第一章:计算机网络的诞生与发展
一、计算机网络概述
(1)计算机网络发展史
应用层:把人类语言转换成编码
表示层:把编码转换成二进制(0、1)
介质访问控制层:将二进制转换成电信号
物理层:通过一些传输线缆去传输电信号
(2)计算机网络规模
通过传输介质扩大网络信号的覆盖范围
同轴电缆:
优点:不易弯折、比较耐用,抗电磁干扰强、传输距离长(500米)
缺点:成本高、传输速率低155Mb/s
b、Kb、Mb、Gb 、Tb
bit:比特(0、1)
1Kb=1024b
文件大小:字节(Byte)
1B=8b
B、KB、MB、GB
1KB=1024B
双绞线:
结构:8根线芯,两两相绞
线序:
T568A:白绿、绿 白橙、蓝 白蓝、橙 白棕、棕
T568B:白橙、橙 白绿、蓝 白蓝、绿 白棕、棕
水晶头类型:
RJ45
RJ11
网线分类:
屏蔽双绞线:
非屏蔽双绞线:
优点:造价成本低,传输速度高缺点:传输距离短,只有100米
光纤:
单模光纤:纤芯比较细,传递单一光源,传输距离5KM,黄色,1310nm
多模光纤:纤芯比较粗,传递多种光源,传输距离2KM,橙色或者水绿色,850nm
商用光纤:100Gb/S
无线传输介质:蓝牙、红外线、电磁波、卫星通信系统
接入网络的用户数量增加
(3)计算机网络拓扑结构
节点:指网络中各种各样的网络设备
总线型网络:
结构:所有节点共用一根通信线路
优点:同一时刻只能有两个节点收发消息,所以通信效率高
组网成本低
缺点:安全性低,一个节点发消息,其他节点都能收到
通信线路故障,造成整个网络瘫痪
网络延伸有限,容纳节点数量有限
星型网络:
结构:边缘节点通过中心节点相连
优点:组网简单
中心节点监视整个网络
缺点:安全性低,所有节点发送数据都必须通过中心节点
中心节点故障,整个网络瘫痪
网络延伸不容易
环形网络:
结构:相邻节点两两互联,形成封闭的环形
优点:组网简单、节省成本
缺点:浪费通信线路
不容易延伸网络
故障节点越多,造成的网络问题越严重
树型网络:
结构:一种层次化的星型
优点:容易扩充网络规模
缺点:层级越高的节点出现问题,造成的网络问题越严重
网状型网络:
结构:节点之间两两互联,形成多条通信线路
优点:线路可靠性高缺点:组网成本高,组网复杂、网络不容易扩充新节点
二、网络设备简介
(1)集线器:
特点:
内部为总线型结构,所有主机共用一条通信线路
同一时刻只能有两个设备通信,通信线路利用率高;
一个主机发消息,其他人都能收到-----没有寻址能力
组网问题:
泛洪传输:一个主机发消息,其他人都能收到-----没有寻址能力
地址问题:解决谁收谁发问题
MAC地址:
48位二进制 ------ 前24位代表厂家,后24为由厂家编写,
16进制:每4位代表一位16进制
冲突问题:CSMA/CD技术---载波侦听多路访问/冲突检测
(2)网桥:网桥的每一个接口都能隔离一个冲突域
网桥中的站表存储有各个MAC地址及对应接口
(3)交换机:转发数据,多接口的网桥,自学习能力
在收到数据帧后,交换机学习帧的源MAC地址,然后在MAC地址表中查询该帧的目的MAC地址,并将帧从对应的端口转发出去。
MAC地址表:
端口 MAC地址
g0/0/1 MAC1
g0/0/2 MAC2
MAC地址表形成过程:
1.初始时,交换机的MAC地址表是空的
2.主机1发送数据帧给主机2.
交换机的主机1对应接口收到数据帧后,在MAC地址表中查询该帧的对应MAC地址,若无对应目标,则收到的数据帧是“未知单播帧”
3.交换机在MAC地址表中无对应项目,则交换机对该单播帧进行泛洪操作
同时,交换机记录该帧的MAC地址,及其对应接口关系
4.在目标主机2接收到泛洪后,对比确认MAC地址后,对主机1进行单播回复
5.交换机查到主机1的MAC地址及接口后,从对应接口发送
记录创建主机2的MAC地址表项
目标MAC:MAC1 源MAC地址:MAC2+数据
MAC地址表特点:
MAC地址老化时间300S;
一个MAC地址只能对应一个接口,一个接口可以对应多个MAC地址
MAC地址广播风暴问题:侵占交换机内存,让交换卡死
交换机处理数据的方式:
广播:收到一个未知单播帧,除了收到的数据帧的端口外,从交换机其他接口广播发出,
单播:如果MAC地址表存在,去往目标MAC地址的对应关系,则 一对一转发
丢弃:收到数据帧中的MAC地址与自身主机不匹配,则主机丢弃
(4)路由器:
特点:提供路由,转发数据,隔离广播域,标识广播域,扩大网络传输的范围,工作在三层设备IP地址:192.168.1.1
子网掩码:255.255.0.0
通过一个IP和子网掩码标识一个广播域
IP地址格式:
IPV4地址:192.168.1.1 ------点分十进制---------32位二进制构成
IPV6地址:由128位二进制构成
fe80:0000:0001:0000:0440:44ff:1233:5678 冒分十六进制表示
二进制与十进制转换
0000 0000 ----0
0000 0001-----1----2^0
0000 0010-----2----2^1
0000 0100-----4----2^2
0000 1000------8----2^3
0001 0000----16
0010 0000----32
0100 0000---64
1000 0000---128
1111 1111------255
IP地址组成:网络位+主机位
点分十进制表示法:十进制:192.168.10.1 4 byte
二进制:1100 0000.1010 1000.0000 1010.0000 0001 32 bit
二进制与十进制转换:(加,取二进制位1的部分相加)
1100 0001: 128+64+1=193
1001 1100:128+16+8+4=156
1010 1101:128+32+8+4+1=173
十进制与二进制转换:(凑)
192=128+64 1100 0000
168=128+32+8 1010 1000
159=128+16+8+4+2+1 1001 1111
1---0000 0001
100=64+32+4 0110 0100
134=128+4+2 1000 0110
25=16+8+1 0001 1001
8 0000 1000
ARP协议:地址解析协议,根据已知IP地址解析对应的MAC地址
组网完成后,主机的ARP表是空的
通过arp request(arp 请求报文)广播寻址主机2的MAC地址
主机2收到后,会看报文中目标IP地址,看下是否与自身IP地址一样,若一样则给主机做个回复,同时
主机2会记录主机1的IP地址与MAC地址的对应关系到自己的ARP表中,主机2发送arp reply(ARP 回复),单播回复,同时,主机1会记录主机2的IP地址与MAC地址的对应关
系到自己的ARP表中,
总结;广播发送,单播回复
ARP表特点:每隔180秒刷新一次
ARP分类
正向ARP:
反向ARP:根据MAC地址解析IP地址
免费ARP:1、自报家门 2、IP地址冲突检测
1.发送ARP Request请求10.1.0.2的MAC地址
2.发送ARP Reply10.1.0.2的MAC地址是C
3.发送IP数据源IP 10.1.0.1的目的IP 10.2.0.1源MAC A 目的的MAC C
4.发送ARP Request请求 10.2.0.1的MAC地址
5.主机B回应ARP Reply 10.2.0.1的MAC是 B
6.发送IP数据源IP 10.1.0.1 目的IP 10.2.0.1 源MAC D目的MAC B
目标MAC:C 源MAC:A +目标IP:10.2.0.1 源IP:10.1.0.1+数据
目标MAC:B 源MAC:D+目标IP:10.2.0.1 源IP:10.1.0.1+数据
总结:
如果目的IP和本机IP属于同一网段,会直接查询目的IP的MAC地址,查询MAC地址表进行转发
如果目的IP和本机IP不属于同一网段,会直接查询网关IP地址的MAC地址,先转发到网关路由器,再由其查询路由表
进行转发
三、IP地址详解
(1)IP地址分类(自然或主类划分)IP结构:网络位+主机位
子网掩码:标识一个IP地址的网络位,用1表示
2^主机位位数-2
A类:0-126 子网掩码:255.0.0.0 可用IP地址数量:2^24-2
B类:128-191 子网掩码:255.255.0.0 可用IP地址数量:2^16-2=65534
C类:192-223 子网掩码:255.255.255.0 可用IP地址数量:2^8-2=254
D类:224-239 组播地址------224.0.0.5 224.0.0.6 224.0.0.9
E类:240-255 保留地址,用于科研、军事比较重要的单位使用
(2)特殊IP地址
环回地址:测试本机TCP/IP组件好着没,测试网络(内网)通性-----ping命令,,,127.0.0.1--
-127.255.255.254
全0地址:0.0.0.0---代表没有IP地址,代表所有IP地址
全1地址:255.255.255.255 ----受限广播(受路由器限制)
主机位全0地址:172.16.0.0/16----网络地址(范围)
可用IP地址范围:172.16.0.1----172.16.255.254
主机位全1地址:172.16.255.255-----广播地址
练习:
200.100.0.0/24
IP地址范围:200.100.0.0----200.100.0.255
网络地址:200.100.0.0
广播地址:200.100.0.255
IP地址范围:200.100.0.1----200.100.0.254
(3)VLSM和CIDR
VLSM:可变长的子网掩码------增加IP地址数量。使网络地址划分更加灵活
IP结构:网络位+子网位+主机位
192.168.1.0/24划分成4个子网
(1)192.168.1.0000 0000/26----192.168.1.0/26
可用IP地址范围:192.168.1.0000 0001----192.168.1.0011 1110 192.168.1.1/26---192.168.1.62/26
网络地址:192.168.1.0/26
广播地址:192.168.1.63/26
可用IP地址数量:2^6-2=62
(2)192.168.1.0100 0000/26----192.168.1.64/26
可用IP地址范围:192.168.1.0100 0001----192.168.1.0111 1110 192.168.1.65/26---192.168.1.126/26
网络地址:192.168.1.64/26
广播地址:192.168.1.127/26
可用IP地址数量:2^6-2=62
(3)192.168.1.1000 0000/26----192.168.1.128/26
可用IP地址范围:192.168.1.1000 0001----192.168.1.1011 1110 192.168.1.129/26---192.168.1.190/26
网络地址:192.168.1.128/26
广播地址:192.168.1.191/26
可用IP地址数量:2^6-2=62
(4)192.168.1.1100 0000/26----192.168.1.192/26
可用IP地址范围:192.168.1.1100 0001----192.168.1.1111 1110 192.168.1.193/26---192.168.1.254/26
网络地址:192.168.1.192/26
广播地址:192.168.1.255/26
地址数可用IP地址数量:2^6-2=62
练习:172.16.0.0/16划分8个子网------2^借位数=划分的子网数量
(1)172.16.0000 0000.0000 0000----172.16.0.0/19
可用IP地址范围:172.16.0000 0000.0000 0001---172.16.0001 1111.1111 1110 172.16.0.1/19--
-172.16.31.254/19
网络地址:172.16.0.0/19
广播地址:172.16.31.255/19
可用IP地址数量:2^13-2=8190
(2)172.16.0010 0000.0000 0000----172.16.32.0/19
可用IP地址范围:172.16.0010 0000.0000 0001---172.16.0011 1111.1111 1110 172.16.32.1/19--
-172.16.63.254/19
网络地址:172.16.32.0/19
广播地址:172.16.63.255/19
可用IP地址数量:2^13-2=8190
(3)172.16.0100 0000.0000 0000----172.16.64.0/19
可用IP地址范围:172.16.0100 0000.0000 0001---172.16.0101 1111.1111 1110 172.16.64.1/19--
-172.16.95.254/19
网络地址:172.16.64.0/19
广播地址:172.16.95.255/19
可用IP地址数量:2^13-2=8190
(4)172.16.0110 0000.0000 0000----172.16.96.0/19
可用IP地址范围:172.16.0110 0000.0000 0001---172.16.0111 1111.1111 1110 172.16.96.1/19--
-172.16.127.254/19
网络地址:172.16.96.0/19
广播地址:172.16.127.255/19
可用IP地址数量:2^13-2=8190
(5)172.16.1000 0000.0000 0000----172.16.128.0/19
可用IP地址范围:172.16.1000 0000.0000 0001---172.16.1001 1111.1111 1110 172.16.128.1/19--
-172.16.159.254/19
网络地址:172.16.128.0/19
广播地址:172.16.159.255/19
可用IP地址数量:2^13-2=8190
(6)172.16.1010 0000.0000 0000----172.16.160.0/19
可用IP地址范围:172.16.1010 0000.0000 0001---172.16.1011 1111.1111 1110 172.16.160.1/19--
-172.16.191.254/19
网络地址:172.16.160.0/19
广播地址:172.16.191.255/19
可用IP地址数量:2^13-2=8190
(7)172.16.1100 0000.0000 0000----172.16.192.0/19
可用IP地址范围:172.16.1100 0000.0000 0001---172.16.1101 1111.1111 1110 172.16.192.1/19--
-172.16.223.254/19
网络地址:172.16.192.0/19
广播地址:172.16.223.255/19
可用IP地址数量:2^13-2=8190
(8)172.16.1110 0000.0000 0000----172.16.224.0/19可用IP地址范围:172.16.1110 0000.0000 0001---172.16.1111 1111.1111 1110 172.16.224.1/19--
-172.16.255.254/19
网络地址:172.16.224 .0/19
广播地址:172.16.255.255/19
可用IP地址数量:2^13-2=8190
4、子网划分综合练习题:
在192.168.1.0/24的C类主网络内,需要划分出1个可容纳100台主机的子网、1个可容纳50台主机的子
网、2个可容纳25台主机的子网,应该如何划分?
(1)请写出详细解题和计算思路
答:划分思路:先给主机数量多的划分网段,再从其他网段中给主机数量少的划分网段
192.168.1.0000 0000----192.168.1.0/25-----100台
192.168.1.1000 0000----192.168.1.128/26----50台
192.168.1.1100 0000----192.168.1.192/26
192.168.1.1100 0000---192.168.1.192/27----25台
192.168.1.1110 0000---192.168.1.224/27----25台
CIDR:域间无类路由汇总(子网汇总)-----连续网段-----取相同,去不同
192.168.0.0/24----192.168.0000 0100.0
192.168.1.0/24----192.168.0000 0101.0
192.168.2.0/24----192.168.0000 0110.0
192.168.3.0/24----192.168.0000 0111.0
汇总完:192.168.0.0/22
192.168.4.0/22
第二章:两种参考模型
一、OSI参考模型-----OSI/RM-----开放式的系统互联参考模型
ISO-----国际标准化组织
(1)产生背景
1、各大厂商都有自己的协议
2、跨厂商设备不兼容;
3、用户购买维护设备成本高
(2)每层作用
应用层:为应用程序提供网络服务
表示层:定义数据的格式,对数据进行加密、解密、压缩、解压缩
会话层:对通信双方的会话进行建立、维护、拆除------session id----同一个应用程序的不同进程间
传输层:建立端到端的连接(逻辑上的连接)---端口号
端口号:0-65535,其中0和65535系统保留端口号
知名端口号:1-1023,众所周知的协议提供端口号
HTTP:超级文本传输协议---80----TCP
HTTPS:安全的超级文本传输协议----8080---TCP
FTP:文件传输协议---20、21----TCP
SMTP:简单邮件传输协议,发送邮件---25---TCP
POP3:邮局协议,接收邮件---110----TCP
DNS:域名解析系统------将域名和IP地址做个转换----53------TCP/UDP
DHCP协议:动态主机配置协议,自动获取IP地址----67、68------UDP
telenet协议:远程登录协议---23----TCP
动态端口号:1024-65534,客户端
网络层:IP寻址,提供路由----路由器
数据链路层:交换机----MAC地址寻址,封装成帧、差错检测、流量控制
物理层:传输比特流(传输二进制)、定义一些参数标准(定义电压、接口、线缆、传输距离、信号传输的模式等物理参数)
信号传输的模式:1.单工模式:同一时刻,只有一个设备进行收或者发消息(收音机)
2.半双工模式:同一时刻,两端的设备不能同时发送或者接收数据 (对讲机)
3.全双工模式:同一时刻,两端的设备都能同时发送或者接收数据
(3)通讯过程(封装与解封装)
封装:在原始数据的基础上额外加了一些头部信息
解封装:拆掉封装的额外头部信息,漏出最原始的数据
过程:1.数据发送:从上到下层层封装 2.接收时:从下至上层层解封装
二、TCP/IP参考模型
(1)产生背景
1、OSI抢占市场失败
2、OSI划分的层次太多,会话层和表示层存在的意义不大
(2)模型类型及区别
(3)通讯过程(封装与解封装)
PDU:协议数据单元
三、TCP/IP协议簇及抓包分析
1、TCP协议------传输控制协议
(1)头部:固定的头部长度20字节,范围:20-60字节
source port:源端口号
destination port:目标端口号
seq number:序列号,表示本机发出的数据报文的编号
Ack number:确认序列号:标识请求对方下次发送的数据报文的编号;表示已经收到对方的数据报文了
reserved:保留字段,留给未开发的功能
URG=1,urgent pointer ,紧急指针位,优先发送紧急数据
PSH:push,推,让缓冲区中的数据能尽快的到达发送端
RST:重置,重新发送数据
window:窗口,通告本机接收或发送数据的能力
checksum:校验和,保证数据在传输中的完整性
data:从应用层传下来的数据
(2)TCP的可靠机制:
TCP连接机制:
TCP三次握手:
SYN:连接建立
TCP一次连接建立的三次过程
第一次:由客户端发出连接请求到服务器,服务器收到后可以确定客户的发送与自身的接收没问题。
第二次:再由服务器回话个客户,让客户知道自己的发送与接受没问题,这时服务器还不知自己的发送是否有碍,
第三次:需客户在此回话表示服务器的发送无碍时,方可以稳定建立连接,三次握手完成后就可以进行数据传输。
TCP三次握手抓包图
MSS---最大分段长度-----1500字节
TCP的四次挥手:
FIN:标志着断开连接
TCP四次挥手抓包图:
TCP四次挥手总结:
第一次:若由客户端发出断开请求时,当服务器收到后,表明了客户没有要给服务器发送数据的事。
第二次:当服务器收到后,再次回复给客户端表明同意你的请求。
第三次:再次由服务器给客户端发送关闭连接的请求。
第四次:客户端收到后,再次给服务器发送同意的信息时,就会关闭连接,此时当客户端等待2msl时,客户端依旧没有收到信息时,则证明服务器已正常关闭,此时客户端就可以正常关闭。
TCP确认重传机制:
1.滑动窗口机制:通过窗口大小,通告本机的接收能力,从而实现流量控制
2.完整性校验机制:通过checksum字段,实现对数据完整性的校验,保证数据在传输中的完整性
TCP确认重传机制
Ack=上一次的seq+上一次的len
seq=上一次的Ack
滑动窗口机制:通过窗口大小,通告本机的接收能力,从而实现流量控制
完整性校验机制:通过checksum字段,实现对数据完整性的校验
(3)TCP协议的特点
面向连接,可靠协议;
实现流量控制;
进行数据分段;
(4)适用场景:
对传输效率要求比较低,可靠性要求高,浪费带宽资源
2、UDP协议----用户数据协议
(1)头部
(2)UDP特点:
不面向连接,不可靠协议;
没有流量控制机制;
(3)使用场景
对传输效率要求比较高,可靠性要求低,不浪费带宽资源
3、IP协议----互联网协议
(1)IP头部格式
version:版本号,IPV4/IPV6
IHL:IP报文的头部长度,固定长度:20字节 ,范围:20-60字节
type of service:服务类型,QOS(服务质量),控制数据的优先级
total length:总长度=IP头部+从上层传下的数据长度
identification:标识符。保证数据被分片后,区别与网络中其他IP数据报文
MTU----最大传输单元----1500字节
flags:标志位
DF=1,不分片
MF=1,分片
fragment offset:分片偏移,表示在原始数据报文中分片后的位置
TTL:生存时间,代表数据包经过的路由器数量,0-255
protocol:标识上层协议
header checksum:头部校验和,对IP协议的头部做个校验
(2)tcp分段和IP分片
TCP分段:MSS
IP分片:MTU
4、ICMP协议-----网际报文控制协议
(1)作用:差错(或异常)报告;----ping
网络探询;----tracert
(2)头部
(3)实现工具
ping命令 :测试网络连通性
查询报文:我们可以通过发包数量与回报数量来判断目标的状况
ECHO REquest:ping命令请求
ECHO REPLY:ping命令回复
差错检测报文:
网络不可达:网络故障
主机不可达:寻找的IP地址有问题
协议不可达:协议不兼容
端口不可达:防火墙禁ping服务,端口不连通
重定向:
指导数据报文的流向,使数据流向正确的网关;
特定情况下,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由
tracert命令:路由跟踪
5、以太网帧协议
(1)头部
前同步码:调整接收端的时钟周期使其与发送端一样
帧开始定界符:标识数据帧的开始
FCS:MAC帧的尾部,帧校验序列
第三章:网络设备的操作系统
一、VRP简介
二、网络设备的管理
(1)console口:
(2)telnet:
(3)SSH:安全的远程登录
(4)通过WEB页面登录
三、命令行常见操作
<Huawei>用户模式,只能做一些查看的操作
<Huawei>system-view 进入系统模式
[Huawei] 系统模式
基本命令操作
[Huawei]sysname R1 修改设备名称
[R1]interface GigabitEthernet 0/0/0 进入接口模式,配置IP地址
[R1-GigabitEthernet0/0/0]
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 配置IP地址
quit:返回上一个模式
<R1>save 保存当前配置
The current configuration will be written to the device.
Are you sure to continue? (y/n)[n]:y
It will take several minutes to save configuration file, please wait.......
Configuration file had been saved successfully
<R1>reset saved-configuration 清楚设备当前配置
Are you sure? (y/n)[n]:y
Clear the configuration in the device successfully.
<R1>reboot 重启设备
Info: The system is comparing the configuration, please wait.
Warning: All the configuration will be saved to the next startup configuration.
Continue ? [y/n]:n
System will reboot! Continue ? [y/n]:y
[telnet server-GigabitEthernet0/0/0]ip add 192.168.2 24
^ 错误提示符
Error: Wrong parameter found at '^' position.
Tab:自动补全命令
?:命令提示
常见的查看操作
<Huawei>display version 查看版本信息
<Huawei>display current-configuration 查看本设备当前的配置
<Huawei>dis mac-address 查看MAC地址表
四、实践
1、Telnet协议
telnet原理:利用TCP连接,创造一条客户端和对端设备之间的通道,以便于登录到对端设备, telnet是一个C/S模式,默认端口号: 23
telnet功能:
提供虚拟终端功能;
协商选项机制;
telnet实验基础配置
aaa模式: AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)
[telnet server-aaa]local-user wangdaye privilege level 15 password cipher wdy12345 创建用户名和密 码,并赋予用户一定的权限
[telnet server]user-interface vty 0 4 提供虚拟终端功能,设置能登录的用户数量
[telnet server-ui-vty0-4]authentication-mode aaa 设备用户的人认证模式
[telnet server-aaa]local-user wangdaye service-type telnet 开启用户的远程登录服务
2、DHCP协议----动态主机配置协议
背景:局域网中配置静态IP地址任务比较繁琐,而且容易出错
简介:采用C/S模式,动态的为局域网中的主机分配IP地址,在服务器端用67号端口,在客户端用68号端口,基于UDP协议
DHCP 工作原理:
在华三中,广播包
DHCP租期更新:
租期到达50%,如果客户端在线,会向服务器发起租约更新的请求。
租期到达87.5%,如果客户端在线,会向服务器发起租约更新的请求。
DHCP地址释放(DHCP release):
租约到期,服务器端无响应,客户端会自动停止使用该IP地址;
如果客户端不再使用服务器分配的IP地址,也可以主动向DHCP服务器发送DHCP RELEASE( DHCP释放报文)报文,释放 该IP地址。
DHCP的8个报文:
DHCP discover:
DHCP offer:
DHCP request:
DHCP Ack:
DHCP NAK:DHCP响应拒绝报文,这是服务器端对客户端的DHCP request报文的响应拒绝,比如:租期到期,客户端不在线。服务器 端出现故障,导致其没法分配IP地址,则会给客户端发送一个DHCP NAK报文。
DHCP decline :DHCP拒绝报文,当客户端发现服务器端分配给自己的IP地址发生冲突,会给服务器端发送一个DHCP decline报文 DHCP release:
DHCP inform :DHCP通告报文,客户端已经获取到了IP地址,此时客户端会向服务发送一个DHCP inform报文,向服务器请求IP地址相 应的掩码、网关、 DNS服务器地址等信息
DHCP中继代理:用于跨网段分配IP地址
基本配置:
[R1]dhcp enable 开启DHCP服务
[R1]ip pool aa 创建地址池
[R1-ip-pool-aa]network 192.168.1.0 mask 24 给地址池里分配IP地址
[R1-ip-pool-aa]gateway-list 192.168.1.254 配置网关地址
[R1-ip-pool-aa]dns-list 114.114.114.114 8.8.8.8 配置DNS服务器地址
[R1-GigabitEthernet0/0/0]dhcp select global 进入接口下,下发DHCP服务
第四章:静态路由协议
一、概念区分
路由:为数据包的转发,提供具体的路径信息
路由器:提供路由,转发数据,每个接口都是一个独立的广播域
路由表:提供具体的路由信息
[R1]display ip routing-table 查看本设备路由表信息
Destination/Mask:去往目标网络的网络地址及掩码信息
Protocol:表示去往目标网络的路由信息的协议来源
直连路由协议、静态路由协议、动态路由协议: RIP (路由信息协议)、 OSPF (开放式的最短路由优先协议)
preference:优先级,0-255 ,数字越大,优先级越低
直连路由协议: 0
静态路由协议: 60
RIP (路由信息协议) -------100、OSPF (开放式的最短路由优先协议) ----10、 150
cost:开销值,从源去往目标经过的路径所付出的代价
NextHop:到达目标网络的下一个设备的接口IP地址
Interface:出接口,指明数据应该从该路由器的哪个接口转发出去
二、路由转发过程
目标IP:40.0.1.2/24 源IP:10.0.1.2/24+数据
直连路由转发
路由表的查表原则:
(1)最长掩码匹配原则
ip route-static 0.0.0.0 0 192.168.2.2
(2)缺省匹配
(3)无法匹配,则丢弃
三、静态路由(课堂演示)
定义:由管理员手工配置的路由,适用于小规模的网络
配置命令: ip route-static 192.168.3.0 24 192.168.2.2
目标网络的IP 目标网络的子网掩码 下一跳接口的IP地址(接口的编号 G0/0/0)
静态路由分类:
(1)缺省路由:
[R1]ip route-static 0.0.0.0 0 下一跳接口的IP地址
一般配置在企业网络的出口设备(路由器),配置一条缺省路由,目的使内网中的所有流量数据都能通过 这个出口设备,转发到互联网上去
(2)等价路由:
去往同一目的地的路由,协议来源相同,开销相同,优先级相同,下一跳不同
(3)浮动路由:(做备份)
去往同一目的地的路由,来源不相同,开销相同,优先级不同,下一跳不同
去往同一目的地的路由,来源相同,开销不相同,优先级相同,下一跳不同
(4)环回口:性质:逻辑接口
模拟一个网段或者有个PC
(5)路由汇总:一组具有相同前缀的路由汇聚成一条路由,从而达到减小路由表规模以及优化设备资源利用率的目的
ip route-static 10.1.0.0 20 12.1.1.2
ip route-static 0.0.0.0 0 12.1.1.1
10.1.0000 1000.0
10.1.0000 1001.0
10.1.0000 1010.0
汇总后: 10.1.0.0/20
(6)黑洞路由:
路由汇总不精确产生路由黑洞
防环设计: ip route-static 10.1.0.0 20 null 0 防环设计
第五章:RIP协议
一、动态路由产生背景
1、静态路由配置繁琐,容易出错
2、不适合大规模网络
3、不会根据网络拓扑结构的变化,自动调整路径
二、分类
(1)按照工作区域划分
内部网关协议 (IGP):RIP协议 (路由信息协议)、OSPF协议(开放式的最短路由优先协议)、IS-IS协
议(从中间系统到中间系统
外部网关协议:BGP协议 (边界网关协议)
(2)按照算法分类
基于距离矢量的路由协议:RIP协议bellmanford算法,周期性的发送自己的路由表给相邻的路由器
基于链路状态的路由协议:OSPF协议,dijsktart算法(SPF算法---最短路径优先算法),周期性的发送自己的链路状态信息给自己的邻居
三、路由学习过程及规则
总结
1、每个路由器周期性的发送自己的路由表信息给相
邻的路由器
学习过程
(1)对于自己路由表里没有的路由信息,无条件学
习,并将COST值叠加
(2)对于自己路由表里存在路由信息,会比较一下
路由信息的来源,如果来源相同,则对于这个路由信
息无条件学习。
如果来源不相同,则比较两个信息的COST值,学习
值小的。
四、RIP协议
(1)环路产生
原因:每个路由器的更新周期是不同步的
(2)环路解决方法
水平分割:不会把从一个接口学习到的路由信息,回传到这个接口
路由毒化:会把从一个接口学习到的路由信息,回传到这个接口,带毒回传 (inf)
保持失效计时器:180秒,路由器打上possibly down标签,路由设置为16跳
最大跳数限制:不能超过16跳
触发更新:对于网络拓扑结构的变化,会立刻通知给其他相邻的路由器
(3)RIP计时器
更新计时器:30秒
抑制计时器:180秒,更新欺骗
保持失效计时器:180秒,路由器打上possibly down标签,路由设置为16跳
刷新计时器:240秒,彻底删除
(4)RIP数据包
update:更新数据包
request:请求数据包,请求的是自己路由表中没有的那条路由信息
response:回复请求的路由信息
五、RIP路由协议特点
1、周期性和触发性更新,周期性更新会发送全部路由信息,占用大量的带宽
2、最大跳数限制为15,不适用大规模网络
3、公有协议,UDP-520端口,不可靠传输
4、路由收敛速度慢
5、协议存在环路问题
六、rip的版本
1、RIPv1不能支持VLSM,RIPv2可以支持VLSM。
2、RIPv1不能关闭自动汇总,RIPv2可以在关闭自动汇总的前提下,进行手工汇总
3、RIPv1是不支持认证,RIPv2是支持认证
4、RIPV1是广播发送协议报文,RIPV2是组播发送协议报文,组播地址:224.0.0.9
第六章:OSPF协议基础特性
一、OSPF协议
开放式最短路径优先协议, 一种公有的、标准的协议,采用dijkstart 算法(SPF),最短路由优先算 法,周期性的发送链路状态信息给它的邻居
1、基础概念
三张表:
路由表:提供路由信息
拓扑表:存放链路状态信息(LSDB表)
邻居表:存放了邻居的状态和邻居的基本信息
2、五种数据包
hello:周期性的建立和维护邻居关系
DBD( DD):数据库描述报文,描述的是LSA (链路状态通告报文)的摘要信息 LSR:链路状态请求报文,自己没有的或者比自己更新的那些链路状态的信息
LSU:链路状态更新报文
LSAck:链路状态确认报文
3、ospf工作过程
邻居:双方通过HELLO报文相互认识
邻接:邻居关系建立好,进行一系列报文交互,最终形成完全邻接关系
(1)确认可达性,建立邻居
router ID:标识的是路由器的身份
手工配置: IPV4地址格式 ,点分十进制格式
自动选举:
环回口: IP地址最大的优先成为ROUTER ID
物理接口: IP地址最大的优先成为ROUTER ID
建议: 一般配置一个环回口
(2)摘要同步,开始建立邻接关系
1、A向邻居路由器B发送DBD报文,通告本地LSDB (链路状态数据库表)中所有的LSA的摘要信息
2、B收到DBD报文后,与本地的LSDB做对比,向A发送LSR报文,请求对方发送自己需要的LSA的完
整信息
3、A收到LSR后,把对方所需要的LSA的完整信息打包成一条LSU报文,发至B
4、B收到LSU后,向它的对方A回复LSAck报文,进行确认。
选举DR (指定路由器)、 BDR (备份指定路由器),保证路由信息的交互更加高效有序的进行
行,减少OSPF邻接关系数量,减少设备性能负担,减少网络中泛洪OSPF的报文数量
选举范围:每个网段都会选举出一个DR和BDR
选举规则:1、接口优先级(0-255),默认优先级是1
2、router ID, IP地址大的优先成为DR、次优的是BDR
关系状态:
DR和BDR建立邻接关系
DR和DROTHER建立邻接关系
BDR和DROTHER建立邻接关系
DRother之间不用建立邻接关系
注意: DR没有抢占性,当DR出现故障的时候, BDR会成为新的DR,当BDR挂掉的时候,重新
选举
DR和BDR
(3)完整信息同步,完全邻接关系建立
完全邻接关系建立, LSDB表和路由表形成
3、ospf状态机
DOWN:稳定状态(关闭状态),这种情况处于手动指定router ID,发送第一个HELLO包的时候,进
入下一个状态
Attempt:一般不会出现,收不到对方的HELLO回包,这种情况一般出现在NBMA网络(非广播多点接入网络)
INIT:初始化状态,收到了对方的HELLO回包,但没有收到对方的hello确认包
2-way:双方互相发现邻居,邻居状态(关系)稳定,并确认DR和BDR的角色,稳定状态
Exstart:交换开始状态,发送一个空的DBD报文,不发送LSA的摘要信息
Exchange:交换状态,发送后续的DBD报文,用于通告LSDB的LSA的摘要信息
Loading:读取状态,进行LSA的请求、加入、确认
Full:完全邻接关系建立, LSDB表和路由表形成,稳定状态
OSPF的周期更新: 30分钟
二、 ospf的多区域
1、区域产生背景
(1)如果运行OSPF协议的路由器都处于同一个区域,随着网络规模的变大,同步LSDB表会变的非常缓慢,会导致诸多的问
(2)OSPF路由器在同一个区域会广播发送LSA,如果网络规模大,会导致LSDB表的同步非常缓慢。
2、分区好处
(1)减少了LSA的广播范围
(2)减少了路由表的规模
(3)提高网络的扩展性,有利于大规模网络
3、区域类型
骨干区域: area 0
AREA ID 0=0.0.0.0
1=0.0.0.1
多区互连原则:
(1)非骨干区域必须和骨干区域互连
(2)非骨干区域之间不会互连
(3)骨干区域不能被分割
4、路由器角色
AS:自治系统,同一个自治系统内的路由器的AS编号是一样的
IR:内部路由器,所有接口都在一个区域内
BR:边界路由器,连接多个区域
ABR:区域边界路由器
ASBR:自治系统边界路由器,连接其他的大的区域
三、 OSPF协议的特点
1、没有跳数限制
2、使用组播更新变化的路由和网络信息
224.0.0.6 :DR和BDR的组播接收地址,
224.0.0.5 :指网络中所有运行OSPF协议的路由器
3、路由收敛速度快
4、以cost作为度量值
5、有效避免环路问题
6、在互联网上被大量使用,是应用最广泛的路由协议
第七章:vlan技术
一、VLAN技术产生背景
vlan技术---交换技术,虚拟局域网技术
路由器特点:提供路由,转发数据、每个接口都是一个独立的广播域,而交换机不能隔离广播域,相反会产生广播风暴,所以为了缩小广播域,诞生了vlan技术
二、 VLAN作用及特点
VLAN作用:将一个大的广播域划分成若干个小的广播域,减少了广播风暴的出现
VLAN特点:同一vlan内的主机可以相互通信,不同vlan内的主机没法通信,要想通信,必须借助三层的设备
三、 VLAN实现过程
(1)同一交换机VLAN内的通信
工作过程:
· 数据从主机发出后,交换机会收到此数据帧,会给此数据帧打上一个vlan tag(tag中的vlan ID就
是交换机收到数据帧接口的vlan ID),此时数据帧变成了一个802.1q格式的帧。
· 交换机检查目标MAC地址的主机接口所属的vlan ID,如果此vlan ID与802.1q帧格式中的vlan ID一致,则转发该数据帧,否则丢弃。
注意:数据从交换机发往主机前,需要剥离掉vlan TAG ,使之还原为原始的以太网数据帧。 目标MAC地址: MAC 2 源MAC:MAC1 +VLAN 1+数据
(2)跨交换机的同一vlan的通信
目标MAC:MAC3 源MAC:MAC2+vlan 2 +数据
工作过程:
· 数据帧从主机出来后会进入到交换机,交换机收到后会给此数据帧打上一个vlan tag(tag中的vlan ID就是交换机 收到数据帧接口的vlan ID),此时数据帧变成了一个802.1q格式的帧。
· 在发送端802.1Q格式的数据帧离开交换机时,带标签发送。
· 接收端的交换机收到后,交换机检查目标MAC地址的主机接口所属的vlan ID,如果此vlan ID与802.1q帧格式中 的vlan ID一致,则转发该数据帧,否则丢弃。
注意:数据从交换机发往主机前,需要剥离掉vlan TAG ,使之还原为原始的以太网数据帧。
四、 VLAN划分方式
1、基于接口的划分
把交换机的端口和vlan ID 绑定
vlan 范围 0-4095 ,可用范围: 1-4094其中0和4095是系统保留vlan ,vlan 1是所有交换机接口默认的 vlan(PVID)
2、基于IP子网的划分
把IP地址和vlan ID做个绑定
192.168.1.0-----vlan 10
192.168.2.0----vlan 20
3、基于MAC地址的划分
把MAC地址和vlan ID做个绑定
配置容易出错
4、基于协议的划分
把协议与vlan ID做个绑定
5、基于策略的划分-----以上四种的组合
划分方式优先级: 基于MAC地址的划分>基于IP子网的划分>基于协议的划分>基于接口的划分
五、交换机接口类型
1、access:一般连接PC的接口、连接服务器(路由器)的接口等等终端设备, 一个接口只能加入一个vlan
2、trunk:交换机之间的级联、路由器、防火墙等设备的子接口,可以放通多个vlan
3、hybrid:混合模式,华为交换机接口默认的模式,即可连接PC、连接交换机、路由器的接口,可以 放通多个vlan,可以手动配置哪个vlan带标签,哪个vlan不带tag
华为: hybrid
华三: access
untagged:撕标签
tagged:打标签
六、 VLAN间通信
1、产生背景:
同一vlan内的主机可以相互通信,不同vlan内的主机没法通信,要想通信,必须借助三层(路由
器、三层交换机)的设备
2、通信方法
(1)使用路由器的物理接口通信
特点:路由器接口少,浪费了路由
目标MAC 2 地址:源MAC:MAC1+vlan 10+目标IP: 192.168.20.2 源IP: 192.168.10.2+数据
目标MAC 4 地址:源MAC:MAC3+vlan 20+目标IP: 192.168.20.2 源IP: 192.168.10.2+数据
[SW1]vlan 10 创建vlan
<SW1>undo terminal monitor 关闭系统监视信息
将接口划分到相应的vlan中
[SW1-GigabitEthernet0/0/2]port link-type access //配置接口的链路类型
[SW1-GigabitEthernet0/0/2]port default vlan 10 //修改接口的PVID
(2)单臂路由子接口(通过使用路由器的子接口来完成不同vlan间的通信) 特点: 一旦线路出故障,会导致整个网络的瘫痪
目标MAC:MAC2 源MAC:MACB+ vlan 20 +D: 192.168.20.2 S: 192.168.10.2 + 数据
[SW1]dis vlan 查看本机配置的vlan情况
R1]int g0/0/0.10
[R1-GigabitEthernet0/0/0.10]ip add 192.168.10.254 24
[R1-GigabitEthernet0/0/0.1]dot1qtermination vid 10 开启接口能识别802.1Q数据帧的功能,同时将子接口划分给相应的vlan
[R1-GigabitEthernet0/0/0.1]arp broadcast enable 开启ARP广播。向真实的物理接口借MAC地址
(3)使用三层交换机的VLANIF虚接口
三层交换机:传输数据、提供路由
交换模块:相当于交换机
路由模块:相当于路由器
[SW1]int Vlanif 10 进入vlanif虚接口配置vlan的网关地址
[SW1-Vlanif10]ip add 192.168.10.254 24
七、二层接口与三层接口对比
1、二层接口不能配置IP地址,三层接口能配置IP地址(vlanif)
2、二层接口只能转发数据,三层接口能提供路由、转发数据
3、二层接口不能隔离广播域,三层接口能隔离广播域
第八章:ACL —访问控制列表
1,访问控制 --- 在路由器流量流入或者流出的接口上, 匹配流量,之后,制定对应的动作。(permit,deny)
2,抓取感兴趣流 --- ACL列表和其他服务协同工作,ACL仅执行匹配流量的工作,之后,将 匹配上的流量交给其他服务来执行对应动作。(这里不细讲)
匹配规则 --- 自上而下,逐一匹配,如果匹配上,则执行对应的动作,不再向下匹配。
小明 允许
小明 拒绝
则结果允许
思科设备 --- ACL列表末尾隐含一条拒绝所有的规则。
华为设备 --- ACL列表末尾没有隐含规则。(但与允许所有的规则并不相等)
ACL的分类 --- 基础ACL列表 --- 仅关注数据包中的源IP地址
高级ACL列表 --- 不仅关注数据包中的源IP地址,还会关注数据包中的目标IP 地址,以及协议和端口号
二层ACL列表
自定义ACL列表
需求一:要求PC1可以访问3.0网段,但是PC2不行
基础ACL列表的位置原则 --- 因为基础ACL列表仅关注数据包中的源IP地址,所以,应该部署在越靠近目标的地方避免造成对其他网段的访问限制。
1.创建ACL列表
[r2]acl?
INTEGER<2000-2999> Basic access-list(add to current using rules) --- 基础ACL
INTEGER<3000-3999> Advanced access-list(add to current using rules) --- 高级ACL INTEGER<4000-4999> Specify a L2 acl group --- 二层ACL
ipv6 ACL IPv6
name Specify a named ACL
number Specify a numbered ACL
[r2]acl 2000
[r2-acl-basic-2000]
2,写规则
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0 --- 通配符 --- 0代表不可变, 1代表可 变。并且0和1可以穿插使用
通配符与反掩码近似
[r2-acl-basic-2000]rule permit source any
[r2]display acl 2000 --- 查看ACL列表的信息
华为设备ACL列表的规则默认以5为步调添加规则序号,方便增加和删除规则。
[r2-acl-basic-2000]rule 7 deny s 192.168.1.2 0.0.0.0 --- 自定义序号的添加规则方式 [r2-acl-basic-2000]undo rule 7 --- 删除规则
3,调用
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
需求二: PC1可以访问PC3但是不能访问PC4
高级ACL列表的位置原则: 因为高级ACL列表是精准的匹配,所以,在部署时应该越靠近源越 好,可以节省链路资源。
[r1]acl name xuqiuer 3000 --- 重命名的方法创建ACL列表
[r1-acl-adv-xuqiuer]
[r1-acl-adv-xuqiuer]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0 [r1-acl-adv-xuqiuer]
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiuer --- 通过重命名的方式调用ACL列 表
一个接口的一个方向上,只能匹配一张ACL列表
需求三:要求PC1可以ping通R2,但是不能telnetR2。
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23