第一天(拓扑、OSI、封装、每层的设备、线缆、路由器配置、路由器组成与启动、路由器安全)
1:网络前言
组建一个网络之前要考虑很多因素:费用、安全、网速、拓扑、可伸缩性、可靠性、可用性
建立一个网络需要组件:计算机(运行有操作系统的:PC、文件服务器)、联网设备(交换机、路由器、防火墙)和介质(光纤、网线)
2:网络拓扑结构
前言:
用线缆、设备构建一个网络的时候,可以有各种类型的拓扑,所谓拓扑就是指设备之间的连接方式:
点对点(point to point topology):需要将很多设备链接在一起时不常见
总线型(bus topology):所有的设备通过一条线路进行通信
星型(Star Topology):用于链接许多设备的环境,不过中心设备的压力会很大,存在单点故障。解决办法:扩展性的星形拓扑。
扩展的星型(Extended-Star Topology):多个星形拓扑的组合,优点是减弱了中心设备的责任。
单环型(Ring Topology):为了解决单点故障
双环型(Dual-Ring Topology):应用于冗余备份
全互联(Full-Mesh Topology):容错能力强大,费用昂贵
部分互联(Partial-Mesh Topology):只是核心设备进行互联,在容错和费用间均衡
3:OSI参考模型
前言:
OSI参考模型具有层次化,优点:
简化了相关的网络操作;
提供不同厂商之间的标准接口;
使各个厂商能够设计出相互操作的网络设备;
把复杂的网络问题分解为小的简单问题,易于学习和操作。
第七层:应用层:提供人与应用程序交互的界面(登陆QQ时的窗口。)
第六层:表示层:定义信息是如何通过用户正在使用的界面传输并呈现给用户。还可以提供加密以保护来自于应用层的数据信息。
第五层:会话层:负责启动链接的建立和终止,区分多个链接,负责对应用层、表示层和会话层出现的任何错误进行报告。操作系统就在此层次。
第四层:传输层:建立、维持、终止两个设备之间的会话连接,提供可靠(TCP、三次握手:差错侦测、差错校正)或不可靠(UDP:只有差错侦测,实现实时数据)的连接;
第三层:网络层:定义第三层地址;寻找到达目的地的最佳路径;跨区域进行协商。
第二层:数据链路层:定义了在单个链路上如何传输数据,提供了物理地址/硬件地址,提供无连接和面向连接的服务;协商两端设备的0、1比特的一致。
第一层:物理层:定义设备接口的类型、连接设备之间的线缆的类型;对传输的信息进行电信号与模拟信号之间的转换,在两个网络设备之间提供透明的比特流传输。
4:封装和解封装
这七层是为了帮助我们理解数据传送到远程设备时所经历的传输过程,数据传输的过程分为封装、解封装两个过程:
每一层使用自己层的协议和别的系统的对应层互相通信,协议层的协议在对等层之间交换的信息叫协议数据单元。
5:TCP/IP协议栈
6:每层设备
7:线缆
T:双绞线 F:光纤 X:双工方式
光纤(玻璃纤维):多模是红外光谱;单模是激光
直通线:不同种设备之间互联(路--交)(网线两头的水晶头里的线颜色要对应好)
交叉线:同种设备之间互联(路--路;交--交;路--PC)
8跟铜丝的网线,在这8根丝中,只有4根是传数据用的,其它4根线只是为了消除电磁干扰。在4根传输数据的线当中,有2根是用来发送数据的,有2根是用来接收数据的。发送数据的那2根线一定要和对端接收数据的连。所以电脑之间用交叉线。但现在很多交换机是自适应的,内部会自动切换收、发电路。所以用这2种线都可以。
实际工作中可以看设备端口号后面有没有X,都有或者都没有——>交叉线
8:配置路由器
1.登录方式:console口、AUX远程拨号、telnet、web形式
2.真机操作:连接电脑和路由器的console口、secureCRT软件、quickconect、serial、选端口(转接口的端口)、波特率9600、connect。
3.介绍TAB键、错误情况、^、命令提示符
4.命令:
Router> 用户模式,查看
Router>en
Router# 特权模式,查看、保存、
Router#conf t
Router(config)# 全局配置模式
Router(config)#int fa 0/0
Router(config-if)# 接口模式
Router(config-if)#ip add 192.168.1.1 255.255.255.0 对接口配IP
Router(config-if)#exit 逐层退出
Router(config-if)#end 直接回到特权模式
Router#sh ip int brief
*思科路由器的每个接口,在默认情况下是关闭的
9:路由器的组成
RAM(内存):随机存取存储器,存放我们当前的配置,掉电即丢。
R1#dir system:
NVRAM/Configuration Register:非易失性随机访问存储器,是指断电后仍能保持数据的一种RAM。存放有以保存的配置文件
R1#show startup-config
寄存器值:影响路由器启动过程的一个值,作用:0x2102 正常,从flash中加载IOS,并且从NVRAM中读取配置文件 0x2142 从flash中加载IOS,但不从NVRAM中读取保存的配置
查看寄存器值:show version
ROM:只读存储器,工作过程中只能读出,而不像随机存储器那样能快速地、方便地加以改写,存放有引导程序 Flash(硬件):IOS操作程序
R1#show flash:可以查看IOS
CPU
Interface:
10:路由器的启动
1.加电自检
2.加载引导程序
3.寻找IOS镜像--FLASH
4.加载IOS镜像--RAM
5.寻找配置文件--NVRAM
6.加载配置文件--RAM
7.正常启动
11:路由器的安全
硬件威胁:防盗
环境威胁:保持干净(温度、湿度)
电力威胁:尽量不要断电!UPS不间断电源,防止意外断电
配置威胁:密码
1.路由器第一道防线:console 0密码(即对线路密码,插入线即要输密码):
R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#login
2.路由器第二道防线:远程登录密码
R1(config)#line vty 0 4
R1(config-line)#password ccie
R1(config-line)#login
3.路由器第三道防线:enable密码
R1(config)#enable password ccna
R1(config)#enable secret ccnp 明文加密
*当enable password & enable secret同时共存时,enable secret生效,演示现象
R1(config)#service password-encryption 对所有明文密码加密
R1(config)#no service password-encryption
*密码加密服务一旦打开,即使后期关闭,被加密的密码信息也无法被还原(单项加密,慎重使用!)
配标语(庄重严肃警告):
R1(config)#banner motd "××××"
*以第一个符号为起始符和终止符!
12:远程登录
一、Telnet远程登录(被访问者的线路、enable密码都要先配置好,否则无法登录)
Telnet核心配置:
PC>telnet 192.168.1.1
若没有线路密码,就无法登录!
R1(config)#line vty 0 4
R1(config-line)#password ccie
R1(config-line)#login
删除login后的现象、使用本地用户名和密码
R1(config)#username jiance password ccna
R1(config)#line vty 0 4
R1(config-line)#login local
PC>telnet 192.168.1.1
R1会要求输入用户名和密码
Login像防盗门,password像钥匙
SSH核心配置:(保护对IOS设备的远程访问,SSH流量加密)
1.修改hostname
R1(config)#host R1
2.给路由器新建一个域名
R1(config)#ip domain-name cisco.com
3.给路由器新建一个用户名和密码(共后续SSH登录时验证使用)
R1(config)#username ccie password ccie
4.用上述的hostname和域名形成RSA加密密钥(对称加密)
R1(config)#crypto key generate rsa
5.VTY线路配置:
将连接进入配置的远程登录协议限制为SSH
R1(config-line)#transport input ssh
6.将vty线路的认证设置为利用本地数据库进行验证(即用username、password组合进行验证)
R1(config-line)#login local
对被访问者设置enable密码
利用PC等终端测试SSH的有效性:ssh -l ccie 192.168.1.1
13:路由器的破密码
原理:
利用路由器的启动顺序)
25系列以上
*路由器正常的配置寄存器的值:加载配置:0x2102(通过修改该值) 不加载配置:0x2142
1.关机、重启
2.路由加载过程中,按住break键(ctrl Fn break),将路由器引导到rommon模式
3.Rommon 1>confreg 0x2142,修改配置寄存器的值
4.Rommon 2>reset,重启
5.Router#copy start-config running-config,启动完成后,计入特权模式
6.删除、修改密码
注意:如果是在实际工程环境中,完成上述工作后,还需要做两件事情。
1. 修改完密码后,需要保存配置,否则之前的密码还是放在配置文件中;
2. 把配置寄存器的值修改为0x2102,因为如果是0x2142 的话,下次路由器的配置文件不会被加载。
在正常的IOS 中修改配置寄存器的值如下:
7.Router(config)#config-register 0x2102(将配置寄存器的值再改回来)
8.Router#copy running-config start-config
9.保存配置,重启配置
25系列
1.关机、重启
2.路由加载过程中,按住break键(ctrl Fn break),将路由器引导到rommon模式
3.Rommon 1>o/r 0x2142,修改配置寄存器的值
4.Rommon 2>reload 重启
之前的一样。
第二天(以太网组成、SW工作原理、VLSN、TRUNK、VTP、SW安全、SW破密码)
3:LAN介绍
1.LAN使用的组件
线缆(cable):局域网的距离扩展通常需要通过线缆来实现,不同的局域网有不同连接线缆,如光纤(fiber)、双绞线(twisted pair)、同轴电缆等。
网卡(NIC,Network Interface Card)插在计算机主板插槽中,负责将用户要传递的数据转换为网络上其它设备能够识别的格式,通过网络介质传输。
集线器(Hub)是单一总线共享式设备,提供很多网络接口,负责将网络中多个计算机连在一起。
交换机(Switch)它同样具备许多接口,提供多个网络节点互连。但它的性能却较共享集线器大为提高,交换机还具备集线器欠缺的功能,如数据过滤、网络分段、广播控制等。
路由器(Router): 路由器是一种用于网络互连的计算机设备,它工作在 OSI 参考模型的第三层(网络层),为不同的网络之间数据的转发寻找路径。
协议:以太网,IP,ARP,DHCP
2.LAN的功能
3.提供数据和应用程序
4.资源共享
5.提供去往其他网络的通信路径
3.以太网的发展
LAN中所用到的技术有ethernet和IEEE802.3
1973年有Xerox公司研发出了以太网的雏形,到了1982年由DIX:DEC公司INTEL公司XEROR施乐公司三家公司进行了标准化,当时的传输速度有10M/s。直到2002年,由IEEE组织重新制定了一个IEEE802.3标准,由于ethernet技术比较成熟,现在我们用得最多的也就是ethernet。
4.CSMA/CD
我们说二层-数据链路层有交换机和集线器两个主要设备,在早期的网络中主要是集线器,集线器的工作原理比较简单,当然也存在着很多不足,集线器组成的网络叫做共享式以太网,存在的缺点就是许多主机共享这条线路,多台主机同时发送数据时就会出现很多冲突,数据产生冲突,给我们的直接影响是出具出错或者网速很慢很慢,为了解决这个问题,有一种技术叫做CSMA/CD载波侦听多路访问冲突检测。
A.工作原理:
载波侦听:监听这条线路是否有人使用
多路访问:所有设备用相同的线路去传输
冲突检测:如果有人使用就等待,多人同时发,所有人同时发,百兆的传输介质一般只有二十兆的传输速率
3:交换机
局域网中交换机是非常重要的网络设备,负责主机之间快速的数据转发。
工作原理:
依靠MAC地址转发数据帧,在交换机内部,存放着MAC地址表,交换机就是依赖于MAC地址表进行转发的。当交换机收到一个数据帧的时候,交换机会将该数据帧的源MAC地址以及收到该数据帧的接口写入自己的MAC地址表中,当交换机收到一个目标MAC不明确的数据帧(MAC地址表中没有目标MAC的条目),交换机会在所有接口发送该数据帧(广播、泛洪)。
MAC
这里涉及到一个重要的概念-MAC地址,是用于数据链路层数据转发时寻找路径用的,MAC地址固化到我们设备的网卡上,理论上是MAC不会重复,是全球唯一的。
MAC地址的长度是48bite,并且以十六进制数表示,0~9和A~F,8个bite为一个字节共6个字节,为了方便读取,我们通常采用点隔开十六进制数,例如:FFFF.FFFF.FFFF或者FF:FF:FF:FF:FF:FF
MAC目的地址的类型:
广播:所有的
组播:一组设备
单播:一台设备
双工方式:
半双工:设备可发送、接受数据,不能同时进行。用于共享介质连接的网络
全双工:同时收发
网桥支持半双工,交换机支持两者
CSMA/CD只能工作在半双工状态。
查看交换机的MAC地址表
Sw1#sh mac-address-table 查看
4:VLAN
VLAN的优点:
具有灵活性:打破了每个部门必须住在一个固定的区域,一个交换机上可以有对个VLAN,一个VLAN 也可以跨越多个交换机,VLAN 不够到地里范围的限制
将网络分段:一个VLAN就是一个独立的逻辑网段,
提高了安全性:不同的VLAN配置了不同的逻辑网段,那么需要路由器来连接并进行VLAN之间的通信,我们可以在路由器上做很多安全的策略
为组织设计VLAN:
VLAN 的设计必须考虑好如何实施分层的网络编址,分层编址的好处有:
易于管理同时易于排出故障:我们在分配地址时,基本上会分配连续的地址,这样方便与网络管理以及可以及时找出错误所在。
将错误量最小化:层次化编址还可以减少重复分配等等
可以减少路由条目:
园区网架构的模型:
接入层:(1900、2900、2960系列)
汇聚层:(3550、3560、4503系列)
核心层:(3550、3560、4503、6509系列)
成员关系:
(1)静态VLAN: 手动把接口放到某个VLAN中。
(2)动态VLAN:利用VMPS服务器,将PC的MAC地址和VLAN绑定。
(3)语音VLAN:自动识别语音数据
5:Trunk
(1)作用:在交换机之间,传递多个VLAN的数据
(2)如何识别不同的VLAN数据?
a.思科私有ISL:(NP)
b.国际标准802.1Q:VLAN Tag:在以太网的数据帧之间插入VLAN Tag
Sw1(config-if)#switchport trunk encapsulation dot1q 规定Trunk封装,NA只是用的是2950交换机,默认是dot1Q.
Sw1(config-if)#switchport mode trunk 确认Trunk,手工强做成Trunk
Sw1#show interface trunk 确认接口是trunk模式
链路两端的封装一定要一致,(802.1Q-802.1Q;ISL-ISL);
两端的NATIVE VLAN要一致;一般把流量较大的接口划入native vlan中!
划分VLAN:
Sw1#show vlan brief
Sw1(config)#vlan 100
Sw1(config-vlan)#name teacher改VLAN名字
将接口放入VLAN中
确认端口模式(ACCESS)
Sw1(config-if)#switchport mode access
将接口划到相应的VLAN
Sw1(config-if)#switchport access vlan 100
Sw1(config)#int range fa 0/1 - 10,fa 0/18对一些端口同时进行操作
Sw1(config)#no vlan 100
删除VLAN之前,要确认VLAN下没有接口,把已有的接口放到其他的VLAN内,否则sh vlan brief将看不到相应的接口,虽然不影响对这些接口的其他操作。
交换机重启后,即便之前没有保存VLAN,VLAN依然存在。
6:VTP
思科私有的
三种模式:
服务器:
可以添加、删除和更改VLAN
学习/转发相同域名的VTP消息
VLAN信息写入NVRAM
客户端:
不可以添加、删除和更改VLAN
学习/转发相同域名的VTP消息
VLAN信息不写入NVRAM
透明模式:
可以添加、删除和更改本地VLAN
不学习只转发相同域名的VTP消息
VLAN信息写入NVRAM
条件:
a.Trunk必须正常
b.所有交换机必须处于同一个VTP的域名下,且域名是大小写敏感。
默认情况下,域名为空NULL,只有当服务器域名从空到有时开始传输VLAN信息。
VTP在默认情况下,是开启的。交换机默认的VTP的模式都是Server.
Sw1#sh vtp status查看VTP信息
Sw2(config)#vtp mode client
Sw1(config)#vtp mode transparent
Sw1(config)#vtp domain Cisco
VTP到底是谁同步谁,与VTP的模式无关,服务器也可以从客户端学习,而与配置版本号有关
configuration revision大的去同步小的;
每对VLAN做一次操作,不论是添加,删除还是修改,configuration revision都 1
VLAN更新信息有两种形式:5分钟定时更新 只要存在VLAN信息的变化立即触发更新
VTP修剪:
通过阻止不必要的数据泛洪来节约可用的带宽,默认关闭
6:交换机的安全
硬件威胁:防盗
环境威胁:保持干净(温度、湿度)
电力威胁:尽量不要断电!UPS不间断电源,防止意外断电
配置威胁:密码
7:交换机破密码
1、设置交换机加密并保存配置
Switch#copy running-config startup-config
Switch#reload 重起交换机。当交换机重起时,按住交换机前面板的Mode 键不放
2.修改启动文件名
switch: flash_init-------------------初始化flash 。
switch: dir flash:-------------显示flash 中的文件
3.修改配置文件名
switch: rename flash:config.text flash:config.old 将启动配置文件改名,这样交换机启动时就读不到 config.text 了,从而没有了密码。
4.重启交换机
switch: boot--------------引导系统,这时不再按住Mode 键了。
5.修改密码
Switch>en
Switch#show flash
2 -rwx 1193 Mar 01 1993 00:01:20 config.old 启动文件名被修改所以不会被加载。
Switch#rename flash:config.old flash:config.text 将启动的文件名改回到正常的文件名。
Switch#copy flash:config.text running-config
Switch(config)#no enable password-----------删除密码。
Switch(config)#line con 0
Switch(config-line)#no password-------------删除控制台的密码。
Switch(config-line)#no login----------------不要求密码验证。
6.保存配置文件
Switch#copy running-config startup-config 将密码删除后的配置文件保存。
Switch>en
Switch# 很明显没要求密码验证。密码已被删除。
CDP
思科发现协议,思科私有的
1.作用:用来发现和思科设备直接相连的其他思科设备的信息;(思科设备在默认情况下,CDP都是开启的)
2.命令:
Sw1#sh cdp neighbors
Sw1#sh cdp neighbors detail
*实际应用中,安全起见,最好把全网的CDP关闭!!!
Sw1(config)#no cdp run
Sw1(config-if)#no cdp enable
*先开接口后改名字,邻居会学到重复的信息,要等holdtime结束
IOS备份升级
备份IOS到服务器上
说明:给接口、PC配地址,IOS以.bin文件保存在路由器的FLASH内,
Router#show flash:
3 5571584 c2600-i-mz.122-28.bin
Router#copy flash: tftp:
Source filename []? c2600-i-mz.122-28.bin
Address or name of remote host []? 192.168.1.2
Destination filename [c2600-i-mz.122-28.bin]?
Writing c2600-i-mz.122-28.bin!!!!!!!!!!!!!!
升级IOS:
过程与备份相反
Router#copy tftp: flash:
Address or name of remote host []? 192.168.1.2
Source filename []? c2600-i-mz.122-28.bin
Destination filename [c2600-i-mz.122-28.bin]?
Writing c2600-i-mz.122-28.bin!!!!!!!!!!!!!!
网络层
网络层主要实现的内容是:
1.定义用于网络层的逻辑地址;
2.基于逻辑地址寻找到到达目的设备的路径;
IP的特点
1.在网络层;
2.无连接,即不可靠;
3.数据包是独立处理(一个一个处理);
4.层次化的编制;
5.尽力而为发送;
6.没有数据恢复的功能;
1.IP Address
1.由网络位、主机位组成,IP地址+子网掩码:确定网络位!!
2.PDU:version:IPv4:点分十进制;
3.TTL(time to live):防止包被无休止的传输(包每经过一个路由器TTL减1,当其为0且包还未达目的时,该包就被丢弃。TTLmax=255)
4.IP空间大小:IPv4:2^32;
5.IP分类
A类:0xxx xxxx(第1个八位位组的第1个比特为0,默认情况下,前8位为网络位,后24位为主机位)
B类:10xx xxxx
C类:110x xxxx
*127开头的:测试用 127.0.0.1测试本机网管是否正常,数据包从本地出发最后回到本地,只要网管是正常的肯定是通的;
主机位全0:网络IP地址,表示一段IP地址的集合。
例如:192.168.1.0(192.168.1.1--192.168.1.254)
主机位全1:广播IP地址。例如:192.168.1.255
私有地址:在企业内部使用,无法在互联网上通信。开始使用IP add时没有考虑到会用光耗尽,那么如果企业不需要访问外网只要内部进行 就交流,我们可以使用私有的地址。
A:10.0.0.0--10.255.255.255
B:172.16.0.0--172.31.255.255
C:192.168.0.0--192.168.255.255
DNS(domain name survice)域名解析服务:
平时上网是在地址栏输入www.xxx.com,可是互联网不认识这个,需要一个东西来做域名<—>IP add的映射
Ns lookup
Google dns 8.8.8.8
Jiangsu dns 218.2.135.1
*命令:Ip configure all:
DHCP
1.优点:
5.减少管理员的配置量
6.减少错误
7.集中管理IP
2.DHCP地址分配方式:
6.手工分配:根据需要为某些少数特定主机(DNS服务器、打印机)绑定固定的IP地址,地址不会过期。
7.自动分配:为连接到网络的某些主机主动的分配IP地址,该地址将长期由该主机使用。
8.动态分配:主机主动申请IP地址,服务器为其制定一个IP地址,同时规定此地址租期。
3.工作原理:
二层可不讲
重新登录:
客户机每重新登录时,不需再发送DHCPdiscover,而是直接发送包含前一次所分配的IP地址的DHCPrequest请求信息。当服务器收到信息后,它会尝试让客户机继续使用原来的IP地址,并回答一个DHCPack确认信息。如果此IP地址已无法再分配给原来的客户机使用(此IP地址已分配给其它客户机使用),则服务器给客户机回答一个DHCPnack否认信息。当原来的客户机收到此DHCPnack否认信息后,它就必须重新发送DHCPdiscover发现信息来请求新的IP地址。
更新租约:
服务器出租的IP地址一般都有一个租期,期满后服务器便会收回出租的IP地址。如果客户机要延长IP租约,必须更新其IP租约。客户机启动时和IP租约期限过一半时,客户机都会自动向DHCP服务器发送更新其IP租约的信息。
为了便于理解,我们把DHCP客户机比做餐馆里的客人,DHCP服务器比做服务员(一个餐馆里也可以有多个服务员),IP地址比做客户需要的食物。那么可以这样描述整个过程:客人走进餐馆,问:“有没有服务员啊?”(DHCPdiscover),多个服务员同时回答:“有,我这有鸡翅”“有,我这有汉堡”(DHCPoffer)。客人说:“好吧,我要一份汉堡”(DHCPrequest,这个客人比较死板,总是选择第一次听到的食物),端着汉堡的服务员回应了一声:“来啦”(DHCPack),并把食物端到客人面前,供其享用(将网卡和IP地址绑定)。客人下次来的时候,就直接找上次那个服务员点自己喜欢的汉堡了(DHCPrequest),如果还有汉堡,服务员会再次确认并上菜(DHCPack),而如果已经卖完了,服务员则会告诉客人:“不好意思,已经卖完了”(DHCPnack)。当然,服务员隔一段时间会来收拾一次桌子,除非客人特别说明这菜还要继续吃的,服务员会将剩菜端走。
8.路由器模拟DHCP SERVER的完整配置:
(1)给路由器端口配ip;
(2)在路由器上新建立一个dhcp的地址池;
DHCP(config)#ip dhcp pool ccna
(3)在DHCP地址池里放入一段ip地址
DHCP(dhcp-config)#network 192.168.1.0 255.255.255.0
(4)在dhcp server里分给客户PC网关ip地址
DHCP(dhcp-config)#default-route 192.168.1.1
(5)在dhcpserver里给客户分配dns服务器地址
DHCP(dhcp-config)#dns-server 218.2.135.5
(6)在DHCP地址池里删除已经被使用或者被保留的ip地址
DHCP(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10
该例:表示将1.1--1.10的地址保留下来,DHCP从1.11开始分配子网。
掩码
与目的地址一起来标识目的主机或路由器所在的网段的地址。将目的地址和网络掩码“逻辑与”后可得到目的主机或路由器所在网段的地址。例如:目的地址为8.1.1.1,掩码为255.0.0.0 的主机或路由器所在网段的地址为8.0.0.0。掩码由若干个连续“1”构成,既可以用点分十进制表示,也可以用掩码中连续“1”的个数来表示。
(111***111000***000,一共24位)
1.网络号一样的IP属于同一网络,可以通过交换机直接通信!
2.子网的划分:从主机位的高位开始借位,每借n位,网络就被分为2^n份;
192.168.1.0/24 或者192.168.1.0 255.255.255.0/24 24表示有位网络位;
VLSM
前言:
把一个网络划分成多个子网,要求每一个子网使用不同的网络标识 ID。但是每个子网的主机数不一定相同,而且相差很大,如果我们每个子网都采用固定长度子网掩码,而每个子网上分配的地址数相同,这就造成地址的大量浪费。这时候我们可以采用变长子网掩码(VLSM,Variable Length SubnetMasking)技术,对节点数比较多的子网采用较短的子网掩码,子网掩码较短的地址可表示的网络/子网数较少,而子网可分配的地址较多;节点数比较少的子网采用较长的子网掩码,可表示的逻辑网络/子网数较多,而子网上可分配地址较少。这种寻址方案必能节省大量的地址,节省的这些地址可以用于其它子网上。
掩码一定是大于主类掩码!
做子网划分的时候,一定要从主机数目最多的网段开始划分!
方法一:
(1)先把规定的网段的范围确定下来;
(2)在根据每个子网的大小,在网段范围内划分
端口安全
实验要求:
1.启用端口的安全措施
2.限制fa0/23口最大允许访问量为1
3.采取的安全措施为保护,限制或关闭
4.常用的交换机命令
实验过程:
S1(config)#interface fastethernet 0/23
S1(config-if)#switchport mode 确定端口模式
S1(config-if)#switchport port-security启动交换机的端口安全特性,必须打不能省略
iance(config-if)#switchport port-security mac-address aaaa.aaaa.aaaa 将地址绑定在接口 0/23 上。
S1(config-if)#switchport port-security maximum 1 设置可以安全访问的用户有 1 个。
iance(config-if)#switchport port-security violation shutdown
设置当接口上的访问违反了安全特性时,所采用的惩罚措施。惩罚措施有保护、限制和关闭。关闭:当新的当新的计算机接入时,如果该接口的 MAC 条目超过了最大数目,则该接口将会被关闭,则这个新的计算机和原来的计算机都无法接入,需要管理员使用“no shutdown”命令从新打开。
实验检测:
用一根直通线将PC 和交换机的0/23 口相连,查看0/23 接口上的指示灯的变化情况。如果由橙色经过大约 50 秒的时间变为绿色后再立即关闭,说明实验成功
查看以太口
S1#show interfaces fastethernet 0/23
FastEthernet0/23 is down, line protocol is down (err-disabled)
Hardware is Fast Ethernet, address is 000c.3051.5617 (bia 000c.3051.5617)
表示是出现错误时,关闭了接口。
第四天(路由介绍、单臂路由、静态路由、Rip、EIGRP、OSPF)
4:路由简介
9.IP地址:IP地址我们在之前的课程中跟大家讲过其实就是用来唯一标示一台PC的
10.网段:是用来标示一组PC的
11.路由:去往某个网段的路径我们就称作路由,我们可以理解为网段。比如说我们公司有三个部门,每个部们分数不同的网段,对应于路由器来说就是三个不同的路由信息
12.路由器:我们在第一天的课上就讲过,路由器对有收到的数据进行转发,它能够决定从1号口收到的数据是从2、3、4哪个口转发,路由器就可以做这样的决策,就是依赖于路由器上存放的一张路由表进行的。
13.路由表:路由表由两部分组成:网段 出接口,路由表可以告诉路由器A你想去往10.2.2.0网段必须从4接口出去。
14.路由协议:路由器知道所有自身接口下所配的IP地址,称作--直连,那么A想知道B的信息,它们两个可以交换彼此的直连信息,这种交换方式称作路由协议,当然路由协议有很多种。就像大家的手机一样,你想告诉朋友某人的手机号码,你可以直接报号码,也可以导成信息的形式发送,或者导成表格的形式,大家可以发现,随着手机越来越只能,交换方式也越来越新颖,路由协议也一样,最简单的形式是直连路由,还有其他路由形式,比如静态,就像它的名字一样,很被动的接受你给它的命令,是一种指哪去哪的形式,比如,对于A1来说,它想去B6,告诉它你必须从A4出去,如果哪天我将B6接口下的地址改掉了,A1还是会按照之前的指令出去,这就是静态,虽然简单,但是太不灵活。有其他的方式来规避这种不灵活,就是动态协议,其实就是A于B能够定期的交换彼此自身接口下的地址,这种动态的交换方式我们称作动态路由协议,显然动态路由协议还有一些分类。那么大家先来看看对于A来说,它知道自己身后连了192.168.1.0网段,而工程师告诉它你要去192.168.1.0你必须从A4出去,A是信任直连还是信任静态呢--肯定是直连么,这就是多种方式之间的优先顺序了,我们认为最好的是直连,这些获取路由方式之间是有优劣的,比较优劣的参考就是管理距离值了,值越小越好,思科认为直连最可靠--0,其次是静态--1.
5:单臂路由
前言:
2个不同的VLAN相当于两个不同的子网,那么我们用交换机肯定不可以通信,此时需要路由器,子接口的创建(主接口只需打开,不需要配IP)
配置:
R1#configure terminal
R1(config)#interface fastEthernet 0/0
R1(config-if)#no shutdown 路由器接口默认关闭的
R1(config)#interface fastEthernet 0/0.2
R1(config-subif)#encapsulation dot1Q 2 2:表示该子接口划入VLAN2
R1(config-subif)#ip add 192.168.2.1 255.255.255.0
R1(config)#interface fastEthernet 0/0.3
R1(config-subif)#encapsulation dot1Q 3
R1(config-subif)#ip add 192.168.3.1 255.255.255.0
交换机
SW1#configure terminal
SW1(config)#vlan 2
SW1(config)#vlan 3
SW1(config)#interface fastEthernet 0/2
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 2
SW1(config)#interface fastEthernet 0/3
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 3
SW1(config-if)#end
SW1#show vlan
SW1#configure terminal
SW1(config)#interface fastEthernet 0/24
SW1(config-if)#switchport mode trunk
SW1(config)#interface fastEthernet 0/23
SW1(config-if)#switchport mode trunk
SW2做相同配置
6:RIP
工作原理:
基于距离矢量算法;版本1和2;每隔30秒,全网广播一次完整的路由表。Rip学习路由的方式:谣言机制、听信谣言的机制。
Rip的配置
如何删除静态路由
启动Rip:
R1(config)#router rip
在Rip进程中,通告自己知道的网段信息(主类通告即可):
R1(config-router)#network 192.168.1.0
R1(config-router)#network 192.168.2.0
*不连续子网问题(有类路由协议)的解决方法:使用无类路由协议
R1(config-router)#ver 2 发送2版本的Rip
Ripv2虽然是一个无类路由协议,但是默认情况下,开启了自动汇总的功能。
自动汇总:当路由器跨越主类网络边界的是奇偶,Rip会将网段自动的汇总成主类网络,通告给下一跳路由。所以配置Ripv2的时候,一定要记得,将自动汇总关闭掉,否则,无法体现其作为无类路由协议的优点。
在Rip进程下,
R1(config-router)#no auto-summary要记得!!!
R2#clear ip route *
手动汇总
手动汇总一定在路由更新方向的出接口上---于用户数据传递方向相反
R1(config-router)#ip rip summary-address
Rip的防环机制
7.水平分割(split horizon):路由器从一个接口收到的路由更新,不会再从这个接口发出来,但是数据还可以从该端口进出。默认情况下,水平分割是开启的。
8.毒性逆转(poison reverse):路由中毒
9.Hold-down timer计时器:180s,当路由器感知到某个网段不可达的时候,路由器会将该网段置为possibly down状态,并且启动Hold-down timer计时器,并且在180s内,任何其他路由器通告的关于该网段的可达性目标,都被忽略,不会引起路由表的变化。
10.触发更新:一出问题就通知其他路由,仅在S口下敲出触发更新的命令(接口下:IP)
补充说明:
Rip一跳数最后度量值。
Rip的有效可达距离是15跳,第16跳不可达。
Rip最多支持16条路径的等价负载均衡,默认只支持4条。
Rip每30s发送一次更新(周期更新)。
Rip V1 有类的,广播方式更新
V2 无类的,组播方式更新-224.0.0.9
7:EIGRP
特点:
(1)收敛很快
(2)百分百无环的路由协议
(3)支持部分更新--第一次全部更新
(4)采用组播和单播更新--224.0.0.10
(5)唯一一个既支持等价负载均衡,也支持非等价负载均衡的路由协议
(6)支持VLSM和不连续子网问题(它是一个无类路由协议)
工作原理:
首先,两台运行EIGRP的路由器,互相发送Hello报文(5s一次,15s有效),形成EIGRP的邻居关系。然后,双方互相通告自己知道的网段信息。最后,每台路由器优选Metric小的路由协议到自己的路由表。
每一个EIGRP的进程,在路由器中都会维护三张表--
(1)邻居表:双方发完Hello报文后形成 R#show ip eigrp neighbors
(2)拓扑表:双方通告完网段信息后形成,包含所有从邻居处学来的路由 R#show ip eigrp topology
(3)路由表:优选完路径后形成 ,挑选出来最佳的路由条目
配置
(1)启动EIGRP协议
R1(config)#router eigrp x x:自制系统号
(2)关闭自动汇总
R1(config-router)#no auto-summary
(3)通告自己知道的网段
R1(config-router)#network 192.168.1.0
R2....
EIGRP邻居关系形成的条件--AS号要保持一致,K值要一致
修改
R1(config)#no router eigip 100 实验时,做不同的协议时,要将之前的协议删除!
查看三张表:
R2#sh ip eigrp neighbours邻居表
R2#sh ip eigrp topology拓扑表
R2#sh ip route路由表
D 192.168.1.0/24[90/156160] D:代表Eigrp; 90:管理距离;
8:OSPF
工作原理:
首先,两台运行OSPF的路由器互相发送的Hello报文,形成邻居关系。
然后两台路由器泛洪(广播)LSA(链路状态通告),收集全网所有的LSA。
路由器将收集到的LSA进行整理,形成OSPF数据库。
最后运用SPF算法(缔结斯科拉算法),本地计算路由,放进自己的路由表。
OSPF是一个层次化的路由协议
因为OSPF是分区域的。他将网络分为两种区域内心很高--骨干区域(Area 0,任何OSPF都要有骨干区域)和非骨干区域。(NA只研究骨干区域)若在网络中还存在非骨干区域,那么一定要确保,非骨干区域和骨干区域直接相连。
反掩码(通配符):
掩码的反吗,0所对应的位精确匹配,控制参与OSPF协议的网段的范围。255.255.255.255-掩码=反掩码
配置:
(1)启动OSPF:
R1(config)#router ospf 100(两端进程ID号可以不同,本地有效)
8.通告网段信息:
R1(config-router)#network 192.168.1.0 0.0.0.255 area 0反掩码决定网段
R1(config-router)#network 192.168.1.1 0.0.0.0 area 0
(3)查看:
R1#sh ip ospf neighbour
串行接口连接路由器
DCE:DCE端口要配时钟频率
DTE
R1#sh controllerss 0/0/0 查看
R1(config-if)#clock rate 64000
将端口配置好后,再做OSPF
以太网比串行接口邻居关系建立慢,因为以太网需要选DR和BDR的环节,串行接口不需要。
反掩码:
反掩码的作用和子网掩码很相似。通常情况下反掩码看起来很象一个颠倒过来的IP 地址子网掩码,但是用法上是不一样的。IP 地址与反掩码的关系语法规定如下:
在反掩码中相应位为 1 的地址中的位在比较中被忽略,为0 的必须被检查。IP 地址与反掩码都是32 位的数。
例如:192.168.0.1/24 网段
用子网掩码表示 192.168.0.1 255.255.255.0
用反掩码表示 192.168.0.1 0.0.0.255
管理距离:
当一个网络里有多个动态协议时,分别告之多条路径,该如何选择呢?判断当在一个网络里部署多个路由协议的时候,根据管理距离来选择最优的路由协议。管理距离越小,路由协议越优先。CISCO自然认为自己的协议是最好的。
管理距离:直连—0;静态—0/1;RIP-120;OSPF-110;EIGRP-90;unknown—255;
Metric:
当路由器发现去往目的网段有多条可行路径时,路由器会根据metric选择一个最优路径。
RIP:会根据路径上经过的路由器的跳数来简单判断路径的好坏,跳数越少,链路越优先,但有可能选择次优路径。
OSPF:根据路径上带宽来选择最优路径,带宽越大,路径越优先。
EIGRP:根据链路的带宽、延迟、可靠性、负载、MTU最大存储单元来计算Metric。但在默认状态下,EIGRP只考虑带宽和延迟。
不论是RIP,OSPF,EIGRP,Metric值越小越优先。
5:静态路由
说明:
下一条地址
本地数据出接口
回程路由
环回口
默认路由:
我们知道,当交换机收到一个目的MAC不存在于MAC地址表里的数据帧,交换机会从所有接口向外转发;而路由器收到目的IP网段不在路由表里的数据包,路由器会丢弃。可是对于公司不会花费大成本去买台服务器回来存全球互联网上的路由条目,而且互联网上的网站、网址不断的在变化,路由表中没有目的地的条目时会进行丢包,所以我们寻求一种解决办法,叫默认路由,默认路由绝对是低调做人高调做事的,
R1(config)#ip 0.0.0.0 0.0.0.0 192.168.2.2
,