华为_网络工程师_初级笔记（完整版）

1.1 企业网架构

了解企业网络的架构是如何适应业务的需求将变得十分必要。

随着业务的不断发展，企业对网络的要求也在不断提高。仅仅提供数据传输的基础网络已经不能满足企业业务发展的需求。如今的企业网络需要针对不同业务，提供不同的网络服务，还需要通过配置策略来应对越来越多的内部和外部的安全威胁，以保障企业网络的安全。因此，扩展现有的企业网络变得越来越有必要。

（1）网通最基础东西

（2）安全问题考虑

（3）扩展

企业网架构

（1）接入、汇聚、核心区域、数据中心区域、DMZ区域、企业边缘、网络管理区域

（2）核心层、汇聚层、接入层

（3）可扩展、可靠性、安全性、可管理性

扩展企业网络

（1）任何时间、地点访问到企业内网（2）IPsec

提升网络性能

（1）优化：QOS

（2）冗余：可靠性，VRP、堆叠

安全

（1）内部

（2）外部

管理企业网络

（1）网管软件的实时检测可以提高网络的可用性

下一代企业网络

• 云

2.0 OSI 七层 模型

OSI模型-简介

OSI模型-物理层

OSI模型-数据链路层

OSI模型-网络层

OSI模型-传输层

OSI模型-会话层

OSI模型-应用层

OSI模型-表示层

2.1 OSI模型-简介

OSI RM：开放系统互连参考模型（Open System Interconnection Reference Model）

OSI参考模型具有以下优点：

OSI参考模型具有以下优点：

• 简化了相关的网络操作
• 提供设备间的兼容性和标准接口
• 促进标准化工作
• 结构上可以分隔
• 易于实现和维护

OSI参考模型

OSI模型的特点

OSI与TCP/IP

PDU的封装

2.2 OSI模型-物理层

物理层

规定介质类型、接口类型、信令类型

规范在终端系统之间激活、维护和关闭物理链路的电气、机械、流程和功能等方面的要求

规范电平、数据速率、最大传输距离和物理接头等特征

• 物理层介质
• 同轴电缆
  • 10base5 10M 基带 500米
  • 10base2
• 双绞线
  • 5类：100米
  • 超5类：1000米
  • 6类：万兆
• 光纤
  • 单模
  • 多模
• 无线电波
• 物理层设备
• 中继器，集线器

线缆

双绞线线序

---

2.3 OSI模型-数据链路层

MAC Sub-layer ：Media Access Control Sub-Layer 介质访问控制子层

• 指定数据如何通过物理线路进行传输，并与物理层通信

​ LLC Sub-layer：Logic Link Control Sub-layer逻辑链路控制子层

• 识别协议类型并对数据进行封装通过网络进行传输
  

数据链路层-网卡

MAC地址有48位，华为产品前3个字节是0x00E0FC。

---

2.4 OSI模型-网络层

网络层功能与设备

功能

• 在不同的网络之间转发数据包

设备

• 路由器、三层交换机

网络层

网络层（也叫Internet层）

• 负责将分组报文从源端发送到目的端

网络层作用

• 为网络中的设备提供逻辑地址
• 负责数据包的寻径和转发

网络层-IP报头

网络层-ICMP

如何得知网络的IP连通性？

网际控制报文协议

ICMP（Internet Control Message Protocol）是面向连接的协议，用于向源节点发送“错误报告”信息。

常用的工具有PING.EXE和TRACERT.EXE。 (ping 和 tracert)

Ping是个应用程序，它的作用及工作原理

目的：测试网络层的连通性 （在网络层模拟应用的双向通信）

工作原理：

1、发送ICMP的echo request

2、ICMP被IP封装,中间网络设备看到的是IP包

3、目标主机接收到echo request发送echo reply

Ping通:

1、通信子网—去 回

2、资源子网----发送主机 接收主机

网络层-ARP

ARP过程：目标主机在本地网络

ARP 协议具有两项基本功能：

• 将 IPv4 地址解析为 MAC 地址
• 维护映射的缓存

2.5 OSI模型-传输层

传输层-TCP/UDP

传输层-TCP/UDP

端口号

3.0 CSMA/CD

CSMA/CD

带有冲突检测的载波监听多路访问

1. CD：冲突检测
2. CS：载波侦听
3. MA：多路访问

共享式网络中可能会出现信号冲突现象。

CSMA/CD：带有冲突检测的载波监听多路访问，可以检测冲突，但无法“避免”

• 空闲状态发送，有冲突了就立马停止，检测空闲时候再发
• 先听后发，边听边发，冲突停发，随机延迟后重发
  

同轴电缆：共享式网络（早期）

双工模式

• 两种双工模式都支持双向数据传输。

• 半双工

• • 既能发送数据又能接受，但是不能同时——>对讲机

• 全双工

• • 可以同时发送接受——>一般都支持

什么是冲突域

• 当一个冲突域中的主机，发送数据的时候，数据到达目的端可能会发生冲突。

CSMA/CD的作用是什么？

• 避免冲突域

4.1 OSI-分层模型

ISO：国际标准化组织；

• 定义了OSI模型：开放式的系统互联；网络数据传输。

IEEF：互联网工程小组（主关路由协议）；

IEEE：电子与电气工程协会（局域网）；

• 1980年2月成立了802委员会

网络中传输数据时需要定义并遵循一些标准，以太网是根据IEEE 802.3标准来管理和控制数据帧的。了解IEEE802.3标准（ISO组织）是充分理解以太网中链路层通信的基础。

网络通信协议

分层模型作用

以太网数据帧作用

掌握MAC地址作用

以太网数据转发过程

网络通信协议

1. 不同的协议栈用于定义和管理不同网络的数据转发规则。
2. 美国国防部推出了TCP/IP

OSI推出了一个参考模型，其他的一个厂家以后要去开发标准化

分层模型作用

分层设计的意义

1. 简化了相关的网络操作；提供了不同厂商之间的兼容性；促进了标准化工作；结构上进行了分层；易于学习和操作。
2. 各个层次独立，一层的变化不会影响到邻层

分层模型- OSI：网络数据传递

1. 物理层：电气特性、物理；如USB口大小，电压大小
2. 数据链路层：为物理层提供可靠保障，ICMP帧校验，它可以通过MAC地址来在链路层之间访问介质，并进行差错控制。
3. 网络层：主要负责IP寻址和路由的选择，路由器上有很多接口，通过网络层判断从那个接口出去。
4. 传输层：定义主端到端的连接，TCP/UDP，可靠和不可靠，TCP（请求-确认-OK），UDP直接发数据
5. 567层之间合并应用层；
   1. 会话层：使用QQ聊天的时候，我集合ABC这三个人一起聊天，接受到数据时怎么知道是谁发的，通过会话层判断。
   2. 表示层：发数据视频，通常会进行格式化或者加密或者解密，的方式然后再把它发出去
   3. 应用层：为应用程序提供网络服务的，比如说为QQ、微信提供应用，通过端口来进行判断是那个应用发过来的。
      
      例子：A端QQ我要发一个“你好”来发到我们B端，属于应用层，我肯定要给它进行一个数据格式化或者加密解密，会话层判断发给谁，再发送数据（TCP/UDP），网络层判断从那个设备的那个端口出去，数据链路层通过传输介质发送到B的电脑…

OSI层次设计理念

1. 建立七层模型的主要目的是为解决异种网络互连时所遇到的兼容性问题。
2. 它的最大优点是将服务、接口和协议这三个概念明确地区分开来
3. 服务：某一层为上一层提供一些什么功能
4. 接口：上一层如何使用下层的服务
5. 协议：如何实现本层的服务
6. 这样各层之间具有很强的独立性，互连网络中各实体采用什么样的协议是没有限制的，只要向上提供相同的服务并且不改变相邻层的接口就可以了

分层模型– TCP/IP

• 实际上使用的是TCP/IP模型
  

---

4.2 数据封装

PDU-数据段-数据包-数据帧-比特流（最小单位，高电压低电压）

一个字节=8比特

终端直接的通信

1. 头部——数据——帧校验
   
   Ethernet II：

• 6字节目的mac’地址
• 6字节源mac地址
• 2字节type类型
  • 0x0800：ip
  • 0x0806：ARP

802.3：

• 6字节mac地址
• 6字节的源mac地址
• 2字节的length
• 3字节的LLC：逻辑链路控制
• 5字节的SNAP：服务访问点

LLC+SNCP= 类似Ethernet II中的type

头部帧格式

都是使用Ethernet_II 帧格式

1. 6字节源mac
2. 6字节目的mac
3. 2字节type

mac：6个字节=48比特=十六进制表示（AAAA-BBBB-CCCC）

1. IEEE802.3 帧格式——STP

2. 通过type和Length判断，当type或length值小于等于1500时，说明分装是IEEE802.3 帧格式，反之为Ethernet_II 帧格式
   
   由三家公司发明：

3. D：DEC

4. I：internet

5. X：施乐

Ethernet_II 帧格式：82年发明 14字节

• Ethernet_II 帧类型值大于等于1536 (0x0600)。

• 以太网数据帧的长度在64-1518字节之间。
  
  IEEE802.3 帧格式（少数协议）

• IEEE 802.3 帧长度字段值小于等于1500 (0x05DC)。

• LLC

• SNAT
  
  以太网的MAC地址

1. 前24是OUI叫组织唯一标识符是由IEEE统一分配给设备制造商的，华为设备固定标识是0x00e0fc
2. 第二部分由华为自由分配；2的24次方=1千六百70万。
   
   局域网中的帧可以通过三种方式发送：单播、组播、广播

单播

• 第一个字节的第8为为0

广播

• 全F

组播

• 组播比广播更高效一点
• 第一个字节的第8为为1

数据帧的发送和接受

• 当主机接收到的数据帧所包含的目的MAC地址是自己时，会把以太网封装剥掉后送往上层协议。
  

1. 网络设备图和确定以太网数据帧的上层协议？
   1. type：0x0800
   2. type：0x0806
2. 终端设备接收到数据帧时，会如何处理？
   1. 检测帧头中的目的MAC地址，看物理地址和本地物理地址是否匹配，再去校验帧校验的序列字段，完整后接受检查通过，然后交给上层处理。

---

5.1 IP头部

上层协议类型

IP报文头部

网络层位于数据链路层与传输层之间。网络层中包含了许多协议，其中最为重要的协议就是IP协议。网络层提供了IP路由功能。理解IP路由除了要熟悉IP协议的工作机制之外，还必须理解IP编址以及如何合理地使用IP地址来设计网络。

ip：internet protocol 经过历时的淘汰只剩它

（1）：IP头

（2）：IP编址

（3）：IP子网划分

上层协议类型

• 以太网帧中的Type字段值为0X0800，表示该帧的网络层协议为IP协议。

IP报文头部

第一行：

• 版本号：ipv4和ipv6；
• 4比特头部长度：非固定长度（20-60字节）；
• 4比特DS：主要用于早期标识网络业务类型，QoS当中的差分服务类型来实现网络流量优化；
• 8比特总长度：包括IP头在内的数据长度，IP层之后的都算；16比特

第二行：

• mtu最大传输单元（1500字节 ）默认；数据超过myu时会分片；
• 标识：用来识别原始报文；
• 16比特标志：我这个数据包是不是最后一片；
• 3比特片偏移：按原始数据组合；13比特

第三行：

• TTL：减少环路带来的危害，每经过一次路由衰减1，8个比特，最大255最小0；
• 8比特上层协议：比如6号TCP；17号UDP；1号ICMP；89号ospf；
• 8比特头部校验和：防止传递过程中出现错误；16比特

第四行

• 源IP；32比特第

五行

• 目的IP；32比特

第六行

• IP的可选项

5.2 IP 编址

非常重要

ip：寻址

• IP地址分为网络部分和主机部分。
• IP地址由32个二进制位组成，通常用点分十进制形式表示

IP地址分类

IP地址类型

网络通信

子网掩码

地址规划

IP地址分类

单播：

1. A类地址：第一个bit 固定为0
2. B类地址：前2个bit 固定为10
3. C类地址：前3个bit 固定为110

5.3 IP 头部详解

有类IP编址的缺陷

子网划分

网关

IP包分片

生存时间

协议号

有类IP编址的缺陷

• 有类IP编址的缺陷—可变长子网掩码（Variable Length Subnetwork Mask）

子网划分

• 核心思想
  • “借用”主机位来“制造”新的“网络”
• 好处
  • 缩减网络流量
  • 优化网络性能
  • 简化管理
  • 更为灵活地形成大覆盖范围的网络

最本质的作用，合理分配IP地址。

网关

• 网关用来转发来自不同网段之间的数据包。
• 离主机最具的三层设备接口IP地址-----就是主机的网关

IP包分片

1. 标识符：拆成几段，标识符来分辨分片属于同一个包
2. 标志：判断是否已经收到最后一个切片，为1代表最后一个
3. 段偏移：延迟等造成不是按照原先的排列组个发送，重新排列组合

生存时间

• TTL=255，防止环路现象，没经过一个三层设备减一，为0时丢弃。
  
  [思考]

子网掩码的作用？

• 区分IP地址中的网络号和主机号

IP报文头部中的TTL字段的作用？

• 防止环路带来的隐患

网关的作用？

• 可以接收处理本地主机发送数据，让不同网段互通

---

6.0 ICMP协议

须知：

（1）知道叫啥名

（2）做什么的

（3）报文、原理

Internet控制信息协议ICMP（Internet Control Message Protocol）是网络层的一个重要协议。ICMP协议用来在网络设备间传递各种差错和控制信息，它对于收集各种网络信息、诊断和排除各种网络故障具有至关重要的作用。使用基于ICMP的应用时，需要对ICMP的工作原理非常熟悉。

作用：测试网络的直通性

描述ICMP的应用场景、常见的ICMP报文类型、ping\telnet

ICMP

ICMP数据包格式

ICMP消息类型和编码类型

ICMP重定向

ICMP差错检测

ICMP错误报告

ICMP应用-Ping

ICMP应用-Tracert

ICMP

• 物理层—>Ethernet—>IP—>ICMP(应用层协议)；不是报文封装在第四层就是传输层。
• ICMP用来传递差错、控制、查询等信息
  

ICMP数据包格式

• Type：表示ICMP消息类型
• Code：表示同一消息类型中的不同信息。
• Checksum：检测信息的完整性
  

ICMP消息类型和编码类型

用来对网络进行故障测试

1. 测试网络连通性

   1. 使用工具：
   2. ping两种报文：
      1. echo request 请求 type 8 code 0
      2. echo reply 回复 type 0 code 0

2. request请求报文：8 0
   

3. reply：回应包 0 0
   
   ICMP重定向
   
   ICMP差错检测

• ICMP Echo Request和ICMP Echo Reply分别用来查询和响应某些信息，进行差错检测。

ICMP错误报告

• 当网络设备无法访问目标时，会自动发送ICMP目的不可达报文到发送端设备。
• 环路？、目的不可达？等

ICMP应用-Ping

1. -a:指定报文的源IP地址
2. -c：指定发送报文次数
3. -h：指定TTL的值

ICMP应用-Tracert

Tracert 路由追踪

• 目的为了查看 从主机端到目的主机 中间一个经历了多少设备

原理（华为）

• 第一个包：UDP报文，目的端口33434，TTL=1
• 第二个包：UDP报文，目的端口33435，TTL=1

前三个包 都是TTL=1

第四个到第6个包：TTL=2

• 一个设备如果进行转发时，TTL值衰减为0，则向源主机回复ICMP报文，Type=11 CODE=0,表示TTL超时；
• 如果一个设备收到数据包，目的地址为自己，但目的端口为33434，则向源主机回复ICMP Type=3 CODE=3 表示端口不可达；
• 一旦主机收到type3 CODE=3 的ICMP报文，表示追踪完成
  
  思考

1. ping使用的时那两类的ICMP消息？
   1. reply、request
2. 当网络中TTL=0的报文IP，如何处理
   1. 丢弃，并向源端发送一个ICMP，告诉TTL超时

---

7.0 ARP 协议

网络设备有数据要发送给另一台网络设备时，必须要知道对方的网络层地址（即IP地址）。IP地址由网络层来提供，但是仅有IP地址是不够的，IP数据报文必须封装成帧才能通过数据链路进行发送。数据帧必须要包含目的MAC地址，因此发送端还必须获取到目的MAC地址。通过目的IP地址而获取目的MAC地址的过程是由ARP（Address Resolution Protocol）协议来实现的。

ARP工作原理

ARP数据包格式

ARP工作过程

代理ARP

免费ARP

ARP工作原理

• 如何通过已知目的ip地址，获取MAC地址
  • 数据链路层在进行数据封装时，需要目的MAC地址。
    
    ARP数据包格式

ARP报文不能穿越路由器(隔离广播域)，不能被转发到其他广播域。

1. 硬件类型：一般是以太网
2. 协议类型：ipv4
3. MAC地址 6比特
4. IP地址长度；4比特
5. 报文是reply还是request
6. 硬件源、目的硬件地址、源/目的IP地址

• 要么是全F,要么是全0，厂商问题

请求：

回复

ARP工作过程

1. 主机A发送一个数据包给主机C之前，首先要获取主机C的MAC地址。
2. 先发ARP包获取MAC地址；

代理ARP

• 位于不同网络的网络设备在不配置网关的情况下，能够通过ARP代理实现相互通信。
  
  免费ARP

• 免费ARP可以用来探测IP地址是否冲突。
  
  网络设备在什么情况下会发送ARP Requset？

• 检查ARP缓存，若不存在就发送ARP Requset请求目的mac地址。

网络设备什么时候会产生免费代理ARP？

• 检查IP地址是否冲突（IP地址变更）

---

8.0 传输层协议:TCP/UDP

传输层定义了主机应用程序之间端到端的连通性。传输层中最为常见的两个协议分别是传输控制协议TCP和用户数据包协议UDP；

TCP/UDP工作原理

TCP端口号

TCP头部

TCP建立连接的过程

TCP流量的控制

TCP关闭连接

UDP：用户数据报协议

UDP头部

UDP传输过程

面向连接：建立连接前先发数据包

面向无连接：不用建立连接，就是打电话和发短信的区别；

TCP/UDP工作原理

面向连接的传输层协议，可提供可靠的传输服务

TCP端口号

1. 端口号区分不同的网络服务

2. 端口分类

   1. 0-1023 固定端口
   2. 0-65535 动态端口

23 telnet

22 ssl

20/21 FTP

80 HTTP 超文本传输协议

443 HTTPS

52 DNS

3389 远程桌面

TCP头部

1. 源端口号、目的端口号
2. 序列号、确认序列号（TCP特点：可靠）
3. 头部长度(20-60字节)、保留、六个标志（指针是否有效、确认序列号、为1立刻读取走、要求重新建立连接、请求建立连接、控制对端关闭）、窗口–控制流量大小；
4. SYN：初始化请求
5. ACK：确认
6. FIN：结束请求
7. window：窗口，防止拥塞
8. 校验和、可选字段（通常没用）
   
   TCP建立连接的过程

• 三次握手四次断开，序列号+1回复

TCP流量的控制

1. 滑动窗口
   
   TCP关闭连接

2. 主机在关闭之前，要确认收到来自对方的ACK

3. 四次断开
   
   UDP：用户数据报协议

• 面向无连接的传输层协议，传输可靠性没有保障
  
  UDP头部
  
  UDP传输过程

由应用程序根据需要提供报文到达确认、排序、流量控制等功能；

1. UDP不提供重传机制、占用资源小、速度快；
2. 一些敏感流量，视频、语音；
   
3. TCP头部中的确认标识符作用？
   • 目的端对收到数据的确认
4. TCP头部中有那些标识符参与TCP三次握手
   • SYN请求建立连接、ACk标志位来确认；

---

9.0 数据包转发过程

TCP/IP协议簇和底层协议配合，保证了数据能够实现端到端的传输。数据传输过程是一个非常复杂的过程，例如数据在转发的过程中会进行一系列的封装和解封装。对于网络工程师来说，只有深入地理解了数据在各种不同设备上的转发过程，才能够对网络进行正确的分析和检测。

概述

TCP封装

IP封装

查找路由

ARP

以太网封装

数据帧转发过程

数据包转发过程

数据包解封装

数据段解封装

概述

• 数据可以在同一网络内或者不同网络间传输，数据转发过程也分为本地转发和远程转发，但两者的数据转发原理是基本一样的，都是遵循TCP/IP协议簇。
  
  TCP封装

• 当主机建立了到达目的地的TCP连接后，便开始对应用层数据进行封装

• 主机A使用TCP进行报文封装时，必须填充源端口和目的端口字段，初始序列号和确认序列号字段，标识位，窗口字段以及校验和字段。
  
  IP封装

• 使用IP进行封装时，需要明确IP报文的源和目的地址。如果IP报文的大小大于网络的最大传输单元（MTU），则该报文有可能在传输过程中被分片。生存时间（TTL）字段用来减少网络环路造成的影响。
  
  查找路由

• 它发往其他网络的数据都会通过IP地址为10.1.1.1的接口转发到下一跳，即网关10.1.1.254。

ARP

• 由于数据包要被封装成数据帧，所以主机A需要获取下一跳的MAC地址，也就是网关的MAC地址。主机首先会查询ARP缓存表。
• 通过ARP缓存表找到下一跳的MAC地址。
• 如果表项里没有下一跳的MAC地址，主机A会发送ARP请求。
  
  以太网封装

1. 主机A在链路层封装数据帧时，会遵循IEEE 802.3或Ethernet_II标准，Ethernet_II帧头中的类型字段填充为0x0800，以表示网络层使用的是IP协议。
2. 源MAC地址为主机A的MAC地址，目的MAC地址为网关路由器E0/0接口的MAC地址。
   
   数据帧转发过程

• 主机工作在半双工状态下，所以会使用CSMA/CD来检测链路是否空闲。

• 前导码用于使接收者进入同步状态，定界符用于指示帧的开始。
  
  数据包转发过程

• 同一个冲突域里的设备都会接收到主机A发送的数据帧。

• 只有网关（RTA）会处理该数据帧，并继续转发。

• 主机A发送数据帧到共享以太网，此网络中的所有网络设备都会收到该帧。设备收到帧之后，首先会进行FCS校验。如果FCS校验未能通过，则帧被立即丢弃。对于通过了FCS校验的帧，设备会检查帧中的目的MAC地址。如果帧中的目的MAC地址与自己的MAC地址不同，设备将丢弃帧，如果相同，则会继续处理。处理过程中，帧头帧尾会被剥去（也就是解封装），剩下的数据报文会被根据帧头中的类型字段的值来送到网络层中的对应协议模块去处理。
  

• 网关检查是否具有到达目的网络的路由条目。

• 如果存在转发路径，则为数据包添加一个新的二层帧头和帧尾，并继续转发。

• 对TTL处理、链路层重封装（新的源MAC、目的MAC）

数据包解封装

• RTB以服务器A的MAC地址作为目的MAC继续转发。服务器A接收到该数据帧后，发现目的MAC为自己的MAC，于是会继续处理该数据帧。
  

• 服务器A通过IP协议来处理该报文，首先会通过校验和字段来验证报文头的完整性，然后检查IP报文头中的目的IP地址是否与自己当前的IP地址匹配

• 服务器A检查数据包的目的IP地址，发现目的IP与自己的IP地址相同。

• 服务器A剥掉数据包的IP头部后，会送往上层协议TCP继续进行处理。
  
  数据段解封装

• 服务器A检查TCP头部的目的端口，然后将数据段发送给应用层的HTTP协议进行处理。
  

1. 数据在进行二层和三层封装之前，主机需要了解那些信息？
   • 目的IP地址，下一跳MAC地址、去往目的地址的路由
2. 当数据帧发送到非目的主机时，非目的主机将会如何处理？
   • 帧校验、比对MAC地址
3. 当两台主机同时访问服务器的HTTP服务，该服务器如何区分数据属于哪个会话？
   • 源端口号

---

10.VRP基础

交换机可以隔离冲突域，路由器可以隔离广播域，这两种设备在企业网络中应用越来越广泛。随着越来越多的终端接入到网络中，网络设备的负担也越来越重，这时网络设备可以通过华为专有的VRP系统来提升运行效率。

通用路由平台VRP（Versatile Routing Platform）是华为公司数据通信产品的通用操作系统平台，它以IP业务为核心，采用组件化的体系结构，在实现丰富功能特性的同时，还提供了基于应用的可裁剪和可扩展的功能，使得路由器和交换机的运行效率大大增加。能对VRP熟练地进行配置和操作是对网络工程师的一种基本要求

华为操作系统 和电脑操作系统一个概念，主流版本VRP5

终端之间通信

路由器的应用

物理层设备

二层设备（以太网）交换机

二层地址（MAC）

三层设备和功能－路由器

终端之间通信

• 通过三种方式实现数据报文在主机之间流动,交换机每一个接口都时一个冲突域
  1. 物理层设备转发报文
  2. 数据链路层（二层）设备转发报文
  3. 网络层（三层）设备转发报文

路由器的应用

• 分割广播域
  
  物理层设备

• 物理层设备直接互联主机，帮助把主机A发出的电信号直接传递给主机B

• 例如:

  • 以太网线
  • 串口线
  • 中继放大器（HUB)

二层设备（以太网）交换机

• 交换机提供多个接口连接多台主机
• 注意：二层设备除二层的功能外，还拥有完整的一层功能
• 例如:
  • 网络接口卡（NIC）
  • 网桥－Bridge
  • 交换机－Switch

二层地址（MAC）

1. 每个主机都有一个MAC 地址
2. 交换机利用交换表，利用主机的目的MAC地址转发数据报文
3. 交换机采用静态或者动态的方法生成交换表
4. MAC地址+ valn + 接口

三层设备和功能－路由器

1. 路由器提供接口和主机或者其他网络设备相连接，路由器利用路由表，根据数据包的三层目的IP地址转发数据报文。
2. 路由器采用静态或者动态的方法生成路由表
3. 注意：三层设备有完整的二层和一层功能
4. 目的网段+出接口+…

交换机的应用

• 如果使用Hub，则主机A发送数据时，其他主机都不能发送数据，否则会发生冲突。使用交换机时，则不会出现这种现象。

路由器的应用

• 路由器可以分割广播域

冲突域 广播域

• 冲突域（collision domain）：在以太网中，当多个节点同时传输数据时，从多个设备发出的帧将会碰撞，在物理介质上相遇，彼此数据都会被破坏，这样的共享介质网段就叫冲突域
• 广播域 (broadcast domain)：广播帧传输的网络范围，一般是路由器来设定边界（因为router不转发广播）

---

11.命令行基础

熟悉VRP命令行并且熟练掌握VRP配置是高效管理华为网络设备的必备基础 善用：tab、？

命令等级

---

12.交换网络基础1

• 交换机不同数据帧的转发方式：

  • 区别HUB：
    1. 全双工
    2. 数据链路层设备
    3. MAC地址表（CAM表） “MAC地址 端口”
  • 交换机转发：收到数据帧
    • 步骤1：学习 数据帧的源mac地址
    • 步骤2：转发；转发方式：“（1）泛洪” “（2）过滤”
    • 数据帧的分类：
      • （1）已知单播：是指MAC地址表中已经学习到的表项 ----过滤
      • （2）未知单播：指MAC地址表中没有学习到的表项 ----泛洪
      • （3）组播帧 ----泛洪
      • （4）广播 ----泛洪

13.交换网络基础 2

常见的以太网设备包括Hub、交换机等。交换机工作在数据链路层，它有效地隔离了以太网中的冲突域，极大地提升了以太网的性能。

交换机不同数据帧的转发方式

区别HUB：

1. 全双工
2. 数据链路层设备
3. MAC地址表（CAM表） “MAC地址 端口”

交换机转发：

1. 收到数据帧‘
   1. 步骤1：学习 数据帧的源mac地址
   2. 步骤2：转发；转发方式：“（1）泛洪”“（2）过滤”
2. 数据帧的分类：
   1. 已知单播：是指MAC地址表中已经学习到的表项 ----过滤
   2. 未知单播：指MAC地址表中没有学习到的表项 ----泛洪
   3. 组播帧 ----泛洪
   4. 广播 ----泛洪

小型交换网络

• 交换机工作在数据链路层，转发数据帧。
• 交换机提供的大量的接入端口

交换机的转换行为

• 交换机中有一个MAC地址表，里面存放了 MAC地址与交换机端口的映射关系。MAC地址表也称为CAM

• 交换机对帧的转发操作行为一共有三种：

  • 放洪（Flooding）
  • 转发（Forwarding）bz
  • 丢弃（Discarding）
    

• 交换机还具有学习能力。当一个帧进入交换机后，交换机会检查这个帧的源MAC地址，并将该源MAC地址与这个帧进入交换机的那个端口进行映射，然后将这个映射关系存放进MAC地址表。

交换机初始状态

• 初始状态下，交换机MAC地址表为空。
  
  学习MAC地址
  
  转发数据帧

• 当数据帧的目的MAC地址 不在MAC表中，或者目的MAC地址为广播地址时，交换机会泛洪该帧
  
  目标主机回复

• 交换机根据MAC地址表将目标主机的回复信息单播转发给源主机。
  
  当一台交换机从网络的一个端口移动到另一个端口时，交换机的MCA地址会发生什么变化？

• 直接清除对应MAC表项，另一个端口UP时，重新去学习MAC地址，发送报文时重新添加到MAC缓存表

---

14.STP原理与配置

目的：

1. 提高网络可靠性
2. 冗余链路

问题：

1. 广播风暴
2. MAC地址表翻滚
3. 同一数据帧不断拷贝

解决：

1. 生成树协议STP（Spanning Tree Protocol）可以在提高可靠性的同时又能避免环路带来的各种问题。

广播风暴

MAC地址表震荡

STP的作用

STP操作

角色选举

端口状态

报文，计时器

拓扑变更

广播风暴

根据交换机的转发原则，如果交换机从一个端口上接收到的是一个广播帧，或者是一个目的MAC地址未知的单播帧，则会将这个帧向除源端口外的所有其他端口转发。如果交换网络中有环路，则这个帧会被无限转发，此时便会形成广播风暴，网络中也会充斥着重复的数据帧。

环路会引起广播风暴。

网络中的主机会收到重复数据帧。

MAC地址表震荡

• 交换机是根据所接收到的数据帧的源地址和接收端口生成MAC地址表项的。

STP的作用

• STP通过阻塞端口来消除环路，并能够实现链路备份的目的。

STP操作

1. 选举根桥
2. 每个非根交换机选举一个根端口
3. 每个网段选举一个指定端口
4. 阻塞非根、非指定端口

角色选举

根桥选举

每一台交换机启动STP后，都认为自己是根桥。

1. 优先级（32768）
2. MAC（小优）

根端口选举

1. 根路径开销
2. 对端BID（Mac+优先级）
3. 对端PID（端口优先级128+端口号）小优
4. 本端PID（端口号）小优

指定端口选举

每个网段都有一个

1. 根路径开销
2. BID（Mac+优先级）
3. RID—端口ID（小优）

端口状态

1. Forwarding
2. Learning 15s
3. Listening 15s
4. Blocking
5. Disabled

报文，计时器

BPDU报文

1. 桥ID、路径开销、BID、端口ID、计时器、最大生存周期、发送周期、端口状态迁移延时

计时器

1. hello time：2s；老化时间20s、老化时间>Max time将会被丢弃

根桥故障

1. 50s=30s+2倍延时

直连故障

1. 30s

非直连故障

1. 50s=30s+20s老化

拓扑变更

拓扑改变导致MAC地址表错误

1. MAC老化时间300s，这段时间内将造成主机无法到达目的
   
   STP 模式‘

2. mstp

3. rstp

4. stp

根故障又恢复

• 抢占

端口开销和根路径开销区别

• 端口开销：某个端口的开销
• 根路径开销：到根的开销

---

15.RSTP

目的：解决STP收敛较慢问题

RSTP对STP的改进：

1. 端口角色与端口状态
2. 快速收敛机制
3. 拓扑变化处理机制
4. 保护功能

端口角色的重新划分

快速收敛机制

拓扑变更

保护功能

端口角色的重新划分

RSTP定义了两种新的端口角色：备份端口（Backup Port）和预备端口（Alternate Port）。

RSTP边缘端口

• 不接受处理配置边缘端口、不参与RSTP运算

端口角色

从用户角度来讲，Listening、Learning和Blocking状态并没有区别，都同样不转发用户流量。

快速收敛机制

RSTP BPDU

1. stp只有根桥可以发送BPDU
2. RST非根网桥也可以发BPDU、达到了快速收敛的效果

RSTP的收敛过程

1. 交换机相互发送Proposal置为的RST BPDU；
2. 收到没自己优先的直接忽略
3. 收到更优的BPDU，停止发送BPDU，然后开始同步；此时都进入Discarding（除边缘端口）
4. 交换机发送Agreement置为的RST BPDU；交换机变为Forwarding
5. 继续收敛直到结束

链路故障/根桥失效

• 导致交换机收不到邻居发送的RST BPDU。在3倍的Hello Time内收不到邻居的BPDU即认为邻居失效。
• 20s 变成 6s

P/A机制

• 特点：由于有来回确认机制和同步变量机制，就无需依靠计时器来保障无环。
  
• Proposal/Agreement机制，其目的是使一个指定端口尽快进入Forwarding状态。
• P/A机制要求两台交换设备之间链路必须是点对点的全双工模式。一旦P/A协商不成功，指定端口的选择就需要等待两个Forward Delay，协商过程与STP一样。
• 事实上对于STP，指定端口的选择可以很快完成，主要的速度瓶颈在于：为了避免环路，必须等待足够长的时间，使全网的端口状态全部确定，也就是说必须要等待至少两个Forward Delay，所有端口才能进行转发。

根端口快速切换机制

• 秒级时间内完成收敛

边缘端口的引入

• 在RSTP中，交换机连接终端的链路可立即进入转发状态

拓扑变更

• 判断拓扑变化唯一标准：一个非边缘端口迁移到Forwarding状态。
  
  拓扑变化处理

• 清空状态发生变化的端口上学习到的MAC地址

• 同时，由这些端口向外发送RST BPDU，其中TC置位。一旦TC While Timer超时，则停止发送RST BPDU。
  
  保护功能

BPDU保护

• 防止有人伪造RST BPDU恶意攻击交换设备
• 场景：非边缘端口
• 原理：如果边缘端口收到BPDU报文，边缘端口将会被立即关闭。

根保护

• 维护人员的错误配置或网络中的恶意攻击，使得合法根桥失去根地位，从而引起网络拓扑结构的错误变动
• 场景：只能在指定端口上配置生效
• 一旦启用Root保护功能的指定端口收到优先级更高的RST BPDU时，端口状态将进入Discarding状态，不再转发报文；在经过一段时间，如果端口一直没有再收到优先级较高的RST BPDU，端口会自动恢复到正常的Forwarding状态。
  

16.IP路由基础

以太网交换机工作在数据链路层，用于在网络内进行数据转发。而企业网络的拓扑结构一般会比较复杂，不同的部门，或者总部和分支可能处在不同的网络中，此时就需要使用路由器来连接不同的网络，实现网络之间的数据转发。

自治系统

LAN和广播域

路由选路

IP路由表

建立路由表

最长匹配原则

路由优先级

路由度量

路由器转发数据包

自治系统

• 自治系统（AS）：由同一个管理机构管理、使用统一路由策略的路由器的集合。
• 一般地我们可以把一个企业网络认为是一个自治系统AS（Autonomous System）。

LAN和广播域

• 一个AS通常由多个不同的局域网组成。
• 路由器工作在网络层，隔离了广播域，并可以作为每个局域网的网关，发现到达目的网络的最优路径，最终实现报文在不同网络间的转发。
• 每个局域网为一个广播域

路由选路

• 路由器负责为数据包选择一条最优路径，并进行转发。

IP路由表

• 路由表中包含了路由器可以到达的目的网络。目的网络在路由表中不存在的数据包会被丢弃。
• 目的地址（Destination）：用来标识IP数据包的目的地址或目的网络。
• 网络掩码（Mask）：在IP编址课程中已经介绍了网络掩码的结构和作用。IP地址和网络掩码进行“逻辑与”便可得到相应的网段信息。
• 输出接口（Interface）：指明IP数据包将从该路由器的哪个接口转发出去。
• 下一跳IP地址（NextHop）：指明IP数据包所经由的下一跳路由器的接口地址。

建立路由表

1. 链路层协议发现的路由（也称为接口路由或直连路由）。
2. 由网络管理员手工配置的静态路由。
3. 动态路由协议发现的路由。

最长匹配原则

• 路由表中如果有多个匹配目的网络的路由条目，则路由器会选择掩码最长的条目。

路由优先级

• 每个路由协议都有一个协议优先级（取值越小、优先级越高）。

路由度量

• 如果路由器无法用优先级来判断最优路由，则使用度量值（metric）来决定需要加入路由表的路由。

路由器转发数据包

• 路由器需要知道下一跳和出接口才能将数据转发出去

路由器选择最优路由的顺序是什么?

1. 最长掩码匹配原则；
2. 优先级；
3. metric值
4. 如果metric值也相同，多条相同的路由将实现等价负载分担。

Preference字段在路由表中代表什么含义?

• Preference字段在路由表中代表了路由优先级。设备厂商会在各自的产品中为不同的路由协议规定不同的优先级

---

17.静态路由基础

静态路由是指由管理员手动配置和维护的路由。

态路由配置简单，被广泛应用于网络中。另外，静态路由还可以实现负载均衡和路由备份。因此，学习并掌握好静态路由的应用与配置是非常必要的。

静态路由应用场景

• 静态路由是指由管理员手动配置和维护的路由。
• 无需像动态路由那样占用路由器的CPU资源来计算和分析路由更新。

静态路由配置

ip route-static ip-address { mask | mask-length } interface-type interface-number [ nexthop-address ]

• 如果使用了广播接口如以太网接口作为出接口，则必须要指定下一跳地址；
• 如果使用了串口作为出接口，则可以通过参数interface-type和interface-number（如Serial 1/0/0）来配置出接口，此时不必指定下一跳地址。

静态路由

• 在串行接口上，可以通过指定下一跳地址或出接口来配置静态路由。
• 串行接口默认封装PPP协议

• 在广播型的接口（如以太网接口）上配置静态路由时，必须要指定下一跳地址。

负载分担

• 静态路由支持到达同一目的地的等价负载分担。

• 具有相同的目的网络和掩码、优先级、度量值。
  
  路由备份

• 浮动静态路由在网络中主路由失效的情况下，会加入到路由表并承担数据转发业务。

• 可以修改静态路由的优先级，使一条静态路由的优先级高于其他静态路由，从而实现静态路由的备份，也叫浮动静态路由
  
  缺省路由

• 缺省路由是目的地址和掩码都为全0的特殊路由。

• 当路由表中没有与报文的目的地址匹配的表项时，设备可以选择缺省路由作为报文的转发路径。ml
  
  如何配置能够将静态路由配置为浮动静态路由？

• 在配置静态路由时，需要调整其中一条静态路由的优先级，就可将其修改为浮动静态路由。

配置缺省路由时，目的网络地址是什么？

• 在配置缺省路由时，目的网络为0.0.0.0，代表的是任意网络。

---

18.DHCP协议原理与配置

一个网络如果要正常地运行，则网络中的主机（Host）必需要知道某些重要的网络参数，如IP地址、网络掩码、网关地址、DNS服务器地址、网络打印机地址等等。显然，在每台主机上都采用手工方式来配置这些参数是非常困难的、或是根本不可能的。

为此，IETF于1993年发布了动态主机配置协议（DHCP：Dynamic Host Configuration Protocol）。DHCP的应用，实现了网络参数配置过程的自动化。

DHCP产生背景

获取IP地址的过程

DHCP配置实现

DHCP Relay

DHCP Relay基本原理与配置实现

DHCP Relay配置实现

DHCP面临的安全威胁与防护机制

DHCP饿死攻击

仿冒DHCP Server攻击

DHCP中间人攻击

DHCP Snooping

DHCP产生背景

手工配置网络参数存在的问题

• 传统的手工配置网络参数需要每个用户都手动配置IP地址、掩码、网关、DNS等多个参数。
• 这样就会存在一些问题：
  • 人员素质要求高
  • 容易出错
  • 灵活性差
  • IP地址资源利用率低
  • 工作量大

DHCP概念的提出

随着用户规模的扩大及用户位置的不固定性，传统的静态手工配置方式已经无法满足需求，为了实现网络可以动态合理地分配IP地址给主机使用，需要用到动态主机配置协议DHCP。

DHCP相对于静态手工配置有如下优点：

1. 效率高
2. 灵活性强
3. 易于管理

获取IP地址的过程

1. 报文：Discover Offer Request ACK

DHCP配置实现

DHCP Relay

• 随着网络规模的扩大，网络中就会出现用户处于不同网段的情况：

1. 一个实际的IP网络通常都包含了多个二层广播域，如果需要部署DHCP，那么可以有两种方法：
   1. 方法一：在每一个二层广播域中都部署一个DHCP Server（代价太大，现实中一般不推荐此方法）。
   2. 方法二：部署一个DHCP Server来同时为多个二层广播域中的DHCP Client服务，这就需要引入DHCP Relay。
      

DHCP Relay基本原理与配置实现

• DHCP Relay的基本作用就是专门在DHCP Client和DHCP Server之间进行DHCP消息的中转。
• DHCP Client利用DHCP Relay来从DHCP Server那里获取IP地址等配置参数时，DHCP Relay必须与DHCP Client位于同一个二层广播域，但DHCP Server可以与DHCP Relay位于同一个二层广播域，也可以与DHCP Relay位于不同的二层广播域。DHCP Client与DHCP Relay之间是以广播方式交换DHCP消息的，但DHCP Relay与DHCP Server之间是以单播方式交换DHCP消息的（这就意味着，DHCP Relay必须事先知道DHCP Server的IP地址）。

DHCP Relay配置实现

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ngf4ijLy-1597072520534)(%E7%BB%88%E7%AB%A0.assets/image-20200810124829650.png)]

DHCP面临的安全威胁与防护机制

• DHCP在设计上未充分考虑到安全因素，从而留下了许多安全漏洞，使得DHCP很容易受到攻击。
• 实际网络中，针对DHCP的攻击行为主要有以下三种：
  • DHCP饿死攻击仿冒
  • DHCP Server攻击
  • DHCP中间人攻击

DHCP饿死攻击

攻击原理：攻击者持续大量地向DHCP Server申请IP地址，直到耗尽DHCP Server地址池中的IP地址，导致DHCP Server不能给正常的用户进行分配。

漏洞分析：DHCP Server向申请者分配IP地址时，无法区分正常的申请者与恶意的申请者。

仿冒DHCP Server攻击

攻击原理：攻击者仿冒DHCP Server，向客户端分配错误的IP地址及提供错误的网关地址等参数，导致客户端无法正常访问网络。

漏洞分析：DHCP客户端接收到来自DHCP Server的DHCP消息后，无法区分这些DHCP消息是来自仿冒的DHCP Server，还是来自合法的DHCP Server。

DHCP中间人攻击

攻击原理：攻击者利用ARP机制，让PC-A学习到IP-S与MAC-B的映射关系，又让Server学习到IP-A与MAC-B的映射关系。如此一来，PC-A与Server之间交互的IP报文都会经过攻击者中转。

漏洞分析：从本质上讲，中间人攻击是一种Spoofing IP/MAC攻击，中间人利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP的客户端和服务器。

DHCP Snooping

为了增强网络安全，防止DHCP受到攻击，一种称为DHCP Snooping的技术应运而生。DHCP Snooping不是一种标准技术，尚未有统一的标准规范，不同的网络设备制造商在DHCP Snooping的实现上也不尽相同。

DHCP Snooping部署在交换机上，其作用类似于在DHCP客户端与DHCP服务器端之间构筑了一道虚拟的防火墙。

---

19.Telnet原理与配置

如果企业网络中有一台或多台网络设备需要远程进行配置和管理，管理员可以使用Telnet远程连接到每一台设备上，对这些网络设备进行集中的管理和维护。

Telnet连接

认证模式

Telnet配置

Telnet连接

• Telnet以客户端/服务器模式运行。Telnet基于TCP协议，服务器端口号默认是23，服务器通过该端口与客户端建立Telnet连接。

认证模式

在配置Telnet登录用户界面时，必须配置认证方式，否则用户无法成功登录设备。Telnet认证有两种模式：AAA模式，密码模式。

Telnet配置

• user-interface maximum-vty命令来调整VTY界面的数量

1. 验证设备是否可达
2. 检查用户输入的密码是否正确
3. 通过Telnet访问设备的用户数是否达到最大限制

---

20.Eth-Trunk技术原理与配置

性价比

IEEE组织

随着网络中部署的业务量不断增长，对于全双工点对点链路，单条物理链路的带宽已不能满足正常的业务流量需求。如果将当前接口板替换为具备更高带宽的接口板，则会浪费现有的设备资源，而且升级代价较大。如果增加设备间的链路数量，则在作为三层口使用时需要在每个接口上配置IP地址，从而导致浪费IP地址资源。

Eth-Trunk（ 链路聚合技术 ）作为一种捆绑技术，可以把多个独立的物理接口绑定在一起作为一个大带宽的逻辑接口使用，这样既不用替换接口板也不会浪费IP地址资源。本课程我们将详细的介绍Eth-Trunk技术。

Eth-Trunk基本原理

手工负载分担模式

LACP模式

Eth-Trunk接口负载分担

Eth-Trunk接口配置流程

配置LACP模式

配置实例

Eth-Trunk基本原理

• Eth-Trunk是一种捆绑技术，将多个物理接口捆绑成一个逻辑接口，这个逻辑接口就称为Eth-Trunk接口。提升整个网络的吞吐量

Eth-Trunk：多个接口捆绑成一个干道

1. Eth-Trunk是一种将多个以太网接口捆绑成一个逻辑接口的捆绑技术。
2. Eth-Trunk链路聚合模式：
   • 手工负载分担模式
   • LACP模式
3. 根据不同的链路聚合模式，Eth-Trunk接口可以实现增加带宽、负载分担等，帮助提高网络的可靠性。
4. Eth-Trunk可以用于二层的链路聚合，也可以用于三层的链路聚合。
5. 缺省情况下，以太网接口工作在二层模式。
   • 如果需要配置二层Eth-Trunk接口，可以通过portswitch命令将该接口切换成二层接口；
   • 如果需要配置三层Eth-Trunk接口，可以通过undo portswitch命令将该接口切换成三层接口。

手工负载分担模式

• 当两台设备中至少有一台不支持LACP协议时，可使用手工负载分担模式的Eth-Trunk来增加设备间的带宽及可靠性。
• 在手工负载分担模式下，加入Eth-Trunk的链路都进行数据的转发。

LACP模式

• 比手工好一点,一般都只聚M用M

LACP模式也称为M:N模式（M>N），其中M条链路处于活动状态转发数据，N条链路处于非活动状态作为备份链路。图中设置的活跃链路数为2，即2条链路处于转发状态，1条链路处于备份状态，不转发数据，只有当活跃的链路出现故障时，备份链路才进行转发。

LACP模式活动链路的选取：

• 在两端设备中选择系统LACP优先级较高的一端作为主动端，如果系统LACP优先级相同则选择MAC地址较小的一端作为主动端。
  • 系统LACP优先级的值越小，则优先级越高，缺省情况下，系统LACP优先级的值为32768。
• 接口LACP优先级的值越小，则优先级越高。如果接口LACP优先级相同，接口ID（接口号）小的接口被优先选为活动接口。
  • 接口LACP优先级是为了区别同一个Eth-Trunk中的不同接口被选为活动接口的优先程度，优先级高的接口将优先被选为活动接口。

抢占：优先级

LACP抢占延时设置：（一般不用管）

Eth-Trunk接口负载分担

Eth-Trunk接口进行负载分担时，可以选择IP地址或者包 作为负载分担 的散列依据；同时还可以设置成员接口的负载分担权重。

Eth-Trunk接口中，某成员接口的权重值占所有成员接口负载分担权重之和的比例越大，该成员接口承担的负载就越大。

Eth-Trunk接口配置流程

配置LACP模式

配置实例

Eth-Trunk链路聚合模式为以下哪几种？

1. 手工负载分担模式
2. LACP模式

在LACP模式下，默认的系统优先级为？

1. 32768

---

21.GVRP

此协议BUG过大，华为官方不推荐使用

主要用于维护设备动态VLAN属性

GVRP实现了LAN属性的动态分发、注册和传播，从而减少了网络管理员的工作量，也能保证VLAN配置的正确性。

GARP通过在交换机之间交互GARP报文来注册、注销、和传播交换机的属性。

GVRP单向注册注册

• 模式-Normal 正常模式
  • 可以传递任何valn
• 注册模式-Fixed 混合模式
  • 只传本地静态
• 注册模式-Forbidden 禁用模式
  • 啥都不传
    

---

22.VLAN原理和配置

随着网络中计算机的数量越来越多，传统的以太网络开始面临冲突严重、广播泛滥以及安全性无法保障等各种问题。

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户可以进行二层互访，而不同VLAN间的用户被二层隔离。这样既能够隔离广播域，又能够提升网络的安全性。

传统以太网：随着主机数量的增加，共享网络中的冲突会越来越严重，交换网络中的广播也会越来越多

VLAN技术：VLAN能够隔离广播域。

VLAN帧格式

链路类型

PVID

端口类型-Access

端口类型-Trunk

端口类型-Hybrid

valn划分方法

valn配置

VLAN帧格式

1. 通过Tag区分不同VLAN
2. VLAN标签长4个字节，直接添加在以太网帧头中
3. TPID：Tag Protocol Identifier，2字节，固定取值，0x8100，是IEEE定义的新类型，表明这是一个携带802.1Q标签的帧
4. TCI：Tag Control Information，2字节。帧的控制信息，
   1. Priority：3比特，表示帧的优先级
   2. CFI：CFI表示MAC地址是否是经典格式。CFI为0说明是经典格式，CFI为1表示为非经典格式
   3. VLAN Identifier：VLAN ID，12比特；可配置的VLAN ID取值范围为0～4095
      

链路类型

1. 接入链路 Access Link
2. 干道链路 Trunk Link

PVID

1. PVID即P1. ort VLAN ID，代表端口的缺省VLAN
2. 缺省情况下，PVID都是1。

端口类型-Access

• 主机和交换机所连接的端口
  • 不带valn tag：打上PVID，转发数据会剥离PVID，主机只会处理不带PVLD的帧；
  • 带valn tag：检查PVID，相同接受，不同丢弃。

端口类型-Trunk

• 交换机和交换机之间的端口

  1. 接受

     1. untagged：打上PVID
     2. tagged：允许列表，不允许直接丢弃

  2. 发送

     1. 查看允许列表：允许：PVID一致，剥离；不一致直接发送；不允许：直接丢弃

端口类型-Hybrid

• 既可以连接主机又可以连接交换机
  1. 接受侧
     1. untagged——>打上PVID——>允许列表——>允许发送，反之丢弃
     2. tagged——>允许列表——>允许发送，反之丢弃
  2. 发送侧
     1. 允许列表——>tagged和untagg——>发不发送由配置决定

valn划分方法

1. 基于端口划分的VLAN
2. 基于MAC地址划分VLAN
3. 基于网络层协议划分VLAN
4. 根据IP组播划分VLAN
5. 按用户定义、非用户授权划分VLAN

valn配置

总结

1. 如果一个Trunk链路PVID是5，且端口下配置port trunk allow-pass vlan 2 3，那么哪些VLAN的流量可以通过该Trunk链路进行传输？

   1\2\3

2. PVID为2的Access端口收到一个不带标记的帧会采取什么样的动作？

   给数据帧打上vlan2的标签，然后根据标签和目的MAC地址发送到端口

---

23.valn间路由

部署了valn的传统交换机不能实现不同valn间的二层报文转发，因此必须引入路由技术来实现不同valn间的通信，vlan路由可以通过二层交换机配合路由器来实现，也可以通过三层交换机来实现。 不同valn相当于不同的广播域。

valn的局限性

单臂路由

三层交换

配置单臂路由

配置三层交换

valn的局限性

1. 不同vlan之间无法实现二层通信，隔离了二层流量
2. 每个valn使用一条独占的物理链路连接到路由器接口上（显然不合理）
3. 物理上不够——>逻辑上实现单臂路由

单臂路由

1. 交换机和路由器之间为Trunk
2. 路由器上创建逻辑子接口
3. 在子接口上执行命令：arp broadcast enable ARP广播功能

三层交换

1. 为每个valn创建一个vlanIF接口作为网关
2. 可以把交换机看作路由器，VlanIF相当于路由器接口
   
   配置单臂路由

子接口：逻辑口

在子接口上执行命令：arp broadcast enable ARP广播功能，关闭arp的广播终极

	1. 接收端：子接口配置IP为valn的网关
	2. 发送端：打上PVID

配置三层交换

• 看作路由器，valnIF看作接口;实现的就是三层路由功能。
  
  总结

1. dot1q termination vid 3 的目的：发出是打上PVID
2. 配置单臂路由时，交换机来连接路由器接口配置：
   1. Trunk
   2. 允许列表尽量细致

---

24.HDLC和PPP原理与配置

广域网中经常会使用串行链路来提供远距离的数据传输，高级数据链路控制HDLC和点对点协议PPP是两种典型的串口封装协议。

串行链路的的数据传输方式

HDLC

HDLC帧结构

PPP

PPP协议的应用

LCP/NCP

PPP链路建立过程

PPP帧格式

LCP报文

LCP协商参数

认证

IPCP静态地址协商

串行链路的的数据传输方式

1. 异步：以字节为单位传输数据，起始位为二进制值0，停止位为二进制值1；需要额外的开销
   • 加起始位和停止位，无形之中将字节提升了2个字节
2. 同步：同步传输是以帧为单位来传输数据
   • 以太网：发数据前发同步数据：前导码1010101010…11.62个bit
   • Flag：01111110，一个字节起始标识符；01111110结束标识符

HDLC

1. 被PPP协议取代
2. High-level Data Link Control，高级数据链路控制，简称HDLC，是一种面向比特的链路层协议。
3. 全双工，CRC校验、强大的控制能力和处理能力；

PPP

• LCP
  • 魔术字
  • MRU
  • 认证
    • PAP
    • CHAP
  • IPCP
    • 静态
    • 动态借地址

PPP协议的应用

HDLC-不支持认证

PPP协议是一种点到点链路层协议，主要用于在全双工的同异步链路上进行点到点的数据传输。基本是同步传输

PPP既支持同步传输又支持异步传输；

PPP协议具有很好的扩展性，例如，当需要在以太网链路上承载PPP协议时，PPP可以扩展为PPPoE。

三大组件:

1. PPP提供了LCP（Link Control Protocol）协议，用于各种链路层参数的协商。比如说你是PPP我是HDLC；MTU
2. PPP提供了认证协议：CHAP（Challenge-Handshake Authentication Protocol）、PAP（Password Authentication Protocol），更好的保证了网络的安全性。
3. PPP提供了各种NCP（Network Control Protocol）协议

无重传机制，网络开销小，速度快

LCP/NCP

1. PPP包含两个组件：链路控制协议LCP和网络层控制协议NCP。

2. 中间夹一个认证
   
   PPP链路建立过程

3. Dead：死亡状态

4. ES：协商

5. LCP认证

6. IPCP

7. Terminate：终止；结束关系
   

PPP帧格式

1. Flag：0111 1110
2. address：地址格式1111 1111 ——>F
3. control：0x03无编号帧
4. Protocol：0000 0011，上层协议：IP，IPCP（1000 0000）

LCP报文

LCP协商参数

LCP报文携带的一些常见的配置参数有MRU，认证协议，以及魔术字

认证
CHAP

1. 认证方：Challenge报文=Identifier信息+随机产生的Challenge字符串
2. 被认证方：MD5{ Identifier＋密码＋Challenge }
3. 认证方：成功/失败

IPCP静态地址协商

NCP在网络层，也叫IPCP；

IPCP动态地址协商

综合实验

PPP接口地址借用

• 稳定；不是特别常用，PPP动态获取地址常用；

• ip address unnumbered interface LoopBack0 //向loop0借用地址
  
  发送端在发送Configure-Request之后，收到哪个消息才能表示PPP链路搭建成功？

• 收到对端发来的Configure-Ack报文后

CHAP认证方式需要交互几次报文？

• CHAP认证协议为三次握手认证协议，需要交互三次报文来认证对方身份。

---

25.ACL

访问控制列表ACL（Access Control List）定义一系列不同的规则；

1. 网络访问行为的控制
2. 限制网络流量
3. 限制网络性能
4. 防止网络攻击

ACL分类

规则

基本ACL

高级ACL

实验

ACL应用-NAT

ACL分类

规则

1. 一个ACL可以由多条“deny | permit”语句组成，每一条语句描述了一条规则
2. 自上而下，先读小号
3. 原则：深度优先（越精细的放在上面）
4. 步长5

基本ACL

高级ACL

实验

1. eq：等于
2. rang：xx之间xx
3. qe：大于
4. lt：小于
   
   ACL应用-NAT

详见NAT章节

高级ACL可以基于那些条件来定义规则？

1. 源/目的IP地址
2. 源/目的端口号
3. 协议类型
4. IP流量分类
5. TCP标记值（SYN|ACK|FIN等）等参数来定义规则。

---

26.NAT原理配置

ipv4地址枯竭

网络地址转换技术NAT（Network Address Translation）主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时，通过NAT技术可以将其私网地址转换为公网地址，并且多个私网用户可以共用一个网络地址，这样既可以保证网络互通、又节省公网地址。

终极方法：不是静态也不是动态，是NAPT

应用场景

静态NAT

动态NAT

终极方法：NAPT

Easy IP

NAT服务器

应用场景

1. 私网中用的私网、公网中用公网
2. 玩法：私网翻译成公网
3. 向运营商购买一个公网地址；如：100.1.1.0/29=6个地址；可贵了

静态NAT

1. NAT翻译表：inside内网地址和外网地址；

2. 查看NAT表，然后翻译

3. 一个地址只能对应一个人
   
   
   内网接口
   
   外网接口
   
   动态NAT

4. 内网地址池；

5. 100.1.1.1到10.1.1.100要转；公网100.1.1.3到100.1.1.6；
   
   终极方法：NAPT

6. 网络地址端口转换NAPT允许多个内网地址映射到同一个公有地址的不同端口；

7. 端口有65535，0-1023不可转；端口号随机；一个私网地址可以转换为6万多个，千变万化

8. 与动态的区别：加不加 “no-pat”
   
   
   查看NAT转换表项
   
   Easy IP

9. 允许将多个内网地址映射到网关出接口地址上的不同端口

10. 适用于小规模：网吧、办公室；

11. 买一个公网地址100.1.1.1/30，对端100.1.1.2/30；适合6万个人以内。

步骤1：定义内网地址池

步骤2：直接将内网地址池关联在出接口

抓包

![在这里插入图片描述](https://img-blog.csdnimg.cn/20200811011310408.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQyNzUyNDcw,size_16,color_FFFFFF,t_70
查看NAT转换表项：源IP都为100.1.1.1 端口号随机

NAT服务器

1. 公网地址：100.1.1.0/29
2. 把公网地址100.1.1.6映射为10.1.1.6；
   
   Client2访问server服务器的http，通
   
   Telnet

nat server global 100.1.1.5 inside 10.1.1.5

//将公网的任意一个端口转换成任意一个端口；

对方可以访问我的任意端口//TCP攻击，很不安全

Telnet只给开23端口、HTTP只开80端口；

undo nat server global 100.1.1.5 inside 10.1.1.5

undo nat server global 100.1.1.6 inside 10.1.1.6

//想访问telnet可以但不可以ping

nat server protocol tcp global 100.1.1.6 80 inside 10.1.1.6 80

nat server protocol tcp global 100.1.1.5 23 inside 10.1.1.5 23

下一个问题：

1. 如果把内网23端口直接翻译成外网23端口
2. 对方就可以通过攻击软件扫你的端口；就废了；对方可以访问外网23端口就可以访问内网23端口；

解决方法：伪造公网端口号；

1. 伪造成54321，这适合它就扫不到你端口，它根本不知道是干嘛的

nat server protocol tcp global 100.1.1.5 8888 inside 10.1.1.5 23

//如果你访问23端口你就进不来，只有访问8888端口

nat server protocol tcp global 100.1.1.6 54321 inside 10.1.1.6 80

那种NAT转换允许服务器既能被内部访问又能被外部访问？

• NAT server

NAPT有什么功能和特点？

• 转端口

---

27.广域网

1. 广域网：连接多个局域网
2. 局域网：园区网
   

全球性Internet：万维网

在internet拿地址

什么样的用户需要广域网？

WAN接入和OSI参考模型

线缆

电路交换

分组交换

DSL服务类型

分组交换：包交换

在internet拿地址

1. 手动配置
2. DHCP
3. 拨号，家里绝大部分都是拨号

什么样的用户需要广域网？

1. 家庭、办公
2. VPN也要有广域网来实现，在广域网中买个VPN；

WAN接入和OSI参考模型

1. 数据链路层：
2. 局域网：802.3、Ether_II；
   1. 以太网100m
3. 广域网：HDLC（淘汰了）、PPP（淘汰了HDLC）、帧中继FR、ATM异步传输；
   1. 走广域网的标准，串口线，也不能封装MAC地址了

串行链路的的数据传输方式

1. 异步：以字节为单位传输数据，起始位为二进制值0，停止位为二进制值1；需要额外的开销本来8bit—>10bit
2. 同步：同步传输是以帧为单位来传输数据

线缆

1. 专线：光纤、以太网；安全、传输质量高
   • 最大问题：贵
2. 交换技术：这个交换和路由交换中的交换不一样
   • 电路交换：不分组；用的少了
   • 包交换：也叫分组交换；帧交换、数据包交换；FR帧中继；DSL（ADSL、SDSL）
   • 信元交换：ATP

电路交换

1. 由SP为企业远程网络节点间通信提供的临时数据传输通道，类似拨号技术；
2. 卖用户：不管你用不用，时时刻刻提供着链路带宽；独享带宽，报文不失序
3. 贵

分组交换

1. 卖用户：不用提供可靠保证，整个共享；
2. 报文失序
3. 便宜

DSL服务类型

1. ADSL：非对称；上传、下载28规则
2. SDSL：对称；上传=下载

分组交换：包交换

1. 帧中继、ATM
2. VC：虚拟电路
   

---

28.帧中继（阅读了解即可）

帧中继FR（Frame Relay）；通常用于ISP的广域网；

1. 帧中继网络通过虚电路来连接网络两端的帧中继设备；
2. 每条虚电路采用数据链路连接标识符DLCI进行标识

FR转发原理：

1. DLCI成对分配
2. in—inDLCI；out—DLCI
3. 二层不分装MAC，分装DLCI，PVC：永久虚链路；
   4.

29.PPPoE原理和配置

缓解以太网中没有认证；以太网上使用PPP认证

PPP：PPP over Ethernet

PPPoe通过在以太网商提供点到点的连接，建立PPP会话。使以太网中的主机能够连接到远端的带宽接入服务器上。PPPoE具有适用范围广、安全性高、计费方便等特点。意思就是

DSL应用场景

PPPoE在DSL中的应用

PPPoE的报文

PPPoE字段中的各个字段解释如下

PPPoE会话建立过程

PPPoE协商报文

PPPoE会话建立过程

PPPoE配置

DSL应用场景

1. 数字用户线路DSL是以电话为传输介质的传输技术；

2. BRAS：认证的

3. DSLAM：数字用户线路接入复用器；

4. DSLAM通过以太网宽将用户数据传到远程接入服务器，最后到达ISP
   
   PPPoE在DSL中的应用

5. 而PPP协议可以提供良好的访问控制和计费功能，于是产生了在以太网上传输PPP报文的技术，即PPPoE。

6. 中间那部分运营商模拟，实验不牵扯
   
   PPPoE的报文

7. 把PPP的报文放在以太网上

8. DMAC：表示目的设备的MAC地址，通常为以太网单播目的地址或者以太网广播地址（0xFFFFFFFF）。

9. SMAC：表示源设备的以太网MAC地址。

10. Type：表示协议类型字段，当值为0x8863时表示承载的是PPPoE发现阶段的报文。当值为0x8864时表示承载的是PPPoE会话阶段的报文。

PPPoE字段中的各个字段解释如下

1. VER：表示PPPoE版本号，值为0x01。

2. Type：表示类型，值为0x01。

3. Code：表示PPPoE报文类型（PADI/O/R/S/T）不同取值标识不同的PPPoE报文类型。

4. PPPoE会话ID：与以太网SMAC和DMAC一起定义了一个PPPoE会话。

5. Length：三层协议是谁
   
   PPPoE会话建立过程

6. PPPoE可分为三个阶段，即发现阶段、会话阶段和会话终结阶段。
   
   PPPoE协商报文
   
   PPPoE会话建立过程

7. 用户客户端向服务器发送一个PADI报文，开始PPPOE接入。

8. 服务器向客户端发送PADO报文。

9. 客户端根据回应，发起PADR请求给服务器。

10. 服务器产生一个Session ID，通过PADS发给客户端。

11. 客户端和服务器之间进行PPP的LCP协商，建立链路层通信。同时，协商使用CHAP认证方式。

12. 服务器通过Challenge报文发送给认证客户端，提供一个128bit的Challenge。

13. 客户端收到Challenge报文后，并将密码和Challenge做MD5算法运算后，在Response回应报文中把结果发送给服务器。

14. 服务器根据用户发送的信息判断用户是否合法，然后回应认证成功/失败报文，将认证结果返回给客户端。

15. 进行NCP（如IPCP）协商，通过服务器获取到规划的IP地址等参数。

PPPoE配置

环境：

• R1与PC1模拟公司A设备，IPS联通内设置了PPPoE服务器

• 公司A向ISP购买了一条拨号线路，了联通为公司A分配的账号和密码如下：

• 账号：huawei 密码huawei

• 公司模拟IP：1.1.1.1

• 公司内模拟PC：8.8.8.8

• GW：8.8.8.254

  需求：通过宽带拨号的方式按需实现公司内网访问internet
  

---

30.GRE原理与配置

GRE应用场景

1. 将一种协议的报文封装在另一个协议报文中
2. GRE可以解决异种网络的传输问题
3. GRE隧道扩展了受跳数限制的路由协议的工作范围，支持企业灵活设计网络拓扑
4. 通过GRE对报文进行封装，然后再由IPsec对封装后的报文进行加密和传输

GRE报文结构

• 2层和3层之间：+GRE头部和外层IP头

走向：以太网0800—>IP端口号47—>GRE0800—>IP—>ICMP

GRE的关键字验证

1. 隧道设备之间通过关键字（Key）来验证对方是否合法；密码

Keepalive检测

1. 检测隧道对端是否可达——>默认关闭

综合实验

MGRE

注意： ospf network-type broadcast //默认点到点

---

31.IPv6

IPv4地址空间已经消耗殆尽。针对IPv4的地址短缺问题，曾先后出现过CIDR和NAT等临时性解决方案，但是CIDR和NAT都有各自的弊端，并不能作为IPv4地址短缺问题的彻底解决方案。

1. ipv6：3亿多；ipv4：2013年用完；
2. 不普及的原因：钱；运营商玩

IPv6地址格式

IPv6地址长度为128比特，每16比特划分为一段，每段由4个十六进制数表示，并用冒号隔开。

IPv6地址包括网络前缀和接口标识两部分。

地址简写

1. 每一组中的前导“0”都可以省略。
2. 地址中包含的连续全为0的组，可以用双冒号“::”来代替

IPv6地址分为单播地址、任播地址、组播地址三种类型

• 单播：全局单播地址/本地单播地址

• 单播：全球单播地址/本地单播地址

  • 全球单播地址：前三比特001开头
  • 本地单播地址：链路本地link-loucl；

• 地址空间：FE80::

组播地址：前8个比特都只1——>FF开头

EUI-64规范

• 第七个比特反转：0转1，1不转0
  

IPv6任播地址

1. 任播地址用来标识一组网络接口，在给多个主机或者节点提供相同服务时提供冗余和负载分担。

---

---

32.IPv6路由基础

在企业网络中，IPv6技术的应用越来越普及。IETF组织针对IPv6网络制定了两种路由协议RIPng和OSPFv3。

RIPng

1. RIPng发送路由更新的目的地址为组播地址ff02::9/8。
2. RIPng中的路由条目下一跳地址是0::0或者链路本地地址。

OSPFv3

1. ff02::5是为OSPFv3路由协议预留的IPv6组播地址。
2. OSPFv3中的路由条目下一跳地址是链路本地地址。
3. router-id 必须手写