思科笔记

CCNA

计算机网络   谢希仁   第五版

====================================================

计算机网络:两台或两台以上的自治计算机系统通过传输介质连接达到一个资源共享的目的

ISO在1983年推出了OSI七层模型

应用层:提供人机交互的界面和接口  数据

表示层:提供一个格式转换的功能     数据

会话层:主机和主机建立会话     数据

传输层:传输控制的作用                   数据段                  

网络层:IP地址的寻址                       数据包

数据链路层:数据进行效验 差错控制 进行MAC的寻址            帧

物理层:透明的传输比特流 规定了传输介质的物理特性  电气和针脚特性 

透明:数据怎么进去 就怎么出来

1G=1024MB

1MB=1024KB

1KB=1024byte 字节

1byte=8bit 比特     位

1bit代表一个0或者一个1 

101010101010101010111000

TCP/IP 协议族  

应用层: 

TFTP  简单文件传输协议

FTP    文件传输协议

P0P3  邮局协议第三版

SMTP 简单邮件传输协议

Telnet 远程登录协议 

SNMP 简单网络管理协议

DNS    域名解析系统

传输层     端口号

TCP 传输控制协议

面向连接的  是可靠的 

头部20B   三次握手机制保证可靠连接

UDP 用户数据报协议 

头部8B  延时小开销小 

面向无连接的  是不可靠

网络协议 

语义:各个部分怎么规定

语法:对方接收到以后怎么办

时序:各个部分实现的顺序

0-65535

0-1023  常用公认端口

网络层

TCP/IP体系 网络层只有一种协议IP

IP网际协议  

逻辑地址:可以更改的  姓名     IP地址

ICMP协议 因特网消息控制协议 

ARP协议  地址解析协议

RARP协议  反向地址解析协议

物理地址:不能更改的  身份证号   MAC地址

======================================================

IP数据包的格式

Pv4 32位

版本:V4

首部长度:报头的长度  不加选项 缺省是20字节

服务类型:8个比特  前三个比特代表优先级  0-7  0优先级最低，7优先级最高

              4 代表低延时 5 高吞吐 6 可靠性 7 度量小的路由 8 未使用  

总长度:IP包总长度

标识符:标识符相同的话 代表是一个数据分组

标志: 3bit   1 MF=1 代表后面还有分片 MF=0 代表后面没有分片

                  2 DF=1  不能分片  DF=0 可以分片    3未使用

片偏移:代表这个分片在原分组中的位置

TTL:生存时间 最大255  

协议:ICMP/1  IGMP/2  TCP/6  EGP/8  IGP/9 UDP/17 ipv6/41  

RFC 1700查询

IETF 因特网工程任务小组 发表指定RFC文档 

192.168.1.1 点分十进制  32位

ICMP  因特网消息控制协议 

ping

request 请求

reply  应答

ARP  地址解析协议 

计算机发送ARP广播 用对方的IP地址来请求对方的MAC地址 从而通讯

IP编址

IPv4的地址是32位 或者32bit

IP地址是用来在网络层寻址的

子网掩码是用来区分IP地址的网络位和主机位

192            .168           .1                .100

1100 0000.1010 1000.0000 0001.0 110 0100

1111 1111.1111 1111.1111 1100.0 000 0000

1100 0000.1010 1000.0000 0001.1 100 0000

192.168.10.0     /26    广播: 192.168.1.63

192.168.10.64   /25    广播 192.168.1.191

192.168.10.192 /26    广播 192.168.1.255

192.168.1.0  /25                    广播:192.168.1.127

192.168.1.128 /25                 广播:192.168.1.255

192.168.1.128 /26    62台     广播:192.168.1.191

192.168.1.192 /26    62台     广播:192.168.1.255

192.168.1.0/25     网段

192.168.1.0      网络网段 

192.168.1.255  网络的所有主机

1000 0000=128 =2^7

0100 0000=64   =2^6

0010 0000=32   =2^5

0001 0000=16   =2^4

0000 1000=8     =2^3

0000 0100=4     =2^2

0000 0010=2     =2^1

0000 0001=1     =2^0

0110 0100=100

IP地址分类

A类

    0000 0001   

    0111 1111  

    1-126    容纳16777216主机

127.0.0.0  都被用来做环路测试用

B类

    1000 0000 

    1011 1111

128-191

C类

    1100 0000

    1101 1111

192-223

D类 全部都是组播地址

    1110 0000

    1110 1111

224-239

E类  科研保留

私有地址

A   10.0.0.0      - 10.255.255.255

B   172.16.0.0  - 172.31.255.255

C   192.168.0.0- 192.168.255.255

子网掩码 /8   A类

子网掩码 /16 B类

子网掩码 /24 C类

1111 1111.1000 0000.0000 0000.0000 0000

172.16.10.0 /24

有一个公司 有2个部门  第一个部门 100个人 第二部门 100个人  

172.16.10.0 /25 

172.16.10.0000 0000   

1000 0000 =128-2=126

172.16.10.0 /25   网段     主机   172.16.10.1-126      广播地址172.16.10.127

255.255.255.128

172.16.10.128 /25  网段         主机   172.16.10.129-254   广播地址172.16.10.255

255.255.255.128

网络位有m个比特  主机位有n个比特

m+n=8

2^m>=2

2^n-2>=100

m=1 n=7

网络位24+1=25位  主机数=2^7-2=126

192.168.10.0 /24

有一个公司 有3个部门  第一个部门 50个人 第二部门 50个人  第三个部门100个人

192.168.10.0     /26   广播:192.168.10.63 

192.168.10.64   /26   广播:192.168.10.127

192.168.10.128 /25   广播:192.168.10.255

VLSM 变长子网掩码   子网掩码往后推

CIDR  无类域间路由 超网    子网掩码往前推

192.168.0.0 /24

192.168.1.0 /24

192.168.2.0 /24

192.168.3.0 /24

192.168.0.0 /22

=====================================================

路由器基本配置

四种模式

用户模式 Router>

特权模式 Router#

全局配置模式 Router(config)#

接口配置模式 Router(config-if)#

基本命令

Router>enable  进入特权模式

Router#configure terminal   进入全局配置模式

Router(config)#no ip domain-lookup  关闭域名查找

Router(config)#enable password cisco 设置一个特权密码cisco

Router(config)#enable secret cisco.com 设置一个密文密码cisco.com

Router(config)#line console 0 进入console口

Router(config-line)#password cisco 设置console登录密码为cisco

Router(config-line)#login 启用登录密码

Router(config-line)#logging synchronous 开启日志同步 防止打乱我们的输入

Router(config-line)#exec-timeout 0 0 永不超时

路由器同时支持5个人telnet  交换机同时支持16个人telnet

Router(config)#line vty 0 4 进入远程登录的线路

Router(config-line)#password cisco 设置telnet登录密码为cisco

Router(config-line)#login 启用登录密码

Router(config-line)#logging synchronous 开启日志同步 防止打乱我们的密码

Router(config-line)#no exec-timeout 永不超时

Router(config)#service password-encryption  给所有的密码加密

Router(config)#hostname RX

Router#write  保存配置

Router#copy running-config startup-config 保存配置

Router#erase startup-config  清除配置

R1(config)#interface f0/0  进入接口

R1(config-if)#ip address 192.168.1.1 255.255.255.0  设置IP

R1(config-if)#full-duplex   设置全双工

R1(config-if)#no shutdown   开启接口

R1(config)#int s1/1   进入S1/1

R1(config-if)#ip add 192.168.1.1 255.255.255.0  设置IP地址

R1(config-if)#cl ra 64000     设置时钟频率 

R1(config-if)#no shutdown   开启接口

  X/X   第一个数字代表模块号  第二个数字代表接口号

查看命令

show   查看的是静态的信息

debug 查看的是动态的信息

单工        单一方向单向通讯

半双工     同一时间单向通讯

全双工     同一时间双向通讯

IOS  网络操作系统

采用C语言编写 基于UNIX的操作系统

=====================================================

CDP协议 思科私有的协议

思科发现协议

发现思科设备的邻居的  默认是开启的

发现 设备名称 本地连接的接口 对方的设备型号 对方和我相连的接口

R1#show cdp neighbors  查看的CDP的邻居

R1(config)#no cdp run 全局关闭CDP协议

R1(config-if)#no cdp enable  接口下关闭CDP协议

R1#sh cdp   查看CDP的基本信息

缺省每隔60s发送一次hello 

holdtime 保持时间 180s

R2#ping 192.168.1.1 repeat 100 source s1/1 高级ping 重复100次 指定数据包的源

R2#show ip interface brief  查看所有接口的汇总的状态

路由器的组件

RAM 随机存储器                      存储的是当前运行的配置running-config

NVRAM  非易失性存储器         存储的是保存的配置       startup-config

FLASH   闪存                            存储的是IOS

ROM  只读存储器                     存储了一些出厂的配置 有mini IOS

加电自检 (POST)->加载并运行启动引导程序 ->寻找IOS映象文件->加载IOS映象文件

寻找配置文件->加载配置文件->正常运行

配置寄存器的值

0x2102   正常的启动顺序

0x2142   跳过配置文件 直接进入路由器

Router(config)#config-register 0x2102   全局修改配置寄存器的值

>o/r 0x2142          在mini模式下面修改配置寄存器的值

破解路由器密码  

1 重启 

2 进系统之前 按CTRL+BREAK 进入mini模式

3 >o/r 0x2142         修改寄存器的值跳过配置文件

rommon 1>confreg 0x2142

4 >i  重启

5 Router#copy  startup-config  running-config 把保存的配置复制到当前的配置下面

6 重设密码 

7 Router(config)#config-register 0x2102   把寄存器的值改回正常模式

8 Router#write   Router#copy running-config startup-config    保存配置

路由器升级IOS

1 重启 

2 进系统之前 按CTRL+BREAK 进入监控模式

3 >o/r 0x2101         修改寄存器的值 进入miniIOS(RxBoot)模式 

4 >i  重启  

5 RxBoot>给以太口设置一个IP 和PC机同一网段

5 Router#copy tftp flash

=====================================================

交换机的基本操作

以太网有两种标准

1 802.3    同步(8)+目的MAC(6)+源MAC(6)+长度(2)+数据(<=1500)+FCS(4)

   802.2    LLC 逻辑链路控制子层  和上层提供一个接口 

IEEE 美国电子电气工程师协会

2 Ethernet 2

同步(8)+目的MAC(6)+源MAC(6)+类型(2)+数据(<=1500)+FCS(4)

同步属于物理层 

MAC 物理地址  48位

00-16-D3-93-71-1F

前24位是机构标识符 

类型 0x0800 代表IP协议

数据 MTU 最大传输单元 1500byte  

FCS 帧校验序列  CRC循环冗余校验产生效验码加到数据帧的后面就是FCS 

  海明码:用来纠错 

  奇偶校验:1110 1100

物理层的设备

    中继器:中继器是放大电子信号的低级设备

    集线器:只能放大信号,但是会产生冲突  凡是收到一个数据帧 就向其他所有的端口广播

数据链路层的设备

    网桥:基于MAC地址转发数据包         基于软件的转发数据包

    交换机:基于MAC地址转发数据包      基于硬件转发数据包

CSMA/CD 载波监听多路访问/冲突检测 

10BASE-5  粗同轴电缆，最大传输距离为500m

10BASE-2  细同轴电缆，最大传输距离为185m

10BASE-T  非屏蔽双绞线，最大传输距离为100m

10BASE-F  光纤，最大传输距离为2000m

双绞线

线序有两种568A  568B

双绞线的种类有3种

直通线:两端都是568B          用来连接不同的设备

交叉线:一端是568A 一端是568B     用来连接相同的设备

反转线:两端都是568A          用来配置路由器和交换机的

568B:橙白 橙 绿白 蓝 蓝白 绿 棕白 棕

568A:绿白 绿 橙白 蓝 蓝白 橙 棕白 棕    1和3  2和6互换

冲突域:集线器 

广播域:网桥 交换机

交换机的工作原理

 最初开机时MAC地址表是空的

 收到PC发送的数据帧以后 学习数据帧的源MAC 填充MAC地址表

 如果MAC地址表里面没有目的MAC 就广播 泛洪到所有的接口

 如果交换机断电重启 MAC地址表会被清空

转发数据帧有三种方式

直通转发  收到数据帧的目的MAC就立即转发 小于64byte也有可能被转发了  速度快

存储转发  完整地收到帧并检查无错后才转发  转发合格无差错的帧   速度慢

片段转发  收到数据帧的前64byte 就转发出去  折中的方案 

数据帧有一个大小范围 64byte-1518byte   小于64byte会被当成碎片丢弃

单播:一对一的通讯

广播:一对所有的通讯

组播:一对多的通讯

交换机的接口缺省是 自适应

full----auto====half 

half---auto====half

auto--auto====half

两个接口的双工一定要一样 否则会报错

 

=====================================================

VLAN和TRUNK

vlan 虚拟局域网  用来隔离广播域的 

一个VLAN =一个广播域 = 逻辑网段 (子网) 

vlan的配置模式

静态vlan  基于交换机的接口

动态vlan  基于主机的IP地址或者MAC地址   VMPS策略服务器 

交换机默认都有1个vlan1 缺省所有的接口都属于vlan1   本地vlan

vlan中继协议

不同交换机上面的相同vlan可以进行通讯

中继协议有两种封装的标准

ISL :思科私有 已经被淘汰

802.1Q:国际标准  dot1q     公共帧标记协议

一个交换机的任何端口都必须属于且只能属于一个VLAN，但当端口配置成trunk后，该端口就失去了它自身的VLAN标识，可以为该交换机内的所有VLAN传输数据

中继是给所有出交换机的数据帧打上一个vlan的标识 在数据帧到达对方交换机的时候用来识别这是属于哪一个vlan的

vlan的配置

sw#vlan database   进入vlan数据库

sw(vlan)#vlan 10 name yy  新建一个vlan 10 名字叫YY

注意:要用exit退出 才会保存

sw#show vlan-switch   查看vlan      或者sw#show vlan 

将PC划入vlan

sw(config-if)#switchport mode access  将接口设置为接入接口

sw(config-if)#switchport access vlan 10 将接口加入到vlan 10

单臂路由

R1(config)#int f0/0  进入接口

R1(config-if)#full-duplex   设置为全双工

R1(config-if)#no shutdown  开启接口

R1(config)#int f0/0.10 进入子接口

R1(config-subif)#encapsulation dot1Q 10   封装为802.1q  并且作为vlan10的网关

R1(config-subif)#ip address 192.168.1.254 255.255.255.0  设置IP地址

sw(config-if)#switchport mode trunk  设置为中继接口

=====================================================

STP

生成树协议

在冗余的交换网络里面选出一个阻塞接口,防止产生广播风暴,使网络瘫痪.

 互发BPDU用来了解交换的网络的参数

 BPDU 桥协议数据单元 

 1在交换网络里面选出一个根桥交换机

  桥ID=优先级+MAC(最小)  思科 优先级缺省是32768

 2选根端口

  每一个非根交换机都要选一个根端口 

   1 这个交换机的所有接口到达根交换机最近的那个端口  也就是开销最小的那个端口

           100MB 开销是19  10MB开销是100

   2 桥ID  桥ID小的成为根端口

 3选指定端口

   每一条链路上面选出一个到达根最近的端口

   1 比开销   到根开销最小的那个端口

   2 比桥ID  桥ID小的成为指定端口

   3 接口编号 比小的

   4 接口的优先级 比小的 缺省时128

   5 谁先发送的

 4 非指定端口成为阻塞端口

STP在思科的交换机上面默认是开启的 

参加STP的交换机的端口状态有5种

1 阻塞  20S  监听流入的BPDU 

2 监听  15S  发送BPDU 参加选举 

3 学习  15S  学习MAC地址 不转发任何数据帧

4 转发    转发数据帧

5 禁止

当交换机开机的时候 连接到交换机的PC要被阻塞20+15+15=50S

VTP vlan中继协议 

   用来同步vlan数据库的    交换机与交换机之间的接口要配置trunk

思科的交换机默认是服务器模式

VTP 1  支持服务器模式 客户模式

VTP 2  增加了透明模式

服务器模式  可以添加 修改 和删除vlan

客户模式   转发通告 不能修改 添加和删除vlan

透明模式    可以添加 修改 和删除vlan  转发通告

修订版本号 在服务器交换机 每添加 修改 和删除一个vlan  修订版本号 + 1

VTP的裁剪 通过阻止不必要数据的泛洪传送来增加可用的带宽

VTP的裁剪的缺点 必须要所有的交换机工作在服务器模式下面

VTP的配置

sw1(config-if)#switchport mode trunk

sw1#vlan database  进入vlan数据库

sw1(vlan)#vtp domain cisco.com   设置VTP的域

sw1(vlan)#vtp password cisco  设置VTP的密码

sw1(vlan)#vtp server  设置成为服务器模式

sw1(vlan)#vtp pruning  开启vtp的裁剪

STP的配置

sw1#sh spanning-tree vlan 1 查看vlan 1的STP

sw1#sh spanning-tree vlan 1 brief  查看vlan 1的汇总信息

sw2(config)#spanning-tree vlan 1 priority 4096 修改桥ID的优先级

sw2(config)#spanning-tree vlan 1 root primary  设置成为主要根

sw1(config-if)#spanning-tree vlan 1 cost 19 修改接口的开销 

=====================================================

路由原理

路由协议:用于路由器选择路径和管理路由表

 1路由器的所有接口必须属于不同的网段 

 2同一条链路上的路由器的接口必须属于同一个网段 

 3凡事和路由器直连的网段 路由器会自动的加入到路由表

路由协议:静态路由 动态路由RIP OSPF IGRP EIGRP BGP ISIS

到达目的网段有多个路径

如果是同一个路由协议 选度量值小的

如果有多个路由协议?

路由器会选择一个管理距离小的路由协议

直连:0 静态路由:1 RIP:120 IGRP:100 OSPF:110 EIGRP:90 170

静态路由:由管理员手工配置 可靠性高 但是不方便  不占用资源

动态路由:由路由协议动态的学习路由 比较占用资源

静态路由的配置

R1(config)#ip route 192.168.2.0 255.255.255.0 f0/0（写出接口自己身上的接口）

R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.2（写下一跳IP地址别人的IP地址）

全局#ip route 目的网段 目的网段的子网掩码  下一跳路由的接口的IP

[X/X] 前面一个代表管理距离  后面一个代表开销

缺省路由

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2

动态路由协议

RIP 路由信息协议 OSPF 开放最短路径优先  IGRP 内部网关路由协议

EIGRP 增强内部网关路由协议  BGP 外部网关路由协议  ISIS  中间系统到中间系统

距离矢量路由协议  RIP IGRP EIGRP(高级距离矢量路由协议)

链路状态路由协议  OSPF ISIS 

IGP(内部网关路由协议) RIP IGRP EIGRP OSPF ISIS 

EGP(外部网关路由协议) BGP

距离矢量路由协议

    基于传闻学习路由协议  基于跳数判断路由的好坏  跳数=开销

收敛:当路由条目稳定下来以后 这个网络就收敛了

路由环路 跳数无限增大

水平分割:从一个接口收到的路由 不会再从这个接口发送回去

跳数无限增大:定义一个最大跳数 RIP定义了15跳的最大跳数

路由中毒:路由器将出现故障的网段的路由标记为跳数无限大 并且全网发送

触发更新:路由表发生变化的时候 路由器立即发送更新

RIP 路由信息协议 routing information protocol

hello          30s   RIP每隔30秒传递一次路由表

失效计时器     180s  

删除计时器     60-240s

最多支持6条路径的负载均衡 缺省支持4条路径的负载均衡

UDP: 520端口发送数据

请求: 请求邻居发送路由

更新: 路由条目

RIP v1  有类路由协议  不支持VLSM CIDR    不支持验证    广播发送更新

RIP v2  无类路由协议  支持VLSM 不支持CIDR   支持验证  组播发送更新

RIP的配置

R1(config)#router rip   启用RIP

R1(config-router)#version 2   设置为版本2

R1(config-router)#no auto-summary   关闭自动汇总

R1(config-router)#network 202.103.12.0 在哪一个接口上启用RIP

EIGRP（思科私有 cisco私有协议）

增强型内部网关路由协议

收敛之王  思科私有的 高级距离矢量路由协议  混合型路由协议

距离矢量路由协议   路由器和路由器之间传递的是具体路由   

链路状态路由协议   路由器和路由器之间传递的是链路状态信息

EIGRP的特点

1 快速收敛  2  支持多种上层协议 IP IPX  3 支持非等价负载均衡  其他的路由协议只支持等价

4 支持VLSM CIDR  5 多播和单播代替了IGRP的广播 6 任意节点进行路由汇总 7 100%无环

链路状态路由协议都有三张表

邻居表  存放的是邻居的信息  下一跳路由器 直连的接口

拓扑表  存放的是全网的拓扑  

路由表  路由条目    目的网段   下一跳的出口

虽然EIGRP是 高级距离矢量路由协议   但是它有三张表

EIGRP的metric值的计算  (带宽+延时  负载 可信度 MTU)

 (10^7/带宽+延时/10)*256=metric

    延时是链路上所有延时之和

FD   可行距离   当前路由器到目的网段的开销

AD  通告距离   下一跳路由器到目的网段的开销

S     后继           备份路由的下一跳路由器

FS   可行后继     要求当前的FD大于后继的AD

AS 自治系统   运行一组相同路由协议 具有相同的计算metric参考标准 

IGP都是做AS内部的路由

EGP都是做AS之间的路由 

EIGRP的配置

R1(config)#router eigrp 10   在同一个内网自治系统号必须一样

R1(config-router)#no auto-summary  关闭自动汇总                       

R1(config-router)#network 202.103.12.0 0.0.0.255   多了一个反掩码 

=====================================================

OSPF

open shortest path first  开放最短路径优先

现今网络中用得最广泛的路由协议   公有协议

1 收敛速度快  2 100%无环 3 支持VLSM 和CIDR 4 用组播发送更新

eigrp>ospf>rip

OSPF是一个标准的链路状态路由协议

链路状态路由协议: 路由器和路由器传递的是链路状态信息 LSA

OSPF的LSA  链路状态信息通告  (LSA洪泛到同一区域中运行 OSPF 的所有路由器)

LSA是发送网络中一台DR(指定路由器)

 DR:  选举 是基于链路的 基于网段的 

 1 首先看接口优先级 缺省优先级是1  0代表不参加选举

 2 route-id 也是route-id大的称为DR

 3 lo  环回口IP地址最大的称为DR

 4 物理接口的IP地址最大的称为DR

运行 OSPF 的每台路由器都生成 LSA , 所有的 LSA汇集(DR)起来，形成链路状态数据库 LSDB(全网拓扑)

224.0.0.5   LSA发送给DR

224.0.0.6   DR发送LSDB给所有的路由器

邻居表: 存放直连的并且运行了OSPF的邻居的信息

拓扑表: 全网的拓扑 (AS)

路由表: 根据SPF算法 算出来的最短路径会被加入到路由表

Hello  

   用来维持邻居关系  选举DR BDR(DR的备份) 

   缺省 10s  holdtime 保持时间 40s

DD

LSDB的描述信息 相当于一个目录

LSR

链路状态请求  请求路由器自己没有的LSA

LSU

链路状态更新  对方没有的LSA 

LSack  

确认收到了LSU

OSPF的区域

将LSA的泛洪限制在区域内部 从而减少对带宽的占用 

有两种区域

area 0 骨干区域 

非0   普通区域

普通区域必须和骨干区域直连

OSPF的开销

用带宽作为度量值

开销=100/(接口带宽.MB)

接口  ip ospf cost interface-cost 

路由  auto-cost reference-bandwidth 1-4294967 

路由 虚链路

area area-id virtual-link router-id

穿越的区域和对方的路由器ID

路由汇总 

路由 area 0 range  192.168.0.0 255.255.252.0

192.168.0.0/24

192.168.1.0/24

192.168.2.0/24

192.168.3.0/24

192.168.0.0/22

0000 0000

0000 0001

0000 0010

0000 0011

从地址的配置

R1(config-if)#ip add 192.168.10.1 255.255.255.0 secondary 

OSPF的基本配置

R1(config)#router ospf 1     1代表进程号 只具有本地意义

R1(config-router)#network 202.103.123.0 0.0.0.255 area 0  区域号

R1(config-router)#network 192.168.8.0 0.0.0.255 a 1

R1(config-router)#network 192.168.9.0 0.0.0.255 a 1

R1(config-router)#network 192.168.10.0 0.0.0.255 a 1

R1(config-router)#network 192.168.11.0 0.0.0.255 a 1

R2(config-router)#area 26 virtual-link 192.168.0.1  

                            穿越的区域26           对方的route-id show ip protocol(对方)

汇总

R6(config-router)#area 6 range 192.168.0.0 255.255.252.0

                     要汇总的路由的所处的区域   IP网段 和子网掩码

=====================================================

访问控制列表

ACL  access control  list

ACL核心作用:流量的定义

ACL的分类

1 标准的访问控制列表

2 扩展的访问控制列表

3 命名的访问控制列表

访问控制列表只有两个动作 一个是允许 permit 一个是拒绝 deny 

访问控制列表不能过滤路由器自己产生的流量

在一个接口上面只用应用一个访问控制列表

访问控制列表最后有一条隐性拒绝的条目 deny any 拒绝所有

访问控制列表至少要有一条permit的语句 

建议:从上往下写的时候 最精确的条目写在最上面 

标准的访问控制列表的配置   1-99  1300-1999

router(config)#access-list 1 permit 192.168.0.0 0.0.255.255

router(config-if)#ip access-group 1 in/out

permit 192.168.1.1  默认是/32位 仅限于标准的

permit  host 192.168.1.1 是一个主机   所有的都可以用

反掩码: 0代表精确匹配  1 代表忽略

全部主机:any 

扩展的访问控制列表  100-199  2000-2699

检测数据包的协议+源地址+目的地址+端口号

router(config)#access-list 100 permit/deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 eq 20 

R1#sh ip access-lists  查看访问控制列表

命名的访问控制列表

R1(config)#ip access-list extended noping

R1(config-ext-nacl)#deny icmp host 202.103.12.2 host 202.103.12.1 echo

R1(config-ext-nacl)#permit ip any any 

限制vty的访问

access-list 12 permit 192.89.55.0 0.0.0.255

line vty 0 4

 access-class 12 in

基于时间的访问控制列表

8-12  1-5点  工作时间 只能开网页

其他的时间什么都可以干 ?

基于时间的访问控制列表

1 定义一个周期时间

R2(config)#time-range work    定义一个周期时间 名字叫work

R2(config-time-range)#? absolute(绝对时间)/ periodic(周期时间)

R2(config-time-range)#periodic weekdays 8:00 to 17:00

2写访问控制列表

R2(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 any eq www time-range work  写一个访问控制列表应用这个周期时间

3接口上面应用

R2(config-if)#ip access-group work in

2反射访问控制列表

内部主动发起的流量可以访问外部 外部主动发的流量全部拒绝

每当内部产生一条通向外部的流量 路由器自动生成一条回来的访问控制条目

当超时时间一过 路由器删除自动生成的访问控制条目

1 定义一个超时时间

 R2(config)#ip reflexive-list timeout 10 

2 定义一个内部到外部的 反射访问控制列表

R2(config-ext-nacl)#permit ip any any reflect mm

3 定义一个外部到内部的 反射访问控制列表 启用联动

R2(config-ext-nacl)#evaluate mm

4 接口下启用访问控制列表

interface Serial1/1

 ip address 202.103.23.2 255.255.255.0

 ip access-group outside in

 ip access-group inside out

interface FastEthernet0/0

 ip address 192.168.12.2 255.255.255.0

 ip access-group inside in

=====================================================

远程接入

以太口  局域网的口

串口 远程接入的口

1 专线  2 XDSL 非对称数字线路  3 帧中继 ATM 

 串口 EIA/TIA-232      USB转串口线

广域网的数据链路层的封装

HDLC(高级数据链路控制) 思科的串口缺省封装就是HDLC (和其他厂商的HDLC不兼容) 淘汰

PPP(点到点)   用得最多的  优点:支持加密和验证  国际标准

PPoE(PPP over Ethernet)

X.25分组交换网       最古老的协议 

Frame Relay 帧中继分组交换网   用得比较少 是X.25的升级版 

ATM 异步传输模式  

PPP

PPP支持验证 

有两种方式的验证

PAP    密码验证协议

CHAP 挑战握手验证协议

PPP和HDLC相比的话 多了一个字段[协议] 支持多种协议

HDLC是面向比特的传输协议 PPP是一个面向的字节的传输协议

HDLC不支持验证的  PPP是支持验证  (PPP是HDLC的儿子)

有两个子层

LCP  链路控制协议  检测链路我们链路的运行情况

NCP 网络控制协议  

PAP是两次握手验证协议，口令以明文传送，被验证方首先发起验证请求

  

PAP的配置方法

r2(config)#username r1 password cisco  在数据库里面加入记录

r2(config-if)#encapsulation ppp         

r2(config-if)#ppp authentication pap 

r1(config-if)#encapsulation ppp

r1(config-if)#ppp pap sent-username r1 password cisco  

自己的hostname自己的密码  hostname不区分大小写 密码区分大小写

CHAP的配置

r2(config)#username r3 password cisco  都是对方路由器

r2(config-if)#encapsulation ppp

r2(config-if)#ppp authentication chap 

r3(config)#username r2 password cisco  都是对方路由器

r3(config-if)#encapsulation ppp

r3(config-if)#ppp authentication chap

=====================================================

帧中继

包交换的网络

电路交换 报文交换  分组交换

网络层:行进协议转换的(早期) 屏蔽数据链路的差异的

网关:协议转换 屏蔽了应用层以下的差异的

PVC:永久虚电路

DLCI:数据链路连接标识符

DCE:数据通信设备   一般是ISP的设备 提供时钟和同步

DTE:数据电路端接设备   一般是客户的设备 

LMI:本地管理接口

串口链路的两端 一端是DCE  一端是DTE

时钟频率在DCE上面配 

DLCI 在帧中继的数据链路里面寻址的  类似于以太网的MAC 只具有本地意义 

CIR:承诺信息速率

map IP:DLCI 映射

有两种方式

一种是inverse ARP 反转ARP

一种是手工静态指定

帧中继的配置

R1(config-if)#encapsulation frame-relay  

R1(config-if)#no frame-relay inverse-arp  

R1(config-if)#frame-relay map ip 202.103.123.2 102 broadcast 

                         手动指定帧中继的map 是对方的IP 自己到对方的DLCI号  支持广播

帧中继子接口的配置

R1(config)#interface S1/0

R1(config-if)#encapsulation frame-relay

R1(config-if)#no  shutdown

R1(config)#int s1/0.2 point-to-point

R1(config-if)#frame-relay interface-dlci 102

R1(config)#int s1/0.3 multipoint

R1(config-if)#no frame-relay inverse-arp  

R1(config-if)#frame-relay map ip 202.103.123.3 103 broadcast 

NAT

网络地址转换

将一个内网的IP地址在经过路由器的时候把它转换成公网的IP地址 

是这个数据包的源 

静态转换:内网有服务器的情况下 

动态转换:新建一个地址池(全局) 

如果一个内网的地址需要占用一个公网的地址 这个NAT就没有意义了

PAT

端口地址转换

用端口来区分不同的内网的IP地址的不同流量

65535个端口  最多支持4000个的地址转换  

192.168.1.1:1800   202.103.1.1:1800    202.103.2.1:2000  192.168.2.1:2000

外部本地地址  Outside local    外部转换后呈现给内部的地址 192.168.1.1

外部全局地址  Outside global 外部本来的地址                      202.103.1.1

内部本地地址  Inside local       内部本来的地址                      192.168.1.1

内部全局地址  Inside global    内部转换后呈现给外部的地址  202.103.1.1

做了NAT/PAT以后 内网可以主动访问外网 外网不能主动访问内网

NAT的配置

第一步 定义要转换的流量 写ACL

R2(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 any 

第二步 全局配置NAT

R2(config)#ip nat inside source list nat interface s1/1 overload 

             所有的ACL定义的地址全部被转换成S1/1的地址 加overload 就是PAT

第三部 应用到接口

R2(config)#int s1/1

R2(config-if)#ip nat outside  指明NAT流量的方向

R2(config)#int f0/0

R2(config-if)#ip nat inside