抽象语言---编程语言
编程语言---二进制
二进制---电信号
处理电信号和传递
对等网
1.延长传输距离 rg-45双绞线5倍
2.增加节点数 光猫信号转换
问题:1.信号畸变2.信号衰减
中继器放大器 ---进阶--- 交换机
网络拓扑结构
集线器hub问题:
地址问题mac地址--48位二进制--物理地址--介质访问控制层
逻辑地址---IP地址
冲突问题--csma/cd--载波侦听多路访问/冲突检测--排队
延迟
安全
新需求:
1.完全解决冲突---所有节点可以同时收发数据
2.无限延长传输距离
3.实现单播
交换机---二层设备(将电信号转换成二进制存储再i转发)
交换机转发原理:
看源mac
将mac地址与接口对应关系记录在mac地址表中
看目标mac,查表
若无地址就泛洪
泛洪范围2-3百台
路由器
进一步扩大网络
作用:隔离泛洪,传递数据
路由表
跨泛洪范围通信通过IP地址判断区分不同的泛洪范围
IP地址:网络位+主机位(子网掩码区分)
Ipv4---32位二进制---点分十进制
Ipv6---128位二进制---冒分十六进制
Cmd---ipconfig---查ip
应用层
表示层
网络层--IP地址
数据链路层--mac地址
物理层
一个泛洪范围的IP地址网络位相同
IP地址主机位不能是0和255
ARP协议---地址解析协议---通过ip地址获取mac地址
ARP工作原理:广播域内广播报文---其它设备接受arp报文---记录源IP和mac对应关系
---判断是否为本地IP---是回复,否丢弃
广播地址---48位二进制或12位十六进制---全f--不知道目标mac地址时
广播----逼交换机泛洪
pc端封装报文:二层mac地址,三层ip地址,四层端口号
IP地址分类:
A.B.C---单播地址
D---组播地址---只能作目标IP地址
E---保留地址---美国军用
组播:发给指定的多台电脑(同一个组播组)
广播:发给广播域的所有
单播:发给一个
前八位特征分类:
A:0xxx xxxx-----(0-127)实际上1-126
B:10xx xxxx----128-191
C:110x xxxx----192-223
D:1110 xxxx----224-239
E:1111 xxxx----(240-255)实际上240-254
A类---大型网络---255.0.0.0
B类---中型网络---255.255.0.0
C类---小型网络---255.255.255.0
特殊IP地址:
127.0.0.1~127.255.255.254 环回地址 检测软件系统层面故障
ping自己电脑ip ping同一广播域其它电脑ip ping网关 排除故障
255.255.255.255 受限广播地址不知道目标IP地址时使用
主机位全1---直接广播地址知道IP地址网络位但是不知道主机位-广播炸弹
主机位全0---网段
0.0.0.0 没有地址或者任意地址DHCP
169.254.0.0/16网段
Vlsw---可变长子网掩码
Cidr----无类域间路由---汇总取向相同去不同
-------------------------------------------------------------------
OSI模型
应用层
表示层
会话层---维持网络应用和服务器之间联系
传输层---端到端传输,应用到应用传输---端口号---标识不同的应用---16为二进制构成0~65535---其中0作为保留值,其中1~1023为知名端口号,比如HTTP80,https443。---源端口号,目标端口号
网络层:加源ip和目标ip
数据链路层:mac+llc组成,加源mac和目标mac
物理层
-----------------------------------------------------------------
标准模型 对等模型
应用层 应用层
传输层 传输层
网络层 网络层
网络接口层 数据链路层
物理层
--------------------------------------------------------------
PDU----协议数据单元
数据在每一层定义一个单位
OSI参考模型: TCP/IP对等模型
物理层L1pdu 应用层--报文
介质访问控制层L2pdu 传输层--段
。。。 网络层--包
。。。 数据链路层--帧
应用层L7pdud 物理层--比特流
----------------------------------------------------------------
封装和解封装
应用层---加协议(http、https等)有端口号的一定是应用层协议。
Http---超文本传输协议---获取网页信息---TCP80端口
Https----http+ssl(安全传输协议)/tls---TCP443端口
Ftp---文件传输协议---TCP20、21端口
Tftp---简单文件传输协议---UDP69
Telnet---远程登陆协议---TCP23
SSH---Telnet+ssl---TCP 22
Dhcp---动态主机配置协议---UDP 67 68端口
DNS---域名解析协议---TCP/UDP 53
传输层---端口号---TCP/UDP
网络层---IP地址---IP协议
数据链路层---MAC地址---以太网-依靠交换机组建的二层网络
物理层---不需要封装
----------------------------------------------------
数据链路层封装
前导符+目标MAC+源MAC+type(上一层的协议类型ipv4/ipv6)+data数据+fcs完整性(用crc循环冗余算法校验完整性)
------------------------------------------------------
传输层封装TCP/UDP协议
1、TCP面向连接,UDP无连接
2、TCP可靠,UDP尽力而为
3、TCP可以实现流控,UDP不行
4、TCP可以分段,UDP不行
5、TCP消耗资源大,传输效率低;UDP消耗资源小,速度快
所以TCP适用在安全性高,资源充足,传输效率要求低
UDP适用在安全性较低,资源缺乏,传输效率要求高(网游)
TCP头部:
UDP头部:
TCP面向连接----建立双向会话----扔球游戏
6个标记位
URG---紧急标记位
ACK---确认标记位
PSH---优先处理标记位
RST---强制断开标记位
SYN---请求建立连接标记位
FIN---断开连接标记位
TCP三次握手----建立连接
TCP四次挥手----断开连接
为什么B的ack和fin分开发?
因为A要断开连接表明A数据发完了,但是不代表B数据发完了,所以B等自己数据发完之后才断开
--------------------------------------------------------------
TCP协议传输的可靠性:ack包,重传,排序,流控---A一次性发多个字节,假如发3个,则设置
窗口值为3,B收到3个字节之后再回一个ack,A收到ack后说明B可以一次性处理3个字节
之后加大一次性发送的字节个数以便确认B的极限,从而实现流控,提高效率
------------------------------------------------------------------
网络层的封装
TTL---生存时间---数据包每经过一个路由器转发,数值减一,当一个数据包的
TTL值为0,路由器停止转发,直接丢弃
MTU---最大传输单元---默认1500字节
————————————————————————————————————————————————————————————
ENSP
操作系统:vrp操作系统,vrp5
<>用户视图只能查看
[]系统试图,可以进行全局配置
IP address 给接口配IP地址
Display this 查看当前视图配置
Display。。。。。brief查看主要信息
Display current-guration 查看所有配置
所有的配置都存在路由器的缓存,save保存之后存在闪存中。
————————————————————————————————————————————————————————————
Telnet协议
访问服务器的方法:
1、IP地址直接访问
2、域名访问:DNS服务器
3、应用程序访问
MAC地址可以通过IP地址获得
---------------------------------------------------------------
设备管理和控制
带外管理:
设备上的console/miniUSB接口----控制接口----通过console/miniUSB线连接电脑端
电脑端下载终端控制器就可以对设备进行控制
带内管理:
通过telnet管理
通过web管理
通过SNMP协议管理---简单网络管理
---------------------------------------------------------------
Telnet---远程登陆协议---TCP 23端口
c/s架构----登录设备是客户端,被登录设备是服务器
1、登录设备和被登录设备之间网络必须可达
2、被登录设备需要开启telnet服务
配置过程:
由于ensp里面的pc端无法开启telnet服务,所以可以用路由器代替
————————————————————————————————————————————————————————————
DHCP-----动态主机配置协议----传输层使用丷67、68
c/s架构----客户端68/服务器67
需要获取IP的电脑扮演客户端,发放ip的电脑扮演服务器
1.DHCP客户端首次获取IP地址
不知道谁可以发放IP地址---客户端广播----数据包名字DHCCP-Discover sip:0.0.0.0 dip:255.255.255.255受限广播地址
-----服务器收到discover包后返还offer包----客户端收到后广播request包----服务器单/广播返还ack包确认
只有在客户端收到ack包之后才算可以使用这个IP地址
2.再次获取IP地址
客户端广播request包----请求之前使用的IP地址----服务器回复ack就可以接着上次的IP地址用,如果是nak说明原来的IP地址已经被占用了,此时客户端重复初次获取IP地址过程
IP地址租期:
租期共24h
T1-----50%-----12h---客户端单播给服务器请求request
T2-----87.5%----21h----客户端广播给服务器请求request
命令配置:
开启服务器DHCP服务dhcp enable---创建IP地址池IP pool name------network 网段 mask 子网掩码-----dns-list 114.114.114.114----getway-list 网关---------进入网关接口进行宣告选择全局配置dhcp select global
客户端也可以主动释放掉ip
——————————————————————————————————————————————————————————————————————————————————————————
路由器转发原理
--------------------------------------------------------------------------
直连路由---物理网线连接和IP地址配置,简称双up
---------------------------------------------------------------------------
静态路由,手动添加ip route-static 目标网段 子网掩码 下一跳
路由器转发依靠路由表,如果路由表里面木有记录,则将该数据包丢掉
骨干链路----路由器之间的网线,一般不会加入其它设备
ENSP网络拓扑图建立:1.数广播域 2.划分网段 3.配网关,客户端IP地址
学习目的:负载均衡,环回接口,手工汇总,路由黑洞,缺省路由,空接口路由’浮动静态路由(优先级)
1.负载均衡:流量拆分,有多条相似路可走时路由器将数据包等分从不同路同时传输,起到叠加带宽
若有稍稍延迟:先到的等后到的数据包
2.环回接口:
路由器虚拟接口,一般用于虚拟实验,而不受设备限制
降低成本思路:1.实的不行来虚的2.范围大划分范围
当一个路由器有多个源IP地址时:可以用ping-a命令指定源IP地址
双up:物理层面设备驱动和
3.手工汇总---当路由器可以访问多个连续的子网时,若都通过相同的吓一跳,可以将子网汇总之后到达汇总网段的静态路由编辑。达成减少路由条目,提高转发效率目的
4.路由黑洞---在汇总后,如果包含网络内实际不存在的网段时可能导致数据包无法送达,合理的子网划分和汇总可以减少黑洞
192.168.0.0/22
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
5.缺省路由---华为体系中叫默认路由。一条不限定目标的路由条目,缺省路由一定是路由表中所有条目都无法匹配时才匹配它,当它与黑洞相遇必定出现环路
家用路由有两条直连路由:对内对外连接运营商和缺省路由
6.空接口路由---解决缺省和黑洞相遇出环的问题
用到技术:
1.路由器匹配原则---掩码最长匹配原则
2.NULLO---空接口,将含有黑洞的网段写向空接口
在黑洞路由器上配空接口路由
命令【】IP route-static 黑洞网段(范围尽量大)+null 0
7.浮动静态路由
多条路由条目时手动改优先级 prefrece +1-255等级
Shutdown 关闭命令 undo shutdown恢复
-------------------------------------------------------------------------
动态路由---通过rip/ospf等协议自动生成路径
AS自治系统---由单一组织和机构管理的一些ip网络及设备构成的集合---AS号方便管理----16位二进制构成
(1~65534)---不够---拓展AS号---32位二进制
AS系统内部使用的协议总和统称IGP协议---内部网关协议--RIP,OSPF,IS-IS,EIGRP(思科自己用)
AS系统之间使用的协议总和统称EGP协议---外部网关协议--BGP
IGP协议根据算法分类:
距离矢量型协议(DV)---RIP--贝尔曼·福特算法---直接传递路由信息
传闻的路由协议
链路状态型协议(LS)---OSPF---传递LSA信息(链路状态通告)---拓扑信息---SPF(最短路径优先算法)---图形结构---树形结构---树形结构不会出现环路
动态静态对比
静态路由:
适合小网络
优点:管理员选择,更方便控制,不占用过多资源,不用发数据包,更加安全
缺点:配置量大,无法根据网络拓扑结构的变化而自动收敛
动态路由:
适合大型网络
缺点:通过单一算法算出来的路径,可能出现选路不佳,+;资源占用;信息泄露
优点:配置简单;可以根据网络结构变化自动收敛
——————————————————————————————
RIP
在rip里面,传递一条路由条目,主要需要携带的参数是目标网段信息以及开销值(cost)
开销值是动态路由协议选路的重要依据。开销值评判标准不同:时间路程…..
开销值仅用于同一动态路由协议进行选路
RIP---默认优先级---100
相同协议比cost,不同协议比较默认优先级pre
RIP以跳数作为开销值的批判标准---存在不合理性,不全面---等开销负载均衡
RIP工作半径15跳
cost计算公式:=本地开销值+1(经过路由器的个数)
------------------------------------------------------------------------
贝尔曼·福特算法
1.r2发送2.0/24网段路由信息给r1,而r1的路由表中不存在到达2.0网段的路由,R1将把它刷新到本地路由表
Destination/Mask Proto Pre Cost Flags NextHop Interface
2.2.2.0/24 RIP 100 1 D 12.0.0.2 G0/0/0
2.r2发送2.0/24网段路由信息给r1,而r1的路由表中存在到达2.0网段的路由,且下一跳是r2R1将刷新最新路径
3.r2发送2.0/24网段的路由信息给r1,而r1的路由表中存在到达2.0网段的路由,本地路由表的下一跳不是r2则比较开销值,与原来的路径开销值比较,选择开销值小的保留
直连的下一跳就是自己
-------------------------------------------------------------------------
RIP的版本
RIPV1,RIPv2----ipv4
Ripng---ipv6
RIPV1和RIPV2区别
1,V1是有类别的路由协议,V2是无类别的路由协议
无类别有类别分别指是否携带子网掩码
无类别减少了黑洞产生
2,V1不支持手工认证,V2是支持手工认证
传递路由信息时加入暗号,防黑客
3,V1采用广播的形式发送信息,V2采用组播
所有运行v2的设备的组播ip地址224.0.0.9
组播mac地址也是根据组播IP地址而固定
交换机泛洪条件---
1.遇到广播帧目标mac全f
2.遇到组播帧
3.遇到未知单播帧·
RIP协议传输层使用UDP协议,使用的端口是520端口
------------------------------------------------------------------
RIP的数据包只有两个报文
RIP-request--请求报文
RIP-response--应答报文
RIP收敛完成后,每隔30s发送一次response报文---RIP的周期更新---同步更新会很卡----选择异步更新
(使用UDP协议,可靠性不高没有确认机制和保活机制所以周期更新是为了弥补)
RIP计时器
1.周期更新计算器---30s
2.失效计时器----180s,路由条目刷新后,自动启动一个180s的失效计时器时间归0,则代表该路由信息失效,
失效后,首先从全局路由表中删除,但是依然会将这条路由信息保存在缓存中,
之后,周期更新时依然会携带。只是将这跳路由信息的开销值改为16。 -----带毒传输 ----传递失效信息。
3.垃圾收集计时器---120s,失效计时器归0后开始计时,120s结束后
---------------------------------------------------------------------------
wsm
出环原因:
黑洞路由和缺省路由相遇,手工汇总范围过大,异步更新bug
破环方案:
1.cost=16丢弃,15跳的工作半径
2.触发更新----当拓扑结构发生变化时第一时间传递出信息
3.水平分割---从那个接口学到的路由信息将不再从这个接口发出去,仅限于直型拓扑----主要用于MA网段的重复更新(MA网段指一个交换机连接很多pc端)
4.毒性逆转水平分割---从那个接口学来的路由信息,依然可以从这个接口发出去,但是cost改为16
华为默认开启水平分割,如果水平分割和毒性逆转同时开启,默认执行毒性逆转
--------------------------------------------------------------------------
激活接口---才能完成rip,才能收发数据
发布路由---只有激活的接口所对应的直连网段的路由
宣告的要求:
所有直连网段必须宣告,按照网段类型宣告(12.4.2.0/24则输入12.0.0.0网段)
------------------------------------------------------------------------
拓展配置:
1.手工认证配置,在接口中配
2.沉默接口
如果一个接口配置成沉默接口,则只接受不发送----用于连接用户产品端的
3.加快收敛---减少计时器的时间
4.缺省路由
找边界设备
————————————————————————————————————————————————————————————
需求:选路佳,收敛快,占用资源少
OSPF
本身是链路状态型协议,不会存在环路,且根据带宽选路,较RIP选路优
OSPF计时器时间短于RIP,所以收敛速度快于RIP
因为OSPF协议传递LSA信息,单个数据包占用量远大于RIP,但是没有高频率周期更新
但是资源占用量大--所以需要优化措施改进
RIP三个版本:v1,v2,ng
OSPF三个版本:v1,v2,ng
----------------------------------------------------------------------
OSPF由于资源占用量较大,所以进行了各方面的·优化
①结构化部署----区域划分,(类似于AS自治系统的划分原理)
区域内部传递拓扑信息,区域之间传递路由信息,
----------------------------------------------------------------------
什么叫做链路状态型协议的距离矢量特征?
解析:距离矢量特征就是传递路由信息,及ospf也在区域之间使用了
无类别路由协议(传递路由条目时加入子网掩码)
--------------------------------------------------------------------------
ospf基本结构
一个ospf网络只存在一个区域---单区域ospf网络
一个ospf网络存在多个区域---多区域ospf网络---多区域之间有区域边界路由器过度
---ABR---同属于两个区域,一个接口对应一个区域,,将区域内的拓扑信息收集计算成路由信息
后传递
--------------------------------------------------------------------------
区域划分要求:
1、区域间必须有ABR路由器
2、区域划分必须是星形拓扑-----也就是ABR的其中一个接口必须连接骨干区域----拓扑结构的中心成为骨干区域
3、为了方便识别不同的区域----给区域定义ID----area ID----32位二进制构成
(十进制表示或者点分十进制表示)骨干区域的ID必须为0
4、加入区域的路由器也有身份标识---RID---32位二进制---格式统一,全网唯一
--------------------------------------------------------------------------
RID生成方式:
1.手工配置
2.自动生成----先在路由器的环回接口IP地址中选择IP地址最大的
没有环回接口就在物理接口上选最大的
②DBD数据包
③主从关系选举,防止堵,减少资源占用
----------------------------------------------------------------------
OSPF工作原理
①OSPF数据包
Hello---周期性的发现、建立、保活邻居关系、RID内容
计时器:
发送周期---hello时间----10s(在以太网环境下)
死亡时间----四倍hello时间----之后判定失效
DBD---数据库描述报文---LSDB---链路状态数据库---发送所有的LSA目录----“菜单“
LSR---链路状态请求报文----基于DBD包,请求需要的LSA信息---点菜
LSU---链路状态更新报文----携带需要的LSA数据包----上菜
LSACK----链路状态确认报文----确认包
本来可以保活和确认,不需要周期更新,但是为了保底,
依然有周期更新机制---30分钟/次
-------------------------------------------------------------------------
②OSPF状态机
Init state初始化状态
Two-way ----标志邻居关系建立,只发送hello包
接下来条件匹配---匹配失败就停留在邻居关系,仅周期性的
发送hello包;匹配成功进入下一状态
主从关系选举---发送没有携带数据的DBD包通过比较RID,大的可以优先进入后面的状态
之所以使用DBD包是为了和邻居关系进行区分--需要发包确认,但不是ack
FULL状态---标志邻接关系建立--可以发送LSA信息
---------------------------------------------------------------------------
总结:
Down---启动ospf,发送hello
Init---收到的hello包中包含自己本地RID
Two-way---邻居关系建立
Exstare----比较RID
Exchang----准交换状态---交换BDB数据摘要信息
Loading----加载状态---基于DBD包,使用lsa/lsu/lsack进行LSA信息共享
FULL状态---标志邻接关系建立--可以发送LSA信息
-------------------------------------------------------------------------
OSPF工作过程
启动配置完成,ospf协议向本地所有运行协议的接口
以组播的形式(224.0.0.5发送hello包;hello包中携带自己本地RID,
以及本地已知的邻居的RID。
之后,将收集到的邻居关系记录在一张表中 --- 邻居表
邻居关系建立完成之后,进行条件匹配
失败则停留在邻居关系,仅hello包进行保活,匹配成功,则开始建立邻接关系。
首先,使用未携带数据的DBD包(含有Rid信息)进行主从关系选举。
之后,使用携带数据的DBD包共享目录信息,
之后,基本DBD包,通过LSR/LSU/LSACK获取未知的LSA信息。
将所有的LSA信息保存本地的LSDB数据库--- 数据库表
最后,基于LSDB,使用SPF算法进行计算,得到未知网段的路由信息,将其加载到路由表。
收敛完成后周期性发送hello保活,30min/次更新
---------------------------------------------------------------------------
OSPF基本配置
1.启动ospf进程
2.创建区域0
激活接口,可以是范围也可以是精确的地址
反掩码0在前,1在后,
mtu:数据最大传输单元
展开一条LSA目录
华为设备默认优先级为10
Cost=参考带宽/真实带宽----华为默认参考带宽为100mbps
如果计算出来是小于1,按照1涮,如果大于1的小数直接去掉小数部分
会出现选路不佳,所以需要更改参考带宽
子网掩码32位是特殊的主机路由
触发更新:lsu包立刻传递出去,ack包确认
条件匹配:
选举规则
优先级默认为1,需要人为修改,优先级一般不为0,如果设为0
则代表该接口放弃DR/BDR选举
DR和BDR其实是接口的概念
OSPF的拓展配置
手工认证,手工汇总,沉默接口,加快收敛,缺省路由
-----------------------------------------------------------------------
ACL----访问控制列表
策略
作用:
1、访问控制----在路由器流量流入或流出的接口上,匹配流量
然后执行设定好的动作----permit(允许)deny(拒绝)----华为默认允许所有
2、抓取感兴趣流----ACL和其它服务结合使用,ACL只负责抓取流量,动作行
-----------------------------------------------------------------
思科------ACL列表末尾默认包含一条拒绝所有规则
华为------ACL列表没有包含任何规则,默认允许
ACL列表分类
基础ACL----仅关注数据包中的ip源地址
高级ACL-----不仅关注ip源地址,还关注目标IP地址、协议、端口号
二层ACL----?????
用户自定义ACL列表------??????
------------------------------------------------------------------
ACL配置
需求一:pc1可以访问3.0网段,pc2不可以访问3.0网段
解析:基础acl配置原则需要靠近3.0网段----ar2的g0/0/0接口
①创建acl配置
②在acl表中创建规则
通配符----0不可变,1可变----和反掩码、掩码不同的是0、1可以穿插使用
华为规则默认以5为步调自动添加序号,目的为了方便插入规则
需求二:pc1可以访问pc3,不可以访问pc4
高级acl更加精确,所有为了节约链路资源,配置位置应该靠近源的地方,和基础acl相反
——————————————————————————————
VLAN交换技术
v---virtual---虚拟
Lan---局域网
Man---城域网
Wan---广域网
ARP欺骗
DHCP欺骗
VLAN-----虚拟局域网-----交换机和路由器协同工作后,将原来的一个广播域,逻辑上切分为多个。
配置
1、创建VLAN
查看 Display vlan----交换机再没有进行配置时,默认存在vlan,其vid为1
802.1Q标准对VID进行设定----12位二进制构成----0~4095.因为0和 4095保留,所以实际可用范围1~4094
[]vlan-----单独创建vlan
[]vlan batch 1 to 100-----批量创建vlan
2、将接口划入VLAN
VID配置映射到交换机接口上,实现VLAN范围的划分----物理VLAN/一层VLAN
VID配置映射到数据帧的MAC地址上,实现VLAN范围的划分----二层VLAN
VID配置映射到数据帧中类型字段上,实现VLAN范围划分----三层
802.1Q帧---以太网Ⅱ型帧,源MAC地址和类型字段之间增加4个字节,其中包含12位的VID----tagged帧
电脑只能识别普通以太网Ⅱ型帧---Untagged帧
根据以上特性,将电脑和交换机之间的链路称为access链路,传输的全是untagged帧,并且这些帧只属于某一种特定的VLAN;交换机和交换机之间的链路,我们称为Trunk干道(交换机之间的接口称为Trunk接口),这些链路允许通过tagged帧,并且这些帧属于多种VLAN。
3、配置Trunk干道/access
将接口改为access/trunk接口-----[0/0/1]port link-type access/trunk
告诉接口通过流量的种类,属于vlan几?-----[0/0/1]port default vlan2
接口太多懒得敲就创建一个接口组----[sw1]port group-member g0/0/3 g0/0/4
Trunk----[0/0/5]port trunk allow-pass vlan 2 to 3
< >arp-a查看广播域
4、VLAN间路由
多臂路由:
几个广播域就几个接口,接口属于access接口----有点浪费资源
单臂路由:
子接口创建,避免几个广播域几个接口,减少浪费资源,子接口由于要容纳多种流量,所以属于trunk接口
[]int g0/0/0.1
[G0/0/0.1]dotlq termination vid 2 ?????
[G0/0/0.1]arp broadcast enable
NAT技术---网络地址转换技术
IP地址中A\B\C三类地址各有一部分为私有地址,其余为公网地址
私网地址可以重复使用,但是不可以在互联网之间使用
为了私网可以在公网中通信----nat技术实现了私网地址和公网地址之间的转换
华为设备都在边界设备的出接口上配置
---------------------------------------------------------------------
静态NAT----一对一的NAT----不能起到节约地址作用
在边界路由上维护一张静态地址映射表
【Ar2Int g0/0/2】nat static global 12.0.0.3 inside 192.168.1.2
12.0.0.3来源:1、必须在12.0.0.0/24网段2、运营商花钱买到的
-----------------------------------------------------------------------
动态NAT----多对多---同一时刻就还是一对一,延迟高
在边界路由上维护一张动态地址映射表
1、创建公网地址池
【】nat address-group 1 12.0.0.4 12.0.0.8//5个私网ip
2、通过ACL列表抓取私网流量
3、在接口上配置动态NAT
-----------------------------------------------------------------------
NAPT --- 网络地址端口转换 --- PAT
一对多 --- easy ip
多对多
多对多的配置:
1,创建公网地址池
[r2]nat address-group 0 12.0.0.4 12.0.0.8
2,通过ACL列表抓取私网流量
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
3,在接口上配置动态NAT
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0
Easy ip
1,通过ACL列表抓取私网流量
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
2,在接口上配置easy ip
[r2-GigabitEthernet0/0/2]nat outbound 2000
端口映射
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8080 inside 192.168.1.20