HCIA-网络虚拟化
1、IP地址
IP地址可以标识网络中的一个节点,数据就是通过它来找到目的地的,通过IP地址实现全球范围内的网络通信。
IP地址是网络设备接口的属性,不是网络设备本身的属性。当我们说给某台设备分配一个IP地址时,实质上是指给这台设备的某个接口分配一个IP地址。如果设备有多个接口,通常每个接口都至少需要一个IP地址。
注:需要使用IP地址的接口,通常是路由器和计算机的接口。
机器语言0/1,计算机只认识两个数字 0 和1
00010001 二进制转换十进制,从右往左,以2为底数
2^0*1 + 0 + 0 + 0 + 2^4 * 1 + 0 + 0 +0 =17
0000 = 0
0001 = 1
0010 = 2
0011 = 3
0100 = 4
0101 = 5
0110 = 6
0111 = 7
1000 = 8
1001 = 9
1010 = 10
1011 = 11
1100 = 12
1101 =13
1110 = 14
1111 = 15
168 十进制 转为 二进制
168 = 128 + 32 + 8
= 2^7 + 2^5 + 2^3
2^7 如何表示?
10000000 = 128
100000 = 32
1000 = 8
10000000
100000
1000
10101000 = 168 右对齐(个位对齐)
IPv4地址的长度是32bit(位),由4个byte(字节)组成,一个byte(字节)有8bit(位)
IPv4地址范围:00000000.00000000.00000000.00000000到11111111.11111111.11111111.11111111,即0.0.0.0~255.255.255.255。
IPv4地址由如这两部分组成:1、网络部分 (网络号):用来标识一个网络。2、主机部分 (主机号):用来区分一个网络内的不同主机。
子网掩码(Subnet Mask),又称网络掩码(Netmask):通常将网络掩码中1的个数称为这个网络掩码的长度,255.255.255.0即11111111.11111111.11111111.00000000其长度为24,网络掩码一般与IP地址结合使用,其中值为1的bit对应IP地址中的网络位;值为0的bit对应IP地址中的主机位,以此来辅助我们识别一个IP地址中的网络位与主机位。即网络掩码中1的个数就是IP地址的网络号的位数,0的个数就是IP地址的主机号的位数。
A、B、C三类地址是单播IP地址,只有这三类地址才能分配给主机接口使用。主机(Host),通常指路由器和计算机的统称。并且常把主机的某个接口的IP地址简称为主机IP地址。
D类地址属于组播IP地址。组播地址:组播能实现一对多传递消息。E类地址专门用于特殊的实验目的。
关注A、B、C三类地址:使用A类地址的网络称为A类网络;使用B类地址的网络称为B类网络;使用C类地址的网络称为C类网络。
A类网络的网络号为8 bit,个数很少,但所允许的主机接口的个数很多;首位恒定为0,地址空间为:0.0.0.0~127.255.255.255。
B类网络的网络号为16 bit,介于A类和C类网络之间;首两位恒定为10,地址空间为:128.0.0.0~191.255.255.255。
C类网络的网络号为24 bit,个数很多,但所允许的主机接口的个数就很少;首三位恒定为110,地址空间为:192.0.0.0~223.255.255.255。
公网IP地址:连接到Internet的网络设备必须具有由ICANN分配的公网IP地址。
私网IP地址:私有地址只能用于某个内部网络,不能用于公共网络。
私有网络连接到Internet:私有网络由于使用了私网IP地址,是不允许连接到Internet的。后来在实际需求的驱动下,许多私有网络也希望能够连接到Internet上,从而实现私网与Internet之间的通信,以及通过Internet实现私网与私网之间的通信。私网与Internet的互联,必须使用网络地址转换(NAT)技术实现。NAT(Network Address Translation),网络地址转换,其基本作用是实现私网IP地址与公网IP地址之间的转换。
一个网段的主机位为n位,则IP地址数为:2ⁿ,可用IP地址数为:2ⁿ-2 (减去网络地址和广播地址)。
可用地址又称主机地址,可以分配给具体的主机接口使用。
网络地址:将IP地址的主机位全设为0,所得结果是该IP地址所在网络的网络地址。
广播地址:将IP地址的主机位全设为1,所得结果是该IP地址所在网络的广播地址。
IP地址数:2ⁿ,n为主机位位数。
可用IP地址数:2ⁿ-2,n为主机位位数。
练习题答案:网络地址:10.0.0.0 广播地址:10.255.255.255 IP地址数:2^24
可用IP地址数:2^24-2 可用IP地址范围:10.0.0.1~10.255.255.254
为什么需要子网划分?
现实中,如果将一个A类网络分配给一个组织使用,但是这个组织内部的计算机又没有16777214这么多台,这就会造成大量的IP地址闲置与浪费。因此,需要有一种更加灵活的方式根据网络规模的大小来划分网络。思路就是将一个网络再划分为更小的多个子网,以供不同组织使用。
这种划分网络的方式所使用的技术就是可变长度子网掩码(VLSM)。可变长度子网掩码在公网与企业内部中都可以使用。
例如网段地址是一个C类地址:201.222.5.0/24。假设需要20个子网,其中每个子网5个主机,就要把主机地址的最后一个八位组分成子网部分和主机部分。
子网部分的位数决定了子网的数目。在这个例子中,因为是C类地址,所以子网部分和主机部分总共是8位,
因为2^4<20<2^5,所以子网部分占有5位,最大可提供32(2^5)个子网。剩余3位为主机部分2^3=8。
主机部分全是0的IP地址,是子网网络地址;主机部分全是1的IP地址是本子网的广播地址。
这样就剩余6个主机地址,可以满足需要。
每个网段分别为:
201.222.5.0~201.222.5.7
201.222.5.8~201.222.5.15
201.222.5.16~201.222.5.23
………
201.222.5.232~201.222.5.239
201.222.5.240~201.222.5.247
201.222.5.248~201.222.5.255
2、网络通信
网络通信:是指终端设备之间通过计算机网络进行的通信。由一台路由器(或交换机)和多台计算机设备组成的小型网络,通过路由器的中转,每两台计算机之间都可以自由地传递文件。
1、需要快递的物品【应用程序生成需要传递的信息(或数据)】
2、物品被包装起来形成包裹,并粘贴含有收货人姓名、地址的快递单【应用程序将数据打包成原始的“数据载荷”,并添加“头部”和“尾部”形成报文,报文中的重要信息是接收者的地址信息,即“目的地址”。在一个信息单元的基础上,增加一些新的信息段,使其形成一个新的信息单元,这个过程称为“封装”。】
3、包裹被送到集散中心,集散中心对包裹上的目的地址进行分检,去往同一个城市的物品被放入同一架飞机,并飞向天空【报文通过网线到达“网关”,网关收到报文后,对其“解封装”,读取目的地址,再重新封装,并根据目的地址不同,送往不同的“路由器”,通过网关及路由器的传递,报文最终离开本地网络,进入Internet的干道进行传输。】
4、飞机抵达目的机场后,包裹被取出进行分检,去往同一地区的包裹,被送到了同一集散中心【报文经过Internet干道的传输,到达目的地址所在的本地网络,本地网络的网关或路由器对报文进行解封装和封装,并根据目的地址决定发往相应的下一台路由器,最终到达目的计算机所在网络的网关。】
5、集散中心根据包裹上的目的地址进行分检,快递员送包裹上门,收件人拆开包裹,确认物品完好无损后收下。整个快递过程完成【报文到达目的计算机所在网络的网关,解封装和封装,然后根据目的地址发往相应的计算机。计算机收到报文后,对报文进行校验处理,校验无误后,接收下报文,并将其中的数据载荷交由相应的应用程序进行处理。一次完整的网络通信过程就结束了。】
网关(Gateway)又称网间连接器、协议转换器。默认网关在网络层以上实现网络互连。从一个网络(网段)向另一个网络(网段)发送信息,也必须经过一道“关口”,这道关口就是网关。
网关设备主要意义:在主机(无论是PC、服务器、路由器还是防火墙,这里统称主机)想要访问另一网段地址时,负责反馈ARP报文,并接收、转发随后而来的数据报文。在主机上生成默认路由,下一跳指向网关设备。
接入交换机设备连接各办公区的用户主机,汇聚交换机汇聚接入交换机侧的流量,路由器负责不同办公区、内部与外部不同网络间的通信转发,防火墙负责不同安全等级的区域、内部与外部网络的安全接入与访问控制。
交换机连接的一个网络叫广播域。路由器是隔离广播域的,广播域与广播域之间连通需要经过路由器。
1、在园区网络中,交换机一般来说是距离终端用户最近的设备,接入层的交换机一般为二层交换机,又称为以太网交换机,二层是指TCP/IP参考模型的数据链路层。
2、以太网交换机可以实现:数据帧的交换、终端用户设备的接入、基本的接入安全功能、二层链路的冗余等。
3、广播域:一个节点发送一个广播报文其余节点都能够收到的节点的集合。
4、冲突域:在同一个网络上两个设备同时进行传输会产生冲突,在网络报文转发中产生与发生冲突的区域称为冲突域。
5、MAC(Media Access Control)地址:在网络中唯一标识一个网卡,每个网卡都需要且会有唯一的一个MAC地址。
6、MAC地址表:每台交换机中都有一个MAC地址表,存放了MAC地址与交换机端口编号之间的映射关系。
路由器工作在TCP/IP参考模型的网络层;路由器可以实现:维护路由表和路由信息、路由发现及路径选择、数据转发、隔离广播域、广域网接入和网络地址转换及特定的安全功能。
防火墙:是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的设备,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。
OSI参考模型又被称为七层模型,由下至上依次为:
物理层:在设备之间传输比特流,规定了电平、速度和电缆针脚等物理特性。
数据链路层:将比特组合成字节,再将字节组合成帧,使用链路层地址(以太网使用MAC地址)来访问介质,并进行差错检测。
网络层:定义逻辑地址,供路由器确定路径,负责将数据从源网络传输到目的网络。
传输层:提供面向连接或非面向连接的数据传递以及进行重传前的差错检测。
会话层:负责建立、管理和终止表示层实体之间的通信会话。该层的通信由不同设备中的应用程序之间的服务请求和响应组成。
表示层:提供各种用于应用层数据的编码和转换功能,确保一个系统的应用层发送的数据能被另一个系统的应用层识别。
应用层:OSI参考模型中最靠近用户的一层,为应用程序提供网络服务。
假设你正在通过网页浏览器访问百度,当你输入完网址,敲下回车后,计算机内部会发生下列事情:
IE浏览器(应用程序)调用HTTP(应用层协议),完成应用层数据的封装(图中DATA还应包括HTTP头部,此处省略)。
HTTP依靠传输层的TCP进行数据的可靠性传输,将封装好的数据传递到TCP模块。
TCP模块给应用层传递下来的Data添加上相应的TCP头部信息(源端口、目的端口等)。此时的PDU被称作Segment(段)。
在IPv4网络中,TCP模块会将封装好的Segment传递给网络层的IPv4模块(若在IPv6环境,会交给IPv6模块进行处理)。
IPv4模块在收到TCP模块传递来的Segment之后,完成IPv4头部的封装,此时的PDU被称为Packet(包)。
由于使用了Ethernet作为数据链路层协议,故在IPv4模块完成封装之后,会将Packet交由数据链路层的Ethernet模块(例如以太网卡)处理。
Ethernet模块在收到IPv4模块传递来的Packet之后,添加上相应的Ethernet头部信息和FCS帧尾,此时的PDU被称为Frame(帧)。
在Ethernet模块封装完毕之后,会将数据传递到物理层。
根据物理介质的不同,物理层负责将数字信号转换成电信号,光信号,电磁波(无线)信号等。
转换完成的信号在网络中开始传递。
网络中的二层设备(如以太网交换机)只会解封装数据的二层头部,根据二层头部的信息进行相应的“交换”操作。
网络中的三层设备(如路由器)只会解封装到三层头部,并且根据三层头部的信息进行相应的“路由”操作。
经过中间网络传递之后,数据最终到达目的服务器。根据不同的协议头部的信息,数据将被一层层地解封装并做相应的处理和传递,最终交由WEB服务器上的应用程序进行处理。
HTTP:Hypertext Transfer Protocol,超文本传输协议,用来访问在网页服务器上的各种页面。
FTP:File Transfer Protocol,文件传输协议,为文件传输提供了途径,它允许数据从一台主机传送到另一台主机上。
DNS:Domain Name Service,域名称解析服务,用于实现从主机域名到IP地址之间的转换。
TCP:Transmission Control Protocol,传输控制协议,为应用程序提供可靠的面向连接的通信服务。目前,许多流行的应用程序都使用TCP。
UDP:User Datagram Protocol,用户数据报协议,提供了无连接通信,且不对传送数据包进行可靠性的保证。
IP:Internet Protocol,互联网协议,将传输层的数据封装成数据包并完成源站点到目的站点的转发,提供无连接的、不可靠的服务。
IGMP:Internet Group Management Protocol,因特网组管理协议,负责IP组播成员管理的协议。它用来在IP主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。
ICMP:Internet Control Message Protocol,网际报文控制协议,基于IP协议在网络中发送控制消息,提供可能发生在通信环境中的各种问题反馈。通过这些信息,使管理者可以对所发生的问题作出诊断,然后采取适当的措施解决。
ARP:Address Resolution Protocol,地址解析协议,是根据IP地址获取数据链路层地址的一个TCP/IP协议,其主要功能:将IP地址解析为MAC地址、维护IP地址与MAC地址的映射关系的缓存(ARP表)、实现网段内重复IP地址的检测。
TCP传输控制协议为应用程序提供可靠的、面向连接的服务。TCP通过如下几方面提供其可靠性:
面向连接的传输:TCP的任何一方进行数据传输之前必须在双方之间建立连接。
MSS(最大报文段长度):表示TCP发往另一端的最大报文段长度。当一个连接建立时,连接的双方都要通告各自己的MSS,以充分利用带宽资源。
传输确认机制:当TCP传输一个数据段后,它启动一个定时器,等待目的端确认收到这个报文段。如果不能及时收到目的端的确认报文,TCP将重传该数据段。
首部和数据的检验和:TCP将保持首部和数据的检验和,这是一个端到端的检验。目的是检测数据在传输过程中的变化。如果收到段的检验和有所差错,TCP将丢弃该报文段并不确认收到此报文段。因此TCP将启动重传机制。
流量控制:TCP还能提供流量控制。TCP连接的每一方都有一个固定大小的缓冲空间。TCP接收端只允许另一端发送接收缓冲区所能够容纳的数据。这能够防止较快的主机致使较慢的主机缓冲区溢出。
UDP为应用程序提供面向无连接的服务,所以在传数据之前源端和目的端之间不必要像TCP一样需要事先建立连接。正由于UDP是基于无连接的传输协议,所以UDP不需要去维护连接状态和收发状态,因此服务器可同时向多个客户端传输相同的消息。
UDP适用于对传输效率要求高的应用,应用层能提供可靠性的保障。如常用于认证计费的Radius协议、RIP路由协议都是基于UDP的。
TCP协议可靠,但也是因为它的可靠机制,导致它传输报文效率不高,封装开销也较高。
UDP面向无连接,不可靠,但传输效率相对较高。
集线器工作在物理层,交换机工作在数据链路层,转发数据帧。要比hub集线器聪明,它可以识别设备的物理地址(MAC地址),当一个数据帧被交换机接收到之后,首先检查自己的MAC地址表中是否有目标MAC地址,如果有,则根据MAC地址表记录的对应接口将数据帧发送出去,如果没有,则会将该数据帧从非接受接口发送出去,过程称之为泛洪。
了解端口类型
access口进来:数据帧默认不携带任何标签,进来会默认带上该端口的pvid(1),进入到交换机里面。
access口出去:携带tag的数据帧,如果tag和默认pvid是一样的,那么出去之前会剥离tag,如果不一样,则丢弃。
trunk口进来:数据帧如果没有带任何标签,进来会默认带上trunk口的pvid(1),进入到交换机里面;如果数据帧带了标签,那么trunk口会检查,你携带的tag,是否在我这个端口的放行列表里面,如果在,则允许进入,如果不再,则丢弃。
trunk口出去:携带tag的数据帧出去的时候,如果tag和默认的pvid一样,则剥离标签出去;如果不一样,则检查你携带的tag是否在我这个端口的放行列表里面,如果在,则直接携带标签通过,如果不再,则丢弃。
hybrid有两重含义:
1.决定allow 列表
2.数据帧是否可以出去,出去的时候是否剥离标签
2、划分vlan实验
eNSP模拟物理交换机、路由器、防火墙,vlan就是隔离lan本地局域网。
win10虚拟机8G内存100G硬盘CPU4个处理器,先安装别的软件都默认安装,eNSP软件最后安装。
win+r 输入 \\共享主机ip 如 \\11.1.1.11\share 访问共享目录
3、FusionCompute网络
主机、server、node、节点、服务器、cna、Esxi等,这些指的是物理服务器。
分布式虚拟交换机:分布式交换机是一个虚拟的交换机,功能类似于二层的物理交换机,通过端口组与虚拟机连接,通过上行链路与物理网络连通。
端口组:端口组是虚拟的逻辑端口,类似于网络属性模板,用于定义虚拟机网卡属性通过分布式交换机连接到网络的方式。VLAN方式:使用该端口组的虚拟机网卡不会被分配IP地址(需要用户向虚拟机该网卡配置IP地址),但虚拟机会连接到端口组定义的VLAN。
上行链路:上行链路是分布式交换机连接主机物理网卡的链路,用于虚拟机数据上行。
DVS:Distributed Virtual Switch,分布式虚拟交换机
分布式交换机模型基本特征:
虚拟化管理员可以配置多个分布式交换机,每个分布式交换机可以覆盖集群中的多个CNA节点;
每个分布式交换机具有多个分布式的虚拟端口VSP,每个VSP具有各自的属性(速率),为了管理方便采用Port Group组管理相同属性的一组端口,相同端口组的VLAN相同;
虚拟化管理员或业务系统(例如VDI/IDC),可选择管理/存储/业务使用的不同物理接口;每个分布式交换机可以配置一个UpLink端口或者一个Uplink端口聚合组,用于VM对外的通信。Uplink端口聚合组可以包含多个物理端口,端口聚合组可以配置负载均衡策略;
每个VM可以具有多个vNIC接口,vNIC可以和交换机的VSP一一对接;
虚拟化管理员或业务系统可根据业务需求,选择在一个集群中允许进行2层迁移的服务器创建虚拟二层网络,设置该网络使用的VLAN信息。
虚拟化管理员可通过定义端口组 属性(安全/QoS)简化对虚拟机端口属性的设置;设置端口组属性,不影响虚拟机正常工作。
端口组:端口组是网络属性相同的一组端口的属性集合。管理员可以通过配置端口组属性(带宽QOS、2层安全属性、VLAN等)简化对虚拟机端口属性的设置。设置端口组属性,不影响虚拟机正常工作。
上行链路:分布式交换机关联的服务器物理网口;管理员可以查询上行链路的名称、速率、模式、状态等信息。
上行链路聚合:分布式交换机关联的服务器绑定网口,绑定网口可以包含多个物理网口,这些物理网口可以配置主备或负载均衡策略。
1、同主机,同端口组
流量走向:vm1–dvs–vm2
2、同主机,不同端口组,vm1访问vm3
vm1 – dvs --上行链路—物理网卡–物理交换机–网关–物理网卡–上行链路–dvs-vm3
3、不同主机,同一个端口组,vm3访问vm4
vm3–dvs–上行链路-物理网卡-物理交换机-对端的物理网卡-对端的上行链路-dvs-vm4
4、不同主机,不同端口组,vm1访问vm5
vm1–dvs–上行链路-物理网卡-物理交换机-网关(110-130)-对端物理网口-对端的上行链路-dvs-vm5
4、VMware中的三种网络模式
1、VMnet0 桥接模式,VMnet0网卡在内存中,和宿主机连接在同一交换机,和宿主机同一个网段。
① 与宿主机同网段,如192.168.1.X
② 桥接模式可以连接外网(前提是宿主机能上外网,和宿主机处于同一网段,能相互通信)。
若虚拟机使用的桥接网络不能上外网,需查看其具体对应的网卡是哪个,其对应网卡是否能上外网。
注意:桥接网络的ip网段,会随着电脑网络环境变化而变化,不方便。
NAT(网络地址转换)获取到ip地址之后,其ip地址是不会随着网络环境变化而改变的。
2、VMnet1 仅主机模式,封闭的网络环境,仅能与宿主机进行连接,无法连接外网。
① 与宿主机不在同一个网段,拥有独立的IP网段
② 仅主机模式仅能用于内部连通, 仅主机模式无法连接外网。
VMnet1 仅主机模式上外网设置,将一个WLAN设置网络连接共享给VMnet1网卡即可。
3、VMnet8 NAT模式(网络地址转换),相当于一个独立的网络环境,与宿主机不处于同一个网段,但是其可以通过虚拟网络路由器(NAT地址转化)连接外网(前提是宿主机可以上外网)。
① 与宿主机不在同一个网段,拥有独立的IP网段
② 可以进行内部连接(通过VMnet8 网卡),还能通过虚拟网络路由器(NAT地址转化)连接外网
5、操作系统
操作系统(Operating System,简称OS),是管理和控制计算机硬件与软件资源的计算机程序(系统软件)。
操作系统是一种控制计算机的特殊计算机程序,在计算机和用户之间起到连接的作用,并对硬件资源进行协调管理。这些资源包括CPU、磁盘、内存和打印机等,用户运行程序时需要访问这些资源。
操作系统由内核和各种应用程序组成,内核本质上是一种软件程序,用来管理计算机硬件资源并提供上层应用程序运行所需要的系统调用接口。
系统调用:应用程序的执行必须依托于内核提供的资源,包括CPU、存储、I/O资源等,为了使上层应用能够访问到这些资源,内核必须为上层应用提供访问接口(系统调用)。
库函数:通过库函数实现对系统调用的封装,将简单的业务逻辑接口呈现给用户,方便用户调用。对于简单的操作我们可以直接调用系统调用来访问资源,对于复杂操作,可以借助库函数来实现。
Shell:是一个特殊的应用程序(俗称命令行),本质上是一个命令解释器,它可以执行符合Shell语法的文本(脚本),实际上这些Shell语句通常就是对系统调用做了一层封装,方便客户使用。
