Sangfor PT1 Certification
新冠疫情居家办公,公司给全体技术人员报名了一个深信服的 PT1 培训。本来是抱着一种“又是厂商设备学习”的心态去听课的,但是没想到深信服的这个还不光是讲自己产品的课程,刚开始是一些网络基础,可以普及下网络基础,所以就将知识点整理成一篇笔记。(P.s. 厂商的产品我是不会做笔记的了,已经上过一次当了……)
Band Width(带宽)
常见单位为 bps/Bps,描述在一定时间范围内能够从一个节点传送到另一个节点的数据量,通常以 bps 为单位。例如千兆以太网带宽为 1000 Mbps(125 MBps),万兆以太网为 10000 Mbps(1250 MBps)
Delay(延迟)
常见单位为 ms,描述网络上数据从一个节点传送到另一个节点所经历的时间
常见网络介质
- 无线介质
- 无线:IEEE 802.11 a/b/g/n/ac/ax
- 微波:2G/3G/4G/5G、卫星通信
- 红外线:遥控器、数据传输等
- 激光:卫星通信
- 蓝牙:蓝牙耳机、键鼠、遥控等
- 有线介质
- 双绞线:传输距离 < 100 米(四芯百兆,八芯千兆)
- 同轴电缆:有线电视
- 单模光纤:波长 1550/1310mm,常见 10km、20km、40km、80km
- 多模光纤:波长 850mm,多用于机房内部互联,一般小于 2km
企业网络设计参照原则
- 统一性:设计需要整合现有的网络资源,将已建网络与新建架构充分融合,实现设备和线路资源的集中统一管理
- 可用性:网络覆盖面需能够保证企业生产、销售等各个关节,并具有服务的高可用性
- 高效性:提高网络使用效率,节约网络投资成本和运营成本
- 灵活性:网络需要具有扩展的灵活性,能够适应企业网络扩展的需求
- 安全性:网络具有较高的安全性,对核心数据能有效保护,保证企业数据资产的安全
网络架构功能分区
- 互联网接入区
- 核心交换区
- 应用区
- 数据区
- 外联区
- 内网区
- 运维区
逻辑结构
- 接入层:终端接入,例如楼层交换
- 接入终端设备
- VLAN 划分,隔离广播提高安全
- POE 以太网络供电
- 汇聚层:路由聚合及安全管理,例如每幢楼放一个汇聚
- 路由汇聚:减少路由条目、较高转发性能
- 安全管理:综合安全管理策略、承接核心层与接入层设备
- 核心层:高速数据转发,例如核心交换
- 高速转发数据
- 提供冗余能力
- 提供可靠传输
- 扩展网络
HUB & Switch
- HUB(集线器):从任何一个网口收到数据泛洪给所有接口,各个网口之间互为冲突域
- Switch(交换机):快速转发,维护一张 MAC 表,通过 MAC 表来保障数据只发到该收的接口下。各个网口之间隔离冲突域,未知目的帧泛洪到所有接口(二层广播)
ARP 原理
- 基本功能
- 将 IPv4 地址解析为 MAC 地址
- 维护映射的缓存
- 工作原理
- A 主机以广播形式发送 ARP 查询请求,询问 B 主机的 IP 对应的 MAC 地址
- B 主机以单播形式回复 A 主机本机 MAC 地址
- A 主机把 B 主机的 IP 地址和 MAC 地址的映射关系写入 ARP 缓存表
VLAN——IEEE 802.1Q 协议
- 一个 VLAN 中所有设备都是在同一广播域内,不同的 VLAN 为不同的广播域
- VLAN 之间互相隔离,广播不能跨越 VLAN 传播,不同 VLAN 间需通过三层设备实现相互通信
- VLAN 中成员多基于交换机的端口分配,划分 VLAN 就是对交换机的接口划分
- VLAN 工作于 OSI 参考模型的第二层,详见 802.1Q 帧格式
- VLAN 是二层交换机的一个非常根本的工作机制
- 当一条链路需要承载多 VLAN 信息时,需使用 trunk 来实现
路由
当路由器(或其他三层设备)收到一个 IP 数据包时,会查看数据包的 IP 头部中的目的 IP 地址,并在路由表中进行查找,在匹配到最优的路由后,将数据包扔给该路由所指的出接口或下一跳。
每一台路由器都会维护一个路由表,在路由表中包含着路由器发现的路由(路由条目、路由表项)。
路由表相当于路由器的地图,路由器能够正确转发 IP 报文的前提是在其路由表中存在匹配该数据包目的 IP 地址的路由条目。
路由表中的路由条目获取来源有多种
- 直连路由
- 直接连接在路由器上的网段,可自动形成直连路由
- 路由器自动生成,只要接口链路以及协议 Up,无需任何操作就在路由表中
- 静态路由
- 由网络管理员手动设置在路由器上的路由
- 该路由类型是最常见也是日常工作中使用频率最高的路由方式
- 动态路由协议
- 通过动态路由协议,由路由器间相互交互通信而形成全网路由表
- 该路由类型常见于特大网络中,例如金融行业的全球组网,运营商骨干网等场景
到达同一个子网可能存在多条路由
- 优先使用明细路由
- 再比较 AD 管理距离:路由协议的优先级,范围 0~255,越小越优先。直连 > 静态 > 动态
- 最后比较 Cost/Metric 开销/度量值:越小越优先
通信是双向的,单向可达实际不可达,路由一定要有来有回
IPv6 报文内容
整体结构分为
- IPv6 报头:必选报头,长度固定为 40B,包含该报文的基本信息
- 扩展报头:可选报头,可存在多个,通过扩展报头实现各种丰富的功能
- 上层协议数据:是该 IPv6 报文携带的上层数据,可能是 ICMPv6、TCP、UDP 或其他报文
IPv6 报文格式
- 版本号(4bit):表示协议版本,值为 6
- 流量等级(8bit):主要用于 QoS
- 流标签(20bit):用来标识同一个流里面的报文
- 载荷长度(16bit):表明该 IPv6 包头部后包含的字节数,包含扩展头部
- 下一报头(8bit):该字段用来指明报头后接的报文头部的类型,若存在扩展头,表示第一个扩展头的类型,否则表示其在上层协议的类型,它是 IPv6 各种功能的核心实现方法
- 跳数显示(8bit):该字段类似于 IPv4 中的 TTL,每次转发条数减一,该字段达到 0 时包将会被丢弃
- 源地址(128bit):标识该报文的来源地址
- 目的地址(128bit):标识该报文的目的地址
OSI 七层模型
- 应用层:为应用程序提供服务
- 表示层:数据格式转化、数据加密
- 会话层:建立、管理和维护会话
- 传输层:建立、管理和维护端到端的连接
- 网络层:IP 选址及路由选择
- 数据链路层:提供介质访问和链路管理
- 物理层
TCP/IP 四层模型
| 四层概念模型 | 作用 | 对应网络协议 |
|---|---|---|
| 应用层 | 负责处理应用程序的逻辑 | HTTP、HTTPS、DNS、FTP、TFTP、NFS、WAIS、SMTP、Telnet、SNMP |
| 传输层 | 两台主机上的应用程序提供端到端的通信。与网络层使用的逐跳通信方式不同,传输层只关心通信的起始端和目的端,而不在乎数据包的中转过程 | TCP、UDP |
| 网络层 | 实现数据包的选路和转发 | IP、ICMP、ARP、RARP、IGMP |
| 数据链路层 | 实现了网卡接口的网络驱动程序,以处理数据在物理媒介(比如以太网、令牌环等)上的传输 | FDDI、Ethernet、Arpanet、IEEE 802X、PPP |
