Route&Switch
Route&Switch
中继器(网线不够长?)
如果终端之间的距离太远,一旦超过网线物理传输距离的上限,数据就会开始丢失。
作用:中继和放大信息以实现设备的远距离传输
弊端:接口数量通常只有两个
集线器Hub(接口数量不够?)
作用:主要用于扩展网络的物理连接范围;
弊端:从任何接口接收的数据都将被发送到所有其他接口(广播)。
网桥(有选择性的发送数据)
作用:可以对MAC 地址进行分区,隔离不同物理网段之间的碰撞(隔离“冲突域”)
弊端:速度慢
无线AP(接线太麻烦?)
无线AP可以被视为具有无线功能的交换机/路由器。
根据部署方式的不同,可以分为胖AP和瘦AP解决方案。
在胖AP方案中,无线AP具有独立的操作系统,该操作系统可以独立调试无线热点的所有配置,类似于家用Tp-link产品。在瘦AP方案中,无线AP仅具有无线信号传输功能,所有命令调试都集中在后台的AC /无线控制器上。小型无线网络(家庭、小型企业)可以使用胖AP解决,而大型无线网络(无线城市、无线园区网络)则需要使用瘦AP(AC + AP)解决。
IP地址划分
A类 | B类 | C类 | D类 | |
---|---|---|---|---|
网络地址占位 | 1个字节 | 2个字节 | 3个字节 | 它是一个保留的地址。它并不指向特定的网络 |
最高位(二进制表示) | 0 | 10 | 110 | 1110 |
首位网络地址范围 | 00000000-01111111 = 1 ~ 126 | 10000000.00000000-1011111111 = 128 ~ 191 | 11000000.00000000.00000000-11011111 = 192 ~ 223 | |
可用网络 | 126个 | 首位数量(192-128)* 2^8(8代表剩余网络占位) | 首位数量(224-192)* 2^16(16代表剩余网络占位) | |
每个网络可用主机数量 | 2^24(24为主机地址占的3位,1位=8个bit)-2 = 1亿多 | 2^16个,约6万多个 | 2^8个,约254个 |
区分MAC地址类型
- 单播MAC地址:硬件地址中的第一个高位字节的第八个比特为0 IP地址为A、B、C类地址
-
广播MAC地址:全F IP地址为全255
- 组播MAC地址:硬件地址中的第一个高位字节的第八个比特为1 IP地址为D类地址
注意:
- 区分几类地址看开头的那一组
- 那个只是标准的24是c类
D类地址(组播地址)
- 最高为必须是1110;它是一个保留的地址。它并不指向特定的网络
- 多点广播用来一次寻址一组计算机,标识共享同一协议的一组计算机。
传输网络
传输设备一般有:PON、PTN、SDH、波分、无线网桥、微波,现在常用的组网方式是通过PON网络来组建,PON网络中有以下几种设备:
OLT:optical line terminal(光线路终端),主要作用是连接下面的光纤终端(光猫),汇总下面的业务传送给汇聚层交换机设备。
ONU:也是我们家里常见的光猫,光猫可以把我们的网络(互联网专线、宽带、VPN等业务)、语音电话、iTV电视等业务数据上传到OLT。
分光器:通过分光,可以把一芯光纤分成16或32芯,这样就可以接入更多设备。
ONU和ONT
- ONU和ONT都是用户端的设备,本质上没什么区别,
- ONT即光网络终端,俗称光猫,是接入网络中为家庭用户提供网络的设备,可以提供高速上网、IPTV、语音、WiFi等业务。
- ONU是指光网络单元,它与最终用户之间可能还有其他网络。
- 举个简单的例子, 比如在一个小区里面,ONT是直接放在用户家中的设备,而ONU可能就是放置在楼道中,各个用户通过交换机等设备连接至ONU。
城域网的网络是三层构架:
1、汇聚层
接入层主要是交换机,交换机下连着OLT,把OLT发送过来的数据封装到不同的VLAN,传给上层SR或BNG设备,现在流量越来越大,网络也趋于扁平化,交换机慢慢开始退网,OLT将直连上层SR/BNG设备。
2、业务控制层
业务控制层主要是将汇聚层设备发送过来的数据进行汇聚,互联网专线一般都是在业务控制层设备的SR或BNG设备上配置的,比如运营商分配给你的专线IP是1.1.1.2/30位,网关为1.1.1.1,这个1.1.1.1就是配置在SR设备上。业务控制层的设备会把这些互联网专线的网段发布进BGP路由协议,BGP路由协议把这些网段更新给核心层设备。
3、核心层
核心层设备CR(Core Router),就是本市的出口设备,主要作用就是选路和转发数据,把数据转发给省网BR设备。
省网:
省网的BR设备将各地市CR发送过来的数据进行汇聚,如果是本省的流量将在BR内部转发,如果是发送到省外的流量,BR将这些数据转发给骨干网的BB设备。
骨干网:
骨干网的BB连接着各省的BR,通过路由选路,将不同地方的数据转发到最近的路径,实现跨省互通。
实现对网络中的报文进行分析
端口镜像
含义:
把一个端口中收发的数据往另外一个端口发出去
用途:
业务实时监控
故障处理分析
网络流量优化
端口类型:
普通端口(正常端口)
镜像端口(被观察端口哦)
观察端口
华为配置
1
2
[Huawei]observe-port 1 interface e0/0/3 #配置为观察端口(监控设备)
[Huawei-Ethernet0/0/1]port-mirroring to observe-port 1 outbound/inbound/both #配置为镜像接口(出流量/入流量/进出流量)
实现链路冗余、备份、提升带宽、负载分担
链路聚合(LAG)
含义:
把连接到同一台交换机上的多个物理端口捆绑为一个逻辑端口(LAG)
作用:
提高链路可靠性,只要还有物理端口存活,链路就不会中断
增加链路传输带宽,交换机之间的流量会在聚合组中所有物理端口上负载分担
聚合方式分类:
静态聚合:链路聚合组(LAG)启用lacp协议
动态聚合:链路聚合组(LAG)不启用lacp协议
LACP模式又称为M:N模式;即M条活动链路与N条备份链路的模式
华为配置
LACP模式
1
2
3
4
5
6
7
8
9
10
11
12
13
#首先在系统模式下配置优先级确认主动端,如果优先级相同则MAC地址小的一端为lacp主动端
[Huawei]lacp priority 2 #配置本端系统优先级
[Huawei]int Eth-Trunk 1 #创建链路聚合组(LAG)
[Huawei-Eth-Trunk1]mode lacp-static #启用lacp协议(LACP模式又称为M:N模式)
#注意:先配置模式,再将物理接口加入到eth-trunk,否则会报错#
[Huawei-Eth-Trunk1]trunkport e0/0/5 #将物理接口加入到链路聚合组(LAG)形成逻辑接口
[Huawei-Eth-Trunk1]max active-linknumber 2 #设置活动物理链路数量上限(M)
注意:选出主动端后,设备两端会以主动端的接口优先级来选择活动接口,如果为设置接口优先级或者主动端的接口优先级都相同则选择接口编号比较小的为活动接口。
注意:如果链路聚合组(LAG)中加入多条物理链路;设置了活动链路数量(M);剩下的为备份链路数量(N),
#如果某一条活动链路故障,则备份链路中优先级高的成为活动链路,则需在物理接口下设置为高优先级
[Huawei-Ethernet0/0/5]lacp priority 2 #设置物理链路优先级
#创建完成进行其它配置
#[Huawei-Eth-Trunk1]port link-type access
手工模式
1
2
#只需配置模式工负载分担模式
[Huawei-Eth-Trunk1]mode manual load-balance
STP生成树协议(防环;解决二层环路)
把一个或者某几个端口阻塞掉**;解决环路,保持二层链路冗余性**
dis stp brief 查看stp状态
- 选举根交换机首先选出一个根交换机(根交换机的端口都是指定端口)
- 选举根端口再在每个非根交换机上选出根端口(朝向根交换机的端口)
- 最后选出一个指定端口
- 未被选举的端口则被阻塞
- 根交换机(比较:优先级+MAC地址)
- 根端口(比较:路径开销)
- 指定端口
选举PK:
- 每个广播域选择一个Root bridge 根桥(根交换机;比较桥ID)
- 每个非根交换机上选着一个Rootport 根端口(朝向根交换机的端口;比较根ID;再比较路径cost)
- 每个段选择一个Designated port 指定端口(带宽越低,端口开销cost值越大)
- 选出NonDesignated port 非指定端口(阻塞;不被选举的会被阻塞)
依赖BPDU报文泛洪
- 根ID (优先级+MAC)
- 路径开销 (沿途到达根桥的开销cost,带宽值越小,路径开销越大)
- 桥ID (优先级+交换机背板MAC地址;收到离自己最近BPUD报文里面的BID)
- 端口ID (优先级+端口号(端口编号))
- ROOT ID COST BID PORTID
根桥的所有端口都是指定端口;不会被阻塞(根交换机特征)
ROOT根交换机 DP指定端口 RP根端口
运行了STP接口状态:
-
Disable 不转发BPDU报文,也不转发用户流量
-
Blocking(discarding) 只接收BPDU,不转发流量,不学习MAC地址(阻塞)
-
Listening 不接收也不转发用户流量,接收并且发送BPDU,不学习MAC地址;确定端口角色,将进行选举动作
-
Learning 不接收也不转发用户流量,接收并发送BPDU,学习MAC地址
-
Forwarding 接收并转发帧,接收并发送BPDU,学习MAC地址
配置:
-
stp mode(默认是MSTP) 设置生成树协议类型
-
stp root primary 指定根交换机(优先级为0)
-
stp root seconday 指定非根交换机(优先级为32768)
-
stp enable 启用生成树协议
stp priority 优先级(默认是32768) 配置交换机优先级
int g0/21 stp priority priority值 修改端口优先级
int g0/21 stp cost cost值 修改端口路径开销
MSTP(实现冗余,数据的负载分担)
将若干个VLAN映射到一个实例
- vlan batch 20 30 40 50 创建VLAN
- stp mode mstp 设置模式为MSTP
- stp region-configuration 进入MSTP 配置视图
- region-name 域名 MSTP域名要相同,自己取
- instance 1 vlan 20 30 配置VLAN映射到实例
- instance 2 vlan 40 50 配置VLAN映射到实例
- active region-configuration 激活MSTP域
- stp instance 1 root primary 实例1 的根交换机
- stp instance 2 root secondary 实例2 的非根交换机
- stp enable 运行stp
实现网关冗余备份
VRRP(虚拟冗余路由器)
含义:
将多台路由器虚拟成一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关,实现网关备份
协议版本:
VRRPv2适用于IPv4网络
VRRPv3适用于IPv4和IPv6两种网络
Master 的选举规则:
1.优先级为 255 的设备,直接成为 Master.
2.如果不存在优先级 255 的设备,则优先级越高越好.(默认 100)
3.如果优先级相同,则 VRRP 接口 IP 越大越好. (当 VRRP 抢占时,只比较优先级)
Master 路由器:
1.定期发送 VRRP 报文.(1s 一次/3s 超时)
2.以虚拟 MAC 地址响应对虚拟 IP 地址的 ARP 请求.
3.转发目的 MAC 地址为虚拟 MAC 地址的 IP 报文.
4.接收目的 IP 地址为这个虚拟 IP 地址的 IP 报文.
5.如果收到比自己优先级大的报文则转为 Backup 状态.(开启抢占)
Backup 路由器:
1.Backup 路由器不会发送 VRRP 报文,只监听 Master 的周期性 VRRP 报文,当 master 超时时, 准备接替 master 角色.
2.对虚拟 IP 地址的 ARP 请求,不做响应.
3.丢弃目的 MAC 地址为虚拟 MAC 地址的 IP 报文.
4.丢弃目的 IP 地址为虚拟 IP 地址的 IP 报文.
5.当 Backup 检测到本地 vrrp 优先级高于 master 时,立刻转换为 master,并且发送通告报文.(开 启抢占)
优先级 0:
VRRP 的优先级范围为 0-255,但在手工指定优先级时,只能指定 1-254,优先级 0 仅在 master 路由器接口关闭,或 master 退出 VRRP 组时,会由 master 发出优先级为 0 的 VRRP 报文,其目 的是告知 backup 立刻切换到 master,不必等待 3s 的超时时间,加快收敛.
优先级 255:
如果某个设备的 VRRP 接口 IP 和虚拟 IP 相同,那么该设备称为虚拟 IP 的拥有者,此时该设备 直接进入 master 状态,且该 VRRP 接口的优先级固定为 255.(保证虚拟 IP 的拥有者一定是 master 角色,防止虚拟 IP 的监管设备和拥有相同物理 IP 的角色分离) VRRP 使用 IP 报文作为传输协议进行协议报文的传送,其协议号为 112. VRRP 协议报文使用固定的组播地址 224.0.0.18 进行发送. VRRP 只有一种报文(VRRP 的通告报文 announcement)
华为配置
1
2
3
4
RTA-Ethernet0/0]vrrp vrid 1 virtual-ip 10.1.1.100 #配置虚拟IP
[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 200 #配置优先级
[R1-GigabitEthernet0/0/0]vrrp vrid 1 preempt-mode timer delay 10 #配置抢延时
[R1-GigabitEthernet0/0/0]vrrp vrid 1 timer advertise 2 #配置通告时间
对路由进行操控、过滤
路由策略工具route-policy
格式:
route-policy 【自定义名称】permit/deny node 节点号
if-match 调用ACL或者是ip-prefix
apply 执行的动作
permit和deny区别
permit和deny作用:用于当条件都满足时执行和不执行的动作
permit和deny共同点:当执行条件都满足时,不会执行下一个节点,当节点中某一个条件不满足是才会执行下一个节点
不同点:permit条件都满足时,会执行apply;deny条件都满足时,不会执行apply
if-match子句后面能跟哪些条件
注意:acl和ip-prefix不能同时配置,后配置的会覆盖掉先配置的
if-match子句中所有的条件之间为“与(and)”关系,if-match route和if-match interface除外,为“或(or)”关系
- acl 匹配ACL
- ip-prefix 匹配前缀列表
- cost 匹配路由的开销值
- interface 匹配路由的出接口
- route-type 匹配各类型路由信息
- tag 匹配路由信息的标记域
apply子句能修改哪些
- cost 修改路由开销值
- cost-type 修改OSPF的开销类型
- ip-address net-hop 修改IPv4路由信息的吓一跳地址
- preference 修改路由优先级
- tag 修改路由信息标记域
路由抓取工具
ACL
作用:只能匹配网络号
- 基本 ACL:2000-2999,基本 ACL 只能匹配源 IP 地址.
- 高级 ACL:3000-3999, 高级 ACL 可以匹配源 IP,目的 IP,源端口,目的端口,特定协议等.
- 二层 ACL: 4000-4999,二层 ACL 匹配源 MAC,目的 MAC 等
ip-prefix(IP前缀列表)
作用:不仅能匹配网络号。还能匹配掩码;更精确
格式:
1
ip ip-prefix hcie index 10 permit 192.168.0.0(网络号) 16*(掩码长度) greater-equal(大于等于) 24 less-equal(小于等于) 24
注意:匹配掩码长度范围;可选的
策略路由工具
路由过滤工具filter-policy
作用:控制路由更新、接收;只能过滤路由信息,无法过滤LSA
格式:
filter-policy ip-prefix/ACL 名称 export 接口名称/路由类型(协议)
注意:如果不关联接口,意味着对所有接口生效
export 出站
import 入站
gateway 网关
路由协议(OSPF、BGP)
RIP距离矢量路由协议
作用:传递的是路由信息
OSPF链路状态路由协议
前言
OSPF的一个优点是“O”,也就是Open,开放的含义。类似于安装操作系统,各个厂商都可以直接使用OSPF,所以兼容性非常好。相对而言,EIGRP虽然本身也很优秀,但是是闭源技术,只有思科产品支持,但在2013年开放了EIGRP。
OSPF的第二个优点是”SPF“,SPF是一种优秀的算法,可以知晓全网的真实拓扑,并且计算出合理的路由,使用的人多,自然维护管理更方便。相对而言,RIP就弱爆了。
运行原理:
OSPF组播的方式在所有开启OSPF的接口发送Hello包,用来确定是否有OSPF邻居,若发现了,则建立OSPF邻居关系,形成邻居表,之后互相发送LSA(链路状态通告)相互通告路由,形成LSDB(链路状态数据库)。再通过SPF算法,计算最佳路径(cost最小)后放入路由表。
OSPF协议版本
OSPFv1,存在实验当中,没有真正应用
OSPFv2,针对IPv4环境的版本,也是当前最常见的版本
OSPFv3,针对IPv6环境的版本,代表未来
OSPFv2协议中5种报文类型及7种接口状态
5种报文类型
- hello报文:用于发现和维护邻居关系(建立双向关系)
- DBD:描述LSA头部信息,用于与邻居的LSA做对比
- LSA request:简称LSAR,用于请求缺失的路由信息
- LSA update:简称LSAU,发送自己完整的LSA
- LSA acknowledgement:简称LSAck,对于存在于LSU中的某一条LSA信息,自己收到之后进行确认
7种接口状态
down -> init:接口开始发送hello报文(multicast的方式,destination address为224.0.0.5,属于D类组播地址)
init -> two-way:接口收到邻居发送的hello报文(unicast方式,因为对方已经知道准确的目的地址了)
two-way -> exstart:邻接关系建立完成,开始交换DBD报文(仅有LSA头部信息,还没有开始交换LSA)
exstart -> loading:根据DBD内容,发送LSAR,在接收到LASU之后发送LSAck
loading -> full:邻接路由器LSDB内容完全同步
查看命令
dis ospf peer ospf路由协议邻居表(full状态标识全毗零,就是已经建立链接)
dis ospf routing 查看ospf路由
dis ospf int 0/0/0 查看链路信息
dis ospf lsdb 查看lsdb表
认证方式
(1)区域认证:在这个区域的接口同时启用认证
(2)接口认证:
(3)OSPF配置认证 :
- 认证类型要相同
- 认证密码匹配要相同
注:否则无法建立邻居关系
配置区域认证:authentication-mode simple plain(明文)/cipher(密文) 密码
**ABR 边界路由器: **
-
必须连结两个区域,另一个区域必须是区域0Area0(直连)
- 作用:针对区域内部的路由汇总,控制LAC的泛洪哦那个,LAC的过滤
这台路由器的接口为DR 指定路由器
这台路由器的接口为BDR 备份指定路由器
DR other 只能跟DR和BDR建立全毗零关系
选举DR、BDR
- DR默认优先级为1 (可以设置);越大越优先
- router id 越大越优先
配置:
- ospf 进程ID(本地有效) router-ID 指定
- area id 区域
- network ip-add (反掩码)通配符 用4个255减去网段的子网掩码
- 例如 network 172.16.1.0 0.0.0.255 宣告网段
一些注意事项
- 把一个大的ospf域(Domain)切割为一个一个小一点的Area区域;每一个area都会定义一个ID
- 首先建立邻居关系;然后去泛洪一些LSA的信息(链路状态通告,没有LSA,则OSPF就无法正常工作)
- 依赖cost值选择路径优先
- router-ID xxx ospf的身份标识(只要用路由器运行了OSPF;不允许冲突)
- cost 值(路径开销) :每台路由器都会有COST值,值相加结果作为路径优先选择
- LSDB:对整个网络拓扑结构的描述
- 邻居关系只能是直连,处于相同网段
- 部署OSPF多区域要求:ospf域当中必须有一个骨干区域Area0,必须是连续的,且只能有一个;非0区域必须根骨干区域直连。
- 中间设备—-区域边界路由器ABR:同时属于两个区域,一个接口对应一个区域,且必定有一个接口对应骨干区域area0。
BGP 实现AS之间路由信息的互通
建立要求特征:
- 两者之间建立TCP连接,
- 采用目的端口179
- BGP对等体关系无需直连(可以跨越多个路由器建立对等体关系)
- 只要双方的IP之间可达
建立对等体关系(好比OSPF建立邻居关系)、交换BGP路由
每经过一台路由器AS_PATH会加上本地的AS号
防环:
- 当发现别人传给我的BGP路由,在AS_path里面出现自己本地AS号,则会认为出现了环路
AS_PATH:
- 记录了这条路在传递当中所经过的各个本地的AS号
Interior BGP :
- 同一个AS内的连接
Exterior BGP:
- 不同AS之间的BGP连接
使用:
- 小规模私有网络IGP,大规模私有网络IBGP,互联网EBGP
BGP反射器
路由学习自“非IBGP对等体Client”,则反射给所有“IBGP对等体Client”或者发送给EBGP对等体邻居
路由学习自“IBGP对等体Client”,则反射给所有“IBGP对等体Client”或者发送EBGP对等体邻居或者反射给“非IBGP对等体Client”
路由学习自“EBGP对等体邻居”,则反射给所有“IBGP对等体Client”或者“非IBGP对等体Client”
用MPLS解决BGP路由黑洞问题(标签查找)
NAT(网络地址转换)
Address group 用于分给私网用户的公网IP地址池
NAT table NAT正反向查找表项
Basic NAT:一(用户)对一(公网IP)地址转换,通过 “” 私网IP 映射 一个公网IP “” 一个公网IP不能同时被多个私网用户使用
NAPT:实现多个用户共享一个公网地址 “ 私网IP+端口号映射到同一个公网地址+端口号 “ (注意:私网端口号和公网端口号不相同)需要创建公网地址池;
NAT Server:用于访问内部服务器;而在Basic NAT或NAPT方式下,由于由公网用户发起的访问无法动态建立NAT表项,因此公网用户无法访问私网主机。与NAPT类似(注:两边要使用相同端口号)(需要创建地址池)
EASY IP:与NAPT类似;区别在于无需创建公网地址池;Easy方式可以实现自动根据路由器上WAN接口的公网IP地址实现与私网IP地址之间的映射(不需要创建地址池)