1.IP地址的作用:在一定范围,唯一的标示,一个上网的设备;
2.子网掩码的作用:区分IP地址中的网络位和主机位,必须与IP地址一一对应,成对出现;
3.子网掩码中1所对应的IP地址中的位,称之为网络位;子网掩码中0所对应的IP地址中的位,称之为主机位;
4.子网掩码特点:
#与IP地址一一对应;
#1和0永远是连续的,不会交叉出现;
#左边永远是1,右边永远是0;
相关易混淆概念:
-反掩码 (inverse-mask)
即将掩码中的1和0互相变化就可以了。
-通配符(wildcard bits)
0和1可以交叉出现,也可以不交叉;
5.IP地址的分类:
目的:便于IP地址的管理; 原则:看IP地址中第一个字节前面几个固定的bit
A类:第一个字节的,前面1个bit是0 则称位A类,范围0-127 默认掩码255.0.0.0
B类:第一个字节的,前面2个bit,如果是10 ,则称为B类,范围128-191 默认掩码255.255.0.0
C类:第一个字节的,前面3个bit,如果是110,则称之为C 192-223 默认掩码 255.255.255.0
D 类:第一个字节的,前面4个bit,如果是1110,则称之为D 224-239 无掩码
E类:剩下的 240-255 实验室保留使用
6.特殊的IP地址(不能用-不能配置在网络设备上):
网络地址:IP地址中的主机位,全为0。该IP称之为网络地址 代表的是一个范围/区域, 不代表任何设备;
广播地址:IP地址中的主机位,全为1。该IP称之为广播地址 代表的是一个范围/区域中的所有设备;
0和127开头的地址,不可以直接配置在设备上;
7.网络地址相同,则为同网段
________________________________________
IP地址面临的问题:
1.IP地址空间不足 2. IP地址浪费,进一步导致可用地址空间不足;
解决方案:
1.私有地址/公有地址:任何一个机构、组织或者单位,都可以免费的、重复使用的IP地址空间;使用该类型的IP地址,不可以上网;
A类的私有IP地址:10.0.0.0 ---- 10.255.255.255 (10.0.0.0/8)
B类的私有IP地址: 172.16.0.0 ---- 172.31.255.255 (172.16.0.0/12)
C类的私有IP地址:192.168.0.0 ---- 192.168.255.255 (192.168.0.0/16)
D类的私有IP地址:239.0.0.0 ---- 239.255.255.255 (239.0.0.0/8)
2.子网划分
3.IPv6
________________________________________
十六进制:所有的数的基本组成元素:0-9,a,b,c,d,e,f
应用场景:
1.硬件的物理地址表示(网卡地址)
2.存储数据的时候,使用的是16进制
3.数据报文分析软件中的数值表示
表示方法:在所有的16进制数值前面,必须得加 0x
与2进制的关系:1 个16进制,等同于 4 个2进制;所以,2个16进制,等同于 1 个字节;
________________________________________
举例1:
有一个公司,叫XXXX,有3个部门,每个部门50个主机,每个部门必须使用不同的IP网段,每个部门必须尽量减少IP地址的浪费,老大给了我,一个段:192.168.1.0/24
解题思路:
1.首先需要计算出主机位的个数,假设为n,那么每个新网络的主机IP地址数量为2的n次方
2.2的n次方必须大于等于每个新网络的需求的主机数:2的n次方 - 2 >=50 ,所以,n>=6( 减2,表示的是将每个网段中的2个特殊IP地址排除在外,即网络地址和广播地址;)
3.基于计算出来的主机位,确定新网络的子网掩码;子网掩码=32-6 ,即 /26 ;
4.所以新的网络应该是:
192.168.1.0000 0000 /26
192.168.1.0 /26
192.168.1.63 /26
192.168.1.0100 0000 /26
192.168.1.64 /26
192.168.1.127 /26
192.168.1.1000 0000 /26
192.168.1.128 /26
192.168.1.191 /26
192.168.1.1100 0000 /26
192.168.1.192 /26
192.168.1.255/26
________________________________________
举例-2:
有一个公司,叫XXXX
有6个部门
每个部门60个主机
每个部门必须使用不同的IP网段
每个部门必须尽量减少IP地址的浪费
老大给了我,一个网段:192.168.1.0 /24
192.168.1.0 /24
192.168.0.0 /24
--------------------
192.168.0.0 /23
192.168.0000 0000 .0000 0000
-----------------------------------------------
部门1:
网络地址-192.168.1.0 /26
广播地址-192.168.1.63 /26
部门2:
网络地址-192.168.1.64 /26
广播地址-192.168.1.127 /26
部门3:
网络地址-192.168.1.128 /26
广播地址-192.168.1.191 /26
部门4:
网络地址-192.168.1.192 /26
广播地址-192.168.1.255 /26
部门5:
网络地址-192.168.0.0 /26
广播地址-192.168.0.63 /26
部门6:
网络地址-192.168.0.64 /26
广播地址-192.168.0.127 /26
1个,大网---->多个,小网:子网划分;
多个,小网---->1个,大网:网络汇总/汇聚
交换机的由来:
主机之间的通信需要网线的连接,但网线的传输距离有限(一根网线一般不超过80米)因此需要引入设备来解决:(设备的发展历程)
1.中继器 :作用放大信号,延长信号的传输距离;缺陷:接口太少仅有2个;
2.集线器:多端口的中继器;缺陷:连接的多个设备之间容易产生信号冲突,所连设备属于同一个冲突域;(冲突域:电信号的冲突范围)
3.引入机制-CSMA/CD:即带有冲突检测的载波侦听多路访问机
4.网桥:可以分割冲突域,每个端口都属于一个不同的冲突域;缺陷:仅有两个端口
5.交换机:即多端口的网桥,交换机的每一个端口都属于不同的冲突域;
备注:中继器,集线器:不能分割冲突域,因为这两个设备的工作对象,就是电信号;
网桥,交换机:可以分割冲突域,因为这两个设备的工作对象,不是电信号,是具有一定格式的“帧”
数据在每层OSI模型的称呼:
OSI模型 信号表示 常见设备
1. 物理层 0,1比特流(电信号) 网线、中继器、集线器
2.数据链层 帧 网桥、交换机
3.网络层 包 路由器
4.传输层 段
5.应用层 数据流
________________________________________
网络设备的构成:
1.硬件:内存——RAM(随即读取内存),CPU,flash——硬盘,ROM(read-only memory)只读存储器,nvram非易失性内存
2. 软件:系统文件----IOS(internet operating system),配置文件---running-config(正在运行的配置文件,保存在RAM内存中,断电时,容易丢失),配置文件 ----startup-config(开机启动时加载的配置文件,保存在nvram中,设备断电时,文件不会丢失);
________________________________________
网络设备的基本配置:
1.由特权模式退出到用户模式只能使用“disable”命令;
2.end命令是直接退出到特权模式
3.show running-config(特权模式下)查看正在运行的配置;show startup-config 查看开机启动配置
4.write(特权模式下)将已经配置好的内容保存到开机配置文件中,即将 running-config 中的内容“复制”到 startup-config
________________________________________
网络设备的管理方式:
一,本地管理:用console线(反转线)连接电脑console口(网络设备自带),通过该端口输入命令时,有一个默认的超时时间,为10分钟;
备注:如何关闭超时功能1.Cisco(config)#line console 0 //进入 console 口;2.isco(config-line)#exec-timeout 0 0
二,远程管理:即通过网络对设备的管理IP地址(管理接口 - line vty
),进行访问,默认情况下,远程访问是需要密码的并且特权密码,是一定需要配置的;
注意:不同类型的设备,所支持的 vty 的数量不同;远程连接在占用 vty 的线路时,是按照 line number 的 大小,从小向大依次选择使用的。line vty 下面的认证功能默认是打开的。我们也可以关闭但是不建议这样做,不安全!
________________________________________
配置命令如下:
1.配置本地登录密码(默认情况下,console 登录方式是不需要密码的):
Cisco(config)#line console 0
Cisco(config-line)# password nihao //登录密码;
Cisco(config-line)# login // 启用认证功能;
2.配置特权密码(删除密码则在命令前面加no):
Cisco(config)# enable password wohao
Cisco(config)# enable secret hahahaha (以加密方式存在的)
Cisco(config)# service password-encryption (为了保证设备上的所有密码均以加密的形式保存所以,可以开启设备上的”密码加密服务)
3.PC> telnet 192.168.1.100 用PC机远程连接交换机的命令方式
4.Cisco# show running-config 查看正在运行的文件 Cisco# show user查看登陆用户信息
5.Cisco# clear line x 线路踢除(真实机器上才可以)
6.设备恢复出厂化配置:(本质就是,删除设备的启动配置文件)
Cisco#erase nvram (真实设备的操作命令)
Cisco#erase startup-config (模拟器上的命令)
Cisco#delete nvram:startup-config(真实设备)
7.查看设备上的文件的存储位置:
Csico# dir
dir /all-file-system
8.设备基本信息采集:Cisco# show version (设备型号 IOS版本 内存 Flash)
9.为交换机配置IP地址:
Cisco#show ip interface brief //查看接口简要信息;
Cisco(config)#interface vlan1 //进入虚拟端口vlan1
Cisco(config-if)#no shutdown //打开端口
isco(config-if)#ip address 192.168.1.100 255.255.255.0
2层逻辑链路协商参数:
1.速率
2.双公模式
全双公
半双公
________________________________________
2层地址:
---作用:在全球范围内,唯一的,表示一个物理设备,一般将该地址称为---物理地址
(IP地址一般称为 ---逻辑地址)
---地址类比:
IP地址 名字
网卡地址 家庭住址
在网络世界中,想要唯一的确定一个通信对象,必须同时使用网卡地址+IP地址进行确定;
-----表示: 物理地址(Physical Address)
00D0.9719.7A5A
十六进制表示,共48bit,前面24bit为厂商代码;后面24bit为厂商给产品的编码
________________________________________
ARP (地址解析协议)
----作用:基于IP地址获得对应的MAC地址,为了实现数据包2层头部的快速封装;
-----原理:发送方设备发送ARP请求,广播的方式;
目标方设备发送ARP回应,单播的方式;
-----特殊MAC地址:
--广播MAC :48bit全为1;
--无知MAC:48bit全为0;
-----ARP类型:
---普通ARP
---无故ARP:发送ARP的主机的IP地址,与被请求的IP地址是相同的;
用途:发现IP地址冲突
备注:设备开机时会产生无故ARP报文,在开机以后也会周期性的发送无故ARP报文
----代理 ARP(可以理解为快递代签)
回复ARP请求报文的主机,虽然不是我们要请求的目标IP地址对应的主机,但是该主机知道“目标IP” 如何到达。所以,该主机可以代替“原目标IP” 主机进行 ARP 报文的回复;
代理ARP可以被人利用,变成ARP病毒;
解决此病毒的方法:静态绑定ARP条目;(arp -s 192.168.1.254 MAC )
验证命令:
show ip arp // 网络设备上查看 ARP 表;
arp -a // 在终端设备上查看 ARP 表;
注意:
1、ARP表中的动态条目可以被后来的 ARP 条目覆盖掉;
2、静态条目,是不可以被覆盖的;
________________________________________
交换机的工作原理:
1.成表,查看源MAC
交换机在端口 1 收到 数据帧, 将其中的源MAC地址提取出来,与入端口形成对应关系:假如源MAC为 A , 所以,此时形成的条目为 : A --- 1
2、查表,查看目标 MAC
交换机将收到的数据帧中的目标MAC地址提取出来,在交换机本地的“转发据从表”中进行查找对应的条目是否存在:如果存在,则将数据从对应的端口发出去;反之,则将数除
入端口以外的其他所有端口都发送出去;(flooding-洪泛/泛洪)
路由:
-----定义:不同网段的主机进行通信,就是路由;
(相同网段的主机通信,就是交换)
-----实现:通过路由器实现“路由”转发动作;
----互通前提:1.互通前提 2.路由器的”路由表“必须得有”路由条目“
________________________________________
路由器:
----特点:每个端口都是属于不同的网段,所以是可以分割广播域
-----核心工作表:路由表
-----工作对象:IP数据包中的地址(目标IP - 现阶段而言)
-----工作原理:
1.路由器在任何一个端口上收到一个数据包后,都会提取其中的目标IP地址
2.将IP地址与本地的“路由转发表”条目进行匹配:匹配成功则在对应的端口转发出去;匹配失败,则丢弃数据包;
匹配原则:1.依次查看路由表中的每个路由条目
2.查看每个路由条目时,首先查看路由条目中的掩码,该掩码表示的是该路由条目仅仅关心目标IP地址中的掩码表示的长度的位
查看目标IP地址中的特定长度的位(掩码长度)是否与路由条目中的网络位是否相同;如果相同,则表示成功,反之,匹配失败;
------路由器查找路由表的原则:当路由器进行数据包与路由表条目的匹配时,如果有多个条目可以同时匹配,则选择子网掩码长的那个条目进行转发,这叫做最长匹配原则;
------特殊路由条目:0.0.0.0 /0 -----> 表示的是所有的网络;称之为:默认路由。
配置:ip route 0.0.0.0 0.0.0.0 10.10.23.2
________________________________________
配置命令:
手动添加静态路由条目:R1(config)# ip route 192.168.2.0 255.255.255.0 gi0/0
静态路由的不同配置方式:
1、 ip route x.x.x.x y.y.y.y {端口} 这个端口必须是设备自己的;
2、 ip route x.x.x.x y.y.y.y {ip-address} 这个IP地址必须是对端设备与自己互联时使用的那个接口的IP地址;
查看路由表:R1# show ip route
________________________________________
路由条目进入路由表的前提:
---路由条目的下一条,必须可达,即路由条目中的网段后面的端口和IP 地址必须是可以访问的,如果是端口必须是UP / UP 的;如果是ip,则必须是可以ping的通的;
路由条目的组成:
类型 网段/掩码 属性via 下一跳
s 192.168.2.0 /24 [1/0] 10.10.12.2
[9/0] 10.10.21.2(备份)
路由属性:
--- 管理距离(AD-admin distance):表示的是路由条目的稳定性,值越小表示越稳定;
取值范围:0-255
注意:每一种类型的路由,都有一个默认的AD值;直连,默认是0;静态默认是1
----度量值(metric):表示的是通过该条目去往目标网段的距离;值越小,表示越好;
取值范围:不同类型的路由取值范围不同;
________________________________________
浮动静态路由:
----定义:将使用备份链路的静态路由条目的AD ,调整位大于1.那么这种静态路由条目称为浮动静态路由;
-----作用:实现链路的备份,增强网络的健壮性;
-----配置命令:ip route 192.168.2.0 255.255.255.0 10.10.21.2 9
配置浮动路由就是使两个相连的路由器之间有多根网线同时连接着,但这能有一根网线起传输作用,只有当正在使用的网线出现故障时,其它另一根网线才能发挥作用;正常情况下,路由器之间为什么只有一根网线在工作?这是因为配置的静态路由条目的属性决定;
比较原则:
1、首先比较 AD ,值越小越好;如果相同,则继续下一个;
2、其次比较 Metric,值越小越好;
3、如果两者都相同,则多个路由条目,都放入路由表;
VLAN技术产生和应用背景:
在传统的 LAN 中,所有的设备都是属于同一个广播域 所以一旦部分主机出现问题,就有可能影响同广播域 的其他主机,影响范围广泛。
________________________________________
VLAN配置:
1.创建VLAN: SW1(config)# vlan 12 // 创建并进入到vlan 12
SW1(config-vlan)#name shuaidehe //为vlan修改名字 (主要备注信息)
2.将连接PC的端口,放入到 VLAN:
SW1(config)#interface fas0/2
SW1(config-if)#no shutdown
SW1(config-if)#switchport mode access //指定端口模式
SW1(config-if)#switchport access vlan 12 //指定属于的vlan
3.查看配置的VLAN:SW1#show vlan brief
注意:
1.思科交换机默认有5个 系统 VLAN ,这些VLAN不可以修改与删除; 1, 1002--1005;
2.VLAN的本质:是通过数据层面进行分析,交换机为每个VLAN的数据,在2层头部添加了一个 tag 字段,该字段等于 vlan 号
目标MAC 源MAC tag标签 TYPE FCS
________________________________________
Trunk 配置:
------静态配置:
1、静态指定端口使用的“trunk封装协议”
interface fas0/24
switchport trunk encapsulation dot1q \ ISL
2、静态指定端口的模式为 trunk
switchport mode trunk
--------动态配置:本质:依靠的 DTP 协议,在链路上发送报文 进行端口封装协议和模式的协商;(DTP:dynamic trunk protocol )
1. 指定或者协商端口使用的“trunk封装协议
2.指定端口模式
interface fas0/24
switchport mode dynamic
auto -- 仅仅被动接收DTP报文
desirable --主动发送DTP报文 期望成为 trunk
SW1 SW2 链路状态
trunk trunk trunk
auto auto NO
auto desirable trunk
auto trunk trunk
desirable desirable trunk
desirable trunk trunk
验证命令:
show interface trunk 查看静态
show interface fas0/24 switchport 查看动态
________________________________________
交换机上存在两种类型的 VLAN :
普通 VLAN
特殊 VLAN ,即 native vlan ;
特殊 VLAN - native vlan :
该角色,仅仅出现在 trunk 链路上;
trunk链路上,默认的native vlan 值 为 1 ;可以基于
需求,进行更改:
interface fas0/24
switchport trunk native vlan 12
强烈建议:
trunk 链路两端的 native vlan 必须相同
________________________________________
Native vlan 的特殊之处:
1、首先该特殊之处,只会在 trunk 上传输数据帧的
时候,这种特殊性,才会体现出来。
2、特殊性是:
普通 vlan 的数据帧经过 Trunk 时,需要打标签
特殊 vlan 的数据帧经过 Trunk 时,不需要标签
总结:
access链路:
-收到的数据帧,没有标签;
-发出的数据帧,没有标签;
trunk 链路:
-发出的数据帧
普通vlan - 必须打标签;
特殊vlan - 无需打标签;
-收到的数据帧
普通vlan - 基于携带的标签,转发到对应vlan;
特殊vlan - 如果没有标签,则转发到“native vlan ”
________________________________________
vlan的删除:
1、首先移除 VLAN 中的端口;(会自动回到 vlan 1)
interface fas0/2
no switchport mode access
no switchport access vlan 12
2、删除 VLAN
SW1(config)# no vlan 12
3、验证
show vlan brief ----> 关注 vlan 与 端口
清除所有 VLAN :
1、VLAN 信息是保存在一个文件里面的;
- vlan.dat
查看命令:
SW1# dir // 查看设备上的文件存储目录
2、直接删除该 文件,则可以确保交换机的 VLAN
信息全部清除;
删除命令:
SW1# delete vlan.dat
3、重启设备
________________________________________
Trunk的作用:
用于连接两个交换机,使俩个VLAN之间能互相通信。
Trunk 链路的 VLAN 管理:
配置命令:
interface fas0/24
switchport trunk allowed vlan ?
word //表示的是VLAN号;可以同时写多个;
add //表示将后面的 vlan ,添加到现有的 vlan列表中
all //表示该 trunk 链路允许所有的 vlan
except //表示除了该参数后面的vlan以外,其他的都允许
none //表示该trunk链路,不允许任何的vlan流量通过
remove //表示将该参数后面的vlan,在现有的 vlan列表中 移除;
________________________________________
Ether-channel : 以太网通道 | 捆绑 | 端口汇聚 | 端口聚合
-------作用: 可以增加设备之间的传输带宽 可以增加设备之间连接的稳定性
-------对象: 具有相同参数的物理端口,比如速率和双工相同;
如果是 access,就都得是access ;
如果是 trunk,就都得是 trunk,并且使用的
封装协议都得相同,允许的 VLAN 范围,都得相同;
--------配置:
1.进入成员端口:interface range fas0/2 , fas0/4 (同时进入多个端口,f0/2 f0/4)
2.手动指定该端口属于的 channel-group:
interface range fas0/2 , fas0/4
channel-group 5 mode on
3.配置“虚拟端口”:
interface port-channel 5
switchport mode trunk
4、验证:
show ip interface brief //查看虚拟的端口
show etherchannel summary //查看捆绑信息
交换核心:
1.整个网络里面,所有的交换机里面的VLan数据库需要是一样的
2.终端设备之间的数据的转发路径上的所有设备,必须要拥有相同的VLAN
________________________________________
DHCP:(dynamic host configuration protocol ) 动态的 主机配置协议
-作用
自动的为终端设备,分配IP地址;
-角色
DHCP 服务器
DHCP 客户端
-配置:
1、配置DHCP客户端
-将网关的IP地址获取方式配置为:DHCP
2、配置DHCP服务器
Server-PC:
-配置服务器的IP地址: 192.168.1.100/24
-开启DHCP服务 : server -> dhcp -> on
-配置DHCP的 IP 地址池:
pool name : serverPool
start ip : 192.168.1.0
255.255.255.0
-保存地址池 : save ;
Router:
-配置IP地址:
interface fas0/1
no shutdown
ip address 192.168.1.100 /24
-开启DHCP服务
Router(config)#service dhcp
-配置 DHCP 地址池
Router(config)# ip dhcp pool Linux
Router(dhcp-config)#network 192.168.1.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.1.100
Router(dhcp-config)#dns-server 8.8.8.8
3、验证与测试
Router#show ip dhcp binding //查看的是已经分配出去
的IP地址;
PC>ipconfig //验证获得的IP地址;
PC>
ping x.x.x.x
DHCP 地址排除:
这些地址,是不会被 DHCP 服务器自动的分配给
DHCP 客户端的。
配置命令:
Router(config)#
ip dhcp excluded-addres 192.168.1.1 192.168.1.10
//排除一段连续的IP地址;
ip dhcp excluded-addres 192.168.1.29
//排除不连续的单个地址;
________________________________________
VLAN间路由:
-多层交换机
1、配置网关IP
interface vlan 10 //配置 vlan 10 的网关IP;
no shutdown
ip address 192.168.10.254 255.255.255.0
interface vlan 20
no shutdown
ip address 192.168.20.254 255.255.255.0
interface vlan 30
no shutdown
ip address 192.168.30.254 255.255.255.0
2、启用路由功能
GW(config)# ip routing
3、配置多层交换机与普通交换机的级联链路
GW(config)#interface fas0/3
GW(config-if)#switchport trunk encap dot1q
GW(config-if)#switchport mode trunk
SW1(config)#interface fas0/3
SW1(config-if)#switchport mode trunk
4、验证与测试
GW# show ip interface brief
GW# show ip route
GW# show interface trunk
注意:
任何一个 VLAN 都对应一个 SVI(交换虚拟端口);
该VLAN中的所有的成员主机的网关IP地址都为该 SVI
口配置的 IP 地址;
SVI:switch virtual interface ;
====================================================
动态路由协议
-路由类型
C
非C
Static
Dynamic
IGP(internal gateway protocol)
Distance Vector
-RIP
-IGRP
-EGIRP
Links State
-ISIS
-OSPF(open shortest path first)
EGP(external gateway protocol)
-BGP
-----------------------------------------
OSPF :
1、OSPF是一种公有协议;
2、OSPF的网络是没有网络规模限制的;
3、OSPF支持层次化的网络设计(2层)
分层设计:
-区域
骨干区域 : 0区域,就是骨干区域;
非骨干区域 :非0区域,就是非骨干区域;
-表示
十进制
点分十进制
-举例
area 1 , area 2
area 0.0.0.1 ,
area 0.0.0.2
注意:
OSPF网络中,所有的非骨干区域,必须连接着骨干区域;
-------------------------------------------------
OSPF配置:
R1(config)# router ospf 1 // 启用OSPF进程1;
R1(config-router)#router-id 1.1.1.1 //为路由器起一个名字
R1(config-router)#network 10.10.12.0 0.0.0.255 area 0
R1(config-router)#network 192.168.10.0 0.0.0.255 area 0
network的作用(RIP/EIGRP/OSPF)
1、netowrk后面跟的是一个IP地址范围;
2、network后面的IP地址范围所覆盖的本地设备的接口,
都启用该路由协议(OSPF) :
-该端口可以发送该协议的报文;
-该端口可以接收该协议的报文;
-将该端口上的IP地址中的网络部分,
放入 协议报文中,传输出去;
------------------------------------------------
OSPF
1、建立邻居 - 邻居表
通过参数进行协商,满足邻居的建立条件;
-命令:
show ip ospf neighbor
# 邻居 ,凡是出现在这个表中的设备,都
称之为邻居;
# 邻接 , 只有当状态成为 full 的时候,
才可以称之为邻接。
(两边设备的数据库,必须完全一致)
例如:
R1#show ip ospf neighbor //查看 R1 上的 OSPF 邻居表
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 FULL/DR 00:00:38 10.10.12.2 GigabitEthernet0/0
# neighbor ID : 表示的是对端设备的 OSPF router-id;
# pri(priority):表示的是对端设备的优先级,默认为1;
# state(state/role):表示的是对端设备的状态以及角色
&down : 邻居之间的关系,挂掉了;
&init :初始化状态,表示收到了对方发送来的OSPF包
&attempt:该状态只有在单播环境下,才可以看到。
&two-way:双向通信状态,表示对方发送的OSPF包中,
包含着自己的信息;
&exstart:交换初始化状态
主要目的是为了确定交换过程中的主从
关系,
从而实现“后期的交换过程”是稳定的、
可靠的;
&exchange:交换状态。在该状态进行数据库的同步;
本质上交换的其实仅仅是数据库的目录;
&loading:加载状态。该状态加载的双方数据库中的
真实的条目
&full :完全邻接状态。该状态表示双方的数据库
内容,完全一致了。
2、同步数据库 - LSDB(link-state database )
该表中包含的就是数据库条目 ,
即 LSA - link-state advertisement
链路状态通告
3、计算路由 - 路由表
每一个OSPF路由器,都会基于数据库中的 LSA ,
进行路由计算(通过 SPF 算法),从而形成
最终的“路由表”;
---------------------
OSPF 报文类型:
Hello :用于建立、维护与拆除邻居关系的;
该报文是周期性发送
周期 - 10s ;(广播、点到点)
邻居存活时间 - 40s;
周期 - 30s (非广播网络)
邻居存活时间 - 120s
DBD:database description ,数据库描述报文;
用于交换、同步数据库之前的准备工作;
LSU:链路状态更新,里面包含的是 LSA ;
LSAck:链路状态确认报文,确保 LSA 的可靠传输;
LSR:链路状态请求;
OSPF的相关验证命令:
show ip ospf neighbor -- 查看邻居表
show ip ospf database -- 查看数据库
show ip route ospf -- 查看OSPF的路由表
show ip protocols -- 查看当前设备上运行的所有
动态路由协议
show ip ospf -- 查看 OSPF 的相关信息;
(例如:查看设备角色)
---------------------------------------------
OSPF中的路由器角色:
骨干路由器 - 所有端口都属于骨干区域;
非骨干路由器 - 所有端口都属于非骨干区域;
区域边界路由器(ABR-area border router) :
-同时连接着骨干区域与非骨干区域;
---------------------------------------------
OSPF路由类型:
内部路由
O - 表示同一个区域内部的路由;
O IA - 表示不同区域之间的路由;
外部路由
OE1 - 表示类型为1的外部路由 , external
OE2 - 表示类型为2的外部路由
-----------------------------------------------
Full/-
OSPF路由器在邻居关系中的角色:
DR - designated router , 指定路由器
建立邻居的所有的设备,都仅仅与DR/BDR 进行路由计算
数据库的同步;
但是别人在请求时,仅有 DR 进行回应;
BDR - backup designated router , 备份指定路由器
BDR仅仅是DR的备份,DR挂掉了,BDR就会升级为
DR,实现 DR 的功能;
DRother - 既不是DR,也不是 BDR 的设备
一个网段中,仅有一个DR,BDR可以没有。
除了DR和BDR,其他的设备,都叫 DRother 。
DRother,仅仅与DR和BDR建立 full 的关系;
DRother之间,处于 two-way 状态,不会成为full
注意:
只有在“广播网络环境”中,建立邻居的路由器之间
才会有这种角色之分;
常见的“广播网络环境” - ethernet(即以太网)
==========================================
任何类型的路由协议,引入路由条目的方式:
1、netowrk
- 仅仅是针对设备本地的“直连路由”;
- 通过该方式引入到协议的数据库中的路由,称为内部路由
2、redistribute - 重分发/重发布
- 通过该方式引入到协议的数据库中的路由,称为外部路由
- 该方式可以引入设备本地的“所有类型的”路由;
相同点:
-都可以将路由引入到数据库;
不同点:
- network仅仅针对直连;
- redistri 可以引入所有类型的;
不同点:
- network 命令匹配的链路,可以收、发 OSPF报文;
- redistribute 命令,没有让一个端口收、发 OSPF
报文的功能;
网关沉余协议:
HSRP--思科私有协议
VRRP--公有标准
(将HSRP的配置命令中的standby,更改为vrrp,就可以)
----------------------------------------------------------------------------------
HSRP:hot standby routing protocol - 热备份路由协议
-作用:
在 同一个网段的多个网关之间运行该协议,可以形成一个虚拟的网关(虚拟网关IP和虚拟网关MAC)该网段的终端在配置网卡时,网关IP地址都设置为该虚拟网 关IP地址;多个真实的网关设备为虚拟IP而服务;从而可以实现网关的冗余性和网络的稳定性。 同时,还可以实现数据的负载均衡。
-角色:
多个真实设备虚拟出来的“虚拟网关”,有角色之分:主设备 - active ; 备设备 - standby ;
选择原则:1、参与网关虚拟化的设备,首先比较优先级 ,越大越好;默认值为100;2、如果优先级相同,则比较IP地址,越大越好 ;
-注意:
HSRP 是思科私有协议,其他厂商的设备不支持
HSRP 发送 hello 的周期性时间为 3s
HSRP 的保持时间 - hold ,为 10s
HSRP 默认没有开启“抢占”功能,对于主设备,必须开启;
HSRP 支持外部链路跟踪技术;
-----------------------------------------------------------------------------------------
HSRP 配置思路:( 网关是一个设备的“接口”概念;所以HSRP的相关配置必须是在“网关接口”下配置的;)
1、在网关(端口)上启用 HSRP,并配置虚拟网关IP地址
GW1/2:
interface gi0/0
standby 10 ip 192.168.10.250
2、在主网关(端口)上,调整 HSRP的优先级。越大越好;
GW1: // 将 GW1 配置为主网关;
interface gi0/0
standby 10 priority 105
3、在网关(端口)上开启 HSRP 的抢占功能
GW1:
interface gi0/0
standby 10 preempt
4、配置终端设备的网关IP为“虚拟网关的IP地址”;
PC1 192.168.10.1 PC2 192.168.10.2
255.255.255.0 255.255.255.0
192.168.10.250 192.168.10.250
5、验证与测试
show standby - > 查看 HSRP 的相关信息;
debug ip icmp --> 查看 ICMP 的报文处理信息
--------------------------------------------------------------------------------------------
HSRP 外部链路跟踪:
当网关的外部链路断开以后,HSRP 会自动的降低自己的优先级。降低的优先级幅度,是可以人工配置的;(模拟器上,不能配置,只能降低固定的10)
配置命令:
interface gi0/0
standby 10 track interface gi0/1 [X]
注意:
参数 X 是在真实设备上才会有的;表示的是人工指定的降低的优先级幅度;
----------------------------------------------------------------------------------------------------------
HSRP的负载均衡:
-背景
当主网关与备网关都OK的时候,备网关实现的作用仅仅是备份,即设备的利用率仅仅有 50%,所以存在设备浪费/设备利用率不高的问题。所以, HSRP 开始支持 流量“负载均衡”功能即,当主网关与备网关都 OK 的时候,会同时通过两个网关进行流量的转发,从而就提高了网关设备的利用率;如果主网关挂掉,之前经过主网关转发的流量就会经过备网关转发,依然实现了 “网关备份”的功能。
-方式: HSRP group ,即 HSRP 组;
-配置:(前提:使用“多层交换机”作为“网关设备”;)
1、将SW1作为 VLAN1-2 的主网关设备,优先级设为105 并为这些 VLAN的网关,开启 HSRP 抢占功能
interface Vlan1
ip address 192.168.1.1 255.255.255.0
standby 1 ip 192.168.1.250
standby 1 priority 105
standby 1 preempt
2、将SW2作为 VLAN3-4 的主网关设备,优先级设为105并为这些 VLAN的网关,开启 HSRP 抢占功能
interface Vlan1
ip address 192.168.1.2 255.255.255.0
standby 1 ip 192.168.1.250
!
interface Vlan2
ip address 192.168.2.2 255.255.255.0
standby 2 ip 192.168.2.250
!
interface Vlan3
ip address 192.168.3.2 255.255.255.0
standby 3 ip 192.168.3.250
standby 3 priority 105
standby 3 preempt
!
interface Vlan4
ip address 192.168.4.2 255.255.255.0
standby 4 ip 192.168.4.250
standby 4 priority 105
standby 4 preempt
3、配置每个 VLAN 的成员主机的 IP 相关信息
4、配置HSRP的链路跟踪
5、验证与测试
STP
-what
spanning-tree protocol , 生成树协议
-作用
在2层网络/交换网络中,实现链路冗余的同时,防止
环路的产生。
-实现
-交换机角色
根交换机
非根交换机
-选举原则:
#任何一个交换机在STP中,都有名字
BID- bridge id , 桥ID;
#BID的组成:
优先级 + MAC地址(基mac)
2Byte 6Byte
#比较:
首先比较优先级,越小越好;
其次比较MAC,越小越好;
-端口角色
根端口:
任何一个非根交换机上,
有且只有一个
距离根交换机
最近的端口;
指定端口:
任何一个“冲突域/网段”
有且只有一个
距离根交换机
最近的端口;
非指定端口:
其他端口,都叫做“非指定端口”
到根交换机的距离的表示:
cost - 开销
10M - 100
100M - 19
1GM - 2
-端口状态
down
listening : 侦听,该状态保持15s
learning :学习,该状态保持15s
forwarding:转发
block:阻塞
STP收敛时间: 30s---50s
hello-time : 2s ,交换机周期性的发送BPDU的时间;
forward-delay:15s,转发延迟。在侦听和学习状态,分别停留
停留15s;
Max-age:20s,最大存活时间。
STP报文:
BPDU - bridge protocol data unit :桥接协议数据单元
Root-ID //表示的是根交换机的ID信息;
Cost //表示的是去往根交换机的距离;
BID //表示的是发送该BPDU的交换机的ID
Port-ID //表示的是该BPDU的出端口
注意:
BPDU中的cost,在传输过程中是沿途累加的,
会将传递方向的、所有的、入端口的cost,进行累加。
不忘初心, 方得始终!
Money Money Home !
基MAC查看命令:
show version
-base mac-address :
查看“生成树”相关信息:
show spanning-tree
更改交换机的 STP 优先级:
SW4(config)#spanning-tree vlan 1 priority 4096
-------------------------------------------------
STP:生成树,802.1d 公有标准 --- PVST—> per-vlan STP
RSTP:快速生成树,802.1w ,公有标准
MSTP:多生成树,802.1s,公有标准
注意:
其实现在在设备上默认运行的都是 PVST (PVST+)
即基于 VLAN 的 STP 。
在 STP 中引入了 VLAN 以后,就可以实现
数据流量的负载均衡。
-----------------------------------------------------
例如:
两个核心交换机 Core-1和Core-2;
将Core-1作为vlan1和vlan2的根,vlan3和vlan4的辅根;
将Core-2作为vlan3和vlan4的根,vlan1和vlan2的辅根;
其他交换机作为一个普通的非根交换机
在Core-1上面的配置:
1、创建vlan;
vlan 1
vlan 2
vlan 3
vlan 4
2、将vlan1和vlan2的STP优先级调整为0;
将vlan3和vlan4的STP优先级调整为小于默认的32768;
但是得大于“主根交换机”的优先级;
Core-1(config)#spanning-tree vlan 1 priority 0
Core-1(config)#spanning-tree vlan 2 priority 0
Core-1(config)#spanning-tree vlan 3 priority 4096
Core-1(config)#spanning-tree vlan 4 priority 4096
在Core-2上面的配置:
1、创建vlan;
vlan 1
vlan 2
vlan 3
vlan 4
2、将vlan3和vlan4的STP优先级调整为0;
将vlan1和vlan2的STP优先级调整为小于默认的32768;
但是得大于“主根交换机”的优先级;
Core-1(config)#spanning-tree vlan 3 priority 0
Core-1(config)#spanning-tree vlan 4 priority 0
Core-1(config)#spanning-tree vlan 1 priority 4096
Core-1(config)#spanning-tree vlan 2 priority 4096
ACL:access control list---访问控制列表
作用:控制数据的访问,互通;
实现:
1.定义规则
2.定义动作:permit 允许 ; deny 拒绝
分类:
1.标准ACL:仅关注的源IP地址;
2.扩展ACL:关注源IP地址和目标IP地址,还可以关注IP头部后面的内容;
表示:
1.id 通过不同的数字,表示不同的ACL;
2.名字--便于人们对ACL的配置与管理;
配置:
1.创建ACL;
access-list {ID} permit/deny x.x.x.x wildcard-bits
ID范围:1-99,表示标准ACL
ID范围:100-199,表示扩展ACL
x.x.x.x : 表示的是一个IP网络范围或者一个IP地址
wildcard-bits:通配符#0和1是允许交叉出现的; #通配符中的0,表示的是匹配的位;#通配符中的1,表示的是不匹配的位;
例子:access-list 1 permit 192.168.1.0 0.0.0.255
1、首先分析ACL的类型;
2、其次分析ACL的匹配条件 -首先分析“通配符”,关注通配符中0所对应的IP地址中的位-提取源IP地址中,与通配符0所对应的位,-将提取出的 位,与ACL中的条件进行比对;如果相同,则表示匹配成功,执行“动作”如果不同,则表示匹配失败,继续查找下一条目/匹配条件
3、最后确认“处理动作”-permit , 允许-deny , 拒绝
2.调用ACL:
#确定在正确的设备上、
#在正确的端口上、
#在正确的方向上
interface fas0/0
ip access-group 1 in
3、验证与测试
PC-1
ping 192.168.1.254 --> not OK
注意:
任何一个ACL后面,都有一个隐含的 deny any ;
当 一个 ACL 中有多个条目时,对每个条件匹配时,是按照序列号从小到大依次进行检查、培训的;
标准ACL:应该调用在距离目标近的位置;
扩展ACL:应该调用在距离源近的位置;
________________________________________
工作中常用的ACL配置方式 - 命名的 ACL :
创建ACL-
GW(config)# ip access-list standard Deny-Ping
GW(config-std-nacl)# 10 deny 192.168.1.2 0.0.0.0
GW(config-std-nacl)# 20 permit any
GW(config-std-nacl)#exit
调用ACL-
GW(config)#interface fas0/0
GW(config-if)#ip access-group Deny-Ping in
________________________________________
为了匹配更加精确的流量,我们使用“扩展ACL”:
创建ACL-
ip access-list extended notPing
10 deny icmp host 192.168.1.2 host 192.168.1.254
20 permit ip any any
调用ACL-
interface fas0/0
ip access-group notPing in
验证——
ping
show ip access-list
show ip interface fas0/0
为了使灵魂宁静,一个人每天要做两件他不喜欢的事。
________________________________________
NAT - network address translation 网络 地址 转换
-作用:将私有地址,转换为公有地址,从而实现Internet访问;
-实施: 在网络的边界设备上,即网关设备/防护墙。
-类型:
1.静态NAT
-私有地址与公有地址的对应条目,是人工配置的;
-私有地址 : 公有地址 = 1:1
-不节省IP地址;
2.动态NAT
-私有地址与公有地址的对应条目,是数据流量触发的
@普通的动态NAT
-私有地址 : 公有地址 = 1:1
@PAT/PNAT/NPAT : port address translation
-PAT中的地址转换条目,是基于数据流自动形成的;
-私有地址 :公有地址 = N :1
192.168.1.1:port ---- 100.1.1.1:port1
192.168.1.2:port ---- 100.1.1.1:port2
-配置(静态NAT):
1、确定网络界限:内网和外网
interface gi0/0 //定义该端口为内网链路
ip nat inside
interface gi0/1 //定义该端口为外网链路
ip nat outside
2、配置 地址转换 条目
ip nat inside source static 192.168.1.1 100.1.1.1
3、验证与测试
show ip nat translation //查看NAT转换表
ping x.x.x.x
debug ip nat // 查看数据包的地址转换过程
-配置PAT:
1、确定网络界限:内网和外网
interface gi0/0
ip nat inside
interface gi0/1
ip nat outside
2、确定感兴趣流量
access-list 1 permit host 192.168.1.2
或者
access-list 1 permit 192.168.1.0 0.0.0.255
3、配置转换条目
ip nat inside source list 1 interface gi0/1
4、验证与测试
________________________________________
NAT 的 应用 : 端口映射
配置:
1、配置交换机的IP地址和默认网关
interface vlan 1
no shutdown
ip address 192.168.1.3 255.255.255.0
exit
ip default-gateway 192.168.1.254
2、配置边界设备上的“静态NAT”条目
ip nat inside source static tcp 192.168.1.3 23
100.1.1.1 2000
3、验证与测试
show ip nat translation
PC-3:
telnet 100.1.1.1 2000
来源:oschina
链接:https://my.oschina.net/u/4259287/blog/3221327