一、網絡模型分類
OSI七層模型:
面向用戶應用:(上三層)應用層,表示層,會話層。
面向數據傳輸(下四層):傳輸層,網絡層,數據鏈路層,物理層。
數據鏈路層、網絡層、傳輸層傳輸協議的單元分別是:幀,包,段。
二層的封裝報頭為:源Mac 目的Mac
三層的封裝報頭為:源IP 目的IP
四層的封裝報頭為:源端口目的端口。
MAC地址占48bit,ip地址占32bit,端口占16bit
TCP/IP四層模型:
應用層:
應用層是開放系統的最高層,是直接為應用進程提供服務的。
傳輸層:使用TCP與UDP兩種協議。
TCP是可靠的傳輸機制,依靠確認重傳機制提高可靠性;滑動窗口機制提高效率。
TCP利用三次握手,可以使用拒絕服務攻擊。
UDP是不可靠的傳輸機制,視頻和語音都是基於UDP
Internet層:
實現兩個端系統之間的數據透明傳送,具體功能包括尋址和路由選擇、連接的建立、保持和終止等。
網絡接入層:
網絡中直接面向用戶連接或訪問的部分,接入層目的是允許終端用戶連接到網絡。
Cisco三層模型:
核心層,匯聚層,接入層。
二、IP和子網
IP(Internet Protocol),互聯網協議。分為IPv4和IPv6
IP是邏輯地址,可以變化,IPv4占32bit;IPv6占128bit。
IPv4地址分為A、B、C、D、E五類,其中A、B、C是常用地址,D類為組播地址。
A類:1.0.0.1-216.255.255.254(0.x.x.x保留作為科研使用,127.x.x.x保留,作為自身回環地址使用)
B類:128.0.0.1-191.255.255.254
C類:192.0.0.1-223.255.255.253
D類:224.0.0.1-239.255.255.254
E類:240.0.0.1-255.255.255.254
其中一部分作為私網地址:
A:10.0.0.1 - 10.255.255.254
B:172.16.0.1 - 172.31.255.254
C:192.168.0.1 - 192.168.255.254
IP地址=網絡位+主機位(網絡位相同,主機位不同就叫做同網段)
子網掩碼mask:表示網絡位的長度。
主機位全0為網絡地址,主機位全1為廣播地址;其余為可用主機地址。
主機位的變化范圍:網絡地址+可用主機地址+廣播地址。
VLSM,可變長子網掩碼,針對IPv4。
VLSM的作用就是在有類的IP地址的基礎上,從他們的主機號部分借出一定的位數來做網絡號,也就是增加網絡號的位數。
例如:
神州數碼公司是一家新成立的公司。一共有5個部門。其中每個部門各有30台電腦。現在公司申請了一個新的網段192.168.0.0/24,請將該網段分配給每個部門,並且寫出每個部門的具體網段范圍。
5個部門,2^2<5<2^3
因此需要借3位,子網數有8個:
192.168.0.0/27;192.168.32.0/27;192.168.64.0/27;192.168.96.0/27
192.168.128.0/27;192.168.160.0/27;192.168.192.0/27;192.168.224.0/27
選出其中的5個作為5個部門的網段
第一部門:192.168.0.0~192.168.0.31
第二部門:192.168.32.0~192.168.32.31
第三部門:192.168.64.0~192.168.64.31
第四部門:192.168.96.0~192.168.96.31
第五部門:192.168.128.0~192.168.128.31
三、路由
路由器:連接不同網段的設備,使用路由表查詢方式。工作在網絡層,每個接口都是一個廣播域和一個沖突域。
通信路徑來回是否需要一致:路由器不需一致;防火牆需要一致。
路由是一種PHB行為(per-hop-behavior 每跳行為)
路由條目:目標網段+本地出接口/下一跳路由IP。
路由跟蹤:tracert x.x.x.x PC機 traceroute x.x.x.x 路由器
路由協議的分類:
1、根據作用范圍分類:
IGP(內部網關路由協議):除BGP以外所有路由協議
EGP(外部網關路由協議):BGP協議
2、根據工作原理分類:
靜態路由協議
動態路由協議:
i):距離矢量路由協議:RIP、EIGRP、BGP 交互路由條目
ii):鏈路狀態路由協議:OSPF、IS-IS 交互鏈路狀態
靜態路由:默認AD值為1
手動添加,安全,配置簡單;不能適應變化。
配置:ip route 目標網段地址目標網段掩碼下一跳地址/出接口
默認路由:特殊的靜態路由,用於網絡末梢或單出口網絡環境
ip route 0.0.0.0 0.0.0.0 下一跳地址/出接口
浮動靜態路由:靜態路由備份技術(平時查看路由表不可見,當原有鏈路斷時生效)
ip route 目標網段地址 目標網段掩碼 下一跳地址/出接口 AD值
黑洞路由:
ip route 目標網段地址 目標網段掩碼 null0 該命令會將去往目標網段的流量全部丟包。
動態路由:
路由協議研究:手動配置,自動維護
1、管理距離 AD
靜態 1
RIP 120
EIGRP 90和170
OSPF 110
IS-IS 115
BGP 20和200
2、度量值metric:衡量路徑好壞的值,一般使用跳數或帶寬
3、算法
RIP:routing information protocol 路由信息協議
RIP基於UDP 520端口
RIPv1 有類路由協議,不支持VLSM
RIPv2 無類,使用224.0.0.9組播更新,自動匯總要關閉后支持VLSM。
RIPng 支持IPv6
最大支持15跳,不支持大網絡
自動匯總
匯總:將無類路由轉化成有類路由的過程
被動接口技術,只收不發的接口
定時器,每三十秒更新一次
配置:
conf t
router rip //啟用rip協議
version 2 //版本2
no auto-summary //關閉自動匯總
network x.x.x.x //宣告網絡
exit
EIGRP:增強內部網關路由線路協議
高級距離矢量路由協議
EIGRP由於存在距離矢量特征,也會出現自動匯總
自動匯總要關閉后支持VLSM
DUAL算法彌散更新算法
支持快速收斂
建立鄰居表,生成拓撲表,通過DUAL算法算出路由表
收斂:從變化到穩定的過程
EIGRP支持帶掩碼的發布
最大條數225跳(極限跳數)
支持等價和不等價負載均衡
名詞解釋:
FD : 可行性距離,源到目標網絡的距離,FD最小的作為最佳路徑。
可行性距離FD=通告距離AD+帶寬延遲
AD:通告距離,下一跳路由器到達目標網絡距離。
FS:可行繼任者,備用路徑的下一跳路由器。
S:繼任者, 最佳路徑的下一跳路由器。
FC:可行性條件,作用是為了保證EIGRP協議100%無環。
配置:
conf t
router eigrp x
no auto-summary
network x.x.x.x(網段) x.x.x.x(反掩碼)
exi
查看命令:
show ip eigrp neighbors 查看eigrp鄰居表
show ip eigrp topology 查看eigrp拓撲表
show ip route eigrp 查看eigrp路由表
OSPF:開放最短路徑優先協議
使用hello包建立和維護鄰居
以組播方式發hello包建立,以單播方式維護鄰居
鄰居關系:不能交互鏈路信息
鄰接關系:能交互鏈路信息
建立鄰居表,生成鏈路狀態數據庫,通過SPF算法算出路由表
分層網絡,分區域,骨干,非骨干區域
Cost值=參考帶寬/當前接口帶寬(參考帶寬默認為100)
每台OSPF路由器都存在router-id,手動指定或者自動選舉,RID的ip不需要真實存在
自動選舉RID原則:
1、是否存在lookback接口,選舉lookback接口IP最大的
2、如果沒有lookback,選擇物理接口IP最大的
DR選舉原則:有比較接口優先級(默認為1),再選舉RID最大者
修改接口優先級命令:接口視圖下ip ospf priority(默認為1,范圍1~255,越大越好,0表示不參與選舉)
點對點類型的網絡不需要選舉DR/BDR,非廣播多路訪問類型的網絡需要手動建立鄰居。
名詞解釋:
DR:指定路由器
BDR:備份指定路由器
DRother:非DR與BDR
配置:
Conf t
Router ospf x
Router-id x.x.x.x //手動選定RID
Network x.x.x.x(網段) x.x.x.x(反掩碼) area x //在區域x宣告網段
Exit
查看:
Show ip ospf neighbors 查看ospf鄰居表
Show ip ospf database 查看ospf鏈路狀態數據庫
Show ip route ospf 查看ospf路由表
DHCP功能:提供IP 掩碼 網關 DNS
DHCP過程:
DHCP客戶端發出DHCP廣播請求
DHCP服務器端回應DHCP數據包
部署分類:
同網段部署
跨網段部署,DHCP中繼請求,網關把廣播轉換成單播,發送給DHCP服務器
配置:
同網段:
conf t
service dhcp(默認開啟)
ip dhcp pool xxx
network 10.1.10.0 /24
default-router 10.1.10.254
dns-server 8.8.8.8
exit
DHCP地址排除命令:ip dhcp excluded-address x.x.x.x(起始地址)x.x.x.x(結束地址)
跨網段:
在網關配置ip helper-address x.x.x.x(DHCP服務器的地址)
防范私自搭建DHCP服務器的方法:交換機端口安全功能:MAC學習限制或指定MAC
四、交換
交換機:
工作原理:學習MAC地址,形成CAM表,記錄MAC和端口的對應關系,單播依據
交換機是一個廣播域(不划分VLAN情況下),每個端口都是一個沖突域。
VLAN:虛擬局域網
VLAN可以實現廣播域的隔離,廣播域數量變多,變安全,可管理性提高
VLAN ID范圍: 0-4095(可用的是1-4094)封裝中占12bit
思科的1002~1005保留給非以太網
默認所有端口都屬於VLAN 1
VLAN配置在show run看不見
VLAN數據庫不存在在running-config和starup-config
VLAN數據存放在flash里面,flash:vlan.dat
配置與查看:
模擬器中:
Vlan database
Vlan x
Exi
Show vlan-switch brief
真機中:
Conf t
Vlan x
Show vlan brief
鏈路:
Trunk鏈路:交換機互連,或者連接路由器,傳遞多個VLAN信息
Access鏈路:接PC或服務器
配置:
switchport mode trunk
或switchport mode access
Switchport access vlan x //划分該端口給vlan x
單臂路由: 實現VLAN間通信
1、int fx/x.x //進入子接口
2、encapsulattion dot1q vlan-id //將vlan x綁定該子接口
3、配置子接口IP
多層交換:2層交換+路由引擎
交換虛擬接口: switch virtual interface SVI
三層交換:routed port路由模式(no switchport)
L3端口 思科私有,可在交換機物理接口上配置IP
switchport 交換模式
L2端口
鏈路捆綁(EC Ethernet channel 以太網通道):多個端口聚合成多個端口(配置時先把端口shutdown)
作用:提高帶寬同時提供備份
實現協議:
PAGP端口聚合協議,思科私有
LAGP鏈路聚合協議,公有
EC有兩種:2層EC和3層EC
2層配置:
Int rang fx/x –x //進入x/x –x等接口配置
Shutdown //將端口手動down
switchport trunk encapsulation dotlq //將trunk鏈路協議改為802.1q
channel-group x mode on //將端口綁定入EC x 模式on
no shutdown
3層配置:
Int rang fx/x –x //進入x/x –x等接口配置
Shutdown //將端口手動down
No switchport //開啟端口路由功能
channel-group x mode on //將端口綁定入EC x 模式on
int port-channel x //進入綁定端口x
ip address x.x.x.x x.x.x.x //綁定端口配置IP
no shutdown
exit
Int rang fx/x –x //進入x/x –x等接口配置
No shutdown
五、生成樹(spanning-tree)作用:環路避免功能,提供備份鏈路
最終目標:找到一個不能轉發數據的端口Block端口,其他端口都是屬於轉發Forward端口
1、根交換機 root bridge RB 根橋
根橋選舉原則:先比較橋優先級最小的,在比較mac地址最小的
默認優先級32768,最小是0,4096的倍數
bridge-id 橋ID=橋優先級+橋MAC
2、干:非根橋選舉接收根橋信息的端口,根端口 root port RP
根端口選舉原則:cost值,自動計算和手動指定兩種
手動指定對端端口cost值
3、找到block 比較發送者的bridge-id
BPDU包=橋協議數據單元,每兩秒發一次
切換狀態和時間
阻塞block 20s
監聽listening 15s
學習learning 15s
轉發forward
生成樹協議:
標准生成樹: 802.1D 只有一顆生成樹,沒有流量負載分擔效果
快速生成樹: 802.1W 只有一顆生成樹,沒有流量負載分擔效果
多實例生成樹: 802.1S 將多個VLAN映射到同一個實例IST
每VLAN生成樹: PVST+ 思科私有
快速每VLAN生成樹: RPVST+ 思科私有
GNS3只支持PVST+,Cisco默認開啟STP
六、ACL/NAT
ACL:訪問控制列表
數據包結構(五元組):源IP 目的IP 源端口 目的端口 DATA數據
訪問控制即讀取數據包結構的前四個要素,進行控制
控制包括允許和拒絕兩種
源端口比較少用
接口下進行,有方向性,進in 出out
1-99 標准訪問控制只能控制源IP
100-199 擴展訪問控制控制五元組
配置和調用:
1-99:access-list permit/deny x.x.x.x (反掩碼x.x.x.x)
100-199:access permit/deny ip/tcp/ udp/icmp/ospf/eigrp源IP 反掩碼 目的IP反掩碼eq 端口號
默認會添加access-list x deny ip any any
調用:ip access-group x in/out
舉例:
R1路由器只允許被pc機10.1.1.1 telnet
line vty 0 4
access-class 2 in
exit
access-list 2 permit 10.1.1.1
end
只允許訪問TCP23號端口,其他都拒絕
access-list 100 permit tcp any any eq 23
禁ping操作:
ip access-group 100 in
access-list 100 deny icmp any any
access-list 100 permit ip any any
命名ACL:
ip access-list stand/extended name
num permit/deny 內容
num permit/deny 內容
exit
int f0/0
ip access-group name in/out
exit
NAT:把私網地址轉換成公網地址,帶動內網上網
網絡地址轉換:只有路由器和防火牆可以實現,多層交換機不行
設備划分區域:inside outside
NAT是把inside的私網IP轉換inside的公網IP訪問外網
配置:
1、指定inside和outside端
2、NAT主命令配置
內網端口:ip nat inside(單臂路由,inside端要寫在子接口上)
外網端口:ip nat outside
端口復用NAT-PAT:
ip nat inside source list 1 interface f1/0 overload
access-list 1 permit any
overload:端口復用,實現多台PC一起上網
地址池NAT,動態NAT:
ip nat inside source list 1 pool ccna overload
ip nat pool ccna x.x.x.x x.x.x.x prefix -length 掩碼位數
access-list 1 permit any
靜態NAT應用場合:內網服務需要被外網訪問到
1、靜態IP NAT
ip nat inside source static 內網IP 公網IP
2、靜態端口映射NAT
ip nat inside source static tcp/udp 內網ip 內網端口公網IP 外網端口
七、廣域網WAN:
三種封裝:HDLC、PPP、FR
PPP=LCP+NCP
LCP 鏈路控制協議驗證明文驗證pap+密文驗證chap
NCP 網絡控制協議獲取IP
客戶端:
ppp pap sent-username 123456 password 123456
服務器端:
int s0/0
ppp authentication pap
exit
username 123456 password 123456
查看PPP認證過程 debug ppp authentication
PAP只需要認證一次
八、冗余網關:
HSRP:熱備份路由協議 思科私有
GLBP網關負載均衡協議 思科私有 同一個網段中實現負載均衡
VRRP:擬路由器路由協議 公有
切換時間默認10s,hello時間3s
出口跟蹤功能,出口故障后,懲罰優先級
穩定性原則,搶占功能,實時比較,變化后直接搶占
活動網關選舉原則:
(1)選舉優先級高的。默認100,范圍1-155
(2)選舉物理接口IP地址比較大的。
配置:
HSRP配置:
int vlan 10
ip add x.x.x.x x.x.x.x
standy 10 ip x.x.x.x //虛擬網關的ip地址
standby 10 priority xx //設置優先級,不要設置太大,一般設置110或120
standby 10 preemt //開啟實時搶占功能
standby 10 trace fx/x xx //懲罰優先級,當fx/x端口斷掉之后,將此優先級降下xx
VRRP配置:
int vlan 10
ip add x.x.x.x x.x.x.x
vrrp 10 ip x.x.x.x //虛擬網關的ip地址
vrrp 10 priority xx //配置優先級
exit
GLBP配置:
int vlan xx
ip add x.x.x.x x.x.x.x
glbp xx ip x.x.x.x //虛擬虛擬網關
glbp xx priority xx //配置優先級