Nicopilot

骨干网与WLANIPv6概述IPv4现状Ipv4现状 IPv4地址不足，在NAT技术加持下，依然无法支撑全球使用 2011年2月3日，最后的468万个IPv4地址平均分配到全球5个RIR，此后IANA再没有可分配的IPv4地址 2019年11月25日IPv4地址分配完毕 全球IPv6发展现状 Why IPv6？ IPv6报文结构IPv6报文一般由三个部分组成 基本报头：路由器通过解析基本报头就能完成绝大多数的报文转发任务 扩展报文：提供一些扩展的报文转发信息，如分段、加密等，该部分不是必须的 上层数据协议单元：一般由上层协议报头和它的有效载荷组成，该部分与IPv4的上层协议数据单元相似 IPv6基本报头IPv6头部相较于IPv4的改进 IPv6基本报头解析 IPv6基本报头也称之为固定报头。固定报头包含8个字段，总长度为40个字节 这8个字段分别为： 版本（Version）：该字段规定了IP协议的版本，值为6。长度为4bit 流量类型（Traffic Class）：该字段功能和IPv4中的服务类型功能类似，表示IPv6数据报文的类或优先级。长度为8bit 流标签（Flow ...

骨干网与WLANBGP路径属性BGP路径属性路径属性 任何一条BGP路由都拥有多个路径属性 当路由器将BGP路由通告给邻居时，会携带路径属性 BGP的路径属性将影响路由优选 路径属性分类公认属性是所有BGP路由器都必须能够识别的属性 公认必遵： 所有BGP设备都要认识这一类属性 必须包含在每个Update消息里 如果缺少这类属性，update报文不完整， 路由信息会出现错误 –Origin属性：起源属性，路由是通过network 注入的，还是通过import 注入的 –AS_path属性：这条路由是从哪里来的，从哪个AS号来的，经过了哪个AS号， –Next_Hop：定义路由的下一跳信息 公认任意： 所有BGP设备认识此类属性 可能包括在某些Update消息里 如果缺少这类属性，路由信息不会出现错误 Local_Pref属性 可选属性不需要都被BGP路由器所识别 可选过渡： BGP设备可以不识别此类属性，而且依然会接受该类属性并通告给其他对等体 Community：团体属性 可选非过渡： BGP设备不识别此类属性会忽略该属性，且不会通告给其他对等体 ...

骨干网与WLANBGP通告原则BGP通告原则BGP传递给路由时需要遵循以下原则 第一条原则：只发布最优且有效（即下一跳地址可达）的路由 第二条原则：从EBGP邻居获取的路由，会发布给所有邻居 第三条原则：从IBGP邻居获取的路由，不会再发送给其他IBGP邻居（IBGP水平分割） IBGP水平分割IBGP水平分割BGP通告原则三 从IBGP邻居学习到的BGP路由，不会再发送给其他IBGP邻居 该条原则也被称为”IBGP水平分割” IBGP水平分割的作用：防止AS内部路由环路 IBGP水平分割的不足 导致域间路由无法传递 如何突破IBGP水平分割的限制 静态路由 在OSPF中引入BGP IBGP全互联 路由反射器 路由反射器IBGP水平分割IBGP水平分割 作用：用于防止AS内部出现环路 存在问题：BGP路由在AS内部无法传递 解决方案：IBGP邻居全互联，路由反射器 IBGP全互联的不足 邻居数量多：一个AS内有n台设备，需建立的邻居数为n（n-1）/2 当设备数目很多时，设备配置十分复杂、路由维护十分复杂 当设备数目很多时，网络资源和设备资源的消耗都非 ...

骨干网与WLANBGP概述动态路由分类IGP：内部网关协议 AS内部使用IGP来计算和发现路由，如OSPF EGP：外部网关协议 AS与AS之间使用BGP来传递和控制路由 ASAS：自治系统 AS：Autonomous System 自治系统，指由一组网络和路由器组成的网络 每个自治系统都有唯一的一个编号，即AS号 AS号可以帮助互联网中的路由器找到要到达目的地的IP地址的最短路径 AS号由互联网分配机构IANA（互联网分配号码管理局）分配 AS号的范围被划分为两类：公共AS号和私有AS号 公共AS号是指由IANA分配的AS号，可用于在全球范围内标识自治系统 私有AS号是指由互联网注册机构（IR）分配的AS号，用于在私有互联网中标识自治系统 2字节AS号范围是0~65535 164511为公有AS，6451265535为私有AS 4字节AS号范围是0~4294967295 4200000000~4294967294为私有AS号 网络规模扩大，路由数量不断增长，IGP已无法管理，AS的概念诞生 AS与AS之间通信需要使用哪种路由协议？ 在AS之间使用BGP协议进行路 ...

园区网路由Stub区域OSPF特殊区域OSPF分为区域和特殊区域 OSPF普通区域： 包括标准区域和骨干区域 OSPF特殊区域： Stub Totally Stub NSSA Totally NSSA 区域类型 区域作用 普通区域 普通区域包括标准区域和骨干区域标准区域是最通用的区域，它传输区域内路由，区域间路由和外部路由骨干区域是连接所有其他OSPF区域的中央区域，骨干区域用Area 0表示 Stub区域 不学习4、5类LSA、不允许引入外部路由，只发布域内路由和域间路由在Stub区域中，数据库和路由表规模都会大大减少依靠该区域的ABR发布默认的3类LSA与外部通信 Totally Stub区域 不学习3、4、5类LSA、不允许引入外部路由，只发布域内路由在Totally Stub区域中，数据库和路由表规模都会大大减少依靠该区域的ABR发布默认的3类LSA与外部通信 NSSA区域 NSSA区域不学习4、5类LSA，但是NSSA区域允许通过7类LSA引入外部路由由ASBR发布7类LSA通告给本区域，这些7类LSA在ABR中转换成5类LSA，在整个OSPF ...

园区网路由区域间路由大型网络中，单区域OSPF存在的问题为什么要划分多区域 数据库庞大 路由表庞大 设备压力大，资源消耗高 无法进行路由汇总 拓扑变更，引发路由重计算 区域划分区域内部路由器（Internal Router） 该类设备的所有接口都属于同一个OSPF区域。如RRR5 区域边界路由器（Area Border Router） 该类设备接口分别连接两个及两个以上不同区域。如RR3 区域间路由接口OSPF区域间路由传递是通过ABR产生的3类LSA实现的 R2依据Area 1内的1类LSA及2类LSA计算得出192.168.1.0/24的路由（区域内路由），并将该路由通过3类LSA通告到Area 0。R3根据该LSA可计算出到达192.168.1.0/24的区域间路由 R3重新生成一份3类LSA通告到Area 2中，所有OSPF区域都有192.168.1.0/24的路由 Network Summary LSANetwork Summary LSA详解Network Summary LSA（3类LSA）： Network Summa ...

园区网路由OSPF网络类型七大状态 状态 状态描述 Down OSPF最开始的状态 Init 初始化状态，收到对端发来Hello报文后状态为Init，但Hello报文中不含自己的Router ID two-way 收到的Hello报文中包含有自己的Router ID ，则状态为2-way Exstart 信息交换初始化状态，交互第一个DD报文，开始建立邻接状态 Exchange 信息交换状态，交互其余所有的DD报文 Loading 交互LSR，LSU，LSACK报文 Full 完全邻接状态 Down：发送hello报文 Init：接收到邻居发来的hello报文，但是该hello报文中没有自己的router id Two-way：接收到的hello报文中，有自己的router-id，选举DR/BDR Exstart: 交互第一个dd 报文，确认主从关系，保证传输可靠 Exchange：交互数据库描述信息 Loading：数据库同步 Full：完全邻接状态 建立邻居关系 OSPF使用Hello报文发现和建立邻居关系 在以太网链路上，缺省时 ...

园区网路由动态路由的优势企业现状随着企业的发展，网络规模也不断在扩大 网络设备、网段数量越来越多 需要配置的路由条目越来越多 存在问题在大型网络中存在的问题 静态路由，配置工作量大，效率低，出错率高 静态路由不能动态感知网络变化，不会自动更新 设备新增或删减，网络地址变更时，静态路由需要重新配置 当网络拓扑发生变更时，维护工作量大，网络中断时间过长 解决方案动态路由 动态路由协议可以自动更新，快速适应网络拓扑的变化 动态路由协议的特点 自动计算路由，无需手动配置 网络拓扑变更时，自动更新路由，无需手动配置 支持负载均衡，提高网络可靠性 能够选择出最优的路由 路由分类–直连路由 –非直连路由 静态路由 动态路由 IGP：内部网关路由协议-在同一个AS内部使用（在企业或者数据中心内部使用） DV：距离矢量路由协议 RIP（v1/v2） IGRP-思科私有协议 EIGRP-思科私有协议 LS：链路状态路由协议 OSPF：开放式最短路径优先（企业用：功能多，可以精细化控制） ISIS：中间系统到中间系统（数据中心用，转发能力强，大流量转发） EGP：外部 ...

园区网实现与安全NAT原理NAT技术背景NAT技术背景 为节省IPv4地址，企业内网使用的都是”私有IP地址” Internet网络的组成设备，使用都是”公有IP地址” 所以企业内网要与lnternet 互通，必须拥有”公有IP地址” NAT概述NAT (Network Address Translation )，网络地址转换 主要应用在企业网络的边界设备上 对IP数据报文头部中的”私有IP地址”转换为”公有IP地址”实现内网到外网的访问 实现对企业内网的保护，增强企业内网的安全性，因为外网无法直接访问内网设备的私有IP地址 NAT工作原理NAT对IP报头中的源IP进行地址转换 NAT工作表：NAT会话表 NAT类型静态NAT 私有IP地址和公有IP地址1对1转换，不节省公有IP 动态NAT 基于”NAT地址池”实现”私有地址”和”公有地址”之间的随机转换 一个公有地址在不同的时间可以为多个私有地址进行转换，但在同一时间一个公有地址只能为一个私有地址进行转换，所以要求NAT地址池中的公有地址数量要多于企业内部私有地址的数量，所以这种方式并不常用 NAPT：网络地址端 ...

园区网实现与安全ACL原理安全问题日益严峻随着网络的飞速发展，网络安全问题日益突出 企业重要服务器资源被随意访问，机密信息容易泄露，存在安全隐患 Internet病毒肆意侵略企业内网，内网环境的安全性堪忧 网络带宽被各类业务占用，导致重要的业务带宽得不到保障 ACL应用场景企业需求 为保证财务数据安全，禁止售后部门访问财务服务器，允许总裁办访问 禁止PC1访问财务服务器，允许PC2访问财务服务器 解决方案 配置ACL，控制数据包转发 ACL概述ACL（Access Control List），访问控制列表 ACL是一个包含了多个规则的列表，不同规则通过”规则号”进行区分 每条”规则”都包含：动作 + 条件两部分内容 动作分为：允许（permit）和 拒绝（deny） 条件分为：地址和端口等··· 主要用于在网络中的众多数据报文中，”抓取”感兴趣的数据 ACL本质上是一种报文过滤器，可以根据规则对报文进行过滤，按照规则的动作选择允许报文通过和阻止报文通过 ACL的作用是对数据报文进行访问控制，提高网络安全性 ACL作用 对网络中数据报文进行过滤，做访问控制， 提高内网 ...