zainwei1766的专栏

交换机的端口命名格式： 接口类型/ 框号/插槽号/端口号接口类型：串口serial，快速以太网接口fastethernet，吉比特以太网接口gigabitethernet。

如上图，三层交换机上划分vlan6并且VLANip:10.1.1.1/24。所有交换机接口都是switch access vlan 6。假设R_a、R_b都已添加正确的静态路由。三层交换机没有添加静态路由。那么将出现下面两种情况：host_A：ping 192.168.1.2   不通。host_B：ping 192.168.1.2    通。

网段划分看子网掩码，即从子网掩码可以判断分出几个子网，注意这里的不同子网已经是不同网段了（如同A类与C类一样相隔的网段)，所以在路由器接口上可以使用同类型（如C类）的不同子网来设置接口IP，如，路由器接口fa0/0:192.168.1.1/28、fa0/1:192.168.1.18/28，当分组转发时路由器也是精确到子网所属的网段的，从而将分组的目标IP地址从相同网段的接口转发出去。

如下多级联NAT路由拓扑图:多级路由器NAT与单个路由器NAT一样的。对于下行路由器来说，它只不过是上行路由器（外网）中的局域网“PC”而已。由于默认路由的作用，即使不做NAT任何目标IP都可以出去。但目标PC回复时由于没有目标IP路由可达，而做NAT后，目标PC回复时的目标IP是NAT路由器的出品IP，之后利用端口区别还原转换到NAT路由器下行IP。路由器做NAT，inside→

我们知道做NAT后，对于outside上行出口的网络来说，inside下行的网络是个未知数。那么如何才能直接访问inside内的网段IP呢？？我们选择从一级nat路由器router2上ping192.168.100.2,结果肯定是Reply from 192.168.1.1: Destination host unreachable.这是因为router2上没有路由达到192.168.10

1、配置接口IP，并划到对应的安全域zone。2、配置路由。3、配置防火墙策略（这个一定要配置），如     policy from "l2-untrust" to "l2-trust"         rule id 2         action permit         src-addr "Any"        dst-addr "Any"

实验注意要点：1、

路由条目进入路由表的原则：最优路由才能进入。去往同一目的的多条路由，先比较AD值，AD值小者优先； AD值一直则比较metric值。AD值：EIGRP 90OSPF 110RIP 120metric值：102056020562020

接口（Interfaces）介绍接口允许流量进出安全域。因此，为使流量能够流入和流出某个安全域，必须将接口绑定到该安全域，并且，如果是三层安全域，还需要为接口配置 IP 地址。然后，必须配置相应的策略规则，允许流量在不同安全域中的接口之间传输。多个接口可以被绑定到一个安全域，但是一个接口不能被绑定到多个安全域。接口类型安全网关设备具有多种类型接口，根据性质的不同，分为物理接

vlan使用注意：两个或者多个设备之间如果不使用trunk模式连接情况下，那么单个设备上划分的多个vlan只在设备自身生效，即不同设备之间使用vlan接口相接是没有vlan区分的，只存在本身vlan的区分，哪两个vlan接口相连，那么就相通。也就是说sw1的vlan2下的接口可以连接sw2的vlan2、3、4.......上的任何一个或者多个vlan，结果都是相通的。实验如下：同vlan接

命令：access-list1、将具体的测试条件放在ACL前面。2、ACL末尾有一条隐式的deny any语句，所以ACL里边至少有一条permit语句，否则它将拒绝所有的数据流。3、不能仅删除访问控制列表中的一行，否则将删除整个ACL。要编辑ACL最好先将其到文本编辑器中。使用ACL是唯一的例外。4、ACL只过滤穿越路由器的数据流，不会对始发于当前路由

使用汇总路由时，网络中的

telnet不输用户名，只输密码方法。[RouterA]telnet server enable[RouterA]user-interface vty 0 4[RouterA-ui-vty0-4]authentication-mode password[RouterA-ui-vty0-4]set authentication password h3c123[RouterA-

Switch(config-if-range)#switchport mode trunk Command rejected: An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode.说明是trunk干道封装出错，可使用如下命令即可Switch(config

协议号是存在于IP数据报的首部的20字节的固定部分，占有8bit.该字段是指出此数据报所携带的是数据是使用何种协议，以便目的主机的IP层知道将数据部分上交给哪个处理过程。也就是协议字段告诉IP层应当如何交付数据。 而端口号，是运输层服务访问点TSAP，端口的作用是让应用层的各种应用进程都能将其数据通过端口向下交付给运输层。端口号存在于UDP和TCP报文的首部，而协议号则是存在这个IP数据报

首先交换机的一个接口要连到电脑上，电脑的ip配好，比如10.1.1.2   255.255.255.0然后Switch(config)#inter vlan 1Switch(config-if)#ip add 10.1.1.1 255.255.255.0Switch(config-if)#no shut这样可以把交换机的接口up起来然后Router(config)#us

host1与不同网络host2的ICMP通信过程：host1：（1）ICMP递交给因特网协议IP，IP协议创建一个分组，至少，源IP地址172.16.10.2、目标IP地址192.168.1.2和值为01的协议字段将被封装到此分组中。(2)IP协议判断目标IP地址的位置，判断此目的IP位于本地网络还是某个远程网络（不同IP网段）（3）由于192.168.1.2是

通过仿真ICMP可知PC1与PC2通信时不经过路由器而是直接由二层交换机转发的且本地lan网络中，目标硬件地址与源硬件地址都是两个PC自身的

路由器要转发数据必须先配置路由数据，通常根据网络规模的大小可设置静态路由或设置动态路由。静态路由配置方便，对系统要求低，适用于拓扑结构简单并且稳定的小型网络。缺点是不能自动适应网络拓扑的变化，需要人工干预。动态路由协议有自己的路由算法，能够自动适应网络拓扑的变化，适用于具有一定数量三层设备的网络。缺点是配置对用户要求比较高，对系统的要求高于静态路由，并将占用一定的网络资源。    

理论上来讲，所有的ip地址都可以作为管理的地址比如loopback地址 svi地址，vrrp地址，你都可以使用的，只要路由可达交换机上面每一个可以路由的IP都是可以用作管理地址的，而平时所说的管理地址一般用L0口来作为管理地址，这样的好处是因为L0是虚拟接口很稳定，而且一般都不会影响私网，所以只要设备上激活的接口IP都可以用来做管理地址

物理接口如果是switchport就可以分配到vlan中；如果是no switchport说明此物理接口可以设置ip地址即不能分配到vlan中。

路由器：凡是路由器每个接口的IP就是一个局域网。如果有子接口就是一个子接口IP一个局域网。三层交换机：凡是三层交换机每个VLANIP为一个局域网，并且属于同一VLAN内的所有接口都是在同一个局域网，且只能为二层交换口。如果把三层交换机接口启动为路由口，则此接口IP为一个局域网。

在一个OSPF自治系统中的路由器之间并不是直接传递路由信息来维护路由表，它们之间交换的是链路状态信息（LSA），然后各个路由器都维护着统一的一个链路状态数据库！各路由器根据链路状态数据库的信息，同时以自己为根节点，通过计算链路开销（cost），从而得出自己的路由表。因为链路状态数据库（LSDB）是一致的，所以不存在路由环路的发生。附注：Rip协议中有可能导致路由环路的发生，是因

经过多个实战经验终于可以明确：防火墙来回路径不一致结果是不能正常通信的。如下图：局域网10网段要访问文件服务器路途为去：主服务器→防火墙→中间路由器→文件路由器→文件服务器回：文件服务器→文件路由器→中间路由器→主服务器可以看出数据包在选择路由时是可以正常到达的（实战中ping与telnet+端口也是正常的），但主服务器（10网段）要访问文件服务器（172网段）中的应用