修改 infra_image 地址
How to change the default infra container in Podman? – Server Fault
配置文件路径: 1)/usr/share/containers/containers.conf 2)/etc/containers/containers.conf 3)$HOME/.config/containers/containers.conf (Rootless containers ONLY)
# cp /usr/share/containers/containers.conf /etc/containers/containers.conf # 如果 conftainers.conf 不存在,则执行该命令
# vim /etc/containers/containers.conf
…
infra_image = “index.docker.io/rancher/pause:3.2”
…[……]
RFC, Request for Comments
Wikipedia/RFC: https://en.wikipedia.org/wiki/Request_for_Comments RFC Official Website: https://www.rfc-editor.org RFC Index: https://www.rfc-editor.org/rfc-index.html
TCP/IP Model
Wikipedia/List of network protocols (OSI model)
将网络的通信过程划分为小一些、简单一些的部件,有助于各个部件的开发、设计和故障排除; 通过网络组件的标准化,允许多个供应商进行开发; 通过定义在模型的每一层实现什么功能,鼓励产业的标准化; 允许各种类型的网络硬件和软件相互通信;
Network vs Networking
What is the Difference Between Network and Networking – Pediaa.Com
The main difference between network and networking is that network is a collection of computing devices connected via a communication medium to exchange information and resources while networking is the practice of creating, maintaining, securing and troubleshooting the network.
QoS, Quality of Service
服务质量
SLA, Service Level Agreement
SLA 是关于网络服务供应商和客户间的一份合同,其中定义了服务类型、服务质量和客户付款等术语。 按照SLA要求,服务供应商采用多种技术和解决方案去监控和管理网络性能及流量,以满足SLA中的相关需求,并产生对应的客户结果报告。
VPN, Virtual Private Network
虚拟专用网络
TE, Traffic Engineering
流量工程
组织机构
IETF, Internet Engineering Task Force
因特网工程任务组
ISO(International Organization for Standardization)
国际标准化组织
ISP and NSP
Internet Service Provider,ISP[……]
按照地理覆盖范围划分
局域网(Local Area Network,LAN)
1)LAN,局域网,方圆几千米内; 比如家庭、网吧、家庭等等;
LAN 是在一个局部的地理范围内(如一个学校、工厂和机关内),一般是方圆几千米以内,将各种计算机,外部设备和数据库等互相联接起来组成的计算机通信网;
城域网(MAN)
2)MAN,城域网,在城市范围内的计算机通信网络; 比如宽带城域网、教育城域网等等;
广域网(WAN)
3)WAN,广域网,在几十公里到几千公里,连接多个城市和国家,提供远距离通信; 比如:因特网(Internet)
覆盖的范围比局域网(LAN)和城域网(MAN)都广。广域网的通信子网主要使用分组交换技术。广域网的通信子网可以利用公用分组交换网、卫星通信网和无线分组交换网,它将分布在不同地区的局域网或计算机系统互连起来,达到资源共享的目的。如因特网(Internet)是世界范围内最大的广域网;
广域网(Wide Area Network,WAN),提供不同地区、城市、国家之间的互联服务。广域网通常会跨越非常远的距离(几十公里到几千公里),为了满足广域网远距离传输的需求,经常使用光纤作为互联的媒介;
局域网是在某一区域内的,而广域网要跨越较大的地域。例如,一家大型公司的总公司位于北京,而分公司遍布全国各地,如果该公司将所有的分公司都通过网络联接在一起,那么一个分公司就是一个局域网,而整个总公司网络就是一个广域网;
广域网的典型速率是从 56 Kbps 到 155 Mbps,现在已有 622 Mbps,2.4 Gbps 甚至更高速率的广域网;传播延迟可以从几毫秒到几百毫秒(使用卫星信道时);
教育行业的网络结构
无线网络
WPAN:10m;比如:蓝牙 Zigbee NFC
WLAN:100m;比如:
WMAN:5km;比如:WiMax
WWAN:15km;比如:GSM CDMA LTE 5G[……]
问题描述
网络拓扑,是指用传输介质互联各种设备所呈现的结构化布局。
解决方案
简单网络
两台设备直连。
按照 网络拓扑形态 划分
总线网络/星型网络,是早期的网络,已经淘汰。[……]
问题描述
该部分笔记将记录:与网络协议相关的内容,以及相关服务部署;
解决方案
协议栈:用于定义和管理不同网络的数据转发规则。比如 OSI、TCP/IP、IPX/SPX、SNA 等等;
在网络中,协议栈是分层的: 1)在 OSI model 中,分 7 层 2)在 TCP/IP model 中,分 5 层
IEEE 802,是局域网协议标准。广域网有 Ethernet PPP HDLC 等等协议;
分层模型的作用
协议分层的原因: 1)网络通信的过程很复杂:便于接收者处理;分层能够降低复杂性;
分层设计的意义: 1)简化相关相关网络操作;提供厂商之间的兼容性; 2)各层独立,一层变化不会影响其他临层;
OSI 层次设计理念: 1)解决异种网络互联时所遇到的兼容性问题; 2)将服务、接口、协议这三个概念明确区分开; —- 服务:某一层为上一层提供一些什么功能; —- 接口:上层如何使用下层服务; —- 协议:如何实现本层服务; 3)各层独立性强,网络中采用何种协议不会影响上层;
List of network protocols (OSI model) – Wikipedia
参考文献
ISC: https://www.isc.org/ Wikipedia/OSI model TCP/IP Model TCP/IP 详解(TCP/IP illustrated)[……]
解决方案
该部分笔记将记录与数据通信相关的协议,而以网络管理相关的协议将不在该部分记录;
Layer 3: Network Layer(OSI model & TCP/IP model)
Internet Layer Protocols: https://en.wikipedia.org/wiki/Category:Internet_layer_protocols
功能:定义逻辑地址:实现数据从源到目的地址的转发;
协议:ICMP,IGMP,IP,VRRP,
Layer 2: Data Link Layer(OSI model & TCP/IP model)
Link Protocols: https://en.wikipedia.org/wiki/Category:Link_protocols
功能:将分组数据封装成帧;在数据链路上实现数据的点到点、点到多点的数据通信;差错检测;
协议:PPPoE、Ethernet、PPP、EVPN, Ethernet VPN、MPLS, Multiprotocol Label Switching
Layer 1: Physical Layer(OSI model & TCP/IP model)
功能:在媒介上传输比特流;提供机械的、电气的规约;[……]
物理层:比特流传输
数据单元:比特流,Bitstream;
在 Bit 中,具有以下字段: 1)FCS:CRC 校验,保证数据完整性; 2)Preamble:前导码,告诉设备进入同步状态; 3)SFD:帧首定界符,指示帧的开始;[……]
问题描述
世界虽然很大,但是当前网络的高速发展使得我们足不出户都能了解全球最新的资讯、随时和朋友与同事交流、网络极大的丰富人们的沟通和生活。 未来将会是一个万物互联的智能世界。
网络的搭建离不开网络设备,物理连接,以及设备之间的多种协议。其中在实现网络互通时,最常见的网络设备是路由器和交换机。 如今在各种级别的网络随处可见各种低、中、高端的路由器、交换机,种类繁多,这些不同种类的设备内部是如何工作、处理数据报文的呢?
该笔记将记录:路由器、交换机为例学习网络设备的工作机制、报文转发流程。
解决方案
网络基础设施由交换机、路由器、防火墙等构成,这些设备日复一日地接收、发送数据,从一个接口收到的数据如何经过设备内部转发到另外一个接口?设备有哪些组件构成?这些组件如何协同工作?。
每台网络设备存在独立的控制平面、转发平面、监控平面: 1)控制平面,负责系统的协议处理、路由运算、业务调度等, 2)转发平面负责转发数据,实现各个业务模块之间的报文交互。 3)监控平面负责系统的环境监控,以保证系统的安全稳定运行。
高端框式设备各个平面以不同的板卡形式存在,接口板、交换网板实现转发平面的功能,主控板实现控制平面的功能,监控板实现监控平面的功能。
高端框式设备采用“硬转发”,报文的转发由接口板直接完成,无需控制平面参与,报文转发效率极高。
网络设备:常见设备
How the Internet Works Under the Hood | by Kyle McCurley | Better Programming
交换机可以隔离冲突域,路由器可以隔离广播域,这两种设备在企业网络中应用越来越广泛。
集线器(Hub)
主机发送数据时,其他主机不能发送数据。 数据会被所有人收到,Hub 会将数据包发往每个连接的设备
交换机,Switch,终端设备的网络接入
多个主机能够同时发送数据,数据不会被所有主机收到。Switch 会将数据包发送给 MAC 地址匹配的设备。 此时,相同广播域,所有主机都会收到广播数据。
路由器,Router,网络之间的数据转发
路由器能够分割广播域,减小广播域。
广播域:一个广播流量能够影响的设备;一个网络为一个广播域;
隔离广播域:路由器,使经过交换机的广播报文都在某个网络内部;
防火墙,Firewall,网络之间的安全通信
无线设备,Wireless Device,无线终端接入设备
在大型网络中,通常使用 FIT AP + AC 方式管理无线网络。
网络设备:逻辑构架
网络设备从逻辑上可以分为以下三个平面:数据平面、控制管理平面、监控平面。
监控[……]
交换机背板(Backplane board)
What is a Backplane? A Network Backplane Throughput Primer | Auvik
背板为交换机业务板卡和控制板卡提供连接的槽位,相当于电脑的主板,各个板卡之间通过背板的总线进行通讯。 主要用于 接口板和主控 以及 接口板间 的板间通信,平时所说的 HG 链路也就是走的那里。
通常只有框式交换机才有背板 主控板:框式交换机一般有两个主控板,一个当前运行,一个做备份。 接口板:其他槽位就插入接口板等。 当主控板和接口板插进交换机时,单板和机框接触的地方就是背板的接口。
交换机的背板带宽(背板容量)
数据不是靠背板转发的,而是靠交换矩阵(高端路由器)或是交换芯片(低端交换机)来转发的,一般来说背带宽是指业务板(接口板)连接到交换矩阵的带宽,或者说交换机接口处理器(或接口卡)和数据总线间所能吞吐的最大数据量。
背板带宽标志交换机总的数据交换能力,单位为Gbps,也叫交换带宽,一般的交换机的背板带宽从几Gbps到上百Gbps不等。一台交换机的背板带宽越高,所能处理数据的能力就越强,但同时设计成本也会越高。
背板带宽一般为插满业务板卡总端口带宽的2倍(即双工)。简单说就是交换机能够同时转发的最大流量。
背板带宽资源的利用率与交换机的内部结构息息相关。
交换机的内部结构类型
主要有以下几种:
共享内存结构:这种结构依赖中心交换引擎来提供全端口的高性能连接,由核心引擎检查每个输入包以决定路由。这种方法需要很大的内存带宽、很高的管理费用,尤其是随着交换机端口的增加,中央内存的价格会很高,因而交换机内核成为性能实现的瓶颈;
交叉总线结构:它可在端口间建立直接的点对点连接,这对于单点传输性能很好,但不适合多点传输;
混合交叉总线结构:这是一种混合交叉总线实现方式,它的设计思路是,将一体的交叉总线矩阵划分成小的交叉矩阵,中间通过一条高性能的总线连接。其优点是减少了交叉总线数,降低了成本,减少了总线争用;但连接交叉矩阵的总线成为新的性能瓶颈。
参考文献
Different Types of Network Switches – Cisco 交换机背板是什么?请勿介绍交换机背板容量,只介绍什么是背板。_百度知道 背板宽带_百度百科 背板容量_百度百科[……]
网络设备:盒式
不同于框式设备,盒式设备的各个业务模块并不是独立的硬件模块,而是集成在一个框内。[……]
为方便理解网络设备内部的各个功能模块,以 S12700E-8 为例讲解典型网络设备的构架:
交换网板与接口板都有自己的管理芯片,与主控板共同组成整个设备的控制管理平面。
主控板,MPU,Main Processing Unit
主控板(MPU,Main Processing Unit):负责整个系统的控制平面和管理平面。
主控板提供整个系统的控制平面和管理平面。 1)控制平面:完成系统的协议处理、业务处理、路由运算、转发控制、业务调度、流量统计、系统安全等功能。 2)管理平面:完成系统的运行状态监控、环境监控、日志和告警信息处理、系统加载、系统升级等功能。
交换网板,SFU,Switch Fabric Unit
交换网板(SFU,Switch Fabric Unit):负责整个系统的数据平面。数据平面提供高速无阻塞数据通道,实现各个业务模块之间的业务交换功能。
交换网板,提供整个系统的数据平面。在 接口板、主控板 间,通过交换网板完成通信。
接口板,LPU,Line Processing Unit
接口板(LPU,Line Processing Unit):线路处理单元是物理设备上用于提供数据转发功能的模块,提供不同速率的光口、电口。
接口板提供不同类型(光口、电口),不同速率的接入接口,通过分布式数据平面对数据进行转发。
注意,接口板包含芯片,其保存有 FIB(由主控版下发),能够直接完成转发,无需每次都通过主控版。
LPU 上存在 PFE(Packet Forwarding Engine,包转发引擎),其本质也是一个交换芯片,完成本接口板端口之间的交换。[……]
传输介质的类型会影响:编码方式、传输距离、传输速度;
同轴电缆
1)细同轴电缆,10BASE2,185 米,10M;比如有线电视的线。 2)粗同轴电缆,10BASE5,500 米,10M;
光纤
光模块,光电转换器
接口类型:ST、FC、SC、LC,(接口上有标识,通常无需记忆)
1)10BASE-F,单模光纤/多模光纤,2000 米 2)100BASE-FX,单模光纤/多模光纤,2000 米 3)1000BASE-LX,单模光纤/多模光纤,316 米 4)1000BASE-BX,多模光纤,316 米
黄色单模光纤;橙色为多模光纤
两个线一组,一般是一收一发;一根线,能容容纳两个光波,能够同时收发。
短距离(2/3公里)使用多模光纤;远距离使用单模光纤;
串口电缆
V.24 1.2Kbit/s ~ 64Kbit/s V.35 1.2Kbit/s ~ 2.048Mbit/s
无线传输
终端与设备之间通过无线信号传输数据。
Wi-Fi (Wireless Fidelity)
Console
RS232 串口[……]
问题描述
该笔记将记录:与网络线缆有关的内容,以及常见问题的解决办法。
解决方案
双绞线,网线
1)10BASE-T,两对 3/4/5 类双绞线,100 米(垃圾线不到 100 米),10M 2)100BASE-TX,两对 5 类双绞线,100 米,100M 3)1000BASE-TX,四对 5e 类双绞线,100 米,1000M
双绞线还分为:屏蔽双绞线(带屏蔽膜、金属网)、非屏蔽双绞线;
双绞线种类
百度百科/七类线
一类线(CAT1)
线缆最高频率带宽是 750kHZ,用于报警系统,或只适用于语音传输(一类标准主要用于八十年代初之前的电话线缆),不同于数据传输。
二类线(CAT2)
线缆最高频率带宽是 1MHZ,用于语音传输和最高传输速率 4Mbps 的数据传输,常见于使用 4MBPS 规范令牌传递协议的旧的令牌网。
三类线(CAT3)
指在 ANSI 和 EIA/TIA568 标准中指定的电缆,该电缆的传输频率 16MHz,最高传输速率为 10Mbps(10Mbit/s),主要应用于语音、10Mbit/s 以太网(10BASE-T)和 4Mbit/s 令牌环,最大网段长度为 100m,采用 RJ 形式的连接器,已淡出市场。
四类线(CAT4)
该类电缆的传输频率为 20MHz,用于语音传输和最高传输速率 16Mbps(指的是 16Mbit/s 令牌环)的数据传输,主要用于基于令牌的局域网和 10BASE-T/100BASE-T。最大网段长为 100m,采用 RJ 形式的连接器,未被广泛采用。
五类网线(Category 5 cable、Cat 5、CAT.5)
五类线(CAT5):该类电缆增加了绕线密度,外套一种高质量的绝缘材料,线缆最高频率带宽为 100MHz,最高传输率为 100Mbps,用于语音传输和最高传输速率为 100Mbps 的数据传输,主要用于 100BASE-T,最大网段长为 100m,采用 RJ 形式的连接器。这是最常用的以太网电缆。在双绞线电缆内,不同线对具有不同的绞距长度。通常,4 对双绞线绞距周期在 38.1mm 长度内,按逆时针方向扭绞,一对线对的扭绞长度在 12.7mm 以内。
提供高达 100MHz 的带宽,速度范围从 10Mbps 到 100Mbps(最大)。
超五类网线(Category 5e、Cat 5e、CAT.5e)
超五类线(CAT5e):超 5 类具有衰减小,串扰少,并且具有更高的衰减与串扰的比值(ACR)和信噪比(Structural Return Loss)、更小的时延误差,性能得到很大提高。超 5 类线主要用于千兆位以太网(1000Mbps)。
支持 10Mbps[……]
RJ, Registered Jack
穿孔式水晶头
CNCOB专业级超五类穿孔式网线水晶头rj45网络接头通孔8P八芯100颗 专业级穿孔式水晶头
这也需要专用的网线钳来处理多余的线头: 【山泽SZ-376Z】山泽(SAMZHE) 穿孔网线钳 网络水晶头8P6P多功能压剥剪钳穿孔式网线钳网络通孔压接工具 SZ-376Z
参考文献
Registered jack – Wikipedia[……]
问题描述
WLAN,是计算机网络和无线通信技术(Wi-Fi)相结合的产物,是有线网络的无线化延伸。
Wi-Fi,是 WLAN 的某种实现,其与 WLAN 不是等价的。
解决方案
WIFI(Wireless Fidelity,无线保真)技术是一个基于 IEEE 802.11 系列标准的无线网路通信技术的品牌,目的是改善基于 IEEE 802.11 标准的无线网路产品之间的互通性,由 Wi-Fi Alliance(Wi-Fi 联盟,无线局域网标准化的组织,WECA)所持有。
1)Wi-Fi 是种基于 IEEE 802.11 Standard 的无线局域网技术。 2)在日常生活中,常会将 Wi-Fi 当做 802.11 的同义词。 3)Wi-Fi 也是 Wi-Fi 联盟制造商的商标,并做为 Wi-Fi 产品的品牌认证。 4)Wi-Fi 联盟成立于 1999 年,当时的名称叫做 Wireless Ethernet Compatibility Alliance(WECA)。 5)在 2002 年 10 月,正式改名为 Wi-Fi Alliance。
原理简述
简单来说 WIFI 就是一种无线联网的技术,以前通过网络连接电脑,而现在则是通过无线电波来连网。
与蓝牙技术一样,同属于在办公室和家庭中使用的短距离无线技术。该技术使用的使 2.4GHz 附近的频段,该频段目前尚属没用许可的无线频段。其目前 可使用的标准有两个,分别是 IEEE802.11a 和 IEEE802.11b。在信号较弱或有干扰的情况下,带宽可调整为 5.5Mbps、2Mbps 和 1Mbps,带宽的自动调整,有效的保障了网络的稳定性和可靠性。该技术由于有着自身的优点,因此受到厂商的青睐。
简单说,通过 Wi-Fi 实现 WLAN 的无线互联,但是 WLAN 与 Wi-Fi 不是等价的。
协议特性
WLAN 是一种基于 IEEE 802.11 标准的无线局域网技术。
802.11 标准聚焦在 TCP/IP 对等模型的下两层: 1)数据链路层:主要负责信道接入、寻址、数据帧校验、错误检测、安全机制等内容。 2)物理层:主要负责在空口(空中接口)中传输比特流,例如规定所使用的频段等。
应用场景
1990 年代初期,移动 1.0 时代: 1)固定办公时代:台式机,数据业务 2)初级移动办公时代:便携机,语音业务+数据业务,802.11b/a/g 3)无线作为有线的补充
1990 年代晚期,移动 2.0 时代: 1)无线办公时代(BYOD),手机、Pad、超级本,视频业务+语音业务+数据业务,大量实时业务 2)802.11n->11ac 3)有线无线一体化
现在,移动 3.0 时代: 1[……]
内容简介
本文将介绍在Linux下如何查看可用无线热点,以及无线热点相关信息。
查看可用无线热
方法一、nmcli
nmcli device wifi
方法二、iwlist
iwlist wlan0 scan
iwlist wlan0 scan | grep ESSID
方法三、iw
iw dev wlp4s0 scan | grep SSID
附加说明
推荐使用nmcli命令,该的输出是以列表形式输出的,可读性更高。如果你要查看无线的详细信息可以使用iwlist和iw命令。
参考文献
How can I display the list of available WiFi networks?[……]
问题描述
无线信息以dBm为单位,以负值表示强弱。那多少表示强信号,多少表示弱信号呢?
解决方案
查看无线信号强度
使用iwlist(8)命令可以查看无线信号强度:
#!/bin/sh
iwlist wlan0 scan
在输出中,字段Signal level的值表示信号强度
无线信号强度表
信号强度值
强度
描述
-30 dBm
极好
最大信号强度。客户端非常靠近热点
-50 dBm
很好
在该信号强度内,都可视为非常好
-60 dBm
较好
可靠信号强度
-67 dBm
一般
服务可用的最低信号强度。低于该强度,将影响服务使用
-70 dBm
勉强可用
信号强度一般。只能浏览简单网页或者邮件处理
-80 dBm
不稳定
信号强度不可靠,多数服务无法使用
-90 dBm
无法使用
即使能够成功连接,速度也将非常慢
附加说明
使用nmcli命令可以查看无线信号的强度(nmcli device wifi list),输出中的SIGNLE列表示信号强度,最大值为100,它不是以dBm为单位。
如果你想查看以dBm单位的信号强度,可以使用iwlist(8)命令。一般会在-30dBm到-90dBm之间,其中-30dBm为最大的信号强度,表示最好。
参考文献
Wi-Fi Signal Strength: What Is a Good Signal And How Do You Measure It What is the unit of Signal as output in “nmcli dev wifi”[……]
无线网卡有八种工作模式:Master (AP), Managed (Station), Ad hoc, Repeater, Mesh, Wi-Fi Direct, TDLS, Monitor mode:
「AP MODE」:路由器的无线网卡通常处于「AP MODE」,可以被连接,提供无线热点。
「STATION MODE」:手机的无线网卡通常出于「STATION MODE」,可以连接别的热点,发送数据。
其他模式先不介绍,它们不是本文的重点。
本文的重点是:处于「STATION MODE」的无线网卡无法加入桥接。
很多文章都在说出于「STATION MODE」的无线网卡无法桥接:
How to bridge a wireless interface with another wireless interface (both on the same computer)?
Bridging wlan0 to eth0
ArchWiki/Wireless interface on a bridge
libvirt/Networking/Bridged networking (aka “shared physical device”)
我也是在做“使用ETH0接口,使其使用WLAN0连接的外部网络”时遇到了无线网卡无法桥接的问题。
为什么无法桥接?
下面内容出自「[ath5k-devel] can’t add ath5k into bridge on kernel >=2.6.33」邮件列表:
It’s no longer possible to add an interface in the managed mode to a
bridge. You should run hostapd first to pure the interface to the
master mode.
Bridging doesn’t work on the station side anyway because the 802.11
header has three addresses (except when WDS is used) omitting the
address that would be needed for a station to send or receive a packet
on behalf of another system.
下面内容出自DebianWiki的说明:
Howeve[……]
以太网帧结构
以太网是根据 IEEE 802.3 标准来管理和控制数据帧。
网络通信协议:OSI,TCP/IP,IPX/SPX,SNA
局域网协议:IEEE 802,以太网 广域网协议:帧中继,PPP,HDLC
IEEE 802.3 Ethernet
IEEE 802.3:| D.MAC | S.MAC | Length | LLC | SNAP | Data | FCS |
通常,在交换机间使用,比如 STP、IS-IS 等等; Length/Type <= 1500(0x05DC)使用 IEEE802.3 协议;
Ethernet II
MAC 子层 | LLC 子层 | IP 包头 | TCP/UDP 头 | 数据 | FCS
对于不同的数据链路层协议,将采用不同的封装方式。
Ethernet II:| D.MAC | S.MAC | Typte | Data | FCS |
通常,在传输业务应用数据时,使用该协议; Length/Type >= 1536(0x0600)使用 Ethernet II 协议; Type:0x0800 2048,IP 协议 Type:0x0804 2054,ARP 协议 数据帧长度在 64~1518 之间。最大值 1518 字节,其中三层数据 1500 字节,只是一个规定而言。最小值 64 字节,是为了让主机能够检测到冲突:如果 A 完成极小帧发送,但是还没有到达 B ,此时 B 也在发送数据帧,然后 B 检测到冲突后开始发送冲突信号,但是 A 已经完成发送,它不会检测到冲突。因此该最小值是为了让发送方在发送结束前检测到冲突(换句话说,数据到达对端前,还不能完成发送)。
以太网帧转发过程(Layer 2 Switching)
在收到数据后,如果目的MAC地址属于与当前主机相同,则会把以太网封装剥掉后,送往上层协议。
二层交换指的是交换机根据数据帧的第二层头部中的目的MAC地址进行帧转发的行为。 二层交换是以太网交换机的基本功能。 每台交换机都维护一个MAC地址表,用于指导数据帧转发。 当交换机收到数据帧时,将在其MAC地址表中查询该帧的目的MAC地址,并根据匹配的表项执行相应的操作。 此外,交换机收到数据帧时,还会进行 SRC-MACAddress 学习(记录从哪个端口去往哪台终端主机)。
二层交换设备工作在OSI模型的第二层,即数据链路层,它对数据包的转发是建立在MAC(Media Access Control )地址基础之上的。 二层交换设备通过解析和学习以太网帧的源MAC来维护MAC地址与接口的对应关系(保存MAC与接口对应关系的表称为MAC表),通过其目的MAC来查找MAC表决定[……]
问题描述
很多网络协议(比如 RIP BGP 等等),都是用来传递网络拓扑信息的,以降低维护和配置的复杂度。
解决方案
通用属性注册协议(GARP – Generic Attribute Registration Protocol),它为处于同个交换网内的交换机之间提供了一种分发、传播、注册某种信息(VLAN 属性、组播地址等)的手段。
GVRP 并不是个协议,而是个协议框架。Huawei GVRP、Cisco VTP 才是 GARP 的实现,才是实际在交换机中运行的协议。
应用场景
GVRP(GARP VLAN Registration Protocol),是 GARP 的一种具体应用或实现,主要用于维护设备动态 VLAN 属性。通过 GVRP 协议,一台交换机上的VLAN 信息会迅速传播到整个交换网络 GVRP 实现 LAN 属性的动态分发、注册和传播,从而减少了网络管理员的工作量,也能保证 VLAN 配置的正确性。
原理简述
GARP 通过在交换机之间交互 GARP 报文来注册、注销、传播交换机属性;
消息类型:GARP Join / GARP Leave / GARP Leval All
当某个 Switch 希望其他 Switch 注册自己的属性信息时,将对外发送 Join 消息。
当某个 Switch 希望其他 Switch 注销自己的属性信息时,将对外发送 Levae 消息。
当某个 Switch 发送 Leave All 消息时,将注销其他交换机上与该交换机有关的所有属性。
报文格式
GARP PDU 消息以列表的形式来承载属性。
参考文献
Multiple Registration Protocol – Wikipedia GVRP – The Wireshark Wiki[……]
[PC] arp -a # 查看主机 ARP 缓存表
[Huaiwe] display mac-address verbose # 查看 MAC 地址表
删除 MAC 绑定
[system-view] display arp | include 10.10.50.250
[system-view] dis cur | include 10.10.50.250 # 查看MAC绑定命令
[system-view] undo arp static 10.10.50.250 408d-5c3a-c1d7
[system-view] display arp | include 10.10.50.250
有三种:ARP;端口(连接到特定交换机端口的主机,才可以使用特定IP地址);DHCP
范围不同:ARP,全局,所有端口生效;端口绑定是指定端口只能连接指定mac地址的主机,禁止外来主机接入内网;dhcp就是dhcp分配出去的ip这个没什么特别的限制就是分配指定ip给指定主机。 优先级别:端口绑定->mac绑定->dhcp绑定 安全级别:最高的是端口绑定。
dhcp 还有一种设置是 非dhcp服务器分配出去的ip地址,禁止联网,结合dhcp绑定。可以替代 mac+端口的方案[……]
物理地址,MAC Address
MAC,Medium Access Control,在网络中唯一标识一个网卡,每个网卡都需要并拥有有唯一的一个MAC地址。交换机只有一个 MAC 地址,被称为桥 MAC(Bridage MAC)。
数据链路层基于 MAC 地址进行数据传输。
组成:共 48 位,分为两部分,其中: 1)前 24-bit 为 OUI ⇒ 向 IEEE 申请得到; 2)后 24-bit 为厂商 ID,由厂商自定义以区别设备;
表示:通常以十六进制形式表示: 1)比如 00-1E-10-DD-DD-02 格式; 2)在交换机中,会使用 001E-10DD-DD02 格式;
播类型:单播、组播、广播
单播以太帧,Unicast MAC Address
格式: 1)XXXXXXX0-XXXXXXXX-XXXXXXXX(OUI),XXXXXXXX-XXXXXXXX-XXXXXXXX 2)MAC 地址第 1 个字节的第 8 个比特为 0 则为单播帧;
仅能被目的 MAC 地址收到;
组播以太帧,Multicast MAC Address
格式: 1)XXXXXXX1-XXXXXXXX-XXXXXXXX(Non-OUI),XXXXXXXX-XXXXXXXX-XXXXXXXX 2)MAC 地址第 1 个字节的第 8 个比特为 1 则组播,例如 0100-5e-00ab
组播 MAC 地址标识一组设备; 主机需要加入组播组内,才能收到该组播帧,只有在组内的主机将收到数据帧。所谓“加入”是通过配置设备实现的; 一个组播MAC地址所标识的一组设备有着共同的特点,那就是它们都加入了相同的组播组,这些设备将会侦听目的MAC地址为该组播MAC地址的数据帧;
关于 Multicast MAC Address 分类: 1)固定地址:与网络协议相关的 Multicast MAC Address,例如 STP 的 BPDU 载荷便是被直接封装在以太网数据帧中的,并且数据帧的 DST-MAC-Address 为 0180-c200-0000,这便是个 Multicast MAC Address,类似这样的例子还有很多,此处不再一一列举; 2)网络映射:还有业务使用的 Multicast MAC Address 也需要格外关注,其与 Multicast IP Address 存在映射关系;
广播以太帧,Broadcast MAC Address
格式: 1)FF-FF-FF(Non-OUI),FF-FF-FF 2)目的 MAC 地址为 FFFF-FFFF-FFFF 则为广播帧;
所有其他主机将收到数据帧
注意事项
关于 MAC Address 分配: 1)只有 Unica[……]
问题描述
除了知道 IP 地址,IP 报文还必须封装成帧,然后通过数据链路层来发送,而数据帧必须包含目的 MAC 地址。
解决方案
通过 IP 地址而获取目的 MAC 地址的过程是通过 ARP 协议实现的。
原理简述
当 主机A 发送数据包给 主机C 之前,首先要获取 主机C 的 MAC 地址:
除了相应 MAC 地址,主机还会绑定请求者的 MAC 地址。
在发送数据包之前先触发 ARP 查询。有些时候首个 ping 包会丢失,是因为完成 ARP 查询的时间比较久。
ARP 缓存表作用
一般缓存 1200s (20min)
能够手动绑定。
Proxy ARP(代理 ARP)
百度百科/代理ARP
PC1 和 PC2 虽然属于不同的广播域,但它们处于同一网段中,因此PC1会向PC2发出ARP请求广播包,请求获得PC2的MAC地址。由于路由器不会转发广播包,因此ARP请求只能到达路由器,不能到达PC2。
当在路由器上启用 Proxy ARP 后,路由器会查看 ARP 请求,发现 IP 地址 172.16.20.100 属于它连接的另一个网络,因此路由器用自己的接口 MAC 地址代替PC2 的 MAC 地址,向 PC1 发送了一个 ARP 应答。
PC1收到ARP应答后,会认为PC2的MAC地址就是00-00-0c-94-36-ab(路由器接口的 MAC 地址),不会感知到ARP代理的存在。0
# 07/21/2021 目前,已经很少使用 Proxy ARP 特性。该特性需要在支持该功能的路由设备上开启。
Gratuitous ARP(无故 ARP、无偿 ARP、免费 ARP)
免费ARP(gratuitousARP)
普通 ARP 请求报文,其 ARP 封装内的“目的 IP 地址”是其他机器的 IP 地址,而 Gratuitous ARP 的请求报文,其 ARP 封装内的“目的 IP 地址”是其自己的 IP 地址。如果有人响应,则表示该地址已经被使用(能够用作 IP 地址冲突检测)。
所有设备初始都具有该功能,无需开启。
1,利用免费ARP确认设备接口地址 一般的设备在网卡地址加载阶段都会向网络中发送免费的ARP报文(也有些安全设备为了安全起见,让设备在加载地址期间不向外发送免费ARP报文),当我们想知道某些设备的接口地址但又没有相应记录可查时,我们就可以利用设备的这种特性,抓取其免费ARP报文,从而分析出其接口使用的IP地址。这个方法曾数次在用户处使用,效率很高,效果非常明显。
2,使用免费ARP报文,更新某些设备的ARP表项 在《TCP/IP详解卷1》的第四章中,有讲到使用免费ARP报文,更新其他[……]
常用工具
arpspoof – intercept packets on a switched LAN
常用选项: -i interface: 接口 -c own|host|both:C-c退出时,使用的地址; -t target:要毒化的主机; -r:要与-t连用,默认情况下只毒化target,-r双向毒化; host:要伪装的主机、被攻击的主机;
Strict ARP
Strict ARP Learning – NE40E V800R010C10SPC500 Feature Description – Security 01 – Huawei[……]
问题描述
网络中针对ARP的攻击层出不穷,中间人攻击是常见的ARp欺骗攻击方式之一。
解决方案
为了防御中间人攻击,可以在交换机上部署动态ARP检测 (DAl,DynamicARP Inspection) 功能。
原理简述
DAI是利用绑定表来防御中间人攻击的。
当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较: 1)如果信息匹配,说明发送该 ARP 报文的用户是合法用户,人允许此用户的ARP报文通过; 2)否则就认为是攻击,丢弃该 ARP 报文。[……]
常用工具
arping主页:http://www.habets.pp.se/synscan/programs.php?prog=arping Github项目主页:https://github.com/ThomasHabets/arping[……]
问题描述
很多网络协议(比如 RIP BGP 等等),都是用来传递网络拓扑信息的,以降低维护和配置的复杂度。
VLAN 也需要这种协议,以在网络中传播交换机的 VLAN 信息,减轻维护和配置工作、保证 VLAN 配置准确。
解决方案
GVRP(GARP VLAN Registration Protocol),是 GARP 的一种具体应用或实现,主要用于维护设备动态 VLAN 属性。通过 GVRP 协议,一台交换机上的VLAN 信息会迅速传播到整个交换网络 GVRP 实现 LAN 属性的动态分发、注册和传播,从而减少了网络管理员的工作量,也能保证VLAN配置的正确性。
注意事项: 1)GVRP 是 Huawei 使用的 VLAN 配置协议;思科使用 VTP 协议; 2)这些协议如果使用不当,会引发配置问题;
应用场景
在配置 VLAN 较多的环境中,使用 GVRP 来实现 VLAN 的自动注册和注销,因此无需再在交换机中手动配置 VLAN 信息。
原理简述
GVRP 单向注册
在 SWA 上,创建静态 VLAN2,通过 VLAN 属性的单向注册(GVRP),SWB 和 SWC会 学习到动态 VLAN2,并将相应端口自动加入到 VLAN2 中; 在 SWB 上,G0/0/2 端口没有收到 SWA 的 Join 消息,不会被加入到 VLAN2 中。
这里有个问题就是 SWB 的 G0/0/2 未注册到 VLAN 2 中,因此无法转发 VLAN 2 数据。如果想解决该问题,就需要在 SWC 上创建静态 VLAN 2;
GVRP 单向注销
当交换机不再需要 VLAN 2 时,能够通过 VLAN 属性的注销过程将 VLAN 2 删除;
注册模式
Normal:如果端口为 Normal 模式,允许静态 VLAN 和 动态 VLAN 注册,同时会发送静态 VLAN 和 动态 VLAN 的消息声明。这是默认模式。
Fixed:如果端口为 Fixed 模式,则允许动态 VLAN 在端口上注册或注销,并且只发送静态 VLAN 声明消息;
Forbidden:如果端口为 Forbidden 模式,则不允许动态 VLAN 在端口上进行注册,同时删除除 VLAN 1 外的所有 VLAN(应该会保留静态 VLAN);
报文格式
配置使用
参考文献
Multiple Registration Protocol – Wikipedia[……]
[SWA] gvrp
[SWA] interface GigabitEthernet 0/0/1
[SWA-GigabitEthernet0/0/1] port link-type trunk
[SWA-GigabitEthernet0/0/1] port trunk allow-pass vlan all
[SWA-GigabitEthernet0/0/1] gvrp
[SWA-GigabitEthernet0/0/1] gvrp registration fixed[……]
问题描述
传统网络管理系统多数只能分析到三层网络拓扑结构,无法确定详细确定拓扑信息、是否存在配置冲突等。
随着网络规模越来越大,网络设备种类繁多,并且各自的配置错综复杂,对网络管理能力的要求也越来越高。传统网络管理系统多数只能分析到三层网络拓扑结构,无法确定网络设备的详细拓扑信息、是否存在配置冲突等。因此需要有一个标准的二层信息交流协议。
解决方案
LLDP(Link Layer Discovery Protocol,链路层发现协议)是在 IEEE 802.1ab 中定义的链路层(第二层)发现协议。通过采用LLDP技术,在网络规模迅速扩大时,网管系统可以快速掌握二层网络拓扑信息、拓扑变化信息。它能够准确定位诸如哪些设备附带有哪些接口,以及哪些接口与其他设备相互连接等信息,并能够显示客户端、交换机、路由器、应用服务器和网络服务器之间的路径。
LLDP是种邻近发现协议。它为以太网网络设备,如交换机、路由器、无线局域网接入点定义了一种标准的方法,使其可以向网络中其他节点公告自身的存在,并保存各个邻近设备的发现信息。例如设备配置和设备识别等详细信息都可以用该协议进行公告。
LLDP是种标准的二层发现方式,可以将本端设备的管理地址、设备标识、接口标识等信息组织起来,并发布给自己的邻居设备,邻居设备收到这些信息后将其以标准的 MIB(Management Information Base)的形式保存起来,以供网络管理系统查询及判断链路的通信状况。
LLDP提供了一种标准的链路层发现方式。通过LLDP获取的设备二层信息能够快速获取相连设备的拓扑状态;显示出客户端、交换机、路由器、应用服务器以及网络服务器之间的路径;检测设备间的配置冲突、查询网络失败的原因。企业网用户可以通过使用网管系统,对支持运行LLDP协议的设备进行链路状态监控,在网络发生故障的时候快速进行故障定位。
原理简述
该协议使网络管理系统能够精确地发现和模拟物理网络拓扑结构。由于 LLDP 设备发送和接收公告,这些设备将会把自己发现的邻近设备信息存储下来。公告数据,如邻近设备的管理地址、设备类型和端口号,都有助于确定邻近设备到底属于什么类型,以及它们通过哪些端口实现互联。
特性说明
LLDP提供了一种标准的链路层发现方式。 获取相连设备的拓扑状态; 显示设备之间的路径; 检测设备间的配置冲突、查询网络失败的原因。 可使用网管系统,对运行LLDP的设备进行链路状态监控,在网络发生故障的时候快速进行故障定位。
应用场景
如图所示,交换机之间直接或者通过Eth-Trunk相连,网络管理站与交换机之间路由可达且网管协议配置已经完成。 通过LLDP协议机制,发现网络中链路层邻居信息,同时通过网络管理协议上[……]