笔记总结=

HCIA---- 数通

hcia--- 华为认证初级 ICT 工程师

HCIP--- 华为认证 ICT 高级工程师

HCIE--- 华为认证 ICT 专家级工程师

1 、需要有一个通道

2 、需要有节点

3 、都有载体

通过一些特殊的通道把分布在不同地理位置的物品连接起来，从而实现信息的传输和共享。

网络作用：

1 、数据通讯

2 、资源共享

3 、分布处理

计算机网络基础

世界上第一台计算机 ---1946 年 --- 计算导弹弹道的 ----- 分时操作系统

二进制语言（机器语言）

自然语言 ---- 编码

编码 ---- 二进制

介质访问控制层：控制硬件；将二进制转换为电流，并控制物理层输出电流。

计算 ---CPU

对等网

升级硬件资源

增加电脑数量 继续扩大网络

增大距离

信号失真

网线

仅仅减小失真，而不能完全避免

信号衰减

中继器

增加节点

网络拓扑结构

总线型：由一条多芯网线向四周延展，连接各个节点。

优点：信道利用率高，结构简单，成本低

缺点：同一时刻，仅允许两个节点进行通讯

环型：由节点与节点连接的线路组成闭合环。

优点：增加和删除设备简单

缺点：当某一节点故障时，会影响全网，导致整张网络瘫痪。

星型：由中央节点和通过链路连接到中央节点的节点组成 。

优点：结构简单，扩展性强，连接方便

缺点：信道利用率低，对中心节点要求高

网状：实际上是由星型拓扑扩展而来，使用全连接的方式，网状中任意一个节点都属于中心节

点

优点：稳定，从节点到节点有多条路径可选 ------ 运营商网络

缺点：结构复杂，成本高

集线器 ----HUB

纯物理层设备

缺点：

1. 安全问题

2. 延时问题 ---- 产生大量的垃圾信息

3. 地址问题 -----MAC 地址 ---48 位二进制 --- 十二位十六进制表示（全球唯一）

4. 冲突问题 ----- 载波侦听多路访问 / 冲突检测机制 ------CSMA/CD （先听后发、边听边发、冲突停

发、随机延迟后重发） ----- 仅仅减少了冲突，并没有完全解决冲突

冲突域 ：连接在同一根导线上的所有工作站的集合

网络无限传输距离

完全没有冲突

存在单播传输数据

出现了一台设备， 网桥 （二层设备 --- 处理二进制信号） ---- 交换机 交换机

识别 MAC 地址 ----MAC 地址自学习

MAC 地址自学习功能：交换机在接收到一个数据报文后，根据数据报文中的源 MAC 地址，与

接收该报文的接口形成对应关系，并记录在 MAC 地址表中。

然后，交换机根据数据报文的目的 MAC 地址，查询 MAC 地址表项，若有匹配项，则根据匹配

项的指示直接进行单播转发。

若无匹配项，则进行洪泛操作（除了数据的进入接口外，均发送一份数据）

MAC 地址表不是永久记录的，而是存在老化时间 ----5 分钟。

交换网络 --- 仅仅由交换机连接各个节点形成的网络 ---- 仅具备几十个节点，最多不超过 200 个节点。

广播域 --- 洪泛的范围

路由器

隔离广播域

路由器的一个接口就是一个独立的广播域。

转发数据

依靠路由表进行数据转发

依靠交换机进行数据转发 ----- 同广播域

借助路由器进行数据转发 ----- 跨广播域

IP 地址

IPv4 ： 32 位二进制构成， 42 亿；点分十进制

IPv6 ： 128 位二进制 IP 地址

192.168.1.1

IP 地址分为两部分：

网络位：表示该 IP 所在的网络

主机位：表示主机号

掩码

掩码是 32 位二进制组成，用以判断 IP 地址的网络位位数。

连续的 1+ 连续的 0 组成 。

掩码中的数字 1 所代表的含义为 IP 地址的比特位为网络位 。

网关

被称为一个广播域的门户，也就是路由器与该广播域所连接的接口，这个接口的 IP 地址称之为网关 IP 。

1. 判断是否为同一广播域

2. 若为同广播域，则将数据发送给交换机，由交换机进行洪泛或单播形式转发数据

3. 若为不同广播域，则将数据发送给路由器，即网关 IP 所在设备，再由路由器进行数据转发

4. 目的主机接收到该数据后，重复前三步操作进行数据发送

171.68.129.1

IP ： 11110000.00001111.10101010.00000001

掩码： 11111111111100000000000

11110000.00001111.10101010.00000001

11111111.11111111.11111111.00000000

11110000.00001111.10101010.00000001/24

11111111.11111111.11111111.00000000

11110000.00001111.10101010.00000010/21

11111111.11111111.11111000.00000000

11110000.00001111.10101011.00000001

11111111.11111111.11111111.00000000

192.168.1.1/24 ARP 协议

原理：根据已知的地址来获取与其对应的另一种未知地址 ARP 工作过程：

发送者 PC1

PC1 发送一个广播帧，源 IP 和源 MAC 是 PC1 的，目的 IP 是网关，目的 MAC 是 FFFF:FFFF:FFFF

该数据包会被通广播域内所有主机接收，并且该报文内容是（ ARP 请求报文）

谁是某某某 IP ，请回复我

非目的主机 PC2 ：

由于该广播帧是网络中所有主机均可接受的报文，故 PC2 会接收这个数据帧，提取 IP 地址，发

现并不是找自己的，所以会丢弃该数据包

目的主机（网关）：

网关接收到该报文后，会发现目的 IP 地址是本接口 IP ，故会查看报文内容，并打包一个数据报

文进行回复，其中，包含了本接口的 MAC 地址。

实际上，设备在进行 ARP 请求之前，会先查找本地的 ARP 缓存表，若本地存在对应关系，则直接按

照本地 ARP 缓存表中描述的 MAC 地址进行数据封装。若没有对应关系，则会发送 ARP 请求报文，接

收方会回复 ARP 应答报文，当发送方接收到 ARP 应答报文后，会将该报文的内容填充到 ARP 缓存表

中。

ARP 缓存表的老化时间 -----180s

ARP 分类

正向 ARP---- 通过 IP 获取 MAC （网络中最常见的）

反向 ARP---- 通过 MAC 获取 IP

免费 ARP---- 无故 ARP----- 用于自我介绍和冲突检测

代理 ARP---- 由网关设备代替主机查询 MAC 地址

TCP/IP

美国国防部开发

OSI 参考模型

开放式系统互联模型 ------ 国际化标准组织 ISO 提出 ---- 协议组（协议模型）

应用层：接收用户数据，人机交互的接口

表示层：将编码转换为二进制（加密、解密） --- 统一格式

会话层：针对传输的每一种数据建立一条连接（防止不同数据之间相互干扰）

控制层面：上三层

数据层面：下四层

传输层：区分流量、定义数据传输方式； TCP 、 UDP

网络层：通过 IP 地址进行逻辑寻址

数据链路层：通过 MAC 地址进行物理寻址 LLC---- 逻辑链路控制层

MAC---- 介质访问控制层

物理层：定义协议物理特性（电压、电气、接口规范）；传输比特流

报文的封装和解封装 PDU

TCP/IP--- 互联网使用

物理层

规定了一些物理特性（数据传输速率、传输模式、电气电压）

代表设备：中继器、集线器

介质

同轴电缆 ---- 淘汰

10BASE5---- 粗同轴电缆 ----500m

10BASE2---- 细同轴电缆 ----185m

速率极低

双绞线

协议数据单元 ----- 数据在不同层面的表现形式

上三层 ---- 数据

传输层 ---- 数据段

网络层 ---- 数据包

数据链路层 - 数据帧

物理层 ---- 比特流 分为屏蔽双绞线（ STP ），非屏蔽双绞线（ UTP ）

类型： 1 、 2 、 3 、 4 、 5 、超 5 、 6 、超 6 、 7 、 8

光纤

双工模式

全双工：通讯双方都能 同时 发送和接收数据

半双工：通信双方都能发送和接收数据，但是 不能同时 进行

同一条物理线路上的设备双工模式必须相同 。

线序

568A

568B

橙白、橙、绿白、蓝、蓝白、绿、棕白、棕

直连线、交叉线

数据链路层

代表设备 --- 网桥、交换机

链路类型

局域网 --- 以太网（ MAC 地址）

广域网

MAC 地址 ---- 物理地址 ---- 二层地址 前 24 位：表示厂商 ID

后 24 位：表示产品 ID

数据帧

以太网 -2 格式、 IEEE 802.3 格式。

帧发送方式

单播、广播（目的 MAC=FFFF:FFFF:FFFF ）、组播

网络层

IP 地址 ---- 逻辑寻址 --- 全网唯一

IP 地址的 有类 分址 ----- 根据 IP 地址前八位二进制的数字特征分类

A ： 0XXX XXXX-----0.0.0.0-127.255.255.255---- 掩码为 8 。

B ： 10XX XXXX-----128.0.0.0-191.255.255.255--- 掩码为 16 。

C ： 110X XXXX-----192.0.0.0-223.255.255.255---- 掩码 24 。

D ： 1110 XXXX-----224.0.0.0-239.255.255.255

E ： 1111 XXXX------240.0.0.0-255.255.255.255

特殊地址 --- 不能手工配置在电脑上

0.0.0.0----- 网络地址（代表所有地址，或代表没有地址）

255.255.255.255---- 受限广播地址

192.168.1.0/24---- 主机位全 0------ 代表该广播域 ------ 网段

192.168.1.255/24--- 主机位全 1----- 定向广播地址

127.X.X.X---- 本地测试地址

169.254.0.0/16----- 本地链路地址

私有地址 ----- 可重复

A 类： 10.0.0.0-10.255.255.255---- 一个地址段

B 类： 172.16.0.0-172.31.255.255----- 十六个地址段

C 类： 192.168.0.0-192.168.255.255----256 个地址段

公有地址

除了上述私有地址和特殊地址外的所有单播地址。

A\B\C 三类 ---> 单播地址 ---- 可以做源地址，也可以做目的地址

D-----> 组播地址 ---- 只能当做目的地址使用

E-----> 保留地址（科研地址） IP 报文头部

IP 分片 -----MTU （最大传输单元） --- 以太网中 MTU=1500 字节

标识位 ---- 给每一个分片的数据报文分配一个序列号，从小到大，一次加一，用于让接收方重

组数据

标志位 ---3bit

第一位 ---- 无意义，用 0 填充

第二位 ----DF 位 ---- 若该位置为 1 ，则代表未分片；若为 0 ，则代表分片。

第三位 ----M 位 ----- 表示该报文是否是最后一片。若为 1 ，则代表后续还有报文。

片偏移 ---- 计算数据报文在源数据报文中的相对位置，单位为 8 字节。

传输层

端口号 --- 标识进程 ----16 位二进制

0-65535

1-1023--- 著名端口（静态端口）

1024-65535--- 动态端口 ---- 某些协议自动随机生成的

常见端口号

telnet-----23

ftp-----20/21

http----80

https----443

DNS----53

TCP 协议 ---- 传输控制协议

是一种面向连接的可靠性协议 可靠性

确认机制：传输确认，每收到一个数据段，均需要进行一次确认

重传机制：当一个数据段中的某个报文丢失，会提醒要求重新传输该丢失报文

排序机制：传输一个数据段，被分为多个报文，从不同路径传输，最终到达目的地的顺序会被打

乱，需要重新排列组合恢复原始报文内容

流控机制（滑动窗口机制）：调节窗口大小来对流量进行控制

窗口大小：指无需等待确认就可以连续发送的最大数据量

TCP 分段

TCP 协议封装的数据不允许在 IP 层面进行分片操作。

MSS （最大传输段） = MTU-IP 头部 -TCP 头部

PMTU--- 路径 MTU 发现协议

面向连接

三次握手

四次挥手 UDP---- 用户数据报协议

是一种非面向连接的不可靠传输协议。

VLSM 技术 ---- 可变长子网掩码（无类分址） --- 子网划分

实现方法 --- 通过从主机位借位到网络位的方式，达到将一个大的网段划分为多个小的网段。而借出去

的位称为子网位，决定了能划分的网络个数 。

192.168.1.0/24--------256 个

192.168.1.0 0000000/25------192.168.1.0/25--128 个

192.168.1.0 0 000000/26---192.168.1.0/26

192.168.1.0 1 000000/26---192.168.1.64/26

192.168.1.1 0000000/25------192.168.1.128/25--128 个

192.168.1.1 0 000000/26----192.168.1.128/26

192.168.1.1 1 000000/26----192.168.1.192/26

10.0.0.0/8 划分为 15 个网段

10.0 0000000.00000000.00000000/9

10.0 0 0 00000.00000000.00000000/11

10.0 0 1 00000.00000000.00000000/11

10.0 1 0 00000.00000000.00000000/11

10.0 1 1 00000.00000000.00000000/11

10.1 0000000.00000000.00000000/9

10.1 0 000000.00000000.00000000/10

10.1 1 000000.00000000.00000000/10 CIDR 技术（无类域间路由）

将小的网段汇聚成大的网段

方法： 取相同位，去不同位 。

满足条件

母网相同

掩码一致

10. 0000 0000.00000000.00000000/12---10.0.0.0/12

10. 0001 0000.00000000.00000000/12---10.16.0.0/12

10. 0010 0000.00000000.00000000/12---10.32.0.0/12

10. 0011 0000.00000000.00000000/8----10.48.0.0/12

10. 0100 0000.00000000.00000000/8----10.64.0.0/12

10. 0101 0000.00000000.00000000/8 10.80.0.0/12

10. 0110 0000.00000000.00000000/8 10.96.0.0/12

10. 0111 0000.00000000.00000000/8 10.112.0.0/12

10. 1000 0000.00000000.00000000/8 10.128.0.0/12

10. 1001 0000.00000000.00000000/8 10.144.0.0/12

10. 1010 0000.00000000.00000000/8 10.160.0.0/12

10. 1011 0000.00000000.00000000/8 10.176.0.0/12

10. 1100 0000.00000000.00000000/8 10.192.0.0/12

10. 1101 0000.00000000.00000000/8 10.208.0.0/12

10. 1110 0000.00000000.00000000/8 10.224.0.0/12

10. 1111 0000.00000000.00000000/8 10.240.0.0/12

172.16.1.0/24

172.16.2.0/24

172.16.3.0/24

172.16.4.0/24

172.16.0000 0001.0

172.16.0000 0010.0

172.16.0000 0011.0

172.16.0000 0100.0

172.16.0000 0000.0/21---172.16.0.0/21----- 子网汇总（汇总后的掩码 > 主类掩码）

192.168.1.0/24

192.168.2.0/24

192.168.3.0/24

192.168.4.0/24

192.168.0000 0001.0/24

192.168.0000 0010.0/24

192.168.0000 0011.0/24

192.168.0000 0100.0/24

192.168.0000 0000.00000000/21--192.168.0.0/21--- 超网（汇总后掩码 < 主类掩码） ICMP--- 网络中的哨探

ping

用于检测网络连通性

练习：

10.1.1.0/24

10 个网段，但是其中 8 个网段要求容纳主机数为 12 台， 2 个网段容纳 22 个

ping IP 地址或 www.baidu.com

-a ---- 指定 ping 包中的源 IP 地址

ping -a 源 IP 目的 IP

-c ---- 指定发送报文的次数，缺省情况下发送 5 次

-h ---- 指定 TTL 值 tracert

用于逐跳跟踪报文的转发路径

第二章、操作网络设备

专用计算机

VRP--- 华为 --- 通用路由平台（操作系统）

华为将 VRP 系统按照功能将不同命令分别注册于不同的视图之下

用户视图 ----

系统视图 ----[Huawei]

其他视图 Telnet

利用 TCP 连接，通过一条连接向设备的会话，向网络设备发送命令并被设备执行。 明文传输

端口号 ---23

<Huawei>system-view // 从用户视图进入系统视图

[Huawei]? // 帮助文档，显示在当前视图下所能执行的命令

[Huawei]quit // 退回上一视图

[Huawei]display // 查看命令

[Huawei-Tunnel0/0/0]undo // 删除命令

<Huawei>save // 必须在用户视图使用，保存当前操作配置

Server ：

<Server>system-view

[Server]interface GigabitEthernet 0/0/0

[Server-GigabitEthernet0/0/0]ip address 192.168.1.2 24

[Server]telnet enable // 开启 telnet 服务，华为默认开启 ---- 不需要配置

[Server]user-interface vty 0 4 // 开启用户接口

[Server-ui-vty0-4]authentication-mode aaa // 修改认证模式为 AAA 框架

[Server]aaa // 进入 AAA 视图

[Server-aaa]local-user huawei password cipher 123456 // 创建用户名和密码

[Server-aaa]local-user huawei service-type telnet // 设置用户服务类型

[Server-aaa]local-user huawei privilege level 15 // 设置用户权限等级

[Huawei]sysname Telnet Server // 修改设备名称

PC ：

<Client>system-view // 进入系统视图 命令级别

DHCP--- 动态主机配置协议

手工配置网络参数的问题

对于普通用户而言

对于网络管理员

C/S 架构

端口号： 67 和 68----UDP （ 68 属于客户端、 67 属于服务端）

报文类型 ----DHCP 八种报文类型（

6 种）

DHCP discover ：客户端用来寻找 DHCP 服务器

DHCP offer ： DHCP 服务器回复客户端（其中携带了部分配置信息 ---IP 地址、掩码、网关等）

DHCP request ：客户端正式请求 IP 地址（ offer 包中的 IP ）

DHCP ack ：服务器同意客户端使用该 IP 地址

DHCP nak ：服务器不同意客户端使用该 IP 地址

DHCP release ： PC 主动释放 IP 地址

[Client]interface GigabitEthernet 0/0/0 // 进入接口

[Client-GigabitEthernet0/0/0]ip address 192.168.1.1 255.255.255.0

<Client>telnet 192.168.1.2

Press CTRL_] to quit telnet mode

Trying 192.168.1.2 ...

Connected to 192.168.1.2 ...

Login authentication

Username:huawei

Password:

<Server>

参观级 --0

监控级 --1

配置级 --2

管理级 --3-15 工作过程

首先， PC 广播发送 DHCP discover 报文， Server 在接收到广播包以后，会在本地选择一个未分配的

IP 地址，然后以广播或单播的形式回复 DHCP offer 报文（携带了将要分配给 PC 的网络参数）

若本地没有未分配地址，则不会回复信息

网络中可能会存在多个 DHCP 服务器，且因为 PC 是广播发送的请求报文，则这些服务器都能接收到

该报文，并回复。

此时 PC 接收到多个 DHCP 服务器回复的 DHCP offer 报文，则会选择第一个到达的报文中所蕴含的网

络参数。

PC 再一次使用广播发送 DHCP request 报文向 server 请求 OFFER 报文中的网络参数。

广播发送的原因

告诉所有的服务器，我的选择。

服务器会再一次检测该 IP 地址是否可用，若可用，则回复 ACK ，若不可用，则回复 NAK 报文（在华

为的逻辑中，若该 IP 不可用，则不回复报文。）。

PC 在接收到 ACK 报文后，并不立即使用该 IP 地址

PC 连续发送三次免费 ARP 报文

全局 DHCP 配置

DHCP 租期

租期更新计时器

IP 可用时间 ----24 小时（华为）

在租期到达一半（ 12 小时）时， PC 发送 DHCP request 报文（单播）向服务器请求续租。

如果服务器同意，则回复 ACK 报文

若服务器拒绝，则回复 NAK 报文

租期重绑定计时器

21 小时

PC 发送 DHCP discover 报文，向网络中寻找 DHCP 服务器，当原本的服务器接收到的后，则正

常进行续租过程。

若原本的服务器还是不存在。

服务端：

[DHCP Server]interface GigabitEthernet 0/0/0

[DHCP Server-GigabitEthernet0/0/0]ip address 192.168.1.254 24

[DHCP Server-GigabitEthernet0/0/0]quit

[DHCP Server]dhcp enable // 开启 DHCP 功能

[DHCP Server]ip pool 111 // 创建一个 IP 地址池塘

[DHCP Server-ip-pool-111]network 192.168.1.0 mask 24 // 配置可分配的 IP 地址网段

[DHCP Server-ip-pool-111]gateway-list 192.168.1.254 // 配置网关 IP 地址

[DHCP Server-ip-pool-111]dns-list 8.8.8.8 114.114.114.114 // 配置 DNS 服务器

[DHCP Server-ip-pool-111]quit

[DHCP Server]interface GigabitEthernet 0/0/0

[DHCP Server-GigabitEthernet0/0/0]dhcp select global // 在该接口激活全局地址池 则接收网络中其余服务器发送的 offer 报文，并开始交互 DHCP 报文内容（源有 IP ）

若网络中不存在 DHCP 服务器，则继续使用该 IP 地址，直到 IP 地址失效。

租期失效计时器 ---24 小时

PC 在租期到约之前，没有收到服务器的 任何响应报文 。 PC 停止使用该 IP 地址，并且发送

DHCP release 报文并进入初始化状态。后续重新使用 DHCP discover 报文申请 IP 地址。

PC 主动放弃使用的 IP 地址，此时 PC 也需要发送 DHCP release 报文。

在续租时间内，若收到服务器的 NAK 报文，则 PC 不能继续使用源 IP 地址，必须立即放弃使用，并重新发

送 DHCP discover 报文重新申请 IP 地址 。

地址池

全局：可以应用在路由器的所有接口

接口：仅应用于该接口所连接的广播域 接口地址池配置

在上图中 PC2 的 IP 地址为 192.168.1.1/24

（在 ensp 可以实现）

PC1 使用 DHCP 方式获取 IP 地址，会与 DHCP 服务器进行正常的 IP 获取过程，但是， PC1 在获取到 IP 地址

后，需要发送免费 ABR 报文， PC2 会接收该报文，并回复。

此时 PC1 会认为网络中存在 DHCP 服务器分配给自己的 IP 地址，故会向 DHCP 服务器发送 DHCP decline 报

文，该报文用于客户端检测到 IP 地址冲突后，发送给服务器。

服务器接收该报文并将对应 IP 地址从地址池删除。

在真实实验环境，

服务器在接收到 DHCP decline 报文，后发送 ICMP 报文，验证该 IP 是否真的存在于网络中。

[DHCP Server-ip-pool-huawei]excluded-ip-address 192.168.1.2 192.168.1.253 // 排除

192.168.1.0/24 网段中的 192.168.1.2---192.168.1.253 这些 IP 地址

[DHCP Server]undo ip pool huawei // 删除名称为 huawei 的地址池

[DHCP Server-GigabitEthernet0/0/0]display this // 查看当前视图配置

[DHCP Server]display ip pool // 查看 DHCP 池塘及分配关系

[DHCP Server]dhcp enable // 开启 dhcp 服务

[DHCP Server]interface GigabitEthernet 0/0/0

[DHCP Server-GigabitEthernet0/0/0]dhcp select interface // 开启 DHCP 接口服务

[DHCP Server-GigabitEthernet0/0/0]dhcp server dns-list 8.8.8.8 // 配置接口 DNS

[DHCP Server-GigabitEthernet0/0/0]dhcp server lease day 0 hour 2 minute 0 // 接

口地址池配置方式，修改 DHCP 租期时间为 0 天 2 小时 0 分钟

[DHCP Server-ip-pool-huawei]lease day 0 hour 2 minute 0 // 全局修改方式 静态路由

[r1]display ip routing-table ---- 用于查看路由器的路由表

编写实验报告：

1 、拓扑信息

2 、要求及分析

3 、 IP 规划

4 、配置截图

5 、测试 Destination/Mask

Proto

Pre

Cost

Flags

NextHop

Interface

目标网段 / 掩码

协议

优先

级

开销

值

标志

位

下一跳

出接口

192.168.1.0/24

Direct

0

0

D

192.168.1.254

GigabitEthernet0/0/1

目标网段 / 掩码、下一跳、出接口三类信息共同标识一条路由项 。 ---- 路由信息的三要素。

特别说明：

如果下一跳的 IP 地址与出接口的 IP 地址相同，则证明出接口已经直连到了目的网段中

路由表匹配规则

假设，数据包的目的 IP===X ；某一条路由项的目的及掩码为 Z/Y ；如果 X 和 Y 做 “ 与 ” 运算后，得出结

果为 Z ，则证明该数据包的目的 IP 地址匹配上此路由条目。

若上一跳路由项没有匹配成功，则匹配下一跳路由项。

如果整个路由表都没有路由项与其目的 IP 匹配，则路由器不转发数据，直接丢弃该报文。

最长掩码匹配规则 。 ---- 若同时匹配多条路由项，则选择掩码长度最长的。

路由信息来源方式

设备自动发现、手工配置、动态路由协议生成 ----> 直连路由、静态路由、动态路由 路由来源

优先级缺省值

直连路由

0

OSPF--- 动态路由

10

静态路由

60

RIP---- 动态路由

100

BGP

255

直连路由

当网络设备启动后，设备的接口处于 UP 状态时，设备能够自己发现去往自己接口直接相连的网络

的路由。

直连路由产生条件

接口双 UP

必须配置 IP 地址

静态路由

路由优先级 --- 华为

对于来源不同的路由规定了不同的优先级，并且 优先级越小，路由项的优先级越大 。

<r1>display ip interface brief // 查看接口配置的 IP 信息及接口状态简表

[r1]ip route-static 192.168.2.0 24 12.0.0.2 // 配置静态路由

目的网段 目的掩码 紧邻的下一个节点的入接口 IP 地址 路由开销 --- 数据包转发的代价

如果有两条同一个协议发现，且优先级和开销值相同的路由项 ----- 称为 等价路由 。

对于通往同一目的网段的路由，先比较优先级（优先级小的则路由更优），若优先级相同，则比较开销

值 。

路由环路

当两个路由器上的路由表内，分别存放 一条到达相同网段且目标下一跳为对方的路由 时，将形成环

路。

占用大量带宽资源，影响正常数据包收发过程

消耗路由器 CPU 资源，严重会影响到设备宕机

解决方法 ---TTL

练习

静态路由协议的扩展配置

等价路由

当路由器访问 同一个目标网段 时，具备 多条开销相同的路径 ，可以让 流量拆分后延多条路径进

行传输 ，达到 叠加带宽 的效果，减少单条链路数据传输压力。

形成等价路由的条件 ---- 路由来源相同（同一种路由协议发现的）；开销相同。 [r1]ip route-static 192.168.1.0 24 12.0.0.2

[r1]ip route-static 192.168.1.0 24 12.1.1.2

环回接口

虚拟接口，用于测试

在路由器说那个，通常使用一个或多个环回接口来代表一个真实的用户网段。

[r2]interface LoopBack 0 // 创建环回接口

[r2-LoopBack0]ip address 192.168.1.254 24 // 配置环回接口 IP 地址

手工汇总

当路由器需要配置多条路由项时，可以选择将其进行子网汇总，减少路由表数量，降低 CPU 运

算负载，提高转发效率。

[r1]ip route-static 192.168.0.0 22 12.1.1.2

路由黑洞

在手工汇总时，可能会包含一些网络中实际不存在的网段，造成流量有去无回的现象，浪费了

链路资源。

进行合理的汇总和子网划分。

缺省路由

一条不限定目标的路由。

当某台路由器上存在多条网段，并且这些网段不易被汇总，或者网段非固定的情况，网络管理

员很难对该路由器上的网段进行精准定位，也就无法在其余设备上配置合理的静态路由。

使用缺省路由。

[r1]ip route-static 0.0.0.0 0 12.1.1.2

缺省路由是路由表中最后一个被匹配的路由项，若有其余路由项匹配成功，则都不会依靠缺省

路由进行数据转发。

在一个网络中，若存在多台路由器具备缺省路由，则缺省路由的配置方向必须相同 。

当黑洞路由器和缺省路由相遇，一定会产生环路。

空接口路由 ----- 防止环路

在 存在黑洞的路由器 上配置一条通往 汇总网段 的空接口路由。

[r2]ip route-static 192.168.0.0 22 NULL 0

浮动静态路由 ---- 具备路由备份的作用

[r1-GigabitEthernet0/0/0]shutdown // 关闭接口

[r1]ip route-static 192.168.0.0 22 12.0.0.2 preference 61 动态路由

自治系统 ---AS

由单一的机构或组织所管理的一系列 IP 网络设备的集合 。

AS 编号： ASN----1-65535----IANA （互联网数字分配机构）

AS 的通讯方式

AS 内部 ---- 运行相同的路由协议 ---- 内部网关协议（ IGP ）

AS 之间 ---- 具备专用的路由协议进行通讯 ------ 边界网关协议（ BGP ）

动态路由协议分类

按照范围分类

IGP---- 内部网关协议（ RIP 、 OSPF 、 ISIS 、 EIGRP ）

EGP--- 外部网关协议

IGP 协议按照协议特点分类

距离矢量型 ---DV--- 共享路由表

RIP---- 路由信息协议（公有）

EIGRP---- 加强型内部网关路由协议（ cisco 专有）

链路状态型 ---LS---- 共享拓扑

OSPF--- 开放式最短路径优先协议

IS-IS--- 中间系统到中间系统

IGP 协议按照是否携带真实掩码分类

有类别路由协议 ---- 不传递真实掩码（传递主类 A 、 B 、 C ） ----RIPv1

无类别路由协议 ---- 传递真实掩码 RIP--- 路由信息协议

基本概念

版本

RIPv1---IPv4

RIPv2---IPv4

RIPng---IPv6

距离矢量型

基于 UDP 协议进行封装，端口号 520 。

RIP 基于组播进行数据包发送，组播地址 --->224.0.0.9

存在周期更新机制 ----30S 周期更新（应答报文） ---- 保活、确认。

RIP 的开销值（度量值） ---- 以跳数计算开销值，最大 15 跳 。 ---- 开销值越小越优。

数据包中传递的开销值 ==== 本地的开销值 +1

RIP 算法 ---- 贝尔曼福特算法

1. 当接收到数据包中含有本地路由表中没有的路由项时，则直接加载到本地路由表

2. 当接收到的数据包中含有本地路由表已经具备的路由项，且下一跳地址相同，则将数据包中的路由

项更新至本地路由表。

3. 当接收到的数据包中含有本地路由表已经具备的路由项，但下一跳地址不相同，则比较 Cost 值，若

本地路由表中的 cost 值大，则将数据包中的路由项更新至本地路由表。

4. 当接收到的数据包中含有本地路由表已经具备的路由项，但下一跳地址不同，比较 cost 值，若本地

路由表中的 cost 值较小，则不进行更新。

RIP 数据报文

request 包 --- 请求报文

response 包 --- 应答报文

RIP 工作原理

初始化

接收请求

接收响应 ---- 路由器完成了 RIP 协议的收敛工作

常规路由更新和定时

当路由收敛完成后，路由器会以 30S 一次的频率发送应答报文。

邻居路由器收到应答报文时，会设置一个 180S 的时间（超时时间）。

如果 180S 内没有收到邻居路由器发来的应答报文，本地路由器会认为邻居出现问题，并将下

一跳为邻居接口 IP 地址的路由项的开销值设置为 16 。并且向自身周围还存在的邻居发送该路 由项。

在经过 120S 时间后，删除该路由项。

RIP 的计时器

更新计时器

每台启动了 RIP 协议的路由器都有一个属于自己的更新计时器。

计时器周期 ---30S

注意：当接收到请求报文时，必须立刻发送响应报文

无效计时器

每台路由器上的每个路由项都会有一个无效计时器。

计时器时间 --- 更新计时器的六倍 ----180S----- 每次路由条目被更新时，计时器刷新。

当计时器时间为 0 时，会认为该路由项已经无效，也就是说该路由项所指的目的地址不可达，

路由器会将该路由项的 Cost 值设置为 16 。并向外进行传输。

垃圾收集计时器

120S

发送四次周期更新后，删除该路由。

实际环境中，该计时器的时间并非是 120S 整，而是在 90-120S 之间。

抑制计时器 -----cisco 专属

路由表中的路由项 --->30 个；其中 cost 值小于 16 的路由项有 23 个， cost 等于 16 的路由项有 7 个。共多少计

时器。

RIP 周期更新

使用 response 报文进行更新操作

周期更新原因

RIP 本身没有确认机制和保活机制

UDP 传输是不可靠的传输

RIP 环路问题 解决方法

触发更新 ---- 加快路由收敛速度

当某一个路由器中的路由项发生改变时，不需要等待下一次周期更新的到来，就可以 直接将发

生改变的路由项发送出去 。

仅能降低环路产生的可能性，但是不能完全避免环路的产生。

水平分割

如果有一个 X/Y 的路由项从路由器的某接口学习到，那么在周期更新发送时，该路由项就不能

从该接口发出。 ------- 从此口进，不能从此口出 。

毒性逆转

如果有一个 X/Y 的路由项从路由器的某接口进入，那么在周期更新时，虽然还会从该接口发

出，但会将 cost 值设置为 16 。

若毒性逆转和水平分割同时开启，则按照毒性逆转规则进行 。

水平分割和毒性逆转原理相同，但做法不同，所以只能选择其中一个和触发更新搭配使用 。 --- 华为默

认开启水平分割。

RIP 的基本配置

RIPv1

[r1]rip 1 ---- 启动 RIP 协议，并配置进程号，进程号仅具备本地意义。

[r1-rip-1]version 1 ----- 选择 RIP 版本

[r1-rip-1]network 12.0.0.0 ----- 宣告地址，激活接口并发布路由

宣告：

1. 需要宣告所有直连网段

2. 必须按照主类地址宣告 RIPv2

[r1]rip 1

[r1-rip-1]version 2

[r1-rip-1]undo summary ---- 关闭自动汇总功能，如果不关闭，宣告的属于同一个主类的路由就会

自动汇总；该功能在华为上不需要配置，因为华为默认关闭自动汇总功能。

[r1-rip-1]network 192.168.0.0

RIPv1 和 RIPv2 的区别

更新时是否携带掩码

RIPv1 不携带真实掩码

RIPv2 携带真实掩码

RIPv2 支持自动汇总功能

更新方式

RIPv1 使用广播发送

RIPv2 使用组播发送，组播地址 224.0.0.9

RIPv2 支持手工认证

RIP 扩展配置

1. 手工汇总

去往多个可以汇总的目标网段范围，且具备相同下一跳，则可以不用具体的多个路由条目，仅写一

条汇总目标的路由即可。

[r1-GigabitEthernet0/0/0]rip summary-address 10.1.0.0 255.255.252.0

2. 缺省路由

一般配置方向为指向与运营商相连的边界路由器上。

缺省路由的下发具备强制性条件，做配置的边界路由器上必须存在一条缺省路由

RIP 的缺省路由一般配置在边界路由器上。

[r2-rip-1]default-route originate

1. 静默接口

配置了静默接口的接口无法主动发送数据包，只能被动接受。 ---- 一般配置在连接用户的接口上 。

当静默接口接收到 RIP 报文后，会改变接口状态，恢复数据收发。

[r1-rip-1]silent-interface GigabitEthernet 0/0/0

2. 手工认证

路由器之间的身份核实，需要同时在双方路由器相连的 接口 上配置。

[r1-GigabitEthernet0/0/0]rip authentication-mode simple cipher 123456 1. 加快收敛 ---- 减少计时器时间

[r1-rip-1]timers rip 10 60 40----- 三个时间分别对应更新计时器、无效计时器、垃圾收集计时器，单

位 S

注意：修改时，三个计时器的时间倍数不要改变。

RIP 优缺点

优点：配置简单

缺点：

占用资源过多 ----30S 周期更新

选路不佳 ----RIP 仅依靠跳数进行选路

仅支持小规模网络

收敛速度慢

OSPF--- 开放式最短路径优先协议

基本概念

协议使用范围 ----IGP

链路状态型协议 ---- 传递拓扑

传递真实掩码信息 ---- 无类别路由协议

OSPF 版本 OSPFv1

OSPFv2----IPv4

OSPFv3----IPv6

SPF 算法

OSPF 传递的是 LSA 信息（链路状态通告）

OSPF 更新方式

触发更新

周期链路状态刷新 -----30min

OSPF 更新地址 --- 组播

224.0.0.5/224.0.0.6

OSPF 开销值 === 参考带宽 / 实际带宽（参考带宽默认为 100Mbps ）

OSPF 进行跨层封装 ---- 基于 IP 协议进行封装，协议号 89

OSPF 区域化结构

OSPF 为了适应大中型网络环境，进行了结构化部署 ------ 区域划分

区域划分的特点

区域内部传递拓扑信息，区域间传递路由信息 。

区域划分是基于路由器接口的 。

区域编号 ----32bit

区域 0----- 骨干区域

非骨干区域 ---- 非 0 区域

区域划分规则

所有的非骨干区域都必须和骨干区域直接相连 ---- 星型拓扑

骨干区域唯一

区域边界路由器 ----ABR

同时属于多个区域，且至少有一个接口属于骨干区域。

在骨干区域中至少存在一个活跃的邻居。

OSPF 数据包类型 hello 报文

用来周期性发现、建立、保活 OSPF 邻居关系 。

10S 发送一次 hello 报文，来确认邻居的存在

如果一个 dead time 时间没有收到邻居发送给自己的 hello 报文，则认为邻居不存在， dead

time 一般为 hello 时间的四倍，默认情况下为 40S 。

Router-ID------RID

全域唯一，标识路由器的身份

使用 IP 地址的表示形式

DBD 报文

数据库描述报文

包含了所有拓扑的 目录 信息。

LSR 报文

链路状态请求报文

请求获取未知的链路信息（ LSA 信息）

LSU 报文

链路状态更新报文

携带有真正的 LSA 信息

LSAck 报文

链路状态确认报文 OSPF 七种状态机

down---- 关闭状态 ----- 一旦启动了 OSPF 协议，则发出 hello 报文，进入下一状态

init----- 初始化状态 ---- 当收到的 hello 报文中，存在本地 RID 值时，进入下一状态

2-way----- 双向通讯状态 ----------- 邻居关系建立的标志 。

条件匹配：匹配成功则进入下一阶段，失败则停留在邻居关系。

exstart---- 预启动状态 ----- 使用未携带信息的 DBD 报文进行主从关系选举， RID 大的为主

exchange----- 准交换 ---- 使用携带目录信息的 DBD 包进行目录共享

loading----- 加载状态 ----- 邻居间使用 LSR/LSU/LSACK 三种报文来获取完整的拓扑信息

full---- 转发状态 ---- 拓扑信息交换完成后进入该状态 ----- 邻接关系建立的标志 。

条件匹配

设备接口角色

指定路由器 ------DR

备份指定路由器 -----BDR

其他路由器 ----DRother

角色之间的关系

DR 与 BDR---- 邻接

DR 与 DRother--- 邻接

BDR 与 DRother--- 邻接

DRother 与 DRother---- 邻居

OSPF 条件匹配的情况

在以太网网络中 ----- 必须进行条件匹配

在点到点网络中 ----- 不需要进行条件匹配

选举规则

1. 优先级，默认为 1,0-255 ，越大越优

2. RID ，越大越优

选举范围

一个广播域，进行一次条件匹配。

条件匹配是属于 非抢占模式 ----- 一旦选举成功，不会因为新加入的设备而重新选举。

OSPF 工作过程

OSPF 协议启动后，路由器 A 向本地所有启动了 OSPF 协议的 直连接口 ，使用 组播地址 224.0.0.5 发送

hello 报文 。

该 hello 报文中携带了本地的全域唯一的 RID 值。

当对端路由器 B 接收到该报文后，也会回复 hello 报文

该 hello 报文中携带了 A 的 RID 值。

此时， A 与 B 建立邻居关系，并生成 邻居表 。

邻居关系建立后，邻居之间进行条件匹配，匹配失败则停留在邻居关系， 仅使用 hello 报文保活 。 若匹配成功，则可以开始建立邻接关系。

邻接间共享 DBD 报文，将本地与邻接之间的 DBD 报文进行对比，查找本地没有的 LSA 信息，之后使

用 LSR 来询问，对端使用 LSU 回复具体的 LSA 信息，之后本地使用 LSAck 报文进行确认。

该过程全部完成后，生成 数据库表（ LSDB ） 。

在之后，本地基于数据库表，启用 SPF 算法，计算到达所有未知网段的最短路径，然后将其加载到

本地的 OSPF 路由表 中。

并将 OSPF 路由表中的部分路由加载到本地全局路由表中。

此时，路由器完成路由收敛工作。

最后，使用 hello 报文进行周期保活，并且每 30min 进行一次链路状态刷新。

基本配置

1. 启动 OSPF 协议，配置进程号（仅具有本地意义），手工配置 RID 值

若没有配置 RID 值，则设备自动生成（环回接口最大 IP> 物理接口最大 IP ）

[r1]ospf 1 router-id 1.1.1.1

2. 配置区域

[r1-ospf-1]area 0

3. 宣告：激活接口，发布拓扑或路由

宣告网段

[r1-ospf-1-area-0.0.0.0]network 1.1.1.0 0.0.0.255

反掩码： 32 位二进制，使用点分十进制表示，由连续 0+ 连续 1

接口宣告方式 ----- 精准宣告

[r1-ospf-1-area-0.0.0.0]network 12.0.0.1 0.0.0.0

OSPF 邻居表

[r2]display ospf peer --- 查看 OSPF 邻居

[r2]display ospf peer brief ---- 查看 OSPF 邻居简表

OSPF 数据库表

[r2]display ospf lsdb ----- 查看 OSPF 数据库表

OSPF 路由表

[r2]display ospf routing --- 查看 OSPF 路由表

OSPF 优先级 ====10

reset ospf 1 process ----- 重置 OSPF 进程 OSPF 扩展配置

修改 OSPF 默认参考带宽

[r2-ospf-1]bandwidth-reference 10000 ----- 修改参考带宽，两端均需要修改

修改接口优先级，从而干涉条件匹配

[r1-GigabitEthernet0/0/0]ospf dr-priority 10 ----- 在接口修改

[r1-GigabitEthernet0/0/0]ospf dr-priority 0 --- 优先级修改为 0 ，代表放弃选举

手工汇总

[r2-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0 255.255.252.0

必须在 ABR 上配置

汇总的明细路由来源在那个区域，进入那个区域进行配置

缺省路由

在边界设备上

[r1-ospf-1]default-route-advertise ----- 非强制性下发，要求边界路由器中存在缺省路由才

可以下发

[r1-ospf-1]default-route-advertise always ----- 强制性下发，不要求本地存在缺省路由

静默接口

不接受也不发送 hello 报文，与 RIP 的静默接口不同。

[r3-ospf-1]silent-interface GigabitEthernet 0/0/1

接口认证

[r1-GigabitEthernet0/0/0]ospf authentication-mode ?

md5 Use MD5 algorithm -----MD5 认证

null Use null authentication ----- 不认证 ----OSPF 默认情况

simple Simple authentication mode ------ 简单认证 ---- 明文认证

[r1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456

[r2-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456

加快收敛

[r3-GigabitEthernet0/0/0]ospf timer hello ? ------- 一端修改，另一端必须修改，若不修改，

则会导致邻居关系无法建立。

INTEGER<1-65535> Second(s) ACL 技术 ----- 访问控制列表

是一种策略。

对于网络中的流量而言，通常有两种处理方式

允许

拒绝

ACL 的原理

配置了 ACL 的网络设备会根据事先设定好的报文匹配规则对经过该设备的报文进行匹配，然后对报

文执行预先设定好的处理动作。

ACL 的功能

访问控制：在设备的流入或者流出接口上，匹配流量，然后执行设定的动作。

permit---- 允许

deny---- 拒绝

抓取流量：因为 ACL 经常会与其他协议共同使用，所以 ACL 一般只做匹配流量的作用，而对应

的动作由其他协议完成。

ACL 的匹配规则

自上而下，逐条匹配，匹配上则按照预先设定的动作执行，不再向下匹配 。

华为设备 ACL 访问控制列表最后隐含条件： 允许所有 。

cisco 设备 ACL 访问控制列表最后隐含条件： 拒绝所有 。

ACL 分类

基本 ACL

只能基于 IP 报文的源 IP 地址定义规则。

编号： 2000-2999 高级 ACL

可以基于 IP 报文的源 IP 地址、目的 IP 地址、 IP 报文协议字段、 IP 报文优先级、 IP 报文长

度、 TCP 源目端口号、 UDP 源目端口号等一系列信息来定义规则。

编号： 3000-3999

二层 ACL

4000-4999

用户自定义 ACL

5000-5999

需求一

要求 PC1 可以访问 192.168.2.0/24 ，而 PC2 不可以。

基本 ACL 配置位置应尽量靠近目标。

由于基本 ACL 仅关注数据包中的源 IP 地址；故配置时尽量靠近目标，避免对其他目的地址访问

产生误伤。

基本 ACL 配置

创建 ACL 列表

[r2]acl 2000

[r2-acl-basic-2000]

设定规则

[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 ---- 拒绝 192.168.1.2 的地址

通过

通配符： 0 代表不可变， 1 代表可变； 0 和 1 可以随意穿插。

使用通配符可以精准匹配某一个 IP 地址或多个 IP 地址或网段。

[r2-acl-basic-2000]rule permit source any ---- 允许所有，在 ACL 的最后配置 [r2]display acl 2000 ---- 查看 ACL 配置

[r2-acl-basic-2000]rule 8 permit source 192.168.1.1 0.0.0.0

序列号 ---- 序列号用于规定 ACL 规则的顺序，匹配时，从小到大匹配。

华为默认步长为 5 。方便插入或删除规则。

调用列表

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

一个接口的一个方向只能调用一张 ACL 列表；但是一张 ACL 列表可以在不同的地方多次

调用 。

需求二

要求 PC1 可以正常访问 PC3 和 PC4 ，而 PC2 只能访问 PC3 ，不能访问 PC4.

高级 ACL 配置位置应尽量靠近源点。

由于高级 ACL 对流量进行了精确的匹配，可以避免误伤，所以调用时应该尽快靠近源，减少链

路资源你的占用。 ----- 不需要再网络中进行无用传输。

高级 ACL 配置

创建 ACL 列表

[r1]acl 3000

[r1-acl-adv-3000]

添加规则

[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.2.2

0.0.0.0

[r1-acl-adv-3000]rule permit ip source any ---- 允许所有

调用

[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

拒绝 192.168.1.2 和 192.168.1.3

192.168.1.00000010

192.168.1.00000011

0.0.0.00000001=====0.0.0.1

拒绝 192.168.1.0/24 网段中的所有单数 IP 地址

192.168.1.0000 0001

192.168.1.0000 0011

192.168.1.0000 0101

192.168.1.0000 0111

...

192.168.1.1111 1111

0.0.0.1111 1110 需求三

要求 R1 能够 ping 通 R2 的环回，但是不能通过 telnet 环回的方式登录 R2

[r2-acl-adv-3000]rule permit tcp destination 2.2.2.2 0.0.0.0 destination-port eq telnet

[r2-acl-adv-3000]rule deny tcp destination 12.0.0.2 0.0.0.0 destination-port eq telnet

[r1]acl 3100

[r1-acl-adv-3100]rule deny tcp source 12.0.0.1 0.0.0.0 destination 2.2.2.2 0.0.0.0 destination

port eq 23

[r1-GigabitEthernet0/0/1]traffic-filter outbound acl 3100

ACL 如果配置在流量的发出者本地，则不会对该流量生效 。

交换技术 垃圾流量问题 ---- 广播的数据帧会产生大量的流量，并占用带宽资源和计算机的处理速度。

安全问题 ---- 如果计算机可以轻易的接收到不应该接收的数据帧，就会产生安全隐患。

VLAN 技术 ---- 虚拟局域网 VLAN 帧格式

VLAN 的类型

基于端口的 VLAN 划分方式 ---- 一层 VLAN

最常用的方式

在接口进行配置，将 vlan 编号映射到交换机物理接口，从该接口进入的帧被划分到该 vlan

基于 MAC 地址的 VLAN---- 二层 vlan

基于协议的 VLAN---- 三层 vlan 端口类型

Access 端口 ----- 接入

一般用于交换机与终端设备相连的接口。

只能属于一个 VLAN

Trunk 端口 ---- 干道

一般用于交换机与交换机相连的接口。

可以同时属于多个 VLAN

Hybrid 端口 ---- 混杂

同时具备前两种端口的功能。

VLAN 的配置

第一步，在交换机上创建 VLAN

[sw1]vlan ?

INTEGER<1-4094> VLAN ID ------- 用来标识和区分不同 VLAN ，取值范围为 0-4095 ，其中 0 和

4095 不可用

[sw1]vlan 2 ----- 创建 VLAN 2 ；默认情况下，交换机存在 vlan 1 ，并且所有接口均属于 vlan

1 。

[sw1]vlan 3

[sw1]vlan batch 2 to 10 ----- 同时创建连续的 vlan2 、 3 、 4....10

[sw1]vlan batch 20 30 40 50 ---- 同时创建 vlan20 、 30 、 40 、 50

第二步，将接口划入 VLAN------- 必须按照命令配置顺序执行

[sw1]interface GigabitEthernet 0/0/1

[sw1-GigabitEthernet0/0/1]port link-type access ---- 将接口类型更改为 access [sw1-GigabitEthernet0/0/1]port default vlan 2 --- 将接口划分给 vlan2

第三步，配置 Trunk 干道

配置位置在，交换机与交换机相连的接口

[sw2-GigabitEthernet0/0/3]port link-type trunk ---- 将接口类型设置为 trunk

[sw2-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3 ----- 在 trunk 的允许列表中加入

vlan2 和 vlan3 ，若不在 trunk 的允许列表中的 vlan ，是不允许被 trunk 这条链路放通的。

VLAN 之间通讯

多臂路由 单臂路由

单臂路由就是通过对路由器接口划分 子接口 的方式进行数据转发。

子接口（ Sub-interface ）是基于路由器 以太网接口 所创建的逻辑接口，以物理接口 ID+ 子接口 ID 进

行标识，子接口继承物理接口的功能。

子接口不同于物理接口，子接口可以处理携带 VLAN 的标签。由于子接口不支持 VLAN 报文，当它收

到 VLAN 报文后，将会把该报文丢弃，因此，需要在子接口上开启处理 VLAN 报文的能力。

一个物理接口可以创建多个子接口。

连接路由器物理接口的交换机的接口，需要配置为 trunk 干道。

1 、交换机创建 VLAN 2 、将接口划入 VLAN ， access 接口

3 、配置 trunk 干道

[sw1-GigabitEthernet0/0/4]port link-type trunk

[sw1-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 3

4 、创建子接口

[r1]interface GigabitEthernet 0/0/0.1

[r1-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24

[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2

[r1-GigabitEthernet0/0/0.1]arp broadcast enable ---- 子接口默认不开启 ARP 应答

三层交换机

二层交换机指的是只具备二层交换功能的交换机。

三层交换机是除了具备二层交换机的所有功能外，还支持通过三层接口实现路由转发功能。

VLANIF 接口是一种三层的逻辑接口，支持 VLAN Tag 的添加和剥离能力，因此可以通过 vlanif 接口实

现 vlan 间的通讯 [sw1]display vlan ---- 查看创建的 VLAN 以及对应接口

三层交换机配置：

[sw3]vlan batch 2 3

[sw3-GigabitEthernet0/0/1]port link-type trunk

[sw3-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

[sw3]interface Vlanif 2 ---- 创建 vlanif 接口，并指定 vlan 2 为该接口处理的 vlan 编号。

[sw3-Vlanif2]ip address 192.168.1.254 24 二层接口

三层接口

不能配置 IP 地址

可以配置 IP 地址

没有 MAC 地址

具备 MAC 地址

当二层接口收到数据帧时，设备在其

MAC 地址表中查询该帧的目的 MAC 地

址，找到匹配的 ,AC 地址表项后按照该表

项指示进行转发数据帧；若没有找到匹配

的 MAC 地址表项，则将数据帧进行洪泛

三层接口收到数据帧后，如果数据帧的目的 MAC 地址

与设备本地的 MAC 地址相同，则将数据帧解封装，然

后在路由表中查询数据包的目的 IP 地址，找到匹配路

由表项，并按照该表项指示进行转发数据，如果没有

找到匹配表项，则将数据包丢弃。

二层接口并不隔离广播域

三层接口隔离广播域

二层交换机，三层交换机

路由器、三层交换机

二层接口和三层接口对比 NAT 技术 ---- 网络地址转换技术

作用：完成私网 IP 和公网 IP 的转换。

NAT 技术一般应用于内网的出口路由器上。

NAT 的分类

静态 NAT----- 一对一

在内网边界路由器上建立并维护一张 静态地址映射表 ，该表记录了公有 IP 地址和私有 IP 地址之

间的对应关系。

[r1]interface GigabitEthernet 0/0/1

[r1-GigabitEthernet0/0/1]nat static global 13.0.0.10 inside 192.168.1.1

13.0.0.10----> 被称为漂浮 IP ，该 IP 必须是从运营商购买来的合法的公网 IP 地址，且必

须与出接口地址处于同网段。

[r1]display nat static

不允许使用出接口的公网地址作为 IP 转换地址 。

动态 NAT---- 一对多

缺陷：只有当上一个流量返回后，下一个流量才能够进行地址转换并转发 ----- 排队上网

[r2]nat address-group 1 13.0.0.10 13.0.0.19----- 配置动态 NAT 地址池，公有地址必须

是真实购买的 IP 地址，且必须连续

抓取流量 [r2]acl 2000

[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

将 ACL 和 NAT 地址池进行绑定

[r2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

no-pat----> 该参数代表仅进行 IP 地址转换，而不进行端口转换

easy ip-----NAPT 技术 ----- 网络地址端口转换技术

[r2]acl 2000

[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

[r2-GigabitEthernet0/0/1]nat outbound 2000

端口映射

可以把访问企业公网的 IP 的某个端口的流量转发给企业内网的服务器 。

[r2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 10000 inside

192.168.1.100 23