初级网络之OSI-网络/路由协议-IP编址-VLAN-ACL-NAT-DHCP-telnet远程
目录简介
一、OSI七层模型简介
二、OSI之物理层
三、OSI之数据链路层
四、OSI之网络层
五、OSI之传输层
六、OSI之应用层
七、ARP协议 网络层协议
八、ICMP 网络层协议
九、IP编址
十、IP路由基础
十一、距离矢量路由协议RIP
十二、链路状态路由协议OSPF
十三、交换网络基础
十四、VLAN
十五、ACL网络控制
十六、NAT网络地址转换
十七、网络管理DHCP
十八、广域网技术
十九、无处安放的知识点
二十、telnet远程登录
初级网络目录
- 目录简介
- 前言
- 一、OSI七层模型简介
- 二、OSI之物理层
- 1.介质
- 2.设备
- 3.双工模式
- 三、OSI之数据链路层
- 1. MAC地址
- 2. 通信
- 3. 代表设备:二层交换机
- 4. 其它
- 四、OSI之网络层
- IP报文
- 五、OSI之传输层
- TCP头部(固定头部长度20字节)
- UDP头部(头部仅占8字节)
- TCP和UDP区别
- 六、OSI之应用层
- 七、ARP协议 网络层协议
- 八、ICMP 网络层协议
- ICMP协议
- 消息类型
- 九、IP编址
- 私有地址
- 特殊地址
- 将暂时用不到的主机位规划到网络位产生新的子网的过程---->可变长子网掩码/VLSM
- 十、IP路由基础
- 路由器
- 路由条目的来源方式
- 选路原则
- 十一、距离矢量路由协议RIP
- 动态路由协议的分类
- RIP不适合运行在大型网络的原因
- RIP工作原理
- RIPv1
- RIPv2
- 认证(接口视图下配置)
- RIP环路避免机制
- RIP特性
- rip汇总
- 十二、链路状态路由协议OSPF
- OSPF工作状态
- OSPF三张表
- Router id选举规则
- ospf配置
- ospf报文
- ospf(链路状态路由协议)
- DR/BDR(减少邻接关系数量)
- OSPF邻接关系建立过程
- 重点:2个关系,3张表,5种报文,7种状态
- OSPF区域划分的优势
- OSPF区域
- OSPF支持的网络类型
- 影响OSPF邻居关系建立的因素
- OSPF开销
- 配置
- 十三、交换网络基础
- 什么时候泛洪
- 交换机转发原理
- 交换机工作原理
- 十四、VLAN
- access
- trunk
- vlan划分方法
- 配置
- vlan间路由(实现不同vlan间通信)
- 十五、ACL网络控制
- 访问控制列表ACL
- ACL工作原理
- ACL分类
- ACL规则
- 基本acl配置
- 高级acl配置
- 十六、NAT网络地址转换
- 静态NAT
- 动态NAT
- NAT服务器:外部可以访问内部,目的NAT技术
- 总结
- 十七、网络管理DHCP
- 地址池
- AAA
- 十八、广域网技术
- PPP组件
- PPP认证模式
- 配置
- PPPoE配置
- 十九、无处安放的知识点
- 环回口
- 回环口配置
- 路由器选路原则
- 通配符:不一定要连续(0表示不变,1表示可变)
- 二十、telnet远程登录
- 在R1上配置
- 在R2输入命令
- 总结
前言
随记
一、OSI七层模型简介
- 应用层:为应用程序提供网络服务
- 表示层:数据格式化,加密、解密
- 会话层:建立、维护、管理会话连接
- 传输层:建立、维护、管理端到端连接
| 可靠连接TCP,不可靠连接UDP
| 段 - 网络层:IP寻址和路由选择
| 包 - 数据链路层:控制网络层与物理层之间的通信
| 帧 - 物理层:比特流传输
| 比特流
二、OSI之物理层
1.介质
- 粗同轴电缆
- 细同轴电缆
- 双绞线,RJ-45接头,最长有效传输距离100米
- 光纤
单模光纤:适合长距离传输
多模光纤:适合短距离传输
2.设备
- 集线器(HUB)
所有的设备在同一个冲突域中
所有的设备在同一个广播域中
| 冲突:同一时刻,来自不同方向的传输信号发生碰撞
| 广播:所有设备可以接收和处理广播包。255.255.255.255
设备共享相同的带宽
节点越多意味着冲突越多
CSMA/CD
| 先听后发,边听边发,冲突停发,随机延迟后重发
3.双工模式
- 半双工:双方都可以接收和发送数据,但在同一时刻,只允许一个方向发送数据
- 全双工:双方都可以接收和发送数据,允许同一时刻,接收和发送同时进行
三、OSI之数据链路层
1. MAC地址
MAC地址总共有48bit
前24bit是厂商标识符OUI(用于分辨由哪家厂商生产),后24bit由供应商分配
所有Mac地址具有唯一性
2. 通信
帧:帧头部+数据+FCS
| 帧头前面还有一个前导符,用于标识开始
帧头目标Mac地址:6B,目的设备的Mac地址源Mac地址:6B,发送方设备的Mac地址type/length:2B当值大于等于1536代表type字段(以太网二层帧)| 用于标识上层(网络层)协议| 0x0800:IP协议| 0x0806:ARP| 0x86DD:IPv6当值小于等于1500代表length字段(802.3帧)
数据:0~1500B,上层数据内容
| MTU:最大传输单元=1500B(默认)
FCS:4B,帧校验,保证数据帧的完整性
最大数据帧长度:1518B(把上面的长度加起来)
最小数据帧长度:64B(规定的)
3. 代表设备:二层交换机
接口分割冲突域
所有设备在同一个广播域中
4. 其它
单播:第8bit为0
广播:48bit全F
| 广播是一种特殊的组播
组播:第8bit为1
四、OSI之网络层
IP报文
IP头+(源IP地址+目的IP地址+)数据
IP头(长度20-60字节)version:4bit,版本号,0100-IPv4,0110-IPv6header Length:4bit,头部长度TOS/DS:8bit,差分服务类型。前6bit,服务于QOS| 优先级越高,越优先处理total length:16bit,总长度| 总长度—头部长度=数据长度| 以下为数据的分片和分片重组identification:16bit,标识符,用相同的字符来标记flag:3bit第1bit:保留第2bit:DF位,置1=不需要分片,置0=需要分片第3bit:MF位,置1=有更多分片,即当前分片不是最后一个,置0=当前分片为最后一个分片fragment.Offset:13bit,分片偏移量,代表当前分片的第一个字节距离数据源第一个字节的偏移量| 以上TTL:生存时间,8bit,0~255,数据包每经过一台三层设备认为是一跳,数据包每经过一台三层设备TTL减1,一定程度上防止环路protocol:协议号,8bit,用来标识上层(传输层)协议| 6:TCP,17:UDPheader checksum:头部校验,16bit,校验头部信息的完整性,每经过一台三层设备校验值发生变化S.IP:源IP地址,32bitD.IP:目标IP地址,32bitoption:选项,长度可变
代表设备:路由器
分割广播域
五、OSI之传输层
- TCP:传输控制协议 (网络层协议号6)
| 面向连接的、可靠的、有序的、流量控制的 - UDP:用户数据报 (网络层协议号17)
| 面向无连接的、不可靠、无序的、无流量控制的
TCP头部(固定头部长度20字节)
源端口
目的端口
| 通过目的端口号来标识上层协议
| 即端口号用来区分不同的网络服务(应用层服务)
| FTP:21、20端口
| http :80端口(https :43端口,区别:http是用明文传输的,https是用密文传输的)
| Telnet :23端口
| SMTP :25端口
| (注:以上都属于TCP端口号,所以都是可靠协议)
序列号seq:TCP为每一个字节的数据分配一个序号
确认号ack:表示确认,接收报文序号+1=确认号
| 确认号是序列号加一
头部长度:标识当前报文头部长度有多长
Resv.:保留,即没有用到的
标志位URG紧急位| 置1生效,即当前报文中有一些数据需要紧急处理| 置0不生效ACK确认位| 置1,确认号生效PSH推送位| 置1,有数据需要及时推送给上层即网络层处理RST复位位| 置1,当前连接中断,请求释放连接,重新建立连接SYN请求位| 请求建立连接,置1说明是个请求报文,希望我可以跟你建立起连接FIN终止位| 置1,请求终止连接窗口大小:一次能够传输数据的大小,即用于流量控制
以下是保证TCP可靠传输的四个机制
| 三次握手、四次挥手、确认重传机制、滑动窗口机制TCP建立连接的过程
三次握手(TCP通过三次握手建立可靠连接)
| 两种确认机制:一种是上面说的序列号加一,另一种是序列号直接变为你的确认号(可以理解为对你的确认表示确认)TCP关闭连接
四次挥手
| 当我收到你的确认报文的时候才会终止连接
| 你发起终止连接请求,我回复确认收到,此时你才关闭连接,既然你不喜欢我则我也发送终止连接请求,你回复确认收到,然后我也关闭连接TCP传输过程
确认重传机制TCP滑动窗口机制
| 我的窗口大,你的窗口小,会导致我给你发的后面的报文被丢弃,我要每次都给你重传很累,所以我会改变我的窗口大小跟你一样
UDP:是一种面向无连接的传输层协议,传输可靠性没有保证
UDP头部(头部仅占8字节)
源端口
目的端口
| SNMP :161端口
长度:8字节
校验和:保证完整性
- UDP传输过程
不提供重传机制,但占用资源小,处理效率高
一些时延敏感的流量,如语音、视频,通常使用UDP作为传输层协议
TCP和UDP区别
- TCP适用于一次传送大批量数据
| 电子邮件 - UDP适用于多次少量数据传输,实时性要求高的业务
六、OSI之应用层
文件传输
FTP
| TCP的21、20
TFTP
| UDP的69
NFS电子邮件
SMTP远程登录
Telnet
| 端口号23
rlogin网络管理
SNMP简单网络管理协议名称管理
DNS域名解析
七、ARP协议 网络层协议
- 即地址解析协议
查看arp缓存表:arp -a
arp缓存表:查看得到目的主机IP地址对应的MAC地址
存在意义:主机封装的时候不知道目的Mac地址(目的IP地址是通过用户间接得到的),ARP的最终目的是完成数据的封装
| 即为了完成数据(数据链路层)封装什么时候会运行ARP请求:当我的ARP缓存表中没有目的IP与Mac地址的映射关系时
ARP request请求报文:广播报文(目的Mac地址全F)
ARP reply响应报文:单播报文
ARP请求只能访问同网段
网关用来转发来自不同网段之间的数据包
所以若是不同网段通信 则以网关地址为目的IP地址
| 即
| 同网段通信(交换机):ARP请求 以目标主机的IP地址为目的IP发起请求
| 跨网段通信(路由器):ARP请求 以下一跳地址(网关的IP地址)为目的IP发起请求由此引出ARP代理
ARP代理产生的条件
路由器要开启ARP代理功能
| 华为路由器默认关闭,可手动打开
代理设备需要有对应到达目标网络的路由信息免费ARP:以自己的IP地址作为目的IP地址发起ARP请求(源IP=目的IP)
| 可用来探测IP地址是否冲突什么情况发生免费ARP
1.设备IP地址发生变化的时候/设备获取到一个新的IP地址的时候
2.更新ARP缓存条目
八、ICMP 网络层协议
收集各种网络信息、诊断和排除各种网络故障
- ICMP用来传递差错、控制、查询等信息
- ICMP应用
ping | echo request/reply 报文 tracert | tracert显示数据包在网络传输过程中所经过的每一跳 | | icmp 超时消息,ICMP 目标不可达消息 | 1)ttl 逐次增加 | 2)UDP 端口比较大
- ICMP重定向
| 前提是全网互通,网关要知道服务器的IP地址
ICMP协议
是属于网络层的协议
调用网络层服务
同时还为网络层提供服务,为网络层提供一种差错消息告错的服务
消息类型
差错报告消息目标不可达消息:由于种种原因导致数据包无法传递到目标主机产生的报错时间超时:防止环路TTL超时分片、分组超时源站抑制:用于控制网络拥塞重定向消息查询消息回显请求报文/应答链路连通性测试时间戳请求/应答用户时钟同步
九、IP编址
- 二进制是8个一组,十六进制是四个一组(超过9的从A开始)
| 128
| 192
| 224
| 240
| 248
| 252
| 254
| 255 - IP地址由32个二进制位组成,通常用点分十进制形式表示
私有地址
10.0.0.0~10.255.255.255
172.16.0.0~172.31.255.255
192.168.0.0~192.168.255.255
剩下的都是公有地址
特殊地址
127.0.0.0~127.255.255.255(本地)
0.0.0.0
255.255.255.255
- 私有地址转为公有地址的技术:NAT
主机位全置为0:网络地址
主机位全置为1:广播地址
将暂时用不到的主机位规划到网络位产生新的子网的过程---->可变长子网掩码/VLSM
目的:制造新网络
先判断当前网段实际需要多少个主机位
确定子网位
确定子网网络地址、广播地址、可用主机范围
无类域间路由CIDR
取前面一样的固定不变,后面的全部置为0子网掩码作用是什么:标识网络位和主机位
十、IP路由基础
路由器
选择最优路径
进行数据转发
路由条目的来源方式
直连条目
静态路由要求管理员对网络环境足够熟悉不适合中大型企业网络,配置繁琐/配置量大,消耗人员成本和时间成本不消耗路由器进程资源,适合中小型网络浮动静态路由:用于路由备份| ip route-static 10.1.1.0/24 preference 100| 这条是浮动路由(备份的为浮动)动态路由给予路由器自主学习路由条目,消耗路由器的资源进程不需要手工配置实现原则相对比较复杂
选路原则
最长匹配原则
| 选掩码最长的,即越详细精确的
路由优先级
度量值
| 不同协议度量
- 静态路由应用
负载分担
十一、距离矢量路由协议RIP
动态路由协议的分类
按照更新时是否携带掩码不携带掩码:有类路由协议携带掩码:无类路由协议按照更新的是“路由条目”还是链路状态信息路由条目信息:距离矢量路由协议 RIP| 把你的路由表上我没有的条目照抄过来链路状态信息:链路状态路由协议 OSPF| 学习到设备本身的信息,像带宽、cost等,自己根据学到的信息写路由表按照作用范围划分内部网关路由协议:IGP| 运行在局域网内部,即运行在内网外部网关路由协议:BGP| 可以连接不同网络
- RIP叫路由信息协议,优先级为100,使用跳数作为度量,主要应用于规模较小的网络中,使用端口号520(UDP)进行工作,工作在应用层,一般运行在内网
RIP不适合运行在大型网络的原因
路由条目逐跳更新,网络收敛速度慢
跳数限制,最大15跳,16跳认为网络不可达
| 收到16跳的路由信息会把这条叫做毒化路由
是一个有环的协议(即会产生环路)
只能识别跳数,不能识别带宽
RIP工作原理
更新请求request报文,收到请求的路由器发送response响应报文
每30秒发送路由更新信息
<R1>debugging rip 1 event //开启rip日志消息(日志事件)<R1>debugging rip 1 packet <R1>terminal debugging //将日志消息在配置界面显示<R1>undo debugging all //关闭日志消息
RIPv1
更新时不携带掩码(有类路由协议
不支持VLSM、CIDR
不支持认证
默认自动汇总,不支持手动汇总
广播更新255.255.255.255
RIPv2
更新时携带掩码(无类路由协议
支持VLSM、CIDR
支持认证
默认自动汇总,支持手动汇总
| 关闭自动汇总功能
| 进rip 1,undo summary
广播或组播更新(默认组播224.0.0.9)
认证(接口视图下配置)
验证双方身份的合法性
明文认证/MD5
| rip au si cipher/plain
| cipher和plain是两个参数,plain在查看配置时能看到密码,cipher在查看配置时看不到密码
双方都需要配置认证,要求认证类型和认证密码必须一致,否则认证失败,条目无法学习
RIP环路避免机制
隐藏:最大跳数限制
水平分割:(默认开启)路由器从某个接口学到的路由,不会从该接口再发回给邻居路由器(即当某个down掉时,A不会再把错误的路由信息再发给B)| 进接口| rip split-horizon毒性反转:指的是B那边的线路down掉后,B不会立即删除,而是把它的跳数置为16跳,并从原接收接口发给邻居路由器| 进接口| rip posion-reverse| 水平分割和毒性反转同时启用时,只有毒性反转生效触发更新:指当路由信息发生变化时,立即向邻居设备发送触发更新报文,不用再等更新时间30s,即缩短了时间
RIP特性
metricin(进来的接口,进方向
| 进接口
| rip metricin 2 //收到时cost在原来的基础上加2
metricout
| 进接口
| rip metricout 2 //发送出去时cost变为2
|
input(允许接收rip报文,默认开启)
| 进接口
| undo rip input (配置该接口禁止接收rip报文)
output(允许发送rip报文,默认开启)
| 进接口
| undo rip output(配置该接口禁止发送rip报文)
静默接口/抑制接口只接收rip报文,更新自己的路由表,但不发送rip报文| rip 1| silent- interface g0/0/1优先级大于input和output
rip汇总
出接口上(一般条目由谁发出来就在谁上汇总
| rip summary- address 网段 掩码
关闭自动汇总
| rip 1
| undo summary
注:因为RIPv2的水平分割功能和自动汇总功能有冲突,所以默认情况下自动汇总功能失效
| 一种是把水平分割功能关掉
| 一种是开启强制汇总summary always
十二、链路状态路由协议OSPF
- 通过AS(自治系统)来区分路由协议是属于内部网关路由协议(RIP、OSPF)还是外部网关路由协议(BGP)
| AS:同一组内部运行同一种路由协议的范围 - OSPF
优先级:10
OSPF工作状态
| LAS泛洪
| SPF算法
| 路由计算
建立完邻居关系的路由器会进行LSA(链路状态通告)泛洪
运行ospf并且相邻的路由器会建立邻居关系
路由器收到邻居泛洪的LSA会在本地组建属于自己的链路状态数据库(LSDB)
每台路由器基于自己的LSDB去计算出去往各个节点最优的路径并加入路由表中
OSPF三张表
邻居表(邻居关系/邻接关系)
链路状态数据库LSDB(拓扑)
路由表
- Router id:用于表示运行了ospf的路由器
[R1]ospf 1 router-id 1.1.1.1display router id 查看全局router iddisplay ospf peer 查看ospf邻居关系、router idreset ospf process 重置ospf进程
Router id选举规则
用来标识一整台路由器,点分十进制的形式表示(IP地址的格式)
手动配置最优
若存在逻辑接口,则使用逻辑接口中最大的IP地址作为router id
| 最大活跃的环回口地址(稳定性比较强)
若没有逻辑接口,则使用活跃物理接口的最大IP地址作为router id
| 最大活跃的物理地址
注:router id一旦生成是不支持抢占的,可以通过重置ospf进程来更新router id
| reset ospf pro
ospf配置
ospf 1 router-id 1.1.1.1area 0network 192.168.1.0 0.0.0.255(反掩码通告或精确通告都可以)
ospf报文
ospf报文封装在ip报文中,协议号为89
hello报文:用于建立、维护邻居关系
邻居关系:所有配置ospf的相邻的路由器会建立邻居关系,在这个阶段不涉及LSA泛洪;当状态达到2-way状态的时候表示邻居关系建立
邻接关系:(部分配置ospf的路由器)
ospf(链路状态路由协议)
协议号89
组播更新224.0.0.5/224.0.0.6
更新周期:30分钟(1800s)
DR/BDR(减少邻接关系数量)
路由接口优先级
| 优先级为0不参与DR/BDR的选举
| 优先级默认为1,最大值为255
RID大的优先选举为DR
| 所有路由器都会跟DR/BDR建立邻接关系
| 其他路由器DRother之间只建立邻居关系
一个广播域选举一个DR/BDR
OSPF邻接关系建立过程
邻居发现阶段(邻居关系)down:初始状态| 还没开启ospf或正在开启的那个瞬间| attempt:非广播多路访问环境(NBMA)init:初始化状态,双方发送hello报文| 默认hello时间是10秒2-way:双向通信,在接收到的hello报文中看到自己的RID,选举出DR、BDR数据库同步阶段(邻接关系)Exstart:预启动状态,交互空的DD报文,选举主(master)从(slave)关系,同步序列号(隐含的确认作用)| RID大的会成为主路由器Exchange:预交换状态,交互有内容的DD报文| DD报文类似书本的目录信息,不详细loading状态:加载状态,双方互相发送LSR报文,请求更详细的LSA,对方回复相应的LSU更新信息,收到LSU回复LSAck表示确认full:达到同步,邻接关系建立成功存放到LSDB,SPF算法计算最优路径,路由表
哪几类报文中包含LSA信息:LSR、LSU、LSAck、DD(有但不详细)
重点:2个关系,3张表,5种报文,7种状态
- attempt:非广播多路访问环境下特有的状态,发送hello报文之后一直收不到hello响应
OSPF区域划分的优势
减小LSDB(链路状态数据库),方便管理
缓解网络动荡带来的问题
减少SPF计算,节约路由器资源
具备防环的作用
OSPF区域
area0是骨干区域,其他区域都必须与此区域相连
OSPF支持的网络类型
广播
点到点
NBMA非广播多路访问
点到多点
影响OSPF邻居关系建立的因素
认证类型/认证密码
hello时间/死亡时间
广播环境,掩码不一致
RID冲突
OSPF开销
ospf接口开销=带宽参考值/带宽(参考值为100Mbit/s)
方法一
| 直接修改cost值
| 进接口
| ospf cost xx
方法二(不常用)
| 修改参考值
| ospf
| bandwidth- reference xxx
配置
display ospf int g0/0/0 看hello时间
修改hello时间
| 进接口
| ospf timer hello 1~65535秒
修改接口优先级
| 进接口
| ospf dr-priority 0~255
十三、交换网络基础
- 交换机工作在数据链路层,转发数据帧
- 泛洪,转发,丢弃
什么时候泛洪
目的Mac全为F
交换机无对应MAC地址表项——Mac地址表
交换机转发原理
端口接收到报文时——检查源Mac地址Mac地址表有相应信息:刷新时间(动态mac地址表项会老化,静态Mac地址表项不老化)| 老化时间300sMac地址表无相应信息:地址学习端口转发报文时——检查目的Mac地址目的Mac地址为全F:泛洪存在目的Mac地址表项:转发不存在目的Mac地址表项:泛洪
交换机工作原理
学习,转发,泛洪,更新,丢弃
- 冗余交换网络环境带来的环路问题——stp解决
- trunk:允许多个
十四、VLAN
- PVID默认为1(1~4094)
access
收到打标签
发送拆标签
trunk
只转发允许发送列表中的
发送时标签与端口pvid一样,拆掉转发标签与端口pvid不一样,直接转发收到时有标签,转发到相应vlan无标签,打上自己端口的pvid,转发到相应vlan
vlan划分方法
基于端口(常用)
基于mac地址
基于IP子网划分
基于协议
基于策略
配置
dis vlan
vlan batch 10 to 20 批量创建vlan
port trunk pvid vlan 10 在trunk端口里配置pvid为10(平常可不配,两端都配上一致的pvid可抓到不打tag的数据包)
dis port vlan active
- 0x8100:802.1Q协议
vlan间路由(实现不同vlan间通信)
单臂路由(一个物理接口,划分多个虚拟子接口)
| int g0/0/0.1
| dotlq termination vid 10 //把该接口与vlan10进行关联(当该接口收到vlan10标签的报文时会拆掉标签,发送时打上标签)
| ip add(要先关联再配置IP地址,不然该IP地址不生效)
| arp broadcast enable //开启arp广播功能
三层交换(使用vlanif虚拟接口)
十五、ACL网络控制
访问控制列表ACL
对数据包进行分类,不同类型不同处理
ACL可通过定义规则来允许或拒绝流量通过
ACL工作原理
核心技术是包过滤
ACL分类
基本ACL(2000-2999)
| 只能基于源IP地址匹配流量,不能基于目的IP、协议、端口等匹配流量
高级ACL(3000-3999)
| 可以基于源IP、目的IP、端口、协议号等匹配流量,较为灵活和精细
二层ACL(4000-4999)
ACL规则
rule-id:ACL条目编号,从小到大依次递增,默认以5为起始,以5为间隔
动作permitdeny
source越精确越好
根据rule-id从小到大依次查询,一旦匹配上跳出过滤器
查询整张列表后未匹配上,华为路由器对该流量不做处理(未匹配上,正常转发)
- ACL是一个工具,必须调用才能生效
- 部署ACL时建议部署在离目的地近的地方
- 部署高级ACL是建议部署在离源近的地方,不多消耗资源
基本acl配置
acl 2000rule 5 deny source 192.168.10.2 0.0.0.0 编号为5,拒绝来自192.168.10.2的流量int g0/0/0traffic-filter outbound/inbound 2000 调用出方向/进方向的acl(配错了就进acl视图undo rule 5)
能控制telnet的原因是它走的是vty虚拟通道user-in vty 0 4traffic-filter outbound/inbound 2000或acl 2000 inbound
高级acl配置
acl 3000rule 5 permit tcp source 192.168.10.1 0 destination 112.18.1.2 0 destination-port gt www/80rule 10 deny tcp 拒绝其他tcp业务
十六、NAT网络地址转换
- 缓解IPv4地址空间不足
- 实现内网访问外网(即划分内外网,将其隔离开,外网没法访问内网),将私有地址转换(映射)为公有地址
- 一般部署在连接内网和外网的网关设备上
静态NAT
源NAT技术,转换的是源IP地址,一对一映射,需要管理员手工配置
动态NAT
地址池
设定访问外网的流量(通过ACL实现)
NAPT端口映射(网络地址端口转换技术),即除了IP地址的映射,还有一个端口的映射| s:192.168.1.1:1025 —>s:200.10.10.1:2843| s:192.168.1.2:1028 —>s:200.10.10.1:2844| 即可以给多个用户共用一个公有地址这种方式叫它Easy IP,将多个内部地址映射到同一个公有地址的不同端口,即不用配置地址池,直接用网关出接口的IP
NAT服务器:外部可以访问内部,目的NAT技术
配置
静态NAT
| dis nat static
动态NAT
| nat address-group 1 200.10.10.1 200.10.10.200即表示这个地址池有1~200个地址可用
| acl 2000
| rule 5 permit 192.168.1.0 0.0.0.255
| 进网关出接口
| nat outbound 2000 address-group 1 no-pat(no-pat即不使用端口转换)调用acl
|
| dis nat server
easy ip
| acl 2000
| rule 5 permit source 192.168.10.0 0.0.0.255
| int g0/0/1在出口调用acl
| nat outbound 2000
|
| dis nat outbound 查看nat使用的类型
nat服务器
| 进公网接口(还是出接口)
| nat server protocol tcp global current- interface(即使用当前接口当作公网地址,也可以自己随便写一个)www inside 192.168.10.1(内网地址) www/80(开放www服务)
总结
NAT的作用
私有地址到公有地址的映射
| 节约公网地址的使用,使得私网主机可以访问公共网络静态NAT
私有地址—公有地址,一对一映射(手动配置)
一个内网映射一个公网地址动态NAT
地址池
定义访问公网的流量NAPT
允许多个内网的主机映射到一个公网地址的不同端口
属于动态NATeasy ip
是NAPT里的一种特殊应用
- 有用到端口的:napt、服务器、easy ip
十七、网络管理DHCP
- 使用的是UDP协议
- 租期
默认一天
地址池
接口地址池(主机直接连着dhcp服务器)
| dhcp enable //开启dhcp功能,让它变成dhcp服务器
| 进接口
| dhcp select interface //开启接口地址池
| 以下选敲
| dhcp server dns-list 10.1.1.2 //告诉主机它的dhcp服务器是10.1.1.2
| dhcp server excluded-ip-address
全局地址池
| dhcp enable
| ip pool pool2
| network 网段 24
AAA
提供了认证、授权、计费三种安全功能
| 路由器不支持计费
认证:验证用户是否可以获得网络访问的权限
授权:授权用户可以访问或使用网络上的哪些服务
计费:记录用户使用网络资源的情况
配置
| aaa
| local- user Lyn password cipher xxx //创建用户
| local- user Lyn service-type telnet
十八、广域网技术
- 数据链路层协议:HDLC、PPP
- PPP可以不认证,但支持认证
PPP组件
链路控制协议LCP阶段:用来建立、拆除和监控PPP数据链路
网络层控制协议NCP阶段:用于对不同的网络层协议进行连接建立和参数协商
| LCP
| 认证
| NCP
PPP认证模式
PAP,认证关系由被认证方发起,在被认证方上配置user和密码
| 明文传输
CHAP,认证关系由认证方发起
| 使用challenge加密密码信息
配置
aaalocal-user GOK password xxx
- NCP阶段
协商IP地址
PPPoE配置
dialer-rule dialer-rule 1 ip permit 允许所有IP的流量让我拨号int dialer 1 进入拨号口dialer user 用户名(一定要是PPPoE服务器上存在的用户)dialer-group 1dialer bundle 1
十九、无处安放的知识点
- MAC地址总共有48bit
- IP地址是32bit
二层交换机分割冲突域
路由器分割广播域和冲突域
集线器Hub属于同一个冲突域同一个广播域
环回口
逻辑接口
比较稳定
回环口配置
int loopback 0
IP address 1.1.1.1 24
就创好了
路由器选路原则
最长匹配原则
优先级
cost值
- 反掩码:连续的1和0
通配符:不一定要连续(0表示不变,1表示可变)
eg1
| 192.168.1.1 0.0.0.1 匹配的是什么范围的流量
| 答:只能匹配到192.168.1.1和192.168.1.0的流量
eg2
| 192.168.1.1 0.0.0.254
| 答:192.168.1.1~255eg3
| 192.168.1.0 0.0.0.254
| 答:192.168.1.2/24 ~192.168.1.254/24 这个范围内的偶数动作
- eq等于,gt大于,ls小于
二十、telnet远程登录
- R2远程登录R1
在R1上配置
user-interface vty 0 4
| 进入vty虚拟通道
user privilege level 15
| 设置用户登录权限为level 15
authentication-mode password
set authentication password cipher 密码
| 设置用户登录模式为密码模式,登录密码为密码
在R2输入命令
telnet 192.168.12.1(系统视图下)
| 在R2上远程登录R1
总结
` 一些当初学习初级网络时随手记下的笔记,可能有点杂乱。
初级网络之OSI-网络/路由协议-IP编址-VLAN-ACL-NAT-DHCP-telnet远程相关推荐
- 网络协议OSI、TCP/IP协议、Socket套接字和第三方AsyncSock的使用等解析
一.网络协议定义 1.OSI参考模型:全称(Open System Interconnection), 开放式系统互联参考模型.是一个逻辑上的定义,一个规范,它把网络协议从逻辑上分为七层,只要目的是为 ...
- 二层网络及三层网络的子网掩码设置原则
1 网络基本知识 推荐首先读下这篇文章,形象化的描述了各网络术语的含义:计算机主机网关的作用是什么?(转 ) 1.1 OSI七层网络模型 对于物理层而言打交道的基本都是电信号和光信号,例如网卡.光纤. ...
- 计算机网络(OSI、TCP/IP、网络协议、常见网络设备工作原理)
目录 OSI模型 TCP/IP模型 网络协议 IP协议 IP数据报格式 IP数据报分片 IPv4地址 NAT协议 ARP/RARP协议 ARP RARP DHCP协议 ICMP协议 ICMP差错报告报 ...
- 网络基础之网络协议,OSI,TCP/IP介绍
文章目录 1 概述 1.1 网络协议 1.2 OSI模型 1.2.1 应用层 1.2.2 表示层 1.2.3 会话层 1.2.4 传输层 1.2.5 网络层 1.2.6 数据链路层 1.2.7 物理层 ...
- 第一章 OSI网络模型和TCP/ IP协议栈
第一章 OSI网络模型和TCP/ IP协议栈 1.1 计算机网络的定义 计算机网络是指将若干台地理位置不同,且具有独立功能的计算机,通过通信设备和传输线路相互连接起来,按照一定的通讯规则进行通信,以实 ...
- 网络参考模型(OSI七层模型、TCP/IP五层和四层模型)
目录 一.简介 二.相关概念 三.名词解释 3.1.IP 3.2.TCP 3.3.UDP 3.4.ICMP 3.5.通讯端口 3.6.数据格式 3.7.IPV4与IPV6 四.网络参考模型 4.1.O ...
- 网络分层模型OSI和TCP/IP四层模型
网络分层模型OSI和TCP/IP四层模型 网络分层模型OSI和TCP/IP四层模型 OSI模型,即开放式通信系统互联参考模型(Open System Interconnection,OSI/RM,Op ...
- 计算机网络学习笔记(六)——网络层、虚电路和数据报交换、路由(距离矢量、链路状态算法)、IP编址、网络拥塞控制、网络互联
文章目录 前言 概念 一.网络层相关概述 (一)三大核心功能 (二)通信两大阵营 二.交换技术 (一)交换技术的分类 (二)电路交换和分组交换 (三)虚电路与数据报 三.路由 (一)路由功能概述 (二 ...
- 网络之路--【第四章】——IP编址之IP详解
前言 网络层位于数据链路层与传输层之间.网络层中包含了许多协议,其中最为重要的协议就是IP协议.网络层提供了IP路由功能.理解IP路由除了要熟悉IP协议的工作机制之外,还必须理解IP编址以及如何合理地 ...
最新文章
- 真正的不重复数字实现,像人一样去编程
- 你应该知道的缓存进化史
- 调用Xvid编码器流程(基于xvid1.1.0)
- 捍卫者usb管理控制系统_捍卫Java
- 密码学专题 证书和CA指令 证书和CA功能概述
- 防止网页被嵌入框架的代码
- ios更新了系统无服务器,iPhone更新iOS 12.0.1系统失败怎么办?
- Android 四大组件学习之Activity六
- 装什么软件测试笔记本耐用,我买了新电脑,用什么软件测试比较好?
- 示波器探头的 x1x10衰减、补偿校准手法
- Word或者WPS里证件照的背景底色和像素调整
- 【解决】RuntimeError:Trying to backward throughthe graph a second time
- Spark性能调优-Shuffle相关参数配置
- l那是计算机房吗,机房设计常用计算公式
- 网络安全就业前景怎么样?好找工作吗?
- QT子窗体直接调用父窗体成员、函数、控件的方法
- GLES2.0中文API-glVertexAttrib
- OpenGL-使用Assimp加载3d模型
- gsm基于linux程序,基于嵌入式Linux下GSM模块的短信收发系统设计
- 全代码编写的iPhone界面源码1 UIView UILabel UIButton
热门文章
- 009地球系到地理系
- a标签下载图片及js执行下载图片
- 【毕业设计day05】精析代码
- CKeditor配置大全
- W10打开bat文件一闪就没了
- intellij idea打开就闪退或关闭详细解决办法
- 基于OpenCV的鱼眼相机畸变矫正(含代码)
- 【亲测有效】Linux系统安装NVIDIA显卡驱动
- 【Flutter】Dart 数据类型 List 集合类型 ( 定义集合 | 初始化 | 泛型用法 | 初始化后添加元素 | 集合生成函数 | 集合遍历 )
- 【torch.no_grad()】