大型網絡演進及構建實戰

時間 2020-05-07

原文原文鏈接

一、簡介

　Internet的最先起源於美國國防部高級研究計劃署DARPA（Defence Advanced Research Projects Agency）的前身ARPAnet，該網於1969年投入使用。web

　1994年4月20日，中國全功能接入互聯網，成爲國際互聯網你們庭中的第77個成員，今後中國被國際上正式認可爲真正擁有全功能Internet的國家。「NCFC工程」經過美國Sprint公司連入Internet的64K國際專線開通，實現了與Internet的全功能鏈接，中國今後被國際上正式認可爲真正擁有全功能Internet的國家。算法

計算機網路發展史
第一個階段：20世紀60年代；1969年arpanet網絡誕生；它使用分組交換技術
第二個階段：20世紀70年代-80年代；1980年TCP/IP協議研製成功；使得NSFNET網絡誕生
第三個階段：20世紀90年代中期；Web技術誕生；世界上第一個瀏覽器Mosai出現瀏覽器
標準化組織：
ISO（國際標準化組織）
ANSI（美國國家標準化局）
ITU-T（國際電信聯盟-電信標準部）
IEEE（電氣和電子工程師學會）安全
OSI七層模型和TCP/IP五層模型
　OSI是Open System Interconnection的縮寫，意爲開放式系統互聯。國際標準化組織（ISO）制定了OSI模型，該模型定義了不一樣計算機互聯的標準，是設計和描述計算機網絡通訊的基本框架。OSI模型把網絡通訊的工做分爲7層，分別是物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層。（百度百科）
目前應用最爲普遍的TCP/IP協議能夠當作是OSI參考模型的簡化，分爲四層：網絡接入層、網絡層、傳輸層、應用層。
服務器
分層原則
網絡中各結點都有相同的層次
不一樣結點相同層次具備相同的功能
同一結點相鄰層間經過接口通訊
每一層可使用下層提供的服務，並向上層提供服務
不一樣結點的同等層間經過協議來實現對等層間的通訊

資源子網【應用層】
網絡

通訊子網【下四層】
架構

二、TCP協議棧

TCP的封裝格式
負載均衡
數據封裝過程

數據傳輸過程
框架
TCP/IP三次握手、TCP/IP四次斷開
ssh
TCP的狀態變遷圖

TCP狀態說明
CLOSED 沒有使用這個套接字[netstat 沒法顯示closed狀態]
LISTEN 套接字正在監聽鏈接[調用listen後]
SYN_SENT 套接字正在試圖主動創建鏈接[發送SYN後尚未收到ACK]
SYN_RECEIVED 正在處於鏈接的初始同步狀態[收到對方的SYN，但還沒收到本身發過去的SYN的ACK]
ESTABLISHED 鏈接已創建
CLOSE_WAIT 遠程套接字已經關閉，正在等待關閉這個套接字[被動關閉的一方收到FIN]
FIN_WAIT_1 套接字已關閉，正在關閉鏈接[發送FIN，沒有收到ACK也沒有收到FIN]
CLOSING 套接字已關閉，遠程套接字正在關閉，暫時掛起關閉確認[在FIN_WAIT_1狀態下收到被動方的FIN]
LAST_ACK 遠程套接字已關閉，正在等待本地套接字的關閉確認[被動方在CLOSE_WAIT狀態下發送FIN]
FIN_WAIT_2 套接字已關閉，正在等待遠程套接字關閉[在FIN_WAIT_1狀態下收到發過去FIN對應的ACK]
TIME_WAIT 這個套接字已經關閉，正在等待遠程套接字的關閉傳送[FIN、ACK、FIN、ACK都完畢，這是主動方的最後一個狀態，在過了2MSL時間後變爲CLOSED狀態]

客戶端TCP狀態遷移：
CLOSED -> SYN_SENT -> ESTABLISHED -> FIN_WAIT_1 -> FIN_WAIT_2 -> TIME_WAIT -> CLOSED

服務器TCP狀態遷移：
CLOSED -> LISTEN -> SYN_RECEIVED -> ESTABLISHED -> CLOSE_WAIT -> LAST_ACK -> CLOSED

IP報文
ICMP 是 TCP/IP 協議簇的消息協議,ICMP 提供控制和錯誤消息。它其實是TCP/IP 協議簇中獨立的第 3 層協議可能發送的 ICMP 消息包括：
- 主機確認
- 沒法到達目的或服務器
- 超時
- 路由重定向
- 源抑制
數據鏈路層封裝

Type類型2個字節，0X86DD表示IPV6,0X0800表示IPV4,主要是標識上層協議的。

在一個交換網絡環境中，以太網的幀有兩種格式：有些幀是沒有加上這四個字節標誌的，稱爲未標記的幀（ungtagged frame），有些幀加上了這四個字節的標誌，稱爲帶有標記的幀（tagged frame）。

TPID（Tag Protocol Indentifier）是IEEE定義的新的類型，代表這是一個加了802.1Q標籤的幀。TPID包含了一個固定的值0x8100。
TCI是包含的是幀的控制信息，它包含了下面的一些元素：
        Priority：這3 位指明幀的優先級。一共有8種優先級，0－7。IEEE 802.1Q標準使用這三位信息。
        Canonical Format Indicator( CFI )：CFI值爲0說明是規範格式，1爲非規範格式。它被用在令牌環/源路由FDDI介質訪問方法中來指示封裝幀中所帶地址的比特次序信息。
        VLAN Identified( VLAN ID ): 這是一個12位的域，指明VLAN的ID，一共4096個，每一個支持802.1Q協議的交換機發送出來的數據包都會包含這個域，以指明本身屬於哪個VLAN。

MAC地址

MAC地址共48位（6個字節）一般表示爲12個16進制數
MAC 地址用二進制表示是 48 位，是由 48 個非0即1的數字來表示
MAC 地址若是用十六進制表示，則是12位，由12個 0~f 的數字來表示
計算機裏面的「位」通常是指二進制數值的長度

組織惟一標識符（OUI）由IEEE（電氣和電子工程師協會）分配給廠商，它包含24位。廠商再用剩下的24位（EUI，擴展惟一標識符）爲其生產的每一個網卡分配一個全球惟一的全局管理地址，通常來講大廠商都會購買多個OUI。

I/G（Individual/Group）位，若是I/G=0，則是某臺設備的MAC地址，即單播地址；若是I/G=1，則是多播地址（組播+廣播=多播）。
G/L（Global/Local，也稱爲U/L位，其中U表示Universal）位，若是G/L=0，則是全局管理地址；若是G/L=1，則是本地管理地址。

對於I/G和G/L位的位置，目前有兩種說法，或者說兩種格式。

第八位0是單播一對一，1是多播一對多。

・IEEE 802局域網標準：誕生於1980年2月，所以得名；它定義了網卡如何訪問傳輸介質（雙絞線、光纖、無限），以及如何在這些介質上傳輸數據的方法等

三、網絡拓撲結構

（1）星型網絡拓撲結構

星型網絡拓撲結構的特色是具備一個控制中心，採用集中式控制，各站點經過點到點的鏈路與中心站相連。

（2）環型拓撲結構
環型拓撲結構是各站點經過通訊介質連成一個封閉的環型，各節點經過中繼器連入網內，各中繼器首尾相連。環型網絡通訊方式是一個站點發出信息，網上的其餘站點徹底能夠接收。

（3）總線型拓撲結構
總線型拓撲結構是網絡中全部的站點共享一條雙向數據通道。

（4）樹狀結構
樹狀結構是總線狀結構的擴充形式，傳輸介質是不封閉的分支電纜。它主要用於多個網絡組成的分級結構中，其特色與總線型結構網的特色大體相同。

（5）網狀拓撲結構
網狀拓撲結構的特色是無嚴格的布點規則和形狀，各節點之間有多條線路相連。

傳統網絡架構圖

四、網絡設備

前面咱們已經說了不少網絡基礎理論，下面我講一下具體網絡中會涉及到哪些設備。

網絡設備：集線器、交換機、路由器、網絡分流器、網橋、、網關
安全設備：防火牆、WAF（Web應用防禦系統）、IPS、IDS

集線器（HUB）屬於數據通訊系統中的基礎設備，它和雙絞線等傳輸介質同樣，是一種不需任何軟件支持或只需不多管理軟件管理的硬件設備。它被普遍應用到各類場合。集線器工做在局域網(LAN)環境，應用於OSI參考模型第一層，所以又被稱爲物理層設備。

HUB
全部設備在同一個衝突域中
全部設備在同一個廣播域中
設備共享相同的帶寬

交換機（Switch）意爲「開關」是一種用於電（光）信號轉發的網絡設備。它能夠爲接入交換機的任意兩個網絡節點提供獨享的電信號通路。最多見的交換機是以太網交換機。其餘常見的還有電話語音交換機、光纖交換機等。

Switch
工做在LAN模式下的匯聚功能
屬於廣播域，不產生衝突，【Bridge（網橋軟件功能）】

路由器 （Router）是鏈接兩個或多個網絡的硬件設備，在網絡間起網關的做用，是讀取每個數據包中的地址而後決定如何傳送的專用智能性的網絡設備。

Router
隔離廣播的一種設備，它的做用是用於接入外部網絡

防火牆 技術是經過有機結合各種用於安全管理與篩選的軟件和硬件設備，幫助計算機網絡於其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。（百度百科）

CSMACD和CSMACA之原理和區別

CSMA/CD，即載波監聽多路訪問/衝突檢測，是一種爭用型的介質訪問控制協議。它的工做原理是: 發送數據前先監聽信道是否空閒 ,若空閒則當即發送數據，在發送數據時,邊發送邊繼續監聽，若監聽到衝突,則當即中止發送數據，等待一段隨機時間,再從新嘗試。【早期CSMA/CD應用在HUB集線器，現代Ethernet創建在交換機和全雙工鏈接上,再也不使用CSMA/CD。IEEE 802.3標準定義了全部的Ethernet類型,因爲歷史緣由仍然保持CSMA/CD的名稱。】

CSMA/CD的工做過程分爲四個內容，分別是偵聽、發送、檢測、衝突處理。每一個過程都須要很是複雜的處理方式，好比當偵聽到線路繁忙時，會進入「退避」的處理程序，這裏會使用退避算法來進行計算，以便決定如何避免衝突。【CSMA/CA應用在無線網絡的多接入，從歷史上而言，CSMA其實是源於aloha協議。】

4.1交換機實驗

交換機相關技術：
交換機主要是鏈接多個以太網物理段，隔離衝突域，對以太網幀進行高速而透明的交換轉發，自行學習和維護MAC地址信息。交換機就是用來進行報文交換的機器。多爲鏈路層設備(二層交換機)，可以進行地址學習，採用存儲轉發的形式來交換報文.。交換技術有線路交換、分組交換、幀中繼交換、信元交換。

交換機主要工做在OSI模型的物理層、數據鏈路層

交換機基於源學習基於目的去轉發；交換機第一次學習了MAC，後續的轉發都是基於MAC表單播轉發出去；交換機上能夠有生成樹協議避免二層的環路。交換機真正轉發的表叫CAM表（二進制MD5表），MAC表提供的是MAC地址的學習和存儲，交換機老化時間300秒。交換機泛洪廣播幀，泛洪不是廣播，泛洪除源端口之外的端口都泛洪；廣播就是都全部端口都發送。

衝突域
在同一個衝突域中的每個節點都能收到全部被髮送的幀。
基於 OSI 第一層物理層
隔離衝突域的設備：交換機（Switch）、網橋（Bridge）、路由器（Router）
與交換機的一個端口相連的一個段（segment）就是一個衝突域
廣播域
網絡中能接收任一設備發出的廣播幀的全部設備的集合。
基於 OSI 第二層數據鏈路層
隔離廣播域的設備：路由器
與路由器的一個端口相連的一個子網（subnet）就是一個廣播域

HUB 全部端口都在同一個廣播域，衝突域內。Swith全部端口都在同一個廣播域內，而每個端口就是一個衝突域。
以太網交換機的每一個端口處於不一樣的衝突域中，所以消除了衝突，每個端口處於全帶寬方式極大的提高啊網絡性能，交換機經過維護MAC地址表來肯定地址端口的映射關係。

網絡中的通訊主要有三種類型：
1.單播，幀從一臺主機發往到另外一個特定目的地的通訊方式
2.廣播，幀從一個地址發送到全部其它地址的通訊方式
3.組播，幀從一個地址發送到一組特定設備的通訊方式
```
廣播域：廣播幀可以到達的區域
廣播幀：目標MAC地址是廣播MAC地址的幀

單播可能成爲幀的源MAC
廣播不可能成爲幀的源MAC
```

廣播風暴（Broadcast Storms）
    以太網幀無休止的循環複製，形成網絡擁塞、癱瘓。
解決方案：
    STP生成樹協議，避免二層環路【還能夠提供鏈路備份】

生成樹協議STP（Spanning Tree Protocol）
由規範IEEE 802.1D規定，是指經過生成樹的算法，暫時切斷全部冗餘的鏈接，使網絡拓撲生成一個樹的結構，消除網絡循環，即保證從樹的一點到其它任何一點只有一條路徑。
STP使用一種稱爲網橋協議數據單元BPDU（bridge protocol data unit），它攜帶一些必要的信息在整個網絡中進行多目廣播，經過BPDUs的信息，完成生成樹。

工做原理：經過STP計算，將物理上環形網絡，邏輯上阻塞某個接口，變成樹型網絡避免環路。

目標：消除網絡中的環路，STP是交換網絡中的協議，是交換機和交換機之間的協議，交換機和路由器、交換機和PC是沒辦運行生成樹協議的。

環路現象：1.端口的指示燈閃爍頻繁2.端口的數據轉發統計信息會迅速遞增3.MAC地址表條目抖動頻繁4.交換機死機

生成樹計算過程：
1.選舉根交換機（根網橋）
判斷根橋經過比較各個網橋的MAC地址，橋地址最小的爲根橋，根橋上的全部端口是指定端口，根交換機上絕對沒有根端口
2.選舉根端口
判斷非根橋上的根端口，在同一個交換機上，到根網橋的cost較小的那個端口會成爲root port會成爲相應交換機上的RP
3.選舉指定端口
判斷每段鏈路上的指定端口，離根最近的端口cost值最小爲指定端口，一般根端口的對面是指定端口，最後還能夠比較橋ID，根交換機的全部端口一般是指定端口
4.剩下的端口阻斷

VLAN 虛擬局域網
Vlan虛擬局域網，工做在二層交換機上的一種技術，他是基於接口的一種標籤技術，具備相同接口標籤的彼此能夠泛洪廣播，反之則不能夠。Cisco默認狀況下，交換機出廠時，全部的接口都在vlan1內。因此全部的pc均可以彼此通訊。

vlan技術雖然能隔離廣播，可是不一樣vlan之間不能通訊，若是要通訊，須要三層設備才能實現。

VLAN與TRUNK結合：

默認相同VLAN號的數據能傳遞，不一樣VLAN號的數據沒法互相傳遞
    TRUNK能承載多個VLAN的流量，使得屬於不一樣VLAN的數據幀均可以經過這條中繼鏈路進行傳輸
    傳過來這後對方認不認識這個數據幀是封裝的概念，數據能不能送達能不能通訊是路由的問題

中繼不能傳遞VLAN，只能承載VLAN，本徵VLAN默認VLAN1,不打標籤，管理應用。
中繼能夠承載多個VLAN的信息傳遞，通常用在交換機與交換機之間的互聯，自己不屬於任何VLAN。

相關術語：access,trunk,hybrid和tagged,untagged,pvid

以太網端口有3種鏈路類型：access、trunk、hybird

Access類型端口：只能屬於1個VLAN，通常用於鏈接計算機端口。 
        Trunk類型端口：能夠容許多個VLAN經過,能夠接收和發送多個VLAN 報文,通常用於交換機與交換機相關的接口。
        Hybrid類型端口：能夠容許多個VLAN經過，能夠接收和發送多個VLAN 報文，能夠用於交換機的間鏈接也能夠用於鏈接用戶計算機。

Hybrid接口的三個屬性
1）untag列表
只在接口發送數據幀時起做用，若是須要發送的數據的VLAN標籤在接口的untag列表中，將去除標籤發送數據

2）tag列表
做用於接收被標記的數據幀和發送數據幀。當接口接收到帶有VLAN標籤的數據幀時，該接口的tag列表至關於VLAN的容許列表，不在列表中的數據幀將被丟棄，當接口發送數據時，數據的vlan標籤在接口的tag列表中，將保持標籤發送數據幀，不然丟棄數據幀

3）PVID
接口的默認PVID爲VLAN1，PVID只在接收未標記幀時起做用，PVID用於在接收未標記數據幀時給數據幀打上當前的PVID標識

VLAN建立命令：
參考命令：
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 200

port link-type hybrid
port hybrid untagged vlan 100
port hybrid pvid vlan 100

port link-type access
port default vlan 200
stp edged-port enable

undo port default vlan
display this

交換機相同VLAN通訊

關鍵：交換機無需設置IP，PC一、PC2配置相同網段便可通訊，此時無需設置網關。

交換機不一樣VLAN通訊

VLANIF接口是基於網絡層的接口，能夠配置IP地址。藉助VLANIF接口，三層交換機就能實現路由轉發功能。

關鍵：交換機須要設置IP，PC一、PC2配置可達路由IP便可通訊，此時須要設置網關。

交換機VLAN中繼鏈路TRUNK

關鍵：交換機無需設置IP，不一樣VLAN的數據幀傳遞，須要配置TRUNK。PC一、PC3能夠互通，PC二、PC4能夠互通，此時無需設置網關。

交換機鏈路聚合LCAP

查看一下 SW1的eth-trunk 1狀態

測試一下鏈路備份功能，將SW2的G0/0/2端口shutdown

經過Ping測試能夠看出鏈路切換仍是須要必定的轉換時長。

Eth-Trunk可分爲手工負載分擔模式Eth-Trunk和LACP模式Eth-Trunk。
手工負載分擔模式Eth-Trunk
手工負載分擔模式是一種最基本的鏈路聚合方式。在該模式下，Eth-Trunk的創建，成員接口的加入，以及哪些接口做爲活動接口徹底由手工來配置，沒有鏈路聚合控制協議的參與。該模式下全部活動接口都參與數據的轉發，分擔負載流量，所以稱爲負載分擔模式。該模式下全部的成員接口能夠平均分擔數據流量。若是活動鏈路中出現故障鏈路，鏈路聚合組自動在剩餘的活動鏈路中平均分擔數據流量。
LACP（Link Aggregation Control Protocol）模式Eth-Trunk
LACP模式下，Eth-Trunk的創建、成員接口的加入，都是由手工配置完成的。與手工負載分擔模式鏈路聚合不一樣的是，該模式下活動接口的選擇由LACP協議報文負責。當把一組接口加入Eth-Trunk接口後，這些成員接口中哪些接口做爲活動接口，哪些接口做爲非活動接口還須要通過LACP協議報文的協商肯定。
LACP模式也稱爲M∶N模式。這種方式同時能夠實現負載分擔和冗餘備份的雙重功能。在鏈路聚合組中M條鏈路處於活動狀態，這些鏈路負責轉發數據並進行負載分擔，另外N條鏈路處於非活動狀態做爲備份鏈路，不轉發數據。當M條鏈路中有鏈路出現故障時，系統會從N條備份鏈路中選擇優先級最高的接替出現故障的鏈路，同時這條鏈路狀態變爲活動狀態開始轉發數據。

4.2路由器實驗

路由器相關技術：
路由器主要是鏈接具備不一樣介質的鏈路，鏈接網絡或子網，隔離廣播，對數據報文執行尋路和轉發，交換和維護路由表。路由器的一個做用是連通不一樣的網絡，另外一個做用是選擇信息傳送的線路。選擇通暢快捷的近路，能大大提升通訊速度，減輕網絡系統通訊負荷，節約網絡系統資源，提升網絡系統暢通率。學習路由知識，瞭解路由協議，能配置路由條目便可。

路由器主要工做在OSI模型的物理層、數據鏈路層、網絡層

根據網絡層信息進行路由轉發
        提供豐富的接口類型
        支持豐富的鏈路層協議
        支持多種路由協議

路由器的功能：

路由協議
        管理距離
        度量值
        下一跳
        出接口

路由條目：

直連路由：只要接口設了IP地址，只要接口處於UP狀態，直接與路由器相連的網絡會自動加入路由表；
非直連路由：經過路由協議從別的路由器學到的路由稱爲非直連路由【靜態路由和動態路由】；
默認路由：IP數據包中的目的地址找不到存在的其餘路由時，路由器所選擇的路由。
主機路由：從一臺主機映射一條到本地網絡上的的其餘主機。

IP地址劃分
全0：網絡地址
全1：廣播地址

A: 1-126
126個網絡
每一個網絡中的主機： 2^24-2
B: 128-191
2^14個網絡
每一個網絡中的主機： 2^16-2
C: 192-223
2^21個網絡
每一個網絡中的主機： 2^8-2

主機數量的計算的公式：
2的n次方-2

A 2的24次方-2
B 2的16次方-2
C 2的8次方-2
-2第一個減去的是網絡地址，第二個減去的是廣播地址

掩碼
例子：192.168.1.0/24 C類地址
掩碼：255.255.255.0 （1=掩的是網絡位，0=掩的是主機位）

爲何要用掩碼：
由於網絡設備不認10進制，192.168.1.0不認，他只可以識別二進制，那麼咱們把192.168.1.0換成二進制後，那麼配合掩碼，設備就立刻可以「與」出誰是網絡位，誰是主機位。

例如：IP地址1.1.1.1爲Ａ類地址，網絡ID是1.0.0.0,主機ID是0.1.1.1; IP地址是192.168.1.1,網絡ID是192.168.1.0,主機ID是0.0.0.1.

子網的概念：
子網是對原有標準的IP地址進行一個優化的一種技術，他合理的控制了網絡的主機地址的範圍，他的原則是把標準的主機位借位一部分給網絡位，造成新的網絡位，借出的部分叫子網位，原則依然是網絡位相同在同一個網段內，反則則反。

路由協議：
路由選擇協議主要運行在路由器上的協議，主要用來進行路徑選擇。經常使用的有RIP、OSPF、igrp、eigrp、isis、bgp

可以自動創建路由表，經過算法，自動學習拓撲中的路由、根據算法，經過算法的Metric計算出bestpath最優路徑、自動根據算法進行路由的更新和刪除、添加。

注意：
【路由器選路原則，最長掩碼匹配，比較AD值管理距離，比較Metric度量值】
【網關是實現不一樣網段之間通訊的】
【任何數據包都是"有來有回"】

管理距離：對不一樣路由選路時進行區分和排列越小的距離越優先，管理距離是指一種路由協議的路由可信度。
度量值：他是選路的依據不一樣的路由算法，它計算度量值的方式不一樣，越小的值越優先，越有可能放入路由表中。

直連路由

查看一下路由表狀況

模擬器延時丟了一個包

ARP地址解析【ARP屬於網絡層目的是用於IP解釋對方的MAC地址ARP不能穿越廣播，只能在一個廣播中來完成】

非直連路由

靜態路由

此實驗指定PC1去ping另外一個PC2，路由包去時路徑R1-->R2-->R3，回包路徑R3-->R1。下面咱們抓包分析分別在R3上的G0/0/0與G0/0/2上抓包，咱們能夠看到G0/0/2ICMP的request，G0/0/0ICMP的repaly，由此能夠肯定PC1到PC2通訊是按照咱們指定的路由條目進行路徑選擇。

靜態路由：手工指定路由條目優勢，沒有額外的路由器的CPU開銷、節約帶寬、增長安全性；缺點必須瞭解網絡的整個拓撲結構、若是網絡拓撲發生變化,管理員要在全部的routers上手動修改路由表、不適合在大型網絡中。

路由器負載均衡
路由器主備鏈路

默認路由表只出現了一條最優條目，去往192.168.4.0/24，下一跳192.168.2.2

咱們將R1 G0/0/1 shutdonw，測試一下主備鏈路切換過程！

路由條目已經切換爲，去往192.168.4.0/24，下一跳192.168.3.2

此時ping包因爲模擬器緣由丟失3個，後續ping包已經正常說明主備鏈路切換測試成功！

動態路由RIP

RIP協議
最大值是16條等價路徑，默認=4
根據跳數度量選擇路徑，最大15跳，16跳不可達
每30秒進行一次路由更新

查看路由表，RIP已經學習到鄰居路由

華爲RIP子網彙總經典實驗拓撲：

路由表已顯示子網被自動彙總

模擬器緣由演示不出ping包通一個不通一個的子網彙總效果，推薦使用RIP version 2

思科RIP子網彙總經典實驗拓撲：

第一個拓撲子網會被自動彙總，因此Ping會出現通一個包丟一個包，由於網絡地址同樣，掩碼同樣，接口不同，就能夠作負載平衡。
第二個拓撲配置正常，RIP配置完成就能夠通訊。
第三個拓撲根據不能通訊，由於RIP不支持VLSM。

主類網不相同，路由器作自動彙總並傳輸
主類網相同，掩碼相同直接傳輸
主類網相同，掩碼不一樣根本不傳輸

配置注意事項：

正確配置各路由器各接口的IPv4地址，使網絡互通。
        保證兩個路由器互鏈接口地址配置在同一網段，而且能夠正常互通。
        在各主機上配置IPv4缺省網關。
        使用network命令使能RIP的網絡地址時，必須是天然網段的地址。

動態路由OSPF

OSPF協議
OSPF直接工做於IP層之上IP協議號爲89
OSPF以組播地址（224.0.0.5和224.0.0.6）發送協議包
支持單播
支持驗證（明文和MD5）
支持劃分區域，可適應大規模的網絡
支持VLSM、CIDR、支持手工彙總
觸發更新，每隔30min分鐘同步LSA

OSPF首先將路由接口劃分區域，必須有0區域，0區域在中間。任何兩個區域之間傳遞，必須通過區域0，只有挨着區域0的能通訊，遠離Area0的就通不了，遠離Area0的就是不規則區域，不通過Area0則只能在本區域內傳遞，爲了防止環路。主幹區域、傳輸區域、骨幹區域都是指的0區域。

不合理的設計架構

合理的設計架構

ABR邊界路由，路由器兩個接口分別在不一樣區域內的，這個路由器叫邊界路由器，他負責將本組本區域內的數據傳遞給下一個區域。

OSPF選擇路徑絕對是最優的百分百無環，它能適應大型網絡，惟一它的算法太複雜，對路由器要求高。最大255跳，其實OSPF自己是沒有限制的，若是路由器過多產生的路由條目過多會致使路由器出問題，反應過慢或者死機，這是路由器自己的問題，而不是協議的問題！

反掩碼=255.255.255.255 減正掩碼

OSPF度量值是cost代價，OSPF對於接口的代價是10^8/Bandwidth，10M的接口代價就是10,100M的接口代價就是1
BGP的度量值是MED

OSPF選路原則：
1.O路由>O ia路由>external路由（E1，N1，E2，N2）
2.external-type-1(E1,N1)>external-tyle-2(E2,N2)
3.都爲external-tyle-1,cost（外部開銷+到ASBR開銷）越小越優先。(外部開銷默認重分配進OSPF爲20但BGP重分配進OSPF爲1。)
4.都爲external-tyle-1,cost也相等，那麼E1>N1.
5.都爲E1或都爲N1,cost也相等，那麼進行負載均衡
6.都爲external-tyle-2,cost（只外部開銷）越小越優先。(外部開銷默認重分配進OSPF爲20但BGP重分配進OSPF爲1。)
7.都爲external-tyle-2,cost也相等，到ASBR路由器cost小的路徑優先
8.都爲external-tyle-2,cost也相等，到ASBR路由器cost也相等，那麼E2優於N2
9.都爲E2或都爲N2，cost也相等，到ASBR路由器cost也相等，那麼進行負載均衡

BGP選路原則
1.最高有weight優先，默認爲0(思科特有，選大的)
2.本地優先級高的優先（只能夠在IBGP鄰居之間傳遞）
3.起源本路由器上的路由（network、aggregate-address）
4.as-path最短的優先

最小的起源代碼 (IGP 優先 EGP 優先 incomplete)
6.最低的med
7.ebgp>ibgp
8.經過最近BGP鄰居的路由
9.若是配置了maixmum-path[IBGP]，就負載均衡
10.最老的EBGP鄰居學到的路由,是路由最老
11.更低的router-id
12.始發路由器ID相同，那麼選擇 cluster-list短的
13.優選來自於最低的鄰居地址的路徑，是BGP的neigbor配置中地址

經過R1上的環回地址ping R2上的環回地址測試成功！

單臂路由
一個網絡或子網對應一個子接口，子接口封裝dot1q協議標識與VLAN號同樣，一個子接口對應一個VLAN。
之前單臂路由是一個很高端的技術點，如今已經不多這麼使用了。

實現不一樣VLAN之間通訊的兩種方式，一個是經過單臂路由實現，另外一個是經過三層交換的路由功能實現的，能夠說不一樣VLAN之間的通訊必須經過路由功能才能實現通訊。
其次，不一樣網段之間都須要配置下一跳地址（網關）才能通訊。何時用單臂路由，何時選擇三層交換。單臂路由是不具備擴展性的，爲何這麼說呢，若是VLAN的數量不斷增長，流經路由器與交換機之間鏈路的流量也變得很是大，這時這條鏈路也就成爲了整個網絡的瓶頸，即便你網絡的帶寬再快，也是如此。
所以，當網絡不斷增大，劃分的VLAN不斷增多的時候，就須要配置三層交換機的路由功能，實現不一樣VLAN之間的通訊（三層交換機的數據表的吞吐量一般爲數百萬pps，而傳統路由器的吞吐量只有10kpps~1Mpps，其次三層交換機是經過硬件來交換和路由選擇數據包的，吞吐量固然大了，甚至接近於線速。而路由器只是經過虛擬子接口來交換和路由選擇數據包的，不是硬件實施的，吞吐量也就變的小了。
總之一句話：三層交換技術在第三層實現了數據包的高速轉發，從而解決了傳統路由器低速、負責所形成的網絡瓶頸問題。

路由器GRE Tunnel

經過抓包截圖能夠看到，Tunnel隧道會有兩次IP報文封裝。

綜合實驗

內網VRRP主備

華爲的交換機好像不能直接給接口配置IP地址，除非把這個接口加入某個vlan，而後給這個vlanif配置IP，以此實現IP地址和端口的對應關係。交換機的管理口是能夠直接設置IP地址的

查看SW一、SW2上的VRRP協議狀態

測試切換備用核心交換機，網關默認指向vrrp:192.168.1.254，能夠看出中間丟失一些包以後當即正常！

內網匯聚鏈路聚合

將匯聚層交換機任意一個斷開鏈接不影響接入層客戶使用，測試成功！

內網中型綜合網絡

通常一個分級網絡設計模型應該包括如下3層：
■ 核心層——提供最優的區間傳輸
■ 匯聚層——提供基於策略的鏈接
■ 接入層——爲多業務應用和其餘的網絡應用提供用戶到網絡的接入

經測試各匯聚層各VLAN已經能夠ping通，上行核心到出口路由成功互聯能夠訪問公網！

內網大型綜合網絡

經測試各匯聚層各VLAN已經能夠ping通，上行核心到出口路由成功互聯能夠訪問公網！因爲命令行多數與內網中型綜合網絡同樣，咱們在此就不在提供。實際組網中，採用MSTP+VRRP技術組網，配置較爲複雜，若是全部網元爲同一廠家設備（華爲），建議使用堆疊或者CSS集羣亦或SVF技術把接入層、匯聚層、核心層分別虛擬化爲1臺設備，使用e-trunk鏈路實現負載均衡。

咱們爲何要分層設計，由於越清晰的架構才能使得網絡能以最優的方式工做，那麼三架構的優點有哪些呢。

核心層是一個高速的交換式骨幹。他的設計目標是使得交換分組所耗費的時間演示最小。同開放最短路徑優先協議（OSPF）中的區域0同樣，核心（Core）和骨幹（backbone）是同義詞。園區網的這一層不該該對數據包/幀進行任何的處理，好比處理訪問列表和進行過濾，由於這會下降包交換的速度。目前常見的作法是在覈心層徹底採用第3層交換環境，這就意味着VLAN和VLAN trunks不會出如今核心層中。這也意味着在覈心層中生成樹環路一般也能夠避免。核心層的主要功能是在園區網的各個匯聚層設備之間提供高速的鏈接。
匯聚層是核心層和接入層之間的分界點。它能幫助定義和區分核心層。匯聚層的功能是對網絡的邊界進行定義。對數據包/幀的處理應該在這一層完成。在園區網絡環境中，匯聚層能夠包含下列一些功能：
■ 地址或區域的匯聚；
■ 將部門或工做組的訪問鏈接到骨幹；
■ 廣播/組播域的定義；
■ VLAN間（Inter-VLAN）路由選擇；
■ 介質轉換；
■ 安全策略。

在非園區網環境中，匯聚層負責處理路由選擇域之間的信息重分配，而且一般是靜態和動態路由選擇協議之間的分界點。匯聚層也能夠是遠程站點訪問企業網絡的接入點。能夠將匯聚層彙總爲提供基於策略鏈接的層。數據包的處理、過濾、路由總結、路由過濾、路由從新分配、VLAN間路由選擇、策略路由和安全策略是匯聚層的一些主要功能。

接入層是本地終端用戶被許可接入網絡的點。該層一樣可能使用訪問列表或者過濾器來知足一組特定用戶的須要，好比知足那些常常參加視頻會議的用戶的需求。一般，2層交換機在接入層中起很是重要的做用。在接入層中，交換機被稱爲邊緣設備（edge devices），由於它們位於網絡的邊界上。在園區網絡環境中，接入層包括下列功能：
■ 共享帶寬；
■ 交換帶寬；
■ MAC層過濾；
■ 微分段。
在非園區網環境中，接入層能夠經過廣域技術，好比普通老式電話系統（POTS）、幀中繼、ISDN、xDSL和租用線路，將遠程站點接入到企業網中。
一些人錯誤地認爲3個分層（核心、匯聚和接入）在網絡中必須以清楚明確的物理實體形式存在，實際狀況並不是這樣。層次的定義是爲了成功地實現網絡設計和表示網絡中必須存在的功能。各層的實例能夠是單獨的路由器、交換機，能夠用物理介質表示，也能夠合成一個設備會或者徹底省略。各層如何實現須要根據網絡設計的目標來肯定。然而，要使得網絡能以最優的方式工做，分級是必須的。

4.1防火牆實驗

防火牆的做用：
1.過濾進出企業的網絡數據包
2.記錄進出企業網絡的鏈接行爲
3.避免主機直接曝光在網上
4.防範網絡型病毒
四類防火牆的對比：
包過濾防火牆：包過濾防火牆不檢查數據區，包過濾防火牆不創建鏈接狀態表，先後報文無關，應用層控制很弱。
應用網關防火牆：不檢查IP、TCP報頭，不創建鏈接狀態表，網絡層保護比較弱。
狀態檢測防火牆：不檢查數據區，創建鏈接狀態表，先後報文相關，應用層控制很弱。
複合型防火牆：能夠檢查整個數據包內容，根據須要創建鏈接狀態表，網絡層保護強，應用層控制細，會話控制較弱。

下一代防火牆，即Next Generation Firewall，簡稱NG Firewall，是一款能夠全面應對應用層威脅的高性能防火牆。經過深刻洞察網絡流量中的用戶、應用和內容，並藉助全新的高性能單路徑異構並行處理引擎，NGFW可以爲用戶提供有效的應用層一體化安全防禦，幫助用戶安全地開展業務並簡化用戶的網絡安全架構。

下面咱們簡單介紹一下華防火牆的幾個術語，華爲防火牆默認預約義了四個固定的安全區域：
Trust:該區域內網絡的受信任程度高，一般用來定義內部用戶所在的網絡。
Untrust:該區域表明的是不受信任的網絡，一般用來定義Internet等不安全的網絡。
DMZ（Demilitarized非軍事區）:該區域內網絡的受信任程度中等，一般用來定義內部服務器(公司OA系統，ERP系統等)所在的網絡。說明：DMZ這一術語起源於軍方，指的是介於嚴格的軍事管制區和鬆散的公共區域之間的一種有着部分管制的區域。
Local:防火牆上提供了Local區域，表明防火牆自己。好比防火牆主動發起的報文（咱們在防火牆執行ping測試）以及抵達防火牆自身的報文（咱們要網管防火牆telnet、ssh、http、https）。
注意：默認的安全區域無需建立，也不能刪除，同時安全級別也不能從新配置。

安全級別（Security Level）,在華爲防火牆上，每一個安全區域都有一個惟一的安全級別，用1-100的字表示，數字越大，則表明該區域內的網絡越可信。對於默認的安全區域，它們的安全級別是固定的：
Local區域的安全級別是100，Trust區域的安全級別是85，DMZ區域的安全級別是50，Untrust區域的安全級別是5

NAT迴流：使用公司網站的域名或公網IP地址來訪問公司內部的web服務器，其訪問請求數據包在網絡設備上的轉發映射過程，就叫作」NAT迴流「，若是訪問請求失敗，則意味着NAT迴流發生故障了。

NAT映射：網絡設備在NAT迴流的過程當中，將目標公網地址轉換爲web服務器的私有地址，而後將http訪問請求數據包轉發到web服務器上，這叫作」NAT映射「。