网络知识汇总
**
1.1 传输介质简介
**
通信网络除了包含通信设备本身之外,还包含连接这些设备的传输介质,如 同轴电缆、双绞线和光纤等。
1.2 以太网帧结构
以太网是根据IEEE 802.3标准来管理和控制数据帧的。
学习目标:
1. 理解分层模型的作用
2. 掌握以太网中数据帧的结构
3. 掌握MAC地址的作用
4. 掌握以太网中数据转发的过程
分层模型——OSI
* 应用层——为应用程序提供网络服务,通过端口号判断是哪个应用程序,网络服务与最终用户的一个接口
* 表示层——数据格式化,加密、解密
* 会话层——建立、维护、管理会话连接
* 传输层——建立、维护、管理端到端连接,TCP连接和UDP连接
* 网络层——IP寻址和路由选择。路由器有很多接口,在这里判断使用哪些接口
* 数据链路层——控制网络层与物理层之间通信,字节传输,封装MAC地址,建立逻辑链接、进行MAC地址寻址、差错校验等
* 物理层——比特流传输(0和1)
由上到下的过程叫封装,由下到上的过程叫解封装。
分层模型让大家更容易学习、理解整个网络机制以及众多网络协议之间的关系。
分层模型——TCP/IP(目前最常用的参考模型)
* 应用层——数据 PDU——HTTP报文
* 传输层——数据段 Segment——TCP段——关注源目端口号
* 网络层——数据包 Packet——IP包——关注源目IP地址
* 网络接口层——数据帧 Frame——以太帧——关注头部Eth(源目MAC地址) 尾部FCS
* (物理层)——比特流 Bit——光信号或者电信号
数据链路层控制数据帧在物理链路上传输
帧格式有Ethernet_II和IEEE802.3两种格式
Ethernet_II中Type域可以判断上层协议,如果Type是0x0800,说明交由IP协议;如果是0x0806,说明交由ARP协议。
数据链路层基于MAC地址进行帧的传输
MAC地址由两部分组成,分别是供应商代码和序列号。其中前24位代表该供应商代码,由IEEE管理和分配。剩下的24位序列号由厂商自己分配。MAC地址具有全球的唯一性,不可更改。
以太网帧结构:
* 单播——第一个字节的第8个bit为0,说明该帧为单播帧
* 广播——每个bit全为1时,说明该帧为广播帧
* 组播——第一个字节的第8个bit为1,说明该帧为组播帧
当主机接收到的数据帧所包含的目的MAC地址是自己时,会把以太网封装剥掉后送往上层协议,类似进入由下到上的过程——解封装。
1.3 IP编址
网络层提供了IP路由功能。
学习目标:
1. 掌握iP报文的结构
2. 掌握公有IP地址,私有IP地址以及特殊IP地址的范围
3. 掌握VLSM技术(可变长子网掩码——VLSM)
4. 理解网关的作用
IP报文的结构:IP报文头部(20-60B)+Data部分
IP地址分为网络部分和主机部分。
IP地址由32个二进制位组成,通常用点分十进制形式表示。
网络地址:192.168.1(网络位).0(主机位)表示该设备属于哪个网段
广播地址:192.168.1(网络位).255(主机位)
在实际为网络设备设计IP地址时,不能使用网络地址和广播地址。
A、B、C类为可分配地址,D类为组播地址,E类为广播地址
私有地址范围:
* 10.0.0.0~10.255.255.255
* 172.16.0.0~172.31.255.255
* 192.168.0.0~192.168.255.255
特殊地址:
* 127.0.0.0~127.255.255.255(仅用于测试网站)
* 0.0.0.0(表示任何网络)
* 255.255.255.255(表示广播地址)
子网掩码用于区分网络位和主机位,网络部分全为1,主机部分全为0
IP地址和子网掩码与运算的结果为网段
默认子网掩码:
* A类——255.0.0.0
* B类——255.255.0.0
* C类——255.255.255.0
子网掩码还可以判断该网段上的可用主机位数
可用主机数=主机位-2
可变长子网掩码可以减少IP地址的浪费
可变长子网掩码:缩短主机位,增长网络位
无类域间路由大大减少了路由表的规模,减轻路由器的压力。
网关用来转发来自不同网段之间的数据包。
主机A给不同网段的主机B发送信息,首先需将报文发送给网关,再通过网关设备转发给主机B。
当数据包过大时,需要用到IP包分片。标识符,段偏移
为了避免环路拥塞,给数据报文设置生存时间TTL=255,每经过一台设备就减一,TTL=0时丢弃该报文。
eNSP常用设备:
* 路由器——AR2220
* 交换机——S5700
* PC
* 设备连线——Auto
网关需要自行配置
1.5 ARP协议
IP数据报文必须封装成帧才能通过数据链路层进行发送,而数据帧必须要包含目的MAC地址,因此发送端还必须获取到目的MAC地址。**通过目的IP地址获取目的MAC地址的过程由ARP协议来实现。**学习目标:
1. 掌握ARP的工作原理
2. 理解ARP缓存表的作用
ARP报文是二层报文,不能穿越路由器,不能跨越网段,不能被转发到其他广播域。
指令:arp -a 描述:查看本主机的缓存表
指令:arp -d 描述:清除本主机的缓存表
同一网段、不同物理网络上的计算机之间,可以通过ARP代理实现相互通信。
**免费ARP可以用来探测IP地址是否冲突。**免费ARP与正常ARP不同的地方就在于目的IP地址是源IP地址。如果有人作应答,说明当前IP地址已经有人使用。
免费ARP可以用来刷新交换机ARP表。
网络设备在发现自己没有目的设备的MAC地址时会发送ARP Request。当其他设备收到后,能够回复应答报文Reply。
ETH中的目的MAC地址会写全F,ARP段中的目的MAC地址会写全0
当网络设备获得IP地址或IP地址变更时,会产生免费ARP,来检测自己的IP地址是否冲突。
1.6 传输层协议
传输层定义了主机应用程序之间端到端的连通性。
学习目标:
1. 掌握TCP和UDP的工作原理
2. 描述TCP和UDP的报文格式
3. 了解常见服务的应用端口号
TCP是可靠的传输服务。
端口号用来区分不同的网络服务。
固定端口号有:
* FTP——21、20
* HTTP——80
* Telnet——23
* SMTP——25
标识位及其作用:
* URG——标识紧急指针是否有效
* ACK——标识确认序号是否有效,用于目的端已收到报文确认
* PSH——用来提示接收端应用程序立刻从数据缓存区将该数据读取
* RST——要求重新建立连接
* SYN——请求建立连接
* FIN——控制目的端和本端的连接是否中断
TCP通过三次握手建立可靠连接,SYN、ACK参与了三次握手。
TCP传输过程通过发送确认号确保所有数据包全部按序接收。
TCP流量控制通过调整窗口大小控制流量。
TCP协议中,主机在关闭连接之前,要确认收到来自对方的ACK,经历四次挥手关闭连接。
UDP是一种面向无连接的传输层协议,传输可靠性没有保证。
UDP头部仅占8字节,传输数据时没有确认机制。
UDP不提供重传机制,占用资源小,处理效率高。
1.7 数据转发过程
TCP/IP协议簇和底层协议配合,保证了数据能够实现端到端的传输。数据在转发的过程中会进行一系列的封装和接封装。
学习目标:
1. 掌握数据封装和接封装的过程
2. 处理数据转发过程中的基本故障
数据包在相同网段内或不同网段之间转发所依据的原理基本一致。
-
传输层——TCP封装–当主机建立了到达目的地的TCP连接后,便开始对应用层数据进行封装,封装成数据段
-
网络层
* IP封装 * 查找路由--主机A必须要拥有到达目的地的路由 * 通过ARP协议获取MAC地址 -
数据链路层——以太网封装
-
物理层——数据帧转发–主机工作在半双工状态下,所以会使用CSMA/CD来检测链路是否空闲
数据帧转发过程——数据包转发过程——数据帧解封装——数据包解封装——数据段解封装
数据在进行二层和三层封装之前,主机需要了解的信息有:目的端的IP地址、去往地址的路由以及MAC地址
判断转发过程分析:
1. 判断目的IP是否和我在同一网段(与运算得出结果),172.16.1.100与我不在同一网段。
2. 找网关,去自己的ARP缓存表中查看网关的ARP条目,初始情况下,ARP缓存表是空的,找不到。
3. 发ARP请求,请求网关的MAC,封装ARP请求(源MAC:主机A的MAC 目的MAC:全F 源IP:1.1 目的IP:1.254),从主机发出去。
4. RTA的0口会收到该ARP请求报文,先打VLAN10的标签,学习MAC条目(vlanid:10 MAC:主机A的MAC 接口0口),转发,由于是广播报文,会进行泛洪,发给int vlan 10。
5. 先对ARP请求报文进行校验,发现目的IP是自己,那么进行接收并应答
6. 封装ARP应答报文(源MAC:int vlan10的mac 目的MAC:主机A的MAC 源IP:1.254 目的IP:1.1),发给交换机,交换机收到后,发现是单播报文,首先查MAC条目,根据报文中的VLAN TAG和目的MAC查MAC表条目,定位到0口发出,那么主机A就收到了ARP应答报文。
7. 主机A收到后,先进行ARP缓存,缓存网关的ARP条目(1.254 和网关MAC的映射关系)
8. 主机A要封装ICMP请求报文(源MAC:主机A的MAC 目的MAC:网关MAC 源IP:1.1 目的IP:172.16.1.100),从网卡发出去。
9. 从0口进入到交换机A,收到后,打vlan10的标签,更新MAC表条目,根据报文中的目的MAC进行转发,直接转发给int vlan10。
10. int vlan10收到后,先查看以太网帧头部中的目的MAC,如果是的话,进行接收,然后将以太网帧头部剥掉,查看IP头部中的目的IP,发现不是我自己的IP(1.254),那么需要进行路由转发。
11. 将报文中的目的IP取出来,去匹配自己的路由表,找到路由,路由到指定的int vlan20接口
12. int vlan 20要对报文重新进行以太网头部封装(源MAC:int vlan20的mac 目的MAC:未知),int vlan20需要先发ARP请求,请求2.1的MAC(源MAC:int vlan20的MAC 目的MAC:全F 源IP:2.254 目的IP:2.1 广播),从交换机的2口发出去,PC2进行接收,先缓存自己的ARP(2.254的ARP条目),发现目的IP是自己,进行应答
13. PC2封装ARP应答报文(源MAC:PC2的MAC 目的MAC:2.254MAC 源IP:2.1 目的IP:2.254 单播),从2口进入到交换机,打VLAN20的标签,学习MAC表条目(VLANID:20 MAC :PC2的MAC 接口:2),取出目的MAC,发现是自己接口的MAC,直接将报文转发给int vlan20。
14. 先缓存到交换机的ARP表,将PC2的MAC取出,重新封装ICMP报文(源MAC:int vlan20的mac 目的MAC:PC2的MAC)
15. 将新封装好的ICMP请求报文发给交换机,交换机打上vlan20,取出目的MAC和报文中的VLAN TAG 20查找MAC表条目,定位到指定的接口发出,交给PC2,PC2就收到了ICMP请求报文。
16. PC2收到后,先进行报文目的MAC的校验,目的MAC校验成功后,接着剥掉以太网帧头部,校验IP头部中的目的IP,如果是我的IP,进行ICMP应答,需要封装ICMP应答报文,和前面的过程一样。
3.1 交换网络基础
常见的以太网设备包括Hub、交换机等。
交换机工作在数据链路层,它有效地隔离了以太网中的冲突域,极大地提升了以太网的性能。
学习目标:
1. 掌握交换机的基本工作原理
2. 掌握交换机的基本配置
交换机工作在数据链路层,用于转发数据帧。交换机对数据帧的操作行为:
* 泛洪(Flooding)——当有一个交换机从某一个端口进来的帧,它是通过其他所有端口进行发送转发出去
* 转发(Forwarding)——交换机某一个端口进来的帧,通过另一个端口转发出去。一对一的行为叫转发
* 丢弃(Discarding)——交换机的某一个端口进来的帧直接丢弃
如果进来的是一个单播帧,那么交换机就会检查它的MAC地址表,如果它检查不到对应的目的MAC地址,就会进行泛洪,如果检查到了,就会进行转发。转发给对应的主机后,如果目的主机和接收主机的MAC地址一致则接收该单播帧,如果不一致则丢弃。
如何判断是不是在同一广播域:
-
物理接口:
1. Access端口:看PVID和接收到报文的端口PVID是不是一致,一致则认为是同一广播域 2. Trunk端口:接收报文的PVID是不是在我Trunk的允许列表中 -
逻辑接口:VLAN ID和我接收到报文的端口的PVID是不是一致,一致则认为是在同一广播域
交换机接收到数据帧后:
1. FCS完整性校验
2. 打Tag标签
3. 学习MAC表条目——根据报文的VLAN Tag、源MAC和接收到该报文的端口号,形成MAC表条目
4. 转发——根据收到报文的目的MAC和报文中的VLAN Tag,去查找自己的MAC地址表,定位到指定端口转发出去,如果找不到,则泛洪。
初始状态下,交换机MAC地址表为空。
交换机将收到的数据帧的源MAC地址和对应接口记录到MAC地址表中。
当数据帧的目的MAC地址不在MAC地址表中,或者目的MAC地址为广播地址时,交换机就会泛洪该帧。
交换机根据MAC地址表将目标主机的回复信息单播转发给源主机。交换机现在是全双工的。
命令:
* undo negotiation auto——设置为非字节模式
* speed 100——设置端口速率为100
* duplex full——设置传输方式为全双工
4.1 IP路由基础
以太网交换机用于在网络内进行数据转发。
需要使用路由器来连接不同的网络,实现网络之间的数据转发。
学习目标:
1. 掌握路由器的基本工作原理
2. 掌握路由器选择最优路由的方法
自治系统(AS):由同一个管理机构管理、使用统一路由策略的路由器的集合。
路由选路:路由器负责为数据包选择一条最优路径,并进行转发。
先看路由优先级,再看路由度量
查看IP路由表:display ip routing-table
路由表中包含了路由器可以到达的目的网络。目的网络在路由表中不存在的数据包会被丢弃。
路由协议优先级根据路由类型不同而不同。
路由类型:
* 直连路由Direct——优先级为0
* 动态路由OSPF——优先级为10
* 静态路由Static——优先级为60
* RIP——优先级为100
路由度量:常用度量值有跳数、开销、带宽、时延等。
路由表建立成功后,就会开始进行数据转发,路由器在转发数据之前需要选择路由表中的最优路由,当数据报文到达路由器时,路由器首先会提取其目的地址,然后查找路由表,将报文中的目的地址与路由表中的掩码地址去做一个与操作,把结果与路由表中的目的地址相比较,相同则匹配上;如果没有相同,则根据最长匹配原则匹配。
最长匹配原则:路由表中如果有多个匹配目的网络的路由条目,则路由器会选择掩码最长的条目。
当路由器接收到数据包之后,会检查目的IP地址,然后查看路由表,查到匹配的路由表项,根据前面的选取选取最优路径,根据所指示的出接口信息和下一跳信息将数据包转发出去。
路由器选择最优路由的顺序是什么?
首先是最长掩码匹配原则,然后是路由协议优先级,然后是路由度量。
Preference字段在路由表中代表什么含义?
代表的是路由优先级的概念。
4.2 静态路由
静态路由是指由管理员手动配置和维护的路由。
静态路由配置简单,被广泛应用于网络中。另外,静态路由还可以实现负载均衡和路由备份。
学习目标:
1. 识别静态路由的应用场景
2. 掌握静态路由的配置
静态路由配置命令:
ip route-static 192.168.1.0 24(目的网段和子网掩码) 10.0.12.1(下一跳地址)
ip route-static 192.168.1.0 24(目的网段和子网掩码) Serial 1/0/0(出接口)
在串行接口上,可以通过指定下一跳地址或出接口来配置静态路由。
在广播型的接口上配置静态路由时,必须要指定下一跳地址。
负载分担:静态路由支持到达同一目的地的等价负载分担。
目的网段、子网掩码、优先级、路由开销都相同但下一跳地址不同的静态路由可以作为负载分担。
查看路由配置命令:
display ip routing-table
路由备份:浮动静态路由在网络中主路由失效的情况下,会加入到路由表并承担数据转发业务。
目的网段、子网掩码、开销相同但优先级和下一跳地址不同的静态路由可以作为路浮动静态路由,互为备份路由,优先级小的路由是主路由,优先级大的是备份路由。在主链路出现故障时,浮动静态路由会被激活并加入到路由表中,承担数据转发业务。
缺省路由是目的地址和掩码都为全0的特殊路由。
如果报文的目的地址无法匹配路由表中的任何一项,路由器将选择依照缺省路由来转发报文。
缺省路由通常是作为最后匹配去使用的。
配置优先级为10的静态路由:
ip route-static 192.168.1.0 24(目的网段和子网掩码) 10.0.12.1(下一跳地址) preference 10
5.1 DHCP原理与配置
**使用动态主机配置协议DHCP来分配IP地址等网络参数,**可以减少管理员的工作量,避免用户手工配置网络参数时造成的地址冲突。
学习目标:
1. 掌握DHCP的应用场景
2. 掌握DHCP的基本原理
3. 掌握DHCP的基本配置
DHCP服务器能够为大量主机分配IP地址,并能够集中管理。
DHCP报文类型:
* DHCP DISCOVER(广播报文)——客户端用来寻找DHCP服务器
* DHCP OFFER(广播/单播)——DHCP服务器用来响应DHCP DISCOVER报文,此报文携带了各种配置信息
* DHCP REQUEST(广播报文)——客户端请求配置确认,或者续借租期
* DHCP ACK(广播/单播)——服务器对REQUEST报文的确认响应
* DHCP NAK——服务器对REQUEST报文的拒绝响应
* DHCP RELEASE——客户端要释放地址时用来通知服务器
路由器支持两种地址池:全局地址池和接口地址池
接口地址池的优先级高于全局地址池
当主机成功获得IP地址后,就会开始计时,当时间到达IP租约期限的50%时,DHCP客户端会请求更新IP地址租约。**当时间到达IP租约期限到达87.5%时,**还没收到服务器响应,会申请重绑IP。在任何时候主机不想使用这个IP地址时,都可以发送RELEASE报文主动释放该IP地址。
地址池中的哪些IP地址一般会被保留?
1. 排除分配给DNS的IP地址
2. 服务器接口的IP地址是不能分配的,避免IP地址冲突
DHCP服务器的IP地址租期默认是day 1
命令:
sys:进入系统视图
dhcp enable:dhcp使能
int g0/0/1:进入 g0/0/1接口
ip ad 192.168.1.1 24:设置接口的IP地址为192.168.1.1,网络位为24位
dhcp select interface:将该接口加入到接口地址池中
dhcp server dns-list 192.168.1.2:设置预留给DNS的IP地址,预留是未来分配,不是已经分配,所以需要把这个地址单独的拿出来,不能分配给其他主机。
dhcp server excluded-ip-address 192.168.1.2:将该IP地址禁止分配给其他主机
dhcp server lease day 5:设置IP地址的租期为5天
display current-configuration :查看当前配置信息
5.3 Telnet原理与配置
管理员可以使用Telnet远程连接到每一台设备上,对这些网络设备进行集中的管理和维护。
学习目标:
1. 掌握Telnet的应用场景
2. 掌握Telnet的工作原理
3. 掌握Telnet的基本配置
Telnet可以通过终端对本地和远程的网络设备进行集中管理。
Telnet客户端和服务器基于TCP连接来传输命令。
认证模式:
* AAA认证模式——需要输入账号和密码
* Password认证模式——只需要输入登陆密码
命令:
* telnet 192.168.1.1——远程连接
* sysname AR1——将系统名字修改为AR1
* int g0/0/1——进入选择接口g0/0/1
* ip ad 192.168.1.1 24——给当前接口配置IP地址,网络位为24位
6.1 链路聚合
采用链路聚合技术可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,来达到增加链路带宽的目的。在实现增大带宽目的的同时,链路聚合采用备份链路的机制,可以有效地提高设备之间链路的可靠性。
学习目标:
1. 掌握链路聚合的原理
2. 掌握链路聚合的配置
链路聚合的应用场景:链路聚合一般部署在核心结点,以便提升整个网络的数据吞吐量。
链路聚合的原理就是把多条链路聚合捆绑在一起,在逻辑上视之为一个链路。链路聚合能够提高链路带宽,增强网络可用性,支持负载分担。默认最多聚合8条物理链路。
链路聚合模式:
* 手工负载分担模式——三个物理接口聚合成一个逻辑接口,三个物理接口都处于转发状态,都参与数据的转发,分担负载流量。
* LACP模式——支持链路备份。两个物理接口用于数据的转发,第三个物理接口用于备份,当两个物理接口中间有一条链路出现故障时,可自动切换成第三条链路进行转发,保证链路的可靠性。
数据流控制:Eth-Trunk链路两端相连的物理接口的数量、速率、双工方式、流控方式必须一致。
手动聚合配置:
三层链路聚合配置:
1. interface eth-trunk 1
2. undo portswitch
3. ip address 100.1.1.1 24
4. quit
5. interface GigabitEthernet0/0/1
6. eth-trunk 1
7. quit
8. interface GigabitEthernet0/0/2
9. eth-trunk 1
10. quit
动态聚合配置
如果一个管理员希望将千兆以太口和百兆以太口加入同一个Eth-trunk,会发生什么?
设备会提示发生错误。链路聚合的前提是物理接口的速率要一致。
6.2 VLAN配置与原理
VLAN即虚拟局域网。是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN,可以实现在同一个VLAN内的用户可以进行二层互访,而不同VLAN间的用户被二层隔离。这样既能够隔离广播域,又能够提升网络的安全性。
学习目标:
1. 理解VLAN的工作原理
2. 掌握VLAN的基本配置
VLAN能够隔离广播域。在交换机上实现隔离广播域。
VLAN帧格式与普通帧格式相比,在Type域之前多了个Tag区域,用于区分不同VLAN。
链路类型:
* 接入链路——用户主机和交换机之间的链路
* 干道链路——交换机与交换机之间的链路
PVID表示端口在缺省情况下所属的VLAN。
缺省情况下,X7系列交换机每个端口的PVID都是1。
端口类型:
-
Access
* 在收到数据后 * 如果没有Tag标签,会添加VLAN Tag,VLAN ID和端口的PVID相同。 * 如果有Tag标签 * VLAN Tag =PVID,接收 * VLAN Tag不等于PVID,丢弃 * 在转发数据前 * 如果VLAN Tag = PVID ,会移除VLAN Tag,并转发出去。 * 如果VLAN Tag 不等于 PVID,就直接丢弃。 -
Trunk
* 在收到帧时, * 该帧不包括Tag,将添加上端口的PVID; * 该帧包括Tag,则不改变。 * 在发送帧时, * 该帧的VLAN ID在Trunk的允许列表中: * 若与端口的PVID相同,则剥离Tag发送; * 若与端口的PVID不同,则直接发送。 * 该帧的VLANID不在Trunk的允许列表中:直接丢弃。 -
Hybrid——该端口既可以连接主机,又可以连接交换机。所以该端口可以以Tagged或Untagged方式加入VLAN。
* 在收到帧时: * 若为Untagged帧,则打上PVID,则检查允许列表 * 在允许列表中,接收 * 不在允许列表中,不接收 * 若为Tagged帧,则检查允许列表 * 在允许列表中,接收 * 不在允许列表中,不接收 * 在发送帧时:检查允许列表 * 若允许通过,则查看其发送方式,分为Tagged和Untagged两种方式,通过手工配置决定 * 若为Tagged,则带标签转发 * 若为Untagged,则剥离Tag发出 * 若不允许通过,则直接丢弃。
Hybrid可以做到Access和Trunk做不到的一点是:能够做到让主机A和主机B都能访问到服务器,但是主机A和主机B是不能互相访问的。
VLAN划分方法:
* 基于端口——在实际中最为常见
* 基于MAC地址——用于安全性比较高的
* 基于IP子网划分
* 基于协议划分
* 基于策略
VLAN配置:
* 单个创建:vlan 10——创建vlan 10
* 批量创建:vlan batch 2 to 4——创建vlan2、vlan3和vlan4
配置Access端口:port link-type access
添加端口到VLAN:port default vlan 3——将当前端口加入到vlan3中
配置Trunk端口:port link-type trunk
配置Trunk端口的允许列表:port trunk allow-pass vlan 2 3——允许通过2和3
配置Hybrid端口: port link-type hybrid
配置允许列表:port hybrid tagged vlan 2 3 100——该端口允许通过tagged方式到PVID=2或3或100
通过配置Voice VLAN可以区分语音流量和业务流量,使语音流量优于业务流量,从而为语音流量提供服务保证。
如果一个Trunk链路PVID是5,且端口下配置port trunk allow-pass vlan 2 3,那么哪些VLAN的流量可以通过该Trunk链路进行传输?
VLAN2、VLAN3和VLAN1。因为VLAN1是默认允许通过Trunk链路的。
6.3 VLAN间路由
部署了VLAN的传统交换机不能实现不同VLAN间的二层报文转发,因此必须引入路由技术来实现不同VLAN间的通信。VLAN路由可以通过二层交换机配合路由器来实现,也可以通过三层交换机来实现。
学习目标:
1. 掌握VLAN路由的应用场景
2. 掌握VLAN路由的工作原理
3. 掌握VLAN路由的基本配置
VLAN的局限性:VLAN在分割广播域的同时也限制了不同VLAN间的主机进行二层通信的能力。
在二层交换机上配置VLAN,每一个VLAN使用一条独占的物理链路连接到路由器的一个接口上。
路由器的接口是有限的,VLAN的个数显然要更多。因此要在逻辑上提供需要。
单臂路由:将交换机和路由器之间的链路配置为Trunk链路,并且在路由器上创建子接口以支持VLAN路由。
三层交换:为每个VLAN创建一个VLANIF接口作为网关。在路由器处会进行IF判断
配置路由接口子接口接收的VLAN:dotlq termination vid 2——设置当前子接口接收的VLAN为2
子接口是默认不允许接受广播包的,所以需要使能:arp broadcast enable——给当前子接口接受广播包使能。
设置2号子接口:interface vlanif 2
配置三层交换:
interface vlanif 2——进入vlan=2时的接口
ip address 192.168.2.254 24
8.1 网络地址转换
网络地址转换技术NAT主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地址,并且多个私网用户可以共用一个公网地址,这样即可保证网络互通,又节省了公网地址。
学习目标:
1. 掌握NAT的工作原理
2. 掌握NAT的基本配置
企业或家庭所使用的网络为私有网络,使用的是私有地址;运营商维护的网络为公共网络,使用的是公有地址。私有地址不能在公网上路由。
NAT一般部署在连接内网和外网的网关设备上。
NAT分类:
-
静态NAT
* 静态NAT实现了私有地址和公有地址的一对一映射。 * 一个公网IP只会分配给唯一且固定的内网主机。 -
动态NAT
* 动态NAT基于地址池来实现私有地址和公有地址的转换。 * 地址池中存放着的是空闲的地址。所有用完的地址就会返回地址池。 -
NAPT
* 网络地址端口转换NAPT 允许多个内部地址映射到同一个公有地址的不同端口。 -
Easy IP
* Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口。 -
NAT服务器
* 通过配置NAT服务器,可以使外网用户访问私网服务器。
静态NAT配置:
1. 先配置网关
2. nat static global 202.10.10.1 inside 192.168.1.1——global后面接公有地址,inside后面接私有地址
配置验证:display nat static
动态NAT配置:
1. address-group 1 200.10.10.1 200.10.10.200——配置一个名为1的地址池
2. acl 2000——配置一个acl
3. rule 5 permit source 192.168.1.0 0.0.0.255——设置acl允许通过的地址为192.168.1.xxx这个网段
4. quit
5. interface serial1/0/0
6. nat outbound 2000 address-group 1 no-pat——设置让符合acl的网段都能将这个私有地址转换成NAT组1中的一个公有地址,然后发送出去
配置验证:display nat address-group 1
Easy IP配置也是通过acl匹配来进行的:
1. acl 2000
2. rule 5 permit source 192.168.1.0 0.0.0.255
3. quit
4. interface serial1/0/0
5. nat outbound 2000
配置验证:display nat outbound
NAT服务器配置:
1. int g0/0/1
2. ip address 192.168.1.254 24
3. interface serial1/0/0
4. ip address 200.10.10.2 24
5. nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080——设置公有地址和私有地址的映射关系
配置验证:display nat server
NAPT是基于端口的转换,不是基于IP地址的转换。可以允许多个内部地址映射到同一个公有地址。
8.2 访问控制列表
访问控制列表ACL 可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
学习目标:
1. 掌握ACL在企业网络中的应用
2. 掌握ACL的工作原理
3. 掌握ACL的配置
ACL可以通过定义规则来允许或拒绝流量的通过。
ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的的动作。
ACL分类:
* 基本ACL-2000~2999(编号范围)-源IP地址等(参数)
* 高级ACL-3000~3999-源IP地址、目的IP地址、源端口、目的端口等
* 二层ACL-4000~4999-源MAC地址、目的MAC地址、以太帧协议类型等
ACL规则:
rule 5 deny source 192.168.1.0 0.0.0.255
* rule表示定义规则
* 5表示步长,设置步长的作用在于方便后续在旧规则之间插入新的规则
* deny表示拒绝(permit表示接受)
* source
* 192.168.1.0表示目标网段
* 0.0.0.255是通配符,0表示不可变,1表示可变。意味着目标网段中192.168.1不可变 .0是可变的,所以目标范围就被规定为192.168.1.0~192.168.1.255
acl规则配置完成后,需要让RTA的发送端口应用该acl规则——traffic-filter outbound acl 2000
每个ACL可以包含多个规则,RTA(路由器)根据规则来对数据流量进行过滤。
配置确认:display acl 2000——查看名为2000的acl
查看基于acl进行报文过滤的信息:display traffic-filter applied-record
高级ACL配置:
rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21——用于限制源地址是192.168.1.0~ 192.168.1.255,目的地址是172.16.10.1,目的端口号为21的所有的tcp报文
rule deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.10.2 0.0.0.0——用于限制源地址为192.168.2.0~192.168.2.255,目的地址为172.16.10.2的所有tcp报文
rule permit ip——用于匹配所有ip报文
高级ACL可以根据源IP地址、目的IP地址、源端口号、目的端口号、协议类型进行规则制定。
ACL能够实现主机A和主机B分别使用不同的公网地址池来进行NAT转换
8.3 AAA原理与配置
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,它提供了认证、授权、计费三种安全功能。
学习目标:
1. 掌握AAA的基本概念
2. 掌握AAA认证和授权的配置
认证:验证用户是否可以获得网络访问的权限。
AAA支持的认证方式有:不认证、本地认证、远端认证。
授权:授权用户可以访问或使用网络上的哪些服务。
AAA支持的授权方式有:不授权、本地授权、远端授权。
计费:记录用户使用网络资源的情况。
AAA支持的计费方式有:不计费、远端计费。
AAA可以通过域来对用户进行管理,不同的域可以关联不同的认证、授权和计费方案。
AAA配置:
1. aaa——进入aaa的视图下
2. authentication-scheme auth1
3. authentication-mode local——指定域的方案为local
4. quit
5. authorization-scheme auth2
6. authorization-mode local——配置认证方案为本地
7. quit
8. domain in huawei——配置域的授权方案
9. authentication-scheme auth1——指定域的授权方式为auth1
10. authorization-scheme auth2——配置认证的方式为auth2
11. quit
AAA的具体配置:
1. local-user huawei@huawei password cipher huawei123——设置账号和密码
2. local-user huawei@huawei service-type telnet——设置服务类型为telnet
3. local-user huawei@huawei privilege level 0——配置优先级为0
4. quit
5. user-interface vty 0 4——进入ui-vty-0-4
6. authentication-mode aaa——使能AAA
配置验证:display domain name huawei
如果ARG3系列路由器上创建用户时,没有关联自定义的域,则该用户属于缺省域——default域。
9.1 SNMP原理与配置
简单网络管理协议SNMP 可以实现对不同种类和不同厂商的网络设备进行统一管理,大大提升了网络管理的效率。
学习目标:
1. 掌握SNMP的基本概念
2. 掌握SNMP的基本配置
SNMP用来在网络管理系统NMS和被管理设备之间传输管理信息。
NMS:安装了网络管理系统的服务器
SNMP版本:
* SNMPv1——实现方便,安全性弱
* SNMPv2c——有一定的安全性,现在应用最为广泛
* SNMPv3——定义了一种管理框架,为用户提供了安全的访问机制
SNMP配置:
snmp-agent——使能SNMP代理
snmp-agent sys-info version v2c——设置SNMP版本号
snmp-agent trap enable——使能告警功能
snmp-agent trap source g0/0/1——设置告警功能源地址为g0/0/1
配置验证:display snmp-agent sys-info
配置SNMP时,默认的版本号是SNMP的所有版本。
代理进程Agent发送trap信息给NMS时,目的端口号是多少?
代理进程Agent使用的是UDP协议向NMS发送信息,端口号为162。
声明:本文转载需注明出处。