笔记
OSI参考模型
OSI 7层参考模型和TCP/Ip的四层模型的区别
每一层的数据呈现特点:数据——段——包(网络层)——帧(数据链路层)——比特流
TCP三次握手
TCP的建立 - 三次握手:SYN和ACK
TCP建立过程中的三次握手可以形成DOS攻击(拒绝服务攻击),DDOS(分布式拒绝服务攻击)
TCP的序列号与确认序列号 作用:
(1)TCP建立链接:确认序列号是序列号+1,保证TCP链接的可靠性。
(2)TCP传输过程:后续确认号是前一个报文的序列号+有效载荷,保证TCP链接的连续性。(有利于滑动窗口的计算)。
TCP的滑动窗口机制:控制传输速率(TCP协议中的Windows大小可以动态反映接收端的接收能力或缓存大小)、防止重放类型的攻击。
**TCP****的关闭 – 四次挥手:**TCP是全双工工作模式,注意第二次挥手,全双工模式只是单方向断开,发送方还可以发送数据。注意第四次挥手后会有超时等待时间,确保最后一次的ACK报文能及时到达接收方。
TCP协议和UDP协议的区别?
TCP:面向链接(电话),场景要求 丢包少 数据重要性,FTP,HTTP 文件传输,WEB页面
UDP:无链接(信件),场景要求 丢包多 数据不太重要 TFTP 语音 视频,VPN,VxLAN
ARP协议
ARP协议的工作过程:IP地址映射成MAC地址的过程。(1)查找自己的ARP缓存,有则单播发送,无则目的MAC填0,发送给交换机,交换机做广播。(2)接收方发现自己的IP能够匹配,则把发送方的MAC和IP记录在自己的缓存中,并向发送方发送相应ARP请求报文,响应报文中包含自己的MAC和IP,交换机单播发送给发送方。(3)发送方接收到响应报文,把对应MAC和IP记录在自己的缓存中,后续则单播发送数据帧。
RARP:反向地址解析协议,MAC地址映射成IP地址的过程。
IPv4协议字段
Ipv4协议字段主要内容如下:
Version:4 bit,4:表示为IPv4;6:表示为IPv6。
Header Length:4 bit,首部长度,如果不带Option字段,则为20,最长为60。
Type of Service:8 bit,服务类型。只有在有QoS差分服务要求时,这个字段才起作用。
Total Length:16 bit,总长度,整个IP数据包的长度。
Identification:16 bit,标识,分片重组时会用到该字段。
Flags:3 bit,标志位。
Fragment Offset:12 bit,片偏移,分片重组时会用到该字段。
Time to Live:8 bit,生存时间。
Protocol:8 bit,协议:下一层协议。指出此数据包携带的数据使用何种协议,以便目的主机的IP层将数据部分上交给哪个进程处理。
常见值:
1: ICMP, Internet Control Message;
2: IGMP, Internet Group Management;
6: TCP , Transmission Control Protocol;
17: UDP, User Datagram Protocol。
Header Checksum:16 bit,首部检验和。
Source IP Address:32 bit,源IP地址。
Destination IP Address:32 bit,目的IP地址。
以太网最大传输单元(MTU):1500字节,当一个数据包总长度超过1500,就需要进行分片处理。
ping 192.168.0.1 –l 2000
有以上的命令,2000表示应用层载荷,数据总长度是2000+8+20=2028,需要进行分片,并且每一个分片有单独的IP头部。
第一片:总长度 1500 标志位:001 偏移量:0
第二片:总长度 548 标志位:000 偏移量:1480
ICMP协议的类型:0、3、5、8 响应、差错报告、重定向、请求
默认路由(缺省路由),通常应用场景是只有一个出口的情况下使用,可以通过手工配置,也可以通过动态路由(OPSF、ISIS)在特殊的场景中自动生成。
动态路由分类
分类1:按照动态路由协议所在的AS(自治系统)的范围:AS内 IGP(内部网关路由协议),AS外 EGP(外部网关路由协议)
IGP:OSPF、ISIS、RIP(淘汰)
EGP:BGP
分类2:协议算法的类型:链路状态 距离矢量
链路状态:OSPF、ISIS,触发更新,更新的是链路状态(LSA、LSP),通过邻居之间传递的LSA形成稳定的LSDB(链路状态数据库),再根据SPF算法(最短路径树)以自己为根节点,生成无环的树型结构,则是该路由器的路由表,可以反映出全网的状态。
距离矢量:RIP(路由器作为跳数)、BGP(AS作为跳数),周期性更新,更新是路由表,只能够知道邻居路由器而无法得知全网状态。
OSPFv2 IPv4,OSPFv3 IPv6
支持Ipv4和Ipv6的OSPF是两个不同的协议版本,其余ISIS、BGP等动态路由协议均可以支持Ipv4和Ipv6,且是一个版本。
OSPF协议生成过程
(1)建立邻居关系;(2)LSA泛洪,以形成稳定的LSDB;(3)以自己为根,通过最短路径树算法(迪杰思卡尔)生成树型结构;(4)通过生成的最短路径树计算出路由表。
RouterID:是唯一标识OSPF中的路由器,可以手工指定,也可以自动选举,首选选举路由器的LoopBack接口IP地址最大,若无LoopBack接口则选择路由器所有物理接口中IP地址最大。
DD报文为什么是本地LSDB的摘要信息,而不是完整的LSA?
OSPF协议的三种表项:邻居表、LSDB链路状态数据库表、路由表
邻居关系建立的完整过程:
Init:某个路由器A发现了其它路由器B的存在,但是路由器B还没有发现A。
2way**:**路由器彼此都发现了对方的存在。由Init到2WAY状态需要3个Hello包的交换。并且2way是一个稳定的状态。
EX-start:协商主从关系,RouterID大者为Master,准备开始交互DD报文。
Exchange:彼此交互DD报文,用于描述自己拥有那些链路状态。注意:交换的仅仅是DD(摘要信息)。
Loading:LSR(链路状态请求)、LSU(链路状态更新,发送完整的LSA)、LSAck(链路状态确认)
Full**:**LSDB(链路状态数据库)同步,并且Full也是一个稳定的状态。
2Way状态叫做邻居状态;Full状态叫做邻接状态
DR路由器、BDR路由器、DRother路由器
DR和BDR,DR和Drother,BDR和Drother之间都是Full状态
Drother之间是2way状态
OSPF的有四种网络类型,Broadcast(广播型)、NBMA(非广播多路访问)、P2MP(点到多点)和P2P(点到点)
Broadcast(广播型)、NBMA(非广播多路访问)统称为MA网络。
DR和BDR的选举只在MA网络类型中存在。选举首先比较接口的优先级,大者为DR,次大者为BDR,其它为Drother,若优先级一样,则比较接口IP,大者优先。
选举是非抢占式的(在已经有DR和BDR存在且稳定的OSPF网络中,即使新加入的路由器优先级最大,也不会立刻成为DR,当需要做下一次选举是才会被选举成DR,这样做的目的是提高OSPF网络的稳定性)。
存在DR和BDR的网络,DR和BDR之间,其它路由器和DR之间,其它路由器和BDR之间均建立稳定的邻居关系(停留在Full状态,邻接状态),其它路由器之间也建立稳定的邻居关系(停留在2way状态,邻居状态,不会往下在发展成为Full状态)
2Way状态叫做邻居状态;Full状态叫做邻接状态
OSPF的单区域不适合大型网络,因为只有一个区域则路由器的负担过重,资源消耗太大。为了优化,则需要分为多个区域,以减少路由器负担。但是必须有区域边界路由器(ABR)连接相邻区域,以交互相邻区域的链路状态。若OSPF连接了外部网络,则连接外部网络的路由器(ASBR)用于交互外部网络的路由。
虚链路:多区域的的OSPF原则上是所有非骨干区域都要和Area0区域直连,若不能直连则可以通过虚链路解决。需要在两个ABR上配置。虚链路的应用场景:(1)解决不能和骨干区域直连的区域,通过虚链路直连到骨干区域。(2)解决骨干区域有可能不形成一个整体区域的情况。
以太帧的格式有两个标准:Ethernet_II格式和IEEE 802.3格式。
Type上层协议通常类型是:
0x0800:Internet Protocol Version 4 (IPv4) ;
0x0806:Address Resolution Protocol (ARP) 。
MAC地址前3个字节,24个Bit是厂商代码,固定的。组播和广播的MAC除外。
广播MAC是全1,FF-FF-FF-FF-FF-FF
单播MAC地址第1个字节的最后一个二进制为0
组播MAC地址第1个字节的最后一个二进制为1
泛洪:交换机收到未知单播帧,或者收到一个广播帧。
转发:交换机收到已知单播帧。
丢弃:交换机收到一个单播帧,若单播帧效验错误,或该帧的出接口既是入接口,也会丢弃。
8021.Qtag(VLAN标签):插入位置,帧头部和IP头部之间。
VLAN标签中由3个Bit用来标识优先级,Qos,PRI字段
Hybird接口是华为设备专属接口类型,Access接口用于连接终端,Trunk接口用于连接设备(交换机、路由器、防火墙),而Hybrid接口终端和设备均可以连接,华为交互机默认接口类型既是Hybrid类型。
Hybrid接口和Trunk接口在发送数据帧的时候唯一区别是:Trunk接口只能允许某个(唯一)VLAN不带标签发送。Hybrid接口可以允许多个VLAN不带标签发送。Hybrid接口发送和接收数据帧的其它情况和Access、trunk一致。
二层网络中为什么会引入STP?二层协议不具备解决环路的问题,三层协议例如RIP(水平分割、触发更新、毒性反转)、OSPF(协议设计本身)、ISIS(协议设计本身)、BGP(as-path…)等路由协议本身就具备解决环路的能力。
STP协议(通用生成树协议):交换机之间运行STP,最终会阻塞某个或某些端口,从而在逻辑上解决物理环路的问题。当其余链路出现故障,阻塞的端口又恢复转发,从而提高二层网络的稳定性。
二层环路带来的问题:
1、 广播风暴
2、 MAC地址漂移
STP:通用生成树(只针对VLAN1)
RSTP:快速生成树
MSTP:多生成树(存在于有多个VLAN的场景)
STP的工作过程
STP相关选举
1、选举根网桥(交换机):网桥ID(网桥优先级+MAC地址),优先级取值为0-65535,默认值为32768,通常为4096倍数。越小越优先
2、选举根端口(Root):在所有非根网桥(交换机)上选举1个接口作为根端口。选举依据如下:
- (1)根路径开销。一定是从根桥到该交换机接口的路径上所有入方向接口开销之和。越小越优先。
- (2)对端交换机的桥ID
- (3)端口ID。优先级+端口编号,优先级0-255,默认128,16倍数。越小越优先。比较的是对端交换机的端口ID。
3、选举指定端口(DESI):在所有链路上未指定端口状态的端口上选举,默认根桥的所有端口均是指定端口。其余端口选举依据如下:
- (1)根路径开销。一定是从根桥到该交换机接口的路径上所有入方向接口开销之和。越小越优先。
- (2)所在交换机的桥ID
- (3)端口ID。优先级+端口编号,优先级0-255,默认128,16倍数。越小越优先。比较的是所在交换机的端口ID。
4、未被选举的端口既是阻塞端口(ALTE)。
BPDU报文:STP协议工作的主要报文。
(1)配置BPDU:只在初始状态选举STP根桥、根端口和指定端口时使用。当网络拓扑稳定后,不再使用。
(2)TCN BPDU:只在网络拓扑发生变化,需要把变化的内容通知给根桥的时候使用。
BPDU Type:0x00,则表示本报文为配置BPDU;0x80,则为TCN BPDU
Flags:最低位是TC(Topology Change,拓扑变更)标志,最高位是TCA(Topology Change Acknowledgment,拓扑变更确认)标志。
Max Age:最大老化时间,20S
Hello Time:发生间隔时间,2S
Forward Delay:转发延迟,15S
行STP协议的设备上端口状态有5种:
Forwarding:转发状态。端口既可转发用户流量也可转发BPDU报文,只有根端口或指定端口才能进入Forwarding状态。
Learning:学习状态。端口可根据收到的用户流量构建MAC地址表,但不转发用户流量。增加Learning状态是为了防止临时环路。
Listening:侦听状态。端口可以转发BPDU报文,但不能转发用户流量。
Blocking:阻塞状态。端口仅仅能接收并处理BPDU,不能转发BPDU,也不能转发用户流量。此状态是预备端口的最终状态。
Disabled:禁用状态。端口既不处理和转发BPDU报文,也不转发用户流量。
| 接收PBDU | 发送BPDU | 学习MAC地址 | 转发用户数据 | |
|---|---|---|---|---|
| 禁用 | X | X | X | X |
| 阻塞 | √ | X | X | X |
| 侦听 | √ | √ | X | X |
| 学习 | √ | √ | √ | X |
| 转发 | √ | √ | √ | √ |
根桥故障恢复时间:50S,老化时间20S,2倍转发延迟30S
直连故障恢复时间:2倍转发延迟30S,可以立刻感知故障的发生。
非直连故障恢复时间:50S,老化时间20S,2倍转发延迟30S
MAC地址表的错误:MAC地址表的老化时间300S,远大于交换机的状态恢复时间。这个时间差有可能导致数据帧不能正确的发送。解决的方法是通过TCN BPDU、TCA置位消息、TC置位消息。当交换机感知到拓扑发生变化,立刻发送TCN BPDU给上游,上游收到下游的TCN BDPU之后,会给下游发送TCA置位消息,告知下游已收到拓扑发生变化的情况,并且转发TCN BPDU给根桥,根桥收到TCN BPDU,会向下游发出TC置位消息。下游逐级转发给二层网络中的其它交换机。收到TC置位消息的交换机会立刻刷新自己的MAC地址表,而无需等待原有的300S老化时间。
STP、RSTP、MSTP:实际组网很少用,实际组网一般采用交换机的堆叠和集群使用,因为交换机的堆叠和集群本身在物理上解决了环路问题,而又起到了冗余和备份效果。
VLAN间通信
(1) 路由器的子接口:每个路由器若给一个VLAN提供一个物理接口去实现网关在实际应用中不现实,则用一个物理接口的若干子接口实现。特别注意子接口需要封装和解封装对应的VLAN标签,子接口需要开启ARP广播功能。交换机侧和路由器连接的接口需要放行所有VLAN通过。
(2) 三层交换机的VLAN虚接口:配置VLAN虚接口的IP地址为该VLAN的网关即可。
三层交换机的接口和路由器直连,该三层交换机的接口需要包装在一个VLAN中,在给VLANIF接口配置IP。
链路聚合和交换机堆叠、集群:STP虽然能去掉环路,但是STP牺牲某个链路影响了带宽的容量。链路聚合和交换机堆叠、集群即解决了环路问题,又提升了网络带宽的容量。
链路聚合:
• 手工方式:正常情况下所有链路都是活动链路,该模式下所有活动链路都参与数据的转发,平均分担流量,如果某条活动链路故障,链路聚合组自动在剩余的活动链路中平均分担流量。手工创建了聚合逻辑口之后,所有的配置(端口类型、端口的VLAN、PVID等)均在聚合逻辑口上完成,不应该在原有的物理接口上配置。
• 、LACP协议方式:采用LACP协议的一种链路聚合模式。设备间通过链路聚合控制协议数据单元(Link Aggregation Control Protocol Data Unit,LACPDU)进行交互,通过协议协商确保对端是同一台设备、同一个聚合接口的成员接口。
交换机的堆叠和集群:
堆叠(iStack):多台支持堆叠特性的交换机通过堆叠线缆连接在一起,从逻辑上变成一台交换设备,作为一个整体参与数据转发。
集群(Cluster Switch System,CSS ):将两台支持集群特性的交换机设备组合在一起,从逻辑上组合成一台交换设备。
集群只支持两台设备,一般框式交换机支持CSS,盒式交换机设备支持iStack。
堆叠和集群、链路聚合是有效解决中大型网络交换部分的生成树和网络冗余稳定性之间的矛盾问题。
ACL的类型:
基本ACL:2000-2999:源IP
高级ACL:3000-3999:源IP、目的IP、协议、端口等。。。
二层ACL:4000-4999:MAC地址
华为ACL语句末尾隐含一条拒绝所有的规则,其它厂商例如思科的ACL语句末尾隐含一条允许所有的规则。
ACL匹配规则从上往下执行,所以需要把更精细控制的语句(网段的包含、协议的包含)放在前面。
Rule deny source 192.168.0.0 0.0.255.255
Rule permit source 192.168.1.0 0.0.0.255
Rule deny tcp souce any dest any
Rule permit icmp source any dest any
match-order config 和 auto的匹配顺序,config按照语句编写顺序匹配,auto会自动按照匹配的精细度自动调整语句顺序,和书写顺序无关。默认config模式。
高级ACL语句的常见使用参数和场景:
例1:rule permit ip source any destination any precedence
例2:rule permit ip source any destination any tos
IP协议的precedence和tos参数表示报文优先级,precedence范围0-7,tos范围0-15。
例3:rule permit tcp source any destination 192.168.1.1 0 destination-port eq 8080
TCP协议常见使用场景是控制端口,eq等于,gt大于,lt小于,range范围区间
例4:rule permit icmp source 192.168.1.1 0 destination 192.168.1.2 0 icmp-type echo
ICMP协议常见使用场景是ICMP-type参数,echo表示请求报文,echo-reply表示响应报文。
ACL用作包过滤对于设备自身的流量不起作用。
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。通常可以部署在本地或远端服务器。若部署在远端服务器需要Radius协议支持。
AAA支持的认证方式有:不认证,本地认证,远端认证。
AAA支持的授权方式有:不授权,本地授权,远端授权。
AAA支持的计费方式有:不计费,远端计费。
NAT****的场景需求:内网是私有网段,外网是公有网段,私有网段禁止在公网中路由。要实现内网用户访问公网,则需要在边界设备做NAT转换。通常的场景是内网路由、外网路由相互独立互通,若要让内网数据能够到达外网,则需要使用默认路由在内网中指向边界设备,或把外网路由注入到内网中。严格禁止把内网路由注入到外网。然后在边界设备使用NAT进行私有地址和公有地址转换,在依靠公网路由达到公网访问的节点。同样,回程的数据也依靠公网的路由回到边界设备,在边界设备由于已经有NAT转换,再由边界设备把公网地址映射成私网地址依靠内网路由回程到始发点。
NAT的类型:
静态NAT:一对一转换。并没有起到节约公网地址的效果,不常用。
动态NAT:一对多转换(并未使用端口复用)。但是同一时刻,也只能有一个私网地址和公网地址映射,任然没有起到节约公网地址的效果,不常用。
NAPT:一对多转换(使用端口复用)。多个私网地址可以和同一个公网地址映射,使用不同的端口区分。起到节约公网地址的效果,常用。端口范围1025-65535,0-1024是静态端口号,不能用于NAT动态转换。
EasyIP:在NAPT的基础上直接使用边界设备出口IP进行端口复用,而无需建立公网地址池。常用。
NAT-server:外网需要访问内网主机(内网服务器)使用。常用。
FTP文件传输:TCP协议建立连接
两种传输模式:二进制(非文本)、ASCII(文本)
两种工作模式:主动模式(客户端向服务器(21端口)主动发起控制连接请求,并主动告知服务器自身的活动端口,服务器再由自身的数据传输端口(20端口)向客户端发起数据连接请求),被动模式(和主动模式的区别主要在于被动模式是客户端向服务器端发起数据连接请求,而主动模式则相反)。
TFTP文件传输:UDP协议建立连接,无认证等内容,传输的数据可靠性和丢包率要求不高。
DHCP报文类型:
DHCP Discover(广播)、Offer(单播)、Request(广播)、Ack(单播)
DHCP的服务器和客户端没有在一个广播域,则客户端的Discover报文并不能直接发现服务器存在,需要使用DHCP中继。
WLAN技术
WLAN的两种架构(企业级)
胖模式FAT:每一个AP(无线信号收发节点)是一个独立的工作单元。
瘦模式FIT:每一个AP可以在AC(AP的集中控制设备)的统一管理下进行工作,可以实现WLAN的漫游。
CAPWAP协议:AC集中统一管理AP的协议。
组网方式:二层组网(AC和AP在同一个二层网络,一个广播域,适合小型WLAN)、三层组网(AC和AP跨越了广播域,适合中大型WLAN,常用)。
连接方式:直连(AC和AP串联在一起,数据的转发会经过AC节点,部署简单,但是对AC的要求较高)、旁挂(AC和AP未串联,数据的转发不经过AC节点,部署较复杂,对AC的要求不高,常用)
SSID:服务集的标识符
VAP:由AP虚拟的服务集,一个AP可以虚拟多个VAP,若只有一个VAP,也需要配置虚拟的服务集。
ESS:扩展服务集,由多个AP构成一个SSID,实现终端的漫游功能。
工作过程
1、AP上线:静态方式和DHCP方式获得IP地址。二层组网AP可以直接发现DHCP服务器,三层组网需要另外设置DHCP服务中的Option43参数,该参数需要指定AC所在的三层网络IP地址。
2、建立CAPWAP隧道,指定该隧道的源接口地址(通常是某个VLAN)
3、AP接入控制:通常采用MAC地址认证方式完成。
4、完成配置业务的下发:模板。
域管理模板:设置国家代码,CN,名称不用配置,采用default默认模板。
射频模板:信道调优
VAP模板:需要包含SSID和安全模板
SSID模板:设置WLAN服务集标识符(WIFI名称)
安全模板:设置加密方式和秘钥(WIFI密码)
VAP模板、射频模板、域管理模板三个需要包含在AP组中。
| AP****组 |
| 域管理模板:设置CN代码 |
VAP模板:业务VLAN转发模式
| 射频 |
| SSID****模板: WIFI 名称 |
| 安全模板: WIFI****密码 |
| 配置AC源接口 |
| MAC****地址导入AP |
VLAN POOL**:把多个VLAN集中规划到一个VLAN**地址池中,通过相应算法(顺序分配算法、HASH分配算法)自主给用户分配VLAN,解决用户量大量集中,出现门厅效应的场景。
顺序分配算法:优点,每个VLAN均匀分配,缺点,用户下线在上线可能变更VLAN和IP。
HASH分配算法:优点,根据用户特定信息计算的HASH值是固定的,一般情况用户下线再上线分配的VLAN和IP不变,缺点,可能VLAN地址池中VLAN分配用户不均。
DHCP在大型WLAN组网的应用:(1)DHCP中继Option82;(2)DHCP的Option43(Ipv4)、Option52(Ipv6)字段的作用。
漫游技术:用户切换AP实现业务不中断的一种方式。要求AP之间有相同的SSID、安全模板参数和认证参数。
HAC(Home AC)家乡AC;HAP(Home AP)家乡AP
FAC(Foreign AC)外部AC;FAP(forgien AP)外部AP
二层漫游:漫游前后的VLAN属于同一VLAN
三层漫游:漫游前后的VLAN属于不同VLAN
二层漫游直接转发,二层漫游隧道转发:由于二层漫游同属一个VLAN,所以漫游后的业务流量通过FAC或FAP转发,不需要进行家乡代理(业务流量返回到HAC或HAP转发的模式)
三层漫游直接转发:**HAC和HAP之间不经过隧道,**无法判断是否在同一个VLAN中,所以需要回到家乡代理。HAC代理、HAP代理。
三层漫游隧道转发:HAC和HAP经过隧道,可以把HAC和HAP理解成一个整理,所以回到家乡代理无需转发到HAP,之间在HAC即可代理转发。
可靠性:(1)VRRP双机热备;(2)链路双机热备;(3)N+1备份
WLAN准入技术:802.1X认证、MAC认证和Portal认证
PPP协议
PPP协议分为三种:
LCP(链路控制协议):LCP协议
NCP(网络控制协议):IPCP是NCP协议中常用的一种类型
安全协议(可选):PAP、CHAP
建立PPP链路的流程:先进行LCP协商、再进行认证协商(可选)、最后进行IPCP协商
LCP协商:协商报文(Configure-Request、Configure-ACK、Configure-NAK(协商参数不一致、调整参数)、Configure-Reject(协商的参数不识别、删除参数))
协商内容:MRU(最大接收单元、通常和MTU最大传输单元的值相同),认证协议(PAP、CHAP)、魔术字(随机数、防环)
NCP协商:协商IP地址是否合法,PPP广域网链路不是直连的。静态协商,需要手工配置路由器接口IP。动态协商:路由器的一端可以为对端配置IP地址,建议用30的掩码。
PAP认证:2次握手,密码会明文传输,不安全。
CHAP认证:3次握手,需要认证方和被认证方进行哈希效验,通过对比哈希效验的MD5结果进行认证,较安全。
PPPoE(PPP over Ethernet,以太网承载PPP协议)是一种把PPP帧封装到以太网帧中的链路层协议。PPPoE可以使以太网网络中的多台主机连接到远端的宽带接入服务器。PPPoE集中了PPP和Ethernet两个技术的优点。既有以太网的组网灵活优势,又可以利用PPP协议实现认证、计费等功能。
SNMP:(Simple Network Management Protocol,简单网络管理协议)是广泛用于TCP/IP网络的网络管理标准协议。
NMS:网络管理单元(网关服务器)
MIB:是一个数据库,指明了被管理设备所维护的变量(即能够被代理进程查询和设置的信息)
SNMPv1:Get(查询请求)、GetNext(下一条查询请求)、Set(设置请求)、Response(响应)、Trap(告警)
SNMPv2C:在V1版本基础上增加了两种报文,GetBulk(相比V1版本的Get和GetNext,起到批量查询的作用),Inform(类似V1版本的Trap告警,区别在于V1版本的Trap告警后无需服务器响应,而V2C版本的Inform报文则需要服务器响应)
SNMPv3:工作原理和过程类似V1和V2C版本,增加了认证环节,提高了安全性。
SNMPv1版本适用于小型网络。组网简单、安全性要求不高或网络环境比较安全且比较稳定的网络,比如校园网,小型企业网。
SNMPv2c版本适用于大中型网络。安全性要求不高或者网络环境比较安全,但业务比较繁忙,有可能发生流量拥塞的网络。
SNMPv3版本作为推荐版本,适用于各种规模的网络。尤其是对安全性要求较高,只有合法的管理员才能对网络设备进行管理的网络。
IPv6:DHCPv6、OSPFv3、ISIS、BGP、ICMPv6
Ipv4:DHCP、OSPF、ISIS、BGP、ICMP
Ipv6和Ipv4的区别:
1、地址空间。32bit和128bit
2、报文格式:Ipv4是固定报头(20B),Ipv6是固定报头(40B)+扩展报头。
3、地址类型:Ipv4(单播、组播、广播),Ipv6(单播、组播、任播),Ipv6中的广播功能被Ipv6组播替代。
4、地址配置:Ipv4(静态、DHCP),Ipv6(静态、DHCPv6、无状态地址自动配置(SLAAC))
5、地址冲突检测和地址解析:Ipv4通过免费ARP进行地址冲突检测,通过ARP进行地址解析,Ipv6通过ICMPv6协议进行地址冲突检测和地址解析。
6、地址分类:Ipv4(A、B、C、D、E),Ipv6无地址分类概念。
7、单播地址概念:Ipv4(公有地址、私有地址),Ipv6(全球单播地址、唯一本地地址、链路本地地址)。全球单播地址类似公有地址、唯一本地地址类似私有地址、链路本地地址类似169.254.0.0/16的Ipv4地址区间,链路本地地址在Ipv6中是常用的。Ipv4环境下的接口只能配置一个Ipv4地址,Ipv6环境下的接口可以同时配置两个地址(全球单播地址+链路本地地址;或者是唯一本地地址+链路本地地址)
8、设备的接口只能配置Ipv4的一种地址,而可以配置多个Ipv6的不同类地址,通常是一个接口即可以配置全球单播地址,也可以配置链路本地地址,或一个接口即可以配置唯一本地地址,也可以配置链路本地地址。
IPv6地址的长度为128 bit。一般用冒号分割为8段,每一段16 bit,每一段内用十六进制表示。
2001:0DB8:2345:CD30:1230:4567:89AB:CDEF/64
缩写规则(缩写后可以唯一还原128Bit):
(1)每组16 bit的单元中的前导0可以省略,但是如果16 bit单元的所有比特都为0,那么至少要保留一个“0”字符;拖尾的0不能被省略。
(2)一个或多个连续的16 bit字符为0时,可用“::”表示,但整个IPv6地址缩写中只允许有一个“::”
例如:
2001:0000:0000:0000:2A2A:0000:0000:0001
2001:0:0:0:2A2A:0:0:1
2001::2A2A:0:0:1
2001:0:0:0:2A2A::1
Ipv6地址:网络前缀+接口标识
接口标识除了手工配置外,最重要的是依据EUI-64的规范自动生成。
EUI-64的规范:由48bit的MAC地址自动生成64bit的接口标识。在MAC地址的中间(第24bit之后)插入16bit的二进制值(FFFE 1111111111111110),并且MAC地址的第7位取反。
例如:某个接口的MAC是 00e0-fc82-40e4,按照EUI-64规则,生成的接口标识是:02e0:fcff:fe82:40e4
Ipv6的地址配置:
1、手工配置。
2、有状态的自动获取(DHCPv6):(1)自动获取网络前缀+自动获取接口标识,针对全球单播地址(2)自动获取网络前缀+EUI-64规范生成接口标识
3、无状态的自动获取:接口标识通过EUI-64规范自动生成,针对链路本地地址,网络前缀可以通过ICMPv6的报文(RS、RA)请求。
Ipv6的重复地址检测(DAD检测):通过ICMPv6的报文(NS、NA)进行。
Ipv6的地址解析(Ipv6的地址和MAC地址的映射):通过ICMPv6的报文(NS、NA)进行。
IPv6配置要点:
(1)全局开启ipv6功能,并在接口使能Ipv6功能。
(2)ipv6 address auto (DHCP、global、link-local)DHCP配置通过DHCP方式获取全球单播地址,global配置是通过EUI-64规则获取全球单播地址,link-local配置是通过EUI-64规则获取链路本地地址。
(3)通过DHCP的方式配置的Ipv6地址,一定要手工开启路由器接口发送RA报文功能(undo ipv6 nd ra halt)。
(4)通过DHCP的方式获取Ipv6地址要配置DHCPv6的地址池,并在接口选择地址池(dhcpv6 server 地址池)。
ICMPv6协议中的四种报文:请求报文是路由器主动发送给链路上的其它设备,通告报文是链路上的设备收到了请求报文后给对端的回应。
RS:路由器请求,路由器发现,前缀发现(用于无状态地址自动获取的前缀请求)
RA:路由器通告,路由器发现,前缀发现(用于无状态地址自动获取的前缀请求)
RA报文的Flag字段(8bit)中有两个重要标志:M位(1bit)和O位(2bit)
M****位置0(默认值):表示无状态地址自动配置。
M位置1:表示采用DHCPv6有状态自动配置。ipv6 nd autoconfig managed-address-flag。M置1可忽略O标志位**。**
O****位置0(默认值):表示无状态地址自动配置。发布除Ipv6地址以外的其它路由信息。
O****位置1:表示采用DHCPv6有状态自动配置,获取除Ipv6地址以外的其它路由信息或参数。
ipv6 nd autoconfig other-flag
Ipv6****地址池:2001::10/64 ~ 2001::100/64
DNS**:2001::1/64**
地址租期:3 days
M****位:1 O位:1
M位:1 O位:0 错误 忽略掉O标志位
M位:0 O位:0 默认情况 只能无状态地址自动获取
M位:0 O位:1 错误
NS:邻居请求,地址解析,邻居状态保持,重复地址检测
NA:邻居通告,地址解析,邻居状态保持,重复地址检测
Ipv6的NDP协议(邻居发现协议),依赖于ICMPv6的四种报文实现。
传统IP网络是一个分布式的、对等控制的网络。每台网络设备存在独立的数据平台、控制平面和管理平面。设备的控制平面对等的交互路由协议,然后独立的生成数据平面指导报文转发。问题:运维复杂、调优慢、设备配置冗余。
SND(软件定义网络):其核心理念通过将网络设备控制平面与数据平面分离,从而实现了网络控制平面的集中控制,为网络应用的创新提供了良好的支撑。
SDN起源提出了三个特征, “转控分离”、“集中控制”和“开放可编程接口”。
南向接口:面向设备。通过协议进行控制器和设备之间的交互。OpenFlow是控制器与设备之间的一种南向接口协议。
北向接口:面向应用层协议。APP。
NFV(网络功能虚拟化):NFV(Network Functions Virtualization )是运营商为了解决电信网络硬件繁多、部署运维复杂、业务创新困难等问题而提出的。在NFV的道路上,虚拟化是基础,云化是关键。
网络自动化,通过工具实现网络自动化地部署、运行和运维,逐步减少对“人”的依赖。这能够很好地解决传统网络运维的问题。基础:SDN。
小型网络架构:集中式、共享,设备简单,功能单一。
中型网络架构:分层模型,接入层、汇聚层、核心层。设备较多,功能较复杂。
大型网络架构:模块化设计,设备很多,功能很复杂,管理困难,业务量大。
中型网络架构的设计和技术使用:VLAN(业务、管理(有线和无线)、互联)、IP地址规划(合理使用IP地址,VLSM子网划分,业务IP、管理IP)、IP地址分配(手工(固定IP,服务器)、DHCP(动态变化IP、客户、终端))、路由设计(OSPF、默认路由)、WLAN(直连、旁挂、二层、三层、DHCP)、可靠性(交换机堆叠、链路聚合、STP(MSTP))、NAT(NAPT、easy-IP、NATserver)、安全(ACL包过滤)、运维管理(SNMP、Telnet)
贡献者
lishu620