ICMP协议
用途:测试网络当中的差错检验
ping命令属于ICMP中的内容
ICMP,IP,ARP三个协议均属网络层
传输层TCP和UDP
重定向报文:当网络中存在两台路由器A和B,一个PC端,以及一台交换机(同属于一个广播域)。
当PC1想要通过B发送给其他的广播域,而它发送给了A,A判断后发送给了B(绕路了)。此时A就会发送给PC1一个重定向报文。下一次PC端想要通过B发送报文时就会直接发送给B
tracert IP :追踪IP(依靠发送ICMP协议,TTL值追踪。路由器在回复ICMP协议时会带上源IP)
ping -i :限定TTL(生存时间)参数 三个选项 255 / 128 /24(手动附加)
-a:代表使用源IP (限定一个IP去ping)
-c:指定发送报文的次数
-t:设定我们平均发送的时间2000ms(来回)
第二章
路由器
框式设备 供给运营商使用 两米高,
企业使用的路由器,高度2U,
1U的高度4.445cm
console:配置口
光模块:光信号转换为电信号
在ensp中用的路由器类型为:AR2220 或 AR2240
交换机
可拆卸交换机
一体式交换机
连接绝大多数用户
华为常见基本命令
<Huawei>system-view ---从用户视图切换到系统视图 简化输入:sys
undo ------删除 原本命令的前面加上undo即可删除 。 若报错则从后往前一个又一个删除,有些后面不需要跟参数,有些大部分情况下需要敲全
quit ----退出到上一视图 简化输入:q
display ---查看 version(查看系统版本)
<Huawei>reboot -----重启设备 模拟器上没有重启功能,不能敲。
[Huawei]sysname r1 ----修改系统名称
Telnet
PC端----使用路由器代表PC端,需要配置IP地址等信息
[PC]interface GigabitEthernet 0/0/0 -----进入接口
[PC-GigabitEthernet0/0/0]ip address 192.168.1.1 24 -----添加接口IP地址及掩码信息(掩码可用点分十进制表示)
服务端
[TeInet Server]interface GigabitEthernet 0/0/0
[TeInet Server-GigabitEthernet0/0/0jip address 192.168.1.2 255.255.255.0 --添加接口IP及掩码的第二种方式
[Telnet Server-GigabitEthernet0/0/0]quit --退出到上一 视图
[TeInet Server]telnet server enable ---已经默认开启, 不需要配置该命令,在网络设备当中所有设备都需要开启。有些自动开启
[TeInet Server]user-interface vty 0 4 ---开启用户接口空间 ,0 4表示打开五个接口,允许五个用户登录
[TeInet Server-ui-vty0-4]authentication-mode aaa --设定使用AAA作为用户接口的认证模式,即登录方式
[Telnet Server-ui-vty0-4]quit
[Telnet Server]aaa --- 进入AAA视图
[TeInet Server-aaa]local-user huawei password cipher 123456 ---创建用户名和密码
[TeInet Serveraaa]local-user huawei privilege level 15 --设定用户权限等级
[TeInet Serveraaa]local-user huawei service-type telnet --设定huawei用户登录设备所使用的协议
[TeInet Serveraaa]display this ---查看当前视图(在哪个窗口都能使用)
测试
telent ip
DHCP协议
----动态主机协议配置
手工配置网络参数的问题
-
对于普通用户
-
对于网络管理员:维修困难
-
IP地址浪费
C/S架构,UDP67/68号端口(68号端口属于客户端,67号端口属于服务端)
DHCP报文类型
-
discover: 发现报文。用于客户端寻找DHCP服务器 。 (广播)
IP地址为0.0.0.0有两层含义:代表所有;代表没有
第一个discover报文:源IP:0.0.0.0 目的IP:255.255.255.255
源MAC地址:PC 目的MAC:FFFF
-
offer:服务端回复客户端 ,其中携带了IP地址(单播传输或广播)------也包含了网关,掩码,DNS等网络参数。
网络设备里以单播的形式传输,在linux中以广播形式传输。
第二个offer报文(若为广播):源IP:服务端的IP 目的IP:255.255.255.255
源MAC :服务端的MAC 目的MAC:FFFF
(若为单播): 源IP:服务端的IP 目的IP:offer即将分配给你的IP(因为C和S处于同一个广播域)
源MAC:服务端的MAC 目的MAC:PC
但此时客户端还不能用这个IP,需要发送request正式请求报文。
-
request:客户端正式请求IP信息。(广播)2层意义:1,正式请求IP地址(优先接受发送快的服务端的offer报文);2.通知所有发送DHCP offer报文给PC的服务端。
-
ack:服务端对客户端请求信息的确认(单播)
优先发送给发送快的request报文的客户端(当只剩一个时,只接受到达的第一个)
-
nak:服务端对客户端请求信息的拒绝
-
release:客户端发送给服务端要求释放地址
-
decline:客户端检测到冲突后,将错误报告给服务端
当客户端接收到服务端的ACK报文后,连续发送三次免费ARP(自我介绍;冲突检测)。
免费ARP报文:源IP和目的IP都是offer即将分配给客户端的IP,目的MAC:FFFF 源MAC:PC
若接收到回复则存在相同IP,对端PC会回复发送免费ARP报文的PC端。发送报文的PC端就会发送给服务器检测到冲突存在。此时服务器会通过ICMP
协议去ping该存在冲突的IP地址,若ping通了则服务器从自己的地址池中删除掉冲突的IP地址。
-
inform:服务端发送一些配置信息
以上是第一次获取IP地址的操作
以上用途是标准协议的用途,在华为体系中的用途没有inform的报文,在offer报文中发送。
DHCP租期
经过一段时间(24h),IP地址自动收回,防止IP地址浪费
-
租期更新计时器 -----华为默认时间24H(在网络设备当中)
-
在租期到达50%时,PC会进行续租操作。PC会以单播(第二次获取IP地址)的形式发送request报文。如果服务端回复ACK报文,则续租成功。
-
租期重绑定计时器-----21H
-
时间超过租期的87.5%,PC广播发送discover报文重新发现网络中的DHCP服务器 。如果有服务器同意给PC续租,
-
若该续租的IP为第一次获取的IP地址,则PC刷新续租更新计时器时间
-
若该续租的IP不为第一次获取的IP地址,则PC会将租期更新计时器归0,发送release报文通告释放第一次的IP地址,然后回复第二次的offer报文从而获取第二次IP地址。
-
-
-
-
若没有服务器给予回复,则客户端将在租期到期时,放弃该IP地址
-
-
租期失效计时器
-
PC主动放弃使用该IP
-
PC未能续租成功
-
若租期内接收到拒绝报文,则PC必须立即停止使用现有IP地址,然后重新申请IP地址
配置
华为对于DHCP的IP分配逻辑,从大到小(1.254----1.1)
[DHCP Server]interface GigabitEthernet 0/0/0
[DHCP Server-GigabitEthernet0/0/0]ip address 192.168.1.100 24
[DHCP Server]dhcp enable ----启动DHCP协议
[DHCP Server]ip pool aa ----创建名称为aa的地址池
[DHCP Server-ip-pool-aa]network 192.168.1.0 mask 24 ----配置可分配IP地址范围
[DHCP Server-ip-pool-aa]gateway-list 192.168.1.100 ----配置网关信息
[DHCP Server-ip-pool-aa]dns-list 8.8.8.8 ----配置dns信息
[DHCP Server-ip-pool-aa]quit
[DHCP Server]interface GigabitEthernet 0/0/0
[DHCP Server-GigabitEthernet0/0/0]dhcp select global -----在接口调用全局地址池
[DHCP Server-GigabitEthernet0/0/0]quit
[DHCP Server]display ip interface brief ---查看IP与接口的对应关系
[DHCP Server]display ip pool ----查看地址池内容
[DHCP Server-ip-pool-aa]excluded-ip-address 192.168.1.254 192.168.1.254 ----排除地址,不允许分配(起始IP ---- 末尾IP 都可排除。此处只排除了192.168.1.254这一个IP)
[DHCP Server-ip-pool-aa]lease day 0 hour 0 minute 10 ----设置租期时间
静态路由
display ip routing table---查看全局路由
127开头的IP为特殊IP,无意义不用看
255.255.255.255/32也不用看
掩码32被称为主机路由;下一跳跟自己的接口IP相同,此时处于最后一个数据包转发内容。
协议有:直连;静态和动态
Pre:优先级,越小越优
Cost:开销
最长掩码匹配规则
(找掩码最大的那个,范围区域小,主机位少)
路由信息的来源
-
直连路由,静态路由,动态路由
-
设备自动发现(直连路由),手工配置(静态路由),路由器通过运行某种算法自动机计算出路由(动态路由)
直连路由的生成条件
-
接口双up (物理层:Physical 协议层:Protocol )
shutdow 关闭接口 undo shutdow 开启接口 *down手动关闭
-
必须配置IP地址
路由优先级
路由项的优先级越小,则路由项的优先度越高
| 路由来源 | 优先级缺省值 |
|---|---|
| 直连路由 | 0 |
| 静态路由 | 60 |
| RIP(动态路由) | 100 |
| OSPF | 10 |
开销值
在静态路由和直连路由中,开销值为0。
等价路由----目的地相同,且优先级(路由发现方式)与开销值均相同,且下一跳不同。
配置
对于路由器而言目的地是个范围
ip route-static 192.168.1.192(网段) 26 192.168.1.66
目标网段 掩码 下一跳
下一跳------流量流经的方向的下一个路由器的入接口IP地址
静态路由协议拓展配置
-
等价路由:来源相同的去往相同目的地的且开销值相同的路由(下一跳不同)
优点:手动进行叠加带宽;备份
[r1]IP route-static 192.168.1.0 24 12.0.0.2 [r1]IP route-static 192.168.1.0 24 21.0.0.2
-
路由汇总
使用CIDR技术将连续的网段汇总成一个大的网段
要求:母网相同,掩码相同
-
路由黑洞
在手工汇总时,可能会包含一些网络中不存在的网段,造成流量有去无回的现象,浪费设备与链路资源
-
缺省路由
缺省路由的目标网段啊---0.0.0.0/0。
若网络中没有任何一条路由可匹配数据包,才会选择缺省路由。
只要有缺省路由就不会有数据包被丢弃,一切不认识的都按照缺省路由转发。
ip route-static 0.0.0.0 0 12.0.0.2
-
空接口防环
在黑洞路由器上配置一条通往汇总路由的下一跳为空接口的路由信息进行防环操作
ip route-static 172.16.0.0 22 null 0
-
环回接口
虚拟的接口,只是用来测试网段的。ping通这个接口=ping通整个网段的广播域
[r2]interface LoopBack 0 ---创建编号为0的环回接口 [r2]ip address 192.168.1.1 24 ----正常配置IP地址 [r1]ping -a 21.0.0.1 192.168.1.1 ---设定ping报文中的源IP地址为21.0.0.1
-
浮动静态路由
IP route-static 192.168.10.0 24 12.0.0.2 ip route-static 192.168.10.0 24 21.0.0.2 preference 7
display ip routing-table protocol static 查看静态路由
actice:正在使用 Inactive:备用
通过优先级判断谁active
从哪个链路转发依靠路由信息,而不是编辑的报文。
动态协议
自治系统-----AS
AS号----ASN----使用16位二进制进行标识 65536(1-65535范围),-----IANA(互联网数字分配机构)
-
AS内部使用的协议------内部网关协议IGP
-
AS之间使用的协议------外部网关协议EGP
动态路由分类
按照范围分
-
IGP协议
-
RIP, OSPF, IS-IS(全球公有,运营商在特定的情况下才会使用,且只有运营商在用)。EIGRP(思科私有)
-
-
EGP协议
-
BGP
-
对IGP协议进行分类
-
按照协议特点分类
-
距离矢量型协议-----DV----共享路由表(直接告知目的信息)
-
RIP EIGRP
-
-
链路状态型协议------LS----共享拓扑信息(自己规划目的信息)
-
OSPF ISIS
-
-
按照是否携带掩码分类
-
有类别路由协议
-
RIPv1
-
-
-
无类别路由协议
RIP----路由信息协议
---用于中小型网络的协议
---应用层,距离矢量
基本概念
-
UDP协议-------端口号520
-
目的IP地址
-
255.255.255.255-----RIPv1
-
-
224.0.0.9--------RIPv2
RIPv1,RIPv2属于IPv4网络
-
RIP使用路由的跳数作为开销值Cost,最大值为16-----代表本路由不可用
-
算法:
数据包中传递的开销值=本地开销值+1
-
周期更新/触发更新(保活,使用应答报文,是全网使用到最新的内容)----防止形成黑洞路由
RIP算法------贝尔曼福特算法
-
当接收到数据包中含有本地路由表中没有的路由项,则直接加载到本地路由表
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳相同,则将数据包中的路由项加载到本地路由表
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较cost值,若本地路由表中的cost大,将数据包中的路由项加载到本地路由表
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较Cost值。若本地路由表中的Cost小(越小,代表设备到达目的设备的距离更近),则丢弃数据包中的路由项。
RIP数据包
-
请求报文(共享路由表)
-
应答报文(共享路由表)
工作原理:所有设备启动RIP协议,路由器会在每个启动RIP协议的每一个接口发送请求报文(启动RIP协议),若该接口没有启动RIP协议就发不了。接收到请求报文的设备会发送应答报文,发送请求报文的路由器拿到应答报文后,会与本地的路由表信息作比较(根据四步算法获取路由信息,原则:没有的我全要,有的就依靠优先级对比)。收到谁转发来的数据包,下一跳就是谁。
RIP计时器
-
更新计时器-----每30s
-
每台路由器只有一个更新计时器,该计时器为0则路由器向外发送更新报文。
-
-
如若收到请求报文,无论更新计时器是否到0,它都会发送更新报文。
-
无效计时器-----更新计时器*6(更新计时器的更新时间可改)
-
每台路由器的路由表中的每一个RIP路由项都会有一个无效计时器
-
当该计时器为0时,会认为该计时器所表述的路由项无效。路由器会将该路由项的Cost设置为16,并向外通知。
-
一个路由项中无效计时器和垃圾计时器不能共存
-
-
垃圾收集计时器----更新计时器*4(防止无效计时器为0时发出的更新报文丢失后,后面的设备无法进行及时的更新)
-
当一个路由项的无效计时器为0时,垃圾收集计时器开始计时。
-
当垃圾收集计时器为0时,路由器会删除掉该路由项。(在计时的时间内,下一跳设备断联恢复后还能进行更新)
-
提问:在某时刻,某路由器的RIP路由表中共有30个路由项,其中cost值小于16的有23个,cost等于16的有7个,此时总共有多少个计时器。
答案:1+23+7=31
RIP周期更新
-
更新原因
-
基于UDP传输(没有重传机制)
-
RIP本身也没有可靠性机制
-
RIP本身没有保活机制(无法判断邻居是否还存在网络当中。邻居:双方相互直连的设备)
-
网络环路
-
依靠开销值
-
触发更新-----路由表中由任意路由项发生变化,则激活触发更新。
-
水平分割机制----从此口进,不从此口出(针对路由信息)。
-
毒性逆转---将从某个接口进入的路由,在下一次从该接口发出时,开销值设置为16
水平分割机制与毒性逆转,两个机制同时只能存在一个
在华为设备一般为水平分割机制,不会开启毒性逆转。如果开启,则水平分割会被抑制。
触发更新,除了可以避免大部分环路,实际最主要的作用是加快网络收敛速度。
RIPv1
[r1]rip -----启动RIP协议,进程号为1,仅具有本地意义 [r1-rip-1]version 1 ----选择版本 [r1-rip-1]network 192.168.1.0 ---宣告,以主类网段进行宣告! 例如:12.1.1.0/24 要以12.0.0.0/24进行宣告 作用:激活接口; 发布路由
RIPv2
[r1]rip -----启动RIP协议,进程号为1,仅具有本地意义 [r1-rip-1]version 2 ----选择版本 [r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类! 作用:激活接口; 发布路由
RIP拓展配置
最常用的是缺省路由的配置,其他配置均属于优化(按需求使用)。
-
手工汇总
-
[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0 --在路由的发出接口配置
-
-
缺省路由-------这里指的是下发缺省路由。
-
[r3-rip-1]default-route originate
-
缺省路由的下发,一定是在边界路由上做。( 边界设备永远需要手工补上缺省路由)
-
且该配置仅会让其他RIP设备学习到RIP的缺省路由
-
-
静默接口----配置了静默接口的接口无法主动发送RIP数据包,只能被动接收RIP数据包。一般与用户相连的接口配置
-
[r2-rip-1]silent-interface GigabitEthernet 0/0/2
-
当静默接口接收到RIP数据包时,会从静默状态转换为普通状态。
-
-
手工认证(接口概念,所以要在接口上配置)---用于路由器之间的身份核实。需要在双方身上均配置。---RIPv2
-
[r2-GigabitEthernet0/0/1]rip authentication-mode simple plain 123456
-
md5 哈希算法(密文传输) simple 明文传输 cipher 密文保存 plain 明文保存
保存方式不会影响两者之间的数据交互
-
-
加速收敛----减少计时器时间
-
[r1-rip-1]timers rip 10 60 40(倍数修改)
-
全网均需要修改。
-
ACL技术
--------访问控制列表
网络通的前提下保证安全稳定的技术
对于网络中的流量的一种处理方式(放通,拒绝)。
ACL功能
-
访问控制
-
在设备的流入或流出接口上,匹配流量,然后执行设定的动作
-
允许-----permit
-
拒绝-----deny
-
-
抓取流量
-
AC经常与其他协议共同使用。----所有动作均为允许
-
ACL的匹配规则
自上而下,逐一匹配,若匹配成功则按照相应规则执行,不在向下匹配。若没有匹配到,则执行默认规则(在华为中为允许所有)。
ACL分类
一个路由器有多个表单,每个表单中存在多个规则。
-
基本ACL(基于IP)
-
基于IP报文的源IP地址定义规则
-
编号:2000-2999
-
-
高级ACL(基于IP)
-
基于源目IP、IP报文协议字段、IP报文优先级、IP报文长度、TCP源目端口号、UDP源目端口等信息来定
-
编号:3000-3999
-
-
二层ACL
-
基于MAC地址来定义规则
-
编号:4000-4999
-
-
用户自定义ACL
需求一:PC1可用访问192.168.2.0/24网段,而PC2不行
分析:
-
仅对源IP有要求,配置基本ACL
-
基本ACL配置规则----靠近目的进行配置
配置:
[r2]acl 2000 ----创建基本ACL列表
[r2-acl-basic-2000]rule permit source 192.168.1.253 0.0.0.0 ---创建规则
通配符(0.0.0.0)----32位二进制,0代表不可变,1代表可变。
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ---在0/0/1接口的出方向调用,acl2000列表
一个接口的一个方向只能调用一张ACL列表。但是一张ACL列表可以在多个接口调用。
需求二
要求:PC1可以访问PC3,但PC1不可访问PC4
分析:对目标有要求,使用高级ACL;更靠近源 a
配置:
[r1]acl 3000
[r1-acl-adv-3000]rule permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.253 0.0.0.0
[r1-acl-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.252 0.0.0.0
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
需求三:
要求:PC1可以ping通R2,但是不能telnet R2。
配置:
[r1]acl 3100
[r1-acl-adv-3100]rule permit icmp source 192.168.1.253 0 destination 2.2.2.2 0
[r1-acl-adv-3100]rule deny tcp source 192.168.1.253 0 destination 2.2.2.2 0 destination-port eq 23
[r1-GigabitEthernet0/0/0]traffic-filter outbound acl 3100
465
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
