网络工程笔记
⭐标记内容为重点。
为疑难点
网络工程基础
什么是网络工程
何为工程?
工程是有一个明确的目标、在指定的组织领导下,按计划进行的工作。
网络工程是指按计划进行的以工程化的思想、方法、方式去设计、研发和解决网络系统问题的工程。
它包括网络管理、组装组网(综合布线)等内容。
网络工程建设的组织机构
工程甲方——工程的建设方,网络工程中的用户,网络工程的提出者与投资方
工程乙方——网络工程的承建者
工程监理方——给用户提供前期咨询、网络方案论证、确定系统集成商、网络质量控制等服务。
网络工程建设内容
- 网络规划与设计
- 网络工程综合布线
- 网络设备安装和系统集成
- 网络应用部署与软件安装
- 网络工程竣工验收与技术培训
网络设备⭐
- 中继器
中继器(Repeater)又称重发器,其作用是对电缆上传输的数据信号再生放大,再重发到其他电缆上。
中继器仅适用于以太网,可将两段或两段以上的以太网连接起来。
- 集线器
集线器(HUB)是对网络进行集中管理的设备,工作于物理层,采用共享型模式,是一个共享设备,其实质是一个多接口的中继器(共享是指半双工传输)。
链接在HUB上的主机以广播形式传输数据,按照CSMA/CD存取,每个端口的可用带宽是HUB总带宽的平均值。
集线器的功能:
- 信号的再生与放大
- 碰撞检测与通告
- 网桥
网络(Bridge)也称桥接器,是连接两个局域网的存储转发设备,用它可以完成具有相同或相似体系结构网络系统的连接。
网桥工作在数据链路层,根据MAC地址来转发帧,可以看作一个“低层的路由器”。
网络通常用于连接数量不多的、同一类型的网段。
网桥的基本功能:
- 中继功能
- 地址过滤与“自学习”
- 数据接收、存储与转发
网桥与中继器的区别⭐
- 网桥可以实现不同类型的局域网互联,而中继器只能实现以太网间的相连。
- 网桥可以实现大范围的局域网互联,而中继器只能将5段以太网相连,且不能超过一定距离。
- 网桥可以隔离错误帧,提高网络性能。而中继器互联的以太网区段,随着用户的增多,冲突加大,网络性能将会降低。
- 网桥的引入可以提高局域网的安全性。
- 交换机
交换机(Switch)是一个具有简化、低价、高性能和高端口密集特点的交换产品。
交换机工作在数据链路层上,主要用于连接局域网中的网络设备。
交换机有多个端口,每个端口都具有桥接功能,可以连接一个局域网或一台高性能服务器或工作站。
所有端口由专用处理器进行控制,并经过控制管理总线转发信息。在这个意义上,交换机又被称为多端口的高速网桥。
交换机的基本工作原理与网桥是一致的。
交换机的优点⭐
- 分割冲突域(碰撞域)—减少了冲突。
- 允许建立多个连接—提高了网络总带宽。
- 减少每个网段中的站点数—提高了站点平均拥有带宽。
- 允许全双工连接—提高带宽,避免冲突
- 交换机一般作为LAN核心主干连接设备,应用在高网络通信量、对网络响应速度比较高的场合,如图像处理、视频流等。
- 路由器
路由器(Router)是一种多类型端口设备,它可以连接不同传输速率并运行于各种环境的局域网和广域网,也可以采用不同的协议。
路由器工作在网络层上。
在网络之间提供按最佳路由转发网络分组。
实现子网隔离,限制广播风暴。因为路由器不会转发广播包。
要想从一个网络访问路由器连接起来的另一个网络中的站点,必须指定该站点的逻辑地址(IP地址)。
路由器的主要功能:
- 网络互连。
- 数据处理。例如数组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能。
- 网络管理。包括配置管理、性能管理、容错管理和流量控制等。
- 协议转换。
- 网关
网关(Gateway)又称网间连接器、协议转换器,是将两个使用不同协议的网络段连接在一起的设备。其作用就是对两个使用不同协议的网络段中的数据进行互相翻译转换。
网关在传输层以上(包括传输层)实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。
网关的结构与路由器相似,不同的是互连层。网络既可以用于广域网互连,也可以用于局域网互连。
目前主要有三种不同网关:协议网关、应用网关和安全网关。
网络安全设备
1.防火墙
所谓防火墙(Firewall),是一种隔离技术,它在内部网络与公众访问网络(Internet)之间的一道屏障,将其分开,以预防发生不可预测的、潜在的网络入侵。
防火墙也是一种加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源,保护内部网络操作环境的特殊网络互连设备。
2.入侵检测系统
入侵检测(Instruction Detection ,ID)是在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。
- 入侵防御系统
- 上网行为管理系统
- 安全审计系统
网络应用模型
网络模型(Network Model)是指网络上计算机处理信息的方式。
根据信息处理过程中各主机之间的协作方式,我们可以得到四种主要的网络模型:对等网模式(P2P)、文件服务器模式(FS)、客户机/服务器模式(C/S)、浏览器/服务器模式(B/S)。
IPv6⭐
Internet Protocol Version 6是IETF(Internet Engineer Task Force)负责设计的下一代网际协议。
IPv6是为了解决IPv4的地址不足等一些问题而提出的。IPv6地址长度是128位,是IPv4的四倍。
其地址空间之大号称可为地球上每一粒沙子都编上地址。当然了这只是IPv6的优点之一。
其中学问有点大。
我们这里只简单了解下过渡技术。
IPv4不能一下子就被IPv6全面替代,这需要一个平滑的过渡过程,使得对现有的体系影响最小。
IETF推荐了三种转换技术:
①IPv6/IPv4双协议栈技术
在一台设备上同时启用Ipv4协议栈和IPv6协议栈。
协议栈(Protocol Stack),又称协议堆叠,是计算机网络协议套件的一个具体软件实现。用户应用程序只用处理最上层协议。
②隧道技术
通过把IPv6数据报文封装入IPv4数据报文中,让现有IPv4网络成为载体以建立IPv6的通信,
隧道两端的节点间数据报文的传送通过IPv4机制进行,隧道被看成一个直接连接的通道。
隧道协议将其他协议的数据帧或包重新封装在新的包头中发送。
被封装的数据包在隧道的两个端点之间通过公共互联网进行路由。
被封装的数据包在公共互联网传递时经过的逻辑路径称为隧道。
隧道技术包含数据的封装、传递和解封的全过程。
③网络地址转换技术
后续有介绍,不再赘叙。
40G/100G以太网
40G/100G以太网称为下一代超高速光传输技术。
其技术标准由802.3ba支持。
物联网
物联网核心与基础仍然是互联网,在互联网的基础上将用户端延伸和扩展到任何物品与物品之间,进行信息交换和通信。
物联网的结构分为三层:
- 感知层。信息的收集与简单处理。
- 网络层。传递和处理感知层的信息。
- 应用层。让信息发挥现实作用。
物联网的广泛应用将加速40G/100G以太网部署。
虚拟化⭐
虚拟化(Virtualization)是一种资源管理技术。
将实体计算机划分成多态逻辑计算机。
抽象化实体计算资源。
虚拟化技术解决了高性能硬件产能过剩(划分)和老旧硬件(重组)的资源浪费问题。
虚拟化是一个广义的术语,在计算机方面通常是指计算元件在虚拟的基础上而不是真实的基础上运行。
虚拟化技术可以扩大硬件的容量,简化软件的重新配置过程。
CPU的虚拟化技术可以单CPU模拟多CPU 并行,允许一个平台同时运行多个操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。
虚拟化技术与多任务以及超线程技术是完全不同的。
多任务是指在一个操作系统中多个程序同时并行运行,而在虚拟化技术中,则可以同时运行多个操作系统,而且每一个操作系统中都有多个程序运行,每一个操作系统都运行在一个虚拟的CPU或者是虚拟主机上;而超线程技术只是单CPU模拟双CPU来平衡程序运行性能,这两个模拟出来的CPU是不能分离的,只能协同工作。
虚拟化技术也与如今VMware Workstation等同样能达到虚拟效果的软件不同,是一个巨大的技术进步,具体表现在减少软件虚拟机相关开销和支持更广泛的操作系统方面。
云计算
云计算(Cloud Computing)是分布式计算技术的一种。
它将计算任务分布在互联网中大量计算机构成的资源池上,使得各种应用系统能够按需获取计算力、存储空间和信息服务。
网络工程综合布线
综合布线系统概述
综合布线系统(Premises Distribution System,PDS)是用数据和通信电缆、光缆、各种软电缆及有关连接硬件构成的通用布线系统,是能支持语音、数据、影像和其他控制信息技术的标准应用系统。
TO,信息点;FD,楼层配线设备,BD,建筑物配线设备;CD,建筑群配线设备
综合布线系统的子系统组成
建筑群子系统
从某一建筑物中的主配线架延伸到另外一些建筑物的主配线架的连接系统.
干线子系统
配线子系统
工作区子系统
综合布线与传统网络工程布线相比的优势
网络综合布线解决了传统布线的兼容性问题。就我国传统的布线而言,只要用户能够选择一定的教学设备,我们也会选择相应的布线管理模式和传输信息媒体,然后需要更换与之相关的整个布线系统。
集成布线的兼容性体现在它与应用系统完全独立和相对独立,可以应用于各种应用系统。标准布线传输电缆及相关连接硬件,模块化设计,使所有通道通用。每个通道支持的终端,以太网工作站。无需改变所有设备的原有接线,只需增加或减少相关设备和必要的跳线对配线架进行管理,操作非常方便。
综合布线的兼容性也给系统带来了一个具有更高的可靠性,由于我们整个企业管理控制系统中高标准化的设备、材料、连接件、组合压接方式等构成了他们自己一套高标准的信息数据进行传输通道,每条通道均需要提高学生能够通过学习使用专用仪器的测试,这样不仅可以得到保障了系统结构设计电气工程安全性能。
与其他综合布线系统相比,传统的综合布线系统对于高等教育来说相对简单、昂贵、复杂和具有成本效益。一个高配置的网络综合布线系统分析可以使用几十年,但传统的布线不仅费钱,而且费时费力。
交换机技术及其应用
交换机概述
Switch由CPU、RAM和接口组成。
工作于OSI的第二层数据链路层,用于连接Work Station、Server、Router、集线器和其他交换机。
主要作用是快速高效、准确无误的转发数据帧。
交换机分类
交换机的管理方式
带外管理—Console端口
带内管理
-
Telnet
-
SNMP
-
Web
交换机的转发方式⭐
1.直通式(Cut Through)
直通方式的以太网交换机可以理解为在各端口间是纵横交叉的线路矩阵电话交换机。它在输入端口检测到一个数据包时,检查该包的包头,获取包的目的地址,启动内部的动态查找表转换成相应的输出端口,在输入与输出交叉处接通,把数据包直通到相应的端口,实现交换功能。由于不需要存储,延迟非常小、交换非常快,这是它的优点。它的缺点是,因为数据包内容并没有被以太网交换机保存下来,所以无法检查所传送的数据包是否有误,不能提供错误检测能力。由于没有缓存,不能将具有不同速率的输入/输出端口直接接通,而且容易丢包。
2.存储转发(Store & Forward)
存储转发方式是计算机网络领域应用最为广泛的方式。它把输入端口的数据包检查,在对错误包处理后才取出数据包的目的地址,通过查找表转换成输出端口送出包。正因如此,存储转发方式在数据处理时延时大,这是它的不足,但是它可以对进入交换机的数据包进行错误检测,有效地改善网络性能。尤其重要的是它可以支持不同速度的端口间的转换,保持高速端口与低速端口间的协同工作。
3.碎片隔离(Fragment Free)
这是介于前两者之间的一种解决方案。它检查数据包的长度是否够64个字节,如果小于64字节,说明是假包,则丢弃该包;如果大于64字节,则发送该包。这种方式也不提供数据校验。它的数据处理速度比存储转发方式快,但比直通式慢。
交换机的接口类型
锐捷交换机将其接口分为二层接口(L2 interface)和三层接口(L3 interface)两类。
(1)二层接口
二层接口又分为Switch Port(交换接口)和L2 Aggregate Port(二层聚合接口)。
①Switch Port由交换机的单个接口组成,只有二层交换功能,其操作模式分为Access Port(访问接口)和Trunk Port(中继接口)。
每个Access Port只属于一个VLAN,默认VLAN就是所在的VLAN,一般用于连接个人计算机。
每个Trunk Port可以属于多个VLAN,需要设置一个VLAN为默认,默认情况下,Trunk Port将传输所有VLAN的帧,可以设置VLAN许可列表(allowed-vlans)来限制Trunk Port传输哪些VLAN的帧。Trunk Port一般用于设备之间的连接,也可用于连接个人计算机。
②L2 Aggragate Port是交换机两台交换机互连时,为了提高连接带宽,将多个物理接口聚合在一起进行互连构成的一个逻辑Switch Port。简称AP。其中的每个物理端口称为L2 Aggragate Port的成员端口。
(2)三层接口
SVI是与某个VLAN关联、用来实现三层交换的逻辑接口。每个SVI只能与一个VLAN关联。SVI既可以作为管理接口,也可以作为路由接口。
SVI和Routed Port的区别⭐
SVI是虚拟的接口,用于VLAN间的路由,实现跨VLAN通信。
Routed Port是物理端口,用于点对点的链路路由,实现两个主干交换机的连接。
L3 AP与L2 AP的区别⭐
L3 AP具有IP地址,不具备二层交换的功能,可作为三层交换的网关接口连接一个子网。
交换机接口的编号规则
交换机的常用配置命令
我们先来浅看下命令模式
常见的CLI(命令行界面)错误提示
对于新出厂的交换机,必须先进行一系列的配置。
打开交换机电源,通过超级终端进入交换机的Setup模式,出现如下界面
这些配置会生成一个配置文件
交换机名称
交换机一般默认名称为“Switch”,而锐捷交换机默认名称为“Ruijie”。
例如我们要配置一台锐捷交换机的名称为test
进入特权模式
Ruijie>enable
进入全局配置
Ruijie#configure terminal
配置交换机名称
Rujie(config)#hostname test
恢复默认名称
test(config)#no hostname
查看交换机名称
Ruijie#show running-config
访问交换机的口令和特权级别
这两者的作用是什么呢?
口令是为了防止非法用户登陆交换机篡改交换机配置;而特权级别可以控制用户可以使用的命令。
口令分为如下三种:
Ⅰ、控制台口令,从连接到Console口的控制台登录到交换机时,需要输入控制台口令。
配置样例:
Ruijie>enable
Ruijie#configure terminal
进入控制台线路0的配置
Ruijie(config)#line console 0
打开登录认证功能
Ruijie(config-line)#login
设置口令
Ruijie(config-line)#password 123456
删除配置的远程登陆口令
Ruijie(config-line)#no password
Ruijie(config-line)#end
Ⅱ、远程登录口令,从网络中的计算机通过Telnet命令登录交换机时,需要输入远程控制口令。
配置举例:
Ruijie>enable
Ruijie#configure terminal
进入远程登陆线路0~4的配置
Ruijie(config)#line vty 0 4
打开登录认证功能
Ruijie(config-line)#login
设置口令
Ruijie(config-line)#password 123456
删除配置的远程登陆口令
Ruijie(config-line)#no password
Ruijie(config-line)#end
Ⅲ、特权口令,用户模式进入特权模式需要输入特权口令。
Ruijie(config)#enable password [level level] {password|encryption-type encrypted-password}
Ruijie(config)#enable secret [level level] {password|encryption-type encrypted-password}
Ruijie(config)#no enable password [level]
Ruijie(config)#no enable secret [level]
level表示口令的等级,其范围为0~15。
0~14为普通用户级,15为特权用户级。一般情况下默认为15级。
password为明文口令,最长25个字符,不包含空格和问号或其他不可显示字符。
enable password配置的口令在配置文件中是简单加密或者不加密的明文;而enable secret配置的口令在配置文件中是安全加密的。如果都配置了,则后者优先级高。
设置命令的特权级别
命令格式:
privilege mode level level command
mode表示命令的模式,configure表示全局配置模式,exec表示特权命令模式,interface表示接口配置模式。
level表示授权级别,在各用户级别之间切换可以使用enable命令。
command表示要授权的命令。
配置举例:将configure命令授予级别14并设置级别14为有效级别(通过设置口令完成)
Ruijie(config)#privilege level 14 configure
Ruijie(config)#enable secret level 14 0 123456
若想让更多的授权级别使用某一条命令,可以使该命令的使用权授予较低用户级别。
登录或离开某个授权级别
Ruijie#enable level
Ruijie#disable level
管理IP、子网掩码和默认网关
设置交换机的管理IP和子网掩码
配置举例:
配置交换机的管理IP为192.168.10.1/24
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#interface vlan 1
Ruijie(config-if)#ip address 192.168.10.1 255.255.255.0
Ruijie(confi-if)#no shutdown 启用该接口
Ruijie(config-if)#exit
配置默认网关
ip default-gateway ip-address
删除默认网关
no ip default-gateway
配置举例:
配置交换机的默认网关为192.168.1.1
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#ip default-gateway 192.168.1.1
Ruijie(config)#end
查看管理IP
Ruijie#show running-config
Ruijie#show ip
交换机的访问方式
我们知道交换机有带外和带内两种访问方式。
带外是将计算机与交换机直接连接进行访问,而带内方式是通过网络的传输进行访问,又分为Telnet、Snmp和Web,默认前两种处于开启状态,后一种关闭。
对于一台新购的交换机,我们必须先通过带外方式对其配置IP地址、远程登陆密码和特权密码才能使用带内方式访问这台交换机。
(1)开启、关闭带内访问方式
Ruijie(config)#no enable service telnet-server 关闭telnet访问方式
Ruijie(config)#no enable service snmap-agent 关闭snamp访问方式
Ruijie(config)#enable service web-server 开启web访问方式
(2)限制远程登录访问
配置举例:只允许IP地址为192.168.1.10和192.168.1.30以及192.168.12.*网段的用户用Telnet登录交换机
Ruijie(config)#service telnet host 192.168.1.10
Ruijie(config)#service telnet host 192.168.1.30
Ruijie(config)#service telnet host 192.168.12.0 255.255.255.0
(3)取消配置的Telnet登录限制
删除指定IP
Ruijie(config)#no service telnet host host-ip
删除所有IP
Ruijie(config)#no service telnet host
(4)设置远程登录的超时时间
超时时间默认为5分钟
Ruijie(config)#line vty
Ruijie(config-line)#exec-timeout 600
单位为秒,取值为0-3600,如果设置为0,表示不限制超时时间。
取消远程登录超时时间
no exec-timeout
(5)配置Web访问方式的IP
Rujie(config)#service web host host-ip [subnet-mask]
删除已配置的合法访问IP
Rujie(config)#no service web host host-ip [subnet-mask]
删除所有
Rujie(config)#no service web host all
(6)查看访问方式的状态
Ruijie#show service
设置系统的日期和时间
Ruijie#clock set hh:mm:ss day month year
显示系统时间信息
Ruijie#show clock
显示交换机的系统信息
switch#show version devices 显示交换机当前的设备信息
swicth#show version slots 显示交换机当前的插槽和模块信息
保存配置
交换机有两个配置文件,一个是正在使用的配置文件,叫做“running-config”,还有一个是初始化配置文件,叫做“startup-config”。running-config保存在DRAM中,如果没有保存,交换机断电就丢失了。而startup-config保存在NVRAM中,即使断电也不会丢失。这两个文件的内容可以不一样。
在系统启动时对startup-config文件逐条命令进行解释执行,并且同时复制到running-config中。两个配置文件可以相互复制。
switch#copy running-config startup-config 将running-config复制到startu-config中
交换机互连技术
单单一台交换机的端口数量是不足以满足一个网络接入的需求的。
所以,局域网需要多台交换机互连,互连方式主要有级联(Uplink)和堆叠(Stack)。
交换机级联
交换机级联采用双绞线或光纤,线缆两端分别接入两台交换机的某个RJ-45接口或者光纤接口。
交换机堆叠
交换机的堆叠模块由两个端口:一个是进口(IN或UP向上线),一个是出口(OUT或DOWN向下线)。用厂商提供的专用连接电缆(堆叠线)连接,从一台交换机的DOWN堆叠端口直接连到另一台交换机的UP堆叠端口。
注意:使用堆叠后就不要使用级联,不然会产生回路,导致广播风暴。
交换机堆叠的优点⭐
Ⅰ、可以扩展端口密度,所有成员设备的端口都可以当作一个设备的端口。
Ⅱ、用户可以将一组交换机当作一个逻辑对象,减少IP的占用且易于管理。
Ⅲ、扩展上链带宽。
堆叠的管理
(1)堆叠成员及其优先级
在建立堆叠之前,我们需要确定一台主机,,并在但交换机模式下将其优先级修改为较高优先级,保证其在堆叠中为主机。
设备优先级从低到高为1~10,出厂默认为1。
堆叠启动后,可以通过show member命令来查看堆叠成员的信息,并可根据堆叠成员MAC地址信息来确定堆叠中的设备及排列顺序。
在堆叠中,系统首先根据设备优先级来确定主机,优先级高的为主机,如果有多台交换机优先级相同,则MAC地址小的为主机。
堆叠与级联的区别⭐
Ⅰ、实现的方式不同。堆叠和级联的主要目的是增加端口密度,级联是采用双绞线或光纤通过RJ-45端口或光线端口将交换机连接到一起,对交换机的品牌和型号没有限制。而堆叠只能在相同厂家的设备之间,采用专用堆叠线和专用堆叠模块才可实现。
Ⅱ、设备数目不同。级联理论上没有设备数量限制,而堆叠,各个厂家都会标明最大堆叠数量。
Ⅲ、连接后的性能不同。级联是有上下级关系的,会产生级联瓶颈。当层次太多时,级联会产生较大延时且每层的性能不同,最后一层的性能最差;而堆叠是通过交换机的背板连接起来的,它是一种建立在芯片级上的连接,交换机任意两端口的延时是相等的。
Ⅳ、连接后的逻辑属性不同。级联后的每台设备仍然是独立分层设备,需要依次连接才能对其进行配置;而堆叠的交换机组从逻辑上看属于同一台设备,用户只需连接其中一台就可配置其他的几台交换机。
Ⅴ、连接距离限制不同。一般级联可增加终端设备的接入距离。但堆叠线最长只有几米,所以,堆叠的交换机一般放在一个机柜中。
堆叠的配置
配置举例:
①将堆叠设备中的2号设备命名为maths,该设备的fastethernet0/1-3号端口设置为trunk port。
switch#configure terminal
switch(config)#member 2
switch@2(config)#device-description maths
switch@2(config)#interface range fa0/1-3
switch@2(config-if)#switchport mode trunk
②在单交换机模式模式下配置设备优先级为3,在堆叠模式中设置设备2的优先级为8
switch#configure terminal
switch(config)#device-priority 3
switch(config)#end
switch#show version devices
switch#configure terminal
switch(config)#device-priority 2 8
switch(config)#end
switch#show version devices
交换机的VLAN技术
世上有些事就是那么别扭:明明在一起的,人们却偏偏需要它们彼此分开;明明不在一起的,人们却又常常希望把它们凑到一块儿。除了琼瑶小说和都市言情剧之外,这种事儿也常常发生在网络技术领域。当然,上述情况发生在小说和影视剧中,是为了制造矛盾冲突,得从艺术的角度去分析;发生在网络技术领域,则是为了解决客观问题,得从需求的角度去分析。
有时候,我们并不希望所有物理上连接在同一台交换机上的主机,都处于同一个局域网中。这种需求相当常见,而且也很好理解。就像大多数教材都会介绍的那样,大多数网络都会把不同部门的人员部署在不同的局域网中,这是因为在网络层把不同部门的员工相互隔离开,既可以让一个部门的内部信息(比如财务部)更不容易被另一个部门的人搞到手,又可以把故障和错误隔离在一个更小的范围内。
这么基本的需求当然会在技术层面得到满足。也就是说,管理员可以把连接在一台交换机上的设备,按照员工的工作职能,而人为地“划”进不同的虚拟局域网(VLAN)中。这样,它们在通信时就会像连接在不同的交换机上一样了。
之前我们曾经在很多章节反复提到过,局域网(以太网)是一个广播型网络,同一个局域网中的主机都位于一个广播域中。又因为连接在同一台交换机上的主机都处于同一个局域网中,所以这些主机也就都处于同一个广播域中。由此,我们在此前的章节中,称交换机可以隔离冲突域,而路由器可以隔离广播域。
—— 《趣学CCNA 路由与交换》
看完以上知识就对交换机VLAN有个大致的了解了。
VLAN相对于传统网络的特征⭐
①VLAN不受网络物理位置限制,可跨越多个物理网络、多台交换机。可将网络用户按功能划分为多个逻辑工作组,每组为一个VLAN。
②同一个VLAN的广播只有VLAN中的成员才能听到,而不会传输到其他VLAN中去。因此VLAN可隔离广播信息,每一个VLAN为一个广播域。如果要实现不同VLAN间的通信,则必须通过路由器或者三层交换机才能完成。锐捷的三层交换机通过SVI接口来进行VLAN间的IP路由。
③划分VLAN可有效提升带宽,我们将网络上的用户按业务功能划分为多个逻辑工作组,每一组为一个VLAN,这样,日常的交流信息绝大部分被限制在一个VLAN内部,使带宽得到有效利用。
④VLAN由软件定义与划分,使得建立和重组VLAN十分灵活,当一个VLAN增加、删除和修改用户时就不必从物理位置上调整网络。
VLAN的分类及其优缺点⭐
(1)基于端口的VLAN
只要将所有的端口都定义为相应的VLAN即可。
优点:定义VLAN成员时非常简单,适于任何大小的网络。
缺点:如果用户离开了原来的端口,到了一个新的交换机的某个端口必须重新定义。
(2)基于MAC地址的VLAN
只要将所有网卡的MAC地址都定义为相应的VLAN即可。
优点:当用户物理位置移动时,VLAN不用重新配置。
缺点:初始化时,所有的用户都必须进行配置,如果用户多的话,配置非常繁琐,通常适用于小型局域网。
(3)基于IP地址的VLAN
根据IP地址来划分VLAN,一般地,每个VLAN都是和一段独立的IP网段(子网)对应。
优点:当某一用户主机的IP地址改变时,交换机能够自动识别,重新定义VLAN,不需要管理员干预。有利于在VLAN交换机内部实现路由,也有利于将动态主机配置(DHCP)技术结合起来。
缺点:主要是由于IP地址可以人为地、不受约束地自由设置。另外效率要比基于MAC地址的VLAN差。
(4)基于网络层协议的VLAN
可分为IP、IPX、AppleTalk等VLAN。
优点:用户的物理位置改变了,不需要重新配置所属的VLAN,不需要附加的帧标签来识别VLAN,可以减少网络的通信量。
缺点:效率低,因为要检查IP帧头,要费很多时间。
(5)基于IP组播的VLAN
一个IP组播就是一个VLAN。
主要适合于不在同一地理范围的局域网用户组成一个VLAN。
VLAN中的端口
一个VLAN时用vlan-id标识的,最多支持4093个VLAN(vlan-id为1~4094),其中VLAN1是出厂默认配置的VLAN,若没有对交换机进行配置,则所有与交换机连接的设备都属于VLAN1,VLAN1属于不可删除的VLAN。
VLAN的基本配置
(1)显示VLAN信息
配置举例:查看所有VLAN和VLAN2的信息
show vlan
show vlan 2
(2)创建VLAN
vlan vlan-id
(3)定义VLAN的名称
name vlan-name
(4)删除一个vlan
no vlan vlan-id
(5)把Access接口分配给指定VLAN
配置举例:将fastethernet0/10分配给VLAN10
switch(config)#interface fastethernet0/10
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 10
switch(config-if)#end
switch#show interfaces fastethernet0/10 switchport
如果分配的VLAN不存在则创建
(6)配置SVI
给一个VLAN配置IP就可创建该VLAN的SVI。
配置举例:创建一个SVI 20,其中包含fastetehrnet 0/1和fastethernet 0/2两个端口。
switch>enable
switch#configure terminal
switch(config)#interface f0/1
switch(config-if)#switchport access vlan 20
switch(config-if)#interface f0/2
switch(config-if)#switchport access vlan 20
switch(config-if)#interface vlan 20
switch(config-if)#ip address 192.168.10.1 255.255.255.0 创建了一个SVI20
switch(config-if)#end
switch#show interfaces vlan 20
VLAN: V20
Decription: SVI20
相同VLAN间的通信
跨交换机实现相同VLAN间的通信需要将交换机互连的端口设置为Trunk模式,并进行相关配置。
跨交换机实现不同VLAN间的通信需要借助于路由器或三层交换机,并进行相关设置。
(1)配置Trunk接口
模式:接口配置模式
命令:switchport mode trunk
(2)定义Trunk的许可列表
模式:接口配置模式
命令:switchport trunk allowed vlan {all|[add|remove|except]} vlan-list
vlan-list时vlan-id,中间用-隔开。
(3)配置Native VLAN
模式:接口配置模式
命令:switchport trunk native vlan vlan-id
(4)验证连通性
模式:特权模式
命令:ping <目的IP地址 >
交换机的生成树技术
在网络设计中,为了增加通信链路的可靠性,一般会在交换机之间设计一条或多条冗余链路。
但这样,也可能会导致
- 重复帧,一台设备先后收到两个一模一样的数据帧。
- 广播风暴
- MAC地址翻动,交换机从不同的接口收到同一个源MAC地址帧。
为了解决这些问题,生成树技术应运而生。
生成树协议(STP协议)通过阻塞端口来打破环路,使得交换机之间只有一条活跃链路。
先来了解几个重要概念:
交换机 MAC 地址: 每台交换机都有一个 MAC 地址池,交换机可以把这些MAC 地址分别用作不同的用途(这句话为 Cisco 英文官网原文直译)。比如接下来要介绍的STP选举过程中就不止一次涉及MAC地址的使用。
链路开销: 读到本章,读者对于开销的概念应该也不陌生了。说得直白一点,开销标识的是这条(链)路有多难走。因此,链路的速率越高,它的开销越低:10Gbit/s链路的开销是2;1Gbit/s链路的开销是4;100Mbit/s链路的开销是19;而10Mbit/s链路的开销是100。
目前,普遍使用的生成树协议有STP、RSTP(快速生成树协议)和MSTP(多生成树协议),它们遵循的标准是IEEE 802.1d,IEEE802.1w,IEEE802.1s。
生成树协议的工作原理⭐
STP的基本思想是生成一个稳定的树形拓扑结构。
树的根是一台称为根桥的交换机(Root Bridge,根交换机,下同)。由根交换机出发,逐级形成一棵树,交换机为树的结点,链路为树枝,根交换机定时发送配置报文,非根交换机接收配置报文并转发.
如果某台交换机能够从多个端口接收到配置报文,说明该交换机到根不止一条路径,这便构成了回路,此时该交换机选择一个端口为转发状态,阻塞其他端口,相应链路也被阻断,成为备份链路。
当某个端口长时间不能接收到配置报文时,交换机认为该端口失效,网络拓扑可能发生变化,生成树需重新计算,激活其他的备份链路,这条故障链路就会变成备份链路。
用于构造这棵树的算法称为生成树算法(SPA)。
RSTP相比较于SPT,增加了端口状态快速切换。
BPDU
Bridge Protocol Data Unit。
BPDU:全称为桥协议数据单元,这种数据帧中包含了所有STP选举所需要的信息,包括由根网桥的优先级值、根网桥的 MAC 地址、交换机去往根网桥的链路开销等。
BPDU以组播地址01-80-C2-00-00-00为目的地址。
BPDU组成:
- Root Bridge ID,本交换机所认为的根交换机的ID
- Root Path Cost,本交换机到根交换机的路径花费,称为根路径花费。
- Bridge ID,本交换机的标识。
- Message age,报文(帧)已存活的时间。、
- Port ID,发送该报文的端口。
- Forward-Delay Time、Hello Time、Max-Age Time
- 其他一些网络拓扑变化、本端口状态的标志位。
Bridge ID
按IEEE802.1w标准规定,生成树协议中的每台交换机都有唯一标识(Bridge ID),生成树算法就是以它为标准选出根交换机的。
Bridge ID由交换机的优先级和MAC地址组成,共8字节,前两字节是优先级,后6字节是MAC地址,
在RSTP中,System ID为0。因此给交换机的优先级必须是4096的倍数。
生成树的定时器
在生成树协议中,有3个定时器影响到整个生成树的性能。
- Hello Timer:根交换机向其他交换机广播一次BPDU的时间间隔(打招呼),默认值2s。
- Forward-Delay Timer:端口状态改变的时间间隔,默认值15s。
- Max-Age Timer:BPDU报文存活的最长时间,默认20s。目的是防止回路。
端口的角色和端口状态
5种端口角色(Port Role):
- Root Port:根端口,指到根交换机的路径花费最短的端口。
- Designated Port:指派端口,每个LAN通过该端口连接到根交换机。
- Alternate Port:根端口的替换端口,一旦根端口失效,该端口立刻变为根端口。
- Backup Port:指派端口的备份端口,若一个交换机有有两个端口连接到同一个LAN上,高优先级的端口为指派端口,低优先级的端口为备份端口。
- Disable Port:非活动端口。
在没有特别说明的情况下,端口优先级:Root Port>Designated Port>Alternate Port>Backup Port。
5种端口状态(port state):
- Discarding:阻塞状态,既不对收到的帧进行转发,也不进行源MAC地址的学习。
- Learning:学习状态,不对收到的帧进行转发,但进行源MAC地址的学习。
- Forwarding:转发状态,既对收到的帧进行转发,也进行源MAC地址的学习。
对于一个已经稳定的网络拓扑,只有Root Port和Designated Port才会进入Forwarding状态,其他端口都是Discarding。
MSTP介绍
STP/RSTP都是单生成树(SST)协议,在局域网的所有交换机共享一棵生成树,不能按VLAN阻塞冗余链路。
MSTP是在传统的STP/RSTP基础上发展而来的新的生成树协议,既继承了RSTP端口快速Forwarding机制,又解决了RSTP中不同VLAN必须运行在同一棵生成树的上的问题,且通过形成多棵生成树形成负载均衡。
基本概念
Ⅰ、多生成树实例(MST Instance,MSTI):一台交换机的一个或多个VLAN的集合。在一台交换机里,最多可创建64个Instance,ID从1-64,instance 0是默认存在的。每个VLAN只属于一个Instance,每个instance有多个VLAN组成。没有被映射的VLAN默认属于instance 0。
Ⅱ、多生成树树域(MST Region):由交换网络中有着相同实例映射规则和配置的交换机以及它们之间的网段组成。域内所有交换机都有相同的域配置信息:包括:
- MST域名:最长可用32字节长的字符串表示。
- MST修订级别(MST rivision number):用16位来标识,范围为0-65535.
- 多生成树实例和VLAN的映射表。
一个相同的MST Region除了以上三点之外,还应加上“启动了MSTP”。
Ⅲ、内部生成树(Internal Spanning Tree,IST),MST区域内的一个生成树,对于每个域而言,保证了每个域的连通性。IST使用编号0.
Ⅳ、公共生成树(Common Spanning Tree,CST),连接交换网络内部的所有MST区域的单生成树。每个域在CST中只是一个节点。如果把每个MST区域看作一个大交换机,则CST就是这些“交换机”通过STP/RSTP协议计算生成的一棵生成树。
Ⅴ、公共和内部生生生成树(Common and Internal Spanning Tree,CIST),IST和CST共同构成了整个网络的CIST。
Ⅵ、域根:指MST域内IST和MSTI的树根。MST域内各生成树的拓扑结构不同,域根也可能不同。
Ⅶ、总根(Common Root Bridge):指CIST的树根,即一个交换网络的根。
Ⅷ、端口角色:
Ⅸ、端口状态,与STP/RSTP相同。
MSTP基本原理⭐
MSTP将整个二层网络划分为多个MST域,经过配置消息后,在整个网络中选择一个优先级最高的交换机作为CIST的树根;在每个MST域内通过计算生成IST;同时MSTP将每个MST域作为单台交换机对待,通过计算MST域间生成CST。CST和IST就构成一个整体的生成树CIST。
生成树的形成过程⭐
(1)决定根交换机
(2)决定根端口
(3)决定LAN的指派交换机
(4)决定指派端口
(5)根端口和指派端口进入Forwarding状态
AP的流量平衡⭐
AP是根据报文的MAC地址或IP地址进行流量平衡的,即把流量平均地分配到AP的成员链路中去。流量平衡的方式有如下3种:
- 根据源MAC地址进行流量平衡,在AP各链路中,来自不同MAC的报文分配到不同端口;来自相同MAC的报文分配到同一端口。该方式是默认配置方式。
- 根据目的MAC地址进行流量平衡,目的MAC地址不同的报文分配不同端口;来自相同目的MAC的报文分配到同一端口。
- 根据源IP地址和目的IP地址进行流量平衡,不同源IP地址-目的IP地址对的报文分配到不同端口,相同源IP地址-目的IP地址对分配到相同端口。该流量平衡方式一般用于三层AP,在此流量平衡方式下接收到的是二层报文的话,会自动根据源MAC地址-目的MAC地址对进行流量平衡。
在全局配置模式下,通过命令aggregateport load-balance命令来配置流量平衡方式。
命令:aggragateport load-balance {src-mac|dst-mac|ip}。
【配置举例】把交换机的fastethernet0/4和fastethernet0/5组成一个Aggregate Port,并按IP地址进行流量平衡。
switch>enable
switch#configure terminal
switch(config)#interface f0/4
switch(config-if)#port-group 1 创建AP1并将f0/4加入
switch(config-if)#interface f0/5
switch(config-if)#port-group 1 加入f0/5
switch(config-if)#exit
switch(config)#aggregateport load-balance ip
switch(config)#end
swicth#show aggregateport load-balance
配置子接口⭐
RGNOS(锐捷网络操作系统)的子接口是在一个物理接口衍生出来的多个逻辑接口,即将多个逻辑接口跟一个物理接口建立关联关系,同属于一个物理接口的逻辑子接口在工作时公用该物理接口的物理配置参数,但又有各自的链路层和网络层配置参数。RGNOS中支持子接口的物理接口有:非交换式以太网接口,封装帧中继的广域网接口,封装X.25的广域网接口。
帧中继
帧中继是一种“先进”的包交换技术,它是从分组交换技术发展起来的,是种快速分组通信方式。
(1)配置以太网的子接口
在全局配置模式下,使用命令interface fastethernet创建或进入以太网子接口配置模式。
(2)配置封装帧中继的广域网接口的子接口
命令:interface serial interface-number.subinterface-number [point-to-point|multipoint]
(3)配置封装X.25的广域网接口的子接口
配置举例:
R1(config)#interface Serial 0 进入串口S0
R1(config-if)#no ip address
R1(config-if)#encapsulation frame-relay 配置帧中继协议
R1(confif-if)#frame-relay intf-type dce
R1(config-if)#exit
R1(config)#interface Serial 0.1 point-to-point
R1(config-subif)#ip address 101.92.67.1 255.255.255.0
R1(config-subif)#frame-relay interface-dlci 20
R1(config-subif)#exit
R1(config)#interface Serial 0.2 point-to-point
R1(config-subif)#ip address 101.92.68.1 255.255.255.0
R1(config-subif)#frame-relay interface-dlci 30
R1(config-subif)#exit
R1(config)#interface ethernet 0
R1(config-if)#ip address 192.168.10.1 255.255.255.0
L3 交换机与路由器的区别⭐
①路由器与三层交换机的转发依据不同
路由器则是利用IP地址(网络地址)来确定数据转发的地址,而三层交换机是利用MAC地址(物理地址)来确定转发数据的目的地址。
②路由器与三层交换机的功能不同
路由器的功能主要是路由转发,但也会附带一些备用功能,如硬件防火墙、二层交换机技术等功能;而三层交换机本质上属于交换机,其主要功能仍旧是数据交换,只不过附带了一些路由转发功能,使其使用更加广泛、增强了扩展性。
③路由器与三层交换机的应用范围不同
由上述提及的两者功能区别可知,路由器的主要功能是路由转发,专用于处理复杂的路由路径和网络连接,实现跨网段连接,其具备选择最佳路由、负荷分担、链路备份以及与其他网络进行路由信息的交换等功能,因此路由器适用于任何网络之间的连接,如局域网与广域网之间等。而三层交换机的主要功能是以太网数据交换,路由转发功能属于附加功能,因此三层交换机适用于简单的接入网连接。
④路由器与三层交换机的性能不同
路由器的路由转发是通过软件实现的,需在CPU中运行一段程序来处理路由转发;而三层交换机的路由转发是通过硬件实现的,一般使用ASIC芯片来处理路由转发;因此相对来说,三层交换机的转发效率会高过路由器。另外,由于三层交换机的路由转发功能在硬件上,因此它不具备软件的可扩展性以及路由器的附加功能(如防火墙)。
⑤路由器与三层交换机的接口不同
为了能够适应各种类型的网络连接,路由器支持多种不同的有线传输介质,如光纤、电话线、串行线缆等,其接口类型种类繁多,如以太网接口、令牌环接口、FDDI接口、E1/T1接口、WLAN网卡等;而三层交换机一般只有以太网接口,如RJ-45接口、光纤接口等。
路由器技术及其应用
路由器的启动
路由器的主要功能⭐
第一,网络互连:路由器支持各种局域网和广域网接口,主要用于互连局域网和广域网,实现不同网络互相通信;
第二,数据处理:提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能;
第三,网络管理:路由器提供包括路由器配置管理、性能管理、容错管理和流量控制等功能。
路由器的工作原理
从某个端口接收一个数据分组,首先把链路层的包头拆掉,读取目的IP,然后查找路由表,如果能确定下一步往哪儿送,则再加上链路层的包头,把该数据分组转发出去,如果不能确定下一步往哪里送,则向源地址返回一个信息,并把这个数据分组丢掉。
静态路由协议
路由协议本质是向不同网络转发数据
默认管理距离为1
静态路由配置命令
静态路由配置的一般步骤
- 为参与连接的路由器接口配置IP地址并激活
- 确定本路由器有哪些直连网段的路由信息
- 确定网络中有哪些属于本路由器的非直连网段
- 添加本路由器的非直连网段相关的路由信息
模式:全局配置模式
命令:
设置静态路由
ip route
删除静态路由
no ip route
例如
ip route 192.168.10.0 255.255.255.0 serial 1/2 指向本地接口
ip route 192.168.10.0 255.255.255.0 172.16.2.1 指向下一跳路由器的IP地址
- network-number是目的地址,一般是一个网络地址
- network-mask是目的地址的子网掩码
- ip-address是下一跳地址
- 指向本地接口
- 指向下一跳路由器直连接口的IP地址
默认路由配置命令
默认路由是一种静态路由,所有非路由包在此进行转发,是最后求助的网关。
设置默认路由
ip route 0.0.0.0 0.0.0.0
删除默认路由
no ip route 0.0.0.0 0.0.0.0
0.0.0.00.0.0.0表示任意地址ip-address表示下一跳地址
缺省网络配置
设置缺省网络
ip default-network network-number
删除缺省网络
no ip default-network network-number
参数:network-number是目的地址,一般是一个网络地址
RIP协议
默认管理距离为120
Routing Information Protocol
- 是内部网关协议IGP中最先得到广泛使用的协议,它是由施乐(Xerox)公司在20实际70年代开发的。
- RIP基于距离矢量路由算法,是分布式的距离向量协议。
- RIP协议要求路由器之间周期性地通过广播UDP分组传递路由表的信息,网络中每一个路由器都要维护从它自己到其他每一个目的网络地距离记录。
RIP的工作原理⭐
- RIP协议使用跳数(hop Count)计算距离,与该路由器直连的网络的跳数定义为1(或0),每经过一个路由器跳数加1,最大跳数为15,跳数为16时,RIP协议认为目的地不可达。
- 抵达目的地跳数最少的路径为最优路径。
- 每个路由器使用UDP协议520端口,每隔30s向与它相邻的路由器广播含有自己路由表信息的数据分组,接到广播的路由器将收到的信息更新自身的路由表。(更新定时器)。
- 如果经过180s,即6个更新周期,没有收到来自某一路由器的路由更新信息,则将所有来自此路由器的路由信息标志为不可达。
- 如果经过240s,即8个更新周期,仍未收到路由更新信息,就将这些路由器从路由表中删除。(删除定时器)
RIP路由表的建立过程⭐
- 路由器加电开始工作,加入其直接相连的网络地址、距离,(此距离定义为1或0)、端口号等路由信息。
- 以后,每一个路由器和相邻路由器交换并更新路由信息。
- 经过若干次更新后,所有的路由器最终都会知道到达本自治系统中任何一个网络的最短距离和下一跳路由器的地址。
RIP协议的要点
1.和哪些路由器交换信息
仅和相邻路由器交换信息。
2.交换什么信息
路由交换的信息是当前本路由器所知道的全部信息,即自己的路由表。
其路由信息是:“我到本自治系统中所有网络的最短距离,以及每个网络应经过的下一跳路由器”。
3.在什么时候交换信息
按固定的时间间隔交换信息。
RIP的基本配置
(1)启动RIP
模式:全局模式
命令:router rip
提示符:Router(config-router)#
(2)配置直连网络
在RIP被启用后,即可将与本路由器直接相连的网络加入RIP路由进程。
命令:Router(config-router)#network A.B.C.D
(3)RIP报文单播配置
模式:路由配置模式
命令:neighbor ip-address
(4)关闭或打开水平分割
模式:接口配置模式
命令:no ip split-horizon
ip split-horizon
(5)network发布路由信息
network的作用是把一个网络号或主机号宣告出去
RIP协议的优缺点⭐
(1)优点
- 实现简单,收敛过程较快,开销较少。收敛过程是指在自治系统中所有的节点都得到正确的路由选择信息的过程。
(2)缺点
- RIP协议规定的最大距离为15(16为不可达),从而限制了网络的规模,只适合中小型网络使用。
- RIP的路由更新信息不包括网络掩码部分,它要求网络使用相同的掩码,因而造成地址浪费,不利于地址资源的合理使用。
- 当网络出现故障时,要经过比较长的时间才能将此信息传送到所有的路由器,即收敛速度较慢(时间经常大于5min),不利于网络的扩大与发展。
- RIP协议使用整个路由表作为路由更新信息,因此会占用大量网络带宽。
- RIP在决定最佳路径的时候只考虑跳步计数,而不考虑网络连接速度、可靠性和延迟等参数。
注意,上面两个矛盾的收敛说的是“ 好消息更新快 , 坏消息更新慢”。
RIP和路由循环⭐
- 距离向量类的路由算法容易产生路由循环,即路由器把从其邻居路由器学到的路由信息再回送到那些邻居路由器。
- 如果网络上有路由循环,信息就会循环传递,造成收敛速度慢。
为了避免这个问题,RIP等距离向量路由算法运用了下面4个机制。
①水平分割(split horizon)
保证路由器记住每条路由信息的来源,当路由器从某个网络接口发送路由更新信息时,其中不包含从该接口学到的路由信息。
②毒性逆转(poison reverse)
任何一个路由器仍把从其邻居路由器学到的路由信息再回送给那些邻居路由器,但将这一项的距离标记为16(不可达)。
③触发更新(trigger update)
一旦路由器检测到==网络故障,立即将相应路由中的距离改为16==,并广播给相邻的所有路由器,而不必等待30s的更新周期。
这样,网络拓扑的变化会最快地在网络上传播开,减少了路由循环产生的可能性。
同样,当一个路由器刚启动RIP时,它广播请求分组,收到此广播的相邻路由器立即应答一个更新分组,而不必等到下一个更新周期。
④抑制计时(holddown timer)
当一条路径信息变为无效之后,路由器并不立即将它从路由表中删除,而是用16标记该路由不可达。同时,启动一个抑制计时器,进入抑制状态,不再接收关于同一目的地址的路由更新报文。如果在抑制定时器超时之前,该路由器从同一个邻居路由器接收到指示该网络又可达的路由更新报文,那么该路由器就标识这个网络可达,并且删除抑制定时器。当这条链路频繁启停时,抑制计时减少了路由的浮动,增加了网络的稳定性。
RIP版本
RIP有两个不同版本RIPv1和RIPv2。
RIPv1是有类路由协议,它不会在更新中发送子网掩码,属于同一主类网络(A类、B类和C类)的所有子网络必须使用同一子网掩码。
RIPv2是无类路由协议,RIPv2可以支持认证,密钥管理,路由汇聚,CIDR和VLSM(可变长子网掩码)。
OSPF协议
-
OSPF(Open Shortest Path First,开放最短路径优先)于1989年开发出来。
“开放”—表明OSPF协议不是受某一家厂商控制,而是公开发表的。
“最短路径优先”—因为使用了Dijkstra提出的SPF算法。
-
OSPF是分布式的链路状态协议。
-
OSPF只是一个协议的名字,它并不表示其他的路由选择协议不是“最短路径优先”。
OSPF要点⭐
-
使用洪泛法向本自治系统中所有路由器发送信息。
-
发送的信息就是与本路由器相邻的所有路由器的链路状态。
“链路状态”就是说明本路由器都和哪些路由器相邻,以及该链路的“度量值”(metric)。
-
只有当链路状态发生变化时,路由器采用洪泛法向所有路由器发送此信息。
链路状态数据库
- 由于各路由器之间频繁地交换链路状态信息,因此所有的路由器最终都能建立一个链路状态数据库(link-state database)。
- 这个数据库实际上就是全网的拓扑结构图,它在全网范围内是一致的(这称为链路状态数据库的同步)。
- OSPF的link-state database能较快地进行更新,使各个路由器能及时更新其路由表。
- OSPF的更新过程收敛得快是其重要优点。
OSPF的区域(area)
- 为了使OSPF能够用于规模很大的网络,OSPF将一个自治系统再划分为若干个更小的范围,叫做区域。
- 每一个区域都有一个32位的区域标识符(用点分十进制表示)。
- 在一个区域内的路由器一般不超过200个。
- 在一个区域内部的路由器只知道本区域的完整拓扑,而不知道其他区域的拓扑情况。
- 划分区域的好处就是将利用洪泛法交换链路状态信息的范围局限于每一个区域而不是整个的自治系统,这就减少了整个网络上的通信量。
区域划分
- 为了使每一个区域能够和本区域以外的区域进行通信,OSPF使用层次结构的区域划分。
- 在上层的区域叫作主干区域(backbone area)。
- 主干区域的标识符规定为0.0.0.0.
- 主干区域的作用是用来连接其他在下层的区域。
- 采用分层次划分区域的方法能够使每一个区域内部交换路由信息的通信量大大减少,因为使OSPF能够用于规模很大的自治系统。
主干路由器: R 3 − 7 R_{3-7} R3−7
区域边界路由器: R 3 , R 4 , R 7 R_3,R_4,R_7 R3,R4,R7
自治系统边界路由器: R 6 R_6 R6
OSPF传送路由信息的方法
- OSPF不用UDP而是直接用IP数据报传送
- OSPF构成的数据报很短。这样做可减少路由信息的通信量。
- 数据报很短的另一好处是可以不必将长的数据报分片传送。分片传送的数据报只要丢失一个,就无法组装成原来的数据报,而整个数据报必须重传。
OSPF的其他特点
- OSPF对不同的链路可根据IP分组的不同服务类型TOS而设置成不同的代价。因此OSPF对于不同类型的业务可计算出不同路由。
- 如果到同一个目的网络有多条有多条相同代价的路径,那么可以将通信量分配给这几条路径。这叫作多路径间的负载均衡。所有在OSPF路由器之间交换的分组都具有鉴别的功能。
- 支持可变长度的子网划分和无分类编址CIDR。
- 每一个链路状态都带上一个32位的序号,序号越大状态就越新。
- OSPF还规定每隔一段时间,如30分钟,要刷新一次数据库中的链路状态。
- 由于一个路由器的链路状态只涉及到与相邻路由器的连通状态,因此与整个互联网的规模并无直接关系。因此当互联网规模很大时,OSPF协议要比RIP好得多。
- OSPF没有“坏消息传播得慢”的问题,据统计,其响应网络变化的时间小于100ms.
OSPF配置
(1)启动OSPF进程
- 模式:全局配置模式
- 命令:
router ospf process-id - 参数:
process-id表示进程号
(2)配置OSPF
- 模式:路由配置模式
- 命令:
networkarea - 参数:
A.B.C.D与OSPF相关联的网络;wildcard子网掩码的反码;area-idOSPF区域标识号。
PPP协议
点对点协议PPP(Point-to-Point Protocol)是目前使用最广泛的数据链路层协议,用于使用拨号电话接入因特网时一般都使用PPP协议,是面向字节的数据链路层协议。
- PPP(Point-to-Point Protocol,点到点协议)是由IETF开发的,是为点到点串行路线(拨号或专线)上传输网络层报文而设计的数据链路层协议。
- PPP是目前广域网上应用最广泛的协议之一。它的优点是协议简单、具备用户认证能力以及支持动态IP分配等。
- 在ADSL接入方式中,PPP与其他协议共同派生出了符合宽带接入要求的新的协议,如PPPoE(PPP over Ethernet)。
特点:
(1) 无差错纠正/恢复。
(2) 无流量控制。
(3) 不支持多点链路。
(4) 不存在乱序交付。
差错恢复、流量控制等由高层协议处理。
HDLC协议
高级数据链路控制HDLP(High-Level Data Link Control),是一个在同步网上传输数据、面向比特的数据链路层协议,它是由国际化组织(ISO)根据IBM公司的SDLC协议扩展开发而成的。
数据报文可透明传输,用于实现透明传输的是“零比特插入法”,易于硬件实现。
零比特填充法,对于连续出现5个比特1,就在第5个比特1后插入一个0比特,接收端接收到比特流时,扫描比特流,发现连续5个比特1就将其后面的比特0删除,从而还原出原来的数据。
采用全双工通信。
所有帧采用CRC校验,对信息帧进行顺序编号,可防止漏收或重传,传输可靠性高。
保留地址⭐
保留地址是国际互联网代理成员管理局(IANA)在IP地址范围内,将一部分地址保留作为IP地址空间,或者专用于内部局域网等特殊用途使用的地址。
| 类 | 私有地址范围 |
|---|---|
| A | 10.0.0.0到10.255.255.255 |
| B | 172.16.0.0到172.31.255.255 |
| C | 192.168.0.0到192.168.255.255 |
访问控制列表
访问控制列表(Access Control List,ACL)也称为访问列表(access lists),是应用在路由器接口的有序指令列表,通过指令定义一些准则,对经过该接口上的数据分组进行转发或丢弃控制。
ACL的作用⭐
① 访问控制列表可以限制网络流量、提高网络性能。例如,访问控制列表可以根据数据分组的协议,指定数据分组的优先级。
② 访问控制列表是提供对通信流量的控制手段。例如,访问控制列表可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
③ 访问控制列表提供是提供网络访问的基本手段。
④ 访问控制列表可以在路由器端口决定哪种类型的通信流量被转发或阻塞。
ACL的分类⭐
-
标准访问控制列表。标准ACL只检查数据分组的源地址,不需要身份认证
-
扩展访问控制列表。扩展ACL既检查数据分组的源地址,也检查数据分组的目的地址,同时还检查数据分组的特定协议类型、端口号等,不需要身份认证
-
动态访问控制列表。动态访问列表是用户通过身份认证后动态创建的,实现动态地过滤数据分组。
标准ACL和扩展ACL统称为传统ACL,他们的访问表项都是手工配置的,除非手工删除,该表项将一直产生作用,所以传统ACL又称为静态ACL。
动态ACL的工作原理⭐
动态ACL默认情况是禁止数据流通过的,当用户需要访问内部网络资源时,必须先远程Telnet到路由器上进行身份认证,路由器对用户经用户名和口令认证通过以后,便关闭Telnet会话,并在向内的访问列表增加一个动态表项,该表项允许来自用户所在工作站的数据分组通过,从而达到访问内部网络资源的目的。
网络地址转换
网络地址转换(Network Address Transform,NAT)是一种把内部私有IP地址映射成因特网上公有IP地址的技术,被广泛应用于各种网络接入方式和各种类型的网络中。NAT分为基本网络地址转换(BNAT)和网络地址端口转换(NAPT)两种类型,其中BNAT习惯上还是被称为NAT。
1、基本网络地址转换
NAT技术可以只通过一个公有IP地址,把整个局域网中的计算机接入Internet中,同时,NAT屏蔽了内部网络,所有内部网络中的计算机对于Internet来说是不可见的,而内网计算机用户通常不会意识到NAT的存在,即对用户是透明的。但是,NAT的功能具有局限性,即一个公有IP地址,在同一时间只能由一台私有IP地址的计算机使用。
NAT又分为静态NAT和动态NAT。静态NAT就是建立内部本地地址和内部全局地址的一对一永久映射。当外部网络需要通过固定的全局可路由地址访问内部主机时,静态NAT就显得十分重要,如一个可以被外部主机访问的Web网站。动态NAT则是在外部网络中定义了一组公有地址组建成了一个地址池,当内网的客户机访问外网时,从地址池中取出一个地址为它建立临时的NAT映射,这个映射关系会一直保持到会话结束。
静态NAT配置
【静态NAT配置举例】定义两条静态NAT,将私有地址192.168.10.1与公有地址200.6.15.1对应,私有地址192.168.10.2与公有地址200.6.15.2对应。其中第一条设置为内部主机只能用192.168.10.1访问该主机。第二条设置为内部主机可以用192.168.10.2访问,也可以用200.6.15.2访问该主机,且在inside接口防止发送静态重定向报文,以提高路由器效率。
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#ip nat inside source static 192.168.10.1 200.6.15.1
Ruijie(config)#ip nat inside source static 192.168.10.2 200.6.15.2 permit-inside
Ruijie(config)#interface f0/0
Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0
Ruijie(config-if)#ip nat inside 指定网络的内部接口
Ruijie(config-if)#no ip redirects
Ruijie(config-if)#no shutdown
Ruijie(config-if)#interface s1/0
Ruijie(config-if)#ip address 199.1.1.2 255.255.255.0
Ruijie(config-if)#ip nat outside 指定网络的外部接口
Ruijie(config-if)#no shutdown
Ruijie(config-if)#end
动态NAT配置
【动态NAT配置举例】某单位申请到一组公有地址200.10.10.6~200.10.10.15,内网主机使用的内部本地地址段为192.168.10.0/24和192.168.20.0/24,建立动态NAT,使内网主机能够访问外网.
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#ip nat pool np 200.10.10.6 200.10.10.15 netmask 255.255.255.0
Ruijie(config)#access-list 1 perimit 192.168.10.0 0.0.0.255
Ruijie(config)#access-list 1 perimit 192.168.20.0 0.0.0.255
Ruijie(config)#ip nat inside source list 1 pool np
Ruijie(config)#interface f0/0
Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0
Ruijie(config-if)#ip nat inside 指定网络的内部接口
Ruijie(config-if)#no shutdown
Ruijie(config-if)#interface s1/0
Ruijie(config-if)#ip address 199.1.1.2 255.255.255.0
Ruijie(config-if)#ip nat outside
Ruijie(config-if)#no shutdown
Ruijie(config-if)#end
2、网络地址端口转换NAPT
静态NAPT配置
ip nat inside source static {tcp|udp} local-address port global-address port [permit-inside]
动态NAPT配置
ip nat inside source list access-list-number pool pool-name overload
服务器技术与应用
多处理器技术与并行技术
(1)SMP技术
SMP(Symmetric Multi-Processor,对称多处理器)技术是指在一台计算机上汇集了一组处理器(多个CPU),所有CPU的地位都是对等的,它们之间共享内存子系统和总线结构。
SMP系统中最关键的技术是如何更好地解决多个处理器的相互通讯和协调问题。
在这种架构中,一台电脑不再由单个CPU组成,而同时由多个处理器运行操作系统的单一复本,并共享内存和一台计算机的其他资源。虽然同时使用多个CPU,但是从管理的角度来看,它们的表现就像一台单机一样。SMP系统也被称为一致存储访问(Uniform Memory Access,UMA)结构体系。
(2)NUMA技术
Non Uniform Memory Access
非一致存储访问
**非统一内存访问(NUMA)**是一种用于多处理器的电脑内存体设计,内存访问时间取决于处理器的内存位置。 在NUMA下,处理器访问它自己的本地存储器的速度比非本地存储器(存储器的地方到另一个处理器之间共享的处理器或存储器)快一些。
NUMA既保持了SMP模式单一操作系统拷贝、简便的应用程序编程模式以及易于管理的特点,又继承了MPP模式的可扩充性,可以有效地扩充系统的规模。这也正是NUMA的优势所在。
(3)MPP技术
大规模并行处理MPP(massively parallel processing),是采用大量处理单元对问题进行求解的一种并行处理技术。
MPP技术是由多台SMP服务器(SMP服务器称为节点),通过节点互连网络组成一个服务器系统。每个SMP节点可以运行自己的操作系统、数据库等,但只能访问自己的本地内存、存储等,节点之间的信息交互是通过节点互连网络实现的,是一种完全无共享架构。MPP技术扩展能力强,理论上其扩展无限制。
NUMA和MPP的区别和联系⭐
相似之处:从架构上看,它们都由多个节点组成,每个节点都具有自己的CPU、内存、I/O,节点之间都可以通过节点互联机制进行信息交互。
不同之处:
节点互联机制不同。NUMA的节点互联机制是在同一个物理服务器内部通过互连模块实现;而MPP是在不同的SMP服务器外部通过互联网络实现。
内存访问机制不同。NUMA服务器内部,任何一个CPU都可以访问整个系统的内存;在MPP服务器中,每个节点只访问本地内存。
高性能存储技术
(1)硬盘接口技术
服务器数据存取速率与硬盘接口密切相关,目前用于服务器硬盘的接口主要由SCSI、SATA、SAS和FC。
SCSI(Small Computer Systems Interface)接口是一种小型计算机系统接口,支持热插拔。
SCSI适配器通常是使用主机的DMA通道把数据直接传输到内存,可以降低I/O操作的CPU占用率。
SATA(Serial Advanced Technology Attachment)接口称为串行高级技术附件接口,支持热插拔,SATA的物理设计是以光纤通道作为蓝本,所以采用了四芯的数据线。
SAS接口又称为串行连接SCSI接口(Serial Attached SCSI),是SCSI接口技术的升级改良,进一步改进了SCSI技术的效能、可用性和扩充性。SAS接口的特点是可以同时连接更多的磁盘设备,减少了线缆的尺寸,更节省服务器内部空间。
FC(Fibre Channel)接口又称为光纤通道,是一种为提高多硬盘存储系统的速率和灵活性而开发的硬盘接口。FC接口具有低CPU占用率、高速带宽、远程连接、连接设备数量最大等特点。
(2)磁盘阵列技术
(3)网络存储技术
内存技术
(1)ECC内存纠错技术
(2)Chipkill内存技术
(3)内存保护技术
(4)内存镜像技术
控制与管理技术
(1)Intel服务器控制技术ISC
ISC(Intel Server Control)是一种网络监控技术,只适用于使用Intel架构的带有集成管理功能主板的服务器。
(2)应急管理端口EMP
EMP(Emergency Management Port)是服务器主板上所带的一个用于远程管理服务器的接口。远程控制机可以通过Modem与服务器相连,控制软件安装于控制机上。
(3)总线和智能监控管理技术 I 2 C I^2C I2C
输入输出技术
(1)智能输入/输出技术
(2)InfiniBand技术
服务器应用系统的三层结构⭐
任何一个应用系统,从简单的单机系统到复杂的网络计算,都由三部分组成:显示逻辑层(表示层)、事务逻辑处理部分功能层(功能层)和数据处理逻辑部分(数据层)。
表示层的功能:是实现与用户的交互,负责用户请求任务的输入和任务处理结果的输出。
功能层的功能:是对任务进行具体的运算和数据的处理。
数据层的功能:是实现对数据库中的数据进行查询、修改、更新等相关工作。
网络规划与设计
三层拓扑结构⭐
三层拓扑结构分为:核心层、汇聚层(分布层)和接入层。
(1)核心层
核心层是一个高速的交换骨干,是网络所有流量的最终承受者和汇聚者。其设计目标是处理高速数据流,尽可能快的交换数据分组,为下两层提供优化的数据运输功能,而不应卷入具体的数据分组的运算中。
(2)汇聚层
汇聚层把大量来自接入层的访问路径进行汇聚和集中,实现通信量的收敛,提供基于统一策略的互连性,提高网络中聚合点的效率,同时减少核心层设备路由路径的数量。
(3)接入层
接入层是终端用户与网络的接口,应该提供较高的端口密度和即插即用的特性,同时应便于管理和维护。
网络接入模式
网络接入模式是指将内部局域网与internet互连的方式。目前主要采用ADSL共享接入、光纤接入和卫星接入。
①ADSL共享接入
通过电话线路,采用ADSL宽带路由器,将多台计算机共享一个IP接入Internet。
②光纤接入
高性能的宽带接入方式
③卫星接入
利用地球上空的同步通信卫星和用户的卫星接收天线,将数据高速上传和向下广播,实现与Internet的接入。
DDN
下面对我国广泛使用的DDN网络描述正确的是什么( )
-
DDN线路使用简便,覆盖面广 -
DDN专线是点到点的链路,它给予用户访问整个链路带宽的可能性 -
DDN相对于分组交换网络来说,线路费用较高 -
DDN专线被广泛用于企业网互连,专线internet接入
DDN(Digital Data Network,数字数据网,即平时所说的专线上网方式)就是适合这些业务发展的一种传输网络。它是将数万、数十万条以光缆为主体的数字电路,通过数字电路管理设备,构成一个传输速率高、质量好,网络延时小,全透明、高流量的数据传输基础网络。
DDN方式主要优点是
①采用数字电路,传输质量高,延时小,通信速率可根据需要在0.24Mbps——2048kbps之间选择。
②电路采用全透明传输,并可自动迂回,可靠性高。
③ 一线可以多用,可开展传真、接入因特网、会议电视等多种多媒体业务。
④方便地组建虚拟专用网(VPN),建立自己的网管中心,自己管理自己的网络。
主要缺点是使用DDN专线上网,需要租用一条专用通信线路,租用费用太高,决非一般个人用户所能承受。
DDN网是由数字传输电路和相应的数字交叉复用设备组成。使用并不简单。