arp协议作用:将已知的目标IP地址解析为MAC地址。
arp原理:
每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
例如:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
根据上面的所讲的原理,我们简单说明这个过程:A要和B通讯,A就需要知道B的以太网地址,于是A发送一个ARP请求广播(谁是192.168.10.2 ,请告诉192.168.10.1),当B收到该广播,就检查自己,结果发现和自己的一致,然后就向A发送一个ARP单播应答(192.168.10.2 在BB-BB-BB-BB-BB-BB)。
路由器中有三个组成部分:主板、CPU、电源。
其中主板中的存储器有:RAM、ROM、FLASH、NVRAN四种。RAM里面放着系统正在运行的文件,断电后内容会消失、ROM里面放着bootstarap、迷你IOS和ROM monitor,ROM是只读存储器,断电后内容不会消失、FLASH里面放着IOS,也就是路由器系统文件、NVRAM为非易失性存储器,里面放着configuration register(配置寄存器),主要用于破解IOS密码。
路由器密码放在NVRAM、交换机密码放在Flash里面。
思科路由器、交换机的启动过程:
1、post自检,然后从ROM中将bootstrap调至RAM中运行
2、从FLASH中将IOS操作系统调至RAM中运行,若FLASH中无IOS则从TFTP SERVER中获取IOS,若TFTP SERVER中还是没有IOS,则从ROM中获取迷你IOS,将其调至RAM中运行。
3、从NVRAM中调用配置文件信息至RAM,若NVRAM中无配置文件,则从TFTP SERVER中获取,若TFTP SERVER中还是没有配置文件,则直接进入console口,进入setup手工配置模式。
IOS(internetwork operating system),简称互联网操作系统。
IOS实现的功能:
1、配置网络设备的地址、协议等参数
2、通过控制访问来确保网络的安全
3、设置一系列的访问策略
4、对设备进行监控、调试等。
IOS命名规则:
命名形式:AAAAA-BBBB-CC-DDDD.EE
AAAAA:IOS所适用的硬件平台
BBBB:IOS所包含的特性集
CC:IOS软件的运行方式和压缩格式
DDDD:IOS软件版本
EE:IOS文件的后缀
如:c2800nm-ipbase-mz.124-31.bin
思科路由产品体系:
思科路由器产品分为接入层、汇聚层、核心层三种。
接入层一般用于分支公司,有2800、2900、3800、3900系列。
汇聚层一般用于集团核心网,有7200、7300、7500系列。
核心层一般用于服务提供商,有7600、10000、12000系列。
思科交换产品体系:
接入层2960系列
汇聚层3500、3600、3700、4500系列
核心层6500系列。
VLAN概述及优势:
1、分割广播域:
a、物理分割(路由器)。花大钱办小事;
b、逻辑分割(VLAN交换机)。花小钱办大事。
2、优势:
a、控制广播(通过VLAN技术减少广播域,提高性能);
b、增强网络安全性(相同网段不能VLAN的主机不能通信);
c、简化网络管理(灵活性强,设备放在哪里都可以)。
VLAN分类:
1、静态VLAN(基于端口);
2、动态VLAN(基于MAC地址)。
静态VLAN与动态VLAN的区别:
静态VLAN成本低,配置简单。动态VLAN需要一个专门的服务器。
静态VLAN通信过程:
1、先查看VLAN标签;
2、查看MAC地址表;
3、通过MAC地址表进行转发。
动态VLAN通信过程:
1、交换机将含有MAC地址和对应端口的MAC地址表发送给服务器;
2、服务器查看并将含有MAC地址和VLAN编号的VLAN对应表返回给交换机;
3、交换机通过查看VLAN对应表,再查看MAC地址表,之后将数据转发给PC。
配置静态VLAN的步骤:
1、创建VLAN
2、将交换机的端口加入到相应的VLAN中
3、查看VLAN创建信息
创建VLAN有两种模式,分别是VLAN数据库配置模式(vlan database)、全局配置模式(config)。
Native VLAN特点:
1、不支持VLAN的交换机混合部署,也就是说不支持交换机一边为思科的ISL标准一边是IEEE的802.1q标准。
2、允许交换机从trunk端口上转发未被标记的帧。
3、思科交换机默认的Native VLAN是VLAN1。
4、Trunk端口互联Native VLAN必须相同。
DTP动态中继协议:
trunk的模式有:
1、接入(access)
2、干道(trunk)
3、动态企望(dynamic desirable)
4、动态自动(dynamic auto)
5、非协商(nonegotiate)
trunk模式协商结果:
SW1端口模式SW2端口模式SW1结果SW2结果
trunkdynamic autotrunktrunk
trunkdynamic desirabletrunktrunk
dynamic autodynamic autoaccessaccess
dynamic autodynamic desirabletrunktrunk
dynamic desirabledynamic desirabletrunktrunk
trunk、nonegotiate trunktrunktrunk
trunk、nonegotiatedynamic autotrunkaccess
trunk、nonegotiatedynamic desirabletrunkaccess
VLAN最主要的作用是控制广播。
链接模式分类:
1、接入链路access(交换机与pc之间);
2、中继链路trunk(交换机与交换机之间)。
动态协商会影响交换机的性能,所以最好交换机之间的trunk链路都设为trunk。
在trunk链路上允许所有存在的VLAN通信。所以在配置VLAN时最好所有交换机都配置全局VLAN,有多少配多少。
在以太网上实现trunk中继,有两种封装类型,分别是ISL(思科私有标准)和IEEE 802.1q。
以太网通道作用:
1、多条线路负载均衡、带宽提高;
2、容错,当一条线路失效时,其他线路通信,不会丢包。
配置为以太网通道的接口,其物理特性(速率speed、双工模式duplex)必须相同。
单臂路由用于实现不同VLAN之间的通信,主要用于中小型企业。
配置单臂路由前必须要将物理接口打开。
路由器的物理接口可被划分为多个逻辑接口(即子接口),而每个子接口则对应一个VLAN网段的网关
单臂路由原理:
假设现在有两个VLAN,分别为VLAN10和VLAN20,每个VLAN中分别有一台主机,VLAN10的主机为A,VLAN20的主机为B。主机A和主机B同在一台交换机下,在交换机之上有一个路由器,路由器上有一个物理接口,将其划分为了两个逻辑接口,分别为f0/0.1和f0/0.2。f0/0.1的接口由VLAN10的网段使用、f0/0.2的接口由VLAN20的网段使用。VLAN10与VLAN20分别属于不同的网段,VLAN10为10.0的网段、VLAN20为20.0的网段。现在主机A想和主机B通信,其步骤如下:
1、主机A告诉交换机他想与主机B通信,此时的MAC地址表是没有加标签的。
2、交换机判断出主机A与主机B不在同一网段,所以将信息加上VLAN10的标签然后上传给路由器。
3、路由器收到信息后去掉VLAN10标签,发现目标主机B是20.0的网段,然后查表,发现要与主机B通信需要走f0/0.2这条路,所以将信息重新加上VLAN20的标签再下发给交换机。
4、交换机收到信息后查表转发,最终信息到达主机B。
单臂路由缺点:
1、单臂路由为网络骨干链路,容易形成网络瓶颈,甚至使整个网络瘫痪;
2、子接口依然依托于物理接口,应用不灵活;
3、VLAN之间转发需要查看路由表,严重损耗资源。
VTP(VLAN Trunking Protocol)协议:
VTP协议中文意思为虚拟局域网中继协议,这个协议只有思科公司才有。
VTP作用:从一点维护整个网络上VLAN的添加、删除和重命名工作。
VTP域的组成:具有相同域名,通过Trunk链路相连的一组交换机。
VTP的运行模式有三种:
1、服务器模式(server):
可以创建、删除和修改VLAN;
学习、转发相同域名的VTP通告。
2、客户机模式(client):
学习、转发相同域名的VTP通告;
不可以创建、删除和修改VLAN。
3、透明模式(transparent):
可以创建、删除和修改VLAN,但只在本地有效;
不提供自己的VTP信息,不学习其他VTP的通告,但是转发相同域名的VTP通告。
交换机默认的VTP运行模式是服务器模式。
VTP通告内容:
管理域、版本号、配置修改编号、VLAN及某些参数。
VTP的版本有V1版本和V2版本,默认使用的是V1版本。
VTP通告类型有汇总通告、子集通告和通告请求。
配置修改编号置0的方法有两种:
1、更改VTP模式为透明模式,再更改为服务器或客户机模式;
2、更改VTP域名,再更改回原来的VTP域名。
VTP通告过程:
1、VTP服务器每隔一段时间向下发VTP通告;
2、客户端收到通告后会核对版本号和配置修改编号,若发现版本号或配置修改编号低于VTP服务器,客户端就会发送通告请求,要求同步;
3、VTP服务器收到客户端的通告请求后会发送一个汇总通告给客户端,要求客户端提供VTP密码,若密码相同则发送子集通告,同步完成。若VTP服务器未设置VTP密码,还是先发送汇总通告再发送子集通告,区别是客户端不需要再提供密码即可直接同步。
VTP修剪:
作用:减少中继链路上不必要的广播流量。
VTP的修剪来自于trunk链路的发送端口,即只需要在VTP服务器上启用VTP修剪即可。
单臂路由用于实现不同VLAN之间的通信,主要用于中小型企业。
单臂路由缺点:
1、单臂路由为网络骨干链路,容易形成网络瓶颈,甚至使整个网络瘫痪;
2、子接口依然依托于物理接口,应用不灵活;
3、VLAN之间转发需要查看路由表,严重损耗资源。
三层交换机实现不同VLAN之间的通信,主要用于中大型企业。
三层交换=二层交换+三层转发
三层交换机采用硬件(ASIC芯片)来交换和路由选择数据包。
MLS(多层交换)历史:
早期:多次路由
即所有数据信息必须经过路由进行检查,合法才能通过
缺点:资源耗损严重。
中期:
一次路由,多次交换
即路由器只检查第一个数据包,后面的数据包跟着第一个数据包直接通过。
优点:转发速度较多次路由有所提升。
后期:多次交换(CEF)
CEF(快速转发的多层交换),CEF转发效率高。
举例:老师带同学坐公交车。
多次路由就是每个人都自己买票,售票员一个个的检查。
一次路由多次交换就是由老师将票拿着,售票员只检查老师的票数,然后数后面的同学人数即可。
三层交换及以上的所有都被称为多层交换。
三层交换机上有一个转发信息表(FIB)和一个邻接关系表。转发信息表中存放着每个VLAN的网关信息。而邻接关系表中则存放着PC的MAC地址。
FIB表里面的int vlan是一个逻辑接口,作用是为相应的VLAN指配网关IP地址。
三层交换的转发过程:
假设两台PC中间有一个三层交换机,其F0/0口接着PC1,其网段为10.0,F0/1口接着PC2,其网段为20.0。
1、PC1给PC2发送单播数据包。
2、三层交换机首先查看转发信息表,发现20.0的网段要从int vlan2接口出去,然后再查看邻接关系表,发现目标MAC地址是PC2的,所以将数据从int vlan2接口发送给PC2。
二层交换机为VLAN配IP是为了远程管理,一般网管机在哪个VLAN,管理IP就在哪个VLAN设置。
三层交换机为VLAN配IP是为了通信。
三层交换机配置过程:
1、启用路由功能(ip routing)
2、配置虚接口IP,即VLAN网关IP
3、配置路由接口(no switchport)
配置路由接口的作用是关闭交换,启用路由。只有在跟路由器相连时才做这一步,因为只有一个对应的物理接口。
三层交换机开启trunk链路时必须先设置封装类型,之后再开启trunk链路。
STP生成树协议(Spanning Tree Protocol):
作用:解决二层交换环路问题。前提物理上有环路。
环路可以防止单点失效,起到负载均衡的作用,但是环路也容易产生广播风暴。
使用生成树协议的原因是因为广播风暴会无限循环下去。
广播风暴产生的征兆:
1、交换机的灯一直闪
2、断线
3、只能发送数据不能接收数据
解决广播风暴的方法:
1、断开物理线路
2、重启交换机
3、使用生成树技术
使用生成树的好处:
1、防止单点失效
2、起到负载均衡的作用
使用生成树的缺陷是收敛速度慢。
生成树是怎样工作的?
1、逻辑上断开环路,防止广播风暴的产生。
2、当线路故障,阻塞接口被激活,恢复通信,起备份线路的作用。
网桥优先级必须是4096的倍数。
根端口在非根桥上,每个非根桥上有且只有一个根端口(RP)。
根路径成本=所有出接口路径成本之和。
就近原则只适用于指定端口(DP)。
有几个网段就有几个指定端口(DP)。
根桥上的端口全是指定端口(DP)。
除堵塞端口以外所有端口均可转发数据。
通用生成树一口堵塞所有VLAN均走不通,这是通用生成树的弊端。而PVST是针对每个VLAN都运行各自的生成树可以有效避免这个问题。
端口下接的是PC时用速端口,否则会形成环路。
当网络是双核心时,记住要做备份根,且是相互备份,以达到备份冗余的目的。
BPDU(Bridge Protocol Data Unit—桥协议数据单元)使用组播发送BPDU、BPDU只发给运行生成树的主机。
BPDU分为2种类型:配置BPDU和拓扑变更通告(TCN)BPDU
BPDU报文字段包含以下内容:
1、根桥ID
2、网桥ID
3、根路径成本
4、端口ID
5、hello time
6、forwarder dely(转发延迟)
7、max time(最大老化时间)
当全网所有的交换机接收到全部的BPDU并作出比较后,便可以选择出唯一的一个根网桥。
网桥ID也叫做交换机ID。网桥ID是唯一的。选择交换网络中网桥ID最小的交换机为根网桥。
网桥ID由下面两部分组成:
————————————————————————————————————————————
网桥优先级|网桥的MAC地址
2字节| 6字节
————————————————————————————————————————————
网桥ID的取值范围:0--65535,缺省值为:32768
端口ID由下面两部分组成:
————————————————————————————————————————————
端口优先级|端口编号
8位| 8位
————————————————————————————————————————————
端口ID的取值范围:0--255,缺省值为:128
交换机端口的5种STP状态:
1、转发(Forwarding),主要用于发送和接收用户数据
2、学习(Learning),主要用于构建网桥表
3、侦听(Listening),主要用于构建“活动”拓扑
4、阻塞(Blocking),只接收BPDU
5、禁用(Disabled),强制关闭
STP的3种计时器:
1、hello时间(默认2s)
2、转发延迟(15s)
3、最大老化时间(最小为0,最大为30)
转发延迟的作用是确保所有交换机都可以及时收敛。
端口状态接收BPDU发送BPDUMAC学习转发
阻塞是否否否
侦听是是否否
学习是是是否
转发是是是是
带宽与路径成本的关系:
————————————————————————————————————————————
链路带宽(Mbps) |路径成本
————————————————————————————————————————————
10 |100
————————————————————————————————————————————
16 |62
————————————————————————————————————————————
45 |39
————————————————————————————————————————————
100 |19
————————————————————————————————————————————
155 |14
————————————————————————————————————————————
622 |6
————————————————————————————————————————————
1000 |4
————————————————————————————————————————————
10000 |2
————————————————————————————————————————————
生成树STP算法分为3个步骤:
1、选择根网桥(Root Bridge)
选择交换网络中网桥ID最小的交换机成为根网桥。
每个交换网络中有且只有一个根网桥。
网桥ID是由网桥优先级和网桥的MAC地址两部分组成。
网桥优先级的缺省值:32768。
2、选择根端口(Root Ports)
在每一个非根桥上,有且只有一个根端口。
选择根端口的依据:
(1)到根网桥最低的根路径成本。
(2)上游直连的网桥ID最小.---RP
(3)对端端口ID最小。
链路带宽越大,路径成本越小。
100M:路径成本为19。
10M:路径成本为100。
端口ID是由端口优先级和端口编号两部分组成。
端口优先级的缺省值:128。
3、选择指定端口(Designated Ports)
根桥上的端口全是指定端口。
在每个网段上,有且只有1个指定端口。
非根桥上的指定端口,选择顺序:
(1)根路径成本较低。
(2)所在的交换机的网桥ID的值较小。---DP
(3)对端端口ID的值较小。
热备份路由选择协议HSRP(Hot Standby Routing Protocol)是Cisco私有协议。
热备份路由协议为IP网络提供了容错和增强的路由选择功能。通过使用一个虚拟IP地址和虚拟MAC地址,LAN网段上的两台或多台路由器可以作为一台虚拟路由器对外提供服务。HSRP使组内的Cisco路由器能互相监视对方的运行状态。
虚拟路由器组的成员通过HSRP消息不断地交换状态信息。如果其中一台出现故障,另一台就能接替它,继续完成路由功能。
LAN网段上的主机都配置使用同一个虚拟路由器作为默认网关,并不断将IP包发往同一个IP和MAC地址。因此,路由设备的切换对主机都是透明的。HSRP向主机提供了默认网关的冗余性,绝大多数主机以默认网关作为唯一的下一跳IP和MAC地址。另外,通过多个热备份组,路由器可以提供冗余备份,并在不同的IP子网上实现负载均衡。
HSRP组成员由活跃路由器、备份路由器、虚拟路由器和其他路由器四部分组成。
1、活跃路由器:其功能是转发发送到虚拟路由器的数据包。组中的另一台路由器被选为备份路由器。活跃路由器通过发送Hello消息来承担和保持它活跃的角色。
2、备份路由器:其功能是监视HSRP组的运行状态,并且当活跃路由器不能运行时,迅速承担起转发数据包的责任。备份路由器也传输Hello消息,告知组中所有路由器备份路由器的角色和状态变化。
3、虚拟路由器:即该LAN上的网关。其功能是向最终用户提供一台可以连续工作的路由器。虚拟路由器配有它自己的IP地址和MAC地址,但并不实际转发数据包。
HSRP备份组可以包含其它路由器。这些路由器监视Hello消息,但不做应答。这些路由器转发任何经由它们的数据包,但不转发经由虚拟路由器的数据包。当活跃路由器失效时,其他HSRP路由器将不能接收到Hello消息,随后备份路由器就承担起活跃路由器的角色。
HSRP原理:
HSRP组内的每个路由器都有指定的优先级(Priority),用于衡量路由器在活跃路由器选择中的优先程度。默认的优先级是100,它是用户配置中的可选项,可以是0-255内的任何值。组中有最高优先级的路由器将成为活跃路由器。
活跃路由器替虚拟路由器对数据流进行响应。如果末端主机发送了一个数据包到虚拟路由器的MAC地址,那么,活跃路由器将接收并且处理这个数据包。如果末端主机对虚拟路由器的IP地址发送ARP解析请求,那么,活跃路由器将使用虚拟路由器的MAC地址进行应答。
选择活跃路由器和备份路由器时,如果优先级相同,IP地址大的路由器获胜。
如果在HSRP组内,除了活跃和备份路由器之外还有其他路由器,它们就会监听活跃路由器和备份路由器的状态(即它们发出的HSRP Hello包),以实现更强的容错能力。
运行HSRP的设备会发送和接收基于UDP的组播Hello包,以检测路由器故障,并确定活跃和备份路由器。一个组内的HSRP路由器会从活跃路由器那里学到Hello间隔、保持时间和虚拟IP地址,就好像这些参数在每个路由器上进行了显示配置一样。如果活跃路由器由于预定的维修、电源故障或者其他原因变得不可达,则备份路由器会在数秒内接替其功能。这种功能的接替在保持时间(Hold Time)超时后发生。
HSRP虚拟MAC地址格式如下所示:
厂商编码众所周知的虚拟MAC地址HSRP组号
0000.0c07.ac 2f
1、厂商编码:MAC地址的前三个字节。在本例中,厂商编码“0000.0c”说明这是一台Cisco设备。
2、HSRP编码:即众所周知的虚拟MAC地址。MAC地址的后两个字节,本MAC地址用于一台HSRP虚拟路由器,HSRP编码总是“07.ac”。
3、HSRP组号:MAC地址的最后一个字节是组的标示号。例如,组号47转换为十六进制为2f,它将构成MAC地址的最后一个字节。
HSRP消息:
HSRP中的所有路由器都发送或接收HSRP消息,其UDP端口号为1985,使用组播发送HSRP消息,组播地址为224.0.0.2,TTL=1
并不是所有的HSRP路由器都经历所有状态。例如,不是备份路由器或者活跃路由器,就不会有备份状态和活跃状态。
HSRP状态有以下几种:
1、初始状态:所有路由器都从初始状态开始。这是一种起始状态,同时表明HSRP还没有运行。配置发生变化或一个端口第一次启用时,就进入该状态。
2、学习状态:路由器等待来自活跃路由器的消息。这时,路由器还没有看到来自活跃路由器的Hello消息,也没有学习到虚拟路由器的IP地址。
3、监听状态:路由器知道了虚拟的IP地址,但它即不是活跃路由器,也不是备份路由器。这时,路由器监听来自活跃路由器和备份路由器的Hello消息。除活跃路由器和备份路由器之外的路由器都保持监听状态。
4、发言状态:路由器周期性地发送Hello消息,并参与活跃或备份路由器的竞选。路由器在获得虚拟路由器的IP地址之前,不能进入发言状态。
5、备份状态:路由器是成为下一个活跃路由器的候选设备,并且它也周期性地发送Hello消息。在一个组中只有一台备份路由器。
6、活跃状态:在活跃状态,路由器负责转发发送到备份组的虚拟MAC地址的数据包。活跃路由器周期性地发送Hello消息。在一个组中,必须有且只有一台活跃路由器。
HSRP使用两个计时器:Hello间隔和保持时间。任何状态的HSRP路由器都会在Hello计时器超时后生成Hello包。
HSRP计时器:
1、Hello间隔(默认3s)
2、保持时间(默认10s)
未配置计时器的路由器会从活跃路由器或备份路由器学到这些计时器的值。活跃路由器上配置的计时器值会覆盖其他路由器上的计时器设定值。同一个HSRP组内的路由器应该使用相同的计时器值。通常,保持时间会大于Hello间隔的三倍,并且保持时间的取值必须大于Hello间隔。
其他HSRP路由器按照保持时间对活跃路由器进行监控:当收到任何活跃路由器发出的Hello包时,路由器会根据HSRP Hello消息中的相应字段重置保持时间值。通常,默认的HSRP计时器值适用于大多数的LAN网段。
热备份路由协议HSRP是思科的私有协议,而虚拟路由冗余协议VRRP是IETF制定,RFC2338,其实现原理和过程与HSRP基本相同,在协议细节上与HSRP有所区别。
HSRP与VRRP的区别如下:
VRRP与HSRP的一个主要区别在安全性方面:它允许参与VRRP组的设备间建立认证机制。另一个主要区别是:VRRP中只有三种状态(初始状态、主状态、备份状态),而HSRP有六种状态。其余在报文类型、报文格式和通过TCP而非UDP发送报文方面也都有所不同。
占先权和跟踪功能使得发生故障的活跃路由器在端口链路恢复时,能重新成为活跃路由器。
跟踪端口只做活跃路由器,占先权活跃路由器和备份路由器两边都要做。
