Network-网络基础
一、概述
1、网络的由来
-
世界上第一个网络的产生,是在冷战期间,美国国防部DOD出资要求搭建一个分布式军事指挥系统。其后,ARPA:美国的高级研究项目署。
-
将美国的三所大学中的四台计算机联系经起来,形成ARPAnet。当时使用的基本原理就是IP地址,TCP/IP协议。一直延续到今天。
2、网络速率
一个字节存储8位无符号数,储存的数值范围为0-255。
数据存储是以 “字节”(Byte)为单位,数据传输大多是以“位”(bit,又名“比特”)为单位,一个位就代表一个0或1(即二进制),每8个位(bit,简写为b)组成一个字节(Byte,简写为B),是最小一级的信息单位。
-
在网络传输中,描述速率的时候,用的是bit(比特)
-
在电脑上描述文件大小的时候,用的是byte(字节)
-
1byte = 8 bit
生活中,我们常说的拉一个宽带100M,这里描述的是速率。所以平时下载时看到的速度是无法达到100M/s,因为下载时用的是文件大小的描述。
3、网络的分类
3.1、按地域范围
- 局域网:LAN
- 广域网:WAN
- 城域网:MAN
3.2、按技术划分
- 对等网:网络中主机具有相同角色
- C/S:客户机/服务器
- B/S:浏览器/服务器
3.3、按安全划分
- intranet:内部网络
- extranet:外部网络
- Internet:国际互联网
4、网络拓扑结构
- 点对点
- 一般用于广域网中,连接两台路由器。
- 星型(重要,常用结构)
- 易于实现,易于扩展,易于排查故障。缺点:中心节点压力大,成本高
- 网状:几乎没有
- 总线型;几乎没有
5、OSI 参考模型
- 分层思想
- 将复杂的流程分解,复杂问题简单化
- 更易排查问题。比如,先ping一下,可以确定是高层、还是低层问题。
- 国际标准化组织ISO于1984年发布的。
- 规定是,从下往上,一至七层:
| 层级数 | 层级名称 | |
|---|---|---|
| 七 | 应用层 | HTTP、FTP、SSH、DNS |
| 六 | 表示层 | |
| 五 | 会话层 | |
| 四 | 传输层 | TCP、UDP、ICMP协议、端口号 |
| 三 | 网络层 | IP地址,路由器 |
| 二 | 数据链路层 | 交换机,MAC地址 |
| 一 | 物理层 | 网卡 |
6、TCP/IP参考模型
| 层级数 | 层级名称 | 物理设备 | ||
|---|---|---|---|---|
| 5 | 应用层 | 计算机 | 上层数据 | |
| 4 | 传输层 | 防火墙 | TCP头部(或UDP)+ 上层数据 | 数据段 |
| 3 | 网络层 | 路由器 | IP头部 + TCP头部 + 上层数据 | 数据包 |
| 2 | 数据链路层 | 交换机 | MAC头部 + IP头部 + TCP头部 + 上层数据 | 数据帧 |
| 1 | 物理层 | 网卡 | 01010101010101010101010101010101 | 比特流 |
7、数据通信过程
-
应用层程序准备好数据
-
表示层负责将数据转换格式
-
会话层负责建立会话连接,不是所有应用都有此步骤
-
传输层负责把数据切分成一个个的片段,称作数据段segment。
每个数据段加上编号,称作序列号。还需要指定使用的是TCP或UDP协议,以及端口号。
-
网络层负责给数据加上IP地址,打成数据包package。
-
数据链路层负责给数据加上MAC地址,打成数据帧frame。
-
物理层将数据转换成二制的0和1,称作比特(流),在物理介质上传输。
-
发送方 :数据自上向下总是增加头部内容,称作封装过程。
-
接收方 :数据自下向上将发送方加入的头部移除,称作解封装过程。
8、TCP / IP 协议
TCP/IP 是最广泛支持的通信协议集合
- 包括大量 Internet 应用中的标准协议
- 支持跨网络架构、跨操作系统平台的通信
主机与主机之间通信的三要素
- IP 地址 (IP address)
- 子网掩码 (subnet mask)
- IP 路由 (IP router)
9、IP 地址
作用:用来标识一个节点的网络地址
组成:一共 32 个二进制位,一般用点 . 分隔成 4 个十进制(点分十进制)
分类:A、B、C 类用于一般计算机网络,D、E类用于组播及科研试验专用。
| IP地址类型 | 二进制固定最高位 | 第一字节十进制范围 | 二进制网络号 | 二进制主机号 |
|---|---|---|---|---|
| A类 | 0 | 0 ~ 127 | 8 位 | 24 位 |
| B类 | 10 | 128 ~ 191 | 16 位 | 16 位 |
| C类 | 110 | 192 ~ 223 | 24 位 | 8 位 |
| D类 | 1110 | 224 ~ 239 | 组播使用 | |
| E类 | 11110 | 240 ~ 255 | 科研或试验使用 |
32位二进制: 11111111 11111111 11111111 11111111
点分十进制: 255.255.255.255
# 二进制 转换 十进制
1 1 1 1 1 1 1 1
2^7 2^6 2^5 2^4 2^3 2^2 2^1 2^0
128 64 32 16 8 4 2 1
128 + 64 + 32 + 16 + 8 + 4 + 2 + 1 = 255
+1 128 + 0 = 128
+2 128 + 64 = 192
+3 128 + 64 + 32 = 224
+4 128 + 64 + 32 + 16 =240
+5 128 + 64 + 32 + 16 + 8 = 248
+6 128 + 64 + 32 + 16 + 8 + 4 =252
+7 128 + 64 + 32 + 16 + 8 + 4 + 2 = 254
+8 128 + 64 + 32 + 16 + 8 + 4 + 2 + 1 = 255
9.1、特殊 IP 地址
广播地址
- 作用:用于向网络中的所有设备进行广播。
- 定义:具有正常的网络号,而 主机号 全部为 "1" 的 IP地址 称为 (直接)广播地址。
本地回送地址
- 127.0.0.0/8
9.2、私有 IP 地址
- 10.0.0.0/8
- 172.16.0.0/12 :172.16.0.0 到 172.31.255.255
- 192.168.0.0/16 :
172.16.0.0/12
172.0001|0000.00000000.00000000/12
172.0001|1111.11111111.11111111/12
172.31.255.255/12
10、子网掩码
作用:用于识别 IP 地址中的 网络号 和 主机号 的位数。
表示方法
- 32 位二进制数字:网络号 用 "1" 表示,主机号 用 "0" 表示。如:IP地址 192.168.1.10 的子网掩码是 255.255.255.0 ,表示这个 IP地址 的前 24 位是 网络号,后 8 位是 主机号。
- 网络后缀表示法:IP地址 / 网络号位数,如以上例子可表示为:192.168.1.10/24
128 + 64 + 32 + 16 + 8 + 4 + 2 + 1 = 255
+1 128 + 0 = 128
+2 128 + 64 = 192
+3 128 + 64 + 32 = 224
+4 128 + 64 + 32 + 16 =240
+5 128 + 64 + 32 + 16 + 8 = 248
+6 128 + 64 + 32 + 16 + 8 + 4 =252
+7 128 + 64 + 32 + 16 + 8 + 4 + 2 = 254
+8 128 + 64 + 32 + 16 + 8 + 4 + 2 + 1 = 255
# 左边 依次全为1时:
---> 1 1 1 1 1 1 1 1
---> 128 192 224 240 248 252 254 255
# 右边 依次全为1时:
1 1 1 1 1 1 1 1 <---
255 127 63 31 15 7 3 1 <---
-----------------------------------------------------
# 默认子网掩码
8 255.0.0.0
16 255.255.0.0
24 255.255.255.0
32 255.255.255.255
9 255.128.0.0 11111111 10000000 00000000 00000000
10 255.192.0.0 11111111 11000000 00000000 00000000
11 255.224.0.0 11111111 11100000 00000000 00000000
12 255.240.0.0 11111111 11110000 00000000 00000000
13 255.248.0.0 11111111 11111000 00000000 00000000
14 255.252.0.0 11111111 11111100 00000000 00000000
15 255.254.0.0 11111111 11111110 00000000 00000000
11、子网划分
核心思想:网络号 不变,借用 主机号 来产生新的网络。
借位:IP地址 中的 网络位 向 主机位 借取一定的位数充当 网络位。
问:一个网络,主机号有 x 位,则这个网络可以分配给主机的 IP地址 有多少个?
- 答:主机号全 "0" 是主机地址,主机号全 "1" 是广播地址,可用 IP地址 为:2x-2
划分步骤:
- 计算所借位数N:2N >= 子网数
- 计算每个子网大小 :2M-N-2 (M为主机号位数)
示例:
现有一网段 192.168.2.0/24 需要划分 4 个子网,每个子网大小 都大于 60 个IP。
1. 计算所借位数N
2^N >= 4 ==> N=2
2. 计算每个子网大小
2^(8-2)-2 = 62 ==> 大于60
3. 计算每个子网的范围
192.168.2.00|000000/26 192.168.2.0/26 ~ 192.168.2.63/26
192.168.2.01|000000/26 192.168.2.64/26 ~ 192.168.2.127/26
192.168.2.10|000000/26 192.168.2.128/26 ~ 192.168.2.191/26
192.168.2.11|000000/26 192.168.2.192/26 ~ 192.168.2.255/26
12、IP 路由(网关)
网关
- 从一个网络连接到另一个网络的 "关口"
- 通常是一台跟帖器,或者防火墙、接入服务器
13、华为设备
13.1、接口与视图
接口
- console :控制台接口,连接控制线缆到PC机。相当于是为设备提供键盘、鼠标、显示器
- FastEthernet :快速以太网接口,速率100Mbps
- GigabitEthernet :吉比特接口,速率1000Mbps
设备配置
- 命令需要在不同的模式下执行,不同模式有不同的指令
- 用户视图:只能执行一些基本的查询指令。<主机名>
- 系统视图:可以执行管理命令:[主机名]
- 接口视图:只对某一接口生效的指令在此执行。[主机名-接口]
- 协议视图:配置相关协议时使用的视图。[主机名-协议]
<Huawei> # 用户视图
<Huawei> system-view # 进入系统视图
[Huawei] # 系统视图
[Huawei] sysname sw1 # 修改主机名为sw1
# 在华为设备上,任何与显示相关的命令,都以display开头
[sw1] display interface brief # 显示所有端口的简要信息
[sw1] int g0/0/1 # 进入接口
[sw1-GigabitEthernet0/0/1] # 接口视图
[sw1-GigabitEthernet0/0/1] quit # 返回上一步
[sw1-GigabitEthernet0/0/1] return # 直接返回到用户视图
[sw1-GigabitEthernet0/0/1] ctrl+z # 按组合键也会返回到用户视图
<sw1> save
# 系统提示将会把系统原有配置覆盖,是否要继续,选择y,系统再次提示文件名,直接回车,采用默认的名字即可
<sw1> reset saved-configuration # 擦除保存的配置
13.2、常用基础命令
<Huawei> ? # 用?可以显示该模式下所有的命令
<Huawei> l? # 显示所有的以l开头的命令
<Huawei> language-mode Chinese # 改变为中文提示
[Huawei] sysname sw1 # 修改主机名为sw1
<sw1> display version # 查看设备的软件版本号和运行时间
<sw1> display current-configuration # 查看设备当前的生效配置
# 配置密码
# AAA模式。认证模式:以下三个A
# Athentication:认证,你是谁
# Athorization:授权,你能干什么
# Audit:审计,你干了什么
<sw1> system-view
[sw1] aaa
[sw1-aaa] local-user 用户名 password cipher 密码
# 设置加密密码
[sw1-aaa] quit
[sw1] user-interface console 0
# 进入控制台接口模式
[sw1-ui-console0] authentication-mode aaa # 配置使用AAA认证
# 退出到最外面,再次回车,进入用户视图就需要用户名和密码了
13.3、命令小技巧
# 配置设备没有控制台超时时间,相当于配置主机、手机锁屏前的等待时间
[sw1] user-interface console 0
[sw1-ui-console0] idle-timeout 分钟数
# 在操作时会不错的有日志提醒。如需要屏蔽可以直接在用户视图复制以下命令。
<Huawei>
undo terminal debugging
undo terminal monitor
undo terminal logging
undo terminal trapping
sys
user-interface console 0
idle-timeout 0
二、交换机(数据链路层)
1、MAC地址(第二层)
- MAC:介质访问控制
- MAC地址也叫物理地址。设备在生产时,MAC烧到印制的电路版中
- 网卡有MAC地址。交换机、路由器的每个端口都有MAC地址。
- MAC地址共48位(48个二进制),6字节。
- 以十六进制表示:2进制转换成16进制,每两个16进制之间用:或- 隔开。共6段。
- MAC地址前24位是厂商的组织唯一标识符,即OUI。后24位由厂商决定。
# 2进制与16进制的转换:4位2进制转换成一个16进制数
0000 -> 0
0001 -> 1
0010 -> 2
0011 -> 3
0100 -> 4
0101 -> 5
0110 -> 6
0111 -> 7
1000 -> 8
1001 -> 9
1010 -> A
1011 -> B
1100 -> C
1101 -> D
1110 -> E
1111 -> F
2、工作原理
- 学习
- 交换机内部有一张MAC地址表。在开机的时候是空的,没有任何记录。
- 主机发送数据帧,数据帧包含了源MAC地址,目标MAC地址。
- 交换机根据数据帧学习,并记录每个端口连接的主机的MAC地址。
- 广播
- 如果接收的数据帧中的目标MAC地址,在MAC表中没有,交换机就会向其它所有接口进行广播。
- 转发
- 经过学习后,当MAC地址表中有目标MAC,交换机就通过单播转发数据帧。
- 更新(动态学习)
- 交换机的MAC地址表老化时间是300秒
- 当交换机发现某个接口发送的数据帧与MAC地址表中记录不一致时,会重新学习记录。
3、划分VLAN
3.1、网络的通信类型
在IPV4中:
- 单播unicast:一对一
- 多播(组播)multicast:一对部分
- 广播broadcast:一对所有
在IPV6中:没有广播,增加的是任播anycast。
- 任播地址与单播地址一样,只不过这个地址是可以配置在多个节点上。
- 当需要找这个地址时,交换机会自动判断去找最近的。
3.2、划分VLAN的原因
广播域:设备发出广播后,能够接收到广播的设备集合起来,就是一个广播域。
- 没有任何配置的情况下,多台交换机,默认是处于同一个广播域。
- 交换机的每个接口,默认情况也是处于同一个广播域。
原因:如果不对广播域进行控制,随着设备增加,会极大的降低网络的传输效率
- 交换机会将主机发送的数据帧向所有端口发送
- 广播(目标MAC是1-1-1-1-1的)
- 组播
- 未知地址的单播
3.3、划分VLAN的作用(优点)
VLAN:Virtual LAN(虚拟局域网)
- 控制广播,划分广播域。
- 增加安全性
- 提高带宽利用
- 降低延迟
3.4、创建VLAN
每个VLAN都有一个ID号(1--4094)。同时还可设定名称(非必须)。
# 查看VLAN信息,默认所有端口都在vlan1中
<Huawei> system-view
[Huawei] display vlan # 查看VLAN
# 创建一个VLAN(系统模式)
[Huawei] vlan 10 # VLAN id号范围是1-4094
[Huawei-vlan10] description ops # 给VLAN10命名:ops(运维部)
[Huawei-vlan10] display this # 查看当前模式下有哪些配置
# 批量创建VLAN
[Huawei] vlan batch 15 20 # 创建两个VLAN
[Huawei] vlan batch 21 to 25 # 创建5个VLAN:21-25
[Huawei] display vlan
# 删除VLAN:在创建VLAN的命令前加undo
[Huawei] undo vlan 20
[Huawei] undo vlan batch 15 21
[Huawei] undo vlan batch 21 to 25
3.5、划分端口给VLAN
端口的分类:
- 接入端口access:接入端口只能属于一个VLAN。
- 中断端口trunk:不属于任何VLAN,但是可以承载所有的VLAN的数据。
-
重点注意:在不同的交换机之间通信,同一VLAN才能通信,以VLAN的ID号区分。原因:交换机在转发数据帧时,会打上相应的VLAN标识。
-
在同一个交换机中,同一VLAN,不同网段,是无法直接通信的,需要有网关转发(路由)。
-
在同一个交换机中,不同VLAN,同一网段,也是无法直接通信的;就相当于:不同交换机,不同的VLAN,是无法通信的。
-
所以,同一网段,要想通,必须设置在同一VLAN中。
# 注意:将接口设置成对应的端口,再将端口加入相应的VLAN。必须进入接口视图配置。
[Huawei] int g0/0/1 # 进入接口
[Huawei-GigabitEthernet0/0/1] port link-type access # 设置端口类型
[Huawei-GigabitEthernet0/0/1] port default vlan 10 # 加入vlan10
[Huawei-GigabitEthernet0/0/1] display this # 查看当前接口设置
# 批量将端口加入VLAN
[Huawei] port-group 1 # 创建端口组,组号为1
[Huawei-port-group-1] group-member g0/0/5 g0/0/8 # 将不连续端口加入组
[Huawei-port-group-1] group-member g0/0/11 to g0/0/15 # 将连续端口加入组
[Huawei-port-group-1] port link-type access
[Huawei-port-group-1] port default vlan 10 # 将端口组加入VLAN10
[Huawei] display vlan # 查看VLAN
3.6、中继链路聚合
- 中继链路:两个交换机之间将两个中继端口连接的线路。主要用在交换机之间。
- 链路聚合:交换机之间可以连接多条链路。将多条链路捆绑成一个逻辑端口。
- 可以提供更大的带宽,还可实现容错。
- 重点注意
- 参与捆绑的所有端口,物理状态要一致:比如,都是1000Mb/s
- 参与捆绑的所有端口,必须:同一VLAN,或,都是中继端口
- 细节点:创建链路聚合时,必须先创建逻辑 (虚拟) 端口,再配置逻辑端口属性。物理端口不能先配置任何属性,否则会报错。
- 链路聚合也是可以用于接入端口的,只不过实际工作很少见。
# 配置中继,两个步骤。注意,链路两端的交换机端口都需要配置。(一条链路)
# 1. 将端口设置为中继模式
[sw1] int g0/0/24
[sw1-GigabitEthernet0/0/24] port link-type trunk
# 2. 设置中继端口允许哪些VLAN的数据通过
[sw1-GigabitEthernet0/0/24] port trunk all-pass vlan all
------------------------------------------------------------------------
# 链路聚合(多条链路)两端的交换机端口都需要配置
# 1. 清除参与捆绑端口的配置(如果之前有配置过则需要)
[sw1] clear configuration interface GigabitEthernet 0/0/23
[sw1] clear configuration interface GigabitEthernet 0/0/24
# 2. 创建名为Eth-Trunk 0的逻辑端口
[sw1] interface Eth-Trunk 0
# 3. 把物理端口加入到逻辑端口中
[sw1-Eth-Trunk0] trukport GigabitEthernet 0/0/23 0/0/24
# 4. 配置逻辑端口为中继状态
[sw1-Eth-Trunk0] port link-type trunk
[sw1-Eth-Trunk0] port trunk allow-pass vlan all
# 5. 将物理端口启用
[sw1] interface GigabitEthernet 0/0/23
[sw1-GigabitEthernet0/0/23] undo shutdown
[sw1] interface GigabitEthernet 0/0/24
[sw1-GigabitEthernet0/0/24] undo shutdown
# 6. 查看
[sw1] display vlan
[sw1] display interface Eth-Trunk 0
[sw1] display current-configuration
三、路由器(网络层)
1、网络层(第三层)
- ARP:地址解析协议(以广播的方式工作。经常说的ARP广播就是这个)
- 三层需要IP地址
- 二层需要MAC地址
- APR协议:将IP地址解析为MAC地址
- ICMP协议(Ping命令):通过IP数据报传送,用来发送错误和控制信息
- 目的地不可达
- TTL越时
- 信息请求
- 信息应答
- 地址请求
2、工作原理
-
路由器:负责路径选择的设备。路由,即路径。
-
路由器负责将不同的网络连接起来。交换机连接的是相同网络
-
路由器是三层设备,每个端口都要有IP地址,且不能设置同一网段的IP。
-
路由器收到数据包后,根据自己的路由表做出转发决定。
-
如果目的地不在路由表中,则将数据包丢弃。(交换机是广播)
-
路由器不允许广播通过。
-
路由表的形成可以是管理员手工配置静态路由;也可以通过路由协议自动学习
-
路由表中保存的是最优路径,而不是全部路径。
# 基本命令
[R1] display interface brief # 查看端口简要信息
[R1] display ip interface brief # 查看端口配置的IP信息
[R1] display ip routing-table # 查看路由表
[R1] int g0/0/0 # 进入接口视图
[R1-GigabitEthernet0/0/1] ip address 192.168.1.254 24 # 给接口配置IP。
[R1-GigabitEthernet0/0/1] undo ip address # 取消IP配置
3、静态路由
- 由管理员手工配置,为单向条目。
- 通信双方的边缘路由器都需要指定,否则会导致数据包有去无回。
拓扑图参考:
- 当1.1主机去ping主机3.1或4.1时,数据包可以发送到R2,但是当返回数据包时,如果在R2中没有指定下一跳路由,也就是在路由表中没有到达IP目的的记录,则会将包丢弃。
# 配置格式为:ip route-static 目标网络的ID(网段) 子网掩码 下一跳
[R1] ip route-static 192.168.3.0 24 192.168.2.2
[R1] ip route-static 192.168.4.0 24 192.168.2.2
# 注意看,在R2中,因为只有1网段不是直连的,所以就需要配置。
# 而R2本身2.0,3.0,4.0的网段都是直连的,就不需要配置。(原理仍然是:看路由表。)
[R2] ip route-static 192.168.1.0 24 192.168.2.1
默认路由(缺省路由)
- 默认路由是一种特殊的静态路由
- 默认路由的目标网络为0.0.0.0/0,即可以匹配任意的目标地址。
- 只有当从路由表中找不到任何可以明确匹配的路由条目时,才使用默认路由。优先级最低
- 一般在企业的网关出口使用。为了连接公网,往外跳的时候进行设置,往里走的时候,如果是大公司,用动态路由协议,小公司架构不复杂也可以用静态路由设置。
# 拓扑图仍是参考上图。对于R1,设置默认路由后,不管是到3.0、4.0、5.0、6.0网段,都是跳到2.2。
[R1] ip route-static 0.0.0.0 0 192.168.2.2
4、三层交换机
三层交换机 = 二层交换+三层路由转发
- 在三层交换机中,把每个VLAN当作有一个虚拟接口。(一个房间有一个门)
- 然后,在VLAN的虚拟网关接口(Vlanif)上配置网关IP。
- 配置好虚拟网关IP后,就相当于路由器的接口设置了IP,就可以认为实现直连路由转发。
- 注意:跟路由一样,接口不能配置同一网段的IP。
[Huawei] vlan batch 2 3
[Huawei] interface Vlanif 1 # 进入虚拟接口
[Huawei-Vlanif1] ip address 192.168.1.254 24 # 设置网关IP
[Huawei] interface Vlanif 2
[Huawei-Vlanif1] ip address 192.168.2.254 24
[Huawei] interface Vlanif 3
[Huawei-Vlanif1] ip address 192.168.3.254 24
[Huawei] interface G0/0/2
[Huawei-GigabitEthernet0/0/2] port link-type access
[Huawei-GigabitEthernet0/0/2] port default vlan 2
[Huawei] interface G0/0/3
[Huawei-GigabitEthernet0/0/2] port link-type access
[Huawei-GigabitEthernet0/0/2] port default vlan 3
升级一下:从性价比考虑,一般三层交换机S5700比S3700要高,虽然S3700也是三层交换机,但是接口为百兆口,作为三层交换机性能是完全不够的,一般只作为二层交换机使用。
实际工作中的经典架构。
5、动态路由OSPF
动态路由:由协议OSPF实现
OSPF协议:Open Shortest Path First(开放式最短路径优先)
步骤:
- 开启OSPF协议
- 配置区域
- 宣告自身拥有的所有的网段。(反掩码:0变1,1变0)
[Huawei] ospf # 开启OSPF
[Huawei-ospf-1] area 0 # 区域必须从0开始
# 以下为宣告自身拥有的网段。注意:掩码需要写反掩码。
[Huawei-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0] network 192.168.4.0 0.0.0.255
[Huawei] ip route-static 0.0.0.0 0.0.0.0 192.168.4.2
[Huawei] display routing-table | include 24 # 查看路由表中,包含24的信息。
四、传输层
作用:提供端到端的连接。
1、TCP协议(Transmission Control Protocol)
- 传输控制协议
- 可靠的、面向连接的协议
- 传输效率低
2、UDP协议(User Datagram Protocol)
- 用户数据报协议
- 不可靠的、无连接的服务
- 传输效率高
3、TCP的连接与断开
-
连接:三次握手
- Client:发送SYN,请求建立连接。
- Server:发送SYN、ACK
- Client:发送ACK
-
断开:四次挥手
- Client:发送FIN,请求断开
- Server:发送ACK
- Server:发送FIN,请求断开(注意:这里的server同意与发送请求不是同时发生的)
- Client:发送ACK
五、ACL
ACL:访问控制列表。
应用在路由器接口的,指令列表,即规则。
可以有多条规则,匹配即停止。
| 分类 | 编号范围 | 参数 |
|---|---|---|
| 基本ACL | 2000~2999 | 源IP地址 |
| 高级ACL | 3000~3999 | 源IP地址、目标IP地址、端口、协议 |
从以上分类可以得知,ACL必须应用在三层设备上,且是设置在接口上的。因为只有三层设备才能识别IP、端口、协议
1、基本ACL
- 步骤
- 开启ACL,定义分类
- 设立规则(交通红绿灯)
- 进入接口,执行规则(交警)
[R1] acl 2000 # 开启ACL,基本分类
[R1] rule deny source 192.168.2.1 0 # 设立规则:拒绝此IP访问,0表示这是一个主机,不是网段。
[R1] in g0/0/1 # 进入三层设备的接口,设立执行规则。
[Huawei-G0/0/1] traffic-filter inbound acl 2000 # 过滤进入,规则2000
# deny:拒绝 permit:允许 inbound:进入 outbound:出去
---------------------------------------------------------------------------------
[R1] display acl 2000 # 查看
[Huawei-G0/0/1] undo traffic-filter inbound # 删除
2、高级ACL
- 步骤
- 开启ACL,定义分类
- 设立规则
- 进入接口,执行规则
[R1] acl 3000
[R1-acl-adv-3000] rule deny tcp source 192.168.2.1 0 destination 192.168.1.1 0 destination-port eq 21
# 规则:允许tcp协议中,针对源IP,访问,目标IP,的端口号等于21,的服务
[R1] in g0/0/1
[R1-GigabitEthernet0/0/1] traffic-filter inbount acl 3000
六、NAT
-
NAT
- Network Address Translation,网络地址转换
-
IP地址:32位二进制数
-
常规分类
- A:1~127
- B:128~191
- C:192~223
-
私有地址
- 10.0.0.0/8
- 172.16.0.0 - 172.31.0.0/16
- 192.168.0.0 - 192.168.255.0/24
-
-
优点:
- 节省公有IP地址
- 处理地址重叠
- 安全
-
NAT常用的2种类型
- 静态转换:1对1:适合服务器对外发布服务的环境,内外双方均可发起链接。
- easy ip:1对多:适合只访问外网的需求,比如办公室环境员工上网,只能由内向外发起数据请求。
NAT配置必须在出口(连外部网络的接口)进行设置
1、静态NAT
[R1] int g0/0/1 # 一定要进入接口配置
[R1-GigabitEthernet0/0/1] nat static global 100.0.0.1 inside 192.168.2.1
# 当192.168.2.1出去的时候,将其转换成100.0.0.1
'static:静态 global:全局'
2、easy ip
- 由于这里是多人共用一个公网IP出去访问外网。
- 所以首先要在三层设备设置允许谁出去访问。要使用ACL来设定
- 最后再通过NAT调用ACL规则即可
- 跟静态不一样:不再需要指点公网IP,因为在路由器出口已经配置了公网IP,直接就用此IP。
[R1] acl 2000
[R1-acl-2000] rule permit source any
[R1] int g0/0/1
[R1-G0/0/1] nat outbount 2000 # NAT调用acl2000规则。
# 跟静态NAT不一样:不再需要指定公网IP,因为在路由器出口已经配置了公网IP,直接就用此IP。
七、VRRP
VRRP协议:虚拟路由冗余协议——主要实现网关高可用,热备份
VRRP 三个角色
- 主路由器(master):负责转发数据
- 备份路由器(backup):监视主路由,随时替代
- 虚拟路由器(Virtual):客户机的网关
1、首先配置虚拟路由器(虚拟IP)
虚拟网关,本身就是一个IP,那么在三层设备中,就相当于设置一个IP,首先要进入VLAN虚拟接口。
[Huawei] interface Vlanif 1 # 进入VLAN虚拟接口中设置
[Huawei-Vlanif1] vrrp vrid 1 virtual-ip 192.168.1.254
# vrid=virtual id;最好跟VLAN的ID一致。
<Huawei>display vrrp brief # 查看VRRP信息
2、实现负载均衡、热备份。
思路:
- MS1:vlan1(主),vlan2(备)
- MS2:vlan1(备),vlan2(主)
#[MS1]
[Huawei] interface Vlanif 10
[Huawei-Vlanif10] ip address 192.168.10.252 24
[Huawei-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.254
[Huawei-Vlanif10] vrrp vrid 1 priority 110 # 设置优先级。
[Huawei] interface Vlanif 20
[Huawei-Vlanif20] ip address 192.168.20.252 24
[Huawei-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.254
-----------------------------------------------------------------------------
#[MS2]
[Huawei] interface Vlanif 10
[Huawei-Vlanif10] ip address 192.168.10.253 24
[Huawei-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.254
[Huawei] interface Vlanif 20
[Huawei-Vlanif20] ip address 192.168.20.253 24
[Huawei-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.254
[Huawei-Vlanif20] vrrp vrid 2 priority 110 # 设置优先级。
# 优先级没有设置,默认情况下:1、谁先起服务谁为主。2、如同时起服务,IP大的为主。(了解即可)
# 优先级默认是100,最大是254。一般是往上调。
岁月悠悠!亘古一顺!
浙公网安备 33010602011771号