一、IP路由基础
1.1 认识网络设备
1、主控板:负责整个系统的控制平面和管理平面
控制平面:完成系统的协议处理、业务处理、路由运算、转发控制等
管理平面:状态监控、环境监控、日志和告警信息的处理等
2、交换网板:提供了系统的数据平面
进行数据的转发,当接口板和主控板想要实现通信时,需要经过交换网板
3、接口板:用于提供数据转发功能的模块
1.2 网络设备对于报文的处理
1、业务报文
上行接口板接收到数据进行处理之后,会将数据发送给交换网板,交换网板发送给下行接口板进行转发
2、协议报文
如果是设备自己产生的协议报文,会有主控板进行处理,交由接口板外进行转发
1.3 IP路由基础
1、路由表与fib表
路由表:全局路由表和协议路由表(控制平面)
全局路由表:可以看到通过不同方式学习到的路由
协议路由表:通过路由协议所学习到的路由
FIB表:存在与数据平面上的转发表项
路由查找规则:最长匹配原则进行路由查找
2、路由迭代:静态路由的下一跳可能不是直连路由,计算出去往该路由下一跳的直连路由,
3、路由引入:将路由信息从一种路由协议发布到另一种路由协议中
注意:路由优先级
路由回灌
路由度量值
引入的场景:静态路由引入到动态路由
直连路由引入到动态路由
动态路由相互引入
二、OSPF核心知识
2.1 OSPF基础
1、动态路由协议的划分
按照工作区域进行划分
IGP(内部网关协议):RIP、OSPF、ISIS
EGP(外部网关协议):BGP
按照工作机制进行划分
距离矢量路由协议:RIP
运行了举例矢量路由协议的设备周期性的泛洪自己的路由表
链路状态路由协议:OSPF、isis
传递的是链路状态信息,而不是路由信息
进行链路状态信息的同步
(1)建立邻居关系(通过HELLO报文建立)
DOWN:初始状态,没有收到任何报文
init:接收到对方发送的hello报文,但是邻居关系为空
2-way:稳定状态,表示建立了邻居关系,发现自己的router id处于对方的邻居列表中
(2)LSDB同步完成(建立邻接关系)
exstart:开始发送第一个DD报文,协商主从关系(router id大的为主)
exchange:开始发送DD报文(携带LSDB摘要信息)
loading:开始交互LSA信息(开始发送LSR、LSU、lsack进行确认)
FULL:已经建立了邻接关系
(3)SPF算法计算出最优路由
(4)将计算出来的路由加入到路由表当中
2、专业术语
router id:标识一个ospf路由器,32bit
router id选举:
区域:防止区域中LSDB规模过大
度量值:开销
三大表项
邻居表:
LSDB表:
ospf路由表:
3、ospf五种报文
hello:发现和维护邻居关系
DD报文:协商主从关系,交互链路状态数据库摘要信息
LSR报文:请求特定的LSA
LSU报文:发送完整的LSA
LSACK:确认LSA
4、DR和BDR
-作用:减小邻接关系
-DR与BDR选举:基于接口,非抢占式
接口的优先级,优先级越大越优先(优先级为0的时候,不参与DR和BDR的选举)
接口的优先级相同,router id越大越优先
-P2P和P2MP的网络类型不需要选举DR和BDR
broadcast和NBMA的网络类型需要选举DR和BDR
2.2 OSPF路由计算
1、OSPF中涉及到的LSA类型(LSA头部当中 LS TYPE、LS ID(在不同的LSA当中的作用不同)、advertising router)
1类LSA(router LSA):(link-type、link-ID、link-data)
产生:每台设备都会产生:
作用:携带设备的链路状态以及开销
泛洪范围:只在接口所属的区域内泛洪
2类LSA(network LSA):(LS ID:DR的接口IP地址,network mask:MA网络的子网掩码,attached router:显示与DR建立邻接关系的所有设备的router id)
产生:DR产生
作用:描述该DR连接的所有路由器
泛洪范围:只在接口所属的区域内泛洪
3类LSA(network summary LSA):(LS ID:路由的目的地址、network mask:路由的子网掩码)(在同一区域内不会发生任何改变)
产生:ABR产生
作用:描述区域内某个网段的路由
泛洪范围:可以在区域之间进行传递
4类LSA(ASBR summary LSA):
产生:ABR产生
作用:描述到达ASBR的位置
泛洪范围:除ASBR所在区域的其他相关区域
5类LSA(AS external LSA)
产生:由ASBR产生
作用:描述到达ospf外部路由
泛洪范围:泛洪到整个OSPF区域
2、SPF计算:在区域内部如何通过1类、2类LSA进行路由计算
3、虚连接:ospf要求骨干区域必须是连续的,但是不要求物理上连续,可以使用虚连接的方式实现逻辑上连接
前提:必须在两台ABR上配置
这两个ABR上必须由端口处于同一个非骨干区域当中
4、引入外部路由的度量值类型(import-route [想要引入的路由类型] type [type类型])
type 1:可靠性比较高,计算开销时会计算外部开销和内部开销
type 2 :(缺省)可靠性比较低,计算开销时只计算外部开销,内部开销忽略不计
2.3 OSPF特殊区域及其他特性
1.特殊区域
(1)stub区域:无法传播接收到的外部路由(存在1类、2类、3类、缺省3类LSA,无四类和五类LSA存在)
配置stub的注意事项:
(1)骨干区域无法配置为stub区域
(2)本区域中的所有路由器上配置stub区域
(3)stub无法引入和接收外部路由
(4)虚连接无法跨越stub区域
(2)totally stub区域:既不允许外部路由在本区域传播,也不允许区域间路由在本区域传播(存在1类、2类、缺省3类LSA)
(3)NSSA区域:可以引入外部路由,不会学习来自ospf其他区域引入的外部路由(存在1类、2类、3类、7类LSA、缺省的7类LSA(实现Nssa区域去往其他区域外部路由的通信))
(4)totally NSSA区域:不允许区域间路由进行传递(1类、2类,缺省3类LSA,缺省7类LSA,7类LSA)
2.区域间路由汇总和外部路由汇总
(1)区域间路由汇总(对3类LSA进行汇总):在ABR上进行配置,需要考虑在那个区域中进行汇总???
(2)外部路由汇总(5类LSA进行汇总):在ASBR上进行配置,直接在ospf进程中配置汇总
3.协议特性
(1)slient-interface(静默接口):该接口不会发送ospf报文,但是该接口的直连路由(也要进行宣告)仍可以发布到OSPF区域当中
(2)报文认证(会在所有的OSPF头部携带认证信息):
区域认证方式:一个区域内所有的设备都要使用相同的认证模式和口令
接口认证方式:和配置了接口认证直连的接口需要配置相同的认证模式和口令
三、IS-IS核心知识
3.1 ISIS原理与配置
1、专业术语
(1)NSAP地址和NET地址
NSAP地址:作用:用于定位资源的地址,一般配置在服务器上(SEL)(类似于IPV4中IPv4地址+端口)
NET地址:作用:进行路由计算,一般配置在网络设备上
组成:Area ID(1byte~13byte)+system ID(6byte)+SEL(固定为00)(1byte)
system ID:建议使用router ID生成
(2)ISIS当中路由器类型
level1路由器:表示非骨干区域
会与哪些设备建立邻接关系?
(1)同一区域(area ID相同)
(2)只与LEVEL1和level1-2路由器建立邻接关系(层次相同)
level2路由器:表示骨干区域
(1)区域不同也可以建立邻接关系
(2)只与level2和level1-2路由器建立邻接关系(层次相同)
level1-2路由器:表示骨干区域(类似于ospf中的ABR设备)
(3)网络类型:广播、P2P
(4)开销值:缺省情况下,和接口带宽无关,开销值为10(开销类型:(1)narrow(缺省):最大配置开销为63(2)wide:可以将接口开销拓展到16777215)
更改开销值的方式
(1)接口开销值:为单个接口配置开销
(2)为全局开销:为所有的接口配置开销值
(3)自动计算开销:根据接口带宽自动计算开销
2、建立邻接关系(在ISIS中,先建立邻接关系,在交互链路状态信息)
2.1 使用报文
(1)IIH(ISIS hello):建立和维护邻接关系。类型level1 IIH、level2 IIH和P2P IIH报文(类似于OSPF中hello)
(2)LSP:用于交互链路状态信息,类型level1 LSP和level2 LSP(类似于OSPF中的LSU)
(3)CSNP:和OSPF中的DD报文类似,用于携带全部的链路状态摘要信息
(4)PSNP:和ospf中的LSR报文和LSACK报文类似,用于请求LSP信息,进行确认
2.2 DIS(指定中间系统,类似于ospf中的DR)(减少链路中LSP的数量)
(1)作用:创建和更新伪节点,并且会生成伪节点的LSP(携带去往ISIS设备的开销值)
(2)DIS选举原则
比较优先级越大越优先
优先级相同,比较MAC地址越大越优先
(3)ISIS中DIS和OSPF中DR的区别???
2.3 建立邻接关系
使用IIH报文
广播网络(建立邻接过程和OSPF中建立邻居关系类似)
点到点网络中(三次握手(缺省情况)、两步交互的方式)
3、进行链路状态数据库的同步
3.1涉及到的报文
(1)LSP:(了解LSP当中所携带的信息)交互链路状态信息,两种LSP类型,level1 LSP和level2 LSP
(2)会查询LSDB,了解当中每一个字段的含义
(3)CSNP:携带了所有的LSP摘要信息
(4)PSNP:(1)用来进行请求LSP
(2)在点到点的网络上,当收到LSP时,会发送PSNP报文进行确认
(5)在广播网络中如何去进行LSDB的同步
(6)在点到点网络中如何进行LSDB同步
4、路由计算
(1)level 1路由器的计算:只计算level1区域中的拓扑
(2)level 2路由器的计算:计算level2区域的拓扑,但是具有去往全网的路由信息
(3)level1/2路由器的计算(即是level 1 也是level 2):会将level 1 区域的路由以level 2 LSP发送到level2 区域中
(4)在缺省情况下,level2区域的路由不会发送到level1区域,而level1/2设备会生成ATT=1的LSP信息,当level1接收到ATT=1的数据时,就会生成一条缺省路由,下一跳地址为level1/2接口的IP地址
(5)路由渗透:将level2的路由引入到level1区域当中
解决问题是什么?解决了次优路径的问题
5、ISIS认证
(1)接口认证:在接口视图下进行配置,只会对网络当中level 1和level 2的hello报文进行认证,影响设备建立邻接关系
(2)区域认证:在进程当中进行配置,对LEVEL 1的CSNP、PSNP和LSP报文进行认证,无法进行level 1LSDB数据库的同步
(3)路由域认证:在进程当中进行配置,对LEVEL 2的CSNP、PSNP和LSP报文进行认证,无法进行level 2LSDB数据库的同步
四、BGP核心知识
4.1 BGP原理与配置
1、专业术语
(1)AS(自治系统):在同一个组织管理下,使用统一选路策略的设备集合
(2)BGP特征:
1.BGP协议基于TCP,使用的端口号为179
2.BGP可以承载大批量的路由信息(触发式更新)
3.BGP提供了丰富的路由策略和路由属性,可以灵活的实现路由选路,以及防止环路
4.BGP支持MPLS VPN的应用
(3)BGP对等体关系(EBGP和IBGP)(在BGP中,可以跨设备建立对等体关系)
1.EBGP对等体关系:两台设备处于不同的AS,路由可达(如果在建立EBGP对等体时,使用loopback接口建立对等体关系)
2.IBGP对等体关系(建议使用loopback接口建立对等体关系):两台设备处于相同的AS,路由可达
2、对等体关系建立
三次握手建立TCP连接
OPEN报文(协商相关参数)
keepalive报文:标识对等体建立完成,并维护对等体关系(周期性发送一分钟一次)
如果有路由信息信息需要传递时,则会发送update报文
3、BGP报文类型
OPEN:协商相关参数
keepalive:标识对等体建立完成,并维护对等体关系
update:发送路由更新(发布路由、撤销路由)
notification:报告错误信息,中止对等体关系
route-refresh:当路由策略发生改变时,重新请求发送路由信息
4、BGP状态机
idle:初始状态,为了进行tcp连接做准备
connect:正在进行TCP连接
(1)TCP建立成功 opensent:发送open报文用来协商参数
(2)TCP建立不成功 active:tcp连接建立失败,重新尝试建立TCP连接
openconfim:参数协商完成,发送了自己的keepalive。等待对方的keepalive
established:稳定状态,收到对方发送的keepalive报文时(BGP会话建立完成)
5、BGP路由如何生成(BGP只进行路由的传递,不会主动学习并发现路由)
(1)network:注入的是精确的路由信息
(2)import-route:可以批量将路由(路由学习到的方式是相同的)进行注入
(3)BGP聚合路由(手工聚合):
6、BGP通告原则
(1)只发布最优且有效的路由。*代表有效,>代表最优
(2)从EBGP对等体获取的路由,会发送给所有对等体
(3)IBGP水平分割(用于避免AS内部环路):从IBGP对等体所获取的路由,不会发送给其他IBGP对等体
(4)BGP同步原则(防止出现路由黑洞):当一台路由器从自己的IBGP对等体信息到一条BGP路由时,不会将该路由发布给自己的EBGP对等体,除非从IGP协议当中学习到该条路由
4.2 BGP路径属性与路由反射器
1、路径属性
公认必遵属性:必须存在update消息
origin:起源,标识路由来源,进行优选的原则 :i>e>?
AS_PATH:记录去往目标网络经过的AS列表,作用:实现避免AS间环路,实现路径优选(根据AS_PATH个数多少)
next_hop(下一跳):(1)缺省情况下,当发送给EBGP对等体时,会将下一跳地址更新成TCP源连接地址
(2)缺省情况下,BGP路由在传递给IBGP对等体时不会进行next_hop的更改(可以添加next-hop-local参数)
公认任意属性:可能会存在于update消息中,但是如果携带必须识别
local_preference(注意事项):用于告诉AS内的路由器,那条路径时离开本AS的最优路径(在AS内部进行应用)
atomic_aggregate:标明该路由是聚合路由
可选过渡属性:BGP设备不识别此类属性,接收并通告给其他设备
aggregate:记录了聚合设备的AS和router ID
community(4种公认community属性):团体,用来进行路由标记,简化路由策略的执行
可选非过渡属性:bgp不识别此属性忽略掉该属性,并不会通告给其他对等体
MED:缺省情况下,只比较来自相邻AS的BGP路由器的MED值,越小越优先(跟路由表中的度量值相同)
c
2、华为特有的属性
preferred-value:仅在本地有效,越大越优先,只能在路由器本地配置,并且只影响本设备的路由优选
3、BGP反射器
(1)存在哪些路由器角色
RR:路由反射器(进行配置)
client:客户端
(2)反射规则
a.如果路由反射器从自己的非客户对等体学习到一条IBGP路由,则它会将该路由反射给所有客户
b.如果路由反射器从自己的客户学习到一条IBGP路由,则它会将该路由反射给所有非客户,以及除了该客户之外的其他所有客户
c.如果路由学习自EBGP对等体,则发送给所有客户、非客户IBGP对等体
(3)如何通过cluster_list
originator_id实现避免环路
4.3 BGP路由优选
当到达同一个目的网段存在多条路由时,BGP通过如下的次序进行路由优选:
丢弃下一跳不可达的路由。
(1)优选Preferred-Value属性值最大的路由。
(2)优选Local_Preference属性值最大的路由。
(3)本地始发的BGP路由优于从其他对等体学习到的路由,本地始发的路由优先级:优选手动聚合>自动聚合>network>import>从对等体学到的。
(4)优选AS_Path属性值最短的路由。(AS的个数而不是AS的大小)
(5)优选Origin属性最优的路由。Origin属性值按优先级从高到低的排列是:IGP(network方式学习到的)、EGP(通过EGP的形式学习到)及Incomplete(import-route)。
(6)优选MED属性值最小的路由。
(7)优选从EBGP对等体学来的路由(EBGP路由优先级高于IBGP路由)。
(8)优选到Next_Hop的IGP度量值最小的路由。
前八条原则如果还未选举出最优路由,则可以配置负载分担
(9)优选Cluster_List最短的路由。
(10)优选Router ID(Orginator_ID)最小的设备通告的路由。(Orginator_ID优于ROUTER id)
(11)优选具有最小IP地址的对等体通告的路由
五、路由和流量控制
5.1 路由策略与路由控制
1.路由匹配工具
(1)访问控制列表(ACL):
ACL分类:
ACL匹配顺序:
配置顺序:系统按照acl规则编号从小到大的顺序进行报文匹配,
(2)IP前缀列表(IP-prefix list):同时匹配IP地址前缀长度和掩码长度
配置顺序:系统按照序号从小到大的顺序进行报文匹配
A.ip ip-prefix list index 10 permit/deny 192.168.1.1 24 匹配的IP地址192.168.1.0/24
B.ip ip-prefix list index 10 permit/deny 192.168.1.1 24 greater-equal(下限) 26 less-equal 30 匹配的IP地址192.168.1.0掩码处于26-30之间的路由都可以被匹配
C.ip ip-prefix list index 10 permit/deny 192.168.1.1 24 less-equal 30 匹配的IP地址192.168.1.0掩码范围为24-30
2.路由策略工具
(1)filter-policy(过滤-策略)对于接收、发布、引入的路由的路由进行过滤
在距离矢量路由协议中的应用(路由信息):
import:接收路由时进行路由过滤
export:向外发布时进行路由过滤
在链路状态路由协议中的应用(LSA信息)
import:在计算出最优路由之后添加到路由表时进行过滤
export:过滤掉其他协议引入的路由
(2)route-policy:用于过滤路由信息,为过滤后的路由信息设置路由属性
一个route-policy由一个或多个节点组成,节点包含if-math(条件语句)和apply(执行语句)组成
(每个节点之间都是或的关系,节点中的条件语句,条件语句中的关系是与的关系)
3.双点双向路由重分布
解决次优路由
(1)过滤路由
(2)通过更改优先级
环路问题
(1)过滤路由
(2)给路由打上tag标签
六、交换技术核心知识
6.1 流量过滤与转发路径控制
1.策略路由(PBR):使网络设备不仅能够基于报文的目的IP地址进行转发,还可以根据源IP地址、源MAC地址、目的MAC地址等进行数据转发
2.策略路由的组成结构
策略路由的构成和router-policy是类似的
多个节点组成,在每个节点当中都会存在多个条件语句(if-match)和执行语句(apply)
3.策略路由(PBR)和路由策略的区别
(1)路由策略:匹配的对象路由信息,
(2)策略路由:匹配的对象数据报文,执行丢弃或者强制转发路径的操作
4.PBR的分类
(1)接口PBR:只对转发的数据报文起作用
(2)全局PBR:只对本地始发的流量生效
5.MQC(模块化qos命令行):指通过将具有某类共同特征的数据流划分为一类,并为同一类数据类提供相同的服务
(1)MQC存在的要素
A.流分类:定义一组匹配规则的(匹配)
B.流行为:定义执行的动作是什么(执行动作)
C.流策略:将流分类和流行为进行绑定
(2)MQC应用的地点(接口上进行调用)
inbound:
outbound
6.流量过滤
traffic-filter:接口中进行调用
MQC:为匹配的报文指定报文过滤动作时,
acl规则permit,执行动作根据流行为当中配置的动作执行
acl规则deny,则无论执行动作中配置了deny还是permit,报文都会被丢弃
七、生成树技术/网络堆叠
7.1 RSTP协议原理与配置
1.RSTP对于STP的改进
(1)端口角色
新增端口:替代端口(AP)(最终处于阻塞状态):作为根端口的备份,学习到其他设备发送过来的BPDU时,把自己选举为替代端口
备份端口(BP)(最终处于阻塞状态):作为指定端口的备份,学习到自己发送出去的配置BPDU
(2)端口状态
discarding:不转发用户流量也不学习mac地址
learning:不转发用户流量但是会学习mac地址
forwarding:即转发用户流量也会学习mac地址
(3)配置BPDU---RST BPDU(将报文当中FLAG字段进行了充分应用)
(4)在RSTP中,每一台设备(无论是根桥还是非根桥2)都会周期性的发送RST BPDU(hello time=2s)
(5)(STP中超时时间为20S)更短的BPDU超时如果在超时时间内(三个周期6s)未收到上游设备发送过来的配置BPDU,则认为上层设备出现故障
(6)处理次优BPDU方式的改变(只要接收到配置BPDU就会直接进行响应)
(7)快速收敛机制
A.替代端口和根端口的快速切换,备份端口和指定端口的快速切换
B.边缘端口:用于网络的边缘,直接与终端设备相连接,不会参与生成树计算,可以由discarding变为forwarding(当边缘端口收到了配置BPDU时,会丧失边缘端口的特性,变为普通的stp端口,进行stp计算)
C.P/A机制
(8)RSTP保护功能
A.BPDU保护:正常情况下边缘端口(用来连接终端设备)不会接收到BPDU,启动BPDU保护,如果边缘端口接收到了RST BPDU,边缘端口变为down(设备收到BPDU时,自动将端口shutdown)
B.根保护:对于启动根端口的保护功能,端口角色为指定端口(当指定接收到优先级更高的RST BPDU时,端口状态变为discarding,经过一段时间(通常30s),如果未收到更优的BPDU,接口状态会恢复为forwarding
C.环路保护:在启动环路保护功能后,如果根端口或者Ap端口长时间收不到上游设备发送的BPDU报文时,根端口角色变为指定端口(状态处于discarding)AP端口也是处于discarding状态
D.防TC-BPDU攻击:在单位时间内处理TC BPDU报文的数量
7.2 MSTP协议原理与配置
1、基本概念
(1)MSTP域:判断两台设备是否处于同一个MST域,拥有相同的域名、相同的映射关系(VLAN映射关系)、相同的修订级别
(2)CST(公共生成树):在MST域之间使用的生成树
(3)IST(内部生成树):在MST域内生成的生成树(使用实例0所计算的生成树)
(4)CIST(公共和内部生成树):将CST和IST进行结合
(5)SST(单生成树):在一个MST域只会存在一台设备,并且属于一个实例
(6)IST域根:在每一个MST域内距离总根最近的一台设备
(7)MSTl域根:在MST域内不同实例计算出的根桥都是MSTI域根
(8)总根:在整个交换网络中最优的一台设备
(9)主桥:距离总根最近的交换设备,包括:总根和IST域根
2、端口角色
MSTP中定义的所有端口角色包括:
(1.根端口:在非根桥上,离根桥最近的端口是本交换设备的根端口
(2.指定端口:对一台交换设备而言,它的指定端口是向下游交换设备转发BPDU报文的端口
(3.Alternate端口:Alternate端口就是由于学习到其它网桥发送的配置BPDU报文而阻塞的端口
(4.Backup端口:Backup端口就是由于学习到自己发送的配置BPDU报文而阻塞的端口
(5.Master端口:Master端口是特殊域边缘端口,Master端口在CIST上的角色是Root Port,在其它各实例上的角色都是Master端口,在一个MST域内距离总根最近的一台设备,
(6.域边缘端口:域边缘端口是指位于MST域的边缘并连接其它MST域或SST的端口
(7.边缘端口:如果指定端口位于整个域的边缘,不再与任何交换设备连接,这种端口叫做边缘端口
3、端口状态
discarding:不转发用户流量也不学习mac地址
learning:不转发用户流量但是会学习mac地址
forwarding:即转发用户流量也会学习mac地址
7.3 交换机堆叠与集群
1、堆叠和集群的优点
(1)提高资源的利用率,获得更高的转发性能
(2)降低网络规划的复杂度,易于对于网络进行管理
(3)降低业务的中断时间
2、堆叠当中的基本概念
(1)交换机角色
主交换机:负责管理整个堆叠系统
备交换机:作为主交换机的备份
从交换机:用于进行业务转发
(2)堆叠优先级:选举主交换机和备交换机,优先级越大成为主交换机的可能性越高
(3)堆叠ID:标识和管理成员交换机,在整个堆叠系统当中属于唯一的(华为设备缺省为0)
(4)堆叠逻辑接口(交叉使用):每一台设备上都会存在两个逻辑接口(在每一个逻辑接口当中可能会包含多个物理成员端口)
3、堆叠系统组建
(1)物理连接
A.堆叠连接方式
链形连接:进行堆叠的设备距离距离较远时
环形连接:进行堆叠的设备距离距离较近时
(2)主交换机选举
A.运行状态(如果其余设备在20s内还未开启,则不参与主交换机的选举)
B.优先级越高越优先
C.优先级相同,mac地址越小越优先
(3)收集拓扑信息并选举备交换机(和主交换机类似)(如果产生的堆叠ID冲突,主交换机会
进行分配)
(4)软件和配置同步(所有的成员交换机会自动同步主交换机的系统软件以及配置,备交换机会将主交换机的配置进行备份)
4、堆叠成员加入、退出等
(1)堆叠退出(不同角色再退出时会有不同的操作)
(2)堆叠加入(新加入的设备会进行哪些操作,并成为那种角色?)
(3)堆叠合并:两个正在运行的堆叠系统想要进行合并时,也是会选举出一个主交换机
(4)堆叠分裂:指正在稳定运行的堆叠系统产生线路故障,或者设备带电移出堆叠交换机(问
题:可能会造成vlanif接口IP地址冲突的问题)
(5)MAD检测(多主检测)
两种检测方式
直连检测:堆叠成员交换机之间直接相连进行多主检测
堆叠运行正常时,不会发送MAD报文,如果产生堆叠分裂之后,每秒发送一次MAD检测报
文
代理检测:在堆叠系统当中使用eth-trunk上启用代理检测,在代理设备上开启mad检测
堆叠运行正常时,30秒发送MAD报文,由于堆叠系统未发生故障,则设备直接直接丢弃mad报文,如果产生堆叠分裂之后,每秒发送一次MAD检测报文
(6)堆叠主备倒换:第一种可以通过命令的方式将主交换机和备交换机角色切换,第二种主交换机发生故障
(7)堆叠升级
智能升级
传统升级
平滑升级:划为为两个区域active和backup
(8)跨设备链路聚合
(9)开启流量本地优先转发
八、组播基础
8.1 IP组播技术
1、组播地址分类
224.0.0.0~224.0.0.255:为路由协议分配的组播IP地址
224.0.1.0~231.255.255.255
233.0.0.0~238.255.255.255:any-source临时组播组地址
232.0.0.0~232.255.255.255:特定源使用(SSM)
239.0.0.0~239.255.255.255:本地管理的any-source临时组播组地址
2、组播mac地址(组播IP地址映射而来)
前25bit固定不变01005e0
后23bit直接由组播IP地址后23位映射而来
一个组播mac地址会对应32个组播IP地址
3、组播当中基本架构
(1)源端网络:组播源发送出的数据到达第一跳路由器
(2)组播交换网络:会形成一颗组播分发树(使用组播路由协议进行计算)
(3)成员端网络:用来感知组播组成员的位置以及加入的组播组(IGMP)(与组播组成员之间连接的路由器)
4、组播服务模型
ASM(任意源组播):组成员可以接收到任意源发送给该组的流量
SSM(指定源组播):组成员只能接收到指定服务器发送给该组的数据
5、RPF检查(反向路径转发):可以检查设备上唯一的一个组播流量的入接口(基于单播路由表中的出接口)
8.2 IGMP
1、igmp版本:用于在成员端网络感知组成员位置以及加组信息
(1)IGMPv1
A.两个报文:
普遍组查询报文(General query):查询器用来查询组成员的位置以及加入那个组播组
成员关系报告报文(report):主机向查询器发送的报文,作用申请加入哪一个组播组当中或进行应答查询报文·
B.查询器的选举:IGMPV1不存在查询器的选举规则,需要依靠组播协议进行查询器的选举
C.如果组成员离开时,静默离开(查询器需要等待130s的时间才可以感知组成员已经离开)
(2)IGMPv2(和igmpv1基本相同)(缺省)
A.增加了两种报文
成员关系离开报文:成员离组时会主动向查询器进行发送
特定组查询报文:查询器向特定的某个组播组进行组成员的查询
B.增加了查询器的选举机制:IP地址越小变为成为查询器
(3)IGMPv3(可以指定接收哪些组播源发送过来的组播流量)
A.特定源组查询报文:查询该组成员是否愿意接收特定源发送的组播数据
无成员离开报文,如果离开时,发送改变源组关系的成员关系报告报文
2、IGMP特性
(1)IGMP snooping
A.作用:防止在交换机上出现组播数据泛洪,导致不同组播组的流量会被其他组成员接收
B.防范:在二层设备上形成一个二层组播转发表,用来指导组播数据在链路层的转发
C.存在的接口类型
路由器接口:距离查询器最近的一个接口叫做路由器接口(收到普遍组查询的接口)
成员接口:距离组播组成员最近的端口都叫做成员接口(收到成员关系报告报文或者leave报文)
D.转发表项如何生成?
(2)IGMP SSM mapping(组播组的地址使用232.0.0.0-232.255.255.255)
A.作用:在现网中部分终端只支持IGMPV1和IGMPv2,如果使用SSM组播,则无法携带组播源信息
B.使用:通过静态建立组播源和组播组之间的映射关系
(3)IGMP proxy(三层设备)
A.作用:减小查询器接收到的成员关系报告报文和离开报文,用来减轻查询器的压力
B.实现:IGMP proxy设备可以代理查询器发送查询报文,维护组成员关系
C.成员加入时:1.新成员加入一个新的组播组时,如何操作 2.新成员如果加入的是已有的组播组时,如何进行
D.成员离开时:
九、IPv6核心知识
9.1 PIM原理
1、PIM基础概念
(1)PIM中分为两种模式
PIM-DM(密集模式):主要应用与组成员较少且组成员相对密集的场景中采用的是“推”的模式(扩散-剪枝)
PIM-SM(稀疏模式):主要应用于组成员较多且相对稀疏的场景当中,采用的是“拉"的模式(先收集全网信息,再形成组播分发树)
PIM-SM(ASM)
PIM-SM(SSM)
(2)PIM当中存在的组播分发树
以组播源为根,组播组成员为叶子的组播分发树成为SPT(PIM-DM当中和PIM-SM中进行应用)
以RP为根,组播组成员为叶子的组播分发树承认RPT(PIM-SM中进行应用)
(3)组播路由表项
最后一跳路由器基于pim路由表、IGMP组表项和IGMP路由表项生成
其余路由器的组播表项基于PIM路由表生成
2、PIM-DM工作模式
(1)邻居发现:通过发送HELLO报文进行实现(30s为周期,老化时间为105s)
(2)构建组播分发树
A.扩散机制:会将组播源发送的组播数据全网扩散(180s)(会在设备上构建(S, G)老化时间为210s)
B.断言机制:当链路中出现重复的组播数据时,会发送断言(assert)报文保证在该链路只有一个pim路由器转发组播数据(180s)
(选举原则1.单播路由协议优先级越高越优先 2.优先级相同,比较开销,越小越优先 3.IP地址越大越优先)
C.剪枝机制:对于没有组播组成员的组播路由器,会触发剪枝机制(210s)
(3)维护组播分发树
状态刷新机制:为了防止剪枝定时器超时重新恢复转发(60s)离组播源最近的一台路由器会周期性的发送状态耍弄新报文
(4)新成员加组时
嫁接机制:使有组成员加入的网段可以快速接收到组播报文
3、PIM-SM(ASM)模式
(1)如何选举RP设备
静态配置
动态配置(c-BSR、c-rp)
(2)形成组播分发树
A.RP为根,构建出RPT(在RP设备与组播组成员之间构建RPT,并在中间经过的设备上产生(*,G))(用于RP设备与组播组成员之间进行组播数据转发)
B.组播源注册机制:源端DR在接收到组播数据时,会产生单播注册报文发送给RP设备,当RP设备接收到之后就会构建SPT(当SPT构建完成之后,会向源端DR发送注册停止报文)
C.如何避免重复组播报文存在
在组播网络中源端DR和成员端会存在PIM DR的选举,成为DR设备进行组播数据转发,成为非DR设备不会进行数据转发(在HELLO报文中会携带优先级和IP地址,先比较接口优先级越大越优先,优先级相同,比较IP地址,越大越优先)
D.产生次优路径的问题
SPT切换机制:成员端DR在接收到组播数据时,基于组播数据中的源IP地址,反向建立从成员端DR到达组播源的SPT(如果在210s,没有组播流量经过,则恢复到原先的RPT)
4、PIM-SM(SSM)模式(类似与ASM模式当中的SPT切换)
A.无需维护RP,无需构建RPT,无需注册组播源
B.可以直接在组播源与组播组成员之间构建SPT(不存在老化时间,不会因为组播流量消失而消失)
9.2 IPv6概述
1、ipv6过渡技术
(1)双栈技术(设备即ipv4/ipv6支持):在一台设备同时运行ipv4和ipv6协议
(2)隧道技术:将一种协议的数据封装到另一种协议当中
(3)转换技术:将ipv6数据转换为ipv4(主要ip头部改写)
2、ipv6中动态路由协议做出的改进(简单介绍)
(1)版本进行改变:ospfv3
(2)版本未改变,只是做出一些拓展:ISIS.BGP.PIM
3、IPV6地址组成(128bit,表现形式:冒号十六进制)
(1)地址组成:网络前缀+接口表示符/前缀长度
(2)常见的网络前缀
例:2001::/16:类似于IPv4公网地址
FE80::/10:链路本地地址
(3)接口标识符如何生成(手动进行配置、自动生成、EUI-64标准生成)
EUI-64标准生成(需要使用设备的MAC地址)
A.MAC地址的前24bit后加入FFFE
B.将第七bit取反(原本为0变为1,原本为1变为0)
4、IPv6地址类型(ipv6中未定义广播地址)
(1)单播地址
A.GUA(全球单播地址):类似于公网地址
B.ULA(唯一本地地址):类似于私网地址
C.LLA(链路本地地址):只能在本地链路进行泛洪
(2)组播地址
A.组播mac地址如何生成:固定长度为33:33,后32bit由组播IP地址映射而来
B.被请求节点组播地址(地址解析):一个节点拥有单播地址或任播地址时,就会产生被请求节点组播地址
固定的前缀长度(前104bit固定):FF02::1:FF,后24bit直接由组播地址映射而来
(3)任播地址:标识一组网络接口,某台设备想要访问任播地址时,会选择路由意义上距离最近的一台设备
5、IPV6报文构成
(1)基本头部
(2)拓展头部
(3)上层协议数据单元
9.3 ICMPV6和NDP
1、next header值为58的时候对应的是ICMPv6报文
2、在ICMPv6报文类型
A.差错报文:报告在转发ipv6数据包过程时出现的错误(type=[0,127])
B.信息报文:实现同一链路上节点之间之间的通信(type=[128,255])
3、PATH MTU发现
A.原因:是因为在IPv6中中间设备不会对ipv6报文进行分片
B.原理:当中间设备收到的ipv6报文长度超出自己的MTU值之后,丢弃报文,并发送差错报文给到 源设备(TYPE=2)(从源设备到达目的设备的路径中最小的MTU值)
所涉及到的报文类型
(1)type =133 路由器请求报文(RS)
(2)type=134 路由器公告报文(RA)
(3)type=135 邻居请求报文(NS)
(4)type=136 邻居公告报文(NA)
(5)type=137 重定向报文(redirect)
4、NDP协议
A.可以实现功能
(1)路由器发现(RS和RA)
(2)无状态自动配置
(3)重复地址检测
(4)地址解析
(5)邻居状态追踪
(6)重定向
B.报文类型有哪些?
(1)RS:路由器请求报文
(2)RA:路由器通告报文
(3)NS:邻居请求报文
(4)NA:邻居通告报文
(5)redirect:重定向报文
十、网络安全基础
10.1、IPv6地址配置
1、静态配置ipv6(和IPv4地址相同)
2、动态进行配置
A.无状态自动配置(SLAAC):基于NDP协议实现
FLAG位字段
(1)M-bit(ipv6地址):
M=0:此刻进行无状态自动配置生成IPV6地址(缺省情况下)
M=1:标识使用有状态自动配置进行IPv6地址的获取以及其他参数配置(DNS等)(忽略掉Obit)
(2)O-bit(其他参数的配置方式)
O=0:标识其他参数都是通过无状态地址自动配置生成(除IPV6地址)(缺省情况下)
O=1:通过DHCPv6的方式获取除IPV6地址以外其他参数
(3)RA报文中的可选信息
Abit
A=0:此时收到该RA报文的终端无法根据RA报文报文中携带的前缀生成IPv6地址
A=1:此时收到该RA报文的终端可以通过RA报文携带的前缀生成IPv6地址
B.有状态自动配置(DHCPv6)
(1)DHCPv6有状态自动配置:DHCPV6服务器自动分配IPV6地址/前缀,其他网络参数(DNS)
(2)DHCPv6无状态自动配置:主机IPV6地址通过无状态自动配置产生,其他网络参数则是通过DHCPv6的方式进行获取
(3)DHCPv6-PD(前缀代理)自动配置:可以实现一种层次化分配
(4)相关概念
有效时间、优选时间、T1、T2等
(5)相关报文(了解每个报文的含义)
10.2 防火墙技术
-
防火墙的发展历史
2、防火墙中基本概念
(1)安全区域:防火墙一个或多个接口所连网络的集合,一个网络内具有相同的安全属性
A.默认安全区域:trust(安全优先级85)、untrust(安全优先级5)、DMZ(安全优先级50)、local(安全优先级100)
B.安全级别的概念:值越高,表示越安全(可受信程度越高)
C.自定义安全区域,设置区域安全优先级
(2)安全策略:防火墙对于流量转发以及对流量内容(安全配置文件)进行安全一体化检测的策略
(3)安全策略匹配过程:当设置多条匹配规则时,会逐条向下进行匹配(进行规则设置时,优先将地址范围小的进行配置),如果流量被安全策略匹配,不会向下进行匹配(缺省命令,匹配所有,动作为deny)
(4)会话表:记录会话连接状态的表项,只对首包进行检测就可以确定一条会话连接状态,当后续报文发送时,可以直接匹配会话表中的会话状态
(5)防火墙上会存在老化时间,当存在一些特殊的会话之间报文时间间隔过长的问题,可以使用长连接的方式延长老化时间
(6)如果在多通道协议(FTP)进行数据传递时,采用的是FTP主动模式(服务器主动向客户端建立数据连接),当服务器主动向客户端发起建立数据连接时,由于防火墙上部署了单向安全策略,所以无法建立数据连接
(7)ASPF(针对应用层的包过滤):根据报文当中应用层协商的地址端口,并生成响应的访问规则(生成server-map表)(当接收到真实的物理流量时,server-map表会转换成为会话表)
防火墙配置:
(1)配置接口IP地址
(2)将接口加入到各自的区域当中
(3)配置安全策略
10.2 网络设备安全特性(路由器)
1、关闭不使用的协议或者物理端口
2、废弃不安全的访问通道:在同一访问需求(远程登陆)中,如果有多种方式可以实现(a.telnet(明文传递数据) b.stelnet(基于SSH协议)(密文的形式进行数据传递)),优先选择安全的访问通道。
(1)password认证(配置简单):
(2)RSA方式进行认证(配置复杂):
3、基于可信路径的访问控制:通过部署URPF协议,可以判断源地址是否合法(类似于在组播中的RPF检查)
4、本机防攻击:在网络当中,存在大量攻击报文,针对于CPU。当CPU处理过多的攻击报文时,可能会导致性能压力过大,并且无法处理正常的数据报文
(1)CPU防攻击:(自己整理,共有四级保护机制)
(2)攻击溯源:
10.3 VPN 概述
1、什么是VPN:VPN是虚拟专用网络,可以在公有网络上构建出虚拟专用网络,vpn用户在虚拟专用网络中传递私网流量,可以实现安全、可靠的连接
2、VPN分类:
(1)根据建筑单位的不同
A.租用运行商网络
B.自建VPN网络
(2)组网方式不同
A.远程访问VPN
B.局域网到局域网的VPN
(3)网络层次进行划分(不同的VPN技术工作在TCP/IP参考模型那个层次当中)
3、VPN使用到哪些技术
(1)隧道技术:用来进行封装和解封装的作用
(2)身份认证、数据加密以及验证(在VPN中如何实现对于数据的安全传输)(列举了一下不同的VPN用户是否支持身份认证以及数据加密)
4、列举了几种常见VPN技术
(1)IPSEC VPN
(2)GRE VPN
(3)L2TP VPN
(4)MPLS VPN
10.4 VRF技术
1.VRF技术又被成为VPN实例,是一个虚拟化技术,可以将一台物理的三层设备变为逻辑上的多台设备(在物理设备上创建多个VPN实例,并且每一个VPN实例都会存在单独的路由表项)
十一、网络可靠性/网络服务与管理
11.1 BFD技术
1、BFD作用:可以提供故障的快速检测(毫秒级)
2、BFD协议首先会在两台设备(系统)建立BFD会话,周期性的发送BFD检测报文(1000ms),如果在规定时间内(3000ms)未收到对方发送过来的BFD报文,则认为链路出现故障
3、建立BFD会话的方法
(1)本地标识符、远端标识符:标识唯一的BFD会话
(2)静态建立BFD会话:人为配置本地标识符和远端标识符
(3)动态建立BFD会话:只要触发创建BFD会话的条件,就会由系统自动分配
4、BFD涉及到状态
5、BFD涉及到的检测模式
(1)异步模式(缺省):双方会周期性的发送BFD检测报文,如果在规定时间内未收到对方发送过来的BFD报文,则宣布会话为down
(2)查询模式:需要验证连接性,那么会发送BFD检测报文,如果在检测时间内未收到报文则会话为down
6、BFD检测时间(系统两端会自行进行时间协商)
(1)本地BFD报文发送时间间隔=MAX(本地配置的发送时间间隔,对端配置的接收时间间隔)
(2)本地BFD报文接收时间间隔=MAX(本地配置的接收时间间隔,对端配置的发送时间间隔)
(3)本地BFD实际检测报文
A.异步模式情况=本地BFD报文实际接收时间间隔x对端的检测倍数
B.查询模式情况=本地BFD报文实际接收时间间隔x本端的检测倍数
7、BFD echo功能:BFD回声功能:在两台设备直连的场景中,一台设备支持BFD功能,另一台设备不支持BFD功能
可以使用BFD echo功能实现对于故障的快速检测
8、BFD可以与其他协议进行联动
11.2 VRRP
1、VRRP(虚拟路由器冗余协议):实现网关之间的备份
原理:通过把几台三层设备联合组成一台虚拟路由器,并且当某台设备发生故障时,可以保证网关的正常通信
2、基本概念
(1)VRRP路由器:运行了VRRP协议的路由器
(2)VRID:当成VRRP组的标识,只要处于相同的VRRP组就会使用相同的VRID,并且每一个VRRP组都会产生一个虚拟路由器
(3)虚拟路由器会使用虚拟的IP地址以及mac地址:虚拟IP地址由管理员认为配置(网关地址),虚拟mac地址:0000-5e00-01xx,xx为VRID
(4)master设备:虚拟路由器进行通信时,依靠master设备进行(会周期性的发送vrrp报文,周期为1s)
(5)backup设备:等待MASTER设备产生故障,自己变为master设备(对虚拟IP地址的ARP请求,不做响应。
丢弃目的MAC地址为虚拟MAC地址的IP报文。丢弃目的IP地址为虚拟IP地址的IP报文)
(6)VRRP定时器
master-down=3x1s+偏移时间
3、VRRP中存在的状态机 init 、master、BACKup
(1)如果存在优先级为255(当物理接口的IP地址与虚拟IP地址相同)的设备,直接变为master状态
(2)两台设备同时启动,优先级高的先成为master设备
(3)优先级低的设备先启动,成为master设备(周期性发送VRRP报文),在启动优先级高的设备,对于优先级高的设备来说,接收到的VRRP报文优先级小于自己,于是会进行master设备的抢占,最终,优先级高的设备抢占成功,成为master设备,优先级低的设备变为backup设备
4、VRRP进行主备选举(比较优先级,如果优先级相同,比较IP地址)
(1)VRRP优先级不相同的情况下选举主备
(2)VRRP优先级相同的情况下选举主备
(3)物理接口的IP地址与配置的虚拟IP地址相同的情况下,直接变为master
优先级为0和255的作用(人为无法更改优先级)
优先级为0:证明master设备想要退出vrrp组
优先级为255:当物理接口的IP地址与虚拟IP地址相同
5、VRRP的抢占模式
(1)抢占模式(缺省)
配置vrrp组的设备性能差异较大时,会开启抢占功能
(2)非抢占模式
配置vrrp组的设备性能差异较小或完全相同时,开启非抢占功能
6、VRRP应用
(1)负载分担
(2)监视上行接口:监视的是物理接口的状态
(3)可以与其他协议结合使用
11.3 DHCP原理
1、DHCP基本概念
(1)DHCP作用:集中对于用户IP地址进行动态管理和配置的协议
(2)DHCP使用C/S的架构,基于UDP实现交互,67(dhcp服务器)68(dhcp客户端)
(3)DHCP优点
2、DHCP工作原理
(1)首次接入网络的原理
discover(广播)
offer(单播/广播)
request(广播)
ack(单播)
注意:当DHCP client获取到IP地址时,会发送免费ARP报文防止地址冲突
(2)DHCP涉及到的报文
(3)DHCP地址续约
A.T1:当租期50%,client会主动的发送request,如果收到ACK报文,进行租约的更新
B.T2:当租期87.5%,client会再次发送request,如果收到ACK报文,进行租约的更新
C.当租期时间结束之后,client停止使用该IP地址,只能重新获取一个IP地址
(4)DHCP可以重新分配曾经使用的IP地址
(5)DHCP分配IP地址的顺序
A.MAC地址静态绑定的IP地址
B.已经使用过的IP地址(如果设备非首次接入时会进行应用)
C.空闲状态的IP地址:再地址池中进行选择,会使用第一个查询到的空闲IP地址
D.超过租期的IP地址:
E.产生冲突的IP地址
F.发送错误
3、DHCP relay
应用:使用于DHCP服务器与DHCP客户端不在同一个广播域的场景中提出的,DHCP中继设备可以提供对于DHCP报文的中继转发功能,使DHCP客户端所发送的广播报文进行透明的传递传递给DHCP服务器
11.4网络管理协议介绍
1、网络管理目标:对于网络中软硬件的监控,测试,配置等,确保网络正常运行
2、在网络管理中的四大模型
(1)组织结构模型:描述网络系统中的组件、组件的功能和基础框架
(2)信息模型:与存储有关,指定描述被管理对象及其关系的信息库
(3)通信模型:处理管理者与被管理者之间交换信息的方式
(4)功能模型:配置管理、性能管理、故障管理、安全管理、计费管理
3、网络管理时所使用的协议
十二、大型WLAN组网架构
12.1 大型wlan组网部署
1.大型wlan组网方案的功能
(1)设备统一管理
(2)漫游&业务随行
(3)接入终端安全
(4)高可靠性技术(备份的是AC)
2.大型WLAN组网当中涉及的到的一些技术
(1)VLAN POOL:为了防止广播域过大,可以使用vlan pool技术将不同的用户划分到不同的vlan当中
A.分配vlan的算法
顺序分配:会按照用户上线顺序依次从上向下划分到不同的vlan当中
优点:每一个vlan用户数量比较均匀,缺点:当用户重新上线可能会发生vlan的改变
hash分配:用户mac地址进行HASH计算的出的值进行划分
优点:用户多次上线时可以使用同一个vlan 缺点:可能会存在部分vlan用户数量多的问题
(2)option 43(ipv4)&52(ipv6)
A.dhcp中继
B.WLAN组网AC与AP属于三层组网时
(3)wlan漫游:sta设备在不同的ap覆盖范围之间进行移动
A.AC内漫游
B.ac间漫游
C.HAC
D.HAP
E.FAC
F.FAP
G.AC间隧道:capwap隧道建立
wlan漫游类型
(1)二层漫游
A.直接转发
B.隧道转发
(2)三层漫游:vlan id 漫游域
1.直接转发
(1)HAP作为家乡代理
(2)HAC作为家乡代理
2.隧道转发
(4)高可靠性技术
1.vrrp双机热备
2.HSB热备份
3.双链路双机热备:AP设备会与主AC与备AC都会建立CAPWAP隧道
(1)主备选举
A.AC的优先级,缺省值为0,范围为0~7,并且越小越优先
B.优先级相同.负载情况(可接入的AP数量和可接入的STA数量),负载轻的会成为主AC
C.负载也相同,IP地址越小越优先
(2)建立主链路
(3)建立备链路
4.N+1备份(N是指主AC,1是指备AC)AP设备只会于主AC建立CAPWAP隧道,当主AC出现故障时,才会与备AC创建capwap隧道
(1)主备选举(和双链路双机热备中选举类似)
A.优先级的种类
全局优先级:对于所有的AP配置的AC优先级,缺省值为0,范围为0~7,并且越小越优先
个性优先级:可以针对单个AP设备或者指定的AP组配置AC优先级
(5)准入控制
1.802.1X
2.MAC地址
3.portal认证
4.基于MAC地址优先的portal认证