一,OSI七层模型
1)应用层------接收人类语言(抽象语言)
2)表示层------压缩和解压缩,加密解密——将接收的数据转换为二
进制
3)会话层------建立维护和断开一次会话通讯---会话:主机和服务
器之间的逻辑通道
4)传输层----优化传输——建立端到端的传输
端口号---16位二进制,65536个端口号---(0没有使用)1-65535---1-1023—知名端口号(著名端口号)
SPORT:x
DPORT:80/443
SIP:主机DIP服务器
SMAC:主机DMAC:网关
5)网络层---路由器
6)数据链路层---MAC---介质访问控制层LLC---逻辑链路控制层
7)物理层---处理电信号
拓展:人类最早的网络---对等网(对等网络,即对等计算机网络,是一种在对等者(Peer)之间分配任务和工作负载的分布式应用架构,是对等计算模型在应用层形成的一种组网或网络形式。)
任何事物被转化成二进制都被称为数据
中继器--------物理增压 存在问题:波形失帧
二,拓扑类型
1.直线型拓扑(总线型拓扑)
2.环形拓扑
3.树状拓扑
4.波环形拓扑 全网状拓扑
5.星型拓扑
三、扩大网络
①传输距离延长
中继器(放大器):可延长传输距离,但不能解决失真问题,最大可增强五倍距离
②增加节点
集线器(HUB)--多接口集线器--构建网络拓扑结构
③解决局限性问题:
1)安全问题
2)垃圾信息延迟问题
3)地址问题:设置编号(MAC物理地址)
MAC物理地址:标识和区分不同的设备身份(设置唯一性),用48位二进制表示(前24位代表了不同的厂商,后24位代表厂商生产该设备添加的物理串号,进而进行格式统一)。
4)冲突问题(电流碰撞):CSMA/CD-载波侦听/多路访问/冲突检测 机制-排队
④ 交换机:
1)无限的传输距离:采用了一种存储和转发的通讯模式(读和重写)
2)完全没有冲突
3)一对一的单播(交换机的转发原理)
补充:当交换机收到一个数据包,首先会记录数据包中的源MAC地址和接受接口的对应关系到MAC地址表中,之后在转发过程中会查看数据包中的目标MAC地址,如果MAC地址表中存在记录则直接按照记录关系单播转发,反之没有记录则泛洪(除了接收到这个数据包的接口以外,向所有剩下的接口复制转发一次该数据包)
MAC地址表的老化时间:300s
四、1.默认IP地址(有类IP地址)
1.目的:判断是否为同一个范围的MAC地址
2.实质:32位二进制
3.IPv4——用点分十进制表示 例:192.168.1.1
4.查阅IP地址:Windows+R+cmd→ipconfig
5.判断:网络位相同则代表地址在一个范围,不同则代表不在一个范围
主机位:范围内部的主机分配的地址
A类地址为单播地址。0-127------默认掩码是255.0.0.0,但1-126------是真实的取值,默认掩码是8位。
B类地址为单播地址。128-191------默认掩码是255.255.0.0,默认16位。
C类地址为单播地址。192-223-----默认掩码是255.255.255.0,默认24位。
D类地址为组播(在一个广播域中划分为一个更小的团体进而进行通讯,只能作为目标使用)地址。224-239------不允许个人进行配置。
E类地址为保留地址(未投入使用)。240-255------不允许个人进行配置。
A类地址第一字节的最高位固定为0,B类地址第一字节的高两位固定为10,C类地址第一字节的高三位固定为110,D类地址第一字节的高四位固定为1110,E类地址第一字节的高四位固定为1111
2.特殊IP地址:
1)127.0.0.1/8
环回地址(测试地址),当无法跨区域发送信息时,检查自身网卡与驱动软件
2)主机位全0的地址
192.168.1.0/24------代表一个网络范围(网段)
3)主机位全1的地址
192.168.1.255------直接广播地址
网段内部存在多少IP地址---2的主机位次方
网段内部存在多少可用IP地址---2的主机位次方-2
192.168.1.1-192.168.1.254
4)全0的IP地址
0.0.0.0----DHCP动态获取IP地址时使用(没有IP地址),路由(代表所有IP地址)
5)全1的IP地址
255.255.255.255----受限广播地址
6)169.254.0.0/16
169.254.0.0/16---获取IP地址失败,设备自动生成的地址
3.子网划分——VLSM---借位(针对主机位进行借位)
1)减少IP地址的浪费
2)例题:172.168.1.0/16------要给11个部门使用
00001000==16
00000100==8
因为16>11>8,所以需要借走4位
172.16.0001 0000.00000000 172.16.16. 0 /20
172.16.0010 0000.00000000 172.16.32.0/20
172.16.0011 0000.00000000 172.16.48.0/20
172.16.0100 0000.00000000 172.16.64.0/20
172.16.0101 0000.00000000 172.16.80.0/20
172.16.0110 0000.00000000 172.16.96.0/20
172.16.0111 0000.00000000 172.16.112.0/20
172.16.1000 0000.00000000 172.16.128.0 /20
172.16.1001 0000.00000000 172.16.129.0/20
172.16.1010 0000.00000000 172.16.160.0/20
172.16.1011 0000.00000000 172.16.176.0/20
在这些范围之间的ip地址都可用
4.子网汇总——取相同去不同
例: 192.168.1.32
192.168.1.64 ---27
192.168.1.0 0100000
192.168.1.0 1000000
192.168.1.0 0000000
得出:192.168.1.0 25
5.子网掩码
1.实质:32位二进制,划分IP地址的网络位和主机位
2.必须是连续的0和连续的1,让子网掩码为1的部分代表IP地址的网络位
五、TCP/IP模型---协议簇
PDU---协议数据单元
应用层数据---数据报文 传输层数据---数据段
网络层---数据包 数据链路层数据--数据帧
物理层--比特流
TTL值:生存周期
最大255 推荐64 常见128
封装与解封装
协议
应用层协议---Http:80 和 https:443
FTP:文件传输协议:21/20
Telnet--远程登陆协议:23
Ssh--安全的远程登陆协议:22
DHCP--动态主机配置协议:67/68
DNS--域名解析协议:53
TCP协议
选项:为TCP后续新功能的增加而留有,进而不影响现有的功能。
校验和:检验TCP报头中参数是否有缺失。
标志位:是基于其他协议而言的
URG:值为1,代表有优先紧急发送的数据包
ACK:值为1,代表有回复确认的数据包
PSH:值为1,代表该数据包有推送功能,推送功能提高了发送效率
RST:值为1,代表该数据包在发送过程中紧急断开了连接
SYN:值为1,代表发送者给予了一个虚拟值,进而确认对方能否正常工作,该标志位与TCP的三次握手紧密相关
FIN:值为1,代表数据包已经正常发完,正常断开连接
TCP的三次握手:
只有在第三次握手的时候携带数据,且真实序号是“随机值+字节数-1”
1)排序:于第一个数据包一个随机值,依次安排一个序号,进而解决发送延迟导致的数据包乱序的问题 。
2)确认:目标在接收到信息后,会重新发送一个ACKmumber数据包给发送者,确认目标者已经接收到该信息,同时也会在后续数据的传输中将ACKnumber上依次加一,进而保证数据的可靠传输。
3)重传:在一定时间内,发送者未接受到目标者的一个ACKnumber,发送者就会重新发送数据包,直到确认发送者能够收到这个ACKnumber。
4)分段:将数据大而化小,进而在重传的过程中减少带宽。
5)流控:滑动窗口机制
UDP协议
1. 生存时间(TTL):每经过一个节点(路由器的转发)就会减一,限制网络大小
2.协议号:7---TCP;16---UDP
3.分片:用标识符进行区分。若为同一个数据则标识符相同
TCP和UDP优缺点
1.TCP是面向连接的协议---TCP的三次握手,而UDP是无连接
的一种传输协议
2.TCP协议的传输时可靠的(排序/确认/重传/流控),而UDP
的传输的不可靠的
TCP的流控---滑动窗口机制
3.TCP可以进行分段,而UDP不能
4.TCP可用进行流控,而UDP不能
5.TCP传输消耗资源大,传输效率低,而UDP传输速率快,资源
消耗低
六、路由器
原理:
1.若PC1试图ping通PC2,在已知IP地址的情况下,会优先进行子网掩码的判断,若在同一个广播域内,则广播发送一个ARP请求包,获取对方的MAC地址,随后则可以进行单播通讯,若获取不到则放弃通讯。
2.若PC1试图ping通PC3,在已知IP地址的情况下,会优先进行子网掩码的判断,若不在同一个广播域,则封装目标MAC地址为自己的网关,发送至网关处,随后路由器根据目标IP查询本地路由表,若不存在记录则直接丢弃该数据包,若存在记录,则按照记录发送至该网段的网关处, 随后,网关通过ARP找到目标的MAC地址,随后单播即可。
数据链路层:介质访问控制层MAC+逻辑链路层LLC
七、DNS的配置
1.配置拓扑图
2.各个设备的配置
Clien1
Server1
3.功能的实现
八、DHCP——动态主机配置协议
1.典型的C/S结构
DHCP客户端------索要IP地址 DHCP服务器------发放IP地址
2.DHCP客户端初次申请IP地址
①DHCP客户端向DHCP服务器去要IP地址,广播, 源IP :0.0.0.0 源MAC:自己 目标IP:255.255.255.255 目标MAC:全F DHCP----discover包
②DHCP服务器向DHCP客户端去回复,DHCP-offer包,单播/广播 Offer包中存在一个临时有效的IP地址
③DHCP客户端向DHCP服务器发送一个DHCP--request包,广播,“我确定使用该IP”
④DHCP服务器向DHCP客户端发送一个DHCP-ACK包,确认收到 单播/广播
3.再次获取
DHCP客户端向DHCP服务器发送一个DHCP--request包,我还想请求之前下发的IP地址
①DHCP服务器依旧保有之前的IP地址,则直接发送DHCP-ACK包表示确认。
②DHCP服务器已经将请求的IP地址发放给了其他设备,则将发送一个DHCP---NAK包 ,表示拒绝该请求。
4.开启DHCP服务——创建地址池——调用全局服务
[R1]dhcp enable 开启DHCP服务
[R1]ip pool AA 创建地址池
[R1-ip-pool-AA]network 192.168.1.0 mask 24 写入网段
[R1-ip-pool-AA]gateway-list 192.168.1.1 写入网关
[R1-ip-pool-AA]dns-list 8.8.8.8 114.114.114.114 写入dns
[R1]interface g 0/0/0 进入网关处
[R1-GigabitEthernet0/0/0]dhcp select global 在该处调用DHCP全局服务
路由器与路由器之间的链路---骨干链路(总线链路),一般是不会放置PC端的
5.路由器获取位置网段的方法
①静态路由-----尤网管手动添加的方式---手写的路由条目
②动态路由-----所有路由器上运行相同的一种动态路由器协议,之后通过路由器之间的沟通 协商 最终计算生成的路由条目
[R7]ip route-static 192.168.3.0 24 192.168.2.2
[R8]ip route-static 192.168.1.0 24 192.168.2.1
Pre:优先级 0-255 ,数值越大,优先级越低。
[R14]display ip routing-table protocol static 查询由静态路由生成的路由表
静态路由选路原则:尽量选择最短路径的路由
6.拓展配置
①负载均衡:当路由器访问同一个目标且目标具有多条开销相似的路径时,可以让设备将流量拆分后延多条路径同时发送,以达到叠加带宽的作用。
②环回接口:路由器配置的一个虚拟接口,一般用于虚拟测试,不需要设备支持。
[R18]interface LoopBack 0 创建环回接口 编号为0
[R18]ping -a 192.168.1.1 192.168.2.1 指定192.168.1.1 ping 192.168.2.1
③手工汇总:当路由器可以访问多个连续的子网时,若均通过相同的下一跳,则可以将这些网段进行汇总计算,之后仅编辑汇总过后的网段的静态路由,即可达到减少路由条目提高转发效率的目的。
④路由黑洞:在汇总中若包含网络数据不存在的网段时,可能使数据包有去无回,造成链路资源的浪费(合理的子网划分可以尽量减少路由漏洞)
⑤缺省路由:0.0.0.0代表没有地址,也代表所有地址 ------一条不限定目标的路由条目,查表时若本地路由条目均不匹配,则直接匹配缺省路由。
访问不存在的路由条目的网段时,启用缺省路由
缺点:一旦缺省路由与黑洞路由相遇,就会形成路由环路
⑥空接口路由: 在黑洞路由器上,配置一条到达汇总网段并指向空接口的路由
空接口---nullo,路由器 的一个虚拟接口,如果一条路由被指向nullo接口,则代表将该流量丢弃
路由表匹配原则:请确匹配原则/最长匹配原则 路由器在转发相应数据包在路由表中进行路由选择时,优先选择掩码最大的路由条目。(网络位变长,主机位变短)
7.浮动静态路由
概述:当主链路出现故障时,能够根据浮动静态来实现备链路的切换
综合实验题(环回、静态、缺省)简写做法链接
动态路由
静态路由协议缺点:1.配置量大 2.不能根据拓扑的变化而进行实时收敛
动态路由协议的优点:可以根据拓扑的变化而实时更新
动态路由协议的缺点:1.额外占用链路资源2.安全风险3.选路错误的风险
动态路由协议的分类
基于AS进行分类------ IGP内部网关协议 EGP外部网关协议
AS:自治系统 标准编号0-65535 其中1-64511公有 64512-65535私有
IGP:RIP OSPF EIGRP ISIS
EGP:BGP
IGP协议的分类:
- 基于更新时是否携带子网掩码
- 基于工作特点进行分类
①DV距离矢量型协议 RIP EIGRP------邻居间分享路由表,以跳数作为开销 算法:贝尔曼福特算法
②LS链路状态型协议 OSPF ISIS -----邻居间共享拓扑信息,再由本地自己计算生成路由条目 算法:SPF
无类别链路状态IGP:
1.距离矢量型协议
运行距离矢量型协议的路由器周期性的泛洪自己的路由表,通过路由的交互,每台路由器从相邻的路由器学习到路由,并且加载进自己的路由表中;对于网路中的所有路由器而言,并不清楚网络的结构,只是简单的知道通完某个目的地有多远方向在哪儿,这既是距离矢量型协议的本质。
2.链路状态型协议
与距离矢量型协议不同,链路状态型协议通告的是链路状态信息,而不是路由表。运行链路状态协议的路由器之间会首先建立一个临时的邻居关系,然后彼此之间开始交互LSA(链路状态通告),路由器将收到的LSA信息存储与本地的LSDB(链路状态数据库)中,路由器通过同步后的LSDB便可以掌握全网的拓扑结构。最后,由本地算法计算出到达各个节点的最优路径,加载于本地路由表中。
RIP
RIP的基础信息
路由信息协议 距离矢量型协议 基于UDP520号端口 使用跳数作为开销 ,存在周期更新和触发更新,有V1 V2 NG(使用于ipv6) 三个版本
周期更新的意义:①保活(每30s触发一次,一共触发6次)②弥补没有确认机制
V1版本于V2版本的区别
①V1版本为有类别路由协议---不携带子网掩码 V2版本为无类别路由协议---更新时携带子网掩码
②V1是广播更新255.255.255.255 V2是组播更新224.0.0.9
③ V1不支持手工认证 V2支持手工认证(通讯会被加密,增加安全性)
RIP的破环机制
- 水平分割------从此口入不从此口出(仅能够从直线型拓扑中避免环路,其主要作用是控制重复更新)
- 最大跳数 15跳
- 触发更新:毒性逆转水平分割
- 抑制计时器
RIP基础指令
[R1]rip 1 启动时需要定义进程号 仅具有本地意义
[R1-rip-1]version 1 选择V1版本
宣告:rip只能进行主类的宣告 宣告基于主类网段 找到属于该网段的接口
1.激活接口---收发rip信息
2.该接口的信息可以共享给邻居
[R1-rip-1]network 1.0.0.0 声明网段1.0.0.0
[R1-rip-1]network 12.0.0.0
[R1]rip 1
[R1-rip-1]version 2 选择V2版本
[R1-rip-1]undo summary V2版本建议关闭自动汇总RIP的扩展配置
1.RIP V2的手工汇总
手工汇总---在更新的源头设备,所有更新出发的接口上进行汇总配置即可
[R1]interface g 0/0/0 从哪儿发出 从哪儿汇总
[R1-GigabitEthernet0/0/0]rip summary-address 1.1.0.0 255.255.252.0 在该接口上 进行关于rip的手工汇总
2.RIP V2的手工认证
在两台运行RIP协议的路由器间进行配置,让两台邻居设备发出的数据中携带身份核实的密钥,也可同时对传输的数据进行加密
[R1]interface g 0/0/0 必须在和邻居相连的接口上
[R1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 666666 在该接口上进行关于的手工认证 认证模式为md5 密码为666666
3.被动接口
仅接收不发送路由协议信息,仅限连接用户PC的端口使用,不得用于路由器之间,否则将导致无法正常使用。
[R1-rip-1]silent-interface GigabitEthernet 0/0/1 在RIP1的进程中设定沉默接口为g0/0/1
4.加快收敛
30s 更新 180s 失效 180s 抑制 300s刷新
①认为修改计时器可以一定程度上加快收敛速度 ,但是不易修改过小,建议不修改
②尽量维持原有的倍数关系
③一旦修改计时器全网设备均需修改
[R1-rip-1]timers rip 30 180 300
5.缺省路由
在边界路由器上,进行RIP的缺省配置后,该设备将向内部运行的所有设备发送一条指向该设备的缺省更新,使得内部所有运行RIP协议的设备自动生成缺省路由,下一跳均指向边界路由器。边界路由器自身通往外网的路径依旧需要管理员通过静态路由手工定义。
[R3-rip-1]default-route originate 在边界路由器上下发缺省路由
RIP实验小题目
OSPF(开方式最短路径优先协议)
OSPF基础信息
支持等开销的负载均衡
基于组播进行更新 224.0.0.5 224.0.0.6
支持触发更新;每30min周期更新一次 10s hello包
需要结构化的部署---区域划分 地址规划
区域划分的规则
- 星型结构 骨干区域为0区,大于0为非骨干区域 ,所有非骨干区域必须接入到骨干区域上
- ABR---域间路由器 两个/多个区域互联时,必须存在ABR---同时工作在两个/多个区域之间的路由器
Router-ID (路由器标识符),用于在一个ospf域中唯一的标识一台设备 RID的设定可以通过手工定义或系统自动生成的方式-----(一定要手工配置),如果让系统自动生成----优先配置设备环回的最大数值,则使用物理接口最大数值
⭐使用cost值作为度量值 cost=参考带宽/接口带宽 默认参考带宽为100M;整段路径的cost值之合越小则越佳。
若接口带宽大于参考带宽,则度量值默认为1,所以在接口带宽大于参考带宽的网络中,可以认为的修改参考带宽。
一、OSPF的数据包类型
- hello包 用于邻居间的发现 关系建立和周期保活
- DBD/DD包 数据库描述包 用于携带本地的数据库目录
- LSR包 链路状态请求包 查看完对端的DBD包后,基于本地的LSDB去向对端索要自己没有的LSA信息
- LSU包 链路状态更新包 携带各种LSA信息
- LSACK包 链路状态确认包 用于确认收到
二、OSPF的状态机
Down状态:表示未被激活的状态,一旦本地发出hello包则进入下一个状态机。一旦接收到hello包也会从 DOWN进入下一个状态机
Init状态:表示初始化的状态,
2-Way:可以进行双向通讯,表示建立了邻居关系
条件不匹配就会保持邻居状态
条件匹配:
EXsatart:预启动 使用未携带数据库目录的DD包进行主从选举,RID数值大者为优,优先进入下一个状态机
EXchange:准交换,携带具体数据库目录的DD包进行目录交换,需要ACK确认。
Loading状态:加载 通过LSR LSU LSACK 进行LSA的更新
Full状态:转发 邻接关系的建立
三:OSPF的工作过程
启动配置完成后,本地组播224.0.0.5发送hello包
Hello包将携带本地RID值,及本地已知所有邻居的RID值
若接收到来自对端的HELLO包中存在本端的RID则视为认识,邻居关系建立,并生成邻居表
邻居关系建立后,条件匹配,匹配失败则永远停留于邻居关系,仅hello包保活即可。
若条件匹配成功,则表明可以建立邻接关系
先试用不携带数据库目录的DD包进行主从选举,RID大者为优,优先共享数据库目录。
最后基于本地的LSDB查看对端的DD包得出自己所需的LSA信息,通过LSR包去要 LSU包区给 LSACK包区确认,最终同步LSDB
之后本地启用SPF算法,基于本地的LSDB生成有向图,在计算出最短路径树,在基于树形结构算出本地到达目标位置的最短路径随后加载于本地路由表中,
收敛完成后,HELLO包周期保活 每30min周期更新一次
30min的周期更新:每30min邻接关系之间进行DD包的对比,若一直则继续保活,若不一致则重新收敛。
Hello time 10s dead time 40s 时间到了就会删除邻居信息
OSPF基础指令
[R1]ospf 1 router-id 1.1.1.1 创建ospf进程 进程号为1 RID为1.1.1.1
[R1-ospf-1]area 0 进入0区
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255 反掩码:在此表示12.1.1.0 -----12.1.1.255范围
[R2]display ospf peer brief 查看邻居表
[R2]display ospf lsdb 查看数据库表 
注意:一旦修改参考带宽,全网设备均需修改
Ospf的扩展配置
1.从邻居关系建立成为邻接关系的条件
网络类型
①点到点的网络:在一个网段内仅支持存在两个节点
②MA:多路访问---在一个网段内支持存在的节点不限
OSPF在点到点的网络类型中所有邻居将直接成为邻接关系
在MA的网络类型中,若所有的设备间均为邻接关系将会产生大量的重复更新,故进行DR/BDR的选举,所有非DR/BDR设备之间将维持邻居关系。
选举规则
①先比较参选设备的接口的优先级,默认1;范围0-255,数值大为优
②若参选接口的优先级相同,比较参选设备的RID,数值大为优。
DR/BDR是非抢占性的,故所需要网段内进行重新选举,需要重启该网段内的所有参选设备的OSPF进程;若参选接口优先级为0,则默认放弃参选,一个网段内至少需要存在一台DR设备。
<R1>reset ospf process 重启ospf进程
手工认证
[R2-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 666666 模式 编号 密码
手工汇总------区域汇总
在ABR(域间路由器)上将A区域的路由汇总后共享到B区域。
[R2-ospf-1-area-0.0.0.0]abr-summary 1.1.0.0 255.255.252.0
被动接口---沉默借口
[R1-ospf-1]silent-interface g 0/0/1
加快收敛----修改计时器
修改一台设备的某个接口的hellotime后,该接口的deadtime将自动关闭匹配。 邻居间直连接口的hellotime和deadtime拖不一致,将不能建立邻居关系。 不建议修改的过小,甚至不建议修改
缺省路由
[R3-ospf-1]default-route-advertise always 强制下发缺省路由
OSPF实验小题目
VLAN :虚拟局域网
LAN局域网 MAN城域网 WAN广域网
在同一个广播域之下,广播消息会传达给不应当收到消息的人
VLAN lan=广播域 -----交换机和路由器协同工作后,将原先的一个广播域逻辑上划分为了多个广播域
VID--VLAN ID 由12为二进制构成 范围 0-4095 0和4095为保留值,
将接口划入VLAN
一:基于端口的VLAN 物理/一层VLAN
二:基于MAC的VLAN
三:基于协议的VLAN
[sw1]display mac-address 查看MAC地址表
交换机加入vid的观念之后 交换机的转发过程:交换机会先记录源数据帧中的源MAC地址与进入接口的映射关系,并且一同查看其VID,随后查看目标MAC地址是否在MAC地址表中存在记录,若存在记录,将比对目标MAC地址对应接口的VID和源MAC地址对应接口的VID是否相同,若相同则直接单播,若不同,则进行泛洪(仅在源MAC地址对应接口的VID的范围内的所有接口进行发送)
802.1Q标准 untagged帧=没有标签的802.1q帧
Tagged帧=打上标签的802.1q帧
我们把交换机和PC端之间的链路称之为ACCESS链路,AEECSS链路中只能通过untagged帧,并且这些帧只能属于一个特定的VLAN。 我们把交换机和交换机/路由器之间的链路称之为trunk链路(干道),trunk链路中运行通过tagged帧,并且这些帧可以属于多个vlan。
VLAN基础指令
###SW1为交换机,R26为路由器
[sw1]vlan batch 2 to 6 批量创建vlan
[sw1]display mac-address 查看MAC地址表
[sw1-GigabitEthernet0/0/1]port link-type access 定义该接口下链路类型为access链路
[sw1-GigabitEthernet0/0/1]port default vlan 2 定义该接口属于vlan2
[sw1-GigabitEthernet0/0/5]port link-type trunk 定义该接口下链路类型为trunk链路
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan all 允许该trunk链路所通过的vlan为所有
[R26]interface g 0/0/0.1 进入g0/0/0这个物理接口的子接口
[R26-GigabitEthernet0/0/0.1]dot1q termination vid 2 让该子接口执行802.1q标准,同时定义该子接口处为vid--vlan2的网关
[R26-GigabitEthernet0/0/0.1]arp broadcast enable 开启该子接口的arp广播 综合实验(DHCP/OSPF/VLAN) 简写做法连接
ACL:访问控制列表
ACL基础信息
访问控制----在路由器的入或者出的接口上,匹配流量,之后产生动作---允许或拒绝
定义感兴趣流量-----帮助其他软件抓流量
匹配规则:
至上而下,逐一匹配,上调匹配按照上条执行,不在查看下条。在华为体系中末尾隐含允许所有,在思科体系中,末尾隐含拒绝所有。
ACL分类
标准---仅关注数据包中的源IP地址
扩展---关注数据包中的源 目标IP地址 协议号 端口号
标准ACL中,由于标准ACL仅关注数据包中的源IP地址,故越靠近目标越好,可以尽可能的避免误杀。
2000-2999 标准 3000-3999 扩展
注意:一个编码是一张规则,一张规则可以容纳大量具体的规则
基础ACL指令
[R2]acl 2000 使用基础访问控制列表
[R2-acl-basic-2000]rule permit source any 规定 允许 所有IP通过
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上调用acl2000
[R2]ACL name classroomA 修改名称 ACL在地址匹配时,会使用通配符
255.255.255.0 0.0.0.255 他可以进行0 1 的穿插
扩展ACL
关注数据包中的源IP以及目标IP
由于扩展ACL可以对数据流量进行精确分析,故越靠近源越好。
[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0 在关注源/目标IP地址的同时,在关注目标端口号
Telnet---远程登录
基于TCP23号端口工作
条件
①登录设备与被登陆设备之间必须可达
②被登陆设备必须开启telnet设定
开启Telnet指令
[R2]aaa 进入aaa服务
[R2-aaa]local-user ABC privilege level 15 password cipher 123456 创建用户ABC并
赋予最高权限,设置其密码为123456
[R2-aaa]local-user ABC service-type telnet 启用用户的telnet服务
[R2]user-interface vty 0 4 为telnet准备5个路径
[R2-ui-vty0-4]authentication-mode aaa 5个路径启用aaa服务
###小扩展---acl与telnet的奇妙结合(如何拒绝某台路由器telnet另一台路由器)
[R1-acl-adv-3000]rule deny tcp source 192.168.4.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
规定 拒绝 tcp行为中的 源192.168.4.1 向目标 192.168.2.2 的 端口号为23的行为 NAT:网络地址转换
NAT基础信息
定义:在边界路由器上,进行公有地址和私有地址间的转化
公有IP和私有IP的区别
公有IP----全球唯一 可以你在互联网中通信 付费使用
私有IP----本地唯一 不能在互联网中通信 免费试用
A类:10.0.0.0---10.255.255.255
B类:172.16.0.0------172.31.255.255
C类:192.168.0.0-----192.168.255.255
NAT的分类:静态NAT 动态NAT NAPT 端口映射
在华为设备中 NAT的全部配置 一定是在边界路由器的出的接口方向上。
静态NAT
我们在私网的边界路由器上建立并维护一张静态地址表,静态地址表映射了公有地址和私有地址间 一一对应的关系
[R2-GigabitEthernet0/0/1]nat static global 12.1.1.1 inside 192.168.1.2
[R2]display nat static 查询nat映射关系
动态NAT
静态NAT和动态NAT最大的区别在于---地址映射表的内容是可变化的,而不是写死的,所以动态NAT不在意一对一的关系,而是实现多对多的转化。
使用端口进行分辨 转化的形式----NAPT(端口地址转化)也叫PAT
为解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题,在边界路由器上维护一张源端口号和私网IP地址的映射关系表,因为端口号的取值范围是1-65535,故有65535个,所以NAPT同时支持通过的数据包的最大量即为65535个,这就形成了一对多的动态NAT,华为中称这种NAPT为EASY IP。 当上网需求非常大时,一个公网IP可能不够用,我们也可以同时使用多个公网IP,这样就能形成65535的倍数增长,形成多对多的NAPT。
一对多
[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[R2-GigabitEthernet0/0/1]nat outbound 2000
多对多
[R2]nat address-group 1 12.1.1.2 12.1.1.10 创建公网地址池
其中包含 12.1.1.12------12.1.1.10
注意:1.必须是公网 2.必须是连续的IP
[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
在该接口上 将acl2000定义的感兴趣流量 交给公网地址池 1 进行NAT转化
No-pat 添加则代表为静态多对多 不添加则是动态多对多
静态多对多:多个一对一
动态多对多:多个一对多
端口映射(将私网的服务器的端口映射到边界路由器上,以便于公网访问)
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.2.10 80
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 192.168.2.20 80
扫一扫
1157
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
