数据网络通信
关于IP通信基础、进阶笔记
关于IP通信基础、进阶教材笔记
[if !supportLists]Ø [endif]总领:
交换技术:VLAN、STP、链路
扩展应用:ACL、NAT、DHCP、VRRP
IPv6:ICMPv6、RIPng、OSPFv3
进阶:IS-IS路由协议、BGP协议、IS-ISv6、BCP4+、MPLS、L3VPN
//关于交换机
交换机读取报文头中的源MAC地址(学习),然后在地址表中查找报文目的地址相应的端口,若没有找到则将该报文广播至所有端口。
从交换机的行为可以反映的是所有数据包到达交换机时已经确认目的主机就在交换机所在网段,所有交换机才能肆无忌惮的广播。
//关于VLAN
用于控制网络流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN分为几种:基于端口、基于MAC地址、基于协议、基于子网、基于组播、基于策略。
基于端口时,同一个VLAN可以跨越数个以太网交换机。(该方案属于静态VLAN,运用最多,因为VLAN永久的属于某个具体的VLAN除非改变配置,使得主机的移动所增加的成本不会高于其VLAN本身的管理成本)
VLAN可以由协议包的协议决定(IP、IPX、Appletalk)。在此之下,基于子网的VLAN为一个子集,根据帧所属的子网决定一个帧所属的VLAN(这种划分与路由器相似)。
动态VLAN,随着主机的移动接口所属的VLAN关系将发生变化,需要一台VMPS服务器,将主机的MAC地址与某个具体的VLAN形成对应关系并记录下来。
IEEE802.1Q定义了VLAN帧格式,统一了识别帧的方法,保证了不同厂家设备的VLAN可以互通:原始以太网帧上加入了四个字节作为标记-tag。
主机与交换机间的接入链路(Access)只能是一个VLAN,不能收发其它VLAN信息,不同VLAN的信息必须通过三层路由处理才能转发到这个端口上。
二三层设备之间的链路叫做中继链路(trunk、Hybrid),若无特殊配置,其可以承载多个不同的VLAN,中继链路上传输的帧都是打上标记的帧。
端口的Hybrid端口上的untag配置只对发送报文时起作用
STP生成树协议功能:防止二层物理环路产生。
//关于路由器
路由器的接口具有不同的速率,路由器需要利用缓存以及流控协议进行速率适配。
网上的路由器必须知道到达所有下层所有网段的下一跳接口IP,所以需要维护庞大的路由表。
路由表(存放于RAM中):根据IP的目的地址结合表上的掩码匹配对应的目的地址所在网段,传向ip对应的下一个接口。
路由表中的信息包含有路由信息的来源、不同路由来源的路由信息的优先权、度量每条路由的代价。
直连路由:路由器接口上配置的网段地址,与接口关联被自动发现,但只能被本接口所属网段发现。
静态路由:ip route 目的网段、掩码、下一跳、接口、代价。
BGP(TCP 179)、RIP(UDP 520)工作中运用层,OSPF工作在网络层。
//关于通信流程
主机A通过HOSTS表或者WINS系统或者DNS系统将主机B的计算机名转换为IP地址。
用自己的IP和子网掩码计算出自己所处在的网段。
一、
比较目的主机B的IP地址发现于自己处于相同网段,在自己的 ARP 缓存表中,或者启动ARP协议获取B的MAC地址。
进行数据链路层封装后通过网卡将封装好的以太网数据帧发送到物理 线路上。
二、
发现B的IP地址发现与自己处于不同网段,于是将此数据包发送给 自己的缺省网关(路由器的本地接口)
查找ARP缓存表,或者启动ARP协议获取缺省网关的MAC地址
进行数据链路层封装后通过网卡将封装好的以太网数据帧发送到物理 线路上。
到达路由器后解封->IP数据包,路由器根据目的IP查找路由表找到 转发接口,做适应转发接口数据链路层协议的帧的封装后发送给下一 跳路由器直到到达目的网络的目的主机
//关于VLAN间路由
必须配置默认网关为路由器在本VLAN上的接口的地址
因为接口根据VLAN匹配与否筛选是否接受某一报文,所以通信流程与上面一致
处于相同VLAN内部的主机叫做本地主机,本地主机间的流量可以相互相互到达,通信的过程与扁平二层网络中的情况相同
实现VLAN间通信的方式:普通路由、单臂路由、三层/多层交换机
备注
特殊的IP地址
网路地址:用于表示网络本身
私有地址:只能在局域网中使用,不能再Internet上使用的ip地址
1、10.0.0.0~10.255.255.255 //表示一个A地址
2、172.16.0.0~172.31.255.255 //表示16个B类地址
3、192.168.0.0~192.168.255.255 //表示256个c类地址
关于思科简易教程笔记
//配置模式
从高到低级
用户模式> //查看简单信息
特权模式# //配置系统参数
全局配置(config) //配置全局业务参数
端口模式
(config-if):端口 //配置端口参数
(config-vlan):vlan端口 //配置vlan参数
(config-line):telnet链路
(config-subif):路由虚拟子接口
(config-router):路由器的OSPF、RIP协议配置模式:router rip进入
(config-std-nacl):路由器配置准入口令模式
交换机的第一次配置需要通过console连接,在pc上进行配置(terminal)
//关于交换机
可以将虚拟交换机分为端口和内核来理解,各项功能属性通过内核控制端口实现某一功能,属于端口是四肢一样的存在
查看信息-选择修改的主体-修改信息
可以查看交换机的信息:版本信息、当前生效的配置信息、启动的配置信息、端口信息、MAC地址--show
具体到某个端口--interface 类型模块/编号
修改信息:
修改端口的工作速度、工作模式、名字(基本操作)
配置远程登录线路(Telnet):
配置交换机管理IP+网关
配置远程登录的链路+密码
端口聚合配置:物理空间上聚合,逻辑上进行带宽捆绑,分配宽带;通常在不同层(底层、汇聚层、核心层)连接时、多对一时
对所连接的终端进行端口VLAN设置
VLAN是对一个物理网段中的地址进行逻辑的划分,划分成若干个虚拟局域网。
port Vlan:一个端口属于一个VLAN
Tag Vlan用于交换机相同的Vlan直接访问
所以port制造Vlan Tag识别Vlan
解决网络环路问题,提供冗余备份链路:
每一个网段有一个根桥,根桥每隔两秒向他所有端口发送BPDU包,BPDU包在沿路径转发时BPDU中的COST信息会逐渐增加,最后取为最低COST值的桥为指定桥(用于转发操作),其他桥阻塞状态,停止转化,但接受处理BPDU
两个VLAN的网络要通信,必须通过路由器
交换机有三种链路类型:
Access类型端口:于计算机通信,只属于一个VLAN;
Trunk类型端口:可以允许多个VLAN通过,可以接受和发送多个VLAN报文;
Hybrid类型端口:可以允许多个Vlan通过,可以接受和发送多个VLAN报文,可以用于交换机的间连接也可以用于连接 用户计算机
链路类型:
接入链路(Access):接入到户,即是说不带Vlan tag的链路。
干道链路(trunk):向广域网走的链路,靠VLAN来区别用户或者服务,所以一般都带有Vlan tag
端口类型:
access:从该端口出来的是被剥掉tag的以太网帧,同时从该端口进去时会加上相应的tag;与主机相连
trunk:不剥掉tag帧,同时给以太无tag的帧打上主vlan的tag;通常为与其他交换机端口相连的汇聚口
hybid:不做剥离和打标操作
dot1q=802.1q协议:vlan识别协议,该协议支持4096个vlan
注:端口具体速度匹配;链路两端的单双工模式匹配(若不匹配丢包会很严重)
交换机配置主要为端口配
三层交换机的路由功能需要手动开启,一般状态下端口都为二层口
//路由器
路由器的虚拟子端口为无物理模型支持,而是某一端口多属性的具体表现。(多属性:多个ip,多个协议);
所谓单臂路由配置便是给一个端口设置多个属性,使得该端口具有多个ip,可以以不同协议处理多个vlan。
路由器的端口有讲究:每个端口都有ip。有不同类型的端口,分为连向终端的、路由器的、交换机的,且每个端口可以设置多个虚拟子端口,虚拟子端口可以设置属于自己的ip、协议(说白了就是通过放宽单个端口的限制实现一个端口的复用)
端口基本配置有ip配置,时钟设置、最后需要启动端口对应的路由功能(都在端口模式下实现)
路由表的设置:目的IP 掩码
静态路由有网络管理员手工配置,缺省路由为其中的特殊情况。当数据在查找路由表时没有找到和目标相匹配的路由表项时,为数据指定路由。
只要路由器之间配置好自己接口的ip,且路由器到终端的连接配置好(终端的网关要指向对应路由器接口的IP地址),最后串口时钟频率调好(路由器到路由器的接口配置,DCE通信的前提)。
Vlan分组在配置时经常用到,在交换机上规划各个端口可以发送到哪里
//路由协议相关
RIP动态路由设置时,终端只需要间默认网关设置为直连网路设备接口ip地址,而路径上的路由设备皆需要配置相同的协议(此处为RIPv2)。交换机规划好vlan即可。
知识回忆:
VLSM:可变长子网掩码
RIP1:有类别路由协议,只能识别ABC类自由网段的路由,不支持非连续子网,广播方式。
RIP2:无类别路由协议,携带掩码信息,支持路由聚合和无类域间路由,支持路由标记,以组播发送更新报文。
OSPF动态路由配置时大致思路同上,不同的是路由设备上配置的协议为OSPF。
知识回忆:
OSPF是路由设备在本网段路由发生更新时向全网路由设备洪泛本设备的链路状态信息,最终使得所有路由设备都能够知道到达某一网络的最短路径
综合配置时,交换机运行RIPv2;而路由器通过系统提供的路由重分布功能运行多种协议(RIPv2与OSPF)。
相关知识:
路由重分布是实现一个设备运行多个路由协议进程的方法,使得不同协议获得得路由信息汇总到同一个指定的路由域
//IP访问控制列表配置
ACLs全称:接入控制列表,也称访问控制列表俗称防火墙。对网络设备接口上的数据报文进行控制:基于接口进行规则定义实现,允许通过或丢弃某数据包
标准ACLs:根据数据报的源IP地址定义规则,进行数据包的过滤。
扩展ACLs:根据数据报的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤
首先需要保证连通(路由器配置路由协议,交换机配置划分Vlan,端口ip,Vlan ip,必要时配置路由协议,路由器之间用电缆串口连接的同时,用DCE线匹配时钟频率),其次制定标准,最后将标准运用到接口。
主机与交换机直连线,主机与路由器,路由器与路由器交叉线。
配置的路由器的路由IP转发表(目的设备所在网段号掩码源地址),使得路由转发来自跃点****的####目的段数据
IP访问列表当中的编号是为了区别类别的访问限制(标准、扩展、命名、标准IPX、扩展IPX、命名的IPX 依次为1-99 100-199 800-899),编号是访问的顺序,从上到下遍历是否有合适的premit 若都没有则进行deny遍历,若该语句没有则会匹配到隐式的“deny an语句。
有时候交换机不能学习到某一个网段的路由信息,此时需要指定静态路由:ip route
0.0.0.0 0.0.0.0 IP地址
//网络地址NAT转置
避免网络外部的攻击,隐藏并保护网络内部的计算机。NAT路由器通过源地址的IP映射(映射方式保存在NAT转发表中)使得内部IP地址可以路由到外网。同时也通过IP映射方式将外网的IP地址映射到内网。
静态:一个内部唯一映射一个外部。动态:一个内部在一个时段占用一个外部。NAPT:利用端口使得一个外部可以映射多个内部,将主机在逻辑上比作通信进程。
具体实现:在连通性得到保障后,在向外的路由器上配置静态NAT,同时定义内外网络接口。
当网络规模扩张时:扩充地址池;结合网络情况降低调整一些应用的老化时间;设备扩容。
当用户流量异常时:设置ACL禁用一些病毒端口包括ICMP包;限制每个用户的最大会话数,通过影响少数用户的质量保障了大多数用户的体验;调整老化时间;整改非法代理;扩张地址池
//交换机端口安全
可以防止内部IP地址冲突,防止公司内部的网络攻击和破坏行动,分配固定IP并且限制只允许相应的主机可以使用网络,不得随意连接其它主机。
//DHCP配置
动态主机配置协议,让网络上的主机从DHCP服务器上获得一个可以让其正常通行的IP地址以及相关的配置信息,配置的方式有三种:将IP分配一个确认的主机、将IP永久的分配给一个主机、随机的将IP分配给主机使用一段时间。采用UDP作为传输协议,主机发送消息到DHCP服务器的67号端口,DHCP服务器回消息给主机的68号端口。默认情况下路由器不会将收到的广播包跨子网传输,但当DHCP服务器和客户主机不在同一个子网时路由器开启DHCP中继功能,将广播包发送到DHCP服务器所在的子网
步骤:
主机发送请求IP+其它配置参数的广播报文
DHCP服务器返回包含IP+配置的单播报文
主机再向服务器返回一个表示接受配置的单播报文
DHCP回送一个确认的单播报文
DHCP基于C/S模式,采用UDP作为传输协议;服务器可以是主机、路由器和交换机结合多种原因,服务器容易受到攻击。
客户端是靠广播方式的发现信息来寻找DHCP服务器,向地址为255.255.255.255发送特定的广播信息,而路由器默认情况下是隔离广播域的,对此类报文不做处理,于是DHCP的组网方式分为同网段组网和不同网段组网两种方式:后者需要客户主机的默认网关路由器将广播报文发送到对应的DHCP服务器所在子网,这一功能叫做DHCP中继,中继只是重新封装,续传报文。
相关命令笔记
//最基本命令:
enable
config t
interface 类型模块/端口
exit
end
hostname **
show
//为某一端口配置管理ip
vlan * //定义一个vlan
exit
interface 类型模块/端口号 //对某一端口进行配置
switchport access vlan * //将该端口划分到vlan * 下,状态为access
exit
interface vlan * //对某一Vlan进行配置
ip address ip号网关 //配置Vlan的ip和掩码
no shutdown //开启配置好的vlan
exit //返回全局
enable password ** //设置密码:用于终端登录控制交换机
//配置远程登录路线
line vty 远程登录线路编号 //选择
login local //开启登录认证功能
privilege level * //配置远程登录用户的权限等级
password ** //远程登录进入访问的密码
ping
telnet
interface range 类型模块/号-号 //选择端口
switchport mode trunk //设置端口模式
channel-group 1 mode on
port-channel load-balance dis-ip //按照目标主机IP地址数据分发实现负载平衡
show ether channel summary //显示一台信道概述
vlan * //添加虚拟端口
interface 类型模块/号 //调度到端口
switch access vlan * //(或者在config-vlan模式下执行switchport pvid 类型模块/端口号)绑定到虚拟vlan
switchport mode trunk //更换某一端口的连接模式为trunk,常为中继端口的模式
switchport trunk vlan * //(可以写多条)使得中继端口传递指定vlan的数据
show vlan //显示vlan配置
ip routing //开启路由功能
show ip route //显示路由表
no switchport //开启某一端口的三层路由功能
ip address 地址掩码
no shutdown //开启端口
switchport trunk encapsulation dot1q //802.1Q帧格式
show spanning-tree //查看生成树的配置信息
show spanning-tree 类型模块/号 //查看一个端口的状态
spanning-tree mode rapid-pvst //指定生成树协议的类型为RSTP
shutdown //关闭端口
interface 类型 模块/端口号.虚拟子接口号 //进入路由器对应端口的某个虚拟子接口,在此之前端口已经开启(处于forword状态)
encapsulation dot1Q 2 //该虚拟子接口的封装协议设置为dot1q,允许通过的Vlan为2
ip address IP号子网掩码 //给子接口配置ip地址的方式与其它一样
interface serial 模块/端口号 //调出路由器到路由器的接口
clock rate * //设置时钟速率,只有完成该设置,DCE才能正常通信
ip route ip 网关掩码ip //设置转发路由表
//交换机多了一个ip routing
ip routing
router rip
network 网段号 //实行该协议的网段号,一般有两个语句,一个上行一个下行
version 2
end
//路由器开启RIPv2
router rip //开启路由器RIP协议
network 网段号 //向RIP中添加IP地址
version 2
end
//ospf转发设置
config t
router ospf 1
network 网段号0.0.0.255 area0 //向该网段号方向实现该协议
show ip route //查看路由表
// 对拥有多个路由协议的路由器进行路由重分布操作
router rip
redistribute ospf 1
exit
router ospf1
redistribute rip subnets
end
//标准IP访问控制列表配置
ip access-list standard cisco //定义一个标准访问控制列表,配置准入口令模式
permit 网段0.0.0.255 //设置准入IP
deny 网段 0.0.0.255 //设置拒绝接入IP
config t //返回全局配置模式
interface 类型模块/端口号 //进入到端口配置模式
ip acccess-group cisco out //线对应的接口发布准入口令
//扩展IP访问控制列表配置,使得终端只能通过Web服务向服务器进行访问不能使用ping命令
access-list 100 permit tcp host 172.16.1.2host 172.16.4.2 rq www //迷得很,应该是准入的ip以及模式
access-lint 100 deny icmp host 172.16.1.2host 172.16.4.2 echo //一样迷,但应该是拒绝
interface serial 模块/端口号
ip access-group 100 out
end
//ACL补充
一个ACl语句可以包含源IP 目的IP 源端口目的端口协议类型(这些选择标准为ACL的规则域)
ip access-list standard/extended
{<access-list-number>|alias<acl-alias>|name<acl-name>}
[match-order{auto|config}];定义一个扩展访问列表的完整操作
{permit|deny} {|} {{} | any} []{{ } | any}[] [log]
增加一个控制语句的完整操作,ACL规则的每个域对位置敏感。
//配置路由器的NAT
ip nat start //全局模式下启动NAT功能
interface 类型模块/端口号 //配置端口
ip nat inside //将接口配置为NAT内部接口
interface 类型模块/端口 //配置另一端口
ip nat outside //将接口配置为NAT外部接口
exit
ip nat inside source static 内部IP 外部IP //在全局配置中,添加静态NAT映射表
show ip nat translations //显示映射
//配置路由器的NAPT
首先向上面一样定义内外部端口与内部端口
access-list 1 permit 网段号0.0.0.255 //配置列表号为1的类似于ACL的列表,用于筛选需要转换的地址
ip nat pool cisco(地址池的名字)外部ip 外部ip netmask 掩码 //至于第一个外部ip与第二个外部ip有什么不一样我也不知道,应该就是传说中的地址池
ip nat inside source list 1 pool cisco(地址池的名字)overload //配置NAT转换语句:将符合ACL列表号为1的数据包的源地址转换为地址池cisco中的地址;
ip nat translation maximal default300 //设置内部地址允许转换的最大条目数目为300(100~200足够,对于大客户用户或者校园网用户可以适当放宽,当用户数超过2000时,建议设置为200~400;系统当前最大可用的动态转换条目数可以通过IP POOL中的GLOBAL IP数量大致计算)
//交换机端口安全
针对所有端口配置最大连接数,针对特定的接口进行MAC地址绑定
interface 类型模块/端口号 //进入某一端口的配置模式,此处很懵逼,为什么要进入一个端口,且还不是与主机相连的端口
switchport mode access
switchport port-security //开启交换机的端口安全功能
switchport port-secruity maximum 1 //配置端口的最大连接数为1
switchport port-secruity violation
shutdown //配置安全违例的处理方式为shutdown
interface 类型模块/端口号
switchport port-security
switchport port-security mac-address MAC地址 //端口和MAC地址绑定
show port-security address //查看地址安全绑定配置
clear ip nat translations //清除NAT转换条目
//DHCP服务器配置
ip dhcp enable //启用内置的DHCP进程
ip dhcp server dns *.*.*.* //配置DHCP服务器返回给用户的DNS地址
ip dhcp server leasetime 时间 //配置DHCP服务器向客户端出租IP地址的租期
ip local pool dhcp *.*.*.* *.*.*.* 掩码 //配置IP地址池
interface fei_1/1
ip dhcp mode server //在连接客户机子网的接口上配置DHCP的工作模式|realy
ip address *.*.*.* 掩码
ip dhcp server gateway 网关号 //在连接客户机子网的接口上配置用户缺省网关地址
peer default ip pooldhcp //在连接客户机子网的接口上配置用户的地址池
ip dhcp user quota //在连接客户机子网的接口上配置用户配额
ip dhcp server update arp //启用DHCP服务器ARP更新
ip local pool conflict-ip 10 //配置IP地址池中地址冲突的超时时间
总结:启动-配置 {可分配的IP地址池-地址冲突的超时时间-租期-DHCP服务器返回给用户的DNS地址-启动更新}-接口{配置接口子网缺省网关-配置接口子网的用户额}
//DHCP中继配置
interface fei_1/1
ip dhcp mode relay
ip dhcp relay agent *.*.*.* //在连接客户机的子网接口上配置DHCP代理地址
ip dhcp relay server *.*.*.* //在连接客户机子网的接口上配置外部DHCP服务器的IP地址
ip dhcp enable //启用内置的DHCP进程
ip dhcp relay update arp //启用DHCP中继ARP更新
ip dhcp relay forward-mode standard/security //设置接口的relay转发模式(标准转发模式、)
ip dhcp relay information option //配置DHCP进程在进行relay转发时插入的82选项
ip dhcp relay information formatchina-tel/dsl-forum //配置DHCP进程在进行relay转发时插入的82选项的格式
ip dhcp relay information policykeep/replace //保持原有的并进行透传/替换
debug ip dhcp //调试命令
//其它
no vlan2 //删除vlan2
//相关备注
serial类型端口为路由器与路由器之间的端口,常需要配置ip、子掩码、时钟速度
未知操作:
network 网段号0.0.0.255 area 0
实验笔记
交换机的转发vlan的前提是交换机对相应的vlan有定义。
在配置网络时特别需要注意的一点时网络中的设备都是需要先判断目的地址是否与自己处于同一网段当中的,这便意味着设备将需要用一个网段来过渡
对于一个设备而言,与其相连的路由器和交换机的IP为相连路由器、交换机所有vlan的ip,只要有一个匹配,便可以向其发送报文。
对于拥有三层功能的设备而言,需要配置识别vlan的协议使得vlan的可以通过或者限制具体的vlan通过,三层设备的主体为配置有ip虚拟子接口(对于交换机而言是vlan、对于路由器而言是虚拟子接口)。
路由器的虚拟子接口的IP是由方向性的,只能与其父端口相连的网络发现(指的是可以顺利收发报文);交换机的vlan的ip在端口未限制为接入端口(access)时是各向同性的,只要相连就能被同一网段中的设备识别。
终端首先判断是否处于同一网段,若不在则向默认网关发送:该步骤得以执行的前提是网关能通过任意数量的网段与终端连接。网关的工作便是看是否有相关的路由信息(路由协议、静态设置)。
HCNA学习笔记
//运用层的运用程序
Ping、Tracert、Telnet、FTP、TFTP
Tracert:用于查看IP数据包从一台主机传到另一台主机所经过的路由。使用ICMP报文和IP首部的TTL生存周期字段。
Telnet:远程登录服务,给用户提供了一种通过网络登录到远程服务器的方式,使得用户能在本地计算机上完成远程主机工作的能力。使用端口号为23的TCP,在telnet程序中输入命令,这些命令会在服务器上运行,但开始一个telnet会话必须先输入用户名和密码来登录服务器,同时在本地计算机上必须装有包含Telnet协议的客户程序、必须知道远程主机的IP地址或者域名、必须知道登陆标识与口令。
//端口的流量控制
为尽力避免报文丢失现象的发生,需要在本段和对端交换机都开启流量控制功能
//端口聚合
在数据链路层实现(为什么不是物理层)将多个接口聚合在一起形成一个汇聚组,以实现负载分担
//端口镜像
基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,进行流量观测或者故障定位。以太网交换机支持多对一的镜像,即将多个端口的报文复制到一个监控端口上。
基于流的镜像指的是按照一定的数据流分类规则对数据进行分流,然后将属于指定流的所有数据映射到监控端口,用于报文的分析和监视。一台只支持配置一个监控端口。
