目录
其他
-
访问服务器三种方式:IP地址访问、域名访问、App访问或应用软件--软件内置了服务器的IP地址,比如QQ、游戏客服端等;本质:通过IP地址访问
-
个人电脑使用RJ-45双绞线传输介质
-
VRP(versatile routing platform通用路由平台)
-
华为路由器的接口默认都是开启的 思科路由器的接口默认都是关闭的
-
AP:无限接录点
-
URL:统一资源定位符
-
DNS用UDP和TCP的53端口
-
ARP的老化时间180s
网络基础
逻辑:
大--->无限距离、无冲突、单播--->交换机--->MAC地址-->洪泛--->洪泛的范围-->路由器-->IP地址--ARP-->广播(逼交换机洪泛)-->广播域
OSI七层模型--开放式系统互联参考模型
应用层 抽象语言(人类语言)输入和输出 抽象语言-->编码
表示层 编码-->二进制
会话层 应用程序内部,提供的内部区分地址
上三层均为应用程序处理加工数据,统称为应用流层
下四层负责数据的传输,统称为数据流层
传输层 提供端口号,分段(受MTU限制) 由TCP/UDP操作
网络层 Internet 协议--IP地址
数据链路层(介质访问控制层)(MAC) 控制物理硬件 长波1 短波0
物理层
核心思想:分层
端口号
0-65535 1-1023 注明端口 固定给服务器的服务端口
1024-65535 高端口 动态端口 随机分配给终端对应各个进程
MTU
最大传输单元,默认为1500字节,在第二层
网络变大
1.节点(终端)增加 --HUB集线器(多接口放大器,物理层)已经淘汰了
2.传输距离 通过增加一个中继器(放大器) 不能无线延长,不能完全解决失真,
集线器网络下的问题
1.安全 2. 延时 3.地址 4.冲突--电流在物理介质上直接相遇
冲突域
是一个通过共享物理介质进行双向传输的所有节点的集合。当同一冲突域中的主机同时发送数据时,数据到达目的地之前可能会发生冲突。
解决地址问题:
MAC地址--网卡芯片的串号(在介质访问控制层)--48位二进制构成,由16进制显示 全球唯一,出厂时烧录到网卡芯片中;前24位代表产商,后24位代表厂商分配的串号
MAC地址
Mac地址存在300s的老化时间--保证MAC地址表中数据的更新
一个接口可以对应多个MAC地址
解决冲突问题:
核心思想:CSMA/CD 载波侦听多路访问/冲突检测 解决方法--排队
核心要求: --网桥 --交换机(介质层)
1.无限的传输距离
2.没有冲突--所有节点可以同时收发属于他自己的数据
3.单播--一对一的隔离通讯
交换机
交换机的作用:--工作在二层
1.提供端口的密度(继承了集线器)
2.理论上的无限传输距离-- 识别再编写的方案 将电信号转为二进制
3.没有冲突--识别、存储再转发
4.基于MAC,识别、记录、查询一对一转发
当数据电流进入交换机接口时,将被识别为数据;交换机可以识别数据中的MAC地址部分;交换机先查看数据帧中的源MAC地址,然后将其与进人的接口编号映射记录到本地的MAC地址表;再查看数据帧的目标 MAC地址,然后查询本地的MAC表中是否拥有该目标对应接口的记录;若存在记录将向该接口唯一转发(单播)﹔若没有记录将洪泛该流量;
洪泛:除流量进入接口外其他所有接口复制转出
IPV4地址:连续的32位二进制,点分十进制标识
由网络位和主机位组合而成; 前面存在一段对应不同的洪泛范围;后面一部分为该设备在该范围内唯一标识;
网络位和主机位区分依赖子网掩码; 子网掩码由连续1+连续的0构成; 连续1对应网络位,连续0对应主机位;
ARP:地址解析协议 通过对端的一种地址来获取对端另一种地址的方案
拓扑结构:
直线-总线
环形
星型
网状 分为全连网状和部分网状 费用高
MAC地址与IP地址异同:
范围、格式、通信场景不同
地址相同
IP地址用来区分洪泛范围
IPV6128位二进制构成
IPV4详解
Type of Service:数据优先级标志,表示数据的轻重缓急
time to live :生存时间,每跨过一个广播域就减1,最大为255
Header checksum: 头校验
Protocol:上层协议
Flags:是否被切过;
Fragment Offset:切的位置
四层详解
传输层:解决数据交给哪个应用程序,端口字段
还需解决数据的质量和方法
俩种传输协议,对应了俩种不同的传输服务,这俩种TCP和UDP
TCP:可靠的传输协议 适合于效率要求相对较低,但准确性要求较高的场景 比如文件类、追求完整信息类(邮件)
UDP:不可靠的传输协议 适合于效率要求相对较高,但准确性要求低的场景 比如语音类、实时传输类(视频、游戏)、微信和qq的聊天数据
可靠传输:按需传输、有确认机制、丢失重传、严格校验
不可靠传输:只管传,其他的不管
面向连接:通信前在双方之间建立起一条的可以彼此沟通的逻辑通路。
无连接:通信前不需要建立通路,通信完不需要断开、自由发送;
TCP/IP模型
TCP的头部
data offiset:偏移值
Reserved:保留
Window:窗口
checksum:检查合
Urgent Pointer:紧急指针
OPtions:任选项
Padding:补丁
源端口:启动应用是根据空闲端口随机生成;
目标端口:固定的,代表了某中特定的应用。1-65535范围,其中1-1023是知名端口号,代表知名端口号,比如 http 80,ftp 20、21,https 443、ssh 22,Telnet 23
TCP的运行过程
-
三次握手
第一次客服端到服务端 syn seq=888
第二次服务端到客服端 syn+ask seq=999 ask=889
第三次客服端到服务端 ask seq=889 ask=1000
syn:同步序列号 seq:序列号
两次的话服务端并不知道发送给客服端的包是否收到
-
传输距离
窗口值:对方能传输最大数据
-
四次断开
第一次客服端到服务端 fin seq=x
第二次服务端到客服端 ask ack=x+1
等待数据传输完
第三次服务端到客服端 fin seq=z
第四次客服端到服务端 ask ack=z+1
第一次挥手:客户端向服务器端发送断开 TCP 连接请求的FIN=1报文,在报文中随机生成一个序列号 SEQ=x,表示要断开 TCP 连接。
第二次挥手:当服务器端收到客户端发来的断开 TCP 连接的请求后,回复发送标志位ACK=1报文,表示已经收到断开请求。回复时,随机生成一个序列号 SEQ=y。由于回复的是客户端发来的请求,所以在客户端请求序列号 SEQ=x的基础上加 1,得到确认序列号ACK=x+1。
第三次挥手:服务器端在回复完客户端的 TCP 断开请求后,不会马上进行 TCP 连接的断开。服务器端会先确认断开前,所有传输到客户端的数据是否已经传输完毕。确认数据传输完毕后才进行断开,向客户端发送FIN=1报文。再次随机生成一个序列号 SEQ=z。由于还是对客户端发来的 TCP 断开请求序列号 SEQ=x 进行回复,因此确认序列号ACK依然为 x+1
第四次挥手:客户端收到服务器发来的 TCP 断开连接数据包后将进行回复,表示收到断开 TCP 连接数据包。向服务器发送标志位ACK=1 报文,生成一个序列号 SEQ=x+1。由于回复的是服务器,所以确认序列号ACK字段的值在服务器发来断开 TCP 连接请求序列号 SEQ=z 的基础上加 1,得到ACK=z+1
两方同时想要断开,就会可能出现三次断开,一次断开就是一方想要断开,对方不理
1.为什么建立连接协议是三次握手,而关闭连接却是四次握手呢?
这是因为服务端收到SYN报文的连接请求后,它可以把ACK和SYN放在一个报文里来发送。但关闭连接时,当收到对方的FIN报文通知时,它仅仅表示对方没有数据发送给你了;但未必你所有的数据都全部发送给对方了,所以你可能未必会马上会关闭SOCKET,也即你可能还需要发送一些数据给对方之后,再发送FIN报文给对方来表示你同意现在可以关闭连接了,所以它这里的ACK报文和FIN报文多数情况下都是分开发送的。
UDP的头部
udp是网络层的透传,就是啥都没有,就一个端口
封装
解封装
IPV4的分类
32个二进制
192.168.1.1-->点分十进制书写格式
地址有两部分组成:网络位和主机位
192.168.1.1 192.168.1.2这个俩个地址在同一网络位,也就是在一个广播域
IETF早期规定的网络位划分的方法:主类划分法
特殊地址
其中6是没有地址,操作系统给的地址
单播地址:192.168.1.1
VLSM与CIDR
VLSM:可变长子网掩码
·核心思路:通过延长子网掩码(将主机位借到网络位)来实现网段的划分
CIDR ---无类域间路由----汇总
可变长子网掩码---取相同去不同
PDU--协议数据单元
应用层 数据报文
传输层 数据段
网络层 数据包
数据链路层 数据帧
物理层 比特流
syn攻击
Syn攻击就是 攻击客户端 在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直 至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
命令视图
文件和目录操作
一些命名
修改主机名
sysname R1
display查看
-
dis this //查看当前视图下的配置
-
dis current-configuration //查看当前配置
-
dis history-command //查看最近的10条历史命令
-
dis logbuffer //查看系统日志
-
dis clock //查看当前的系统时间
配置系统时间
dis clock //查看当前的系统时间
修改系统时间:
<R1>clock datetime 8:00:00 2014-01-16
<R1>clock timezone HK add 8:00:00
关闭相应配置提示
在交换机模拟器及真机上,每次修改配置文件都会有相应配置改变提示,影响配置阅读
<R1>undo terminal trapping 类似 cisco中的日志同步
<R1>undo terminal monitor //会把所有信息都会关闭(包括接口的up/down消息)
[R1]undo info-center enable //会把所有告警信息全部关掉(包括接口的up/down消息)。会不记录日志,慎用
进入和退出系统视图
语言模式
注:
真机AR2220不支持修改语言模式
模拟器上所有的路由器上不支持
模拟器上所有的交换机都支持(要使用默认的putty,CRT显示为乱码)
命名行快捷键和帮助
DHCP
--动态主机配置协议
同一分发管理IP地址;C/S模型=客服/服务
成为DHCP服务器的条件
-
该设备必须有接口或网卡 连接到 所要下放IP地址的广播域内;
-
该接口或网卡必须拥有合法IP地址,且可以正常通讯;
步骤
1.[Huawei]dhcp enable 先开启dhcp服务 创建名为wanacai的dhcp池塘,一台设备上可以创建多个池塘,但一个池塘只能服务一个广播域 2.[Huawei]ip pool wangcai
[Huawei-ip-pool-wangcai] 3.[Huawei-ip-pool-wangcai]network 192.168.1.0 mask 255.255.255.0 关联接口,定义该池塘可分配ip地址的范围; 4.[Huawei-ip-poolwangcai]gateway-list 192.168.1.1 该网段网关 5.[Huawei-ip-pool-wangcai]dns-list 192.168.1.20 14.114.114.114 DNS服务器地址
注:华为设备,还需要在分配ip地址的接口,启动DHCP 6.[Huawei]interface g0/0/0 7.[Huawei-GigabitEthernet0/0/0]dhcp select global 8.lpconfig PC上查看IP地址获取
-
有个租期:[Huawei-ip-poolwangcai] lease day 0 hour 1 minute 0
过程
DHCP行为基于UDP的68(客户端)和67(服务器)号端口工作
PC (请求request) UDP 源端口68 目标端口67 源ip 0.0.0.0 目标255.255.255.255 源MAC本地 目标MAC全F 服务器(提议offer) UDP 源端口67 目标端口 68 源ip路由器本地 目标ip--仅华为为计划下放的ip 其他厂家255.255.255.255 源MAC路由器本地 目标mac -仅华为PC的 MAC 其他厂家︰全F
PC (应答) 68 67 0.0.0.0 255.255.255.255 Pc本地 全F 服务器 (ack.确认) 67 68 服务器本地 华为–计划分配 ip 其他 -- 255.255.255.255 服务器本地 华为--pc mac 其他---全F
之后PC需要进行ARP来判断计划分配p是否被其他设备使用
1、客户端广播发送DHCP Discover报文,用于发现当前网络中的DHCP服务器
2、服务端单播发送DHCP Offer报文,携带即将分配给客户端的IP地址
3、客户端广播发送DHCP Request报文,向服务器请求使用该IP地址
4、服务器单播发送DHCP Ack报文,告知客户端允许使用该IP地址
网络部署思路
1、拓扑设计--IP地址规划
2、实施
【1】拓扑的搭建
【2】配置
(1)底层--所有节点拥有合法IP地址
(2)路由--全网可达
(3)策略--优化、安全、规则
(4)测试
(5)排错
【3】维护
【4】升级
路由器
路由器的工作原理
当数据包进入路由器后,先查看目标IP地址;然后查询本地的路由表,若表中存在记录,将无条件按照记录转发;若没有记录,将丢弃该流量;
-
[r1]display ip routing-table 查看路由表
默认:
1、仅存在直连网段的路由
2、路由器默认以一个网段作为目标非直连网段为未知网段;
获取未知网段的方法
1、静态路由--手写 2、动态路由---路由器间协商、沟通、计算自动生成
静态路由
静态路由的写法:
[r1]ip route-static 192.168.3.0 255.255.255.0 192.168.2.2
目标网络号 下一跳
-
下一跳:流量下一个进入接口的ip地址
-
华为默认若使用下一跳和出接口配置静态路由,则必须先配置出接口
静态的扩展配置
1.负载均衡
当访问相同目标,具有多条开销相似路径时;可以让设备将流量拆分后延多条路径同时传输;起到宽带叠加的作用;
2.环回接口
--创建后,可用于路由器测试TCP/IP协议组件是否封装与解封装,同时,可用于实验环境中,模拟连接PC终端 的用户接口,来减少实际设备成本需求;
步骤:
[r1]interface LoopBack? <0-1023> LoopBack interface number LoopBack LoopBack interface
[r1]interface LoopBack0
[r1-LoopBack0]ip address 1.1.1.1 24
3.手工汇总
--若路由器需要访问多个连续子网,且具有相同的下一跳;可以将这些网段进行汇总计算;之后仅编写到达汇总网段路由即可----节省路由表条目数据
[r1]ip route-static 192.168.2.2 28 NULL 0
4.路由黑洞
--汇总地址中包含了,网络内实际不存在的网段时;让将导致流量有去无回;浪费链路资源;
建议合理的IP地址规划(便于无黑洞汇总),尽量精确汇总;
5.缺省路由
--一条不限定目标的路由,代表所有网段;路由器查表时在查询完本地所有的直连、静态、动态路由后依然没有可达路径,才使用该条目;
[r1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
6.空接口
--当路由黑洞与缺省路由相遇时,将必然出现环路;
在黑洞路由器上,配置一条到达汇总网段的空接口路由;空接口及丢弃流量;来避免环路的产生;
[r1]ip route-static 1.1.0.0 NULL 0
7.浮动静态
--不同方式产生到路由表中条目,其优先级不同:直连=0,静态=60;
优先级取值范围0-255 越小越好;
步骤
[r1]ip route-static 100.100.100.0 24 13.1.1.2 preference ? INTEGER<1-255> Preference value range [r1]ip route-static 100.100.100.0 24 13.1.1.2 preference 61
访问相同目标,具有多条路径时;将加载优先级越小到表中使用;
若优先级相同将同时加到表中(负载均衡);因此修改部分路由的优先级,可以实现静态备份的效果;
静态路由优缺点
缺点:
-
中大型网路配置量过大
-
不能基于拓扑的变化而实时的变化(最大缺点)
优点:
-
不会额外暂用物力资源
-
安全问题
-
计算路径问题
简单、小型网络建议使用静态路由;中大型较复杂的网络建议使用动态路由
动态路由
---路由器间沟通,协商,计算自动生成路由表;在拓扑结构发生变化后,可以收敛(重新计算)来适应新的结构;
分类
基于AS(自治系统,0-65535编号)进行分类:
-
IGP 内部网关路由协议 AS内部使用 --RIP OSPF EIGRP ISIS....
-
EGP 外部网关路由协议 AS之间使用 ---BGP EGP
IGP的分类
【1】基于工作特点进行分类:
-
DV 距离矢量(邻居之间共享路由表) RIP EIGRP ....
-
LS 链路状态(本地计算) OSPF ISIS ..... 优点:选路精确度优于 缺点:cpu、资源消费严重
【2】基于更新时是否携带子网掩码
有类别---不携带子网掩码,按主类定义子网掩码
无类别--携带子网掩码,基于实际掩码来判断网段
RIP
---路由信息协议 距离矢量协议 贝尔曼福特算法
存在V1/V2/NG(下一代IPV6专用)
-
基于UDP520端口工作;
-
使用跳数作为度量;
-
更新方式为30s周期更新(保活和取代确认作用)和触发更新;
-
优先级为100
-
支持等开销负载均衡(跳数一样)
V1和V2区别
-
V1有类别协议,不携带子网掩码,不能区分子网划分和汇总
v2无类别协议,携带子网掩码,进行VLSM和子网汇总,不支超网;
-
V1广播更新---255.255.2555.255 V2组播更新---224.0.0.9
-
V2支持手工认证
PIP工作原理
破环机制
1.水平分割---从此口进,不从此口出---适合直线拓扑中破坏,最主要作用是在MA网络(一个网段的节点数量不限制)中避免重复流量;
2.触发更新---毒性逆转水平分割
3.最大跳数---15跳 16跳为不可达
4.抑制计时器
基础配置
V1配置:
[r1]rip 启动时可以定义进程号;默认为进程1; 仅具有本地意义
[r1-rip-1]version 1 选择版本1
宣告:1.激活---被选中接口可以收发rip信息 2.共享路由---被选中接口的网段可以共享给本地所有的邻居
[r1-rip-1]network 1.0.0.0 A类
[r1-rip-1]network 12.0.0.0
V2配置:
[r1]rip
[r1-rip-1]version 2
宣告:
[r1-rip-1]network 1.0.0.0 A类
[r1-rip-1]network 12.0.0.0
切记:RIP宣告时,只能宣告主类网段;
RIP的扩展配置
1) RIPV2的手工汇总 ---在更新源路由器上,在所有更新发出的接口配置
[r1]int g0/0/1 [r1-GigabitEthernet0/0/1]rip summary-address 1.1.0.0 255.255.252.0(汇总网段,只能这样写)
2)RIPV2的认证
---邻居间收发的RIP消息中进行身份核实口令添加,同时华为在接口开启认证后,会被加密传输
[r1]interface g0/0/1 [r1-GigabitEthernet0/0/1]rip authentication-mode md5 usual cipher 123456
两两直连的邻居间,认证口令和认证模式要必须完全一致
3)沉默接口(思科:被动接口)
---仅接受不发送路由协议信息,只能用于连接用户终端的接口;不能直连路由器邻居的接口,否则邻居间将无法共享路由信息
[r1]rip 1
[r1-rip-1]silent-interface GigabitEthernet 0/0/0
4)加快收敛
RIP计时器 30s更新 180s 失效 180s 抑制 300s刷新|
适当的修改计时器,可以加快协议的收敛速度; 修改时,全网所有运行rip 的设备建议一致;维持原有倍数关系;且不易修改的过小;
[r1]rip 1 [r1-rip-1]timers rip 30 180 300 抑制计时器不修改
5)缺省路由---在边界路由器上定义缺省源头信息后,将向内网发布缺省路由;之后内部路由器将自动生成缺省路由指向边界路由器方向;边界路由器指向ISP路由器将自动生成缺省路由指向边界路由器方向;边界路由器指向ISP的缺省路由,依然需要手写;
[r3]rip [r3-rip-1]default-route originate
OSPF
---开放式最短路径优先协议
-
无类别(带掩码)链路状态(共享 LLC--TOP)IGP协议;
-
周期更新(30min)+触发更新;
-
链路状态协议存的更新量随着网络范围的扩大指数性的上升,因此OSPF协议为了在中大型网络中工作,需要结构化的部署(区域划分、合理IP地址规划);
-
组播更新 --- 224.0.0.5(传信息) 224.0.0.6(DR的专用地址)
OSPF的5种数据包:
Hello 邻居的发现 关系的建立 周期(10s)的保活 携带rid (我的rid和我发现的rid) Dbd 数据库描述包:本地数据库目录 Lsr 链路状态请求 Lsu 链路状态更新 Lsack 链路状态确认
las--链路状态,具体的一条一条路由信息或拓扑信息;但它不是一个包,是被lsu数据包来携带
OSPF的7个状态机:
down: 一旦接收到hello包,进入下一个状态机 init 初始化: 一旦接收到的hello包中存在本地rid,进入下一个状态 two-way 双向通讯: 邻居关系建立的标志 关注条件: exstart -- 预启动: 使用不携带目录信息的DBD包,进行主从关系的选举;rid大为主,优先进入下一个状态;解决了目录共享时的无序 exchange -- 准交换: 使用携带目标信息的dbd包,共享本地数据库目录 loading --加载: 查看完邻接的dbd信息后,对比本地,然后基于本地位置的lsa进行查询;使用lsr向对端查询,对端使用lsu来传输 这些lsa信息,本地收到后需要lsack来进去确认 full: 邻接关系建立的标准:意味着邻接间,数据库同步(一次)
OSPF的工作过程
启动配置完成后,邻居间开始收发hello包; hello包中将携带本地及本地所有已知邻居的rid;之后生成邻居表;邻居间需要关注是否可以成为邻接的条件;若不能建立为邻接(毗邻)关系,将保持为邻居关系,仅hello包周期保活即可;
若可以建立邻接关系;将使用DBD进行本地数据库目录的对比;之后基于对比的结果,使用LSR/LSu/LSack,来获取本地未知的LSA信息;使邻接关系数据库(lsdb)完成同步(一致),生成数据库表;
之后本地基于lsdb,使用spf算法,生成有向图->最短路径树->计算本地到达所有未知网段的最短路径,将其加载到本地路由表中;收敛完成
收敛完成后,邻居和邻接关系间均hello每10s保活;每30min一次邻接关系间周期数据库比对,保障一致;
lsdb:链路状态数据库–所有lsa的集合
结构突变: 1、新增网段
2、断开网段
3、无法沟通--- dead time为 hello time的4倍;在4次周期内未收到对端的 hello包,将断开与其的邻居关系;删除通过该邻居计算所得路由;
基础配置
[r1]ospf 1 router-id 1.1.1.1 启动时可以定义进程号、 RID;默认进程号为1,RID---格式为IPV4地址,全网唯一;手工->环回接口 最大数值->物理接口最大数值
宣告: 1、激活--可以收发ospf的信息 2、被选中接口的拓扑信息可以共享给邻接 3、进行区域划分
[r1-ospf-1]area 0 区域0 区域有水平分割 [r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 [r1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255[r2]display ospf peer 查看邻居关系
[r2]display ospf peer brief 查看邻居简表
[r2]display ospf lsdb 查看数据库
<r1>display ip routing-table protocol ospf 查看ospf路由
优先级为10,度量为cost(开销值),ospf cost=参考带宽/接口宽带,默认参考带宽为100,ospf优选cost值之和最小,为最佳路径;若两条链路cost值之和相同,等开销负载均衡;
若接口带宽大于参考带宽, ,算出来小于1,cost也为1,将可能导致选路不佳;建议修改默认的参考带宽:
[r1]ospf 1
[r1-ospf-1]bandwidth-reference ?
INTEGER<1-2147483648> The reference bandwidth (Mbits/s)
[r1-ospf-1]bandwidth-reference 1000
切记:若修改参考带宽,全网需修改的一致;
ospf在宣告时,需要使用反掩码,来匹配宣告的地址范围
区域划分规则:
1、星型结构---编与0骨干区域(中心),大于0为非骨干区域(分支),非骨干区域必须直连着骨干区域
2、必须存在ABR---区域边界路由器 两个区域间互联的设备
扩展配置
1)DR/BDR选举
邻居成为邻接关系的条件:与网络类型有关
网络类型:
点到点--在一个网段内只能存在两个节点 ---串线
MA--多路访问--在一个网段内的节点数量不限制;不是当下连接几个节点;而是该网络类型允许最终连接多个节点;--以太网
点到点网络邻居关系直接成为邻接关系;在MA 网络中,将进行DR/BDR选举;DR--指定路由器,EBR--备份路由器
在一个网段中仅 DR/BDR与其他路由器为邻接关系;非DR/BDR之间为邻居关系;
选举规则:
1、先比较该网段所有参选设备接口的优先级,越大越优;默认优先级为1; 取值范围0-255,0标识不参选
2、若所有参选者优先级相同,比较参选设备的 RID,数值大优;
干涉选举: 1、DR优先级最大,BDR次大 切记 ospf的选举是非抢占性的; 故在修改完优先级后,需要所有路由器重启OSPF进程;
[r2]interface GigabitEthernet 0/0/0 [r2-GigabitEthernetO/0/0]ospf dr-priority 3修改接口优先级 <r1>reset ospf process 重启ospf进程 Warning: The OSPF process will be reset. Continue? [Y/N]:y
2、DR优先级修改为最大,BDR次大; 其他设备修改为0;无需重启进程
2)区域汇总
--OSPF协议不支持接口汇总,只能在ABR上将a区域拓扑计算所得路由,共享给B区域时进行汇总;
[r2]ospf 1 [r2-ospf-1]area 0 [r2-ospf-1-area-0.0.0.0]abr-summary 1.1.0.0 255.252.0.0I R2为一台连接区域0和其他区域的ABR;以上操作为,R2将通过区域0学习到的拓扑计算所得的路由,传递给其他区域时进行汇总,汇总网段1.1.0.0/22
3)被动接口/沉默接口
---仅接收不发送路由协议信息; 用于连接用户终端的接口,不得用于连接邻居路由器的接口,否则无法建立邻居关系;
[r2]ospf 1 [r2-ospf-1]silent-interface GigabitEthernet 0/0/0
4)认证
---接口认证惇在直连邻居或邻接的接口上配置,保障更新的安全
[r1-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 123456
模式、编号、密码要求邻居间一致
5)加快收敛
邻居间计时器10s hello time 40s dead time 邻居间,修改本端的 hello time,本端的dead time自动4被关系匹配;但ospf中邻居间的hello time和 dead time 必须完全一致,否则无法建立邻居关系;
[r1]interface GigabitEthernet 0/0/o [r1-GigabitEthernet0/O/0]ospf timer hello 5
6)缺省路由
---边界路由器上配置后,将自动向内网下放一条缺省路由,之后内网设备将自动生成缺省路由指向边界
[r4]ospf 1 [r4-ospf-1]default-route-advertise always
VLAN
--虚拟局域网
交换机和路由器协同工作后,将一个广播域逻辑的分割为多个;
配置思路
1.交换机上创建VLAN
2.交换机上的各个接口划分到对应的VLAN中
3.Trunk(中继)干道 ---不属于任何一个VLAN,承载所有vlan流量转发;可以标记(封装)识别(解封装)不同VLAN
的标签;VLAN ID压入到数据帧(强塞入在第二层)中的标准---802.1q(dot1.q)
4.VLAN间的路由--路由器的子接口(单臂路由--配置字接口实现隔离不同VLAN) 多层交换机的SVI--在多层交换机上创建vlanif 三层虚拟接口,并配置ip地址,形成直连路由
配置命令
1.交换机上创建VLAN VLAN的编号由12位二进制构成:0-4095;其中1-4094可用;
默认交换机存在VLAN1,且所有接口默认存在VLAN1
[r1]vlan 2
[r1]vlan 3
[r1]vlan batch 10 to 20
[r1]vlan batch 10 to 20 25 to 30
2.交换机上的各个接口划分到对应的VLAN中
[sw1]interface Ethernet0/0/1 单独将某个接口划分到对应的vlan
[sw1-Ethernet0/0/1]port link-type access 先将该接口修改为接入模式
[sw1-Ethernet0/0/1]port default vlan 2 再将该接口划分到对应的vlan中
批量的将多个接口划分到同一个vlan
[sw1]port-group group-member Ethernet 0/0/3 to Ethernet 0/0/4
[sw1-port-group]port link-type access
[sw1-port-group]port default vlan 3
3.Trunk(中继)干道
[sw1]interface e0/0/5
[sw1-Ethernet0/0/5]port link-type trunk 将接口修改trunk模式
[sw1-Ethernet0/0/5]port trunk allow-pass vlan 2 to 3
注:默认华为交换机仅允许VLAN1通过;需要定义允许列表
[sw2-Ethernet0/0/3]port trunk allow-pass vlan all 允许所有vlan通过
4、路由器子接口
[router]interface g0/0/0.1 创建子接口
[router-GigabitEthernet0/0/0.1]dot1q termination vid 2 定义其管理的vlan
[router-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24
[router-GigabitEthernet0/0/0.1]arp broadcast enable 开启子接口ARP功能
[router-GigabitEthernet0/0/0.1]q
[router]interface g0/0/0.2
[router-GigabitEthernet0/0/0.2]dot1q termination vid 3
[router-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24
[router-GigabitEthernet0/0/0.2]arp broadcast enable
ACL
--访问控制列表
作用
-
访问控制 ---在路由器流量进或出的接口上,匹配流量产生动作--允许、拒绝
-
*定义感兴趣流量---抓取流量,之后给到其他的策略,让其他的策略进行工作
匹配规则
至上而下逐一匹配,上条匹配按上条执行,不再查看下条;思科系默认末尾隐含拒绝所有;华为系末尾隐含允许所有;
分类
1、标准----仅关注数据包中的源IP地址
2、扩展---关注数据包中的源、目标IP地址,目标端口号或协议号
配置命令
【1】标准
---由于标准仅关注数据包中的源IP地址;故调用时必须尽量的靠近目标;避免对其他流量访问的误删;
编号2000-2999为标准列表编号,一个编号为一张表;
[r2]acl 2000 [r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0 //一个IP [r2-acl-basic-2000]rule deny source 192.168.0.0 0.0.255.255 //一段IP [r2-acl-basic-2000]rule deny source any //所有 动作 源ip.地址 源ip.地址需要使用通配符来匹配范围;通配蒋和反掩码的区别,在于通配符可以0与1穿插书写 ACL定义完成后,必须在接口上调用方可执行;调用时一定注意方向;一个接口的一个方向上只能调用一张表; [r2]interface GigabitEthernet 0/0/1 [r2-GigabitEthernetO/O/1]traffic-filter ? inbound Apply ACL to the inbound direction of the interface //进 outbound Apply ACL to the outbound direction of the interface //出 [r2-GigabitEthernetO/0/1]traffic-filter outbound acl 2000
【2】扩展
--由于扩展ACL源、目ip地址均关注,故调用时尽量靠近源;尽早处理流量
[r1]acl 3000 扩展列表编号3000-3999 [r1-acl-adv-3000]rule deny ip source 192.168.1.3 0.0.0.0 destination 192.168.3.2 0.0.0.0 源iP地址 目标ip 源、目io.地址位置,使用通配符0标记一个主机,或使用反1标记段,或使用any均可 [r1]interface GigabitEthernet 0/0/1 [r1-GigabitEthernetO/0/1]traffic-filter inbound acl 3000
【3】使用扩展列表,同时关注目标端口号
目标端口号:服务端使用注明端口来确定具体的服务;
ICMPV4 -- internet控制管理协议-- ping 协议号1
Telnet --远程登录明文(不加密)基于tcp,目标端口23;
条件:
1、被登录设备与登录设备网络可达 2、被登录设备进行了telnet服务配置
[r1]aaa [r1-aaa]local-user panxi privilege level 15 password cipher 123456 [r1-aaa]local-user panxi service-type telnet 创建名为panxi的账号,权限最大,密码123456,该账号仅用于teInet远程登录 [r1]user-interface vty 0 4 5个人同时登录,一个在敲,宁一个可以看到 [r1-ui-vty0-4]authentication-mode aaa 在vty线上开启认证 [r1]acl 3001 [r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 192.168.1.1 0 destination-port eq 23 拒绝192.168.1.10对192.168.1.1访问时,传输层协议为 tcp,且目标端口号为23; [r1]interface GigabitEthernet 0/0/1 [r1-GigabitEthernetO/0/1]traffic-filter inbound acl 3001 [r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 O 仅拒绝192.168.1.10 对192.168.1.1 的ICMP访问
NAT
IPV4地址中,存在私有与公有IP地址的区别:
公有: 具有全球唯一性,可以在互联网通讯,需要付费使用
私有: 具有本地唯一性,不能在互联网通讯,无需付费使用
私有ip地址: 10.0.0.0/8 172.16.0.0/16-172.31.0.0/16 192.168.0.0/24-192.168.255.0/24
NAT网络地址转换
边界路由器上---连接外网的公有ip地址所在接口配置,对进、出的流量进入源或目标ip地址的修改;
一对一 一对多 对多对 端口映射
配置
一对多: 多个私有ip地址对应同一个公有ip地址 PAT端口地址转换
先使用ACL定义可以被转换的私有ip地址范围 [r2]acl 2000 [r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255 [r2]int g0/0/2 公网所在接口; acl2000列表中关注的私有ip地址,通过该接口转出时,其源ip地址修改为该接口公有ip [r2-GigabitEthernetO/0/2]nat outbound 2000
一对一
连接公网的接口配置 [r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.10 公有 私有
端口映射
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80 Warning:The port 80 is well-known port. lf you continue it may cause function failure. Are you sure to continue?[Y/N]:y 外部访问该接口 ip-12.1.1.1且目标端口号为80时,将被修改为192.168.1.10目标端口80 [r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8888 inside 192.168.1.20 80 外部访问该物理接口 ip-12.1.1.1且目标端口为8888时,将被修改为192.168.1.20目标端口80;
多对多
[r1]nat address-group 1 12.1.1.3 12.1.1.10 先定义公有ip地址范围 [r1]acl 2000 再定义私有ip地址的范围 [r1-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255 最后在连接公网的接口上配置多对多 [r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 (no-pat 多个一对一) 私有 公有