TCP/IP概念及基础网络配置
计算机网络的功能
- 数据传输
- 资源共享
- 增加可靠性
- 提高系统处理能力
IP地址分类
用于一般的计算机网络
-A类:1 ~ 126 127 网+主+主+主
-B类: 128 ~ 191 网+网+主+主
-C类: 192 ~ 223 网+网+网+主
组播及科研专用
-D类:224 ~ 239 组播
-E类:240 ~ 254 科研
公有地址:pubilic address,公网地址
-由internet NIC(互联网信息中心)负责分配
-必须向NIC申请/注册并获得批准方可使用
-使用与Internet,属于广域网地址
私有地址:private address,专用网络
-预留给企业内部网络,使用无需申请
-适用于局域网,通过网关才能访问Internet
私有地址:
A类:10.0.0.1 ~ 10.255.255.254
B类:172.16.0.1 ~ 172.31.255.254
C类:192.168.0.1 ~ 192.168.255.254
网络ID 网段 --地址的最一位
子网0的部分叫主机位
– 子网掩码对应的最大值和最小值不能用
192.168.0.255/192.168.0.0 X
255.255.255.0
10.0.0.0/10.255.0.0 X
255.0.0.0
默认子网掩码
-A类:255.0.0.0
-B类:255.255.0.0
-C类:255.255.255.0
什么是网关?
-从一个网络到另一个网络的关口
-通常是一台路由,或者防火墙/接入服务器
-网关可以理解为路由
计算机网络发展阶段
60年代
-分组交换
70-80年代
-TCP/IP
90年代
-Web技术
网络协议与标准
-语法
-语义
-同步
标准
-ISO(国际标准化组织) //站在IT行业最顶端的组织
-ANSI(美国国家标准化局)
-ITU-T(国际电信联盟-电信标准局)
-IEEE(电气与电子工程师学会)
三流企业造产品
二流企业造品牌
一流企业定标准
WAN(光域网)
LAN(局域网)
交换路由设备(讲)
-Cisco 2911路由器
-Cisco 3560交换机
网络安全设备
-防火墙
-VPN设备(虚拟专用网络)
网络拓扑结构
-点对点 //WAN(光域网)
-总线型 //弃用
-环型 //弃用
-星型及扩展星型 //LAN(局域网)
-优点
易于实现
易于扩展
易于故障排查
-缺点
中心节点压力大
组网成本高
– 企业
-网状 //LAN(局域网)
- 一个节点与其他多个节点相连
- 提供冗余和容错性
- 可靠性高
- 组网成本高
– 银行 证券
OSI 参考模型
协议
数据通信协议的定义
-决定数据的格式和传输的一组规则或者一组惯例
协议分层
网络通信的过成很复杂
- 为了降低网络设计的复杂性,将协议进行了分层设计
OSI 的七层框架
应用
7、应用层 APDU 网络服务与最终用户的一个接口
6、表示协议层 PPDU 数据的表示、安全、压缩
5、会话协议层 SPDU 建立、管理、中止会话
网络
4、传输层协议 数据段 TPDU 定义传输数据的协议端口号以及流控和差错校验
3、网络层协议 数据包 报文 进行逻辑地址寻址、实现不同网络之间的路径选择
2、数据链路层协议 数据帧 帧 建立逻辑连接、进行硬件地址寻址、差错校验等功能
1、物理层协议 比特流 比特 建立、维护、断开物理连接
TCP/IP四层模型、TCP/IP五层模型、OSI七层模型
TCP/IP四层模型
- 应用层
- 传输层
- 网络层
- 网络接口层
TCP/IP五层模型
- 应用层
- 传输层
- 网络层
- 数据链路层
- 物理层
TPC/IP 模型
五层架构 常用模型
TPC/IP协议组的组成
- 应用层 HTTP FTP TFTP SMTP SNMP DNS
- 传输层 TCP UDP
- 网络层 ICMP iGMP IP ARP RAEP
-数据链路层、物理层 由底层网络定义的协议
下层为下层提供服务
数据的封装(传输过程)与解封装过程(接收过程)
- 应用层 上层数据 计算机应用 网络服务与最终用户的一个接口
- 传输层 TCP头部、上层数据 数据段 防火墙 定义传输数据的协议端口号以及流控和差错校验
- 网络层 IP头部、TCP头部、上层数据 数据包 路由器 进行逻辑地址寻址、实现不同网络之间的路径选择
- 数据链路层 MAC头部、IP头部、TCP头部、上层数据 数据帧 交换机 建立逻辑连接、进行硬件地址寻址、差错校验等功能
- 物理层 比特流 网卡 建立、维护、断开物理连接
物理层
以太网接口
RJ-45(电脑接口、(8线芯))、RJ-11(电话接口(4线芯))
光纤接口
用于稳定地但并不是永久地两根或多跟光纤的无源组件
FC 圆形带螺纹光纤接口
ST 卡接式圆形光纤接口
SC 方型光纤接口
LC 窄体方形光纤接口
MT-RJ 收发一体的方型光纤接口
RJ-45 通电
光纤 不通电
RJ-45致命缺点:传输距离端
双绞线
- 由两根绝缘铜导线相互缠绕组成,以减少领近线对的电气干扰
- 由若干对双绞线构成的电缆被称为双绞线电缆被称为双绞线电缆
-非屏蔽双绞线UTP和屏蔽双绞线STP(带一身铠?)
双绞线的标准
类型 速率
cat5 100Mps
cat5e 100Mbps
cat6 1000Mbps(1Gbps)
cat7 10000Mbbps(10Gbps)
线缆的连接
T568A:白绿、绿、白橙、蓝、白蓝、橙、白粽、棕
T568B:白橙、橙、白绿、蓝、白蓝、绿、白粽、棕
常用的是T568B
T568A标准中RJ-45连接器的管角号和颜色编码
管角号 用途 颜、色
1 发送+ 白、绿
2 发送+ 绿
3 接收+ 白、橙
4 不被使用 蓝
5 不被使用 白、蓝
6 接受+ 橙
7 不被使用 白、棕
8 不被使用 棕
线缆的连接
- 标准网线 a - a b - b
- 交叉网线 a - b b - a
— 交换机连接设备用直通线 交换机和电脑和路由器用交叉线
- 全反线(控制线、console线)
很多高端设备自带自动识别功能(自动翻转)
网卡
- 有一个唯一的网络节点地址
- 按速率:10M网卡、10/100自适应网卡、千兆网卡
- 按总线类型:ISA网卡、PCI网卡
- 按提供的线缆类型:RJ-45网卡、光纤网卡
-便携式电脑可使用PCMCIA网卡(早期)
中继器
- 放大信号
- 延长网络传输距离
- 只包含一个输入端口和一个输出端口、所以只能接受和转发数据流
- 成本低
Cisco命令
Packet Tracer
switch> ">“ 用户模式
switch>enable
switch# 特权模式
switch#config terminal 全局配置模式
switch(config)#interface fastEthernet 0/1
switch(config-if) 接口模式
退出特权模式
end
Ctrl-z
ctrl+shift+6 取消
网络设备中不区分大小写
修改主机名
hostname Taren-sw1
sw1(config)#enable password cisco #设置密码
sw1(config)#write/wr
sw1#erase startup-config #恢复出厂默认值
reload
sw1(config)#no ip domain-lookup # 配置禁用dns查询
sw1(config)#line console 0 #输出日志自动弹出
sw1(config-line)#logging synchronous #配置输出日志同步
sw1(config)#line console 0
sw1(config-line)#exec-timeout 0 0 #配置控制台会话时间永不超时
以太网在数据链路层
-以太网MAC地址
- 数据链路层 MAC头部、IP头部、TCP头部、上层数据 数据帧 交换机 建立逻辑连接、进行硬件地址寻址、差错校验等功能
mac地址 48bit(位) 6字节
前24bit是供应商标识
后24bit是供应商对网卡的唯一标识
对于目的地址:
十六进制的第二位所代表的二进制:
0 - 物理地址(单薄地址)
1 - 逻辑地址(组播地址)
一个16进制等于4个二进制
广播的MAC地址 12个F
802.3 以太网帧格式
前导码 帧起始界定符 目的地址 源地址 类型/长度 数据 帧校验序列
7字节 1字节 6字节 6字节 2字节 46~1500字节 4字节
以太网交换机
Ciso 2960 二层交换
- 交换机能够根据以太网数据帧中的MAC地址智能转发数据
交换机的工作原理
- 初始状态
我对外界的世界一无所知 - MAC 地址学习 — MAC地址表
数据帧 —源MAC地址、接口标识 - 广播未知数据帧
- 接收方回应
- 交换机实现单播通信
广播是一把双刃剑
总结:学习 - 广播 - 转发 - 更新
MAC地址表保留的时间300s
更新的两种情况:300s更新、设备更换
查看MAC地址表
Switch#show mac-address-table
什么是交换机
交换机是用来连接局域网的设备
- 交换机能够根据以太网帧中目标地址智能转发数据,因此交换机工作在数据链路层
- 交换机分割冲突域,实现全双工通信
单工
只有一个信道,传输方向是单向的
- 传呼机、收音机
半双工
只有一个信道,在同一时刻,只能单向传输
- 对讲机
全双工
双信道,同时可以有双向数据传输
- 电话
冲突与冲突域
如果冲突过多,则传输效率会较低
为了提高效率,分割冲突域
交换机背板交换矩阵结构
- 交换机的每个端口访问另一个端口时,都有一条专有的线路,不会产生冲突
缺点
交换机默认所有接口都默认一个广播域
- 交换机分割冲突域,但是分割广播域
VLAN
什么是VLAN
- virtual LAN(虚拟局域网)是物理设备上的不受物理位置限制的用户的一个逻辑组
为什么引入VLAN
- 交换机分割了冲突域,但不能分割广播域
- 随着交换机数量的增多,网络中的广播域增多,降低了网络的效率
- 为了分割广播域、引入了VLAN
VLAN的作用
- 广播控制
- 安全性
广播域隔离
- 带宽利用
- 降低延迟
VLAN的范围
0(保留VLAN) ~ 4095
VLAN 1 默认VLAN ,不可删除
普通的设备只能创建1000个左右VLAN
静态VLAN配置
-
创建VLAN
-
将端口加入相应VLAN
-
验证
Switch(config)#vlan vlan-id Switch(config)#name vlan-name 删除 Switch(config)#no vlan-id Switch(config)#vlan 5 Switch(config-vlan)#name vlan5 Switch(config-vlan)#vlan 10 Switch(config-vlan)#name vlan 10 Switch(config)#interface fastethernet0/1 Switch(config-if)#switchport access vlan 5– access 接入链路,可以承载一个vlan
– trunk 中继链路,可以承载多个vlanSwitch#show vlan Switch#show vlan brief #显示摘要信息
vlan管理
2层交换不支持配置IP地址
但借助vlan可以
Switch(config)#interface vlan 5
Switch(config-if)#ip address 192.168.0.5 255.255.255.0
Switch(config)#ip default-gateway 192.168.0.254 #配置网关
Switch(config)#interface range fastEthernet 0/1-2
Switch(config)#interface range fastEthernet 0/1,f0/3
查看交换机接口信息
Switch#show interfaces f0/3 switchport
Operational Mode: static access
修改交换机接口模式为trunk(中继链路)
Switch(config)interface f0/3
Switch(config-if)#switchport mode trunk
标准以太网帧
DA SA Type Data CRC
带有IEEE802.1Q标记的以太网帧
DA SA Tag Type Data CRC
- IEEE 802.1Q是公有标记方式,ISL是Cisco私有的
- ISL采用外部标记的方法,长度是30字节;802.1Q采用内部标记的方法,长度是4字节
从Trunk中添加、删除Vlan
在中继链路中禁止vlan10的数据通过
Switch(config)interface f0/3
Switch(config-if)#switchport trunk allowed vlan remove 10
在中继链路中恢复vlan10的数据通过
Switch(config-if)#switchport trunk allowed vlan add 10
以太通道
也称以太通道捆绑/端口聚集/以太链路聚合,英文名EtherChannel
为交换机提供了端口捆绑技术,允许两个交换机之间通过两个或多个端口进行连接,同时传输数据,以提供更高的带宽
配置以太通道
Switch(config)#interface range f0/3-4
Switch(config-if-range)#channel-group 1 mode on
进入通道,改为trunk
Switch(config)#in port-channel 1
Switch(config-if)#switchport mode trunk
关闭接口
Switch(config-if)#shutdown
Switch(config-if)#no shutdown
Switch(config-if)#interface range f0/1-24
Switch(config-if-range)#shutdown
查看以太通道信息
Switch#show etherchannel summary
网络层的功能
Cisco 2911
- 定义了基于IP协议的逻辑地址
- 连接不同的媒介类型
- 选择数据通过网络的最佳路径
什么是路由
将数据包从一个网络发送到另一个网络
- 需要依靠路由器完成
- 路由器只关心网络的状态,决定最佳路径
路由器怎么工作
-
识别数据包的IP地址
-
识别数据包的IP地址(主要用于策略路由)
-
在路由表中发现可能的路径
-
选择路由表中到达目标最好的路径
-
维护和检查路由信息
网关
客户端可以访问到的三层设备的接口查看路由表
outer#show ip route
路由表
C 直连路由
路由器配置好IP,自动产生直连路由,只适用于直连网络
Destination host unreachable. 目标主机不可达非直连路由配置静态路由
静态路由- 由管理员手工添加,为单向条目
- 通信双方的边缘路由都需要制定,否则导致数据包有去无回
S - static 静态路由 (两端都配)
Router(config)# ip route 对端网络id 子网掩码 下一跳(最近对端接口IP)配置多路由的静态路由–缺省路由/默认路由/默认网关
-
默认路由的目标网络地址为0.0.0.0 0.0.0.0,可匹配任意目标IP
-
只有当从路由表中找不到任何明确匹配的路由条目时,才会使用默认路由
企业的网关设备(边缘网络)中需要使用默认路由
Router(config)#ip route 0.0.0.0 0.0.0.0 (下一跳)192.168.1.2
中间环节网络设备若配置默认路由,会出现路由环路
三层交换技术
Cisco 3560
使用三层交换技术实现Vlan通信
三层交换=二层交换+三层转发
二层和三层之间互联
三层交换所需配置
开启三层交换路由功能
开启三层交换机的路由功能
Switch(config)#ip routing
1、创建所需vlan
2、为vlan配置IP地址,作为客户机网关
3、为三层交换机端口配置中继链路
-首先需要打封装
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
二层交换机所需配置
1、创建所需vlan
2、将客户机连接的端口加入vlan
3、连接三层交换机的端口所需配置中继链路
Switch(config-if)#switchport mode trunk
交换机与路由器互联
将交换机端口转换为路由器接口 转换完之后即可配置IP地址
Switch(config-if)#no switchport
静态路由
- 由管理员在路由器上手工配置
- 适合分支机构、家居办公等小型网咯
动态路由
- 根据网络拓扑或流量的变化,由路由器通过路由协议自动设置
- 适合ISP服务商、广域网、园区网等大型网络
动态路由概述
- 基于某种路由协议实现
动态路由的特点
- 减少了管理任务
- 占用了网络带宽
宣告
OSPF(最常用的动态路由协议)Open Short Path First(开放最短路径优先)
令居列表
链路状态数据库
路由表
OSPF区域
- 为了适应大型的网络,OSPF在AS内划分了多个区域
- 每个OSPF路由器值维护所在区域的完整链路状态信息
区域ID
- 区域ID可以表示成一个十进制数字
- 也可以表示成一个IP
骨干区域Area 0 - 负责区域间路由信息传播
非骨干区域
启动OSPF路由进程
Switch(config)#router ospf 1
宣告直连网段
Router(config-router)#network 192.168.4.0 0.0.0.255 area 0
- 反掩码,把1的部分改为0,0的部分写为1
传输层详讲
传输层的作用
网络层提供点到点的连接
传输层提供端到端的连接
IP层:找到了主机
传输层:找到了应用进程
0 ~ 65535
1 ~ 1023 已经被很多程序定义
传输层协议
TCP (Transmission Control Protocol)
- 传输控制协议
- 可靠的、面向连接的协议
- 传输效率低
UDP(User Datagram Protocol)
-
用户数据报协议
-
不可靠的、无连接的服务
-
传输效率高
TCP的封装格式
源端口号 目标端口号
32位序列号
32位序列号
4位首部长度 保留(6位) URG ACK PSH RST SYN FIN 16位窗口大小
16位校验和 16位紧急指针
可选项
数据
UDP的封装格式
16位源端口号 16位目标端口号
16位UDP长度 16位UDP校验和
数据
TCP的应用
21 FTP 文件传输协议,用于上传、下载
23 Telnet 可用于远程连接
25 SMTP 简单邮件传输协议,用于发送邮件
53 DNS 域名服务
80 HTTP 超文本传输协议,通过HTTP实现网络上超文本的传输
UDP的应用
69 TFTP 简单文件传输协议
54 DNS 域名服务
123 NTP 网络时间协议
访问控制列表(ACL)
- 读取第三层、第四层头部信息
- 根据预先定义好的规则对数据进行过滤
访问控制列表的类型
标准访问控制列表
- 基于源IP地址过滤数据包
- 标准访问控制列表的访问控制列表号是1 ~ 99
扩展访问控制列表
- 基于源IP地址、目标IP地址、指定协议、端口来过滤数据包
- 扩展访问控制列表的访问控制列表号是100 ~ 199
访问控制列表在接口应用的方向
- 出:已经过路由器的处理,正离开路由器接口的数据包
- 入:已到达路由器接口的数据包,将被路由器处理
列表应用到接口的方向与数据方向有关
ACL配置
创建ACL
Router(config)#access-list 1 permit|deny source[source-wildcard]
- permit 允许数据包通过 - deny 拒绝数据包通过
将ACL应用于接口
Router(config-if)#ip access-group access-list-number {in|out}
在接口上取消ACL应用
Router(config-if)#no ip access-group access-list-number {in|out}
应用实例( 允许192.168.1.0/24和192.168.2.2的流量通过)
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 1 permit 192.168.2.2 0.0.0.0
隐含的拒绝语句(系统自动写了)
Router(config)#access-list 1 deny 0.0.0.0 255.255.255.255
关键词
- host
- any
Router(config)#access-list 1 deny host 192.168.2.1
Router(config-if)#access-list 1 permit any
Router(config)in g0/0
Router(config-if)#ip access-group 1 out
查看访问控制列表
Router#show access-lists
删除访问控制列表
Router(config)#no access-list 1
同一方向同一接口只能用一个列表
NAT(Network Address Translation),网络地址转换
作用
- 通过将内部网络的私有IP地址翻译成全球唯一的公网地址,使内部网络可以连接到互联网的网络上
优点
- 节约公有合法IP地址
- 处理地址重叠
- 安全性
缺点
- 延迟增大
- 配置和维护的复杂性
NAT的实现方式
-
静态转换(Static Translation)
- 服务器使用
- 一对一,且是不变的
-
端口多路复用(Port Address Translation,PAT)
- 客户机使用 一群主机只使用一个公网IP地址
静态NAT的配置
- 接口IP地址的配置
- 决定需要转换的主机地址
- 决定采用什么共有地址
- 在内部外部端口上启用NAT
设置外部端口IP地址
设置外部端口IP地址
在内部和外部端口启用NAT
Router(config)#in g0/1
Router(config-if)#ip nat outside
Router(config)#in g0/0
Router(config-if)#ip nat inside
建立静态地址转换
Router(config)#ip nat inside source static local-ip glonal-ip
PAT配置
- 接口IP地址配置
- 使用访问控制列表定义那些内部主机能做PAT
- 确定路由器外部接口
在内部和外部端口上启用NAT
定义内部IP地址
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
设置复用动态IP地址
Router(config)#IP nat inside source list 1 interface g0/1 overload
在内部和外部端口上启用NAT,以及配置默认路由
- 与静态NAT配置相同
跟踪NAT
Router#debug ip nat
Router#undebug ip nat
备注:
– IPv4地址32位
– 地址数量:232(约4×109)
– 全球IPv4地址数量大概42亿左右
– IPv6地址128位
– 地址数量:2128(约3.4×1038)
– 这个空间大到无法想象,也就是说,地球上每一平方米,都可以有10的26次方的地址,甚至可以分配地址到空中的尘埃,吴建平说。
STP(Spanning Tree Protocol 生成树协议)生成树算法(网管交换机默认开启)
逻辑上断开环路(随机线路),防止广播风暴的产生
当现路故障,阻塞接口被激活,恢复通信,起备份现路的作用
选择根网桥
网桥ID(BID)
- 网桥ID是唯一的,交换机之间的选择BID值最小的交换机作为网络中的根网桥
网桥优先级 网桥的MAC地址
2字节 6字节
取值范围:0~65535
缺省值:32768
值越小越优先(4096的倍数)
show version //查看设备版本信息
PVST+的配置命令
--生成树的一种版本 每VLAN生成树
开启生成树命令(默认是开启的)
Switch(config)#spanning-tree vlan vlan-list
指定根网桥
Switch(config)#spanning-tree vlan vlan-list priority Bridge-priority
Switch(config)#spanning-tree vlan vlan-list root {primary|secondary}
查看生成树配置
Switch#show spanning-tree
– show 中看到的priority值为priority值+vlan值
PWD为转发状态
BLK为阻塞状态
查看某VLAN的生成树详细信息
Switch#show spanning-tree vlan vlan-id
PVST+配置的意义
- 利用网络中比较稳定的交换机为根网桥
- 利用PVST+实现网络的负载分担
所以交换机的vlan要统一
HSRP
热备份路由选择协议
- HSRP(Hot Standdy RoutingProtocol)
- Cisco私有协议
公有协议VRRP与之一模一样
HSRP组成成员
- 活跃路由器
- 备份路由器
- 虚拟路由器
- 其他路由器
原则
路由器需是同网段
优先级大的为活跃路由器
优先级1~255,默认值100
使用三层交换
使用vlan配置接口
HSRP的配置
配置为HSRP的成员
Switch(config-if)#standby group-number ip virtual-ip-address
配置HSRP优先级
Switch(config-if)#standby group-number priority priority-vuale
查看HSRP摘要信息
Switch(config-if)#show standby brief
有两个vlan的情况
MS1(config)#in vlan 1
MS1(config-if)#ip address 192.168.1.252 255.255.255.0
MS1(config-if)#standby 1 ip 192.168.1.254 //配置虚拟IP
MS1(config-if)#no shutdown
MS1(config-if)#standby 1 priority 105
MS1(config)#in vlan 2
MS1(config-if)#ip address 192.168.2.252 255.255.255.0
MS1(config-if)#standby 2 ip 192.168.2.254 //配置虚拟IP
MS2(config)#in vlan 2
MS2(config-if)#ip address 192.168.2.253 255.255.255.0
MS2(config-if)#standby 2 ip 192.168.1.254 //配置虚拟IP
MS2(config-if)#no shutdown
MS2(config-if)#standby 1 priority 105
MS2(config)#in vlan 1
MS2(config-if)#ip address 192.168.1.253 255.255.255.0
MS2(config-if)#standby 1 ip 192.168.2.254
MS2(config-if)#no shutdown
HSRP端口跟踪
跟踪外网端口
-
跟踪端口不可用时,HSRP优先级降低
-
活跃路由器可以根据线路情况自动调整
配置
Switch(config-if)#standby group-number track type mod/num interface-priority
#默认降级10
MS1(config)#in vlan 1
MS1(config-if)#standby 1 track FastEthernet 0/1
HSRP占先权
-
优先级高的路由器重新获得转发权,恢复为活跃路由器
配置MS2(config)#in vlan 1 MS2(config-if)#standby 1 preempt MS1(config-if)#standby 1 preempt
星型内网配置
1、创建vlan1 vlan2 并配置IP
2、全部端口打trunk
3、配置生成树
4、配置HSRP热备份路由协议 并配置优先级