网络技术基础知识点

一、IP地址基础

1. IP地址分类及范围

  • A类:1.0.0.0 ~ 127.255.255.255
  • B类:128.0.0.0 ~ 191.255.255.255
  • C类:192.0.0.0 ~ 223.255.255.255
  • D类(组播):224.0.0.0 ~ 239.255.255.255
  • E类(科研):240.0.0.0 ~ 255.255.255.255

2. 私有地址空间(不用于公网)

  • A类:10.0.0.0 ~ 10.255.255.255
  • B类:172.16.0.0 ~ 172.31.255.255
  • C类:192.168.0.0 ~ 192.168.255.255

二、ARP协议

3. ARP的作用
将IP地址解析为MAC地址,实现局域网内的二层通信。

4. ARP工作原理

  1. 主机A先查本地ARP缓存表,若有则直接通信。
  2. 若无,则广播ARP请求:“谁是IP B?请告诉你的MAC。”
  3. 主机B收到后,单播回复自己的MAC地址。
  4. 主机A更新ARP缓存,后续通信使用该MAC。

三、交换机与VLAN

5. 交换机工作原理
基于MAC地址表转发:学习源MAC与接口的对应关系,查找目的MAC进行转发;若找不到则广播(泛洪)。

6. STP(生成树协议)作用
消除二层网络中的物理环路,防止广播风暴和MAC地址表震荡,实现“物理有环,逻辑无环”。

7. STP工作原理

  1. 选举根桥(Bridge ID最小)。
  2. 非根桥选举根端口(到根桥开销最小)。
  3. 每个网段选举指定端口。
  4. 其余端口阻塞,仅接收BPDU。

8. RSTP对STP的改进

  • 端口角色增加:替代端口(Alternate)、备份端口(Backup)。
  • 端口状态简化为:Discarding、Learning、Forwarding。
  • 引入P/A机制,指定端口可快速进入转发状态(无需30秒等待)。
  • 增加边缘端口(连接终端,不参与STP计算)。
  • 收敛时间从30~50秒缩短至秒级。

9. 链路捆绑(Eth-Trunk)作用

  • 增加带宽(多链路带宽叠加)。
  • 提高可靠性(单链路故障自动切换)。
  • 负载均衡。

10. 链路捆绑类型

  • 静态聚合(手工配置)。
  • 动态聚合(LACP协议自动协商,推荐)。

11. 负载均衡模式及选择

  • 基于源MAC:适合服务器到交换机。
  • 基于目的MAC:适合交换机到客户端。
  • 基于源IP:适合内网访问外网。
  • 基于目的IP:适合访问特定服务器。
  • 基于源+目的IP:适合流量分布均匀的场景。

12. VLAN作用

  • 隔离广播域,减少广播风暴。
  • 增强安全性(不同VLAN默认隔离)。
  • 简化网络管理(按部门或业务划分)。

13. VLAN端口类型

  • Access:连接终端,只属于一个VLAN。
  • Trunk:交换机间互联,允许多个VLAN通过。
  • Hybrid:可自定义带Tag/不带Tag的混合模式。

14. 交换机虚拟化技术

  • VLAN(虚拟局域网)。
  • VRRP(虚拟网关冗余)。
  • 堆叠(如iStack):多台交换机虚拟成一台。
  • M-LAG:跨设备链路聚合。

四、DHCP协议

15. DHCP作用
自动分配IP地址、子网掩码、网关、DNS等参数,避免手动配置和地址冲突。

16. DHCP工作原理

  1. 客户端广播Discover寻找服务器。
  2. 服务器单播Offer提供IP。
  3. 客户端广播Request请求使用该IP。
  4. 服务器单播Ack确认。

17. DHCP中继作用
跨网段转发DHCP广播报文,使不同网段的主机也能从同一DHCP服务器获取IP地址。

18. 哪些设备可做DHCP中继
三层设备:路由器、三层交换机、防火墙。

19. PC获取不到IP的排查思路

  • 物理层:网线、接口是否正常。
  • 本地配置:是否设为“自动获取IP”。
  • DHCP服务器:服务是否运行、地址池是否有剩余IP。
  • 中继与路由:跨网段时检查中继配置和路由可达性。
  • 抓包分析:是否发出Discover,是否收到Offer/ACK。

五、路由技术

20. 静态路由配置命令
ip route-static 目的网段 掩码 下一跳

21. 默认路由作用及配置

  • 作用:当路由表中无精确匹配时,使用默认路由转发(通常用于出口路由器访问公网)。
  • 配置:ip route-static 0.0.0.0 0 下一跳

22. 浮动路由

  • 作用:为主路由提供备份。配置更高优先级(数值大)的静态路由,当主链路故障时自动生效。
  • 配置示例:ip route-static 10.0.0.0 24 192.168.1.2 preference 66

23. 静态路由未进入路由表的原因

  • 下一跳不可达。
  • 掩码配置错误。
  • 出接口为广播型接口时未指定下一跳IP。
  • 存在更优的动态路由覆盖。
  • 作为备份路由,主路由正常时不会出现。

24. 静态路由中“下一跳IP”与“出接口”的区别

  • 下一跳IP:需ARP解析,灵活支持主备切换;若下一跳可达但接口故障,路由仍可能有效。
  • 出接口:无需ARP,效率略高;依赖接口状态,接口Down则路由失效;在广播网络中可能造成盲目转发。

六、VRRP(虚拟路由冗余协议)

25. VRRP作用
将多台路由器虚拟成一个网关(虚拟IP),实现网关冗余备份,主机无需感知物理设备变化。

26. VRRP工作原理

  1. 多台路由器组成VRRP组,共享虚拟IP和虚拟MAC。
  2. 优先级最高的成为Master(主网关),其余为Backup。
  3. Master周期性发送VRRP通告(默认1秒)。
  4. Backup连续3秒未收到通告,则选举新的Master。

27. 主备切换默认时间
默认3秒(3个通告周期)。

28. 链路跟踪
当Master的上行链路故障时,主动降低自己的VRRP优先级,触发Backup切换为Master,确保流量从正常上行链路转发。

29. VRRP常见故障排查

  • 出现双Master:检查主备间通信是否正常、是否在同一VRID组、认证方式是否一致。
  • 使用display vrrp查看状态和收到的Master IP。

七、BFD(双向转发检测)

30. BFD作用
毫秒级快速检测两台路由器之间链路的故障,为OSPF、VRRP等上层协议提供快速收敛触发。

八、NAT(网络地址转换)

31. NAT作用及使用场景

  • 作用:将私有IP转换为公网IP,节省公网地址,隐藏内网结构。
  • 场景:内网主机访问公网(源NAT),或公网访问内网服务器(目的NAT/NAT Server)。

32. NAT类型及优缺点

类型 原理 优点 缺点 常用场景
静态NAT 一对一固定映射 稳定 浪费公网IP 服务器发布
动态NAT 从地址池动态映射 提高公网IP利用率 仍是一对一,不支持多主机同时访问 中小型网络
NAPT(PAT) 多对一,通过端口区分 公网IP利用率极高 端口资源有限 家庭/企业上网
Easy-IP 直接使用出接口公网IP 无需地址池 依赖接口IP 小型网络
NAT Server 公网端口映射到内网服务 只开放特定服务,安全 仅适用于服务发布 服务器对外发布

33. NAT工作原理

  • 内网→外网:将源IP(私有)替换为公网IP,记录映射到NAT表。
  • 外网→内网:根据NAT表将目的IP(公网)替换为私有IP。

34. NAT Server与destination-nat的区别

  • destination-nat:可将一个公网IP映射到一个私网IP,或通过不同端口映射多个私网服务。
  • NAT Server:专门用于公网端口到私网端口的映射,通常用于对外发布服务。

35. 配置NAT时何时需要黑洞路由

  • 使用公网地址池进行动态NAT时。
  • 配置NAT Server但公网IP未实际占用时。
  • 防止NAT转换后的数据包回环。
  • 配置命令:ip route-static 公网IP 掩码 NULL 0

36. NAT地址池必须连续吗
不一定连续,但连续便于管理。

37. 同一个inside IP+端口配置多个NAT Server报错原因
“inside IP + 协议 + 端口”组合重复,需保证唯一性。

38. NAT Server的global IP能否与所有接口IP不同网段
可以,防火墙支持。

39. NAT Server安全策略中目的地址写转换前还是转换后?
转换后的内网地址。因为防火墙先执行目的NAT,再匹配安全策略。

40. 单个公网IP如何突破65535端口限制?
无法无限突破。可通过缩短会话老化时间、优化端口利用率来提升并发能力,但根本解决需增加公网IP数量。

41. 如何验证NAT策略是否生效
display nat-policy rule all 查看命中情况。

42. NAT导致防火墙CPU高的原因及优化

  • 原因:路由环路、NAT转换风暴。
  • 优化:配置黑洞路由、开启域内检测、地址池配置route enable

43. NAT会话表溢出(内存不足)处理
开启协议状态检测,减少不必要的会话生成。

44. “NAT资源不足”日志解决

  • 释放闲置资源(缩短老化时间)。
  • 扩大上限(增大会话数、端口范围、地址池)。
  • 优化分配(限制非核心业务、负载分担)。

45. NAT后IP冲突解决
通过display命令定位冲突IP类型(地址池/静态映射/NAT Server),调整或更换IP范围。

46. NAT后网络延迟增加如何优化

  • 调整会话老化时间。
  • 增大会话表上限。
  • 合理规划地址池。
  • 为重要业务固定NAT映射。

47. 限制每个公网IP的连接数
在NAT地址池中配置nat session limit per-address

48. 设置会话表老化时间
firewall-nat session {协议} aging-time 时间

49. 防火墙首包处理顺序:目的NAT → 安全策略 → 源NAT
原因:先明确目标地址(目的NAT),再执行访问控制(安全策略),最后处理出口源地址(源NAT)。

九、ACL(访问控制列表)

50. ACL作用
根据规则过滤数据包,实现流量控制和安全防护。

51. ACL类型及区别

  • 基本ACL(2000-2999):仅基于源IP过滤,适合粗粒度控制,建议调用在离目标近的位置。
  • 高级ACL(3000-3999):基于源/目的IP、协议、端口等,精细控制,建议调用在离源近的位置。
  • 二层ACL(4000-4999):基于源/目的MAC、VLAN等,用于交换机端口。

52. ACL默认规则

  • 单独用于包过滤:末尾隐含deny any
  • 用于NAT/路由策略:同上。
  • traffic-filter配合:默认permit any

53. 示例:拒绝所有主机访问192.168.10.1的telnet

acl number 3000
 rule 10 deny tcp source any destination 192.168.10.1 0 destination-port eq 23
interface GigabitEthernet0/0/1
 traffic-filter inbound acl 3000

十、常见故障排查思路

54. 同网段主机无法互通排查

  1. 物理层:网线、接口指示灯。
  2. IP配置:是否同网段、有无冲突。
  3. MAC地址表:交换机是否学到MAC。
  4. VLAN配置:是否在同一VLAN。
  5. 防火墙/ACL:是否拦截ICMP。
  6. ARP缓存:是否有对方映射。

55. 内网部分主机无法上网(NAT后)

  • NAT地址池耗尽(端口资源不足)。
  • ACL限制未包含该网段。
  • IP地址冲突。
  • 路由问题。
  • NAT配置错误。
posted @ 2026-04-17 19:30  Xiewt  阅读(18)  评论(0)    收藏  举报