目录
路由器(诞生网络层在表示层和mac层中间)表示层之下都为二进制
网络基础day1
最初电脑层级
- 应用层 人机交互 抽象语言-编码
- 表示层 编码-二进制
- 介质访问控制层 cpu程序 控制硬件
- 物理层 硬件
网络增大
- 距离延长 电压下降,波形失真 中继放大器最多延长5倍 安全 垃圾信息延时 地址 电波冲突
- 节点增大
- RJ-45双绞线 传输数字信号 被设备识别读取 RJ -11电话线
- 网速民用1000mb/s 100米信号衰减
- bit 8bit=1字节 1024字节=b 1024b=B
- 速率 约等于 (带宽/8)*85%
- 升级固态和内存就等于新电脑
网络链接: 直线,环形,星型(性价比),多环(贵,顶配) 网络容忍2s
地址规则:唯一,格式一样
地址: MAC(物理)地址 48位二进制 全球唯一,出场烧制,一般表示为16进制
冲突: 所有节点同时发送数据,电波对冲,解决方法排队不能完全解决冲突,增大延时
大规模网络要求; --网桥 ---交换机
交换机为二层设备,可以进行数据和电流转换
- 无线传输距离(进行重新读和写)
- 没有冲突(物理上无冲突,进入交换机就变成二进制)
- 单播 一对一 (交换机识别数据mac地址)查看mac地址表,找不到目标mac地址进行洪泛,向除去源mac地址外的所有范围内发送数据,洪范范围---路由器
路由器(诞生网络层在表示层和mac层中间)表示层之下都为二进制
Ip地址(逻辑地址)
-----IPV4地址:32位二进制 点分十进制
-----IPV6地址:128位二进制 冒分16进制
Ipv4
网络位,主机位
192.168.1.1
128 64 32.16.8.4.2.1
11000000.10101000.00000001.00000001
子网掩码(用来确定网络位)
255.255.0.0 255.255.255.0
192.168.1.1
192.168.2.1
Ping一次 发送四次,测试相通,速率,稳定
防火墙会阻止ping
路由器 网络关口 网关 知道自己网关才能向外通讯
有ip肯定有mac地址 三层设备肯定有二层设施
传输过程每过一个广播域(路由器)mac换一次 源mac变目标mac不变
- ARP地址解析协议 通过对端的一个地址获取对端的另一个地址
- DNS域名解析服务 记事本,用域名帮助寻找IP地址 114.114.114.114或者8.8.8.8
114.114.114.114或者8.8.8.8 避免域名劫持
上网:客户端终端访问服务端进行数据交换
有钱redhad 没钱ubuntu
第一次ping超时丢一个包很正常
七层网络模型OSI
软件是上三层,下四层一样
- 应用层
- 表示层 转换 抽象语言—编码—二进制
- 会话层 不一定需要会话层,提供会话地址(程序内部地址) 例如QQ号,网名
- 传输层 分段(受mto限制) 提供端口号—进程或服务 TCP/UDP协议
- 网络层 Ipv4—逻辑寻址----互联网协议 路由器
- 数据链路层=逻辑链路控制层(LLC二层校验)+(Mac介质访问控制层) 控制硬件,控制物理层 交换机
- 物理层 硬件
Mto:最大传输单元 默认1500
端口号: 电脑多进程,多个进程号,对于端口号。边玩QQ边听音乐 同时链接不同服务器
端口号0-65535 1024-65535动态端口号—随机标定客户端进程
1-1023 注明端口 用于默认标记不同的服务
UDP:用户数据报文协议
非面向链接的不可靠传输协议
服务质量不好:仅完成基本工作,传输速度快,追求实时性
发送数据包:源端口号,目标端口号,长度,校验盒(保证数据完整) date
安全性:包括-1完整-2私密-3
TCP:数据控制协议(三次握手,四次断开)
面向链接的可靠传输协议额外保障传输可靠性
- 面向链接—通过三次握手建立端对端的虚链路
- 可靠传输—4种可靠传输机制—确认 重传 排序 流控(滑动窗口)
重传 拒绝或者到期
流控 :保证最大使用量,一个包没问题后一直增加传输端口号
Day2
名词注解
OSI:开放式系统互联参考模型—七层模型 ISO给各行各业制定标准
TCP/IP:协议栈道 来源于美国的战争,联通海陆空通信
MTU:最大传输单元,四层分段时,每一段最大容量
DNS:域名解析服务
ARP:地址解析协议---通过对端一种地址来获取另一种
正向ARP—已知对端IP,通过广播获取对端mac地址
无故arp—已知自己IP,广播问自己mac,确定IP是否冲突
双工:全双工—物理隔离,同时收发
半双工—一会发送,一会接收 wifi理论半双工
封装:数据从高层向低层不断加工—数据包不断变大
解封装:数据读取识别过程,与封装相反
PDU:协议数据单元—对各层数据的单位称呼
应用层—数据报文
传输层—段
网络层—包 社会上用包代表一切
数据链路层—帧
物理层—比特流
Tcp/ip五(4层)层 tcp/ip中应用层是osi模型中的前三层 osi中network协议太多
路由器:帮助在世界上寻找地址
IPV4地址
32位二进制构成,点分十进制标识 192.168.11
存在ABCDE分类
其中ABC为单播地址----既可以作为源IP也可以作为目标IP
D为组播地址(先行部署)--只能作为目标IP地址
E为保留地址
基于IP地址第一个八位进行分类
A1-126
B128-191
C192-223
D224-239
E240-255
只有单播地址中存在网络位(标识对应广播域)+主机位概念,故只有单播地址存在子网掩码
Abc三类区别
A默认子网掩码255.0.0.0
B 255.255.0.0
C 255.255.255.0
特殊地址
1.127—环回地址 127.0.0.1 各种ping用来检错
2.255.255.255.255 受限广播地址(路由器限制—路由器不转发该数据包)
3. 0.0.0.0 1)缺省—所有地址 2)无效—没有地址
4.在每段地址中主机位全0
192.168.1.0 255.255.255.0 不是单播地址,不能配置交给设备作为IP
网络号—代表该网段
192.168.1.x 255.255.255.0=192.168.1.0 255.255.255.0=192.168.1.0/24(简写)
5.在每段地址中主机位全1(不是单播地址,不能配置交给设备作为IP)
直接广播地址—向其他指定广播域广播
192.168.1.11111111/24=192.168.1.255/24(正常路由器不提供该服务)
6. 169.254.0.0/16 本地链路地址,自动私有地址(相当于没网络)
终端设备自动获取IP地址失败后本地自动分配
一.VLSM可变长子网掩码 子网划分
通过延长子网掩码长度,从主机位借位到网络位,来实现将一个网路号切分为多个,用于标记多个广播位,但每个广播域范围缩小
0 0000000 /24 255.255.255.128 192.168.1.0 1-126
1 0000000 /24 255.255.255.128 192.168.1.128 129-254
192.168.1.0/24划分为四个子网
128 64 32 16 8 4 2 1
172.16.0.0/15 四个子网
172. 0001000 0.0 0000000.00000000 172.16.0.0 16.0.1—16.127.254
255. 1111111 1.1 1111111.11111111 255.255.128.0
172. 0001000 0.0 0000000.00000000 172.16.128.0 16.128.1—16.255.254
255. 1111111 1.1 1111111.11111111 255.255.128.0
172. 0001000 0.0 0000000.00000000 172.17.0.0 17.0.1—17.127.254
255. 1111111 1.1 1111111.11111111 255.255.128.0
172. 0001000 0.0 0000000.00000000 172.17.128.0 17.128.1-17.255.254
255. 1111111 1.1 1111111.11111111 255.255.128.0
二.CIDR(子网合并)
取相同位,去不同位
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24 =192.168.0.0/21
192.168.4.0/24
eNSP(接口IP掩码)
Sy进入操作层
Dispiay ip interface brief 查看接口摘要
Q 下一层
Interface gigabit Ethernet 0/0/1 进入接口
Ip address 192.168.1.1 24 配置IP和子网掩码
Save 保存配置
第三天
交换机右面俩口插关模块 rj45可以万兆,实现困难
一个铜线电波频段过多产生非常大的磁干扰,措施:水晶头用屏蔽头,磁干扰传到铜片上,再接地导出,俩个接地处,预埋俩个导体
俩次ARP导致前俩个包超时
DHCP:动态主机配置协议
统一分发IP地址的协议;C/S模型---服务端+客户端
获取IP为客户端,分发IP为服务端 DHCP广播进行,无IP的时候地址为0.0.0.0
成为DHCP服务器条件
- 该设备可以直连到获取IP的设备,即在同一广播域
- 该接口或网卡必须已经配置了IP(路由器等网络设备手配IP需要固定IP)
创建DHCP池塘
- [Huawei]dhcp enable 先在设备上全局开启DHCP服务功能
在一个设备可以创建多个池塘 一个池塘只能管理一个广播域
- [Huawei]ip pool wangcai 创建DHCP池塘,名为旺财
- [Huawei-ip-pool-wangcai]network 192.168.1.0 mask 24关联接口,定制范围
- [Huawei-ip-pool-wangcai]gateway-list 192.168.1.1 网关IP地址
- [Huawei-ip-pool-wangcai]dns-list 192.168.2.3 114.114.114.114 dns服务器地址
需要进行地址下发的接口上进行服务开启
- [Huawei]interface GigabitEthernet 0/0/1
- [Huawei-GigabitEthernet0/0/1]dhcp select global
网络部署思路:
- 拓扑设计 –IP地址规划
- 实施
- 拓扑搭建
- 配置
配置所有节点的合法IP
路由—全网可达
策略—规则 优化 安全
测试(每个阶段都应该测一下)
-
- 排错
3.维护
4.升级—割接
广播域判断:洪范能收到,不是路由器口,接多个路由器网关可随便设置一个
以长远的角度设计拓扑结构:高容错率,高利用率,更重要的不能占用骨干线路(增加延迟)
路由器作用
- 用于不同网络的互联
- 为它所所承载的数据做路径的选择(路由)
- 路由表容量也产生差价
- TTS(路由器参数):带宽虽然一样,但质量好的可以搬运任意大小的包,质量不好的只能搬运小的包
- 环:俩个路由器都认为该包得发送给对方,死循环,一旦发生设备就会一直重启
- TTL:生存时间,每转发一次数值减一,为0时不再转发吗,减小成环损失
[Huawei]display ip routing-table 查看路由器路由表
默认路由器以一个网段为目标进行记录
默认仅存直连网段的路由,非直连网段为未知网段
获取网段的方式
- 静态路由—手写路由表
- 动态路由—在路由器上选择相同的算法协议后,协议自动沟通计算生成路由表
静态配置(数据是双向的)
ip route-static 192.168.3.0 24 192.168.2.2 去3.0找2.2
下一跳在此路由器的范围内
全网可达
- 任何设备ping任何IP可通
- 每一台设备有到达每一个网段的路由
静态路由扩展配置
- 负载均衡
当路由器访问同一个目标,具有多条开销相似的路径时,可以让设备将流量拆分后沿多条路径同时传输;--叠加带宽
- 手工汇总:
当路由器访问多个连续子网,若下一跳一样的时侯,将这些网段进行汇总计算,之后仅仅编辑汇总网段的静态路由即可
- 大大减少路由表条目
- 加快转发效率
- 路由黑洞
汇总地址中,包含实际不存在的网段时,将可能流量有去无回,浪费网络链路资源—良好的地址划分和精确的网段汇总可以尽量减少黑洞出现
- 缺省路由
一条不限定目标的路由条目,查完所有路由和直连后不知道在哪就扔给缺省路由
(0.0.0.0 0000)代表任何不知道的地址
- 空接口路由—当路由黑洞与缺省路由相遇,形成环null 0
防止方法;在黑洞路由器上加上空接口路由(空接口路由=丢弃),查不到缺省路由上,就没环了
- 浮动静态路由
有接口浪费时,俩条 带宽不一样时目标网段一样,直接写会进行负载均衡产生浪费
- 调整路由默认优先级,可以实现静态路由备份的效果(在配置路由时后面加上P数字,默认优先级为60)
- 环回路由;
pc存在环回网卡,用于检测系统网络组件同理在路由器上配置环回接口,也有相同的作用
- Interface loopback ? 创建接口
- IP address 1.1.1.1 24 配置IP地址
实验环境下减少成本
第四天
动态路由协议
在每台路由器上启动同一算法的路由协议,之后路由器之间沟通计算生成未知网段的路由表,最终实现全网可达。
缺点:
- 占用物理硬件资源—设备的计算,链路带宽
- 安全问题
- 计算错误或计算失误
静态缺点
- 在中型网络中配置量过大
- 不能基于网络拓扑的变化实时收敛,出现意外不可实时更新变化
故:在简单小型网络使用静态,在较复杂或中大型网络中使用动态;
但使用动态协议的过程中 ,应尽量降低其缺点的影响:
动态协议的分类
基于AS进行分类 AS—自治系统(划分S 1.各个组织 2.地域)
标准AS号0-65535 其中1-64511共有 64512-65535私有
- IGP 内部网关路由协议 一个AS内 --RIP/OSPF/ISIS/EIGRP…
EIGRP:好用,但必须都是思科设备
Rip:早已淘汰,为讲课而讲
- EGP 外部网关路由协议 各个AS间 --BGP
选择动态协议:收敛速度快,占用资源少,选路佳无环
IGP协议分类
基于更新时是否携带子网掩码---有类别—不带掩码 无类别—携带
基于工作特征--- DV距离矢量 –RIP EIGRP 路由表扔到旁边,共享路由表(防环差)
LS链路状态 -OSPF EIGPRP 把自己已知的丢给邻居(计算量多)
RIP:路由信息协议 存在v1/v2 RIPNG(IP v6)
特征
- 典型的距离矢量协议;
- 基于UDP520端口工作;
- 使用跳数作为度量进行选路;
- 支持等开销负载均衡;
- 周期更新30s一次(没有确认机制 周期保活)多个设备异步周期,一个设备的信息多个30s才能被下n跳的设备知道
- 优先级为100
- 只能发更新包这一种消息
V1和V2区别:
- V1有类别协议 V2无类别协议;V1不支持子网划分,子网汇总
- V1使用广播更新255.255.255.255 V2使用组播更新224.0.0.9
使用组播得有组播环境,而RIP没有环境,因此和广播没差距
- V2支持手工认证 保证相对安全
更相信跳数少的设备,但时间不同的情况更新到后一条信息。
RIP破环机制:
1.水平分割—从此口进,不从此口出—仅仅限于直线拓扑防环 主要用于避免MA网段的重复更新问题
2.毒性逆转水平分割--触发更新 毒性(发出不合理的消息,让对方知道出事了)
逆转(把该消息返回给对方,让对方明白我收到了)
3.最大跳树—15跳,在环路产生后起作用
4.抑制计时器
RIP基础配置
V1
Rip 启动协议,启动时可以定义进程号;
Version 1 选择版本一
宣告主位
- 激活—该接口可以收发rip协议的信息(更新包)
- 路由—被选中接口的路由信息可以传递给其他邻居
Network 1.0.0.0
V2
[Huawei]rip 启动
[Huawei-rip-1]version 2 选择版本2
[Huawei-rip-1]undo summary 关闭自动汇总
若不关闭,则使用主类长度掩码来发送路由,关闭后携带接口精确掩码来发送路由
[Huawei-rip-1]network 1.0.0.0
[Huawei-rip-1]network 12.0.0.0
Rip扩展配置
- RipV2的手工汇总
在更新源头设备,所有更新发出的接口配置即可
- Int g0/0/1
- Rip summary-address 1.1.0.0 255.255.252.0 summary汇总
- RIPV2的认证
在俩台运行rip协议的路由进行管理,让俩台邻居设备发出的数据中携带身份核实密钥,也同时对传输的路由信息进行加密
- Int g0/0/1 在邻居链接的接口上配置
- rip authentication-mode md5 usual cipher 123456选择加密手段设置密码123456
俩端密码必须完全一样
- 被动接口(沉默接口)
仅仅接受不发送路由协议信息,仅限用于链接用户pc的接口
- Rip
- Silent-interface gigabit Ethernet 0/0/0
- 加快收敛
30s更新 180s失效 180s抑制 300s刷新
人为修改计时器可以加快收敛,但修改时
- 不宜过小
- 尽量维持原有倍数关系
- 全网设备计时器需修改一致
Rip
Times rip 30 180 300
- 缺省路由
边界路由器进行rip缺省配置后面,该设备内部运行rip协议的设备发送缺省更新,使内部所有rip设备自动上传缺省路由,下一跳指向边界路由器方向
边界路由器上的缺省需要管理员手动静态配置
- Rip
- Default-route originate
做空接口避免环
ip route-static 192.168.1.128 26 null 0 地址为汇总的可能出现黑洞的网段
第五天
OSPF:开放式最短路径优先协议
- 无类别链路状态IGP协议 无类别:有掩码 链路状态(周边拼图)
- 现实中使用频率高,
- 占用资源多,无环,选路佳方面还行
- 支持等开销负载均衡
- 基于组播更新—224.0.0.5,6
- 支持触发更新,每30分钟一次周期更新
- 需要结构化的部署 区域划分,地址规划(控制更新量)
OSPF数据包类型:
- Hello 用于邻居发现,关系建立,周期保活;每台设备拥有唯一rid
- DBD 数据库描述包,携带数据库目录
- LSR 链路状态请求 查看完对端邻居DBD后,基于本地未知的LSA信息查询
- LSU 链路状态更新 用于携带各种LSA信息
- Lsack 链路状态确认 确认接受到对端的信息
LSA—链路状态通告—具体路由或者拓扑信息
Ospf状态机
OSPF路由器之间的邻居关系所在的不同阶段
- Down 一旦本地发出hello包进入下一个状态
- Init初始化 一旦接收到hello包,存在本地的RID(A收到B的hello包,B的hello包中存在A的名字
- Two way 双向通讯 邻居关系建立的标志
条件匹配:在点到点网络类型中直接进入下一个状态机,在MA网络中,将进行DR/BDR选举,非DR/BDR间不能进行下一个状态机
- Exstart预启动 使用不携带目录信息的DBD包进行主从关系选举,rid数据大为主,优先进入下一个状态机
- Exchange准交换 使用携带具体数据库目录信息的DBD进行目录交换,需要ack确认
- Loading 加载 查看完对端邻居的dbd后,使用lsr查询本地未知的lsa信息:对端使 用lsu包进行lsa回复,本地用ack确认接受到的lsu包
- Full 转发 邻接关系建立的标准
Ospf的工作过程
- 启动配置完成后,本地组播224.0.0.5发送hello包;
- hello包携带本地的rid值,及其已知所有邻居的rid值
- 若接受来自对端的hello包中,存在本地rid,视为双方认识,邻居关系建立生成邻居表
- 邻居关系建立后,条件匹配,匹配失败将停留于邻居关系,仅仅hello包周期保活即可;
若条件匹配成功,可以建立邻接关系
- 先使用不携带数据库信息的dbd包进行主从关系选举,rid数字大为主优先共享数据库目录;
- 之后本地基于对端的dbd包查找本地未知的lsa信息;
- 之后使用lsr/lsu/lsack来获取lsa信息;
- 最终生成数据库表(lsdb—链路状态数据库)
- 之后本地启用sfp算法,基于本地的lsdb生成有向图,再计算最短路径生成树,再基于树型结构,算出本地到未知网段最短路径,加载于本地路由表;
- 收敛完成后,hello包周期保活,每30分邻接关系进行dbd比对,若一致继续保活即可,不一致将重新收敛;
树形结构:防环,选路佳
结构突变:
- 新增一个网段 直连新增网段的设备,直接使用更新包告知邻接关系接口;需要ack
- 断开一个网段 直连断开网段的设备,直接使用更新包告知邻接关系接口;需要ack
- 无法沟通 hello时间10s;dead time死亡时间hellotime的4倍;超过保活信息,删除邻居关系
Ospf的基础配置
- ospf 1 router-id 1.1.1.1 启动协议时,需要定义进程号,仅具有本地意义;
同时建议定义rid值:使用ipv4地址,需要全网唯一:手工-环回最大数值-物理接口最大值
宣告:1.激活 2.路由或拓扑 3.区域划分
- Area 0 进入区域0
- Network 1.1.1.1 0.0.0.0 四个0锁死一个地址
Network 12.1.1.0 0.0.0.255 匹配12.1.1.0-255的地址
在具体宣告时,必须使用反掩码
区域划分规则
- 星形接口 骨干区域为0,大于0为非骨干区域,非骨干必须直接链接到骨干
- Abr—域间路由器 俩区域互联,必须存在arb-同时工作在俩个区域
当ospf配置完成后,邻居间开始收发hello包,建立邻居关系,生成邻居表
- 查看邻居关系:display ospf peer brief
display ospf peer 查看详情
邻居关系建立后,失败保存为邻居关系,成功将建立邻接关系,过程中使用DBD/LSR/LSU/LSACK来获取未知的LSA信息,同步完善网络的LSDB-数据库表
- 查看数据库目录:dispiay ospf lsdb
该协议在不同条件下产生不同类别lsa
当数据库表同步完成后,每台ospf路由器使用本地sfp算法生成所有未知网段的路由,之后加载到路由表中;
Display IP route 查看路由
- Dispiay ospf routing 查看有的和学到的路由
路由默认优先级为10
使用cost作为度量值 cost=开销值=参考带宽/接口带宽
默认参考带宽为100
接口大于100值为1,将可能选路不佳,在接口大于参考的网络中,可以人为修改带宽
Ospf 1
- Bandwidth-reference 1000 修改带宽为1000M
注意:一旦修改带宽,全网接口均需修改
Ospf扩展配置
从邻居关系建立成为邻接关系的条件
网络类型:
1.点对点 一个网段只支持俩个节点 早期网线,串线1.544M稳定,安全(点对点)
2.MA 多路访问—一个网段存在的节点数量不限制
OSPF在点对点的网络中,所有邻居关系直接建立邻接关系
在MA网段中,若所有的设备中均为邻接关系,可能出现大量的重复更新
故进行DR/BDR(老大,老二)选举;所有非DR/BDR设备间维持邻居关系,每个网段都进行选举
选举规则
- 先比较参选接口优先级,默认1 0-255,大优;
Int g0/0/0
Ospf dr-priority 2 修改优先级为2
2.若参选接口优先级相同,比较参选设备的RID。大优
注意:DR/BDR选举是非抢占的,确定的不会更改;需要重新弄选举时,重启该网段所有参选设备的ospf进程,若参选接口优先级为0,不会参与选举
Reset ospf process
- 手工认证
邻居间接口上定义安全密钥
Int g0/0/0
Ospf authentication-mode md5 1 cipher 123456
模式 编号 密钥
邻居间三个参数必须一致 匹配成功自动弹出日志
- 手工汇总
传的是拓扑,不能直接合并
区域汇总 在ABR上将a区域路由共享到B区域时,方可进行手工汇总的配置
Ospf 1
Area 0
Abr-summary 1.1.0.0 255.255.252.0
注:此时该设备同时连接区域0和其他的区域;在将区域0的部分路由共享到其他区域时,进行了汇总的配置,汇总网段为1.1.0.0/22;
- 被动接口-沉默接口
仅接受不发送路由协议信息,只能用于连接用户pc的接口;不得用于连接其他路由器ospf邻居的接口;
Ospf 1
Silent-interface gigabitEthernet 0/0/2
- 加快收敛-修改计时器
Hello time 10s dead time为hello time的4倍;
修改一台路由器一个接口的hello time ,该接口的dead time时间将自动匹配;
切记:邻居间直连接口的hello和dead time若不一致,将不能建立邻居关系;
修改时不建议修改过小
Int g0/0/1
Ospf timer hello 10
- 缺省路由
在连接外网的边界路由器上配置,配置一条缺省信息后,该设备向内网发送信息,使得内部其他ospf设备自动生成缺省路由,下一跳指向边界路由器方向;
边界路由器需要拥有到达ISP(网络服务提供商)的缺省路由,需要管理员手工编写
第六天
VLAN:虚拟局域网技术
交换机和路由器协同工作后,将原来一个广播域逻辑的切分为多个
配置思路:
- 机上创建vlan
编号:0~4095 默认接口都处于vlan1
Vlan 2 创建vlan
Undo vlan 2 删除
Vlan batch 2 to10 15 to 20 批量创建vlan
- 交换机上各个接口划分到对应的vlan中
Interface eth0/0/1
Port link-type access 先将接口模式改为接入
Port default vlan 2 再将该接口划分到对应vlan
批量将一些接口划分到对应vlan中
Port-group group-member etherent0/0/3 to etherent0/0/4
Port link-type access
|
或者俩交换机之间家一根线,形成俩个专用通道 |
Port default vlan 3
- Trunk干道(进行贴标签)--中继干道 SW-SW SW-route
Interface gigabitetherent 0/0/1
Port link-type trunk 修改为trunk模式
Port trunk allow-pass vlan 2 to 3
华为设备默认trunk干道仅允许vlan 1通过,需添加其他
Port trunk allow-pass vlan all 允许所有vlan通过
Trunk干道特点:不属于任何一个vlan,承载所有vlan流量,标记和识别不同vlan编号的功能;IEEE-802.1Q标准=dot1q
- Vlan间路由
路由器上的子接口—单臂路由 一个物理接口分为多个逻辑接口
Int g0/0/0.1
Dot1q termination vid 2 定义其管理的vlan
IP address 192.168.1.1 24 配置接口IP地址
Arp broadcast enable 默认虚拟接口不做回应 华为需要手工开启子接口arp功能
路由器工作核心:路由表 配路由器,先规划IP
交换机工作核心;mac地址表 配交换机,最后规划IP
ACL:访问控制列表
功能:
- 访问控制—在路由器流量入或出的接口上,匹配流量,之后产生动作(看门大爷)
允许/拒绝
- 定义感兴趣流量—帮助其他策略协议抓流量;
匹配规则:
至上而下逐一匹配,上条匹配按上条执行,不再查看下条;
在思科体系中,末尾隐含拒绝所有;在华为体系中,末尾隐含允许所有;
分类:
标准—仅关注数据包中的源IP地址;
扩展—关注数据包中等源,目标IP地址,协议号或目标端口号
标准acl配置
不能过早接口配置,调用时应尽量靠近目标,避免源对其他地址的访问误删;
创建acl时可以命名来标记 acl name class 2000
[Huawei]acl ?
INTEGER<2000-2999> 标准acl编号
INTEGER<3000-3999> 扩展acl编号 一个编号是一张规则表,可以容纳大量规则
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 不允许这个ip
动作
- 在 匹配地址时,需使用通配符;
Acl的通配符与ospf的反掩码匹配规则相同;区别在于通配符可以0,1穿插
Rule permit source 192.168.2.0 0.0.0.255 允许一个网段
Rule peremit source any 允许所有
- 默认以五为步调自动添加序列号,便于插入和删除
Rule 7 deny source 192.168.2.1 0 插入
Undo rule 7 删除
- 切记acl编写完成必须在相应位置调用,路由器一个接口一个方向只能调用一张acl表
调用:int g0/0/0
Traffic-filter outbound acl 2000
Inbound 入方向
Outbound 出方向
扩展acl配置
关注源/目标IP地址,目标端口号和协议号;由于拓展acl对流量进行精确匹配,不会误伤,尽量靠近源IP的接口处调用
1.仅关注源/目标IP地址
acl 3000
rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0 源,目标IP
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 接口调用
2.在关注源,目标IP地址的同时,关注目标端口号
[Huawei]acl 3001
[Huawei-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23
拒绝IP地址192.168.1.10对目标IP地址1.1的目标端口号为23的TCP通讯行为—telnet被拒绝
- 然后在端口删除原acl3000调用此acl 3001
执行完成后ping可以,telnet登陆不行
配置思想
标准acl尽量配置靠近目标IP的路由器接口,扩展acl配置靠近源IP的路由器接口
先拒绝一些,再允许所有,或先允许再拒绝所有,拒绝对路由器的服务时得拒绝对该路由器上所有接口的IP地址的服务访问
扩展:telnet远程登陆 基于TCP的23端口工作
条件:1.登陆与被登陆设备可达
2.被登陆设备开启telnet设定
被登陆设备创建用户:
[Huawei]aaa 进入AAA服务
[Huawei-aaa]local-user zhangheng privilege level 15 password cipher 123456创建账号密码
[Huawei-aaa]local-user zhangheng service-type telnet 账号用于远程登陆
[Huawei]user-interface vty 0 4 直接开五个虚拟登陆口(可五个人同时登)
[Huawei-ui-vty0-4]authentication-mode aaa 使用AAA服务
登陆(管理员)设备输入:telnet 192.168.1.1(被登陆设备IP地址)
路由器当电脑用的方法:
1.接口配IP
2.配个缺省指向网关
第七天
rip配被动接口设置物理接口没用,得把俩逻辑接口设置了
配缺省后一般得配空接口防环
Ipv4地址中,在ABC三类中还存在私有IP和共有IP的区别
公有—全球唯一性,可以在互联网中通讯,付费使用
私有—本地唯一性,不能在互联网中通讯,免费使用
一般为以下三种
10.0.00/8
172.16.0.0/16~172.31.0.0/32
192.168.0.0/24~192.168.255.0/24
运营商为了节省IP,有时候会给用户假公有IP
辨别真假:看自己路由器wan口IP,再到百度查询自己IP,看是否一致,不一致就是被net(地址转换过)
NAT网络地址转换
一般用来在边界路由器上,进行公有和私有IP地址的转换
一对一(静态)
一般内网有服务器时添加使用
Int g0/0/2 连接外网的接口
Nat static global 12.1.1.3 inside 192.168.1.1
公有(不能用该接口IP 12.1.1.1,再买一个公有IP12.1.1.3)inside私有
这个12.1.1.3为该接口悬空IP,等于该接口mac有俩IP
一对多(动态)
又被称为PAT端口地址转换
端口号0-65535 即最多同时发65535个包
Acl 2000 此时acl帮助net抓对应IP地址的包
Rule permit source 192.168.0.0 0.0.255.255 帮net抓取此范围包
Int g0/0/2
Nat outbound 2000 2000表里面的IP出去会被nat地址转换
多对多
大型网络规模使用(一对多的65535不够用时)
Nat address-group 1 12.1.1.4 12.1.1.10 定义公有IP地址池,创建池塘1
Acl 2001
Rule permit source 192.168.0.0 0.0.255.255 定义私有地址范围
Q
Int g0/0/2
Nat outbound 2001 address-group 1 no-pat
切记:no-pat 添加的区别很大
若添加为 静态多对多:多个一对一 一次只能出去公有IP数量的包
不添加为 动态多对多:多个一对多
端口映射
只有一个公有IP,在一对多的基础上,把边界路由器一个端口号固定给一个设备端口号
Nat server protocol tcp global current-intterface www inside 192.168.1.10 www
Nat server protocol tcp global current-intterface 8080 inside 192.168.1.10 www
www默认等于80端口号
扩展:可用于网络安全,隐藏服务端口
思科设备
Router>enable 游客模式,键入授权
Router# 特权模式,查看所有参数
Router#configure terminal 配置终端
Router(config)#全局模式 管理设备
Interface fastEthernet 0/0 进入百兆接口 e十兆 g千兆
No shutdown 思科接口默认关闭,用此命令开启
- 创建vlan
Vlan 2 10 创建vlan二到十 思科不需要输入描述性词汇
Exit 返回上一层
- 接口划分到vlan
Interface fa0/1
Switchport mode access
Switchport access vlan 2
- Trunk干道
Show vlan 二层查看vlan
Interface fastetherent 0/2
- 路由器子接口
Interface fastetherent 0/0
No shutdown
Exit
Interface fastetherent 0/0.1
Encapsulation dot1q 2 定义接口管理vlan2
IP address 192.168.1.1 255.255.255.0
Exit
- 三层交换机作为路由器时
Interface fa0/1 先将连接二层交换机的接口改为trunk模式
Switchport trunk encapsulation dot1q
Switchport mode trunk
Vlan 2 创建vlan
Exit
Interface vlan 2 定义管理vlan的虚拟接口
Ip address 192.168.1.1 255.255.255.0
Exit
三层交换机和路由器定义DHCP池塘方法完全一样
- 创建DHCP池塘 一个子接口一个池塘
IP dhcp pool a
Network 192.168.1.0 255.255.255.0 网段
Default-router 192.168.1.1 网关
Dns-server 114.114.114.114 8.8.8.8 dns服务器
修改设备名称 hostname zhangheng
电脑用于登陆真实路由器交换机的软件secureCRT
串形模式 波特率默认9600
259
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
