备考--网络工程师

一些记不住的概念

时钟周期

• 时钟信号的一次完整振荡需要的时间。即，从高电平到低电平，再回到高电平的时间间隔。
• 决定了处理器每个操作的最小时间单位
• 单位：纳秒（也可以用频率表示，Ghz表示每秒十亿次振荡）
• 处理器的频率越高，时钟周期越短、处理速度越快。

总线周期

• 总线完成一次数据数据传输的时间。
• 单位：纳秒
• 衡量内存或I/O设备与CPU之间的数据传输速度。

时钟周期与总线周期的关系
时钟周期：描述CPU内部操作的速度
总线周期：总线与外部设备或内存进行数据交换的速度
总线周期往往是时钟周期的整数倍，用于处理CPU与总线之间的同步。

总线带宽

• 数据总线一次能并行传输的数据位数
• 单位：比特。如32位总线每次能传输32位数据。

总线时钟频率

• 总线每秒钟振荡的次数。
• 决定了总线每秒能完成数据传输的次数。
• 单位：Hz，如MHz百万次每秒

总线数据传输速率

• 数据传输速率 = 总线带宽 * 总线时钟频率

  // 数据传输速率 = 总线周期传送的字节总数 / 总线周期的时间
    = 总线周期传送的字节总数 / （总线周期内的时钟周期数 * 时钟周期）
    // 其中，时钟周期是操作的最小时间单位，时钟周期数是总线周期内包含的时钟周期数量
      // 进一步地，
      // 时钟周期 = 1 / 总线时钟频率
    // = 总线周期传送的字节数 * 总线时钟频率 / 总线周期内的时间周期数
    // = （总线周期传送的字节数 / 总线周期内的时间周期数）* 总线时钟频率 
      // 这里的，
      // 总线周期传送的字节数/总线周期内的时间周期数  == 总线带宽
  

是流水线啊

指令周期

完整的指令周期包括：取指令、解码、执行、存储
每个阶段都需要1个或多个时钟周期

• 指令周期就表示完成以上阶段包括的全部时钟周期。

流水线周期

• 流水线周期 = 最慢的指令的周期

• 流水线执行时间 = 第一条执行的执行时间 + （指令数 - 1）* 流水线周期值

应用层

网络协议

可靠和安全是两个不同的概念
可不可靠：面向连接/无连接
安不安全：能否保证机密性

HTTP协议

• 持久性HTTP(http1.1) & 非持久性HTTP(http1.0)

• 报文类型
  1. HTTP请求报文
  1. ascii码(人类可读)
  2. post方法
  3. get方法（向服务器提交（传送）数据...?data）
  4. head方法（类似于get，但是只请求头部信息）
  5. put方法（上传新对象）
     1. HTTP响应报文
  6. 状态码
     1. 200 OK
     2. 301 MOVED Permanently
     3. 400 Bad Request(服务器无法理解请求信息)
     4. 404 Not Found
     5. 505 HTTP Version not supported
  7. netcat
     1. netcat -c -v www.ouc.edu.cn 80向服务器建立连接
     2. 键入GET /tzgg/list.htm HTTP/1.1、回车\ Host: www.ouc.edu.cn
     3. 查看输出info
• 维护状态：Cookies
  • 在HTTP响应报文加一个cookie-header
  • 下回合HTTP请求报文设置cookie-header
  • 将cookie文件保存在客户端主机，由客户端浏览器管理
  • 服务器后台数据库

邮件协议

发送邮件：SMTP

简单邮件传输协议

• 用于两个邮件服务器之间
• 基于TCP实现可靠传输
• “握手”“传输”“关闭”三阶段

读取邮件：IMAP

Internet mail access protocol[RFC 3501]交互邮件访问协议
实现服务器上邮件的检索、删除、归类等

读取邮件：POP3

C/S工作模式

域名解析DNS

应用层协议
1987年发布RFC文档，采用层次的、基于域的命名模式

1. 迭代查询
2. 递归查询

通常域名解析默认使用UDP协议

文件传输协议 FTP

1. 控制连接端口 21
   1. 主进程等待新请求
   2. 从属进程处理请求
2. 数据传输端口 20

远程终端协议 TELNET

TCP连接

动态主机配置协议 DHCP

自动为主机分配ip
DHCP服务器：UDP协议，端口号67

DHCP 发现报文discover

广播发送
主机（客户机）发送discover报文：UDP协议，端口号68

DHCP 回答报文offer

DHCP 请求报文Request

• 更新租用期

DHCP 释放报文 release

• 客户机可随时提前终止

每个网络至少有一个DHCP中继代理，中继代理以单播向DHCP服务器转发发现报文

• DHCP服务器被动打开UDP端口67，等待

传输层

• 是通信部分的最高层，是用户功能的最底层
• 传输层（UDP协议、TCP协议）是进程之间通信；网络层（IP协议）是端对端通信

网络互联设备

• 物理层
  • 中继器
  • 集线器
    • 相当于多端口的中继器
• 数据链路层
  • 网桥
    • 处理数据帧
  • 交换机
    • 相当于多端口网桥
    • 按配置方式分类：堆叠型、非堆叠型（通过级连实现扩充）
    • 按层次结构分类：接入层交换机、汇聚层交换机、核心层交换机
    • 端口类型与性能参数：
      • 双绞线端口
        • 百兆端口：用于连接工作站
        • 千兆端口：用于级连
      • 光纤端口：千兆速率
      • GBIC端口：千兆、将电信号转化为光信号的转换器。
    • 传输模式：
      • 半双工、全双工、自适应（1000base-TX）
    • 端口工作模式
      • access类型：只能属于一个vlan，一般用于连接计算机
      • trunk类型：允许多个vlan通过，一般用于交换机之间。
      • hybird类型：允许多个vlan通过，一般用于交换机之间、或连接计算机
• 网络层
  • 路由器
    • 路由器端口
      • 与广域网连接的是WAN端口、与局域网连接的是LAN端口
• 网络层以上
  • 网关
    • 网关协议又称路由协议
    • 外部网关协议BGP
    • 内部网关协议RIP\OSPF\IS-IS\IGRP
      • RIP和IGRP都是有类别路由、距离向量协议
        • RIPv2支持无类别路由选择、可变长子网掩码、使用组播地址发送路由信息
      • OSPF和IS-IS是无类别路由协议
        • OSPF是最典型的链路状态协议
        • “类”指的是A~D四类网络

交换机配置

配置GARP协议-通用属性注册

在两个交换机之间分别配置全局GARP，即可达到所有子网设备互访。

<huawei> system-view
<huawei> sysname switchA
<switchA> garp # 全局启动garp功能
<switchA> interface gigabitethernet 0/0/1
<switchA-gigabitethernet0/0/1> port link-type trunk # 配置端口为trunk类型
<switchA-gigabitethernet0/0/1> port trunk allow-pass vlan all # 允许所有VLAN通过 
<switchA-gigabitethernet0/0/1> garp # 启功garp功能
<switchA-gigabitethernet0/0/1> garp registation normal #配置接口注册模式

生成树协议stp

STP(spanning tree)实现交换机之间的冗余、同时避免出现网络环路

<huawei> system-view
<huawei> sysname switchA
<switchA> stp mode stp
<switchA> stp root primary # 设置switchA是根桥
···
<switchB> stp root secondary # 设置switchB是备份根桥
···
<switchC> stp pathcost-standard legacy #设置端口路径开销的计算方法
<switchC> interface gigabitethernet 0/0/1
<switchC> stp cost 20000 #设置switchC端口G0/0/1的端口路径开销为20000
···
<switchA> stp enable # 设置switchA全局启动STP

路由器配置

ipv4配置路由器端口

// ipV4协议--配置路由器端口ip
<huawei> system-view
[huawei] sysname server
[server] interface gigabitethernet0/0/1
[server-gigabitethernet0/0/1] ip address 10.1.1.1 255.255.255.0

ipv6配置路由器端口

// ipV6协议--配置路由器端口ip  
[server] ipv6 # 启动路由器的ipv6报文转发
[server] interface gigabitethernet1/0/0
[server-gigabitethernet1/0/0] ipv6 enable # 在接口上启动ipv6转发
[server-gigabitethernet1/0/0] ipv6 address 1::1 64

注意
在ipv4上需要指明ip地址+子网掩码
在IPV6上只需要ipv6地址/前缀长度。因为ipv6不支持子网掩码，只支持前缀长度表示法，前缀用于路由或子网标识。

路由选择配置

ipv4 静态路由选择

// ipv4
// 路由选择--静态路由配置--(网段 子网掩码 下一跳地址)
[server-gigabitethernet0/0/1] ip route-static 10.1.2.0 255.255.255.0 10.1.4.2
[server-gigabitethernet0/0/1] ip routing-table protocol static # 查看静态路由表信息

ipv6静态路由选择

// ipv6
// 路由选择--静态路由配置--(网段 掩码长度 下一跳地址)
[server] ipv6 # 启动路由器的ipv6报文转发
[server] interface gigabitethernet1/0/0
[server-gigabitethernet1/0/0] ipv6 enable # 在接口上启动ipv6转发
[server-gigabitethernet1/0/0] ipv6 address 1::1 64
[server-gigabitethernet1/0/0] ipv6 route-static 2:: 64 3::1

BFD

双向转发检测 Bidirectional Forwarding Detection

bfd # 使能全局BFD

default-ip-address ip-address #可选，被指BFD缺省组播IP，缺省为224.0.0.184
quit  # 返回系统视图
bfd session-name bind peer-ip ip-address source-ip ip-address #建立bfd会话
bfd session-name 
tos-exp tos-value #配置静态bfd会话报文优先级，缺省为7。【范围0-7】数字越大，优先级越高

静态路由与BFD联动

# 在RouterA上配置与RouterB之间的BFD会话。
[RouterA] bfd
[RouterA-bfd] quit
[RouterA] bfd aa bind peer-ip 1.1.1.2
[RouterA-bfd-session-aa] discriminator local 10
[RouterA-bfd-session-aa] discriminator remote 20
[RouterA-bfd-session-aa] commit
[RouterA-bfd-session-aa] quit
# 在RouterA上配置到外部网络的静态缺省路由，并绑定BFD会话aa。
[RouterA] ip route-static 0.0.0.0 0 1.1.1.2 track bfd-session aa

静态路由与NQA联动

# 在RouterA上配置RouterA和SwitchA之间主链路上的NQA测试例
[RouterA] nqa test-instance aa bb
[RouterA-nqa-aa-bb] test-type icmp
[RouterA-nqa-aa-bb] destination-address ipv4 172.16.1.2
[RouterA-nqa-aa-bb] frequency 5
[RouterA-nqa-aa-bb] probe-count 1
[RouterA-nqa-aa-bb] start now
[RouterA-nqa-aa-bb] quit
# 在RouterA上配置下一跳为RouterB的静态路由与NQA测试例联动
# ip route-static ip地址 子网掩码|掩码长度 下一跳地址 
[RouterA] ip route-static 172.16.7.0 255.255.255.0 172.16.3.2 track nqa aa bb

路由选择协议配置

RIP协议

最大跳数15
UDP传输协议，端口520
周期广播更新，默认30s
180s没有某个路由项的确认，则认为失效
直至240s仍然没有，则删除该项

注意 ⭐⭐⭐：RIPv1不支持无类别域间路由，所以会自动划到A\B\C等各类网络中，故在配置命令里不需要加子网掩码反码

[r1]rip 
[r1-rip-1] network 192.168.1.0 # 配置路由器R1的rip功能

IS-IS协议

内部网关协议，将自治系统分为骨干区域、非骨干区域两级分层结构
链路状态协议

[r1]isis 1
[r1-isis-1] network-entity 10.0000.0000.0001.00 # 设置网络实体名称，
[r1-isis-1] quit
[r1] interface gigabitethernet1/0/0
[r1-gigabitethernet1/0/0] isis enable 1

OSPF协议

内部网关路由
链路状态协议，层次化路由选择协议，用Area 0作为主干区域。

# OSPF配置命令：network 网段 子网掩码的反码
[r1] router id 1.1.1.1
[r1] OSPF
[r1-ospf-1]area 0 # ospf使用area为自治系统分段，area0是必备区域，也称主干区域。
[r1-ospf-1-area-0.0.0.0] network 192.169.1.0 0.0.0.255 
<r1> display ospf peer #查看OSPF邻居信息
<r1> display ospf routing # 查看OSPF路由信息

BGP协议

外部网关协议
距离向量协议
TCP协议交换路由信息，端口号179 不需要周期更新，只发送改变了的路由信息

[r1] bpg 65009
[r1-bgp] router-id 2.2.2.2
[r1-bgp] peer 9.1.1.2 as-number 65009

IPsec

假设R1要保护的网段是10.10.10.0/24，R2要保护的网段是172.16.10.0/24

• rule permit ip source 网段 掩码反码
• rule permit ip source address-set #ip地址集合

[r1] acl 3001
[r1-acl-adv-3001] rule permit ip source 10.10.10.0 0.0.0.255 destination 172.16.10.0 0.0.0.255
[r2] acl 3001
[r2-acl-adv-3001] rule permit ip source 172.16.10.0 0.0.0.255 destination 10.10.10.0 0.0.0.255

[r1] ip address-set sou1 type object # source
[r1-object-address-set-sou1] address 0 10.10.10.0 mask 24
[r1-object-address-set-sou1] address 1 10.10.20.0 mask 24
...
[r1] ip address-set den1 type object # destination
[r1-object-address-set-den1] address 0 172.16.10.0 mask 24
...
[r1] acl 3001
[r1-acl-adv-3001] rule permit ip source address-set sou1
[r1-acl-adv-3001] rule permit ip source address-set den1
...
[r1-acl-adv-3001] rule permit ip source1 172.16.10.1 0 destination 172.16.20.1 0 # 这里的0指的是0:0:0:0，目的是指定精确匹配掩码

VRRP虚拟路由冗余协议

vrrp vrid 1 virtual-ip 10.1.1.1 # *** 创建vrrp备份组并配置虚拟IP地址
vrrp vrid 1 priority 100 # ***** 配置交换机在备份组的优先级，缺省是100。数字越大越高

vrrp vrid 1 preempt-mode disable # *** 配置备份组中交换机采用非抢占模式，缺省是抢占模式
vrrp vrid 1 preempt-mode time delay 1 # **** 配置杯分组中交换机的抢占延迟时间。缺省为0，即立即抢占
vrrp vrid timer advertise 1 #配置发送vrrp通告报文的时间间隔。
vrrp uncheck ttl #禁止检测vrrp报文的TTL值
vrrp vrid authentication-mode simple 12345 #配置报文认证方式
vrrp virtual-ip ping enable # **** 使能虚拟地址可达性功能

vrrp vrid 1 track interface gigabitethernet 0/0/1 # **** 配置vrrp与接口状态联动监视上行接口

vrrp vrid 1 track bfd-session 1 # 配置vrrp与BFD联动
vrrp vrid 1 track nqa 1 2 # vrrp与NQA联动
vrrp vrid 1 track ip route 10.1.1.1 24 # vrrp与路由联动功能
reset vrrp statistics # 清除vrrp报文统计信息
vrrp version v2 # 指定版本号

DHCP

普通DHCP配置

# 配置 通过DHCP方式获取路由表
# 指定转发报文的出接口GE1/0/0，路由协议的优先级30。
# 使用 undo ip route dhcp...删除配置
ip route dhcp 10.1.1.1 24 gigabitethernet 1/0/0 dhcp 30

dhcp enable
ip relay address cycle # 配置DHCP中继的轮询功能

<Huawei> system-view
[Huawei] ip pool global1 # 创建全局地址池
[Huawei-ip-pool-global1] import all #使能全局地址池动态获取DNS服务器IP地址、DNS域名后缀和NetBIOS服务器IP地址
[Huawei-ip-pool-global1] network 192.168.1.0 mask 24 # 配置global1地址池的网段地址为192.168.1.0，掩码长度为24。

DHCP配置vlan

当采用基于子网划分VLAN时，
如果设备收到的是Untagged帧， 设备根据报文中的IP地址信息，确定添加的VLAN ID。 对于新加入网络的主机，由于没有合法的IP地址，主机无法加入对应的VLAN中， 并且无法通过DHCP服务器获得合法的IP地址及网络配置参数等。 执行命令dhcp policy-vlan generic，配置普通的DHCP策略VLAN 可以实现使新加入网络的主机能够通过DHCP服务器获得合法的IP地址。

• 设备上可以同时配置三种DHCP策略vlan：
  • 基于mac地址的DHCP策略【优先级：高】
  • 基于接口的
  • 普通DHCP配置【优先级：低】
• 三种策略的内部优先级都是【0-7】缺省为0。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp policy-vlan generic priority 5 
...
# 配置基于接口的策略，
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI--GigabitEthernet0/0/1] port link-type hybrid
[HUAWEI--GigabitEthernet0/0/1] quit
[HUAWEI-vlan100] dhcp policy-vlan port gigabitethernet 0/0/1 priority 5
...
# 配置基于MAC地址的策略，
# 指定主机MAC地址为0001-0001-0001上送的DHCP报文关联VLAN100，
# 并指定用户主机发出的DHCP报文优先级为5。
[HUAWEI-vlan100] dhcp policy-vlan mac-address 1-1-1 priority 5

虚拟专用网

SSL

• 工作在传输层，因此对SSLVPN的控制更加灵活，可以对传输层进行访问控制、也可以对应用层进行访问控制。

• SSL VPN与IPSec VPN

• 共同点：
  • 使用RSA或DH握手协议建立隧道
  • 使用了预加密、数据完整性、身份认证技术
• 区别：
  • SSL VPN通过应用层的Web连接建立安全连接，适合移动用户远程访问公司的虚拟专用网
  • IPSec VPN是在网络层建立安全隧道，适合建立固定的虚拟专用网

防火墙

一些说法

安全协议和身份认证是应对网络欺骗的有效手段。 firewall对内部网络应起到屏蔽作用，因此域名服务器也应该在防火墙的保护范围。

防火墙类型

• 过滤路由器
  • 【单失效点问题】
• 双宿主网关
  • 【“失效-安全”型，单个主机缺少安全冗余，仍存在单失效点问题】
• 过滤式主机网关
  • 【仍存在单失效点问题】
  • 过滤路由器+一个运行网关软件的主机（作为代理服务器）
• 过滤式子网
  • 子网中的服务器，内部外部用户均可访问，称为边界网络。
• 悬挂式结构
  • 将内部网中的代理服务器也移到边界网络，并在内部网中加一个内部过滤服务器。

• Previous
  程序并行
• Next
  black-hat-rust-chapter01