OSI : 开放式系统互联(参考模型)
应用层,表示层,会话层-----控制层面
传输层,网络层,数据链路层,物理层----数据层面
分层的思想
应用层:接收用户的数据,人机交互的接口,面向的应用程序。
表示层:将逻辑语言(软件语言)转换为机器语言(二进制语言),翻译 ,加密
会话层:针对传输的每一种数据(流量)建立(管理:维持、终止)一条虚连接(为了防止不同类型的数据互相影 响)
传输层:作用 1.区分流量 2.定义数据传输方式
网络层: 基于网络层地址(IP地址)进行不同网络系统间的路径选择
数据链路层 : 在物理层上建立、撤销、标识逻辑链接和链路复用 以及差错校验等功能。通过使用接收系统的硬件地址或物理地址来寻址
物理层: 建立、维护和取消物理连接
TCP:传输控制协议,是一种面向连接的可靠传输协议
UDP:用户数据报协议,是一种非面向连接的不可靠传输协议
三次握手: 保证了面向连接 ,又称为TCP的三次握手
路由器:三层设备,识别IP地址。不同的接口在不同的网段(广播域)
交换机(网桥):二层设备,使用MAC地址,所有的接口默认在同一个广播域,一个接口是一个冲突域。
集线器(hub):放大器 放大信号,属于1层设备,识别bit流,hub上所有的接口都在同一个冲突域中。
DHCP: Dynamic Host Configration Protocol 动态主机配置协议
通过DHCP 协议 分配地址的
DHCP特点:基于C-S(client-server)模型;DHCP所有消息数据包基于UDP封 装的。客户端使用的端口号为68,服务器端使用的端口号为67。
DHCP 工作原理:
DHCP discover :DHCP 发现
DHCP offer:DHCP 应答
DHCP request: DHCP 请求
DHCP ACK:DHCP 确认
部署:
1.出接口----建议使用在P2P网络结构中
2.下一跳----建议使用在非P2P网络结构中(在下一跳中,数据传输需要进行递归路由查找)
3.出接口+下一跳
4.缺省路由 (默认路由)
5.浮动静态路由 (通过修改路由条目优先级的方式,到达某一目录优先使用一条路径,当该路径 出现故障,使用备份路劲进行数据转发,当优先使用的路径恢复,则将路由切换回来) 设置静态路由并指定AD值
优点:
使用静态路由的另一个好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表,而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。因此,网络出于安全方面的考虑也可以采用静态路由。不占用网络带宽,因为静态路由不会产生更新流量。
缺点:
大型和复杂的网络环境通常不宜采用静态路由。一方面,网络管理员难以全面地了解整个网络的拓扑结构;另一方面,当网络的拓扑结构和链路状态发生变化时,路由器中的静态路由信息需要大范围地调整,这一工作的难度和复杂程度非常高。
分类: RIP OSPF EIGRP ISIS BGP
1. 按照使用范围进行分类:
IGP---内部网关协议,一个AS内部使用的协议为IGP(RIP OSPF EIGRP ISIS)
BGP---边界网关协议,不同的AS之间使用的协议为BGP(BGP)
AS--自治系统 , 范围1-65535 ,公有AS(1-64512) 和 私有AS(64513-65535)
2. 按照协议的特点进行分类:
距离矢量型:RIP EIGRP (高级距离矢量型路由协议)
链路状态型:OSPF ISIS
3. 按照是否传递网络掩码进行分类:
有类别路由协议:不传递网络掩码(RIPV1)
无类别路由协议:传递网络掩码(其他)
RIP : 路由信息协议
分为三个版本RIPV1 RIPV2(在IPV4中使用),RIPNG(在IPV6中使用)
RIPV1:是一种有类别的距离矢量型路由协议
RIPV2:是一种无类别的距离矢量型路由协议
通过发送数据包进行路由信息的交互,request(请求) response (响应); 数据包封装基于UDP发送,端口号520(RIPNG 521),周期性发送,周期更新时间为 30 s ,RIPV2 发送路由更新地址 224.0.0.9 ( RIPV1 使用255.255.255.255);cost (metric) 计算方式: 路由信 息每经过一次路由器的转发,metric值增加 1 , 最大值15 ,16代表着不可达。
1.同步更新问题----使用异步更新方式(25.5-30s)
2.水平分割机制(适合于所有的距离矢量型路由协议)
3. 思科:update 更新 30s invalid 无效 180 flush 刷新 240 hold down 抑制 180 华为: 更新30s 无效 180 垃圾回收计时器 120
4.带毒性逆转的水平分割机制(适合于所有的距离矢量型路由协议)
特点:
1、无需管理员手工维护,减轻了管理员的工作负担。
2、占用了网络带宽。
3、在路由器上运行路由协议,使路由器可以自动根据网络拓朴结构的变化调整路由条目;
4、网络规模大、拓扑复杂的网络
OSPF : 开放式最短路径优先协议
1.协议使用范围:IGP
2.协议算法特点:链路状态型路由协议
3.协议是否传递网络掩码:传递网络掩码(无类别的路由协议)
4.协议封装: 基于IP协议封装,协议号为89
OSPF定义的5种网络类型:
1.1点到点网络,比如T1线路,是连接单独的一对路由器的网络,点到点网络上的有效邻居总是可以形成邻接关系的,在这种网络上,OSPF包的目标地址使用的是224.0.0.5,这个组播地址称为AllSPFRouters.
2.广播型网络(broadcast),由cisco提出的网络类型,自动发现邻居,选举DR/BDR,hello时间10s。
2.1广播型网络,比如以太网,Token Ring和FDDI,这样的网络上会选举一个DR和BDR,DR/BDR的发送的OSPF包的目标地址为224.0.0.5,运载这些OSPF包的帧的目标MAC地址为0100.5E00.0005;而除了DR/BDR以外发送的OSPF包的目标地址为224.0.0.6,这个地址叫AllDRouters.
3.非广播型(NBMA)网络 (non-broadcast),由RFC提出的网络类型,手工配置邻居,选举DR/BDR,hello时间30s。
3.1.NBMA网络,比如X.25,Frame Relay,和ATM,不具备广播的能力,因此邻居要人工来指定,在这样的网络上要选举DR和BDR,OSPF包采用unicast的方式
4.点到多点网络 (point-to-multipoint),由RFC提出,自动发现邻居,不选举DR/BDR,hello时间30s。
4.1点到多点网络 是NBMA网络的一个特殊配置,可以看成是点到点链路的集合. 在这样的网络上不选举DR和BDR.
5.点到多点非广播,由cisco提出的网络类型,手动配置邻居,不选举DR/BDR,hello时间30s。
6.虚链接: OSPF包是以unicast的方式发送
OSPF协议主要优点
1、OSPF是真正的LOOP- FREE(无路由自环)路由协议。源自其算法本身的优点。(链路状态及最短路径树算法)
2、OSPF收敛速度快:能够在最短的时间内将路由变化传递到整个自治系统。
3、提出区域(area)划分的概念,将自治系统划分为不同区域后,通过区域之间的对路由信息的摘要,大大减少了需传递的路由信息数量。也使得路由信息不会随网络规模的扩大而急剧膨胀。
4、将协议自身的开销控制到最小。见下:
1)用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文,非常短小。包含路由信息的报文时是触发更新的机制。(有路由变化时才会发送)。但为了增强协议的健壮性,每1800秒全部重发一次。
2)在广播网络中,使用组播地址(而非广播)发送报文,减少对其它不运行ospf 的网络设备的干扰。
3)在各类可以多址访问的网络中(广播,NBMA),通过选举DR,使同网段的路由器之间的路由交换(同步)次数由 O(N*N)次减少为 O (N)次。
4)提出NSSA区域的概念,使得NSSA区域内不再传播引入的ASE路由。
5)在ABR(区域边界路由器)上支持路由聚合,进一步减少区域间的路由信息传递。
6)在点到点接口类型中,通过配置按需拨号属性(OSPF over On Demand Circuits),使得ospf不再定时发送hello报文及定期更新路由信息。只在网络拓扑真正变化时才发送更新信息。
5、通过严格划分路由的级别(共分四极),提供更可信的路由选择。
6、良好的安全性,ospf支持基于接口的明文及md5 验证。
7、OSPF适应各种规模的网络,最多可达数千台。
路由器:router
交换机:switch
网桥:bridge
集线器:hub
基于MAC地址进行转发的(MAC地址表-自动生成)
交换机基本工作原理:
1.基于源MAC地址学习
2.基于目标MAC地址转发
3.数据过滤
4.防环
泛洪(洪泛):交换机收到一个需要被泛洪的数据帧,会将该数据帧通过除了接收数据接口之外的其他所有接口转发出去
默认泛洪的数据帧:1.广播 FFFF.FFFF.FFFF 2.组播 (01-00-5E-)3.未知单播
正向ARP:通过对方的IP地址请求对方的MAC地址
反向ARP:通过对方的MAC地址请求对方的IP地址
无故ARP:免费ARP
VLAN 使用VLAN ID 进行标识。
VLAN id 范围1-4094 (0-4095 VLAN 0 和VLAN 4095 被保留)
一个VLAN = 一个广播域 = 一个独立的网段
VLAN 1 为默认VLAN ,交换机上默认所有的接口都属于VLAN 1
PVID VLAN = 端口VLAN ID 默认所有的接口的PVID 为 VLAN 1
MAC地址表:三元素 VLAN ID, 端口标识, MAC地址
交换接口模式:access trunk hybrid
Access :接入接口 只属于某一个VLAN
Trunk:中继接口 trunk链路可以同时传递多个不同VLAN
功能:
1.定义感兴趣路由(控制层面)
2.定义感兴趣流量 (数据层面)
ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由拒绝所有的Telnet通信流量。
ACL :
1.自上而下匹配 一经匹配,立即执行
2.ACL 列表的调用分为in(先匹配ACL再查看路由)和out(先查看路由,再匹配ACL)
3.必须满足金字塔形结构
4.ACL 分为 标准 ACL 和 扩展 ACL
5.(在cisco中末尾隐含拒绝所有 ;在华为设备中若没有匹配到ACL 则执行默认处理)
标准ACL :关注 源IP 地址,在使用时尽量靠近目标
扩展ACL: 关注 源 IP 、目标IP、协议,在使用时尽量靠近源(不能再源之上,ACL不能过滤自身产生的流量)
ACL 部署:ACL 中匹配后缀参数为通配符
功能:
1.将大量的私有地址转换为公有地址(节约IP地址)
2.将一个IP地址转换为另一个IP地址(公有的)(增加内部网络设备的安全性)
缺陷:
1.极其消耗网络设备资源
2.破坏了数据的端到端传输(导致有些安全技术无法有效实施)
NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
网络地址转换(NAT)的实现
在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT。通常情况下,连接到用户内部网络的接口是NAT内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。
静态地址转换的实现
假设内部局域网使用的lP地址段为192.168.0.1~192.168.0.254,路由器局域网端(即默认网关)的IP地址为192.168.0.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.128~61.159.62.135,路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.248可用于转换的IP地址范围为61.159.62.130~61.159.62.134。要求将内部网址192.168.0.2~192.168.0.6分别转换为合法IP地址61.159.62.130~61.159.62.134。