ccna
CCNA内容
1、网络基础(IP寻址、Cisco设备配置)
2、园区网络技术(Vlan、Trunk、VTP、STP、DHCP、VLAN间路由)
3、广域网技术(PPP、FR)
4、路由技术(静态路由、RIP、OSPF)
5、边界安全(ACL、NAT)
综合实验:交换、大综合
CCNA教材:发放书本、NA书
上课时间:3周 暑假:13天
论坛:www.chuyue100.com/bbs 注册,让兰姐通过
QQ群:54577204
开门密码:#7518#
1、IP协议介绍
1)
网络模型:分层网络
OSI----->参考模型
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层
TCPIP--->工业化生产标准
应用层--->软件开发(http、FTP、SMTP、SNMP、telnet)
传输层----(TCP:http/ftp/smtp面向连接可靠,但效率低、UDP面向无连接不可靠但效率高:SNMP/DHCP/DNS)
网络层---->网络工程--->IP
数据链路层:以太网、FR、PPP、HDLC
物理层---->传输 介质(光纤、双绞线) 接口
2)IP协议
(1)工作在网络层的不可靠的协议
(2)要按块连续划分IP
(3)每个IP包独立处理
(4)没有质量保证
(5)错误的数据被丢弃
2、IP地址
唯一的标识每个设备的接口地址
3、IP头部详解
ver=4
IHL=20-->60byte
tos:用于QOS
total len:48-1500byte
id:标识同一个IP包
flag:MF=0开始组装
flag offset=分片偏离原来的位置有多远
TTL:每过一个路由器减1
protocol:TCP=6/UDP=17
checksum:异或运算 判断数据传输过程是否破坏
SIP=32bit
DIP=32bit
4、MAC
IP:逻辑地址--->人名
MAC:物理地址--->身份证 48bit 全球唯一
前24位表示厂商代码,后面24由厂家分配给接口
5、IPV4地址 32bit
网络位+主机位
地点 人
mask:1表示网络,0表示主机位
6、转发原则
直接转发:目标IP和本IP在同一个网段,可以直接寻找对方的MAC(ARP)
间接转发:目标IP和本IP不在同一个网段,寻找网关的MAC
如何判断是否同一个网段:目标IP和本地mask做与运算
7、IPV4地址类型
1)
单播地址:一对一通信
组播地址:一对多通信(自愿)
广播地址:一对多通信(强迫)主机位全1
2)
A 1-126 /8
B 128-191 /16
C 192-223 /24
D 224-239 组播
E
3)私有IP RFC1918
A:10.0.0.0/8 MDCN
B: 172.16.0.0-172.31.255.255 16个网段
C: 192.168.0.0-192.168.255.255 256个网段
7、IP子网划分
1)划分子网就是网络位增加,主机位减少,达到减少每个网段的IP数
2)案例1
192.168.1.0/24 借2位
子网数 子网 广播地址 可用范围
2^2=4
192.168.1.0/26 192.168.1.63 192.168.1.1-62
192.168.1.64/26 192.168.1.127 192.168.1.65-126
192.168.1.128/26 192.168.1.191 192.168.1.129-190
192.168.1.192/26 192.168.1.255 192.168.1.193-254
3)案例2
172.16.0.0/16 借10位 列出前3个子网
子网数 子网 广播地址 可用范围
总结:每个子网的地址数目是相同,所以叫做等子网划分
4)192.168.100.0/24
生产:100 主机位要有7位
销售:50
财务:25
客服:12
先借1位:
192.168.100.0/25 满足生产部
192.168.100.128/25
再借1位
192.168.100.128/26 满足销售部
192.168.100.192/26
再借1位
192.168.100.192/27 满足财务
192.168.100.224/27 满足客服
5)案例4
总结:以上每个部门要求IP数量不同,所以只能不等长子网mask划分
思路是先满足地址要求最多的部门
8、IP地址规划
1)原则
唯一性:
可扩展性:满足未来2-3需求
连续性:按块连续划分
实意性:注释
2)地址归类
客户地址:/C 楼层、业务、部门
设备互联:/30
设备管理:/32 loopback
服务器:1/4C
------------------------------------------
1、Cisco设备产品线
router
switch
ASA防火墙
IPS4200
voice
无线
1)switch
CE500 WEB配置
2960 2层交换机
G:1000M端口
T:双绞线
C:光纤
3550 3560 3750 3层交换机
T:双绞线
S:SFP 小型GBIC
P:POE
3750
stack功能
10G接口
4500 模块化
4503 4506 4507R 4510R
双引擎,但同一时间只能用一块引擎
6500 模块化
6503 6504 6506 6509 6513
双引擎
NEB:上下对流
可以增加:以太网模块、服务模块(FWSM)
广域网模块:OC3=155m OC-12=622m OC-48=2.5G OC-192=10G OC-768=40G
2)路由器
ISR(集成多业务路由器:安全/语音)
1800-->1900
2800-->2900 2801 2811 2821(1000M) 2851
3800-->3900 3825 2845
72/75/76
GSR/CRS-1
2、路由器硬件组成
1)CPU
2)存储器
RAM:掉电丢失 running-config
ROM:掉电不丢失 启动代码/miniOS
flash:硬盘 iOS
nvram:掉电不丢失,startup-config
3)接口
1)管理接口
(1)带外管理 console aux
(2)带内管理 telnet
2)数据转发
(1)LAN 以太网接口
(2)WAN 同步串口
3、IOS
平台-特性集-运行方式-版本.bin
7大特性集
ipbase
voice
sp
enbase
ad sec
ad ip ser
en server
ad en service
4、设备启动过程
1)加电自检
2)从ROM读引导代码
3)从flash引导对应IOS
4)从NVRAM读取配置
5)正常启动
5、Cisco路由器操作
1)命令模式
>用户模式 基本查看 1
#特权模式 所有show和debug命令 15 Router>enable
(config)# 全局模式 配置对全局生效 Router#configure terminal
(config-if)# 接口模式 配置对接口有效 Router(config)#int eth 0
(config-line)# 线路模式 Router(config-if)#line con 0
exit 退回上一个模式
end 直接退到特权模式
2)基本命令
enable
conf terminal
hostname R1
no ip domain-lookup 禁止域名查找
R1(config)#line con 0
R1(config-line)#logging synchronous 多个信息开分开显示
R1(config-line)#exec-timeout 0 0
R#show running-config 查看在内存中运行的配置
3)命令技巧
命令可以缩写
可以用?来帮助 R1#con?
R1#conf ?
tab健:补全命令
4)密码设置
R(config)#enable password ccna 特权密码
R(config)#enable secret cisco 特权密码
R(config)#service password-encryption 显示的密码进行加密
R(config)#line con 0
R(config-line)#password ccna
R(config-line)#login
5)telnet
R#sh ip int brief 查看接口详细信息
连通性
R(config)#int e0
R(config-if)#ip add 192.168.1.1 255.255.255.0
R(config-if)#no sh
密码
R(config)#line vty 0 4
R(config-line)#password ccna
R(config-line)#login 密码生效
6)双绞线制作
直通线:2端线序相同
交叉线:2端线序不相同
同构交叉,异构直通
7)IOS备份和配置备份
连通性
TFTP服务器
R#sh flash:
R#copy flash: tftp:
Source filename []? c2500-js56i-l.121-5.T9.bin
Address or name of remote host []? 192.168.1.10
Destination filename [c2500-js56i-l.121-5.T9.bin]?
R#copy running-config tftp:
8)密码恢复
密码是保存在配置文件,密码恢复的原理就是如何跳过读取配置文件
寄存器值
0x2142 忽略配置文件启动
R(config)#config-register 0x2102 读取配置文件启动
0x2101 从boot引导
R#copy running-config startup-config
恢复顺序
加电启动--->按ctr+break 中断启动--->
>o/r 0x2142
>i
rommon>confreg 0x2142
rommon>reset
正常启动到特权模式后,可以通过
copy startup-config running-config恢复出原来配置
--------------------------------------------------------
1、LAN定义
范围:25km
速率:100M 1000M 10G 100G
设备及链路:用户
2、LAN技术
tokenring 4M 16M
FDDI:130M
ATM:622M
以太网:10M---100G 802.3
802.11
3、以太网技术
1)传统以太网---hub
30% 所有端口都在一个冲突域
CSMA/CD 发现冲突--->随机后退时间--->重传--->16次重传 drop,向上层报告
传输失败
2)现代以太网--switch
80%
每个端口一个冲突域
4、交换机
1)交换定义
在数据链路层上一系列查找和转发的行为
2)交换机功能
(1)MAC学习
基于源学习
1个port可以学习多个MAC
1个MAC只能从1个port学习,后来会覆盖前面
(2)转发及过滤
已知目标单播:从对应的端口转发
未知目标单播:flooding
组播:flooding
广播:flooding
(3)loopfree--->STP
3)转发机制
存储转发:把整个帧收完校验没错再转发
即存即转:查看前面64个字节没有错误再转发
直通式:只要看到目标MAC马上转发
4)交换机管理 telnet
Switch(config)#int vlan 1
Switch(config-if)#ip add 192.168.1.1 255.255.255.0
Switch(config-if)#no sh
Switch(config)#line vty 0 15
Switch(config-line)#pass ccna
Switch(config-line)#login
Switch(config)#enable password ccna
Switch#sh mac-address-table
5、vlan
1)VLAN需求
安全
广播域控制
扩展网络
2)VLAN:逻辑将一个物理交换机分面多个逻辑交换机
虚拟局域网=广播域
3)VLAN实现
静态:手工将端口划到对应VLAN
动态:根据某种因素(MAC/用户名)将端口动态划到对应的VLAN
注意:缺省情况下,switch所有port都属于vlan 1
配置vlan 2-1001
4)配置vlan
Switch#sh vlan
vlan信息保存vlan.dat
Switch#delete flash:/vlan.dat
创建vlan
Switch(config)#vlan 2
Switch(config-vlan)#name v2
port绑定vlan
Switch(config)#int f0/12
Switch(config-if)#sw mode acc
Switch(config-if)#sw access vlan 2
6、trunk
1)trunk需求
能够承载多个vlan信息的二层链路
2)链路类型
access:连接PC
trunk:连接交换机
3)trunk封装
isl cisco私有 30byte 封装
dot1q 国际标准 4byte 标记
4)dot1q的native vlan
不打标签的vlan,默认是vlan 1
并且只有1个vlan不打tag,native vlan可以修改,但2必须要1致
5)trunk协商
静态:手工指定 on
动态:通过DTP协议协商
dynamic desirable 主动发包请求成为trunk
dynmaic auto 被动响应成为trunk
dd---dd ok
dd---da ok
dd---on ok 表示on能回应DTP
on---on ok
on---auto ok 表示on主动发DTP
da---da no
Switch#sh int trunk 查看trunk状态
Port Mode Encapsulation Status Native vlan
Fa0/24 desirable 802.1q trunking 1
vlan.dat
config.text可以删除
6)配置trunk
Switch#sh ip int brief
SW6#sh cdp neighbors
SW6(config-if)#switchport mode trunk
SW7(config-if)#switchport mode dynamic auto
SW6(config)#vlan 2
SW6(config)#int f0/1
SW6(config-if)#sw mode acc
SW6(config-if)#sw acc vlan 2
SW7(config)#vlan 2
SW7(config-vlan)#int f0/1
SW7(config-if)#sw mod acc
SW7(config-if)#sw acc vlan 2
R5(config-if)#ip add 192.168.2.2 255.255.255.0
R5(config-if)#no sh
R5(config)#no ip routing
R6(config-if)#ip add 192.168.2.3 255.255.255.0
R6(config-if)#no sh
SW6(config-if)#sw trunk allow vlan except 2 排除vlan2的数据
en
conf t
no ip domain-lookup
line con 0
logg sy
exec-timeout 0 0
实验
pc1:192.168.2.2---(VLAN 2)sw1-----SW2(VLAN 3)----PC2 192.168.2.3
如何实现PC1和PC2通信
7、VTP
1)VTP需求
传递vlan的信息以达到简化 vlan配置的效果
2)、vlan信息同步要求
trunk
域名
密码
3)VTP同步依据
修订号高的同步修订号低的
SW6#sh vtp status
VTP Version : 2
Configuration Revision : 1 配置修订号
Maximum VLANs supported locally : 128
Number of existing VLANs : 6
VTP Operating Mode : Server
VTP Domain Name :
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
配置修订号是反映vlan变化,每变化一次加1,高则优
4)VTP模式
server client transparent
add/del/mod yes no yes
同步别的SW yes yes no
学习/转发VTP yes yes no
保存位置 vlan.dat vlan.dat config.text
SW7(config)#vtp mode client
5)VTP同步实验
SW6(config)#vtp domain ccna
6)VTP 修剪
减少trunk上不必要的广播流量
SW7#sh int trunk
Port Vlans in spanning tree forwarding state and not pruned
Fa0/24 1-2,4
SW6(config)#vtp pruning
7)修订清0
往现网增加交换机时,配置修订号清0
修改域名
先改为transparent--->再改回来
删除vlan.dat
----------------------------------------------
1、冗余网络的问题
1)广播风暴
2)MAC震荡
3)多帧复制
2、STP
1)功能:破环
发现物理上有环路的拓扑,生成一个逻辑上没有环路的拓扑
2)破环顺序
(1)选择root
(2)非根选择RP(非根离根最近的port)
(3)选择DP(每条链路离根最近)
(4)其它port就block
3)破环依据
(1)lowest BID(priortiy*MAC)
(2)lowest root path cost
10M--100
100M--10
1000M-4
10000M-2
cost=经过所的交换机入口cost累加
(3)lowest sender BID
(4)lowest sender portid(priority=128*port编号)
4)破环结果
(1)每个交换网络有1个root
(2)每个非根有1个Root port
(3)根网桥上的port都为DP
3、STP配置
SW6#sh spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000d.28c2.9e00
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15
sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.28c2.9e00
Hello Time 2 sec Max Age 20 sec Forward Delay 15
sec
Aging Time 300 MAC表的老化时间
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------
Fa0/23 Desg FWD 19 128.23 P2p
Fa0/24 Desg FWD 19 128.24 P2p
SW6(config)#spanning-tree vlan 1 开启STP
SW7(config)#spanning-tree vlan 1 root primary -8k
修改cost:接收BPDU时修改
SW6(config-if)#spanning-tree vlan 1 cost 18
修改port优先级:发送方修改
SW7(config-if)#spanning-tree port-priority 96
4、BPDU
1)功能:用于STP选举
2)分类:配置BPDU和TCN BPDU
网络收敛时,由root每隔2sec发送配置BPDU,其它网桥中继转发
当网络发生变化时,其它switch发送TCN BPDU,沿着RP往ROOT发送,
---->根收到后,发送TC置位配置BPDU
---->其它网桥收到TC置位的配置BPDU,会把MAC表老化时间从300-->15sec
5、STP状态
disable 关闭
listen:15sec 计算一个没有环路的拓扑
learn: 15sec 学习MAC
block listen learn forward
收/发BPDU yes/no yes yes yes
学习MAC no no yes yes
转发数据 no no no yes
hello 2sec
正常情况一个端从up到转发数据需要15+15=30sec
BPDU老化时间:20sec
SW6#debug spanning-tree events
02:22:29: STP: VLAN0004 Fa0/1 -> listening
02:22:44: STP: VLAN0004 Fa0/1 -> learning
02:22:59: STP: VLAN0004 Fa0/1 -> forwarding
6、加快收敛
连接终端PC的端口要加快收敛从30sec--->0sec
SW6(config-if)#spanning-tree portfast
02:25:43: STP: VLAN0004 Fa0/1 ->jump to forwarding from blocking
SW6#un all 关闭debug命令
SW6(config)#int range f0/23 -24
SW6(config-if-range)#sw mode trunk
SW7(config)#int range f0/23 -24
SW7(config-if-range)#sw mode trunk
实验:
1、trunk协商
2、trunk过滤
3、实验
pc1:192.168.2.2---(VLAN 2)sw1-----SW2(VLAN 3)----PC2 192.168.2.3
如何实现PC1和PC2通信
4、VTP同步
5、VTP修剪
6、STP配置
7、STP优化(portfast测试)
单臂路由
1、实现vlan间通信的条件
经过三层设备转发
2、路由器特点1)每个端口一个网段
2)端口资源非常有限
3、单臂路由特点
1)路由器--交换机只有一条链路连接
2)使用子接口实现多个网段
3)优点:节约路由器端口资源
4)缺点:存在单点故障的瓶颈,端口处理性能瓶颈
4、三层交换机
CISCO3550,3560,3750,4500系列,6500系列
使用SVI口实现VLAN间通信
interface vlan 2
ip add x.x.x.x
5、配置单臂路由
路由器端配置
interface FastEthernet0/1
no shut
interface FastEthernet0/1.2
encapsulation dot1Q 2
ip address 192.168.1.254 255.255.255.0
!
interface FastEthernet0/1.3
encapsulation dot1Q 3
ip address 192.168.2.254 255.255.255.0
!
交换机
1、上联路由器的端口
interface FastEthernet0/1
switchport mode trunk
end
2、接PC的端口,划分到相应VLAN
interface FastEthernet0/5
switchport access vlan 3
switchport mode access
end
interface FastEthernet0/6
switchport access vlan 2
switchport mode access
end
回复 引用 分享 举报顶端
守望 离线
级别: 新手上路
显示用户信息 UID: 23
精华: 0
发帖: 54
铜币: 54 枚
威望: 26 点
贡献值: 0 点
银元: 0 个
在线时间: 10(时)
注册时间: 2010-03-04
最后登录: 2011-07-21 5楼 发表于: 07-12 只看该作者 ┊ 小 中 大
一、DHCP工作环境
二、DHCP工作流程
第一次获取IP
1、客户端启动,发送DHCP discover包
SP:0.0.0.0
DP:255.255.255.255
SM:自身网卡MAC
DM:ff:ff:ff:ff:ff:ff
2、DCHP服务器收到DHCP discov包,回复DHCP offer
SP:服务器的接口IP
DP:255.255.255.255
SM:服务器网卡的MAC
DM:ff:ff:ff:ff:ff:ff
3、客户端收到DHCP offer包,回复DHCP request
SP:0.0.0.0
DP:255.255.255.255
SM:自身网卡MAC
DM:ff:ff:ff:ff:ff:ff
4、服务器收到DHCP request包,回复DHCP ack
SP:服务器的接口IP
DP:255.255.255.255
SM:服务器网卡的MAC
DM:ff:ff:ff:ff:ff:ff
第一次续约
SP:网卡的IP
DP:255.255.255.255
SM:自身网卡MAC
DM:ff:ff:ff:ff:ff:ff
第二次续约
SP:网卡的IP
DP:服务器IP
SM:自身网卡MAC
DM:服务器网卡的MAC
三、DHCP使用端口
C-->S,使用SP:udp68 ,DP:udp67
S-->C,使用SP:udp67,DP:udp68
四、DHCP应用中常见的问题
1、不能发现网络中非DHCP客户机已经在使用的IP地址;
2、当网络上存在多个DHCP服务器时,一个DHCP服务器不能查出已被其它服务器租出去的IP地址;
3、DHCP服务器不能跨路由器与客户机通信
相应措施
1、禁止非法DHCP服务器
Switch(config)#ip dhcp snooping
所有的端口被设置为untrust口,禁止接受DHCPoffer包,检查binding表,不符合表项的禁止转发
Switch(config-if)#ip dhcp snooping trust -->设置连接合法服务器端口为trust口,允许接收DHCPoffer报文
2、获取远程DHCP服务地址
思路:在第一跳中继路由器上转发客户端的DHCPdiscover报文
解决方法:配置DHCP中继,将DHCPdiscover报文转为单播报文发送给DHCP服务器。
配置:Router(config-if)#ip helper-address 23.1.1.2--->在客户端最近的三层口(网关接口)配置,23.1.1.2为服务器地址。
3、如何让某一个PC获取固定IP
思路:根据PC的MAC地址分配IP
配置:ip dhcp pool test
host 12.1.1.1 255.0.0.0 -->分配单个IP
client-identifier XXXX.XXXX.XXXX
查看:
Router#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
12.1.1.1 ca00.1620.0000 Infinite-->永久 Manual-->手工
===========================课堂实验==================================
实验一:DHCP基本配置
拓扑:PC1----SW---Router(DHCP服务器)
DHCP服务器端配置
Router(config)#service dhcp -->开启路由器DHCP服务,缺省开启。
Router(config)#ip dhcp pool gjs-->创建地址池
Router(dhcp-config)#network 192.168.1.0 /24-->分配网段
Router(dhcp-config)#default-router 192.168.1.1--->分配缺省网关
Router(dhcp-config)#dns-server 192.168.1.1-->分配DNS
Router(config)#ip dhcp excluded-address 192.168.1.1-->排错保留IP
Router(dhcp-config)#lease 3-->设置租约周期,缺省1天
Router#sho ip dhcp pool --->查看DHCP地址池信息
Pool gjs :
Utilization mark (high/low) : 100 / 0 --->地址池IP可以100%被利用
Subnet size (first/next) : 0 / 0
Total addresses : 254
Leased addresses : 1
Pending event : none
1 subnet is currently in the pool :
Current index IP address range Leased addresses
192.168.1.3 192.168.1.1 - 192.168.1.254 1
Router#sho ip dhcp binding --->查看DHCP分配的信息
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.1.3 0063.6973.636f.2d30. Mar 04 1993 12:55 AM Automatic-->自动分配
3035.302e.3530.3063.
2e34.6534.312d.4574.
302f.31
客户端配置
Router(config-if)#ip address dhcp
交换机配置:缺省配置,无需配置任何指令!
实验二:禁止非法DHCP服务器、禁止手工配置IP地址
拓扑:PC1----SW---Router(DHCP服务器)
在实验一的基础上,交换机全部配置
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan XX
上联DHCP服务器的接口配置:Switch(config-if)#ip dhcp snooping trust
验证1:手工配置IP,无法ping通网关
验证2:去掉ip dhcp snooping trust,PC1无法获取IP
实验三:根据client-identifier分配IP地址
拓扑:PC1----SW---Router(DHCP服务器)
ip dhcp pool test
host 12.1.1.1 255.0.0.0 -->分配单个IP
client-identifier 0063.6973.636f.2d63.6130.302e.3136.3230.2e30.3030.302d.4661.302f.30-->客户端identifier,如果是PC,则是MAC地址,在服务器上用debug ip dhcp sever packet查看客户的identifier。
实验四:获取远程服务器IP地址
拓扑:PC--Router---Router(DHCP服务器)
Router(config-if)#ip helper-address 23.1.1.2--->在客户端最近的三层口(网关接口)配置,23.1.1.2为服务器地址。
*注意路由可达性
============================课后实验===========================
课堂演示的所有实验
============================课后文档阅读========================
群共享《Cisco IOS DHCP Server.pdf》
[ 此帖被守望在2011-07-13 22:02重新编辑 ]
回复 引用 分享 举报顶端
admin 离线
级别: 管理员
显示用户信息 UID: 1
精华: 5
发帖: 324
铜币: 317 枚
威望: 214 点
贡献值: 0 点
银元: 0 个
在线时间: 80(时)
注册时间: 2010-02-05
最后登录: 2011-07-23 6楼 发表于: 07-15 只看该作者 ┊ 小 中 大
1、广域网定义
LAN
MAN
WAN:范围
速率:DDN 64K FR E1=2.048M pos oc-3=155M oc-12=622M oc-48=2.5G
oc-192=10G oc-768=40G
设备及链路:ISP
2、广域网的特性
连接时间:永久和按需
连接方式:专线和交换
交换方式:电路和分组
数据速率:
传输介质:铜缆、光纤
3、广域网技术
1)专线
物理专线:v.35
时分复用:E1
永久占用
维护成本低,对用户来说成本高
2)按需拔号
PSTN:56K
ISDN:128+16=144
特点:转发数据之前首先要拔号
3)分组交换
FR
ATM
特点:转发数据之前首先要建立VC
ISP和用户有二层协议交互,维护比较麻烦
4)宽带接入
cable modem
DSL
EPON/GPON:
4、广域网协议
HDLC: cisco默认使用
PPP:标准
FR:x.25发展
ATM:
5、常见连接
1)DDN
2)E1
R---光端机---电信
R---协转---光端机---电信
接口
E1
POS
6、PPP
1)PPP作用
(1)支持同步和异步
(2)多种网络层协议IP/IPX
(3)错误检测
(4)地址分配:PSTN上网
(5)用户认证:ADSL
(6)数据压缩:提高链路利用率
2)PPP协议组成
LCP:物理层相关协商:认证、压缩、回拔、MP
NCP:网络层相关协商:协议、地址
3)协商过程
R1#debug ppp negotiation
Se1/0 LCP: O CONFREQ [Closed] id 12 len 10
Se1/0 LCP: MagicNumber 0x000DDA9A (0x0506000DDA9A)
Se1/0 LCP: I CONFREQ [REQsent] id 3 len 10
Se1/0 LCP: MagicNumber 0x010DAEB5 (0x0506010DAEB5)
Se1/0 LCP: O CONFACK [REQsent] id 3 len 10
Se1/0 LCP: MagicNumber 0x010DAEB5 (0x0506010DAEB5)
Se1/0 LCP: I CONFACK [ACKsent] id 12 len 10
Se1/0 LCP: MagicNumber 0x000DDA9A (0x
---------------------------------------------
Se1/0 IPCP: O CONFREQ [Closed] id 1 len 10
Se1/0 IPCP: Address 12.1.1.1 (0x03060C010101)
Se1/0 IPCP: I CONFREQ [REQsent] id 1 len 10
Se1/0 IPCP: Address 12.1.1.2 (0x03060C010102)
Se1/0 IPCP: O CONFACK [REQsent] id 1 len 10
Se1/0 IPCP: Address 12.1.1.2 (0x03060C010102)
Se1/0 IPCP: I CONFACK [ACKsent] id 1 len 10
Se1/0 IPCP: Address 12.1.1.1 (0x03060C010101)
4)PPP认证
pap 明文 2次握手
R2#debug ppp authentication
R2(config)#int s1/0
R2(config-if)#ppp authen pap
R2(config)#username cisco password ccnp
R1(config-if)#ppp pap sent-username cisco pass ccnp
PAP: I AUTH-REQ id 22 len 15 from "cisco"
PAP: O AUTH-ACK id 22 len 5
chap MD5认证 3次握手
不传递密码
由主认证发起挑战
R1(config)#int s1
R1(config-if)#en ppp
R1(config-if)#ip add 12.1.1.1 255.255.255.0
R1(config-if)#no sh
R2(config)#int s1
R2(config-if)#en ppp
R2(config-if)#ip add 12.1.1.2 255.255.255.0
R2(config-if)#no sh
R2#sh controllers s 1
HD unit 1, idb = 0xE5FD4, driver structure at 0xEB468
buffer size 1524 HD unit 1, V.35 DTE cable
R1#sh controllers s 1
HD unit 1, idb = 0xE6710, driver structure at 0xEBBA8
buffer size 1524 HD unit 1, V.35 DCE cable
R1(config-if)#clock rate 64000
R2(config)#int s1
R2(config-if)#ppp authen chap
R2(config)#username R1 password ccnp
R1(config)#username R2 password ccnp
R2#debug ppp authentication
00:25:02: Se1 CHAP: O CHALLENGE id 31 len 23 from "R2"
00:25:02: Se1 CHAP: I RESPONSE id 31 len 23 from "R1"
00:25:02: Se1 CHAP: O SUCCESS id 31 len 4
5)PPP Multilink
优势:减少IP 地址段
降低delay
配置
R1(config)#int multilink 1
R1(config-if)#ppp multilink group 1
R1(config-if)#ip add 10.1.1.1 255.255.255.0
R1(config-if)#int s1/0
R1(config-if)#ppp mu g 1
R2(config)#int mu 1
R2(config-if)#ppp mu g 1
R2(config-if)#ip add 10.1.1.2 255.255.255.0
R2(config-if)#int s1/0
R2(config-if)#ppp mu g 1
R1#sh ppp multilink
6)PPP分配
R1(config)#int s1
R1(config-if)#no ip add
R1(config-if)#ip add negotiated
R2(config-if)#peer default ip address 12.1.1.1
------------------------------------------------------------
1、FR应用:主链路/备份链路
2、概述
1)2层VPN技术
2)提供面向连接的端-端的服务
3)采用时分多路复用技术
3、FR术语
1)设备:FRSW、路由器
2)接口:NNI、UNI
3)链路:光纤
4、VC虚电路
1)分类
PVC:永久虚电路--->取代专线
SVC:交换虚电路--->取代拔号,转发数据之前需要拔号
2)如何表示VC:DLCI,FR的二层地址
至少2个DLCI号码就可以表示一条VC
注意:DLCI本地有意义
3)如何获取DLCI---LMI协议
---------->查询
<----------响应
网络正常情况下也会周期性(60sec)发送LMI做为keepalive机制
4)LMI状态
local remote
active ok ok
inactive ok 有问题
delete 有问题 ?
sh frame-relay map查看VC状态
5)LMI封装格式
cisco
ansi:美国国家标准
q933a:ITU
注意:客户端路由器和ISP FRSW之间封装格式要相同
6)inarp
arp:知道目标IP获取目标的MAC
rarp:知道自己的MAC获取自己的IP(DHCP)
inarp:知道目标IP求本地的DLCI
5、FR的工作流程
1)启动路由器
2)路由器发送LMI请求本接口的活跃的DLCI号码
3)FRSW回应对应接口活跃的DLCI
4)客户端路由器针对每个DLCI号码发送inarp
5)对方可以学习IP---本地DLCI对应关系
6、配置
R1(config)#int s1/1
R1(config-if)#en fr
R1(config-if)#ip add 145.1.1.1 255.255.255.0
R1(config-if)#no sh
R4(config-if)#int s1/2
R4(config-if)#en fr
R4(config-if)#ip add 145.1.1.4 255.255.255.0
R4(config-if)#no sh
R5(config)#int s1/0
R5(config-if)#en fr
R5(config-if)#ip add 145.1.1.5 255.255.255.0
R5(config-if)#no sh
FRSW(config)#frame-relay switching
FRSW(config)#int s1/1
FRSW(config-if)#en fr
FRSW(config-if)#clock rate 64000
FRSW(config-if)#frame-relay intf-type dce
FRSW(config-if)#frame-relay route 104 int s1/2 401
FRSW(config-if)#frame-relay route 105 int s1/0 501
FRSW(config-if)#no sh
FRSW(config-if)#int s1/2
FRSW(config-if)#en fr
FRSW(config-if)#clock rate 64000
FRSW(config-if)#frame-relay intf-type dce
FRSW(config-if)#frame-relay route 401 int s1/1 104
FRSW(config-if)#no sh
FRSW(config-if)#int s1/0
FRSW(config-if)#en fr
FRSW(config-if)#clock rate 64000
FRSW(config-if)#frame-relay intf-type dce
FRSW(config-if)#frame-relay route 501 int s1/1 105
FRSW(config-if)#no sh
FRSW#sh frame-relay route
Input Intf Input Dlci Output Intf Output Dlci Status
Serial1/0 501 Serial1/1 105 active
Serial1/1 104 Serial1/2 401 active
Serial1/1 105 Serial1/0 501 active
Serial1/2 401 Serial1/1 104 active
R1#sh frame-relay map 通过INARP获取
R1#ping 145.1.1.4
!!!!!
R1#ping 145.1.1.5
!!!!!
R4(config)#int s1/2
R4(config-if)#frame-relay map ip 145.1.1.5 401
R5(config)#int s1/0
R5(config-if)#frame-relay map ip 145.1.1.4 501
注意:使用静态映射后,自动屏蔽掉动态inarp,但是可以回应
R4#clear frame-relay inarp
R4#traceroute 145.1.1.5
R4#ping 145.1.1.4 排查问题
.....
排错命令
R4#sh frame-relay route
R4#sh frame-relay map
7、点对点子接口
LMI不能理解子接口,所以DLCI号码分配需要手工分配
8、多点子接口
特性和主接口相同
但针对每条VC要做静态映射
实验:
1、PPP PAP/CHAP认证
2、PPP multilink
3、FR
------------------------------------------------------------
1、路由
route:n一条路径(最佳、次佳)
routing:寻找一条最佳路径 routing protocol 路由协议
routed:被路由 IP/IPX routed protocol 被路由的数据
2、路由器工作原理
1)hub:对收到的数据采用flooding方式转发
2)switch:
接收帧--->MAC学习--->根据目标MAC转发数据帧
3)router
接收帧--->判断目标二层地址--->拆帧--->根据目标IP查找路由表--->找到出口
--->再次封装---->转发
3、路由表形成方法
1)connected:直连路由直接进路由表
2)静态:手工指定路由
3)动态:通过路由协议获得路由
RIP EIGRP OSPF ISIS BGP
4、静态路由
1)语法
ip route 目标网络 mask 下一跳 [可选参数]
2)配置步骤
列出所有不直连网络
针对不直连的网络配置静态路由
3)例子
R1(config)#int lo 0
R1(config-if)#ip add 1.1.1.1 255.255.255.0
R4(config)#int l 0
R4(config-if)#ip add 4.4.4.4 255.255.255.0
R5(config)#int lo 0
R5(config-if)#ip add 5.5.5.5 255.255.255.0
R1(config)#ip route 4.4.4.0 255.255.255.0 145.1.1.4
R1(config)#ip route 5.5.5.0 255.255.255.0 145.1.1.5
R4(config)#ip route 1.1.1.0 255.255.255.0 145.1.1.1
R4(config)#ip route 5.5.5.0 255.255.255.0 145.1.1.1
R5(config)#ip route 1.1.1.0 255.255.255.0 145.1.1.1
R5(config)#ip route 4.4.4.0 255.255.255.0 145.1.1.4
思考:去往4.4.4.0为什么写下一跳为145.1.1.4也通,而不是写145.1.1.1
5、目标网络
1)汇总路由
R1(config)#int lo 0
R1(config-if)#ip add 1.1.2.1 255.255.255.0 sec
R5(config)#ip route 1.1.0.0 255.255.252.0 145.1.1.1
回复 引用 分享 举报顶端
admin 离线
级别: 管理员
显示用户信息 UID: 1
精华: 5
发帖: 324
铜币: 317 枚
威望: 214 点
贡献值: 0 点
银元: 0 个
在线时间: 80(时)
注册时间: 2010-02-05
最后登录: 2011-07-23 8楼 发表于: 07-17 只看该作者 ┊ 小 中 大
5、目标网络
1)汇总路由
en
conf t
no ip domain-lookup
line con 0
logg sy
exec-timeout 0 0
-------------r1--------------
host r1
int lo 0
ip add 1.1.1.1 255.255.255.0
int s1/0
ip add 12.1.1.1 255.255.255.0
no sh
---------------r2------------
host R2
int lo 0
ip add 2.2.2.2 255.255.255.0
int s1/0
ip add 12.1.1.2 255.255.255.0
no sh
int s1/1
ip add 23.1.1.2 255.255.255.0
no sh
--------------r3--------------
host R3
int s1/0
ip add 23.1.1.3 255.255.255.0
no sh
int lo 0
ip add 3.3.3.3 255.255.255.0
R2(config)#int lo 0
R2(config-if)#ip add 2.2.1.2 255.255.255.0 secondary
r1(config)#ip route 2.2.0.0 255.255.252.0 12.1.1.2
2)缺省路由 0/0
r1(config)#int f0/0
r1(config-if)#ip add 10.1.1.1 255.255.255.0
r1(config-if)#no sh
R2(config-if)#int f0/0
R2(config-if)#ip add 10.1.1.2 255.255.255.0
R2(config-if)#no sh
r1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2
3)主机路由 /32
r1(config)#ip route 3.3.3.3 255.255.255.255 12.1.1.2
总结:有去有回,网络必通
有去:从源到目标,沿路每个路由器都有到达目标的路由
有回:从目标返回源每个路由都有到达源的路由
路由匹配原则:最长匹配原则
1、主机路由,172.16.1.10/32
2、子网路由,172.16.1.0/24
3、主网路由,172.16.0.0/16
4、超网路由,172.0.0.0/8
5、缺省路由,0/0
6、下一跳
1)出口接口
2)出口标识
r1(config)#ip route 3.3.3.0 255.255.255.0 s1/0
r1(config)#ip route 0.0.0.0 0.0.0.0 f0/0
Proxy ARP is enabled
proxy arp:收到ARP请求,发现是请求23.1.1.3设备的MAC,R2会做代理ARP响应。
R2(config)#int f0/0
R2(config-if)#no ip proxy-arp
r1#clear arp
r1#ping 23.1.1.3 不通
3)出口IP
错误
4)远程下一跳
r1(config)#ip route 3.3.3.0 255.255.255.0 23.1.1.3
r1(config)#ip route 23.1.1.0 255.255.255.0 s1/0
注意:路由的下一跳必须可达,这条路由才有意义
需要做递归查找
5)目标IP
错误
7、浮动静态路由:修改管理距离
r1(config)#ip route 2.2.0.0 255.255.252.0 10.1.1.2
r1(config)#ip route 2.2.0.0 255.255.252.0 12.1.1.2 2
--------------------------------------------------------
1、静态路由的缺点
1)配置复杂,扩展性不强
2)不能感知网络的变化
2、动态路由协议
运行动态路由协议--->把直连网络收集--->通过路由协议发布我知道的更新--->所
有路由器路由都同步
3、动态路由协议分类
RIP EIGRP OSPF ISIS BGP
1)设计角度:可靠度
DV:距离+矢量 传言--->RIP EIGRP BGP
LS:链路+状态 传信--->OSPF ISIS
2)范围:是否在1个AS中
IGP:RIP EIGRP OSPF ISIS
EGP:BGP
3)有类无类 A B C 更新中是否携带mask
有类:RIPV1
无类:RIPV2、OSPF、ISIS、BGP、EIGRP
4、RIP介绍
1)第1个为TCPIP协议簇设计的路由协议
2)RIP工作在UDP之上,port=520
3)RIP是1种IGP、DV、有类(V1)无类(V2)路由协议
4)RIP采用定期(30sec)、广播、全路由表更新
5)RIP的度量值采用hop来计算 最大是15hop 16表示不可达
5、RIP基本配置
启用进程--->发布网络
network 主网号
r1(config)#router rip
r1(config-router)#network 1.0.0.0
r1(config-router)#net 12.1.1.0
r1(config-router)#net 10.1.1.0
R2(config)#router rip
R2(config-router)#net 2.0.0.0
R2(config-router)#net 12.0.0.0
R2(config-router)#net 10.0.0.0
R2(config-router)#net 23.0.0.0
R3(config)#router rip
R3(config-router)#net 3.0.0.0
R3(config-router)#net 23.0.0.0
r1#sh ip route rip
R 2.0.0.0/8 [120/1] via 12.1.1.2, 00:00:04, Serial1/0
[120/1] via 10.1.1.2, 00:00:03, FastEthernet0/0
R 3.0.0.0/8 [120/2] via 10.1.1.2, 00:00:03, FastEthernet0/0
[120/2] via 12.1.1.2, 00:00:04, Serial1/0
R 23.0.0.0/8 [120/1] via 10.1.1.2, 00:00:03, FastEthernet0/0
[120/1] via 12.1.1.2, 00:00:04, Serial1/0
[120/1]---AD/Metric
AD:路由优先级
metric:路由开销,跳数
r1#sh ip protocols
r1#debug ip rip
*Jul 17 16:11:32.739: RIP: sending v1 update to 255.255.255.255 via
Serial1/0 (12.1.1.1)
*Jul 17 16:11:32.739: RIP: build update entries
*Jul 17 16:11:32.743: network 1.0.0.0 metric 1
*Jul 17 16:11:32.743: network 10.0.0.0 metric 1
r1#ping 2.2.2.2
!!!!!
r1#ping 3.3.3.3
!!!!!
6、RIPV1路由更新收发行为
(130.1.1.1/24)R1-----130.1.3.0/24-----R2(130.1.2.0/24)
(130.1.1.1/24)R1-----131.1.3.0/24-----R2(130.1.2.0/24)
发更新:主网-------->mask
主网?--->是---->mask?--->相同(直接发送)
是---->mask?---->不同(drop)
主网?---不同---->主网边界自动汇总发送
收更新:主网-------->mask
主网?--->是---按接收口的mask来为收到的路由加mask
主网?--->不同--->判断我是否有接收路由更细的子网--->有(drop)
没有(主网mask接收)
7、不连续子网
同1个主网下二个不同的子被另一个主网号分开
r1(config)#int s1/0
r1(config-if)#ip add 131.1.3.1 255.255.255.0
r1(config-if)#int lo 1
r1(config-if)#ip add 130.1.1.1 255.255.255.0
r1(config-if)#router rip
r1(config-router)#net 131.1.0.0
r1(config-router)#net 130.1.0.0
R2(config-router)#int s1/0
R2(config-if)#ip add 131.1.3.2 255.255.255.0
R2(config-if)#int lo1
R2(config-if)#ip add 130.1.2.1 255.255.255.0
R2(config-if)#router rip
R2(config-router)#net 131.1.0.0
R2(config-router)#net 130.1.0.0
R2#ping 130.1.1.1
.....
解决办法:第二地址
r1(config)#int s1/0
r1(config-if)#ip add 130.1.3.1 255.255.255.0 sec
R2(config)#int s1/0
R2(config-if)#ip add 130.1.3.2 255.255.255.0 sec
R2#ping 130.1.1.1
!!!!!
8、RIP如何防环
1)最大hop限制:15hop
2)水平分割
从一个接口收到最佳的路由,那么不会再从这个接口发送这条路由
默认是开启
R2(config-if)#no ip split-horizon 关闭
3)计时器
(1)update 30sec
(2)invalid 180sec
(3)holddown 180 只用60sec
(4)flush 240sec
4)反向毒化
9、被动接口和单播更新
R3(config-router)#int f0/0
R3(config-if)#ip add 10.1.1.3 255.255.255.0
R3(config-if)#no sh
R3(config-if)#router rip
R3(config-router)#net 10.0.0.0
r1(config-if)#router rip
r1(config-router)#passive-interface f0/0 只收不发更新
r1(config)#router rip
r1(config-router)#neighbor 10.1.1.2 单播更新
实验:
静态路由主机路由、缺省路由
静态路由下一跳(proxy arp)
RIP基本
RIPV1路由收发行为
RIP被动接口和单播更新
回复 引用 分享 举报顶端
admin 离线
级别: 管理员
显示用户信息 UID: 1
精华: 5
发帖: 324
铜币: 317 枚
威望: 214 点
贡献值: 0 点
银元: 0 个
在线时间: 80(时)
注册时间: 2010-02-05
最后登录: 2011-07-23 9楼 发表于: 07-20 只看该作者 ┊ 小 中 大
10、RIPV2 介绍
1)无类路由协议:更在新当中携带mask
2)RIPV2采用组播更新:224.0.0.9
3)RIP认证:防止路由欺骗
r1(config)#router rip
r1(config-router)#ver 2
r1(config-router)#net 12.0.0.0
r1(config-router)#net 1.1.1.0
R2(config-if)#router rip
R2(config-router)#net 12.0.0.0
R2(config-router)#net 2.0.0.0
R2(config-router)#net 23.0.0.0
R2(config-router)#ver 2
认证配置
1)密钥:key id和key要1样
r1(config)#key chain ccna
r1(config-keychain)#key 1
r1(config-keychain-key)#key-string cisco
R2(config)#key chain ccna
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string cisco
2)接口下引用
r1(config-keychain-key)#int s1/0
r1(config-if)#ip rip authentication key-chain ccna 引用密钥链
r1(config-if)#ip rip authen mode text 启用明文认证
R2(config-if)#ip rip authen key-chain ccna
R2(config-if)#ip rip authen mode text
11、汇总
1)作用:减少路由表
2)自动:主网边界自动汇总
3)手工:精确
R2(config-if)#router rip
R2(config-router)#no auto-summ
R2(config-router)#int lo 0
R2(config-if)#ip add 2.2.1.2 255.255.255.0 sec
R2(config-if)#ip add 2.2.4.2 255.255.255.0 sec
路由更新发送出去的接口
R2(config-if)#ip summary-address rip 2.2.0.0 255.255.248.0
12、RIP路由过滤
distribute-list
r1(config)#router rip
r1(config-router)#no au
r1(config-router)#int lo 0
r1(config-if)#ip add 1.1.2.1 255.255.255.0 sec
定义发布的路由
r1(config)#access-list 1 permit 1.1.1.0
应用到发送更新的接口
r1(config-router)#distribute-list 1 out s1/0
------------------------------------------------------
1、链路状态协议
1)对比
DV:距离(hop)+矢量(方向)----------->传言 发送最佳路由
LS:链路(路由)+状态(邻居关系)-->传信
传递的内容
传递的机制:dv(生成最佳路由)ls(copy--->flooding)
2)LS协议的优势
(1)有1个完整LSDB,计算出最短路径
(2)有1个完整LSDB和SPF,没有环路
(3)有1个完整LSDB,收敛速率快(本地计算要比邻居通告要快)
(4)实现层次化的网络,工程师设计
3)LS操作的过程
建立邻居--->相互交换LSA信息--->LSDB同步--->依据SPF算法计算到达每个网络的最
短路径
以LSDB作为源材料
以自己为根
以SPF算法为依据
2、OSPF介绍
1)o(国际标准) spf(算法)
2)OSPF是1种LS、IGP、无类的路由协议
3)OSPF工作在IP之上,IP协议号是89
4)OSPF的更新是采用组播:224.0.0.5(运行SPF) 224.0.0.6(DR)
5)OSPF支持区域划分
3、OSPF三张表
1)邻居表
sh ip ospf nei
2)LSDB
sh ip ospf database
3)路由表
sh ip route ospf
4、RID 标识一个OSPF的路由器
任意唯一
1)手工:配置
2)自动:loopback--->物理接口IP
5、基本配置
router ospf 进程号(本地有意义)
network 网络号 通配符 area #
r1(config)#router ospf 1
r1(config-router)#router-id 1.1.1.1
r1(config-router)#network 12.1.1.0 0.0.0.255 area 0
r1(config-router)#net 1.1.1.0 0.0.0.255 a 0
0表示关心,1表示不关心
R2(config)#router ospf 1
R2(config-router)#network 0.0.0.0 255.255.255.255 area 0
R3(config-if)#router ospf 1
R3(config-router)#net 23.1.1.3 0.0.0.0 a 0
R3(config-router)#net 3.3.0.0 0.0.255.255 a 0
area 0 = area 0.0.0.0
area 1 = area 0.0.0.1
area 255 = area 0.0.0.255
area 256 = area 0.0.1.0
r1#sh ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 0 FULL/ - 00:00:36 12.1.1.2 Serial1/0
r1#sh ip ospf database
OSPF Router with ID (1.1.1.1) (Process ID 1)
Router Link States (Area 0)
Link ID ADV Router Age Seq# Checksum Link count
1.1.1.1 1.1.1.1 203 0x80000003 0x0067F8 3
2.2.2.2 2.2.2.2 120 0x80000003 0x00C385 7
3.3.3.3 3.3.3.3 90 0x80000003 0x009B94 3
r1#sh ip route ospf
2.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
O 2.2.2.2/32 [110/65] via 12.1.1.2, 00:02:53, Serial1/0
[AD/metric]
AD:路由的优先级
metric:cost
6、OSPF cost的计算
以bandwidth做为metric计算参考
cost=10^8/bandwidth=
cost是沿途路径路由的入口的开销的累加
R2(config-router)#int s1/0
R2(config-if)#ip ospf cost 100
7、OSPF被动接口
1)不收也不发
2)配置
8、OSPF邻居的建立要求
1)hello holdtime 时间必须一致 10sec/30sec 40sec/120sec
2)area号码一致
3)认证必须一致
4)特殊区域标志
9、接口认证
r1(config)#int s1/0
r1(config-if)#ip ospf authentication-key ccna
r1(config-if)#ip ospf authentication
R2(config-if)#ip ospf authentication-key ccna
R2(config-if)#ip ospf authentication
思考:区域认证
---------------------------------------------------------
1、ACL应用
1)控制数据流
2)匹配感兴趣流量
2、ACL分类
1)按照匹配的内容
(1)标准ACL:1-99
仅匹配数据包的源IP,对主机的限制
(2)扩展ACL:100-199
匹配数据包源IP、PORT、目标IP、port、协议号,对应用限制
2)按照应用方向
(1)正常
接收数据--->拆帧--->根据目标IP查路由--->重装封装--->转发数据
(2)in:路由查找之前
(3)out:路由查找之后
3、ACL操作规则
1)匹配顺序:自上而下的匹配
2)一旦匹配,马上跳出执行动作
3)将细化的、经常要匹配放在前面
4)ACL最后有一条默认的deny all
5)ACL至少有一条permit语句
6)往现有ACL添加语句,默认要加在现有语句最后,但在deny all前
7)删除ACL,默认情况会把ACL所有语句删除
8)每个接口、每种协议、每个方向只允许1个ACL
9)ACL只能控制经过的数据包,对本身产生的数据无能为力
10)注意放通路由协议的数据
4、ACL配置
1)配置步骤
定义ACL--->接口下应用
2)标准ACL配置
R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2
R2(config)#ip route 1.1.1.0 255.255.255.0 12.1.1.1
R2(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.3
R3(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.2
R2只允许12.1.1.1 来telnet
R2(config)#access-list 1 permit 12.1.1.1 0.0.0.0
R2(config)#line vty 0 4
R2(config-line)#no login
R2(config-line)#access-class 1 in
R1#telnet 12.1.1.2
Trying 12.1.1.2 ... Open
R1(config)#int s1/0
R1(config-if)#ip add 12.1.1.3 255.255.255.0
R1#telnet 12.1.1.2
Trying 12.1.1.2 ...
% Connection refused by remote host
3)扩展ACL
www------->permit
telnet---->deny
R2(config)#access-list 100 deny tcp 12.1.1.0 0.0.0.255 any eq telnet
R2(config)#access-list 100 per tcp 12.1.1.0 0.0.0.255 any eq 80
R2(config)#int s1/0
R2(config-if)#ip access-group 100 in
R3(config)#line vty 0 4
R3(config-line)#no login
R3(config-line)#ip http server
测试
R1#telnet 23.1.1.3 80
Trying 23.1.1.3, 80 ... Open
R1#telnet 23.1.1.3
Trying 23.1.1.3 ...
% Destination unreachable; gateway or host down
4)命名ACL
R2(config-if)#access-list 100 per tcp 12.1.1.3 0.0.0.0 any eq 23
R2#sh ip access-lists
Extended IP access list 100
10 deny tcp 12.1.1.0 0.0.0.255 any eq telnet (3 matches)
20 permit tcp 12.1.1.0 0.0.0.255 any eq www (10 matches)
30 permit tcp host 12.1.1.3 any eq telnet
R2(config)#ip access-list extended ccna
R2(config-ext-nacl)#deny tcp 12.1.1.0 0.0.0.255 any eq telnet
R2(config-ext-nacl)# permit tcp 12.1.1.0 0.0.0.255 any eq www
R2(config-ext-nacl)#5 permit tcp host 12.1.1.3 any eq telnet
测试:R1#telnet 23.1.1.3
Trying 23.1.1.3 ... Open
5)基于时间ACL
R2(config)#time-range ccna
R2(config-time-range)#?
absolute 绝对时间
periodic 周期时间
R2(config-time-range)#absol start 10:45 21 july 2011 end 10:50 21 july 2011
R2#sh clock
*10:40:29.739 UTC Thu Jul 21 2011
设置时间
1)NTP
2)手工设置:R2#clock set ?
hh:mm:ss Current Time
R2(config)#ip access-list extended ccna
R2(config-ext-nacl)#no deny tcp 12.1.1.0 0.0.0.255 any eq telnet
R2(config-ext-nacl)#no permit tcp 12.1.1.0 0.0.0.255 any eq www
R2(config-ext-nacl)# deny tcp 12.1.1.0 0.0.0.255 any eq telnet time-ra ccna
R2(config-ext-nacl)#permit tcp 12.1.1.0 0.0.0.255 any eq www time ccna
6)奇偶数的控制
12.1.1.1
12.1.1.3
12.1.1.5
12.1.1.7
1------00000001
3------00000011
5------00000101
7------00000111
9------00001001
R2(config)#access-list 1 per 12.1.1.1 0.0.0.254 匹配奇数
R2(config)#access-list 1 per 12.1.1.0 0.0.0.254 匹配偶数
7)单向访问ACL
带有established的ACL
R2(config)#access-list 101 per tcp any 12.1.1.0 0.0.0.255 established
R2(config)#int s1/1
R2(config-if)#ip access-group 101 in
测试:
R1#telnet 23.1.1.3
Trying 23.1.1.3 ... Open
R3#telnet 12.1.1.5
Trying 12.1.1.5 ...
% Destination unreachable; gateway or host down
原理:对于返回的数据判断syn和ACK置位来放通数据流
缺点:仅对TCP连接有效
TCP置位可以假装
--------->解决方案:使用防火墙
IOS FW:动态ACL/CBAC
硬件防火墙:状态表
作业:写偶数
作业:192.168.101.x/24(X小于15,并且为偶数)
0 2 4 6 8 10 12 14
-------------------------------------------------
1、节省IP方法
1)NAT
2)VLSM
3)DHCP
4)回收IP
5)IPV6
2、NAT好处
1)内网使用私有IP
2)隐藏内网
3、NAT术语
1)inside local
内部被转换的IP
2)inside global
被转换为的IP
3)outside local
外部转换后的IP
4)outside global
外部被转换的IP
5)简单转换
1个IP--->另1个IP 一一对应的转换
6)扩展转换
1个IP+port--->另1个IP+可能变化的port
4、NAT操作过程
接收数据--->根据NAT进行转换--->保存转换表--->根据目标IP路由转发-->对于返回
数据根据NAT转换返回对应的源
5、配置
1)步骤
定义被转换的IP(acl)
定义转换为的IP(pool)
定义转换关系
应用到接口
2)动态NAT
interface Serial1/0
ip address 12.1.1.1 255.255.255.0 secondary
ip address 12.1.1.3 255.255.255.0 secondary
ip address 12.1.1.4 255.255.255.0 secondary
ip address 12.1.1.5 255.255.255.0
R2(config)#access-list 1 per 12.1.1.0 0.0.0.255
R2(config)#ip nat pool ccna 23.1.1.10 23.1.1.12 pre 24
R2(config)#ip nat inside source list 1 pool ccna
R2(config)#int s1/0
R2(config-if)#ip nat inside
R2(config-if)#int s1/1
R2(config-if)#ip nat outside
R2#debug ip nat
R2#sh ip nat translations
R2#clear ip nat translation *
回复 引用 分享 举报顶端
admin 离线
级别: 管理员
显示用户信息 UID: 1
精华: 5
发帖: 324
铜币: 317 枚
威望: 214 点
贡献值: 0 点
银元: 0 个
在线时间: 80(时)
注册时间: 2010-02-05
最后登录: 2011-07-23 11楼 发表于: 昨天 10:54 只看该作者 ┊ 小 中 大
3)nat 地址池复用
R2(config)#ip nat in sou list 1 pool ccna over
4)PAT
R2(config)#ip nat pool ccna 23.1.1.2 23.1.1.2 pr 24
如果是公网IP是动态的
R2(config)#ip nat inside source list 1 interface s1/1 overload
5)静态NAT
R2(config)#ip nat inside source static 1.1.1.1 23.1.1.10
测试
R3#telnet 23.1.1.10
Trying 23.1.1.10 ... Open
R1>
6)PAR
R2(config)#ip nat inside source static tcp 1.1.1.1 80 23.1.1.2 80
测试
R3#telnet 23.1.1.2 80
Trying 23.1.1.2, 80 ... Open
如果是动态IP
R2(config)#ip nat inside source static tcp 1.1.1.1 80 interface s1/1 80
R2(config)#ip nat inside source static tcp 1.1.1.1 23 interface s1/1 23
R3#telnet 23.1.1.2
Trying 23.1.1.2 ... Open
R1>
6、TCP负载均衡
R2(config)#access-list 2 permit 23.1.1.10
R2(config)#ip nat pool ccna 12.1.1.1 12.1.1.4 pre 24 type rotary
R2(config)#ip nat inside dest list 2 pool ccna
仅对TCP有效
测试:R3#telnet 23.1.1.10
Trying 23.1.1.10 ... Open
R1>
R2#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 23.1.1.10:23 12.1.1.2:23 23.1.1.3:25684 23.1.1.3:25684
tcp 23.1.1.10:23 12.1.1.4:23 23.1.1.3:14096 23.1.1.3:14096
tcp 23.1.1.10:23 12.1.1.3:23 23.1.1.3:48114 23.1.1.3:48114
tcp 23.1.1.10:23 12.1.1.1:23 23.1.1.3:33656 23.1.1.3:33656
7、NAT缺点
1)性能
2)破坏end-end可达性
3)NAT对应用层地址不能转换
-------------------------综合实验----------------------------------
en
conf t
no ip domain-lookup
line con 0
logg sy
exec-timeout 0 0
line vty 0 4
no login
no cdp run
需求:
1、VLAN、Trunk、VTP
SW1创建vlan2 vlan3
sw1---sw2配置trunk,并且dot1q封装
sw1的vlan2 vlan3通过vtp信息传递给SW2
SW1(config)#no ip routing
SW2(config)#no ip routing
2、STP负载均衡
vlan2走上面
vlan3走下面
SW1#sh spanning-tree brief
3、单臂路由、DHCP
R1做单臂路由,负责vlan2 vlan3之间通信
R1做DHCP,负责为R2(PC) R3(PC)分配IP
测试连通性
4、PPP和FR
R1---internet 配置PPP
R1--R4配置FR
sh frame-relay route
sh frame-relay map
5、RIP 0/0
R1-R4之间跑RIP V2
R1(config)#ip route 0.0.0.0 0.0.0.0 202.1.1.5
R1(config)#router rip
R1(config-router)#redistribute static metric 1
6、ACL、NAT
R1只能被4.4.4.4网管
R1(config)#access-list 1 per 4.4.4.4
R1(config)#line vty 0 4
R1(config-line)#access-class 1 in
R1做NAT(192.168.1.0 192.168.2.0 192.168.3.0 4.4.4.4 10.1.1.0)
R1(config)#access-list 2 per 192.168.2.0 0.0.0.255
R1(config)#access-list 2 per 192.168.1.0 0.0.0.255
R1(config)#access-list 2 per 192.168.3.0 0.0.0.255
R1(config)#access-list 2 per 10.1.1.0 0.0.0.255
R1(config)#access-list 2 per 4.4.4.4
7、网管
R1 R4要被网管
SW1 SW2也要网管
8、测试全网互通,所有交换机和路由器能被网管
