路 由

DHCP

DHCP----动态主机配置协议----UDP协议 67/68端口

典型的C/S架构-------DHCP客户端-----需要获取到IP的设备-68号端口

                  DHCP服务器------发放IP的设备----67号端口

第一种：初次获取IP地址

1. DHCP客户端  向 DHCP服务器 去要地址------广播  源IP：0.0.0.0，

目标IP 255.255.255.255， 源MAC：自己， 目标MAC：全F 

这个包-------DHCP---discover包

1. DHCP服务器收到后，向DHCP客户端进行回复 回复的数据包  DHCP---offer包  单播/广播  ，这个数据包中会携带一个临时有效的IP地址，并且暂时作为DHCP客户端使用。
2.  DHCP客户端向 DHCP服务器  发送一个 DHCP-request包 广播
3. DHCP服务器 向 DHCP客户端 发送一个 DHCP--ACK包  单播/广播 “类似于确认收到”

第二种：PC端再次获取IP地址

1. DHCP客户端 向 DHCP服务器 发送一个 DHCP--request包

（我想要再次获取之前的IP地址）

如果DHCP服务器还存留之前下发的IP地址：

DHCP服务器 向 DHCP客户端 发送一个 DHCP--ACK包

DHCP服务器将前者的IP地址下发给了其他设备：

DHCP服务器 向 DHCP客户端 下发一个  DHCP----NAK包

租期：24h

T1----租期的50%---12h---DHCP客户端 向 DHCP服务器发送：DHCP--request包---单播   续租

T2----租期的87.5%----21h---DHCP客户端  向 DHCP服务器发送：DHCP--request包---广播 续租

undo 注意：1.配错什么命令 在什么命令前+undo  2.需要删除的命令 在什么视图下配置的 在什么视图下删除 

DHCP配置：

[R1]dhcp enable   开启DHCP服务

[R1]ip pool 1  创建IP地址池 命名为 1

[R1-ip-pool-1]network 192.168.1.0 mask 24 在池塘1中 写入192.168.1.0 24 网段

[R1-ip-pool-1]gateway-list 192.168.1.1 定义该地址池中 网关均为192.168.1.1 

[R1-ip-pool-1]dns-list 8.8.8.8  114.114.114.114  定义该地址池中IP的DNS为8.8.8.8 和 114.114.114.114 

[R1-GigabitEthernet0/0/0]  进入相应接口

[R1-GigabitEthernet0/0/0]dhcp select global  告知该接口需要执行DHCP下发  接口选择全局配置

[R1]display ip pool  查询IP地址池

Ipconfig=查询本台设备的IP地址 

[R1]display ip routing-table  查询路由表

直连路由：自动生成

 条件：1.接口具备IP地址

1. 接口双UP

路由器和路由器之间的链路-----骨干链路（总线链路） 一般不配置PC端。

[R8]ping -a 192.168.2.1 192.168.2.2  指定一个IP去ping另一个IP

静态路由

路由器获取未知网段的方法：

1. 静态路由：尤管理员手写的路由条目
2. 动态路由：所有路由器上运行同一种动态路由协议，之后通过路由器之间的沟通 协商 最终生成路由条目加载于路由表中

[R8]ip route-static 192.168.3.0 24 192.168.2.2  静态路由  通往192.168.3.0 24 网段 下一跳为 192.168.2.2

Pre：优先级  当两条路由条目目标网段相同时，仅加载优先级高的路由条目到路由表中。 优先级的取值范围：0-255   直连默认为0  静态默认为60  ； 优先级的数值越高，优先级越低。

RD：该条路由 需要 递归查找  

路由环路

静态路由选路原则：尽量选择路径最短的路由条目

扩展配置：

1. 负载均衡：当路由器访问同一个目标且目标具有多条开销相似的路径时，可以让设备将流量拆分后延多条路径同时进行传输，以达到叠加带宽的作用。

1. 环回接口：路由器上配置的一个虚拟接口，一般用于网络测试，不需要设备支持。

[R7]interface LoopBack 0  进入环回接口，该接口编号为0

1. 手工汇总：当路由器可以访问多个连续的子网时，若均通过相同的下一跳，可以将这些网段进行汇总计算，之后仅编撰汇总后的静态路由即可达到减少路由条目，提高转发效率的目的。

1. 路由黑洞：在汇总中若包含实际不存在的网段时，可能会使数据包有去无回，造成链路资源的严重浪费。（合理的子网划分可以尽量减少路由黑洞）

1. 缺省路由：一条不限定目标的路由；查表时，若本地路由均不匹配，则将匹配缺省路由。

[R17]ip route-static 0.0.0.0 0 12.1.1.1

特征：一旦路由黑洞和缺省路由相遇，将百分之百形成路由环路。

6.空接口路由：在黑洞路由器上，配置一条到达汇总网段指向空接口的路由。

①空接口：null0接口，路由器的一个虚拟接口，如果一条路由条目的出口为空接口，则代表将该条路由直接丢弃。

②路由表匹配原则：最长匹配原则/精确匹配原则

[R16]ip route-static 192.168.0.0 22 NULL 0  

7.浮动静态路由

[R18]ip route-static 192.168.2.0 24 12.0.0.2 preference 61

定义该条路由条目的优先级为61

[R18]display ip routing-table protocol static  查询由静态路由生成的路由表

[R19-GigabitEthernet0/0/1]shutdown  关闭接口

动态路由

静态路由的缺点：

1. 配置量大
2. 不能基于拓扑的变化进行实时更新

动态路由的优点：可以基于拓扑的变化进行实时收敛

动态路由的缺点：

1. 额外占用硬件资源
2. 安全风险
3. 选路错误的风险

动态路由的分类：

1. 基于AS 进行分类------ IGP内部网关协议----EGP外部网关协议

①AS：自制系统

AS:自制系统  标准编号 0-65535 其中 公有1-64511  私有64512-65535

AS之内运行的IGP内部网关协议：RIP  OSPF  EIGRP  ISIS

AS之间运行的EGP外部网关协议：BGP 

1. 基于工作特点进行分类：

①基于更新时是否携带子网掩码   有类别--不写带子网掩码 ，无类别---携带子网掩码 

②DV距离矢量协议：RIP  ERIGRP 邻居间共享路由表  算法：贝尔曼福特算法   

    LS链路状态协议：OSPF ISIS 邻居间共享拓扑  算法:SPF 

 

 RIP :路由信息协议  基于UDP 520端口  使用跳数作为开销，周期更新和触发更新  ，存在 V1/V2/NG ，NG版本适用于IPV6 

V1和V2两个版本的区别：

1.V1为有类别路由协议---不携带子网掩码；不支持子网划分，子网汇总

V2为无类别路由协议---携带子网掩码 

2.V1为广播更新 255.255.255.255

   V2位组播更新  224.0.0.9

3.V2拥有手工认证

周期更新的意义：

1. 保活  每隔30s发送一次周期更新包  一共发6次 
2. 没有确认机制 

RIP的破环机制

1. 水平分割-------从此口入，不从此口出。（仅在直线型拓扑中可以避免环路，其主要作用是避免大量重复更新）
2. 最大跳数15跳 
3. 触发更新：毒性逆转水平分割   

抑制计时器：30s更新  180s失效  180s抑制  300s刷新 

V1版本  配置命令：

[R1]rip 1 启动时定义进程号 默认为1 仅具有本地意义

[R1-rip-1]version 1

宣告：rip只能进行主类宣告  基于宣告网段的主类 找到属于该网段的接口

1. 激活接口-收发rip信息  2.该接口的信息可以共享给邻居

[R1-rip-1]network 1.0.0.0

[R1-rip-1]network 12.0.0.0

注意：我们在这儿宣告的是网段所属的主类，A类宣告前8，B类宣告前16，C类宣告前24.

V1版本  配置命令：

[R1]rip  创建rip  默认进程号为1

[R1-rip-1]version 2 选择版本2

[R1-rip-1]undo summary  关闭自动汇总

意义：若不关闭走动汇总，RIPV2将会使用主类长度掩码惊醒发送路由，关闭自动汇总后，将携带接口精确掩码来发送。

[R1-rip-1]network 1.0.0.0

[R1-rip-1]network 12.0.0.0

二：RIP 的扩展配置

1. RIP V2的手工汇总

在更新的源头，所有发出更新的接口上进行汇总配置即可

[R1-GigabitEthernet0/0/0] 进入更新设备的接口

[R1-GigabitEthernet0/0/0]rip summary-address 1.1.0.0 255.255.252.0

 进行rip的路由汇总 

1. RIP V2的手工认证

在两台运行RIP协议的路由器间进行加密，让两台设备发出的数据中携带核实身份的密钥，也可同时对传输的路由信息进行加密。

[R1-GigabitEthernet0/0/0] 必须在和邻居相邻的接口上配置

[R1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123456   

1. 被动接口--仅接受不发送路由信息协议，仅限于连接用户PC端的接口使用，不得用于路由器之间，否则将导致无法正常发送路由信息。

[R1-rip-1]  进入RIP进程

[R1-rip-1]silent-interface g 0/0/1  设置g0/0/1口为被动接口

1. 加快收敛

30s更新  180s失效  180s抑制  300s刷新  

1. 人为修改计时器可以一定程度的加快收敛速度，但是修改时不易过小。
2. 尽量维持原有的倍数关系
3. 全网设备计时器，必须修改一致 

[R1-rip-1] 进入rip进程

[R1-rip-1]timers rip 30 180 300

抑制计时器180s在华为模拟器中不支持修改

1. 缺省路由 ---在边界路由器上，进行RIP       的缺省配置后，该设备将向内部所有运行RIP的设备发送缺省路由的更新包，使得内部所有RIP设备自动生成缺省路由，且，下一跳均指向边界路由起方向。

[R3-rip-1] 进入边界路由起的RIP进程

[R3-rip-1]default-route originate  缺省路由

Ospf

Ospf的手工汇总：区域汇总；在ABR上将A区域共享到B区域时，方可进行手工汇总。

[R2-ospf-1]area 0 进入需要汇总的区域

[R2-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0 255.255.252.0

在需要汇总的区域 进行手工汇总

被动接口----沉默接口---仅接受不发送路由信息的接口，仅能配置在路由器与PC之间。

[R1]ospf 1进入需要设置被动接口的路由器的ospf进程

[R1-ospf-1]silent-interface g 0/0/1  设置该接口为沉默借口

加快收敛-改计时器

修改一台路由器的hello time，该接口的dead time将自动关闭匹配； 邻居间直连接口的hello/dead time时间不一样，则无法建立邻居关系，修改时，不易修改的过小。

缺省路由-----在边界路由器上，配置一条缺省信息之后，该设备将向内部所有设备发送缺省理由，方向指向边界路由器。

[R3]ospf 1 进入边界路由起的ospf进程

[R3-ospf-1]default-route-advertise always 下发缺省路由

VLAN----虚拟局域网

Vlan---交换机和路由器协同工作后，将一个广播域在逻辑上切分为多个广播域

PC>arp -a  查询ARP表

[SW1]display vlan  查询vlan

VID---VLAN ID --用来区分标定不同的VLAN ，由12位二进制构成，范围：0-4095 其中  0和4095为保留值，可用：1-4094

第一步：创建vlan

[SW1]vlan 2  创建vlan2

[SW1]vlan batch 4 to 10 批量创建vlan 4- 10

第二步：

一：基于端口的vlan划分  将vid配置映射给交换机的接口，从而实现vlan的划分------物理/一层vlan

[SW1]display mac-address  查看MAC地址表

IEEE组织----802.1q标准 

Tag标签  802.1q帧--tagged帧    untagged帧 没有打上标签的802.1q帧

我们把交换机到PC端之间的链路称之为access链路，access链路只能通过untagged帧，并且这些帧只能属于同一个vlan。交换机和交换机之间的链路，我们称之为trunk链路，trunk链路（干道）中通行tagged帧，且这些帧可以属于多个vlan。

[SW1-GigabitEthernet0/0/1] 进入需要划分的接口

[SW1-GigabitEthernet0/0/1]port link-type access  定义该接口下链路类型为access链路

[SW1-GigabitEthernet0/0/1]port default vlan 2  定义该链路管理vlan 2

[SW1-GigabitEthernet0/0/5]port link-type trunk  定义该接口下链路类型为 trunk链路

[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3  定义该链路可通过 vlan2 到 3

[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan all   定义该检录放通所有vlan

第三步：实现vlan间路由 

虚拟子接口----虚拟接口--将路由器接口逻辑上划分为多个子接口

[R1-GigabitEthernet0/0/0.1] 进入虚拟子接口

[R1-GigabitEthernet0/0/0.1]dot1q termination vid 2  让接口执行802.1q标准 并管理vid2

[R1-GigabitEthernet0/0/0.1]arp broadcast enable  开启子接口的arp功能

ACL-----访问控制列表

1. 访问控制----在路由器的出或入接口方向想产生动作---只有允许和拒绝
2. 定义感兴趣流量------帮助其他策略抓流量

匹配规则：由上至下，逐一匹配，上条匹配按上调执行，不在查看下条。

在华为体系中，结尾默认允许通过，但是在思科体系中，末尾默认拒绝通过。

分类：

标准-------仅关注数据包中的源IP地址

扩展-------关注数据包中的源/目标IP 协议号 端口号  

配置标准ACL

由于标准ACL仅关注数据包中的源IP，故 调用时要尽量靠近目标，避免对其他地址的访问被误杀

2000-2999  标准acl的编号范围     3000-3999  扩展acl的范围 

注意：一个编码就是一张规则，一张规则可以容纳大量的具体规则

[R2]acl 2000  创建标准acl 2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

规定 拒绝 源 192.168.1.2 

在匹配地址时，需要使用通配符

Acl的通配符与ospf的反掩码规则相同，唯一区别在于通配符可以进行0  1  穿插。

[R2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255

规定 允许 源 192.168.2.0 这个网段通过 

[R2-acl-basic-2000]rule deny source any   规定 拒绝所有

[R2-acl-basic-2000]display acl 2000  查看acl2000

[R2-acl-basic-2000]rule 7 deny source 192.168.2.1 0.0.0.0  规定该规则步调为7 拒绝 源192.168.2.1 

[R2]interface g 0/0/0  进入需要调用规则的接口

进入方向   出方向

[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000  在相应接口的出方向上调用acl2000

1. 仅关注源/目标 IP

由于扩展ACL对流量进行了精确匹配，故 可以表面误杀，因此，调用时，尽量靠近源

[R1]acl 3000创建 扩展 ACL 编号为3000

[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0

规定  拒绝 源 192.168.1.2 向目标 192.168.3.0 的一切IP行为

Telnet 远程登录  基于 TCP 23 端口

条件：1.登录设备和被登录设备之间必须可达

   2.被登录设备必须开启telnet设定

[R1]aaa 开启aaa服务

[R1-aaa]local-user MXY privilege level 15 password cipher 123456  创建一个名为MXY的用户 其 等级为15 级 密码为123456

[R1-aaa]local-user MXY service-type telnet 定义MXY为远程登录所使用

[R1]user-interface vty 0 4 创建0-4  一共5个虚拟通道

[R1-ui-vty0-4]authentication-mode aaa 定义该通道服务于aaa

1. 在关注源/目标IP地址的同时，在关注目标端口号

[R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23

规定  拒绝 源IP为192.168.1.10 目标 IP为192.168.1.1 的TCP 端口23号 行为

[R1-acl-adv-3001]rule deny icmp source 192.168.2.2 0.0.0.0 destination 192.168.2.1 0.0.0.0  规定  拒绝 源192.168.2.2 向192.168.2.1 的 icmp 行为 

NAT：网络地址转换

公有IP---全球唯一  可以在互联网中使用---付费使用

私有IP---本地唯一  不可以在互联网中使用---免费使用

A类私有地址：10.0.0.0------10.255.255.255

B类私有地址：172.16.0.0-----172.31.255.255

C类私有地址：192.168.0.0------192.168.255.255

NAT：网络地址转换，在边界路由器上，进行公有地址和私有地址之间的转换。

NAT的分类：静态NAT  动态NAT  NAPT  端口映射

我们华为设备的NAT配置 一律默认在边界路由器的出接口上。

静态NAT

通过配置在我们私网边界路由器上建立维护一张 静态地址映射表 ，这张表反应了公有IP和私有IP之间一一对应的关系。

当内网的数据包来到边界路由器上，会先检查其目的地是不是公网IP，如果是，就会根据静态地址映射表上的映射关系查找该源IP所对应的公网IP。如果有记录，则将发往公网的数据包的源IP改为对应的公网IP。

[R2]interface g 0/0/1 进入边界路由器的出接口

[R2-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside 192.168.1.2   将公网IP 12.1.1.3映射为私网IP 192.168.1.2 

[R2]display nat static  查询静态映射表

动态NAT

动态NAT和静态NAT最大的区别在于地址映射表的内容是可以变化的，动态NAT不再是一一对应的关系而是实现多对多的转换。

NAPT---端口地址转化  ---PAT

为解决动态NAT同一时间一个公网IP只能对一一个私网IP的问题，在边界路由器上再维护一张源端口号和地址映射关系表；因为端口号的取值范围为1-65535，即65535个，所以NAPT同时支持通过的数据包数量即为65535个，这就形成了一对多的NAPT，在华为系统中，称这种一对多的NAPT叫做----EASY IP 。当上网需求非常大时，一个公网IP就可能不够使用，我们也可以使用多个公网IP。这样就形成了65535的倍数增长，也就形成了多对多的NAPT。

EASY IP：

[R2-acl-basic-2000]rule permit  source 192.168.0.0 0.0.255.255

将192.168.0.0 0.0.255.255的IP地址全部定义为感兴趣流量

[R2-GigabitEthernet0/0/1]nat outbound 2000  在该接口的出的方向上地址转化所有 acl2000内的流量

多对多：

首先 创建公网地址池

[R2]nat address-group 1 12.1.1.3 12.1.1.10  创建公网地址池，编号为1，范围为 12.1.1.3 到 12.1.1.10

配置ACL抓捕流量

[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255   抓捕内网流量 

[R2]interface g 0/0/1  进入外网接口

[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1  将acl2000定义的感兴趣流量 交给 1号公网地址池  进行nat转换

加 no-pat 静态多对多===多个一对一

不加 no-pat  动态多对多  ===  多个一对多 

端口映射：

[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80

将该接口 服务器tcp协议的80端口 映射为 192.168.1.10 这个IP地址的 80 端口

[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 192.168.1.20 80   将该接口  服务器TCP协议的8080端口  映射为 192.168.1.20这个IP地址的80端口