H3C有关概念Word文档下载推荐.docx

H3C有关概念Word文档下载推荐.docx

《H3C有关概念Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《H3C有关概念Word文档下载推荐.docx（16页珍藏版）》请在冰豆网上搜索。

有什么作用？

访问控制列表（AccessControlList，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。

ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。

这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。

　　信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。

简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。

ACL的定义也是基于每一种协议的。

如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。

ACL是访问控制列表，又分标准访问和扩展访问列表！

标准访问控制列表是基于源IP来过滤。

扩展访问控制列表是基于源IP目地IP协议端口号来过滤。

作用：

ACL可以限制网络流量、提高网络性能。

例如，ACL可以根据数据包的协议，指定数据包的优先级。

　　ACL提供对通信流量的控制手段。

例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

　　ACL是提供网络安全访问的基本手段。

ACL允许主机A访问人力资源网络，而拒绝主机B访问。

　　ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

例如：

某部门要求只能使用WWW这个功能，就可以通过ACL实现；

又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

ACL的执行过程

　　一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。

如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。

　　数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。

如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。

如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。

这里要注意，ACL不能对本路由器产生的数据包进行控制。

ACL的分类

　　目前有两种主要的ACL:

标准ACL和扩展ACL、通过命名、通过时间。

　　标准的ACL使用1~99以及1300~1999之间的数字作为表号扩展的ACL使用100~199以及2000~2699之间的数字作为表号

　　标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

　　扩展ACL比标准ACL提供了更广泛的控制范围。

例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。

　　在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。

使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。

在使用命名访问控制列表时，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。

　　随着网络的发展和用户要求的变化，从IOS12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。

通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。

这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。

首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。

基于时间访问列表的设计中，用time-range命令来指定时间范围的名称，然后用absolute命令，或者一个或多个periodic命令来具体定义时间范围。

4、STP是什么？

STP（Spanning 

Tree 

Protocol）是生成树协议的英文缩写。

该协议可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。

STP的基本原理是，通过在交换机之间传递一种特殊的协议报文（在IEEE 

802.1D中这种协议报文被称为“配置消息”）来确定网络的拓扑结构。

配置消息中包含了足够的信息来保证交换机完成生成树计算。

生成树协议（SpanningTree）是一种链路管理协议，它为网络提供路径冗余同时防止产生环路。

为使以太网更好地工作，两个工作站之间只能有一条活动路径。

网络环路的发生有多种原因，最常见的一种是有意生成的冗余－万一一个链路或交换机失败，会有另一个链路或交换机替代。

　　生成树协议允许网桥之间相互通信以发现网络物理环路。

该协议定义了一种算法，网桥能够使用它创建无环路（loop-free）的逻辑拓朴结构。

换句话说，STP创建了一个由无环路树叶和树枝构成的树结构，其跨越了整个第二层网络。

　　生成树协议操作对终端站透明，也就是说，终端站并不知道它们自己是否连接在单个局域网段或多网段中。

当有两个网桥同时连接相同的计算机网段时，生成树协议可以允许两网桥之间相互交换信息，这样只需要其中一个网桥处理两台计算机之间发送的信息。

　　网桥之间通过桥接协议数据单元（BridgeProtocolDataUnit－BPDU）交换各自状态信息。

生成树协议通过发送BPDU信息选出网络中根交换机和根节点端口，并为每个网段（switchedsegment）选出根节点端口和指定端口。

　　网桥中的程序能够决定如何使用生成树协议，这称为生成树算法，该算法能够避免网桥环路，并确保在多路径情形下网桥能够选择一条最有效的路径。

如果最佳路径失败，可以使用该算法重新计算网络路径并找出下一条最佳路径。

　　利用生成树算法可以决定网络（哪台计算机主机在哪个区段），并通过BPDU信息交换以上数据。

该过程主要分为以下两个步骤：

步骤1：

通过评估它所接收到的所有配置信息和选择最优选项，来决定一个网桥可发送的最佳信息。

步骤2：

一旦选定某网桥发送的信息，网桥将该信息与来自无根（non-root）连接的可能配置信息相比较。

如果步骤1中选择的最佳选项并不优于可能配置信息，便删除该端口。

生成树协议结构

网桥协议数据单元（BPDU）：

ProtocolID

（2）Version

（1）Type

（1）Flags

（1）RoodID（8）RootPath（4）

SenderBID（8）PortID

（2）M-Age

（2）MaxAge

（2）Hello

（2）FD（2Bytes）

ProtocolID―恒为0。

Version―恒为0。

Type―决定该帧中所包含的两种BPDU格式类型（配置BPDU或TCNBPDU）。

Flags―标志活动拓朴中的变化，包含在拓朴变化通知（TopologyChangeNotifications）的下一部分中。

RootBID―包括有根网桥的网桥ID。

会聚后的网桥网络中，所有配置BPDU中的该字段都应该具有相同值（单个VLAN）。

NetXRay可以细分为两个BID子字段：

网桥优先级和网桥MAC地址。

RootPathCost―通向有根网桥（RootBridge）的所有链路的积累资本。

SenderBID―创建当前BPDU的网桥BID。

对于单交换机（单个VLAN）发送的所有BPDU而言，该字段值都相同，而对于交换机与交换机之间发送的BPDU而言，该字段值不同）

PortID―每个端口值都是唯一的。

端口1/1值为0×

8001，而端口1/2值为0×

8002。

MessageAge―记录RootBridge生成当前BPDU起源信息的所消耗时间。

MaxAge―保存BPDU的最长时间，也反映了拓朴变化通知（TopologyChangeNotification）过程中的网桥表生存时间情况。

HelloTime―指周期性配置BPDU间的时间。

ForwardDelay―用于在Listening和Learning状态的时间，也反映了拓朴变化通知（TopologyChangeNotification）过程中的时间情况。

生成树协议的作用

功能强大、可靠的网络需要有效地传输流量，提供冗余和故障的快速恢复功能。

在第2层网络中，路由协议不可用，生成树协议通过从软件层面修改网络物理拓扑结构来构建一个无环路逻辑转发拓扑结构，提供了物理线路的冗余连接，消除了网络风暴，从而提高网络的稳定性和减少网络故障的发生率。

生成树协议的原理

生成树协议（SpanningTreeProtocol）是在网络有环路时，通过一定的算法将交换机的某些端口进行阻塞，从而使网络形成一个无环路的树状结构。

1、生成树协议的工作过程

采用三个规则来使某个端口进入转发状态：

生成树协议选择一个根网桥，根网桥的所有端口都处于转发状态

每一个非根网桥选一个端口到根网桥中且管理成本最低的端口作为根端口，生成树协议将使根端口处于转发状态

当网络中有多个网桥时，它们会将其到根网桥的管理成本宣告出去，其中管理成本最低的网桥作为指定网桥，指定网桥中发送最低管理成本BPDU的端口为指定端口，该端口处于转发状态，所有其他端口被置为阻塞状态

2、根网桥的选择

开始所有网桥都通过发送STP报文来声明自己是根网桥，这些交换信息的数据成为网桥协议数据单元（BPDU），BPDU包含以下内容：

根网桥的ID

一个可设置的优先级这是根网桥的优先级

到达根网桥的成本

发送该BPDU的网桥ID

根网桥的选择条件：

最小优先级别的网桥将成为根网桥

若优先级别相同，则具有最小网桥ID的网桥成为根网桥

注：

网桥或交换机选择地址池中的一个MAC地址作为网桥的ID，由于MAC地址的唯一性，所以网桥ID也是唯一的。

用来标识根网桥和优先级、网桥ID和成本的报文成为hello数据包。

STP就是通过hello数据包中的内容来判断网络中是否有比自己更合适作为根网桥的网桥，如果有就停止并且转发合适网桥的hello数据包，最终将有一台网桥成为根网桥。

3、根端口的选择

不是根网桥的交换机都选择一个根端口，这是通过判断出有最小根路径成本的端口做到的，这个代价一直带在BPDU上，沿途的每台不是根网桥的交换机都把接收BPDU的端口的本地端口成本加上去，伴随BPDU的产生，就累加出了根路径成本。

4、制定端口的选择

在每个网段上选择一个交换机端口处理该网络的流量，在网段内最小根路径成本的端口就为指定端口。

5、删除桥接环

既不是根端口也不是指定端口的交换机端口被设为阻塞状态。

这一步断开了不设置阻塞将会形成的所有桥接环。

6、生成树协议的端口状态

禁用（Disabled）关闭的端口。

阻塞（Blocking）不能接收或传输数据，不能把MAC地址加入它的地址表，只能接收BPDU。

监听（Listening）由根端口或指定端口担任，不能接收或传输数据，不能把MAC地址加入它的地址表，只能接收或发送BPDU。

学习（Learning）在转发延时（ForwardDelay）计时时间（默认15s）后，端口进入学习状态。

不能传输数据，但可接收或发送BPDU，可学习MAC地址并加入它的地址表。

转发（Forwarding）在下次转发延时（ForwardDelay）计时时间（默认15s）后，端口进入转发状态。

能接收或传输数据，能学习MAC地址并加入它的地址表，也可接收或发送BPDU。

5、VLAN相关概念

VLAN（VirtualLocalAreaNetwork）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。

一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。

组建VLAN的条件

VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。

当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成。

划分VLAN的基本策略，从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法：

1、基于端口的VLAN划分

这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。

该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。

2、基于MAC地址的VLAN划分

MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。

MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。

网络管理员可按MAC地址把一些站点划分为一个逻辑子网。

3、基于路由的VLAN划分

路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。

该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。

就目前来说，对于VLAN的划分主要采取上述第1、3种方式，第2种方式为辅助性的方案。

使用VLAN优点，使用VLAN具有以下优点：

1、控制广播风暴

一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。

2、提高网络整体安全性

通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。

3、网络管理简单、直观

对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。

而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。

在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。

利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。

在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。

三层交换技术

传统的路由器在网络中有路由转发、防火墙、隔离广播等作用，而在一个划分了VLAN以后的网络中，逻辑上划分的不同网段之间通信仍然要通过路由器转发。

由于在局域网上，不同VLAN之间的通信数据量是很大的，这样，如果路由器要对每一个数据包都路由一次，随着网络上数据量的不断增大，路由器将不堪重负，路由器将成为整个网络运行的瓶颈。

在这种情况下，出现了第三层交换技术，它是将路由技术与交换技术合二为一的技术。

三层交换机在对第一个数据流进行路由后，会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。

可见，三层交换机集路由与交换于一身，在交换机内部实现了路由，提高了网络的整体性能。

在以三层交换机为核心的千兆网络中，为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性，可采用VLAN技术进行虚拟网络划分。

VLAN子网隔离了广播风暴，对一些重要部门实施了安全保护；

且当某一部门物理位置发生变化时，只需对交换机进行设置，就可以实现网络的重组，非常方便、快捷，同时节约了成本。

6、路由表有哪些关键字段？

分别有什么作用？

路由表中的每项都由以下信息字段组成：

网络ID

主路由的网络ID或网际网络地址。

在IP路由器上，有从目标IP地址决定IP网络ID的其他子网掩码字段。

转发地址

数据包转发的地址。

转发地址是硬件地址或网际网络地址。

对于主机或路由器直接连接的网络，转发地址字段可能是连接到网络的接口地址。

接口

当将数据包转发到网络ID时所使用的网络接口。

这是一个端口号或其他类型的逻辑标识符。

跃点数

路由首选项的度量。

通常，最小的跃点数是首选路由。

如果多个路由存在于给定的目标网络，则使用最低跃点数的路由。

某些路由选择算法只将到任意网络ID的单个路由存储在路由表中，即使存在多个路由。

在此情况下，路由器使用跃点数来决定存储在路由表中的路由。

7、OSI层次结构，各层的作用？

各层数据存在的形式？

OSI参考模型各层的功能简述如下：

1～3层主要负责通信，称为通信子网层。

5～7层属于资源子网，称为资源子网层，传输层是通信子网与资源子网的中间介质。

1）物理层：

提供为建立、维护和拆除物理链路所需的机械、电子、功能和规程的特性；

提供有关在传输介质上传输非结构的比特流及物理链路故障检测指示。

（比特流的形式存在）

2）数据链路层：

为网络层实体提供点到点无差错帧传输功能，并进行流控制。

（帧的形式存在）

3）网络层：

为传输层实体提供端到端的交互网络数据传送功能。

使得传输层摆脱路由选择、交换方式、拥挤控制等网络传输细节；

可以为传输层实体建立、维持和拆除一条或多条通信路径；

对网络传输中发生的不可恢复的差错予以报告。

（数据包的形式存在）

4）传输层：

为会话层实体提供透明、可靠的数据传输服务，保证端到端的数据完整性；

选择网络层能提供最适宜的服务；

提供建立维护和拆除传输连接功能。

（报文或分组的形式存在）

5）会话层：

为彼此合作的表示层实体提供建立、维护和结束会话连接的功能；

完成通信进程的逻辑名字与物理名字间的对应；

提供会话管理服务。

6）表示层：

为应用层进程提供能解释所交换信息含义的一组服务，如代码转换、格式转换、文本压缩、文本加密与解密等。

7）应用层：

提供OSI用户服务，例如事务处理程序、电子邮件和网络管理程序等（报文或分组的形式存在）通常，在各个分层中，把上一层传输来的数据附加上本层协议处理所需要的信息，这些信息以报头的形式附加在数据上。

在接收端，对接收到的数据进行处理，先将报头与数据分离，然后再向上一层发送数据。

8、RIP与OSFP的区别？

RIP是路由信息协议（RoutingInformationProtocol）的缩写，采用距离向量算法，是当今应用最为广泛的内部网关协议。

在默认情况下，RIP使用一种非常简单的度量制度：

距离就是通往目的站点所需经过的链路数，取值为1~15，数值16表示无穷大。

RIP进程使用UDP的520端口来发送和接收RIP分组。

RIP分组每隔30s以广播的形式发送一次，为了防止出现“广播风暴”，其后续的的分组将做随机延时后发送。

在RIP中，如果一个路由在180s内未被刷，则相应的距离就被设定成无穷大，并从路由表中删除该表项。

RIP分组分为两种：

请求分组和相应分组。

RIP-1被提出较早，其中有许多缺陷。

为了改善RIP-1的不足，在RFC1388中提出了改进的RIP-2，并在RFC1723和RFC2453中进行了修订。

RIP-2定义了一套有效的改进方案，新的RIP-2支持子网路由选择，支持CIDR，支持组播，并提供了验证机制。

随着OSPF和IS-IS的出现，许多人认为RIP已经过时了。

但事实上RIP也有它自己的优点。

对于小型网络，RIP就所占带宽而言开销小，易于配置、管理和实现，并且RIP还在大量使用中。

但RIP也有明显的不足，即当有多个网络时会出现环路问题。

为了解决环路问题，IETF提出了分割范围方法，即路由器不可以通过它得知路由的接口去宣告路由。

分割范围解决了两个路由器之间的路由环路问题，但不能防止3个或多个路由器形成路由环路。

触发更新是解决环路问题的另一方法，它要求路由器在链路发生变化时立即传输它的路由表。

这加速了网络的聚合，但容易产生广播泛滥。

总之，环路问题的解决需要消耗一定的时间和带宽。

若采用RIP协议，其网络内部所经过的链路数不能超过15，这使得RIP协议不适于大型网络。

OSPF（OpenShortestPathFirst）是一个内部网关协议（InteriorGatewayProtocol,简称IGP），用于在单一自治系统（autonomoussystem,AS）内决策路由。

与RIP相对，OSPF是链路状态路由协议，而RIP是距离向量路由协议。

　　链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。

OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。

开放最短路径协议（OSPF）协议不仅能计算两个网络结点之间的最短路径，而且能计算通信费用。

可根据网络用户的要求来平衡费用和性能，以选择相应的路由。

在一个自治系统内可划分出若干个区域，每个区域根据自己的拓扑结构计算最短路径，这减少了OSPF路由实现的工作量；

OSPF属动态的自适应协议，对于网络的拓扑结构变化可以迅速地做出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化。

每个路由器都维护一个相同的、完整的全网链路状态数据库。

这个数据库很庞大，寻径时，该路由器以自己为根，构造最短路径树，然后再根据最短路径构造路由表。

路由器彼此交换，并保存整个网络的链路信息，从而掌握全网的拓扑结构，并独立计算路由。

区别：

OSPF与RIP最大的区别就是OSPF是链路状态RIP是距离矢量路由选择协议

OSPF是根据SPF（最短路径优先）最短路径生成树而确定最短路径的，RIP是根据别路由器来确定哪些网络可以到达，换句话说，就是OSPF中的每台路由器拥有区域内的每台路由器的地址，而RIP只有相连的，因此，R