组网路由器交换(路由交换知识点总结)
一、网络模型分类
OSI七层模型:
面向用户应用：（上三层）应用层，表示层，会话层。
面向数据传输（下四层）：传输层，网络层，数据链路层，物理层。
数据链路层、网络层、传输层传输协议的单元分别是：帧，包，段。
二层的封装报头为：源Mac目的Mac
三层的封装报头为：源IP目的IP
四层的封装报头为：源端口目的端口。
MAC地址占48bit，ip地址占32bit，端口占16bit
TCP/IP四层模型：
应用层：
应用层是开放系统的最高层,是直接为应用进程提供服务的。
传输层：使用TCP与UDP两种协议。
TCP是可靠的传输机制，依靠确认重传机制提高可靠性；滑动窗口机制提高效率。
TCP利用三次握手，可以使用拒绝服务攻击。
UDP是不可靠的传输机制，视频和语音都是基于UDP
Internet层：
实现两个端系统之间的数据透明传送，具体功能包括寻址和路由选择、连接的建立、保持和终止等。
网络接入层：
网络中直接面向用户连接或访问的部分，接入层目的是允许终端用户连接到网络。
Cisco三层模型：
核心层，汇聚层，接入层。
二、IP和子网
IP（InternetProtocol），互联网协议。分为IPv4和IPv6
IP是逻辑地址，可以变化，IPv4占32bit；IPv6占128bit。
IPv4地址分为A、B、C、D、E五类，其中A、B、C是常用地址，D类为组播地址。
A类：1.0.0.1-216.255.255.254（0.x.x.x保留作为科研使用，127.x.x.x保留，作为自身回环地址使用）
B类：128.0.0.1-191.255.255.254
C类：192.0.0.1-223.255.255.253
D类：224.0.0.1-239.255.255.254
E类：240.0.0.1-255.255.255.254
其中一部分作为私网地址：
A：10.0.0.1-10.255.255.254
B：172.16.0.1-172.31.255.254
C：192.168.0.1-192.168.255.254
IP地址=网络位+主机位（网络位相同，主机位不同就叫做同网段）
子网掩码mask：表示网络位的长度。
主机位全0为网络地址，主机位全1为广播地址；其余为可用主机地址。
主机位的变化范围：网络地址+可用主机地址+广播地址。
VLSM，可变长子网掩码，针对IPv4。
VLSM的作用就是在有类的IP地址的基础上，从他们的主机号部分借出一定的位数来做网络号，也就是增加网络号的位数。
例如：
神州数码公司是一家新成立的公司。一共有5个部门。其中每个部门各有30台电脑。现在公司申请了一个新的网段192.168.0.0/24，请将该网段分配给每个部门，并且写出每个部门的具体网段范围。
5个部门，2^2<5<2^3
因此需要借3位，子网数有8个：
192.168.0.0/27；192.168.32.0/27；192.168.64.0/27；192.168.96.0/27
192.168.128.0/27；192.168.160.0/27；192.168.192.0/27；192.168.224.0/27
选出其中的5个作为5个部门的网段
第一部门：192.168.0.0~192.168.0.31
第二部门：192.168.32.0~192.168.32.31
第三部门：192.168.64.0~192.168.64.31
第四部门：192.168.96.0~192.168.96.31
第五部门：192.168.128.0~192.168.128.31
三、路由
路由器：连接不同网段的设备，使用路由表查询方式。工作在网络层，每个接口都是一个广播域和一个冲突域。
通信路径来回是否需要一致：路由器不需一致；防火墙需要一致。
路由是一种PHB行为（per-hop-behavior每跳行为）
路由条目：目标网段+本地出接口/下一跳路由IP。
路由跟踪：tracertx.x.x.xPC机traceroutex.x.x.x路由器
路由协议的分类：
1、根据作用范围分类：
IGP（内部网关路由协议）：除BGP以外所有路由协议
EGP（外部网关路由协议）：BGP协议
2、根据工作原理分类：
静态路由协议
动态路由协议：
i）：距离矢量路由协议：RIP、EIGRP、BGP交互路由条目
ii）：链路状态路由协议：OSPF、IS－IS交互链路状态
静态路由：默认AD值为1
手动添加，安全，配置简单；不能适应变化。
配置：iproute目标网段地址目标网段掩码下一跳地址/出接口
默认路由：特殊的静态路由，用于网络末梢或单出口网络环境
iproute0.0.0.00.0.0.0下一跳地址/出接口
浮动静态路由：静态路由备份技术（平时查看路由表不可见，当原有链路断时生效）
iproute目标网段地址目标网段掩码下一跳地址/出接口AD值
黑洞路由：
iproute目标网段地址目标网段掩码null0该命令会将去往目标网段的流量全部丢包。
动态路由：
路由协议研究：手动配置，自动维护
1、管理距离AD
静态1
RIP120
EIGRP90和170
OSPF110
IS-IS115
BGP20和200
2、度量值metric：衡量路径好坏的值，一般使用跳数或带宽
3、算法
RIP：routinginformationprotocol路由信息协议
RIP基于UDP520端口
RIPv1有类路由协议，不支持VLSM
RIPv2无类，使用224.0.0.9组播更新，自动汇总要关闭后支持VLSM。
RIPng支持IPv6
最大支持15跳，不支持大网络
自动汇总
汇总：将无类路由转化成有类路由的过程
被动接口技术，只收不发的接口
定时器，每三十秒更新一次
配置：
conft
routerrip//启用rip协议
version2//版本2
noauto-summary//关闭自动汇总
networkx.x.x.x//宣告网络
exit
EIGRP：增强内部网关路由线路协议
高级距离矢量路由协议
EIGRP由于存在距离矢量特征，也会出现自动汇总
自动汇总要关闭后支持VLSM
DUAL算法弥散更新算法
支持快速收敛
建立邻居表，生成拓扑表，通过DUAL算法算出路由表
收敛：从变化到稳定的过程
EIGRP支持带掩码的发布
最大条数225跳（极限跳数）
支持等价和不等价负载均衡
名词解释：
FD:可行性距离，源到目标网络的距离，FD最小的作为最佳路径。
可行性距离FD=通告距离AD+带宽延迟
AD：通告距离，下一跳路由器到达目标网络距离。
FS：可行继任者，备用路径的下一跳路由器。
S：继任者，最佳路径的下一跳路由器。
FC：可行性条件，作用是为了保证EIGRP协议100%无环。
配置：
conft
routereigrpx
noauto-summary
networkx.x.x.x（网段）x.x.x.x（反掩码）
exi
查看命令：
showipeigrpneighbors查看eigrp邻居表
showipeigrptopology查看eigrp拓扑表
showiprouteeigrp查看eigrp路由表
OSPF：开放最短路径优先协议
使用hello包建立和维护邻居
以组播方式发hello包建立，以单播方式维护邻居
邻居关系：不能交互链路信息
邻接关系：能交互链路信息
建立邻居表，生成链路状态数据库，通过SPF算法算出路由表
分层网络，分区域，骨干，非骨干区域
Cost值=参考带宽/当前接口带宽（参考带宽默认为100）
每台OSPF路由器都存在router-id，手动指定或者自动选举，RID的ip不需要真实存在
自动选举RID原则：
1、是否存在lookback接口，选举lookback接口IP最大的
2、如果没有lookback，选择物理接口IP最大的
DR选举原则：有比较接口优先级（默认为1），再选举RID最大者
修改接口优先级命令：接口视图下ipospfpriority（默认为1，范围1~255，越大越好，0表示不参与选举）
点对点类型的网络不需要选举DR/BDR，非广播多路访问类型的网络需要手动建立邻居。
名词解释：
DR：指定路由器
BDR：备份指定路由器
DRother：非DR与BDR
配置：
Conft
Routerospfx
Router-idx.x.x.x//手动选定RID
Networkx.x.x.x（网段）x.x.x.x（反掩码）areax//在区域x宣告网段
Exit
查看：
Showipospfneighbors查看ospf邻居表
Showipospfdatabase查看ospf链路状态数据库
Showiprouteospf查看ospf路由表
DHCP功能：提供IP掩码网关DNS
DHCP过程：
DHCP客户端发出DHCP广播请求
DHCP服务器端回应DHCP数据包
部署分类：
同网段部署
跨网段部署，DHCP中继请求，网关把广播转换成单播，发送给DHCP服务器
配置：
同网段：
conft
servicedhcp（默认开启）
ipdhcppoolxxx
network10.1.10.0/24
default-router10.1.10.254
dns-server8.8.8.8
exit
DHCP地址排除命令：ipdhcpexcluded-addressx.x.x.x（起始地址）x.x.x.x（结束地址）
跨网段：
在网关配置iphelper-addressx.x.x.x（DHCP服务器的地址）
防范私自搭建DHCP服务器的方法：交换机端口安全功能：MAC学习限制或指定MAC
四、交换
交换机：
工作原理：学习MAC地址，形成CAM表，记录MAC和端口的对应关系，单播依据
交换机是一个广播域（不划分VLAN情况下），每个端口都是一个冲突域。
VLAN：虚拟局域网
VLAN可以实现广播域的隔离，广播域数量变多，变安全，可管理性提高
VLANID范围：0-4095（可用的是1-4094）封装中占12bit
思科的1002~1005保留给非以太网
默认所有端口都属于VLAN1
VLAN配置在showrun看不见
VLAN数据库不存在在running-config和starup-config
VLAN数据存放在flash里面，flash：vlan.dat
配置与查看：
模拟器中：
Vlandatabase
Vlanx
Exi
Showvlan-switchbrief
真机中：
Conft
Vlanx
Showvlanbrief
链路：
Trunk链路：交换机互连，或者连接路由器，传递多个VLAN信息
Access链路：接PC或服务器
配置：
switchportmodetrunk
或switchportmodeaccess
Switchportaccessvlanx//划分该端口给vlanx
单臂路由：实现VLAN间通信
1、intfx/x.x//进入子接口
2、encapsulattiondot1qvlan-id//将vlanx绑定该子接口
3、配置子接口IP
多层交换：2层交换+路由引擎
交换虚拟接口：switchvirtualinterfaceSVI
三层交换：routedport路由模式（noswitchport）
L3端口思科私有，可在交换机物理接口上配置IP
switchport交换模式
L2端口
链路捆绑（ECEthernetchannel以太网通道）：多个端口聚合成多个端口（配置时先把端口shutdown）
作用：提高带宽同时提供备份
实现协议：
PAGP端口聚合协议，思科私有
LAGP链路聚合协议，公有
EC有两种：2层EC和3层EC
2层配置：
Intrangfx/x–x//进入x/x–x等接口配置
Shutdown//将端口手动down
switchporttrunkencapsulationdotlq//将trunk链路协议改为802.1q
channel-groupxmodeon//将端口绑定入ECx模式on
noshutdown
3层配置：
Intrangfx/x–x//进入x/x–x等接口配置
Shutdown//将端口手动down
Noswitchport//开启端口路由功能
channel-groupxmodeon//将端口绑定入ECx模式on
intport-channelx//进入绑定端口x
ipaddressx.x.x.xx.x.x.x//绑定端口配置IP
noshutdown
exit
Intrangfx/x–x//进入x/x–x等接口配置
Noshutdown
五、生成树（spanning-tree）作用：环路避免功能，提供备份链路
最终目标：找到一个不能转发数据的端口Block端口，其他端口都是属于转发Forward端口
1、根交换机rootbridgeRB根桥
根桥选举原则：先比较桥优先级最小的，在比较mac地址最小的
默认优先级32768，最小是0，4096的倍数
bridge-id桥ID=桥优先级+桥MAC
2、干：非根桥选举接收根桥信息的端口，根端口rootportRP
根端口选举原则：cost值，自动计算和手动指定两种
手动指定对端端口cost值
3、找到block比较发送者的bridge-id
BPDU包=桥协议数据单元，每两秒发一次
切换状态和时间
阻塞block20s
监听listening15s
学习learning15s
转发forward
生成树协议：
标准生成树：802.1D只有一颗生成树，没有流量负载分担效果
快速生成树：802.1W只有一颗生成树，没有流量负载分担效果
多实例生成树：802.1S将多个VLAN映射到同一个实例IST
每VLAN生成树：PVST+思科私有
快速每VLAN生成树：RPVST+思科私有
GNS3只支持PVST+，Cisco默认开启STP
六、ACL/NAT
ACL：访问控制列表
数据包结构（五元组）：源IP目的IP源端口目的端口DATA数据
访问控制即读取数据包结构的前四个要素，进行控制
控制包括允许和拒绝两种
源端口比较少用
接口下进行，有方向性，进in出out
1-99标准访问控制只能控制源IP
100-199扩展访问控制控制五元组
配置和调用：
1-99：access-listpermit/denyx.x.x.x（反掩码x.x.x.x）
100-199：accesspermit/denyip/tcp/udp/icmp/ospf/eigrp源IP反掩码目的IP反掩码eq端口号
默认会添加access-listxdenyipanyany
调用：ipaccess-groupxin/out
举例：
R1路由器只允许被pc机10.1.1.1telnet
linevty04
access-class2in
exit
access-list2permit10.1.1.1
end
只允许访问TCP23号端口，其他都拒绝
access-list100permittcpanyanyeq23
禁ping操作：
ipaccess-group100in
access-list100denyicmpanyany
access-list100permitipanyany
命名ACL：
ipaccess-liststand/extendedname
numpermit/deny内容
numpermit/deny内容
exit
intf0/0
ipaccess-groupnamein/out
exit
NAT：把私网地址转换成公网地址，带动内网上网
网络地址转换：只有路由器和防火墙可以实现，多层交换机不行
设备划分区域：insideoutside
NAT是把inside的私网IP转换inside的公网IP访问外网
配置：
1、指定inside和outside端
2、NAT主命令配置
内网端口：ipnatinside（单臂路由，inside端要写在子接口上）
外网端口：ipnatoutside
端口复用NAT-PAT：
ipnatinsidesourcelist1interfacef1/0overload
access-list1permitany
overload：端口复用，实现多台PC一起上网
地址池NAT，动态NAT：
ipnatinsidesourcelist1poolccnaoverload
ipnatpoolccnax.x.x.xx.x.x.xprefix-length掩码位数
access-list1permitany
静态NAT应用场合：内网服务需要被外网访问到
1、静态IPNAT
ipnatinsidesourcestatic内网IP公网IP
2、静态端口映射NAT
ipnatinsidesourcestatictcp/udp内网ip内网端口公网IP外网端口
七、广域网WAN：
三种封装：HDLC、PPP、FR
PPP=LCP+NCP
LCP链路控制协议验证明文验证pap+密文验证chap
NCP网络控制协议获取IP
客户端:
ppppapsent-username123456password123456
服务器端：
ints0/0
pppauthenticationpap
exit
username123456password123456
查看PPP认证过程debugpppauthentication
PAP只需要认证一次
八、冗余网关：
HSRP：热备份路由协议思科私有
GLBP网关负载均衡协议思科私有同一个网段中实现负载均衡
VRRP：拟路由器路由协议公有
切换时间默认10s，hello时间3s
出口跟踪功能，出口故障后，惩罚优先级
稳定性原则，抢占功能，实时比较，变化后直接抢占
活动网关选举原则：
（1）选举优先级高的。默认100，范围1-155
（2）选举物理接口IP地址比较大的。
配置：
HSRP配置：
intvlan10
ipaddx.x.x.xx.x.x.x
standy10ipx.x.x.x//虚拟网关的ip地址
standby10priorityxx//设置优先级，不要设置太大，一般设置110或120
standby10preemt//开启实时抢占功能
standby10tracefx/xxx//惩罚优先级，当fx/x端口断掉之后，将此优先级降下xx
VRRP配置：
intvlan10
ipaddx.x.x.xx.x.x.x
vrrp10ipx.x.x.x//虚拟网关的ip地址
vrrp10priorityxx//配置优先级
exit
GLBP配置：
intvlanxx
ipaddx.x.x.xx.x.x.x
glbpxxipx.x.x.x//虚拟虚拟网关
glbpxxpriorityxx//配置优先级

下载本文