三、网络服务协议
目录
一、FTP:文件传输协议
二、Telnet:远程登录协议
三、AAA认证
四、DHCP
五、DNS
六、PPP协议
七、ISIS协议
一、FTP:文件传输协议
C/S架构,现多用于企业内部的资料共享和网络设备的文件传输,企业内部搭建一个FTP服务器(文件服务器),基于TCP)
双通道(服务端主动模式)
1)控制通道:客户端向服务器发起TCP三次握手(服务器端口号21,客户端口号随机)
客户端向服务器发起的各项控制指令(输入账号密码、打开文件、发起传输请求等)
2)数据通道:客户端通过控制通道告知服务器自己开放的端口号(P,随机),由服务器主动发起TCP三次握手(服务器端口号20,客户端口号P)
传输文件
双通道(服务端被动模式)
1)控制通道:客户端向服务器发起TCP三次握手(服务器端口号21,客户端口号随机)
客户端向服务器发起的各项控制指令(输入账号密码、打开文件、发起传输请求等)
2)数据通道:客户端发送被动命令,服务器根据该命令告知客户端自己开放的端口号(N,随机),由客户端主动发起TCP三次握手(服务器端口号N,客户端口号随机)
传输文件
客户端配置:
ftp 12.1.1.2(服务器ip地址)
输入账号密码(huawei和huawei@123)
##登陆到服务器上查看ftp服务器上的文件夹
dir
##从ftp服务器获取文件
get r2.zip
##发送文件
put r2.zipftp服务器配置:
##打开ftp服务
ftp server enable
##设置ftp默认工作目录
set default ftp-directory flash:
aaa##设置账号huawei密码huawei@123,cipher:本地加密local-user huawei password cipher huawei@123##设置权限,ftp需要3级及以上,15级最高local-user huawei privilege level 15 ##可以访问的文件夹:ftp目录local-user huawei ftp-directory flash:##可以访问的服务local-user huawei service-type ftpsave
二、Telnet:远程登录协议
基于TCP,无需专用线缆直连设备,只要ip可达且设备TCP 23端口能通信即可。
C/S架构
远程登录协议:
- SSH:加密的;
- Telnet:明文的
设备登录两种方式:
- console登录(连接配置线登录)
- 虚拟用户界面(远程登录),同时多个用户登录
服务端配置:
##打开telnet 服务
telnet server enable
##vty:虚拟接口,设置vty线路0-4,同时支持5个用户登录
user-interface vty 0 4##允许登陆的协议protocol inbound telnet(ssh/all)##设置登录认证方式为口令认证authentication-mode password ##设置登录用户级别,默认为0不能进入系统视图user privilege level 3##10分钟0秒不操作退出账号,0 0为永不退出idle-timeout 10 0##修改认证口令set authentication-mode password cipher huawei@123客户端登录:
telnet 12.1.1.2(服务器IP地址)
三、AAA认证
AAA (Authentication, Authorization, and Accounting):认证、授权、计费
AAA常见网络架构中包括用户、NAS(Network Access Server)、AAA服务器(AAA Server)
NAS一般是网关设备(路由器或交换机)
两组C/S
- 用户为客户端,NAS为服务端
- NAS为AAA客户端,AAA服务器为AAA服务端
- NAS负责集中收集和管理用户的访问请求。
- 在NAS上会创建多个域来管理用户。不同的域可以关联不同的AAA方案。AAA方案包含认证方案,授权方案,计费方案。
- 当收到用户接入网络的请求时,NAS会根据用户名来判断用户所在的域,根据该域对应的AAA方案对用户进行管控。
AAA支持的认证方式有:不认证,本地认证,远端认证。
远端认证:需要发送至远端AAA服务器认证
本地认证:将用户名密码配置在NAS上认证,类似上述的FTP服务
AAA支持的授权方式有:不授权,本地授权,远端授权。
授权信息包括:所属用户组、所属VLAN、ACL编号等。
AAA支持的计费方式有:不计费,远端授权。
AAA实现的协议
常用radius协议
aaa##设置账号huawei密码huawei@123,cipher:本地加密local-user huawei password cipher huawei@123##设置权限,ftp需要3级及以上,15级最高local-user huawei privilege level 15 ##可以访问的服务local-user huawei service-type telnetuser-interface vty 0 4##设置登录认证方式为aaa认证authentication-mode aaa##设置登录用户级别,默认为0不能进入系统视图user privilege level 3aaa##用户名为123的用户在名为hcia的域中,hica域中的用户都按照hcip的方式认证,hcip的认证方式为radius认证(远端认证)authentication-scheme hcipauthentication-mode radius##分域,同一域内的账号认证授权计费方式相同domain hciaauthentication-scheme hcip##添加本地用户local-user 123@hica password cipher 123四、DHCP
动态主机配置协议,C/S架构,主机无需配置
统一管理:避免冲突
地址租期:释放地址
工作原理(DHCP与主机工作在同广播域)
主机开机后会发送广播报文(源0.0.0.0,目的255.255.255.255)寻找DHCP服务器,服务器回单播报文分配ip地址,在这个过程中,因广播域中可能有n个DHCP服务器,所以就给主机分配n个ip地址,客户端按照先到先得原则使用第一个到达的,然后客户端再次广播报文告知各服务器我使用的ip地址,其他n-1个地址由服务器回收,该ip地址服务器单播报文确认主机可以是应该ip地址。
租期更新
如果在50%租期时未得到原服务器回应,则在87.5%租期广播发起DHCP请求,重新获取ip
DHCP enable
int g0/0/0ip add 192.168.1.1 24##产生一个与本接口同网段的地址池且本接口作为该网段主机的网关dhcp select interface##100-199会保留下来,不会分配出去dhcp sever excluded-ip-address 192.168.1.100 192.168.1.199##租期2天0时0分dhcp sever day 2 hour 0 minute 0##域名解析服务器dhcp sever dns-list 8.8.8.8工作原理(DHCP与主机工作在不同广播域)
依靠中继(dhcp relay):客户端—中继—服务端,客户端发广播到中继,中继单播到服务端
如何广播变单播:在客户端发给中继的广播报文(源0.0.0.0,目的255.255.255.255)外封装一个新ip头部(源192.168.20.1,目的23.1.1.3)变为单播报文
单臂路由,首先把路由做通(有去有回)R2
##在能收到某ip地址段的网关处配置
int g0/0/0.20dot1q termination vid 20ip add 192.168.20.1 24arp broadcast enable##将该网关接口选择为dhcp中继dhcp select relay##将其中继到服务器23.1.1.3dhcp relay sever-ip 23.1.1.3R3
##全局地址池
ip-pool vlan20ip add 192.168.20.0 24GATEWAY-list 192.168.20.1lease day 1dns-list 8.8.8.8excluded-ip-address 192.168.20.10 192.168.20.20
int g0/0/0ip add 23.1.1.3 24##选择全局地址池而非接口地址池dhcp select global
五、DNS
域名解析系统
查询方式
- 递归查询:主机向DNS1发请求,DNS1没有,DNS1向DNS2发请求,以此类推
- 迭代查询:主机向DNS1发请求,DNS1没有并返回DNS2的ip,主机向DNS2发请求,以此类推
六、PPP协议
ppp,二层协议,点对点,用路由器和路由器之间的串行接口(serial),二层上没有地址,串行线交换机用不了,路由器专用。
与串行线对应的是以太网(采用mac,多路访问)
普通以太网路由器只要连接即可通信,PPP协议提供了安全认证协议,认证通过后才可以通信。
PPP链路建立需要经过链路层协商、认证协商和网络层协商三个阶段
- 链路层协商:通过LCP报文进行链路参数协商,建立链路层连接
- 认证协商(可选):通过链路建立阶段协商的认证方式进行链路认证
- 网络层协商:通过NCP协商来选择和配置一个网络层协议进行网络层参数协商,协商IP地址
PPPoE(以太网承载PPP协议)
适用家庭宽带:PPP在接入之前二层链路就进行了验证,但是家庭不适合用串行线,因此有了PPPoE
PPPoE集中了PPP和Ethernet两个技术的优点。既有以太网的组网灵活优势,又可以利用PPP协议实现认证、计费等功能。 
七、ISIS协议
相对于OSPF,ISIS协议具有的特点
- 报文的结构简单,邻居之间信息交互的效率较高,对网络资源占用较少
- ISIS与OSPF都是链路状态路由协议,同样采用SPF算法计算路由
- 基于数据链路层工作,不依赖IP地址进行通信
CLNS(无连接网络服务):无需同时在线
is-is(中间系统-中间系统,路由器-路由器)
支持CLNP和ip网络
采用数据链路层封装,不封装网络层
基于链路状态的路由协议
LSP(LSPDU,链路状态协议数据单元)2
ospf
只支持ip网络
采用ip报文封装
CLNP网络中的NSAP地址(网络服务访问点)类似于ip网络中的ip地址,也分为网络位和主机位。
- 网络位(IDP,初始域部分),AFI标识哪个机构分配的地址,区分公网(非49开头)还是私网(49开头),现在网络的都是私网地址了;IDI标识区域。
- 主机位(DSP,具体域部分),system ID区分主机(6字节48比特,类似于ospf的routerid),sel标识服务类型(类似协议号,当下无意义)。
isis的NSAP仅剩在用的特殊情况:
NET(网络实体名称),将sei置为00,表示没有上层协议,示例:
49.0001.0000.0000.0001.00
区域ID 系统ID(16进制) SEL
区域划分:
isis以设备为单位进行划分
区域不同也可建立邻居关系(不用区域L2路由器之间)
有骨干,跨区域连续联合组成的
isis路由器分类
level1:只同步本区域的LSP,没有其他区域的LSP,也就没有路由,所以配默认路由与其他路由器通信(减轻计算压力和时间)
level2:跨区域连接,连续的L2路由器构建出一个骨干区域
即是level1又是level2的,称为level1-2
level1-2上有本区域的LSDB-L1和相邻区域的LSDB-L2(本区域和相邻区域的L2),此外level1-2还会通过LSDB-L1获取的路由条目信息,以路由的形式放到LSDB-L2中,所以相邻区域里的L2路由器知道该区域的路由。
可以起邻居关系的路由器:同区域L1之间,L2之间,L1和L1-2,L2和L1-2;不用区域L1-2和L2,L1-2和L1-2。
ISIS支持MA网络和P2P网络。
所有接口开销默认为10。
所有的邻居都是邻接。
四中报文
IIH(类似hello报文)
LSP(类似LSA)
CSNP(类似DD,但CSNP是一次性发完)
PSNP(请求报文)
TLV框架:类型、长度、值
邻居状态
down:未收到邻居
int:收到邻居
up:收到的邻居中有我
DIS,指定路由器,用来创建和更新伪节点,负责发送CSNP,类似DR,作用也类似DR。P2P网络中不选DIS。可以抢占。DIS伪节点的NET是实体路由器的系统ID+SEI(01、02、03顺序使用)。