网络课程学习
计算机网络概述
计算机网络定义
一组自治计算机互联的集合
计算机网络基本功能
资源共享
综合信息服务
分布式处理与负载均衡
计算机网络的类型
局域网
LAN:由用户自行建设,使用私有地址组建的内部网络
城域网
MAN:由运营商或大规模企业建设,连接城市范围的网络
广域网
WAN:由运营商建设,连接全国各个城域网的网络
(又称骨干网、核心网、传输网)
网络拓扑
定义:网络设备连接排列的方式
分类
总线型拓扑
所有设备共享一条公共线路
线路中断会导致所有设备中断通讯
环型拓扑
所有设备共享一条环型总线
传输性能优于总线型拓扑
星型拓扑
其他节点都与中央节点直接相连
某条线路中断不会影响其他节点
中央节点故障会导致全网中断
树型拓扑
星型拓扑的进一步发散型
优点:
结构简单,组网成本低
维护管理容易
缺点:
中央节点压力大
可靠性差
网型拓扑
节点之间有多条线路可达
优点
可靠性高
缺点
组网成本高
维护管理复杂
衡量网络性能的指标
带宽
定义
单位时间内能够传输的数据总量
单位:bps
带宽越大,网络质量越好
延迟
定义
数据从一个节点到达另一个节点消耗的时间
单位:ms 1/1000秒
延迟越低,网络质量越好
数据单位
1Gb=1024Mb
1Mb=7024Kb
1Kb=1024b
Byte:字节,一个数字或字母占用1字节,一个汉字占用2字节
bit:比特,1B=8b
协议和标准
协议
数据通讯双方共同遵守的通讯规则
标准
公认的,所有厂商所共同遵守的协议规则
标准化组织
制定定义国际公认参考标准的组织团体
常见国际标准组织
iso 国际标准化组织
IEEE 电子电器工程师协会
IETF
网络参考模型
OSI参考模型
结构层次(7层)
物理层
比特流传输
数据链路层
提供介质访问、链路管理…
网络层
IP地址寻址、路由
传输层
数据分段、建立端到端连接、维护传输可靠性
端口用于区分同一台计算机上的不同应用程序
TCP:可靠的传输
UDP:不可靠的传输
会话层
建立、维护、拆除应用程序间的会话
区分同一个应用程序的不同访问者
表示层
定义数据格式、结构;数据加密、压缩
应用层
为应用程序进程提供网络服务
产出背景
各大IT设备厂商只支持自己的私有协议,跨厂商设备兼容性差
用户购买和维护成本高
不利于网络技术发展
概念
定义了网络中设备所遵循的层次结构
优点
开放的标准化接口,协议不再封闭
多厂商设备兼容
易于理解、学习和更新协议标准
实现模块化工程,降低开发难度
便于故障排除
OSI参考模型的问题
划分层次过多,会话层、表示层存在意义不大
IP协议成为事实的网络层唯一协议
TCP/IP参考模型
4层划分方法
1.网络接口层
包括物理层和数据链路层
2.网络层
3.传输层
4.应用层
包括会话层、表示层、应用层
5层划分方法
1.物理层
2.数据链路层
3.网络层
4.传输层
5.应用层
包括会话层、表示层、应用层
应用层
传输层
网络层
网络接口层
数据封装和解封装
定义
封装
从上往下,在原始数据的基础上加入一些额外信息(本层协议报头)形成新的格式
解封装
从下往上,拆除掉封装的额外信息,还原成原始数据
TCP/IP分层封装
1.物理层:比特流
2.数据链路层:数据顿
3.网络层:数据包
4.传输层:数据段
5.应用层:数据
数据封装和解封装过程
数据发送时,从上至下逐层封装
数据接收时,从下至上逐层解封装
只有拆除外层封装,才能看到内层封装
局域网基本原理
使用的协议及线缆
物理层
双绞线
同轴电缆
光纤
无线电
数据链路层
以太网 唯一事实标准
令牌环 淘汰
FDDI 光纤分布式接口
网络层
IP 唯一的事实标准
IPX 淘汰
Apple talk 淘汰
局域网设备
集线器
内部为总线型拓扑
任意时间只能由一台主机占用总线,连接的所有设备位于同一冲突域
工作在物理层,没有寻址能力,所有数据泛洪式转发
交换机
内部每两个接口都有一条独立线路,每个接口都是独立的冲突域
工作在数据链路层,基于MAC地址寻址,数据可单点转发
冲突域
设备发送数据会产生冲突的网络范围
集线器的所有接口在同一个冲突域
交换机的每个接口都是一个独立的冲突域
CSMA/CD
带冲突检测的载波侦听多路访问
局域网线缆
双绞线
线型
直连线
异类直连
两端线序一致
同类交叉
交叉线
两端线序不一致
线序
T568A:白绿,绿,白橙,蓝,白蓝,橙,白棕,棕
T568B:白橙,橙,白绿,蓝,白蓝,绿,白棕,棕
接口类型
RJ-45
RJ-71
光纤
多模光纤
纤芯较粗,可传递多种光源
传输距离短
成本低
单模光纤
纤芯较细,只能传递单一光源
传输距离远
成本高
广域网基本原理
使用的协议及线缆
物理层
串行线缆 某些场景使用
光纤 EPON
数据链路层
HDLC
淘汰
帧中继
淘汰
PPP
某些场景使用
点到点协议
以太网
某些场景使用
网络层
IP:唯一事实标准
连接方式
电路交换
PSTN
ISDN:淘汰
分组交换
帧中继:淘汰
ADSL
EPON
GPON
广域网接入分类
接入到互联网
远程连接到分支机构
高速专线
VPN
IP基本原理
IP的作用
标识节点和链路
用唯一的IP地址标识每一个节点
用唯一的IP网络号标识每一个链路
寻址和转发
确定节点所在网络的位置,进而确定节点所在的位置
IP路由器选择适当的路径将IP包转发到目的节点
适应各种数据链路
根据链路的MTU对IP包进行分片和重组
为了通过实际的数据链路传递信息,须建立IP地址到数据链路层地址的映射
IP地址
定义
分类
特殊地址
公网/私网地址
IP地址格式
IP地址分类
A类
地址范围:0.X.X.X-127.X.X.X
网络位划分:前8位为网络位,后24位为主机位
B类
地址范围:128.X.X.X-191.X.X.X
网络位划分:前16位为网络位,后16位为主机位
C类
地址范围:192.X.X.X-223.X.X.X
网络位划分:前24位为网络位,后8位为主机位
D类
地址范围:224.X.X.X-239.XXX
作用:组播地址,不可用于配置为主机地址
E类
地址范围:240XXX-255XXX
作用:科研用地址,不对公开放
IP分类用来划分不同的网络规模
网络号用于区分不同的IP网络
主机号用于标识该网络内的一个IP节点
特殊地址
127.X.XX:本地环回地址,用于标识本机
主机位全0的地址:网络地址,用来标识某个网段
主机位全1的地址:本网段广播地址
255.255.255.255:全网广播地址
0.0.0.0:任意IP地址(默认路由)
公网/私网地址
公网地址
可以在互联网上寻址的地址,全球唯一,需要运营商分配
私网地址
本地随意使用,无法在互联网上寻址
地址范围:
A类:10.X.X.X
B类:172.16.X.X-172.31.X.X
C类:192.168.X.X
自动私有地址:169.254.X.X
运营商专用私有地址:100.64.X.X-100.127.X.X
IP定义
IP头部封装格式
version:版本,用于标识封装是IPv4还是IPv6
IHL:头部长度,描述了数据包头的内容长度
Type of service:服务类型,用于标识DSCP或IP优先级,用于
QOs识别
Total length:数据包总长度
ldentification:标识符(用于标识某个分片来自于哪个数据包)
Flag(标志)s:
保留
标识数据包是否禁止分片
标识是否为最后一个分片
Fragment offset:分片偏移(用于描述分片在数据包中的位置)
Time to Live:TTL,生存时间(该数据包允许经过的路由器的最大跳数)
Protocol:协议(用于标识上层协议是TCP/UDP/CMP)
Header Checksum:头部校验序列(用于头部信息差错校验)
Source Address:源IP地址
Destination Address:目的IP地址
Options:可选项
Padding:填充
MTU
最大传输单元
接口收发数据支持的单个包的最大长度
以太网接口默认MTU1500Byte
PPPOE默认MTU1492Byte
ARP协议
定义
地址解析协议,解析目标IP地址的Mac地址
工作原理
A主机以广播形式发送ARP查询请求,询问B主机的IP对应的MAC地址
B主机以单播形式回复A主机本机MAC地址
A主机把B主机的IP地址和MAC地址的映射关系t写入ARP缓存表
相关命令
查询ARP缓存:arp -a
清空ARP缓存:arp -d
RARP协议
逆向地址解析协议
用于根据本机自己的MAC地址,查询本机自己的IP地址
ICMP协议
互联网控制管理协议
Ping
测试网络连通性
Tracert
路由跟踪
H3C的设备开启路由跟踪功能需要的前置命令:
ip ttl-expires enable
ip unreachables enable
IP数据转发原理
如果目的IP和本机IP属于同一网段,会直接查询目的IP的Mac地址,并进行封装
如果目的IP和本机IP不属于同一网段,会查询网关IP地址的Mac地址,并进行封装
网关
Gateway
本网段的出口设备
网关IP
本网段的出口设备的接口IP
掩码
作用:区分网络位和主机位
二进制1对应的IP地址部分为网络位
二进制0对应的IP地址部分为主机位
TCP/UDP原理
命令行操作基础
命令类型
常见设备管理命令
H3C路由交换产品连接方法
使用console线本地连接
协议Serial,接口com口,波特率9600
适用于设备的初次调试
使用Telnet远程访问
适用于设备上架配置好后的维护管理
使用SSH远程访问
数据传输过程加密,安全的远程访问
命令行视图
用户视图
只能查看配置,不能修改配置 #### 系统视图 [h3c] 可以查看和修改全局配置 #### 接口视图 [H3C-GigabitEthernetO/0] 可以对接口修改配置 ## 视图的切换 system-view:从用户视图进入系统视图 interface g0/0:从系统视图进入g0/0接口的接口视图 quit:返回上层视图 return:直接返回到用户视图(快捷键Ctrl+Z) ## 常见查看命令 display current-configuration:查看当前的所有配置 display interface g0/0:查看g0/0接口的详细信息 display ip interface brief: 查看所有三层接口的摘要信息 接口的IP地址 接口的连通状态 display version:查看设备硬件版本信息 display this:查看当前视图下配置了哪些参数 ## 设备操作命令 sysname R1:更改设备名称为R1 系统视图 undo:在命令前加undo代表执行该命令的反向操作 shutdown:手动关闭接口 接口视图 undo shutdown:手动开启接口 save:保存当前配置 系统视图 reboot:重启设备 用户视图 reset saved-configuration:清空保存的配置 用户视图 ## 命令行帮助 命令简写 ?键命令提示 Tab 键自动补齐命令VLAN和Trunk
VLAN的定义
虚拟局域网,用来在二层网络中隔离广播域
不同VLAN的设备处于不同的广播域,在二层网络中无法相互通讯
(在满足实际业务需求的情况下,广播域越小越好)
二层交换机使用VLAN隔离广播,减小广播域范围
VLAN的优点
有效控制广播域范围
增强局域网的安全性
灵活构建虚拟工作组
VLAN的转发过程举例
1.PC发送数据帧进入交换机,会被打上VLAN tag;VLAN tag中的VLAN ID就是收到帧的接口的所属VLAN;一旦数据帧被打上VLAN tag,就会变成802.1Q格式的帧
2.交换机在标签中的VLAN所属的MAC地址记录中检查数据帧的目的的MAC地址进行判断;如果查到了记录,就按照记录对应的接口转发;如果没查到,就在标签中的VLAN内进行泛红处理
3.数据帧从接口发往PC前,会剥离VLAN tag,使之还原为标准的以太网格式
802.1Q
在源MAC地址和Type之间携带VLAN tag的帧格式,计算机不识别
VLAN的工作原理
交换机端口类型
Access
必须加入到一个VLAN,只能加入到一个VLAN;从Access端口收到的帧,就打上该端口所属的VLAN的tag;从Access端口发出的帧会剥离tag
一般用来连接PC或路由器
H3C交换机默认所有端口都是Access类型,属于VLAN;华为是Hybrid
Trunk
必须加入到一个VLAN,只能加入到一个VLAN;可以允许多个VLAN的数据通过;从Trunk端口发出的帧保留VLAN tag,但是缺省VLAN除外;Trunk端口收到未打tag的帧,会重新打上缺省VLAN的tag
一般用来连接交换机
*Hybrid
A+T=H
可以允许多个VLAN的数据通过;可以手动配置从Hybrid端口发出的帧,哪个VLAN保留tag,哪个VLAN剥离tag;Hybrid收到未打tag的帧,会重新打上缺省VLAN的tag
即可以连接PC/路由器,也可以连接交换机
PVID
定义
表示某个端口的缺省VLAN
特征
Access端口所属的VLAN就是PVID,不用配置,默认是VLAN1
Trunk端口需要手动配置PVID,默认是VLAN1
Hybrid端口需要手动配置PVID,默认是VLAN1
VLAN的划分
基于端口的VLAN
端口固定属于某个vlan
基于MAC地址的VLAN
MAC地址绑定到VLAN,同一MAC地址的设备,无论连接到哪个端口,VLAN归属不变
端口类型需要配置为Hybrid
基于协议的VLAN
三层协议绑定到VLAN,同一协议的报文,无论从哪个端口接收,VLAN的归属不变
端口类型需要配置为Hybrid
基于IP子网的VLAN
IP网段绑定到VLAN,同一IP子网的设备无论连接到哪个端口,VLAN归属不变
端口类型需要配置为Hybrid
VLAN归属优先级
MAC地址VLAN>IP子网VLAN>协议VLAN>端口VLAN
生成树协议
二层环路带来的问题
广播风暴
MAC地址表震荡
生成树的定义
STP,用来解决二层环路问题
STP相关概念
BPDU
四个参数放在BPDU里面决定四个“角色”
定义
桥协议数据单元,用于传递STP协议相关报文
分类
配置BPDU
用来传递STP的配置信息
TCN BPDU
用来通告拓扑变更信息
用来选举的参数
*桥ID
优先级+MAC 优先级默认32768
根桥ID(RootID)
“老大”
根路径开销(RootPathCost)RPC
交换机的每个端口到根桥的开销
指定(转发)桥ID(DesignataedPortID)
BPDU是由谁发出来的,指定桥ID就是谁
*端口ID
优先级+ID
指定端口ID(DesignatedPortID)
BPDU从哪个端口发出来,指定端口就是谁
各台设备的各个端口在初始时生成以自己为根桥(Root Bridge)的配置消息,开始向外发送自己的配置消息
网络收敛后,根桥向外发送配置BPDU,其他的设备对该配置BPDU进行转发
STP的选举机制
在所有交换机中选举出一台作为根桥
选举规则
Bridge-id小的优先
Bridge-id
定义:桥ID,BID用来标识交换机身份
格式:优先级+MAC地址
默认优先级为32768(必须是4096的倍数)
每台非根网桥(交换机)选举出一个根端口(Root port)
跟根桥相连
选举规则
1.到达根桥开销小的优先
2.对端交换机BID小的优先
3.端口ID小的优先
开销
Cost:代表路径耗费的代价和成本,带宽越大,开销越小
每个物理段选举出一个指定端口(Designated port)
选举规则
1.到达根桥开销小的优先
2.本机BID小的优先
3.端口ID小的优先
剩下没有角色的端口就是阻塞端口(Blocked port)
逻辑关掉
桥ID由桥ID(BridgePriority)和桥MAC地址(BridgeMacAddre ss)组成
桥ID最小的桥被选举为根桥
STP拓扑变更机制
1.Max age超时/有接口变更为转发状态,判断为拓扑发送变更,向根网桥发起TCN BPDU
2.收到TCN BPDU的交换机继续向根网桥转发TCN BPDU,到达根网桥为止
3.根网桥收到TCN BPDU后,向所有端口发起TC置位的配置BPDU
4.交换机收到TC置位的配置BPDU后,Mac地址表的老化时间缩短到15秒
STP的问题
收敛速度慢,故障切换时间太长
网络中大量主机频繁上下线,会导致TCN BPDU以及TC置位BPDU大量发送
生成树的不足
STP初始化流程
交换机端口状态
disable:禁用状态,被关闭的端口
blocking:阻塞状态
接收BPDU,但不发送BPDU,不学习Mac地址,不转发数据
listening: 监听状态
接收并发送BPDU,不学习Mac地址,不转发数据,持续15秒
learning:学习状态
接收并发送BPDU,学习Mac地址,不转发数据,持续15秒
forwarding:转发状态
接收并发送BPDU,学习Mac地址,转发数据
STP计时器
Hello time
2秒(配置BPDU的发送周期)
Max age
20秒(判断链路故障的时间,10个Hello time周期)
Forwarding delay
15秒(状态切换延迟)
RSTP(快速生长树协议)
P/A机制
端口状态减少到3种
端口角色增加到4
根端口和指定端口不变
阻塞端口细分为2种
替代端口(Alternata port) 根端口的备份
备份端口(Backup port) 指定端口的备份
边缘端口机制
当链路激活,边缘端口立即进入转发状态,不参与STP计算
边缘端口UP/DOWN不会触发拓扑变更
建议把连接PC的端口配置为边缘端口
MSTP(多生成树协议)
将多个vlan捆绑到一个生成树实例,每个实例分别独立计算生成树
基于STP计算结果不同,实现不同vlan的流量负载均衡
STP常用命令
[h3c]display stp 查看STP相关信息
[h3c]display stp brief 查看STP端口状态
[h3c]stp global enable 全局启用STP
[h3c-CigabitEthernet 1/0/]undo stp enable 关闭端口上STP
[h3c]stp mode ‘stp/rstp/mstp’ 更改STP模式,默认模式是mstp
[h3c]stp priority ‘priority’ 更改交换机优先级
[h3c-GigabitEthernet 1/0/]stp cost 'cost更改接口生成树的cost
[h3c-GigabitEthernet 1/0/]stp edged-port 配置端口为边缘端口
交换机端口安全技术
802.1X
定义
起源于WLAN协议802.11,解决局域网终端的接入认证问题
认证方式
本地认证:由设备端内置本地服务器对客户端进行认证
远程集中认证:由远程的认证服务器对客户端进行认证
端口接入控制方式
基于端口认证
基于MAC地址认证
端口隔离技术
用于在同vlan内部隔离用户
同一隔离组端口不能通讯,不同隔离组端口可以通讯
链路聚合
定义
把连接到同一台交换机上的多个物理端口捆绑为一个逻辑端口,可以在不进行硬件升级的条件下,达到增加链路带宽的目的
功能
提高链路可靠性
聚合组内只要还有物理端口存活,链路就不会中断
增加链路传输带宽
避免了STP计算,聚合组内物理端口不会被闭塞
交换机之间的流量会自动在聚合组内的所有物理端口上负载分担
负载分担
也称负载均衡
聚合后的链路会基于流自动负载分担
分类
静态聚合
双方不会协商聚合参数
动态聚合
双方通过LACP协议协商聚合参数
常见命令
[h3c]interface bridge-aggregation ‘number
创建聚合端口,进入聚合端口视图
[h3c-GigabitEthernet /0/]port link-aggregation group number’
物理接口加入聚合组
[h3c]display link-aggregation summary
查看聚合链路信息
子网划分
A类地址
⑴ A类地址第1字节为网络地址,其它3个字节为主机地址。另外第1个字节的最高位固定为0。
⑵ A类地址范围:1.0.0.1到126.255.255.254。
⑶ A类地址中的私有地址和保留地址:
①10.0.0.0到10.255.255.255是私有地址(所谓的私有地址就是在互联网上不使用,而被用在局域网络中的地址)。
② 127.0.0.0到127.255.255.255是保留地址,用做循环测试用的。
B类地址
⑴ B类地址第1字节和第2字节为网络地址,其它2个字节为主机地址。另外第1个字节的前两位固定为10。
⑵ B类地址范围:128.0.0.1到191.255.255.254。
⑶ B类地址的私有地址和保留地址
① 172.16.0.0到172.31.255.255是私有地址
②169.254.0.0到169.254.255.255是保留地址。如果你的IP地址是自动获取IP地址,而你在网络上又没有找到可用的DHCP服务器,这时你将会从169.254.0.0到169.254.255.255中临得获得一个IP地址。
C类地址
⑴C类地址第1字节、第2字节和第3个字节为网络地址,第4个个字节为主机地址。另外第1个字节的前三位固定为110。
⑵ C类地址范围:192.0.0.1到223.255.255.254。
⑶ C类地址中的私有地址:192.168.0.0到192.168.255.255是私有地址。
划分范围
A类地址范围:1.0.0.1 到126.255.255.254。
B类地址范围:128.0.0.1到191.255.255.254。
C类地址范围:192.0.0.1到223.255.255.254。
进行子网划分
向主机借位,形成子网
例如:
子网掩码
划分背景
通过自然分类来划分网络规模会造成大量IP地址浪费
IPv4地址资源已经全部耗尽
定义
由连续的二进制1或0组成的32位掩码,用来衡量IP地址网络位的长度
1对应的部分为网络位
0对应的部分为主机位
分类
主类掩码
和自然分类一致的子网掩码
VLSM
可变长子网掩码
通过把子网掩码变长来把一个网段划分为多个子网
CIDR
通过把子网掩码缩短来把多个网段聚合为一个网段
VLSM算法
允许使用多个子网掩码划分子网
使组织的IP地址空间得到更有效的利用
1.得出下列参数
掩码借位数:把原掩码的多少个0变成了1
掩码剩余位数
借位段掩码剩余位数
2.计算划分结果
划分出的子网数:2^(借位数)
每个子网可用IP地址数:2^(主机位剩余位数)-2
每两个子网的间隔位数2^(本段剩余位数)
3.列出每个子网
常见子网划分对应关系
25:255.255.255.128 126 个可用地址
26:255.255.255.192 62个可用地址
27:255.255.255.224 30个可用地址
28:255.255.255.240 14个可用地址
29:255.255.255.248 6个可用地址
30:255.255.255.252 2个可用地址
31:255.255.255.254 2个可用地址 PPP链路可用
32:255.255.255.255 1个可用地址 设备的Loopback接口可用
IP地址规划的目标是:易管理、易扩展、利用率高
CIDR
消除了自然分类地址和子网划分的界限
将网络前缀相同的连续IP地址组成CIDR地址块
支持强化地址汇聚
DNS
域名
产生背景
通过IP地址访问目标主机,不便于记忆
通过容易记忆的域名来标识主机位置
域名的树形层次化结构
根域
领级域
主机所处的国家/区域,注册人的性质
二级域
注册人自行创建的名称
主机名
区域内部的主机的名称
由注册人自行创建和管理
定义
用于域名和IP地址的互相解析
DNS查询模式
递归查询
DNS服务器一定会返回一个确切的查询结果
客户端到DNS的查询
如果DNS服务器支持递归查询,那么当它接收到递归查询请求后,它将负责把最终的查询结果返回请求发送方。即使执行递归询的DNS服务器无法从本地数据库返回查询结果,它也必须查询其他的DNS服务器,直到得到确认的查询结果般客户机与本地DNS域名服务器之间的查询交互采用的就是递归查询方式
迭代查询
DNS服务器会返回一个已知的其他DNS服务器由请求者自行查询
DNS服务器到DNS服务器的查询
DNS服务器接收到迭代查询请求后,如果无法从本地数据库返回查询结果,它会返回一个可能知道查询结果的DNS服务器地址给请求者,由请求者自行查询该DNS服务器,以此类推,请求者最终将得到查询结果一般本地域名服务器发送至根域名服务器的查询采用的就是迭代查询
反向查询
DNS反向查询允许DNS客户端根据已知的IP地址查找主机所对应的域名
因特网域名树中设立了一个特殊的in-addrarpa反向查询域用于反向查询
主机域名解析工作流程
1.检查域名是否是本机域名
2检查本地的DNS缓存
iponfig /displaydns 查看本机DNS缓存
ipconfig /flushdns 清空本机DNS缓存
3.检查本机的hosts文件
C:windows\system32\drivers\etc
4.查询DNS服务器
H3C配置DNS代理
[h3c]dns proxy enable
[h3c]dns server 8.8.8.8
内网终端DNS服务器指向为本路由器
DNS记录
????(待完善)
文件传输协议
FTP
定义
文件传输协议
客户端/服务器模型,具备身份验证功能
双TCP连接
端口
采用双TCP连接方式
控制连接: 21 用于传输FTP命令和执行信息
用于在FTP客户端和FTP服务器之间传输FTP控制命令及命令执行信息。控制连接在整个FTP会话期间一直保持打开
数据连接: 20 用于数据上传、下载
用于传输数据,包括数据上传、下载、文件列表发送等。数据传输结束后数据连接将终止
数据传输方式
主动方式
数据连接由服务器主动发起
控制连接: 21端口
数据连接: 20端口
主动方式也称为PORT方式,是FTP协议最初定义的数据传输连接方式,主要特点是:
FTP客户端通过向FTP服务器发送PORT命令,告诉服务器该客户端用于传输数据的临时端口号
当需要传送数据时,服务器通过TCP端口号20与客户端的临时端口建立数据传输通道,完成数据传输
在建立数据连接的过程中,由服务器主动发起连接,因此被称为主动方式
被动方式
数据连接由客户端主动发起
控制连接: 21端口
数据连接:服务器随机产生端口
被动方式也称为PASV方式,被动方式的主要特点是:
FTP客户端通过向FTP服务器发送PASV命令,告诉服务器进入被动方式。服务器选择临时端口号并告知客户端
当需要传送数据时,客户端主动与服务器的临时端口号建立数据传输通道,完成数据传输
在整个过程中,由于服务器总是被动接收客户端的数据连接,因此被称为被动方式
FTP文件传输模式
ASCII模式是默认的文件传输模式,主要特点是:
本地文件转换成标准的ASCII码再传输
适用于传输文本文件
二进制流模式也称为图像文件传输模式,主要特点是:
文件按照比特流的方式进行传输
适用于传送程序文件
TFTP
简单文件传输协议(也是采用客户机/服务器模式的文件传输协议)适用于客户端和服务器之间不需要复杂交互的环境
基于UDP,69号端口
只有数据传输功能,不提供身份验证,目录列表等功能
TFTP协议传输是由客户端发起的
文件传输过程:
只具有数据传输功能,不提供身份验证,目录列表等功能
常见命令
[h3c]ftp server enable 开启FTP服务
ftp ip address 连接FTP服务器
ftp>ls 列出当前目录
ftp>get 'fliename 下载文件
ftp>put 'filename 上传文件
ftp>bye 断开FTP连接
DHCP
引入原因(产生背景)
手动为局域网中大量主机配置IP地址、掩码、网关等参数的工作繁琐,容易出错
DHCP可以自动为局域网中主机完成TCP/IP协议配置
DHCP自动配置避免了IP地址冲突的问题
定义
动态主机配置协议
用于为局域网中主机动态分配IP地址及相关信息
采用客户端/服务器模式
服务端端口UDP 67
客户端端口UDP 68
工作原理
分配IP地址工作处理
1.客户端以全网广播形式发起IP地址寻找 Discover
2.服务器以全网广播形式向客户端发送IP地址提供 Offer
3.客户端选择好IP地址后,以全网广播形式向服务器请求选择结果 Request
4.服务器向客户端以全网广播形式发送IP地址确认 ACK
特殊情况的处理
当网络中存在多台DHCP服务器,客户端会优先选择最先到达的IP地址提供
IP地址租约更新
租期到达50%,客户端如在线,会向服务器单播发起租约更新请求
租期到达87.5%,客户端如在线,会向服务器广播发起租约更新请求
DHCP中继代理
工作原理
相关命令
[h3c]dhcp enable 开启DHCP服务
[h3c]dhcp server ip-pool’namel’ 创建DHCP地址池
[h3c-dhcp-pool1] network ‘network’ ‘mask’
配置用于分配的地址范围
[h3c-dhcp-pool1]gateway-list ‘ip address’
配置用于分配的网关地址
[h3c-dhcp-pool1]dns-list ‘ip address’
配置用于分配的DNS服务器地址
[h3c-dhcp-pool]expired… 配置DHCP租期
[h3c]dhcp server forbidden-ip ‘start ip address’ ‘end ip address’ 配置不参与分配的IP地址
[h3c-GigabitEthernet 0/0]dhcp select relay
接口上开启DHCP中继功能
[h3c-GigabitEthernet 0/0]dhcp relay server-address ‘ip address’ 指定用于中继的DHCP服务器地址
[h3c]display dhcp server statistics
查看DHCP服务器统计信息
IPv6基础
Pv4的问题
最大的问题是可用地址日益缺乏
对终端用户而言,配置不够简便
缺乏安全性和QoS支持
IPv6的优势
几乎无限的地址空间,3.4X10^38个地址
终端用户无须任何配置
设计时就考虑到增强的安全性和QoS
地址格式
地址构成
冒分十六进制表示法
地址书写压缩
(待完善)
网段划分
前缀
前缀长度和数字一致则为同一网段
接口标识符
根据Mac地址计算而来,全球唯一
手动配置
前缀长度
标识前缀的长度
地址分类
单播地址:与IPv4中单播含义类似
组播地址:与IPv4中组播含义类似
任播地址:新的地址类型
IPv6邻居发现协议
地址解析,类似ARP
邻居关系建立和维特
路由器发现/前缀发现
地址自动配置
地址重复检测
常用命令
[h3c-GigabitEthernet 0/0]ipv6 address ‘ipv6 address’
[h3c-GigabitEthernet 0/0]ipv6 address auto
[h3c-GigabitEthernet 0/0]undo ipv6 nd ra halt
IP路由原理
引入
路由器负责将数据报文在逻辑网段间进行转发
路由是指导路由器如何进行数据报文发送的路径信息
每台路由器都有路由表,路由存储在路由表中
路由环路是由错误的路由导致的,它会造成IP报文在网络中循环转发,浪费网络带宽
路由表的组成
最长掩码匹配然后转发
路由器单跳操作
路由的来源
路由优先级
定义
路由器负责将数据报文在IP网段之间进行转发
路由是指导路由器如何进行数据转发的路径信息
IP连通的前提
沿途的每台路由器上都有到达目的网段的路由信息
路由是单向的路径信息,沿途每台路由器都要有往返双向路由信息
路由表
作用
存储路由信息
字段内容
Destination/mask 目的网段和掩码
Proto 路由的来源
Pre 优先级
Cost 度量值
Nexthop 下一跳地址 数据报文从接口发出后到达的下一个IP地址
Interface 出接口 数据报文发出的接口
路由表查表规则
最长掩码匹配规则
当数据包在路由表中匹配到多条掩码长度不同的路由,会按照掩码最长的路由进行转发
路由迭代规则
当路由的下一跳为非直连网段地址,路由器会再次在路由表中查询下一跳地址,直到查询到下一跳是直连地址为止
默认路由匹配规则
路由表操作流程:
来源
直连路由
定义:根据直连接口所在网段自动产生
产生条件:接口UP、接口配置IP地址
静态路由
定义:手动配置到达每个目的网段的路由信息
特点:
配置和维护繁琐复杂
没有协议消耗,减轻设备和带宽压力
动态路由协议
定义:通过路由协议从邻居自动学习路由信息
特点:
配置简单,维护便捷
协议会消耗设备资源和链路资源
常见路由协议:
RIP:路由信息协议,年代久远,已经被淘汰
OSPF:开放式最短路径优先,目前最主流的路由协议
BCP:边界网关协议,运营商之间使用的唯一协议
IS-IS
路由表书写规则
1.不同来源的路由优先级高 (数字小) 的优先
2.同一来源的路由Cost小的优先
3.同一来源Cost相等的路由会形成等价路由
数据流会在等价路由上自动负载分担
路由表优先级
直连路由 (Direct) 0
静态路由 60
RIP 100
OSPF内部路由 10
OSPF外部路由 150
BGP 255
常见命令
[h3c]display ip routing-table:查看路由表
[h3c]display ip routing-table ‘network’‘mask’:查看指定网段的路由信息
VLAN间路由
定义
指导设备对不同vlan间进行三层数据转发
实现方式
单臂路由
交换机上划分多个VLAN
路由器单线连接到交换机
路由器接口
划分若干子接口,子接口的IP为下连vlan的网关,并绑定相应vlan
交换机接口
配置TRUNK,允许所有vlan通过
三层交换
常见命令
静态路由
静态路由实现路由备份和负载分担
路由协议概述
引入
路由协议和可路由协议
动态路由协议的基本原理
定义
路由协议:
路由协议的功能
路由协议的分类
按照使用位置分类
IGP
EGP
自治系统
AS
一组被统一管理,运行同一个IGP的路由器组成的网络范围
一般不同城域网都是不同的AS,不同运营商也是不同的AS
按照协议算法分类
距离矢量协议
度量值是跳数
RIP
链路状态协议
度量值是开销
OSPFIS-IS
路径矢量协议
有多种度量值
BGP
衡量路由协议的重要指标
RIP协议
概述
定义
RIP初始化流程
路由信息更新
RIP的环路问题
RIPv2
常用命令
OSPF
RIP的缺陷
最大跳数限制了网络规模
以跳数为度量值无法准确判断最优路径
路由更新发送完整路由表消耗网络带宽
收敛速度慢
协议会产生路由自环
定义
开放式最短路径优先,基于链路状态特征
工作在IP层,协议号89
OSPF初始化流程
1.建立邻居和邻接关系
发送hello报文发现和建立邻居关系,组播地址224.0.0.5
接口UP
双方接口IP地址在同一网段
双方接口在同一区域
选举DR/BDR,建立邻接关系
DR/BDR选举
DR/BDR
选举原因:广播网络中使路由信息交换更加高速有序
选举范围:每条广播链路上都需要选举出一个DR和一个BDR
选举规则:
1.优先级数字大的优先 默认优先级都是1
2.Router-id大的优先
Router-id
定义:Rid,标识路由器的身份
产生方法:手动配置一个IPv4地址格式作为Rid
自动选举:
1.在所有环回口中选举IP地址最大的作为Rid
2.在所有物理接口中选举IP地址最大的作为Rid
建议手动配置一个本地环回口的IP地址作为Rid
关系状态
DRother与DR建立邻接关系
DRother与BDR建立邻接关系
DR与BDR建立邻接关系
两个DRother之间保持邻居关系
2.邻接路由器之间交换链路状态信息,实现区域内链路状态数据库同步
相关概念
链路状态通告
LSA
用来描述路由器的接口、路由条目的相关信息
链路状态数据库
LSDB
存储本地所有LSA
工作流程
1.向邻接路由器发送DD报文,通告本地LSDB中所有LSA的摘要信息
2.收到DD后,与本地LSDB对比,向对方发送LSR报文,请求发送本机所需的LSA的完整信息
3.收到LSR后,把对方所需的LSA的完整信息打包为一条LSU报文,发送至对方
4.收到LSU后,向对方回复LSAck报文,进行确认
3.每台路由器根据本机链路状态数据库,计算到达每个目的网段的最优路由,写入路由表
OSPF报文类型
Hello报文
DD报文
数据库描述报文
用于描述本地LSDB中所有LSA的摘要
LSR报文
链路状态请求
LSU报文
链路状态更新
LSAck报文
链路状态确认
OSPF分区域管理
分区域的原因
加快收敛速度
把网络故障隔离在区域内部
路由器角色
IR
内部路由器
所有接口都处于同一个区域
ABR
区域边界路由器
连接不同区域的路由器
ASBR
自治系统边界路由器
连接外部自治系统的路由器
区域类型
骨干区域
只能有一个骨千区域,一般是区域O
骨千区域必须是连续的
非骨干区域
非骨千区域必须连接到骨千区域
OSPF网络类型
常用命令
[h3c]ospf’process id’ router-id 'rid 开启OSPF进程,指定Router-id,进入OSPF协议视图
[h3c-ospf-]area’area id 进入区域视图
[h3c-ospf-1-area 0.0.0.O]network ipaddress’wild-mask
宣告网段 wild-mask
[h3c-ospf-Islient-interface interface id
配置静默接口
OSPF不会在向静默接口上收发协议报文
[h3c]display ospf peer
查看OSPF邻居关系
FULL:邻接关系
2-Way:邻居关系
[h3c]display ospf routing 查看OSPF路由
ACL包过滤
ACL
定义
访问控制列表
用于数据流的匹配和筛选
常见功能
访问控制:ACL+Packet-filter
路由控制:ACL+Route-policy
流量控制:ACL+QOS
引入
ACL (Access Control List,访问控制列表)是用来实现数据包识别功能的
ACL可以应用于诸多方面:
包过滤防火墙功能
NAT (Network Address Translation,网络地址转换)
QoS (Quality of Service,服务质量) 的数据分类
路由策略和过滤
按需拨号
基于ACL的包过滤
ACL包过滤的局限性
定义
对进出的数据包逐包检查,丢弃或允许通过
包过滤必须配置在接口的某个方向上才能生效
一个接口的一个方向只能配置一个包过滤策略
包过滤的方向
入方向:只对从外部进入的数据包做过滤
出方向:只对从内部发出的数据包做过滤
包过滤的工作流程
1.数据包到达接口检查是否应用了ACL,是则进入匹配,否则放行
2.按照ACL编号匹配第一条规则,匹配则进一步检查该条规则动作,否则与下一条规则进行匹配
3.继续进行匹配,如匹配则检查规则动作,否则与下一条进行匹配
…
4.所有规则都不匹配,检查默认动作
注意事项
如果默认动作是允许,至少需要一条拒绝规则
如果默认动作是拒绝,至少需要一条允许规则
H3C的ACL用于包过滤默认允许,用于其他默认拒绝
把小范围的规则分配一个靠前的顺序
在不影响实际效果前提下,把包过滤尽量配置在离源地址最近的接口的入方向
入站包过滤流程
ACL分类
基本ACL
只对数据包的源地址进行匹配
编号2000-2999
高级ACL
对数据包的五元组进行匹配(源IP,目的IP,源端口,目的端口,协议)
编号3000-3999
常用命令
[h3c]acI basic’acl-number’ 创建基本ACL,进入ACL视图
[h3cJacl advanced ‘acl-number’ 创建高级ACL,进入ACL视图
[h3c-acI-basic-2000]rule ‘rule id’ ‘permit/deny’ source ‘ip address’ ‘wild-mask’
创建基本ACL规则
如不写ruleid,则系统自动从0开始以5的倍数增加序号
[h3c-acl-advanced-3000]rule ‘rule id’‘permit/deny’ ‘protocol’ source ‘ip address’‘wild-mask’ source-port ‘port’ destination ‘ip address’ ‘wild-mask’ destination-port ‘eg/t/gt/neq/range’ ‘port’ 创建高级ACL规则
[h3c-GigabitEthernet 0/0]packet-filter ‘acl number’ ‘inbound/outbound’ 配置包过滤
[h3c]packet-filter default deny 更改默认动作为拒绝
NAT
转换流程
产生背景
定义
分类
常用命令
PPP
PPP会话建立过程
认证
PPP会话流程
