IP 网络

1 底层网络技术



共享式以太：1 采用CSMA/CD方法 2 半双工 3 不能解决冲突域和广播域 4 总线星型不可叠加



交换式以太：1 摆脱CSMA/CD方式 2 采用全双工通信 3 解决冲突域但不能摆脱广播域；4 可以无限叠加



VLAN间路由的实现



连接路由器的交换机端口设为trunk口，在路由器上做一个单跳的路由，从红到



从A到B通信，通过广播ARP来获取他的MAC地址



1 从A到C通信，由于广播无法获取MAC地址，就先发送到6口的默认网关上；



2 在6端口上加上VLANID送到路由上



3 路由判断出不同子网后进行单跳转发，将红色VLANID转为蓝色VLANID再送到3号端口；



三层交换机：交换机上加了一层路由模块，通过VLANID进行自动切换



2 IP 编址



穿越 NAT



userA向服务器C发送打洞命令，服务器C进行打洞（会将报文：源A、目的地B，发送出去到B）routerB进行向routerA发送数据，但由于NAT（端口限制或者主机限制）锥形A没有向B实质上发送报文，因此，A会把B的请求过滤。此时A会再次向发送数据给B，由于B已经发送数据给A了，就会成功接收数据，建立连接。



IPV6



地址结构



TLA_ID是顶级聚类，一般都是运营商像中国移动、中国电信

RES 预留

顶级运营商进行划分区域性的运营商



各种单播、多播地址的含义



单播：分配给单一接口的地址；分为 可聚类单播地址和本地单播地址；链路本地的单播地址是FE80::/64 ，网点本地单播地址 FEC0::/48



多播地址：一组接口（不同节点）共用地址，发往一个组播地址的数据包将被传送至该地址标识的所有接口上。把数据包发送给组内所有的成员，其成员为动态的。



IPv6无状态地址自动配置适用于什么场合

不具备,不提供DHCP功能

无状态地址自动配置是对移动性的支持



IPv6无状态地址自动配置过程（前缀获得、接口ID生成、重复地址检测）



考虑到移动性，有的漫游情况不支持DHCP

IPv6地址 = 前缀 + 接口标识



1 前缀获得



主机到达一个新的链路后，向所在链路的所有路由器发送一个多播的报文Router Soilcitation请求报文，请求获得所在链路的合法网络前缀；所有的路由器收到报文后回送一个报文，报文内部是原地址是本地链路单播地址 ，目的地地址是本地链路的所有的节点。（所有的router都是周期性的向外发送RA报文）



2 接口ID生成



（1） 将接口为48位的MAC地址转化为64比特的接口ID，在前面24位公司的ID和后面24位节点的ID中间插入一个fffe



（2）设置U/L位（local位）为1



3 重复地址检测



获得临时地址主机发送NS（Neighbor Solicitiaion），向所在连路上的所有的节点发送一个报文，报文中包含临时获得的地址。

如果有人回送一个报文NA响应，则说明该地址已经被使用。

如果无人响应，则认为没有地址冲突发生，地址正常使用。

（其中在ICMPv6中NS和NA替代了IPv4的ARP请求和响应）



3 IP路由技术--分组转发及MPLS



路由表的构成



由一系列的（N,R）二元组构成的二维表

采用子网选路 还应记录各目的网络的子网掩码，以便计算目的地址中的网络部分



目的网络 子网掩码 下一跳地址

N1 Mask1 R1

N2 Mask2 R2

N3 Mask3 R3

.........

Default 0 Default



IP地址的编址方式是 （网络号，主机号）

传入的IP地址与子网掩码进行“与”操作，这样就可以过滤出他的网络号，由路由表从上往下依次匹配



默认路由的作用



减少路由表的规模



无连接的分组转发



输出：应用软件有一个报文，通过网卡进行输出；

输入：从网络接口上收到一个报文，进行本机处理的过程



根据分组的目的地地址进行选路，确定下一跳地址，找到IP之后进行封装





可能会考已知路由表画出拓扑图；或者已知拓扑图画出路由表。

MPLS



为了帮助理解，这边解释一些小tip，MPLS定义： 由于LSP不再解析IP的头部，直接将MPLS放在IP层和链路层之间，因此是在2.5层上

标签分发的方式，下游自主分发



171.68.1.0/24触发的标签是20，那么这个标签就是给上游用的，上游通过20 ，根据本router最佳的下一跳去分这个20标签

所有的LSP都是单向的，反向需要重新建立。

LDP协议：负责建立标签，用于创建、改变和删除特定FEC-标签绑定



传统IP转发机制存在的问题



延时（分析每一跳，转发效率低下，无法提供QoS）、负载不均衡（传统分组都是基于目的地地址）、节点开销是节点数N的平方的数量级，严重影响网络的扩展性



LSR/LER在传统路由器的基础上做了哪些升级改造？



标签交换路由器 ：保留三层路由，二层面向连接的快速转发交换机；将二层和三 层都融合起来（LSR上面添加了LDP和LIB，）



LSR:数据转发层面，有LFIB标签转发信息表，对IP 的封装和去封装；控制层面增加了LDP 标签分发，标签交换路径的建立、拆除、保护和重建立。标签分发和路由



LER:和LSR不同的就是他在数据层面支持IP转发表FIB和LFIB两种可以适用无标签分组或者有标签分组



区分：路由表、FIB、LIB、LFIB





FIB根据路由协议生成，只有边缘router才会有；转发信息库。在LER处，根据路由表和LDP协议生成的转发表。入口LER根据FIB将IP分组绑上标签，出口LER根据FIB剥去标签交给第三层转发。





LIB是标签信息表，控制层面；标签信息库。在路由表的基础上，LDP协议创建和维护，记录FEC和标签的绑定关系。





LFIB是根据LDP生成的，是LIB单个标签的细节信息标签。转发信息库。根据LIB生成，内容是LIB的子集，包含当前用于转发的内容。



转发等价类FEC



具有相同转发处理方式的分组归为一类 ；比如说，将服务质量要求高的ToS数据包归为一类，为其确定一个标签



4 IP路由技术--路由协议



自治系统（AS）



末梢AS：只连接到一个AS，只传送本地业务流



多穴AS：连接大于1 个AS，但不传送过境业务流



过境AS：连接大于1 个AS，传送过境业务流



从业务流区分来说，过境业务流、本地业务流



自治系统之间的关系（两种）



付费和流量免结算



AS之间的业务流向判断



不允许业务流的倒灌，即下一级的AS是不允许上一级两个AS之间过境





同一级AS中也不允许过境业务流产生



BGP路径通告：网络前缀 + 一系列属性参数





open、 Keep Alive 、Notification这三种用于维护边际的BGP 管理会话；到达网络前缀 属性参数帮助router选路



属性四大类 ：公认必选、公认可选、任选可传递、任选非可传递





• 属性参数用来选择最佳路由，要求掌握：



强制属性：ORIGIN、AS-Path、Next hop



(1)ORIGIN：定义路由信息的来源标记一条路由是怎么成为BGP路



由的。•



IGP: 表明路由信息产生与AS内部, 一般是聚合路由或者通过Network命令引入的路由。用0表示



EGP: 路由信息是通过EGP协议引入的，来自外部的，用1表示



Incomplete: 路由信息是通过其他方式得来的, 一般是是用redistribute命令注入到BGP路由表中的或者静态路由。这个通常是手工注入的，用2表示



优先级：IGP>EGP>Incomplete



BGP的信息是以flooding的方式向周围传递



(2) AS-Path:





经过AS系统的序号，经过的序号越少，则意味着选择该路线；



这个属性可以防止域间环路，但是也未必是最佳路径



（3）next-hop





当IGP与NEXT-HOP相结合后，会形成路由表的融合，由下图可以知道，R1要前往目的地是128.100.11.0/24 在内部的下一跳是192.0.1.2，在BGP中是下一跳是128.100.11.1，目的地是10.1.1.0/8。



所以可以看出两个协议分别有两个不同的目的地，router是找下一个域的目的地，BGP是找最终传送到那个AS的ip地址，而下一跳始终是要经过192.0.1.2，于是便汇聚出这个路由表。





非强制属性: Local-Preference



1 只适用于本地自治系统内选路



2 用于AS内iBGP邻居选择离开本AS时的最佳路由, 它表明BGP路由器的优先级



3 仅在iBGP对等体之间交换, 不传递或通告给其他eBGP对等体



4 是一个公认可选属性, 只在本地AS有效和传递, 默认值是100



选择local Preference最大的作为最优路径

5 移动IP



移动IP实体包括



移动节点（MN: Mobile Node）：有两类地址永久地址（Permanent Address）：移动主机的家乡网络地址，用来标识该节点。



其他和该主机通信的主机只知道这个地址



转交地址（CoA：Care-of-Address）：移动主机在外地网络获得的临时地址。它随主机的移动发生改变。



网络前缀发生变化



家乡代理（HA：Home Agent）：有一个端口与移动节点家乡链路相连的路由器，它根据移动用户的转交地址，采用隧道技术转交移动节点的数据包。



找移动节点，先要找这个代理



外地代理（FA：Foreign Agent）：移动节点的外地链路上的路由器，它通知家乡代理自己的转交地址，是移动节点外地链路的缺省路由器。



工作过程



1 移动节点如何判定自己是否移动？（代理发现阶段）



家乡代理/外地代理周期性广播代理广播消息，链路上的所有节点都收到这个消息。 代理会不停在链路上发送消息：我是你的代理，IPv4就是广播的方式，IPv6就是组播的方式



移动节点检查代理广播消息，并且决定它所连接的是家乡链路还是外地链路。



如果连在外地链路上的移动节点从代理广播消息中得到转交地址。



考点：考试可能会考移动节点如何判定自己是否移动？



1 用生存时间域来作移动检测



每隔多长时间就会从代理中收到广播,,如果不是从同一个代理收到广播，就发生了移动.



2 用网络前缀作移动检测



移动节点通过比较两个广播消息的网络前缀就可以判定他们是否自同一条链路。



总结：判定节点当前连在家乡链路上还是外地链路上；检测节点是否切换了链路；当连在外地链路上时，得到一个转交地址。



2 移动节点何时进行注册？ （注册阶段）



绑定表：HA创建移动节点家乡地址和转交地址的对应表，注册的主要目的就是产生、修改或删除家乡代理中移动节点的绑定表，每个绑定表项设置生存期。



移动节点用外地代理进行注册，通过外地代理将注册请求转交家乡代理，家乡收到信息后更新绑定表进行应答，说明注册成功。



移动节点回到家乡链路后，向家乡代理再次注册，注销刚才的地址。



注册过程用到的消息：注册请求消息和注册应答消息（封装在UDP里面）



FA在链路中起了中继请求作用。主要是在隧道技术时，将报文拆开之后，FA根据配置表和注册表里面的链路层地址和家乡地址进行查找对应的MN。



3 IP包头部的地址字段如何变化的？ （数据包传送阶段）



家乡代理就是周期性的向所在路由器的所有接口发送一个信息（路由更新，我是移动节点的代理，要找移动节点先找我，相当于一个默认网关）。因此，当远程主机发送数据给移动节点会被家乡代理先截获。家乡代理发现是给移动节点的就根据HA里面的注册表信息，将信息发送给外地代理



原地址是家乡代理，目的地地址是CoA，反馈报文是找不到远程主机的



从家乡代理到外地代理用的就是隧道模式。



考点：为什么要用隧道技术



移动节点移动到外地链路之后，除非使用特定主机路由等一些特别手段，现有的Internet路由机制不可能将去往该移动节点家乡地址的数据包转发给移动节点（路由盲区！）。由前面讨论，特定主机路由方案不可行，于是，Mobile IP使用隧道技术！



三种隧道方式：IP-in-IP、 RFC



考点：头部地址的变化



（1）远程主机向移动节点通信



1 从远程主机到家乡代理：

2 第二步隧道技术的使用，从家乡代理从外地代理

3 外地代理收到报文之后将报文打开，取出外部净荷

4 在回去是从移动到远程直接去

实现透明性



（2）移动节点 -->远程主机



由于移动节点已经知道远程主机的IP地址，所以不从家乡代理绕一圈，直接从外地代理发往远程主机（此时原地址一定是在家乡链路里的永久地址）过程如下图：

由于原地址和外地代理不是一个链路上的。出于安全考虑，会被路由器入口过滤。很多时候不一定可以直接发送，只能进行反向隧道。

6 虚拟专用网（VPN）

IP连接服务



用户登录VPN页面，建立HTTPS会话，服务器通过这个会话给用户自动加载客户端程序；



客户端程序的目的是给用户PC创建一个虚拟网卡，服务器会给从地址池中去一个地址分配给该用户，同时下发路由、DNS信息，服务器针对该地址池会有一个服务器地址192.168.1.1，作为所有客户端程序虚拟网卡的网关（PC创建一个虚拟网卡是被分配了192.168.1.2的地址，让他一跳到192.168.1.1）；



客户端程序与服务器建立一个全新的SSL会话，专门用来传输虚拟网卡与服务器之间的业务流；



用户访问DNS 10.6.16.1 ，PC会通过虚拟网卡将DNS请求转发给服务器192.168.1.1（这个是默认网关）；



PC上的SSL VPN 客户端程序将虚拟网卡发出的IP包封装至新的SSL会话中，通过互联网传送到服务器；



服务器进行解密，发现IP目的地地址是10.6.146.1，就转发给DNS。



数据封装

两种封装模式



（传输模式和隧道模式）及各自的适合什么应用场景（Site –to-Site， End-to-End，End-to-Site）



传输模式：只对有效载荷进行封装和加密，IP源和目的地不加密；



隧道模式：为整个数据包提供保护，隐藏源和目的地IP地址。



Site –to-Site ：只能隧道模式 隧道模式外部需要加新的IP源和目的地，因此隧道模式最适合；



End-to-Site：只能隧道模式



End-to-End：pc到pc 可以传输可以隧道

补充知识点



MPLS VPN路由信息分发过程



RD是手工分配的，作为网络前缀注入BGP中



7 IP网络服务质量



QoS基本概念



定义:IP网络按照应用的要求成功传输IP数据包能力



衡量QoS的主要参数指标：带宽/吞吐量（平均速率）、网络时延（平均往返时间）、抖动（时延的变化）、丢包率（转发数据能力）



DiffServ模型



SLS：客户和服务提供商签订的服务等级合同（不同管理域会执行不同SLA）去掉商业条款



TCS概念：在网络入口和出口设备保证流入和流出流量符合TCS



不同域之间要等级的映射



核心路由器的区分转发

大流量被赋予高丢弃率，中流量赋予中丢弃率，小流量 被赋予低丢弃率；当网络出现拥塞的时候，大流量就被最先丢弃，体现了公平性。



丢包策略：尾丢弃（队列满了，最后一个就丢弃；会有瞬间抖动，不平滑）和RED（随机早起丢弃）



队列调度策略：



先进先出队列，优先级队列（可能会饿死），加权公平队列，基于类的加权公平队列



边缘路由器的流量调节



对进来的业务流进行流量监管：限制进入网路的某一连接的突然流量，

对于出去的业务流进行整形：限制进出网路的某一连接的突然流量，使其匀速输出；



8 网络体系架构及演进



TCP/IP架构：三层地址



TCP层的端口地址：逻辑端口，通过不同的逻辑端口来区分不同的服务。一个IP地址的端口通过16bit进行编号，最多可以有65536个端口。端口是通过端口号来标记的，端口号只有整数，范围是从0 到65535。



IP层的IP地址：IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。



物理层的MAC地址：物理地址、硬件地址，由网络设备制造商生产时烧录在网卡(Network lnterface Card)的EPROM(一种闪存芯片，通常可以通过程序擦写)。IP地址与MAC地址在计算机里都是以二进制表示的，IP地址是32位的，而MAC地址则是48位的。



TCP/IP架构存在哪些问题？造成这些问题的根本原因是什么？



1 TCP/IP架构无法满足日益膨胀的需求，



2 可扩展性的问题和服务质量问题、



3 移动性问题（IP既表征身份又表征位置）；



4.安全性问题·透明开发的原始设计思想，使得信息窃取变得方便易行.·贴膏药式的安全技术和一事一议的安全方案，基本处于被动应对状态。-扩展网络协议，加密、认证:通信效率会降低-增加安全设备，如防火墙等:难以综合协调·端到端的通信模式注定了只能提供数据安全通道，无法实现针对服务及内容的个性化安全服务



5 绿色节能问题·TCP/IP网络“核心简单，边缘智能的特点导致网络自身缺乏感知、管理、控制能力，从而导致网络资源利用率低下。·网络缺乏休眠、自适应、按需定制等智能机制，网络设备能耗巨大。



根本原因是TCP层的端口地址、IP层的IP地址和物理层的MAC地址是数据源持有文件的关键，用户和数据终端在整个数据传输过过程中需要保持关联性。



ICN/CCN如何解决移动性问题？



IP地址既是身份识别也是位置信息，而ICN在进行内容命名和路由时不存在位置依赖，在网络层将内容和终端进行剥离，摆脱了移动性



作者：sailor Lee李泽一 联系方式：448319143@qq.com