三、网络服务协议

csdn推荐

目录

一、FTP：文件传输协议

C/S架构，现多用于企业内部的资料共享和网络设备的文件传输，企业内部搭建一个FTP服务器（文件服务器），基于TCP）

双通道（服务端主动模式）

1）控制通道：客户端向服务器发起TCP三次握手（服务器端口号21，客户端口号随机）

客户端向服务器发起的各项控制指令（输入账号密码、打开文件、发起传输请求等）

2）数据通道：客户端通过控制通道告知服务器自己开放的端口号（P，随机），由服务器主动发起TCP三次握手（服务器端口号20，客户端口号P）

传输文件

双通道（服务端被动模式）

1）控制通道：客户端向服务器发起TCP三次握手（服务器端口号21，客户端口号随机）

客户端向服务器发起的各项控制指令（输入账号密码、打开文件、发起传输请求等）

2）数据通道：客户端发送被动命令，服务器根据该命令告知客户端自己开放的端口号（N，随机），由客户端主动发起TCP三次握手（服务器端口号N，客户端口号随机）

传输文件

客户端配置：
ftp 12.1.1.2（服务器ip地址）
输入账号密码（huawei和huawei@123）
##登陆到服务器上查看ftp服务器上的文件夹
dir
##从ftp服务器获取文件
get r2.zip
##发送文件
put r2.zip
ftp服务器配置：
##打开ftp服务
ftp server enable
##设置ftp默认工作目录
set default ftp-directory flash：
aaa
  ##设置账号huawei密码huawei@123，cipher：本地加密
  local-user huawei password cipher huawei@123
  ##设置权限，ftp需要3级及以上,15级最高
  local-user huawei privilege level 15 
  ##可以访问的文件夹：ftp目录
  local-user huawei ftp-directory flash:
  ##可以访问的服务
  local-user huawei service-type ftp
  save

二、Telnet：远程登录协议

基于TCP，无需专用线缆直连设备，只要ip可达且设备TCP 23端口能通信即可。

C/S架构

远程登录协议：

SSH：加密的；Telnet：明文的

设备登录两种方式：

console登录（连接配置线登录）虚拟用户界面（远程登录），同时多个用户登录

服务端配置：
##打开telnet 服务
telnet server enable
##vty：虚拟接口，设置vty线路0-4，同时支持5个用户登录
user-interface vty 0 4
  ##允许登陆的协议
  protocol inbound telnet(ssh/all)
  ##设置登录认证方式为口令认证
  authentication-mode password 
  ##设置登录用户级别，默认为0不能进入系统视图
  user privilege level 3
  ##10分钟0秒不操作退出账号，0 0为永不退出
  idle-timeout 10 0
  ##修改认证口令
  set authentication-mode password cipher huawei@123
客户端登录：
telnet 12.1.1.2（服务器IP地址）

三、AAA认证

AAA (Authentication, Authorization, and Accounting)：认证、授权、计费

AAA常见网络架构中包括用户、NAS(Network Access Server)、AAA服务器(AAA Server)

NAS一般是网关设备（路由器或交换机）

两组C/S

用户为客户端，NAS为服务端NAS为AAA客户端，AAA服务器为AAA服务端

NAS负责集中收集和管理用户的访问请求。在NAS上会创建多个域来管理用户。不同的域可以关联不同的AAA方案。AAA方案包含认证方案，授权方案，计费方案。当收到用户接入网络的请求时，NAS会根据用户名来判断用户所在的域，根据该域对应的AAA方案对用户进行管控。

AAA支持的认证方式有:不认证，本地认证，远端认证。

远端认证：需要发送至远端AAA服务器认证

本地认证：将用户名密码配置在NAS上认证，类似上述的FTP服务

AAA支持的授权方式有：不授权，本地授权，远端授权。

授权信息包括：所属用户组、所属VLAN、ACL编号等。

AAA支持的计费方式有：不计费，远端授权。

AAA实现的协议

常用radius协议

aaa
  ##设置账号huawei密码huawei@123，cipher：本地加密
  local-user huawei password cipher huawei@123
  ##设置权限，ftp需要3级及以上,15级最高
  local-user huawei privilege level 15 
  ##可以访问的服务
  local-user huawei service-type telnet
user-interface vty 0 4
  ##设置登录认证方式为aaa认证
  authentication-mode aaa
  ##设置登录用户级别，默认为0不能进入系统视图
  user privilege level 3

aaa
   ##用户名为123的用户在名为hcia的域中，hica域中的用户都按照hcip的方式认证，hcip的认证方式为radius认证（远端认证）
   authentication-scheme hcip
      authentication-mode radius
   ##分域，同一域内的账号认证授权计费方式相同
   domain hcia
      authentication-scheme hcip
   ##添加本地用户
   local-user 123@hica password cipher 123

四、DHCP

动态主机配置协议，C/S架构，主机无需配置

统一管理：避免冲突

地址租期：释放地址

工作原理（DHCP与主机工作在同广播域）

主机开机后会发送广播报文（源0.0.0.0，目的255.255.255.255）寻找DHCP服务器，服务器回单播报文分配ip地址，在这个过程中，因广播域中可能有n个DHCP服务器，所以就给主机分配n个ip地址，客户端按照先到先得原则使用第一个到达的，然后客户端再次广播报文告知各服务器我使用的ip地址，其他n-1个地址由服务器回收，该ip地址服务器单播报文确认主机可以是应该ip地址。

租期更新

如果在50%租期时未得到原服务器回应，则在87.5%租期广播发起DHCP请求，重新获取ip

DHCP  enable
int g0/0/0
    ip add 192.168.1.1 24
    ##产生一个与本接口同网段的地址池且本接口作为该网段主机的网关
    dhcp select interface
    ##100-199会保留下来，不会分配出去
    dhcp sever excluded-ip-address 192.168.1.100 192.168.1.199
    ##租期2天0时0分
    dhcp sever day 2 hour 0 minute 0
    ##域名解析服务器
    dhcp sever dns-list 8.8.8.8

工作原理（DHCP与主机工作在不同广播域）

依靠中继（dhcp relay）：客户端—中继—服务端，客户端发广播到中继，中继单播到服务端

如何广播变单播：在客户端发给中继的广播报文（源0.0.0.0，目的255.255.255.255）外封装一个新ip头部（源192.168.20.1，目的23.1.1.3）变为单播报文

单臂路由，首先把路由做通（有去有回）
R2
##在能收到某ip地址段的网关处配置
int g0/0/0.20
    dot1q termination vid 20
    ip add 192.168.20.1 24
    arp broadcast enable
    ##将该网关接口选择为dhcp中继
    dhcp select relay
    ##将其中继到服务器23.1.1.3
    dhcp relay sever-ip 23.1.1.3
    
R3
##全局地址池
ip-pool vlan20
    ip add 192.168.20.0 24
    GATEWAY-list 192.168.20.1
    lease day 1
    dns-list 8.8.8.8
    excluded-ip-address 192.168.20.10 192.168.20.20
int g0/0/0
    ip add 23.1.1.3 24
    ##选择全局地址池而非接口地址池
    dhcp select global

五、DNS

域名解析系统

查询方式

递归查询：主机向DNS1发请求，DNS1没有，DNS1向DNS2发请求，以此类推迭代查询：主机向DNS1发请求，DNS1没有并返回DNS2的ip，主机向DNS2发请求，以此类推

六、PPP协议

ppp，二层协议，点对点，用路由器和路由器之间的串行接口（serial），二层上没有地址，串行线交换机用不了，路由器专用。

与串行线对应的是以太网（采用mac，多路访问）

普通以太网路由器只要连接即可通信，PPP协议提供了安全认证协议，认证通过后才可以通信。

PPP链路建立需要经过链路层协商、认证协商和网络层协商三个阶段

链路层协商：通过LCP报文进行链路参数协商，建立链路层连接认证协商（可选）：通过链路建立阶段协商的认证方式进行链路认证网络层协商：通过NCP协商来选择和配置一个网络层协议进行网络层参数协商，协商IP地址

PPPoE（以太网承载PPP协议）

适用家庭宽带：PPP在接入之前二层链路就进行了验证，但是家庭不适合用串行线，因此有了PPPoE

PPPoE集中了PPP和Ethernet两个技术的优点。既有以太网的组网灵活优势，又可以利用PPP协议实现认证、计费等功能。

七、ISIS协议

相对于OSPF，ISIS协议具有的特点

报文的结构简单，邻居之间信息交互的效率较高，对网络资源占用较少ISIS与OSPF都是链路状态路由协议，同样采用SPF算法计算路由基于数据链路层工作，不依赖IP地址进行通信

CLNS（无连接网络服务）：无需同时在线

is-is（中间系统-中间系统，路由器-路由器）

支持CLNP和ip网络

采用数据链路层封装，不封装网络层

基于链路状态的路由协议

LSP（LSPDU，链路状态协议数据单元）2

ospf

只支持ip网络

采用ip报文封装

CLNP网络中的NSAP地址（网络服务访问点）类似于ip网络中的ip地址，也分为网络位和主机位。

网络位（IDP，初始域部分），AFI标识哪个机构分配的地址，区分公网（非49开头）还是私网（49开头），现在网络的都是私网地址了；IDI标识区域。主机位（DSP，具体域部分），system ID区分主机（6字节48比特，类似于ospf的routerid），sel标识服务类型（类似协议号，当下无意义）。

isis的NSAP仅剩在用的特殊情况：

NET（网络实体名称），将sei置为00，表示没有上层协议，示例：

49.0001.0000.0000.0001.00

区域ID 系统ID（16进制） SEL

区域划分：

isis以设备为单位进行划分

区域不同也可建立邻居关系（不用区域L2路由器之间）

有骨干，跨区域连续联合组成的

isis路由器分类

level1：只同步本区域的LSP，没有其他区域的LSP，也就没有路由，所以配默认路由与其他路由器通信（减轻计算压力和时间）

level2：跨区域连接，连续的L2路由器构建出一个骨干区域

即是level1又是level2的，称为level1-2

level1-2上有本区域的LSDB-L1和相邻区域的LSDB-L2（本区域和相邻区域的L2），此外level1-2还会通过LSDB-L1获取的路由条目信息，以路由的形式放到LSDB-L2中，所以相邻区域里的L2路由器知道该区域的路由。

可以起邻居关系的路由器：同区域L1之间，L2之间，L1和L1-2，L2和L1-2；不用区域L1-2和L2，L1-2和L1-2。

ISIS支持MA网络和P2P网络。

所有接口开销默认为10。

所有的邻居都是邻接。

四中报文

IIH（类似hello报文）

LSP（类似LSA）

CSNP（类似DD，但CSNP是一次性发完）

PSNP（请求报文）

TLV框架：类型、长度、值

邻居状态

down：未收到邻居

int：收到邻居

up：收到的邻居中有我

DIS，指定路由器，用来创建和更新伪节点，负责发送CSNP，类似DR，作用也类似DR。P2P网络中不选DIS。可以抢占。DIS伪节点的NET是实体路由器的系统ID+SEI（01、02、03顺序使用）。

文章来源:https://blog.csdn.net/qq_33782021/article/details/137525876