章节细解
华为模拟器保存指令(极其重要)
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.0.1 24
[Huawei-GigabitEthernet0/0/1]quit 要进入全局模式才能生效
[Huawei]quit
<Huawei>save 输入之后看到是否保存 然后“Y"即可
一般如果没有保存的话设备关机之后会自动把命令清楚 然后你的配置就全被吃了 所以切记 Cisco的是write
NAT网络地址转换
[Huawei-GigabitEthernet0/0/1]nat static global (转换ip) inside (被转换ip)
在外网的出口出配置 静态全局 静态nat不节约ip地址
如果在这个模式下外网ping内部pc的话是ping不通的 对于外网来说不知道内部ip只知道转换ip
[Huawei]nat address-group 1 112.0.0.4 112.0.0.8 配置nat的ip地址池大小自定义
[Huawei]acl 2000 建立acl等级2000
[Huawei-acl-basic-2000]rule 10 permit source 192.168.0.0 0.0.0.255 允许可使用地址池IP范围
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
反问控制列表 地址池 不做端口地址转换
ACL访问控制列表
[HUAWEI]acl xxx 标准acl
[HUAWEI-acl-adv-xxx] rule xx deny source xx.xx.xx.xx 标准ac只匹配源地址
[HUAWEI-acl-adv-2000]quit
[HUAWEI]interface g0/0/0
[HUAWEI-GigabitEthernet0/0/0]traffic-filter inbound acl xxx
以上均为标准
[HUAWEI]acl 3000 源地址 目的地址
[HUAWEI-acl-adv-3000]rule xx permit tcp source xx.xx.xx.xx 0.0.0.0 destination xx.xx.xx.xx 0.0.0.0 destination-port eq 23
[HUAWEI]interface GigabitEthernet0/0/0
[HUAWEI-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 拓展acl匹配源地址和目的地址
VRRP冗余协议
[Huawei-Vlanifxx]vrrp vrid xx virtual-ip xx.xx.xx.xx 设置vrid和 虚拟ip地址 vrid会改变mac的最后两位
[Huawei-Vlanifxx]vrrp vrid xx priority xxx 调整优先级 越大越优先
vrrp只存在于vlanif
stp生成树
[Huawei]stp mode stp 生成树状态
[Huawei]stp priority *** 更改设备优先级
[Huawei-Ethernet0/0/1]stp edged-port enable 配置边缘端口 在带端口模式下
链路聚合
<Huawei>system-view
[Huawei]interface Eth-Trunk 1
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]eth-trunk 1
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]eth-trunk 1
单臂路由/vlan间路由
[Huawei]sysname pc1
[pc1]
[pc1]interface g0/0/0
[pc1-GigabitEthernet0/0/0]
[pc1-GigabitEthernet0/0/0]ip address 192.168.10.1 24
[pc1]ip route-static 0.0.0.0 0 192.168.10.254 配置默认路由
============================================================================
[Huawei]sysname pc2
[pc2]
[pc2]interface g0/0/0
[pc2-GigabitEthernet0/0/0]
[pc2-GigabitEthernet0/0/0]ip address 192.168.20.1 24
[pc2]ip route-static 0.0.0.0 0 192.168.20.254 配置默认路由
============================================================================
[Huawei]sysname pc3
[pc3]
[pc3]interface g0/0/0
[pc3-GigabitEthernet0/0/0]
[pc3-GigabitEthernet0/0/0]ip address 192.168.30.1 24
[pc3]ip route-static 0.0.0.0 0 192.168.30.254 配置默认路由
============================================================================
[Huawei]sysname LSW
[LSW]
[LSW]vlan 10
[LSW-vlan10]quit
[LSW]vlan 20
[LSW-vlan20]quit
[LSW]vlan 30
[LSW-vlan30]quit 建立vlan10 20 30
-----------------------------------------------------------------------------
[LSW]interface Ethernet0/0/1
[LSW-Ethernet0/0/1]port link-type access
[LSW-Ethernet0/0/1]port default vlan 10 将接口改为access模式 然后放入vlan10
-----------------------------------------------------------------------------
[LSW]interface Ethernet0/0/2
[LSW-Ethernet0/0/2]port link-type access
[LSW-Ethernet0/0/2]port default vlan 20 将接口改为access模式 然后放入vlan20
-----------------------------------------------------------------------------
[LSW]interface Ethernet0/0/3
[LSW-Ethernet0/0/3]port link-type access
[LSW-Ethernet0/0/3]port default vlan 30 将接口改为access模式 然后放入vlan30
-----------------------------------------------------------------------------
[LSW-Ethernet0/0/3]interface Ethernet0/0/4
[LSW-Ethernet0/0/4]port link-type trunk
[LSW-Ethernet0/0/4]port trunk allow-pass vlan all 将接口改为trunk模式 然后允许所有vlan通过
=============================================================================
[AR]interface GigabitEthernet 0/0/0.10
[AR-GigabitEthernet0/0/0.10]ip address 192.168.10.254 24
[AR-GigabitEthernet0/0/0.10]dot1q termination vid 10
[AR-GigabitEthernet0/0/0.10]arp broadcast enable 配置子接口 封装vid为10的dot1q允许arp询问
-----------------------------------------------------------------------------
[AR]interface GigabitEthernet 0/0/0.20
[AR-GigabitEthernet0/0/0.20]ip address 192.168.20.254 24
[AR-GigabitEthernet0/0/0.20]dot1q termination vid 20
[AR-GigabitEthernet0/0/0.20]arp broadcast enable 配置子接口 封装vid为20的dot1q允许arp询问
-----------------------------------------------------------------------------
[AR]interface GigabitEthernet 0/0/0.30
[AR-GigabitEthernet0/0/0.30]ip address 192.168.30.254 24
[AR-GigabitEthernet0/0/0.30]dot1q termination vid 30
[AR-GigabitEthernet0/0/0.30]arp broadcast enable 配置子接口 封装vid为30的dot1q允许arp询问
可能说废话会很多 但是我个人觉得这是没理解的地方 它里面配合着vlan的tag 和access与trunk vlan的尿性
OSPF
[AR3]ospf
[AR3-ospf-1]
[AR3-ospf-1]area 1
[AR3-ospf-1-area-0.0.0.1]
[AR3-ospf-1-area-0.0.0.1]network x.x.x.x o.o.o.x
以上是宣告ospf路由
display ospf interfae verboes (显示ospf的接口信息)
display ospf peer brief (显示ospf的路由状态可看到ospf的邻居状态)
display ospf interface (显示接口状态 可以看到DR和BDR)
查看配置
[Huawei]dis current-configuration
[Huawei]dis current-configuration | include IP routeing
include 包括的意思
[cisco] show run | se r o
路由器查看路由表
[Huawei]display ip routing-table 华为
[cisco]show ip route 思科
路由器配置静态路由
[Huawei]ip route-static x.x.x.x (目标IP地址) xx(目标掩码) x.x.x.x(下一跳IP地址)
[Huawei]ip route-static x.x.x.x(目标IP地址) xx(目标掩码) gx/x/x(目标端口)x.x.x.x (下一跳ip地址)一般情况下不要这么写 因为这个是指定端口出去 没有指定ip所以它会用到arp代理 然后arp获取的路由表就会指数级上升
Cisco的指令和这个大同小异直接ip rout 肉其他都一样 由于没安装Cisco的模拟器所以我就不示范了 以后会整理出来
路由器/交换机打开文件夹
<Huawei>dir //记住是在全局情况下
Directory of flash:/
Idx Attr Size(Byte) Date Time FileName
0 drw- - Aug 06 2015 21:26:42 src
1 drw- - May 06 2020 22:45:32 compatible
32,004 KB total (31,972 KB free)
更改cost值
[Huawei]ospf
[Huawei-ospf-1]bandwidth-reference XXXX(更改的变量)
公式是100/带宽(一百就是我们要更改的默认值)
[cisco]router ospf 1
[cisco]network x.x.x.x x.x.x.x area x
创建vlan
[Huawei]sysname SW4
[SW4]undo info enable //屏蔽控制台的日志
[SW4]vlan 10 //vlan就已经创建好了 不过是二层的
接口划分vlan
[SW4]interface g0/0/1
[SW4-GigabitEthernet0/0/1]port link-type access //设置接口类型
[SW4-GigabitEthernet0/0/1]port default vlan 30 //接口加入valn30
三层vlan
[SW4]vlan 20 //在已有2层vlan的前提下建立三层vlan
[SW4-vlan20]quit
[SW4]interface vlanif 20 //建立三层vlanif
[SW4-Vlanif20]ip address 192.168.1.254 24 //设置vlanifIP地址 可以达到vlan路由的效果
浮动路由
[Huawei]ip route-static x.x.x.x xx x.x.x.x preference 1-255
这里设置的是路由的AD值 因为浮动路由是建立在路由优先级上的
后面preference优先级可自己更改
如果上一个浮动路由死亡第二个浮动路由就会顶上去出现在路由表上 知道第一个浮动路由出现
黑洞路由
[Huawei]ip route-static x.x.x.x(IP地址) NULL 0
记住是在全局模式下配置垃圾桶路由
链路聚合和
[SW4]interface Eth-Trunk 1 //建立链路聚合标志性的 eth_trunk
[SW4-Eth-Trunk1]trunkport GigabitEthernet 0/0/1 to 0/0/2 //加入链路聚合的接口
[SW4-Eth-Trunk1]port link-type access/trunk //设置链路聚合的类型
[SW4-Eth-Trunk1]port trunk allow-pass vlan 10 //允许通过链路聚合的接口
ICMP协议
icmp属于网络层协议主要管理ping和tracert。
ping是用来监测网络的连通性
tracert 用来显示到达目的主机的路径
ARP协议
arp是根据ip来获取物理地址的一个tcp/ip协议
主机用于带有ip地址的arp请求广播到所有主机上(同网段内)然后接收放回消息并且确定物理地址(MAC)然后将获取的物理地址存储于arp地址表也就是缓存中以方便下一次建立链接时调用
同时也可以作用于arp攻击 具体内容以后补充
TCP协议
tcp是面向传输的可靠协议 一般用于文字聊天 主要特点是掉包时会有补充
UDP协议
udp是面向传输的不可靠协议一般用于视频和语音通话 当掉包时不会补充
MTU
mtu是最大传输单元 数据包可传输的最大载荷 一般如果小包通信可以建立但是大包通信不能实现时极有可能是mtu出问题
NETSTAT
能提供tcp和udp的监控 由于没用过多少 可以寻找到端口对应链接的tcp/udp的ip地址
查询格式为:netstat -nao | find “端口/ip”
IP版图
本地广播地址
主要是针对同网段的广播
比如发个送的广播包是 192.168.30.255 24
那么 广播包只会被30网段的人接受并返回 也就是有了单独性
特殊地址
网络地址/广播地址
这两个地址是每个ip段都拥有的东西 网络地址用来识别网段和子网
而广播地址顾名思义是用来同网段广播所有主机
0.0.0.0 是全局广播地址
127.0.0.1 是本地环回地址(以后会单独整理)
MAC地址
mac地址是二层的地址 每个设备都有独立的mac地址
mac地址有48bit
前24bir是供应商代码
后24bit是产家给设备的编号
VLSM(可边长子网掩码)
由子网掩码的变动来改变所需要的ip段
比加粗样式如:192.168.0.1 24 和192.168.0.1 25 如果想要详细理解先把他们转换为二进制然后用子网为八个1的尿性来划分 比如11111111.11111111.11111111.10000000这个是255.255.255.128 和算计为25 然后这个网段就有128个主机地址 但是要减去网络地址和广播地址 所以只有126个可用主机地址 (以后会跟详细的讲解)
补充:我们以例题来解决问题
ip:168.195.0.0 /16 目的:划若干个子网每个子网内存为700
记住是若干个子网 没有明确指出要分的子网 我们可以设为0
然后我们第一个标准是一个网段上限是1024
第一步:求借多少位2^n>=700 /同样也可以把700划为2进制 那样位数也是10
第二部:求可用主机位2^10=1024-2(去头去尾)=1022可用主机
255.255.00000011.11111111一次容量的范围 这里由于是算容量所以我用的算法和子网不同
255.255.11111100.00000000→255.255.252.0 子网掩码
168.192.00000011.11111111→168.195.3.254 这里是主机位的要减头
168.192.0.1→168.195.3.254 网络地址168.195.0.0 广播是168.195.3.255
168.195.4.1→168.195.7.254 网络地址168.195.4.0 广播是168.195.7.255
升值
题目更新:
ip:192.168.1.0 /24 | 分4个子网 |
---|---|
55台 | 1 |
18台 | 2 |
23台 | 3 |
23台 | 4 |
第一步:计算55台
2^n>=55 n=6 =64
64-2=62 可用主机
192.168.00000001.00 000000借了6位 子网号为00
255.255.255.11 000000 →255.255.255.192 子网掩码 由于没有规定要划多少个相同的子网
192.168.00000001.00 111111 →192.168.1.63 广播地址 主机位全1
192.168.00000001.00 000000 →192.168.1.0 网络地址 主机位全0
192.168.1.0→192.168.1.62 /26 范围
00=2^2=4 有四个子网地址可以分配
第二部:计算23台
2^n>=23 n=5 =32
32-2=30 可用主机
255.255.255.11 00000→255.255.255.11 1 00000 网络位只剩一个了
1=2^1=2即为0/1 →010/011 由于00=000所以不能是00 00=第一个55台的子网号
由于23有2个我们要吧0先给1后给
0:
192.168.1.010 00000→192.168.1.64 0的网络地址
192.168.1.010 11111→192.168.1.95 广播地址
192.168.1.65-94 可用地址
1:
192.168.1.011 00000→192.168.1.96 1的网络地址
192.168.1.011 11111→192.168.1.127 广播地址
192.168.1.97-126可用地址
第三步:计算18台
2^n>=18 n=5
192.168.1.011 00000箭头192.168.1.100 00000 分配一个新的子网号
192.168.1.100 00000→192.168.1.128网络地址
192.168.1.100 11111→192.168.1.159/27 广播地址
192.168.1.129-158可用范围
由于我只需要分4个 原本可以分8个 我就不分了 分了也是这样
数据传输
数据传输的时候每经过一个三层设备的时候
唯一不变的是他的IP源地址和目的地址
变动的是他的MAC源地址目的地址
动态路由
动态路由分为两大板块
第一个板块是外部网关协议
也被称为EGP外部网关协议
但是被BGP淘汰了 原因是因为EGP存在很多局限性
第二个板块是内部网关协议
也被称为IGP内部网关协议 它包括RIP、OFPS、IS-IS、IGRP、EIGRP(对于这些协议以后会有更详细的补充)
静态路由
静态路由就有点古板 是由网络管理员手动配置的
与动态最大的区别就是
静态路由是固定不动的
动态协议是会改变的
路由器的路由选择
路由器是ia阶段第一次接触协议的板块 主要是讲述了协议的优先级 也就是所谓的AD值 同时路由器选择路由线路也是有考究的 基本分三种 也可以说四种
三种路由选择
1.子网掩码的长度 越短越优先
比如192.168.1.1 24与192.168.1.1 25 由于子网掩码的关系所以路由优先级会默认为第二个
2.管理距离(AD)(越小越优先)
华为协议 | AD值 |
---|---|
直连路由 | 0 |
OSPF | 10 |
ISIS | 15 |
静态路由 | 60 |
IGRP | 80 |
RIP | 100 |
O_ASE | 150 |
BGP | 255 |
思科协议 | AD值 |
---|---|
直连接口 | 0 |
静态路由 | 1 |
EIGPR汇总路由 | 5 |
EBGP | 20 |
EIGRP | 90 |
IGRP | 100 |
OSPF | 110 |
IS-IS | 115 |
RIP | 120 |
EGP | 140 |
ODR | 160 |
ExEIGRP | 170 |
IBGP | 200 |
3.开销值/度量值/cost(越小越优先)
每一种路由算法在产生路由表时,会为每一条通过网络的路径产生一个数值(度量值),最小的值表示最优路径。
cost的产生是由路由器的接口来决定的 数据包到达目的之后会根据所经过的路由接口来进行cost的估值 然后进行下一次的判断(适用于ospf)
cost的计算公式是100/带宽(也就是所谓的网速)
cost值里面没有小数点和小数的说法 所有小于1的数都会被判定为1
同时也可以更改cost的公式 就是将100重定量
[Huawei]ospf
[Huawei-ospf-1]bandwidth-reference XXXX(更改的变量)
用俗气点的话就是那条路最近选那个
4.等价路由
等价路由出现在以上三种的值都是一样的时候就会出现
也可以说是以上三个都没有淘汰掉的“同类”就会组成等价路由
即为到达同一个目的 IP 或者目的网段存在多条 Cost 值相等的不同路由路径。
个人曾经理解为“路由汇总”
loop back(回环)
在这个阶段用来充当虚拟地址接口 主要作用是减少路由表的条数 然后可以达成冗余线路和上面所说的等价路由 总结就是比物理线路靠谱 因为loop back是逻辑接口 不会凭空消失或损坏 所以有了固定的值 重要的是它不说物理接口 是一个逻辑的接口 (个人理解,水平较低)
黑洞路由
黑洞路由顾名思义 是删除吞噬路由条目的 比如
我们设置192.168.0.1 24 为垃圾桶路由在设置下一跳的时候后面加null就好
可以对应解决网络中的环路(如果产生环路 不用等他的TTL值消失 直接丢垃圾桶)
然后效果就是只要是通过这个网段的路由全部确认收到之后丢进垃圾桶 不进行下一次转化
浮动路由
又被称为备胎路由 原理是有两条路可以走 其中一条断了还可以继续通信也就是所谓的冗余线路 重点是他的冗余浮动是建立在”路由优先级“上的,用优先级的公式来建立
主要寄宿于AD值
OSPF(开发式最短路劲优先)
ospf是二层中的内部网关协议俗称“IGP”基于“数据链路层” 本身具有学习性 简单说就是采取了“路由选择”为基础运算来选择路由方向 比如最基础的AD值和COST(开销)来决定,通过双方的尿性“最小最优”来取决于衡量。
OPSF协议会每隔30分钟泛洪一次目的是跟新路由表
30分钟是第一次泛洪 再过30分钟又泛洪一次这次是排除第一次到第二次没有发送确认消息的路由器 然后把它“处死”
ospf内部具有”邻居“这个说法 只要开始建立协议 宣告路由之后就会自动的和对方发送”hello“包 和对方产生”邻居“然后双方互换路由表 补全路劲问题
ospf建立邻居有七个过程:
down (双方接口down状态)a路由器和b路由器没有任何关系 没发送邻居建立协议/没有宣告路由
init (初始化状态即单向通信,A收到B的hello/B收到A的hello)发送包时会标识设备在ospf中的名称/“也叫router-id” router-id个人理解是ospf显示的邻居ip地址 它是根据选举出来的 选举的规则是
1.手动更改id
2.逻辑接口 也就是loop back
3.物理接口 接口ip地址 最大的就会被选中然后写入 “Neighbor ID”邻居地址
其中初始化init中会有一个“选举”就是讲选举到的路由协议上面 选举规则是越大越好 其中顺序是“先选举 > 交换hello包 >了解对方的route-id”
路由ip适用于DR选举中的第二选举方法
two-way (双方互相通信状态,彼此收到对方的hello,并且从hello包中读取信息,建立邻居关系)
主要作用就是选举DR和BDR,也就是主路由和副路由 作用是用来管理“范围”路由 通俗来说就是 一个地痞老大 出面的那个 这是DR的作用 BDR就是扶持老大的那个人 扶着收集和DR同等的信息(但不常与DR的管理)然后等到DR也就是我们的老大哥“意外”驾崩之后 继承他的位置 并且DR一旦绑定就不会轻易转移 除非携带DR的设备“非正常死亡”才会转移到BDR
至于DR和BDR的选择是有一个“DR优先级”
DR选举规则:
DR优先级越大越好
DR优先级都是默认为1
DR优先级范围是0~255
DR优先级为0时不参与选举
如果优先级相等就用init上得到的route-id(越大越优)来选举DR
概念:
DR指定路由
收集同一广播或其他的DRtouer信息然后打包发送
注意:
DROTHER在和DR和BDR查看链接状态时会显示FULL(也就是邻接状态)
DROTHER在和DROTHER查看状态时会显示2-way(也就是邻居状态)
邻接状态是会互相发送路由表跟新状态的 也就是隔一段时间跟新路由表
邻居状态是不会互相发送关系 所以会定格在2-way状态 特别注意
DR(大哥)BDR(副大哥)DROTTHER(小弟)
个人思想:关于DR选着 在ospf内优先级统一之后是又router-id来决定DR 不过好像只是在同网段内的最大router-id来决定DR不同网段内的不同决定
比如我之前的实验192.168.23.2是DR 192.168.23.3却是BDR 但由于192.168.23.2<192.168.23.3 按规则来说DR应该是后者
exstart
exchange
loading
full
同时建立邻居之后ospf可在网络中划分一个名叫”骨干区“和”非骨干区“的路由范围 骨干区有且只有一个 骨干区缩写:area 0
建立邻居时发送的数据包:
Hello报文:建立并维护邻居关系。 (前期是建立邻居关系 建立之后才是维护邻居)
DBD报文:发送链路状态头部信息。
LSR报文:把从DBD中找出需要的链路状态头部信息传给邻居,请求完整信息。
LSU报文:将LSR请求的头部信息对应的完整信息发给邻居。
LSACK:收到LSU报文后确认该报文。
**LSU会给DR发送一个IP地址为224.0.0.5和224.0.0.6的数据包 是用来交互信息一般是用来传输LSU和LSA协议
COST
csot只是一个开销值的代表 开销算法是100/带宽 带宽是根据线路改变的 我们只能更改前面的100的值 配置命令已经写在顶端
VLAN
至于vlan这边 通俗点理解就是你给别人开了个一个房 然后他们n个人住进去多人运动
但是vlan房间里面有个潜规则 就是不能串门 只要你进了这个vlan 那么你就只能在这个vlan里面广播 当然不是说完全无法与另一个VLAN房间里面的人进行py交易(想要跟另类房间的人py交易可以加一个交换机/路由器然后线路对接那样你发送的vlan id 通过tuank的数据线路裸奔 以后会记录)
vlan id是在分发数据包的时候携带的一个识别号 作用是不给你随便串门
此id是根据你所处vlan来改变的 每个从vlan里面发出来的消息都会携带数据包 数据包里面就会又vlan id 也叫tag
如果按照正规说法来说就是另一回事
vlan里面分为两种类型
1.VID 需要通过CPU处理(所以到达另一个的时候需要途中转码)
VID按道PVID转化过来的
2.PVID 不用通过CPU处理直接走 速度快
vlan发出来的包是pvid加数据包在单独的路由器/交换机里面游走(vlan接口类型是 assess)
但有多vlan包要通过一条链路时可以把链路模式改为trunk模式
在单独的设备里面传输时vlan发出来的是PVID加数据包 直到要出去访问另一个vlan时 由于要去掉之前的tag所以要“脱衣服”并且在设备传输过程中变换为VID模式 进入对方设备之后在转化为PVID 期间用了dot1q这个“加密”
在vlan中有一个特殊的vlan号 vlan1 至于为什么特殊
是因为别的包比如vlan2/3/4的包要出去或者要进入另一个vlan时会脱衣服转码 而vlan1不会它就是一钉子户
老师说vlan重点就是记住打tag与去tag
每个接口模式都不一样
单臂路由/VLAN间路由/SVL
名字 | 作用和理论 |
---|---|
单臂路由 | 是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通 / 注意 ”子接口“ 这种接口是一中特殊的接口和loop一样 虽然说是逻辑接口但是比物理接口文档 他和loop不同的在于loop是完全独立的一个逻辑接口 而子接口会在原本的接口关闭以后随之关闭 |
vlan间路由 | 上面提到过 vlan是一个虚拟的局域网 它与局域网的区别就是在出入接口的时候都会携带一个”tag“这个tag是vlan的标签 用于识别和帮助管理同一设备间vlan不可通信的问题 vlan也是防止arp请求和好帮手 |
port模式 | 基于上面不得不讲一下接口模式 因为不同的接口模式vlan的tag包会有不同的变化 / 子接口中 入方向打tag 出方向去tag access中 入方向打tag 出方向去tag |
SVL | svl是在三层交换机下配置vlan的IP地址 也可以叫做是虚拟端口 等同于子接口 |
链路聚合
NAME | 作用 |
---|---|
链路聚合 | 将多个网络接口合并到一起 形成一个逻辑接口 合并时它们的带宽会相加 / 主要作用是分担网络负荷 给网络线路提供冗余保护 一般使用的聚合线路都是偶数 |
协议 | LACP 它既是动态协议也是静态协议 同时也是共有协议 / PAGP 它是Cisco的私有协议 基本绝种 |
模拟器 | 华为模拟器不能配置动态lacp 华三可以配置 思科不知道 |
STP 生成树协议 用于交换机
主要目的是防止网络出现环路
防止方法是选举最优路劲 然后堵塞一个最长路劲(出现故障时会开启)
它所发送的包叫做BPDU
选举时有一个明显的区别就是:
NAME | 作用 |
---|---|
ROOT | 根桥 |
RP | 根端口 |
DP | 指定端口 |
NDP | 非指定端口 |
同时stp选举root和一些其他的端口时会有一中规定
NAME | 选举规定 |
---|---|
ROOT/根桥 | 桥ID / 桥ID是由网桥优先级和MAC地址组成 / 网桥的优先级默认是32768 / 选举法则是越小越优 但如果网桥优先级相同 那么 比较MAC地址的优先级 如果设备版卡里面找不到mac地址就去vlan1里面找mac |
RP/根端口 | 最短路劲 / 只要是非根桥设备都会选举出一个RP / 选举时是以root到交换机的最短距离来判定rp的归属 / 如果距离相等 则选举改为端口的桥ID / 如果还是相等选择端口标识最小的那个(没遇到过) / RP的作用是接收最优的BPDU包 |
DP/指定端口 | 在选举完RP之后会开始选举DP / DP的作用是发送最优的BPDU包 / 选举规则也是先cost值然后桥id |
NDP/阻塞端口 | 作用是阻塞数据转发 直接收BPDU的包 / 当发生意外故障时ndp端口会变成dp端口 |
最短路劲:其实就是关于cost值的故事 而cost值又是从带宽转化过来的 但是注意 这里的cost值在之前的公式上用不到 只能背
带宽 | COST |
---|---|
10m | 100 |
100m | 19 |
1000m | 4 |
10000m | 2 |
新设备cost公式 | (2*7^10)/带宽M |
端口状态
NAME | 作用 |
---|---|
Blocking(阻塞状态) | 此时,二层端口为非指定端口,也不会参与数据帧的转发。该端口通过接收BPDU来判断根交换机的位置和根ID,以及在STP拓扑收敛结束之后,各交换机端口应该处于什么状态,在默认情况下,端口会在这种状态下停留20秒钟时间。 |
Listening(侦听状态) | 生成树此时已经根据交换机所接收到的BPDU而判断出了这个端口应该参与数据帧的转发。于是交换机端口就将不再满足于接收BPDU,而同时也开始发送自己的BPDU,并以此通告邻接的交换机该端口会在活动拓扑中参与转发数据帧的工作。在默认情况下,该端口会在这种状态下停留15秒钟的时间。 |
Learning(学习状态) | 这个二层端口准备参与数据帧的转发,并开始填写MAC表。在默认情况下,端口会在这种状态下停留15秒钟时间。 |
Forwarding(转发状态) | 这个二层端口已经成为了活动拓扑的一个组成部分,它会转发数据帧,并同时收发BPDU。 |
Disabled(禁用状态) | 这个二层端口不会参与生成树,也不会转发数据帧。 |
常见问题
当ndp端口转换到rp端口时会消耗50s时间 因为最初的ndp是属于阻塞状态
当pc机接入交换机会需要30s时间才能完成转化 因为电脑一开始不属于阻塞状态
同时也可以配置边缘接口来优化pc接入交换机的时长问题
VRRP/虚拟路由冗余协议
主要特点就是“冗余”
NAME | 作用 |
---|---|
vrrp | 主要特点是冗余 是基于vlan上的虚拟端口形成 / 目的是防止单条路由全部"死亡 " 让同一网络环境pc机有不同的路线来联通 和路由下一条是一样的结果 不过特别的是它是可以选择链接转发的路由器或交换机这样能给网络环境带来跟多的活动性 如果通俗点说就是在家里挖了两条隧道 当你不想让他们都”空闲”时可以利用vrrp来控制数据的通讯路劲 |
优选的条件 | 条件总体依然是优先级,他们的优先级默认的是100 / 不过他待用了arp获取mac地址来路由的擦边球,因为它的存在多数于交换机里面 二层居多 / 他的mac地址表前几位是固定的 决定于他路由的是最后的mac 最后的mac数字是和它的vrid匹配的 不过他会用进制转化过来 / 配置时注意它必带的虚拟ip 网络号可以一样 主机号一定要是254 |
ACL/访问控制列表
NAME | 作用 |
---|---|
ACL/访问控制列表 | 作用于流量的过滤和控制 它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃 访问控制列表被广泛地应用于路由器和三层交换机 |
原理 | 在一个接收或发送的端口上开启ACL来进行流量过滤 根据配置的情况来判断该流量是否通过 如果能就使其通过 否则丢弃 |
收端口 | 如果在收端口配置ACL数据包会先进行ACL判断然后进行路由 in |
发端口 | 如果在发端口进行ACL数据包会先进行路由然后在进行ACL判断 out |
控制列表 | 配置ACL时都会创建一个叫控制列表的东西 里面是配置那条路由可以通过与丢弃的地方 每条规则间隔最好是为10 因为列表的判定是从1开始往下走 如果哪天需要更改就会有跟多的冗余性 但如果有ip地址匹配不到控制条目时华为的是允许所有通过 思科的是拒绝所有通过 |
访问控制列表配置
NAME | 作用 |
---|---|
标准IP访问列表 | 一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。 |
扩展IP访问 | 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。 |
命名的IP访问 | 所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。 |
标准IPX访问 | 标准IPX访问控制列表的编号范围是800-899,它检查IPX源网络号和目的网络号,同样可以检查源地址和目的地址的节点号部分。 |
扩展IPX访问 | 扩展IPX访问控制列表在标准IPX访问控制列表的基础上,增加了对IPX报头中以下几个宇段的检查,它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。 |
命名的IPX访问 | 与命名的IP访问控制列表一样,命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表,同样有标准和扩展之分。 |
以上的配置我只会两种 一种标准ip 一种扩展ip
接下来的是一种利用反掩码来控制奇/偶ip链接的
由于要求R1仅能够学习到R3的奇数位的网络号或是偶数号的网络号.将各个子
网拆成二进制观察规律
192.168.1.0/24192.168.00000001.0/24
192.168.2.0/24192.168.00000010.0/24
192.168.3.0/24192.168.00000011.0/24
192.168.4.0/24192.168.00000100.0/24
192.168.5.0/24192.168.00000101.0/24
192.168.6.0/24192.168.00000110.0/24
192.168.7.0/24192.168.00000111.0/24
192.168.8.0/24192.168.00001000.0/24
可以发现,只要是192.168.x.0/24的x为偶数,则第24位为0,假如为奇,则第24位为1,因此根据此规律和ACL的0为完全匹配1为忽略匹配规则,可以写出如下两个acl,针对第24位进行匹配.
用于奇数位(odd)的网络号:access-list 2 permit 192.168.1.0 0.0.254.0
192.168.00000001.0
000.000.11111110.0
用于偶数(even)位的网络号:access-list 1 permit 192.168.0.0 0.0.254.0
192.168.00000000.0
000.000.11111110.0
acl类型
类型 | 匹配 | 范围 |
---|---|---|
标准ACL | 只能匹配源码地址 | 1-99,300-1999 |
拓展ACL | 匹配ip地址 数据类型 端口号 | 100-199,2000-2699 |
命名ACL | 标准/拓展 | 以上为标准 |
NAT/网络地址转换
个人理解nat就是将私网地址转换为公网地址从而达到访问公网的目的 同时nat里面的讲究也很多
它纠纷于什么外部 内部转换 静态和动态的转换 但是对于我这种道行浅显的人来说能通就行啥都是一把梭嘿嘿嘿。
name | 作用 |
---|---|
NAT | 1.宽带分享:这是 NAT 主机的最大功能。(表示没用过不会)2.安全防护:NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行 portscan(端口扫描) 的时候,就侦测不到源Client 端的 PC 。 (要我说主要作用就是私网地址和公网地址之间的转换) |
NAT状态 | |
---|---|
静态NAT | 是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问 (老师说可以作用于端口映射 用私网的ip和公网ip绑定) |
动态NAT | 是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。(如果有多的公网ip就可以和私网ip组成动态的nat 但是指令那边要建立一个可随机的地址池和dhcp差不多)但是前提就是要拥有多个公网合法ip 和共享单车的原理差不多 一个区域的单车数量是固定的但是需要骑行的人数不是固定的 所以单车都会设置一个停车地点 让用完车的人定点归还单车 即保证了单车的可用性也保证了单车的数量 |
端口多路复用PAT | 内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。(老师说现在ip地址还没枯竭的原因最大的就是因为这个 极大的减少了公网ip的需求,它利用源端口将多个内部本地地址映射到一个内部全局地址)要我个人理解就是用一个公网ip支持多个内网ip访问公网 |
私网ip地址 | 范围 |
---|---|
A类网 | 10.0.0.0~10.255.255.255 /8 |
B类网 | 172.16.0.0~172.31.255.255 /12 |
C内网 | 192.168.0.0~192.168.0.0 /16 |
这就是旅行的终点
先不谈官方的话语 nat是我ia的最后一节课 也是这篇草稿的终点 这篇草稿是我第二次学ia时顺便写的 我希望自己或者以后有人看到的时候能够把有瑕疵的地方私信给我完善 我希望不只是依靠我一个人的力量来支援“未来” 我知道这样不好做但是我以后还是会这样不断的记录 不论是为了我自己还是为了以后来这里寻求答案的你们 我希望创造一个环境,这个环境需要人来维护 改正 完善 直到没有瑕疵 那才是我希望中的终点。
我是个职高的透明鬼 我想给自己一个机会 …
点燃火把 迎接黑暗
世界很大我们都需去看看
做人一定要确定自己的目标 有目标的人才不会轻易迷茫
我还是会跟新我的草稿我会将它修正到无可指点为止——2020/6/ 23:15 PX著
QQ:3187440464(如果有需要修改的地方请叫我)
转载:https://blog.csdn.net/weixin_45976683/article/details/105825748