来源:网络技术联盟站
链接:https://www.wljslmz.cn/20037.html大家好,我是瑞哥,昨天微信上有个朋友让我出一期H3CNE知识点的介绍。
H3CNE我是太熟悉了,大学时候考H3CTE证书,H3CNE属于基础部分,那本《构建中小型企业网络》书籍不知道被我翻了多少遍,左一遍又一遍,看到最后,随便提到哪个技术点,我能一下子翻到,笔记也是做的密密麻麻。
学过H3C认证的朋友都知道,虽然H3CNE属于基础认证,但是它涉及的技术点挺广的,有时候你学完H3CSE还要回来再巩固一下H3CNE的理论,因为好多基础H3CSE只是提一下,那么基础相对薄弱的同学学H3CSE的时候,就有这样的感觉,看完就忘,形不成体系!H3CNE理论不扎实,你就无法快速理解H3CSE为啥要分成大规模路由、园区网、广域网。
今天瑞哥带大家好好梳理一下H3CNE的理论部分,通过思维导图的形式,给大家树立一个全局观念:
H3CNE思维导图
可以看到H3CNE理论部分被我分成了28个部分,也是按照官方的教材分的:
一、计算机网络概述二、网络参考模型三、局域网基本原理四、广域网基本原理五、TCP/UDP原理六、IP基本原理七、命令行操作基础八、网络设备文件管理九、网络设备调试十、以太网交换机工作原理十一.Vlan和Trunk十二、生成树协议十三、链路聚合十四、交换机端口安全技术十五、IP子网划分十六、DNS十七、文件传输协议十八、DHCP十九、VLAN问路二十、IPv6基础二十一、IP路由原理二十二、静态路由二十三、路由协议概述二十四、RIP二十五、OSPF二十六、ACL包过滤二十七、NAT二十八、PPP下面我们来逐一展开讲解!
一、计算机网络概述 计算机网络定义一组自治计算机互联的集合
计算机网络基本功能资源共享综合信息服务分布式处理与负载均衡计算机网络的类型局域网LAN由用户自行建设,使用私有地址组建的网络城域网MAN由运营商或大规模企业建设,连接城市范围的网络广域网WAN由运营商建设,连接城域网范围的网络网络拓扑分类树型拓扑优点:
结构简单,组网成本低维护管理容易星型拓扑的进一步发散型缺点:
中央节点压力大可靠性差总线型拓扑所有设备共享一条公共线路,线路中断会导致所有设备中断通讯
环型拓扑所有设备共享一条环型总线,有一定冗余性
星型拓扑中央节点故障会导致全网中断,其他节点都与中央节点直接相连,某条线路中断不会影响其他节点
网状拓扑优点:
可靠性高节点之间有多条线路可达缺点:
组网成本高维护管理复杂衡量网络性能的指标带宽单位时间内能够传输的数据总量,单位:bps,带宽越大,网络质量越好
延迟数据从一个节点到达另一个节点消耗的时间,单位:ms,延迟越低,网络质量越好
数据单位1Kb=1024b1Mb=1024Kb1Gb=1024MbByte,字节,一个数字或字母占用1字节,一个汉子占用2字节bit,比特,1Byte=8bit协议和标准协议,数据通讯双方共同遵守的通讯规则标准,公认的,所有厂商所共同遵守的协议规则标准化组织:制定定义国际公认参考标准的组织团体
常见国际标准组织ISO,国际标准化组织IEEE,电子电器工程师协会二、网络参考模型 OSI参考模型产生背景各大IT设备厂商只支持自己的私有协议,跨厂商设备兼容性差用户购买和维护成本高不利于网络技术发展概念定义了网络中设备所遵守的层次结构
优点开放的标准化接口,协议不再封闭多厂商设备兼容易于理解、学习和更新协议标准实现模块化工程,降低开发难度便于故障排除分层1.物理层,定义电压、接口、线缆标准、传输距离、传输介质等物理参数2.数据链路层,MAC地址寻址3.网络层,网络层地址寻址、路由4.传输层,数据分段、建立端到端连接、维护传输可靠性5.会话层,建立、维护、拆除应用程序间的会话6.表示层,定义数据格式、结构;数据加密、压缩7.应用层,为应用程序进程提供网络服务OSI参考模型的问题划分层次过多,会话层、表示层存在意义不大IP协议成为事实的网络层唯一协议TCP/IP参考模型4层划分方法1.网络接口层物理层数据链路层2.网络层3.传输层4.应用层会话层表示层应用层5层划分方法1.物理层2.数据链路层3.网络层4.传输层5.应用层会话层表示层应用层数据封装和解封装定义封装:在原始数据的基础上加入一些额外信息形成新的格式解封装:拆除掉封装的额外信息,还原成原始数据TCP/IP分层封装1.物理层:比特流2.数据链路层:数据帧3.网络层:数据包4.传输层:数据段5.应用层:数据数据封装和解封装过程数据发送时,从上至下逐层封装数据接收时,从下至上逐层解封装只有拆除外层封装,才能看到内层封装三、局域网基本原理 使用的协议及线缆物理层双绞线同轴电缆光纤无线电数据链路层以太网,唯一事实标准令牌环,淘汰FDDI:光纤分布式接口,淘汰网络层IP,唯一事实标准IPX,淘汰Apple talk,淘汰局域网设备集线器内部为总线型拓扑任意时间只能由一台主机占用总线,连接的所有设备位于同一冲突域工作在物理层,没由寻址能力,所有数据泛洪式转发交换机内部每两个接口都有一条独立线路,每个接口都是独立的冲突域工作在数据链路层,基于MAC地址寻址,数据可单点转发冲突域设备发送数据会产生冲突的网络范围
CSMA/CD带冲突检测的载波侦听多路访问
局域网线缆双绞线线型:
直连线异类直连两端线序一致交叉线同类交叉两端线序不一致线序:
T568A:白绿,绿,白橙,蓝,白蓝,橙,白棕,棕T568B:白橙,橙,白绿,蓝,白蓝,绿,白棕,棕接口类型:
RJ-45RJ-11光纤多模光纤:
纤芯较粗,可传递多种光源传输距离短成本低单模光纤:
纤芯较细,只能传递单一光源传输距离远成本高四、广域网基本原理 使用的协议及线缆物理层串行线缆,淘汰光纤,EPON数据链路层PPP,淘汰HDLC,淘汰帧中继,淘汰以太网,唯一事实标准网络层IP,唯一事实标准
连接方式电路交换PSTNISDN,淘汰分组交换,淘汰ADSLEPON五、TCP/UDP原理 端口每个应用程序进出网络都需要经过一个唯一端口,通过端口号来识别数据交由哪个应用程序处理服务端:固定端口号客户端:1024以上随机端口知名端口号80 HTTP20 21 FTP23 TELNET25 SMTP53 DNSTCP的原理TCP头部封装格式Source Port,源端口Destination Port,目的端口Seq,序列号,标识本机发送的数据报文的编号Acknowledgement,确认号,标识请求对方下次发送的数据报文的编号Data Offset,数据偏移,标识数据分段在完整数据中的位置Reserved,保留位URG,紧急开关Ack,确认位开关PsRst,复位开关,用于强行中断TCP连接Syn,握手开关Fin,结束开关window,窗口尺寸,用来通告本机的接收能力Checksum,校验序列Urgent Pointer,紧急指针Options,可选项TCP可靠性机制确认机制代码语言:javascript代码运行次数:0运行复制Seq=上一次ack
Ack=上一次的seq+length
如果没有接收到,或接收到的是不完整数据,会再次发送Ack请求对方重发
三次握手第一次,SYN置位第二次,SYN,ACK置位第三次,ACK置位窗口机制 滑动窗口,通过通告对方本机接收能力,来实现流量控制完整性校验 通过Checksum来检查数据完整性TCP特征优点:传输可靠性高缺点:占用带宽高,传输延迟高TCP的适用场景对数据完整性要求高,但是对传输延迟要求低
UDP的原理UDP特征优点:占用带宽低,传输延迟低缺点:没有任何可靠性机制UDP的适用场景对传输延迟要求高,但数据完整性要求低
六、IP基本原理 IP的定义当前唯一的网络层协议标准定义数据网络层的封装方式、编址方法IP头部封装格式version,版本,用于标识封装是IPv4还是IPv6IHL,头部长度,描述了数据包头的内容长度Type of service,服务类型,用于标识DSCP或IP优先级,用于QOS识别Total length,数据包总长度Identification,标识符,用于标识某个分片来自于哪个数据包Flags,标志,标识数据包是否允许分片Fragment offset,分片偏移,用于描述分片在数据包中的位置Time to Live,TTL,生存时间,该数据包允许经过的路由器的最大跳数Protocol,协议,用于标识上层协议是TCP/UDP/ICMPHeader Checksum,头部校验序列,用于头部信息差错校验Source Address,源IP地址Destination Address,目的IP地址Options,可选项IP地址定义网络层地址
格式32位长度,点分十进制由网络位+主机位组成网络位长度和数字完全一致的地址属于同一网段分类A类地址范围:1.0.0.0-126.255.255.255网络位划分,前8位为网络位,后24位为主机位B类地址范围:128.0.0.0-191.255.255.255网络位划分,前16位为网络位,后16位为主机位C类地址范围:192.0.0.0-223.255.255.255网络位划分,前24位为网络位,后8位为主机位D类地址范围:224.X.X.X-239.X.X.X作用,组播地址,不可用于配置为地址E类地址范围:240.X.X.X-255.X.X.X作用,科研用地址,不对公开放IP地址分类用来划分不同的网络规模特殊地址127.X.X.X,本地环回地址,用于标识本机主机位全0的地址,网络地址,用来标识某个网段主机位全1的地址,本网段广播地址255.255.255.255,全网广播地址0.0.0.0,任意IP地址公网/私网地址公网地址,可以在互联网上寻址的地址,全球唯一,需要运营商分配私网地址,本地随意使用,无法在互联网上寻址地址范围:
A类:10.0.0.0-10.255.255.255B类:172.16.0.0-172.31.255.255C类:192.168.0.0-192.168.255.255ARP协议定义地址解析协议,把IP地址解析为Mac地址
工作原理A主机以广播形式发送ARP查询请求,询问B主机的IP对应的MAC地址B主机以单播形式回复A主机本机MAC地址A主机把B主机的IP地址和MAC地址的映射关系写入ARP缓存表相关命令查询ARP缓存
代码语言:javascript代码运行次数:0运行复制arp -a
清空ARP缓存
代码语言:javascript代码运行次数:0运行复制arp -d
ICMP协议Ping,测试网络连通性Tracert,路由跟踪H3C的设备开启路由跟踪功能需要的前置命令
代码语言:javascript代码运行次数:0运行复制ip ttl-expires enable
IP数据转发原理如果目的IP和本机IP属于同一网段,会直接查询目的IP的Mac地址,并进行封装如果目的IP和本机IP不属于同一网段,会查询网关IP地址的Mac地址,并进行封装网关本网段出口的IP地址
七、命令行操作基础 H3C路由交换产品连接方法使用console线本地连接协议Serial,接口com口,波特率9600适用于设备的初次调试使用Telnet远程访问适用于设备上架配置好后的维护管理使用SSH远程访问数据传输过程加密,安全的远程访问命令行使用基础命令行视图用户视图代码语言:javascript代码运行次数:0运行复制
只能查看配置,不能修改配置
系统视图代码语言:javascript代码运行次数:0运行复制[h3c]
可以查看和修改全局配置
接口视图代码语言:javascript代码运行次数:0运行复制[H3C-GigabitEthernet0/0]
可以对接口修改配置
视图的切换system-view:从用户视图进入系统视图interface g0/0:从系统视图进入g0/0接口的接口视图quit:返回上层视图return:直接返回到用户视图,快捷键 Ctrl+Z常用查看命令display current-configuration:查看当前的所有配置display ip interface brief:查看所有三层接口的摘要信息display ip interface g0/0:查看g0/0接口的详细信息display version:查看设备硬件版本信息display this:查看当前视图下配置了哪些参数设备操作命令sysname R1:更改设备名称为R1reboot:重启设备save:保存当前配置reset saved-configuration:清空保存的配置,不会影响设备的当前运行状态命令行帮助命令简写?键命令提示Tab 键自动补齐命令八、网络设备文件管理 设备存储器ROM,只读存储器,存储了Bootrom程序,在Bootrom模式下可以破解密码Flash,闪存,永久存储操作系统文件、配置文件等数据RAM,内存,存储当前正在运行的数据,断电数据会丢失设备的配置文件当前配置
current-configuration设备当前正在运行和生效的配置信息,存储在RAM中起始配置
startup-configuration每次设备开启会自动加载的配置信息,存储在Flash中起始配置文件的备份
通过USB或者FTP把startup.cfg和startup.mdb拷贝到其他存储配置还原后,需要通过startup saved‐configuration startup.cfg命令来指定新的配置文件九、网络设备调试 Debug定义对相应的协议所收发的所有报文全部在屏幕上输出显示用于网络排错开启debub命令terminal monitorterminal debuggingdebugging 协议类型结束dubugundo debugging all
十、以太网交换机工作原理 以太网定义传输标准Ethernet II类型帧的网络
特征多路访问,广播式的网络
Mac地址每台网络设备生产时就写入的一个全球唯一的物理地址48位长度,16进制格式地址前24位为厂商标识,后24是设备标识以太网帧格式目的Mac地址源Mac地址服务和类型DATA帧校验序列交换机定义工作在数据链路层,通过识别Mac地址来进行数据转发的设备
交换机数据转发原理MAC地址表
记录交换机每个端口和所连接的设备的MAC地址的映射关系一个端口可以对应多个MAC地址一个Mac地址不能对应多个接口老化时间:300秒工作机制
交换机学习数据帧的源MAC地址,来获得端口和设备MAC地址的映射关系,写入MAC地址表交换机检查数据帧的目的MAC地址,从MAC地址表中的映射关系来判断把数据帧从哪个端口发出交换机对于目的MAC地址不存在于MAC地址表中的数据帧进行广播处理数据帧的转发方式
对于目的MAC地址已知的单播帧,交换机查询MAC地址表进行转发对于目的MAC地址未知的单播帧,交换机进行广播处理对于广播帧,交换机继续广播处理数据传输模式单播,接收者是某一个设备广播,接收者是所有其他设备组播,接收者是某一部分设备广播域网络中所有能接收到同样广播消息的设备的集合默认情况下,交换机的所有端口属于同一个广播域十一、Vlan和Trunk VLAN的定义虚拟局域网,用来在二层网络中隔离广播域不同VLAN的设备在二层网络中无法互相通讯VLAN的转发过程举例PC发送数据帧进入交换机,会被打上vlan tag;vlan tag中的vlan id就是收到帧的接口的所属vlan;一旦数据帧被打上vlan tag,就变成了802.1Q格式的帧 2.交换机检查数据帧的目的MAC地址,进行判断;如果目的MAC对应的接口允许tag中的vlan id通过,则数据帧可以转发;否则,丢弃该帧 3.数据帧从出接口发往PC前,会剥离vlan tag,使之还原为标准的以太网帧格式802.1Q在源Mac地址和Type之间携带vlan tag的帧格式,计算机不识别
VLAN工作原理交换机端口类型Access
必须加入到一个vlan,只能加入到一个vlan;从access端口收到的帧,会打上该端口所属vlan的tag;从access端口发出的帧会剥离tag一般用来连接PC或路由器H3C交换机默认所有端口都是access类型属于vlan1;华为是hybridTrunk
可以允许多个vlan的数据通过;从trunk端口发出的帧保留vlan tag,但是缺省vlan除外;trunk端口收到未打tag的帧,会重新打上缺省vlan的tag一般用来连接交换机Hybrid
可以允许多个vlan的数据通过;可以手动配置从Hybrid端口发出的帧,哪个vlan保留tag,哪个vlan剥离tag,缺省vlan必定剥离tag;Hybrid收到未打tag的帧,会重新打上缺省vlan的tag既可以连接PC/路由器,也可以连接交换机PVID定义:表示某个端口的缺省vlan;任何类型的端口转发tag中vlan id和pvid一致的帧,都会剥离tag
特征
Access端口所属的vlan就是pvid,不用配置,默认是vlan1Trunk端口需要手动配置pvid,默认是vlan 1Hybrid端口需要手动配置pvid,默认是vlan1总结
任何端口收到未打tag的帧,都会打上缺省vlan的tag任何端口转发携带缺省vlan tag的帧,都会剥离tagVLAN类型基于端口的VLAN端口固定属于某个vlan
基于Mac地址的VLANMac地址绑定到vlan,同一Mac地址的设备,无论连接在哪个端口,vlan归属不变端口类型需要配置为Hybrid基于协议的VLAN三层协议绑定到vlan,同一协议的报文,无论从哪个端口接收,vlan归属不变端口类型需要配置为Hybrid基于IP子网的VLANIP网段绑定到vlan,同一IP子网的设备,无论连接在哪个端口,vlan归属不变端口类型需要配置为HybridVLAN归属优先级代码语言:javascript代码运行次数:0运行复制Mac地址vlan>IP子网vlan>协议vlan>端口vlan
VLAN常用命令[h3c]vlan 'vlan id':创建vlan,进入vlan视图 `[h3c-vlan10]name 'text’:vlan命名 `[h3c-vlan10]port 'port id':把端口以Access类型加入到vlan `[h3c-GigabitEthernet1/0/1]port link-type 'access/trunk/hybrid':配置端口类型 `[h3c-GigabitEthernet1/0/1]port trunk permit vlan 'vlan-id-list/all':配置Trunk端口允许通过的vlan `[h3c-GigabitEthernet1/0/1]port trunk pvid 'vlan id':配置Trunk端口的缺省vlan `[h3c]display vlan ''vlan id':查看某个vlan详细信息 `[h3c]display vlan brief:查看vlan摘要信息 `[h3c]display port trunk:查看Trunk端口信息十二、生成树协议 二层环路带来的问题广播风暴MAC地址表震荡生成树定义STP,用来解决二层环路问题
STP相关概念BPDU,桥协议数据单元,用于传递STP协议相关报文
分类:
配置BPDU,用于传递STP的配置信息TCN BPDU,用于通告拓扑变更信息STP的选举机制(1)在所有交换机中选举出一台作为根网桥(Root bridge) 选举规则: Bridge-id小的优先
Brideg-id:桥ID,BID,用来标识交换机身份
格式:
优先级+Mac地址优先级默认32768,必须是4096的倍数(2)每台非根网桥(交换机)选举出一个根端口(Root port)
选举规则:
到达根网桥开销小的优先对端交换机BID小的优先端口ID小的优先开销,Cost,代表路径耗费的代价和成本,带宽越大,开销越小
(3)每个物理段上选举出一个指定端口(Designated port)
选举规则:
到达根网桥开销小的优先本机BID小的优先端口ID小的优先(4)剩下没有角色的端口就是闭塞端口(Blocked Port)
STP初始化流程交换机端口状态disable:禁用状态,被关闭的端口blocking:闭塞状态,接收BPDU,但不发送BPDU,不学习Mac地址,不转发数据listening:监听状态,接收并发送BPDU,不学习Mac地址,不转发数据,持续15秒learning:学习状态,接收并发送BPDU,学习Mac地址,不转发数据,持续15秒forwarding:转发状态,接收并发送BPDU,学习Mac地址,转发数据STP计时器Hello time2秒配置BPDU的发送周期Max age20秒判断链路故障的时间,10个Hello time周期Forwarding delay15秒状态切换延迟STP拓扑变更机制Max age超时/有接口变更为转发状态,判断为拓扑发生变更,向根网桥发起TCN BPDU收到TCN BPDU的交换机继续向根网桥转发TCN BPDU,到达根网桥为止根网桥收到TCN BPDU后,向所有端口发起TC置位的配置BPDU交换机收到TC置位的配置BPDU后,Mac地址表的老化时间缩短到15秒STP的问题收敛速度慢,故障切换时间太长网络中大量主机频繁上下线,会导致TCN BPDU大量发送RSTP快速生成树协议端口状态减少到3种端口角色增加到4种替代端口(Alternata port),根端口的备份备份端口(Backup port),指定端口的备份根端口和指定端口不变闭塞端口细分为2种边缘端口机制当链路激活,边缘端口立即进入转发状态,不参与STP计算边缘端口UP/DOWN不会触发拓扑变更建议把连接PC的端口配置为边缘端口MSTP多生成树协议将多个vlan捆绑到一个生成树实例,每个实例分别独立计算生成树基于STP计算结果不同,实现不同vlan的流量负载均衡STP常用命令[h3c]display stp:查看STP相关信息[h3c]display stp brief:查看STP端口状态[h3c]stp global enable:全局启用STP[h3c-GigabitEthernet 1/0/1]undo stp enable:关闭端口上STP[h3c]stp mode 'stp/rstp/mstp':更改STP模式,默认模式是mstp[h3c]stp priority 'priority':更改交换机优先级[h3c-GigabitEthernet 1/0/1]stp cost 'cost':更改接口生成树的cost[h3c-GigabitEthernet 1/0/1]stp edged-port:配置端口为边缘端口十三、链路聚合 定义把连接到同一台交换机上的多个物理端口捆绑为一个逻辑端口
功能提高链路可靠性:聚合组内只要还有物理端口存活,链路就不会中断增加链路传输带宽:避免了STP计算,聚合组内物理端口不会被闭塞负载分担也称负载均衡聚合后的链路会基于流自动负载分担分类静态聚合:双方不会协商聚合参数动态聚合:双方通过LACP协议协商聚合参数常用命令[h3c]interface bridge-aggregation 'number':创建聚合端口,进入聚合端口视图[h3c-GigabitEthernet 1/0/1]port link-aggregation group 'number':物理接口加入聚合组[h3c]display link-aggregation summary:查看聚合链路信息十四、交换机端口安全技术 802.1X定义起源于WLAN协议802.11,解决局域网终端的接入认证问题
认证方式本地认证远程集中认证端口接入控制方式基于端口认证基于Mac地址认证端口隔离技术用于在同vlan内部隔离用户同一隔离组端口不能通讯,不同隔离组端口可以通讯十五、IP子网划分 子网掩码产生背景通过自然分类来划分网络规模会造成大量IP地址浪费IPv4地址资源已经全部耗尽定义由连续的1或0组成的32位掩码,用来衡量IP地址网络位的长度1对应的部分为网络位0对应的部分为主机位分类主类掩码,和自然分类一致的子网掩码VLSM,可变长子网掩码,通过把子网掩码变长来把一个网段划分为多个子网CIDR,无类域间路由,通过把子网掩码缩短来把多个网段聚合为一个网段常见子网划分对应关系25:255.255.255.128,126个可用地址26: 255.255.255.192,62个可用地址27:255.255.255.224,30个可用地址28:255.255.255.240,14个可用地址29:255.255.255.248,6个可用地址30:255.255.255.252,2个可用地址31:255.255.255.254,2个可用地址,PPP链路可用32:255.255.255.255,1个可用地址,设备的Loopback接口可用十六、DNS 域名产生背景通过IP地址访问目标主机,不便于记忆通过容易记忆的域名来标识主机位置域名的树形层次化结构根域顶级域,主机所处的国家/区域,注册人的性质二级域,注册人自行创建的名称主机名,区域内部的主机的名称定义用于域名和IP地址的互相解析
DNS查询模式递归查询:
DNS服务器一定会返回一个确切的查询结果客户端到DNS的查询迭代查询:
DNS服务器会返回一个已知的其他DNS服务器,由请求者自行查询DNS服务器到DNS服务器的查询H3C配置DNS代理代码语言:javascript代码运行次数:0运行复制[h3c]dns proxy enable
[h3c]dns server '公网DNS地址'
内网终端DNS服务器指向为本路由器
十七、文件传输协议 FTP定义文件传输协议客户端/服务器模型,具备身份验证功能双TCP连接端口控制连接:21,用于传输FTP命令和执行信息数据连接:20,用于数据上传、下载数据传输方式主动方式:
数据连接由服务器主动发起控制连接:21端口数据连接:20端口被动方式:
数据连接由客户端主动发起控制连接:21端口数据连接:服务器随机产生端口TFTP简单文件传输协议基于UDP,69号端口只有数据传输功能,不提供身份验证,目录列表等功能常用命令[h3c]ftp server enable:开启FTP服务
定义动态主机配置协议用于为局域网中主机动态分配IP地址及相关信息采用客户端/服务器模式服务端端口UDP 67客户端端口UDP 68工作原理分配IP地址工作流程客户端以全网广播形式发起IP地址请求服务器以全网单播形式向客户端发送IP地址提供客户端选择好IP地址后,以全网广播形式向服务器通告选择结果服务器向客户端以全网单播形式发送IP地址确认特殊情况的处理当网络中存在多台DHCP服务器,客户端会优先选择最先到达的IP地址提供
IP地址租约更新租期到达50%,客户端如在线,会向服务器发起租约更新请求租期到达87.5%,客户端如在线,会向服务器发起租约更新请求DHCP中继代理用于跨网段分配IP地址IP地址请求的相关报文都是广播发送,无法跨越网段,所以需要在中间路由器开启DHCP中继代理功能相关命令[h3c]dhcp enable:开启DHCP服务[h3c]dhcp server ip-pool 'name':创建DHCP地址池[h3c-dhcp-pool1]network 'network' mask 'mask':配置用于分配的地址范围[h3c-dhcp-pool1]gateway-list 'ip address':配置用于分配的网关地址[h3c-dhcp-pool1]dns-list 'ip address':配置用于分配的DNS服务器地址[h3c-dhcp-pool1]expired ……:配置DHCP租期[h3c]dhcp server forbidden-ip 'start ip address' 'end ip address':配置不参与分配的IP地址[h3c-GigabitEthernet 0/0]dhcp select relay:接口上开启DHCP中继功能[h3c-GigabitEthernet 0/0]dhcp relay server-address 'ip address':指定用于中继的DHCP服务器地址[h3c]display dhcp server statistics:查看DHCP服务器统计信息十九、VLAN间路由 定义指导设备对不同vlan间进行三层数据转发
实现方式单臂路由交换机上划分多个VLAN路由器单线连接到交换机路由器接口,划分若干子接口,子接口的IP为下连vlan的网关,并绑定相应vlan交换机接口,配置TRUNK,允许所有vlan通过三层交换三层交换机上启用vlanif三层接口,配置为网关IP自动产生所有到达所有vlan的直连路由常用命令[h3c]interface 'sub-interface':创建子接口,进入子接口视图[h3c-GigabitEthernet0/0.1]vlan-type dot1q vid 'vlan-id':子接口开启802.1Q识别,并绑定Vlan[h3c]interface vlan-interface 'vlan-id':创建Vlanif三层接口,进入Vlanif接口视图二十、IPv6基础 IPv4的问题地址资源已经全部耗尽终端用户配置不够简便协议本身不具备安全性和QOS特性IPv6的优势几乎无尽的地址空间,3.4X10^38个可用地址终端用户无需任何配置,甚至不需要DHCP协议自带安全性和QOS特性地址格式冒号十六进制格式每段16位,共8段,一共128位地址书写压缩段内前导0压缩段内前导的0可省略全为0的段压缩为一个0全0段压缩连续为0的段可用::表示一个IPv6地址内只允许使用一次全0段压缩网段划分前缀:前缀长度和数字一致则为同一网段接口标识符:根据Mac地址计算而来,全球唯一前缀长度:标识前缀的长度地址分类单播地址未指定地址:
代码语言:javascript代码运行次数:0运行复制::/128
本地环回地址:
代码语言:javascript代码运行次数:0运行复制::1/128
链路本地地址:
代码语言:javascript代码运行次数:0运行复制FE80::/10
仅用于同网段内部通讯,自动生成FE80::接口标识符/10站点本地地址:
代码语言:javascript代码运行次数:0运行复制FEC0::/10
私有地址
全球单播地址:
代码语言:javascript代码运行次数:0运行复制2000::/3
组播地址标识组播地址广播地址属于一种特殊的组播地址任播地址用于智能寻路,寻找最近的下一跳从单播地址中分配IPv6邻居发现协议地址解析,类似ARP邻居关系建立和维持路由器发现/前缀发现地址自动配置1.终端发送RD消息,请求路由器的前缀和前缀长度2.路由器回复本机的前缀和前缀长度3.终端使用路由器回复的前缀+接口标识符/前缀长度,自动产生IPv6全球单播地址地址重复检测常用命令[h3c-GigabitEthernet 0/0]ipv6 address 'ipv6 address':配置静态IPv6地址[h3c-GigabitEthernet 0/0]ipv6 address auto:配置为自动产生IPv6地址[h3c-GigabitEthernet 0/0]undo ipv6 nd ra halt:解除路由器ND消息抑制二十一、IP路由原理 定义路由器负责将数据报文在IP网段之间进行转发路由是指导路由器如何进行数据转发的路径信息IP连通的前提沿途的每台路由器上都有到达目的网段的路由信息路由是单向的路径信息,沿途每台路由器都要有往返双向路由信息路由表作用存储路由信息
字段内容Destination/mask:目的网段和掩码Proto:路由的来源Pre:优先级Cost:度量值Nexthop:下一跳地址,数据报文从接口发出后到达的下一个IP地址Interface:出接口,数据报文发出的接口最长掩码匹配规则:当数据包在路由表中匹配到多条掩码长度不同的路由,会按照掩码最长的路由进行转发路由迭代规则:当路由的下一跳为非直连网段地址,路由器会再次在路由表中查询下一跳地址,直到查询到下一跳是直连地址为止来源直连路由,根据直连接口所在网段自动产生
产生条件: - 接口UP - 接口配置IP地址
静态路由:
定义:手动配置到达每个目的网段的路由信息特点:配置和维护繁琐复杂,没有协议开销,减轻设备和带宽压力动态路由协议定义:通过路由协议从邻居自动学习路由信息特点:配置简单,维护便捷,协议开销会消耗设备资源和链路资源常见路由协议RIP,路由信息协议,年代久远,已经被淘汰OSPF,开放式最短路径优先,目前最主流的路由协议BGP,边界网关协议,运营商之间使用的唯一协议路由表写表规则不同来源的路由优先级高(数字小)的优先同一来源的路由Cost小的优先同一来源Cost相等的路由会形成等价路由,数据流会在等价路由上自动负载分担路由优先级直连路由(Direct):0OSPF内部路由:10静态路由:60RIP:100OSPF外部路由:150BGP:255常用命令[h3c]display ip routing-table:查看路由表[h3c]display ip routing-table 'network' 'mask':查看指定网段的路由信息二十二、静态路由 配置要点如下一跳所在接口是点到点接口,可以以指出接口的方式来配置静态路由如下一跳所在接口是以太网接口,只能以指下一跳来配置静态路由默认路由目的网段为0.0.0.0/0当数据包在路由表中匹配不到明细路由时,按照默认路由转发常用命令[h3c]ip route-static 'network' 'mask' 'nexthop/interface':配置静态路由[h3c]ip route-static 'network' 'mask' 'nexthop/interface' preference 'number':配置静态路由并修改优先级二十三、路由协议概述 定义路由协议,用来计算、维护网络路由信息的协议可路由协议,可被路由转发的协议,通常指IP路由协议的功能邻居发现路由交换路由计算路由维护路由协议的分类按照使用位置分类IGP:内部网关协议,运行在自治系统内部的路由协议,RIP,OSPF,IS-ISEGP:外部网关协议,运行在自治系统之间的路由协议,BGP自治系统AS一组被统一管理,运行同一个IGP的路由器组成的网络范围一般不同城域网都是不同的AS,不同运营商也是不同的AS按照协议算法分类距离矢量协议,度量值是跳数,RIP链路状态协议,度量值是开销,OSPF IS-IS路径矢量协议,有多种度量值,BGP二十四、RIP 定义路由信息协议,基于距离矢量算法基于UDP端口520RIP初始化流程RIP运行后,会从每个参与协议的接口上以广播形式发送路由请求收到路由请求后,将自己完整的路由表以广播形式响应收到路由响应后,根据计算规则,把路由写入到路由表路由信息会按照发送方向逐跳扩散路由信息更新路由响应报文会以30秒为周期发送,以对网络变化进行更新
RIP的环路问题产生原因链路故障,导致路由从表中删除30秒的更新周期还未到来,提前收到了邻居传递过来的刚刚被删除的路由,形成环路防环机制水平分割:从某个接口收到的路由信息不会从该接口回传毒性逆转:从某个接口收到的路由信息会设置为16跳后回传路由毒化:当路由失效,标记为16跳,并通告邻居,使邻居及时删除路由抑制计时器:计时时间内,不接收和原路由跳数一致或更高的路由更新触发更新:当路由失效,不用等待更新周期,立即发出路由更新,来通告错误最大跳数:不接收跳数大于15跳的路由更新RIP计时器更新计时器:30秒失效计时器:180秒,路由打上possibly down标签,路由设置为16跳垃圾收集计时器:240秒,彻底删除路由抑制计时器:180秒,路由信息失效,被打上PD标签,从其他接口收到比原路由更差的路由更新RIPv2报文以组播发送,组播地址224.0.0.9路由更新携带子网掩码可以关闭自动聚合,支持手动聚合支持身份验证常用命令[h3c]rip 'process id':创建RIP进程,进入RIP协议视图[h3c-rip-1]version 2:更改RIP版本为v2[h3c-rip-1]undo summary:关闭自动聚合[h3c-rip-1]network 'network':宣告网段,network命令的2层功能,使能接口(每个接口的IP地址与宣告的网段进行匹配,被匹配的接口能够收发RIP协议报文),使能路由(每个接口的IP地址与宣告的网段进行匹配,被匹配的接口所产生的直连路由能够传递给邻居)[h3c-rip-1]silent-interface 'interface number':配置静默接口,静默接口上不会收发RIP协议报文[h3c-GigabitEthernet 0/0]rip authentication mode ……:配置RIP接口身份验证二十五、OSPF RIP的缺陷最大跳数限制了网络规模以跳数为度量值无法准确判断最优路径路由更新发送完整路由表消耗网络带宽收敛速度慢协议会产生路由自环定义开放式最短路径优先,基于链路状态特征工作在IP层,协议号89OSPF初始化流程1.建立邻居和邻接关系发送hello报文发现和建立邻居关系,组播地址224.0.0.5
接口UP双方接口IP地址在同一网段双方接口在同一区域……选举DR/BDR,建立邻接关系
DR/BDR选举
选举原因,广播网络中使路由信息交换更加高速有序选举范围,每条广播链路上都需要选举出一个DR和一个BDR选举规则1.优先级大的优先,默认优先级都是12.Router-id大的优先Router-id定义,Rid,标识路由器的身份
产生方法:
手动配置一个IPv4地址格式作为Rid自动选举1.在所有环回口中选举IP地址最大的作为Rid2.在所有物理接口中选举IP地址最大的作为Rid建议手动配置一个本地环回口的IP地址作为Rid
关系状态
DRother与DR建立邻接关系DRother与BDR建立邻接关系DR与BDR建立邻接关系DRother之间保持邻居关系2.邻接路由器之间交换链路状态信息,实现区域内链路状态数据库同步相关概念
链路状态通告,LSA,用来描述路由器的接口、路由条目的相关信息,向邻接路由器发送DD报文,通告本地LSDB中所有LSA的摘要信息链路状态数据库,LSDB,存储本地所有LSA工作流程
收到DD后,与本地LSDB对比,向对方发送LSR报文,请求发送本地所需的LSA的完整信息收到LSR后,把对方所需的LSA的完整信息打包为一条LSU报文,发送至对方收到LSU后,向对方回复LSAck报文,进行确认3.每台路由器根据本机链路状态数据库,计算到达每个目的网段的最优路由,写入路由表OSPF分区域管理分区域的原因加快收敛速度把网络故障隔离在区域内部路由器角色IR,普通路由器,所有接口都处于普通区域BR,骨干路由器,所有接口都处于骨干区域ABR,区域边界路由器,连接不同区域的路由器ASBR,自治系统边界路由器,连接外部自治系统的路由器区域类型骨干区域,只能有一个骨干区域,骨干区域必须是连续的非骨干区域,非骨干区域必须连接到骨干区域特殊区域常用命令[h3c]ospf 'process id' router-id 'rid':开启OSPF进程,指定Router-id,进入OSPF协议视图[h3c-ospf-1]area 'area id':进入区域视图[h3c-ospf-1-area 0.0.0.0]network 'ip address' 'wild-mask':宣告网段wild-mask:
掩码通配符0对应的部分需要匹配一致,1对应的部分不检查[h3c-ospf-1]slient-interface 'interface id':配置静默接口[h3c-GigabitEthernet 0/0]ospf dr-pririty 'priority':修改OSPF接口优先级[h3c-GigabitEthernet 0/0]ospf cost 'cost':修改接口OSPF开销
基本 NAT建立公有地址池,把地址池中的公有地址动态的映射给私有地址使用本质上仍然是一对一的映射NAPT把公有地址和端口动态的映射给私有地址和端口,实现一个公有地址可以供多个私有地址同时使用访问互联网转换源IP和源端口,数据回包还原目的IP和目的端口Easy IPNAPT的一种简易实现形式适用于公网地址不固定的场景NAT Server把公网IP的某个端口固定映射到私网IP的某个端口,让公网上的用户可以主动访问私网中的服务转换目的IP和目的端口,数据回包还原源IP和源端口也称端口映射常用命令[h3c]nat address-group 'group-number':创建 NAT 公网地址池[h3c-address-group-1]address 'start-ip' 'end-ip':设置地址池的地址范围[h3c-GigabitEthernet0/0]nat outbound 'acl-number' address-group 'group-number':在公网接口上配置 NAPT[h3c-GigabitEthernet0/0]nat outbound 'acl-number':在公网接口上配置 Easy IP[h3c-GigabitEthernet0/0]nat server protocol 'tcp/udp/icmp' global 'global-address' 'global-port' inside 'inside-address' 'inside-port':在公网接口上配置NAT Server二十八、PPP 定义点到点协议在串行线路上运行的协议特点支持身份验证支持地址自动协商工作阶段阶段1,LCP阶段,链路状态协商阶段2,验证阶段,可选阶段3,NCP阶段,IP地址协商验证验证方式PAP两次握手用户名和密码在网络中明文传输CHAP三次握手密码不在网络中传输,更安全验证分类单向验证:主验证方对被验证方进行验证双向验证:双方互相验证PPP-MP把两台路由器之间的多条PPP链路捆绑成一条逻辑PPP链路
功能实现链路冗余增加链路带宽要点IP地址配置在MP口上身份验证配置在物理口上常用命令[h3c-Serial1/0]ppp authentication-mode 'pap/chap':设置接口开启PPP验证,并指定验证方式[h3c-Serial1/0]ppp pap local-user 'username' password 'simple/cipher' 'password':被验证方设置接口上用于pap验证的用户和密码[h3c-Serial1/0]ppp chap user 'username':被验证方设置接口上用于chap验证的用户[h3c-Serial1/0]ppp chap password 'simple/cipher' 'password':被验证方设置接口上用于chap验证的密码[h3c]interface mp-group 'group-number':创建PPP-MP口,进入MP口接口视图[h3c-Serial1/0]ppp mp mp-group 'group-number':物理接口加入到MP口双向验证时,如果两端用于验证的用户名和密码一致,则在PPP接口下只用指定用户名,不用指定密码H3C配置DNS代理代码语言:javascript代码运行次数:0运行复制[h3c]dns proxy enable
[h3c]dns server '公网DNS地址'
内网终端DNS服务器指向为本路由器
十七、文件传输协议 FTP定义文件传输协议客户端/服务器模型,具备身份验证功能双TCP连接端口控制连接:21,用于传输FTP命令和执行信息数据连接:20,用于数据上传、下载数据传输方式主动方式:
数据连接由服务器主动发起控制连接:21端口数据连接:20端口被动方式:
数据连接由客户端主动发起控制连接:21端口数据连接:服务器随机产生端口TFTP简单文件传输协议基于UDP,69号端口只有数据传输功能,不提供身份验证,目录列表等功能常用命令[h3c]ftp server enable:开启FTP服务
定义动态主机配置协议用于为局域网中主机动态分配IP地址及相关信息采用客户端/服务器模式服务端端口UDP 67客户端端口UDP 68工作原理分配IP地址工作流程客户端以全网广播形式发起IP地址请求服务器以全网单播形式向客户端发送IP地址提供客户端选择好IP地址后,以全网广播形式向服务器通告选择结果服务器向客户端以全网单播形式发送IP地址确认特殊情况的处理当网络中存在多台DHCP服务器,客户端会优先选择最先到达的IP地址提供
IP地址租约更新租期到达50%,客户端如在线,会向服务器发起租约更新请求租期到达87.5%,客户端如在线,会向服务器发起租约更新请求DHCP中继代理用于跨网段分配IP地址IP地址请求的相关报文都是广播发送,无法跨越网段,所以需要在中间路由器开启DHCP中继代理功能相关命令[h3c]dhcp enable:开启DHCP服务[h3c]dhcp server ip-pool 'name':创建DHCP地址池[h3c-dhcp-pool1]network 'network' mask 'mask':配置用于分配的地址范围[h3c-dhcp-pool1]gateway-list 'ip address':配置用于分配的网关地址[h3c-dhcp-pool1]dns-list 'ip address':配置用于分配的DNS服务器地址[h3c-dhcp-pool1]expired ……:配置DHCP租期[h3c]dhcp server forbidden-ip 'start ip address' 'end ip address':配置不参与分配的IP地址[h3c-GigabitEthernet 0/0]dhcp select relay:接口上开启DHCP中继功能[h3c-GigabitEthernet 0/0]dhcp relay server-address 'ip address':指定用于中继的DHCP服务器地址[h3c]display dhcp server statistics:查看DHCP服务器统计信息十九、VLAN间路由 定义指导设备对不同vlan间进行三层数据转发
实现方式单臂路由交换机上划分多个VLAN路由器单线连接到交换机路由器接口,划分若干子接口,子接口的IP为下连vlan的网关,并绑定相应vlan交换机接口,配置TRUNK,允许所有vlan通过三层交换三层交换机上启用vlanif三层接口,配置为网关IP自动产生所有到达所有vlan的直连路由常用命令[h3c]interface 'sub-interface':创建子接口,进入子接口视图[h3c-GigabitEthernet0/0.1]vlan-type dot1q vid 'vlan-id':子接口开启802.1Q识别,并绑定Vlan[h3c]interface vlan-interface 'vlan-id':创建Vlanif三层接口,进入Vlanif接口视图二十、IPv6基础 IPv4的问题地址资源已经全部耗尽终端用户配置不够简便协议本身不具备安全性和QOS特性IPv6的优势几乎无尽的地址空间,3.4X10^38个可用地址终端用户无需任何配置,甚至不需要DHCP协议自带安全性和QOS特性地址格式冒号十六进制格式每段16位,共8段,一共128位地址书写压缩段内前导0压缩段内前导的0可省略全为0的段压缩为一个0全0段压缩连续为0的段可用::表示一个IPv6地址内只允许使用一次全0段压缩网段划分前缀:前缀长度和数字一致则为同一网段接口标识符:根据Mac地址计算而来,全球唯一前缀长度:标识前缀的长度地址分类单播地址未指定地址:
代码语言:javascript代码运行次数:0运行复制::/128
本地环回地址:
代码语言:javascript代码运行次数:0运行复制::1/128
链路本地地址:
代码语言:javascript代码运行次数:0运行复制FE80::/10
仅用于同网段内部通讯,自动生成FE80::接口标识符/10站点本地地址:
代码语言:javascript代码运行次数:0运行复制FEC0::/10
私有地址
全球单播地址:
代码语言:javascript代码运行次数:0运行复制2000::/3
组播地址标识组播地址广播地址属于一种特殊的组播地址任播地址用于智能寻路,寻找最近的下一跳从单播地址中分配IPv6邻居发现协议地址解析,类似ARP邻居关系建立和维持路由器发现/前缀发现地址自动配置1.终端发送RD消息,请求路由器的前缀和前缀长度2.路由器回复本机的前缀和前缀长度3.终端使用路由器回复的前缀+接口标识符/前缀长度,自动产生IPv6全球单播地址地址重复检测常用命令[h3c-GigabitEthernet 0/0]ipv6 address 'ipv6 address':配置静态IPv6地址[h3c-GigabitEthernet 0/0]ipv6 address auto:配置为自动产生IPv6地址[h3c-GigabitEthernet 0/0]undo ipv6 nd ra halt:解除路由器ND消息抑制二十一、IP路由原理 定义路由器负责将数据报文在IP网段之间进行转发路由是指导路由器如何进行数据转发的路径信息IP连通的前提沿途的每台路由器上都有到达目的网段的路由信息路由是单向的路径信息,沿途每台路由器都要有往返双向路由信息路由表作用存储路由信息
字段内容Destination/mask:目的网段和掩码Proto:路由的来源Pre:优先级Cost:度量值Nexthop:下一跳地址,数据报文从接口发出后到达的下一个IP地址Interface:出接口,数据报文发出的接口最长掩码匹配规则:当数据包在路由表中匹配到多条掩码长度不同的路由,会按照掩码最长的路由进行转发路由迭代规则:当路由的下一跳为非直连网段地址,路由器会再次在路由表中查询下一跳地址,直到查询到下一跳是直连地址为止来源直连路由,根据直连接口所在网段自动产生
产生条件: - 接口UP - 接口配置IP地址
静态路由:
定义:手动配置到达每个目的网段的路由信息特点:配置和维护繁琐复杂,没有协议开销,减轻设备和带宽压力动态路由协议定义:通过路由协议从邻居自动学习路由信息特点:配置简单,维护便捷,协议开销会消耗设备资源和链路资源常见路由协议RIP,路由信息协议,年代久远,已经被淘汰OSPF,开放式最短路径优先,目前最主流的路由协议BGP,边界网关协议,运营商之间使用的唯一协议路由表写表规则不同来源的路由优先级高(数字小)的优先同一来源的路由Cost小的优先同一来源Cost相等的路由会形成等价路由,数据流会在等价路由上自动负载分担路由优先级直连路由(Direct):0OSPF内部路由:10静态路由:60RIP:100OSPF外部路由:150BGP:255常用命令[h3c]display ip routing-table查看路由表[h3c]display ip routing-table 'network' 'mask'查看指定网段的路由信息二十二、静态路由 配置要点如下一跳所在接口是点到点接口,可以以指出接口的方式来配置静态路由如下一跳所在接口是以太网接口,只能以指下一跳来配置静态路由默认路由目的网段为0.0.0.0/0当数据包在路由表中匹配不到明细路由时,按照默认路由转发常用命令[h3c]ip route-static 'network' 'mask' 'nexthop/interface'配置静态路由[h3c]ip route-static 'network' 'mask' 'nexthop/interface' preference 'number'配置静态路由并修改优先级二十三、路由协议概述 定义路由协议用来计算、维护网络路由信息的协议可路由协议可被路由转发的协议,通常指IP路由协议的功能邻居发现路由交换路由计算路由维护路由协议的分类按照使用位置分类IGP:内部网关协议,运行在自治系统内部的路由协议,RIP,OSPF,IS-ISEGP:外部网关协议,运行在自治系统之间的路由协议,BGP自治系统AS一组被统一管理,运行同一个IGP的路由器组成的网络范围一般不同城域网都是不同的AS,不同运营商也是不同的AS按照协议算法分类距离矢量协议,度量值是跳数,RIP链路状态协议,度量值是开销,OSPF IS-IS路径矢量协议,有多种度量值,BGP二十四、RIP 定义路由信息协议,基于距离矢量算法基于UDP端口520RIP初始化流程RIP运行后,会从每个参与协议的接口上以广播形式发送路由请求收到路由请求后,将自己完整的路由表以广播形式响应收到路由响应后,根据计算规则,把路由写入到路由表路由信息会按照发送方向逐跳扩散路由信息更新路由响应报文会以30秒为周期发送,以对网络变化进行更新
RIP的环路问题产生原因链路故障,导致路由从表中删除30秒的更新周期还未到来,提前收到了邻居传递过来的刚刚被删除的路由,形成环路防环机制水平分割:从某个接口收到的路由信息不会从该接口回传毒性逆转:从某个接口收到的路由信息会设置为16跳后回传路由毒化:当路由失效,标记为16跳,并通告邻居,使邻居及时删除路由抑制计时器:计时时间内,不接收和原路由跳数一致或更高的路由更新触发更新:当路由失效,不用等待更新周期,立即发出路由更新,来通告错误最大跳数:不接收跳数大于15跳的路由更新RIP计时器更新计时器:30秒失效计时器:180秒,路由打上possibly down标签,路由设置为16跳垃圾收集计时器:240秒,彻底删除路由抑制计时器:180秒,路由信息失效,被打上PD标签,从其他接口收到比原路由更差的路由更新RIPv2报文以组播发送,组播地址224.0.0.9路由更新携带子网掩码可以关闭自动聚合,支持手动聚合支持身份验证常用命令[h3c]rip 'process id':创建RIP进程,进入RIP协议视图[h3c-rip-1]version 2:更改RIP版本为v2[h3c-rip-1]undo summary:关闭自动聚合[h3c-rip-1]network 'network':宣告网段,network命令的2层功能,使能接口(每个接口的IP地址与宣告的网段进行匹配,被匹配的接口能够收发RIP协议报文),使能路由(每个接口的IP地址与宣告的网段进行匹配,被匹配的接口所产生的直连路由能够传递给邻居)[h3c-rip-1]silent-interface 'interface number':配置静默接口,静默接口上不会收发RIP协议报文[h3c-GigabitEthernet 0/0]rip authentication mode ……:配置RIP接口身份验证
二十五、OSPF RIP的缺陷最大跳数限制了网络规模以跳数为度量值无法准确判断最优路径路由更新发送完整路由表消耗网络带宽收敛速度慢协议会产生路由自环定义开放式最短路径优先,基于链路状态特征工作在IP层,协议号89OSPF初始化流程1.建立邻居和邻接关系发送hello报文发现和建立邻居关系,组播地址224.0.0.5
接口UP双方接口IP地址在同一网段双方接口在同一区域……选举DR/BDR,建立邻接关系
DR/BDR选举
选举原因,广播网络中使路由信息交换更加高速有序选举范围,每条广播链路上都需要选举出一个DR和一个BDR选举规则1.优先级大的优先,默认优先级都是12.Router-id大的优先Router-id定义,Rid,标识路由器的身份
产生方法:
手动配置一个IPv4地址格式作为Rid自动选举1.在所有环回口中选举IP地址最大的作为Rid2.在所有物理接口中选举IP地址最大的作为Rid建议手动配置一个本地环回口的IP地址作为Rid
关系状态
DRother与DR建立邻接关系DRother与BDR建立邻接关系DR与BDR建立邻接关系DRother之间保持邻居关系2.邻接路由器之间交换链路状态信息,实现区域内链路状态数据库同步相关概念
链路状态通告,LSA,用来描述路由器的接口、路由条目的相关信息,向邻接路由器发送DD报文,通告本地LSDB中所有LSA的摘要信息链路状态数据库,LSDB,存储本地所有LSA工作流程
收到DD后,与本地LSDB对比,向对方发送LSR报文,请求发送本地所需的LSA的完整信息收到LSR后,把对方所需的LSA的完整信息打包为一条LSU报文,发送至对方收到LSU后,向对方回复LSAck报文,进行确认3.每台路由器根据本机链路状态数据库,计算到达每个目的网段的最优路由,写入路由表OSPF分区域管理分区域的原因加快收敛速度把网络故障隔离在区域内部路由器角色IR,普通路由器,所有接口都处于普通区域BR,骨干路由器,所有接口都处于骨干区域ABR,区域边界路由器,连接不同区域的路由器ASBR,自治系统边界路由器,连接外部自治系统的路由器区域类型骨干区域,只能有一个骨干区域,骨干区域必须是连续的非骨干区域,非骨干区域必须连接到骨干区域特殊区域常用命令[h3c]ospf 'process id' router-id 'rid':开启OSPF进程,指定Router-id,进入OSPF协议视图[h3c-ospf-1]area 'area id':进入区域视图[h3c-ospf-1-area 0.0.0.0]network 'ip address' 'wild-mask':宣告网段wild-mask:
掩码通配符0对应的部分需要匹配一致,1对应的部分不检查[h3c-ospf-1]slient-interface 'interface id':配置静默接口[h3c-GigabitEthernet 0/0]ospf dr-pririty 'priority':修改OSPF接口优先级[h3c-GigabitEthernet 0/0]ospf cost 'cost':修改接口OSPF开销
基本 NAT建立公有地址池,把地址池中的公有地址动态的映射给私有地址使用本质上仍然是一对一的映射NAPT把公有地址和端口动态的映射给私有地址和端口,实现一个公有地址可以供多个私有地址同时使用访问互联网转换源IP和源端口,数据回包还原目的IP和目的端口Easy IPNAPT的一种简易实现形式适用于公网地址不固定的场景NAT Server把公网IP的某个端口固定映射到私网IP的某个端口,让公网上的用户可以主动访问私网中的服务转换目的IP和目的端口,数据回包还原源IP和源端口也称端口映射常用命令[h3c]nat address-group 'group-number':创建 NAT 公网地址池[h3c-address-group-1]address 'start-ip' 'end-ip':设置地址池的地址范围[h3c-GigabitEthernet0/0]nat outbound 'acl-number' address-group 'group-number':在公网接口上配置 NAPT[h3c-GigabitEthernet0/0]nat outbound 'acl-number':在公网接口上配置 Easy IP[h3c-GigabitEthernet0/0]nat server protocol 'tcp/udp/icmp' global 'global-address' 'global-port' inside 'inside-address' 'inside-port':在公网接口上配置NAT Server二十八、PPP 定义点到点协议在串行线路上运行的协议特点支持身份验证支持地址自动协商工作阶段阶段1,LCP阶段,链路状态协商阶段2,验证阶段,可选阶段3,NCP阶段,IP地址协商验证验证方式PAP两次握手用户名和密码在网络中明文传输CHAP三次握手密码不在网络中传输,更安全验证分类单向验证:主验证方对被验证方进行验证双向验证:双方互相验证PPP-MP把两台路由器之间的多条PPP链路捆绑成一条逻辑PPP链路
功能实现链路冗余增加链路带宽要点IP地址配置在MP口上身份验证配置在物理口上常用命令[h3c-Serial1/0]ppp authentication-mode 'pap/chap':设置接口开启PPP验证,并指定验证方式[h3c-Serial1/0]ppp pap local-user 'username' password 'simple/cipher' 'password':被验证方设置接口上用于pap验证的用户和密码[h3c-Serial1/0]ppp chap user 'username':被验证方设置接口上用于chap验证的用户[h3c-Serial1/0]ppp chap password 'simple/cipher' 'password':被验证方设置接口上用于chap验证的密码[h3c]interface mp-group 'group-number':创建PPP-MP口,进入MP口接口视图[h3c-Serial1/0]ppp mp mp-group 'group-number':物理接口加入到MP口双向验证时,如果两端用于验证的用户名和密码一致,则在PPP接口下只用指定用户名,不用指定密码