网络基础
网络认知
网络架构&解决方案
1.网络架构&解决方案概述:了解传统网络架构及现阶段网络安全在传统网络架构中的
位置
配置优化和冗余解决方案来提升网络性能
网络架构分层(接入层、汇聚层、核心层)是为了快速排查问题。
接入层:同一局域网中心
汇聚层:不同局域网中心
核心层:确保安全的同时保证网络中的所有/部分人员访问外网
现阶段网络中最重要的因素:
1、优化。保证网络中的路径最优。
2、确保网络可靠性,避免单点故障带来问题。
3、网络安全。
4、统一管理、运维。
5、展望未来。下一代网络到云上。
网络模型&网络安全
2.网络模型&网络安全: 掌传统OSI、TCPVP模型与网络安全之间的关系
OSI&TCP/IP协议基础
OSI七层模型
上三层:
7、应用层:提供应用程序
6、表示层:处理数据格式、数据加密等
5、会话层:建立、维护和管理会话
下四层:主要是寻址和转发
4、传输层:建立主机端到端连接
3、网络层:寻址和路由选择
2、数据链路层:提供介质访问、链路管理等
1、物理层:比特流传输
每一层利用下一层提供的服务与对等层(如HOST A的网络层利用数据链路层提供的服务与HOST B的网络层通信)通信。
网络数据流处理流程
拆封装到网络层(寻址和路由选择),知道目的地址,就可以下一步传递。
TCP/IP和OSI的对应关系
TCP/IP协议栈具有简单的分层设计,与OSI模型有清晰的对应关系
TCP/IP协议栈封装解封装过程
TCP/IP协议栈各层作用
传输层以上的协议有端口号,以下无端口号。例如HTTP-80,Telnet-23,FTP-20(传输数据)-21(传输控制信息)
TCP面向连接,可靠可控。UDP无面向连接,不可靠不可控。TCP连接需要三次握手,四次挥手,UDP单方面建立连接。
TCP三次握手,四次挥手
TCP/IP协议安全
IPV4安全隐患
1、缺乏数据源验证机制
2、缺乏完整性验证机制
3、缺乏机密性保障机制
TCP/IP协议栈常见安全风险
常见网络攻击方式
主动攻击和被动攻击。
主动攻击:窃取信息
被动攻击:拒绝服务、假冒攻击(假冒部分+数据载荷)、篡改攻击(报文首部+篡改内容)
路由
网络编址
IP基础
1、IP地址由32个二进制组成,通常用点分十进制形式表示。
2、IP地址分为网络部分和主机部分。
例如,192.168.1.1
| 进制 | 网络位 | 主机位 |
|---|---|---|
| 十进制 | 192.168.1 | .1 |
| 二进制 | 11000000.10101000.00000001 | .00000001 |
192.168.1.0是第一个地址,代表网段(主机位二进制全为0,十进制为0),不能使用
| 网络位 | 主机位 |
|---|---|
| 192.168.1 | .0 |
| 11000000.10101000.00000001 | .0000000 |
192.168.1.255是最后一个地址,作为广播地址(主机位二进制全为1,十进制为255),不能使用
| 网络位 | 主机位 |
|---|---|
| 192.168.1 | .255 |
| 11000000.10101000.00000001 | .11111111 |
192.168.1.253作为网关,不可使用。
| 网络位 | 主机位 |
|---|---|
| 192.168.1 | .253 |
| 11000000.10101000.00000001 | .11111101 |
网关的作用是转发来自不同网段之间的数据包。
同一局域网通信,二层通信(数据链路层通信)时不用网关,三层通信(网络层通信)时必须使用网关。
同一网段通信(网络位相同)不需要依靠网关转发,不同网段通信必须依靠网关转发。
IP详细介绍见https://s1gma0.github.io/2023/08/31/IP/
子网划分&掩码聚合
子网掩码是用来指明某一个ip地址的的哪些位标识的是主机所在的子网,哪些位标识是主机的位掩码。
通过IP地址和子网掩码的二进制与运算,可以得出主机的网络位和主机位。
如下,192.168.1.0和255.255.255.0(/24)相与
IP地址 1100 0000 1010 1000 0000 0001 0000 0000
子网掩码 1111 1111 1111 1111 1111 1111 0000 0000
二者相与 1111 1111 1111 1111 1111 1111 0000 0000
可知,前24位是网络位,即192.168.1,后8位为主机位,即.0
它的表示方法如下两种:
1、192.168.1.n/24 /24表示子网掩码二进制标识法中的前24位为1
2、192.168.1.n 255.255.255.0
常用的子网掩码有255.255.0.0(/16)、255.255.255.0(/24)
子网划分
192.168.1.1/26 192.168.1.129/30
1100 0000 1010 1000 0000 0001 0000 0001 192.168.1.1
1111 1111 1111 1111 1111 1111 1100 0000 /26
1100 0000 1010 1000 0000 0001 0000 0000 192.168.1.0(网络位)
1100 0000 1010 1000 0000 0001 1000 0001 192.168.1.129
1111 1111 1111 1111 1111 1111 1111 1100 /30
1100 0000 1010 1000 0000 0001 1000 0000 192.168.1.128(网络位)
网络位+主机位=32
1、192.168.1.1/26
主机位=32-26=6 2^6=64个地址 192.168.1.0-192.168.1.63
由于192.168.1.0 网段
一般使用网段的第一个或最后一个可用地址作为网关
192.168.1.63 作为广播地址
可用地址数=64-2=62
可用的地址范围192.168.1.1-62
2、192.168.1.129/30=2
主机位=32-30
3、192.168.1.0/24 网络位:24位 主机位:32-24=8位
网络位:192.168.1.0
主机位:2^8=256个地址
主机位可用地址:256-2=254个
假如有35台电脑,就需要35个终端地址和1个网关地址,共36个地址
此时因为有256个地址可用,有点浪费,仅需要6个主机位,2^6=64个地址即可。
网络位=32-6=26 仅需要192.168.1.0/26
1100 0000 1010 1000 0000 0001 0000 0000 192.168.1.0
1111 1111 1111 1111 1111 1111 1100 0000 /26
网络位:192.168.1.0
可用地址:192.168.1.1-62
可变长子网掩码
可变长子网掩码(Variable Length Subnet Mask,可变长度子网掩码):规定了如何在一个进行了子网划分的网络中的不同部分使用不同的子网掩码。
VLSM就是在类的IP地址的基础上,从它们的主机号部分借出相应的位数来做网络号,也就是增加网络号的位数。
VLSM合理划分网段,节省IP地址。
现有一个C类网络地址段 192.168.1.0/24,使用变长子网掩码给下列三个子网分配IP地址
财务终端数:30,业务终端数:10,总裁组终端数:2
2^5=32 财务网络位=32-5=27 192.168.1.0/27 1.0-1.31 可用地址:1.1-1.30 需要分配30+1个地址
2^4=16 业务网络位=32-4=28 192.168.1.32/28 1.32-1.47 可用地址:1.33-1.46 需要分配10+1个地址
2^2=4 总裁组网络位=32-2=30 192.168.1.48/30 1.48-1.51 可用地址:1.49-1.50 需要分配2+1个地址
(需要分配地址+1是因为需要网关来实现不同网段的通信)
掩码聚合
无类别域间路由
无类域间路由CIDR (Classless nter Domain Routing) 由RFC1817定义,CIDR突破了传统IP地址的分类边界,将路由表中的若干条路由汇聚为、条路由,减少了路由表的规模,提高了路由器的可扩展性。
如上图示,一个企业分配到了一段A类网地址,10.24.0.0/22。该企业准备这些A类网络分治各个用户群,目前已经分配了四个网段给用户,如果没有实施CIDR技术,企业路由器的路由表中会有四条下连网段的路由条目,并且会把它通告给其他路由器,通过实施CIDR技术,我们可以在企业的路由器上将淡四条路由10.24.0.0/24,10.24.1.0/24,10.24.2.0/24,10.24.3.0/24汇聚成一条路由10.24,0.0/22这样,企业路由器只需通告10.24..0/22这一条路由大大减小了路由表的规模。
聚合的时候,完全相同的留下,不同的舍去。偶聚奇不聚(奇数的时候不能聚合)。
0.0 1.0 2.0 的二进制形式缺少11形式,不能三个一起聚合。因此只能0.0,1.0聚合。
网络路由基础
路由器认知
自治系统(AS):由同一个机构管理、使用统一路由策略的路由器的集合。
路由选路:路由器负责为数据包选择一条最优路径,并进行转发。
路由器转发数据包时,需要知道下一跳和出接口才能将数据转发出去。
路由表
路由表中包含了路由器可以到达的目的网络,目的网络在路由表中不存在的数据包会被丢弃。
路由表中的路由有三种来源:直连路由、静态路由、动态路由。
路由器选择最优路由的顺序:最长掩码匹配————–路由优先级—————–cost开销10^8除以带宽值
最长掩码匹配规则:路由表中有多个匹配目的网络的路由条目,则路由器会选择掩码最长的条码。下图中就会选择第二条。
路由优先级:每一个路由协议都有协议优先级(数值越小,优先级越高),当有多个路由信息时,选择是最高优先级的路由作为最佳路由。
| 路由类型 | Direct | OSPF | Static | RIP |
|---|---|---|---|---|
| 优先级 | 0 | 10 | 60 | 100 |
路由度量(路由开销cost):对于相同路由类型(协议),当到达某个目标网段有多条路由供选择时,此时路由器会优先选cost值较小的链路,开销数字越小越优先。
静态路由基础
静态路由认知
静态路由是指由管理员手动配置和维护的路由
在广播型的接口(如以太网接口)上配置静态路由时,必须指定
下一跳地址
负载分担&路由备份
浮动静态路由再网络中主路由失效的情况下,会加入到路由表并承担数据转发业务。
在主链路正常的情况下,只有主路由会出现在路由表中;在主链路出现故障时,浮动静态路由会被激活并加入到路由表中,承担数据转发业务。
缺省路由
缺省路由是目的地址和掩码为全0的特殊路由 0.0.0.0/0
如果报文的目的地址无法匹配路由表中的任何一项,路由器将选择依照缺省路由来转发报文。
VLAN间路由
VLAN在分割广播域的同时也限制了不同VLAN间的主机进行二层通信的能力。
VLAN路由-三层交换机为每个VLAN创建一个VLANIF接口作为网关
交换
VLAN原理和配置
VLAN的起源
在传统局域网中,随着主机数量的增加,共享网络中的冲突会越来越严重,交换网络中的广播也会越来越多。
VLAN能够隔离广播域。
VLAN的帧格式
通过tag区分不同VLAN
VLAN标签长4个字节,直接添加在以太网帧头中,IEEE802.1Q文档对VLAN标签作出了说明。
TPID: Tag Protocol Identifier.2字节,固定取值,0x8100,是IEEE定义的新类型,表明这是一个携带802.1Q标签的帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃。
常见链路类型
用户主机和交换机之间的链路为接入链路(Access),交换机与交换机之间的链路为干道链路(Trunk)。
PVID
PVID表示端口在缺省情况下所属的VLAN
PVID的作用是防止交换机把收到的一个裸帧(没有tag的帧,无VLAN ID)直接丢弃
缺省情况下,X7系列交换机每个端口的PVID都是1.
端口类型-Access
1、Access端口在收到数据后会添加VLAN Tag,VLAN ID和端口的PVID相同
2、Access端口在转发数据前会移除VLAN Tag
端口类型-Trunk
Trunk允许多个不同VLAN同时通过
1、当Trunk端口收到帧时,如果该帧不包含Tag,将添加上端口的PVID;如果该帧包含Tag,则不改变
2、当Trunk端口发送帧时,该的VLANID在Trunk的允许发送列表中;若与端口的PVID相同时,则剥离Tag发送;若与端口的PVID不同时,则直接发送
VLAN的配置
1、创建VLAN
2、修改接口类型
3、设置接口允许通过的VLAN ID
1 | system-view |
1、如果一个Trunk链路PVID是5,且端口下配置port trunk allow-pass vlan 2 3,那么哪些VLAN的流量可以通过该Trunk链路进行传输?
VLAN 1 2 3都可以通过,因为Trunk接口允许VLAN 1通过
2、PVID为2的Access端口收到一个不带标记的顿会采取什么样的动作作?
收到数据后会添加VLAN Tag,VLAN ID和端口的PVID相同,即为2
常见交换机命令区别
下面是华为与H3C的命令情况
华为交换机基础配置命令
创建vlan
[Quidway] vlan 10 //创建vlan 10,并进入vlan10配置视图,如果vlan10存在就直接进入vlan10配置视图
[Quidway-vlan10] quit //回到配置视图
[Quidway] vlan 100 //创建vlan 100,并进入vlan100配置视图,如果vlan10存在就直接进入vlan100配置视图
[Quidway-vlan100] quit //回到配置视图
将端口加入到vlan中
[Quidway] interface GigabitEthernet2/0/1 (10G光口)
[Quidway- GigabitEthernet2/0/1] port link-type access //定义端口传输模式
[Quidway- GigabitEthernet2/0/1] port default vlan 100 //将端口加入vlan100
[Quidway- GigabitEthernet2/0/1] quit //回到配置视图
[Quidway] interface GigabitEthernet1/0/0 //进入1号插槽上的第一个千兆网口配置视图中。0代表1号口
[Quidway- GigabitEthernet1/0/0] port link-type access //定义端口传输模式
[Quidway- GigabitEthernet2/0/1] port default vlan 10 //将这个端口加入到vlan10中
[Quidway- GigabitEthernet2/0/1] quit
将多个端口加入到VLAN中
[Quidway]vlan 10
[Quidway-vlan10]port GigabitEthernet 1/0/0 to 1/0/29 //将0到29号口加入到vlan10中
[Quidway-vlan10]quit
交换机配置IP地址
[Quidway] interface Vlanif100 // 进入vlan100接口视图与vlan 100命令进入的地方不同
[Quidway-Vlanif100] ip address 119.167.200.90 255.255.255.252 // 定义vlan100管理IP三层 交换网关路由
[Quidway-Vlanif100] quit //返回视图
[Quidway] interface Vlanif10 // 进入vlan10接口视图与vlan 10命令进入的地方不同
[Quidway-Vlanif10] ip address 119.167.206.129 255.255.255.128 // 定义vlan10管理IP三层交换网关路由
[Quidway-Vlanif10] quit
配置默认网关:
[Quidway]ip route-static 0.0.0.0 0.0.0.0 119.167.200.89 //配置默认网关。
交换机保存设置和重置命令
交换机常用的显示命令
用户视图模式下:
恢复交换机出厂设置
H3C交换机的基本配置
我们先来了解下h3c的配置命令与功能,都是常用的,基本上大部分网络配置都少不了这些命令。
基本配置
[H3C] sysname xxx //设置主机名成为xxx这里使用修改特权用户密码
用户配置
[H3C]super password H3C //设置用户分级密码
[H3C]undo superpassword //删除用户分级密码
[H3C]localuser bigheap 1234561 //Web网管用户设置,1为管理级用户
[H3C]undo localuser bigheap //删除Web网管用户
[H3C]user-interface aux 0 //只支持0
[H3C-Aux]idle-timeout 250 //设置超时为2分50秒,若为0则表示不超时,默认为5分钟
[H3C-Aux]undoidle-timeout //恢复默认值
[H3C]user-interface vty 0 //只支持0和1
[H3C-vty]idle-timeout 250 //设置超时为2分50秒,若为0则表示不超时,默认为5分钟
[H3C-vty]undoidle-timeout //恢复默认值
[H3C-vty]set authentication password123456 //设置telnet密码,必须设置
[H3C-vty]undo set authenticationpassword //取消密码
[H3C]displayusers //显示用户
[H3C]displayuser-interface //用户界面状态
vlan配置
[H3C]vlan 2 //创建VLAN2
[H3C]undo vlanall //删除除缺省VLAN外的所有VLAN,缺省VLAN不能被删除
[H3C-vlan2]port Ethernet 0/4 to Ethernet0/7 //将4到7号端口加入到VLAN2中,此命令只能用来加access端口,不能用来增加trunk或者hybrid端口
[H3C-vlan2]port-isolate enable //打开VLAN内端口隔离特性,不能二层转发,默认不启用该功能
[H3C-Ethernet0/4]port-isolate uplink-portvlan 2 //设置4为VLAN2的隔离上行端口,用于转发二层数据,只能配置一个上行端口,若为trunk,则建议允许所有VLAN通过,隔离不能与汇聚同时配置
[H3C]display vlan all //显示所有VLAN的详细信息
[H3C]user-group 20 //创建user-group 20,默认只存在user-group 1
[H3C-UserGroup20]port Ethernet 0/4 toEthernet 0/7 //将4到7号端口加入到VLAN20中,初始时都属于user-group 1中
[H3C]display user-group 20 //显示user-group 20的相关信息
交换机ip配置
[H3C]vlan 20 //创建vlan
[H3C]management-vlan 20 //管理vlan
[H3C]interface vlan-interface 20 //进入并管理vlan20
[H3C]undo interface vlan-interface 20 //删除管理VLAN端口
[H3C-Vlan-interface20]ip address192.168.1.2 255.255.255.0 //配置管理VLAN接口静态IP地址
[H3C-Vlan-interface20]undo ipaddress //删除IP地址
[H3C-Vlan-interface20]ip gateway 192.168.1.1 //指定缺省网关(默认无网关地址)
[H3C-Vlan-interface20]undo ip gateway
[H3C-Vlan-interface20]shutdown //关闭接口
[H3C-Vlan-interface20]undo shutdown //开启
[H3C]display ip //显示管理VLAN接口IP的相关信息
[H3C]display interface vlan-interface20 //查看管理VLAN的接口信息
DHCP客户端配置
[H3C-Vlan-interface20]ip address dhcp-alloc // 管理VLAN接口通过DHCP方式获取IP地址
[H3C-Vlan-interface20]undo ip address dhcp-alloc // 取消
[H3C]display dhcp //显示DHCP客户信息
端口配置
[H3C]interface Ethernet0/3 //进入端口
[H3C-Ethernet0/3]shutdown //关闭端口
[H3C-Ethernet0/3]speed 100 //速率可为10,100,1000和auto(缺省)
[H3C-Ethernet0/3]duplexfull //双工,可为half,full和auto,光口和汇聚后不能配置
[H3C-Ethernet0/3]flow-control //开启流控,默认为关闭
[H3C-Ethernet0/3]broadcast-suppression 20 //设置抑制广播百分比为20%,可取5,10,20,100,缺省为100,同时组播和未知单播也受此影响
[H3C-Ethernet0/3]loopback internal //内环测试
[H3C-Ethernet0/3]port link-type trunk //设置链路的类型为trunk
[H3C-Ethernet0/3]port trunk pvid vlan 20 //设置20为该trunk的缺省VLAN,默认为1(trunk线路两端的PVID必须一致)
[H3C-Ethernet0/3]port access vlan 20 //将当前access端口加入指定的VLAN
[H3C-Ethernet0/3]port trunk permit vlanall //允许**所有的VLAN通过当前的trunk端口,**可多次使用该命令
[H3C-Ethernet0/3]mdiauto //设置以太端口为自动监测,normal为直通线,across为交叉线
[H3C]link-aggregation Ethernet 0/1 toEthernet 0/4 //**将1-4口加入汇聚组,**1为主端口,两端需要同时配置,设置了端口镜像以及端口隔离的端口无法汇聚
[H3C]undo link-aggregation Ethernet 0/1 //删除该汇聚组
[H3C]link-aggregation mode egress //配置端口汇聚模式为根据目的MAC地址进行负荷分担,可选为 ingress,egress和both,缺省为both
[H3C]monitor-port Ethernet 0/2 //将该端口设置为镜像端口,必须先设置镜像端口,删除时必须先删除被镜像端口,而且它们不能同在一个端口,该端口不能在汇聚组中,设置新镜像端口时,新取代旧,被镜像不变
[H3C]mirroring-port Ethernet 0/3 toEthernet 0/4 both //将端口3和4设置为被镜像端口,both为同时监控接收和发送的报文,inbound表示仅监控接收的报文,outbound表示仅监控发送的报文
[H3C]display mirror
[H3C]display interface Ethernet 0/3
[H3C]display link-aggregation Ethernet0/3 //显示端口汇聚信息
[H3C-Ethernet0/3]virtual-cable-test //诊断该端口的电路状况
qos优先级配置
QoS配置步骤:设置端口的优先级,设置交换机信任报文的优先级方式,队列调度,端口限速
[H3C-Ethernet0/3]priority 7 //设置端口优先级为7,默认为0
[H3C]priority-trustcos //设置交换机信任报文的优先级方式为cos(802.1p优先级,缺省值),还可以设为dscp方式
[H3C]queue-scheduler hq-wrr 2 4 6 8 //设置队列调度算法为HQ-WRR(默认为WRR),权重为2,4,6,8
[H3C-Ethernet0/3]line-rate inbound 29 //将端口进口速率限制为2Mbps,取1-28时,速率为rate81024/125,即64,128,192…1.792M;
29-127时,速率为(rate-27)*1024,即2M,3M,4M…100M。
[H3C]displayqueue-scheduler //显示队列调度模式及参数
[H3C]displaypriority-trust //显示优先级信任模式
整体总结
conadmin conadmin rsas
admin Nsf0cus@123