OSI七层模型与TCP/IP协议簇对应关系:
TCP/IP传输示意图:
OSI七层模型以及各层功能:
以TCP/IP模型,各层协议:
一、网络接口层:
Internetwork:互联网络
Ethernet v.2:网卡驱动
IEEE 802.2:IEEE 802又称为LMSC,是一个物理协议集,802网络是一系列局域网的总称,包含物理层PHY和MAC两个组件,MAC决定数据传输和访问媒介的规则,PHY定义其中细节,致力于研究局域网和城域网的物理层和MAC层中定义的服务和协议,对应OSI网络参考模型的最低两层(即物理层和数据链路层)。
IEEE 802.2 :逻辑链路控制子层(LLC)的定义。
协议总览参考:http://www.cnitpm.com/pm1/56491.html
二、Internet层:
ARP:地址解析协议,,其基本功能为透过目标设备的IP地址,查询目标设备的MAC地址。IPv6中地址解析协议为NDP
ARP工作流程图:
RARP:反向地址解析协议
参考:ARP详解_milletluo的博客-CSDN博客_arp
F5中可以给飘地址(虚拟地址)一个虚拟的MAC地址,完成MAC地址欺骗,对外将所有MAC宣告为飘MAC(内外网MAC传到飘IP均用飘MAC地址)
IP
二、传输层:
TCP:是一种面向连接(连接导向)的、可靠的、 基于IP的传输层协议
参考:什么是TCP协议?_YUAN的博客-CSDN博客_tcp协议
用作双击同步,同步端口为TCP 4353,为加密通道(iquery),同步方式:自动/手动同步;全部/增量同步
Performance L4模式下,F5不改变TCP中任何参数
在全代理模式下,F5维护两个TCP协议栈
Oneconnect为TCP连接复用
设置参数
UDP无连接的传输层协议,提供面向事务的简单不可靠信息传输
四、应用层协议:
SSL:安全套接层,不依赖于平台和运用程序,主要提供隐私性,信息完整性和身份认证,分为两层:
SSL记录层:建立在可靠的传输协议上,为高层协议提供数据封装、压缩、加密等基本功能的支持
SSL握手协议:建立在SSL记录协议之上,用于实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等
F5上SSL的安装和卸载:
SSL client:SSL卸载,将加密请求卸载为明文,F5才可对加密请求包进行删除添加的修改操作
SSL server:SSL安装,后端服务器是密文(例端口443),将明文再次加密
如果想要配置一个VS,加密非加密端口的IP都命中此VS,则在profile->SSL Client中勾选
工作流程参考:http://xiaomics.blogbus.com/logs/28201452.html
SSL VPN与IP Sec VPN:
SSL VPN提供安全、可代理连接,能对加密隧道进行细分,从而使得终端用户能够同时接入Internet和访问内部企业网资源,可细化接入控制功能
IP Sec VPN采用IP Sec协议来实现远程接入的一种VPN技术,在公网上为两个私网那个建立安全通道,在公网网关间提供私密数据封包服务
TLS:安全传输层协议,用于两个应用程序之间提供保密性和数据完整性。同样有两层:TLS记录协议和TLS握手协议,其前身安全套接层(SSL),TLS是SSL的标准化后的产物,有1.0 1.1 1.2三个版本,默认使用1.0,TLS1.0和SSL3.0几乎没有区别。
抓包如下:
Client hello:
Server hello:
数据响应:
HTTP:超文本传输协议
参考《图解HTTP》
在F5中挂HTTP profile才可对数据包进行基于7层的操作
DNS:域名解析协议,将域名转换为IP地址
F5中DNS属于GTM模块,后续整理
参考:F5 GTM(一):DNS参数_渣渣今天学废了吗的博客-CSDN博客
FTP:文件传输协议,是用于在网络上进行文件传输的一套标准协议,使用TCP连接,确保客户端与服务器之间连接的可靠性,端口:21监听、20传数据
F5 VS中默认开启
关联FTP profile,即可解决无法传数据问题
双机时FTP 21端口更适合做镜像连接,防止下载等业务中断再起困难
NTP:网络时间协议,基于UDP,用于网络时间同步的协议,使网络中的计算机时钟同步到UTC,再配合各个时区的偏移调整就能实现精准同步对时功能。
F5中开启NTP服务
注意:双机或多活同步时两设备需要在同一时区的相同时间
参考:NTP协议详解_dosthing的博客-CSDN博客_ntp协议
SMTP:邮件传输协议
POP3:邮件接收协议
在F5中有其专属健康检查,可针对邮件服务器
SNMP::网络管理协议
TELNET:远程管理
OSPF:
? 网络异构化,即同一大型网络不同区使用的设备不同,OSPF可解决此问题
? 内部(区域内,区域间)路由,两种网络类型:帧中继、中央到分枝(都ATM/FR网络)选路基于COST值,无路由环路(SPF算法)、收敛快(无更新周期,触发更新)、扩展性好、支持认证
? OSPF基于LSA传播(泛洪式传播,触发更新,30min发送定期更新,被称为链路式泛洪),建立邻接关系后发送LSA(接口IP地址、掩码、开销和网络类型),生成LSDB数据库中,计算最短路径
? 邻居状态机(7种):1Down—2Atttempt(仅存在于NBMA网络,并非是组播形式发送hello报文,点到点网络,需要人为配置IP地址,后发送hello)— 2Init(初始化)—3 2-Way(DR/BDR选举)—4ExStart(预启动,此前为邻居关系)—5Exchang—6loading(加载)—7Full(成功建立邻接关系)
? DR/BDR:指定路由器、备份路由,所有路由器只与DR建立邻接关系即可,优先级为0的路由不参与选举,无配置选举ROUTER ID大的做DR,且设置成功不可抢占,OSPF稳定基于邻接关系稳定((抢占模式))
? ABR:跨域路由
? ASBR:自制域边界路由:外接设备想进入域,导入域中一台设备,这个设备就叫ASBR
? 路由传递入接口计算CAST值,参考带宽(10*8次方,100兆)/接口带宽,band witch- reference设置开销值(OSPF CAST 20)
? OSPF报文:所有报文封装在IP头部,协议号为89
? 更改网络类型:OSPF network- type P2P
? 五种报文:
① hello报文,交互信息判断是否可以建立邻居:网络掩码、时间间隔、Options(可选功能)、Router Priority,选举DR,BDR、Neighbor(邻居ID)
字段验证(IPV4为例):version:2,Router ID:必须唯一,AuType:必须与该区域一致,Authentication:验证信息,必须一致
间隔:hello interval Router Dead Interval:必须和接受端口一致,Area ID:1与接受端口所属区域饿Area ID一致2若不一致,则值须为0,属于骨干区域,且在一个虚链接上发送,Network Mask:(以太网中)必须与接收端口网络掩码一致,除非是点到点或虚链路(不检查)
options:E-bit表示是否接收外部路由,必须与相关区域的配置保持一致
② DD报文,交换数据摘要:
1、选举主从关系,防止广播泛洪,从先发起LSDB(携带LSA(由Ls type,Link Date ID,Advertisting Router唯一标识)信息(第三、四、五报文:LSR(请求报文,请求LSU)、LSU(详细链路状态信息)、LSACK))同步。
2、同步链路装套数据库摘要信息
③ LSR报文:请求自身缺少的链路信息,即请求指定LSA
④ LSU报文:发送详细的链路状态信息(LSA update,只有update中才包含LSA所有信息)
⑤ LSACK报文:确认报文