网络相关知识

IP 地址与路由控制

IP地址的网络地址这一部分是用于进行路由控制。

路由控制表中记录着网络地址与下一步应该发送至路由器的地址,在主机和路由器上都会有各自的路由器控制表。

在发送 IP 包时,首先要确定 IP 包首部中的目标地址,再从路由控制表中找到与该地址具有相同网络地址的记录,根据该记录将 IP 包转发给相应的下一个路由器。如果路由控制表中存在多条相同网络地址的记录,就选择相同位数最多的网络地址,也就是最长匹配。下面以下图的网络链路作为例子说明:

主机 A 要发送一个 IP 包,其源地址是10.1.1.30和目标地址是10.1.2.10,由于没有在主机 A 的路由表找到与目标地址10.1.2.10的网络地址,于是把包被转发到默认路由(路由器1)

路由器1收到 IP 包后,也在路由器1的路由表匹配与目标地址相同的网络地址记录,发现匹配到了,于是就把 IP 数据包转发到了10.1.0.2这台路由器2

路由器2收到后,同样对比自身的路由表,发现匹配到了,于是把 IP 包从路由器2的10.1.2.1这个接口出去,最终经过交换机把 IP 数据包转发到了目标主机

IP 分片与重组

每种数据链路的最大传输单元MTU都是不相同的,如 FDDI 数据链路 MTU 4352、以太网的 MTU 是 1500 字节等。

每种数据链路的 MTU 之所以不同,是因为每个不同类型的数据链路的使用目的不同。使用目的不同,可承载的 MTU 也就不同。

其中,我们最常见数据链路是以太网,它的 MTU 是1500字节。

那么当 IP 数据包大小大于 MTU 时, IP 数据包就会被分片。

经过分片之后的 IP 数据报在被重组的时候,只能由目标主机进行,路由器是不会进行重组的。

假设发送方发送一个 4000 字节的大数据报,若要传输在以太网链路,则需要把数据报分片成 3 个小数据报进行传输,再交由接收方重组成大数据报。

在分片传输中,一旦某个分片丢失,则会造成整个 IP 数据报作废,所以 TCP 引入了MSS也就是在 TCP 层进行分片不由 IP 层分片,那么对于 UDP 我们尽量不要发送一个大于MTU的数据报文。

IPv6 基本认识

IPv4 的地址是 32 位的,大约可以提供 42 亿个地址,但是早在 2011 年 IPv4 地址就已经被分配完了。

但是 IPv6 的地址是128位的,这可分配的地址数量是大的惊人,说个段子IPv6 可以保证地球上的每粒沙子都能被分配到一个 IP 地址。

但 IPv6 除了有更多的地址之外,还有更好的安全性和扩展性,说简单点就是 IPv6 相比于 IPv4 能带来更好的网络体验。

但是因为 IPv4 和 IPv6 不能相互兼容,所以不但要我们电脑、手机之类的设备支持,还需要网络运营商对现有的设备进行升级,所以这可能是 IPv6 普及率比较慢的一个原因。

1.为什么要划分VLAN,使用VLAN

因为在传统的交换式以太网中,所有的用户(主机)都在同一个广播域中,当网络规模较大时,广播包的数量会急剧增加,当广播包占到总量的30%时,网络的传输速率将会明显下降。特别是当某网络设备出现故障后,会不停地向网络发送广播,从而导致广播风暴,使网络通信陷于瘫痪。

2. 为什么分隔广播域一定要使用VLAN,使用路由设备不是一样能分隔广播?

分隔广播域的确可以使用两种方法:

1.物理分隔(使用路由器)  2.逻辑分隔(VLAN)。

物理分隔:将网络从物理上划分为若干个小的网络,然后使用能隔离广播的路由设备将不同的网络连接起来实现通信。

逻辑分隔:将网络从逻辑上划分为若干个小的虚拟网络,即:VLAN(虚拟局域网)。VLAN工作在OSI参考模型的数据链路层,一个VLAN就是一个交换网络,其中的所有用户都在同一个广播域中,各VLAN通过路由设备连接实现通信。

但是使用物理分隔有很多缺点,它会使得局域网的设计缺乏灵活性,例如连接在同一台交换机上的用户只能划分在一个网络中,而不能划分在多个不同的网络中。VLAN的产生主要是为了给局域网的设计增加灵活性,VLAN使得网络管理员在划分工作组时,不在受限于用户所处的物理位置。VLAN可以在一个交换机上实现,也可以跨交换机实现。VLAN可以根据网络用户的位置、作用或部门等进行划分。

说说使用VLAN的几点好处。

VLAN具有灵活性和可扩展性等特点,使用VLAN技术有以下几点好处:

1. 控制广播:每个VLAN都是一个广播域,从而大大减少了广播对网络带宽的占用,提高了网络传输效率,并且如果一个VLAN出现广播风暴不会影响到其他的VLAN。

2. 增强网络安全性:由于只能在同一VLAN内的端口之间交换数据,不同VLAN的端口之间不能直接访问,因此VLAN可以限制个别主机访问的服务器等资源,所以通过划分VLAN可以提高网络的安全性。

3. 简化网络管理:对于交换式以太网,如果对某些用户重新进行网络分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,这样会增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的用户划分为一个逻辑网段,在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用VLAN技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。

VLAN有几种划分方法?说说其特点。

根据VLAN使用和管理的不同,可以把VLAN分为两种:静态VLAN和动态VLAN。

1.静态VLAN:也称为基于端口的VLAN,是目前最常用的VLAN实现方式。

静态VLAN就是明确指定交换机的端口属于哪个VLAN,这需要网络管理员手工配置。当用户主机连接到交换机端口时,就被分配到了对应的VLAN中,这种端口和VLAN的映射只是本地有效的,交换机之间不共享这一信息。

2. 动态VLAN:动态VLAN的实现方法有多种,目前最普遍的实现方法是基于MAC地址的动态VLAN。基于MAC地址的动态VLAN,是根据主机的MAC地址自动将其指派到合适的VLAN中,这种VLAN的划分方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他交换机时,VLAN不用重新配置。但这种方法的缺点是初始化时所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置任务是非常繁重的,所以这种划分方法通常不适用于大型局域网。

还有基于IP子网和协议划分的动态VLAN,基于IP子网的VLAN是通过所连接主机的IP地址划分子网,基于协议的VLAN是通过查看帧中类型字段来区分使用的网络协议,如IP、IPX、AppleTalk等。

我们现在来说一下VLAN有哪一些优点,

一.是可以有效的控制广播域的范围,前面说了每个VLAN是一个广播域,VLAN之间隔离广播域;

二.是VLAN 不受物理位置的闲置,可以灵活的构建工作组;

三.是各个VLAN之间不能直接进行通信,增强了局域网的安全性;

四.是增强了网络的健壮性,各个VLAN是独立了,一个VLAN出了问题不会影响其他的VLAN,缩小了故障范围

为方便管理规模不断扩大的网络,网络被分成了不同的自治系统

3.TRUNK(干道|中继)的作用?

TRUNK的作用就是使同一个VLAN能够跨交换机通信(TRUNK使不同交换机上的相同VLAN 的主机之间实现通信。

4.TRUNK的实现原理?

使用trunk的交换机给每个去往其他交换机的数据帧打上VLAN的标识,以区分不同的流量,保证同一VLAN的数据能够跨交换机通信。

5.在交换网络中,链路有几种类型?

在交换网络中,链路有两种类型:接入链路和中继链路。

接入链路:通常属于一个VLAN,即:主机与交换机之间的连接的链路就是接入链路。

中继链路:(TRUNK)可以承载多个VLAN,即:实现VLAN跨交换机通信的链路(交换机与交换机之间的链路)。中继链路常用来将一台交换机连接到其他交换机上,或者将交换机连接到路由器上。

BGP简介

边界网关协议BGP(Border Gateway Protocol)是一种实现自治系统AS(Autonomous System)之间的路由可达,并选择最佳路由的距离矢量路由协议。

BGP能够进行路由优选、避免路由环路、更高效率的传递路由和维护大量的路由信息。

虽然BGP用于在AS之间传递路由信息,但并不是所有AS之间传递路由信息都需要运行BGP。比如在数据中心上行的连入Internet的出口上,为了避免Internet海量路由对数据中心内部网络的影响,设备采用静态路由代替BGP与外部网络通信。

BGP协议是外部网关协议,目前使用最多的版本是BGP-4,通常简写为BGP。

由于互联网规模太大,使得自治系统AS之间路由选择非常困难。目前在互联网主干路由器中,一个路由表的项目早已经超过5万个网络前缀,如果使用链路状态协议,则每个路由器必须维持一个很大的链路状态数据库,对于这个大的主干网使用Dijkstra算法计算最短路径需要花费的时间会太长。可见,对于自治系统AS之间的路由选择,要使用OSPF协议那样代价作为度量来寻找最佳路由是不现实的。

比较合理的做法是在自治系统之间交换“可达性”信息。例如,告知相邻路由器:达到目的网路N可经过自治系统ASx。

基于上述情况,外部网关协议BGP 只能是力求寻找一条能够达到目的网络且比较好的路由,而并非最佳路由。BGP采用了路径向量路由选择协议

BGP特点

(1) 和谁交换:与其他AS的邻站BGP发言人交换信息

在配置BGP时,每一个自治系统的管理员要选择至少一个路由器作为该自治系统的“BGP发言人”,这里所谓的发言人就是该路由器可以代表整个自治系统与其他自治系统交互路由信息。BGP发言人往往就是BGP边界路由器

(2) 交换什么信息:交换的网络可达性的信息,即要达到某个网络所要经过的一系列AS

当BGP发言人相互交换了网络可达性信息后,各BGP发言就根据所采用的策略从收到的路由信息中找出到达各自治系统的较好路由。

(3) 多久交换:发生变化时更新有变化的部分

在BGP刚运行时,BGP的邻站是交换整个的BGP路由表。但是以后只需要在发生变换时更新有变化的部分。这样做对节省网络带宽和减少路由器的处理开销都有好处。

如对于上图,自治系统AS2的BGP发言人通知主干网的BGP发言人:“要到达网络N1、N2、N3和N4”可以经过AS2。主干网在收到这个通知后,就发出通知:“要达到N1、N2、N3和N4可沿路径(AS1,AS2)。”同理,主干网还可发出通知:“要到达网络N5、N6、N7可沿路径(AS3,AS2,AS1)”

从上面的讨论可以看出,BGP协议交换路由信息的节点数量级是自治系统个数的量级,这就比自治系统中的网络数少很多。要在许多自治系统之间寻找一条较好的路径,就是寻找正确的BGP发言人(或边界路由器),而在每个自治系统中BGP发言人的数目就很少。

此外,BGP支持无分类域间路由选择CIDR,因此BGP路由表中包括目的网络前缀,下一跳路由器,以及达到该目的网络所要经过的自治系统序列

BGP的四种报文

四种报文:

(1)OPEN(打开)报文:用来与相邻的另一个BGP发言人建立关系,并认证发送方。

两个邻站数据不同的AS,其中一个邻站打算和另一个邻站定期交换路由信息,就必须发送一个OPEN报文,如果邻站接受(如果邻站路由器已经负荷很重可能就会拒绝),就用KEEPALIVE报文响应。这样,两个BGP发言人的邻站关系就建立。

(2)UPDATE(更新)报文:通告新路径或撤销原路径。

UPDATE报文是BGP协议的核心内容,BGP发言人可以用UPDATE报文撤销它以前曾经通知过的路由,也可以宣布增加的新的路由。

(3)KEEPALIVE(保活)报文:在无UPDATE时,用来周期性证实邻站的连通性,也作为OPEN的确认。

一旦邻站关系建立,就要维持这种关系的建立。为此,两个BGP发言人彼此要周期性地交换保活报文。保活报文很小,不会造成太大的网络开销。

(4)NOTIFICATION(通知)报文:用来发送检测到的错误,或者用于关闭连接。

如果接收到的一个报文有问题,就可以使用通知报文告知发送方。

RIP是一种分布式的基于距离向量的内部网关路由选择协议,通过UDP报文来交换路由信息,是应用层协议。

OSPF是一种基于链路状态协议的内部网络路由选择协议,交换的信息量大,所以不使用传输层协议,而直接采用IP数据报传送,是网络层协议。

BGP是一个基于路径向量协议的外部网关协议,在不同的自治系统之间交换路由协议,采用TCP报文交换路由协议,是应用层协议。

PKI

Public Key Infrastructure(PKI),中文叫做公开密钥基础设施,也就是利用公开密钥机制建立起来的基础设施。

构成PKI的主要要素就是下面三个概念:证明书,认证机关,证书库

1. 认证中心CA(证书签发)

CA是PKI的”核心”,即数字证书的申请及签发机关,CA必须具备权威性的特征,它负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上

验证用户的身份,CA还要负责用户证书的黑名单登记和黑名单发布

2. X.500目录服务器(证书保存)

X.500目录服务器用于”发布”用户的证书和黑名单信息,用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。

3. 具有高强度密码算法(SSL)的安全WWW服务器(即配置了HTTPS的apache)

Secure socket layer(SSL)协议最初由Netscape 企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。

4. Web(安全通信平台)

Web有Web Client端和Web Server端两部分,分别安装在客户端和服务器端,通过具有高强度密码算法的SSL 协议保证客户端和服务器端数据的机密性、完整性、身份验证。

5. 自开发安全应用系统 自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。完整的PKI包括:

PKI:公钥基础设施。支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。

完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分。

简单地说,构成PKI的要素只有三个。1、数字证书2、认证机构3、证书库

其中,认证机构即数字证书的申请及签发机关,CA是PKI的核心,其必须具备权威性的特征。CA的功能有:证书发放、证书更新、证书撤销和证书验证。

CA的数字签名保证了证书(实质是持有者的公钥)的合法性和权威性。数字证书里面包含了用户的公钥和部分身份信息。公钥有两大类用途一个是用于验证数字签名,一个是用于加密信息。

PKI 是 Public Key Infrastructure 的缩写,其主要功能是绑定证书持有者的身份和相关的密钥对(通过为公钥及相关的用户身份信息签发数字证书),为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径,并利用数字证书及相关的各种服务(证书发布,黑名单发布,时间戳服务等)实现通信中各实体的身份认证、完整性、抗抵赖性和保密性。

OSPF协议

OSPF(Open Shortest Path First)协议——开放最短路径优先协议。“最短路径优先”是因为提出的最短路径算法 SPF。

OSPF最主要的特征就是使用分布式的链路状态协议,而不是像RIP那样的距离向量协议。OSPF的三个要点跟RIP的都不一样:

(1) 向本自治系统中所有路由器发送信息。这里使用了洪泛法,就是路由器通过所有的输出端口向所有相邻的路由器发送信息。而每一个相邻路由器又将此信息发送其所有相邻的路由器(但不再发送给刚刚发来的路由器)。这样,整个区域中所有路由器都得到了这个信息的一个副本。

RIP协议仅仅向自己相邻的几个路由器发送信息。

(2) 发送的信息就是与本路由器相邻的所有路由器的链路状态(本路由器和哪些路由器相邻,以及该链路的度量/代价——OSPF用这个度量来表示费用、距离、时延、带宽等)

RIP协议发送的信息是:到所有网络的距离和下一跳路由器。

(3) 只有当链路状态发生变化时,路由器才向所有路由器用洪泛法发送此信息。

RIP协议是定期交换路由表的信息。

OSPF的五种分组

(1)问候(hello)分组:用来发现和维持邻站的可达性。

(2)数据库描述(Database Description)分组:向邻站给出自己的链路状态数据库中所有链路状态项目的摘要信息。

(3)链路状态请求(Link State Request)分组:向对方请求发送某些链路状态项目的详细信息。

(4)链路状态更新(Link State Update)分组:用洪泛法对全网更新链路状态。

(5)链路状态确认(Link State Acknowledgement)分组:对链路进行更新。

链路状态路由算法

(1) 每个路由器通过发送问候(hello)分组来发现它的邻居节点,并了解邻居节点的网络地址。

(2) 设置到它的每个邻居的成本度量metric

(3) 构造数据库描述分组,向邻站给出自己的链路状态数据库中的所有链路状态项目的摘要信息

(4) 接收到数据库描述分组的邻站,如果分组中的摘要已存在,则不作处理,如果没有或是更新的,则向节点发送链路状态请求分组,请求对方发送自己缺少的某些链路状态项目的详细信息。

(5) 邻站收到节点的链路状态分组后,会发送链路状态更新分组进行更新。

(6) 更新完毕后,邻站返回链路状态更新分组进行确认。

(7) 使用Dijkstra根据自己的链路状态数据库构造到其他节点的最短路径。

OSPF(Open Shortest Pass First,开放最短路径优先协议),是一个最常用的内部网管协议,是一个链路状态协议。

OSPF运行原理

OSPF组播的方式在所有开启OSPF的接口发送Hello包,用来确定是否有OSPF邻居,若发现了,则建立OSPF邻居关系,形成邻居表,之后互相发送LSA(链路状态通告)相互通告路由,形成LSDB(链路状态数据库)。再通过SPF算法,计算最佳路径(cost最小)后放入路由表。

OSPF区域及路由器身份

1、OSPF区域

骨干区域(区域0):骨干区域必须连接所有的非骨干区域,而且骨干区域不可分割,有且只有一个,一般情况下,骨干区域内没有终端用户。  非骨干区域(非0区域):非骨干区域一般根据实际情况而划分,必须连接到骨干区域不规则区域也需通过tunnel或virtual-link连接到骨干区域)。  一般情况下,费骨干区域主要连接终端用户和资源。

2、OSPF身份

DR(Designated Router):指定路由器,OSPF协议启动后开始选举而来,

BDR(Back-up Designated Router):备份指定路由器,同样是由OSPF启动后选举而来,

DRothers:其他路由器,非DR非BDR的路由器都是DRothers。

ABR(Area Border Routers):区域边界路由器,连接不同OSPF区域。

ASBR(Autonomous System Boundary Router):自治系统边界路由器,位于OSPF和非OSPF网络之间。骨干路由器:至少有一个借口连接到骨干区域(区域0)

邻居的两个状态

Neighbors:邻居

Adjacency:邻接邻居不一定是邻接,邻接一定是邻居,只有交互了LSA的OSPF邻居才成为OSPF的邻接,之交互Hello包的支撑位邻居,

在点对点网络中,所有邻居都能成为邻接。

MA(广播多路访问网络,比如以太网)网络类型中,DR,BDR,DRothers三者关系为:

DR、BDR与所有的邻居形成邻接,DRothers之间只是邻居而不交换LSA

影响OSPF邻居建立的原因:

1、Hello与Dead Time时间不一致(改Hello的话Dead自动*4,单改Dead的话Hello不变)

2、区域ID必须一致

3、认证(password一致)

4、Stub标识一致(与特殊区域有关,之后介绍)

5、 MTU-携带在DBD报文中,两端口必须一致

6、掩码,如12.1.1.1/30——12.1.1.2/24 这种情况是可以ping通的,但邻居关系起不来

(OSPF对环回口,无论掩码多少位,都按32位处理,所以建议环回口直接/32,或者在环回口下还原真实掩码)

7、ACL(是否放行OSPF)

OSPF数据包类型

1、Hello:10秒发送一次,死亡时间40s,4倍关系,可以修改。

2、DBD:Database Description 仅仅是一个对本地数据库的概念性叙述,供路由器核对数据库是否同步

3、LSR:Link-State Request 请求链路状态,在数据库同步过程中使用,请求其他角色发送自己失去的LSA最新版本。

4、LSU:Link-State Update 链路状态更新,LSU包括几种类型的LSA,LSU负责泛洪LSA,和相应LSR。LSA只会发送给之前以LSR请求的LSA的直连邻居,进行泛洪的时候,邻居路由负责把收到的LSA信息重新封装在新的LSU中。

5、LSACK:链路状态确认,路由器必须对每个收到的LSA进行LSACK确认,但可以用一个LSACK确认多个LSA。

DR、BDR的选举

DR、BDR的选举规则:比较router-id,router-id有以下获得方式:

1、由工程师指定

2、这台设备最大的环回口ip

3、没有环回口的话,物理接口ip地址最大的。

选举规则:

1、最高优先级值的路由器被选为DR(默认优先级相同:1),次高优先级的为BDR

2、若优先级相同,则比较router-id,拥有最高router-id的成为DR,次高的成为BDR

3、优先级被设置为0的不参与选举

4、OSPF系统启动后,若40s内没有新设备接入就会开始选举,所以为保证DR与BDR的选举不发生意外,建议优先配置想成为DR与BDR的设备。

5、DR与BDR不可以抢占

6、当DR小时之后,BDR直升DR,重新选BDR

7、所有DR,BDR,DRothers说的都是接口,而不是设备

8、不同网段间选DR,BDR,而不是以OSPF区域为单位

网络地址转换NAT

1 网络地址转发NAT

通过前面已经知道,在互联网中的所有路由器,对目的地址是私有网络的数据报一律不转发。如果要实现专用网中的主机接入互联网就需要网络地址转换。

网络地址转换NAT(Network Address Translation):在专用(私有)网连接到因特网的路由器上安装NAT软件,安装了NAT软件的路由器叫NAT路由器,它至少有一个有效的外部全球IP地址。

NAT实现专用网和互联网通信原理:当所有使用本地主机地址的主机和外界通信时,都要在NAT路由器上将本地地址转换为全球IP地址,才能和互联网连接。

例如,NAT路由器收到从专用网内部主机A发往互联网上主机B的IP数据报,源IP地址是 192.168.0.3,而目的地址是 222.1.2.1。NAT路由器把IP数据报的源地址 192.168.0.3转换为新的源IP地址,即NAT路由器的全球IP地址 172.38.15,记录到NAT地址转换表中,然后再转发出去。因此,主机B收到这个IP数据报时,以为A的IP地址是 172.38.15。

当主机B给A发送应答时,IP数据报的目的地址是NAT路由器的IP地址  172.38.15,主机B并不知道主机A的IP地址,即使知道了也不能使用,因为主机A的IP地址是私有地址,互连网不会转发任何目的地址是私有地址的数据报。当NAT路由器收到的互联网B发送来的数据报时,要进行一次IP地址转换。通过NAT地址转换表(如下图),就可把IP数据报的上的目的地址 172.38.15转换为主机A的IP地址 192.168.0.3。

SSH

至于SSH的一些简单用法,我这里就不细说了,先通过一副时序图看看SSH的密码登陆原理。

SSH之所以能够保证安全,原因在于它采用了公钥加密。

整个过程是这样的:(1)远程主机收到用户的登录请求,把自己的公钥发给用户。(2)用户使用这个公钥,将登录密码加密后,发送回来。(3)远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录。

这个过程本身是安全的,但是实施的时候存在一个风险:如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。因为不像https协议,SSH协议的公钥是没有证书中心(CA)公证的,也就是说,都是自己签发的。

可以设想,如果攻击者插在用户与远程主机之间(比如在公共的wifi区域),用伪造的公钥,获取用户的登录密码。再用这个密码登录远程主机,那么SSH的安全机制就荡然无存了。这种风险就是著名的“中间人攻击”(Man-in-the-middle attack)。

从上图中,可以看到我们使用SSH进行登陆时,主要分为以下几步:

用户使用ssh [email protected]命令对远程主机发起登陆;

远程主机将自己的公钥返回给请求主机;

请求主机使用公钥对用户输入的密码进行加密;

请求主机将加密后的密码发送给远程主机;

远程主机使用私钥对密码进行解密;

最后,远程主机判断解密后的密码是否与用户密码一致,一致就同意登陆,否则反之。

SNMP是管理进程(NMS)和代理进程(Agent)之间的通信协议。它规定了在网络环境中对设备进行监视和管理的标准化管理框架、通信的公共语言、相应的安全和访问控制机制。网络管理员使用SNMP功能可以查询设备信息、修改设备的参数值、监控设备状态、自动发现网络故障、生成报告等。

SNMP具有以下技术优点:

基于TCP/IP互联网的标准协议,传输层协议一般采用UDP

自动化网络管理。网络管理员可以利用SNMP平台在网络上的节点检索信息、修改信息、发现故障、完成故障诊断、进行容量规划和生成报告。

屏蔽不同设备的物理差异,实现对不同厂商产品的自动化管理。SNMP只提供最基本的功能集,使得管理任务与被管设备的物理特性和实际网络类型相对独立,从而实现对不同厂商设备的管理。

简单的请求—应答方式和主动通告方式相结合,并有超时和重传机制。

报文种类少,报文格式简单,方便解析,易于实现。

SNMPv3版本提供了认证和加密安全机制,以及基于用户和视图的访问控制功能,增强了安全性。

1 路由算法分类

从路由算法能否随网络的通信量或拓扑自适应地进行调整变化来划分,可以分为:静态路由选择策略动态路由选择策略

(1)静态路由选择策略:即手工配每一条置路由。

优点:简单,开销小。

缺点:只适用小网络,难以适应网络状态的变化。

(2)动态路由选择策略:又叫自适应路由选择。

优点:能较好适应网络状态的变化,适用于大网络。

缺点:实现复杂,开销大。

2 分层次的路由协议

由于互联网规模非常大,可以把互联网划分为许多较小的自治系统(autonomous system),记为AS。每个自治系统通常在相同管理控制下的路由器组成,在一个AS中的路由器都全部运行在同样的路由算法。各个AS之间彼此是互联的,因此一个AS中有一个或多个路由器用于不同AS之间的通信,即负责将本AS之外的目的地址转发分组,这些路由器称为网关路由器

根据上面描述,可以将路由选择协议划分为两个大类:内部网关协议外部网关协议

(1)内部网关协议IGP(Interior Gateway Protocol):即在一个自治系统内不使用的路由选择协议,常见的协议有RIP、OSPF协议。

(2)外部网关协议EGP(External Gateway Protocol):用于实现不同自治系统之间通信的传递,这样的协议就是EGP协议,目前使用最多的就是BGP的版本4(BGP-4)。

自治系统之间的路由选择也叫域间路由选择,在自治系统之内的路由选择也叫域内路由选择

3 内部网关协议RIP

RIP(Routing Information Protocol)协议——路由信息协议,是一种分布式的基于距离向量的路由选择协议,最大的优点是简单。

RIP协议要求网络中的每一个路由器都要维护从它自己到其他每一个目的网络的距离记录(距离向量)。RIP协议对距离的定义如下:

(1) 从一路由器到直接连接的网络的距离定义为1。

(2) 从一路由器到非直接连接的网络的距离定义为所经过的路由器数加1。

RIP协议的距离也称为跳数RIP协议允许一条路径最多只能包含15个路由器。因此,距离等于16时即相当于不可达

VRRP

VRRP即虚拟路由冗余协议(Virtual Router Redundancy Protocol),它是为了避免路由器出现单点故障的一种容错协议。

图1-虚拟路由器

如图1所示,我们把多个运行着VRRP协议的路由器抽象成一个虚拟路由器(从外边来看,就像只有一个真实的路由器在工作),组成虚拟路由器的一组路由器会有一个会成为Master路由器,其余的会成为Backup路由器

正常情况下,会由Master完成该虚拟路由器的工作。Master一旦出现故障,从Backup中选出一个成为Master继续工作,从而避免路由器单点问题。

VRRP是如何工作的

当路由器配置了VRRP(VRID、VIP、优先级等信息)后,它就成了一台VRRP路由器,即组成某个虚拟路由器的一个成员路由器。

2.1 VRRP的工作流程

Master选举:从VRRP组中选举一个Master,其余为Backup

各设备协调工作:Master负责虚拟路由器的工作,Backup负责监听Master的状态

故障转移:Master出现故障,回到步骤1

2.2 VRRP协议定义了3种状态机:

分别为初始状态(Initialize)活动状态(Master)备份状态(Backup)

STP,MSTP

怎么才能控制这种风暴的产生呢?下面就用到了STP (Spanning tree procotol)生成树协议。逻辑上是断开环路,防止广播风暴的产生,当线路故障,阻塞接口被激活,恢复通信,起到备份线路的作用。

生成树的算法:

1、每个广播域选择根网桥

2、每个非根网桥选择非根网段

3、每个网段上选择非指定的接口

选择根网桥:根据网桥ID选择根网桥,BID值小的交换机作为网络中的根网桥

网桥ID取值范围是0~65535 默认为32768,如果网桥ID相同则根据mac地址选择根网桥,值小的优先。

选择根端口:依据就是根网桥最低成本路径,直连网桥ID最小的值,端口标识最小

选择指定端口:根网桥上的端口全是指定端口,在每个网段上选择一个指定端口

非根网桥指定端口选择的顺序是:路径成本低,交换机网桥ID小,端口标识小

MSTP:基于MST协议的增强性技术,主要将二层设备上端口绑定到不同的进程中,从而实现不同进程内的生成树计算相互独立,互不影响。

特点:mstp可以快速收敛,又提供了数据转发多个冗余路径,在数据转发过程中实现vlan数据负载均衡。

多链路形成环路的致命问题

1. 形成广播风暴:  数据报在环路在不断的被广播转发形成广播风暴。

2. 多重复帧复制: 交换机在接受到不确定单播帧时,将执行泛洪操作,这意味着,在环路中一个单播帧在传输中被复制为多个复本。

3. MAC地址表不稳定: 如果交换机在不同的端口收到同一个帧,它的MAC数据库将会变得不稳定。

以上三种情况不论是哪一种,都将会使二层网络链路发生崩溃。

解决问题分析

我们知道之所有发生这种情况的原因是二层链路形成了环路,为什么形成环路呢?是因为数据帧为到达目的主机会在各个相连的交换机之间互相复制转发和传输形成环路。

如果我们能给各个数据帧指定一条到达目的主机的最短路径,那么就不会形成环路了,因为数据帧是沿着我们给定的路线传输。这样就解决了因数据帧胡乱传输而形成的环路问题,进而解决了以上的种种问题,而且还能是实现链路冗余的目的。那么这条指定的最短路径要怎么指定呢?可以在链路中加上一个协议,这个协议就是生成树协议。

作者:TimLi_51bb
链接:https://www.jianshu.com/p/91c7de9820dd
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

未经允许不得转载:BINCODE » 网络相关知识

赞 (0)