《网络知识总结》word版.doc

目 录1 实训目的12 网络基础知识12.1计算机网络概述12.2 OSI模型和TCP/IP协议12.3局域网基本原理22.4广域网基础42.5高级TCP/IP知识62.6配置安全网络83网络设备配置93.1路由器配置93.2交换机的配置114 H3C路由交换设备124.1 H3C路由设备124.2 H3C交换机设备125 实训总结13计算机网络知识汇总1 实训目的 为了迎接H3C杯2012全国大学生网络技术大赛,巩固网络知识,加深比赛水平,能够为之后到来的大赛有所准备,在这三周的实训里认真突击网络知识,深入学习H3C教材,加深自己对网络知识的了解和学习。2 网络基础知识2.1计算机网络概述 计算机网络的类型可以按照地域、拓扑结构、数据交换的形式及网络组件等不同类型分为局域网、城域网、广域网。电路交换：基于电话网的电路交换其优点：延迟小、透明传输。缺点：带宽固定，网络资源利用率低，初始连接建立慢。分组交换：以分组为单位存储转发优点：多路复用，网络资源利用率高.缺点：延迟大，实时性差，设备功能复杂。国际标准化组织有:国际标准化组织（ISO）电子电器工程师协会（IEEE）美国国家标准局（ANSI）国际电信联盟（ITU）INTERNET架构委员会（IAB）网络的拓扑结构有:总线型,星型,树型,环型，全网状，部分网状。2.2 OSI模型和TCP/IP协议OSI 模型分为7层，第一层为物理层，提供比特流传输。第二成为数据链路层，提供介质访问，链路管理。第三层为网络层，寻址和路由转发。第四层为传输层，建立主机端到端连接。第五层为会话层，建立维护和管理会话。第六层为表示层，处理数据格式数据加密等。第七层为应用层，提供应用程序间通信。TCP/IP模型分为四层，OSI模型1,2层对应第一层为网络接口层，3层对应着第二层网络层，4层对应着第三层传输层，5,6,7层对应着第四层应用层。TCP/IP模型的网络接口层的主要协议有以太网，FDDI，令牌环，SLIP，HDLC，PPP，X.25，帧中继，ATM等。网络层协议主要有IP，ICMP，IGMP等。传输层主要协议有TCP，UDP等。应用层主要协议有Telnet，FTP/TFTP，SMTP/POP3，SNMP，HTTP等。IP的主要作用是：1标识节点和链路，2寻址和转发，3适应各种数据链路。IP将来自传输层的数据封装成IP包并交给网络接口层进行发送，同时将来自网络接口层的帧解封装并根据IP协议号提交给相应的传输层协议进行处理。TCP/IP协议族的传输层协议主要包括TCP和UDP，TCP是面向连接的可靠的传输层协议。它支持在并不可靠的网络上实现面向连接的可靠的数据传输。TCP 的特点是三次握手建立可靠连接，通过校验和进行差错校验，通过序列号、确认和超时重传机制实现可靠传输，通过滑动窗口实现流量控制。TCP的IP协议号为6，基于TCP的23号端口的协议是Telnet，20/21号的是FTP，25端口的SMTP，80端口的是HTTP，179端口号是BGP。UDP是无连接的传输协议，主要用于支持在较可靠的链路上的数据传输，或用于对延迟较敏感的应用，UDP实现简单，资源占用少，实时性强，适用于可靠性高的网络和延迟敏感的应用UDP的IP协议号为17，基于53号端口的是DNS，69号端口的是TFTP，161号端口的是SNMP，67/68端口的是BootP，520端口号是RIP。2.3局域网基本原理局域网覆盖的范围较小，带宽较高，通常用于建筑内部、园区范围内的专用网络。同类接口互连用交叉线，异类接口互连用直连线多模光纤的特点是：较粗的纤芯，传输多种不同波长不同角度的光，衰耗大，传输距离通常在千米以内成本低。单模光纤的特点是纤芯与光波长相同，传送单一波长的激光衰耗小，传输距离可达数十千米，成本高。CSMA/CD定义了多路访问介质中的信道抢占、冲突检测和退避算法等。载波侦听：侦听到线路上有载波时，不发送数据，侦听不到载波时，说明线路已经空闲，线路空闲时，任一主机都可以抢占线路。以太网分为共享式以太网和交换式以太网，共享式以太网中，所有的终端主机都处于同一个冲突域中，局域网中的所有接入终端共享总线的带宽。共享式以太网中，所有的终端主机都处于同一个冲突域中，局域网中的所有接入终端共享总线的带宽。交换机MAC 地址表学习的过程：PCA发出数据帧，源地址为自己的MAC-A，目的地址是PCD的MAC-D，交换机在端口E1/0/1收到帧后，查看源MAC，并添加到MAC地址表中，形成一条MAC地址表项，因为MAC地址表中没有MAC-D的相关记录，所以交换机把帧从其他端口发出。原则是一个MAC地址只能被一个端口学习，一个端口可以学习多个MAC地址。 二层交换机的每一个端口处在一个冲突域中，不能隔离广播三层交换机或路由器可以。VLAN虚拟局域网的优点是：1有效的控制广播范围2增强局域网的安全性3灵活的简历虚拟工作组。VLAN的类型有：1基于端口 2基于MAC地址 3基于协议，可以用来划分VLAN协议族，有IP,IPX 4基于子网，根据报文源IP地址及子网掩码做依据。VLAN标签：4个字节的802.1Q标签，是交换机端口在数据帧进入交换机时添加的，对主机透明。通过对以太网帧进行打标签操作，交换机区分不同VLAN的数据帧。交换机的端口链路类型分为Access、Trunk和Hybrid。Access端口只允许缺省VLAN通过，仅接收和发送一个VLAN的数据帧一般用于连接用户设备，Trunk端口允许多个VLAN通过，可以接收和发送多个VLAN的数据帧缺省VLAN的以太网帧不带标签，一般用于交换机之间连接。Hybrid端口允许多个VLAN通过，可以接收和发送多个VLAN的数据帧。Hybrid端口和Trunk端口的不同之处在于：Hybrid端口允许多个VLAN的以太网帧不带标签Trunk端口只允许缺省VLAN的以太网帧不带标签。STP生成树协议通过阻断冗余链路来消除桥接网络中可能存在的路径回环，当前路径发生故障时，激活冗余备份链路，恢复网络连通性。通过在桥之间交换BPDU，来保证设备完成生成树的计算过程 。BPDU包含根桥ID，根路径开销，指定桥ID，指定端口ID。各台设备的各个端口在初始时生成以自己为根桥的配置消息，向外发送自己的配置消息 网络收敛后，根桥向外发送配置BPDU，其他的设备对该配置BPDU进行转发。根桥上的所有端口为指定端口，在非根桥上选举根路径开销最小的端口为根端口，每个物理段选出根路径开销最小的桥作为指定桥，连接指定桥的端口为指定端口，不是根端口和指定端口的其余端口被STP置为阻塞状态。STP端口状态1 blocking 接受不发送BPDU，不接收数据。2 disable 不接收BPDU，接收数据。3 listening 接收BPDU,不接收数据，不进行地址学习。4 learning 接收BPDU不接收数据，进行地址学习。5 forwarding 接收并发送BPDU，接收并转发数据。RSTP（快速生成树协议）是STP协议的优化版，存在阻塞的备份根端口情况下，仅有数毫秒延迟。在指定端口是非边缘端口的情况下，延迟取决因素较多。在指定端口是边缘端口的情况下，指定端口可以直接进入转发状态，没有延迟。MSTP（多生成树协议）将多个VLAN捆绑到一个实例，每个实例生成独立的生成树，在多条Trunk链路上实现VLAN级负载分担。MSTP具有RSTP的快速收敛，同时又具有负载分担机制，MSTP兼容STP和RSTP。链路聚合可以实现链路备份、增加链路带宽及其数据的负载，链路聚合分为动态和静态聚合。静态聚合双方系统间不使用聚合协议来协商链路信息。动态聚合双方系统间使用聚合协议来协商链路信息，LACP（链路聚合控制协议）是一种基于IEEE802.3ad标准的、能够实现链路动态聚合的协议。2.4广域网基础广域网可以使相距遥远的局域网互相连接起来，远距离传输数据、语音、视频等，实现大范围的资源共享，广域网基于电信运营商的通信网络设施建立远程连接，在相距遥远的局域网之间建立连接性。广域网对应的OSI模型的物理层的协议有V.24、V.35、X.21、RS-232、RS-449、RS-530、 G.703、 E1/T1。数据链路层协议有HDLC，PPP，帧中继，LAPB。网络层协议有IP、IPX等网络层协议。广域网里连接方式有专线方式（同步、异步专线），电路交换方（PSTN/ISDN），分组交换方式(X.25/帧中继/ATM)。专线连接：点到点永久性独占线路，固定带宽，典型技术：异步模拟专线、同步数字专线，链路层常使用SDLC、HDLC、PPP等。电路交换：按需拨号建立连接，独占线路，带宽固定，典型技术：PSTN、ISDN，链路层通常采用PPP。分组交换：一个端系统设备可以通过虚电路连接到多个通信对端，典型技术：X.25、帧中继、ATM。广域网常用的线缆和接口有V.24、V.35、X.21、RS-232、RS-449、RS-530、RJ-11、RJ-45、双绞线等。设备有调制解调器、同步CSU/DSU等。V.24接口线缆支持同步和异步两种方式，异步方式下最高速率为115200bps，同步方式下最高速率为64000bps。V.35接口线缆只能工作在同步方式下，同步方式下最大速率2Mbps。HDLC高级数据链路控制，是面向比特的链路层协议，对于任何一种比特流都可以透明传输。只能运行于同步串行线路上，数据和控制报文都以标准的帧格式传送。只支持点到点连接，不支持点到多点，不支持验证，缺乏安全性，不支持IP地址协商。HDLC设备以轮询时间间隔为周期，向链路上发送Keepalive消息，3个周期内无法收到对方发出的Keepalive消息，HDLC设备就认为链路不可用，同一链路两端设备的轮询时间间隔应设为相同的值。PPP点到点协议，PPP协议支持同步和异步线路，PPP协议支持验证和地址协商。可同时支持多种网络层协议，无重传机制，网络开销小。PPP是面向字符的通过LCP有效控制数据链路的建立，支持PAP，CHAP验证，支持各种NCP。PPP链路从dead阶段开始，物理层可用时进入Establish阶段进行LCP协商，成功LCP进入opened，若配置了验证，进入Authenticate阶段开始CHAP或PAP验证。验证失败进入Terminate拆除链路，LCP转为down，成功则进入network阶段，LCP为opened，NCP从Initial转到request。PAP验证：被验证方首先发起验证请求，两次握手验证，密码以明文传送。CHAP验证：主验证方首先发起验证请求，三次握手验证，不发送密码，安全性比PAP高。2.5高级TCP/IP知识子网掩码与IP地址进行逐位逻辑与运算获得网络地址。DNS域名系统，能够提供主机名和IP地址之间的映射，采用客户端/服务器模式，是一个具有树状层次结构的，联机分布式数据库系统。域名的根域用“.”表示，以点号结尾的域名称为完全合格域名FQDN。通用的域名有.com表示公司企业，.net表示网络服务机构，.org表示非盈利机构，.edu表示教育机构，.gov表示政府部门等。DNS系统使用的传输层协议为TCP或UDP，服务器端口号53。客户机与本地DNS域名服务器之间的查询交互采用的就是递归查询方式，本地域名服务器发送至根域名服务器的查询采用的就是迭代查询。FTP文件传输协议，客户端/服务器模式，基于TCP，控制连接使用TCP端口号21，数据连接使用TCP端口号20。文件传输模式有ASCII，二进制流模式，数据传输模式有主动方式（port）：FTP客户端通过向FTP服务器发送PORT命令，告诉服务器该客户端用于传输数据的临时端口号，当需要传送数据时，服务器通过TCP端口号20与客户端的临时端口建立数据传输通道，完成数据传输。被动方式（pasv）：FTP客户端通过向FTP服务器发送PASV命令，告诉服务器进入被动方式。服务器选择临时端口号并告知客户端，当需要传送数据时，客户端主动与服务器的临时端口号建立数据传输通道，完成数据传输。TFTP简单文件传输协议，承载在UDP之上，端口号69，仅提供简单的文件传输功能，没有存取授权与认证机制，不提供目录列表功能。DHCP动态主机配置协议，作用是自动为局域网中主机完成TCP/IP协议配置，避免了IP地址冲突的问题。报文采用UDP封装，服务器所侦听的端口号是67，客户端的端口号是68。DHCP的特点是1即插即用性 2统一管理 3使用效率高 4可跨网段实现。采用广播方式实现报文交互，服务仅局限在本地网段。DHCP地址分配方式有手动分配，自动分配，动态分配。DHCP租约更新：客户端的IP地址租约期限达到一半时间时，客户端向服务器单播发送DHCP-REQUEST报文进行租约更新，成功则服务器回应DHCP-ACK报文，失败则发送DHCP-NAK报文。在达到租期的7/8时，再次发送。IPV6地址128位，采用冒号十六进制表示方法，没有类的概念，由前缀，接口标识符，前缀长度组成。地址分为单播地址，组播地址，任播地址。IPV6邻居发现协议：主机无须任何配置就可以连通网络，邻居发现协议所实现的功能包括有地址解析，路由器发现/前缀发现，地址自动配置，地址重复检测等。最大的优点是几乎无限的地址空间。路由器负责将数据报文在逻辑网段间进行转发，路由是指导路由器如何进行数据报文发送的路径信息。每台路由器都有路由表，路由存储在路由表中路由环路是由错误的路由导致的，它会造成IP报文在网络中循环转发，浪费网络带宽路由的来源有：直连路由，手工配置的静态路由，路由协议发现的路由。路由优先级的判断：如果到相同目的地址有多个路由来源，则：以Preference（优先级）确定不同类型优先级，Preference越小，优先级越高，优先级最高的路由被添加进路由表。路由默认优先级：直连路由 0，OSPF内部 10，静态路由 60，rip路由 100，OSPF外部路由 150，BGP 256。路由表主要表项有目的地址/掩码、下一跳、出接口等。路由器用来计算、维护网络路由信息的协议，通常有一定的算法，工作在传输层或应用层，常见的路由协议有RIP、OSPF、BGP等。可路由协议时指可被路由器转发的协议，工作在网络层，常见的可路由协议有IP、IPX等。距离矢量路由协议：RIP，BGP。链路状态路由协议：OSPF，IS-IS衡量路由协议的指标有：1协议计算的正确性 2路由收敛速度 3协议占用系统开销 4协议自身安全性 5协议适用网络规模。RIP路由信息协议，有RIPv1，RIPv2两个版本 RIPv1有类别，协议报文中不带掩码，不支持VLSM，以广播方式发送报文。Ripv2支持VLSM，支持明文认证和MD5密文认证。路由表更新原则是：对路由表中已有的路由项，当发送响应报文的rip邻居相同时，不论度量值大小，都更新。当邻居不同时，只更新度量值减小的。对不存在的路由项，只要小于最大值都更新。Rip工作原理是所有路由器都有周期性发送路由更新信息。环路避免机制有：路由毒化，水平分割，毒性逆转，定义最大值，抑制时间，触法更新。Rip缺点：1 不可避免的引入路由环路 2以跳数评估路由并非最优路径 3最大跳数16导致网络尺度小 4收敛速度慢 6更新发送全部路由浪费网络资源。OSPF开放最短路径优先，工作在IP层之上，IP协议号是89 。OSPF协议工作过程主要有四个阶段：寻找邻居、建立邻接关系、链路状态信息传递、计算路由。采用选举DR和BDR方法，广播型网络那内的邻接关系为2（n-2）+1条。先选举BDR，再选举DRDR和BDR一旦选定，即使OSPF区域内新增优先级更高的路由器，DR和BDR也不重新选举，只有当DR和BDR都失效后，才参与选举。OSPF协议包具备超时重传机制，OSPF协议包具备序列号，对重复包不做处理，LSA更新携带掩码，支持VLSM。OSPF自治系统内的通信划分为区域内通信，区域间通信，区域外通信。所有的非骨干区域必须与骨干区域相连。2.6配置安全网络ACL包过滤是一种被广泛使用的网络安全技术。它使用ACL来实现数据识别，并决定是转发还是丢弃这些数据包。可应用于包过滤防火墙功能，NAT,，QoS，路由策略和过滤，按需拨号。ACL应用于接口上，每个接口的出入双向分别过滤，仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤。ACL分为：基本访问控制列表，只根据报文的源IP地址信息制定规则。高级访问控制列表，根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则。二层ACL，根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则。用户自定义ACL，可以根据任意位置的任意字串制定匹配规则。ACL包过滤防火墙是静态防火墙，无法对应用层协议进行动态检测。私有地址范围： - 55， - 55 - 55。Basic NAT实现私网地址与公网地址一对一转换，NAPT实现私网地址与公网地址的多对一转换，而Easy IP适用于出接口地址无法预知的场合，NAT Server使公网主机可以主动连接私网服务器获取服务。3网络设备配置3.1路由器配置1 Telnet 配置 system-view H3C telnet enable 使能telnet服务H3C interface ethernet 0/0H3C-ethernet 0/0 ip add 54 H3C user-interface vty 0H3C-ui-vty 0 set authentication password cipher 123456 设置登录密码H3C-ui-vty0 user privilege level 2 设置用户级别2 通过SSH登录路由器h3c rsa local-key-pair creat 生成RSA密钥h3c interface ethernet 0/0h3c-interface 0/0 ip add 54 h3c ssh srever enable 使能SSH服务器功能h3c user-interface vty 0 4h3c-ui-vty 0 4 authentication-mde scheme 配置SSH客户端登录时用户界面h3c-ui-vty 0 4 protocol inbound SSHh3c local-user s 配置SSH用户h3c-luser-s password simple 123h3c-luser-sservice-type sshh3c-luser-s level 33 DNS域名解析配置router ip host 2 静态域名解析表中主机名和对应地址router dns resolve 使能动态域名router dns server 配置指定域名服务器4 FTP /TFTP配置router ftp server enable 配置路由器作为ftp 服务器端router local-user frouter-luser-f password simple 123router-luser-f service-type ftp5 DHCP服务器配置router dhcp enablerouter server forbidden-ip 0 地址池中不参与自动分配的地址router dhcp server ip-pool 0 创建dhcp地址池router-dhcp-pool-0 network mask 动态分配ip地址范围router-dhcp-pool-0 gateway-list 54 配置为客户端分配的网关地址router-dhcp-pool-0 dns-list 0 DNS服务器地址6 OSPF配置rta interface loopback 0rta-loopback-0 ip add rta-loopback-0 quitrta router id 配置routeridrta ospf 1rta-ospf-1 area 0rta-ospf-1-area- network rta-ospf-1-area- network 557 PAP验证配置rta local-user rrta-luser-r password simple hello rta-luser-r service-type ppprta interface s1/0rta-s1/0 ppp authentication-mode pap被验证方：rta interface s1/0rta-s1/0 ppp pap local-user r password simple helloCHAP验证：rta local-user rrta-luser-r password simple hellorta-luser-rservice-type ppprta interface s1/0rta-s1/0 ppp authentication-mode chap ppp chap user r被验证方：rtb local-user brtb-b password simple hellortb-b service-type ppprtb interface s1/0rtb-s1/0 ppp chap user r3.2交换机的配置1 VLAN配置sw