网络就是通过一些特殊的通道把分布在不同地理位置的物品连接起来,从而实现信息的传输与共享。
计算机认识电流,二进制表示高低电频
计算机转换过程:
-
自然语言--->编码,(应用层)
-
编码--->二进制数,(表示层)
-
二进制数--->电信号(介质访问控制层)
-
物理层:电流的输入输出,CPU计算
网络扩大方案:
增大距离
-
信号失真----依靠传输介质(磁场)(网线RJ—45,光纤,同轴电缆)
-
信号衰减----中继器(物理设备,最多延长5倍传输距离)
增加节点
网络拓扑结构:
-
总线型:
优点---信道利用率高,结构简单,
缺点---同一时刻仅允许两个节点进行通讯
-
环形:
优点---增加和删除设备,操作简单,
缺点----成本高,当某一个节点故障时,会影响全网,导致整张网络瘫痪
-
星型:----使用频率最高
优点---信道利用率高,结构简单
缺点---对中心节点要求不高,不允许出现故障
-
全网状
优点---从节点到节点有多条链路可以选择,结构稳定
缺点---结构复杂,成本高
HUB---转发数据,从某一个接口接收到的数据,向其他所有接口进行数据转发
缺陷:
-
安全问题---因为一个结点给另一个节点发送数据时,其他节点也可以接收到
-
延时问题---节点会接收到大量不属于自己的数据信息,也就是垃圾信息
-
地址问题----MAC地址(出场收录在设备本地,无法改变)(由48位二进制组成,前24位为厂商ID,后24位为产品ID)全球唯一
-
冲突问题----CSMA/CD (载波侦听多路访问/冲突检测)----先听后发、边听边发、冲突停发、随机延迟后重发。---冲突域:连接在同一根导线上的所有工作站的集合。
-
网络传输距离无限制
-
完全没有冲突
-
网络中存在单播转发,一对一传输。
-
网桥---交换机
-
交换机是一种计算机网络设备,用于在局域网(LAN)中连接多台计算机和网络设备,实现数据包交换和转发的功能。它可以根据目标MAC地址来转发数据,将数据包从一个端口复制到目标端口,从而实现多台设备之间的通信。
- 特点:属于二层设备,可以将电流转换为二进制数据,并存储在本地内存。
交换机工作原理:
-
交换机存在MAC地址表,该表单中会记录下MAC地址与交换机接口的对应关系。---老化时间5分钟。交换机基于MAC地址表进行数据转发。
-
当A给B发送数据时,该数据来到交换机0号接口,交换机会记录下A--->0的对应关系。然后查看目的MAC地址,并与MAC地址表进行对比。 。 若MAC地址表中存在B的记录关系,则按照记录关系进行单播数据转发 。 若MAC地址表中不存在B的记录关系,则进行洪泛操作(除流量进入接口外的所有接口复制转发流量。)
-
交换机中,一个接口可以对应多个MAC地址,但一个MAC地址只能对应一个接口。
-
一般我们将仅仅依靠交换机连接的网络称为交换网络---交换网络最大终端数为200
路由器
是一种网络设备,用于在计算机网络中传递数据包并连接不同的网络。它在网络中起到连接不同子网、转发数据、实现不同网络之间的通信等功能。
广播域:一个数据包洪泛的范围大小。
-
隔离广播域----路由器的一个接口i就是一个独立的广播域
-
转发数据---依靠路由表进行数据转发
依靠交换机转发数据-----同广播域 借助路由器转发数据-----跨广播域
IP地址---逻辑地址
介绍:
IP地址是Internet协议的地址,用于唯一标识互联网上的主机。IPv4和IPv6是目前广泛使用的IP协议,其中IPv4使用32位二进制表示IP地址,IPv6则使用128位二进制表示IP地址。
IPv4地址分为A、B、C、D、E五类,其中A、B、C三类地址用于公共网络中,D类用于多播(Multicast)通信,E类保留未使用。IPv6地址则没有类别的概念,采用了新的地址规划方式,分为全球单播地址(Global Unicast Address)、链路本地地址(Link-Local Address)、站点本地地址(Site-Local Address)和组播地址(Multicast Address)四类。
IP地址的格式为x.x.x.x(IPv4)或x:x:x:x:x:x:x:x(IPv6),其中x可以是0~255(IPv4)或0~FFFF(IPv6)之间的十六进制数。例如,IPv4地址127.0.0.1表示本机回环地址,IPv6地址::1表示同样的回环地址。
IPv4:32位二进制组成,点分十进制。
IPv6:128位二进制组成
IP=网络为+主机位
-
网络位----表示该IP所在网段(区域)
-
主机位----表示该区域中的主机编号
掩码
是一个与IP地址一起使用的参数,用于划分IP地址中网络部分和主机部分。它的作用是指示哪些位属于网络标识,哪些位属于主机标识。
组成:32位二进制,由连续的1+连续的0组成。使用点分十进制表示。掩码的每一位比特位都与IP地址相对应,其中掩码的1对应的IP地址的比特位即为网络位
ARP协议-----地址解析协议
是一种网络协议,用于将IPv4地址(逻辑地址)解析为MAC地址(物理地址)的过程。它在局域网中使用,旨在帮助主机找到目标设备的物理地址,以便进行直接通信。
在局域网中,主机通过发送ARP请求广播来查找目标设备的MAC地址。ARP请求包含了源主机的IP地址和MAC地址,以及目标主机的IP地址。当局域网上的主机收到ARP请求时,会比对自己的IP地址与ARP请求中目标IP地址是否匹配,如果匹配则返回一个ARP响应包,包含其自己的MAC地址,从而实现了IP地址与MAC地址的映射。
一旦源主机获得了目标设备的MAC地址,它就可以使用MAC地址直接发送数据包到目标设备,而不需要进行广播查找。此后,源主机会将这个IP地址与MAC地址的映射关系缓存起来,以便下次直接使用。
原理:根据一已知的地址来获取未知的另一种地址信息
ARP缓存表--->其中记录着MAC地址与IP地址对应关系--->老化时间180 s
ARP分类:
-
正向ARP---通过IP地址获取MAC地址 (网络中最常见的)
-
反向ARP---通过MAC地址获取IP地址
-
免费(无故)ARP---冲突检测和自我介绍
TCP/IP
OSI参考模型--OSI/RM---开放式系统互联网参考模型
OSI参考模型:
-
应用层:用于接受用户数据,是人机交互的窗口
-
表示层:逻辑语言--->机器语言;加密,解密
-
会话层:针对于传输的每一种数据建立单独连接通道(防止数据之间相互干扰)
上三层:控制层面
下四层:数据层面
-
传输层:TCP,UDP--->端口号
-
网路层:IP协议--->进行逻辑寻址
-
数据链路层:两个层面--->逻辑链路控制层LLC--->介质访问控制层MAC
-
物理层:定义一些物理特性--->电气电压,接口规范,比特流等
报文封装与解封装
PDU---协议数据单元
上三层----数据
传输层----数据段
网络层---数据包
数据链路层---数据
物理层---比特流
TCP/IP
物理层
传输介质
-
同轴电缆----最早期
-
双绞线
。屏蔽双绞线,非屏蔽双绞线
类型--->1.2.3.4.5. 超5.6 超6.7.8类
-
光纤
双工模式:
-
半双工---通信双方都能发送和接收数据,但是不能同时进行---对讲机
-
全双工---通信双方都能同时发送和接收数据----电话
-
优点:
-
同时发送和接收:在双工模式下,通信双方可以同时发送和接收数据,而不需要等待对方的响应。这可以使通信效率更高,提高数据传输的速度。
-
独立的发送和接收通道:双工模式要求通信设备拥有独立的发送和接收通道,这意味着数据的发送和接收可以在不同的物理链路上同时进行,互不干扰。
-
实时交流:双工模式可以实现实时的双向交流,通信双方可以同时进行语音、视频或其他形式的实时数据传输。
同一物理链路连接的设备双工模式必须一致
线序---双绞线
-
568A:将568B的线序1/3和2/6对调
-
568B----橙白.橙.绿白.蓝.蓝白.绿.棕白.棕
数据链路层
封装成帧:数据链路层将网络层传来的数据进行分帧处理,并在每个帧的开头和结尾加入特定的控制字段,以区分不同的帧,保证帧的正确性和完整性。
媒体访问控制:数据链路层通过媒体访问控制协议(MAC协议),控制网络节点访问共享的物理介质,避免多个节点同时发送数据导致冲突。
差错控制:数据链路层通过差错检测和校正机制,检测并纠正因传输过程中产生的误码、丢包等错误,保证数据的可靠性和正确性。
流量控制:数据链路层通过流量控制机制,限制网络的数据发送速率,避免网络拥塞和数据丢失。
重发机制:当数据包传输失败或丢失时,数据链路层会通过重发机制重新发送数据包,以保证数据的可靠性和完整性。
设备:交换机.网桥
链路类别:
-
局域网---以太网
-
广域网---PPP. HDLC. FR
数据帧
一个完整的数据帧通常包括以下几个字段:
帧起始标志(Frame Start Delimiter):用于标识帧的开始,指示接收端开始接收数据帧。
目标地址(Destination Address):指定接收数据帧的目标设备或节点的地址信息。
源地址(Source Address):指定发送数据帧的源设备或节点的地址信息。
类型/长度字段(Type/Length Field):用于表示数据部分的类型或长度。
数据字段(Data Field):实际承载数据的部分,包含了上层协议传递的数据。
校验和字段(Checksum Field):用于校验数据的完整性,检测并纠正传输过程中可能出现的错误。
帧结束标志(Frame End Delimiter):标识帧的结束,指示接收端完成数据帧的接收
-
FCS:帧校验序列
帧的发送方式:
-
单播----一对一发送数据
-
广播----一对所有发送数据
-
组播----特殊的广播,一对一组
网络层
有类分址
A---0xxx xxxx----0.0.0.0-127.255.255.255---掩码为8
B---10xx xxxx---128.0.0.0-191.255.255.255.255---掩码为16
C---110x xxxx---192.0.0.0-223.255.255.255.255---掩码为24
单播地址
D---1111 xxxx---224.0.0.0-239.255.255.255---组播地址
E---1111 xxxx---240.0.0.0-255.255.255.255---保留地址
特殊地址
-
主机位全0的地址。---网段地址
-
主机位全1的地址。---定向广播地址
-
0.x.x.x--->无效地址--->0.0.0.0(1.代表所有IP;2.代表本地没有IP)
-
127.x.x.x--->本地测试地址
-
169.254.0.0/16---本地链路地址
私有地址
-
A类:10.0.0.0-10.255.255.255
。一个地址段
-
B类:172.16.0.0-172.31.255.255
。16个地址段
-
C类:192.168.0.0-192.168.255.255
。256个地址段
IP协议报文头部
-
version:版本
-
total length:整个报文长度---4字节
-
time to live(TTL) :生存时间---单位---路由器个数(最大值为255,一旦数值为0则数据包被丢弃;每经过一个路由器,数值减一)
-
protocol:协议字段
-
6---TCP
-
17---UDP
-
header checksum:头部校验盒
-
MTU---最大传输单元---在以太网中,该数值为1500字节(数据包)
-
标志位:3bit(0:DF (若为1则代表末分片,若为0则代表分片) : MF (若为则代表最后一片报文) )
传输层
端口号:0-65535
-
静态端口---1-1023
-
动态端口---1024-65535、
http----80-----www代理服务----8080
ssh-----22
telnet--23
ftp-----20/21
dns-----53
TCP协议---传输控制协议
TCP协议是一种 面向连接的可靠传输协议
可靠性
-
确认机制----每接收到一个数据段,都需要进行一次确认。
-
重传机制
-
排序机制
-
滑动窗口机制---流控机制
。窗口大小-----指无需等待确认就可以连续发送的数据的最大量。
TCP分段依靠MSS (最大传输段) 实现,其最大值为1460 (MTU-IP头部-TCP头部): 若存在TCP分段,则IP层面不允许分片。
面向连接
三次握手
四次挥手
-
http----80-----www代理服务----8080
-
ssh-----22
-
telnet--23
-
ftp-----20/21
-
dns-----53四次挥手
UDP协议---用户数据报协议
是一种非面向连接的不可靠传输协议。
UDP协议的主要特点包括:
无连接:UDP协议不需要建立连接,直接进行数据发送和接收。
不可靠:UDP协议不保证数据的可靠性,可能会发生数据包丢失、重复、乱序等问题。
高效:UDP协议的数据包格式简单,头部开销较小,传输效率高。
低延迟:UDP协议没有三次握手和流量控制等机制,传输延迟较低,适用于实时性要求较高的应用场景。
VLSM---可变长子网掩码技术---子网划分
192.168.1.0/24
思路:从主机位借位到网络位。被借位的主机位被称为子网位。
192.168.1. 0 000 0000/25----192.168.1.0/25
192.168.1. 1 000 0000/25----192.168.1.128/25
网络位 子网位 主机位
11000000.10101000.00000001.00000000
11000000.10101000.00000001.10000000
11111111.11111111.11111111.10000000
192.168.1.0/24
192.168.1. 000 00000/27----192.168.1.0/27
192.168.1. 001 00000/27----192.168.1.32/27
192.168.1. 010 00000/27----192.168.1.64/27
192.168.1. 011 00000/27----192.168.1.96/27
192.168.1. 100 00000/27----192.168.1.128/27
192.168.1. 101 00000/27----192.168.1.160/27
192.168.1. 110 00000/27----192.168.1.192/27
192.168.1. 111 00000/27----192.168.1.224/27
CIDR---无类域间路由---子网汇总
思路:取相同位;去不同位。
举例:
172.16.1.0/24
172.16.14.0/24
172.16.35.0/24
172.16.99.0/24
172.16.0000 0001.0/24
172.16.0000 1110.0/24
172.16.0010 0011.0/24
172.16.0110 0011.0/24
172.16.0 0000000.00000000/17--->172.16.0.0/17
子网汇总:汇总后的掩码大于主类掩码。
超网:汇总后的掩码小于主类掩码。
192.168.1.0/24
192.168.2.0/24
192.168.0000 0001.0/24
192.168.0000 0010.0/24
192.168.0.0/22
ICMP协议(属于网络层---IP---ARP)
二
路由器
console:网络配置线
网络高度计量单位U
1U=4.445高
华为常见命令:
-
用户视图切到系统视图:<huawei>system-view
-
删除:undo
-
退出到上一视图:quit
-
查看:display
-
重启设备:<huawei>reboot
-
修改系统名称:sysname r1
Telnet协议(应用层协议)
PC端---使用路由器代表P端,需要配置IP地址等信息
[PC]interface GigabitEthernet 0/0/0 ---进入接口
[PC-GigabitEthernet0/0/0lip address 192.168.1.1 24 ----添加接口IP地址及掩码信息
服务端
[Telnet Server]interface GigabitEthernet 0/0/0
[Telnet Server-GigabitEthernet0/0/0lip address 192.168.1.255.255.255.0 ---添加接口P及掩码的第二种方式
[Telnet Server-GigabitEthernet0/0/0]quit ---退出到上一视图
[Telnet Server]telnet server enable ----已经默认开启,不需要配置该命令
[Telnet ServerJuser-interface vty 0 4 -----开启用户接口空间
[Telnet Server-ui-vty0-4]authentication-mode aaa --设定使用AAA作为用户接口的认证模式,即登录方式
[Telnet Server-ui-vty0-4]quit
[Telnet Server]aaa ----进入AAA视图
[Telnet Server-aaa]local-user huawei password cipher 123456 -----创建用户名和密码
[Telnet Server-aaa]local-user huawei privilege level 15 ---设定用户权限等级
[Telnet Server-aaa]local-user huawei service-type telnet ----设定huawei用户登录设备所使用
的协议
[Telnet Server-aaa]display this ---查看当前视图的配置
测试:
DHCP协议---动态主机配置协议
手工配置网络参数问题
-
对于普通用户
-
对于网络管理员
-
IP地址浪费
C/S架构 UDP67/68号端口(68号客户端,67号服务端)
DHCP报文类型:
-
discover(广播)---发现报文---用于客户端寻找DHCP服务器
-
offer(单播或广播都可)。----服务端回复客户端(其中携带了IP地址信息)---也包含了网关。掩码。DNS等网络参数
-
request(广播)客户端正式请求IP信息
-
ack(单播)服务端对客户端请求信息的确认
-
nak 服务端对客户端请求信息的拒绝
-
release---客户端发送给服务端要求释放地址
-
decline---客户端检测到冲突后,将错误报告发送给服务端
-
inform---服务端发送一些配置信息
DHCP租期
租期更新计时器---24h
-
-在租期到达50%,PC会进行续租操作。PC会使用request报文发送且权威单播,如果服务端回复ACK报文,则续租成功。
-
租期冲重绑定计时器----21h
。时间超过租期的87.5%,PC发送Discover报文重新发现网络中的DHCP服务器。如果有服务器同意给PC续租,
若该续租的IP为第一次获取的IP地址,则PC刷新租期更新计时器时间
若该续租的IP不为第一次获取的IP地址,则PC会将租期更新计时器归0,发送release报文通告释放第一次的IP地址,让背后回复第二次的offer报文从而获取第二次IP地址
若没有服务器给予回复,则客户端将在租期到期时,放弃该IP地址
-
租期失效计时器 PC主动放弃使用该IP PC末能续租成功 若租期内接收到拒绝报文,则PC必须立即停止使用现有IP地址,然后重新申请IP地址
配置
[DHCP Server]interface GigabitEthernet 0/0/0
[DHCP Server-GigabitEthernet0/0/0]ip address 192.168.1.100 24
[DHCP Server]dhcp enable ----启动DHCP协议
[DHCP Server]ip pool aa ----创建名称为aa的地址池
[DHCP Server-ip-poolaa]network 192.168.1.0 mask 24 ----配置可分配IP地址范围
[DHCP Server-ip-poolaa]gateway-list 192.168.1.100 ----配置网关信息
[DHCP Server-ip-pool-aa]dns-list 8.8.8.8 ----配置dns信息
[DHCP Server-ip-pool-aa]quit
[DHCP Serverinterface GigabitEthernet 0/0/0
[DHCP Server-GigabitEthernet0/0/0]dhcp select global -----在接口调用全局地址池
[DHCP Server-GigabitEthernet0/0/0]quit
[DHCP Server]display ip interface brief---查看IP与接口的对应关系
[DHCP Server]display ip pool ----查看地址池内容
[DHCP Server-ip-poo-aalexcluded-ip-address 192.168.1.254 192.168.1.254 --排除地址,不允许分配
[DHCP Server-ip-pool-aa]lease day 0 hour 0 minute 10 ----设置租期时间
静态路由
掩码32:特殊主机路由
直连,静态,动态
静态路由的优点包括:
简单易懂:静态路由相对于动态路由来说,配置简单,易于理解和管理。网络管理员可以直接控制路由表的内容,保证了网络的安全性和稳定性。
资源消耗低:静态路由不需要协议来自动计算和交换路由信息,因此它消耗的网络带宽和设备资源较少。
可控性高:网络管理员可以根据实际需求精确地配置路由,灵活地控制数据流向,提高网络的效率和安全性
路由信息来源
-
直连路由,静态路由,动态路由
-
设备自动发现,手工配置,路由器通过运行桌种算法目行计算出路由
直连路由的生成条件:
接口双UP
必须配置IP地址
路由优先级
路由项的优先级越小,则路由项的优先度越高
路由来源 | 优先级缺省值 |
---|---|
直连路由 | 0 |
静态路由 | 60 |
RIP | 100 |
OSPF | 10 |
开销值
在静态路由和直连路由中,开销值为0。
等价路由---目的地相同,且优先级(路由发现方式)与开销值均相同,且下一跳不同
[r1]lip route-static 192.168.1.192 26 192.168.1.66
目标网段 掩码 下一跳
下一跳-----流量流经的方向的下一个路由器的入接口IP地址
静态路由协议扩展配置
-
等价路由---进行带宽叠加。
形成条件---来源相同的去往路由汇总相同目的地的且开销值相同的路由 (下一跳不 同。)
-
路由汇总:使用CIDR技术将连续的网段汇总成一个大的网段
汇总规则:母网相同,掩码相同
-
路由黑洞
在手工汇总时,可能会包含一些网络中不存在的网段,造成流量有去无回的现象,浪费设备与链路资源
-
缺省路由
目标网段:0.0.0.0/0
[r1]0.0.0.0 0 12.0.0.0
-
空接口防环
在黑洞路由器上配置一条通往汇总路由的下一跳为空接口的路由信息进行防环操作。
[r1]lip route-static 172.16.0.0 22 NULL 0
-
浮动静态路由
ip route-static 192.168.10.0 255.255.255.0 12.0.0.2
ip route-static 192.168.10.0 255.255.255.0 21.0.0.2 preference 70
动态协议
自治系统----AS
AS号---ASN---使用16位二进制进行标识---INA(互联网数字分配机构)范围1-65535
-
AS内部使用的协议---内部网关协议IGP
-
AS之间使用的协议---外部网关协议EGP
动态路由分类
按范围分
-
IGP
。RIP. OSPF .IS-IS .EIGRP
-
EGP
。EGP .BGP
IGP协议进行分类:
-
按照协议特点分类
。距离矢量型协议---DV---共享路由表
RIP。EIGRP
。链路状态型协议---LS---共享拓扑信息
OSPF,ISIS
-
按照是否携带掩码分类
有类别路由协议
。RIPv1
无类别路由协议
RIP----路由信息协议
基本概念
-
UDP协议---端口号520
-
目的IP地址
。255.255.255.255---RIPv1
。244.0.0.9---RIPv2
-
RIP使用路由的跳数作为开销值Cost,最大值为16---代表本条路由不可用
。算法: 数据包中传递的开销值=本地开销值+1
-
周期更新(保活)/触发更新
RIP协议局限性:
路径限制:RIP对路径的跳数有限制,最大支持15跳,这限制了RIP的适用范围,不适合用于大型网络。
收敛速度慢:由于RIP采用固定的更新时间和基于距离向量算法,当网络中发生拓扑变化时,RIP需要一定的时间才能收敛到最优路由。
带宽开销:RIP在网络中广播路由表信息,可能引发大量的路由更新消息,造成带宽的浪费。
RIP算法---贝尔曼福特算法
-
当接收到数据包中含有本地路由表中没有的路由项,则直接加载到本地路由表
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳相同,则将数据包中的路由项加载到本地路由表
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较cost值若本地路由表中的cost大,将将数据包中的路由项加载到本地路由表
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较cost值,若本地路由表中的cost小,则丢弃数据包中的路由项
RIP数据包
-
请求报文
-
应答报文
RIP计时器
-
更新计时器---30s
每台路由器只有一个计时器,该计时器为0则路由器向外发送更新报文
-
无效计时器-----更新计时器*6
-
每台路由器的路由表中的每一个RIP路由项都会有一个无效计时器
-
当该计时器为0时,会认为该计时器所表述的路由项无效。路由器会将该路由项的cost设置为16。并且会向外通知
-
-
垃圾收集计时器-----更新计时器*4
-
当一个路由项的无效计时器为0时,垃圾收集计时器开始计时。
-
当垃圾收集计时器为0时,路由器会删除掉该路由项。
-
RIP周期更新
-
更新原因
-
基于UDP传输
-
RIP本身没有可靠性机制
-
RIP本事没有保活机制
-
网络环路
-
依靠开销值
-
触发更新---一旦路由表中有任意路由项发生变化,则激活触发更新
-
水平分割技术---从此口进,不从此口出
-
毒性逆转----将从某个接口进入的路由,在下一次从该接口发出时,开销值设置为16
触发更新,除了可以避免大部分环路,实际最主要的作用是加快网络收敛速度
RIPv1
[r1]rip 1 ----启动RIP协议,进程号为1,仅具有本地意义
[r1-rip-1]version 1 ----选择版本一
[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类!!!
- 激活接口
- 发布路由
RIPv2
[r1]rip 1 ----启动RIP协议,进程号为1,仅具有本地意义
[r1-rip-1]version 2 ----选择版本一
[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类!!!
RIP扩展配置
-
手工汇总
-
[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0 -在路由的发出接口配置
-
-
缺省路由---这里指下发缺省路由
-
[r3-rip-1]default-route originate
-
缺省路由的下发,一定是在边界路由上做。
-
且该配置仅会让其他RIP设备学习到RIP的缺省路由
-
-
静默接口----配置了了静默接口的接口无法主动发送RIP数据包,只能被动接收RIP数据包。一般与用户相连的接口配置。
-
[r2-rip-1]silent-interface GigabitEthernet 0/0/2
-
当静默接口接收到RIP数据包时,会从静默状态转换为普通状态。
-
-
手工认证---用于路由器之间身份核实,需要在双方身上均配置(RIPv2)
-
[r2-GigabitEthernet0/0/1]rip authentication-mode simple plain 123456
-
-
加速收敛---减少计时器时间
[r1-rip-1]timers rip 10 60 40
全网均需要修改
ACL技术---访问控制列表
对于网络中流量的一种处理方式(放通,拒绝)。
ACL功能:
-
访问控制
-
在设备的流入或流出接口上,匹配流量,然后执行设定的动作
-
允许---permit
-
拒绝---deny
-
-
抓取流量
-
ACL经常与其他协议共同使用。---所有动作均为允许。
-
ACL 的作用如下:
访问控制:ACL 可以限制网络中哪些主机或用户能够访问受保护的资源或服务。通过配置适当的规则,可以防止未经授权的访问和保护网络安全。
流量过滤:ACL 可以对通过网络设备的数据流进行过滤,根据规则对数据包进行匹配和处理,从而控制流量的传输。例如,可以允许或拒绝特定 IP 地址范围的数据包通过设备,或限制某些协议或端口的使用。
优化性能:通过限制特定类型的流量或禁止不必要的流量传输,ACL 可以提高网络设备的性能,减少网络拥塞和带宽浪费。
ACL匹配规则
自上而下,逐一匹配,若匹配成功则按照相应规则执行,不再向下匹配;若没有匹配上,则执行默认规则。(在华为中为允许所有)
-
基本ACL
-
基于IP报文原IP地址定义规则。
-
编号2000-2999
-
-
高级ACL
-
基于原目IP。IP报文协议字段,IP报文优先级,IP报文长度,TCP源目端口号、UDP源目端口等信息来定义规则
-
编号:3000-3999
-
-
二层ACL
-
基于MAC地址定义规则
-
编号:4000-4999
-
-
用户自定义ACL
需求一
-
PC1可以访问192.168.2.0/24网段,而PC2不可以
-
分析:
-
仅对源地址有要求,配置基本ACL
-
基本ACL配置规则----靠近目的进行配置。
-
配置:
[r2]acl 2000 ----创建基本ACL列表
[r2-acl-basic-2000]rule permit source 192.168.1.253 0.0.0.0 ---创建规则
通配符---32位二进制,0代表不可变,1代表可变。
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ---在0/0/1接口的出方向调用acl2000列表
一个接口的一个方向只能调用一张ACL列表。但是一张ACL列表可以在多个接口调用。
[r2]display acl 2000 ---查看ACL列表
例1:
仅允许192.168.1.1通过
rule permit source 192.168.1.1 0.0.0.0
例2:
拒绝192.168.1.2和192.168.1.3通过
rule deny source 192.168.1.2 0.0.0.1
11000000.10101000.00000001.00000010
00000000.00000000.00000000.00000001
例3:
拒绝192.168.1.0/24网段中的所有单数IP地址通过。
rule deny source 192.168.1.1 0.0.0.254
11000000.10101000.00000001.00000001
00000000.00000000.00000000.11111110
需求二
要求PC1可以访问PC3,但是不能访问PC4。
分析:对目标有要求,使用高级ACL;更靠近源。
[r1]acl 3000
[r1-acl-adv-3000]rule permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.253
0.0.0.0
[r1-acl-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.252 0.0.0.0
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
需求三
要求:PC1可以ping通R2,但是不能telnet R2。
[r1]acl 3100
[r1-acl-adv-3100]rule permit icmp source 192.168.1.253 0 destination 2.2.2.2 0
[r1-acl-adv-3100]rule deny tcp source 192.168.1.253 0 destination 2.2.2.2 0 dest
ination-port eq 23
[r1-GigabitEthernet0/0/0]traffic-filter outbound acl 3100