HCIA复习总结
OSI :(参考模型)
七层模型:
1.应用层,表示层,会话层-----控制层面
2.传输层,网络层,数据链路层,物理层----数据层面
分层思想:
应用层:接收用户的数据,人机交互,面向的应用程序。
表示层:将逻辑语言(软件语言)转换为机器语言(二进制语言),翻译 ,加密
会话层:建立会话,针对传输的每一种数据(流量)建立(管理:维持、终止)一条虚连接(为了防止不同类型的数据互相影 响)
传输层:端到端传输、可靠传输,作用 1.区分流量 2.定义数据传输方式
网络层:路由,寻找最佳路径,基于网络层地址(IP地址)进行不同网络系统间的路径选择
数据链路层:建立链路转发、MAC寻址,在物理层上建立、撤销、标识逻辑链接和链路复用 以及差错校验等功能。通过使用接收系统的硬件地址或物理地址来寻址
物理层:二进制传输 (脉冲信号)、接口、电器、电压、线路
四层模型 —> IETF 组织 ---->事实上的模型,现有协议后有模型
上三层统一为应用层
传输层
网络层
网络接口层
IP的编址
? 网络位 主机位
IANA
主类
A 单播 0XXXXXXX /8 1-126 10.0.0.0/8 127.0.0.0/8(回环地址)
B 单播 10XXXXXX /16 128-191 172.16.0.0-172.31.0.0/16
C 单播 110XXXXX /24 192-223 192.168.0.0-192.168.255.0/24
D 组播 1110XXXX 224-239
E 科研保留
无类/可变长子网
引入了掩码,规则1表示网络位,0表示主机位
192.168.1.0 255.255.255.0
10.1.1.210/28 10.1.1.226/28 是否在一个网段 ----- 必会题
10.1.1.130/28 网段是什么,段广播是什么? ----必会题
1、网段地址也称为IP地址。是指互联网协议地址(英语:Internet Protocol Address,又译为网际协议地址),是IP Address的缩写。IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。目前还有些ip代理软件,但大部分都收费。
2、广播地址(Broadcast Address)是专门用于同时向网络中所有工作站进行发送的一个地址。在使用TCP/IP 协议的网络中,主机标识段host ID 为全1 的IP 地址为广播地址,广播的分组传送给host ID段所涉及的所有计算机。例如,对于10.1.1.0
(255.255.255.0 )网段,其广播地址为10.1.1.255 (255 即为2 进制的11111111
),当发出一个目的地址为10.1.1.255 的分组(封包)时,它将被分发给该网段上的所有计算机。
区别:网络地址是由32位二进制数组成,每八位用英文的“.”分隔。而广播地址是8位二进制数组成。
举例如下:
网络地址192.168.1.88 子网掩码255.255.255.0
则网段地址是192.168.1.0
复杂的:网络地址192.168.1.188 子网掩码255.255.255.128
则网段地址是192.168.1.128
广播地址的概念:
主机地址全为“1”(八位二进制数是255),就是广播地址。
第一例中,192.168.1.255就是广播地址。
第二例中,192.168.1.255也是广播地址。
TCP:传输控制协议,是一种面向连接的可靠传输协议
C —> syn seq=10000 S
C seq=200 syn seq=10001 ACK<— S 半开队列 计时器
C —> ack seq = 201 S 全连队列
1.为什么需要三次握手?
为了保证服务端能收接受到客户端的信息并能做出正确的应答而进行前两次(第一次和第二次)握手,为了保证客户端能够接收到服务端的信息并能做出正确的应答而进行后两次(第二次和第三次)握手。
在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。
第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;
第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器 进入SYN_RECV状态;
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入 ESTABLISHED状态,完成三次握手。
通过这样的三次握手,客户端与服务端建立起可靠的双工的连接,开始传送数据。
三次握手的最主要目的是保证连接是双工的,可靠更多的是通过重传机制来保证的。
2.syn半开攻击,发送大量syn包不回确认ack,导致半开队列被占满,服务器无法提供连接服务
防御:syn_cookie 技术 记录syn半开连接者的IP,下次连接时不会将其放入半开队列(等于丢弃)
分布式的半开攻击用以上技术不能防御,只能依赖于僵尸网络库,或者代理技术,流量清洗技术来防御。
四次断开 标准
C —>FIN seq=3000 S
C seq=3001 ack <-- S
C seq=4000 FIN <---- S
C —>ack seq=4001 S
可以三次 把fin ack一次发送
也可以俩次 一般是服务为了节约资源
为什么需要四次断开?
-
client和server已经建立了连接,client发送请求到server,server接收到请求把响应的信息返回给client。 ① client->server :server我要断开连接了。 ② server->client :好的,那断开链接吧。
2.因为在建立连接的时候就双发的发送和接受的功能,于是连接断开。为什么两次会话就可以断开连接了?
? ① client->server :server我要断开连接了。
? ② server->client :等会,我还有一些响应的信息还没发给你。
? 。。。过了一会
? ③client->server :你还没发好吗,我要断开连接了。
? ④server->client :再等会,我还有一些内容还没发好。
? 。。。过了一会
? ⑤client->server :你好慢啊,我要断开连接了。
? ⑥server->client :你好烦,发好了我会给你信息的。
? 六次会话都还没断开连接,client就学乖了,不要一直找server,它好了会给消息的。于是下次想要断开连接的时候。
? ① client->server :server我要断开连接了。
? ② server->client :等会,我还有一些响应的信息还没发给你。
? 。。。过了一会
? ③ server->client :响应信息发好了,我要断开连接了。
? 虽然server信息发好了,但是要考虑到client还在接受信息于是server就在等client的确认信息。
? ④ client->server :接收好了,断开连接了。
所以综上的情况,要确保连接的断开,至少需要四次的会话。
syn ack rst fin
窗口
拥塞控制
拥塞避免
慢启动
快重传
UDP:用户数据报协议,是一种非面向连接的不可靠传输协议
路由器:三层设备,识别IP地址。不同的接口在不同的网段(广播域)
交换机(网桥):二层设备,使用MAC地址,所有的接口默认在同一个广播域,一个接口是一个冲突域。
集线器(hub):放大器 放大信号,属于1层设备,识别bit流,hub上所有的接口都在同一个冲突域中。
动态路由
分类: RIP OSPF EIGRP ISIS BGP
1.按照使用范围进行分类:
IGP—内部网关协议,一个AS内部使用的协议为IGP(RIP OSPF EIGRP ISIS)
BGP—边界网关协议,不同的AS之间使用的协议为BGP(BGP)
AS–自治系统 , 范围1-65535 ,公有AS(1-64512) 和 私有AS(64513-65535)
2.按照协议的特点进行分类:
距离矢量型:RIP EIGRP (高级距离矢量型路由协议)
链路状态型:OSPF ISIS
3.按照是否传递网络掩码进行分类:
有类别路由协议:不传递网络掩码(RIPV1)
无类别路由协议:传递网络掩码(其他)
RIP : 路由信息协议
分为三个版本RIPV1 RIPV2(在IPV4中使用),RIPNG(在IPV6中使用)
RIPV1:是一种有类别的距离矢量型路由协议
RIPV2:是一种无类别的距离矢量型路由协议
通过发送数据包进行路由信息的交互,request(请求) response (响应); 数据包封装基于UDP发送,端口号520(RIPNG 521),周期性发送,周期更新时间为 30 s ,RIPV2 发送路由更新地址 224.0.0.9 ( RIPV1 使用255.255.255.255);cost (metric) 计算方式: 路由信 息每经过一次路由器的转发,metric值增加 1 , 最大值15 ,16代表着不可达。
1.同步更新问题----使用异步更新方式(25.5-30s)
2.水平分割机制(适合于所有的距离矢量型路由协议)
3.思科:update 更新 30s invalid 无效 180 flush 刷新 240 hold down 抑制 180 华为: 更新30s 无效 180 垃圾回收计时器 120
4.带毒性逆转的水平分割机制(适合于所有的距离矢量型路由协议)
特点:
1、无需管理员手工维护,减轻了管理员的工作负担。
2、占用了网络带宽。
3、在路由器上运行路由协议,使路由器可以自动根据网络拓朴结构的变化调整路由条目;
4、网络规模大、拓扑复杂的网络
OSPF
OSPF : 开放式最短路径优先协议
1.协议使用范围:IGP
2.协议算法特点:链路状态型路由协议
3.协议是否传递网络掩码:传递网络掩码(无类别的路由协议)
4.协议封装: 基于IP协议封装,协议号为89
OSPF定义的5种网络类型:
1.1点到点网络,比如T1线路,是连接单独的一对路由器的网络,点到点网络上的有效邻居总是可以形成邻接关系的,在这种网络上,OSPF包的目标地址使用的是224.0.0.5,这个组播地址称为AllSPFRouters.
2.广播型网络(broadcast),由cisco提出的网络类型,自动发现邻居,选举DR/BDR,hello时间10s。
2.1广播型网络,比如以太网,Token Ring和FDDI,这样的网络上会选举一个DR和BDR,DR/BDR的发送的OSPF包的目标地址为224.0.0.5,运载这些OSPF包的帧的目标MAC地址为0100.5E00.0005;而除了DR/BDR以外发送的OSPF包的目标地址为224.0.0.6,这个地址叫AllDRouters.
3.非广播型(NBMA)网络 (non-broadcast),由RFC提出的网络类型,手工配置邻居,选举DR/BDR,hello时间30s。
3.1.NBMA网络,比如X.25,Frame Relay,和ATM,不具备广播的能力,因此邻居要人工来指定,在这样的网络上要选举DR和BDR,OSPF包采用unicast的方式
4.点到多点网络 (point-to-multipoint),由RFC提出,自动发现邻居,不选举DR/BDR,hello时间30s。
4.1点到多点网络 是NBMA网络的一个特殊配置,可以看成是点到点链路的集合. 在这样的网络上不选举DR和BDR.
5.点到多点非广播,由cisco提出的网络类型,手动配置邻居,不选举DR/BDR,hello时间30s。
6.虚链接: OSPF包是以unicast的方式发送
OSPF协议主要优点
1、OSPF是真正的LOOP- FREE(无路由自环)路由协议。源自其算法本身的优点。(链路状态及最短路径树算法)
2、OSPF收敛速度快:能够在最短的时间内将路由变化传递到整个自治系统。
3、提出区域(area)划分的概念,将自治系统划分为不同区域后,通过区域之间的对路由信息的摘要,大大减少了需传递的路由信息数量。也使得路由信息不会随网络规模的扩大而急剧膨胀。
4、将协议自身的开销控制到最小。见下:
1)用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文,非常短小。包含路由信息的报文时是触发更新的机制。(有路由变化时才会发送)。但为了增强协议的健壮性,每1800秒全部重发一次。
2)在广播网络中,使用组播地址(而非广播)发送报文,减少对其它不运行ospf 的网络设备的干扰。
3)在各类可以多址访问的网络中(广播,NBMA),通过选举DR,使同网段的路由器之间的路由交换(同步)次数由 O(N*N)次减少为 O (N)次。
4)提出NSSA区域的概念,使得NSSA区域内不再传播引入的ASE路由。
5)在ABR(区域边界路由器)上支持路由聚合,进一步减少区域间的路由信息传递。
6)在点到点接口类型中,通过配置按需拨号属性(OSPF over On Demand Circuits),使得ospf不再定时发送hello报文及定期更新路由信息。只在网络拓扑真正变化时才发送更新信息。
5、通过严格划分路由的级别(共分四极),提供更可信的路由选择。
6、良好的安全性,ospf支持基于接口的明文及md5 验证。
7、OSPF适应各种规模的网络,最多可达数千台。
交换基础:
路由器:router
交换机:switch
网桥:bridge
集线器:hub
交换:
基于MAC地址进行转发的(MAC地址表-自动生成)
交换机基本工作原理:
1.基于源MAC地址学习
2.基于目标MAC地址转发
3.数据过滤
4.防环
泛洪(洪泛):交换机收到一个需要被泛洪的数据帧,会将该数据帧通过除了接收数据接口之外的其他所有接口转发出去
默认泛洪的数据帧:1.广播 FFFF.FFFF.FFFF 2.组播 (01-00-5E-)3.未知单播
ARP : 地址解析协议,基于二层封装
正向ARP:通过对方的IP地址请求对方的MAC地址
反向ARP:通过对方的MAC地址请求对方的IP地址
无故ARP:免费ARP
VLAN : 虚拟局域网
VLAN 使用VLAN ID 进行标识。
VLAN id 范围1-4094 (0-4095 VLAN 0 和VLAN 4095 被保留)
一个VLAN = 一个广播域 = 一个独立的网段
VLAN 1 为默认VLAN ,交换机上默认所有的接口都属于VLAN 1
PVID VLAN = 端口VLAN ID 默认所有的接口的PVID 为 VLAN 1
MAC地址表:三元素 VLAN ID, 端口标识, MAC地址
交换接口模式:access trunk hybrid
Access :接入接口 只属于某一个VLAN
Trunk:中继接口 trunk链路可以同时传递多个不同VLAN
ACL : 访问控制列表 —控制列表(策略列表 )
功能:
1.定义感兴趣路由(控制层面)
2.定义感兴趣流量 (数据层面)
ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由拒绝所有的Telnet通信流量。
ACL :
1.自上而下匹配 一经匹配,立即执行
2.ACL 列表的调用分为in(先匹配ACL再查看路由)和out(先查看路由,再匹配ACL)
3.必须满足金字塔形结构
4.ACL 分为 标准 ACL 和 扩展 ACL
5.(在cisco中末尾隐含拒绝所有 ;在华为设备中若没有匹配到ACL 则执行默认处理)
标准ACL :关注 源IP 地址,在使用时尽量靠近目标
扩展ACL: 关注 源 IP 、目标IP、协议,在使用时尽量靠近源(不能再源之上,ACL不能过滤自身产生的流量)
ACL 部署:ACL 中匹配后缀参数为通配符
NAT : 网络地址转换
功能:
1.将大量的私有地址转换为公有地址(节约IP地址)
2.将一个IP地址转换为另一个IP地址(公有的)(增加内部网络设备的安全性)
缺陷:
1.极其消耗网络设备资源
2.破坏了数据的端到端传输(导致有些安全技术无法有效实施)
NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
网络地址转换(NAT)的实现:
在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT。通常情况下,连接到用户内部网络的接口是NAT内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。
静态地址转换的实现:
假设内部局域网使用的lP地址段为192.168.0.1192.168.0.254,路由器局域网端(即默认网关)的IP地址为192.168.0.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.12861.159.62.135,路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.248可用于转换的IP地址范围为61.159.62.13061.159.62.134。要求将内部网址192.168.0.2192.168.0.6分别转换为合法IP地址61.159.62.130~61.159.62.134。
|