网络层和数据链路层封装
网络层和数据链路层封装
网络层接收到数据包后,检查IP协议:
确定目标IP地址:判断该IP地址是否与本地机器的主接口绑定;如果发现其对应,则表明该数据包将直接传输至本地设备;若未发现匹配,则应将该数据包转发至相关服务器处理。
(2)查路由表
(3)TTL-1
查ARP表;
数据链路层封装Ethernet协议;
数据包从物理层的接口发送出去。
路由
1.直连路由 :为目的ip是本网络的IP地址的数据包选路
产生条件:1)接口启用,2)接口上配置IP地址,3)接口之间通过通信介质连通
满足三个条件,直连路由自动产生。
2.静态路由 :为目的ip是跨网络的IP地址的数据包选路
产生:管理人员人为手工配置产生
3.动态路由 :为目的ip是跨网络的IP地址的数据包选路
产生:由动态路由协议 (RIP、OSPF、IS-IS、IGRP、EIGRP、BGP)协商自动产生
4.默认路由 :为目的ip是跨网络的IP地址的数据包选路
默认路由属于静态路由,指目的网络是0.0.0.0/0的路由
管理距离(优先级):直连路由(0) >静态路由(1)>动态路由(RIP:120、OSPF:110、IS-IS:115)>默认路由(225)
路由配置 :
配置过程:
直连路由匹配逻辑:获取数据包目的IP地址信息后,在直连路由记录中提取子网掩码参数,并执行按位与运算操作以计算目标网络段值;随后将计算结果值与其对比当前路由记录中的网络段信息;若计算结果与目标网络段相符时完成匹配
尝试匹配静态路由:当所有直连路由都无法匹配成功时,在静态路由列表中取出对应子网掩码并计算数据包的目的IP地址与其按位进行与运算操作。随后将计算出的结果值与各路由条目中的网络地址逐一对比分析,在结果一致的情况下则完成匹配过程。
在动态路由配置下, 当所有静态路由配置均无法匹配成功时, 系统会将数据包的目的IP地址与其所在子网的子网掩码进行按位与运算, 并将计算得到的结果与其他各路由记录中的网络地址进行对比, 以此判断是否存在匹配项
处理默认路由规则时,在所有动态路由尝试匹配失败的情况下,则对数据包目的IP地址执行按子网掩码进行逻辑与运算操作;计算结果将被对比各对应记录的网络地址;若计算结果与此处对比结果一致,则视为成功完成匹配。
配置原则:
1)按照路由优先级进行匹配
2)多条路由匹配成功时,最长掩码匹配
3)多条路由匹配成功且掩码相同,最小开销值匹配
路由表 :一条或多条路由条目
路由表组成 :
目的网络是什么:它通常与子网掩码一起使用以识别目标所在的哪一个网络段。它可以表示一个子网地址或者是具体的一个IP地址
子网掩码
下一跳:与本网络设备直接连接的对方设备的接口的IP地址
出接口:数据包从哪一个接口转发出去
开销值:指到达目的地需要的开销
路由器 :具有路由功能的网络设备,将两个或两个以上的网络连接起来
(1)通过路由表转发数据包;(2)转换协议
动态路由协议
1.RIP :路由信息协议,基于UDP,端口号是520,
1)有两个版本RIPv1和RIPv2
基于距离向量的动态路由协议中,在每个节点处维护一个用于衡量与其他网络中各节点之间连接成本的距离向量。其开销值被确定为根据节点之间的跳跃次数来计算;当节点间的跳跃次数越多时,则路径长度越长;这将导致运行成本增加。
3)支持最大跳数15,跳数达到16时,该路由失效
4)路由每30s通告一次,通告的是网络地址,传递的是路由条目
RIP路由配置
Router#configure terminal 进入配置模式
Router(config)#router rip 开启rip
Router(config-router)# version 2 rip协议版本
Router(config-router)#network 1.1.1.0 对外通告1.1.1.0网络
Router(config-router)#network 2.1.1.0 对外通告2.1.1.0网络
Router(config-router)#end 退出配置模式
Router(config)#no router rip 关闭rip
2.OSPF :开放最短路径优先协议,基于IP协议,协议号89
该类基于链路状态的动态路由协议采用按网络接口带宽计算开销值的方式进行运作,在线路上带宽越大时其运行成本会相应降低
2)适用网络大小不受限制
3)传递的是链路信息
4)使用SPF算法计算出最优路径
5)包含骨干区域、非骨干区域,所有非骨干区域要与骨干区域连接
OSPF路由配置
Router#configure terminal 进入配置模式
Router(config)#router ospf 1 开启ospf
Router(config-router)#network 1.1.1.0 0.0.0.255 area 0 对外通告1.1.1.0/24网络
Router(config-router)#network 2.1.1.0 0.0.0.255 area 0 对外通告2.1.1./240网络
Router(config-router)#end 退出配置模式
Router(config)#no router ospf 1 关闭rip
Cisco命令行使用
ARP
ARP:地址解析协议,将ip地址解析为物理地址
ARP表:由ip地址、物理地址、类型组成
ARP表中的表项通过ARP协议自动获取,或者管理员人为手工配置
(1)查路由表匹配上直连路由时,查ARP表中是否有目的IP对应的物理地址
(2)当查询路由表中的非直连路由时,请确认ARP表中是否存在下一跳IP对应的物理地址。
当ARP表中未记录与某个目标IP相对应的物理接口时,则会向网络层发送 ARP 请求报文。接收方接收到 ARP 请求之后, 会验证接收到的 ARP 请求中的目标 IP 是否为自己所在的主机的 IP。如果是, 则会回复相应的 ARP 响应报文, 该响应报文中包含本主机的 IP 地址以及对应的物理接口信息。发送方接收到该主机的 ARP 响应之后, 从而建立起接收方的 IP 地址与物理接口的对应关系, 并将其记录下来, 在后续的 arp 查询过程中能够快速定位到相应的物理接口。
3)数据链路层封装协议
数据链路层:将数据包从一个节点无差错的传输到相邻节点
数据链路层协议:Ethernet协议、PPP协议、HDLC协议
字段解释:
目的物理地址:发送者的物理地址
源物理地址:发送者的物理地址
类型:标识上层协议,0x0800 IPv4协议,0x0806 ARP协议,0x86dd IPv6协议
FCS:帧校验序列,检查数据帧的完整性
封装以太网协议时,目的物理地址是通过ARP表查询获取
物理地址
长度:48bit
书写格式通常采用以下几种形式:首先是以点号分开的十六进制三段式;其次是以冒号分开的十六进制六段式;最后是以横杠线分开的十六进制六段式。这种书写格式能够有效地组织信息内容。
xxxxxxxx:xxxxxxxx:xxxxxxxx:xxxxxxxx:xxxxxxxx:xxxxxxxx
0x00-FF:0x00-FF:0x00-FF:0x00-FF:0x00-FF:0x00-FF
分类:
1)单播地址:第一个字节的最后一个比特为0的物理地址
2)组播地址:第一个字节的最后一个比特为1的物理地址
3)广播地址:全1的物理地址,ff:ff:ff:ff:ff:ff
交换机
通过MAC地址表转发数据包的网络设备,工作在数据链路层。
交换机的主要用途:用在同一个局域网内,将多个主机连接在一起。
交换机分类:二层交换机、三层交换机、四层交换机、五层交换机。
二层交换机
工作原理:
MAC地址表
| 接口 | MAC地址 | 类型 |
|---|---|---|
| f1/5 | 08:1d:3a:85:6d:dc | 动态 |
| f1/6 | 08:3d:3a:85:6d:fc | 动态 |
原理 :
学习:当交换机接收数据帧时,在其处理过程中生成对应关系并记录于MAC地址表中
泛洪:当数据包属于广播型包、组播型包或未知单播型包时,在除入端口以外的所有其他端口上发送该数据包副本;
若数据帧为可识别为单播帧,并且其目的物理地址可通过MAC地址表确定,则通过MAC表查找得到的相关接口将该数据帧发送至该接口。
(4) 更新:
1) 每条记录的老化时间为300s;
2) 交换机关机或重启时,会清空整个MAC表;
3) 接口关闭时,会清除该接口学习到的所有表项;
同一来源物理地址从其他接口处学习后,在此过程中会将过期的表项移除,并引入新的条目。
cisco交换机配置:
Sw#show mac-address-table #查看MAC地址表
VLAN
VLAN:虚拟局域网,将一个物理局域网在逻辑上划分成多个广播域的技术。
二层交换机配置的VLAN之间无法直接通信,在需要实现两VLAN之间的通信时,则必须依赖于三层路由功能。
VLAN使用的通用标准是802.1Q技术。
字段解释:
(1) TPID:用于表示当前数据帧携带了802.1Q标签,长度为2B,固定取值为0x8100。
(2) PRI:优先级,优先级越高越优先转发,长度为3b;
(3) CFI:表示MAC地址是否为经典格式。长度为1b,0表示以太网,1表示令牌环网。
(4) VLAN ID:vlan标识号,区分不同VLAN,长度为12b,取值范围为0-4095,0保留不用。
带有VLAN技术的二层交换机工作原理:
(1) 打标签:交换机从接口收到数据帧时,给该帧打上对应的VLAN标签;
学习:参与学习该帧中源物理地址、VLAN ID与入接口建立关联关系,并将其记录于MAC地址表中;
广播转发机制:对于数据帧类型而言(包括广播型、组播型及未知单播型),系统会将当前的数据包副本发送至除入端口外的所有相关端口进行转发;
当数据帧是已知单播帧(该帧中的VLAN标识符和目的MAC地址存在于MAC数据库中)时,在满足条件的情况下,根据MAC数据库中的配置信息,将数据帧转发至相应的接口。
| 接口 | VLAN ID | MAC地址 | 类型 |
|---|---|---|---|
| g1 | 1 | Mac1 | 动态 |
| g4 | 1 | Mac2 | 动态 |
| g7 | 2 | Mac3 | 动态 |
交换机接口模式:
在access端口处接收的数据帧未带有vlan标识时会被标记为具有该标识;而这些数据帧在其发送前其 associated vlan标识会被清除。
(2) trunk口:进入和发出的数据帧均要携带vlan标签。
Cisco交换机vlan配置:
Sw#show vlan-switch #查看vlan信息
Sw#vlan database #进入vlan模式
Sw(vlan)#vlan 10 #创建vlan 10
Sw(vlan)#vlan 20
Sw(vlan)#exit
Sw#conf t
Sw(config)#interface f1/5
Sw(config-if)#switchport mode access #将f1/5接口设置为access模式
Sw(config-if)#swtichport access vlan 10 #将f/15接口加入到vlan10
Sw(config-if)#interface f1/6
Sw(config-if)#switchport mode access
Sw(config-if)#swtichport access vlan 20
Sw(config-if)#interface f1/1
Sw(config-if)#switchport mode trunk
Sw(config-if)#end
Sw#show vlan-switch
Sw#show interface trunk #查看trunk模式的接口
案例一:
Sw1交换机配置:
Sw1#show vlan-switch #查看vlan信息
Sw1#vlan database #进入vlan模式
Sw1(vlan)#vlan 10 #创建vlan 10
Sw1(vlan)#vlan 20
Sw1(vlan)#exit
Sw1#conf t
Sw1(config)#interface f1/5
Sw1(config-if)#switchport mode access #将f1/5接口设置为access模式
Sw1(config-if)#swtichport access vlan 10 #将f/15接口加入到vlan10
Sw1(config-if)#interface f1/6
Sw1(config-if)#switchport mode access
Sw1(config-if)#swtichport access vlan 20
Sw1(config-if)#interface f1/1
Sw1(config-if)#switchport mode trunk
Sw2交换机配置:
Sw1#show vlan-switch #查看vlan信息
Sw1#vlan database #进入vlan模式
Sw1(vlan)#vlan 10 #创建vlan 10
Sw1(vlan)#vlan 20
Sw1(vlan)#exit
Sw1#conf t
Sw1(config)#interface f1/10
Sw1(config-if)#switchport mode access #将f1/5接口设置为access模式
Sw1(config-if)#swtichport access vlan 10 #将f/5接口加入到vlan10
Sw1(config-if)#interface f1/9
Sw1(config-if)#switchport mode access
Sw1(config-if)#swtichport access vlan 20
Sw1(config-if)#interface f1/1
Sw1(config-if)#switchport mode trunk
案例二:vlan间通信—单臂路由
路由器R8的配置:
Router#conf t
Router(config)#interface g1/0
Router(config-if)#no shutdown
Router(config-if)#interface g1/0.10 #创建子接口g1/0.10
Router(config-subif)#encapsulation dot1q 10 #子接口设置vlan10封装
Router(config-subif)#ip add 10.1.1.1 255.255.255.0 #子接口设置ip地址
Router(config-if)#interface g1/0.20 #创建子接口g1/0.20
Router(config-subif)#encapsulation dot1q 20 #子接口设置vlan10封装
Router(config-subif)#ip add 20.1.1.1 255.255.255.0 #子接口设置ip地址
三层交换机
该交换机具备路由功能。
三层交换机配备专门用于转发数据包的ASCI芯片。
其数据包转发效率显著优于传统路由器。
特点:一次路由多次交换。
三层交换机是否进行路由转发的标准:依据接收的数据帧中的目的MAC地址与VLAN接口配置的MAC地址是否一致。若相同,则执行三层网络层路由转发;若不同,则执行二层数据链路层转发。
Cisco三层交换机配置:
Sw1#conf t
Sw1(config)#ip routing #开启三层交换机路由功能
Sw1(config)#interface vlan10 #创建vlan 10接口
Sw1(config-if)#ip add 10.1.1.1 255.255.255.0 #给vlan 10接口配置IP地址
Sw1(config-if)#interface vlan 20 #创建vlan 20接口
w1(config-if)#ip add 20.1.1.1 255.255.255.0 #给vlan 20接口配置IP地址
硬件防火墙
硬件防火墙的作用在于抵御外部威胁以保护一组网络中的设备;它常用于分隔不同网络安全域
硬件防火墙的操作系统是基于linux内核开发的。
防火墙工作模式:
(1) 路由模式:用于两个网络之间。
(2) 透明模式:用于一个网络内部。
防火墙基本功能:
(1) 访问控制列表(ACL)功能
1) 按照规则序号顺序先后匹配,如果所有规则匹配失败则匹配默认规则;
2) 规则匹配条件:源IP、源端口、目的IP、目的端口、协议、时间调度、安全域
3) 规则动作:允许和禁止
(2) NAT功能
网络地址转换技术(NAT)是一种网络通信机制;其核心功能在于对数据包中的源端或目的端的IP地址进行替换;通过这种方式实现远程设备之间的通信连接。
2) NAT分类:SNAT(源地址转换)、IP映射(目的地址转换)、端口映射
SNAT:替代表达了数据包中的原始来源标识符被替换成其他标识符;适用于通过内部网络连接至外部网络的情境。
- IP映射:实现对数据包中目标IP地址的映射;适用于外网访问内网的情况。
- 端口映射:将数据包中目的端口号和目的IP地址重定向;适用于外网访问内网的场景。
匹配优先级大小:DNAT(IP映射和端口映射)规则 >ACL规则>SNAT规则