第十章 组网技术
根据考试大纲中相应的考核要求,在"组网技术"知识模块上,要求考生掌握以下方面的内容。
(1)交换机和路由器的基本概念:交换机和路由器的分类、端口,路由表。
(2)交换机配置:交换机配置方式、交换机的工作模式,基本配置, VLAN配置,VTP域的工作模式及配置。
(3)路由器配置:路由器配置方式、工作模式,接口配置,静态路由和默认路由配置,动态路由协议配置,读懂路由表。
(4) 访问控制列表:IP 访问控制列表的分类、作用及配置。
(5) IPSec配置: IPSec实现的工作流程、IPSec配置。
(6) IPv6配置: IPv6-over-IPv4 GRE 隧道配置、ISATAP 隧道配置。
(7) 配置广域网接入:配置 PPP 和 DCC、配置帧中继、配置 ISDN。
交换机:
按照网络构成方式来分的话 ,交换机分为三类:接入层交换机、汇聚层交换机和核心层交换机 。按照OSI模型来划分的话,分为:二层交换机、三层交换机和四层交换机。
这三种类型交换机之间有**不同之处:**核心层交换机具有更高可靠性和吞吐量;汇聚层交换机必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路;而接入层交换机具有低成本和高端口密度特性。这三种类型交换机之间的性能对比结果是:核心层交换机>汇聚层交换机>接入层交换机。
端口类型: 双绞线端口和光纤端口(这个要记一下两种光纤端口:GBIC、SFP端口)
路由器:
路由器的端口类型有很多种,例如以太网接口、快速以太网接口、高速串行口等。路由器还有有两个配置端口,分别是"Console"和"AUX ","Console"通常是用来进行路由器的基本配置 时通过专用连线与计算机连用的,而"AUX"是用于路由器的远程配置连接用的。
**路由器的操作系统:**常用VRP系统(华为专用)
访问路由器和交换机常用方式:
1.通过Console(控制台)端口接终端或运行终端仿真软件(第一次设置)
2.通过设备的AUX端口接Modem("猫或光猫"),
3.通过Telnet程序访问
4.通过浏览器访问
5.通过网管软件访问
交换机的具体配置:
**交换机和pc终端之间的连接:**PC和交换机之间使用Console电缆连接。尽管PC和交换机之间是直通线。但也可以用Console电缆连接。
**Console参数:**端口速率:9600bps。无奇偶校验和流量控制。默认配置都属于下Vlan1.
配置交换机的命令(基本命令):
- 配置管理VLAN并设置VLAN的IP。例如,将VLAN10置为管理VLAN,然后配置VLAN10的IP地址:
[Huawei]vlan 10
[Huawei-vlan10]management-vlan
[Huawei]interface Vlanif 10
[Huawei-Vlanif10]ip address 172.16.1.1 24
- 开启telnet。开启telnet登录服务,默认是关闭的。配置登录的端口,端口介入协议为telnet。接入认证采用AAA:
[Huawei]telnet server enable
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]protocol inbound telnet
[Huawei-ui-vty0-4]authentication-mode aaa
- 配置AAA认证。建立用户并设置密码,用户等级为15,用户采用telnet进行登录:
[Huawei]aaa
[Huawei-aaa]local-user admin password cipher admin123
[Huawei-aaa]local-user admin privilege level 15
[Huawei-aaa]local-user admin service-type telnet
查看MAC地址表项的命令:
display mac-address
display interface vlanif5
mac-address static目的MAC地址 interface-type interface-number vlan5
**配置和管理VLAN:**每一个VLAN对应一个广播域。(但是,不是路由器才会隔离广播域吗?)
对虚拟局域网(VLAN)的配置和管理主要涉及链路和接口类型 、GARP协议 和VLAN的配置 。(注意前面我们介绍的是GVRP协议,这两者之间的差别是GARP是通用注册协议,而GVRP是GARP协议的实现。 GVRP是GARP的一种具体应用或实现,主要用于维护设备动态VLAN属性。)
链路类型: 分为接入链路(Access Link)和干道链路(Trunk Link)两种链路类型。接入链路只能承载1个VLAN 的数据帧,用于连接交换机和用户终端。干道链路能承载多个不同VLAN 的数据帧,用于交换机间互连或连接交换机与路由器。根据接口连接对象以及对收发数据帧处理的不同,以太网接口分为Access接口、Trunk接口、Hybrid接口和QinQ接口 四种接口类型,分别用于连接终端用户、交换机与路由器以及公网与私网的互联等。
**VLAN划分方法:**包括基于接口、MAC地址、子网、网络层协议、匹配策略方式来划分VLAN。其中,基于接口划分VLAN是最简单且最常用的VLAN划分方法。以下是基于接口划分VLAN的配置步骤:
执行命令`system-view`,进入系统视图。
执行命令`vlan vlan-id`,创建VLAN并进入VLAN视图。
执行命令`quit`,返回系统视图。
执行命令`interface interface-type interface-number`,进入需要加入VLAN的以太网接口视图。
执行命令`port link-type access`,配置接口类型为access。
执行命令`port default vlan vlan-id`,配置接口的缺省VLAN并将接口加入到指定VLAN。
路由器的具体配置:
PC和路由器之间的连接通常使用交叉线(在这里,我们使用Console电缆连接,和上面交换机一样)。但是如果设备都支持自动MDI/MDIX功能,您可以使用直连线或交叉线来连接PC和路由器。
缺省路由:就是默认路由。 用于指定当路由器无法找到与目的地址匹配的特定路由时应该采取的默认路径。配置方式:
<Huawei> system-view
[Huawei] ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 //192.168.1.1`表示下一跳地址。
IS-IS(中间系统到中间系统) 是一种链路状态路由协议。每台路由器都会生成一个LSP(链路状态报文),它包含了该路由器所有使能IS-IS协议接口的链路状态信息。通过与相邻设备建立IS-IS邻接关系,互相更新本地设备的LSDB(链路状态数据库),可以使LSDB与整个IS-IS网络的其他设备的LSDB实现同步。然后根据LSDB运用SPF(最短路径优先)算法计算出IS-IS路由。(和OSPF协议很相似。)
IS-IS协议和OSPF协议之间的差异: IS-IS协议中的LSP(链路状态报文)和OSPF协议中的LSA(链路状态通告)都是用来描述网络拓扑信息的数据包。区别 :IS-IS在广播网络中扩散LSP不进行收到确认,不可靠 ;而OSPF在所有类型网络中的扩散均可靠,通过LSAck来确认。
配置广域网(点对多点)接入:( 举例:PPP、帧中继FR、ISDN BRI连接,这些都是广域网的一些类型**)**
Serial接口是一种通用的串行通信接口(前面、后面都提过,这个是高速同步串行通信接口) ,它通常用于连接计算机和其他设备,如调制解调器、路由器、交换机等。可以实现点对点的通信。
Serial接口常用于连接WAN(Wide Area Network,广域网)设备,如连接路由器和调制解调器(猫或光猫),或连接两台路由器之间的WAN链路。
配置AAA (认证、授权和计费)认证方式:
system-view //进入系统视图
aaa //进入AAA视图
authentication-scheme scheme-name //创建一个认证方案并进入其视图
authentication-mode { local | radius | hwtacacs } //配置认证方式,可以选择本地认证、RADIUS认证或HWTACACS认证
例如:
system-view
interface Ethernet0/0/1 //在此接口应用AAA方式
authentication-mode aaa //启用AAA认证
authentication-scheme my-scheme //应用my-scheme认证方案
**配置CHAP(挑战握手认证协议):**是一种PPP(点对点协议)认证方式。在华为设备上,可以使用以下命令来配置CHAP认证:(TCP是三次握手,四次挥手,在第六章 网络互连有讲)
system-view //进入系统视图
interface interface-type interface-number //进入要配置的接口视图
link-protocol ppp //配置接口使用PPP协议
ppp authentication-mode chap //配置接口使用CHAP认证
IPSec(互联网协议安全协议): 是一种安全协议,它用于在IP网络中保护数据的安全性和完整性 。IPSec通过在IP层对数据进行加密和认证,来保护网络通信的安全。
IPSec支持两种工作模式:传输模式和隧道模式 。在传输模式下,IPSec只对数据包的 有效载荷部分进行加密和认证;而在隧道模式下,IPSec会对整个数据包进行加密和认证,并在其外部封装一个新的IP头部。
IPSec主要由两个协议组成:AH(认证头)和ESP(封装安全载荷) 。AH协议用于对数据包进行认证,以确保数据的完整性和不可否认性;ESP协议用于对数据包进行加密,以保护数据的机密性。
IPSec广泛应用于VPN(虚拟专用网络)技术中,可以用于建立安全的远程访问或站点到站点的连接。此外,IPSec还可以用于保护其他类型的网络通信,如VoIP(基于IP的语音通信)等。
IKE(互联网密钥交换协议): 是一种用于在IPSec(互联网协议安全)中协商安全关联(SA)的协议。它通过在通信双方之间交换密钥和协商加密算法等参数,来建立和维护IPSec连接。
IKE协商分为两个阶段:第一阶段和第二阶段。在第一阶段,通信双方通过交换密钥和认证信息,建立一个安全的、双向的IKE SA(IKE Security Association)。IKE SA用于保护第二阶段的通信。
在第二阶段,通信双方通过IKE SA协商IPSec SA(IPSec Security Association)的参数,如加密算法、认证算法、密钥等。IPSec SA用于保护实际的数据通信。
IKE协商的过程可以简单概括为:通信双方首先通过第一阶段建立IKE SA,然后通过IKE SA协商IPSec SA的参数,最后使用IPSec SA保护数据通信。
在书上,我们介绍的建立隧道的方式是通过采用ACL方式建立IPSec隧道。
使用ACL方式建立IPSec隧道:
**目的:**在两台路由器上分别创建一个ACL,用于指定需要加密的流量。
在路由器A和B上分别创建一个名为`3000`的ACL,并允许来自本地网络的流量通过IPSec隧道:
system-view
acl 3000
rule permit ip source 192.168.1.0 0.0.0.255
接下来,在两台路由器上分别创建一个IPSec策略,并指定使用刚才创建的ACL。创建一个名为`ipsec-policy1`的IPSec策略,并应用ACL `3000`:
system-view
ipsec policy ipsec-policy1 10 isakmp
security acl 3000
后续添加:在两台路由器上分别配置IKE和IPSec相关的参数。
例如,在路由器A上,可以使用以下命令配置预共享密钥和加密算法:
system-view
ike peer ike-peer1
pre-shared-key cipher password
exchange-mode aggressive
remote-address 202.38.120.1
quit
ipsec proposal ipsec-proposal1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
quit
ipsec policy ipsec-policy1 10 isakmp
transform-set ipsec-proposal1
ike-peer ike-peer1
同样,需要在两台路由器上分别将IPSec策略应用到相应的接口上:
system-view
interface GigabitEthernet0/0/1
ipsec policy ipsec-policy1
反掩码:指定IP地址范围 。会用到的地方:
**`acl`配置:**创建一个ACL,允许来自`192.168.1.0/24`网段的流量
system-view
acl 3000
rule permit ip source 192.168.1.0 0.0.0.255
**`ospf network`配置:**在OSPF进程1中配置`192.168.1.0/24`网段,并指定区域为0
system-view
ospf 1
area 0
network 192.168.1.0 0.0.0.255
**`rip network`配置:**在RIP进程1中配置`192.168.1.0/24`网段,
system-view
rip 1
network 192.168.1.0 0.0.0.255
GRE隧道:是一种用于在公网上建立(VPN)虚拟专用网络的技术。
它可以将私有网络数据通过公网传输,但数据包会被封装在GRE数据包中,以便在公网上传输
<HUAWEI> system-view
[~HUAWEI] interface tunnel 2 //创建Tunnel接口
[*HUAWEI-Tunnel2] tunnel-protocol gre
[*HUAWEI-Tunnel2] destination 10.1.1.1
ISATAP、GRE、IPsec区别联系:
ISATAP(站间自动隧道寻址协议): 在IPv4网络中建立IPv6隧道的技术。
GRE隧道模式(VPN): 与ISATAP类似,不同的是,GRE隧道模式不仅支持IPv6数据包,还支持其他协议(如IPv4、OSI、MPLS等)的数据包。
IPsec隧道模式(IP):前面有介绍
ACL配置:
ACL的分类,重点(书P526):基本ACL、高级ACL......
rule deny tcp destination-port eq telnet source 172.16.11.3 0 destination 172.16.23.0 0.0.0.255是什么意思:
这条规则表示拒绝来自源IP地址为172.16.11.3的TCP流量,目的端口为telnet(23),目的IP地址在172.16.23.0/24网段内的流量。换句话说,这条规则阻止了IP地址为172.16.11.3的主机使用telnet协议访问172.16.23.0/24网段内的任何主机。`eq`是`equal`的缩写,意思是"等于"
补充命令的差别:
`route add`命令 通常用于在Windows或Linux操作系统 中添加静态路由,而不是在华为设备上。在华为设备上 ,您应该使用`ip route-static`命令来添加静态路由,而不是`route add`命令
结合视频学习:
网管交换机都有console接口
交换机类别: 交换依据
2层交换机 MAC地址
3层交换机 IP地址
4层交换机 TCP/UDP端口
帧中继交换机 虚电路号(DLCI)
ATM交换机 虚电路标识VPI和VCI
补充:以太网交换机的交换方式有三种:(帧转发方式)
直通式交换、
存储转发式交换、
无碎片转发交换。(在第五章 无线通信网的例题里面,讲了 交换机的帧转发方式,建议去那看看)
配置交换机时,PC的串行口与路由器的console接口相连(前面讲了网管交换机都有console口)。默认速率是:9600b/s。
补充:交换机端口
交换机端口有很多,主要分为光纤端口、以太网端口、GBIC、SFP、万兆模块。
-
光纤端口:光纤端口是用来连接光纤传输介质的接口。目前在局域网交换机中,光纤接口主要是SC类型 ,无论是在100Base-FX(多模光纤 ),还是在1000Base-FX(多模光纤)网络中。
-
以太网端口:以太网端口是我们见的最多、应用最广的一种接口类型,它属于双绞线以太网接口类型。它不仅在最基本的10Base-T以太网网络中使用,还在目前主流的100Base-TX 快速以太网和1000Base-TX千兆以太网中使用。(这个在第四章 局域网与城域网 讲的是以太网标准)
-
GBIC:GBIC是将千兆位电信号转换为光信号 的接口器件。GBIC设计上可以为热插拔使用。GBIC是一种符合国际标准的可互换产品。采用 GBIC接口设计的千兆位交换机由于互换灵活,在市场上占有较大的市场分额。
-
SFP:SFP可以简单的理解为GBIC的升级版本。SFP模块体积比GBIC模块减少一半,可以在相同的面板上配置多出一倍以上的端口数量。SFP模块的其他功能基本和GBIC一致。有些交换机厂商称SFP模块为小型化GBIC(MINI-GBIC)。
-
万兆模块:万兆模块是指支持万兆以太网(10Gbps)速率的模块,常见的有XFP和XENPAK等类型。
二层交换机的过程:学习------转发过滤------消除stp(环路)。
三层交换机的过程:一次路由,多次交换。
交换机配置:第一次连接通过console连接(CLI)(前面学了)
CLI命令模式。
端口镜像配置:
1.基于端口的镜像
2.基于流的镜像(流,就是出入方向的数据流)
基于流的有基于ACL和基于MQC(复杂流分类)两种配置方式。前者只支持入方向(inbound接收报文)的流镜像。基于MQC方式配置复杂,但支持匹配的规则比基于ACL方式多,而且基于MQC方式的流镜像既支持入方向流镜像也支持出方向。
**交换机端口模式:**三种模式(这里前面第五章有学,那里是叫做802.1q的以太网端口类型)
Access端口:连接终端,仅允许一个VLAN的帧通过(单个Vlan)
Trunk端口:连接其它交换机端口,允许多个VLAN的帧通过
Hybrid端口(混合模式):连接其它交换机端口,连接终端,
注意这三个端口类型对于有无Tag报文 的处理。VLAN标签(又称VLAN Tag,简称Tag)
接收帧的处理:带有Tag报文(分情况)和没有带Tag报文(打上缺省vlan ID)的处理方式
发送帧的处理。access端口直接剥离数据帧中的VLAN标签,Trunk端口只有在数据帧中的VID与接口的PVID相等时才会剥离数据帧中的VLAN标签。(Trunk端口发出的数据帧只有一个VLAN的数据帧不带Tag。)
补充:交换机与交换机互连一般是Trunk或Hybrid模式。
**Serial串口(高速同步串口):**用于连接DDN、帧中继、X.25、PSTN等网络(前面有讲,都是属于广域网的类型。这个接口也常用于广域网的连接)
Console接口(最基础最常用)。
例如:路由器连接帧中继网络的接口是:Serial串口。连接双绞线以太网的接口是:RJ-45。
Vlan有两种链路封装协议:IEEE 802.1q、QinQ技术
前面有学,而QinQ技术,在前面第四章 也讲了, 城域以太网:运营商网桥协议(IEE 802.1ad标准),被称为Q-in-Q技术。
IEEE 802.1Q是一种VLAN数据帧格式。加入4个字节的VLAN标签。
QinQ,由IEEE 802.1ad标准定义,是一项扩展VLAN空间的技术,通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的目的。它可以使私网VLAN透传公网 。
GVRP协议有三种注册模式:Normal模式、Fixed模式和Forbidden模式。
STP的工作过程:(在第四章 生成树网桥的实现过程可以归纳为以下三个步骤,第四章也讲了)
**1. 选择根网桥:**选择根交换机的依据是网桥ID,网桥ID是由网桥优先级和网桥MAC地址组成的。(先看网桥优先级(优先级的值越小,优先级越高),再看网桥MAC地址)
**2. 选择根端口:**在每个非根交换机上选出一个根端口。首先比较交换机端口到根路径的成本。根路径成本低的为根端口。当根路径成本相同的时候,比较对端的网桥ID(前面是先比较网桥ID)。对端的网桥ID小的为根端口。当网桥ID相同的时候,比较对端的端口ID(就是比如两条线路,分别为端口1和端口2,那么端口1的成为根端口)。对端的端口ID较小的为根端口。
(顺序:根路径成本>网桥ID>端口IP),注意根路径成本这里:10Mpbs的路径成本是:100。100Mpbs的路径成本是:19。1000Mpbs的路径成本是:4。(速率越大、成本越低)
3. 选择指定端口并阻塞备用端口:
(顺序:根路径成本>网桥ID>端口IP),和上面一样,不同的是,指定端口是每一个网段上有一个(上面是必须在非根桥交换机上),且根桥端口均为指定端口。
前面三者都不是的被称为备用端口,也就阻塞掉。
路由器的主要功能是:进行路由处理(按特定算法选择最佳路径)和(IP)包转发。
路由器IP包转发过程:
1.接收数据包的,检查、解释和处理IP版本号、头长度、头校验等数据报头,对数据报文的长度和完整性进行验证。
2.依据目的IP地址检查下一条(Next Hop)IP地址,修改TTL值,重新计算效验和。
3.新数据附加新数据链路层报头并转发。
需要了解一下路由的一些参数(display ip routing-table ):
参数名 解释
Route Flags (路由标记)参数R表示迭代路由,参数D表示路由下发到FIB表
Route Tables:Public 表示此路由表是公网路由表。
Routes 显示路由总数
Proto 路由协议
Pre 优先级,特别注意这个和协议的选择有关,DIRECT=0;OSPF=10;
STATIC=60;IGRP=80;ospfase=150;BGP=170.
VRP系统里display命令:
华为设备提供了多条 display 命令用于查看硬件部件、接口及软件的状态信息。这些状态信息可以为用户故障处理提供定位思路。以下是一些常用的 display 命令:
-
`display current-configuration`:查看当前配置。(以及前面那个显示路由表)
-
`display version`:查看系统软件版本。
-
`display device`:查看所有在位设备的基本信息,包括电源模块和风扇模块的信息。
-
`display interface`:查看接口当前运行状态和接口统计信息。
-
`display cpu-usage`:显示CPU占用率的统计信息。
-
`display memory-usage`:查看内存占用率信息。
-
`display logbuffer`:查看日志缓冲区中的日志信息。
-
`display alarm all`:查看所有活动的硬件告警信息。
-
`display clock`:显示系统当前日期和时钟。
RIP协议基于UDP,端口号为520。(在第六章 网络互连讲了这个协议。)
RIPv1基于广播,RIPv2基于组播(224.0.0.9)。
RIP路由的更新周期为30s ,如果路由器180s没有回应,则删除路由表信息。最大跳数15条,16条表示不可达。递增。
OSPF(开放式最短路径优先)协议:(也在第六章 讲了这个协议)
OSPF报文分为5类,默认Hello报文的发送间隔时间是10s,默认的无效间隔是40s,LSA每30min重传一次。
DR和BDR的选举(这个和STP生成树协议的指定端口和备份端口不一样。)前面知识点没有。
首先比较接口优先级(注意这个和STP比较根桥ID的优先级不一样。根桥ID的优先级是值越小,其优先级越高。)接口优先级值越大,优先级越高。选举为DR。范围是0-255(在根桥ID的优先级里面没有备注范围。),默认为1,优先级为0表示没有资格选举DR和BDR。
然后比较Route-Id大小,越大的成为DR,其次成为BDR。
OSPF网络类型:OSPF协议支持四种网络类型,分别是点到点网络、广播型网络、非广播多址网络(Non-Broadcast Multi-Access,NBMA)(例如X.25分组交换网)和点到多点网络。(前面章节学了,下面补充一些知识点)
OSPF网络类型 特点
Point-to-Point(点到点) 总是形成邻居关系,组播到224.0.0.5
Point-to-Multicast(点到多址) 不选举DR/BDR,单播
Broadcast(广播) 选举DR/BDR,组播到224.0.0.5,侦听224.0.0.6。(以太网、FDDI网)
NBMA(非广播) 需要指定邻居,单播,(X.25、Frame Relay和ATM。广域网))
VirtualLink(虚链路) 不发送Hello报文。单播
补充:BGP是边界网关协议,目前版本是BGP4,是一种增强的距离矢量路由协议(RIP是内部的距离矢量,而且RIP基于UDP)。基于TCP,端口号为179.
第十一章 网络管理
考点分析:Windows基本管理、Linux基本管理、网络管理协议、网络故障诊断、管理工具与网络存储。
根据国际标准化组织的定义,网络管理有五大功能:故障管理、配置管理、性能管理、安全管理和计费管理。
**网络管理协议:**常用的网络管理协议包括SNMP、NIB-II、RMON等。都是基于TCP/IP协议。
简单网络管理协议(SNMP): 是一种应用层协议,属于TCP/IP协议族,主要用在局域网中对设备进行管理。它基于UDP协议,由SNMP协议、管理信息库和管理信息结构组成。
SNMP分为管理端和代理端 (agent),管理端的默认端口为UDP 162 ,主要用来接收Agent的消息如Trap告警消息;Agent端使用UDP 161端口接收管理端下发的消息如SET/GET指令等。
(这里区分一下:SNMP代理端的默认端口是UDP 161,用于接收管理端下发的消息如SET/GET指令等。而**SNMP代理发送Trap报文的默认端口是UDP 162,**这是因为Trap报文是由SNMP代理主动发送给管理端的,而不是由管理端下发给代理端的。因此,SNMP代理发送Trap报文时使用的是管理端的默认端口UDP 162,而不是代理端的默认端口UDP 161。简单的说就是,只要是管理站发送的消息,用的发送端口就是161,而代理站发送的消息,发送端口随机,接受端口用的是162.管理站>代理站)
SNMP协议目前在用的有3个版本,分别是V1, V2C ,V3,主要差异在安全性、消息封装格式、GET效率等方面。