路由與交換核心考點以及路由實驗配置常用命令

路由與交換核心考點

1. 第一部分

1. 教學的五層

   • 應用層：報文
   • 傳輸層：
     • TCP：報文段
     • UDP：數據報
   • 網絡層：數據包
   • 數據鏈路層：幀
   • 物理層：二進制傳輸、bit流

2. 設備所工作的層級

   • 普通交換機：數據鏈路層、物理層
   • 三層交換機：網絡層、數據鏈路層、物理層
   • 路由器：網絡層、數據鏈路層、物理層

3. IPv6地址編址規則

   • 規則一：省略前導 0
     • 省略任何 16 位部分或十六進制數中的前導 0
     • 09F0 可表示為 9F0
     • 作用：有助於縮短 IPv6 地址記法
   • 規則二：忽略全 0 網段
     • 雙冒號 (::)可以代替包含一個或多個 16 位全 0 數據段的任意一個連續字符串
     • 雙冒號 (::)在每個地址中只能使用一次，否則地址就會不明確
     • 稱為壓縮格式
       -IPv4
     • A類私有IP地址：10.0.0.0～10.255.255.255
     • B類私有IP地址：172.16.0.0～172.31.255.255
     • C類私有IP地址：192.168.0.0～192.168.255.255

4. IPv6地址類型（IPv6 沒有廣播地址）

   • 單播：唯一標識支持 IPv6 的設備上的接口，發送到單播地址的數據包由該地址分配的接口接收。
     • 全局單播
       • 目前僅分配了含有前 3 位 001 或 2000::/3 的全局單播地址
       • 48位：全局路由前綴
       • 16位：子網ID
       • 64位：接口ID
       • 全局單播地址的動態配置
         • 無狀態地址自動配置 (SLAAC)，不需要DHCPv6服務器
         • DHCPv6服務器
         • SLAAC和DHCPv6服務器共同分配
     • 本地鏈路
       • 每個支持 IPv6 的網絡接口都要求具有一個本地鏈路地址
       • 范圍是 FE80::/10 - FEBF::/10
     • 環回（::1/128）出最后一位其余全0
     • 未指定地址(::/128) 全0
     • 唯一本地(FC00::/7 - FDFF::/7)
     • 嵌入的IPv4
   • 組播
   • 任意播

5. IPv6 前綴格式

   • IPv6 地址/前綴長度
   • 前綴長度的范圍為 0 到 128
   • 典型的前綴長度是 /64
   • 例子：2001:0DB8:000A::/64

6. 子網划分

2. 第二部分

1. 以太網發展主要原因

   • 開放標准
   • 結構簡單
   • 持續技術改進
   • 網絡可平滑升級

2. CSMA/CD--帶沖突檢測的載波監聽多點訪問

    發前先偵聽，空閑即發送，
    邊發邊檢測，沖突時退避。
   

3. 設備

   • 網橋：可將兩個或多個地址兼容的網段連接起來，可以自主學習。
   • 交換機：本質——鏈路的邏輯拓展，交換機是基於mac來工作，可以隔離沖突域不可以隔離廣播域。
     • 沖突域是數據必然發送到的區域。HUB組成的網絡是一個沖突域。交換機的一個接口下的網絡是一個沖突域，所以交換機可以隔離沖突域。
     • 廣播數據時可以發送到的區域是一個廣播域。交換機對廣播幀是透明的，由交換機組成的網絡是一個廣播域。路由器的一個接口下的網絡是一個廣播域。所以路由器可以隔離廣播域。
     • 轉發方式：
       • 存儲轉發：整個幀完整接收后，對幀進行差錯檢驗，然后再進行轉發操作。
         • 優點：進行差錯校驗，錯誤不會擴散到目的網段
         • 缺點：延遲比較大
       • 直通轉發：只要收到幀的前6個字節（目的MAC地址），就開始進行轉發操作。
         • 優點：交換延遲小
         • 缺點：無法進行差錯校驗，幀錯誤會擴散到目的網段
       • 無碎片直通轉發：接收到一幀的前64字節后，再進行轉發操作；於64字節的幀一般是沖突造成的幀碎片
         • 優點：交換速度較快，並且降低了錯誤幀轉發的概率
         • 缺點：長度大於64字節的錯誤幀仍會轉發，轉發延時大於直通轉發
     • 交換機作用：
       • 維護CAM表：該表是交換機的端口和各計算機MAC的映射表
       • 根據CAM表進行數據幀的轉發
     • 交換機對幀的處理：
       • 源端口和目的端口不能相同
       • 未指定目的端口，則除源端口外都轉發
       • 有指定目的端口，轉發
     • 三層交換機
       • 局域網必須通過路由器與公網實現跨地域互聯
       • 三層交換機不具有同時處理多個協議的能力
     • 交換機的五種基本操作
       • 學習/獲取：交換機會學習收到的數據幀的源MAC地址
       • 過期：通過學習過程學習到的MAC條目具有時間戮，此時間戮用於從MAC表中刪除舊條目
       • 泛洪：交換機將幀發送到除接收端口以外的其它所有端口的過程稱為泛洪
       • 選擇性轉發：檢查幀的MAC地址后，將幀從適當的端口轉發出去的過程稱為選擇性轉發
       • 過濾：在某些情況下，幀不會被轉發
     • 生成樹目的
       • 在數據鏈路層以及物理層實現冗余
         • 物理層冗余問題：
           • MAC 數據庫不穩定
         • 數據鏈路層冗余問題：
           • 廣播風暴
           • 重復的單播幀
     • 生成樹的運行
       • BPDU 是交換機之間為 STP 交換的消息幀
       • 選根橋、選根口、選指定口
     • 鏈路聚合
       • 鏈路聚合是指創建由多條物理鏈路組合而成的邏輯鏈路
       • 以太網通道(EtherChannel)是交換網絡中使用的一種鏈路聚合的形式
       • 鏈路聚合能夠使用兩台設備之間的多個物理鏈路創建一個邏輯鏈路40
   • 網卡功能以及對應的結構
     • 數據緩存------發送/接收控制部件及數據緩沖區
     • 封裝/解封裝
     • 介質訪問控制------載波檢測部件
     • 串/並轉換
     • 數據編碼/解碼------編碼/解碼器
     • 數據發送/接收------發送/接收部件
   • VLAN
     • 分類
       • 默認VLAN：VLAN 1 具有VLAN的所有功能，但是不能對它進行重命名，也不能刪除
       • 管理VLAN：
         • 絡管理員在交換機上配置並用於訪問交換機管理功能的VLAN
         • 需要為管理 VLAN 分配 IP 地址和子網掩碼
         • 大多數交換機廠家出廠配置中，默認使用VLAN 1充當管理 VLAN
       • 數據VLAN：只傳送用戶產生的流量
       • 語音VLAN：使用單獨的VLAN來支持IP語音(VoIP)
       • 本征VLAN

3. 第三部分

1. 路由協議

   • 路由信息協議（RIP）
   • 增強型內部網關路由協議（EIGRP）：綜合了距離矢量和鏈路狀態2者的優點
     • 特點：
       • 快速收斂
       • 部分更新
       • 支持多種網絡層協議
       • 使用多播和單播
       • 支持變長子網掩碼
       • 無縫連接數據鏈路層協議和拓撲結構
       • 配置簡單
   • 開放式最短路徑優先協議（OSPF）
   • 中間系統到中間系統路由協議（IS-IS）
   • 邊界網關協議（BGP）

2. 路由表

   • 路由表包含的信息
     • 目的子網（子網號和子網掩碼）
     • 指出路由器發送數據包到下一台路由器或主機的方向（出口和下一跳路由器）
   • 顯示路由表命令
     • show ip route
     • show ip protocols：查看ip路由協議配置和統計信息
   • 路由加入路由表的方法
     • 直連路由，up狀態下，加入該接口所在的本地直連子網路由
     • 靜態路由，手動添加
       • 命令：ip route 網絡號 子網掩碼 下一跳地址（出口地址）
     • 動態路由，路由協議自主學習

3. 路由算法：路由協議的核心

   • 路由協議使用路由算法來路由信息並確定最佳路徑
   • 路由表的構建和維護也是由路由算法負責的
   • 路由算法設計目標
     • 快速收斂
     • 穩定性
     • 靈活性
     • 簡潔性
     • 最優性

4. 管理距離

   • 管理距離是從 0 到 255 的整數值
   • 值越低表示路由來源的優先級別越高
   • 管理距離值為 0 表示優先級別最高
   • 管理距離值為 255 表示路由器不信任該路由來源，並且不會將其添加到路由表中

5. 直連路由

6. 靜態路由

   • 靜態路由一般不會發生變化
   • 優先級最高
   • 適用環境
     • 網絡中僅包含幾台路由器
     • 以集中星形拓撲結構配置的大型網絡

7. 默認路由（缺省路由）

   • 當數據包的目的地址不與路由表中的任何路由相匹配時，則按照默認路由發送該包
   • 命令：0.0.0.0 0.0.0.0代表任意地址和任意掩碼
     • ip route 0.0.0.0 0.0.0.0 下一跳（出口）

8. 動態路由協議

   • 內部網關協議
     • 距離矢量協議（網絡不需要分層、特定的結構中、收斂速度無要求）
       • 有類RIP
       • 無類RIPv2、EIGRP
     • 鏈路狀態協議（網絡有分層、大型網絡、收斂速度要求高）
       • 無類OSPFv2、IS-IS
   • 外部網關協議
     • 路徑矢量協議
       • 有類EGP
       • 無類BGPv4

9. 距離矢量路由協議

   • RIPv1、RIPv2
   • IGRP、EIGRP

10. 路由表更新

    • 定期更新
      • RIP：每隔30s以廣播的形式發送
      • IGRP：每隔90s以廣播的形式發送
    • 拓撲結構發生變化的原因
      • 鏈路故障
      • 增加新路由
      • 路由器故障
      • 鏈路參數改變
    • 無效計時器（超時計時器）
      • RIP：180s
      • EIGRP：270s
    • 刷新計時器
    • 抑制計時器
      • 穩定路由信息
      • 防止路由環路
    • 限定更新
    • 觸發更新

• 路由環路
  • 原因
    • 靜態路由配置錯誤
    • 路由重分布配置錯誤
    • 發生改變的網絡的收斂速度緩慢，不一致的路由表未能得到更新
  • 避免環路機制
    • 定義最大度量值以防止計數到無窮大
    • 水平分割技術
      • 路由器不能把那些從它的某個接口學習到的路由再從同一接口通告出去
    • 路由毒化
      • 更新時設置不可達
    • 毒性反轉：主要目的是達到快速收斂
      • 毒性反轉是指收到路由毒化消息的路由器，不遵守水平分割原則將毒化消息轉發給所有的相鄰路由器，也包括發送毒化信息的源路由器
    • 控制更新時間
    • 觸發更新

11. RIP的配置（默認version1，可以設置version2）

    • 命令：
      • router rip
      • network 網絡號
    • 禁用RIPv2中的自動匯總
      • no auto-summary

12. EIGRP路由協議

    • EIGRP度量
      • 默認復合度量=帶寬+延遲
      • 可靠性
        • 動態測得，0-255，越大越可靠
      • 負載
        • 動態測得，0-255，越低越好
    • EIGRP消息格式
      • 操作碼：用於指定EIGRP數據包類型
        • 1=更新
        • 2=請求（EIGRP不用這個類型）
        • 3=查詢
        • 4=應答
        • 5=Hello
        • 6=IPX SAP
        • 7=特殊（用於鄰居探測）
        • 8=確認
    • EIGRP協議運行過程
      • 發現鄰居並建立鄰接關系
      • 建立拓撲表
      • 計算路由表
    • 配置命令
      • router eigrp as編號（1-65535）
      • network 網絡號/**

13. OSPF路由協議配置命令

    • router ospf id（1-65535）
    • network 網絡號 子網掩碼反碼 area ospf區域
    • ip ospf priority level（0-255）：設置優先級

14. 環回地址配置命令

    • interface loopback number
    • ip address IP地址 子網掩碼

考題預測

名詞解釋

• 解釋IP特性（太簡單了，會不會送分呢？）
  • 不可靠、無連接、盡力而為、與介質無關，工作獨立於傳輸數據的介質
• 解釋IPv6全局單播
  • 類似於公有 IPv4 地址、全局唯一、Internet 可路由地址、可以靜態配置也可以動態配置
• 解釋TIPv6本地鏈路
  • 用於與同一本地鏈路上的其他設備通信、限於單個鏈路 - 在鏈路外不能路由、在IPv6中，術語鏈路指的是子網
• 解釋IPv6環回
  • 主機用它來向自身發送數據包，並且不能將其分配給物理接口
  • 通過對 IPv6 環回地址執行 ping 操作可以測試本地主機上的 TCP/IP 配置
  • 除最后一位外都為 0，用 ::1/128 或只用 ::1 表示
• 解釋IPv6未指定地址
  • 全 0 地址用 ::/128 或只用 :: 表示
  • 不能分配給接口，並且只能用作源地址
  • 當設備沒有永久 IPv6 地址或數據包的源與目的地無關時，將未指定地址用作源地址
• 解釋IPv6唯一本地
  • 類似於 IPv4 私有地址
  • 用於站點內或有限數量的站點之間的本地編址
  • 在 FC00::/7 至 FDFF::/7 范圍內
• 解釋CSMA以及CSMA/CD
  • CSMA載波監聽多路訪問
  • CSMA/CD載波偵聽多路訪問/沖突檢測
• 解釋網橋
  • 可將兩個或多個地址兼容的網段連接起來
• 廣播風暴
  • 廣播數據充斥網絡無法處理，占用大量網絡帶寬，導致正常業務不能運行
• 泛洪
  • 交換機將幀發送到除接收端口以外的其它所有端口的過程稱為泛洪
    -沖突域、廣播域（這個也很簡單，會考嗎）
• BPDU
  • 橋協議數據單元
• 解釋鏈路聚合
  • 鏈路聚合能夠使用兩台設備之間的多個物理鏈路創建一個邏輯鏈路。 這使物理鏈路之間能夠進行負載共享，而不是通過 STP 來阻塞一個或多個鏈路。 EtherChannel 是交換網絡中所使用的一種鏈路聚合形式。
• （VLAN的分類這里看一下吧，對這里沒啥感覺）
• 解釋默認VLAN：
  • VLAN 1 具有VLAN的所有功能，但是不能對它進行重命名，也不能刪除
• 解釋管理VLAN：
  • 絡管理員在交換機上配置並用於訪問交換機管理功能的VLAN
  • 需要為管理 VLAN 分配 IP 地址和子網掩碼
  • 大多數交換機廠家出廠配置中，默認使用VLAN 1充當管理 VLAN
• 解釋數據VLAN：只傳送用戶產生的流量
• 解釋語音VLAN：使用單獨的VLAN來支持IP語音(VoIP)
• 解釋本征VLAN：充當中繼鏈路兩端的公共標識
• 解釋RIP：路由信息協議
• 解釋EIGRP：增強型內部網關路由協議
• 解釋OSPF：開放式最短路徑優先協議
• 解釋IS-IS：中間系統到中間系統路由協議
• 解釋BGP：邊界網關協議
• 解釋AD：管理距離（AD）就是路由器用來做出判斷的一個指標
• 解釋IGP：內部網關協議，設計應用於一個自治系統內部的路由協議
• 解釋EGP：外部網關協議，設計應用於不同自治系統之間的路由協議
• 解釋直連路由：字面意思
• 解釋靜態路由：路由器中設置的固定的路由表
• 解釋默認路由：缺省路由，數據包的目的地址不與路由表中的任何路由相匹配時，則按照默認路由發送該包
• 解釋動態路由：路由器之間通過路由協議動態地構建路由表
• 解釋距離矢量協議：距離和方向構成的矢量來通告路由信息
• 解釋鏈路狀態協議：獲取所有其他路由器的信息來創建網絡的拓撲結構
• 解釋水平分割技術：路由器不能把那些從它的某個接口學習到的路由再從同一接口通告出去
• 解釋路由環路：數據包在一系列路由器之間不斷傳輸卻始終無法到達其預期目的網絡的一種現象
• 解釋路由毒化以及毒性反轉：
  • 路由毒化：用於在發往其他路由器的路由更新中將路由標記為unreachable（不可達）
  • 毒性反轉：毒性反轉是指收到路由毒化消息的路由器，不遵守水平分割原則將毒化消息轉發給所有的相鄰路由器，也包括發送毒化信息的源路由器
• 可行距離：如果路由器發現至同一目的網絡的多個路徑的度量值不同，則擁有最小度量的路徑即為該目的網絡的可行距離
• 通告距離：指通往目的網絡路徑上下一跳路由器到目的網絡的路徑度量值，即鄰居的可行距離
• 后繼路由器：指用於轉發數據包的一台相鄰路由器，它具有通向目的網絡最低開銷的路由；如果存在多條開銷最小的等值路由，則有多台后繼路由器
• 解釋資源隔離：資源隔離是將不同的資源划歸為同一個安全區域
• 解釋安全區域：安全區域是屬於同一個物理或者邏輯組織的一組資源集合
• NAT：網絡地址轉換，把在內部網絡中使用的私有IP地址轉換成可在外部網絡中使用的NIC注冊IP地址，對外部網絡隱蔽內部網絡的結構。
• 解釋訪問控制列表：經過路由器的數據報進行過濾

簡述題

• IPv6中獲取路由器信息的三種方式
  • 僅SLAAC：路由器返回通告即可
  • SLAAC 和 DHCPv6：使用 RA 消息中包含的信息並從 DHCPv6 服務器獲取其他信息，無狀態 DHCPv6
  • 只使用 DHCPv6：備不使用 RA 中的信息，向DHCPv6服務器進行請求，有狀態 DHCPv6
• 以太網發展原因
  • 開放標准，獲得眾多服務提供商的支持
  • 結構簡單，管理方便，價格低廉
  • 持續技術改進，滿足用戶不斷增長的需求
  • 網絡可平滑升級，保護用戶投資
• 有源光網絡與無源光網絡的區別
  • 有源
    • ODN全部由有源器件組成、傳輸容量大、傳輸距離遠、技術成熟、給有源設備供電困難、投資成本高
  • 無源
    • ODN (光分配網絡)沒有任何有源電子設備、無源光網絡設備簡單，便於維護，壽命長，投資相對也較小、無源光網絡設備組網靈活，支持多種拓撲結構、無源光網絡設備安裝方便、無源光網絡適用於點對多點通信，進而適合匯聚多用戶
• 網橋特點
  • 具有過濾功能，減少網絡擁塞
  • 網橋擴展了LAN的有效長度
  • 防止錯誤擴散，網橋隔斷了某些潛在的網絡故障
  • 提高了安全性
  • 為了提供容錯能力，可以用多個網橋連接網段；用了IEEE 802.1D “生成樹算法”，有效防止回路的產生
• 交換機轉發方式
  • 存儲轉發：整個幀完整接收后，對幀進行差錯檢驗，然后再進行轉發操作
    • 優點：進行差錯校驗，錯誤不會擴散到目的網段
    • 缺點：延遲比較大
  • 直通轉發：只要收到幀的前6個字節（目的MAC地址），就開始進行轉發操作
    • 優點：交換延遲小
    • 缺點：無法進行差錯校驗，幀錯誤會擴散到目的網段
  • 無碎片直通轉發：接收到一幀的前64字節后，再進行轉發操作。小於64字節的幀不轉發，小於64字節的幀一般是沖突造成的幀碎片
    • 優點：交換速度較快，並且降低了錯誤幀轉發的概率
    • 缺點：長度大於64字節的錯誤幀仍會轉發，轉發延時大於直通轉發
• 網卡功能以及對應的結構
  • 數據緩存------發送/接收控制部件及數據緩沖區
  • 封裝/解封裝
  • 介質訪問控制------載波檢測部件
  • 串/並轉換
  • 數據編碼/解碼------編碼/解碼器
  • 數據發送/接收------發送/接收部件
• 交換機的五種基本操作
  • 學習/獲取：交換機會學習收到的數據幀的源MAC地址
  • 過期：通過學習過程學習到的MAC條目具有時間戮，此時間戮用於從MAC表中刪除舊條目
  • 泛洪：交換機將幀發送到除接收端口以外的其它所有端口的過程稱為泛洪
  • 選擇性轉發：檢查幀的MAC地址后，將幀從適當的端口轉發出去的過程稱為選擇性轉發
  • 過濾：在某些情況下，幀不會被轉發
• 寫幾個典型的路由協議
  • 路由信息協議（RIP）
  • 增強型內部網關路由協議（EIGRP）
  • 開放式最短路徑優先協議（OSPF）
  • 中間系統到中間系統路由協議（IS-IS）
  • 邊界網關協議（BGP）
• EIGRP協議特點
  • 快速收斂
  • 部分更新
  • 支持多種網絡層協議
  • 使用多播和單播
  • 支持變長子網掩碼
  • 無縫連接數據鏈路層協議和拓撲結構
  • 配置簡單
• 路由加入路由表的方法
  • 直連路由，up狀態下，加入該接口所在的本地直連子網路由
  • 靜態路由，手動添加
    • 命令：ip route 網絡號 子網掩碼 下一跳地址（出口地址）
  • 動態路由，路由協議自主學習
• 路由表重要規則（我認為不考）
  • 每台路由器根據其自身路由表中的信息進行獨立決策
  • 一台路由器的路由表中包含某些信息並不表示其它路由器也包含相同的信息
  • 有關兩個網絡之間路徑的路由信息並不能提供反向路徑（即返回路徑）的路由信息
• 路由算法按照種類可以分幾種
  • 靜態和動態
  • 單路和多路
  • 平等和分級
  • 源路由和透明路由
  • 域內和域間
  • 鏈路狀態、路徑矢量和距離矢量
• 距離矢量協議的適用
  • 網絡結構簡單、扁平，不需要特殊的分層設計
  • 管理員沒有足夠的知識來配置鏈路狀態協議和排查故障
  • 特定類型的網絡拓撲結構，如集中星型（Hub-and-Spoke）拓撲網絡
  • 無需關注網絡最差情況下的收斂時間
• 鏈路狀態協議的適用
  • 網絡進行了分層設計，大型網絡通常如此
  • 管理員對網絡中采用的鏈路狀態協議非常熟悉
  • 網絡對收斂速度的要求極高
• 拓撲結構發生變化的原因
  • 鏈路故障
  • 增加新鏈路
  • 路由器故障
  • 鏈路參數改變
• EIGRP的特點
  • EIGRP通告路由信息時攜帶掩碼，所以支持VLSM、無類路由和不連續子網
  • 使用擴散更新算法（DUAL），不產生路由環路，不使用抑制計時器
  • 主要依據鏈路狀態選擇到達目標的最佳路徑
  • 使用獨立於協議的模塊，支持不同網絡層協議
  • 大型、多協議網絡環境的理想選擇
  • 不采用定期發送路由更新的方法，使用增量更新機制，提高了帶寬的利用率
• DUAL是EIGRP所用的算法，DUAL提供如下功能：
  • 確定最佳無環路徑
  • 確定無環備用路徑，可立即使用
  • 快速收斂
  • 限定更新以使用最少帶寬
• 鏈路狀態路由信息交換過程
  • 了解直連網絡
  • 向鄰居發送Hello數據包
  • 建立鏈路狀態數據包
  • 將鏈路狀態數據包泛洪給鄰居
  • 構建鏈路狀態數據庫
• 在路由器中，使用3個數據庫表示3個集合
  • 樹數據庫——樹數據庫用來表示集合I
  • 候選對象數據庫——候選對象數據庫對應集合II
  • 鏈路狀態數據庫——這里保存所有鏈路，這個拓撲數據庫對應集合III
• 路由器執行最基本的操作
  • 報文轉發
  • 包過濾
  • 基於網絡的應用程序識別
• 路由器加固方法
  • 加固操作系統
  • 鎖住管理點
  • 禁止不必要的服務
  • 阻斷因特網控制消息協議
  • 禁止源路由
  • 路由器日志查看
• 資源隔離的內容
  • 子網隔離
  • 主機隔離
  • 服務隔離
  • 用戶隔離
  • 數據隔離
• 實現資源隔離的技術
  • 路由器
  • 防火牆
  • 交換機
  • VLAN
• 訪問控制列表的作用
  • ACL具有靈活的基本數據流過濾能力和特定的控制能力
  • 訪問列表可以控制非法的網絡訪問，允許正常的網絡訪問
  • 路由器提供了基本的數據流過濾能力
  • 在路由器接口處，決定哪種類型的通信流量被轉發、哪種類型的通信流量被阻塞
• ACL需求
  • 限制網絡數據流，增加網絡性能
  • 提供數據流控制
  • 為網絡訪問提供基本的安全層
  • 決定轉發或者阻止哪些類型的數據流
• 列舉幾個二層的攻擊
  • MAC地址欺騙攻擊
  • MAC 地址表溢出攻擊
  • STP 操縱攻擊
  • LAN 風暴攻擊
  • VLAN 攻擊

介於老師的想法，OSPF沒有總結太多，對於后面兩種題型也不再多說了。感覺這一部分偏向命令。在命令總結前壓一道子網划分的大題。我這一道題也是有難度的哦，坑還是有的，嘿嘿嘿。

1. 熱身題，某單位申請了一個網絡地址塊 200.1.1.0/24，該單位下設四個部門，主機數分別為：A 部門 100 台，B 部門 60 台，C 部門 25 台，D 部門 20 台，要求為這四個部門分別組建子網。請給出各子網的網絡地址及子網掩碼，並標明每個子網中 IP 地址的范圍。

2. ip段192.168.200.0/23，有三個網段分別有，160，60，20，這幾台主機。請對其進行子網划分，寫出ip地址以及子網掩碼。

3. 進階版，ip段192.168.200.0/23，有三個網段分別有，160，60，30，這幾台主機。請對其進行子網划分，寫出ip地址以及子網掩碼。

常用命令總結

1. VLAN配置

    /*創建vlan 10 並命名*/
    S1(config)#vlan10
    S1(config-vlan)#name VLAN10
    S1(config-vlan)#exit
    
    /**
    *將1-6端口划入vlan 10
    *可以單個依次划入也可以適用range一次性划入	
    */
    S1(config)#inerface range f0/1-5
    S1 (config-if-range)#switchport access vlan 10
    S1(config-vlan)#exit
    S1(config)# interface f0/6
    S1 (config-if)#switchport access vlan 10
    S1(config-vlan)#exit
   
    /*vlan 進行ip地址配置（虛擬ip，類似於網關）*/
    S1(config)#interface vlan 10
    S1(config-if)#ip address 192.168.1.1 255.255.255.0
    S1(config-if)#exit
    
    /**
    *刪除vlan
    *個人認為直接no vlan 即可
    *但是正確步驟如下	
    */
    S1(config)#inerface range f0/1-5
    S1(config-if-range)#no swtichport access vlan 10
    S1(config-if-range)#no int vlan 10
    S1(config)#no vlan 10
   

2. Trunk模式創建(干路端口)

    /*0/1端口設置Trunk*/
    S1(config)#int f0/1
    S1(config-if)#switchport mode trunk		
    S1(config-if)#exit
    
    /*0/1端口關閉Trunk*/
    S1(config)#int f0/1
    S1(config-if)#switchport mode access	
    S1(config-if)#exit
   

3. 配置生成樹協議

    S1(config)#spanning-tree		
    S1(config)#spanning-tree mode mstp
    S1(config)#spanning-tree mst configur
    S1(config)#instance 1 vlan 10
    S1(config)#instance 2 vlan 20
    S1(config)#exit
   
    spanning-tree mst 1 priority 4096
    spanning-tree mst 2 priority 8192
   

4. 鏈路聚合配置

    /*在交換機S1上配置聚合端口*/
    S1(config)#interface aggregateport 1 
    S1(config-if)#switchport mode trunk
    S1(config-if)#exit
    S1(config)# interface range f0/1-2
    S1(config-if-range)#port-group 1
   
    /*在交換機S1上關閉聚合端口*/
    S1(config)#no interface aggregateport 1
   

5. 端口ip配置

    /*在交換機R1上配置ip*/
    R1(config)#interface f0/1
    R1(config-if)#ip address 192.168.1.10 255.255.255.0
    R1(config-if)#exit
   
    /*在交換機S1上關閉ip*/
    R1(config-if)#no ip address 
    R1(config-if)#exit
   

6. 靜態路由配置

    ip route 網絡號 子網掩碼 端口號
    R1(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1
   

7. 默認路由（缺省路由）配置

    R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
   

8. RIP協議配置

    /**
    *可以選則version1/2 
    *network 網絡號 	
    */
    R1(config)#router rip
    R1(config-router)#version 1/2
    R1(config-router)#network 192.168.1.0
    R1(config-router)#network 192.168.2.0
    /*這里寫自己的網絡號，有幾個寫幾個network*/
   

9. OSPF協議配置

    /**
    *OSPF協議一定要跟着進程號
    *network 網絡號 子網掩碼反碼 area ospf區域
    */
    R1(config-router)#router ospf 1
    R1(config-router)#network 192.168.1.0 0.0.0.255 area 0
    R1(config-router)#network 192.168.2.0 0.0.0.255 area 0
    /*這里和RIP差不多，注意聲明area活動區域*/
   

10. 環路端口設置

    /**
    *interface loopback number
    *ip address IP地址 子網掩碼
    */
    R1(config)#interface loopback 1
    R1(config-if)#ip address 192.168.1.1 255.255.255.0
    

11. 訪問控制列表（ACL）

    /*拒絕單個主機訪問*/
    R1(config)#access-list 1 deny 192.168.1.1
    
    /*拒絕網段訪問*/
    R1(config)#access-list 1 deny 192.168.1.0 0.0.0.255（子網掩碼的反碼）
    
    /*允許網段訪問*/
    R1(config)#access-list 1 permit any
    
    /**
    *應用ACL到端口
    *in:表示針對進入這個端口
    *out表示針對從這個端口出去
    */
    R1(config)#interface f0/1
    R1(config-if)#ip access-group 1 in
    
    /*刪除ACL*/
    R1(config)#no access-list 1
    
    /*取消ACL在接口的應用*/
    R1(config)#interface f0/1
    R1(config-if)#no ip access-group 1 in
    

12. NAT配置

    /**
    *靜態地址轉換
    *ip nat inside source static 內部專用地址 內部合法地址
    *內網接口使用inside，外部接口使用outside
    *設置完成后將端口放入設置中
    */
    R1(config)#ip nat inside source static 192.168.1.1 190.160.1.1
    R1(config)#interface f0/1
    R1(config-if)#ip nat inside
    
    /**
    *動態地址轉換
    *為內部網絡定義一個標准的IP訪問控制列表
    *access–list access-list-number permit{deny} local-ip-address
    *為內部定義一個NAT地址池
    *ip nat pool pool-name start-ip end-ip netmask 子網掩碼
    *將訪問控制列表映射到NAT地址集
    *ip nat inside source list access-list-number pool pool-name
    *內網接口使用inside，外部接口使用outside
    *設置完成后將端口放入設置中
    */
    R1(config)#ip nat inside source static 192.168.1.1 190.160.1.1 //將190.160.1.1靜態轉換給WWW服務器
    R1(config)#ip nat pool mypool 190.160.1.2 190.160.1.3 netmask 255.255.255.0
    R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
    R1(config)#ip nat inside source list 1 pool mypool
    R1(config)#int f0/1
    R1(config-if)#ip nat inside
    
    /**
    *端口多路復用
    *在路由器上配置IP地址和IP路由
    *配置好ACL
    *端口映射
    *ip nat inside source list 訪問列表號pool 內部全局地址池的名稱 overload
    *設置完成后將端口放入設置中
    */
    R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
    R1(config)#ip nat inside source list 1 int f0/1 overload
    R1(config)#int f0/1
    R1(config-if)#ip nat inside