感冒病例单子图片在线制作_网站访问量查询工具_百度网站安全检测_百度做网站需要多少钱

1.计算机规模

增大传输距离

#同轴电缆
优点：耐用性好，抗电磁干扰强
缺点：传输效率低，155Mb/s，造价成本高#双绞线
线序：
T568A：白绿、绿  白橙、蓝  白蓝、橙  白棕、棕
T568A：白橙、橙  白绿、蓝  白蓝、绿  白棕、棕
水晶头型号：RJ45   RJ11（电话线的头）双绞线的分类：
屏蔽双绞线、
非屏蔽双绞线----优点：造价低    缺点：传输距离只有100米#光纤
结构：纤芯是玻璃纤维
单模光纤5KM   多模光纤2KM
优点:传输距离远，传输速率高（40Gb/s），被广泛应用
缺点：造价高，要和配套光膜块使用，易弯折#无线传输介质：蓝牙，红外线

增加接入的设备

#总线型：
优点：通讯线路利用率特别高，组网结构简单
缺点：安全性低；  同一时刻只能两个节点相互通信；  通讯线路故障，会造成网络的瘫痪#星型
优点：组网结构简单；  中心节点有监控功能，可以监控整个网络
缺点：通讯需要通过中心节点转发，降低安全性；   不容易扩充节点数量；   中心故障，会造成网络的瘫痪#环形（首尾相连）
优点：组网简单
缺点：网络的节点故障越多，问题就越严重；   不容易增加节点#树形结构（层次化的星型结构）
优点：容易扩充节点数量
缺点：最高层的节点故障，造成的问题越严重；    可靠性差#网状结构（所有节点两两互联）
优点：可靠性好
缺点：不容易增加新节点

2.网络设备

2.1集线器

#集线器内部相当于一根线###集线器的所有连接就是一个冲突域#特点
集线器内部为总线型结构，是一种共享型介质
任意时间只有两台设备能通信，占用通信线路
工作在物理层，没有寻址能力，所有数据广播转发#MAC地址格式：由48位二进制组成#冲突问题：同一时间都想要发送数据
冲突域：形成冲突的范围
解决方法：CSMA/CD 带载波侦听的 多路访问 冲突检测（如下）
当侦听不到载波时说明线路空闲；当两台主机同时发数据导致冲突时所有主机停止发送，等待随机退避时间；退避期满的主机首先开始发送

2.2网桥

将冲突域隔开，既每个网桥接口为一个冲突域
#网桥内部有站表，记录站地址（主机地址）和接口的联系

2.3交换机

#工作在2层
#多接口网桥，每个接口都能隔离冲突域，MAC地址表自主学习#MAC地址表形成过程：
1.初始状态，交换机的MAC地址表是空的
2.主机1向主机2发送数据帧，同时交换机学习源MAC地址，因地址表为空，所以广播
3.交换机其他主机会收到数据但丢弃，主机2向主机1回复。将数据桢转发交换机
4.交换机查到对应地址表，进行单播转发，同时学习主机2的源MAC地址#MAC地址表的特点：
MAC地址表的老化时间是300S   #<---
一个MAC地址只能对应一个接口，一个接口可以对应多个MAC地址
MAC地址的洪泛攻击----造成最严重的后果是使交换机卡死#交换机的分类
二层交换机：转发数据
三层交换机：转发数据，承担一些路由的功能#转发数据的形式
单播
组播
广播

2.4路由器

#特点：提供路由，转发数据，隔离广播域，工作在三层IP地址是逻辑地址，不唯一，表示不同的广播域#ARP协议：地址解析协议，根据已知的IP地址解析出相应的MAC地址
#ARP的工作原理：
1.组网完成时，ARP表是空的
2.主机1寻找主机2的MAC地址会先广播，发送包ARP REQUEST,所有主机进行对比IP地址主机A   主机B
发送端：源MAC：主机A    目标MAC：全F    源IP：主机A   目标IP：主机B3.若数据IP和自己IP一致，则回复主机1，此时包为ARP REPLY，告知自己的MAC地址，同时主机2学习主机1的IP和Mac，写入ARP表中
#总结：广播请求，单播回复ARP表特点：老化时间：180秒#ARP表分类
正向ARP：根据已知IP解析MAC
反向ARP：根据已知MAC解析IP
免费ARP：自我介绍，地址冲突#路由器的工作原理
主机A   主机B
发送端：源MAC：主机A    目标MAC：网关    源IP：主机A   目标IP：主机B
接收端：源MAC：网关     目标MAC：主机B   源IP：主机A   目标IP：主机B
###转发数据前会先发送ARP请求，然后再转发IP数据###

IP地址

IP地址分类：
A类：0-126，可用IP地址为2^24-2
B类：128-191，可用IP地址为2^16-2
C类：192-223，可用IP地址为2^8-2
D类：224-239，用于组播地址
E类：240-255，保留地址#特殊地址
127.0.0.0-127.255.255.255.254---环回地址
全为0的地址：0.0.0.0-----没有IP地址，也可以代表任意地址
全为1的地址：广播地址
主机位全为0的地址：代表一个网段
主机位全为1的地址：代表网段的广播地址
169.254.0.0/16 运营商的自动私有地址

################################# 详细笔记扫描如下二维码 #######################################

#############################################################################################

3.参考模型

3.1 OSI参考模型

OSI参考模型---开放系统互连参考模型---OSI/RM

应用层 抽象语言–>编码

表示层 编码–>二进制

会话层 应用的内部地址（无标准）----建立、维护、拆除通信双方的回话号（session id）

传输层 分段+端口号 TCP/UDP协议

网络层 路由器 逻辑寻址（IP地址寻址）

数据链路层 逻辑链路控制层LLC（校验）+介质访问控制层MAC

​ 功能：MAC寻址，封装成帧，差错检测，流量控制

#########LLC子层：逻辑链路控制子层，为数据的传输提供一个可靠性的保证，减少数据帧出现丢失、重复、失序

#########MAC子层：媒体接入控制子层，负责识别网络层的协议

物理层 硬件，传输电信号、比特流

OSI分层的好处：
各层协作，完整的传输数据
各层功能独立，能快速定位故障问题

3.2 TCP/IP参考模型

TCP/IP参考模型-----传输控制协议/互联网协议

#TCP协议的特点：面向连接、可靠协议；有流量控制机制；保证数据的完整性；进行数据分段；

模型类型及区别：

通讯过程（封装与解封装）：

^^^^^^^^^^{数据链路层不仅有头部还要加尾部}^^^^^^^^^^^^

##PDU：协议数据单元：各层的单位：

（1） TCP/IP协议簇及抓包分析

TCP协议-----传输控制协议

##头部：固定的头部长度20字节，范围：20-60字节

source port:源端口
destination port：目标端口
sequence number（seq）：序列号，标识本机发送的数据报文的编号
acknowledgment number（ack）：确认号
data offset：数据偏移，标识数据‘分段’在完整数据中的位置  #####(分段)
window（win）：窗口，通告本机的接受能力
checksum：校验和
urgent pointer：紧急指针
options：可选项
padding：填充

（2）TCP的三次握手

#SYN：标志连接的建立
#ACK：标志着对 对方消息的确认
1.客户端先向服务端发送一条端口数据包，syn=1标识请求建立连接，seq=x是发送的序列号
2.服务端向客户端回复一条端口数据包，ACK=1是确认标识位，seq=y服务端发送的序列号，ack=x+1表示确认接受到了上一条包的数据
3.客户端再向服务端发送端口数据包，表示收到上一条信息
4.建立连接###如若发生丢包未接收到回复，则继续发送上一条的数据包

（3）TCP的四次挥手

#FIN :标志着断开链接1.客户端发送断开连接请求数据，FIN=1是断开连接标识位，seq=u包的序列号
2.服务器端回复客户端数据包，seq=v服务端发送包的序列号，ack=u+1确认收到上条数据包的信息
3.服务端向客户端发送断开连接数据，FIN=1是断开连接标识位，seq=w服务端发送包的序列号，ack=u+1确认收到上条数据包的信息
4，客户端回复服务器端数据包，seq=u+1 == 上条数据的ack  表示客户端发送包的序列号，ack=w+1 == 上条数据的seq值+1  表示确认收到上条数据包

（4）TCP确认重传机制

• Ack=上一次的seq+上一次的len
• seq=上一次的Ack

#滑动窗口机制：
通过窗口大小，通告本机的接收能力，从而实现流量控制
#完整性校验机制：
通过checksum字段，实现对数据完整性的校验

3.3 UDP协议

头部：

length：在传输层整体数据的长度（UDP头部+从应用层传输的数据长度）

UDP特点：
无连接、不可靠协议，传输数据时，尽最大努力交付
没有流量控制机制；使用场景
对传输效率要求高，准确性要求低的场景（聊天、直播）

3.4 IP协议

网络层事实上的，标准的、唯一的协议

IP头部格式：

version：版本（IPV4 IPV6）
##IHL：IP的头部长度，IP头部的固定长度20字节
type of service：服务类型，标识业务的优先级
##total length：总长度=IP头部长度+从传输层传下的数据长度
identification：标识，区分网络上不同的IP数据
flages:标志位，是否分片
DF：DF=1,表示不分片
MF：MF=1,表示分片
##fragment offset：片偏移，表示该IP包在该片分组中的位置
time to live:生存时间，经过路由器的数量，#每经过一个路由器TTL值减1
protocol：协议，表示从上层板传下来的数据所使用的协议
header checksum：头部校验和
source address：源地址（源IP地址）
destination address：目的IP地址

• tcp分段和IP分片

TCP分段：MSS ---最大数据分段长度，1480字节
IP分片：MTU-----最大传输单元，1460字节
-----------------------------------------------------
IP分片的原因：受到二层 数据链路层种 MTU（最大传输单元）的影响。MSS值:基于双方的MTU提前进行商议，得出一个双方都能接收的值。

3.5 以太网二型帧协议

头部：

FCS：MAC帧的尾部，帧校验序列
帧开始定界符：标识数据帧的开始

802.3桢

IEEE802.3数据链路层分类：

• LLC层：负责分片和提供帧类型号(802.2协议实现的)，多路复用、流量控制、差错检测

• MAC层：负责正常的MAC地址和前导码的作用

同步字段（Preamble）：同步发送端和接收端的时钟频率
帧开始定界符（SOF）：表示帧数据的开始位置
目标MAC地址字段（Destination Address）：目标主机的MAC地址
源MAC地址字段（Source Address）：发送数据的主机的MAC地址
帧长度（Length/Type）：从本字段以后的本数据帧的字节数
数据字段（Data）：数据区最小46个字节，最大1500个字节。如果不够这个字节数的数据，则需要填充。
帧校验字段（FCS）：保证数据帧帧在传输过程中的安全性

4.静态路由

4.1基本信息

#Proto（Protocol）: 协议，路由的协议类型Direct: 直连路由协议静态路由协议: static动态路由协议:RIP.路由信息协议OSPF:开放式的最短路径优先协议
#Pre（Preference）:优先级，协议的优先级，取值范围: 0-255，值越小，优先级越大Direct: 0static: 60RIP: 100ospf:内部优先级:10外部优先级:150
Cost:路由开销，当到达同一目的地的路由优先级相同时，用COST值去衡量哪条路径最优，常见的cost值:跳数、带宽、时延
Flags:标志位
NextHop :下一跳，表示对于本路由器而言，到达该路由指向的目的网络的下一个地址，指明了数据转发的下一个设备
Interface: 表示此路由的出接口，指明数据将从本路由器的哪个接口转发出去

4.2非直连路由转发过程（属于静态路由）

• 最长掩码匹配原则

  

  ###（路由条目的掩码长，不一定和目标的就相同）

• 缺省匹配

• 无法匹配，则丢弃

4.2静态路由的分类

定义：手工配置，适用于小规模网络

1.缺省路由:
一般配置在网络的出口设备，目的使网中的所有流量通过这个出口设备转发至外网
一条不限定目标的路由条目，路由器查表时，在查询完本地所有的直连、静态、动态路由后，若依然没有可达路径才使用该条目;2. 等价路由: 
去往同一目的的路由，来源相同，开销相同。优先级相同，下一跳不同3. 浮动路由（做备份）
去往同一目的地的路由，来源相同，开销相同，优先级不同，下一跳不同
去往同一目的地的路由，来源相同，开销不相同，优先级相同，下一跳不同4. 环回口（逻辑接口）
模拟一个至多个pc5. 路由汇总
一组具有相同前缀的路由汇聚成一条路由，从而达到减小路由表规模以及优化设备资源利用率的目的6. 路由黑洞
路由汇总不精确导致7、空接口防环路由–--缺省路由与路由黑洞**相遇**，必然出现环路；
可以在黑洞路由器上，编辑到达汇总网段的空接口路由来避免环路

################################# 详细笔记扫描如下二维码 #######################################

#############################################################################################

5.动态路由

• 动态路由协议的优点：实时基于拓扑的变化而进行路由表的收敛

• 动态路由协议的缺点：

  1. 额外的占用硬件资源

2. 安全风险
3. 选路错误的风险

动态路由的分类

基于AS进行分类

• IGP内部网关协议
• EGP外部网关协议

AS：自制系统

# 标准编号
公有编号：1-64521
私有编号：64521-65535AS之内运行的IGP路由协议：RIP  OSPF   ISIS  EIGRP
AS之外运行的EGP路由协议：BGP

IGE协议的分类

• 基于更新时携带的子网掩码

  • 有类别-----无掩码
  • 无类别-----子网掩码

• 基于工作特点进行分类

  • DV距离矢量：RIP、EIGRP（思科专有）--------邻居间共享路由表
    • 算法：贝尔曼福特算法
  • LS链路状态： OSPF、 ISIS --------邻居间共享拓扑信息
    • 算法：SPF算法

RIP

RIP路由动态协议------标准的距离矢量协议

#特点：
基于UDP 520 端口分作使用跳数作为开销值（COST）周期更新和触发更新有V1和V2两个版本

V1和V2版本的区别 ：

• V1为 有类别路由协议-----不携带子网掩码；不支持子网划分/汇总

  V2 为 无类别路由协议-----协携带网掩码；支持子网划分/汇总

• V1是广播更新 255.255.255.255

  V2是组播更新 224.0.0.9

• V2支持手工认证（通讯会被加密，增加安全性）

# 需在对应接口进行配置加密
[R1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher admin123

周期更新的意义

1. 保活 （每30s发一次，一共发送6次）

2. 没有确认机制

3. 周期更新+共享路由表的机制+异步更新 极其容易出环

RIP的破环机制：

1.水平分割----从此口入不从此口出（在直线型拓扑中避免环路，其主要作用是控制重复的大量更新）2.最大跳数为15跳 
3.触发更新：毒性逆转水平分割     
4.抑制计时器：

RIP的宣告

只能进行主类宣告 基于宣告的主类网段 找到属于该网段的接口

1.激活借口--收发rip信息  2.该接口的信息可以共享给邻居  

OSPF

开放式最短路径优选协议

OSPF路由动态协议------无类别链路状态IGP动态路由协议

基本信息

Ospf路由器优先级：域内路由条目优先级10，域外150

• 每==30min==进行一次周期更新
• 需要结构化的部署—区域划分 地址规划

ospf协议的特点

​ 1、没有跳数限制

​ 2、使用组播更新变化的路由和网络信息

​ 224.0.0.6：DR和BDR的组播接收地址，

​ 224.0.0.5：指网络中所有运行OSPF协议的路由器

​ 3、路由收敛速度快

​ 4、以cost作为度量值

​ 5、有效避免环路问题

​ 6、在互联网上被大量使用，是应用最广泛的路由协议

路由器角色

​ AS：自治系统，同一个自治系统内的路由器的AS编号是一样的

​ IR：内部路由器，所有接口都在一个区域内

​ BR：边界路由器，连接多个区域

​ ABR:区域边界路由器

​ ASBR：自治系统边界路由器，连接其他的大的区域

区域划分规则

• 星型结构

  骨干区域为0 ，大于0位非骨干区域，所有区域必须接到骨干区域上

• ABR-----域间路由器

  两个区域互联时，必须要存在ABR—同时工作在两个区域的路由器

Ruter-ID

• Router-ID------用于在一个OSPF域中 唯一的标识一台路由器

  • Router-ID 可以通过手工配置的方式生成

  • 使用系统自动配置（自动选举）的方式

    • 环回接口：IP地址最大的
    • 物理接口：IP地址最大的

COST值

COST=开销值=参考带宽/接口带宽；

默认参考带宽为100M，整段路径的COST值最小为最佳。

若接口带宽大于参考带宽，度量值为1，将可能导致选路不佳，故在接口带宽大于参考带宽的网络中，可以进行人为修改参考带宽。

DR/BDR选举

DR/BDR选举原因：广播网络中交换路由信息能高效有序进行

选举规则：

一：自动选举DR和BDR
网段上Router ID最大的路由器将被选举为DR,第二大的将被选为BDR.
二：手动选举DR和BDR
1：优先级范围为0~255，数值越大，优先级越高，默认为1
2：如果优先级相同，则需要比较Router ID
3：如果路由器的优先级被设置为0，他将不参与DR和BDR的选举

---

关系状态：

​ DRother与DR建立邻接关系

​ DRother与BDR建立邻接关系

​ DR与BDR建立邻接关系

​ DRother与DRother建立邻居关系

注：DR没有抢占性，当DR出现故障的时候，BDR会成为新的DR，当BDR挂掉的时候，重新选举DR和BDR

宣告

宣告：1激活 2.传递路由或拓扑 3.区域划分

在ospf的宣告中，必须使用反掩码

拓展配置

​ 精确宣告：

​ [R1-ospf-1-area-0.0.0.0]network 192.168.1.1 0.0.0.0（0.0.0.7）

​ IP地址 反掩码

​ 网段（范围）宣告：

​ [R1-ospf-1-area-0.0.0.0]network 192.168.1.32 0.0.0.31

​ 网段 反掩码

宣告网段不能使用0.0.0.0反掩码

---

ospf的数据包类型

1. hello包------10秒一发
   • 用于邻居间的发现，关系建立和周期保活
2. LSDD包
   • 链路状态数据库表述包 用于携带本地的数据库目录
3. LSR包
   • 链路状态请求包 ，在查看完对端邻居的DD包后，基于本地位置的LSA（链路状态通告，就是具体的路由或者拓扑信息）进行信息查询 ，随后去索要未知的LSA。
4. LSU包
   • 链路状态更新包 ， 用于携带各种LSA信息
5. LSACK包
   • 链路状态确认包 ，用于确认收到对方的信息

ospf的状态机

1. Down状态： 表示未被激活的状态，一旦从本地发出hello包则进入下一个状态机
2. Init状态： 表示处于 初始化的状态
3. Tow-Way状态： 双向通信建立，建立了邻居关系

###匹配条件：在点到点的网络类型中将会直接进入下一个状态机；在MA网络中，将进行DR/BDR的选举；所有非DR/BDR的设备不能进入下一个状态机

1. Exstart 状态：预启动 使用不携带数据库目录信息的DD包进行主从选举，RID数值大为主，优先进入下一个状态机
2. Exchange 状态 ：准交换 携带具体数据库目录信息的DD包进行目录交换 ，需要ACK确认

1. Loanding 状态：加载 在查看完对端邻居的DD包后使用，使用LSR来询问本地位置的LSA信息，对端使用LSU进行回包，本地还需要使用ACK包进行确认
2. FULL状态 ：转发 邻接关系正式建立的标志

ospf的工作过程

邻居：刚认识的状态

邻接：邻居关系的升华，对彼此完全了 解

建立邻居

• （1）确认可达性，建立邻居

Router ID：标识路由器的身份

格式：点分十进制格式

手工配置：ospf 1 router-id 1.1.1.1

自动选举：

​ 环回接口：IP地址最大的

​ 物理接口：IP地址最大的

建立邻接关系

1. A向邻居路由器B发送DBD报文，通告本地LSDB（链路状态数据库表）中所有的LSA（链路状态通告）的摘要信息
2. B收到DBD报文后，与本地的LSDB做对比，向A发送LSR（链路状态请求）报文，请求对方发送自己需要的LSA的完整信息
3. A收到LSR后，把对方所需要的LSA的完整信息打包成一条LSU报文，发至B
4. B收到LSU（链路状态更新报文）后，向它的对方A回复LSAck报文，进行确认。

完整信息同步

完全邻接关系建立，LSDB表和 OSPF路由表形成

结构突变：

1. 新增一个网段 直连新设备而新增的网段 ，直接使用更新包告知邻接关系 需要ack确认
2. 断开一个网段 直接使用更新包 告知邻接关系 需要ack确认

VLAN

VALN技术：交换技术，虚拟局域网技术

VLAN作用及特点

• 限制广播域：广播被限制在一个VLAN内，节省了带宽，提高了网络处理能力
• 增强安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。（不同vlan的用户要经过三层设备通信）
• 提高了网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。
• 灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

VLAN的基本概念

vlan标签：

​ 是交换机能够分辨不同的VLAN报文，与要在报文中添加表示VLAN信息的字段

​ IEEE 802.1Q协议规定，在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN标签（又称VLAN Tag，简称==Tag==），用以标识VLAN信息。

设备利用VLAN标签中的VID来识别数据帧所属的VLAN，广播帧只在同一VLAN内转发，这就将广播域限制在一个VLAN内

常用设备收发数据帧的VLAN标签情况：
在一个VLAN交换网络中，以太网帧主要有以下两种格式：

• 有标记帧（Tagged帧）：加入了4字节VLAN标签的帧。
• 无标记帧（Untagged帧）：原始的、未加入4字节VLAN标签的帧。

常用设备中：

• 用户主机、服务器、Hub只能收发Untagged帧。
• 交换机、路由器和AC既能收发Tagged帧，也能收发Untagged帧。
• 语音终端、AP等设备可以同时收发一个Tagged帧和一个Untagged帧。

为了提高处理效率，设备内部处理的数据帧一律都是Tagged帧。

链路类型

根据链路中需要承载的VLAN数目的不同，以太网链路分为：

• 接入链路
  接入链路只可以承载1个VLAN的数据帧，用于连接设备和用户终端（如用户主机、服务器等）。通常情况下，用户终端并不需要知道自己属于哪个VLAN，也不能识别带有Tag的帧，所以在接入链路上传输的帧都是Untagged帧。
• 干道链路
  干道链路可以承载多个不同VLAN的数据帧，用于设备间互连。为了保证其它网络设备能够正确识别数据帧中的VLAN信息，在干道链路上传输的数据帧必须都打上Tag。

接口类型

根据接口连接对象以及对收发数据帧处理的不同，以太网接口分为：

• Access接口
  Access接口一般用于和不能识别Tag的用户终端（如用户主机、服务器等）相连，或者不需要区分不同VLAN成员时使用。它只能收发Untagged帧，且只能为Untagged帧添加唯一VLAN的Tag标签。

• Trunk接口
  Trunk接口一般用于交换机的级联、路由器、防火墙等设备的子接口。它可以允许多个VLAN的帧带Tag通过，但只允许一个VLAN的帧从该类接口上发出时不带Tag（即剥除Tag）。

• hybrid接口：

  混合模式，华为交换机接口默认的模式，即可连接PC、连接交换机、路由器的接口，可以 放通多个vlan，可以手动配置哪个vlan带标签，哪个vlan不带tag

VLAN实现过程

同一交换机VLAN内的通信

数据从主机发出后，交换机会收到此数据帧，会给此数据帧打上一个vlan tag（tag中的vlan ID就是交 换机收到数据帧接口的vlan ID），此时数据帧变成了一个802.1q格式的帧。 交换机检查目标MAC地址的主机接口所属的vlan ID，如果此vlan ID与802.1q帧格式中的vlan ID一致， 则转发该数据帧，否则丢弃。

跨交换机的同一vlan的通信

数据帧从主机出来后会进入到交换机，交换机收到后会给此数据帧打上一个vlan tag（tag中的vlan ID 就是交换机收到数据帧接口的vlan ID），此时数据帧变成了一个802.1q格式的帧。 在发送端802.1Q格式的数据帧离开交换机时，带标签发送。 接收端的交换机收到后，交换机检查目标MAC地址的主机接口所属的vlan ID，如果此vlan ID与802.1q 帧格式中的vlan ID一致，则转发该数据帧，否则丢弃。

标签的添加/剥离

接受数据帧时：

• 当接受不带VLAN标签的数据帧是，Access接口、Trunk接口、Hybrid接口都会给数据帧打上VLAN标签

• 当接收到带VLAN标签的数据帧时，Access接口、Trunk接口、Hybrid接口都会根据数据帧的VID是否为其允许通过的VLAN（Access接口允许通过的VLAN就是缺省VLAN）来判断是否接收。

发送数据帧时：

• Access接口直接剥离数据帧中的VLAN标签。
• Trunk接口只有在数据帧中的VID与接口的PVID相等时才会剥离数据帧中的VLAN标签。
• Hybrid接口会根据接口上的配置判断是否剥离数据帧中的VLAN标签。

ACL访问控制列表

• 访问控制作用在出入接口上，匹配流量，之后产生动作---------只有允许和拒绝
• 定义感兴趣流量-------帮助其他的策略抓流量（与其他协议配合使用—nat…等）

匹配规则：至上而下，逐一匹配，上条匹配按上条执行，不在查看下条。

若所有条件均与特征无关。 在思科的体系中，末尾隐含拒绝所有；在华为的体系中，末尾隐含允许所有

分类

标准：仅关注数据包中的源IP地址

​ 由于标准ACL仅关注数据包中的源IP地址；故调用时要尽量靠近目标；避免对其他地址的访问造成误杀

• 标准ACL编号
  • INTEGER<2000-2999> 标准ACL 编号

注：

​ 一个编号 就是一张表，一张表可以容纳大量规则

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0规定拒绝源IP为192.168.1.2[R2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
允许放通192.168.2.0这个网段

• 匹配地址时，需要使用通配符

​ ACL的通配符与OSPF反掩码匹配规则相同；唯一区别在于通配符可以进行0 1穿插。

扩展：关注数据包中的源 目标 IP地址 协议号 或目标端口号

​ 由于扩展ACL对流量进行了精确匹配，故可以避免误杀的情况， 因此，调用时，尽量靠近源，减少占用数据流量，

• 扩展ACL编号
  • INTEGER<3000-3999> 扩展ACL编号

1. 仅关注源/目标地址

   [R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0  
   规定 拒绝源IP 192.168.1.2 目标192.168.3.2  
   

2. 在关注源/目标IP地址的同时，再关注目标端口号

   [R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23
   拒绝 192.168.1.10 向 192.168.1.1 的TCP协议中的端口号为23的行为
   

表制作完成后需到接口下调用，一个接口只能调用一张表

NAT网络地址转换

概述

1. 解决IP地址不够用的问题

2. 做公网地址和私网地址转换 ，实现内网到外网的访问

3. 保护内网安全，增强企业内网的安全性。因为外网无法直接访问内部设备的私有IP地址

   私网：由私网地址组成的网络，私有IP地址

   私网地址：能重复使用的地址

   • A类：10.0.0.0-10.255.255.255 掩码：8位

   • B类：172.16.0.0-172.31.255.255 掩码：16位

   • C类：192.168.0.0-192.168.255.255 掩码：24位

工作原理

路由器对数据包进行地址转换，路由器在接收到内部数据包时将内部源IP地址转化为公有IP地址后在进行路由转发。

分类

静态NAT

• NAT表条目是通过手动配置的方式添加进去的
• 私有IP地址和公有IP地址是 1对1 的关系，不节省公网IP地址

动态NAT

• NAT表中的条目是 路由器出炉数据包 时自动形成的
• 基于NAT地址池 实现私有地址和公有地址之间的转换，比静态NAT更加节省公网IP

# 创建ACL，匹配内网需要上网的私有主机地址
[AR1]acl 2000
[AR1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255
[AR1-acl-basic-2000]quit# 创建NAT地址池，专门用于地址转换的公网地址，
[R1]nat address-group 1 100.1.1.50  100.1.1.60# 在边界设备的公网端口，配置动态NAT命名
# 通过NAT命令，将匹配私有地址的ACL和用于地址转换的公网地址结合起来
在g0/0/1端口发送数据流量时
对源头地址属于192.168.10.0/24的数据包（ACL 2000）进行地址转换（NAT）转换成地址池1中的公网IP地址
[AR1]interface gi0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound  2000  address-group  1 no-pat
此时PC1/PC2都能与外网互通

静态和动态

NAPT

基于端口的动态NAT技术，将私有IP地址和端口号与公网IP地址和端口号做一个映射，解决IP不够用问 题

• 内网访问外网时，不会受到IP地址数量少的限制，不会出现网络时有时无

• 在转换IP地址的同时，还转换“端口号”

• 私有地址:公有地址 = 多:1

• 优点：非常节省公网IP地址

EasyIP-最简单的PAT

如果企业规模很小，经费有限。大概率上企业可能仅仅购买1个公网IP地址。在这种情况下，我们想要实现内网多个主机同时上网的话，就只能用“配置在公网接口”上的这个IP地址进行 NAT 转换。

• 将ACL 匹配的数据， 在发送出去的时候， 源IP地址转换为“*该接口的*”公网IP地址
• 购买一个公网IP地址，同时实现外网互联以及“地址转换”
• 私有地址:公有地址 = 多:1
• 优点：非常节省公网IP地址

NAT Server

如果想要实现外网到内网的访问那么必须得在公司的边界设（R1）上，提前设置“nat转换条目”并且这种条目，仅仅允许某一种特定的业务的流量。

• 企业内部有一个 web 服务器，私有IP地址 192.168.10.10/24
• 希望互联网用户，通过浏览器，访问公网地址 100.1.1.20 ，就可以获得我们公司内部的 web 服务器的网站

转换过程

• 数据包从内网到外网

  • 怎么转换：私有→公有
  • 转换对象：源IP地址
  • 再查NAT表，实现地址转换
  • 先查路由表，为了确定出端口

• 数据包从外网到内网

  • 先查NAT表，实现地址转换
  • 再查路由表，确定去往内网主机的端口
  • 转换对象：目标IP地址
  • 怎么转换：公有→私

. vrp网络设备命令⭐⭐⭐⭐⭐

基本命令

<Huawei>用户模式，只能做一些查看的操作
<Huawei>system-view    # 进入系统模式
[Huawei] 系统模式基本命令操作
[Huawei]sysname R1      #修改设备名称
[R1]interface GigabitEthernet 0/0/0   #进入接口模式，配置IP地址
[R1-GigabitEthernet0/0/0]
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 #配置IP地址
quit：                        #返回上一个模式
<R1>save                     # 保存当前配置

常见的查看操作

#常见的查看操作
<Huawei>display version   # 查看版本信息
<Huawei>display current-configuration   #查看本设备当前的配置
<Huawei>dis mac-address    #查看MAC地址表[Huawei]display ip interface brief  #查看接口摘要
[Huawei]display ip routing-table     #查看路由表
[Huawei]display ip routing-table protocol static #查看静态路由条目# ospf：
[R4]dis ospf peer brief 	#查看邻居简表
[R4]dis ospf peer  			#查看邻居详细信息
[R4]dis ospf lsdb			#链路状态数据表
[r1]dis ip routing-table protocol ospf 		#查看ospf路由表数据#Vlan
[SW1]dis port vlan active     		#查看交换机端口所属vlan

静态路由

# 添加路由条目
ip route-static 目标网段 掩码 下一跳IP# 防环路由 （子网汇总就配置此命令）
ip route-static 自己汇总网段 掩码 NULL 0# 浮动静态路由（修改优先级）
ip route-static 目标网段 掩码 preference 下一跳 61
# 跟踪路由（查看每一跳）
tracert 目标IP地址 

动态路由

RIP

# RIP v1版本
[R1]rip 1  				#创建rip进程 为1  仅具有本地意义
[R1-rip-1]version 1  	#选择版本1 
# 宣告  只能进行主类宣告，基于宣告的主类网段
[R1-rip-1]network 1.0.0.0# RIP v2版本
[R1]rip 1  					#创建rip 进程为1
[R1-rip-1]version 2 		#选择版本2
[R1-rip-1]undo summary  	# 关闭自动汇总，  若不关闭，RIPV2将会使用主类长度的掩码进行发送路由，关闭路由汇总后，将携带接口精确的掩码来发送路由。
[R1-rip-1]network 1.0.0.0	#宣告## 扩展配置
# RIP V2 的手工汇总：（进入对应接口汇总下发）
[R2-GigabitEthernet0/0/0]rip summary-address 192.168.1.192 255.255.255.192# RIP V2 的手工认证： （进入对应接口汇总下发）
[R1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher admin123# 被动接口----静默接口---一般用于客户端网关处
[R1-rip-1]silent-interface GigabitEthernet 0/0/1# 缺省路由 
[R3-rip-1]default-route originate  #从源头给网络中其他路由自动下发一条缺省路由

OSPF

# 开启OSPF协议
[R1]ospf 1 router-id 1.1.1.1  	#同时加上router-id
[R1-ospf-1]area 0				#区域
[R1-ospf-1-area-0.0.0.0]network 192.168.1.1 	0.0.0.0			#宣告所在区域的网段ip地址或者网段	 反掩码
#汇总
[R3-ospf-1-area-0.0.0.0]abr-summary 192.168.1.0 255.255.255.128   # 做区域汇总，减少ospf路由表数量
# 汇总后配置防环
[R3]ip route-static 自己汇总网段 掩码 NULL 0# 源头下发缺省
[R4-ospf-1]default-route-advertise always  		#强制给网络中运行OSPF协议的路由器下发一条默认缺省# 重置进程						
<R2>reset ospf process  #重置ospf进程，可以手动指定自己想要的RID# 接口认证
[R3-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher wdy12345# 区域认证
[R1-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher admin12345
# 注：接口认证优先级高于区域认证# DR/BDR选举（修改选举的优先级，0不参与选举）
[R2-GigabitEthernet0/0/0]ospf dr-priority 0    更改路由接口优先级

VLAN

# 关闭日志信息
<SW1>undo terminal monitor 关闭系统监视信息[SW1]dis port vlan active     		#查看交换机端口所属vlan# 将接口划分到Vlan中
[SW1-GigabitEthernet0/0/2]port link-type access 	#设置接口类型
[SW1-GigabitEthernet0/0/2]port default vlan 10		#定义此接口的vlan[SW1-GigabitEthernet0/0/5]port link-type trunk      #定义此接口的出方向为trunk链路 
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan all  #定义此接口可放通所有vlan帧型# 路由器子接口配置
[R1-GigabitEthernet0/0/0.10]ip add 192.168.10.254 24		#配置子接口ip地址
[R1-GigabitEthernet0/0/0.10]dot1q termination vid 10 		#将数据封装成802.1Q的帧
[R1-GigabitEthernet0/0/0.10]arp broadcast enable 			# 交换机虚接口（vlanif）
[SW1]int Vlanif 10 进入vlanif虚接口配置vlan的网关地址
[SW1-Vlanif10]ip add 192.168.10.254 24

ACL

[R2]acl ?
INTEGER<2000-2999>  		# 标准ACL 编号
INTEGER<3000-3999>  		# 扩展ACL编号# 标准ACL
[R2-acl-basic-2000]rule deny/permit source 192.168.1.2 0.0.0.0拒绝/允许	   源	ip/ip网段
# 进入对应接口调用
[R2-GigabitEthernet0/0/1]traffic-filter（流量过滤） outbound acl 2000# 拓展ACL配置
[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0规定 拒绝源IP 192.168.1.2 目标192.168.3.2  [R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23			      协议			    												目标端口

NAT

# NAPT
（1）R1上创建基本ACL，允许192.168.1.0/24 
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255（2）R1上创建NAPT地址池，设置公网地址。
[R1]nat address-group 1 100.1.1.3 100.1.1.254（3）进入相应接口上配置NAPT
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000  address-group 1 # EASY IP
（1）R3上创建基本ACL，允许 192.168.1.0/24 网段
[R3]acl 2000
[R3-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255（2）在R3的公网接口上配置 EASY IP
[R3]interface g0/0/0
[R3-GigabitEthernet0/0]nat outbound 2000 ####EASY IP不需要配置地址池#NAT SERVER
# 进入公网接口配置
[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 23 inside 192.168.1.2 23

DHCP命令

[R1]dhcp enable 							   #开启DHCP服务
[R1]ip pool aa                                 #创建地址池
[R1-ip-pool-aa]network 192.168.1.0 mask 24     #给地址池里分配IP地址（分的对应的网段地址）
[R1-ip-pool-aa]gateway-list 192.168.1.254      #配置网关地址（对应的网关）
[R1-ip-pool-aa]dns-list 114.114.114.114 8.8.8.8 #配置DNS服务器地址
[R1]int g0/0/0	
[R1-GigabitEthernet0/0/0]dhcp select global     #进入相应接口下，下发DHCP服务#中继器的命令
[R2]dhcp enable 
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]dhcp select relay //开启DHCP中继功能
[R2-GigabitEthernet0/0/1]dhcp relay server-ip 192.168.1.1  //指定DHCP服务器的IP地址  #DHCP服务器的接口IP

Telnet服务（远程连接）命令

[telnet server]telnet server enable    #//开启远程登录的服务
[telnet server]aaa                     #//一种安全模式
[telnet server-aaa]local-user long privilege level 15 password cipher wdy12345   #//创建用户，授权、配置用户密码
[telnet server-aaa]local-user long service-type telnet //配置用户的服务类型
[telnet server]user-interface vty 0 4   //配置用户远程登录的数量
[telnet server-ui-vty0-4]authentication-mode aaa   #//配置用户认证模式#远程登录的主机：telnet IP地址

协议端口号

#端口的详情
端口号的取值范围：0-65535，其中0和65535是系统保留的端口号
知名端口号：1-1023
动态端口号：1024-65534
DNS：域名解析协议 ，端口号53-----TCP
HTTP协议：超文本传输协议，端口号80-----TCP
HTTPS协议：安全的超文本传输协议，端口号443-----TCP
DHCP协议：动态主机配置协议 端口号：67（服务器端）、68（客户端）-----UDP
FTP协议：文件传输协议，20（数据连接）、21（控制连接）SMTP：简单邮件传输协议：发送端， 端口号：25	 -----TCP
POP3：邮局协议，POP3，接收端	  端口号：110-----TCPSSH：安全的远程登录 22-----TCP
telnet：远程登录服务 ，端口号23-----TCP