CCNA
计算机网络 谢希仁 第五版
====================================================
计算机网络:两台或两台以上的自治计算机系统通过传输介质连接达到一个资源共享的目的
ISO在1983年推出了OSI七层模型
应用层:提供人机交互的界面和接口 数据
表示层:提供一个格式转换的功能 数据
会话层:主机和主机建立会话 数据
传输层:传输控制的作用 数据段
网络层:IP地址的寻址 数据包
数据链路层:数据进行效验 差错控制 进行MAC的寻址 帧
物理层:透明的传输比特流 规定了传输介质的物理特性 电气和针脚特性
透明:数据怎么进去 就怎么出来
1G=1024MB
1MB=1024KB
1KB=1024byte 字节
1byte=8bit 比特 位
1bit代表一个0或者一个1
101010101010101010111000
TCP/IP 协议族
应用层:
TFTP 简单文件传输协议
FTP 文件传输协议
P0P3 邮局协议第三版
SMTP 简单邮件传输协议
Telnet 远程登录协议
SNMP 简单网络管理协议
DNS 域名解析系统
传输层 端口号
TCP 传输控制协议
面向连接的 是可靠的
头部20B 三次握手机制保证可靠连接
UDP 用户数据报协议
头部8B 延时小开销小
面向无连接的 是不可靠
网络协议
语义:各个部分怎么规定
语法:对方接收到以后怎么办
时序:各个部分实现的顺序
0-65535
0-1023 常用公认端口
网络层
TCP/IP体系 网络层只有一种协议IP
IP网际协议
逻辑地址:可以更改的 姓名 IP地址
ICMP协议 因特网消息控制协议
ARP协议 地址解析协议
RARP协议 反向地址解析协议
物理地址:不能更改的 身份证号 MAC地址
======================================================
IP数据包的格式
Pv4 32位
版本:V4
首部长度:报头的长度 不加选项 缺省是20字节
服务类型:8个比特 前三个比特代表优先级 0-7 0优先级最低,7优先级最高
4 代表低延时 5 高吞吐 6 可靠性 7 度量小的路由 8 未使用
总长度:IP包总长度
标识符:标识符相同的话 代表是一个数据分组
标志: 3bit 1 MF=1 代表后面还有分片 MF=0 代表后面没有分片
2 DF=1 不能分片 DF=0 可以分片 3未使用
片偏移:代表这个分片在原分组中的位置
TTL:生存时间 最大255
协议:ICMP/1 IGMP/2 TCP/6 EGP/8 IGP/9 UDP/17 ipv6/41
RFC 1700查询
IETF 因特网工程任务小组 发表指定RFC文档
192.168.1.1 点分十进制 32位
ICMP 因特网消息控制协议
ping
request 请求
reply 应答
ARP 地址解析协议
计算机发送ARP广播 用对方的IP地址来请求对方的MAC地址 从而通讯
IP编址
IPv4的地址是32位 或者32bit
IP地址是用来在网络层寻址的
子网掩码是用来区分IP地址的网络位和主机位
192 .168 .1 .100
1100 0000.1010 1000.0000 0001.0 110 0100
1111 1111.1111 1111.1111 1100.0 000 0000
1100 0000.1010 1000.0000 0001.1 100 0000
192.168.10.0 /26 广播: 192.168.1.63
192.168.10.64 /25 广播 192.168.1.191
192.168.10.192 /26 广播 192.168.1.255
192.168.1.0 /25 广播:192.168.1.127
192.168.1.128 /25 广播:192.168.1.255
192.168.1.128 /26 62台 广播:192.168.1.191
192.168.1.192 /26 62台 广播:192.168.1.255
192.168.1.0/25 网段
192.168.1.0 网络网段
192.168.1.255 网络的所有主机
1000 0000=128 =2^7
0100 0000=64 =2^6
0010 0000=32 =2^5
0001 0000=16 =2^4
0000 1000=8 =2^3
0000 0100=4 =2^2
0000 0010=2 =2^1
0000 0001=1 =2^0
0110 0100=100
IP地址分类
A类
0000 0001
0111 1111
1-126 容纳16777216主机
127.0.0.0 都被用来做环路测试用
B类
1000 0000
1011 1111
128-191
C类
1100 0000
1101 1111
192-223
D类 全部都是组播地址
1110 0000
1110 1111
224-239
E类 科研保留
私有地址
A 10.0.0.0 - 10.255.255.255
B 172.16.0.0 - 172.31.255.255
C 192.168.0.0- 192.168.255.255
子网掩码 /8 A类
子网掩码 /16 B类
子网掩码 /24 C类
1111 1111.1000 0000.0000 0000.0000 0000
172.16.10.0 /24
有一个公司 有2个部门 第一个部门 100个人 第二部门 100个人
172.16.10.0 /25
172.16.10.0000 0000
1000 0000 =128-2=126
172.16.10.0 /25 网段 主机 172.16.10.1-126 广播地址172.16.10.127
255.255.255.128
172.16.10.128 /25 网段 主机 172.16.10.129-254 广播地址172.16.10.255
255.255.255.128
网络位有m个比特 主机位有n个比特
m+n=8
2^m>=2
2^n-2>=100
m=1 n=7
网络位24+1=25位 主机数=2^7-2=126
192.168.10.0 /24
有一个公司 有3个部门 第一个部门 50个人 第二部门 50个人 第三个部门100个人
192.168.10.0 /26 广播:192.168.10.63
192.168.10.64 /26 广播:192.168.10.127
192.168.10.128 /25 广播:192.168.10.255
VLSM 变长子网掩码 子网掩码往后推
CIDR 无类域间路由 超网 子网掩码往前推
192.168.0.0 /24
192.168.1.0 /24
192.168.2.0 /24
192.168.3.0 /24
192.168.0.0 /22
=====================================================
路由器基本配置
四种模式
用户模式 Router>
特权模式 Router#
全局配置模式 Router(config)#
接口配置模式 Router(config-if)#
基本命令
Router>enable 进入特权模式
Router#configure terminal 进入全局配置模式
Router(config)#no ip domain-lookup 关闭域名查找
Router(config)#enable password cisco 设置一个特权密码cisco
Router(config)#enable secret cisco.com 设置一个密文密码cisco.com
Router(config)#line console 0 进入console口
Router(config-line)#password cisco 设置console登录密码为cisco
Router(config-line)#login 启用登录密码
Router(config-line)#logging synchronous 开启日志同步 防止打乱我们的输入
Router(config-line)#exec-timeout 0 0 永不超时
路由器同时支持5个人telnet 交换机同时支持16个人telnet
Router(config)#line vty 0 4 进入远程登录的线路
Router(config-line)#password cisco 设置telnet登录密码为cisco
Router(config-line)#login 启用登录密码
Router(config-line)#logging synchronous 开启日志同步 防止打乱我们的密码
Router(config-line)#no exec-timeout 永不超时
Router(config)#service password-encryption 给所有的密码加密
Router(config)#hostname RX
Router#write 保存配置
Router#copy running-config startup-config 保存配置
Router#erase startup-config 清除配置
R1(config)#interface f0/0 进入接口
R1(config-if)#ip address 192.168.1.1 255.255.255.0 设置IP
R1(config-if)#full-duplex 设置全双工
R1(config-if)#no shutdown 开启接口
R1(config)#int s1/1 进入S1/1
R1(config-if)#ip add 192.168.1.1 255.255.255.0 设置IP地址
R1(config-if)#cl ra 64000 设置时钟频率
R1(config-if)#no shutdown 开启接口
X/X 第一个数字代表模块号 第二个数字代表接口号
查看命令
show 查看的是静态的信息
debug 查看的是动态的信息
单工 单一方向单向通讯
半双工 同一时间单向通讯
全双工 同一时间双向通讯
IOS 网络操作系统
采用C语言编写 基于UNIX的操作系统
=====================================================
CDP协议 思科私有的协议
思科发现协议
发现思科设备的邻居的 默认是开启的
发现 设备名称 本地连接的接口 对方的设备型号 对方和我相连的接口
R1#show cdp neighbors 查看的CDP的邻居
R1(config)#no cdp run 全局关闭CDP协议
R1(config-if)#no cdp enable 接口下关闭CDP协议
R1#sh cdp 查看CDP的基本信息
缺省每隔60s发送一次hello
holdtime 保持时间 180s
R2#ping 192.168.1.1 repeat 100 source s1/1 高级ping 重复100次 指定数据包的源
R2#show ip interface brief 查看所有接口的汇总的状态
路由器的组件
RAM 随机存储器 存储的是当前运行的配置running-config
NVRAM 非易失性存储器 存储的是保存的配置 startup-config
FLASH 闪存 存储的是IOS
ROM 只读存储器 存储了一些出厂的配置 有mini IOS
加电自检 (POST)->加载并运行启动引导程序 ->寻找IOS映象文件->加载IOS映象文件
寻找配置文件->加载配置文件->正常运行
配置寄存器的值
0x2102 正常的启动顺序
0x2142 跳过配置文件 直接进入路由器
Router(config)#config-register 0x2102 全局修改配置寄存器的值
>o/r 0x2142 在mini模式下面修改配置寄存器的值
破解路由器密码
1 重启
2 进系统之前 按CTRL+BREAK 进入mini模式
3 >o/r 0x2142 修改寄存器的值跳过配置文件
rommon 1>confreg 0x2142
4 >i 重启
5 Router#copy startup-config running-config 把保存的配置复制到当前的配置下面
6 重设密码
7 Router(config)#config-register 0x2102 把寄存器的值改回正常模式
8 Router#write Router#copy running-config startup-config 保存配置
路由器升级IOS
1 重启
2 进系统之前 按CTRL+BREAK 进入监控模式
3 >o/r 0x2101 修改寄存器的值 进入miniIOS(RxBoot)模式
4 >i 重启
5 RxBoot>给以太口设置一个IP 和PC机同一网段
5 Router#copy tftp flash
=====================================================
交换机的基本操作
以太网有两种标准
1 802.3 同步(8)+目的MAC(6)+源MAC(6)+长度(2)+数据(<=1500)+FCS(4)
802.2 LLC 逻辑链路控制子层 和上层提供一个接口
IEEE 美国电子电气工程师协会
2 Ethernet 2
同步(8)+目的MAC(6)+源MAC(6)+类型(2)+数据(<=1500)+FCS(4)
同步属于物理层
MAC 物理地址 48位
00-16-D3-93-71-1F
前24位是机构标识符
类型 0x0800 代表IP协议
数据 MTU 最大传输单元 1500byte
FCS 帧校验序列 CRC循环冗余校验产生效验码加到数据帧的后面就是FCS
海明码:用来纠错
奇偶校验:1110 1100
物理层的设备
中继器:中继器是放大电子信号的低级设备
集线器:只能放大信号,但是会产生冲突 凡是收到一个数据帧 就向其他所有的端口广播
数据链路层的设备
网桥:基于MAC地址转发数据包 基于软件的转发数据包
交换机:基于MAC地址转发数据包 基于硬件转发数据包
CSMA/CD 载波监听多路访问/冲突检测
10BASE-5 粗同轴电缆,最大传输距离为500m
10BASE-2 细同轴电缆,最大传输距离为185m
10BASE-T 非屏蔽双绞线,最大传输距离为100m
10BASE-F 光纤,最大传输距离为2000m
双绞线
线序有两种568A 568B
双绞线的种类有3种
直通线:两端都是568B 用来连接不同的设备
交叉线:一端是568A 一端是568B 用来连接相同的设备
反转线:两端都是568A 用来配置路由器和交换机的
568B:橙白 橙 绿白 蓝 蓝白 绿 棕白 棕
568A:绿白 绿 橙白 蓝 蓝白 橙 棕白 棕 1和3 2和6互换
冲突域:集线器
广播域:网桥 交换机
交换机的工作原理
最初开机时MAC地址表是空的
收到PC发送的数据帧以后 学习数据帧的源MAC 填充MAC地址表
如果MAC地址表里面没有目的MAC 就广播 泛洪到所有的接口
如果交换机断电重启 MAC地址表会被清空
转发数据帧有三种方式
直通转发 收到数据帧的目的MAC就立即转发 小于64byte也有可能被转发了 速度快
存储转发 完整地收到帧并检查无错后才转发 转发合格无差错的帧 速度慢
片段转发 收到数据帧的前64byte 就转发出去 折中的方案
数据帧有一个大小范围 64byte-1518byte 小于64byte会被当成碎片丢弃
单播:一对一的通讯
广播:一对所有的通讯
组播:一对多的通讯
交换机的接口缺省是 自适应
full----auto====half
half---auto====half
auto--auto====half
两个接口的双工一定要一样 否则会报错
=====================================================
VLAN和TRUNK
vlan 虚拟局域网 用来隔离广播域的
一个VLAN =一个广播域 = 逻辑网段 (子网)
vlan的配置模式
静态vlan 基于交换机的接口
动态vlan 基于主机的IP地址或者MAC地址 VMPS策略服务器
交换机默认都有1个vlan1 缺省所有的接口都属于vlan1 本地vlan
vlan中继协议
不同交换机上面的相同vlan可以进行通讯
中继协议有两种封装的标准
ISL :思科私有 已经被淘汰
802.1Q:国际标准 dot1q 公共帧标记协议
一个交换机的任何端口都必须属于且只能属于一个VLAN,但当端口配置成trunk后,该端口就失去了它自身的VLAN标识,可以为该交换机内的所有VLAN传输数据
中继是给所有出交换机的数据帧打上一个vlan的标识 在数据帧到达对方交换机的时候用来识别这是属于哪一个vlan的
vlan的配置
sw#vlan database 进入vlan数据库
sw(vlan)#vlan 10 name yy 新建一个vlan 10 名字叫YY
注意:要用exit退出 才会保存
sw#show vlan-switch 查看vlan 或者sw#show vlan
将PC划入vlan
sw(config-if)#switchport mode access 将接口设置为接入接口
sw(config-if)#switchport access vlan 10 将接口加入到vlan 10
单臂路由
R1(config)#int f0/0 进入接口
R1(config-if)#full-duplex 设置为全双工
R1(config-if)#no shutdown 开启接口
R1(config)#int f0/0.10 进入子接口
R1(config-subif)#encapsulation dot1Q 10 封装为802.1q 并且作为vlan10的网关
R1(config-subif)#ip address 192.168.1.254 255.255.255.0 设置IP地址
sw(config-if)#switchport mode trunk 设置为中继接口
=====================================================
STP
生成树协议
在冗余的交换网络里面选出一个阻塞接口,防止产生广播风暴,使网络瘫痪.
互发BPDU用来了解交换的网络的参数
BPDU 桥协议数据单元
1在交换网络里面选出一个根桥交换机
桥ID=优先级+MAC(最小) 思科 优先级缺省是32768
2选根端口
每一个非根交换机都要选一个根端口
1 这个交换机的所有接口到达根交换机最近的那个端口 也就是开销最小的那个端口
100MB 开销是19 10MB开销是100
2 桥ID 桥ID小的成为根端口
3选指定端口
每一条链路上面选出一个到达根最近的端口
1 比开销 到根开销最小的那个端口
2 比桥ID 桥ID小的成为指定端口
3 接口编号 比小的
4 接口的优先级 比小的 缺省时128
5 谁先发送的
4 非指定端口成为阻塞端口
STP在思科的交换机上面默认是开启的
参加STP的交换机的端口状态有5种
1 阻塞 20S 监听流入的BPDU
2 监听 15S 发送BPDU 参加选举
3 学习 15S 学习MAC地址 不转发任何数据帧
4 转发 转发数据帧
5 禁止
当交换机开机的时候 连接到交换机的PC要被阻塞20+15+15=50S
VTP vlan中继协议
用来同步vlan数据库的 交换机与交换机之间的接口要配置trunk
思科的交换机默认是服务器模式
VTP 1 支持服务器模式 客户模式
VTP 2 增加了透明模式
服务器模式 可以添加 修改 和删除vlan
客户模式 转发通告 不能修改 添加和删除vlan
透明模式 可以添加 修改 和删除vlan 转发通告
修订版本号 在服务器交换机 每添加 修改 和删除一个vlan 修订版本号 + 1
VTP的裁剪 通过阻止不必要数据的泛洪传送来增加可用的带宽
VTP的裁剪的缺点 必须要所有的交换机工作在服务器模式下面
VTP的配置
sw1(config-if)#switchport mode trunk
sw1#vlan database 进入vlan数据库
sw1(vlan)#vtp domain cisco.com 设置VTP的域
sw1(vlan)#vtp password cisco 设置VTP的密码
sw1(vlan)#vtp server 设置成为服务器模式
sw1(vlan)#vtp pruning 开启vtp的裁剪
STP的配置
sw1#sh spanning-tree vlan 1 查看vlan 1的STP
sw1#sh spanning-tree vlan 1 brief 查看vlan 1的汇总信息
sw2(config)#spanning-tree vlan 1 priority 4096 修改桥ID的优先级
sw2(config)#spanning-tree vlan 1 root primary 设置成为主要根
sw1(config-if)#spanning-tree vlan 1 cost 19 修改接口的开销
=====================================================
路由原理
路由协议:用于路由器选择路径和管理路由表
1路由器的所有接口必须属于不同的网段
2同一条链路上的路由器的接口必须属于同一个网段
3凡事和路由器直连的网段 路由器会自动的加入到路由表
路由协议:静态路由 动态路由RIP OSPF IGRP EIGRP BGP ISIS
到达目的网段有多个路径
如果是同一个路由协议 选度量值小的
如果有多个路由协议?
路由器会选择一个管理距离小的路由协议
直连:0 静态路由:1 RIP:120 IGRP:100 OSPF:110 EIGRP:90 170
静态路由:由管理员手工配置 可靠性高 但是不方便 不占用资源
动态路由:由路由协议动态的学习路由 比较占用资源
静态路由的配置
R1(config)#ip route 192.168.2.0 255.255.255.0 f0/0(写出接口自己身上的接口)
R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.2(写下一跳IP地址别人的IP地址)
全局#ip route 目的网段 目的网段的子网掩码 下一跳路由的接口的IP
[X/X] 前面一个代表管理距离 后面一个代表开销
缺省路由
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
动态路由协议
RIP 路由信息协议 OSPF 开放最短路径优先 IGRP 内部网关路由协议
EIGRP 增强内部网关路由协议 BGP 外部网关路由协议 ISIS 中间系统到中间系统
距离矢量路由协议 RIP IGRP EIGRP(高级距离矢量路由协议)
链路状态路由协议 OSPF ISIS
IGP(内部网关路由协议) RIP IGRP EIGRP OSPF ISIS
EGP(外部网关路由协议) BGP
距离矢量路由协议
基于传闻学习路由协议 基于跳数判断路由的好坏 跳数=开销
收敛:当路由条目稳定下来以后 这个网络就收敛了
路由环路 跳数无限增大
水平分割:从一个接口收到的路由 不会再从这个接口发送回去
跳数无限增大:定义一个最大跳数 RIP定义了15跳的最大跳数
路由中毒:路由器将出现故障的网段的路由标记为跳数无限大 并且全网发送
触发更新:路由表发生变化的时候 路由器立即发送更新
RIP 路由信息协议 routing information protocol
hello 30s RIP每隔30秒传递一次路由表
失效计时器 180s
删除计时器 60-240s
最多支持6条路径的负载均衡 缺省支持4条路径的负载均衡
UDP: 520端口发送数据
请求: 请求邻居发送路由
更新: 路由条目
RIP v1 有类路由协议 不支持VLSM CIDR 不支持验证 广播发送更新
RIP v2 无类路由协议 支持VLSM 不支持CIDR 支持验证 组播发送更新
RIP的配置
R1(config)#router rip 启用RIP
R1(config-router)#version 2 设置为版本2
R1(config-router)#no auto-summary 关闭自动汇总
R1(config-router)#network 202.103.12.0 在哪一个接口上启用RIP
EIGRP(思科私有 cisco私有协议)
增强型内部网关路由协议
收敛之王 思科私有的 高级距离矢量路由协议 混合型路由协议
距离矢量路由协议 路由器和路由器之间传递的是具体路由
链路状态路由协议 路由器和路由器之间传递的是链路状态信息
EIGRP的特点
1 快速收敛 2 支持多种上层协议 IP IPX 3 支持非等价负载均衡 其他的路由协议只支持等价
4 支持VLSM CIDR 5 多播和单播代替了IGRP的广播 6 任意节点进行路由汇总 7 100%无环
链路状态路由协议都有三张表
邻居表 存放的是邻居的信息 下一跳路由器 直连的接口
拓扑表 存放的是全网的拓扑
路由表 路由条目 目的网段 下一跳的出口
虽然EIGRP是 高级距离矢量路由协议 但是它有三张表
EIGRP的metric值的计算 (带宽+延时 负载 可信度 MTU)
(10^7/带宽+延时/10)*256=metric
延时是链路上所有延时之和
FD 可行距离 当前路由器到目的网段的开销
AD 通告距离 下一跳路由器到目的网段的开销
S 后继 备份路由的下一跳路由器
FS 可行后继 要求当前的FD大于后继的AD
AS 自治系统 运行一组相同路由协议 具有相同的计算metric参考标准
IGP都是做AS内部的路由
EGP都是做AS之间的路由
EIGRP的配置
R1(config)#router eigrp 10 在同一个内网自治系统号必须一样
R1(config-router)#no auto-summary 关闭自动汇总
R1(config-router)#network 202.103.12.0 0.0.0.255 多了一个反掩码
=====================================================
OSPF
open shortest path first 开放最短路径优先
现今网络中用得最广泛的路由协议 公有协议
1 收敛速度快 2 100%无环 3 支持VLSM 和CIDR 4 用组播发送更新
eigrp>ospf>rip
OSPF是一个标准的链路状态路由协议
链路状态路由协议: 路由器和路由器传递的是链路状态信息 LSA
OSPF的LSA 链路状态信息通告 (LSA洪泛到同一区域中运行 OSPF 的所有路由器)
LSA是发送网络中一台DR(指定路由器)
DR: 选举 是基于链路的 基于网段的
1 首先看接口优先级 缺省优先级是1 0代表不参加选举
2 route-id 也是route-id大的称为DR
3 lo 环回口IP地址最大的称为DR
4 物理接口的IP地址最大的称为DR
运行 OSPF 的每台路由器都生成 LSA , 所有的 LSA汇集(DR)起来,形成链路状态数据库 LSDB(全网拓扑)
224.0.0.5 LSA发送给DR
224.0.0.6 DR发送LSDB给所有的路由器
邻居表: 存放直连的并且运行了OSPF的邻居的信息
拓扑表: 全网的拓扑 (AS)
路由表: 根据SPF算法 算出来的最短路径会被加入到路由表
Hello
用来维持邻居关系 选举DR BDR(DR的备份)
缺省 10s holdtime 保持时间 40s
DD
LSDB的描述信息 相当于一个目录
LSR
链路状态请求 请求路由器自己没有的LSA
LSU
链路状态更新 对方没有的LSA
LSack
确认收到了LSU
OSPF的区域
将LSA的泛洪限制在区域内部 从而减少对带宽的占用
有两种区域
area 0 骨干区域
非0 普通区域
普通区域必须和骨干区域直连
OSPF的开销
用带宽作为度量值
开销=100/(接口带宽.MB)
接口 ip ospf cost interface-cost
路由 auto-cost reference-bandwidth 1-4294967
路由 虚链路
area area-id virtual-link router-id
穿越的区域和对方的路由器ID
路由汇总
路由 area 0 range 192.168.0.0 255.255.252.0
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
192.168.0.0/22
0000 0000
0000 0001
0000 0010
0000 0011
从地址的配置
R1(config-if)#ip add 192.168.10.1 255.255.255.0 secondary
OSPF的基本配置
R1(config)#router ospf 1 1代表进程号 只具有本地意义
R1(config-router)#network 202.103.123.0 0.0.0.255 area 0 区域号
R1(config-router)#network 192.168.8.0 0.0.0.255 a 1
R1(config-router)#network 192.168.9.0 0.0.0.255 a 1
R1(config-router)#network 192.168.10.0 0.0.0.255 a 1
R1(config-router)#network 192.168.11.0 0.0.0.255 a 1
R2(config-router)#area 26 virtual-link 192.168.0.1
穿越的区域26 对方的route-id show ip protocol(对方)
汇总
R6(config-router)#area 6 range 192.168.0.0 255.255.252.0
要汇总的路由的所处的区域 IP网段 和子网掩码
=====================================================
访问控制列表
ACL access control list
ACL核心作用:流量的定义
ACL的分类
1 标准的访问控制列表
2 扩展的访问控制列表
3 命名的访问控制列表
访问控制列表只有两个动作 一个是允许 permit 一个是拒绝 deny
访问控制列表不能过滤路由器自己产生的流量
在一个接口上面只用应用一个访问控制列表
访问控制列表最后有一条隐性拒绝的条目 deny any 拒绝所有
访问控制列表至少要有一条permit的语句
建议:从上往下写的时候 最精确的条目写在最上面
标准的访问控制列表的配置 1-99 1300-1999
router(config)#access-list 1 permit 192.168.0.0 0.0.255.255
router(config-if)#ip access-group 1 in/out
permit 192.168.1.1 默认是/32位 仅限于标准的
permit host 192.168.1.1 是一个主机 所有的都可以用
反掩码: 0代表精确匹配 1 代表忽略
全部主机:any
扩展的访问控制列表 100-199 2000-2699
检测数据包的协议+源地址+目的地址+端口号
router(config)#access-list 100 permit/deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 eq 20
R1#sh ip access-lists 查看访问控制列表
命名的访问控制列表
R1(config)#ip access-list extended noping
R1(config-ext-nacl)#deny icmp host 202.103.12.2 host 202.103.12.1 echo
R1(config-ext-nacl)#permit ip any any
限制vty的访问
access-list 12 permit 192.89.55.0 0.0.0.255
line vty 0 4
access-class 12 in
基于时间的访问控制列表
8-12 1-5点 工作时间 只能开网页
其他的时间什么都可以干 ?
基于时间的访问控制列表
1 定义一个周期时间
R2(config)#time-range work 定义一个周期时间 名字叫work
R2(config-time-range)#? absolute(绝对时间)/ periodic(周期时间)
R2(config-time-range)#periodic weekdays 8:00 to 17:00
2写访问控制列表
R2(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 any eq www time-range work 写一个访问控制列表应用这个周期时间
3接口上面应用
R2(config-if)#ip access-group work in
2反射访问控制列表
内部主动发起的流量可以访问外部 外部主动发的流量全部拒绝
每当内部产生一条通向外部的流量 路由器自动生成一条回来的访问控制条目
当超时时间一过 路由器删除自动生成的访问控制条目
1 定义一个超时时间
R2(config)#ip reflexive-list timeout 10
2 定义一个内部到外部的 反射访问控制列表
R2(config-ext-nacl)#permit ip any any reflect mm
3 定义一个外部到内部的 反射访问控制列表 启用联动
R2(config-ext-nacl)#evaluate mm
4 接口下启用访问控制列表
interface Serial1/1
ip address 202.103.23.2 255.255.255.0
ip access-group outside in
ip access-group inside out
interface FastEthernet0/0
ip address 192.168.12.2 255.255.255.0
ip access-group inside in
=====================================================
远程接入
以太口 局域网的口
串口 远程接入的口
1 专线 2 XDSL 非对称数字线路 3 帧中继 ATM
串口 EIA/TIA-232 USB转串口线
广域网的数据链路层的封装
HDLC(高级数据链路控制) 思科的串口缺省封装就是HDLC (和其他厂商的HDLC不兼容) 淘汰
PPP(点到点) 用得最多的 优点:支持加密和验证 国际标准
PPoE(PPP over Ethernet)
X.25分组交换网 最古老的协议
Frame Relay 帧中继分组交换网 用得比较少 是X.25的升级版
ATM 异步传输模式
PPP
PPP支持验证
有两种方式的验证
PAP 密码验证协议
CHAP 挑战握手验证协议
PPP和HDLC相比的话 多了一个字段[协议] 支持多种协议
HDLC是面向比特的传输协议 PPP是一个面向的字节的传输协议
HDLC不支持验证的 PPP是支持验证 (PPP是HDLC的儿子)
有两个子层
LCP 链路控制协议 检测链路我们链路的运行情况
NCP 网络控制协议
PAP是两次握手验证协议,口令以明文传送,被验证方首先发起验证请求
PAP的配置方法
r2(config)#username r1 password cisco 在数据库里面加入记录
r2(config-if)#encapsulation ppp
r2(config-if)#ppp authentication pap
r1(config-if)#encapsulation ppp
r1(config-if)#ppp pap sent-username r1 password cisco
自己的hostname自己的密码 hostname不区分大小写 密码区分大小写
CHAP的配置
r2(config)#username r3 password cisco 都是对方路由器
r2(config-if)#encapsulation ppp
r2(config-if)#ppp authentication chap
r3(config)#username r2 password cisco 都是对方路由器
r3(config-if)#encapsulation ppp
r3(config-if)#ppp authentication chap
=====================================================
帧中继
包交换的网络
电路交换 报文交换 分组交换
网络层:行进协议转换的(早期) 屏蔽数据链路的差异的
网关:协议转换 屏蔽了应用层以下的差异的
PVC:永久虚电路
DLCI:数据链路连接标识符
DCE:数据通信设备 一般是ISP的设备 提供时钟和同步
DTE:数据电路端接设备 一般是客户的设备
LMI:本地管理接口
串口链路的两端 一端是DCE 一端是DTE
时钟频率在DCE上面配
DLCI 在帧中继的数据链路里面寻址的 类似于以太网的MAC 只具有本地意义
CIR:承诺信息速率
map IP:DLCI 映射
有两种方式
一种是inverse ARP 反转ARP
一种是手工静态指定
帧中继的配置
R1(config-if)#encapsulation frame-relay
R1(config-if)#no frame-relay inverse-arp
R1(config-if)#frame-relay map ip 202.103.123.2 102 broadcast
手动指定帧中继的map 是对方的IP 自己到对方的DLCI号 支持广播
帧中继子接口的配置
R1(config)#interface S1/0
R1(config-if)#encapsulation frame-relay
R1(config-if)#no shutdown
R1(config)#int s1/0.2 point-to-point
R1(config-if)#frame-relay interface-dlci 102
R1(config)#int s1/0.3 multipoint
R1(config-if)#no frame-relay inverse-arp
R1(config-if)#frame-relay map ip 202.103.123.3 103 broadcast
NAT
网络地址转换
将一个内网的IP地址在经过路由器的时候把它转换成公网的IP地址
是这个数据包的源
静态转换:内网有服务器的情况下
动态转换:新建一个地址池(全局)
如果一个内网的地址需要占用一个公网的地址 这个NAT就没有意义了
PAT
端口地址转换
用端口来区分不同的内网的IP地址的不同流量
65535个端口 最多支持4000个的地址转换
192.168.1.1:1800 202.103.1.1:1800 202.103.2.1:2000 192.168.2.1:2000
外部本地地址 Outside local 外部转换后呈现给内部的地址 192.168.1.1
外部全局地址 Outside global 外部本来的地址 202.103.1.1
内部本地地址 Inside local 内部本来的地址 192.168.1.1
内部全局地址 Inside global 内部转换后呈现给外部的地址 202.103.1.1
做了NAT/PAT以后 内网可以主动访问外网 外网不能主动访问内网
NAT的配置
第一步 定义要转换的流量 写ACL
R2(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 any
第二步 全局配置NAT
R2(config)#ip nat inside source list nat interface s1/1 overload
所有的ACL定义的地址全部被转换成S1/1的地址 加overload 就是PAT
第三部 应用到接口
R2(config)#int s1/1
R2(config-if)#ip nat outside 指明NAT流量的方向
R2(config)#int f0/0
R2(config-if)#ip nat inside