线设备对人体是无害的 小结 无线电磁波的基本概念,波长、振幅、频率、相位等; 无线电波在传输过程中,因为穿透、反射、散射、衍射和折射等情况,都会造成信号的衰减 无线功率的定义和计量单位dBm、接收灵敏度等 无线设备的辐射强度是非常小的,对人体无害WLAN技术基础及协议标准
6.2 无线典型组网
组网模式介绍
无线组网模式分为胖模式和瘦模式两种,不同的场景之下需要选择不同的组网模式 AP的瘦模式和胖模式组网之下,设备的配置大有区别 基本概念介绍 AC:无线网络控制器。在瘦AP架构的WLAN网络中扮演管理AP的角色 AP:无线访问接入点。在瘦AP架构的WLAN网络中提供接入服务,通常分布在无线网络服务区的多个地方,用于覆盖该服务区,提供无线服务 POE交换机:对AP进行供电,以及数据传输 STA:无线访问站点。带有无线网卡的终端。胖AP组网模式和配置
胖AP概述 FAT AP俗称“胖AP”,下文也称“胖AP” 胖AP的特点: 将WLAN物理层、数据加密、认证、QoS、网络管理、L2漫游集于一身 通常AP都会有单独的网页或者命令行配置页面 用户使用时,无需其他附属设备,采用单独的AP即可提供无线接入功能,组网相对简单 胖AP组网模式 胖AP组网模式 家庭或者SOHO(Small Office and Home Office)组网通常采用胖AP的组网方式;每个AP需要单独的配置操作,出现网络问题需要单独进行排查。 传统的企业无线网采用的是胖AP的组网模式,管理操作极为困难。 大型的胖AP组网中,可使用MACC进行统一的管理操作。瘦AP组网模式和配置
瘦AP概述 FIT AP俗称“瘦AP”,下文也称“瘦AP” Access Controller:无线控制器,对AP进行统一管控 接入管理,认证安全,报文转发,射频管理,漫游等 瘦 AP的特点: 集中管理,配置统一下发 射频统一优化管理 安全认证策略全面 L2、L3漫游,适合大规模组网 瘦AP组网模式 瘦AP在使用中必须和AC配合使用 瘦AP负责无线接入、加密、认证中的部分功能 射频管理、用户接入、AP控制,漫游控制都在无线控制器上完成 AC通过和AP之间建立CAPWAP隧道来控制和管理AP 组网模式优劣势比较 胖 AP与瘦 AP组网模式优劣势比较 小结 胖模式和瘦模式组网的特点 胖模式和瘦模式组网的优劣势对比实践6-1 无线组网实验
版权声明:本文标题:RCNA 锐捷培训 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1725918890h892656.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论