三、网络服务协议

目录

一、FTP：文件传输协议

二、Telnet：远程登录协议

三、AAA认证

四、DHCP

五、DNS

六、PPP协议

七、ISIS协议

---

一、FTP：文件传输协议

        C/S架构，现多用于企业内部的资料共享和网络设备的文件传输，企业内部搭建一个FTP服务器（文件服务器），基于TCP）

        双通道（服务端主动模式）

        1）控制通道：客户端向服务器发起TCP三次握手（服务器端口号21，客户端口号随机）

               客户端向服务器发起的各项控制指令（输入账号密码、打开文件、发起传输请求等）

        2）数据通道：客户端通过控制通道告知服务器自己开放的端口号（P，随机），由服务器主动发起TCP三次握手（服务器端口号20，客户端口号P）

                传输文件          

        双通道（服务端被动模式）

        1）控制通道：客户端向服务器发起TCP三次握手（服务器端口号21，客户端口号随机）

               客户端向服务器发起的各项控制指令（输入账号密码、打开文件、发起传输请求等）

        2）数据通道：客户端发送被动命令，服务器根据该命令告知客户端自己开放的端口号（N，随机），由客户端主动发起TCP三次握手（服务器端口号N，客户端口号随机）

                传输文件

客户端配置：
ftp 12.1.1.2（服务器ip地址）
输入账号密码（huawei和huawei@123）
##登陆到服务器上查看ftp服务器上的文件夹
dir
##从ftp服务器获取文件
get r2.zip
##发送文件
put r2.zipftp服务器配置：
##打开ftp服务
ftp server enable
##设置ftp默认工作目录
set default ftp-directory flash：
aaa##设置账号huawei密码huawei@123，cipher：本地加密local-user huawei password cipher huawei@123##设置权限，ftp需要3级及以上,15级最高local-user huawei privilege level 15 ##可以访问的文件夹：ftp目录local-user huawei ftp-directory flash:##可以访问的服务local-user huawei service-type ftpsave

二、Telnet：远程登录协议

        基于TCP，无需专用线缆直连设备，只要ip可达且设备TCP 23端口能通信即可。

        C/S架构

        远程登录协议：

1. SSH：加密的；
2. Telnet：明文的

        设备登录两种方式：

1. console登录（连接配置线登录）
2. 虚拟用户界面（远程登录），同时多个用户登录

服务端配置：
##打开telnet 服务
telnet server enable
##vty：虚拟接口，设置vty线路0-4，同时支持5个用户登录
user-interface vty 0 4##允许登陆的协议protocol inbound telnet(ssh/all)##设置登录认证方式为口令认证authentication-mode password ##设置登录用户级别，默认为0不能进入系统视图user privilege level 3##10分钟0秒不操作退出账号，0 0为永不退出idle-timeout 10 0##修改认证口令set authentication-mode password cipher huawei@123客户端登录：
telnet 12.1.1.2（服务器IP地址）

三、AAA认证

        AAA (Authentication, Authorization, and Accounting)：认证、授权、计费

        AAA常见网络架构中包括用户、NAS(Network Access Server)、AAA服务器(AAA Server)

        NAS一般是网关设备（路由器或交换机）

        两组C/S

1. 用户为客户端，NAS为服务端
2. NAS为AAA客户端，AAA服务器为AAA服务端

1. NAS负责集中收集和管理用户的访问请求。
2. 在NAS上会创建多个域来管理用户。不同的域可以关联不同的AAA方案。AAA方案包含认证方案，授权方案，计费方案。
3. 当收到用户接入网络的请求时，NAS会根据用户名来判断用户所在的域，根据该域对应的AAA方案对用户进行管控。

AAA支持的认证方式有:不认证，本地认证，远端认证。

        远端认证：需要发送至远端AAA服务器认证

        本地认证：将用户名密码配置在NAS上认证，类似上述的FTP服务

        AAA支持的授权方式有：不授权，本地授权，远端授权。
        授权信息包括：所属用户组、所属VLAN、ACL编号等。

        AAA支持的计费方式有：不计费，远端授权。
    AAA实现的协议

        常用radius协议

aaa##设置账号huawei密码huawei@123，cipher：本地加密local-user huawei password cipher huawei@123##设置权限，ftp需要3级及以上,15级最高local-user huawei privilege level 15 ##可以访问的服务local-user huawei service-type telnetuser-interface vty 0 4##设置登录认证方式为aaa认证authentication-mode aaa##设置登录用户级别，默认为0不能进入系统视图user privilege level 3

aaa##用户名为123的用户在名为hcia的域中，hica域中的用户都按照hcip的方式认证，hcip的认证方式为radius认证（远端认证）authentication-scheme hcipauthentication-mode radius##分域，同一域内的账号认证授权计费方式相同domain hciaauthentication-scheme hcip##添加本地用户local-user 123@hica password cipher 123

四、DHCP

动态主机配置协议，C/S架构，主机无需配置

统一管理：避免冲突

地址租期：释放地址

        工作原理（DHCP与主机工作在同广播域）

       主机开机后会发送广播报文（源0.0.0.0，目的255.255.255.255）寻找DHCP服务器，服务器回单播报文分配ip地址，在这个过程中，因广播域中可能有n个DHCP服务器，所以就给主机分配n个ip地址，客户端按照先到先得原则使用第一个到达的，然后客户端再次广播报文告知各服务器我使用的ip地址，其他n-1个地址由服务器回收，该ip地址服务器单播报文确认主机可以是应该ip地址。   

        租期更新

        如果在50%租期时未得到原服务器回应，则在87.5%租期广播发起DHCP请求，重新获取ip

DHCP  enable
int g0/0/0ip add 192.168.1.1 24##产生一个与本接口同网段的地址池且本接口作为该网段主机的网关dhcp select interface##100-199会保留下来，不会分配出去dhcp sever excluded-ip-address 192.168.1.100 192.168.1.199##租期2天0时0分dhcp sever day 2 hour 0 minute 0##域名解析服务器dhcp sever dns-list 8.8.8.8

        工作原理（DHCP与主机工作在不同广播域）

        依靠中继（dhcp relay）：客户端—中继—服务端，客户端发广播到中继，中继单播到服务端

        如何广播变单播：在客户端发给中继的广播报文（源0.0.0.0，目的255.255.255.255）外封装一个新ip头部（源192.168.20.1，目的23.1.1.3）变为单播报文

单臂路由，首先把路由做通（有去有回）R2
##在能收到某ip地址段的网关处配置
int g0/0/0.20dot1q termination vid 20ip add 192.168.20.1 24arp broadcast enable##将该网关接口选择为dhcp中继dhcp select relay##将其中继到服务器23.1.1.3dhcp relay sever-ip 23.1.1.3R3
##全局地址池
ip-pool vlan20ip add 192.168.20.0 24GATEWAY-list 192.168.20.1lease day 1dns-list 8.8.8.8excluded-ip-address 192.168.20.10 192.168.20.20
int g0/0/0ip add 23.1.1.3 24##选择全局地址池而非接口地址池dhcp select global

五、DNS

        域名解析系统

        查询方式

1. 递归查询：主机向DNS1发请求，DNS1没有，DNS1向DNS2发请求，以此类推
2. 迭代查询：主机向DNS1发请求，DNS1没有并返回DNS2的ip，主机向DNS2发请求，以此类推

六、PPP协议

         ppp，二层协议，点对点，用路由器和路由器之间的串行接口（serial），二层上没有地址，串行线交换机用不了，路由器专用。

        与串行线对应的是以太网（采用mac，多路访问）

        普通以太网路由器只要连接即可通信，PPP协议提供了安全认证协议，认证通过后才可以通信。

        PPP链路建立需要经过链路层协商、认证协商和网络层协商三个阶段

1. 链路层协商：通过LCP报文进行链路参数协商，建立链路层连接
2. 认证协商（可选）：通过链路建立阶段协商的认证方式进行链路认证
3. 网络层协商：通过NCP协商来选择和配置一个网络层协议进行网络层参数协商，协商IP地址

        PPPoE（以太网承载PPP协议）

        适用家庭宽带：PPP在接入之前二层链路就进行了验证，但是家庭不适合用串行线，因此有了PPPoE

        PPPoE集中了PPP和Ethernet两个技术的优点。既有以太网的组网灵活优势，又可以利用PPP协议实现认证、计费等功能。 

    

七、ISIS协议

        相对于OSPF，ISIS协议具有的特点

1. 报文的结构简单，邻居之间信息交互的效率较高，对网络资源占用较少
2. ISIS与OSPF都是链路状态路由协议，同样采用SPF算法计算路由
3. 基于数据链路层工作，不依赖IP地址进行通信

CLNS（无连接网络服务）：无需同时在线

is-is（中间系统-中间系统，路由器-路由器）

        支持CLNP和ip网络

        采用数据链路层封装，不封装网络层

        基于链路状态的路由协议

        LSP（LSPDU，链路状态协议数据单元）2

ospf

        只支持ip网络

        采用ip报文封装

        CLNP网络中的NSAP地址（网络服务访问点）类似于ip网络中的ip地址，也分为网络位和主机位。

1. 网络位（IDP，初始域部分），AFI标识哪个机构分配的地址，区分公网（非49开头）还是私网（49开头），现在网络的都是私网地址了；IDI标识区域。
2.  主机位（DSP，具体域部分），system ID区分主机（6字节48比特，类似于ospf的routerid），sel标识服务类型（类似协议号，当下无意义）。

       isis的NSAP仅剩在用的特殊情况：

                NET（网络实体名称），将sei置为00，表示没有上层协议，示例：

                49.0001.0000.0000.0001.00

                区域ID   系统ID（16进制） SEL

        区域划分：

                isis以设备为单位进行划分

                区域不同也可建立邻居关系（不用区域L2路由器之间）

                有骨干，跨区域连续联合组成的

        isis路由器分类

                level1：只同步本区域的LSP，没有其他区域的LSP，也就没有路由，所以配默认路由与其他路由器通信（减轻计算压力和时间）

                level2：跨区域连接，连续的L2路由器构建出一个骨干区域

                即是level1又是level2的，称为level1-2

                level1-2上有本区域的LSDB-L1和相邻区域的LSDB-L2（本区域和相邻区域的L2），此外level1-2还会通过LSDB-L1获取的路由条目信息，以路由的形式放到LSDB-L2中，所以相邻区域里的L2路由器知道该区域的路由。

                可以起邻居关系的路由器：同区域L1之间，L2之间，L1和L1-2，L2和L1-2；不用区域L1-2和L2，L1-2和L1-2。

        ISIS支持MA网络和P2P网络。

        所有接口开销默认为10。

        所有的邻居都是邻接。

四中报文

        IIH（类似hello报文）

        LSP（类似LSA）

        CSNP（类似DD，但CSNP是一次性发完）

        PSNP（请求报文）

TLV框架：类型、长度、值

邻居状态

        down：未收到邻居

        int：收到邻居

        up：收到的邻居中有我

DIS，指定路由器，用来创建和更新伪节点，负责发送CSNP，类似DR，作用也类似DR。P2P网络中不选DIS。可以抢占。DIS伪节点的NET是实体路由器的系统ID+SEI（01、02、03顺序使用）。