路由器-交换机

1、简介

交换机（Switch）：

1. 局域网（LAN）：交换机主要用于连接局域网中的设备，如计算机、打印机等，并通过交换机的端口之间的数据转发实现设备间的通信。

2. MAC地址：交换机使用MAC地址（物理地址）来标识和寻址设备。它会学习和维护一个MAC地址表，记录连接到各个端口的设备的MAC地址，并根据目标MAC地址表中的记录将数据帧转发到正确的目标设备。

3. VLAN（Virtual LAN）：交换机可以配置虚拟局域网，将不同的设备隔离在不同的VLAN中，以增强网络的安全性和管理性。

4. 交换机端口：交换机具有多个端口，每个端口都可以与一个设备连接。端口可以被配置为不同的模式，如接入模式、中继模式和访问模式，以适应不同的设备连接需求。

路由器（Router）：

1. IP地址：路由器使用IP地址来标识和寻址设备。它具有多个接口，每个接口都有一个IP地址，用于在不同的网络之间进行数据包转发。

2. 子网划分：路由器可以划分和连接不同的子网，通过路由表来确定下一跳的路径，将数据包从源网络转发到目标网络。

3. 路由协议：路由器使用路由协议来学习网络拓扑和选择最佳路径进行数据转发。常见的路由协议有静态路由、RIP、OSPF、BGP等。

4. NAT（Network Address Translation）：路由器可以进行地址转换，将内部私有IP地址与外部公共IP地址进行映射，实现内部网络与外部网络的通信。

5. ACL（Access Control List）：路由器可以配置ACL来实现流量过滤和安全控制，限制或允许特定的网络流量通过。

6. QoS（Quality of Service）：路由器可以配置QoS来对不同的网络流量进行优先级和带宽管理，以实现对网络质量的控制和优化

交换机的功能：

1. 网络划分：交换机可以将局域网（LAN）划分为多个虚拟局域网（VLAN），提供安全隔离和管理不同用户组的能力。
2. 数据转发：交换机根据MAC地址将数据帧从源设备直接转发到目标设备，提供快速和可靠的局域网内部通信。
3. 数据广播和组播：交换机可以将数据广播到局域网中的所有设备，也可以以组播方式将数据发送到特定组的设备。
4. MAC地址学习和转发：交换机学习并记录连接到其端口的设备的MAC地址，并根据需求转发数据帧到正确的目标设备。
5. 自动速率感应和双工模式：交换机可以自动检测连接的设备的速率和双工模式，并进行相应的配置以确保最佳性能。
6. 硬件切换：交换机使用硬件交换芯片，实现高速的数据转发和低延迟的局域网交换。

路由器的功能：

1. 网络间连接：路由器用于连接不同的网络，并在这些网络之间转发数据包。它通过不同网络之间的路由选择和转发来实现数据的跨网络传输。
2. IP地址寻址和转发：路由器使用IP地址来识别和定位不同网络上的设备，并根据路由表将数据包转发到适当的目标网络。
3. 路由选择协议：路由器使用路由选择协议（如RIP、OSPF、BGP）学习和维护网络拓扑信息，并选择最佳路径来转发数据包。
4. 分组、重组和拆包：路由器在数据包传输过程中对数据流进行分组、重组和拆包，确保数据的正确传递和响应速度。
5. 网络地址转换（NAT）：路由器可以执行网络地址转换，将内部私有IP地址映射到外部公共IP地址，以便与外部网络通信。
6. 安全控制：路由器可以实施访问控制列表（ACL）和防火墙策略，限制网络流量和保护网络安全。
7. 隧道和远程连接：路由器可以建立安全的隧道连接，用于远程办公、虚拟专用网络（VPN）和远程访问等场景。

2.工作原理

     交换机：数据链路层，mac表（mac地址和接口对应）进行数据转发，mac表刚开始为空，接收到数据时，查看表中有没有，没有就加入，然后广播查找目的mac地址并加入，单播回应

    路由器：网络层，IP数据包，切片，IP地址寻址，实现不同网段的通信

    Qos:解决网络延迟的一种技术

     路由：从源路由到目的主机的转发过程

网关（Gateway）和网卡（Network Interface Card）是在计算机网络中扮演不同角色的两个概念。

网关：

1. 作为网络设备：网关是网络中的一个设备，用于连接两个或多个不同的网络，传递数据包并进行路由选择。
2. 路由器功能：在网络通信中，网关扮演路由器的角色，根据目标IP地址的网络前缀判断数据包应该被发送到哪个网络。
3. IP地址：通常情况下，网关拥有两个IP地址，一个是属于本地网络的IP地址，另一个是用于和其他网络通信的IP地址。

网卡：

1. 物理设备：网卡是计算机中的物理设备，通常以插卡或者集成在主板上的形式存在，用于实现计算机与本地网络的连接。
2. 数据传输：网卡负责接收和发送数据包，将数据转换为电信号通过网络线缆传输，同时将接收到的电信号转换为计算机可读的数据。
3. MAC地址：网卡拥有一个唯一的MAC地址（物理地址），用于在局域网（LAN）中标识和寻址计算机。

不同之处：

1. 角色和功能：网关是网络设备，用于连接不同网络，进行路由选择和数据转发；而网卡是计算机的物理设备，用于实现计算机与本地网络的物理连接和数据传输。
2. 范围和数量：一个网络通常只有一个网关，用于连接到其他网络；而一台计算机通常有一个或多个网卡，每个网卡对应一个物理接口。
3. 地址类型：网关通常有一个或多个IP地址，用于和其他网络进行通信，其中一个IP地址属于本地网络；而网卡有一个MAC地址，用于在局域网中标识计算机。

简而言之，网关是网络设备，负责连接不同网络和进行路由选择；而网卡是计算机的物理设备，用于实现计算机与本地网络的连接和数据传输。它们在角色、功能和所涉及的范围上有所不同。

3、路由器 

网关：IP  default-gateway  +地址

 静态路由：

思科：ip route 目的网段  掩码 路由器的下一跳IP地址 show IP route

华为：ip route-static 目的网段 掩码 下一跳地址（进入该网段之前的网段的最后地址） display ip routing-table

 

 

 

路由器在转发数据包的封装过程中，源IP和目的IP都没有变化，但是mac一直在变

4、交换机

交换机默认情况下是一个广播域，所有接口都属于vlan1， vlan划分广播域，方便管理，增强安全性。

静态vlan：常用

  基于端口划分，需要去配置，创建vlan并j将接口加入vlan

动态vlan：

  基于mac地址，自动将同一类型的MAC加入同一vlan

思科：0-4096，0-4095保留，默认vlan1；以太网vlan：2-1001，扩展vlan：1025-4094

华为：1-4094，VLAN 1024-2047 为特殊 VLAN，用于系统自身的服务和功能
VLAN 1 是默认 VLAN，通常用于管理

静态vlan创建：

1.创建vlan

2.指定vlan模式

3.加入

4、转发，打标签

 vlan id、show vlan brief、switch mode access、switch access vlan id、

 int range 接口范围（f0/20-24）:批量将接口加入vlan中

show vlanid 、no vlan

vlan trunk

 实现不同相同vlan跨不同交换机数据转发、access（主机交换机）

步骤：

主机与交换机之间创建vlan 的access模式，两台交换机的直连接口配置成trunk模式即可实现不同交换机的相同vlan间通信

 

 

单臂路由： 实现不同vlan通信 （另一种是三层交换机）

 

 

 

   使用效果：

        

 总结

      交换机上的三个接口分别配置为access、trunk接口模式，不用配置IP地址，路由器上将接口g0/0/0用dot1Q封装成0.1，0.2，并将两个接口加入vlan10，vlan29中

三层交换机：二层交换和三层路由，实现不同vlan的通信

        单臂路由缺点（划分子接口）：容易造成网络瓶颈，子接口依赖物理接口，当vlan多时，物理接口压力大，同时每次转发数据都要进行路由，路由器压力大

       三层交换机：虚接口

        情况一：

en 

vlan 10 20

exit

int range f0/1-14    sw acc  vlan 10

exit

---

int range f0/15-24    sw acc vlan 20

int vlan 20//配置虚接口

ip addr ip

no shut

int vlan 10

//

---

ip dhcp pool vlan 10/20

network 网段

default-router 网关

exit

4、链路聚合（动态、静态）以太网通道是一种链路聚合技术，用于将多个以太网链路捆绑在一起形成一个逻辑的高带宽链路.8条

1、进入接口  2、指定模式 3、接口加入组

int ID

channel-protocol lacp

channel-group 1 mode active

exit

加入其他接口

注意：vlan交换机通信配置trunk   

int  port-channel 1

sw mode trunk

5、stp(数据链路层)

 当存在多条路径连接交换机时，如果没有相应的机制来防止环路，数据包将会在网络中无限循环，产生广播风暴，导致网络拥塞。生成树协议通过选择一条主路径（生成树）和禁用其他冗余路径，来建立一个无环的网络拓扑，同时保持对故障的冗余容错，逻辑上堵塞接口。

stp生成过程：根网桥（根交换机）：网桥id，mac地址

                       根端口：与根交换机是直连交换机接口RP

                       指定端口：花费，网桥优先级，4096倍数,根交换机上接口

                       堵塞端口

6、动态路由：

    ospf rip BGP（自治系统之间）

自动学习路由信息

直连路由：路由器接口上配置的网段地址会自动出现在路由表中并与接口关联

自治系统：路由器采用相同协议的一个区域

RIP:

内部网关路由协议，基于距离矢量算法，跳数表示到达目的的距离最大15跳，16不可达，30秒更新路由信息，UDP520端口发送消息，通过相邻路由器学习路由信息

RIPV1:有类路由（ABC类），自动路由汇集，不可关闭，不支持不连续子网，广播更新，采用标准子网掩码

RIPV2：无类，可关路由汇聚，支持不连续子网，不标准子网掩码

配置：

router rip

network 路由器直连网段

router rip 

version 2

network ip

 未RIP

 RIP后

ospf:

开放式最短路径优先，内部网关，组播建立邻接关系，根据链路状态信息库和算法得到最优路径，形成路由表

划分区域，适应大型网络，实现快速收敛

骨干区域：连接使用普通区域，一个，区域ID为0

DR：router id 最大，区域中的其他路由器只和它建立邻接关系，节约带宽资源，BDR作为预备，ID第二大

OSPF协议发包的目的地址是两个多播地址，224.0.0.5和224.0.0.6.

224.0.0.5是所有运行OSPF路由器都能够收到，这就意味着DR路由器使用这个地址对所有的路由器进行路由的通告。

连接确认身份，向DR、BDR发送链路状态，请求LSR,更新LSU，确认LSACK

区域内通信，同一自治系统内的不同区域通信,ABR区域边界路由器，自治系统之间通信ASBR自治系统边界路由器

单区域：                  思科

router ospf id（ospf进程号）

network ip 反码（宣告邻接网段）area id

多区域：

network ip 反码（宣告邻接网段）area id

多区域

 单区域

路由重分发：将其他自治系统的路由分发进自治系统内

末梢区域：

虚链路：两台ABR之间建立一条穿越非骨干区域的链路

7、ACL:标准、扩展、命令

     基于包过滤的访问控制技术，路由器和三层交换机中。源(ip,端口）目的（ip,端口），协议五元组。

一个接口有唯一访问控制列表

标准ACL：基于源ip地址进行控制，表号1-99，一般应用于入口

access-list 1 permit/deny host ip /网段，in为入口，out为出口

• 功能：标准ACL基于源IP地址来控制数据流动，仅允许或拒绝特定IP地址的数据流。
• 配置命令：
  • 华为设备：
    1. 进入ACL视图：acl number <ACL号>
    2. 配置允许或拒绝规则：rule <序号> [permit|deny] source <源IP地址>
  • 思科设备：
    1. 进入全局配置模式：configure terminal
    2. 配置允许或拒绝规则：access-list <ACL号> [permit|deny] <源IP地址>

扩展：表号100-199，源ip，目的ip，端口号，标志位过滤

• 功能：扩展ACL根据源IP地址、目标IP地址、传输层协议和端口号等多个条件来控制数据流动。
• 配置命令：
  • 华为设备：
    1. 进入ACL视图：acl number <ACL号>
    2. 配置允许或拒绝规则：rule <序号> [permit|deny] [protocol <协议>] [source <源IP地址>] [destination <目标IP地址>] [source-port <源端口>] [destination-port <目标端口>]
  • 思科设备：
    1. 进入全局配置模式：configure terminal
    2. 配置允许或拒绝规则：access-list <ACL号> [permit|deny] <协议> <源IP地址> <源端口> <目标IP地址> <目标端口>

命名：

标准和扩展ACL删除都是删除整个表，而命令容易删除单条或者增加访问控制

• 华为ACL配置命令示例：

  • 创建和编辑ACL规则：acl [number] [rule {rule-id | rule-name} {action permit | action deny} [source {source-address | any}] [destination {destination-address | any}] [service {service-name | any}] [time-range time-name] [fragments] [logging]]
  • 将ACL应用到接口：interface [interface-type interface-number] acl { acl-number | acl-name } { inbound | outbound }
  • 查看已配置的ACL：display acl

• 思科ACL配置命令示例：

  • 创建和编辑ACL规则：access-list [acl-number] {permit | deny} {protocol} {source source-wildcard | any} {destination destination-wildcard | any}
  • 将ACL应用到接口：interface [interface-type interface-number] ip access-group {acl-number | acl-name} {in | out}
  • 查看已配置的ACL：show access-lists

8、NAT 

ipv4网络分为公网和私网，私网无法上网，nat即将私网地址转换为公网地址（ARP是将ip地址转换为Mac地址）。    

源地址转换：内网访问公网，内网地址转换为公网地址

静态转换：配置内部地址和外部地址的一对一映射：

     1对1，仅进行IP地址转换

      永久占用公网地址

#首先定义路由器的出口和入口

ip nat inside/out

ip nat inside source static [内部地址] [外部地址]

动态转换：

     多对多，仅进行IP地址转换，内网的一部分转换为外网的一部分，这需要考虑双方地址的多少

• 配置一个地址池，将内部地址动态转换为外部地址：

  ip nat pool [地址池名称] [起始外部地址] [结束外部地址] netmask [子网掩码]
  ip nat inside source list [ACL编号] pool [地址池名称]
  

• 创建一个访问控制列表（ACL），用于指定哪些内部地址可以进行转换：

  access-list [ACL编号] permit [内部地址范围]

端口多路复用PAT:（使用相同的IP地址，但是端口号不一样）

     多对1转，携带端口一起转换

• 配置一个地址池，将内部地址动态转换为单个外部地址，并使用不同的端口号进行区分：

  ip nat pool [地址池名称] [起始外部地址] [结束外部地址] netmask [子网掩码]
  ip nat inside source list [ACL编号] pool [地址池名称] overload

目的地址转换：公网访问内网

端口映射（服务器映射）：

      内网服务器发布到外网，实现外网访问内网的服务器，端口号不能更改

将外部地址的特定端口映射到内部地址的特定端口：

ip nat inside source static tcp [内部地址] [内部端口] [外部地址] [外部端口]
ip nat inside source static udp [内部

转换表中的四类地址

   

在网络地址转换（Network Address Translation，NAT）中，有四类地址用于标识网络中的不同类型的IP地址。这些地址包括：

1. 内部本地地址（Internal Local Address）：也称为私有地址，用于在内部网络中标识设备。内部本地地址通常在局域网（LAN）中使用，并且不在公共互联网上可路由。常见的内部本地地址包括：

   • 10.0.0.0 到 10.255.255.255
   • 172.16.0.0 到 172.31.255.255
   • 192.168.0.0 到 192.168.255.255

   内部本地地址允许在局域网中使用相同的IP地址范围，而不会与其他网络冲突。

2. 内部全局地址（Internal Global Address）：也称为内部全局IP地址，是内部网络中的设备通过NAT转换后使用的全局IP地址。内部全局地址是在公共互联网上可路由的IP地址，用于与外部网络进行通信。

3. 外部本地地址（External Local Address）：也称为外部本地IP地址，是外部网络中的设备在与内部网络通信时使用的IP地址。外部本地地址是在公共互联网上可路由的IP地址，但在特定的内部网络中不可路由。

4. 外部全局地址（External Global Address）：也称为公共全局地址，是在公共互联网上可路由的IP地址，用于与外部网络进行通信。

9、端口镜像（本地、远程交换机）

                将一个或多个端口的数据流量复制到某一个指定端口来实现对网络的监控，来实现对网络流量的分析（IDS）与监控。

---

配置命令：

华为设备：

1. 配置本地端口镜像：

   • 进入系统视图：system-view
   • 选择要进行镜像的源端口：interface <source interface>
   • 配置端口镜像到目标端口：port-mirroring to <target interface>

2. 配置远程端口镜像：

   • 进入系统视图：system-view
   • 配置远程端口镜像会话：mirroring-group <group ID>
   • 添加源端口：mirroring-group <group ID> input <source interface>
   • 配置目标端口和目标地址：mirroring-group <group ID> output <target interface> [remote <target IP address>]

思科设备：

1. 配置本地端口镜像：

   • 进入全局配置模式：configure terminal
   • 选择要进行镜像的源端口：monitor session <session number> source interface <source interface>
   • 配置端口镜像到目标端口：monitor session <session number> destination interface <target interface>

2. 配置远程端口镜像：

   • 进入全局配置模式：configure terminal
   • 配置远程端口镜像会话：monitor session <session number> source interface <source interface>
   • 配置目标地址：monitor session <session number> destination remote <target IP address> udp <port>