网络协议知识汇总

---

第一阶段：网络基础与核心协议

此阶段是所有网络技术的基石，主要解决“如何在网络中唯一标识设备并实现基本通信”的问题。

1. 地址解析协议 (ARP)

• 核心功能：在同一个局域网（广播域）内，根据已知的IP地址解析出对应的MAC地址。（简单理解为IP找Mac）
• 工作原理：
  1. ARP请求：主机A想与主机B通信，但只知道B的IP，不知道B的MAC。A会广播一个ARP请求报文，问：“谁是IP B？请告诉你的MAC地址给我。”
  2. ARP应答：主机B收到请求后，会单播一个ARP应答报文给A，说：“我是IP B，我的MAC地址是MAC-B。”
• 关键报文格式：
  • 以太网帧头中的目的MAC：ARP请求时为广播MAC (FF:FF:FF:FF:FF:FF)，确保全网接收。
  • ARP报文内的目标MAC：在ARP请求中填00:00:00:00:00:00，表示“未知，等待填充”。
• 免费ARP (无故ARP)：
  • 作用：设备获取到IP地址（如开机或DHCP获取）后，主动发送一个目标IP为自己IP的ARP请求。
  • 目的：
    1. IP冲突检测：如果收到应答，说明该IP已被其他设备使用。
    2. 更新邻居缓存：通知网络上其他设备更新自己的ARP表项。

2. 动态主机配置协议 (DHCP)

• 核心功能：自动为网络中的终端设备分配IP地址、子网掩码、默认网关、DNS等网络参数。
• 协议与端口：基于UDP协议，协议号17，客户端使用端口68，服务器使用端口67。
• 工作过程（四个阶段）：
  1. 发现阶段：客户端广播发送 DHCP Discover 报文，寻找DHCP服务器。（广播）
  2. 提供阶段：服务器收到后，单播回复 DHCP Offer 报文，提供一个IP地址。（单播）
  3. 选择阶段：客户端收到多个Offer后，从中选择一个，并广播 DHCP Request 报文，告知所有服务器它的选择。（续租 50%单播 87.5%广播）
  4. 确认阶段：被选中的服务器单播回复 DHCP Ack 报文，正式确认地址分配。（单播）
• 九个关键报文：discover发现, offer提供, request请求, ack确认, nak拒绝, decline冲突通知, release释放, inform获取详细配置信息。无故ARP IP检测冲突。
• DHCP Snooping：
  • 作用：一种安全特性，通过将端口设置为trusted（信任）或untrusted（非信任），防止网络中的私设DHCP服务器（伪造DHCP Offer/Ack报文）攻击。
  • 配置：连接合法DHCP服务器的端口配置为dhcp snooping trusted。

3. 虚拟局域网 (VLAN)

• 核心功能：在物理交换机上创建多个逻辑上隔离的广播域。
• 作用：
  1. 隔离广播域：减少ARP广播风暴的影响范围。
  2. 提升安全性：不同VLAN间的设备默认不能直接通信。
  3. 简化网络管理：可根据部门或业务划分网络。
• 端口模式：
  • Access端口：用于连接终端设备（如PC、打印机），只能属于一个VLAN，发送不带Tag的以太网帧。
  • Trunk端口：用于交换机间互联，可以允许多个VLAN的数据通过，传输带Tag的以太网帧。
  • hybird：（目前市场不常用）。

第二阶段：交换网络与高可用性

此阶段关注如何在复杂的交换网络中防止环路、提供冗余和带宽扩展。

1. 生成树协议 (STP / RSTP / MSTP)

• 核心问题：交换网络中若存在物理环路，会引发广播风暴、MAC地址表震荡。
• 核心思想：通过阻塞某些端口，在逻辑上“剪断”环路，形成一个无环的逻辑树形结构。当活动路径故障时，自动恢复阻塞端口。
• STP (802.1D)：
  • 端口状态：禁用(Disabled)、阻塞(Blocking)、侦听(Listening)、学习(Learning)、转发(Forwarding)。
  • 收敛慢：从阻塞到转发需要30-50秒（20秒Max Age + 15秒Listening + 15秒Learning）。
• RSTP (802.1w)：STP的改进版。
  • 优化点：
    1. 端口角色：增加替代端口(Alternate)和备份端口(Backup)，作为根端口的快速备份。
    2. 端口状态：缩减为丢弃(Discarding)、学习(Learning)、转发(Forwarding)。
    3. P/A机制：通过Proposal/Agreement报文快速协商，指定端口可立即进入转发状态，无需等待30秒。
    4. 边缘端口：连接终端的端口可配置为边缘端口，可直接进入转发状态，不参与STP计算。
    5. 链路故障检测：连续3个Hello Time（默认6秒）未收到BPDU即判定故障，替代端口快速切换。
• MSTP (802.1s)：
  • 核心功能：将多个VLAN映射到一个实例中，为每个实例独立运行RSTP，实现不同VLAN的流量沿不同路径转发，实现负载分担。
  • 配置：

    stp region-configuration
     region-name sw
     instance 1 vlan 10   # 将VLAN 10映射到实例1
     instance 2 vlan 20   # 将VLAN 20映射到实例2
     active region-configuration
    stp instance 1 priority 4096    # 设置实例1的根桥优先级
    stp instance 2 root primary     # 设置实例2为根桥
    

• STP保护机制：
  • BPDU保护：在边缘端口上配置，若收到BPDU报文，则立即关闭该端口，防止有人私接交换机影响网络拓扑。

    stp bpdu-protection
    error-down auto-recovery cause bpdu-protection interval 30
    

  • 根保护：在指定端口上配置，若收到更优的BPDU，端口进入Discarding状态，防止恶意设备抢占根桥地位。

    stp root-protection
    

  • 环路保护：在根端口或替代端口上配置，若长时间收不到BPDU，端口进入Discarding状态，防止因单向链路故障导致环路。

    stp loop-protection
    

  • TC-BPDU保护：限制设备处理TC（拓扑变更）报文的速率，防止攻击者伪造TC报文导致MAC地址表被频繁刷新。

2. 链路聚合 (Eth-Trunk)

• 核心功能：将多个物理接口捆绑成一个逻辑接口。
• 作用：
  1. 增加带宽：将多个链路带宽相加。
  2. 提高可靠性：某条成员链路故障时，流量自动在其他链路上负载分担。
  3. 避免环路：聚合后的逻辑链路本身不会产生环路。
• 模式：
  • 静态聚合：手动配置，不协商。
  • 动态聚合 (LACP)：使用LACP协议自动协商聚合关系，更智能、更可靠。通过LACP优先级确认主动端。
• 负载分担：可基于源/目的MAC、源/目的IP等进行哈希计算，将流量分配到不同成员链路。

3. 堆叠与M-LAG

• 堆叠 (iStack/StackWise)：
  • 思想：将多台物理交换机通过堆叠线缆连接，虚拟成一台逻辑交换机。
  • 优点：简化组网、扩展端口、增大带宽、高可靠性。
  • 建立过程：物理连接 → 选举主交换机（基于优先级、MAC） → 分配堆叠ID → 同步配置。
• M-LAG (跨设备链路聚合)：
  • 思想：让两台独立的物理交换机在控制平面协同，在数据平面表现为一台逻辑设备，与下游设备建立跨设备链路聚合。
  • 核心组件：
    • Peer-Link：对等链路，用于同步表项（MAC/ARP）和少量数据流量。
    • Keepalive Link：保活链路，独立链路，用于检测对端设备是否存活，防止“脑裂”。
  • 优势：相比堆叠，M-LAG的两台设备控制平面独立，升级维护时对业务影响更小，可靠性更高，是数据中心主流的高可用技术。

第三阶段：路由技术与策略控制

此阶段关注数据包如何在复杂的网络中找到通往目的地的最佳路径。

1. 路由基础与浮动路由

• 路由表：存储在路由器中的一张“地图”，指导数据包往哪个方向（下一跳）发送。
• 浮动路由：
  • 思想：为目的网络配置两条静态路由，一条优先级高（管理距离小），一条优先级低（管理距离大，如preference 66）。
  • 作用：当主链路故障时，优先级低的路由自动激活，实现三层链路的备份。

2. OSPF (开放最短路径优先)

• 核心功能：一个内部网关路由协议，用于在同一个自治系统内传播路由信息。
• 协议号：89
• 五大报文、七种状态、五大类LSA
• 工作过程：
  1. 建立邻居关系：通过互发Hello报文（组播224.0.0.5），协商参数，状态达到2-Way（邻居关系，数据库没有更新）。
  2. 同步数据库：通过DD、LSR、LSU、LSAck报文，交互LSA，使同一区域的LSDB达到一致，状态达到Full（邻接关系，数据库已经更新）。
  3. 计算路由表：基于LSDB，通过SPF算法计算到达各网络的最短路径。
• 关键术语：
  • DR/BDR：在广播网络（如以太网）中选举的指定/备份指定路由器，用于减少LSA的洪泛数量。所有DROther只与DR/BDR建立邻接关系。
  • LSA类型：
    • Type 1 (Router LSA)：每台路由器都会产生，描述自身接口状态。
    • Type 2 (Network LSA)：由DR产生，描述广播网络中的路由器成员。
    • Type 3 (Summary LSA)：由ABR产生，描述区域间路由。
    • Type 4 (ASBR Summary LSA)：由ABR产生，通告ASBR的位置。
    • Type 5 (External LSA)：由ASBR产生，描述引入的外部路由。
• 特殊区域：
  • Stub区域：拒绝Type 4/5 LSA，ABR会产生一条默认的Type 3 LSA访问外部。减少了路由表大小。
  • Totally Stub区域：在Stub基础上，进一步拒绝Type 3 LSA（仅保留默认路由）。
  • NSSA：允许引入外部路由（产生Type 7 LSA），但在ABR上会转换为Type 5 LSA。
  • Totally NSSA：在NSSA基础上，ABR产生一条默认的Type 3 LSA，并拒绝其他Type 3 LSA。
• 邻居关系无法建立的常见原因：
  1. Router-ID冲突
  2. 区域ID不一致
  3. 认证类型或密码不一致
  4. Hello/Dead时间不一致
  5. 网络掩码不一致（广播/NBMA网络）
  6. 接口优先级均为0（停留在2-Way状态，无法成为DR/BDR）

3. 策略路由 (PBR) vs. 路由策略 (Routing Policy)

特性	策略路由 (PBR)	路由策略 (Routing Policy)
核心思想	直接指挥数据包怎么走，绕过路由表。	通过影响路由表的生成，间接指挥数据包。
作用对象	数据报文本身。	路由信息（LSA、BGP更新）。
生效位置	在接口的入方向应用，优先于路由表转发。	在路由协议（OSPF、BGP）的导入/导出过程中应用。
配置核心	traffic classifier + traffic behavior + traffic policy + 接口调用。	ip ip-prefix / acl + route-policy + 路由协议调用。
典型命令	redirect ip-nexhop	if-match + apply (如apply cost, apply community)
典型场景	强制财务部流量走特定防火墙出口。	在BGP中为特定路由添加Community属性。

第四阶段：网络安全与网络服务

此阶段关注如何保护网络边界、对外发布服务以及在公网上安全地连接私网。

1. 访问控制列表 (ACL)

• 核心功能：根据数据包的头部信息（如源IP、目的IP、端口号）进行匹配，并执行permit或deny动作。
• 默认规则（非常重要）：
  • ACL单独用于包过滤：末尾隐含deny any。
  • ACL用于NAT：末尾隐含deny any。
  • ACL用于路由策略/QoS：末尾隐含deny any。
  • ACL与traffic-filter配合：默认规则是permit any。

2. 网络地址转换 (NAT)

• 核心功能：实现私有IP地址和公有IP地址之间的转换，解决IPv4地址短缺问题。
• 分类：
  • 源NAT (SNAT)：内网访问公网，转换源IP。
    • No-PAT：一对一转换，只转IP，不转端口。
    • NAPT：多对一转换，同时转换IP和端口，最节省公网IP。
    • Easy-IP：NAPT的特例，直接使用出接口的公网IP作为地址池。
    • Smart NAT：结合No-PAT和NAPT，一部分地址做一对一，一个地址做多对一。
  • 目的NAT (DNAT)：公网访问内网服务器，转换目的IP。
    • NAT Server：最常用的方式，将服务器的私网IP+端口映射到公网IP+端口。
• 黑洞路由 (解决环路问题)：
  • 问题：当FW对公网地址做NAT Server后，若FW收到去往该公网地址的报文，会查找路由表。若存在默认路由指向出口，会导致环路。
  • 解决：在FW上配置一条指向NULL 0的黑洞路由，用于吸收去往NAT公网地址的流量，防止环路。

    ip route-static 100.100.100.100 32 NULL 0
    

3. 防火墙技术

• 状态检测：
  • 思想：防火墙不只检查单个数据包，还会记录连接的状态（会话表）。只有属于已建立连接的数据包才允许通过。
  • 配置：

    firewall session link-state tcp check   # 开启TCP状态检测
    firewall session link-state icmp check  # 开启ICMP状态检测
    display firewall session table verbose  # 查看会话表详细信息
    

• 安全区域 (Zone)：
  • 思想：将接口划分到不同的安全区域（如Trust, Untrust, DMZ），相同区域安全级别相同，不同区域间默认不能互访。
  • 域内策略：默认同区域流量也是不放行的，需要手动开启。

    security-policy
    default packet-filter intrazone enable
    

• ASPF (应用层包过滤) & ALG (应用层网关)：
  • 问题：FTP、SIP等多通道协议，其数据通道的端口是动态协商的，无法被静态安全策略匹配。
  • ASPF：防火墙检测控制通道的报文（如FTP的PORT/PASV命令），从中提取动态端口信息，并临时生成Server-Map表项，允许后续的数据连接。
  • ALG：ASPF + 应用层NAT转换。在NAT场景下，ALG不仅能预测数据通道，还能修改应用层协议报文中的IP地址和端口信息，确保连接建立。
  • ALG应用场景总结：
    • 服务器在公网，客户端在私网，客户端使用主动模式 (PORT) → 需要ALG（转换PORT命令中的私网IP+端口）。
    • 服务器在私网，客户端在公网，客户端使用被动模式 (PASV) → 需要ALG（转换PASV回应中的私网IP+端口）。

4. 虚拟路由转发 (VRF)

• 核心功能：在一台物理路由器上虚拟出多个相互隔离的逻辑路由器。
• 实现：每个VRF拥有独立的路由表、接口、路由协议进程。
• 作用：用于MPLS VPN、网络虚拟化等场景，实现不同客户或业务之间的路由隔离。

第五阶段：高可用性、VPN与网络优化

此阶段关注如何构建一个高可靠、可扩展且能提供优质服务体验的网络。

1. VRRP (虚拟路由冗余协议)

• 核心问题：终端设备将网关设置为单台路由器，该路由器故障则整个网络断连。
• 核心思想：将多台路由器虚拟成一台“虚拟路由器”，为终端提供一个固定的虚拟IP地址作为网关。其中一台为Master负责转发，其余为Backup做备份。
• 协议与组播：协议号112，组播地址224.0.0.18。
• 优先级：范围0-255，值越大越优。优先级255表示IP地址拥有者（虚拟IP与接口IP相同）。
• 工作状态：Initialize (初始)、Master (活动)、Backup (备份)。
• 故障切换：Master周期性发送VRRP通告报文。Backup连续3个周期（约3秒）收不到通告，则认为Master故障，抢占成为新Master。
• 上行链路跟踪：Master可跟踪上行接口，若上行接口故障，则自动降低自己的优先级，触发切换。

  vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 110
  

2. BFD (双向转发检测)

• 核心功能：快速检测两台路由器之间转发链路的故障，检测时间可达毫秒级。
• 工作原理：两端设备建立BFD会话，周期性快速发送检测报文。连续几个报文未收到则判定链路故障。
• 作用：为OSPF、VRRP、静态路由等上层协议提供快速故障通知，从而加速这些协议的收敛。
• 配置示例 (单臂回声模式)：

  bfd beijing bind peer-ip 192.168.12.2 interface GigabitEthernet0/0/1 one-arm-echo
   discriminator local 1
   detect-multiplier 5
   min-echo-rx-interval 30
  

3. 双机热备 (HRP)

• 核心问题：防火墙作为网络出口，单台故障导致全网无法上网。
• 核心思想：两台防火墙组成主备或负载分担模式，通过HRP协议同步配置和会话表项，实现故障时的快速切换。
• 组网模式：
  • 主备备份：一台主设备转发流量，备设备待命。切换较慢（3秒+），但故障定位简单。
  • 负载分担：两台设备都转发流量，互为备份。切换快，但配置和故障定位复杂。
• HRP报文：心跳报文、心跳链路检测报文、VGMP组报文、配置/表项备份报文、配置一致性检查报文。
• 关键配置：
  • 配置备份：

    hrp auto-sync config          # 自动同步配置
    hrp auto-sync config static-route # 同步静态路由
    

  • 会话快速备份：在负载分担模式下，防止来回路径不一致。

    hrp mirror session enable   # 对设备压力大，谨慎使用
    

  • 配置一致性检查：定期检查两台防火墙配置是否一致。

    hrp configuration auto-check enable
    hrp configuration auto-check interval 60
    

4. VPN技术 (GRE, IPsec, MPLS VPN, VxLAN)

技术	核心思想	工作层次	关键特性	典型场景
GRE	通用路由封装，一种简单的隧道协议，可封装多种协议。	网络层	无加密、支持组播、配置简单。	与IPsec结合，解决IPsec不支持组播的问题。
IPsec	为IP网络提供安全服务（加密、认证）。	网络层	高安全性、支持传输/隧道两种模式。	站点到站点VPN、远程接入VPN。
MPLS VPN	运营商级的VPN技术，通过标签交换实现路由隔离。	2.5层	高性能、高扩展性、天然隔离。	运营商为企业提供专线替代服务。
VxLAN	数据中心大二层Overlay技术，将二层帧封装在UDP中。	二层Overlay	支持海量租户（16M VNI）、支持虚拟机动态迁移。	云计算数据中心、多租户环境。

5. QoS (服务质量)

• 核心问题：网络拥堵时，如何保证关键业务（如语音、视频会议）的体验？
• 核心思想：分类、标记、队列调度、限速。拥堵时，优先保障高优先级流量，延迟或丢弃低优先级流量。
• 实现三步走：
  1. 分类与标记：识别流量（如根据IP/端口），并在报文IP头中打上DSCP标记作为优先级标签。
  2. 队列与调度：在设备出口创建多个队列，高优先级流量进入高优先级队列，优先调度转发。
  3. 限速：对某些流量（如P2P下载）进行监管（直接丢弃）或整形（缓存后平滑发送）。

6. WLAN (无线局域网)

• 核心组件：
  • AP (接入点)：提供无线信号。
  • AC (接入控制器)：集中管理AP，下发配置，处理漫游。
• AP无法上线的常见原因：
  1. AP无法从DHCP服务器获取IP地址（接入交换机端口VLAN配置错误）。
  2. AP获取IP，但无法与AC通信（路由问题、CAPWAP隧道建立失败）。
  3. AC上未正确配置AP的MAC地址或SN序列号。
• WiFi能连上但无法上网：
  1. 客户端无法从DHCP服务器获取IP地址（DHCP中继配置错误）。
  2. 客户端获取到的IP地址、网关、DNS等参数错误。
• AP频繁掉线：
  • 原因：多因PoE交换机供电不足导致。AP启动瞬间功耗高，若PoE交换机端口供电能力不足，AP会反复重启。
  • 解决：更换更高功率的PoE交换机、减少同交换机供电设备数量、或为AP单独接电源适配器。
• AC基本配置流程：
  1. 创建VLAN池 (vlan pool)。
  2. 创建AP组 (ap-group)。
  3. 配置国家码 (regulatory-domain-profile)。
  4. 创建SSID模板 (ssid-profile)。
  5. 创建安全模板 (security-profile)。
  6. 创建VAP模板 (vap-profile)，并关联SSID、安全、VLAN池。
  7. 将VAP模板应用到AP组的射频卡上 (vap-profile ... radio 0/1)。