下面是小编为大家整理的ccnpBSCI知识总结,供大家参考。
ccnpBSCI 知识总结 通常说来在规划网络的时候要考虑到一点,即可扩展性网络设计通常是把它设计为层次化的,通常分为下列三层: Access Layer(访问层):用户接入到网络中的接入点 Distribution Layer(分发层):该层是访问层用户访问网络资源的一个汇聚点 Core Layer(核心层):负责在各个分割的网络之间进行高速有效的数据传输 如下图,就是三层模型的一个图例: 网络层次划分:
1.按功能,企业的不一致部门来划分 2.按地理位置来划分 但是记得不管你按何种方式来设计你的网络,三层元素要考虑进去: 1.核心层:需要大带宽,冗余连接 2.访问层:用户接入到网络的接入点.地址的分发(比如 DNCP),VLAN 的设计,防火墙,ACL 等都在这层考虑进去 3.分发层:访问层设备的汇聚点看看核心层的两种设计,如下图: 这样的一种设计是全互连(fully meshed)的方式,优点是提供冗余连接,但是随着网络的扩展,成本会越来越高 为了节约成本,就能够使用如上图的一种星形设计方式(hub-and-spoke),让其他设备都连接到相对独立的中心设备上去.这样做节约了一些开销,但是冗余度上比全互连的方式要差 Benefits of Good Network Design 先来看看 RFC1918 定义的私有 IP 地址范围: A 类:10.0.0.0 到 10.255.255.255 B 类:172.16.0.0 到 172.31.255.255 C 类:192.168.0.0 到 192.168.255.255 在注意设计一个好的网络的 IP 地址规划的时候要注意下列几点: 1.可扩展性(scalability) 2.可预测性(predictability) 3.灵活性(flexibility) Benefits of an Optimized IP-Addressing Plan 层次化地址规划的好处: 1.减少了路由表(routing table)的条目(entry) 2.能够有效的对地址进行分配 能够使用路由汇总(route summarization)来减少路由表的条目,路由汇总使得多个 IP 地址是集合看上去就像是一个 IP 地址从而减少在路由器中的条目.这样就能够减轻路由器的 CPU与内存的负载,提供更为有效的路由服务,加快了网络收敛(convergence)的速度,简化了排错(troubleshooting)的过程 来看下图: 这个就是典型的规划不太合理的网络.假设有50个分部,每个分部有200个前缀为/24的子网,由于子网不连续,那么总共路由表的条目将达到 10000 条以上 相比再看看下图: 子网连续,能够做路由汇总,因此 49 个分部对外的路由只有 1 条,加上子网内部的路由条目200 条,总共路由表就能够减少到 249 条 Hierarchical Addressing Using Variable-Length Subnet Masks 变长子网掩码(Variable-Length Subnet Masks,VLSM)的出现是打破传统的以类(class)为标准的地址划分方法,是为了缓解 IP 地址紧缺而产生的 先来看看前缀(prefix)的概念:假设给你个地址范围 192.168.1.64 到 192.168.1.79.前 3 个 8位位组(octet)是一样的,我们来看看组后个 8 位位组,写成 2 进制,如下: 64:0100 0000 65:0100 0001 66:0100 0010 …………….. 77:0100 1101 78:0100 1110 79:0100 1111 注意它们的共通点:前 4 位是一样的,加上前 3 个 8 位位组的 24 位就等于 28 位,因此我们就能够认定这个网段的前缀是/28(即 255.255.255.240).因此在这个例子里,主机位就只有 4 位 来看下 VLSM 的应用,如下图: 假如这个公司使用的是 172.16.0.0/16 的地址空间.给公司的分部 A 分配 172.16.12.0/22 到172.16.14.255/22 的地址块.D 需要 2 个 VLAN,然后每个 VLAN 容纳 200 个用户.A,B 与 C连接 3 个以太网,分别用 1 个 24 口的交换机相连(不考虑级联等因素) 先从需要最大用户的入手:要让 1 个子网容纳 200 个用户,即主机位应该保留为 8 位(254 台主机,假如主机位是 9 位的话能够容纳 510 台主机,但是造成了地址空间的浪费).所往常缀为/24,从 172.16.12.0/24 开始分配起走.如下图: 最后来给 A 与 D,B 与 D,C 与 D 之间分配 IP 地址.由于它们之间是点对点连接,因此主机位只保留 2 位,即前缀是/30 就能够了.除掉掉 2 个 VLAN 与 3 个 LAN 占用了的地址,还剩下下面几个地址块: 172.16.14.96/27 172.16.14.128/27 172.16.14.160/27 172.16.14.192/27 172.16.14.224/27 我们从 172.16.14.224/27 来进行划分(通常选择最后 1 个地址块进行划分).如下图: Route Summarization and Classless Interdomain Rouring 我们先来看下什么是路由汇总,如下图: 4 个前缀为/24 的连续子网通过 D 汇总后成为 172.16.12.0/22(转换成 2 进制能够看出前 22位是一样的).因此在 E 的路由表中只有一条条目. 再来看下无类域间路由(Classless Interdomain Rouring,CIDR),它是为了缓解 IP 地址短缺,减小路由表的体积,打破传统的以类划分网络的一种技术,如下图: 4 个 C 类地址的子网通过 D 的路由汇总成一条 192.16.12.0/22,注意这个 192.16.12.0/22 既不是 A 类也不是 B 类更不是 C 类,能够懂得成超网(supernetting),即无类的概念 Understanding IP Version 6 IPv6 是 IPv4 的增强版本,与 IPv4 相比,有很多优点包含: 1.支持更大的地址空间 2. IPv6 的头部格式比 IPv4 的头部更为简化,IPv6 的头部能够根据需要进行扩展(简单并不代表短,注意不要混淆) 3.更高的安全性与能很好的与移动 IP 相互兼容 4.能够平滑过渡 IPv4 到 IPv6 移动 IP 是 IETF 标准,使得移动设备在不中断现有连接的情况下进行迁移.这一特征是内建在IPv6 中的,但是 IPv4 就不是.IP Sec 是 IETF 开发的标准,用于增强 IP 网络安全性,这一特性对 IPv6 是务必的 IPv6 Addressing 如下图关于两种版本的 IP 进行比较: 能够看出 IPv4 是 32 位长,4 字节;IPv6 是 128 位长,16 字节;IPv4 支持的地址最多达到 42亿,IPv6 支持的地址多达 3.4 乘以 10 的 38 次方.增加 IP 地址的位长即增加了 IP 包头部信息的大小 IPv6 的表示方法: 1.X:X:X:X:X:X:X:X(每个 X 代表 16 位的 16 进制数字).不区分大小写 2.排头的 0 可省略,比如 09C0 就能够写成 9C0,0000 能够写成 0 3.连续为 0 的字段能够以::来代替,但是整个地址中::只能出现一次.比如 FF01:0:0:0:0:0:0:1就能够简写成 FF01::1 来看几个简写的例子: 0:0:0:0:0:0:0:0 能够写成:: 0:0:0:0:0:0:0:0 能够写成::1 Multicast Use IPv4中的广播(broadcast)能够导致网络性能的下降甚至广播风暴(broadcast storm).在IPv6中,就不存在广播这一概念了,取而代之的是组播(multicast)与任意播(anycast) 组播的同意对象是一构成员,是个群体.任意播是多个设备共享一个地址.分配 IPv6 单播(unicast)地址给拥有相同功用的一些设备.发送方发送一个以任意播为目标地址的包,当路由器同意到这个包以后,就转发给具有这个地址的离它最近的设备.单播地址用来分配任意播地址.关于那些没有配备任意播的的地址就是单播地址;但是当一个单播地址分配给不止一个接口的时候,单播地址就成了任意播地址 Autoconfiguration 来看下 IPv6 的自动配置:当本地链路的路由器发送网络类型信息给所有节点的时候.支持IPv6的主机就把它自己 64位的链路层地址附着在 64位的前缀自动配置成 128位长的地址,保证地址的唯一性.自动配置启用即插即用(Plug and Play) IPv6 Renumbering IPv6 的重编号:路由器发送组播数据包,其中数据包中包含 2 个前缀,一个是拥有比较短的生存期的前缀,还有一个是新的拥有正常时间的前缀.通知网络上的节点用完旧的前缀后换成新的前缀,这样就能进行平滑的前缀过渡 IPv4 to IPv6 Transitioning 两种转换的方式: 1.双栈(dual stack) 2.IPv6 到 IPv4(6to4)的隧道(tunnel) 还有一种是利用 NAT 来翻译 46 地址 来看看双栈配置的例子,如下: Router#sh run (略) ! interface Ethernet0 ip address 192.168.99.1 255.255.255.0 ipv6 address 3ffe:b00:c18:1::3/127 ! (略) 再来看看隧道技术,如下图所示: 能够看出隧道技术是在双栈路由器上,将 IPv6 包封装在 IPv4 包中,然后通过 IPv4 网络传递到另外一端的双栈路由器上去,然后再由它解封装 要注意的是对使用了隧道技术的网络进行排错的话比较复杂,要记住的是这只是一个过渡方案,不是最终的体系结构 对隧道进行配置,需要满足下列 2 个条件: 1.在连接网络的两端使用双栈路由器 2.在双栈路由器的接口同时配置 IPv4 与 IPv6 的地址 如下图所示: Module2 Network Address Translation Configuring IP NAT with Access Lists 看看 NAT 的术语,如下: 1.IP NAT inside:属于内网部分内的需要翻译成外部地址的接口 2.IP NAT outside:属于外网与路由器相连的接口或者者是在它的路由表里没有运载的有IP NAT inside 地址空间的信息 当包在下面的接口之间进行路由的话就需要 NAT: 1.IP NAT inside 接口到 IP NAT outside 接口 2.IP NAT outside 接口到 IP NAT inside 接口 当有包要从 inside 路由到 outside 的时候,你就需要在 NAT 表里建立条 NAT 条目.NAT 条目把源IP 地址从内部地址翻译为外部地址.当 IP NAT outside 接口响应这个包的时候,包的目标 IP 地址将与IP NAT表里的条目做比较.假如匹配的条目找到了,目标IP地址就被翻译成正确的内部地址, 然后放到路由表里保证能够被路由到 IP NAT inside 接口去;假如没有找到匹配的条目,包将被丢弃 地址超载(address overloading)是种在 Internet 连接上很常见的现象.超载是使用 NAT 将多个内部地址映射到一个或者一些唯一的地址上去.NAT 使用 TCP 与 UDP 端口来跟踪不一致的会话 当路由器决定了从 IP NAT inside 接口到 IP NAT outside 接口的路径的时候,要建立包含源 IP 地址与源 TCP 与 UDP 端口号的条目.每个设备被分配的有一个唯一的 TCP 或者 UDP 的端口号来进行区分 NAT 表包含下列信息: 1.协议:IP,TCP 或者 UDP 2.inside local IP address:port:等待 NAT 翻译的内部地址与端口号 3.inside global IP address:port:通过翻译了的地址.这些地址通常是全局的唯一地址 4.outside global IP address:port:ISP 分配给外网的 IP 地址 5.outside local IP address:port:看上去像是处于内网的外网主机的地址 IP NAT 与访问列表 ACL 的结合使用的命令,如下: 1.ip nat {inside|outside}:接口命令,标记 IP 设备接口为内部或者者外部,只有标记了内部或者外部的接口才需要翻译 2.ip nat source list pool :当包被发送到标记为 IP NAT inside 的接口的时候,这个命令告诉路由器比较源地址与ACL,然后ACL告诉路由器查找地址池(address pool)看是否要进行翻译.ACL许可的地址才能被 NAT 翻译 3.ip nat pool {prefix-length |netmask }:这个命令创建翻译池,参数为起始地址到完结地址与前缀或者者是掩码如下图: 如图,当一个包的源地址为 10.1.2.x,路由器就根据名为 sales_pool 的地址池进行翻译;假如包的源地址是 10.1.3.x 的话,路由器就根据名为 acct_pool 的地址池进行翻译 来看一个 NAT 与扩展 ACL 结合使用的例子,如下图: ACL102 与 ACL103 用来操纵 NAT 的决策,与仅基于源地址相比,扩展 ACL 的决策基于源地址与目标地址.假如包的源地址不是 10.1.1.0/24 的话,包将不可能通过 NAT 进行翻译.假如从10.1.1.0/24 而来的包的目标地址为 172.16.1.0/24 或者者是 192.168.200.0/24 的话.包的地址将被翻译成地址池 trust_pool 里的地址,即 192.168.2.0/24;假如目标地址既不匹配 172.16.1.0/24也不匹配 192.168.200.0/24 的话,源地址就将被翻译成地址池 untrust_pool 中的地址,即192.168.3.0/24 Defining the Route Map Tool for NAT route map 是 Cisco IOS 提供的一项功能,它的好处如下图: 当你只使用 ACL 的时候,如图能够看出,不支持端口号,而且 inside 与 outside 的关系是一一对应.而且带来的缺点是很难排错 你能够使用 NAT 的超载技术或者者使用一种叫做 route map 的 Cisco IOS 工具,假如你结合route map 与 ACL 一起使用,它将生成扩展的翻译条目,如上图.这些条目包含了端口信息,能够使得应用程序能够跟踪这些会话.ACL与route map不一致的地方是能够使用set命令对route map进行修改,而 ACL 就不行 在配置模式下输入 route-map map-tag [permit | deny] [sequence-number],定义路由策略;接下来输入 match {conditions},定义条件;最后使用 set {actions}定义对符合条件的语句采取的措施 map-tag 是 route map 号,路由器从上到下的处理这些陈述,直到找到第一个匹配的的语句然后应用它.一条单独的 match 语句能够包含多个条件.每条条件语句中至少要有一条符合条件的语句.sequence-number 定义了检查的顺序,比如 1 个名为 hello 的 router map,其中一个的sequence-number 为 10;另外一个为 20.那么将先检查 sequence-number 为 10 的那个.与 ACL一样,在末尾有条隐含的 deny any 语句 来看看一个 router map 配置的例子,如下图: 如图黄色部分是增加的 route map.在这个例子里,名为 what_is_sales_doing 的 route map 通过使用 ip nat inside source route-map what_is_sales_doing pool sales_pool 命令与 sales_pool相互链接.源地址为 10.1.2.100 的包到达 ...