计网基础知识
目录
HCIA计网初级认证知识
1.0 计算机网络概述
1.1 计算机网络发展史
1.2 计算机网络规模
1.21 增加接入网的设备
总线型网络
星型网络
环型网络
树型网络
网状型网络
1.22 延长网络距离
同轴电缆
双绞线
光纤
无线传输介质
2.0 MAC地址表
2.1 mac地址表的形成
2.2 mac地址表的特点
3.0 网络设备简介
3.1集线器
特点
组网存在问题
地址问题
泛洪传输问题
冲突问题
3.2网桥
主要功能
特点
3.3交换机
工作原理
定义
处理数据帧的方式
分类
转发数据的形式
3.4路由器
特点
工作原理
工作过程(空)
4.0 网络设备的管理
4.1 console口
4.2 telnet
4.3 SSH
4.4 WEB
5.0 网络参考模型
5.1 OSI参考模型
5.1.1 产生背景
5.1.2 研发组织
5.1.3 每层作用
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层
5.1.4 通讯过程
5.1.5 优点
5.2 TCP/IP参考模型
5.2.1 产生背景
5.2.2 与OSI参考模型区别
5.2.3 通讯过程
5.2.4 TCP/IP协议簇
具体协议
ICMP协议
IP协议
TCP协议
UDP协议
以太网帧协议
telnet协议
rip路由协议
ospf协议
DHCP协议
arp协议
5.3 数据在不同层数的叫法
6.0 VRP简介
6.1 定义
6.2 发展史
7.0 路由知识
7.1 概念区分
7.2 路由表信息
7.3 路由转发过程
直接转发
非直流路由转发
路由器的转发本质过程
7.4 静态路由
定义
配置命令
分类
7.5 动态路由
产生背景
分类
按工作区域分
按算法分类
8.0 IP地址
8.1 子网掩码
8.2 组成
8.3 特殊的IP地址
8.4 分类
8.5 VLSM和CIDR
9.0 VLAN技术
9.1 技术产生背景
9.2 特点及作用
9.3 vlan实现过程
同一交换机vlan内通信
跨交换机的同一valn通信
9.4 vlan间的划分方式
9.5 交换机的接口类型
9.6 vlan间的通信
概括
通信方式
9.7 三层交换机内容
9.8 vlan实验所用到的命令
10.0 ACL技术
10.1 功能
10.2 组成
10.3 分类
10.4 包过滤方向
10.5 匹配机制
11.0 NAT技术
11.1 产生背景
11.2 作用
11.3 分类
HCIA计网初级认证知识
1.0 计算机网络概述
1.1 计算机网络发展史
-
第一阶段:1946年第一台计算机在美国产生,用于军事方面计算导弹轨迹。
-
计算机运作原理
应用层:将人类语言转化成编码(ACSII码、Unicode)
表示层:编码转换成二进制(0、1语言)
介质访问控制层:将二进制转换成电信号
物理层:传输电信号
-
-
第二阶段:1969年计算机网络诞生阶段
-
第三阶段:计算机网络协议标准产生与确立(相当于用于维护网络界的“顺序”。)
-
第四阶段:Internet国际互联
1.2 计算机网络规模
1.21 增加接入网的设备
计算机网络拓扑结构
节点:指各种各样能上网的设备
总线型网络
结构:所有节点都共享一条通信线路
优点:同一时刻只能有两个节点之间相互通信,通信线路的利用率高
缺点:通信效率慢;安全低(某一个节点发出的消息,其他人都能收得到);不容易扩展新节点;通信线路故障,会造成整个网络瘫痪
星型网络
结构:所有节点都通过中心节点相连
优点:组网结构简单
缺点:不容易增加新节点;安全低(中心节点起着监视整个网络的作用);中心节点故障,会引起整个网络的瘫痪;
环型网络
结构:节点之间首尾相连,形成一个封闭的环形
优点:组网结构简单,节省线缆
缺点:不容易扩充新节点;出故障的节点越多,造成的网络问题越严重;故障检测困难;
树型网络
结构:一种层次化的星型
优点:容易扩充新节点
缺点:越高层级的节点出故障,造成的网络问题越 严重
网状型网络
结构:节点之间两两互联
优点:通信线路之间的可靠性高
缺点:结构复杂、成本高、不易扩展新节点
1.22 延长网络距离
同轴电缆
优点:耐用行好、不易弯折性
缺点:传输速度慢:155Mb/S、成本高
网速(带宽):b/s bit(1个比特位,最小的单位。) Byte:字节 1B=8b 网速:Tb/s与 Gb/s换算为10^3 内存:GB 与TB换算为1024
双绞线
结构:8根铜丝,两两相绞
线序:T568A:白绿、绿 白橙、蓝 白蓝、橙 白棕、棕
T568B:白橙、橙 白绿、蓝 白蓝、绿 白棕、棕(头尾不可乱相接,“TA对TA”)
水晶头型号:RJ45(现在多用)、RJ11---电话线的
双绞线的分类:屏蔽双绞线(有屏蔽层)、非屏蔽双绞
优点:造价成本低
缺点:传输距离只有100米
光纤
结构:纤芯是玻璃纤维(导致弯折后就会坏掉)
单模光纤:黄色,传输单一光源的信号,传输距离比较远,可以达到5KM,1310nm。其对应的是单光模块(SM)
多模光纤:橙色或者水绿色,传输多种光源的信号,传输距离可到2KM,850nm。其对应的是多光模块(MM)
优点:传输距离远、传输速率高(40Gb/S),被广泛使用
缺点:安装难度大、维护成本高、材料成本高
无线传输介质
列如:蓝牙、红外线、电磁波、卫星通信信号
2.0 MAC地址表
2.1 mac地址表的形成
1.刚组成交换机与主机时mac地址表是空的(须要主机之间相互发消息交换机才会学习mac表)
2.主机1发送数据帧给主机2,交换机接收到数据帧后会查找mac地址表来找数据帧中的目地mac地址。(发现没有对应表项,我们对此数据帧定义为“未知单播帧”)
3.未查到数据帧中的目的mac地址时则对该单播帧执行泛洪操作;同时交换机会学习数据帧中的源mac地址,并创建对应mac地址表项与交换机此端口关联
4.交换机其他端口连接的主机也会接收到此数据帧,但是会将其丢弃 ;主机2(目标主机)收到并处理该数据帧,向主机1回复将数据帧发往交换机
5.交换机在mac地址表中查找到了对应表项,交换机对该单播帧执行转发;同时交换机会学习数据帧中的源mac地址,并创建对应mac地址表项与交换机此端口关联
2.2 mac地址表的特点
一般其老化时间是300秒(300秒后销毁)
一个MAC地址只能对应一个接口,一个接口可以对应多个MAC地址(交换机中的mac表可以销毁)
mac地址的泛洪攻击(广播风暴)-----造成最严重的后果是使交换机卡死,一般存在交换机上(四个交换机首位相连)
3.0 网络设备简介
3.1集线器
特点
集线器内部为总线型结构,是一种共享型介质(共享的是通信线路)
任意时间只有两个主机能通信,占用通信线路
工作在物理层,没有寻址能力,所有数据泛洪式(广播)转发
组网存在问题
地址问题
得搞清楚谁发送谁接收问题
引用mac地址(物理地址)处理
mac地址格式:由48位二进制构成; 为了方便人阅读将其换成16进制(一共12个十六进制)(每4位二进制转换成一个16进制)
mac地址组成:前24位代表厂商,后24位是由厂家编写的(全球唯一的地址,不会出现重复现象)
泛洪传输问题
一个主机发出的消息,其他主机都能收到
冲突问题
同一时间都想要发送数据,就会形成冲突的范围(我们称之为冲突域)
解决方法:CSMA/CD( 带载波(是电信号,既是比特)侦听的 多路访问 冲突检测技术)
第一步:
第二步:
3.2网桥
主要功能
网桥的每一个接口都能隔离一个冲突域
特点
其有固定站表(网桥中的站表人自己输入),发信息者(主机A)发送目标地址与源地址后网桥就查表来发送给收信息者(主机B)
3.3交换机
工作原理
定义
多接口的网桥(接口显示的ge则是千兆口,是e的话就是百兆口),每个接口都能隔离冲突域,有自学习的功能(学习amc地址)
处理数据帧的方式
泛洪:在MAC地址表中没有找到对应的目的mac的表项,则执行泛洪操作,除了自己的收到数据的接口外的其他接口泛洪出去
丢弃:当收到的数据帧的目的mac地址与自身主机的mac地址不一致时,执行丢弃操作
单播转发:mac地址表中有对应关系的时候,就执行单播转发操作
分类
二层交换机:转发数据
三层交换机:转发数据、承担一些路由器的功能
转发数据的形式
单播:一对一的通信
广播:一对所有(相当于泛洪操作)
组播:一对多(直播)
交换机遇到数据时交换机广播转发(广播帧)
3.4路由器
特点
提供路由,转发数据,隔离广播域,标识广播域,扩大网络传输的范围,工作在三层的设备
工作原理
路由器收到一个数据包后,会检查数据包中的目标IP地址,进行路由表查表操作,根据路由表中的网段信息,将数据包转发至相应的网络所对应的主机
工作过程(空)
4.0 网络设备的管理
4.1 console口
通过console口来登录设备管理界面
-
路由器console口:
-
交换机console口:
-
console线:
console线超过八个线芯,里面有黑颜色的线
-
console线连接界面方式
进入Quik console界面时选择端口号(port)时不可以随便选,连接console线后通过使用电脑进入设备管理器选择”端口(console)“选项里面有固定端口号
console线口虽然与网线接口相识但是连接时对应的线时连不进双方的口的,不要硬塞。
4.2 telnet
远程登入协议
4.3 SSH
安全远程登录
4.4 WEB
可以通过web网页页面登录(网址IP一般在设备背面)
5.0 网络参考模型
5.1 OSI参考模型
5.1.1 产生背景
各大厂商都有自己的私有协议、跨厂商产品不兼容、用户购买维护设备的成本高
5.1.2 研发组织
ISO(国际标准化组织)
5.1.3 每层作用
应用层
为应用程序提供网络服务
表示层
定义了数据的格式,对数据进行加密、解密、压缩、解压缩
会话层
建立、维护、拆除通信双方的会话,
依靠session id来区分同一应用程序(例如百度)间的不同进程(的两个窗口)
传输层
建立端到端的连接(逻辑上的连接)--依靠端口号连接
端口号取值范围:0-65535,其中0和65535是系统保留的端口号
动态端口号(用户端口):1024-65534
知名端口号:1-1023;
例:
DNS:域名解析系统 ,端口号53
HTTP协议:超文本传输协议,端口号80
POP:邮局协议,POP3,发送邮件的时候用到,端口号:110
SMTP:简单邮件传输协议:接收方,端口号:25
FTP协议:文件传输协议,20、21
SSH:安全的远程登录 22
telnet:远程登录服务 ,端口号23
DHCP协议:动态主机配置协议 端口
网络层
网络IP地址寻址和路由,路由器是网络层设备(3层设备)
数据链路层
MAC地址寻址,交换机一般是2层设备、封装成帧、差错检测、流量控制
LLC子层(逻辑链路子层):为数据的传输提供一个可靠的保障,减少数据帧出现丢失、重复、失序(列:发送的二进制01的排序与接收的二进制01的排序)
MAC子层(媒体接入控制子层):负责识别网络层的协议
物理层
传输电信号,传输比特流,定义了一些参数的标准(定义了电压、接口、线缆标准、传输介 质、信号传输模式的标准
物理层中信号传输模式
单工模式:同一时刻,只能有一个设备收或发消息 (听收音机广播)
半双工模式:同一时刻,只有一端的的设备都可收发消息(传呼机)
全双工模式:同一时刻,两端都可以同时收发消息(手机)
5.1.4 通讯过程
就是封装与解封装
-
封装:在原始数据的基础上,添加一些字段信息,形成新的数据
-
过程:
-
发送端:数据从上往下逐层封装
-
接收端:数据从下往上逐层封装
-
-
解封装:拆掉封装的额外信息,还原成原始数据的数据
5.1.5 优点
各层协作,完整的传输数据、各层功能独立,可以快速找出故障问题
5.2 TCP/IP参考模型
5.2.1 产生背景
-
OSI抢占市场失败(ISO--国际标准化组织研发OSI协议太久)出现早研发久
-
OSI协议划分的层次太多,会话层与表示层存在意义不大
5.2.2 与OSI参考模型区别
应用层包含了会话层与表示层
5.2.3 通讯过程
封装与解封装
5.2.4 TCP/IP协议簇
具体协议
具体协议内容写在同文件"协议簇具体内容.md"下有具体描述
ICMP协议
IP协议
TCP协议
UDP协议
以太网帧协议
telnet协议
rip路由协议
ospf协议
DHCP协议
arp协议
5.3 数据在不同层数的叫法
| 层级(OSI) | 层级(TCP/IP) | 该层数据单元的名称 | 英文术语 | 记忆口诀(从顶到下) |
|---|---|---|---|---|
| 7 应用层 | 4 应用层 | 消息 / 报文 | Message | “报文说话” |
| 6 表示层 | — | 消息 / 报文 | Message | (同应用层) |
| 5 会话层 | — | 消息 / 报文 | Message | (同应用层) |
| 4 传输层 | 3 传输层 | 段(TCP)/ 数据报(UDP) | Segment / Datagram | “段落有序,数据无序” |
| 3 网络层 | 2 网际层 | 分组 / 数据报 / 包 | Packet / Datagram | “包装路由” |
| 2 数据链路层 | 1 网络接口层 | 帧 | Frame | “帧面定格” |
| 1 物理层 | — | 比特流 / 码元 | Bit stream / Symbol | “比特在线” |
6.0 VRP简介
6.1 定义
其是华为的所有组网设备的系统,翻译不过来。
6.2 发展史
-
VRP1,集中式(1998-2001):集中式设计,适用中低端设备,性能比较低
-
VRP2,分布式(1999-2000):分布式设计
-
VRP3,高可靠性(2000-2004):分布式平台,支持众多特性,支持核心路由器
-
VRP5,高可靠性(2004-now):组件化设计,适用于华为多个产品,高性能
-
VRP8,多进程,多框,多核:(2009-now):多进程,组件化设计,支持多CPU、多框
7.0 路由知识
7.1 概念区分
-
路由:为数据包的转发提供具体的路径信息
-
路由器:提供路由、转发数据、每个接口都是独立的广播域
-
路由表:提供具体路由信息
7.2 路由表信息
查看路由表总信息指令:[ ]display ip routing-table
destination/mask:目标网段及其掩码
protocol:协议,路由协议的类型
direct:直连路由协议
static:静态路由协议
动态路由协议
RIP:路由信息协议
OSPF:开放式的最短路径优先协议
preference:优先级(路由协议的优先级);取值范围:0-255;值越小,优先级越大
direct优先级为:0
static优先级为:60
RIP优先级为:100
OSPF优先级为
内部优先级:10
外部优先级:150
结论:当去往同一网段有多条路由协议不同路由条目时,路由器会选择优先级大的那条路由条目去转发数据
cost:路由开销;当到达同一目地的路由优先级相同时,用从cost值去衡量那条路径最优。 常见cost值:跳跃、带宽、时延
flags:标志位
next hop:下一跳;表示对于本路由器而言,到达该路由指向的路由目的网络的下一个网址(数据转发的下一个设备)
interface:表示路由条目的出接口,表明数据将从路由器的那个接口转发出去
7.3 路由转发过程
直接转发
非直流路由转发
即路由表转发的三个原则(路由表查表)
-
最长掩码原则
-
缺省匹配:其指令为---->“IP route-static 0.0.0.0 0 下一跳地址”
-
当数据包的ip匹配不到路由条目时如果有缺省匹配则匹配缺省匹配地址。
-
但是如果和路由汇总使用不当时可能会造成路由成环
-
-
无法匹配则丢弃
路由器的转发本质过程
7.4 静态路由
定义
由管理员手工配置的路由,适用于小规模的网络
配置命令
ip route-static 目标网络的ip 目标网络的子网掩码 本设备下一跳的ip地址(或者接口编号)
分类
缺省路由:命令[ ]ip route-static 0.0.0.0 0 下一跳接口的IP地址 ;一般配置在企业网络的内外网出口设备(路由器)配置一条缺省路由,目的是使内网中的所有流量数据都能通过这个出口设备,转发到互联网上去
等价路由:去往同一目的的数据包,来源相同,开销相同,优先级相同,下一跳不同。
浮动路由(用一条路径做备胎)
去往同一目的的数据包来源不相同,开销相同,优先级不同,下一条不同
去往同一目的的数据包,来源相同,开销不相同,优先级相同,下一跳不同
环回口:是逻辑接口(虚拟的),模拟一个网段或者一个pc ,步骤:
路由汇总:一组具有相同前缀的路由汇聚成一条路由,从而达到减小路由规模以及优化设备资源利用率的目的
右边汇总后为10.1.0.0/20;配置:IP route-static 10.1.0.0/20 12.1.1.2 ;IP route-static 0.0.0.0 0 12.1.1.2
黑洞路由
路由汇总不精确产生路由黑洞(数据包只进不出)
防环设计:IP route-static 10.1.0.0 20 null 0:null 0是空接口的意思,没有接口
7.5 动态路由
产生背景
-
静态路由配置繁琐,容易出错
-
静态路由不适合大规模网络
-
静态路由不会根据网络拓扑的变化而自动调整路径
分类
按工作区域分
-
内部网关协议(IGP)
-
rip协议(路由信息协议)
-
ospf协议(开放式的最短路由优先协议)
-
is-is协议(从中间系统到中间系统协议)
-
-
外部网关协议(EGB)
-
bgp协议(边界网关协议)
-
按算法分类
-
基于距离矢量的路由协议,rip协议,bellmanford算法:周期性的发送自己的路由表给相邻的路由器
-
基于链路状态的路由协议,ospf协议,dijsktart算法(spf算法)译:最短路径优先算法:周期性的发送自己的链路状态给自己的相邻路由器
8.0 IP地址
逻辑地址
8.1 子网掩码
标识网络位(全1的部分),标识主机位(全0)
8.2 组成
网络位+主机位;网络位+子网位+主机位
-
A类:0-126:网络位为前8位,主机位为后24位,可用的IP地址数量:2^24-2;子网掩码:255.0.0.0(/8)
-
B类:128- 191:网络位16位,主机位后16位,可用IP地址数量:2^16-2;子网掩码:255.255.0.0(/16)
-
C类:192-223 :网络位前24位,主机位后8位,可用IP地址数量:2^8-2;子网掩码:255.255.255.0(/24)
-
D类:224-239,用于组播的地址;224.0.0.9
-
E类:240-255,保留地址,用于比较重要的科研、军事 单位
8.3 特殊的IP地址
-
127.0.0.1-127.255.255.254 环回地址,测试本机中的tcp/ip组件是否完好
-
全为0地址: 0.0.0.0 ----没有IP地址;代表任意地址
-
全为1地址:255.255.255.255 广播地址---受限地址---受路由器限制(丢弃)
-
主机位全为0的地址:192.168.1.0/24 代表一个网络地址 ,可用IP地址范围:192.168.1.0000 0001-----192.168.1.1111 1110 (即192.168.1.1----192.168.1.254)
-
主机位全为1的地址:192.168.1.255/24 代表广播地址
-
169.254.0.0/16 运营商的自动私有地址
8.4 分类
-
IPv4:由32位二进制构成 172.16.60.190 点分十进制表示(一位十进制需要8位二进制)
-
-
IPV6:由128位二进制构成 fe80:0000:0001:0000:0440:44ff:1233:5678 冒分十六进制表(每4位二进制转换成一个16进制
二进制与十进制互换
-
二进制转换为十进制
-
0000 0000=00000 0001=1----2^00000 0010=2----2^10000 0100=4----2^20000 1000=8----2^30001 0000=16----2^40010 0000=32----2^50100 0000=64----2^61000 0000=128---2^71111 1111=128+64+32+16+8+4+2+1=255
-
-
十进制转换为二进制(凑数)
-
172=128+32+8+4-------1010 1100 179=128+32+16+2+1----1011 0011 20=16+4------0001 0100 10=8+2-------0000 1010 1-----0000
-
8.5 VLSM和CIDR
网段的划分与汇总
-
VLSM:可变长的子网掩码,扩大IP地址的数量, 把一个网段划分成多个子网
-
总结C类:主机位借1位,划分2个网段主机位借2位,划分4个网段主机位借3位,划分8个网段主机位借4位,划分16个网段主机位借5位,划分32个网段主机位借6位,划分64个网段 -
将192.168.1.0/24 可用的IP地址数量:254 划分4个网段(一)192.168.1.0000 0000(192.168.1.0/26)可用主机数量:2^6-2=62可用IP地址数量:192.168.1.0000 0001到192.168.1.0011 1110(192.168.1.1/26到192.168.1.62/26)网络地址:192.168.1.0/26广播地址:192.168.1.63/26(二)192.168.1.0100 0000(192.168.1.64/26)可用主机数量:2^6-2=62可用IP地址数量:192.168.1.0100 0001到192.168.1.0111 1110(192.168.1.65/26到192.168.1.126/26)网络地址:192.168.1.64/26广播地址:192.168.1.127/26(三)192.168.1.1000 0000(192.168.1.128/26)可用主机数量:2^6-2=62可用IP地址数量:192.168.1.1000 0001到192.168.1.1011 1110(192.168.1.129/26到192.168.1.190/26)网络地址:192.168.1.128/26广播地址:192.168.1.191/26(四)192.168.1.1100 0000(192.168.1.192/26)可用主机数量:2^6-2=62可用IP地址数量:192.168.1.1100 0001到192.168.1.1111 1110(192.168.1.193/26到192.168.1.254/26)网络地址:192.168.1.192/26广播地址:192.168.1.255/26
-
-
CIDR:无类域间路由 (子网汇总)----取相同,去不同
-
192.168.0.0/24 192.168.0000 00 00 .0192.168.1.0/24 192.168.0000 00 01 .0192.168.2.0/24 192.168.0000 00 10 .0192.168.3.0/24 192.168.0000 00 11 .0汇总后:192.168.0.0/22
-
9.0 VLAN技术
9.1 技术产生背景
-
vlan技术:交换技术,虚拟局域网技术(将大的广播域划分为小的广播域)
-
-
路由器特点:提供路由,转发数据,每一个接口是一个独立的广播域,而交换机不能隔离广播域相反会产生广播风暴,为了缩小广播域所以产生了vlan技术
9.2 特点及作用
-
vlan技术特点:同一vlan内的主机可以相互通信,不同vlan内的主机不可通信(借助三层的设备才可以通信)
-
vlan技术作用:将大的广播域划分为若干小的广播域,减少广播风暴出现
9.3 vlan实现过程
同一交换机vlan内通信
-
1.数据重主机发出后,交换机会收到此数据帧,会给此数据帧打上vlan tag(vlan tag中的vlan id就是交换机收到的数据帧接口的vlan id),此时数据帧变成一个802.1q格式的数据帧
-
原始的以太网数据帧:目标mac+原mac+数据
-
802.1q数据帧:目标mac+原mac+vlan id+数据
-
-
2.交换机检查目标mac地址的主机接口所属的vlan id,如果vlan id与802.1q格式一致则进行转发,否则丢弃
-
注意:数据重交换机发往主机前,需要剥离掉vlan tag,使之还原成以太网帧格式再进行转发
跨交换机的同一valn通信
-
1.数据重主机发出后进入交换机,交换机收到此数据帧后会在此数据帧上大vlan tag(tag中的vlan id就是收到此数据帧的交换机接口vlan id),此时数据帧就是820.1q格式
-
2.在trunk干道(trunk路线)带标签发送802.1q格式的数据帧
-
3.接收端的交换机收到后,交换机检查目标mac地址的主机接口所属的vlan id,如果此vlan id与802.1q中的vlan id一致则转发此802.1q数据帧否则丢弃
-
4.在发送端802.1q格式的数据帧离开交换机时,带标签发送
-
注意:数据从交换机发送往主机前需要剥离vlan tag,使之还原成以太网数据帧格式
9.4 vlan间的划分方式
-
基于接口划分:
-
把交换机的接口与vlan id绑定。vlan范围:0-4095,可用范围:1-4094,其中0与4095是系统保留vlan,vlan 1是所有交换机默认的vlan(pvid)
-
-
基于IP子网划分:
-
把IP地址与子网id进行绑定(192.168.1.0——vlan 1;192.168.2.0——vlan 2)
-
-
基于mac地址划分:
-
把mac地址与vlan做绑定
-
-
基于协议划分:
-
把协议与vlan绑定(ip——vlan 1;ipx——vlan 10)
-
-
基于策略划分(以上四种的组合):
-
划分方式的优先级:基于mac地址划分>基于IP子网划分>基于协议划分>基于接口划分,但最终只是选择一种划分方式去转发数据(即最大优先级)
-
9.5 交换机的接口类型
-
acess(华三默认):
-
一般连接pc的接口、连接服务器的接口(路由器的接口)等等终端设备的接口
-
-
trunk:
-
交换机之间的级联,路由器、防火墙等设备的子接口,可以放通多个vlan(自己可以决定放通那些vlan)
-
-
hybird(华为默认):
-
混合模式,华为交换机的默认模式,即可连接交换机、路由器的接口还可以放通多个vlan可以手动配置哪个vlan带标签哪个vlan不带标签
-
tagged:打标签
-
untagged:撕标签
-
-
9.6 vlan间的通信
概括
同一vlan内的主机可以通信,不同vlan内的主机无法通信,想要通信必须借助三层网络设备(三层交换机,路由器)
通信方式
(1)使用路由器的物理接口通信
特点:路由器的物理接口少,浪费了物理接口
发送端:目标mac2+源mac1+vlan id +目标IP地址+源IP地址+数据
接收端:目标mac4+源mac3+目标IP地址+源mac地址+数据
数据帧经过路由其器时目、源mac改变;目源IP地址不变
(2)单臂路由子接口(通过使用路由器的子接口来完成不同vlan之间的通信
特点:一旦路线出现问题,整个网络就会陷入瘫痪
发送端:目标mac2+源mac1+vlan id +目标IP地址+源IP地址+数据
接收端:目标mac4+源mac3+目标IP地址+源mac地址+数据
数据帧经过路由其器时目、源mac改变;目源IP地址不变
(3)使用三层交换机的vlanif虚接口
发送端:目标mac2+源mac1+vlan id +目标IP地址+源IP地址+数据
接收端:目标mac4+源mac3+目标IP地址+源mac地址+数据
数据帧经过路由其器时目、源mac改变;目源IP地址不变
9.7 三层交换机内容
-
三层交换机:传输数据、提供路由
-
交换模块:相当于交换机
-
路由模块:先当与路由器
-
二层接口与三层接口对比:
-
二层接口不能配IP地址,三层接口可以配IP地址(vlanif)
-
二层接口只能转发数据,三层接口既能转发数据也能提供路由
-
二层接口不能隔离广播域,三层接口(路由器接口)可以隔离广播域
-
9.8 vlan实验所用到的命令
-
交换机上配vlan:[ ]vlan id([ ]vlan 2)
-
关闭系统监督模式:< >undo terminal monitor
-
access路线:
-
更改接口模式:[交换机上]port link-type 类型(access)
-
将线路加如vlan中:[交换机]port default vlan id
-
-
trunk路线:
-
更改接口模式:[交换机]port link-type 类型(trunk)
-
将线路加入vlan中:[交换机]port trunk allow-pass vlan 类型1 类型2……
-
查看详细vlan总表:display port vlan active
-
子接口识别:要是使用dhcp的话就在子接口上设置网关
-
(1)int g0/0/0.1-0.4090
-
(2)[/0.1-4090]IP add 192.168.1.154(0和255不可以做网关)
-
(3)[/0.1-4090]dot1q termination vid(vlan id) id名称
-
(4)[/0.1-4090]arp broadcast
-
注意:配置时(3)一定要配在(4)之前
-
-
dhcp服务(路由器上配置):
-
打开dhcp服务:[路由器]dhcp enable
-
[路由器]IP pool 名称(aa bb cc ……)
-
[路由器]network 192.168.1.0 mask 24
-
网关:[路由器]gateway-list 192.168.1.254
-
dns:[路由器]dns-list 8.8.8.8 144.144.144.144
-
下放IP地址池:[/0.1-4090]dhcp select global
-
-
10.0 ACL技术
ACL(访问控制列表)用于数据流的匹配和筛选
10.1 功能
-
访问控制:ACL+Pacher-filter(包过滤)
-
路由控制:ACL+Roule-policy(路由策略)
-
流量控制:ACL+QOS(服务质量:优先使用)
10.2 组成
-
由若干条permit或deny语句组成每条语句就是一条规则
-
语句形式:rule permit source+地址or rule deny source+地址
-
手动指定规则:0、1、2、3……
-
自动指定规则:5、10、15……(5的倍数)
-
通配符(即反掩码):那些位可以严格匹配,那些位可以随意匹配。(0表示严格匹配,1表示随意匹配)
10.3 分类
-
基本ACL(2000-2999):只关心报文的源地址
-
高级ACL(3000-3999):对数据包的五元组进行检查
-
数据包的五元组:源IP、目的IP、源端口、目的端口、协议类型
-
-
二层ACL(4000-4999):检查二层帧的头部信息、源MAC、目的MAC、二层协议类型等等
-
用户自定义ACL(5000-5999);使用报文头部、字符串掩码、和用户自定义字符串来规定。
10.4 包过滤方向
-
出方向:数据流出方向
-
入方向:数据流入方向
-
使用注意:包过滤必须配置在接口某个方向上才能生效,一个接口的一个方向只能配置一个包过滤策略
-
配置建议:在不影响实际效果的前提下,配置离源地址近的接口方向
-
配置命令:[ ]traffic-filter inbound acl 3000
10.5 匹配机制
-
1.数据包到接口先检查是否应用ACL
-
2.按照ACL编号顺序(从小到大)匹配第一条规则,匹配进一步检查该条规则的动作(permit or deny),否则与下一条规则匹配。
-
3.所有规则都不匹配,检查默认动作,默认动作允许则放行,拒绝则抛弃。
11.0 NAT技术
网络地址转换技术(用于做公网地址与私网地址的转换)
11.1 产生背景
IPV4地址不够用、IPV6地址普及遥遥无期
11.2 作用
-
解决IP地址不够用的问题
-
保护内网安全
-
用于公网地址与私网地址的转换(如果不做转换,则私网的是数据包发上公网就有来无回了)详情看录屏
-
-
私网:由私网地址(私有IP地址)的网络;私网地址:可以重复使用的地址
-
A类:10.0.0.0-10.255.255.255 掩码:8位
-
B类:172.16.0.0-172.31.255.255 掩码:16位
-
C类:192.168.0.0-192.168.255.255 掩码:24位
-
-
公网:运营商的网络;公网地址:运营商的网络所使用的IP地址
-
11.3 分类
-
静态NAT:将私有IP与公有IP做一对一映射(没有解决IP地址不够的问题)
-
动态NAT:将私有IP与公有IP做一个动态映射(本质是一对一映射)
-
NAPT(基于端口的动态NAT技术):将私有IP地址和端口号与公有IP地址和端口号做一个映射,解决IP不够用问题
-
Easy IP:没有地址池概念,实现方式与NAPT一样,是一种简易方式,适用于没有固定的公网IP地址的场景。列如:拨号上网、公网地址不固定、自动读取当前公网接口的IP地址
-
NAT Server:把公网IP的某个端口固定映射到私网IP的某个端口,让公网上的用户可以主动访问私网中的服务器