二层交换基础、stp、acl、nat、wan

里面内容为个人总结，若有错误或侵权 希望得到您的指正

一、二层交换基础

1.1 二层交换机功能：
(1).地址学习
(2).过滤or允许
(3).环路避免

1.2 交换机寻址

站点A发送一个数据帧到站点C；
•交换机根据数据帧的源地址在接口E0上学习到站点A的MAC地址；
•这个数据帧(A-C)被泛洪到所有的交换机接口除了E0(未知单播被泛洪)；
•MAC地址缺省在MAC地址表中保留5分钟；

站点D发送一个数据帧到站点C；
•交换机根据数据帧的源地址在接口E3上学习到站点D的MAC地址；
•这个数据帧(D-C)被洪放到所有的交换机接口除了E3(未知单播被泛洪)；

站点A发送一个数据帧到站点C；
•目的地址已知存储在MAC地址表中，数据帧不会被泛洪；
•重新刷新工作站C的MAC地址超时时间；

MAC地址一开始是空的
总结起来就是 A想要到达C 首先交换机会收到A发送的数据帧，之后通过接口和这个帧学习到A的MAC地址，接着将这个数据帧泛洪到其他交换机接口，之后交换机通过这个帧学习到C的MAC地址。
之后，因为MAC地址表已存储，数据帧就不会泛洪，直接传输

a. VLAN

分段性，灵活性，安全性

为什么需要vlan
整台交换机属于一个广播域
所以需要vlan来划分形成逻辑的广播域
不同vlan之间相互隔离
1.使其更灵活能控制流量
2.相互隔离提供安全性
3.限制广播域

Vlan模式
静态和动态

Vlan知识点小结

•VLAN之间互相隔离，广播不能跨越VLAN传播，因此不同VLAN之间的设备一般 无法互访，不同VLAN间需通过三层设备实现相互通信
•一个VLAN一般为一个逻辑子网，由被配置为此VLAN成员的设备组成
•VLAN中成员多基于交换机的端口分配，划分VLAN就是对交换机的接口划分
•VLAN工作于OSI参考模型的第二层

Trunk
当一条链路，需要承载多VLAN信息的时候，需使用trunk来实现

Trunk协议类型
ISL 802.1q
在交换机或路由器与交换机之间，在交换机与具有ISL网卡的服务器之间可以实现；
公有标准–默认情况，在802.1QTrunk上对所有的VLAN打Tag，除了NativeVLAN；–NativeVLAN，也称为本征VLAN，是在trunk上无需打标签的VLAN，默认为vlan1，可手工修改

Vlan常规范围 2-2000

b. Vtp

一个能宣告VLAN配置信息的信息系统
通过一个共有的管理域，维持VLAN配置信息的一致性；
•VTP只能在trunk端口发送要宣告的信息；
•支持混合的介质主干连接(快速以太网,FDDI,ATM).

VTP模式
Server 服务器
可以 创建 修改 删除 vlan
学习/转发相同域名的VTP消息 使其同步
Vlan信息会存储于NVRAM中

Client客户机
学习和转发 相同域名的VTP消息
Vlan信息不会存于NVRAM中
不可以添加 删除 更新

Transparent 透明模式
创建 删除 修改 vlan 转发信息宣告 本地有效
不学习 只转发

VTP工作流程
VTP协议通过组播地址01-00-0C-CC-CC-CC
在Trunk链路上发送VTP通告；
•VTPServer和clients通过最高的修订号来同步数据库；
•VTP协议每隔5分钟发送一次VTP通告或者有变化时发生；

c. Vlan间通讯

多臂路由
由路由器多个接口提供vlan间通讯
缺点：需要使用过多接口和链路，增加成本
单臂路由
在路由器的一个接口上通过配置子接口的方式，实现原来不同VLAN之间的通讯
优点：相较于多臂降低了成本
缺点：增加了单链路的压力，容易形成瓶颈
三层路由交换功能
优点：转发速度快
cisco
直连路由：利用三层交换机的路由功能，绑定vlan实现
非直连：利用802.1q协议封装接口，利用虚链路实现通讯
huawei
不用封装，虚链路直接实现

---

---

二、STP

生成树协议 – 解决冗余拓扑造成的路由环路

虽然冗余拓扑能够解决单点故障问题，
但冗余拓扑造成广播风暴,多帧复用,MAC地址不稳定的问题；

选举过程和案例需加强一下 可以看一下视频

（1）选择根网桥
（2）选择根端口
（3）选择指定端口

1.每个广播域选择一个根桥
2.每个非根桥上选择一个根端口
3.每个段选择一个指定端口
4.选择一个非指定端口

https://blog.csdn.net/sitiao2009/article/details/47322239?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162255673616780261957597%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=162255673616780261957597&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2_allfirst_rank_v2~rank_v29-6-47322239.pc_search_result_cache&utm_term=stp+%E6%A0%B9%E6%A1%A5&spm=1018.2226.3001.4187

---

---

三个产商设备的区别

三、ACL

两大功能
1.流量控制
2.匹配

类型
1.标准访问控制列表
只能根据源地址做过滤
2.扩展访问控制列表
能根据源、目的地址、端口号等等进行过滤

方向问题（in/out）

匹配问题
多条acl
按顺序匹配 匹配成功直接执行动作

acl的配置
标识
标准 1-99 1300-1999
扩展100-199 2000-2699
混合 直接直接name
标准
accees-list number permit/deny source [wildcard mask]
接口应用
ip access-group access-list-number{in/out}
默认出接口

通配符问题
类似汇总

cisco具体配置
三步
具体动作 permit any动作 应用
只禁止A访问xxx网段
access-list 1 deny 192.168.1.1 0.0.0.0
access-list 1 permit 0.0.0.0/any
interface e0
ip access-group 1 in

只禁止A网段中的192.168.1.1 --192.168.1.30
access-list 1 deny 192.168.1.0 0.0.0.31
ac 1 per any
ip access-group 1 in

扩展访问控制列表
acl number permit/deny xx deny/permit protocol(ip tcp) 网段 反掩码 operator port detination 反掩码
access-list 100 ip any any

比如禁止访问服务器的telent
access-list 100 deny tcp any host 192.168.2.200 eq 23
access-list 100 permit ip any any

查看 show acl

注意
1.每个接口，每个方向，每种协议，只能设置1个ACL
2.组织好你的ACL顺序，测试放在top
3.默认acl结尾语句是deny any，ACL里至少要有1条permit语句
4.应用接口上
5.acl用于过滤经过的router数据包
6.尽可能的把标准ACL放置在离目标地址近的地方
尽可能把扩展acl放在离源地址近的地方

四、NAT

为什么需要NAT
IPv4地址紧缺–地址转换

私有地址
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255

NAT优缺点
节省ip地址空间
解决ip地址重叠问题
增加网络的接入Internet的弹性
对外隐藏内部地址，增加网络安全性

缺点：
增加转发延迟
耗费一定cpu资源

类型：
静态 NAT
主要用在内部网络中对外提供服务的服务器。
一对一明确转换
缺点：独占合法IP
command：ip nat inside source static local-ip
动态 NAT
也是一对一，不过是从一个地址池中选择一个未使用的地址进行转换
command:
ip nat pool nat1 202.101.1.1 202.101.1.10 netmask
255.255.255.0
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 pool nat1
端口复用
—端口地址转换
也是一种动态，理想情况下一个单一的IP地址可以使用的端口数为4000个
1.access-list access-list-number permit source source-wildcard
2.ip nat inside source list access-list-number
interface overload

apply command
global-ip
ip nat inside
ip nat outside
查看 show ip translations

clear ip nat translation*

五、WAN

广域网
为什么需要？
分区或分支机构的员工需要与总部通信并共享数据
远距离共享信息
出差的员工需要访问公司的网络信息

广域网链路类型
专线
DDN E1 CE1
点到点的专有连接（安全、高传输质量）
稳定，价格高
电路交换
由SP
为企业远程网络节点间通信提供的临时数据传输通道，
其操作特性类似电话拨号技术
常见的如
ISDN，ADSL
逻辑连接持久有效，按需拨号
传输介质主要为电话线，光纤
带宽主要为
56Kbps，64Kbps，128Kbps，2Mbps
稳定性较差，配置与维护较复杂

分组交换
分组交换设备根据数据帧的二层地址来进行路径的选择
PVC SVC
VPN

WAN操作主要集中在OSI第1层和第2层上
物理层协议描述连接通信服务提供商提供的服务所需的电气、机械、操作和功能特性
WAN还需要描述FTE和DTE之间的接口

数据链路层
协议定义如何封装传向远程位置的数据以及 最终数据帧的传输机制

WAN常见的封装协议 专用网络 PPP、HDLC
HDLC作为面向比特的数据链路控制协议的典型代表

PPP协议
1.能够控制数据链路的建立
2.允许采用多种网络协议 TCP/IP
3.提供身份验证
4.有协商选项
组成
NCP（network control protocol）
LCP (Link Control Protocol)

建立过程
1.链路的建立和配置协商
通信的发起方发送LCP frame 来配置和检测数据链路
2.链路质量检测，认证阶段（可选）
3.网络层协议的配置协商
通信的发起方发送NCP frame，用来选择和配置网络协议。
PAP认证（单向）
两次握手 密码易明文形式直接发送
chap认证（单向）
三次握手 哈希密文传输

PPP和HDLC的区别

接口下配置封装协议
encapsulation ppp
协议类型和告知用户名和密码
单向验证
ppp authentication （chap/ pap）
ppp pap sentusername xxx password xxx
ppp chap setname …

取名
hostname xx
表示远端路由的用户名和密码
双向
ppp authentication chap
username xxx1 password xxx
username xxx2 password xxx

Frame Relay 帧中继
就是为用户建立了一条端到端之间的虚拟电路连接，中间经过的帧中继云网络对于用户来说是透明的，用户用起来就感觉跟租用物理专线差不多，但是租用帧中继服务就比租用物理专线便宜得多

以太网使用MAC作为二层地址进行帧的封装，而帧中继网络则使用DLCI号来作为二层地址进行帧的封装

使用虚电路进行连接

应用非常广泛的WAN协议
速率：56K–2M

帧中继术语
VC 虚链路
1.通过帧中继网络实现的逻辑连接叫做虚链路（VC）
2.利用虚链路，帧中继允许多个用户共享带宽，而无需使用多条专用物理线路，

DLCI 数据链路连接标识
由帧中继服务提供商分配
帧中继DLCI仅具有本地意义
16–1007 为可分配范围

LMI 本地管理接口
一种管理标准 Keepalive机制
DTE 终端路由器
DCE帧中继交换机

active state
inactive state
deleted state

地址映射 寻找DLCI对应的ip地址
RARP 反向arp
静态手工配置

那么帧中继和vrrp区别？