路由交换知识点总结

一、网络模型分类

OSI七层模型:

        面向用户应用:(上三层)应用层,表示层,会话层。

        面向数据传输(下四层):传输层,网络层,数据链路层,物理层。

        数据链路层、网络层、传输层传输协议的单元分别是:帧,包,段。

        二层的封装报头为:源Mac 目的Mac 

        三层的封装报头为:源IP 目的IP

        四层的封装报头为:源端口目的端口。

        MAC地址占48bit,ip地址占32bit,端口占16bit

 TCP/IP四层模型:

            应用层:

                   应用层是开放系统的最高层,是直接为应用进程提供服务的。

            传输层:使用TCP与UDP两种协议。

                   TCP是可靠的传输机制,依靠确认重传机制提高可靠性;滑动窗口机制提高效率。

                   TCP利用三次握手,可以使用拒绝服务攻击。         

                   UDP是不可靠的传输机制,视频和语音都是基于UDP          

            Internet层:

                  实现两个端系统之间的数据透明传送,具体功能包括寻址和路由选择、连接的建立、保持和终止等。

            网络接入层:

                   网络中直接面向用户连接或访问的部分,接入层目的是允许终端用户连接到网络。

 Cisco三层模型:

            核心层,汇聚层,接入层。

 

 

二、IP和子网

IP(Internet Protocol),互联网协议。分为IPv4和IPv6

IP是逻辑地址,可以变化,IPv4占32bit;IPv6占128bit。

IPv4地址分为A、B、C、D、E五类,其中A、B、C是常用地址,D类为组播地址。

  A类:1.0.0.1-216.255.255.254(0.x.x.x保留作为科研使用,127.x.x.x保留,作为自身回环地址使用)

        B类:128.0.0.1-191.255.255.254

        C类:192.0.0.1-223.255.255.253

        D类:224.0.0.1-239.255.255.254

        E类:240.0.0.1-255.255.255.254

    其中一部分作为私网地址:

        A:10.0.0.1 - 10.255.255.254

        B:172.16.0.1 - 172.31.255.254

        C:192.168.0.1 - 192.168.255.254

 

    IP地址=网络位+主机位(网络位相同,主机位不同就叫做同网段)

    子网掩码mask:表示网络位的长度。

    主机位全0为网络地址,主机位全1为广播地址;其余为可用主机地址。

    主机位的变化范围:网络地址+可用主机地址+广播地址。

    

    VLSM,可变长子网掩码,针对IPv4。

        VLSM的作用就是在有类的IP地址的基础上,从他们的主机号部分借出一定的位数来做网络号,也就是增加网络号的位数。

        例如:

        神州数码公司是一家新成立的公司。一共有5个部门。其中每个部门各有30台电脑。现在公司申请了一个新的网段192.168.0.0/24,请将该网段分配给每个部门,并且写出每个部门的具体网段范围。

                 5个部门,2^2<5<2^3

              因此需要借3位,子网数有8个:

              192.168.0.0/27;192.168.32.0/27;192.168.64.0/27;192.168.96.0/27

              192.168.128.0/27;192.168.160.0/27;192.168.192.0/27;192.168.224.0/27

              选出其中的5个作为5个部门的网段

              第一部门:192.168.0.0~192.168.0.31

              第二部门:192.168.32.0~192.168.32.31

              第三部门:192.168.64.0~192.168.64.31

              第四部门:192.168.96.0~192.168.96.31

              第五部门:192.168.128.0~192.168.128.31

 

三、路由

 路由器:连接不同网段的设备,使用路由表查询方式。工作在网络层,每个接口都是一个广播域和一个冲突域。

通信路径来回是否需要一致:路由器不需一致;防火墙需要一致。

路由是一种PHB行为(per-hop-behavior 每跳行为)

路由条目:目标网段+本地出接口/下一跳路由IP。

路由跟踪:tracert x.x.x.x   PC机   traceroute x.x.x.x 路由器

路由协议的分类:

1、根据作用范围分类:

IGP(内部网关路由协议):除BGP以外所有路由协议

EGP(外部网关路由协议):BGP协议

2、根据工作原理分类:

静态路由协议

动态路由协议:

i):距离矢量路由协议:RIP、EIGRP、BGP    交互路由条目

ii):链路状态路由协议:OSPF、IS-IS      交互链路状态

    

静态路由:默认AD值为1

手动添加,安全,配置简单;不能适应变化。

               配置:ip route 目标网段地址目标网段掩码下一跳地址/出接口

默认路由:特殊的静态路由,用于网络末梢或单出口网络环境

                       ip route 0.0.0.0 0.0.0.0 下一跳地址/出接口

浮动静态路由:静态路由备份技术(平时查看路由表不可见,当原有链路断时生效)

                       ip route 目标网段地址 目标网段掩码 下一跳地址/出接口 AD值

黑洞路由:

                       ip route 目标网段地址 目标网段掩码 null0 该命令会将去往目标网段的流量全部丢包。

 

 

 动态路由:

路由协议研究:手动配置,自动维护

1、管理距离 AD 

静态         1

            RIP           120

            EIGRP       90和170

            OSPF        110

            IS-IS         115

            BGP         20和200

          2、度量值metric:衡量路径好坏的值,一般使用跳数或带宽

          3、算法

                 RIP:routing information protocol 路由信息协议

RIP基于UDP 520端口

                      RIPv1 有类路由协议,不支持VLSM

RIPv2 无类,使用224.0.0.9组播更新,自动汇总要关闭后支持VLSM。

RIPng 支持IPv6

最大支持15跳,不支持大网络

自动汇总

汇总:将无类路由转化成有类路由的过程

被动接口技术,只收不发的接口

定时器,每三十秒更新一次

                       配置:

                           conf t

                           router rip                    //启用rip协议

                            version 2                    //版本2

                             no auto-summary           //关闭自动汇总

                               network x.x.x.x                    //宣告网络

                               exit

         

                 EIGRP:增强内部网关路由线路协议

                      高级距离矢量路由协议

                      EIGRP由于存在距离矢量特征,也会出现自动汇总

自动汇总要关闭后支持VLSM

DUAL算法弥散更新算法

支持快速收敛

建立邻居表,生成拓扑表,通过DUAL算法算出路由表

收敛:从变化到稳定的过程

EIGRP支持带掩码的发布

最大条数225跳(极限跳数)

支持等价和不等价负载均衡

名词解释:

FD :  可行性距离,源到目标网络的距离,FD最小的作为最佳路径。

        可行性距离FD=通告距离AD+带宽延迟

AD:通告距离,下一跳路由器到达目标网络距离。

FS:可行继任者,备用路径的下一跳路由器。

S:继任者, 最佳路径的下一跳路由器。

FC:可行性条件,作用是为了保证EIGRP协议100%无环。

                      

                      配置:

conf t

router eigrp x                      

no auto-summary

network x.x.x.x(网段) x.x.x.x(反掩码)

exi

 

查看命令:

show ip eigrp neighbors 查看eigrp邻居表

show ip eigrp topology  查看eigrp拓扑表

show ip route eigrp      查看eigrp路由表

                 OSPF:开放最短路径优先协议

                      使用hello包建立和维护邻居

                      以组播方式发hello包建立,以单播方式维护邻居

邻居关系:不能交互链路信息

邻接关系:能交互链路信息

建立邻居表,生成链路状态数据库,通过SPF算法算出路由表

分层网络,分区域,骨干,非骨干区域

Cost值=参考带宽/当前接口带宽(参考带宽默认为100)

每台OSPF路由器都存在router-id,手动指定或者自动选举,RID的ip不需要真实存在

自动选举RID原则:

1、是否存在lookback接口,选举lookback接口IP最大的

2、如果没有lookback,选择物理接口IP最大的

 

DR选举原则:有比较接口优先级(默认为1),再选举RID最大者

修改接口优先级命令:接口视图下ip ospf priority(默认为1,范围1~255,越大越好,0表示不参与选举)

点对点类型的网络不需要选举DR/BDR,非广播多路访问类型的网络需要手动建立邻居。

名词解释:

      DR:指定路由器

BDR:备份指定路由器

DRother:非DR与BDR

                      配置:

                            Conf t

                                  Router ospf x    

                                  Router-id x.x.x.x    //手动选定RID

                                  Network x.x.x.x(网段) x.x.x.x(反掩码) area x //在区域x宣告网段

                                  Exit

                      查看:

                           Show ip ospf neighbors 查看ospf邻居表

                            Show ip ospf database  查看ospf链路状态数据库

                            Show ip route ospf    查看ospf路由表

      DHCP功能:提供IP 掩码 网关 DNS

DHCP过程:

DHCP客户端发出DHCP广播请求

DHCP服务器端回应DHCP数据包

部署分类:

同网段部署

跨网段部署,DHCP中继请求,网关把广播转换成单播,发送给DHCP服务器

配置:

      同网段:

conf t

service dhcp(默认开启)

 ip dhcp pool xxx

 network 10.1.10.0 /24

 default-router 10.1.10.254

 dns-server 8.8.8.8

 exit

DHCP地址排除命令:ip dhcp excluded-address x.x.x.x(起始地址)x.x.x.x(结束地址)

                 跨网段:

                      在网关配置ip helper-address x.x.x.x(DHCP服务器的地址)
           防范私自搭建DHCP服务器的方法:交换机端口安全功能:MAC学习限制或指定MAC

 

四、交换

      交换机:

           工作原理:学习MAC地址,形成CAM表,记录MAC和端口的对应关系,单播依据

           交换机是一个广播域(不划分VLAN情况下),每个端口都是一个冲突域。

     

      VLAN:虚拟局域网

           VLAN可以实现广播域的隔离,广播域数量变多,变安全,可管理性提高

VLAN ID范围: 0-4095(可用的是1-4094)封装中占12bit

思科的1002~1005保留给非以太网

默认所有端口都属于VLAN 1

VLAN配置在show run看不见

VLAN数据库不存在在running-config和starup-config

VLAN数据存放在flash里面,flash:vlan.dat

           配置与查看:

                 模拟器中:

                      Vlan database

                            Vlan x

                            Exi

                      Show vlan-switch brief

                 真机中:

                      Conf t

                            Vlan x

                      Show vlan brief

 

      链路:

           Trunk链路:交换机互连,或者连接路由器,传递多个VLAN信息

Access链路:接PC或服务器

配置:

switchport mode trunk

            或switchport mode access

                 Switchport access vlan x  //划分该端口给vlan x

      单臂路由:  实现VLAN间通信

1、int fx/x.x          //进入子接口

2、encapsulattion dot1q vlan-id  //将vlan x绑定该子接口

3、配置子接口IP   

     

多层交换:2层交换+路由引擎

交换虚拟接口: switch virtual interface SVI

三层交换:routed port路由模式(no switchport)  

L3端口   思科私有,可在交换机物理接口上配置IP

           switchport 交换模式                                

   L2端口

     

      链路捆绑(EC Ethernet channel 以太网通道):多个端口聚合成多个端口(配置时先把端口shutdown)

作用:提高带宽同时提供备份

实现协议:

PAGP端口聚合协议,思科私有

LAGP链路聚合协议,公有

EC有两种:2层EC和3层EC

      2层配置:

          Int rang fx/x –x       //进入x/x –x等接口配置

                 Shutdown         //将端口手动down

                 switchport trunk encapsulation dotlq  //将trunk链路协议改为802.1q

                 channel-group x mode on //将端口绑定入EC x 模式on

                 no shutdown

      3层配置:

           Int rang fx/x –x                 //进入x/x –x等接口配置

                Shutdown              //将端口手动down

                 No switchport               //开启端口路由功能

                 channel-group x mode on    //将端口绑定入EC x 模式on

                 int port-channel x           //进入绑定端口x

                ip address x.x.x.x x.x.x.x         //绑定端口配置IP

                 no shutdown

                 exit

           Int rang fx/x –x                 //进入x/x –x等接口配置

                 No shutdown

五、生成树(spanning-tree)作用:环路避免功能,提供备份链路

最终目标:找到一个不能转发数据的端口Block端口,其他端口都是属于转发Forward端口

1、根交换机     root bridge RB 根桥

根桥选举原则:先比较桥优先级最小的,在比较mac地址最小的

默认优先级32768,最小是0,4096的倍数

bridge-id 桥ID=桥优先级+桥MAC

2、干:非根桥选举接收根桥信息的端口,根端口 root port RP

根端口选举原则:cost值,自动计算和手动指定两种

手动指定对端端口cost值

3、找到block    比较发送者的bridge-id

 

BPDU包=桥协议数据单元,每两秒发一次

切换状态和时间

阻塞block      20s

监听listening  15s

学习learning   15s

转发forward    

 

生成树协议:

标准生成树:        802.1D                只有一颗生成树,没有流量负载分担效果

快速生成树:        802.1W                只有一颗生成树,没有流量负载分担效果

多实例生成树:      802.1S                将多个VLAN映射到同一个实例IST

每VLAN生成树:      PVST+            思科私有  

快速每VLAN生成树:  RPVST+            思科私有  

GNS3只支持PVST+,Cisco默认开启STP

 

六、ACL/NAT

       ACL:访问控制列表

            数据包结构(五元组):源IP 目的IP 源端口 目的端口 DATA数据

访问控制即读取数据包结构的前四个要素,进行控制

控制包括允许和拒绝两种

源端口比较少用

接口下进行,有方向性,进in 出out

1-99     标准访问控制只能控制源IP

100-199  扩展访问控制控制五元组

配置和调用:

1-99:access-list permit/deny x.x.x.x (反掩码x.x.x.x)

100-199:access permit/deny ip/tcp/ udp/icmp/ospf/eigrp源IP 反掩码 目的IP反掩码eq 端口号

默认会添加access-list x deny ip any any

调用:ip access-group x in/out

 

举例:

R1路由器只允许被pc机10.1.1.1 telnet

  line vty 0 4

    access-class 2 in

    exit

  access-list 2 permit 10.1.1.1

  end      

 

只允许访问TCP23号端口,其他都拒绝

access-list 100 permit tcp any any eq 23

 

禁ping操作:

ip access-group 100 in

access-list 100 deny icmp any any

access-list 100 permit ip any any

 

           命名ACL:

           ip access-list stand/extended name

 num permit/deny 内容

 num permit/deny 内容

 exit

int f0/0

 ip access-group name in/out

 exit

 

NAT:把私网地址转换成公网地址,带动内网上网

网络地址转换:只有路由器和防火墙可以实现,多层交换机不行

设备划分区域:inside  outside

NAT是把inside的私网IP转换inside的公网IP访问外网

配置:

1、指定inside和outside端

2、NAT主命令配置

 

内网端口:ip nat inside(单臂路由,inside端要写在子接口上)

外网端口:ip nat outside

 

端口复用NAT-PAT:

ip nat inside source list 1 interface f1/0 overload

access-list 1 permit any

overload:端口复用,实现多台PC一起上网

 

地址池NAT,动态NAT:

ip nat inside source list 1 pool ccna overload

ip nat pool ccna x.x.x.x x.x.x.x prefix -length 掩码位数

access-list 1 permit any

 

 

静态NAT应用场合:内网服务需要被外网访问到

1、静态IP NAT

ip nat inside source static 内网IP 公网IP

2、静态端口映射NAT

ip nat inside  source  static tcp/udp 内网ip 内网端口公网IP 外网端口

 

七、广域网WAN:

      三种封装:HDLC、PPP、FR

      PPP=LCP+NCP

LCP 链路控制协议验证明文验证pap+密文验证chap 

NCP 网络控制协议获取IP

      客户端:

ppp pap sent-username 123456 password 123456

服务器端:

int s0/0

                ppp authentication pap

                 exit

username 123456 password 123456

 

查看PPP认证过程 debug ppp authentication

PAP只需要认证一次

 

八、冗余网关:

HSRP:热备份路由协议  思科私有

GLBP网关负载均衡协议   思科私有  同一个网段中实现负载均衡

VRRP:拟路由器路由协议   公有

切换时间默认10s,hello时间3s

出口跟踪功能,出口故障后,惩罚优先级

稳定性原则,抢占功能,实时比较,变化后直接抢占

活动网关选举原则:

(1)选举优先级高的。默认100,范围1-155

(2)选举物理接口IP地址比较大的。

      配置:

HSRP配置:

int vlan 10

ip add x.x.x.x x.x.x.x

standy 10 ip x.x.x.x        //虚拟网关的ip地址

standby 10 priority xx      //设置优先级,不要设置太大,一般设置110或120

standby 10 preemt           //开启实时抢占功能

standby 10 trace fx/x xx    //惩罚优先级,当fx/x端口断掉之后,将此优先级降下xx

 

VRRP配置:

int vlan 10

ip add x.x.x.x x.x.x.x

vrrp 10 ip x.x.x.x       //虚拟网关的ip地址

vrrp 10 priority xx     //配置优先级

exit

 

GLBP配置:

int vlan xx

ip add x.x.x.x x.x.x.x

glbp xx ip x.x.x.x     //虚拟虚拟网关

glbp xx priority xx   //配置优先级

posted @ 2017-11-20 11:22  Huosirui  阅读(13332)  评论(0编辑  收藏  举报