华宇注册步骤网络中传输数据时需要定义并遵循一些标准,以太网是根据IEEE 802.3 标准来管理和控制数据帧的。了解IEEE 802.3 标准是充分理解以太网中链路层通信的基础。
数据链路层在物理层提供的服务的基础上向网络层提供服务,其最基本的服务是将源自物理层的数据可靠地传输到相邻节点的目标机网络层。
数据包在以太网物理介质上传播之前必须封装头部和尾部信息,封装后的数据包称为数据帧,数据帧中封装的信息决定了数据如何传输。
以太网上传输的数据帧有两种格式,选择哪种格式由TCP/IP 协议簇中的网络层决定。
Ethernet_II 和 IEEE 802.3 两种格式的主要区别在于Ethernet II 格式中包含一个Type 字段,标识以太帧处理完成之后将被发送到哪个上层协议进行处理,IEEE 802.3 格式中,同样的位置是长度字段。
SAP 服务访问点,它是一个层次系统的上下层之间进行通信的接口,N 层的SAP 就是N+1 层可以访问N 层服务的地方。SSAP 可以理解为来源设备的服务点。DSAP 可以理解为目的设备的服务点。
以太网和802.3 对数据帧的长度都有一个限制,其最大值分别是1500 字节和1492 字节。链路层的这个特性称为MTU,即最大传输单元。不同类型网络的数帧长度大多数都有一个上限。如果IP 层有一个数据报要传,而且数据帧的长度比链路层的MTU 还大,那么IP 层就需要进行分片即把数据报分成干片,这样每一片就都小于MTU。
以太网在二层链路上通过MAC 地址来唯一标识网络设备,并且实现局域网上网络设备之间的通信。MAC 地址也叫物理地址,大多数网卡厂商把MAC 地址烧入了网卡的ROM 中。发送端使用接收端的MAC 地址作为目的地址。以太帧封装完成后会通过物理层转换成比特流在物理介质上传输。
MAC 地址由两部分组成,分别是供应商代码和序列号。其中前24 位代表该供应商代码,由IEEE 管理和分配。剩下的24 位序列号由厂商自己分配。
如同每一个人都有一个名字一样,每一台网络设备都用物理地址来标识自己,这个地址就是MAC 地址。
MAC 地址包含两部分:前24 比特是组织唯一标识符(OUI,Organizationally Unique Identifier),由IEEE 统一分配给设备制造商。例如,华为的网络产品的MAC 地址前24 比特是0x00e0fc。后24 位序列号是厂商分配给每个产品的唯一数值,由各个厂商自行分配(这里所说的产品可以是网卡或者其他需要MAC 地址的设备)。
每个主机接口有一个MAC 地址唯一标识,MAC 地址的OUI(组织唯一标识符)中,第一字节第8 个比特表示地址类型。
对于主机MAC 地址,这个比特固定为0 ,表示目的MAC 地址为此MAC 地址的帧都是发送到某个唯一的目的端。
在冲突域中,所有主机都能收到源主机发送的单播帧,但是其他主机发现目的地址与本地MAC 地址不一致后会丢弃收到的帧,只有真正的目的主机才会接收并处理收到的帧。
第二种发送方式是广播,表示帧从单一的源发送到共享以太网上的所有主机。广播帧的目的MAC 地址为十六进制的FF:FF:FF:FF:FF:FF,所有收到该广播帧的主机都要接收并处理这个帧。
当需要网络中的所有主机都能接收到相同的信息并进行处理的情况下,通常会使用广播方式。
第三种发送方式为组播,组播比广播更加高效。组播转发可以理解为选择性的广播,主机侦听特定组播地址,接收并处理目的MAC 地址为该组播MAC 地址的帧。
组播MAC 地址和单播MAC 地址是通过第一字节中的第8 个比特区分的。组播MAC 地址的第8 个比特为1,而单播MAC 地址的第8 个比特为0。
当需要网络上的一组主机(而不是全部主机)接收相同信息,并且其他主机不受影响的情况下通常会使用组播方式。
当主机接收到的数据帧所包含的目的MAC 地址是自己时,会把以太网封装剥掉后送往上层协议。
帧从主机的物理接口发送出来后,通过传输介质传输到目的端。共享网络中,这个帧可能到达多个主机。主机检查帧头中的目的MAC 地址,如果目的MAC 地址不是本机MAC 地址,也不是本机侦听的组播或广播MAC 地址,则主机会丢弃收到的帧。
如果目的MAC 地址是本机MAC 地址,则接收该帧,检查帧校验序列(FCS)字段,并与本机计算的值对比来确定帧在传输过程中是否保持了完整性。如果帧的FCS 值与本机计算的值不同,主机会认为帧已被破坏,并会丢弃该帧。如果该帧通过了FCS 校验,则主机会根据帧头部中的Type 字段来确定将帧发送给上层哪个协议处理。本例中,Type 字段的值为0x0800,表明该帧需要发送到IP 协议上处理。在发送给IP 协议之前,帧的头部和尾部会被剥掉。
1. 主机检查帧头中的目的MAC 地址,如果目的MAC 地址不是本机MAC 地址,也不是本机侦听的组播或广播MAC 地址,则主机会丢弃收到的帧。 2. 如果目的MAC 地址是本机MAC 地址,则接收该帧,检查帧校验序列(FCS)字段,并与本机计算的值对比来确定帧在传输过程中是否保持了完整性。 3. 如果检查通过,然后根据帧头中的Type 字段来决定把数据发送到哪个上层协议进行后续处理,再剥离帧头和帧尾。
常见的以太网设备包括Hub、交换机等。交换机工作在数据链路层,它有效地隔离了以太网中的冲突域,极大地提升了以太网的性能。
随着企业网络的发展,越来越多的用户需要接入到网络,交换机提供的大量的接入端口能够很好地满足这种需求。同时,交换机也彻底解决了困扰早期以太网的冲突问题,极大地提升了以太网的性能,同时也提高了以太网的安全性。
交换机工作在数据链路层,对数据帧进行操作。在收到数据帧后,交换机会根据数据帧的头部信息对数据帧进行转发。
如果进入交换机的是一个单播帧,则交换机会去MAC地址表中查找这个帧的目的MAC 地址。
如果查到了这个MAC 地址,则比较这个MAC 地址在MAC 地址表中对应的端口是不是这个帧进入交换机的那个端口。如果不是,则交换机执行转发操作。如果是,则交换机执行丢弃操作。
如果进入交换机的是一个广播帧,则交换机不会去查MAC 地址表,而是直接执行泛洪操作。
如果进入交换机的是一个组播帧,则交换机的处理行为比较复杂,超出了这里的学习范围,所以略去不讲。
交换机还具有学习能力。当一个帧进入交换机后,交换机会检查这个帧的源MAC 地址,并将该源MAC 地址与这个帧进入交换机的那个端口进行映射,然后将这个映射关系存放进MAC 地址表。
初始状态下,交换机并不知道所连接主机的MAC 地址,所以MAC 地址表为空。本例中,SWA 为初始状态,在收到主机A 发送的数据帧之前,MAC 地址表中没有任何表项。
主机A 发送数据给主机C 时,一般会首先发送ARP 请求来获取主机C 的MAC 地址,此ARP 请求帧中的目的MAC 地址是广播地址,源MAC 地址是自己的MAC 地址。
SWA 收到该帧后,会将源MAC 地址和接收端口的映射关系添加到MAC 地址表中。此后,如果交换机收到目标MAC 地址为00-01-02-03-04-AA 的数据帧时,都将通过G0/0/1 端口转发。
默认情况下,交换机学习到的MAC 地址表项的老化时间为300 秒。如果在老化时间内再次收到主机A 发送的数据帧,SWA 中保存的主机A 的MAC 地址和G0/0/1 的映射的老化时间会被刷新。
当数据帧的目的MAC 地址不在MAC 表中,或者目的MAC 地址为广播地址时,交换机会泛洪该帧。
主机A 发送的数据帧的目的MAC 地址为广播地址,所以交换机会将此数据帧通过G0/0/2 和G0/0/3 端口广播到主机B 和主机C。
主机B 和主机C 接收到此数据帧后,都会查看该ARP 数据帧。但是主机B 不会回复该帧,主机C 会处理该帧并发送ARP 回应,此回复数据帧的目的MAC 地址为主机A 的MAC 地址,源MAC 地址为主机C 的MAC 地址。
SWA 收到回复数据帧时,会将该帧的源MAC 地址和接口的映射关系添加到MAC 地址表中。
如果此映射关系在MAC 地址表已经存在,则会被刷新。然后SWA 查询MAC 地址表,根据帧的目的MAC 地址找到对应的转发端口后,从G0/0/1 转发此数据帧。
VRP 分层的命令结构定义了很多命令行视图,每条命令只能在特定的视图中执行。本例介绍了常见的命令行视图。每个命令都注册在一个或多个命令视图下,用户只有先进入这个命令所在的视图,才能运行相应的命令。进入到VRP 系统的配置界面后,VRP 上最先出现的视图是用户视图。在该视图下,用户可以查看设备的运行状态和统计信息。
通过提示符可以判断当前所处的视图,例如: 表示用户视图,[ ]表示除用户视图以外的其它视图。
还有一些其他功能键也可以用来执行类似的操作,比如,与CTRL+H 的功能一样,退格也可以删除光标左侧的一个字符。向左的光标键(←)与向右的光标键(→)可以分别用来执行与CTRL + B 和CTRL + F 相同的功能。向下的光标键( ↓ )可以用来执行与Ctrl + N 相同的功能,向上的光标键(↑) 可以替换 CTRL + P。
此外,若命令字的前几个字母是独一无二的,系统可以在输完该命令的前几个字母后自动将命令补充完整。如本例所示,用户只需输入inter 并按Tab 键,系统自动将命令补充为interface。
若命令字并非独一无二的,按Tab键后将显示所有可能的命令。如输入in并按Tab键,系统会按顺序显示以下命令: info-center,interface。
部分帮助指的是,当用户输入命令时,如果只记得此命令关键字的开头一个或几个字符,可以使用命令行的部分帮助获取以该字符串开头的所有关键字的提示,如本例中所示。
完全帮助指的是,在任一命令视图下,用户可以键入“?”获取该命令视图下所有的命令及其简单描述;如果键入一条命令关键字,后接以空格分隔的“?”,如果该位置为关键字,则列出全部关键字及其描述。
在网络环境中会有部署大量的设备,管理员需要对这些设备进行统一管理。在进行设备调试的时候,首要任务是设置设备名。设备名用来唯一地标识一台设备。
用户0 级为访问级别,对应网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(Telnet 客户端)、部分display 命令等。
用户1 级为监控级别,对应命令级0、1级,包括用于系统维护的命令以及display 等命令。
用户2 级是配置级别,包括向用户提供直接网络服务,包括路由、各个网络层次的命令。
用户3-15 级是管理级别,对应命令3 级,该级别主要是用于系统运行的命令,对业务提供支撑作用,包括文件系统、FTP、TFTP 下载、文件交换配置、电源供应控制,备份板控制、用户管理、命令级别设置、系统内部参数设置以及用于业务故障诊断的debugging 命令。
在具体使用中,如果我们有多个管理员帐号,但只允许某一个管理员保存系统配置,则可以将save 命令的级别提高到4 级,并定义只有该管理员有4 级权限。这样,在不影响其他用户的情况下,可以实现对命令的使用控制。
控制口(Console Port)是一种通信串行端口,由设备的主控板提供。
虚拟类型终端(Virtual Type Terminal)是一种虚拟线路端口,用户通过终端与设备建立Telnet 或SSH 连接后,也就建立了一条VTY,即用户可以通过VTY 方式登录设备。设备一般最多支持15 个用户同时通过VTY 方式访问。执行user-interface maximum-vty number命令可以配置同时登录到设备的VTY 类型用户界面的最大个数。如果将最大登录用户数设为0 ,则任何用户都不能通过Telnet 或者SSH 登录到路由器。display user-interface命令用来查看用户界面信息。
不同的设备,或使用不同版本的VRP 软件系统,具体可以被使用的VTY 接口的最大数量可能不同。VTY 接口最大可配范围为0-14。
用户可以设置Console 界面和VTY 界面的属性,以提高系统安全性。如果一个连接上设备的用户一直处于空闲状态而不断开,可能会给系统带来很大风险,所以在等待一个超时时间后,系统会自动中断连接。这个闲置切断时间又称超时时间,默认为10 分钟。
当display 命令输出的信息超过一页时,系统会对输出内容进行分页,使用空格键切换下一页。
如果一页输出的信息过少或过多时,用户可以执行screen-length 命令修改信息输出时一页的行数。默认行数为24,最大支持512 行。不建议将行数设置为0 ,因为那样将不会显示任何输出内容了。
每条命令执行过后,执行的记录都保存在历史命令缓存区。用户可以利用(↑),(↓),CTRL + P,Ctrl + N 这些快捷键调用这些命令。历史命令缓存区中默认能存储10 条命令,可以通过运行history-command max-size 改变可存储的命令数,最多可存储256 条。
如果没有权限限制,未授权的用户就可以使用设备获取信息并更改配置。从设备安全的角度考虑,限制用户的访问和操作权限是很有必要的。用户权限和用户认证是提升终端安全的两种方式。用户权限要求规定用户的级别,一定级别的用户只能执行特定级别的命令。
配置用户界面的用户认证方式后,用户登录设备时,需要输入密码进行认证,这样就限制了用户访问设备的权限。在通过VTY 进行Telnet 连接时,所有接入设备的用户都必须要经过认证。
设备提供三种认证模式,AAA 模式、密码认证模式和不认证模式。AAA 认证模式具有很高的安全性,因为登录时必须输入用户名和密码。密码认证只需要输入登录密码即可,所以所有的用户使用的都是同一个密码。使用不认证模式就是不需要对用户认证直接登陆到设备。需要注意的是,Console 界面默认使用不认证模式。
对于Telnet 登录用户,授权是非常必要的,最好设置用户名、密码和指定和帐号相关联的权限。
注:不同VRP 版本执行set authentication password cipher命令有差异:有些平台需要回车后输入密码,另外一些平台可直接在命令后输入密码。故在操作具体产品时请查阅相应VRP 产品文档。
