CL-网络工程师

计算机网络笔记

死锁问题

2.4GHZ频段在我们国家三13个信道，最常用的是1，6，11

✨IEEE 802.1Q是虚拟局域网协议【即VLAN协议】

死锁时每个进程所需要的资源数i

(i-1)*进程数>资源总数，已知进程数和资源总数

补码的取值范围：-2^(n-1)~~~~2^(n-1)-1

wlan接入安全控制中，采取的安全措施有：

• 更改默认设置

• 更新AP的Firmware

• 屏蔽SSID广播【对SSID进行访问控制】

• 加密和认证【WPA2安全认证等】

• MAC地址过滤

 

冲突域和广播域：

第一层设备（中继器、集线器）不能划分冲突域和广播域。【所有端口都在同一个冲突域内】

第二层设备（网桥、第二层交换机）能划分冲突域，不能划分广播域。【每个端口都是一个冲突域】

第三层设备（路由器）既能划分冲突域，又能划分广播域。【每个端口既是冲突域又是广播域】

 

ipv4:4个8b的地址

ipv6:8个16b的地址

不同类型设备之间使用直连线

相同类型设备之间使用交叉线

路由器有路由表

交换机有MAC地址表

主机有ARP表

 

其他：

• 路由表的路径选择先看优先级后看开销

案例1

交换机与交换机之间通过帧通信，帧包括帧头、帧尾以及中间的数据

帧头包括源MAC,目的MAC

帧尾包括FSC块【帧校验序列】，复制检验完整性

交换机A给交换机B传数据，交换机属于数据链路层，它会将网络层传送下来的数据封装成帧，帧头加帧尾

物理层不进行封装！！！

交换机B收到帧后，查看帧头的目的MAC是否是自身，若是，则查看FSC，确保完整性；若完整则拆开帧头和帧尾，获取其中的内容继续向上传递。若目的MAC不是自身则丢弃。

案例2

浙江需要向江苏传送数据

常见的动态路由协议有：BGP协议、RIP协议、OSPF协议、ISIS协议、EIGRP协议等。动态路由协议最大的优势是：可以实时感知网络拓扑的变化，并对路由表做出相应的调整；网络扩展性好，适合大中型网络；

首先需要OSPF+BGP，OSPF实现江苏将它的路由表中检索部分区域发送给浙江。浙江通过部分的路由表进行数据传递

案例3-ARP缓存表不存在目标主机

主机A-交换机-主机B，主机A的ARP表中没有主机B的IP和MAC的对应关系

• 主机A发送ARP包，包括【源IP(主机A)，源MAC，目的IP(主机B)，目标MAC地址为广播帧(即FF-FF-FF-FF-FF-FF)】

• 交换机若收到的是广播帧，则除了传入的接口之外，将这个帧进行广播

• 主机B收到目的IP是自己的广播帧后，将帧中源IP地址和源MAC地址记录在自己的ARP表中

• 之后主机B将会响应一个ARP包，包括【源IP(主机B)，源MAC地址(主机B)，目的IP(主机A)，目的MAC地址(主机A)】

• 主机A收到这个数据帧后，记录下主机B的MAC地址

 

案例4-ARP缓存表存在目标主机

1. 主机A-交换机-主机B【交换机的MAC表为空】

   • 主机A发送数据帧给交换机

   • 交换机查看数据帧的源MAC地址和接口，由于MAC表中不存在，则记录下MAC地址和接口

   • 除了传入交换机的这个接口之外，将这个数据帧进行广播

   • 主机B将会响应，也发给交换机一个数据帧

   • 交换机查看数据帧的源MAC地址和接口，由于MAC表中不存在，则记录下MAC地址和接口

   • 查看目的MAC地址和接口，由于MAC表中存在，则进行发送

2. 主机A-交换机-主机B【交换机的MAC表满足要求，已经完善的MAC表】

   • 主机A发送数据帧给交换机

   • 交换机查看数据帧的源MAC地址和接口，由于MAC表中存在，下一步

   • 查看目的MAC和接口，由于MAC表中存在，则进行发送

    

案例5

主机A-交换机-路由器-主机B，主机a要和主机b通信，已知ip地址

知识点：广播帧指的是arp包中的目的mac地址是全f，也叫广播mac地址。可以直接用广播帧代替

主机a获得主机b的mac地址

• 若主机a的arp缓存中没有对应的主机b的mac，则发送arp包(源ip,源mac，目的ip,广播mac地址)进行局域网内广播

1. 交换机收到这个具有广播mac地址的arp包，发现目的ip不是自己且mac表中不存在源mac地址，则在自己的mac表记录下源mac和对应的接口,然后因为是广播mac地址，所以交换机将此帧除了传入的接口之外，进行广播。

2. 开启了arp代理的路由器收到具有广播mac地址的arp包后，发现目的IP存在自己的路由表中且和源IP不在同一广播域，则路由器会发送arp应答给主机a,应答内容包括主机b的IP，路由器的mac地址(收到广播mac地址的接口的mac),主机a的IP，主机a的mac。

3. 路由器查询路由表后知道前往主机a的下一跳ip;查询arp表后知道下一跳的mac地址，最后将这个arp应答包发送给交换机

4. 交换机收到arp应答包后，发现目的ip不是自己且mac表中不存在源mac(路由器的)，则在自己的mac表记录下源mac(路由器的)和对应的接口,然后由于不是广播mac地址,在mac表中查询目的mac和接口

5. 最后交换机将arp应答包发送给主机a

6. 主机a收到arp包之后，将源ip(主机b的)和源mac(路由器的)记录在arp表中

主机a和主机b开始通信

• 若主机a的arp缓存中有对应的主机b的mac

1. 主机a将网络层的分组(源ip,目的 ip，数据部分)封装成帧(源mac,目的mac,分组)开始发送

2. 主机a查询arp表发送数据帧给交换机

3. 交换机收到数据帧后，在mac表中查询目的MAC地址和对应的接口，将帧发送给路由器

4. 路由器收到帧之后，由于目的mac是自己，所以拆开帧查看分组，查看目的IP不是自己，查询路由表发现目的IP是自己的直连路由，将分组封装成帧(源mac为路由器，目的MAC为主机b)，最后发送给主机b

5. 主机b收到帧后拆开，得到分组，获取数据部分

 

VLAN基础🔑https://www.cnblogs.com/LouMengzhao/articles/14451056.html

案例6-相同VLAN

主机A-交换机1-交换机2-主机B通信，其中主机A和主机B属于相同VLAN，若要不同VLAN，需要使用到三层设备，见案例7。

知识点：trunk link的接口会属于任何vlan的广播域，所以它能接受arp包，它用于转发多个不同的vlan的通信。

交换机之间使用交叉线连接trunk link接口(牺牲一个端口作为trunk link)

• 配置了trunk link之后不同交换机之间的相同vlan可以通信

• 同一交换机下的相同vlan在交换机内部进行通信

主机A-交换机1的trunk link-交换机2的trunk link-主机B

 

案例7-不同VLAN

主机A-交换机(VLAN)-路由器-主机B

交换机的trunk link和路由器使用直连线连接

• 数据发送到路由器的trunk link后，会拆开，识别tag，在封装，然后将帧发送给路由器上对应的VLAN接口接收

• 对应的VLAN接口收到帧之后，拆开，查路由表，查arp表，当发现发送给不同vlan的时候，会封装，将tag换成目的tag

🔑pc只支持无tag的帧，所以tag的加和减都在交换机/路由器中，收到PC的帧后打上tag，要发送给pc的帧去掉tag

案例7

路由器A向路由器B通信

优先查找快速路由表【最常用的路由】

然后查找直连路由/端口

最后查找普通路由/默认路由

---

默认网关：默认网关的意思是一台主机如果找不到可用的网关，就把数据包发给默认指定的网关，由这个网关来处理数据包。现在主机使用的网关，一般指的是默认网关。

⭐默认情况下在路由表中直连路由优先级最高，静态路由优先级其次，下来为动态路由，默认路由最低！

默认路由：用于网络出口处/内网。

• 用于网络出口处是为了从一个网段能活着出去另一个网段【家庭网连接互联网，家庭网不知道外部的情况，不知道怎么走，就给他指一个方向】

• 用于内网：【自己想的：比如办公区和服务器区要通信，则在办公区的路由器上配置默认路由，指向一个有安全设备旁挂的核心路由器，然后由核心路由器转发给服务器区！为了更加安全】

• 如果没有默认路由，那么目的地址在路由表中没有匹配表项的包将被丢弃。

• ⭐PC机上配的默认网关就是默认路由【因为PC没有路由功能，才有了默认网关，方便！，有路由功能的设备才需要配置默认路由，不存在默认网关的概念】

VPN：实际上就是将帧前又套了2个地址（源MAC地址、目的MAC地址）以及帧尾的FSC。并且数据进行加密处理。【这样就使得黑客无法甄别正确的数据】【VPN建立了一个隧道，达到了专线的效果】

✨IPSEC VPN:通信前先建立一个通道【使用IKE(网络密钥交换协议)】，将密钥传给对方，然后在建立一个通道传送加密数据。只有密钥才能解密【不需要加额外的2个地址和FSC】。隧道模式-对整个IP数据包进行封装和加密；传输模式，对有效IP载荷进行封装和加密【不包括源IP和目的IP】。

IPSEC VPN和SSL VPN的区别:

• IPsec工作在网络层，它直接运行在IP（Internet Protocol，互联网协议）之上。而SSL工作在应用层，是一种应用层协议，它加密的是HTTP流量，而不是直接加密IP数据包。

• IPsec工作在网络层，不能基于应用进行细粒度的访问控制。而SSL VPN在精细化访问控制上更灵活，网络管理员可以将网络资源根据不同的应用类型划分为不同的资源类型，每一类资源的访问权限不同。

• IPSec VPN要求远程用户安装专用的VPN客户端或在站点部署VPN网关设备,而SSL VPN不要求安装专用客户端或接入站点部署网关设备

 

 

网关【下一跳】：逻辑上的网关/物理上的网关设备-》指的都是同一网段内最后一个出口或第一个入口

ARP协议：发送ARP包，在同一网段内，喊人

ARP代理：路由器开启ARP代理，将ARP包发送到不同网段，代为喊人

 

ARP表【主机、三层】：MAC和IP【目的MAC和目的IP】

路由表【路由器、三层】：目的IP、下一跳IP、跃点数【路由开销】等；直连路由自动生成；非直连路由配置静态路由、动态路由、默认路由；🔑跃点数不一定是跳数，还要考虑带宽、延迟等因素。【跃点数越小，网络优先级越高。跃点数的理论赋值范围是 1 ~ 999，但跃点数低于 10 ，可能会导致某些网络访问失败。并且合理的跃点数值也要参考网络带宽。】

MAC表【交换机、二层】：MAC和交换机物理接口【一个接口可以对应多个MAC地址，但1个MAC地址只能对应1个接口】

⭐⭐⭐通过查路由表中的目的IP对应的下一跳IP和出接口【若可达】，然后查ARP表中下一跳IP对应的MAC地址，最后查MAC表确定下一跳需要从哪个物理接口出去

 

• 路由信息表（Routing Information Base），简称为RIB表、路由表

• 转发信息表（Forwarding Information Base）, 简称为FIB表、转发表

• 其中路由表（RIB表）用来决策路由；转发表用来转发分组。

TTL(Time To Live)生存时间:每个操作系统都有不同的TTL值【一般来说，windows是128，linux是64或255，unix是255】，每通过一个路由器”减一“，查看cmd的最终TTL值和起始值的差值，确定通过了几台路由器【TTL越大，说明经过的路由器越少，说明距离越短，则通信速度越快】

ping:TTL值初始化成操作系统的最大值，每经过一个路由器就减1，当TTL为0时，就返回一个ICMP超时报文。【源主机先进行ARP广播，告诉目的主机源MAC地址，之后发起ping，目的主机根据源MAC地址进行响应】

ping xxx.xxx.xxx.xxx -t中的参数-t是一直ping下去

ping -a 10.1.1.1 60.1.1.1中的-a指的是设置源ip地址，默认是从该设备的出口【默认网关(PC)/路由】作为源ip地址

teacert xxx.xxx.xxx.xxx -t没有这个命令

tracert -a 10.1.1.1 60.1.1.1中的-a指的是设置源ip地址，默认是从该设备的出口【默认网关(PC)/路由】作为源ip地址

⭐TRACERT/tracert(跟踪路由，一个基于ICMP实现的测试工具)【根据现有路由表探测出源地址到目的地址的路径，仅1条】：发送ping包，初始化TTL值为1，每经过一个路由器且目标IP不是自身则TTL值减1，当TTL为0时，返回一个ICMP超时报文，收到超时报文后记录第N跳的位置，然后TTL初始值加1，不断循环，其中TTL值最大不超过30。超过就dead。【一般10个节点以内可以完成跟踪的网站，访问速度都是不错的；10到15个节点之内才完成跟踪的网站，访问速度则比较差，如果超过30个节点都没有完成跟踪的网站，则可以认为目标网站是无法访问的】

⭐（发送的ping包，TTL改成1，到了位置后变成0，就发个不可达的消息，你收到这个不可达的消息，就记录一下，然后再发个TTL值为2的消息，然后经过两跳之后，TTL变成0，第二跳会回一个不可达消息，然后你收到了第二跳的不可达消息，就记录第二跳的位置。直到最后一跳，发现目的IP是我发往的IP地址，那么就会发一个回复可达的消息，那就结束了）

⭐⭐⭐地址学习线程：

• 源MAC学习法: 交换机从网络上收到报文后，利用数据包的源MAC地址进行学习，并建立MAC表项。

• 端口移动机制：交换机收到报文后，如果发现报文接收端口与MAC表中对应的端口不一致时，进行端口移动，将Mac地址重新学习到新的端口上。

• 地址老化机制：如果长时间没有收到某Mac表项对应的报文，则删除此表项。等下次报文来时重新进行学习【MAC地址表300s老化】。

⭐⭐⭐报文转发线程：

• 交换机收到报文后，根据报文中的目的Mac查询Mac表。如果找到，则从相应的端口发出；如果没有找到，则向除入端口以外的所有端口发送（即传说中的泛洪）；

• 如果交换机收到的报文目的Mac和源Mac所在端口相同，则丢弃此报文；

• 交换机收到的目的Mac为广播报文时，则向除入端口以外的所有端口转发广播报文。

 

MAC和IP的区别

• MAC是全球唯一的，是物理地址

• IP是会变的，是逻辑地址

• 就像一个地方的招牌是会变的，但是地理位置是不会变的

IP传输三种方式：组播，广播，单播；单播一对一，组播一对多，广播一对所有

⭐组播：按需发送

• 指的是报文从一个源发出，被转发到一组特定的接收者，相同的报文在每条链路上最多有一份。

• 组播可以有效地节约网络带宽、降低网络负载，所以被广泛应用于IPTV、实时数据传送和多媒体会议等网络业务中。

• 组播源将一份报文发送到特定的组播地址，组播地址不同于单播地址，它并不属于特定某个主机，而是属于一组主机。一个组播地址表示一个群组，需要接收组播报文的接收者都加入这个群组

• 广播传输数据源必须与用户在同一个网段，组播可以跨网段传输

IP组播地址范围-IPV4

IP组播地址范围-IPV6

组播MAC地址的范围-IPV4-映射为组播MAC

前24位固定，第25位固定为0，剩下的23位为IPv4地址的后23位

组播MAC地址的范围-IPV6-映射为组播MAC

家用路由器【内外网之间的路由器】的LAN、WAN口通信过程

192.168.X.X属于私网地址，不能直接与公网继续通信。

公网地址是由ISP(互联网服务提供商)分配的

私用地址也称为可重用地址，可在不同LAN中，使用相同的地址

路由器采用DHCP技术，为内网分配IP。

路由器的功能之一就是将私网地址转换成能和其他Internet上的主机通信的公网地址，当然前提是路由器上有公网地址。

WAN口：广域网端口，连接公网

LAN口：内部局域网端口

🔑路由器的LAN口就是这个网络的网关

⭐家用路由器采用NAT技术，至少有1个有效的外部全球地址，实现数据包中地址的转换【WAN到LAN,LAN到WAN】。

内联外：将内网的私有源地址【内网IP】转换成家用路由器上的公网地址【WAN口IP】，目的地址不变；

外联内：将家用路由器的公网目的地址【WAN口IP】转换成内网私有地址【内网IP】，源地址不变。

NAT表：{本地IP地址:端口}到{全球IP地址：端口}的映射【两个字段：WAN端和LAN端】，可以使得多个内网IP映射到同一个公网IP。

路由器上配置端口映射【ip:端口，规定了TCP还是UDP】，即可让外网设备访问内网主机的端口/服务，否则只能内网的设备之间相互提供服务。

⭐NAT的使用场景：

• 无足够的公网IP地址可用时

• 重构网络IP地址部署

• 实现简单的TCP负载均衡。

地址

共有地址

A类：1-126

【127回环地址，测试用】

B类：128-191

C类：192-223

【224组播地址】

私有地址：

A类:10.0.0.0-10.255.255.255【政务网】

B类：172.16.0.0-172.31.255.255

C类：192.168.0.0-192.168.255.255【局域网】

组播地址：

D类=组播地址：

• 224.0.0.0～224.0.0.255为预留的组播地址（永久组地址），地址224.0.0.0保留不做分配，其它地址供路由协议)使用；

• 224.0.1.0～224.0.1.255是公用组播地址，可以用于Internet；

• 224.0.2.0～238.255.255.255为用户可用的组播地址（临时组地址），全网范围内有效；

• 239.0.0.0～239.255.255.255为本地管理组播地址，仅在特定的本地范围内有效。

其中的特殊地址

rip2:224.0.0.9

dhcp:224.0.0.12

所有ospf路由器：224.0.0.5

ospf DR/BDR：224.0.0.6

⭐当自动获取IP无法得到dhcp服务器的回应，会给它自动分配一个在169.254.0.1到169.254.255.254间的地址

保留地址：127段

路由协议

一个自治系统将会分配一个全局的唯一的16位号码，有时我们把这个号码叫做自治系统（ASN）

• 静态路由协议：就自己配呗

• 动态路由协议：RIP,OSPF,ISIS

按管理范围分：

• IGP:内部网关协议（Interior Gateway Protocol），

• EGP：外部网关协议（Exterior Gateway Protocol）

   

⭐⭐⭐OSPF的优先级高于RIP【OSPF优先级值低于RIP，优先级值越低优先级越高】，在同时配置RIP和OSPF的情况，路由选择以OSPF为准

RIP

🔑RIP路由协议宣告时，需要宣告直连的所有网络。

RIP协议(路由信息协议)：使用最广泛的距离向量协议，根据距离选择路由，最短路径问题(太笨了，按跳数来选最短路径)，最大站点【中转站】数为 15，超过15次被认为不可到达。【缺陷：过于简单，以跳数为依据计算度量值，经常得出的路由并非最优路由；度量值以 16 为限，最多只能支持 15 台设备的网络，只适用于小型网络；】

 

RIP路由表会和相邻的路由器相互学习，（默认30秒交换一次路由信息）定期更新路由表/触发更新【将改变的路由表项进行更新】路由表

RIP路由的更新规则如下：

• 如果更新的某路由表项在路由表中没有，则直接在路由表中添加该路由表项；

• 如果路由表中已有相同目的网络的路由表项，且来源端口相同，那么无条件根据最新的路由信息更新其路由表；

• 如果路由表中已有相同目的网络的路由表项，但来源端口不同，则要比较它们的度量值，将度量值较小的一个作为自己的路由表项；

• 如果路由表中已有相同目的网络的路由表项，且度量值相等，保留原来的路由表项。

RIPv1和RIPv2的区别：

RIPv2的更新报文携带子网掩码，支持路由聚合和CIDR（无类域间路由）。

RIPv2更新支持下一跳，最优下一跳地址在广播网。

❤RIPv2支持以组播路由发送更新报文，减少路由器资源消耗。

RIPv2支持对协议报文进行认证，增加了安全性。RIPv2可以在关闭自动汇总的前提下，进行手工汇总。RIPv1没有手工汇总的功能。

RIP的报文有：

request---请求包

response---响应包（更新包）

RIP在收敛完成后依然会每隔30s发送一个response包，称为RIP的周期更新（异步周期更新） 🔑综上所述，RIP两个不同版本的request报文和response更新包是不一样的。

RIP1和RIP2的区别：

区别一：RIP1是一个有类路由协议，即所有的更新包中不含子网掩码，不支持VLSM， 所以就要求网络中所有设备必须使用相同的子网掩码，否则就会出错，而RIP2是一个无类的路由协议，它使用子网掩码。

区别二：第二个不同的地方是RIP1是发送更新包的时候使用的是广播包，而RIP2默认使用的是⭐组播224.0.0.9，也支持广播发送，这样相对于RIP1来说就节省了一部分网络带宽。

区别三：第三个就是RIP2支持明文或者是 MD5验证，要求两台路由器在同步路由表的时候必须进行验证，通过才可以进行路由同步，这样可以加强安全性。

OSPF-开放最短路径优先

特殊名词汇总：

• AS(Autonomous System，AS)：自治系统

• 广播类型(Broadcast)

• NBMA类型(None-Broadcast Multi-access)

• MA(Multi-access):多路访问网络，包含NBMA和broadcast网络类型

• 点到多点P2MP类型（Point-to-Multipoint）

• 点到点P2P类型（Point-to-point）

• DR(Designated Router)

• BDR(Backup Designated Router)

• LSDB(Link State DataBase)

• Hello报文：问候分组。最常用的一种报文，用于发现、维护邻居关系。并在广播和NBMA（None-Broadcast Multi-Access）类型的网络中选举出DR和BDR。

• DD报文（Datebase Describe）：数据库描述分组。两台路由器进行LSDB数据库同步时，用DD报文来描述自己的LSDB。DD报文的内容包括LSDB中每一条LSA的头部（LSA的头部可以唯一标识一条LSA）。LSA头部只占一条LSA的整个数据量的一小部分，所以，这样就可以减少路由器之间的协议报文流量。

• LSA（Link State Advertisement):链路状态通告,是链接状态协议使用的一个分组【有不同的类型，在这里面放置了重要的信息，像链路情况、接口情况、带宽情况等】，用于维护路由表

• LSR(Link State Request)：链路状态请求分组.两台路由器互相交换过DD报文之后，知道对端的路由器有哪些LSA是本地LSDB所缺少的，这时需要发送LSR报文向对方请求缺少的LSA，LSR只包含了所需要的LSA的摘要信息。

• LSU(Link State Update):链路状态更新分组。用来向对端路由器发送所需要的LSA。

• LSACK(Link State Acknowledgements ):链路状态确认分组。用来对接收到的LSU报文进行确认。

• 内部路由器（ Internal Router ，IR ）：所有接口都在同一个 OSPF 区域内的路由器。

• 区域边界路由器（ Area Border Router ，ABR ）：接入多个区域的路由器，并非所有接入多个区域的路由器都是 ABR 。它至少有一个接口在 Area0 中，同时还有其它接口在其它区域中。ABR 负责在区域之间传递路由信息，因此必须连接到 Area0 ，同时连接着其它区域。

• 骨干路由器（ Backbone Router ，BR ）：至少有一个接口接入 Area0 的路由器，那它就是一台骨干路由器，另外 ABR 也是骨干路由器。

• AS 边界路由器（ AS Boundary Router ，ASBR ）：工作在 OSPF 自治系统（ Autonomous System ，AS ）边界的路由器。ASBR 将 OSPF 域外的路由引入到本域，外部路由在整个 OSPF 域内传递。并不是同时运行多种路由协议的路由器就一定是 ASBR ，ASBR 一定是将外部路由重分发到 OSPF ，或者执行了路由重分发操作的路由器。

• 骨干区域(Backbone Area，BA):Area 0

• 常规区域(Normal Area，NA):除了Area 0 之外的所有区域，这些区域必须和骨干区域连接

• 末梢区域(Stub Area，SA):Stub区域

• 非完全末梢区域(Not-So-Stubby Area，NSSA):可以看成是 Stub 区域的扩展

   

OSPF介绍

开放最短路径优先（Open Shortest Path First，OSPF）协议属于链路状态路由协议，使用Dijkstra算法 ，也是内部网关协议（IGP）的一种。

OSPF和RIP的区别：

1. OSPF向本自治系统中的所有路由器发送信息，这里使用的方法是洪泛法。而RIP仅向自己相邻的几个路由器发送信息。【OSPF给所有AS内所有路由器发送信息，RIP给相邻路由器发送信息】

2. 发送的信息是与本路由器相邻的所有路由器的链路状态，但这只是路由器所知道的部分信息。“链路状态”说明本路由器和哪些路由器相邻及该链路的“度量”(或代价)。而在RIP中，发送的信息是本路由器所知道的全部信息，即整个路由表。【OSPF发送相邻路由信息，RIP发送整个路由表】

3. 只有当链路状态发生变化时，路由器才用洪泛法向所有路由器发送此信息，并且更新过程收敛得快，不会出现RIP“坏消息传得慢”的问题。而在RIP中，不管网络拓扑是否发生变化，路由器之间都会定期交换路由表的信息。【在拓扑发生变化后，OSPF及时更新路由/收敛快，RIP更新慢/收敛慢】

4. OSPF是网络层协议，它不使用UDP或TCP，而直接用IP数据报传送(其IP数据报首部的协议字段为89)。而RIP是应用层协议，它在传输层使用UDP。【OSPF网络层协议，使用IP数据报，协议字段89；RIP应用层协议，使用UDP数据报(端口520)传送数据】

DR/BDR选举

DR可以减少广播型网络中的邻接关系的数量。

每一个含有至少两个路由器的广播型网络和NBMA网络都有一个DR和BDR。【P2P和P2MP不会选举DR,BDR】

DR和BDR可以减少邻接关系的数量，从而减少链路状态信息以及路由信息的交换次数，这样可以节省带宽，降低对路由器处理能力的压力。

🔑BDR是对DR的一个备份，在选举DR的同时也选举出BDR，BDR也和本网段内的所有路由器建立邻接关系并交换路由信息。当DR失效后，BDR会立即成为DR。由于不需要重新选举，并且邻接关系已建立，所以这个过程非常短暂，这时还需要再重新选举出一个新的BDR，虽然一样需要较长的时间，但并不会影响路由的计算。

⭐DR和BDR不是人为指定的，而是由本网段中所有的路由器共同选举出来的。路由器接口的DR优先级决定了该接口在选举DR、BDR时所具有的资格。本网段内DR优先级大于0的路由器都可作为“候选人”。选举中使用的“选票”就是Hello报文。每台路由器将自己选出的DR写入Hello报文中，发给网段上的其他路由器。当处于同一网段的两台路由器同时宣布自己是DR时，DR优先级高者胜出。如果优先级相等，则Router ID大者胜出。🔑如果一台路由器的优先级为0，则它不会被选举为DR或BDR。【先比较优先级router priority,若优先级为0则不参与选举。再比较Router ID】

⭐通常建议手动配置Router ID，以防止Router ID因为接口地址的变化而改变。

⭐⭐⭐建议使用Loopback接口的IP地址作为路由器的Router ID。因为Loopback接口稳定，它一直都处于Up状态

Router ID是一个32位的值，它唯一标识了一个自治系统内的路由器，管理员可以为每台运行OSPF的路由器手动配置一个Router ID。如果未手动指定，设备会按照以下规则自动选举Router ID：

1. 如果设备存在多个逻辑接口地址【loopback】，则路由器使用逻辑接口中最大的IP地址作为Router ID；

2. 如果没有配置逻辑接口【loopback】，则路由器使用物理接口的最大IP地址作为Router ID。在为一台运行OSPF的路由器配置新的Router ID后，可以在路由器上通过重置OSPF进程来更新Router ID。

 

 

网络类型

网络类型	举例	含义
广播类型（Broadcast）	以太网	当链路层协议是Ethernet、FDDI时，缺省情况下，OSPF认为网络类型是Broadcast。 在该类型的网络中：1.通常以组播形式发送Hello报文、LSU报文和LSAck报文。其中，224.0.0.5的组播地址为OSPF设备的预留IP组播地址；224.0.0.6的组播地址为OSPF DR/BDR的预留IP组播地址。2. 以单播形式发送DD报文和LSR报文。
NBMA类型（Non-Broadcast Multi-Access）	帧中继、ATM	当链路层协议是帧中继、X.25时，缺省情况下，OSPF认为网络类型是NBMA。 在该类型的网络中，以单播形式发送协议报文（Hello报文、DD报文、LSR报文、LSU报文、LSAck报文）。
点到多点P2MP类型（Point-to-Multipoint）	只使用PVC的不完全连接的帧中继网络	没有一种链路层协议会被缺省的认为是Point-to-Multipoint类型。点到多点必须是由其他的网络类型强制更改的。常用做法是将非全连通的NBMA改为点到多点的网络。 在该类型的网络中：1.以组播形式（224.0.0.5）发送Hello报文。2.以单播形式发送其他协议报文（DD报文、LSR报文、LSU报文、LSAck报文）。
点到点P2P类型（point-to-point）	PPP、HDLC	当链路层协议是PPP、HDLC和LAPB时，缺省情况下，OSPF认为网络类型是P2P。 在该类型的网络中，以组播形式（224.0.0.5）发送协议报文（Hello报文、DD报文、LSR报文、LSU报文、LSAck报文）。

邻居、邻接

邻居不用讲了吧，发送相互发送DD报文,进入了2-way状态，就可以确认自己的邻居。

只有建立了LSDB同步之后，才能算邻接关系。

⭐在广播网络中，【DR、BDR】和网段内的每一台路由器都形成邻接关系，但DR other【非DR、BDR】之间只形成邻居关系。

邻居状态机

在OSPF网络中，为了交换路由信息，邻居设备之间首先要建立邻接关系，邻居（Neighbors）关系和邻接（Adjacencies）关系是两个不同的概念。

• 邻居关系：OSPF设备启动后，会通过OSPF接口向外发送Hello报文，收到Hello报文的OSPF设备会检查报文中所定义的参数，如果双方一致就会形成邻居关系，两端设备互为邻居。【状态达到2-way即建立了邻居关系】

• 邻接关系：形成邻居关系后，如果两端设备成功交换DD报文和LSA，并同步LSDB，才建立邻接关系。【双方的状态都是full才算完全邻接关系的形成】

OSPF共有8种状态机，分别是：Down、Attempt、Init、2-way、Exstart、Exchange、Loading、Full。

• Down：邻居会话的初始阶段，表明没有在邻居失效时间间隔内收到来自邻居路由器的Hello数据包。【hello报文的字段Router Dead Interval规定了失效时间，超过失效时间就进入Down状态。失效时间(Router Dead Interval)一般是发送间隔时间(Hello Interval)的4倍】

• Attempt：该状态仅发生在NBMA网络中，表明对端在邻居失效时间间隔（dead interval）超时前仍然没有回复Hello报文。此时路由器依然每发送轮询Hello报文的时间间隔（poll interval）向对端发送Hello报文。

• Init：收到对方发送过来的Hello报文后状态为Init。【若Hello报文中的邻居列表中没有自己，则告诉它加上,自己发一个hello报文（有自己在的）给对方】。

• 2-way：收到的Hello报文【邻居列表】中包含有自己的Router ID，则状态为2-way；如果不需要形成邻接关系则邻居状态机就停留在此状态，否则进入Exstart状态。

• Exstart：开始协商主从关系(master、slave)【自己和自己的邻居之间确定主从关系，为了决定之后用谁的序列号发送DD报文】，发送第一个DD报文【不携带LSA头部】，并确定DD的序列号【之后都以主路由的序列号为准，开始递增】，此时状态为Exstart。

• Exchange：主从关系协商完毕后开始交换DD报文，序列号为【上一步的主路由序号+1】，开始携带LSA头部，此时状态为Exchange。DD报文交换完成即Exchange done，进入下一状态。

• Loading：开始对缺少的LSA进行请求，发送LSR【自己：我要】、LSU【对方：给你】、LSACK【自己：收到】，此时状态为Loading。

• Full：LSR重传列表为空，即完成了所有的LSA同步/LSDB同步，此时状态为Full。

状态名	描述
Down	本地一旦发出hello包，进入下一状态
Init初始化	本地接收到的hello包中若存在本地的RID[Router ID]，进入下一状态
2way双向通信	邻居关系建立标志
条件匹配	点到点网络直接进入下一状态；MA网络【多路访问网络，包含NBMA和broadcast网络类型】将进行DR/BDR选举（40S），非DR/BDR间不能进入下一状态；
Exstart预启动	使用类似hello 的DBD包【第一个DD报文】进行主从关系选举，RID数值大为主，主优先进入 下一状态
Exchange准交换	使用真正的DBD【DD报文】进行数据库目录的共享，需要ACK；
Loading 加载	使用LSR/LSU/LSack来获取未知的LSA信息；
Full转发	邻接关系建立的标志；

建立邻接关系

在上述邻居状态机的变化中，有两处决定是否建立邻接关系：

• 当与邻居的双向通讯初次建立时。

• 当网段中的DR和BDR发生变化时。

Hello报文

Hello报文用来发现和维持OSPF邻居关系。

OSPF的邻居发现过程是基于Hello报文来实现的，Hello报文中的重要字段解释如下：

Network Mask：发送Hello报文的接口的网络掩码。

Hello Interval：发送Hello报文的时间间隔，单位为秒。

Options：标识发送此报文的OSPF路由器所支持的可选功能。具体的可选功能已超出这里的讨论范围。

Router Priority：发送Hello报文的接口的Router Priority，用于选举DR和BDR。

Router Dead Interval：失效时间。如果在此时间内未收到邻居发来的Hello报文，则认为邻居失效；单位为秒，通常为四倍Hello Interval。

Designated Router：发送Hello报文的路由器所选举出的DR的IP地址。如果设置为0.0.0.0，表示未选举DR路由器。

Backup Designated Router：发送Hello报文的路由器所选举出的BDR的IP地址。如果设置为0.0.0.0，表示未选举BDR。

Neighbor：邻居的Router ID列表，表示本路由器已经从这些邻居收到了合法的Hello报文。

 

如果路由器发现所接收的合法Hello报文的邻居列表中有自己的Router ID，则认为已经和邻居建立了双向连接，表示邻居关系已经建立。

验证一个接收到的Hello报文是否合法包括：

如果接收端口的网络类型是广播型，点到多点或者NBMA，所接收的Hello报文中Network Mask字段必须和接收端口的网络掩码一致，如果接收端口的网络类型为点到点类型或者是虚连接，则不检查Network Mask字段；

所接收的Hello报文中Hello Interval字段必须和接收端口的配置一致；

所接收的Hello报文中Router Dead Interval字段必须和接收端口的配置一致；

所接收的Hello报文中Options字段中的E-bit（表示是否接收外部路由信息）必须和相关区域的配置一致。

DD报文

⭐DD报文有个三位很重要，I,M,MS位。

I 是表示该报文是初始报文，第一个DD报文。

M 表示后面还有DD报文，如果是0，表示没有DD报文了。

MS 置1表示该报文为主，0表示为从。

因为第一个DD报文都各自认为自己是主，所以MS都置1，之后通过选举（比较router-id）之后才确定这个位是0，还是1。【自己和自己的邻居之间确定主从关系(master、slave)，为了决定之后用谁的序列号发送DD报文】

 

路由器使用DD报文来进行主从路由器的选举和数据库摘要信息的交互。

DD报文包含LSA的头部信息，用来描述LSDB的摘要信息。

如图所示，路由器在建立完成邻居关系之后，便开始进行数据库同步，具体过程如下：

1.邻居状态变为ExStart以后，RTA向RTB发送第一个DD报文【不携带LSA头部】，在这个报文中，DD序列号被设置为X（假设），RTA宣告自己为主路由器。

2.RTB也向RTA发送第一个DD报文【不携带LSA头部】，在这个报文中，DD序列号被设置为Y（假设）。RTB也宣告自己为主路由器。由于RTB的Router ID比RTA的大，所以RTB应当为真正的主路由器。

3.RTA发送一个新的DD报文，在这个新的报文中包含LSDB的摘要信息，序列号设置为RTB在步骤2里使用的序列号，因此RTB将邻居状态改变为Exchange。

4.邻居状态变为Exchange以后，RTB发送一个新的DD报文，该报文中包含LSDB的描述信息，DD序列号设为Y+1（上次使用的序列号加1）。

5.即使RTA不需要新的DD报文描述自己的LSDB，但是作为从路由器，RTA需要对主路由器RTB发送的每一个DD报文进行确认。所以，RTA向RTB发送一个内容为空的DD报文，序列号为Y+1。

6.发送完最后一个DD报文之后，RTA将邻居状态改变为Loading；RTB收到最后一个DD报文之后，改变状态为Full（假设RTB的LSDB是最新最全的，不需要向RTA请求更新）。【注意这里RTA是loading,RTB是Full】

LSR、LSU、LSACK

LSR用于向对方请求所需的LSA。

LSU用于向对方发送其所需要的LSA。

LSACK用于向对方发送收到LSA的确认。

1.邻居状态变为Loading之后，RTA开始向RTB发送LSR报文，请求那些在Exchange状态下通过DD报文发现的，而且在本地LSDB中没有的链路状态信息。

2.RTB收到LSR报文之后，向RTA发送LSU报文，在LSU报文中，包含了那些被请求的链路状态的详细信息。RTA收到LSU报文之后，将邻居状态从Loading改变成Full。

3.RTA向RTB发送LSACK报文，用于对已接收LSA的确认。

4.此时，RTA和RTB之间的邻居状态变成Full，表示达到完全邻接状态。

OSPF区域

✨DR的作用范围是一个网段

每个区域都维护一个独立的LSDB。

Area 0是骨干区域，其他区域都必须与此区域相连。

OSPF支持将一组网段组合在一起，这样的一个组合称为一个区域。

划分OSPF区域可以缩小路由器的LSDB规模，减少网络流量。

区域内的详细拓扑信息不向其他区域发送，区域间传递的是抽象的路由信息，而不是详细的描述拓扑结构的链路状态信息。【只有对方发送LSR（链路状态请求分组，其中包含缺失的摘要），才会发送缺失摘要的详细信息】。每个区域都有自己的LSDB，不同区域的LSDB是不同的。路由器会为每一个自己所连接到的区域维护一个单独的LSDB。由于详细链路状态信息不会被发布到区域以外，因此LSDB的规模大大缩小了。

Area 0为骨干区域，为了避免区域间路由环路，非骨干区域之间不允许直接相互发布路由信息。因此，每个区域都必须连接到骨干区域。⭐⭐⭐【非骨干区域之间通信，必须通过骨干区域，避免环路】

运行在区域之间的路由器叫做区域边界路由器ABR（Area Boundary Router），它包含所有相连区域的LSDB。自治系统边界路由器ASBR（Autonomous System Boundary Router）是指和其他AS中的路由器交换路由信息的路由器，这种路由器会向整个AS通告AS外部路由信息。

在规模较小的企业网络中，可以把所有的路由器划分到同一个区域中，同一个OSPF区域中的路由器中的LSDB是完全一致的。OSPF区域号可以手动配置，为了便于将来的网络扩展，推荐将该区域号设置为0，即骨干区域。

骨干区域：area 0。非骨干区域间通信需要经过骨干区域

常规区域：所有ospf区域都是常规区域

末梢区域【Stub Area，SA】:非0常规区域且只有一个网络出口/只有一个ABR(区域边界路由器)。能阻止type-5的LSA进入该区域，减少不必要的泛洪

完全末梢区域【Totally Stub Area，TSA】:只有Type-1 LSA、Type-2 LSA及描述默认路由的Type-3 LSA存在的末梢区域[禁用外部AS信息很区域间的信息，即LSA 5 和LSA 3类信息进入]

非完全末梢区域【Not-So-Stubby Area，NSSA】:禁用非直连的外部AS信息进入，同时会产生LSA 7类信息

• LSA 1：定义路由器与路由器之间的。限定于单个区域

• LSA 2：定义广播网络的。也是限定于单个区域

• LSA 3：定义区域间汇总的

• LSA 4：定义网络中ASBR的

• LSA 5：定义外部AS的

• LSA 7：定义NSSA区域的

OSPF配置

1. OSPF 1

2. 将路由器相同的路由器配置相同的网段

3. 发布路由：network 发布网段 反掩码

ISIS

报文

HELLO（对应OSPF hello）建立和维持邻居关系

LSP （对应OSPF LSU）交换链路状态信息

CSNP（对应OSPF DD）LSDB中所有LSP的摘要信息分L1 CSNP和L2 CSNP， 用于广播确认

PSNP（对应OSPF LSR）数据库同步，某些LSP摘要信息分L1 PSNP和L2 PSNP，用于P2P确认

没有ACK确认报文 与OSPF的区别：

ISIS: network-entity 包括 rarea ID + system ID（等同于routerID 48位） + 00 三部分组成

OSPF:router-ID 32位（从位数也能看出三层和二层的区别）

OSPF和ISIS最大的区别是区域

1. 物理区域：

   ISIS：只属于一个区域，无边界路由器

   OSPF：可属于多个区域，有边界路由器

2. 逻辑区域：

   ISIS：骨干和非骨干区域，通过链路类型判断。L1属于非骨干区域，L2属于骨干区域。有逻辑边界路由器，L12属于逻辑边界路由器。

   OSPF：骨干和非骨干区域，通过area ID判断。area 0为骨干区域。

3. 特殊区域：

   非骨干区域默认 total stub区域 缺少3、4、5类外部路由和其他区域路由信息。如果非骨干区域访问外部网络通过缺省路由访问（有几个逻辑边界路由器就会有几条缺省路由）。

    

BGP-边界网关协议

边界网关协议BGP4是一种动态路由发现协议，它的主要功能是（ 控制路由策略）。BGP路由器之间传送的是AS路径信息，这样就解决了（路由环路 ）问题。BGP4报文封装在（TCP报文 ）。

https://cloud.tencent.com/developer/article/1922673

BGP(Border Gateway Protocol)介绍：BGP是一种基于距离矢量的路由协议，用于实现不同AS之间的路由可达。

不同的AS自身可以采用不同的IGP进行管理，但不同的AS之间进行通信的话就需要用到BGP了。若还是采用IGP那将会不安全。

典型的例子：运营商网络(ISP)和企业网络之间采用BGP进行通信

BGP的优势：不产生路由，只传递路由，并且具备丰富的路由策略。

具体优势如下：

• BGP是基于TCP的路由协议，只要能够建立TCP就能够建立BGP；

• BGP只传递路由信息，不计算路由，不会暴露AS内部的网络拓扑；

• BGP的路由更新是触发更新，不是周期性更新；

BGP协议的基本特点：

1. BGP是一种外部网关协议，其着眼点不在于发现和计算路由，而在于控制路由的传播和选择最佳路由；

2. BGP使用TCP作为其传输层协议（端口号179）,提高了协议的可靠性；

3. BGP是一种距离矢量路由协议，在设计上就避免了环路的发生；

4. BGP提供了丰富的路由策略，能够实现路由的灵活过滤和选择；

5. BGP采用触发式增量更新，而不是周期性的更新；

特殊名称

BGP发言者：运行BGP协议的路由器

BGP对等体：BGP发言者之间可以通信,通过TCP建立BGP会话之后，称之为BGP对等体，可以交换路由表

IBGP：两个BGP对等体在同一AS中

EBGP:两个BGP对等体在不同AS中

BGP对等体的建立

⭐⭐⭐BGP默认使用出接口的IP地址建立对等体。

🔑在建立IBGP时，建议使用loopback口地址建立对等体，因为loopback地址稳定，可以借助内部IGP冗余保证可靠性。

🔑在建立EBGP时，建议使用直连地址建立EBGP对等体。如果使用loopback，需要注意EBGP多跳的问题。

建立对等体的条件：

• 两个路由器指定建立对等体的地址必需可达；

• TCP连接能够建立；

 

建立步骤详情：

TCP三次握手建立完成之后，OPEN报文用来相互协商参数

OPEN报文参数：

• 自身AS号；

• hold time：用于协商后续keepalive报文发送时间；

• BGP identifier：自身router id；

OPEN报文协商完参数之后，发送keepalive报文，收到对方的keepalive报文之后，对等体建立成功。定期发送keepalive报文保持连接。

对等体建立成功之后，通过update报文对路由进行通告。

 

BGP报文类型

报文名称	作用	发送时刻
Open	协商BGP对等体参数，用于建立对等体关系	BGP TCP连接建立成功之后
Update	发送BGP路由更新	对等体关系建立之后有路由需要发送或路由变化时向对等体发送Update报文
Notification	报告错误信息，中止对等体关系	当BGP在运行中发现错误时，发送Notification报文将错误通告给BGP对等体
Keepalive	标志对等体的建立，维持BGP对等体关系	BGP路由器收到对端发送的keepalive报文，将对等体状态置为已建立，同时后续定期发送keepalive报文用于保持连接
Route-refresh	用于在改变路由策略后请求对等体重新发送路由信息。只有支持路由刷新能力的BGP设备会发送和响应此报文	当路由策略发生变化时，触发请求对等体重新通告路由

⭐BGP的报文存在于TCP报文中，所有BGP报文具有相同的头部，在BGP包中区分报文的类型

报文头解释：

Open报文

Update报文

Notification报文

Keepalive报文

Route-refresh报文

BGP无法建立邻居关系的情况

BGP 邻居关系无法建立情况：

1、网络不可达；

2、TCP179端口不可达；

3、通过loopback地址建立邻居，未配置更新源为loopback；

4、AS号与对端指定不符；

5、配置了相同的router-id；

6、EBGP不是通过直连接口建立

BGP状态机

 

peer状态名称	用途
Idle	开始准备TCP的连接并监视远程对等体，启用BGP时，要准备足够的资源
Connect	正在进行TCP连接，等待完成中，认证都是在TCP建立期间完成的。如果TCP连接建立失败则进入Active状态，反复尝试连接
Active	TCP连接没建立成功，反复尝试TCP连接
OpenSent	TCP连接已经建立成功，开始发送Open包，Open包携带参数协商，用于对等体的建立
OpenConfirm	参数、能力特性[是否支持刷新]等协商成功，🚩发送keepalive包，并等待对方的keepalive包
Established	已经🚩收到对方的keepalive包，双方参数、[是否支持刷新]等经协商发现一致后，开始使用update通告路由信息

状态之间的转换

（1）Idle状态是BGP初始状态。

在Idle状态下，BGP拒绝对等体发送的连接请求。只有在收到本设备的Start事件后，BGP才开始尝试和其它BGP对等体进行TCP连接，并转至Connect状态。

🚩Start事件是由一个操作者配置一个BGP过程，或者重置一个已经存在的过程或者路由器软件重置BGP过程引起的。

⭐任何状态中收到Notification报文或TCP拆链通知等Error事件后，BGP都会转至Idle状态。

（2）Connect状态

在Connect状态下，BGP启动连接重传定时器（Connect Retry），等待TCP完成连接。

• 如果TCP连接成功，那么BGP向对等体发送Open报文，并转至OpenSent状态。

• 如果TCP连接失败，那么BGP转至Active状态。

• 如果连接重传定时器超时，BGP仍没有收到BGP对等体的响应，那么BGP继续尝试和其它BGP对等体进行TCP连接，停留在Connect状态。

（3）Active状态

在Active状态下，BGP总是在试图建立TCP连接。

• 如果TCP连接成功，那么BGP向对等体发送Open报文，关闭连接重传定时器，并转至OpenSent状态。

• 如果TCP连接失败，那么BGP停留在Active状态。

• 如果连接重传定时器超时，BGP仍没有收到BGP对等体的响应，那么BGP转至Connect状态。

（4）Opensent状态、openconfirm状态

TCP三次握手建立成功后，发送open报文建立对等体关系，此时的状态为opensent状态，当收到对端回应的open报文，并且参数检查无误，在🚩发送keepalive报文后进入openconfirm状态。

（5）established状态

进入openconfirm状态后，🚩收到对端的keepalive报文后进入established状态。

 

BGP路由发布

方法1：network 网段 反掩码

方法2：import 导入直连路由、静态路由、动态学习路由等

BGP路由通告原则：

BGP路由通告原则

BGP设备会将最优路由加入BGP路由表，形成BGP路由。

BGP设备与对等体建立邻居关系后，采用以下交互原则：

• 从IBGP对等体获得的BGP路由，BGP设备只传递给它的EBGP对等体。

• 从EBGP对等体获得的BGP路由，BGP设备传递给它所有EBGP和IBGP对等体（对等体是IBGP只能传递一跳，对等体是EBGP则不限制）

• 当存在多条到达同一目的地址的有效路由时，BGP设备只将最优路由发布给对等体

• 路由更新时，BGP设备只发送更新的BGP路由

• 所有对等体发送的路由，BGP设备都会接收

• 所有EBGP对等体在传递过程中下一跳改变

• 所有IBGP对等体在传递过程中下一跳不变（需要特别注意）

• 默认EBGP传递时 TTL值为1（需要特别注意）

• 默认IBGP传递时 TTL值为255

 

反掩码：OSPF,ACL,BGP

反掩码的作用

由于OSPF需要发布路由，路由器A发布的路由是网段的形式，并且发布给整个域内，那么就需要用到反掩码，若网段是192.168.2.0，正常的掩码是255.255.255.0，反掩码就变成了0.0.0.255。告诉别的路由器所有网段是192.168.2.0的都走路由器A。

OSPF做配置命令：network 192.168.2.0 0.0.0.255

路由器、交换机、防火墙需要配置ACL，限制网段

配置ACL核心命令:【🚩ACL这个叫通配符掩码！！！,虽然作用和反掩码差不多 】

1. ACL 2000 【2000是表名】

2. rule5 permit/deny source 192.168.1.0 0.0.0.255 【配置一条规则在2000下，路由匹配到这个网段，就执行这个规则（permit/deny）】

   

 

 

CIDR和VLSM的区别

 

⭐VLSM是子网掩码确定的情况下，预留好符合要求的主机的位数，剩下的位做子网划分，最大限度避免地址浪费

⭐CIDR是将多个ip地址和子网掩码，汇聚成一个超网，公共的ip和子网掩码，分配成同一个网段(超网)

• 在使用CIDR聚合地址时，将原来有类IP地址中的网络位划出一部分作为主机位使用。

• 在使用VLSM划分子网时，将原来有类IP地址中的主机位按照需要划出一部分作为网络位使用。

• CIDR：子网掩码往左边移，掩码netmask缩短了，为了变公共掩码，大部分情况下是缩短的。

• VLSM：子网掩码往右边移，掩码netmask增长了，为了划分子网，大部分情况下是增长的。

• CIDR是把几个有类网络合成一个大的网络（超网），用于路由地址聚合。

• VLSM是把一个有类网络分成几个小型网络（子网），用于更高效划分子网。

 

VLAN

✨IEEE 802.1Q是虚拟局域网协议【即VLAN协议】，用来给普通的以太网帧打上VLAN标记

hybrid是trunk和access的结合，是默认的接口类型

trunk中allow-pass是干道上的允许通行

access只能配置将端口划分进vlan,也就是设置tag标签

pvid是将没有tag标签的帧打上设置好的标签，默认pvid=1

pvid是在端口出限制通过的vlan,vlanid=pvid通过，否则丢弃

pvid

用户主机和交换机之间的链路为接入链路，交换机与交换机之间的链路为干道链路。

PVID表示端口在缺省情况下所属的VLAN。

缺省情况下，X7系列交换机每个端口的PVID都是1。

PVID即Port VLAN ID，代表端口的缺省VLAN。交换机从对端设备收到的帧有可能是Untagged的数据帧，但所有以太网帧在交换机中都是以Tagged的形式来被处理和转发的，因此交换机必须给端口收到的Untagged数据帧添加上Tag。为了实现此目的，必须为交换机配置端口的缺省VLAN。当该端口收到Untagged数据帧时，交换机将给它加上该缺省VLAN的VLAN Tag。

access

Access端口是交换机上用来连接用户主机的端口，它只能连接接入链路，并且只能允许唯一的VLAN ID通过本端口。

Access端口收发数据帧的规则如下：

如果该端口收到对端设备发送的帧是untagged（不带VLAN标签），交换机将强制加上该端口的PVID。如果该端口收到对端设备发送的帧是tagged（带VLAN标签），交换机会检查该标签内的VLAN ID。当VLAN ID与该端口的PVID相同时，接收该报文。当VLAN ID与该端口的PVID不同时，丢弃该报文。

Access端口发送数据帧时【Access端口发往PC时】，总是先剥离帧的Tag，然后再发送。Access端口发往对端设备的以太网帧永远是不带标签的帧。

在本示例中，交换机的G0/0/1，G0/0/2，G0/0/3端口分别连接三台主机，都配置为Access端口。主机A把数据帧（未加标签）发送到交换机的G0/0/1端口，再由交换机发往其他目的地。收到数据帧之后，交换机根据端口的PVID给数据帧打上VLAN标签10，然后决定从G0/0/3端口转发数据帧。G0/0/3端口的PVID也是10，与VLAN标签中的VLAN ID相同，交换机移除标签，把数据帧发送到主机C。连接主机B的端口的PVID是2，与VLAN10不属于同一个VLAN，因此此端口不会接收到VLAN10的数据帧。

trunk

Trunk端口是交换机上用来和其他交换机连接的端口，它只能连接干道链路。Trunk端口允许多个VLAN的帧（带Tag标记）通过。

Trunk端口收发数据帧的规则如下：

当接收到对端设备发送的不带Tag的数据帧时，会添加该端口的PVID，如果PVID在允许通过的VLAN ID列表中，则接收该报文，否则丢弃该报文。

当接收到对端设备发送的带Tag的数据帧时，检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在接口允许通过的VLAN ID列表中，则接收该报文。否则丢弃该报文。

端口发送数据帧时，当VLAN ID与端口的PVID相同，且是该端口允许通过的VLAN ID时，去掉Tag，发送该报文。

🔑当VLAN ID与端口的PVID不同，且是该端口允许通过的VLAN ID时，🔑保持原有Tag，发送该报文。【这边指的就是trunk的干道上不配置pvid,默认采用1也行，只要两边允许可以通过的vlan即可，allow-pass】

在本示例中，SWA和SWB连接主机的端口为Access端口，PVID如图所示。SWA和SWB互连的端口为Trunk端口，PVID都为1，此Trunk链路允许所有VLAN的流量通过。当SWA转发VLAN1的数据帧时会剥离VLAN标签，然后发送到Trunk链路上。而在转发VLAN20的数据帧时，不剥离VLAN标签直接转发到Trunk链路上。

hybrid

Hybrid端口收发数据帧的规则如下：

当接收到对端设备发送的不带Tag的数据帧时，会添加该端口的PVID，如果PVID在允许通过的VLAN ID列表中，则接收该报文，否则丢弃该报文。

当接收到对端设备发送的带Tag的数据帧时，检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在接口允许通过的VLAN ID列表中，则接收该报文，否则丢弃该报文。

Hybrid端口发送数据帧时，将检查该接口是否允许该VLAN数据帧通过。如果允许通过，则可以通过命令配置发送时是否携带Tag。

🔑配置port hybrid tagged vlan vlan-id命令后，接口发送该vlan-id的数据帧时，不剥离帧中的VLAN Tag，直接发送。该命令一般配置在连接⭐交换机的端口上。

🔑配置port hybrid untagged vlan vlan-id命令后，接口在发送vlan-id的数据帧时，会将帧中的VLAN Tag剥离掉再发送出去。该命令一般配置在连接⭐主机的端口上。

本例介绍了主机A和主机B发送数据给服务器的情况。在SWA和SWB互连的端口上配置了port hybrid tagged vlan 2 3 100命令后，SWA和SWB之间的链路上传输的都是带Tag标签的数据帧。在SWB连接服务器的端口上配置了port hybrid untagged vlan 2 3，主机A和主机B发送的数据会被剥离VLAN标签后转发到服务器。

VLAN划分

基于端口的VLAN划分方法在实际中最为常见。

VLAN的划分包括如下5种方法：

1.⭐⭐⭐基于端口划分：根据交换机的端口编号来划分VLAN。通过为交换机的每个端口配置不同的PVID，来将不同端口划分到VLAN中。初始情况下，X7系列交换机的端口处于VLAN1中。此方法配置简单，但是当主机移动位置时，需要重新配置VLAN。

2.基于MAC地址划分：根据主机网卡的MAC地址划分VLAN。此划分方法需要网络管理员提前配置网络中的主机MAC地址和VLAN ID的映射关系。如果交换机收到不带标签的数据帧，会查找之前配置的MAC地址和VLAN映射表，根据数据帧中携带的MAC地址来添加相应的VLAN标签。在使用此方法配置VLAN时，即使主机移动位置也不需要重新配置VLAN。

3.基于IP子网划分：交换机在收到不带标签的数据帧时，根据报文携带的IP地址给数据帧添加VLAN标签。

4.基于协议划分：根据数据帧的协议类型（或协议族类型）、封装格式来分配VLAN ID。网络管理员需要首先配置协议类型和VLAN ID之间的映射关系。

5.基于策略划分：使用几个条件的组合来分配VLAN标签。这些条件包括IP子网、端口和IP地址等。只有当所有条件都匹配时，交换机才为数据帧添加VLAN标签。另外，针对每一条策略都是需要手工配置的。

VLANIF

单臂路由

将一个物理接口逻辑成多个子接口

FTP原理与配置

⭐21端口控制连接

⭐20端口数据连接

FTP传输文件的过程

使用FTP传输数据时，需要在服务器和客户机之间建立控制连接和数据连接。

使用FTP进行文件传输时，会使用两个TCP连接。第一个连接是FTP客户端和FTP服务器间的控制连接。FTP服务器开启21号端口，等待FTP客户端发送连接请求。FTP客户端随机开启端口，向服务器发送建立连接的请求。控制连接用于在服务器和客户端之间传输控制命令。

第二个连接是FTP客户端和FTP服务器间的数据连接。服务器使用TCP的20号端口与客户端建立数据连接。通常情况下，服务器主动建立或中断数据连接。

FTP传输模式

 

✨传输模式定义了数据在客户端和服务器之间传输时的格式。

FTP传输数据时支持两种传输模式：⭐ASCII模式和二进制模式。

1. ASCII模式用于传输文本。发送端的字符在发送前被转换成ASCII码格式之后进行传输，接收端收到之后再将其转换成字符。

2. 二进制模式常用于发送图片文件和程序文件。发送端在发送这些文件时无需转换格式，即可传输。

 

DHCP原理与配置

✨DHCP服务器能够为大量主机分配IP地址,并能够集中管理。

DHCP报文类型

• 你在哪

• 我在这

• 我想要

• ip还有，给你

• ip没了，不给

• 我不要了

 

⭐dhcp discover报文的 源mac地址：主机mac,源ip：0.0.0.0，目的mac地址：广播mac,目的ip:255.255.255.255

1.DHCP客户端初次接入网络时，会发送DHCP发现报文（DHCP Discover），用于查找和定位DHCP服务器。

2.DHCP服务器在收到DHCP发现报文后，发送DHCP提供报文（DHCP Offer），此报文中包含IP地址等配置信息。

3.在DHCP客户端收到服务器发送的DHCP提供报文后，会发送DHCP请求报文（DHCP Request），另外在DHCP客户端获取IP地址并重启后，同样也会发送DHCP请求报文，用于确认分配的IP地址等配置信息。DHCP客户端获取的IP地址租期快要到期时，也发送DHCP请求报文向服务器申请延长IP地址租期。

4.收到DHCP客户端发送的DHCP请求报文后，DHCP服务器会回复DHCP确认报文（DHCP ACK）。客户端收到DHCP确认报文后，会将获取的IP地址等信息进行配置和使用。

5.如果DHCP服务器收到DHCP-REQUEST报文后，没有找到相应的租约记录，则发送DHCP-NAK报文作为应答，告知DHCP客户端无法分配合适IP地址。

6.DHCP客户端通过发送DHCP释放报文（DHCP Release）来释放IP地址。收到DHCP释放报文后，DHCP服务器可以把该IP地址分配给其他DHCP客户端。

 

DHCP地址池

✨ARG3系列路由器支持两种地址池：全局地址池和接口地址池。

接口地址池：连接到DHCP服务器上指定接口上的终端提供可分配的地址

全局地址池：连接到DHCP服务器上的终端提供可分配的地址

接口地址池为连接到同一网段的主机或终端分配IP地址。可以在服务器的接口下执行dhcp select interface命令，配置DHCP服务器采用接口地址池的DHCP服务器模式为客户端分配IP地址。

全局地址池为所有连接到DHCP服务器的终端分配IP地址。可以在服务器的接口下执行dhcp select global命令，配置DHCP服务器采用全局地址池的DHCP服务器模式为客户端分配IP地址。

🔑接口地址池的优先级比全局地址池高。配置了全局地址池后，如果又在接口上配置接口地址池，客户端将会从接口地址池中获取IP地址。在X7系列交换机上，只能在VLANIF逻辑接口上配置接口地址池。

DHCP工作原理

首先，DHCP客户端发送DHCP发现报文来发现DHCP服务器。DHCP服务器会选取一个未分配的IP地址，向DHCP客户端发送DHCP提供报文。此报文中包含分配给客户端的IP地址和其他配置信息。如果存在多个DHCP服务器，每个DHCP服务器都会响应。

如果有多个DHCP服务器向DHCP客户端发送DHCP提供报文，DHCP客户端将会选择收到的第一个DHCP提供报文，然后发送DHCP请求报文，报文中包含请求的IP地址。收到DHCP请求报文后，提供该IP地址的DHCP服务器会向DHCP客户端发送一个DHCP确认报文，包含提供的IP地址和其他配置信息。

✨DHCP客户端收到DHCP确认报文后，会发送【无偿/免费】ARP报文（Gratuitous ARP），检查网络中是否有其他主机使用分配的IP地址。如果指定时间内没有收到ARP应答，DHCP客户端会使用这个IP地址。如果有主机使用该IP地址，DHCP客户端会向DHCP服务器发送DHCP拒绝报文，通知服务器该IP地址已被占用。然后DHCP客户端会向服务器重新申请一个IP地址。【DHCP客户端去检查ip是否可用，而不是DHCP服务器去检查ip是否正在使用】

✨【可选，在源头避免IP地址冲突的两种方法如下，但是DHCP客户端依然会发送无偿ARP报文】

• 开启DHCP服务器的冲突检测，让DHCP服务器在分配IP地址前检测一下要分配的地址是否已经在网络上使用。这种检测冲突实际就是用ping，能ping通的，说明这个IP已经在用了，再分配它就会冲突；不能ping通，说明这个IP能用，就可以继续分配。这个功能在DHCP服务器的属性中的高级选项卡里设置，可以设置检测的次数(ping的次数)，只要设置次数大于0，即启用此功能。启用后，再次重新获取IP，用ipconfig/renew【通常和release参数结合使用】，马上得到另一个IP，不再冲突，连网正常。

• 还有一种方法，就是把出问题的IP设到DHCP排除地址里，反正有人占了也分不下去，不如排除掉，省得有人再分上，或者还要麻烦服务器去检测。

DHCP租期更新

IP租约期限到达50%时，DHCP客户端会请求更新IP地址租约。

申请到IP地址后，DHCP客户端中会保存三个定时器，分别用来控制租期更新，租期重绑定和租期失效。DHCP服务器为DHCP客户端分配IP地址时会指定三个定时器的值。如果DHCP服务器没有指定定时器的值，DHCP客户端会使用缺省值，缺省租期为1天。默认情况下，还剩下50%的租期时，DHCP客户端开始租约更新过程，DHCP客户端向分配IP地址的服务器发送DHCP请求报文来申请延长IP地址的租期。DHCP服务器向客户端发送DHCP确认报文，给予DHCP客户端一个新的租期。

DHCP重新绑定

DHCP客户端在租约期限到达87.5%时，还没收到服务器响应，会申请重绑定IP。

DHCP客户端发送DHCP请求报文续租时，如果DHCP客户端没有收到DHCP服务器的DHCP应答报文。默认情况下，重绑定定时器在租期剩余12.5%【即租约期限达到87.5%】的时候超时，超时后，DHCP客户端会认为原DHCP服务器不可用，开始重新发送DHCP请求报文。网络上任何一台DHCP服务器都可以应答DHCP确认或DHCP非确认报文。

如果收到DHCP确认报文，DHCP客户端重新进入绑定状态，复位租期更新定时器和重绑定定时器。如果收到DHCP非确认报文，DHCP客户端进入初始化状态。此时，DHCP客户端必须立刻停止使用现有IP地址，重新申请IP地址。

IP地址释放

如果IP租约到期前都没有收到服务器响应，客户端停止使用此IP地址。

如果DHCP客户端不再使用分配的IP地址，也可以主动向DHCP服务器发送DHCP RELEASE报文，释放该IP地址。

租期定时器是地址失效进程中的最后一个定时器，超时时间为IP地址的租期时间。如果DHCP客户端在租期失效定时器超时前没有收到服务器的任何回应，DHCP客户端必须立刻停止使用现有IP地址，发送DHCP Release报文，并进入初始化状态。然后，DHCP客户端重新发送DHCP发现报文，申请IP地址。

 

DNS

linux查看DNS服务器信息【cat /etc/resolv.conf】

• nameserver:定义DNS服务器的IP地址

• domain:定义本地域名

• search:定义域名的搜索列表

• sortlist:对返回到域名进行排序

DNS服务器常见的资源记录类型：

• SOA(起始授权结构)

• A(主机)

• NS(名称服务器)

• CNAME(别名)

• MX(邮件交换器)

 

查询顺序，DNS客户端【主机】先查询本地host文件，再看本地DNS缓存，再去向DNS服务器查询，DNS服务器先看缓存，再去向其他服务器查询

🔑DNS客户端和本地名称服务器是递归，而本地名称服务器和其他名称服务器之间是迭代。

DNS递归名称解析【默认方式，有管家，本地名称服务器即IPV4中的首选DNS服务器和备用DNS服务器】： 在DNS递归名称解析中，当所配置的本地名称服务器解析不了时，后面的查询工作是由本地名称服务器替代DNS客户端进行的（以“本地名称服务器”为中心），只需要本地名称服务器向DNS客户端返回最终的查询结果即可。

DNS迭代名称解析【自己动手】：（或者叫“迭代查询”）的所有查询工作全部是DNS客户端自己进行（以“DNS客户端”自己为中心）。在条件之一满足时就会采用迭代名称解析方式：

• 在查询本地名称服务器时，如果客户端的请求报文中没有申请使用递归查询，即在DNS请求报头部的RD字段没有置1。相当于说“你都没有主动要求我为你进行递归查询，我当然不会为你工作了”。

• 客户端在DNS请求报文中申请使用的是递归查询（也就是RD字段置1了），但在所配置的本地名称服务器上是禁用递归查询（DNS服务器一般默认支持递归查询的），即在应答DNS报文头部的RA字段置0。

VRRP

相关术语：

• 虚拟路由器：由一个Master路由器和多个Backup路由器组成。主机将虚拟路由器当作默认网关。

• VRID：虚拟路由器的标识。有相同VRID的一组路由器构成一个虚拟路由器。

• Master路由器：虚拟路由器中承担报文转发任务的路由器。

• Backup路由器：Master路由器出现故障时，能够代替Master路由器工作的路由器。

• 虚拟IP地址：虚拟路由器的IP地址。一个虚拟路由器可以拥有一个或多个IP地址。

• IP地址拥有者：接口IP地址与虚拟IP地址相同的路由器被称为IP地址拥有者。

• 虚拟MAC地址：一个虚拟路由器拥有一个虚拟MAC地址。虚拟MAC地址的格式为00-00-5E-00-01-{VRID}。通常情况下，虚拟路由器回应ARP请求使用的是虚拟MAC地址，只有虚拟路由器做特殊配置的时候，才回应接口的真实MAC地址。

• 优先级：VRRP根据优先级来确定虚拟路由器中每台路由器的地位。

• 非抢占方式：如果Backup路由器工作在非抢占方式下，则只要Master路由器没有出现故障，Backup路由器即使随后被配置了更高的优先级也不会成为Master路由器。

• 抢占方式：如果Backup路由器工作在抢占方式下，当它收到VRRP报文后，会将自己的优先级与通告报文中的优先级进行比较。如果自己的优先级比当前的Master路由器的优先级高，就会主动抢占成为Master路由器；否则，将保持Backup状态。

   

🔑将多台路由器虚拟成一个虚拟路由器，实现路由器的冗余

VRRP将局域网内的一组路由器划分在一起，形成一个VRRP备份组，它在功能上相当于一台虚拟路由器，使用虚拟路由器号进行标识。以下使用虚拟路由器代替VRRP备份组进行描述。

虚拟路由器有自己的虚拟IP地址和虚拟MAC地址，它的外在表现形式和实际的物理路由器完全一样。局域网内的主机将虚拟路由器的IP地址设置为默认网关，通过虚拟路由器与外部网络进行通信。

虚拟路由器是工作在实际的物理路由器之上的。它由多个实际的路由器组成，包括一个Master路由器和多个Backup路由器。Master路由器正常工作时，局域网内的主机通过Master与外界通信。当Master路由器出现故障时，Backup路由器中的一台设备将成为新的Master路由器，接替转发报文的工作。

VRRP的工作过程为：

1. 虚拟路由器中的路由器根据优先级选举出Master。Master路由器通过发送免费ARP报文，将自己的虚拟MAC地址通知给与它连接的设备或者主机，从而承担报文转发任务；

2. Master路由器周期性发送VRRP报文，以公布其配置信息（优先级等）和工作状况；

3. 如果Master路由器出现故障，虚拟路由器中的Backup路由器将根据优先级重新选举新的Master；

4. 虚拟路由器状态切换时，Master路由器由一台设备切换为另外一台设备，新的Master路由器只是简单地发送一个携带虚拟路由器的MAC地址和虚拟IP地址信息的免费ARP报文，这样就可以更新与它连接的主机或设备中的ARP相关信息。网络中的主机感知不到Master路由器已经切换为另外一台设备。

5. Backup路由器的优先级高于Master路由器时，由Backup路由器的工作方式（抢占方式和非抢占方式）决定是否重新选举Master。

由此可见，为了保证Master路由器和Backup路由器能够协调工作，VRRP需要实现以下功能：

• Master路由器的选举；

• Master路由器状态的通告；

• 同时，为了提高安全性，VRRP还提供了认证功能；

链路聚合

🚩定义：将两台设备之间的多条物理链路聚合成一条逻辑链路

⭐优点：

• 提高链路带宽

• 提供了高可靠性

• 实现负载均衡，实现流量分散，产生拥塞的可能性降到最低

两种链路聚合模式-手工负载分担、LACP

 

手工负载分担模式下所有活动接口都参与数据的转发，分担负载流量。

LACP模式支持链路备份【备份链路不工作，当主坏了，备就替上，坏1个就替换1个，坏两个就换两个】。

✨LACP用的比较少，因为手工负载分担马力全开不香吗，反正逻辑成一条链路。

 

链路聚合包含两种模式：手动负载均衡模式和LACP（Link Aggregation Control Protocol）模式【冗余呗】。

 

手工负载分担模式下，Eth-Trunk的建立、成员接口的加入由手工配置，🔑没有链路聚合控制协议的参与。该模式下所有活动链路都参与数据的转发，⭐平均分担流量，因此称为负载分担模式。

在LACP模式中，链路两端的设备相互发送⭐LACP报文，🔑协商聚合参数。协商完成后，两台设备确定活动接口和非活动接口。在LACP模式中，需要手动创建一个Eth-Trunk口，并添加成员口。LACP协商选举活动接口和非活动接口。LACP模式也叫M:N模式【负载均衡：冗余备份】。⭐M代表活动成员链路，用于在负载均衡模式中转发数据。⭐N代表非活动链路，用于冗余备份。如果一条活动链路发生故障，该链路传输的数据被切换到一条优先级最高的备份链路上，这条备份链路转变为活动状态。

⭐两种链路聚合模式的主要区别是：在LACP模式中，一些链路充当备份链路。在手动负载均衡模式中，所有的成员口都处于转发状态。

链路聚合的要求和前提

❤Eth-Trunk采用逐流负载分担的机制，保证包的顺序，但不能保证带宽利用率。

❤配置Eth-Trunk口和成员口，需要注意以下规则：

1.只能删除不包含任何成员口的Eth-Trunk口。【即：先删除成员接口，再删除eth-trunk口】

2.把接口加入Eth-Trunk口时，二层Eth-Trunk口的成员口必须是二层接口，三层Eth-Trunk口的成员口必须是三层接口。

3.一个Eth-Trunk口最多可以加入8个成员口。

4.加入Eth-Trunk口的接口必须是hybrid接口（默认的接口类型）。

5.一个Eth-Trunk口不能充当其他Eth-Trunk口的成员口。

6.一个以太接口只能加入一个Eth-Trunk口。如果把一个以太接口加入另一个Eth-Trunk口，必须先把该以太接口从当前所属的Eth-Trunk口中删除。

7.一个Eth-Trunk口的成员口的物理类型必须相同。例如，一个快速以太口（FE口）和一个千兆以太口（GE口）不能加入同一个Eth-Trunk。

8.位于不同接口板（LPU）上的以太口可以加入同一个Eth-Trunk口。如果一个对端接口直接和本端Eth-Trunk口的一个成员口相连，该对端接口也必须加入一个Eth-Trunk口。否则两端无法通信。

9.如果成员口的速率不同，速率较低的接口可能会拥塞，报文可能会被丢弃。

10.接口加入Eth-Trunk口后，Eth-Trunk口学习MAC地址，成员口不再学习。

 

LACP下的活动链路选举

✨选举主动端-选举主动端的活动接口，其余的为备份接口-通知对端并设置成和主动端一样的配置-建立完成

 

配置

如果要在路由器上配置三层链路聚合，需要首先创建Eth-Trunk接口，然后在Eth-Trunk逻辑口上执行undo portswitch命令【去除二层功能，剩下三层功能】，把聚合链路从二层转为三层链路。执行undo portswitch命令后，可以为Eth-Trunk逻辑口分配一个IP地址。

ACL

⭐对自身产生的流量不做过滤，进入、出来自身接口的才叫流量，对路过的流量进行过滤

入接口调用的话，是对本地路由器生效

出接口调用的话，是对本地路由器不生效，流量将在数据转发过程中的下一台路由器生效

高级ACL:规则“rule permit ip”用于匹配所有IP报文，并对报文执行允许动作

高级ACL可以基于哪些条件来定义规则？

🔑高级ACL可以基于源/目的IP地址，源/目的端口号，协议类型以及IP流量分类和TCP标记值（SYN|ACK|FIN等）等参数来定义规则。

 

 

ACL的应用-NAT

通过ACL来实现主机A和主机B分别使用不同的公网地址池来进行NAT转换。

本示例中，私网192.168.1.0/24将使用地址池220.110.10.8-220.110.10.15进行地址转换，私网192.168.2.0/24将使用地址池202.115.60.1-202.115.60.30进行地址转换。

NAT

⭐⭐⭐NAT一般部署在连接内网和外网的网关设备上。

静态NAT

🚩内网内的每个私有地址，经过NAT之后，对应公网的固定的一个地址

动态NAT

🚩公有公网地址池中，空闲状态下【没被使用的情况下】，内部的私有地址，经过NAT之后，对应地址池中的一个地址

Easy IP

Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口

Easy IP适用于小规模局域网中的主机访问Internet的场景。小规模局域网通常部署在小型的网吧或者办公室中，这些地方内部主机不多，⭐出接口可以通过拨号方式获取一个🔑临时公网IP地址。Easy IP可以实现内部主机使用这个🔑临时公网IP地址访问Internet。

NAPT=PAT=IP伪装-端口不同，映射地址不同

网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。

NAT Server

⭐通过配置NAT服务器,可以使外网用户访问内网服务器。

NAT在使内网用户访问公网的同时，也屏蔽了公网用户访问私网主机的需求。当一个私网需要向公网用户提供Web和SFTP服务时，私网中的服务器必须随时可供公网用户访问。

NAT服务器可以实现这个需求，但是需要配置服务器私网IP地址和端口号转换为公网IP地址和端口号并发布出去。路由器在收到一个公网主机的请求报文后，根据报文的目的IP地址和端口号查询地址转换表项。路由器根据匹配的地址转换表项，将报文的目的IP地址和端口号转换成私网IP地址和端口号，并转发报文到私网中的服务器。

QOS

避免阻塞，配置QoS优先级,合理分配带宽的技术

QoS（Quality of Service）即服务质量。在有限的带宽资源下，QoS为各种业务分配带宽，为业务提供端到端的服务质量保证。例如，语音、视频和重要的数据应用在网络设备中可以通过配置QoS优先得到服务。

QoS一般针对网络中有突发流量时需要保障重要业务质量的场景。如果业务长时间达不到服务质量要求（例如业务流量长时间超过带宽限制），需要考虑对网络扩容或使用专用设备基于上层应用去控制业务。

应用场景：

• 网络协议和管理协议（如OSPF、Telnet）

  这类业务要求低时延和低丢包率，但对带宽的要求不高。因此可以通过QoS的优先级映射功能，为此类报文标记较高的服务等级，使网络设备优先转发此类报文。

• 实时业务（如视频会议、VoIP）

  视频会议要求高带宽、低时延和低抖动。因此可以通过QoS的流量监管功能，为视频报文提供高带宽；通过QoS的优先级映射功能，适当调高视频报文的优先级。

  VoIP是指通过IP网络进行实时语音通话，它要求网络做到低丢包、低时延和低抖动，否则通话双方可以明显感知质量受损。因此一方面可以调整语音报文的优先级，使其高于视频报文；另一方面通过流量监管功能，为语音报文提供最大带宽，在网络产生拥塞时，可以保证语音报文优先通过。

• 大数据量业务

  （如FTP、数据库备份、文件转储）

  大数据量业务是指存在长时间大量数据传输行为的网络业务，这类业务需要尽可能低的网络丢包率。因此可以为这类报文配置流量整形功能，通过数据缓冲区缓存从接口发送的报文，减少由于突发流量导致拥塞而产生的丢包现象。

• 流媒体

  （如在线音频播放、视频点播）

  由于这些音视频节目都是提前制作好的，观看者的终端通常可以先进行缓存再进行播放，因此降低了对网络时延、丢包和抖动的要求。如果需要降低这类业务的丢包和时延，可以通过QoS的优先级映射功能，适当提高对应报文的优先级。

• 普通业务

  （如HTML网页浏览、邮件）

  这类业务对网络无特殊要求、重要性也不高。管理员可以对其保持默认设置，不需要额外部署QoS功能。

QoS的服务模型

est-Effort服务模型：尽力而为

Best-Effort是最简单的QoS服务模型，用户可以在任何时候，发出任意数量的报文，而且不需要通知网络。提供Best-Effort服务时，网络尽最大的可能来发送报文，但对时延、丢包率等性能不提供任何保证。Best-Effort服务模型适用于对时延、丢包率等性能要求不高的业务，是现在Internet的缺省服务模型，它适用于绝大多数网络应用，如FTP、E-Mail等。

IntServ服务模型：预留资源

IntServ模型是指用户在发送报文前，需要通过信令（Signaling）向网络描述自己的流量参数，申请特定的QoS服务。网络根据流量参数，预留资源以承诺满足该请求。在收到确认信息，确定网络已经为这个应用程序的报文预留了资源后，用户才开始发送报文。用户发送的报文应该控制在流量参数描述的范围内。网络节点需要为每个流维护一个状态，并基于这个状态执行相应的QoS动作，来满足对用户的承诺。

IntServ模型使用了RSVP（Resource Reservation Protocol）协议作为信令，在一条已知路径的网络拓扑上预留带宽、优先级等资源，路径沿途的各网元必须为每个要求服务质量保证的数据流预留想要的资源，通过RSVP信息的预留，各网元可以判断是否有足够的资源可以使用。只有所有的网元都给RSVP提供了足够的资源，“路径”方可建立。

⭐DiffServ服务模型：差分服务【✨华为公司的交换机、路由器、防火墙、WLAN等产品均支持配置基于DiffServ服务模型的QoS业务】

DiffServ模型的基本原理是将网络中的流量分成多个类，每个类享受不同的处理，尤其是网络出现拥塞时不同的类会享受不同级别的处理，从而得到不同的丢包率、时延以及时延抖动。同一类的业务在网络中会被聚合起来统一发送，保证相同的时延、抖动、丢包率等QoS指标。

Diffserv模型中，业务流的分类和汇聚工作在网络边缘由边界节点完成。边界节点可以通过多种条件（比如报文的源地址和目的地址、ToS域中的优先级、协议类型等）灵活地对报文进行分类，对不同的报文设置不同的标记字段，而其他节点只需要简单地识别报文中的这些标记，即可进行资源分配和流量控制。

与Intserv模型相比，DiffServ模型不需要信令。在DiffServ模型中，应用程序发出报文前，不需要预先向网络提出资源申请，而是通过设置报文的QoS参数信息，来告知网络节点它的QoS需求。网络不需要为每个流维护状态，而是根据每个报文流指定的QoS参数信息来提供差分服务，即对报文的服务等级划分，有差别地进行流量控制和转发，提供端到端的QoS保证。DiffServ模型充分考虑了IP网络本身灵活性、可扩展性强的特点，将复杂的服务质量保证通过报文自身携带的信息转换为单跳行为，从而大大减少了信令的工作，是当前网络中的主流服务模型。

 

RAID

磁盘冗余技术【一种存储虚拟化技术】

最初的RAID概念中，I是指Inexpensive（廉价的），后来业界将Inexpensive换成了Independent（独立的）。提出RAID的初衷之一是希望用多块廉价（Inexpensive）的磁盘组成一个磁盘组来替代大型机上昂贵的大容量磁盘，并实现性能的超越，即用RAID代替SLED（Single Large Expensive Disk）

参考博客：https://blog.csdn.net/ensp1/article/details/81318135

什么是RAID？

学习存储一定要了解RAID技术，这是必修的存储基础知识，RAID是支撑应用存储发展的重要技术。

RAID是什么？RAID英文全称Redundant Array of Independent Disk，翻译过来就是“独立磁盘冗余系统”。RAID是一种可提高性能或提供容错功能的磁盘子系统。

SNIA 对 RAID 的定义是 ：一种磁盘阵列，部分物理存储空间用来记录保存在剩余空间上的用户数据的冗余信息。

RAID其实是一种存储虚拟化技术，它将多个单独的物理磁盘驱动器以不同的方式组合形成一个逻辑磁盘驱动器，从而达到提升存储容量、读写性能和数据安全性的目的。

 

 

 

RAID优势特点

(1)高性能

提高性能是RAID问世的最根本的推动因素。RAID的高性能主要受益于数据条带化技术。单个磁盘的 I/O 性能受到接口、带宽等计算机技术的限制，性能往往很有限，容易成为系统性能的瓶颈。通过数据条带化，RAID将数据 I/O 分散到各个成员磁盘上，从而获得比单个磁盘成倍增长的聚合 I/O 性能。

(2)可用性和可靠性

可用性和可靠性是 RAID 的另一个重要特征。从理论上讲，由多个磁盘组成的 RAID 系统在可靠性方面应该比单个磁盘要差，因为数量越多，单点故障概率增大（这里有个隐含假定：单个磁盘故障将导致整个 RAID 不可用）。 RAID 采用镜像和数据校验等数据冗余技术，打破了这个假定。

镜像是最为原始的冗余技术，把某组磁盘驱动器上的数据完全复制到另一组磁盘驱动器上，保证总有数据副本可用。

比起镜像 50% 的冗余开销 ，数据校验要小很多，它利用校验冗余信息对数据进行校验和纠错。

RAID 冗余技术大幅提升数据可用性和可靠性，保证了若干磁盘出错时，不会导致数据的丢失，不影响系统的连续运行。有的RAID产品还可以在断电情况下提供热插拔、在线更换硬盘功能。

(3)大容量

这是RAID 的一个明显优势，它扩大了磁盘系统的容量，由多个磁盘组成的RAID系统可以具有海量存储空间。现在单个磁盘的容量就可以到 1TB 以上，这样 RAID 的存储容量就可以达到 PB 级，大多数的存储需求都可以满足。一般来说， RAID可用容量要小于所有成员磁盘的总容量。不同等级的 RAID 算法需要一定的冗余开销，具体容量开销与采用算法相关。如果已知 RAID 算法和容量，可以计算出 RAID 的可用容量。通常， RAID 容量利用率在 50% ~ 90% 之间。

(4)可管理性

实际上， RAID 是一种虚拟化技术，它对多个物理磁盘驱动器虚拟成一个大容量的逻辑驱动器。对于外部主机系统来说， RAID 是一个单一的、快速可靠的大容量磁盘驱动器。这样，用户就可以在这个虚拟驱动器上来组织和存储应用系统数据。 从用户应用角度看，可使存储系统简单易用，管理也很便利。 由于 RAID 内部完成了大量的存储管理工作，管理员只需要管理单个虚拟驱动器，可以节省大量的管理工作。 RAID 可以动态增减磁盘驱动器，可自动进行数据校验和数据重建，这些都可以 大大简化管理工作。

RAID级别

RAID级别命名方式如，RAID 0、RAID 1/RAID 5、RAID 10等。RAID每一个级别代表一种RAID组合实现方法和技术，级别之间并无高低之分。在实际应用中，应当根据用户的数据应用特点，综合考虑成本、性能、可靠性等多因素来选择合适的 RAID 级别。

RAID术语者David Patterson等三人的论文中，他们意识到到不同类型的系统将不可避免地具有不同的性能和冗余要求，对RAID方式进行了不同级别划分，在性能和数据冗余之间提供了各种妥协。从RAID1 ~ RAID5，这是最原始的五个RAID等级。 1988 年以来又扩展了 RAID0 和 RAID6 。近年来，存储厂商不断推出诸如 RAID7 、 RAID10/01 、 RAID50 、 RAID53 、 RAID100 等 RAID 等级，但这些并无统一的标准。目前业界公认的标准是 RAID0 ~ RAID5 ，除 RAID2 外的四个等级被定为工业标准，而在实际应用领域中使用最多的 RAID 等级是 RAID0 、 RAID1 、 RAID3 、 RAID5 、 RAID6 和 RAID10。镜像将相同的数据复制到多个驱动器上。条带化将每个驱动器的存储空间划分为从扇区（512 字节）到几兆字节的单位。所有磁盘的条带按顺序交错和寻址。

 

 

RAID基本原理

架构上，通过RAID控制器就将多块磁盘组合，在操作系统层我们看到的是一个或多个逻辑磁盘。

技术上，RAID主要采用磁盘镜像技术、条带化技术和奇偶校验技术实现高性能、可靠性、容错能力和扩展性。

镜像（Mirroring），将数据复制到多个磁盘，一方面可以提高可靠性，另一方面可并发从两个或多个副本读取数据来提高读性能。显而易见，镜像的写性能要稍低，确保数据正确地写到多个磁盘需要更多的时间消耗。

数据条带（Data Stripping），将数据分片保存在多个不同的磁盘，多个数据分片共同组成一个完整数据副本，这与镜像的多个副本是不同的，它通常用于性能考虑。数据条带具有更高的并发粒度，当访问数据时，可以同时对位于不同磁盘上数据进行读写操作， 从而获得非常可观的 I/O 性能提升。

数据校验（Data Parity），利用冗余数据进行数据错误检测和修复，冗余数据通常采用海明码、异或操作等算法来计算获得。利用校验功能，可以很大程度上提高磁盘阵列的可靠性和容错能力。不过，数据校验需要从多处读取数据并进行计算和对比，会影响系统性能。

不同等级的 RAID 采用其中一个或多个技术，得到的是不同的容量、I/O性能、可靠性、可用性。在决定选择哪种RAID级别之前，需要深入理解系统需求，根据自身情况进行合理选择，综合评估可靠性、性能和成本来进行折中的选择。

RAID代替不了备份容灾

🔑RAID容错及校验机制实现的是高可用性和可靠性，并不能保证数据的安全。

磁盘阵列可以在部分磁盘（单块或多块，根据实现而论）损坏的情况下，仍能保证系统不中断地连续运行。在重建故障磁盘数据至新磁盘的过程中，系统可以继续正常运行，但是性能方面会有一定程度上的降低。一些磁盘阵列在添加或删除磁盘时必须停机，而有些则支持热交换 （ Hot Swapping ），允许不停机下替换磁盘驱动器。这种高端磁盘阵列主要用于要求高可能性的应用系统，系统不能停机或尽可能少的停机时间。一般来说， RAID 不可作为数据备份的替代方案，它对非磁盘故障等造成的数据丢失无能为力，比如病毒、人为破坏、误操作等情形。此时的数据丢失是相对操作系统、文件系统、卷管理器或者应用系统来说的，对于 RAID 系统来身，数据都是完好的，没有发生丢失。所以，数据备份、灾备等数据保护措施是非常必要的，与 RAID 相辅相成，保护数据在不同层次的安全性，防止发生数据丢失。

SNMP

缺省状态下，SNMP协议代理进程使用162端口向NMS发送告警信息。

网络设备发生故障时，会向网络管理系统发送trap类型的SNMP报文。

简单网络管理协议SNMP（ Simple Network Management Protocol ）可以实现对不同种类和不同厂商的网络设备进行统一管理，大大提升了网络管理的效率。

是一个管理设备的架构，通过软件、代理、虚拟数据库对配置等进行管理

⭐SNMP用来在网络管理系统NMS和被管理设备之间传输管理信息。

⭐SNMP是广泛应用于TCP/IP网络的一种网络管理协议。

⭐SNMP提供了一种通过运行网络管理软件NMS（Network Management System）的网络管理工作站来管理网络设备的方法。

SNMP架构

SNMP包括NMS，Agent和MIB等。

Agent是被管理设备中的一个代理进程。

MIB是一个数据库，它包含了被管理设备所维护的变量。

NMS是运行在网管主机上的网络管理软件。网络管理员通过操作NMS，向被管理设备发出请求，从而可以监控和配置网络设备。

Agent是运行在被管理设备上的代理进程。被管理设备在接收到NMS发出的请求后，由Agent作出响应操作。Agent的主要功能包括：收集设备状态信息、实现NMS对设备的远程操作、向NMS发送告警消息。

管理信息库MIB（Management Information Base）是一个虚拟的数据库，是在被管理设备端维护的设备状态信息集。Agent通过查找MIB来收集设备状态信息。

 

SNMP版本

 

数据解封装过程-别人的

防火墙

工作模式：

①透明网桥模式（可将防火墙当成二层交换机）

②路由模式 （可将防火墙当成三层路由器）

区域：trust,untrust,dmz区

将接口划分进指定区域
firewall zone trust
add interface GigabitEthernet0/0/1
注：接口必须划入区域才可以

 

第一章 计算机网络体系

计算机网络组成

按组成部分分成：硬件、软件、协议

按工作方式分成：边缘部分、核心部分

按功能分成：通信子网【各种传输介质、通信设备、网络协议】、资源子网【实现资源共享的设备及软件的集合】

 

通信子网：物理层、数据链路层、网络层；点到点

传输层：端到端

资源子网：会话层、表示层、应用层；

计算机网络的功能

1. 数据通信

2. 资源共享

3. 分布式处理

4. 提供可靠性

5. 负载均衡

计算机网络的分类

1. 按分布范围分类

   • 广域网：几十千米到几千千米；internet的核心部分；交换技术

   • 城域网：5-50km；以太网技术

   • 局域网：几十米到几千米；广播技术

   • 个人区域网：10m；无线技术

   • 不算：非常近，1m以内,只能叫多处理器系统，而不能叫计算机网络

2. 按传输技术分类

   • 广播式网络：广播形式发送数据；局域网基本上都属于广播式网络，广域网的无线、卫星网络也采用广播式通信技术

   • 点对点网络：采用分组存储转发与路由选择机制；广域网基本都属于点对点网络

3. 按拓扑结构分类【拓扑结构就是指通信子网】

   1. 总线形

   2. 星形

   3. 环形

   4. 网状

4. 按使用者分类

   1. 公用网：交钱就能用的工作网络

   2. ⭐专用网：专用的网，不向单位外的人提供服务

5. 按交换机技术分类【报文交换和分组交换是通过路由选择机制和存储转发进行传输】

   1. 电路交换技术：起点、终点直达！【优点：直达，延迟小；缺点：线路利用率不高，无法保证完整性（差错控制）】

   2. 报文交换技术：全部数据一站一站前往目的地；每一站都要等人齐【优点：可以进行差错控制，利用率高；缺点：资源开销大，慢，缓冲区管理】

   3. ⭐分组交换技术：全部数据进行分组，各组各走各的，一站一站前往目的地，到终点集合【优点：可以进行差错控制，利用率高，快，缓冲区易管理，延时小，更易于标准化】

6. 按传输介质分类

   1. 无线网络：蓝牙、微波、无线电

   2. 有线网络：双绞线、同轴电缆

计算机网络性能指标

• 带宽：最高数据传输速率

• 时延：【发送时延、传播时延、处理时延、排队时延】

• 时延带宽积：传播时延*带宽（信道带宽）

• 往返时延

• 吞吐量

• 速率：数据传输速率/数据率/比特率

• 信道利用率

计算机网络体系结构

定义：计算机网络的各层及其协议的集合

计算机网络分层结构

分层原则：【易于更新、易于理解、易于调试、易于交流、易于抽象、易于标准化】

1. 各实现一种独立的功能，降低复杂度

2. 界面清晰，易于理解，交流尽可能少

3. 功能定义明确，各自选择最合适的方案实现

4. 下层对上层独立；上层单向使用下层提供的服务

5. 促进标准化的工作

特殊名词：

实体：任何可发送或接受信息的硬件或软件进程，通常是一个特定的软件模块

第n层实体：第n层的活动元素

对等层：不同机器上的同一层

对等实体：同一层的实体

PDU=PCI+SDU

协议数据单元(PDU):由PCI和SDU组成。物理层的PDU叫比特；数据链路层的PDU叫帧；网络层的PDU叫分组；传输层的PDU叫报文段。

协议控制信息(PCI)：控制协议操作的信息

服务数据单元(SDU):完成用户所要求的功能而应传送的数据

n-PDU:第n层的PDU

n-SDU:第n层的SDU

n-PCI:第n层的PCI

⭐⭐⭐关系：n-SDU+n-PCI=n-PDU=(n-1)-SDU

🔑物理层不参与数据的封装

层次结构的含义

1. 第n层的实体不仅要使用第n-1层的服务来实现自身定义的功能，还要向第n+1层提n+1供本层的服务，该服务是第n层及其下面各层提供的服务总和。

2. 最低层只提供服务，是整个层次结构的基础； 中间各层既是下一层的服务使用者，又是上一层的服务提供者；最高层面向用户提供服务。

3. 上一层只能通过相邻层间的接口使用下一层的服务，而不能调用其他层的服务；下一层所提供服务的实现细节对上一层透明。

4. 两台主机通信时，对等层在逻辑上有一条直接信道，表现为不经过下层就把信息传送到对方。

 

网络协议、接口、服务

协议：语法+语义+同步；同层之间存在协议，协议控制对等实体，它是水平的！

接口：相邻层使用SAP(服务访问点)进行服务的提供和使用；下层提供，上层使用。

服务：下层为紧邻上层提供的功能调用，它是垂直的；对等实体在协议的控制下，向上提供服务，但实现本层协议需要使用下一层提供的服务。使用服务原语进行通信

计算机网络提供的服务的分类

1. 面向连接服务和无连接服务

   • 面向连接：【连接建立、数据传输、连接释放三个阶段】；如：TCP

   • 面向无连接：【不需要建立连接，直接发送数据】；如：UDP、IP

2. 可靠服务和不可靠服务

   • 可靠服务：具有纠错、检错、应答机制，能保证数据正确、可靠的到目的地

   • 不可靠服务：尽量正确、可靠的传送，不能保证数据正确、可靠的到目的地。【尽力而为】

3. 有应答服务和无应答服务

   • 有应答服务：接收方收到数据后向发送方给出相应的应答【由传输系统内部自动实现】；如：文件传输服务

   • 无应答服务：接收方收到数据后不自动给应答；如：WWW服务，收到前端页面不会应答

ISO/OSI参考模型和TCP/IP模型

🔑物理层不参与数据的封装

通信子网：物理层、数据链路层、网络层；点到点

传输层：端到端

资源子网：会话层、表示层、应用层

层名	传输单位	主要协议	备注/其他
物理层	比特	EIA-232C,EIA/TLA RS-449等	在物理媒体上为数据端设备透明的传输原始比特流
数据链路层	帧	SDLC,HDLC,PPP,STP等	成帧、差错控制、流量控制、传输管理
网络层	数据报/分组	IP,IPX,ICMP,IGMP,ARP,RARP,OSPF等	流量控制，拥塞控制，差错控制，网际互连
传输层	TCP协议的传输单位-报文段/UDP协议的传输单位-用户数据报	TCP,UDP	端到端的可靠的传输服务，流量控制，差错控制，服务控制，数据传输；建立、维护、拆除端到端【主机进程之间】的连接
会话层			利用传输层端到端的服务，对不同主机的进程之间建立会话，也称建立同步(SYN);管理会话进程【建立、管理、终止进程】
表示层			对数据进行编码，加密，解密，压缩
应用层		FTP,SMTP,HTTP等	是用户与网络的界面

两种参考模型的对比

TCP/IP模型的网际层采用了无连接不可靠的数据报服务。注意是数据报而不是用户数据报，是网际层！TCP,UDP是传输层。

网络的5层协议体系结构模型

 

第二章 物理层

数字信号-------------------------》基带

模拟信号-------------------------》宽带

调制：发送端数字信号-------------》模拟信号

解调：接收端模拟信号-------------》数字信号

调制：数据--------------------》模拟信号

编码：数据--------------------》数字信号

码元：用一个固定时长的信号波形（数字脉冲）表示一位k进制数字，代表不同离散数值的基本波形

二进制码元：0和1 ，高低电平

基带传输：将数字信号0，1直接用电压表示，传送到基带信道上

宽带传输：将基带信号进行调制后形成频分复用的模拟信号，传送到模拟信道上

宽带传输一定的频带传输

频带传输不一定是宽带传输

⭐半双工：双方都可接收、发送信息，但任何一方都不能同时接收和发送信息，需要两条信道

⭐全双工：双方都可以同时接收和发送信息，需要两条信道

速率=数据率=数据传输速率=单位时间内传输的数据量【可以用码元传输速率(波特率)和信息传输速率(比特率)表示】

码元传输速率(波特率)：单位时间内数字通信系统所传输的码元个数，单位是波特

极限码元传输速率=2W波特，W是信道带宽

信息传输速率(比特率)：单位时间内数字通信系统所传输的二进制码元个数，单位是比特/秒

✨波特≠比特，若1个码元携带n比特的信息量，那么M波特等于Mn比特/秒

波特率=比特率/每码元所含比特数

每码元所含比特数=log2^(能表示多少种不同的码元)

能表示多少种不同的码元=2^每码元所含比特数

4种相位=能表示4种不同的码元

4种相位，每种相位各有两种幅度=》能表示8种不同的码元

某条信道，每个信号包含8级=》能表示8种不同的码元

一个信道每1/8s采样一次=》采用频率=带宽=8HZ

采样频率的倒数是采样周期，上面的1/8s就是采样周期，那8HZ是采样频率

奈奎斯特定理【理想状态】

题目中W可以是带宽，可以是采样频率，单位有可能是HZ，也可能是MHZ

香农定理【考虑了信噪比和带宽】

编码

1. 归零编码(RZ)【有归零为1】

2. 非归零编码(NRZ)【1=1 ，0=0】

3. 反向非归零编码(NRZI)【不变为1，翻转为0】【✨编码效率100%】

4. ⭐以太网使用的编码⭐曼彻斯特编码【前高后低为1，前低后高为0】【波特率是数据传输率/比特率的2倍，即传输一个比特要发送2个码元】【每秒传输1码元等于1波特】【编码效率50%】【不需要额外传输同步信号】

5. 差分曼彻斯特编码【自身前半与上一个后半相同为1，自身前半与上一个后半相反为0】【半个：异或为1，同或为0】

6. 4B/5B编码【编码效率80%】【题目中经常和NRZI一起选】

    

电路交换、报文交换和分组交换

电力交换：直连、独占，非存储转发【适合数据量大且传送时间远大于呼叫时间】

报文交换：存储转发、无连接【】

⭐⭐⭐分组交换：存储转发、无连接【适合端到端的通路由多段链路组成，比报文交换时延小】

数据报和虚电路

数据报：分组、各走各的、终点集合

虚电路：数据报+电路交换|每条路都有虚电路号区分|由虚电路表和虚电路号

传输介质

双绞线：近，便宜，用于局域网和传统电话网，用于模拟传输和数字传输，若距离过远，模拟传输用放大器放大信号，数字传输用中继器放大信号进行整形

同轴电缆：远，贵，用于传输较高速率的数据

光纤：更远，最贵，损耗小，抗干扰，体积小，重量轻

无线传输介质：微波，红外线，激光

物理层设备-中继器、集线器

中继器：放大数字信号进行整形

集线器(Hub)=多端口的中继器，用于放大信号，转发信号，扩大网络的传输范围

 

第三章 数据链路层

CRC循环冗余码

事先约定好冗余多项式作为除数

被除数后面加【除数的位数-1】个零

两者相除，取余数作为FCS

 

举例：

除数1101

被除数101001，m=6

除数4位，实际上最高位是2^3,所以被除数放大3倍，即加3个0，r=3

被除数为101001000

两者相除（模2除/异或操作）【⭐加法不进位，减法不借位】，余数为001

所以实际发送的数据为【新被除数+FSC】=101001000+001=101001001

一共发送m+r位数据

海明码

海明码距：两个二进制之间相同位置的不同二进制的位数

如10111和10001的码距就是2

 

 

流量控制与可靠传输机制

流量控制

1. 停止-等待流量控制基本原理【我等你回，每次发一帧，收到回复后继续下一帧】

2. 滑动窗口流量控制基本原理【发送窗口，接收窗口】

可靠传输机制

可靠传输通常使用确认和超时重传两种机制完成

传统的自动重传请求分为三种：

1. 停止-等待(Stop-and-Wait)ARQ【收到一个确认，发送一个帧】

2. 后退N帧(Go-Back-N)ARQ【有一个帧出错，这个帧之后的都重传】

3. 选择性重传(Selective Repeat)ARQ【仅选择出错的帧重传】

其中后两者是滑动窗口技术与请求重发技术的结合，只要窗口足够大，就可以连续的流动，因此也称为连续ARQ协议

静态划分信道-信道划分介质访问控制

频分多路复用(FDM)：不同频率，可同时发送多路

时分复用(TDM):同一时刻，独占

波分多路复用(WDM):不同波长，可同时发送多路

码分多路复用(CDM):不同编码，可同时发送多路

动态划分信道-随机访问介质访问控制

在信道里的情况

纯ALOHA协议：冲！直接发，管他呢，碰撞了再说

时隙ALOHA协议：比纯ALOHA协议吞吐量大了一倍，因为控制在每个时隙发送

CSMA协议：发送前先看别人发不发，没人再用，我就发

✨CSMA/CD协议：先听后发，边听边发，冲突停发，随机重发【采用这个的以太网只能进行半双工通信】

CSMA/CA协议：用于无线局域网，发送时先广播告知其他结点，让其他结点在某段时间内不要发送数据，以免发生碰撞。

帧的格式-以太网2帧，802.3帧

MAC地址

MAC地址：48位，使用冒号分开的十六进制组成，是设备的唯一标识

单播： 一对一 第八比特位为0

组播：一对特定成员 第八比特位为1

广播：一对所有 整个MAC地址48比特都为1

广域网

对称技术：

• HDSL:高速率数字用户线路

• SDSL:对称数字用户线路

• IDSL：基于ISDN的数字用户线路

非对称技术：

• ⭐ADSL:非对称数字用户线路

• VDSL:甚高速数字用户环路

• RADSL：速率自适应数字用户线路

• UDSL：超高速数字用户环路

ADSL拨号上网，客户端需要安装PPPoE协议【在以太网上传输PPP报文的技术】，需要通过ADSL Modem和分离器连接到电话入户接线盒

HFC采用光纤接入住宅小区，采用双绞线入户

HFC网络中，用户使用”猫“-cable modem(电缆调制解调器)

使用CMTS【电缆调制解调器终端设备】对用户的"猫"进行管理

广域网的通信子网主要使用分组交换技术

PPP协议

点对点协议PPP（Point-to-Point Protocol）是目前使用最广泛的数据链路层协议，用于使用拨号电话接入因特网时一般都使用PPP协议，是面向字节的数据链路层协议。 ✨PPP协议只支持全双工链路。

使用字符/字节填充法，在与定界符相同处添加一个转义字符，在接收端接收到数据时，将转义字符去除即可还原出原数据

PPP协议由三部分组成：

1. 链路控制协议(LCP)。一种扩展链路控制协议，用于建立、配置、测试和管理数据链路。

2. 网络控制协议(NCP)。PPP协议允许同时采用多种网络层协议，每个不同的网络层协议要用一个相应的NCP来配置，为网络层协议建立和配置逻辑连接。

3. 一个将IP数据报封装到串行链路的方法。IP数据报在PPP帧中就是其信息部分，这个信息部分的长度受最大传送单元(MTU)的限制。

PPP协议帧的格式：

1. 标志（Flag）字段：定界符。值用十六进制为0x7E，二进制是01111110，十进制是127。

2. 地址（Address）字段：无意义。

3. 控制（Control）字段：暂时无意义。

4. 协议（Protocol）字段：上层协议（如IP数据报，网络控制层的控制数据等）。

5. 信息字段：不超过1500B。

6. FCS字段：CRC校验。

 

HDLC协议

高级数据链路控制HDLC（High-Level Data Link Control），是一个在同步网上传输数据、面向比特的数据链路层协议，它是由国际化组织（ISO）根据IBM公司的SDLC协议扩展开发而成的。

数据报文可透明传输，用于实现透明传输的是“零比特插入法”，易于硬件实现。

零比特填充法，对于连续出现5个比特1，就在第5个比特1后插入一个0比特，接收端接收到比特流时，扫描比特流，发现连续5个比特1就将其后面的比特0删除，从而还原出原来的数据。

采用全双工通信。

所有帧采用CRC校验，对信息帧进行顺序编号，可防止漏收或重传，传输可靠性高。

HDLC站

HDLC站分为：主站、从站和复合站。

1. 主站：发送命令（包括数据信息）帧，接收响应帧，并负责对整个链路的控制系统的初启、流程控制、差错检测或恢复等。

2. 从站：接收由主站发来的命令帧，向主站发送响应帧，并且配合主站参与差错恢复等链路控制。

3. 复合站：既能发送，又能接收命令帧和响应帧，并且负责这整个链路的控制。

HDLC协议帧的格式

1. 标志（Flag）字段：占一个字节，二进制位01111110。

2. 控制（Control）字段：表示帧的类型。分为三种：信息帧（I）、监督帧（S）、无编号帧（U）。

   (1) 信息帧：控制字段第1位为0，用来传输数据信息，或使用捎带技术对数据进行确认。
   (2) 监督帧：前两位比特是10，用于流量控制，执行对信息帧的确认、请求重发和请求暂停发送等功能。
   (3) 无编号帧：前两位比特是11，用于提供对链路的建立、拆除等多种控制功能。

🔑当属于信息帧时，信息帧用于传送用户数据、通常简称Ｉ帧。Ｉ帧以控制字段第一位为“0”来标识。信息帧的控制字段中的N（S）用于存放发送帧序号，可以让发送方不必等待确认而连续发送多帧。N（R）用于存放下一个预期要接收的帧的序号，N（R）=5，即表示下一帧要接收5号帧，换言之，5号帧前的各帧接收到。N（S）和N（R）均为3位二进制编码，可取值０～７。

🔑当属于监督帧时，🚩不带信息字段，它的第3、4位为S帧类型编码，共有4种不同的编码。

00:接收就绪【RR】[RR5,]

01:拒绝【REJ】[REJ5,后退N帧至编号为5的开始重新传]

10:接收未就绪【RNR】[RNR5,下一个要接收编号为5的帧，但未就绪]

11:选择拒绝【SREJ】[SREJ5,选择性拒绝编号为5的帧]

 

PPP协议和HDLC协议的对比

✨相同点：

1. PPP、HDLC协议都支持全双工链路。

2. 都可以实现透明传输。

3. 都可以实现差错检测，但都不纠正差错。

✨不同点：

1. PPP协议面向字节，HDLC协议面向比特。

2. HDLC协议帧格式没有协议字段。

3. PPP协议无序号和确认机制，HDLC协议有编号和确认机制。

4. PPP协议不可靠，HDLC协议可靠。

 

 

STP协议-生成树协议

目的：解决交换机环路问题

三层使用动态路由协议，防止环路

二层使用生成树协议等，防止环路

环路会产生的后果：

• 广播风暴【包在广播域中，不停的发】

• MAC地址表震荡【MAC地址所对应的端口/接口一直在变化】

• 重复数据帧【因为广播风暴】

🔑主要作用：

1. 消除环路：通过阻断冗余链路来消除网络中可能存在的环路。

2. 链路备份：当活动路径发生故障时，激活备份链路，及时恢复网络连通性。

🔑特殊名词提前解释：

PID:运行STP交换机的每个端口都有一个端口ID，端口ID由端口优先级和端口号构成。端口优先级取值范围是0到240，步长为16，即取值必须为16的整数倍。缺省情况下，端口优先级是128。端口ID（Port ID)可以用来确定端口角色。

BID:桥ID由16位的桥优先级（Bridge Priority）和48位的MAC地址构成。在STP网络中，桥优先级是可以配置的，取值范围是0～65535，默认值为32768。优先级最高的设备（数值越小越优先）会⭐被选举为根桥。

操作流程

1. 选举一个根桥。

2. 每个非根交换机选举一个根端口。

3. 每个网段选举一个指定端口。

4. ⭐阻塞非根、非指定端口。【就留有用的，阻塞没用的】

指定端口DP、根端口RP、预备/阻塞端口

🔑STP中定义了三种端口角色：指定端口，根端口和预备端口。

 

根桥-指定端口

非根桥-根端口【最多只有一个】

要被阻塞的端口-预备端口

 

指定端口是交换机向所连网段转发配置BPDU的端口，每个网段有且只能有一个指定端口。

✨一般情况下，根桥的每个端口总是指定端口。

根端口是非根交换机去往根桥路径最优的端口。在一个运行STP协议的交换机上最多只有一个根端口，但✨根桥上没有根端口。

如果一个端口既不是指定端口也不是根端口，则此端口为预备端口。预备端口将被阻塞。

选举原则

根桥选举

每一台交换机启动STP后，都认为自己是根桥

STP中根桥的选举依据的是桥ID，STP中的每个交换机都会有一个桥ID(Bridge ID) 。

桥ID由16位的桥优先级（Bridge Priority）和48位的MAC地址构成。

✨先比较桥优先级，再比较MAC地址

在STP网络中，桥优先级是可以配置的，取值范围是0～65535，默认值为32768。优先级最高的设备（数值越小越优先）会⭐被选举为根桥。

如果优先级相同，则会比较MAC地址，MAC地址越小则越优先。

根端口选举

非根交换机在选举根端口时分别依据该端口的根路径开销（Root Path Cost）、对端BID（Bridge ID）、对端PID（Port ID）和本端PID

RPC（Root Path Cost，根路径开销）：✨非根桥到达根桥的最短路径，✨路径开销最小的端口就是根端口

交换机的每个端口都有一个端口开销（Port Cost）参数，此参数表示该端口在STP中的开销值。默认情况下端口的开销和端口的带宽有关，带宽越高，开销越小。从一个非根桥到达根桥的路径可能有多条，每一条路径都有一个总的开销值，此开销值是该路径上所有接收BPDU端口的端口开销总和（即BPDU的入方向端口），称为路径开销。非根桥通过对比多条路径的路径开销，选出到达根桥的最短路径，⭐这条最短路径的路径开销被称为RPC（Root Path Cost，根路径开销），并生成无环树状网络。⭐⭐⭐根桥的根路径开销是0。

 

运行STP交换机的每个端口都有一个端口ID，端口ID由端口优先级和端口号构成。端口优先级取值范围是0到240，步长为16，即取值必须为16的整数倍。缺省情况下，端口优先级是128。端口ID（Port ID)可以用来确定端口角色。

 

每个非根桥都要选举一个根端口。⭐根端口是距离根桥最近的端口，这个最近的衡量标准是靠路径开销来判定的，即✨路径开销最小的端口就是根端口。端口收到一个BPDU报文后，抽取该BPDU报文中根路径开销字段的值加上该端口本身的端口开销即为本端口路径开销。

如果有两个或两个以上的端口计算得到的累计路径开销相同，那么选择收到发送者BID最小的那个端口作为根端口。【这种情况，选RPC最小的作为根端口，若相同则选BID(Bridge ID)最小的】

如果两个或两个以上的端口连接到同一台交换机上，则选择发送者PID最小的那个端口作为根端口。如果两个或两个以上的端口通过Hub连接到同一台交换机的同一个接口上，则选择本交换机的这些端口中的PID最小的作为根端口。【这种情况，选PID(Port ID)最小的作为根端口】

指定端口选举

非根交换机在选举指定端口时分别依据根路径开销、BID、PID。

⭐在网段上抑制其他端口（无论是自己的还是其他设备的）发送BPDU报文的端口，就是该网段的指定端口。每个网段都应该有一个指定端口，根桥的所有端口都是指定端口（除非根桥在物理上存在环路）。

【每条网段上/特殊的：每条线上都需要有一个指定端口】

【根桥上的端口就是指定端口】

【剩下的网段/线上的端口，将本条线上的开销加上去往根桥的开销，进行比较，最小的端口作为指定端口，特殊情况见下面】

指定端口的选举也是首先比较累计路径开销，⭐累计路径开销最小的端口就是指定端口。

如果累计路径开销相同，则比较端口所在交换机的桥ID，所在桥ID最小的端口被选举为指定端口。

如果通过累计路径开销和所在桥ID选举不出来，则比较端口ID，端口ID最小的被选举为指定端口。

网络收敛后，只有指定端口和根端口可以转发数据。其他端口为预备端口，被阻塞，不能转发数据，只能够从所连网段的指定交换机接收到BPDU报文，并以此来监视链路的状态。

端口状态转换

运行STP协议的设备上端口状态有5种：

• Forwarding：转发状态。端口既可转发用户流量也可转发BPDU报文，只有根端口或指定端口才能进入Forwarding状态。

• Learning：学习状态。端口可根据收到的用户流量构建MAC地址表，但不转发用户流量。增加Learning状态是为了防止临时环路。

• Listening：侦听状态。端口可以转发BPDU报文，但不能转发用户流量。

• Blocking：阻塞状态。端口仅仅能接收并处理BPDU，不能转发BPDU，也不能转发用户流量。此状态是预备端口的最终状态。

• Disabled：禁用状态。端口既不处理和转发BPDU报文，也不转发用户流量。

BPDU报文-配置BPDU

Stp BPDU有两种类型：配置BPDU和TCN BPDU。

 

配置BPDU中包含了足够的信息来保证设备完成生成树计算，其中包含的重要信息如下：

 

根桥ID：由根桥的优先级和MAC地址组成，每个STP网络中有且仅有一个根桥。

根路径开销：到根桥的最短路径开销。

指定桥ID：由指定桥的优先级和MAC地址组成。

指定端口ID：由指定端口的优先级和端口号组成。

Message Age：配置BPDU在网络中传播的生存期(以秒为单位)。【经过一个交换机就加1，就是权重呗】

Max Age：配置BPDU在设备中能够保存的最大生存期(以秒为单位)，✨这是个老化定时器，超时了就自动老化，⭐会重新选举根桥。

【如果Message Age大于Max Age，⭐配置BPDU会被老化，⭐非根桥会丢弃该配置BPDU】

Hello Time：配置BPDU发送的周期。

Forward Delay：端口状态迁移的延时。

配置BPDU包含了桥ID、路径开销和端口ID等参数。STP协议通过在交换机之间传递配置BPDU来选举根交换机，以及确定每个交换机端口的角色和状态。在初始化过程中，⭐每个桥都主动发送配置BPDU。在网络拓扑稳定以后，⭐⭐⭐只有根桥主动发送配置BPDU，其他交换机在收到上游传来的配置BPDU后，才会发送自己的配置BPDU。【每个人都认为自己是老大，最后通过选举选出根桥，之后只有根桥才能主动发话，非根桥只能在收到之后发话，✨根桥的一些配置会向下进行同步，通过配置BPDU的传递】

 

配置BPDU报文每经过一个交换机，Message Age都加1。【就是权重呗】

如果Message Age大于Max Age，非根桥会丢弃该配置BPDU。

 

STP协议中包含一些重要的时间参数，这里举例说明如下：

Hello Time是指运行STP协议的设备发送配置BPDU的时间间隔，用于检测链路是否存在故障。交换机每隔Hello Time时间会向周围的交换机发送配置BPDU报文，以确认链路是否存在故障。当网络拓扑稳定后，⭐该值只有在根桥上修改才有效。

Message Age是从根桥发送到当前交换机接收到BPDU的总时间，包括传输延时等。如果配置BPDU是根桥发出的，则Message Age为0。实际实现中，配置BPDU报文每经过一个交换机，Message Age增加1。

Max Age是指BPDU报文的老化时间，可在根桥上通过命令人为改动这个值。Max Age通过配置BPDU报文的传递，可以保证Max Age在整网中一致。非根桥设备收到配置BPDU报文后，会将报文中的Message Age和Max Age进行比较：如果Message Age小于等于Max Age，则该非根桥设备会继续转发配置BPDU报文。如果Message Age大于Max Age，则该配置BPDU报文将被老化掉。该非根桥设备将直接丢弃该配置BPDU，并认为是网络直径过大，导致了根桥连接失败。

 

根桥故障-重新选举

非根桥会在BPDU老化之后开始根桥的重新选举。【Max Age定时器超时后，重新选举根桥】

在稳定的STP拓扑里，非根桥会定期收到来自根桥的BPDU报文。如果根桥发生了故障，停止发送BPDU报文，下游交换机就无法收到来自根桥的BPDU报文。如果下游交换机一直收不到BPDU报文，Max Age定时器就会超时（Max Age的默认值为20秒），从而导致已经收到的BPDU报文失效，此时，非根交换机会互相发送配置BPDU报文，重新选举新的根桥。根桥故障会导致50秒左右的恢复时间，恢复时间约等于Max Age加上两倍的Forward Delay收敛时间。

直连链路故障-预备端口变根端口

SWB检测到直连链路物理故障后，会将预备端口转换为根端口。

SWB新的根端口会在30 秒后恢复到转发状态。

此例中，SWA和SWB使用了两条链路互连，其中一条是主用链路，另外一条是备份链路。生成树正常收敛之后，如果SWB检测到根端口的链路发生物理故障，则其Alternate端口【预备端口】会迁移到Listening、Learning、Forwarding状态，经过两倍的Forward Delay后恢复到转发状态。

非直连链路故障

非直连链路故障后，SWC的预备端口恢复到转发状态大约需要50秒。、

⭐SWC的预备端口为了应付这种情况，临时变成指定端口和SWB通信

SWB与SWA之间的链路发生了某种故障（非物理层故障），SWB因此一直收不到来自SWA的BPDU报文。等待Max Age定时器超时后，SWB会认为根桥SWA不再有效，并认为自己是根桥，于是开始发送自己的BPDU报文给SWC，通知SWC自己作为新的根桥。在此期间，由于SWC的Alternate端口【预备端口】再也不能收到包含原根桥ID的BPDU报文。其Max Age定时器超时后，✨SWC会切换Alternate端口为指定端口并且转发来自其根端口的BPDU报文给SWB。所以，Max Age定时器超时后，SWB、SWC几乎同时会收到对方发来的BPDU。经过STP重新计算后，SWB放弃宣称自己是根桥并重新确定端口角色。

非直连链路故障后，由于需要等待Max Age加上两倍的Forward Delay时间，端口需要大约50秒才能恢复到转发状态。

BPDU报文-TCN BPDU

⭐TCN BPDU是指下游交换机感知到拓扑发生变化时向上游发送的拓扑变化通知。

拓扑变化过程中，根桥通过TCN BPDU报文获知生成树拓扑里发生了故障。根桥生成TC用来通知其他交换机加速老化现有的MAC地址表项。

 

MAC地址表项的默认老化时间是300秒。在这段时间内，SWB无法将数据从G0/0/2端口转发给主机B。

在交换网络中，交换机依赖MAC地址表转发数据帧。缺省情况下，MAC地址表项的老化时间是300秒。如果生成树拓扑发生变化，交换机转发数据的路径也会随着发生改变，此时MAC地址表中未及时老化掉的表项会导致数据转发错误，因此在拓扑发生变化后需要及时更新MAC地址表项。

拓扑变化过程中，根桥通过TCN BPDU报文获知生成树拓扑里发生了故障。根桥生成TC用来通知其他交换机加速老化现有的MAC地址表项。

BPDU中的flags只使用两个位最高位和最低为

TC（Topology Change）:flags的最低位，拓扑变更的标志位

TCA（Topology Change Acknowledgment）：flags的最高位，拓扑变更确认的标志位

拓扑变更以及MAC地址表项更新的具体过程如下：

1. 此时SWC是根桥，SWC感知到网络拓扑发生变化后，会不间断地向SWB发送TCN BPDU报文。

2. SWB收到SWC发来的TCN BPDU报文后，会把配置BPDU报文中的Flags的TCA位设置1，然后发送给SWC，告知SWC停止发送TCN BPDU报文。

3. SWB向根桥转发TCN BPDU报文。

4. SWA把配置BPDU报文中的Flags的TC位设置为1后发送，通知下游设备把MAC地址表项的老化时间由默认的300秒修改为Forward Delay的时间（默认为15秒）。

5. 最多等待15秒之后，SWB中的错误MAC地址表项会被自动清除。此后，SWB就能重新开始MAC表项的学习及转发操作。

 

 

第四章 网络层

IPV4可以和IPV6兼容，可以直接通信

路由器的功能:路由选择、分组转发

流量控制：抑制发送端发送的速率，以便接收端来得及接收

拥塞控制：保证通信子网待传送的数据达到目的地，是全局性问题，涉及网络中的所有主机、路由器及导致网络传输能力下降的因素

静态路由算法：非自适应路由算法。简便和开销小

动态路由算法：自适应路由算法。能改善网络的性能并有助于流量控制，但算法复杂，会增加网络的负担。

IPV4

每行4B

IPv4协议具有32位（4字节）地址长度

首部长度=首部行数*长度，首部行数通常为5，所以首部长度通常是20B

IPV6

IPv6协议具有128位（16字节）地址长度

IPv6协议的首部长度为40B

前缀：1111 1110 10 这是固定的

ICMP

ARP

逆向ARP:通过目的MAC地址，解析目的IP

ARP缓存表的老化时间，默认是1200s也就是20分钟

路由

静态路由：可以配置路线、设置优先级，通过优先级的不同，可以设置多条路，实现负载分担

负载分担【使用等价路由】：如果出现多条路由优先级、开销一样且最长掩码匹配原则一样则会实现负载分担

当源网络和目的网络之间存在多条链路时，可以通过等价路由来实现流量负载分担。这些等价路由具有相同的目的网络和掩码、优先级和度量值。

主备【使用浮动路由】：

A到B假设有N条路，一条为主路，N-1条为备用路

主路就是A上面优先级值最小的，也就是优先级最高的路由

浮动路由：备用路由，不会出现在路由表上，只有主路不通，才会按优先级采用备用路由，才会出现在路由表上

🔑浮动路由和主路由除了下一跳和优先级不一样其他都一样！！！，浮动路由优先级一定比主路由要高

 

第五章 传输层

TCP-滑动窗口

TCP-四次握手，四次挥手

UDP

网络工程师精讲笔记

数据表示

二进制：使用下标2表示

十进制：使用字母”D“或下标10表示

八进制：使用字母”O“或下标8表示

十六进制：使用字母”H“或下标16表示

进制转换

二进制转十进制：按权展开，相加

二进制转八进制：每3位作为一个八进制，不足的在左边补零

二进制转十六进制：每4位作为一个十六进制，不足的在左边补零

原码、反码、补码

• 由于第一位为符号位，一个8位，7位表示数值【-127~127】

• 特殊的！-0的补码是-128，所以补码的范围【-128~127】

• 原码：第一位为符号位，正数为0，负数为1

• 反码：第一位为符号位，正数保持不变，若表示负数则全部7位取反得到反码【若反码为11111111，则为-0，当表示数值的时候给他全部7位取反回来】

• 补码：第一位为符号位，正数保持不变，若表示负数则原码取反+1或者原码-1再取反

计算机结构

 

 

考试内容

上午题目：

1.计算机硬件基础（4分）：数据的表示、指令系统、流水线、CPU、Cache、RAID、内存编址、可靠性

2.操作系统基础（2分）：进程管理、存储管理、文件管理、设备管理

3.系统开发与项目管理基础（3分）：软件生命周期、软件开发模型、开发概念、进度管理

4.知识产权和标准化（1分）：著作权、保护期限、产权人确立、侵权判断、商标权

5.网络体系结构（2分）：网络协议、OSI参考模型、TCP/IP体系结构

6.数据通信基础（6分）：信道传输速率、调制与编码、常用复用技术和相关标准、差错控制

7.广域网与接入网技术（3分）：HDLC、PPP、SONET/SDII、xDSL、HFC、数据交换模型

8.局域网技术（10分）：IEEE802标准、以太网技术、网桥、交换机、无线局域网、VLAN、TRUNK、GVRP、STP、综合布线系统、传输介质

9.网络互联与因特网技术（25分）：IP地址、子网划分、CIDR、IP数据报、ARP、ICMP、IPv6协议、TCP、UDP、QOS、路由基础概念、RIP、路由基本配置、OSPF、BGP、ACL、NAT、Web、DNS、DHCP、FTP、Telnet、电子邮件

10.系统与网络安全基础（8分）：计算机病毒、网络攻击、加密算法、密钥管理、数字签名、报文摘要、数字证书、入侵检测技术、安全协议、VPN、防火墙

11.网络管理技术（5分）：Windows/Linux网管命令、Linux系统命令、Linux目录结构、Linux系统文件、SNMP协议、网络管理概念、网络存储、网络故障排除

12.网络规划与设计（3分）：需求分析、通信规范分析、逻辑网络设计、物理网络设计

13.计算机专业英语（5分）

下午题目：

一、网络系统分析与设计（20分）：对现有网络进行分析、网络拓扑设计、地址规划、网络设备选择判断、介质选择、网络存储、RAID、网络管理命令、WLAN

二、网络设备原理及配置（15分）：VLAN、TRUNK、STP、静态路由、RIP、OSPF、ACL、NAT、路由基本配置、路由器DHCP配置、三层交换机配置、IPv6、广域网配置、策略路由

三、网络服务器的原理及配置（20分）：Windows/Linux平台下的服务器基本配置、Web、FTP、DNS、DHCP

四、网络安全原理及配置（20分）：IPSEC VPN、防火墙配置与数据规划、病毒防治、网络攻击与防范、网络安全设备的部署 ————————————————

学习路线

关于网络的学习步骤

先理解

电脑--电脑

电脑---交换机---电脑

电脑---交换机（加VLAN）----电脑

电脑----交换机（VLAN）----交换机（VLAN）----电脑

电脑---交换机（VLAN）---路由器----电脑 以上从PC应用到PC应用之间的数据通信

要点：7/4层网络结构，交换机的3种模式，交换机上的（接口，MAC映射表），ARP协议理解，路由表，VLAN基础

明白之后再去思考里面用的协议，比如需要构建路由表需要路由协议（静态、ospf\isis\rip\bgp）

再去思考涉及到TCP/UDP，属于4层内层的协议的相关内容

扩展是VPN相关内容、链路集合等

然后再去补充其他网络协议，如ICMP、HDCP、PPP、FTP、telnet、SSH、stp、aaa、QOS

以上OK之后（就是数据可以互通）然后就是控制数据怎么走，ACL相关、QOS相关、路由策略和策略路由、一种是路由可达一种是访问控制可达等 学习防火墙、数字证书、加密等相关内容

理解流程、清楚各协议的作用后，要进一步的强化，就是分析协议，构建场景，分析数据包（目前先做到前面的就行）

花一两周的时间去学一下计算机理论（计算机硬件相关、操作系统基础、系统开发管理、知识产权等）

 

 

Wireshark抓包

过滤器规则

抓包过滤器：

（1）协议过滤

• 比较简单，直接在抓包过滤框中直接输入协议名即可。

• tcp，只显示TCP协议的数据包列表

• http，只查看HTTP协议的数据包列表

• icmp，只显示ICMP协议的数据包列表

 

（2）IP过滤

• host 192.168.1.104

• src host 192.168.1.104

• dst host 192.168.1.104

（3）端口过滤

• port 80

• src port 80

• dst port 80

（4）逻辑运算符&& 与、|| 或、！非

• src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包

• host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包

• ！broadcast 不抓取广播数据包

显示过滤器：

（1）比较操作符

比较操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

（2）协议过滤

比较简单，直接在Filter框中直接输入协议名即可。注意：协议名称需要输入小写。

•  

（3） ip过滤

• ip.src ==192.168.1.104 显示源地址为192.168.1.104的数据包列表

• ip.dst==192.168.1.104, 显示目标地址为192.168.1.104的数据包列表

• ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表

（4）端口过滤

• tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。

• tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。

• tcp.dstport == 80，只显示TCP协议的目的主机端口为80的数据包列表。

（5） Http模式过滤

http.request.method=="GET", 只显示HTTP GET方法的。

（6）逻辑运算符为 and/or/not

过滤多个条件组合时，使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp

（7）按照数据包内容过滤。假设我要以IMCP层中的内容进行过滤，可以单击选中界面中的码流，在下方进行选中数据。如下

右键单击选中后出现如下界面

选中Select后在过滤器中显示如下

后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含"abcd"内容的数据流。包含的关键词是contains 后面跟上内容。

看到这， 基本上对wireshak有了初步了解。

wireshark的三次握手

 

在TCP层，有个FLAGS字段，这个字段有以下几个标识：SYN, FIN, ACK, PSH, RST, URG。如下

其中，对于我们日常的分析有用的就是前面的五个字段。它们的含义是：SYN表示建立连接，FIN表示关闭连接，ACK表示响应，PSH表示有DATA数据传输，RST表示连接重置。

在数据详情中,有数据则set,无数据则Not set

第一次、第二次SYN=1，第三次SYN=0

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。

第一次握手数据包

客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图。

数据包的关键属性如下：

SYN ：标志位，表示请求建立连接

Seq = 0 ：初始建立连接值为0，数据包的相对序列号从0开始，表示当前还没有发送数据

Ack =0：初始建立连接值为0，已经收到包的数量，表示当前没有接收到数据

 

第二次握手的数据包

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

数据包的关键属性如下：

[SYN + ACK]  标志位，同意建立连接，并回送SYN+ACK 

Seq = 0 ：初始建立值为0，表示当前还没有发送数据

Ack = 1：表示当前端成功接收的数据位数，虽然客户端没有发送任何有效数据，确认号还是被加1，因为包含SYN或FIN标志位。（并不会对有效数据的计数产生影响，因为含有SYN或FIN标志位的包并不携带有效数据）

第三次握手的数据包

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

数据包的关键属性如下：

ACK ：标志位，表示已经收到记录

Seq = 1 ：表示当前已经发送1个数据

Ack = 1 : 表示当前端成功接收的数据位数，虽然服务端没有发送任何有效数据，确认号还是被加1，因为包含SYN或FIN标志位（并不会对有效数据的计数产生影响，因为含有SYN或FIN标志位的包并不携带有效数据)。

就这样通过了TCP三次握手，建立了连接。开始进行数据交互

交换机命令

进入系统：sys

改名字：sysname XXX【XXX为更改后的名字】

查看这个设备的所有信息：dis cu / dis current-configuration

退出系统：q/quit

保存配置:save

若q退出系统之后，右键停止，再启动，就是重启，不会保存之前的配置，除非q退出系统之后，save对配置进行保存。

 

交换机端口的三种模式：

• 【access端口模式】access 接入端口 pc–交换机 发送数据帧脱标签(802.1q)

• 【trunk端口模式】trunk 中继链路 交换机–交换机 发送数据帧带标签 (数据帧所在vlan和trunk端口所在vlan相同）

• 【hybird端口模式】hybrid 手动模式 任意情况 灵活控制数据帧

 

恢复出厂设置：reset saved-configuration，Y确认恢复出厂

reboot，N 不保存 Y确认重启

创建VLAN:vlan X【2-4094】 vlan 1是默认，交换机的所有接口都默认属于vlan1

一次创建多个vlan: vlan 3 5 8【用空格隔开】

创建连续的vlan:vlan batch 2 to 16【batch,to】

显示vlan信息：display vlan

删除一个vlan:undo vlan 3 【undo,删除多个，删除连续同上】

显示端口模式和所在vlan:display port vlan

还原端口到默认vlan：undo port default vlan

access端口模式

[sw1-port-group-1]port link-type access //修改端口模式为access

[sw1-port-group-1]port default vlan 10 //把默认端口修改为VLAN10

trunk端口模式

交换机（trunk）-------(trunk)交换机 trunk端口的默认动作：带标签发送数据帧，除非trunk端口所在vlan和数据帧所在vlan相同.

[sw1]int e0/0/4

[sw1-Ethernet0/0/4]display this //查看端口配置

[sw1-Ethernet0/0/4]undo port default vlan //还原端口到默认vlan

[sw1-Ethernet0/0/4]port link-type trunk

[sw1-Ethernet0/0/4]port trunk allow-pass vlan 10 20 //允许vlan10,20数据通过

[sw1-Ethernet0/0/4]port trunk allow-pass vlan all //允许所有vlan通过

[sw1-Ethernet0/0/4]port trunk pvid vlan 10 //把trunk端口加入vlan10

hybird端口模式

[sw1-Ethernet0/0/1]port link-type hybrid //更改端口为混合模式

[sw1-Ethernet0/0/1]port hybrid pvid vlan 10 //把hybrid端口加入vlan

[sw1-Ethernet0/0/1]port hybrid tagged vlan 10 //发送数据帧时加上vlan 10标签【和交换机连】

[sw1-Ethernet0/0/2]port hybrid untagged vlan 10 //发送数据帧时去掉vlan10标签【和PC连】

下面是hybrid的例子，主机A和主机B可以和服务器通信，但不能相互通信，因为他们自身的端口没有向对方开放

 

交换机其他命令整理

设置端口组：
[s1]port-group 1//1是端口组的名字，可以任意。
[s1]group-member GigabitEthernet 0/0/0 to GigabitEthernet 0/0/24
//将需要的端口加入端口组，之后的操作就可以只敲一遍命令了
//例如
[s1]port link-type access
[s1]port default vlan 20


//配置trunk口，实现不同交换机下的相同vlan通信
//两个交换机相连的两个端口需要配置trunk口
[接口视图]port link-type trunk
[接口视图]port trunk all-pass vlan 【all/具体的vlan名】//这边配置可以通过的vlan
//技巧:设置指定vlan不可达
[接口视图]port trunk all-pass vlan all
[接口视图]undo port trunk all-pass vlan 10 20
//这样所有vlan都可达,除了vlan 10和vlan 20


//设置默认vlan 1的链路划分进vlan 10
//将接口配置成trunk
//设置pvid
[接口视图]port link-type trunk
[接口视图]port trunk allow-pass vlan all //允许所有vlan通过
[接口视图]port trunk pvid vlan 10 //把trunk端口加入vlan10


//查看当前交换机[网桥的]的MAC地址
display bridge mac-address

 

ENSP学习

帮助：?,例如s?会弹出所有的s开头的命令

用户视图：<Huawei> => 只可以用来查看设备的相关配置信息

系统视图:[Huawei] => 可以对设备进行配置

接口视图：[Huawei-GigabitEthernet0/0/0] => 对设备的相关接口进行配置

协议视图:[Huawei-ospf-1] => 对相关的协议进行配置

改名：sysname xxxxxx

保存配置：save【注意要在用户视图下执行】

清除所有配置【不重启的情况下】：reset saved-configuration

进入接口：interface GigabitEthernet x/x/x

配置接口ip：ip address 10.1.1.1 24 或者 ip address 10.1.1.1 255.255.255.0

查看当前接口配置情况:display this

查看当前设备的所有情况：display current-configuration

查看mac地址表:display mac-address

取消当前操作(ip):undo ip address 10.1.1.1 24

配置静态路由【优先级为60】：ip route-static 目的地址 目的地址子网掩码 网关地址

配置静态不转发路由【NULL0】：希望不转发某一类型的路由，避免环路。使用ip route-static 10.1.0.0 16 NULL0,收到10.1.0.0 16这类的路由，不设置下一跳/出接口，也就不会进行转发，避免环路。

配置缺省路由，就是所有无法匹配的路由都往网关发：ip route-static 0.0.0.0 0 网关地址【缺省路由，两个相邻的路由器尽量只配一个，可能产生环路，特殊情况下不会产生环路】

配置路由时顺便加上优先级，ip route-static 0.0.0.0 0 50.1.1.2 preference 70【缺省路由也是静态路由，默认优先级是60】

当使用串口serial连接时，可以使用出接口的名字当网关地址【出口地址】，如ip route-static 0.0.0.0 0 Serial 4/0/0 preference 70

查看接口ip地址：display ip int brief

查看接口的简要信息：display interface brief

显示当前配置文件display current-configuration

显示保存的配置文件：display saved-configuration

查看路由表：display ip routing-table

查看ospf邻居关系：display ospf peer

查看ospf邻接关系：display ospf peer brief

查看ospf网络类型：display ospf brief

查看链路关系数据库：display ospf lsdb

查看系统当前时间：display clock

查看当前模式下的配置：display this

路由器查Arp缓存表:display arp all

查看arp缓存表：arp -a

清空arp缓存表：arp -d

arp代理：一般不用

 

给设备登陆时设置密码，方法1：

user interface console 0

authentication-mode password

密码

给设备登陆时设置密码，方法2：

user-interface console 0

set authentication password cipher 密码

AC和AP

🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑

配置无线网络步骤

1、配置安全模板【安全模板的名字、安全策略(wifi密码、加密措施等等)】 2、配置SSID模板【SSID模板的名字、SSID的名称-wifi的名字】 3、配置VAP模板【VAP模板的名字，业务VLAN是哪个，安全模板是哪个、SSID是哪个】 4、最后将AP的射频都应用VAP模板的配置 5、提交才能生效！commit all 🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑

组播报文对无线网络空口的影响主要是拥塞

随着业务数据转发的方式不同，组播报文的抑制分别在【AP交换机接口或接口】和【AC流量模板或模板】进行配置

WLAN系统一般由AC(接入控制器)和AP(无线接入点)组成

✨AC相当于一个交换机，所以连接AC的接口配置为trunk，允许所有的vlan通过。

AC上有三个vlan【web界面，管理AP，AP的业务】一个是vlan1 ，web界面使用；另两个随便创建，一个用于管理AP（我配置的是vlan100），一个用于AP的业务vlan（配置的vlan101），也就是ap上网使用的vlan。

🔑【AC管理AP们】

AC隔离
【创建隔离组】：port-isolate group （group-id）
【将端口加入隔离组】：port-isolate enable group （group-id）

vlan100就是管理ap的所以使用该vlan为capwap隧道，使用mac连接ap
1、创建隧道  【为指定的vlan创建隧道】
💖capwap source interface vlan 100
2、使用mac地址连接ap
【wlan】
【ap-id 0 ap-mac MAC地址】这里0是ap的id，这里绑定AP，一次绑定一个，将id和mac进行绑定
【ap-name area_1】  这里对AP进行命名
【quit】
如：
[AC] wlan ac
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name area_1
[AC-wlan-ap-0] ap-group ap-group1
3、创建ap组，并应用域管理模板
第一种
【ap-group name ap-group1】 这里建立ap组，通过设置可以将多个ap划分进同一个组
【regulatory-domain-profile default】配置默认域管理模板
第二种
[AC-wlan-view] regulatory-domain-profile name domain1  【域管理模板命名】
[AC-wlan-regulate-domain-domain1] country-code cn    【配置国家代码】
Info: The current country code is same with the input country code.
[AC-wlan-regulate-domain-domain1] quit
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile domain1【域管理模板应用】
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
e?[Y/N]:y 
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] quit

【配置无线】

wlan
security-profile name internet【创建一个文件】
security wpa-wpa2 psk pass-phrase a1234567 aes【AES加密认证信息】
quit

ssid name cloud
ssid cloud
quit

vap-profile name internet 【创建一个文件】
security-profile internet 【配置文件】
ssid-profile cloud
service-vlan vlan-id 101    【上网用的AP业务vlan】
💖forward-mode direct-forward
quit
ap-group name ap-group1
💖vap-profile internet wlan 1 radio 0  【配置文件】
vap-profile internet wlan 1 radio 1
vap-profile internet wlan 1 radio 2

🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑
1、配置安全模板【安全模板的名字、安全策略(wifi密码、加密措施等等)】
2、配置SSID模板【SSID模板的名字、SSID的名称-wifi的名字】
3、配置VAP模板【VAP模板的名字，业务VLAN是哪个，安全模板是哪个、SSID是哪个】
4、最后将AP的射频都应用VAP模板的配置
5、提交才能生效！commit all   
🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑🔑
实例
# 创建名为“wlan-security”的安全模板，并配置WPA2-PSK-AES的安全策略。
[AC-wlan-view] security-profile name wlan-security
[AC-wlan-sec-prof-wlan-security] security wpa2 psk pass-phrase a1234567 aes
[AC-wlan-sec-prof-wlan-security] quit

# 创建名为“wlan-ssid”的SSID模板，并配置SSID名称为“wlan-net”
[AC-wlan-view] ssid-profile name wlan-ssid
[AC-wlan-ssid-prof-wlan-ssid] ssid wlan-net
Warning: This action may cause service interruption. Continue?[Y/N]y
Info: This operation may take a few seconds, please wait.done.
[AC-wlan-ssid-prof-wlan-ssid] quit

# 创建名为“wlan-vap”的VAP模板，配置业务VLAN，并且引用安全模板和SSID模板。
[AC-wlan-view] vap-profile name wlan-vap
[AC-wlan-vap-prof-wlan-vap] service-vlan vlan-id 101
Info: This operation may take a few seconds, please wait.done.
[AC-wlan-vap-prof-wlan-vap] security-profile wlan-security
Info: This operation may take a few seconds, please wait..done.
[AC-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid
Info: This operation may take a few seconds, please wait..done.
[AC-wlan-vap-prof-wlan-vap] quit

# 配置AP组引用VAP模板，AP上射频都使用VAP模板“wlan-vap”的配置。
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio all
Info: This operation may take a few seconds, please wait..done.
[AC-wlan-ap-group-ap-group1] quit

# 提交配置。
AC-wlan-view] commit all                                                
Warning: Committing configuration may cause service interruption, continue?[Y/N]:y    

 

telnet登录

r2设置好vty的登录密码，设置好登录者的权限，然后开启telnet服务即可

r1可以用PC代替，或者说r1就是PC端

pc端直接使用telnet IP地址，然后输入密码即可

 

 

AAA认证

AAA认证=账号加密码登录+权限

密码模式=密码登录+权限

aaa认证-telnet

AAA认证=账号加密码登录+权限

密码模式=密码登录+权限

 

FTP

在系统界面登录ftp，这个和telnet一样
如<r1>ftp ftp地址
输入ftp服务器上aaa中的账号
输入ftp服务器上aaa中的密码
进入ftp界面
[ftp]ls
[ftp]get 文件名
[ftp]put 文件名
[ftp]pwd   //查看当前路径
[ftp]cd 文件夹/路径
[ftp].......和linux 差不多
 

 

DHCP

地址池中的哪些IP地址一般会被保留?

在IP地址池中，应该排除分配给DNS等服务器的IP地址，DHCP服务器接口的IP地址等，避免IP地址冲突。

DHCP服务器的IP地址租期默认是多久?

默认的IP地址租期是86400秒，即一天。

 

 

OSPF命令

OSPF 进程号，默认进程号用1

//在用户视图[r1]中
1、OSPF 1
2、area 0
3、network 发布的网段/具体地址 该发布的反掩码
3、network 10.1.1.0 0.0.0.255 
//由于10.1.1.0的掩码是255.255.255.0，它的反掩码是0.0.0.255
//在接口视图和上面等价
1、[r1-GigabitEthernet0/0/1]ospf enable 1 area 0
1、[r1]ospf 1
2、[r1-GigabitEthernet0/0/1]area 0

-----------------------------------------
OSPF引入
-----------------------------------------
import-route ospf 2//引入进程2的OSPF[外部OSPF]
import-route static//将路由器上的静态路由引入当前OSPF
import-route direct//将路由器上的直连路由引入当前OSPF
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

⭐⭐⭐建议使用Loopback接口的IP地址作为路由器的Router ID。因为Loopback接口稳定，它一直都处于Up状态

配置router id:【和ip 地址很像，但它不是ip地址，就是个id号，用来选择最大的作为DR】

1、[r1]router id ip address xx.xx.xx.xx xx

2、[r1]ospf 1 router-id xx.xx.xx.xx xx

 

修改OSPF的优先级：ospf dr-priority 0【当优先级为0时，不参与DR,BDR竞选，和其他人保持邻居关系2-Way，和DR、BDR保持邻接关系-Full】

⭐当两个直连的路由器都配置了OSPF优先级为0，则这两个路由器只能是2-way也就是邻居关系; 🔑若没配置,则必有一个相邻的接口是DR,另一个是BDR

修改OSPF的网络类型：

ospf network-type p2mp
ospf network-type p2p
//输完之后，两个点到点/点到多点的网络将不会选举DR和BDR，本身就直接形成邻接关系
//应为没必要，应为一条线的两端都属于同一网络

 

Vlanif口

⭐⭐⭐vlanif口是管理接口,相当于PC的网关地址/就是PC的网关

应用于三层交换机，为每个vlan配置管理口vlanif xx一般xx就直接用该vlan的名字。【一般来说vlanif（逻辑接口）的名字用vlan(物理接口)的就行，简单点】

配置完vlanif之后，三层交换机就能够实现不同vlan之间的通信

[S1]vlan batch 10 20
-------------------------------------------------
同时创建vlan使用batch 创建vlan 10和vlan 20
-------------------------------------------------
[S1]interface Vlanif 10

[S1-Vlanif10]ip address 192.168.100.1 24
-------------------------------------------------
下面这些命令必须先存在vlan才行
-------------------------------------------------
[S1]interface GigabitEthernet 0/0/1

[S1-GigabitEthernet0/0/1]port link-type access 

[S1-GigabitEthernet0/0/1]port default vlan 10

loopback口

loopback口是管理接口，相当于向下扩展的设备，不用新加设备了，因为这个逻辑接口就相当于设备

通过配置loopback口，可以使得路由器多出来一个逻辑接口

一般建议使用其中一个loopback口的ip地址作为route-id,因为链路有可能会down,但是loopback口一直保持up

[r1]int loopback 0
[r1 loopback0]ip address xx.xx.xx.xx xx

 

手工配置链路聚合

⭐交换机的配置，两边都要配：
1、创建链路聚合接口
2、将物理接口加入这个聚合接口，✨物理接口加入前必须是默认的hybrid类型
3、在这个链路聚合接口进行配置

[s1]interface Eth-Trunk 1
--------------------------------------------------------
[s1-Eth-Trunk1]trunkport GigabiteEthernet 0/0/1 to 0/0/2
//上下两个都行
[s1-GigabiteEthernet0/0/1]eth-trunk 1
[s1-GigabiteEthernet0/0/2]eth-trunk 1
----------------------------------------------------------

[s1-Eth-Trunk1]port link-type trunk
[s1-Eth-Trunk1]port trunk allow-pass vlan all
查看配置情况：
[s1-Eth-Trunk1]display this
[s1]display eth-trunk

⭐路由器上的配置 ：
1、创建链路聚合接口
2、🔑关闭二层功能，执行undo portswitch,就可以进行三层聚合
3、将物理接口加入这个聚合接口，✨物理接口加入前必须是默认的hybrid类型
4、在这个链路聚合接口进行配置

LACP模式配置链路聚合

STP命令

每个交换机都要敲
stp mode stp
//默认的模式是mstp，我们要改成stp

查看stp配置信息情况
display stp


//可选命令
配置当前设备为根桥
stp root primary
配置当前设备为备份根桥
stp root secondary
配置当前交换机的优先级，默认是32768
stp priority 123
配置当前接口开销
[接口视图]stp cost 123

ACL命令

rule 缺省rule-id的情况下，默认值是5

规则“rule permit ip”用于匹配所有IP报文，并对报文执行允许动作

⭐对自身产生的流量不做过滤，进入、出来自身接口的才叫流量，对路过的流量进行过滤
入接口调用的话，是对本地路由器生效
出接口调用的话，是对本地路由器不生效，流量将在数据转发过程中的下一台路由器生效
⭐对出去的流量进行过滤


✨ensp隐含最后一条是默认允许所有，匹配顺序从上往下，默认缺省rule-id是5，默认步长是5
注意规则顺序
禁止所有源通过
rule 数字 deny source any

⭐查看设备上所有基于ACL进行报文过滤的应用信息，这些信息可以帮助用户了解报文过滤的配置情况并核对其是否正确，同时也有助于进行相关的故障诊断与排查。
display traffic-filter applied-record

静态NAT命令-不咋用

动态NAT命令

NAT Server配置

FTP配置

ftp server enable
set default ftp-directory命令设置FTP用户的默认工作目录。
✨如果用户无权访问任何工作目录，则需要定义一个默认的FTP目录。