华为网络工程师认证HCNA
2 学习工具
Ⅰ:截图greenshort
Ⅱ:有道云笔记
Ⅲ:vnc
3 vmware workstation:模拟虚拟机,搭建学习和测试环境。vmware是全球虚拟化最好的公司。
vmware 12.1可以安装win 10
4 操作系统(OS operating system)
格式:iso(原版).GHO(第三方)
winxp---->win vista---->win7---->win8(8.1)--->win10
5 快照功能:可以恢复到以前的一个状态
克隆功能:copy一份
6 关闭客户机:相当于直接断开电源
7 配置虚拟机使其可以上网
Ⅰ:让vm0桥接到无线网卡
Ⅱ:将虚拟机的网卡选择自定义到vmnet 0
8 学习环境准备
关闭防火墙和所有的杀毒以及卫士、毒霸
环回网卡安装
cisco packetracert
ENSP 华为
卸载
winpcap
wireshark
ensp
oracle virtual box
9.网络概述
网络类型:
Ⅰ:P2P型:只允许两台路由器相连,支持广播组播。(点对点)
Ⅱ:MA型:两台或两台以上的路由器通过共享介质相连,支持广播组播。(广播型)
Ⅲ:NBMA型:(完全连接的帧中续网络)允许两台或两台以上的路由器通过VC相连,不支持广播组播。
Ⅳ:P2MP型:(非完全连接的帧中续网络)多个点到点网络的集合,支持广播组播。
查询服务器所在的地址
10 IP
IP:internet protocol 标识一台网络设备唯一的ID标识,类似公民的身份证号。全球唯一。
例如:192.168.31.1
11 ping:测试两个网络设备的联通性,参考的协议标准ICMP。
ICMP:internet eontrol message protocol ping 指令封装数据包参考的协议
12 OSI 参考模型
一层:物理层:规定了物理介质、网线、光纤、电压电流等
二层:数据链路层:MAC地址
三层:网络层:IP地址、路由器
四层:传输层:端口号 例如:80端口
五层
六层 统称高层
七层
13 MAC地址:网卡物理地址,16进制 网卡出厂时烧录在芯片里面的一串全球唯一的地址。(默认情况下不能更改)
14 TCPIP模型:tcp\ip模型是很多个网络协议的集合,其中以tcp和ip协议为主,这些协议的集合称为TCP\IP协议族(簇)。该模型是目前数据包封装主要参考的模型。
五层模型:
一层物理层
二层数据链路层:MAC
三层网络层:IP
四层传输层:端口
五层应用层:用户数据DATA
15 数据包结构
16 IPv4地址:点分十进制 32bit
192.168.1.100
17 48 ip地址:网络位+主机位
IP:192.168.1.2 掩码:255.255.255.0
192.168.1 2
网络位 主机位
网络位:子网掩码1bit对应的位是网络位
主机位:子网掩码0比特对应的位
注:主机位全0全1的ip地址和掩码的组合是无效的。
主机位全0:子网地址
主机位全1:子网广播地址
例如:
192.168.1.127 255.255.255.128
192.168.1.0 1111111
.1 0000000
网络位 主机位
主机位全1,无效
例如:
192.168.1.128 255.255.255.128
192.168.1.1 0000000
.1 0000000
网络位 主机位
主机位全0,无效
18 IP地址分类:
A类:1-126 默认子网掩码 255.0.0.0/8
B类:128-191 255.255.0.0/16
C类:192-223 255.255.255.0/24
D类:224-239 组播地址
E类:剩下 实验用
例如:
192.168.1.1 C类
172.16.1.1 B类
8.8.8.8 A类
19 特殊地址
127.x.x.x 本地环回测试地址 仅用来测试本机 代表自己
0.0.0.0 代表所有
255.255.255.255 广播
20 单播、组播、广播
单播:一对一
组播:一对一组用户,类似qq讨论组
广播:一对所有,群发
21 特殊二层MAC
全F ff-ff-ff-ff-ff-ff 广播
01-00-5e-xx-xx-xx 组播
22 网段:具有相同网络位的ip和掩码的组合称为同一个网段(局域网、子
网)
23 一个网段包含多少ip?
192.168.31.0 /24(8位主机位)
2^8=256-2=254个可用的主机IP地址
例如:192.168.2.192/26可用IP地址多少?
2^6=64-2=62个
例如:
192.168.2.252/30可用ip多少?
2^2-2=2个
192.168.2.111111 xx
网络位 主机位
192.168.2.111111 00
192.168.2.111111 01 可用(153)
192.168.2.111111 10 可用(254)
192.168.2.111111 11
可用地址:
192.168.2.253
192.168.2.254
例如:192.168.2.248/29可用ip多少?
6个
192.168.2.249-254
24 相同网段的PC互相通信时不需要网关
不同网段的PC互相通信需要网关做中转
注:不同网段的PC互相通信需要三层网络设备(如三层交换机、路由器、防火墙、服务器)做中转,该路由器作为PC的网关。
25 子网掩码、网关、DNS
子网掩码:规定了该ip地址所在的网段。
网关:当PC访问不同网段的服务时,需要将数据交给网关处理。网关通常为三层交换机、路由器、防火墙、服务器充当,网关地址就是设备的接口地址。
DNS:域名解析服务,将域名(网址)转换成IP地址。
26
私网地址:在任何地方都可以使用的ip地址
公网地址:全球唯一,需要花钱申请
ip地址紧缺:2^32=42.9亿
NAT+私网地址===》ip地址紧缺
私有地址范围:
A10.0.0.0/8
B172.16.0.0-172.31.255.255
C192.168.0.0/16
注:私网地址不能在公网上被传输(路由)。运营商如果发现收到的报文三层含有私有地址,则会将该报文直接丢弃。
27 可变长的IP地址
172.16.0.0/16 分成6个小子网?
2^m>=6, m=3; 因此需要三个bit的子网位
172.16. 000 00000.0
网络位 子网位 主机位
Ⅰ:172.16. 000 00000.0 172.16.0.0 /19
Ⅱ:172.16. 001 00000.0 172.16.32.0 /19
Ⅲ:172.16. 010 00000.0 172.16.64.0 /19
Ⅳ:172.16. 011 00000.0
Ⅴ:172.16. 100 00000.0
Ⅵ:172.16. 101 00000.0
Ⅶ:172.16. 110 00000.0
Ⅷ:172.16. 111 00000.0
28 TTL:time to live 生存周期:防止环路,起始值经过路由器是递减
29 tracert 8.8.8.8测试本地到达目标所经过的三层设备
30 ARP:(Address Resolution Protocol),通过目的IP地址,请求对方MAC地址的过程。
31.广播域:广播包可以发送的区域范围。路由器隔离广播域(广播包无法穿越路由器,路由器的每一个接口都是一个独立的广播域)。交换机不隔离广播域。
32.当一个pc访问外网时(访问的目标和自己不在同一网段),此时二层会封装网关的MAC地址。
33.TCP UDP
| 协议名称 | 详情 |
|---|---|
| TCP | 可靠传输、面向连接,速度慢但准确性高(例:下载软件 ) |
| UDP | 不可靠传输、非面向连接,速度快,但准确性差(例:直播数据) |
| 面向连接 | 如果某应用层协议的四层使用TCP端口,那么在正式的数据报文传输之前,需要先建立连接。只有建立了连接之后才可以传输数据。 |
| 注 | 建立连接先发送一个TCP包,然后才发送HTTP包。 |
| TCP的三次握手:面向连接的高层协议在正式传输数据之前需要先建立连接,建立连接的过程需要来回发送三个报文,我们将连接的过程称为三次握手。 | |
 |
|
| 步骤 | 详情 |
| -- | -- |
| 客户端---->服务器 | 携带一个SYN参数(seq=0) |
| 服务器---->客户端 | 携带SYN和ACK参数(seq=0 ack=1) |
| 客户端---->服务器 | 携带一个ACK参数(seq=1 ack=1)当第三次TCP的包经过路由器后,HTTP的包也封装完成开始发送。 |
| 注 | 建立连接需要经过三次握手(3个TCP的包)然后开始发送HTTP的包。 |
可靠传输:客户端收到第二次握手报文之后,需要发送TCP的ack确认包,并告诉服务端接下来要收到的报文的序号。同时该过程确定了两者传输的“Windows窗口”大小。
图中的ack告诉客户端接下来发送的数据包的序号,Windows告诉客户端服务端的缓存大小。
34 常用协议的端口号:
| 协议 | TCP端口号及用途 |
|---|---|
| HTTP | tcp 80 网页浏览 |
| telent | tcp 23 远程控制 |
| FTP | tcp 20 21 文件传输 |
| RDP | tcp 3389 远程桌面 |
| VNC | tcp 5900 萤幕画面分享及远端操作 |
35 测试某端口是否打开
在pc端键入命令:telnet IP地址 端口号
36 1-1024端口号:熟知端口(固定端口 已经分配)
1024 以后的端口称为随机端口
37 wireshark 过滤规则
| 表达式 | 效果 |
|---|---|
| ip.addr==x.x.x.x | 过滤只含有此IP的报文 |
| ip.src==x.x.x.x | 过滤源IP为此IP的报文 |
| ip.dst==x.x.x.x | 过滤目标IP为此IP的报文 |
| tcp.port==80 | 过滤端口为80的报文 |
| tcp.dstport==80 | 过滤目标端口为80的报文 |
| tcp.srcport==80 | 过滤源端口为80的报文 |
| eth.dst==dc:8b:28:4b:a9:47 | 过滤目标MAC为此地址的报文 |
| eth.src==dc:8b:28:4b:a9:47 | 过滤源MAC为此地址的报文 |
vnc arp http 过滤高层协议
and 且 or 或 not 非 支持()
例如:tcp or http and (not vnc)
38 思科 cisco :CCNA CCNP CCIE
华为 huawei:HCNA HCNP HCIE
39 华为命令行简介
< > 用户命令行模式 权限稍低
[ ] 系统命令行模式 权限高
< >--->[ ] 使用命令system-view
[ ]--->< > 使用命令quit
[]sysname R1 命名
[]quit 退出当前模式
?提示信息
命令行支持简写
tab键 补全命令
<>language-mode Chinese 提示语言改为中文
display current-configuration 显示当前配置
more:回车键翻一行,空格键翻一页,其他任意键退出。
ctrl+C:直接退出到用户模式
给接口配置IP地址:
int e0/0/0 进入接口e0/0/0
ip address 192.168.1.1 24 给接口配置ip地址和子网掩码
dis this 显示当前界面所做的配置
dis ip int brief 显示接口摘要
[Huawei]dis ip routing-table 显示路由表
40 路由表:路由器转发数据包的唯一依据,是路由器转发数据包的一张“地图”。
41 save 保存配置
42 [R1]undo info-center enable 关闭信息中心,防止弹出日志
43 直连路由:direct route,直接相连的路由,当路由器的接口配置好IP地址并up之后,会自动创建该路由。路由器默认情况下,只能到达直连的网段。
可以看出直连的只有12.1.1.0/24网段和23.1.1.0/24网段。
静态路由配置:
去包路由:PC1--->PC2(目标网段:172.16.1.0/24)
R1:
ip route-static 172.16.1.0 24 12.1.1.2
目标网段 下一跳
下一跳:(next-hop)下一个传递者,下一个继承者
R2:ip route-s 172.16.1.0 24 23.1.1.3
回包路由:PC2--->PC1(目标网段:192.168.1.0/24)
R3:ip route-s 192.168.1.0 24 23.1.1.2
R2:ip route-s 192.168.1.0 24 12.1.1.1
44 undo xxx 撤销某条指令
例如:
int e0/0/1
undo ip address
例如
undo sysname
undo ip route-s 192.168.1.0 24 12.1.1.1
45 路由优先级:(perference,思科管理距离:类似于最短路径)衡量路由的优先程度,到达同一个目标有两种路由协议,此时优选路由优先级较小的路由协议。
| 路由优先级范围 | 0-255 |
|---|---|
| 常见的路由优先级 | |
| 直连路由(direct) | 0 |
| 静态路由(static) | 60 |
| 动态路由(Rip) | 100 |
| ospf | 10 |
46 ping x.x.x.x -t 一直ping
ping会存在三种情况 1、请求超时:对方主机不在线、屏蔽等(如果屏蔽了,我们可以获取到mac) 2、传输失败:当主机尝试去访问其他网络内的主机,而本身没有配置网关。 3、无法访问目标主机:网关没有路由,没有获取到mac地址。
47 冗余:基本类似于备份,可靠性较高
48
int e0/0/1
shutdown 禁用接口
undo shutdown 开启接口
49 配置冗余和冗余路由的静态路由后,查看路由表
如果接口出故障,那么与该接口相关的直连路由全部消失。
如果某路由的下一跳不可达则该路由也会消失
50 路由在选择路径的过程中始终使用最优路由(因此到达同一个目标的多条路径中,路由表中只能看到最优的那一条)
51 路由优先级:参考前面的拓扑结构
目标:想实现千兆Ge0/0/0为主链路,百兆E0/0/1作为备份链路
R1:
ip route-s 210.1.1.0 24 21.1.1.2 perference 50
R2:
ip route-s 210.1.1.0 24 21.1.1.1 perference 50
(优先级50高于静态路由默认优先级60,通过此方法进行主链路和备用链路的设置)
52 负载均衡:数据(负载)被均分到两条链路上传输。(两条链路的优先级相同,即可实现负载均衡,此时两条链路均在路由表中显示,如下图)
53 路由度量:(度量值,metric,cost,路由开销)到达某目标所花费的开销(代价)的总合,用来衡量路径的优劣。
54 缺省路由(默认路由):
default route ip route-s 0.0.0.0012.1.1.2 //访问任何网段都将数据包交给12.1.1.2
** 注:缺省路由属于特殊的静态路由!
** 注:PC的网关其实就是一种缺省路由。
**特殊注意**:缺省路由属于“替补路由”,只有当其他的路由不可达时才会使用缺省路由。
** 注**:缺省路由适用于边缘节点,以及企业出口。
55 环回接口(loopback):逻辑接口,模拟网段、PC、服务器、后期用于动态路由选举Router-ID
int loopback 0
ip add 220.1.1.2 24
56 DHCP:动态主机配置协议DHCP(Dynamic Host Configuration Protocol)来分配IP地址等网络参数,可以减少管理员的工作量,避免用户手工配置网络参数时造成的地址冲突。
上网参数:IP地址、子网掩码、网关、DNS
dhcp enable
ip pool qq
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
dns-list 192.168.1.1 8.8.8.8
int e0/0/0 //(和用户相连接口)
dhcp select global //使用本地全局配置的地址池分配ip地址
cmd--->ipconfig
在使用dhcp的情况下:
ipconfig /all 查看
ipconfig /release 释放IP地址
ipconfig /renew 重新获取IP地址
更改网卡MAC地址:
windows+r-->ncpa.cpl-->回车-->网卡属性-->配置-->高级-->本地管理地址-->输入值
注1:多个PC请求dhcp服务时,dhcp服务器使用不同的MAC地址来区分不同的PC
注2:用户发送的第一个dhcp请求包源是0.0.0.0目标是255.255.255.255的广播报文,该报文称为dhcp discover。
注3:多个dhcp服务器(路由器等网络设备均可作为dhcp服务器)回应同一台PC时,PC选择最早到达的回复,收到第二个报文。
注4:第三报文是用来和通讯的dhcp服务器进行确认。
dis ip pool name qq used 显示DHCP分配记录
57 RIP:路由信息协议RIP(routing information Protocol)的简称,它是一种基于距离矢量(Distance-Vector)算法的协议,使用跳数作为度量到达目的网络的距离。
RIP主要应用与规模较小的网络中。缺点:古老速度很慢!
58 路由器的每个接口都是一个独立的网段!!!
59 rip的配置
R3:
rip 1
undo summary //关闭自动汇总
version 2 //版本2
network 192.168.1.0 //宣告直连主类网络
network 12.0.0.0 //宣告直连主类网络
R4:
rip 1
undo summary
version 2
network 12.0.0.0
network 23.0.0.0
network 172.16.0.0
R5:
rip 1
undo summary
version 2
network 23.0.0.0
network 10.0.0.0
60 Rip 报文
每隔30s发送一次
目标地址是224.0.0.9组播地址
报文里面存放的是路由信息
61 Rip 只看距离远近,距离是以跳数(经过路由器的个数)来衡量。
注:16跳不可达。
62 抑制接口:(静默接口)
rip
silent-interface e0/0/0 //将接口e0/0/0 配置为静默接口,rip的路由更新不再从该接口发送。
注:rip 的优先级100
63 OSPF:开放式最短路径优先(Open Shortest Path First)协议是IETF定义的一种基于链路状态的内部网关路由协议。ospf逐渐取代rip.
链路状态:路由矢量、带宽等综合考虑链路的情况
ospf的优先级:10
64 ospf 的区域规划
area 1、2、3:常规区域
65 OSPF配置
R3:
ospf 1
area 0
network 192.168.1.0 0.0.0.255
network 12.1.1.0 0.0.0.255
R4:
ospf 1
area 0
net 12.1.1.0 0.0.0.255
net 23.1.1.0 0.0.0.255
net 172.16.1.0 0.0.0.255
R5:
ospf 1
area 0
net 23.1.1.0
net 10.10.10.0 0.0.0.255
以上配置完成以后所有的链路均通
查看路由表
可以和rip配置完成以后的路由表进行比较
66 ospf的报文:常见的5种
DBD、LSR、LSU、LSack 刚开始发送
hello:小巧,用来建立和维持邻居关系
< >reset ospf process 重置ospf进程--->y
67 显示ospf的邻居表:
68 ospf静默接口
69 Telent:远程登录,远程控制一些路由器和交换机等网络设备。四层使用TCP23号端口。
70 telnet
telnet服务端配置:
telnet server enable //(华为已经开启)
aaa
local-user hcnp password cipher hcnp12 privilege level 3 //配置用户名和密码 权限级别3级
local-user hcnp service-type telnet // 指定账号的服务类型是telent
user-interface vty 0 4 //同时允许5个人登录
authentication-mode aaa //认证的模式采用aaa
telnet客户端
< >telnet 34.1.1.2
注:四层使用的TCP 23号端口。
71 FTP:file translate protocol,FTP是用来传送文件的协议。使用FTP实现远程文件传输的同时,还可以保证数据传输的可靠性和高效性。目前目前多数用其来传输安装操作系统。
72 路由器 硬件组成:
内存+CPU+flash(类似硬盘)+风扇+I/O接口+主板
73 查看路由器操作系统
注:此操作系统用的是VRP 版本为5.110
74 dir查看flash
75 华为网络设备操作系统:VRP:Versatile Routing Platfrom version 5.X
76 对flash的操作
reset recycle-bin 清空回收站。
配置ftp:
aaa
local-user xxm password cipher xxm12 privilege level 3 ftp-directory flash:
local-user service-type ftp
客户端访问:
< >ftp 34.1.1.2
PC当客户端:
浏览器中访问:如下设置
77 升级华为网络设备操作系统的方法:
在PC客户端下载需要的操作系统,登录到服务端把下载的系统拷贝到flash里面,重启服务器reboot 自动安装新系统ar1220-5.2.1.0.cc
78 VLAN(Virtual Local Area Network)即虚拟局域网。
作用:在大型的企业内网,可以通过在交换机(二、三层交换机)上部署vlan技术隔离广播域,缩小广播的发送范围,同时将安全威胁隔离到最小。以及方便管理员的管理。最终使得 网络更加的健康和稳定。
79 vlan配置
vlan 10 //创建vlan 10
vlan 20 //创建vlan 20
vlan batch 20 30 40 //同时创建三个vlan
int gi0/0/x
port link-type access //将接口的类型配置为access
port default vlan 10 //将接口划分到vlan10里面
注:vlan 1 属于默认vlan,默认情况下所有的接口都位于vlan1里面。
注:vlan隔离广播的同时,也会隔离arp,从而导致无法获取到目标IP的MAC地址,因此导致单播也无法通信。如果想让不同的vlan单播可以通信,还需要三层设备(路由器、三层交换机)做路由。
注:默认情况下交换机的一个接口只能从属于一个vlan,只允许该vlan的数据通过。
80 Trunk:干道,主干链路 通常用于交换机和交换机之间,通过一个接口传输多个vlan的数据包。
81 trunk配置:
| 接口类型 | 连接设备 |
|---|---|
| access口 | 接PC |
| trunk口 | 接交换机 |
| hybrid口 | 混合接口 即可以接交换机也可以接PC(华为交换机的默认接口) |
 |
trunk的配置:
int gi0/0/x (SW1:gi0/0/4 SW2:gi0/0/1)
port link-ty trunk
port trunk allow-pass vlan all
PC--->交换机access口
注:PC不认识vlan标记,不认识tag,只有通过交换机的trunk接口发出的报文才具备vlan的标记(802.1q tag)。
注:交换机发出的报文没有tag。
交换机trunk--->trunk交换机
82 PVID:本征vlan(native vlan):该vlan的报文经过trunk接口时不打标记(tag)。默认情况下本征vlan是vlan 1。
int gi0/0/4
port trunk pvid vlan 20 //将trunk接口的pvid改为vlan 20
此时交换机trunk--->trunk交换机,vlan 20 的主机相互通信时trunk链路的报文中不携带pvid的标记(tag),默认情况下vlan 1 的主机通信时不携带pvid的标记(tag)。也就是说当trunk的pvid和vlan的pvid相同时,此vlan的主机通信时,trunk链路的报文就不会携带tag
83 将交换机的接口属性更改时:例如由access-->trunk 或者由trunk-->access 必须重置接口的默认设置
重置方法:
1、手动恢复到原来的状态 type:hybrid vlan:1
2、[ ]clear configuration int gi0/0/2--->yes
84 vlan间路由:
方法Ⅰ:多层交换机--SVI(常用):switch virtual interface
方法Ⅱ:路由器--单臂路由
注:不同的vlan之间互相通信必须要有三层设备(路由器、多层交换机)做中转。
85 vlan间路由之SVI
svi配置:
vlan batch 10 20
将接口划入vlan配置略
int vlan 10
ip add 192.168.10.1.24 //给vlan 10 配置ip地址作为vlan 10 用户的网关
int vlan 20
ip add 192.168.20.1 24
调试:
注:vlan间路由:通过三层设备路由,使得不同vlan间可以互相通信。但仅仅允许单播通信。不同的vlan之间广播帧依然被隔离即没有失去vlan原来的意义。
86 vlan间路由之单臂路由
配置:
Ⅰ:交换机上连 配置trunk
int gi0/0/3
配置trunk
Ⅱ:路由器启用子接口
interface Ethernet0/0/0.10
dot1q termination vid 10
ip address 192.168.10.1 255.255.255.0
arp broadcast enable
#
interface Ethernet0/0/0.20
dot1q termination vid 20
ip address 192.168.20.1 255.255.255.0
arp broadcast enable
87 ACL:access control list 访问控制列表
ACL两种:
基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。
acl举例:拒绝PC1访问172.16.10.x网段
R2:
acl number 2000 //建立基本acl(表号2000)
rule 5 deny source 192.168.10.1 0 //拒绝源地址为192.168.10.1的任何数据包。5为自动生成的执行序号。
int gi0/0/0
traffic-filter inbound acl 2000 //在接口的入方向调用acl
172.16.10.1ping192.168.10.1的 gi0/0/0接口的抓包
五个包,request包顺利通过,reply包超时。
acl举例:拒绝PC1和PC2ping server1,但允许其HTTP访问。
R2:
acl number 3000
rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0
int gi0/0/0
traffic-filter inbound acl 3000 //在接口的入方向调用acl
acl举例:拒绝PC2:192.168.10.2 以telnet的形式访问12.1.1.2
R2:
acl number 3001
rule 5 deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port eq telnet
int gi0/0/0
traffic-filter inbound acl 3001 //在接口的入方向调用acl
注意:
注1:一个接口的同一个方向只能调用一个acl
注2:一个acl里面可以有多个rule规则,从上往下依次执行
注3:数据包一旦被某rule匹配,就不再继续向下匹配
注4:默认隐含放过所有(华为的acl用来拒绝数据包时)。
88 NAT:(Network Address Translation)网络地址转换技术,作用是将内网私有地址转换成公网地址,使得内网的主机可以上外网。
私有地址:任何人都可以使用
A 10.0.0.0/8
B 172.16.0.0-172.31.255.255
C 192.168.0.0/16
基础配置:
配置好ip地址
出口缺省路由
89 静态NAT:static NAT-一对一(一 一映射),一个私网地址对应一个公网地址,外网的用户可以访问内网的主机。
global:全局公网地址
local:内网私有地址
inside:内网 内部
outside:外部
int gi0/0/1 //(在外网口配置)
nat static global 12.1.1.2 inside 192.168.31.3 //将私网地址31.3和12.1.1.2做一对一的映射
在gi0/0/0口和gi0/0/1口抓的报文
调试:
dis nat session protocol icmp
缺点:有多少个私网地址就需要多少个公网地址。
90 NAT 之 easy IP:允许多个私网地址转换成一个公网IP,很常用。
出口:
先写acl匹配内网私网地址段
acl number 2000
rule 5 permit source 192.168.31.0 0.0.0.255
注:acl用来做匹配范围时,没有默认隐含允许所有的规则。
int gi0/0/1(公网接口)
nat outbound 2000 //(2000是acl的表号)
原理:内网私网地址出包时转换成公网接口gi0/0/1当前的IP地址(12.1.1.1)
91 NAT 之 server NAt:可以将某服务器的某端口映射出去(非常安全)
int gi0/0/1
nat server protocol tcp global 12.1.1.4 www inside 192.168.31.254 www //www相当于80端口 通过80端口发送的tcp报文在外网接口处转换为12.1.1.4传输
也可以进行如下配置(以下配置还未做实验)
nat server protocol tcp global 12.1.1.4 4000 inside 192.168.31.254 3389
如内网还有其他的主机可以进行如下配置
nat server protocol tcp global 12.1.1.4 4001 inside 192.168.31.253 3389
仅仅将服务器的80端口映射出去
92 广域网链路:二层封装PPP(包括pap chap)、HDLC、FR
注:在配置关于网链路之前给路由器添加串口(sx/0/0)
interface Serial4/0/0
link-protocol ppp
ip address 12.1.1.2 255.255.255.0
PPP可以对链路做认证
93 PPP的链路认证:
Ⅰ:PAP认证 Ⅱ:CHAP
PAP认证:(明文传输,两次握手)
R2(服务端)
aaa
local-user hcnp password cipher hcnp123
local-user hcnp service-type ppp
int s4/0/0
ppp authentication-mode pap
此时:可以shutdown接口 然后再undo shutdown检测
R1(客户端):
int s4/0/0
ppp pap local-user hcnp password simple hcnp123 //配置客户端发送的用户名和密码以明文的方式发送
此时:可以shutdown接口 然后再undo shutdown检测
CHAP认证:三次握手,密文发送
94 HDLC、FR
注:华为、H3C串行接口默认的封装方式是PPP
Cisco(思科)串行默认封装的是HDLC
int s4/0/0
link-protocl hdlc
95 FR:frame-relay 帧中续
int s4/0/0
link-protocol fr
ip address 12.1.1.1 24
12.1.1.2的端口处抓包
96 聚合链路/链路捆绑/聚合端口/eth-channel
没有配置链路聚合之前 :端口1和4处于转发状态
交换机:两台分别配置
int eth-trunk 1 //创建逻辑捆绑接口组1
int gi0/0/1
eth-trunk 1 //将接口加入接口组1
int gi0/0/2
eth-trunk 1
int gi0/0/3
eth-trunk 1
配置链路聚合之后:
97 VRRP:虚拟网关冗余协议 Virtual Router Redundancy Protocol 三层网关冗余技术。对用户的网关做冗余。
实验拓扑结构如下:
基础配置:
核心和PC个接口的IP
接入层交换机无需配置
用户网关10.1
vrrp配置:
核心1(备份):
int Gi0/0/0 //下联用户的接口
vrrp vrid 1 virtual-ip 192.168.10.1 //创建虚拟组1,并指定虚拟IP地址,该虚拟地址作为用户网关。
核心2(主):
int gi0/0/0 //下联用户的接口
vrrp vrid 1 virtual-ip 192.168.10.1 创建虚拟组1,并指定虚拟ip地址,该虚拟地址是用户的网关。
vrrp vrid 1 priority 105 //优先级设置为105,作为主路由器(核心1为100,数字越大越优先)
核心2
表中的master表示主路由。
核心2
表中的backup表示备份路由(其中记录了master的优先级)
工作原理:master路由器会每隔一段时间(约2s)按组播的形式发送vrrp报文(包含优先级)告知它的身份;当它故障时,其他路由收不到它的vrrp报文,其它backup路由器就会自动切换成master。
int gi0/0/0
vrrp vrid 1 track int gi0/0/1 //跟踪上联接口gi0/0/1的状态,当发现gi0/0/1口down时,自动将优先级减10,以让出master的位置。
配置密码(可选配置)
int gi0/0/0
vrrp vrid 1 authentication-mode simple plain 123 //配置认证简单明文密码123
98 STP:spanning tree protocol 生成树协议
作用:防止交换环路
原理:通过运行STP的算法,阻塞特定的接口实现冗余无环的网络。
从图中就可以看到接口gi0/0/2处于阻塞状态,从而我们可以看到消除了环路。
当环路中的某一条链路出现故障时(SW2和SW1之间的链路故障时),此端口就会自动打开
99 STP算法:大原则:先选出不被阻塞的接口,剩下的接口全被阻塞。
Ⅰ 在整个网络中(整个广播域)选出根桥。先比较优先级 再比较mac地址,越小越优先。根桥的所有端口都是指定端口。(默认选举情况如下)
CIST Root/ERPC:根桥
标蓝部分为桥id
Ⅱ 非根桥上面选举根端口(根端口有且仅有一个)到达根桥最近的端口当选为根端口。
Ⅲ 每段链路上选取一个指定端口。桥ID(优先级+MAC)较小的交换机上面的端口当选为指定端口。
Ⅳ 剩下的端口全部阻塞。
100 修改交换机stp的优先级:
stp priority 0
注:优先级必须是4096的倍数
101 交换机的接口由down到转发状态大概经过30s。
down-->listening-->learning-->forwarding
边缘端口:建议将接PC的接口配置为边缘接口(减少接口的收敛时间)
int gi0/0/3
stp edged-port enable
102 stp的根保护
STP根保护:建议到根桥的接口配置
int gi0/0/2
stp root-protection
一旦使能根保护功能的指定端口收到优先级更低的BPDU时,端口状态将进入Discarding状态,不再转发报文。在经过一段时间(通常为两倍的Forward Delay),如果端口一直没有再收到优先级较高(数值较低)的BPDU,端口会自动恢复到正常的Forwarding状态。
注:该指令只能在指定端口配置才会生效。
103 stp BPDU 防护:保护根桥
全局
stp bpdu-protection
作用:开启bpdu保护后,如果从边缘端口收到stp报文,交换机会自动将该接口shutdown。从而确保根桥不被抢占。确保不会出现环路。
error-down auto-recovery cause bpdsu-protection interval 30 //30s后自动up 自动恢复机制。
104 RSTP:rapid stp 快速的生成树协议
stp mode rstp //将stp的模式调整为rstp
105 IPV6:internet protocol version 6
目前正在使用:ipv4
ipv4:32bit 2^32=42.9亿个 点分十进制
ipv6:128bit 2^128=很大很大 冒号分16进制
ipv6由8个字段组成,每个字段占16个bit
2001:db8:**0:0:0:0**:346:8d58
2001:db8**::**346:8d58
特殊ipv6地址:
注1 ::1 本地环回地址 类似ipv4 127.x.x.x
注2 :: 相当于ipv4 0.0.0.0
注3 FF 开头组播v6地址 例如:FF::5 类似224.0.0.5
ipv6静态路由配置
接口ip:
ipv6 全局使能ipv6功能
int gi0/0/0
ipv6 enable
ipv6 address 2001::1 64
R1:
ipv6 route-static 2002::0 64 12::2
R2:
ipv6 route-static :: 0 12::1
106 ipv6地址分类:单播 组播 任意播(取消广播概念)
任意播:找离它最近的服务器访问
107 ipv6无状态自动配置:PC会通过发送特定类型的icmp报文请求路由器接口的前缀,结合自己的mac地址自动生成全球独一无二的ipv6地址。
无状态生成的ipv6地址的前缀和路由器接口的前缀一致(相当于ipv4的网络位)后面的部分会结合mac地址确定。
108 ipv6中以FE80::开头的地址都属于本地链路地址(link-local),只在本地链路有效。启用了ipv6功能的接口都会自动生成相应link-local地址。
EUI-64地址:原mac地址中嵌入FFFE,然后将第七位bit取反。
例:mac:00:E0:FC:16:21:CD
(00)16-->(00000000)2取反-->00000010-->(02)16
EUI-64: 02:E0:FC:FFFE:16:21:CD
109 思科 锐捷 命令行简介
用户模式
特权模式
(config)#全局模式
enable //由>进入#模式
config terminal //由#进入全局
exit //退出当前模式
全局模式下hostname SW1 //命名
vlan 10
int vlan 10
ip add x.x.x.x 255.255.255.0
#show ip int brief //显示接口摘要
#show ip route //显示路由表
#show run //显示当前配置
#write //保存
120 思科基本配置联通性
int fa0/1 //将接口fa0/1划入vlan10
switchport access vlan 10
witchport mode access
int fa0/3 //将接口配置为trunk
switchport trunk encapsulation dot1q
全局
ip route 192.168.30.0 255.255.255.0 192.168.20.2 //配置静态路由
int range fa0/1-fa0/24 //对多个端口进行配置
#erase startup-config //擦除配置
121 终止解析
ctrl+shift+6
122 思科acl配置
标准:
全局:
access-list 1 deny 192.168.10.2 0.0.0.0 //配置acl拒绝192.168.10.2访问
access-list 1 permit any //允许任何网段
int fa0/0
ip access-group 1 in //将acl 1 加在路由器的入口处也就是fa0/0
扩展:
access-list 100 deny icmp 192.168.10.2 0.0.0.0 any
int fa0/0
ip access-group 100 in
123 思科NAT
NAT配置:
int fa0/0
ip nat inside //指明内网接口
int fa1/0
ip nat outside //指明外网接口
access-list 5 per 192.168.10.0 0.0.0.255 //用acl匹配内网网段
ip nat inside source list 5 int fa1/0 overload //在fa1/0口用此规则,默认内网地址会转换成fa1/0接口的IP
124 思科telnet配置
username aa privilege 15 password aa123 //首先配置用户名和密码 权限级别为15
line vty 0 15
login local //使用本地的用户名和密码对登录的用户做认证
125 思科DHCP
server dhcp enable //开启dhcp功能
ip dhcp pool hcna //建立dhcp地址池
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 192.168.10.1
