HCIA-RS知识梳理(下)

VLAN的应用
1 .VLAN是一个二层技术,被用于隔离广播域。
2 .VLAN标签设置在数据帧的S.MAC 与 TYPE字段中间,长度为32bit。
VLAN标签被分为TPID字段与TCI字段
TPID占有16bit,代表这是一个带有VLAN标签的数据帧。
TCI占有16bit,被分成三个字段,分别是,路由优先级(3bit),CFI(1bit),VLAN ID(12bit)
路由优先级,取值范围0-7
CFI,当CFI为0是,代表数据为规范格式,CFI为1时,代表数据为非规范格式。
VLAN ID,代表VLAN标签的ID号,取值范围0-4095,可用范围1-4094.
3 .VLAN的种类:
基于端口的VLAN(最常用),基于mac地址的VLAN,基于子网的VLAN,基于协议的VLAN,
基于策略的VLAN(优先级最高)
4 .交换机链路的类型
Access 一般是用于交换机与主机之间,只允许一种VLAN通过。
Trunk 一般是用于交换机与交换机之间,允许多种VLAN通过,拥有允许通过的VLAN列

一个带有VLAN标签的数据到达Trunk链路的入接口,如果VLAN标签与入接
口的PVID相同,则摘标签通过
如果不同,则检查VLAN标签是否在允许通过的VLAN 列表里
如果在允许的范围内,则带标签通过,不在允许通过的范围,则舍弃。
Hybrid 一般是用于交换机与主机之间,允许多种VLAN通过,拥有去标签的列表
可以起到隔离主机的作用。
Trunk与Hybrid的不同之处:
Trunk链路只允许VLAN标签与接口PVID相同时才摘标签通过,
Hybrid链路允许多种VLAN去标签通过。

VLAN间路由
1 可以实现路不同VLAN不同网段之间的主机的通信,单臂路由运用子接口的技术。

2 单臂路由使用的真实的接口就一个,转发速率有限制,因此产生了三层交换技术
3 三层交换机的技术是二层交换机基于VLAN的功能开启的。

访问控制列表ACL
1 ACL的分类: 基本ACL(2000-2999) 只识别的数据包的源IP
高级ACL(3000-3999) 对数据包的源IP与目的IP,源目端口号一起识别
二层ACL(4000-4999) 识别数据包的mac地址
2 ACL的规则匹配的原则:
深度优先:查看规则,会优先去查看范围更细致的规则。
手动配置顺序(缺省的ACL匹配顺序):依次按照管理员手工配置的顺序的进行匹配规则。
3 ACL的功能流量过滤和流量筛选。
网络地址转换 NAT
1 IPv4地址空间不足,研发了IPV6,IPv4的地址长度32bit,IPV6地址长度128bit,但是IPv6
的部署还没有完成,才发明了NAT这个过度的技术来缓解地址空间不足的问题。
2 NAT将网络分成公网与私网。
使用公网地址的网络我们称之为公网,也叫做全局网络或外部网络。
使用私网地址的网络我们称之为私网,也叫做内部网络或内网。
私网地址范围: 10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
3 公网与私网的边缘我们应用一台NAT设备进行连接,NAT设备通常是由一台路由器来实现。
4 NAT的种类:
静态NAT 实现了私网地址与公网地址的一对一的映射,映射关系手工创建
动态NAT 实现了私网地址与公网地址的一对一的映射,映射关系自动生成,需要创建
地址池
NAPT 实现了多个私网地址与一个公网地址的映射,加入了端口技术
Easy IP 不需要设置地址池的NAT技术
NAT Server 普通的NAT技术实现了私网到公网的访问,但是公网访问不了私网
NATserver实现了公网可以访问私网服务器的过程

IPsec VPN
1 IPsec只是一个安全框架,IKE是用来协商IPsec安全框架内的使用,最终协商所使用的
IPsec的框架内的参数的结果,称之为安全联盟SA。
2 IPsec的两种模式:
IPsec传输模式:在传输模式下, AH或ESP报头位于IP报头和传输层报头之间。
IPsec隧道模式:在隧道模式下,IPSec会另外生成一个新的IP报头,并封装在AH或ESP
之前。
3 IPsec VPN的配置顺序:
配置网络可达:指的就是隧道两端的路由器拥有去往对端设备的路由。
配置ACL感兴趣流:使用高级ACL来识别数据
创建安全提议:协商IPsec框架内的参数。
创建安全策略:引用一些参数,包括ACL感兴趣流与安全提议。
应用安全策略:将安全策略调用到接口上。

你可能感兴趣的:(网络)