以太网种类
- 共享式以太网中所有终端处于同一个冲突域且共享总线带宽
- 交换式以太网中每个端口处于独立的冲突域且终端主机独占端口的带宽
交换机
- 交换机隔离冲突域,三层交换机可以隔离广播域,二层交换机不能隔离广播域
- 交换机会把未知的单播帧(MAC地址表没有)、广播帧、组播帧转发到其他所有端口(除了收到数据帧的端口)
- 交换机根据接收到的数据帧的源地址进行MAC地址表的学习
广播域
路由器或三层交换机的端口处于独立的广播域
VLAN
-
VLAN可以隔离广播域
-
VLAN的出现主要是为了解决交换机在进行局域网互联时无法限制广播域的问题
-
VLAN的优点:
有效控制广播域的范围
增强局域网的安全性
灵活构建虚拟工作组 -
VLAN的划分方式:
基于端口的VLAN划分,建立VLAN ID和端口号的映射关系表
基于MAC地址的VLAN,建立VLAN ID和MAC的映射关系表
基于协议的VLAN,建立VLAN ID和协议类型的映射关系表
基于子网的VLAN,建立VLAN ID和子网网段的映射关系表 -
交换机用VLAN标签来区分不同的VLAN数据帧,(在以太网帧上加上tag标签段)
-
不同类型的接口对数据帧的处理方式
image.png
DHCP
- DHCP报文采用UDP封装。服务器侦听的端口号是67,客户端的端口号是68
- 特点:
即插即用性
统一管理
使用效率高
可跨网段实现(通过使用DHCP中继(一般为路由器或三层交换机),可以使处于不同网中的客户端和DHCP服务器之间实现协议报文交互) - 分配方式
手工分配:为特定的主机(DNS服务器、打印机等)绑定固定的IP地址,地址不会过期
自动分配:为某些主机分配IP,该地址长期由该主机使用
动态分配:DHCP服务器为客户端指定一个IP,同时规定了使用期限,过期则客户端需要重新申请IP -
IP地址动态获取过程
image.png
-
IP地址拒绝及释放
image.png
-
DHCP租约更新
image.png
-
DHCP中继工作原理
image.png
IP路由原理
- 路由环路是由配置错误的路由或者协议缺陷导致的,它会造成IP报文在网络中循环转发,浪费网络带宽
- 路由表查找规则:
最长前缀匹配 - 路由来源:
直连路由:开销小,配置简单,无需人工维护。只能发现本接口所属网段的路由
手工配置的静态路由:无开销,配置简单,需人工维护
路由协议发现的动态路由:开销大,配置复杂,无需人工维护 - 路由度量值表示到达这条路由所指的目的地址的代价
- 影响路由度量值的因素:线路延迟、带宽、线路使用率、线路可信度、跳数、最大传输单元
-
不同路由协议参考的因素不同
image.png
- 到达相同目的地址的多个路由来源,选择优先级高(preference值小)的路由添加进路由表
-
各类路由默认优先级
image.png
静态路由
- 命令
ip route-static 目的IP 子关掩码 下一条地址 - 目的地址和掩码都是0.0.0.0的路由为默认路由
- 下一条地址须为直连链路上可达的地址
- 路由备份:到相同目的地址的下一跳和优先级都不同;优先级高的为主,低的为备
- 负载分担:到相同目的地址的下一跳不同,但优先级相同;到目的地的流量将均匀分布
- 利用黑洞路由(该路由指向虚拟接口null)来消除环路,当找不到有效路由时,数据包将会发送到null口而不是发送到默认路由。此路由优先级应该设置为低优先级(即数值要大)。
黑洞路由应用
ACL(访问控制列表)包过滤
-
ACL包过滤使用访问控制列表来实现数据识别,并决定是转发还是丢弃这些数据包
-
由ACL定义的报文匹配规则,还可以被其他需要对数据进行区分的场合引用
-
应用:包过滤防火墙、NAT、QoS(服务质量)的数据分类、路由策略和过滤、按需拨号
-
包过滤技术:对数据包逐个过滤,每个接口的出入双向过滤,经过一个接口时才能被该个接口的此方向的ACL过滤
-
入站包过滤工作流程(出站同理)
image.png
-
通配符掩码,和子网掩码相似,但是0表示对应位需比较,1表示对应位不比较(实质上就是子网掩码的0和1的用途相反)
-
利用数字序号标识访问控制列表
image.png
-
可以给访问控制列表指定名称,方便维护
-
基本访问控制列表,只根据报文的源IP地址信息制定规则
-
高级访问控制列表,根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则
-
二层ACL,根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议信息等二层信息制定规则
-
用户自定义ACL,可以根据任意字串制定匹配规则(以报文头、IP头为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文中提取出来的字符和用户定义的字符串进行比较,找到匹配的报文)
-
ACL包过滤配置:
启动包过滤防火墙功能
设置默认过滤规则
根据需要选择合适的ACL分类
创建正确的规则(设置匹配条件、合适的动作Permit/Deny)
在路由器的接口上应用ACL,并指明过滤报文的方向 -
ACL规则的匹配顺序:
配置顺序(config):按照用户配置规则的先后顺序进行规则匹配
自动排序(auto):按照“深度优先”的顺序进行规则匹配,即地址范围小的规则优先被匹配 -
尽可能在靠近数据源的路由器接口上配置ACL,以减少不必要的转发
高级ACL:在尽量靠近被过滤源的接口上应用ACL
基本ACL:在不影响其他合法访问的前提下,使ACL尽量靠近被过滤源(因为过于靠近被过滤源可能阻止该源访问合法的目的地址) -
ACL局限性:
ACL包过滤防火墙是根据数据包头中二、三、四层信息来进行报文过滤的,对应用层的信息无法识别
ACL包过滤防火墙是静态防火墙,无法对应用层协议进行动态监测
网络地址转换
- NAT提供私有地址到共有地址的转换
- 私有地址:10,172.16 - 172.31,192.168
- 私有地址在INTERNET上无法路由,因此采用是有地址的网络需要访问INTERNET,必须要在出口处部署NAT设备
- 配置BASIC NAT(实现私网地址和公网地址一对一转换):
配置ACL:用于判断哪些数据包的地址应被转换
配置地址池: 共有地址的集合
配置地址转换 - NAPT(实现私网地址和公网地址多对一转换):加上了端口号的BASIC NAT
- Easy IP(适用于接口地址无法预知的场合):
NAT设备直接使用出接口的IP地址作为转换后的源地址
不用预先配置地址池
工作原理同普通的NAPT
适用于拨号接入INTERNET和动态获得IP地址的场合 - NAT ALG(对FTP等上层应用作的ALG处理):同一个IP地址,但是出去的时候有不同端口号,则对应映射成不同端口号
- NAT可以有效缓解IPV4地址短缺,并提供安全性
网友评论