交换机与路由器技术

admin管理员组

文章数量:1539572

交换机的基本配置

一、思科设备命令行基础

1、进入设备命令行界面

• 设备支持命令行
  • 去看设备上的接口，是否有console
• 需要用超级终端进行连接
  • putt
  • secret CRT
  • Xshell

2、命令行基础

• 思科设备上的命令行模式

  • 用户模式：查看统计信息(一般情况下用的非常少)，用“>”表示

    • ·用户模式切换到特权模式

      enable
      en		#简写
      

  • 特权模式：查看并修改设备的配置(一般情况下查看居多)，用“#”表示

    • 特权模式切换到全局模式

      configure terminal
      conf t
      

  • 全局模式：针对设备的整体配置参数，用“(config)#”表示

    • 全局模式切换到接口模式

      interface fasteternet0/1
      int f0/1
      

  • 接口模式：针对设备的接口修改配置参数，用“(config-if)#”表示

  • 进入对应模式只能一级一级进入

  • 返回对应模式，一级一级返回，使用exit，想要直接返回特权模式可以使用end

  • 当命令输错后会进入

    Switch>ecit
    TransLAting "ecit"...domain server(255.255.255.255)
    #快速中止按 ctrl+shift+6
    #永不进行域名解析
    Switch(config) #no ip domain-lookup   #注意模式
    

3、常见配置

• 给交换机配置一个主机名

yb(config)#hostname yyb

• 查看交换机里维护的MAC地址表

yyb#show mac-address-table 

• 交换机的双工模式

  Switch(config)#int f0/1
  Switch(config-if)#duplex ?
    auto  Enable AUTO duplex configuration   //自适应
    full  Force full duplex operation			//全双工
    half  Force half-duplex operation			//半双工
  

  Switch#show int f0/1   //查看接口
  

• 交换机的接口速率

Switch#show int f0/2
Switch(config-if)#speed 100
Switch#show int f0/2

• 配置console密码

  Switch#configure terminal
  Switch(config)#line console 0
  Switch(config-line)#password 123456
  Switch(config-line)#login  //应用
  

• 保存配置文件

  show startup-config
  

• 写入配置文件

  write
  

二、交换机的工作原理

1、数据链路层的功能

• 建立逻辑连接，进行物理地址寻址，差错校验
• 数据链路的建立、维护和拆除
• 数据帧的封装、传输、同步等等
• 也可以做流量控制，但一般不在数据链路层做

2、交换机主要讲的是以太网交换机

3、以太网的MAC

• 用来表示一个局域网上的某个单独的设备或一组设备 IP地址的概念：用于标识网络中的某一台主机

  • 两个设备想要在以太网中进行通信，那么就必须用MAC地址进行交互
  • 两个设备需要在网络中进行通信，就必须配置相应的IP地址

• MAC地址有48位的二进制组成，通常表示位12位的十六进制

• 前面24位表示厂商的编码，后面24位是序列号，从而实现全球唯一

• 单独设备：当第八位为0时表示单独设备，也称单播地址

• 一组设备：当第八位为1时表示一组设备，也称组播地址

• 广播地址：FF-FF-FF-FF-FF-FF

• 默认填充的地址，当不知道对方MAC地址时会自动填充一个目的MAC地址：00-00-00-00-00-00

4、以太网的帧

• Ethernet Ⅱ

• IEEE802.3帧

⑴前导码（Preamble）：由0、1间隔代码组成，用来通知目标站作好接收准备。以太网帧则使用8个字节的0、1间隔代码作为起始符。IEEE 802.3帧的前导码占用前7个字节，第8个字节是两个连续的代码1，名称为帧首定界符（SOF），表示一帧实际开始。
⑵ 目标地址和源地址（Destination Address & Source Address）：表示发送和接收帧的工作站的地址，各占据6个字节。其中，目标地址可以是单址，也可以是多点传送或广播地址。
⑶ 类型（Type）或长度（Length）：这两个字节在Ethernet II帧中表示类型（Type），指定接收数据的高层协议类型。而在IEEE 802.3帧中表示长度（Length），说明后面数据段的长度。
⑷ 数据（Data）：在经过物理层和逻辑链路层的处理之后，包含在帧中的数据将被传递给在类型段中指定的高层协议。该数据段的长度最小应当不低于46个字节，最大应不超过1500字节。如果数据段长度过小，那么将会在数据段后自动填充（Trailer）字符。相反，如果数据段长度过大，那么将会把数据段分段后传输。在IEEE 802.3帧中该部分还包含802.2的头部信息。
⑸帧校验序列（FSC）：包含长度为4个字节的循环冗余校验值（CRC），由发送设备计算产生，在接收方被重新计算以确定帧在传送过程中是否被损坏。

• Type和Length都是用于去标识上层数据的类型

  • 上层是网络层
  • 由于在网络层有不同的协议：IP(0800)、ARP(0806)、ICMP、IGMP、RARP，所以要有一个字段来标识是什么类型
  • 单独把ICMP协议称为网络层上层的协议(3.5层的协议)

• IEEE802.3和Ethernet II帧有啥区别？

LLC（Logical Link Control）逻辑链路控制，由目的服务访问点DSAP（Destination Service Access Point）、源服务访问点SSAP（Source Service Access Point)和Control字段组成。
SNAP（Sub-network Access Protocol）由机构代码（Org Code）和类型Type字段组成。Org Code三个字节都为0。Type字段的含义与Ethernet II中Type字段相同。

5、以太网交换机

• 早期的共享式以太网，它是由集线器(HUB)相连
  • 一个冲突域/广播域的网络

集线器：对接受到的信号进行再生整形放大

• 源：主机A；目的：主机B
  • 当交换机收到发来的数据帧后查看帧头部，首先查看源MAC地址有没有记录在自己的MAC表中
    • 如果有，那么记录主机A------接口1，直接通过该表项中的出接口转发该报文；
    • 如果没有，就直接从除接受接口外的所有连接的接口转发，这种方式称为广播，主机B和主机C都收到，主机C丢弃，主机B回应，直接单播(一对一)转发
• 工作模式
  • 单工：数据报只能单向传输
  • 半双工：数据报可以双向传输，但不能同时进行
  • 全双工：数据报可以双向并且同时进行
• 接口速率
  • 10
  • 100
  • 1000

6、交换机的工作流程

• 学习源MAC地址
• 接着广播数据帧
• 接收方单播回应，其他主机丢弃
• 下一次直接以单播方式转发数据

交换机密码恢复

• 拔掉交换机的插头，插上电源同时按MODE键

• 出现”swith：“提示松开按键，初始化Flash

  Switch：flash_init
  

• 将config.text文件改成config.old，完成后启动交换机

  Switch：rename flash:config.text flash:config.old
  Switch：boot   //启动
  

• 启动后把配置文件的名字改回来

  Switch# rename flash:config.old flash:config.text
  

• 手工加载配置文件

  Switch# copy flash:config.text system:running-config
  

• 进入配置模式修改密码

通过远程管理方式连接交换机（telnet 、ssh）

1、telnet 是应用层协议，基于传输层TCP，默认端口号是23 采用明文传输，不是特别安全，一般用于内网管理。

2、ssh 是应用层协议，基于传输层TCP，默认端口号是22，采用密文传输，相对安全，经常用于跨越互联网管理，也常用于远程管理Linux操作系统

3、思路

telnet

• 通过网络的方式进行管理设备，设备就必须配置IP地址，由于交换机上的接口都是交换接口，是不允许配置IP地址的，直接为交换机的虚接口配置IP地址，默认虚接口为vlan1接口

  Switch#conf t
  Switch(config)#int vlan 1
  Switch(config-if)#ip address 192.168.100.100 255.255.255.0  //配置ip地址
  Switch(config-if)#no shutdown   //开启接口
  

• 配置设备的连接终端，设置对应的用户名和密码，应用

  Switch(config)#line vty 0 4  //进入0 - 4终端
  Switch(config-line)#password 123456  //设置密码
  Switch(config-line)#login	//应用
  

• 创建连接用户名密码，配置设备的连接终端并应用

  Switch(config)#username yangyubo password 123456	//设置用户名密码
  Switch(config)#line vty 0 4		//进入0-4终端
  Switch(config-line)#login local 	//应用
  

  login和login local的区别

  login--直接使用密码登录
  login local---使用账号密码进行登录
  

ssh

Switch(config)#hostname sw1  //设置主机名，因为创建域名的时候不能允许默认的主机名
sw1(config)#ip domain-name yyb  //创建域名
sw1(config)#crypto  key generate rsa 	//创建密钥对
	The name for the keys will be: sw1.yyb
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]
sw1(config)#ip ssh time-out 120 	//设置超时时间
sw1(config)#ip ssh time-out 120		//设置认证失败的次数

• 应用

sw1(config)#username lisi password 123456		//创建用户名密码
sw1(config)#line vty 0 4	//进入vty0 4
sw1(config-line)#login local 	//应用

4、设置特权模式密码(同时设置密文密码会生效)

Switch(config)#enable password 123456  //设置明文密码
Switch(config)#enable secret 456	//设置密文密码
Switch#show running-config 		//查看当前配置文件命令

路由器的工作原理

一、回顾

• 路由器属于三层(网络层)设备
• 网络层功能
  • 进行IP地址寻址，实现不同网络(网络地址不等或者说内网和外网分割**内网的IP地址是无法在外网上进行路由的 **)之间的路径选择
  • 查找目的是否可以到达，如果可以到达选择一条最优的路径；
• 网络层所传输的PDU(传输数据单元)是数据包，我们称之为IP数据包
• 网络层封装的是IP头部

二、网络层IP数据包的格式

• IPV4

  • 版本：标识当前使用的IP版本(IPv4，IPv6)
  • 首部长度：由于IP数据报文的首部有一个可选项，所以首部的长度是可变的，所以需要定义
  • 区分服务(服务质量/优先级和服务类型)：为了保障更好的服务，主要是在IP层做Qos
  • 总长度：主要用来标识整个数据包的长度
  • 标识、标志、片位移：上层来的数据到IP层会被分片，这几个字段用来对数据包进行标识，使数据到达目的端重组的时候不会乱序
  • 生存时间(TTL值)：数据包在路由器转发消耗的时间，如果小于1秒，TTL就会减1
  • 协议：标识上层数据是使用的何种协议(TCP6和UDP17、ICMP1)
  • 首部检验：检验数据报文的首部
  • 源地址：发送方的IP地址
  • 目的地址：接受方的IP地址

三、路由器的工作原理

1、路由

• 从源主机到目标主机的转发过程(跨网络访问)
• 包含两个内容：
  • 确定最佳路径
  • 通过网络传输信息

2、路由器的工作原理

• 路由表
  • 直连路由：当路由器的接口配置好对应的IP地址，并开启接口后自动生成
  • 非直连路由：需要手动配置静态路由或者使用动态路由学习

3、静态路由

• 由管理员手动配置，不灵活，而且是单向
• 特殊的静态路由：默认路由，当在路由器中找不到目标网络的路由条目时，再去查看默认路由
  • 使用场景：一般应用于末节(末梢)网络—路由器的一端只连接了一个网络

4、动态路由

• 通过某种动态路由协议自动的去建立自己的路由表
• 常见的动态路由协议：RIP、OSPF、IS-IS、BGP、IGRP、EIGRP

5、路由器转发数据包的封装过程

https://cdn.jsdelivr/gh/YikJiang-bs/breeze/202203261053233.png

静态路由

一、静态路由的配置

1、静态路由

IP route 目标网络(目标的网段"目标的的网络地址") 目标的子网掩码 下一跳地址(下一个路由器的接口的IP地址)或发往下一个路由器的本地接口

eg:
ip route 192.168.10.0 255.255.255.0 192.168.30.2
ip route 192.168.10.0 255.255.255.0 f0/1

2、默认路由

ip route 0.0.0.0 0.0.0.0 192.168.30.2
ip route 0.0.0.0 0.0.0.0 f0/1

3、查看路由条目

show ip route

二、在路由器上配置DHCP

目的：使客户机可以通过路由器所提供的DHCP服务获取到IP地址

DHCP：动态主机配置协议

主要为客户机提供TCP/IP参数：IP地址、子网掩码、网关、DNS服务器地址

1、思路

• 定义DHCP地址池

  • 池的名字

    R0(config)#ip dhcp pool yyb
    

  • 所要分配的网络范围：网络地址和子网掩码

    R0(dhcp-config)#network 192.168.10.0 255.255.255.0
    

  • 指定默认网关

    R0(dhcp-config)#default-router 192.168.10.254
    

  • 指定DNS服务器地址

    R0(dhcp-config)#dns-server 114.114.114.114
    

• 指定保留地址，不分配给主机

  R0(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.50
  

虚拟局域网VLAN

主要应用在交换机上

一台交换机默认情况下连接的是广播域

一台交换机默认情况下连接一个广播域，因为默认情况下所有的接口都是属于同一个vlan的，默认为vlan1，所以是在同一个广播域中

1、目的

• 划分广播域，不同广播域是不能够进行通信的，如果想要进行通信，这个时候就要借助路由
• 增加网络的完全性
• 简化了网络的管理

2、VLAN的种类

• 静态VLAN
  • 基于端口划分，需要管理员去配置，创建VLAN并将接口加入到VLAN
• 动态VLAN
  • 基于MAC地址自动将同一类型的MAC地址加入到同一VLAN

3、静态VLAN

• VLAN的范围(思科设备，如果是华为设备的话会有所差异)
  • 总计4096个VLAN 0-4095
  • 0，4095保留
  • 默认为1
  • 以太网的VLAN 2-1001
  • 扩展的以太网VLAN 1025-4094

4、配置静态VLAN

• 创建VLAN

  方式1、Switch(config)#vlan 2
  方式2在vlan数据库下创建：Switch#vlan database   //进入vlan数据库
  	  Switch#vlan database    //创建
  

  查看创建的vlan
  Switch#show vlan brief 
  

• 将接口加入VLAN

  • 需要指定接口的模式

    Switch#conf t  //首先进入接口
    Switch(config)#int f0/10  指定一个  ||  Switch(config)#interface range f0/20-24  指定范围
    Switch(config-if-range)#switchport mode access   //指定接口模式--接入模式，一般情况下连接pc的接口都是接入模式--可以省去
    Switch(config-if-range)#switchport access vlan 3	//加入对应vlan
    

• 其他配置命令

  • 查看vlan信息

    show vlan brief  //brief 表示摘要信息，不加也可以
    

  • 查看指定vlan

    show vlan id 2   //查看vlan2的信息
    

  • 删除vlan

    conf t
    no vlan 2  //no在大部分情况下删除
    

通过在交换机上创建vlan，将不同主机加入到对应的vlan后，在同一交换机下，相同vlan可以直接进行通信，不同vlan无法直接进行通信

vlan trunk可以使同一vlan跨交换机进行通信

vlan trunk

一、目的

• 实现相同vlan跨交换机进行通信

查看交换接口的模式

Switch#show int f0/1 switchport 

Administrative Mode: dynamic auto   //默认为动态自动

二、交换机接口模式(默认为动态自动)

• 连接主机：协商出的结果是 static access

• 连接交换机：

  • 动态自动-------动态自动 协商结果static access

  • 动态自动-------动态企望 协商结果 trunk

    Switch(config-if)#switchport mode dynamic desirable    //设置模式
    

  • 动态自动------access 协商结果access

  • 动态自动------trunk 协商结果 trunk

三、trunk封装

• 思科私有的

  • ISL

• 标准的

  • 802.1q 不同厂商的交换机使用的共有标准

单臂路由

可实现不同vlan之间的通信技术有

• 单臂路由：依据路由器的物理接口划分子接口
  • 0/0.1 vlan10
  • 0/0.2 vlan20
• 三层交换

问题

• 目前两个vlan都连接了路由器的同一个物理接口，到底这个接口属于那个vlan网关
• 交换机想要转发任何vlan数据，就必须配置为trunk，但是路由器的接口又不能配置为trunk

原理

• 在路由器上划分子接口作为不同vlan的网关，每一个子接口作为vlan的网关，需要做vlan封装
• 交换机与主机连接的链路：access
• 交换机与路由器连接的链路：trunk

以上图为例，PC0需要发送数据给PC1，发现PC1和自己不是同一个网段，这时将数据交到自己的网关，网关为路由器的F0/0.1子接口，通过ARP协议获取自己网关的MAC地址，数据会通过交换机进行转发，到达了交换机之后，会为收到的数据打上VLAN10的标签，将数据传到路由器0，路由器0收到数据，集合路由器的工作原理，查看目的IP地址，找到对应接口，再进行标签转换，再发送到交换机，这时交换机收到的就是打上VLAN20标签的数据，根据交换的MAC地址表的对应关系直接转发

### 交换机配置
en
conf t
vlan 10
vlan 20
exit
int f0/1
sw acc vlan 10
int f0/2
sw acc vlan 20
int f0/3
sw mo trun

### 路由器配置
en
conf t
int g0/0.1
encapsulation dot1Q 10            //封装成标准的802.1q
ip add 192.168.10.254 255.255.255.0
exit
int g0/0.2
encapsulation dot1Q 20
ip add 192.168.20.254 255.255.255.0
exit
int g0/0
no shut
ip dhcp pool vlan10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
exit
int dhcp pool vlan20
network 192.168.20.0 255.255.255.0
default-router 192.168.20.254
exit

配置文件

• 保存配置文件

  show startup-config
  

• 写入配置文件

  write
  

• 当前配置文件 running-config

• 存放再内存中，由于具有易失性，设备重启后会清空，所以当前配置完后需要将当前配置的文件内容保存起来，使用命令write

• 保存配置文件 startup-config

  • 他存放在非易失性随机访问存储器中，可以永久保存，想要重置设备密码，就要绕过此文件，在初始化系统的时候将此文件夹改名，启动后，将文件名改回来，还要加载到当前配置文件中

    将保存配置文件内容加载到当前配置文件：
    copy flash:config.text system:runnig-config
    

三层交换

目的：用来解决不同vlan之间的通信

问题：使用单臂路由可以解决不同vlan间的通信，为什么还要使用三层交换来解决

• 单臂路由容易造成网络瓶颈，子接口依托于物理接口，当vlan过多，物理接口压力过大
• 单臂路由主要是利用路由器的转发，每一次数据来之后都要进行路由，路由器的工作量比较大

一、基本概念

• 三层交换机技术：二层交换技术+三层转发技术

二、传统的三层交换

• 工作原理：一次路由，多次交换

  • 三层交换机上，第三层引擎处理数据流的第一个包

• 交换ASIC从3层引擎中获悉二层重写信息在硬件中创建一个MLS(三层交换)条目，负责重写和转发数据流中的后续数据包

三、基于CEF的三层交换(MLS)

• 基于路由表直接去生成邻接关系表，直接进行硬件转发

• 维护了两张表

  • 路由表（转发信息库FIB）
  • 邻接关系表（MAC地址信息）

• 工作原理

  1. 主机A给B发送单播数据包

  2. 交换机查找FIB表，找到下一跳地址

  3. 查找下一跳地址对应的邻接关系的2层封装信息

  4. 转发

四、引入虚接口

常用的结构

三层交换机配置

1、场景一

三层交换机配置

ip routing  //开启路由功能
show vlan brief  //查看vlan

en
conf t
ip routing  
vlan 10
vlan 20
exit
int range f0/1-14
sw acc vlan 10
exit
int rang f0/15-24
sw acc vlan 20
exit
int vlan 10
ip add 192.168.10.254 255.255.255.0
no shut
exit
int vlan 20
ip add 192.168.20.254 255.255.255.0
no shut
exit
ip dhcp pool vlan10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
exit
ip dhcp pool vlan20
network 192.168.20.0 255.255.255.0
default-router 192.168.20.254
eixt

**show ip route **

出现两个对应的路由表

2、场景二

交换机0配置

en
conf t
vlan 10
exit
int f0/1
sw acc vlan 10
exit
int f0/2
sw mo trunk

交换机1配置

en
conf t
vlan 20
exit
int f0/1
sw acc vlan 20
exit
int f0/2
sw mo trunk

三层交换机配置

en
conf t
ip routing
vlan 10
vlan 20
exit
int rang f0/1-2
sw mo trunk
exit
int vlan 10
ip add 192.168.10.254 255.255.255.0
no shut
exit
int vlan 20
ip add 192.168.20.254 255.255.255.0
no shut
exit
ip dhcp pool vlan10
network 192.168.10.0 255.255.255.0
default-route 192.168.10.254
exit
ip dhcp pool vlan20
network 192.168.20.0 255.255.255.0
default-route 192.168.20.254
exit

链路聚合

一、目的

1. 理解链路聚合
2. 会配置（LACP）

二、实现方式

1、思科设备

• 私有的PAgP

2、标准的

• 基于802.3ad的LACP

3、链路聚合的模式

• active(LACP的主动模式)
• passive(LACP的被动模式)
• auto(PAgP的主动模式)
• desirable(PAgP的被动模式)
• on(以太网通道)

三、基于IEEE的LACP

1、配置

方法1

• 指定汇聚协议

  • 需要先进入端口（如果只有一个端口就直接进入一个端口，如果多个端口，就进入范围端口）

    channel-protocol lacp
    

• 指定聚合模式

  channel-group 1 mode active	//活动模式
  

• 将聚合通道配置为trunk

  int prot-channel 1
  sw mode trunk
  

方法2:以太网通道

限制：最多可以捆绑8条物理线路

en 
conf t
int range f0/1-2
channel-group 1 mode on

配置trunk（全局模式）
int port-channel 1
sw mode trunk

2、用到的一些查看命令

show spanning-tree   //查看生成树（主要去看端口是否全部给捆绑）
show int f0/1 sw	//查看接口模式  当没有将聚合通道配置为trunk时，查出来的物理接口还是access，当配置为trunk后，可以看出通道内的所有物理接口都是trunk模式的

生成树协议（STP）

一、目的

1、理解生成树的原理

• 理解STP的选举过程

阻塞状态可以理解为逻辑上的关闭状态

2、会配置PVSTP+

二、STP概念

1、什么是生成树协议

• ​ 防止交换机冗余链路产生环路，避免产生广播风暴

三、STP工作原理

1、选择根网桥（交换机）

• 比较网桥ID，网桥ID较小的为根交换机
  • 网桥ID（网桥优先级+网桥的MAC地址）
    • 网桥优先级，默认是32768，可以由管理员进行更改（更改时注意需要设置为4096的倍数）
• 根网桥上的端口是不可能被阻塞的

2、选择根端口

• 根路径成本最少
• 直连网桥ID最小
• 端口ID最小默认为128

3、选择指定端口

• 根网桥上的所有端口都是指定端口
• 需要在每个网段（每条线路）上选择一个指定端口
• 非根网桥上选指定端口
  • 根路径成本最少
  • 直连网桥ID最小
  • 端口ID最小默认为128

4、没有被选择的端口就是阻塞端口

四、STP其他概念

1、STP的收敛

• 收敛（整个网络达到一致的情况）
• 交换机端口的五种状态
  • 禁用：down
  • 阻塞：不能发送数据，也不会进行mac地址学习，只会去监听网络的BPDU（拓扑变更通告）
  • 侦听：可以收发BPDU，但不会进行mac地址学习
  • 学习：可以收发BPDU并可以进行mac地址学习，不会转发数据
  • 转发：正常转发业务数据
• 计时器
  • **Hello Timer（Hello时间）：**STP交换机发送BPDU的时间间隔。当网络拓扑稳定之后，该计时器的修改只有在根桥修改才有效。根桥会在之后发出的BPDU中填充适当的字段以向其他非根桥传递该计时器修改信息。但当拓扑变化之后，TCN BPDU的发送不受这个计时器的管理。
  • **Forwarding Delay Timer（转发延时）：**指一个端口Listening 和Learning的各自时间，默认为15秒，即Listening状态持续15秒，随后Learning状态再持续15秒。这两个状态下的端口会处Blocking状态，这是STP用于避免临时环路的关键。
  • **Max Age（最大老化时间）：**端口的BPDU老化的时间。端口会根据接收到的BPDU存储所接收到的最好的四个信息(根桥BID、累计根路径开销、发送者BID和发送端口PID)。每次接收到合适的BPDU，端口都会启动这个Max Age计时器。超过这个Max Age时间端口接收不到合适BPDU，就会认为网络直径过大。这个时间默认为20秒。

五、配置

问题：因为交换机上有不同vlan的划分，当划分了广播域，就阻挡了广播，所以不同的vlan具有不同的STP

1、单生成树（交换机上只有一个vlan）

conf t
on ip routing
spanning-tree vlan 1 priority 4096     //设置网桥优先级

• 指定SW3的F0/3接口3为阻塞

  • 设置SW1的网桥优先级为8192

    spanning-tree vlan 1 priority 8192
    

2、多生成树

​

3、其他配置

• 直接指定根网桥

  spanning-tree vlan 1 root paimary    //自动降低4096，使得自己变为根网桥
  

• 修改端口成本（端口成本由带宽决定）

  spanning-tree vlan 1 cost 19   //百兆成本为19，千兆成本为1
  

• 修改端口的优先级

  spanning-tree vlan 1 port-priority 64 
  

HSRP(热备份路由选择协议)

一、目标

• 了解HSRP的相关概念
• 理解HSRP的工作原理
• 会配置HSRP
• 由于HSRP是思科私有的协议，针对此协议有一个标准的协议VRRP（虚拟路由器冗余协议）

冗余：备份

负载：分摊工作

二、HSRP概念

1、HSRP组中的成员

• 活跃路由器
• 备份路由器
• 虚拟路由器
• 其他路由器

2、虚拟路由器的MAC地址

• 后面24位：虚拟mac地址的固定值（07AC）加上HSRP组号（16进制表示）

组号为1    07AC01
组号为50   07AC32

3、HSRP消息

• 采用UDP协议，端口号是1985

• 采用的是组播方式，组播地址是24.0.0.2

• 生命周期 TTL=1

三、工作原理

• 主机需要访问外网172.16.3.127，发现不是同一网络，会将数据交给自己的网关，在这里，主机配置的网关为HSRP组中的虚拟路由器，虚拟路由器收到数据后，根据HSRP组中的机制（组中路由器的优先级来决定谁是活跃路由器，谁是备份路由器），将数据交给活跃路由器进行转发，活跃路由器再根据自身的路由表进行转发数据
• 配置时
  • 设置组号（用来决定虚拟路由器的mac地址）
  • 优先级（确定活跃路由器，优先级高的为活跃）
  • 占先（网络中已存在活跃路由器后，当优先级比较高的路由器想要作为活跃路由器，就要配置占先）
    • 占先一般是配置在优先级比较高的路由器上
  • 端口跟踪（查看端口是否有问题，有问题的话启动备份路由器）

四、HSRP状态与计时器

1、状态

• 初始状态
• 学习状态
• 监听状态
• 发言状态
• 备份状态
• 活跃状态

2、计时器

• hello报文间隔时间3秒
• 保持时间默认10秒

五、配置

1、配置虚拟路由器IP（单vlan）

en
conf t
int vlan 1
standby 33 ip 192.168.10.250    //33为组号，192.168.10.250是虚拟路由器的的ip
standby 33 priority 200     //设置优先级范围0-255

standby 33 preempt    //设置占先

2、使用HSRP和STP(PVSTP+)实现冗余和负载（多生成树）

• 二层交换机配置

  en
  conf t
  vlan 10
  vlan 20
  exit
  int f0/1
  sw acc vlan 10
  exit
  int f0/2
  sw acc vlan 20
  exit
  int rang f0/9-10
  sw mode trunk
  

• 三层交换机0配置

  standby 10 track f0/23              //端口跟踪,如果端口被关闭，优先级会减50
  

  en
  conf t
  vlan 10
  vlan 20
  exit
  int f0/9
  sw mode trunk
  exit
  int f0/24
  sw mode dynamic desirable
  exit
  int vlan 10
  ip add 192.168.10.254 255.255.255.0
  no shut
  exit
  int vlan 20
  ip add 192.168.20.254 255.255.255.0
  no shut
  exit
  int f0/23
  no switchport
  ip add 10.10.10.1 255.255.255.0
  no shut
  exit
  spanning-tree vlan 10 priority 4096
  int vlan 10
  standby 10 ip 192.168.10.250 
  standby 10 priority 150
  standby 10 preempt
  standby 10 track f0/23 
  int vlan 20
  standby 20 ip 192.168.20.250
  standby 20 priority 145
  standby 20 preempt
  exit
  ip route 176.16.10.0 255.255.255.0 10.10.10.2
  

• 外部路由器配置

  en
  conf t
  int g0/0
  ip add 10.10.10.2 255.255.255.0
  no shut
  exit
  int g0/1
  ip add 20.20.20.2 255.255.255.0
  no shut 
  exit
  int g0/2
  ip add 172.16.10.254 255.255.255.0
  no shut
  exit
  ip route 0.0.0.0 0.0.0.0 10.10.10.1
  ip route 0.0.0.0 0.0.0.0 20.20.20.1 
  

• 三层交换机1配置

  en
  conf t
  vlan 10
  vlan 20
  exit
  int f0/10
  sw mode trunk
  exit
  int vlan 10
  ip add 192.168.10.253 255.255.255.0
  no shut
  exit
  int vlan 20
  ip add 192.168.20.253 255.255.255.0
  no shut
  exit
  int f0/23
  no switchport
  ip add 20.20.20.1 255.255.255.0
  no shut
  exit
  spanning-tree vlan 20 priority 4096
  int vlan 10
  standby 10 ip 192.168.10.250
  standby 10 priority 145
  standby 10 preempt
  int vlan 20
  standby 20 ip 192.168.20.250
  standby 20 priority 150
  standby 20 preempt
  standby 20 track f0/23
  exit
  ip route 172.16.10.0 255.255.255.0 20.20.20.2
  
  

  查看活跃路由器

动态路由协议

一、路由协议

• 静态路由

  • 单向、需要管理员手动配置

• 动态路由

  • 是在路由器设备上去启用某动态路由协议，进行自己直连网段的宣告，从而相邻的路由器就可以学习到相邻路由器所宣告的网段

  • 常见的动态路由协议

    • RIP：路由信息协议（距离矢量路由协议）
    • OSPF：开放式最短路径优先（用于大型网络，内部网关）
    • BGP：边界网关协议
    • EIGRP：增强内部网关路由协议
    • IS-IS：中间系统到中间系统

  • 特点

    • 减少管理员的工作量
    • 增加了网络的带宽

  • 什么是内部，什么是边界

    • AS（自治系统）：运行相同的路由器协议的路由器属于同一个自治系统

    • 通过自治系统内连接外部的路由器，这个时候就需要外部网关

    • 内部网关路由协议（IGP）：用于在单一自治系统中去决策路由（RIP,PSPF）

    • 外部网关路由协议（EGP）：用于连接不同自治系统（BGP）

• 动态路由协议需要考虑的内容

  • 度量值：跳数（RIP），带宽，负载，时延，成本…
  • 收敛：使所有路由器的路由表都达到一致的状态
  • 自治系统

二、RIP动态路由协议

1、基本概念

• 一种内部网关路由协议，在单一自治系统内的路由器去传递路由信息

• 靠跳数（metric）来衡量到达目的的距离

  • 最大15跳，16跳表示不可达

• 每隔30秒向相邻的路由器发送路由更新消息，采用的UDP520端口

四个表一致，称为收敛

• RIP动态路由协议是从相邻的路由器去学习对应的路由条目

2、RIP的版本

• RIPv1

  • 有类路由协议（采用标准子网掩码）

  • 广播更新

  • 不支持VLSM（可变长子网掩码，非标准子网掩码）

  • 自动路由汇总，不可关闭

    q

  • 不支持不连续子网

• RIPv2

  • 无类路由协议（可以使用非标准子网掩码）
  • 组播更新（只会向运行了RIP的路由器发送更新信息）
  • 支持VLSM
  • 自动汇总，可以关闭
  • 支持不连续的子网

3、配置

RIPv1

network 192.168.10.0   //宣告网段，不需要子网掩码

• 路由器1

en
conf t
router rip
network 192.168.10.0
network 192.168.30.0
network 192.168.40.0

• 路由器2

en
conf t
router rip
network 192.168.40.0
network 192.168.50.0

• 路由器3

en
conf t
router rip
network 192.168.20.0
network 192.168.30.0
network 192.168.50.0

查看路由表

show ip route

RIPv2

• 路由器0

en
conf t
router rip
version 2
network 192.168.1.0
network 192.168.1.64

• 路由器1

en
conf t
router rip
version 2
network 192.168.1.64
network 192.168.1.128

• 路由器2

en
conf t
router rip
version 2
network 192.168.1.128
network 192.168.1.192

关闭自动汇总（先关闭，再宣告）

en
conf t
router rip
no aotu-summary

三、OSPF动态路由协议

1、基本概念

• 开放式最短路径优先路由协议，是一个内部网关路由协议（在同一个自治系统内进行决策路由）

• 也称为链路状态路由协议：在单一区域内的路由器是向相邻路由器发送链路状态信，网络收敛后形成网络拓扑

2、工作过程

• 相邻的路由器首先建立邻接关系
• 根据链路状态信息，形成对应的链路状态数据库
• 根据OSPF自己的算法，进行最短路径树
• 最终形成路由表

3、OSPF区域

①、划分区域

• 为了适应大型网络

• 每个OSPF的路由器只维护自己所在区域的链路状态信息

• 每个区域都有一个区域ID

  • 区域ID可以表示成一个十进制的数
  • 也可以表示成一个IP地址

• 骨干区域

  • 主要负责区域之间的路由信息
  • 区域IP：0 / 0.0.0.0

• 非骨干区域

  • 普通区域

• 默认情况下，所有的非骨干区域都和骨干区域直连

②、单区域内容

• 在同一个区域当中通过选举DR和BDR来节省网络中的流量
  • 区域中的其他路由器只会和DR，BDR建立邻接关系
• DR和BDR的选举
  • 通过route ID进行选举，route ID 最大的路由器作为DR，第二大的作为BDR
  • route ID
    • 首先选取路由器loopback上数值最高的地址
      • loopback（本地回环接口）是路由器上的虚拟接口，是可以进行收发路由器协议报文，也可以配置IP
    • loopback上没有配置地址，选取物理接口上最大的IP地址
    • 也可以直接使用命令route-id直接指定

③、OSPF的度量值

• ​ cost值（带宽越高，cost值越低）

  • 基于链路带宽来决定

    • 100Mbps	1
      10Mbps	10

④、邻接关系建立

• 以什么方式去发送数据报文
  • 以组播方式发送
    • 224.0.0.5 代表所有OSPF路由器
    • 224.0.0.6 代表DR、BDR
• 报文类型
  • hello报文：用于发现和维持邻居关系，用于选举DR和BDR
  • 数据库描述包(DBD)： 向邻居发送自己的链路状态描述信息用来同步链路状态数据库
  • 链路状态请求包（LSR）：
  • 链路状态更新包（LSU）：
  • 链路状态确认包（LSAck）：

根据邻居建立邻接关系，发送DBD同步链路，只向DR和BDR发送，发送链路状态请求，根据链路状态更新报文，更新自己的链路状态信息，最后确认链路状态信息

⑤：OSPF和RIP对比

RIP：分为RIP1和RIP2
	Ⅰ：RIP1不支持可变长子网掩码，使用广播更新
	Ⅱ：RIP2支持可变长子网掩码，使用组播更新
	Ⅲ：跳数限制都是15跳
	Ⅳ：不能划分区域，网络收敛满
OSPF：
	Ⅰ：使用组播更新
	Ⅱ：网络收敛块，通过区域划分
	Ⅲ：支持可变长子网掩码，主要体现在宣告时携带子网掩码

OSPF单区域配置

一、实验

• PC1

  en
  conf t
  no ip routing
  int f0/0
  ip add 192.168.10.10 255.255.255.0
  no shut
  exit
  ip default-gateway 192.168.10.20
  

• PC2

  en
  conf t
  no ip routing
  int f0/0
  ip ad 192.168.20.10 255.255.255.0
  no shut
  exit
  ip default-gateway 192.168.20.20
  

• R1

  en
  conf t
  int f0/0
  ip add 192.168.10.20 255.255.255.0
  int f1/0
  ip add 10.10.10.1 255.255.255.252
  no shut
  exit
  

  router ospf 10		//1-65535 随便取一个
  network 192.168.10.0 0.0.0.255 area 0        //ip地址+子网掩码的反码(相减)+area+区域ID
  network 10.10.10.0 0.0.0.3 area 0

• R2

  en
  conf t
  int f0/0
  ip add 10.10.10.2 255.255.255.252
  no shut
  int f1/0
  ip add 20.20.20.1 255.255.255.252
  no shut
  exit

  router ospf 10
  network 10.10.10.0 0.0.0.3 area 0
  network 20.20.20.0 0.0.0.3 area 0

• R3

 en
  conf t
  int f1/0
  ip add 20.20.20.2 255.255.255.252
  no shut
  int f0/0
  ip add 192.168.20.20 255.255.255.0
  no shut
  exit

  router ospf 10
  network 20.20.20.0 0.0.0.3 area 0
  network 192.168.20.0 0.0.0.255 area 0

二、配置

router ospf 10 //10代表ospf进程

network 192.168.10.0 0.0.0.255 area 0   
192.168.10.0 //宣告的网段
0.0.0.255 //反码
area 0   //表示宣告的区域

show ip ospf  //查看ospf信息
show ip ospf neighbor   //查看邻居的状态信息

OSPF多区域

一、多区域概念

1、目的

• 实现大型网络环境

• 划分区域后，实现单区域网络收敛

2、优点

• 改善网络，更具有拓展性
• 快速网络收敛
• 减少了路由表，较少LSU（链路状态更新包）的流量

3、OSPF的通信流量

• 在区域内（域内通信量）
  • DR和BDR
  • 内部路由器
• 不同区域之间（域间通信量）
  • ABR（区域边界路由器）
• 与其他自治系统之间（外部通信量）
  • ASBR（自治系统边界路由器）

4、区域

• 骨干区域
  • area 0
• 非骨干区域
  • 标准区域
  • 末梢区域
  • 完全末梢
  • 非纯末梢

5、链路状态通告（LSA）

• 6种链路状态通告（一般情况下类型一二三都会有）
  • 类型一：路由器的LSA，由区域内的路由器发出（内部路由器发出）
  • 类型二：网络LSA，由区域内的DR发出
  • 类型三：网络汇总LSA，由ABR发出
  • 类型四：ASBR汇总LSA，由ABR发出（只要有ASBR就会有）
  • 类型五：AS外部LSA，由ASBR发出
  • 类型七：非纯末梢区域的外部LSA（与5互相冲突）

二、配置

• R0

en
conf t
router ospf 1
network 192.168.10.0 0.0.0.255 area 0

• R1

en
conf t
router ospf 1
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 1

• R2

en
conf t
router ospf 1
network 192.168.20.0 0.0.0.255 area 1

• 查看

show ip router

当两条路成本相同的时候回形成负载

6、末梢区域

• 定义
  • 只有一个默认路由作为其区域的出口
  • 区域不能作为虚链路的穿越区域
  • 末梢区域里没有自治系统边界路由器ASBR
  • 不是骨干区域0
• 特征
  • 末梢区域没有LSA4、5、6
  • 完全末梢区域，除了一条默认路由外的LSA3通告，没有LSA3、4、5、7
  • 减少区域内的链路状态通告

不向Stub区域传输汇总信息

路由器1，2，3都需要配置

en
conf t
router ospf 1
area 2 stub no-summary   

宣告为末梢区域

en
conf t
router ospf 1
area 2 stub

OSPF高级配置

• 路由重分发
• NSSA区域
• 虚链路

show ip route详解

I，指从内部网关协议（IGRP）中学到的路由。
R，从RIP协议中学到的路由。
O，从OSPF（开放式最短路径优先）协议学到。
C，直连路由。
S，静态配置的路由，请注意，静态路由的管理距离为 0。
E，从外部网关协议（EGP）学到的路由。
B，指从BGP协议、
I，指IS-IS协议学到的路由信息。
O IA：OSPF区域间路由

路由重分发

一、需要重分发的路由

• OSPF重分发RIP、静态路由、默认路由、直连路由

二、基本概念

• 一个单一IP路由协议是管理网络中IP路由的首选方案
• 在大型的企业中，可能在同一网内使用到多种路由协议，为了实现多种路由协议的协同工作，路由器可以使用路由重分发（route redistribution）将其学习到的一种路由协议的路由通过另一种路由协议广播出去，这样网络的所有部分都可以连通了。 为了实现重分发，路由器必须同时运行多种路由协议，这样，每种路由协议才可以取路由表中的所有或部分其他协议的路由来进行广播

三、针对于重分发到OSPF自治系统内路由的路径类型

• 类型1（E1）：内部代价加上外部的代价（cost）
• 类型2（E2）：只考虑外部的代价（cost）

四、配置

• R4

  en
  conf t
  ip route 0.0.0.0 0.0.0.0 10.10.10.2
  

• R3

  en
  conf t
  ip route 192.168.10.0 255.255.255.0 10.10.10.1
  

  router ospf 1
  network 20.0.0.0 0.0.0.3 area 1
  

• R1

  en
  conf t
  router ospf 1
  network 20.0.0.0 0.0.0.3 area 1
  network 192.168.20.0 0.0.0.255 area 1
  network 30.0.0.0 0.0.0.3 area 0
  exit
  ip route 0.0.0.0 0.0.0.0 40.0.0.2
  

• R2

  en
  conf t
  router ospf 1
  network 30.0.0.0 0.0.0.3 area 0
  exit
  router rip
  version 2
  no auto-summary
  network 50.0.0.0
  

• R5

  en
  conf t
  router rip
  versioon 2
  no auto-summary
  network 50.0.0.0
  network 192.168.30.0
  

• R6

  en
  conf t
  ip route 0.0.0.0 0.0.0.0 40.0.0.1
  

• R3 --OSPF重分发静态路由配置实例

  router ospf 1
  redistribute static metric 100 (度量值)subnets（携带子网） metric-type 2
  

• R1 --OSPF重分发默认路由配置实例

  router ospf 1
  default-infotmation originate
  

• R2 --OSPF重分发RIP

  router ospf 1
  redistribute rip metric（可以省略） 200 subnets
  

• R2 --RIP重分发OSPF

  router rip 
  redistribute ospf 1 metric 10(<15，不可省略，根据OSPF路由器数量)
  

• OSPF重分发直连路由

  router ospf 1
  redistribute connected subnets
  

NSSA区域

一、基本概念

• 非纯末梢区域：在此区域内肯定会有一个ASBR路由器，需要在ASBR上配置重发
• OSPF的6种LSA
  • NSSA区域
    • type1
    • type2
    • type3
    • type4
    • type5：E1、E2（没有）
    • type7：N1、N2

NSSA收到外部类型7的数据，因为类型7的数据是新引入的，所有只有NSSA能识别，需要ABR把类型7的N1转换为类型5的E1，area0区域才能识别到

• 对LSA的影响
  • 类型7LSA在一个NSSA区域内携带外部信息
  • 类型7LSA在NSSA的ABR上被转化为5LSA
  • 不允许外部LSA
  • 汇总LSA被引入
• NSSA类型
  • N1
  • N2
  • 通过 NSSA的ABR之后转换为E1、E2

二、配置

• PC1

  en
  conf t
  int f0/0
  ip add 172.16.10.10 255.255.255.0
  no shut
  exit
  no ip routing
  ip default-gateway 172.16.10.254
  

• PC2

  en
  conf t
  int f0/0
  ip add 192.168.1.10 255.255.255.0
  no shut
  exit
  no ip routing
  ip default-gateway 192.168.1.254
  

• R3

  en
  conf t
  int f0/0
  ip add 172.16.10.254 255.255.255.0
  no shut
  int f1/0
  ip add 10.0.0.1 255.255.255.252
  no shut
  exit
  --------------------------------------
  router ospf 1
  network 10.0.0.0 0.0.0.3 area 2
  area 2 nssa no-summary  //关闭自动汇总
  

• R1

  en
  conf t
  int f0/0
  ip add 10.0.0.2 255.255.255.252
  no shut
  int f1/0
  ip add 20.0.0.1 255.255.255.252
  no shut
  exit
  ------------------------------------------------
  router ospf 1
  network 10.0.0.0 0.0.0.3 area 2
  area 2 nssa no-summary
  network 20.0.0.0 0.0.0.3 area 0
  

• R2

  en
  conf t
  int f0/0
  ip add 192.168.1.254 255.255.255.0
  no shut
  int f1/0
  ip add 20.0.0.2 255.255.255.252
  no shut
  exit
  -----------------------------------------------
  router ospf 1
  network 20.0.0.0 0.0.0.3 area 0
  network 192.168.1.0 0.0.0.255 area 0
  

末梢区域只有一条默认路由去连接其他区域

因为R1是属于NSSA区域，所以说还是N2类型，发送到area区域后才会转换为E2

虚链路

一、概念

• 在两台ABR之间去建立一条虚拟链路，穿越一个非骨干区域

二、目的

• 指一条通过一个非骨干区域连接到骨干区域的链路

• 通过一个非骨干区域连接一个分段的骨干区域

三、穿越区域的要求

• 虚链路必须配置在ABR之间
• 传送区域不能是末梢区域
• 虚链路的稳定性取决于当前区域的稳定性

四、配置

由于区域2没有直接和骨干区域相连，所以说学习不到其他区域的路由，所以需要在R3和R1之间创建一个虚链路

• R3

en
conf t
router ospf 1
area 1 virtual-link 40.0.0.2   //area要穿越的区域,下一个接口的id

• R1

en
conf t
router ospf 1
area 1 virtual-link 30.0.0.1

配置完成虚链路后，R5学习到其他区域的路由

show ip ospf virtual-link   //查看虚链路的信息

如果物理链路损坏，虚链路也就无效

访问控制列表（ACL）

一、ACL基本概念

1、什么是访问控制列表

• 是一种基于包过滤的访问控制技术（拆网络层的IP地址），广泛的应用于路由器和三层交换机中，基于数据包的五元组进行过滤（源IP，目标IP，源端口，目的端口，协议）

• 读取网络层和传输层的信息，进行过滤

2、工作原理

• 数据的流量走向（确定路由器的入口或出口，建议将ACL应用在入口，减少路由器的工作量）

• 工作过程

3、访问控制列表分类

• 标准
  • 基于源IP地址进行控制
  • 表号：1-99
• 扩展
  • 基于源IP、目的IP、指定协议、端口号、标志位来过滤
  • 表号：100-199
• 命名
  • 没有表号，使用名字作为表号
  • 直接使用
    • standard 标准ACL
    • extended 扩展ACL

4、配置

• 配置标准的访问控制列表

R1

en
conf t
--------------------------------------------------
方式一、access-list 1 deny host 192.168.10.10 //配置访问控制列表+表号（1-99）+deny+host+主机IP
方式二、access-list 1 deny 192.168.10.10 0.0.0.0   //0.0.0.0表示一台主机
	   access-list 1 deny 192.168.10.0 0.0.0.255  //0.0.0.255表示一个网段
-------------------------------------------------------
access-list 1  permit any  //允许其他所有
//将访问控制列表应用到接口
int g0/0
ip access-group 1(组号) in(此接口为入口)/out（此接口为出口）

结果

PC1能ping通，PC2不可达

5、ACL的应用规则

• 在一个接口的一个方向上只能应用一个ACL

  access-list 1 deny host 192.168.1.1
  access-list 2 deny host 192.168.2.1
  int f0/0
  ip access-group 1 in
  ip access-aroup 2 in    //此条无法应用
  

扩展ACL

• 要求
  • PC0无法访问服务器的DNS服务，其他服务不受影响
  • PC1无法访问服务器的HTTP服务，其他服务不受影响
  • 两台主机都无法ping通服务器
• 思路
  • 网络互通
  • 网络中路由器比较多的时候在那一条路由器上配置ACL
  • 配置在入口还是出口

一、环境搭建

• R0

en
conf t
ip route 192.168.30.0 255.255.255.0 10.0.0.2

• R1

en
conf t
ip route 0.0.0.0 0.0.0.0 10.0.0.1 

• 打开服务器的HTTP和DNS服务

• 配置完成后HTTP和DNS服务均可使用

• 阻止ping服务

access-list 100 deny icmp any  //拒绝所有ping服务

• 阻止DNS服务

access-list 100 deny udp host 192.168.10.10 host 192.168.30.30 ?
eq:等于
gt:大于
lt:小于
neq：不等于
rang:范围
access-list 100 deny udp host 192.168.10.10 host 192.168.30.30 eq ？
端口号   0-65535    udp基于53
---------------------------------------------------
拒绝UDP源10.10目的30.30 eq 53

• 阻止HTTP服务

access-list 100 deny tcp host 192.168.20.20 host 192.168.30.30 eq 80

• 允许其他所有

access-list 100 permit ip any any

• 应用到出口

int g0/2
ip access-group 100 out

二、格式

access-list 100 permit-deny 协议(icmp ip tcp udp) 源地址 目的地址 eq/gt/lt/neq/rang 端口号

命名ACL

一、删除访问控制列表

1、删除访问控制列表之前，需要先从应用的接口上取消

2、不管是标准的ACL还是扩展的ACL，删除时都是删除整个表的ACL（一次性全部删除）

撒大苏打打算达

二、好处

• 可以在某一个表内删除单条ACL或插入一条ACL

三、配置

en
conf t
ip access-list extended 名字
deny ip host 192.168.10.10 host 192.168.30.30
deny tcp host 192.168.20.20 host 192.168.30.30 eq 80
deny icmp host 192.168.20.20 host 192.168.30.30
permit ip any any

删除

en
conf t
ip access-list extended 名字
no 要删除的ACL前面的编号
end

添加

en
conf t
ip access-list extended 名字
序号 deny icmp host 192.168.10.10 host 192.168.30.30  //如果不加编号默认最后添加

网络地址转换NAT

• 静态转换
• 动态转换
• 端口多路复用PAT（华为NAPT）
• 端口映射/服务器映射

一、NAT基本概念

在IPV4的网络环境中，由于网络分为私网和公网，私网的地址无法在公网上进行路由

1、目的

• 将私网的地址转换为公网地址

2、转换方式

• 静态转换 仅进行IP地址转换 1对1转
• 动态转换 仅进行IP地址转换 多对多转 内网的一部分转换为外网的一部分
  • 内网地址多于外网地址 --会造成不能同时上网
  • 外网地址多于内网地址
• 端口多路复用PAT 使用最多
  • 多对一转 携带端口一起转换 每个ip地址有65535个端口
    • 192.168.1.1：8899---------------64.23.54.99：6677
    • 192.168.2.1：7848---------------64.23.54.99：8193
• 端口映射（服务器映射）
  • 将一台内网的服务器发布到外网，从而使外网的主机可以访问到内部的服务器
  • 目的地址转换

3、转换表中的四类地址

• 内部局部地址：发送方的内网
• 内部全局地址：发送方的外网
• 外部局部地址：接收方的内网
• 外部全局地址：接收方的外网

4、配置静态转换

• 固定 1----->1抓 192.168.1.1--------->64.23.54.99

• 命令

  #首先需要定义出口路由器的内网接口和外网接口
  ip nat inside source static 192.168.1.1 64.23.54.99
  

• 配置内网接口和外网接口

  • R1

    en
    conf t
    int g0/0
    ip nat inside   //指定为内网接口
    exit
    int g0/1
    ip nat outside    //指定为外网接口
    exit
    ip nat inside source static 192.168.10.10 23.34.56.100    //static表示静态转换
    

查看转换表

show ip nat translations

二、动态转换

• 动态的 多对多转

• 配置前需先定义访问控制列表和外网的范围

  • 定义内网范围（使用ACL来定义）

  en
  conf t
  access-list 1 permit 192.168.10.0 0.0.0.255
  

  • 定义外网的范围，使用名称指定范围IP

  ip nat pool 名字 23.34.56.70 23.34.56.71 netmask 255.255.255.0   //后面为公司外网IP开始的范围到结束的范围
  

  • 应用

  ip nat inside source list 1 pool 名称 	//list 1 表示动态
  

  • 清除路由器的转换表

  clear ip nat translation *
  

ping通后形成路由地址转换表，但是只能两台pc上网，因为外网IP地址已被用完,待其中一台PC关机后，清除路由器上的转化表，则可正常上网

三、NAT转换——PAT

• 端口多路复用(使用最广泛的，也称源地址转换/NAT代理上网，属于多对一的转换)

  • 主要是将内网的多个地址转换为外网的一个IP地址（将端口一起转换，从而进行区分）

    • 实验(转换为23.34.56.80)

- 配置内外网接口

  ```
  en
  conf t
  int g0/0
  ip nat inside
  eixt
  int g0/1
  ip nat outside
  ```

- 定义内网的范围

  ```
  access-list 1 permit any
  ```

- 定义外网的范围

  ```
  ip nat pool 名称 23.34.56.80 23.34.56.80 netmask 255.255.255.0
  ```

- 应用

  ```java
  ip nat inside source list 1 pool 名称 overload  //overload  会携带端口一起转换
  ```

• 将内网的多个地址直接转换为外网接口的地址

  ip nat inside source list 1 interface g0/1 overload
  

• 端口映射（服务器映射）
  • 主要是将内网的某一台服务器（服务器上就会有对应的服务）映射到外网的某一个IP地址的某个端口
    • 192.168.1.100:80-------------------------->23.34.56.78:80
    • 因为内网的端口标识了服务器的服务类型，所以不能更改
    • 映射出去的外网端口可以根改，但是会影响外网客户端访问时的端口号，如果映射的外网端口为8088端口，这时候外网客户机在访问内网服务器时，访问的是映射出去的IP地址及端口号（8088）（http://23.34.56.78:8088）
  • 是目前企业中针对内网服务器对外提供服务时使用（目的地址转换）

四、端口映射/服务器映射

配置

ip nat inside source static tcp 192.168.1.100 80(内网端口号) 23.34.56.78 80(外网端口号)

结果可以访问

ip nat inside source static tcp 192.168.1.100 80(内网端口号) 23.34.56.78 8088(外网端口号)

如果该为8088后，正常输入ip地址则不可访问需在后面加：8088端口号进行访问

五、总结

• 静态转换
  • 一对一转换 一个内网地址转换为一个外网地址，形成的是永久性的对应关系，可以根据外网地址直接定位到内网地址，可以实现内网到外网的访问，也可实现外网访问内网
• 动态转换
• 多对多转换 内网多个IP转换为外网多个IP，当内网主机数量多于外网IP地址个数时，无法实现内网所以主机同时上网，由于是动态的对应关系，所以无法根据外网地址锁定到内网地址，只能实现内网访问外网
• 端口多路复用（PAT）--------------内部的客户机需要上网
  • 多对一转换（源地址转换，NAT代理上网） 内网多个IP地址转换为外网一个IP地址（外网接口IP地址），使用不同端口号进行区分，形成的也是动态的对应关系，只能实现内网访问外网
• 端口映射/服务器映射/目的地址转换----------内网的服务器对外提供服务
  • 主要是将内网的某一台服务器（服务器上就会有对应的服务）映射到外网的某一个IP地址的某个端口
  • 形成的是一个永久性的对应关系，但是只能实现外网访问内网，无法实现内网访问外网

端口镜像

一、本地端口镜像

• 在一台交换机

二、远程端口镜像

• 将交换机A的某接口数据镜像到交换机B的某个接口上

三、基本概念

1、概述

• 将一个或多个源端口的数据流量转发到某一个指定端口

2、目的

• 方便一个或多个网络接口流量进行分析（IDS入侵检测）

3、功能

• 故障定位、流量分析、流量备份

4、配置本地端口镜像

将5号接口的流量镜像到9号接口上面

• 配置交换机

  en
  conf t 
  monitor session 1 source int f0/5 both	//定义源端口
  -------------------
  both  双向监控
  rx 		进入端口流量
  tx		出口端口流量
  monitor session 1 destination int f0/9	//定义目标端口
  

5、实体环境配置

• 插入交换机后，使用Xshell连接

  • 协议选SERIAL
  • 串口在本地电脑查看（COM…）

• show mac address-table   //查看端口连接信息
  

将5号端口和33号端口的流量都镜像到21号端口

en
conf t
monitor session 1 source int f0/5 both
monitor session 1 source int f0/33 both
monitor session 1 destination int f0/21

应用

  ```java
  ip nat inside source list 1 pool 名称 overload  //overload  会携带端口一起转换
  ```

• 将内网的多个地址直接转换为外网接口的地址

  ip nat inside source list 1 interface g0/1 overload
  

  [外链图片转存中…(img-3SLRxmFV-1651825736170)]

• 端口映射（服务器映射）

  • 主要是将内网的某一台服务器（服务器上就会有对应的服务）映射到外网的某一个IP地址的某个端口
    • 192.168.1.100:80-------------------------->23.34.56.78:80
    • 因为内网的端口标识了服务器的服务类型，所以不能更改
    • 映射出去的外网端口可以根改，但是会影响外网客户端访问时的端口号，如果映射的外网端口为8088端口，这时候外网客户机在访问内网服务器时，访问的是映射出去的IP地址及端口号（8088）（http://23.34.56.78:8088）
  • 是目前企业中针对内网服务器对外提供服务时使用（目的地址转换）

四、端口映射/服务器映射

配置

ip nat inside source static tcp 192.168.1.100 80(内网端口号) 23.34.56.78 80(外网端口号)

结果可以访问

[外链图片转存中…(img-A7M25Ed9-1651825736171)]

ip nat inside source static tcp 192.168.1.100 80(内网端口号) 23.34.56.78 8088(外网端口号)

如果该为8088后，正常输入ip地址则不可访问需在后面加：8088端口号进行访问

[外链图片转存中…(img-eks6VM4c-1651825736171)]

五、总结

• 静态转换
  • 一对一转换 一个内网地址转换为一个外网地址，形成的是永久性的对应关系，可以根据外网地址直接定位到内网地址，可以实现内网到外网的访问，也可实现外网访问内网
• 动态转换
• 多对多转换 内网多个IP转换为外网多个IP，当内网主机数量多于外网IP地址个数时，无法实现内网所以主机同时上网，由于是动态的对应关系，所以无法根据外网地址锁定到内网地址，只能实现内网访问外网
• 端口多路复用（PAT）--------------内部的客户机需要上网
  • 多对一转换（源地址转换，NAT代理上网） 内网多个IP地址转换为外网一个IP地址（外网接口IP地址），使用不同端口号进行区分，形成的也是动态的对应关系，只能实现内网访问外网
• 端口映射/服务器映射/目的地址转换----------内网的服务器对外提供服务
  • 主要是将内网的某一台服务器（服务器上就会有对应的服务）映射到外网的某一个IP地址的某个端口
  • 形成的是一个永久性的对应关系，但是只能实现外网访问内网，无法实现内网访问外网

端口镜像

一、本地端口镜像

• 在一台交换机

二、远程端口镜像

• 将交换机A的某接口数据镜像到交换机B的某个接口上

三、基本概念

1、概述

• 将一个或多个源端口的数据流量转发到某一个指定端口

2、目的

• 方便一个或多个网络接口流量进行分析（IDS入侵检测）

3、功能

• 故障定位、流量分析、流量备份

4、配置本地端口镜像

[外链图片转存中…(img-GkFvCuET-1651825736171)]

[外链图片转存中…(img-IPTK8r5c-1651825736172)]

将5号接口的流量镜像到9号接口上面

• 配置交换机

  en
  conf t 
  monitor session 1 source int f0/5 both	//定义源端口
  -------------------
  both  双向监控
  rx 		进入端口流量
  tx		出口端口流量
  monitor session 1 destination int f0/9	//定义目标端口
  

[外链图片转存中…(img-k9trOQqF-1651825736172)]

5、实体环境配置

• 插入交换机后，使用Xshell连接

  • 协议选SERIAL
  • 串口在本地电脑查看（COM…）

• show mac address-table   //查看端口连接信息
  

  [外链图片转存中…(img-QYXpFLAI-1651825736172)]

将5号端口和33号端口的流量都镜像到21号端口

en
conf t
monitor session 1 source int f0/5 both
monitor session 1 source int f0/33 both
monitor session 1 destination int f0/21

本文标签： 路由器交换机技术