CCNA R&S筆記

第一次課

 

單工：BB機，只能收不能發。

半雙工：對講機，收的時候不能發，發的時候不能收。

全雙工：電話，手機，能同時收發。

 

衝突域：當一個節點向另一個節點發送數據時，除目的節點外，還有多少站點能接收到數據，這些站點就構成了一個衝突域。

 

廣播域：如果一個站點發送廣播數據後，能收到這個數據的範圍，就是一個廣播域。

 

單播：一對一，有明確的源和目的；

組播：一對多，或者一組，只有加入該組才能收到數據，比如QQ羣；

廣播：一對所有，通常是整個廣播域；

 

集線器：所有端口處在一個衝突域，整機屬於一個廣播域，物理層設備

交換機：每個端口獨立的衝突域，整機屬於一個廣播域，

路由器：每個端口都屬於獨立的衝突域和廣播域；

 

OSI 不是一種協議，是一個參考模型

 

從上到下分爲7層：

應用層：商品的包裝

表示層：商品的名字

會話層：商品的訂單號

傳輸層：快遞公司

網絡層：快遞單

數據鏈路層：手機號

物理層：快遞員

 

層與層之間相互獨立，又相互協作

當一次個層次出現問題，會導致數據無法正常通信

 

端口號：不同的端口號代表不同的應用層協議，並且決定了使用何種傳輸層協議進行傳輸。

 

邏輯地址：IP地址

物理地址：MAC地址

 

數據封裝：由上到下一層層封裝

解封裝：由下到上一層層解開

 

MAC地址：傳輸過程中，每經過一臺三層設備都會改變

IP地址：傳輸過程中，不會改變，除非做了策略，例如NAT

 

 

第二次課

 

物理介質：

網線、光纖

網卡接口

 

568B：橙白、橙、綠白、蘭、蘭白、綠、棕白、棕

一般網線中，只有1236傳輸數據

 

交叉線：連接同類型設備

直通線：連接不同類型設備

現在主流都是568B-568B

 

自動翻轉：

打破交叉線，直通線 連接設備類型的限制

現在的網絡設備，包括網卡都支持。

 

POE

使用網線中的 4578線，爲設備進行供電，比如AP，網絡攝像頭

免去這種網絡設備需要連接電源的煩惱

必須兩端設備都支持POE技術

 

光纖：

使用玻璃纖維作爲傳輸介質

 

單模光纖：橙黃色，使用激光爲光源，傳輸距離遠，價格貴，一次性只允許一個光信號進去。

多模光纖：橙紅色，使用LED作爲光源，傳輸距離比較近，一次性只允許多個光信號進去

光纖一般是兩個接口，一收一發。

單纖收發，使用一根光纖，同時進行收發工作，需要光模塊支持。

 

光模塊：

主要用於連接光纖，光模塊插在設備的光口上，光纖插在光模塊上

CFP：100G

QSFP：40G

SFP：1G、10G

短波：850nm

長波：1310nm

超長波：1550nm

主要是傳輸距離不同，兩端光模塊波長必須一致。

 

光電轉換器：

主要用於，一端設備有光模塊接口，而一端設備只有電口（RJ45）接口

將光纖介質轉換爲銅介質傳輸，或者銅介質轉爲光纖介質傳輸。

 

光纖終端盒：

也叫法蘭盤

主要用於光纖與尾纖的熔接

比如運營商放一條144芯的光纖，裏面都是玻璃絲，一根玻璃絲叫一芯

熔接到法蘭盤上面，然後網絡設備使用尾纖接入到法蘭盤

 

ODF架

主要用於放法蘭盤

 

 

TCP/IP協議簇

DOD模型

DOD：美國國防部

 

應用層

主機到主機層

網絡層/因特網層

網絡接入層

 

 

TCP：

面向連接：

發送數據之前，首先先找到對方建立一個連接，相當於一個邏輯通道。

 

可靠協議，效率低

每收到一次數據，要進行確認，保證對方確定收到了這個數據。

 

TCP需要三次握手

就好比打電話，需要經過撥號，振鈴，接通。才能進行講話

 

過程：

A、我要跟你建立連接

B、好的，我知道了，我也要跟你建個連接

A、我知道你收到了我的連接請求，我也收到了你的連接請求

 

 

滑動窗口：

主要爲了避免一次性發送的數據過多，導致對方緩存溢出。

滑動窗口是動態協商，也就是說，在建立連接的時候，就會進行協商

同時，在緩衝區發生變化的時候，也會進行協商。

 

TCP四次揮手：

主要爲了避免當一方斷開連接，而另一方不知道的情況下，需要耗費資源去維護本該斷開的連接

 

過程：

假設三次連接已經建立完成

 

A、我要跟你斷開連接了

B、好的，我知道你要斷開連接了

B、我也要跟你斷開連接

A、好的，那就斷開連接把

 

 

UDP：

不需要建立連接，也不需要進行確認

盡力而爲，效率相比TCP要高

比如對講機，拿起來就說，而不管對方有沒有收到，

直播視頻，使用UDP協議

點播視頻，使用TCP協議

 

TCP/UDP協議都是工作在傳輸層中

在傳輸層，有一個概念，叫做端口號

 

每一個端口號，對應一種應用層協議，比如端口號80，代表HTTP協議

而應用層協議，規定了使用何種傳輸協議來進行傳輸

 

比如，你訪問網頁，使用HTTP，端口號爲80，那它是使用TCP來進行傳輸的

比如，你進行域名解析，使用DNS，端口號爲53，那麼它就是使用UDP協議

 

三種類型：

知名端口號 0-1023，以及分給特定的協議，不能隨便使用

如果要使用，需要向互聯網編號分配機構申請（IANA）

 

註冊端口：有限的使用 1024-49511，比如8080，是作爲80的補充，已經註冊

私有端口：隨意使用 49512-65535，

 

正常情況下：源端口爲隨機生成，目的端口爲知名端口

比如你訪問網頁，源端口由你電腦隨機分配，目的端口默認情況下是80

 

 

TCP分段重組

爲何分段：

因爲數據傳輸大小受限於傳輸鏈路，或者介質的要求。

當超過限制，TCP就把大的數據拆分成一個個小段

 

TCP分段，基於MISS，動態協商

一般是1500-40字節（20字節IP頭部，20字節TCP頭部）

 

因爲數據被分段了，那麼在傳輸的過程中，由於鏈路等其他的因素

收到的數據包順序不一致，就會出現錯誤

 

所以，在分段的時候，對每個段進行編號，當對方收到的時候，按照序號進行排列，

保證數據的準確性。

 

UDP不會進行分段，UDP分段基於以太網中的MTU

並且UDP不會進行數據重組，而是按照先來後到的順序

 

傳輸層作用：

在傳輸數據之前，首先建立連接，協商參數

將數據進行分段，符合傳輸介質的限制要求

因爲數據分段，所以要進行重組

提供端口號，根據不同的端口號，將數據發送到相應的應用層協議

不同的場合，環境，應用，使用不同的傳輸層協議

 

 

網絡層：

負責將報文從源送到目的

包括TCP建立連接，也需要依靠網絡層，來將這個連接請求，傳遞到對方。

爲設備提供邏輯地址，也就是IP地址

主流是IPV4地址

IPV4地址，爲32位二進制數，長度4個字節，1字節等於8比特（位）

 

 

ICMP

主要用於檢測網絡的連通性

也是面向連接

對方收到我的請求後，需要發送回覆

 

ping 114.114.114.114

 

 

Tracert：

主要用於檢測，或者說跟蹤，源到目的站點所經過的路徑

使用IP頭部中的TTL字段

TTL字段，每經過一臺三層設備，減1

windows 10 發出的TTL爲 64

 

tracert 114.114.114.114

 

原理：

基於UDP 或者 ICMP

首先發送一個TTL爲1的UDP探測報文，源IP是本地，目的IP比如是114.114.114.114

當第一個三層設備收到後，查找去往目的站點的路由，

但此時，TTL已經爲0超時了，所以它會迴應超時報文，

這個時候，它的IP地址會顯示出來

 

依次類推，直到去到目的站點

 

ARP：

使用IP去解析該IP對應的MAC

 

比如ping 192.168.1.2

假設現在電腦沒有192.168.1.2的ARP表項，此時就完成不了二層封裝

爲什麼，因爲二層頭部是源MAC，目的MAC

 

這時候就需要發送ARP報文去詢問192.168.1.2的MAC地址

當192.168.1.2收到這個詢問，首先會記錄詢問者的IP+MAC對應關係

生成ARP表項，然後回覆自身的MAC給詢問者。

 

代理ARP

主要解決目標IP不在同一個網段的情況下，回覆本接口MAC，進行數據轉發

 

192.168.1.2------------192.168.1.1 Route 192.168.2.1-------------192.168.2.2

 

首先192.168.1.2沒有配置網關地址，也沒有配置路由，並沒有192.168.2.2的ARP表項

這個時候192.168.1.2發送ARP請求，當Route收到ARP報文後，發現目的MAC是廣播地址，繼續往拆三層。

 

發現目的IP不是自己，但是由於接口開了代理ARP，這個時候，首先它會去查路由表，

發現去往192.168.2.2這個地址，有路由條目，並且是直連。於是將1.1這個接口的MAC告訴給192.168.1.2

 

反向ARP

依靠MAC地址來獲取IP

 

允許局域網的設備從網關服務器上的ARP表項或緩存來請求IP地址

有點類似與DHCP，但與DHCP有一些差別

RARP是封裝以太網幀中，DHCP報文封裝在UDP協議中

但大體上的過程差不多，

 

 

第三次課

 

IP地址 邏輯地址

用來確定一個網絡中一個節點，或者一個設備

兩臺主機通信，必須要有IP地址

32位二進制數

爲了便於記憶，轉換成10進制數，如

192.168.1.1

並且用點號分割

也稱爲點分十進制數

 

進制轉換：

二進制轉10進制

10進制轉二進制

 

第一種：餘數定理

用168來除以2，等於爲84，那麼84顯然可以被2整除，所以餘數爲0

再除以2，等於42，也可以整除，餘數爲0

在除以2，等於21，不可以被整除，那餘數爲1，再21-1=20

那就20除以2，等於10，可以被整除，餘數爲0

再除以2，等於5，不能被整除，餘數爲1，在5-1=4

那就4除以2，等於2，可以被整除，餘數爲0

那麼最後2除以2，等於1，

注意，寫的時候要反過來寫，是10101000

 

第二種就是冥跟位的對應關係：

 

首先，你要明白2的次方是多少，這很重要

其實，就是二進制中的位，加上他所對應的冪

從左往右，分別是 128 64 32 16 8 4 2 1 ，這都是固定不變的

比如剛剛的168

而進制數是：10101000

那麼，換成 十進制數就是 128+32+8

 

IP地址總共分爲5個類別，

首先IP地址，它是由4個八位組構成，也就是每一組，由8位2進制數構成，那4組那就是32位

換算成10進制數，最小的可能性是0.0.0.0，最大的是255.255.255.255

 

A類的左起第1位必須是0，其他隨意變換，範圍是1-126

也就是說，最大跟最小的可能性，0.0.0.0-127.255.255.255

但是，0是保留的不能用，而127這段作爲我們的環回地址，也就是測試地址。

 

 

子網掩碼：

用於確定IP地址的網絡位，跟主機位

IP地址+子網掩碼，必須同時出現

默認A類：255.0.0.0

默認B類：255.255.0.0

默認C類：255.255.255.0

 

255.0.0.0 簡便表示 /8

255.255.0.0 簡便表示 /16

255.255.255.0 簡便表示 /24

 

例如：

192.168.1.0/24

表示他的掩碼是255.255.255.0

 

192.168.1.0/24

網絡部分：192.168.1

主機部分：.0

 

 

公有地址

全球地址，互聯網可路由，合法地址

 

私有地址

本地使用，例如家用路由 192.168.1.0/24

你家也用，別人家也可以用

但是這種地址，不能出現在公網，因爲公網沒有私有地址的路由

出去必須換馬甲，例如NAT技術

 

 

子網掩碼：

對應網絡部分的，必須爲1

對應主機部分的，必須爲0

1表示完全匹配，0表示任意

 

例如：

200.1.1.0

255.255.255.0

我們僅僅只看默認掩碼

因爲這是個C類地址

 

那麼網絡部分是：200.1.1.

主機部分是：0

 

255，把他換算成二進制數

255=128+64+32+16+8+4+4+2+1

實際上就是11111111

是不是網絡部分全爲1，而主機部分全爲0

 

地址類型：

 

網絡地址：主機地址爲0，即最小保留地址

主機地址：可用的主機IP地址

廣播地址：主機地址爲1，即最大保留地址

 

例如：

100.1.1.0

255.255.255.0

 

首先：這個掩碼所能確定的主機IP地址爲0-255

那麼

網絡地址就是： 100.1.1.0（0），即最小保留地址

主機地址則是：100.1.1.（1-254），可以分配給主機的可用IP地址

廣播地址則是：100.1.1.255 （255）即最大保留地址

 

劃分子網

提供靈活的編址，優化網絡

減少網絡流量。路由器增加廣播域，廣播域越多，每個廣播域就越小，而每個網段的網絡流量也越少。

優化網絡性能 。

簡化管理，找出並隔離網絡問題更容易。

將多個小網絡連接起來可提高系統的效率

 

 

VLSM

將一個大的網絡，分成小的子網

當IP地址進行子網劃分後，被分成三個部分，網絡位，子網位，主機位

 

例如

222.1.1.0

255.255.255.0

這是一個C類子網的默認掩碼

 

但經過VLSM劃分之後，可能會是這樣

222.1.1.0

255.255.255.128

 

這裏會涉及到一個借位的概念

而這個借位，實際上就是把網絡位擴大，主機位縮小

 

例如222.1.1.0/24

地址：11011110.00000001.00000001.00000000

子網掩碼：11111111.11111111.11111111.00000000

 

而222.1.1.0/27

地址：11011110.00000001.00000001 xxx00000

子網掩碼：11111111.11111111.11111111 11100000

向主機位借了三位，借的三位，叫子網位

 

與子網掩碼的對應關係

借位：0 1 2 3 4 5 6 7 8

掩碼：0 128 192 224 240 248 252 254 255

 

 

當一個網絡地址經過VLSM劃分之後，就沒有固定的類別了

也就是說不屬於ABC類，它叫做無類。

 

子網數：2^N次方，N爲借用的位數（子網位）

主機數：2*M-2，M爲主機部分剩下的位數（主機位），減去2，因爲網絡地址跟廣播地址不能用

 

222.1.1.0/24 255.255.255.0

子網位： =0

多少個子網：=2^0=1，爲什麼，因爲沒有借位

主機位:=8，因爲還剩下8位

每個子網主機：=2^8=256，爲什麼，因爲最後一個八位組全爲0

子網可用IP數：2^8=256-2，減去2，因爲網絡地址跟廣播地址不能用

 

實際上就是

網絡地址： 0

最小主機地址： 1

最大主機地址： 254

廣播地址： 255

 

222.1.1.0/27 255.255.255.224

子網位： =3

多少個子網：=2^3=8

主機位:=5

每個子網主機：=2^5=32

子網可用IP數：2^5=32-2，減去2，因爲網絡地址跟廣播地址不能用

 

實際上就是

網絡地址： 0 32 64 96 128 160 192 224

最小主機地址： 1 33

最大主機地址 ： 30 62

廣播地址： 31 63

 

其他依次類推

 

 

10.1.1.0 255.255.255.192

子網位： =18

多少個子網：=2^18=自己算

主機位:=6

每個子網主機：=2^6=64

子網可用IP數：2^6=64-2，減去2，因爲網絡地址跟廣播地址不能用

 

實際上就是

網絡地址： 10.1.1.0 10.1.1.64 ........................

最小主機地址： 10.1.1.1 10.1.1.65

最大主機地址 ： 10.1.1.62 10.1.1.126

廣播地址： 10.1.1.63 10.1.1.127

 

 

172.16.1.0 255.255.255.240

子網位： =12

多少個子網：=2^12=.........

主機位:=4

每個子網主機：=2^4=16

子網可用IP數：2^4=16-2，減去2，因爲網絡地址跟廣播地址不能用

 

實際上就是

網絡地址： 172.16.1.0 172.16.1.16 ........................

最小主機地址： 172.16.1.1 172.16.1.17

最大主機地址 ： 172.16.1.14 172.16.1.30

廣播地址： 172.16.1.15 172.16.1.31

 

 

172.16.1.0 255.255.192.0

子網位： =2

多少個子網：=2^2=4

主機位:=14

每個子網主機：=2^14=.............

子網可用IP數：自己算，減去2，因爲網絡地址跟廣播地址不能用

 

實際上就是

網絡地址： 172.16.0.0 172.16.64.0 ........................................

最小主機地址： 172.16.0.1 172.16.64.1

最大主機地址 ： 172.17.63.254 172.16.127.254

廣播地址： 172.17.63.255 172.16.127.255

 

 

簡便算法1

192.168.1.0

255.255.255.192 26位

多少個子網：=當前掩碼26-默認掩碼24=2 2^2=4

每個子網主機：=最大掩碼32-當前掩碼26=6 2^6=64

子網可用IP數：64-2

 

簡便算法2

192.168.1.0

255.255.255.224 27位

多少個子網：=當前掩碼27-默認掩碼24=3 2^3=8

每個子網主機：=256-224=32

爲什麼是256，因爲0-255是256個數

子網可用IP數：32-2

 

什麼是有效子網：

192.168.1.0

255.255.255.192 26位

子網位： =2

多少個子網：=2^2=4，（有效子網要減去2）

主機位: =6

每個子網主機：=2^6=64

子網可用IP數：2^6=64-2，減去2，因爲網絡地址跟廣播地址不能用

 

子網 , 有效的主機 , 廣播地址

192.168.1.0 , 192.168.1.1 到 192.168.1.62 , 192.168.1.63

192.168.1.64 , 192.168.1.65 到 192.168.1.126 , 192.168.1.127

192.168.1.128 , 192.168.1.129 到 192.168.1.190 , 192.168.1.191

192.168.1.192 , 192.168.1.193 到 192.168.1.254 , 192.168.1.255

 

其中192.168.1.0這個子網，實際上是192.168.1.0/24的主類網絡號

而 192.168.1.255，實際上是192.168.1.0/24的主類網絡的廣播地址

 

所以，有效子網要減去第一個子網跟最後一個子網，也稱爲全0子網和全1子網，

在一些老的設備上是不支持的，所以不能用，當然，現在的設備都不存在這個問題，都能用

只是這個概念，大家一定要搞清楚

 

CIDR彙總

VLSM是把主機位變成網絡位，把線往右邊移，將大的網絡劃分成小的子網

CIRD是把網絡位變成主機位，把線往左移，把小的子網彙總成一個大的前綴，

 

例如

192.168.16.0/24

192.168.17.0/24

192.168.18.0/24

192.168.19.0/24

這是四個子網

 

1、靜態路由配置繁瑣

2、在路由器路由表中，是4個不同的路由條目，而路由表是加載在路由器內存當中

 

如果經過彙總

則是 192.168.16.0 255.255.252.0 這是22位

用一個大的前綴，包含多條路由條目

 

快速算法

256-4=252，爲什麼是4，因爲四個子網

在前兩個8位組不變的情況下，255.255.252.0

 

 

第五次課

 

交換基礎

典型園區網結構

核心層

匯聚層

接入層

 

也可以沒有匯聚層

這種架構叫做大二層

 

交換機功能：

學習MAC地址

根據MAC地址進行轉發

打破二層環路（依靠STP協議）

 

交換機尋址：

學習源MAC地址，與接口做對應關係，存放到MAC地址表中

查看目的MAC地址，根據MAC地址表條目進行轉發

沒有查到目的MAC地址，則會泛洪

泛洪：除了收到數據幀的接口，其他的接口都發送一遍

 

VLAN：

虛擬局域網

主要就是賦予交換機隔離廣播域的能力

 

集線器：所有端口處在一個衝突域，整機屬於一個廣播域

交換機：每個端口獨立的衝突域，整機屬於一個廣播域，

路由器：每個端口都屬於獨立的衝突域和廣播域；

 

一個VLAN屬於一個廣播域，不同的VLAN屬於不同的廣播域

廣播，單播不能跨VLAN傳遞

一個VLAN一般爲一個網段，一個VLAN可以有多個成員

不同VLAN間不能互訪，需要依靠三層設備，路由器，三層交換機

VLAN是基於交換機接口

 

VLAN模式：

靜態VLAN，手動登錄設備配置交換機端口

動態VLAN，依靠VMPS服務器，動態下發，太麻煩，需要登記全網設備MAC地址到服務器

現網常用靜態VLAN

 

interface e0/1

switchport mode access

switchport access vlan 10

一個Access模式的接口，只能屬於一個vlan

 

TIPS：

在模擬環境中，同一個VLAN下，兩個設備（路由器）處在不同網段，是可以進行通信的

其目的，主要是讓大家更加深入的理解VLAN的概念與交換機的轉發機制

真實電腦會有些差異，但也能實現，沒啥意義

 

Trunk：

當一條鏈路，需要承載多VLAN信息的時

或者多個VLAN需要跨越交換機進行通信時，需要使用trunk來實現

 

交換機的端口 access，Trunk模式，可以自動協商

叫DTP協議，CISCO私有

現網一般爲靜態指定，

 

封裝協議：

ISL：

CISCO私有，沒有破壞原始以太網數據幀，而是在原始數據幀前面，加入ISL頭部

基於硬件封裝，速度快

只能承載1024個VLAN，現網不常用

 

802.1Q：

公有協議，破壞原始以太網數據幀，在原始以太網數據幀中插入了802.1Q頭部

並且重新計算FCS

NATIVE VLAN 不打標籤，默認是VLAN1

在端口下使用switchport trunk native vlan X 可以修改，兩端建議保持一致，否則會出現流量串流

承載4096個VLAN，現網常用

 

配置：

interface Ethernet0/1

switchport trunk encapsulation dot1q

switchport mode trunk

 

CISCO 交換機默認傳遞所有VLAN流量

可使用 switchport trunk allow vlan X 單獨放行某個VLAN，

 

不同的IOS版本中配置有協議不同，有些設備，能支持ISL與801.Q封裝

所以在配置的時候，需要指定 switchport trunk encapsulation 封裝模式

 

CISCO 沒有Hybrid模式

 

VTP

VLAN中繼協議，CISCO私有

在交換機之間的Trunk鏈路上，傳遞配置的VLAN信息，

通過組播MAC地址01-00-0C-CC-CC-CC傳遞

5分鐘定時更新，或者觸發更新

 

三種模式：

 

配置：

SW1(config)#vtp domain CCNA

SW1(config)#vtp mode server

SW1(config)#vtp password CCNA

SW1(config)#vtp version 2

域名，密碼有大小寫敏感，信息必須一致，否則無法同步

兩臺交換機處於不同的VTP域中，會提示不匹配消息，

 

Tips：如果配置完VTP之後，所有配置都正確，但其他客戶端交換機依然沒有學到VLAN信息，這時候需要在Server觸發更新一下，觸發的方式就是在Server上新增或者刪除一個vlan，並且exit。

 

VTP修剪

在交換機之間，修剪掉多餘VLAN的流量，由於交換機之間配置了Trunk鏈路，廣播數據幀會通過Trunk泛洪到其他交換機

VTP可以根據交換機的端口access vlan成員，動態的將不需要的VLAN流量修剪掉

 

VTP Pruning默認關閉

VTP Pruning只能在Server 上開啓

Tips：（VTP仍然會通告VLAN信息，只是會修剪Client不需要的VLAN流量），

這個需要明確一下

 

例如：

SW1上的VLAN10的廣播流量，不會被傳遞到SW2，因爲在Trunk上就被修剪掉了

 

還有另外的方式，叫做手動修剪，通過配置Trunk放行VLAN的方式

在沒啓用VTP Pruning 的情況下，Trunk默認讓所有VLAN通過，可使用一下命令手動修剪。

 

手動修剪配置：

interface Ethernet0/1

switchprot trunk allowed vlan ？

ALL // 允許所有VLAN 通過

remove // 移除允許通過的VLAN

add // 增加允許通過的VLAN

except //除了這些VLAN以外，其他都允許，可以使用單個或者一個範圍

none // 不允許所有VLAN 通過

 

或者：

interface Ethernet0/1

switchport trunk pruning vlan ?

WORD VLAN IDs of the allowed VLANs when this port is in trunking mode

add add VLANs to the current list

except all VLANs except the following

none no VLANs

remove remove VLANs from the current list

 

單臂路由：

在路由器的以太網接口上，來承載多Vlan流量，讓路由器和交換機跑一個Trunk（交換機端配置Trunk，路由器不用），使用dot1q的封裝，對路由器物理接口進行子接口劃分，併爲Vlan 打上Tag，以標識不同的Vlan。

 

 

交換機接口類型：

三層交換機包含兩類端口 : 二層端口L2 和 三層接口L3

二層接口 ( SwitchPort ) : Access、Trunk模式

三層接口：路由接口 (no switchport )、SVI

接口下no switchport後，與路由器接口無異

SVI是一個虛擬的接口

 

注意SVI UP的幾個條件：

• SVI 配置no shutdown；
• 有相應的二層vlan，例如，interface vlan 10這是三層vlan，vlan 10則是二層vlan
• 有一個接口屬於這個vlan，並且是no shutdown，Trunk默認屬於所有vlan

 

 

 

第六次課

 

EthernetChannel（802.3ad）

將兩個設備間多條相同特性的快速以太或千兆位以太物理鏈路捆綁在一起組成一條邏輯鏈路，從而達到帶寬倍增及負載均衡的目的。

 

配置要點：

• Port-channel接口一旦建立完成，就形成了一個邏輯接口，後續針對接口的配置，都在Port-channel接口中完成
• Port-channel接口不能成爲SPAN（端口鏡像）的目的接口
• 隸屬於一個Port-channel的物理接口需有相同的如下配置： （可使用default int fx/x 還原接口）
• 端口之間的Speed 和Duplex需相同 ( LACP只能是全雙工模式 )
• 接口模式相同（Trunk 、access）
• Trunk模式的Native vlan 和 Allowed vlan 需相同
• Aeecss模式 的所屬Vlan 需相同
• 構成etherchannel的端口必須配置成相同的特性，如雙工模式、速度、同爲FE或GE端口、native VLAN,、VLAN range,、and trunking status and type.等

 

 

二層捆綁：

interface port-channel 1

switchport

switch trunk encapsulation dot1q

switchport mode trunk

!

interface range e0/1 – 2

shutdown ##爲了避免出現BUG，先將物理接口shutdown，然後配置封裝模式，最後加入捆綁

switchport

switch trunk encapsulation dot1q

switchport mode trunk

channel-group 1 mode on

no shutdown

 

 

三層捆綁

（可能直接起不來，也可能起來了ping不通，模擬器BUG）

interface Port-channel12

no switchport

ip address 12.1.1.2 255.255.255.0

end

！

interface Ethernet0/1-2

shutdown

no switchport

no ip address

channel-group 12 mode on

no shutdown

！

 

 

HSRP

CISCO私有協議

Hello包是通過組播地址224.0.0.2發送

UDP協議，1985端口，Hello時間3S，死亡時間10S

 

HSRP的虛擬MAC地址

0000.0c07.acxx 0000.0c爲廠商編號 07ac爲 HSRP編號 xx爲HSRP組

 

HSRP幾個術語：

 

 

 

 

（虛擬網關可能ping不通，看人品，這個是IOL鏡像的BUG，EVE官方已經證實）

交換口轉路由口做有點問題，部分IOS no switchport會直接導致設備重啓；

用SVI的方式，並且所有交換機全局no ip cef ，可以比較完美的模擬；

筆記後面有HSRP/VRRP的案例分享

 

SW1

no ip cef

interface vlan 10

ip address 192.168.10.1 255.255.255.0

standby 10 ip 192.168.10.254

standby 10 priority 110 //默認優先級100

standby 10 preempt //默認關閉搶佔

！

 

SW2

no ip cef

interface vlan 10

ip address 192.168.10.2 255.255.255.0

standby 10 ip 192.168.10.254

standby 10 preempt

！

組編號要一致，不然會報錯

 

 

配置鏈路檢測（可選，不同IOS版本有配置差異）：

track 10 interface Ethernet0/0 line-protocol

!

interface vlan 10

standby 10 track 10 decrement 20

 

老版本命令:

interface vlan 10

standby 1 track e0/1 20

!

 

 

VRRP

公有協議

組播地址224.0.0.18

 

vrrp的虛擬MAC地址

0000.5E00.01 xx其中：0000.5E 由IANA分配 00.01是VRRP編號 xx代表VRRP組號

 

 

R1配置示例：

interface f0/0

ip add 192.168.1.253 255.255.255.0

vrrp 10 ip 192.168.1.253 //配置組10虛擬IP，可以與實際IP相同

vrrp 10 priorty 110 //配置優先級，（默認爲100）

vrrp 10 preemet //默認開啓搶佔

 

R2配置示例：

interface f0/0

ip add 192.168.1.252 255.255.255.0

vrrp 10 ip 192.168.1.253

vrrp 10 preemet

 

兩端組編號要一致，不然會報錯

 

配置鏈路檢測（可選，不同IOS版本有配置差異）：

track 10 interface Ethernet0/0 line-protocol

!

interface f0/0

vrrp 10 track 10 decrement 20

 

老版本命令:

interface f0/0

vrrp 10 track e0/1 20

!

 

 

VRRP/HSRP負載案例分享

 

 

多組HSRP，單臂路由+可網管交換機：

 

 

 

多組HSRP，三層交換機：

 

 

 

 

第六次課

 

同網段DHCP：

 

ip dhcp pool CCNA

network 11.1.1.0 255.255.255.0

default-router 11.1.1.1

dns-server 11.1.1.1

lease 0 6

 

全局模式：ip dhcp excluded-address 11.1.1.1 //排除地址

 

DHCP中繼：

interface Vlan10

ip address 192.168.10.1 255.255.255.0

ip helper-address 11.1.1.1

end

 

將DHCP廣播報文轉換成單播報文

1、配置在網關接口，也就是阻擋DHCP廣播地址的第一個三層接口

2、單播報文的源地址爲配置 ip helper-address命令的接口地址，目的地址爲指定DHCP服務器地址

3、保證來回路由可達，

 

 

 

第七次課

STP協議

 

 

BPDU，網橋協議數據單元

 

 

 

STP路徑開銷，以鏈路帶寬爲準，兩個標準，現在主要以NEW爲準

 

 

STP的選舉：

• 每個廣播域選舉一個根橋
• 每個非根交換機選舉一個根端口
• 每個段選舉一個指定端口
• 選擇一個非指定端口

 

需考慮的因素：

• 最低的根橋ID
• 到根橋的最低路徑成本
• 最低的發送者網橋ID
• 最低的發送者端口ID

 

 

需要注意：

• 跟橋的角色是可搶佔的
• 橋ID中的MAC是交換機的背板MAC，端口ID中的MAC是交換機端口的MAC。 Show int | in bia 可查看所有MAC，第一個就是背板MAC
• 選擇根端口：比較接收到的BPDU；
• 選擇指定端口：比較發送出BPDU
• 根橋向自身的所有接口發送BPDU，非根交換機會從自己的根端口接收BPDU，並從自身的指定端口轉發出去，非指定端口不轉發BPDU，只會偵聽，默認20秒沒收到BPDU包，則開始發送BPDU；

 

 

• 選舉Root

比較所有網橋的優先級，優先級一致，比較MAC地址，SW1成爲Root，Root所有端口爲指定端口

• 非根交換機選舉跟端口

如圖所示，SW2的F0/1(連接SW1的接口) 與SW3的F0/1爲Root Port，因爲這些端口到達跟橋的Cost值最小

• 每個段選舉指定端口

Root所有端口爲DP。比較SW2與SW3相連的接口，SW2會收到SW3發來的BPDU，SW3也會都到SW2發來的BPDU，各自比較自己和收到的BPDU報文中到根路徑成本，也就是COST值，發現都爲19，然後比較橋ID（比較發送者橋ID），明顯SW2的MAC比較小，故成爲DP，而SW3的F0/0被Block。

 

注意，這時如果試圖在SW3上，將F0/1的COST調大，比如調整爲200，那麼在SW3上，F0/0就會成爲RP。

 

一般在需改變的交換機上的端口做操作：

(config-if)#spanning-tree cost 10 //修改接口COST值，如果想讓阻塞端口成爲轉發端口，

(config-if)#spanning-tree vlan 1 cost 10 //只針對某個vlan 修改接口COST值

 

 

 

• 選舉Root

不再贅述

• 非根交換機選舉跟端口

如圖所示，SW2的兩個接口都會收到BPDU報文，都是來自SW1，因此，兩份BPDU中到Root的開銷都是0，接着比較發送者橋ID，都是來自SW1，因此也比較不出來，再比較兩份BPDU報文中的端口ID，假設SW1的端口優先級都相等，則比較接口ID，明顯SW1的F0/1接口ID比較小，故SW2的F0/1接口成爲RP。

• 每個段選舉指定端口

Root的每個端口都是指定端口，SW2的F0/1接口爲RP，故SW2的F0/2接口被Block。

 

注意，這時如果試圖在SW2上將F0/2的接口優先級改小，也是沒用的，因爲比較的是發送者的端口ID，所以如果在SW1上，將F0/2的端口優先級調小，那麼在SW2上，F0/2就會成爲RP。

 

當然，如果將SW2的F0/2 Cost值調小，也可以讓F0/2成爲RP

 

 

修改接口優先級，一般在需改變的交換機上聯設備接口下做操作：

(config-if)#spanning-tree port-priority 64 //修改接口優先級，必須是16的倍數， Cisco默認128，

spanning-tree vlan 1 port-priority 64 //只針對某個vlan 修改接口優先級

 

 

 

SW1

配置Vlan的主根橋：

(config)#spanning-tree vlan 1 priority 0 //將vlan 1 的優先級配置爲0，默認爲32768

 

SW2

配置Vlan的次根橋：

(config)#spanning-tree vlan 1 priority 4096 //將vlan 1 的優先級配置爲4096，比主根橋小

 

 

思考一下，爲什麼？

 

第八次課（2017-11-18）：

所謂路由，就是指導IP數據報文轉發的路徑

通過路由條目，生成路由表，根據路由表中的條目，進行路徑選擇。

路由表存儲在 RAM 中，掉電丟失，加電重新裝載計算。

 

路由分類：

直連路由 //通過接口感知到的直連 (網絡接口配置IP，並且該接口的物理層及鏈路層狀態爲UP)

靜態路由 //使用靜態路由命令手工配置的路由

動態路由 //路由器之間動態學習到的路由表

動態路由協議：RIP、EIGRP、IS-IS、OSPF、BGP

 

路由選擇原理：

 

最長掩碼匹配：

• 主機地址
• 子網
• 一組子網（彙總路由）
• 主類網絡號（ABC類）
• 超網彙總（CIDR）
• 缺省地址（默認路由）

示例：

去往172.16.10.1，應該被172.16.10.1/32匹配住

去往172.16.10.2，應該被172.16.10.0/30匹配住

去往172.16.10.100，應該被172.16.10.0/24匹配住

去往172.16.20.1，應該被172.16.0.0/16匹配住

去往172.17.20.1，應該被172.0.0.0/8匹配住

去往192.168.10.1，應該被默認路由匹配住

 

show ip route

4.0.0.0/24 is subnetted, 1 subnets

S 4.4.4.0 [1/0] via 12.1.1.2

 

路由標識：也可稱爲路由來源，S表示靜態

目的網絡地址：4.4.4.0/24，目的網絡地址

[1/0] 管理距離AD，靜態路由爲1 ，Metric值，靜態路由0

 

AD：管理距離，用於確定路由協議的優先級

Metric：度量值，用於確定到達目的的最佳路徑

 

 

各類協議的管理距離：

R1#show ip route 1.1.1.1

Routing entry for 1.1.1.1/32

Known via "connected", distance 0, metric 0 (connected) 直連路由

Routing Descriptor Blocks:

* directly connected, via Loopback0

Route metric is 0, traffic share count is 1

 

R1#show ip route 4.4.4.0

Routing entry for 4.4.4.0/24

Known via "static", distance 1, metric 0 靜態路由

Routing Descriptor Blocks:

* 12.1.1.2

Route metric is 0, traffic share count is 1

 

全局模式下，show ip protocols可以查看動態路由協議的管理距離

show ip protocols

Routing Protocol is "ospf 1"

Outgoing update filter list for all interfaces is not set

Incoming update filter list for all interfaces is not set

Router ID 1.1.1.1

Number of areas in this router is 0. 0 normal 0 stub 0 nssa

Maximum path: 4

Routing for Networks:

Routing Information Sources:

Gateway Distance Last Update

Distance: (default is 110)

 

 

度量值分類：

• 帶寬，負載，延遲，可靠性，EIGRP協議使用
• 開銷 ，OSPF，IS-IS協議使用
• 跳數 ，RIP協議使用

 

 

靜態路由配置：

 

配置要點：

• 通信是雙向的，因此要留意往返流量
• 儘量配置下一跳IP，不要配置出接口，會產生ARP消息，但可以下一跳和出接口一起配置，如：
• ip route 192.168.23.0 255.255.255.0 s0/0 192.168.12.2 ，多一個路由屬性，比如BFD檢測，路由策略會用到。
• 注意通信雙方的源地址，以及目的地址
• 路由遞歸查詢

 

何謂路由遞歸：

假設上面的圖例，R3後面還有一個網段，比如192.168.20.0，那麼在R1上可以這樣寫：

ip route 192.168.20.0 255.255.255.0 192.168.23.3

 

那麼當R1收到一個去往目的網絡192.168.20.0/24的數據包時，先查路由表，發現有去往這個目的網絡的路由，

但發現下一跳路由器是192.168.23.3，這時路由器會做一個操作，路由遞歸。那就是再查路由表，看192.168.23.3

怎麼去，發現去往192.168.23.3，有路由，下一跳是192.168.12.2。

 

 

浮動靜態路由：

去往一個目的網段，有多個路徑，一條爲主，一條爲備

指定兩個下一跳，通過調整AD值，正常情況下，AD值小的路由加表，AD值大的大的隱藏在後臺，

當主路由出現問題時才加入路由表，

ip route 192.168.23.0 255.255.255.0 192.168.12.2

ip route 192.168.23.0 255.255.255.0 192.168.12.3 10 //AD調整爲10

 

負載均衡：

去往一個目的網段，有多個路徑，路由的AD值一致，metric值也一致，流量兩條鏈路同時走

ip route 192.168.23.0 255.255.255.0 192.168.12.2

ip route 192.168.23.0 255.255.255.0 192.168.12.3

 

 

彙總路由：

改變子網掩碼，通過彙總路由匹配明細，從而簡化路由表，減少配置量及路由負器載

ip route 192.168.0.0 255.255.252.0 192.168.254.1

 

實際上匹配了：

192.168.0.0/24

192.168.1.0/24

192.168.2.0/24

192.168.3.0/24

 

默認路由：

常用於邊緣路由器，比如，最底層接入路由器，或者出口路由器

匹配所有目的網段，

ip route 0.0.0.0 0.0.0.0 192.168.12.2

 

 

黑洞路由：

將不需要的流量丟棄到null 0接口，null 0 是路由的一個黑洞接口，

ip route 10.10.10.0 255.255.255.0 null 0

 

loopback接口：

• 也叫回環口，是一個邏輯的、虛擬的接口
• 使用全局配置命令 interface looback x 創建
• 創建完成後即可爲接口配置IP地址 （可以是32位的IP地址）
• Looback 接口創建後，除非人爲shutdown，否則不會down

 

作用：

• 模擬路由器的直連網段，用於測試
• 可用於設備管理（Loopback接口比較穩定）
• 供其它協議使用。例如OSPF、BGP、MPLS等
• 其他用途，總之非常廣泛

 

 

 

案例分享：

通過浮動靜態路由，結合BFD雙向技術檢測，保證出口路由冗餘，環境如下：

交換機爲二層交換機

 

R5 IP地址：

• loopback：5.5.5.5/32
• E0/1：100.1.1.5/24
• E0/3：200.1.1.5/24

 

R6 IP地址：

• loopback：6.6.6.6/32
• E0/0：100.1.1.6/24
• E0/2：200.1.1.6/24

 

配置要點：

• 接口下開啓BFD檢測，R5，R6都要開啓，並且參數保持一致，因爲BFD是雙向檢測技術
• 配置靜態路由，必須帶上出接口字段，否則BFD無法檢測
• 將靜態路由與BFD進行關聯

 

查看：show bfd nei

 

動態路由協議：

通過在路由器之間，運行動態路由協議，賦予路由器動態感知網絡變化，以及發現網絡的能力，

並且將發現的網絡生成路由條目，自動的添加到本地路由表中，並進行維護。

 

 

動態路由協議分類：

 

距離矢量路由協議：

• 距離矢量路由協議，他並不瞭解網絡的拓撲
• 只知道自身與目的網絡之間的距離
• 應該往那個方向，從哪個接口轉發數據

• 直接傳遞路由條目
• 週期性的更新自己整張路由表
• 距離=有多遠，矢量=方向

 

 

鏈狀態路由協議：

• 傳遞的不是路由條目，而是自己本地的一些鏈路狀態的信息
• 全網都能夠收集到這些鏈路信息，瞭解整個網絡的拓撲情況
• 觸發更新

 

有類路由協議：

在進行路由更新的時候是不帶掩碼信息；

RIPv1、 IGRP

 

無類路由協議：

在更新路由協議的時候，包含網絡前綴以及子網掩碼，更加精準。

RIPv2、ISPF、EIGRP、IS-IS，BGP

 

 

有類及無類路由查找區別

 

無類路由（ip classless，默認打開）：

路由器不會注意目的地址的類別，它會在目的地址和本身已知的路由之間進行逐位執行最長匹配

去往目的IP：192.168.1.1，走F1/0

去往目的IP：192.168.1.33，走F0/0

 

有類路由（no ip classless或ip classful）：

當路由器收到一個數據包時，先查看目的地址所屬的主類網絡

去往目的IP：192.168.1.1，主類網絡是192.168.1.0/24

查子網，匹配192.168.1.0/27，所以走F1/0

 

去往目的IP：192.168.1.33，主類網絡是192.168.1.0/24

查子網，應該是192.168.1.32/27，所以被丟棄

 

有主類路由的情況下：

• 如果路由表中有主類網絡，則查找下屬子網
• 如果有該子網的路由，就在該子網中進一步查找
• 如果查找失敗，則丟棄數據包 ，不管有沒有配置默認路由。

 

無主類路由的情況下

• 則查看是否有默認路由，有則轉發，無則丟棄

 

 

 

第九次課（2017-11-20）：

RIP路由協議

• 定期更新
• 依據傳聞的更新，逐跳更新 (人家說什麼信什麼)
• 廣播或組播更新整張路由表
• 在完全收斂之前，路由器無法正常工作
• 以跳數計算度量值的，度量值逐跳增加
• 並不瞭解網絡拓撲
• 使用UDP協議，協議號17，端口號520，
• RIPV1廣播 255.255.255.255
• RIPV2 組播224.0.0.9

 

 

RIP六大防環機制

• 記數最大值（maximum hop count）

定義最大跳數（最大爲15跳），當跳數爲16跳時,目標爲不可達。

• 水平分割（split horizon）

從一個接口學習到的路由不會再從該接口更新出去，cisco可以對每個接口關閉水平分割功能

• 路由中毒（route posion）

用於在發往其它路由器的路由更新中將路由標記爲不可達

• 毒性逆轉（poison reverse）

帶毒性反轉的“水平分割”規則規定，從特定接口向外發送更新時，將通過該接口獲知的所有網絡標 示爲不可達

• 觸發更新（trigger update）

一旦檢測到拓撲變更，立即廣播路由刷新報文，而不等到下一刷新週期

• 抑制定時器（Hold-down Time）

 

 

RIP定時器

 

RIPv1跟RIPv2的區別

 

RIP V1默認的是自動彙總,不可手動開啓和關閉。 RIP V2默認的是自動彙總,但是可以手動的開啓和關閉。

 

基本配置

 

R1配置示例：

 

router rip //啓動RIP 進程

version 2 //指定版本2

network 10.10.10.0 // 宣告需要宣告的網段，只能識別主類網絡效果與10.0.0.0一樣

network 192.168.1.0 // 宣告需要宣告的網段，只能識別主類網絡效果與192.168.1.0一樣

no auto-summary //關閉自動彙總 重要！！

 

R2配置示例：

 

router rip //啓動RIP 進程

version 2 //指定版本2

network 10.10.10.0 // 宣告需要宣告的網段，只能識別主類網絡效果與10.0.0.0一樣

network 20.20.20 // 宣告需要宣告的網段，只能識別主類網絡效果與183.62.0.0

no auto-summary //關閉自動彙總 重要！！

 

 

R3配置示例：

 

router rip //啓動RIP 進程

version 2 //指定版本2

network 20.20.20.0 // 宣告需要宣告的網段，只能識別主類網絡效果與20.0.0.0一樣

network 183.62.61.0 // 宣告需要宣告的網段，只能識別主類網絡效果與183.62.0.0

no auto-summary //關閉自動彙總 重要！！

 

 

 

默認版本是1.5，發 version1，接收 version1，2

network 作用：

1、使此IP所屬的接口，參與路由協議進程。實際上就是使用IP地址範圍，來確定哪些接口需要參與路由協議進程。

2、宣告此IP屬於的網段，傳遞出去的子網掩碼以接口配置的掩碼爲準。

3、RIP不支持精確宣告，只能支持主類網絡宣告

 

 

手動彙總

 

R1：

interface F0/0

ip summary-address rip 172.16.0.0 255.255.252.0 //手動彙總成22位

 

• 只有本地有明細路由（不管是你本地的，還是人家傳給你的），才能進行彙總，明細路由全部消失，彙總路由纔會消失。
• 彙總路由的度量值，以明細路由中最小的metric值作爲彙總路由的度量值
• RIP無法進行超網彙總，例如172.0.0.0 255.0.0.0

 

這裏的圖有點錯誤，將下圖中的路由條目當做拓撲圖中的R3學到的就行，這裏只是爲了演示：彙總路由的度量值，以明細路由中最小的metric值作爲彙總路由的度量值。

 

 

 

默認路由：

假設R3連接公網，那麼R2，R1身上的用戶訪問公網，都需要默認路由。有沒有一種辦法，讓默認路由自動傳遞，而不需要每臺路由器上都去寫默認路由。

（首先保證設備接口都被network宣告，這裏只是演示下發默認路由。其他的接口該怎麼宣告還怎麼宣告，宣告了才能交互路由信息）

 

方法1：寫一條出接口形式的默認路由

R3：

ip route 0.0.0.0 0.0.0.0 f0/1 必須是出接口(需要注意，在有些版本中出接口爲loopback無效)

!

router rip

vesion 2

no auto-summary

network 0.0.0.0

 

在距離矢量路由協議中，所有以出接口形式存在的默認路由，都能夠被通告，因爲看的是路由條目

 

方法2：RIP協議下發

R3：

ip route 0.0.0.0 0.0.0.0 3.3.3.1，//下一跳，出接口都行，只要保證本地路由表中有默認路由

router rip

vesion 2

no auto-summary

default-information originate

 

方法3：重分佈

R3：

ip route 0.0.0.0 0.0.0.0 3.3.3.1，下一跳，出接口都行，只要保證本地路由表中有默認路由

router rip

vesion 2

no auto-summary

redistribute static

 

 

EIGRP路由協議

特點：

• CISCO私有協議 （混合路由選擇協議，協議號88，組播地址224.0.0.10）

• 默認管理距離爲90。
• 重分佈（外部路由） 的路由的管理距離爲170。
• 手動彙總的路由管理距離爲5。
• 默認支持4條等價負載的鏈路，實現負載均衡的鏈路 (等價或不等價)最高達到16條

 

 

EIGRP三張表：

 

鄰居建立過程：

 

 

度量值計算：

 

 

EIGRP術語：

 

路徑計算：

 

 

配置示例：

 

R1關鍵配置示例：

router eigrp 1 //同一個區域，必須配置同一個AS號，否則報錯

network 1.1.1.1 0.0.0.255 //也可以按接口IP地址精確宣告

network 192.168.12.1 0.0.0.0 //這種就是精確宣告

network 192.168.13.1 0.0.0.0

no auto-summary //關閉自動彙總

 

 

R2關鍵配置示例：

router eigrp 1 //同一個區域，必須配置同一個AS號，否則報錯

network 2.2.2.0 0.0.0.0

network 192.168.12.2 0.0.0.0

network 192.168.23.2 0.0.0.0

no auto-summary //關閉自動彙總

 

 

R3關鍵配置示例：

router eigrp 1 //同一個區域，必須配置同一個AS號，否則報錯

network 3.3.3.3 0.0.0.0

network 192.168.13.3 0.0.0.0

network 192.168.23.3 0.0.0.0

no auto-summary

 

network 作用：

1、使此IP所屬的接口，參與路由協議進程。實際上就是使用IP地址範圍，來確定哪些接口需要參與路由協議進程。

2、宣告此IP屬於的網段，傳遞出去的子網掩碼以接口配置的掩碼爲準。

3、EIGRP可以支持精確宣告

 

 

反掩碼：

子網掩碼：255.255.255.0

反掩碼：0.0.0.255

如何計算，使用255.255.255.255 減去子網掩碼，就可以得到反掩碼

 

子網掩碼：

1 表示匹配，0表示任意

 

反掩碼：

0 表示匹配，1表示任意

 

 

等價負載均衡：

• EIGRP在度量值相同的所有路徑之間分配數據流量
• 默認爲4條等價路徑之間均衡負載，最大可支持16條
• (config-router)#maximum-paths （1-6） ，改爲1，則負載均衡關閉
• 根據EIGRP度量值計算公式，只要帶寬與延遲之和相同，就能實現等價路由

 

 

 

不等價負載均衡：

• EIGRP也可以在度量值不同的多條路徑直接進行負載均衡
• 只有滿足FC條件才能進行不等價負載均衡
• 需要負載FD<=最小FD * variance (修改後)
• (config-router)# Variance （1-128） 默認爲1
• 注 : Variance只是用於一個乘積計算的數值
• 算法：可行後繼路由器的FD除以 後繼路由器的FD，取整 + 1， 即要實現非等價負載均衡的路由的FD除以後繼路由的最優FD，得數取整數後加1

 

最小的FD：307200

要進行負載的FD：307456

 

307456 除以 307200=1.0008333333333333333333333333333

取整再加上1=2

 

307200乘以2=614400

只要其他FD小於614400，都可以進行不等價負載均衡

 

EIGRP手動彙總：

• 手動彙總可以包括超網路由，並且可以在任意需要彙總的EIGRP路由器上配置。
• 路由表中至少含有一條該彙總路由的明細路由，彙總路由纔會被通告
• 本地自動產生一條彙總null 0 的路由，用於防環，AD值爲5
• ip summary-address eigrp進行彙總的路由，在本地路由器上默認AD = 5，而其他路由器上爲90
• 通告出去的彙總路由metric值，由明細路由中，metric值最小的路由決定

 

老版本修改彙總路由AD：

int e0/0

ip summary-address eigrp 172.16.0.0 255.255.0.0 20

 

新版本修改彙總路由AD：

router eigrp 1

summary-metric 172.16.0.0/16 distance 20

 

 

 

EIGRP默認路由：

假設R3連接了公網，那麼R2，R1身上的用戶訪問公網，都需要默認路由。有沒有一種辦法，讓默認路由自動傳遞，而不需要每臺路由器上都去寫默認路由。

（首先保證設備都被network宣告，這裏只是演示下發默認路由，其他的接口該怎麼宣告還怎麼宣告，宣告了才能起鄰居，起了鄰居才能傳路由））

 

方法1：寫一條出接口形式的默認路由

R3：

ip route 0.0.0.0 0.0.0.0 f0/1 必須是出接口(需要注意，在有些版本中出接口爲loopback無效)

!

router eigrp 1

network 0.0.0.0 255.255.255.255

在距離矢量路由協議中，所有以出接口形式存在的默認路由，都能夠被通告，因爲看的是路由條目

 

方法2：接口下彙總

R3

interface F0/0

ip summary-address eigrp 1 0.0.0.0 0.0.0.0

 

方法3：重分佈

R3：

ip route 0.0.0.0 0.0.0.0 3.3.3.1 下一跳，出接口都行，只要保證本地路由表中有默認路由

router eigrp 1

redistribute static

redistribute static metric 8000000 10 255 1 1514 //數據出接口的屬性 帶寬/延遲/可靠性/負載/MTU

同爲EIGRP協議重分佈，不需要指定metric

 

 

OSPF路由協議

在同一個OSPF自制系統內每一臺運行OSPF協議的路由器總是將本地網絡的連接狀態用LSA（鏈路狀態通告）描述，並廣播到整個自制系統中去。這樣，每臺路由器都收到了自制系統中所有路由器生成的LSA，這些LSA的集合組成了LSDB（鏈路狀態數據庫），這樣所有的OSPF路由器都維護一個相同的描述自治系統內部結構的數據庫。

 

特點：

• 公有協議，管理距離是110；IP協議號爲89
• OSPF路由協議採用cost作爲度量標準；
• 每隔30分鐘定時發送更新，觸發更新
• 支持等價負載均衡；
• 支持區域劃分，構成層次化的網絡，提供路由分級管理；
• 支持簡單口令和MD5認證；
• 以組播方式(224.0.0.5或224.0.0.6)傳送協議數據包；
• OSPF維護鄰居表、拓撲表和路由表。

 

 

OSPF區域：

 

 

OSPF COST計算：

 

OSPF三張表：

 

 

OSPF鄰接與鄰居區別：

 

 

OSPF Router-ID:

• Router-ID用來標識同一個OSPF域中的路由器，全網唯一
• LSBDs中，使用Router-ID區分不同的路由器
• Router-ID可以通過手動指定，或者自動選舉
• 自動選舉：若有Loopback接口，則選最大的Loopback接口，若無，則選舉活躍的物理接口中IP地址爲最大的。
• 手動指定：(config-router)#router-id 1.1.1.1

想讓手動指定的Router-ID生效.必須清除進程，clear ip ospf process

 

OSPF DR/BDR：

 

• OSPF路由器也是通過Hello數據報文來發現鄰居，然後進入2-Way狀態，在這個狀態下選舉DR和BDR。
• 選舉是利用Hello報文內的ID和Priority(優先級)來確定。優先級大小爲0-255(默認值爲1，0代表不參加選舉)
• 優先級值最高的路由器成爲DR。
• 修改接口優先級 ip ospf priority xx
• 如果優先級值大小一樣，則Router-ID最高的路由器選舉爲DR，Router-ID次之爲BDR。
• 並且DR具有非搶佔性，要麼重啓路由器，要麼clear ip ospf process
• DR負責向其他路由器發送更新信息，BDR則監控DR狀態。
• DR出故障時，BDR升級爲DR，並選舉新的BDR。
• BR/BDR是基於路由器接口，而不是整臺設備，有可能一臺設備的一個接口爲DR，另一個接口爲BRD

 

DRother 用224.0.0.6通知DR/BDR路由器，監聽224.0.0.5

DR/BDR利用組播地址224.0.0.5通知DRother路由器，監聽224.0.0.6

 

OSPF單區域配置：

R1：

router ospf 1

router-id 1.1.1.1

network 1.1.1.1 0.0.0.0 area 0

network 192.168.12.1 0.0.0.0 area 0

！

 

R2：

router ospf 1

router-id 2.2.2.2

network 2.2.2.2 0.0.0.0 area 0

network 192.168.12.2 0.0.0.0 area 0

network 192.168.23.2 0.0.0.0 area 0

！

 

R3：

router ospf 1

router-id 3.3.3.3

network 3.3.3.3 0.0.0.0 area 0

network 192.168.23.3 0.0.0.0 area 0

！

 

Tips：在OSPF中，不管loopback接口配置的掩碼是多少，默認通告出去的掩碼爲/32，這是OSPF

的網絡類型導致，如果想通告出去的時候，爲接口的真實掩碼，則在loopback接口下配置

ip ospf network point-to-point

 

network 作用：

1、使此IP所屬的接口，參與路由協議進程。實際上就是使用IP地址範圍，來確定哪些接口需要參與路由協議進程。

2、宣告此IP屬於的網段，傳遞出去的子網掩碼以接口配置的掩碼爲準。

3、OSPF可以支持精確宣告

 

OSPF多區域配置：

R1/R2配置不再贅述：

 

R3：

router ospf 1

router-id 3.3.3.3

network3.3.3.3 0.0.0.0 area 0

network 192.168.23.3 0.0.0.0 area 0

network 192.168.34.3 0.0.0.0 area 1

！

 

R4：

router ospf 1

router-id 4.4.4.4

network 4.4.4.4 0.0.0.0 area1

network 192.168.34.4 0.0.0.0 area 1

network 192.168.0.0 0.0.3.255 area 1

！

 

OSPF區域間彙總：

必須在ABR彙總

 

R3：

router ospf 1

area 1 rang 192.168.0.0 255.255.252.0

！

 

OSPF默認路由：（本地有靜態默認路由）

 

R1：

ip route 0.0.0.0 0.0.0.0 x.x.x.x

router ospf 1

default-information originate

 

 

OSPF默認路由：（本地沒有靜態默認路由）

（首先保證設備都被network宣告，這裏只是演示下發默認路由，其他的接口該怎麼宣告還怎麼宣告，宣告了才能起鄰居，起了鄰居才能傳路由）

 

R1：

router ospf 1

default-information originate always //強制下發

 

 

OSPF相關命令：

show ip ospf interface brief //查看接口關於OSPF的信息

show ip ospf interface serial 1/0 //查看某個接口關於OSPF的詳細信息

show ip route ospf //查看OSPF路由

show ip ospf neighbor //查看ospf鄰居

show ip ospf database //查看ospf鏈路狀態數據庫

ip ospf network xxxx //接口下更改OSPF網絡類型

debug ip ospf adj //查看OSPF鄰居關係建立過程

debug ip ospf hello //查看OSPF hello包

debug ip ospf events //查看OSPF相關事件

 

 

訪問控制列表，ACL

 

兩大功能：

流量控制

匹配感興趣流量

 

ACL的3P規則：

在每一個接口的每一個方向上，只能針對每種第三層協議應用一個ACL

• 每種協議一個 ACL ：要控制接口上的流量，必須爲接口上啓用的每種協議定義相應的 ACL。
• 每個方向一個 ACL ：一個 ACL 只能控制接口上一個方向的流量。要控制入站流量和出站流量，必須分別定義兩個 ACL。
• 每個接口一個 ACL ：一個 ACL 只能控制一個接口上的流量。

 

ACL的規範：

• 每個接口,每個方向,每種協議,你只能設置1 個ACL。
• ACL的語句順序決定了對數據包的控制順序。在ACL中各項語句的放置順序是很重要的。當路由器決定某一數據包是被轉發還是被丟棄時，會按照各項語句在ACL中的順序，根據各語句的判斷條件，對數據包進行檢查，一旦找到了某一匹配條件就結束比較過程，不再檢查以後的其他條件判斷語句
• 把最有限制性的語句放在ACL語句的首行或者語句中靠近前面的位置上，把“全部允許”或者“全部拒絕”這樣的語句放在末行或接近末行，可以防止出現諸如本該拒絕(放過)的數據包被放過(拒絕)的情況。
• 你不可能從ACL 從除去1 行,除去1 行意味你將除去整個ACL。
• 默認ACL 結尾語句是deny any，所以你要記住的是在ACL 裏至少要有1 條permit 語句
• 創建了ACL 後要把它應用在需要過濾的接口上，
• ACL只能過濾穿過路由器的數據流量，不能過濾由本路由器上發出的數據包。
• 在路由選擇進行以前，應用在接口in方向的ACL起作用。
• 在路由選擇決定以後，應用在接口out方向的ACL起作用。

 

標準訪問控制列表：

只能根據源地址做過濾

針對整個協議採取相關動作（允許或禁止）

建議將標準訪問控制列表放在裏目的地址近的地方，因爲標準訪問控制列表只能對源IP地址進行過濾

 

擴展訪問控制列表：

 

能根據源、目的地地址、端口號等等進行過濾

能允許或拒絕特定的協議

建議將擴展的訪問控制列表放在離源IP地址近的地方，因爲擴展訪問控制列表可以進行更細化的一些過濾

 

 

ACL範圍：

 

ACL的入站及出站：

 

ACL的入站及出站：

入站：

在路由選擇進行以前，應用在接口in方向的ACL起作用。

當接口入方向收到一個數據包，首先檢查接口是否有調用ACL：

• 沒有ACL，則根據IP包頭中的目的地址查路由
• 有ACL，則根據語句順序進行匹配，如果匹配中，動作爲permit，查路由
• 有ACL，則根據語句順序進行匹配，如果匹配中，動作爲deny，則丟棄
• 有ACL，則根據語句順序進行匹配，如果一條語句都沒有匹配中，最後會被被deny any匹配中，則丟棄

 

出站：

 

在路由選擇決定以後，應用在接口out方向的ACL起作用

• 根據IP包頭中的目的地址查路由，有路由，則選擇出接口，沒有路由，則直接丟棄
• 根據路由查到出接口，出接口out方向是否調用ACL？
• 沒有ACL，則直接從接口送出去
• 有ACL，則根據語句順序進行匹配，如果匹配中，動作爲permit，則從出接口送出去
• 有ACL，則根據語句順序進行匹配，如果匹配中，動作爲deny，則丟棄
• 有ACL，則根據語句順序進行匹配，如果一條語句都沒有匹配中，最後會被被deny any匹配中，則丟棄

 

ACL的匹配流程：

 

• 根據語句順序進行匹配，如果匹配中一條語句，則直接執行動作
• 如果第一條語句沒有匹配中，則匹配第二條
• 末尾隱含deny any

 

通配符掩碼：

0 表示嚴格匹配

1 表示無所謂

 

簡寫1：

access-list 1 permit 192.168.1.1 0.0.0.0

access-list 1 permit host 192.168.1.1

 

簡寫2：

access-list 1 permit 0.0.0.0 255.255.255.255

access-list 1 permit any

 

標準ACL配置：

 

access-list 1 deny 192.168.1.1 0.0.0.0

access-list 1 permit 0.0.0.0 255.255.255.255

！

interface e0

ip access-group 1 in

 

記住：“no access-list access-list-number” 將會刪除整個ACL列表

配置了ACL一定要在接口下調用，否則不生效，或者接口下調用了ACL，但是全局下沒有這

個ACL，也不生效

 

擴展ACL配置：

access-list 100 deny tcp any host 192.168.2.200 eq 23

access-list 100 permit ip any any

！

interface e1

ip access-group 1 out

記住：“no access-list access-list-number” 將會刪除整個ACL列表

 

命名標準ACL配置：

ip access-list standard 1 （可以是序號，也可以是名字）

10 permit host 192.168.1.1

20 permit any

 

命名擴展ACL配置：

ip access-list extended 100 （可以是序號，也可以是名字）

10 deny tcp any host 192.168.2.200 eq 23

20 permit ip any any

 

命名序列號步長默認爲10

 

ACL語句修改：

ip access-list extended 100

no 10 //刪除語句10

11 deny tcp any host 192.168.2.200 eq 80 //在語句20前插入一條，序號爲11

從定義ACL序列號步長：

ip access-list resequence xxxx（ACL序號或命名） 10 10 （遞增數值）

 

ACL幾個示例：

• 拒絕192.168.2.0 網段，使用TCP協議，去訪問其他網段的23端口

ip access-list extended 101

10 deny tcp 192.168.2.0 0.0.0.255 any eq telnet

20 permit ip any any

 

• 禁止所有網段訪問192.168.1.1的snmp端口

ip access-list extended 110

10 deny udp any host 192.168.1.1 eq snmp

s20 permit ip any any

 

• 拒絕172.16.4.0 網段，使用TCP協議，去訪問172.16.3.0網段的20，21端口，放行其他流量

ip access-list extended 101

10 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21

20 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20

30 permit ip any any

 

• 禁止172.16.0.0-172.16.255.0/24之間所有偶數子網訪問192.168.1.1的80端口

ip access-list extended 101

10 deny tcp 172.16.0.0 0.0.254.255 host 192.168.1.1 eq 80

20 permit ip any any

一個練習而已，不要當真！！

 

• 禁止192.168.1.0網段使用 6666端口訪問192.168.2.0的3389端口

ip access-list extended 101

10 deny tcp/udp 192.168.1.0 0.0.0.255 eq 6666 192.168.2.0 0.0.0.255 eq 3389

 

查看ACL：

show run | section access-list

show ip access-lists

show ip access-lists interface vlan 10

show ip interface vlan 10

 

Vlan10 is up, line protocol is up

Outgoing access list is not set

Inbound access list is 100

 

限制設備管理：

只允許192.168.1.1，192.168.2.1管理設備

access-list 1 permit 192.168.1.1

access-list 1 permit 192.168.2.1

！

line vty 0 4

transport input telnet

access-class 1 in

 

注意事項：

交換機的二層接口只能調用in方向的ACL

二層交換機有能力查看ACL中的匹配條件，如源目IP，端口號等等，只是是否有必要而已

交換機ACL可以調用在SVI，或者三層接口上，方法與路由器三層接口一樣

 

 

第十三次課：

 

NAT

NAT技術使得一個私有IP地址網絡可以通過合法的公網IP連接到公網，同時將內部網絡的IP地址隱藏起來不被外界發現，對內部網絡設備起到保護的作用，同時，它還幫助網絡可以超越地址的限制，合理地安排網絡中的公有IP地址和私有IP地址的使用

 

NAT優缺點：

 

NAT術語：

 

NAT轉換規則：

• 數據包從outside接口到inside接口，先轉換後查路由
• 數據包從inside接口到outside接口，先查路由後轉換
• ip nat inside source是指把私網地址轉換成公網地址
• ip nat outside source是指把公網地址轉換成私網地址

 

 

NAT轉換順序：

• 從inside到outside時轉換源地址

訪問8.8.8.8 源地址是192.168.1.1 被路由器轉換成202.1.1.1的源地址出去

• 從outside到inside時轉換目標地址

8.8.8.8 回包202.1.1.1，路由器查NAT表，目的地址被轉換192.168.1.1

• 從outside到inside時轉換源地址

203.2.1.1 訪問 192.168.10.1源地址被路由器轉換成192.168.20.1

• 從inside到outside時轉換目標地址

192.168.10.1 回包192.168.20.1 路由器查NAT表，目的地址被轉換203.2.1.1

 

靜態NAT：

內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。靜態NAT將部本地地址與內部全局地址進行一對一的轉換。多用於服務器映射。靜態映射是

 

R2配置示例：

ip nat inside source static 192.168.1.1 183.62.61.10 //定義內部與公網地址一對一轉換

ip route 0.0.0.0 0.0.0.0 183.62.61.2

！

interface f0/0

ip address 192.168.1.254 255.255.255.0

ip nat inside //配置NAT入接口

interface f1/0

ip address 183.62.61.1 255.255.255.0

ip nat outside //配置NAT出接口

！

如果只是需要開放服務器的某些端口，則可使用靜態端口映射，更加安全：

ip nat inside source static tcp 192.168.1.1 80 183.62.61.10 8080 //將TCP協議80端口映射到8080

 

動態NAT：

是動態多對M的映射。動態NAT首先要定義合法地址池，然後採用動態分配的方法映射到內部網絡。

比如NAT地址池裏有2個可用地址，但有3臺主機需要上網，那麼第Pc3就必須等到PC1或者PC2業務結束，把IP地址放回NAT地址之後才能使用。

 

R2配置示例：

ip nat pool ccna 183.62.61.20 183.62.61.30 netmask 255.255.255.0 //定義NAT地址池

access-list 1 permit 192.168.1.0 0.0.0.255 //定義訪問控制列表

ip nat inside source list 1 pool ccna //將ACL與NAT地址池關聯

ip route 0.0.0.0 0.0.0.0 183.62.61.2

interface f0/0

ip address 192.168.1.254 255.255.255.0

ip nat inside //配置NAT入接口

interface f1/0

ip address 183.62.61.1 255.255.255.0

ip nat outside //配置NAT出接口

no shutdown

 

 

PAT/端口複用：

PAT則是把內部地址映射到外部網絡IP地址的不同端口上，從而可以實現一對多的映射。由上面推論，PAT理論上可以同時支持(65535 - 1024) = 64511個會話連接。但是實際使用中由於設備性能和物理連接特性是不能達到的，Cisco的路由器NAT功能中每個公共IP最多能有效地支持大約4000個會話。PAT對於節省IP地址是最爲有效的

 

 

R2配置示例：

access-list 1 permit 192.168.1.0 0.0.0.255 //定義訪問控制列表

ip nat inside source list 1 interface f1/0 overload //將ACL與出接口匹配，並且是PAT方式

ip route 0.0.0.0 0.0.0.0 183.62.61.2

interface f0/0

ip address 192.168.1.254 255.255.255.0

ip nat inside //配置NAT入接口

interface f1/0

ip address 183.62.61.1 255.255.255.0

ip nat outside //配置NAT出接口

no shutdown

 

NAT輪詢：

外部用戶對內部的真實主機訪問時，NAT路由器會會截獲得訪問的數據包，把目的地址以以循環方式把目的地址轉換爲對應的真實主機上，以實現內網服務器的負載均衡

• 比如，內網有2臺服務器，分別是 192.168.1.1、192.168.1.2、
• 這2臺服務器對公網開放的內容都是一樣的，爲了避免公網的訪問流量對單臺服務器造成的負荷，可將公網的流量以負載均衡的方式，讓每臺服務器承擔二分之一的訪問量，

• 用戶第一次訪問將跳轉到192.168.1.1這臺服務器，第二次訪問將跳轉到192.168.1.2，以此輪詢。

 

 

R2配置示例：

ip nat pool ccna 192.168.1.1 192.168.1.3 netmask 255.255.255.0 type rotary //定義內網服務器流量分擔地址,並且是輪詢的方式

 

access-list 1 permit 183.62.61.1 0.0.0.0 //定於被轉換的地址，一般爲路由器ouside 接口地

址，也可爲其他公網IP

ip nat inside destination list 1 pool ccna // 關鍵！！將負載地址池與訪問列表關聯

ip route 0.0.0.0 0.0.0.0 183.62.61.2

interface f0/0

ip address 192.168.1.254 255.255.255.0

ip nat inside //配置NAT入接口

interface f1/0

ip address 183.62.61.1 255.255.255.0

ip nat outside //配置NAT出接口

no shutdown

！

 

 

第十四次課：

 

PPP協議

• 點到點鏈路層協議，沒有MAC地址的概念
• PPP具有動態分配和使用IP地址的能力，允許在連接時刻協商IP地址
• PPP支持多種網絡協議，比如TCP/IP、IPX等
• 能夠控制數據鏈路的建立
• 能夠配置和測試數據鏈路
• 能夠進行錯誤監測
• 提供身份驗證
• 有協商選項，能夠對網絡層的地址和數據壓縮等進行協商
• PPP可以用於多種類型的物理介質上，包括串口線、電話線、光纖（例如SDH），也用於Internet接入。

 

PPP協議子層：

 

鏈路控制協議（LCP：Link Control Protocol）

主要用來建立、拆除和監控數據鏈路。以及建立數據鏈路之前進行一系列參數的協商，協商內容包括MTU（最大傳輸單元），魔術字（magic number）， 驗證方式，數據壓縮等等。

 

網絡層控制協議（NCP：Network Control Protocol）

NCP是一個協議族，主要負責解決物理連接上運行什麼網絡協議，以及解決上層網絡協議發生的問題。不同的網絡層協議有着不同的NCP，例如IP 爲IPCP ，CDP爲CDPCP。

 

認證協議

主要用於提供對PPP功能的進一步支持。例如 口令認證協議PAP 和 挑戰握手驗證協議CHAP。

 

 

PPP會話建立過程：

鏈路建立階段（Link-establishment phase）

PPP在建立鏈路之前要進行一系列的協商， PPP 首先進行LCP協商，每個PPP設備發送LCP包來配置和測試鏈路。LCP包包括一個叫做“配置選項”的字段，協商內容包括MRU（最大傳輸單元），魔術字（magic number）， 是否驗證，以及驗證方式，如果沒有設置“配置選項”字段，則使用默認的配置。

 

認證階段 (Authentication phase)

在這個階段，被認證方會將自己的身份發送給遠端的接入服務器。（有則認證，無則跳過） 。在認證完成之前，禁止從認證階段前進到網絡層協議階段。如果認證失敗，認證者應該躍遷到鏈路終止階段。在這一階段裏，只有鏈路控制協議、認證協議，和鏈路質量監視協議的packets是被允許的。在該階段裏接收到的其他的packets必須被靜靜的丟棄。最常用的認證協議有口令驗證協議（PAP）和挑戰握手驗證協議（CHAP）

 

網絡層協商階段（Network layer protocol phase）

證階段完成之後，PPP使用NCP允許封裝成多種網絡層協議並在PPP數據鏈路上發送。建立和NCP的服務關係。

NCP配置完畢，雙方開始發送數據。

 

 

PPP認證：

• 認證過程非常簡單，二次握手機制。
• 使用明文格式發送用戶名和密碼。
• 發起方爲被認證方，也可以雙方都配置認證。可以做無限次的嘗試（暴力破解）。
• 只在鏈路建立的階段進行PAP認證，一旦鏈路建立成功將不再進行認證檢測。
• 目前在PPPOE撥號環境中用的比較常見。

 

PAP單向認證

服務器是認證方，客戶端是被認證方

R1（認證方）配置示例：

username CCNA password CISCO@123

interface Serial1/0

clock rate 64000 //串行接口在DCE端配置時鐘，DCE端一般爲運營商，模擬器配不配無所謂。

ip address 12.1.1.2 255.255.255.252

encapsulation ppp

ppp authentication pap

!

R2（被認證方）配置示例：

interface Serial1/0

ip address 12.1.1.1 255.255.255.252

encapsulation ppp

ppp pap sent-username CCNA password CISCO@123

!

 

PAP雙向認證

雙方即是認證方，也是被認證方

R1配置示例：

username CCNA password CISCO

!

interface Serial1/0

ip address 12.1.1.1 255.255.255.252

encapsulation ppp

ppp authentication pap

ppp pap sent-username CCNP password CISCO@123

 

R2配置示例：

username CCNP password CISCO@123

!

interface Serial1/0

ip address 12.1.1.2 255.255.255.252

encapsulation ppp

ppp authentication pap

ppp pap sent-username CCNA password CISCO

!

 

 

CHAP認證：

• CHAP認證過程比較複雜，三次握手機制。
• 使用密文格式發送CHAP認證信息。
• 由認證方發起CHAP認證，也可以雙方都配置認證，有效避免暴力破解，
• 在鏈路建立成功後具有再次認證檢測機制。
• 目前在企業網的遠程接入環境中用的比較常見。

 

CHAP單向認證

R1配置示例：

username CCNA password CISCO

!

interface Serial1/0

ip address 12.1.1.1 255.255.255.252

encapsulation ppp

ppp authentication chap

 

R2配置示例：

interface Serial1/0

ip address 12.1.1.2 255.255.255.252

ppp chap hostname CCNA

ppp chap password 0 CISCO

!

 

CHAP 雙向認證

R1配置示例：

username CCNP password CISCO@123

//雙方數據庫中用戶名可以不一樣，但密碼必須一樣

!

interface Serial1/0

ip address 12.1.1.1 255.255.255.252

encapsulation ppp

ppp authentication chap

ppp chap hostname CCNA

ppp chap password CISCO@123

 

R2配置示例：

username CCNA password CISCO@123

//雙方數據庫中用戶名可以不一樣，但密碼必須一樣

 

interface Serial1/0

ip address 12.1.1.2 255.255.255.252

encapsulation ppp

ppp authentication chap

ppp chap hostname CCNP

ppp chap password CISCO@123

 

 

 

PPPOE技術：

PPP協議又由於其本身的特點在點對點廣域網鏈路中被廣泛應用，支持多協議、支持身份驗證技術等等。

PPPoE技術可以理解爲此二者的結合，在以太網鏈路上，繼承PPP協議的衆多優點，其中以身份驗證技術最搶眼。

PPPoE提供通過簡單橋接的接入服務器把一個網絡的多個主機連接到遠程接入服務器的功能

如今PPPoE技術已經被廣泛應用在運營商接入，許多家庭寬帶用戶，都是使用PPPoE撥號上網

 

PPPOE數據幀：

 

PPPOE鏈路建立過程：

 

 

PPPOE配置：

PPPOE Server R2配置示例：

username CISCO password 0 CISCO

！

ip dhcp pool CISCO

network 23.1.1.0 255.255.255.0

default-router 23.1.1.2

！

bba-group pppoe global //全局一定要敲！

virtual-template 1

！

interface Virtual-Template1

ip address 23.1.1.2 255.255.255.0

ip mtu 1492

peer default ip address dhcp-pool CISCO

ppp authentication pap

!

interface Ethernet0/0

no ip address

pppoe enable group global //接口記得關聯

!

 

PPPOE Client R3配置示例：

interface Dialer0

ip address dhcp

ip mtu 1492

encapsulation ppp

dialer pool 1 //定義撥號編號爲1

ppp pap sent-username CISCO password 0 CISCO

!

interface Ethernet0/0

no ip address

pppoe enable

pppoe-client dial-pool-number 1 //定義爲PPPOE客戶端，並且調用 dialer pool 1

!

動態產生默認路由（可選）：

interface Dialer0

ppp ipcp route default

 

 

 

GRE VPN（Generic Routing Encapsulation）：

通用路由封裝協議GRE協議，它提供了將一種協議的報文封裝在另一種協議報文中的機制，使報文能夠在tunnel(隧道)中傳輸。

優點：

• 支持多種協議和多播
• 能夠用來創建彈性的VPN
• 支持多點隧道

 

缺點：

• 缺乏加密機制
• 沒有標準的控制協議來保持GRE隧道（通常使用協議和keepalive）
• 隧道很消耗CPU
• 出現問題要進行DEBUG很困難
• MTU和IP分片是一個問題

 

隧道技術（Tunnel）：

Tunnel 是一個虛擬的點對點的連接，提供了一條通路使封裝的數據報文能夠在這個通路上傳輸，並且在一個Tunnel 的兩端分別對數據報進行封裝及解封裝。

 

GRE包頭格式：

 

 

1、R2、R3運行GRE VPN

2、R2、R3啓用EIGRP協議

3、PC1、PC2通信走GRE隧道

IP地址配置過程與不再贅述

 

R2配置示例：

interface Ethernet0/0

ip address 12.1.1.2 255.255.255.0

!

interface Tunnel0

tunnel mode gre ip //默認封裝

ip address 172.16.1.2 255.255.255.0

tunnel source Ethernet0/0 //也可寫IP

tunnel destination 13.1.1.3

!

router eigrp 1

network 172.16.1.2 0.0.0.0

network 192.168.1.254 0.0.0.0

 

R3配置示例：

interface Ethernet0/1

ip address 13.1.1.3 255.255.255.0

!

interface Tunnel0

tunnel mode gre ip

ip address 172.16.1.3 255.255.255.0

tunnel source Ethernet0/0

tunnel destination 12.1.1.2

!

router eigrp 1

network 172.16.1.3 0.0.0.0

network 192.168.2.254 0.0.0.0

no auto-summary