組網路由器交換(路由交換知識點總結)一、網絡模型分類OSI七層模型:面向用戶應用：（上三層）應用層，表示層，會話層。面向數據傳輸（下四層）：傳輸層，網絡層，數據鏈路層，物理層。數據鏈路層、網絡層、傳輸層傳輸協議的單元分別是：幀，包，段。二層的封裝報頭為：源Mac目的Mac三層的封裝報頭為：源IP目的IP四層的封裝報頭為：源端口目的端口。MAC地址占48bit，ip地址占32bit，端口占16bitTCP/IP四層模型：應用層：應用層是開放系統的最高層,是直接為應用進程提供服務的。傳輸層：使用TCP與UDP兩種協議。TCP是可靠的傳輸機制，依靠確認重傳機制提高可靠性；滑動窗口機制提高效率。TCP利用三次握手，可以使用拒絕服務攻擊。UDP是不可靠的傳輸機制，視頻和語音都是基于UDPInternet層：實現兩個端系統之間的數據透明傳送，具體功能包括尋址和路由選擇、連接的建立、保持和終止等。網絡接入層：網絡中直接面向用戶連接或訪問的部分，接入層目的是允許終端用戶連接到網絡。Cisco三層模型：核心層，匯聚層，接入層。二、IP和子網IP（InternetProtocol），互聯網協議。分為IPv4和IPv6IP是邏輯地址，可以變化，IPv4占32bit；IPv6占128bit。IPv4地址分為A、B、C、D、E五類，其中A、B、C是常用地址，D類為組播地址。A類：1.0.0.1-216.255.255.254（0.x.x.x保留作為科研使用，127.x.x.x保留，作為自身回環地址使用）B類：128.0.0.1-191.255.255.254C類：192.0.0.1-223.255.255.253D類：224.0.0.1-239.255.255.254E類：240.0.0.1-255.255.255.254其中一部分作為私網地址：A：10.0.0.1-10.255.255.254B：172.16.0.1-172.31.255.254C：192.168.0.1-192.168.255.254IP地址=網絡位+主機位（網絡位相同，主機位不同就叫做同網段）子網掩碼mask：表示網絡位的長度。主機位全0為網絡地址，主機位全1為廣播地址；其余為可用主機地址。主機位的變化范圍：網絡地址+可用主機地址+廣播地址。VLSM，可變長子網掩碼，針對IPv4。VLSM的作用就是在有類的IP地址的基礎上，從他們的主機號部分借出一定的位數來做網絡號，也就是增加網絡號的位數。例如：神州數碼公司是一家新成立的公司。一共有5個部門。其中每個部門各有30臺電腦。現在公司申請了一個新的網段192.168.0.0/24，請將該網段分配給每個部門，并且寫出每個部門的具體網段范圍。5個部門，2^2<5<2^3因此需要借3位，子網數有8個：192.168.0.0/27；192.168.32.0/27；192.168.64.0/27；192.168.96.0/27192.168.128.0/27；192.168.160.0/27；192.168.192.0/27；192.168.224.0/27選出其中的5個作為5個部門的網段第一部門：192.168.0.0~192.168.0.31第二部門：192.168.32.0~192.168.32.31第三部門：192.168.64.0~192.168.64.31第四部門：192.168.96.0~192.168.96.31第五部門：192.168.128.0~192.168.128.31三、路由路由器：連接不同網段的設備，使用路由表查詢方式。工作在網絡層，每個接口都是一個廣播域和一個沖突域。通信路徑來回是否需要一致：路由器不需一致；防火墻需要一致。路由是一種PHB行為（per-hop-behavior每跳行為）路由條目：目標網段+本地出接口/下一跳路由IP。路由跟蹤：tracertx.x.x.xPC機traceroutex.x.x.x路由器路由協議的分類：1、根據作用范圍分類：IGP（內部網關路由協議）：除BGP以外所有路由協議EGP（外部網關路由協議）：BGP協議2、根據工作原理分類：靜態路由協議動態路由協議：i）：距離矢量路由協議：RIP、EIGRP、BGP交互路由條目ii）：鏈路狀態路由協議：OSPF、IS－IS交互鏈路狀態靜態路由：默認AD值為1手動添加，安全，配置簡單；不能適應變化。配置：iproute目標網段地址目標網段掩碼下一跳地址/出接口默認路由：特殊的靜態路由，用于網絡末梢或單出口網絡環境iproute0.0.0.00.0.0.0下一跳地址/出接口浮動靜態路由：靜態路由備份技術（平時查看路由表不可見，當原有鏈路斷時生效）iproute目標網段地址目標網段掩碼下一跳地址/出接口AD值黑洞路由：iproute目標網段地址目標網段掩碼null0該命令會將去往目標網段的流量全部丟包。動態路由：路由協議研究：手動配置，自動維護1、管理距離AD靜態1RIP120EIGRP90和170OSPF110IS-IS115BGP20和2002、度量值metric：衡量路徑好壞的值，一般使用跳數或帶寬3、算法RIP：routinginformationprotocol路由信息協議RIP基于UDP520端口RIPv1有類路由協議，不支持VLSMRIPv2無類，使用224.0.0.9組播更新，自動匯總要關閉后支持VLSM。RIPng支持IPv6最大支持15跳，不支持大網絡自動匯總匯總：將無類路由轉化成有類路由的過程被動接口技術，只收不發的接口定時器，每三十秒更新一次配置：conftrouterrip//啟用rip協議version2//版本2noauto-summary//關閉自動匯總networkx.x.x.x//宣告網絡exitEIGRP：增強內部網關路由線路協議高級距離矢量路由協議EIGRP由于存在距離矢量特征，也會出現自動匯總自動匯總要關閉后支持VLSMDUAL算法彌散更新算法支持快速收斂建立鄰居表，生成拓撲表，通過DUAL算法算出路由表收斂：從變化到穩定的過程EIGRP支持帶掩碼的發布最大條數225跳（極限跳數）支持等價和不等價負載均衡名詞解釋：FD:可行性距離，源到目標網絡的距離，FD最小的作為最佳路徑。可行性距離FD=通告距離AD+帶寬延遲AD：通告距離，下一跳路由器到達目標網絡距離。FS：可行繼任者，備用路徑的下一跳路由器。S：繼任者，最佳路徑的下一跳路由器。FC：可行性條件，作用是為了保證EIGRP協議100%無環。配置：conftroutereigrpxnoauto-summarynetworkx.x.x.x（網段）x.x.x.x（反掩碼）exi查看命令：showipeigrpneighbors查看eigrp鄰居表showipeigrptopology查看eigrp拓撲表showiprouteeigrp查看eigrp路由表OSPF：開放最短路徑優先協議使用hello包建立和維護鄰居以組播方式發hello包建立，以單播方式維護鄰居鄰居關系：不能交互鏈路信息鄰接關系：能交互鏈路信息建立鄰居表，生成鏈路狀態數據庫，通過SPF算法算出路由表分層網絡，分區域，骨干，非骨干區域Cost值=參考帶寬/當前接口帶寬（參考帶寬默認為100）每臺OSPF路由器都存在router-id，手動指定或者自動選舉，RID的ip不需要真實存在自動選舉RID原則：1、是否存在lookback接口，選舉lookback接口IP最大的2、如果沒有lookback，選擇物理接口IP最大的DR選舉原則：有比較接口優先級（默認為1），再選舉RID最大者修改接口優先級命令：接口視圖下ipospfpriority（默認為1，范圍1~255，越大越好，0表示不參與選舉）點對點類型的網絡不需要選舉DR/BDR，非廣播多路訪問類型的網絡需要手動建立鄰居。名詞解釋：DR：指定路由器BDR：備份指定路由器DRother：非DR與BDR配置：ConftRouterospfxRouter-idx.x.x.x//手動選定RIDNetworkx.x.x.x（網段）x.x.x.x（反掩碼）areax//在區域x宣告網段Exit查看：Showipospfneighbors查看ospf鄰居表Showipospfdatabase查看ospf鏈路狀態數據庫Showiprouteospf查看ospf路由表DHCP功能：提供IP掩碼網關DNSDHCP過程：DHCP客戶端發出DHCP廣播請求DHCP服務器端回應DHCP數據包部署分類：同網段部署跨網段部署，DHCP中繼請求，網關把廣播轉換成單播，發送給DHCP服務器配置：同網段：conftservicedhcp（默認開啟）ipdhcppoolxxxnetwork10.1.10.0/24default-router10.1.10.254dns-server8.8.8.8exitDHCP地址排除命令：ipdhcpexcluded-addressx.x.x.x（起始地址）x.x.x.x（結束地址）跨網段：在網關配置iphelper-addressx.x.x.x（DHCP服務器的地址）防范私自搭建DHCP服務器的方法：交換機端口安全功能：MAC學習限制或指定MAC四、交換交換機：工作原理：學習MAC地址，形成CAM表，記錄MAC和端口的對應關系，單播依據交換機是一個廣播域（不劃分VLAN情況下），每個端口都是一個沖突域。VLAN：虛擬局域網VLAN可以實現廣播域的隔離，廣播域數量變多，變安全，可管理性提高VLANID范圍：0-4095（可用的是1-4094）封裝中占12bit思科的1002~1005保留給非以太網默認所有端口都屬于VLAN1VLAN配置在showrun看不見VLAN數據庫不存在在running-config和starup-configVLAN數據存放在flash里面，flash：vlan.dat配置與查看：模擬器中：VlandatabaseVlanxExiShowvlan-switchbrief真機中：ConftVlanxShowvlanbrief鏈路：Trunk鏈路：交換機互連，或者連接路由器，傳遞多個VLAN信息Access鏈路：接PC或服務器配置：switchportmodetrunk或switchportmodeaccessSwitchportaccessvlanx//劃分該端口給vlanx單臂路由：實現VLAN間通信1、intfx/x.x//進入子接口2、encapsulattiondot1qvlan-id//將vlanx綁定該子接口3、配置子接口IP多層交換：2層交換+路由引擎交換虛擬接口：switchvirtualinterfaceSVI三層交換：routedport路由模式（noswitchport）L3端口思科私有，可在交換機物理接口上配置IPswitchport交換模式L2端口鏈路捆綁（ECEthernetchannel以太網通道）：多個端口聚合成多個端口（配置時先把端口shutdown）作用：提高帶寬同時提供備份實現協議：PAGP端口聚合協議，思科私有LAGP鏈路聚合協議，公有EC有兩種：2層EC和3層EC2層配置：Intrangfx/x–x//進入x/x–x等接口配置Shutdown//將端口手動downswitchporttrunkencapsulationdotlq//將trunk鏈路協議改為802.1qchannel-groupxmodeon//將端口綁定入ECx模式onnoshutdown3層配置：Intrangfx/x–x//進入x/x–x等接口配置Shutdown//將端口手動downNoswitchport//開啟端口路由功能channel-groupxmodeon//將端口綁定入ECx模式onintport-channelx//進入綁定端口xipaddressx.x.x.xx.x.x.x//綁定端口配置IPnoshutdownexitIntrangfx/x–x//進入x/x–x等接口配置Noshutdown五、生成樹（spanning-tree）作用：環路避免功能，提供備份鏈路最終目標：找到一個不能轉發數據的端口Block端口，其他端口都是屬于轉發Forward端口1、根交換機rootbridgeRB根橋根橋選舉原則：先比較橋優先級最小的，在比較mac地址最小的默認優先級32768，最小是0，4096的倍數bridge-id橋ID=橋優先級+橋MAC2、干：非根橋選舉接收根橋信息的端口，根端口rootportRP根端口選舉原則：cost值，自動計算和手動指定兩種手動指定對端端口cost值3、找到block比較發送者的bridge-idBPDU包=橋協議數據單元，每兩秒發一次切換狀態和時間阻塞block20s監聽listening15s學習learning15s轉發forward生成樹協議：標準生成樹：802.1D只有一顆生成樹，沒有流量負載分擔效果快速生成樹：802.1W只有一顆生成樹，沒有流量負載分擔效果多實例生成樹：802.1S將多個VLAN映射到同一個實例IST每VLAN生成樹：PVST+思科私有快速每VLAN生成樹：RPVST+思科私有GNS3只支持PVST+，Cisco默認開啟STP六、ACL/NATACL：訪問控制列表數據包結構（五元組）：源IP目的IP源端口目的端口DATA數據訪問控制即讀取數據包結構的前四個要素，進行控制控制包括允許和拒絕兩種源端口比較少用接口下進行，有方向性，進in出out1-99標準訪問控制只能控制源IP100-199擴展訪問控制控制五元組配置和調用：1-99：access-listpermit/denyx.x.x.x（反掩碼x.x.x.x）100-199：accesspermit/denyip/tcp/udp/icmp/ospf/eigrp源IP反掩碼目的IP反掩碼eq端口號默認會添加access-listxdenyipanyany調用：ipaccess-groupxin/out舉例：R1路由器只允許被pc機10.1.1.1telnetlinevty04access-class2inexitaccess-list2permit10.1.1.1end只允許訪問TCP23號端口，其他都拒絕access-list100permittcpanyanyeq23禁ping操作：ipaccess-group100inaccess-list100denyicmpanyanyaccess-list100permitipanyany命名ACL：ipaccess-liststand/extendednamenumpermit/deny內容numpermit/deny內容exitintf0/0ipaccess-groupnamein/outexitNAT：把私網地址轉換成公網地址，帶動內網上網網絡地址轉換：只有路由器和防火墻可以實現，多層交換機不行設備劃分區域：insideoutsideNAT是把inside的私網IP轉換inside的公網IP訪問外網配置：1、指定inside和outside端2、NAT主命令配置內網端口：ipnatinside（單臂路由，inside端要寫在子接口上）外網端口：ipnatoutside端口復用NAT-PAT：ipnatinsidesourcelist1interfacef1/0overloadaccess-list1permitanyoverload：端口復用，實現多臺PC一起上網地址池NAT，動態NAT：ipnatinsidesourcelist1poolccnaoverloadipnatpoolccnax.x.x.xx.x.x.xprefix-length掩碼位數access-list1permitany靜態NAT應用場合：內網服務需要被外網訪問到1、靜態IPNATipnatinsidesourcestatic內網IP公網IP2、靜態端口映射NATipnatinsidesourcestatictcp/udp內網ip內網端口公網IP外網端口七、廣域網WAN：三種封裝：HDLC、PPP、FRPPP=LCP+NCPLCP鏈路控制協議驗證明文驗證pap+密文驗證chapNCP網絡控制協議獲取IP客戶端:ppppapsent-username123456password123456服務器端：ints0/0pppauthenticationpapexitusername123456password123456查看PPP認證過程debugpppauthenticationPAP只需要認證一次八、冗余網關：HSRP：熱備份路由協議思科私有GLBP網關負載均衡協議思科私有同一個網段中實現負載均衡VRRP：擬路由器路由協議公有切換時間默認10s，hello時間3s出口跟蹤功能，出口故障后，懲罰優先級穩定性原則，搶占功能，實時比較，變化后直接搶占活動網關選舉原則：（1）選舉優先級高的。默認100，范圍1-155（2）選舉物理接口IP地址比較大的。配置：HSRP配置：intvlan10ipaddx.x.x.xx.x.x.xstandy10ipx.x.x.x//虛擬網關的ip地址standby10priorityxx//設置優先級，不要設置太大，一般設置110或120standby10preemt//開啟實時搶占功能standby10tracefx/xxx//懲罰優先級，當fx/x端口斷掉之后，將此優先級降下xxVRRP配置：intvlan10ipaddx.x.x.xx.x.x.xvrrp10ipx.x.x.x//虛擬網關的ip地址vrrp10priorityxx//配置優先級exitGLBP配置：intvlanxxipaddx.x.x.xx.x.x.xglbpxxipx.x.x.x//虛擬虛擬網關glbpxxpriorityxx//配置優先級