路由交换知识点总结
一、网络模型分类
OSI七层模型:
面向用户应用:(上三层)应用层,表示层,会话层。
面向数据传输(下四层):传输层,网络层,数据链路层,物理层。
数据链路层、网络层、传输层传输协议的单元分别是:帧,包,段。
二层的封装报头为:源Mac 目的Mac
三层的封装报头为:源IP 目的IP
四层的封装报头为:源端口目的端口。
MAC地址占48bit,ip地址占32bit,端口占16bit
TCP/IP四层模型:
应用层:
应用层是开放系统的最高层,是直接为应用进程提供服务的。
传输层:使用TCP与UDP两种协议。
TCP是可靠的传输机制,依靠确认重传机制提高可靠性;滑动窗口机制提高效率。
TCP利用三次握手,可以使用拒绝服务攻击。
UDP是不可靠的传输机制,视频和语音都是基于UDP
Internet层:
实现两个端系统之间的数据透明传送,具体功能包括寻址和路由选择、连接的建立、保持和终止等。
网络接入层:
网络中直接面向用户连接或访问的部分,接入层目的是允许终端用户连接到网络。
Cisco三层模型:
核心层,汇聚层,接入层。
二、IP和子网
IP(Internet Protocol),互联网协议。分为IPv4和IPv6
IP是逻辑地址,可以变化,IPv4占32bit;IPv6占128bit。
IPv4地址分为A、B、C、D、E五类,其中A、B、C是常用地址,D类为组播地址。
A类:1.0.0.1-216.255.255.254(0.x.x.x保留作为科研使用,127.x.x.x保留,作为自身回环地址使用)
B类:128.0.0.1-191.255.255.254
C类:192.0.0.1-223.255.255.253
D类:224.0.0.1-239.255.255.254
E类:240.0.0.1-255.255.255.254
其中一部分作为私网地址:
A:10.0.0.1 - 10.255.255.254
B:172.16.0.1 - 172.31.255.254
C:192.168.0.1 - 192.168.255.254
IP地址=网络位+主机位(网络位相同,主机位不同就叫做同网段)
子网掩码mask:表示网络位的长度。
主机位全0为网络地址,主机位全1为广播地址;其余为可用主机地址。
主机位的变化范围:网络地址+可用主机地址+广播地址。
VLSM,可变长子网掩码,针对IPv4。
VLSM的作用就是在有类的IP地址的基础上,从他们的主机号部分借出一定的位数来做网络号,也就是增加网络号的位数。
例如:
神州数码公司是一家新成立的公司。一共有5个部门。其中每个部门各有30台电脑。现在公司申请了一个新的网段192.168.0.0/24,请将该网段分配给每个部门,并且写出每个部门的具体网段范围。
5个部门,2^2<5<2^3
因此需要借3位,子网数有8个:
192.168.0.0/27;192.168.32.0/27;192.168.64.0/27;192.168.96.0/27
192.168.128.0/27;192.168.160.0/27;192.168.192.0/27;192.168.224.0/27
选出其中的5个作为5个部门的网段
第一部门:192.168.0.0~192.168.0.31
第二部门:192.168.32.0~192.168.32.31
第三部门:192.168.64.0~192.168.64.31
第四部门:192.168.96.0~192.168.96.31
第五部门:192.168.128.0~192.168.128.31
三、路由
路由器:连接不同网段的设备,使用路由表查询方式。工作在网络层,每个接口都是一个广播域和一个冲突域。
通信路径来回是否需要一致:路由器不需一致;防火墙需要一致。
路由是一种PHB行为(per-hop-behavior 每跳行为)
路由条目:目标网段+本地出接口/下一跳路由IP。
路由跟踪:tracert x.x.x.x PC机 traceroute x.x.x.x 路由器
路由协议的分类:
1、根据作用范围分类:
IGP(内部网关路由协议):除BGP以外所有路由协议
EGP(外部网关路由协议):BGP协议
2、根据工作原理分类:
静态路由协议
动态路由协议:
i):距离矢量路由协议:RIP、EIGRP、BGP 交互路由条目
ii):链路状态路由协议:OSPF、IS-IS 交互链路状态
静态路由:默认AD值为1
手动添加,安全,配置简单;不能适应变化。
配置:ip route 目标网段地址目标网段掩码下一跳地址/出接口
默认路由:特殊的静态路由,用于网络末梢或单出口网络环境
ip route 0.0.0.0 0.0.0.0 下一跳地址/出接口
浮动静态路由:静态路由备份技术(平时查看路由表不可见,当原有链路断时生效)
ip route 目标网段地址 目标网段掩码 下一跳地址/出接口 AD值
黑洞路由:
ip route 目标网段地址 目标网段掩码 null0 该命令会将去往目标网段的流量全部丢包。
动态路由:
路由协议研究:手动配置,自动维护
1、管理距离 AD
静态 1
RIP 120
EIGRP 90和170
OSPF 110
IS-IS 115
BGP 20和200
2、度量值metric:衡量路径好坏的值,一般使用跳数或带宽
3、算法
RIP:routing information protocol 路由信息协议
RIP基于UDP 520端口
RIPv1 有类路由协议,不支持VLSM
RIPv2 无类,使用224.0.0.9组播更新,自动汇总要关闭后支持VLSM。
RIPng 支持IPv6
最大支持15跳,不支持大网络
自动汇总
汇总:将无类路由转化成有类路由的过程
被动接口技术,只收不发的接口
定时器,每三十秒更新一次
配置:
conf t
router rip //启用rip协议
version 2 //版本2
no auto-summary //关闭自动汇总
network x.x.x.x //宣告网络
exit
EIGRP:增强内部网关路由线路协议
高级距离矢量路由协议
EIGRP由于存在距离矢量特征,也会出现自动汇总
自动汇总要关闭后支持VLSM
DUAL算法弥散更新算法
支持快速收敛
建立邻居表,生成拓扑表,通过DUAL算法算出路由表
收敛:从变化到稳定的过程
EIGRP支持带掩码的发布
最大条数225跳(极限跳数)
支持等价和不等价负载均衡
名词解释:
FD : 可行性距离,源到目标网络的距离,FD最小的作为最佳路径。
可行性距离FD=通告距离AD+带宽延迟
AD:通告距离,下一跳路由器到达目标网络距离。
FS:可行继任者,备用路径的下一跳路由器。
S:继任者, 最佳路径的下一跳路由器。
FC:可行性条件,作用是为了保证EIGRP协议100%无环。
配置:
conf t
router eigrp x
no auto-summary
network x.x.x.x(网段) x.x.x.x(反掩码)
exi
查看命令:
show ip eigrp neighbors 查看eigrp邻居表
show ip eigrp topology 查看eigrp拓扑表
show ip route eigrp 查看eigrp路由表
OSPF:开放最短路径优先协议
使用hello包建立和维护邻居
以组播方式发hello包建立,以单播方式维护邻居
邻居关系:不能交互链路信息
邻接关系:能交互链路信息
建立邻居表,生成链路状态数据库,通过SPF算法算出路由表
分层网络,分区域,骨干,非骨干区域
Cost值=参考带宽/当前接口带宽(参考带宽默认为100)
每台OSPF路由器都存在router-id,手动指定或者自动选举,RID的ip不需要真实存在
自动选举RID原则:
1、是否存在lookback接口,选举lookback接口IP最大的
2、如果没有lookback,选择物理接口IP最大的
DR选举原则:有比较接口优先级(默认为1),再选举RID最大者
修改接口优先级命令:接口视图下ip ospf priority(默认为1,范围1~255,越大越好,0表示不参与选举)
点对点类型的网络不需要选举DR/BDR,非广播多路访问类型的网络需要手动建立邻居。
名词解释:
DR:指定路由器
BDR:备份指定路由器
DRother:非DR与BDR
配置:
Conf t
Router ospf x
Router-id x.x.x.x //手动选定RID
Network x.x.x.x(网段) x.x.x.x(反掩码) area x //在区域x宣告网段
Exit
查看:
Show ip ospf neighbors 查看ospf邻居表
Show ip ospf database 查看ospf链路状态数据库
Show ip route ospf 查看ospf路由表
DHCP功能:提供IP 掩码 网关 DNS
DHCP过程:
DHCP客户端发出DHCP广播请求
DHCP服务器端回应DHCP数据包
部署分类:
同网段部署
跨网段部署,DHCP中继请求,网关把广播转换成单播,发送给DHCP服务器
配置:
同网段:
conf t
service dhcp(默认开启)
ip dhcp pool xxx
network 10.1.10.0 /24
default-router 10.1.10.254
dns-server 8.8.8.8
exit
DHCP地址排除命令:ip dhcp excluded-address x.x.x.x(起始地址)x.x.x.x(结束地址)
跨网段:
在网关配置ip helper-address x.x.x.x(DHCP服务器的地址)
防范私自搭建DHCP服务器的方法:交换机端口安全功能:MAC学习限制或指定MAC
四、交换
交换机:
工作原理:学习MAC地址,形成CAM表,记录MAC和端口的对应关系,单播依据
交换机是一个广播域(不划分VLAN情况下),每个端口都是一个冲突域。
VLAN:虚拟局域网
VLAN可以实现广播域的隔离,广播域数量变多,变安全,可管理性提高
VLAN ID范围: 0-4095(可用的是1-4094)封装中占12bit
思科的1002~1005保留给非以太网
默认所有端口都属于VLAN 1
VLAN配置在show run看不见
VLAN数据库不存在在running-config和starup-config
VLAN数据存放在flash里面,flash:vlan.dat
配置与查看:
模拟器中:
Vlan database
Vlan x
Exi
Show vlan-switch brief
真机中:
Conf t
Vlan x
Show vlan brief
链路:
Trunk链路:交换机互连,或者连接路由器,传递多个VLAN信息
Access链路:接PC或服务器
配置:
switchport mode trunk
或switchport mode access
Switchport access vlan x //划分该端口给vlan x
单臂路由: 实现VLAN间通信
1、int fx/x.x //进入子接口
2、encapsulattion dot1q vlan-id //将vlan x绑定该子接口
3、配置子接口IP
多层交换:2层交换+路由引擎
交换虚拟接口: switch virtual interface SVI
三层交换:routed port路由模式(no switchport)
L3端口 思科私有,可在交换机物理接口上配置IP
switchport 交换模式
L2端口
链路捆绑(EC Ethernet channel 以太网通道):多个端口聚合成多个端口(配置时先把端口shutdown)
作用:提高带宽同时提供备份
实现协议:
PAGP端口聚合协议,思科私有
LAGP链路聚合协议,公有
EC有两种:2层EC和3层EC
2层配置:
Int rang fx/x –x //进入x/x –x等接口配置
Shutdown //将端口手动down
switchport trunk encapsulation dotlq //将trunk链路协议改为802.1q
channel-group x mode on //将端口绑定入EC x 模式on
no shutdown
3层配置:
Int rang fx/x –x //进入x/x –x等接口配置
Shutdown //将端口手动down
No switchport //开启端口路由功能
channel-group x mode on //将端口绑定入EC x 模式on
int port-channel x //进入绑定端口x
ip address x.x.x.x x.x.x.x //绑定端口配置IP
no shutdown
exit
Int rang fx/x –x //进入x/x –x等接口配置
No shutdown
五、生成树(spanning-tree)作用:环路避免功能,提供备份链路
最终目标:找到一个不能转发数据的端口Block端口,其他端口都是属于转发Forward端口
1、根交换机 root bridge RB 根桥
根桥选举原则:先比较桥优先级最小的,在比较mac地址最小的
默认优先级32768,最小是0,4096的倍数
bridge-id 桥ID=桥优先级+桥MAC
2、干:非根桥选举接收根桥信息的端口,根端口 root port RP
根端口选举原则:cost值,自动计算和手动指定两种
手动指定对端端口cost值
3、找到block 比较发送者的bridge-id
BPDU包=桥协议数据单元,每两秒发一次
切换状态和时间
阻塞block 20s
监听listening 15s
学习learning 15s
转发forward
生成树协议:
标准生成树: 802.1D 只有一颗生成树,没有流量负载分担效果
快速生成树: 802.1W 只有一颗生成树,没有流量负载分担效果
多实例生成树: 802.1S 将多个VLAN映射到同一个实例IST
每VLAN生成树: PVST+ 思科私有
快速每VLAN生成树: RPVST+ 思科私有
GNS3只支持PVST+,Cisco默认开启STP
六、ACL/NAT
ACL:访问控制列表
数据包结构(五元组):源IP 目的IP 源端口 目的端口 DATA数据
访问控制即读取数据包结构的前四个要素,进行控制
控制包括允许和拒绝两种
源端口比较少用
接口下进行,有方向性,进in 出out
1-99 标准访问控制只能控制源IP
100-199 扩展访问控制控制五元组
配置和调用:
1-99:access-list permit/deny x.x.x.x (反掩码x.x.x.x)
100-199:access permit/deny ip/tcp/ udp/icmp/ospf/eigrp源IP 反掩码 目的IP反掩码eq 端口号
默认会添加access-list x deny ip any any
调用:ip access-group x in/out
举例:
R1路由器只允许被pc机10.1.1.1 telnet
line vty 0 4
access-class 2 in
exit
access-list 2 permit 10.1.1.1
end
只允许访问TCP23号端口,其他都拒绝
access-list 100 permit tcp any any eq 23
禁ping操作:
ip access-group 100 in
access-list 100 deny icmp any any
access-list 100 permit ip any any
命名ACL:
ip access-list stand/extended name
num permit/deny 内容
num permit/deny 内容
exit
int f0/0
ip access-group name in/out
exit
NAT:把私网地址转换成公网地址,带动内网上网
网络地址转换:只有路由器和防火墙可以实现,多层交换机不行
设备划分区域:inside outside
NAT是把inside的私网IP转换inside的公网IP访问外网
配置:
1、指定inside和outside端
2、NAT主命令配置
内网端口:ip nat inside(单臂路由,inside端要写在子接口上)
外网端口:ip nat outside
端口复用NAT-PAT:
ip nat inside source list 1 interface f1/0 overload
access-list 1 permit any
overload:端口复用,实现多台PC一起上网
地址池NAT,动态NAT:
ip nat inside source list 1 pool ccna overload
ip nat pool ccna x.x.x.x x.x.x.x prefix -length 掩码位数
access-list 1 permit any
静态NAT应用场合:内网服务需要被外网访问到
1、静态IP NAT
ip nat inside source static 内网IP 公网IP
2、静态端口映射NAT
ip nat inside source static tcp/udp 内网ip 内网端口公网IP 外网端口
七、广域网WAN:
三种封装:HDLC、PPP、FR
PPP=LCP+NCP
LCP 链路控制协议验证明文验证pap+密文验证chap
NCP 网络控制协议获取IP
客户端:
ppp pap sent-username 123456 password 123456
服务器端:
int s0/0
ppp authentication pap
exit
username 123456 password 123456
查看PPP认证过程 debug ppp authentication
PAP只需要认证一次
八、冗余网关:
HSRP:热备份路由协议 思科私有
GLBP网关负载均衡协议 思科私有 同一个网段中实现负载均衡
VRRP:拟路由器路由协议 公有
切换时间默认10s,hello时间3s
出口跟踪功能,出口故障后,惩罚优先级
稳定性原则,抢占功能,实时比较,变化后直接抢占
活动网关选举原则:
(1)选举优先级高的。默认100,范围1-155
(2)选举物理接口IP地址比较大的。
配置:
HSRP配置:
int vlan 10
ip add x.x.x.x x.x.x.x
standy 10 ip x.x.x.x //虚拟网关的ip地址
standby 10 priority xx //设置优先级,不要设置太大,一般设置110或120
standby 10 preemt //开启实时抢占功能
standby 10 trace fx/x xx //惩罚优先级,当fx/x端口断掉之后,将此优先级降下xx
VRRP配置:
int vlan 10
ip add x.x.x.x x.x.x.x
vrrp 10 ip x.x.x.x //虚拟网关的ip地址
vrrp 10 priority xx //配置优先级
exit
GLBP配置:
int vlan xx
ip add x.x.x.x x.x.x.x
glbp xx ip x.x.x.x //虚拟虚拟网关
glbp xx priority xx //配置优先级