目录
一、OSI七层模型
1.物理层(一层)
定义物理设备的标准,主要对物理连接方式,电气特性,机械特性等制定统一标准,传输比特流,因此最小的传输单位——位(比特流)。
2.数据链路层(二层)
主要是对物理层传输的比特流包装,检测保证数据传输的可靠性,将物理层接收的数据进行MAC(媒体访问控制)地址的封装和解封装,也可以简单的理解为物理寻址。交换机就处在这一层,最小的传输单位——帧。(交换机)
3.网络层(三层)
控制子网的运行,如逻辑编址,分组传输,路由寻址,路由选择最小单位——分组(包)报文。(二层交换机问题——路由器)
4.传输层(四层)
定义一些传输数据的协议和端口。传输协议同时进行流量控制,或是根据接收方接收数据的快慢程度,规定适当的发送速率,解决传输效率及能力的问题——tpdu。
TCP,传输控制协议,面向连接的可靠的传输协议(保证可靠性: 1.确认机制 2.重传输机制。保证面向连接: TCP 三次握手机制 )。
TCP的数据结构:
序列号 32个二进制 ,发送数据的顺序
确认号 32个二进制 ,确认数据时使用的
UDP,用户数据报协议,非面向连接的不可靠的传输协议,
UDP的数据结构:
没有ACK 号 没有序列号
5.会话层(五层)
会话层负责在网络中的两节点之间建立,维持和终止通信,在这层协议中,解决节点链接的协调和管理问题。
6.表示层(六层)
表示层是应用程序和网络之间的翻译官。在表示层,数据需要按照网络所能理解的方案的进行格式化。
7.应用层(七层)
负责提供数据接口标准,提供的服务包括文件的传输,文件的管理以及电子邮件的信息处理,即人机交互过程
二、TCP/IP四层模型
1.应用层(四层)
应用层是TCP/IP协议的第一层,是直接为应用进程提供服务的。
(1)对不同种类的应用程序它们会根据自己的需要来使用应用层的不同协议,邮件传输应用使用了SMTP协议、万维网应用使用了HTTP协议、远程登录服务应用使用了有TELNET协议
(2)应用层还能加密、解密、格式化数据
(3)应用层可以建立或解除与其他节点的联系,这样可以充分节省网络资源。
2.传输层(三层)
作为TCP/IP协议的第二层,运输层在整个TCP/IP协议中起到了中流砥柱的作用。且在运输层中,TCP和UDP也同样起到了中流砥柱的作用。
3.网络层(二层)
网络层在TCP/IP协议中的位于第三层。在TCP/IP协议中网络层可以进行网络连接的建立和终止以及IP地址的寻找等功能,网络层协议的代表包括:ICMP、IP、IGMP等。
4.网络接口层(一层)
在TCP/IP协议中,网络接口层位于第四层。由于网络接口层兼并了物理层和数据链路层所以,网络接口层既是传输数据的物理媒介,也可以为网络层提供一条准确无误的线路,其主要协议有ARP、RARP等。
5.ARP协议
地址解析协议(Address Resolution Protocol,ARP),是基于二层封装的协议。
ARP协议可以将IPV4地址(一种逻辑地址)转换为各种网络所需的硬件地址(一种物理地址)。换句话说,所谓的地址解析的目标就是发现逻辑地址与物理地址的映射关系。 ARP仅用于IPv4协议,IPv6使用邻居发现协议(NDP)替代。
ARP请求分组有3个重要信息:1.源IP地址。2.对应的源物理地址。3.目的IP地址。
正向ARP---通过对方的IP地址请求对方的MAC地址
反向ARP---通过对方的MAC地址请求对方的IP地址
逆向ARP---帧中继中使用的
无故ARP---免费ARP ,地址重复检测的
代理ARP-proxy ARP
6.交换机的功能
交换机工作于OSI参考模型的第二层,即数据链路层。交换机内部的CPU会在每个端口成功连接时,通过将MAC地址和端口对应,形成一张MAC表。在今后的通讯中,发往该MAC地址的数据包将仅送往其对应的端口,而不是所有的端口。因此,交换机可用于划分数据链路层广播,即冲突域;但它不能划分网络层广播,即广播域。
功能:
1、基于源MAC的学习
2、基于目标MAC的转发
3、数据过滤
4、防环
三、封装与解封装
1.封装
2.解封装
四、静态路由与动态路由
1.静态路由
1.默认路由
2.浮动路由
浮动路由指的是配置两条静态路由,默认选取链路质量优(带宽大)的作为主路径,当主路径出现故障时,由带宽较小的备份路由顶替,保持网络的不中断。
[Huawei]ip route-static 0.0.0.0 0.0.0.0 21.0.0.2 preference 61
3.负载均衡
当对于路由器而言,去往一个目标网段,具有相同或者相似的开销,那么可以同时写多条路径,形成负载均衡(主要的目的是流量的分流)。
4.手工汇总
当路由器访问目标网段具备相同的下一跳,同时这些目标网段是连续的(具备汇总的条件)的情况下,我们可以进行汇总,写一条去往汇总网段的路由,减少路由表项数量,降低路由器CPU运算负载。
[Huawei]ip route-static 192.168.0.0 22 12.0.0.1 —— 汇总网段、掩码、下一跳
5.环回接口
环回接口习惯上被称为Loopback接口,是路由器上的一个逻辑、虚拟接口。它是用来测试的接口即用来模拟用户网段。
[Huawei]interface LoopBack 1 —— 创建环回接口,接口编号为1(接口编号从0-1023)
[Huawei-LoopBack1]ip address ip地址 掩码
6.路由黑洞
在汇总路由中,包含真实环境下实际不存在的网段,就会导致流量有去无回的现象,造成链路资源的浪费。
例如:假如一个192.168.1.0/24和192.168.2.0/24汇总后为192.168.0.0/22,假设汇总前两个网段中的某一个网段突然消失,此时还要去访问这个消失的网段,则就会变成黑洞路由。
7.缺省路由
一条不限定目标的路由;查表时,若本地路由均不匹配,则将匹配缺省路由。
[R1]ip route-static 0.0.0.0 0 12.1.1.1
8.空接口
在黑洞路由器上,配置一条到达汇总网段指向空接口的路由。
①空接口:null0接口,路由器的一个虚拟接口,如果一条路由条目的出口为空接口,则代表将该条路由直接丢弃。
②路由表匹配原则:最长匹配原则/精确匹配原则
[Huawei]ip route-static 192.168.0.0 22 NULL 0——汇总网段的路由指向空接口。
2.动态路由
1.协议
RIP OSPF EIGRP ISIS BGP
2.分类
(1)按照使用范围进行分类: IGP BGP AS --- 自治系统
(2)按照协议的算法特点进行分类:距离矢量型 (DV) 链路状态型(LS)
距离矢量型路由协议—共享路由表—RIP
链路状态型路由协议—共享拓扑信息—路由信息—OSPF
(3)按照是否携带网络掩码进行类:有类别路由协议 ; 无类别路由协议
四、rip
1.概述
1.适用范围:IGP
2.协议算法特点:距离矢量型(DV),贝尔曼福特算法
3.是否携带网络掩码:RIPV1不携带 RIPV2携带
4.协议数据包的封装:基于UDP封装,使用端口号 520
RIP协议描述:路由器通过周期性发送消息数据包来传递路由信息(request 请求 response 响应),周期时间30s ,支持路由认证,支持路由手工汇总。
RIP 携带路由信息的报文: response 基于UDP封装。一条RIP更新报文最多包含25条路 由信息,若启用路由认证,则最多传递24条路由信息。
2.version1版本
[R1]rip 1 启动时定义进程号 默认为1 仅具有本地意义
[R1-rip-1]version 1
宣告:rip只能进行主类宣告 基于宣告网段的主类 找到属于该网段的接口
1.激活接口-收发rip信息 2.该接口的信息可以共享给邻居
[R1-rip-1]network 1.0.0.0
[R1-rip-1]network 12.0.0.0
注意:我们在这儿宣告的是网段所属的主类
3.version2版本
配置命令:
[R1]rip 创建rip 默认进程号为1
[R1-rip-1]version 2 选择版本2
[R1-rip-1]undo summary 关闭自动汇总
若不关闭自动汇总,RIPV2将会使用主类长度掩码进行发送路由,关闭自动汇总后,将携带接口精确掩码来发送
[R1-rip-1]network 1.0.0.0
[R1-rip-1]network 12.0.0.0
4.RIP扩展配置
1.rip的手工汇总
在更新的源头,所有发出更新的接口上进行汇总配置即可
[R1-GigabitEthernet0/0/0] 进入更新设备的接口
[R1-GigabitEthernet0/0/0]rip summary-address 1.1.0.0 255.255.252.0
2.rip的手工认证
在两台运行RIP协议的路由器间进行加密,让两台设备发出的数据中携带核实身份的密钥,也可同时对传输的路由信息进行加密
[R1-GigabitEthernet0/0/0] 必须在和邻居相邻的接口上配置
[R1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123456
3.被动接口
仅接受不发送路由信息协议,仅限于连接用户PC端的接口使用,不得用于路由器之间,否则将导致无法正常发送路由信息。
[R1-rip-1] 进入RIP进程
[R1-rip-1]silent-interface g 0/0/1 设置g0/0/1口为被动接口
4.缺省路由
在边界路由器上,进行RIP 的缺省配置后,该设备将向内部所有运行RIP的设备发送缺省路由的更新包,使得内部所有RIP设备自动生成缺省路由,且,下一跳均指向边界路由起方向。
[R3-rip-1] 进入边界路由起的RIP进程
[R3-rip-1]default-route originate 缺省路由
五、OSPF:开放式最短路径优先协议
1.距离矢量协议
运行距离矢量协议的路由器会周期性的泛洪自己的路由表。通过路由的交互,每台路由器从相邻的路由器学习到路由,并且加载进自己的路由表中;对于网络中的所有路由器而言,路由器并不清楚网络的拓扑结构,只是简单的知道要去往某个目的地的方向在哪儿,距离多远。这既是距离矢量协议的本质。
2.链路状态协议
与距离矢量协议不同,链路状态协议通告的是链路状态信息,而不是路由表。运行链路状态协议的路由器之间会先建立一个协议的邻居关系,然后彼此之间开始交互LSA(链路状态通告)。每台路由器都会产生LSA,路由器将接收到的LSA放入自己的LSDB(链路状态数据库)中。路由器通过LSDB,掌握了全网所有的拓扑信息。最后,由路由器通过SPF算法计算出最优路径,随后加载于自己的路由表中。
3.ospf基础配置
[R1]ospf 1 router-id 1.1.1.1 创建ospf进程号为1 仅具有本地意义 同时定义RID值 建议使用IP地址 全网需要唯一。
[R1-ospf-1]area 0 进入0 区
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0(反掩码)
[R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255
<R1>display ospf peer 查询详细邻居关系
<R1>display ospf brief 查询邻居表
<R1>display ospf lsdb 查询链路状态数据库
4.ospf扩展配置
先比较参选接口的优先级 默认1 范围0-255 大为优
若参选接口的优先级相同,比较参选设备的RID,大为优
[R1-GigabitEthernet0/0/0]ospf dr-priority 2 将参选接口优先级改为2
切记:ospf的DR选举是非抢占性的,故需要重启ospf进程达到重新选举的目的。
<R1>reset ospf process 重启ospf进程
1.手工认证
[R1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456
2.手工汇总
[R2-ospf-1]area 0 进入需要汇总的区域
[R2-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0 255.255.252.0
3.被动接口
[R1]ospf 1进入需要设置被动接口的路由器的ospf进程
[R1-ospf-1]silent-interface g 0/0/1 设置该接口为沉默借口
4.缺省路由
[R3]ospf 1 进入边界路由起的ospf进程
[R3-ospf-1]default-route-advertise always 下发缺省路由
六、vlan
[SW1]display vlan 查询vlan
第一步:
创建vlan
[SW1]vlan 2 创建vlan2
[SW1]vlan batch 4 to 10 批量创建vlan 4- 10
第二步:
一:基于端口的vlan划分 将vid配置映射给交换机的接口,从而实现vlan的划分------物理/一层vlan
[SW1]display mac-address 查看MAC地址表
[SW1-GigabitEthernet0/0/1] 进入需要划分的接口
[SW1-GigabitEthernet0/0/1]port link-type access 定义该接口下链路类型为access链路
[SW1-GigabitEthernet0/0/1]port default vlan 2 定义该链路管理vlan 2
[SW1-GigabitEthernet0/0/5]port link-type trunk 定义该接口下链路类型为 trunk链路
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3 定义该链路可通过 vlan2 到 3
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan all 定义该检录放通所有vlan
第三步:
实现vlan间路由
虚拟子接口----虚拟接口--将路由器接口逻辑上划分为多个子接口
[R1-GigabitEthernet0/0/0.1] 进入虚拟子接口
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 2 让接口执行802.1q标准 并管理vid2
[R1-GigabitEthernet0/0/0.1]arp broadcast enable 开启子接口的arp功能
七、ACL-访问控制列表
1.配置标准acl
[R2]acl 2000 创建标准acl 2000
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 规定 拒绝 源 192.168.1.2
[R2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255 规定允许源192.168.2.0 这个网段通过
[R2-acl-basic-2000]rule deny source any 规定 拒绝所有
[R2-acl-basic-2000]display acl 2000 查看acl2000
[R2-acl-basic-2000]rule 7 deny source 192.168.2.1 0.0.0.0 规定该规则步调为7 拒绝 源192.168.2.1
[R2]interface g 0/0/0 进入需要调用规则的接口
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 在相应接口的出方向上调用acl2000
八、telnet远程登录
[R1]aaa 开启aaa服务
[R1-aaa]local-user MXY privilege level 15 password cipher 123456 创建一个名为MXY的用户 其 等级为15 级 密码为123456
[R1-aaa]local-user MXY service-type telnet 定义MXY为远程登录所使用
[R1]user-interface vty 0 4 创建0-4 一共5个虚拟通道
[R1-ui-vty0-4]authentication-mode aaa 定义该通道服务于aaa
[R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23 规定 拒绝 源IP为192.168.1.10 目标 IP为192.168.1.1 的TCP 端口23号 行为
[R1-acl-adv-3001]rule deny icmp source 192.168.2.2 0.0.0.0 destination 192.168.2.1 0.0.0.0 规定 拒绝 源192.168.2.2 向192.168.2.1 的 icmp 行为
九、NAT
1.静态NAT
通过配置在我们私网边界路由器上建立维护一张 静态地址映射表,
当内网的数据包来到边界路由器上,会先检查其目的地是不是公网IP,如果是,就会根据静态地址映射表上的映射关系查找该源IP所对应的公网IP。如果有记录,则将发往公网的数据包的源IP改为对应的公网IP
[R2]interface g 0/0/1 进入边界路由器的出接口
[R2-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside 192.168.1.2 将公网IP 12.1.1.3映射为私网IP 192.168.1.2
[R2]display nat static 查询静态映射表
2.动态NAT
动态NAT和静态NAT最大的区别在于地址映射表的内容是可以变化的,动态NAT不再是一一对应的关系而是实现多对多的转换。