华为ACL
创建ACL
基本ACL - 仅仅匹配源IP
高级ACL - 可以同时匹配5元组 -
源IP、目标IP、源端口、目标端口、传输层协议

    ID:2000-2999  |  3000-399 |  4000-4999
    name:定义ACL的名字的时候,会让我们选择“类型”

 acl name Deny-telnet 3999  
    rule 5 deny tcp source 192.168.12.1 0 destination 192.168.12.2 0 
                    destination-port eq telnet 

调用ACL
    traffic-filter inbound/outbound  acl  {ID |name }

验证ACL
    display acl {id/name/all}
    display user-interface  //查看当前设备上的各种登录接口

注意:
ACL对设备本身发起的流量,是不起作用的;
ACL最后的默认的隐含的一条,不是拒绝所有,而是允许所有;
高级ACL,表示 拒绝所有:
rule {id} deny ip
基本ACL,表示 拒绝所有:
rule {id} deny

华为上面的命名的ACL,如果不指定类型,默认的是“高级”ACL;
并且对于命名的ACL,系统会默认的分配一个 ID ;
在配置和调用过程中,输入ID和name,达到的效果是相同的,
可以交替使用。

华为设备上的 telnet 是在 “用户模式”下使用的;
在特权/系统视图下是无法使用的;

更改telnet的源IP地址: 
   telnet  -a 192.168.10.254    192.168.12.2

对于华为的设备远程访问,是必须需要“vty密码”的,
并且通过 vty 进入的用户权限,默认是0,最小权限。
为了实现能够通过 VTY 对设备进行远程访问,所以
我们得需要在 VTY 接口下面,进行用户权限的更改,
可以基于实际的网络需求进行。在实验过程中,可以
直接将权限更改为15 - 
    user-interface vty  0 4 
       user privilege  level 15 

==============================================================

华为DHCP
全局分配模式:
当服务器收到DHCP discover 之后,会去全局配置的DHCP
地址池中获得可用的IP地址;
接口分配模式
当服务器收到DHCP discover 之后,会分配一个“网关接口”
IP地址所在的网段中的可用IP地址;

配置思路:
1、开启 DHCP 服务;
[huawei]dhcp enable // 相当于思科中的 service dhcp ;
2、创建 DHCP 地址池;
[huawei]ip pool VLAN10
[huawei-ip-pool-vlan10]network 192.168.10.0 24 //配置 IP地址网段;
[huawei-ip-pool-vlan10]gateway-list 192.168.10.254 //配置网关IP地址;
[huawei-ip-pool-vlan10]dns-list 8.8.8.8 //配置 DNS 服务器地址
3、配置 DHCP 分配IP地址的方式;
[huawei]interface gi0/0/0 -->接收DHCP请求的端口
[huawei-gi0/0/0]dhcp select global -->表示去全局配置的
DHCP地址池获取IP地址;
4、配置 DHCP 客户端
将主机的IP地址获取方式选择“自动获取/DHCP”;
5、验证与测试
DHCP-Server:
display ip pool VLAN10 // 查看配置的 DHCP 地址池
display dhcp statistic // 查看DHCP统计信息
PC-1/2:
ipconfig
ping x.x.x.x

配置思路:(IP地址接口分配方式)
1、开启DHCP服务;
2、配置DHCP分配IP地址的方式(接口分配方式)
interface gi0/0/0
ip address 192.168.10.254 255.255.255.0
dhcp select interface
->表示该端口上收到 DHCP 请求以后,会直接使用
该端口的IP地址所在网段中的其他可用的IP地址
进行对DHCP客户端的回应。那么该接口下的所有
发送DHCP discover 的主机,获得的IP地址都是
一个网段的,并且都是与该接口在同一个网段。

配置思路:(DHCP-Relay, DHCP中继)
与思科中的 ip helper-address 功能类似,
华为中的命令为:
interface gi0/0/0
dhcp relay server-ip x.x.x.x

x.x.x.x 为 DHCP 服务器的IP地址;

                     #gi0/0/0端口为客户端所在网段的网关
 其他的配置步骤与思路,与思科是完全相同的。

==============================================================

Connected
非C
静态
动态
IGP:internal gateway protocol,内部网关路由协议
DV-distance vector ,距离矢量路由协议
RIP:routing information protocol
IGRP:
EIGRP: enhanced IGRP , 增强型的IGRP(DUAL:扩散更新算法)

      LS-link state ,链路状态路由协议   (SPF)
          IS-IS:intermedia system  - intermedia system
                TLV(type/length/value)
                CLNP/IPv4/IPv6/MAC/BPDU/VLAN
          OSPFv2:   IPv4 ,open shortest path first 
          OSPFv3:   IPv6 ,            

  EGP:external gateway protocol,外部网关路由协议
          BGP-border gateway protocol 
                边界网关路由协议
  • ==============================================================
    RIP:
    公有标准协议;
    位于OSI 第 7 层, 套接字: UDP 520
    分为 version(版本) 1 和 2
    仅适用于小型网络,因为 RIP 传递只能穿越最多15个有效路由器(最多16个)

R1:
router rip // 启用RIP协议;
version 2 // 配置当前运行的 RIP 为 version 2
no auto-summary // 关闭自动汇总功能
network 10.10.1.0
network 192.168.12.0

#前面的3条,在每个路由器上都得写;
#network后面跟的是每个路由器上的直连网络;

验证:
show ip protocols // 查看设备上当前运行的所有的路由协议
show ip route rip //在每个路由器上查看路由表中的 RIP 路由
R1;
ping 10.10.4.4 source 10.10.1.1


任何一种类型的路由,都具备两个基本属性:
管理距离- AD,admin distance
表示的是路由的稳定性,取值范围是 0 -- 255 ,
越小表示越稳定
值最大255,表示路由完全不可信,不能放入路由表
RIP-hop/跳数”
EIGRP-混杂度量值
ISIS-cost/开销
OSPF-cost/开销
BGP-metric
度量值- Metric,
表示的是路由器去往一个路由条目的距离,取值范围不限/跳数
值越小越好;
注意:
路由器的路由表中存在的永远是去往某一个目标网络的“最稳定的”
“最短的”路径;
当路由器去往一个目标网络,具备多个路由条目时,会选择
一个最好的:
#首先比较AD值,越小越好;如果相同;
#其次比较Metric,越小越好;如果相同;
#则全部放入路由表,形成“负载均衡”
默认情况下,对于 RIP 而言,针对任何一个路由条目
最多允许有 4 个条目同时出现。

在思科设备上,       AD        Metric 
   直连路由管理距离,0           0
   静态路由管理距离,1           0
   RIP路由管理距离, 120         hop
                                   -表示的是“跳数”
                                     即路由在传递过程中
                                     经过的路由器的个数

RIP(思科/华为)
OSPF
ISIS
BGP
RIPv1 PK RIPv2
1、发送方式不同,1是广播,2是组播;
RIPv2组播,更加安全,因为只有加入了 224.0.0.9这个组
的设备,才可以接收 RIPv2 信息;
因为RIPv1广播时,所有加入该网段的设备,都可以接收
RIP信息,容易造成路由条目的泄露;
2、子网掩码不同,1不支持,2支持;
可以说,RIPv2支持 VLSM;但是V1不支持;

3、认证支持不同,1不支持,2支持(明文+密文)
RIPv2安全性更高一些,因为支持认证;
RIPv1是不支持任何认证功能的;

4、标记支持不同,1不支持,2支持
RIPv2支持标记(tag),从而便于实现大量路由的批量管理;
但是RIPv1不支持;
一个RIP包里包含了250个路由条目,每个路由条目是20个字节。

R1:
router rip
version 2
no auto-summary
network x.x.x.x

x.x.x.x 必须是主类网络的形式;

                 #x.x.x.x.表示的是一个网络范围
              @该命令关注的是本地设备上的直连端口
              @被 x.x.x.x 表示的网络范围覆盖住的IP地址
                所在的端口,启用 RIP 协议进程:
                     %该端口可以发送 RIP 报文;
                       %该端口可以接收 RIP 报文;
                      该端口的IP地址的中的 网络部分
                    可以放入到 RIP 报文中,传输出去;

RIP:
1、启用协议
2、配置版本2
3、关闭自动汇总
4、宣告路由并且发送/接收
-宣告方式
network
#仅仅是针对直连;
#必不可少的命令
#该命令可以保证一个物理接口是否可以收发报文;
该命令决定了一个端口是否可以启用RIP协议进程;
redistribute (重分发/重发布)
#可以针对任何类型的路由(只要在路由表中有,就行)
#但是该命令仅仅负责将路由表中的路由装入到RIP
respone 报文中;
R1:
router rip
version 2
no auto-summary
network 192.168.12.0
network 10.0.0.0
!
R2:
router rip
version 2
no auto-summary
network 192.168.12.0
redistribute static /将R2本地路由表中的静态路由,强行拉入
到RIP报文中,以实现传递给R1;
ip route 100.1.1.0 255.255.255.0 192.168.23.2
!
验证命令:
show ip protocols
show ip rotue
show ip route rip
clear ip route * //清除
show ip rip datebase RIP数据库
注意:
以后在任何路由协议中,
凡是通过network宣告的路由,都称之为内部路由;
凡是通过 redistribute 宣告的路由,都称之为外部路由;

IGP:
应用于公司内部
目标:
快速的、计算一个去往目标网络“最短”“无环”路径
DV,distance vetor, 距离矢量路由协议
防环机制:
水平分割-
在一个端口上收到的路由,不会从这个端口上发送出去。
最大跳数-
RIP路由的传输的最大跳数是16;
RIP工作表
数据库-凡是宣告成功的路由,首先会进入到这个表;
进入该表的路由,才有可能被发送给其他的路由器;
另外
注意:
路由的传递方向,和数据包的传递方向,永远是相反的。
所以,路由条目中的端口,我们称之为数据包的出端口,
也可以叫路由的入端口
在路由的传递过程中,是不携带路由属性-AD;携带Metric,
并且在发送路由的时候,metric会自动加一。

show ip interface fa0/x

show ip route x.x.x.x //查看单独的一条

RIPv2的报文结构(与V1的不同点)
1/3层不同:是组播-224.0.0.9
2、RIP报文内容不同
-多了一个tag,从而可以实现路由的批量管理
-多了一个掩码,从而可以实现支持VLSM,从可以实现关闭自动汇总
-多了一个next-hop,从而可以解决数据转发的次优路径问题
-可以将第一个路由条目,当做认证字段来使用;支持明文和密文
两种加密认证方式
自动汇总:
-什么协议才有
距离矢量或者路径矢量路由协议,才具有自动汇总特性
当然,是可以基于网络需求,进行关闭。
-什么时候发生
在发送路由的时候,在主类网络边界,会进行自动汇总。
汇总成主类网络的形式,使用的是默认的子网掩码;
-结果
最终,在端口,仅会发送汇总路由,不会发送明细路由;
(汇总本质-发汇总,抑制明细)

RIP中的手动汇总:
-在接口上做,针对的是出现路由;
-在该端口上仅仅发送汇总路由,抑制明细路由的发送;
-RIP中做完手动汇总,需要在本地设备上,手动配置一个针对该汇总路由的
"null0"路由-空路由:
为了防止数据转发环路的发生。
配置命令:
interface fas0/0
ip summary-address rip 10.10.0.0 255.255.0.0
!
ip route 10.10.0.0 255.255.0.0 null 0
RIP工作表:
1、数据表
2、路由表
RIP报文:
1、request
2、respone
RIP路由管理
-路由过滤
1、匹配路由
#标准ACL-只能匹配路由前缀;不能匹配掩码;
#扩展ACL-可以同时匹配前缀和掩码;(RIP不支持)
2、通过路由过滤工具,调用ACL;
router rip
distribute-list {acl} in|out [fas0/0]
3、验证与测试
show ip access-list
show ip protocols
需求1:
在R2上进行配置;
在发送路由时候,过滤 10.10.2.0/24,确保R3没有,R1有
需求2:
在R3上进行入向配置;
通过一个ACL条目,同时过滤掉10.10.1.0/24和10.10.2.0/24;
通过一个ACL条目,同时匹配多个路由条目时候;
1、确定回个路由条目的公共前缀;
相同的位,不变,直接写;
不同的位,变化,直接写0;