网络工程师基本技术
安全网关,应用层网关,售后&售前
TCP/IP
IOS七层模型:从下往下:物理层(比特流传输)----------数据链路层(提供介质访问、链路管理等)-----------网络层(寻址和路由选择)---------传输层(端到端的连接)--------会话层(建立维护和管理回话)------------表示层(处理数据格式、数据加密等)-----应用层(提供应用程序间的通信)
TCP/IP标准模型:从下往上:网络接口层Ethernet、PPP、DHCP、FR、ATM等--------网络层IP、ARP、ICMP---------传输层TCP、UDP---------应用层DNS、FTP、HTTP、Telnet、SMTP、POP3等
TCP/IP协议栈(从下往上):物理层:定义物理介质各种特性(机械特性、电子特性、功能特性等):V.35,G.703,G.707等------数据链路层:编帧和识别帧、数据链路的建立维持和释放、传输资源控制,流量控制,差错验证,寻址,识别上层数据:Ethernet,PPP,HDLC,FR,ATM,X.25等------网络层:编址和路由功能、拥塞控制、不同网络互连:IP,ARP,ICMP------传输层:分段上层数据、提供面向连接或无连接服务、建立端到端的连接和维护连接状态、可靠性传输和流量控制:TCP,UDP-----应用层:向用户提供一组常用的应用程序,比如电子邮件、文件传输访问、远程登录等:DHCP,DNS,HTTP,FTP,TFTP,SMTP,SNMP,Telnet等
TCP
是面向连接的,数据传输必须经过建立连接、传输数据、断开连接三个阶段。
提供有序的数据传输,接收端按字节对数据进行确认。
数据传输室可靠的,包头含有校验和机制对数据进行校验,并有超时重传机制重传丢失的数据。
提供高质量的数据传输服务,滑动窗口实现数据的流量控制。
适用于可靠性要求高的应用。
UDP
是无连接的,数据传输不需要建立连接。
不可靠的,发送方不管接收方是否接到数据,它的可靠性需要应用层协议来解决。
只有校验和机制,只能做简单的差错控制。
没有流量控制机制。
包头小,开销小,传输效率高。
IP
无连接的
提供尽力而为的服务,超出转发能力的直接丢弃
IP数据包在网络中传送是无序的,单独选择到达目标的路径
IP分组传送不可靠的,发送者只管发送不管接收,有上层协议来解决
静态路由
路由选路:路由器根据静态路由或动态路由协议选择IP数据包最佳转发路径的过程,即路由表形成过程,是路由器控制层面行为。
静态路由的配置:1、选择一个设备,由近而远的列出它所有的非直连网段;2、在该设备上,为每一个非直连网段配置一条静态路由;3、由近而远的选择设备,为每个设备重复上述过程,直到所有设备配置完成。
标准型:ip route xxxx xxxx xxxx;目标网段、掩码、下一
跳
增强型:ip route xxxx xxxx xxxx xxxx;目标网段、掩码、出接口、下一跳
简化型:ip route xxxx xxxx xxxx;目标网段、掩码、出接口 -----(只能用在点对点PPP或HDLC网络,常用在拨号(模拟拨号、ISDN、PPPOE等)环境下应用)
网络连通性测试:查看路由表,Ping测试,Traceroute路径跟踪测试
路由汇总:将大量的细化路由汇总一条或几条汇总路由,通过路由汇总,可减少路由表的细化路由条目,提高转发效率。把目标网段换算成二进制,二进制位相同为1不同位0,计算出汇总和掩码。
只有下一跳相同的目标网络才能进行路由汇总。
精确路由汇总(刚好汇总所有的细化路由)、模糊路由汇总(能够汇总所有的细化路由,只要不影响其他路由)、严格路由汇总(不包含任何其他的路由)、缺省路由(最模糊的)。
IP地址分配基本原则:1、唯一性原则:全网唯一2、可汇总原则:按块划分(网络区域与区域编码;按区域位进行路由汇总)3、连续性原则:连续分块4、扩展性原则:预留(按块预留,块内预留)
HDLC不支持链路捆绑,可使用基于路由的负载均衡。
路由负载均衡的转发方式:按包(逐包在多个下一跳之间轮流转发;接口下:ip load-sharing per-packet;IP软转发即进程交换默认使用按包负载均衡);按流(根据目标IP地址分配负载;接口下:ip load-sharing per-destination;IP Route-Cache即快速交换默认使用按流负载均衡)
浮动静态路由不会同时出现在路由表中。
递归查询是路由器本地行为,IP数据包在网络中逐跳转发。
综合布线
点对点网络,广播型网络,非广播型网络,点对多点网络。
以太网基础
以太网、快速以太网、千兆以太网、万兆以太网
全双工模式:通信电缆两端都能发送和接收数据,两端收发可同时进行。
全双工以太网的必要条件:采用交换机组网,有支持全双工网卡芯片,点对点的物理连接。
半双工模式:通信电缆两端都能发送和接收数据,但同一时间内,只能一端发送到另一端。
以太网帧最小长度:64字节:用于冲突域检测。
直通线,交叉线
常见拓扑:总线型、星型、环型、全网连接型
VLAN技术
隔离广播域
基于接口,基于MAC地址
Access链路和Thunk链路
802.1Q VLAN:802.1Q的IEEE标准封装中以太网帧增加4字节的VLAN Tag
802.1Q tag为12位:最多VLAN个数4094
每个802.1Q Trunk接口都有一个Native Vlan,默认Vlan 1,此VLANd的帧收发都不带tag,其他所有的VLAN帧收发都带tag。Native Vlan是接口下概念,不同的接口可以不同。
Access接口数据转发(只转发本Vlan不带tag的帧)
向access接口转发数据帧是不带tag
当access
接口收到不带tag的帧,若交换机上存在该Vlan则在该Vlan中转发该帧,否则丢弃
当access接口收到带tag的帧直接丢弃。
Trunk接口数据转发
向Trunk链路转发数据帧时,该接口的Native Vlan不带tag,其他所有Vlan都带上相应的tag
当Trunk接口收到带tag的帧,该接口允许该Vlan通过、交换机上存在该Vlan,则转发,否则直接丢弃
当Trunk接口收到不带tag的帧时,若该接口允许Native Vlan通过、交换机上存在该Vlan,则在该接口的Native Vlan中转发,否则直接丢弃
IVL独立Vlan学习:每个Vlan一个独立的地址表((((((((SVL共享Vlan学习)
局域网Vlan划分:按业务、功能区划分;按访问控制、隔离需求划分;按主机数、广播域大小划分;按IP子网划分;分块划分
局域网VLAN部署:1、静态全配置2、按网络规划静态配置3、动态学习:VTP协议和GVRP协议
纯cisco交换机组网:用户建立VLAN-----发送VLAN消息--------同步VLAN信息。
VTP消息:使用组播地址0100-0ccc-cccc,只通过Trunk接口的Vlan1传递。
VTP工作模式:服务器模式,客户端模式,透明模式。新加入的交换机一定要用透明模式加入网络。
DTP:思科私有,动态协商接口类型为Access或Trunk。互连的接口必须在同一VTP模式下。
路由器
路由器的功能层面:
控制层面:形成和维护路由表(路由表管理进程,RIP进程,OSPF进程)
(直连路由:接口UP自动形成直连路由进入路由表,接口DOWN直连路由自动消失。
静态路由:通告静态路由配置手工配置
动态路由:通告动态路由协议学习)
转发层面:使用路由表中的路由进行数据包转发(IP转发进程)
控制层面与转发层面的接口:路由表
IP软转发:进程交换;IP Route-Cache转发:快速转发;FIB转发:CEF
三层交换机
低端路由器基于软件转发,VLAN间路由转发性能较低
高端路由器基于芯片转发,价格太高
二层交换机基于芯片转发,不能做三层转发
最早期三层交换机:最早期,就是二层交换机插上一个路由器单板,二者之间在设备内部通过Trunk链路互连,转发原理与单臂路由类似,只是在路由器单板上表现的接口为intterface vlan。
中期三层交换机:到了中期,出现了Cache转发技术,首包查路由表和ARP表并形成32位路由加入Cache表,后续的只需查Cache表。出现了TCMA芯片,硬件三层交换。
现代三层交换机:将路由单板和二层交换实现了整合,CEF转发技术,根据ARP表形成邻接表又根据邻接表和路由表形成CEF表,直接把CEF表下发至TCMA芯片中转发,无需CPU干预,CPU只负责CEF表的形成和下发,大大提高了设备性能和稳定性。
三层交换机接口
二层:switchport,Access,Trunk
三层
:no switchport,关闭了二层转发功能而开启了路由转发功能的物理接口
VLAN接口:SVI,三层交换机的内部路由接口,它将特定VLAN连接到三层转发引擎
生成树技术
STP产生的背景:广播风暴,重复单播帧,MAC表不稳定。
STP:通过阻断冗余链路来消除网络中的存在的环路;发生故障时激活冗余备份链路回复网络的连通性。
网桥ID:用于标识运行的STP的交换机,在网络中唯一。有网桥优先级与交换机MAC地址组成,越小越优先。网桥优先级长2字节,默认32768,只能按4096的倍数修改。
端口ID:运行STP的交换机的每个接口都有一个接口ID。由端口优先级和接口编号组成,越小越优先。端口优先级缺省128,取值0-240,只能按16的倍数修改。
根网桥:在一个局域网内,网桥ID最小的交换机为根网桥,次之为备份根网桥。到达根网桥路径开销的总和叫根路径开销。
STP的基本工作过程:
阻塞所有端口,STP启动,交换机的所有端口都处于阻塞状态;
选举根网桥,网桥ID最小的是根网桥,根网桥的所有端口都是指定端口,处于转发状态;
选举根端口,非根网桥上的根开销最小的端口是根端口,处于转发状态;
选举指定端口,每个物理网段只有一个指定端口,处于转发状态;
阻塞其他端口。
交换机之间BPDU报文交互,交换机接收、处理、重新发送BPDU,是中继而不是二层转发。
网络起始,STP启动交换机都认为自己是根网桥,发送BPDU。
网络稳定,根网桥发送BPDU,其他交换机中继根网桥的BPDU。
交换机对BPDU的处理:
为开启STP的交换机当普通数据报文洪泛;
开启STP的思科交换机开启STP的VLAN,接收上送到STP进程,没开启STP的VLAN的在VLAN中当普通数据报文洪泛;
开启STP的华为华三交换机开启STP接口,接收上送到STP进程,为开启STP接口在同一VLAN中的为开启STP的接口上当普通数据洪泛;对思科私有的0100-0ccc-cccd的BPDU,在VLAN中当普通数据报文洪泛。
STP端口判定:
选根网桥:比较网桥ID;选根端口:依次比较根路径开销、发送方网桥ID、发送方端口ID;选指定端口:依次比根路径开销、发送方网桥ID、发送方端口ID。
STP端口状态
Disabled禁止:端口关闭,不发送任何报文;
Blocking阻塞:接收但不发送BPDU
Listening监听:能接收和发送BPDU
Learning学习:能接收和发送BPDU,进行MAC地址学习
Forwarding转发:能接收和发送BPDU,能接收也能转发数据报文,进行MAC地址学习。
STP计时器:
Hello Timer(Hello时间)根网桥发送配置BPDU的周期,默认2秒。
Forward Delay(转发时延)配置BPDU传播到全网的最大时延,默认15秒。
Message Age(消息
老化时间)配置BPDU从根网桥生成开始,到当前为止所经过的时间。
Max Message Age(最大老化时间)配置BPDU的存活最大时间,STP默认为20秒:10个Hello周期,RSTP、MSTP默认6秒:3个Hello周期。
非根网桥在最大老化时间之内没有收到根网桥的BPDU,就认为自己是根网桥,网络重新收敛。
指定端口首先处于阻塞状态,不能转发BPDU,最大老化时间超时,指定端口迁移到监听状态,发送BPDU,进行STP选举;选举根端口、指定端口,有阻塞状态经过2个转发时延(30秒)最终切换到转发状态。
检测到拓扑变化的交换机在根端口上发送TCN BPDU,直到收到TCA置位的BPDU为止,根网桥收到TCN后,发送TC置位的配置BPDU,并维持转发时间和最大老化时间的时间,收到TC置位BPDU的交换机消除或刷新MAC表。
STP收敛,直接收敛30秒,间接收敛50秒。
STP边缘端口
端口打开时直接接入转发状态。
边缘端口UP或DOWN不会引起STP拓扑变化,也不会引起收敛。
加快收敛。
现网中一般强制要求配置STP边缘端口。
思科交换机默认开启STP,为PVST+,只需配置根网桥优先级和边缘端口。
华为华三默认关闭,需手动开启STP,默认MSTP。
MSTP多厂家之间兼容性好,建议全网采用MSTP。
单点故障,局域网冗余备份的需求
引擎冗余,设备冗余,链路冗余,网关冗余
引擎冗余:选用支持引擎冗余的设备,设备上能插两块引擎板,一块工作一块备份,保存配置时两块自动同步启动配置文件,出现故障时能在50ms内进行主备引擎倒置,保证主备配置相同。
设备冗余备份:冷备:不接入网络(一般冷备,在线冷备:平时上电开机,故障时只需把链路插换即可),热备:连入网络,使用协议实现负载均衡和主备倒置(单引擎双设备;双引擎双设备;双设备,一个双引擎一个单引擎)
选择冗余备份技术主要考虑因素:网络的可靠性需求,成本,用户需求,组网复杂度及人员水平。
链路捆绑的作用:链路冗余备份增加可靠性,增加带宽。一般最多能捆8条。
手动或协议LACP、PAGP
工作模式:LACP(被动Passive,主动Active);PAGP(自动Auto,期望Desirable)
链路捆绑主要注意事项:
所有接口都有相同的速率和双工模式
Access链路:所有接口都必须属于同一个VLAN
Trunk链路:Trunk封装、允许通过的VLAN、Native VLAN必须相同
超长帧,协议过滤,QOS配置必须相同
动态VLAN接口、安全接口、Dot1x接口、SPAN目的接口不能捆绑
以太通道组号只有本地意义。
网关冗余备份
VRRP:虚拟路由冗余协议,IEEE标准,支持双网关冗余。
HSRP:热备份路由协议,Cisco私有,支持双网关
冗余。
GLBP:网关负载均衡协议,思科私有,支持多网关负载。
VRRP
虚拟路由器:VRRP管理的抽象对象,定义虚拟网关IP地址。
主路由器
备份路由器
VRRP优先级:8位,默认100,最高优先级255,越高越优。
VRRP组号(VRID):虚拟路由标识,对同一广播域内不同的VRRP组的区分,长8位,1--255。同一广播域内,一个VRRP组能够虚拟出多个虚IP,进行负载;与VLAN无关,不同的VLAN可以使用相同的VRRP组号,一般使用相同的。
上行链路跟踪:跟踪链路断,减去一定的优先级;跟踪链路UP,加上减去的优先级;VRRP默认允许抢占,自动根据优先级切换。
主路由器激活虚拟IP地址,转发数据报文,并定期向广播域内发送VRRP组播报文通告自己的状态,时间默认为1秒。备份路由器不发送但接收VRRP报文,在3个通告周期内没有收到主路由器的VRRP报文,则备份路由器将转换为主路由器。
VRRP三个状态:初始化状态:Initialize;主路由器状态:Master;备份路由器状态:Backup。
主路由器虚拟出来的虚拟MAC地址:0000-5e00-01xx,主机发送需IP地址的ARP请求时,主路由器使用虚MAC进行ARP响应。
VRRP报文封装于IP,协议号112,目标IP:224.0.0.18,目标MAC为:0100-5e00-0012,源IP为接口主IP地址。VRRP报文源MAC地址可以为接口MAC地址也可以为虚MAC地址。TTL值255,否则丢弃。使用MD5认证。
当设备成为VRRP主路由器时,立即发送应答型的无故ARP,刷新交换机MAC。
华为华三设备的VRRP虚拟IP默认Ping不通。启动VRRP的接口非常多导致CPU利用率升高,修改每个VRRP组的通告时间,将各VRRP组分成几个大组,大组内通告时间相同,大组间通告时间互质(如3、5、7、11等)。
HSRP
思科私有
分为活跃路由器、备份路由器
抢占默认禁止
虚MAC地址:0000-0c07-acxx,HSRP报文封装于UDP,端口号1985,目标IP为224.0.0.2,目标MAC:0100-5e00-0002,源IP为接口主IP地址,TTL值为1。
HSRP报文类型:
Hello消息:想局域网内通告优先级和状态,活跃、备份路由器都发
Coup消息(政变):当备份路由器变为活跃路由器时发
Resign消息(放弃):活跃路由器收到更高优先级的Hello消息时发
HSRP计时器:Hello时间间隔为3秒,活跃待机超时时间为10秒。
网关冗余备份部署
引擎冗余及设备冗余部署:用在可靠性要求较高网络中,如核心层,次之汇聚层。
链路捆绑部署:采用双设备时刻部署在核心交换机之间或需要增加链路带宽的情况下。
网关冗余部署:采用双设备时,双设备之下都是二层网络时,应部署网关冗余。在流量较大的局域网中考虑网关的负载分担。在存在业务分流的局域网中考虑网关
的负载分担。在本地网络较大的局域网中,一般不进行上行链路跟踪,在很小的分支网中需要进行上行链路跟踪。
策略路由
1、过滤(1、传播过滤;2、路由安装过滤)
2、属性修改
防火墙技术
ARP欺骗
ARP攻击
中继
交换机、防火墙、IPS/IDS、上网行为管理、堡垒主机等产品的配置管理
上网行为管理指帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。
堡垒主机是一种被强化的可以防御进攻的计算机,作为进入内部网络的一个检查点,把整个网络的安全问题集中在某个主机上解决,考虑其它主机的安全。堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。
linux的操作命令
--文件目录操作--
ls 显示文件和目录列表
touch 生成一个空文件或更改文件的时间
cp 复制文件或目录
mv 移动文件或目录、文件或目录改名
rm 删除文件或目录
cat、tac 显示文本文件内容
more、less 分页显示文本文件内容
ln 建立链接文件
whereis 查找系统文件所在路径
find 在文件系统中查找指定的文件
grep 在制定的文本文件中查找指定的字符串
pwd 显示当前工作目录
cd 切换目录
mkdir 创建目录
rmdir 删除空目录
tree 显示目录树
chmod 更改文件或目录的权限
chown 更改文件或目录的属主
--信息显示 --
stat 显示指定文件的相关信息
who、w 显示在线登录用户
whoami 显示用户自己的身份
hostname 显示主机名称
uname 显示系统信息
dmesg 显示系统启动信息
top 显示当前系统中耗费资源最多的进程
du 显示指定的文件(目录)已使用的磁盘空间的总量
df 显示文件系统磁盘空间的使用情况
free 显示当前内存和交换空间的使用情况
ifconfig 显示网络接口信息
ping 测试网络的连通性
netstat 显示网络状态信息
--用户间通信--
write 向另外一个登录用户发信息
wall 向所有登录用户发信息
mesg 显示、设置接受或者不接受其它登录用户发来的信息
mail、pine 邮件收发
ftp ftp客户端程序
lynx 字符界面浏览器
--备份压缩 --
ta
r 文件、目录打(解)包
gzip 压缩(解压)文件或目录,压缩文件后缀为gz
compress 压缩(解压)文件或目录,压缩文件后缀为Z
bzip2 压缩(解压)文件或目录,压缩文件后缀为bz2
zcat 显示压缩的文本文件的内容
--其他命令 --
echo 显示输出变量、字符串的值
exit 返回上一级Shell date 显示(设置)系统日期和时间 cal 显示日历 clear 清屏 wc 统计文本文件的行数、单词数和字符个数 passwd 设置用户登录密码 su 切换为指定的用户进行操