T568A:白绿、绿、橙白、蓝、蓝白、橙、白棕、棕
T568B:白橙、橙、白绿、蓝、白蓝、绿、白棕、棕
双绞线:直通线、交叉线和全反线
我国国内普遍采用T568B
物理层的主要功能是完成相邻结点之间原始比特流的传输,控制数据怎样被安置到通信介质上。物理层协议关心的典型问题是使用什么样的物理信号来表示数据“1”和“0”,一位持续的时间有多长,数据传输是否可同时在两个方向上进行,最初的连接如何建立和完成,通信后连接如何终止,物理接口有多少针以及各针的用处等。
物理层的主要设备
中继器:最简单的网络互联设备,主要负责在两个结点的物理层上按位传递信息,完成信号的复制、调整和放大功能,以此来延长网络的长度。
集线器:相当于多端口的中继器,集线器的内部总线仍然是一个“共享”式的传输介质,难免会发生信号碰撞,所以它不能单独应用于较大网络中(通常与交换机等设备一起分担小部分的网络通信负荷)。集线器属于OSI七层模型的物理层,采用广播方式发送数据。集线器上的所有设备属于同一冲突域,同时也属于同一个广播域。
数据链路层的主要功能是如何在不可靠的物理线路上进行数据的可靠传输。数据链路层完成的是网络中相邻结点之间可靠的数据通信。为了保证数据的可靠传输,发送方把用户数据封装成帧,并按顺序传送各帧。为了保证能让接收方收到的数据进行确性判断,发送方为每个数据块计算出CRC(循环冗余检验),并把CRC添加到帧中。数据链路层必须解决由于帧的损坏、丢失和重复所带来的问题,要解决的另一个问题是防止高速发送方的数据把低速接收方“淹没”。因此,需要某种信息流量控制机制使发送方得知接收方当前还有多少缓存空间。为了控制的方便,流量控制常常和差错处理一同实现。
数据链路层的主要设备
数据链路层通过MAC地址负责主机之间数据的可靠传输。数据链路层的设备必须能够识别出数据链路层的地址,即MAC地址。一个设备如果能识别MAC地址,该设备至少是数据链路层以上的设备。数据链路层的网络设备主要有网卡(NIC)、网桥和交换机
网卡(Network Interface Card)也叫网络适配器,是连接计算机与网络的硬件设备,网卡的主要工作原理是整理计算机上发往网线上的数据,并将数据分解为适当大小的数据包之后向网络上发送出云。
网桥工作于数据链路层,用于将两个LAN连接在一起并按MAC地址转发帧。物理层的集线器可以扩展网络的规模,但所有通过集线器相连的主机同属于一个冲突域,任何时刻只能有一台主机发送数据,如果有两台主机同时发送数据就会发生冲突,导致数据发送失败。网桥同中继器一样,网桥也是连接两个网段的设备。但和中继器不同之处在于,网桥侦听每个网段上的信号。
交换机的工作过与网桥的工作过程类似,交换机也根据源MAC学习,根据目的MAC进行转发,按每一个数据帧中的MAC地址决策信息转发,交换机也会学习并维护表中的MAC地址表。CCNA考试中经常涉及交换机转发方式的考题,交换机转发方式分为3种情况:情况一,交换机对已知的单播帧,只往对应的端口转发;情况二,交换机对未知的单播帧,即交换机还没有学到数据帧中的目的MAC地址,交换机泛洪数据包,即发往除接收端口鸡皮的所有端口;情况三,交换机对组播和广播帧进行泛洪转发,即发往除接收端口以外的所有端口。 类拟于网桥,交换机提供了网络互联功能,交换机的每个端口都是一个独立的冲突域,可以为每个工作站提供更高的带宽。可以简单地把交换机看成多端口的网桥,但二者是有一些区别的:首先,网桥一般只有2个端口,而一般交换机最少也有4个端口,甚至更多的端口;其次,网桥采用软件进行转发,而交换机采用专门设计的集成电路,基于硬件进行数据转发,
交换机以线路速率在所有的端口并行转发信息,提供了比传统网桥高得多的操作性能,操作接近单个局域网性能,远远超过了普通网桥互联网络之间的转发性能;最后,交换机的端口造价远低于网桥。
根据功能不同,可以将交换机分为:
①传统的二层交换机:与集线器相比,仅仅多了MAC地址表的功能。属于OSI七层模型的数据链接层,有一个广播域(传统的二层交换机转发广播或组播帧到除接收端口以外的所有端口)、多个冲突域(每个端口就是一个冲突域)。
②VLAN型交换机:比传统型交换机多了VLAN的功能。它仍属于数据链路层,有多个广播域(每个VLAN就是一个广播域)、多个冲突域(每个端口就是一个冲突域),并可配置IP地址,方便远程管理。
③三层交换机:比VLAN型交换机多了路由功能,可以把三层交换机相象成路由器+VLAN型交换机,但三层交换机的数据包转发性能要比路由器+VLAN型交换机的性能高出许多倍。它属于OSI七层模型的网络层,具有多个广播域、多个冲突域。工程中出于安全的考虑,有时需要把IP和MAC进行绑定,这就需要三层及三层以上的交换机才能完成,因为普通的二层交换机处于OSI七层模型的第二层,识别不了三层的IP地址,也就无法完成绑定。
网络层的主要功能是完成网络中主机间的报文传输。路由器是一种连接多个网络或网段的网络层设备,它能够将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读懂对方的数据,从而构成一个更大的网络。
传输层是整个网络的关键部分,实现两个用户进程间端到端的可靠通信,处理数据包错误、数据包次序,以及其他一些关键传输问题。传输层的主要功能有:提供建立、维护和拆除传输层连接,向网络层提供合适的服务,提供端到端的错误恢复和流量控制,向会话层提供独立于网络层的传递服务和可靠的透明数据传输。
这里介绍一种识别不同应用所使用服务端口的方法,譬如查看Windows中“远程桌面”服务所使用的服务端口,假如在计算机“10.0.248.137”上,使用远程桌面登陆到计算机“210.28.203.187”,然后在被控制的远程计算机上执行“netstat –n”命令(当然也可以在本地计算机上执行这个命令),可以看到远程主机上使用的是“3389”端口,这就是Windows远程桌面使用的默认端口。采用类似的方法,可以获知其他应用所使用的端口号。
会话层允许不同机器上的用户之间建立会话关系,会话层提供的服务之一是管理对话控制。 表示层完成某些特定的功能,对这些功能人们常常希望找到普遍的解决方法,而不必由每个用户自己来实现。值得一提的是,表示层以下各层只关心从源主机到目标主机可靠地传递比特,而表示层关心的是所传送的信息的语法和语义。表示层服务的一个典型例子是用一种大家一致选定的标准方法对数据进行编码。此外,表示层还涉及数据压缩和解压、数据加密和解密等工作。
TCP/IP是目前最成功、使用最频繁的互联网协议。TCP/IP参考模型是四层结构。
网络访问层(Network Access)的功能包话IP地址与物理硬件地址的映射,以及将IP地址分组封装成帧。基于不同硬件类型的网络接口,网络访问层定义了和物理介质的连接。此层是TCP/IP模型的最低层,负责接收从IP层传来的IP数据报,并将IP数据报通过低层物理网络发送出去,或者从低层物理网络上接收物理帖,解封装出IP数据报,交给IP层处理。 网际层(Internet)的主要功能包括三个方面:
第一、处理来自传输层的分组发送请求:将分组装入数据报,填充报头,选择去往目的结点的路径,然后将数据报发往适当的网络接口。
第二、处理输入数据报:首先检查数据报的合法性,然后进行路由选择,假如该数据报已到达目的结点,则去掉报头,将IP报文的数据部分交给相应的传输层协议;假如该数据报尚未到达目的结点,则转发该数据报。
第三、处理ICMP报文:即处理网络的路由选择、流量控制和拥塞控制等问题。
IP协议:IP的责任就是把数据从源传送到目的地。它不负责保证传送可靠性、流控制、包顺序和其他对于主机到主机协议来说很普通的协议。IP实现两个基本功能:寻址和分段。IP可以根据数据报报头中包括的目的地址将数据报传送到目的地址,在此过程中IP负责选择传送的路线,这种选择路线称为路由功能。IP不提供可靠的传输服务,它不提供端到端的或结点到结点的确认,对数据没有差错控制,它只使用报头的校验码,不提供重发和流量控制。如果出错可以通过ICMP报靠,ICMP在IP模块中实现。
ARP协议:负责将某个IP地址解析成对应的MAC地址。在局域网中,多络中实际传输的是“帧”,帧里面是有目标主机的MAC地址。在以太网中,一个主机要和另一个主机进行通信,必须要知道目标主机的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。ARP请求包是广播包,而ARP应答包是单播包。路由器有隔离广播的作用,致使ARP查询包无法穿越路由器而到达远端的目的主机。 注意:如果一台主机需要访问远端主机,数据帖的目的MAC地址并不是远端目标主机的MAC地址,而是网关的MAC地址。
传输层:在TCP/IP网络中,IP采用无连接的数据报机制,对数据进行“尽力而为的传递”,即只管将报文尽力传递到目的主机,无论传输正确与否,不做验证,不发确认,也不保证报文的顺序。TCP/IP的可靠性体现在传输层,传输层协议之一的TCP协议提供面向连接的报务(传输层的另一个协议是UDP是无连接的)。传输层的主机功能是可靠而又准确地传输并控制源主机与目的主机之间的信息源,提供端到端的控制,通过滑动窗口机制提供流控制,通过序列号和确认号机制来保证可靠性。TCP传输控制协议发送数据分段时,可以保证数据的完整性。流控制可以避免发送数据的主机使接收主机的缓存溢出的问题,缓存溢出会导致数据的丢失。可靠的传输可以通过下列方法实现:
①接收方对收到的数据分段向发送方进行确认;
②发送方向接收方得传所有未被确认的数据分段;
③在目的端将数据分段按正确的顺序重组,并删除重复的数据分段
④提供避免和控制拥塞的机制。
TCP协议:TCP是一种面向连接的传输层协议,能提供可靠的数据传输。在面向连接的环境中,开始传输数据之前,端点之间先要建立连接。TCP负责将消息拆分成数据分段,并对数据分段进行编号,重传丢失的数据分段并将数据分段在目的主机重组成消息。
以太网交换机使用5个基本操作来完成功能:学习、老化、泛洪、选择性转发、过滤。 学习:交换机MAC地址表包含MAC地址和对应的端口。每一个帧进入交换机时交换机审查源MAC地址,时空行查找,如果MAC地址表中没包含这个MAC地址,交换机就创建一个新的条目,包括源MAC地址和接收的端口。以后如果有支往这个MAC地址的帧,交换机则往对应的端口进行转发。
老化:交换机中的MAC地址条目有一个生存时间。每学到一个MAC地址条目,都附加一个时间值。随着时间的流逝,该数值一直减小,当数据值减小到0时,清除该MAC地址条目。如果有包含该MAC地址的校报的帧到达,则刷新MAC地址的老化时间值。
泛洪:如果交换机收到一个数据帧,则可在交换机的MAC地址表中查找,若找不到该数据帧的目的MAC地址,交换机转发该数据帧到除接收端口以外的所有端口,即广播该数据帖。如果交换机收到一个广播的数据帧,即数据帧的目的MAC地址是“FFFFFFFFFFFF”,交换机也会转发该数据帧到除接收端口外的所有端口。因为没有设备的MAC地址是“FFFFFFFFFFFF”,交换机根据数据帧的MAC地址进行学习,永远也不会学到这个MAC地址。
选择性转发:交换机根据帧的目的MAC地址进行转发。当交换机收到某个数据帧时,交换机在MAC地址表中查找该数据帧的目的MAC地址,如果交换机已经学到这个MAC地址,
数据帧将被转发到该MAC地址相应的端口,而不用泛洪到所有的端口。
过滤:在某些情况下,帧不会转发,这个过程被称为过滤。一种情况是,交换机不转发帧到接收到的端口;另一种情况是,如果一个帧的CRC校验失败,帧也会被丢弃。使用帧过滤的另一个原因是安全方面的考滤,可以阻止或允许交换机转发特定的MAC地址到特定的端口。
路由选择协议
网络号和主机号组合起来才构成一个完整的IP地址。同一个网络中的主机IP地址,其网络号必须是相同的,这个网络称为IP子网。
有相同网络号的主机之间可以直接通信,要与其他IP子网的主机进行通信,则必须要经过同一网络上的某个路由器或网关实现。不同网络号的IP地址不能直接通信,即使它们连接在一起,也不能通信。
路由器有多个端口,用于连接多个IP子网,每个端口的IP地址的网络号要与所连接的IP子网的网络号相同。不同的端口对应不同的IP子网,路由器多个端口的网络号必须不同。路由器不转发广播消息,而把广播消息限制在各自的网络内部。
路由器原理:路由选择发生在网络层,主机由路由器来完成,路由器可以将LAN连接在WAN上,或者将两个使用不同介质访问控制子层的LAN连接起来。路由器的工作就是接收信息分组,根据当前网络的状况将其导向最有效的路径。
一般的主机都配置了“默认网关”,“默认网关”是每台主机上的一个配置参数,它是接在同一个网络上的某个路由器端口的IP地址,主机把所有未知网络的IP分组都发送给“默认网关”。
路由包括两个基本动作:寻址和转发。
寻址即寻找到达目的地的最佳路径,由路由选择算法来实现。网络中的寻址方式有两种: 直接寻址:源主机与目的主机在相同网络中。在物理网络内部确定主机间的数据传输路径,不经过路由器。
间接寻址:源主机与目的主机在不同网络中。当主机需要向不在同一网络中的主机发送分组时,主机先要使用数据链路层地址和路由器的一个接口通信。路由器检查接收分组,确定分组的目的网络,然后参照路由表,决定分组应从哪个接口发送出去,并用外出接口的数据链路层地址进行封装,接着再排队准备被转发,最后在目的网络中用直接寻址方法到达目的主机。
直接寻址发生在第二层,根据物理地址来进行。间接寻址在第三层完成,依据是IP地址。 转发即沿寻址好的最佳路径传送消息分组。路由器首先在路由表中查找,判明是否知道如何将分组发送到下一个站点,如果路由器不知道如何发送分组,通常将该分组丢弃;否则就根据路由表的相应表项将分组发送到下一个站点,如果目的网络直接与路由器相连,路由器就把分组直接发送到相应的端口上。
注:EIGRP是一个高级的距离矢量协议,同时具有距离矢量和链路状态路由协议的特征,有时也被称为混合协议。
动态路由协议:动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由表的过程。它能实时地适应网络结构的变化,如果路由更新信息表明发生了网络变化,路由选择软件就会重新计算路由,并发出新的路由更新信息。这些信息通过各个网络,引起各路由器执行路由算法,并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然,各种动态路由协议会不同程度地占用网络带宽和CPU资源。
管理距离(Administrative Distance,简称AD),是用来衡量路由可信度的一个参数。管理距离越小,路由越可靠,这意味着具有较小管理距离的路由将优于较大管理距离的路由,管理距离的取值范围为0~255的整数值,0是最可信的,255是最不可信的。如果一台路由器收到同一个网络的两个路由更新信息,路由表将把管理距离小的路由放入路由表中。
路由选择原则:当一个目标地址被多个目标网络覆盖、一个目标网络的多种路由协议的多条路径共存时,或者当一个目标网络同一种路由协议的多条路径共存时,路由器应该如何进行路由的选择,路由器依照下列的选路原则进行路由选择:
子网掩码最长匹配:也就是如果一个目标地址被多个目标网络覆盖,它将优先选择最长的子网掩码的路由,匹配得更精确。比如到达10.0.0.1的网络有两个:10.0.0.0/24的下一跳是12.1.1.2,10.0.0.0/16的下一跳是13.1.1.3,则路由器更相信子网掩码长的10.0.0.0/24的路由,因为掩码长度24大于16,路由器把数据包发往12.1.1.2。如果路由器上有发往10.0.0.1的数据包,将选择10.0.0.0/16路由,因为目标地址10.0.0.1不包括在路由条目10.0.0.0/24内。 管理距离最小优先:在子网掩码长度相同的情况下,路由器优先选择管理距离小的路由。比如,到达10.1.1.0/24的路由有两条,一条是通过RIP学习来的,另外一条是通过OSPF学习来的,则路由器相信OSPF学习来的路由,因为它有更小的管理距离110,RIP的管理距离是120。
度量值最小优先:如果路由的子网掩码长度相同,管理距离也相等,接下来比较的就是度量值。比如路由器在通过RIP路由协议学到了10.0.0.0/24的两个条目,一个条目的跳数是2,另一个条目的跳数是3,RIP将使用跳数越少的条目。跳数是2的条目将被添加到路由表中,跳数是3的条目不会出现在路由表中,如果跳数是2的路由条目消失,跳数是3的路由表条目才会出现在路由表中。
距离矢量路由协议:距离路由选择算法定期地将路由表的拷贝从一个路由表发往另一个路由器。这些在路由器间的定期更新交流了网络的路由信息和变化,基于距离矢量的路由选择算法也称为贝尔曼—福特算法。RIP和IGRP都是距离矢量路由协议,它们都定期地发送整个路由表到直接相邻的路由表。
链路状态路由协议:链路状态路由协议是复杂的,可扩展的路由选择协议。链路状态路由协议使用Dijkstra算法,也被称为SPF算法。而距离矢量路由协议使用的是Bellman-Ford算法,高级的距离矢量路由协议EIGRP使用的是DUAL算法。距离路由矢量协议就像是交通标志,仅仅给出方向和距离,根据指引一步一步地接近目的地,但并不知道整个网络的拓扑是什么样的。而链路状态路由协议更像是一幅地图,在地图中,可以看到所有的潜在路线,并确定首选的路径。距离矢量路由有时也称为传闻路幅度,即相信其他路由器通告的路由都是真实的。链路状态路由协议采取一种不同的做法,看起来更像一个路线图。链路状态路由协议收集整个网络的拓扑信息,并基于这个拓扑信息决定到每一个网络的最短路径。
链路状态路由协议工作过程:在收敛过程中,所有的链路状态路由将执行下面的过程,一、每台路由器学习自己的链路,也就是激活的直接相连的网络;二、每台路由器与直接相连的路由器进行交互,路由器间相互发送Hello报文,建立邻居关系;三、每台路由器构建包含
注:EIGRP是一个高级的距离矢量协议,同时具有距离矢量和链路状态路由协议的特征,有时也被称为混合协议。
动态路由协议:动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由表的过程。它能实时地适应网络结构的变化,如果路由更新信息表明发生了网络变化,路由选择软件就会重新计算路由,并发出新的路由更新信息。这些信息通过各个网络,引起各路由器执行路由算法,并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然,各种动态路由协议会不同程度地占用网络带宽和CPU资源。
管理距离(Administrative Distance,简称AD),是用来衡量路由可信度的一个参数。管理距离越小,路由越可靠,这意味着具有较小管理距离的路由将优于较大管理距离的路由,管理距离的取值范围为0~255的整数值,0是最可信的,255是最不可信的。如果一台路由器收到同一个网络的两个路由更新信息,路由表将把管理距离小的路由放入路由表中。
路由选择原则:当一个目标地址被多个目标网络覆盖、一个目标网络的多种路由协议的多条路径共存时,或者当一个目标网络同一种路由协议的多条路径共存时,路由器应该如何进行路由的选择,路由器依照下列的选路原则进行路由选择:
子网掩码最长匹配:也就是如果一个目标地址被多个目标网络覆盖,它将优先选择最长的子网掩码的路由,匹配得更精确。比如到达10.0.0.1的网络有两个:10.0.0.0/24的下一跳是12.1.1.2,10.0.0.0/16的下一跳是13.1.1.3,则路由器更相信子网掩码长的10.0.0.0/24的路由,因为掩码长度24大于16,路由器把数据包发往12.1.1.2。如果路由器上有发往10.0.0.1的数据包,将选择10.0.0.0/16路由,因为目标地址10.0.0.1不包括在路由条目10.0.0.0/24内。 管理距离最小优先:在子网掩码长度相同的情况下,路由器优先选择管理距离小的路由。比如,到达10.1.1.0/24的路由有两条,一条是通过RIP学习来的,另外一条是通过OSPF学习来的,则路由器相信OSPF学习来的路由,因为它有更小的管理距离110,RIP的管理距离是120。
度量值最小优先:如果路由的子网掩码长度相同,管理距离也相等,接下来比较的就是度量值。比如路由器在通过RIP路由协议学到了10.0.0.0/24的两个条目,一个条目的跳数是2,另一个条目的跳数是3,RIP将使用跳数越少的条目。跳数是2的条目将被添加到路由表中,跳数是3的条目不会出现在路由表中,如果跳数是2的路由条目消失,跳数是3的路由表条目才会出现在路由表中。
距离矢量路由协议:距离路由选择算法定期地将路由表的拷贝从一个路由表发往另一个路由器。这些在路由器间的定期更新交流了网络的路由信息和变化,基于距离矢量的路由选择算法也称为贝尔曼—福特算法。RIP和IGRP都是距离矢量路由协议,它们都定期地发送整个路由表到直接相邻的路由表。
链路状态路由协议:链路状态路由协议是复杂的,可扩展的路由选择协议。链路状态路由协议使用Dijkstra算法,也被称为SPF算法。而距离矢量路由协议使用的是Bellman-Ford算法,高级的距离矢量路由协议EIGRP使用的是DUAL算法。距离路由矢量协议就像是交通标志,仅仅给出方向和距离,根据指引一步一步地接近目的地,但并不知道整个网络的拓扑是什么样的。而链路状态路由协议更像是一幅地图,在地图中,可以看到所有的潜在路线,并确定首选的路径。距离矢量路由有时也称为传闻路幅度,即相信其他路由器通告的路由都是真实的。链路状态路由协议采取一种不同的做法,看起来更像一个路线图。链路状态路由协议收集整个网络的拓扑信息,并基于这个拓扑信息决定到每一个网络的最短路径。
链路状态路由协议工作过程:在收敛过程中,所有的链路状态路由将执行下面的过程,一、每台路由器学习自己的链路,也就是激活的直接相连的网络;二、每台路由器与直接相连的路由器进行交互,路由器间相互发送Hello报文,建立邻居关系;三、每台路由器构建包含
直接相连的链路状态的LSA(Link-State Advertisement,链路状态通告),LSA中记录了所有相关的路由器,包括邻居路由器的标识、链路类型和带宽等;四、每台路由器泛洪LSA给所有的邻居,路由器在数据库中存储所有收到的LSA,邻居路由器再泛洪收到的LSA给自己所有的邻居,直到在同一个区域内的所有路由器都收到了所有的LSA,每台路由器在本地数据库中保存所有收到的LSA的拷贝,被称为LSDB(链路状态数据库);五、每台路由器基于本地的链路状态数据库,然后执行SPF算法,以本路由器为树根,生成一个SPF树,基于SPF树,计算到每一个目的网络的最短路径,也就路由表。
链路状态路由协议维护三张表:邻居表、拓扑表和路由表。
OSPF:OSPF是一个开放标准许的路由选择协议,被各种网络开发商广泛支持,其中包括思科的路由器和交换机,可以这么说,OSPF是目前使用最广泛的IGP路由协议。RIPv1和RIPv2收敛速度较慢,在大型复杂的网络中还容易带来路由环路问题;IGRP和RIPv1一样,也是有类路由协议,不支持VLSM和CIDR,同样有距离矢量路由协议的缺点,现在基本上退出了历史的舞台,EIGRP是一个高级的距离矢量路由协议,虽然支持VLSM和CIDR,并能快速收敛,也不会产五路由环路,但它是一个私有协议,仅能应用在思科公司的设备上。
OSPF是一个链路状态路由协议,采用SPF算法,在同一个区域内的所有路由器交换LSA,构建LSDB,每台路由器以本路由器为根,基于LSDB执行SPF算法,生成SPF树,计算到每个目的地的最短路径,产生路由表。
OSPF术语
链路(Link):当一个接口被加入到OSPF进程中时,它就被认为是OSPF的一个链路。 链路状态(Link-State):链路状态信息,包括接口的IP地址和子网掩码、接口的网络类型(比如是广播式的以太网,还是串行的点对点,或者是其他链路)、链路的花费(根据接口的带宽进计算)、链路上的邻居。
路由器ID(简称RID):路由器ID是一个用来标识此路由器的IP地址,可以在OSPF路由进程中手工指定;如果没有指定,路由器选择所有环回接口中最高的IP地址作为路由器ID;如果没有环回接口被使用,路由器将选择所有激活的物理接口中最高的IP地址作为路由器ID。
邻居(Neighbor):两台或更多路由器连接在一个公共的网络上,如两台路由器通过串行接口相连,多台路由器通过以太网接口相连。
邻接(Adjacentcy):邻接是两台路由器之间的关系,这两台路由器允许直接交换路由更新数据。OSPF只与建立了邻接关系的邻居共享路由信息。并不是所有的邻居都可以成邻接关系,这要取决于网络的类型和路由器的配置;并不是有邻接关系的路由器都是邻居,CCNP中会涉及虚电路,两台路由器并不是直接相连,也可以共享路由信息。
区域(Area):OSPF通过划分区域来实现分层设计。OSPF是以链路划分区域的,通过划分区域,将LSA扩散限制在区域内,进而可以减少每个区域内路由表条目,还可将区域内的拓扑变化的影响限制在本区域内。Area 0被称为骨干区域,骨干区域路由器具有整个AS的所有路由条目,对路由器的配置要求相对较高。
指定路由器(Designated Router,简称DR):当OSPF路由器被连接到多路访问的网络中的时候,需要选择一台指定路由器(DR),该路由器代表多路访问网络中的所有路由器,每台路由器都把拓扑变化发往DR和BDR。然后由DR通知访多路访问网络中的其他路由器。
备用的指定路由器(Backup Designated Router,简称BDR):备用的指定路由器,当DR因故离线时,BDR转变成DR,接替DR的工作。
花费(Cost):每条链路都有一个花费。花费是根据链路的带宽计算而来的,并可以人为地修改。OSPF使用的唯一度量值就是花费。
OSPF支持的网络类型:Point-to-Point,点对点,最典型的就是串行线路
Broadcast Multiaccess,广播的多路访问,最典型的就是以太网
NonBroadcast Multiaccess,非广播的多路访问,最典型的就是帧中继。
Point-to-multipoint,点对多点
Virtual Links,虚电路,两台路由器间不需要直接相邻,也能建立起邻接关系。 说明:OSPF不是一个以路由器为中心的协议,而是一个以连接为中心的协议。两台路由器要交换路由信息,必须要先成为邻居。邻居之间要传输路由信息必须要先成为邻接,并不是所有的邻居都可以成为邻接。路由器建立邻接关系的主要目的是确定它可以与哪些路由器建立双向通信,以及需要与哪些路由器形成邻接。
交换机
典型的分级设计模型把网络设计成三层:接入层(Access)、汇聚层(Distribution)和核心层(Core)。
接入层为终端设备提供访问接口。
汇聚层位于接入层和核心层之间,它把核心层同网络的其他部分区分开来。该层的目的是实现VLAN间的通信和广播域的划分,并定义了网络的策略。策略是控制某些类型通信的一种方法,这些通信类型包括路由更新、路由汇总、VLAN间通信、地址聚合、访问控制和路由的重分布等。
核心层只有一个用途,那就是快速转发。在该层的设备不应该承担访问列表检查、数据加密、MAC地址绑定、网络地址转换、路由汇聚或其他影响数据快速交换的任务。
交换机与路由器的硬件组成相似,但交换机上没有AUX(Auxiliary Port,辅助配置端口)。 交换机的远程登陆:路由器任何一个接口均可配置IP地址,交换机则不同,对于二层交换机来说,所有的端口都是二层端口,是不可以配置IP地址的;多数三层交换机,在默认情况下端口仍然是二层的,不可以配置IP地址,但可以通过命令,把二层的端口转变成三层的端口,就可以配置IP地址了。二层交换机虽然不能路由,但本身可以被配置一个IP地址,用来实现对交换机的远程管理。
MAC地址表有一个老化时间,默认是5分钟,如果交换机在5分钟之内没有再收到一个MAC地址表条目的数据帧,交换机将从MAC地址表中清除这个MAC地址条目;如果收到,则刷新MAC地址表项的老化时间。
以太网的工作原理:在以太网中,数据包被发送出去之前,首先要进行拆分(把大的包进行分组)、封装(在网络层添加源IP地址和目标IP地址,在数据链路层添加源MAC地址和下一跳的MAC地址),变成二进制的比特流。以太网中数据的传输仅知道目标的IP地址是不够的,还需要知道下一跳MAC地址,这需要借助于另外一个协议——ARP协议
ARP的工作原理:在ARP查询中:“以太网的目的地址”为0xFFFFFFFFFFFF广播地址;“以太网源地址”为本机网卡的MAC地址;“帧类型”为0x0800,表示IP地址;“OP”为ARP请求或应答,ARP请求包的OP值为1,应答包为2;“发送端以太网地址”为发送者的MAC地址;“发送端IP”为发送者的IP地址;这里“目的以太网地址”为0x[1**********]0;“目的IP”为查询MAC地址的IP地址。此包以广播形式发送到网络上,局域网中所有的计算机均收到此包,只有本机IP地址为“目的IP”的计算机对此包进行响应,并回复此包。当“发送端”收到此ARP应答包后,即获得目标IP地址对应的MAC地址,然后就可进行数据包的封装了。
IP地址冲突:用任意的MAC地址(非被攻击者真实的MAC地址)填充“发送端以太网地址”字段,用被攻击者的IP地址填充“发送端IP”字段,用被攻击者的真实MAC地址填充“目的以太网地址”字段,用被攻击者的IP地址填充“目的IP”字段,OP的值为2。当被攻击者收到这样的ARP应答后,就认为本机的IP地址在网络上已经被使用,弹出IP地址冲突对话框。
ARP欺骗:用错误的MAC地址和IP地址对应起来欺骗其他主机,使其他主机网络访问失败。 ARP攻击:用本机的MAC地址和被欺骗的IP地址向外宣告,从而达到欺骗目标主机的目的,起来中间人攻击的效果。
级联是通过网络传输介质把多台相同的交换机连接起来。根据传输介质的不同,两台交换机间距离也不同,级联的速度要受传输介质的影响,传输介质的带宽一般是100Mb/s或1000Mb/s。此外,级联还会增加延时,级联的交换机越多,查询MAC地址表的次数越多,花费的时间越长。
堆叠是通过专门的堆叠模块和堆叠线缆,把多台交换机堆叠在一起,相当于一台交换机,只不过端口的数量增加了。堆叠的线缆一般都在1000Mb/s以上。但堆叠线缆长度不般不超过一米,堆叠限制了网络的范围。堆叠比级联的速度要快,只需要查找一次MAC地址表,也就是查询总的MAC地址表。
交换机上的端口类型:思科交换机的端口类型有三种:交换端口(switchport)、路由端口(no switchport)和SVI端口(Switch Virtual Interface,交换机虚拟端口)。交换端口是一个二层端口,不能配置三层的IP地址;路由端口和SVI端口都是三层端口,可以配置IP地址。 二层交换机:思科二层交换机只有两种类型的端口:交换端口(二层交换机上的物理端口就是一个二层的交换端口)和SVI端口(二层交换机也可以被配置一个IP地址,来实现对交换机的远程管理)。
三层交换机:思科三层交换机有三种类型的端口:交换端口、路由端口和SVI端口。第三层交换机根据OSI模型网络层的IP地址完成端到端的数据交换,主要应用于不同VLAN子网间的路由。当某一信息源的第一个数据流进入第三层交换(路由)后,交换机会产生一个MAC地址与IP地址的映射表,并将该表存储起来,如同一信息源的后续数据流再次进入交换机,交换机将根据第一次产生并保存的地址映射表,直接从第二层由源地址传输到目的地址,不再经过第三层路由系统部分处理,提高了数据包的转发效率。
虚拟局域网技术:VLAN的类型:基于端口的VLAN、基于MAC地址的VLAN和基于IP地址的VLAN.
基于端口的VLAN:基于端口的VLAN是最常用的VLAN划分方式,几乎被所有的交换机所支持。所谓基于端口的VLAN,是指由网络管理员使用网管软件或直接设置软件,将某端口直接强制性地分配给某个VLAN。这种划分方式也称为静态VLAN。同时,由于不同VLAN间的端口不能相互通信,因此,每个VLAN都有自己独立的生成树。此外,交换机之间在不同VLAN中可以有多个并行链路,以提高VLAN内部的交换速率,增加交换机之间的带宽。需要注意的是,不仅可以将同一交换机的不同端口划分为同一个VLAN,而且还可以设置跨越交换机的VLAN,即将不同交换机的不同端口划分至同一个VLAN,这就完全解决了位于不同物理位置和连接至不同交换机中的用户如何使之处于同一VLAN的难题。不同交换机上具有相同ID的VLAN,可借助一条链路实现彼此之间的链接,用于连接VLAN的链路,称之为VLAN中继(VLAN Trunk)。
基于MAC的VLAN:所谓基于MAC的VLAN,就是指借助智能管理软件根据MAC地址来划分VLAN。该划分方式一般用在每一交换机端口只连接一个终端的情况。当端口连接至集线器或傻瓜交换机时,该 种划分方式并不适用。当一个网络节点刚连接到交换机时,此时交换机端口尚未分配,于是,交换机通过读取网络节点的MAC地址,动态地将该端口划入某个VLAN。一旦动态VLAN配置完成,用户的计算机就可以随意改变其连接的交换机端口,而不会由此而改变自己的VLAN。
基于IP的VLAN:根据IP地址来划分的VLAN。交换机属于OSI第二层,因此,普通交换机不能识别帧中的网络层报文,但随着第三层交换机的出现,将第二层交换机功能和第三层的路由功能结合在一起,从而使交换机也能够识别网络层报文,可以使用报文中的IP地址来
定义VLAN。
链路汇聚:使用端口聚合协议可以将多个端口绑定在一起,从而成倍地增加连接带宽,并实现链路备份以及端口负载均衡,保证交换机在几秒内快速从失败中恢复。链路汇聚技术是将多台设备之间的多条物理链路捆绑为一个逻辑链路,使得该逻辑链路的容量为所有物理链路的容量之和。同时,当其中一条物理链路中断时,整 个逻辑链路不会中断,大大地提高了网络连接的可靠性。
STP算法
根交换机选举
BID一般由3部分组成:优先级、发送交换机的MAC地址和Extended System ID(扩展的系统ID,可选项)。在不使用Extended System ID的情况下,BID由优先级和交换机的MAC地址组成。在使用Extended System ID的情况下,每个VLAN的MAC地址可以相同,BID被要求包含VLAN ID信息,解决的办法是从优先级域的16个bit中拿出低位的12bit,称为扩展的System ID,用来唯一标识每个VLAN号,剩下的4bit用来表示交换机的优先级,这种情况下优先级的取值只有24=16个,是4096的倍数。
值得一提的是,现在普遍的交换机都使用Exteded System ID。拥有最小BID的交换机选为根交换机。
在同一个广播域中的所有交换机参与选举根交换机。当一台交换机最初启动时,它假定自己就是根交换机,并发送“次优”BPDU,默认每2秒发送一个BPDU帧,BPDU帧的BID和RootID(根交换机的BID)相同。
在同一个广播域中的交换机相互之间转发BPDU帧,交换机从接收到的BPDU中读取RootID,如果读取到的RootID比本交换机的BID小,交换机更新RootID为邻居交换机的RootID,标识邻居交换机为根交换机。交换机继续转发更改过RootID的BPDU帧到其他交换机,最后在同一个生成树实例中的所有交换机都有一致的RootID,也就是根交换机的BID。 BPDU
交换机通过交换BPDU来选择根桥,BPDU帧包含12个字段,用来传输供STP使用的路径和优先级等信息。
交换机的BPDU
Flags:标记域。包含了以下信息:TC(Topology Change,拓扑变化)比特位,表示拓扑发生改变事件;TCA(Topology Change Acknowledgement,拓扑改变确认)比特位,表示收到了拓扑变化通知,进行确认
Root ID:根交换机的BID。
BridgeID:转发BPDU的交换机的BID.
PortID:转发BPDU的交换机的端口PID,等于端口优先级+端口编号。
Message ID:BPDU的最大存在时间。
Hellotime:根桥发送配置信息的间隔时间,这个值默认是2秒。
Forward delay:转发延迟。
端口角色
当STA决定使用哪一条路径之后,STA配置交换机的端口角色,端口角色描述了它与根桥的关系和是否允许转发流量。交换机的端口角色有:
根端口(Root ID,简称RP):非根交换机上离根交换机最近的端口称做根端口,每个非根交换机上有且仅有一个根端口。
指派端口(Designated Port,简称DP):每个网段都有一个指派端口,指派端口是该网段到根交换机最近的交换机上的端口。
非指派端口:既不是根端口,也不是指派端口的激活端口称做非指派端口。非指派端口处在Blocking状态,用来阻止环路,根端口和指派端口都在Forwarding状态。
禁用端口:被管理员使用“shutdown”命令关闭的端口称做禁用端口,禁用端口不参与生成树算法。
互连交换机间通过在同一个广播域中交换BPDU帧构建一个逻辑上无环的路径。为了使用这个生成树,交换机的端口需要在5种状态间转换,转换会经历3种BPDU时间。
端口状态转换
当交换机启动后,如果一个交换机端口直接转换到转发状态可能会形成暂时性的环路,这是由于交换机并不清楚整个网络的拓扑造成的,因为这个原因,STP引入了5种端口状态:Down、Blocking、Listening、Learning、Forwarding。端口状态的改变过程如下:
Down(禁用)状态:可以使用“no shut”命令和插入网线进行激活。
Blocking状态:链路激活,端口转换到Blocking状态,这个状态会逗留大约20秒的时间,主要用来决决定该端口的角色,如果该端口是根端口或指派端口,将转换到下一状态;如果该端口是非指派端口,状态继续停留在Blocking状态;本来处在Blocking状态的端口,如果接收不到BPDU了,也会转换到下一状态。
Listening状态:除了接收BPDU外,还向邻居交换机发送BPDU,通知邻居交换机它将参与激活拓扑。这个状态会逗留大约15秒时间。
Learning状态:开始学习MAC地址。这个状态会逗留大约15秒时间。
Forwarding状态:端口可以转发数据帧。
生成树的选举
为了使用STP的网络最终收敛为一个逻辑上没有环路的网络拓扑,需要通过以下4步实现: ①每个广播域只能有一个根交换机。
②每个非根交换机有且只有一个根端口。
③每个网段有且只有一个指派端口
④既不是根端口,也不是指派端口的端口将被阻塞。
选举根交换机
交换机之间通过发送BPDU(Bridge Protocol Data Unit)来选举根交换机,拥有最小BID的交换机将成为根交换机。
根端口的选举
非根交换机可能会有多个端口接收到根交换机的BPDU ,根端口的选举依照下面的顺序: ①最低花费的端口成为根端口。
②在花费相同的情况下,比较发送者的BID。
③在发送者BID相同的情况下,比较发送者的PID(Port ID)。
④在发送者的PID相同的情况下,比较接收者的PID。
选举指派端口
每个网段都有一个指派交换机,该交换机负责把网段的数据发往根交换机。指派端口的选举依照下面的顺序:
①比较花费
②比较BID
在一个正常的STP操作中,一个交换机从根端口接收根交换机发出的配置BPDU,它从不向根交换机发送BPDU。既然如此,它如何向根交换机通知拓扑变化信息呢?为了完成这个功能, 一种特殊的BPDU被引入,叫TCN(Topology Change Notification,拓扑改变通知)BPDU。当一个交换机需要通知拓扑改变时,该交换机开始从它的根端口向外发送TCN BPDU,这种TCN BPDU是一种简化的BPDU,不包含什么信息,在Hello间隔中发送。接收到这个TCN BPDU的交换机(这个网段的指派交换机),立即发回一个正常的BPDU进行确认,这个BPDU的TCA(Topology Change Acknowledgement,拓扑改变确认)比特位被设置。该指定交换机产生一个TCN BPDU。这样的过程重复下去,直至到达根交换机。
RSTP
RSTP是从STP标准发展而来的,RSTP使用版本2的BPDU。RSTP的端口状态有3种:丢弃(Discarding)、学习(Learning)和转发(Forwarding)。
无线最典型的应用就是无线局域网WLAN
无线网络和有线网络的区别
WLAN和以太网一样,都采用了IEEE的802标准。两个主导的802标准是802.3以太网和802.11无线局域网。
无线局域网和有线局域网的区别
无线网卡:无线局域网的组成是用户端连接到接入点,用户端使用的是无线网卡,无线网卡使客户工作站能够发送和接收无线电频率信号。
无线AP:一个AP连接无线客户端到有线网络,通常客户端设备不会直接通信,它们通过AP通信。在本质上,一个AP转换空气中802.11封装的帧格式到有线以太网上的802.3以太网帧格式。802.11的MAC层采用的是CSMA/CA(Carrier Sense Multiple Access/Collision
Avoidance)的冲突避免方法。CSMA/CA要求每个接入发送结点在发送帧之前需要先侦听信道,如果信道空闲,结点可以发送帧。发送站在发送完一个帧之后,必须再等待一个短的时间间隔,检查接收站是否发回帧的确认ACK。如果接收到确认,则说明此次发送没有出现冲突,发送成功;如果在规定的时间内没有收到确认,表明出现冲突,发送失败,重发该帧,直到在规定的最大重发次数之内,发送成功。
客户端与AP间的连接
802.11处理的一个关键部分是发现无线局域网,并连接到无线局域网,处理过程包括以下部分:
灯塔(Beacons):无线局域网来通告自己存在的帧,灯塔的主要目的是允许无线客户端了解到在区域内有哪些网络和AP可以使用,允许客户端选择要使用的网络和AP。AP可以周期性地广播灯塔信号,其实就是发送通告自己存在的帧。
探测(Probes):无线客户端用来发现网络的帧,客户端通过在多个通道上发送探测请求来搜索网络,探测请求指定网络的名字(SSID)和可以支持的速率。一般无线客户端会配置想要连接的SSID,因此无线客户端发出的探测请求包含想要连接网络的SSID。
认证(Authentication):802.11最初发展了两种认证机制,第一种叫做开放式认证,即不采用认证;第二种做WEP(Wired Equivalency Protection,有线相当保护)认证,通过在客户端和AP上配置共享密钥实现。这种共享WEP密钥的方式试图想在无线网络中提供像有线网络一样的安全,但这种认证方式是有缺陷的,不推荐使用这种认证方式。
连接(Association):在AP和无线客户端间建立数据链路的过程,这个阶段确定安全和速率选项,建立无线客户端和AP间的数据链路。作为这个阶段的一部分,客户端学习到BSSID,也就是AP的MAC地址。AP会映射一个逻辑端口叫AID(Association Identifier,连接识别)到无线客户端,这个AID就相当于交换机的一个端口,这样AP就可以使无线客户端的帧转发出去。
无线网安全协议
WEP共享密钥有两方面的缺陷:一是这种加密数据的机制是可以被确解的;二是不容易扩展,很难在大范围内部署。考虑到WEP的不足,TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)加密算法被建立,WPA(WiFi Protected Access,WiFi保护访问)使用TKIP加密方法,其加密特性决定了它比WEP更难以入侵。WPA与WEP不同,WEP使用一个静态的密钥来加密所有的通信,WPA不断地转换密钥。
CCMP(Counter mode with Cipher-block chaining Message authentication code Protocl,计数器模式及密码区块链信息认证码协议)是一种基于AES的加密机制,AES可以产生某些企业、政
府部门和其他机构所需要的高水平数据隐私能力。
认证
在有严格安全要求的网络中,需要有额外的登陆或认证机制。登录过程被EAP(Extended Authentication Protocol,扩展认证协议)管理,IEEE使用802.1x协议对无线局域网进行认证和授权。
EAP的认证过程:①AP上的802.11连接进程为每个无线局域网的用户创建一个虚拟接口。 ②AP阻止所有的数据帧,除了802.1x协议的通信流量
③通过AP,802.11x的数据帧携带EAP身份数据包到达服务器。这台服务器上运行RADIUS协议,可以提供认证、授权和计账,即AAA服务。这里AP起到一个中转站的作用,把服务器的EAP要求转发给无线客户端,把无线客户端的EAP应答转发给AAA服务器。
④如果EAP的验证是成功的,AAA服务器发送一个EAP的成功信息给接入点,然后让无线局域网客户端的数据流量通过虚拟接口。
⑤开放虚拟接口前WLAN客户端和AP间的数据链路被加密,以确保没有其他的WLAN客户端可以接入只能由已授权认证的客户端接入的端口。
PPP
PPP(点到点协议)支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP协议是提供在点到点链路上承载网络层数据包的一种链路层协议。PPP定义了一整套的协议包括链路控制协议(LCP)、网络层控制协议(NCP)和验证协议(PAP和CHAP)。PPP协议由于能够提供用户验证、易于扩充和支持同步异步而获得较广泛的应用。
PPP运行过程如下:
①PPP在建立链路之前将首先进行LCP协商,协商内容包括工作方式是SP还是MP、验证方式和最大单元等项目。
②LCP协商过后就进入了Establish阶段,此时LCP状态为opened,表示链路已经建立。 如果配置了验证即进入了Authenticate阶段,开始CHAP或PAP验证。
③如果验证失败进入Terminate阶段,拆除链路,LCP状态转为closed;如果验证成功就进入Network协商阶段(NCP),此时LCP状态仍为opened,而IPCP和IPXCP状态从closed转到opened。
④该链路一直保持通信,直至有明确的LCP或NCP帧关闭它,或发生了某些外部事件。 同步和异步串行通信
串行通信分为同步通信和异步通信。
异步通信:异步传输是以字符为传输单位的,每个字符都要附加1位起始位和1位停止位,以标记一个字符的开始和结束,并以此实现数据传输同步。所谓异步传输,是指字符与字符之间的时间间隔是可变的,并不需要严格地限制它们的时间关系。
同步传输:通常,同步传输是以数据块为传输单位。每个数据块的头部和尾部都要附加一个特殊的字符或比特序列,标记一个数据块的开始和结束,一般还要附加一个校验序列,以便对数据块进行差错控制。所谓同步传输,是指数据块与数据块之间的时间间隔是固定的,必须严格地规定它们的时间关系。
PPP身份验证协议
PAP(Password Authentication Protocol,密码验证协议)是一种两次握手验证协议,它在网络上采用明文方式传输用户名和口令。
CHAP(Challenge Handshake Authentication Protocol,挑战握手验证协议)是一种三次握手验证协议,它只在网络上传输用户名,而用户名口令并不在网络上传播。验证过程如下: ①在PPP链路建立阶段完成之后,验证方主动发起验证挑战“Challenge”,向被验证方发送一些随机产生的报文,并同时将路由器的主机名附带上一起发送给被验证方。
被验证方接到验证请求后,根据此报文中的主机名在本路由器的数据库中查找用户名和口令。如查找到相同的用户名,便利用报文ID和此用户名对应的口令,以及发过来的随机数,以MD5算法生成一个Hash值。
②验证方接收到此应答后,利用报文ID找到本地保存的随机数,并根据发过来的被验证路由器的名字在数据库中查找用户名对应的密码,然后用ID、随机数和密码,经MD5算法得出一个Hash值,与被验证方发过来的Hash值进行比较,如果相同,则返回接受报文,如果不同,则返回拒绝报文,表示验证没有通过。
ACL
通配符掩码
路由器使用通配符掩码与源或目标地址一起来分辩匹配的地址范围。在子网掩码中,将掩码的一位设成1表示IP地址对应的位属于网络的地址部分。而在访问控制列表中,将通配符掩码中的一位设成1表示忽略IP地址中对应的位,通配符掩码位设成0则表示IP地址中相对应的位必须精确匹配。
对于访问控制列表,判断是否匹配的过程实际分为3个步骤。
①用访问控制列表语句中的通配符掩码和地址执行逻辑或(192.168.0.2和0.0.0.255执行逻辑或,结果是192.168.0.255)
②用访问控制列表语句中的通配符掩码和数据包报头中的IP地址执行逻辑或(192.168.0.2和0.0.0.255执行逻辑或,结果是192.168.0.255)
③将两个结果相减。如果两个结果相等,相减的结果精确为零,则匹配;如果相减的结果不为零,则不匹配。
网络安全
IDS(Instrusion Detection System,IDS)检测网络攻击并发送日志记录到管理控制台。
IPS(Instrusion Prevention System,IPS)防止攻击网络,除了检测外还提供下列积极防御的机制:阻止、停止检测到的攻击。
使用SSH替代Telnet
Telnet使用明文密码,在网络上传输是非常不安全的,尤其是跨越Internet的访问。对网络的远程访问推荐使用SSH技术,SSH技术是Secure Shell的简写。通过使用SSH,可以对所有传输的数据进行加密,这样,捕获的数据包也是RSA加密后的数据包。
路由器的文件管理:路由器中的文件包括操作系统(IOS)和配置文件(startup-config)。 密码恢复技术
T568A:白绿、绿、橙白、蓝、蓝白、橙、白棕、棕
T568B:白橙、橙、白绿、蓝、白蓝、绿、白棕、棕
双绞线:直通线、交叉线和全反线
我国国内普遍采用T568B
物理层的主要功能是完成相邻结点之间原始比特流的传输,控制数据怎样被安置到通信介质上。物理层协议关心的典型问题是使用什么样的物理信号来表示数据“1”和“0”,一位持续的时间有多长,数据传输是否可同时在两个方向上进行,最初的连接如何建立和完成,通信后连接如何终止,物理接口有多少针以及各针的用处等。
物理层的主要设备
中继器:最简单的网络互联设备,主要负责在两个结点的物理层上按位传递信息,完成信号的复制、调整和放大功能,以此来延长网络的长度。
集线器:相当于多端口的中继器,集线器的内部总线仍然是一个“共享”式的传输介质,难免会发生信号碰撞,所以它不能单独应用于较大网络中(通常与交换机等设备一起分担小部分的网络通信负荷)。集线器属于OSI七层模型的物理层,采用广播方式发送数据。集线器上的所有设备属于同一冲突域,同时也属于同一个广播域。
数据链路层的主要功能是如何在不可靠的物理线路上进行数据的可靠传输。数据链路层完成的是网络中相邻结点之间可靠的数据通信。为了保证数据的可靠传输,发送方把用户数据封装成帧,并按顺序传送各帧。为了保证能让接收方收到的数据进行确性判断,发送方为每个数据块计算出CRC(循环冗余检验),并把CRC添加到帧中。数据链路层必须解决由于帧的损坏、丢失和重复所带来的问题,要解决的另一个问题是防止高速发送方的数据把低速接收方“淹没”。因此,需要某种信息流量控制机制使发送方得知接收方当前还有多少缓存空间。为了控制的方便,流量控制常常和差错处理一同实现。
数据链路层的主要设备
数据链路层通过MAC地址负责主机之间数据的可靠传输。数据链路层的设备必须能够识别出数据链路层的地址,即MAC地址。一个设备如果能识别MAC地址,该设备至少是数据链路层以上的设备。数据链路层的网络设备主要有网卡(NIC)、网桥和交换机
网卡(Network Interface Card)也叫网络适配器,是连接计算机与网络的硬件设备,网卡的主要工作原理是整理计算机上发往网线上的数据,并将数据分解为适当大小的数据包之后向网络上发送出云。
网桥工作于数据链路层,用于将两个LAN连接在一起并按MAC地址转发帧。物理层的集线器可以扩展网络的规模,但所有通过集线器相连的主机同属于一个冲突域,任何时刻只能有一台主机发送数据,如果有两台主机同时发送数据就会发生冲突,导致数据发送失败。网桥同中继器一样,网桥也是连接两个网段的设备。但和中继器不同之处在于,网桥侦听每个网段上的信号。
交换机的工作过与网桥的工作过程类似,交换机也根据源MAC学习,根据目的MAC进行转发,按每一个数据帧中的MAC地址决策信息转发,交换机也会学习并维护表中的MAC地址表。CCNA考试中经常涉及交换机转发方式的考题,交换机转发方式分为3种情况:情况一,交换机对已知的单播帧,只往对应的端口转发;情况二,交换机对未知的单播帧,即交换机还没有学到数据帧中的目的MAC地址,交换机泛洪数据包,即发往除接收端口鸡皮的所有端口;情况三,交换机对组播和广播帧进行泛洪转发,即发往除接收端口以外的所有端口。 类拟于网桥,交换机提供了网络互联功能,交换机的每个端口都是一个独立的冲突域,可以为每个工作站提供更高的带宽。可以简单地把交换机看成多端口的网桥,但二者是有一些区别的:首先,网桥一般只有2个端口,而一般交换机最少也有4个端口,甚至更多的端口;其次,网桥采用软件进行转发,而交换机采用专门设计的集成电路,基于硬件进行数据转发,
交换机以线路速率在所有的端口并行转发信息,提供了比传统网桥高得多的操作性能,操作接近单个局域网性能,远远超过了普通网桥互联网络之间的转发性能;最后,交换机的端口造价远低于网桥。
根据功能不同,可以将交换机分为:
①传统的二层交换机:与集线器相比,仅仅多了MAC地址表的功能。属于OSI七层模型的数据链接层,有一个广播域(传统的二层交换机转发广播或组播帧到除接收端口以外的所有端口)、多个冲突域(每个端口就是一个冲突域)。
②VLAN型交换机:比传统型交换机多了VLAN的功能。它仍属于数据链路层,有多个广播域(每个VLAN就是一个广播域)、多个冲突域(每个端口就是一个冲突域),并可配置IP地址,方便远程管理。
③三层交换机:比VLAN型交换机多了路由功能,可以把三层交换机相象成路由器+VLAN型交换机,但三层交换机的数据包转发性能要比路由器+VLAN型交换机的性能高出许多倍。它属于OSI七层模型的网络层,具有多个广播域、多个冲突域。工程中出于安全的考虑,有时需要把IP和MAC进行绑定,这就需要三层及三层以上的交换机才能完成,因为普通的二层交换机处于OSI七层模型的第二层,识别不了三层的IP地址,也就无法完成绑定。
网络层的主要功能是完成网络中主机间的报文传输。路由器是一种连接多个网络或网段的网络层设备,它能够将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读懂对方的数据,从而构成一个更大的网络。
传输层是整个网络的关键部分,实现两个用户进程间端到端的可靠通信,处理数据包错误、数据包次序,以及其他一些关键传输问题。传输层的主要功能有:提供建立、维护和拆除传输层连接,向网络层提供合适的服务,提供端到端的错误恢复和流量控制,向会话层提供独立于网络层的传递服务和可靠的透明数据传输。
这里介绍一种识别不同应用所使用服务端口的方法,譬如查看Windows中“远程桌面”服务所使用的服务端口,假如在计算机“10.0.248.137”上,使用远程桌面登陆到计算机“210.28.203.187”,然后在被控制的远程计算机上执行“netstat –n”命令(当然也可以在本地计算机上执行这个命令),可以看到远程主机上使用的是“3389”端口,这就是Windows远程桌面使用的默认端口。采用类似的方法,可以获知其他应用所使用的端口号。
会话层允许不同机器上的用户之间建立会话关系,会话层提供的服务之一是管理对话控制。 表示层完成某些特定的功能,对这些功能人们常常希望找到普遍的解决方法,而不必由每个用户自己来实现。值得一提的是,表示层以下各层只关心从源主机到目标主机可靠地传递比特,而表示层关心的是所传送的信息的语法和语义。表示层服务的一个典型例子是用一种大家一致选定的标准方法对数据进行编码。此外,表示层还涉及数据压缩和解压、数据加密和解密等工作。
TCP/IP是目前最成功、使用最频繁的互联网协议。TCP/IP参考模型是四层结构。
网络访问层(Network Access)的功能包话IP地址与物理硬件地址的映射,以及将IP地址分组封装成帧。基于不同硬件类型的网络接口,网络访问层定义了和物理介质的连接。此层是TCP/IP模型的最低层,负责接收从IP层传来的IP数据报,并将IP数据报通过低层物理网络发送出去,或者从低层物理网络上接收物理帖,解封装出IP数据报,交给IP层处理。 网际层(Internet)的主要功能包括三个方面:
第一、处理来自传输层的分组发送请求:将分组装入数据报,填充报头,选择去往目的结点的路径,然后将数据报发往适当的网络接口。
第二、处理输入数据报:首先检查数据报的合法性,然后进行路由选择,假如该数据报已到达目的结点,则去掉报头,将IP报文的数据部分交给相应的传输层协议;假如该数据报尚未到达目的结点,则转发该数据报。
第三、处理ICMP报文:即处理网络的路由选择、流量控制和拥塞控制等问题。
IP协议:IP的责任就是把数据从源传送到目的地。它不负责保证传送可靠性、流控制、包顺序和其他对于主机到主机协议来说很普通的协议。IP实现两个基本功能:寻址和分段。IP可以根据数据报报头中包括的目的地址将数据报传送到目的地址,在此过程中IP负责选择传送的路线,这种选择路线称为路由功能。IP不提供可靠的传输服务,它不提供端到端的或结点到结点的确认,对数据没有差错控制,它只使用报头的校验码,不提供重发和流量控制。如果出错可以通过ICMP报靠,ICMP在IP模块中实现。
ARP协议:负责将某个IP地址解析成对应的MAC地址。在局域网中,多络中实际传输的是“帧”,帧里面是有目标主机的MAC地址。在以太网中,一个主机要和另一个主机进行通信,必须要知道目标主机的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。ARP请求包是广播包,而ARP应答包是单播包。路由器有隔离广播的作用,致使ARP查询包无法穿越路由器而到达远端的目的主机。 注意:如果一台主机需要访问远端主机,数据帖的目的MAC地址并不是远端目标主机的MAC地址,而是网关的MAC地址。
传输层:在TCP/IP网络中,IP采用无连接的数据报机制,对数据进行“尽力而为的传递”,即只管将报文尽力传递到目的主机,无论传输正确与否,不做验证,不发确认,也不保证报文的顺序。TCP/IP的可靠性体现在传输层,传输层协议之一的TCP协议提供面向连接的报务(传输层的另一个协议是UDP是无连接的)。传输层的主机功能是可靠而又准确地传输并控制源主机与目的主机之间的信息源,提供端到端的控制,通过滑动窗口机制提供流控制,通过序列号和确认号机制来保证可靠性。TCP传输控制协议发送数据分段时,可以保证数据的完整性。流控制可以避免发送数据的主机使接收主机的缓存溢出的问题,缓存溢出会导致数据的丢失。可靠的传输可以通过下列方法实现:
①接收方对收到的数据分段向发送方进行确认;
②发送方向接收方得传所有未被确认的数据分段;
③在目的端将数据分段按正确的顺序重组,并删除重复的数据分段
④提供避免和控制拥塞的机制。
TCP协议:TCP是一种面向连接的传输层协议,能提供可靠的数据传输。在面向连接的环境中,开始传输数据之前,端点之间先要建立连接。TCP负责将消息拆分成数据分段,并对数据分段进行编号,重传丢失的数据分段并将数据分段在目的主机重组成消息。
以太网交换机使用5个基本操作来完成功能:学习、老化、泛洪、选择性转发、过滤。 学习:交换机MAC地址表包含MAC地址和对应的端口。每一个帧进入交换机时交换机审查源MAC地址,时空行查找,如果MAC地址表中没包含这个MAC地址,交换机就创建一个新的条目,包括源MAC地址和接收的端口。以后如果有支往这个MAC地址的帧,交换机则往对应的端口进行转发。
老化:交换机中的MAC地址条目有一个生存时间。每学到一个MAC地址条目,都附加一个时间值。随着时间的流逝,该数值一直减小,当数据值减小到0时,清除该MAC地址条目。如果有包含该MAC地址的校报的帧到达,则刷新MAC地址的老化时间值。
泛洪:如果交换机收到一个数据帧,则可在交换机的MAC地址表中查找,若找不到该数据帧的目的MAC地址,交换机转发该数据帧到除接收端口以外的所有端口,即广播该数据帖。如果交换机收到一个广播的数据帧,即数据帧的目的MAC地址是“FFFFFFFFFFFF”,交换机也会转发该数据帧到除接收端口外的所有端口。因为没有设备的MAC地址是“FFFFFFFFFFFF”,交换机根据数据帧的MAC地址进行学习,永远也不会学到这个MAC地址。
选择性转发:交换机根据帧的目的MAC地址进行转发。当交换机收到某个数据帧时,交换机在MAC地址表中查找该数据帧的目的MAC地址,如果交换机已经学到这个MAC地址,
数据帧将被转发到该MAC地址相应的端口,而不用泛洪到所有的端口。
过滤:在某些情况下,帧不会转发,这个过程被称为过滤。一种情况是,交换机不转发帧到接收到的端口;另一种情况是,如果一个帧的CRC校验失败,帧也会被丢弃。使用帧过滤的另一个原因是安全方面的考滤,可以阻止或允许交换机转发特定的MAC地址到特定的端口。
路由选择协议
网络号和主机号组合起来才构成一个完整的IP地址。同一个网络中的主机IP地址,其网络号必须是相同的,这个网络称为IP子网。
有相同网络号的主机之间可以直接通信,要与其他IP子网的主机进行通信,则必须要经过同一网络上的某个路由器或网关实现。不同网络号的IP地址不能直接通信,即使它们连接在一起,也不能通信。
路由器有多个端口,用于连接多个IP子网,每个端口的IP地址的网络号要与所连接的IP子网的网络号相同。不同的端口对应不同的IP子网,路由器多个端口的网络号必须不同。路由器不转发广播消息,而把广播消息限制在各自的网络内部。
路由器原理:路由选择发生在网络层,主机由路由器来完成,路由器可以将LAN连接在WAN上,或者将两个使用不同介质访问控制子层的LAN连接起来。路由器的工作就是接收信息分组,根据当前网络的状况将其导向最有效的路径。
一般的主机都配置了“默认网关”,“默认网关”是每台主机上的一个配置参数,它是接在同一个网络上的某个路由器端口的IP地址,主机把所有未知网络的IP分组都发送给“默认网关”。
路由包括两个基本动作:寻址和转发。
寻址即寻找到达目的地的最佳路径,由路由选择算法来实现。网络中的寻址方式有两种: 直接寻址:源主机与目的主机在相同网络中。在物理网络内部确定主机间的数据传输路径,不经过路由器。
间接寻址:源主机与目的主机在不同网络中。当主机需要向不在同一网络中的主机发送分组时,主机先要使用数据链路层地址和路由器的一个接口通信。路由器检查接收分组,确定分组的目的网络,然后参照路由表,决定分组应从哪个接口发送出去,并用外出接口的数据链路层地址进行封装,接着再排队准备被转发,最后在目的网络中用直接寻址方法到达目的主机。
直接寻址发生在第二层,根据物理地址来进行。间接寻址在第三层完成,依据是IP地址。 转发即沿寻址好的最佳路径传送消息分组。路由器首先在路由表中查找,判明是否知道如何将分组发送到下一个站点,如果路由器不知道如何发送分组,通常将该分组丢弃;否则就根据路由表的相应表项将分组发送到下一个站点,如果目的网络直接与路由器相连,路由器就把分组直接发送到相应的端口上。
注:EIGRP是一个高级的距离矢量协议,同时具有距离矢量和链路状态路由协议的特征,有时也被称为混合协议。
动态路由协议:动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由表的过程。它能实时地适应网络结构的变化,如果路由更新信息表明发生了网络变化,路由选择软件就会重新计算路由,并发出新的路由更新信息。这些信息通过各个网络,引起各路由器执行路由算法,并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然,各种动态路由协议会不同程度地占用网络带宽和CPU资源。
管理距离(Administrative Distance,简称AD),是用来衡量路由可信度的一个参数。管理距离越小,路由越可靠,这意味着具有较小管理距离的路由将优于较大管理距离的路由,管理距离的取值范围为0~255的整数值,0是最可信的,255是最不可信的。如果一台路由器收到同一个网络的两个路由更新信息,路由表将把管理距离小的路由放入路由表中。
路由选择原则:当一个目标地址被多个目标网络覆盖、一个目标网络的多种路由协议的多条路径共存时,或者当一个目标网络同一种路由协议的多条路径共存时,路由器应该如何进行路由的选择,路由器依照下列的选路原则进行路由选择:
子网掩码最长匹配:也就是如果一个目标地址被多个目标网络覆盖,它将优先选择最长的子网掩码的路由,匹配得更精确。比如到达10.0.0.1的网络有两个:10.0.0.0/24的下一跳是12.1.1.2,10.0.0.0/16的下一跳是13.1.1.3,则路由器更相信子网掩码长的10.0.0.0/24的路由,因为掩码长度24大于16,路由器把数据包发往12.1.1.2。如果路由器上有发往10.0.0.1的数据包,将选择10.0.0.0/16路由,因为目标地址10.0.0.1不包括在路由条目10.0.0.0/24内。 管理距离最小优先:在子网掩码长度相同的情况下,路由器优先选择管理距离小的路由。比如,到达10.1.1.0/24的路由有两条,一条是通过RIP学习来的,另外一条是通过OSPF学习来的,则路由器相信OSPF学习来的路由,因为它有更小的管理距离110,RIP的管理距离是120。
度量值最小优先:如果路由的子网掩码长度相同,管理距离也相等,接下来比较的就是度量值。比如路由器在通过RIP路由协议学到了10.0.0.0/24的两个条目,一个条目的跳数是2,另一个条目的跳数是3,RIP将使用跳数越少的条目。跳数是2的条目将被添加到路由表中,跳数是3的条目不会出现在路由表中,如果跳数是2的路由条目消失,跳数是3的路由表条目才会出现在路由表中。
距离矢量路由协议:距离路由选择算法定期地将路由表的拷贝从一个路由表发往另一个路由器。这些在路由器间的定期更新交流了网络的路由信息和变化,基于距离矢量的路由选择算法也称为贝尔曼—福特算法。RIP和IGRP都是距离矢量路由协议,它们都定期地发送整个路由表到直接相邻的路由表。
链路状态路由协议:链路状态路由协议是复杂的,可扩展的路由选择协议。链路状态路由协议使用Dijkstra算法,也被称为SPF算法。而距离矢量路由协议使用的是Bellman-Ford算法,高级的距离矢量路由协议EIGRP使用的是DUAL算法。距离路由矢量协议就像是交通标志,仅仅给出方向和距离,根据指引一步一步地接近目的地,但并不知道整个网络的拓扑是什么样的。而链路状态路由协议更像是一幅地图,在地图中,可以看到所有的潜在路线,并确定首选的路径。距离矢量路由有时也称为传闻路幅度,即相信其他路由器通告的路由都是真实的。链路状态路由协议采取一种不同的做法,看起来更像一个路线图。链路状态路由协议收集整个网络的拓扑信息,并基于这个拓扑信息决定到每一个网络的最短路径。
链路状态路由协议工作过程:在收敛过程中,所有的链路状态路由将执行下面的过程,一、每台路由器学习自己的链路,也就是激活的直接相连的网络;二、每台路由器与直接相连的路由器进行交互,路由器间相互发送Hello报文,建立邻居关系;三、每台路由器构建包含
注:EIGRP是一个高级的距离矢量协议,同时具有距离矢量和链路状态路由协议的特征,有时也被称为混合协议。
动态路由协议:动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由表的过程。它能实时地适应网络结构的变化,如果路由更新信息表明发生了网络变化,路由选择软件就会重新计算路由,并发出新的路由更新信息。这些信息通过各个网络,引起各路由器执行路由算法,并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然,各种动态路由协议会不同程度地占用网络带宽和CPU资源。
管理距离(Administrative Distance,简称AD),是用来衡量路由可信度的一个参数。管理距离越小,路由越可靠,这意味着具有较小管理距离的路由将优于较大管理距离的路由,管理距离的取值范围为0~255的整数值,0是最可信的,255是最不可信的。如果一台路由器收到同一个网络的两个路由更新信息,路由表将把管理距离小的路由放入路由表中。
路由选择原则:当一个目标地址被多个目标网络覆盖、一个目标网络的多种路由协议的多条路径共存时,或者当一个目标网络同一种路由协议的多条路径共存时,路由器应该如何进行路由的选择,路由器依照下列的选路原则进行路由选择:
子网掩码最长匹配:也就是如果一个目标地址被多个目标网络覆盖,它将优先选择最长的子网掩码的路由,匹配得更精确。比如到达10.0.0.1的网络有两个:10.0.0.0/24的下一跳是12.1.1.2,10.0.0.0/16的下一跳是13.1.1.3,则路由器更相信子网掩码长的10.0.0.0/24的路由,因为掩码长度24大于16,路由器把数据包发往12.1.1.2。如果路由器上有发往10.0.0.1的数据包,将选择10.0.0.0/16路由,因为目标地址10.0.0.1不包括在路由条目10.0.0.0/24内。 管理距离最小优先:在子网掩码长度相同的情况下,路由器优先选择管理距离小的路由。比如,到达10.1.1.0/24的路由有两条,一条是通过RIP学习来的,另外一条是通过OSPF学习来的,则路由器相信OSPF学习来的路由,因为它有更小的管理距离110,RIP的管理距离是120。
度量值最小优先:如果路由的子网掩码长度相同,管理距离也相等,接下来比较的就是度量值。比如路由器在通过RIP路由协议学到了10.0.0.0/24的两个条目,一个条目的跳数是2,另一个条目的跳数是3,RIP将使用跳数越少的条目。跳数是2的条目将被添加到路由表中,跳数是3的条目不会出现在路由表中,如果跳数是2的路由条目消失,跳数是3的路由表条目才会出现在路由表中。
距离矢量路由协议:距离路由选择算法定期地将路由表的拷贝从一个路由表发往另一个路由器。这些在路由器间的定期更新交流了网络的路由信息和变化,基于距离矢量的路由选择算法也称为贝尔曼—福特算法。RIP和IGRP都是距离矢量路由协议,它们都定期地发送整个路由表到直接相邻的路由表。
链路状态路由协议:链路状态路由协议是复杂的,可扩展的路由选择协议。链路状态路由协议使用Dijkstra算法,也被称为SPF算法。而距离矢量路由协议使用的是Bellman-Ford算法,高级的距离矢量路由协议EIGRP使用的是DUAL算法。距离路由矢量协议就像是交通标志,仅仅给出方向和距离,根据指引一步一步地接近目的地,但并不知道整个网络的拓扑是什么样的。而链路状态路由协议更像是一幅地图,在地图中,可以看到所有的潜在路线,并确定首选的路径。距离矢量路由有时也称为传闻路幅度,即相信其他路由器通告的路由都是真实的。链路状态路由协议采取一种不同的做法,看起来更像一个路线图。链路状态路由协议收集整个网络的拓扑信息,并基于这个拓扑信息决定到每一个网络的最短路径。
链路状态路由协议工作过程:在收敛过程中,所有的链路状态路由将执行下面的过程,一、每台路由器学习自己的链路,也就是激活的直接相连的网络;二、每台路由器与直接相连的路由器进行交互,路由器间相互发送Hello报文,建立邻居关系;三、每台路由器构建包含
直接相连的链路状态的LSA(Link-State Advertisement,链路状态通告),LSA中记录了所有相关的路由器,包括邻居路由器的标识、链路类型和带宽等;四、每台路由器泛洪LSA给所有的邻居,路由器在数据库中存储所有收到的LSA,邻居路由器再泛洪收到的LSA给自己所有的邻居,直到在同一个区域内的所有路由器都收到了所有的LSA,每台路由器在本地数据库中保存所有收到的LSA的拷贝,被称为LSDB(链路状态数据库);五、每台路由器基于本地的链路状态数据库,然后执行SPF算法,以本路由器为树根,生成一个SPF树,基于SPF树,计算到每一个目的网络的最短路径,也就路由表。
链路状态路由协议维护三张表:邻居表、拓扑表和路由表。
OSPF:OSPF是一个开放标准许的路由选择协议,被各种网络开发商广泛支持,其中包括思科的路由器和交换机,可以这么说,OSPF是目前使用最广泛的IGP路由协议。RIPv1和RIPv2收敛速度较慢,在大型复杂的网络中还容易带来路由环路问题;IGRP和RIPv1一样,也是有类路由协议,不支持VLSM和CIDR,同样有距离矢量路由协议的缺点,现在基本上退出了历史的舞台,EIGRP是一个高级的距离矢量路由协议,虽然支持VLSM和CIDR,并能快速收敛,也不会产五路由环路,但它是一个私有协议,仅能应用在思科公司的设备上。
OSPF是一个链路状态路由协议,采用SPF算法,在同一个区域内的所有路由器交换LSA,构建LSDB,每台路由器以本路由器为根,基于LSDB执行SPF算法,生成SPF树,计算到每个目的地的最短路径,产生路由表。
OSPF术语
链路(Link):当一个接口被加入到OSPF进程中时,它就被认为是OSPF的一个链路。 链路状态(Link-State):链路状态信息,包括接口的IP地址和子网掩码、接口的网络类型(比如是广播式的以太网,还是串行的点对点,或者是其他链路)、链路的花费(根据接口的带宽进计算)、链路上的邻居。
路由器ID(简称RID):路由器ID是一个用来标识此路由器的IP地址,可以在OSPF路由进程中手工指定;如果没有指定,路由器选择所有环回接口中最高的IP地址作为路由器ID;如果没有环回接口被使用,路由器将选择所有激活的物理接口中最高的IP地址作为路由器ID。
邻居(Neighbor):两台或更多路由器连接在一个公共的网络上,如两台路由器通过串行接口相连,多台路由器通过以太网接口相连。
邻接(Adjacentcy):邻接是两台路由器之间的关系,这两台路由器允许直接交换路由更新数据。OSPF只与建立了邻接关系的邻居共享路由信息。并不是所有的邻居都可以成邻接关系,这要取决于网络的类型和路由器的配置;并不是有邻接关系的路由器都是邻居,CCNP中会涉及虚电路,两台路由器并不是直接相连,也可以共享路由信息。
区域(Area):OSPF通过划分区域来实现分层设计。OSPF是以链路划分区域的,通过划分区域,将LSA扩散限制在区域内,进而可以减少每个区域内路由表条目,还可将区域内的拓扑变化的影响限制在本区域内。Area 0被称为骨干区域,骨干区域路由器具有整个AS的所有路由条目,对路由器的配置要求相对较高。
指定路由器(Designated Router,简称DR):当OSPF路由器被连接到多路访问的网络中的时候,需要选择一台指定路由器(DR),该路由器代表多路访问网络中的所有路由器,每台路由器都把拓扑变化发往DR和BDR。然后由DR通知访多路访问网络中的其他路由器。
备用的指定路由器(Backup Designated Router,简称BDR):备用的指定路由器,当DR因故离线时,BDR转变成DR,接替DR的工作。
花费(Cost):每条链路都有一个花费。花费是根据链路的带宽计算而来的,并可以人为地修改。OSPF使用的唯一度量值就是花费。
OSPF支持的网络类型:Point-to-Point,点对点,最典型的就是串行线路
Broadcast Multiaccess,广播的多路访问,最典型的就是以太网
NonBroadcast Multiaccess,非广播的多路访问,最典型的就是帧中继。
Point-to-multipoint,点对多点
Virtual Links,虚电路,两台路由器间不需要直接相邻,也能建立起邻接关系。 说明:OSPF不是一个以路由器为中心的协议,而是一个以连接为中心的协议。两台路由器要交换路由信息,必须要先成为邻居。邻居之间要传输路由信息必须要先成为邻接,并不是所有的邻居都可以成为邻接。路由器建立邻接关系的主要目的是确定它可以与哪些路由器建立双向通信,以及需要与哪些路由器形成邻接。
交换机
典型的分级设计模型把网络设计成三层:接入层(Access)、汇聚层(Distribution)和核心层(Core)。
接入层为终端设备提供访问接口。
汇聚层位于接入层和核心层之间,它把核心层同网络的其他部分区分开来。该层的目的是实现VLAN间的通信和广播域的划分,并定义了网络的策略。策略是控制某些类型通信的一种方法,这些通信类型包括路由更新、路由汇总、VLAN间通信、地址聚合、访问控制和路由的重分布等。
核心层只有一个用途,那就是快速转发。在该层的设备不应该承担访问列表检查、数据加密、MAC地址绑定、网络地址转换、路由汇聚或其他影响数据快速交换的任务。
交换机与路由器的硬件组成相似,但交换机上没有AUX(Auxiliary Port,辅助配置端口)。 交换机的远程登陆:路由器任何一个接口均可配置IP地址,交换机则不同,对于二层交换机来说,所有的端口都是二层端口,是不可以配置IP地址的;多数三层交换机,在默认情况下端口仍然是二层的,不可以配置IP地址,但可以通过命令,把二层的端口转变成三层的端口,就可以配置IP地址了。二层交换机虽然不能路由,但本身可以被配置一个IP地址,用来实现对交换机的远程管理。
MAC地址表有一个老化时间,默认是5分钟,如果交换机在5分钟之内没有再收到一个MAC地址表条目的数据帧,交换机将从MAC地址表中清除这个MAC地址条目;如果收到,则刷新MAC地址表项的老化时间。
以太网的工作原理:在以太网中,数据包被发送出去之前,首先要进行拆分(把大的包进行分组)、封装(在网络层添加源IP地址和目标IP地址,在数据链路层添加源MAC地址和下一跳的MAC地址),变成二进制的比特流。以太网中数据的传输仅知道目标的IP地址是不够的,还需要知道下一跳MAC地址,这需要借助于另外一个协议——ARP协议
ARP的工作原理:在ARP查询中:“以太网的目的地址”为0xFFFFFFFFFFFF广播地址;“以太网源地址”为本机网卡的MAC地址;“帧类型”为0x0800,表示IP地址;“OP”为ARP请求或应答,ARP请求包的OP值为1,应答包为2;“发送端以太网地址”为发送者的MAC地址;“发送端IP”为发送者的IP地址;这里“目的以太网地址”为0x[1**********]0;“目的IP”为查询MAC地址的IP地址。此包以广播形式发送到网络上,局域网中所有的计算机均收到此包,只有本机IP地址为“目的IP”的计算机对此包进行响应,并回复此包。当“发送端”收到此ARP应答包后,即获得目标IP地址对应的MAC地址,然后就可进行数据包的封装了。
IP地址冲突:用任意的MAC地址(非被攻击者真实的MAC地址)填充“发送端以太网地址”字段,用被攻击者的IP地址填充“发送端IP”字段,用被攻击者的真实MAC地址填充“目的以太网地址”字段,用被攻击者的IP地址填充“目的IP”字段,OP的值为2。当被攻击者收到这样的ARP应答后,就认为本机的IP地址在网络上已经被使用,弹出IP地址冲突对话框。
ARP欺骗:用错误的MAC地址和IP地址对应起来欺骗其他主机,使其他主机网络访问失败。 ARP攻击:用本机的MAC地址和被欺骗的IP地址向外宣告,从而达到欺骗目标主机的目的,起来中间人攻击的效果。
级联是通过网络传输介质把多台相同的交换机连接起来。根据传输介质的不同,两台交换机间距离也不同,级联的速度要受传输介质的影响,传输介质的带宽一般是100Mb/s或1000Mb/s。此外,级联还会增加延时,级联的交换机越多,查询MAC地址表的次数越多,花费的时间越长。
堆叠是通过专门的堆叠模块和堆叠线缆,把多台交换机堆叠在一起,相当于一台交换机,只不过端口的数量增加了。堆叠的线缆一般都在1000Mb/s以上。但堆叠线缆长度不般不超过一米,堆叠限制了网络的范围。堆叠比级联的速度要快,只需要查找一次MAC地址表,也就是查询总的MAC地址表。
交换机上的端口类型:思科交换机的端口类型有三种:交换端口(switchport)、路由端口(no switchport)和SVI端口(Switch Virtual Interface,交换机虚拟端口)。交换端口是一个二层端口,不能配置三层的IP地址;路由端口和SVI端口都是三层端口,可以配置IP地址。 二层交换机:思科二层交换机只有两种类型的端口:交换端口(二层交换机上的物理端口就是一个二层的交换端口)和SVI端口(二层交换机也可以被配置一个IP地址,来实现对交换机的远程管理)。
三层交换机:思科三层交换机有三种类型的端口:交换端口、路由端口和SVI端口。第三层交换机根据OSI模型网络层的IP地址完成端到端的数据交换,主要应用于不同VLAN子网间的路由。当某一信息源的第一个数据流进入第三层交换(路由)后,交换机会产生一个MAC地址与IP地址的映射表,并将该表存储起来,如同一信息源的后续数据流再次进入交换机,交换机将根据第一次产生并保存的地址映射表,直接从第二层由源地址传输到目的地址,不再经过第三层路由系统部分处理,提高了数据包的转发效率。
虚拟局域网技术:VLAN的类型:基于端口的VLAN、基于MAC地址的VLAN和基于IP地址的VLAN.
基于端口的VLAN:基于端口的VLAN是最常用的VLAN划分方式,几乎被所有的交换机所支持。所谓基于端口的VLAN,是指由网络管理员使用网管软件或直接设置软件,将某端口直接强制性地分配给某个VLAN。这种划分方式也称为静态VLAN。同时,由于不同VLAN间的端口不能相互通信,因此,每个VLAN都有自己独立的生成树。此外,交换机之间在不同VLAN中可以有多个并行链路,以提高VLAN内部的交换速率,增加交换机之间的带宽。需要注意的是,不仅可以将同一交换机的不同端口划分为同一个VLAN,而且还可以设置跨越交换机的VLAN,即将不同交换机的不同端口划分至同一个VLAN,这就完全解决了位于不同物理位置和连接至不同交换机中的用户如何使之处于同一VLAN的难题。不同交换机上具有相同ID的VLAN,可借助一条链路实现彼此之间的链接,用于连接VLAN的链路,称之为VLAN中继(VLAN Trunk)。
基于MAC的VLAN:所谓基于MAC的VLAN,就是指借助智能管理软件根据MAC地址来划分VLAN。该划分方式一般用在每一交换机端口只连接一个终端的情况。当端口连接至集线器或傻瓜交换机时,该 种划分方式并不适用。当一个网络节点刚连接到交换机时,此时交换机端口尚未分配,于是,交换机通过读取网络节点的MAC地址,动态地将该端口划入某个VLAN。一旦动态VLAN配置完成,用户的计算机就可以随意改变其连接的交换机端口,而不会由此而改变自己的VLAN。
基于IP的VLAN:根据IP地址来划分的VLAN。交换机属于OSI第二层,因此,普通交换机不能识别帧中的网络层报文,但随着第三层交换机的出现,将第二层交换机功能和第三层的路由功能结合在一起,从而使交换机也能够识别网络层报文,可以使用报文中的IP地址来
定义VLAN。
链路汇聚:使用端口聚合协议可以将多个端口绑定在一起,从而成倍地增加连接带宽,并实现链路备份以及端口负载均衡,保证交换机在几秒内快速从失败中恢复。链路汇聚技术是将多台设备之间的多条物理链路捆绑为一个逻辑链路,使得该逻辑链路的容量为所有物理链路的容量之和。同时,当其中一条物理链路中断时,整 个逻辑链路不会中断,大大地提高了网络连接的可靠性。
STP算法
根交换机选举
BID一般由3部分组成:优先级、发送交换机的MAC地址和Extended System ID(扩展的系统ID,可选项)。在不使用Extended System ID的情况下,BID由优先级和交换机的MAC地址组成。在使用Extended System ID的情况下,每个VLAN的MAC地址可以相同,BID被要求包含VLAN ID信息,解决的办法是从优先级域的16个bit中拿出低位的12bit,称为扩展的System ID,用来唯一标识每个VLAN号,剩下的4bit用来表示交换机的优先级,这种情况下优先级的取值只有24=16个,是4096的倍数。
值得一提的是,现在普遍的交换机都使用Exteded System ID。拥有最小BID的交换机选为根交换机。
在同一个广播域中的所有交换机参与选举根交换机。当一台交换机最初启动时,它假定自己就是根交换机,并发送“次优”BPDU,默认每2秒发送一个BPDU帧,BPDU帧的BID和RootID(根交换机的BID)相同。
在同一个广播域中的交换机相互之间转发BPDU帧,交换机从接收到的BPDU中读取RootID,如果读取到的RootID比本交换机的BID小,交换机更新RootID为邻居交换机的RootID,标识邻居交换机为根交换机。交换机继续转发更改过RootID的BPDU帧到其他交换机,最后在同一个生成树实例中的所有交换机都有一致的RootID,也就是根交换机的BID。 BPDU
交换机通过交换BPDU来选择根桥,BPDU帧包含12个字段,用来传输供STP使用的路径和优先级等信息。
交换机的BPDU
Flags:标记域。包含了以下信息:TC(Topology Change,拓扑变化)比特位,表示拓扑发生改变事件;TCA(Topology Change Acknowledgement,拓扑改变确认)比特位,表示收到了拓扑变化通知,进行确认
Root ID:根交换机的BID。
BridgeID:转发BPDU的交换机的BID.
PortID:转发BPDU的交换机的端口PID,等于端口优先级+端口编号。
Message ID:BPDU的最大存在时间。
Hellotime:根桥发送配置信息的间隔时间,这个值默认是2秒。
Forward delay:转发延迟。
端口角色
当STA决定使用哪一条路径之后,STA配置交换机的端口角色,端口角色描述了它与根桥的关系和是否允许转发流量。交换机的端口角色有:
根端口(Root ID,简称RP):非根交换机上离根交换机最近的端口称做根端口,每个非根交换机上有且仅有一个根端口。
指派端口(Designated Port,简称DP):每个网段都有一个指派端口,指派端口是该网段到根交换机最近的交换机上的端口。
非指派端口:既不是根端口,也不是指派端口的激活端口称做非指派端口。非指派端口处在Blocking状态,用来阻止环路,根端口和指派端口都在Forwarding状态。
禁用端口:被管理员使用“shutdown”命令关闭的端口称做禁用端口,禁用端口不参与生成树算法。
互连交换机间通过在同一个广播域中交换BPDU帧构建一个逻辑上无环的路径。为了使用这个生成树,交换机的端口需要在5种状态间转换,转换会经历3种BPDU时间。
端口状态转换
当交换机启动后,如果一个交换机端口直接转换到转发状态可能会形成暂时性的环路,这是由于交换机并不清楚整个网络的拓扑造成的,因为这个原因,STP引入了5种端口状态:Down、Blocking、Listening、Learning、Forwarding。端口状态的改变过程如下:
Down(禁用)状态:可以使用“no shut”命令和插入网线进行激活。
Blocking状态:链路激活,端口转换到Blocking状态,这个状态会逗留大约20秒的时间,主要用来决决定该端口的角色,如果该端口是根端口或指派端口,将转换到下一状态;如果该端口是非指派端口,状态继续停留在Blocking状态;本来处在Blocking状态的端口,如果接收不到BPDU了,也会转换到下一状态。
Listening状态:除了接收BPDU外,还向邻居交换机发送BPDU,通知邻居交换机它将参与激活拓扑。这个状态会逗留大约15秒时间。
Learning状态:开始学习MAC地址。这个状态会逗留大约15秒时间。
Forwarding状态:端口可以转发数据帧。
生成树的选举
为了使用STP的网络最终收敛为一个逻辑上没有环路的网络拓扑,需要通过以下4步实现: ①每个广播域只能有一个根交换机。
②每个非根交换机有且只有一个根端口。
③每个网段有且只有一个指派端口
④既不是根端口,也不是指派端口的端口将被阻塞。
选举根交换机
交换机之间通过发送BPDU(Bridge Protocol Data Unit)来选举根交换机,拥有最小BID的交换机将成为根交换机。
根端口的选举
非根交换机可能会有多个端口接收到根交换机的BPDU ,根端口的选举依照下面的顺序: ①最低花费的端口成为根端口。
②在花费相同的情况下,比较发送者的BID。
③在发送者BID相同的情况下,比较发送者的PID(Port ID)。
④在发送者的PID相同的情况下,比较接收者的PID。
选举指派端口
每个网段都有一个指派交换机,该交换机负责把网段的数据发往根交换机。指派端口的选举依照下面的顺序:
①比较花费
②比较BID
在一个正常的STP操作中,一个交换机从根端口接收根交换机发出的配置BPDU,它从不向根交换机发送BPDU。既然如此,它如何向根交换机通知拓扑变化信息呢?为了完成这个功能, 一种特殊的BPDU被引入,叫TCN(Topology Change Notification,拓扑改变通知)BPDU。当一个交换机需要通知拓扑改变时,该交换机开始从它的根端口向外发送TCN BPDU,这种TCN BPDU是一种简化的BPDU,不包含什么信息,在Hello间隔中发送。接收到这个TCN BPDU的交换机(这个网段的指派交换机),立即发回一个正常的BPDU进行确认,这个BPDU的TCA(Topology Change Acknowledgement,拓扑改变确认)比特位被设置。该指定交换机产生一个TCN BPDU。这样的过程重复下去,直至到达根交换机。
RSTP
RSTP是从STP标准发展而来的,RSTP使用版本2的BPDU。RSTP的端口状态有3种:丢弃(Discarding)、学习(Learning)和转发(Forwarding)。
无线最典型的应用就是无线局域网WLAN
无线网络和有线网络的区别
WLAN和以太网一样,都采用了IEEE的802标准。两个主导的802标准是802.3以太网和802.11无线局域网。
无线局域网和有线局域网的区别
无线网卡:无线局域网的组成是用户端连接到接入点,用户端使用的是无线网卡,无线网卡使客户工作站能够发送和接收无线电频率信号。
无线AP:一个AP连接无线客户端到有线网络,通常客户端设备不会直接通信,它们通过AP通信。在本质上,一个AP转换空气中802.11封装的帧格式到有线以太网上的802.3以太网帧格式。802.11的MAC层采用的是CSMA/CA(Carrier Sense Multiple Access/Collision
Avoidance)的冲突避免方法。CSMA/CA要求每个接入发送结点在发送帧之前需要先侦听信道,如果信道空闲,结点可以发送帧。发送站在发送完一个帧之后,必须再等待一个短的时间间隔,检查接收站是否发回帧的确认ACK。如果接收到确认,则说明此次发送没有出现冲突,发送成功;如果在规定的时间内没有收到确认,表明出现冲突,发送失败,重发该帧,直到在规定的最大重发次数之内,发送成功。
客户端与AP间的连接
802.11处理的一个关键部分是发现无线局域网,并连接到无线局域网,处理过程包括以下部分:
灯塔(Beacons):无线局域网来通告自己存在的帧,灯塔的主要目的是允许无线客户端了解到在区域内有哪些网络和AP可以使用,允许客户端选择要使用的网络和AP。AP可以周期性地广播灯塔信号,其实就是发送通告自己存在的帧。
探测(Probes):无线客户端用来发现网络的帧,客户端通过在多个通道上发送探测请求来搜索网络,探测请求指定网络的名字(SSID)和可以支持的速率。一般无线客户端会配置想要连接的SSID,因此无线客户端发出的探测请求包含想要连接网络的SSID。
认证(Authentication):802.11最初发展了两种认证机制,第一种叫做开放式认证,即不采用认证;第二种做WEP(Wired Equivalency Protection,有线相当保护)认证,通过在客户端和AP上配置共享密钥实现。这种共享WEP密钥的方式试图想在无线网络中提供像有线网络一样的安全,但这种认证方式是有缺陷的,不推荐使用这种认证方式。
连接(Association):在AP和无线客户端间建立数据链路的过程,这个阶段确定安全和速率选项,建立无线客户端和AP间的数据链路。作为这个阶段的一部分,客户端学习到BSSID,也就是AP的MAC地址。AP会映射一个逻辑端口叫AID(Association Identifier,连接识别)到无线客户端,这个AID就相当于交换机的一个端口,这样AP就可以使无线客户端的帧转发出去。
无线网安全协议
WEP共享密钥有两方面的缺陷:一是这种加密数据的机制是可以被确解的;二是不容易扩展,很难在大范围内部署。考虑到WEP的不足,TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)加密算法被建立,WPA(WiFi Protected Access,WiFi保护访问)使用TKIP加密方法,其加密特性决定了它比WEP更难以入侵。WPA与WEP不同,WEP使用一个静态的密钥来加密所有的通信,WPA不断地转换密钥。
CCMP(Counter mode with Cipher-block chaining Message authentication code Protocl,计数器模式及密码区块链信息认证码协议)是一种基于AES的加密机制,AES可以产生某些企业、政
府部门和其他机构所需要的高水平数据隐私能力。
认证
在有严格安全要求的网络中,需要有额外的登陆或认证机制。登录过程被EAP(Extended Authentication Protocol,扩展认证协议)管理,IEEE使用802.1x协议对无线局域网进行认证和授权。
EAP的认证过程:①AP上的802.11连接进程为每个无线局域网的用户创建一个虚拟接口。 ②AP阻止所有的数据帧,除了802.1x协议的通信流量
③通过AP,802.11x的数据帧携带EAP身份数据包到达服务器。这台服务器上运行RADIUS协议,可以提供认证、授权和计账,即AAA服务。这里AP起到一个中转站的作用,把服务器的EAP要求转发给无线客户端,把无线客户端的EAP应答转发给AAA服务器。
④如果EAP的验证是成功的,AAA服务器发送一个EAP的成功信息给接入点,然后让无线局域网客户端的数据流量通过虚拟接口。
⑤开放虚拟接口前WLAN客户端和AP间的数据链路被加密,以确保没有其他的WLAN客户端可以接入只能由已授权认证的客户端接入的端口。
PPP
PPP(点到点协议)支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP协议是提供在点到点链路上承载网络层数据包的一种链路层协议。PPP定义了一整套的协议包括链路控制协议(LCP)、网络层控制协议(NCP)和验证协议(PAP和CHAP)。PPP协议由于能够提供用户验证、易于扩充和支持同步异步而获得较广泛的应用。
PPP运行过程如下:
①PPP在建立链路之前将首先进行LCP协商,协商内容包括工作方式是SP还是MP、验证方式和最大单元等项目。
②LCP协商过后就进入了Establish阶段,此时LCP状态为opened,表示链路已经建立。 如果配置了验证即进入了Authenticate阶段,开始CHAP或PAP验证。
③如果验证失败进入Terminate阶段,拆除链路,LCP状态转为closed;如果验证成功就进入Network协商阶段(NCP),此时LCP状态仍为opened,而IPCP和IPXCP状态从closed转到opened。
④该链路一直保持通信,直至有明确的LCP或NCP帧关闭它,或发生了某些外部事件。 同步和异步串行通信
串行通信分为同步通信和异步通信。
异步通信:异步传输是以字符为传输单位的,每个字符都要附加1位起始位和1位停止位,以标记一个字符的开始和结束,并以此实现数据传输同步。所谓异步传输,是指字符与字符之间的时间间隔是可变的,并不需要严格地限制它们的时间关系。
同步传输:通常,同步传输是以数据块为传输单位。每个数据块的头部和尾部都要附加一个特殊的字符或比特序列,标记一个数据块的开始和结束,一般还要附加一个校验序列,以便对数据块进行差错控制。所谓同步传输,是指数据块与数据块之间的时间间隔是固定的,必须严格地规定它们的时间关系。
PPP身份验证协议
PAP(Password Authentication Protocol,密码验证协议)是一种两次握手验证协议,它在网络上采用明文方式传输用户名和口令。
CHAP(Challenge Handshake Authentication Protocol,挑战握手验证协议)是一种三次握手验证协议,它只在网络上传输用户名,而用户名口令并不在网络上传播。验证过程如下: ①在PPP链路建立阶段完成之后,验证方主动发起验证挑战“Challenge”,向被验证方发送一些随机产生的报文,并同时将路由器的主机名附带上一起发送给被验证方。
被验证方接到验证请求后,根据此报文中的主机名在本路由器的数据库中查找用户名和口令。如查找到相同的用户名,便利用报文ID和此用户名对应的口令,以及发过来的随机数,以MD5算法生成一个Hash值。
②验证方接收到此应答后,利用报文ID找到本地保存的随机数,并根据发过来的被验证路由器的名字在数据库中查找用户名对应的密码,然后用ID、随机数和密码,经MD5算法得出一个Hash值,与被验证方发过来的Hash值进行比较,如果相同,则返回接受报文,如果不同,则返回拒绝报文,表示验证没有通过。
ACL
通配符掩码
路由器使用通配符掩码与源或目标地址一起来分辩匹配的地址范围。在子网掩码中,将掩码的一位设成1表示IP地址对应的位属于网络的地址部分。而在访问控制列表中,将通配符掩码中的一位设成1表示忽略IP地址中对应的位,通配符掩码位设成0则表示IP地址中相对应的位必须精确匹配。
对于访问控制列表,判断是否匹配的过程实际分为3个步骤。
①用访问控制列表语句中的通配符掩码和地址执行逻辑或(192.168.0.2和0.0.0.255执行逻辑或,结果是192.168.0.255)
②用访问控制列表语句中的通配符掩码和数据包报头中的IP地址执行逻辑或(192.168.0.2和0.0.0.255执行逻辑或,结果是192.168.0.255)
③将两个结果相减。如果两个结果相等,相减的结果精确为零,则匹配;如果相减的结果不为零,则不匹配。
网络安全
IDS(Instrusion Detection System,IDS)检测网络攻击并发送日志记录到管理控制台。
IPS(Instrusion Prevention System,IPS)防止攻击网络,除了检测外还提供下列积极防御的机制:阻止、停止检测到的攻击。
使用SSH替代Telnet
Telnet使用明文密码,在网络上传输是非常不安全的,尤其是跨越Internet的访问。对网络的远程访问推荐使用SSH技术,SSH技术是Secure Shell的简写。通过使用SSH,可以对所有传输的数据进行加密,这样,捕获的数据包也是RSA加密后的数据包。
路由器的文件管理:路由器中的文件包括操作系统(IOS)和配置文件(startup-config)。 密码恢复技术