=================================================================================================
路由部分
============================================================================================
路由查找“最长匹配”原则:子网掩码最长的路由优先选择
路由部分
============================================================================================
路由查找“最长匹配”原则:子网掩码最长的路由优先选择
RIP部分
1、RIP环路的解决方法中,只有触发式更新(triggered)要手工配置,其他都是默认开启的
触发式更新只能配置在串口(serial)上,在以太口上是配置不上去的;
配置命令如下:
R1(config)#interface serial 1/0
R1(config-if)#ip rip triggered
R1(config-if)#ip rip triggered
2、RIP还有个问题:次优路径的问题
比如:从R1到R2有两条路:一条是直接从R1到R2,这条链路带宽为1.544Mbps.另一条是通过R3到达R2,之条链路带宽为
1000Mbps。而R1会走1.544Mbps的路,明显不好,怎么让它走第二条高带宽的路呢?用到偏移列表(offset-list)将第一
条路的路数设大点,这样就走第二条路了。
3、在接口下关闭水平分割功能(默认开启)
R1(config-if)#no ip split-horizon
R1(config-if)#no ip split-horizon
4、被动接口(passive-interface),只收RIP的更新信息,不发RIP的更新信息
要在路由进程下配置:
R1(config)#router rip
R1(config-router)#passive-interface serial 1/0 //serial 1/0 把设为被动接口
5、基于RIP的默认路由
R1(config-router)#default-information originate //把R1作为默认信息的起源
============================================================================================
EIGRP部分
1、建立邻居的必要条件:
AS号要相同、k值相同(k1=1,k2=0,k3=1,k4=0,k5=0)、认证(EIGRP只支持密文认证)、两端
在最小范围内能ping通(主地址能ping通对方直连接口任一地址)
AS号要相同、k值相同(k1=1,k2=0,k3=1,k4=0,k5=0)、认证(EIGRP只支持密文认证)、两端
在最小范围内能ping通(主地址能ping通对方直连接口任一地址)
2、EIGRP默认的HELLO时间和HOLD时间
带宽<1.544Mbps(例子:多点、帧中继) 默认的hello间隔时间:60秒,默认的hold时间:180秒
带宽≥1.544Mbps(例子:T1、以太网) 默认的hello间隔时间:5秒,默认的hold时间:15秒
3、EIGRP的几个重要概念
(1) 通告距离(AD)是邻居路由器通告它自己到达目标网络的距离。
(2)可行距离(FD)是指到达目标网络的最小的度量值。
(3)后继路由(successor)指用于分组转发的一个邻居路由器,它提供了到达目的地的最小开销
且没有路由环路的路由。
(4)可行后继路由(Feasible successor)是提供了次最低开销且不会引入路由环路的路径。可行
后继路由在当前路由失效后被启用,成为新的后继路由(successor)。
成为FS(Feasible successor)的条件:AD(除开最好的那条路径)< FD(最好的那条路径)
4、EIGRP的(metric)度量值
EIGRP的度量值=256*(10^7/BW+DLR/10) BW是入向的最小带宽,DLR是入向的延迟总和
在计算时,(10^7/BW+DLR/10)的数值取整数(但不是四舍五入,凡是小数点后的都舍去)然后
再乘以256
在计算时,(10^7/BW+DLR/10)的数值取整数(但不是四舍五入,凡是小数点后的都舍去)然后
再乘以256
============================================================================================
OSPF部分
1、ospf数据包类型
(1)hello包 作用:建立和维持邻居关系,(在多路访问网络中如:以太网、帧中断)选DR和BDR 更新地址为224.0.0.5
(2)database description包---------DBD 作用:选主从关系、描述LSA的头部
(3)link-state request------LUR
(3)link-state update------LSU
(4)link-state acknowledgement-----LSACK
(1)hello包 作用:建立和维持邻居关系,(在多路访问网络中如:以太网、帧中断)选DR和BDR 更新地址为224.0.0.5
(2)database description包---------DBD 作用:选主从关系、描述LSA的头部
(3)link-state request------LUR
(3)link-state update------LSU
(4)link-state acknowledgement-----LSACK
2、Dead Time死亡时间:40秒
3、一些命令:
查看邻居表:show ip ospf neighbor
查看接口类型及信息:show ip ospf interface serial s1/0
查看链路状态数据库:show ip ospf database
查看邻居表:show ip ospf neighbor
查看接口类型及信息:show ip ospf interface serial s1/0
查看链路状态数据库:show ip ospf database
3条调试命令:debug ip ospf adj //调试ospf的邻接关系的事件
debug ip ospf events //调试ospf的全部的事件
debug ip ospf packet //调试ospf的包
debug ip ospf events //调试ospf的全部的事件
debug ip ospf packet //调试ospf的包
刷新ospf进程:clear ip ospf process
4、一些总结:
网络类型 hello time dead time DR/BDR 32位的主机路由 默认接口
point-to-point(点到点) 10秒 40秒 不选 不产生 serial
broadcast(广播) 10秒 40秒 选举 不产生 以太网口
NBMA(非广播) 30秒 120秒 选举 不产生 帧中继
网络类型 hello time dead time DR/BDR 32位的主机路由 默认接口
point-to-point(点到点) 10秒 40秒 不选 不产生 serial
broadcast(广播) 10秒 40秒 选举 不产生 以太网口
NBMA(非广播) 30秒 120秒 选举 不产生 帧中继
5、ospf要建立邻居的必要条件
hello包的内容:
Router ID
Hello/dead intervals*
Neighbors
Area-ID*
Router priority
DR IP address
BDR IP address
Authentication password*
Stub area flag*
ospf要建立邻居带*号的必须匹配(一致)
6、手动修改hello interval和dead interval
Router(config)#int s1/0
Router(config-if)#ip ospf hello-interval 要修改的秒数
Router(config-if)#ip ospf dead-interval 要修改的秒数
注:改了helllo时间,dead时间也自动改变为原来的4倍。
改了dead时间,hello时间不会自动改变。
两台路由器的hello interval和dead interval必须一致才能形成相邻关系
7、七种状态
Down State--------Init State(初始化状态)--------Two-Way State(这之前邻居关系已建立)-------Exstart State(信息的初始
交换状态)-------Exchange State(信息的交换状态)-------loading State(加载状态)------Full State(这时邻接关系建立)
8、思科规定的ospf划分区域的原则:
每个区域内的路由器不能超过50台,每个路由器所在区域不能超过3个,每个路由器的邻居不能超过60个。
9、链路状态路由协议使用SPF算法计算最佳路由,最小的cost就是到达目的网络的最佳路径。cost=10^8/BW
10、DR和BDR的选举
广播型多路访问网络
(1)进行DR和BDR选举
选举规则:
a、接口的优先级最高的路由器被选为DR,(接口优先级为0表示不参与DR和BDR选举),若相同,则比较Router-ID
b、Router-ID(路由器ID)最高的路由器被选为DR
c、DR选举不具抢占性
d、一个网段选一个DR和BDR
Router-ID是ospf网络中路由器的标识,选举Router-ID的方法:
手工指定的优先级最高,作为Router-ID,否则环回口IP地址中最大的地址作为Router-ID
如果都没有,则物理口IP地址中最大的地址作为Router-ID
手工指定的优先级最高,作为Router-ID,否则环回口IP地址中最大的地址作为Router-ID
如果都没有,则物理口IP地址中最大的地址作为Router-ID
(2)DRother只与DR和BDR形成邻接关系
11、修改接口的优先级:
R1(config)#int f1/0
R1(config-if)#ip ospf priority ?
<0-255> Priority
在网络稳定时(已选举出了DR和BDR,即使用该命令修改了接口的优先级,它也不能成为DR,因为
DR选举不具抢占性。
12、EIGRP和OSPF传递默认路由
(1)ospf:两种产生默认路由的方法(在边界路由器上):
a、R2(config-router)#default-information originate 这条命令不加always参数,但同时要配置
一条静态的默认路由:ip route 0.0.0.0 0.0.0.0 s1/1
b、R2(config-router)#default-information originate always,但同时要配置
一条静态的默认路由:ip route 0.0.0.0 0.0.0.0 s1/1
一条静态的默认路由:ip route 0.0.0.0 0.0.0.0 s1/1
(2)eigrp:
a、在边界路由器上:静态默认路由+重发布
b、静态默认路由+network 0.0.0.0
c、ip default-network+主类网络 (这条主类网络一定要在EIGRP中宣告过)(常用)
例:
R2(config)#ip default-network 22.0.0.0
R2(config)#ip route 0.0.0.0 0.0.0.0 s1/1 (这条静态默认路由要加上)
如果没出现D*的路由,请开启eigrp的自动汇总
a、在边界路由器上:静态默认路由+重发布
b、静态默认路由+network 0.0.0.0
c、ip default-network+主类网络 (这条主类网络一定要在EIGRP中宣告过)(常用)
例:
R2(config)#ip default-network 22.0.0.0
R2(config)#ip route 0.0.0.0 0.0.0.0 s1/1 (这条静态默认路由要加上)
如果没出现D*的路由,请开启eigrp的自动汇总
============================================================================================
ACL部分
ACL是应用到路由器接口的指令列表。ACL适用于所有的可路由协议。
ACL利用:协议号、源地址、目的地址、源端口、目的端口 这五个元素来定义规则
1、一些公认的端口号
公认的TCP端口:FTP--21 Telnet--23 SMTP--25 HTTP--80 POP3--110 HTTPS--443
注册的TCP端口:MSN--1863 备选HTTP--8008 备选HTTP--8080
公认的TCP端口:FTP--21 Telnet--23 SMTP--25 HTTP--80 POP3--110 HTTPS--443
注册的TCP端口:MSN--1863 备选HTTP--8008 备选HTTP--8080
公认的UDP端口:TFTP--69 RIP--520
注册的UDP端口:RTP(语音和视频传输协议)---5004 SIP(VoIP)--5060 RADIUS--1812
注册的UDP端口:RTP(语音和视频传输协议)---5004 SIP(VoIP)--5060 RADIUS--1812
公认的TCP/UDP端口(既使用TCP又使用UDP):DNS--53 SNMP---161
注册的TCP/UDP端口:MS SQL--1433 WAP(MMS)--2948
注册的TCP/UDP端口:MS SQL--1433 WAP(MMS)--2948
2、IP访问控制列表的类型
(1)标准访问列表(standard access lists)
只检查分组的源地址信息,允许或拒绝的是整个协议栈。
(2)扩展访问列表(extended access lists)
可检查协议类型、源地址、目的地址、源端口、目的端口、已建立连接的和IP优先级等
可针对三层或四层协议信息进行控制。
标准IP访问列表编号:1---99 1300---1999
扩展IP访问列表编号:100---199 2000---2699
(1)标准访问列表(standard access lists)
只检查分组的源地址信息,允许或拒绝的是整个协议栈。
(2)扩展访问列表(extended access lists)
可检查协议类型、源地址、目的地址、源端口、目的端口、已建立连接的和IP优先级等
可针对三层或四层协议信息进行控制。
标准IP访问列表编号:1---99 1300---1999
扩展IP访问列表编号:100---199 2000---2699
3、访问列表配置命令
Step1:设置访问列表测试语句的参数
Router(config)#access-list access-list-number {permit|deny} {test conditions}
标准的ACL:(config)#access-list access-list-number permit source [source-wildcard]
扩展的ACL:access-list access-list-number {deny|permit} protocol source [source-wildcard]
[operator operand] [port port-number or name] destination [destination-wildcard] [operator operand]
[port port-number or name] [established]
说明:operator,可用的操作符lt---小于 gt---大于 eq---等于 neq---不等于 range---范围
Step2:在端口上应用访问列表
Router(config-if)#{protocol} access-group access-list-number (in|out}
Step1:设置访问列表测试语句的参数
Router(config)#access-list access-list-number {permit|deny} {test conditions}
标准的ACL:(config)#access-list access-list-number permit source [source-wildcard]
扩展的ACL:access-list access-list-number {deny|permit} protocol source [source-wildcard]
[operator operand] [port port-number or name] destination [destination-wildcard] [operator operand]
[port port-number or name] [established]
说明:operator,可用的操作符lt---小于 gt---大于 eq---等于 neq---不等于 range---范围
Step2:在端口上应用访问列表
Router(config-if)#{protocol} access-group access-list-number (in|out}
4、通配符掩码(反掩码)匹配特定的主机地址
(1)0为严格匹配 1为不用管
(2)例:255.255.255.255 减去子网掩码:255.255.255.252 就得出反掩码 0.0.0.3
(3)几种缩写:
例:Access-list 1 permit 172.30.16.29 0.0.0.0 表示与整个IP主机地址的所有位相匹配,这时可
写为:Access-list 1 permit host 172.30.16.29
例:Access-list 1 permit 0.0.0.0 255.255.255.255表示允许访问任何目的地址,这时可写成
Access-list 1 permit any
(2)例:255.255.255.255 减去子网掩码:255.255.255.252 就得出反掩码 0.0.0.3
(3)几种缩写:
例:Access-list 1 permit 172.30.16.29 0.0.0.0 表示与整个IP主机地址的所有位相匹配,这时可
写为:Access-list 1 permit host 172.30.16.29
例:Access-list 1 permit 0.0.0.0 255.255.255.255表示允许访问任何目的地址,这时可写成
Access-list 1 permit any
通配符掩码(反掩码)讲解:
先看一个简单的:192.168.1.0 0.0.0.255
前三位为0,说明要精确匹配那就是192.168.1这三位,最后一位255表明可以任意匹配,把255写成二进制
128 64 32 16 8 4 2 1
1 1 1 1 1 1 1 1 =255
0 0 0 0 0 0 0 0 =0 可知最后一位可以从全是0到全是1,所以匹配的地址为:
192.168.1.0---192.168.1.255而第一个1.0和最后一个1.255不可用,所以实际为:192.168.1.1---192.168.1.254
前三位为0,说明要精确匹配那就是192.168.1这三位,最后一位255表明可以任意匹配,把255写成二进制
128 64 32 16 8 4 2 1
1 1 1 1 1 1 1 1 =255
0 0 0 0 0 0 0 0 =0 可知最后一位可以从全是0到全是1,所以匹配的地址为:
192.168.1.0---192.168.1.255而第一个1.0和最后一个1.255不可用,所以实际为:192.168.1.1---192.168.1.254
再来看一个:192.168.1.0 0.0.0.63
前三位为0,说明要精确匹配那就是192.168.1这三位,最后一位为63,写在二进制:
128 64 32 16 8 4 2 1
0 0 1 1 1 1 1 1 =63 可以看出最后一个八位组中,前两位为0,必须精确匹配,最后的六位可以任意匹配,它变化范围为:
0 0 0 0 0 0 0 0 =0
0 0 0 0 0 0 0 1 =1
0 0 0 0 0 0 1 0 =2
......
0 0 1 1 1 1 1 1 =63
所以它匹配的地址为:192.168.1.0---192.168.1.63
前三位为0,说明要精确匹配那就是192.168.1这三位,最后一位为63,写在二进制:
128 64 32 16 8 4 2 1
0 0 1 1 1 1 1 1 =63 可以看出最后一个八位组中,前两位为0,必须精确匹配,最后的六位可以任意匹配,它变化范围为:
0 0 0 0 0 0 0 0 =0
0 0 0 0 0 0 0 1 =1
0 0 0 0 0 0 1 0 =2
......
0 0 1 1 1 1 1 1 =63
所以它匹配的地址为:192.168.1.0---192.168.1.63
再看一个:192.168.1.100 0.0.0.63
前三位为0,说明要精确匹配那就是192.168.1这三位,最后一位为63,写在二进制:
128 64 32 16 8 4 2 1
0 0 1 1 1 1 1 1 =63 把100也写成二进制:
0 1 1 0 0 1 0 0 =100 可以看出这一个八位组中前两个为0,必须精确匹配,最后六位变化为:
0 1 0 0 0 0 0 0 =64
0 1 0 0 0 0 0 1 =65
......
0 1 1 1 1 1 1 1 =127
所以它匹配的地址为:192.168.1.64---192.168.1.127
前三位为0,说明要精确匹配那就是192.168.1这三位,最后一位为63,写在二进制:
128 64 32 16 8 4 2 1
0 0 1 1 1 1 1 1 =63 把100也写成二进制:
0 1 1 0 0 1 0 0 =100 可以看出这一个八位组中前两个为0,必须精确匹配,最后六位变化为:
0 1 0 0 0 0 0 0 =64
0 1 0 0 0 0 0 1 =65
......
0 1 1 1 1 1 1 1 =127
所以它匹配的地址为:192.168.1.64---192.168.1.127
更复杂的:192.168.1.0 0.0.0.5
前三位为0,说明要精确匹配那就是192.168.1这三位,最后一位为5,写在二进制:
128 64 32 16 8 4 2 1
0 0 0 0 0 1 0 1 =5 把192.168.1.0中的0也转成二进制:
0 0 0 0 0 0 0 0 =0 可以看出只任意匹配二位,变化范围为:
0 0 0 0 0 0 0 0 =0
0 0 0 0 0 0 0 1 =1
0 0 0 0 0 1 0 0 =4
0 0 0 0 0 1 0 1 =5
所以它匹配的地址为:192.168.1.0、192.168.1.1、192.168.1.4、192.168.1.5这四个地址
5、设置ACL的规则
(1)按顺序的比较:先比较第一行,如果不匹配,再比较第二行,依次类推直到最后一行
(2)从第一行起,直到找到一个符合条件的行,只要符合,其余的行不再继续比较;(把最严格的写在最上面)
(3)默认在每个ACL中的最后一行隐含拒绝所有(deny any),所以每个ACL必须至少要有一条
permit语句。
(4)把最严格的条目写在上面。
(5)ACL只对穿越路由器和到达路由器的流量起用作,对来自路由器本身的流量不起作用。
(6)每个接口,每个协议、每个方向只能有一个访问列表
6、ACL的放置位置
(1)因为标准ACL不会指定目的地址,所以其位置应该尽可能靠近目的地。
(2)将扩展ACL尽可能靠近拒绝流量的源。这样才能在不需要的流量流经网络之前将其过滤掉。
7、删除访问控制列表10
R2(config)#no access-list 10 然后进入接口下 no ip access-group 10 out
R2(config)#no access-list 10 然后进入接口下 no ip access-group 10 out
8、使用ACL控制VTY
将其应用到VTY上时与应用到接口时命令有点不同,使用access-class:
R2(config)#line vty 0 4
R2(config-line)#login
R2(config-line)#password 123456
R2(config-line)#access-class 10 in
将其应用到VTY上时与应用到接口时命令有点不同,使用access-class:
R2(config)#line vty 0 4
R2(config-line)#login
R2(config-line)#password 123456
R2(config-line)#access-class 10 in
============================================================================================
NAT部分
1、NAT的几个术语
(1)内部局部地址(Inside local)--内部主机使用的地址,又叫内部本地地址
(2)内部全局地址(Inside global)--从ISP或NIC注册的地址,也就是内部主机地址被NAT转换的外部地址。
(3)外部局部地址(Outside local)---分配给外部网络上的主机的IP地址,又叫外部本地地址
(4)外部全局地址(Outside global)----分配给Internet上主机的可达IP地址。
(1)内部局部地址(Inside local)--内部主机使用的地址,又叫内部本地地址
(2)内部全局地址(Inside global)--从ISP或NIC注册的地址,也就是内部主机地址被NAT转换的外部地址。
(3)外部局部地址(Outside local)---分配给外部网络上的主机的IP地址,又叫外部本地地址
(4)外部全局地址(Outside global)----分配给Internet上主机的可达IP地址。
2、NAT支持的数据流
支持的业务类型和应用 支持在数据流中有IP地址的业务类型 不支持的业务类型
HTTP、TFTP、Telnet、
NFS ICMP、NetBIOS、DNS(A和PTR查询) 路由表更新
NTP H.323/NetMeeting、 DNS区域传送、Netshow
IP多播(只转换源地址) BOOTP、SNMP、talk/ntalk
支持的业务类型和应用 支持在数据流中有IP地址的业务类型 不支持的业务类型
HTTP、TFTP、Telnet、
NFS ICMP、NetBIOS、DNS(A和PTR查询) 路由表更新
NTP H.323/NetMeeting、 DNS区域传送、Netshow
IP多播(只转换源地址) BOOTP、SNMP、talk/ntalk
3、NAT的分类
(1)静态NAT(static NAT)---内部主机地址被一对一映射到外部主机地址上。
配置:
(config)#ip nat inside soure static 内部本地地址 内部全局地址 //建立内部本地地址与内部全局地址的转换
进入接口:
(config-if)#ip nat inside //指定连接网络的内部端口。这是需要被转换的接口
进入接口:
(config-if)#ip nat outside //指定连接外部网络的外部端口。由此接口翻译为内部全局地址到达外部网络
注:只有当数据报从运行ip nat inside接口进入,从运行ip nat outside接口发送出去,NAT才有作用。
no ip nat inside soure static //删除静态NAT
(1)静态NAT(static NAT)---内部主机地址被一对一映射到外部主机地址上。
配置:
(config)#ip nat inside soure static 内部本地地址 内部全局地址 //建立内部本地地址与内部全局地址的转换
进入接口:
(config-if)#ip nat inside //指定连接网络的内部端口。这是需要被转换的接口
进入接口:
(config-if)#ip nat outside //指定连接外部网络的外部端口。由此接口翻译为内部全局地址到达外部网络
注:只有当数据报从运行ip nat inside接口进入,从运行ip nat outside接口发送出去,NAT才有作用。
no ip nat inside soure static //删除静态NAT
(2)动态NAT(pooled NAT)--在外部网络中定义了一系列的合法地址(地址池),采用动态分配的方法映射到内部网络。
配置:
定义需要待分配的全局地址池:
(config)#ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length}
定义一个标准访问列表,以允许待转换的地址通过:
(config)#access-list access-list-number permit source [source-wildcard]
建立动态源地址转换,指定是上一步中定义的访问列表:
(config)#ip nat inside source list access-list-number pool name
指定内部接口,将该接口标记为与内部连接:
(config)#interface s1/0
(config-if)#ip nat inside
指定外部接口,将该接口标记为与外部连接:
(config)#interface s1/1
(config-if)#ip nat outside
配置:
定义需要待分配的全局地址池:
(config)#ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length}
定义一个标准访问列表,以允许待转换的地址通过:
(config)#access-list access-list-number permit source [source-wildcard]
建立动态源地址转换,指定是上一步中定义的访问列表:
(config)#ip nat inside source list access-list-number pool name
指定内部接口,将该接口标记为与内部连接:
(config)#interface s1/0
(config-if)#ip nat inside
指定外部接口,将该接口标记为与外部连接:
(config)#interface s1/1
(config-if)#ip nat outside
(3)端口复用NAT(PAT)(又叫NAT过载)---端口复用的特征是内部多个私有地址通过不同的端口被映射到一个公网地址,
PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。它允许多个内部本地地址共用一个外部
合法地址。理想状况下,一个单一的IP地址可以使用的端口数为4000个。
PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。它允许多个内部本地地址共用一个外部
合法地址。理想状况下,一个单一的IP地址可以使用的端口数为4000个。
配置单一公有IP地址的NAT过载:
定义一个标准访问列表,以允许待转换的地址通过:
(config)#access-list acl-number permit source {source-wildcard}
建立动态源地址转换,指定上一步中定义的访问列表:
(confif)#ip nat inside source list acl-number interface interface overload
指定内部接口,将该接口标记为与内部连接:
(config)#interface s1/0
(config-if)#ip nat inside
指定外部接口,将该接口标记为与外部连接:
(config)#interface s1/1
(config-if)#ip nat outside
说明:利用overload关键字,将端口号添加到转换中,使用interface关键字来标记外部IP地址,所以没有
定义NAT池。
仅有一个公有IP地址时,通常把该公有地址分配给连接到ISP的外部接口。所有内部地址离开该外部
接口时,均被转换为该地址。
(config)#access-list acl-number permit source {source-wildcard}
建立动态源地址转换,指定上一步中定义的访问列表:
(confif)#ip nat inside source list acl-number interface interface overload
指定内部接口,将该接口标记为与内部连接:
(config)#interface s1/0
(config-if)#ip nat inside
指定外部接口,将该接口标记为与外部连接:
(config)#interface s1/1
(config-if)#ip nat outside
说明:利用overload关键字,将端口号添加到转换中,使用interface关键字来标记外部IP地址,所以没有
定义NAT池。
仅有一个公有IP地址时,通常把该公有地址分配给连接到ISP的外部接口。所有内部地址离开该外部
接口时,均被转换为该地址。
配置公有IP地址池的NAT过载
定义一个标准访问列表,以允许待转换的地址通过:
(config)#access-list acl-number permit source [source-wildcard]
定义要用于过载的全局地址池:
(config)#ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length}
建立过载转换,指定是上一步中定义的访问列表:
(config)#ip nat inside source list acl-number pool name overload
指定内部接口,将该接口标记为与内部连接:
(config)#interface s1/0
(config-if)#ip nat inside
指定外部接口,将该接口标记为与外部连接:
(config)#interface s1/1
(config-if)#ip nat outside
说明:当ISP提供了一个以上公有IP地址时,NAT过载将使用地址池。这种配置与动态、一对一NAT配置的
主要区别是前者使用了overload关键字。overload关键字允许进行端口地址转换。
(config)#access-list acl-number permit source [source-wildcard]
定义要用于过载的全局地址池:
(config)#ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length}
建立过载转换,指定是上一步中定义的访问列表:
(config)#ip nat inside source list acl-number pool name overload
指定内部接口,将该接口标记为与内部连接:
(config)#interface s1/0
(config-if)#ip nat inside
指定外部接口,将该接口标记为与外部连接:
(config)#interface s1/1
(config-if)#ip nat outside
说明:当ISP提供了一个以上公有IP地址时,NAT过载将使用地址池。这种配置与动态、一对一NAT配置的
主要区别是前者使用了overload关键字。overload关键字允许进行端口地址转换。
(4)TCP负载均衡(这种NAT很少使用)
配置:
为虚拟主机定义一个标准的IP访问控制列表:
(config)#access-list 2 permit 10.1.1.127 //10.1.1.127是公网IP地址
给真实主机定义一个NAT地址集:
(config)#ip nat pool real-host 10.1.1.1 10.1.1.3 prefix-length 24 type rotary
//real-host为地址集的名字,10.1.1.1 10.1.1.3是内部主机地址
设置访问控制列表和NAT地址集之间的映射:
(config)#ip nat inside destination list 2 pool real-host
在内部和外部端口上启用NAT:
(config)#int s0/0
(config-if)#ip nat outside
(config)#int s1/0
(config-if)#ip nat inside
配置:
为虚拟主机定义一个标准的IP访问控制列表:
(config)#access-list 2 permit 10.1.1.127 //10.1.1.127是公网IP地址
给真实主机定义一个NAT地址集:
(config)#ip nat pool real-host 10.1.1.1 10.1.1.3 prefix-length 24 type rotary
//real-host为地址集的名字,10.1.1.1 10.1.1.3是内部主机地址
设置访问控制列表和NAT地址集之间的映射:
(config)#ip nat inside destination list 2 pool real-host
在内部和外部端口上启用NAT:
(config)#int s0/0
(config-if)#ip nat outside
(config)#int s1/0
(config-if)#ip nat inside
4、查看NAT的映射表
show ip nat translations
show ip nat translations
5、刷新NAT的映射表
clear ip nat translations * (注:对静态NAT无效)
clear ip nat translations * (注:对静态NAT无效)
============================================================================================
交换部分
============================================================================================
交换部分
============================================================================================
1、在MAC地址表中的MAC地址缺省存留5分钟。
2、交换机的口令的恢复:
(1)连接好交换机的console口,然后拔掉交换机的电源
(2)按住前面板的MODE键,然后插上交换机的电源,过5秒左右松手,系统会有一些提示信息,表示进入
监视模式switch:
(3)输入flash_init 初始化FLASH文件系统
(4)输入load_helper 装载并初始化帮助映象,这是存储在ROM中的最小IOS映像,用于灾难恢复。
(5)输入dir flash: 显示FLASH的文件和目录列表
(6)输入rename flash:config.text flash:config.old 修改配置文件名
(7)输入boot,重启系统
(8)在提示符下键入N,跳过setup模式。
(9)在提示符下键入enable进入特权模式
(10)输入rename flash:config.old flash:config.text 将配置文件改回原来的名称
(11)copy startup-config running-config 将配置文件拷贝到运行的配置中
(12)改口令
(13)将改变的配置拷贝到配置文件中。
(1)连接好交换机的console口,然后拔掉交换机的电源
(2)按住前面板的MODE键,然后插上交换机的电源,过5秒左右松手,系统会有一些提示信息,表示进入
监视模式switch:
(3)输入flash_init 初始化FLASH文件系统
(4)输入load_helper 装载并初始化帮助映象,这是存储在ROM中的最小IOS映像,用于灾难恢复。
(5)输入dir flash: 显示FLASH的文件和目录列表
(6)输入rename flash:config.text flash:config.old 修改配置文件名
(7)输入boot,重启系统
(8)在提示符下键入N,跳过setup模式。
(9)在提示符下键入enable进入特权模式
(10)输入rename flash:config.old flash:config.text 将配置文件改回原来的名称
(11)copy startup-config running-config 将配置文件拷贝到运行的配置中
(12)改口令
(13)将改变的配置拷贝到配置文件中。
3、防止DHCP***,可使用cisco catalyst交换机上的DHCP侦听和端口安全功能:
DHCP侦听允许将端口配置为可信的或不可信。可信端口可以发送DHCP请求和确认,不可信端口只能转发DHCP
请求。使用命令:ip dhcp snooping
DHCP侦听允许将端口配置为可信的或不可信。可信端口可以发送DHCP请求和确认,不可信端口只能转发DHCP
请求。使用命令:ip dhcp snooping
4、防CDP***:不启用CDP
5、在cisco catalyst交换机上配置端口安全性:
(config)#intface fastethernet 1/0
(config-if)#switchport mode access //将接口模式设置为access,因为处于动态默认模式的接口不可配置为安全接口
(config-if)#switchport port-security //在接口上启用端口安全性
(config)#intface fastethernet 1/0
(config-if)#switchport mode access //将接口模式设置为access,因为处于动态默认模式的接口不可配置为安全接口
(config-if)#switchport port-security //在接口上启用端口安全性
=============================================================================================
STP(生成树协议)
1、桥协议数据单元BPDU,是运行STP的交换机之间交换的消息帧。默认2秒发送一次。
BPDU在阻塞的接口上也可以接收。
BPDU在阻塞的接口上也可以接收。
2、生成树协议运行的规则:
(1)每个广播网络只能有一个根(Root)桥
(2)每个非根桥只能有一个根端口
(3)每个网段只能有一个指定端口
(4)非指定端口和非根端口将被阻塞(根端口和指定端口都是Forwarding,其他端口为Blocking)
(5)Catalyst交换机为每一个VLAN运行一个生成树,叫PVST
(1)每个广播网络只能有一个根(Root)桥
(2)每个非根桥只能有一个根端口
(3)每个网段只能有一个指定端口
(4)非指定端口和非根端口将被阻塞(根端口和指定端口都是Forwarding,其他端口为Blocking)
(5)Catalyst交换机为每一个VLAN运行一个生成树,叫PVST
步骤一:根桥的选举
根网桥=最低的BID(网桥ID)
(老的方法:)
BID总8个字节,由16位优先级和48位MAC地址构成。
默认的优先级是32768。优先级小的,选为根桥,若优先级相同,选MAC地址小的。(MAC地址是交换机中的一个地址)
BID总8个字节,由16位优先级和48位MAC地址构成。
默认的优先级是32768。优先级小的,选为根桥,若优先级相同,选MAC地址小的。(MAC地址是交换机中的一个地址)
(新的方法:)
BID总共8字节,由4位优先级、12位扩展系统ID、48位MAC地址构成。 (系统ID=VLAN ID)
默认优先级为32768+1=32769 (1为VLAN ID,默认在VLAN1中)
BID总共8字节,由4位优先级、12位扩展系统ID、48位MAC地址构成。 (系统ID=VLAN ID)
默认优先级为32768+1=32769 (1为VLAN ID,默认在VLAN1中)
BPDU中包含的字段:
Bytes Field
2 Protocol ID
1 version
1 Message Type
1 Flags
8 Root ID
4 Cost of Path
8 Bridge ID //刚开始启动时:Bridge ID= Root ID
2 Port ID
2 Message Age
2 Maximum Time
2 Hello Time
2 Forward Delay
说明:
协议、版本、消息类型总为0
Flags包含下列类型:
(1)TC(拓朴改变)位:该位指示拓朴变化并指明该BPDU是一个拓朴变化通告(TCN)BPDU。如果该位
没有置位,则说明BPDU是一个配置BPDU。
(2)TCA(拓朴改变确认)位:该位如果置位表示确认收到一个TC位被置位的配置消息。
这个字节非常重要,它可以迅速的使MAC信息过期。
Bytes Field
2 Protocol ID
1 version
1 Message Type
1 Flags
8 Root ID
4 Cost of Path
8 Bridge ID //刚开始启动时:Bridge ID= Root ID
2 Port ID
2 Message Age
2 Maximum Time
2 Hello Time
2 Forward Delay
说明:
协议、版本、消息类型总为0
Flags包含下列类型:
(1)TC(拓朴改变)位:该位指示拓朴变化并指明该BPDU是一个拓朴变化通告(TCN)BPDU。如果该位
没有置位,则说明BPDU是一个配置BPDU。
(2)TCA(拓朴改变确认)位:该位如果置位表示确认收到一个TC位被置位的配置消息。
这个字节非常重要,它可以迅速的使MAC信息过期。
可以修改默认的优先级:
(config)#spanning-tree vlan 1 priority 20480 //要改为的值一定要是4096的倍数
(config)#spanning-tree vlan 1 priority 20480 //要改为的值一定要是4096的倍数
检验BID:
show spanning-tree
show spanning-tree
步骤二:选举根端口
在每个非根网桥选取唯一一个根端口(root port)----(根网桥上没有根端口的)。
(1)根路径开销最小的成为根端口
(2)如果开销相同,最低的发送方BID(直连网桥ID最小)的成为根端口
(3)然后比较(发送方)Port ID最小端口的成为根端口
Port ID共16位,8位端口优先级(优先级默认为128)、8位的端口号
(1)根路径开销最小的成为根端口
(2)如果开销相同,最低的发送方BID(直连网桥ID最小)的成为根端口
(3)然后比较(发送方)Port ID最小端口的成为根端口
Port ID共16位,8位端口优先级(优先级默认为128)、8位的端口号
STP路径成本(cost):
Link Speed Cost(新修订的)
10 Gbps 2
1 Gbps 4
100 Mbps 19
10 Mbps 100
注:最短路径是Cost累加。
修改端口开销的:
int f0/1
spanning-tree cost 25
int f0/1
spanning-tree cost 25
步骤三:选举指定端口
在每个网段选取唯一一个指定端口(designated port) //每个网段可以理解为一条线路
计算所在网段的端口到根的路径成本总开销,到根桥开销最小的成为指定端口。根桥上的端口都是所在网段的指定端口。
如果cost相同,由BID(端口所在交换机的BID)决定,小的成为指定端口。
落选端口(称为非指定端口)进入阻塞状态,只侦听BPDU。
计算所在网段的端口到根的路径成本总开销,到根桥开销最小的成为指定端口。根桥上的端口都是所在网段的指定端口。
如果cost相同,由BID(端口所在交换机的BID)决定,小的成为指定端口。
落选端口(称为非指定端口)进入阻塞状态,只侦听BPDU。
技巧:与根端口相连的一定是指定端口
3、STP端口的状态
端口状态 端口功能
关闭(Disabled) 不收发任何报文(因为端口shutdown)
阻塞(Blocking)20秒 不接收或转发数据,接收但不发送BPDU,不进行地址学习
侦听(Listening)15秒 交换机确定是否有到根桥的其它路径。不接收或转发数据,接收并发送BPDU,不进行MAC地址学习
学习(Learning)15秒 不接收或转发数据,接收并发送BPDU,开始MAC学习(建MAC表)
转发(Forwarding) 接收或转发数据,接收并发送BPDU,继续MAC学习
==============================================================================================================
RSTP快速生成树
1、它定义了两种类型的端口link-type(交换机连交换机的)和edge-type(连电脑的),每个里面又分为
shared和point-to-point。point-to-point和edge-type类型的端口可以立即进入转发状态。
即使没有收到根桥发来的BPDU,其它网桥也会定期发送BPDU。连续三个周期(缺省6秒)没有收到BPDU,
max age就会超时,从而缩短了收敛时间。
除了根端口、指定端口,它比STP多了两种端口:backup port备份端口 alternate port替换端口
shared和point-to-point。point-to-point和edge-type类型的端口可以立即进入转发状态。
即使没有收到根桥发来的BPDU,其它网桥也会定期发送BPDU。连续三个周期(缺省6秒)没有收到BPDU,
max age就会超时,从而缩短了收敛时间。
除了根端口、指定端口,它比STP多了两种端口:backup port备份端口 alternate port替换端口
2、配置RSTP:
(config)#spanning-tree mode rapid-pvst
==============================================================================================================
VLAN虚拟局域网
1、VLAN ID
(1)普通范围的ID
1-1005
1002-1005保留给令牌环VLAN和FDDI VLAN
1和1002-1005是自动创建的,不能删除
它们存储在闪存中的vlan.dat文件内
(2)扩展范围的ID
1006-4094 为服务提供商设计,存储在运行配置文件中
(1)普通范围的ID
1-1005
1002-1005保留给令牌环VLAN和FDDI VLAN
1和1002-1005是自动创建的,不能删除
它们存储在闪存中的vlan.dat文件内
(2)扩展范围的ID
1006-4094 为服务提供商设计,存储在运行配置文件中
2、VLAN的基本配置
(1)创建VLAN10:
(config)#vlan 10 //可用no vlan 10 删除vlan 10 注意:在删除前,请把这个VLAN下的接口先划分到VLAN1中,否则这些接口将不能用了。
(config-vlan)name caiwu //给VLAN命名
(2)进入接口,把它的模式设为接入模式:
(config)#int f0/1 //如果要将多个接口放入到VLAN10中,不可能一个个的去输入,有简单方法:int range f0/1-5,f0/12-20 这是将f0/1到f0/5
f0/12到f0/20全部要求划入VLAN10中
(config-if)#switchport mode access
(3)将该接口划为VLAN10
(config-if)#switchport access vlan 100
3、验证配置的VLAN:
show vlan brief
show vlan brief
4、Trunk(VLAN中继)-----负责传输多个VLAN的流量
(1)配置:
(config)#int f0/24
(config-if)#switchport mode trunk
(1)配置:
(config)#int f0/24
(config-if)#switchport mode trunk
(2)VLAN Trunk 两种帧格式:
ISL:是cisco交换机独有的协议。
IEEE802.1Q(简称dot1q):是国际标准协议。
ISL:是cisco交换机独有的协议。
IEEE802.1Q(简称dot1q):是国际标准协议。
(3)查看trunk配置信息:
show interfaces trunk
show interfaces trunk
5、删除交换机接口上分配的VLAN,并还原为默认的VLAN1:
(config)#int f0/1
(config-if)#no switchport access vlan
=====================================================================================================================
VTP(VLAN中继协议)
1、VTP(VLAN中继协议)的特征:
它是一个二层的消息通告协议,主要通告VLAN的配置信息
在整个管理域内维护交换机VLAN配置的一致性,避免安全问题的产生
VTP仅仅在Trunk链路上运行,是cisco公司专有的协议,被封装在ISL或802.1Q中继协议内,在VLAN1内传输。
2、VTP模式
server---创建、修改、删除、发送或转发通告、同步VLAN信息、保存在NVRAM中
client---转发通告、同步VLAN信息、不保存在NVRAM中
transparent---创建、修改、删除、转发通告、不同步VLAN信息、保存在NVRAM中
它是一个二层的消息通告协议,主要通告VLAN的配置信息
在整个管理域内维护交换机VLAN配置的一致性,避免安全问题的产生
VTP仅仅在Trunk链路上运行,是cisco公司专有的协议,被封装在ISL或802.1Q中继协议内,在VLAN1内传输。
2、VTP模式
server---创建、修改、删除、发送或转发通告、同步VLAN信息、保存在NVRAM中
client---转发通告、同步VLAN信息、不保存在NVRAM中
transparent---创建、修改、删除、转发通告、不同步VLAN信息、保存在NVRAM中
transparent创建、修改、删除VLAN只在本地有效
server和client哪个的配置版本号(修订版本号)高,就向谁学习VLAN信息
3、配置VTP:
vtp domain cisco //配置VTP域名
vtp mode server //设置VTP模式为服务器模式
vtp password 123456 //设置VTP密码
show vtp status //查看、验证VTP状态
vtp domain cisco //配置VTP域名
vtp mode server //设置VTP模式为服务器模式
vtp password 123456 //设置VTP密码
show vtp status //查看、验证VTP状态
4、VTP修剪---通过减少不必要的流量的扩散,增加了可用的带宽。
VLAN2-VLAN1001能被修剪,VLAN1不能修剪
只要在一台VTP服务器上启用即可,通过VTP加入消息会传遍整个管理域:
(config)#vtp pruning //启用VTP修剪
VLAN2-VLAN1001能被修剪,VLAN1不能修剪
只要在一台VTP服务器上启用即可,通过VTP加入消息会传遍整个管理域:
(config)#vtp pruning //启用VTP修剪
========================================================================================================================
VLAN间路由
1、每个VLAN都是独立的广播域,在默认情况下,不同的VLAN中的计算机之间无法通信。
2、单臂路由器:是通过单个物理接口(把物理接口划分为若干个逻辑子接口)在网络中多个VLAN之间发送流量的路由器配置。
单臂路由配置:
进入路由器的全局配置模式:
int f0/1
no shutdown
no ip address //这个物理接口不能有IP地址
int f0/1.100 //启子接口100,工程中最好与VLAN ID相同
encapsulation dot1q 100 //要设置接口的封装类型,后面的100是VLAN ID。否则不能配置上IP地址
ip address 192.168.1.1 255.255.255.0 //为子接口配置IP地址,这个IP地址一定要与这个VLAN
下的主机IP处于同一个网段,因为这个子接口的IP地址要做这个VLAN下的主机的网关
单臂路由配置:
进入路由器的全局配置模式:
int f0/1
no shutdown
no ip address //这个物理接口不能有IP地址
int f0/1.100 //启子接口100,工程中最好与VLAN ID相同
encapsulation dot1q 100 //要设置接口的封装类型,后面的100是VLAN ID。否则不能配置上IP地址
ip address 192.168.1.1 255.255.255.0 //为子接口配置IP地址,这个IP地址一定要与这个VLAN
下的主机IP处于同一个网段,因为这个子接口的IP地址要做这个VLAN下的主机的网关
3、可以限制VLAN的传输:
int f0/24
switchport trunk allowed vlan 200 //在此接口,VLAN 200能通过
switchport trunk allowed vlan except 300 //在此接口,除了VLAN 300,其它VLAN都能通过
int f0/24
switchport trunk allowed vlan 200 //在此接口,VLAN 200能通过
switchport trunk allowed vlan except 300 //在此接口,除了VLAN 300,其它VLAN都能通过
4、多层交换机实现VLAN通信
(1)、利用三层接口
对于三层交换机,它的接口也是二层的,要用下列命令把二层的关闭,这样才能成为三层的接口
int f0/1
no switchport //关闭二层接口功能
ip add 192.168.1.1 255.255.255.0 //为三层接口配置ip地址
(1)、利用三层接口
对于三层交换机,它的接口也是二层的,要用下列命令把二层的关闭,这样才能成为三层的接口
int f0/1
no switchport //关闭二层接口功能
ip add 192.168.1.1 255.255.255.0 //为三层接口配置ip地址
三层交换机关闭二层接口功能,并且在接口上配置IP地址,可实现不同VLAN之间的通信。(主机的网关设置为三层接口上的IP地址)
注:二层接口是配置不上IP地址的。
注:二层接口是配置不上IP地址的。
(2)、利用SVI口
交换机的虚拟接口(SVI口):三层交换机不关闭二层接口功能,利用SVI口也可实现不同VLAN之间的通信。(主机的网关设置为SVI接口上的IP地址)
int vlan 100 //后面的100要与对应的VLAN的ID相同
ip address 192.168.1.1 255.255.255.0 //为SVI接口配置ip地址
交换机的虚拟接口(SVI口):三层交换机不关闭二层接口功能,利用SVI口也可实现不同VLAN之间的通信。(主机的网关设置为SVI接口上的IP地址)
int vlan 100 //后面的100要与对应的VLAN的ID相同
ip address 192.168.1.1 255.255.255.0 //为SVI接口配置ip地址
=============================================================================================
广域网部分
============================================================================================
基本概念:
广域网部分
============================================================================================
基本概念:
1、如果是数字链路使用CSU/DSU(信道服务单元/数据服务单元),而模拟链路使用Modem(调制解调器)
2、WAN操作主要集中在物理层和数据链路层。
3、几个术语:
CPE(用户前端设备或用户驻地设备),通常是路由器
分界点(demarcation point)---用于分隔客户设备和服务提供商设备。
本地环路(local loop)----将用户驻地的CPE连接到服务提供商中心局的铜缆或光纤电话线缆,有时也称“最后一公里”
中心局(CO)---本地服务提供商的设备间或设备大楼。
数据通信设备(DCE)---服务提供商那端的
数据终端设备(DTE)---用户那端的
CPE(用户前端设备或用户驻地设备),通常是路由器
分界点(demarcation point)---用于分隔客户设备和服务提供商设备。
本地环路(local loop)----将用户驻地的CPE连接到服务提供商中心局的铜缆或光纤电话线缆,有时也称“最后一公里”
中心局(CO)---本地服务提供商的设备间或设备大楼。
数据通信设备(DCE)---服务提供商那端的
数据终端设备(DTE)---用户那端的
4、BRI---(2B[64kb/s]+D[16kb/s])
PRI---(23B[64kb/s]+D[64kb/s]+synchronization[8kb/s])----1.544Mb/s(北美和日本叫T1)
PRI---(30B[64kb/s]+D[64kb/s]+synchronization[64kb/s])----2.048Mb/s(欧洲、中国等叫E1)
5、配置HDLC:
cisco在同步串口(serial)中,默认封装为HDLC,如果与非cisco设备相连,需要改变为ppp封装
#show interfaces serial 1/0 可查看接口的封装类型
(config-if)#encapsulation hdlc //设置接口的封装为hdlc
cisco在同步串口(serial)中,默认封装为HDLC,如果与非cisco设备相连,需要改变为ppp封装
#show interfaces serial 1/0 可查看接口的封装类型
(config-if)#encapsulation hdlc //设置接口的封装为hdlc
============================================================================================
ppp协议
ppp协议
1、ppp通过NCP(网络控制协议)携带多个协议的数据包。
通过LCP(链路控制协议)建立和控制链路
通过LCP(链路控制协议)建立和控制链路
2、在物理层,可在以下接口上配置ppp:
异步串口,同步串口,ISDN,HSSI(高速的串行口)
3、PPP会话的建立过程:
(1)链路建立(LCP)
(2)验证阶段(可选)-----两种PPP验证协议:PAP,CHAP
(3)网络层协议连接(NCP)
(4)断开会话
4、配置PPP封装:
(config-if)#encapsulation ppp //在接口上封装ppp
(config-if)#encapsulation ppp //在接口上封装ppp
5、配置ppp验证:
配置PAP:
(1)在接口上封装ppp
(config-if)#encapsulation ppp
(2)建立本地用户名及密码数据库
把对端路由器的主机名和密码加入到本地验证数据库中。
(config)#username name password password //注:这里的name是指对端路由器的主机名,password是指对端路由器的密码
(3)在接口下启用pap认证
(config-if)#ppp authentication pap
(4)在接口下,发送对方为自己建立的用户名和密码
(config-if)#ppp pap sent-username name password password
配置PAP:
(1)在接口上封装ppp
(config-if)#encapsulation ppp
(2)建立本地用户名及密码数据库
把对端路由器的主机名和密码加入到本地验证数据库中。
(config)#username name password password //注:这里的name是指对端路由器的主机名,password是指对端路由器的密码
(3)在接口下启用pap认证
(config-if)#ppp authentication pap
(4)在接口下,发送对方为自己建立的用户名和密码
(config-if)#ppp pap sent-username name password password
配置CHAP:
(1)在接口上封装ppp
(config-if)#encapsulation ppp
(2)建立本地用户名及密码数据库
先配置好路由器的主机名及密码(两端密码要一致)。ppp在进行CHAP认证时,对端路由器使用此名字进行口令的查找。
把对端路由器的主机名和密码加入到本地验证数据库中。
(config)#username name password password //注:这里的name是指对端路由器的主机名,password是指对端路由器的密码
(3)在接口下启用chap认证
(config-if)#ppp authentication chap
(1)在接口上封装ppp
(config-if)#encapsulation ppp
(2)建立本地用户名及密码数据库
先配置好路由器的主机名及密码(两端密码要一致)。ppp在进行CHAP认证时,对端路由器使用此名字进行口令的查找。
把对端路由器的主机名和密码加入到本地验证数据库中。
(config)#username name password password //注:这里的name是指对端路由器的主机名,password是指对端路由器的密码
(3)在接口下启用chap认证
(config-if)#ppp authentication chap
扩展知识:如果在(config)#username name password password这一步中将对端的主机名写错了,怎么办?
解决:在对端的接口下使用:ppp chap hostname name和ppp chap password password命令
解决:在对端的接口下使用:ppp chap hostname name和ppp chap password password命令
============================================================================================
帧中继
帧中继
1、帧中继是一种快速分组交换技术,是改进了的x.25协议,是基于虚电路的,面向连接的服务。
2、帧中继的几个术语
VC(虚电路)----两个DTE设备间的逻辑连接
PVC永久虚电路 SVC交换虚电路
VC(虚电路)----两个DTE设备间的逻辑连接
PVC永久虚电路 SVC交换虚电路
DLCI(数据链路连接标识符)---用来标识虚电路,DLCI值通常由帧中继服务提供商分配,DLCI仅具有本地意义。
DLCI 0到15和1008到2003留作特殊用途,服务提供商分配的DLCI通常为从16到1007
DLCI 0到15和1008到2003留作特殊用途,服务提供商分配的DLCI通常为从16到1007
LMI(本地管理接口)----客户前端设备和帧中继交换机之间的信令标准,负责管理设备之间的连接,维护
设备之间的连接状态
设备之间的连接状态
Access rate(访问速率)----每个帧中继接口可以传输的最大带宽
CIR(承诺信息速率)----ISP提供的有保障的速率(正常情况下,帧中继网络传输数据的速率,它是在最小单位
时间内的传输数据的平均值,单位为bps)
时间内的传输数据的平均值,单位为bps)
FECN(前向显示拥塞通知)----当网络发生拥塞的时候,向目的设备发送一个FECN数据包,来通知拥塞。
BECN(后向显示拥塞通知)----当网络发生拥塞的时候,向源路由器发送一个BECN数据包,来通知拥塞,同时按25%
的比例降低数据报发送率。
的比例降低数据报发送率。
可使用命令:show frame-relay pvc查看FECN和BECN的情况
DE(允许丢弃指示器)----当路由器检测到拥塞时,帧中继交换机将会首先丢弃那些DE位设置为1的数据包。
3、逆向地址解析协议(ARP从第2层地址中获取其它站点的第3层地址(IP地址)
一般是手工指定映射(静态映射)的,所以要关闭:在接口下:(config-if)#no frame-relay inverse-arp
一般是手工指定映射(静态映射)的,所以要关闭:在接口下:(config-if)#no frame-relay inverse-arp
4、LMI是一种保持连接机制,终端设备每10秒(或大概如此)轮询一次网络。
cisco路由器支持以下三种LMI:
cisco
ansi
q933a
配置命令如下:
frame-relay lmi-type [cisco|ansi|q933a]
查看LMI类型:
show frame-relay lmi
不要求两端路由器的LMI类型一样,只要路由器跟本地帧中继的LMI类型相同就可以。
cisco路由器支持以下三种LMI:
cisco
ansi
q933a
配置命令如下:
frame-relay lmi-type [cisco|ansi|q933a]
查看LMI类型:
show frame-relay lmi
不要求两端路由器的LMI类型一样,只要路由器跟本地帧中继的LMI类型相同就可以。
5、帧中继网络拓朴:
全互联(full mesh)、星型(hub-spoke)、部分网状
全互联(full mesh)、星型(hub-spoke)、部分网状
帧中继缺省为NBMA(非广播的多路访问)
6、配置静态的的帧中继实验:
第一步:启用帧中继封装:
(1)设置接口的IP地址
(2)配置封装
(config-if)#encapsulation frame-relay
(config-if)#no frame-relay inverse-arp
(config-if)#no arp frame-relay
//以上两条是关闭动态映射(逆向地址解析建立的映射)
(2)配置封装
(config-if)#encapsulation frame-relay
(config-if)#no frame-relay inverse-arp
(config-if)#no arp frame-relay
//以上两条是关闭动态映射(逆向地址解析建立的映射)
第二步:建立静态映射:
进入接口:
(config-if)#frame-relay map protocol 目的IP地址 本地的dlci号 [broadcast] [ietf] [cisco] command
例:(config-if)#frame-relay map ip 124.1.1.1 201 broadcast
//因为帧中继是NBMA网络,它不支持组播或广播流量,关键字broadcast允许在永久虚电路上广播和组播,
实际上是将广播转换为单播,以便另一个节点可获取路由更新。
查看映射表
show frame-relay map
进入接口:
(config-if)#frame-relay map protocol 目的IP地址 本地的dlci号 [broadcast] [ietf] [cisco] command
例:(config-if)#frame-relay map ip 124.1.1.1 201 broadcast
//因为帧中继是NBMA网络,它不支持组播或广播流量,关键字broadcast允许在永久虚电路上广播和组播,
实际上是将广播转换为单播,以便另一个节点可获取路由更新。
查看映射表
show frame-relay map
如果不是全互联型的,分公司是与总公司相连的,分公司之间为节省费用不申请FR,现在两个分公司要互相
通信怎么办?可以其中一个分公司的路由器上作映射:
frame-relay map ip 另一分公司的IP地址 本台路由器到总公司的DLCI号 broadcast
另一家公司再做一条返回来的映射:frame-relay map ip 另一分公司的IP地址 本台路由器到总公司的DLCI号 broadcast
由于总公司是能到另一分公司去的,这样的话,可以由总公司转过去,就实现了两个分公司的通信。
通信怎么办?可以其中一个分公司的路由器上作映射:
frame-relay map ip 另一分公司的IP地址 本台路由器到总公司的DLCI号 broadcast
另一家公司再做一条返回来的映射:frame-relay map ip 另一分公司的IP地址 本台路由器到总公司的DLCI号 broadcast
由于总公司是能到另一分公司去的,这样的话,可以由总公司转过去,就实现了两个分公司的通信。
7、把路由器模拟成帧中继交换机:
(1)(config)#frame-relay switching
(2)接口下配时钟速率:(config-if)#clock rate 64000
(3)接口下封装帧中继:(config-if)#encapsulation frame-relay
(4)在接口下指定接口的LMI类型:(config-if)#frame-relay lmi-type cisco
(5)在接口下把接口类型设为DCE:(config-if)#frame-relay intf-type dce
(6)在接口下分配DLCI号:(config-if)#frame-relay route 进来的DLCI号 interface 出接口 出去的DLCI号
(1)(config)#frame-relay switching
(2)接口下配时钟速率:(config-if)#clock rate 64000
(3)接口下封装帧中继:(config-if)#encapsulation frame-relay
(4)在接口下指定接口的LMI类型:(config-if)#frame-relay lmi-type cisco
(5)在接口下把接口类型设为DCE:(config-if)#frame-relay intf-type dce
(6)在接口下分配DLCI号:(config-if)#frame-relay route 进来的DLCI号 interface 出接口 出去的DLCI号
8、FR下ospf下邻居关系的建立
由于ospf路由协议使用组播地址224.0.0.5来更新路由,而帧中继属NBMA(非广播的多路访问网络)它是不能进行组播的,所以ospf建立不了
领居关系,解决:
第一种方法:进入相应的接口下,把接口的网络类型改为点到点的或广播的:(config-if)#ip ospf network point-to-point
第二种方法:手工给它指邻居:进入路由进程下:(config-router)#neighbor 124.1.1.2 如果在星型网络拓朴中,这样指定了邻居,
可发现还是没有学习到某台路由器的路由,所以最好把一台(比如总公司的路由器)设DR,其它的路由器(比如分公司的)为DRother.命令
如下:进入相应接口下:(config-if)#ip ospf priority 0 将要设为DRother的路由器接口的优先级设为0,表示不参与DR和BDR选举。然后
清一下ospf进程:#clear ip ospf process
9、FR下要解决水平分割问题
解决方法:
第一种:关闭水平分割
第二种:使用全互联拓朴结构----这种费用很高
第三种:使用子接口
帧中继可以将一个物理接口分割为多个被称为子接口的虚拟接口。
帧中继子接口可分为:Point-to-Point(点到点子接口)----用在星型拓朴中,子接口充当租用线路,每个点到点子接口都需要有自己的子网。
Multipoint(多点子接口)----用于部分网状和全网状拓朴中,子接口充当NBMA,因此它们不能解决水平分割问题,(可
使用no split-horizon关闭水平分割),它只使用一个子网。
解决方法:
第一种:关闭水平分割
第二种:使用全互联拓朴结构----这种费用很高
第三种:使用子接口
帧中继可以将一个物理接口分割为多个被称为子接口的虚拟接口。
帧中继子接口可分为:Point-to-Point(点到点子接口)----用在星型拓朴中,子接口充当租用线路,每个点到点子接口都需要有自己的子网。
Multipoint(多点子接口)----用于部分网状和全网状拓朴中,子接口充当NBMA,因此它们不能解决水平分割问题,(可
使用no split-horizon关闭水平分割),它只使用一个子网。
10、FR下RIP水平分割的解决方案
(1)关闭水平分割-------RIP默认关闭水平分割
(2)使用子接口
进入主接口:
(config)#int s1/2
(config-if)#no ip address
(config-if)#encapsulation frame-relay //主接口要封装帧中继
(config-if)#no frame-relay inverse-arp
(config-if)#no arp frame-relay
(config-if)#no shutdown //要激活
进入子接口:
(config)#interface serial 1/2.12 point-to-point
(config-subif)#ip address 12.1.1.1 255.255.255.0
(config-subif)frame-relay interface-dlci 102 //102为本地DLCI号,点到点子接口作静态映射与先前的不一样,
不能用形如frame-relay map ip 12.1.1.1 102 broadcast的命令
(config-subif)#no shutdown
(config)#interface serial 1/2.12 point-to-point
(config-subif)#ip address 12.1.1.1 255.255.255.0
(config-subif)frame-relay interface-dlci 102 //102为本地DLCI号,点到点子接口作静态映射与先前的不一样,
不能用形如frame-relay map ip 12.1.1.1 102 broadcast的命令
(config-subif)#no shutdown
11、FR下eigrp水平分割问题解决
(1)先开启开启水平分割:(config-if)#ip split-horizon eigrp 100
再关闭水平分割:(config-if)#no ip split-horizon eigrp 100
(2)子接口
点到点子接口为例:
主接口上的map映射要删除,不能有IP地址
int s1/2.2 point-to-point
ip add 12.1.1.1 255.255.255.0
frame-relay interface-dlci 102 //102为本地DLCI号
int s1/2.4 point-to-point
ip add 14.1.1.1 255.255.255.0 //这两个子接口不能在同一网段。如果是多点子接口,这个子接口ip要与其他路由器
接口处于同一网段。
frame-relay inerface-dlci 104
点到点子接口为例:
主接口上的map映射要删除,不能有IP地址
int s1/2.2 point-to-point
ip add 12.1.1.1 255.255.255.0
frame-relay interface-dlci 102 //102为本地DLCI号
int s1/2.4 point-to-point
ip add 14.1.1.1 255.255.255.0 //这两个子接口不能在同一网段。如果是多点子接口,这个子接口ip要与其他路由器
接口处于同一网段。
frame-relay inerface-dlci 104
然后到其它的路由器上作映射(先把先前的映射删除):
R4上:frame-relay map ip 14.1.1.1 401 broadcast
R2上:frame-relay map ip 12.1.1.1 201 broadcast
R4上:frame-relay map ip 14.1.1.1 401 broadcast
R2上:frame-relay map ip 12.1.1.1 201 broadcast
R2上作指向R4的映射:frame-relay map ip 14.1.1.4 201 broadcast
R4上作指向R2的映射:frame-relay map ip 12.1.1.2 401 broadcast
R4上作指向R2的映射:frame-relay map ip 12.1.1.2 401 broadcast
然后现在R1、R2、R4上重新启EIGRP路由协议(先删除原来的EIGRP)
============================================================================================
无线部分
=============================================================================================
1、Wlan使用无线电波作为物理层----采用CSMA/CA(CA:冲突避免)
2、服务集标识符SSID
SSID使用逻辑上分离WLAN,客户端和访问点AP的SSID必须匹配。Access point在SSID相同的网络范围内广播。
SSID使用逻辑上分离WLAN,客户端和访问点AP的SSID必须匹配。Access point在SSID相同的网络范围内广播。
3、WLAN接入拓朴结构 信号重叠范围10%-15%
4、服务集和方式
(1)Ad hoc mode
独立基本服务集(IBSS)--移动客户端直接连接没有中间AP的访问点
(2)Infrastructure mode
---基本服务集(BSS)--移动客户端使用AP访问互相连接或通过AP对线缆网络访问资源
---扩展服务集(ESS)--二个或更加基本的服务集由一个共同的分布系统连接
(1)Ad hoc mode
独立基本服务集(IBSS)--移动客户端直接连接没有中间AP的访问点
(2)Infrastructure mode
---基本服务集(BSS)--移动客户端使用AP访问互相连接或通过AP对线缆网络访问资源
---扩展服务集(ESS)--二个或更加基本的服务集由一个共同的分布系统连接
5、WLAN的标准:
(1)IEEE802.11b 1999年 工作频段:2.4-2.4835GHz 速率:11Mbps、5.5Mbps、2Mbps、1Mbps
(2)IEEE802.11a 1999年 工作频段:5.15-8.825GHz 速率:54Mbps/72Mbps 传输距离控制在10-100米
(3)IEEE802.11g 2003年
(1)IEEE802.11b 1999年 工作频段:2.4-2.4835GHz 速率:11Mbps、5.5Mbps、2Mbps、1Mbps
(2)IEEE802.11a 1999年 工作频段:5.15-8.825GHz 速率:54Mbps/72Mbps 传输距离控制在10-100米
(3)IEEE802.11g 2003年
6、安全
(1)更改默认的SSID
(2)禁用SSID广播
(3)更改默认的管理密码
(4)启用MAC地址过滤
(5)启用加密功能
WEP---1997年:不强大,算法容易破解
802.1x EAP---2001年:动态分配KEY,支持用户认证
Wi-Fi Protected Access (WPA)---2003年 比较强大
Wireless IDS---防止DOS***
802.11i WPA2--2004年
(1)更改默认的SSID
(2)禁用SSID广播
(3)更改默认的管理密码
(4)启用MAC地址过滤
(5)启用加密功能
WEP---1997年:不强大,算法容易破解
802.1x EAP---2001年:动态分配KEY,支持用户认证
Wi-Fi Protected Access (WPA)---2003年 比较强大
Wireless IDS---防止DOS***
802.11i WPA2--2004年
转载于:https://blog.51cto.com/zlgz180/270846