网络工程原理个人复习总结
- 1. 网络工程的基本概念和内涵,网络工程人员角色及其职责
- 2. 相关网络设备基础知识:设备互连能力划分(物理能力与协议能力),设备类型(集线器、网桥、路由器、交换机等)及其区别,网络设备工作的网络层次(TCP/IP四层结构)
- 3. 交换机:三种交换机实现技术种类;交换机MAC地址自动学习的基本工作原理;MAC表项的类型(静态、动态、过滤),动态表项默认老化时间
- 4. 路由器基本工作原理;路由表项的类型(静态路由和动态路由)
- 5. 交换机或路由器硬件的基本构造,能判断什么类型的报文送到CPU处理,哪些不用
- 6. 广播域与冲突域的定义、作用,能够根据给定的网络拓扑判断广播域和冲突域的个数
- 7. 以太网的帧头结构,每个字段的字节数、含义与作用
- 8. VLAN tag的基本结构,字段格式与含义,以及VLAN中的端口类型与特点(access、trunk、hybrid)
- 9. SuperVLAN的基本原理、特点与作用
- 10. PrivateVLAN的基本原理、特点与作用
- 11. IPv4首部/IPv6首部基本结构,每个字段的字节数、含义与作用
- 12. 有类IPv4地址的类型与特点;特殊IPv4地址;子网号、掩码的作用,VLSM子网划分步骤,能够根据给定的地址端进行VLSM子网划分
- 13. 网络地址转化NAT的工作原理、基本类型(静态、动态)与特点
- 14. 网络设计的3层结构(接入、汇聚、核心),以及每个层次结构的设计要点与原则
- 15. ARP协议的基本工作原理,ARP欺骗的目的与工作原理
- 16. 常见路由协议种类(RIP、EIGRP、OSPF、BGP),分类方法(是否支持VLSM、算法类型),以及对应协议类型归类;路由协议的管理距离,Cisco常用路由协议的管理距离大小
- 17. RIP协议版本、功能特点(加密、被动接口等)和应用场景,以及对应的配置命令
- 18. OSPF协议:基本工作原理(三种表类型、单区域、多区域),路由器角色(ABR、ASBR、IBR【指内部路由器】)、版本、功能特点(Stub、Totally Stub以及Not-So-Stubby),被动接口的作用以及对应的配置命令;以及RIP与OSPF混合路由的配置命令
- 19. BGP协议的基本工作原理,三种注入BGP路由的方式与特点
- 20. 可靠性设计的基本方式(二层冗余、三层冗余、物理线路冗余、硬件冗余);路由冗余协议的种类(VRRP、HSRP与GLBP)、基本原理,以及它们之间的区别
- 21. 接入安全技术的基本原理(端口安全、AAA技术、802.1、IP+MAC绑定等)
- 22. STP/RSTP/MSTP协议的基本工作原理、特点与区别;能够根据给定的网络拓扑判定STP收敛后的端口状态(根端口、指定端口和阻塞端口)
- 23. ACL的基本功能和技术分类(标准、扩展和专家),以及它们之间的区别,以及基本的配置命令
- 24. 三种QoS服务质量模型的基本特点,重点了解区别服务模型的工作原理与过程
- 25. IPv4-IPv6隧道技术种类与特点,重点了解IPv4-IPv6 GRE隧道技术基本原理
1. 网络工程的基本概念和内涵,网络工程人员角色及其职责
网络工程学定义
研究网络系统的规划、设计与管理的工程科学
网络工程学内涵
根据用户的需求与目标,对网络系统建设方案进行规划设计,工程招投标,硬件与软件现场部署调试、测试验收,以及后续管理与维护,改造与升级
网络工程人员
总体设计人员
要熟练掌握网络规划与设计的步骤、要点、流程、案例、网络设备选型,以及根据可能的网络技术发张方向,考虑网络系统的优化、升级与容灾
一般设计人员
要具备计算机网络基本原理、网络系统结构、协议、安全等相关知识,并具备网络设备配置、系统布线的相关实践技能
网络应用开发人员
掌握网络编程开发技术、网站设计和web制作技术、信息发布技术、各种服务器搭建技术,用于满足用户的日常网上办公需求
网络管理人员
掌握各种网管工具,对网络实施有效的管理维护,包括网络系统运行监控管理、认证与计费管理、攻击防御、故障检测与修复、使网络系统持续、可靠运行,发挥应有的经济效益
工程管理人员
要懂得网络工程的组织实施过程,能把握住网络工程的评审、监理、验收等环节
2. 相关网络设备基础知识:设备互连能力划分(物理能力与协议能力),设备类型(集线器、网桥、路由器、交换机等)及其区别,网络设备工作的网络层次(TCP/IP四层结构)
设备互连能力划分
物理互连能力
指所支持的物理接口,能连接的物理介质类型
协议互连能力
指工作在不同协议类型的网络之间,实现不同协议数据包的转换。通常对设备互连能力考虑得较多的都是协议上的互连能力
网络系统设备类型
- 中继器、集线器、网桥、交换机、路由器
- 防火墙(FW)、入侵检测/防御系统(IPS/IDS)
- 应用控制网关(VPN网关、认证计费网关)
- 无线控制器(AP/AC)、负载均衡控制器
- 计算服务器、存储系统
网络设备工作的网络层次
3. 交换机:三种交换机实现技术种类;交换机MAC地址自动学习的基本工作原理;MAC表项的类型(静态、动态、过滤),动态表项默认老化时间
三种交换机实现技术种类
直通交换、存储转发、无碎片直通方式
交换机MAC地址自动学习的基本工作原理
交换机上电初始化,其MAC地址表为空。当一个网络报文从其中一个端口进入交换机时,开始自动学习MAC表项
- 新表项添加规则:新表项的“MAC地址”填入报文头部的源MAC地址,“端口号”填入报文进入的端口
- 表项更新规则:原有表项的“MAC地址”不变,“端口号”填入报文进入的端口号
- 表项删除规则:当添加或更新一条表项时,启动老化计时器(300s),如果计时结束还未重新更新,则删除该表项,称之为“老化”
总结:以太网报文的报头包含目的MAC地址和源MAC地址,报文进入交换机时,是先根据报文头部源MAC地址进行地址学习,然后根据报文头部目的MAC地址查找地址表进行报文转发
MAC表项的类型
三种属性:动态、静态、过滤属性
属性特点:动态表项通过自动学习得到,可以老化;静态和过滤表项只能通过配置命令手工添加或删除,不可以老化,也不能被自动学习过程更新
4. 路由器基本工作原理;路由表项的类型(静态路由和动态路由)
路由器基本工作原理
数据报文至少经过一个或多个中间三层节点才能到达目标节点,中间可能出现若干条可选的发送路径,选择效率最高的可用路径的过程就是路由。
路由的动作发生在网络层,路由的依据是IP地址,具有路由功能的网络设备称为路由器。
路由表项的类型
静态路由
静态路由的好处在于可以减少路由器之间的数据传输量,这对于带宽较紧张,线路冗余度低的网络尤其适合
动态路由
配置动态路由协议的路由器能够自动地建立起自己的路由表,并且能够根据情况的变化适时地进行调整
5. 交换机或路由器硬件的基本构造,能判断什么类型的报文送到CPU处理,哪些不用
交换机或路由器硬件的基本构造
以太网交换机的基本硬件架构
路由器主要由下面五个部分组成:路由引擎,转发引擎,路由表,网络适配器和路由器端口
存储转发方式能判断什么类型的报文送到CPU处理
存储转发方式具有错误检测,自动缓存,访问控制(ACL)等特性,访问控制(ACL)就能判断什么类型的报文送到CPU处理
6. 广播域与冲突域的定义、作用,能够根据给定的网络拓扑判断广播域和冲突域的个数
冲突域定义
由以太网CSMA/CD机制决定的。在同一个冲突域中每一个节点都能收到所有被发送的帧,简单的说就是同一时间内只能有一台设备发送报文的范围
冲突域隔离
二层或以上设备,如交换机的每个端口就是一个冲突域
广播域定义
网络中能接收任一设备发出的广播帧的所有设备的集合,简单的说,如果站点发出一个广播帧,所有能接收到这个帧的设备范围称为一个广播域
广播域隔离
三层或以上设备,如路由器或三层交换机,或支持VLAN的交换机
7. 以太网的帧头结构,每个字段的字节数、含义与作用
Preamble(8字节):物理层插入的8字节,由7位前同步码和1位帧开始定界符组成
目标MAC地址(8字节)
源MAC地址(8字节)
类型(2字节)上层协议的类型
帧检验序列FCS(4字节)检测该帧是否出错,发送方计算帧的循环冗码校验(CRC)值,写入帧里。接收方重新计算并与接收到的CRC值进行比较
8. VLAN tag的基本结构,字段格式与含义,以及VLAN中的端口类型与特点(access、trunk、hybrid)
VLAN tag的基本结构
TPID:固定值0x8100,表明该帧的标签
Priority:指明该帧的优先级。有0-7,共8个等级
CFI:为0说明是规范格式,1为非规范格式
VLAN ID:这是一个12位的与,指明VLAN的ID,一共4096个
交换机端口类型
- ACCESS端口:只允许属于一个VLAN
- Trunk端口:可属于多个VLAN,需要设置缺省(Native)VLAN
- Hybrid端口:VLAN限制同trunk端口,唯一的不同点是Hybrid端口可以允许多个VLAN的报文发送是不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签
- 端口VLAN的tag/unTag属性
9. SuperVLAN的基本原理、特点与作用
SuperVLAN又称为VLAN聚合,把多个VLAN聚合成一个SuperVLAN,这些子VLAN使用同一个IP子网和缺省网关。每个子VLAN都是一个独立的广播域,保证不同用户之间的隔离,子VLAN之间的通信通过SuperVLAN进行路由
优点:节省交换机路由接口数目,节约IP地址
10. PrivateVLAN的基本原理、特点与作用
PVLAN中的交换机端口有三种类型:Isolated port、Community port和Promiscuous port;对应三种VLAN。
一个PVLAN中只有一个Primary VLAN(Promuscuous)、一个Isolated PVLAN,可以有多个Community PVLAN。后面两种都属于Secondary VLAN,需要和Primary VLAN绑定在一起,从外部看就是一个主VLAN
优点:可以使同一子网内的主机随便相互访问的同时,又都可以和某一个目的主机进行通信,比如网关、服务器等
11. IPv4首部/IPv6首部基本结构,每个字段的字节数、含义与作用
IPv4
首部长度:4位,首部长度=固定部分(20字节)+可选字段(0~40字节),取值范围5到15,单位为4字节
总长度:16位,单位为1字节,最大值为65535,但总长度必须不超过MTU
IP分片与重组(标识,标志,片偏移) :
- 网络链路存在MTU:链路层帧可封装数据的上限;不同链路的MTU不同
- 大IP分组向较小MTU链路转发时,可以被“分片”
- IP分片到达目的主机后进行“重组”
- 标识(16位):标识一个IP数据报,IP数据报分片时,所有分片具有相同的标识
- 标志(3位):MF=1,还有分片;MF=0,最后一个分片;DF=1,禁止分片;DF=0,允许分片
- 片偏移(13位):某分片在原IP数据报中的相对位置。单位为8个字节
生存时间TTL:8位,指数据报在网络中可通过的路由器数的最大值。IP数据报每经过一个路由器,TTL减1。当减到0时,这个数据报就会被丢失
协议:8位,指数据部分是何种协议
- =6,TCP
- =17,UDP
- =1,ICMP
- =41,IPv6
首部检验和:只检验首部,不检验数据部分。,设首部检验和为0,将首部每2个字节当做一个数,将所有数相加求和,进位累加,对求和结果求反得到
IPv6
ipv6数据报格式:IPv6数据报=基本首部+有效载荷;有效载荷=扩展首部+数据部分
- 优先级(8位):为了区分不同的IPv6数据报的类别或优先级
- 流标签(20位):属于同一个流的数据报具有同样的流标签
- 有效载荷长度(16位):指IPv6数据报除基本首部以外字节数,最大值是65535
- 下一个首部(8位):相当于IPv4的协议字段
- 跳数限制(8位):相当于IPv4的TTL字段
IPv6与IPv4区别
IPv6的优点:
- 更大的地址空间
- 扩展的地址层次结构
- 灵活的首部格式
- 改进的选项
- 允许协议的继续扩充
- 支持即插即用
- 支持资源的预分配
- 8字节对齐
IPv4和IPv6的区别:
- 取消了首部长度字段,因为它的首部长度是固定的
- 取消了服务类型字段,因为优先级和流标号字段实现了服务类型字段的功能
- 取消了总长度字段,改用有效载荷长度字段
- 取消了标识、标志、和片偏移字段,因为这些功能已包含在分片扩展首部中
- 把TTL字段改称为跳数限制字段,但作用是一样的
- 取消了协议字段,改用下一个首部字段
- 取消了检验和字段,这样加快了路由器处理数据报的速度
- 取消了选项字段,而是扩展首部来实现选项功能
与IPv4相比,IPv6的新特点是:
1.巨大的地址空间:IPv6的128位地址长度形成了一个巨大的地址空间。
2.高效的层次寻址及路由结构 3.移动性 4.内置的安全特性
5.服务质量6.即插即用的配置
12. 有类IPv4地址的类型与特点;特殊IPv4地址;子网号、掩码的作用,VLSM子网划分步骤,能够根据给定的地址端进行VLSM子网划分
IPv4地址的类型与特点
A类保留给政府机构,B类分配给中等规模的公司,C类分配给任何需要的人,D类用于组播,E类用于实验
公开地址和私有地址
根据用途和安全性级别的不同,IP地址还可以大致分为共有地址和私有地址两类
在2类IP地址中专门保留了三个区段作为私有地址,其地址范围如下:
- A类地址:10.0.0.0 – 10.255.255.255(长度相当于1个A类IP地址)
- B类地址:172.16.0.0 – 172.31.255.255(长度相当于16个连续的B类IP地址)
- C类地址:192.168.0.0 – 192.168.255.255(长度相当于256个连续的C类IP地址)
特殊地址
- 受限广播地址:255.255.255.255
- 本机地址: 127.0.0.1,通常用于测试
- 组播地址:224.0.0.0到239.255.255.255,224.0.0.1特指所有主机,224.0.0.2特指所有路由器
- 169.254.x.x:自动通过DHCP获取IP失败的地址,通常出现这种地址,网络不正常
- 位置网络地址:0.0.0.0,用来设置缺省路由
网络号、主机号与子网掩码
- 网络号:A/B/C类地址网络号比特位分别为8位、16位、24位
- 主机号:除了网络号之外的比特位,则是主机位
- 子网掩码:子网掩码是用来区分一个IP地址中的网络位和主机位的个数,网络比特位置1,主机比特位置0,所得的数值就是子网掩码
基于VLSM的子网划分步骤
- 确定所需的子网数量,以及每个子网需要容纳的主机数量(考虑将来扩展)
- 确定给定地址的网络地址位和主机位
- 按子网容纳主机的大小顺序进行下列计算:假设一个子网需要容纳主机数量为N,则考虑2^m>=(N+2),算出m的最小值,该值就是子网的主机位数,从而得出可用子网的掩码
- 写出可用子网的子网号、子网广播地址,以及所有可用主机地址范围
- 除去该子网的地址段,进行下一个子网的划分,依次类推
13. 网络地址转化NAT的工作原理、基本类型(静态、动态)与特点
网络地址转化NAT的工作原理
- 网络地址转化(NAT)技术指的是内网的私有地址转换为合法的外部IP地址,使得内部用户能够访问Internet
- NAT分析进出与边界路由器的数据包,如果是出站数据报,就把源地址转换为公开IP地址;如果是进站数据包,就将目的地址转换为私有IP地址
基本类型与特点
NAT的种类:静态NAT、动态NAT、基于端口的NAT–PAT(overload NAT)、NAT的TCP负载均衡、重叠网络的NAT。
静态NAT
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址是一对一的
- 全局
- 特定端口
动态NAT
动态转换是指将内部网络的私有IP地址转换为公有IP地址时,IP地址是不确定的,是随机的
- 可重载(overload)
- 不重载
14. 网络设计的3层结构(接入、汇聚、核心),以及每个层次结构的设计要点与原则
大型网络的拓扑结构一般划分为三个层次,即核心层、汇聚层和接入层,这个不是绝对的
分层结构的设计目标是:
- 核心层处理高速数据流,其主要任务是数据包的交换
- 汇聚层负责网段的逻辑划分,聚合路由路径,收敛数据流量
- 接入层将流量汇入网络,执行网络访问控制,并且提供相关边缘服务
按照分层结构设计网络拓扑结构时,应遵守以下两条基本原则:
- 网络中因拓扑结构改变而受影响的区域应被限制到最小程度
- 路由器应传输尽量少的信息
核心层设计方法
- 不要在核心层执行网络策略:所谓策略就是一些设备支持的标准或系统管理员定制的规划
- 核心层的所有设备应具有充分的可到达性
汇聚层设计方法
汇聚层将大量低俗的连接诶(与接入层设备的链接)通过少量带框的链接接入核心层,以实现通信量的收敛,提高网路中汇聚点的效率。同时减少核心层设备路由路径的数量
- 隔离拓扑结构的变化
- 通过路由聚合控制路由表的大小
- 收敛网络流量
接入层设计方法
- 为确保将接入层流量汇入网络,要做到:
- 接入层路由器所接收的链接数不要超出其与汇聚层之间允许的链接数
- 如果不是转发到局域网外主机的流量,就不要通过接入层的设备进行转发
- 不要将接入层设备作为两个汇聚层路由器之间的连接点,即不要将一个接入层路由器同时连接两个汇聚层路由器
- 访问控制:由于接入层是用户进入网络的入口,所以也是黑客入侵的门户。接入层通常用包过滤策略提供基本的安全性,保护局域网段免受网络内外的攻击
15. ARP协议的基本工作原理,ARP欺骗的目的与工作原理
ARP协议的基本工作原理
- ARP缓存:每个主机都有一个ARP高速缓存,保存本局域网中IP地址到MAC地址的映射表
- ARP原理:主机A广播发送ARP请求分组,目标主机B收到请求后,向A发送ARP相应分组
- 同一局域网使用ARP:当主机A向本局域网中主机B发送数据时,先查ARP高速缓存,若没有,则运行ARP,查找B的MAC地址
- 跨网段使用ARP:判断目标IP和源IP不是同一个网段后,主机就要通过网关来传递信息了。信息先发送到网关机上,再由网关机转发。在查找目标不在同一个网段之后,目标IP改为网关机的IP,MAC地址为广播地址,发送信息时加上目标IP和MAC地址发送到网关中
ARP欺骗
原理:请求主机通过ARP请求报文广播数据包由此得到目标主机的MAC地址,同时将目的主机的MAC地址存入自己的缓存表中,以节约不必要的ARP通信,但当主机收到一个ARP的应答包后,它并不会验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息
目的:窃听或篡改被欺骗的主机的报文,扰乱局域网,使得网络中的合法主机无法正常上网
工作原理:A主机向B主机发送请求报文;B主机回复,同时C主机冒充B主机,向A发送大量的返回报文
16. 常见路由协议种类(RIP、EIGRP、OSPF、BGP),分类方法(是否支持VLSM、算法类型),以及对应协议类型归类;路由协议的管理距离,Cisco常用路由协议的管理距离大小
常见路由协议种类与分类方式
- 按算法种类:距离-矢量(RIP、IGRP、BGP)、链路状态(OSPF、IS-IS)、混合算法(EIGRP)
- 按是否发送子网掩码:有类(RIPv1、IGRP)、无类(其他都是)
- 按路由协议的作用范围:外部路由协议(BGP),其他都是内部路由协议
路由协议的管理距离
管理路径用来表示路由路径的准确度与可信度
路由协议默认距离:
- 直连接口 0
- 静态路由 1
- EIGRP汇总路由 5
- 外部BGP 20
- 内部EIGRP 90
- IGRP 100
- OSPF 110
- IS-IS 115
- RIP 120
- EGP外部网管协议 140
- 内部BGP 200
- 未知 255
17. RIP协议版本、功能特点(加密、被动接口等)和应用场景,以及对应的配置命令
RIP协议版本
基本原理:
- 以广播方式周期性地通告路由表
- “互通有无”
- 最大跳步数为15跳,跳数最少的条目为最佳路径
RIP路由协议特点(RIPv2相对RIPv1有以下特点)
- 使用多播地址取代广播地址
- 支持MD5认证
- 是一个无类的路由协议
- 路由条目中携带子网掩码支持VLSM
- 支持CIDR
RIP功能特点
安全认证
安全认证的目的:防止有意或无意的路由欺骗或路由诸如,导致原有的路由表错误
RIPv2支持安全认证,v1则不支持
被动接口与触发更新
被动接口:只接收路由更新,不发送路由更新
触发更新:只能在(广域网)串行线路进行设置,且两边都要设置。为了减少啊更新次数,降低带宽消耗,只有在路由变化时才发送更新
配置命令
发布RIP
router rip
version 2
network network-number
安全认证
key chian t08
key 1
key-string cisco
int serial2/1
ip addr 12.0.0.1 255.255.255.0
ip auth mode md5
ip auth key-chian t08
serial restart-delay 0
router rip
version
network 1.1.1.0
network 12.0.0.0
no auto-summary
- 定义KEY CHAIN值
- 定义KEY值
- 定义KEY的密码
- 接口指定认证类型
- 接口调用
被动接口
conf t
router rip
passive-int fa 0.0
触发更新
Router(config-if) ip rip triggered
18. OSPF协议:基本工作原理(三种表类型、单区域、多区域),路由器角色(ABR、ASBR、IBR【指内部路由器】)、版本、功能特点(Stub、Totally Stub以及Not-So-Stubby),被动接口的作用以及对应的配置命令;以及RIP与OSPF混合路由的配置命令
OSPF基本工作原理
- OSPF是开放最短路由优先协议的缩写。它是IETF组织开发的一个基于链路状态的自治系统内部路由协议
- 在IP网络上,它通过手机和传递自治系统的链路状态来动态的发现并传播路由
- 工作过程:邻居发现、路由交换、路由计算、路由维护
SPF算法
是以自身为根结点计算出一颗最短路径树,在这棵树上由根到各节点的累积开销最小,即由根到各节点的路径在整个网络中都是最优的,这样也就获得了由根去往各个节点的路由。
OSPF的三种表
- 邻居表:所有已知的邻居的数据库
- 拓扑表:包括了在同一区域或网络里的所有路由器以及相关链路的状态信息;同一区域内的所有路由器都有同样的一张LSDB
- 路由表:路由表也叫做转发数据库(forwarding database )(使用SPF计算出的最短路径)
区域
OSPF协议引入“分层路由”的概念,将网络分割成一个“主干”连接的一组相互独立的部分,这些相互独立的部分被称为“区域”,“主干”的部分被称为“主干区域”。每个区域就如同一个独立的网络,该区域的OSPF路由器只保存该区域的链路状态。每个路由器的链路状态数据库都可以保持合理的大小,路由计算的时间、报文数量都不会过大
多区域OSPF的优点:
- 提高了网络的扩展性,有利于组件更大规模的网络
- 分区域后,各区域管各自的区域,效率更高,收敛速度更快
路由器角色
OSPF路由器的类型决定了什么样的数据流能够进入和离开区域
内部路由器(IBR)
所有接口都位于同一个区域内的路由器,同一个区域中所有内部路由器的LSDB都相同
骨干路由器
位于骨干区域0边缘的路由器,至少有一个接口与区域0相连。骨干路由器在维护OSPF路由信息时采用的步骤和算法与内部路由器相同
区域边界路由器(ABR)
连接多个区域的路由器,为其连接的每一个区域维护一个LSDB,并路由器前往/来自其他区域的数据流。ABR将区域0连接到非骨干区域,因此是区域的出口,这意味着前往其他区域的路由信息,必须经过当前区域的ABR。ABR将这些路由选择信息通告给骨干,骨干路由器再将其转发给其他的ABR。只能在ABR对其连接的区域的地址进行汇总(对其连接的区域的LSDB中的路由选择信息进行汇总)。ABR离开LSA泛洪区,还可能提供默认路由。一个区域可能有一台或多台ABR
理想的设计是只让每个ABR连接两个区域
骨干区域和另一个区域。正如前面指出的,建议ABR最多不要连接3个以上的区域
自治系统边界路由器
至少有一个接口与其他域(如另一个OSPF自治区域系统或使用其他网络协议的域)相连。OSPF自治系统由所有OSPF区域及其中的路由器组成。ASBR可将外部路由重分发到OSPF域中,反之亦然
注意:同一台路由器可属于多种类型
例如:如果路由器同时连接区域0、区域1和一个非OSPF网络,则它既是ABR又是ASBR
版本
有三种版本OSPFv1、OSPFv2和OSPFv3
其中v2运用最广,v3支持IPv6
LSA
1类
- 每个区域的每台路由器都会产生一条关于自身的Router LSA:包含了直连链路的信息列表、通过IP前缀对链路进行甄别
- 通过源路由器的RID进行甄别
- 只在本区域内进行洪泛,不会穿越ABR
2类
- 仍然是产生于本区域的:描述了所有和DR相连的路由器的信息(包括DR本身)、包含链路的子网掩码
- 只要是多路访问型网络环境中,DR都会产生2类LSA
- 本区域洪泛不会穿越ABR
3类
- 用来把本区域的网络信息传播到其他区域中去:描述了网络号和掩码信息
- 由ABR产生
- 会在整个OSPF路由域中洪泛
4类
- 宣告的信息不是网络,而是ASBR信息
- 仍然是由ABR产生
- 在整个OSPF路由域中洪泛
- 后续的ABR将对3类重新生成
- 它只包含ASBR的RID信息
5类
- 用来宣告OSPF路由域外部的网络信息
- 由ASBR产生
- 在整个OSPF路由域中洪泛
- 用来查找出ASBR的信息
功能特点
stub区域规则
- stub区域离不能有ASBR,只能有一个ABR
- 如果有多个ABR,可能会导致到达OSPF网络外部的次优化路由现象的发生
- 不允许用虚链路穿过它们
- 拒绝类型5的LSA
完全stub区域规则
- 拒绝类型5、类型4、类型3的LSA
- 吧路由表条目的数量最小化
- Cisco特有的特性
- ABR想完全STUB区域宣告一条默认路由
- 部署在Stub区域的ABR上
NSSA非完全末节区域
- 打破了stub区域不能有ASBR的限制
- NSSA区域中不能有类型5的LSA
- NSSA是作为RFC的增补出现的
- 产生了新的LSA —7类,与5类作用一样就是宣告外部路由信息
OSPF被动接口
OSPF被动接口也称为抑制接口,成为被动接口后将不会接收和发送OSPF报文
本地路由器不接收网络中其他路由器发布的路由更细消息在已经运行OSPF协议进程中的接口不予本链路上其余路由器建立邻居关系时,可通过配置被动接口来静止此接口接收和发送OSPF报文。
OSPF基本配置代码
19. BGP协议的基本工作原理,三种注入BGP路由的方式与特点
BGP协议的基本工作原理
BGP路由协议:
- 用来在AS之间传递路由信息
- 是一种距离矢量的路由协议,从设计上避免了环路的发生
- 指出此CIDR(无类别域间选路)
- 传送协议:TCP,端口号179
BGP边界网关协议是基于路径-向量的外部网络协议。边界网关协议(Border Gateway Protocol, BGP)是不同自治系统的路由器之间交换路由信息的协议,是一种外部网关协议。边界网关协议常用于互联网的网关之间。路由表包含已知路由器的列表、路由器能够达到的地址及到达每个路由器的路径的跳数。
三种注入BGP路由的方式与特点
- 纯动态注入:将IGP发现的路由全部注入
- 半动态注入:有选择的注入IGP发现的路由
- 静态注入:注入静态配置的路由
一般两种方式:
- Import方式:按协议类型,将RIP路由、OSPF路由等协议的路由引入到BGP路由表中,Import方式还可以引入静态路由和直连路由
- Network方式:逐条将IP路由表中已经存在的路由引入到BGP路由表中,比Import方式更精确
20. 可靠性设计的基本方式(二层冗余、三层冗余、物理线路冗余、硬件冗余);路由冗余协议的种类(VRRP、HSRP与GLBP)、基本原理,以及它们之间的区别
VRRP
虚拟路由冗余协议,是用于实现路由器冗余的协议
在该协议中,对共享多存取访问介质上终端IP设备的默认网关进行冗余备份,从而在其中一台路由设备宕机时,备份路由设备及时接管转发工作,向用户提供透明的切换,提高了网络服务质量
HSRP
热备路由协议
与VRRP的不同点
- HSRP不支持将真实的接口地址,设置为虚拟的网关地址,而VRRP支持
- HSRP将报文承载在UDP报文上,而VRRP承载在TCP报文上
- HSRP有三种报文,而且有三种状态可以发送报文,呼叫报文,告辞报文,突变报文;VRRP有一种报文:VRRP广播报文,由主路由器定时发出来通告他的存在,使用这些报文可以检测虚拟路由器各种参数,还可以用于主路由器的选举
- HSRP有六种状态机:初始状态、学习状态、监听状态、对话状态、备份状态、活动状态,而VRRP只有三种状态机模型:初始状态、主状态、备份状态
- VRRP在全局模式下配置接口追踪,HSRP则再接口模式下进行配置接口跟踪
GLBP
网关负载均衡协议
- GLBP是更新的Cisco私有协议,它加入了负载均衡特性和网关冗余特性
- 虽然主机仍然指向一个默认网关,但是GLBP使得不同主机发送流量到GLBP组中四个路由器中的一个
- GLBP动态虚拟网关(AVG)分配组中每个路由器一个唯一虚拟MAC地址,格式为0007.B400.XXYY。当客户端ARP其默认网关时,GLBP AVG响应四个可能虚拟MAC中的一个,这样就实现了负载均衡
GLBP协议支持三种负载均衡方式:
- 根据不同主机的源MAC地址
- 根据ARP请求轮询
- 根据路由器的权重分配,权重越高的被分配的可能性越大
21. 接入安全技术的基本原理(端口安全、AAA技术、802.1、IP+MAC绑定等)
端口安全
端口安全功能通过报文的源MAC地址来限定报文是否可以进入交换机的端口,只有源MAC地址为端口安全地址表中配置或者学习到的MAC地址的报文才可以进入交换机通信,其他报文将被丢弃
还可以设定端口安全地址绑定IP+MAC或者仅绑定IP,用来限制必须符合绑定的报文才能进入交换机通信
可以按照如下三种方式处理安全冲突:
- protect :当安全地址个数满后,安全端口将丢弃所有新接入的用户数据流。该处理模式为默认的对违例的处理模式
- restrict:当违例产生时,将发送一个TRAP通知
- shutdown:当违例产生时,将关闭端口并发送一个Trap通知
802.1x/AAA认证
802.1x
- IEEE802.1x是一个基于端口的网络存取控制标准,为LAN提供点对点式的安全接入
- IEEE标准委员会针对以太网的安全缺陷而专门定制的标准,能够在利用IEEE802 LAN优势的基础上,提供一种对连接到局域网设备的用户进行认证的手段
- IEEE802.1X标准定义了一种基于C/S模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过服务器的认证
- 在客户端通过认证之前,只有EAPOL报文可以在网络上同行。在认证成功后,正常的数据流便可在网络上通行
AAA认证
应用802.1x可提供认证、授权、计费三种安全功能,简称AAA
- 认证,用于判定用户是否可以获得访问权,限制非法用户;可选择使用RADIUS协议、TACACS+协议或Local
- 授权,授权用户可以使用哪些服务,控制合法用户的权限
- 计费,记录用户使用网络资源的情况,为计费提供依据
通过AAA技术,我们能对接入网络的用户进行控制,可以控制哪些用户能接入网络,能得到什么样的权限,还能记录用户上来之后做了啥事
22. STP/RSTP/MSTP协议的基本工作原理、特点与区别;能够根据给定的网络拓扑判定STP收敛后的端口状态(根端口、指定端口和阻塞端口)
STP
为什么引入生成树协议
- 通过阻断冗余链路来消除桥接网络中可能存在的路径回环
- 当前活动路径发生故障时激活冗余备份链路恢复网络连通性
STP原理:将网络的拓扑修剪为树形拓扑,拓扑图形状与一棵树相似,这样就不会产生环路了。
在每个运行STP协议的设备上依据一定的准则选举出一个树根节点作为网络中的根桥,其他节点为非树根节点。
每一个非树根节点,会选择最优的路径和根桥相连,每个非树根节点上位于最优路径的端口,为该非树根节点的根端口。
如果非树根节点存在冗余链路,则会对相应端口进行阻塞
STP协议概述—收敛状态(Forwarfing)
一旦根桥、所有根端口、所有指定端口都选 举成功,则整个树形拓扑就建立完毕了,即达 到拓扑收敛状态。
在拓扑收敛状态下,只有根端口和指定端口 转发流量,其他的非根非指定端口都处于阻塞 (Blocking)状态,它们只接收STP协议报文 而不转发用户流量。
RSTP
快速生成树协议
即在网络拓扑发生变化时,原来冗余的交换机端口在点对点的连接条件下端口状态可以迅速迁移。该协议可应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树形网络,从而避免报文在环路网络中的增生和无限循环。 [1]
RSTP(快速生成树协议)是从STP发展而来, 实现的基本思想一致;
RSTP具备STP的所有功能;
RSTP改进的目的就是当网络拓扑结构发生变化时,尽可能快的恢复网络的连通性。
MSTP
基于实例(Instance)计算出多棵生成树,每个实例都会生成自己的生成树,并且每个实例可以包含一个或多个VLAN,每一个VLAN只能映射到一个实例。交换机可以通过配置多个实例,实现不同VLAN组之间的负载分担
STP的不足
端口从阻塞状态进入转发状态必须经历两倍的 Forward Delay时间,所以网络拓扑结构改变之后需要至少两倍的Forward Delay时间,才能恢复连通性
如果网络中的拓扑结构变化频繁,网络会频繁的失去连通性,这样用户将无法忍受。
根据拓扑判定STP收敛后的状态
23. ACL的基本功能和技术分类(标准、扩展和专家),以及它们之间的区别,以及基本的配置命令
ACL的基本功能和技术分类
基本类型的访问控制列表:标准访问ACL、扩展访问ACL、专家级扩展ACL
其他种类的访问控制列表:基于MAC地址的ACL、基于时间的ACL、基于数据匹配的控ACL、基于TCP flag的ACL、基于IPv6的ACL:主要针对IPV6协议特征进行过滤。
标准访问控制列表:主要根据数据包的源IP地址来允许或拒绝数据包;访问控制列表号范围:1-99,1300-1399。
扩展访问控制列表:可以基于源IP和目的IP地址、传输层协议和应用端口号进行过滤;使用扩展ACL可以实现更加精确的流量控制;访问控制列表号范围:100-199 ,2000-2699
专家级扩展访问控制列表:除了前面介绍的扩展访问列表的过滤规则之外,还可以基于源MAC和目的MAC地址、VLAN ID、报文优优先级进行过滤;访问控制列表号范围:2700-2899。
配置命令
标准访问acl
创建允许来自172.16.0.0的流量的ACL
Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255
应用到接口E0和E1的出方向上
Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group 1 out
Router(config)#interface fastethernet 0/1
Router(config-if)#ip access-group 1 out
创建拒绝来自172.16.4.13的流量的ACL
Router(config)#access-list 1 deny host 172.16.4.13
Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
应用到接口E0的出方向
Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group 1 out
拓展访问acl
第一步:使用access-list命令创建扩展访问控制 列表
Router(config)#access-list access-list-number { permit | deny } protocol [source source-wildcard destination destination-wildcard ] [operator port] [established] [log]
第二步:使用ip access-group命令将扩展访问控 制列表应用到某接口
Router(config-if)#ip access-group accesslist-number { in | out
专家级扩展ACL配置实例
24. 三种QoS服务质量模型的基本特点,重点了解区别服务模型的工作原理与过程
通常 QoS 有以下三种服务模型:
Best-Effort service(尽力而为服务模 型)
无控制,先到先服务
Integrated service(综合服务模型,简 称IntServ)
端到端,带宽预留
Differentiated service(区分服务模型 ,简称DiffServ)-- 折中权衡,这是 IETF提出的QoS标准模型
DiffServ 服务模型规定网络中的报文流将被划分 成不同类别,投递到不同的调度队列,进行输入 输出优先级的控制,投递队列的依据:
- 携带在 802.1Q 帧头的Tag Control Information 中的前3 个比特,它包含了8 个 类别的优先级信息,通常称这三个比特为User Priority bits,或称为COS。
- 携带在 IPv4 报文头中的TOS 或者IPv6 报文头 中的Traffic Class 字段的前3 个比特,称作 TOS value,或前6个比特,称作 Differentiated Services Code Point (DSCP) value
25. IPv4-IPv6隧道技术种类与特点,重点了解IPv4-IPv6 GRE隧道技术基本原理
IPv4-IPv6隧道技术
1)双协议栈 2)隧道 3)网络地址转换/协议转换技术(NAT-PT)
双协议栈特点:
协议栈技术就是指在一台设备上同时启用IPv4协议栈和IPv6协议栈。这样的话,这台设备既能和IPv4网络通信,又能和IPv6网络通信。如果这台设备是一个路由器,那么这台路由器的不同接口上,分别配置了IPv4地址和IPv6地址,并很可能分别连接了IPv4网络和IPv6网络。如果这台设备是一个计算机,那么它将同时拥有IPv4地址和IPv6地址,并具备同时处理这两个协议地址的功能。
隧道技术
隧道技术(Tunneling)是网络基础设置在网络之间传递数据的方式,使用隧道技术传递可以是不同协议的数据包,隧道协议将这些其他协议的数据包重新封装在新的包头中发送。被封装的数据包在隧道的两个端点之间通过网络进行路由,被封装数据包在网络上传递时所经历的逻辑路径称为隧道。
简单来说,隧道技术是一类网络协议,是将一个数据包封装在另一个数据包中进行传输的技术;使用隧道的原因是在不兼容的网络上传输数据,或在不安全网络上提供一个安全路径。通过网络隧道技术,可以使隧道两端的网络组成一个更大的内部网络。(把不支持的协议数据包打包成支持的协议数据包之后进行传输)。
网络地址转换/协议转换技术特点
如今,随着全球的IPv4地址已经分配完毕,再也没有新的空闲的IPv4地址可以分配了,这更加让IPv4地址的使用成为一种奢侈。NAT(Network Address Translation,网络地址转换)在IPv4地址严重不足的情况下提出缓解办法,是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT使一个局域网中的主机使用少量合法的IPv4地址就可以访问外部资源。这种通过使用少量的公网IP地址代表较多的私网IP地址的方式,将有助于减缓可用IP地址空间的枯竭。
不过,NAT不能永久的解决当今IP地址短缺的问题,因此IPv6的应用越来越显得重要。IPv6的应用是个循序渐进的过程,在很长时间内,IPv4网络和IPv6网络会同时存在且需要相互通信。基于这种情况,就需要一种技术,解决IPv4和IPv6网络的互通问题,所以NAT-PT技术应运而生。
NAT-PT(Network Address Translation-Protocol Translation,附带协议转换的网络地址转换)技术秉承NAT技术(RFC2663)的思想,但在原理方面大有不同,可以这样简单的理解,NAT技术是IPv4私网地址与公网地址之间的转换,它是为了解决IPv4公网地址缺乏问题;NAT-PT技术则是IPv6协议与IPv4协议之间的转换,在RFC 2765与RFC 2766中给出了其定义它是为了解决两者的互通问题。在IPv4网络完全过渡到IPv6网络之前,两种类型网络之间直接的通信可以通过NAT-PT来实现。
