DAY 1
HCIA华为认证的初级网络工程师
HCIP 高级
HCIE 专家
云技术-1.云计算-分布式计算 同时处理多台计算机
2.云存储-硬盘空间有限-诞生 百度网盘 阿里云
服务器多用Linux 专注于一两个功能 服务器和普通电脑没什么区别
DOS攻击-拒绝服务攻击-退出该做的事情 DDOS---分布式拒绝服务攻击 多台电脑攻击
木马----控制 病毒----破坏
抽象语言-电信号 (一台电脑就能完成)
抽象语言(比如说1 2)-编码(机器语言-c语言- python) 应用层 (通过人机交互实现不同的服务)
编码 ---二进制(一串0和1) 表示层
二进制 (电脉冲信号 高低电频)--- 电信号 介质(硬件) 介质访问控制层 (网卡的目的)
处理电信号 (定义电压接口规范光学特性) Cpu—计算电信号 物理层
网线
1946.2.14 军事 第一台电子计算机诞生时间
1876-贝尔获得电话专利-公共交换电话网-电路交换(人工)-1888年发展
阿帕网 军事
(民用)互联网-----internet
最早的网络 对等网 两台电脑加一线
两台电脑比一台电脑多增加。 1.网线 2.网卡 3.qq(软件)
对等网-变大-互联网这么大
1.增加网络节点数量
2.延长传输距离 无线和有线
传输介质
真名网线 RJ-45双绞线 八根铜丝 分为四组 每两组(抵消自身电磁干扰) RJ-45是水晶头的名字 RJ-11是方形电话线
传输电信号:传输介质 铜丝 (导电性)(延展性好) 导电性:银 铜 铝 金
生活小技巧: 买双绞线 找软一点 否则里面会有铝
屏蔽双绞线 八根线外面包层金属 减少外部电磁干扰的目的 在外面强干扰的情况下会使用
非屏蔽双绞线 线外无金属
目前最常用的-超5类线-传输速率 1000Mbps --100米--(电波) 线类越高 铜丝越粗
bps单位传输速率 bit 位每秒
100MB
1000bite(字节)=1K
1000K=1M
1000M=1G
文件的进度是1024
带宽的进度为10000
速度计算公式 100M/8*0.85=10.625M
传输-光信号,传输介质-光导纤维(玻璃纤维) 不能折
电信号-光信号 :注射激光二极管
光信号-电信号 :光电二极管
电话线 模拟信号 (模拟声波) 现在 数字信号(高低电频电脉冲)
光猫(光纤)--之前叫调制解调器(把模拟信号转化为数字信号)--信号转换的作用
单模光纤:注射激光二极管---
多模光纤:发光二极管(便宜)
中继器(放大器) (加电压) 物理层 解决信号弱化 只能延长----延长到五倍传输距离
中继器放大数字信号 放大器放大模拟信号
上面接电源 给他加压 接网线在左右两侧 中间有一块大铜片
增加网络节点数量
网络拓扑结构
1.直线型拓扑(总线型) 耗时耗精力
2.环形拓扑 (围成一个圈)
3.星型拓扑 (中转器)(性价比最高,使用最多)
4.网状拓扑(每两台电脑连接)
5.混合-典型的多环拓扑
6.树形拓扑
星形拓扑中间结构
集线器(hub) 物理层 类似放大器 只是多了一点接口
1.地址问题(1.世界上唯一的2.统一格式)
mac地址 芯片出厂时烧录的串号是世界上唯一的 由48位二进制组成
前24名代表制造商的标志 后24 制造商分配的串号 用于区分不同的芯片 物理地址(不变)-二层地址 址
IEEE分配给合法的厂商前24位
物理地址: 14-5A-FC-2C-BC-73 或者 145A-FC2C-BC73 我这台的mac地址
1.查询方式(win10):找到网络的标志 右击打开网络和Internet设置 状态 更改适配器选项 找到相应的网卡 右击状态 详细信息
2.查询 win r: ipconfig/all 用十二位十六进制来表示 (介质访问控制层)
在将二进制转化为电信号之前,介质访问控制层需要向其添加两个地址,一个SMAC,一个DMAC。
2冲突问题 垃圾 CSMA/CD---载波侦听多路访问技术/冲突检测-核心思想是排队
3.延迟问题
4.安全问题
交换机可以解决上述问题
交换机-二层设备 的作用:
0.提供端口密度
1.无限延长传输距离 电信号和二进制可以相互转换
2.完全解决冲突-所有节点可以同时收发数据
3.实现单播-一对一通信 (mac地址表-泛洪
交换机转发原理:数据来到交换机(电信号转换为二进制),交换机先看源MAC,将源MAC与数据进入接口的映射关系记录在MAC地址表中。然后看目标MAC,基于目标MAC去查看MAC若表中有地址表 如果有记录,则从相应的接口转发记录 单播;否则,将进行泛洪 --- 除数据输入的接口外 此外,数据将转发到所有剩余接口。
交换机的一个接口可以对应多个接口MAC但是,一个地址MAC地址只能对应一个接口。
MAC地址泛洪攻击 (构造虚拟mac地址 ,把mac填写地址表,其他人发送信息,只能通过洪水,这样黑客就可以知道一些信息 这样会产生DOS攻击和延迟 )
Mac地址表老化时间-300s
(每个交换机就像一个孤岛)
路由器 (网络层)(三层设备)(连接孤岛)
应用层
表示层
网络层 路由器
介质访问控制层
物理层
路由器:
1.隔离泛洪范围-路由器接口对应泛洪范围
2.转发
Ip地址可以缩小泛红范围
Ip---互联网协议----ipv4----32位二进制 (43亿IP地址)-- 点分十进制
(不够用) Ipv6----128位二进制 (地球上的每一粒沙子都有ip)--冒分十六进制
口号:万物互联
DAY 2
IP搜索地址的方法:1。mac地址一样
2. ipconfig
IPv4 地址 . . . . . . . . . . . . : 192.168.43.105(点分十进制)
本地链接 IPv6 地址. . . . . . . . : fe80::9426:33e5:b05e:1953%3
二进制到十进制
00000001 == 1
00000010 == 2
00000100 == 4
00001000 == 8
00010000 == 16
00100000 == 32
01000000 == 64
10000000 == 128
----------次方轴
十进制===二进制 凑
192
128 64 32 16 8 4 2 1
11000000
168
10101000
43
00101011
105
01101001
二进制 --- 十进制 --- 加
11001101
128 64 32 16 8 4 2 1
128+64+8+4+1=205
11000101.11001111.00010101.01110001
128+64+4+1=197
128+64+1+2+4+8=207
1+4+16=21
1+16+32+64=113
网络位:网络位相同,则代表在同一个泛洪范围
主机位:区分同一个泛洪范围不同主机
192.168.43.105
11000101.11001111.00010101.01110001
子网掩码 11111111.11111111.11111111.00000000 1是网络位 0是主机位
连续的0和1组成
Ping---检测网络联通性的工具,通过发送icmp协议的数据包 实现网络连通性的检测 echo
bytes 回的数据包的字节数
seq队列
ttl该字段指定的IP包被路由器丢掉之前允许通过的最大网段数量
time 延迟正常30ms到40ms
Arp协议 地址解析协议----通过一种地址获取另一种地址
48位二进制全是1的MAC地址 不会在现实用
广播:逼迫交换机泛洪
广播域==泛洪范围
广播地址---十二位全F
广播不等于泛洪
:ARP以广播的形式发送ARP请求包。所有收到广播包的设备会先记录数据 包源IP和源MAC的对应关系,记录在本地的ARP缓存表;之后看请求的IP,如果请求IP不是自己 本地的IP,则将该数据包直接丢弃;否则, 将以单播的形式回复ARP应答。在之后的数据 传输中,优先查看本地ARP缓存表中的记录,如果存在记录,则直接按照ARP缓存表中的 记录来发送;如果没有记录,则需要重新发送ARP请求。
ARP缓存表老化时间 --- 180S
arp -a --- 查看本地的ARP缓存表
ARP欺骗 ARP拒绝访问
ARP的分类
正向ARP : 通过IP地址获取MAC地址
反向ARP : 通过MAC地址获取IP地址 RARP
免费ARP : 利用正向ARP的工作原理请求自己的IP地址
1,自我介绍;2,检测地址冲突
IP地址的分类 A,B,C,D,E 五大类
A,B,C --- 单播地址(既可以做源IP使用,也可以做目标IP使用)
D --- 组播地址 --- 只能作为目标IP使用,不能作为源IP使用
E --- 保留地址
通讯方式
单播--一对一的通讯
组播--- 一对多(同一个组播组)------必须要配置组播环境
广播---一对所有(同一个广播域的所有)
A:0XXX XXXX---(0-127) 1-126 对应大型网络 A:255.0.0.0
B:10XX XXXX---(128-191) 对应中型网络 B:255.255.0.0
C:110X XXXX---(192-223) 对应小型网络 C:255.255.255.0
D:1110 XXXX---(224-239)
E:1111 XXXX---(240-255)
更改IP地址
打开网络适配器 找到网卡 右击属性 Internet协议版本4(TCP/IPV4)
1,127.0.0.1 - 127.255.255.254 --- 环回地址 主要可以用于测试
2,255.255.255.255 --- 受限广播地址 --- 只能作为目标IP地址使用---受路由器的限制
3,主机位全1 --- 192.168.1.x/24 192.168.1.255 ---- 直接广播地址 --- 只能作为目标IP使用
4,主机位全0 --- 192.168.1.x/24==192.168.1.0 /24--- 代表一个范围(192.168.1.1 -192.168.1.254) --- 网段 -- 网络号
5,0.0.0.0 --- 1,可以代表没有ip (dhcp);2,可以代表所有IP
6,169.254.0.0/16 --- 自动私有地址/本地链路地址
上不了网
ping自己的IP 可以ping通说明 这个广播域没有问题 问题在路由器上或者另一个广播域
要是ping网关ping 不通 看看ping一下在这个广播域里其他的电脑 如果能ping通 说明交换机没问题 问题在交换机到路由器
要是ping不同 应该是本机到交换机之间的问题
要是ping自己ping不同 就是自己的问题 (软件 硬件) 1.ping一下环回地址 要是ping的通 软件没问题 问题出现在物理网卡上 2.要是ping不同 软件有问题
两个技术
VLSM --- 可变长子网掩码 --- 子网划分
192.168.1.0/24 划分两个网段
192.168.1.0 0000000
192.168.1.0 0000000 /25 192.168.1.0/25 可用范围192.168.1.1 - 192.168.1.126
192.168.1.1 0000000 /25 192.168.1.128/25 可用范围192.168.1.129 - 192.168.1.254
172.16.0.0/16 --- 划分8个网段
CIDR—--无类域间路由----汇总网段用
取相同,去不同。(二进制)
172.16.0.0/24
172.16.1.0/24
172.16.2.0/24
172.16.3.0/24
172.16.0.0/22---------------------子网汇总
比子网掩码 短 超网
长 子网
DAY 3
OSI七层参考模型
OSI/RM--开放式系统互联参考模型 o--open s--system i--interconnection 开放式系统互联参考模型
1979年--ISO—国际标准化组织
OSI核心思想---分层---属于同一层的不同功能,具有相同或相似的目的和作用;每一层都在下一层提供服务的基础上再提高更高层次的服务,最上层提供的是人机交互的应用服务。
分层的作用:1.更易于标准化
2.降低层次之间的关联性,层次之间可以独自发展
3.更容易学习或理解
应用层--通过人机交互实现不同的服务
表示层---编码 解码 加密解密
会话层----维持主机网络应用和网络应用服务器之间的会话连接 会话层地址(建立 维持 终止会话进程)
传输层---实现端到端的通讯--应用到应用--端口号(传输层地址)---区分和标定不同的应用—16位二进制---------1—65535-----1-1023知名端口号 应用(HTTP是80 FTP是20/21 文件传输协议)(通过端口号区分不同的服务 数据分段 确认 重传 排序 流控) 1-1023 为著名端口号 0为保留端口号
1024-65535为高端口号动态端口号
网络层 通过ip地址进行逻辑寻址 路由器
数据链路层---MAC(介质访问控制层),LLC(逻辑链路控制层)---FCS(真校验序列-----看是否被篡改)---校验数据完整性---CRC(循环冗余算法)
物理层 定义电气电压接口规范光学特性
TCP/IP模型-------(传输层)
TCP/IP协议族----只是这两个最有名所有以它命名
TCP/IP四层模型--TCP/IP标准模型
TCP/IP五层模型--TCP/IP对等模型
PDU协议数据单元
L1PDU
L2PDU
。。。
L7PDU
应用层---报文
传输---段
网络---包
数据链路层---帧
物理层---比特流
封装和解封装
应用层---有端口号分装的 不是所有应用层都有端口号 (例如:区分qq号)
传输层---端口号---TCP UDP
网络层---IP地址---封装IP地址是IP协议
数据链路层—MAC地址---以太网协议—以太网(交换机组成的网络):早期局域网的解决方案,现在也在用在广域网当中。就是依靠MAC地址寻找的一二层网络
物理层—不需要分装
以太网二型帧
TYPE字段表示上一层所使用的协议类型
PREAMBLE前导符 区分每一个帧
FCS 确保数据完整性
应用层---HTTP超文本传输协议TCP 80 8080
HTTPS 安全 =HTTP+SSL/TLS(加密)---TCP 443
FTP --文件传输协议--提供互联网文件资源共享服务 需要登录 TCP 20/21
TFTP---简单文件传输协议----身份认证 只能上传和下载 UDP 69
telnet 远程登陆标准协议---TCP 23
SSH TCP 22
DHCP 动态主机配置协议----UDP 67/68
DNS 域名解析协议---UDP/TCP 53
有端口号的一定是应用层协议
传输层—端口号---TCP/UDP协议
TCP和UDP区别
-
TCP是面向连接的协议,UDP是无连接的协议;
-
TCP协议传输是可靠的,UDP协议传输是“尽力而为”;
-
TCP可以进行流控,UDP不行;
-
TCP可以进行数据分段,UDP不行
-
TCP传输速度较慢,占用资源较大,UDP传输速度较快,占用资源小
TCP和UDP的应用场景:TCP更适合对传输可靠性要求较高,但是对速度要求较低的场景,UDP更适合对速度要求较高,对可靠性要求较低的场景 (即时类通讯)
面向连接:在数据传输之前,先使用预备的协议建立点到点的连接,然后再传输数据的过程
传输层在数据前面增加头部 没有尾部 然而二层在数据前面有头部 后面有尾部
TCP包头 最短20字节
序号:排序 把每一段进行排序
选项 一般为零
tcp---可变长头部
URG--紧急标记位 紧急指针指向紧急的数据的最后一位
ACK--确认标记位
PSH--不经过等待 进程直接进行处理
RST--强制断开TCP连接
SYN--请求标记位
FIN--结束标记位
校验和---确保数据的完整性---伪头部校验---将网络层封装的12个字节的内容一起进行校验:32位源IP地址,32位目标IP地址,8位的协议号,8位的保留,16位的报文长度
UDP的头部长度-------8字节
TCP建立连接的过程 ---三次握手
TCP断开连接的过程----四次挥手
TCP的传输是可靠的-----确认机制,重传机制,排序机制,流控机制
滑动窗口 win=多少是可变的 目的最大传输数据
IP协议
ipv4----可变长头部
ttl----生存时间--数据包每经过一个路由器 TTL值将减一 当TTL值减到0时 数据包将不会被路由器转发,将直接丢弃。
协议--也是上一层用的协议 协议号 tcp(6) udp(7) icmp(1)
IP分片
数据分段
Mtu 最大传输单元 1500字节 数据链路层
Mss 最大段长度 1460字节 需要协商,当两方不同时,将按照小的一方执行(在三次握手中的前两次SYN包中进行协商)
DAY 4
GE ----1000Mbps=1Gbps
Ethernet---100Mbps
百兆口连百兆口 千兆口连千兆口
0/0/0
第一个数字跟你差板卡的位置有关
交换机不需配IP
先给路由器配IP
命令框 又叫 CLI界面 command line interface
华为根据配置权限的不同,将CLI界面分成了不同的视图
<Huawei>---用户视图---仅具有查看配置的操作,不能进行配置操作
<Huawei>display Ip interface brief---查看接口IP的简表
physical ---物理接口 如果up 代表该接口具备物理层面的通信条件
Protocol----如果up 代表该接口具备协议层面的通信条件
只有一个接口双up,才代表该接口可以完成通讯
<Huawei>system-view---进入到系统视图
[Huawei]---系统视图----可以进行一些全局类的配置
[Huawei]sysname aa-----修改路由器名称
[aa]
[aa]quit----退回上一个视图
q-----华为支持简写
CTRL+z----直接回到用户视图
[aa]interface GigabitEthernet 0/0/0---进入接口视图
[aa-GigabitEthernet 0/0/0]ip address 192.168.1.1 255.255.255.0---配置IP地址
[aa-GigabitEthernet 0/0/1]ip address 192.168.2.1 24
删除命令 undo..... 在命令前面加undo即可
display this ------查看已做的配置
[aa]display current-configuration 查看当前的配置操作--查看缓存中的配置
闪存---FLASH <aa>save
<aa>display saved-configuration---查看闪存中的配置内容
帮助系统:
tab---可以补全命令
?---可以查看后续命令或者时后续可跟的参数
访问网络中的服务器
1.通过ip地址访问
2.通过域名来访问 dns 域名解析为ip
3.通过应用程序或APP来访问
DNS----域名解析协议----基于UDP/TCP 53端口传输数据
典型的c/s架构的协议 c:client 客户端 server 服务器
DNS客户端----通过域名上网的电脑
DNS服务器----完成域名解析的服务器
DNS的工作原理:上网前先根据域名去找DNS服务器查对应的IP地址,之后再根据IP地址访问服务器。
www.baidu.com ---从右往左,一个点号分割一个域名层次,层次逐渐降低范围逐渐精准
为配合这种层次化的域名结构,我们DNS服务器按照联机分布式数据库系统来部署
DNS服务器支持的查询方式---递归查询
迭代查询
电脑---(递归查询--UDP 53)--本地DNS服务器---(迭代查询 tcp 53)---跟服务器逐渐向下查询
DHCP---动态主机配置协议---使用的是UDP 67/68进行通信
典型的C/S架构协议------DHCP客户端 ------需要获取IP地址的设备---68端口
DHCP服务器----提供IP地址的设备--67端口
第一种场景:pc首次获取ip地址
1.DHCP客户端------DHCP服务器:以广播的形式发送 Discover--------广播
2.DHCP服务器-----DHCP客户端:DHCP-offer------单播/广播
offer包中会携带一个有效的ip地址,并暂时为DHCP客户端保留
3.DHCP客户端---DHCP服务器:DHCP-request包-------广播(当DHCP客户端获得多个DHCP-OFFER包时,将会选择第一个获取到的offer包中的IP地址作为请求IP)
4.DHCP服务器-----DHCP客户端:DHCP-ACK-----单播/广播
第二种场景:PC再次获取IP地址
1,DHCP客户端----DHCP服务器:DHCP---request包---广播
2,DHCP服务器------DHCP客户端:DHCP-ACK/DHCP-NAK 重复上面的情况 IP被人顶替
DHCP-Release----DHCP客户端主动释放IP地址
租期---24h
T1---租期的50%----12h-------DHCP客户端----DHCP服务器:DHCP-request包---单播
T2----租期的87.5%----21h-----DHCP客户端----DHCP服务器:DHCP-request包---广播
DHCP服务器的配置
1.开启DHCP服务
[Huawei]dhcp enable
2.创建一个地址池
[Huawei]ip pool aa
Info: It's successful to create an IP address pool. [Huawei-ip-pool-aa]
3.配置地址池
[Huawei-ip-pool-aa]network 192.168.1.0 mask 24----写入IP地址池种所有的网段
[Huawei-ip-pool-aa]gateway-list 192.168.1.1------配置网关
[Huawei-ip-pool-aa]dns-list 114.114.114.114 8.8.8.8 -----配置dns服务器 跟服务器
4.去接口选择全局配置
[Huawei-GigabitEthernet0/0/0]dhcp select global
路由器的作用
1、分隔广播域
2、转发
路由表
路由器的转发:当一个数据包来到路由器,路由器将基于数据包中的目标IP地址查询本地路由表,若表中存在记录,则将无条件按记录转发,若没有记录,则将直接丢弃该数据包
[Huawei]display ip routing-table ------查看路由表
Destination/Mask ---目标网段和掩码---目的地
Proto---协议,可以理解为该路由的类型
Direct 直连 路由器接口直接通过网线连接形成的网络---直连网段----直连网段对应的路由
NextHop ----下一跳--(经过路由器的一次转发称为一跳)数据下一个需要经过的路由器的入接口的IP地址
Interface---出接口---数据包发出的接口
直连路由:自动生成
条件:1.接口具备IP地址
2.接口双up
DAY 5
路由器和路由器之间的链路---骨干链路(总线链路)----骨干链路一般不放用户
路由器获取未知网段路由条目的方法:
静态路由:由网络管理员手写的路由条目。
动态路由:所有路由器上运行相同的一种动态路由协议,之后通过路由器之间的沟通,协商最终计算生成的路由条目。
直连路由
[r1]ip route-static 192.168.3.0 192.168.2.2---静态路由添加命令
192.168.3.0/24 Static 60 0 RD 192.168.2.2 GigabitEthernet0/0/1
PRE---优先级---当两条路由条目的目标网络相同时,仅加载优先级高的路由条目到路由表中。
注意:优先级数值越小,优先级反而越高。优先级的取值范围0-255
华为设备:直连路由优先级默认为0,静态路由优先级默认为60。
RD-该路由条目需要递归查找出接口 [r1]ip route-static 192.168.3.0 24 GigabitEthernet 0/0/1 192.168.2.2 加上出接口添加静态路由 这样写就是D
路由环路----很危险
TTL初始值有三种
64 128 255
拓展配置
1.负载均衡:当路由器访问同一个目标具有多条开销相似的路径时,可以让设备将流量拆分后沿多条路径同时传输,达到叠加带宽的效果。
192.168.6.0/24 Static60 0 RD 192.168.2.2 GigabitEthernet0/0/1 Static 60 0 RD 192.168.3.2 GigabitEtherneto/0/2
2.环回接口:路由器配置的虚拟接口。
实的不行,来虚的。
[r1]interface LoopBack0-创建环回接口 [r1-LoopBacko]
loonback可以0-1023
3.手工汇总:当路由器可以访问多个连续的子网时,若均通过相同的下一跳,可以将这些网段进行汇总计算,之后仅编辑到达汇总网段的静态路由即可,以达成减少路由条目,提高转发效率的目的。
4.路由黑洞
192.168.0.0/22 192.168.0.0/24 192.168.1.0/24 192.168.2.0/24 192.168.3.0/24
在汇总中,若包含网络内实际不存在的网段时,可能使流量又去无回,造成链路资源的浪费 合理的子网划分和汇总可以减少避免黑洞的产生。
5.缺省路由:一条不限定目标的路由条目;查表时,若本地所有路由均未匹配,则将匹配缺省路由。
一旦路由黑洞和缺省路由相遇,将100%出环
6.空接口路由:在黑洞路由器上,配置一条到达汇总网段指向空接口的路由。
1,空接口:null0口,路由器的一个虚拟接口,如果一条路由的出接口为空接口则代表将该流量丢弃。 2,路由表的匹配原侧:最长匹配原侧(精准匹配原则)
7.浮动静态路由:通过修改静态路由的默认优先级,实现静态路由的备份效果
[r1]ip route-static 192.168.2.0 24 21.0.0.2 preference 61---改变优先级[r1]display ip routing-table protocol static----过滤出static的协议
小技巧:
[ri]ping -a 可以指定源IP发送ping包 IPADDR<X.X.X.x>Source Ip address used by PING [r1]ping -a 192.168.1.1 192.168.3.1 [r1-GigabitEthernet0/0/1]shutdown-------把这个接口关掉
DAY 6
4个换回(两个合并成一个)+1个(被划为6个的骨干 借三位)=5
192.168.1.0/24---分成五个 192.168.1.000 00000/27---骨干链路
192.168.1.000 000 00/30---192.168.1.0/30 192.168.1.000 001 00/30---192.168.1.4/30 192.168.1.000 010 00/30---192.168.1.8/30 192.168.1.000 011 00/30---192.168.12/30 192.168.1.000 100 00/30---192.168.16/30 192.168.1.000 101 00/30---192.168.20/30
192.168.1.00000000/30 192.168.1.00000000/30
192.168.1.001 00000/27---192.168.1.32/27-----R1环回
192.168.1.001 0 0000/28---192.168.1.32/28
192.168.1.001 1 0000/28---192.168.1.48/28
192.168.1.01000000/27---192.168.1.64/27----R2环回
192.168.1.010 0 0000/28---192.168.1.64/28
192.168.1.010 1 0000/28---192.168.1.80/28
192.168.1.01100000/27--192.168.1.96/27----R3环回
192.168.1.011 0 0000/28---192.168.1.96/28
192.168.1.011 1 0000/28---192.168.1.112/28
192.168.1.100 00000/27---192.168.1.128/27---R4环回
192.168.1.100 0 0000/28---192.168.1.128/28
192.168.1.100 1 0000/28---192.168.1.144/28
192.168.1.10100000/27 192.168.1.11000000/27 192.168.1.11100000/27
静态路由:由网络管理员手写的路由条目
动态路由:所有路由器上运行相同的一种动态路由协议,之后通过路由器的沟通,协商最终计算生成的路由条目。
静态路由
优点:1. 选路由管理员选择,相对更容易掌控
2.不需要占用额外的资源
3.更加安全
缺点:1.在复杂的网络环境中,配置量较大
2.一旦网络结构发生变化,静态路由不能基于拓扑的变化而变化(收敛---不能基于拓扑的变化而自动收敛)
动态路由
优点:1.可以基于拓扑的变化而自动收敛
2.部署简单,仅需在所有上运行相同的路由协议即可
缺点:1.路径由单一算法计算得出,不一定是最优路径,甚至可能出现环路
2.会额外占用路由器硬件资源和链路带宽资源
3.因为设备之间存在信息传递,所有,比较容易被利用产生安全问题。
总结
1.静态路由适合小型简单的网络环境
2.动态路由设用于复杂的网络环境中
AS----自治系统-----将网络分块管理-----由单一的机构或组织所管理的一些列IP网络及其设备所构成的集合
AS的管理---AS存在编号---由16二进制构成(0-65535)---现在也有拓展版的AS编号---32位二进制构成
AS的通信
AS内部通信所使用的协议----IGP(内部网关协议)-----RIP,OSPF,IS-IS,EIGRP(思科私有)等
AS之间通信协议----EGP(外部网关协议)-----BGP等
IGP根据算法进行分类 距离矢量型协议(DV)---路由器之间直接发送路由条目信息。----使用的算法:贝尔曼福特算法----(bellman-Ford算法)----“依据传闻的路由协议”----RIP 链路状态型协议(LS)---链路状态(LSA--链路状态通告)---使用的算法:SPF算法 最短路径优先算法---将图形结构转化为树形结构---ospf,is-is
RIP----路由信息协议
邻居---相邻的两个路由器可以直接通过直连网段进行通讯
Destination/Mask,度量值(Metric)----开销值(Cost)----动态路由重要的选路依据
开销值:当动态路由计算出多条到达相同的路径时,将比较他们的开销值,会选择开销值最小的加入到路由表中。
不同协议之间,比较优先级。 相同协议之间,比较开销值。
不同路由协议之间,他们的开销值的度量标准是不一样的。不同协议的开销值没有可比性,
RIP是以跳数作为开销值度量的
RIP支持等开销负载均衡
RIP的默认优先级---100(华为定义的)
RIP存在一个工作半径---15跳。当RIP收到一个目标网段路由的开销值为16跳时,则认为该网段不可达。
RIP在传递路由条目的数据包中所携带COST=本地路由表中该网段的开销值+1
Bellman-Ford算法
1,AR1收到AR2发送的2.2.2.0/24网段的路由信息,但是,AR1本地路由表中没有这条网段的路由信息;则直接将该路由刷新到AR1的路由表
Destination/Mask Proto Pre Cost Flags NextHop Interface
2.2.2.0/24 RIP 100 1 D 12.0.0.2 g0/0/0
2,AR1收到AR2发送的2.2.2.0/24网段的路由信息,但是,AR1本地路由表中有这条网段的路由信息,则看下一跳,本地路由表中的下一跳就是AR2;这种情况下直接将R2发送的路由信息刷新到路由表中。
3.AR1收到AR2发送的2.2.2.0/24网段的路由信息,但是,AR1本地路由表中有这条网段的路由信息,则看下一跳,本地路由表中的下一跳不是AR2;则比较开销值,若本地的开销值大于AR2发来的路由的开销值,则将AR2发的路由信息刷新到路由表中。
4.AR1收到AR2发送的2.2.2.0/24网段的路由信息,但是,AR1本地路由表中有这条网段的路由信息,则看下一跳,本地路由表中的下一跳不是AR2;则比较开销值,若本地的开销值小于AR2发来的路由的开销值,则不刷新AR2发的路由信息。
RIP 的版本
一共存在3个版本----RIPV1,RIPV2,RIPNG
RIPV1,RIPV2----IPV4
RIPNG----IPV6
RIPV1和RIPV2的区别 1,V1是有类别的路由协议,V2是无类别的路由协议 ( 类别就是有没有子网掩码)
V1在发送目标网段信息时,不携带子网掩码; V2在发送目标网段信息时,携带子网掩码。
2,V1不支持手工认证,V2支持手工认证---通过相同的口令完成身份认证
3,V1采用广播的形式发送信息;V2是通过组播的形式发送信息;----224.0.0.9
RIP传输层使用的是UDP协议,通信端口为520端口。
RIP的数据包
request----请求包
response---响应包(包含路由信息)---更新包
RIP在收敛完成之后,依然会每隔30s发送一个response包---RIP的周期更新
1.弥补RIP自身没有确认机制
2.弥补RIP自身没有保活机制
RIP的周期更新---异步周期更新
RIP的计时器----1,周期更新计时器---30S +-5s
2,无效计时器·180S·路由条目刷新后将启动一个180S的无效计时器,若计时器结束路由未刷新,则认为路由不可达。则将该路由从全局路由表中删除掉,并将该路由条目的开销值改为16,并且将其存放在缓存当中,之后周期更新的时候依然会携带。----带毒传输
3.,垃圾回收计时器--120S-无效计时器归0后,开始计时,120S时间到则将彻底别除该路由。更新时也不再发送。
RIP的破坏机制 1,触发更新---当网络拓扑结构发送变化时,第一时间将变化信息传递出去 2,水平分隔---从哪个接口学来的,不再从哪个接口发出去 3,毒性逆转---从哪个接口学来的,还从哪个接口发出去,但是带毒
因为毒性逆转和水平分割做法矛盾,所以只能二选其一。华为设备默认开启水平分割,但如果水平分割和毒性逆转同时开启,华为设备将按照毒性逆转的规则来执行。
RIP的配置 1,启动RIP进程
[r1]rip1----仅具有本地意义,区分多个RIP进程使用--(如果不带进程号,默认是1) [r1-rip-1]
2,选择RIP的版本
[r1-rip-1]version 1
3,宣告 宣告的要求:1,所有直连网段都需要宣告 2,必须按照主类宣告
[r1-rip-1]network 1.0.0.0
宣告的目的 1,激活接口了只有激活的接口才可以收发RIP的数据包 2,发布路由·只有激活的接口所对应的网段的路由信息才能发布出去
[ri]display rip 1 route
RIP的拓展配置 1,RIPV2的手工认证
[r1-GigabitEthernet0/0/0]rip authentication-mode md5 usual plain 123456
2,RIPV2的手工汇总
[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0
3,沉默接口
[r1-rip-1]silent-interface GigabitEthernet 0/0/1
4,加快收敛-修改计时器
[r1-rip-1 ]timers rip 30 180 120-修改计时器时不能修改他们的倍数关系
5,缺省路由
[r3-rip-1]default-route originate
ACL---访问控制列表---策略
配置了ACL的网络设备根据事先设定好的报文匹配规则,对经过该设备的流量按照规则进行匹配,对匹配 上的流量执行设定好的动作。
ACL的功能 1,访问控制:在路由器流量流入或者流出的接口上,匹配流量,然后执行设定好的动作。---permit(允许);deny(拒绝) 2,抓取感兴趣流:ACL和其他服务结合使用,ACL负责匹配对应的流量,而其他的服务对匹配到的流量执行相应的动作。(流量控制---ACL和Qos服务质量技术)
ACL控制列表的匹配规则 自上而下逐一匹配,匹配上,则按照对应的动作执行,不再向下匹配。 思科体系的设备,在ACL访问列表的末尾隐含了一条拒绝所有的规则 华为体系的设备,在ACL访问列表的末尾隐含了一条允许所有的规则
ACL的分类 基本ACL:仅关注数据包中的源IP(只看你是谁) 高级ACL:除了关注数据包中的源IP以外,还会关注数据包中的目标P,及协议和端口号。(不光看你是 谁,还要看你去哪,去干嘛) 二层ACL 用户自定义ACL
需求一:PC1可以可以访问3.0网段,但是PC2不行 基础ACL的位置原则:由于基础ACL仅关注数据包中的源P地址,故调用时应尽量靠近目标,避免对其他地址访 问误伤
1,创建ACL列表
[r2]acl ? INTEGER<2000-2999> Basic access-list (add to current using rules)---基础ACL编号 INTEGER<3000-3999> Advanced access-list (add to current using rules---高级 INTEGER<4000-4999> Specify a L2 acl group----二层 ipv6 ACL IPv6 name Specify a named ACL number Specify a numbered ACL [r2]acl 2000
2,在ACL列表中添加规则
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0---通配符----0对应位不可变,1对应位可变。0和1可以穿插使用 [r2-acl-basic-2000]rule permit source any---允许所有 [r2]display acl 2000---查看ACL列表 [r2-acl-basic-2000]rule6 deny source192.168.1.20.0.0.0--通过序号来添加规则 [r2-ac|-basic-2000]undo rule 6---按照序号删除规则
华为默认以5为步调自动添加规则序号,其目的时为了方便在中间插入规则。
3,接口上调用ACL列表
[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
切记:一个接口的一个方向上只能调用一张ACL列表
需求二:要求PC1可以ping通PC3,但是不能ping通PC4. 高级ACL的位置原则:由于高级ACL对流量进行精确匹配,可以避免误伤,所以,调用时应尽量靠近源,减少链路资源的浪费。
[r1]acl name xuqiu2 3000 ---通过重命名的方式创建ACL列表 [r1-acl-adv-xuqiu2]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
需求三:要求PC1可以ping通R2,但是不能telnet R2
telnet---远程登陆协议
带内管理---通过网络对设备进行管理控制
通过telnet/SSH管理设备
通过web进行设备管理
通过SNMP协议进行设备管理
带外管理---不需要通过网络对设备进行管理控制
通过console口进行管理
通过AUX接口进行管理
telnet实现远程登陆的两个必要条件
1,登录设备和被登录设备网络可达
2,被登录设备必须开启telnet服务
telnet----典型C/S架构的协议。登录设备扮演telnet客户端的角色,被登录设备扮演telnet服务器的角色。---TCP 23
路由器开启telnet服务的方法 1,进入aaa服务 [r2]aaa 专门存储和管理账号的地方 [r2-aaa] 2,创建登录用的用户名和密码 [r2-aaa]local-user admin privilege level 15 password cipher 123456 [r2-aaa] 3,定义该用户所对应的服务 [r2-aaa]local-user admin service-type telnet 4,开启虚拟的登录端口 [r2]user-interface vty 0 4-同时开启5个虚拟的登录端口 [r2-ui-vty0-4]
5,定义登录认证模式
[r2-ui-vty0-4]authentication-mode aaa
[r1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
开启telnet功能
win10 步骤:控制面版 程序-卸载程序 启用或关闭Windows功能 Telnet客户端
登录telnet
<R1>telnet 192.168.2.2 --- <R3>user <R3>password
[r2]display current-configuration--查看本地缓存表
DAY 7
OSPF
1,选路的好坏
2,收敛速度
3,占用资源大小
选路佳,收敛快,占用资源小
OSPF---开放式最短路径优先协议---典型的链路状态型协议
以带宽作为选路标准
RIP---RIPV1,RIPV2-----IPV4 RIPNG----IPV6 OSPF---OSPFV1(实验室阶段夭折了),OSPFV2----IPV4 OSPFV3---IPV6
RIPV2和OSPFV2的相同点和不同点
相同点 1,OSPFV2和RIPV2都是无类别的路由协议,都支持VLSM和CIDR 2,OSPFV2和RIPV2都是以组播的形式发送。 RiPV2--224.0.0.9 ospfv2--224.0.0.5和224.0.0.6
3,ospfv2和ripv2都一样支持等开销负载均衡
不同点:
RIP只能应用在小型的网络环境中,但是OSPF可以应用在中大型网络环境当中。
OSPF为了适应中大型的网络环境,需要进行结构化部署。---区域划分
如果一个网络中只包含一个ospf区域,则我们将这样的网络称为单区域ospf网络。
如果一个网络中包含多个ospf区域,则我们将这样的网络称为多区域ospf网络。
划分区域的主要目的:区域内部传递拓扑信息,区域直接传递路由信息。
区域边界路由器(ABR):同时属于两个区域,一个接口属于一个区域,而且至少有一个接口在区域0。区域直接可以有多个ABR,一个ABR可以属于多个区域
区域划分的要求:1,区域之间必须存在ABR
2,区域划分必须按照星型拓扑结构划分---所以区域都需要围绕骨干区域进行划分
为了方便管理,我们给ospf的区域怎加了编号标识---区域id(area ID)---由32位二进制构成--我们规定骨干区域的编号必须是区域0。
1,ospf的数据包类型
ospf一共有5种数据包
1,hello包---用来周期发现,建立和保活邻居关系的。
ospf的hello包默认是以10s为周期发送一个
ospf的失效判定时间为4倍的hello时间---死亡时间(dead time)
RID--用来区分和标识ospf网络中的路由器
1,全网唯一(ospf网络)2,格式统一(统一按照IP地址格式来定义)
RID的获取方法:1,手动配置---符合上述两个要求即可
2,自动生成---先从换回地址取最大的IP作为RID,若没有换回地址,则取物理地址中最大的IP作为RID。
1,hello包中会携带RID 2,DBD包---数据库描述报文---存储lsa(拼图)的地方---lsdb(链路状态数据库)---菜单 3,LSR包---链路状态请求报文---基于dbd包请求未知的LSA信息 4,LSU包---链路状态更新报文--真正携带LSA信息的报文 5,LSACK包链路状态确认报文
OSPF存在每30Min一次的周期更新。
2,ospf的状态机
two-way状态---双向通讯---标志着邻居关系的建立
(条件匹配)---条件匹配成功,则进入下一个状态,如果匹配失败则停留在邻居关系,使用hello包进行保活。
EXSTART状态---使用未携带数据的DBD包(为了和之前的邻居关系进行区分)
进行主从关系选举---通过比较RID,RID大的为主,可以优先进入下一个状态
full---转发状态---标志着邻接关系的建立。
邻接状态---邻接状态·主要目的是为了和前面邻居状态进行区分。邻接关系之间才能真正的进行LSA信息的交换。而邻居之间仅使用hello包进行保活。
*down状态---启动ospf,发出hello包,进入下一个状态
*init(初始化)状态--收到hello包中包含本地的RID,进入下一个状态
*two-way(双向通信)状态---标志着邻居关系的建立
(条件匹配)匹配成功,则进入下一个状态;失败则停留在邻居状态,仅hello包保活。
*exstart(预启动)状态---使用未携带数据的DBD包(为了和之前的邻居关系进行区分),进行主从关系选举---通过比较RD,RD大的为主,可以优先进入下一个状态
*exchange(准交换)状态----使用携带目录信息的DBD包进行目录共享
*Loading(加载)状态---查看对端发送的DBD包与本段LSDB数据库中的LSA信息进行对比,基于未知的LSA信息,使用LSA包请求,邻居使用LSU包进行回复,需要ACK确认。
*FULL(转发)状态---交换完成后进入,标志着邻接关系的建立。
3,ospf的工作过程
启动配置完成后,ospf将向本地所有运行协议的接口以组播224.0.0.5发送hello包;hello包中携带本地的RID及本地已知的邻居的RID。之后,将收集到的邻居关系记录在一张表中---邻居表。 邻居表建立完成后进行条件匹配。匹配失败则停留在邻居关系,仅使用hello包进行保活。 匹配成功,则开始建立邻接关系。首先,使用未携带数据的DBD包进行主从关系的选举。之后使用携带数据的DBD包共享数据库目录。之后,本地使用LSA/LSU/LSACK数据包获取未知的LSA信息。完成本地数据库的建立。生成数据库表。---LSDB 最后,基于本地的链路状态数据库,生成有向图及最短路径树,之后计算本地到达未知网段的路由信息,将生成的路由添加到路由表中。 收敛完成,hello包依然会10S一次进行周期发送,周期保活。每30Min进行一次周期更新。
特殊情况 网络结构发送突变:
1,新增一个网段:触发更新,直接发送携带LSA信息的LSU包进行更新,需要ACK确认
2,断开一个网段:触发更新,直接发送携带LSA信息的LSU包进行更新,需要ACK确认
3,无法沟通-------40s死亡时间
4,OSPF的基本配置
1,启动OSPF进程
[r1]ospf 1 router-id 1.1.1.1 -----1是进程号
[r1-ospf-1]
2,创建区域
[r1-ospf-1]area 0
[r1-ospf-1-area-0.0.0.0]
3,宣告 宣告的目的:激活接口,发布路由
[r1-ospf-1-area-0.0.0.0]network 12.0.0.1 0.0.0.0--反掩码(0代表不可变,1代表可变)(由连续的0和1组成) [r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.255[r1]display ospf peer----查看ospf的邻居表
[r1]display ospf peer brief---查看ospf的邻居简表
[r1]display ospf lsdb--查看ospf的链路状态数据库
[r1]display ospf lsdb router 1.1.1.1---查看一条具体LSA信息的
[r1]display ip routing-table protocol ospf---查看协议为ospf的路由信息
华为设备ospf的默认优先级为10
ospf是以带宽为cost值的评判标准
cost值=参考带宽/真实带宽--------带宽类似于马路 越大越好
华为设备参考带宽的默认值是100Mbps、
[r1-ospf-1]bandwidth-reference 1000---修改参考带宽的方法
注意:一台路由器的参考带宽修改了,所以路由器的参考带宽都需要修改成一样的。
指定路由器---DR 备份指定路由器-----BDR
DR BDR都是临接关系
想要看到邻居关系,必须要4台路由器及以上
剩余的路由器---Drother
DR BDR DROTHER 是一个接口
条件匹配:在一个广播域中,如果所有设备都保持邻接关系,可能会出现大量的重复更新,所以需要DR和BDR的选举;所有非DR和BDR的设备之间仅保持邻居关系。
DR/BDR的选举规则:
1,先比较优先级:优先级大的为DR,否则为BDR
优先级初始默认都为1;
[r1-GigabitEthernet0/0/0]ospf dr-priority ?
INTEGER<0-255> Router priority value----优先级的取值范围0-255
如果优先级设置为0.则代表该接口放弃DR BDR的选举
2,当优先级相同时,则比较RID,RID大的路由器所对应的接口为DR,次大的为BDR.
DR/BDR的选举是非抢占模式,一旦DR和BDR选举完毕后,不会因为新加入的设备而重新选举,选举时间最长为40s。
<r3>reset ospf 1 process---重启ospf进程,在用户视图下
5.OSPF的拓展配置
1,手工认证
<r1-GigabitEthernet0/0/0>ospf authentication-mode md5 1 cipher 123456
1--代表的是key ID,需要确保两端的key ID相同即可
2,手工汇总---OSPF区域之间传递路由信息可以进行汇总,所以实际上是区域汇总
[r2]ospf
[r2-ospf-1]area 0
[r2-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0 255.255.254.0---r2本身不汇总,传给别人是汇总后的
3,沉默接口
[r1-ospf-1]silent-interface GigabitEthernet 0/0/1
4,加快收敛---减少计时器
[r1]int g0/0/0
[r1-GibabitEthernet0/0/0]ospf timer hello 5--修改hello时间
注意:邻居之间的hello时间必须一致,否则将无法建立邻居关系
hello时间修改之后,死亡时间将自动按照四倍关系进行匹配
5,缺省路由
[r3-ospf-1]default-route-advertise---在边界路由器上下发缺省信息(OSPF要求边界路由器自己有缺省才能下发缺省)例如:[r3]ip route-static 0.0.0.0 l0
[r3-ospf-1]default-route-advertise always---在边界路由器上没有缺省路由时,可以添加always来强制下发缺省路由
DAY 8
V-虚拟
LAN--局域网---地理覆盖距离较小的网络
MAN--城域网
WAN--广域网
VALN中的LAN指的是广播域
VLAN---虚拟局域网---交换机和路由器协同工作后,将原来的一个广播域,逻辑上切分为多个虚拟的广播域。
IEEE---802.1Q标准=dot1q
VID---VLAN ID--用于区分和标定不同的VLAN.VID由12位二进制构成 2的十二次方为4096 取值范围 0-4095 0和4095作为保留 1-4094
<Huawei>display vlan-查看vlan
<Huawei>display mac-address--查看mac地址表
[Huawei]vlan 2---创建单个VLAN
[Huawei]vlan 4 to 100---批量创建vlan
[Huawei]vlan 4 to 100---批量删除vlan
[sw1-GigabitEthernet0/0/0]port link-type access
[sw1-GigabitEthernet0/0/0]port default vlan 2
划分多个接口到一个vlan--可以创建接口组
[sw1]port-group group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/4
[sw1-port-group]port link-type access
[sw1-port-group]port default vlan 3
VID配置映射到交换机的接口,实现VLAN的划分---一层VLAN/物理VLAN
VID配置映射MAC地址,来实现VLAN的划分---二层VLAN
数据帧中类型字段标识是上层协议类型,和VID进行映射,来区分VLAN范围---三层VLAN
数据通过接口来到交换机,交换机先记录源MAC地址和接口的映射关系,顺便将接口对应的VID进行记录。之后,看目标MAC地址,若目标MAC地址在MAC地址表中有记录且VID和源MAC对应的VID相同,则进行单播;否则进行泛洪,泛洪范围为VID与源MAC对应的VID相同的接口。
因为以太网二型帧没有添加标签的位置,所以802.1Q规定,在源MAC地址和type字段之间增加4个字节的tag(标签)(一定包含12位的VID)。这样新的帧结构我们称为802.1Q帧或者tagged帧。将没有打标签的帧称为untagged帧。
我们把交换机和计算机之间的链路称为ACCESS链路,ACCESS链路只能通过untagged的帧,并且,这些帧只能属于某一个特定的VLAN。我们把交换机和交换机之间的链路称为trunk链路(trunk干道),trunk干道中允许通过tagged帧,且这些帧可以属于多个VLAN。
[sw1-GigabitEthernet0/0/5]port link-type trunk---先定义链路类型
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3---放通vlan流量
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan all ---放通所有流量
路由器的子接口----路由器的虚拟接口----将路由器的一个物理接口逻辑上划分为多个虚拟的子接口
[Huawei]int g0/0/0.1
[Huawei-GigabitEthernet0/0/0.1]---创建子接口
配置子接口
[Huawei-GigabitEthernet0/0/0,1]ip add 192.168.1.254 24---给子接口配置IP地址
[Huawei-GigabitEthernet0/0/0,1]dot1q termination vid 2---定义子接口管理的VID
[Huawei-GigabitEthernet0/0/0,1]arp broadcast enable---开启ARP广播
在IP地址空间中,A,B,C三类地址中各有一部分地址,他们被称为私有地址(私网IP地址),其余的所有地址都被称为公有地址(公网IP地址)
A:10.0.0.0-10.255.255.255----相当于一个A类的网段
B:172.16.0.0-172.31.255.255---相当于16条B类网段
C:192.168.0.0-192.168.255.255---相当于256条C类网段
私网IP地址-----可复用性(仅保持私网内部的唯一性即可)---不能在互联网中使用
我们将使用私网IP地址搭建的网络称为私网,将使用公网IP地址进行通讯的网络称为公网。
NAT技术----网络地址转换技术---他的基本作用就是实现私网IP地址和公网IP地址之间的一个转换。
路由器上有LAN口和WAN口
LAN口配的是私网IP地址
WAN口--广域网---连接ISP路由器(公网)
华为设备,所有NET相关的配置,都是在边界路由器的出接口上进行配置的。
静态NAT
动态NAT
NAPT
端口映射
静态NET(一对一):通过配置在私网边界路由器上建立维护一张静态地址映射表中,记录的是公网IP地址和私网IP地址之间一一对应的关系。
[r2-GigabitEthernet0/0/2]nat static global inside 192.168.1.2
1,必须和公网IP在同一个网段
2,这个IP地址一定是你花钱问ISP买来的
12.0.0.3被称为漂浮地址
[r2]display nat static---查看地址映射表
动态NET---多对多的NET
1,创建公网IP地址组
[r2]nat address-group 1 12.0.0.4 12.0.0.8---一定买的是连续的公网IP地址
2,通过ACL来抓取私网IP流量
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
3,将公网IP组和ACL抓取的流量绑定
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 no-pat
动态NAT在同一时间内,依然是一对一的NAT。当上网需要量过大时,延迟会较高。
NAPT---网络地址端口转换(一对多的NAPT---EASY IP)------PAT
1,抓取私网流量
[r2]acl 2001
[r2-acl-basic-2001]rule permit source 192.168.0.0 0.0.255.255
2,配置EASY IP
[r2-GigabitEthernet0/0/2]nat outbound 2000
[r2-GigabitEthernet0/0/2]nat server protocol tcp global 12.0.0.1 80 inside 192.168.1.10 80 [r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80 Warning:The port 80 is wel l-known port.If you continue it may cause function failure. Are you sure to continue?[Y/N]:y