VTP
-
虚拟局域网中继协议
-
从一点维护整个网络上VLAN的添加、删除和重命名工作
VTP域的组成
- 具有相同域名,通过Trunk相连的一组交换机
VTP的运行模式
-
服务器模式(Server)
- 可以创建、删除和修改VLAN
- 学习、转发相同域名的VTP通告
-
客户机模式(Client)
- 学习、转发相同域名的VTP通告
- 不可以创建、删除和修改VLAN
-
透明模式(Transparent)
- 可以创建、删除和修改VLAN,但只在本地有效
- 转发但不学习VTP通告
VTP学习VLAN时 需要trunk端口
//创建VTP域
Switch(config)# vtp domain domain_name
//配置交换机的VTP模式
Switch(config)# vtp mode [ server | client | transparent ]
//配置VTP版本
Switch(config)# vtp version 2
//配置VTP密码
Switch(config)# vtp password 密码
//查看VTP配置信息
Switch# show vtp status
在三层路由器上部署DHCP服务器
//在三层路由器上部署DHCP服务器
conf t
ip dhcp excluded-address 开始IP 结束IP 排除地址
ip dhcp pool v1[地址池名字] 创建DHCP地址池
network 1.1.1.0[网段] 255.255.255.0
default-router 1.1.1.254 默认路由
dns-server 8.8.8.8 DNS服务器
lease ? ? ? 租约 lease 天数
exit
//删除配置命令
conf t
no ip dhcp excluded-address 开始IP 结束IP
no ip dhcp pool v1[地址池名字]
/*
DHCP中继 在VLAN时候 DHCP需要广播
*/
interface 进入子接口
ip helper-address DHCP服务器IP
ICMP
网络探测与回馈
ICMP协议的封装格式:
– ICMP 头
ICMP类型字段:8代表ping请求 0代表ping应答 3代表目标主机不可达 11代表TTL超时
– 数据
//路由跟踪
tracert ip地址 [windows]
traceroute ip地址 [linux或路由器]
三层交换机
ip routing 开启三层路由功能
//三层交换机上起虚接口(配置VLAN的网关)
int vlan 10
ip add 10.1.1.254 255.255.255.0
no shut
exit
//将二层端口升级为三层端口
interface
no switchport
HSRP协议
-
热备份路由协议
HSRP组的成员:
虚拟路由器
活跃路由器
备份路由器
其他路由器
HSRP优先级:1-255 默认为100
HSRP组成员通过定时发送hello包来交流,默认每隔3秒 hello时间为3秒,坚持时间为10秒
占先权:当检测不到对方,或检测对方的优先权比自己低,立即抢占活跃路由
//创建热备份
interface 接口 进入网关接口
standby ID ip IP地址 指定组号和虚拟IP
standby ID priority 整数 配置优先级
standby ID preempt 设置占先权(备份路由必须配,而活跃路由器可以不用配)
//跟踪track,跟踪外网端口状态,如果外网端口down,则自降优先级
standby ID track 端口 [自降值] 跟踪端口
show standby brief 查看详情
show standby 查看详细信息
ACL
ACL是一种包过滤技术 (感觉和防火墙的策略有点类似)
ACL主要分为2大类
- 标准ACL
/**
表号:1-99
特点:只能基于源IP对包进行过滤
*/
conf t
/**(反子网掩码:将正子网掩码0和1倒置 )
*正:255.0.0.0 反:0.255.255.255
*反子网掩码作用:用来匹配,与0对应的需要严格匹配,与1对应的忽略
* access-list 1-99 deny 1.1.1.1 0.0.0.255 则IP地址前三位严格匹配,最后一位无所谓 即拒绝源网段为1.1.1.0中的所有IP的信息
*/
access-list 表号 permit/deny 源IP或源网段 反子网掩码
access-list 表号 permit/deny host 主机IP 拒绝或允许一台主机数据通过
access-list 表号 permit/deny any 拒绝或允许所有人
no access-list 表号 删除表
show ip access-list [表号] 查看ACL表
//将ACL表应用到接口
int f0/x
ip access-group 表号 in/out
exit
- 扩展ACL
/**
表号:100-199
特点:可以基于源IP、目标IP、端口号、协议等对包进行过滤
*/
conf t
/**
*协议:TCP/UDP/ICMP/IP等
*写端口号了 协议是TCP/UDP
*/
access-list 表号[100-199] permit/deny 协议 源IP或源网段 反子网掩码 目标IP或目标网段 反子网掩码 [eq 端口号]
注意
- ACL表必须应用到接口的进或出方向才生效
- 一个接口的一个方向只能应用一张表
- ACL表是严格自上而下检查每一条
- 每一条是由条件和动作组成,当某网络流量没有满足某条件,则继续检查下一条,如果满足条件则执行动作
- 一般情况下,标准或扩展ACL一旦编写好,无法修改某一条,也无法删除某一条和修改顺序,只能在最后添加新的条目
命名ACL
-
可以对标准或扩展ACL进行自定义命名
-
自定义命名更容易辨认,可以任意修改某一条,或删除一条,也可以向中间插一条
ip access-list standard/extended 表名[自定义]
permit/deny 源IP或源网段 反子网掩码
或
permit/deny 协议 源IP或源网段 反子网掩码 目标IP或目标网段 反子网掩码 [eq 端口号]
//删除
no id[表中的ID]
//插入
id[表中的ID] permit/deny 源IP或源网段 反子网掩码
私有IP地址范围:
- 10.0.0.0/8
- 172.16.0.0/16 - 172.31.0.0/16
- 192.168.0.0/16
NAT
NAT主要实现公私有IP地址的装换,一般是在路由器或者防火墙上来完成
NAT有三大类
- 静态NAT
- 动态NAT
- PAT
//定义内外网端口
int f0/0
ip nat inside
exit
int f0/1
ip nat outside
exit
//配置PAT
access-list 表号 permit 192.168.0.0 0.0.255.255 定义内部地址池
ip nat inside source list 表号 interface f0/1 overload 做PAT动态映射
//配置静态端口转换:
conf t
ip nat inside source static tcp 192.168.1.1 80 100.1.1.1 80 [端口映射 ]
show ip nat translations 查看地址转换表
clear ip nat translations * 清空地址转换表
动态路由
- 动态路由协议概述:路由器之间用来交换信息的语言
- 度量值:跳数、带宽、负载、时延、可靠性、成本
- 收敛:使所有路由表都达到一致状态的过程
按照路由执行的算法分类
-
距离矢量路由协议
- 依据从源网络到目标网络所经过的路由器的个数选择路由
- RIP、IGRP
-
链路状态路由协议
- 综合考虑从源网络到目标网络的各条路径的情况选择路由
- OSPF、IS-IS
RIP是距离-矢量路由选择协议
RIP的基本概念
- 定期更新
- 邻居
- 广播更新
- 全路由表更新
RIP度量值为跳数:最大跳数为15跳,16跳为不可达
RIP更新时间:每隔30s发送路由更新消息,UDP520端口
RIP v1:
Router rip
version 1
network 10.0.0.0 [只是激活对应的端口,而不是学习路由,学习是其他路由器通过协议传过来的]
network 20.0.0.0 [书写格式ABCD类写 20.1.1.1写成20.0.0.0]
exit
RIP v2:
Router rip
version 2
no auto-summary
network 10.0.0.0
network 20.0.0.0
exit