一、ipv4與ipv6的區(qū)別

表2-1 IPv4和IPv6差異性對比

1.地址類型。IPv4具有三種不同類型的地址：多播，廣播和單播。IPv6還具有三種不同類型的地址：任意廣播，單播和多播。

2.數(shù)據(jù)包大小。對于IPv4，最小數(shù)據(jù)包大小為576字節(jié)。對于IPv6，最小數(shù)據(jù)包大小為1208字節(jié)。

3.header區(qū)域字段數(shù)。IPv4具有12個標(biāo)頭字段，而IPv6支持8個標(biāo)頭字段。

4.可選字段。IPv4具有可選字段，而IPv6沒有。但是，IPv6具有擴(kuò)展header，可以在將來擴(kuò)展協(xié)議而不會影響主包結(jié)構(gòu)。

5.配置。在IPv4中，新裝的系統(tǒng)必須配置好才能與其他系統(tǒng)通信。在IPv6中，配置是可選的，它允許根據(jù)所需功能進(jìn)行選擇。

6.安全性。在IPv4中，安全性主要取決于網(wǎng)站和應(yīng)用程序。它不是針對安全性而開發(fā)的IP協(xié)議。而IPv6集成了Internet協(xié)議安全標(biāo)準(zhǔn)（IPSec）。IPv6的網(wǎng)絡(luò)安全不像IPv4是可選項(xiàng)，IPv6里的網(wǎng)絡(luò)安全項(xiàng)是強(qiáng)制性的。

7.與移動設(shè)備的兼容性。IPv4不適合移動網(wǎng)絡(luò)，因?yàn)檎缥覀兦懊嫣岬降?，它使用點(diǎn)分十進(jìn)制表示法，而IPv6使用冒號，是移動設(shè)備的更好選擇。

8.主要功能。IPv6允許直接尋址，因?yàn)榇嬖诖罅靠赡艿牡刂?。但是，IPv4已經(jīng)廣泛傳播并得到許多設(shè)備的支持，這使其更易于使用。

?

二、VRRP、堆疊、m-lag的區(qū)別

VRRP:虛擬路由器冗余協(xié)議

虛擬路由冗余協(xié)議(VRRP)通過幾臺設(shè)備聯(lián)合組成一臺虛擬路由設(shè)備，將虛擬路由設(shè)備IP地址作為用戶默認(rèn)網(wǎng)關(guān)實(shí)現(xiàn)與外部網(wǎng)絡(luò)通信。

VRRP技術(shù)主要有以下好處：

網(wǎng)關(guān)冗余：正常情況下，主設(shè)備負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)流，當(dāng)主設(shè)備出現(xiàn)故障時，會選擇備組里優(yōu)先級較高的設(shè)備作為主設(shè)備繼續(xù)負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)，實(shí)現(xiàn)網(wǎng)關(guān)冗余備份，同時達(dá)到鏈路冗余功能。

負(fù)載分擔(dān)：通過配置MSTP可以實(shí)現(xiàn)VRRP的負(fù)載分擔(dān)。

?

?

2、Stack：堆疊技術(shù)

堆疊技術(shù)，將多臺交換機(jī)通過堆疊線纜連接在一起，使多臺設(shè)備在邏輯上變成一臺交換設(shè)備，作為一個整體參與數(shù)據(jù)轉(zhuǎn)發(fā)。華為稱為CSS（Cluster Switch System：集群交換系統(tǒng)），思科稱為VSS（Virtual Switching Supervisor：虛擬交換管理器），H3C稱為IRF/IRF2（Intelligent Resilient Framework：智能彈性架構(gòu)技術(shù)）。

堆疊技術(shù)主要有以下好處：

擴(kuò)展端口數(shù)量：當(dāng)接入的用戶數(shù)增加到原交換機(jī)端口密度不能滿足接入需求時，可以通過增加新的交換機(jī)并組成堆疊而得到滿足。

擴(kuò)展帶寬：當(dāng)交換機(jī)上行帶寬增加時，可以增加新交換機(jī)與原交換機(jī)組成堆疊系統(tǒng)，將成員交換機(jī)的多條物理鏈路配置成一個聚合組，提高交換機(jī)的上行帶寬。

提高可靠性：堆疊與Eth-Trunk一同使用，當(dāng)堆疊系統(tǒng)中一臺設(shè)備的上行鏈路故障，通過該設(shè)備的流量可經(jīng)過堆疊鏈路進(jìn)行轉(zhuǎn)發(fā)。

?

堆疊技術(shù)的缺陷：

堆疊技術(shù)是非標(biāo)準(zhǔn)化技術(shù)，所以不同廠商的設(shè)備之間無法形成堆疊。

可靠性一般：控制面集中，故障可能在成員設(shè)備上擴(kuò)散。主設(shè)備的故障可能影響成員設(shè)備，可靠性一般。

堆疊虛擬化控制面多虛一：網(wǎng)絡(luò)設(shè)備堆疊后，所有主控平面合一，但是這種合一只能采用主備備份的模式，即只有主設(shè)備的主控板正常工作，而其他主控板都處于備份狀態(tài)。因此，整個系統(tǒng)的物理節(jié)點(diǎn)規(guī)模就受限于主控節(jié)點(diǎn)的處理能力，不是想做多大就做多大的。例如框式設(shè)備虛擬化一般為2臺，盒式設(shè)備一般為16臺。目前最大規(guī)模的虛擬化系統(tǒng)大概可以支持接入1～2萬臺主機(jī)，可以從容應(yīng)付一般的中、小型數(shù)據(jù)中心，但對于一些超大型的云數(shù)據(jù)中心來說，就顯得力不從心了。

?

3、M-LAG：跨設(shè)備鏈路聚合

M-LAG（Multichassis Link Aggregation Group）即跨設(shè)備鏈路聚合組，是一種實(shí)現(xiàn)跨設(shè)備鏈路聚合的機(jī)制，將一臺設(shè)備與另外兩臺設(shè)備進(jìn)行跨設(shè)備鏈路聚合，從而把鏈路可靠性從單板級提高到了設(shè)備級，組成雙活系統(tǒng)。

M-LAG的好處：

負(fù)載分擔(dān)：M-LAG雙活系統(tǒng)在接入設(shè)備雙歸接入場景下，接入設(shè)備通過Eth-Trunk的方式接入到M-LAG設(shè)備組，M-LAG的成員設(shè)備接收到接入設(shè)備通過鏈路捆綁負(fù)載分擔(dān)發(fā)送的流量后，共同進(jìn)行流量轉(zhuǎn)發(fā)。

提高可靠性：M-LAG接入普通以太網(wǎng)場景，由于M-LAG主設(shè)備的上行鏈路故障，通過M-LAG主設(shè)備的流量均經(jīng)過peer-link鏈路進(jìn)行轉(zhuǎn)發(fā)。

M-LAG技術(shù)本質(zhì)上還是控制平面虛擬化技術(shù)，但是和堆疊技術(shù)不同的是，由于M-LAG的目的僅僅是在鏈路聚合協(xié)商時，對外表現(xiàn)出同樣的狀態(tài)，所以不需要像堆疊那樣同步設(shè)備上所有的信息，只需要同步接口和表項(xiàng)相關(guān)的一些內(nèi)容。這樣，控制面耦合程度相比堆疊來說，會小很多，而且堆疊技術(shù)的一些缺陷在M-LAG 上也會緩解很多，比如上面我們說過的堆疊的三個主要的問題：

可靠性問題：M-LAG需要同步的僅僅是協(xié)議面的一些內(nèi)容，并不需要同步所有的設(shè)備狀態(tài)，理論可靠性相對堆疊更加好。

維護(hù)問題：M-LAG兩臺設(shè)備可以進(jìn)行獨(dú)立升級。僅協(xié)議面耦合，中斷時間較短。

擴(kuò)展性：無法解決網(wǎng)絡(luò)擴(kuò)展性問題，需要通過路由或者其他大二層技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)側(cè)多路徑轉(zhuǎn)發(fā)。

?

?

三、Rip、Ripv2的區(qū)別

1.RIPv1是有類路由協(xié)議，RIPv2是無類路由協(xié)議

2.RIPv1不支持VLSM，RIPv2可以支持VLSM

3.RIPv1沒有認(rèn)證的功能，RIPv2可以支持認(rèn)證，并且有明文和MD5兩種認(rèn)證

4.RIPv1沒有手工匯總的功能，RIPv2可以在關(guān)閉自動匯總的前提下，進(jìn)行手工匯總

5.RIPv1是廣播更新，RIPv2是組播更新，

6.RIPv1對路由沒有標(biāo)記的功能，RIPv2可以對路由打標(biāo)記（tag），用于過濾和做策略

7.RIPv1發(fā)送的updata最多可以攜帶25條路由條目，RIPv2在有認(rèn)證的情況下最多只能攜帶24條路由

8.RIPv1發(fā)送的updata包里面沒有next-hop屬性，RIPv2有next-hop屬性，可以用與路由更新的重定

?

知識整理

動態(tài)路由的特性及優(yōu)缺點(diǎn)

1、RIP

RIP是一種分布式的基于距離向量的路由選擇協(xié)議，主要特點(diǎn)如下:

(1)?僅和相鄰路由器交換信息

(2)?路由器交換的信息是當(dāng)前本路由器所知道的全部信息

(3)?按固定的時間間隔交換路由信息，例如，間隔30s

RIPV1
端口udp 520，廣播

RIPV2

端口udp 520，組播 ?224.0.0.9

?

?

OSPF

2、OSPF是一種鏈路狀態(tài)路由算法的路由選擇協(xié)議，主要特點(diǎn)如下:

(1)?向本自治系統(tǒng)中所有路由器發(fā)送信息

(2)?發(fā)送的信息是與本路由器相連的所有路由器的鏈路狀態(tài)

(3)?只有當(dāng)鏈路狀態(tài)發(fā)送變化時，才會發(fā)送信息

?

網(wǎng)絡(luò)類型

廣播類型（Broadcast）

當(dāng)鏈路層協(xié)議是Ethernet、FDDI時，缺省情況下，OSPF認(rèn)為網(wǎng)絡(luò)類型是Broadcast。

在該類型的網(wǎng)絡(luò)中：

以單播形式發(fā)送DD報文和LSR報文。

通常以組播形式發(fā)送Hello報文（10s）、LSU報文和LSAck報文。其中，224.0.0.5的組播地址為OSPF設(shè)備的預(yù)留IP組播地址；224.0.0.6的組播地址為OSPF DR/BDR（ Backup Designated Router）的預(yù)留IP組播地址。

?

?

NBMA類型（Non-Broadcast Multi-Access）

當(dāng)鏈路層協(xié)議是幀中繼、X.25時，缺省情況下，OSPF認(rèn)為網(wǎng)絡(luò)類型是NBMA。

在該類型的網(wǎng)絡(luò)中，以單播形式發(fā)送協(xié)議報文（Hello報文（30s）、DD報文、LSR報文、LSU報文、LSAck報文）。

?

點(diǎn)到多點(diǎn)P2MP類型（Point-to-Multipoint）

沒有一種鏈路層協(xié)議會被缺省的認(rèn)為是Point-to-Multipoint類型。點(diǎn)到多點(diǎn)必須是由其他的網(wǎng)絡(luò)類型強(qiáng)制更改的。常用做法是將非全連通的NBMA改為點(diǎn)到多點(diǎn)的網(wǎng)絡(luò)。

在該類型的網(wǎng)絡(luò)中：

以組播形式（224.0.0.5）發(fā)送Hello（30s）報文。

以單播形式發(fā)送其他協(xié)議報文（DD報文、LSR報文、LSU報文、LSAck報文）。

?

?

點(diǎn)到點(diǎn)P2P類型（point-to-point）

當(dāng)鏈路層協(xié)議是PPP、HDLC和LAPB時，缺省情況下，OSPF認(rèn)為網(wǎng)絡(luò)類型是P2P。

在該類型的網(wǎng)絡(luò)中，以組播形式（224.0.0.5）發(fā)送協(xié)議報文（Hello報文（10s）、DD報文、LSR報文、LSU報文、LSAck報文）。

?

3、BGP

BGP它既不是基于純粹的鏈路狀態(tài)算法，也不是基于純粹的距離向量算法。主要特點(diǎn)如下:

(1)?BGP協(xié)議再系統(tǒng)間交換“可達(dá)性協(xié)議”

(2)?自治系統(tǒng)AS間的路由選擇必須考慮有關(guān)策略

(3)?選擇能達(dá)到路徑的較好路由，而非最佳路由

?

?

一、基礎(chǔ)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、無線設(shè)備

1、二層交換機(jī)

工作在二層的網(wǎng)絡(luò)設(shè)備，多作為終端接入設(shè)備

?

工作流程：

（1）?當(dāng)交換機(jī)從某個端口收到一個數(shù)據(jù)包，它先讀取包頭中的源MAC地址，這樣它就知道源MAC地址的機(jī)器是連在哪個端口上的；

（2）?再去讀取包頭中的目的MAC地址，并在地址表中查找相應(yīng)的端口；

（3）?如表中有與這目的MAC地址對應(yīng)的端口，把數(shù)據(jù)包直接復(fù)制到這端口上；

（4）?如表中找不到相應(yīng)的端口則把數(shù)據(jù)包廣播到所有端口上，當(dāng)目的機(jī)器對源機(jī)器回應(yīng)時，交換機(jī)又可以學(xué)習(xí)一目的MAC地址與哪個端口對應(yīng)，在下次傳送數(shù)據(jù)時就不再需要對所有端口進(jìn)行廣播了。

?

不斷的循環(huán)這個過程，對于全網(wǎng)的MAC地址信息都可以學(xué)習(xí)到，二層交換機(jī)就是這樣建立和維護(hù)它自己的地址表。

?

?

?

2、三層交換機(jī)

工作在三層的網(wǎng)絡(luò)設(shè)備，包含二層交換機(jī)的功能并且?guī)в胁糠秩龑庸δ艿慕粨Q機(jī)，根據(jù)型號性能的不同可作為接入、匯聚、核心層設(shè)備

?

（1）由硬件結(jié)合實(shí)現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)。

（2）這就不是簡單的二層交換機(jī)和路由器的疊加，三層路由模塊直接疊加在二層交換的高速背板總線上，突破了傳統(tǒng)路由器的接口速率限制，速率可達(dá)幾十Gbit/s。算上背板帶寬，這些是三層交換機(jī)性能的兩個重要參數(shù)。

（3）簡潔的路由軟件使路由過程簡化。

（4）大部分的數(shù)據(jù)轉(zhuǎn)發(fā)，除了必要的路由選擇交由路由軟件處理，都是又二層模塊高速轉(zhuǎn)發(fā)，路由軟件大多都是經(jīng)過處理的高效優(yōu)化軟件，并不是簡單照搬路由器中的軟件。

?

?

三層交換機(jī)路由轉(zhuǎn)發(fā)過程：

通過硬件實(shí)現(xiàn)的，一般使用ASIC芯片來處理路由轉(zhuǎn)發(fā)

?

?

?

3、路由器

工作在三層的網(wǎng)絡(luò)設(shè)備，一般作為網(wǎng)絡(luò)邊緣設(shè)備，如內(nèi)網(wǎng)出口

?

路由器的路由功能更多的體現(xiàn)在不同類型網(wǎng)絡(luò)之間的互聯(lián)上，如局域網(wǎng)與廣域網(wǎng)之間的連接、不同協(xié)議的網(wǎng)絡(luò)之間的連接等，優(yōu)勢在于選擇最佳路由、負(fù)荷分擔(dān)、鏈路備份及和其他網(wǎng)絡(luò)進(jìn)行路由信息的交換等。另外，為了與各種類型的網(wǎng)絡(luò)連接，路由器的接口類型非常豐富，而三層交換機(jī)則一般僅同類型的局域網(wǎng)接口，非常簡單。

?

路由轉(zhuǎn)發(fā)過程：

路由器的路由轉(zhuǎn)發(fā)是通過軟件實(shí)現(xiàn)的，需在CPU中運(yùn)行一段程序來處理路由轉(zhuǎn)發(fā)

?

4、防火墻

主要運(yùn)用于數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層

傳統(tǒng) FW 是粒度比較粗的訪問控制產(chǎn)品，它在基于 TCP/IP 協(xié)議的過濾方面表現(xiàn)出色，而且在大多數(shù)情況下，可以提供網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計等功能，甚至包括 VPN功能。

通常情況下，F(xiàn)W 是默認(rèn)情況下是關(guān)閉所有的訪問的，例如封 TCP/UDP 端口、封P，然后再通過定制策略去開放允許訪問的端口，例如:例如 80、443。傳統(tǒng)FW 主要是從OS四層以下來做攻擊的防范，但不能檢測到數(shù)據(jù)包的內(nèi)容級別，所起到的作用主要是封掉一些依靠固定端口攻擊的病毒或者木馬。

?

5、IPS入侵防御系統(tǒng)

IPS 是一種主動的、積極的入侵防范、阻止系統(tǒng)，它部署在網(wǎng)絡(luò)的進(jìn)出口處，通常位于FW 和交換機(jī)之間，當(dāng)它檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源陽斷。IPS 可以根據(jù)預(yù)先設(shè)定的安全策略，對流經(jīng)的每個報文進(jìn)行深度檢測(協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計分析、事件關(guān)聯(lián)分析等)，如果一旦發(fā)現(xiàn)隱藏于其中網(wǎng)絡(luò)攻擊，可以根據(jù)

該攻擊的威脅級別立即采取抵御措施，這些措施包括:向管理中心告警、丟棄該報文、切斷此次應(yīng)用會話、切斷此次 TCP 連接。

?

6、IDS入侵檢測系統(tǒng)

IDS 是依照一定的安全策略，對網(wǎng)絡(luò)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

與 FW 不同的是，IDS 是一個旁路監(jiān)聽設(shè)備，不需要串接在出口干路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對 DS 的部署的唯一要求是:IDS 應(yīng)當(dāng)掛接在所有所關(guān)注的流量都必須流經(jīng)的鏈路上。IDS 在 LAN 中的位置選擇原則為:盡可能靠近攻擊源、盡可能靠近受保護(hù)資源，通常包括: 服務(wù)器群的交換機(jī)上，需要重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上

IDS 只能檢測出攻擊，而不能阻斷攻擊，僅僅起到報警的作用，而不能起到防御的作用。

?

?

WLAN系統(tǒng)一般由AC（接入控制器）和AP（無線接入點(diǎn)）組成。

7、AP

無線AP，為Access Point簡稱，一般翻譯為“無線訪問節(jié)點(diǎn)”，它是用于無線網(wǎng)絡(luò)的無線交換機(jī)，也是無線網(wǎng)絡(luò)的核心。

無線AP是移動計算機(jī)用戶進(jìn)入有線網(wǎng)絡(luò)的接入點(diǎn)，主要用于寬帶家庭、大樓內(nèi)部以及園區(qū)內(nèi)部，典型距離覆蓋幾十米至上百米，目前主要技術(shù)為802.11系列。

大多數(shù)無線AP還帶有接入點(diǎn)客戶端模式（AP client），可以和其它AP進(jìn)行無線連接，延展網(wǎng)絡(luò)的覆蓋范圍。

?

?

8、AC

指無線接入控制服務(wù)器(AC)， 接入控制器(AC) 無線局域網(wǎng)接入控制設(shè)備，負(fù)責(zé)把來自不同AP的數(shù)據(jù)進(jìn)行匯聚并接入Internet，同時完成AP設(shè)備的配置管理、無線用戶的認(rèn)證、管理及寬帶訪問、安全等控制功能。

?

?

?

?

二、Raid

1、Raid 0

RAID0 是一種簡單的、無數(shù)據(jù)校驗(yàn)的數(shù)據(jù)條帶化技術(shù)。它并不提供任何形式的冗余策略。

優(yōu)點(diǎn)：? io并發(fā)執(zhí)行，從而讀寫性能高；100%的高存儲空間和利用率；

缺點(diǎn)：? 數(shù)據(jù)不具有冗余保護(hù)，任何一塊盤損壞都導(dǎo)致數(shù)據(jù)不可用。

磁盤數(shù)量：N（N>=2）

可用容量：單塊磁盤容量*N，N為磁盤數(shù)。

?

2、Raid 1

?RAID1 稱為鏡像

優(yōu)點(diǎn)：? 數(shù)據(jù)具有冗余性，一對鏡像磁盤中損壞一塊盤對數(shù)據(jù)沒影響。

缺點(diǎn)：? ?控件利用率低：50%

磁盤數(shù)量：N（N>=2）

可用容量：單塊磁盤容量*N*0.5，N為磁盤數(shù)。

?

?

3、Raid 5

RAID5是有數(shù)據(jù)校驗(yàn)的數(shù)據(jù)條帶化技術(shù)

磁盤空間利用率：? N-1 ,即只浪費(fèi)一塊磁盤，用于奇偶校驗(yàn)；

讀性能：? （N-1）* 單塊磁盤的讀性能，接近Raid0的讀性能；?

寫性能：? （N-1）* 單塊磁盤的寫性能，接近Raid0 的寫性能；

磁盤數(shù)量：N（N>=3）

可用容量：單塊磁盤容量*（N-1)，N為磁盤數(shù)。

?

4、Raid 10

??Raid10就是Raid1和Raid0 的結(jié)合，先做Raid1，在做Raid0；

??Raid01就是Raid0和Raid1?的結(jié)合，先做Raid0，在做Raid1?；

數(shù)據(jù)冗余： 一對鏡像盤中，只能有一塊盤損壞；

磁盤數(shù)量：N（N>=4）?

可用容量：單塊磁盤容量*N*0.5，N為磁盤數(shù)。

?

?

5、熱備盤

熱備盤是一種隨時準(zhǔn)備頂替故障的主盤的備用硬盤，能夠在主硬盤壞掉之后立即頂替這塊硬盤工作，不容人為的去更換。是一個應(yīng)急的數(shù)據(jù)保護(hù)措施，能夠與很大程度的減緩數(shù)據(jù)損失的概率。

?

?