2 學習工具
Ⅰ:截圖greenshort
Ⅱ:有道雲筆記
Ⅲ:vnc
3 vmware workstation:模擬虛擬機,搭建學習和測試環境。vmware是全球虛擬化最好的公司。
vmware 12.1可以安裝win 10
4 操作系統(OS operating system)
格式:iso(原版).GHO(第三方)
winxp---->win vista---->win7---->win8(8.1)--->win10
5 快照功能:可以恢復到以前的一個狀態
克隆功能:copy一份
6 關閉客戶機:相當於直接斷開電源
7 配置虛擬機使其可以上網
Ⅰ:讓vm0橋接到無線網卡
Ⅱ:將虛擬機的網卡選擇自定義到vmnet 0
8 學習環境准備
關閉防火牆和所有的殺毒以及衛士、毒霸
環回網卡安裝
cisco packetracert
ENSP 華為
卸載
winpcap
wireshark
ensp
oracle virtual box
9.網絡概述
網絡類型:
Ⅰ:P2P型:只允許兩台路由器相連,支持廣播組播。(點對點)
Ⅱ:MA型:兩台或兩台以上的路由器通過共享介質相連,支持廣播組播。(廣播型)
Ⅲ:NBMA型:(完全連接的幀中續網絡)允許兩台或兩台以上的路由器通過VC相連,不支持廣播組播。
Ⅳ:P2MP型:(非完全連接的幀中續網絡)多個點到點網絡的集合,支持廣播組播。
查詢服務器所在的地址
10 IP
IP:internet protocol 標識一台網絡設備唯一的ID標識,類似公民的身份證號。全球唯一。
例如:192.168.31.1
11 ping:測試兩個網絡設備的聯通性,參考的協議標准ICMP。
ICMP:internet eontrol message protocol ping 指令封裝數據包參考的協議
12 OSI 參考模型
一層:物理層:規定了物理介質、網線、光纖、電壓電流等
二層:數據鏈路層:MAC地址
三層:網絡層:IP地址、路由器
四層:傳輸層:端口號 例如:80端口
五層
六層 統稱高層
七層
13 MAC地址:網卡物理地址,16進制 網卡出廠時燒錄在芯片里面的一串全球唯一的地址。(默認情況下不能更改)
14 TCPIP模型:tcp\ip模型是很多個網絡協議的集合,其中以tcp和ip協議為主,這些協議的集合稱為TCP\IP協議族(簇)。該模型是目前數據包封裝主要參考的模型。
五層模型:
一層物理層
二層數據鏈路層:MAC
三層網絡層:IP
四層傳輸層:端口
五層應用層:用戶數據DATA
15 數據包結構
16 IPv4地址:點分十進制 32bit
192.168.1.100
17 48 ip地址:網絡位+主機位
IP:192.168.1.2 掩碼:255.255.255.0
192.168.1 2
網絡位 主機位
網絡位:子網掩碼1bit對應的位是網絡位
主機位:子網掩碼0比特對應的位
注:主機位全0全1的ip地址和掩碼的組合是無效的。
主機位全0:子網地址
主機位全1:子網廣播地址
例如:
192.168.1.127 255.255.255.128
192.168.1.0 1111111
.1 0000000
網絡位 主機位
主機位全1,無效
例如:
192.168.1.128 255.255.255.128
192.168.1.1 0000000
.1 0000000
網絡位 主機位
主機位全0,無效
18 IP地址分類:
A類:1-126 默認子網掩碼 255.0.0.0/8
B類:128-191 255.255.0.0/16
C類:192-223 255.255.255.0/24
D類:224-239 組播地址
E類:剩下 實驗用
例如:
192.168.1.1 C類
172.16.1.1 B類
8.8.8.8 A類
19 特殊地址
127.x.x.x 本地環回測試地址 僅用來測試本機 代表自己
0.0.0.0 代表所有
255.255.255.255 廣播
20 單播、組播、廣播
單播:一對一
組播:一對一組用戶,類似qq討論組
廣播:一對所有,群發
21 特殊二層MAC
全F ff-ff-ff-ff-ff-ff 廣播
01-00-5e-xx-xx-xx 組播
22 網段:具有相同網絡位的ip和掩碼的組合稱為同一個網段(局域網、子
網)
23 一個網段包含多少ip?
192.168.31.0 /24(8位主機位)
2^8=256-2=254個可用的主機IP地址
例如:192.168.2.192/26可用IP地址多少?
2^6=64-2=62個
例如:
192.168.2.252/30可用ip多少?
2^2-2=2個
192.168.2.111111 xx
網絡位 主機位
192.168.2.111111 00
192.168.2.111111 01 可用(153)
192.168.2.111111 10 可用(254)
192.168.2.111111 11
可用地址:
192.168.2.253
192.168.2.254
例如:192.168.2.248/29可用ip多少?
6個
192.168.2.249-254
24 相同網段的PC互相通信時不需要網關
不同網段的PC互相通信需要網關做中轉
注:不同網段的PC互相通信需要三層網絡設備(如三層交換機、路由器、防火牆、服務器)做中轉,該路由器作為PC的網關。
25 子網掩碼、網關、DNS
子網掩碼:規定了該ip地址所在的網段。
網關:當PC訪問不同網段的服務時,需要將數據交給網關處理。網關通常為三層交換機、路由器、防火牆、服務器充當,網關地址就是設備的接口地址。
DNS:域名解析服務,將域名(網址)轉換成IP地址。
26
私網地址:在任何地方都可以使用的ip地址
公網地址:全球唯一,需要花錢申請
ip地址緊缺:2^32=42.9億
NAT+私網地址===》ip地址緊缺
私有地址范圍:
A10.0.0.0/8
B172.16.0.0-172.31.255.255
C192.168.0.0/16
注:私網地址不能在公網上被傳輸(路由)。運營商如果發現收到的報文三層含有私有地址,則會將該報文直接丟棄。
27 可變長的IP地址
172.16.0.0/16 分成6個小子網?
2^m>=6, m=3; 因此需要三個bit的子網位
172.16. 000 00000.0
網絡位 子網位 主機位
Ⅰ:172.16. 000 00000.0 172.16.0.0 /19
Ⅱ:172.16. 001 00000.0 172.16.32.0 /19
Ⅲ:172.16. 010 00000.0 172.16.64.0 /19
Ⅳ:172.16. 011 00000.0
Ⅴ:172.16. 100 00000.0
Ⅵ:172.16. 101 00000.0
Ⅶ:172.16. 110 00000.0
Ⅷ:172.16. 111 00000.0
28 TTL:time to live 生存周期:防止環路,起始值經過路由器是遞減
29 tracert 8.8.8.8測試本地到達目標所經過的三層設備
30 ARP:(Address Resolution Protocol),通過目的IP地址,請求對方MAC地址的過程。
31.廣播域:廣播包可以發送的區域范圍。路由器隔離廣播域(廣播包無法穿越路由器,路由器的每一個接口都是一個獨立的廣播域)。交換機不隔離廣播域。
32.當一個pc訪問外網時(訪問的目標和自己不在同一網段),此時二層會封裝網關的MAC地址。
33.TCP UDP
| 協議名稱 | 詳情 |
|---|---|
| TCP | 可靠傳輸、面向連接,速度慢但准確性高(例:下載軟件 ) |
| UDP | 不可靠傳輸、非面向連接,速度快,但准確性差(例:直播數據) |
| 面向連接 | 如果某應用層協議的四層使用TCP端口,那么在正式的數據報文傳輸之前,需要先建立連接。只有建立了連接之后才可以傳輸數據。 |
| 注 | 建立連接先發送一個TCP包,然后才發送HTTP包。 |
TCP的三次握手:面向連接的高層協議在正式傳輸數據之前需要先建立連接,建立連接的過程需要來回發送三個報文,我們將連接的過程稱為三次握手。
| 步驟 | 詳情 |
|---|---|
| 客戶端---->服務器 | 攜帶一個SYN參數(seq=0) |
| 服務器---->客戶端 | 攜帶SYN和ACK參數(seq=0 ack=1) |
| 客戶端---->服務器 | 攜帶一個ACK參數(seq=1 ack=1)當第三次TCP的包經過路由器后,HTTP的包也封裝完成開始發送。 |
| 注 | 建立連接需要經過三次握手(3個TCP的包)然后開始發送HTTP的包。 |
可靠傳輸:客戶端收到第二次握手報文之后,需要發送TCP的ack確認包,並告訴服務端接下來要收到的報文的序號。同時該過程確定了兩者傳輸的“Windows窗口”大小。
圖中的ack告訴客戶端接下來發送的數據包的序號,Windows告訴客戶端服務端的緩存大小。
34 常用協議的端口號:
| 協議 | TCP端口號及用途 |
|---|---|
| HTTP | tcp 80 網頁瀏覽 |
| telent | tcp 23 遠程控制 |
| FTP | tcp 20 21 文件傳輸 |
| RDP | tcp 3389 遠程桌面 |
| VNC | tcp 5900 螢幕畫面分享及遠端操作 |
35 測試某端口是否打開
在pc端鍵入命令:telnet IP地址 端口號
36 1-1024端口號:熟知端口(固定端口 已經分配)
1024 以后的端口稱為隨機端口
37 wireshark 過濾規則
| 表達式 | 效果 |
|---|---|
| ip.addr==x.x.x.x | 過濾只含有此IP的報文 |
| ip.src==x.x.x.x | 過濾源IP為此IP的報文 |
| ip.dst==x.x.x.x | 過濾目標IP為此IP的報文 |
| tcp.port==80 | 過濾端口為80的報文 |
| tcp.dstport==80 | 過濾目標端口為80的報文 |
| tcp.srcport==80 | 過濾源端口為80的報文 |
| eth.dst==dc:8b:28:4b:a9:47 | 過濾目標MAC為此地址的報文 |
| eth.src==dc:8b:28:4b:a9:47 | 過濾源MAC為此地址的報文 |
vnc arp http 過濾高層協議
and 且 or 或 not 非 支持()
例如:tcp or http and (not vnc)
38 思科 cisco :CCNA CCNP CCIE
華為 huawei:HCNA HCNP HCIE
39 華為命令行簡介
< > 用戶命令行模式 權限稍低
[ ] 系統命令行模式 權限高
< >--->[ ] 使用命令system-view
[ ]--->< > 使用命令quit
[]sysname R1 命名
[]quit 退出當前模式
?提示信息
命令行支持簡寫
tab鍵 補全命令
<>language-mode Chinese 提示語言改為中文
display current-configuration 顯示當前配置
more:回車鍵翻一行,空格鍵翻一頁,其他任意鍵退出。
ctrl+C:直接退出到用戶模式
給接口配置IP地址:
int e0/0/0 進入接口e0/0/0
ip address 192.168.1.1 24 給接口配置ip地址和子網掩碼
dis this 顯示當前界面所做的配置
dis ip int brief 顯示接口摘要
[Huawei]dis ip routing-table 顯示路由表
40 路由表:路由器轉發數據包的唯一依據,是路由器轉發數據包的一張“地圖”。
41
save 保存配置
42 [R1]undo info-center enable 關閉信息中心,防止彈出日志
43 直連路由:direct route,直接相連的路由,當路由器的接口配置好IP地址並up之后,會自動創建該路由。路由器默認情況下,只能到達直連的網段。
可以看出直連的只有12.1.1.0/24網段和23.1.1.0/24網段。
靜態路由配置:
去包路由:PC1--->PC2(目標網段:172.16.1.0/24)
R1:
ip route-static 172.16.1.0 24 12.1.1.2
目標網段 下一跳
下一跳:(next-hop)下一個傳遞者,下一個繼承者
R2:ip route-s 172.16.1.0 24 23.1.1.3
回包路由:PC2--->PC1(目標網段:192.168.1.0/24)
R3:ip route-s 192.168.1.0 24 23.1.1.2
R2:ip route-s 192.168.1.0 24 12.1.1.1
44 undo xxx 撤銷某條指令
例如:
int e0/0/1
undo ip address
例如
undo sysname
undo ip route-s 192.168.1.0 24 12.1.1.1
45 路由優先級:(perference,思科管理距離:類似於最短路徑)衡量路由的優先程度,到達同一個目標有兩種路由協議,此時優選路由優先級較小的路由協議。
| 路由優先級范圍 | 0-255 |
|---|---|
| 常見的路由優先級 | |
| 直連路由(direct) | 0 |
| 靜態路由(static) | 60 |
| 動態路由(Rip) | 100 |
| ospf | 10 |
46 ping x.x.x.x -t 一直ping
ping會存在三種情況 1、請求超時:對方主機不在線、屏蔽等(如果屏蔽了,我們可以獲取到mac) 2、傳輸失敗:當主機嘗試去訪問其他網絡內的主機,而本身沒有配置網關。 3、無法訪問目標主機:網關沒有路由,沒有獲取到mac地址。
47 冗余:基本類似於備份,可靠性較高
48
int e0/0/1
shutdown 禁用接口
undo shutdown 開啟接口
49 配置冗余和冗余路由的靜態路由后,查看路由表
如果接口出故障,那么與該接口相關的直連路由全部消失。
如果某路由的下一跳不可達則該路由也會消失
50 路由在選擇路徑的過程中始終使用最優路由(因此到達同一個目標的多條路徑中,路由表中只能看到最優的那一條)
51 路由優先級:參考前面的拓撲結構
目標:想實現千兆Ge0/0/0為主鏈路,百兆E0/0/1作為備份鏈路
R1:
ip route-s 210.1.1.0 24 21.1.1.2 perference 50
R2:
ip route-s 210.1.1.0 24 21.1.1.1 perference 50
(優先級50高於靜態路由默認優先級60,通過此方法進行主鏈路和備用鏈路的設置)
52 負載均衡:數據(負載)被均分到兩條鏈路上傳輸。(兩條鏈路的優先級相同,即可實現負載均衡,此時兩條鏈路均在路由表中顯示,如下圖)
53 路由度量:(度量值,metric,cost,路由開銷)到達某目標所花費的開銷(代價)的總合,用來衡量路徑的優劣。
54 缺省路由(默認路由):
default route ip route-s 0.0.0.0012.1.1.2 //訪問任何網段都將數據包交給12.1.1.2
** 注:缺省路由屬於特殊的靜態路由!
** 注:PC的網關其實就是一種缺省路由。
**特殊注意**:缺省路由屬於“替補路由”,只有當其他的路由不可達時才會使用缺省路由。
** 注**:缺省路由適用於邊緣節點,以及企業出口。
55 環回接口(loopback):邏輯接口,模擬網段、PC、服務器、后期用於動態路由選舉Router-ID
int loopback 0
ip add 220.1.1.2 24
56 DHCP:動態主機配置協議DHCP(Dynamic Host Configuration Protocol)來分配IP地址等網絡參數,可以減少管理員的工作量,避免用戶手工配置網絡參數時造成的地址沖突。
上網參數:IP地址、子網掩碼、網關、DNS
dhcp enable
ip pool qq
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
dns-list 192.168.1.1 8.8.8.8
int e0/0/0 //(和用戶相連接口)
dhcp select global //使用本地全局配置的地址池分配ip地址
cmd--->ipconfig
在使用dhcp的情況下:
ipconfig /all 查看
ipconfig /release 釋放IP地址
ipconfig /renew 重新獲取IP地址
更改網卡MAC地址:
windows+r-->ncpa.cpl-->回車-->網卡屬性-->配置-->高級-->本地管理地址-->輸入值
注1:多個PC請求dhcp服務時,dhcp服務器使用不同的MAC地址來區分不同的PC
注2:用戶發送的第一個dhcp請求包源是0.0.0.0目標是255.255.255.255的廣播報文,該報文稱為dhcp discover。
注3:多個dhcp服務器(路由器等網絡設備均可作為dhcp服務器)回應同一台PC時,PC選擇最早到達的回復,收到第二個報文。
注4:第三報文是用來和通訊的dhcp服務器進行確認。
dis ip pool name qq used 顯示DHCP分配記錄
57 RIP:路由信息協議RIP(routing information Protocol)的簡稱,它是一種基於距離矢量(Distance-Vector)算法的協議,使用跳數作為度量到達目的網絡的距離。
RIP主要應用與規模較小的網絡中。缺點:古老速度很慢!
58 路由器的每個接口都是一個獨立的網段!!!
59 rip的配置
R3:
rip 1
undo summary //關閉自動匯總
version 2 //版本2
network 192.168.1.0 //宣告直連主類網絡
network 12.0.0.0 //宣告直連主類網絡
R4:
rip 1
undo summary
version 2
network 12.0.0.0
network 23.0.0.0
network 172.16.0.0
R5:
rip 1
undo summary
version 2
network 23.0.0.0
network 10.0.0.0
60 Rip 報文
每隔30s發送一次
目標地址是224.0.0.9組播地址
報文里面存放的是路由信息
61 Rip 只看距離遠近,距離是以跳數(經過路由器的個數)來衡量。
注:16跳不可達。
62 抑制接口:(靜默接口)
rip
silent-interface e0/0/0 //將接口e0/0/0 配置為靜默接口,rip的路由更新不再從該接口發送。
注:rip 的優先級100
63 OSPF:開放式最短路徑優先(Open Shortest Path First)協議是IETF定義的一種基於鏈路狀態的內部網關路由協議。ospf逐漸取代rip.
鏈路狀態:路由矢量、帶寬等綜合考慮鏈路的情況
ospf的優先級:10
64 ospf 的區域規划
area 1、2、3:常規區域
65 OSPF配置
R3:
ospf 1
area 0
network 192.168.1.0 0.0.0.255
network 12.1.1.0 0.0.0.255
R4:
ospf 1
area 0
net 12.1.1.0 0.0.0.255
net 23.1.1.0 0.0.0.255
net 172.16.1.0 0.0.0.255
R5:
ospf 1
area 0
net 23.1.1.0
net 10.10.10.0 0.0.0.255
以上配置完成以后所有的鏈路均通
查看路由表
可以和rip配置完成以后的路由表進行比較
66 ospf的報文:常見的5種
DBD、LSR、LSU、LSack 剛開始發送
hello:小巧,用來建立和維持鄰居關系
< >reset ospf process 重置ospf進程--->y
67 顯示ospf的鄰居表:
68 ospf靜默接口
69 Telent:遠程登錄,遠程控制一些路由器和交換機等網絡設備。四層使用TCP23號端口。
70 telnet
telnet服務端配置:
telnet server enable //(華為已經開啟)
aaa
local-user hcnp password cipher hcnp12 privilege level 3 //配置用戶名和密碼 權限級別3級
local-user hcnp service-type telnet // 指定賬號的服務類型是telent
user-interface vty 0 4 //同時允許5個人登錄
authentication-mode aaa //認證的模式采用aaa
telnet客戶端
< >telnet 34.1.1.2
注:四層使用的TCP 23號端口。
71 FTP:file translate protocol,FTP是用來傳送文件的協議。使用FTP實現遠程文件傳輸的同時,還可以保證數據傳輸的可靠性和高效性。目前目前多數用其來傳輸安裝操作系統。
72 路由器 硬件組成:
內存+CPU+flash(類似硬盤)+風扇+I/O接口+主板
73 查看路由器操作系統
注:此操作系統用的是VRP 版本為5.110
74 dir查看flash
75 華為網絡設備操作系統:VRP:Versatile Routing Platfrom version 5.X
76 對flash的操作
reset recycle-bin 清空回收站。
配置ftp:
aaa
local-user xxm password cipher xxm12 privilege level 3 ftp-directory flash:
local-user service-type ftp
客戶端訪問:
< >ftp 34.1.1.2
PC當客戶端:
瀏覽器中訪問:如下設置
77 升級華為網絡設備操作系統的方法:
在PC客戶端下載需要的操作系統,登錄到服務端把下載的系統拷貝到flash里面,重啟服務器reboot 自動安裝新系統ar1220-5.2.1.0.cc
78 VLAN(Virtual Local Area Network)即虛擬局域網。
作用:在大型的企業內網,可以通過在交換機(二、三層交換機)上部署vlan技術隔離廣播域,縮小廣播的發送范圍,同時將安全威脅隔離到最小。以及方便管理員的管理。最終使得 網絡更加的健康和穩定。
79 vlan配置
vlan 10 //創建vlan 10
vlan 20 //創建vlan 20
vlan batch 20 30 40 //同時創建三個vlan
int gi0/0/x
port link-type access //將接口的類型配置為access
port default vlan 10 //將接口划分到vlan10里面
注:vlan 1 屬於默認vlan,默認情況下所有的接口都位於vlan1里面。
注:vlan隔離廣播的同時,也會隔離arp,從而導致無法獲取到目標IP的MAC地址,因此導致單播也無法通信。如果想讓不同的vlan單播可以通信,還需要三層設備(路由器、三層交換機)做路由。
注:默認情況下交換機的一個接口只能從屬於一個vlan,只允許該vlan的數據通過。
80 Trunk:干道,主干鏈路 通常用於交換機和交換機之間,通過一個接口傳輸多個vlan的數據包。
81 trunk配置:
| 接口類型 | 連接設備 |
|---|---|
| access口 | 接PC |
| trunk口 | 接交換機 |
| hybrid口 | 混合接口 即可以接交換機也可以接PC(華為交換機的默認接口) |
trunk的配置:
int gi0/0/x (SW1:gi0/0/4 SW2:gi0/0/1)
port link-ty trunk
port trunk allow-pass vlan all
PC--->交換機access口
注:PC不認識vlan標記,不認識tag,只有通過交換機的trunk接口發出的報文才具備vlan的標記(802.1q tag)。
注:交換機發出的報文沒有tag。
交換機trunk--->trunk交換機
82 PVID:本征vlan(native vlan):該vlan的報文經過trunk接口時不打標記(tag)。默認情況下本征vlan是vlan 1。
int gi0/0/4
port trunk pvid vlan 20 //將trunk接口的pvid改為vlan 20
此時交換機trunk--->trunk交換機,vlan 20 的主機相互通信時trunk鏈路的報文中不攜帶pvid的標記(tag),默認情況下vlan 1 的主機通信時不攜帶pvid的標記(tag)。也就是說當trunk的pvid和vlan的pvid相同時,此vlan的主機通信時,trunk鏈路的報文就不會攜帶tag
83 將交換機的接口屬性更改時:例如由access-->trunk 或者由trunk-->access 必須重置接口的默認設置
重置方法:
1、手動恢復到原來的狀態 type:hybrid vlan:1
2、[ ]clear configuration int gi0/0/2--->yes
84 vlan間路由:
方法Ⅰ:多層交換機--SVI(常用):switch virtual interface
方法Ⅱ:路由器--單臂路由
注:不同的vlan之間互相通信必須要有三層設備(路由器、多層交換機)做中轉。
85 vlan間路由之SVI
svi配置:
vlan batch 10 20
將接口划入vlan配置略
int vlan 10
ip add 192.168.10.1.24 //給vlan 10 配置ip地址作為vlan 10 用戶的網關
int vlan 20
ip add 192.168.20.1 24
調試:
注:vlan間路由:通過三層設備路由,使得不同vlan間可以互相通信。但僅僅允許單播通信。不同的vlan之間廣播幀依然被隔離即沒有失去vlan原來的意義。
86 vlan間路由之單臂路由
配置:
Ⅰ:交換機上連 配置trunk
int gi0/0/3
配置trunk
Ⅱ:路由器啟用子接口
interface Ethernet0/0/0.10
dot1q termination vid 10
ip address 192.168.10.1 255.255.255.0
arp broadcast enable
#
interface Ethernet0/0/0.20
dot1q termination vid 20
ip address 192.168.20.1 255.255.255.0
arp broadcast enable
87 ACL:access control list 訪問控制列表
ACL兩種:
基本acl(2000-2999):只能匹配源ip地址。
高級acl(3000-3999):可以匹配源ip、目標ip、源端口、目標端口等三層和四層的字段。
acl舉例:拒絕PC1訪問172.16.10.x網段
R2:
acl number 2000 //建立基本acl(表號2000)
rule 5 deny source 192.168.10.1 0 //拒絕源地址為192.168.10.1的任何數據包。5為自動生成的執行序號。
int gi0/0/0
traffic-filter inbound acl 2000 //在接口的入方向調用acl
172.16.10.1ping192.168.10.1的 gi0/0/0接口的抓包
五個包,request包順利通過,reply包超時。
acl舉例:拒絕PC1和PC2ping server1,但允許其HTTP訪問。
R2:
acl number 3000
rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0
int gi0/0/0
traffic-filter inbound acl 3000 //在接口的入方向調用acl
acl舉例:拒絕PC2:192.168.10.2 以telnet的形式訪問12.1.1.2
R2:
acl number 3001
rule 5 deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port eq telnet
int gi0/0/0
traffic-filter inbound acl 3001 //在接口的入方向調用acl
注意:
注1:一個接口的同一個方向只能調用一個acl
注2:一個acl里面可以有多個rule規則,從上往下依次執行
注3:數據包一旦被某rule匹配,就不再繼續向下匹配
注4:默認隱含放過所有(華為的acl用來拒絕數據包時)。
88 NAT:(Network Address Translation)網絡地址轉換技術,作用是將內網私有地址轉換成公網地址,使得內網的主機可以上外網。
私有地址:任何人都可以使用
A 10.0.0.0/8
B 172.16.0.0-172.31.255.255
C 192.168.0.0/16
基礎配置:
配置好ip地址
出口缺省路由
89 靜態NAT:static NAT-一對一(一 一映射),一個私網地址對應一個公網地址,外網的用戶可以訪問內網的主機。
global:全局公網地址
local:內網私有地址
inside:內網 內部
outside:外部
int gi0/0/1 //(在外網口配置)
nat static global 12.1.1.2 inside 192.168.31.3 //將私網地址31.3和12.1.1.2做一對一的映射
在gi0/0/0口和gi0/0/1口抓的報文
調試:
dis nat session protocol icmp
缺點:有多少個私網地址就需要多少個公網地址。
90 NAT 之 easy IP:允許多個私網地址轉換成一個公網IP,很常用。
出口:
先寫acl匹配內網私網地址段
acl number 2000
rule 5 permit source 192.168.31.0 0.0.0.255
注:acl用來做匹配范圍時,沒有默認隱含允許所有的規則。
int gi0/0/1(公網接口)
nat outbound 2000 //(2000是acl的表號)
原理:內網私網地址出包時轉換成公網接口gi0/0/1當前的IP地址(12.1.1.1)
91 NAT 之 server NAt:可以將某服務器的某端口映射出去(非常安全)
int gi0/0/1
nat server protocol tcp global 12.1.1.4 www inside 192.168.31.254 www //www相當於80端口 通過80端口發送的tcp報文在外網接口處轉換為12.1.1.4傳輸
也可以進行如下配置(以下配置還未做實驗)
nat server protocol tcp global 12.1.1.4 4000 inside 192.168.31.254 3389
如內網還有其他的主機可以進行如下配置
nat server protocol tcp global 12.1.1.4 4001 inside 192.168.31.253 3389
僅僅將服務器的80端口映射出去
92 廣域網鏈路:二層封裝PPP(包括pap chap)、HDLC、FR
注:在配置關於網鏈路之前給路由器添加串口(sx/0/0)
interface Serial4/0/0
link-protocol ppp
ip address 12.1.1.2 255.255.255.0
PPP可以對鏈路做認證
93 PPP的鏈路認證:
Ⅰ:PAP認證 Ⅱ:CHAP
PAP認證:(明文傳輸,兩次握手)
R2(服務端)
aaa
local-user hcnp password cipher hcnp123
local-user hcnp service-type ppp
int s4/0/0
ppp authentication-mode pap
此時:可以shutdown接口 然后再undo shutdown檢測
R1(客戶端):
int s4/0/0
ppp pap local-user hcnp password simple hcnp123 //配置客戶端發送的用戶名和密碼以明文的方式發送
此時:可以shutdown接口 然后再undo shutdown檢測
CHAP認證:三次握手,密文發送
94 HDLC、FR
注:華為、H3C串行接口默認的封裝方式是PPP
Cisco(思科)串行默認封裝的是HDLC
int s4/0/0
link-protocl hdlc
95 FR:frame-relay 幀中續
int s4/0/0
link-protocol fr
ip address 12.1.1.1 24
12.1.1.2的端口處抓包
96 聚合鏈路/鏈路捆綁/聚合端口/eth-channel
沒有配置鏈路聚合之前 :端口1和4處於轉發狀態
交換機:兩台分別配置
int eth-trunk 1 //創建邏輯捆綁接口組1
int gi0/0/1
eth-trunk 1 //將接口加入接口組1
int gi0/0/2
eth-trunk 1
int gi0/0/3
eth-trunk 1
配置鏈路聚合之后:
97 VRRP:虛擬網關冗余協議 Virtual Router Redundancy Protocol 三層網關冗余技術。對用戶的網關做冗余。
實驗拓撲結構如下:
基礎配置:
核心和PC個接口的IP
接入層交換機無需配置
用戶網關10.1
vrrp配置:
核心1(備份):
int Gi0/0/0 //下聯用戶的接口
vrrp vrid 1 virtual-ip 192.168.10.1 //創建虛擬組1,並指定虛擬IP地址,該虛擬地址作為用戶網關。
核心2(主):
int gi0/0/0 //下聯用戶的接口
vrrp vrid 1 virtual-ip 192.168.10.1 創建虛擬組1,並指定虛擬ip地址,該虛擬地址是用戶的網關。
vrrp vrid 1 priority 105 //優先級設置為105,作為主路由器(核心1為100,數字越大越優先)
核心2
表中的master表示主路由。
核心2
表中的backup表示備份路由(其中記錄了master的優先級)
工作原理:master路由器會每隔一段時間(約2s)按組播的形式發送vrrp報文(包含優先級)告知它的身份;當它故障時,其他路由收不到它的vrrp報文,其它backup路由器就會自動切換成master。
int gi0/0/0
vrrp vrid 1 track int gi0/0/1 //跟蹤上聯接口gi0/0/1的狀態,當發現gi0/0/1口down時,自動將優先級減10,以讓出master的位置。
配置密碼(可選配置)
int gi0/0/0
vrrp vrid 1 authentication-mode simple plain 123 //配置認證簡單明文密碼123
98 STP:spanning tree protocol 生成樹協議
作用:防止交換環路
原理:通過運行STP的算法,阻塞特定的接口實現冗余無環的網絡。
從圖中就可以看到接口gi0/0/2處於阻塞狀態,從而我們可以看到消除了環路。
當環路中的某一條鏈路出現故障時(SW2和SW1之間的鏈路故障時),此端口就會自動打開
99 STP算法:大原則:先選出不被阻塞的接口,剩下的接口全被阻塞。
Ⅰ 在整個網絡中(整個廣播域)選出根橋。先比較優先級 再比較mac地址,越小越優先。根橋的所有端口都是指定端口。(默認選舉情況如下)
CIST Root/ERPC:根橋
標藍部分為橋id
Ⅱ 非根橋上面選舉根端口(根端口有且僅有一個)到達根橋最近的端口當選為根端口。
Ⅲ 每段鏈路上選取一個指定端口。橋ID(優先級+MAC)較小的交換機上面的端口當選為指定端口。
Ⅳ 剩下的端口全部阻塞。
100 修改交換機stp的優先級:
stp priority 0
注:優先級必須是4096的倍數
101 交換機的接口由down到轉發狀態大概經過30s。
down-->listening-->learning-->forwarding
邊緣端口:建議將接PC的接口配置為邊緣接口(減少接口的收斂時間)
int gi0/0/3
stp edged-port enable
102 stp的根保護
STP根保護:建議到根橋的接口配置
int gi0/0/2
stp root-protection
一旦使能根保護功能的指定端口收到優先級更低的BPDU時,端口狀態將進入Discarding狀態,不再轉發報文。在經過一段時間(通常為兩倍的Forward Delay),如果端口一直沒有再收到優先級較高(數值較低)的BPDU,端口會自動恢復到正常的Forwarding狀態。
注:該指令只能在指定端口配置才會生效。
103 stp BPDU 防護:保護根橋
全局
stp bpdu-protection
作用:開啟bpdu保護后,如果從邊緣端口收到stp報文,交換機會自動將該接口shutdown。從而確保根橋不被搶占。確保不會出現環路。
error-down auto-recovery cause bpdsu-protection interval 30 //30s后自動up 自動恢復機制。
104 RSTP:rapid stp 快速的生成樹協議
stp mode rstp //將stp的模式調整為rstp
105 IPV6:internet protocol version 6
目前正在使用:ipv4
ipv4:32bit 2^32=42.9億個 點分十進制
ipv6:128bit 2^128=很大很大 冒號分16進制
ipv6由8個字段組成,每個字段占16個bit
2001:db8:**0:0:0:0**:346:8d58
2001:db8**::**346:8d58
特殊ipv6地址:
注1 ::1 本地環回地址 類似ipv4 127.x.x.x
注2 :: 相當於ipv4 0.0.0.0
注3 FF 開頭組播v6地址 例如:FF::5 類似224.0.0.5
ipv6靜態路由配置
接口ip:
ipv6 全局使能ipv6功能
int gi0/0/0
ipv6 enable
ipv6 address 2001::1 64
R1:
ipv6 route-static 2002::0 64 12::2
R2:
ipv6 route-static :: 0 12::1
106 ipv6地址分類:單播 組播 任意播(取消廣播概念)
任意播:找離它最近的服務器訪問
107 ipv6無狀態自動配置:PC會通過發送特定類型的icmp報文請求路由器接口的前綴,結合自己的mac地址自動生成全球獨一無二的ipv6地址。
無狀態生成的ipv6地址的前綴和路由器接口的前綴一致(相當於ipv4的網絡位)后面的部分會結合mac地址確定。
108 ipv6中以FE80::開頭的地址都屬於本地鏈路地址(link-local),只在本地鏈路有效。啟用了ipv6功能的接口都會自動生成相應link-local地址。
EUI-64地址:原mac地址中嵌入FFFE,然后將第七位bit取反。
例:mac:00:E0:FC:16:21:CD
(00)16-->(00000000)2取反-->00000010-->(02)16
EUI-64: 02:E0:FC:FFFE:16:21:CD
109 思科 銳捷 命令行簡介
用戶模式
特權模式
(config)#全局模式
enable //由>進入#模式
config terminal //由#進入全局
exit //退出當前模式
全局模式下hostname SW1 //命名
vlan 10
int vlan 10
ip add x.x.x.x 255.255.255.0
#show ip int brief //顯示接口摘要
#show ip route //顯示路由表
#show run //顯示當前配置
#write //保存
120 思科基本配置聯通性
int fa0/1 //將接口fa0/1划入vlan10
switchport access vlan 10
witchport mode access
int fa0/3 //將接口配置為trunk
switchport trunk encapsulation dot1q
全局
ip route 192.168.30.0 255.255.255.0 192.168.20.2 //配置靜態路由
int range fa0/1-fa0/24 //對多個端口進行配置
#erase startup-config //擦除配置
121 終止解析
ctrl+shift+6
122 思科acl配置
標准:
全局:
access-list 1 deny 192.168.10.2 0.0.0.0 //配置acl拒絕192.168.10.2訪問
access-list 1 permit any //允許任何網段
int fa0/0
ip access-group 1 in //將acl 1 加在路由器的入口處也就是fa0/0
擴展:
access-list 100 deny icmp 192.168.10.2 0.0.0.0 any
int fa0/0
ip access-group 100 in
123 思科NAT
NAT配置:
int fa0/0
ip nat inside //指明內網接口
int fa1/0
ip nat outside //指明外網接口
access-list 5 per 192.168.10.0 0.0.0.255 //用acl匹配內網網段
ip nat inside source list 5 int fa1/0 overload //在fa1/0口用此規則,默認內網地址會轉換成fa1/0接口的IP
124 思科telnet配置
username aa privilege 15 password aa123 //首先配置用戶名和密碼 權限級別為15
line vty 0 15
login local //使用本地的用戶名和密碼對登錄的用戶做認證
125 思科DHCP
server dhcp enable //開啟dhcp功能
ip dhcp pool hcna //建立dhcp地址池
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 192.168.10.1
