RIP 协议.
RIP的协议现在用的非常少.
路由器的每个接口都是独立的网段!!都是单独的广播域.
搭建实验:
使用中共有几个网段:5个
R2路由器连接了3个网段,其他为两个网段.
直接输入命令rip就会进入rip
rip后面的1 是自动分配的进程号(1-65535)
[R1-rip-1] version 2 : rip 有两个版本,现在一般默认用2
R1 路由器有两个网段,我们需要将两个网段宣告到rip 中.每个路由器把自己能够到达的网段告诉相连接的路由器.宣告就是这个作用.如果我们不宣告,就是不告诉别的路由我们能到达这个网段.
[R1-rip-1] network 192.168.1.0宣告直连主类网络
[R1-rip-1] network 12.0.0.0宣告直连主类网络 为什么不是12.1.1.0呢?因为是早期协议,所以只能宣告直连的,主类网络(也就是自然掩码网段.).
[R1-rip-1] undo summary关闭自动汇总
接下来我们配置R2 路由器
undo summary
ver 2
network 12.0.0.0
network 23.0.0.0
network 172.16.0.0
然后是R3
undo summary
ver 2
network 10.0.0.0
network 23.0.0.0
这样就配置完了 不配置路由器的静态路由 pc之间也能相互通信了.可以尝试一下.
这样就是全网互通了(动态的)
rip协议的报文每30秒会发送一次,我们可以抓取一下查看.
目标地址是:2240.0.09 组播地址
报文里面存放的是路由信息
upd 520 端口
rip只看距离远近,以跳数(经过路由的个数)来衡量.注:16跳不可达(一个路由信息最多能传15个路由)
抑制路由信息:
rip是广播的,pc不懂rip协议,要来也没用.所以要用到抑制接口(将路由与电脑接触的那一部分接口设置为静默接口,或者抑制接口).入R1 就是192.168.1.0/24 的接口
rip
silent-interface e0/0/1这样就把这个网段设置为静默模式了,不会再给pc发广播包了
但是R1还是会把他可以到达192.168.1.1/24这个信息传达出去了 因为已经宣告了
rip设置完成后我们查看路由器的路由表 就会发现多了几条路由.就是路由通过rip协议跟新学习到的.
proto 写的是RIP , 学习到的路由 pre优先级是100
cost 是代价(开销) .rip的cost计算方式就是经过几个路由(以跳数为代价.)
为什么路由之间的rip包是组播呢? 因为可以一个路由器接了很多的路由器.如果用单播传输,要传很多次.组播可以更快.
OSPF 重要!
定义:
环保局,社保局,财政局,国家电网,交通局.等等都再用.
开方式:谁都可以用.像Eigrp协议:就是私有 思科的
IETF:标准规定组织,tcp/ip,802.1/等等都是他们制定的.
链路状态:区别于rip,看链路状态,决定从哪走.
内部网关:中国内部或者运营商内部,企业内部.
ospf的优先级是10.
ospf也是适用于大网络的组建的.
ospf的区域规划.
区域0(area0):核心区域, 骨干区域
区域1 2 ... :常规区域(一般可以用地区的区号定义.方便规划.)
Area0 是骨干区域,其他区域都必须与此区域相连(?星型?)
ospf的配置:
凡是动态路由协议都是共享原则.配置的方法也类似 都是把自己的网段共享出来.
我们还是用之前的实验 先将rip删除.
undo rip 1 直接undo rip + 进程号 即可.rip删除后 相关的路由表也就没有了.
下面我们开始配置ofpf1:
先配置R1:
ospf 1
area 0 区域0
network 192.168.1.0 0.0.0.255 后面接反掩码 wild card bits,计算方式是用4个255减去正常掩码就得到反掩码.0表示精确匹配,1表示任意值.
network 12.1.1.0 0.0.0.255 继续宣告 12.1.1.0网段. 区别与rip 不用自然码主类网络.
然后是R2的配置: `ospf 1` `area 0` 区域0 `network 172.16.1.0 0.0.0.255` `network 12.1.1.0 0.0.0.255` `network 23.1.1.0 0.0.0.255`
然后是R3:
ospf 1
area 0 区域0
network 10.10.10.0 0.0.0.255
network 23.1.1.0 0.0.0.255
``
这样设置就完成了.配置完后 就应该可以全网互通了.我们可以ping测试一下.
然后我们查看路由内的路由表,发现多了ospf的路由.优先级是10.
ospf 每隔10秒 发送一次报文.我们抓包看一下.
ospf 的常见报文有5种
我们上面抓到的hello包:很小巧,用来建立和维持邻居关系的.
为什么要有这种hello包呢:如果出现情况比如 某个路由后面的路由不通了,路由需要相互告诉.以便修改路线.
其他的路由用时间区分.路由是否可用,因为正常是10秒发送一个hello包,过了40秒没发就认为已经不在了.就会再路由表种把相关路由信息删除.
真正传输路由喜喜的是:DBD , LSR , LSU , LSack,这些包只会在刚开始的时候发.而且发一遍就不发了.
区别与rip的每次要把所有路由信息都发送一遍.只要发送hello包就可以了.
全球公网12万路由.
rip是30秒发一次,但是240秒没发就认为路由挂了.
为了抓到一开始的几个包 我们需要把ospf重置用:
<>reset ospf process 尖括号模式,重置-ospf-进程,也就是进程重启了.不是恢复出厂设置.
查看ospf下某个路由的邻居表,用如下命令
<>dis ospf peer brief peer:对等体.
上图的邻居表.显示出R2有两个对等体.
ospf 的静默接口,原理通rip一样
ospf
silent-interface e0/0/1
这样就不会给 e0/0/1发送hello包了.
telnet
华为思科路由器默是开启的 华3默认是不开启. telnet的 我们开启呢.
开启实验我们还用以前的实验环境:
确保每个设备都是可以ping通的!
把R3做为服务端,把R1作为客户端.
先从R1 ping一下R3 先确保网络是通的.
先开启R3的telnet服务
[] telnet server enable 已经开启了
先建立用户名密码.
[]aaa 认证和授权审计模板.
[]local-user 用户名 password cipher 密码 privilege level 3 cipher表示*显示密码,privilege表示赋予权限,level3 表示权限级别
[]local-user nanwangty service-type telnet 指定账户的服务类型是 telnet. 别的不好使(ssh 之类的.)
qu 退出aaa模式
[]user-interface vty 0 4 0 4 指的是 同时允许5个人远程控制.
[]authentication-mode aaa 认证模式为aaa 验证方式,因为有多种验证方式,可以是只输入密码,也可以是把用户名放在其他服务器上去验证.所以我们指定是本地认证 用户名密码形式.
telnet 客户端的配置.
在R1 上 <>telnet 目标ip 提示输入用户名和密码 输入正确就可以正常登录了.
如果客户端为pc 也可以用telnet命令.
在模拟器环境想我们如何与ensp的网络通信呢?通过环回网卡/或者其他虚拟网卡都可以下面以环回举例.
讲本地环回网卡设置为想要连接的相应的ip
在模拟器中拖出一个云彩.
在云彩中点设置 先增加默认端口 udp 然后增加刚刚的环回网卡
然后再虾米按的端口映射 点击双向通道 增加端口映射表.
然后将云彩连线到相应的局域网中.
这时候我们用本机电脑 ping 192.168.1.1 就通了.说明本机与ensp连接到一起了
但是我们ping 后面的网段却ping 不同
这是因为我们的电脑在多网卡环境也相当于路由 我们查看电脑本身的路由表 route print
发现有两条 缺省路由 0.0.0.0 一个是自己本身的真实上网的缺省路由.另外一个是环回网卡会将数据交给他的网关 192.168.1.1 如果访问两个相应网段的数据,会自己走自己的网关.但是如果访问 不同网段的数据,两条路由的优先级是一样的, 所以会随机发出,如果我们ping ensp中的远端网段,数据却交给了真实的网关 当然找不到路由路径 被丢弃 所以我们要在pc本身的路由表中加一条静态路由.让我们访问的指定网段 走环回网卡 进入到我们的ensp 虚拟环境.
pc 添加静态路由:
route add 23.1.1.0 mask 255.255.255.0 192.168.1.1 访问23.1.1.0网段的数据 走192.168.1.1 网关 这样就可以了.
这时候我们再用pc 就可以连接到ensp 远端的telnet了
但是这种cmd命令行很不好用.我们调网络的常用连接软件是SecureCRT99%的网工都在用.
找链接下载即可. 使用应该没问题.
telnet 的报文.抓包.
首先 是telnet 的tcp 三次握手.
然后是telnet的报文.
可以找到telnet 的账号密码. 在wareshak中选择分析analyze -->分析流follow tcp stream 就可以反编译. 可以获取到明文的账号和密码.操作的所有过程 都会体现出来.
注: telnet 4层使用的是 tcp 23号端口.
FTP
如何查看路由器的操作系统:
display version
查看硬盘状态:
dir
华为操作系统:VRP :VerSatile Routing Platform ve 5.x 16年常用的版本.
思科:IOS
文件下可以看到vrpcfg.zip:这就是路由器的配置文件,每次开机都加载这个文件,每次保存也是保存到这个文件.
文件操作<>
copy : copy vrpcfg.zip xx复制文件为xx
delete : 删除文件
rename: 重命名
mkdir abc:创建文件夹abc
cd abc: 进入 abc目录
reset reccycle-bin:清空回收站
很多的设备 内核都是linux,所以操作方式很像
FTP配置:默认是关闭的.
R3为服务端,R1为客户端.
先配置R3:
ftp server enable 开启ftp服务
aaa
local-user 账号 password cipher 密码 privilege level 3 ftp-drectory flash:前面参照telnet, ftp-drectory 指定是绑定到哪个目录.local-user 账号 service-type ftp账号用作ftp服务 这样就配置完了.比telnet 少. 然后R1客户端.ftp 地址然后按照提示输入用户名和密码就可以了. 如何使用ftp呢get 文件名复制某个文件.put 文件名` 上传文件
还可以用pc当客户端
在浏览器-工具-internet属性-高级-使用被动ftp的勾要去掉!
然后再我的电脑地址栏中输入ftp://地址 就可以了
也可以用浏览器.
升级路由操作系统.
华为的真机里面会有一个文件 ***型号.cc 就是操作系统.
想要升级新的操作系统 ,从官网下载下来后 直接上传到路由器的flash中 把老的剪切出来备份,然后 reboot重启路由就可以了.
构建冗余型的企业网络.
如果汇聚层 或者核心层的设备 或者线路出现了问题 会影响接入层的一大片人上不去网.
一根线出问题或者一个点出问题我们叫做单点故障 我们要避免单点故障.
严格的冗余型网络像如下这样.所有设备都有备份,出口也有备份.所有的节点都有双链路互为冗余.
如何实现呢?
vlan 虚拟局域网,很重要.
就是再一个物理的局域网上在逻辑上分成多个广播域的技术.
广播泛滥会导致网络非常不稳定,一个广播包穿透多个交换机,与很多的设备产生会话.
实验:
如何让pc1 发送一个广播.
arp 可以或者可以 ping 192.168.31. 255
这样如果一个网络里面有很多的交换机.一个广播发出去.出产生很大的问题.
arp 攻击就是这么来的.
如何解决这个问题呢? 如果我们用路由器就可以解决了,因为路由器的每个接口都是一个单独的广播域.那么怎样才能让交换机有路由器的作用呢.!?
所以我们就要用vlan划分虚拟的局域网.vlan是二层技术
做了vlan技术的网络卡,慢的情况是很少的.不做的话人一多就容易出事.
vlan配置实验:
下面开始配置交换机:
sw1:
命令模式 和交换机改名都一样 :
sy --> sysname sw1
创建 vlan10 和vlan 20
vlan 10
qu
vlan20
也可以有快捷方法
vlan batch 10 20 30同时创建10 20 30三个 ,vlan batch 50 to 100 创建50个vlan,从50到100
然后我们把相应接口划分到相应的vlan内
先进入g0/0/1接口:
int gi0/0/1
然后
port link-type access 把接口的类型改为 access:交换机通常有三种接口 access 接口是用来接pc的
然后
port default vlan 10 将接口划分到vlan10
下面将2口也划分到vlan10:
int gi0/0/2
port link-type access
port default vlan 10
如何查看vlan的配置情况呢?
display vlan
注意: vlan1 是默认vlan,所有接口默认都在里面
然后将 1.4划分到vlan20 :
int gi0/0/3
port link-type access
port default vlan 20
配置好后我们看下
display vlan:
这次我们在测试广播情况,就发现 vlan隔离了广播包.
注意:vlan隔离广播的同时,也会隔离arp,从而导致单播无法通信.
ping 网络的时候,先发送arp广播得到mac地址才可以通信 vlan隔离就会导致通信不了了.
如果想让不同的vlan单播可以通信,还需要三层设备做路由(路由器,三层交换机.)这个技术交vlan间通信.
注意: 默认情况下,交换机的一个接口只能从属于一个vlan,只允许该vlan的数据通过.
Trunk
分跨在两个交换机上如何做vlan呢?两台交换机机器相连交换机里面有两个以上的vlan.如何能让相连的两个交换机的接口 同时走两个不通vlan的数据呢.
Trunk的配置实验:
我们配置sw2的vlan:
int gi0/0/3
port link-type access
port default vlan 10
int gi0/0/2
port link-type access
port default vlan 20
这样pc侧的vlan就配置完了
那么我们的1.2 能ping通 1.6么? 答案是不能,因为 1.2 属于vlan10 而通过g0/0/4属于默认vlan1 所以直接隔离了.
如果我们把交换机出口的vlan改掉 ,那么就不能满足一个交换机下几个vlan的通信.我们又不能同时把一个接口划分为vlan 10 和20 何况现实情况下 汇聚层的交换机和其下面的各种接入层交换机可能会有 很多很多个vlan.
所以我们要在一个接口同时允许多个vlan的数据走这就是Trunk
接下来我们把 sw1 的ge0/0/4和sw2的ge0/0/1改为Trunk接口.
sw1:
int gi 0/0/4
port linkt-ype trunk 接口类型改为trunk
port trunk allow-pass vlan all 允许所的vlan通过.华为的trunk默认是不允许任何vlan通过的.思科相反.
注意:
- trunk口,是接交换机与交换机的接口.
- hybrid:混合接口,既可以接pc又可以接交换机.这也是华为交换机的默认接口
- 查看默认的接口设置
dis port vlan
sw2:
int gi 0/0/4
port link-type trunk
port trunk allow-pass vlan all
这是我们就设置完成了 ,同一个vlan不同交换机的设备就可以通信了 .
trunk是如何判断来的包是属于哪个vlan的从而做到vlan隔离的呢?
我们来抓包看一下:
先看下,pc-->交换机的包是access口:
那么由交换机的trunk接口发出的报文是什么样子的呢?
trunk ---- turnk
通过抓到的报文 我们发现 在二层和三层之间 多了一个802.1Q vlan 而且id是20.也就是说在2层和三层之间加了一个vlan标记.接受到的交换机查到这个标记(我们称之为tag)就知道发送给哪个vlan了.
注:pc发出来的报文就没有tag标记了.而且pc也不认识vlan标记(tag)这些值都是交换机的语言.只有通过交换机的trunk接口发出的报文才具备vlan的标记(802.1q tag)
PVID:本征vlan(native vlan)
交换机相互之间协商一个一致的vlanID,经过trunk不发tag 就可以免去一定的麻烦.这就是PVID
该vlan的报文经过trunk接口时不打标记.默认情况下trunk口的本征vlan是vlan1.
默认的PVID都是1.如何查看本征vlan 呢? dis port vlan
注意:相互通信的本征PVID应该是一样的,否则无法通信.而且同一个路由器也不能设置两个PVID,逻辑不对.交换机无法处理 .如何更改本征vlan呢?
进入trunk所在的接口
int gi 0/0/4
port trunk pvid vlan 数字
改完之后要去对方的trunk口更改.才可以通信.不然会出错的.
将交换机的接口属性更改时候:例如由access-->trunk 或者由 trunk-->access undo是不好用的,必须重置接口的默认配置 . 否则会报如下错误:
如下解决方式(重置此接口为出厂设置,这个接口的配置重新做.):
Vlan间路由.非常重要
有两种方法:
第一种: 多层交换机SVI (常用),switch virtual interface 交换机虚拟接口.
第二种:单臂路由
注意:不同的vlan之间要通信必须要有三层设备做中转(路由器或者多层交换机.)纯2层交换机不可以.3层交换机一般3000元以上.
实验一:
如上图:两台pc如何使两个网段和vlan相互通信呢.
先做下环境:
sw:
sy
vlan 10 20 建立vlan10和vlan20
int gi0/0/1 进入pc1的接口
port link-type access 更改接口模式.
port default vlan 10把本几口划入vlan10
pc2步骤一样 省略.
此时两个pc不能相互通信,也不能和外网通信 因为没有路由
为了让两个vlan可以通信 我们需要做svi: vlan间路由
下面是配置步骤:
int vlan 10进入vlan10
ip add 192.168.10.1 24 给vlan10 配置一个ip地址.在多层交换机上可以给vlan配置IP地址.一个vlan就相当于一个(带有IP的)虚拟的接口.配置的这个就口就相当于这个vlan 的网关.
int vlan 20
ip add 192.168.20.1 24
配置好后我们查看一下
dis ip int b
这时候我们就可以在pc上配置网关了.
我们这时可以查看交换机上的路由表了
dis ip routing-table
通过查看路由表我们发现出现两个直连路由,而且相应的接口就是相应的vlan.
此时两台pc就可以通信了! 发现他们都是可以通信的.
可能会有个问题,我们划分vlan就是为了要不让两个pc通信,为什么还要费这么大劲做vlan路由什么的又让两个vlan 可以通信呢?
答:我们划分vlan的目的不是要vlan之间不能通信,是为了隔离广播报文,让两个vlan的通信仅限于单播.因为我们隔离了广播报文所以副作用是两个vlan不能通信了. 我们通过使用三层设备,使得不同vlan之间可以相互通信,但是仅仅允许单薄通信.不同vlan之间广播帧依然被隔离,所以没有失去vlan原本的意义.
我们接下来做一个复杂的实验,有多个交换机的时候我们怎么做呢?
实验(注意 我们模拟接入交换机是二层交换机.核心是三层交换机.):
我们先做核心:
sy
vlan batck 10 20
int gi0/0/1
port link-type trunk
port trunk alow-pass vlan all
然后2口
int gi0/0/2
port link-type trunk
port trunk alow-pass vlan all
这样我们把两个trunk 打通
init vlan 10
ip add 192.168.10.254 24
init vlan 20
ip add 192.168.20.254 24
做svi,给两个vlan ip ,做虚拟接口
查看一下
dis IP int b两个虚拟接口两个网关就出现了.
然后我们配置sw2:
int gi 0/0/2
port link-type trunk
port trunk alow-pass vlan all
undo shutdown ???
vlan bath 10 20
int gi0/0/1
port link- access
port defual vlan10
int gi0/0/3
port link- access
port defual vlan20
然后配置接入交换机3,跟上基本一样面一样.掠过.
然后我们测试一下vlan间就i可以相互通信了.
这里注意一下tag值,的变化,到对方网段进入到另外一个vlan了,核心交换机会把tag改变的.接入的交换机是二层不认识tag的哦!
三层交换机,会查看路由表,转换tag值.
可以把三层交换机的svi通信原理想象成路由器.
valn间路由-单臂路由(现在用的不是很多.早期的网络会用.)
单臂的单指的就是路由和交换机之间连接的这一根线
搭建一个实验:
实验中,中间的交换机是二层的交换机,不同 vlan 想要通信只能走三层,所以肯定要从路由做中转.
交换机想要两个vlan的数据出去那接路由的口必须允许多个网段的数据走.也就是trunk
然后我们打通交换机上连端口的trunk
那么路由器怎么办呢? 路由器的接口怎么配置来做网关呢?
这种情况下我们要使用 子接口也就是逻辑接口:
先配vlan10
int e0/0/0.10建立本接口下的子接口(最多多可以建立4096个)随便用
dotlq termination vid 10 在子接口下绑定本接口的vlan id 为10.代表这个接口从属于vlan10
ip add 192.168.10.1 24给子接口一个ip 最为下面pc的网关
arp broadcast enable 开启arp的广播功能 否者找不到.
然后我们做vlan20网段的
int e0/0/0.20
dotlq termination vid 20
ip add 192.168.20.1 24
arp broadcast enable
我们来看一下配置好后的接口:
再来看一下生成的直连路由表:
下面来说一下pc1访问pc2时候的原理:
pc1走到交换机时不打tag,到了交换机口 打tag 标记是vlan10 , 然后转交给路由器,路由器街道报文查询路由表,发现路由表有此项,出接口是 虚拟接口e0/0/0.20,并且虚拟接口绑定的vid为20,所以路由器给报文打的tag变成20.报文回到交换机,交换机查看vid为20 所以可以发送给pc2,报文返回同理.