三、配置局域网交换机 16%
MAC映射表的建立
交换机会把广播、组播和未知单播帧从所有其他端口发送出去(除了接收到帧的端口)
端口的类型:
vlan 的标签
在进入交换机端口时,附加缺省VLAN标签
出交换机端口时,去掉VLAN标签
Hybrid端口和Trunk端口的不同之处在于:
Hybrid端口允许多个VLAN的以太网帧不带标签
Trunk端口只允许缺省VLAN的以太网帧不带标签
表1-3 端口收发报文的处理(接入分册VLAN配置)
小结:T和H只接收VLAN ID在端口允许通过的VLAN ID列表里的报文,没有Tag,则打上TAG;T在发送时:当VLAN ID与缺省VLAN ID相同且是该端口允许通过的VLAN ID时:去掉Tag,发送该报文;当VLAN ID与缺省VLAN ID不同,且是该端口允许通过的VLAN ID时:保持原有Tag,发送该报文;H在发送时:当报文中携带的VLAN ID是该端口允许通过的VLAN ID时,发送该报文,并可以通过port hybrid vlan命令配置端口在发送该VLAN(包括缺省VLAN)的报文时是否携带Tag
关闭生成树功能:stp disable
关于802.1x及其验证的特点
设备不仅支持协议所规定的基于端口的接入认证方式,还对其进行了扩展、优化,支持基于MAC的接入控制方式。
当采用基于端口的接入控制方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。
采用基于MAC的接入控制方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
dot1x的配置:
[SWA]dot1x
[SWA]dot1x inte**ce ethernet1/0/1
[SWA]local-user localuser
[SWA-luser-localuser]password ** hello
[SWA-luser-localuser]service-type lan-access
端口隔离的配置:
[SWA]inte**ce ethernet1/0/2
[SWA-Ethernet1/0/2] port-isolate enable
[SWA]inte**ce ethernet1/0/3
[SWA-Ethernet1/0/3] port-isolate enable
[SWA]inte**ce ethernet1/0/4
[SWA-Ethernet1/0/4] port-isolate enable
[SWA]inte**ce ethernet1/0/1
[SWA-Ethernet1/0/1] port-isolate uplink-port
聚合端口的配置:
[SWA] inte**ce bridge-aggregation 1
[SWA-Ethernet1/0/1] port link-aggregation group 1
[SWA] inte**ce bridge-aggregation 2 port Ethernet1/0/1
STP端口不稳定的中间状态
Listening,Learning
关于STP协议:
桥ID由桥优先级(BridgePriority)和桥MAC地址(BridgeMacAddress)组成
桥ID小的桥被选举为根桥
根桥上的所有端口为指定端口( Designated Port )
在非根桥上选举根路径开销( RootPathCost)最小的端口为根端口(Root Port)
每个物理段选出根路径开销最小的桥作为指定桥( Designated Bridge),连接指定桥的端口为指定端口
不是根端口和指定端口的其余端口被STP置为阻塞状态
根路径开销( RootPathCost)是到达根的路径上所有链路开销(Cost)的代数和
配置桥优先级的命令:
配置当前设备的优先级
[Switch]stp [instance instance-di] priority priority
STP端口状态的判断:
交换机上的端口在启动stp协议后,存在的五种状态:
· 阻塞(blocking) - 该端口被阻塞,接收但不发送BPDU,不接收或转发数据
· **(listening) - 该端口正在等待接收bpdu数据包,bpdu可能告知该端口重新回到阻塞状态。接收并发送BPDU,不接收或转发数据
· 学习(learning) - 该端口正在向其转发数据库中添加地址。接收并发送BPDU,不接收或转发数据
· 转发(forwarding) - 该端口正在转发数据包。接收并发送BPDU,接收并转发数据
· 失效(disabled) - 该端口只是相应网管消息,并且必须先转到阻塞状态。不收发BPDU报文,接收或转发数据
端口可以转换的状态:
· 从初始化(交换机启动)到阻塞状态(blocking)
· 从阻塞状态(blocking)到**(listening)或失效状态(disabled)
· 从**状态(listening)到**(learning)或失效状态(disabled)
· 从**状态(listening)到转发(forwarding)或失效状态(disabled)
· 从转发状态(forwarding到失效状态(disabled)
· 从失效状态(disabled)到阻塞状态(blocking)
---------------------------------------------------------------------------
四、高级TCP/IP知识 14%
A类地址的范围
范围从 1.0.0.1 到 126.255.255.254 的单址广播 IP 地址。第一个八位字节指明网络,后三个八位字节指明网络上的主机。
注意我说的只是可用IP
网络地址和广播地址我没有写上
是1.0.0.0 126.255.255.255
VLSM与标准子网划分的区别:
允许使用多个子网掩码划分子网
使组织的IP地址空间得到更有效的利用
UDP和TCP头部的共同字段
TCP:Source Port 、Destination Port 、Sequence Number、Checksun、data
UTP:Source Port 、Destination Port 、Length、Checksun、data
FQDN:
域名的根域用“.”表示,以点号结尾的域名称为完全合格域名FQDN(Full Qualified Domain Name)
DNS采用的传输层协议:
DNS系统采用客户机/服务器架构,使用的传输层协议为TCP或UDP,服务器端口号53
一般客户机与本地DNS域名服务器之间的查询交互采用的就是递归查询方式
一般本地域名服务器发送至根域名服务器的查询采用的就是迭代查询
FTP数据连接包括、主动被动的区别
主动方式也称为PORT方式,在建立数据连接的过程中,由服务器主动发起连接,因此被称为主动方式;被动方式也称为PASV方式,在整个过程中,由于服务器总是被动接收客户端的数据连接,因此被称为被动方式
DHCP协议:
在DHCP客户端的IP地址租约期限达到一半时间时,DHCP客户端会向为它分配IP地址的DHCP服务器单播发送DHCP-REQUEST报文,以进行IP租约的更新。如果客户端可以继续使用此IP地址,则DHCP服务器回应DHCP-ACK报文,通知DHCP客户端已经获得新IP租约;如果此IP地址不可以再分配给该客户端,则DHCP服务器回应DHCP-NAK报文,通知DHCP客户端不能获得新的租约。
如果在租约的一半时间进行的续约操作失败,DHCP客户端会在租约期限达到7/8时,广播发送DHCP-REQUEST报文进行续约。DHCP服务器的处理方式同上,不再赘述。
对于RELAY过来的,DHCP SERVER是要进行PING探测不错。可是同时客户端也进行ARP检测,如果ARP检测到地址冲突,会给服务器发送DELINE报文,指示此IP已经被占用,并且会申请新的IP。
DHCP配置:
[Router] dhcp enable
[Router] server forbidden-ip 192.168.1.10
[Router] server forbidden-ip 192.168.1.254
[Router] dhcp server ip-pool 0
[Router-dhcp-pool-0] network 192.168.1.0 mask 255.255.255.0
[Router-dhcp-pool-0] gateway-list 192.168.1.254
[Router-dhcp-pool-0] dns-list 192.168.1.10
[Router-dhcp-pool-0] expired day 5
IPv6 压缩表达式:
冒号十六进制表示法,16位一段,共8段
为了缩短书写长度,可以用压缩表示:
段内前导 “0”压缩
全“0”段压缩
邻居发现协议:
主机无须任何配置就可以连通网络
邻居发现协议所实现的功能包括有
地址解析
与IPv4中的ARP类似
路由器发现/前缀发现
用于发现网络中的路由器及前缀,有利于自动配置
地址自动配置
全新的功能,用于自动生成地址
其它
地址重复检测等
ARP代理配置:
[Switch-Vlan-inte**ce1] proxy-arp enable
--------------------------------------------------------------------------------
五、配置IP路由 22%
路由的掩码长度与匹配的先后顺序、优先级、COST:
优先级值越小越优先;COST越小越好;掩码长度越大、范围越小就越先选
等值路由:目的网段相同,路由优先级相同,下一跳不同的路由
直连路由的下一跳是自己接口的IP,静态的不能是本设备的端口IP
display ip routing-table statistics命令用来显示公网路由表或×××路由表中的综合路由统计信息。路由的综合信息包括路由总数目、路由协议添加/删除路由数目、有deleted标志而未删除的路由、active路由、被释放的路由数目。
ICMP 和 IP:
在网络中,ICMP报文将作为IP层数据报的数据,封装在IP数据报中进行传输,如图13.5所示。但ICMP并不是高层协议,而仍被视为网络层协议。
距离失量路由协议的特征:
1、周期性的广播更新
2、所发送的内容为自己的路由表
3、发送只传递给自己的邻居
4、它是一种基于流言的路由协议
链路状态路由协议的特征:
1、所发送的是自己邻居端口的状态,而不是整个路由表
2、触发式更新
3、采用组播发送
4、路由表的获得是经过自己计算得来的
静态路由和策略路由的cost分别为0、1 所以只能是是动态路由。
路由类型
默认优先级
直连 0
OSPF内部路由 10
IS-IS 15
静态
60
RIP路由 100
OSPF外部路由 150
IBGP 255
EBGP 255
BGP路由 256
除直连路由(DIRECT)外,各种路由的优先级都可由用户手工进行配置。另外,每条静态路由的优先级都可以不相同。
指定出接口还是指定下一跳地址要视具体情况而定,下一跳地址不能为本地接口IP地址,否则路由不会生效。对于Null0和Loopback接口,配置了出接口就不再配置下一跳地址。
NULL0是路由器上的一个虚拟端口,也被称为丢弃端口。所有到达该端口的数据被直接丢弃。
双ISP接入路由自动判断出口地址,比如有电信和网通线路各一条,要实现对电信IP的网站访问时,走电信的那条线;访问网通网站的时候走网通的那条线,当然是可以互为备份,但并非普通的线路备份,而是要根据访问网站的IP地址让路由器来判断是走网通线出去还是走电信线出去.至于路由表,应该是遵循最优路径,只有一条路由!
路由表的来源
路由表中的路由通常可分为以下三类:
a:链路层协议发现的路由(也称为接口路由或直连路由)
b:由网络管理员手工配置的静态路由
c:动态路由协议发现的路由
路由协议的工作过程包括:交换路由信息、计算路由、维护更新路由
RIP使用UDP 520端口,传输的RIP数据包用于进行路由更新。
RIP-1是有类别路由协议(Classful Routing Protocol),它只支持以广播方式发布协议报文。RIP-1的协议报文无法携带掩码信息,它只能识别A、B、C类这样的自然网段的路由,因此RIP-1不支持不连续子网(Discontiguous Subnet)。
RIPv2是一种无类别路由协议(Classless Routing Protocol)。
RIPv2协议报文中携带掩码信息,支持VLSM(可变长子网掩码)和CIDR。
RIPv2支持以组播方式发送路由更新报文,组播地址为224.0.0.9,减少网络与系统资源消耗。
RIPv2支持对协议报文进行验证,并提供明文验证和MD5验证两种方式,增强安全性。
RIP-1和2都能学习到自然分类网段和非自然分类网段,但是1发送的只能是自然分类网段
summary命令用来使能RIP-2自动路由聚合功能,聚合后的路由以使用自然掩码的路由形式发布,减小了路由表的规模。undo summary命令用来关闭自动路由聚合功能,以便将所有子网路由广播出去。
缺省情况下,RIP-2自动路由聚合功能处于使能状态。
使能RIP-2自动路由聚合功能可以减小路由表规模,提高大型网络的可扩展性和效率。
RIP在缺省情况下每隔30秒向相邻路由器发送本地路由表
network 0.0.0.0命令用来在所有接口上使能RIP。
路由聚合:同一自然网段内的不同子网的路由在向外其它网段发送时聚合成一条自然掩码的路由发送
查看RIP的debugging信息:
RIP通过以下机制来避免路由环路的产生:
a:计数到无穷(Counting to infinity):将度量值等于16的路由定义为不可达(infinity)。在路由环路发生时,某条路由的度量值将会增加到16,该路由被认为不可达。
b:水平分割(Split Horizon):RIP从某个接口学到的路由,不会从该接口再发回给邻居路由器。这样不但减少了带宽消耗,还可以防止路由环路。
c:毒性逆转(Poison Reverse):RIP从某个接口学到路由后,将该路由的度量值设置为16(不可达),并从原接口发回邻居路由器。利用这种方式,可以清除对方路由表中的无用信息。
d:触发更新(Triggered Updates):RIP通过触发更新来避免在多个路由器之间形成路由环路的可能,而且可以加速网络的收敛速度。一旦某条路由的度量值发生了变化,就立刻向邻居路由器发布更新报文,而不是等到更新周期的到来。
RIP定时器:
RIP受四个定时器的控制,分别是Update、Timeout、Suppress和Garbage-Collect。
a: Update定时器,定义了发送路由更新的时间间隔。
b:Timeout定时器,定义了路由老化时间。如果在老化时间内没有收到关于某条路由的更新报文,则该条路由在路由表中的度量值将会被设置为16。
c: Suppress定时器,定义了RIP路由处于抑制状态的时长。当一条路由的度量值变为16时,该路由将进入抑制状态。在被抑制状态,只有来自同一邻居且度量值小于16的路由更新才会被路由器接收,取代不可达路由。
d:Garbage-Collect定时器,定义了一条路由从度量值变为16开始,直到它从路由表里被删除所经过的时间。在Garbage-Collect时间内,RIP以16作为度量值向外发送这条路由的更新,如果Garbage-Collect超时,该路由仍没有得到更新,则该路由将从路由表中被彻底删除。 120s
OSPF的常用语、配置
AS下 划分区域area、LSA、LSDB
DR(Designated Router,指定路由器):所有路由器都只将信息发送给DR,由DR将网络链路状态发送出去。
BDR(Backup Designated Router,备份指定路由器):当DR失效后,BDR会立即成为DR
DR Other:既不是DR也不是BDR的路由器,DR Other仅与DR和BDR之间建立邻接关系,DR Other之间不交换任何路由信息。
----------------------------------------------
DR/BDR选举过程:
DR和BDR是由同一网段中所有的路由器根据路由器优先级、Router ID通过Hello报文选举出来的,只有优先级大于0的路由器才具有选举资格。
进行DR/BDR选举时每台路由器将自己选出的DR写入Hello报文中,发给网段上的每台运行OSPF协议的路由器。当处于同一网段的两台路由器同时宣布自己是DR时,路由器优先级高者胜出。如果优先级相等,则Router ID大者胜出。如果一台路由器的优先级为0,则它不会被选举为DR或BDR。
需要注意的是:只有在广播或NBMA类型接口才会选举DR,在点到点或点到多点类型的接口上不需要选举DR;
DR是某个网段中的概念,是针对路由器的接口而言的。某台路由器在一个接口上可能是DR,在另一个接口上有可能是B网段中已经存在的DR/BDR成为新的DR/BDR。
DR并不一定就是路由器优先级最高的路由DR,或者是DR Other。
路由器的优先级可以影响DR/BDR的选举过程,但是当DR/BDR已经选举完毕,就算一台具有更高优先级的路由器变为有效,也不会替换该器接口;同理,BDR也并不一定就是路由器优先级次高的路由器接口。
ospf dr-priority命令用来设置接口的DR优先级。undo ospf dr-priority命令用来恢复缺省情况。
缺省情况下,接口的DR优先级为1。
接口的DR优先级决定了该接口在选举DR/BDR时所具有的资格,数值越大,优先级越高。优先级高的在选举权发生冲突时被首先考虑。如果一台设备的优先级为0,则它不会被选举为DR或BDR。
设备不支持在Null接口、Loopback接口上配置DR优先级。
----------------------------------------------------
ospf 数据封装在ip包中,协议号是89(十进制),和tcp(6),udp(17)是并列的。
OSPF有五种类型的协议报文:Hello、DD、LSR、LSU、LSAck
LSA类型: Router LSA、 Network LSA、Summary LSA、AS External LSA、 NSSA External LSA
ABR(区域边界路由)
一个路由器可以属于不同的区域,但是一个网段(链路)只能属于一个区域,或者说每个运行OSPF的接口必须指明属于哪一个区域
一台运行OSPF协议路由器,每一个OSPF进程必须存在自己的Router ID(路由器ID)。
路由器的一个接口只能属于某一个OSPF进程。
只有在同一个区域的OSPF路由才能建立邻居和邻接关系
是在AS内选DR还是在AREA内选的DR:是在相同地网段中,即AREA
OSPF永久组地址:224.0.0.5
配置:
system-view
--router id ip-address
ospf [ process-id | router-id router-id | ***-instance instance-name ] *
description description
area area-id
description description
network ip-address wildcard-mask(配置区域所包含的网段并在指定网段的接口上使能OSPF)