- 掌握交换机基本概念
- 掌握交换机的基本配置
掌握以太网交换机常见的维护方式
VLAN的基本概念
Virtual Local Area Network(虚拟局域网)是将位于不同的网段上的用户和服务器从从逻辑上划分成终端站组
VLAN的出发点:
1.限制广播包
2.安全性
3.减少移动和改变的代价
4.虚拟工作组
二层交换机
二层交换的依据是MAC转发表,MAC转发表项为:目的MAC和出端口映射.MAC转发表通过源地址学习功能得到.所以二层交换机包含
两个重要的过程:
- MAC地址学习:
源地址学习,利用接收数据帧中的源MAC地址来建立MAC地址表,主要有MAC,PORT,老化时间和VLAN - 报文转发:
交换机在自己的MAC地址表中查找数据帧中的MAC地址,如果找到,就将该数据帧发送到相应的端口,如果找不到,就向
本VLAN内的其他所有端口转发该报文
三层交换机原理
三层交换机使用硬件来实现数据包转发功能,转发的依据是三层硬件转发表.
三层硬件转发表的建立需要路由表的辅助,路由表的建立和维护需要由软件来实现.
三层交换也包含两个重要的过程:
1.地址学习:
主要用来生成硬件转发表,表项主要有目的IP地址,VLAN, Port和下一跳MAC,该转发表由软件生成.学习完形成表项后,转发
过程由硬件完成.
2.报文转发:
统一数据流,只需要分析首个数据包的IP地址进行路由查找,完成的一个数据包的转发后,三层交换机会在二层上建立快速转发映射.
后续报文则是因为已经学习到转发表项,完全由硬件来完成,这就是所谓的
“一次路由多次交换”
H3C
网络层:编址和路由
- 网络地址:
IP地址: 网络地址10.
主机地址8.2.48 - 网络层地址由两部分地址组成:网络地址和主机地址.网络地址是
全局唯一的. - 可路由协议:IP, IPX
- 路由协议:RIP OSPF BGP等
数据链路层
- 局域网数据链路层分为2个子层:
LLC子层和MAC子层 MAC地址有48bit,用16进制数表示
厂商编号(24bit),序列号(24bits)会话层协议:
-> SQL,NFS,RPC等- 表示层协议:
-> ASCLL,MPEG,JPEG等 - 应用层协议:
-> 文字处理,邮件,电子表格等
SNMP
SNMP :是一种简单网络管理协议,它属于TCP/IP五层协议中的应用层协议,,用于网络管理的协议.SNMP主要用于网络设备管理.
SNMP协议主要由两部分构成:SNMP管理站和SNMP代理.
- SNMP管理站是一个中心节点,负责收集维护各个SNMP元素的信息.并对这些信息进行处理,最后反馈给管理员.
- SNMP代理是运行在各个被管理的网络节点之上,负责统计该节点的各项信息,并负责与SNMP
管理站交互.接收执行管理站命令,上传各种本地网络信息- SNMP管理站和SNMP代理之间是松散耦合.他们之间的通信是通过UDP协议完成.通常SNMP管理站
通过UDP协议向SNMP代理发送命令,SNMP代理接收到命令之后返回SNMP管理站需要的参数.但是当snmp代理检测到网络异常的时候
,也可以主动向SNMP管理站发送消息,通告当前异常状况.
SNMP的基本思想:为不同种类的设备,不同的厂家生产的设备,不同型号的设备,定义为一个统一的接口和协议.
使得管理员可以是使用统一的外观面对这些需要管理的网络设备进行管理..通过网络,管理员可以管理位于不同物理空间的设备
,从而大大提高网络管理的效率,简化网络管理员的工作.
SNMP 的实现结构
SNMP为管理员提供了一个网络管理平台(NMS),又称为[管理站],负责网管命令的发出,数据存储,及数据的分析.[被]监管的设备上运行一个SNMP代理(Agent),代理实现设备与管理站的SNMP通信.
管理站与代理端通过MIB进行接口统一,MIB定义了设备中被管理对象.管理站和代理都实现了相应的MIB对象,使得双方可以识别对方的数据,实现通信.管理站向代理申请MIB中定义的数据,代理识别后,将管理设备提供的相关状态和参数等数据转换为MIB定义的格式,应答给管理站,完成一次管理操作.
SNMP有关的基本概念
代理和管理站的模型
SNMP分两种角色:SNMP管理站(manager , 本机127.0.0.1)和SNMP代理(agent, 我们要操作的机器,比如192.168.1.144).
管理站指的是运行了可以执行网络管理任务软件的服务器,通常被称作网络管理工作站(NMS),NMS负责采样网络中的agent的信息,并接受agent的trap. 代理是实际网络设备中用来实现SNMP功能的不封.代理在UDP的161端口接收NMS的读写请求消息,管理站在UDP的162端口接收代理的事件通告消息.所以,一旦获取设备的访问权限(community,默认为public), 就可以访问设备信息,改写的配置设备参数,由于采用UDP协议,不需要在代理和管理站之间保持连接
SNMP的操作命令
SNMP协议之所以易于使用,这是因为它对外提供了三种用于控制MIB对象的基本操作命令,它们是:Get, Set,Trap.
- Get : 管理站读取代理者处对象的值.它是SNMP协议中使用率最高的一个命令,因为该命令是从网络设备
获取管理信息的基本方式.- Set : 管理站设置代理者对象值.它是一个特权命令,因为可以通过它来改动设备的配置或控制设备的运转状态.它可以
设置设备的名称,关掉一个端口或清除一个地址解析表中的项.- Trap : 代理者主动向管理站通报重要的事件.它的功能就是在网络管理系统没有明确要求的前提下,由管理代理通知网络管理系统有一些特别的情况或问题发生了.如果发生意外,客户会向服务器的162端口发送一个消息,告知服务器制定的变量发生了变化,通常由服务器请求而获得的数据由服务器的161端口接收,Trap消息可以用来通知管理站线路的故障,连接终端和恢复,认证失败等消息.管理站可相应的作出处理.
SNMP的消息构成
SNMP协议定义了数据包的格式,及网络管理员和管理代理之间的信息交换,它还控制着管理代理的MIB数据对象.因此,可用于处理管理代理定义的各种任务.一个SNMP信息由”版本号”,”SNMP共同体名”和”协议数据单元(PDU)”构成,
版本标识符|团体名|PDU
- 版本标识符: 用于书名现在使用的是哪个版本的SNMP协议,确保SNMP代理使用相同的协议,每个SNMP代理都直接抛弃与自己协议版本不同的数据报.
- 团体名: 团体是基本的安全机制,用于实现SNMP网络管理员访问SNMP管理代理时的身份验证.类似于密码,默认值为public. 团体名是管理代理的口令,管理员被允许访问数据对象的前提就是网络管理员知道网络代理的口令.如果把配置管理代理成为执行Trap命令,当网络管理员用一个错误的分区名查询管理代理时,系统就发送一个autenticationFailure trap 报文.
- 协议数据单元(PDU):PDU (协议数据单元)是SNMP消息中的数据区,即SNMP通信时报文数据的载体.PDU指明了SNMP的信息类型及相关数据.
PDU (协议数据单元)
PDU(协议数据单元)是SNMP消息中的数据区,即SNMP通信时报文数据的载体.
MIB(管理信息库)
管理信息(MIB)库可以理解成为agent维护的管理对象数据库,MIB中定义的大部分管理对象的状态和统计信息都可以被NMS访问。MIB是一个按照层次结构组织的树状结构,每个被管对象对应树形结构的一个叶子节点,称为一个object,拥有唯一的数字标识符.
OID(Object Identifier)
每个管理对象都有自己的OID(Object Identifier),管理对象通过树状结构进行组织,OID由树上的一系列整数组成,整数之间用点( . )分隔开,树的叶子节点才是真正能够被管理的对象。
地址
NAT配置
- 地址
NAT(Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访。
A类私有地址:10.0.0.0~10.255.255.255
B类私有地址:172.16.0.0~172.31.255.255
C类私有地址:192.168.0.0~192.168.255.255
路由器支持NAT类型
静态NAT,PAT,内部服务器,NATALG功能,NAT过滤,NAT映射,Easy IP,两次NAT及NAT多实例.
静态NAT
静态NAT实现私有网址和公有网址的一对一转换.有多少私有地址就需要配置多少个公网地址.静态NAT不能节约公网地址,但可以起到隐藏内部网络的作用.
内部网络向外部网络发送报文时,静态NAT将报文的源IP地址替换为对应额公网地址;外部网络向内部网络发送
响应报文时,静态NAT将报文的目的地址转换为相应的私网地址.
PAT
PAT 又称NAPT(Network Adress Port Translation),它实现一个公网地址和多个私网地址之间的映射,因此可以节约公网地址.PAT的基本原理是将不同的私网地址的报文的源IP地址转换为同一个公网地址,但他们转换为该地址的不同端口号,因此仍然能够共享同一地址.
PAT 需要维护一张私网地址和端口映射表.当不同的私网地址向外发送报文是,PAT 将报文的源IP地址跟换为相同的公网地址,但源端口被替换为不同的端口号;当外部网络向内部网络发送响应报文时,PAT根据报文的目的端口号,将报文的目的IP地址替换为不同的私网地址.
NAT过滤
NAT过滤是指NAT设备对外网发到内网的流量进行过滤,即当私网主主机向某公网主机发起访问后,公网主机发向私网主机的流量经过NAT设备时会进行过滤.
Easy IP
当进行地址转换时,直接使用借口的公有IP地址作为转换后的源地址.同样它也使用访问控制列表控制那些内部地址可以进行地址转换.
地址转换应用层网关
地址转换会导致许多NAT敏感的应用协议无法正常工作,必须针对该协议进行特殊的处理.所谓对NAT敏感的协议是指该协议的某些报文的有效载荷中携带IP地址和(或)端口号,如果不进行特殊处理,将会影响后继的协议交互..
地址转换应用层网关 NAT ALG(NAT Application Level Gateway) 是解决特殊协议穿越NAT的一种常用方式,该方法按照地址转换规则,对载荷中的IP地址和端口号进行替换,从而实现对该协议的透明中继. NAT ALG支持DNS,FTP协议,RTSP(实时流协议)和SIP.
两次NAT
常规地址转换技术只转换报文的源地址或目的地址,而两次NAT技术可以将报文的源地址和目的地址同时转换,该技术应用于内部网络主机地址与公网主机地址重叠的情况.
两次NAT技术通过在NAT设备上配置重叠地址池到临时地址的映射关系(在实现常规NAT的基础上), 将重叠地址转换为唯一的临时地址,来保证报文的正确转发.
在NAT设备上配置两次NAT:
第一步:配置常规NAT(多对多地址转换)。配置NAT地址池200.0.0.1~200.0.0.100,并应用到广域网接口。
第二步:配置一组重叠地址到临时地址的映射。10.0.0.0<-->3.0.0.0。
此映射表示,重叠地址池与临时地址池一一对应,转换规则为:
临时地址 = 临时地址池首地址 +(重叠地址 – 重叠地址池首地址)
重叠地址 = 重叠地址池首地址 +(临时地址 – 临时地址池首地址)
当内部主机PC2直接用域名访问公网上的主机PC3时,报文的处理流程如下:
PC2发送解析域名为www.web.com的Web服务器的DNS请求,经公网DNS服务器解析后,NAT设备收到DNS服务器的响应报文。NAT设备检查DNS响应报文载荷中的解析回来的地址10.0.0.1,经检查该地址为重叠地址(与重叠地址池匹配),将地址10.0.0.1转换为对应的临时地址3.0.0.1。之后再对DNS响应报文进行目的地址转换(常规NAT处理),发送给PC2。
PC2用www.web.com对应的临时地址3.0.0.1发起访问,当报文到达NAT设备时,先转换报文的源地址(常规NAT处理),再将报文的目的地址即临时地址,转换为对应的重叠地址10.0.0.1。将报文送到广域网出接口,并经广域网逐跳转发至主机PC3。
当PC3给PC2返回的报文到NAT设备时,先检查报文的源地址10.0.0.1,该地址为重叠地址(与重叠地址池匹配),则将源地址转换为对应的临时地址3.0.0.1。之后再对返回报文的目的地址进行常规NAT转换,并发送给PC2。
VPN关联的源NAT
华为路由器的NAT不仅可以是内部网络的用户访问外部网络,还允许分属于不同不同VPN的用户通过同一个出口访问外部网络,
能够解决内部网络中IP地址重叠的VPN同时访问外部主机的问题.
VPN关联的NAT Server
华为路由器的NAT支持VPN关联NAT Server,提供外部网络访问NAT内主机的机会,能够支持内网多个VPN地址重叠的场景.
VRRP协议
- 学习转自地址
VRRP协议是一种容错协议,它通过吧几台路由设备联合组成一台虚拟的路由设备,并通过一定的机制来保证当主机的下一跳
设备设备出现故障时,可以即使将业务切换到其他设备,从而保持通讯的连续性和可靠性.
VRRP将局域网内的一组路由器划分在一起,组成一个备份组.备份组由一个Master路由和多个Backup路由组成,功能上相当与一台虚拟路由器.局域网内注册主机,只需要知道这个虚拟路由IP地址,并不需要知道某台设备的IP地址,将网络内主机的缺省网关设置为该虚拟路由器的IP地址,主机就可以利用该虚拟网关与外部网络进行通信.
VRRP将该虚拟路由器动态关联到承担传输的物理路由器上,当该物理路由器出现故障时,在此选择新的路由器去接替业务传输工作,整个过程对用户完全通明,实现了内部网络对外部网络的不断通信.
反向代理
反向代理(Reverse Proxy)方式是指以代理服务器来接收Internet上的连接请求,然后将请求转发给网络上的服务器,并将
从服务器上得到的结果返回给Internet上请求的客户端,此时代理服务器对外表现为一个服务器.
- 反向代理服务器的原理:
1.作为内容服务器的替身
- 作为内容服务器的负载均衡器
