1.网络特征:拓扑,逻辑拓扑,速度,成本,安全性,可用性,可扩展性
网络特征的具体解释
拓扑 - 存在物理拓扑和逻辑拓扑。
物理拓扑是电缆、网络设备和终端系统的布局。
它说明了网络设备实际上是如何使用导线和电缆实现互连的。
逻辑拓扑是数据在网络中传输的路径。
它说明了网络设备如何连接到网络用户。
速度- 是衡量网络中给定链路的数据传输速率的指标,以每秒位数 (b/s) 表示。(区分)
成本 - 成本指购买网络组件及安装和维护网络的整体费用。
安全性 - 安全性是指网络的安全程度,包括通过网络传输的信息的安全性。
安全主题非常重要,而技术和实践也在不断发展。
每当执行影响网络的操作时都需要考虑安全性。
可用性 - 可用性是衡量需要网络时网络可用概率的指标。
可扩展性 - 可扩展性指网络容纳更多用户和满足更多数据传输要求的能力。
如果对网络设计进行优化后只能满足当前需求,那么若要满足网络增长所产生的新需求,难度就会很大,且成本高昂。
可靠性 - 可靠性指构成网络的路由器、交换机、PC 和服务器等组件的可靠程度。 可靠性通常用故障概率或平均无故障工作时间 (MTBF) 来衡量。
这些特征和属性提供了比较不同网络解决方案的方法。
注意:虽然在涉及网络带宽时经常使用“速度”这一术语,但它从技术上来讲并不精确。 位传输的实际速度在通过同一介质时并不改变。 产生带宽差异的原因在于每秒传输的位的数量,而不在于它们在有线或无线介质中传输的速度。
2. 描述路由器的主要功能和特性。
路由器的作用就是将各个网络彼此连接起来,负责网络间流量的路由。
利用路由器互联网络:路由器通常利用单独的接口连接每个网络。 这些接口用于连接局域网 (LAN) 和广域网 (WAN)。
路由器的主要功能是:
确定发送数据包的最佳路径
将数据包转发到其目的地
3.NVRAM,RAM,ROM,闪存的区分
随机访问存储器 (RAM) - 提供各种应用程序和进程的临时存储,包括运行的 IOS、运行配置文件、各种表格(如 IP 路由表和以太网 ARP 表)以及数据包处理的缓冲区。 RAM 称为易失性存储器,因为其内容在电源关闭后将会丢失。
只读存储器 (ROM) - 提供启动说明、基本诊断软件和有限的 IOS 的永久存储,以防路由器无法加载功能完整的 IOS。 ROM 属于固件,称为非易失性存储器,当电源关闭时,其内容不会丢失。
非易失性随机访问存储器 (NVRAM) - 提供启动配置文件 (startup-config) 的永久存储。 NVRAM 是非易失性的,当电源关闭时,其内容不会丢失。
闪存 - 提供 IOS 和其他相关系统文件的永久性存储。 启动期间,会将 IOS 从闪存复制到 RAM。 闪存是非易失性的,当电源关闭时,其内容不会丢失。
4. 数据包转发机制有哪些,区别是什么
数据包转发机制包括进程交换,快速交换和CEF
路由器支持三种数据包转发机制:
进程交换 - 一种较早版本的数据包转发机制,在思科路由器上仍然可用。 当数据包到达某个接口时,将其转发到控制平面,在控制平面上 CPU 将目的地址与其路由表中的条目进行匹配,然后确定送出接口并转发数据包。 重要的是要了解路由器会对每个数据包执行此操作,即使数据包流的目的地是相同的也要转发数据包。 这种进程交换机制非常慢,在现代网络中很少实施。
快速交换 - 这是一种常见的数据包转发机制,使用快速交换缓存来存储下一跳信息。 当数据包到达某个接口时,将其转发到控制平面,在控制平面上 CPU 将在快速交换缓存中搜索匹配项。 如果不存在匹配项,则数据包采用进程交换并将转发到送出接口。 数据包的流向信息也会存储到快速交换缓存中。 如果通往同一目的地的另一个数据包到达接口,则缓存中的下一跳信息可以重复使用,无需 CPU 的干预。
思科快速转发 (CEF) - CEF 是最近推出和首选使用的 Cisco IOS 数据包转发机制。 与快速交换相似,CEF 将构建转发信息库 (FIB) 和邻接表。 但是,表中的条目不是像快速交换一样由数据包触发,而是由更改触发,例如当网络拓扑发生更改时。 因此,当网络融合后,FIB 和邻接表将包含路由器在转发数据包时必须考虑的所有信息。 FIB 包含预先计算的反向查找,路由的下一跳信息(包括接口和第 2 层信息)。 思科快速转发是思科路由器上最快且首选的转发机制。
举例说明:假定由五个数据包组成的流量都发往同一目的地。如果使用进程交换,则每个数据包都必须由 CPU 单独处理。 将其与快速交换进行对比。若使用快速交换时请注意一下,如何只让流量的第一个数据包进行进程交换并添加到快速交换缓冲中。 而使之后的四个数据包根据快速交换缓存中的信息得到快速处理。 最后,当网络融合后,CEF 将构建 FIB 和邻接表。 所有的五个数据包都将在数据平面中得到快速处理。
一个用于描述这三种数据包转发机制的常见比喻如下:
进程交换通过数学计算来解决每个问题,即使是完全相同的问题。
快速交换通过一次数学计算并为后续相同问题记忆答案,以解决问题。
CEF 事先在电子表格中解决每个可能出现的问题。
7.路由转发决策:
路由器的主要功能是确定用于发送数据包的最佳路径。 为决定最佳路径,路由器需要在其路由表中搜索能够匹配数据包目的 IP 地址的网络地址。
路由表搜索将产生以下三个路径决定之一:
直连网络 - 如果数据包目的 IP 地址属于与路由器接口直连的网络中的设备,则该数据包将直接转发至目的设备。 这表示数据包的目的 IP 地址是与该路由器接口处于同一网络中的主机地址。
远程网络 - 如果数据包的目的 IP 地址属于远程网络,则该数据包将转发至另一台路由器。 只有将数据包转发至另一台路由器才能到达远程网络。
无法决定路由 - 如果数据包的目的 IP 地址既不属于直连网络也不属于远程网络,则路由器将确定是否存在最后选用网关。 当路由器上配置了默认路由时,就会设置最后选用网关。 如果有默认路由,则将数据包转发到最后选用网关。 如果路由器没有默认路由,则丢弃该数据包。 如果已将数据包丢弃,则路由器会向数据包的源 IP 地址发送一个 ICMP 无法到达报文。
图中的逻辑流程图演示了路由器数据包转发决策过程。
8.如何判断最佳路径:
根据AD值和度量来判断
一些动态协议以及度量:
- 路由信息协议 (RIP) - 跳数
- 开放最短路径优先 (OSPF) - 根据源到目的地之间的累积带宽计算出的思科成本
- 增强型内部网关路由协议 (EIGRP) - 带宽、延迟、负载、可靠性
。 AD 代表路由的“可信度”;AD 越低,路由来源的可信度越高
AD值:OSPF:110
Eigrp:90
rip:120
静态:1
·直连:0
9.负载均衡
如果路由表中通往同一目的网络的两条或多条路径的度量相同,会发生什么情况?
当路由器有两个或多个路径通往目的地的成本度量都相等时,路由器会同时使用两条路径转发数据包。 这称为等价负载均衡。 对于同一个目的网络,路由表将提供多个送出接口,每个出口对应一条等价路径。 路由器将通过路由表中列出的这些送出接口转发数据包。
如果配置正确,负载均衡能够提高网络的效率和性能。 等价负载均衡可配置为使用动态路由协议和静态路由。
注意:只有 EIGRP 支持非等价负载均衡。
10.路由表来源:
路由表中的条目可按以下方式添加:
本地路由接口 - 当接口已配置并处于活动状态时添加。 该条目只在使用 IPv4 路由的 IOS 15 或更新版本中和使用 IPv6 路由的所有 IOS 版本中显示。
直连接口 - 当接口已配置并处于活动状态时添加到路由表中。
静态路由 - 当路由已手动配置而且送出接口处于活动状态时添加。
动态路由协议 - 当实施了用于动态获知网络的路由协议(如 EIGRP 或 OSPF)并且网络已确定时添加。
路由表条目的来源由代码来标识。 代码将标识获取路由的方式。 例如,常用代码包括:
L - 用于标识为路由器接口分配的地址。 这使路由器能够有效确定何时收到的数据包是指向该接口的,而不必进行转发。
C - 用于标识直连网络。
S - 用于标识手动创建的通往特定网络的静态路由。
D - 用于标识使用 EIGRP 从另一台路由器动态获取的网络。
O - 用于标识使用 OSPF 路由协议从另一台路由器动态获取的网络。
注意:其他代码不在本章的讨论范围之内。
图中显示的是简单网络中的 R1 路由表。
12 路由表存储那些信息
路由器的路由表存储下列信息:
直连路由 - 这些路由来自于活动的路由器接口。 当接口配置了 IP 地址并激活时,路由器会添加直连路由。
远程路由 - 这些路由来自连接到其他路由器的远程网络。 通向这些网络的路由可以静态配置,也可以使用动态路由协议进行动态配置。
路由表是保存在 RAM 中的数据文件
13.解释路由器如何为直连网络构建路由表。
新部署的路由器不含任何配置接口,使用空的路由表。
在将接口置于 up/up 状态并添加到 IPv4 路由表中之前,接口必须:
分配有效的 IPv4 或 IPv6 地址
使用 no shutdown 命令激活
接收来自另一设备(路由器、交换机、主机等)的载波信号
当接口已启用时,该接口所在的网络就会作为直连网络而加入路由表。
14.解释路由器如何使用静态路由构建路由表。
在配置了直连接口,并将其添加到路由表中后,就可以实现静态或动态路由。
静态路由是手动配置的。 它们将定义两个网络设备之间的明确路径。 与动态路由协议不同,静态路由不会自动更新,并且当网络拓扑发生变化时,必须手动重新配置静态路由。
可以将静态路由配置为到达某个特定远程网络。 使用 ip route network mask{next-hop-ip | exit-intf}全局配置命令配置 IPv4 静态路由。 静态路由在路由表中以代码“S”标识。
默认静态路由类似于主机上的默认网关。 默认静态路由将指定当路由表不包含通往目的网络的路径时使用哪个出口点。
当路由器只有一个通往另一路由器的出口点时(例如,当路由器连接中心路由器或服务提供商时),默认静态路由非常有用。
要配置IPv4 默认静态路由,请使用 ip route 0.0.0.0 0.0.0.0 {exit-intf| next-hop-ip} 全局配置命令。
15. 解释路由器如何使用动态路由协议构建路由表
路由器使用动态路由协议共享有关远程网络连通性和状态的信息。 动态路由协议将执行多种活动,包括网络发现和路由表维护。
网络发现是路由协议的一项功能,通过此功能路由器能够与使用相同路由协议的其他路由器共享网络信息。 动态路由协议使路由器能够自动地从其他路由器获知远程网络,这样便无需依赖在每台路由器上手动配置的指向远程网络的静态路由。 这些网络以及通往每个网络的最佳路径都会添加到路由器的路由表中,并标识为由特定动态路由协议获知的网络。
在网络发现过程中,路由器将交换路由并更新其路由表。 路由器在完成交换和路由表更新后已经聚合。 之后路由器将在其路由表中维护网络。
======================================================================
1.路由器连接远程网络的两个方式:
路由器可通过两种方式获知远程网络:
手动 - 远程网络需要使用静态路由手动输入到路由表。
动态 - 远程路由使用动态路由协议自动获取。
2.静态路由与动态路由的区分,比较(注意补充全)
静态路由相对于动态路由有以下优势:
静态路由不通过网络通告,从而能够提高安全性。
静态路由比动态路由协议使用更少的带宽,且不需要使用 CPU 周期计算和交换路由信息。
静态路由用来发送数据的路径已知。
静态路由主要有以下缺点:
初始配置和维护耗费时间。
配置容易出错,尤其对于大型网络。
需要管理员维护变化的路由信息。
不能随着网络的增长而扩展;维护会越来越麻烦。
需要完全了解整个网络的情况才能进行操作。
从配置复杂性来看:随着网络规模的增大而愈趋复杂,受网络规模的限制
从拓扑变化来看: 随着网络拓扑,动态路由自动根据拓扑结构变化进行调整。静态路由需要管理员参与
从扩展的角度来看: 动态路由在简单拓扑结构和复杂拓扑结构均适合,而静态路由在简单的网络拓扑结构适合
从安全的角度来看: 静态路由不够安全,动态路由更安全
从资源使用率来看, 动态路由占用CPI、内存和链路带宽,静态路由不需要额外的资源
从可预测性来看, 动态路由根据当前网络拓扑结构确定路径,静态路由总是通过同一路径到达目的网络
注意,一种方式的优点也就是另一种方式的不足之处。
静态路由对只有一条路径通往外部网络的小型网络非常有用。 它们还为大型网络中需要更多控制的特定类型流量或其他网络链路提供安全性。 静态和动态路由并不互相排斥,理解这一点很重要。 相反,大多数网络结合使用动态路由协议和静态路由。 这可能导致路由器通过静态路由和动态获知的路由有多条到达目的网络的路径。 但是,静态路由的管理距离 (AD) 为 1。 因此,静态路由将优先于所有动态获知的路由。
3.静态路由的几种类型
静态路由分为标准静态路由,默认路由,汇总路由,浮动路由
4.静态路由
何时使用静态路由:
在网络规模较小且不经常变动,静态路由是最合适的选择。
连接特定远程网络时,静态路由非常有用。
末节网络,但事实上,静态路由可用于连接到任何网络
静态路由主要有三个用途:
在不会显著增长的小型网络中,使用静态路由便于维护路由表。
通过末节网络路由。 末节网络是只能通过单条路由访问的网络,因此路由器只有一个邻居。
使用单一默认路由。如果某个网络在路由表中找不到更匹配的路由条目,则可使用默认路由作为通往该网络的路径。 默认路由用于将流量发送至下一个上游路由器外的所有目的地
5.默认路由
默认静态路由是与所有数据包都匹配的路由。
默认静态路由是将 0.0.0.0/0 作为目的 IPv4 地址的静态路由。
配置默认静态路由可以创建最后选用网关。
默认路由使用场景
路由表中没有其他路由与数据包的目的ip地址匹配。连接到ISP网络的边缘路由器往往配置默认静态路由
末节路由。如果一台路由器仅有另外一台路由器与之相连,此种路由器为末节路由器
路由器通常使用本地配置的默认路由,或者通过动态路由协议从其他路由器获知的默认路由。
在路由表中没有其他路由匹配数据包的目的 IP 地址时,则使用默认路由。
换句话说,如果不存在更加精确的匹配,则默认路由用作最后选用网关。
默认静态路由通常用于连接以下对象:
边缘路由器到服务提供商网络
末节路由器(只有一个上游邻居路由器的路由器)
6.汇总路由
作用:减少路由表条目的数量,多条静态路由可以总结成一条静态路由
路由总结也就是所谓的路由汇聚。它还可以帮助减少路由更新所需的带宽用量,加快路由表查询速度。
前提:目的网络是连续的,并且可以总结成一个网络地址。
多条静态路由都使用相同的送出接口或下一跳 IP 地址。
如何计算汇总路由
将多个网络总结为一个地址和掩码的过程可以分为三个步骤:
第 1 步: 以二进制格式列出网络。
第 2 步: 统计这些网络最左侧的哪些位相同,确定出总结路由的掩码。
第 3 步: 复制这些相同的位,然后添加 0 补足位数,确定总结后的网络地址。
7.浮动路由
何时用:如果链路发生故障,浮动静态路由即为主要静态或动态路由提供备份路径的静态路由。
作用:浮动静态路由仅在主路由不可用时使用
特点:浮动静态路由的管理距离比主路由的管理距离要大
浮动静态路由的管理距离大于另一个静态或动态路由的管理距离。 当为主链路提供备用链路时,它们非常有用,如图所示。
默认情况下,静态路由的管理距离为 1,因此它们优先于通过动态路由协议获知的路由。 例如,一些常见动态路由协议的管理距离如下:EIGRP = 90,IGRP = 100,OSPF = 110,IS-IS = 115,
RIP = 120
静态路由的管理距离可以增加,以便使另一个静态路由或通过动态路由协议获取的路由优先于该路由。 这样,静态路由将会“浮动”,当有管理距离更好的路由处于活动状态时,则不使用该路由。 但是,如果首选路由丢失,浮动静态路由可以接管,而且流量可以通过此备用路由发送。
浮动静态路由可用于为路由器上的多个接口或网络提供备用路由。 它还与封装无关,这意味着无论封装类型是什么,它都可以从任何借口转发数据包。
需要重点考虑的是,浮动静态路由易受收敛时间的影响。 不断丢弃并重新建立连接的路由可能会导致不必要地激活备用接口。
如何使用:关闭接口,使用备份的浮动路由
8.递归查询
1、路由器首先将数据包的目的IP地址与静态路由相匹配。
2、然后将静态路由的下一跳IP地址与路由表中的条目相比配,决定使用哪个接口。(一般情况是与直连路由匹配)
配置下一跳静态路由:
如果路由器在转发数据包前需要执行多次路由表查找,那么它的查找过程就是一种递归查找。 由于递归查找占用路由器资源,应尽可能避免发生这种情况。(不使用 CEF 的情况下)
注意:CEF 提供优化的查找功能来实现高效的数据包转发,使用数据平面中存储的两种主要数据结构:FIB(转发信息库),即路由表和邻接表的副本,其中包含第 2 层寻址信息。 这两个表中组合的信息相互配合,因此查找下一跳 IP 地址时无需进行递归查找。 换句话说,当路由器上启用 CEF 时,使用下一跳 IP 的静态路由只需要一次查找。
9、路由类型
下一跳可以通过 IP 地址、送出接口或两者结合进行识别。 根据如何指定目标,路由分为以下三种类型:
下一跳路由 - 仅指定下一跳 IP 地址。
直连静态路由 - 仅指定路由器送出接口。
完全指定静态路由 - 指定下一跳 IP 地址和送出接口。
===============================================================
一.动态路由:
1.什么是动态路由:
用于路由器之间交换路由信息的协议。
2. 动态路由协议的用途:
1、发现远程网络
2、维护最新路由信息
3、选择通往目的网络的最佳路径
4、当前路径无法使用时找出新的最佳路径
3.路由协议的组成:
数据结构 、算法、路由协议信息
通过路由协议,路由器可以动态共享有关远程网络的信息,并自动将该信息添加到各自的路由表中(参见图中的动画)。
路由协议确定每个网络的最佳路径或路由。 然后将该路由添加至路由表。 动态路由协议的主要优点是,当拓扑结构发生变化时,路由器会交换路由信息。 通过这种信息交换,路由器不仅能够自动获知新增加的网络,还可以在当前网络连接失败时找出备用路径。
与静态路由相比,动态路由协议需要的管理开销较少。 不过,运行动态路由协议需要占用一部分路由器资源,包括 CPU 时间和网络链路带宽。 尽管动态路由有诸多好处,但静态路由仍有其用武之地。 有的情况下适合使用静态路由,而有的情况下则适合使用动态路由。 具有一定复杂程度的网络可能同时配置了静态路由和动态路由。
4. 一般来说,动态路由协议的运行过程如下:
1. 路由器通过其接口发送和接收路由消息。
2. 路由器与使用同一路由协议的其他路由器共享路由消息和路由信息。
3. 路由器通过交换路由信息来了解远程网络。
4. 如果路由器检测到网络拓扑结构的变化,路由协议可以将这一变化告知其他路由器。
5.动态路由收敛:
当所有路由器都获取了整个网络的完整、准确的信息时,网络已经完成收敛。
收敛时间是指路由器共享网络信息、计算最佳路径并更新路由表所花费的时间。
网络在完成收敛后才可以正常运行,因此,大部分网络都需要在很短的时间内完成收敛。
收敛过程既具协作性,又具独立性。
路由器之间既需要共享路由信息,各个路由器也必须独立计算拓扑结构变化对各自路由过程所产生的影响。
由于路由器独立更新网络信息以与拓扑结构保持一致,所以,也可以说路由器通过收敛来达成一致。
收敛的有关属性包括路由信息的传播速度以及最佳路径的计算方法。 传播速度是指网络中的路由器转发路由信息的时间。
可以根据收敛速度来评估路由协议。
收敛速度越快,路由协议的性能就越好。通常,RIP 等早期协议收敛缓慢,而 EIGRP 和 OSPF 等现代协议收敛较快。
内部网关协议 (IGP)
- 用于在 AS 中实现路由。IGP 包括 RIP、EIGRP、OSPF 和 IS-IS。
外部网关协议 (EGP)
- 用于在 AS 间实现路由。 边界网关协议 (BGP) 是目前唯一可行的 EGP。
有类路由协议在路由信息更新过程中不发送子网掩码信息。不支持不连续网络。有类路由协议包括 RIPv1 和 IGRP
无类路由协议的路由信息更新中,同时包括网络地址和子网掩码。无类路由协议包括 RIPv2、EIGRP、OSPF、IS-IS 和 BGP 等。
度量值(Metric):是指路由协议用来分配到达远程网络的路由开销的值。通常这个值是没有单位的。
度量值越小,这条路径越佳。然而不同的路由协议定义度量值的方法是不一样的,所以不同的路由协议选择出的最佳距离可能是不一样的
Ospf:累计带宽
Eigrp:带宽,延迟,负载,可靠性
Rip:跳数
距离矢量路由协议
距离矢量是指将路由作为距离和方向的矢量进行通告。距离使用如跳数,开销,带宽,延迟等这样的度量确定,而方向则是下一跳路由器或送出接口。
n 距离矢量路由协议并不了解确切的网络拓扑图。
n 距离矢量路由协议在邻居之间共享更新。
n 邻居是指使用同一链路并配置了相同路由协议的其他路由器。
n 有四个距离矢量 IPv4 IGP:
n RIPv1 - 第一代传统协议
n RIPv2 - 简单距离矢量路由协议
n IGRP - 第一代 Cisco 专有协议(已过时并由 EIGRP 取代)
n EIGRP - 距离矢量路由高级版
使用距离矢量路由协议的路由器并不了解到达目的网络的整条路径。 距离矢量协议将路由器作为通往最终目的地的路径上的路标。 路由器唯一了解的远程网络信息就是到该网络的距离(即度量)以及可通过哪条路径或哪个接口到达该网络。
链路状态路由协议:
配置了链路状态路由协议的路由器可以获取所有其他路由器的信息来创建网络的完整视图,所有链路状态路由器都使用相同的网络地图。网络完成收敛后,只在网络拓扑结构发生变化时才发送链路状态更新信息。
有两个链路状态 IPv4 IGP:
OSPF - 常见的基于标准的路由协议
IS-IS - 常见于提供商网络
- •链路状态协议适用于以下情形:
- •网络进行了分层设计(大型网络通常如此)
- •网络的快速收敛非常重要
- •管理员非常了解所采用的链路状态路由协议
7.禁用自动汇总:
默认情况下,RIPv2 像 RIPv1 一样在主网边界上自动总结网络
禁用自动总结后,RIPv2 不再在边界路由器上将网络总结为有类地址
目的:防止误发,浪费带宽的问题,子网掩码(14/16)过大,会浪费资源
8.配置被动接口:
默认情况下,通过所有启用了 RIP 的路由器上的接口转发 RIP 更新。
在 LAN 上发送更新会网络造成影响:
目的:
浪费带宽 - 带宽用于传输不必要的更新。 因为可以广播或组播 RIP 更新;因此,交换机也通过所有端口转发更新。
浪费资源 - LAN 中的所有设备都必须处理更新直到传输层,此时设备将丢弃此更新。
安全风险 - 在广播网络上通告更新会带来安全风险。
配置被动接口后,通告但不更新
9.路由表的层级:
- 路由表实际上是一个分层结构,包括若干个层级。
- 采用下列形式讨论路由:
-最终路由
- 最终路由是包含下一跳 IPv4 地址或送出接口的路由表条目。
- 动态获知的直连本地路由为最终路由。
-1 级路由
- 1 级路由——指子网掩码等于或小于网络地址有类掩码的路由。
- 1 级路由可以是:
- 网络路由 - 是指其子网掩码等于有类掩码。
- 超网路由 - 是指掩码小于有类掩码(比如总结地址)的网络地址。
- 默认路由 - 是指地址为 0.0.0.0/0 的静态路由。
- 1 级路由的来源可以是直连网络、静态路由或动态路由协议。
-1 级父路由
- 1 级父路由是划分子网的 1 级网络路由。
- 父路由不可以是最终路由。
-2 级子路由
- 2 级子路由是指有类网络地址的子网路由。
- 1 级父路由是划分子网的 1 级网络路由。
1 级父路由包含 2 级子路由,2 级子路由也是最终路由
=======================================================================
1、交换机的加电启动过程-5个过程
在思科LAN交换机首次开启时,它将经过以下启动顺序。
1.首先交换机将加载存储在 ROM中的加电自检(POST)程序。POST会检查CPU子系统。
它会测试CPU、 DRAM以及构成闪存文件系统的闪存设备部分。
2. 按下来,交换机加载启动(运行引导)加载程序软件(.b文件)。启动加载程序是存储在ROM中并在POST成功完成后立即运行的小程序。(CPU初始化)
3启动加载程序执行低级CPU初始化。启动引导加载程序初始化CPU寄存器,寄存器控制物理内存的映射位置、内存量以及内存速度。
4.启动加载程序初始化系统主板上的闪存文件系统。(flash)
5.最后,启动加载程序并找到默认的IOS操作系统软件映像加载到内存,并将对交换机的控制权转交给1OS。
注:配置文件:指导设备如何运行,第3步启动配置 .cfg:如何运行此设备
2、设备加载镜像文件(操作系统文件)的过程以及模式按钮加载应用程序文件
设备加载镜像文件(操作系统文件)的过程
1.交换机尝试使用BOOT环境变量中的信息自动启动
2.交换机尝试加载并执行它找到的第一个可执行文件,对flsh文件进行彻底搜索
3.IOS操作系统使用在startup-config文件(存储在NVRAM中)中找到思科IOS命令初始化接口(协议)
注:无startup-config 以空配置运行(相当于初始化出产设置)
镜像:多个.b文件(应用程序文件)
2960交换机:IOS映像文件通常包含在与映像文件(操作系统)同名的目录中
使用boot system 全局配置模式命令设置BOOT环境变量(文件位置,运行哪一个.b文件)
dir:查看配置文件
CRT:仿真软件
模式按钮加载应用程序文件
Mode按钮用于在端口状态、端口双工、端口速度和端口LED的PoE (如果支持)状态之间进行切换。以下内容描述LED指示灯的用途及其颜色的含义。
3、从系统崩溃中恢复(从控制台方式引导加载启动程序)
1.通过控制台电缆将PC连接到交换机控制台端口
2.拔下交换机电源线
3.将电源线重新连接到交换机,并按住模式按钮(15s),此时system(系统)LED还是呈绿色闪烁
4.直到system LED 先后呈短暂的琥铂色和稳定的绿色;然后松开Mode(模式)按钮
5.启动加载程序命令行的switch,提示符会显示在PC上的终端仿真软件中(CRT)
4、各种LED的含义和显示的颜色的含义
书P120-P121
交换机运行状态可通过前面板上的一-组 LED显示。这些LED将显示诸如端口状态、双工和速度等信息。
5、准备基本交换机管理
要远程管理思科交换机,需要将其配置为访问网络。
控制台电缆用于将 PC 连接到交换机的控制台端口以便进行配置。
要将 IP 信息(地址、子网掩码、网关)分配给交换机虚拟接口 (SVI)。
如果从远程网络管理交换机,还必须配置默认网关。
虽然这些 IP 设置允许远程管理和远程访问交换机,但是它们不允许交换机路由第 3 层数据包
6、使用ipv4配置基本交换机管理访问
必须配置管理接口,管理接口不是交换机上的物理端口,他是SVI。SVI是一个与VLAN相关是概念( vlan基本概念:隔离广播域 SVI:划分vlan且配置ip地址)
VLAN 是采用数字编号的逻辑分组, 可以为其分配物理端口。应用于VLAN的配置和设置也可以应用于为该VLAN分配的所有端口。默认情况下,一台交换机上的所有端口都分配给VLAN1。因此使用除VLAN 1之外的VLAN作为管理VLAN被视为是最佳做法。
7、全双工与半双工
全双工通信提高交换LAN的性能。 全双工通信允许连接的两端同时传输和接收数据,因而增加了有效带宽。这也称为双向通信。这种优化网络性能的方法要求微分段。当交换机端口只连接一个设备并且在全双工模式下运行时,会创建微分段LAN。当交换机端口在全双工模式下运行时,没有与端口管理的冲突域。
与全双工通信不同,半双工通信是单向的。数据的发送和接收不会同时进行。半双工通信会引起性能问题,因为数据一次只能在一个方向上流动,经常会发生冲突。半双工连接常见于些老式硬件(集线器)中。
在大多数硬件中全双工通信已经取代了半双工通信。
目前主要使用自动协商:
交换机端口能够自动协商双工和速度设置,这在连接到端口的设备类型未知时非常有用,但是当连接到端口的设备已知,并且从不更改时,可以手动配置双工和速度设置。当连接端口的设备的速度和双工设置位置或可能更改时,自动协商非常有用,当已经连接设备。例如(服务器、专用工作机或网络设备)时,最佳做法是手工设置速度和双工设置。
在过去,连接设备时需要特定类型的电缆(直通或交叉)。
自动专用媒体接口交叉 (auto-MDIX) 功能可解决此问题。
启用 auto-MDIX 后,接口会自动检测并正确配置连接。
在接口上使用 auto-MDIX 时,必须将接口速度和双工设置为自动。
交换机的一个优势就是设备之间能够进行有效的全双工通信,使通信速率加倍。虽然可以指定交施机按口的速度和双工设置,但建议您允许交换机自动设置这些参数以避免出错。
8、网络接入层问题:
错误总数。它包括超短帧、超长帧、无缓冲区、CRC、帧、溢出和被忽略的计数。
超短帧:由于小于传输介质规定的最小尺寸而被丢弃的数据包,例如:任何小于64字节的以太网帧均被视为超短帧。
超长帧:由于大于传输介质规定的最大尺寸而被丢弃的数据包,例如:任何大于1,518字节的以太网帧均被视为超长帧。
CRC:如果计算出的校验和与已接收的校验和不一致,则会出现CRC错误。
输出错误数阻碍从正在接受检查的接口最终传输数据报的所有错误总和。
冲突:因以太网冲突而重新发送的消息数量。
延迟冲突:在帧的512比特之后发生的冲突已经被传输。
9、SSH与telnet(都是远程登录控制的方式之一)
SSH:端口号22(安全外壳 (SSH) 是一种为远程设备提供基于命令行的安全(加密)连接的协议。)
由于其强大的加密功能(对用户名和密码进行加密)SSH应替代 Telnet 来管理连接。
要启用 Catalyst 2960 交换机上的 SSH,需要包含加密功能和能力的 IOS 软件版本(文件名中包不包含k9,包含,可以进行加密)
telnet:端口号为23,明文发送用户名和密码(安全性不高)
10、端口安全和违规
交换机端口安全是有助于阻止第2层攻击的必备要求。交换机端口应该配置为只允许具有特定源MAC地址的帧进入。应该拒绝来自未知源MAC地址的帧,并使端口关闭以阻止进步攻击。
(1)静态安全mac地址:在端口上手动配置的 mac 地址。以此方法配置的 mac 地址存储在地址表中,并添加到交换机的运行配置中。
(2)动态安全mac地址:通过动态获取并只存储在地址表中的 mac 地址。以此方式配置的 mac 地址在交换机重新启动时将被移除。
(3)粘性安全 mac地址:可以通过动态获取或手动配置,然后存储到地址表中并添加到运行配置中的 mac 地址。
注意:
(1)如果将粘性安全 MAC 地址保存到启动配置文件中,则当交换机重新启动或接口关闭时,接口无需重新获取地址。若不保存,则这些地址将会丢失。
(2)如果使用 no switchport port-security mac-address sticky 接口配置模式命令禁用粘性获取,则粘性安全 mac 地址仍作为地址表的一部分,但会从运行配置中移除。
注意2: 默认禁用端口安全
默认安全 MAC 地址最大数量为1
默认违规模式:关闭
默认粘性地址获取关闭
违规模式:
(1)保护:当安全 MAC 地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,直至移除足够数量的安全 MAC 地址或增加允许的最大地址数。出现安全违规时不会发出通知。不增加违规计数器。不关闭端口。
(2)限制:当安全 MAC 地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,直至移除足够数量的安全 MAC 地址或增加允许的最大地址数。在该模式下,出现安全违规时会发出通知。增加违规计数器。不关闭端口。
(3)关闭:端口安全违规可导致接口立即变为错误禁用状态,并关闭端口 LED。它增添了违规计数器。可以通过no shutdown解决。
修改违规模式命令:switchport port-security violation {protect | restrict |shutdown}
11、远程管理和访问交换机的配置步骤:
(1)创建管理vlan和管理vlan的虚拟接口,配置ip/子网掩码
(2)将物理接口加入到管理vlan中
(3)配置网关
(4)保存配置
在管理VLAN的SVI上配置IP地址,以实现对设备的远程配置。必须在交换机上使用ip defult gateway命令配置属于管理VLAN的默认网关。如果默认网关配置不正确,则不可能实现远程管理。建议使用安全外壳(SSH)提供对远程设备的安全( 加密)管理连接,以阻止对未加密用户名和密码的嗅探(使用Telnet等协议时可能会发生)。
=============================================================================
1、vlan的概念
虚拟局域网,二层网络的逻辑分区。
将一个大的物理局域网划分成多个小的虚拟局域网,将广播域控制在一个vlan内,即一般情况,一个vlan就是一个广播域,vlan间二层隔离。
在没有vlan的情况下: 使用路由器or三层交换机的三层接口实施3层路由过程,使用第3层设备可以控制各个网段(包括)由vlan创建的网段之间的流量
此时用的是路由器or三层交换机的三层接口来划分广播域
1、VLAN 允许管理员根据功能、项目组或应用等因素划分网络,而不考虑用户或设备的物理位置。
2、VLAN 根据特定用户分组实施访问和安全策略。
3、VLAN 是第 2 层网络的逻辑分区。
4、可创建多个分区,允许多个 VLAN 共存。
5、每个 VLAN 都是一个广播域,且通常使用其自己的 IP 网络。
6、VLAN 相互隔离,而且数据包只可以通过路由器在 VLAN 之间传递。
7、第 2 层网络的分区处于第 2 层设备内部,该设备通常是交换机。
8、VLAN 中的主机组不知道 VLAN 的存在。
2、 vlan产生原因:
产生原因(背景):隔离广播域。
广播风暴,设备发出的广播帧在广播域中传播,占用网络带宽,降低设备性能
3、vlan的主要作用及优点:
1、VLAN的作用:主要是为了实现网段之间的路由
物理局域网通过vlan,进行逻辑划分,划分成逻辑局域网
2、VLAN的优点:
(1)灵活构建vlan组,不需要考虑物理位置
(2)降低成本,减小广播域大小,更高性能
(3)改善安全性(二层)等
(4)提高IT员工效率
(5)简化项目管理和应用管理
4、vlan的类型:
(1)数据 VLAN - 用户生成的流量,也叫用户vlan,不包含语音vlan和管理vlan
(2)默认 VLAN - 在配置交换机之前,所有交换机端口成为此 VLAN 的一部分
(3)本地 VLAN - 用于未标记的流量
(4)管理 VLAN - 用于使用管理功能
注意:默认情况,所有端口都分配给vlan1,本地vlan为vlan1,管理vlan为vlan1。
语音vlan:
VoIP 流量对时间敏感,需要:
足够的带宽来保证语音质量。
高于其它网络流量类型的传输优先级。
可以绕过网络中的拥塞区域进行路由。
跨网络的延迟小于 150 毫秒。
接入端口可通过语音 VLAN 功能传送来自 IP 电话的 IP 语音流量。
5、vlan中继:
1、VLAN 中继是传输多个
VLAN 流量的点对点链路。
2、由于 VLAN 中继通常在交换机之间建立,因此,即使物理连接至不同交换机,同一 VLAN 的设备也可以通信。
3、VLAN 中继不与任何 VLAN 相关联;用于建立中继链路的中继端口也不与任何 VLAN 相关联。
4、思科 IOS 支持 IEEE802.1q(一种常用的 VLAN 中继协议)。
5、VLAN 中继是传输多个 VLAN 流量的点对点链路,即trunk链路。
6、通常交换机之间相连的端口为trunk端口,配置允许相应的vlan通过,不配置允许相应的vlan通过则允许所有vlan通过。
7、如果要添加更多的vlan可通过,则把之前允许的也要带着。
6、思科设备中,access端口和trunk端口的区别有哪些 ?
1. VLAN中继是传输多个VLAN流量的点对点链路。而access路类型端口是一种交换机的主干道模式
2. trunk端口允许所有VLAN通过,access端口只允许特定VLAN通过;
3.access端口通常用于PC,服务器之间;truck端口通常用于两个交换机之间
4. ACCESS模式可以允许多个vlan的报文不打标签,而TRUNK模式只允许缺省vlan的报文不打标签
5.trunk端口一般使用IEEE802.1q协议,而access端口不支持IEEE802.1q协议
7、使用vlan控制广播域:
VLAN 可用于限制广播帧的范围。
VLAN 是其本身的广播域。
只在该 VLAN 中转发的特定 VLAN 中的设备发送的广播帧。
VLAN 有助于控制广播帧的范围以及这些帧在网络中的影响。
单播帧和组播帧也在始发 VLAN 中转发。
始发vlan:发出的数据来自哪一个vlan
8、vlan标签
vlan标签:标记数据帧所属vlan
(1)收到无标记的数据帧,发送到本地vlan
(2)收到标记的数据帧,则看端口是否允许其通过。
(3)access端口只允许一个vlan通过,即pvid是多少就允许多少通过。
(4)trunk端口可以允许多个vlan通过。
注意:pvid:端口vlan id。端口所属vlan。
9、标记确定 VLAN 的以太网帧
1、帧标记是将 VLAN 标识报头添加到帧的过程。
2、帧标记用于通过中继链路正确传输多个 VLAN 帧。
3、交换机标记帧,以确定它们所属的 VLAN。
4、存在不同的标记协议;IEEE 802.1Q 是常用的协议。
5、协议定义添加到帧的标记报头的结构。
6、在将 VLAN 标记放入中继链路前,交换机会将 VLAN 标记添加到帧,而且,通过非中继端口转发帧之前会删除标记。
7、一旦正确标记,帧可以通过中继链路经过任意数量的交换机,并且仍在目的地的正确 VLAN 中进行转发。
10、本地 VLAN 和 802.1Q 标记
1、发送到本地 VLAN 上的控制流量不应添加标记。
2、收到的无标记帧将保持无标记,而且,在转发时会放在本地 VLAN 中。
3、如果没有与本地 VLAN 相关联的端口,也没其他中继链路,那么将丢弃无标记帧。
4、在思科交换机上配置交换机端口时,要将设备配置为不发送本地 VLAN 上的有标记帧。
5、在思科交换机中,本地 VLAN 默认情况下为 VLAN 1。
11、vlan分类(思科 Catalyst 2960 和 3560 系列交换机支持 4000 多个 VLAN。)
(1)普通vlan:2-1005(vlan1默认存在)。相关配置存储在 vlan.dat 中;ID 1002 到 1005 预留用于令牌环和光纤分布式数据接口 (FDDI) VLAN,这些 VLAN 是自动创建的,且无法删除
(2)扩展vlan:1006-4095。存储在运行配置中的配置((NVRAM));VLAN 中继协议 (VTP) 无法识别扩展范围的 vlan。
12、vlan间路由实现的两种方式区别与联系:
传统实践:
一个路由器的接口作为一个vlan中主机的网关(不恰当方式),也就是传统的vlan路由
传统实践:1、使用真实的路由器在 VLAN 之间路由。
2、各个 VLAN 均连接到不同的物理路由器接口。
3、数据包通过一个接口到达路由器,通过另一个接口路由并离开。
4、由于路由器接口连接至 VLAN,而且具有特定 VLAN 的 IP 地址,因此可实现 VLAN 之间的路由。
5、包含大量 VLAN 的大型网络需要大量的路由器接口。
传统实践准备工作:
传统 VLAN 间路由要求路由器具有多个物理接口。
各个路由器物理接口连接到唯一 VLAN。
各接口还配置有与特定 VLAN 相关联的子网的 IP 地址。
网络设备将路由器用作网关以访问连接至其他 VLAN 的设备。
单臂路由:
一个路由器的接口划分多个子接口,子接口和vlan关联,作为相应vlan中主机的网关
实现原理:
将路由器的一个接口通过配置子接口的方式,实现原来相互隔离的不同VLAN之间的互联互通。一个路由器的接口划分多个子接口,子接口和vlan关联,作为相应vlan中主机的网关。 “单臂路由器”是通 过单个物理接口(路由器和交换机之间只有一条外部链路)在网络中的多个VLAN之间路由流量的路由器配置。对路由器接口进行配置,使其以中继链路的方式运行,并将其与中继模式配置下的交换机端口 相连。 通过接收中继接口上来自相邻交换机的VLAN标记流量,以及通过子接口在VLAN之间进行内部路由,路由器便可实现VLAN间路由。之后,路由器通过用于接收流量的同一物理接口,将路由流量和标记 VLAN转发到目标 VLAN。
单臂路由:
1、只使用路由器的一个物理接口。
2、路由器的一个物理接口配置为 802.1Q 中继端口,这样它可以识别 VLAN 标记。
3、创建逻辑子接口;每个 VLAN 一个子接口。
4、用子接口所代表的 VLAN 的 IP 地址配置各个子接口。
5、配置 VLAN 成员(主机)以将子接口地址用作默认网关。
准备工作:
1、单臂路由是使用 VLAN 中继和子接口。
2、VLAN 中继允许单个物理路由器接口路由多个 VLAN 的流量。
3、路由器的物理接口必须连接到相邻交换机上的中继链路。
4、在路由器上,子接口是为每个唯一 VLAN 而创建的。
5、各个子接口都分配了特定于其子网或 VLAN 的 IP 地址,并配置为用于标记该 VLAN 的帧。
==============================================================
1、acl的概念:
1、acl是对某些访问进行控制,是否可以访问的列表(ACL 是一系列被称为访问控制条目
(ACE) 的 permit 或 deny 语句组成的顺序列表.),可以起到数据安全的作用,是第一代防火墙,也称为包过滤,可用于交换机和路由器,是用来识别数据报文,识别三层/四层的信息的
2、acl包括的三个动作:permit(允许),deny(拒绝),重标记(标记数据报文的高低优先级,起到类似VIP的作用)
3、acl无法识别账号信息
4、默认情况下,路由器并未配置 ACL;因此,路由器不会默认过滤流量。 它只会根据数据报文的目的ip查找路由表(象)进行转发
5、不过滤数据报文(流量),有路由条目就转发,没有就不转发
6、acl 概念:根据数据包报头中找到的(3/4层,协议)信息来控制路由器应该转发还是应该丢弃数据包
7、acl 默认步长10
2、acl的用途:数据包过滤
1、数据包过滤有时也称为静态数据包过滤,通过分析传入和传出的数据包并根据给定的条件传递或丢弃数据包,从而控制网络访问,例如源 IP 地址、目的 IP 地址和数据包内传输的协议。
2、当路由器根据过滤规则转发或拒绝数据包时,它便充当了一种数据包过滤器。
3、acl的配置规则和其工作原理
acl配置规则:先精细(大),后粗广(小)
3、acl工作原理和应用规则:
入站ACL:在数据包被路由到出站接口之前,其过滤流入特定接口的数据包。
出站ACL:在数据包被路由之后,出站ACL过滤流入任意入站接口的数据包。
每种协议、每个接口和每个方向只能有一个ACL:
每种协议一个ACL (例如IPv4或IPv6)
每个方向一个ACL (例如IN或OUT)
每个接口-一个ACL (例如,GigabitEthemet0/0)
对于每种协议,一个ACL用于入站流量,另一个用于出站流量
注:不必在两个方向上都配置ACL,应用在接口的ACL数量及其方向将取决于所实施的要求,标黄的是工作原理,剩下的是应用规则
5、ACL 的放置位置
每个 ACL 都应该放置在最能发挥作用的位置。基本的规则是:
扩展 ACL - 将扩展 ACL 放置在尽可能靠近需要过滤的流量源的位置上。
标准 ACL - 由于标准 ACL 不指定目的地址,所以其位置应该尽可能靠近目的地。
ACL 的放置位置以及所使用的 ACL 类型也可能取决于:网络管理员的控制范围(源网络和目的网络)、所涉及网络的带宽(在源上过滤不需要的流量,可以在流量消耗通往目的地的路径上的带宽之前阻止流量传输。这对于带宽较低的网络尤为重要。)以及配置的简易程度(见区别)。
6、使用 ACL 处理数据包的路由过程和 ACL
1、当帧进入接口时,路由器查看其第 2 层目标地址是否与其第 2 层接口地址匹配,或该帧是否是广播帧。
2、如果可以接受该帧地址,那么路由器将解封帧信息,并检查入站接口上的 ACL。
3、如果存在 ACL,则按照列表中的语句测试该数据包。
4、如果数据包与某条语句匹配,则根据结果允许或拒绝该数据包。
5、如果数据包被接受,将检查路由表条目来确定目标接口。
6、如果目标存在路由表条目,数据包将被转发到送出接口,否则数据包将被丢弃。
7、接下来,路由器检查送出接口是否具有 ACL。如果存在 ACL,则按照列表中的语句测试该数据包。如果数据包与某条语句匹配,则根据结果允许或拒绝该数据包。
8、如果没有 ACL 或数据包被允许,则将数据包封装在新的第 2 层协议中,并从相应接口转发到下一台设备。
7、反掩码:
反掩码(通配符掩码):子网掩码反过来
通配符掩码位0:匹配地址中对应的值(一样)
通配符掩码位1:忽略地址中对应的值(可以不一样)
192.168.10.10 0.0.0.0匹配所有地址位
使用以关键字host开头的IP地址
(host 192.168.10.10)来缩写该反掩码
0.0.0.0 255. 255255 255忽略所有地址位
可使用关键字any来缩写表达式。
8、acl的分类:
acl分为标准acl和扩展acl
9、标准acl和扩展acl的区别:
1.标准acl识别的是3层的数据报文,扩展acl识别的是3层和4层的数据报文
2.标准acl只能识别数据包的源ip地址,扩展acl既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等.
3.标准acl要尽可能的放在靠近目标的位置上,扩展acl要尽可能的放在靠近源的位置上
4.标准acl的端口为1-99 or 1300-1999,扩展acl的端口为100-199 or 2000-2699
5.扩展acl比标准acl更节约带宽资源
6.配置方式不同
7、配置的难易程度不同:如果网络管理员希望拒绝来自几个网络的流量,一种选择就是 在靠近目的地的路由器上使用单个标准ACL。缺点是来自这些网络的流量将产生不必要的带宽使用。扩展ACL可以在每台发出流量的路由器上使用。这将通过在源上过滤流量而节省带宽,但需要在多台路由器上创建扩展ACL。
注:扩展 ACL:将扩展ACL放置在尽可能靠近源的位置上。这样,不需要的流量会在靠近源网络的位置遭到拒绝,而无需通过网络基础架构。
标准ACL:因为标准ACL不会指定目的地址,所以其位置应该尽可能靠近目的地。在流量源附近放置标准ACL可以有效阻止流量通过应用了ACL的接口到达任何其他网络。
=======================================================================
1、 dhcp引入
当出现固定的设备时,我们手动配置ip地址,但如果设备的物理位置和逻辑位置发生改变的时候,为了减少工作人员的工作量,使用dhcp,一般通常在小型网络中手动配置,不灵活,所以为了方便,引入dhcp
注:设备间的通信:
每台设备都需要有ip地址,网络层,二层的逻辑地址 实际上通信是用MAC地址,在数据链路层
有了MAC地址还要使用ip地址的原因:
MAC地址:48位2进制数 16进制的12位数表示
MAC地址间无任何联系,通信十分麻烦,引入ip地址
ipv4:单播,组播,广播
ipv6:单播,组播,任播
ip地址开始使用abcde5类地址
d类地址:组播地址
(保留)e类地址:不分网络地址/主机地址,它第一个字节取值范围为240-254 也就是240.0.0.1-255.255.255.254
特性的ip地址,全0网段,当前主机
全1的ip地址:广播地址
2、 dhcp的概念:
dhcp:动态主机配置协议
架构:c/s 客户端/服务器 服务器给客户端分配ipv4地址,网关,dhcp地址等
由于计算机和用户经常更改其物理位置和逻辑位置,对于管理员来说,每次移动时,分配新的ip地址既麻烦又耗时
c/s 客户端/服务器
客户端是需要获得ip地址的一端,可以是PC,服务器,打印机,交换机和路由器的接口
服务器是向外分配ip地址的设备,可分配地址池,租期,dhs服务器的ip地址,访问Internet,网关,ip域
3、dhcpv4的概念:
1、动态分配 IPv4 地址和其他网络配置信息(子网掩码,网关)ip域
2、适用于网络管理员的有用且省时的工具
3、动态分配或租用地址池中的 IPv4 地址
4、思科路由器可配置为提供 DHCPv4 服务。
5、管理员配置 DHCPv4 服务器,使租约到期。然后,客户端必须申请另一地址,但通常是把同一地址重新分配给客户端。(无需更新ARP表象)
默认租期:1天 租期过期:回收ip地址
6、dhcp服务器:我可以为您提供IP地址和其他信息。可以接收消息,提供ip地址
7、dhcp客户端:我需要DHCP服务器的服务来获取IP寻址和其他信息。 需要ip地址,问dhcp服务器
4、dhcpv4的工作过程:
前提:同一网段/广播域有一台设备是dhcp服务器,在同一广播域中才能接收到客户端发送的广播报文
第一次客户端广播的原因:无自己的ip地址,不知道网络中谁是dhcp服务器,无ip地址,需要在客户端上开启动态获取ip地址的功能
第一次服务器单播的原因:客户端发送的discover发现报文中源MAC地址是自己的
第二次客户端广播的原因:告诉其他设备我要用该ip地址
第二次服务器单播的原因:单独给相应的pc机
discover发现报文:问服务器,我想请求一个地址
offer回复(提供/服务)报文:告诉请求的PC我可以给你提供一个ip地址,此时接收到discover报文,回复offer报文
request请求报文:我要向给我offer报文的服务器请求那个你可以给我的那个ip地址
ack应答(确认)报文:你的请求已确认
ack报文作用:防止ip地址冲突的机制,此ARP报文为免费ARP报文,检测自己获得的ip地址,有无被别人使用
1.无回复,成功,无人用
2.有回复,有人用
服务器检测该ip地址是否可以用,有无分配给其他设备,若有,拒绝该请求,若无,确认请求
客户端接收到确认报文后,检测ip地址是否可用,向外发送ARP报文
1.若在规定时间内,无回应的话,则成功
2.有回复,说明有其他设备使用该ip地址,若在使用,则发生冲突
5、dhcpv4续约:
客户端单播(租约50%时),服务器单播回应(确认)
客户端单播原因:之前已经获得过ip地址,知道服务器的ip地址(位置),知道给谁发resqurest报文
服务器单播原因:同一客户端,同一地址
租期(默认一天(24h)):可进行更改
当租期达到87.5%时广播报文(从头开始)
C/S:是应用层的协议(dhcp):基于传输层udp实现
客户端发送dhcp报文,源端口号:68(c),目的端口号:67(s)
telent和ssh基于TCP实现
6、dhcpv4消息格式中的重点内容:
1、操作代码(code):指定通用消息类型(表示dhcp报文是什么样的报文) 1表示请求消息,2表示回复消息
2、硬件类型:确定网络中的使用的硬件类型(数据链路层运行那种协议),1表示以太网,15表示帧中继,20表示串行线路
3、硬件地址长度:指定地址的长度
4、跳数:控制消息的转发。客户端传输请求前将其设置为0
5、客户端的ip地址:c的ip地址,在发送请求消息时用0填充,一开始无,设置为0
6、您的ip地址:服务器回复客户端的ip地址消息
7、服务器的ip地址:客户端不知道服务器,广播发送discover报文(此时服务器的ip地址为255.255.255.255,因为他不知道谁是dhcp服务器)
在续约的时候,单播发送的就是服务器的ip地址
8、网关ip地址:服务器回复客户端的网关消息(dhcpv4中继代理时传输dhcpv4消息,网关地址可以帮助不同子网or网络的c和s之间传输dhcpv4请求和回复)
9、客户端硬件类型:指定客户端的物理层(discover中有)
9、dhcpv6动态分配ipv6全局单播地址的方法(3种)
主机使用无状态地址自动配置(SLAAC)(两个标志位都为0,默认的一种方式)(ipv6邻居发现协议实现的)实现即插即用性 无dhcpv6服务器
SLAAC和无状态dhcpv6(无状态dhcpv6):SLAAC +DHCPv6 (O的标志位为1),ipv6地址从slaac获得的,但是其他的比如dns服务器地址是从DHCPV6服务器获得的。
有状态dhcpv6:只有DHCPV6服务器(M标志位为1),客户端所有的信息都是来源于DHCPv6服务器。
10、SLAAC
SLAAC 使用 ICMPv6 路由器请求消息和路由器通告消息提供通常本由 DHCP 服务器提供的寻址和其他配置信息。
ipv6由3部分组成,源,目的,前缀
ipv6地址由3部分组成,接口标识符,前缀,前缀长度
路由器请求(rs):将RS信息发送至IPv6所有路由器组播地址FF02:2(源地址:是自己的链路本地地址)
路由器通告(ra):RA消息包括本地网段的前缀和前缀长度,路由器定期发送RA消息或响应RS消息。默认情况下,思科路由器每路200秒发送一次RA消息。
始经将RA消息发送到Pv6全节点组播地址FF02::1(源地址都是自己的链路本地地址)
pc获得前缀和前缀长度后,在根据自己的MAC地址or随机生成的接口标识符就会生成一个全新的ipv6地址,且ipv6地址与三层设备的接口在统一网段中
dhcpv6工作过程:
1、rs:ipv6所有路由器组播
2、Ra:ipv6所有结点组播,前缀,前缀长度以及自己生成的接口标识符和ipv6地址
PC1收到包含本地网络前缀和前缀长度的RA信息。PC1会使用此信息创建自己的ipv6全局单播地址,PC1现在还有一个64位网络前级,但是还需要一个64位接口ID(IID)来创建全局单播地址
PCI可以使用两种方式创建自己的唯ID。
EUI-64:PCI将使用EUI-64进程通过其48位MAC地址创建个IID.
随机生成:该64位ID可以是客户端操作系统随机生成的数值。
PCL可以将64位前缀与64位ID相结合创建个128位IPv6全局单播地址,PCl会将路由器的本地链路地址用作其IPY6默认网关地址。
3、ipv6全局单播:SLAAC,不知是否发送地址冲突,进行检测,有了自己的ipv6地址后进行重复地址检测(邻居不可达协议功能之一)
4、ipv6请求结点单播:发送NS报文检测是否可用,若一定时间内未收到NA报文,则无人用,邻居不可达
由于SLAAC是无状态的过程,PCI必须先验证比新创建的IPv6地址是唯一的,然后才能使用。PC1 使用一个特殊构造的多播地址发送ICMPv6邻居请求(NS )消息,此地址称为请求节点组播地址,它复制PC1的IPv6地址的最后24位。如果没有其他设备回应邻居通告(NA) 消息,则实际上确保该地址是唯一的,可被PC1使用如果PC1接收到邻居通告,那么该地址就不是唯一的, 而且操作系统必须确定可用的新接口ID
此过程是ICMPv6邻居发现的一部分,称为重复地址检测(DAD)。由RFC 4443指定的ICMPv6使用ICMPv6实现。
注:接口标识符的算法:
1、MAC地址
2、二进制制表示
3.、在中间插入FFFE
4.、将第7位若为0则改为1 转化为16位进制表示(4位一转)
路由发现协议包括:地址解析,邻居不可达检测,地址重复检测,无状态地址自动配置(SLAAC),路由器重定向
12、SLAAC和DHCPV6
是否要配置客户端以使用SLAAC DHCP6 或两者的组合来自动获取其IPV6地址信息取决于RA出消息中的设置。
这两个标记是管理地址配置标记(M标记)和其他配置标记(0标记) (RA中的标志位M/N)、
13、SLAAC(只有路由器通告,SLAAC,无dhcp服务器)
此选项指示客户端仅使用RA消息中的信息。包括前缀、前缀长度、DNS 服务器、MTU和默认网关信息。DHCPv6服务器没有更多可用信息。使用EUI-64或随机生成的值并组合来自RA的前级和接口ID创建IPy6全局单播地址。(检验)
需要将M标记和0标记重置为其初始值0。使用no ipv6 nd managed-config-flag 和ipv6 nd other-config-flag接口配置模式命令完成以上操作。(可不进行配置)
14、无状态DHCPv6
我要使用RA报文里面的网络层的信息(前缀和前缀长度),但dns服务器地址是从DHCPV6服务器获得的。
无状态DHCPv6选项通知客户端使用RA消息中的信息来编址,但是从无状态DHCPv6服务器提供额外配置参数。
客户瑞使用RA 消息中的前缀和前级长度,以及EUI-64或随机生成的ID创建其IPv6全同单播地址。
无状态DHCPv6获取为提供的其他信息。
无状态DHCPv6服务器只提供客户端的配置参数,不提供IPv6地址的配置参数。
对于无状态DHCPv6,将0标记设置为1,而M标记保留默认设置0。O标记的1值用于通知客户端无状本DHCPV6服务器提供其他配置信息。
请使用ipv6 nd oher-config-flag进行配置
15、有状态DHCPv6:
此选项与 DHCPv4 最为类似。在此情况下,RA 消息通知客户端不使用 RA 消息中的信息。所有寻址信息和配置信息必须从有状态 DHCPv6 服务器获取。Router(config-if)# ipv6
nd managed-config-flag
16、有状态DHCPv6工作过程:
1.路由器请求(RS)
2.路由器通告(RA)(M=1)
3.DISCOVER报文,发现报文,请求所有的dhcp服务器(征集)
4.通告单播
5.请求or信息,请求单播
6.应答单播
注:若RA信息中指示了无状态/有状态dhcpv6,那么该设备将开始dhcpv6客户端/服务器通信
过程:征集(组播),以下过程都是单播(通告,requret,应答)
无状态或有状态DHCPv6或两者的组合均以来自路由器的ICMPv6 RA消息开头。RA消息可能是定期消息,也可能是使用RS消息的设备请求的消息。
当RA指示无状态DHCPv6或有状态DHCPv6时,将调用DHCPv6操作。通过UDP发送dhcpv6消息。从服务器到客户端的DHCPv6消息使用UDP目标端口546。客户端使用UDP目标端口547将DHCPv6消息发送到服务器
征集:FF02::1:2。 此组播地址有本地链路范围,这意味着路由器不会将消息转发到其他网络
通告:通告DHCPv6客户端该服务器可用于DHCPv6服务
requret请求:客户端根据是否正在使用有状态或无状态DHCPv6使用DHCPv6 REQUEST 消息orINFORMATION-REQUEST单播消息回应服务器
无状态 DHCPv6客户端:客户端只请求配置参数(如DNS服务器地址)的DHCPv6服务器。客户端使用来自RA消息的前级和自动生成的接口ID生成自己的IPv6地址。
有状态DHCEx6客户端:客户端将DHCPv6 REQUEST消息发送到服务器以获取服务器的IPv6地址和所有其他配置参数。
应答:服务器将DHCr6 REPLY单播消息发送到包含DHCPv6 REOUEST 消息或 DHCPV6 INFORMTION REQUEST消息所请求信息的客户端。
=====================================================================
1、 nat引入
IPv4地址一共32位
产生背景:IPv4地址不够用
IPv4地址一开始分为A,B,C三类地址--浪费IP地址
子网划分 (网络规模变大后,A,B,C不够用)
变长子网掩码VLSM和超网CIDR,NAT
但都没有从根本上解决问题--IPv6创建时:就有(私网/公网的划分)
沙漠中的每一粒沙子都有IP地址(ipv6)
nat网络地址转换:从IPv4中拿出3个网段作为私有IP地址
NAT的私有IP地址
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
IPv4地址转换:获得的IP地址为私有ip地址
只要上网就需要NAT技术
2、 NAT的定义与作用:
NAT是转换网络IPv4的过程 节约公有IP地址 在边缘路由上配置,以进行转换(企业内网,internet)NAT有很多作用,但其主要作用是节省了公有IPv4地址。它通过允许网络在内部使用私有IPv4地址,而只在需要时提供到公有地址的转换,从而实现这一作用。NAT还能在一定程度上增加网络的私密性和安全性。配置一个或多个有效的公有ipv4地址。这些公有地址称为NAT地址池(不是想用就能用的)私网:私有地址的组网公网:公有地址的组网在私网中可以使用公网(私用)NAT设备:作NAT配置的设备一般是路由器和防护墙一般是连接INTERNET的设备做NAT内网私有地址--公有地址后,才能访问外网
3、 NAT的四类地址
内部本地地址 (私网中的私有ip地址)
内部全局地址(私网中的公有ip地址)
外部本地地址(公网上的公有ip地址)
外部全局地址(公网上的公有ip地址)
内部地址:经过NAT转换的设备的地址(私网地址(内网设备的ip地址))
外部地址:目标设备的地址(公网地址(外网设备的ip地址))
本地地址:内网中出现的报文的地址(公网换私网)
全局地址:外网中出现的报文的地址
4、 nat的4种类型:
1、静态地址转换(静态NAT):本地地址(私有地址)和全局地址(公有地址)之间的一对一地址映射。由网络管理员进行配置,并保持不变。
静态NAT(没有解决地址不足的问题)使用本地地址和全局地址的一对一地址映射。这些映射由管理员进行配置,并保持不变。只有一个ip地址用端口号进行区分
2、动态地址转换(动态NAT):本地地址和全局地址之间的多对多地址映射。
动态NAT使用公有地址池,并以先到先得的原则分配这些地址(内部全局地址池)。
为了满足所有同时发生的用户会话需要,动态NAT要求有足够的公有地址可用。
可用端口号:0-65535但是0-1023知名端口号不能用例如ssh:22telnet:23。
使用动态 NAT 时,单个内部地址将转换为单个外部地址。
该池必须足够大,以容纳所有内部设备。
如果池中没有可用的地址,那么设备将无法与任何外部网络通信。
3、端口地址转换(PAT):本地地址和全局地址之间的多对一地址映射。此方法也称为(NAT过载)
端口地址转换(PAT):2种方式,其中1种方式也需要地址池 网络层+传输层(ip地址+端口号)另一种方式是ISP分配一个地址给路由器,但是多名家庭成员可以同时访问internet。这是NAT的最常用方式。PAT可以使用不同的TCP端口号PAT过程还验证传入数据包是请求数据包,因此在一定程度上提高了会话的安全性。使用端口号将响应数据包转发至正确的内部设配。
4、端口转发
端口转发是将网络端口从一个网络节点转发至另一个网络节点的行为。
可以将发往公有 IP 地址和路由器端口的数据包转发至私有 IP 地址和内部网络的端口。
在服务器拥有无法通过外部网络获得的私有地址的情况下,端口转发十分有用。
6、NAT的优势
保护合法注册的公有寻址方案
NAT增强了与公有网络连接的灵活性
NAT为内部网络编址方案提供了一致性(外网网络也一样)
NAT隐藏用户ipv4地址(提供网络安全)
7、NAT 的缺点(NAT与acl相配合)
性能下降(替换来,替换去)
端到端功能降低
端到端 IP 可追溯性会丧失(NAT表象时效短)
隧道会变得更加复杂
源 TCP 连接会中断(PC连接,三次握手,老化时间)
#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=
本文来自博客园,作者:凡是过去,皆为序曲,转载请注明原文链接:https://www.cnblogs.com/longhai3/p/15887768.html
如有疑问,欢迎提问
#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=
