物理层(网线)、数据链路层(交换机)、网络层(IP协议、ARP协议、ICMP协议、路由器)、VLAN(虚拟局域网)、HSRP协议、ACL、NAT
文章目錄
- 物理層(Physic Layer)
- 數(shù)據(jù)鏈路層(2層 Data Link Layer)
- 1、幀結構:
- 2、幀格式:
- 3、工作在數(shù)據(jù)鏈路層的設備: 交換機/網(wǎng)卡
- 4、交換機基本的工作原理:MAC地址表
- 5、交換機的端口:
- 6、交換機5大基本工作模式及命令(支持縮寫,思科)
- 9、快捷鍵
- 10、交換機開機動作
- 網(wǎng)絡層(3層)
- 1、IP包頭分析
- 2、路由器
- 3、路由器基本的原理:路由表,ip協(xié)議
- 4、路由器的工作原理
- 5、ARP協(xié)議
- 6、ICMP協(xié)議
- VLAN:Virtual LAN(虛擬局域網(wǎng))
- HSRP(Hot Standby Router Protocol)
- ACL
- NAT(Network Address Translations)
物理層(Physic Layer)
1、設備(介質):網(wǎng)線/光纖/空氣
2、比特bit
8bit=1Byte
1024B=1KB
1024KB=1MB
1024MB=1GB
1024GB=1TB
1024TB=1PB
3、信號
電信號(模擬信號:抗干擾能力弱:放大器、數(shù)字信號:抗干擾能力強:中繼器)
光信號
4、光纖
單模光纖、多模光纖:傳播距離遠的話單模好一點,近距離兩者差不多
5、網(wǎng)線/雙絞線
5類雙絞線
超5類雙絞線
6類雙絞線:基于超5類增強抗干擾能力
7類雙絞線
T568A:白綠、綠、白橙、藍、白藍、橙、白棕、棕
T568B:白橙、橙、白綠、藍、白藍、綠、白棕、棕
網(wǎng)線的用途分類:
1)交叉線:一端為A,一端為B。同種設備(3層及以上的設備可視為同種設備)之間使用!
2)直通線:兩端都為A或B(市面上都是B)。異種設備之間使用!
3)全反線:一端為A,另一端為反A,也稱為console線
數(shù)據(jù)鏈路層(2層 Data Link Layer)
1、幀結構:
2、幀格式:
802.3:有線網(wǎng)卡
802.11:無線網(wǎng)卡
類型:0x0800:IP協(xié)議、0x0806:ARP協(xié)議,長度:2字節(jié)
作用:識別上層協(xié)議,為上層提供服務
MAC地址:全球唯一,長度:48位,6字節(jié)
3、工作在數(shù)據(jù)鏈路層的設備: 交換機/網(wǎng)卡
4、交換機基本的工作原理:MAC地址表
檢查幀頭,根據(jù)源MAC地址動態(tài)的生成MAC地址表,再匹配目標MAC地址,如沒有則廣播轉發(fā)幀,有則單播轉發(fā)
老化時間:PC1和交換機1斷開連接,等待300秒后MAC地址表里的數(shù)據(jù)會自動消失
這時PC2連接到了PC1原來的端口,則交換機1會立即更新PC2的綁定記錄
例如:PC1給PC4發(fā)送信息
1)首先將幀由PC1經(jīng)過端口F0/1發(fā)送到交換機1中
2)交換機1檢查MAC地址表中沒有這個記錄,然后將源MAC地址與接口的對應記錄添加到表中并廣播轉發(fā)
3)PC2收到之后會當作垃圾丟掉,交換機2收到后會檢查自己的MAC地址表,發(fā)現(xiàn)沒有則添加相應的記錄并除接收端外廣播轉發(fā)
4)PC3收到后會當作垃圾丟掉,PC4則成功收到幀,并進行解封裝后收到消息
PC4回復PC1的消息
1)PC4將幀經(jīng)由F0/1端口發(fā)送到交換機2
2)交換機2檢查MAC地址表中沒有源MAC地址這個記錄,然后將源MAC地址與端口的對應記錄添加到表中并發(fā)現(xiàn)有目標MAC地址的記錄,然后將幀經(jīng)F0/2接口單播轉發(fā)至交換機1
3)交換機1發(fā)現(xiàn)沒有源MAC地址的記錄,然后將相應的記錄添加至表中,再檢查到有目標MAC地址的記錄,單播轉發(fā)至PC1,解封裝后收到信息
5、交換機的端口:
E:10Mb
F:100Mb
G:1000Mb
Te:10000Mb
F0/1:0是模塊號,1是端口號
接口速率自適應:1000/100/10Mb自適應
速率工作模式可以是1000/100/10任何一種狀態(tài)
端口狀態(tài):up/down
down的三種可能:
1)人工down掉
2)速率不匹配down掉
3)雙工模式不匹配(雙工duplex)
雙工模式:單工、半雙工、全雙工
6、交換機5大基本工作模式及命令(支持縮寫,思科)
第一次配置網(wǎng)絡設備,需要使用console線,在pc上需要使用“超級終端”軟件。
1)用戶模式:
switch>
可以查看交換機的基本簡單信息,但不能做任何修改配置!
2)特權模式:用戶模式輸入命令enable簡化---->en命令進入特權模式
switch#
可以查看交換機的所有配置,不能修改配置,但是可以做測試、保存、初始化等操作
reload:重啟,內存中的數(shù)據(jù)都會丟失
show:查看,例如show mac-address-table:查看MAC地址表,show ip interface brief:查看接口狀態(tài)列表
write|cpoy running-config startup-config:將設置保存到硬盤
erase startup-config:清空配置文件
特權模式的命令前面加do后都可以在其他模式使用,但是不能自動補全了
3)全局配置模式:特權模式下輸入configure terminal簡化---->conf t進入全局配置模式
switch(config)#
默認不能查看配置,可以修改配置,且全局生效!
hostname 新用戶名:修改用戶名,立即生效
enable password 新密碼|enable secret 新密碼:設置明文/密文(在running-config文件中是否加密)特權密碼,兩個同時配置明文密碼失效
no ip domain-lookup:關閉自動解析功能
ip defalut-gateway ip:配置網(wǎng)關
line vty 0 4:全局配置模式中,進入虛擬終端,開啟遠程控制,默認打開23(telnet),可以有4個同時控制
int vlan 1:全局配置模式下,進入虛擬端口,配置遠程控制telnet,可以給這個端口(有一臺虛擬pc)配IP,然后就可以同網(wǎng)段遠程管理了,跨網(wǎng)段的話還需要配置網(wǎng)關
4)接口配置模式:全局配置模式下輸入interface 接口名簡化---->int 接口名進入接口模式
switch(config-if)#
默認不能查看配置,可以修改配置,且對該接口生效!
exit:退出一級
end:直接退到特權模式
shutdown:手工關閉接口
no 以前配置的命令:刪除這條命令,在哪模式配的在哪刪
ip address ip 子網(wǎng)掩碼:為3層端口配IP(只有3層及3層以上的設備才有IP地址,另外3層設備的端口默認是人工關閉的,需要手動開啟no shut,2層設備的端口默認是開啟的)
5)console口/線/控制臺模式:全局配置模式下輸入line console 0---->line co 0進入console口模式
switch(config-line)#
默認不能查看配置,可以修改配置,且對console口生效!
password 密碼:設置用戶密碼
login:開啟身份驗證
exit
7、字母+?可以提示命令
8、Tab補全鍵
9、快捷鍵
ctrl+u:快速刪除光標前所有的字符
ctrl+a:快速定位光標到行首
ctrl+e:快速定位光標到行尾
10、交換機開機動作
先去硬盤中查找有無startup-config文件,如果沒有,則在內存中創(chuàng)建一個新的running-config文件,如果存在,則復制到內存中并改名為running-config。真正有效的是running-config文件,startup-config文件只是為了保證關機不消失。
網(wǎng)絡層(3層)
1、IP包頭分析
長度:20(最小)-60字節(jié)
版本(4bit):表示IPV4或者IPV6
首部長度(4bit):單位是4字節(jié),表示IP包頭的長度
優(yōu)先級與服務類型(8bit):前3位表示優(yōu)先級,中間4位表示服務類型,最后一位沒啟用
總長度(16bit):IP包的長度
IP分片(網(wǎng)絡層,為了防止DDOS攻擊現(xiàn)在一般在應用層進行):一個幀只能存1500個字節(jié)的上三層數(shù)據(jù),所以總長度超過1500要進行分片。分幾片就復制幾份IP包頭,IP包頭除底下這三個值(還原的時候看)不一樣之外,其他都一樣。
標識符(16bit):標識同一個報文內的所有分片。
標志(3bit):第一位沒啟用一直是0;第二位是1則代表沒分片,0代表分片;第三位是1則代表不是最后一個分片,0代表是最后一片。
段偏移量(13bit):決定分片的先后順序(一般是1480*(n-1),n表示第幾片)。
TTL(8bit):Time To Live:存活時間,0-255,防止一個數(shù)據(jù)包在網(wǎng)絡上永久的循環(huán)下去(每經(jīng)過一臺路由器就減一)
協(xié)議號(8bit):和類型的作用一樣,用來標識上層封裝的協(xié)議是誰,6是TCP,17是UDP,1是ICMP
首部校驗和(16bit):校驗的是IP包頭
原地址(32bit):IP地址
目標地址(32bit):IP地址
2、路由器
路由:跨越源主機到目標主機的一個互聯(lián)網(wǎng)絡來轉發(fā)數(shù)據(jù)包的過程(路由器為IP包選擇路徑的過程)
路由器:擁有路由能力的機器,作用:連接不同網(wǎng)段的(內網(wǎng)與外網(wǎng))
3、路由器基本的原理:路由表,ip協(xié)議
路由條目存儲的是網(wǎng)段和端口的對應關系
直連路由條目:配好IP,開啟端口之后就會自動形成,用C表示
靜態(tài)路由條目:手工配置的,用S表示ip route 目標網(wǎng)段 子網(wǎng)掩碼 下一跳IP地址
默認路由條目:用S*表示,網(wǎng)段和子網(wǎng)掩碼都為0,表示所有網(wǎng)段,適合邊緣路由器ip route 0.0.0.0 0.0.0.0 下一跳IP地址
浮動路由條目:作為備用選項,配置管理距離值,優(yōu)先級低的會隱藏起來ip route 目標網(wǎng)段 子網(wǎng)掩碼 下一跳IP地址 管理距離值
路由表里有相應的路由條目才會進行轉發(fā),沒有則丟棄,進行反饋
管理距離值:在路由表里C的默認值為0,S默認為1,S*默認為無窮大
優(yōu)先級和管理距離值成反比
路由器的一些命令
show ip route:特權模式,查看路由表
ip domain-name 域名:全局模式下,起個域名(不是真的域名只是叫這個而已)
crypto key generate rsa 長度:全局模式下,生成rsa的密鑰對
line vty 0 4:全局配置模式中,進入虛擬終端,開啟遠程控制,默認打開23(telnet),可以有4個同時控制
password 新密碼:設置telnet連接密碼
login:啟用密碼驗證
transport input 協(xié)議名:可以切換遠程控制協(xié)議
login local:啟用本地數(shù)據(jù)庫驗證
username xxx password xxx:全局配置模式下,創(chuàng)建用戶名和密碼
4、路由器的工作原理
5、ARP協(xié)議
1、廣播與廣播域
- 廣播:將廣播地址作為目的地址的數(shù)據(jù)幀
- 廣播域:網(wǎng)絡中能接收到同一個廣播所有節(jié)點的集合(越小越好)
交換機不能隔離廣播域,路由器可以(圈代表廣播域)
2、MAC廣播地址:FF-FF-FF-FF-FF-FF(所有)
3、IP廣播地址:255.255.255.255(全局廣播)、網(wǎng)段廣播:主機位為255
4、什么是ARP協(xié)議
ARP:Adress Resolution Protocol:地址解析協(xié)議
作用:在內網(wǎng)將已知的IP地址解析成MAC地址
5、ARP原理
-
發(fā)送ARP廣播請求
- PC1發(fā)送數(shù)據(jù)給PC2,查看緩存沒有PC2的MAC地址,PC1發(fā)送ARP請求消息(廣播)
ARP報文內容:我是10.1.1.1 我的mac:AA 誰是10.1.1.3 你的mac:?
- PC1發(fā)送數(shù)據(jù)給PC2,查看緩存沒有PC2的MAC地址,PC1發(fā)送ARP請求消息(廣播)
-
接收ARP單播應答
- 所有主機收到ARP請求消息,PC2回復ARP應答(單播),其他主機丟棄
PC1將PC2的MAC保存在緩存中,發(fā)送數(shù)據(jù)
內網(wǎng)通信請求的是目標主機的MAC地址,外網(wǎng)通信請求的是網(wǎng)關(路由器)的MAC地址
ARP報文:28字節(jié)
Windows系統(tǒng)中的ARP命令:arp -a:查看本機的ARP緩存表 arp -d:清除ARP緩存 arp -s:ARP綁定Cisco系統(tǒng)中的ARP命令:Router#show arp:查看本機的ARP緩存表 Router#clear arp-cache:清除ARP緩存 Router(config)#arp ip地址 MAC地址 arpa:ARP綁定ARP緩存表是后來居上(后響應的ARP報文會覆蓋原來的數(shù)據(jù)),ARP協(xié)議沒有身份驗證機制,不管是單播還是廣播都會存進緩存中
6、ARP攻擊原理
通過發(fā)送偽造的虛假的ARP廣播或者單播報文以及虛假偽造的MAC地址來進行攻擊
目的:終止通信/斷網(wǎng),容易被發(fā)現(xiàn)
7、ARP欺騙原理
中間人攻擊
通過發(fā)送偽造的虛假的ARP廣播或者單播報文和自己的MAC地址來實現(xiàn)欺騙
目的:監(jiān)聽、竊取、篡改、控制流量,但不中斷通信!
-
ARP欺騙主機
-
ARP欺騙網(wǎng)關
也可以說是攻擊者通過虛假偽造的ARP報文對受害者進行ARP緩存投毒
8、ARP攻擊的防御
缺點:工作量大!建議用在公司的主要服務器上
缺點:網(wǎng)關受不了了,增加網(wǎng)絡負擔,成功率不是100%
DAI技術:D:DHCP、AI:ARP檢測偵察技術(依賴于DHCP記錄表),將攻擊拍死在萌芽之中
交換機支持端口做動態(tài)ARP綁定(配合DHCP服務器)或做靜態(tài)綁定
6、ICMP協(xié)議
作用:網(wǎng)絡探測與回饋機制,適用于任何協(xié)議
1.網(wǎng)絡探測
2.路由跟蹤 Windows:tracert ip地址、Linux或路由:traceroute ip地址
3.錯誤反饋
ICMP封裝格式:
ICMP頭:ICMP類型、代碼
ICMP類型:8代表ping請求、0代表ping應答、3代表目標主機不可達、11代表TTL超時
代碼:目標主機不可達時分類
VLAN:Virtual LAN(虛擬局域網(wǎng))
控制廣播=隔離廣播域
路由器隔離廣播(物理隔離):缺點:成本高、不靈活
1、VLAN是干什么的?
采用新的技術VLAN來控制廣播,VLAN技術是在交換機上實現(xiàn)的,且是通過邏輯隔離劃分的廣播域
不同VLAN之間不能通信,交換機首先查看是從哪個端口出來的然后比對VLAN表看是在哪個VLAN,然后再根據(jù)MAC地址表轉發(fā),經(jīng)過端口時會再次查看VLAN表進行比對,不是同一VLAN則丟棄幀
2、一個VLAN=一個廣播域=一個網(wǎng)段
VLAN是二層技術
3、VLAN 的類型
-
靜態(tài)VLAN:手工配置,基于端口劃分的VLAN
-
動態(tài)VLAN:手工配置,基于MAC地址劃分的VLAN
4、靜態(tài)VLAN命令
每個交換機都有默認的VLAN1,所有端口默認都在VLAN1中
5、Trunk:解決跨交換機的相同VLAN通信的問題
中繼鏈路:不屬于任何VLAN,同時允許任何VLAN的數(shù)據(jù)從這里通過
通過在數(shù)據(jù)幀加上標簽(交換機上)來區(qū)分不同VLAN的數(shù)據(jù)
標簽:802.1q標簽:公有協(xié)議,所有廠家都支持,標簽大小4字節(jié),屬于內部標簽。
交換機端口鏈路類型:
配置trunk命令:
int f0/xswitchport trunk encapsulation dot1q/islswitchport mode trunkexit6、單臂路由:解決不同VLAN之間無法通信的問題
第一步:配置路由器的接口,3層接口無法設置trunk
第二步:將F0/3設為trunk端口
int f0/3switchport trunk encapsulation dot1qswitchport mode trunkexit原理:
PC1(左)給PC2(右)發(fā)信息,首先查看是否在同一網(wǎng)段,發(fā)現(xiàn)不是則發(fā)給網(wǎng)關,發(fā)現(xiàn)沒有網(wǎng)關的mac地址,則發(fā)送ARP廣播請求網(wǎng)關的mac地址,得到網(wǎng)關的mac地址后發(fā)送至交換機,交換機查看vlan表發(fā)現(xiàn)是vlan10來的數(shù)據(jù),然后查看MAC地址表進行轉發(fā),經(jīng)過端口F0/3時加上標簽10,f0/0.1收到數(shù)據(jù)后轉給f0/0.2,f0/0.2加上標簽20后發(fā)往交換機,交換機進行轉發(fā)。
單臂路由缺點:1.網(wǎng)絡瓶頸、2.容易發(fā)生單點物理故障(所有子接口依賴于總物理接口)、3.vlan間通信的每一個幀都要進行單獨路由
DHCP中繼
可以讓DHCP廣播包單播轉發(fā)給DHCP服務器
在路由器上配置:哪個VLAN需要幫助就在哪個接口上配,只有DHCP服務器所在的接口不用配
在三層路由器上部署DHCP服務器:
7、三層交換技術
實現(xiàn)不同VLAN的通信,代替單臂路由
1)三層交換機=三層路由器+二層交換機
2)三層路由引擎可以自由關閉
3)三層交換機的優(yōu)點:
與單臂路由相比:解決了網(wǎng)絡瓶頸問題、解決了單點故障(虛擬接口不再依賴物理接口)、一次路由永久交換
4)三層交換機上開啟虛接口(配置VLAN的網(wǎng)關)
5)二層端口升級為三層端口,可以連接外網(wǎng)
int f0/xno switchportexitHSRP(Hot Standby Router Protocol)
HSRP:Cisco私有的協(xié)議
VRRP:公有的協(xié)議
原理都差不多一樣
熱備份路由協(xié)議:實際上備份的是網(wǎng)關,在路由器上配置
作用:在一個網(wǎng)關出現(xiàn)故障的時候,可以自動的切換到另一個備份網(wǎng)關上面,繼續(xù)上網(wǎng)
原理:員工網(wǎng)關指向虛擬路由器,由虛擬路由器轉發(fā)給活躍路由器
兩個網(wǎng)關加入同一個HSRP組:id1-255,無大小之分
加入同一個組之后在這個組里會產(chǎn)生一個虛擬路由器(也連接到這個局域網(wǎng)),配置虛擬IP地址standby 1 ip xxxxx
HSRP組里的成員:
虛擬路由器(老大,無優(yōu)先級)
活躍路由器
備份路由器
其他路由器
HSRP優(yōu)先級:1-255standby 1 priority 優(yōu)先級
默認為100,越大優(yōu)先級越高
HSRP組成員通過定時發(fā)送hello包來交流,默認每隔3秒
hello時間3秒,堅持時間10秒(得不到回信備份路由器就篡位了)
占先權preempt:不用等堅持時間standby 1 preempt
當檢測不到對方(路由器網(wǎng)關接口壞了)或檢測到對方優(yōu)先級比自己低,立即搶占活躍路由的名分。
配置跟蹤track,跟蹤外網(wǎng)的端口狀態(tài),一旦外網(wǎng)端口down掉就自降優(yōu)先級!
STP協(xié)議:生成樹協(xié)議
交換機物理環(huán)路,會產(chǎn)生廣播風暴,STP協(xié)議會邏輯down掉一個接口,取消環(huán)路
ACL
Access Control List:訪問控制列表,一種包過濾技術,基于三層IP包頭的IP地址、四層TCP/UDP頭部的端口號[5層數(shù)據(jù)]來過濾
ACL在路由器上配置,也可以在防火墻上配置(一般稱為策略)
ACL主要分為兩大類:標準ACL/擴展ACL
表號:1-99
特點:只能基于源IP對包進行過濾
命令:
表號:100-199
特點:可以基于源IP、目標IP、端口號、協(xié)議等對包進行過濾
命令:
ACL表必須應用到接口的進或出的方向才生效!
一個接口的一個方向只能有一張ACL表!
進還是出方向取決于流量控制總方向
ACL表是嚴格自上而下檢查每一條,所以要注意書寫順序,越嚴格就越靠前
每一條是由條件和動作(permit允許、deny拒絕)組成,當流量沒有滿足某條件,則繼續(xù)檢查下一條
先判斷ACL寫的位置(哪個路由器的哪個接口的哪個方向???)
標準ACL盡量寫在靠近目標的地方
擴展ACL盡量寫在靠近源IP的地方
再考慮如何寫?
首先判斷最終要允許還是拒絕所有,然后將嚴格的控制寫在前面
一般情況下,標準或擴展ACL表一旦編寫好,無法修改或刪除某一條,也無法修改順序,無法在中間添加,只能在最后一條添加新的條目,或者刪了ACL重新寫一個表
作用:可以對標準或者擴展ACL進行自定義命名
優(yōu)點:自定義命名更加容易辨認,也便于記憶,可以任意修改或刪除某一條,也可以往中間插入
NAT(Network Address Translations)
NAT:網(wǎng)絡地址轉換,主要是實現(xiàn)公私有IP地址的轉換,一般是在路由器外網(wǎng)接口或防火墻上來完成,不建議在三層交換機上配置!
作用:解決ipv4地址嚴重不夠用了的問題 A B C三類可用
IP地址分為公網(wǎng)IP和私網(wǎng)IP
公網(wǎng)IP只能在公網(wǎng)上使用,私網(wǎng)IP只能在內網(wǎng)使用
公網(wǎng)上不允許出現(xiàn)私有IP!!!
私有IP可以重復在內網(wǎng)使用
私有地址范圍:在ABC三類中拿一些出來
NAT三大類:
靜態(tài)NAT:公司內部服務器使用,1對1映射,(靜態(tài)PAT,端口映射技術,手動在NAT地址轉換表配置IP和端口的對應)
動態(tài)NAT
PAT(Port Adress Translation:端口地址轉換也叫端口復用技術)
通過端口號來區(qū)分內網(wǎng)不同的人的,路由器自己生成的
命令:
總結
以上是生活随笔為你收集整理的物理层(网线)、数据链路层(交换机)、网络层(IP协议、ARP协议、ICMP协议、路由器)、VLAN(虚拟局域网)、HSRP协议、ACL、NAT的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 奇数值结点链表 (20 分)
- 下一篇: 【Minecraft java edit