NETWORK部分笔记
NETWORK部分笔记
- 传输介质简介
- 同轴电缆
- 双绞线
- 光纤
- 数据传输的两种模式
- 网络基础
- 计算机网络概述
- OSI七层模型(从下往上)
- 以太网的MAC地址
- 网络三种发送帧的方式
- 交换机工作原理
- 华为VRP系统的使用
- 华为交换机的命令行视图
- 基本使用
- VLAN技术及应用
- 广播域
- 什么是VLAN
- VLAN的基本概念
- VLAN的配置
- Trunk
- Trunk 干啥的
- Trunk的配置
- 链路聚合
- 网络层
- ICMP协议
- IP地址
- IP地址的组成
- IP地址的分类
- IP地址类型
- 子网掩码
- 网关
- 路由原理及配置
- 静态路由的配置
- 动态路由协议OSPF
- 传输层的协议
- TCP
- TCP的三次握手
- TCP的传输过程
- TCP关闭连接的四次断开
- 常见的TCP的服务名与端口号
- UDP
- ACL访问控制列表
- NAT
- 静态NAT
- Easy IP
- VRRP
- 综合实验
- 20200702自习作业
传输介质简介
- 网络通信除了包含通信设备本身之外,还包含连接这些设备的传输介质。不同的传输介质有着不同的特性,这些特性会直接影响到通信的传输速度和传输距离。
同轴电缆
- 同轴电缆是一种早期使用的传输介质,同轴电缆的标准分为两种,10BASE2和10BASE5。这两种标准都支持10Mbps的传输速率,最长传输距离分别为185米和500米,一般情况下10BASE2使用BNC接头,10BASE5同轴电缆使用N型接头。
- 10BASE5和10BASE2所使用的的同轴电缆的直径分别为9.5mm和5mm,前者被称为粗缆,后者被称为细缆。
- 10Mbps的传输速率,早已满足不了目前的需求,已被 淘汰。
双绞线
-
双绞线又被分为屏蔽双绞线(Shielded Twisted Pair, STP) 和非屏蔽双绞线 (Unshielded Twisted Pair,UTP)。
-
屏蔽双绞线是双绞线和外层绝缘封套中间有一层金属屏蔽保护层,可以屏蔽电磁干扰。
-
水晶头:RJ45
-
线序:
- T568A 线序:白绿,绿,白橙,蓝,白蓝,橙,白棕,棕
- T568B 线序:白橙,橙,白绿,蓝,白蓝,绿,白棕,棕
- 1,2 发送,3,6 接收
- 标准网线(直连线或者直通线):用于连接不同设备(A-A,B-B)
- 交叉网线:用于连接相同设备 (A-B)
光纤
- 双绞线和同轴电缆传输数据使用的都是电信号,光纤传输的是光信号。
- 光纤支持的传输速率包括10Mbps,100Mbps,1GMbps,10GMbps,甚至更高。
- 光纤又分为两种(单模光纤和多模光纤)
- 单模光纤只能传输一种模式的光,不存在模间色散,适用于长距离高速传输。
- 多模光纤允许不同模式的光在一根光纤上传输,但是模间色散较大会导致信号脉冲展宽严重,适用于局域网中距离较短的传输。
- 常用的连接器包括 ST、FC、SC、LC
数据传输的两种模式
- 半双工:在半双工模式 (half-duplex mode)通信的双发都能发送和接收数据,但是不能同时进行。也就是说一台在发送的时候,另一台只能接收。对讲机是比较典型的例子。
- 全双工:在全双工模式(full-duplex mode)通信的双方都能同时接收和发送数据。就好像我们打电话的时候。
- 同一物理链路上相连接的两台设备的双工模式必须保持一致。
网络基础
计算机网络概述
-
网络的功能
- 信息传递
- 资源共享
- 提高可靠
- 提高处理性能
-
网络组成
-
路由器
-
交换机
-
防火墙
-
-
WAN 与 LAN
- WAN (广域网)
- Wide Area Network 跨区域、大范围的网络。
- LAN (局域网)
- Local Area Network 小范围的、相对来说较封闭的网络。
- WAN (广域网)
-
网络中常见的拓扑结构
- 星型
- 优点:易于实现、易于扩展
- 缺点:中心节点(交换机)的压力比较大
- 网状
- 优点:提供冗余、可靠性更高
- 缺点:成本较高
- 星型
OSI七层模型(从下往上)
- 开放系统互连参考模型 (Open System Interconnect 简称OSI)是国际标准化组织(ISO)和国际电报电话咨询委员会(CCITT)联合制定的开放系统互连参考模型,为开放式互连信息系统提供了一种功能结构的框架。
- OSI七层参考模型的各个层次的划分遵循下列原则:
- 同一层中的各网络节点都有相同的层次结构,具有同样的功能。
- 同一节点内相邻层之间通过接口(可以是逻辑接口)进行通信。
- 七层结构中的每一层使用下一层提供的服务,并且向其上层提供服务。
- 不同节点的同等层按照协议实现对等层之间的通信。
- OSI参考模型各个层次的基本功能如下:
- 物理层(Physical layer 实际上就是物理设备、物理线缆)
- 建立、维护、断开物理连接,定义了接口及传输介质,比特流(bit)的传输
- 比特流:以大量的二进制数据形式传递数据
- 数据链路层(Data link layer)
- 将比特组合成字节,再将字节组合成帧。
- 建立逻辑连接、通过MAC地址实现数据通信、数据帧(frame)的传输,以及错误检测
- 协议:ARP、SLIP、SDLC、HDLC、PPP、STP、帧中继等
- 网络层(Network layer)
- 进行逻辑地址寻址、实现不同网络间的通信、定义了IP地址,数据包(packet)的传输
- 协议:IP、ICMP、RIP、OSPF、BGP等
- 传输层(Transport layer)
- 定义传输数据的协议端口号,数据段的传输
- 协议:TCP、UDP
- TCP的数据单元称为段 (segments)
- UDP协议的数据单元称为数据报(datagrams)
- 会话层
- 建立、管理、终止会话
- 就比如说我们再用ssh登录Linux终端,就属于会话层的管理范围
- 该层的通信由不同设备中的应用程序之间的服务请求和相应组成。
- 表示层
- 数据格式化,代码转换、数据加密
- 提供各种用于应用层数据的编码和转换功能,确保一个系统的应用层发送的数据能被另外一个系统的应用层识别。
- 应用层
- 应用层为操作系统或网络应用程序提供访问网络服务的接口。
- 协议:TFTP、HTTP、FTP、DNS等
- 物理层(Physical layer 实际上就是物理设备、物理线缆)
以太网的MAC地址
-
网络设备的MAC地址是全球唯一的。
-
MAC地址:用来设备一个以太网上的某个单独的设备或一组设备
- (物理地址,硬件地址),是由设备厂商出厂时提前配置好,可以作为设备的唯一标识。
- mac 地址长度 48 位(6 字节),前 24 位代表厂商,后 24 为代表网卡编号
-
以太网帧格式
网络三种发送帧的方式
- 单播是指从单一的源端发送到单一的目的端。在这个域中所有的主机都能收到这个单播帧,但是只有真正的目的主机才会接收并处理收到的帧,其他无关的主机会丢弃。
- 广播是指帧从单一的源发送到域中所有的主机,所有收到这个广播帧的主机都要接收并且处理这个帧。
- 但是会产生大量的流量,导致带宽利用率降低,从而影响整个网络的性能。
- 组播可以理解为选择性的广播,主机侦听特定的组播地址,接收并处理目的MAC地址为该组播MAC地址的帧。
交换机工作原理
- 学习,学习源mac地址
- 广播,对除数据来源的设备发送寻找目标主机的信息
- 转发,当mac地址表信息完善之后,主机之间就可以利用交换机进行1对1的数据转发
- 更新,当交换机所连接的设备超过300秒没有任何数据通讯,另外交换机接口所连接的设备断开,则都会清除对应的mac地址记录。
华为VRP系统的使用
华为交换机的命令行视图
- 用户视图
<Huawei>
- 系统视图
<Huawei>system-view
Enter system view, return user view with Ctrl+Z. #输入系统视图,Ctrl+Z返回用户视图。
[Huawei]
- 接口视图
[Huawei]interface Ethernet 0/0/1
[Huawei-Ethernet0/0/1]
interface #接口
Ethernet #接口类型(以太网接口)
0/0/1 #接口号
- 协议视图
[Huawei]ospf
[Huawei-ospf-1]
- 视图间的转换
- quit 命令 返回上一层
- return 命令 返回用户视图
- CTRL+Z返回用户视图
基本使用
- 配置主机名
<Huawei>system-view
[Huawei]sysname Tedu-SW1
[Tedu-SW1]
- 查看版本
[Tedu-SW1]display version
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.110 (S3700 V200R001C00)
Copyright (c) 2000-2011 HUAWEI TECH CO., LTD
- 查看全局配置
[Tedu-SW1]display current-configuration
- 保存配置
<Tedu-SW1>save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
- 恢复设备为初始状态
<Tedu-SW1>reset saved-configuration
Warning: The action will delete the saved configuration in the device.
The configuration will be erased to reconfigure. Continue? [Y/N]:y
<Tedu-SW1>reboot
- 配置控制台会话时间
<Tedu-SW1>system-view
[Tedu-SW1]user-interface console 0
[Tedu-SW1-ui-console0]idle-timeout 100
- 关闭日志提示(不建议全部关闭)
<Tedu-SW1>undo terminal debugging #关闭终端显示Debug信息功能。系统的调试信息定位问题
<Tedu-SW1>undo terminal logging #关闭终端显示Log信息功能。日志信息。
<Tedu-SW1>undo terminal monitor #关闭终端显示信息中心发送信息的功能。
<Tedu-SW1>undo terminal trapping #关闭终端显示Trap信息功能。
- 查看交换机MAC地址表
<Tedu-SW1>display mac-address
VLAN技术及应用
广播域
-
广播是一种信息的传播方式,指网络中的某一设备同时向网络中所有的其它设备发送数据,这个数据所能广播到的范围即为广播域(Broadcast Domain)。
-
通常来说 一个局域网就是一个广播域。
-
广播域内所有的设备都必须监听所有的广播包,如果广播域太大了,用户的带宽就小了,并且需要处理更多的广播,网络响应时间将会长到让人无法容忍的地步。
-
冲突域
什么是VLAN
-
VLAN 虚拟局域网(Virtual Local Area Network)
-
VLAN是将一个物理的LAN在逻辑上划分为多个广播域的通信技术。
-
VLAN的特点
- 限制广播域:广播域被限制在一个VLAN内,从而节省了带宽、提高了网络处理能力。
- 增强局域网的安全性:不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能与其它VLAN内的用户直接通信。
- 提高了网络的健壮性:故障被限制在一个VLAN内,本VLAN内的故障不会影响其他VLAN的正常工作。
- 灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
VLAN的基本概念
- VLAN Tag
- 标识所属VLAN
- VLAN的两种链路类型
- 接入链路(Access Link):常用作连接用户主机和交换机的链路。通常情况下,主机并不需要知道自己属于哪个VLAN,主机硬件通常也不能识别带有VLAN标记的帧。因此,主机发送和接收的帧都是untagged帧。
- 干道链路(Trunk Link):常用作连接交换机与交换机或交换机与路由器之间的链路。干道链路可以承载多个不同VLAN数据,数据帧在干道链路传输时,干道链路的两端设备需要能够识别数据帧属于哪个VLAN,所以在干道链路上,一般传输的帧都是Tagged帧。
- VLAN的端口类型(了解内容)
- Access端口是交换机上用来连接用户主机的端口,它只能连接接入链路。有如下特点:
- 仅仅允许唯一的VLAN ID通过本端口,这个VLAN ID与端口的PVID(Port Default VLAN ID,端口缺省的VLAN ID)相同。
- 如果该端口收到的对端设备发送的帧是untagged(不带VLAN标签),交换机将强制加上该端口的PVID。
- Access端口发往对端设备的以太网帧永远是不带标签的帧。
- Trunk端口是交换机上用来和其他交换机连接的端口,它只能连接干道链路。有如下特点:
- Trunk端口允许多个VLAN的帧(带Tag标记)通过。
- 如果从Trunk端口发送的帧带Tag,且Tag与端口缺省的VLAN ID相同,则交换机会剥掉该帧中的Tag标记。仅在这种情况下,Trunk端口发送的帧不带Tag。
- 如果从Trunk端口发送的帧带Tag,但是与端口缺省的VLAN ID不同,则交换机对该帧不做任何动作,直接发送带Tag的帧。
- Hybrid端口是交换机上既可以连接用户主机,又可以连接其他交换机的端口。
- Hybrid端口既可以连接接入链路又可以连接干道链路。
- Hybrid端口允许多个VLAN的帧通过,并可以在出端口方向将某些VLAN帧的Tag剥掉。
- Access端口是交换机上用来连接用户主机的端口,它只能连接接入链路。有如下特点:
- VLAN的划分(了解的内容)
- 基于端口划分VLAN
- 根据交换设备的端口编号来划分VLAN。
- 网络管理员给交换机的每个端口配置不同的PVID,即一个端口缺省属于的VLAN。
- 当一个数据帧进入交换机端口时,如果没有带VLAN标签,且该端口上配置了PVID,那么,该数据帧就会被打上端口的PVID。
- 如果进入的帧已经带有VLAN 标签,那么交换机不会再增加VLAN 标签,对VLAN 帧的处理由端口类型决定。
- 基于MAC地址划分VLAN
- 根据计算机网卡的MAC地址来划分VLAN。
- 网络管理员成功配置MAC地址和VLAN ID映射关系表,如果交换机收到的是untagged(不带VLAN标签)帧,则依据该表添加VLAN ID。
- 基于子网划分VLAN
- 如果交换设备收到的是untagged(不带VLAN标签)帧,交换设备根据报文中的IP地址信息,确定添加的VLAN ID。
- 基于协议划分VLAN
- 根据接口接收到的报文所属的协议(族)类型及封装格式来给报文分配不同的VLAN ID。网络管理员需要配置以太网帧中的协议域和VLAN ID的映射关系表,如果收到的是untagged(不带VLAN标签)帧,则依据该表添加VLAN ID。
- 目前,支持划分VLAN的协议有IPV4、IPV6、IPX、AppleTalk(AT),封装格式有Ethernet II、802.3 raw、802.2 LLC、802.2 SNAP。
- 基于匹配策略划分VLAN
- 基于MAC地址、IP地址、接口组合策略划分VLAN是指在交换机上配置终端的MAC地址和IP地址,并与VLAN关联。只有符合条件的终端才能加入指定VLAN。符合策略的终端加入指定VLAN后,严禁修改IP地址或MAC地址,否则会导致终端从指定VLAN中退出。
VLAN的配置
- 创建VLAN
[Tedu-SW1]vlan 2 #创建一个VLAN
[Tedu-SW1]vlan batch 3 4 #创建VLAN 3 和VLAN 4
[Tedu-SW1]vlan batch 5 to 18 #创建VLAN5 到VLAN 18
- 删除VLAN
[Tedu-SW1]undo vlan 4 #删除VLAN4
[Tedu-SW1]undo vlan batch 5 to 18 #删除VLAN5 到VLAN 18
- 为接口配置VLAN
[Tedu-SW1]interface Ethernet 0/0/1
[Tedu-SW1-Ethernet0/0/1]port link-type access #定义接口为接入链路
[Tedu-SW1-Ethernet0/0/1]port default vlan 2 #加入VLAN2
[Tedu-SW1-Ethernet0/0/1]dis this #查看当前接口配置
#
interface Ethernet0/0/1
port link-type access
port default vlan 2
- 批量的为端口配置VLAN
[Tedu-SW1]port-group 1 #创建端口组
[Tedu-SW1-port-group-1]
[Tedu-SW1-port-group-1]group-member Ethernet 0/0/2 to Ethernet 0/0/10 #添加端口组成员
[Tedu-SW1-port-group-1]dis this
[Tedu-SW1-port-group-1]port link-type access
[Tedu-SW1-port-group-1]port default vlan 2
- 查看VLAN的端口划分信息
[Tedu-SW1]dis vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/11(D) Eth0/0/12(D) Eth0/0/13(D) Eth0/0/14(D)
Eth0/0/15(D) Eth0/0/16(D) Eth0/0/17(D) Eth0/0/18(D)
Eth0/0/19(D) Eth0/0/20(D) Eth0/0/21(D) Eth0/0/22(D)
GE0/0/1(D) GE0/0/2(D)
2 common UT:Eth0/0/1(D) Eth0/0/2(D) Eth0/0/3(D) Eth0/0/4(D)
Eth0/0/5(D) Eth0/0/6(D) Eth0/0/7(D) Eth0/0/8(D)
Eth0/0/9(D) Eth0/0/10(D)
3 common
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
2 enable default enable disable VLAN 0002
3 enable default enable disable VLAN 0003
Trunk
Trunk 干啥的
- 用来实现多个交换机之间的不同VLAN通信
- 它可以承载多个VLAN的标签(Tag)
Trunk的配置
- 进入端口后修改断流链路类型
[Tedu-SW1]interface Ethernet 0/0/11
[Tedu-SW1-Ethernet0/0/11]port link-type trunk
- 为trunk端口添加允许通过的VLAN
[Tedu-SW1-Ethernet0/0/11]port trunk allow-pass vlan all
链路聚合
-
链路聚合(Link Aggregation)是将—组物理接口捆绑在一起作为一个逻辑接口来增加带宽的一种方法,又称为多接口负载均衡组(Load Sharing Group)或链路聚合组(Link Aggregation Group)
-
通过在两台设备之间建立链路聚合组,可以提供更高的通讯带宽和更高的可靠性。
-
配置链路聚合
[Tedu-SW1] interface Eth-Trunk 1 #创建(进入)链路聚合1号接口
[Tedu-SW1-Eth-Trunk1] trunkport Ethernet 0/0/7 0/0/8 #捆绑7号、8号接口
[Tedu-SW1-Eth-Trunk1] port link-type trunk
[Tedu-SW1-Eth-Trunk1] port trunk allow-pass vlan all
网络层
- 网络层的功能.
- 定义了基于IP协议的逻辑地址
- 连接不同的媒介类型
- 选择数据通过网络的最佳路径
ICMP协议
-
Internet 控制消息协议 (Internet Control Message Protocol)
-
ICMP是TCP/IP协议簇的核心协议之一。
- TCP/IP详解 (京东商城的链接)三本书,感兴趣的可以了解。我不是买书的。仅仅只是推荐。
-
ICMP协议用来在网络设备间传递各种差错和控制信息
- 对收集各种网络信息、排除网络故障起到很关键的作用
-
ICMP典型应用 ping 命令
C:\Users\98139>ping www.baidu.com
正在 Ping www.a.shifen.com [182.61.200.6] 具有 32 字节的数据:
来自 182.61.200.6 的回复: 字节=32 时间=13ms TTL=54
来自 182.61.200.6 的回复: 字节=32 时间=18ms TTL=54
来自 182.61.200.6 的回复: 字节=32 时间=15ms TTL=54
来自 182.61.200.6 的回复: 字节=32 时间=11ms TTL=54
182.61.200.6 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 11ms,最长 = 18ms,平均 = 14ms
ping命令输出信息中包括目的地址、ICMP报文长度、TTL值、以及往返的时间
IP地址
- 网络层位于数据链路层与传输层之间,网络层中包含了很多的协议,最重要的就是IP协议。
- 网络层提供了IP路由功能。
- IP地址是用来标识网络中的设备的。
IP地址的组成
- IP地址分为网络部分和主机部分
- IPV4的地址由32个二进制位组成,通常用点分十进制来表示(192.168.1.1)
- 网络位表示该IP地址所处的网段
- 主机位用来标识本网段上的某台网络设备
每个网段中都有两个特殊地址不能分配给网络设备使用。
- 第一个是该网段的网络地址(主机位全为0)
- 第二个是该网段的广播地址(主机位全为1)
IP地址的分类
- A类:0.0.0.0 —— 127.255.255.255
- 网络位8bit
- B类:128.0.0.0 —— 191.255.255.255
- 网络位16bit
- C类: 192.0.0.0 —— 223.255.255.255
- 网络位24bit
- D类: 224.0.0.0 —— 239.255.255.255
- 组播
- E类:240.0.0.0 —— 255.255.255.255
- 保留
IP地址类型
- 私有地址范围
- 10.0.0.0 —— 10.255.255.255
- 172.16.0.0 —— 172.31.255.255
- 192.168.0.0 —— 192.168.255.255
- 特殊地址
- 127.0.0.0 —— 127.255.255.255(本地回环)
- 0.0.0.0 (表示任何网络)
- 255.255.255.255(0.0.0.0 网络中的广播地址)
子网掩码
-
子网掩码用来区分网络位和主机位,子网掩码与IP地址的表示方式是一样的。
-
子网掩码一般都是用来和IP地址一起标识一个网段中的一台设备。
-
默认的子网掩码
-
每一类IP地址都有默认的缺省子网掩码
- A类 255 .0 .0 .0
- B类 255 .255 .0 .0
- C类 255 .255 .255 .0
网关
-
网关是用来转发来自不同网段之间的数据包
-
报文在转发过程中,首先要确定转发路径以及通往目的网段的接口,然后将报文封装在以太帧中通过指定的物理接口转发出去。
-
如果目的主机与源主机不在同一网段,报文需要先转发到网关,然后通过网关将报文转发到目的网段。
路由原理及配置
-
路由器可以实现不同范围网络的连接,路由器要依靠路由表来传递数据
-
直连路由,在路由器接口配置好ip并开启之后自动生成
-
非直连路由
- 静态路由,由管理员手工配置添加路由条目
- 静态路由适用于结构比较简单的网络。合理的静态路由可以改进网络的性能,并可为重要的应用保证带宽。
- 静态路由的缺点在于:当网络发生故障或者拓扑发生变化后,静态路由不会自动改变,必须有管理员的介入。
- 动态路由,根据网络拓扑或流量变化,通过路由协议自动设置
- 静态路由,由管理员手工配置添加路由条目
静态路由的配置
- 使用 ip route-static 命令
- 指定到达IP目的的网络
- 基本格式
[Tedu-SW1] ip route-static 目标网段 子网掩码 下一跳地址
动态路由协议OSPF
-
Open Shortest Path First (开放最短路径优先)
-
适用于大中型网络使用
-
启动OSPF路由进程
[sw1] ospf 1 # 默认就是1,进程号 进入ospf视图
- 进入OSPF区域视图
[sw1-ospf-1]area 0 #进入OSPF区域(首个使用ospf协议的网络都要在0号区域中)
[sw1-ospf-1-area-0.0.0.0]
- 宣告直连网段
[sw1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
传输层的协议
-
传输层定义了主机应用程序之间端到端的连通性。传输层中最常见的两个协议分别是:
TCP (Transmission Control Protocol 传输控制协议)
UDP (User Datagram Protocol 用户数据包协议)
-
Syn 打算与对方建立连接
-
Ack 确认
-
Fin 打算与对方断开连接
TCP
- TCP是一种面向连接的传输层协议,可提供可靠的传输服务。
- TCP位于TCP/IP 模型的传输层,它是一种面向连接的端到端协议。
TCP的三次握手
(Three-Way Handshake)
- 所谓的三次握手也就是TCP建立连接的过程。
- 这个链接必须是一方主动的打开,另一方被动打开的。
- 上面这张图是以主机A作为客户端主动发起连接的过程。
-
首先客户端(主机A)会向服务器A发送一段请求TCP报文,其中:
- 主机A 发送一个标识了 SYN 的数据段,表示**“请求连接”**;
- 序列号 为 seq = a, (a一般为1);
- 随后主机A会进入到SYN-SENT状态(表示已经发起了连接的请求,但是还没有从服务器A收到确认的信息);
-
服务器A接收到来着客户端的TCP报文之后,会返回一段确认收到TCP报文:
-
服务器A收到请求报文前一直处于LISTEN的状态(监听状态);
-
返回的TCP报文中,标志位为 SYN+ACK,
表示**”确认客户端的报文seq序号有效,服务器A能正常接收主机A发送的数据,并且同意创建新的连接**“
也就是告诉客户端,我收到你的请求了
-
序列号为 seq = b
-
确认号为 Ack = a + 1,表示**“收到主机A的序号seq并将值加1,作为自己确认号Ack的值”**;
-
随后服务器A进入 SYN-RCVD阶段(表示已经收到了请求)。
-
-
主机A接收到来着服务器A的确认收到TCP报文后
明确了从主机A到服务器A的数据传输是正常的,结束SYN-SENT状态
返回最后一段TCP报文:
-
标志位为ACK,表示**“确认收到服务器A同意连接的信号”**
(即告诉服务器A,我知道你收到我发的数据了);
-
序列号为Seq = a + 1 ,表示**“收到服务器A的确认号Ack,并且把这个Ack的值作为主机的序列号值”**;
-
确认号 为 Ack = b + 1 表示**“收到服务器A的序列号Seq,并将其值加1,作为主机的确认号Ack的值”**;
-
随后客户端进入ESTABLISHED状态;(已经确定建立关系的状态)
-
+
TCP的传输过程
- TCP的可靠传输体现在TCP使用了确认技术来保证数据的完整性和准确性。
- 确认技术的工作原理如下图:
- 主机A向服务器A发送TCP数据,
- 假定每个数据段的长度为500字节。
- 当服务器A成功接收到序列号是M+1499的字节以及之前的所有字节时,会以M+1500作为确认号进行确认。
- 当Seq:M+1500-M+1999传输失败的时候,服务器A没有收到序列号为M+1500的字节,所以主机A会重复发送这一部分的数据。
TCP关闭连接的四次断开
- 主机在关闭连接之前,要确认收到来自对方的ACK
-
TCP支持全双工模式传输数据,这意味着同一时刻两个方向都可以进行数据的传输。
-
TCP通过三次握手建立连接,TCP连接的终止则要经过四次握手。
-
如上图:主机A要终止连接。
-
主机A,向服务器A发送了一个标识了FIN,ACK的数据段
序列号为a。确认序列号为b。
- FIN就是告诉对方,我要关闭连接了。
- 进入到状态FIN_WAIT_1此时开始不再处理和发送应用层用户的数据。
-
服务器A回应一个标识了ACK的数据段,序列号为b,确认序列号为a+1
作为对主机A的FIN报文回应
-
服务器A想终止连接,向主机A发送了一个标识了FIN,ACK的数据段
序列号为b,确认序列号为a+1.
-
主机A回应了一个标识了ACK的数据段,序列号为a+1,确认序号为b+1,作为服务器A的FIN报文的确认
常见的TCP的服务名与端口号
| 端口 | 协议 | 说明 |
|---|---|---|
| 21 | FTP | 文件传输协议 |
| 22 | SSH | 用于远程管理网络设备的 |
| 25 | SMTP | 简单的邮件传输协议,用于发送邮件 |
| 53 | DNS | 域名解析服务 |
| 80 | HTTP | 超文本传输协议 |
| 443 | HTTPS | 加密的超文本传输协议 |
UDP
-
UDP是一种面向无连接的传输协议,传输可靠性没有保证
-
当应用程序对传输的可靠性要求不高,但对传输速度和延迟要求较高时,可以用UDP协议来代替TCP在传输层数据的转发。
-
UDP不提供重传机制,占用的资源小,处理效率高
-
比如语言和视频
ACL访问控制列表
-
在企业中网络设备进行通信的时候,需要保证数据传输的安全可靠和网络的性能稳定
-
ACL访问控制列表可以定义一系列不同的规则,设备根据这些规则来对数据包进行分类,并针对不同类型的报文进行不同的处理
-
ACL的分类
| 分类 | 编号范围 | 参数 |
|---|---|---|
| 基本ACL | 2000-2999 | 源IP地址等 |
| 高级ACL | 3000-3999 | 源IP地址、目的IP地址、协议、源端口、目的端口 |
| 二层ACL | 4000-4999 | 源MAC地址、目的MAC地址、以太帧协议类型 |
- 以编号创建ACL
执行命令 system-view,进入系统视图。
执行命令acl [ number ] acl-number,以编号创建一个ACL。
- 要创建基本ACL,acl-number的取值范围是2000~2999。
- 要创建高级ACL,acl-number的取值范围是3000~3999。
- 要创建二层ACL,acl-number的取值范围是4000~4999。
- 要创建用户自定义ACL,acl-number的取值范围是5000~5999。
[Huawei]acl 2000 # 创建acl 列表号是2000
[Huawei-acl-basic-2000]rule deny source 192.168.2.1 0.0.0.0
# 定义规则,拒绝源地址是192.168.2.1的主机发送的数据
# 0.0.0.0 代表的含义是针对某台主机,如果要限制的是一个网段那可以用反掩码0.0.0.255
- 应用acl到接口
[Huawei]in g0/0/1 #进入一个接口
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000
#应用acl到接口
#inbound 表示在入方向上设置流过滤。
#outbound 表示在出方向上设置流过滤。
- 创建高级ACL
[Huawei]acl 3000 #创建acl3000
[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.1 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 80
#拒绝2.1访问1.1的80端口(web服务),其中eq表示等于
- 应用ACL到接口
[Huawei-acl-adv-3000]in g0/0/1 进入离2.1最近的接口
[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound #删除老acl
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 #放上新acl
NAT
-
Network Address Translation 网络地址转换
-
作用
- 通过将内部网络地址转换成全球唯一的公网IP地址,是内部网络可以连接到外部网络上.
-
NAT的特性
- 节省公有地址
- 处理地址重叠
- 增加安全性
-
NAT的缺点
- 延迟增大
- 配置和维护有一定的复杂性
-
NAT的实现方式
- 静态转换
- Easp IP
静态NAT
- 静态转换是指将内部网络的私有地址转换为公有地址时
- IP地址的关系是一一对应的
- 一个外网地址对应一个内网地址
- 按拓扑配置ip地址,下面两台pc需要配置网关,外网的pc无需配置网关路由器配置ip
[Huawei]in g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.2.254 24
[Huawei]in g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 100.0.0.1 8
- 在路由器使用nat的静态转换技术
[Huawei-GigabitEthernet0/0/1]nat static global 100.0.0.2 inside 192.168.2.1
使用nat的静态转换,将内部的192.168.2.1在与外网互联时转换成公网地址100.0.0.2,注意此命令需要在路由器的外网接口配置
- 测试,配置好nat后,使用192.168.2.1已经可以ping通100.0.0.10
pc > ping 100.0.0.10
Easy IP
- Easy IP运行将多个内部地址映射到网关出接口
- 首先删除之前在路由器配置的静态nat
[Huawei-GigabitEthernet0/0/1]undo nat static global 100.0.0.2 inside 192.168.2.1
[Huawei-GigabitEthernet0/0/1]undo nat static global 100.0.0.3 inside 192.168.2.2
- 确定可以访问公网的内部设备
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source any #放行所有设备
- 配置easy ip
[Huawei-acl-basic-2000]in g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2000
#配置easy ip,使acl2000中放行的主机可以访问外网
#意思是将ACL 2000匹配的流量转换成该接口的IP地址作为源地址。
4,测试,所有内外pc都可以使用路由器的g0/0/1的公网ip访问公网设备了
VRRP
-
VRRP是虚拟路由冗余协议
-
VRRP能在不改变组网的情况下,将多台路由器虚拟成一个路由器,通过配置虚拟路由器的IP地址为默认网关,实现网关的备份。
-
可以解决网关备份过程中自动切换设备的问题,提高网络的可靠性
-
VRRP组成员角色
- 主路由器(Master)
- 备份路由器(Backup)
- 虚拟路由器(Virtual)
- 按拓扑配置ip地址,pc1可以暂时使用1.252或者1.253作为网关,另外三层交换机需要在虚拟接口配置ip
路由器配置ip
[Huawei]in g0/0/02
[Huawei-GigabitEthernet0/0/2]ip add 192.168.4.254 24
[Huawei-GigabitEthernet0/0/2]in g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.3.1 24
[Huawei-GigabitEthernet0/0/1]in g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.2.1 24
- 三层交换机配置ip,左边是sw1,右边是sw2
[sw1]in vlan 1
[sw1-Vlanif1]ip add 192.168.1.252 24
[sw1-Vlanif1]vlan 2
[sw1-vlan2]in vlan 2
[sw1-Vlanif2]ip add 192.168.2.2 24
[sw1-Vlanif2]in g0/0/2
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 2
[sw2]in vlan 1
[sw2-Vlanif1]ip add 192.168.1.253 24
[sw2-Vlanif1]vlan 3
[sw2-vlan3]in vlan 3
[sw2-Vlanif3]ip add 192.168.3.2 24
[sw2-Vlanif3]in g0/0/2
[sw2-GigabitEthernet0/0/2]port link-type access
[sw2-GigabitEthernet0/0/2]port default vlan 3
- 配置动态路由
路由器配置
[Huawei]ospf
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
交换机配置
[sw1]ospf
[sw1-ospf-1]area 0
[sw1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[sw2]ospf
[sw2-ospf-1]area 0
[sw2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[sw2-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
之后使用 192.168.1.1 ping 192.168.4.1 可以通
- 在两台三层交换机配置vrrp
[sw1]in vlan 1
[sw1-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254 #开启vrrp功能,组号是1,虚拟设备的ip是192.168.1.254
[sw1-Vlanif1]display vrrp brief #查看结果
[sw2]in vlan 1
[sw2-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254
[sw2-Vlanif1]display vrrp brief
#找到backup设备,可以通过修改优先级的方式将其身份转换为master
[sw1]in vlan 1
[sw1-Vlanif1]vrrp vrid 1 priority 105 #修改vrrp的优先级为105,默认值是100,越大越优先
- 利用上图改造成如下结构,其中254是虚拟设备的ip
- 在s3700交换机创建vlan2,并且将e0/0/4口加入vlan2
[Huawei]vlan 2
[Huawei-vlan2]in e0/0/4
[Huawei-Ethernet0/0/4]port link-type access
[Huawei-Ethernet0/0/4]port default vlan 2
- 再将s3700的两个连接了三层交换机的接口设置为trunk
[Huawei]port-group 1
[Huawei-port-group-1]group-member Ethernet 0/0/1 Ethernet 0/0/2
[Huawei-port-group-1]port link-type trunk
[Huawei-port-group-1]port trunk allow-pass vlan all
- 在三层交换机创建vlan2,配置vlan2的ip,并将连接s3700的接口配置为trunk
[sw1]vlan 2
[sw1-vlan2]in vlan 2
[sw1-Vlanif2]ip add 192.168.2.252 24
[sw1-Vlanif2]in g0/0/1
[sw1-GigabitEthernet0/0/1]port link-type trunk
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw2]vlan 2
[sw2-vlan2]in vlan 2
[sw2-Vlanif2]ip add 192.168.2.253 24
[sw2-Vlanif2]in g0/0/1
[sw2-GigabitEthernet0/0/1]port link-type trunk
[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan all
- 配置两台三层交换机实现vlan2的vrrp功能,并且可以通过修改优先级实现vrrp的负载均衡
[sw1]in vlan 2
[sw1-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.254
[sw2]in vlan 2
[sw2-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.254
然后使用dis vrrp brief 查看结果,应该在每台三层交换机可以看到2个vlan都使用了vrrp
如果出现某台主机是2个vlan的backup,还可以使用修改优先级的命令实现负载均衡
[sw2-Vlanif2]vrrp vrid 2 priority 105
最后看到是一主一备的状态则成功
综合实验
- S3700配置
SW1配置
<Huawei>system-view
[Huawei]vlan batch 10 20 30 40
[Huawei]port-group 1
[Huawei-port-group-1]group-member Ethernet 0/0/1 to Ethernet 0/0/2
[Huawei-port-group-1]port link-type trunk
[Huawei-port-group-1]port trunk allow-pass vlan all
[Huawei-port-group-1]quit
[Huawei]interface Ethernet 0/0/5
[Huawei-Ethernet0/0/5] port link-type access
[Huawei-Ethernet0/0/5] port default vlan 10
SW2配置
<Huawei>system-view
[Huawei]vlan batch 10 20 30 40
[Huawei]port-group 1
[Huawei-port-group-1]group-member Ethernet 0/0/1 to Ethernet 0/0/2
[Huawei-port-group-1]port link-type trunk
[Huawei-port-group-1]port trunk allow-pass vlan all
[Huawei-port-group-1]quit
[Huawei]interface Ethernet 0/0/5
[Huawei-Ethernet0/0/5] port link-type access
[Huawei-Ethernet0/0/5] port default vlan 20
SW3配置
<Huawei>system-view
[Huawei]vlan batch 10 20 30 40
[Huawei]port-group 1
[Huawei-port-group-1]group-member Ethernet 0/0/1 to Ethernet 0/0/2
[Huawei-port-group-1]port link-type trunk
[Huawei-port-group-1]port trunk allow-pass vlan all
[Huawei-port-group-1]quit
[Huawei]interface Ethernet 0/0/5
[Huawei-Ethernet0/0/5] port link-type access
[Huawei-Ethernet0/0/5] port default vlan 30
SW4配置
<Huawei>system-view
[Huawei]vlan batch 10 20 30 40
[Huawei]port-group 1
[Huawei-port-group-1]group-member Ethernet 0/0/1 to Ethernet 0/0/2
[Huawei-port-group-1]port link-type trunk
[Huawei-port-group-1]port trunk allow-pass vlan all
[Huawei-port-group-1]quit
[Huawei]interface Ethernet 0/0/5
[Huawei-Ethernet0/0/5] port link-type access
[Huawei-Ethernet0/0/5] port default vlan 40
- S5700配置
MS1配置
<Huawei>system-view
[Huawei]vlan batch 10 20 30 40 50 60
[Huawei]port-group 1
[Huawei-port-group-1]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/5
[Huawei-port-group-1]port link-type trunk
[Huawei-port-group-1]port trunk allow-pass vlan all
[Huawei-port-group-1]quit
[Huawei]interface Vlanif 10
[Huawei-Vlanif10]ip address 192.168.10.252 24
[Huawei-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.254
[Huawei-Vlanif10]vrrp vrid 1 priority 110
[Huawei]interface Vlanif 20
[Huawei-Vlanif20]ip address 192.168.20.252 24
[Huawei-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.254
[Huawei-Vlanif20]vrrp vrid 2 priority 110
[Huawei]interface Vlanif 30
[Huawei-Vlanif30]ip address 192.168.30.252 24
[Huawei-Vlanif30]vrrp vrid 3 virtual-ip 192.168.30.254
[Huawei]interface Vlanif 40
[Huawei-Vlanif40]ip address 192.168.40.252 24
[Huawei-Vlanif40]vrrp vrid 4 virtual-ip 192.168.40.254
[Huawei]interface Vlanif 50
[Huawei-Vlanif50]ip address 192.168.50.2 24
[Huawei]interface GigabitEthernet 0/0/23
[Huawei-GigabitEthernet0/0/23]port link-type access
[Huawei-GigabitEthernet0/0/23]port default vlan 50
[Huawei]interface Vlanif 60
[Huawei-Vlanif60]ip address 192.168.60.2 24
[Huawei]interface GigabitEthernet 0/0/24
[Huawei-GigabitEthernet0/0/24]port link-type access
[Huawei-GigabitEthernet0/0/24]port default vlan 60
[Huawei]ospf
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.30.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.50.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.60.0 0.0.0.255
MS2配置
<Huawei>system-view
[Huawei]vlan batch 10 20 30 40 70 80
[Huawei]port-group 1
[Huawei-port-group-1]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/5
[Huawei-port-group-1]port link-type trunk
[Huawei-port-group-1]port trunk allow-pass vlan all
[Huawei-port-group-1]quit
[Huawei]interface Vlanif 10
[Huawei-Vlanif10]ip address 192.168.10.253 24
[Huawei-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.254
[Huawei]interface Vlanif 20
[Huawei-Vlanif20]ip address 192.168.20.253 24
[Huawei-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.254
[Huawei]interface Vlanif 30
[Huawei-Vlanif30]ip address 192.168.30.253 24
[Huawei-Vlanif30]vrrp vrid 3 virtual-ip 192.168.30.254
[Huawei-Vlanif20]vrrp vrid 3 priority 110
[Huawei]interface Vlanif 40
[Huawei-Vlanif40]ip address 192.168.40.253 24
[Huawei-Vlanif40]vrrp vrid 4 virtual-ip 192.168.40.254
[Huawei-Vlanif20]vrrp vrid 4 priority 110
[Huawei]interface Vlanif 70
[Huawei-Vlanif70]ip address 192.168.70.2 24
[Huawei]interface GigabitEthernet 0/0/23
[Huawei-GigabitEthernet0/0/23]port link-type access
[Huawei-GigabitEthernet0/0/23]port default vlan 70
[Huawei]interface Vlanif 80
[Huawei-Vlanif80]ip address 192.168.80.2 24
[Huawei]interface GigabitEthernet 0/0/24
[Huawei-GigabitEthernet0/0/24]port link-type access
[Huawei-GigabitEthernet0/0/24]port default vlan 80
[Huawei]ospf
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.30.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.70.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.80.0 0.0.0.255
- 路由器配置
R1
<Huawei>system-view
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source any
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.50.1 24
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.70.1 24
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 100.0.0.1 8
[Huawei-GigabitEthernet0/0/2]nat outbound 2000
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]ip route-static 0.0.0.0 0 100.0.0.10
[Huawei]ospf
[Huawei-ospf-1]default-route-advertise
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.50.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.70.0 0.0.0.255
R2
<Huawei>system-view
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source any
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.60.1 24
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.80.1 24
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 100.0.0.2 8
[Huawei-GigabitEthernet0/0/0]nat outbound 2000
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]ip route-static 0.0.0.0 0 100.0.0.10
[Huawei]ospf
[Huawei-ospf-1]default-route-advertise
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.60.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.80.0 0.0.0.255
20200702自习作业
练习:通过相关配置实现全网互通(除服务器)
拓扑需求与步骤参考
1,将所有路由器与交换机按图中标识修改主机名(比如路由为R1,注意全为大写)
2,按图中标识将网络设备的ip地址配好,SW3的G0/0/1接口加入vlan 50
3,SW3需要为vlan10与vlan20配置ip地址,作为PC2与PC3的网关
4,为R1创建新账户root,密码123. 登录此设备时需要该认证
5,在SW4中按需求创建vlan,并将接口加入相应vlan
6,SW3与SW4之间配置中继链路并放行所有vlan的数据
7,在R1与SW3上使用动态路由ospf宣告自身所连接的网段
思考:如何实现仅PC2可以访问Server1 ?
- R1配置
<Huawei>system-view
[Huawei]sysname R1
[R1]
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip ad
[R1-GigabitEthernet0/0/0]ip address 192.168.30.254 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip ad
[R1-GigabitEthernet0/0/1]ip address 192.168.40.254 24
[R1]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.50.1 24
[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.30.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 192.168.50.0 0.0.0.255
[R1]aaa
[R1-aaa]local-user root password cipher 123
[R1]user-interface console 0
[R1-ui-console0]authentication-mode aaa
Login authentication
Username:root
Password:
-----------------------------------------------------------------------------
User last login information:
-----------------------------------------------------------------------------
Access Type: Serial
IP-Address : --
Time : 2020-07-02 11:36:00-08:00
-----------------------------------------------------------------------------
<R1>save
- SW1配置
<Huawei>system-view
[Huawei]sysname SW1
[SW1]
<SW1>save
- SW2配置
<Huawei>system-view
[Huawei]sysname SW2
[SW2]
[SW2]acl 2000
[SW2-acl-basic-2000]rule deny source 192.168.20.0 0.0.0.255
[SW2-acl-basic-2000]rule deny source 192.168.30.0 0.0.0.255
[SW2]interface Ethernet0/0/1
[SW2-Ethernet0/0/1]traffic-filter inbound acl 2000
[SW2]acl 2001
[SW2-acl-basic-2001]rule permit source 192.168.10.1 0.0.0.0
[SW2-acl-basic-2001]rule deny source any
<SW2>save
- SW3配置
<Huawei>system-view
[Huawei]sysname SW3
[SW3]
[SW3]vlan batch 10 20
[SW3]interface Vlanif 10
[SW3-Vlanif10]ip address 192.168.10.254 24
[SW3]interface Vlanif 20
[SW3-Vlanif20]ip address 192.168.20.254 24
[SW3]vlan 50
[SW3-vlan50]q
[SW3]interface Vlanif 50
[SW3-Vlanif50]ip address 192.168.50.2 24
[SW3]interface GigabitEthernet 0/0/1
[SW3-GigabitEthernet0/0/1]port link-type access
[SW3-GigabitEthernet0/0/1]port default vlan 50
[SW3]interface GigabitEthernet 0/0/2
[SW3-GigabitEthernet0/0/2]port link-type trunk
[SW3-GigabitEthernet0/0/2]port trunk allow-pass vlan all
[SW3]ospf
[SW3-ospf-1]area 0
[SW3-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[SW3-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255
[SW3-ospf-1-area-0.0.0.0]network 192.168.50.0 0.0.0.255
<SW3>save
- SW4配置
<Huawei>system-view
[Huawei]sysname SW4
[SW4]
[SW4]vlan batch 10 20 50
[SW4]interface Ethernet 0/0/1
[SW4-Ethernet0/0/1]port link-type trunk
[SW4-Ethernet0/0/1]port trunk allow-pass vlan all
[SW4]interface Ethernet 0/0/2
[SW4-Ethernet0/0/2]port link-type access
[SW4-Ethernet0/0/2]port default vlan 10
[SW4]interface Ethernet 0/0/3
[SW4-Ethernet0/0/3]port link-type access
[SW4-Ethernet0/0/3]port default vlan 20
<SW4>save