网络基础
Osi模型:7层模型
应用层: (声音,文字,图像) 抽象语言=》编码
表示层:编码==》二进制
会话层:提供应用程序地址
上三层为数据流量层,是应用程序对数据加工处理的层面
下四层为传输流层面,负责数据转发
传输层:分段(MTU:最大传输单元),端口号: TCP/UDP
网络层:IP—IP地址
数据链路层: 逻辑链路层-llc+介质访问控制层—mac层:二进制==》电信号
物理层:对电信号进行处理
网络变大:
一:节点增加(电脑增加)
1:hub(集线器):物理层设备 C
A
B D
1地址问题:没有标识身份的东西:A发一个包,BCD不知道这是发给谁的。
2:同时发会冲突:AB同时给C发,会冲突
3:安全问题。
4:传输延时很大:别人产生很多垃圾,会延时。
解决地址问题:1:MAC地址:介质访问控制层地址--------网卡芯片的出厂身份id----16进制显示,全球唯一
2:冲突:节点同时发送数据时,电波相互抵消;
CSMA/CD 载波侦听多路访问/冲突访问 —排队 A要发的时候先侦听有没有人发,没有人发就直接发。有人发就排队 不能完全排除冲突 传输效率低。
二:传输距离增加(中继器也就是放大器,本身是一个导体,仅增加电压。不能识别数据,所以不能无限延长。)
1:电流减弱;
2:波形失帧;
要求:交换机来解决
1:无限的传输距离-----先将电波识别为二进制,在将二进制转换为电波发出。
2:没有冲突所有节点都可以同时收发数据。》交换机是二层设备,当电流来到交换机的时候,把电流转换成了二进制数据,数据与数据不会碰撞冲突。
3:单播=流量可以做到一对一收发。=======》交换机可以识别数据帧中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。形成的表叫做mac地址表。
当PC1发送数据到pc2,数据发送至交换机接口,如果交换机MAC表里没有PC1的表项,则保存帧里的MAC源地址并与PC1映射。然后交换机查看MAC地址表有没有PC2的MAC地址,如果有则转发数据,如果没有则发送一个ARP广播要求PC2发送MAC地址响应,然后将其存储并转发数据,其他收到广播的直接丢弃。
交换机工作在osi模型的二层;
洪泛:除了进入的接口外,将数据转发到其他所有接口
洪泛范围:多个交换机的所有接口都是洪泛范围。
在mac地址表中,一个接口可以对应多个mac地址,一个mac地址只能对应一个接口。
交换机也不适合大网络因为洪泛范围太大之后产生过多的垃圾信息,所以导致网络又会延时。进而创造出了路由器。
路由器的每一个接口都是一个洪泛范围。
交换机不看IP,只看mac地址。
网络变大—》实现无限距离,无冲突,单播----》交换机-----》mac地址------》洪泛-----》洪泛的范围------》路由器------》IP----》ARP-----》广播----》广播域(洪泛范围)
两个pc相互访问:
1:判断找的主机和自己在一个洪泛范围。
2:在一个洪泛范围内直接转发,不在一个洪泛范围找路由器帮忙转发。
判断要找的人和自己是否在一个范围:
1:洪泛:不行,如果pc1 找pc2 ,pc2当时没开机,不回包会让他误以为pc2没有和自己在一个范围内。
2:所以出现了决定范围的地址:IP地址
IP v4:32位二进制构成,用点分十进制标识
IPv6:128位二进制构成
IPv4:192.168.1.1 11000000 10101000 00000001 00000001
Network网络位 主机位
网络位用来标识范围,主机位用来标识具体主机
00000000=0 00000001=1 00000010=2
00000100=4 00001000=8 00010000=16
00100000=32 01000000=64 10000000=128
11111111=255
192.168.1.1=128+64 .128+32 .1.1
11000000.10101000.00000001.00000001
子网掩码
192.168.1.1 255.255.0.0 1111111111111111 0000000000000000
192.168.2.1
ARP:地址解析协议:基于广播,通过对端的IP地址获取对端的mac地址
询问mac地址:
数据包:
回包:
ff-ff-ff-ff-ff-ff-ff广播地址
广播:将一个数据在一个广播域洪泛
广播域:能收到广播的范围
给每个pc先配IP地址和子网掩码和网关,网关就是路由器AR2在g0/0/0和0/0/1接口配的IP地址,然后左边的部分和右边的部分就通了。
当pc1能够ping通pc2.pc3,pc4的时候就证明pc1向234都发广播了在pc1的命令行输入arp -a就能查看234给pc1回的各自的MAC地址。
Pc1访问pc4:
走到0/0/0之前的数据包:
在0/0/0口后路由器撕开二层看三层发现目标IP不是自己,于是重新包装数据包:
通过发ARP请求获取pc4的mac地址。
离开路由器的数据包:
服务器:
一台配置比较高的计算机,提供了某种服务。
终端系统:Windows7/10 macos ios安卓
服务器系统win2008 win2012
http服务器:超文本
DNS:域名解析 MTU :最大传输单元
端口号:1-65535 其中1-1023为注明端口,静态端口,固定分配给各种服务 1024-65535为高端口 随机分配各个进程
进程号:每个软件一开始运行计算机都会随机分配一个进程号。
UDP:非面向连接的不可靠传输协议 仅完成传输层的基本工作–端口号和分段:看视频,打视频就用UDP
TCP: 面向连接可靠传输-----传输控制协议— 在完成传输的基本工作外。还要保障传输的可靠性。 发钱,传输密码就用TCP
怎么保障服务的可靠性:
1:面向连接:在传输数据前:通过三次握手建立端到端的虚链路;
2:4种可靠传输:确认:发包回个消息
重传:如果没有收到或者数据不完整
排序:对传输的数据进行排序
流控(滑动窗口):一开始发一个包回个确认后面越来越大,等到不了那么多就又减小包的数量,等可以加大了又继续加大包的数量。
UDP头部:
头部结构中各部分的作用:
(1)16位源端口号 记录源端口号,在需要对方回信时选用。不需要时可用全0。
(2)16位目的端口号 记录目标端口号。这在终点交付报文时必须要使用到。
(3)长度 UDP数据报的长度(包括数据和首部),其最小值为8B(即仅有首部没有数据的情况)。
(4)校验和 检测UDP数据报在传输中是否有错,有错就丢弃。该字段时可选的,当源主机不想计算校验和,则直接令该字段为全0。当传输层从IP层收到UDP数据报时,就根据首部中的目的端口,把UDP数据报通过相应的端口,上交给进程。如果接收方UDP发现收到的报文中目的端口号不正确(即不存在对应端口号的应用进程),就丢弃该报文,并由ICMP发送“端口不可达”差错报文交给发送方。
TCP头部:
源端口号16bit 目的端口号16bit
序列号32bit
确认号32bit
前4位:TCP头长度;中6位:保留位;后6位:标志位 窗口大小16bit
校验和16bit 紧急数据偏移量16bit
IPV4报头:
●版本(Version)字段:占4比特。用来表明IP协议实现的版本号,当前一般为IPv4,即0100。
●报头长度(Internet Header Length,IHL)字段:占4比特。是头部占32比特的数字,包括可选项。普通IP数据报(没有任何选项),该字段的值是5,即160比特=20字节。此字段最大值为60字节。
●服务类型(Type of Service ,TOS)字段:占8比特。其中前3比特为优先权子字段(Precedence,现已被忽略)。第8比特保留未用。第4至第7比特分别代表延迟、吞吐量、可靠性和花费。当它们取值为1时分别代表要求最小时延、最大吞吐量、最高可靠性和最小费用。这4比特的服务类型中只能置其中1比特为1。可以全为0,若全为0则表示一般服务。服务类型字段声明了数据报被网络系统传输时可以被怎样处理。例如:TELNET协议可能要求有最小的延迟,FTP协议(数据)可能要求有最大吞吐量,SNMP协议可能要求有最高可靠性,NNTP(Network News Transfer Protocol,网络新闻传输协议)可能要求最小费用,而ICMP协议可能无特殊要求(4比特全为0)。实际上,大部分主机会忽略这个字段,但一些动态路由协议如OSPF(Open Shortest Path First Protocol)、IS-IS(Intermediate System to Intermediate System Protocol)可以根据这些字段的值进行路由决策。
●总长度字段:占16比特。指明整个数据报的长度(以字节为单位)。最大长度为65535字节。
●标志字段:占16比特。用来唯一地标识主机发送的每一份数据报。通常每发一份报文,它的值会加1。
●标志位字段:占3比特。标志一份数据报是否要求分段
●段偏移字段:占13比特。如果一份数据报要求分段的话,此字段指明该段偏移距原始数据报开始的位置。
●生存期(TTL:Time to Live)字段:占8比特。用来设置数据报最多可以经过的路由器数。由发送数据的源主机设置,通常为32、64、128等。每经过一个路由器,其值减1,直到0时该数据报被丢弃
●协议字段:占8比特。指明IP层所封装的上层协议类型,如ICMP(1)、IGMP(2) 、TCP(6)、UDP(17)等。
●头部校验和字段:占16比特。内容是根据IP头部计算得到的校验和码。计算方法是:对头部中每个16比特进行二进制反码求和。(和ICMP、IGMP、TCP、UDP不同,IP不对头部后的数据进行校验)。
●源IP地址、目标IP地址字段:各占32比特。用来标明发送IP数据报文的源主机地址和接收IP报文的目标主机地址。
●可选项字段:占32比特。用来定义一些任选项:如记录路径、时间戳等。这些选项很少被使用,同时并不是所有主机和路由器都支持这些选项。可选项字段的长度必须是32比特的整数倍,如果不足,必须填充0以达到此长度要求。
IPv4
组成:由32位二进制组成;点分十进制进行标识
存在ABCDE五类;其中ABC是单播地址,D是组播地址,E是保留地址
注:只有单播地址可以作为源IP地址,也可以作为目标IP地址
快速区分类别:关注第一个8位
1—126 A类
128—191 B类
192—223 C类
224—239 D类
240—255 E类
ABC类均为单播地址,但默认的子网掩码长度不同
A 255.0.0.0 B类 255.255.0.0 C类255.255.255.0
Pc不能上网:
1:ping自己的IP证明硬件软件没问题
2:ping自己的网关确定路由器可以正常转发数据
3:ping服务器
特殊IP地址:每段地址中全0和全1不能用
1:127 系统虚拟的地址:环回地址 127.0.0.1 检测本地计算机的网络协议组件是否可以正常工作
2:255.255.255.255 受限广播地址:
3:0.0.0.0 无效地址 缺省地址
4:在某个网段中 主机位全0
192.168.1.x 255.255.255.0 ----192.168.1.0-255
主机位全0 192.168.1.0000 0000 255.255.255.0=192.168.1.0 255.255.255.0该地址不是一个单播地址,是网络号,代表一个网段
网络号简写: 192.168.1.0 255.255.255.0=192.168.1.0/24
5:在每个网络中 主机位全1
192.168.1.1111 1111/24==192.168.1.255/24直接广播地址 不是一个单播地址
6:自动私有地址,本地链路地址。192.254.0.0/16
网络位固定,主机位随机—终端设备多次自动获取IP地址失败,本地自动生成自己的IP地址;
子网划分:VLSM——可变长子网掩码
172.16.0.0/16----》 172.16.0.1–172.16.255.254
172.16.x.0/16是一个IP地址 因为子网掩码是16位
原理:通过延长掩码的长度,将主机位借到网络位中;将一个网络号切分为多个网络号;
子网划分:
192.168.1.0/24 192.168.1.0-255 可用的192.168.1.1-192.168.1.254
将192.168.1.0 24分四个可用网段,写出可用范围
192.168.1. 0 00000000
255.255.255. 00000000
192.168.1.0/ 26 192.168.1. 00000000 192.168.1.0 192.168.1.1-62 255.255.255.11000000 255.255.255.192
192.168.1.64/ 26 192.168.1. 01000000 192.168.1.64 192.168.1.65-126
255.255.255.11000000 255.255.255.192
192.168.1.128/ 26 192.168.1. 10000000 192.168.1.128 192.168.1.129-190
255.255.255.11000000 255.255.255.192
192.168.1.192/26 192.168.1. 11000000 192.168.1.192 192.168.1.193-254
255.255.255.11000000 255.255.255.192
172.16.0.0/15划分为4个子网:
128 64 32 16 8 4 2 1
172.00010000 00000000 00000000 172.16.0.0/15
255.11111111 10000000 00000000 255.255.128.0
172.00010000 00000000 00000000 172.16.0.0/17 172.16.0.1-172.16.127.254
255.11111111 10000000 00000000 255.255.128.0
172.00010000 10000000 00000000 172.16.128.0/17 172.16.128.1-172.16.255.254
255.11111111 10000000 00000000 255.255.128.0
172.00010001 00000000 00000000 172.17.0.0/17 172.17.0.1-172.17.127.254
255.11111111 10000000 00000000 255.255.128.0
172.00010001 10000000 00000000 172.17.128.0/17 172.17.128.1-172.17.255.254
255.11111111 10000000 00000000 255.255.128.0
三:子网汇总-----》取相同位,去不同位 CIDR(无类域间路由) 超网
172.16.1.0/24 172.16.00000001 00000000
172.16.2.0/24 172.16.00000010 00000000 前21位相同,所以汇总就是172.16.0.0/21
172.16.3.0/24 172.16.00000011 00000000
172.16.4.0/24 172.16.00000100 00000000
128 64 32 16 8 4 2 1
将下面四个子网汇总:
172.16.33.0/24 172.16.00100001 00000000
172.16.44.0/24 172.16.00101100 00000000 172.16.32.0/19
172.16.55.0/24 172.16.00101010 00000000
172.16.63.0/24 172.16.00111111 00000000
汇总之后子网掩码少于原来的子网掩码叫超网
汇总之后子网掩码
192.168.1.0/24
192.168.2.0/24
汇总后是192.168.0.0 /22 超网 因为192是C类地址,本身子掩码是24位现在剩下22位了,所以叫超网,超越主类的汇总叫超网
172.16.1.0/24
172.16.2.0/24
汇总后是 172.16.0.0/22 CIDR:因为172是B类地址,本身子网掩码16位没有变化所以叫CIDR.半双工:在一个单点的时间内数据的传递为单向
全双工:同一时间内的数据的收发可以同时进行;
直通线:平行线 一条网线的两端使用相同的线序
交叉线:一端为568A,另一端为568B线序
同层设备使用交叉线,非同层设备使用直通线
交换机二层,路由器三层,终端 ,服务器为三层设备,集线器一层设备;
VRP配置:
: 用户视图:对设备进行各中参数查看:display ip interface brief 只有看的权限,不能配置
system-view
[Huawei]:系统试图 对设备进行管理配置
Client访问server:
配置命令:
[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 24.
[Huawei-GigabitEthernet0/0/0]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.2.1 24
查看配置的IP:
[Huawei-GigabitEthernet0/0/1]display ip interface brief
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 192.168.1.1/24 up up
GigabitEthernet0/0/1 192.168.2.1/24 up up
GigabitEthernet0/0/2 unassigned down down
NULL0 unassigned up up(s) up(s)
2:给4台pc配置IP子网掩码和网关:配置完成后点击应用
Pc1:
Pc2:
Pc3:
Pc4:
Client1:
Server1:
在server1的服务器配置找到httpserver选择一个根目录然后启动:
然后就可以用client里面的HTTP访问server1:
DNS:域名解析:
然后在client里面就可以用域名访问:
DHCP动态主机配置协议:
1:该设备必须存在网卡或者接口连接到所要下放的广播域内
2:该接口或者网卡必须已经拥有合法IP地址
DHCP动态主机配置协议:
1:[Huawei]int g 0/0/0 进入0/0/0接口
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24 给0/0/0接口配置IP地址
[Huawei-GigabitEthernet0/0/0]int g 0/0/1 进入0/0/1接口
[Huawei-GigabitEthernet0/0/1]ip add 192.168.2.254 24 给0/0/1接口配置IP地址
[Huawei-GigabitEthernet0/0/1]q 退出
[Huawei]dhcp enable 开启DHCP服务
[Huawei]ip pool zuobian 创建一个叫zuobian的IP池塘
[Huawei-ip-pool-zuobian]network 192.168.1.0 mask 24 管理相关的网段和子网掩码
[Huawei-ip-pool-zuobian]gateway-list 192.168.1.254 配置网关
[Huawei-ip-pool-zuobian]dns-list 192.168.2.20 DNS服务器的IP地址
[Huawei-ip-pool-zuobian]q 退出
[Huawei]ip pool youbian 创建一个叫youbian的IP池塘
[Huawei-ip-pool-zuobian]network 192.168.1.0 mask 24 管理相关的网段和子网掩码
[Huawei-ip-pool-youbian]gateway-list 192.168.2.254 配置网关
[Huawei-ip-pool-youbian]dns-list 192.168.2.20 DNS服务器的IP地址
[Huawei-ip-pool-youbian]q 退出
[Huawei]int g 0/0/0 进入0/0/0接口
[Huawei-GigabitEthernet0/0/0]dhcp select global 激活DHCP服务
[Huawei-GigabitEthernet0/0/0]q 退出
[Huawei]int g 0/0/1 进入0/0/1接口
[Huawei-GigabitEthernet0/0/1]dhcp select global 激活DHCP服务
[Huawei-GigabitEthernet0/0/1]q 退出
然后配置服务器IP地址服务器IP地址是不能改变的 ,所以必须手配
然后给各个PC用DHCP获取IP地址
然后在PC的命令行输入ipconfig就可以查看到获取到的IP地址了
下面两种连接方式,哪种更好:
1:
2:
各有优点:
1:1:更加平均的利用了广播域。
2:要是左边路由器和交换机的连线坏了,右半边的30台pc能够正常通信,图2不行
3:在一定范围内比B的容错的能力强
2:1:两个路由器直接相连,不会产生垃圾信息,图1中间10台pc相互访问的时候可能会产生垃圾信息,暂时堵塞左右两边互相访问。
2:路由器之间一般是不接PC它是骨干链路。
路由器的作用:
1:用于不同网络间的互联;
2:为它所承载数据做路径选择------选路
当一个数据包进入路由器中,路由器将基于数据包中的IP地址,查询本地的路由表;若表中存在记录则将无条件按照记录转发,若没有记录则丢弃该流量;
查看设备的路由表:
[huawei] dis play ip routing-table
所有的路由表默认一个网段为目标;默认存在直连网段的路由;
所有非直连网段为未知网段,获取未知网段的方法:
1:静态路由 —管理员手写路由
2:动态路由----路由器上运行一种算法,之后由路由器相互协商生成位未知网段的路由。
无条件有可能会产生环路:假如1要去3,1认为把数据交给2就可以了,2的路由表里面写了去3把包交给1,这样就会形成环路,这样12之间的包会越来越多, 别的路由器也访问不了3路由器,然后路由器就会自我保护,就自己断电重启。
静态路由写法:
[huawei]ip route-static 192.168.3.0 24 192.168.2.2
目标网段 下一跳
[huawei]ip route-static 192.168.3.0 24 g0/0/1
目标网段 出接口
下一跳:流量从本地出发后,下一个进入的路由器接口IP地址 MA网络
出接口:流量从本地路由器发出的接口编号; 点到点网络
写静态的时候选择最短可以一定可能避免环路
1:负载均衡:当到同一目标地址时,存在多条开销相似的路径时;可以让设备将流量拆分后延多条路径同时传输,可以提高传输效率。
2:环回接口:127.0.0.1
创建环回:[Huawei]interface loopback 0 创建换回可以创1024个环回接口
[Huawei-LoopBack0]ip add 5.5.5.1 24 配置IP地址
如果路由器接口不够或者没有那么多pc可以使用环回接口来代替连接pc的接口
3:静态路由汇总:当访问多个连续子网时,基于相同的路径进行;可以将这些子网进行汇总计算;之后仅编辑到达汇总网段的路由条目;来减少路由器路由条目数量;去往相似路径下一跳相同的网段可以汇总。
可以将5.5.5.0/24和5.5.6.0/24汇总成5.5.4.0/22写在AR18上可以简写静态路由表
4: 路由黑洞:汇总的地址中出现了不存在的网段时,将导致流量有去无回。
主动出现:
被动出现:
5:缺省路由:一条不限定目标的路由,在路由表查询完本地所有的直连,静态和动态后,若依旧没有可达路径时才使用。
缺省路由永远出现在最上面
配置静态路由:
[Huawei] ip route-static 0.0.0.0 0.0.0.0 56.1.1.1
缺省路由使用率非常频繁,汇总路由出现的频率也很高
缺省和黑洞同时出现会出环。
AR21为ISP路由器 ,AR19有两条环回5.5.5.0/24和5.5.6.0/24 AR20写一条缺省去AR19,AR19写一条缺省5.5.4.0/22,,然后如果有信息去5.5.4.0或者5.5.7.0,信息在AR20上通过5.5.4.0/22去AR19,然后AR19没有去5.5.4.1 的路于是通过缺省去AR20,然后一直来回发消息就形成了环路。
6:空接口路由:在黑洞路由器上配置一个到达汇总地址的得空接口路由,来避免环路产生;
由于路由器使用最长匹配原则,故存在明细路由时,空接口路由无效;只有黑洞和缺省同时出现才会出环。 黑洞路由:出现不可访问的网段的路由器
[huawei] ip route-static 5.5.4.0 22 null 0
7:浮动静态路由:
静态路由的优先级默认为60;优先级:0–255,越小越优;
通过在编写静态路由时,修改优先级,可以实现静态路由备份效果。
配置:[Huawei] ip route-static 6.6.6.0 24 78.1.1.2 preference 61 将下面的路作为浮动静态路
由留作备份。
实验:
1:拓扑------IP地址规划
192.168.1.0/24
汇总的目的:
2:便于管理 2:便于汇总
将每个路由器所有环回当成一个网段。4个环回网段一个骨干网段
借3位
192.168.1.0/27 骨干: 192.168.1.0/30 192.168.1.4/30
192.168.1 000 010 00 192.168.1.8/30
192.168.1 000 011 00 192.168.1.12/30
192.168.1 000 100 00 192.168.1.16/30
192.168.1 000 101 00 192.168.1.20/30
192.168.1 000 110 00 192.168.1.24/30
192.168.1 000 111 00 192.168.1.28/30
192.168.1.32/27 R1:环回地址: 192.168.1.32/28 192.168.1.48/28
192.168.1.64/27 R2 环回地址: 192.168.1.64/28 192.168.1.80/28
192.168.1.96/27 R3 环回地址: 192.168.1.96/28 192.168.1.112 /28
192.168.1.128/27 R4 环回地址: 192.168.1.128/28 192.168.1.144 /28
192.168.1.160/27
192.168.1.192/27
192.168.1.224/27
1:配置IP地址
2:配置路由:
R1:
[R1] ip route-static 192.168.1.64 27 192.168.1.2
[R1] ip route-static 192.168.1.96 27 192.168.1.10
[R1] ip route-static 192.168.1.4 30 192.168.1.2
[R1] ip route-static 192.168.1.12 30 192.168.1.10
[R1] ip route-static 192.168.1.128 27 192.168.1.10
[R1] ip route-static 192.168.1.128 27 192.168.1.2
[R1] ip route-static 192.168.1.16 30 192.168.1.2
[R1] ip route-static 192.168.1.16 30 192.168.1.10
查看自己手写的静态路由:
[R1] dis ip routing-table protocol static
R2:
[R2]ip route-static 192.168.1.32 27 192.168.1.1
[R2]ip route-static 192.168.1.128 27 192.168.1.6
[R2]ip route-static 192.168.1.8 30 192.168.1.1
[R2]ip route-static 192.168.1.12 30 192.168.1.6
[R2]ip route-static 192.168.1.96 27 192.168.1.1
R3:
[R3]ip route-s
[R3]ip route-static 192.168.1.32 27 192.168.1.9
[R3]ip route-static 192.168.1.0 30 192.168.1.9
[R3]ip route-static 192.168.1.4 30 192.168.1.14
[R3]ip route-static 192.168.1.64 27 192.168.1.14
[R3]ip route-static 192.168.1.128 27 192.168.1.14
[R3]ip route-static 192.168.1.64 27 192.168.1.9
[R3]ip route-static 192.168.1.128 27 192.168.1.14
R4:
[R4]ip route-static 192.168.1.64 27 192.168.1.5
[R4]ip route-static 192.168.1.0 30 192.168.1.5
[R4]ip route-static 192.168.1.32 27 192.168.1.5
[R4]ip route-static 192.168.1.32 27 192.168.1.13
[R4]ip route-static 192.168.1.96 27 192.168.1.13
[R4]ip route-static 192.168.1.8 30 192.168.1.13
R5:
[r5]ip route-static 192.168.1.64 27 192.168.1.17
[r5]ip route-static 192.168.1.128 27 192.168.1.1
[r5]ip route-static 192.168.1.96 27 192.168.1.17
[r5]ip route-static 192.168.1.32 27 192.168.1.17
[r5]ip route-static 192.168.1.4 30 192.168.1.17
[r5]ip route-static 192.168.1.0 30 192.168.1.17
[r5]ip route-static 192.168.1.8 30 192.168.1.17
[r5]ip route-static 192.168.1.12 30 192.168.1.17
然后分别给12345写缺省路由:
[r1] ip route-static 0.0.0.0 0 192.168.1.2
[r2] ip route-static 0.0.0.0 0 192.168.1.6
[r3] ip route-static 0.0.0.0 0 192.168.1.12
[r4] ip route-static 0.0.0.0 0 192.168.1.18
[r5] ip route-static 0.0.0.0 0 192.168.1.17
[r5] ip route-static 192.168.1.0 255.255.255.252 192.168.1.21 p 61
[r5] ip route-static 192.168.1.4 255.255.255.252 192.168.1.21 p 61
[r5] ip route-static 192.168.1.8 255.255.255.252 192.168.1.21 p 61
[r5] ip route-static 192.168.1.12 255.255.255.252 192.168.1.21 p 61
[r5] ip route-static 192.168.1.32 255.255.255.224 192.168.1.21 p 61
[r5]ip route-static 192.168.1.64 255.255.255.224 192.168.1.21 p 61
[r5] ip route-static 192.168.1.96 255.255.255.224 192.168.1.21 p 61
[r5]ip route-static 192.168.1.128 255.255.255.224 192.168.1.21 p 61
设置空接口路由:
[r1] ip route-static 192.168.1.32 27 nullo
[r2] ip route-static 192.168.1.64 27 nullo
[r3]ip route-static 192.168.1. 27 nullo
[r4]ip route-static 192.168.1.128 27 nullo
最后可以进入g 4/0/0接口:shutdown此接口
然后用路由器之间相互ping保证实验没有错误
静态路由的缺点:
1:配置量大
2:不能基于拓扑的变化进行实时收敛
总结:只能在简单的小型网络结构中进行工作和配置
动态路由的优点:
实施基于拓扑的变化而进行路由表的收敛;
缺点:
1:会额外占用硬件资源;
2:可能会有安全风险;
3:可能会有选路错误的风险;
动态路由协议的分类:
基于AS进行分类 ----IGP 内部网关路由协议 EGP外部网关路由协议
AS-自治系统 标准编号: 0-65535 其中 1-65511 公有 65512-65535 私有
AS之内用IGP路由协议 路由协议—RIP OSPF ISIS EIGRP
AS之间用EGP路由 —BGP
2:IGP协议分类:
1:基于更新时是否携带子网掩码—
1:有类别–不带掩码 按主类划分
2:无类别—不带掩码 发的掩码时多少就是多少位
2:基于工作特点进行分类----
1:DV距离矢量 -------RIP EIGRP-----邻居间共享路由表
2:LS链路状态 ------OSPF ISIS------邻居间分享自己的拓扑,然后自己计算
判断一个协议好坏:
1:收敛速度 2:占用资源 3:选择路由
快 少 佳(无环)
RIP 较快–》计时器 较少 差
OSPF 较快---->计算 多 佳(防环}
EIGRP 快 少 较佳(防环)Cisco私有
RIP:路由信息协----距离矢量路由协议 基于UDP520端口工作 使用跳数作为度量
周期和触发更新;存在 V1/2/NG; NG 版时IP v6协议使用;
开始每个路由器都有路由器都有自己的直连网段,然后开启RIP协议
1号路由器会将自己的直连网段192.168.1.0 192.168.2.0发给2号路由器
会有两种版本:
1 :发送的ripV1版本 192.0.0.0 不带掩码
2:发送ripV2版本192.168.1.0/24携带子网掩码
2版本数据包:
Destination/Mask Proto Pre Cost Flags NextHop Interface
目标网段/掩码 协议 优先级 度量值 路由种类 下一跳 出接口
RIP的周期更新:
为什么30s需要一次更新:没有hello包 没有确认包,
1:触发更新无法进行的是时候:例如设备直接断电
2:保活 保证所有路由器都正常运行,防止某个路由器忽然停止工作
3:rip用的算法是贝尔曼福特算法
同步周期:路由表同一时间一起更新
异步周期:路由表自己更新自己,互相之间没有联系
启动rip后123都有五个网段
忽然3的环回断了,3号30S后发消息给2,还没到时间,更新时间还没到的时候1号异步更新信息也发过来了,在此之前2会相信3因为3号发的路由表里面跳数少。这时候2会相信1 因为1可以到达3的环回网段,因此路由表里面就出现环路了1去3的下一跳是2,2的下一跳是1,于是信息就在12之间一直转发,形成环路。然后到时间2把异步更新给3发,3也学习,然后就形成一个巨大的环路。
解决方法:
不能同步更新,同步周期时:3会传给2号4个网段,但是12会传给3号5个网段,3号还是会将这5个加表,效果是一样的
Rip的破环机制:
1:水平分割:流量从此扣入的不从此口出 只适合在直线型拓扑中使用
其主要作用在于控制重复的更新
2:触发更新—毒性逆转水平分割 新发的传递的路由里面把跳数改成16跳,然后再发回来,相互确认彼此收到。
3:最大跳数15跳;
4:抑制计时器:当收到一个无征兆跳数加大的路由表120s之内会抑制它发送。
1:适合用与这种拓扑:水平分割会认为从邻居学到的要传给另外邻居
2:如果是这种拓扑的话7号给交换机。交换机给广播到每一个路由器,然后每个路由器认为还要给自己的邻居发送,所以会造成巨大的资源垃圾,所以水平分割可以 预防产生的这些垃圾。
组播:要整个环境里面都使用一种特定的协议
不搭环境的组播和广播是一样的,组播地址:224.0.0.
RIPv1和v2的区别:
1:v1是有类别路由协议-------不携带子网掩码 按主类计算
v2是无类别路由协议---------携带子网掩码
2:v1是广播更新 255.255.255.255
v2是组播更新 224.0.0.9
3:v2支持手工认证
宣告:rip的宣告只能进行主类宣告
基于宣告的主类网段,找到属于该网段的接口:
1:激活接口----可以收发rip的信息 2:该接口的信息可以共享给邻居
v1的配置:
[Huawei]rip 进入rip
[Huawei-rip-1] version 1 选择版本号
[Huawei-rip-1]network 1.0.0.0 宣告直连网段
[Huawei-rip-1]network 12.0.0.0 宣告直连网段
注:因为v1为有类别协议,更新时不携带子网掩码,按主类进行掩码匹配所以在配置时,建议配置主类地址,不适用子网划分后地址,将导致巨大的路由黑洞。
v2的配置:
[Huawei]rip 进入rip
[Huawei-rip-1]version 2 选择版本2
[Huawei-rip-1]undo summary 关闭自动汇总
[Huawei-rip-1]network 1.0.0.0 宣告直连网段
[Huawei-rip-1]network 12.0.0.0 宣告直连网段
注ripv2协议更新时虽然携带子网掩码,但若没有关闭自动汇总功能,rip将携带主类掩码,关闭后将
因为路由器可能存在多个物理接口,多个IP地址,在访问目标时,默认使用流量出接口IP地址作为源IP地址;
[Huawei] ping -a 1.1.1.1 3.3.3.1
源IP 目标IP
二:rip的扩展配置:
1:手工认证:认证:只使用ripv2版本
1:在邻居间更新收费的接口上,配置有相同的密钥;来保障更新的安全性
在两个接口上都要做配置:
R1的出接口:
[Huawei] int g 0/0/0
[Huawei-GigabitEthernet0/0/0] rip authentication-mode md5 usual cipher 123456
在R2的入接口也要写:
[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0] rip authentication-mode md5 usual cipher 123456
2:手动汇总:在更新原设备上,所有更新发出的接口上进行汇总配置
配置: [Huawei]int g 0/0/0 进接口
[Huawei-GigabitEthernet0/0/0]rip summary-address 1.1.0.0 255.255.252.0 汇总网段及精确的子网掩码
3:加快收敛:周期更新时间:30s 失效时间:180s 抑制时间:120s
适当的修改和加快计时器,可以加快协议的收敛速度;建议维持原有的倍数关系;且不易修改的国小,同时整个网络中所有运行rip协议的路由器都要改变。
配置:[Huawei-rip-1]timers rip 30 180 120 时间要维持原有的倍数关系
4:缺省路由:
在边界路由器声明本地的身份;自动想内部所有路由器发送信息,使得内部所有运行rip协议的路由产生一条缺省路由,下一跳指向向边界方向
配置:[Huawei]rip 进入rip
[Huawei-rip-1]default-route originate 声明自己是边界路由器
实验:
要求:1: R3环回为3.3.3.0/24
2:其他基于192.168.1.0/24进行划分
3: R1/2均存在两个环回
4:整个网络运行ripv2,但不能直接宣告R3的环回
5:全网可达,保障更新安全,减少路由条目数量,避免环路
IP地址规划:
192.168.1.0/24
192.168.1.0/26:骨干:192.168.1.0/27 192.168.1.32/27
192.168.1.64/26 r1 环回: 192.168.1.64/27 192.168.1.96/27
192.168.1.128/26 R2 环回: 192.168.1.128/27 192.168.1.160/27
192.168.1.192/26
1:配IP地址:
R1:
R2:
R3:
2:写路由:
R1:
[Huawei]rip
[Huawei-rip-1]version 2
[Huawei-rip-1]undo summary
[Huawei-rip-1]network 192.168.1.0
R2:
[Huawei]rip
[Huawei-rip-1]version 2
[Huawei-rip-1]undo summary
[Huawei-rip-1]network 192.168.1.0
R3:
[Huawei]rip
[Huawei-rip-1]version 2
[Huawei-rip-1]undo summary
[Huawei-rip-1]network 192.168.1.0
写缺省保证12可以和3.3.3.0 交流:
R3:
[Huawei] RIP
[Huawei-rip-1]default-route originate
然后进行路由汇总:
R1:
[Huawei]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]rip summary-address 192.168.1.64 255.255.255.192
R2:
[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]rip summary-address 192.168.1.128 255.255.255.192
[Huawei-GigabitEthernet0/0/0]int g 0/0/01
[Huawei-GigabitEthernet0/0/1]rip summary-address 192.168.1.128 255.255.255.192
为了保证安全在三个路由器之间设置认证:
R1:
[Huawei]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]rip authentication-mode md5 usual cipher 123456
R2:
[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123456
R2和R3之间也可以设置手工认证密码不需要和R1.R2相同
为了避免环路所以要写空接口:
R1:
[Huawei] ip route-static 192.168.1.64 26 NULL 0
R2:
[Huawei] ip route-static 192.168.1.128 26 NULL 0
OSPF:开放式最短路径优先协议 v1,v2.v3为pv6使用;
Ospf不能选版本 无类别链路状态路由协议;基于拓扑交流------更新量很多----》无法适应中,大型网络环境;
所以ospf协议需要结构化的部署—》1:划分区域 2:地址规划
区域之间传拓扑,区域之间传路由
触发更新:
周期更新:由于更新量太大 30min为一周期 更新地址:224.0.0.5/6
一:ospf的数据包类型:
Hello包:发现,建立,周期保活邻居关系 默认10s,死亡时间40s
DBD包:数据库描述
LSR :链路状态请求
LSU:链路状态更新
LSack: 链路状态确认
LSA-----链路状态通告-------具体的一条一条拓扑或路由信息
LSDB------链路状态数据库-本地所有LSA的集合
二:OSPF的状态机:指两台直连的ospf邻居路由器之间,双方不同阶段的关系,为不同的状态
1: down 一旦本地发出hello包,进入下一个状态
2: init 初始化: R1接收到R2的hello包中存在R1的route-id进入下一状态
3: two-way 双向通讯 邻居关系建立的标志
条件匹配
4: exstar :预启动 使用没有数据库信息的DBD包进行主从关系的选举,route-id数值大的为主,进入下一状态
发的也是DBD包,证明此时已经是邻接关系,但不是真的DBD包,因为为了节省链路资源
5:exchange:准交换: 使用携带数据库目录信息的DBD包来进行共享,需要ack确认;
Loading:加载 查看完对端邻居的DBD包后,使用LSR/LSU/LSack来获取未知的LSA信息:
Full 转发 邻接(毗邻)关系建立的标志
三:ospf工作过程:
路由器上OSPF协议的启动配置完成后,本地收发hello包;在接收的hello包中存在本地的route-id,建立邻居关系,生成邻居表;
邻居关系建立后,基于条件进行抉择
1,条件匹配失败,维持邻居关系,仅hello周期保活即可;
2,条件匹配成功,可以建立邻接关系;
使用DBD包来共享本地的LSDB目录,之后本地基于其他邻接共享过来的DBD,判断本地未知的LSA信息有哪些;
再使用LSR向邻接进行查询,邻接返回LSU包来传递具体的LSA信息,同时本地需要ACK确认接收;
当本地收到所有的LSA后,本地LSDB数据库建立完成;—数据库表;
再本地基于LSDB生成有向图----》树形结构图:可以保证无环—》路由表;收敛完成,hello继续周期保活
每30min周期进行一次DBD包的对比
2:结构突变:
1:新增网段:直连新增网段的设备,直接使用LSU将新增网段的LSA信息发送给本地所有的邻接关系;对端需要确认;
2:断开网段:直连断开网段的设备,直接使用LSU将断开网段的LSA信息发送给本地所有的邻接关系;对端需要确认;
3:无法沟通:—dead time 到时间时,断开邻居关系,删除从该邻接学习到的信息
四:基础配置:
[R1]OSPF 1 router-id 1.1.1.1 # 启动时需要定义进程号,仅具有本地意义;同时建议定制route-id;必须全网唯一,手工配置----环回接口IP地址最大数值----物理接口IP地址最大值
宣告: 1:激活 2:接口信息可以传递 3:区域划分
OSPF在进行宣告时,必须携带反掩码
划分规则:
1:星型结构 区域0为骨干区域,大于0为非骨干区域,非骨干区域必须链接骨干区域
2:ABR 区域边界路由器
启动配置完成后,邻居间收发Hello包,建立邻居关系,生成邻居表;
[R2]dis ospf peer 查看邻居表
[R2]dis ospf peer brief 邻居摘要
邻居关系建立后:进行条件匹配;若成功可以建立邻接关系;
邻接关系将进行LSA的洪泛,LSDB同布—学习未知的LSA信息
生成数据库表;
[r2]display ospf lsdb 查看数据库表
LSDB同步完成后—》有向图—》树形结构—》路由表;
在华为设备中,ospf协议的有限级为10;
Ospf的度量:cost值= 开销值=参考带宽/接口带宽
Ospf的选路规则=整段路径cost值之和最小;
当接口带宽大于参考带宽时,度量值为1;可能导致选路不佳,建议修改参考带宽;切记全部的参考带宽都要改
二:ospf成为邻接关系的条件:
关注网络类型------点到点 MA
点到点-----一个网段内只能存在两个节点;
MA----多路访问-----在一个网段内,节点的数量不做限制;
在点到点网络中,邻居关系必然直接建立为邻接关系;
MA中,为避免大量重复更新,并将进行DR/BDR选举;所有非DR/BDR间为非邻接关系
选举规则:先比优先级,优先级大的为DR如果优先级一样,选route-id 数值大优,若优先级为0,代表放弃参与选举。
[R2]int g 0/0/0 进入接口
[R2-GigabitEthernet0/0/0]ospf dr-priority 2 修改优先级
切记:选举为非抢占行为;已经定了的就不能再改了
只能修改参数后重启所有路由器来抢占
每个网段中中都有一个DR/BDR
三:配置:
1:认证:在两个接口分别配置:
[R1]int g 0/0/0 进入接口
[R1-GigabitEthernet0/0/0] ospf authentication-mode md5 1 cipher 123456 配置密码
邻居间配置的编号和密码都必须一样
[R2]int g 0/0/0 进接口
[R2-GigabitEthernet0/0/0] ospf authentication-mode md5 1 cipher 123456 配置密码
2:汇总:由于区域内传递拓扑,所以不能正常汇总,所以只能通过区域之间的传递来汇总路由
[R2]ospf
[R2-ospf-1]are 0 进区域
[R2-ospf-1-area-0.0.0.0]abr-summary 1.1.0.0 255.255.252.0 汇总
[R2-ospf-1-area-0.0.0.0]abr-summary 192.168.1.64 255.255.255.192
在ABR上,将路由汇总发送到别的区域
3:加快收敛:hello 10s dead time 40 s
修改本端接口的hello time.本端的dead time自动4倍关系匹配,直连邻居间的hello和dead time时间必须完全一致,否则无法建立邻居关系
[r1] int g 0/0/0 进接口
[r1] ospf time hello 5 修改hello时间为5s
把连的邻居的hellotime也要修改
4:缺省路由:边界路由器上配置后,内部其他ospf路由生成缺省路由指向边界
[R3]ospf 1 进入ospf
[R3-ospf-1]default-route-advertise always 配置缺省
实验:
地址规划:
1:子网划分:
将192.168.1.0/24划分为2个区域:
192.168.1.0/25 A0
192.168.1.0/27-----MA骨干 192.168.1.0/29 192.168.1.8/29
192.168.1.16/29 192.168.1.24/29
192.168.1.32/27 —R1环回
192.168.1.64/27—R2环回
192.168.1.96/27-----R3环回
192.168.1.128/25 A1
192.168.1.128/27 点到点 192.168.1.128/30…
192.168.1.160/27 MA 192.168.1.160/29…
192.168.1.192/27 —R4
192.168.1.224/27 保留网段
1:配置IP:
R1:
[Huawei]int l 0
[Huawei-LoopBack0]ip add 192.168.1.33 27
R2:
[Huawei]INT L 0
[Huawei-LoopBack0]IP ADD 192.168.1.65 27
R3:
[Huawei]INT L 0
[Huawei-LoopBack0]IP ADD 192.168.1.97 27
配区域0的骨干:
R1:
[Huawei-LoopBack0]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 29
R2:
[Huawei]INT G 0/0/0
[Huawei-GigabitEthernet0/0/0]IP ADD 192.168.1.2 29
R3:
[Huawei]INT G 0/0/0
[Huawei-GigabitEthernet0/0/0]IP ADD 192.168.1.3 29
R4:
[Huawei]INT L 0
[Huawei-LoopBack0]IP ADD 4.4.4.1 24
[Huawei-LoopBack0]INT L 1
[Huawei-LoopBack1]IP ADD 192.168.1.193 27
[Huawei-LoopBack1]INT G 0/0/0
[Huawei-GigabitEthernet0/0/0]IP ADD 192.168.1.130 30
配置OSPF:
R1:
[Huawei]OSPF 1 router-id 1.1.1.1
[Huawei-ospf-1]ARE 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
R2:
[Huawei]OSPF 1 router-id 2.2.2.2
[Huawei-ospf-1]are 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
R3:
[Huawei]ospf 1 router-id 3.3.3.3
[Huawei-ospf-1]are 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.1.3 0.0.0.0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.1.97 0.0.0.0
[Huawei-ospf-1-area-0.0.0.0]q
[Huawei-ospf-1]are 1
[Huawei-ospf-1-area-0.0.0.1]network 192.168.1.129 0.0.0.0
R4:
[Huawei]ospf 1 router-id 4.4.4.4
[Huawei-ospf-1]are 1
[Huawei-ospf-1-area-0.0.0.1]network 192.168.1.0 0.0.0.255
配置完之后看一下邻居表:
dis ospf peer brief
OSPF Process 1 with Router ID 3.3.3.3
Peer Statistic Information
Area Id Interface Neighbor id State
0.0.0.0 GigabitEthernet0/0/0 1.1.1.1 Full
0.0.0.0 GigabitEthernet0/0/0 2.2.2.2 Full
0.0.0.1 GigabitEthernet0/0/1 4.4.4.4 Full
要让R3作为DR:没有BDR只能让R1,R2放弃选举:将参选接口优先级将为0
[R1]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ospf dr-priority 0
[R2]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ospf dr-priority 0
配置缺省路由
[R4]OSPF
[R4-ospf-1]default-route-advertise always
保障安全:
[R1]INT G 0/0/0
[R1-GigabitEthernet0/0/0]OSPF authentication-mode MD5 1 cipher 123456
[R2]INT G 0/0/0
[R2-GigabitEthernet0/0/0]OSPF authentication-mode MD5 1 cipher 123456
[R3]INT G 0/0/0
[R3-GigabitEthernet0/0/0]OSPF authentication-mode MD5 1 cipher 123456
为减少路由条目在R3上进行汇总:
[R3]OSPF 1
[R3-ospf-1]ARE 0
[R3-ospf-1-area-0.0.0.0]abr-summary 192.168.1.0 255.255.255.128
[R3-ospf-1-area-0.0.0.0]Q
[R3-ospf-1]ARE 1
[R3-ospf-1-area-0.0.0.1]A
[R3-ospf-1-area-0.0.0.1]abr-summary 192.168.1.128 255.255.255.128
为了避免环路所以要设置空接口:
[R3]ip route-static 192.168.1.0 25 NULL 0
[R3]ip route-static 192.168.1.128 25 NULL 0
Vlan
Vlan:虚拟局域网
IP和mac的关系是临时的 ,同一个广播域最容易出现欺骗行为
例如上图:当R1想知道R2的mac地址它就会发一个广播,然后R3也会收到,它可以在快要2s请求超时的时候给R1回一个假的mac地址,由于R1听信的原则是:相信后面回的这个mac地址,所以他就会相信R3回的这个mac地址故而形成了欺骗。
DHCP下发IP地址也可以实现欺骗然后攻击
交换机和路由器协同工作后,将一个广播域逻辑的切分为多个广播域。
配置思路:
1:交换机上创建vlan
2:将交换机的接口划分到对应的vlan里面去
3:trunk干道 交换机与交换机之间 交换机和路由器之也是trunk
4:vlan间路由----路由器子接口(单臂路由) 多层交换机
配置命令:
交换机上创建vlan
Vlan编号 0-4095,其中1-4094可用默认vlan1存在 切默认所有接口都属于vlan1
[Huawei]vlan 2 创建单个vlan
[Huawei-vlan2]
[Huawei-vlan2]description classroom B 描述标记该vlan的特征
[Huawei]vlan batch 3 10 创建多个编号不连续的vlan
[Huawei]dis vlan 查看创建的vlan
[Huawei]vlan batch 11 to 22 24 批量创建vlan11到22 及24
[Huawei]undo vlan batch 3 10 删除vlan3 和10
[Huawei]undo vlan batch 11 to 22 24 批量删除vlan11到22 及24
交换机上对应接口放到对应vlan:
[Huawei]int g 0/0/1 进入接口
[Huawei-GigabitEthernet0/0/1]port link-type access 先修改接口模式为接入模式
[Huawei-GigabitEthernet0/0/1]port default vlan 2 然后将接口划入某个vlan中
[Huawei]int g 0/0/2 进入接口
[Huawei-GigabitEthernet0/0/2]port link-type access 先修改接口模式为接入模式
[Huawei-GigabitEthernet0/0/2]port default vlan 2 然后将接口划入某个vlan中
[Huawei]port-group group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/4 写你要划分的接口名
[Huawei-port-group]port link-type access 修改接口模式
[Huawei-GigabitEthernet0/0/3]port link-type access 自动执行
[Huawei-GigabitEthernet0/0/4]port link-type access 自动执行
[Huawei-port-group]port default vlan 2 将这些接口划分在vlan2里面
[Huawei-GigabitEthernet0/0/3]port default vlan 2 自动执行
[Huawei-GigabitEthernet0/0/4]port default vlan 2 自动执行
要让交换机1和2 通必须得配置trunk干道
[sw1]int g 0/0/5
[sw1-GigabitEthernet0/0/5]port link-type trunk 修改接口模式为trunk
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan all
[sw2]int g 0/0/5
[sw2-GigabitEthernet0/0/5]port link-type trunk
[sw2-GigabitEthernet0/0/5]port trunk allow-pass vlan all 定义允许通过的vlan
Trunk干道------中继干道-----不属于任何一个vlan 承载所有vlan流量传递
标记(打标签)和区分(识别和去标签)不同vlan流量的能力;
注:华为设备默认trunk仅允许vlan1通过;
Cisco的Trunk干道上存在lsl私有标记技术和802.1q公有标记技术
Cisco以外的工厂均使用802.1q这种公共标记技术 802.1q=dot1.q
路由器的子接口------在一个物理接口上,逻辑配置多个虚拟接口,来识别和标记不同vlan的流量,为不同的vlan网段担任网关进行路由工作;
配置子接口:
[Huawei]int g 0/0/0.1 创建子接口
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 2 定义该接口识别和标记的vid
注:华为设备,默认子接口不进行ARP应答,所以要开启该功能
[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable
[Huawei-GigabitEthernet0/0/0.1]IP ADD 192.168.1.254 24 配置网关’
ACL:控制访问列表
1:访问限制------在路由器流量进或出的接口上匹配流量,之后对其进行限制
2:定义感兴趣流量:
Acl的限制手段-----拒绝 允许
匹配规则:
自上而下,逐一匹配,上条匹配按上条执行,不执行下条。
Cicso在末尾隐含一条拒绝所有;而华为在末尾隐含一个允许所有
ACL的分类:
1:标准ACL:仅匹配流量中的源IP地址
2: 扩展 ACL: 匹配流量中的源和目标IP地址,目标端口号或协议号
ACL的写法:
1:编号 标准 2000-2999 扩展 3000-3999 一个编号为一张表
问题:pc9不能访问192.168.3.0网段:
命令:标准ACL----因为只匹配流量中的源IP地址,故调用时为避免误删,尽量靠近目标;
[R2]acl 2000 创建一个acl 2000
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 拒绝的源IP 通配符可以写一个0 代表4个0
默认以 5为步调增加需要,便于插入规则
Undo 序号就可以删除对应的规则
以命名的方式:
[R2]acl name classroomB basic 起名为classroomB的标准acl
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 接口配置命令
Outbound 出接口 inbound 进接口
问题:pc9不能访问pc11但可以访问pc12,pc10都可以访问:
扩展ACL:因为扩展ACL可以清楚的标记目标,所以调用时尽量靠近源;
[R1]acl 3000 进入扩展acl
[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0 destination 192.168.3.1 0 配置命令
序号 动作 协议 源IP地址 目标IP地址
[R1]int g 0/0/1 进接口
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 调用acl 3000
Telnet:远程登录:基于tcp下的23号端口
条件:
1:登陆设备与被登录设备可以正常通讯
2:被登录设备开启远程登录服务
配置登录的账号密码:
[R2]aaa 进入aaa
[R2-aaa]local-user cf password cipher 123456 配置账号和登录密码
[R2-aaa]local-user cf service-type telnet 开启telnet服务
[R2-aaa]local-user cf privilege level 15 设置用户等级
[R2-aaa]q 退出
[R2]user-interface vty 0 4 登录虚拟接口
[R2-ui-vty0-4]authentication-mode aaa 调用aaa认证
拒绝ping:
[R2]acl 3001 创建一个扩展acl
[R2-acl-adv-3001]rule deny icmp source 192.168.1.2 0 destination 192.168.2.2 0 配置条件
[R2] q 退出
[R2]int g 0/0/1 进接口
[R2-GigabitEthernet0/0/1]traffic-filter inbound acl 3001 调用配置条件
拒绝telnet:
[R1]acl 3000 创建acl
[R1-acl-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.1.1 0 写规则
[R1-acl-adv-3000]q 退出
[R1]int g 0/0/0 进接口
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 调用规则
[R1]acl 3000
[R1-acl-adv-3000]rule deny tcp source 192.168.1.3 0 destination 192.168.1.1 0
[R1-acl-adv-3000]Q
[R2]acl 3001
[R2-acl-adv-3001]rule deny icmp source 192.168.1.3 0 destination 192.168.2.2 0
[R2-acl-adv-3001]q
就完成了最后的实验:
此时可以用pc1和pc2 试试分别pingR1,R2和telnet R1,R2
Pc2:
Pc1:
NAT:网络地址转换
IPv4地址=ABCDE5种分类
其中ABC三类为单播地址------既可以作为源IP地址,也可以作为目标IP地址;
在ABC地址中还存在私有和公有IP地址的区分:
共有IP地址:具有全球唯一性,可以在互联网中通讯使用,需要付费
私有IP地址:具有本地唯一性,不能在互联网中通讯,无需付费
私有IP地址: 10.0.0.0/8 172.16.0.0/16-172.31.0.0/16 192.168.0.0/24-192.168.255.0/24
静态nat(一对一):固定将一个IP地址转换为另一个IP地址
动态nat:(一对多)端口地址转换:将多个IP地址转换为一个IP地址或将一个IP地址转换为 多个IP地址。
多对多:可静态可动态
根据TTL判断是谁回复的信息:经过一个路由器TTL值减1有三种类型 255 128 64
局域网内部越大,需要的公有IP越多
动态nat:第一步要写acl抓取感兴趣流量
配置:
静态NAT
[r2-GigabitEthernet0/0/2]nat static global 12.0.0.3 inside 192.168.1.2
[r2-GigabitEthernet0/0/2]display nat static — 查看静态地址映射表
动态NAT
1,创建公网IP组
[r2]nat address-group 1 12.0.0.4 12.0.0.8
2,ACL抓取感兴趣流
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
3,绑定公网IP组和感兴趣流
[r2]int g 0/0/2
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 no-pat
EASY IP
1,ACL抓取感兴趣流
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
2,绑定ACL
[r2]int g 0/0/2
[r2-GigabitEthernet0/0/2]nat outbound 2000
端口映射
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8080 inside 192.168.1.20 80
实验:
先在交换机上进行vlan划分:
[SW1]VLAN batch 2 TO 3
[SW1]port-group group-member E 0/0/02 TO E 0/0/3
[SW1-port-group]PORT link-type access
[SW1-Ethernet0/0/2]PORT link-type access
[SW1-Ethernet0/0/3]PORT link-type access
[SW1-port-group]port default vlan 2
[SW1-Ethernet0/0/2]port default vlan 2
[SW1-Ethernet0/0/3]port default vlan 2
[SW1-port-group]q
[SW1]int e 0/0/4
[SW1-Ethernet0/0/4]port link-type access
[SW1-Ethernet0/0/4] port default vlan 3
[SW1-Ethernet0/0/4]q
[SW1]int e 0/0/1
[SW1-Ethernet0/0/1]port link-type trunk
[SW1-Ethernet0/0/1]PORT trunk allow-pass VLAN ALL
[SW1-Ethernet0/0/1]
再进入路由器创建子接口:
[R1]INT G 0/0/0
[R1-GigabitEthernet0/0/0]IP ADD 192.168.1.1 30
[R1-GigabitEthernet0/0/0]INT G 0/0/1.1
[R1-GigabitEthernet0/0/1.1]DOT1Q termination VID 2
[R1-GigabitEthernet0/0/1.1]ARP broadcast enable
[R1-GigabitEthernet0/0/1.1]IP ADD 192.168.1.65 27
[R1-GigabitEthernet0/0/1.1]Q
[R1]INT G 0/0/1.2
[R1-GigabitEthernet0/0/1.2]DOT1Q termination VID 3
[R1-GigabitEthernet0/0/1.2]ARP broadcast enable
[R1-GigabitEthernet0/0/1.2]IP ADD 192.168.1.97 27
[R1-GigabitEthernet0/0/1.2]Q
再配置DHCP服务:
[R1]ip pool v2
[R1-ip-pool-v2]network 192.168.1.64 mask 27
[R1-ip-pool-v2]gateway-list 192.168.1.65
[R1-ip-pool-v2]dns-list 114.114.114.114
[R1-ip-pool-v2]q
[R1]ip pool v3
[R1-ip-pool-v3]network 192.168.1.96 mask 27
[R1-ip-pool-v3]gateway-list 192.168.1.97
[R1-ip-pool-v3]dns-list 114.114.114.114
[R1-ip-pool-v3]q
[R1]int g 0/0/1
[R1-GigabitEthernet0/0/1]dhcp en
Info: The operation may take a few seconds. Please wait for a moment.done.
[R1]int g 0/0/1.1
[R1-GigabitEthernet0/0/1.1]dhcp select global
[R1-GigabitEthernet0/0/1.1]int g 0/0/1.2
[R1-GigabitEthernet0/0/1.2]dhcp select global
[R1-GigabitEthernet0/0/1.2]q
配置2号交换机:
[SW2]VLAN batch 2 TO 3
[SW2]INT E 0/0/1
[SW2-Ethernet0/0/1]PORT link-type access
[SW2-Ethernet0/0/1]PORT default VLAN 2
[SW2-Ethernet0/0/1]INT E 0/0/2
[SW2-Ethernet0/0/2]PORT link-type access
[SW2-Ethernet0/0/2]PORT default VLAN 3
[SW2-Ethernet0/0/2]Q
[SW2]int g 0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan all
配置2号路由器:
[R2]INT G 0/0/0
[R2-GigabitEthernet0/0/0]IP ADD 192.168.1.2 30
[R2]INT G 0/0/1.1
[R2-GigabitEthernet0/0/1.1]DOT1Q termination VID 2
[R2-GigabitEthernet0/0/1.1]ARP broadcast enable
[R2-GigabitEthernet0/0/1.1]IP ADD 192.168.1.129 27
[R2-GigabitEthernet0/0/1.1]Q
[R2]INT G 0/0/1.2
[R2-GigabitEthernet0/0/1.2]DOT1Q termination VID 3
[R2-GigabitEthernet0/0/1.2]ARP broadcast enable
[R2-GigabitEthernet0/0/1.2]IP ADD 192.168.1.161 27
[R2-GigabitEthernet0/0/1.2]Q
[R2]IP POOL V2
Info: It’s successful to create an IP address pool.
[R2-ip-pool-V2]Q
[R2]
[R2]INT G 0/0/1
[R2-GigabitEthernet0/0/1]DHCP ENABLE
Info: The operation may take a few seconds. Please wait for a moment.done.
[R2]IP POOL V2
[R2-ip-pool-V2]network 192.168.1.128 MASK 27
[R2-ip-pool-V2]gateway-list 192.168.1.129
[R2-ip-pool-V2]dns-list 114.114.114.114
[R2-ip-pool-V2]Q
[R2]IP POOL V3
Info: It’s successful to create an IP address pool.
[R2-ip-pool-V3]Q
[R2]INT G 0/0/1.1
[R2-GigabitEthernet0/0/1.1]DHCP select global
[R2-GigabitEthernet0/0/1.1]Q
[R2]IP POOL V3
[R2-ip-pool-V3]network 192.168.1.160 MASK 27
[R2-ip-pool-V3]gateway-list 192.168.1.161
[R2-ip-pool-V3]dns-list 114.114.114.114
[R2-ip-pool-V3]Q
[R2]INT G 0/0/1.2
[R2-GigabitEthernet0/0/1.2]DHCP select global
[R2-GigabitEthernet0/0/1.2]Q
[R2]int g 0/0/2
[R2-GigabitEthernet0/0/2]ip add 12.1.1.1 24
配置3号路由器:
[R3]INT G 0/0/0
[R3-GigabitEthernet0/0/0]IP ADD 12.1.1.2 24
[R3-GigabitEthernet0/0/0]INT G 0/0/1
[R3-GigabitEthernet0/0/1]IP ADD 1.1.1.1 24
[R1] acl 3000
[R1-acl-adv-3000]rule deny tcp source 192.168.1.94 0 destination 192.168.1.65 0
[R1-acl-adv-3000]q
[R1]int g 0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/1]q
此时在R2的OSPF里面给R1写一条缺省路由,还要给自己写一条去isp的缺省:
[R2]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
[R2]ospf 1
[R2-ospf-1]default-route-advertise always
写nat:
[R2]acl 2000
[R2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R2-acl-basic-2000]int g 0/0/2
[R2-GigabitEthernet0/0/2]nat outbound acl 2000
[R2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 ins
ide 192.168.1.100 80
Warning:The port 80 is well-known port. If you continue it may cause function fa
ilure.
Are you sure to continue?[Y/N]:y
VRP(versatile routing platform通用路由平台)基础及操作
华为路由器的接口默认都是开启的
思科路由器的接口默认都是关闭的
在交换机模拟器及真机上,每次修改配置文件都会有相应配置改变提示,影响配置阅读:
undo terminal trapping 类似 cisco中的日志同步
undo terminal monitor //会把所有信息都会关闭(包括接口的up/down消息)
[R1]undo info-center enable //会把所有告警信息全部关掉(包括接口的up/down消息)。会不记录日志,慎用
基础命令
注:
真机AR2220不支持修改语言模式
模拟器上所有的路由器上不支持
模拟器上所有的交换机都支持(要使用默认的putty,CRT显示为乱码)
修改设备主机名:
sysname R1
dis this //查看当前视图下的配置
dis current-configuration //查看当前配置
dis history-command //查看最近的10条历史命令
dis logbuffer //查看系统日志
dis clock //查看当前的系统时间
修改系统时间:
clock datetime 8:00:00 2014-01-16
clock timezone HK add 8:00:00
最后一条命令为巡检时使用
删除文件时不能自定义本地路径:
cd … //返回上一级目录
配置文件管理
当前配置保存在RAM中,启动配置保存在flash中
重启:reboot
保存现有配置:
清除启动配置:
重启:
真机上的VRP软件名:
AR2200的VRP软件名为:sd1:/ar2220-v200r001c01spc500.cc
模拟器上的启动配置文件名:
console口密码设置
某些设备默认为none,某些设备默认为password,可以查看dis cu确定
不需要密码直接登陆
user-interface con 0
authentication-mode none //如果为默认配置,可能并不显示在当前配置文件中
使用密码登陆
user-interface con 0
authentication-mode password //使用密码登陆
set authentication password simple/cipher huawei //在当前配置文件中存储的明文/密文密码
模拟器上console口下的用户权限默认为15
使用用户名和密码登陆
user-interface con 0
authentication-mode aaa
aaa
local-user huawei password cipher huawei
local-user huawei service-type terminal //用于console口
local-user huawei privilege level 15 //模拟器上权限默认为15,权限较低则无法进入系统试图,但可使用super命令进入
super password level 3 cipher 123456 //模拟器上level显示为1-15,但最高只能输入为3(只支持0到3共4个级别),其他权限级别拒绝输入,或输入了反而无法进入
权限级别:
0、1:只能进入用户试图,没有进入系统试图的权限,需要用super进入
2:可以进入系统试图,但不能执行dis cu或aaa命令
》3:可以进入系统试图,可以执行dis cu或aaa命令
开启telnet功能
telnet server enable //telnet服务器端开启telnet服务,看设备型号,不一定默认开启(模拟器上默认开启)
使用密码登陆
VTY:(Virtual Teletype Terminal)虚拟终端
模拟器上:
user-interface vty 0 4 //vty为虚拟终端信道
authentication-mode password //设置认证模式,要使用密码进行登录验证(默认模式——默认配置在配置文件中不显示出来),或改为none:登录时不进行认证(模拟器上不支持)
set authentication password simple/cipher huawei //设置配置文件中存储的明文/密文密码
对于telnet用户一般要提供两层密码保护,否则默认客户是有权限限制的:
super password level 3 cipher 123456 //超级密码,一般用于二次telnet用户(使用super密码提供二次验证更加安全,比方法二更好),此密码至少为6位
telnet 127.0.0.1 //telnet命令只能在用户视图下使用
super //登陆上去后输入super password口令
方法二:
模拟器上:
user-interface vty 0 4
user privilege level 3 //设置VTY用户权限,默认为1,undo user privilege level //恢复用户权限为1
使用用户名和密码登陆
user-interface vty 0 4
authentication-mode aaa
aaa
local-user huawei password cipher huawei
local-user huawei service-type telnet //必须指定用户的服务类型,否则用户无效
local-user huawei privilege level 15 //默认权限为1,如未设置权限则可使用super的权限登陆
路由协议基础
路由协议的优先级
思科和华为AD值的区别:
浮动静态路由的查看
ping后面的参数设置
ping –a 1.1.1.1 2.2.2.2 //带源1.1.1.1 ping目的2.2.2.2
tracert -a 1.1.1.1 2.2.2.2 //带源1.1.1.1 trace目的2.2.2.2
ping –c 1000 2.2.2.2 //发包数量,默认为5个
ping –s 9600 2.2.2.2 //发包字节数,模拟器上默认为56字节,最大可设置为9600字节
ping -c 1000 -a 1.1.1.1 3.3.3.3
华为设备的debug功能
terminal debugging //必须把debug信息显示在控制台才可以看到debug信息
debugging arp packet
undo debugging all
ip soft-forward enhance enable
765
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
