网络架构
1.接入层(交换机,因为交换机的接口多):
1.提供给终端用户大量的接口
2.提供给网络基本的安全服务
2.汇聚层:提供大量的网络访问策略(路由策略,安全策略,加解密策略,
QoS策略....)
3.核心层:利用高端网络产品的强大的性能,快速转发数据
双绞线的线序:白橙 橙 白绿 蓝 白蓝 绿 白棕 棕
双绞线的分类:
1.直通线:两端线序一致
A:白橙 橙 白绿 蓝 白蓝 绿 白棕 棕
B:白橙 橙 白绿 蓝 白蓝 绿 白棕 棕
2.交叉线:在直通线的基础上,将一端的1,3,2,6四根线互相交换位置
A:白橙 橙 白绿 蓝 白蓝 绿 白棕 棕
B:白绿 绿 白橙 蓝 白蓝 橙 白棕 棕
双绞线的用法:同交异直:相同设备互联——交叉线
不同设备互联——直通线
注意:目前99%的产品支持逻辑调整线序,也就是说,不需要严格的遵守同交异直的规定
单模光纤:光纤的直径接近于光的波长,光几乎沿直线传播,传播距离长
多模光纤:光纤的直径大于光的波长,光沿全反射路径传播,传播距离短
物理层:
1.定义了各种接口,各种线缆的外观,尺寸的标准(双绞线-RJ45,
电话线—RJ11)
2.定义了各种接口,各种线缆的电气化标准(电压,电阻,散热,电磁感应....)
数据链路层:定义了链路两端0,1比特的一致性
网络层:1.通过IP地址定义了网络设备的位置
2.网络层可以选择“最优”的路径传递数据
传输层:建立,维护,管理端到端的连接(如果是可靠的通信方式,则该功能具备;如果是不可靠的通信方式(无连接的通信),该功能就不具备)
数据的封装/解封装:1.数据从高层往低层封装,解封装反之、
2.数据每经过一层就添加上对应层的头部信息,解封装反之
MAC地址:以太网的链路层地址,48bit,由12个十六进制数构成,MAC地址全球唯一,不能更改,MAC地址的前24位为OUI,表示该网卡的生产厂家,后24位为序列号,由厂家自行分配
单播MAC地址:一对一通信使用的MAC地址,第8个bit=0
组播MAC地址:一对部分通信使用的MAC地址,第8个bit=1
广播MAC地址:一对所有设备通信使用的MAC地址,所有bit=1,即FF-FF-FF-FF-FF-FF
ICMP应用一:
ping:ping命令用来检测网络的连通性,用法ping x.x.x.x/域名
ICMP的应用二:
tracert:tracert命令用来检测网络流量经过的路径,用法tracert x.x.x.x/域名
ARP原理:广播请求 单播应答(已知目标IP,求目标MAC)
免费ARP:主机自己对自己执行ARP请求,如果收到回应,则证明网络中IP地址冲突,设备报错,这是唯一不希望收到回应的ARP请求
TCP的三次握手:主机A发送SYN报文给主机B,其中Seq=a,主机B收到后回复ACK报文,其中ACK=a+1,并且主机B发送SYN报文,Seq=b(事实上,之前的ACK和此时的SYN为同一个报文),主机A收到后,回复ACK报文,ACK=b+1
公式:ACK = Seq + 1
TCP/UDP端口号:作用类似于以太网帧中的Type字段,用来提示传输层的上层(应用层)的具体应用是什么,端口号的取值范围是0-65535,其中1024以下的端口号被称为众所周知端口(Well-Known Port),不能随意使用,1024以上的端口号可以随意使用
交换机的作用:划分冲突域,交换机上一个接口就是一个冲突域,但是一整台交换机是一个广播域
路由器的作用:划分广播域,路由器上一个接口就是一个冲突域,同时也是一个广播域
登陆华为设备的步骤
1.使用Console线将设备和笔记本电脑连接在一起,将Console线插入到设备的Console口中
2.右击“此电脑”---“管理”---“设备管理器”---“端口”---查看本机的COM口编号,例如COM6(如果看不到,需要利用驱动精灵扫描硬件,下载对应的驱动程序)
3.打开SecureCRT软件,点击闪电符号(快速连接)
4.协议选择Serial,端口选择本机的COM口(例如COM6),波特率设置为9600,关闭流控
5.点击连接即可登陆设备
注意:华为设备默认的用户名/密码为admin/Admin@huawei
命令行视图
1.用户视图:标志<XXX>,在该视图下,用户只能执行查看命令,不能修改设备的参数
2.系统视图:通过执行<Huawei>system-view命令进入到系统视图,系统视图的标志是[XXX],在该视图下可以配置系统参数,例如修改设备名称,开启/关闭某个功能
3.接口视图:通过执行[Huawei]interface GigabitEthernet 0/0/0进入到某个接口的接口视图中,在接口视图下只能修改当前接口的参数
命令:interface 接口类型 接口编号
快捷键:
1.Ctrl+A:光标移动到最左边,一般用于删除错误的配置
注意:华为设备删除错误的配置,就是
在原有配置的最前面加上undo关键字即可
2.Ctrl+C:打断当前正在执行的命令
3.Ctrl+Z:无论当前用户在哪个视图下,都直接回退到用户视图
注意:如果用户希望逐层回退,则使用quit命令
4.tab:可以补齐当前的命令
注意:华为命令支持补齐,也支持缩写,因此不要死记命令的全写,记得大概就行
5.命令行帮助:如果忘记了输入的命令,则在忘记的地方打个?查询
华为设备的基本配置
1.修改设备名称:[Huawei]sysname AR1
[AR1]
2.修改设备的时区:<AR1>clock timezone China add 08:00:00
3.配置登陆语句:[AR1]header login information "Welcome to TDXY"//登陆前
[AR1]header shell information "Welcome to Juce"//登陆后
4.配置用户界面:[AR1]user-interface console 0 //配置Console用户界面
[AR1]user-int vty 0 4//配置远程登陆的用户界面
5.配置用户的空闲超时时间:[AR1-ui-console0]idle-timeout 3 30 //3min30s超时
注意:[AR1-ui-console0]idle-timeout 0 0//表示永不超时,该命令仅局限于实验
室环境,工作中不允许执行
6.配置接口IP地址:[AR1]interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]ip address 10.1.1.1 24
配置文件管理:
1.Current-Configuration:当前正在运行的配置文件,在内存中,断电丢失
2.Saved-Configuration:已保存的配置文件,在硬盘/Flash中,断电不丢失
保存配置:<AR1>save
查看当前正在运行的配置:display current-configuration
查看已经保存的配置:display saved-configuration
清空已经保存的配置:reset saved-configuration
reboot
注意:此命令仅限于实验室环境,在工作中不允许执行
华为设备VRP系统升级的操作步骤
1.用网线将本地的笔记本电脑和华为设备连接起来
2.配置笔记本电脑和华为设备的IP地址,确保两者可以ping通
3.在华为官网上下载最新版本的VRP系统(.cc文件)
4.在本地笔记本电脑上开启FTP服务器软件,将本地笔记本电脑设置为FTP服务器
5.在华为设备上执行ftp x.x.x.x(x.x.x.x为笔记本电脑的IP地址)登陆到FTP服务器
6.在华为设备中执行get xxxx.cc命令,下载VRP系统到华为设备
注意:在下载之前,需要通过dir命令确认本地存储空间的大小,如果不够,则需要使用 delete /unreserved命令删除多余的文件以释放存储空间
7.指定华为设备以新版本的VRP系统启动
8.重启设备
9.设备重启完成后,执行display version命令,确认升级后的版本号是否正确
交换机的转发行为:
1.泛洪:交换机从一个接口收到数据,从其他所有接口转发出来(类似于广播)
2.转发:交换机从一个接口收到数据,从另外一个接口转发出来(类似于单播)
3.丢弃:交换机从一个接口收到数据,不从其他任何一个接口转发出来
交换机的工作原理:
1.当交换机收到一个数据帧的时候,交换机会将该数据帧的源MAC地址和收到该数据帧的接口相关联,写入MAC地址表,形成一个MAC地址表条目
2.当交换机收到一个数据帧的时候,交换机会根据目标MAC地址查找MAC地址表,如果发现目标MAC地址不在MAC地址表中,则交换机会泛洪该数据帧;如果发现目标MAC地址在MAC地址表中,则交换机按照MAC地址表的提示转发
查看接口的详细信息:diplay interface xxxx
查看接口的概要信息:display ip interface brief
注意:交换机上一个MAC地址只能关联一个接口,但是一个接口下可以关联多个MAC地址
Vlan:虚拟局域网,在一个物理局域网下,逻辑分割广播域的技术,一个Vlan=一个广播域,同一个Vlan内的设备可以直接通信,不同Vlan之间的设备无法通信
Vlan Tag:在原始的以太网帧头中,插入了一个4B的802.1Q Tag字段,该字段中,有
一个12bit长度的Vlan ID,交换机就是通过识别这个Vlan ID从而来判断该数据属于
哪个Vlan
Access接口:当Access接口收到一个数据帧的时候,Access接口会给该数据帧打上对应PVID的Vlan Tag;当Access接口需要发出一个数据帧的时候,会在发出前移除该
数据的Vlan Tag
Trunk接口:Trunk接口发出数据帧的时候,携带Vlan Tag发出去,Trunk接口收到数
据帧的时候,根据Vlan Tag转发进对应的Vlan(默认情况下,Trunk的转发Vlan 1的数据不带Tag,但这种做法有安全风险,不推荐)
Vlan的基本配置
[SW1]vlan 2 //创建Vlan 2
[SW1-vlan2]vlan 3
或者
[SW2]vlan batch 2 3 //批量创建Vlan 2和Vlan 3
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access //设置接口类型为Access
[SW1-GigabitEthernet0/0/2]port default vlan 2 //将接口划分入Vlan 2
[SW1]interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 3
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk //设置接口类型为Trunk
注意:默认情况下,华为交换机的Trunk链路只允许Vlan 1通过,因此在配置Trunk的
时候,一定要记得将其他Vlan也放行,命令如下:
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
TTL:存活时间,最大值=255,IP包每经过一台路由器,TTL-1,当TTL=0且数据包还没有抵达目的地的时候,该数据包会被丢弃
IP地址的格式:点分十进制,一个IP地址由32 bit构成,因此有2的32次方个IP地址
网络地址:主机位全为0的IP地址,例如192.168.1.0,表示整个网络内所有设备的集合
广播地址:主机位全为1的IP地址,例如192.168.1.255,表示整个网络内的广播
IP地址的分类:
1.A类IP地址:第一个bit=0,0.0.0.0-127.255.255.255,前8位(第一个十进制数)是网络位,后24位(后三个十进制数)是主机位
2.B类IP地址:前两个bit=10,128.0.0.0-191.255.255.255,前16位(前两个十进制数)是网络位,后16位(后两个十进制数)是主机位
3.C类IP地址:前三个bit=110,192.0.0.0-223.255.255.255,前24位(前三个十进制数)是网络位,后8位(最后一个十进制数)是主机位
4.D类IP地址:组播IP地址
5.E类IP地址:保留科研使用
私有IP地址:企业内部可以自由使用的IP地址,但是该IP地址无法直接访问互联网
范围:10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
172.16.1.1/8-----172.0.0.0/8(172.16.0.0,172.17.0.0,172.18.0.0.....)
网关:一个网络的进出口,距离终端设备最近的路由器的接口IP地址,跨网段通信的时候,一定要设置网关
路由表:路由表是路由器转发数据包的依据,路由器收到IP包后,根据目标IP地址查询路由表,如果路由表中存在目标网段,则IP包按照路由表的提示转发,否则,丢弃
查看路由表的命令:display ip routing-table
最长匹配:当路由器发现有多个路由条目可以转发数据的时候,路由器会选择掩码长度最长的条目进行转发
单臂路由的核心配置:
[AR1]int g 0/0/0.20 //创建子接口
[AR1-GigabitEthernet0/0/0.20]dot1q termination vid 20 //设置该子接口承载Vlan 20的数据
[AR1-GigabitEthernet0/0/0.20]ip address 20.1.1.254 24//设置子接口IP地址,该地址充当Vlan设备的网关
[AR1-GigabitEthernet0/0/0.20]arp broadcast enable //开启ARP广播功能
利用三层交换机完成Vlan间通信
[SW1]int vlan 20 //创建一个Vlan虚接口(SVI口)
[SW1-Vlanif20]ip add 20.1.1.254 24
静态路由的配置:
[AR1]ip route-static 10.1.2.0 24 10.1.1.2
其中:10.1.2.0为目标网段
24为目标网段的掩码长度
10.1.1.2为下一跳IP地址
注意:写静态路由的时候,一定不要忘记写回程路由
默认路由:写作0.0.0.0/0,当路由器转发数据包的时候,如果目标IP地址在路由表中没有明细的条目,则路由器按照默认路由的指引转发,不丢包
默认路由的配置:[AR1]ip route-static 0.0.0.0 0 10.1.1.2
OSPF的工作原理:所有OSPF路由器建立OSPF的邻居关系,在此基础上,彼此互相交换LSA(链路状态通告),从而形成LSDB(链路状态数据库),路由器根据LSDB运行SPF算法,将网络运算成一个树状结构(防止环路),从而形成OSPF路由添加进路由表
Router-ID:OSPF路由器的唯一标识,Router-ID可以手动指定,也可以自主选举,手动指定优先于自主选举,路由器会优先选择环回口(Loopback)的IP地址充当Router-ID,如果没有环回口,则会选择物理接口中IP地址最大的充当Router-ID
DR/BDR:指定路由器/备份指定路由器,在广播型网络中,为了减少邻接关系的数量,需要进行DR/BDR的选举
DR/BDR的选举规则:
1.比较路由器的OSPF接口优先级,优先级最大的成为DR,次大的成为BDR
2.如果优先级相同,则比较OSPF路由器的Router-ID,Router-ID最大的成为DR
次大的成为BDR
注意:OSPF中的DR/BDR一旦选定,则不能抢占,除非重启OSPF进程
OSPF的区域:Area 0:骨干区域
Area X:非骨干区域
注意:设计OSPF网络的时候,一定要保证非骨干区域和骨干区域直接相连
OSPF的基本配置
[AR1]ospf 1 router-id 1.1.1.1 //启动OSPF进程,设置Router-ID为1.1.1.1
[AR1-ospf-1]area 0 //进入区域0
[AR1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 //将需要参与到OSPF中的
网段宣告进OSPF
[AR1-ospf-1-area-0.0.0.0]network 10.1.1.1 0.0.0.0
查看OSPF的邻接关系:<AR1>display ospf peer brief
指定源IP地址进行ping测试:<AR1>ping -a 1.1.1.1 4.4.4.4,表示以1.1.1.1为源
4.4.4.4为目标IP地址进行ping测试
注意:如果不指定源IP地址,那么设备默认使用本地出站接口的IP地址作为源IP
Eth-Trunk的基本配置:
[SW1]interface Eth-Trunk 1 //创建一个聚合接口
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]eth-trunk 1 //手动将成员接口添加到聚合口中
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]eth-trunk 1
[SW1-GigabitEthernet0/0/2]int g0/0/3
[SW1-GigabitEthernet0/0/3]eth-trunk 1
查看Eth-Trunk:<SW1>dis eth-trunk
查看Eth-Trunk接口的详细信息:<SW1>dis int Eth-Trunk 1
注意:一旦Eth-Trunk配置完成后,所有的配置只能做在Eth-Trunk接口下,而不能做在成员接口下了
DHCP的工作原理:主机向外发出一个DHCP Discover消息,寻找DHCP服务器;服务器
收到后,会给主机回复一个DHCP Offer报文,其中该报文中包含有服务器分配给主机
使用的IP地址,掩码长度,网关地址,DNS服务器地址等参数,主机收到Offer报文后,对Offer内的参数进行检查,确认无误后,主机会发行DHCP Request报文正式向服
务器申请使用Offer中的IP参数,服务器发送DHCP ACK报文来进行确认
DHCP的续租:当IP地址的使用时间超过租期的50%的时候,用户第一次向服务器续租
如果续租成功,则用户再具备一个使用周期的时长(24H),如果不成功,则当租期到了整个周期的87.5%的时候,设备会再续租一次
DHCP的配置(基于全局的):
[DHCP]dhcp enable //开启DHCP功能
[DHCP]ip pool juce //定义一个名为juce的DHCP地址池
[DHCP-ip-pool-juce]net 10.1.1.0 mask 24 //将10.1.1.0/24整个网段放入到地址
池中
[DHCP-ip-pool-juce]gateway-list 10.1.1.1 //定义分配出去的网关地址是10.1.1.1
[DHCP-ip-pool-juce]dns-list 218.2.135.1 //定义DNS服务器的IP地址是218.2.135.1
[DHCP-ip-pool-juce]excluded-ip-address 20.1.1.200 20.1.1.254
[DHCP]int g0/0/0
[DHCP-GigabitEthernet0/0/0]dhcp select global //在连接主机的接口上,启动基于全局的DHCP
DHCP的配置(基于接口的)
[DHCP]dhcp enable
[DHCP]int g 0/0/0
[DHCP-GigabitEthernet0/0/0]dhcp select interface //在连接主机的接口上,启动基于接口的DHCP
[DHCP-GigabitEthernet0/0/0]dhcp server dns-list 100.100.100.100//设置分配出去的DNS服务器地址
[DHCP-GigabitEthernet0/0/0]dhcp server excluded-ip-address 10.1.1.200 10.1.1.254 //将10.1.1.200 10.1.1.254这些地址排除在分配地址的行列外
Telnet的基本配置:
[telnet-server]user-int vty 0 4 //进入远程登陆的用户界面
[telnet-server-ui-vty0-4]authentication-mode aaa //设置远程登陆的认证模式
为AAA
[telnet-server-ui-vty0-4]aaa //进入AAA视图
[telnet-server-aaa]local-user juce password cipher juce //创建一个名为juce
,密码为juce的用户名/密码组合
[telnet-server-aaa]local-user juce service-type telnet //设置该用户名/密码
组合的作用是为telnet使用的
[telnet-server-aaa]local-user juce privilege level 15 //设置juce用户登陆后
的权限为15级
ACL的分类:
1.基本的ACL:编号范围2000-2999,只能根据源IP地址进行流量的过滤
2.高级的ACL:编号范围3000-3999,可以根据源IP,目标IP,源端口,目标端口
协议等参数进行流量过滤,而且这些参数可以任意排列组合
注意:1.ACL在使用的时候,按照Rule ID的大小,从小到大依次匹配,一旦流量和某
个规则匹配,则执行该规则的动作,不再进一步向下比较了
2.华为的ACL在流量过滤的场景下,ACL的默认规则是permit,其他所有场景默
认规则是deny
3.ACL只能过滤抵达/穿越的流量,不能过滤自身产生的流量
基本的ACL的配置
[AR2]acl 2000 //定义一个ACL 2000
[AR2-acl-basic-2000]rule 1 deny source 1.1.1.1 0 //定义一个规则,该规则丢
弃所有来自于1.1.1.1的流量
[AR2-acl-basic-2000]int g0/0/0
[AR2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 //在接口的入方向
上调用该ACL
注意:配置完ACL后,需要执行display acl all命令查看ACL的状态,在该命令的输
出中,必须看到(X Matches)字样,否则表示该ACl的规则不生效,是多余的,需要进
一步排查
高级的ACL的配置
[AR2]acl 3000 //定义一个高级的ACL
[AR2-acl-adv-3000]rule 1 deny tcp source 11.11.11.11 0 destination 3.3.3.3 0 destination-port eq 23 //定义一个ACL的规则,该规则表示拒绝从
11.11.11.11到3.3.3.3的telnet流量(telnet流量通过TCP的23号端口表示)
[AR2-acl-adv-3000]int g0/0/0
[AR2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 //在接口的入方向
上调用该ACL
静态NAT:网络管理员手动的配置私有IP地址和公网IP地址之间的映射关系,私网地址和公网之间是一对一的映射关系,无法节约公网IP地址,而且公网地址也不能回收利用
动态NAT:设备动态的维护私网IP地址和公网IP地址之间的映射关系,公网IP地址由
NAT地址池统一管理,便于公网的地址的回收利用,但是动态NAT依然是一对一的映射关系,没有解决IP地址不够的问题
NAPT:又称PAT,是一种特殊的动态NAT,利用端口号的不同,使得多个私网IP地址可以映射到同一个公网IP地址上,从而实现了多对一的映射关系,真正节约了公网IP地址
EZ IP:一种特殊的PAT,当路由器连接公网的接口IP地址段不固定的时候,用户往往
将私有IP地址转换到公网的接口上,而不再关心公网的接口IP地址具体是什么
NAPT的配置:
[AR3]acl 2000
[AR3-acl-basic-2000]rule 1 permit source 10.1.1.0 0.0.0.255 //定义ACL,将需要执行NAT的流量匹配出来
[AR3]nat address-group 1 202.100.1.10 202.100.1.10 //定义地址池,将公网地址放置在地址池中
[AR3]int g0/0/2
[AR3-GigabitEthernet0/0/2]nat outbound 2000 address-group 1//在连接公网的
接口下,将ACL和地址池做关联
EZ IP的配置
[AR3]acl 2000
[AR3-acl-basic-2000]rule 1 permit source 10.1.1.0 0.0.0.255 //定义ACL,将需要执行NAT的流量匹配出来
[AR3]int g0/0/2
[AR3-GigabitEthernet0/0/2]nat outbound 2000 //在连接公网的接口上,调用ACL
LCP的协商过程:RTA首先发送configure-request给RTB,其中包含RTA的本地参数(MRU,认证协议,魔术字),RTB收到后和本地参数进行对比,如果没问题,则发送configure-ack进行确认;如果包含了本地识别但取值不合理的参数,则RTB发送configure-nak拒绝,RTA重新修改参数后再次协商;如果RTA包含了对端完全不识别的参数,则RTB发送configure-reject拒绝,RTA删除不识别的参数后再次协商;
PAP认证:Password Authentication Protocol,被认证方主动的以明文的方式发送
用户名/密码给认证方,认证方检查用户名/密码,如果正确,则认证成功,否则,认证失败
CHAP认证:Challenge HandShake Authentication Protocol,认证方主动的发送挑战
消息给被认证方,被认证方将认证信息以Hash值的形式发送给认证方,认证方收到后,利用本地的认证信息也计算出HASH值,比较收到的HASH值和本地计算出来的HASH值是否相同,如果相同,则认证通过,否则认证不通过
PPP的基本配置
[AR1]int s4/0/0
[AR1-Serial4/0/0]link-protocol ppp //将接口的封装修改为PPP,华为设备的串口
默认就是PPP协议
PAP认证的基本配置(认证方)
[AR1]int s4/0/0
[AR1-Serial4/0/0]link-protocol ppp
[AR1-Serial4/0/0]ppp authentication-mode pap //设置认证模式为PAP认证
[AR1-Serial4/0/0]aaa
[AR1-aaa]local-user papuser password cipher papuser //定义PAP认证需要用到
的用户名/密码
[AR1-aaa]local-user papuser service-type ppp //定义用户名/密码的服务类型
PAP认证的基本配置(被认证方)
[AR2]int s 4/0/0
[AR2-Serial4/0/0]ppp pap local-user papuser password cipher papuser
CHAP认证的基本配置(认证方)
[AR1-Serial4/0/0]ppp authentication-mode chap
[AR1-aaa]local-user chapuser password cipher chapuser
[AR1-aaa]local-user chapuser service-type ppp
CHAP认证的基本配置(被认证方)
[AR2-Serial4/0/0]ppp chap user chapuser //设置被认证方的CHAP用户名
[AR2-Serial4/0/0]ppp chap password cipher chapuser//设置被认证方的CHAP密码