大型网络演进及构建实战

一、简介

　Internet的最先起源于美国国防部高级研究计划署DARPA（Defence Advanced Research Projects Agency）的前身ARPAnet，该网于1969年投入使用。

　1994年4月20日，中国全功能接入互联网，成为国际互联网你们庭中的第77个成员，今后中国被国际上正式认可为真正拥有全功能Internet的国家。“NCFC工程”经过美国Sprint公司连入Internet的64K国际专线开通，实现了与Internet的全功能链接，中国今后被国际上正式认可为真正拥有全功能Internet的国家。

• 计算机网路发展史
  第一个阶段：20世纪60年代；1969年arpanet网络诞生；它使用分组交换技术
  第二个阶段：20世纪70年代-80年代；1980年TCP/IP协议研制成功；使得NSFNET网络诞生
  第三个阶段：20世纪90年代中期；Web技术诞生；世界上第一个浏览器Mosai出现

• 标准化组织：
  ISO（国际标准化组织）
  ANSI（美国国家标准化局）
  ITU-T（国际电信联盟-电信标准部）
  IEEE（电气和电子工程师学会）

• OSI七层模型和TCP/IP五层模型
  　OSI是Open System Interconnection的缩写，意为开放式系统互联。国际标准化组织（ISO）制定了OSI模型，该模型定义了不一样计算机互联的标准，是设计和描述计算机网络通讯的基本框架。OSI模型把网络通讯的工做分为7层，分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。（百度百科）
  目前应用最为普遍的TCP/IP协议能够当作是OSI参考模型的简化，分为四层：网络接入层、网络层、传输层、应用层。
  

• 分层原则
  网络中各结点都有相同的层次
  不一样结点相同层次具备相同的功能
  同一结点相邻层间经过接口通讯
  每一层可使用下层提供的服务，并向上层提供服务
  不一样结点的同等层间经过协议来实现对等层间的通讯

资源子网 【应用层】

通讯子网 【下四层】

二、TCP协议栈

• TCP的封装格式
  

• 数据封装过程
  

• 数据传输过程
  

• TCP/IP三次握手、TCP/IP四次断开
  

• TCP的状态变迁图
  
  TCP状态说明
  CLOSED 没有使用这个套接字[netstat 没法显示closed状态]
  LISTEN 套接字正在监听链接[调用listen后]
  SYN_SENT 套接字正在试图主动创建链接[发送SYN后尚未收到ACK]
  SYN_RECEIVED 正在处于链接的初始同步状态[收到对方的SYN，但还没收到本身发过去的SYN的ACK]
  ESTABLISHED 链接已创建
  CLOSE_WAIT 远程套接字已经关闭，正在等待关闭这个套接字[被动关闭的一方收到FIN]
  FIN_WAIT_1 套接字已关闭，正在关闭链接[发送FIN，没有收到ACK也没有收到FIN]
  CLOSING 套接字已关闭，远程套接字正在关闭，暂时挂起关闭确认[在FIN_WAIT_1状态下收到被动方的FIN]
  LAST_ACK 远程套接字已关闭，正在等待本地套接字的关闭确认[被动方在CLOSE_WAIT状态下发送FIN]
  FIN_WAIT_2 套接字已关闭，正在等待远程套接字关闭[在FIN_WAIT_1状态下收到发过去FIN对应的ACK]
  TIME_WAIT 这个套接字已经关闭，正在等待远程套接字的关闭传送[FIN、ACK、FIN、ACK都完毕，这是主动方的最后一个状态，在过了2MSL时间后变为CLOSED状态]

客户端TCP状态迁移：
CLOSED -> SYN_SENT -> ESTABLISHED -> FIN_WAIT_1 -> FIN_WAIT_2 -> TIME_WAIT -> CLOSED

服务器TCP状态迁移：
CLOSED -> LISTEN -> SYN_RECEIVED -> ESTABLISHED -> CLOSE_WAIT -> LAST_ACK -> CLOSED

• IP报文
  

• ICMP 是 TCP/IP 协议簇的消息协议,ICMP 提供控制和错误消息。它其实是TCP/IP 协议簇中独立的第 3 层协议可能发送的 ICMP 消息包括：

  • 主机确认
  • 没法到达目的或服务器
  • 超时
  • 路由重定向
  • 源抑制
• 数据链路层封装

Type类型2个字节，0X86DD表示IPV6,0X0800表示IPV4,主要是标识上层协议的。

在一个交换网络环境中，以太网的帧有两种格式：有些帧是没有加上这四个字节标志的，称为未标记的帧（ungtagged frame），有些帧加上了这四个字节的标志，称为带有标记的帧（tagged frame）。

TPID（Tag Protocol Indentifier）是IEEE定义的新的类型，代表这是一个加了802.1Q标签的帧。TPID包含了一个固定的值0x8100。
TCI是包含的是帧的控制信息，它包含了下面的一些元素：
        Priority：这3 位指明帧的优先级。一共有8种优先级，0－7。IEEE 802.1Q标准使用这三位信息。
        Canonical Format Indicator( CFI )：CFI值为0说明是规范格式，1为非规范格式。它被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。
        VLAN Identified( VLAN ID ): 这是一个12位的域，指明VLAN的ID，一共4096个，每一个支持802.1Q协议的交换机发送出来的数据包都会包含这个域，以指明本身属于哪个VLAN。

• MAC地址

MAC地址共48位（6个字节）一般表示为12个16进制数
MAC 地址用二进制表示是 48 位，是由 48 个非0即1的数字来表示
MAC 地址若是用十六进制表示，则是12位，由12个 0~f 的数字来表示
计算机里面的“位”通常是指二进制数值的长度

组织惟一标识符（OUI）由IEEE（电气和电子工程师协会）分配给厂商，它包含24位。厂商再用剩下的24位（EUI，扩展惟一标识符）为其生产的每一个网卡分配一个全球惟一的全局管理地址，通常来讲大厂商都会购买多个OUI。

I/G（Individual/Group）位，若是I/G=0，则是某台设备的MAC地址，即单播地址；若是I/G=1，则是多播地址（组播+广播=多播）。
G/L（Global/Local，也称为U/L位，其中U表示Universal）位，若是G/L=0，则是全局管理地址；若是G/L=1，则是本地管理地址。

对于I/G和G/L位的位置，目前有两种说法，或者说两种格式。

第八位0是单播一对一，1是多播一对多。

・IEEE 802局域网标准：诞生于1980年2月，所以得名；它定义了网卡如何访问传输介质（双绞线、光纤、无限），以及如何在这些介质上传输数据的方法等

三、网络拓扑结构

（1）星型网络拓扑结构

星型网络拓扑结构的特色是具备一个控制中心，采用集中式控制，各站点经过点到点的链路与中心站相连。

（2）环型拓扑结构
环型拓扑结构是各站点经过通讯介质连成一个封闭的环型，各节点经过中继器连入网内，各中继器首尾相连。环型网络通讯方式是一个站点发出信息，网上的其余站点彻底能够接收。

（3）总线型拓扑结构
总线型拓扑结构是网络中全部的站点共享一条双向数据通道。

（4）树状结构
树状结构是总线状结构的扩充形式，传输介质是不封闭的分支电缆。它主要用于多个网络组成的分级结构中，其特色与总线型结构网的特色大体相同。

（5）网状拓扑结构
网状拓扑结构的特色是无严格的布点规则和形状，各节点之间有多条线路相连。

• 传统网络架构图
  

四、网络设备

前面咱们已经说了不少网络基础理论，下面我讲一下具体网络中会涉及到哪些设备。

• 网络设备：集线器、交换机、路由器、网络分流器、网桥、、网关
• 安全设备：防火墙、WAF（Web应用防御系统）、IPS、IDS

集线器（HUB）属于数据通讯系统中的基础设备，它和双绞线等传输介质同样，是一种不需任何软件支持或只需不多管理软件管理的硬件设备。它被普遍应用到各类场合。集线器工做在局域网(LAN)环境，应用于OSI参考模型第一层，所以又被称为物理层设备。

HUB
全部设备在同一个冲突域中
全部设备在同一个广播域中
设备共享相同的带宽

交换机（Switch）意为“开关”是一种用于电（光）信号转发的网络设备。它能够为接入交换机的任意两个网络节点提供独享的电信号通路。最多见的交换机是以太网交换机。其余常见的还有电话语音交换机、光纤交换机等。

Switch
工做在LAN模式下的汇聚功能
属于广播域，不产生冲突，【Bridge（网桥软件功能）】

路由器 （Router）是链接两个或多个网络的硬件设备，在网络间起网关的做用，是读取每个数据包中的地址而后决定如何传送的专用智能性的网络设备。

Router
隔离广播的一种设备，它的做用是用于接入外部网络

防火墙 技术是经过有机结合各种用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。（百度百科）

CSMACD和CSMACA之原理和区别

CSMA/CD，即载波监听多路访问/冲突检测，是一种争用型的介质访问控制协议。它的工做原理是: 发送数据前先监听信道是否空闲 ,若空闲则当即发送数据，在发送数据时,边发送边继续监听，若监听到冲突,则当即中止发送数据，等待一段随机时间,再从新尝试。【早期CSMA/CD应用在HUB集线器，现代Ethernet创建在交换机和全双工链接上,再也不使用CSMA/CD。IEEE 802.3标准定义了全部的Ethernet类型,因为历史缘由仍然保持CSMA/CD的名称。】

CSMA/CD的工做过程分为四个内容，分别是侦听、发送、检测、冲突处理。每一个过程都须要很是复杂的处理方式，好比当侦听到线路繁忙时，会进入“退避”的处理程序，这里会使用退避算法来进行计算，以便决定如何避免冲突。【CSMA/CA应用在无线网络的多接入，从历史上而言，CSMA其实是源于aloha协议。】

4.1交换机实验

交换机相关技术：
交换机主要是链接多个以太网物理段，隔离冲突域，对以太网帧进行高速而透明的交换转发，自行学习和维护MAC地址信息。交换机就是用来进行报文交换的机器。多为链路层设备(二层交换机)，可以进行地址学习，采用存储转发的形式来交换报文.。交换技术有线路交换、分组交换、帧中继交换、信元交换。

• 交换机主要工做在OSI模型的物理层、数据链路层

交换机基于源学习基于目的去转发；交换机第一次学习了MAC，后续的转发都是基于MAC表单播转发出去；交换机上能够有生成树协议避免二层的环路。交换机真正转发的表叫CAM表（二进制MD5表），MAC表提供的是MAC地址的学习和存储，交换机老化时间300秒。交换机泛洪广播帧，泛洪不是广播，泛洪除源端口之外的端口都泛洪； 广播就是都全部端口都发送。

• 冲突域
  在同一个冲突域中的每个节点都能收到全部被发送的帧。
  基于 OSI 第一层物理层
  隔离冲突域的设备：交换机（Switch）、网桥（Bridge）、路由器（Router）
  与交换机的一个端口相连的一个段（segment）就是一个冲突域

• 广播域
  网络中能接收任一设备发出的广播帧的全部设备的集合。
  基于 OSI 第二层数据链路层
  隔离广播域的设备：路由器
  与路由器的一个端口相连的一个子网（subnet）就是一个广播域

HUB 全部端口都在同一个广播域，冲突域内。Swith全部端口都在同一个广播域内，而每个端口就是一个冲突域。
以太网交换机的每一个端口处于不一样的冲突域中，所以消除了冲突，每个端口处于全带宽方式极大的提高啊网络性能，交换机经过维护MAC地址表来肯定地址端口的映射关系。

• 网络中的通讯主要有三种类型：
  1.单播，帧从一台主机发往到另外一个特定目的地的通讯方式
  2.广播，帧从一个地址发送到全部其它地址的通讯方式
  3.组播，帧从一个地址发送到一组特定设备的通讯方式

  广播域：广播帧可以到达的区域
  广播帧：目标MAC地址是广播MAC地址的帧
  
  单播可能成为帧的源MAC
  广播不可能成为帧的源MAC

广播风暴（Broadcast Storms）
    以太网帧无休止的循环复制，形成网络拥塞、瘫痪。
解决方案：
    STP生成树协议，避免二层环路【还能够提供链路备份】

生成树协议STP（Spanning Tree Protocol）
由规范IEEE 802.1D规定，是指经过生成树的算法，暂时切断全部冗余的链接，使网络拓扑生成一个树的结构，消除网络循环，即保证从树的一点到其它任何一点只有一条路径。
STP使用一种称为网桥协议数据单元BPDU（bridge protocol data unit），它携带一些必要的信息在整个网络中进行多目广播，经过BPDUs的信息，完成生成树。

工做原理：经过STP计算，将物理上环形网络，逻辑上阻塞某个接口，变成树型网络避免环路。

目标：消除网络中的环路，STP是交换网络中的协议，是交换机和交换机之间的协议，交换机和路由器、交换机和PC是没办运行生成树协议的。

环路现象：1.端口的指示灯闪烁频繁2.端口的数据转发统计信息会迅速递增3.MAC地址表条目抖动频繁4.交换机死机

生成树计算过程：
1.选举根交换机（根网桥）
判断根桥经过比较各个网桥的MAC地址，桥地址最小的为根桥，根桥上的全部端口是指定端口，根交换机上绝对没有根端口
2.选举根端口
判断非根桥上的根端口，在同一个交换机上，到根网桥的cost较小的那个端口会成为root port会成为相应交换机上的RP
3.选举指定端口
判断每段链路上的指定端口，离根最近的端口cost值最小为指定端口，一般根端口的对面是指定端口，最后还能够比较桥ID，根交换机的全部端口一般是指定端口
4.剩下的端口阻断

VLAN 虚拟局域网
Vlan虚拟局域网，工做在二层交换机上的一种技术，他是基于接口的一种标签技术，具备相同接口标签的彼此能够泛洪广播，反之则不能够。Cisco默认状况下，交换机出厂时，全部的接口都在vlan1内。因此全部的pc均可以彼此通讯。

vlan技术虽然能隔离广播，可是不一样vlan之间不能通讯，若是要通讯，须要三层设备才能实现。

• VLAN与TRUNK结合：

  默认相同VLAN号的数据能传递，不一样VLAN号的数据没法互相传递
      TRUNK能承载多个VLAN的流量，使得属于不一样VLAN的数据帧均可以经过这条中继链路进行传输
      传过来这后对方认不认识这个数据帧是封装的概念，数据能不能送达能不能通讯是路由的问题

中继不能传递VLAN，只能承载VLAN，本征VLAN默认VLAN1,不打标签，管理应用。
中继能够承载多个VLAN的信息传递，通常用在交换机与交换机之间的互联，自己不属于任何VLAN。

• 相关术语：access,trunk,hybrid和tagged,untagged,pvid

以太网端口有3种链路类型：access、trunk、hybird

Access类型端口：只能属于1个VLAN，通常用于链接计算机端口。 
        Trunk类型端口：能够容许多个VLAN经过,能够接收和发送多个VLAN 报文,通常用于交换机与交换机相关的接口。
        Hybrid类型端口：能够容许多个VLAN经过，能够接收和发送多个VLAN 报文，能够用于交换机的间链接也能够用于链接用户计算机。

Hybrid接口的三个属性
1）untag列表
只在接口发送数据帧时起做用，若是须要发送的数据的VLAN标签在接口的untag列表中，将去除标签发送数据

2）tag列表
做用于接收被标记的数据帧和发送数据帧。当接口接收到带有VLAN标签的数据帧时，该接口的tag列表至关于VLAN的容许列表，不在列表中的数据帧将被丢弃，当接口发送数据时，数据的vlan标签在接口的tag列表中，将保持标签发送数据帧，不然丢弃数据帧

3）PVID
接口的默认PVID为VLAN1，PVID只在接收未标记帧时起做用，PVID用于在接收未标记数据帧时给数据帧打上当前的PVID标识

VLAN建立命令：
参考命令：
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 200

port link-type hybrid
port hybrid untagged vlan 100
port hybrid pvid vlan 100

port link-type access
port default vlan 200
stp edged-port enable

undo port default vlan
display this

交换机相同VLAN通讯

关键：交换机无需设置IP，PC一、PC2配置相同网段便可通讯，此时无需设置网关。

交换机不一样VLAN通讯

VLANIF接口是基于网络层的接口，能够配置IP地址。借助VLANIF接口，三层交换机就能实现路由转发功能。

关键：交换机须要设置IP，PC一、PC2配置可达路由IP便可通讯，此时须要设置网关。

交换机VLAN中继链路TRUNK

关键：交换机无需设置IP，不一样VLAN的数据帧传递，须要配置TRUNK。PC一、PC3能够互通，PC二、PC4能够互通，此时无需设置网关。

交换机链路聚合LCAP

查看一下 SW1的eth-trunk 1状态

测试一下链路备份功能，将SW2的G0/0/2端口shutdown

经过Ping测试能够看出链路切换仍是须要必定的转换时长。

Eth-Trunk可分为手工负载分担模式Eth-Trunk和LACP模式Eth-Trunk。
手工负载分担模式Eth-Trunk
手工负载分担模式是一种最基本的链路聚合方式。在该模式下，Eth-Trunk的创建，成员接口的加入，以及哪些接口做为活动接口彻底由手工来配置，没有链路聚合控制协议的参与。该模式下全部活动接口都参与数据的转发，分担负载流量，所以称为负载分担模式。该模式下全部的成员接口能够平均分担数据流量。若是活动链路中出现故障链路，链路聚合组自动在剩余的活动链路中平均分担数据流量。
LACP（Link Aggregation Control Protocol）模式Eth-Trunk
LACP模式下，Eth-Trunk的创建、成员接口的加入，都是由手工配置完成的。与手工负载分担模式链路聚合不一样的是，该模式下活动接口的选择由LACP协议报文负责。当把一组接口加入Eth-Trunk接口后，这些成员接口中哪些接口做为活动接口，哪些接口做为非活动接口还须要通过LACP协议报文的协商肯定。
LACP模式也称为M∶N模式。这种方式同时能够实现负载分担和冗余备份的双重功能。在链路聚合组中M条链路处于活动状态，这些链路负责转发数据并进行负载分担，另外N条链路处于非活动状态做为备份链路，不转发数据。当M条链路中有链路出现故障时，系统会从N条备份链路中选择优先级最高的接替出现故障的链路，同时这条链路状态变为活动状态开始转发数据。

4.2路由器实验

路由器相关技术：
路由器主要是链接具备不一样介质的链路，链接网络或子网，隔离广播，对数据报文执行寻路和转发，交换和维护路由表。路由器的一个做用是连通不一样的网络，另外一个做用是选择信息传送的线路。选择通畅快捷的近路，能大大提升通讯速度，减轻网络系统通讯负荷，节约网络系统资源，提升网络系统畅通率。 学习路由知识，了解路由协议，能配置路由条目便可。

• 路由器主要工做在OSI模型的物理层、数据链路层、网络层

根据网络层信息进行路由转发
        提供丰富的接口类型
        支持丰富的链路层协议
        支持多种路由协议

路由器的功能：

路由协议
        管理距离
        度量值
        下一跳
        出接口

路由条目：

直连路由：只要接口设了IP地址，只要接口处于UP状态，直接与路由器相连的网络会自动加入路由表；
非直连路由：经过路由协议从别的路由器学到的路由称为非直连路由【静态路由和动态路由】；
默认路由：IP数据包中的目的地址找不到存在的其余路由时，路由器所选择的路由。
主机路由：从一台主机映射一条到本地网络上的的其余主机。

IP地址划分
全0：网络地址
全1：广播地址

A: 1-126
126个网络
每一个网络中的主机： 2^24-2
B: 128-191
2^14个网络
每一个网络中的主机： 2^16-2
C: 192-223
2^21个网络
每一个网络中的主机： 2^8-2

主机数量的计算的公式：
2的n次方-2

A 2的24次方-2
B 2的16次方-2
C 2的8次方-2
-2第一个减去的是网络地址，第二个减去的是广播地址

掩码
例子：192.168.1.0/24 C类地址
掩码：255.255.255.0 （1=掩的是网络位，0=掩的是主机位）

为何要用掩码：
由于网络设备不认10进制，192.168.1.0不认，他只可以识别二进制，那么咱们把192.168.1.0换成二进制后，那么配合掩码，设备就立刻可以“与”出谁是网络位，谁是主机位。

例如：IP地址1.1.1.1为Ａ类地址，网络ID是1.0.0.0,主机ID是0.1.1.1; IP地址是192.168.1.1,网络ID是192.168.1.0,主机ID是0.0.0.1.

子网的概念：
子网是对原有标准的IP地址进行一个优化的一种技术，他合理的控制了网络的主机地址的范围，他的原则是把标准的主机位借位一部分给网络位，造成新的网络位，借出的部分叫子网位，原则依然是网络位相同在同一个网段内，反则则反。

路由协议：
路由选择协议主要运行在路由器上的协议，主要用来进行路径选择。经常使用的有RIP、OSPF、igrp、eigrp、isis、bgp

可以自动创建路由表，经过算法，自动学习拓扑中的路由、根据算法，经过算法的Metric计算出bestpath最优路径、自动根据算法进行路由的更新和删除、添加。

• 注意：
  【路由器选路原则，最长掩码匹配，比较AD值管理距离，比较Metric度量值】
  【网关是实现不一样网段之间通讯的】
  【任何数据包都是"有来有回"】

管理距离：对不一样路由选路时进行区分和排列越小的距离越优先，管理距离是指一种路由协议的路由可信度。
度量值 ：他是选路的依据不一样的路由算法，它计算度量值的方式不一样，越小的值越优先，越有可能放入路由表中。

直连路由

查看一下路由表状况

模拟器延时丢了一个包

ARP地址解析【ARP属于网络层目的是用于IP解释对方的MAC地址ARP不能穿越广播，只能在一个广播中来完成】

非直连路由

静态路由

此实验指定PC1去ping另外一个PC2，路由包去时路径R1-->R2-->R3，回包路径R3-->R1。下面咱们抓包分析分别在R3上的G0/0/0与G0/0/2上抓包，咱们能够看到G0/0/2ICMP的request，G0/0/0ICMP的repaly，由此能够肯定PC1到PC2通讯是按照咱们指定的路由条目进行路径选择。

静态路由：手工指定路由条目优势，没有额外的路由器的CPU开销、节约带宽、增长安全性；缺点必须了解网络的整个拓扑结构、若是网络拓扑发生变化,管理员要在全部的routers上手动修改路由表、不适合在大型网络中。

• 路由器负载均衡
  

• 路由器主备链路
  

默认路由表只出现了一条最优条目，去往192.168.4.0/24，下一跳192.168.2.2

咱们将R1 G0/0/1 shutdonw，测试一下主备链路切换过程！

路由条目已经切换为，去往192.168.4.0/24，下一跳192.168.3.2

此时ping包因为模拟器缘由丢失3个，后续ping包已经正常说明主备链路切换测试成功！

动态路由RIP

• RIP协议
  最大值是16条等价路径，默认=4
  根据跳数度量选择路径，最大15跳，16跳不可达
  每30秒进行一次路由更新
  

查看路由表，RIP已经学习到邻居路由

• 华为RIP子网汇总经典实验拓扑：
  

路由表已显示子网被自动汇总

模拟器缘由演示不出ping包通一个不通一个的子网汇总效果，推荐使用RIP version 2

• 思科RIP子网汇总经典实验拓扑：
  

第一个拓扑子网会被自动汇总，因此Ping会出现通一个包丢一个包，由于网络地址同样，掩码同样，接口不同，就能够作负载平衡。
第二个拓扑配置正常，RIP配置完成就能够通讯。
第三个拓扑根据不能通讯，由于RIP不支持VLSM。

• 主类网不相同，路由器作自动汇总并传输
• 主类网相同，掩码相同直接传输
• 主类网相同，掩码不一样根本不传输

配置注意事项：

正确配置各路由器各接口的IPv4地址，使网络互通。
        保证两个路由器互链接口地址配置在同一网段，而且能够正常互通。
        在各主机上配置IPv4缺省网关。
        使用network命令使能RIP的网络地址时，必须是天然网段的地址。

动态路由OSPF

• OSPF协议
  OSPF直接工做于IP层之上IP协议号为89
  OSPF以组播地址（224.0.0.5和224.0.0.6）发送协议包
  支持单播
  支持验证（明文和MD5）
  支持划分区域，可适应大规模的网络
  支持VLSM、CIDR、支持手工汇总
  触发更新，每隔30min分钟同步LSA

OSPF首先将路由接口划分区域，必须有0区域，0区域在中间。任何两个区域之间传递，必须通过区域0，只有挨着区域0的能通讯，远离Area0的就通不了，远离Area0的就是不规则区域，不通过Area0则只能在本区域内传递，为了防止环路。主干区域、传输区域、骨干区域都是指的0区域。

不合理的设计架构

合理的设计架构

ABR边界路由，路由器两个接口分别在不一样区域内的，这个路由器叫边界路由器，他负责将本组本区域内的数据传递给下一个区域。

OSPF选择路径绝对是最优的百分百无环，它能适应大型网络，惟一它的算法太复杂，对路由器要求高。最大255跳，其实OSPF自己是没有限制的，若是路由器过多产生的路由条目过多会致使路由器出问题，反应过慢或者死机，这是路由器自己的问题，而不是协议的问题！

反掩码=255.255.255.255 减 正掩码

OSPF度量值是cost代价，OSPF对于接口的代价是10^8/Bandwidth，10M的接口代价就是10,100M的接口代价就是1
BGP的度量值是MED

OSPF选路原则：
1.O路由>O ia路由>external路由（E1，N1，E2，N2）
2.external-type-1(E1,N1)>external-tyle-2(E2,N2)
3.都为external-tyle-1,cost（外部开销+到ASBR开销）越小越优先。(外部开销默认重分配进OSPF为20但BGP重分配进OSPF为1。)
4.都为external-tyle-1,cost也相等，那么E1>N1.
5.都为E1或都为N1,cost也相等，那么进行负载均衡
6.都为external-tyle-2,cost（只外部开销）越小越优先。(外部开销默认重分配进OSPF为20但BGP重分配进OSPF为1。)
7.都为external-tyle-2,cost也相等，到ASBR路由器cost小的路径优先
8.都为external-tyle-2,cost也相等，到ASBR路由器cost也相等，那么E2优于N2
9.都为E2或都为N2，cost也相等，到ASBR路由器cost也相等，那么进行负载均衡

BGP选路原则
1.最高有weight优先，默认为0(思科特有，选大的)
2.本地优先级高的优先（只能够在IBGP邻居之间传递）
3.起源本路由器上的路由（network、aggregate-address）
4.as-path最短的优先

5. 最小的起源代码 (IGP 优先 EGP 优先 incomplete)
   6.最低的med
   7.ebgp>ibgp
   8.经过最近BGP邻居的路由
   9.若是配置了maixmum-path[IBGP]，就负载均衡
   10.最老的EBGP邻居学到的路由,是路由最老
   11.更低的router-id
   12.始发路由器ID相同，那么选择 cluster-list短的
   13.优选来自于最低的邻居地址的路径，是BGP的neigbor配置中地址

经过R1上的环回地址ping R2上的环回地址测试成功！

单臂路由
一个网络或子网对应一个子接口，子接口封装dot1q协议标识与VLAN号同样，一个子接口对应一个VLAN。
之前单臂路由是一个很高端的技术点，如今已经不多这么使用了。

实现不一样VLAN之间通讯的两种方式，一个是经过单臂路由实现，另外一个是经过三层交换的路由功能实现的，能够说不一样VLAN之间的通讯必须经过路由功能才能实现通讯。
其次，不一样网段之间都须要配置下一跳地址（网关）才能通讯。何时用单臂路由，何时选择三层交换。单臂路由是不具备扩展性的，为何这么说呢，若是VLAN的数量不断增长，流经路由器与交换机之间链路的流量也变得很是大，这时这条链路也就成为了整个网络的瓶颈，即便你网络的带宽再快，也是如此。
所以，当网络不断增大，划分的VLAN不断增多的时候，就须要配置三层交换机的路由功能，实现不一样VLAN之间的通讯（三层交换机的数据表的吞吐量一般为数百万pps，而传统路由器的吞吐量只有10kpps~1Mpps，其次三层交换机是经过硬件来交换和路由选择数据包的，吞吐量固然大了，甚至接近于线速。而路由器只是经过虚拟子接口来交换和路由选择数据包的，不是硬件实施的，吞吐量也就变的小了。
总之一句话：三层交换技术在第三层实现了数据包的高速转发，从而解决了传统路由器低速、负责所形成的网络瓶颈问题。

路由器GRE Tunnel

经过抓包截图能够看到，Tunnel隧道会有两次IP报文封装。

综合实验

• 内网VRRP主备
  
  华为的交换机好像不能直接给接口配置IP地址，除非把这个接口加入某个vlan，而后给这个vlanif配置IP，以此实现IP地址和端口的对应关系。交换机的管理口是能够直接设置IP地址的

查看SW一、SW2上的VRRP协议状态

测试切换备用核心交换机，网关默认指向vrrp:192.168.1.254，能够看出中间丢失一些包以后当即正常！

• 内网汇聚链路聚合

将汇聚层交换机任意一个断开链接不影响接入层客户使用，测试成功！

• 内网中型综合网络

通常一个分级网络设计模型应该包括如下3层：
■ 核心层——提供最优的区间传输
■ 汇聚层——提供基于策略的链接
■ 接入层——为多业务应用和其余的网络应用提供用户到网络的接入

经测试各汇聚层各VLAN已经能够ping通，上行核心到出口路由成功互联能够访问公网！

• 内网大型综合网络

经测试各汇聚层各VLAN已经能够ping通，上行核心到出口路由成功互联能够访问公网！因为命令行多数与内网中型综合网络同样，咱们在此就不在提供。实际组网中，采用MSTP+VRRP技术组网，配置较为复杂，若是全部网元为同一厂家设备（华为），建议使用堆叠或者CSS集群亦或SVF技术把接入层、汇聚层、核心层分别虚拟化为1台设备，使用e-trunk链路实现负载均衡。

咱们为何要分层设计，由于越清晰的架构才能使得网络能以最优的方式工做，那么三架构的优点有哪些呢。

• 核心层是一个高速的交换式骨干。他的设计目标是使得交换分组所耗费的时间演示最小。同开放最短路径优先协议（OSPF）中的区域0同样，核心（Core）和骨干（backbone）是同义词。园区网的这一层不该该对数据包/帧进行任何的处理，好比处理访问列表和进行过滤，由于这会下降包交换的速度。目前常见的作法是在核心层彻底采用第3层交换环境，这就意味着VLAN和VLAN trunks不会出如今核心层中。这也意味着在核心层中生成树环路一般也能够避免。核心层的主要功能是在园区网的各个汇聚层设备之间提供高速的链接。

• 汇聚层是核心层和接入层之间的分界点。它能帮助定义和区分核心层。汇聚层的功能是对网络的边界进行定义。对数据包/帧的处理应该在这一层完成。在园区网络环境中，汇聚层能够包含下列一些功能：
  ■ 地址或区域的汇聚；
  ■ 将部门或工做组的访问链接到骨干；
  ■ 广播/组播域的定义；
  ■ VLAN间（Inter-VLAN）路由选择；
  ■ 介质转换；
  ■ 安全策略。

在非园区网环境中，汇聚层负责处理路由选择域之间的信息重分配，而且一般是静态和动态路由选择协议之间的分界点。汇聚层也能够是远程站点访问企业网络的接入点。能够将汇聚层汇总为提供基于策略链接的层。数据包的处理、过滤、路由总结、路由过滤、路由从新分配、VLAN间路由选择、策略路由和安全策略是汇聚层的一些主要功能。

• 接入层是本地终端用户被许可接入网络的点。该层一样可能使用访问列表或者过滤器来知足一组特定用户的须要，好比知足那些常常参加视频会议的用户的需求。一般，2层交换机在接入层中起很是重要的做用。在接入层中，交换机被称为边缘设备（edge devices），由于它们位于网络的边界上。在园区网络环境中，接入层包括下列功能：
  ■ 共享带宽；
  ■ 交换带宽；
  ■ MAC层过滤；
  ■ 微分段。
  在非园区网环境中，接入层能够经过广域技术，好比普通老式电话系统（POTS）、帧中继、ISDN、xDSL和租用线路，将远程站点接入到企业网中。
  一些人错误地认为3个分层（核心、汇聚和接入）在网络中必须以清楚明确的物理实体形式存在，实际状况并不是这样。层次的定义是为了成功地实现网络设计和表示网络中必须存在的功能。各层的实例能够是单独的路由器、交换机，能够用物理介质表示，也能够合成一个设备会或者彻底省略。各层如何实现须要根据网络设计的目标来肯定。然而，要使得网络能以最优的方式工做，分级是必须的。

4.1防火墙实验

• 防火墙的做用：
  1.过滤进出企业的网络数据包
  2.记录进出企业网络的链接行为
  3.避免主机直接曝光在网上
  4.防范网络型病毒

• 四类防火墙的对比：
  包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不创建链接状态表，先后报文无关，应用层控制很弱。
  应用网关防火墙：不检查IP、TCP报头，不创建链接状态表，网络层保护比较弱。
  状态检测防火墙：不检查数据区，创建链接状态表，先后报文相关，应用层控制很弱。
  复合型防火墙：能够检查整个数据包内容，根据须要创建链接状态表，网络层保护强，应用层控制细，会话控制较弱。

下一代防火墙，即Next Generation Firewall，简称NG Firewall，是一款能够全面应对应用层威胁的高性能防火墙。经过深刻洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW可以为用户提供有效的应用层一体化安全防御，帮助用户安全地开展业务并简化用户的网络安全架构。

下面咱们简单介绍一下华防火墙的几个术语，华为防火墙默认预约义了四个固定的安全区域：
Trust:该区域内网络的受信任程度高，一般用来定义内部用户所在的网络。
Untrust:该区域表明的是不受信任的网络，一般用来定义Internet等不安全的网络。
DMZ（Demilitarized非军事区）:该区域内网络的受信任程度中等，一般用来定义内部服务器(公司OA系统，ERP系统等)所在的网络。说明：DMZ这一术语起源于军方，指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。
Local:防火墙上提供了Local区域，表明防火墙自己。好比防火墙主动发起的报文（咱们在防火墙执行ping测试）以及抵达防火墙自身的报文（咱们要网管防火墙telnet、ssh、http、https）。
注意：默认的安全区域无需建立，也不能删除，同时安全级别也不能从新配置。

安全级别（Security Level）,在华为防火墙上，每一个安全区域都有一个惟一的安全级别，用1-100的字表示，数字越大，则表明该区域内的网络越可信。对于默认的安全区域，它们的安全级别是固定的：
Local区域的安全级别是100，Trust区域的安全级别是85，DMZ区域的安全级别是50，Untrust区域的安全级别是5

NAT回流：使用公司网站的域名或公网IP地址来访问公司内部的web服务器，其访问请求数据包在网络设备上的转发映射过程，就叫作”NAT回流“，若是访问请求失败，则意味着NAT回流发生故障了。

NAT映射：网络设备在NAT回流的过程当中，将目标公网地址转换为web服务器的私有地址，而后将http访问请求数据包转发到web服务器上，这叫作”NAT映射“。

• 防火墙办公网与生产网

至此咱们的实验及网络理论知识本次咱们就说完了，最后给大展现一个互联网云计算很火的网络架构，谢谢你们的支持！