华为网络工程师认证HCNA

2 学习工具

Ⅰ:截图greenshort
Ⅱ:有道云笔记
Ⅲ:vnc

3 vmware workstation:模拟虚拟机,搭建学习和测试环境。vmware是全球虚拟化最好的公司。

vmware 12.1可以安装win 10

4 操作系统(OS operating system)

格式:iso(原版).GHO(第三方)
winxp---->win vista---->win7---->win8(8.1)--->win10

5 快照功能:可以恢复到以前的一个状态

克隆功能:copy一份

6 关闭客户机:相当于直接断开电源

7 配置虚拟机使其可以上网

Ⅰ:让vm0桥接到无线网卡

Ⅱ:将虚拟机的网卡选择自定义到vmnet 0

8 学习环境准备

关闭防火墙和所有的杀毒以及卫士、毒霸
环回网卡安装



cisco packetracert
ENSP 华为
卸载
winpcap
wireshark
ensp
oracle virtual box

9.网络概述

网络类型:
Ⅰ:P2P型:只允许两台路由器相连,支持广播组播。(点对点)
Ⅱ:MA型:两台或两台以上的路由器通过共享介质相连,支持广播组播。(广播型)
Ⅲ:NBMA型:(完全连接的帧中续网络)允许两台或两台以上的路由器通过VC相连,不支持广播组播。
Ⅳ:P2MP型:(非完全连接的帧中续网络)多个点到点网络的集合,支持广播组播。

查询服务器所在的地址

10 IP

IP:internet protocol 标识一台网络设备唯一的ID标识,类似公民的身份证号。全球唯一。
例如:192.168.31.1

11 ping:测试两个网络设备的联通性,参考的协议标准ICMP。

ICMP:internet eontrol message protocol ping 指令封装数据包参考的协议

12 OSI 参考模型

一层:物理层:规定了物理介质、网线、光纤、电压电流等
二层:数据链路层:MAC地址
三层:网络层:IP地址、路由器
四层:传输层:端口号 例如:80端口

五层
六层 统称高层
七层

13 MAC地址:网卡物理地址,16进制 网卡出厂时烧录在芯片里面的一串全球唯一的地址。(默认情况下不能更改)


14 TCPIP模型:tcp\ip模型是很多个网络协议的集合,其中以tcp和ip协议为主,这些协议的集合称为TCP\IP协议族(簇)。该模型是目前数据包封装主要参考的模型。

五层模型:
一层物理层
二层数据链路层:MAC
三层网络层:IP
四层传输层:端口
五层应用层:用户数据DATA

15 数据包结构

16 IPv4地址:点分十进制 32bit

192.168.1.100

17 48 ip地址:网络位+主机位

IP:192.168.1.2 掩码:255.255.255.0
    192.168.1      2
      网络位     主机位
网络位:子网掩码1bit对应的位是网络位
主机位:子网掩码0比特对应的位

:主机位全0全1的ip地址和掩码的组合是无效的。
主机位全0:子网地址
主机位全1:子网广播地址

例如:
 192.168.1.127   255.255.255.128
 192.168.1.0    1111111
          .1    0000000
   网络位        主机位
主机位全1,无效

例如:
 192.168.1.128  255.255.255.128
 192.168.1.1    0000000
          .1    0000000
   网络位        主机位
主机位全0,无效

18 IP地址分类:

A类:1-126   默认子网掩码 255.0.0.0/8
B类:128-191             255.255.0.0/16
C类:192-223             255.255.255.0/24

D类:224-239  组播地址
E类:剩下  实验用
例如:
192.168.1.1  C类
172.16.1.1   B类
8.8.8.8      A类  

19 特殊地址

127.x.x.x 本地环回测试地址 仅用来测试本机 代表自己
0.0.0.0 代表所有
255.255.255.255 广播

20 单播、组播、广播

单播:一对一
组播:一对一组用户,类似qq讨论组
广播:一对所有,群发

21 特殊二层MAC

全F  ff-ff-ff-ff-ff-ff   广播
     01-00-5e-xx-xx-xx   组播

22 网段:具有相同网络位的ip和掩码的组合称为同一个网段(局域网、子

网)

23 一个网段包含多少ip?

192.168.31.0 /24(8位主机位)
2^8=256-2=254个可用的主机IP地址

例如:192.168.2.192/26可用IP地址多少?
2^6=64-2=62个
例如:

192.168.2.252/30可用ip多少?
2^2-2=2个
192.168.2.111111    xx
   网络位          主机位
192.168.2.111111    00 
192.168.2.111111    01 可用(153)
192.168.2.111111    10 可用(254)
192.168.2.111111    11
可用地址:
192.168.2.253
192.168.2.254

例如:192.168.2.248/29可用ip多少?
6个
192.168.2.249-254

24 相同网段的PC互相通信时不需要网关

不同网段的PC互相通信需要网关做中转
:不同网段的PC互相通信需要三层网络设备(如三层交换机、路由器、防火墙、服务器)做中转,该路由器作为PC的网关。

25 子网掩码、网关、DNS

子网掩码:规定了该ip地址所在的网段。
网关:当PC访问不同网段的服务时,需要将数据交给网关处理。网关通常为三层交换机、路由器、防火墙、服务器充当,网关地址就是设备的接口地址。
DNS:域名解析服务,将域名(网址)转换成IP地址。

26

私网地址:在任何地方都可以使用的ip地址
公网地址:全球唯一,需要花钱申请

ip地址紧缺:2^32=42.9亿

NAT+私网地址===》ip地址紧缺

私有地址范围:
A10.0.0.0/8
B172.16.0.0-172.31.255.255
C192.168.0.0/16

:私网地址不能在公网上被传输(路由)。运营商如果发现收到的报文三层含有私有地址,则会将该报文直接丢弃。

27 可变长的IP地址

 172.16.0.0/16 分成6个小子网?
 2^m>=6, m=3;  因此需要三个bit的子网位
 172.16.   000    00000.0
 网络位   子网位    主机位
 Ⅰ:172.16.  000  00000.0   172.16.0.0 /19
 Ⅱ:172.16.  001  00000.0   172.16.32.0 /19
 Ⅲ:172.16.  010  00000.0   172.16.64.0 /19
 Ⅳ:172.16.  011  00000.0
 Ⅴ:172.16.  100  00000.0
 Ⅵ:172.16.  101  00000.0
 Ⅶ:172.16.  110  00000.0
 Ⅷ:172.16.  111  00000.0

28 TTL:time to live 生存周期:防止环路,起始值经过路由器是递减

29 tracert 8.8.8.8测试本地到达目标所经过的三层设备

30 ARP:(Address Resolution Protocol),通过目的IP地址,请求对方MAC地址的过程。

31.广播域:广播包可以发送的区域范围。路由器隔离广播域(广播包无法穿越路由器,路由器的每一个接口都是一个独立的广播域)。交换机不隔离广播域。

32.当一个pc访问外网时(访问的目标和自己不在同一网段),此时二层会封装网关的MAC地址。

33.TCP UDP

协议名称 详情
TCP 可靠传输、面向连接,速度慢但准确性高(例:下载软件 )
UDP 不可靠传输、非面向连接,速度快,但准确性差(例:直播数据)
面向连接 如果某应用层协议的四层使用TCP端口,那么在正式的数据报文传输之前,需要先建立连接。只有建立了连接之后才可以传输数据。
建立连接先发送一个TCP包,然后才发送HTTP包。

TCP的三次握手:面向连接的高层协议在正式传输数据之前需要先建立连接,建立连接的过程需要来回发送三个报文,我们将连接的过程称为三次握手。

步骤 详情
客户端---->服务器 携带一个SYN参数(seq=0)
服务器---->客户端 携带SYN和ACK参数(seq=0 ack=1)
客户端---->服务器 携带一个ACK参数(seq=1 ack=1)当第三次TCP的包经过路由器后,HTTP的包也封装完成开始发送。
建立连接需要经过三次握手(3个TCP的包)然后开始发送HTTP的包。

可靠传输:客户端收到第二次握手报文之后,需要发送TCP的ack确认包,并告诉服务端接下来要收到的报文的序号。同时该过程确定了两者传输的“Windows窗口”大小。

图中的ack告诉客户端接下来发送的数据包的序号,Windows告诉客户端服务端的缓存大小。

34 常用协议的端口号:

协议 TCP端口号及用途
HTTP tcp 80 网页浏览
telent tcp 23 远程控制
FTP tcp 20 21 文件传输
RDP tcp 3389 远程桌面
VNC tcp 5900 萤幕画面分享及远端操作

35 测试某端口是否打开

在pc端键入命令:telnet IP地址 端口号

36 1-1024端口号:熟知端口(固定端口 已经分配)

1024 以后的端口称为随机端口

37 wireshark 过滤规则

表达式 效果
ip.addr==x.x.x.x 过滤只含有此IP的报文
ip.src==x.x.x.x 过滤源IP为此IP的报文
ip.dst==x.x.x.x 过滤目标IP为此IP的报文
tcp.port==80 过滤端口为80的报文
tcp.dstport==80 过滤目标端口为80的报文
tcp.srcport==80 过滤源端口为80的报文
eth.dst==dc:8b:28:4b:a9:47 过滤目标MAC为此地址的报文
eth.src==dc:8b:28:4b:a9:47 过滤源MAC为此地址的报文

vnc arp http 过滤高层协议

and 且 or 或 not 非 支持()
例如:tcp or http and (not vnc)

38 思科 cisco :CCNA CCNP CCIE

华为 huawei:HCNA HCNP HCIE

39 华为命令行简介

< > 用户命令行模式 权限稍低
[ ] 系统命令行模式 权限高
< >--->[ ] 使用命令system-view
[ ]--->< > 使用命令quit
[]sysname R1 命名
[]quit 退出当前模式
?提示信息
命令行支持简写
tab键 补全命令
<>language-mode Chinese 提示语言改为中文
display current-configuration 显示当前配置
more:回车键翻一行,空格键翻一页,其他任意键退出。
ctrl+C:直接退出到用户模式

给接口配置IP地址:
int e0/0/0 进入接口e0/0/0
ip address 192.168.1.1 24 给接口配置ip地址和子网掩码
dis this 显示当前界面所做的配置
dis ip int brief 显示接口摘要

[Huawei]dis ip routing-table 显示路由表

40 路由表:路由器转发数据包的唯一依据,是路由器转发数据包的一张“地图”。

41 save 保存配置

42 [R1]undo info-center enable 关闭信息中心,防止弹出日志

43 直连路由:direct route,直接相连的路由,当路由器的接口配置好IP地址并up之后,会自动创建该路由。路由器默认情况下,只能到达直连的网段。


可以看出直连的只有12.1.1.0/24网段和23.1.1.0/24网段。

静态路由配置:

 去包路由:PC1--->PC2(目标网段:172.16.1.0/24)
 R1:
 ip route-static 172.16.1.0 24 12.1.1.2
                   目标网段      下一跳
 下一跳:(next-hop)下一个传递者,下一个继承者
 R2:ip route-s 172.16.1.0 24 23.1.1.3
 
 回包路由:PC2--->PC1(目标网段:192.168.1.0/24)
 R3:ip route-s 192.168.1.0 24 23.1.1.2
 R2:ip route-s 192.168.1.0 24 12.1.1.1

44 undo xxx 撤销某条指令

例如:

 int e0/0/1
   undo ip address

例如

 undo sysname
 undo ip route-s 192.168.1.0 24 12.1.1.1

45 路由优先级:(perference,思科管理距离:类似于最短路径)衡量路由的优先程度,到达同一个目标有两种路由协议,此时优选路由优先级较小的路由协议。

路由优先级范围 0-255
常见的路由优先级
直连路由(direct) 0
静态路由(static) 60
动态路由(Rip) 100
ospf 10

46 ping x.x.x.x -t 一直ping

ping会存在三种情况 1、请求超时:对方主机不在线、屏蔽等(如果屏蔽了,我们可以获取到mac) 2、传输失败:当主机尝试去访问其他网络内的主机,而本身没有配置网关。 3、无法访问目标主机:网关没有路由,没有获取到mac地址。

47 冗余:基本类似于备份,可靠性较高

48

 int e0/0/1
   shutdown  禁用接口
   undo shutdown  开启接口

49 配置冗余和冗余路由的静态路由后,查看路由表



如果接口出故障,那么与该接口相关的直连路由全部消失。
如果某路由的下一跳不可达则该路由也会消失

50 路由在选择路径的过程中始终使用最优路由(因此到达同一个目标的多条路径中,路由表中只能看到最优的那一条)

51 路由优先级:参考前面的拓扑结构

目标:想实现千兆Ge0/0/0为主链路,百兆E0/0/1作为备份链路
R1:
ip route-s 210.1.1.0 24 21.1.1.2 perference 50
R2:
ip route-s 210.1.1.0 24 21.1.1.1 perference 50
(优先级50高于静态路由默认优先级60,通过此方法进行主链路和备用链路的设置)

52 负载均衡:数据(负载)被均分到两条链路上传输。(两条链路的优先级相同,即可实现负载均衡,此时两条链路均在路由表中显示,如下图)

53 路由度量:(度量值,metric,cost,路由开销)到达某目标所花费的开销(代价)的总合,用来衡量路径的优劣。

54 缺省路由(默认路由):

default route ip route-s 0.0.0.0012.1.1.2 //访问任何网段都将数据包交给12.1.1.2
** 注:缺省路由属于特殊的静态路由!
** 注
:PC的网关其实就是一种缺省路由。

  **特殊注意**:缺省路由属于“替补路由”,只有当其他的路由不可达时才会使用缺省路由。

** 注**:缺省路由适用于边缘节点,以及企业出口。

55 环回接口(loopback):逻辑接口,模拟网段、PC、服务器、后期用于动态路由选举Router-ID

 int loopback 0
      ip add 220.1.1.2 24

56 DHCP:动态主机配置协议DHCP(Dynamic Host Configuration Protocol)来分配IP地址等网络参数,可以减少管理员的工作量,避免用户手工配置网络参数时造成的地址冲突。

上网参数:IP地址、子网掩码、网关、DNS

 dhcp enable
 ip pool qq
      gateway-list 192.168.1.1
      network 192.168.1.0 mask 255.255.255.0
      dns-list 192.168.1.1 8.8.8.8

 int e0/0/0  //(和用户相连接口)
      dhcp select global  //使用本地全局配置的地址池分配ip地址

cmd--->ipconfig

在使用dhcp的情况下:
ipconfig /all 查看
ipconfig /release 释放IP地址
ipconfig /renew 重新获取IP地址

更改网卡MAC地址:
windows+r-->ncpa.cpl-->回车-->网卡属性-->配置-->高级-->本地管理地址-->输入值

注1:多个PC请求dhcp服务时,dhcp服务器使用不同的MAC地址来区分不同的PC
注2:用户发送的第一个dhcp请求包源是0.0.0.0目标是255.255.255.255的广播报文,该报文称为dhcp discover。
注3:多个dhcp服务器(路由器等网络设备均可作为dhcp服务器)回应同一台PC时,PC选择最早到达的回复,收到第二个报文。
注4:第三报文是用来和通讯的dhcp服务器进行确认。

dis ip pool name qq used 显示DHCP分配记录

57 RIP:路由信息协议RIP(routing information Protocol)的简称,它是一种基于距离矢量(Distance-Vector)算法的协议,使用跳数作为度量到达目的网络的距离。

RIP主要应用与规模较小的网络中。缺点:古老速度很慢!

58 路由器的每个接口都是一个独立的网段!!!

59 rip的配置

 R3:
   rip 1
      undo summary  //关闭自动汇总
      version 2  //版本2
      network 192.168.1.0  //宣告直连主类网络
      network 12.0.0.0  //宣告直连主类网络
 R4:
   rip 1
      undo summary
      version 2
      network 12.0.0.0
      network 23.0.0.0
      network 172.16.0.0
 R5:
   rip 1
      undo summary
      version 2
      network 23.0.0.0
      network 10.0.0.0

60 Rip 报文

每隔30s发送一次
目标地址是224.0.0.9组播地址
报文里面存放的是路由信息

61 Rip 只看距离远近,距离是以跳数(经过路由器的个数)来衡量。

:16跳不可达。

62 抑制接口:(静默接口)

 rip
      silent-interface e0/0/0  //将接口e0/0/0 配置为静默接口,rip的路由更新不再从该接口发送。

:rip 的优先级100

63 OSPF:开放式最短路径优先(Open Shortest Path First)协议是IETF定义的一种基于链路状态的内部网关路由协议。ospf逐渐取代rip.

链路状态:路由矢量、带宽等综合考虑链路的情况
ospf的优先级:10

64 ospf 的区域规划


area 1、2、3:常规区域

65 OSPF配置

 R3:
   ospf 1
      area 0
      network 192.168.1.0 0.0.0.255
      network 12.1.1.0 0.0.0.255
 R4:
   ospf 1
      area 0
      net 12.1.1.0 0.0.0.255
      net 23.1.1.0 0.0.0.255
      net 172.16.1.0 0.0.0.255
 R5:
   ospf 1
      area 0 
      net 23.1.1.0
      net 10.10.10.0 0.0.0.255
 以上配置完成以后所有的链路均通

查看路由表

可以和rip配置完成以后的路由表进行比较

66 ospf的报文:常见的5种

DBD、LSR、LSU、LSack 刚开始发送
hello:小巧,用来建立和维持邻居关系

< >reset ospf process 重置ospf进程--->y

67 显示ospf的邻居表:

68 ospf静默接口

69 Telent:远程登录,远程控制一些路由器和交换机等网络设备。四层使用TCP23号端口。

70 telnet

 telnet服务端配置:
 telnet server enable  //(华为已经开启)
   aaa
      local-user hcnp password cipher hcnp12 privilege level 3   //配置用户名和密码 权限级别3级
      local-user hcnp service-type telnet  // 指定账号的服务类型是telent

   user-interface vty 0 4   //同时允许5个人登录
      authentication-mode aaa    //认证的模式采用aaa

telnet客户端
< >telnet 34.1.1.2

:四层使用的TCP 23号端口。

71 FTP:file translate protocol,FTP是用来传送文件的协议。使用FTP实现远程文件传输的同时,还可以保证数据传输的可靠性和高效性。目前目前多数用其来传输安装操作系统。

72 路由器 硬件组成:

  内存+CPU+flash(类似硬盘)+风扇+I/O接口+主板

73 查看路由器操作系统

:此操作系统用的是VRP 版本为5.110

74 dir查看flash

75 华为网络设备操作系统:VRP:Versatile Routing Platfrom version 5.X

76 对flash的操作



reset recycle-bin 清空回收站。

 配置ftp:
   aaa 
      local-user xxm password cipher xxm12 privilege level 3 ftp-directory flash:
      local-user service-type ftp
 客户端访问:
 < >ftp 34.1.1.2


PC当客户端:

浏览器中访问:如下设置

77 升级华为网络设备操作系统的方法:

在PC客户端下载需要的操作系统,登录到服务端把下载的系统拷贝到flash里面,重启服务器reboot 自动安装新系统ar1220-5.2.1.0.cc

78 VLAN(Virtual Local Area Network)即虚拟局域网。

作用:在大型的企业内网,可以通过在交换机(二、三层交换机)上部署vlan技术隔离广播域,缩小广播的发送范围,同时将安全威胁隔离到最小。以及方便管理员的管理。最终使得 网络更加的健康和稳定。

79 vlan配置

 vlan 10  //创建vlan 10
 vlan 20  //创建vlan 20 
 
 vlan batch 20 30 40  //同时创建三个vlan

   int gi0/0/x
      port link-type access  //将接口的类型配置为access
      port default vlan 10  //将接口划分到vlan10里面

:vlan 1 属于默认vlan,默认情况下所有的接口都位于vlan1里面。

:vlan隔离广播的同时,也会隔离arp,从而导致无法获取到目标IP的MAC地址,因此导致单播也无法通信。如果想让不同的vlan单播可以通信,还需要三层设备(路由器、三层交换机)做路由。

:默认情况下交换机的一个接口只能从属于一个vlan,只允许该vlan的数据通过。

80 Trunk:干道,主干链路 通常用于交换机和交换机之间,通过一个接口传输多个vlan的数据包。

81 trunk配置:

接口类型 连接设备
access口 接PC
trunk口 接交换机
hybrid口 混合接口 即可以接交换机也可以接PC(华为交换机的默认接口)
 trunk的配置:
   int gi0/0/x (SW1:gi0/0/4  SW2:gi0/0/1)
      port link-ty trunk
      port trunk allow-pass vlan all

PC--->交换机access口

:PC不认识vlan标记,不认识tag,只有通过交换机的trunk接口发出的报文才具备vlan的标记(802.1q tag)。
:交换机发出的报文没有tag。
交换机trunk--->trunk交换机

82 PVID:本征vlan(native vlan):该vlan的报文经过trunk接口时不打标记(tag)。默认情况下本征vlan是vlan 1。

 int gi0/0/4
    port trunk pvid vlan 20   //将trunk接口的pvid改为vlan 20

此时交换机trunk--->trunk交换机,vlan 20 的主机相互通信时trunk链路的报文中不携带pvid的标记(tag),默认情况下vlan 1 的主机通信时不携带pvid的标记(tag)。也就是说当trunk的pvid和vlan的pvid相同时,此vlan的主机通信时,trunk链路的报文就不会携带tag

83 将交换机的接口属性更改时:例如由access-->trunk 或者由trunk-->access 必须重置接口的默认设置

重置方法:
1、手动恢复到原来的状态 type:hybrid vlan:1
2、[ ]clear configuration int gi0/0/2--->yes

84 vlan间路由:

方法Ⅰ:多层交换机--SVI(常用):switch virtual interface
方法Ⅱ:路由器--单臂路由

:不同的vlan之间互相通信必须要有三层设备(路由器、多层交换机)做中转。

85 vlan间路由之SVI

 svi配置:
   vlan batch 10 20   
   将接口划入vlan配置略
   int vlan 10
      ip add 192.168.10.1.24  //给vlan 10 配置ip地址作为vlan 10 用户的网关
   int vlan 20 
      ip add 192.168.20.1 24

调试:

:vlan间路由:通过三层设备路由,使得不同vlan间可以互相通信。但仅仅允许单播通信。不同的vlan之间广播帧依然被隔离即没有失去vlan原来的意义。

86 vlan间路由之单臂路由


配置:
Ⅰ:交换机上连 配置trunk
int gi0/0/3
配置trunk
Ⅱ:路由器启用子接口

 interface Ethernet0/0/0.10
 dot1q termination vid 10
 ip address 192.168.10.1 255.255.255.0
 arp broadcast enable
#
interface Ethernet0/0/0.20
 dot1q termination vid 20
 ip address 192.168.20.1 255.255.255.0
 arp broadcast enable

87 ACL:access control list 访问控制列表

ACL两种:
基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。

acl举例:拒绝PC1访问172.16.10.x网段

 R2:   
   acl number 2000  //建立基本acl(表号2000)
      rule 5 deny source 192.168.10.1 0  //拒绝源地址为192.168.10.1的任何数据包。5为自动生成的执行序号。

   int gi0/0/0  
      traffic-filter inbound acl 2000  //在接口的入方向调用acl


172.16.10.1ping192.168.10.1的 gi0/0/0接口的抓包
五个包,request包顺利通过,reply包超时。

acl举例:拒绝PC1和PC2ping server1,但允许其HTTP访问。

 R2:
   acl number 3000  
      rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0 
   int gi0/0/0  
      traffic-filter inbound acl 3000  //在接口的入方向调用acl

acl举例:拒绝PC2:192.168.10.2 以telnet的形式访问12.1.1.2

 R2:
   acl number 3001  
      rule 5 deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port eq telnet 
   int gi0/0/0  
      traffic-filter inbound acl 3001  //在接口的入方向调用acl

注意
注1:一个接口的同一个方向只能调用一个acl
注2:一个acl里面可以有多个rule规则,从上往下依次执行
注3:数据包一旦被某rule匹配,就不再继续向下匹配
注4:默认隐含放过所有(华为的acl用来拒绝数据包时)。

88 NAT:(Network Address Translation)网络地址转换技术,作用是将内网私有地址转换成公网地址,使得内网的主机可以上外网。

私有地址:任何人都可以使用
A 10.0.0.0/8
B 172.16.0.0-172.31.255.255
C 192.168.0.0/16

基础配置:
配置好ip地址
出口缺省路由

89 静态NAT:static NAT-一对一(一 一映射),一个私网地址对应一个公网地址,外网的用户可以访问内网的主机。

 global:全局公网地址
 local:内网私有地址

 inside:内网 内部
 outside:外部

 int gi0/0/1  //(在外网口配置)
    nat static global 12.1.1.2 inside 192.168.31.3  //将私网地址31.3和12.1.1.2做一对一的映射

在gi0/0/0口和gi0/0/1口抓的报文

调试:
dis nat session protocol icmp

缺点:有多少个私网地址就需要多少个公网地址。

90 NAT 之 easy IP:允许多个私网地址转换成一个公网IP,很常用。

出口:
先写acl匹配内网私网地址段

 acl number 2000
    rule 5 permit source 192.168.31.0 0.0.0.255

:acl用来做匹配范围时,没有默认隐含允许所有的规则。

 int gi0/0/1(公网接口)
    nat outbound 2000  //(2000是acl的表号)

原理:内网私网地址出包时转换成公网接口gi0/0/1当前的IP地址(12.1.1.1)

91 NAT 之 server NAt:可以将某服务器的某端口映射出去(非常安全)

  int gi0/0/1
     nat server protocol tcp global 12.1.1.4 www inside 192.168.31.254 www  //www相当于80端口 通过80端口发送的tcp报文在外网接口处转换为12.1.1.4传输

也可以进行如下配置(以下配置还未做实验)
nat server protocol tcp global 12.1.1.4 4000 inside 192.168.31.254 3389
如内网还有其他的主机可以进行如下配置
nat server protocol tcp global 12.1.1.4 4001 inside 192.168.31.253 3389

仅仅将服务器的80端口映射出去

92 广域网链路:二层封装PPP(包括pap chap)、HDLC、FR

:在配置关于网链路之前给路由器添加串口(sx/0/0)

   interface Serial4/0/0
      link-protocol ppp
      ip address 12.1.1.2 255.255.255.0 

PPP可以对链路做认证

93 PPP的链路认证:

Ⅰ:PAP认证 Ⅱ:CHAP
PAP认证:(明文传输,两次握手)

 R2(服务端)
   aaa
      local-user hcnp password cipher hcnp123
      local-user hcnp service-type ppp
   int s4/0/0
      ppp authentication-mode pap

此时:可以shutdown接口 然后再undo shutdown检测

 R1(客户端):
   int s4/0/0
      ppp pap local-user hcnp password simple hcnp123  //配置客户端发送的用户名和密码以明文的方式发送

此时:可以shutdown接口 然后再undo shutdown检测

CHAP认证:三次握手,密文发送

94 HDLC、FR

:华为、H3C串行接口默认的封装方式是PPP
Cisco(思科)串行默认封装的是HDLC

int s4/0/0
    link-protocl hdlc

95 FR:frame-relay 帧中续

   int s4/0/0
      link-protocol fr
      ip address 12.1.1.1 24

12.1.1.2的端口处抓包

96 聚合链路/链路捆绑/聚合端口/eth-channel


没有配置链路聚合之前 :端口1和4处于转发状态

交换机:两台分别配置

int eth-trunk 1  //创建逻辑捆绑接口组1

 int gi0/0/1
    eth-trunk 1  //将接口加入接口组1
 int gi0/0/2
    eth-trunk 1
 int gi0/0/3
    eth-trunk 1

配置链路聚合之后:

97 VRRP:虚拟网关冗余协议 Virtual Router Redundancy Protocol 三层网关冗余技术。对用户的网关做冗余。

实验拓扑结构如下:

基础配置:
核心和PC个接口的IP
接入层交换机无需配置
用户网关10.1

 vrrp配置:
 核心1(备份):
 int Gi0/0/0  //下联用户的接口
 vrrp vrid 1 virtual-ip 192.168.10.1  //创建虚拟组1,并指定虚拟IP地址,该虚拟地址作为用户网关。
 核心2(主):
 int gi0/0/0  //下联用户的接口
 vrrp vrid 1 virtual-ip 192.168.10.1 创建虚拟组1,并指定虚拟ip地址,该虚拟地址是用户的网关。
 vrrp vrid 1 priority 105  //优先级设置为105,作为主路由器(核心1为100,数字越大越优先)

核心2

表中的master表示主路由。

核心2

表中的backup表示备份路由(其中记录了master的优先级)

工作原理:master路由器会每隔一段时间(约2s)按组播的形式发送vrrp报文(包含优先级)告知它的身份;当它故障时,其他路由收不到它的vrrp报文,其它backup路由器就会自动切换成master。

 int gi0/0/0
      vrrp vrid 1 track int gi0/0/1  //跟踪上联接口gi0/0/1的状态,当发现gi0/0/1口down时,自动将优先级减10,以让出master的位置。

配置密码(可选配置)

 int gi0/0/0
      vrrp vrid 1 authentication-mode simple plain 123  //配置认证简单明文密码123

98 STP:spanning tree protocol 生成树协议

作用:防止交换环路
原理:通过运行STP的算法,阻塞特定的接口实现冗余无环的网络。

从图中就可以看到接口gi0/0/2处于阻塞状态,从而我们可以看到消除了环路。
当环路中的某一条链路出现故障时(SW2和SW1之间的链路故障时),此端口就会自动打开

99 STP算法:大原则:先选出不被阻塞的接口,剩下的接口全被阻塞。


Ⅰ 在整个网络中(整个广播域)选出根桥。先比较优先级 再比较mac地址,越小越优先。根桥的所有端口都是指定端口。(默认选举情况如下)

CIST Root/ERPC:根桥
标蓝部分为桥id
Ⅱ 非根桥上面选举根端口(根端口有且仅有一个)到达根桥最近的端口当选为根端口。
Ⅲ 每段链路上选取一个指定端口。桥ID(优先级+MAC)较小的交换机上面的端口当选为指定端口。
Ⅳ 剩下的端口全部阻塞。

100 修改交换机stp的优先级:

stp priority 0

:优先级必须是4096的倍数

101 交换机的接口由down到转发状态大概经过30s。

down-->listening-->learning-->forwarding

边缘端口:建议将接PC的接口配置为边缘接口(减少接口的收敛时间)

 int gi0/0/3
      stp edged-port enable

102 stp的根保护

STP根保护:建议到根桥的接口配置

 int gi0/0/2
      stp root-protection

一旦使能根保护功能的指定端口收到优先级更低的BPDU时,端口状态将进入Discarding状态,不再转发报文。在经过一段时间(通常为两倍的Forward Delay),如果端口一直没有再收到优先级较高(数值较低)的BPDU,端口会自动恢复到正常的Forwarding状态。

:该指令只能在指定端口配置才会生效。

103 stp BPDU 防护:保护根桥

全局
stp bpdu-protection
作用:开启bpdu保护后,如果从边缘端口收到stp报文,交换机会自动将该接口shutdown。从而确保根桥不被抢占。确保不会出现环路。
error-down auto-recovery cause bpdsu-protection interval 30 //30s后自动up 自动恢复机制。

104 RSTP:rapid stp 快速的生成树协议

stp mode rstp //将stp的模式调整为rstp

105 IPV6:internet protocol version 6

目前正在使用:ipv4
ipv4:32bit 2^32=42.9亿个 点分十进制
ipv6:128bit 2^128=很大很大 冒号分16进制

ipv6由8个字段组成,每个字段占16个bit

      2001:db8:**0:0:0:0**:346:8d58
        2001:db8**::**346:8d58

特殊ipv6地址:
注1 ::1 本地环回地址 类似ipv4 127.x.x.x
注2 :: 相当于ipv4 0.0.0.0
注3 FF 开头组播v6地址 例如:FF::5 类似224.0.0.5

ipv6静态路由配置

 接口ip:
   ipv6 全局使能ipv6功能
   int gi0/0/0
      ipv6 enable 
      ipv6 address 2001::1 64
 R1:
  ipv6 route-static 2002::0 64 12::2 
 R2:
  ipv6 route-static  ::  0 12::1

106 ipv6地址分类:单播 组播 任意播(取消广播概念)

任意播:找离它最近的服务器访问

107 ipv6无状态自动配置:PC会通过发送特定类型的icmp报文请求路由器接口的前缀,结合自己的mac地址自动生成全球独一无二的ipv6地址。

无状态生成的ipv6地址的前缀和路由器接口的前缀一致(相当于ipv4的网络位)后面的部分会结合mac地址确定。

 EUI-64地址:原mac地址中嵌入FFFE,然后将第七位bit取反。
 例:mac:00:E0:FC:16:21:CD      
 (00)16-->(00000000)2取反-->00000010-->(02)16
 EUI-64: 02:E0:FC:FFFE:16:21:CD

109 思科 锐捷 命令行简介

用户模式

特权模式

(config)#全局模式

enable //由>进入#模式

config terminal //由#进入全局

exit //退出当前模式
全局模式下hostname SW1 //命名

 vlan 10
 int vlan 10
    ip add x.x.x.x 255.255.255.0

 #show ip int brief  //显示接口摘要
 #show ip route  //显示路由表
 #show run  //显示当前配置

 #write  //保存

120 思科基本配置联通性

 int fa0/1  //将接口fa0/1划入vlan10
    switchport access vlan 10
    witchport mode access
 int fa0/3  //将接口配置为trunk
   switchport trunk encapsulation dot1q

全局

 ip route 192.168.30.0 255.255.255.0 192.168.20.2  //配置静态路由
 int range fa0/1-fa0/24 //对多个端口进行配置
 #erase startup-config  //擦除配置

121 终止解析


ctrl+shift+6

122 思科acl配置


标准:
全局:

access-list 1 deny 192.168.10.2 0.0.0.0  //配置acl拒绝192.168.10.2访问
   access-list 1 permit any  //允许任何网段 
int fa0/0
   ip access-group 1 in  //将acl 1 加在路由器的入口处也就是fa0/0

扩展:

 access-list 100 deny icmp 192.168.10.2 0.0.0.0 any
 int fa0/0
    ip access-group 100 in

123 思科NAT

 NAT配置:
   int fa0/0
      ip nat inside  //指明内网接口
   int fa1/0
      ip nat outside  //指明外网接口

   access-list 5 per 192.168.10.0 0.0.0.255  //用acl匹配内网网段
   ip nat inside source list 5 int fa1/0 overload  //在fa1/0口用此规则,默认内网地址会转换成fa1/0接口的IP

124 思科telnet配置

 username aa privilege 15 password aa123  //首先配置用户名和密码 权限级别为15
 
 line vty 0 15
      login local  //使用本地的用户名和密码对登录的用户做认证

125 思科DHCP

 server dhcp enable  //开启dhcp功能
 ip dhcp pool hcna  //建立dhcp地址池
    network 192.168.10.0 255.255.255.0
    default-router 192.168.10.1
    dns-server 192.168.10.1

上一篇: nc - 网络工具箱中的「瑞士军刀」
下一篇: netcat网络工具使用

发表评论