admin 管理员组

文章数量: 887021

HCNA-HCNP-笔记 2016-1 by 肖哥

学员:毛瑞娜   尤颉   张苑蕾  马广智  张佳颖  高德安  种道宇   张连成   王志刚   陈明   赵刚讲师:肖哥  QQ:566992630   TEL:15265885756 公司地址:山东 日照     2016年3月技术交流QQ群:191921987

1  小米路由  192.168.31.1

   \\192.168.31.1  访问小米共享硬盘  访问windows共享的方式    映射网络驱动器

2  学习工具

①    截图greenshort

②    有道云笔记

③    vnc

3  vmware workstation:模拟虚拟机,搭建学习和测试环境。vmware 是全球虚拟化最好的公司。

vmware 12.1  可以安装win10

4  操作系统(OS operating system)

格式:.iso (原版)   .GHO(第三方)

winxp---->winvista---->win7---->win8(8.1)---->win10

5  快照功能:可以恢复到以前的一个状态

    克隆功能:copy 一份 

6  关闭客户机:相当于直接断开电源    关机:按一下电源按钮

7  配置虚拟机使其上网

① 让vmnet 0 桥接到无线网卡(无线网卡可以上网)

② 将虚拟机的网卡选择自定义到vmnet 0

8    win10 新功能及特性

9    关闭update

10  关闭用户账户控制

11  关闭防火墙:win7 win8 需要关闭防火墙才可以ping通

13  telent :远程控制工具

14  硬件设备  查看驱动

如果发现某硬件没有被驱动,可以尝试安装集成网卡驱动版的驱动精灵

15  认识自己的计算机

16  网卡

ncpa.cpl

17  windows 远程控制设置win 10 允许被远程控制(server 服务端) 192.168.31.206

确定用户名aa 密码123

IP:192.168.31.206

客户端上控制:

运行---mstsc----打开远程控制终端

18  匿名共享:方便共享文件

① 开启guest 帐户 (开启来宾帐户)

② 关闭密码保护共享

③ 将相关文件夹共享给guest 帐户

19WinPE:WindowsPreinstallation Environment  windows 系统预安装环境

20电脑店PE工具

①    模式:刻录在U盘里面使用

②    模式 ISO模式:刻录到光盘里面,或者给虚拟机使用



③    本地模式:直接将PE安装到本地C盘,机器启动时直接读取C盘的PE文件启动。(无需修改BIOS 开机启动项)即增加了一个额外的开机启动菜单。

21硬盘分区

首先给虚拟机添加一块硬盘



缩小、扩大分区

分区表的找回

22BIOS : BasicInput Output System 基本的输入输出系统,保存在主板固定芯片上的一段小程序。

电源键----》读取BIOS----》查询硬盘起始分区引到(MBR、GPT)---------》然后读取系统分区启动系统

BIOS:目前主要用来调节开机启动项,CPU 虚拟化功能,同步时间等等进入BIOS:开机按F2  Del键  回车  F1 等等 (不同型号的电脑不一样)给BIOS设置密码

23硬盘引导:

MBR引导:win7   早期  缺点:不支持2T以上硬盘  主分区 最多支持4个 

 操作系统必须安装在主分区,且该主分区是活动分区 GPT分区:(也称为GUID分区),支持2T以上硬盘 且主分区可以建立多个。win8、win10。

无损GPT《-----》MBR 转换:PE 磁盘精灵注:GPT分区少于4个


预装win8 、win10 换win7 经常遇到故障

24操作系统的安装:电脑店:

小马PE 安装:

25激活windows

 小马激活等激活工具

26驱动精灵安装驱动 下载驱动精灵集成网卡驱动版 安装驱动即可

27备份系统

PE:ghost 软件

28恢复系统、还原系统

29windows 引导失败 windows 无法启动

① 使用磁盘精灵重建MBR引导

② 修复windows引导③  使用其他的工具修复



30


windows 快捷键win + e 打开计算机 win + r 运行 tab 切换crtl + tab 切换标签运行ncpa.cpl  打开网卡配置 win + d 最小化所有窗口空格      选择单选框 alt + f4 关闭当前窗口 ctrl + c  复制copy

ctrl + v  粘贴 viscidity        ctrl + x  剪切 剪刀 ctrl + s  保存 save alt + tab 切换窗口 shift + f10 右击

31虚拟内存

32休眠文件

hiberfil.sys休眠文件 约=内存 的75%

POWERCFG-H OFF  删除该文件

POWERCFG-H on   恢复休眠功能

POWERCFG -H -size 50  使该为为内存的百分之50 如遇到休眠时蓝屏则将其百分比再调大即可

33      使用软碟通(ultraISO)安装系统(双系统)装系统大招



34      vmware  网络配置

35      影子系统 :每次开机,系统都恢复到原来的样子,适用于网吧、机房


可以在正常模式设置密码,防止用户修改

36      HFS:httpfile system :通过Http 实现文件共享 (局域网)

37      注册表:类似一本书的目录,登记表,windows 安装的程序和功能多数可以在注册表里面找到打开注册表 regedit 

0是彻底隐藏

1是显示(默认值)

项:文件夹

关闭防火墙和所有的杀毒以及卫士、毒霸环回网卡安装

cisco packetracert 6.0

ENSP 华为 39   网络概述

技术交流QQ群:191921987查询服务器所在的位置



40

IP:internet  protocol 标识一台网络设备唯一的ID 标识,类似公民的身份证号。全球唯一。

例如:192.168.31.1

41保存抓取的数据包

42ping :测试两个网络设备的联通性,参考的协议标准 ICMP 。

ICMP:internetcontrol message protocol  ping 指令封装数据包参考的协议

43OSI 参考模型:open system interconnect  开放式系统互联,规定了数据传输的标准,以及数据包封装所参考的协议。旨在让不同的设备不同的用户可以互联互通。

一层:物理层:规定了物理介质、网线、光纤、光纤、电压电流等标准二层:数据链路层:MAC地址 ,交换机三层:网络层:IP地址,路由器

四层:传输层:端口号 例如:80端口

五层

六层    统称高层(传输的数据)七层

44MAC地址:网卡物理地址 16进制 网卡出厂时烧录在芯片里面的一串全球唯一的地址(默认情况下不能更改)。

45TCP\IP模型:tcp\ip模型是很多个网络协议的集合,其中以tcp和ip协议为主,这些协议的集合称为TCP\IP协议族(簇)。该模型是目前数据包封装主要参考的模型。

五层模型:一层物理层二层 数据链路层:MAC

三层 网络层:IP 四层 传输层:端口五层 应用层:用户数据DATA

46数据包的结构

47Ipv4地址:点分十进制  32bit 

192. 168. 1. 100 

48 ip地址:网络位 + 主机位

192.168.1.2   255.255.255.0

192.168.1         2     网络位       主机位

网络位:子网掩码1 bit对应的位是网络位主机位:子网掩码0 比特对应的位

注:主机位 全0 全1 的ip地址和掩码的组合是无效的。

主机位全0 :子网地址(网络地址)主机位全1 :子网广播地址

例如:192.168.1.127   255.255.255.128

192.168.1.0     1111111 

               .1      0000000 网络位                主机位

主机位全1 ,无效

例如:192.168.1.128  255.255.255.128

192.168.1.1        0000000     网络位               主机位主机位全0  ,无效

49  IP地址分类:

A类:1-126      默认子网掩码255.0.0.0          /8

B类:128-191                       255.255.0.0      /16 C类:192-223                       255.255.255.0   /24

注:默认掩码也称为自然掩码

D类:224-239 组播地址 E类:剩下  实验用例如:

192.168.1.1   C类 172.16.1.1     B类

8.8.8.8           A类

50  特殊地址

127.x.x.x  本地环回测试地址  仅用来测试本机  代表自己

0.0.0.0      代表所有

255.255.255.255    广播

169.254.x.x  :windows系统给的地址(计算机没有通过dhcp 获取到地址)

51  单播:一对一       组播 :一对一组用户,类似qq讨论组      广播  :一对所有,群发

52  特殊二层 MAC

全F ff-ff-ff-ff-ff-ff    广播        01-00-5e-xx-xx-xx   组播

53  网段:具有相同网络位的ip和掩码的组合称为同一个网段(局域网、子网) 54

 一个网段包含多少ip?

192.168.31.0  /24

 2^8=256-2=254个可用的主机IP地址

8是主机位

例如:192.168.2.192  /26  可用IP地址多少?

2^6=64-2=62个

例如:192.168.2.252  /30  可用ip多少?

2^2-2=2个

192.168.2.111111         xx

         网络位                主机位

192.168.2.111111        00

192.168.2.111111        01 可用  (253)

192.168.2.111111        10 可用  (254)

192.168.2.111111        11 192.168.2.253

可用ip地址:

192.168.2.254

例如:192.168.2.248  /29  可用ip多少?

6个

192.168.2.249-254

55  相同网段的PC互相通信时不需要网关       不同网段的PC互相通信需要网关做中转

注:不同网段的PC互相通信需要路由器(三层设备)做中转,该路由器作为PC的网关。

56    子网掩码:规定了该ip地址所在的网段。       网关:当PC访问不同网段的服务时,需要将数据交给网关处理。       DNS:域名解析服务,将域名(网址)转换成IP地址。

57   私网地址:在任何地方都可以使用的ip地址      公网地址:全球唯一,需要花钱申请

ip地址紧缺:2^32=42.9 亿

NAT + 私网地址===》ip地址紧缺

私有地址范围:

A 10.0.0.0/8

B  172.16.0.0-172.31.255.255C 192.168.0.0/16

注:私网地址不能在公网上被传输(路由)。运营商如果发现收到的报文三层含有私有地址,则会将该报文直接丢弃。

58 172.16.0.0/16  分成6个小子网?

2^m>=6 m=3  因此需要三个bit 的子网位

     172.16.     00000000.0

①         172.16.     000    00000.0  172.16.0.0/19

②         172.16.     001    00000.0  172.16.32.0/19

③         172.16.     010    00000.0   172.16.64.0/19

④         172.16.     011    00000.0⑤   172.16.     10000000.0

⑥         172.16.     10100000.0

⑦         172.16.     11000000.0

⑧   172.16.    11100000.0

59TTL:time tolive  生存周期 :防止环路  ,起始值经过路由器是递减

60tracert   8.8.8.8 测试本地到达目标所经过的三层设备

61ARP :(Address Resolution Protocol),通过目的IP地址,请求对方MAC地址的过程。

arp目标mac是全F 广播 arp    -a 查看arp 的缓存表 arp    -d 删除 arp 缓存表 arp 请求包(request):去包

arp 回应包(reply):回包

62广播域:广播包可以发送的区域范围。路由器隔离广播域(广播包无法穿越路由器,路由器的每个接口都是一个独立的广播域)。交换机不隔离广播域。

63当一个PC访问外网时(访问的目标和自己不在同一个网段),此时二层会封装网关的MAC地址。

64TCP:可靠传输、面向连接      :准确性很高,速率稍慢          

     UDP:不可靠传输、非面向连接    : 准确性差,速率很快

面向连接:如果某应用层协议的四层使用TCP端口,那么在正式的数据报文传输之前,需要先建立连接。只有建立完连接之后才可以传输数据。

建立连接:三次握手

①    客户端--->服务器

 

②    服务器--->客户端

三次握手:面向连接的高层协议在正式传输数据之前需要先建立连接,建立连接的过程需要来回交互三个报文,我们将建立连接的过程称为三次握手。

netstat -an

可靠传输:客户端收到报文之后,需要发送TCP 的ack 确认包,并告诉服务端接下来要收的报文的序号。同时该过程确定了两者传输的“windows窗口”大小。

65常用协议的端口号:

HTTP:tcp 80 网页浏览 telnet:tcp 23  远程控制 FTP   :tcp 20 21  文件传输

RDP :tcp 3389 远程桌面 VNC  :tcp 5900

66测试某端口是否打开telnetx.x.x.x  80

打开telnet 指令

671-1024 端口号:熟知端口  (固定,已经分配)

     1024 以后的端口称为随机端口

68wireshark 过滤规则:ip.addr == 111.13.100.127  过滤出包含111.13.100.127 报文

ip.src  == x.x.x.x  源地址 ip.dst  == x.x.x.x  目标

tcp.port == 80

tcp.dstport == 80 过滤出目标端口为80端口 tcp.srcport  == 80 

eth.src == 00:21:cc:cf:1d:28

eth.dst == 00:21:cc:cf:1d:28

vnc  arp   http 过滤高层协议

and 且  or  或  not  非   支持()例如:tcp or httpand (not vnc)

69  思科 cisco      : CCNA  CCNP CCIE       华为 huawei :HCNA  HCNP HCIE

70  华为命令行简介

< >用户视图模式  权限稍低

[  ]系统视图模式   权限高

< >system-view 切换到系统视图

[ ]sysname R1 命名

[ ]quit 退出当前模式

? 提示信息命令支持简写

tab 键 补全命令

<>language-mode Chinese  提示语言改为中文 dis   current-configuration 显示当前所有配置

more:回车键 翻一行,空格翻一页  其他任意键退出

ctrl + z  直接回退到用户模式给接口配置IP地址:

int e0/0/0  进入接口e0/0/0

  ip  address 192.168.1.1  24  给接口配置ip地址和子网掩码

 

dis  this  显示当前配置 dis  ip  int brief 显示接口摘要

dis ip routing-table  显示路由表

 

71  路由表:路由器转发数据包的唯一依据,是路由器转发数据包的一张“地图”。

72  <>save  保存配置

73  [ ]undo info-center enable 关闭信息中心 ,防止弹出日志

74  直连路由: direct route ,直接相连的路由,当路由器的接口配置好ip地址并up之后,会自动创建该路由。路由器默认情况下,只能到达直连的网段。

静态路由配置:

去包路由:PC1--->PC2(目标网段始终是:172.16.1.0/24)

R1:

ip     route-static     172.16.1.0  24        12.1.1.2                                  目标网段                 下一跳

下一跳:(next-hop)   下一个传递者,下一个承接者

R2:ip route-s  172.16.1.024     23.1.1.3

回包路由:PC2--->PC1(目标网段始终是:192.168.1.0/24)

PC3: ip route-s 192.168.1.0 24  23.1.1.2 PC2:

ip route-s   192.168.1.0  24   12.1.1.1

75undoxxx  撤销某条指令例如:

int e0/0/1    undo ip  address  例如:

undo sysname 

76路由优先级:(preference,思科:管理距离)衡量路由的优先程度,到达同一个目标有两种路由协议,此时优选路由优先级较小的路由协议。

路由优先级范围:0-255 常见路由协议默认的优先级:直连路由  0 静态路由 60

Rip 100

ospf 10

数字越小 越优先

77ping  x.x.x.x -t   一直ping   ctrl + c 终止

78冗余:备份,可靠性较高

79 

int e0/0/0 

   shutdown  禁用接口

   

int e0/0/0     undo shutdown 开启

80如果出接口故障,那么与该接口相关的直连路由全部消失。       如果某路由的下一跳不可达则该路由也会消失。

81到达某相同目标网段路由表中始终放置最优路由。

82路由优先级:目标:想实现千兆Ge0/0/0 做为主链路,百兆E0/0/1 作为备份链路

R1:

ip route-s   210.1.1.0 24 12.1.1.2

ip route-s   210.1.1.0 24 21.1.1.2  preference 50 配置静态路由并制定优先级为50 R2:

ip routes-s 192.168.1.0 24 12.1.1.1ip route-s   192.168.1.0 24 21.1.1.1preference 50

83负载均衡:数据(负载)被均分到两条链路上传输。

84路由度量:(度量值,metric,cost,路由开销)到达某目标所花费的开销(代价)的总合,用来衡量路径的优劣。

85缺省路由(默认路由):defaultroute

ip route-s   0.0.0.0    0   12.1.1.2 访问任何网段都将数据包交给12.1.1.2 注:缺省路由属于特殊的静态路由!注:PC的网关其实就是一种缺省路由。

特殊注意:缺省路由属于“替补路由”,只有当其他的路由不可达时才会使用缺省路由。

注:缺省路由适用于边缘节点,以及企业出口。

86环回接口(loopback):逻辑接口,模拟网段、PC、服务器、后期用于动态路由选举Router-IDint  loopback  0     ip   add  220.1.1.2   24

87DHCP:动态主机配置协议DHCP(Dynamic Host Configuration Protocol)来分配IP地址等网络参数,可以减少管理员的工作量,避免用户手工配置网络参数时造成的地址冲突。上网参数:IP地址、子网掩码、网关、DNS

dhcp enable  启用dhcp功能 ip pool qq   创建地址池qq    gateway-list192.168.1.1  分配网关

  network 192.168.1.0 mask 255.255.255.0 分配ip和掩码    dns-list 192.168.1.1 8.8.8.8  分配DNS

int e0/0/0(和用户相连接口)

    dhcp select global  使用本地全局配置的地址池分配ip地址   cmd--->ipconfig  查看获取到的ip地址

注1:dhcp 服务器使用不同的MAC地址来区分不同的PC 注2:用户发送的第一个dhcp 请求包 源是0.0.0.0 目标是255.255.255.255 的广播报文,该报文称为dhcp discover 。 ipconfig   /all 查看 ipconfig   /release 释放ip地址 ipconfig  /renew 重新获取

更改网卡mac地址:

dhcp 租期:24小时

1.254 ---》A用户

 

dis ip pool name qq used  显示dhcp 分配记录

88RIP: 路由信息协议RIP(Routing Information Protocol)的简称,它是一种基于距离矢量(Distance-Vector)算法的协议,使用跳数作为度量来衡量到达目的网络的距离。RIP主要应用于规模较小的网络中。缺点:古老,收敛速度很慢!

89路由器的每个接口都是一个独立的网段!!

90rip 的配置

R1: rip  1

 undo summary 关闭自动汇总  version 2 版本2 network 192.168.1.0  宣告直连主类网络

 network 12.0.0.0   宣告直连主类网络

R2: rip 1

 undo summary version 2  network 12.0.0.0  network 23.0.0.0  network 172.16.0.0

R3: rip 1

 undo summary version 2  network 23.0.0.0  network 10.0.0.0

91  Rip 报文

每隔30s 发送一次目标地址是:224.0.0.9 组播地址报文里面存放的是路由信息

92  rip  只看距离远近,距离是以跳数(经过路由器的个数)来衡量。

注:16跳不可达。

93  抑制接口:(静默接口)

rip   silent-interface  e0/0/0  将接口e0/0/0 配置为静默接口,rip的路由更新不再从该接口发送。

注:rip 的优先级 100.

94  OSPF:开放式最短路径优先(Open Shortest Path First)协议是IETF定义的一种基于链路状态的内部网关路由协议。ospf 的优先级:10. 95  ospf 的区域规划 area 0 :骨干区域  核心区域area 1、2 。。。:常规区域

Area 0 是骨干区域,其他区域都必须与此区域相连。

96 ospf配置

R1:

ospf 1  area  0

 network 192.168.1.0 0.0.0.255

 network 12.1.1.0 0.0.0.255

R2:

ospf 1

  area 0   net 12.1.1.0 0.0.0.255   net 23.1.1.0 0.0.0.255   net 172.16.1.0 0.0.0.255

R3: ospf 1  area  0

 network 23.1.1.0 0.0.0.255  network 10.10.10.0 0.0.0.255

97ospf 的报文:常见 5种

hello:小巧,用来建立和维持邻居关系 DBD 、LSR、LSU、LSack 刚开始发送

< >reset ospf process 重置ospf 进程

98显示ospf 的邻居表:

99ospf 静默接口

100 Telnet:远程登录,远程控制一些路由器和交换机等网络设备。四层使用TCP 23号端口。101  telnet

telnet 服务端配置: telnet server enable (华为默认开启) aaa

   local-user hcnp password cipher hcnp123 privilege level 3 配置用户名和密码   权限级别3级

   local-user hcnp service-type telnet  

指定账号的服务类型是telnet

user-interface  vty 0  4   同时允许5 个人远程控制      authentication-mode   aaa  认证的模式采用aaa

telnet客户端:

① < >telnet   34.1.1.4

② 客户端为PC

route print 显示PC的路由表

给PC 增加一条路由

route add  34.1.1.0  mask 255.255.255.0   192.168.1.1

注:四层使用的 TCP 23号端口。

缺点:密码是明文密码。

102 FTP:file  translate protocol,  FTP是用来传送文件的协议。使用FTP实现远程文件传输的同时,还可以保证数据传输的可靠性和高效性。目前多数用其来传输安装操作系统。 

103 路由器 硬件组成:

内存  + cpu  +  flash(类似硬盘)  + 风扇  +   I/O接口 + 主板 104 查看路由器操作系统

105 dir 查看flash

106 华为操作系统:VRP:Versatile Routing Platform  ve 5.x

107 对flash 的操作:copy    vrpcfg.zip  aa

reset recycle-bin   清空回收站

配置ftp:

aaa

  local-user aa password cipher aa123 privilege level 3 ftp-directory  flash:    local-user aa service-type ftp

客户端访问:

get r4    复制文件

PC 当客户端:

108   升级操作系统

109 VLAN(Virtual Local Area Network)即虚拟局域网。

作用:在大型的企业内网,可以通过在交换机(二、三层交换机) 上部署vlan技术隔离广播域,缩小广播发送的范围,同时将安全威胁隔离到最小。以及方便管理员的管理。最终使得网络更加的健康和稳定。

110 vlan配置vlan 10   创建vlan 10

vlan 20

vlan batch 20  30  40  同时创建三个vlan

int gi 0/0/1

   port link-type access   将接口类型配置为access

   port default vlan 10  将接口划分到vlan 10 里面

interface GigabitEthernet0/0/2 port link-type access  portdefault vlan 10

注:vlan 1 属于默认vlan,默认情况下所有的接口都位于vlan 1里面 。

注:vlan 隔离广播的同时,也会隔离arp,从而导致单播也无法通信。如果想让不同的vlan 单播可以通信,还需要三层设备(路由器、三层交换机)做路由。

注:默认情况下,交换机的一个接口只能从属于一个vlan,只允许该vlan的数据通过。

111 Trunk:干道 主干链路   通常用于交换机和交换机之间,通过一个接口传输多个vlan 的数据包。

112 trunk 配置:

access 口:接PC

trunk 口:接交换机hybrid 口:混合口 既可以接PC也可以接交换机 (华为交换机的默认接口)

trunk 配置: intgi 0/0/x    port link-ty trunk

  port trunk allow-pass vlan all

PC--->交换机access口

注:PC 不认识 vlan 标记,不认识tag ,只有通过交换机的trunk 接口发出的报文才具备vlan 的标记(802.1q tag)。注:PC 发出的报文没有tag。

交换机trunk-------trunk交换机

113 PVID:本征vlan (nativevlan ):该vlan的报文经过trunk接口时不打标记(tag)。默认情况下本征vlan 是vlan1.

int gi0/0/4

  port trunk pvid vlan 20  将trunk 接口的pvid 改为vlan20

114 将交换机的接口属性更改时:例如由access-->trunk  或者由trunk-->access   必须重置接口的默认配置

[ ]clear configuration int gi 0/0/2

115 vlan 间路由:方法① 多层交换机--SVI (常用):switchvirtual interface

方法② 路由器--单臂路由注意:不同的vlan之间互相通信必须要有三层设备(路由器、多层交换机)做中转。

116 vlan 间路由之 SVI

svi配置:

vlan batch 10   20

将接口划入vlan 配置略

int vlan  10

   ip address 192.168.10.1 24  给vlan 10 配置ip地址10.1 作为vlan 10 用户的网关 int  vlan 20

  ip add 192.168.20.1 24 

调试:

注意:vlan间路由:通过三层设备路由,使得不同vlan间可以互相通信。但是仅仅允许单播通信。不同vlan 之间广播帧依然被隔离既没有失去vlan原来的意义。

117 vlan间路由之 单臂路由

配置:

① 交换机上联配置trunkint gi 0/0/3    配置trunk

② 路由器启用子接口

interface Ethernet0/0/0.10 dot1q termination vid 10  ipaddress 192.168.10.1 255.255.255.0  arpbroadcast enable interface Ethernet0/0/0.20 dot1q termination vid 20  ipaddress 192.168.20.1 255.255.255.0  arpbroadcast enable

  

118 acl :access control list 访问控制列表

acl 两种:基本acl(2000-2999):只能匹配源ip地址。高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。

acl 举例:拒绝PC1访问172.16.10.x 网段

R2:

acl number 2000   建立基本acl (表号2000)   rule 5 deny source 192.168.10.1 0 拒绝源地址为192.168.10.1 的任何数据包。 5为自动生成的执行序号。 int gi 0/0/0

  traffic-filter inbound acl 2000  在接口的入方向调用acl

acl 举例:拒绝PC1 和PC2 ping server 1,但是允许其http 访问。

R2:

acl number 3000   rule 5 deny icmp source 192.168.10.00.0.0.255 destination 172.16.10.2 0

intgi 0/0/0

   traffic-filter inbound acl 3000 

acl 举例:拒绝 PC2telnet 访问12.1.1.2 R2:

acl number 3001       rule 5 deny tcp source 192.168.10.2 0destination 12.1.1.2 0   destination-port e q telnet int gi0/0/0

   traffic-filter inbound acl 3001

注意:

注1:一个接口的同一个方向,只能调用一个acl  注2:一个acl里面可以有多个rule 规则,从上往下依次执行  注3:数据包一旦被某rule匹配,就不再继续向下匹配注4:默认隐含放过所有(华为的acl 用来拒绝数据包时)。

119 ACL 举例:

acl 3005

①    拒绝源地址是1.1.1.0/24 目标地址是2.2.2.2 ftp 的报文

  

②    允许源地址是1.1.1.0/24 的任何报文

  

③    拒绝源地址是3.3.3.3 目标是7.7.7.7的任何ping 包

 

④    拒绝任何telnet 的报文

  

⑤    放过剩下的所有报文

acl number 3005

 rule 5 deny tcp source 1.1.1.0 0.0.0.255destination 2.2.2.2 0 destination-port eq ftp-data

 rule 10 deny tcp source 1.1.1.0 0.0.0.255destination 2.2.2.2 0 destination-por t eq ftp

 rule 15 permit ip source1.1.1.0 0.0.0.255  rule 20 deny icmpsource 3.3.3.3 0 destination 7.7.7.7 0 rule 25 deny tcp destination-port eq telnet  rule 30 permit ip

120 NAT:(Network Address Translation)网络地址转换技术,作用是将内网私有地址转换成公网地址,使得内网的主机可以上外网。

私有地址:任何人都可以使用

A 10.0.0.0/8

B  172.16.0.0-172.31.255.255

C  192.168.0.0/16

基础配置:配置好ip地址出口缺省路由

120 静态NAT :static NAT   :一对一(一 一映射),一个私网地址对应一个公网地址,外网的用户可以访问内网的主机。

global:全局公网地址 local :内网私有地址

inside :内网 内部 outside:外部

int gi 0/0/1  (在外网口配置)       nat static global 12.1.1.2 inside192.168.31.2  将私网地址31.2 和12.1.1.2 做一 对一的映射。调试:查看nat 的转换过程

dis nat session  protocol icmp

缺点:有多少个私网地址就需要多少个公网地址。

121 NAT 之 easy IP :允许多个私网地址转换成一个公网ip,很常用。出口:

先写acl 匹配内网私网地址段 acl number 2000       rule 5permit source 192.168.31.0  0.0.0.255 注:acl 用来做匹配范围时,没有默认隐含允许所有的规则。 int gi 0/0/1 (公网接口)     nat outbound  2000  (2000是acl 的表号)原理:内网私网地址出包时转换成公网接口gi 0/0/1 当前的ip地址。122  NAT 之 serverNAT:可以将某服务器的某端口映射出去 (非常安全)

int gi 0/0/1

    natserver protocol tcp global 12.1.1.4 www inside

192.168.31.254 www

仅仅将服务器的80端口映射出去

123 广域网链路:二层封装 PPP 、HDLC、FR

interface Serial4/0/0  link-protocol ppp  ip address 12.1.1.2 255.255.255.0

PPP 可以对链路做认证

124 PPP 的链路认证:

① PAP 认证     ② CHAP

 

PAP 认证:(明文传输,两次握手)

R2(服务端)

aaa

   local-user hcnp passwordcipher  hcnp123    local-user hcnp service-type ppp int s4/0/0

   ppp authentication-mode pap

此时:可以shutdown 接口 然后再undo shutdown 检测

R1 (客户端)

int s4/0/0

  ppp pap local-user hcnp password simple hcnp123 配置客户端发送的用户名和密码

此时:可以shutdown 接口 然后再undo shutdown 检测

CHAP 认证:三次握手,密文发送

125 HDLC、FR

注:华为、H3C 串行接口默认的封装方式是PPP

       cisco (思科) 串口默认封装的是HDLC int s4/0/0     link-protocl  hdlc

126 FR : frame-relay  帧中继

127 链路聚合/链路捆绑/端口聚合/eth-channel

交换机:

int eth-trunk  1  创建逻辑捆绑接口组1

int gi 0/0/1    将接口加入接口组1    eth-trunk 1

int gi 0/0/2   eth-trunk 1 int gi 0/0/3   eth-trunk 1

128  VRRP:虚拟网关冗余协议 Virtual Router Redundancy Protocol.三层网关冗余技术。对用户的网关做冗余。

基础配置:核心的ip地址接入层交换机无需配置

用户网关 10.1

vrrp 配置:

核心1:

int   gi 0/0/0 (下联用户的接口)    vrrp vrid 1 virtual-ip 192.168.10.1  创建虚拟组1,并指定虚拟ip地址,该虚拟地址作为用户网关。核心2:(主路由器)

int gi0/0/0

   vrrp vrid 1 virtual-ip 192.168.10.1    vrrp  vrid 1 priority  105  将优先级改为105 作为主路由器,优先级默认是100。数字越大越优先。

工作原理:核心路由器会每隔一段时间(约2s)发送一个特定的vrrp 报文。如果一段时间没有收到对方发来的vrrp 报文,就认为对方 master 设备出现故障。此时backup会自动切换为master。

int gi 0/0/0

  vrrp vrid 1 track interface GigabitEthernet0/0/1 跟踪上联接口gi 0/0/1 的状态,当发现gi0/0/1口down时,自动将优先级减10,以让出master的位置。配置密码(可选配置)

int gi 0/0/0     vrrp vrid 1 authentication-mode simpleplain 123 配置认证简单明文密码123

129 stp:spanning tree protocol  生成树协议

作用:防止交换环路  原理:通过运行stp 算法,阻塞特定的接口实现冗余无环的网络。

130 stp 算法:大原则:先选出不被阻塞的接口,剩下的接口都会被阻塞。

① 整个网络(整个广播域)先选出根桥。先比较优先级再比较mac地址,越小越优先。根桥上面的端口都是指定端口。

② 非根桥上面选举根端口(根端口有且仅有一个)到达根桥最近的端口当选为根端口。

③ 每段链路选举一个指定端口。桥ID(优先级+mac)较小的交换机上面的端口当选为指定端口。

④ 剩下的端口全部被阻塞。

131 修改交换机stp 的优先级:stp priority  0  

注:优先级必须是4096的倍数

132 交换机接口由down 到转发状态大概经过30s。down--->listening--->learning--->forwarding

边缘端口:建议将接PC的接口配置为边缘端口(减少接口的收敛时间) int gi 0/0/3

   stp edged-port enable

133 stp 根保护:建议到根桥的接口配置 int gi 0/0/2

  stp root-protection  一旦使能根保护功能的指定端口收到优先级更低BPDU时,端口状态将进入Discarding状态,不再转发报文。在经过一段时间

(通常为两倍的Forward Delay),如果端口一直没有再收到优

先级较高(数值低)的BPDU,端口会自动恢复到正常的

Forwarding状态。

注:该指令只能在指定端口配置才会生效。

134 stp bpdu 防护:保护根桥全局

stp bpdu-protection  

作用:开启bpdu保护后,如果从边缘端口收到stp报文,交换机会自动将该接口shutdown 。从而确保根桥不被抢占,同时确保不会出现环路。

error-down auto-recovery causebpdu-protection interval 30

 30s后自动up 自动恢复机制。

135 RSTP:rapaid stp 快速的生成树协议。stp 的升级版  stp mode rstp 将stp 的模式切换为rstp

136 IPV6:internet protocol version 6 目前正在使用:ipv4

ipv4:32bit    2^32=42.9亿 个 ipv6:128bit  2^128 = 很大很大   冒号分16进制

ipv6由8个字段组成,每个字段占16个bit

         2001:db8:0:0:0:0:346:8d58           2001:db8::346:8d58 特殊ipv6地址:   

注① ::1  本地环回地址 类似ipv4    127.x.x.x

注②  ::   相当于ipv4    0.0.0.0

注③  FF开头 组播v6地址   例如:FF::5 类似224.0.0.5 ipv6 静态路由配置

接口ip:

ipv6   全局使能ipv6 功能 int gi 0/0/1     ipv6 enable     ipv6 address 2001::2  64

R1:ipv6  route-static   2002:: 64      12::2 

R2:

ipv6    route-static   :: 0    12::1

137  ipv6 地址分类:单播   组播  任意播  (取消广播概念)

任意播:一到最近

138  ipv6 无状态自动配置:PC 会通过发送特定类型的icmp 报文请求路由器接口的前缀,结合自己的mac地址自动生成全球独一无二的ipv6 地址。

139  ipv6 中以FE80:: 开头的地址都属于本地链路地址(link-local),只在本地链路有效。启用了ipv6功能的接口都会自动生成相应linklocal地址。

FE80::+EUI-64 地址

EUI-64 地址:原mac地址中间嵌入FFFE,然后将第七个bit 取反。

140  思科  锐捷 命令行简介

> 用户模式

# 特权模式

(config)#全局模式

>enable  由>进入# 模式 #configure   terminal 由#进入全局 exit 退出当前模式全局hostname  SW1  命名

vlan 10 int vlan 10    ip add x.x.x.x 255.255.255.0

#show  ip int  brief  显示接口摘要 #show  ip route 显示路由表 #show run 显示当前配置 #write 保存

int Fa0/1  将接口fa0/1划入vlan 10 switchport access vlan 10 switchport mode access

int Fa0/3  将接口配置为trunk  switchport trunkencapsulation dot1q  switchport modetrunk

静态路由

全局

ip route 192.168.30.0 255.255.255.0  192.168.20.2

同时对多个接口做配置

int range fa0/1-fa0/24

#erase startup-config  擦除配置

141

擦除华为配置

<  > reset saved-configuration

142  终止解析

ctrl + shift + 6 143 思科acl 配置:

标准:

R2:

全局 access-list  1 deny  192.168.10.2  0.0.0.0         access-list 1 permit any int fa0/0

    ip access-group 1 in 扩展:

access-list 100  deny icmp  192.168.10.2   0.0.0.0  any int fa0/0

   ipaccess-group 100 in

144      思科NAT

int fa0/0  

 ip natinside 指明内网接口

int fa1/0    

  ip natoutside 指明外网接口

access-list 5 per   192.168.10.0 0.0.0.255 用acl匹配内网

网段

全局ip nat inside source list 5 interface fa1/0overload

145      思科 telnet配置

全局username aa privilege 15 password aa123首先配置用

户名和密码 权限级别是15

全局line vty 0 15

           login local  使用本地的用户名和密码对登录的用户做

认证

146      思科DHCP

service dhcp enable   开启dhcp 功能

全局ip dhcp pool hcna  建立dhcp 地址池

         network 192.168.10.0 255.255.255.0

         default-router 192.168.10.1          dns-server 192.168.10.1

147      两层架构的总合实验实验要求:

②  企业内网划(①  用户的网关配置在核心交换机)分多个vlan,减少广播域大小,提高网络稳定性

接入层交换机配置vlan ,并将用户划入相应的vlan 配置好trunk链路核心上面配置vlan 和SVI虚拟接口

③  所有设备,在任何位置都可以telnet远程管理

aaa

  local-user hcnp password simple hcnp123    local-user hcnp privilege level 3    local-user hcnp service-type telnetuser-interface vty 0 4 authentication-mode aaa 配置管理vlan 999 管理地址段:192.168.255.x sw1:

interface Vlanif 999  管理vlan  ip address 192.168.255.1 255.255.255.0

sw2: vlan 999 int vlan 999 管理vlan

  ip add 192.168.255.2   24  配置管理ip地址

ip  route-static 0.0.0.0 0192.168.255.1   给管理流量回包的缺省路由 sw3: vlan 999 int vlan 999  ip add 192.168.255.3   24 ip  route-static 0.0.0.0 0 192.168.255.1

④  出口配置NAT

vlan 800 

配置SVI 254.1 和 R1对联

路由器R1、R2 接口都配置好ip地址

NAT配置:

acl number 2000 

 rule  5   permit   source  192.168.0.0    0.0.255.255

int gi 0/0/1 (出口)   nat outbound 2000   核心sw1:

ip route-s0.0.0.0  0 192.168.254.2 出口R1:

ip route-s 0.0.0.0 0 12.1.1.6 出包

ip route-s 192.168.0.0 255.255.0.0192.168.254.1 

将回包交给核心sw1

⑤  stp 运行RSTP模式,确保核心交换机为根桥。并将接入用户的接口配置为边缘端口加快收敛。stp mode rstp stp priority 0 port-g g e0/0/2 to e0/0/3     stp edge-port enable

⑥  配置根桥保护措施,确保根桥不被抢占

接入交换机:sw2、sw3stp bpdu-protection

⑦  所有用户均为自动获取ip地址

核心:sw1

int vlan 30    dhcp select global

⑧  在企业出口将内网服务器的80端口映射出去,允许外网用户访问

R1:

int gi0/0/1     nat server protocol tcp global 12.1.1.4 wwwinside 192.168.200.10 www

⑨  企业财务服务器,只允许财务部(vlan 30)的员工访问。sw1:

acl number 3000

 rule 5 permit ip source 192.168.30.0 0.0.0.255destination 192.168.200.20 0  rule 10deny ip destination 192.168.200.20 0

int gi 0/0/2

  traffic-filter outbound acl 3000

148 三层架构 园区网配置

① 用户的网关配置在核心交换机

② 企业内网划分多个vlan ,减少广播域大小,提高网络稳定性sw4 sw5 sw3 划分vlan 配置trunk sw4:

vlan 10 int e0/0/2    port link-type access    port default vlan 10 int gi0/0/1    port link-type trunk

  port trunk allow-pass vlan 10 999

  

汇聚sw2:

vlan batch 10 20 999 port-g g gi 0/0/1 to gi 0/0/2  e0/0/1    port link-type trunk     porttrunk allow-pass vlan 10 20 999

核心sw1:

vlan batch 10 20 200 999 interfaceGigabitEthernet0/0/1  port link-typetrunk

 port trunk allow-pass vlan 10 20 999

#

interface GigabitEthernet0/0/2 port link-type trunk  port trunkallow-pass vlan 200 999

interface Vlanif10  ip address 192.168.10.1 255.255.255.0

interface Vlanif20  ip address 192.168.20.1 255.255.255.0

#

interface Vlanif200  ip address 192.168.200.1 255.255.255.0

③ 所有设备,在任何位置都可以被telnet远程管理所有设备:

vlan 999 interface Vlanif999  ipaddress 192.168.255.5 255.255.255.0

aaa

 local-user hcnp password cipher hcnp123 privilege level 3   local-user hcnp service-type telnet

user-interface vty 0 4  authentication-mode aaa 注意:接入 、汇聚 sw2 sw3 sw4 sw5 ip route-s 0.0.0.0 0 192.168.255.1 配置缺省路由给管理流量回包

R1:开启telnet

④ 出口配置NAT先配置三层接口配置缺省路由允许内网用户访问外网: sw1:

ip route-s 0.0.0.0 0 192.168.254.2

R1:

ip route-s 0.0.0.0 0 12.1.1.6

⑤ 所有用户均为自动获取ip地址

ip pool vlan_10  gateway-list 192.168.10.1  network 192.168.10.0 mask 255.255.255.0

 dns-list 8.8.8.8

#

ip pool vlan_20  gateway-list 192.168.20.1  network 192.168.20.0 mask 255.255.255.0  dns-list 8.8.8.8

interface Vlanif10  ip address 192.168.10.1 255.255.255.0  dhcp select global

#

interface Vlanif20  ip address 192.168.20.1 255.255.255.0  dhcp select global

#

⑥ 企业总部和分支采用PPP 广域网链路连接。并采用CHAP对链路做认证。接口使用s4/0/0

⑦ 企业总部和分支采用ospf 路由协议连接。

sw1:

HCNP (部分)

149 dhcp  request :由用户发向服务器的广播报文,目的是用来通知其他服务器是否使用服务器分配的ip地址。同时该报文还有续租的作用。

150 dhcp 租期:目的是合理有效的使用ip地址

  分配给客户端的ip地址都是有租期的,当到达租期一半的时候,客户端会自动触发续租消息(dhcprequest报文)。

151 dhcp 高级报文:

152 dhcp 配置:

① 全局建立地址池 ip pool aa  gateway-list 192.168.1.1  network 192.168.1.0 mask 255.255.255.0  dns-list 8.8.8.8

int gi 0/0/1    dhcp select global

修改租期:(可选)

ip pool aa    lease day 0 hour 20

绑定固定mac对应IP(可选)

ip pool aa    static-bind ip-address 192.168.1.200mac-address 5489-987a-575e 排除地址段(可选)

ip pool aa     excluded-ip-address 192.168.1.250192.168.1.254 调试指令:

dis ip pool name aa used  显示已经分配的ip地址的使用情况

<>reset  ip pool name aa used   重置分配记录

② 基于接口的dhcp(简单、便捷)int   Gi 0/0/0 ip address 192.168.1.1 255.255.255.0 dhcp select interface  dhcp serverdns-list 8.8.8.8

③ dhcp relay (dhcp 中继)

交换机配置好vlan 和trunk sw1: vlan batch 10 20 800 int vlan 800    ip add 192.168.254.1 24

int gi 0/0/1    port link-ty acc    port default vlan 800

R1-DHCP: ip pool aa  gateway-list 192.168.10.1  network 192.168.10.0 mask 255.255.255.0

 dns-list 8.8.8.8

#

ip pool bb  gateway-list 192.168.20.1  network 192.168.20.0 mask 255.255.255.0  dns-list 8.8.8.8

interface GigabitEthernet0/0/0  ip address 192.168.254.2 255.255.255.0  dhcp select global

核心sw1:

interface Vlanif10  ip address192.168.10.1 255.255.255.0  dhcp selectrelay  dhcp relay server-ip 192.168.254.2

interface Vlanif20  ip address 192.168.20.1 255.255.255.0  dhcp select relay  dhcp relay server-ip 192.168.254.2

153 dhcp snooping

R1:

dhcp enable

interface GigabitEthernet0/0/0 ip address 192.168.1.1 255.255.255.0 dhcp select interface  dhcp serverdns-list 8.8.8.8

R2: dhcp enable

interface GigabitEthernet0/0/0  ip address 192.168.31.1 255.255.255.0  dhcp select interface

 dhcp server dns-list 9.9.9.9

#

接入层交换机: dhcp enable dhcp snoopingenable dhcp snooping  enable vlan 1

interface GigabitEthernet0/0/1 将接口gi0/0/1 设置为信任接口  dhcp snooping trusted

dhcp snooping 工作原理:一旦针对某vlan 开启了dhcp snooping ,那么该vlan的所有接口默认都是非信任接口。非信任接口收到 dhcp 的offer 报文会直接丢弃。

154 BFD: BFD:Bidirectional Forwarding Detection,双向转发检查

作用:毫秒级故障检查,通常结合三层协议(如静态路由、vrrp、ospf、BGP等)实现链路故障快速检查。

R1:

R1:

bfd 全局使能BFD

bfd 1 bind peer-ip 12.1.1.2source-ip 12.1.1.1  配置BFD组1 discriminator local 1    本地标识1   标识需要互为对称discriminator remote 2 远端标识2  commit 确认提交

R2:

bfd 1 bind peer-ip 12.1.1.1 source-ip12.1.1.2  discriminator local 2  discriminator remote 1  commit

#

R1:

ip route-static 2.2.2.0 255.255.255.012.1.1.2 track bfd-session 1

R2:

ip route-s 1.1.1.0 24 12.1.1.1 trackbfd-session 1

155  ospf 调用bfd 加快收敛

两台路由器配置ospf  然后启用bfd ospf 1    bfd all-interface enable

156  端口安全

sw:

int gi0/0/1

  port-security enable  开启端口安全,该接口就只允许一个mac地址通信

  port-security mac-address sticky  开启mac地址自动粘贴,第一个用户的mac地址会自动被粘贴到该接口    port-securityprotect-action shutdown  将动作改为shutdown (可选)

157  端口镜像:

作用:① 用来方便管理员维护查看网络流量                      ② 用来配合IDS、堡垒机等安全设备使用

将gi 0/0/2 口配置为观察接口 

observe-port 1 interfaceGigabitEthernet 0/0/2 注:1 为观察组

int gi 0/0/1

 port-mirroring to observe-port 1 both 

将从gi 0/0/1口进去和出来的流量复制一份发给观察组1

158  高级vlan 的配置之 基于mac地址的vlan

vlan batch 10 20 vlan 10

   mac-vlan mac-address 0000-0000-0001

vlan20

    mac-vlanmac-address 0000-0000-0002

interfaceGigabitEthernet0/0/1  port hybriduntagged vlan 10 20   配置混合接口  mac-vlan enable  启用基于mac地址学习vlan

159  vlan 高级配置之 基于IP子网划分vlan sw2 创建vlan  并将相应接口划入相应vlan 和sw1 相连的接口配置trunk

sw1:

int gi 0/0/2    port link-ty trunk    port trunk allow-pass vlan 10 20

interface GigabitEthernet0/0/1 (特殊处理)    port hybrid untagged vlan10 20    ip-subnet-vlan enable

vlan batch  10 20 vlan 10

 ip-subnet-vlan 1 ip 192.168.10.0 255.255.255.0vlan 20

  ip-subnet-vlan 1 ip 192.168.10.0 255.255.255.0

160 超级vlan

vlan batch 10 20 30

将相关接口划入相应vlan (略)

vlan 30  aggregate-vlan  将vlan30 定义为聚合vlan  access-vlan 10 20  将vlan 10 20 定义为vlan30 的子vlan

int vlan 30   ip add 192.168.1.1 24  该地址将作为vlan 10 和vlan 20 的网关

161 相同vlan  隔离端口

int gi 0/0/4

  port-isolate   enable  将4口设置为隔离端口,并加入隔离组1 (默认都会加入隔离组1) intgi 0/0/1

 port-isolate   enable

注:同一台交换机相同隔离组的端口不能互访

162 vlan的映射:vlan mapping (vlan 的翻译)

sw3 sw4  配置vlan 和trunk,交换机和交换机之间级联的接口配置trunk sw1:

vlan 100 int gi 0/0/1    port link-ty trunk

   port trunk allow-pass vlan 100 sw2 :

interface GigabitEthernet0/0/1  port link-type trunk

 port trunk allow-pass vlan 30 to 31

interface GigabitEthernet0/0/3  port link-type trunk  port trunk allow-pass vlan 32

int gi 0/0/2     port link-type trunk    port trunk allow-pass vlan 100

  qinq vlan-translation enable  启用vlan 标签的转换

   port vlan-mapping vlan 30 to 39 map-vlan 100将vlan的标签30-39 转换成100 注:trunk 封装:802.1q协议    

163  hybrid 混合接口:hybrid 接口是一种混合接口,是华为设备特有的接口。华为交换设备默认的接口封装类型。hybrid 接口同时具备access 和trunk 的两种功能。

将hybrid 口当成access口来使用: sw1: int gi 0/0/1    port hybrid pvid vlan 10    port hybrid untagged vlan 10 

interface GigabitEthernet0/0/2 port hybrid pvid vlan 20  porthybrid untagged vlan 20

将hybrid 口当成trunk 来使用:

interfaceGigabitEthernet0/0/3       port hybridtagged vlan 10 20 sw2:略 164  使用hybrid 接口实现特殊通信:

房间之间不能通信,但是每个房间都可以与出口路由器通信

sw1:

165 SSH:Secure Shell

ssh :安全的远程控制协议  端口 tcp 22号端口

特点:传输的数据时加密的,Linux 服务器也很常使用

aaa

  local-user aa password cipher aa123 privilege level 3    local-user aa service-type ssh

user-interface vty 0 4  authentication-mode aaa  protocol inbound ssh stelnet serverenable  开启stelnet(SSH)的功能

使用路由器当ssh客户端:

166 MSTP:

Mulitistp  多生成树协议 (华为交换机默认运行mstp)工作原理:将多个vlan 捆绑在一起,运行在一个stp 实例里面,不同实例间的stp 互相独立。 注:默认情况下所有vlan 都在实例 0 里面。交换机需要提前创建vlan 和trunk mstp配置:

instance  1  :vlan 10instance  2  :vlan 20 所有的交换机:

stp region-configuration region-name hcnp  instance 1 vlan10  instance 2 vlan 20  active region-configuration

sw2: stp instance  2 priority 4096   针对实例2 将sw2的stp 优先级调为4096

注:配置sw1 成为instance2 的根桥:

sw1 stp  instance 2 root  primary (sw1会自动降低优先级成为实例2 的根桥)sw2: stp instance  2  root  secondary  sw2将会自动降低优先级成为实例2 的备份根桥

167   VRRP + MSTP 实现二层 和三层的冗余:核心sw1:(作为vlan 10  用户的主路由器)

interface Vlanif10  ip address 192.168.10.254 255.255.255.0  vrrp vrid 1 virtual-ip 192.168.10.1

 vrrp vrid 1 priority 105

核心sw2:

interface Vlanif10  ip address192.168.10.253 255.255.255.0  vrrp vrid 1virtual-ip 192.168.10.1 核心sw1:

interface Vlanif20

 ip address 192.168.20.254 255.255.255.0  vrrp vrid 2 virtual-ip 192.168.20.1

核心sw2:(SW2将成为vlan 20的主路由器)

interface Vlanif20

 ip address 192.168.20.253 255.255.255.0  vrrp vrid 2 virtual-ip 192.168.20.1  vrrp vrid 2 priority 105

如果由于核心交换机的下联接口出问题,vrrp 切换到另一台核心,需要配置跟踪接口 sw1:

int vlan 10    vrrp vrid 1 trackinterface GigabitEthernet0/0/1 sw2:

stp instance 1  root primary 

sw2:

stp  instance 1 root secondary instance 2 根桥设置:

sw1:

stp  instance 2 root secondary stp instance 2 root primary 

sw2:

168 ospf :open shortest path first 开放式最短路径优先

area 0 :骨干区域  (核心区域) area 1  2  。。常规区域注:常规区域必须和骨干区域直接相连

ABR:area borderrouter 区域边界路由器

ASBR:auto-systemborder rouer 自制系统边界路由器

169 router id:标识运行ospf 的路由器的身份 ID,身份ID 不能重复。

选举规则:手动指定最优先,如果没有指定则选举环回口,没有环回口则选举物理接口(接口地址越大越优先)华为设备:手动指定最优先,最先up的接口最优先。

注:router id 是在ospf刚启动的时候选举。

重置ospf 进程 可以从新选举:

手动指定:

全局 router id 2.2.2.2  给动态路由协议指定router id

170 ospf 建立邻居的条件:

①  两台路由器router id 不能一致

②  两台路由器中间直连的网段必须宣告到相同的area 区域

③  认证的类型、密码必须一致

④  直连必须可以通信

⑤  ospf 邻居之间的特殊区域标识必须一致

172 ospf 的路由优先级:preference  :10 (默认)

173 三张表:

邻居表 拓扑表  路由表邻居表:

拓扑表:

174 ospf 排错

175 动态路由:

距离矢量类路由协议:distance-vector :Rip  BGP 链路状态类路由协议:link-state   :ospf   ISIS

176 ospf 的邻居建立过程:

down----->init----->two-way----->ex-start---->-ex-change---->loading---->full

init:初始化状态,开始交互hello 报文 two-way:路由器双方都得到对方的router-id exstart:准备交互DBD描述报文,同时选举DR和BDR exchange:交互DBD描述报文 loading:加载状态,请求对方的完整的明细路由 full:完全邻接状态,双方数据库同步注:查看ospf形成邻居的几个状态 information-center enable<>debugging   ospf   event

<>terminal  debugging <>reset ospf  process

177 DR:designate router  指定路由器 (班长)

       BDR:backup DR 备份指定路由器 (副班长)

作用和目的:为了减少 MA(多路访问multi-access)环境下,不必要的ospf 报文的发送,减少链路带宽的占用,路由器会自动选举DR 和BDR。DRother路由器只会将ospf 路由信息传递给DR。 DRBDR选举规则:接口优先级 +  router id,越大越优先。

注:DR、BDR 的不抢占规则:DR和BDR一旦选举成功,则不会再次选举。(除非重启)注:优先级为0 表示直接不参与DR和BDR 的选举。

178 配置:

int gi 0/0/0

   ospf dr-priority 5  将接口ospf 优先级由1改为5

179 ospf 常见的五种报文:

180 ospf 虚链路 :解决常规区域没有和骨干区域直接相连

R1: ospf  1

   area  1 (一定在area 1 )

       vlink-peer  2.2.2.2 (2.2.2.2 必须是对方路由器的router id)

R2:

ospf 1

   area 1          vlink-peer 1.1.1.1

注:虚链路是区域0 的延伸,它默认属于区域0 。

181 ospf 的认证:

注:认证是基于接口的

int gi 0/0/0

 ospf authentication-mode simple cipher 123

182 清空ospf error 统计<>reset ospf counters

183 ospf 的静默接口

ospf 1     silent-interface gi0/0/1  将gi0/0/1口设置为静默接口,静默接口不会发送任何的ospf 报文。注:建议将接PC的口设置为静默接口。

184 ospf 修改优先级

ospf 1

  preference 20  将优先级修改为20

185 ospf 的路由引入(import):思科称为路由重分布(重分发)

R5: rip 1

 undo summary version 2  network 8.0.0.0  network 57.0.0.0

R7: rip 1

 undo summary version 2  network 7.0.0.0  network 57.0.0.0 注:不同的路由协议之间默认不能直接传递路由,若想传递还需import 引入。

R5:

ospf 1    import rip  将rip 引入ospf

引入的路由:o_ASE :ospf -autosystem external,ospf自制系统外部路由

,路由优先级默认是150

R5:

rip 1

   import  ospf   将ospf 引入rip

双向引入完成

 

向ospf 区域引入缺省路由: R3:

ip route-s  0.0.0.0  0   38.1.1.8 ospf   1

    default-route-advertise  always  

 将缺省路由引入ospf 注:always 无论R3是否有缺省路由存在,R3总会向ospf区域下发缺省路由。

186 ospf 路由汇总

作用:精简路由表的大小,减少路由器计算资源的开销

1.1.1.0/24

1.1.2.0/24

1.1.3.0/24

1.1.000000 01.0

1.1.000000 10.0

1.    1.000000  11.0

1.1.0.0/22

1.1.0.0 255.255.252.0

① 区域间的汇总(必须在ABR上汇总) R2:ABR

ospf 1  

 area 1(明细路由所在区域)      

         abr-summary 1.1.0.0 22

② 自治系统间的汇总(必须在ASBR上汇总) R5:ASBR

 ospf  1   

    asbr-summary 7.7.0.0  255.255.240.0 

7.7.7.0

7.7.8.0

7.7.9.0

7.7.0000 0111.0

7.7.0000 1000.0

7.    7.0000  1001.0

7.7.0.0/20 

7.7.0.0 255.255.240.0

187 ospf LSA 类型:



188 ospf 特殊区域

① stub  ②  totally stub   ③ NSSA     ④  totally NSSA

①       stub 末节区域:不接收五型的lsa  R1  R2:(R1 和R2 都要配置) ospf 1     area 1          stub

作用:拒绝5型LSA,减少路由表的大小,减轻末节路由器的负担。注:特殊区域的路由器会自动形成缺省路由指向ABR来访问其他自制系统。

②       totally  stub  完全末节区域:拒绝 3 4 5 型LSA

 R1  R2:(R1 和R2 都要配置)

ospf1     area 1

         stub no-summary

③ NSSA :not so  stub  area :拒绝5型的LSA ,但是会放行后面的其他自制系统的路由即“小尾巴”。“小尾巴”的路由会通过7型的LSA透传stub 区域。

R1 R2: ospf 1

  area 1

      nssa  将区域1配置为nssa区域

④ totally nssa :拒绝3 4 5 型 LSA

R1 R2: ospf  1    area 1          nssa no-summary

189 ospf 的路由过滤

ospf 1   filter-policy 2000 import (使用acl 2000 对路由进行过滤)

acl number 2000   rule 5 deny source 1.1.2.1 0  rule 10 deny source 1.1.3.1 0  rule 15 permit 拒绝1.1.2.1/32和 1.1.3.1/32 两条路由,放过剩下的路由。

190 对ospf 引入(import)的路由进行过滤ospf 1 

  import-route rip 1 route-policy qq 引入rip路由同时调用路由策略qq

route-policy qq permit node 10 配置路由策略qq 执行序号为10 if-match acl 2001  匹配acl 2001

acl 2001

   rule  permit source 7.7.8.00.0.0.255     rule  permit source 7.7.9.0 0.0.0.255

191 ISIS:Intermediate System to Intermediate System的简称  中间系统到中间系统 ,类似ospf 的一种动态路由协议。中间系统:路由器注:主要用于运营商的内部网络

特点:

① IS 指路由器

② isis 属于大型内部网关路由协议类似ospf,多用于运营商,企业网很少使用。

③ 使用SPF算法,链路状态类路由协议。

④ ISIS 封装数据包是基于OSI 模型,ospf、rip、以及常见的以太网数据包封装都是基于TCP/IP模型。

⑤ ISIS 划分区域是基于路由器的。即一个路由器只能属于一个区域。

⑥ ISIS 也是两层架构(骨干区域、常规区域)

192 isis路由器的种类:

①    Level 1路由器:仅收发L1 isis报文

②    Level 2路由器:仅收发L2 isis报文

③    Level 1 2路由器:可以收发L1 和L2的isis报文骨干区域:连续的一片Level   2 路由器(包含L1 2)的集合

配置:

isis基本配置:

R1:

isis  

   network-entity 49.0002.0000.0000.1111.00   配置网络实体标识,类似ospf中的router-id,标识该中间系统(路由器)的身份信息。 其中49.0002 表示路由器所在的区域。

0000.0000.1111 表示系统ID即router-id .00 固定格式

到接口下宣告直连网段

R1:

int gi 0/0/0

  isis enable 1 宣告该直连网段 int loo 0    isis enable 1

注1:默认情况下所有运行isis的路由器都是Level 1 2路由器。

注2: L12 路由器类似ospf中的ABR          L2  类似ospf中骨干区域路由器

         L1   类似ospf中的常规区域路由器

193 修改路由器的level 类型

R1:

isis 1

 is-level level-1  将R1修改为纯level 1路由器

注:默认情况下,骨干区域的路由不会发送到L1路由器(常规区域),且L1路由器会自动形成指向L12路由器的缺省路由。(这种特性类

似ospf中的totallystub)

194 修改isis 接口发送level 报文的类型:

R2:

int gi 0/0/0     isis circuit-level level-1 指定R2 的接口只发送level 1 的isis报文。

195 向isis区域引入其他自制系统的路由注意:默认情况下,向isis引入的路由是Level 2 的路由。 isis  

 import-route rip 1 level-1  接level 1 指的是以level 1 的形式引入

196 BGP:边界网关路由协议:boder gateway protocol

特点: ① 属于外部网关路由协议

         ②  针对大型网络、大型跨国集团、运营商、国与国之间的路由

197 路由协议分类:

内部网关路由协议IGP:rip   ospf   isis  (eigrp)外部网关路由协议EGP:EGP(早期淘汰) BGP

198 BGP  邻居关系:

IBGP :相同的AS路由器邻居 EBGP:不同AS的路由器邻居

注:EBGP 建邻居用直连接口

      IBGP 建邻居用环回接口

EBGP:

R1: router id 1.1.1.1 bgp 100 

  peer 12.1.1.2 as-nu  200  指定邻居12.1.1.2 所在的AS

R2:

router id 2.2.2.2 bgp 200

   peer 12.1.1.1 as-nu 100 调试:dis bgp peer  199  IBGP 邻居建立:

在AS 内部需先运行IGP,然后才可以使用环回接口建立BGP

R2: bgp 200  peer 3.3.3.3as-number 200  peer 3.3.3.3connect-interface LoopBack0

R3:

router id 3.3.3.3 bgp 200 peer 2.2.2.2 as-number 200  peer2.2.2.2 connect-interface LoopBack0  peer4.4.4.4 as-number 200  peer 4.4.4.4connect-interface LoopBack0

R4:

router id 4.4.4.4 bgp 200

 peer 3.3.3.3 as-number200  peer 3.3.3.3 connect-interface LoopBack0  peer 45.1.1.5 as-number 300

R5:

router id 5.5.5.5 bgp 300

 peer 45.1.1.4 as-number 200

200 bgp  路由传递:R1:

bgp 100

   network 1.1.1.0   24

查看bgp的转发表“高速公路”

注:<>reset bgp all 重启bgp 进程

201 BGPnext-hop 属性:BGP 是以AS为个体,路由传递给其EBGP对等体时,下一跳会不变的引入AS的内部。可能会引起下一跳不可达问题:

解决:

R2:

bgp  200

   peer3.3.3.3  next-hop-local  路由传递给邻居3.3.3.3时将路由的下一跳改为自己(2.2.2.2)

202 IBGP 水平分割属性:为了防止IBGP环路,默认情况下从IBGP对等体收到的路由不会传给其IBGP邻居。

解决水平分割:配置路由反射器

R3:

bgp200

    peer 4.4.4.4  reflect-client  将R4配置为自己的路由反射客户端

注:从客户端(路由反射客户端)学到的路由可以无条件传递给任何对等体。

203 全网互通、路由引入

R1 R2:

bgp 100

  net 12.1.1.0 24

R5 R4: bgp 300

 net 45.1.1.0 24

R2:

bgp 200      import-route ospf  1 将ospf 的路由引入bgp

204 BGP 的路由汇总

R1:

bgp 100

 aggregate 1.1.0.0 22   

注:默认情况下,bgp的明细路由和汇总路由都会发送

     a(bgp 100)ggregate 1.1.0.0 22   detail-suppressed  抑制明细路由

205 BGP AS-path 属性

作用:如果一个路由器收到一条路由,路由的AS-path 包含自己所在的AS,则路由器会认为发生了环路将该路由丢弃。

EBGP 防环:As-path 属性

IBGP 防环:ibgp 水平分割

206 路由聚合的AS-set 参数

R4:

bgp 200

   aggregate 1.1.0.0 22 detail-suppressed as-set

as-set 参数可以使得聚合后的路由含有原来的as-path 属性 207  一台路由器上面只能运行一个bgp 的进程。

208 MPLS:Multi-Protocol Label Switching,多协议标签交换    运营商在使用(企业网没有使用)

① mpls-vpn

② 在各种运营商的设备上面例如:LTE、ONU

注意:MPLS是二层半协议,介于mac和ip之间注意:mpls 只是一种数据层面的转发方式,mpls 本身无法形成路由,无法控制数据的走向。即mpsl 是依赖于底层的路由协议。

209

mpls 配置:

全局 mpls lsr-id 1.1.1.1  指定mpls路由器的router-id

mpls   启用mpls标签转发 mpls ldp  启用mpls ldp分发协议

int gi0/0/0  mpls   mpls ldp

210 LDP:标签分发协议

211 mpls 工作原理

注①:标签小于1024都有特殊意义,给普通路由分发的标签大于等于1024

注②:标签转发仅仅是工作于数据层面的转发机制,不能控制转发路径,控制层面依靠路由表。

注③ :标签本地有效。

212 vpn:virtual private network 虚拟专用网络应用类型两种:

①    总部和分支之间对联

②    远程出差人员,通过vpn拨号的方式访问企业内网

213 GRE vpn 配置:

R5 R6:

需要配置缺省路由指向运营商

运营商的路由器全部配置ospf 使得R5的公网地址ping 通 R6 的公网

R5:

interface Tunnel0/0/0  description TO_shanghai  tunnel-protocol gre  source 15.1.1.1

 destination 46.1.1.1   ip add 192.168.254.1  24  给隧道配置ip地址 R6:

interface Tunnel0/0/0 description TO_beijing tunnel-protocol gre  source46.1.1.1  destination 15.1.1.1  ip add 192.168.254.2 24

R5:

ip route-s 192.168.100.0 24 192.168.254.2

                     

R6: ip route-s 192.168.1.0 24 192.168.254.1 缺点:数据在经过运营商时没有加密。

214  ipsec vpn:

① 两端公网地址网络可达

② 配置acl 感兴趣流量(经过vpn隧道传输的流量)

R5:

acl 3000  

   rule per ip source 192.168.1.0 0.0.0.255  destination  192.168.100.0 0.0.0.255    R6: acl 3000 

  rule per ip source 192.168.100.0 0.0.0.255  destination  192.168.1.0 0.0.0.255 

   

215 组播

 multicast ,一次发送一组人接收     组播应用场景:广播电视、音视频会议系统、电视直播。

组播作用:减少主干链路重复报文的发送,节省带宽,减少服务器和主干路由器的负载。

216 防火墙:firewall

 工作模式:

①    透明网桥模式(可将防火墙当成二层交换机)

②    路由模式  (可将防火墙当成三层路由器)

DMZ:demilitarizedzone,通常给该区域放服务器

注:优先级越高表示越信任

217 将接口划入区域

218 方向:  outbound:高优先级访问低优先级  inbound:低优先级访问高优先级

注:“访问”仅指的是出包即主动发起的第一个报文,即建立会话(session)的过程。

219 五元组:

cmd----》netstat-an

①  NAT(220  防火墙NAT )转换:firewall   允许内网私网用户访问外网服务器

nat-policyinterzone trust untrust outbound   允许trust-

>untrust转换

  policy 1                  定义转换策略1     action source-nat  仅转换源ip地址     easy-ip  Gi 0/0/2 出包时转成公网接口gi0/0/2的公网ip 注:不需要到接口下配置。

②  NAT转换:将内网服务器80端口映射出去

nat server protocol tcp global23.1.1.3 80 inside 192.168.254.2 80

调试命令:

221  SLB(server  load-balance ):基于服务器的负载均衡

注:slb集成NAT功能,因此不需要额外配置基于服务器的NAT 配置:

slb enable slb

  rserver 1rip 192.168.254.2  真实服务器1的真实ip地址   rserver 2rip 192.168.254.3   group web

       addrserver 1       addrserver 2 

  vserver vweb vip 23.1.1.4 group web 创建虚拟服务vweb公网地址23.1.1.4,关联真实服务器组web

222  网络运维监控----solarwinds



核心开启snmp:

223  网络运维监控之hostmonitor

功能强大,可以监控端口 、网络可达性、DNS等等

224   网络运维监控之spotlight 

 

225   QOS :quality  of service 服务质量 作用:在不升级网

络硬件带宽的前提下,通过对某些服务或者某些用户优先放行而实现带宽合理分配,提升用户服务质量。

QOS配置步骤:

①   将流量进行分类

trafficclassifier LD   将源ip为15.0 分到领导这个类别     if-match acl 2000

 acl number 2000      rule 5 permit source 192.168.15.00.0.0.255 ② 配置相关动作 behavior

trafficbehavior LD  car cir 2000   确保2000kbps 的带宽 ③  配置策略 policy

trafficpolicy LD  创建策略LD,将分类和动作进行关联

 classifier LD behavior LD ④ 接口下调用策略

intgi0/0/0

  traffic-policy LD outbound 调试:

226  panabit 流控软件安装 panabit



用户名:root 密码: root 选择ad0 作为安装的硬盘   选择em2 网卡作为控制网卡

   ls     ./setup

给管理网卡em2 配置ip地址和网关

设置三个网卡的模式:

win7虚机   IE浏览器

https://192.168.31.24

用户名:admin 密码:panabit

227  配置panabit

注意① 每个策略都需要时间调度才可以生效注意② 网卡都选择网桥1 注意③ 到对应的项目里面做对应的限制228  Linux 系统的安装

Linux(Redhat 、Centos、redflag(红旗)、debian、

opensuse、unbuntu、arch、freeBSD等等:安全 稳定 开源 windows(win7、winxp、win8、win2008等):消耗资源

免费

高、不太稳定

安装

229  基本指令

ctrl + shift + + 放大字体 ctrl + -  缩小字体 init   3  进入非图形化界面 startx==init  5 进去图形化界面 vim  /etc/inittab

3 非图形界面  5  图形界面

reboot   之后就会进入相应的模式

 

用户名@机器名  路径  ($代表普通用户  #根用户)  pwd 显示当前的路径 /  根目录

cd  进入某目录  change directory ls   list  列出当前目录的内容/root/Desktop 桌面位置 mkdir   A   新建文件夹A

.. 表示上一级目录 .  表示当前目录

相对路径  cd   A 绝对路径  cd  /root/Desktop/A touch  1  创建文件 1

-  表示光标之前所在的位置 “返回”

cp  复制 (copy) rm  删除(remove) rm -fr  (force)强制删除任何文件和文件夹 mv  剪切(move) 重命名 init  0   关机 reboot  重启

shutdown-h  20 &   20分钟之后关机 shutdown -c  取消关机 230  vi编辑器

cp   /etc/inittab     .  将文档inittab 复制到桌面实验 

三种模式指令模式(默认打开后就是这个模式)插入模式  i (insert)

保存模式 :(:wq! 保存并强制退出)

r   替换某单个字符(replace)

esc退出到命令行模式

u  撤销 dd  删除一行

/no    查找no 关键字  n 下一个(next) N 上一个 shift +zz  (英文,小写)7yy  复制光标以下七行p  粘贴 (paste)

231  网络配置 ifconfig   查看网卡接口配置

ifconfigeth0  1.1.1.1 netmask 255.255.255.0  临时给网卡配

置ip地址

route  add -net 0.0.0.0 netmask 0.0.0.0 gw1.1.1.254  临时

配置网关

serviceNetworkManager stop  停止图形界面的网络服务(没

有无线网卡,没必要开启) chkconfigNetworkManager off  开机不启动 setup

ifdown   eth0  禁用eth0 网卡 ifup        eth0 启用eth0 网卡设置网卡使其开机自启动重启网络服务时也是自启动

cd  /etc/sysconfig/network-scripts vim ifcfg-eth0

cat  ifcfg-eth0  查看该文件内容

service network restart  重启网络服务

注:每次修改完配置文件后都要通过重启相关服务才可以使配置生效。

232  关闭防火墙和 selinux iptables  -F  清空防火墙策略 /etc/init.d/iptables  save  保存刚才的配置 vim /etc/selinux/config

重启生效

setenforce=0  临时关闭selinux 233 安装 vm-tools

一路回车!!!

安装完成之后,

reboot重启即可 234  ssh 服务:远程登录  安全  默认开启 无需设置修改主机名(hostname)

hostname  xiaoge临时修改 vim  /etc/sysconfig/network  永久修改

ssh  x.x.x.x 235  yum 源的配置:作用方便安装某些软件和服务(功能)先将iso系统镜像复制到虚机里面,然后将iso 镜像挂载到相关目录 才可以使用

cd     /

mkdir   iso123 mkdir   ISO

mv  /root/Desktop/rhel-server-Linux-6.2-x86_64-dvd.iso  

/iso123 vim   /etc/fstab

安装软件方法

法①   rpm 安装  cd   /ISO/Packages

安装dhcp 服务

rpm-e dhcp   卸载该服务法②使用yum 源安装:优点 :自动解决软件包的依赖性 yum 源配置:检查yum 源是否做好

安装

yum install    xxx -y (xxx表示软件包的名称(非全称))

卸载

yum remove  xxx -y

236  VNC:virtual network computer ,跨平台 (linux 平台 

windows平台  MAC OS 平台),支持图形界面远程管理linux

yum clean all  清空yum 源 yum repolist  重新生成 yum  install tigervnc*  -y  安装vnc

vncserver   回车 输入密码 (该密码是用户远程控制时需要输入的密码)启动vnc服务并设置密码本地客户端测试:

vncviewer --->127.0.0.1:1 远程控制:安装vnc  利用vncviewer---》

确保网络可达

注:vnc 重启之后,服务需要重新启动 237  配置vnc服务自启动 vim  /etc/sysconfig/vncservers  VNCSERVERS="1:root"

 

 VNCSERVERARGS[2]="-geometry 800x600-nolisten tcp localhost" chkconfig vncserver on  开机使得vnc 服务自启动 238  Linux 系统的口令恢复(密码破解)

passwd    修改根用户的密码开机前3s按任意键 终止启动

回车后 按b 键启动   启动后 重新重置密码

239防止修改密码 240   破解启动项密码(unlock 密码)



删除密码

删除后 重启即可 241  linux 文件传输

scp:security copy  基于ssh 使用tcp 22号端口

linux:31.34--------linux:31:100scp  qq 192.168.31.100:/root/Desktop  将本地的qq文件传

至对方桌面 scp 192.168.31.100:/root/Desktop/youjie .  将对方桌面上

的youjie文件复制到本地注:传递文件夹需要增加 -r 例如:

scp -r abc192.168.31.100:/root/Desktop  将本地abc 文件夹传至对方电脑 242  windows 向linux 传输文件:winscp

243  FTP:文件传输协议(FTP:FileTransfer Protocol)

       VSFTP :verysecure file transport protocol (linux)

客户端访问:windows

客户端访问:linux

图形界面---place---connect toserver

244   WLAN:Wireless LocalArea Networks 无线局域网

802.11n   802.11ac (最快)

STA:station 工作站    PC、手机、PAD AP:access  point

AC:accesscontrol (接入控制器),控制各个无线AP

组网方式:a  直连式组网

组网方式: b  旁挂式组网

用户数据(业务报文)转发方式:集中式转发(隧道转发) : 隧道指的是AP和AC之间建立的 capwap 隧道

本地转发  (直接转发) 数据直接转发,不从新封装 WAN 组网:二层组网:从AP 到AC之间是二层,ap 和ac 在同一个广播域三层组网:从AP到ac之间 是三层,AP的广播无法发送到AC wlan 工作频率:

2.4GHZ  普通 速率低 干扰大

5G GHZ  高配 速率快 干扰小 245  wlan 有线侧配置:dhcp 路由 vlan trunk

在ac 上查看AP是否上线(获取到ip)

AC增加指向 R1 出口缺省路由

ip  route-s  0.0.0.0   0  192.168.240.2 246  WLAN 无线侧配置

SSID:service-set ID(信号名称) ①  全局配置

wlanac-global country-code CN   配置国家代码

(不同国家无线信道的标准不一样,中国2.4GHZ 分为13个信道)(默认)

wlanac-global ac id 1 carrier id other  配置ac id 1 以及运营商 ②   配置AP上线  指定与AP建立capwap 隧道的接口

wlan  

    wlan ac source interface vlanif100  

     ap-auth-mode mac-auth  配置AP的认证方式(默认)

wlan

    ap id 1   type-id 19 mac   00e0-fcee-0410     ap id 2  type-id 19 mac   00e0-fcc1-1470

  

至此两个AP 全部上线!!

247  wlan 无线侧配置(2)

wlan

全局下配置:给用户群A虚接口:

248 配置一个服务集 将上述定义好的模板调用起来

wlan:

commit  all  确认提交所有的配置检查用户的上网情况

249完善实验

R1:ip route-s 192.168.0.0 16 192.168.240.1 回包int loo 0

   ip add 9.9.9.9 24  模拟外网百度

AC整个配置:

<AC6605>discurrent-configuration vlan batch 100 to 102 800 wlan ac-global carrier id other ac id 1 dhcp enable interface Vlanif100

 ip address 192.168.100.1 255.255.255.0

 dhcp select interface

 dhcp server dns-list 8.8.8.8 9.9.9.9 interfaceVlanif101

#

 ip address 192.168.101.1 255.255.255.0

 dhcp select interface

 dhcp server dns-list 8.8.8.8 9.9.9.9 interfaceVlanif102

#

 ip address 192.168.102.1 255.255.255.0

 dhcp select interface

 dhcp server dns-list 8.8.8.8 9.9.9.9 interfaceVlanif800

#

 ip address 192.168.240.1 255.255.255.252interface GigabitEthernet0/0/1  portlink-type trunk  port trunk pvid vlan 100  undo port trunk allow-pass vlan 1

 port trunk allow-pass vlan 100 to 101

#

interfaceGigabitEthernet0/0/2  port link-typetrunk  port trunk pvid vlan 100  undo port trunk allow-pass vlan 1  port trunk allow-pass vlan 100 102

#

interfaceGigabitEthernet0/0/3  port link-typeaccess  port default vlan 800 interfaceWlan-Ess1  port hybrid pvid vlan 101

 port hybrid untagged vlan 101 interfaceWlan-Ess2  port hybrid pvid vlan 102

#

 port hybrid untagged vlan 102

#

iproute-static 0.0.0.0 0.0.0.0 192.168.240.2

#wlan

 wlan ac sourceinterface vlanif100  ap id 1 type-id 19mac 00e0-fcee-0410  ap id 2 type-id 19mac 00e0-fcc1-1470

 wmm-profile name wmm-1 id 1  traffic-profile name tra-1 id 1  security-profile name sec-1 id 1  service-set name hcie id 1   wlan-ess 1  ssid hcie   traffic-profile id1   security-profile id 1   service-vlan 101  service-set name hcie2 id 2   wlan-ess 2  ssid hcie2   traffic-profile id1   security-profile id 1   service-vlan 102  radio-profile name rad-1 id 1   wmm-profile id 1  ap 1 radio 0  radio-profile id 1   service-setid 1 wlan 1  ap 2 radio 0   radio-profile id 1   service-set id 2 wlan 1 # return

<AC6605>250  优化配置

wlan     service-set id 2

        user-isolate 配置用户互相隔离

251  AP 工作过程

①  AP发送普通DHCP 请求报文,获取IP地址

②  查找AC :AP 触发capwap 的广播查询报文

③AP 找到AC后,会和AC建立capwap 隧道,同时从AC请求配置。拿到配置后就可以发送电磁波让用户上网。

④ 用户看到wifi信号,连接并上网

 



本文标签: HCNA