一、概念/知识点
| 模式 | 控制连接 (TCP/21) | 数据连接建立方式 |
|---|---|---|
| 主动模式 (PORT) | 客户端 → 服务器 21 | 服务器 20 → 客户端指定端口 |
| 被动模式 (PASV) | 客户端 → 服务器 21 | 客户端 → 服务器指定的随机高端口 |
- 主动模式:数据连接由 服务器回连客户端(受限于防火墙/NAT)
- 被动模式:数据连接由 客户端主动去连服务器(适合 NAT 环境,常用)
| 对比项 | TCP (含TLS) | QUIC (HTTP/3) |
|---|---|---|
| 底层协议 | TCP | UDP |
| 握手延迟 | TCP 3-way handshake 1 RTT + TLS 握手 1 RTT(TLS 1.3)或 2 RTT(TLS 1.2);总 RTT = 2 或 3 RTT | 首次连接 1 RTT;重连 0 RTT |
| 加密 | TLS 可选 | 内置 TLS1.3,强制加密 |
| 多路复用 | 单连接内多流共享 TCP 序列号 → 队头阻塞 (HOL),一个丢包会阻塞后续流 | 一个 QUIC 连接可承载多个独立流 → 流独立,一个流丢包不会阻塞其他流 |
| 连接恢复 | 依赖源/目的 IP+端口 → NAT 或网络切换会断开连接 | 用 Connection ID 标识会话 → 可在 WiFi/4G 切换或 IP 改变时继续传输 |
| 拥塞控制 | 传统 TCP 算法:Reno/CUBIC → 慢启动、拥塞避免、快速重传、超时重传 | 继承 TCP 算法,用户态可优化 → 慢启动、拥塞避免、快速重传,拥塞窗口和 RTT 估计更灵活 |
| 冗余 / 纠错 | 检测:段校验和;丢包检测:ACK / dup-ACK / SACK;纠错:快速重传 / 超时重传;FEC:非默认,可上层实现 | 检测:包号 + ACK ranges;丢包恢复:时间/阈值+PTO;纠错:重传丢失包/帧 + 可选 FEC(前向纠错,减少重传延迟);流独立,无 HOL 阻塞 |
| 应用场景 | HTTP/1.1、HTTP/2、文件传输 | HTTP/3、视频流、弱网移动场景 |
TCP协议在工作过程中存在死锁的可能,原因:接收方发送0窗口的应答报文后,所发送的非0窗口应答报文丢失;解决:设置计时器,计时满后发送探测报文
VOIP通信采用的实时传输协议为RTP
数据去重技术、数据压缩技术可以保证优先带宽下的异地备份数据中心传输效率
| 加密类型 | 典型算法 | 核心特点简要说明 |
|---|---|---|
| 对称加密 | DES(数据加密标准) | 分组 64 位,密钥 56 位,安全性低,多用于 legacy 系统 |
| 对称加密 | 3DES(三重 DES) | 对数据执行 3 次 DES 操作,密钥 112/168 位,安全性高于 DES,用于金融、VPN 等 |
| 对称加密 | AES(高级加密标准) | 分组 128 位,密钥 128/192/256 位,效率高、安全性强,是当前主流标准 |
| 对称加密 | RC4(流密码算法) | 按字节流实时加密,曾用于 WEP,因安全性不足逐步淘汰 |
| 对称加密 | RC5(分组密码算法) | 参数(分组长度、密钥长度、加密轮数)可定制,基于简单位运算,效率高,适合大量数据加密,如 VPN 数据加密、云存储加密等场景 |
| 对称加密 | Blowfish(分组密码算法) | 分组长度 64 位,密钥长度 32-448 位,加密速度快,可免费使用,常用于文件加密、数据库加密等 |
| 对称加密 | IDEA(国际数据加密算法) | 分组长度 64 位,密钥长度 128 位,安全性高,曾用于 PGP(邮件加密)等场景 |
| 对称加密 | RC6(分组密码算法) | 在 RC5 基础上改进,分组长度 128 位,密钥长度支持 128/192/256 位,安全性和效率更优,适用于高安全需求的大数据加密场景 |
| 非对称加密 | RSA( Rivest-Shamir-Adleman) | 经典算法,密钥常用 2048/4096 位,可用于数字签名、密钥交换 |
| 非对称加密 | ECC(椭圆曲线加密) | 相同安全性下密钥更短、效率更高,适用于移动设备、IoT、5G |
| 非对称加密 | DSA(数字签名算法) | 仅支持数字签名(无法加密数据),用于文档防篡改(如代码签名) |
| 非对称加密 | EIGamal(埃尔伽玛算法) | 基于离散对数问题,可用于加密和数字签名,在密码协议设计中有一定应用 |
ISDN有两种不同类型的信道,其中用于传送信令的是D信道,用于传输语音/数据信息的是B信道
二层网络可能面临的攻击:广播风暴攻击、ARP攻击(泛洪攻击、欺骗攻击)、STP攻击、MAC表洪水攻击等
软件文档包含系统文档和用户文档
DHCP绑定命令:dhcp server static-bind ip-address 192.1 68.1.11 mac-address 5489-98FB-65D8
软件概要设计将软件需求转化为数据结构和系统结构
ATM网络中的信息总长为53个字节,其中首部长度为5,所以传输效率为(53-5)/53=90.5%
分槽ALOHA协议理论上其效率不超过37%
Windows用户管理:A表示用户账号,G表示全局组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
ADSL系统的上、下行数据和普通电话业务信号,采用频分复用(FDM)方式分享传输线路。通过FDM 方法把整个带宽分为三个部分:语音、上行、下行。
| 帧类型 | 核心功能 | 发送顺序号 N (S) | 接收顺序号 N (R) | 作用说明 |
|---|---|---|---|---|
| 信息帧(I 帧) | 传输数据信息 | 是 | 是 | N (S) 标识当前发送帧的序号,支持连续 ARQ(自动重传请求)的流量控制;N (R) 用于确认已正确接收的对方帧。 |
| 监控帧(S 帧) | 流量控制与差错控制 | 否 | 是 | 无 N (S),仅通过 N (R) 确认已接收的帧(如确认帧 RR)或请求重传指定帧(如否认帧 REJ)。 |
| 无编号帧(U 帧) | 链路管理(建立 / 释放等) | 否 | 否 | 不包含 N (S) 和 N (R),仅用于链路控制(如建立链路的 SETUP 帧、释放链路的 DISC 帧)。 |
若限制的是链路层帧(如以太网帧)的最大长度,需减去链路层帧头帧尾(共 18 字节)得到网络层 IP 数据报的最大可用长度;若限制的是网络层 IP 数据报的最大长度,需减去 IP 首部(最小 20 字节)得到传输层数据的最大可用长度。
Ping命令:-a 加源地址;-f 是检测 MTU;-c 指定发送报文的数目(默认为 5)
二层以太网交换机联网范围的距离主要受制于网桥协议
ARP协议:源主机广播一个包含IP地址的报文,对应主机回送MAC地址
主机的IP地址为192.55.12.120,子网掩码为255.255.255.240。则该主机的主机号是0.0.0.8
堆叠中所有的单台交换机都称为成员交换机,可以分为三种角色:主交换机、备交换机、从交换机
服务器延迟的主要因素是队列延迟和磁盘IO延迟
数据中心选址:
(1)电力供给充足可靠,通信快速畅通,交通便捷;
(2)采用水蒸发冷却制冷应考虑水源是否充足;
(3)环境温度有利于节约能源;
(4)远离产生粉尘、油烟、有害气体或贮存具有腐蚀性、易燃易爆物品的场所;
(5)远离水灾、火灾和自然灾害隐患区域;
(6)远离强振源和强噪声源;
(7)避开强电磁场干扰;
(8)不宜建在公共停车库的正上方;
(9)大中型数据中心不宜建在住宅小区和商业区内。
ARP不会有跨网段的IP和MAC对应关系
| 对比维度 | Traceroute(UNIX 系统) | Tracert(Windows 系统) |
|---|---|---|
| 核心发起报文类型 | UDP 报文(端口 > 30000,目的端未使用); 若基于 ICMP 回显请求报文(Type=8,Code=0)实现 | ICMP 回显请求报文(Type=8,Code=0) |
| 核心返回报文类型(中间路由器) | ICMP 超时报文(Type=11,Code=0) | ICMP 超时报文(Type=11,Code=0) |
| 到达目的地 | 收到 ICMP 端口不可达报文(Type=3,代码对应端口不可达); 若基于 ICMP 回显请求实现,收到 ICMP 回显应答报文(Type=0,Code=0) | 收到 ICMP 回显应答报文(Type=0,Code=0) |
| 未到达目的地 | 收到 ICMP 超时报文(Type=11,Code=0),需将 TTL+1 后重新发送 | 收到 ICMP 超时报文(Type=11,Code=0),需将 TTL+1 后重新发送 |
| 依赖的关键 ICMP 差错报文 1 | 时间超过(Type=11,Code=0):路由器接收 TTL=0 的报文,丢弃后发送此报文 | 时间超过(Type=11,Code=0):路由器接收 TTL=0 的报文,丢弃后发送此报文 |
| 依赖的关键 ICMP 差错报文 2 | 终点不可达(Type=3):目标主机因端口未使用; | 无 |
利用 ICMP 协议可以实现路径跟踪功能。其基本思想是:源主机依次向目的主机发送多个分组 P1、P2、…,分组所经过的每个路由器回送一个ICMP报文,第i个分组的TTL为i,路由器Ri回送超时ICMP报文
SNMP
SNMP在传输层默认采用UDP协议,并使用两个端口号
| 文件路径 | 作用描述 |
|---|---|
/etc/hosts | 本地静态域名解析文件,存储 IP 与域名的映射关系,解析优先级高于 DNS 服务器 |
/etc/resolv.conf | DNS 客户端核心配置文件,定义默认 DNS 服务器 IP、域名搜索列表等参数 |
/etc/host.conf | 配置主机名解析顺序(如先查 hosts 还是 DNS)及多 IP 解析策略 |
/etc/systemd/resolved.conf | systemd-resolved 服务配置文件,设置全局 DNS 服务器、域名搜索域等(适用于 systemd 系统) |
/etc/named.conf | BIND 服务器主配置文件,定义监听地址、区域文件路径、访问控制等全局参数 |
二、编码/通讯
曼彻斯特编码:第一个编码自定义,比如从高到低跳变是0,从低到高跳变是1,用于以太网
差分曼彻斯特:有跳变是0,无跳变是1,用于令牌环网
MLT-3:0不变,1跳变。跳变时,如果前一个是+1或-1则跳变到0,如果是0,则跳变到上一个+1或-1相反的值
海明码:
作用:能发现并纠正 1 位二进制错误
组成:原始数据位 + 校验位(校验位数量 r 需满足公式:2ʳ ≥ 数据位 k + r + 1)
校验位位置:固定在 “2 的幂次” 位置(即第 1、2、4、8、16… 位)
分组规则:第 r 个校验位,负责校验 “位置编号二进制第 r 位为 1” 的所有位(包括自身)
校验计算:按偶校验(或奇校验)规则,让每个校验组中 1 的总数为偶数(或奇数),以此确定校验位的值
核心依据:依赖海明距离(编码最小海明距离为 3,因此能纠 1 位错、检 2 位错)
海明距离:两个码字之间不同的比特数
| 百兆以太网类型 | 传输介质 | 编码方式 |
|---|---|---|
| 100Base-TX | 双绞线(2 对) | 4B/5B + MLT-3 |
| 100Base-FX | 光纤(多模 / 单模) | 4B/5B + NRZI |
| 100Base-T4 | 双绞线(4 对) | 8B/6T |
| 100Base-T2 | 双绞线(2 对) | 4B/5B + 曼彻斯特编码变体 |
千兆除1000Base-T使用PAM5,其余是8B/10B编码
* R:码元速率(单位:Baud,波特)
* B:信道带宽(单位:Hz,赫兹)
* Rb:比特率(单位:bit/s,比特每秒)
* T:码元间隔(单位:s,秒)
* α:滚降系数(0≤α≤1)
* M:调制阶数(进制数,如 2、4、8)
* S/N:信噪比(信号功率 / 噪声功率)
奈奎斯特定理
• 最大码元速率:R = 2B
• 最大比特率:Rb = R×log₂M = 2B×log₂M
香农定理
• 最大比特率:Rb = B×log₂(1+S/N)
信噪比与分贝
• 功率比转 dB:SNR (dB) = 10×log₁₀(S/N)
码元间隔与码元速率
• 关系:R = 1/T
三、线路
802.3:以太网标准。
802.3u:快速以太网标准。
802.3z:千兆以太网标准之一。
802.3ae:万兆以太网标准之一。
| 类型 | 纤芯直径 | 特点 | 适用场景 |
|---|---|---|---|
| 多模光纤 | 50μm(主流) | 成本低、易对接,支持多光模传输 | 短距离(机房内、楼宇间) |
| 单模光纤 | 9μm | 速率高、传输远,仅单光模传输 | 长距离(城域网、骨干网) |
| 波长 | 光纤类型 | 衰减系数(dB/km) | 应用地位 |
|---|---|---|---|
| 850nm | 多模光纤 | 3 | 短距离常用 |
| 1300nm | 多模光纤 | 1 | 多模中长距 |
| 1310nm | 单模光纤 | 0.3 | 单模常规波长 |
| 1550nm | 单模光纤 | 0.2 | 长距离首选(低衰减) |
| 传输速率 | 光纤类型 | 工作波长 | 传输距离 | 典型应用场景 |
|---|---|---|---|---|
| 1Gbps | 新型 50μm 多模光纤 | 850nm | 1100m | 数据中心、园区网 |
| 10Gbps | 新型 50μm 多模光纤 | 850nm | 550m | 高速局域网、机房互联 |
| 2.5Gbps | G.655 单模光纤 | 1550nm | 390km | 城域骨干网 |
| 10Gbps | G.655 单模光纤 | 1550nm | 240km | 长途传输网 |
| 40Gbps | G.655 单模光纤 | 1550nm | 16km(基础)/100km+(带补偿) | 超高速骨干网 |
限制因素:衰减(信号减弱)和色散(信号展宽)是主要限制,高速场景色散影响更大
扩展技术:通过光放大器(EDFA)可将 1550nm 单模信号传输至 1000km 以上
发展趋势:超低损耗单模光纤(0.15dB/km 以下)支持 400Gbps/800Gbps 超高速传输
工程设计:实际部署需预留 10-20% 衰减余量,确保稳定传输
其他知识点:
* 光纤熔接影响最大的是模场不一致
* E1线路采用的时分多路复用方式,将一帧划分为32个时隙,其中30个时隙发送数据,2个时隙发送控制信息,每个时隙可发送8个数据位,要求每秒钟发送8000帧。
数据率为2.048Mbps,有效数据率为(30/32)×2.048Mbps=1.92Mbps。
* 千兆电口按最小 64 字节帧(含 8 字节前导码 + 12 字节帧间隙,共 84 字节)计算,包转发率:1000Mbps÷(84×8bit)= 约 1.488Mpps(每秒转发帧数),吞吐率:64 字节数据 ×8bit×1.488Mpps = 约 768Mbps(约为端口带宽的 76.8%,因需扣除前导码和帧间隙开销)
* 以太网上只有两个站,它们同时发送数据,产生了碰撞。于是按截断二进制指数退避算法进行重传。一个站成功发送数据之前的平均重传次数为1.64
| 技术名称 | 英文缩写 | 核心原理 | 特点 | 典型应用场景 |
|---|---|---|---|---|
| 频分复用 | FDM | 将物理信道总带宽划分为互不重叠的子频段,子频段间设 “保护带” 防干扰 | 优点:支持模拟信号并行传输 缺点:保护带浪费带宽,抗干扰弱 | 有线电视(CATV)下行信道、FM 收音机、传统广播电视 |
| 波分复用 | WDM | 在光纤中,不同波长的光信号在同一根光纤并行传输(等效 “光域的 FDM”) | 优点:极大提升光纤传输容量 缺点:需高精度波长复用 / 解复用设备 | 光纤通信(DWDM 密集波分复用、CWDM 粗波分复用) |
| 时分复用 | TDM | 将传输时间划分为固定长度的时间片,各路信号按顺序轮流占用 | 优点:数字信号友好,带宽利用率高于 FDM 缺点:时间片固定,无数据时仍占用,灵活性低 | PCM 数字电话(T1/E1)、SONET/SDH、数字微波通信 |
| 统计时分复用 | STDM | 动态分配时间片,仅给有数据的信号按需分配,通过 “标记(如地址)” 标识信号归属 | 优点:大幅提升信道利用率(解决 TDM 时间片浪费) 缺点:需额外机制识别信号,复杂度高 | 分组交换网(X.25、ATM)、局域网交换机、HFC 网络上行(Internet 接入,DOCSIS 协议动态时隙分配) |
| 时分多址 | TDMA | 将时间划分为时隙,用户需向中心节点请求 / 授权后,按调度顺序发送数据 | 优点:抗干扰强,适配突发数据传输 缺点:依赖中心节点调度,系统复杂度高 | HFC 网络上行物理层(时隙划分基础)、卫星通信、早期移动通信(如 GSM) |
| 码分复用 | CDM | 各路信号分配唯一伪随机码(扩频码),同一时间 / 频段传输,接收端通过码型匹配提取 | 优点:抗干扰能力极强,支持多用户同时通信 缺点:码型设计复杂,设备成本高 | CDMA 移动通信(2G/3G)、卫星通信、军事抗干扰通信 |
| 空分复用 | SDM | 通过空间隔离划分信道(如多对导线、多根光纤、多天线) | 优点:物理隔离无干扰,实现简单 缺点:受物理空间(如光纤数量、天线布局)限制 | 双绞线(多对导线)、多芯光纤、MIMO 技术(4G/5G) |
| 正交频分复用 | OFDM | FDM 的改进版,子频段正交重叠(无保护带),通过傅里叶变换实现无干扰传输 | 优点:抗频率选择性衰落强,频谱利用率极高 缺点:对频偏敏感,需复杂同步技术 | Wi-Fi(802.11a/g/n/ac/ax)、4G LTE、数字电视(DVB-T) |
四、OSPF
(一)OSPF 协议基础
1. 协议定位与类型
- 协议层级:直接运行于 IP 层(无 TCP/UDP 端口),IP 协议号为89(RIP 用 UDP 520)。
- 协议角色:内部网关协议(IGP),仅用于单一自治系统(AS)内的路由决策。
- 协议类型:链路状态路由协议, 知拓扑、算路径,非 “听邻居传闻”。
2. 关键参数
- 管理距离(AD):10(直连 = 0、静态 = 60、RIP=100、BGP(EBGP)=255)。
- Hello 时间 / Dead 时间:
- 广播 / 点到点网络:Hello=10s,Dead=40s;
- NBMA / 点到多点网络:Hello=30s,Dead=120s。
- LSA 老化时间:默认 3600 秒(1 小时),30 分钟周期性刷新(避免 LSA 过期)。
(二)OSPF 核心机制
1. 路由计算三步骤
(1)LSA 洪泛:路由器通过接口发送 LSA(链路状态通告),在同一区域内全网洪泛(跨区域需 ABR 转发),告知 “自身直连链路、邻居信息”。
(2)LSDB 构建:同一区域内的所有路由器,基于收到的 LSA,构建完全相同的链路状态数据库(LSDB)(区域间 LSDB 不同)。
(3)SPF 算法计算:路由器以自身为根,对 LSDB 执行 “最短路径优先(SPF)算法”,生成最短路径树,最终转化为路由表。
2. 路由更新特点(对比 RIP)
- 更新方式:定时更新 + 触发更新。仅当链路状态变化时,发送变化的 LSA+ 30 分钟 LSA 刷新(无周期性全量路由表发送)。
- 优势:收敛快(毫秒级)、带宽占用低(仅传变化内容),适合中大型网络(RIP 因 30 秒全量更新,仅适合小型网)。
3. 链路状态请求(LSR)与 LSDB 同步流程
(1)LSR 定义与作用
LSR(Link State Request,链路状态请求报文)是 OSPF 的核心报文之一,作用是向邻居请求自身缺失的 LSA 信息,确保双方 LSDB 同步一致 —— 当路由器通过 DD(数据库描述)报文发现邻居的 LSDB 中有自己没有的 LSA(或 LSA 版本更新)时,会发送 LSR 报文主动请求该 LSA。
(2)LSR 触发时机
仅在邻居状态从 “Exchange” 进入 “Loading” 时触发,具体场景:
- 新邻居建立:两台路由器刚建立邻居关系,交换 DD 报文后,发现彼此 LSDB 存在差异;
- LSA 更新:邻居的某条 LSA 版本号升高(如链路 Cost 变化导致 LSA 更新),本地 LSDB 中的旧版本 LSA 需要更新。
(3)LSR 报文核心内容
LSR 报文仅包含 “需要请求的 LSA 头部信息”,不包含完整 LSA 内容,头部信息包括:
- LSA 类型(如 Type 1、Type 2);
- LSA 的链路状态 ID(标识 LSA 对应的网络 / 路由器);
- LSA 的通告路由器 ID(生成该 LSA 的路由器)。(通过这三个字段,邻居可精准定位并返回对应的 LSA)
(4)LSR 与 LSU 的交互流程
LSR 需与 LSU(Link State Update,链路状态更新报文)配合完成同步,流程如下:
- 交换 DD 报文:路由器 A 和 B 交换 DD 报文,比较双方 LSDB 的 LSA 摘要(仅含 LSA 头部);
- 发送 LSR:A 发现 B 有自己缺失的 LSA(如 Type 2 LSA),向 B 发送 LSR 报文,请求该 LSA;
- 回应 LSU:B 收到 LSR 后,通过 LSU 报文将完整的目标 LSA 发送给 A;
- 确认 LSAck:A 收到 LSU 后,发送 LSAck(链路状态确认报文)确认接收,双方 LSDB 同步完成,邻居状态进入 “Full”。
(三)OSPF 区域划分
1. 区域划分的核心目的
- 减小 LSDB 规模(路由器仅维护本区域 LSDB,而非全网);
- 限制拓扑变化影响(区域内故障不扩散至全网,减少 SPF 重算次数);
- 减少 LSA 洪泛量(LSA 仅在区域内洪泛)。
2. 关键区域规则
(1)骨干区域(Area 0):所有非骨干区域(如 Area 1、Area 2)必须直接连接 Area 0(否则需通过虚链路),是区域间路由传递的 “必经之路”(无 Area 0 则区域间无法通信)。
(2)区域边界路由器(ABR):必须满足两个条件:① 连接至少两个区域(其中一个必须是 Area 0);② 为每个连接的区域维护独立 LSDB,转发区域间路由(生成 Type 3 LSA)。
(3)区域编号格式:32 位,支持两种(需区分):
- 十进制:如 Area 0、Area 1(常用);
- 点分十进制:如 Area 1.1.1.1(≠ Area 1 = Area 2^24 + 2^16 +2^8 + 2^0。
(四)OSPF 网络类型
| 网络类型 | 邻居发现方式 | 是否选举 DR/BDR | Hello 时间 | 华为默认场景 | 配置注意事项 |
|---|---|---|---|---|---|
| 点到点网络 | 自动(Hello) | 否 | 10s | 串口(PPP/HDLC) | 无需手动指定邻居 |
| 广播型网络 | 自动(Hello) | 是 | 10s | 以太网(交换机连接) | 需选举 DR/BDR,默认优先级 1 |
| 非广播型(NBMA) | 手工配置 | 是 | 30s | 帧中继(FR) | 必须手动用ospf neighbor指定邻居 |
| 点到多点网络 | 自动(Hello) | 否 | 30s | 微波点对多点链路 | 无需选举 DR,适合无广播能力的多节点链路 |
1.DR/BDR 选举规则
(1)选举范围:仅在广播型、NBMA 网络中选举(点到点 / 点到多点不选举);
(2)选举条件:
- 接口
ospf dr-priority值高者优先(0~255,0 表示不参与选举); - 优先级相同,Router-ID 小的优先(Router-ID 是路由器的唯一标识,默认取环回口最大 IP,无环回取物理口最大 IP);
(3)选举时机:邻居状态达到 “2-Way” 后开始,DR/BDR 一旦选出,除非故障,否则不重新选举(即使加入更高优先级的路由器)。
2.邻居建立过程
OSPF 邻居建立需经历 7 个状态,其中Init和2-Way是邻居关系 “能否建立” 的关键节点:
| 邻居状态 | 核心含义 | 关键场景 / 触发条件 | 下一步状态 |
|---|---|---|---|
| Down | 邻居初始状态,未收到对方任何 Hello 报文 | 1. 路由器刚启动 OSPF;2. 邻居链路故障(如网线断开);3. 邻居设备宕机 | Attempt(仅 NBMA 网络,主动发 Hello)/ Init(广播 / 点到点网络,收到 Hello 后) |
| Attempt | 仅 NBMA 网络(如帧中继)特有,主动向已知邻居发送 Hello,但未收到回应 | NBMA 网络中,手动配置邻居后,路由器主动发 Hello(默认 10 秒一次),等待邻居回应 | Init(收到邻居 Hello 后) |
| Init | 已收到邻居的 Hello 报文,但报文中 “邻居列表” 不含自身 Router ID(未确认邻居是否收到自己的 Hello) | 1. 单通故障(如 A 能收到 B 的 Hello,B 收不到 A 的 Hello);2. 特殊区域配置不一致(如 Stub 区域内某路由器未配 stub,ABR 与它交换 Hello 后参数不匹配) | 2-Way(收到含自身 Router ID 的 Hello 后) |
| 2-Way | 双向通信确认:双方都收到对方的 Hello,且报文中 “邻居列表” 含自身 Router ID,邻居关系建立成功 | 1. 广播网络中,所有非 DR/BDR 路由器间的最终稳定状态;2. 点到点网络中,邻居建立的基础状态 | ExStart(需建立邻接关系时,如 DR/BDR 与其他路由器、点到点网络邻居) |
| ExStart | 邻接关系建立初期,通过 DD 报文(数据库描述报文)协商 “主从关系” 和 “DD 序列号”,确定后续 LSA 交换的顺序 | 1. 广播网络中 DR/BDR 与其他路由器;2. 点到点网络中邻居;3. 必须建立邻接关系的场景(如 ABR 与区域内路由器) | Exchange |
| Exchange | 主从关系确定后,双方通过 DD 报文交换 “LSA 摘要”(仅含 LSA 的头部信息,如 LSA 类型、Link ID、序列号),告知对方自身 LSDB(链路状态数据库)中有哪些 LSA | 邻接关系建立中,交换 LSA 摘要以对比双方 LSDB 差异 | Loading(存在 LSA 差异,需请求缺失 LSA)/ Full(LSDB 完全一致) |
| Full | 邻接关系完全建立,双方 LSDB(链路状态数据库)完全一致,可正常交换路由信息 | 1. 广播网络中 DR/BDR 与其他路由器;2. 点到点网络中邻居;3. ABR 与区域内路由器(正常配置时) | 稳定状态,无下一步(除非链路故障 / 配置变更) |
3,常见问题
(1)Init状态核心原因
- 链路单通(物理 / 链路层故障,如光纤断、端口 down);
- Hello 报文参数不匹配(如区域号、认证密码、Stub 区域配置不一致);
- 邻居 Router ID 冲突(双方 Router ID 相同,无法识别彼此)。
(2)2-Way与Full本质区别
2-Way是 “邻居关系”,仅确认双向通信,不交换 LSA(如广播网络中非 DR/BDR 路由器间,仅需知道彼此存在,无需同步 LSDB);Full是 “邻接关系”,需同步 LSDB(核心路由器间,如 DR/BDR 与其他路由器,必须通过 LSA 交换生成路由)。
(五)OSPF LSA 类型
| LSA 类型 | 名称 | 产生者 | 传播范围 | 核心作用(必记) |
|---|---|---|---|---|
| Type 1 | 路由器 LSA | 所有 OSPF 路由器 | 本区域内 | 描述路由器的直连链路(如接口 IP、Cost),是构建 LSDB 的基础 |
| Type 2 | 网络 LSA | DR(仅广播 / NBMA 网络) | 本区域内 | 描述广播 / NBMA 网络的子网信息(如网段掩码、该网络上的所有路由器) |
| Type 3 | 网络汇总 LSA | ABR | 跨区域(除特殊区域) | 将本区域的 Type 1/2 LSA 汇总为 “网段路由”,传递到其他区域(实现区域间路由互通) |
| Type 5 | 外部 LSA | ASBR | 全网(除特殊区域) | 描述 ASBR 引入的外部路由(如 BGP 路由),携带外部 Cost(E1/E2) |
| Type 7 | NSSA 外部 LSA | ASBR(仅 NSSA 区域内) | NSSA 区域内 | NSSA 区域的 “外部 LSA”,避免 Type 5 LSA 进入 NSSA,由 ABR 转换为 Type 5 LSA 传递到其他区域 |
外部路由类型
- E2(默认):仅考虑 “外部 Cost”(ASBR 引入时配置的 Cost),不累加 OSPF 域内的链路 Cost(适合外部路由 Cost 远大于域内 Cost 的场景);
- E1:累加 “外部 Cost + OSPF 域内从 ASBR 到本地的链路 Cost”(适合需要精确计算总 Cost 的场景,配置命令:
import-route static cost 1 type 1)。
(六)OSPF 关键角色
| 角色名称 | 定义 | 核心功能 |
|---|---|---|
| 内部路由器(IR) | 所有接口仅属于一个 OSPF 区域的路由器(非 ABR/ASBR) | 维护本区域 LSDB,参与 SPF 计算,转发区域内路由 |
| ABR(区域边界路由器) | 连接≥2 个区域(含 Area 0),有多个 LSDB | 1. 汇总区域内路由(生成 Type 3 LSA);2. 转发区域间路由;3. 为特殊区域发默认路由 |
| ASBR(自治系统边界路由器) | 连接本 AS 与其他 AS,或引入外部路由(如静态、BGP、RIP 路由)到 OSPF | 1. 生成外部 LSA(Type 5/Type 7);2. 实现 OSPF 域与外部网络的路由互通 |
| DR(指定路由器) | 广播 / NBMA 网络中,优先级最高(或 Router-ID 最小)的路由器 | 1. 统一接收和发送 LSA(减少 LSA 洪泛量);2. 维护与所有邻居的 Full 状态 |
| BDR(备份 DR) | 广播 / NBMA 网络中,优先级次高的路由器 | DR 故障时自动接替 DR,避免重新选举导致的断网 |
ABR vs ASBR
- ABR:不跨 AS,仅在本 AS 内的区域间转发路由;
- ASBR:必须跨 AS 或引入外部路由协议(即使在一个区域内,只要引入外部路由协议,就是 ASBR,无需连接 Area 0)。
(七)OSPF 特殊区域
特殊区域的核心是 “禁止特定 LSA,减少路由表规模”,4 类:
| 特殊区域类型 | 核心规则 | 是否生成默认路由 | 适用场景 | 配置命令 |
|---|---|---|---|---|
| 存根区域(Stub) | 1. 禁止 Type 4/5 LSA(外部路由及 ASBR 定位 LSA)进入 2. 允许 Type 1/2/3 LSA;3. 不允许 ASBR 存在 | 是(ABR 发 Type 3 默认路由) | 无外部路由需求的末端区域(如企业分支) | ABR:area 1 stub;区域内路由器:area 1 stub(必须一致,否则邻居无法建立) |
| 完全存根区域(Totally Stub) | 1. 禁止 Type 3/5 LSA 2. 仅允许 Type 1/2 LSA;3. 无 ASBR | 是(ABR 发 Type 3 默认路由) | 仅需默认路由的简单末端区域(如小型分支) | ABR:area 1 stub no-summary;区域内路由器:area 1 stub(仅 ABR 加 no-summary) |
| NSSA 区域(非完全存根区域) | 1. 禁止 Type 5 LSA 2. 允许 Type 1/2/3/7 LSA 3. 允许 ASBR 存在(引入外部路由发 Type 7) | 否(可手动配置 ABR 发默认) | 有外部路由需求,但需隔离 Type 5 的末端区域(如分支需连本地 ISP) | ABR:area 1 nssa;区域内路由器:area 1 nssa |
| 完全 NSSA 区域(Totally NSSA) | 1. 禁止 Type 3/5 LSA 2. 允许 Type 1/2/7 LSA 3. 允许 ASBR 存在 | 是(ABR 发 Type 3 默认路由) | 需默认路由 + 本地外部路由的末端区域 | ABR:area 1 nssa no-summary;区域内路由器:area 1 nssa(仅 ABR 加 no-summary) |
1.关键设置
- 在 OSPF 的特殊区域(比如 Stub 区域)中,区域内所有路由器(包括普通路由器和 ABR)的 “区域类型配置” 必须完全一致,否则会导致 ABR 与未正确配置的路由器 “邻居关系建立失败”(卡在 Init 状态);
- 仅 ABR 能配置
no-summary(完全存根 / 完全 NSSA),区域内路由器无需加该参数(“no-summary” 的作用是 阻止 ABR 向区域内下发汇总路由)。
2.关键总结
- LSA 类型:1 区 1(Type 1 区域内)、2 网 DR(Type 2 DR 发)、3 跨 ABR(Type 3 ABR 跨区域)、5 外 ASBR(Type 5 ASBR 外部)、7 专 NSSA(Type 7 仅 NSSA);
- 特殊区域:Stub 禁 5(Type 5)、完全 Stub 禁 35、NSSA 禁 5 用 7、完全 NSSA 禁 35 用 7;
- DR 选举:广播 NBMA 选、优先级高优先、相同看 Router-ID、选后不更换;
- LSR 核心:LSR 求 LSA,Loading 状态发,LSU 来回应,Ack 来确认。
(八)OSPF 配置与验证
1. 基本配置步骤(骨干 + 普通区域)
# 1. 启用OSPF进程(进程号1~65535,仅本地有效) [Router] ospf 1 router-id 1.1.1.1 # Router-ID建议手动指定(避免自动变化) # 2. 进入区域,配置接口宣告(关键:宣告“直连网段+反掩码”,而非接口IP) [Router-ospf-1] area 0 # 进入骨干区域 [Router-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255 # 宣告直连网段(反掩码255.255.255.0对应0.0.0.255) [Router-ospf-1-area-0.0.0.0] quit [Router-ospf-1] area 1 # 进入普通区域 [Router-ospf-1-area-0.0.0.1] network 192.168.2.0 0.0.0.255
2. 特殊区域配置(以 Stub 为例)
# ABR配置(连接Area 1和Area 0) [ABR-ospf-1] area 1 [ABR-ospf-1-area-0.0.0.1] stub # 若为完全Stub,加no-summary:stub no-summary # 区域1内路由器配置(必须与ABR一致) [Stub-Router-ospf-1] area 1 [Stub-Router-ospf-1-area-0.0.0.1] stub
3. 引入外部路由(ASBR 配置)
# 引入静态路由 # 基础命令 import-route static # 带可选参数 import-route static cost 20 cost-type 1 # 引入直连路由 # 基础命令 import-route direct # 带可选参数 import-route direct cost 15 cost-type 2 # 引入RIP路由 # 基础命令(指定RIP进程号,必选) import-route rip 1 # 带可选参数 import-route rip 2 cost 25 cost-type 1 # 引入BGP路由 # 基础命令 import-route bgp # 带可选参数 import-route bgp cost 30 cost-type 2 # 引入IS-IS路由 # 基础命令(指定IS-IS进程号,必选) import-route isis 1 # 带可选参数 import-route isis 2 cost 18 cost-type 1 # 引入其他OSPF进程的路由 # 基础命令(指定目标OSPF进程号,必选) import-route ospf 200 # 引入OSPF进程200的路由到当前进程 # 带可选参数 import-route ospf 300 cost 22 cost-type 2 # 引入UNR路由(用户网络路由) # 基础命令 import-route unr # 带可选参数 import-route unr cost 12 cost-type 1
4. 核心验证命令
# 1. 查看OSPF邻居状态(正常应为Full) display ospf peer # 重点看“Neighbor ID”“Area”“State”(Full表示邻接关系正常) # 2. 查看LSDB(确认LSA是否完整) display ospf lsdb # 按LSA类型过滤:display ospf lsdb router(Type 1)、display ospf lsdb summary(Type 3) # 3. 查看OSPF路由表(确认路由是否学习到) display ip routing-table protocol ospf # 重点看“Route Flags”(O=区域内,O IA=区域间,O E1/O E2=外部) # 4. 查看DR/BDR(广播/NBMA网络) display ospf interface GigabitEthernet 0/0/0 # 看“DR”“BDR”字段 # 5. 查看LSR请求记录(验证LSDB同步) display ospf lsdb request # 查看当前待请求的LSA列表,若为空则LSDB同步正常
5.场景演示
(1) 核心命令场景
场景 1:引入静态路由,用 ip-match 过滤指定网段
需求:ASBR 导入静态路由(192.168.10.0/24、192.168.20.0/24、192.168.30.0/24),仅保留前两个网段,设为 E1、Cost=5。
配置步骤:
# 步骤1:配置静态路由(外部路由源) [ASBR] ip route-static 192.168.10.0 255.255.255.0 10.0.0.1 [ASBR] ip route-static 192.168.20.0 255.255.255.0 10.0.0.2 [ASBR] ip route-static 192.168.30.0 255.255.255.0 10.0.0.3 # 步骤2:创建Route-policy,用ip-match定义过滤规则(核心) [ASBR] route-policy IMPORT-STATIC permit node 10 # 节点10:允许192.168.10.0/24 [ASBR-route-policy] if-match ip address 192.168.10.0 0.0.0.255 # ip-match:匹配网段(反掩码0.0.0.255) [ASBR-route-policy] apply cost 5 # 设Cost=5 [ASBR-route-policy] apply type 1 # 设为E1类型 [ASBR-route-policy] quit [ASBR] route-policy IMPORT-STATIC permit node 20 # 节点20:允许192.168.20.0/24 [ASBR-route-policy] if-match ip address 192.168.20.0 0.0.0.255 [ASBR-route-policy] apply cost 5 [ASBR-route-policy] apply type 1 [ASBR-route-policy] quit [ASBR] route-policy IMPORT-STATIC deny node 30 # 节点30:拒绝其他路由(如192.168.30.0/24) [ASBR-route-policy] quit # 步骤3:OSPF引入静态路由,调用Route-policy过滤 [ASBR] ospf 1 [ASBR-ospf-1] import-route static route-policy IMPORT-STATIC # 仅导入匹配的路由
场景 2:引入 RIP 路由,用 filter-policy 过滤发布(出口过滤)
需求:ASBR 导入 RIP 路由后,仅向 OSPF 邻居发布 10.1.0.0/24 网段。
配置步骤:
# 步骤1:基础引入RIP路由 [ASBR] ospf 1 [ASBR-ospf-1] import-route rip cost 3 type 2 # 设为E2、Cost=3 # 步骤2:创建ACL,用ip-match定义允许网段 [ASBR] acl number 2000 [ASBR-acl-basic-2000] rule permit source 10.1.0.0 0.0.0.255 # ip-match:允许目标网段 [ASBR-acl-basic-2000] rule deny source any # 拒绝其他 [ASBR-acl-basic-2000] quit # 步骤3:用filter-policy过滤发布的路由 [ASBR-ospf-1] filter-policy 2000 export rip # 发布“导入的RIP路由”时,仅允许ACL匹配网段
场景 3:引入直连路由,用 ip-match 排除回环路由
需求:ASBR 导入直连路由,排除 LoopBack0(127.0.0.1/32),仅保留物理接口直连网段。
配置步骤:
# 步骤1:创建Route-policy,排除回环网段 [ASBR] route-policy IMPORT-DIRECT permit node 10 [ASBR-route-policy] if-match ip address 192.168.0.0 0.0.255.255 # 匹配物理接口网段 [ASBR-route-policy] quit [ASBR] route-policy IMPORT-DIRECT deny node 20 [ASBR-route-policy] if-match ip address 127.0.0.1 0.0.0.0 # ip-match:排除回环路由(反掩码0.0.0.0) [ASBR-route-policy] quit # 步骤2:导入直连路由并过滤 [ASBR] ospf 1 [ASBR-ospf-1] import-route direct route-policy IMPORT-DIRECT
(2)关键命令汇总与验证
| 命令类型 | 核心命令(华为) | 作用说明 |
|---|---|---|
| import(引入) | import-route {static/rip/bgp} [cost X] [type 1/2] [route-policy XXX] | 导入外部路由到 OSPF,可设 Cost、E1/E2,调用 Route-policy 过滤 |
| filter(过滤) | filter-policy {ACL/Route-policy} {import/export} [protocol] | 过滤 OSPF“接收 / 发布” 的路由(import:过滤收到的路由;export:过滤发布的路由) |
| ip-match(匹配) | if-match ip address {网段 反掩码}(Route-policy 中)rule permit source {网段 反掩码}(ACL 中) | 精准匹配 IP 网段,是过滤的核心条件 |
验证命令
# 1. 确认导入的外部路由 display ip routing-table protocol ospf # 查看“O E1/O E2”类型路由 # 2. 确认LSA生成(仅匹配路由生成Type 5 LSA) display ospf lsdb external # 3. 查看Route-policy配置 display route-policy IMPORT-STATIC
(九)OSPF 常见故障与排错
1. 常见错误
(1)未指定 E1 类型:默认导入为 E2,若需累加域内 Cost,需显式配置type 1,否则选路错误。
(2)ip-match 反掩码错误:如 192.168.1.0/24 的反掩码是0.0.0.255,而非255.255.255.0,会导致匹配失败。
(3)Route-policy 节点顺序错误:deny 节点放前会拒绝所有路由,需 “先 permit 匹配,后 deny 其他”。
(4)filter-policy 方向错误:import过滤 “收到的路由”,export过滤 “发布的路由”,方向反则过滤无效。
2. 邻居无法建立
- 接口未宣告进 OSPF(
network命令配置错误,如网段 / 反掩码错); - 邻居双方 “Area 不一致”(如 A 在 Area 0,B 在 Area 1);
- 认证不匹配(一方配 MD5 认证,另一方未配);
- Hello/Dead 时间不匹配(如 NBMA 网络手动改 Hello 为 10s,邻居还是 30s);
- NBMA 网络未手动指定邻居(
ospf neighbor命令缺失)。
3. 路由缺失
- 特殊区域配置错误(如 Stub 区域漏配,导致 Type 3 LSA 无法传递);
- ABR 未连接 Area 0(非骨干区域未连 Area 0,无区域间路由);
- ASBR 未引入外部路由(
import-route命令缺失,无 Type 5 LSA); - LSA 老化(链路故障导致 LSA 过期,未触发更新);
- LSR 请求失败(新增,如邻居未回应 LSR,导致缺失 LSA,需检查邻居是否在线、链路是否通)。
4. 邻居卡在 Loading 状态(LSR 相关故障)
- 原因:发送 LSR 后未收到邻居的 LSU 回应(如链路丢包、邻居 LSDB 中无请求的 LSA);
- 排错步骤:
* 用display ospf lsdb request查看待请求的 LSA;
* 在邻居端用display ospf lsdb确认是否存在该 LSA;
* 检查邻居间链路是否正常(ping 测试),是否有 ACL 过滤 OSPF 报文(如过滤 LSU)。
五、BGP
(一)报文类型
| 报文类型 | 核心作用 | 关键细节 |
|---|---|---|
| OPEN(建立连接报文) | TCP 连接建立后,初始化 BGP 对等体关系 | 1. 为 BGP 对等体建立的 “第一个报文”2. 主要协商参数:AS 号、Router-ID、Hold Time 等 |
| Keepalive(保活报文) | 维持 BGP 邻居关系,确认对等体在线状态 | 1. 默认发送间隔:60 秒 / 次2. 保持时间:180 秒(180 秒未收到则判定邻居丢失,断开连接)3. 报文内容简单,仅用于状态确认 |
| Update(路由更新报文) | 在对等体间交换路由信息 | 1. 双向传递:可发布 “可达路由”,也可撤销 “不可达路由”2. 携带路由属性(如 AS 路径、MED、local-pref 等) |
| Notification(通知报文) | 传递错误信息或触发连接关闭 | 1. 触发场景:检测到对方报文错误(如格式异常)、主动断开连接2. 动作:发送后立即关闭 BGP 连接,告知邻居断开原因 |
(二)连接状态
BGP(边界网关协议)通过 TCP 建立邻居连接,整个过程分为 6 个核心状态,各状态对应不同的连接阶段、核心行为及典型场景,具体如下:
| 状态(State) | 核心阶段 | 核心行为 | 典型场景 / 说明 |
|---|---|---|---|
| Idle(空闲) | 初始阶段 | 1. 监听是否有 “启动 BGP 邻居” 的指令(如手动配置邻居后激活);2. 未尝试发起 TCP 连接。 | 邻居配置刚完成但未激活、或之前连接失败后回到初始状态。 |
| Connect(连接) | TCP 连接发起阶段 | 1. 向邻居的 TCP 179 端口发起连接请求;2. 等待 TCP 三次握手完成;3. 若超时未建立,退回 Idle 或进入 Active。 | 首次建立邻居时,正在尝试与对方建立 TCP 连接(如跨运营商 BGP 邻居初始化)。 |
| Active(活跃) | TCP 连接重试阶段 | 1. TCP 连接请求失败(如超时、端口不可达);2. 主动重试发起 TCP 连接(有重试间隔);3. 若多次失败,可能退回 Idle。 | 邻居 IP 可达但端口 179 未开放、或对方未配置对应邻居,导致连接反复重试。 |
| OpenSent(发送打开报文) | BGP 初始化协商阶段 | 1. TCP 连接已建立;2. 向邻居发送 Open 报文(包含自身 AS 号、Router ID、Hold Time 等核心参数);3. 等待对方的 Open 报文。 | TCP 握手成功后,双方首次交换 BGP 基础配置信息,确认是否 “能协商”。 |
| OpenConfirm(确认打开报文) | BGP 协商确认阶段 | 1. 收到邻居的 Open 报文,验证 AS 号、Router ID 等参数是否匹配;2. 若验证通过,发送 Keepalive 报文(确认协商成功);3. 等待对方的 Keepalive 报文。 | 双方 Open 报文参数一致(如 AS 号匹配、Hold Time 兼容),进入 “确认连接” 环节。 |
| Established(已建立) | 正常交互阶段 | 1. 双方互发 Keepalive 报文(按 Hold Time 周期,默认每 10 秒一次),维持连接;2. 交换 Update 报文(传递路由信息,如网段、下一跳、AS 路径等);3. 若需断连,发送 Notification 报文后退回 Idle。 | BGP 邻居关系正常,可实时同步路由(如运营商之间传递公网路由、企业跨数据中心同步私网路由)。 |
关键补充说明
- 状态流转顺序:正常建立时,状态按 Idle → Connect → OpenSent → OpenConfirm → Established 流转(Active 是异常重试状态,正常情况可跳过);
- 核心报文作用:Open 报文用于 “协商基础参数”,Keepalive 用于 “维持连接”,Update 用于 “传递路由”,Notification 用于 “报告错误并断连”;
- Hold Time 影响:若超过 Hold Time(默认 30 秒)未收到对方 Keepalive/Update 报文,会自动断开连接,退回 Idle 状态。
(三)BGP选路顺序
- 下一跳可达
- 比Pref_Val,高优选;本地 / 邻居传递均为 0,本地私有(仅本路由器有效)
- local-pref 高的路由优,本 AS 内传递
- 优选聚合路由
- AS 路径短的路由优
- 起源属性优先级:IGP (0)>EGP (1)>Incomplete (3)
- MED 值低的路由优(相当于度量值)
- 路由来源优先级:EBGP > 联盟 > IBGP
- 下一跳度量值低的路由优
- Cluster_list 长度短的路由优
- Originator-ID 小的路由优
- Router-id 小的路由器发布的路由优
- 对等体地址小的发布的路由优
(四)协议对比
| 对比维度 | RIP(路由信息协议) | OSPF(开放式最短路径优先) | BGP(边界网关协议) |
|---|---|---|---|
| 协议类型 | 距离矢量协议 | 链路状态协议 | 路径矢量协议 |
| 核心度量值 | 跳数(1 跳 = 1 台路由器,最大 15 跳,16 跳不可达) | Cost(开销,基于链路带宽计算:Cost=10^8 / 带宽 bps) | 无固定核心度量,选路依赖多属性(如 AS 路径长度、local-pref、MED 等) |
| 适用场景 | 小型局域网(如家庭、小型办公室) | 中大型企业网、园区网(需精确选路 + 低收敛) | 自治系统(AS)间(如互联网骨干网、企业跨区域网络互联) |
| 路由更新方式 | 周期性广播(默认 30 秒一次,无条件发送完整路由表) | 触发更新(链路状态变化时才发送,仅传变化部分)+ 周期性(30 分钟)刷新 LSA | 触发更新(路由可达 / 不可达时发送 Update),无周期性全量更新 |
| 拓扑认知 | 仅知道 “到目标网络的距离和下一跳”,无全网拓扑(传闻式路由) | 收集全网所有链路状态信息(LSA),本地构建完整拓扑图(SPF 树) | 仅知道 “目标网络 + 完整 AS 路径”,不构建全网拓扑,依赖 AS 路径判断合法性 |
| 邻居关系 | 仅与直连路由器建立邻居(通过广播UDP 520发现) | 需手动或通过 Hello 报文(224.0.0.5)发现邻居,建立 “邻接关系”(需 DR/BDR 选举),协议号为 89 | 需手动配置邻居 IP,通过 TCP(179 端口)建立对等体关系(分 IBGP/EBGP) |
| 防环机制 | 水平分割、毒性逆转、触发更新 | SPF 算法无环路(基于拓扑图计算最短路径) | AS 路径防环(拒绝 AS 路径包含本地 AS 的路由)、IBGP 分裂 horizon、同步规则 |
| 收敛速度 | 慢(周期性更新 + 最大跳数限制,故障后需等待超时) | 快(触发更新 + SPF 算法快速计算新路径) | 较慢(跨 AS 传递路由,依赖对等体间逐跳更新) |
| 可扩展性 | 差(最大 15 跳,路由表庞大时易占带宽) | 较好(支持区域划分,减少 LSA 扩散范围) | 极好(支持大规模 AS 互联,互联网核心依赖 BGP) |
六、PON
无源光网络(PON,Passive Optical Network)是光纤接入网的主流技术,核心特点是 “中间传输链路无有源设备(如放大器、交换机)”,仅通过 “无源光分路器” 实现光信号的分配与传输,能高效连接 “局端设备” 与 “大量用户端设备”,是家庭宽带(FTTH)、企业接入、5G 基站回传的核心支撑技术。
(一)基础架构与核心组件
- 核心设备
- OLT(光线路终端):局端核心设备,负责汇聚 ONU 数据、动态分配带宽、管理用户接入,支持以太网、TDM 等多业务上联接口。通常集中部署在机房,可按需适当下移至小区接入点,但需控制下移数量。
- ODN(光分配网络):由光缆、光分路器、光纤连接器、交接设备等纯无源器件组成,无有源电子设备,是 OLT 与 ONU 间的光传输通道,占网络建设成本的 55% 以上。
- ONU/ONT(光网络单元 / 终端):用户侧设备,按类型可分为 SFU(单家庭单元)、HGU(带网关功能)、MDU(多用户单元,用于楼道 / 企业)、MTU(多商户单元)等,ONT 直接入户,含 RJ45、POTS 等接口。
- 拓扑与保护
- 主流为点到多点(P2MP) 树型结构,通过光分路器实现 1:N 分光(常见 1:32、1:64,部分支持 1:128)。
- 保护机制:支持光纤保护树型、全保护总线型等冗余方案,对专线、重要用户可采用有保护拓扑。
(二)关键技术原理
- 单纤双向传输
- 基于波分复用(WDM)实现:上行波长 1310nm(TDMA 方式)、下行波长 1490nm(广播方式),1550nm 波长专门承载 CATV 业务。
- 下行数据以广播形式发送,ONU 通过帧头的逻辑链路标识(LLID) 过滤自身数据;上行采用 TDMA,ONU 仅在 OLT 授权的时隙内发送数据,避免冲突。
- 测距与同步
- 初始测距:ONU 首次注册时,OLT 测量光信号往返时间(RTT),下发时间偏移量校准传输延迟;动态测距用于拓扑变化或定期校准,确保时隙精准对齐。
- 动态带宽分配(DBA)
- OLT 根据 ONU 上报的缓存队列长度,实时调整时隙分配,优先保障语音、IPTV 等高优先级业务的 QoS,是提升带宽利用率的核心机制。
(三)主流技术标准对比
| 标准 | 速率(下行 / 上行) | 封装方式 | 分光比 | 核心特点与应用场景 |
|---|---|---|---|---|
| EPON | 1.25Gbps/1.25Gbps | 以太网帧 | 1:32/1:64 | 成本低、适配 IP 业务,国内早期 FTTH 广泛部署,兼容性强。 |
| 10G EPON | 10Gbps/10Gbps(对称);10Gbps/1Gbps(非对称) | 以太网帧 | 1:32/1:64(部分 1:128) | EPON 的 10G 升级版本,沿用以太网封装,兼容原有 EPON 设备,适合 FTTH 带宽升级(如高清视频上传、中小企业接入)。 |
| GPON | 2.5Gbps/1.25Gbps | GEM(通用封装) | 1:32/1:64/1:128 | 支持 TDM、IP 等多业务,带宽利用率高,当前传统多业务场景商用主流。 |
| XG-PON | 10Gbps/2.5Gbps | GEM | 1:64/1:128 | 非对称 10G 速率,GPON 的 10G 升级,传输距离可达 40km,适合对下行带宽需求高的场景。 |
| XGS-PON | 10Gbps/10Gbps | GEM | 1:64/1:128 | 对称 10G 速率,支持更高上行带宽,适配 5G 前传、企业专线、8K 视频,是当前新部署主流。 |
| NG-PON2 | 40Gbps/40Gbps(可扩展至 100Gbps) | TWDM(时分波分) | 1:128+ | 下一代标准,多波长叠加,支持更长距离(60km+),适配工业互联网、超大带宽场景。 |
(四)典型应用场景
- FTTx 全光接入
- FTTH(光纤到户):ONT 直接入户,搭配 1:64/1:128 分光器,提供千兆 / 万兆宽带、IPTV、VoIP 融合业务,10G EPON/XGS-PON 为主要支撑技术。
- FTTB(光纤到楼):ONU 部署于楼道,通过五类线连接用户,降低入户光纤成本,EPON/GPON 仍广泛应用。
- FTTO(光纤到办公室):企业独享光纤,10G EPON/XGS-PON 支持高速数据专线与多业务隔离。
- 5G 前传网络:XGS-PON 为核心选择,替代传统光纤直连,提供低时延(<1ms)、高带宽回传,适配 5G 基站密集部署需求。
- 垂直行业:10G EPON/XGS-PON 支撑工业互联网(低时延同步)、智慧城市(视频监控回传),NG-PON2 适配超远距离(如矿区、油田)场景。
(五)优缺点与设计要点
1. 核心优缺点
| 优点 | 缺点 |
|---|---|
| ODN 无源架构,故障率低、运维成本低(年故障率 < 0.1%)。 | 分光比限制,用户数增加时单用户带宽下降(如 1:64 分光下,10G 带宽单用户平均约 156Mbps)。 |
| 高带宽演进性强,从 1G 到 100G 无缝升级。 | ODN 故障定位复杂,需依赖 OLT 光功率检测或 OTDR 工具。 |
| 抗电磁干扰,适配强电、工业等恶劣环境。 | 初期光纤布线成本高,ODN 占整体建设成本 50%-60%。 |
2. 设计关键规范
- 光缆选用:优先 G.652D 单模光纤(传输距离远),弯曲敏感场景(如家庭布线)选 G.657B 光纤(与 G.652D 模场匹配,可弯曲半径≤5mm)。
- 光分路器:尾纤长度不宜超过 2m,交接箱内采用模块化封装,避免分光器级联超过 2 级(防止光功率衰减过大)。
- 配纤方式:普通用户用 “OLT→光交→分纤箱→用户” 树型递减配纤,重要用户(如企业)用 “OLT→光交→用户” 直配拓扑(减少故障点)。
(六)知识点总结
- 10G EPON 与 XGS-PON 辨析:两者均为 10G 速率,但10G EPON 封装以太网帧(EPON 升级),XGS-PON 封装 GEM(GPON 升级),前者兼容旧 EPON 设备,后者多业务适配性更强。
- 速率参数题:10G EPON 有对称(10G/10G)和非对称(10G/1G)两种,XGS-PON 仅对称 10G/10G,XG-PON 为非对称 10G/2.5G。
- 应用场景匹配:“FTTH 带宽升级且兼容旧 EPON” 选 10G EPON,“5G 前传、企业专线” 选 XGS-PON,“传统多业务(含 TDM)” 选 GPON。
- 波长分配题:所有主流 PON(EPON/10G EPON/GPON/XGS-PON)均遵循 “上行 1310nm、下行 1490nm、CATV 1550nm”,无例外。
七、5G
(一)场景应用
| 核心痛点 | 对应场景 | 支撑技术 | 技术关联逻辑 | 落地案例 |
|---|---|---|---|---|
| 4G 速率不够快 | eMBB | 频段、5GC(SA)、QoS | 1. 用中频 / 高频提速率(高频容量大);2. SA 模式的 5GC 减少转发环节,进一步提速;3. QoS 给 eMBB 业务(如 VR)分配更多带宽 | 运营商在商圈部署高频段,用户用 VR 眼镜玩游戏,速率能到 1Gbps,无卡顿 |
| 4G 时延不够低 | URLLC | MEC、网络切片、5GC(SA) | 1. MEC 把计算放边缘(如基站旁),时延从 4G 的 100ms 降到 10ms 内;2. 切片给 URLLC 业务(如自动驾驶)独占资源,不被干扰;3. SA 模式的 5GC 简化路由,时延更低 | 某车企在高速路部署 MEC,自动驾驶车的传感器数据在 MEC 处理,决策时延<5ms,避免事故 |
| 4G 连接不够多 | mMTC | 频段(低频)、5GC、QoS | 1. 低频覆盖广,一个基站能连更多设备(如智能电表);2. 5GC 支持海量连接调度;3. QoS 给 mMTC 业务分配低功耗资源(设备续航久) | 某城市用低频段部署 5G,一个基站连接 5000 个智能电表,电表每小时传一次数据,续航能到 5 年 |
| 业务抢资源 | 所有场景 | 网络切片、QoS/5QI | 1. 切片把物理网分成多个逻辑网(eMBB/URLLC/mMTC 各用一个);2. 5QI 给不同业务定优先级,避免高优先级业务被挤占 | 某医院的 5G 网络:手术机器人用 URLLC 切片 + 5QI=1,医护刷视频用 eMBB 切片 + 5QI=9,两者互不干扰 |
| 部署成本 / 周期 | 运营商落地 | NSA vs SA、云化 / 虚拟化 | 1. 初期用 NSA(复用 4G 基站,快且便宜);2. 后期切 SA(功能全,满足 URLLC);3. 云化 / 虚拟化(NFV)让核心网不用装物理设备,部署快 | 2020-2022 年国内先推 NSA,2023 年起全面转 SA,现在新基站基本都是 SA 模式 |
(二)核心知识点
| 序号 | 概念 | 核心内容 | 内容解析 |
|---|---|---|---|
| 1 | 三大应用场景 eMBB / URLLC / mMTC | 区分三种场景特点(带宽、时延、连接数)和应用 | eMBB(增强移动宽带):高速率、大带宽,用于高清视频、VR/AR; URLLC(超可靠低时延通信):低时延、高可靠,应用于自动驾驶、远程手术; mMTC(大规模物联网通信):大量连接、低功耗,适合智能电表、传感器网络。 |
| 2 | 网络切片 | 切片作用:差异化服务,保障不同业务 QoS;基础技术 SDN/NFV | 网络切片可将物理网络虚拟为多个逻辑网络,为 eMBB、URLLC、mMTC 等业务提供差异化 QoS,基础技术依赖 SDN 和 NFV。 |
| 3 | 频段 | 不同频段用途和特性,C-band 主流,高频局限 | 低频覆盖广、速率低,适合大范围用户; 中频覆盖与容量平衡,是主流 5G 频段; 高频容量大、速率高、覆盖差,适合热点区域,毫米波典型应用。 |
| 4 | 前传 / 中传 / 回传 | 不同链路功能、技术选择、低时延要求 | 前传负责射频单元与基带单元通信,要求低时延; 中传负责基带单元与聚合节点,提供大带宽; 回传负责基站与核心网,承载用户业务流量。 |
| 5 | 核心网 5GC | SA 依赖 5GC,NSA 不依赖;支持切片、MEC、低时延 | 5GC 是独立 5G 核心网,采用服务化架构,支持网络切片和 MEC,实现低时延业务; NSA 依赖 4G EPC,只承载数据,功能有限。 |
| 6 | 部署模式 NSA vs SA | 区分两者特性、优缺点 | NSA 依赖 4G EPC,部署快,但不支持切片和低时延; SA 独立 5GC,功能完整,可支持切片、MEC 等,是 5G 最终部署目标。 |
| 7 | MEC(移动边缘计算) | URLLC 低时延关键技术;应用场景 | MEC 将计算下沉至接入网,降低时延,减轻核心网压力,关键应用场景包括自动驾驶和视频分析。 |
| 8 | QoS / 5QI | 5QI 映射业务优先级;区分不同业务 | 5QI 用于标识业务优先级,例如语音流量优先,视频普通优先,不同业务根据场景映射到不同 5QI。 |
| 9 | 安全机制 | 用户认证、隐私保护、切片隔离 | 5G 增强了用户隐私和网络安全,使用临时 ID 替代 IMSI 并对网络切片进行隔离,以防业务互相干扰。 |
| 10 | 云化 / 虚拟化 | 核心网基于 NFV / SDN / 云原生,支撑切片和 MEC | 核心网基于 NFV/SDN/云原生架构,实现资源灵活调度,支撑网络切片和 MEC,快速上线不同业务。 |
(三)问题解析
1.简述 5G 网络切片的原理及应用场景。
答案:
- 原理:通过 SDN/NFV 将物理网络划分为多个虚拟逻辑网络,每个切片独立配置资源(带宽、时延、安全性)。
- 应用场景:
- eMBB 切片:高清视频、VR/AR(高带宽);
- URLLC 切片:自动驾驶、工业控制(低时延);
- mMTC 切片:智能电表、物联网(海量连接)。
2.对比 5G 独立组网(SA)与非独立组网(NSA)的核心差异。
答案:
| 维度 | SA 模式 | NSA 模式 |
|---|---|---|
| 核心网 | 独立 5GC(支持切片、MEC) | 依赖 4G EPC(仅数据面增强) |
| 时延 | <1ms(支持 URLLC) | 10-20ms(受限于 4G 核心网) |
| 部署成本 | 高(需新建 5GC) | 低(复用 4G 基站) |
| 功能完整性 | 支持 5G 全部特性 | 仅支持 eMBB,无法实现切片 |
3.解释 Massive MIMO 技术在 5G 中的作用。
答案:
- 提升频谱效率:通过 64/128 天线阵列,实现空间复用(同时传输多数据流);
- 增强覆盖:波束赋形技术将信号能量集中指向用户,减少干扰;
- 支持高频段:在毫米波场景中,Massive MIMO 弥补覆盖不足。
4.某车企计划部署自动驾驶系统,需满足车路协同(V2X)的 10ms 内决策时延要求。
(1)应选择哪种 5G 技术方案?说明理由。
(2)如何保障数据传输的可靠性?
答案:
(1)技术方案:SA 模式 + MEC+URLLC 切片。
- SA 模式提供独立 5GC,支持低时延(<1ms);
- MEC 将计算下沉至路边单元(RSU),减少数据回传时延;
- URLLC 切片分配独占资源,避免被其他业务干扰。
(2)可靠性保障:
- 采用 5G NR 的 HARQ 重传机制,确保数据不丢失;
- 切片隔离技术(如网络切片实例 ID)防止资源抢占;
- 端到端加密(AES-256)和数字签名,防篡改和窃听。
5.某运营商在市中心部署 5G 网络,需同时满足以下需求:
- 商场高密度用户的高清视频(eMBB);
- 医院远程手术的低时延(URLLC);
- 智能路灯的海量连接(mMTC)。
(1)如何通过网络切片实现差异化服务?
(2)频谱资源如何分配?
答案:
(1)切片设计:
- eMBB 切片:分配中频段(3.5GHz)大带宽(100MHz),QoS 优先级中等;
- URLLC 切片:分配高频段(28GHz)小带宽(20MHz),QoS 优先级最高(5QI=1);
- mMTC 切片:分配低频段(700MHz)窄带(1.4MHz),QoS 优先级最低(5QI=20)。
(2)频谱分配逻辑:
- 高频段(毫米波)容量大但覆盖差,适合商场热点区域;
- 中频段平衡覆盖与容量,满足日常 eMBB 需求;
- 低频段覆盖广,支持 mMTC 设备长续航。
八、WIFI
| 标准 | 频段 | 最大速率 | 调制方式 | 信道带宽 | MIMO 支持 | 关键技术 | 典型应用场景 | 向后兼容 |
|---|---|---|---|---|---|---|---|---|
| 802.11 | 2.4GHz | 2Mbps | DSSS(直接序列扩频)、FHSS(跳频扩频) | 20MHz | 无 | 首次定义无线局域网(WLAN)的 MAC 层与 PHY 层规范,为后续 Wi-Fi 技术奠基 | 早期低速无线数据传输(如简单文件共享、基础网络连接) | 无(后续标准技术迭代显著,无直接设备兼容性) |
| 802.11a | 5GHz | 54Mbps | OFDM、64-QAM | 20MHz | 无 | 首次引入 OFDM 技术,避开 2.4GHz 频段干扰,提升抗干扰能力 | 早期企业级无线局域网(对干扰敏感的场景) | 不兼容 |
| 802.11b | 2.4GHz | 11Mbps | DSSS、CCK | 20MHz | 无 | 以低成本、易普及的方式推动无线接入市场化 | 家庭、小型办公场景的基础无线覆盖 | 不兼容 |
| 802.11g | 2.4GHz | 54Mbps | OFDM、DSSS | 20MHz | 无 | 将 OFDM 技术引入 2.4GHz 频段,同时兼容 802.11b 设备,实现 “过渡式升级” | 家庭、企业从 802.11b 向高速无线的过渡场景 | 兼容 802.11b |
| 802.11n | 2.4GHz/5GHz | 600Mbps | OFDM、256-QAM | 20/40MHz | 4×4 SISO/MIMO | 引入 MIMO(多天线)、信道绑定技术,大幅提升速率与抗干扰能力 | 高清视频流、多设备并发连接(如家庭娱乐中心、中小企业网络) | 兼容 802.11a/b/g |
| 802.11ac | 5GHz | 3.5Gbps | OFDM、256-QAM | 20/40/80/160MHz | 8×8 MU-MIMO | 更高阶调制、更宽信道、多用户 MIMO(MU-MIMO),支持多设备 “并行高速传输” | 企业级高密度场景(如办公楼、商场)、4K 视频传输 | 兼容 802.11n |
| 802.11ax(Wi-Fi 6) | 2.4GHz/5GHz | 9.6Gbps | OFDM、1024-QAM | 20/40/80/160MHz | 8×8 MU-MIMO | OFDMA(多用户频分复用)、Target Wake Time(节能)、更高效能设计 | 智能家居(多设备并发)、VR/AR、大型公共场所( stadium、机场)高密度接入 | 兼容 802.11n/ac |
| 802.11ax(Wi-Fi 6E) | 2.4GHz/5GHz/6GHz | 9.6Gbps | OFDM、1024-QAM | 20/40/80/160MHz | 8×8 MU-MIMO | 新增6GHz 频段,减少干扰并提供更宽频谱资源 | 企业级高性能需求(如创意工作室、数据中心旁接入)、8K 视频传输 | 兼容 Wi-Fi 6(802.11ax) |
| 802.11be(Wi-Fi 7) | 2.4GHz/5GHz/6GHz | 46Gbps | OFDM、4096-QAM | 20/40/80/160/320MHz | 16×16 MU-MIMO | 多链路聚合(MLO)、320MHz 超宽信道、CMU-MIMO(多 AP 协同)、动态资源智能分配 | 工业物联网(低延迟高可靠)、元宇宙、实时 8K/16K 视频流、毫秒级延迟 VR/AR 应用 | 兼容 Wi-Fi 6/6E |
(一)Wi-Fi 6(802.11ax)
- 标准核心参数
- 发布时间:2018 年
- 工作频段:2.4GHz/5GHz(Wi-Fi 6E 新增 6GHz 频段,2020 年发布)
- 最大理论速率:9.6Gbps(8×8 MIMO+1024-QAM+160MHz 信道)
- 调制方式:1024-QAM(每个符号承载 10bit,比 Wi-Fi 5 的 256-QAM 速率提升 20%)
- 关键技术
- OFDMA(正交频分多址):将信道划分为多个子信道,支持多用户并行传输(如同时给 8 个设备分配子信道),提升密集场景下的并发能力(如商场、机场)。
- Target Wake Time(TWT):设备可协商 “休眠 – 唤醒” 周期,减少空口侦听功耗(如手机待机时间延长 30%)。
- BSS Coloring(基本服务集着色):通过 “颜色标签” 区分相邻 AP 的信号,减少同频干扰(如办公楼内多 AP 部署时的干扰降低 50%)。
- 8×8 MU-MIMO:支持 8 条空间流,单 AP 可同时服务更多设备(如 Wi-Fi 5 仅支持 4×4 MIMO)。
- 应用场景与优势
- 高密度接入:支持每 AP 100 + 设备并发(如演唱会、大型会议室)。
- 低延迟场景:VR/AR、在线游戏(延迟降低至 10ms 以内)。
- 智能家居:多设备协同(如同时控制 50 + 智能家电)。
- 兼容性与安全
- 向下兼容:支持 802.11n/ac 设备,但仅 Wi-Fi 6 设备可触发 OFDMA/TWT 等新特性。
- 安全协议:强制 WPA3,采用 SAE(安全平等认证)和 GCMP-256 加密,破解难度提升 10 倍。
(二)Wi-Fi 7(802.11be)
- 标准核心参数
- 发布时间:2024 年正式商用
- 工作频段:2.4GHz/5GHz/6GHz(三频段同时工作)
- 最大理论速率:46Gbps(16×16 MIMO+4096-QAM+320MHz 信道)
- 调制方式:4096-QAM(每个符号承载 12bit,比 Wi-Fi 6 的 1024-QAM 速率再提升 20%)。
- 关键技术
- 320MHz 超宽信道:单信道带宽翻倍(从 160MHz→320MHz),理论速率提升 100%(需 6GHz 频段支持,国内暂开放 240MHz)。
- 多链路聚合(MLO):设备可同时绑定 2.4GHz/5GHz/6GHz 多个频段传输数据(如同时用 5GHz 传视频、6GHz 传文件),速率叠加且抗干扰能力增强。
- 16×16 MU-MIMO:支持 16 条空间流,单 AP 可服务200 + 设备并发(如工业园区、体育场)。
- CMU-MIMO(多 AP 协同):相邻 AP 通过统一调度协同传输,消除边缘干扰(如机场 T1-T3 航站楼间的无缝漫游)。
- 应用场景与突破
- 工业级需求:1ms 级低延迟(适配智能制造、远程手术)。
- 元宇宙与 8K/16K:单设备可同时传输 8K 视频流 + VR 数据(速率需 30Gbps 以上)。
- 全球覆盖差异:6GHz 频段在欧美已全面开放,中国暂通过 “双 5GHz 聚合” 实现 240MHz 带宽(速率可达 5.8Gbps)。
- 兼容性与安全
- 向下兼容:支持 Wi-Fi 6/6E 设备,但仅 Wi-Fi 7 设备可使用 320MHz 信道和 MLO。
- 安全协议:强制 WPA3+,新增 “量子安全加密”(抵御未来量子计算破解风险)。
九、Internet QoS
(一)尽力而为服务(Best-Effort)
1. 核心原理
Best-Effort 是 Internet 最基础的服务模型,无 QoS 保障的默认方式,本质是 “不做任何 QoS 承诺”:
- 网络对所有数据包 “一视同仁”,不区分业务类型、优先级,按 “先到先传” 的原则转发;
- 若网络拥塞,直接丢弃无法转发的数据包,不做缓存、重传或优先级调度;
- 不保障带宽(可能因拥塞降速)、不控制延迟(可能波动)、不承诺丢包率(拥塞时丢包率升高)。
2. 关键特点
- 优点:实现简单,无需额外协议或资源开销,适合网络资源充足、对服务质量无严格要求的场景;
- 缺点:无任何 QoS 保障,实时业务(如语音、视频)在拥塞时会出现卡顿、杂音。
3. 典型应用场景
- 普通数据传输:网页浏览、文件下载(HTTP/FTP)、电子邮件(SMTP/POP3);
- 非实时交互:社交媒体消息(微信、QQ 文字消息)、论坛发帖等。
(二)综合服务(IntServ)
1. 核心原理
IntServ 是 “基于端到端资源预留” 的 QoS 机制,核心逻辑是:业务发起前,先向网络申请所需资源(带宽、缓存、转发优先级),网络节点(路由器)确认资源充足后,预留资源并承诺服务质量,再传输数据。
整个过程依赖两大核心技术:
- RSVP 协议(资源预留协议):终端(如 VoIP 电话)通过 RSVP 向网络发送 “资源预留请求”,路径上的每个路由器都需响应请求(同意 / 拒绝),形成 “端到端的资源预留路径”;
- 业务分类与调度:路由器对已预留资源的业务(如 VoIP)采用 “优先级调度”(如 WFQ,加权公平队列),优先转发,保障延迟和丢包率。
2. 关键特点
- 优点:
- 端到端确定性保障:从源端到目的端全程预留资源,能精准控制延迟(如 VoIP 延迟 < 150ms)、抖动(<50ms)和丢包率(<1%);
- 支持细粒度业务:可针对单个流(如某一路 VoIP 通话)定制 QoS 参数。
- 缺点:
- 扩展性差:每个业务流都需路由器维护预留状态,大规模网络(如 Internet 骨干网)中,路由器需处理数百万条流,资源消耗过高;
- 依赖全路径支持:路径上任何一个路由器不支持 RSVP,预留就会失败,难以在异构网络中普及。
3. 典型应用场景
- 小规模专用网络:企业内网的视频会议、IP 电话(如 Cisco IP Phone 系统);
- 实时性极高的业务:远程手术控制信号、工业自动化指令传输(延迟要求 < 10ms)。
(三)区分服务(DiffServ)
1. 核心原理
DiffServ 是 “基于业务分类 + 逐跳转发” 的 QoS 机制,核心逻辑是:不做端到端资源预留,而是将业务按 QoS 需求分类,用 “标记” 标注优先级,网络节点(路由器)按标记的优先级逐跳调度转发,实现 “区分式服务”。
关键技术细节:
- DSCP 标记(区分服务代码点):在 IP 数据包头部的 “服务类型(TOS)字段” 中,用 6 位二进制表示 DSCP 值(共 64 种优先级),标记业务类型(如:DSCP=EF 对应 “加速转发”,用于 VoIP;DSCP=AF 对应 “确保转发”,用于视频流);
- 逐跳行为(PHB):每个路由器提前配置 “DSCP 值与转发策略的映射关系”(如:EF 类数据包优先调度,AF 类数据包保障最小带宽,BE 类(Best-Effort)最后转发),收到数据包后,按 DSCP 标记执行对应策略,无需维护端到端状态。
2. 关键特点
- 优点:
- 扩展性极强:路由器仅需按 DSCP 标记调度,无需维护单个流的状态,适合大规模网络(如 Internet 骨干网、运营商网络);
- 灵活适配业务:64 种 DSCP 优先级可覆盖不同 QoS 需求(从实时业务到普通数据);
- 部署成本低:无需全路径统一协议,只需核心路由器支持 DSCP 调度即可。
- 缺点:
- 无绝对确定性保障:仅能 “区分优先级”,无法像 IntServ 那样精准预留资源,极端拥塞时高优先级业务仍可能受影响;
- 依赖分类准确性:若业务分类错误(如普通数据标记为 EF),会导致 QoS 策略失效。
3. 典型应用场景
- 大规模公共网络:Internet 骨干网、运营商 5G 核心网(保障 VoLTE、直播流的 QoS);
- 多业务企业网:企业同时传输 IP 电话(EF)、视频会议(AF)、普通文件(BE),通过 DSCP 实现优先级调度;
- 云网络:云服务商(阿里云、AWS)为不同客户提供 “QoS 等级服务”(如企业客户享 AF 级,个人客户享 BE 级)。
(四)三种方式核心差异对比
| 对比维度 | 尽力而为服务(Best-Effort) | 综合服务(IntServ) | 区分服务(DiffServ) |
|---|---|---|---|
| QoS 保障能力 | 无 | 端到端确定性保障 | 区分优先级,无绝对保障 |
| 核心技术 | 无(先到先传) | RSVP 协议 + 资源预留 | DSCP 标记 + 逐跳调度(PHB) |
| 扩展性 | 极强(无额外开销) | 差(需维护流状态) | 极强(仅按标记调度) |
| 资源开销 | 极低 | 高(路由器需存储预留信息) | 低(仅需配置 DSCP 映射) |
| 适用网络规模 | 不限(默认) | 小规模网络(企业内网、专网) | 大规模网络(Internet、运营商网) |
| 典型业务 | 网页、文件下载 | VoIP、远程手术控制 | VoLTE、直播、企业专线 |
(五)总结
- 若业务对 QoS 无要求(如普通上网):Best-Effort(默认,无需配置);
- 若需小规模、高确定性 QoS(如企业内网视频会议):IntServ(依赖 RSVP,端到端预留);
- 若需大规模、灵活区分 QoS(如运营商保障多业务):DiffServ(基于 DSCP,逐跳调度)—— 这也是当前 Internet 实现 QoS 的主流方式。
十、IPSec
(一)协议核心框架
- 全称与功能
- 全称:Internet Protocol Security,网络层加密协议,提供机密性、完整性、数据源认证、防重放攻击。
- 应用场景:VPN、企业分支互联、远程办公安全接入。
- 三大核心协议
- AH(认证头):协议号51,提供认证 / 防重放,不加密。
- ESP(封装安全载荷):协议号50,提供加密(AES 等)+ 认证,为主流选择。
- IKE(互联网密钥交换):UDP 500(默认)、UDP 4500(NAT 穿越),负责协商 SA 和密钥。
(二)安全关联(SA)
- SA 三元组:SPI + 目标 IP + 协议(AH/ESP),唯一标识安全通道。
- 生存周期:
- 时间:默认 3600 秒;流量:默认 1843200KB。
- 软超时(提前协商新 SA)、硬超时(强制失效)。
(三)工作模式
| 模式 | 传输模式(主机到主机) | 隧道模式(网关到网关) |
|---|---|---|
| 封装范围 | 仅加密 IP 负载,保留原始 IP 头 | 加密整个原始 IP 包,添加新 IP 头 |
| 安全性 | 低(IP 头暴露) | 高(隐藏内部拓扑) |
| NAT 兼容性 | AH 冲突,ESP 需 NAT-T | 需启用 NAT-T(UDP 4500) |
(四)密钥管理与认证
- IKE 认证方式:预共享密钥(小型网络,密钥≤64 字节);数字证书(大型网络,需 CA)。
- DH 组:组号越大越安全(如 DH14=2048 位)。
(五)IPSec 配置步骤
1.配置流程总逻辑
IPSec VPN 配置需遵循 “先搭基础网络→再定义保护对象→协商安全参数→最后绑定策略并生效” 的顺序,确保每一步依赖关系明确。
2.分步骤配置
步骤 1:配置基础网络(接口 IP + 路由)
- 目的:让两端网关(总部、分支)能基于公网 / 私网 IP 互通,为后续 IPSec 通信铺路。
- 命令示例:
# 总部网关配置(假设公网接口为G0/0/1) interface GigabitEthernet0/0/1 ip address 10.0.0.1 255.255.255.0 # 配置公网IP # 分支网关配置(假设公网接口为G0/0/1) interface GigabitEthernet0/0/1 ip address 10.0.0.2 255.255.255.0 # 配置公网IP # 配置静态路由(若动态路由如OSPF已部署,可跳过静态路由) # 总部→分支路由 ip route-static 192.168.2.0 255.255.255.0 10.0.0.2 # 分支→总部路由 ip route-static 192.168.1.0 255.255.255.0 10.0.0.1
步骤 2:配置 ACL(定义 “需要加密的流量”)
- 目的:ACL(访问控制列表)的作用是精确界定 “哪些源 IP→目的 IP 的流量需要被 IPSec 加密”—— 只有匹配 ACL 规则的流量,才会触发后续的加密流程,避免无差别加密(节省设备资源,也避免非业务流量被错误加密)。
- 命令示例(总部侧,分支侧需镜像配置,源 / 目互换):
# 总部侧:创建编号为3000的高级ACL(匹配IP层流量) acl number 3000 # 规则:允许 源地址192.168.1.0/24 → 目的地址192.168.2.0/24 的IP流量通过(这些流量会被IPSec加密) rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 # 分支侧:创建编号为3000的高级ACL(与总部ACL编号可一致,也可不同,只要逻辑对应即可) acl number 3000 # 规则:允许 源地址192.168.2.0/24 → 目的地址192.168.1.0/24 的IP流量通过(这些流量会被IPSec加密) rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
步骤 3:配置 IKE 安全提议(定义 IKE 协商的 “算法规则”)
- 目的:约定 IKE 阶段 1(协商安全通道)时的加密、认证算法,确保两端 IKE 协商参数一致。
- 命令示例:
ike proposal 10 encryption-algorithm aes-256 # 加密算法:AES-256 authentication-algorithm sha256 # 认证算法:SHA256 dh group14 # DH密钥交换组(影响密钥强度,group14为2048位) # 注:分支侧需配置完全相同的ike proposal 10
步骤 4:配置 IKE 对等体(定义 IKE 协商的 “身份与关联参数”)
- 目的:关联 IKE 安全提议,配置认证方式(预共享密钥 / 证书)、对端 IP、NAT 穿越等,完成 IKE 阶段 1 的 “身份与参数绑定”。
- 命令示例(总部侧,分支侧需修改
remote-address为总部公网 IP):
ike peer branch proposal 10 # 关联步骤3的IKE提议 pre-shared-key cipher IPSec@Key # 预共享密钥(两端必须一致) remote-address 10.0.0.2 # 对端(分支)公网IP nat traversal enable # 使能NAT穿越(若网络有NAT设备,必须配置)
步骤 5:配置 IPSec 安全提议(定义 IPSec 数据加密的 “算法规则”)
- 目的:约定 IPSec 阶段 2(实际数据加密)时的协议(ESP/AH)、加密 / 认证算法,确保两端数据加密参数一致。
- 命令示例:
ipsec proposal prop1 transform esp # 选择ESP协议(兼顾加密+认证,最常用) esp encryption-algorithm aes-256 # ESP加密算法 esp authentication-algorithm sha256 # ESP认证算法 # 注:分支侧需配置完全相同的ipsec proposal prop1
步骤 6:配置 IPSec 策略(绑定 “流量 + IKE 协商 + 数据加密” 的关联关系)
- 目的:将 ACL(保护流量)、IKE 对等体(协商参数)、IPSec 安全提议(加密规则)绑定,形成 “完整的 IPSec 策略”,供接口调用。
- 命令示例(总部侧,分支侧需镜像配置,ACL 源 / 目互换):
ipsec policy ipsec_policy 10 isakmp # 策略名ipsec_policy,序号10,采用IKE动态协商 security acl 3000 # 关联步骤2的ACL(保护流量) ike-peer branch # 关联步骤4的IKE对等体 proposal prop1 # 关联步骤5的IPSec提议
步骤 7:在接口调用 IPSec 策略(让配置 “生效到实际接口”)
- 目的:将 IPSec 策略应用到公网接口,使流经该接口的匹配流量自动触发 IPSec 加密。
- 命令示例(总部侧,分支侧需在自身公网接口调用):
interface GigabitEthernet0/0/1 # 总部公网接口 ipsec policy ipsec_policy # 应用步骤6的IPSec策略
3.验证与核心逻辑总结
- 核心逻辑链:基础网络互通 → 定义需加密流量 → 协商 IKE 安全通道 → 协商 IPSec 数据加密 → 绑定策略到接口 → 流量自动加密。
- 验证命令:可通过
display ipsec sa查看 IPSec 安全关联是否建立,display ike sa查看 IKE 安全关联是否正常,若存在established状态则表示配置成功。
(六)故障排查要点
- IKE 协商失败:端口封禁(UDP 500/4500)、预共享密钥不匹配、DH 组 / IKE 版本不一致、路由不通。
- 流量未加密:ACL 网段 / 掩码错误、IPSec 策略未绑定接口、NAT 未豁免 IPSec 流量(需配置
nat exemption)。
(七)核心总结
- 协议号:AH(51)、ESP(50);IKE 端口:UDP 500/4500。
- SA 三元组:SPI + 目标 IP + 协议。
- 配置核心:ACL 定义流量→IKE 对等体关联参数→接口调用策略。
- NAT 穿越:依赖 UDP 4500,需启用 NAT-T。
(八)对比MPLS
1.MPLS和IPSec总体对比
| 对比维度 | MPLS | IPsec |
|---|---|---|
| 1. 技术定位 | 运营商级 “2.5 层标签转发技术”,依托运营商骨干网,实现 “标签通道(LSP)” 转发 | 端到端 “三层加密协议”,基于公网(如互联网)建立 “加密隧道”,无需依赖特定运营商 |
| 2. 转发效率 | ✅ 高:- 用 20bit 标签查表,替代 IP 地址逐跳路由;- 无加密 / 解密开销,支持大带宽(10Gbps+) | ❌ 较低:- 需对数据包进行加密(如 AES)、认证(如 SHA),消耗 CPU 资源;- 带宽受限(通常≤1Gbps),高并发下易卡顿 |
| 3. 安全性 | ❌ 弱(依赖 “隔离” 而非 “加密”):- 靠标签隔离不同用户流量,数据在传输中不加密;- 仅防误转发,无法防监听、篡改(需额外加 IPsec 才能加密) | ✅ 强(原生加密认证):- 自带数据加密(确保数据不被窃听)、完整性校验(防篡改)、身份认证(防伪装);- 符合金融、政府等 “高安全需求” 场景 |
| 4. 部署与维护 | ✅ 企业侧简单,运营商侧复杂:- 企业仅需部署 CE 设备(连接运营商 PE),骨干网由运营商维护;- 无需配置加密策略、隧道参数,运维成本低 | ❌ 企业侧复杂,无运营商依赖:- 需企业自建两端设备(如防火墙、VPN 网关),手动配置隧道、加密算法、密钥;- 分支增多时(如>50 个),隧道管理难度剧增 |
| 5. 成本 | ❌ 高(按带宽付费):- 需向运营商购买 MPLS 专线(如 SD-WAN+MPLS),月租 / 年租费用高;- 带宽越大,成本越高 | ✅ 低(依托公网):- 基于现有互联网 / 宽带,无需额外付专线费;- 仅需采购 VPN 设备,长期成本低 |
| 6. 业务支持 | ✅ 多业务融合(适合复杂场景):- 支持 VPN、语音(VoIP)、视频会议、大文件传输;- 标签可携带 QoS 优先级,保障实时业务(如语音不卡顿) | ❌ 单一 VPN 业务(适合简单场景):- 主要用于 “数据传输”,不支持 QoS(实时业务易受公网波动影响);- 无法承载高带宽、低时延业务(如高清视频) |
| 7. 扩展性 | ✅ 强(支持大规模分支):- 运营商骨干网可轻松接入上千个分支,PE 设备自动同步路由(靠 RD/RT 控制);- 新增分支时,仅需运营商配置 PE,企业侧无操作 | ❌ 弱(小规模分支适用):- 分支>50 个时,需建立 “全互联隧道”(N×(N-1)/2 条),配置和维护量爆炸;- 公网带宽波动大,分支越多,稳定性越差 |
2.MPLS和IPSec应用场景
| 场景需求 | 首选技术 | 理由 |
|---|---|---|
| 跨国企业,100 + 分支,需承载语音 + 视频 + 数据 | MPLS | 支持大规模分支,QoS 保障实时业务,运维简单 |
| 中小公司,5 个分支,预算有限,需传输敏感数据 | IPsec | 成本低,原生加密防窃听,小规模部署易维护 |
| 金融机构,需合规(如等保三级),跨地域传交易数据 | IPsec+MPLS | MPLS 保障带宽,IPsec 补充加密,兼顾效率与安全 |
| 偏远地区分支,无 MPLS 专线覆盖,仅能接互联网 | IPsec | 依托公网部署,无需依赖运营商专线 |
2.MPLS和IPSec关键总结
- 本质差异:MPLS 是 “运营商给的专用通道”,IPsec 是 “企业自己建的加密隧道”;
- 效率与安全的权衡:MPLS 赢在 “速度快、易维护”,IPsec 赢在 “安全性高、成本低”;
- 场景对立:MPLS 适合 “大企业、高带宽、多业务、低运维”,IPsec 适合 “中小企业、低预算、高安全、少分支”;
- “MPLS 比 IPsec 安全” 是错误的:MPLS 仅隔离流量,不加密;IPsec 才是加密技术,安全性更强;
- “IPsec 适合大带宽业务” 是错误的:IPsec 的加密开销会限制带宽,大带宽场景(如 10Gbps 文件传输)必须用 MPLS;
- “MPLS 需要企业维护骨干网” 是错误的:MPLS 骨干网由运营商维护,企业仅需管自己的 CE 设备。
十一、大二层
大二层网络的核心是突破传统二层网络的限制(如 VLAN 数量、STP 环路瓶颈),实现大规模、无环、灵活的二层互联,是数据中心、园区网虚拟化场景的核心技术具体如下:
(一)核心定义与诞生背景
- 定义:通过 TRILL/VXLAN/SPB 技术,将多个物理二层网络整合为 “单逻辑二层域”,支持终端跨位置迁移且 IP 不变的架构。
- 诞生原因(传统二层 3 大痛点):
- VLAN 仅 4094 个,无法满足多租户;
- STP 阻塞冗余链路(带宽利用率≤30%),收敛慢(秒级);
- 无法跨三层路由扩展,异地二层互联难。
(二)基础概念
1. VTEP:VXLAN 隧道的 “出入口设备”
VTEP(VXLAN Tunnel Endpoint)是部署在 VXLAN 网络边缘的物理 / 虚拟设备(如路由器、交换机、服务器虚拟化的 vSwitch),核心功能是 “处理二层帧与 VXLAN 隧道包的转换”,相当于 VXLAN 隧道的 “大门”:
- 封装:当本地二层设备(如服务器、交换机)发送二层帧到 VTEP 时,VTEP 会给二层帧加上 “VXLAN 头部”(包含 VNI——VXLAN 网络标识,用于区分不同二层网络)和 “IP/UDP 头部”(用于跨三层网络传输),形成 “VXLAN 隧道包”,通过公网 / 骨干网发送到对端 VTEP;
- 解封装:当 VTEP 收到对端发来的 VXLAN 隧道包时,会剥离外层的 IP/UDP 头部和 VXLAN 头部,还原出原始的二层帧,再转发到本地的二层设备;
- 核心依赖:VTEP 需要知道 “某个目的 MAC 地址对应的对端 VTEP IP”(即 MAC→IP 映射关系),否则无法封装隧道包 —— 而这个映射关系,正是由 EVPN 提供的。
2. EVPN:VXLAN 的 “控制平面大脑”
EVPN(Ethernet Virtual Private Network)是基于 BGP 协议扩展的控制平面协议(RFC 7432 定义),核心功能是 “跨地域同步二层网络信息”,解决 VTEP 的 “地址映射获取” 和 “网络拓扑管理” 问题:
- 同步 MAC→IP 映射:当本地 VTEP 学习到本地服务器的 MAC 地址后,会通过 EVPN 协议(BGP EVPN 地址族)将 “MAC 地址 + 本地 VTEP IP+VNI” 等信息,同步给其他地域的 VTEP;这样所有 VTEP 都能知道 “某个 MAC 地址属于哪个 VTEP 管理”,无需像传统 VXLAN 那样靠 “泛洪” 学习地址(泛洪会浪费带宽,且不适合大规模网络);
- 管理 VNI 与二层网络:EVPN 通过 “EVPN 实例” 绑定 VNI,一个 VNI 对应一个逻辑二层网络(类似 VLAN),不同 VNI 的流量在 VXLAN 隧道中隔离,实现 “多租户二层互联”;
- 简化故障处理:EVPN 支持快速检测链路故障(如 BGP 的 BFD 机制),并动态更新 MAC→IP 映射,避免传统 VXLAN 的 “地址老化慢” 导致的通信中断。
3. ECMP:等价多路径转发技术
ECMP(Equal-Cost Multi-Path)是网络设备(路由器、交换机等)在存在多条 “等价路径”(带宽、时延、路由开销等完全相同)时,用于流量负载分担的技术,核心是让流量均匀分布在多条路径上,提升带宽利用率与网络可靠性。
- 核心功能与价值
- 提升带宽利用率:若有 2 条 10Gbps 的等价路径,可将流量分散到两条链路,总承载能力理论上达 20Gbps,避免单链路拥塞;
- 增强可靠性:某条路径故障时,流量自动切换到其他正常路径,无需人工干预,故障恢复快;
- 简化网络设计:无需复杂链路聚合配置,仅通过路由协议就能实现多路径负载,降低运维成本。
- 工作原理:哈希算法分流
- 设备通过哈希算法,提取数据包的 “关键字段”(如源 IP、目的 IP、源端口、目的端口等),计算出哈希值,再根据哈希值将数据包分配到不同等价路径。
- 例:路由器到目标网段有 2 条等价路径,数据包 A(源 IP:10.0.0.1,目的 IP:192.168.1.1)哈希后走路径 1;数据包 B(源 IP:10.0.0.2,目的 IP:192.168.1.2)哈希后走路径 2。
- 典型应用场景
- 数据中心出口:核心路由器到运营商骨干网有多条等价链路,通过 ECMP 分散出网流量,避免单链路瓶颈;
- 企业多分支互联:企业总部与分支间有多个同带宽、同时延的 VPN 链路,用 ECMP 分担分支访问总部的流量;
- 服务器集群接入:交换机到多网卡服务器集群,通过 ECMP 将客户端请求分散到服务器不同网卡,提升服务器接收带宽。
- 注意事项
- 哈希碰撞:不同流量哈希字段组合相同时,会被分到同一路径,可能导致流量不均,可通过增加哈希维度(如加入协议号、VLAN ID)减少碰撞;
- 路径真等价:需确保所有路径实际性能(带宽、时延)一致,避免 “伪等价” 导致业务体验变差;
- 故障收敛:依赖路由协议收敛速度,可配置快速收敛机制(如 OSPF Hello 时间缩短、BGP BFD),压缩故障恢复时间。
(三)主流大二层技术方案
| 技术 | 标准 / 原理 | 封装方式 | 控制平面 | 核心优势 | 适用场景 |
|---|---|---|---|---|---|
| TRILL | IEEE 802.1aq | 以太网帧 + TRILL 头 | 改进 IS-IS | 兼容传统设备,无环 | 园区网、中小型 DC |
| VXLAN | RFC 7348 | 以太网帧 + VXLAN+UDP+IP | EVPN(主流)/BGP | 1600 万 + 租户,跨三层 | 大型云数据中心 |
| SPB | IEEE 802.1aq | 以太网帧 + SPB 头 | SPB-ISIS | 毫秒级收敛 | 金融 DC(高可靠) |
(四)关键技术特性
- 无环设计:弃用 STP,靠ECMP实现多路径负载分担,冗余链路均承载流量(带宽利用率≥90%);
- 二层域扩展:基于 IP 隧道(如 VXLAN)跨地域互联,配合EVPN精准定位终端,避免广播风暴;
- 多租户隔离:VXLAN 用 24 位 VNID(1600 万 + 租户),EVPN负责租户路由隔离,远超传统 VLAN;
- 虚拟化适配:VM / 容器迁移时,EVPN快速同步终端位置,IP/MAC 不变,迁移时间从分钟级→秒级。
(五)与传统二层网络的优缺点对比
| 对比维度 | 传统二层网络 | 大二层网络 |
|---|---|---|
| 二层域范围 | 局限单广播域(如单楼层) | 跨物理 / 地域(如多 DC 互联) |
| 防环与带宽 | STP 阻塞链路(利用率≤30%) | ECMP 用冗余链路(≥90%) |
| 多租户能力 | VLAN 4094 个(不足) | VNID 1600 万 +(EVPN 隔离) |
| 跨三层扩展 | 无法跨三层 | 基于 IP 隧道(EVPN 管路由) |
| 虚拟化适配 | VM 迁移断网(需重配 IP) | 无缝迁移(EVPN 同步位置) |
| 成本 | 设备 / 运维成本低 | 需 VTEP+EVPN 设备,成本高 |
(六)VXLAN 核心细节(数据中心)
- 关键组件:
- VTEP(隧道端点):封装 / 解封装 VXLAN 帧(部署在接入交换机 / 服务器);
- VNID(24 位):租户唯一标识,EVPN通过 VNID 区分不同租户路由;
- 端口:UDP 4789(标准封装端口)。
- 转发逻辑:本地 VTEP 封装→IP 网络(ECMP 多路径转发)→远端 VTEP 解封装→目标终端(EVPN 提前告知终端位置)。
(七)疑难解答
- VXLAN 的控制平面是EVPN,不是 VXLAN 本身(VXLAN 是数据平面隧道);
- ECMP是 “多路径分担”,不是 “多路径备份”(所有路径同时传流量);
- 大二层 “无环” 靠 ECMP,不是靠 STP(STP 已被弃用);
- EVPN 不直接传数据,只负责 “告诉设备终端在哪”(控制平面≠数据平面)。
大二层,靠两宝(EVPN 管路由,ECMP 用带宽);
VXLAN 建隧道,跨层互联没烦恼;
VNID 分租户,EVPN 来隔离;
ECMP 多路径,STP 下岗带宽高。