VTP、HSRP、ACL、NAT、路由器等学习笔记

VTP

• 虚拟局域网中继协议

• 从一点维护整个网络上VLAN的添加、删除和重命名工作

VTP域的组成

• 具有相同域名，通过Trunk相连的一组交换机

VTP的运行模式

• 服务器模式（Server）

  • 可以创建、删除和修改VLAN
  • 学习、转发相同域名的VTP通告

• 客户机模式（Client）

  • 学习、转发相同域名的VTP通告
  • 不可以创建、删除和修改VLAN

• 透明模式（Transparent）

  • 可以创建、删除和修改VLAN，但只在本地有效
  • 转发但不学习VTP通告

VTP学习VLAN时 需要trunk端口

//创建VTP域
Switch(config)# vtp domain domain_name

//配置交换机的VTP模式
Switch(config)# vtp mode [ server | client | transparent ] 

//配置VTP版本
Switch(config)# vtp version 2
//配置VTP密码
Switch（config）#  vtp password  密码
//查看VTP配置信息
Switch# show vtp status

在三层路由器上部署DHCP服务器

//在三层路由器上部署DHCP服务器
conf t
	ip dhcp excluded-address 开始IP 结束IP 排除地址
	ip dhcp pool v1[地址池名字]  创建DHCP地址池
		network 1.1.1.0[网段]	255.255.255.0  
		default-router 1.1.1.254  默认路由
		dns-server 8.8.8.8 DNS服务器
		lease ? ? ? 租约 lease 天数
		exit
//删除配置命令
conf t
	no ip dhcp excluded-address 开始IP 结束IP
	no ip dhcp pool v1[地址池名字]
	
	
	
/*
DHCP中继 在VLAN时候 DHCP需要广播
*/
interface 进入子接口
	ip helper-address DHCP服务器IP

ICMP

  网络探测与回馈

  ICMP协议的封装格式：

    – ICMP 头

       ICMP类型字段：8代表ping请求 0代表ping应答 3代表目标主机不可达 11代表TTL超时

    – 数据

//路由跟踪
tracert ip地址	[windows]
traceroute ip地址	[linux或路由器]

三层交换机

ip routing 开启三层路由功能

//三层交换机上起虚接口（配置VLAN的网关）
int vlan 10
	ip  add  10.1.1.254  255.255.255.0
    no shut
    exit

//将二层端口升级为三层端口
interface 
	no switchport

HSRP协议

• 热备份路由协议

  HSRP组的成员：

    虚拟路由器

    活跃路由器

    备份路由器

    其他路由器

​ HSRP优先级：1-255 默认为100

​ HSRP组成员通过定时发送hello包来交流，默认每隔3秒 hello时间为3秒，坚持时间为10秒

​ 占先权：当检测不到对方，或检测对方的优先权比自己低，立即抢占活跃路由

//创建热备份
interface 接口	进入网关接口
	standby ID ip IP地址	指定组号和虚拟IP
	standby ID priority 整数		配置优先级
	standby ID preempt	设置占先权（备份路由必须配，而活跃路由器可以不用配）
//跟踪track，跟踪外网端口状态，如果外网端口down，则自降优先级
	standby ID track 端口 [自降值]  跟踪端口

show standby brief	查看详情
show standby		查看详细信息

ACL

ACL是一种包过滤技术 （感觉和防火墙的策略有点类似）

ACL主要分为2大类

• 标准ACL

/**
表号：1-99
特点：只能基于源IP对包进行过滤
*/
conf t
	/**（反子网掩码：将正子网掩码0和1倒置 ）
	*正：255.0.0.0 反：0.255.255.255
	*反子网掩码作用：用来匹配，与0对应的需要严格匹配，与1对应的忽略
	* access-list 1-99 deny 1.1.1.1 0.0.0.255 则IP地址前三位严格匹配，最后一位无所谓 即拒绝源网段为1.1.1.0中的所有IP的信息
	*/
	access-list 表号 permit/deny 源IP或源网段 反子网掩码	
	access-list 表号 permit/deny host 主机IP  拒绝或允许一台主机数据通过
	access-list 表号 permit/deny any 拒绝或允许所有人
	
	no access-list 表号 删除表
	show ip access-list [表号]   查看ACL表
	
//将ACL表应用到接口
int f0/x
	ip access-group 表号 in/out
	exit

• 扩展ACL

/**
表号：100-199
特点：可以基于源IP、目标IP、端口号、协议等对包进行过滤
*/
conf t
	/**
	*协议：TCP/UDP/ICMP/IP等
	*写端口号了 协议是TCP/UDP
	*/
	access-list 表号[100-199] permit/deny 协议 源IP或源网段 反子网掩码 目标IP或目标网段 反子网掩码 [eq 端口号]

注意

• ACL表必须应用到接口的进或出方向才生效
• 一个接口的一个方向只能应用一张表
• ACL表是严格自上而下检查每一条
• 每一条是由条件和动作组成，当某网络流量没有满足某条件，则继续检查下一条，如果满足条件则执行动作
• 一般情况下，标准或扩展ACL一旦编写好，无法修改某一条，也无法删除某一条和修改顺序，只能在最后添加新的条目

命名ACL

• 可以对标准或扩展ACL进行自定义命名

• 自定义命名更容易辨认，可以任意修改某一条，或删除一条，也可以向中间插一条

ip access-list standard/extended 表名[自定义]
	permit/deny 源IP或源网段 反子网掩码
	或
	permit/deny 协议 源IP或源网段 反子网掩码 目标IP或目标网段 反子网掩码 [eq 端口号]
	
	//删除
	no id[表中的ID]
	
	//插入
	id[表中的ID] permit/deny 源IP或源网段 反子网掩码

私有IP地址范围：

• 10.0.0.0/8
• 172.16.0.0/16 - 172.31.0.0/16
• 192.168.0.0/16

NAT

NAT主要实现公私有IP地址的装换，一般是在路由器或者防火墙上来完成

NAT有三大类

• 静态NAT
• 动态NAT
• PAT

//定义内外网端口
int f0/0
	ip nat inside
	exit
int f0/1
	ip nat outside
	exit

//配置PAT
access-list 表号 permit 192.168.0.0 0.0.255.255 定义内部地址池
ip nat inside source list 表号 interface f0/1 overload  做PAT动态映射

//配置静态端口转换：
conf  t
ip  nat  inside  source  static  tcp  192.168.1.1  80  100.1.1.1  80     [端口映射 ] 

show ip nat translations 查看地址转换表
clear ip nat translations * 清空地址转换表

动态路由

• 动态路由协议概述：路由器之间用来交换信息的语言
• 度量值：跳数、带宽、负载、时延、可靠性、成本
• 收敛：使所有路由表都达到一致状态的过程

按照路由执行的算法分类

• 距离矢量路由协议

  • 依据从源网络到目标网络所经过的路由器的个数选择路由
  • RIP、IGRP

• 链路状态路由协议

  • 综合考虑从源网络到目标网络的各条路径的情况选择路由
  • OSPF、IS-IS

RIP是距离-矢量路由选择协议

RIP的基本概念

• 定期更新
• 邻居
• 广播更新
• 全路由表更新

RIP度量值为跳数：最大跳数为15跳，16跳为不可达

RIP更新时间：每隔30s发送路由更新消息，UDP520端口

RIP v1:
Router  rip
   version  1
   network   10.0.0.0	[只是激活对应的端口，而不是学习路由，学习是其他路由器通过协议传过来的]
   network   20.0.0.0	[书写格式ABCD类写 20.1.1.1写成20.0.0.0]
   exit
   
RIP v2:
Router  rip
   version  2
   no  auto-summary
   network   10.0.0.0
   network   20.0.0.0
   exit