网络互连技术及实战

转载

Eilm 2018-03-04 13:15:05

网络互连技术及实战

1.互联网概述

什么是计算机网络： 计算机网络就是通信线路和通信设备将分布在不同地点的具有独立功能的多个计算机系统互相连接起来，在网络软件的支持下实现彼此之间的数据通信和资源共享的系统。 Osi七层模型 开放系统互连参考模型简称OSI为开放式互连信息系统提供了一种功能结构的框架。Osi开放系统互连参考模型是一种协议规范，用来规范网络协议的设计与实现。引入osi参考模型的主要作用是为了实现各个厂家网络设备能够互连互通 OSI简介：OSI采用了分层的结构化技术，共分七层，物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。它从低到高分别是：

物理层：接受来自数据链路层的帧，将0和1编码成数字信号，以便在网络介质上传输数据链路层：在网络层实体间提供数据发送和接收的功能和过程；提供数据链路的流控。网络层：提供逻辑地址和路由选择功能传输层：提供建立、维护和拆除传送连接的功能；选择网络层提供最合适的服务；在系统之间提供可靠的透明的数据传送，提供端到端的错误恢复和流量控制。会话层：提供两进程之间建立、维护和结束会话连接的功能；提供交互会话的管理功能，如三种数据流方向的控制，即一路交互、两路交替和两路同时会话模式。表示层：代表应用进程协商数据表示；完成数据转换、格式化和文本压缩。应用层：负责寻×××器提供的网络资源，并提供流量控制和错误控制功能

网络设计的层次模型及特性： 核心层：尽可能快速的传输

一般不进行路由选择，访问列表控制，包过滤接入层：把终端设备接入网络，提供本地服务分布层：接入层的汇聚点

流量控制

广播、组播域

介质转换

安全

远程接入访问 Osi模型概述： 面向应用的上层面向端到端的数据流 数据流层作用： Network：提供逻辑地址，是路由器用来路径确定 Datalink：组合位到字节并把字节组合成帧 分层的优点： 把网络任务分层，并定义标准的层间接口，可使各个独立的协议或者层更简洁便于学习和讨论协议规范的很多细节层次的标准接口便于工程模块化，使每个产品可以只完成某几层的功能创建一个更好的互操作环境便于定位和排除故障 OSI间通信： 同一计算机相邻间通信发送数据：从高层到底层接受数据：从底层到高层封装数据—把每一层的数据放在包头和包尾之间，然后发送给下一层解封数据—去掉数据的包头和包尾，然后发送给上一层 几个重要的概念： 面向连接的协议-该协议在传输之前需要在两个端点之间建立联系无连接的协议-该协议在传输之前不需要在两个端点之间建立联系可靠传输-传输过程具有差错检测和恢复功能 2.局域网交换 数据链路层的功能：定义： 物理的源和目的地址指明上层所用的协议（服务访问点）网络拓扑帧顺序流量控制面向连接和非面向连接（数据链路层分为llc和mac两个子层）数据链路层的设备及特点：每个子网有它的冲突域所有的网段在相同的广播域 数据链路层的设备异同点： 1.交换机和网桥都工作在数据链路层，他们的工作原理相同 2.网桥基于软件进行转发与过滤，速度较慢；交换机是通过专用集成芯片asic进行转发与过滤得，是基于硬件的，速度较快。交换机也可以叫做基于硬件的网桥。 3.网桥端口较少，交换机端口较多，交换机也叫多端口网桥或多组网桥 交换机的三大功能： 1.地址学习---Mac地址表在初始化的时候为空 ---Mac地址表存放在ram中，每300秒清空一次 2.转发/过滤---在地址表中有目标主机mac地址，数据帧不会泛洪而直接转发 3.环路避免

交换机帧的三种转发方式： 直通转发---交换机只检查目的地址储存转发---收到帧后要做冗余校验在做转发无碎片转发---只检查帧的前64个字节

** 3.网络模型** TCP/ip模型与OSI模型的比较：相同点 -两者都是以协议栈的概念为基础 -协议栈中的协议彼此相互独立 -下层对上层提供服务不同点 -OSI是先有模型；TCP/ip是先有协议，后有模型 -OSI适用于各种协议栈；TCP/ip只适用于TCP/ip网络 -层次数量不同 ICMP协议不同报文： 1.目的不可达ICMP报文（目的网络、目的主机、目的协议、目的端口不可达） 2.超时ICMP报文（TTL每经过一次路由器就减1，减到0时，数据包被丢弃。Trace充分利用了ICMP超时报文） 3.重定向ICMP报文（向源主机通知更好的路由） 4.ICMP回应请求与回应应答 ICMP协议—traceroute命令作用：在测试网络连通性的同时测试从从源地址到目的地地址的详细路径地址解析协议（ARP）作用：通过对方的ip地址来获取对方的mac地址反向地址解析协议（rarp）作用：通过自己的mac地址来获取自己的ip地址

4.Ip地址管理和子网划分 Ip地址介绍—ip地址的作用： 目前应用于网络的主要是ipv4 Ip地址介绍—私有的ip地址： A类地址中：10.0.0.0到10.255.255.255 B类地址中：172.16.0.0到172.13.255.255 C类地址中：192.168.0.0到192.168.255.255 Ip地址介绍—特殊的ip地址： 1.ip地址172...：本地回环（loopback）测试地址 2..169.254.. miceosoft reserved 3..广播地址：255.255.255.255 4.Ip地址0.0.0.0：代表任何网络 5.节点号全为0：代表某个网段的任何主机地址 6.节点号全为1：代表该网段的所有主机 Ip地址介绍—ip地址分配原则： 网络id中第一个数不能是127 主机id不能全都是二进制1 主机id不能全是二进制0 主机id对于本地网络id来说是唯一子网划分—子网掩码的分配规律 1.连续的最大值1跟最小值0 2.连续的1确定网络id 3.连续的0确定主机id 4.子网掩码可定制子网划分—-cidr标记法也成网络前缀标记法 Ip：10.217.123.7/20 表示：其子网掩码有20个连续的1，用来确定网络id；余下的必须是0，用来确定主机id 子网划分—三种不同的广播地址 1. 定向广播 2. 本网广播 3. 子网广播子网计算步骤：子网数=2子网数每个子网中合法主机数=2主机位-2

5.Cisco iso设备及管理 路由器内部组件： RAM ROM Flash CPU NVRAM Interface CISCO路由器—启动过程简述： 1. 加电自检（post） 2. 加载并运行bootstrap代码 3. 查找Cisco IOS软件 4. 加载 Cisco IOS 软件 5. 查找配置信息 6. 实施配置信息 7. 运行 Cisco 路由器—三种常见配置模式：用户模式：对交换机和路由器的有限操作特权模式：对交换机和路由器进行详细检测，有配置和调试权利，是进入其他配置模式的前提全局配置模式：对交换机和路由器的进行配置操作是进入一切子配置模式的前提

6.ip路由原理、概述及静态路由配置 路由的概念： 路由是数据包从源网络经过一系列中间网络被转发到达目的地的网络的过程，主要有路由器完成，路由器有三个主要的功能模块：路径信息的维护最佳路径的查找数据包的转发为了能够找到路由，路由器必须知道一下内容： 1. 目的网络地址 2. 路由的来源方向（即到达目的地的方向） 3. 可能的路径 4. 最好的路径 5. 验证和维护路由信息路由表项： 1. 主类网络号 2. 路由条目的来源 3. 要达到的目的网络 4. 子网掩码（目的网络大小） 5. 管理距离（可信度） 6. 度量值（metric） 7. 到达目的地的下一跳路由器 8. 路由存在的时间 9. 到达目的网络的出口目的地不在本地—查找路由表：没有匹配条目的数据包（未知单播包）被丢弃—路由器只转发已知数据包（有匹配路由条目的数据包），未知单播包和广播包都被丢弃，组播包需要特殊配置才被转发路由的分类：静态路由—是网络管理工人配置的到达一个目的地的路由动态路由—是通过路由选举协议动态的学习到的路由，它能够随着拓扑和流量的变化而变化路由选举协议的概念：路由协议是用来选择路径并管理路由表的一旦路径被选择，那么被路由协议将可以被路由 动态路由协议的分类方法： 1. 有类（也叫基于类的）路由协议与无类路由协议 2. 内部网关路由协议（igp）与外部网关路由协议（EGP） 3. 距离矢量路由协议、链路状态路由协议及复合型路由协议动态路由协议分类—基于类别分类有类路由协议：有类路由协议在发送路由更新的时候不带子网掩码，在同一网络内，连续的子网掩码是必须的，路由在类的边界进行汇总无类路由协议：无类路由协议在发送他们的路由更新的时候是带子网掩码的，无类路由协议支持边长子网掩码（vlsm），在一个网络内汇总能够被人工控制。度量值：相同可信度下判断路径好坏 Rip：跳数（hop） Igrp、eigrp：复合度量值 Ospf：代价（cost）配置静态路由的目的：配置静态路由可以使信息达到非直连的网段 7.RIP协议 Rip路由信息协议：是一个纯粹的距离矢量路由选择协议。RIP每隔30秒就将自己完整的路由选择表从所有激活的接口上送出
距离矢量路由协议—路由表更新过程每个路由器的路由表在最初只有与之直连的网络路由器从自己的邻居发现到目的地最好的路径动态路由协议的配置：路由配置—选择路由协议 --指定网络或者接口路由环路如何能停止：最大跳计数水平分割路由中毒保持关闭
RIPv1和RIPv2的区别： RIPv1 RIPv2 距离矢量距离矢量最大跳计数是15 最大跳计数是15 有类的无类的基于广播的使用组播224.0.0.9 不支持vlsm 支持vlsm 无认证允许md5认证不支持连续网络支持不连续网络 8.Ospf单区域 Link-state 路由协议路由器跟踪一下信息：它们的邻居同一区域的所有路由器到一个目的地的最好路径 OSPF基本术语链路（link）：在OSPF中，链路被定义为一个网络或者是被指定为给定网络的路由器接口。也就是说，在OSPF中，链路与接口的含义是相同的，链路也叫接口。链路状态（ls：link-state）：路由器所连接网络的物理状态，包括是up还是down、带宽、ip及掩码信息。链路状态通告：是一种OSPF数据包，它包含有可在OSPF路由器间共享的链路状态和路由信息，即它是用来描述OSPF链路状态的数据包。链路状态更新包：它是用来在OSPF邻居路由器间传递链路状态通告（lsa）的数据报。邻居：运行有OSPF进程的已建立连接的相邻路由器，并且这两路由器的接口必须在同一个区域，邻居是通过hello数据包来发现的。 Hello数据包：用来发现邻居并建立维护邻接关系的数据报。邻接：为实现交换路由信息的目的，在选出邻居路由器间建立逻辑连接。 Link-state 数据结构 Neighbor表：列出所有能识别的邻居 Topology表：通常也作为lsdb（链路状态数据库） Routing表：通常命名为转发数据库（到目的地最好路径列表） Link-state 数据结构：网络层次 Link-state路由需要的一个层次化的网络结构被OSPF所强化两个级别的层次化包括下面： --骨干区域 --非骨干区域 OSPF区域 OSPF区域特征：减少路由表的条目将拓扑变化的影响限制在一个区域内 Lsa详细泛洪仅限制在本区域需要层次化的网络设计 Ls数据结构：毗邻数据库 1. 路由器通过交换hello包来发现邻居 2. 路由器检查hello包里的某几个参数或选项宣告邻居建立 3. Poing-to-point wan links（点到点广域网链路）： --两个邻居建立全毗邻关系 4.Lan links：

路由器与DR和BDR成为毗邻

与其他路由器（drothers）维持two-way状态 5.路由更新和拓扑信息仅仅在建立了毗邻关系的路由器之间传递 OSPF毗邻路由器使用hello协议在彼此之间建立逻辑的毗邻关系，一个毗邻关系形成： --交换ls数据库包来同步彼此的ls数据库 --利用这些毗邻关系lsa被可靠地泛洪到整个区域或网络 OSPF计算通过对链路状态数据库应用dijkstra的spf算法来发现到目的地的最好路径： --在一个区域里的每个路由器有相同的lsdb --在区域里的各个路由器有相同的lsdb --有关连接到特定目的地的具有最低总链路成本的最好路径被计算出来 --最好路由被放进转发数据库里 OSPF路由器id OSPF通过OSPF路由器id来识别OSPF路由器 Lsdb用OSPF路由器id来区分一台路由器缺省的：路由器id是在OSPF进程启动时一个活跃接口上的最高iP地址任何一个活跃loopback接口的最高ip地址优先于物理接口的ip地址成为路由器id 一个OSPF的router-id命令能作为OSPF路由器指定路由器id 为保证稳定性，loopback或router-id命令是被推荐的方式 Loopback interfaces 如果OSPF进程已启用，要使用router-id命令起作用，必须重启OSPF进程 9.路由器重分发 采用多种路由协议 --临时性的转换 --特定应用的协议 *一种规则不可能适合于所有的应用 --行政边界 *不同组织间的信息交流 --设备不匹配 *不同厂商的设备的互操作性 *主机路由器

再发布路由信息当一台路由器中不同的路由协议相互重分发后，一种协议会从另一种协议中学习到路由条目

种子度量值 --路由条目的种子度量值是以路由器接口为源点 --路由条目的种子度量值可以用default-metric命令来建立，或者在重分发时指定 --一旦这种值被建立，它也会像其他的路由条目的值一样增加

实施再发布的注意事项：路由环路 -一次优路径选择路由信息不一致收敛时间不一致

配置重分发到RIP中默认度量值为无穷大 10.生成树及stp Ciscoavvid模型是一种基于标准的企业级网络体系结构，它可以提供将业户和技术战略整合为一个统一模型的指导方针。

园区网设计—冗余拓扑冗余链路可以避免单点故障

冗余拓扑问题多重帧拷贝 Mac数据库不稳定广播风暴

解决冗余拓扑问题—断开冗余环路可以通过去掉冗余链路来避免多重帧拷贝.Mac数据库不稳定.广播风暴等问题。但是当冗余链路被去掉后网络仍存在易发生单点故障的问题

解决冗余拓扑问题—stp Stp：生成树协议，此协议专用于解决第二层的环路问题，此协议可以再物理上保证冗余链路的情况下在逻辑上阻塞环路

生成树运行原理 Stp执行生成数算法，此算法在网络中找到一个参考点，然后确定到该参考点的冗余路径，这个参考点被称为生成树的根 Stp基本概念—桥id 是生成树为每个交换机分配的唯一标示符，桥id包括优先级（2个字节）和Mac地址（6个字节）组成。 Stp基本概念—stp的开销开销cost：是以路径中所有的链路的带宽为基础而累加的总路径开销 Stp基本概念—桥协议数据单元桥协议数据单元（bpdu）：在一个二层网络中，交换机通过交换数据信息来获取网络中其他交换机的信息，这个信息被称为bpdu。 Bpdu的作用： 1. 选举一个根桥（根交换机） 2. 检测环路的位置 3. 阻塞端口，防止环路 4. 通知网络变化 5. 控制生成树状态 Bpdu的分类：配置bpdu：是根桥周期性发个所有端口的，其中包括stp的参数， Tcn拓扑变化通告：这种bpdu是在拓扑发生变更时产生的 Stp基本概念—桥协议数据单元报文格式协议ID：该值总为0 消息类型：配置bpdu=0，tcn=80 根ID：根桥的ID 路径开销：到达根桥的stp开销桥ID：bpdu发送网桥的id 端口IDbpdu发送端口的ID 最大时间 Hello时间转发延时

Stp选举---选举的过程选举根桥：stp算法中选择出参考交换机选举根端口：在每一个非根交换机上，面向根，到根的距离最近的一个端口，用于接受根桥发送的bpdu 选举指定端口：在每一个网端上，面向根，并且到根最近的一个端口，用于发送bpdu的端口选举阻塞端口：在交换网络上，既不是根端口也不是指定端口

stp选举—选举原则及方法原则： 1. 在一个交换网络只有一个根桥 2. 在每个非根交换机上只有一个根端口 3. 在每个网段只有一个指定端口方法：最低root bdi 到root bridge 最低路径cost 最低发送者bid 最低发送者端口id Stp端口状态和计时器计时器用于阻止桥接环路计时器决定了重新收敛的时间 11.VLAN技术扩展二层网络 VLAN的概念 VLAN虚拟局域网：是一组拥有共同要求且与物理无关的终端设备的逻辑组 VLAN的特点：没有引入VLAN之前的网络 1. 二层连接 2. 单个广播域 3. 管理不方便引入VLAN后的网络 1. 分割广播域 2. 逻辑阻止灵活 3. 增强了安全性 4. 管理方便每一个逻辑的VLAN就像一个独立的物理的网桥 VLANs可以跨越多个交换机干道可以承载多个VLAN信息干道使用了特别的封装来分别不同的VLAN VLAN的分类—按成员关系来分静态VLAN：基于端口的VLAN 动态VLAN：基于MAC地址的VLAN

按地理位置来分本地VLAN 端到端VLAN Trunk干道能够在单条物理链路中承载多个VLAN的流量作用于两个交换机相连的链路上 12.实施vtp Vtp的概念及作用: Vtp VLAN中继协议，是一个二层的协议，能够在同一vrp域内对VLAN进行管理，从而达到VLAN配置的一致性，vtp通告信息只能在trunk干道上传递。通过vrp可以减少配置改变时引起的配置不一致问题 Vtp的工作模式: 服务模式—可以创建、删除、修改VLAN --可以发送vtp通告 --同步VLAN配置 --保存配置在nvram中客户端模式—不可以创建、删除、修改VLAN --可以发送vtp通告 --同步VLAN配置 --不保存配置在nvram中透明模式—只可以创建、删除、修改VLAN --可以发送vtp通告 --不能同步VLAN配置 --保存配置在nvram中 Vtp运作 Vtp宣告以组播方式发送 Vtp服务器与客户端同步信息到最新的版本号 Vtp宣告每5分钟发送一次或者触发更新 13实施单臂路由

不同VLAN通信问题由于VLAN技术划分了广播域，所以不同VLAN之间是不能够通信的

不同VLAN间通信解决方案—搭建路由 VLAN间通信需要一个三层模块 --单臂路由路由器能够给VLAN支持一个中继链路

单臂路由优点：易于实施适用于很多系统

由路由器提供各VLAN间的通信缺点：易出现单点失效问题

易出现单连璐冗塞

网络拓扑能导致性能问题 14.VLAN间路由 二层交换：

基于硬件的桥接

线速性能

高速处理

低延时 Mac地址二层交换的问题：

二层交换网络拥有和桥接式网络路由的优势：

最优路径选择三层交换：工作在网络层具有路由功能的二层交换机

基于硬件的包转发

高性能的包交换

流量审计

三层安全

开展策略三层交换的构成：

包交换

智能网络服务：对管理，排错和应用的有效性起着关键的作用

路由进程：决定路径，负载均衡和汇总，多协议路由

基于流的交换路由处理器和专用集成芯片（asic）在多层转发引擎内一起工作

基于拓扑的交换使用：转发信息库

邻接表

多层交换机的端口—交换接口对仅具二层交换机的物理端口 --接入端口仅传送某个VLAN的流量 --中继端口传送多个VLAN的流量

默认情况下，它属于VLAN数据库内所有成员 --用switchport接口配置命令配置交换机端口

交换机的端口—路由接口路由端口（三层接口）：功能就像路由器的端口一样

并不与某个特殊的VLAN相关联配置一个路由端口：在交换机内启用ip路由

用 noswitchport 将接口置于三层模式

给该接口配置ip地址及掩码

可以启用ip路由协议

多层交换机—实现VLAN间路由 SVI 将一个VLAN描述成一个接口，在系统内进行路由或桥接第一次创建时，作为一个VLAN接口用interface VLAN命令来创建支持路由协议和桥接配置电源：直流电源和交流电源以太网通到的作用：

从逻辑上汇聚线路

像一个逻辑接口的工作

交换机的负载均衡

冗余 etherchannel----协议接口汇聚协议链路汇聚控制协议 etherchannel----原则最多允许8条链路 16.实施网关冗余 实现网关冗余的方法---使用缺省网关

缺点：源主机的系统要支持设置多个网关

使用代理ARP

缺点：当网关失效后如希望故障切换，源终端必须另发起一个ARP请求或是等到ARP条目被动态刷新

使用irdp

缺点：通告每7-10分钟发送一次，生命周期为30分钟，会导致30分钟内的故障无法进行倒换

使用vrrp：虚拟路由器冗余协议负载均衡，冗余备份 vrrp组成员主路由器（master），辅助路由器（backup）--每个构成vrrp组的成员路由器都有明确的身份 vrrp工作过程-- 虚拟路由器角色扮演者

虚拟路由器Mac地址 master路由器会向其他路由器发送vrrp组播消息，以保持和其他路由器的联系 initial状态（初始化状态） backup状态
master状态 vrrp配置--企业中的部署路由器可以属于同一子网中的不同VLAN的多个vrrp组 --配置虚拟iP地址 --配置优先级 vrrp组内优先级最高的成员将成为转发路由器缺省的优先级是100（0-255） --配置抢占作用让高优先级的设备恢复自己的转发身份，在vrrp中抢占是默认开启的 --配置端口跟踪
**17.ACL **
访问控制列表的作用：

管理ip流量及接入网络的增长

对经过路由器的特定数据包进行过滤

允许或拒绝数据包通过路由器

允许或拒绝vty接入到路由器

如果没有使用访问控制列表，数据包在特定的网络上传输将不受限制（在使用ACL时需要根据网络考虑路由表信息）处理数据包类型：

标准的访问控制列表 deny：拒绝 permit：允许（1-99）

扩展的访问控制列表 deny：拒绝 permit：允许（100-199）区分访问控制列表的类型：

标准的访问控制列表（1-99）检查从原地址发出的所有iP数据包访问控制列表操作过程--出接口上

如果数据包没有匹配任何访问列表条目则此数据包被丢弃访问控制列表操作过程--匹配策略

直到一个策略生效为止 --通配符 -0代表检查相应的地址位 -1代表忽略相应的地址位访问控制列表应用的位置：

扩展ACL用在离源近的地方

标准的ACL用在离目的地近的地方 18.广域网概述 广域网wan：也成远程网，覆盖范围比局域网lan和城域网man都广，广域网的通信子网主要是用分组交换技术达到资源共享的目的。

广域网与局域网的区别：局域网—每个节点是具体的网络设备广域网—每个节点是广域网

广域网第二层协议---ppp概述： Ppp可以通过ncp向上支持多种协议 Ppp通过lcp去控制链路的建立

广域网第二层协议ppp---lcp配置选项功能：认证压缩错误检测多链路

广域网第二层协议ppp---会话建立过程链路连接建立阶段认证阶段网络层协商协议阶段两个ppp认证协议：pap和chap

广域网第二层协议ppp---pap 密码以明文发送由被验证方发送请求两次握手

广域网第二层协议ppp---chap 密码以密文发送由被验证方发送请求三次握手 19.帧中继技术

帧中继概述：通过虚链路建立连接面向连接的服务帧中继默认情况下：非广播多路访问（nbma）

路由更新问题广播流量必须复制到每个活动的连接水平分割阻止了收到的路由更新在从原来的接受接口向外转发解决办法在非广播多路访问nbma网络环境下，关闭水平分割会引起广播问题子接口能解决水平分割问题方案：将一个物理接口模拟成多个逻辑接口

帧中继地址映射用本地管理接口lmi从帧中继交换机获得dlci 用逆向ARP将本地dlci映射到远端路由器的网络层地址帧中继功能的核心方向在osi模型的下两层帧中继可以让你用多种拓扑连接远程站点，包括星型、全网型、部分网型帧中继nbma拓扑可能导致路由更新可到达问题，可通过使用子接口解决 20.网络地址转换 Nat的作用 Nat网络地址转换：将ip地址转换成另一个不同的地址 Nat的基本概念内部：内部的网络外部：外部的网络本地地址：物理分配给设备的ip地址全局地址：物理或逻辑分配给公用ip地址内部本地地址：分配给内部网络中一台计算机的配置ip地址内部全局地址：内部主机呈现给外网的ip地址外部本地地址：外部主机呈现给内部网络的地址外部全局地址：分配给外部网络中的一台计算机的配置地址

配置nat—静态nat的配置静态nat是一对一的地址转换，转换前后地址固定，可应用于企业内部服务器的转换

配置pat Pat适合于小型企业，此类企业没有公用的IP地址 ** Nat技术的优缺点** 优点：nat通过地址转换可以使私网地址访问公网 Nat减少编制方案的网络重叠情况增加连接公共网络的灵活性去除了网络的私有化需要对现有网络的重新编址缺点：增加网络的延迟，使一些危险更难于排查长久解决ip地址耗尽的方案：使用下一代的ip编制方案（ipv6）