admin 管理员组

文章数量: 887021

1. OSI模型

定义:open system interconnection 开放式系统互联
规定了很多网络标准,目的是为了促进各个厂商各 个系统之间的互联互通。 注意:由于osi模型设计冗杂,编程很难实现。目前数据封 装都使用TCP/IP模型来封装数据。
七层模型:

一层 物理层:规定物理介质、网线、光纤、电流、电压、 网卡。
 二层 数据链路层:mac地址 交换机 
 三层 网络层:ip地址 路由器 
 四层 传输层:端口号 tcp udp 端口 
 五层 会话层 
 六层 表示层 高层 数据所在的位置 
 七层 应用层

2. TCP/IP模型

定义:很多个互联网协议的 集合,其中以tcp和ip为主,将这些协议的集合称为tcp/ip 协议栈。目前使用最多的协议模型。
五层模型:

一层 物理层 
二层 数据链路层 
三层 网络层 
四层 传输层 
高层 应用层 

注意:前四层主要为了传输和识别。“货物”放在高层。

3. IP传输原理

icmp 协议 icmp:internet control message protocol

总结:数据在传输的过程中(不考虑NAT),三层的ip地 址永远不变。二层的mac地址一直在变(经过三层设 备)。

ping www.baidu (测试网络的联通性 参考封装协议)
Request :请求 
reply :响应 回应 
source :源 来源
destination :目标和目的 
tracert www.baidu 测试到达目标所经过的 三层设备的个数

4. 网关三要素:

① ip地址 ② 网关 (gateway) ③ DNS (域名解析)
网关的作用:网关相当于缺省路由(默认路由),当pc想 访问外网(其他网段),此时pc需要将报文交给网关处理。局域网互访不需要网关。不同网段的PC互访时才需要 网关。网关通常是上游路由器的接口ip。

5. DNS

定义: domain name service 域名解析服务
作用:将域名(网址)解析成对应的IP地址
www.baidu-------115.239.211.112
注意:能上 qq ,但打不开网页,此时是因为 dns 工作不 正常。此时可以将 dns 手动设置为 114.114.114.114 。
hosts文件:dns最先查询的文件

查看 dns 的缓存记录 dns 查询过程:

cmd---ipconfig /displaydns 

① hosts 文件查询 ② dns 缓存 ③ 向dns服务 器发包请求

6. wireshark 抓包

qq 报文 udp 8000端口 oicq 
dns 报文 udp 53端口 
http 报文 上网 tcp 80端口 
远程桌面 tpkt tcp 3389端口 
dhcp 动态获取地址 ( bootp) udp 6768 
telnet 远程管理和控制 tcp 23 
ssh 远程控制 tcp 22 
FTP 文件传输 tcp 20 21 

cmd命令:

cmd----ipconfig /all      查看ip、mac 等信息 
cmd---ipconfig /release   释放ip地址 
cmd---ipconfig /renew     重新获取ip地址 

wireshark过滤条件:

eth.addr==ff:ff:ff:ff:ff:ff 过滤二层 
eth.dst==xxxx eth.src==xxxx
ip.dst==123.151.79.44
ip.src==x.x.x.x 
ip.addr==x.x.x.x 
udp.dstport==53 
udp.srcport==x
tcp.dstport==x 
and 与 or 或 not 非

7. arp 简介

定义:(Address Resolution Protocol),地址解析协议,通过目的IP地址请求对方MAC地址的过程。
cmd命令:

arp 		过程 cmd---arp -a 显示arp 缓存
arp -d * 	清空arp 缓存表 

广播域:广播可以发送的范围区域。广播包只能在二层交 换机上面进行群发。路由器隔离广播。
arp报文种类:arp 请求包 request 、arp 响应包 replay

注意:目标mac为全F,该报文属于广播,交换机见到目标 mac为全F的报文会群发(泛洪)。

8. 二进制和十进制转换

(一)累加法
二进制转换成十进制例子:128 64 32 16 8 4 2 1

 101=5 
 *4+1
 10010=18 
 *16+2
 10010010=146
 *128+16+2

(二)calc-----计算器—查看----程序员型

计算规律:

  • 全一的数字:3=11 7=111 15=1111 31=11111 63=111111 127=1111111
  • 奇数:最后一个bit 一定是1 7=111 5=101
  • 偶数:最后一个bit一定是 0 6=110 12=1100

9. ipv4地址

点分十进制
例如:192.168.1.6 32bit
4个部分 每个部分占8个bit 每个部分也称为一个8位组。个数:2的32次方个,43亿。
ipv6地址 冒号分十六进制 128bit
例如 fe80::6d0a:eca1:5a3:e7d 2^128
临时解决ipv4地址不足方法:NAT+私有地址

10. ip地址分类

  • A类 001-126 例如:8.200.1.1 默认掩码 255.0.0.0
  • B类 128-191 例如:172.16.1.1 默认掩码 255.255.0.0
  • C类 192-223 例如:192.168.1.1 默认掩码:255.255.255.0
  • D类 224-239 例如:224.5.5.5 组播地址
  • E类 剩下 实验地址

注意:A B C类地址属于单播地址,可以配置在PC上面。D E类无法配置在PC上面。

11. 私网地址和公网地址

私网地址:任何人都可以使用的地址 一般用于局域网(内 网),私网地址无法在公网上(运营商)被路由(传 输)。
例如:192.168.1.3----->7.7.7.7 ,202.1.1.1------>7.7.7.7
公网地址:全球独一无二 ,可以在公网上被路由。

私有地址范围 :
A类 10.0.0.0~10.255.255.255
B类 172.16.0.0~172.31.255.255
C类 192.168.0.0~192.168.255.255

特殊ip地址 :
127.0.0.0 ~ 127.255.255.255 本地环回
0.0.0.0 代表任何网段
255.255.255.255 广播
169.254.x.x win系统没获取到地址
特殊mac地址:
全F的MAC地址是广播,例如:01-00-5e-xx-xx-xx 组播mac。

12. 子网掩码subnet mask

作用:规定了该主机所属的网段(子网)。
合法的mask:
128 192 224 240 248 252 254 255 (前面必须是连续的1bit )
例子:
255.255.224.0 合法
255.255.210.0 非法
255.0.224.0 非法
255.192.192.0 非法
自然掩码 默认掩码(缺省掩码):
A类 255.0.0.0
B类 255.255.0.0
C类 255.255.255.0
子网掩码的表达方式 :
255.255.255.0==/24
255.255.255.128==/25
255.255.128.0==/17
255.255.248.0==/21
255.255.255.252=/30

判断是否同一个网段:
同一网段:
192.168.5.5 255.255.255.0 和 192.168.5.160 255.255.255.0
192.168.8.5 255.255.0.0 和 192.168.5.160 255.255.0.0
不同网段:
192.168.5.9 /24 和 192.168.6.9/24
192.168.5.9/16 和 192.17.5.9 /16

  1. 网络位和主机位
    网络位:子网掩码1bit 对应 的ip地址的部分称为网络部分(同一个网段)。
    主机位:用来唯一标识本网段上的某个网络设备。

例如:

192.168.1.1 255.255.255.0 
11000000.10101000.00000001.(网络位)  00000001(主机位,最多254台主机)
 前24个bit 是网络位 后8个bit是主机位 192.168.1.9 255.255.255.0

一个子网包含的可用的主机ip数量(一个网段有多少个ip 地址)公式:
254=2^m-2 (m代表主机位的个数)

主机位全0: 网络地址 代表整个网段 子网
主机位全1:广播地址 子网广播地址

13. tcp 、udp 报文简介

报文的每个层次之间有联系的
例如:数据链路层为三层的网络层服务。

二层 type:
0x0800----------->ip 
0x0806----------->arp 
三层 protocol :
6------------>tcp 
17----------->udp
四层Destination port:
80------------->http 
21------------->ftp 
23-------------->telnet 

二层:type---->三层:protocol----->四层:端口----->高层应用层

14. 面向连接

TCP:可靠传输、面向连接 :速度慢,但准确性高
UDP:不可靠传输、非面向连接 :速度快,但准确性差
**面向连接:**如果某应用层协议的四层使用TCP端口,那么在正式的数 据报文传输之前,需要先建立连接。只有建立完连接之后才可以传输 数据。
**三次握手:**面向连接的高层协议在正式传输数据之前需要先建立连 接,建立连接的过程需要来回发送三个报文,我们将建立连接的过程 称为三次握手。
第一次握手:SYN 客户端(随机:1029)----------->服务器(80)
第二次握手:SYN+ACK 客户端<--------------服务器
第三次握手:ACK (确认) 客户端---------->服务器
可靠传输
收到对方的数据需要发送一个tcp :ack 报文来确认 ack确认包里面包含了接收方需要的下一个报文的序列号

dos查看已经建立好的tcp 连接:
netstat -an

滑动窗口机制:测试数据传输的带宽瓶颈 ,尽可能利用带宽的最大 值来传输数据。同时还有校验机制,保证数据可靠传输。


使用滑动窗口机制,可以探测出双方链路的最大传输能力

UDP 适用场景
A 传输速度快,且高层的应用层对数据传输的可靠性有校验机制
B 要求极快的传输速度,实时性较高,延迟敏感,即使丢包也无所谓
dhcp:动态主机配置协议,用来自动获取ip地址。
注意:部分报文为了同时追求传输速度和可靠性,在传输层也会使用UDP封装,数据的可靠性校验机制交由应用层 完成。
接口类型:半双工 Half-Duplex 全双工 Full-Duplex

15. VRP

versatile routing platform 通用路由平台, 是华为网络设备的通用操作系统。 VRP 发展到VRP8代, 最常用VRP5。VRP 操作系统管理路由、交换、无线、安 全等网络设备的各个硬件。

基本指令简介 :
< >用户视图(user-viewer)模式 :权限低,执行调试、查看类指令 
clear xxx 
reset xxx 
save reboot
[ ]系统视图(system-viewer)模式 :权限高,对设备的配置做修改
< >system-view 由用户模式进入[ ] 
[ ]quit 退出当前模式
[ ]sysname R1 将设备名称更改为R1
[ ]undo info-center enable 关闭信息中心,防止弹出日志
undo xxx 关闭xxx 删除xxx 使某xx不生效  
<cr> 回车符 
< >language-mode Chinese 更改语言,仅仅将日志提 示语言改为了中文 
? 命令支持帮助 命令支持简写 
tab键 支持补全 
display current-configuration 查看当前正在执行的所 有配置 (dis cu) 
注意:display 在任何模式都可执行 
more :回车键翻一行 空格键翻一页 其他任意键中断显示
< >save 保存 敲两下回车 配置文件:vrpcfg.zip 
< >dir 查看硬盘
ctrl + z 直接回退到用户模式

16. 如何登陆真机
需要准备:
console 口:管理 控制
console 线:配置线
RS232线:计算机串行接口(usb转串口线)

注意:接口必须是双up才可以使用。
up :physical 物理状态(线缆有没有插好)
up:protocol 协议状态 (ip地址是否配置正确)。

注意:路由器属于三层设备,其上面的接口必须配置ip地 址才可以生效。如果不配置ip地址,该接口无法传输数 据。交换机作为二层设备不需要配置ip地址即可转发数据 包。

int e0/0/0 shutdown 关闭接口 
int e0/0/0 undo shutdown 激活接口 
查看系统和内存以及硬盘: 
[]dis version
<>dir 查看硬盘
<>dis memory-usage 查看内存
<>dis cpu-usage 查看cpu

17. 路由器、交换机组成简介

组成部分: 内存 + cpu + flash(类似硬盘) + 风扇 + I/O接口
华为操作系统和配置文件都放在flash里面。

常用文件操作指令 :
< > dir 
copy vrpcfg.zip v1.zip 复制
mkdir aa 			新建文件夹aa 
move v1.zip aa 		剪切到aa目录 
cd aa 				进入aa 目录 
cd .. 				退回到上一级目录 
unzip vrpcfg.zip oo 解压缩vrpcfg.zip文件到oo
more oo 			查看oo内容 
rename oo cc		 重命名 
delete cc 			删除文件 
delete /unreserved aa 彻底删除 
dir /all 			查看所有内容(回收站) 
undelete cc 		还原回收站里面的cc
rmdir aa			删除文件夹
reset recycle-bin 	清空回收站

 <R1>reset saved-configuration   清空配置
dis saved-configuration   显示已经保存的配置 
dis current-configuration   显示当前正在运行的配置

18. FTP 简介

ftp:File Transfer Protocol 文件传输协议
可以用于在路由器交换机里面用于导入导出配置文件或者升级操作系统。

ftp使用两个TCP进行连接:
第一个连接是FTP客 户端和FTP服务器间的控制连接。FTP服务器开启21号端口,等待FTP 客户端发送连接请求。FTP客户端随机开启端口,向服务器发送建立 连接的请求。控制连接用于在服务器和客户端之间传输控制命令。

第二个连接是FTP客户端和FTP服务器间的数据连接。服务器使用TCP的
20号端口与客户端建立数据连接。通常情况下,服务器主动建立或中断数据连接。

传输模式:ASCII模式和二进制模式。
ASCII模式用于传输文本。发送端的字符在发送前被转换成ASCII码格式之后进行传输,接收端收到之后再将其转换成字符。
二进制模式常 用于发送图片文件和程序文件。发送端在发送这些文件时无需转换格 式,即可传输。

19. 配置路由器作为FTP服务端

R1:服务端 
ftp server enable 
set default ftp-directory flash: 设置ftp主目录 
aaa (认证 授权 审计) 
local-user lisi privilege level 3 password cipher 123 
local-user lisi service-type ftp 
R2:客户端 
< >ftp 12.1.1.1
[FTP]get xxxx 取文件 
[FTP]put xxx 上传文件

交换机路由器刷配置:将配置dis cu 复制出来。后期再将配置粘贴到设 备里面即可。刷配置的时候,将系统调到[ ]后再粘贴。

20. 升级交换机或路由器操作系统

先通过FTP 将新版本的操作系统 导入flash: 然后
< >startup system-software S2700- V100R005C01SPC100 
< > reboot 重启即可 

注意1:如果空间不够,提前删除相关文件。
注意2:升级系统都是有风险的,因此升级之前建议备份老 系统和配置文件。 如果系统升级失败,则进入bootrom界面 从新选择启动老系统(如图)。

升级失败时:console口给设备传输系统

进入串行接口的子命令:Ctrl+b
如果需要密码: huawei、www.huawei、Admin@huawei

修改串行接口的速率(如图):

从串行接口下载文件到flash(如图):

在secureCRT 工具里面选择传输 发送Xmodem(如图):

待系统传进去后,返回主菜单,调节下次启动的系统文件的名称:

最后重启系统即可。

21. 直连路由

路由器作用:为ip数据包进行路由(选路),路由器会尽可 能挑选一个最近最优的路径将报文送往其想去的目的地。
路由表:路由器用来转发数据包的一张“地图”。

 dis ip routing-table  查看路由表指令
 目标网段        下一跳      出接口 
 192.168.1.0/24 192.168.1.1 E0/0/0 

直连路由(direct):直接相连,接口配置好ip地址并up后 自动生成的路由。

22. 静态路由

Static 手绘地图 纸质版路由

去包路由: 
R1: [ ]ip route-static 192.168.2.0 24 12.1.1.2 目标网段 下一跳
R2: [ ]ip route-static 192.168.2.0 24 23.1.1.3 
 注意:配置路由的时候,目标网段始终不变。 
 
 回包路由: 
R3:ip route-static 192.168.1.0 24 23.1.1.2
R2 :ip route-s 192.168.1.0 24 12.1.1.1 

注意:在路由器上进行ping 包,默认报文的源地址是自己的出接口的地址。

缺省路由(默认路由)
缺省路由是一种特殊的静态路由。

常用查看命令: 
dis cu 查看所有配置 
dis ip routing-table 查看路由表 
dis ip int brief 查看接口配置 
R1,R2配置:
R1: ip route-static 0.0.0.0 0 12.1.1.2 缺省路由
R2: ip route-s 192.168.5.0 24 12.1.1.1

注意:缺省路由是“替补”路由,只有当其他的路由都不 可达时,才会使用缺省路由。缺省路由适合用于边缘路由 器。

loopback逻辑虚拟接口,可以模拟pc,在接口选举动态路由协议的router-id。

 int loopback 3
  ip add 7.7.7.7 24 

注意2:路由器的每个接口都是一个独立的网段。

22. 路由优先级和路由度量

外部优先级,内部优先级固定不能修改,外部 优先级可以修改,平时所描述的优先级都指外部优先级。(了解)

路由优先级:preference ,代表路由的优先程度,当多个 路由协议的路由都可到达某目标网段时,优先级数字越小越优先。
常用路由协议的默认优先级:

直连路由:direct 0 最优先 
静态路由:static 60 
Rip 100 
ospf 10 
注:优先级的取值范围1-255.

路由度量:(路由开销 cost) 对于同一个路由协议,当到达某目标网段有多条路由供选 择时,此时路由器会优选cost值较小的链路。
注意:先比较路由优先级,再比较路由度量。

路由备份和冗余:浮动静态路由
注:当一条路由的出接口down时,该路由会自动失效。
要求:数据优先走千兆链路。

 R1:
  ip route-static 172.16.1.0 255.255.255.0 12.1.1.2 
 ip route-static 172.16.1.0 255.255.255.0 21.1.1.2 preference 55 
 配置静态路由并将该路由的优先级改为55
 R2:省略。

23. Rip(不常用)

routing information protocol ,路由信息协议。属 于动态路由协议的一种。是距离矢量类路由协议,以跳数 (hop)作为计算到达目标的路径的优劣(cost值)。最 多15跳,16跳不可达。

R1,R2,R3配置:

使用自然掩码的网段 例如: 
12.1.1.0/24--->12.0.0.0 
192.168.1.0/24--->192.168.1.0 
172.16.1.0/24--->172.16.0.0 
R1:
rip 1 启动
rip进程1 
version 2 指定使用版本2 
network 192.168.1.0 宣告直连主类网络 
network 12.0.0.0 注意:版本1和版本2 不完全兼容。 
R2,R3:省略。

Rip 原理分析
工作原理:配置好rip 的路由器会每隔30s向邻居路由器自 动发送rip 路由更新报文。报文里面携带了其所知道的所有路由。

24. ospf 简介

ospf:开放式最短路径优先(Open Shortest Path First) 协议是IETF定义的一种基于链路状态的内部网关路由协 议。

ospf 两层结构 (层次化结构) : 骨干区域 常规区域

ospf 基本配置
正掩码:/24 255.255.255.0
反掩码: -255.255.255.0 0.0.0.255
例如:255.255.252.0 反掩码:0.0.3.255
在反掩码里面,0 bit 表示精确匹配,1bit 表示任意匹配。

 R1: 
 ospf 1 启动ospf进程1 
 area 0 进入区域0 
 network 192.168.1.0 0.0.0.255 宣告直连网段(只要能 够包含接口即可) 
 network 12.1.1.0 0.0.0.255
 R2,R3省略。

注意:ospf 宣告时,宣告的网段只要包含接口就可以。
router id :运行ospf路由器的身份id 。
router id选举:优先选择最大的逻辑接口地址—>再选择 最大物理接口地址。
注意1:router id 是在ospf 进程刚启动时开始选举,后面 如果有必要更改router id 则需要重启ospf进程。
注意2:由于接口的ip地址变动可能引发ospf router id 的 变动进而对网络产生影响,因此建议给ospf 手动指定固定 的router id。
注意3:在一个ospf 网络里面 ,每台路由器的router id都 必须是独一无二。
注意4:router id 并不一定是路由器接口的ip地址。

[]dis ospf peer brief 查看邻居表
<>reset ospf process  重置ospf进程

ospf原理分析 ospf 常见的五种报文:
hello 包 :10s 发送一次 ,该报文仅用作邻居的建立和维 持。并不携 带任何路由信息。报文小巧。
DBD 数据库描述报文
LSR 链路状态请求
LSU 链路状态回应
LSack链路状态确认
注意:ospf 在邻居刚建立的时候会发送路由信息(路由信 息使用DBD、LSR、LSU、LSack四种报文来发送),路由 同步以后,后面仅发送hello包来维持邻居关系即可。

25. dhcp 简介

DHCP(Dynamic Host Configuration Protocol)动态 主机配置协议,给用户自动分配ip地址、网关、DNS等参 数。
可以提供DHCP功能的设备:路由器、家用路由器(小 米、tp-link等)、防火墙、三层交换机 、服务器 用户上网满足参数:IP地址 、网关、DNS。

dhcp 基本配置

DNS服务器: 
int e0/0/0 
ip add 192.168.31.1 24 
dhcp select global 配置dhcp选择从全局分配地址 
dhcp enable 启用dhcp 功能 
ip pool 1 创建地址池1 
gateway-list 192.168.31.1 网关 
network 192.168.31.0 mask 24 ip和掩码 
dns-list 114.114.114.114 192.168.31.1 
DNS客户端查看:省略

第一个报文:dhcp discover
源地址:0.0.0.0 目标地址:255.255.255.255 广播
用户请求地址的时候,将自己的mac地址封装在dhcp的报文里面,服务器基于不同的mac地址来区分不同的计算机,进而分配不同的ip地址。

26. telnet 简介

作用:telnet 远程登录 是远程控制路由器、交换 机等网络设备的常用协议,为管理员远程 集中管理 和维护网络设备提供便利。
四层使用:TCP 23 号端口

telnet 配置

R1: server端
[R1]telnet server enable
[R1]stelnet server enable
aaa
	local-user zhangsan privilege level 3 password cipher 123 
	local-user zhangsan service-type telnet 
user-interface vty 0 4 同时允许5个用户登陆
 	authentication-mode aaa 
 vty:虚拟终端线路(虚拟接口),路由器为每个远 程登陆的用户开放一条虚拟线路 
 R2:client
 <R2>telnet 12.1.1.1
[R1]dis users 查看登录的用户

桥接:使用真机telnet 模拟器
a 准备真机 loopback网卡 并配置ip地址
b 设置桥接云彩
c 真机(关闭防火墙 杀毒)

telnet 报文分析
telnet 缺点:数据明文传输,容易被三方人员攻 击。

27. SSH

security shell 安全的远程控制协议
端口:tcp 22号端口
特点:传输的数据是加密的,Linux 服务器也常用,使用AR2220路由器 。
配置:

aaa
local-user aa password cipher aa 
local-user aa service-type ssh 定义该账户服务类型 ssh
local-user aa privi level 3 
user-interface vty 0 4 protocol inbound ssh
authentication-mode aaa 使用aaa里面的用户名和 密码进行验 
stelnet server enable 开启security telnet 服务

部分系统:(模拟器可以不敲) 
rsa local-key-pair create 
ssh user aa ssh 
user aa authentication-type all 
ssh user aa service-type all 
路由器当客户端:stelent 12.1.1.2

28. 重置交换机密码

开机加电 前3s 内按ctrl + b 进入BOOTROM (类似PC的 BIOS)
进入BOOTROM 默认密码:Admin@huawei 或者 huawei


选择5.


选择要删除的配置文件

回到首届面选择1重启,启动之后 设备将恢复出厂设置 ,没有任何配置,密码也相 应被清除。

方法②:保留配置同时清掉console口密码

方法差不多,重命名配置文件,使设备启动的时候无法找到配置文件。
重启后给新的密码即可。注意给完新密码后save保存。
重启后进入空配置

 < >rename v1 vrpcfg.zip 
 < >unzip vrpcfg.zip oo
  < >more oo 

此时即可看到原来的配置 将其复制出来 然后将console 口密码调用部分
即:authentication-mode aaa 删除 然后将配置从新刷到设备里面 保存即可

29. 通过web管理交换机

 http server load S2700- V100R005C01SPC100.web.zip 加载web配置操作系统 
 http server enable 启动web 配置服务 
 int vlanif 1 给交换机配置ip地址 用于管理
  ip address 192.168.31.85 24 
  web登陆默认的用户名和密码:admin admin

30. ACL 访问控制列表

① ACL 简介 (三层技术) ACL :access control list 访问控制列表 用于数据包的访问控制。
acl 常用两种:
基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源ip、目标ip、源端 口、目标端口等三层和四层的字段。
ACL 两种作用:
① 用来对数据包做访问控制
② 结合其他协议用来匹配范围

②基本ACL:basic acl
基础配置:ip地址和静态路由 使全网互通 略
需求:在R2配置基本acl 拒绝PC1 访问172.16.10.0 网络

 R2:
acl 2000 创建
	acl 2000 rule deny source 192.168.10.1 0 
int gi 0/0/1 在接口的出方向调用acl
	traffic-filter outbound acl 2000 outbound
调试:dis acl 2000

③ 高级ACL
需求:在R2上配置高级acl 拒绝PC1和PC2 ping server,但 是允许其HTTP 访问server。
注意:只有报文是① icmp、且② 源地址是192.168.10.x 、且③ 目标地址是172.16.10.2 才会被拒绝。需同时满足 这三个条件才会被匹配。

acl number 3000 
	rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0 

interface GigabitEthernet0/0/1
	traffic-filter outbound acl 3000

其他需求:

需求:拒绝源地址192.168.10.2 telnet 访问 12.0.0.2 
acl 3005 
	rule deny tcp source 192.168.10.2 0 destination 12.0.0.2 0 destination-port eq 23 
需求:允许源地址1.1.1.1访问2.2.2.2.其他剩下的报文全部被拒绝。 
acl 3008 
	rule 5 permit ip source 1.1.1.1 0 destination 2.2.2.2 0 rule 10 deny ip
需求:拒绝任何人上QQ :传输层 UDP 8000 
acl 3101 
	rule deny udp destination-port eq 8000

注意: ① 如果某acl 没有被调用,该acl不起任何作用
② acl 属于三层技术 只能部署在三层设备上面 ,acl适合 用于不同网段互访的访问控制
③ 相同vlan 和网段的pc互访控制(这种情况不适合用 acl),建议使用端口隔离来实现。

④ ACL用于控制telnet

例如:只允许12.1.1.5 远程telnet R2 
R2开启telnet (略) 
R2:
acl number 2008 
	rule 5 permit source 12.1.1.5 0 
	rule 10 deny 
user-interface vty 0 4 到vty 接口调用
	acl 2008 inbound

⑤ACL 用于多层交换机

方式1:acl 写法和路由器保持一致。华为设备需在物理接 口下调用acl。
```bash
 int Gi0/0/2 
 	traffic-filter outbound acl 3006

方式2:

 [ ]traffic-filter vlan 10 inbound acl 2000 
  acl 2000 只对vlan 10 生效,类似将acl 2000 调用到了vlanif 10口。

注1:一个接口的同一个方向,只能调用一个acl
注2:一个acl里面可以有多个rule 规则,从上往下依次执 注3:数据包一旦被某rule匹配,就不再继续向下匹配
注4: 用来做数据包访问控制时,默认隐含放过所有(华为 设备)

31. NAT 简介

注意:私网地址不能在公网(电信、联通、移动)上被路 由。公网地址是需要花钱租赁的。

配置静态nat :一对一 (nat static)
global:全球的 公网的 公共的 全局
inside:内网的 内部 局域网

接口地址配置(略) 
R1: 
ip route-s 0.0.0.0 0 12.1.1.6 
int gi0/0/1 (外网接口) 
nat static global 12.1.1.2 inside 192.168.1.2 
允许内网地址192.168.1.2 在出外网时转换成公网地址 12.1.1.2。 
dis nat session all 查看nat 映射记录

静态一对一NAT映射目的:可以直接在外网通过访问公网 地址来访问内网的pc。即可以将内网的地址直接映射成公 网地址。

**动态nat:**多对多 映射关系不固定 (不转换端口)
原理解析,当内部主机A和主机B需要与公网中的目的主机通信时,网关 RTA会从配置的公网地址池中选择一个未使用的公网地址与之做映射。 每台主机都会分配到地址池中的一个唯一地址。当不需要此连接时,对 应的地址映射将会被删除,公网地址也会被恢复到地址池中待用。当网 关收到回包后,会根据之前的映射再次进行转换之后转发给对应主 机。
动态NAT地址池中的地址用尽以后,只能等待被占用的公用IP被释放后, 其他主机才能使用它来访问公网。

动态nat 配置:
 acl number 2000 使用acl匹配私网地址范围 
 rule 5 permit source 192.168.1.0 0.0.0.255 
 nat address-group 1 12.1.1.1 12.1.1.5 建立公网地址池 
 interface Gi0/0/1 
 nat outbound 2000 address-group 1 no-pat(去掉的话就是NAPT)
 注意:模拟器bug 不支持!!!

32. NAPT

Network Address Port Translation多对多 映射关系 不固定(转换端口)
配置同上。

网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。

原理解析:RTA收到一个私网主机发送的报文,源IP地址是 192.168.1.1,源端口号是1025,目的IP地址是100.1.1.1,目的端口 是80。RTA会从配置的公网地址池中选择一个空闲的公网IP地址和端 口号,并建立相应的NAPT表项。这些NAPT表项指定了报文的私网IP 地址和端口号与公网IP地址和端口号的映射关系。之后,RTA将报文 的源IP地址和端口号转换成公网地址200.10.10.1和端口号2843,并 转发报文到公网。当网关 RTA收到回复报文后,会根据之前的映射表再次进行转换之后转发给 主机A。主机B同理。

33. Easy ip NAT :
多对一 (基于接口)
步骤一:

acl 2000 
rule permit source 192.168.1.0 0.0.0.255 
使用acl匹配允许被nat 转换的内网地址的网段 

步骤二:

int gi 0/0/1 (公网接口) 
nat outbound 2000 公网接口调用acl 2000 

注意:easy ip nat 内网数据包出外网时全部会转换成公网 接口的ip地址(12.1.1.1)。
工作原理:数据包在出外网时,路由器将基于源端口将报 文进行相应的地址转换。并进行相应的映射记录(缓存),当报文回来时,基于端口来区分内网不同的PC。为 了防止PC源端口相同,数据出包时源端口也会被转换掉。

34. NAT server(端口映射)

int gi 0/0/1 (公网接口) 
	nat server protocol tcp global 12.1.1.5 80 inside 192.168.1.200 80 
将内网的192.168.1.200 的80端口 映射成外网12.1.1.5 的 80端口

优点:将服务器放置于防火墙(路由器)的后面,通过将 相关服务端口映射到防火墙(路由器)上面实现访问,服 务器得到保护。更加安全!!

FR 帧中继frame relay (二层技术)省略

35. PPP 简介

( PPPOE 拨号,ppp over ethernet) 二层的封装形式 point to point 串行链路
注意:在PPP链路上面,网络层的ip地址可以自动协商。通 过ppp 的NCP报文(PPP IPCP)来协商ip地址。不需要额 外的dhcp 做支撑(协商ip地址的过程 看不到dhcp的报文)。仅仅需要在服务端配置一个普通的pool 地址池即 可。

R1:客户端 
interface Serial4/0/0 
	link-protocol ppp 
	ip address ppp-negotiate 通过ppp协商机制 自动获取ip地址 
R2:服务端 
ip pool aa 建立地址池aa 
	gateway-list 12.1.1.2 
	network 12.1.1.0 mask 255.255.255.0 
interface Serial4/0/0 
	link-protocol ppp 
	remote address pool aa 指定给对端分配的ip的地址池 
	ip address 12.1.1.2 255.255.255.0

PPP 认证

① PAP 认证:两次握手 明文认证 PPPOE目前就采用 PAP

R2认证端:
创建用户名和密码
aaa
	local-user aa password cipher aa 
	local-user aa service-type ssh 定义该账户服务类型 ssh
int s4/0/0
	ppp authentication-mode pap 开启pap认证
R1客户端:
int s4/0/0
	ppp papa local-user aa password cipher 123 发送pap用户名和密码

② CHAP 认证:密码是加密的,更加安全。三次握手。

 R2:
 aaa
	local-user hcnp password cipher 123 
	local-user hcnp service-type ppp 
int s4/0/0 
	ppp authentication-mode chap
 R1: 
 int s4/0/0 
	 ppp chap user hcnp 
	 ppp chap password cipher 123

PPPOE配置

PPPOE client端配置: R1: 
dialer-­rule 
	dialer-­rule 10 ip permit 创建dialer­rule 1指定哪些报文可以触发拨号
acl 2001 配置进行NAT的ACL
	rule permit source 192.168.1.0 0.0.0.255 
interface Dialer 1 /PPPOE虚拟接口/ 
	link-protocol ppp 
	ip address ppp-negotiate /通过ppp协商阶段获取ip地址/ 
	ppp pap local-user 0531 password simple 123456 
	dialer user 0531 (和pppoe 服务端的名字保持一致) 
	dialer bundle 2 
	dialer-group 10 
	nat outbound 2001 
interface Ethernet0/0/0 
	ip address 192.168.1.1 255.255.255.0 #
	interface gi0/0/1 
	pppoe­client dial­bundle­number 2 /将gi0/0/1和dialer 1口进行 绑定关联/ 
ip route-static 0.0.0.0 0 dialer1

R1:
dhcp 配置 
ip pool bb 
	gateway-list 192.168.1.1 
	network 192.168.1.0 mask 255.255.255.0
	dns-list 114.114.114.114 8.8.8.8 
dhcp enable 
interface GigabitEthernet0/0/0 
	dhcp select global
PPPOE服务端: R2: 
ip pool pool1 建立地址池
	network 202.1.1.0 mask 24 
	gateway-list 202.1.1.2 
aaa建立aaa认证
	local-user 0531 password cipher 123456 
	local-user 0531 service-type ppp 
interface Virtual-Template 1 虚拟拨入接口 
	ppp authentication-mode pap 
	remote address pool pool1 
	ip address 202.1.1.2 255.255.255.0
interface Gi0/0/0 
	pppoe-server bind Virtual-Template 1 将虚拟接口v1和物理接口关联
	
R1优化效率: 
int dialer 1 
mtu 1492 (因为以太网接口mtu默认是1500 字节)


拨号之前: dis ip int b
R1 ping R2 触发拨号 
拨号后: dis ip int b

dis pppoe-client session summary
查看pppoe客户端状态

36. vlan 简介

LAN:local area network 局域网
WAN:wide area network 广域网
vlan:virtual LAN 虚拟局域网
作用:广播域太大会引起广播泛滥造成网络不稳定,为了 隔离广播域,可以在交换机上部署vlan技术达到缩小广播 域的目的。进而提升网络的稳定性。
② vlan 配置
注意:vlan 1 属于交换机默认vlan,默认情况下所有的接 口都属于vlan 1 。

[]dis vlan
vlan batch 10 20 创建vlan 10 ,20
interface GigabitEthernet0/0/1
	port link-type access 接口类型配置为
	access port default vlan 10 将接口划入vlan 10
注意:一般将交换机接PC的口配置为access 类型。
interface GigabitEthernet0/0/2 
	port link-type access 
	port default vlan 20 
interface GigabitEthernet0/0/3 
	port link-type access 
	port default vlan 20
dis vlan


注意1:将接口批量划入某vlan : 
port-group group-member gi 0/0/3 to gi 0/0/20 同时 对3-20口进行配置 
port link-ty access 
port default vlan 20
dis mac-address

注意2:默认情况下,不同vlan的用户单播默认不能直接通信,如果想通信,还需三层设备做路由。
注意3:默认情况下,不同vlan之间广播报文永远不能通信。

③ vlan 通信原理
注意1:PC 不认识、不识别 vlan,且不能处理带tag ID (vlan ID)的报文。对于携带 vlan tag 的报文,PC直接 将其丢弃。PC也不能发出带vlan 标记的报文。
注意2:交换机通过access 口发给PC的报文全部要将vlan ID去除。
注意3:报文在交换机内部程序处理(交换机肚子 里面)时,所有报文必须携带tag 标识其所属的 vlan id。
注意4:从交换机access口发出的报文,永远不会含有标 签。

Access端口收发数据帧的规则如下:

  1. 收报文: 如果该端口收到对端设备发送的帧是untagged(不带 VLAN标签),交换机将强制加上该端口的PVID(PVID即 Port VLAN ID,代表端口的缺省VLAN)。如果该端口收到对端 设备发送的帧是tagged(带VLAN标签),交换机会检查 该标签内的VLAN ID。当VLAN ID与该端口的PVID相同 时,接收该报文。当VLAN ID与该端口的PVID不同时,丢 弃该报文。
  2. 发报文:
    Access端口发送数据帧时,总是先剥离帧的Tag,然后再 发送。Access端口发往对端设备的以太网帧永远是不带标 签的帧。

37. Trunk

① Trunk,干道,主干链路.通常用于交换机和交换机之间,通 过一个接口传输多个vlan 的数据包。
注意:从access口发出的报文,交换机永远都会将标签去 除。

② trunk 配置 (IETF: 802.1q)

sw1: interface GigabitEthernet0/0/4 
port link-type trunk 将接口类型定义为
trunk port trunk allow-pass vlan all 定义trunk允许vlan通 过
sw2: int gi 0/0/1 
port link-ty trunk 
port trunk allow-pass vlan all 


dis port vlan active  查看是不是打了标签

华为交换机上可用vlan一共有:4094 个
trunk=tag

③ trunk通信原理
本征vlan:PVID (接口默认vlan):Port Default VLAN ID,默认trunk口的本征vlan是vlan 1只有本征vlan的报文 通过trunk接口可以不打标签。trunk 接口只能有一个本征 vlan。

修改trunk口的本征vlan: 
sw1:
int gi 0/0/4 
port trunk pvid vlan 10 将本征vlan 修改为vlan 10 
sw2: 
int gi 0/0/1 
port trunk pvid vlan 10

dis port vlan active  查看PVID有没有改变

38. vlan 间路由

vlan间路由概述 :
通过三层设备路由,使得不同vlan间可以互 相通信。但是仅仅允许单播通信。

vlan间路由方式:
① 单臂路由(路由器)
注意:为了方便管理,建议一个vlan 一个网段,而且vlan 和网段有关联。

sw1: 
vlan batch 10 20 
	interface Ethernet0/0/1 
	port link-type access 
	port default vlan 10 
interface Ethernet0/0/2 
	port link-type access
	port default vlan 20 
interface Ethernet0/0/3 
	port link-type trunk 
	port trunk allow-pass vlan all 
路由器: 子接口 
interface Ethernet0/0/0.1 创建子接口 
	dot1q termination vid 10 和vlan 10 关联 
	ip address 192.168.10.1 24 配置ip作为 
vlan 10 的网关 
	arp broadcast enable 开启arp 广播功能

interface Ethernet0/0/0.2 
	dot1q termination vid 20 
	ip address 192.168.20.1 255.255.255.0 
	arp broadcast enable

dis ip int b
dis ip routing-table查看子接口是否up

注释:arp broadcast enable命令用来使能子接口的ARP广播功能。缺省 情况下,子接口没有使能ARP广播功能。子接口不能转发广播 报文,在收到广播报文后它们直接把该报文丢弃。为了允许子接口 能转发广播报文,可以通过在子接口上执行此命令。

② SVI(交换虚接口)(三层交换机) 或者vlanif口

sw1: int vlanif 10 创建交换机虚拟接口
vlanif 10 (SVI) 
ip add 192.168.10.1 24 配置ip地址作为vlan10网关 
int vlanif 20 
ip add 192.168.20.1 24

注意:可以将三层交换机抽象成一台路由器,vlanif接口就 是路由器的接口。

39. STP

① stp 简介 stp:spanning tree protocol 生成树协议
作用:通过阻塞特定端口来防止二层交换机环路。进而实 现网络的冗余和备份。
交换机环路带来的问题:
① 广播风暴 ② mac地址表不稳 定 ③ 网络卡顿 ④ 网络不稳定 ⑤过多占用交换机的cpu 和内存 等等

注意:在华为的交换机上,开机默认自动运行mstp 。
undo stp enable 禁用stp
②stp 种类介绍
stp :传统 stp
RSTP:快速生成树协议 rapid stp
MSTP:多生成树协议 multi stp (真对多vlan)
注意:rstp 向下兼容stp。

③ stp 工作原理整体思路:先选出哪些接口不被阻塞,最终剩下的接口全部被阻塞,树思想!!

根桥 root:树根 (皇帝)
桥ID(BID)=桥优先级+桥MAC,优先级默认32768,桥mac是主板mac。
端口ID(PID)=端口优先级+端口ID ,端口优先级默认128,端口ID就是端口编号 例如 e0/0/5 ID就是5。
BPDU:bridge protocol data unit ,就是stp报 文,根桥每隔2s发送一次。报文里面含有BID、链 路cost开销、携带桥优先级和桥mac地址。

dis stp brief 查看接口状态 接口角色

选举根端口:① RPC---->② 对端BID—>③ 对端PID-- >④ 本端PID
选举指定端口:①站在交换机角度看RPC(不要站在接口 角度)---->② 本端BID—>③ 本端PID

选出阻塞端口:
A 整个交换网络选举根桥(根交换机),桥ID较小的交换 机当选为根桥。桥ID=桥优先级+桥MAC。根桥上的接口 都是指定端口(DP:Designated Ports). 注意:桥优先级默认都是32768 。
B 非根桥上选择根端口,到达根桥“最近”(RPC)的端口当选为根端口(RP:root port)。对端桥ID。
C 每条链路有且仅有一个指定端口。桥ID较小的交换机的 端口当选为指定端口。
D 剩下的接口将全部被阻塞,阻塞端口简称:block port(AP:alternate port 或者 NDP)。

端口角色 role:
RP (根端口) DP (指定端口) block 、AP(阻塞端口)

端口状态state:
30-50s disable–>blocking---->listening–15s–>learnning- -15s–> forwarding(转发)

修改桥优先级:
stp priority 4096 交换机提高优先级让自己阻塞。
stp root primary 交换机会自动降低优先级使自己成为根桥。

注意:通常在企业里面,将核心交换机优先级设为最低。

RSTP边缘端口
stp edge-port :rstp新提出的一种端口 边缘端口主要用于连接PC。 作用:加快收敛

[ ]stp edge-port default 将所有的接口全部置为边缘端口
int gi0/0/x 
	stp edged-port disable 将本接口改为非边缘端口 
int gi 0/0/x 
	stp edged-port enable 将本接口设置为边缘端口

rstp对stp改进

1. RSTP把端口角色和端口状态进行了分离,并简化了端口状态: RSTP中只有 discarding、learning和forwarding三个状态。

2. RSTP更精细的划分了端口角色:root端口、designed端口的定义和STP一样; 但对于处于discarding状态的端口,细分为alternate端口(预备端口,针对根端口的 备份)和backup端口(备份端口,针对指定端口备份)。另外,引入了一类特殊的 Designed端口——edge端口,即和主机或其他终端设备相连的端口。

3. 基于对端口角色的精确划分,RSTP引入了各种端口的快速迁移机制: 1) designed端口的快速迁移机制,在P2P链路上,如果designed端口处于 discarding状态,立即启动proposal(提议 投标 计算)和同步过程,快速收敛网 络。2) edge端口可以立即forwarding。 3) 失去root端口后,立即启用最优的alternate端口(预备端口)。
4. 网桥不再简单中继根桥发送的BPDU,而是每hello timer从指定端口独立发送 BPDU。如果一个端口三次没有收到该网段指定桥从指定端口发送的BPDU,就认为 指定桥故障,这可以加快BPDU的老化,快速发现网络故障。比如,这避免了STP中 非直连链路失效时20秒的报文老化时间。
5. 次优BPDU(Inferior BPDU)处理的优化,在STP中,只有Designed端口收到 了次优的BPDU,才回应一个BPDU报文。在RSTP中,如果非Designed端口收到了 原指定桥的次优BPDU,也立即回应一个BPDU,这避免了一个网段的原指定桥在失 去root端口后,需要等待对端20秒时间老化报文后才能收敛。在CISCO中,这个优 化称为backbone fast。
6. 只有在非edge端口变为forwarding时才发拓扑改变报文,而且一旦设备感知了 拓扑改变,拓扑改变信息在所有的root端口和非边缘的designed端口扩散,这保证 了拓扑改变的信息的快速传播和网络的快速收敛。在STP中,端口变为fowarding或 变为blocking都会导致发送拓扑改变报文,而且拓扑改变由感知拓扑改变的桥设备先 道后,再由根桥发送拓扑改变报文,这大大延迟了网络收敛。

stp的根桥保护root-protection
注意事项:
注意1:root-protection 只在指定端口才会生效,且只 能在端口下面配置(不能在全局配置)。
注意2:作用是保护当前根桥的地位。
注意3:当配置了root-protection 的接口收到了BID更小 的bpdu报文时,该接口会立即进入discarding 状态。

配置: int gi 0/0/x 
	stp root-protection

40. 链路聚合 eth-trunk (链路捆绑)

① 链路聚合概述 作用:增加链路带宽,同时提供链路冗余 链路聚合两种模式:
A:手工负载分担模式:强制模式,没有协商机制,有几条 链路用几条链路,“死板” (默认模式)
B:LACP模式 :可以自定义备份链路,“灵活”,有协商 报文。(推荐)

② 二层链路聚合 配置:

sw1: 
int eth-trunk 1 创建捆绑组1 
interface GigabitEthernet0/0/1 
	eth-trunk 1 将gi0/0/1口加入捆绑组1 
interface GigabitEthernet0/0/2 
	eth-trunk 1 
interface GigabitEthernet0/0/3
	eth-trunk 1 
interface GigabitEthernet0/0/4 
	eth-trunk 1 
sw2:(配置方法二) 
int eth-trunk 1 
	trunkport gi 0/0/1 to 0/0/4 将接口gi0/0/1 到gi0/0/4 全 部加入捆绑组 1

将捆绑之后的链路配置为trunk链路:  两台交换机:
interface Eth-Trunk1
	port link-type trunk 
	port trunk allow-pass vlan all
dis port vlan 

修改负载均衡的方式:(可选) int eth-trunk 1 load-balance xxxx 注意:默认负载均衡方式src-dst-ip 。
③ 三层链路聚合路由器和路由器

R1: interface Eth-Trunk 1 
undo portswitch 将二层逻辑接口提升为三层接口 
ip address 12.1.1.1 255.255.255.0
其他配置省略
dis eth-trunk 1

④三层链路聚合 交换机和交换机

sw1:
vlan 10 
interface Eth-Trunk 1 
	port link-type access
	port default vlan 10
interface GigabitEthernet0/0/1 
	eth-trunk 1 
interface GigabitEthernet0/0/2 
	eth-trunk 1 
interface Vlanif10 
	ip address 12.1.1.2 255.255.255.0
sw2:类似

⑤三层链路聚合 路由器和多层交换机
综合3和4

LACP 模式特性

sw1: 
int eth-trunk 1
	mode lacp-static (该指令必须先配置,然后再向该捆绑组添加 成员接口) 
	trunkport gi 0/0/1 to 0/0/4 
sw2: 
int eth-trunk 1 
	mode lacp-static 
	trunkport gi 0/0/1 to 0/0/4
配置sw1 为主设备: 
[ ] lacp priority 50 系统优先级默认是32768 ,数字越小越优先。
int eth-trunk 1 
	max active-linknumber 2 指定最大活跃接口数量 
int gi 0/0/1 
	lacp priority 10 接口优先级,数字越小越被优先选用 
int gi 0/0/2 
	lacp priority 20 
int gi 0/0/3 
	lacp priority 30 
int gi 0/0/4 
	lacp priority 40 
int eth-trunk 1 
	least active-linknumber 2 
 最少活跃链路的数量,如果up链路少 于2个 则整条捆绑链路down 掉。

本文标签: HCIA 网工数通 datacom