HCIA笔记
DAY 1
HCIA华为认证的初级网络工程师
HCIP 高级
HCIE 专家
云技术—1.云计算--分布式计算 多台计算机同时处理
2.云存储—硬盘空间有限----诞生了 百度网盘 阿里云
服务器大多用的Linux 专注于一两种功能 服务器和普通电脑没啥区别
DOS攻击----拒绝服务攻击---该干的事就不干了 DDOS---分布式拒绝服务攻击 多台电脑攻击
木马----控制 病毒----破坏
计算机技术
抽象语言—电信号 (一台电脑就可以完成的)
抽象语言(比如说1+2)---编码(机器语言--比如c语言 python) 应用层 (通过人机交互实现不同的服务)
编码 ---二进制(一串0和1) 表示层
二进制 (电脉冲信号 高低电频)--- 电信号 介质(硬件) 介质访问控制层 (网卡的目的)
处理电信号 (定义电气电压接口规范光学特性) Cpu—对电信号进行计算 物理层
网线
通信技术
1946.2.14 军事 第一台电子计算机诞生时间
1876---贝尔获得电话专利--公共交换电话网---电路交换(人工)---1888年发展
阿帕网 军事
(民用)互联网-----internet
最早的网络 对等网 两台电脑加一根网线
两台电脑比一台电脑多增加了 1.网线 2.网卡 3.qq(软件)
对等网--变大--互联网这么大
1.增加网络节点数量
2.延长传输距离 无线和有线
传输介质
网线的真正名字 RJ-45双绞线 八根铜丝 分为四组 每两组绕一起(抵消自身产生的电磁干扰) RJ-45是水晶头的名字 RJ-11是方形的电话线
传递电信号:传输介质 铜丝 (导电性)(延展性好) 导电性:银 铜 铝 金
生活小技巧: 买双绞线 找软一点 不然里面参杂了铝
屏蔽双绞线 八根线外面包了层金属 目的把外界的电磁干扰降低 在外面强干扰的情况下会使用
非屏蔽双绞线 线外无金属
目前最常用的---超5类线----传输速率 1000Mbps --100米--(电波)信号衰弱 线类越高 铜丝越粗
bps传输速率的一个单位 bit 位每秒
100MB
1000bite(字节)=1K
1000K=1M
1000M=1G
文件的进率是1024
带宽的进率是1000
速率计算公式 100M/8*0.85=10.625M
光纤
传递---光信号;传输介质--光导纤维(玻璃纤维) 不能折
电信号---光信号 :发光二极管,注入式激光二极管
光信号---电信号 :光电二极管
电话线 模拟信号 (模拟声波) 现在 数字信号(高低电频电脉冲)
光猫(光纤)--之前叫调制解调器(把模拟信号转化为数字信号)--信号转换的作用
单模光纤:注入式激光二极管---信号畸变小
多模光纤:发光二极管(便宜)
中继器(放大器) (加电压) 物理层 解决信号衰弱 只能延长----延长到五倍传输距离
中继器放大数字信号 放大器放大模拟信号
上面接电源 给他加压 左右两边接网线 中间一块大铜片
增加网络节点数量
网络拓扑结构
1.直线型拓扑(总线型) 耗时耗精力
2.环形拓扑 (围成一个圈)
3.星型拓扑 (中转器)(性价比最高、用的最多)
4.网状拓扑(每两台电脑都连着)
5.混合型---典型的是多环型拓扑
6.树形拓扑
星型拓扑中间结构
集线器(hub) 物理层
类似放大器 只是多了点接口
1地址问题(1.全球唯一2.格式统一)
mac地址 芯片出厂时烧录的串号,全球唯一 都是由48位二进制构成
前二十四位代表厂商标识 后24 厂商分配的串号 用来区分不同的芯片 物理地址(不会变)--二层地 址
IEEE分配给合法的厂商前24位
物理地址: 14-5A-FC-2C-BC-73 或者 145A-FC2C-BC73 我这台的mac地址
1.查询方式(win10):找到网络的标识 右击打开网络和Internet设置 状态 更改适配器选项 找到对应的网卡 右击状态 详细信息
2.查询 win+r: ipconfig/all 用的十二位十六进制来表示 (介质访问控制层)
介质访问控制层在将二进制转化为电信号之前需要先给里面添加两个地址,一个SMAC,一个DMAC。
2冲突问题 垃圾 CSMA/CD---载波侦听多路访问技术/冲突检测----核心思路是排队
3.延迟问题
4.安全问题
交换机可以解决上述还存在的问题
交换机---二层设备 的作用:
0.提供端口密度
1.无限延长传输距离 能把电信号和二进制相互转化
2.完全解决冲突----所有节点可以同时收发数据
3.实现单播---一对一的通信 (mac地址表)-----泛洪
交换机的转发原理:数据来到交换机(以电信号的方式转化为二进制),交换机先看源MAC,将源MAC和数据进入接口的映射关系记录在MAC地址表中。之后看目标MAC,基于目标MAC去查看MAC地址表;如果表中 存在记录,则将记录从对应的接口转发出去 进行单播;否则,则进行泛洪 --- 除了数据进入的接口 外,将把数据向剩余所有接口进行转发。
交换机的一个接口可以对应多个MAC地址,但是,一个MAC地址只能对应一个接口。
MAC地址泛洪攻击 (构造虚拟mac地址 ,把mac地址表都给填满,别人给别人发信息,只能通过泛洪的方式,这样黑客可以得知一些信息 这样会产生DOS攻击和延迟 )
Mac地址表存在老化时间—300s
(每一个交换机像是一个孤岛)
路由器 (网络层)(三层设备)(连接孤岛)
应用层
表示层
网络层 路由器
介质访问控制层
物理层
路由器作用:
1.隔离泛洪范围---路由器的一个接口对应泛洪范围
2.转发
Ip地址能缩小泛红范围
Ip---互联网协议----ipv4----32位二进制 (43亿IP地址)-- 点分十进制
(不够用才有) Ipv6----128位二进制 (地球上每一粒沙子都有ip)--冒分十六进制
口号:万物互联
DAY 2
IP地址的查找方法:1.找mac地址一样
2. ipconfig
IPv4 地址 . . . . . . . . . . . . : 192.168.43.105(点分十进制)
本地链接 IPv6 地址. . . . . . . . : fe80::9426:33e5:b05e:1953%3
二进制到十进制
00000001 == 1
00000010 == 2
00000100 == 4
00001000 == 8
00010000 == 16
00100000 == 32
01000000 == 64
10000000 == 128
----------次方轴
十进制===二进制 凑
192
128 64 32 16 8 4 2 1
11000000
168
10101000
43
00101011
105
01101001
二进制 --- 十进制 --- 加
11001101
128 64 32 16 8 4 2 1
128+64+8+4+1=205
11000101.11001111.00010101.01110001
128+64+4+1=197
128+64+1+2+4+8=207
1+4+16=21
1+16+32+64=113
网络位:网络位相同,则代表在同一个泛洪范围
主机位:区分同一个泛洪范围不同主机
192.168.43.105
11000101.11001111.00010101.01110001
子网掩码 11111111.11111111.11111111.00000000 1是网络位 0是主机位
连续的0和1组成
Ping---检测网络联通性的工具,通过发送icmp协议的数据包 实现网络连通性的检测 echo
bytes 回的数据包的字节数
seq队列
ttl该字段指定的IP包被路由器丢掉之前允许通过的最大网段数量
time 延迟正常30ms到40ms
Arp协议 地址解析协议----通过一种地址获取另一种地址
48位二进制全是1的MAC地址 不会在现实用
广播:逼迫交换机泛洪
广播域==泛洪范围
广播地址---十二位全F
广播不等于泛洪
ARP的工作原理:ARP以广播的形式发送ARP请求包。所有收到广播包的设备会先记录数据 包源IP和源MAC的对应关系,记录在本地的ARP缓存表;之后看请求的IP,如果请求IP不是自己 本地的IP,则将该数据包直接丢弃;否则, 将以单播的形式回复ARP应答。在之后的数据 传输中,优先查看本地ARP缓存表中的记录,如果存在记录,则直接按照ARP缓存表中的 记录来发送;如果没有记录,则需要重新发送ARP请求。
ARP缓存表老化时间 --- 180S
arp -a --- 查看本地的ARP缓存表
ARP欺骗 ARP拒绝访问
ARP的分类
正向ARP : 通过IP地址获取MAC地址
反向ARP : 通过MAC地址获取IP地址 RARP
免费ARP : 利用正向ARP的工作原理请求自己的IP地址
1,自我介绍;2,检测地址冲突
IP地址的分类 A,B,C,D,E 五大类
A,B,C --- 单播地址(既可以做源IP使用,也可以做目标IP使用)
D --- 组播地址 --- 只能作为目标IP使用,不能作为源IP使用
E --- 保留地址
通讯方式
单播--一对一的通讯
组播--- 一对多(同一个组播组)------必须要配置组播环境
广播---一对所有(同一个广播域的所有)
A:0XXX XXXX---(0-127) 1-126 对应大型网络 A:255.0.0.0
B:10XX XXXX---(128-191) 对应中型网络 B:255.255.0.0
C:110X XXXX---(192-223) 对应小型网络 C:255.255.255.0
D:1110 XXXX---(224-239)
E:1111 XXXX---(240-255)
更改IP地址
打开网络适配器 找到网卡 右击属性 Internet协议版本4(TCP/IPV4)
1,127.0.0.1 - 127.255.255.254 --- 环回地址 主要可以用于测试
2,255.255.255.255 --- 受限广播地址 --- 只能作为目标IP地址使用---受路由器的限制
3,主机位全1 --- 192.168.1.x/24 192.168.1.255 ---- 直接广播地址 --- 只能作为目标IP使用
4,主机位全0 --- 192.168.1.x/24==192.168.1.0 /24--- 代表一个范围(192.168.1.1 -192.168.1.254) --- 网段 -- 网络号
5,0.0.0.0 --- 1,可以代表没有ip (dhcp);2,可以代表所有IP
6,169.254.0.0/16 --- 自动私有地址/本地链路地址
上不了网
ping自己的IP 可以ping通说明 这个广播域没有问题 问题在路由器上或者另一个广播域
要是ping网关ping 不通 看看ping一下在这个广播域里其他的电脑 如果能ping通 说明交换机没问题 问题在交换机到路由器
要是ping不同 应该是本机到交换机之间的问题
要是ping自己ping不同 就是自己的问题 (软件 硬件) 1.ping一下环回地址 要是ping的通 软件没问题 问题出现在物理网卡上 2.要是ping不同 软件有问题
两个技术
VLSM --- 可变长子网掩码 --- 子网划分
192.168.1.0/24 划分两个网段
192.168.1.0 0000000
192.168.1.0 0000000 /25 192.168.1.0/25 可用范围192.168.1.1 - 192.168.1.126
192.168.1.1 0000000 /25 192.168.1.128/25 可用范围192.168.1.129 - 192.168.1.254
172.16.0.0/16 --- 划分8个网段
CIDR—--无类域间路由----汇总网段用
取相同,去不同。(二进制)
172.16.0.0/24
172.16.1.0/24
172.16.2.0/24
172.16.3.0/24
172.16.0.0/22---------------------子网汇总
比子网掩码 短 超网
长 子网
DAY 3
OSI七层参考模型
OSI/RM--开放式系统互联参考模型 o--open s--system i--interconnection 开放式系统互联参考模型
1979年--ISO—国际标准化组织
OSI核心思想---分层---属于同一层的不同功能,具有相同或相似的目的和作用;每一层都在下一层提供服务的基础上再提高更高层次的服务,最上层提供的是人机交互的应用服务。
分层的作用:1.更易于标准化
2.降低层次之间的关联性,层次之间可以独自发展
3.更容易学习或理解
应用层--通过人机交互实现不同的服务
表示层---编码 解码 加密解密
会话层----维持主机网络应用和网络应用服务器之间的会话连接 会话层地址(建立 维持 终止会话进程)
传输层---实现端到端的通讯--应用到应用--端口号(传输层地址)---区分和标定不同的应用—16位二进制---------1—65535-----1-1023知名端口号 应用(HTTP是80 FTP是20/21 文件传输协议)(通过端口号区分不同的服务 数据分段 确认 重传 排序 流控) 1-1023 为著名端口号 0为保留端口号
1024-65535为高端口号动态端口号
网络层 通过ip地址进行逻辑寻址 路由器
数据链路层---MAC(介质访问控制层),LLC(逻辑链路控制层)---FCS(真校验序列-----看是否被篡改)---校验数据完整性---CRC(循环冗余算法)
物理层 定义电气电压接口规范光学特性
TCP/IP模型-------(传输层)
TCP/IP协议族----只是这两个最有名所有以它命名
TCP/IP四层模型--TCP/IP标准模型
TCP/IP五层模型--TCP/IP对等模型
PDU协议数据单元
L1PDU
L2PDU
。。。
L7PDU
应用层---报文
传输---段
网络---包
数据链路层---帧
物理层---比特流
封装和解封装
应用层---有端口号分装的 不是所有应用层都有端口号 (例如:区分qq号)
传输层---端口号---TCP UDP
网络层---IP地址---封装IP地址是IP协议
数据链路层—MAC地址---以太网协议—以太网(交换机组成的网络):早期局域网的解决方案,现在也在用在广域网当中。就是依靠MAC地址寻找的一二层网络
物理层—不需要分装
以太网二型帧
TYPE字段表示上一层所使用的协议类型
PREAMBLE前导符 区分每一个帧
FCS 确保数据完整性
应用层---HTTP超文本传输协议TCP 80 8080
HTTPS 安全 =HTTP+SSL/TLS(加密)---TCP 443
FTP --文件传输协议--提供互联网文件资源共享服务 需要登录 TCP 20/21
TFTP---简单文件传输协议----身份认证 只能上传和下载 UDP 69
telnet 远程登陆标准协议---TCP 23
SSH TCP 22
DHCP 动态主机配置协议----UDP 67/68
DNS 域名解析协议---UDP/TCP 53
有端口号的一定是应用层协议
传输层—端口号---TCP/UDP协议
TCP和UDP区别
-
TCP是面向连接的协议,UDP是无连接的协议;
-
TCP协议传输是可靠的,UDP协议传输是“尽力而为”;
-
TCP可以进行流控,UDP不行;
-
TCP可以进行数据分段,UDP不行
-
TCP传输速度较慢,占用资源较大,UDP传输速度较快,占用资源小
TCP和UDP的应用场景:TCP更适合对传输可靠性要求较高,但是对速度要求较低的场景,UDP更适合对速度要求较高,对可靠性要求较低的场景 (即时类通讯)
面向连接:在数据传输之前,先使用预备的协议建立点到点的连接,然后再传输数据的过程
传输层在数据前面增加头部 没有尾部 然而二层在数据前面有头部 后面有尾部
TCP包头 最短20字节
序号:排序 把每一段进行排序
选项 一般为零
tcp---可变长头部
URG--紧急标记位 紧急指针指向紧急的数据的最后一位
ACK--确认标记位
PSH--不经过等待 进程直接进行处理
RST--强制断开TCP连接
SYN--请求标记位
FIN--结束标记位
校验和---确保数据的完整性---伪头部校验---将网络层封装的12个字节的内容一起进行校验:32位源IP地址,32位目标IP地址,8位的协议号,8位的保留,16位的报文长度
UDP的头部长度-------8字节
TCP建立连接的过程 ---三次握手
TCP断开连接的过程----四次挥手
TCP的传输是可靠的-----确认机制,重传机制,排序机制,流控机制
滑动窗口 win=多少是可变的 目的最大传输数据
IP协议
ipv4----可变长头部
ttl----生存时间--数据包每经过一个路由器 TTL值将减一 当TTL值减到0时 数据包将不会被路由器转发,将直接丢弃。
协议--也是上一层用的协议 协议号 tcp(6) udp(7) icmp(1)
IP分片
数据分段
Mtu 最大传输单元 1500字节 数据链路层
Mss 最大段长度 1460字节 需要协商,当两方不同时,将按照小的一方执行(在三次握手中的前两次SYN包中进行协商)
DAY 4
GE ----1000Mbps=1Gbps
Ethernet---100Mbps
百兆口连百兆口 千兆口连千兆口
0/0/0
第一个数字跟你差板卡的位置有关
交换机不需配IP
先给路由器配IP
命令框 又叫 CLI界面 command line interface
华为根据配置权限的不同,将CLI界面分成了不同的视图
---用户视图---仅具有查看配置的操作,不能进行配置操作
display Ip interface brief---查看接口IP的简表
physical ---物理接口 如果up 代表该接口具备物理层面的通信条件
Protocol----如果up 代表该接口具备协议层面的通信条件
只有一个接口双up,才代表该接口可以完成通讯
system-view---进入到系统视图 [Huawei]---系统视图----可以进行一些全局类的配置
[Huawei]sysname aa-----修改路由器名称
[aa]
[aa]quit----退回上一个视图
q-----华为支持简写
CTRL+z----直接回到用户视图
[aa]interface GigabitEthernet 0/0/0---进入接口视图
[aa-GigabitEthernet 0/0/0]ip address 192.168.1.1 255.255.255.0---配置IP地址
[aa-GigabitEthernet 0/0/1]ip address 192.168.2.1 24
删除命令 undo..... 在命令前面加undo即可
display this ------查看已做的配置
[aa]display current-configuration 查看当前的配置操作--查看缓存中的配置
闪存---FLASH
display saved-configuration---查看闪存中的配置内容
帮助系统:
tab---可以补全命令
?---可以查看后续命令或者时后续可跟的参数
访问网络中的服务器
1.通过ip地址访问
2.通过域名来访问 dns 域名解析为ip
3.通过应用程序或APP来访问
DNS----域名解析协议----基于UDP/TCP 53端口传输数据
典型的c/s架构的协议 c:client 客户端 server 服务器
DNS客户端----通过域名上网的电脑
DNS服务器----完成域名解析的服务器
DNS的工作原理:上网前先根据域名去找DNS服务器查对应的IP地址,之后再根据IP地址访问服务器。
www.baidu.com ---从右往左,一个点号分割一个域名层次,层次逐渐降低范围逐渐精准
为配合这种层次化的域名结构,我们DNS服务器按照联机分布式数据库系统来部署
DNS服务器支持的查询方式---递归查询
迭代查询
电脑---(递归查询--UDP 53)--本地DNS服务器---(迭代查询 tcp 53)---跟服务器逐渐向下查询
DHCP---动态主机配置协议---使用的是UDP 67/68进行通信
典型的C/S架构协议------DHCP客户端 ------需要获取IP地址的设备---68端口
DHCP服务器----提供IP地址的设备--67端口
第一种场景:pc首次获取ip地址
1.DHCP客户端------DHCP服务器:以广播的形式发送 Discover--------广播
2.DHCP服务器-----DHCP客户端:DHCP-offer------单播/广播
offer包中会携带一个有效的ip地址,并暂时为DHCP客户端保留
3.DHCP客户端---DHCP服务器:DHCP-request包-------广播(当DHCP客户端获得多个DHCP-OFFER包时,将会选择第一个获取到的offer包中的IP地址作为请求IP)
4.DHCP服务器-----DHCP客户端:DHCP-ACK-----单播/广播
第二种场景:PC再次获取IP地址
1,DHCP客户端----DHCP服务器:DHCP---request包---广播
2,DHCP服务器------DHCP客户端:DHCP-ACK/DHCP-NAK 重复上面的情况 IP被人顶替
DHCP-Release----DHCP客户端主动释放IP地址
租期---24h
T1---租期的50%----12h-------DHCP客户端----DHCP服务器:DHCP-request包---单播
T2----租期的87.5%----21h-----DHCP客户端----DHCP服务器:DHCP-request包---广播
DHCP服务器的配置
1.开启DHCP服务
[Huawei]dhcp enable
2.创建一个地址池
[Huawei]ip pool aa
Info: It's successful to create an IP address pool. [Huawei-ip-pool-aa]
3.配置地址池
[Huawei-ip-pool-aa]network 192.168.1.0 mask 24----写入IP地址池种所有的网段
[Huawei-ip-pool-aa]gateway-list 192.168.1.1------配置网关
[Huawei-ip-pool-aa]dns-list 114.114.114.114 8.8.8.8 -----配置dns服务器 跟服务器
4.去接口选择全局配置
[Huawei-GigabitEthernet0/0/0]dhcp select global
路由器的作用
1、分隔广播域
2、转发
路由表
路由器的转发:当一个数据包来到路由器,路由器将基于数据包中的目标IP地址查询本地路由表,若表中存在记录,则将无条件按记录转发,若没有记录,则将直接丢弃该数据包
[Huawei]display ip routing-table ------查看路由表
Destination/Mask ---目标网段和掩码---目的地
Proto---协议,可以理解为该路由的类型
Direct 直连 路由器接口直接通过网线连接形成的网络---直连网段----直连网段对应的路由
NextHop ----下一跳--(经过路由器的一次转发称为一跳)数据下一个需要经过的路由器的入接口的IP地址
Interface---出接口---数据包发出的接口
直连路由:自动生成
条件:1.接口具备IP地址
2.接口双up
DAY 5
路由器和路由器之间的链路---骨干链路(总线链路)----骨干链路一般不放用户
路由器获取未知网段路由条目的方法:
静态路由:由网络管理员手写的路由条目。
动态路由:所有路由器上运行相同的一种动态路由协议,之后通过路由器之间的沟通,协商最终计算生成的路由条目。
直连路由
[r1]ip route-static 192.168.3.0 192.168.2.2---静态路由添加命令
192.168.3.0/24 Static 60 0 RD 192.168.2.2 GigabitEthernet0/0/1
PRE---优先级---当两条路由条目的目标网络相同时,仅加载优先级高的路由条目到路由表中。
注意:优先级数值越小,优先级反而越高。优先级的取值范围0-255
华为设备:直连路由优先级默认为0,静态路由优先级默认为60。
RD-该路由条目需要递归查找出接口 [r1]ip route-static 192.168.3.0 24 GigabitEthernet 0/0/1 192.168.2.2 加上出接口添加静态路由 这样写就是D
路由环路----很危险
TTL初始值有三种
64 128 255
拓展配置
1.负载均衡:当路由器访问同一个目标具有多条开销相似的路径时,可以让设备将流量拆分后沿多条路径同时传输,达到叠加带宽的效果。
192.168.6.0/24 Static60 0 RD 192.168.2.2 GigabitEthernet0/0/1 Static 60 0 RD 192.168.3.2 GigabitEtherneto/0/2
2.环回接口:路由器配置的虚拟接口。
实的不行,来虚的。
[r1]interface LoopBack0-创建环回接口 [r1-LoopBacko]
loonback可以0-1023
3.手工汇总:当路由器可以访问多个连续的子网时,若均通过相同的下一跳,可以将这些网段进行汇总计算,之后仅编辑到达汇总网段的静态路由即可,以达成减少路由条目,提高转发效率的目的。
4.路由黑洞
192.168.0.0/22 192.168.0.0/24 192.168.1.0/24 192.168.2.0/24 192.168.3.0/24
在汇总中,若包含网络内实际不存在的网段时,可能使流量又去无回,造成链路资源的浪费 合理的子网划分和汇总可以减少避免黑洞的产生。
5.缺省路由:一条不限定目标的路由条目;查表时,若本地所有路由均未匹配,则将匹配缺省路由。
一旦路由黑洞和缺省路由相遇,将100%出环
6.空接口路由:在黑洞路由器上,配置一条到达汇总网段指向空接口的路由。
1,空接口:null0口,路由器的一个虚拟接口,如果一条路由的出接口为空接口则代表将该流量丢弃。 2,路由表的匹配原侧:最长匹配原侧(精准匹配原则)
7.浮动静态路由:通过修改静态路由的默认优先级,实现静态路由的备份效果
[r1]ip route-static 192.168.2.0 24 21.0.0.2 preference 61---改变优先级[r1]display ip routing-table protocol static----过滤出static的协议
小技巧:
[ri]ping -a 可以指定源IP发送ping包 IPADDRSource Ip address used by PING [r1]ping -a 192.168.1.1 192.168.3.1 [r1-GigabitEthernet0/0/1]shutdown-------把这个接口关掉
DAY 6
4个换回(两个合并成一个)+1个(被划为6个的骨干 借三位)=5
192.168.1.0/24---分成五个 192.168.1.000 00000/27---骨干链路
192.168.1.000 000 00/30---192.168.1.0/30 192.168.1.000 001 00/30---192.168.1.4/30 192.168.1.000 010 00/30---192.168.1.8/30 192.168.1.000 011 00/30---192.168.12/30 192.168.1.000 100 00/30---192.168.16/30 192.168.1.000 101 00/30---192.168.20/30
192.168.1.00000000/30 192.168.1.00000000/30
192.168.1.001 00000/27---192.168.1.32/27-----R1环回
192.168.1.001 0 0000/28---192.168.1.32/28
192.168.1.001 1 0000/28---192.168.1.48/28
192.168.1.01000000/27---192.168.1.64/27----R2环回
192.168.1.010 0 0000/28---192.168.1.64/28
192.168.1.010 1 0000/28---192.168.1.80/28
192.168.1.01100000/27--192.168.1.96/27----R3环回
192.168.1.011 0 0000/28---192.168.1.96/28
192.168.1.011 1 0000/28---192.168.1.112/28
192.168.1.100 00000/27---192.168.1.128/27---R4环回
192.168.1.100 0 0000/28---192.168.1.128/28
192.168.1.100 1 0000/28---192.168.1.144/28
192.168.1.10100000/27 192.168.1.11000000/27 192.168.1.11100000/27
静态路由:由网络管理员手写的路由条目
动态路由:所有路由器上运行相同的一种动态路由协议,之后通过路由器的沟通,协商最终计算生成的路由条目。
静态路由
优点:1. 选路由管理员选择,相对更容易掌控
2.不需要占用额外的资源
3.更加安全
缺点:1.在复杂的网络环境中,配置量较大
2.一旦网络结构发生变化,静态路由不能基于拓扑的变化而变化(收敛---不能基于拓扑的变化而自动收敛)
动态路由
优点:1.可以基于拓扑的变化而自动收敛
2.部署简单,仅需在所有上运行相同的路由协议即可
缺点:1.路径由单一算法计算得出,不一定是最优路径,甚至可能出现环路
2.会额外占用路由器硬件资源和链路带宽资源
3.因为设备之间存在信息传递,所有,比较容易被利用产生安全问题。
总结
1.静态路由适合小型简单的网络环境
2.动态路由设用于复杂的网络环境中
AS----自治系统-----将网络分块管理-----由单一的机构或组织所管理的一些列IP网络及其设备所构成的集合
AS的管理---AS存在编号---由16二进制构成(0-65535)---现在也有拓展版的AS编号---32位二进制构成
AS的通信
AS内部通信所使用的协议----IGP(内部网关协议)-----RIP,OSPF,IS-IS,EIGRP(思科私有)等
AS之间通信协议----EGP(外部网关协议)-----BGP等
IGP根据算法进行分类 距离矢量型协议(DV)---路由器之间直接发送路由条目信息。----使用的算法:贝尔曼福特算法----(bellman-Ford算法)----“依据传闻的路由协议”----RIP 链路状态型协议(LS)---链路状态(LSA--链路状态通告)---使用的算法:SPF算法 最短路径优先算法---将图形结构转化为树形结构---ospf,is-is
RIP----路由信息协议
邻居---相邻的两个路由器可以直接通过直连网段进行通讯
Destination/Mask,度量值(Metric)----开销值(Cost)----动态路由重要的选路依据
开销值:当动态路由计算出多条到达相同的路径时,将比较他们的开销值,会选择开销值最小的加入到路由表中。
不同协议之间,比较优先级。 相同协议之间,比较开销值。
不同路由协议之间,他们的开销值的度量标准是不一样的。不同协议的开销值没有可比性,
RIP是以跳数作为开销值度量的
RIP支持等开销负载均衡
RIP的默认优先级---100(华为定义的)
RIP存在一个工作半径---15跳。当RIP收到一个目标网段路由的开销值为16跳时,则认为该网段不可达。
RIP在传递路由条目的数据包中所携带COST=本地路由表中该网段的开销值+1
Bellman-Ford算法
1,AR1收到AR2发送的2.2.2.0/24网段的路由信息,但是,AR1本地路由表中没有这条网段的路由信息;则直接将该路由刷新到AR1的路由表
Destination/Mask Proto Pre Cost Flags NextHop Interface
2.2.2.0/24 RIP 100 1 D 12.0.0.2 g0/0/0
2,AR1收到AR2发送的2.2.2.0/24网段的路由信息,但是,AR1本地路由表中有这条网段的路由信息,则看下一跳,本地路由表中的下一跳就是AR2;这种情况下直接将R2发送的路由信息刷新到路由表中。
3.AR1收到AR2发送的2.2.2.0/24网段的路由信息,但是,AR1本地路由表中有这条网段的路由信息,则看下一跳,本地路由表中的下一跳不是AR2;则比较开销值,若本地的开销值大于AR2发来的路由的开销值,则将AR2发的路由信息刷新到路由表中。
4.AR1收到AR2发送的2.2.2.0/24网段的路由信息,但是,AR1本地路由表中有这条网段的路由信息,则看下一跳,本地路由表中的下一跳不是AR2;则比较开销值,若本地的开销值小于AR2发来的路由的开销值,则不刷新AR2发的路由信息。
RIP 的版本
一共存在3个版本----RIPV1,RIPV2,RIPNG
RIPV1,RIPV2----IPV4
RIPNG----IPV6
RIPV1和RIPV2的区别 1,V1是有类别的路由协议,V2是无类别的路由协议 ( 类别就是有没有子网掩码)
V1在发送目标网段信息时,不携带子网掩码; V2在发送目标网段信息时,携带子网掩码。
2,V1不支持手工认证,V2支持手工认证---通过相同的口令完成身份认证
3,V1采用广播的形式发送信息;V2是通过组播的形式发送信息;----224.0.0.9
RIP传输层使用的是UDP协议,通信端口为520端口。
RIP的数据包
request----请求包
response---响应包(包含路由信息)---更新包
RIP在收敛完成之后,依然会每隔30s发送一个response包---RIP的周期更新
1.弥补RIP自身没有确认机制
2.弥补RIP自身没有保活机制
RIP的周期更新---异步周期更新
RIP的计时器----1,周期更新计时器---30S +-5s
2,无效计时器·180S·路由条目刷新后将启动一个180S的无效计时器,若计时器结束路由未刷新,则认为路由不可达。则将该路由从全局路由表中删除掉,并将该路由条目的开销值改为16,并且将其存放在缓存当中,之后周期更新的时候依然会携带。----带毒传输
3.,垃圾回收计时器--120S-无效计时器归0后,开始计时,120S时间到则将彻底别除该路由。更新时也不再发送。
RIP的破坏机制 1,触发更新---当网络拓扑结构发送变化时,第一时间将变化信息传递出去 2,水平分隔---从哪个接口学来的,不再从哪个接口发出去 3,毒性逆转---从哪个接口学来的,还从哪个接口发出去,但是带毒
因为毒性逆转和水平分割做法矛盾,所以只能二选其一。华为设备默认开启水平分割,但如果水平分割和毒性逆转同时开启,华为设备将按照毒性逆转的规则来执行。
RIP的配置 1,启动RIP进程
[r1]rip1----仅具有本地意义,区分多个RIP进程使用--(如果不带进程号,默认是1) [r1-rip-1]
2,选择RIP的版本
[r1-rip-1]version 1
3,宣告 宣告的要求:1,所有直连网段都需要宣告 2,必须按照主类宣告
[r1-rip-1]network 1.0.0.0
宣告的目的 1,激活接口了只有激活的接口才可以收发RIP的数据包 2,发布路由·只有激活的接口所对应的网段的路由信息才能发布出去
[ri]display rip 1 route
RIP的拓展配置 1,RIPV2的手工认证
[r1-GigabitEthernet0/0/0]rip authentication-mode md5 usual plain 123456
2,RIPV2的手工汇总
[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0
3,沉默接口
[r1-rip-1]silent-interface GigabitEthernet 0/0/1
4,加快收敛-修改计时器
[r1-rip-1 ]timers rip 30 180 120-修改计时器时不能修改他们的倍数关系
5,缺省路由
[r3-rip-1]default-route originate
ACL---访问控制列表---策略
配置了ACL的网络设备根据事先设定好的报文匹配规则,对经过该设备的流量按照规则进行匹配,对匹配 上的流量执行设定好的动作。
ACL的功能 1,访问控制:在路由器流量流入或者流出的接口上,匹配流量,然后执行设定好的动作。---permit(允许);deny(拒绝) 2,抓取感兴趣流:ACL和其他服务结合使用,ACL负责匹配对应的流量,而其他的服务对匹配到的流量执行相应的动作。(流量控制---ACL和Qos服务质量技术)
ACL控制列表的匹配规则 自上而下逐一匹配,匹配上,则按照对应的动作执行,不再向下匹配。 思科体系的设备,在ACL访问列表的末尾隐含了一条拒绝所有的规则 华为体系的设备,在ACL访问列表的末尾隐含了一条允许所有的规则
ACL的分类 基本ACL:仅关注数据包中的源IP(只看你是谁) 高级ACL:除了关注数据包中的源IP以外,还会关注数据包中的目标P,及协议和端口号。(不光看你是 谁,还要看你去哪,去干嘛) 二层ACL 用户自定义ACL
需求一:PC1可以可以访问3.0网段,但是PC2不行 基础ACL的位置原则:由于基础ACL仅关注数据包中的源P地址,故调用时应尽量靠近目标,避免对其他地址访 问误伤
1,创建ACL列表
[r2]acl ? INTEGER<2000-2999> Basic access-list (add to current using rules)---基础ACL编号 INTEGER<3000-3999> Advanced access-list (add to current using rules---高级 INTEGER<4000-4999> Specify a L2 acl group----二层 ipv6 ACL IPv6 name Specify a named ACL number Specify a numbered ACL [r2]acl 2000
2,在ACL列表中添加规则
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0---通配符----0对应位不可变,1对应位可变。0和1可以穿插使用 [r2-acl-basic-2000]rule permit source any---允许所有 [r2]display acl 2000---查看ACL列表 [r2-acl-basic-2000]rule6 deny source192.168.1.20.0.0.0--通过序号来添加规则 [r2-ac|-basic-2000]undo rule 6---按照序号删除规则
华为默认以5为步调自动添加规则序号,其目的时为了方便在中间插入规则。
3,接口上调用ACL列表
[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
切记:一个接口的一个方向上只能调用一张ACL列表
需求二:要求PC1可以ping通PC3,但是不能ping通PC4. 高级ACL的位置原则:由于高级ACL对流量进行精确匹配,可以避免误伤,所以,调用时应尽量靠近源,减少链路资源的浪费。
[r1]acl name xuqiu2 3000 ---通过重命名的方式创建ACL列表 [r1-acl-adv-xuqiu2]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
需求三:要求PC1可以ping通R2,但是不能telnet R2
telnet---远程登陆协议
带内管理---通过网络对设备进行管理控制
通过telnet/SSH管理设备
通过web进行设备管理
通过SNMP协议进行设备管理
带外管理---不需要通过网络对设备进行管理控制
通过console口进行管理
通过AUX接口进行管理
telnet实现远程登陆的两个必要条件
1,登录设备和被登录设备网络可达
2,被登录设备必须开启telnet服务
telnet----典型C/S架构的协议。登录设备扮演telnet客户端的角色,被登录设备扮演telnet服务器的角色。---TCP 23
路由器开启telnet服务的方法 1,进入aaa服务 [r2]aaa 专门存储和管理账号的地方 [r2-aaa] 2,创建登录用的用户名和密码 [r2-aaa]local-user admin privilege level 15 password cipher 123456 [r2-aaa] 3,定义该用户所对应的服务 [r2-aaa]local-user admin service-type telnet 4,开启虚拟的登录端口 [r2]user-interface vty 0 4-同时开启5个虚拟的登录端口 [r2-ui-vty0-4]
5,定义登录认证模式
[r2-ui-vty0-4]authentication-mode aaa
[r1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
开启telnet功能
win10 步骤:控制面版 程序-卸载程序 启用或关闭Windows功能 Telnet客户端
登录telnet
telnet 192.168.2.2 --- user password
[r2]display current-configuration--查看本地缓存表
DAY 7
OSPF
1,选路的好坏
2,收敛速度
3,占用资源大小
选路佳,收敛快,占用资源小
OSPF---开放式最短路径优先协议---典型的链路状态型协议
以带宽作为选路标准
RIP---RIPV1,RIPV2-----IPV4 RIPNG----IPV6 OSPF---OSPFV1(实验室阶段夭折了),OSPFV2----IPV4 OSPFV3---IPV6
RIPV2和OSPFV2的相同点和不同点
相同点 1,OSPFV2和RIPV2都是无类别的路由协议,都支持VLSM和CIDR 2,OSPFV2和RIPV2都是以组播的形式发送。 RiPV2--224.0.0.9 ospfv2--224.0.0.5和224.0.0.6
3,ospfv2和ripv2都一样支持等开销负载均衡
不同点:
RIP只能应用在小型的网络环境中,但是OSPF可以应用在中大型网络环境当中。
OSPF为了适应中大型的网络环境,需要进行结构化部署。---区域划分
如果一个网络中只包含一个ospf区域,则我们将这样的网络称为单区域ospf网络。
如果一个网络中包含多个ospf区域,则我们将这样的网络称为多区域ospf网络。
划分区域的主要目的:区域内部传递拓扑信息,区域直接传递路由信息。
区域边界路由器(ABR):同时属于两个区域,一个接口属于一个区域,而且至少有一个接口在区域0。区域直接可以有多个ABR,一个ABR可以属于多个区域
区域划分的要求:1,区域之间必须存在ABR
2,区域划分必须按照星型拓扑结构划分---所以区域都需要围绕骨干区域进行划分
为了方便管理,我们给ospf的区域怎加了编号标识---区域id(area ID)---由32位二进制构成--我们规定骨干区域的编号必须是区域0。
1,ospf的数据包类型
ospf一共有5种数据包
1,hello包---用来周期发现,建立和保活邻居关系的。
ospf的hello包默认是以10s为周期发送一个
ospf的失效判定时间为4倍的hello时间---死亡时间(dead time)
RID--用来区分和标识ospf网络中的路由器
1,全网唯一(ospf网络)2,格式统一(统一按照IP地址格式来定义)
RID的获取方法:1,手动配置---符合上述两个要求即可
2,自动生成---先从换回地址取最大的IP作为RID,若没有换回地址,则取物理地址中最大的IP作为RID。
1,hello包中会携带RID 2,DBD包---数据库描述报文---存储lsa(拼图)的地方---lsdb(链路状态数据库)---菜单 3,LSR包---链路状态请求报文---基于dbd包请求未知的LSA信息 4,LSU包---链路状态更新报文--真正携带LSA信息的报文 5,LSACK包链路状态确认报文
OSPF存在每30Min一次的周期更新。
2,ospf的状态机
two-way状态---双向通讯---标志着邻居关系的建立
(条件匹配)---条件匹配成功,则进入下一个状态,如果匹配失败则停留在邻居关系,使用hello包进行保活。
EXSTART状态---使用未携带数据的DBD包(为了和之前的邻居关系进行区分)
进行主从关系选举---通过比较RID,RID大的为主,可以优先进入下一个状态
full---转发状态---标志着邻接关系的建立。
邻接状态---邻接状态·主要目的是为了和前面邻居状态进行区分。邻接关系之间才能真正的进行LSA信息的交换。而邻居之间仅使用hello包进行保活。
*down状态---启动ospf,发出hello包,进入下一个状态
*init(初始化)状态--收到hello包中包含本地的RID,进入下一个状态
*two-way(双向通信)状态---标志着邻居关系的建立
(条件匹配)匹配成功,则进入下一个状态;失败则停留在邻居状态,仅hello包保活。
*exstart(预启动)状态---使用未携带数据的DBD包(为了和之前的邻居关系进行区分),进行主从关系选举---通过比较RD,RD大的为主,可以优先进入下一个状态
*exchange(准交换)状态----使用携带目录信息的DBD包进行目录共享
*Loading(加载)状态---查看对端发送的DBD包与本段LSDB数据库中的LSA信息进行对比,基于未知的LSA信息,使用LSA包请求,邻居使用LSU包进行回复,需要ACK确认。
*FULL(转发)状态---交换完成后进入,标志着邻接关系的建立。
3,ospf的工作过程
启动配置完成后,ospf将向本地所有运行协议的接口以组播224.0.0.5发送hello包;hello包中携带本地的RID及本地已知的邻居的RID。之后,将收集到的邻居关系记录在一张表中---邻居表。 邻居表建立完成后进行条件匹配。匹配失败则停留在邻居关系,仅使用hello包进行保活。 匹配成功,则开始建立邻接关系。首先,使用未携带数据的DBD包进行主从关系的选举。之后使用携带数据的DBD包共享数据库目录。之后,本地使用LSA/LSU/LSACK数据包获取未知的LSA信息。完成本地数据库的建立。生成数据库表。---LSDB 最后,基于本地的链路状态数据库,生成有向图及最短路径树,之后计算本地到达未知网段的路由信息,将生成的路由添加到路由表中。 收敛完成,hello包依然会10S一次进行周期发送,周期保活。每30Min进行一次周期更新。
特殊情况 网络结构发送突变:
1,新增一个网段:触发更新,直接发送携带LSA信息的LSU包进行更新,需要ACK确认
2,断开一个网段:触发更新,直接发送携带LSA信息的LSU包进行更新,需要ACK确认
3,无法沟通-------40s死亡时间
4,OSPF的基本配置
1,启动OSPF进程
[r1]ospf 1 router-id 1.1.1.1 -----1是进程号
[r1-ospf-1]
2,创建区域
[r1-ospf-1]area 0
[r1-ospf-1-area-0.0.0.0]
3,宣告 宣告的目的:激活接口,发布路由
[r1-ospf-1-area-0.0.0.0]network 12.0.0.1 0.0.0.0--反掩码(0代表不可变,1代表可变)(由连续的0和1组成) [r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.255[r1]display ospf peer----查看ospf的邻居表
[r1]display ospf peer brief---查看ospf的邻居简表
[r1]display ospf lsdb--查看ospf的链路状态数据库
[r1]display ospf lsdb router 1.1.1.1---查看一条具体LSA信息的
[r1]display ip routing-table protocol ospf---查看协议为ospf的路由信息
华为设备ospf的默认优先级为10
ospf是以带宽为cost值的评判标准
cost值=参考带宽/真实带宽--------带宽类似于马路 越大越好
华为设备参考带宽的默认值是100Mbps、
[r1-ospf-1]bandwidth-reference 1000---修改参考带宽的方法
注意:一台路由器的参考带宽修改了,所以路由器的参考带宽都需要修改成一样的。
条件匹配
指定路由器---DR 备份指定路由器-----BDR
DR BDR都是临接关系
想要看到邻居关系,必须要4台路由器及以上
剩余的路由器---Drother
DR BDR DROTHER 是一个接口
条件匹配:在一个广播域中,如果所有设备都保持邻接关系,可能会出现大量的重复更新,所以需要DR和BDR的选举;所有非DR和BDR的设备之间仅保持邻居关系。
DR/BDR的选举规则:
1,先比较优先级:优先级大的为DR,否则为BDR
优先级初始默认都为1;
[r1-GigabitEthernet0/0/0]ospf dr-priority ?
INTEGER<0-255> Router priority value----优先级的取值范围0-255
如果优先级设置为0.则代表该接口放弃DR BDR的选举
2,当优先级相同时,则比较RID,RID大的路由器所对应的接口为DR,次大的为BDR.
DR/BDR的选举是非抢占模式,一旦DR和BDR选举完毕后,不会因为新加入的设备而重新选举,选举时间最长为40s。
reset ospf 1 process---重启ospf进程,在用户视图下
5.OSPF的拓展配置
1,手工认证
ospf authentication-mode md5 1 cipher 123456
1--代表的是key ID,需要确保两端的key ID相同即可
2,手工汇总---OSPF区域之间传递路由信息可以进行汇总,所以实际上是区域汇总
[r2]ospf
[r2-ospf-1]area 0
[r2-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0 255.255.254.0---r2本身不汇总,传给别人是汇总后的
3,沉默接口
[r1-ospf-1]silent-interface GigabitEthernet 0/0/1
4,加快收敛---减少计时器
[r1]int g0/0/0
[r1-GibabitEthernet0/0/0]ospf timer hello 5--修改hello时间
注意:邻居之间的hello时间必须一致,否则将无法建立邻居关系
hello时间修改之后,死亡时间将自动按照四倍关系进行匹配
5,缺省路由
[r3-ospf-1]default-route-advertise---在边界路由器上下发缺省信息(OSPF要求边界路由器自己有缺省才能下发缺省)例如:[r3]ip route-static 0.0.0.0 l0
[r3-ospf-1]default-route-advertise always---在边界路由器上没有缺省路由时,可以添加always来强制下发缺省路由
DAY 8
VLAN
V-虚拟
LAN--局域网---地理覆盖距离较小的网络
MAN--城域网
WAN--广域网
VALN中的LAN指的是广播域
VLAN---虚拟局域网---交换机和路由器协同工作后,将原来的一个广播域,逻辑上切分为多个虚拟的广播域。
IEEE---802.1Q标准=dot1q
VID---VLAN ID--用于区分和标定不同的VLAN.VID由12位二进制构成 2的十二次方为4096 取值范围 0-4095 0和4095作为保留 1-4094
display vlan-查看vlan
display mac-address--查看mac地址表
第一步:创建VLAN
[Huawei]vlan 2---创建单个VLAN
[Huawei]vlan batch 4 to 100---批量创建vlan
[Huawei]undo vlan batch 4 to 100---批量删除vlan
第二步:将接口划分到VLAN中
[sw1-GigabitEthernet0/0/0]port link-type access
[sw1-GigabitEthernet0/0/0]port default vlan 2
划分多个接口到一个vlan--可以创建接口组
[sw1]port-group group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/4
[sw1-port-group]port link-type access
[sw1-port-group]port default vlan 3
VID配置映射到交换机的接口,实现VLAN的划分---一层VLAN/物理VLAN
VID配置映射MAC地址,来实现VLAN的划分---二层VLAN
数据帧中类型字段标识是上层协议类型,和VID进行映射,来区分VLAN范围---三层VLAN
交换机的转发原理:数据通过接口来到交换机,交换机先记录源MAC地址和接口的映射关系,顺便将接口对应的VID进行记录。之后,看目标MAC地址,若目标MAC地址在MAC地址表中有记录且VID和源MAC对应的VID相同,则进行单播;否则进行泛洪,泛洪范围为VID与源MAC对应的VID相同的接口。
因为以太网二型帧没有添加标签的位置,所以802.1Q规定,在源MAC地址和type字段之间增加4个字节的tag(标签)(一定包含12位的VID)。这样新的帧结构我们称为802.1Q帧或者tagged帧。将没有打标签的帧称为untagged帧。
我们把交换机和计算机之间的链路称为ACCESS链路,ACCESS链路只能通过untagged的帧,并且,这些帧只能属于某一个特定的VLAN。我们把交换机和交换机之间的链路称为trunk链路(trunk干道),trunk干道中允许通过tagged帧,且这些帧可以属于多个VLAN。
第三步:配置trunk干道(sw-sw。sw-R)
[sw1-GigabitEthernet0/0/5]port link-type trunk---先定义链路类型
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3---放通vlan流量
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan all ---放通所有流量
第四步:VLAN间路由---单臂路由
路由器的子接口----路由器的虚拟接口----将路由器的一个物理接口逻辑上划分为多个虚拟的子接口
[Huawei]int g0/0/0.1
[Huawei-GigabitEthernet0/0/0.1]---创建子接口
配置子接口
[Huawei-GigabitEthernet0/0/0,1]ip add 192.168.1.254 24---给子接口配置IP地址
[Huawei-GigabitEthernet0/0/0,1]dot1q termination vid 2---定义子接口管理的VID
[Huawei-GigabitEthernet0/0/0,1]arp broadcast enable---开启ARP广播
NET
在IP地址空间中,A,B,C三类地址中各有一部分地址,他们被称为私有地址(私网IP地址),其余的所有地址都被称为公有地址(公网IP地址)
A:10.0.0.0-10.255.255.255----相当于一个A类的网段
B:172.16.0.0-172.31.255.255---相当于16条B类网段
C:192.168.0.0-192.168.255.255---相当于256条C类网段
私网IP地址-----可复用性(仅保持私网内部的唯一性即可)---不能在互联网中使用
我们将使用私网IP地址搭建的网络称为私网,将使用公网IP地址进行通讯的网络称为公网。
NAT技术----网络地址转换技术---他的基本作用就是实现私网IP地址和公网IP地址之间的一个转换。
路由器上有LAN口和WAN口
LAN口配的是私网IP地址
WAN口--广域网---连接ISP路由器(公网)
华为设备,所有NET相关的配置,都是在边界路由器的出接口上进行配置的。
静态NAT
动态NAT
NAPT
端口映射
静态NET(一对一):通过配置在私网边界路由器上建立维护一张静态地址映射表。静态地址映射表中,记录的是公网IP地址和私网IP地址之间一一对应的关系。
[r2-GigabitEthernet0/0/2]nat static global 12.0.0.3 inside 192.168.1.2
1,必须和公网IP在同一个网段
2,这个IP地址一定是你花钱问ISP买来的
12.0.0.3被称为漂浮地址
[r2]display nat static---查看地址映射表
动态NET---多对多的NET
1,创建公网IP地址组
[r2]nat address-group 1 12.0.0.4 12.0.0.8---一定买的是连续的公网IP地址
2,通过ACL来抓取私网IP流量
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
3,将公网IP组和ACL抓取的流量绑定
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 no-pat
动态NAT在同一时间内,依然是一对一的NAT。当上网需要量过大时,延迟会较高。
NAPT---网络地址端口转换(一对多的NAPT---EASY IP)------PAT
1,抓取私网流量
[r2]acl 2001
[r2-acl-basic-2001]rule permit source 192.168.0.0 0.0.255.255
2,配置EASY IP
[r2-GigabitEthernet0/0/2]nat outbound 2000
端口映射
[r2-GigabitEthernet0/0/2]nat server protocol tcp global 12.0.0.1 80 inside 192.168.1.10 80
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
Warning:The port 80 is wel l-known port.If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y