HCNA
HCNA-HCNP-笔记 2016-1 by 肖哥
学员:毛瑞娜 尤颉 张苑蕾 马广智 张佳颖 高德安 种道宇 张连成 王志刚 陈明 赵刚讲师:肖哥 QQ:566992630 TEL:15265885756 公司地址:山东 日照 2016年3月技术交流QQ群:191921987
1 小米路由 192.168.31.1
\\192.168.31.1 访问小米共享硬盘 访问windows共享的方式 映射网络驱动器
2 学习工具
① 截图greenshort
② 有道云笔记
③ vnc
3 vmware workstation:模拟虚拟机,搭建学习和测试环境。vmware 是全球虚拟化最好的公司。
vmware 12.1 可以安装win10
4 操作系统(OS operating system)
格式:.iso (原版) .GHO(第三方)
winxp---->winvista---->win7---->win8(8.1)---->win10
5 快照功能:可以恢复到以前的一个状态
克隆功能:copy 一份
6 关闭客户机:相当于直接断开电源 关机:按一下电源按钮
7 配置虚拟机使其上网
① 让vmnet 0 桥接到无线网卡(无线网卡可以上网)
② 将虚拟机的网卡选择自定义到vmnet 0
8 win10 新功能及特性
9 关闭update
10 关闭用户账户控制
11 关闭防火墙:win7 win8 需要关闭防火墙才可以ping通
13 telent :远程控制工具
14 硬件设备 查看驱动
如果发现某硬件没有被驱动,可以尝试安装集成网卡驱动版的驱动精灵
15 认识自己的计算机
16 网卡
ncpa.cpl
17 windows 远程控制设置win 10 允许被远程控制(server 服务端) 192.168.31.206
确定用户名aa 密码123
IP:192.168.31.206
客户端上控制:
运行---mstsc----打开远程控制终端
18 匿名共享:方便共享文件
① 开启guest 帐户 (开启来宾帐户)
② 关闭密码保护共享
③ 将相关文件夹共享给guest 帐户
19WinPE:WindowsPreinstallation Environment windows 系统预安装环境
20电脑店PE工具
① 模式:刻录在U盘里面使用
② 模式 ISO模式:刻录到光盘里面,或者给虚拟机使用
③ 本地模式:直接将PE安装到本地C盘,机器启动时直接读取C盘的PE文件启动。(无需修改BIOS 开机启动项)即增加了一个额外的开机启动菜单。
21硬盘分区
首先给虚拟机添加一块硬盘
缩小、扩大分区
分区表的找回
22BIOS : BasicInput Output System 基本的输入输出系统,保存在主板固定芯片上的一段小程序。
电源键----》读取BIOS----》查询硬盘起始分区引到(MBR、GPT)---------》然后读取系统分区启动系统
BIOS:目前主要用来调节开机启动项,CPU 虚拟化功能,同步时间等等进入BIOS:开机按F2 Del键 回车 F1 等等 (不同型号的电脑不一样)给BIOS设置密码
23硬盘引导:
MBR引导:win7 早期 缺点:不支持2T以上硬盘 主分区 最多支持4个
操作系统必须安装在主分区,且该主分区是活动分区 GPT分区:(也称为GUID分区),支持2T以上硬盘 且主分区可以建立多个。win8、win10。
无损GPT《-----》MBR 转换:PE 磁盘精灵注:GPT分区少于4个
预装win8 、win10 换win7 经常遇到故障
24操作系统的安装:电脑店:
小马PE 安装:
25激活windows
小马激活等激活工具
26驱动精灵安装驱动 下载驱动精灵集成网卡驱动版 安装驱动即可
27备份系统
PE:ghost 软件
28恢复系统、还原系统
29windows 引导失败 windows 无法启动
① 使用磁盘精灵重建MBR引导
② 修复windows引导③ 使用其他的工具修复
30
windows 快捷键win + e 打开计算机 win + r 运行 tab 切换crtl + tab 切换标签运行ncpa.cpl 打开网卡配置 win + d 最小化所有窗口空格 选择单选框 alt + f4 关闭当前窗口 ctrl + c 复制copy
ctrl + v 粘贴 viscidity ctrl + x 剪切 剪刀 ctrl + s 保存 save alt + tab 切换窗口 shift + f10 右击
31虚拟内存
32休眠文件
hiberfil.sys休眠文件 约=内存 的75%
POWERCFG-H OFF 删除该文件
POWERCFG-H on 恢复休眠功能
POWERCFG -H -size 50 使该为为内存的百分之50 如遇到休眠时蓝屏则将其百分比再调大即可
33 使用软碟通(ultraISO)安装系统(双系统)装系统大招
34 vmware 网络配置
35 影子系统 :每次开机,系统都恢复到原来的样子,适用于网吧、机房
可以在正常模式设置密码,防止用户修改
36 HFS:httpfile system :通过Http 实现文件共享 (局域网)
37 注册表:类似一本书的目录,登记表,windows 安装的程序和功能多数可以在注册表里面找到打开注册表 regedit
0是彻底隐藏
1是显示(默认值)
项:文件夹
关闭防火墙和所有的杀毒以及卫士、毒霸环回网卡安装
cisco packetracert 6.0
ENSP 华为 39 网络概述
技术交流QQ群:191921987查询服务器所在的位置
40
IP:internet protocol 标识一台网络设备唯一的ID 标识,类似公民的身份证号。全球唯一。
例如:192.168.31.1
41保存抓取的数据包
42ping :测试两个网络设备的联通性,参考的协议标准 ICMP 。
ICMP:internetcontrol message protocol ping 指令封装数据包参考的协议
43OSI 参考模型:open system interconnect 开放式系统互联,规定了数据传输的标准,以及数据包封装所参考的协议。旨在让不同的设备不同的用户可以互联互通。
一层:物理层:规定了物理介质、网线、光纤、光纤、电压电流等标准二层:数据链路层:MAC地址 ,交换机三层:网络层:IP地址,路由器
四层:传输层:端口号 例如:80端口
五层
六层 统称高层(传输的数据)七层
44MAC地址:网卡物理地址 16进制 网卡出厂时烧录在芯片里面的一串全球唯一的地址(默认情况下不能更改)。
45TCP\IP模型:tcp\ip模型是很多个网络协议的集合,其中以tcp和ip协议为主,这些协议的集合称为TCP\IP协议族(簇)。该模型是目前数据包封装主要参考的模型。
五层模型:一层物理层二层 数据链路层:MAC
三层 网络层:IP 四层 传输层:端口五层 应用层:用户数据DATA
46数据包的结构
47Ipv4地址:点分十进制 32bit
192. 168. 1. 100
48 ip地址:网络位 + 主机位
192.168.1.2 255.255.255.0
192.168.1 2 网络位 主机位
网络位:子网掩码1 bit对应的位是网络位主机位:子网掩码0 比特对应的位
注:主机位 全0 全1 的ip地址和掩码的组合是无效的。
主机位全0 :子网地址(网络地址)主机位全1 :子网广播地址
例如:192.168.1.127 255.255.255.128
192.168.1.0 1111111
.1 0000000 网络位 主机位
主机位全1 ,无效
例如:192.168.1.128 255.255.255.128
192.168.1.1 0000000 网络位 主机位主机位全0 ,无效
49 IP地址分类:
A类:1-126 默认子网掩码255.0.0.0 /8
B类:128-191 255.255.0.0 /16 C类:192-223 255.255.255.0 /24
注:默认掩码也称为自然掩码
D类:224-239 组播地址 E类:剩下 实验用例如:
192.168.1.1 C类 172.16.1.1 B类
8.8.8.8 A类
50 特殊地址
127.x.x.x 本地环回测试地址 仅用来测试本机 代表自己
0.0.0.0 代表所有
255.255.255.255 广播
169.254.x.x :windows系统给的地址(计算机没有通过dhcp 获取到地址)
51 单播:一对一 组播 :一对一组用户,类似qq讨论组 广播 :一对所有,群发
52 特殊二层 MAC
全F ff-ff-ff-ff-ff-ff 广播 01-00-5e-xx-xx-xx 组播
53 网段:具有相同网络位的ip和掩码的组合称为同一个网段(局域网、子网) 54
一个网段包含多少ip?
192.168.31.0 /24
2^8=256-2=254个可用的主机IP地址
8是主机位
例如:192.168.2.192 /26 可用IP地址多少?
2^6=64-2=62个
例如:192.168.2.252 /30 可用ip多少?
2^2-2=2个
192.168.2.111111 xx
网络位 主机位
192.168.2.111111 00
192.168.2.111111 01 可用 (253)
192.168.2.111111 10 可用 (254)
192.168.2.111111 11 192.168.2.253
可用ip地址:
192.168.2.254
例如:192.168.2.248 /29 可用ip多少?
6个
192.168.2.249-254
55 相同网段的PC互相通信时不需要网关 不同网段的PC互相通信需要网关做中转
注:不同网段的PC互相通信需要路由器(三层设备)做中转,该路由器作为PC的网关。
56 子网掩码:规定了该ip地址所在的网段。 网关:当PC访问不同网段的服务时,需要将数据交给网关处理。 DNS:域名解析服务,将域名(网址)转换成IP地址。
57 私网地址:在任何地方都可以使用的ip地址 公网地址:全球唯一,需要花钱申请
ip地址紧缺:2^32=42.9 亿
NAT + 私网地址===》ip地址紧缺
私有地址范围:
A 10.0.0.0/8
B 172.16.0.0-172.31.255.255C 192.168.0.0/16
注:私网地址不能在公网上被传输(路由)。运营商如果发现收到的报文三层含有私有地址,则会将该报文直接丢弃。
58 172.16.0.0/16 分成6个小子网?
2^m>=6 m=3 因此需要三个bit 的子网位
172.16. 00000000.0
① 172.16. 000 00000.0 172.16.0.0/19
② 172.16. 001 00000.0 172.16.32.0/19
③ 172.16. 010 00000.0 172.16.64.0/19
④ 172.16. 011 00000.0⑤ 172.16. 10000000.0
⑥ 172.16. 10100000.0
⑦ 172.16. 11000000.0
⑧ 172.16. 11100000.0
59TTL:time tolive 生存周期 :防止环路 ,起始值经过路由器是递减
60tracert 8.8.8.8 测试本地到达目标所经过的三层设备
61ARP :(Address Resolution Protocol),通过目的IP地址,请求对方MAC地址的过程。
arp目标mac是全F 广播 arp -a 查看arp 的缓存表 arp -d 删除 arp 缓存表 arp 请求包(request):去包
arp 回应包(reply):回包
62广播域:广播包可以发送的区域范围。路由器隔离广播域(广播包无法穿越路由器,路由器的每个接口都是一个独立的广播域)。交换机不隔离广播域。
63当一个PC访问外网时(访问的目标和自己不在同一个网段),此时二层会封装网关的MAC地址。
64TCP:可靠传输、面向连接 :准确性很高,速率稍慢
UDP:不可靠传输、非面向连接 : 准确性差,速率很快
面向连接:如果某应用层协议的四层使用TCP端口,那么在正式的数据报文传输之前,需要先建立连接。只有建立完连接之后才可以传输数据。
建立连接:三次握手
① 客户端--->服务器
② 服务器--->客户端
三次握手:面向连接的高层协议在正式传输数据之前需要先建立连接,建立连接的过程需要来回交互三个报文,我们将建立连接的过程称为三次握手。
netstat -an
可靠传输:客户端收到报文之后,需要发送TCP 的ack 确认包,并告诉服务端接下来要收的报文的序号。同时该过程确定了两者传输的“windows窗口”大小。
65常用协议的端口号:
HTTP:tcp 80 网页浏览 telnet:tcp 23 远程控制 FTP :tcp 20 21 文件传输
RDP :tcp 3389 远程桌面 VNC :tcp 5900
66测试某端口是否打开telnetx.x.x.x 80
打开telnet 指令
671-1024 端口号:熟知端口 (固定,已经分配)
1024 以后的端口称为随机端口
68wireshark 过滤规则:ip.addr == 111.13.100.127 过滤出包含111.13.100.127 报文
ip.src == x.x.x.x 源地址 ip.dst == x.x.x.x 目标
tcp.port == 80
tcp.dstport == 80 过滤出目标端口为80端口 tcp.srcport == 80
eth.src == 00:21:cc:cf:1d:28
eth.dst == 00:21:cc:cf:1d:28
vnc arp http 过滤高层协议
and 且 or 或 not 非 支持()例如:tcp or httpand (not vnc)
69 思科 cisco : CCNA CCNP CCIE 华为 huawei :HCNA HCNP HCIE
70 华为命令行简介
< >用户视图模式 权限稍低
[ ]系统视图模式 权限高
< >system-view 切换到系统视图
[ ]sysname R1 命名
[ ]quit 退出当前模式
? 提示信息命令支持简写
tab 键 补全命令
<>language-mode Chinese 提示语言改为中文 dis current-configuration 显示当前所有配置
more:回车键 翻一行,空格翻一页 其他任意键退出
ctrl + z 直接回退到用户模式给接口配置IP地址:
int e0/0/0 进入接口e0/0/0
ip address 192.168.1.1 24 给接口配置ip地址和子网掩码
dis this 显示当前配置 dis ip int brief 显示接口摘要
dis ip routing-table 显示路由表
71 路由表:路由器转发数据包的唯一依据,是路由器转发数据包的一张“地图”。
72 <>save 保存配置
73 [ ]undo info-center enable 关闭信息中心 ,防止弹出日志
74 直连路由: direct route ,直接相连的路由,当路由器的接口配置好ip地址并up之后,会自动创建该路由。路由器默认情况下,只能到达直连的网段。
静态路由配置:
去包路由:PC1--->PC2(目标网段始终是:172.16.1.0/24)
R1:
ip route-static 172.16.1.0 24 12.1.1.2 目标网段 下一跳
下一跳:(next-hop) 下一个传递者,下一个承接者
R2:ip route-s 172.16.1.024 23.1.1.3
回包路由:PC2--->PC1(目标网段始终是:192.168.1.0/24)
PC3: ip route-s 192.168.1.0 24 23.1.1.2 PC2:
ip route-s 192.168.1.0 24 12.1.1.1
75undoxxx 撤销某条指令例如:
int e0/0/1 undo ip address 例如:
undo sysname
76路由优先级:(preference,思科:管理距离)衡量路由的优先程度,到达同一个目标有两种路由协议,此时优选路由优先级较小的路由协议。
路由优先级范围:0-255 常见路由协议默认的优先级:直连路由 0 静态路由 60
Rip 100
ospf 10
数字越小 越优先
77ping x.x.x.x -t 一直ping ctrl + c 终止
78冗余:备份,可靠性较高
79
int e0/0/0
shutdown 禁用接口
int e0/0/0 undo shutdown 开启
80如果出接口故障,那么与该接口相关的直连路由全部消失。 如果某路由的下一跳不可达则该路由也会消失。
81到达某相同目标网段路由表中始终放置最优路由。
82路由优先级:目标:想实现千兆Ge0/0/0 做为主链路,百兆E0/0/1 作为备份链路
R1:
ip route-s 210.1.1.0 24 12.1.1.2
ip route-s 210.1.1.0 24 21.1.1.2 preference 50 配置静态路由并制定优先级为50 R2:
ip routes-s 192.168.1.0 24 12.1.1.1ip route-s 192.168.1.0 24 21.1.1.1preference 50
83负载均衡:数据(负载)被均分到两条链路上传输。
84路由度量:(度量值,metric,cost,路由开销)到达某目标所花费的开销(代价)的总合,用来衡量路径的优劣。
85缺省路由(默认路由):defaultroute
ip route-s 0.0.0.0 0 12.1.1.2 访问任何网段都将数据包交给12.1.1.2 注:缺省路由属于特殊的静态路由!注:PC的网关其实就是一种缺省路由。
特殊注意:缺省路由属于“替补路由”,只有当其他的路由不可达时才会使用缺省路由。
注:缺省路由适用于边缘节点,以及企业出口。
86环回接口(loopback):逻辑接口,模拟网段、PC、服务器、后期用于动态路由选举Router-IDint loopback 0 ip add 220.1.1.2 24
87DHCP:动态主机配置协议DHCP(Dynamic Host Configuration Protocol)来分配IP地址等网络参数,可以减少管理员的工作量,避免用户手工配置网络参数时造成的地址冲突。上网参数:IP地址、子网掩码、网关、DNS
dhcp enable 启用dhcp功能 ip pool qq 创建地址池qq gateway-list192.168.1.1 分配网关
network 192.168.1.0 mask 255.255.255.0 分配ip和掩码 dns-list 192.168.1.1 8.8.8.8 分配DNS
int e0/0/0(和用户相连接口)
dhcp select global 使用本地全局配置的地址池分配ip地址 cmd--->ipconfig 查看获取到的ip地址
注1:dhcp 服务器使用不同的MAC地址来区分不同的PC 注2:用户发送的第一个dhcp 请求包 源是0.0.0.0 目标是255.255.255.255 的广播报文,该报文称为dhcp discover 。 ipconfig /all 查看 ipconfig /release 释放ip地址 ipconfig /renew 重新获取
更改网卡mac地址:
dhcp 租期:24小时
1.254 ---》A用户
dis ip pool name qq used 显示dhcp 分配记录
88RIP: 路由信息协议RIP(Routing Information Protocol)的简称,它是一种基于距离矢量(Distance-Vector)算法的协议,使用跳数作为度量来衡量到达目的网络的距离。RIP主要应用于规模较小的网络中。缺点:古老,收敛速度很慢!
89路由器的每个接口都是一个独立的网段!!
90rip 的配置
R1: rip 1
undo summary 关闭自动汇总 version 2 版本2 network 192.168.1.0 宣告直连主类网络
network 12.0.0.0 宣告直连主类网络
R2: rip 1
undo summary version 2 network 12.0.0.0 network 23.0.0.0 network 172.16.0.0
R3: rip 1
undo summary version 2 network 23.0.0.0 network 10.0.0.0
91 Rip 报文
每隔30s 发送一次目标地址是:224.0.0.9 组播地址报文里面存放的是路由信息
92 rip 只看距离远近,距离是以跳数(经过路由器的个数)来衡量。
注:16跳不可达。
93 抑制接口:(静默接口)
rip silent-interface e0/0/0 将接口e0/0/0 配置为静默接口,rip的路由更新不再从该接口发送。
注:rip 的优先级 100.
94 OSPF:开放式最短路径优先(Open Shortest Path First)协议是IETF定义的一种基于链路状态的内部网关路由协议。ospf 的优先级:10. 95 ospf 的区域规划 area 0 :骨干区域 核心区域area 1、2 。。。:常规区域
Area 0 是骨干区域,其他区域都必须与此区域相连。
96 ospf配置
R1:
ospf 1 area 0
network 192.168.1.0 0.0.0.255
network 12.1.1.0 0.0.0.255
R2:
ospf 1
area 0 net 12.1.1.0 0.0.0.255 net 23.1.1.0 0.0.0.255 net 172.16.1.0 0.0.0.255
R3: ospf 1 area 0
network 23.1.1.0 0.0.0.255 network 10.10.10.0 0.0.0.255
97ospf 的报文:常见 5种
hello:小巧,用来建立和维持邻居关系 DBD 、LSR、LSU、LSack 刚开始发送
< >reset ospf process 重置ospf 进程
98显示ospf 的邻居表:
99ospf 静默接口
100 Telnet:远程登录,远程控制一些路由器和交换机等网络设备。四层使用TCP 23号端口。101 telnet
telnet 服务端配置: telnet server enable (华为默认开启) aaa
local-user hcnp password cipher hcnp123 privilege level 3 配置用户名和密码 权限级别3级
local-user hcnp service-type telnet
指定账号的服务类型是telnet
user-interface vty 0 4 同时允许5 个人远程控制 authentication-mode aaa 认证的模式采用aaa
telnet客户端:
① < >telnet 34.1.1.4
② 客户端为PC
route print 显示PC的路由表
给PC 增加一条路由
route add 34.1.1.0 mask 255.255.255.0 192.168.1.1
注:四层使用的 TCP 23号端口。
缺点:密码是明文密码。
102 FTP:file translate protocol, FTP是用来传送文件的协议。使用FTP实现远程文件传输的同时,还可以保证数据传输的可靠性和高效性。目前多数用其来传输安装操作系统。
103 路由器 硬件组成:
内存 + cpu + flash(类似硬盘) + 风扇 + I/O接口 + 主板 104 查看路由器操作系统
105 dir 查看flash
106 华为操作系统:VRP:Versatile Routing Platform ve 5.x
107 对flash 的操作:copy vrpcfg.zip aa
reset recycle-bin 清空回收站
配置ftp:
aaa
local-user aa password cipher aa123 privilege level 3 ftp-directory flash: local-user aa service-type ftp
客户端访问:
get r4 复制文件
PC 当客户端:
108 升级操作系统
109 VLAN(Virtual Local Area Network)即虚拟局域网。
作用:在大型的企业内网,可以通过在交换机(二、三层交换机) 上部署vlan技术隔离广播域,缩小广播发送的范围,同时将安全威胁隔离到最小。以及方便管理员的管理。最终使得网络更加的健康和稳定。
110 vlan配置vlan 10 创建vlan 10
vlan 20
vlan batch 20 30 40 同时创建三个vlan
int gi 0/0/1
port link-type access 将接口类型配置为access
port default vlan 10 将接口划分到vlan 10 里面
interface GigabitEthernet0/0/2 port link-type access portdefault vlan 10
注:vlan 1 属于默认vlan,默认情况下所有的接口都位于vlan 1里面 。
注:vlan 隔离广播的同时,也会隔离arp,从而导致单播也无法通信。如果想让不同的vlan 单播可以通信,还需要三层设备(路由器、三层交换机)做路由。
注:默认情况下,交换机的一个接口只能从属于一个vlan,只允许该vlan的数据通过。
111 Trunk:干道 主干链路 通常用于交换机和交换机之间,通过一个接口传输多个vlan 的数据包。
112 trunk 配置:
access 口:接PC
trunk 口:接交换机hybrid 口:混合口 既可以接PC也可以接交换机 (华为交换机的默认接口)
trunk 配置: intgi 0/0/x port link-ty trunk
port trunk allow-pass vlan all
PC--->交换机access口
注:PC 不认识 vlan 标记,不认识tag ,只有通过交换机的trunk 接口发出的报文才具备vlan 的标记(802.1q tag)。注:PC 发出的报文没有tag。
交换机trunk-------trunk交换机
113 PVID:本征vlan (nativevlan ):该vlan的报文经过trunk接口时不打标记(tag)。默认情况下本征vlan 是vlan1.
int gi0/0/4
port trunk pvid vlan 20 将trunk 接口的pvid 改为vlan20
114 将交换机的接口属性更改时:例如由access-->trunk 或者由trunk-->access 必须重置接口的默认配置
[ ]clear configuration int gi 0/0/2
115 vlan 间路由:方法① 多层交换机--SVI (常用):switchvirtual interface
方法② 路由器--单臂路由注意:不同的vlan之间互相通信必须要有三层设备(路由器、多层交换机)做中转。
116 vlan 间路由之 SVI
svi配置:
vlan batch 10 20
将接口划入vlan 配置略
int vlan 10
ip address 192.168.10.1 24 给vlan 10 配置ip地址10.1 作为vlan 10 用户的网关 int vlan 20
ip add 192.168.20.1 24
调试:
注意:vlan间路由:通过三层设备路由,使得不同vlan间可以互相通信。但是仅仅允许单播通信。不同vlan 之间广播帧依然被隔离既没有失去vlan原来的意义。
117 vlan间路由之 单臂路由
配置:
① 交换机上联配置trunkint gi 0/0/3 配置trunk
② 路由器启用子接口
interface Ethernet0/0/0.10 dot1q termination vid 10 ipaddress 192.168.10.1 255.255.255.0 arpbroadcast enable interface Ethernet0/0/0.20 dot1q termination vid 20 ipaddress 192.168.20.1 255.255.255.0 arpbroadcast enable
118 acl :access control list 访问控制列表
acl 两种:基本acl(2000-2999):只能匹配源ip地址。高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。
acl 举例:拒绝PC1访问172.16.10.x 网段
R2:
acl number 2000 建立基本acl (表号2000) rule 5 deny source 192.168.10.1 0 拒绝源地址为192.168.10.1 的任何数据包。 5为自动生成的执行序号。 int gi 0/0/0
traffic-filter inbound acl 2000 在接口的入方向调用acl
acl 举例:拒绝PC1 和PC2 ping server 1,但是允许其http 访问。
R2:
acl number 3000 rule 5 deny icmp source 192.168.10.00.0.0.255 destination 172.16.10.2 0
intgi 0/0/0
traffic-filter inbound acl 3000
acl 举例:拒绝 PC2telnet 访问12.1.1.2 R2:
acl number 3001 rule 5 deny tcp source 192.168.10.2 0destination 12.1.1.2 0 destination-port e q telnet int gi0/0/0
traffic-filter inbound acl 3001
注意:
注1:一个接口的同一个方向,只能调用一个acl 注2:一个acl里面可以有多个rule 规则,从上往下依次执行 注3:数据包一旦被某rule匹配,就不再继续向下匹配注4:默认隐含放过所有(华为的acl 用来拒绝数据包时)。
119 ACL 举例:
acl 3005
① 拒绝源地址是1.1.1.0/24 目标地址是2.2.2.2 ftp 的报文
② 允许源地址是1.1.1.0/24 的任何报文
③ 拒绝源地址是3.3.3.3 目标是7.7.7.7的任何ping 包
④ 拒绝任何telnet 的报文
⑤ 放过剩下的所有报文
acl number 3005
rule 5 deny tcp source 1.1.1.0 0.0.0.255destination 2.2.2.2 0 destination-port eq ftp-data
rule 10 deny tcp source 1.1.1.0 0.0.0.255destination 2.2.2.2 0 destination-por t eq ftp
rule 15 permit ip source1.1.1.0 0.0.0.255 rule 20 deny icmpsource 3.3.3.3 0 destination 7.7.7.7 0 rule 25 deny tcp destination-port eq telnet rule 30 permit ip
120 NAT:(Network Address Translation)网络地址转换技术,作用是将内网私有地址转换成公网地址,使得内网的主机可以上外网。
私有地址:任何人都可以使用
A 10.0.0.0/8
B 172.16.0.0-172.31.255.255
C 192.168.0.0/16
基础配置:配置好ip地址出口缺省路由
120 静态NAT :static NAT :一对一(一 一映射),一个私网地址对应一个公网地址,外网的用户可以访问内网的主机。
global:全局公网地址 local :内网私有地址
inside :内网 内部 outside:外部
int gi 0/0/1 (在外网口配置) nat static global 12.1.1.2 inside192.168.31.2 将私网地址31.2 和12.1.1.2 做一 对一的映射。调试:查看nat 的转换过程
dis nat session protocol icmp
缺点:有多少个私网地址就需要多少个公网地址。
121 NAT 之 easy IP :允许多个私网地址转换成一个公网ip,很常用。出口:
先写acl 匹配内网私网地址段 acl number 2000 rule 5permit source 192.168.31.0 0.0.0.255 注:acl 用来做匹配范围时,没有默认隐含允许所有的规则。 int gi 0/0/1 (公网接口) nat outbound 2000 (2000是acl 的表号)原理:内网私网地址出包时转换成公网接口gi 0/0/1 当前的ip地址。122 NAT 之 serverNAT:可以将某服务器的某端口映射出去 (非常安全)
int gi 0/0/1
natserver protocol tcp global 12.1.1.4 www inside
192.168.31.254 www
仅仅将服务器的80端口映射出去
123 广域网链路:二层封装 PPP 、HDLC、FR
interface Serial4/0/0 link-protocol ppp ip address 12.1.1.2 255.255.255.0
PPP 可以对链路做认证
124 PPP 的链路认证:
① PAP 认证 ② CHAP
PAP 认证:(明文传输,两次握手)
R2(服务端)
aaa
local-user hcnp passwordcipher hcnp123 local-user hcnp service-type ppp int s4/0/0
ppp authentication-mode pap
此时:可以shutdown 接口 然后再undo shutdown 检测
R1 (客户端)
int s4/0/0
ppp pap local-user hcnp password simple hcnp123 配置客户端发送的用户名和密码
此时:可以shutdown 接口 然后再undo shutdown 检测
CHAP 认证:三次握手,密文发送
125 HDLC、FR
注:华为、H3C 串行接口默认的封装方式是PPP
cisco (思科) 串口默认封装的是HDLC int s4/0/0 link-protocl hdlc
126 FR : frame-relay 帧中继
127 链路聚合/链路捆绑/端口聚合/eth-channel
交换机:
int eth-trunk 1 创建逻辑捆绑接口组1
int gi 0/0/1 将接口加入接口组1 eth-trunk 1
int gi 0/0/2 eth-trunk 1 int gi 0/0/3 eth-trunk 1
128 VRRP:虚拟网关冗余协议 Virtual Router Redundancy Protocol.三层网关冗余技术。对用户的网关做冗余。
基础配置:核心的ip地址接入层交换机无需配置
用户网关 10.1
vrrp 配置:
核心1:
int gi 0/0/0 (下联用户的接口) vrrp vrid 1 virtual-ip 192.168.10.1 创建虚拟组1,并指定虚拟ip地址,该虚拟地址作为用户网关。核心2:(主路由器)
int gi0/0/0
vrrp vrid 1 virtual-ip 192.168.10.1 vrrp vrid 1 priority 105 将优先级改为105 作为主路由器,优先级默认是100。数字越大越优先。
工作原理:核心路由器会每隔一段时间(约2s)发送一个特定的vrrp 报文。如果一段时间没有收到对方发来的vrrp 报文,就认为对方 master 设备出现故障。此时backup会自动切换为master。
int gi 0/0/0
vrrp vrid 1 track interface GigabitEthernet0/0/1 跟踪上联接口gi 0/0/1 的状态,当发现gi0/0/1口down时,自动将优先级减10,以让出master的位置。配置密码(可选配置)
int gi 0/0/0 vrrp vrid 1 authentication-mode simpleplain 123 配置认证简单明文密码123
129 stp:spanning tree protocol 生成树协议
作用:防止交换环路 原理:通过运行stp 算法,阻塞特定的接口实现冗余无环的网络。
130 stp 算法:大原则:先选出不被阻塞的接口,剩下的接口都会被阻塞。
① 整个网络(整个广播域)先选出根桥。先比较优先级再比较mac地址,越小越优先。根桥上面的端口都是指定端口。
② 非根桥上面选举根端口(根端口有且仅有一个)到达根桥最近的端口当选为根端口。
③ 每段链路选举一个指定端口。桥ID(优先级+mac)较小的交换机上面的端口当选为指定端口。
④ 剩下的端口全部被阻塞。
131 修改交换机stp 的优先级:stp priority 0
注:优先级必须是4096的倍数
132 交换机接口由down 到转发状态大概经过30s。down--->listening--->learning--->forwarding
边缘端口:建议将接PC的接口配置为边缘端口(减少接口的收敛时间) int gi 0/0/3
stp edged-port enable
133 stp 根保护:建议到根桥的接口配置 int gi 0/0/2
stp root-protection 一旦使能根保护功能的指定端口收到优先级更低BPDU时,端口状态将进入Discarding状态,不再转发报文。在经过一段时间
(通常为两倍的Forward Delay),如果端口一直没有再收到优
先级较高(数值低)的BPDU,端口会自动恢复到正常的
Forwarding状态。
注:该指令只能在指定端口配置才会生效。
134 stp bpdu 防护:保护根桥全局
stp bpdu-protection
作用:开启bpdu保护后,如果从边缘端口收到stp报文,交换机会自动将该接口shutdown 。从而确保根桥不被抢占,同时确保不会出现环路。
error-down auto-recovery causebpdu-protection interval 30
30s后自动up 自动恢复机制。
135 RSTP:rapaid stp 快速的生成树协议。stp 的升级版 stp mode rstp 将stp 的模式切换为rstp
136 IPV6:internet protocol version 6 目前正在使用:ipv4
ipv4:32bit 2^32=42.9亿 个 ipv6:128bit 2^128 = 很大很大 冒号分16进制
ipv6由8个字段组成,每个字段占16个bit
2001:db8:0:0:0:0:346:8d58 2001:db8::346:8d58 特殊ipv6地址:
注① ::1 本地环回地址 类似ipv4 127.x.x.x
注② :: 相当于ipv4 0.0.0.0
注③ FF开头 组播v6地址 例如:FF::5 类似224.0.0.5 ipv6 静态路由配置
接口ip:
ipv6 全局使能ipv6 功能 int gi 0/0/1 ipv6 enable ipv6 address 2001::2 64
R1:ipv6 route-static 2002:: 64 12::2
R2:
ipv6 route-static :: 0 12::1
137 ipv6 地址分类:单播 组播 任意播 (取消广播概念)
任意播:一到最近
138 ipv6 无状态自动配置:PC 会通过发送特定类型的icmp 报文请求路由器接口的前缀,结合自己的mac地址自动生成全球独一无二的ipv6 地址。
139 ipv6 中以FE80:: 开头的地址都属于本地链路地址(link-local),只在本地链路有效。启用了ipv6功能的接口都会自动生成相应linklocal地址。
FE80::+EUI-64 地址
EUI-64 地址:原mac地址中间嵌入FFFE,然后将第七个bit 取反。
140 思科 锐捷 命令行简介
> 用户模式
# 特权模式
(config)#全局模式
>enable 由>进入# 模式 #configure terminal 由#进入全局 exit 退出当前模式全局hostname SW1 命名
vlan 10 int vlan 10 ip add x.x.x.x 255.255.255.0
#show ip int brief 显示接口摘要 #show ip route 显示路由表 #show run 显示当前配置 #write 保存
int Fa0/1 将接口fa0/1划入vlan 10 switchport access vlan 10 switchport mode access
int Fa0/3 将接口配置为trunk switchport trunkencapsulation dot1q switchport modetrunk
静态路由
全局
ip route 192.168.30.0 255.255.255.0 192.168.20.2
同时对多个接口做配置
int range fa0/1-fa0/24
#erase startup-config 擦除配置
141
擦除华为配置
< > reset saved-configuration
142 终止解析
ctrl + shift + 6 143 思科acl 配置:
标准:
R2:
全局 access-list 1 deny 192.168.10.2 0.0.0.0 access-list 1 permit any int fa0/0
ip access-group 1 in 扩展:
access-list 100 deny icmp 192.168.10.2 0.0.0.0 any int fa0/0
ipaccess-group 100 in
144 思科NAT
int fa0/0
ip natinside 指明内网接口
int fa1/0
ip natoutside 指明外网接口
access-list 5 per 192.168.10.0 0.0.0.255 用acl匹配内网
网段
全局ip nat inside source list 5 interface fa1/0overload
145 思科 telnet配置
全局username aa privilege 15 password aa123首先配置用
户名和密码 权限级别是15
全局line vty 0 15
login local 使用本地的用户名和密码对登录的用户做
认证
146 思科DHCP
service dhcp enable 开启dhcp 功能
全局ip dhcp pool hcna 建立dhcp 地址池
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1 dns-server 192.168.10.1
147 两层架构的总合实验实验要求:
② 企业内网划(① 用户的网关配置在核心交换机)分多个vlan,减少广播域大小,提高网络稳定性
接入层交换机配置vlan ,并将用户划入相应的vlan 配置好trunk链路核心上面配置vlan 和SVI虚拟接口
③ 所有设备,在任何位置都可以telnet远程管理
aaa
local-user hcnp password simple hcnp123 local-user hcnp privilege level 3 local-user hcnp service-type telnetuser-interface vty 0 4 authentication-mode aaa 配置管理vlan 999 管理地址段:192.168.255.x sw1:
interface Vlanif 999 管理vlan ip address 192.168.255.1 255.255.255.0
sw2: vlan 999 int vlan 999 管理vlan
ip add 192.168.255.2 24 配置管理ip地址
ip route-static 0.0.0.0 0192.168.255.1 给管理流量回包的缺省路由 sw3: vlan 999 int vlan 999 ip add 192.168.255.3 24 ip route-static 0.0.0.0 0 192.168.255.1
④ 出口配置NAT
vlan 800
配置SVI 254.1 和 R1对联
路由器R1、R2 接口都配置好ip地址
NAT配置:
acl number 2000
rule 5 permit source 192.168.0.0 0.0.255.255
int gi 0/0/1 (出口) nat outbound 2000 核心sw1:
ip route-s0.0.0.0 0 192.168.254.2 出口R1:
ip route-s 0.0.0.0 0 12.1.1.6 出包
ip route-s 192.168.0.0 255.255.0.0192.168.254.1
将回包交给核心sw1
⑤ stp 运行RSTP模式,确保核心交换机为根桥。并将接入用户的接口配置为边缘端口加快收敛。stp mode rstp stp priority 0 port-g g e0/0/2 to e0/0/3 stp edge-port enable
⑥ 配置根桥保护措施,确保根桥不被抢占
接入交换机:sw2、sw3stp bpdu-protection
⑦ 所有用户均为自动获取ip地址
核心:sw1
int vlan 30 dhcp select global
⑧ 在企业出口将内网服务器的80端口映射出去,允许外网用户访问
R1:
int gi0/0/1 nat server protocol tcp global 12.1.1.4 wwwinside 192.168.200.10 www
⑨ 企业财务服务器,只允许财务部(vlan 30)的员工访问。sw1:
acl number 3000
rule 5 permit ip source 192.168.30.0 0.0.0.255destination 192.168.200.20 0 rule 10deny ip destination 192.168.200.20 0
int gi 0/0/2
traffic-filter outbound acl 3000
148 三层架构 园区网配置
① 用户的网关配置在核心交换机
② 企业内网划分多个vlan ,减少广播域大小,提高网络稳定性sw4 sw5 sw3 划分vlan 配置trunk sw4:
vlan 10 int e0/0/2 port link-type access port default vlan 10 int gi0/0/1 port link-type trunk
port trunk allow-pass vlan 10 999
汇聚sw2:
vlan batch 10 20 999 port-g g gi 0/0/1 to gi 0/0/2 e0/0/1 port link-type trunk porttrunk allow-pass vlan 10 20 999
核心sw1:
vlan batch 10 20 200 999 interfaceGigabitEthernet0/0/1 port link-typetrunk
port trunk allow-pass vlan 10 20 999
#
interface GigabitEthernet0/0/2 port link-type trunk port trunkallow-pass vlan 200 999
interface Vlanif10 ip address 192.168.10.1 255.255.255.0
interface Vlanif20 ip address 192.168.20.1 255.255.255.0
#
interface Vlanif200 ip address 192.168.200.1 255.255.255.0
③ 所有设备,在任何位置都可以被telnet远程管理所有设备:
vlan 999 interface Vlanif999 ipaddress 192.168.255.5 255.255.255.0
aaa
local-user hcnp password cipher hcnp123 privilege level 3 local-user hcnp service-type telnet
user-interface vty 0 4 authentication-mode aaa 注意:接入 、汇聚 sw2 sw3 sw4 sw5 ip route-s 0.0.0.0 0 192.168.255.1 配置缺省路由给管理流量回包
R1:开启telnet
④ 出口配置NAT先配置三层接口配置缺省路由允许内网用户访问外网: sw1:
ip route-s 0.0.0.0 0 192.168.254.2
R1:
ip route-s 0.0.0.0 0 12.1.1.6
⑤ 所有用户均为自动获取ip地址
ip pool vlan_10 gateway-list 192.168.10.1 network 192.168.10.0 mask 255.255.255.0
dns-list 8.8.8.8
#
ip pool vlan_20 gateway-list 192.168.20.1 network 192.168.20.0 mask 255.255.255.0 dns-list 8.8.8.8
interface Vlanif10 ip address 192.168.10.1 255.255.255.0 dhcp select global
#
interface Vlanif20 ip address 192.168.20.1 255.255.255.0 dhcp select global
#
⑥ 企业总部和分支采用PPP 广域网链路连接。并采用CHAP对链路做认证。接口使用s4/0/0
⑦ 企业总部和分支采用ospf 路由协议连接。
sw1:
HCNP (部分)
149 dhcp request :由用户发向服务器的广播报文,目的是用来通知其他服务器是否使用服务器分配的ip地址。同时该报文还有续租的作用。
150 dhcp 租期:目的是合理有效的使用ip地址
分配给客户端的ip地址都是有租期的,当到达租期一半的时候,客户端会自动触发续租消息(dhcprequest报文)。
151 dhcp 高级报文:
152 dhcp 配置:
① 全局建立地址池 ip pool aa gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 dns-list 8.8.8.8
int gi 0/0/1 dhcp select global
修改租期:(可选)
ip pool aa lease day 0 hour 20
绑定固定mac对应IP(可选)
ip pool aa static-bind ip-address 192.168.1.200mac-address 5489-987a-575e 排除地址段(可选)
ip pool aa excluded-ip-address 192.168.1.250192.168.1.254 调试指令:
dis ip pool name aa used 显示已经分配的ip地址的使用情况
<>reset ip pool name aa used 重置分配记录
② 基于接口的dhcp(简单、便捷)int Gi 0/0/0 ip address 192.168.1.1 255.255.255.0 dhcp select interface dhcp serverdns-list 8.8.8.8
③ dhcp relay (dhcp 中继)
交换机配置好vlan 和trunk sw1: vlan batch 10 20 800 int vlan 800 ip add 192.168.254.1 24
int gi 0/0/1 port link-ty acc port default vlan 800
R1-DHCP: ip pool aa gateway-list 192.168.10.1 network 192.168.10.0 mask 255.255.255.0
dns-list 8.8.8.8
#
ip pool bb gateway-list 192.168.20.1 network 192.168.20.0 mask 255.255.255.0 dns-list 8.8.8.8
interface GigabitEthernet0/0/0 ip address 192.168.254.2 255.255.255.0 dhcp select global
核心sw1:
interface Vlanif10 ip address192.168.10.1 255.255.255.0 dhcp selectrelay dhcp relay server-ip 192.168.254.2
interface Vlanif20 ip address 192.168.20.1 255.255.255.0 dhcp select relay dhcp relay server-ip 192.168.254.2
153 dhcp snooping
R1:
dhcp enable
interface GigabitEthernet0/0/0 ip address 192.168.1.1 255.255.255.0 dhcp select interface dhcp serverdns-list 8.8.8.8
R2: dhcp enable
interface GigabitEthernet0/0/0 ip address 192.168.31.1 255.255.255.0 dhcp select interface
dhcp server dns-list 9.9.9.9
#
接入层交换机: dhcp enable dhcp snoopingenable dhcp snooping enable vlan 1
interface GigabitEthernet0/0/1 将接口gi0/0/1 设置为信任接口 dhcp snooping trusted
dhcp snooping 工作原理:一旦针对某vlan 开启了dhcp snooping ,那么该vlan的所有接口默认都是非信任接口。非信任接口收到 dhcp 的offer 报文会直接丢弃。
154 BFD: BFD:Bidirectional Forwarding Detection,双向转发检查
作用:毫秒级故障检查,通常结合三层协议(如静态路由、vrrp、ospf、BGP等)实现链路故障快速检查。
R1:
R1:
bfd 全局使能BFD
bfd 1 bind peer-ip 12.1.1.2source-ip 12.1.1.1 配置BFD组1 discriminator local 1 本地标识1 标识需要互为对称discriminator remote 2 远端标识2 commit 确认提交
R2:
bfd 1 bind peer-ip 12.1.1.1 source-ip12.1.1.2 discriminator local 2 discriminator remote 1 commit
#
R1:
ip route-static 2.2.2.0 255.255.255.012.1.1.2 track bfd-session 1
R2:
ip route-s 1.1.1.0 24 12.1.1.1 trackbfd-session 1
155 ospf 调用bfd 加快收敛
两台路由器配置ospf 然后启用bfd ospf 1 bfd all-interface enable
156 端口安全
sw:
int gi0/0/1
port-security enable 开启端口安全,该接口就只允许一个mac地址通信
port-security mac-address sticky 开启mac地址自动粘贴,第一个用户的mac地址会自动被粘贴到该接口 port-securityprotect-action shutdown 将动作改为shutdown (可选)
157 端口镜像:
作用:① 用来方便管理员维护查看网络流量 ② 用来配合IDS、堡垒机等安全设备使用
将gi 0/0/2 口配置为观察接口
observe-port 1 interfaceGigabitEthernet 0/0/2 注:1 为观察组
int gi 0/0/1
port-mirroring to observe-port 1 both
将从gi 0/0/1口进去和出来的流量复制一份发给观察组1
158 高级vlan 的配置之 基于mac地址的vlan
vlan batch 10 20 vlan 10
mac-vlan mac-address 0000-0000-0001
vlan20
mac-vlanmac-address 0000-0000-0002
interfaceGigabitEthernet0/0/1 port hybriduntagged vlan 10 20 配置混合接口 mac-vlan enable 启用基于mac地址学习vlan
159 vlan 高级配置之 基于IP子网划分vlan sw2 创建vlan 并将相应接口划入相应vlan 和sw1 相连的接口配置trunk
sw1:
int gi 0/0/2 port link-ty trunk port trunk allow-pass vlan 10 20
interface GigabitEthernet0/0/1 (特殊处理) port hybrid untagged vlan10 20 ip-subnet-vlan enable
vlan batch 10 20 vlan 10
ip-subnet-vlan 1 ip 192.168.10.0 255.255.255.0vlan 20
ip-subnet-vlan 1 ip 192.168.10.0 255.255.255.0
160 超级vlan
vlan batch 10 20 30
将相关接口划入相应vlan (略)
vlan 30 aggregate-vlan 将vlan30 定义为聚合vlan access-vlan 10 20 将vlan 10 20 定义为vlan30 的子vlan
int vlan 30 ip add 192.168.1.1 24 该地址将作为vlan 10 和vlan 20 的网关
161 相同vlan 隔离端口
int gi 0/0/4
port-isolate enable 将4口设置为隔离端口,并加入隔离组1 (默认都会加入隔离组1) intgi 0/0/1
port-isolate enable
注:同一台交换机相同隔离组的端口不能互访
162 vlan的映射:vlan mapping (vlan 的翻译)
sw3 sw4 配置vlan 和trunk,交换机和交换机之间级联的接口配置trunk sw1:
vlan 100 int gi 0/0/1 port link-ty trunk
port trunk allow-pass vlan 100 sw2 :
interface GigabitEthernet0/0/1 port link-type trunk
port trunk allow-pass vlan 30 to 31
interface GigabitEthernet0/0/3 port link-type trunk port trunk allow-pass vlan 32
int gi 0/0/2 port link-type trunk port trunk allow-pass vlan 100
qinq vlan-translation enable 启用vlan 标签的转换
port vlan-mapping vlan 30 to 39 map-vlan 100将vlan的标签30-39 转换成100 注:trunk 封装:802.1q协议
163 hybrid 混合接口:hybrid 接口是一种混合接口,是华为设备特有的接口。华为交换设备默认的接口封装类型。hybrid 接口同时具备access 和trunk 的两种功能。
将hybrid 口当成access口来使用: sw1: int gi 0/0/1 port hybrid pvid vlan 10 port hybrid untagged vlan 10
interface GigabitEthernet0/0/2 port hybrid pvid vlan 20 porthybrid untagged vlan 20
将hybrid 口当成trunk 来使用:
interfaceGigabitEthernet0/0/3 port hybridtagged vlan 10 20 sw2:略 164 使用hybrid 接口实现特殊通信:
房间之间不能通信,但是每个房间都可以与出口路由器通信
sw1:
165 SSH:Secure Shell
ssh :安全的远程控制协议 端口 tcp 22号端口
特点:传输的数据时加密的,Linux 服务器也很常使用
aaa
local-user aa password cipher aa123 privilege level 3 local-user aa service-type ssh
user-interface vty 0 4 authentication-mode aaa protocol inbound ssh stelnet serverenable 开启stelnet(SSH)的功能
使用路由器当ssh客户端:
166 MSTP:
Mulitistp 多生成树协议 (华为交换机默认运行mstp)工作原理:将多个vlan 捆绑在一起,运行在一个stp 实例里面,不同实例间的stp 互相独立。 注:默认情况下所有vlan 都在实例 0 里面。交换机需要提前创建vlan 和trunk mstp配置:
instance 1 :vlan 10instance 2 :vlan 20 所有的交换机:
stp region-configuration region-name hcnp instance 1 vlan10 instance 2 vlan 20 active region-configuration
sw2: stp instance 2 priority 4096 针对实例2 将sw2的stp 优先级调为4096
注:配置sw1 成为instance2 的根桥:
sw1 stp instance 2 root primary (sw1会自动降低优先级成为实例2 的根桥)sw2: stp instance 2 root secondary sw2将会自动降低优先级成为实例2 的备份根桥
167 VRRP + MSTP 实现二层 和三层的冗余:核心sw1:(作为vlan 10 用户的主路由器)
interface Vlanif10 ip address 192.168.10.254 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.10.1
vrrp vrid 1 priority 105
核心sw2:
interface Vlanif10 ip address192.168.10.253 255.255.255.0 vrrp vrid 1virtual-ip 192.168.10.1 核心sw1:
interface Vlanif20
ip address 192.168.20.254 255.255.255.0 vrrp vrid 2 virtual-ip 192.168.20.1
核心sw2:(SW2将成为vlan 20的主路由器)
interface Vlanif20
ip address 192.168.20.253 255.255.255.0 vrrp vrid 2 virtual-ip 192.168.20.1 vrrp vrid 2 priority 105
如果由于核心交换机的下联接口出问题,vrrp 切换到另一台核心,需要配置跟踪接口 sw1:
int vlan 10 vrrp vrid 1 trackinterface GigabitEthernet0/0/1 sw2:
stp instance 1 root primary
sw2:
stp instance 1 root secondary instance 2 根桥设置:
sw1:
stp instance 2 root secondary stp instance 2 root primary
sw2:
168 ospf :open shortest path first 开放式最短路径优先
area 0 :骨干区域 (核心区域) area 1 2 。。常规区域注:常规区域必须和骨干区域直接相连
ABR:area borderrouter 区域边界路由器
ASBR:auto-systemborder rouer 自制系统边界路由器
169 router id:标识运行ospf 的路由器的身份 ID,身份ID 不能重复。
选举规则:手动指定最优先,如果没有指定则选举环回口,没有环回口则选举物理接口(接口地址越大越优先)华为设备:手动指定最优先,最先up的接口最优先。
注:router id 是在ospf刚启动的时候选举。
重置ospf 进程 可以从新选举:
手动指定:
全局 router id 2.2.2.2 给动态路由协议指定router id
170 ospf 建立邻居的条件:
① 两台路由器router id 不能一致
② 两台路由器中间直连的网段必须宣告到相同的area 区域
③ 认证的类型、密码必须一致
④ 直连必须可以通信
⑤ ospf 邻居之间的特殊区域标识必须一致
172 ospf 的路由优先级:preference :10 (默认)
173 三张表:
邻居表 拓扑表 路由表邻居表:
拓扑表:
174 ospf 排错
175 动态路由:
距离矢量类路由协议:distance-vector :Rip BGP 链路状态类路由协议:link-state :ospf ISIS
176 ospf 的邻居建立过程:
down----->init----->two-way----->ex-start---->-ex-change---->loading---->full
init:初始化状态,开始交互hello 报文 two-way:路由器双方都得到对方的router-id exstart:准备交互DBD描述报文,同时选举DR和BDR exchange:交互DBD描述报文 loading:加载状态,请求对方的完整的明细路由 full:完全邻接状态,双方数据库同步注:查看ospf形成邻居的几个状态 information-center enable<>debugging ospf event
<>terminal debugging <>reset ospf process
177 DR:designate router 指定路由器 (班长)
BDR:backup DR 备份指定路由器 (副班长)
作用和目的:为了减少 MA(多路访问multi-access)环境下,不必要的ospf 报文的发送,减少链路带宽的占用,路由器会自动选举DR 和BDR。DRother路由器只会将ospf 路由信息传递给DR。 DRBDR选举规则:接口优先级 + router id,越大越优先。
注:DR、BDR 的不抢占规则:DR和BDR一旦选举成功,则不会再次选举。(除非重启)注:优先级为0 表示直接不参与DR和BDR 的选举。
178 配置:
int gi 0/0/0
ospf dr-priority 5 将接口ospf 优先级由1改为5
179 ospf 常见的五种报文:
180 ospf 虚链路 :解决常规区域没有和骨干区域直接相连
R1: ospf 1
area 1 (一定在area 1 )
vlink-peer 2.2.2.2 (2.2.2.2 必须是对方路由器的router id)
R2:
ospf 1
area 1 vlink-peer 1.1.1.1
注:虚链路是区域0 的延伸,它默认属于区域0 。
181 ospf 的认证:
注:认证是基于接口的
int gi 0/0/0
ospf authentication-mode simple cipher 123
182 清空ospf error 统计<>reset ospf counters
183 ospf 的静默接口
ospf 1 silent-interface gi0/0/1 将gi0/0/1口设置为静默接口,静默接口不会发送任何的ospf 报文。注:建议将接PC的口设置为静默接口。
184 ospf 修改优先级
ospf 1
preference 20 将优先级修改为20
185 ospf 的路由引入(import):思科称为路由重分布(重分发)
R5: rip 1
undo summary version 2 network 8.0.0.0 network 57.0.0.0
R7: rip 1
undo summary version 2 network 7.0.0.0 network 57.0.0.0 注:不同的路由协议之间默认不能直接传递路由,若想传递还需import 引入。
R5:
ospf 1 import rip 将rip 引入ospf
引入的路由:o_ASE :ospf -autosystem external,ospf自制系统外部路由
,路由优先级默认是150
R5:
rip 1
import ospf 将ospf 引入rip
双向引入完成
向ospf 区域引入缺省路由: R3:
ip route-s 0.0.0.0 0 38.1.1.8 ospf 1
default-route-advertise always
将缺省路由引入ospf 注:always 无论R3是否有缺省路由存在,R3总会向ospf区域下发缺省路由。
186 ospf 路由汇总
作用:精简路由表的大小,减少路由器计算资源的开销
1.1.1.0/24
1.1.2.0/24
1.1.3.0/24
1.1.000000 01.0
1.1.000000 10.0
1. 1.000000 11.0
1.1.0.0/22
1.1.0.0 255.255.252.0
① 区域间的汇总(必须在ABR上汇总) R2:ABR
ospf 1
area 1(明细路由所在区域)
abr-summary 1.1.0.0 22
② 自治系统间的汇总(必须在ASBR上汇总) R5:ASBR
ospf 1
asbr-summary 7.7.0.0 255.255.240.0
7.7.7.0
7.7.8.0
7.7.9.0
7.7.0000 0111.0
7.7.0000 1000.0
7. 7.0000 1001.0
7.7.0.0/20
7.7.0.0 255.255.240.0
187 ospf LSA 类型:
188 ospf 特殊区域
① stub ② totally stub ③ NSSA ④ totally NSSA
① stub 末节区域:不接收五型的lsa R1 R2:(R1 和R2 都要配置) ospf 1 area 1 stub
作用:拒绝5型LSA,减少路由表的大小,减轻末节路由器的负担。注:特殊区域的路由器会自动形成缺省路由指向ABR来访问其他自制系统。
② totally stub 完全末节区域:拒绝 3 4 5 型LSA
R1 R2:(R1 和R2 都要配置)
ospf1 area 1
stub no-summary
③ NSSA :not so stub area :拒绝5型的LSA ,但是会放行后面的其他自制系统的路由即“小尾巴”。“小尾巴”的路由会通过7型的LSA透传stub 区域。
R1 R2: ospf 1
area 1
nssa 将区域1配置为nssa区域
④ totally nssa :拒绝3 4 5 型 LSA
R1 R2: ospf 1 area 1 nssa no-summary
189 ospf 的路由过滤
ospf 1 filter-policy 2000 import (使用acl 2000 对路由进行过滤)
acl number 2000 rule 5 deny source 1.1.2.1 0 rule 10 deny source 1.1.3.1 0 rule 15 permit 拒绝1.1.2.1/32和 1.1.3.1/32 两条路由,放过剩下的路由。
190 对ospf 引入(import)的路由进行过滤ospf 1
import-route rip 1 route-policy qq 引入rip路由同时调用路由策略qq
route-policy qq permit node 10 配置路由策略qq 执行序号为10 if-match acl 2001 匹配acl 2001
acl 2001
rule permit source 7.7.8.00.0.0.255 rule permit source 7.7.9.0 0.0.0.255
191 ISIS:Intermediate System to Intermediate System的简称 中间系统到中间系统 ,类似ospf 的一种动态路由协议。中间系统:路由器注:主要用于运营商的内部网络
特点:
① IS 指路由器
② isis 属于大型内部网关路由协议类似ospf,多用于运营商,企业网很少使用。
③ 使用SPF算法,链路状态类路由协议。
④ ISIS 封装数据包是基于OSI 模型,ospf、rip、以及常见的以太网数据包封装都是基于TCP/IP模型。
⑤ ISIS 划分区域是基于路由器的。即一个路由器只能属于一个区域。
⑥ ISIS 也是两层架构(骨干区域、常规区域)
192 isis路由器的种类:
① Level 1路由器:仅收发L1 isis报文
② Level 2路由器:仅收发L2 isis报文
③ Level 1 2路由器:可以收发L1 和L2的isis报文骨干区域:连续的一片Level 2 路由器(包含L1 2)的集合
配置:
isis基本配置:
R1:
isis
network-entity 49.0002.0000.0000.1111.00 配置网络实体标识,类似ospf中的router-id,标识该中间系统(路由器)的身份信息。 其中49.0002 表示路由器所在的区域。
0000.0000.1111 表示系统ID即router-id .00 固定格式
到接口下宣告直连网段
R1:
int gi 0/0/0
isis enable 1 宣告该直连网段 int loo 0 isis enable 1
注1:默认情况下所有运行isis的路由器都是Level 1 2路由器。
注2: L12 路由器类似ospf中的ABR L2 类似ospf中骨干区域路由器
L1 类似ospf中的常规区域路由器
193 修改路由器的level 类型
R1:
isis 1
is-level level-1 将R1修改为纯level 1路由器
注:默认情况下,骨干区域的路由不会发送到L1路由器(常规区域),且L1路由器会自动形成指向L12路由器的缺省路由。(这种特性类
似ospf中的totallystub)
194 修改isis 接口发送level 报文的类型:
R2:
int gi 0/0/0 isis circuit-level level-1 指定R2 的接口只发送level 1 的isis报文。
195 向isis区域引入其他自制系统的路由注意:默认情况下,向isis引入的路由是Level 2 的路由。 isis
import-route rip 1 level-1 接level 1 指的是以level 1 的形式引入
196 BGP:边界网关路由协议:boder gateway protocol
特点: ① 属于外部网关路由协议
② 针对大型网络、大型跨国集团、运营商、国与国之间的路由
197 路由协议分类:
内部网关路由协议IGP:rip ospf isis (eigrp)外部网关路由协议EGP:EGP(早期淘汰) BGP
198 BGP 邻居关系:
IBGP :相同的AS路由器邻居 EBGP:不同AS的路由器邻居
注:EBGP 建邻居用直连接口
IBGP 建邻居用环回接口
EBGP:
R1: router id 1.1.1.1 bgp 100
peer 12.1.1.2 as-nu 200 指定邻居12.1.1.2 所在的AS
R2:
router id 2.2.2.2 bgp 200
peer 12.1.1.1 as-nu 100 调试:dis bgp peer 199 IBGP 邻居建立:
在AS 内部需先运行IGP,然后才可以使用环回接口建立BGP
R2: bgp 200 peer 3.3.3.3as-number 200 peer 3.3.3.3connect-interface LoopBack0
R3:
router id 3.3.3.3 bgp 200 peer 2.2.2.2 as-number 200 peer2.2.2.2 connect-interface LoopBack0 peer4.4.4.4 as-number 200 peer 4.4.4.4connect-interface LoopBack0
R4:
router id 4.4.4.4 bgp 200
peer 3.3.3.3 as-number200 peer 3.3.3.3 connect-interface LoopBack0 peer 45.1.1.5 as-number 300
R5:
router id 5.5.5.5 bgp 300
peer 45.1.1.4 as-number 200
200 bgp 路由传递:R1:
bgp 100
network 1.1.1.0 24
查看bgp的转发表“高速公路”
注:<>reset bgp all 重启bgp 进程
201 BGPnext-hop 属性:BGP 是以AS为个体,路由传递给其EBGP对等体时,下一跳会不变的引入AS的内部。可能会引起下一跳不可达问题:
解决:
R2:
bgp 200
peer3.3.3.3 next-hop-local 路由传递给邻居3.3.3.3时将路由的下一跳改为自己(2.2.2.2)
202 IBGP 水平分割属性:为了防止IBGP环路,默认情况下从IBGP对等体收到的路由不会传给其IBGP邻居。
解决水平分割:配置路由反射器
R3:
bgp200
peer 4.4.4.4 reflect-client 将R4配置为自己的路由反射客户端
注:从客户端(路由反射客户端)学到的路由可以无条件传递给任何对等体。
203 全网互通、路由引入
R1 R2:
bgp 100
net 12.1.1.0 24
R5 R4: bgp 300
net 45.1.1.0 24
R2:
bgp 200 import-route ospf 1 将ospf 的路由引入bgp
204 BGP 的路由汇总
R1:
bgp 100
aggregate 1.1.0.0 22
注:默认情况下,bgp的明细路由和汇总路由都会发送
a(bgp 100)ggregate 1.1.0.0 22 detail-suppressed 抑制明细路由
205 BGP AS-path 属性
作用:如果一个路由器收到一条路由,路由的AS-path 包含自己所在的AS,则路由器会认为发生了环路将该路由丢弃。
EBGP 防环:As-path 属性
IBGP 防环:ibgp 水平分割
206 路由聚合的AS-set 参数
R4:
bgp 200
aggregate 1.1.0.0 22 detail-suppressed as-set
as-set 参数可以使得聚合后的路由含有原来的as-path 属性 207 一台路由器上面只能运行一个bgp 的进程。
208 MPLS:Multi-Protocol Label Switching,多协议标签交换 运营商在使用(企业网没有使用)
① mpls-
② 在各种运营商的设备上面例如:LTE、ONU
注意:MPLS是二层半协议,介于mac和ip之间注意:mpls 只是一种数据层面的转发方式,mpls 本身无法形成路由,无法控制数据的走向。即mpsl 是依赖于底层的路由协议。
209
mpls 配置:
全局 mpls lsr-id 1.1.1.1 指定mpls路由器的router-id
mpls 启用mpls标签转发 mpls ldp 启用mpls ldp分发协议
int gi0/0/0 mpls mpls ldp
210 LDP:标签分发协议
211 mpls 工作原理
注①:标签小于1024都有特殊意义,给普通路由分发的标签大于等于1024
注②:标签转发仅仅是工作于数据层面的转发机制,不能控制转发路径,控制层面依靠路由表。
注③ :标签本地有效。
212 :virtual private network 虚拟专用网络应用类型两种:
① 总部和分支之间对联
② 远程出差人员,通过拨号的方式访问企业内网
213 GRE 配置:
R5 R6:
需要配置缺省路由指向运营商
运营商的路由器全部配置ospf 使得R5的公网地址ping 通 R6 的公网
R5:
interface Tunnel0/0/0 description TO_shanghai tunnel-protocol gre source 15.1.1.1
destination 46.1.1.1 ip add 192.168.254.1 24 给隧道配置ip地址 R6:
interface Tunnel0/0/0 description TO_beijing tunnel-protocol gre source46.1.1.1 destination 15.1.1.1 ip add 192.168.254.2 24
R5:
ip route-s 192.168.100.0 24 192.168.254.2
R6: ip route-s 192.168.1.0 24 192.168.254.1 缺点:数据在经过运营商时没有加密。
214 ipsec :
① 两端公网地址网络可达
② 配置acl 感兴趣流量(经过隧道传输的流量)
R5:
acl 3000
rule per ip source 192.168.1.0 0.0.0.255 destination 192.168.100.0 0.0.0.255 R6: acl 3000
rule per ip source 192.168.100.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
215 组播
multicast ,一次发送一组人接收 组播应用场景:广播电视、音视频会议系统、电视直播。
组播作用:减少主干链路重复报文的发送,节省带宽,减少服务器和主干路由器的负载。
216 防火墙:firewall
工作模式:
① 透明网桥模式(可将防火墙当成二层交换机)
② 路由模式 (可将防火墙当成三层路由器)
DMZ:demilitarizedzone,通常给该区域放服务器
注:优先级越高表示越信任
217 将接口划入区域
218 方向: outbound:高优先级访问低优先级 inbound:低优先级访问高优先级
注:“访问”仅指的是出包即主动发起的第一个报文,即建立会话(session)的过程。
219 五元组:
cmd----》netstat-an
① NAT(220 防火墙NAT )转换:firewall 允许内网私网用户访问外网服务器
nat-policyinterzone trust untrust outbound 允许trust-
>untrust转换
policy 1 定义转换策略1 action source-nat 仅转换源ip地址 easy-ip Gi 0/0/2 出包时转成公网接口gi0/0/2的公网ip 注:不需要到接口下配置。
② NAT转换:将内网服务器80端口映射出去
nat server protocol tcp global23.1.1.3 80 inside 192.168.254.2 80
调试命令:
221 SLB(server load-balance ):基于服务器的负载均衡
注:slb集成NAT功能,因此不需要额外配置基于服务器的NAT 配置:
slb enable slb
rserver 1rip 192.168.254.2 真实服务器1的真实ip地址 rserver 2rip 192.168.254.3 group web
addrserver 1 addrserver 2
vserver vweb vip 23.1.1.4 group web 创建虚拟服务vweb公网地址23.1.1.4,关联真实服务器组web
222 网络运维监控----solarwinds
核心开启snmp:
223 网络运维监控之hostmonitor
功能强大,可以监控端口 、网络可达性、DNS等等
224 网络运维监控之spotlight
225 QOS :quality of service 服务质量 作用:在不升级网
络硬件带宽的前提下,通过对某些服务或者某些用户优先放行而实现带宽合理分配,提升用户服务质量。
QOS配置步骤:
① 将流量进行分类
trafficclassifier LD 将源ip为15.0 分到领导这个类别 if-match acl 2000
acl number 2000 rule 5 permit source 192.168.15.00.0.0.255 ② 配置相关动作 behavior
trafficbehavior LD car cir 2000 确保2000kbps 的带宽 ③ 配置策略 policy
trafficpolicy LD 创建策略LD,将分类和动作进行关联
classifier LD behavior LD ④ 接口下调用策略
intgi0/0/0
traffic-policy LD outbound 调试:
226 panabit 流控软件安装 panabit
用户名:root 密码: root 选择ad0 作为安装的硬盘 选择em2 网卡作为控制网卡
ls ./setup
给管理网卡em2 配置ip地址和网关
设置三个网卡的模式:
win7虚机 IE浏览器
https://192.168.31.24
用户名:admin 密码:panabit
227 配置panabit
注意① 每个策略都需要时间调度才可以生效注意② 网卡都选择网桥1 注意③ 到对应的项目里面做对应的限制228 Linux 系统的安装
Linux(Redhat 、Centos、redflag(红旗)、debian、
opensuse、unbuntu、arch、freeBSD等等:安全 稳定 开源 windows(win7、winxp、win8、win2008等):消耗资源
免费
高、不太稳定
安装
229 基本指令
ctrl + shift + + 放大字体 ctrl + - 缩小字体 init 3 进入非图形化界面 startx==init 5 进去图形化界面 vim /etc/inittab
3 非图形界面 5 图形界面
reboot 之后就会进入相应的模式
用户名@机器名 路径 ($代表普通用户 #根用户) pwd 显示当前的路径 / 根目录
cd 进入某目录 change directory ls list 列出当前目录的内容/root/Desktop 桌面位置 mkdir A 新建文件夹A
.. 表示上一级目录 . 表示当前目录
相对路径 cd A 绝对路径 cd /root/Desktop/A touch 1 创建文件 1
- 表示光标之前所在的位置 “返回”
cp 复制 (copy) rm 删除(remove) rm -fr (force)强制删除任何文件和文件夹 mv 剪切(move) 重命名 init 0 关机 reboot 重启
shutdown-h 20 & 20分钟之后关机 shutdown -c 取消关机 230 vi编辑器
cp /etc/inittab . 将文档inittab 复制到桌面实验
三种模式指令模式(默认打开后就是这个模式)插入模式 i (insert)
保存模式 :(:wq! 保存并强制退出)
r 替换某单个字符(replace)
esc退出到命令行模式
u 撤销 dd 删除一行
/no 查找no 关键字 n 下一个(next) N 上一个 shift +zz (英文,小写)7yy 复制光标以下七行p 粘贴 (paste)
231 网络配置 ifconfig 查看网卡接口配置
ifconfigeth0 1.1.1.1 netmask 255.255.255.0 临时给网卡配
置ip地址
route add -net 0.0.0.0 netmask 0.0.0.0 gw1.1.1.254 临时
配置网关
serviceNetworkManager stop 停止图形界面的网络服务(没
有无线网卡,没必要开启) chkconfigNetworkManager off 开机不启动 setup
ifdown eth0 禁用eth0 网卡 ifup eth0 启用eth0 网卡设置网卡使其开机自启动重启网络服务时也是自启动
cd /etc/sysconfig/network-scripts vim ifcfg-eth0
cat ifcfg-eth0 查看该文件内容
service network restart 重启网络服务
注:每次修改完配置文件后都要通过重启相关服务才可以使配置生效。
232 关闭防火墙和 selinux iptables -F 清空防火墙策略 /etc/init.d/iptables save 保存刚才的配置 vim /etc/selinux/config
重启生效
setenforce=0 临时关闭selinux 233 安装 vm-tools
一路回车!!!
安装完成之后,
reboot重启即可 234 ssh 服务:远程登录 安全 默认开启 无需设置修改主机名(hostname)
hostname xiaoge临时修改 vim /etc/sysconfig/network 永久修改
ssh x.x.x.x 235 yum 源的配置:作用方便安装某些软件和服务(功能)先将iso系统镜像复制到虚机里面,然后将iso 镜像挂载到相关目录 才可以使用
cd /
mkdir iso123 mkdir ISO
mv /root/Desktop/rhel-server-Linux-6.2-x86_64-dvd.iso
/iso123 vim /etc/fstab
安装软件方法
法① rpm 安装 cd /ISO/Packages
安装dhcp 服务
rpm-e dhcp 卸载该服务法②使用yum 源安装:优点 :自动解决软件包的依赖性 yum 源配置:检查yum 源是否做好
安装
yum install xxx -y (xxx表示软件包的名称(非全称))
卸载
yum remove xxx -y
236 VNC:virtual network computer ,跨平台 (linux 平台
windows平台 MAC OS 平台),支持图形界面远程管理linux
yum clean all 清空yum 源 yum repolist 重新生成 yum install tigervnc* -y 安装vnc
vncserver 回车 输入密码 (该密码是用户远程控制时需要输入的密码)启动vnc服务并设置密码本地客户端测试:
vncviewer --->127.0.0.1:1 远程控制:安装vnc 利用vncviewer---》
确保网络可达
注:vnc 重启之后,服务需要重新启动 237 配置vnc服务自启动 vim /etc/sysconfig/vncservers VNCSERVERS="1:root"
VNCSERVERARGS[2]="-geometry 800x600-nolisten tcp localhost" chkconfig vncserver on 开机使得vnc 服务自启动 238 Linux 系统的口令恢复(密码破解)
passwd 修改根用户的密码开机前3s按任意键 终止启动
回车后 按b 键启动 启动后 重新重置密码
239防止修改密码 240 破解启动项密码(unlock 密码)
删除密码
删除后 重启即可 241 linux 文件传输
scp:security copy 基于ssh 使用tcp 22号端口
linux:31.34--------linux:31:100scp qq 192.168.31.100:/root/Desktop 将本地的qq文件传
至对方桌面 scp 192.168.31.100:/root/Desktop/youjie . 将对方桌面上
的youjie文件复制到本地注:传递文件夹需要增加 -r 例如:
scp -r abc192.168.31.100:/root/Desktop 将本地abc 文件夹传至对方电脑 242 windows 向linux 传输文件:winscp
243 FTP:文件传输协议(FTP:FileTransfer Protocol)
VSFTP :verysecure file transport protocol (linux)
客户端访问:windows
客户端访问:linux
图形界面---place---connect toserver
244 WLAN:Wireless LocalArea Networks 无线局域网
802.11n 802.11ac (最快)
STA:station 工作站 PC、手机、PAD AP:access point
AC:accesscontrol (接入控制器),控制各个无线AP
组网方式:a 直连式组网
组网方式: b 旁挂式组网
用户数据(业务报文)转发方式:集中式转发(隧道转发) : 隧道指的是AP和AC之间建立的 capwap 隧道
本地转发 (直接转发) 数据直接转发,不从新封装 WAN 组网:二层组网:从AP 到AC之间是二层,ap 和ac 在同一个广播域三层组网:从AP到ac之间 是三层,AP的广播无法发送到AC wlan 工作频率:
2.4GHZ 普通 速率低 干扰大
5G GHZ 高配 速率快 干扰小 245 wlan 有线侧配置:dhcp 路由 vlan trunk
在ac 上查看AP是否上线(获取到ip)
AC增加指向 R1 出口缺省路由
ip route-s 0.0.0.0 0 192.168.240.2 246 WLAN 无线侧配置
SSID:service-set ID(信号名称) ① 全局配置
wlanac-global country-code CN 配置国家代码
(不同国家无线信道的标准不一样,中国2.4GHZ 分为13个信道)(默认)
wlanac-global ac id 1 carrier id other 配置ac id 1 以及运营商 ② 配置AP上线 指定与AP建立capwap 隧道的接口
wlan
wlan ac source interface vlanif100
ap-auth-mode mac-auth 配置AP的认证方式(默认)
wlan
ap id 1 type-id 19 mac 00e0-fcee-0410 ap id 2 type-id 19 mac 00e0-fcc1-1470
至此两个AP 全部上线!!
247 wlan 无线侧配置(2)
wlan
全局下配置:给用户群A虚接口:
248 配置一个服务集 将上述定义好的模板调用起来
wlan:
commit all 确认提交所有的配置检查用户的上网情况
249完善实验
R1:ip route-s 192.168.0.0 16 192.168.240.1 回包int loo 0
ip add 9.9.9.9 24 模拟外网百度
AC整个配置:
ip address 192.168.100.1 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8 9.9.9.9 interfaceVlanif101
#
ip address 192.168.101.1 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8 9.9.9.9 interfaceVlanif102
#
ip address 192.168.102.1 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8 9.9.9.9 interfaceVlanif800
#
ip address 192.168.240.1 255.255.255.252interface GigabitEthernet0/0/1 portlink-type trunk port trunk pvid vlan 100 undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 100 to 101
#
interfaceGigabitEthernet0/0/2 port link-typetrunk port trunk pvid vlan 100 undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 100 102
#
interfaceGigabitEthernet0/0/3 port link-typeaccess port default vlan 800 interfaceWlan-Ess1 port hybrid pvid vlan 101
port hybrid untagged vlan 101 interfaceWlan-Ess2 port hybrid pvid vlan 102
#
port hybrid untagged vlan 102
#
iproute-static 0.0.0.0 0.0.0.0 192.168.240.2
#wlan
wlan ac sourceinterface vlanif100 ap id 1 type-id 19mac 00e0-fcee-0410 ap id 2 type-id 19mac 00e0-fcc1-1470
wmm-profile name wmm-1 id 1 traffic-profile name tra-1 id 1 security-profile name sec-1 id 1 service-set name hcie id 1 wlan-ess 1 ssid hcie traffic-profile id1 security-profile id 1 service-vlan 101 service-set name hcie2 id 2 wlan-ess 2 ssid hcie2 traffic-profile id1 security-profile id 1 service-vlan 102 radio-profile name rad-1 id 1 wmm-profile id 1 ap 1 radio 0 radio-profile id 1 service-setid 1 wlan 1 ap 2 radio 0 radio-profile id 1 service-set id 2 wlan 1 # return
wlan service-set id 2
user-isolate 配置用户互相隔离
251 AP 工作过程
① AP发送普通DHCP 请求报文,获取IP地址
② 查找AC :AP 触发capwap 的广播查询报文
③AP 找到AC后,会和AC建立capwap 隧道,同时从AC请求配置。拿到配置后就可以发送电磁波让用户上网。
④ 用户看到wifi信号,连接并上网