NA重点回顾

ARP协议

网络设备有数据要发送给另一台网络设备时，必须要知道对方的网络地址（IP地址）。IP地址由网络层来提供，IP数据包必须封装成帧才能通过数据链路层进行发送。数据帧必须包含MAC地址，因此发送端必须获取目的的MAC地址。通过目的IP地址获取目的MAC地址的过程是由ARP协议来实现的。

ARP工作原理

当主机A想向主机C发送消息时，如果A的ARP缓存表中没有主机C的MAC的对应记录，那么主机A需要通过ARP协议，获得主机C的MAC地址。

1，ARP请求
主机A向主机所在的网络广播一个ARP请求包
2，ARP响应
被请求的主机回应该请求包，其中包含自己的MAC地址。
3，主机接收到C的响应包后，知道了C的MAC，更新主机的ARP缓存表。

免费ARP

免费ARP指ARP请求的发送端和目的端IP地址均为自己的IP地址。
1，可以通过发送免费ARP知道局域网中是否又和自己设置了相同的IP地址。
2，当一台主机更换网卡后，可以发送免费ARP告诉局域网中所有主机自己新的MAC地址。

arp攻击就是通过伪造IP地址和MAC地址实现ARP 欺骗，进行发送伪造的免费ARP，或者发送伪造的ARP应答，主机接受到免费的ARP或者ARP应答后就会进行修改自己的ARP缓存表，导致通信被阻塞等问题。

ARP代理

一个物理网络中的源主机向另一个网段的目的主机发送ARP 请求，和源主机直连的网关用自己的接口mac地址代替目的主机回复arp应答。这个过程称为ARP代理。

ARP代理解决跨网段请求MAC地址的问题

RIP 协议

rip是标准的距离矢量协议，使用跳数作为路径选择的标准，管理距离值120
RIP使用udp源目520端口交换数据包
RIPV1使用广播255.255.255.255交换数据包
RIPV2使用组播224.0.0.9交换数据协议包
RIP每隔30S向邻居通告本地RIP路由表信息（安全机制）

rip更新时
如果表内没有收到的路由，保存下来
如果表内有此路由，先查看管理距离，谁小放谁。如果管理距离值一样（同一种协议），则判断是否同源，如果同源，无条件修改。不同源，比较度量值。

防环机制

1，水平分割----从此口进不从此口出
1）只能抑制直线网络中破坏
2）MA网络中避免重复更新–MA网络中路由器学习其他路由会传递给其他邻居造成更新量增大

2，毒性逆转（无视水平分割）
本地若存在断开网段时，将向邻居马上发出更新包，但度量值为16，用于告知邻居，该路径不可达；邻居收到后，从此接口再广播出去，达到返回
3，抑制计时器（180S）
当收到故障路由后，默认会直接删除本故障路由；若此时从远方又收到此路由，则可能造成再一次环路；为了解决这个问题，设置抑制计时器，当收到故障路由时，保持180S再删除路由条目
4，最大跳数 最大15跳，16跳不可达

偏移列表

在控制层面流量进或出的接口上，人为的增加度量以控制选路

#access-list 1 permit 3.3.3.0
#router rip
#offset-list  1     in      2        s1/1
                    方向   增加的度量  接口
                       

加快收敛

修改计时器：30S更新；180s失效；180S抑制；240s刷新
建议维持原有倍数关系

     #router rip
 #times basic 15  90  90  120        

ACL

控制访问列表ACL，主要用于控制端口进出的数据包。可以过滤数据包来限制网络流量，提高网络性能。可以控制数据包来提高网络安全。

类型
1，标准ACL
检查源地址
通常允许或拒绝整个协议簇
编号范围1-99或者1300-1999
2，扩展ACL
检查源地址和目的地址
通常允许或拒绝特定协议和应用程序
编号范围100-199 或者2000-2699

#access-list 1 deny 1.1.1.1 0.0.0.0 //拒绝主机
#access-list 1 permit any//运行其他所有，不写末尾隐藏拒绝所有
#int  f0/1
#ip access-group 1 out//进入接口调用

access-list 1 permit 10.1.1.0 0.0.0.254 //抓偶数
access-list 1 permit 10.1.1.1 0.0.0.254 //抓奇数

NAT

，即网络地址转换，是一种将私有地址转化为合法IP地址的转化技术。

nat可以让那些使用私有地址的内部网络连接到Internet或其他IP网络上，nat路由在将内部网络的数据包发送到公用网络时，在IP包的报头把私有地址转换成合法的IP地址。

原理：改变IP包头，使目的地址，源地址或两个地址在包头中被不同地址替换。
注意
数据从inside进 先查看路由再转换
数据从Outside进 先转换后查路由

一对一：（静态）

r2(config)#ip nat inside source static 192.168.1.2 12.1.1.2
                                          本地      全局

一对多：（动态）PAT --端口地址转换
将多个私有ip地址转换为同一公有ip地址，依赖数据包中的端口号来进行区分；
先使用ACL定义感兴趣流量----哪些私有ip地址被转换

r2(config)#access-list 1 permit 192.168.1.0 0.0.0.255
r2(config)#access-list 1 permit 192.168.2.0 0.0.0.255
r2(config)#ip nat inside source list 1 interface fastEthernet 1/0 overload 
                         本地                             全局      负载