第一天
网络?
终端设备:PC 手机 平板
传输介质:双绞线 光纤 同轴电缆 无线
传输设备:路由器 交换机 出口网关 防火墙
传输协议:IP(互联网协议) 协议:通信用的统一语言
QQ:OICQ协议 HTTP:超文本传输协议
接入层:端口多,接入终端设备(二层交换机)
汇聚层:汇聚接入流量(路由器或三层交换机)
核心层:负责整个LAN(局域网)流量的转发
WAN:广域网 作用:实现不同LAN的通信
OSI: 7层 ( 物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 )
二层(数据链路层)协议:VLAN STP 链路聚合
三层(网络层)协议:静态 rip ospf bgp
其他协议:dhcp acl nat
广域网协议:ppp
无线:AP-AC
安全:上网行为审计
二层交换机:实现同网段数据的通信
路由器(三层交换机):实现不同网段的数据通信
用户模式 Router>
Router>enable
特权模式 Router#
Router#configure terminal 或 conf t (简化命令)
全局配置模式 Router(config)#
查看命令 ?
补全命令 tab
退出 exit end
保存(在特权模式下)write
重启(在特权模式下)reload
修改主机名称 Router(config)#hostname li
配置接口IP地址:
1.进入接口:li(config)#interface fastEthernet 0/0
Router(config)#int f0/1 简化命令
2.开启接口:no shutdown 关闭接口:shutdown
3.配置IP地址:li(config-if)#ip address 192.168.1.254 255.255.255.0
4.查看所有配置:show running-config 特权模式下
Ping命令在特权模式下
!!!!! ping通
..... ping不通
网关:负责不同网段的数据转发
简要查看ip地址和接口关系 Router#show ip interface brief
Router#show ip int brief
测试直连 ping
TCP:传输控制协议 可靠转发 速度慢
UDP:用户数据包协议 不可靠 速度快
路由器的工作原理:转发动作:收到数据,根据数据的目的IP地址,查路由表转发
路由表:路由器默认存在路由表 路由器会将本路由器的直连网段加入本路由器的路由表
查看IP路由表:show ip route
loopback 口:环回接口 模拟一个网段 稳定 命令:R2(config)#int loo1 或 R2(config)#interface loopback 2
路由器获取路由表:
1.静态路由:网络管理员手工配置: ip route 目的网段 子网掩码 出接口 下一跳
ip route 目的网段 子网掩码 出接口
ip route 目的网段 子网掩码 下一跳
配置缺省路由或默认路由: ip route 0.0.0.0 0.0.0.0 下一跳
2.动态路由:自动学习路由 rip ospf bgp ISIS EIGRP
按照范围划分:
(IGP路由协议)AS内:rip ospf ISIS EIGRP
(EGP路由协议)AS间:bgp
AS:自治区域系统 一个路由器管理域的集合
Rip工作原理:
1. 开启rip,发送请求,收到请求,进行回复。
2. 当网络稳定时,会周期性(默认30秒左右)发送更新消息
配置V2版 rip
1.进入rip进程: R1(config)#router rip
2.升级版本: R1(config-router)#version 2
3.宣告直连网段: R1(config-router)#network 192.168.1.0
4.删rip no router rip
Rip连接15台路由器 环路问题
第二天
Ospf(开放式最短路径优先协议)
工作原理:
1.发送hello消息,建立邻居关系
2.泛洪LSA(链路状态通告),形成相同的数据库(LSDB)
3.运行SPF算法,得出最优路由
减小LSDB大小:区域(area) 划分多个区域
区域:骨干区域 area 0
非骨干区域 area 1 area 2 …… area NUM
区域部署原则:非骨干区域之间通讯,必须跟骨干区域互连
配置ospf
1. 进入ospf进程: R3(config)#router ospf 1
2. 宣告网段所在区域: R3(config-router)# network 192.168.3.0 0.0.0.255 area 0( 反掩码 等于255.255.255.255 减去 子网掩码 )
3. 删除错误的ospf条目 R3(config-router)# no network 192.168.3.0 0.0.0.255 area 0
查看ospf的邻居关系: R1#sh ip ospf neighbor
bgp(边界网关协议)
AS号:16bit 2^16=65536 范围 0 ~ 65535
32bit 2^32=4294967296
工作原理:
1. 手工建立邻居关系
2. 发送路由表
配置bgp:
1. 配置bgp所属AS:router bgp AS号 Router(config)#router bgp 100
2. 手工建立邻居关系:neighbor 192.168.2.2 remote-as 200
3. 宣告网段( 只宣告需要传递的网段 ):network 192.168.1.0 mask 255.255.255.0
设置router-id router-id
路由引入:
R3(config-router)#redistribute
R3(config-router)#redistribute connected subnets ( 引入直连的子网 )
路由跟踪命令 tracert
PBR:策略路由(工具) 不改变路由 只影响数据转发的方向
- 选择出要改变的流量(数据):ACL( access-list ):访问控制列表
- 基本ACL:根据源IP地址选择
配置:
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
2.扩展ACL:根据源IP地址,目的IP,源端口,目的端口选择
配置访问控制web流量:
access-list 120 permit tcp 192.168.1.0 0.0.0.255 192.168.6.0 0.0.0.255 eq 80
1. 创建PBR:
1.route-map vincent(自定义名称 ) permit 10(编号)
2. match ip address 10 如果地址是acl 10
3. set next-hop 192.168.2.2 那么下一跳改为
2. 调用PDR: ip policy route-map vincent
Web:http:tcp 80
ftp:tcp 20 21
DHCP:动态主机配置协议
作用:自动分配IP地址 优点:节省时间,避免ip地址冲突。
配置:
1. 开启dhcp功能:service dhcp
2. 创建地址池:
1. ip dhcp pool vincent
2. network 192.168.1.0 255.255.255.0
3. default-router 192.168.1.254
4. dns-server 8.8.8.8
5. lease 2 2 2 (租期两天两小时两分钟)
6. 保留192.168.1.1—100:ip dhcp excluded-address 192.168.1.1 192.168.1.100 (全局配置模式下)
服务器默认dhcp租期是24小时
第三天
VRRP:虚拟路由器冗余协议 保证网管可靠 用两个物理路由器维护一个虚拟路由器,虚拟路由器的地址就是虚拟网关
VIP:虚拟地址
主/备VIP比较规则:
1. VRRP优先级 ( 默认100起 ) 越大优先
2. 比较接口IP 越大越优先
配置
1. Vrrp 1(编号) ip 192.168.1.100(vip)
2. 改vrrp优先级 vrrp 1 priority 120
3. 查看vrrp show vrrp brief
VLAN:虚拟局域网 12bit 2^12 4096个 (0-4095) 可使用1-4094
VXLAN:虚拟扩展局域网 24bit 2^24
HUB:集线器 半双工模式 会出现冲突域:丢包 延迟大 所有接口处于同一个广播域
交换机:解决冲突域,所有接口处于同一个广播域
解决广播域:
1. 路由器
2. VLAN(交换机) 隔离广播域
接口类型:
PC-S access接口
S-S trunk接口
交换机上默认存在vlan1,并且所有接口都属于vlan1
1. 查看VLAN: show vlan
2. 创建VLAN:
1. 创建单个VLAN: vlan 10
2. 注释(设置VLAN名字):name vincent
3. 创建多个VLAN:vlan range 20,30,40 单个命名
3. access配置:
1. 先进接口
2. 设置接口类型:switchport mode access
3. 设置接口所属VLAN:switchport access vlan 10
4.
trunk配置:
1. 先进接口
2. 设置接口类型:switchport mode trunk
3. 设置要通过的VLAN:switchport trunk allowed vlan add/remove 10,20
4. 移除所有VLAN: switchport trunk allowed vlan remove 1-4094
5. 设置统一配置:
1. 进入接口:interface range f0/3-7
2. 设置接口类型:switchport mode access
3. 设置接口所属VLAN:switchport access vlan 10
链路聚合: 增大带宽,减少拥塞(聚合接口设置完,设置VLAN要在聚合接口出做)
条件:带宽和工作方式相同
锐捷配置:
1. 创建聚合接口:interface aggregateport 10(编号)
2. 将真实接口加入到聚合接口:
1. 进真实接口:int f0/10
2. 加入接口:Port-group 10
如何在交换机上配置ip地址:
1. 创建vlan的虚拟接口:
1. Int vlan 10
2. Ip add
2. 开启路由功能:Ip routing
将二层接口变为三层接口:no switchport
将三层接口变成二层接口:switchport
STP:生成树协议(交换机)
为什么使用STP?
为了网络可靠使用环型结构,会导致环路,出现广播风暴,出现宕机状况。
阻塞端口作用:保证线路的可靠性,防止产生环路。
生成树版本:
1. STP:普通生成树,速度慢
2. RSTP:快速生成树,
3. MSTP:多实例生成树,多个RSTP ,出现主根备根
次优路径:由于使用单个生成树,如出现线路问题,数据则会通过次优路径通信。
根:比较网桥ID (交换机的唯一标识) MAC地址+优先级 先比优先级再比MAC地址 默认的优先级为32768(越小越优先)
改优先级的事要注意是4096的倍数。
交换机上默认存在实例0
MSTP配置:
1. 模式改为MSTP:spanning-tree mode mstp
2. 配置MSTP:
1. 先进入mstp配置域:spanning-tree mst configuration
2. 定义名称:name vincent
3. 在实例一中加入vlan10:Instance 1 vlan 10
4. 在实例二中加入vlan20:Instance 2 vlan 20
5. 激活MSTP:
6. 修改设备优先级(修改主根/备份根):
1. spanning-tree mst 1 priority 4096
2. spanning-tree mst 2 priority 8196
VSU:交换机虚拟化 ---------堆叠 只能堆叠万兆口
将多台交换机虚拟成一台设备进行管理 保证可靠,简化网络
主/备比较:
1. 先比优先级,越大越优先
2. 再比交换id(switch id)越小越优先
配置堆叠:
1. 创建堆叠域(同一个域中的设备才能做堆叠):switch virtual domain 10 (默认100)
2. 设置switch id(默认值是1):switch 1
3. 设置优先级(默认值100):switch 1 priority 200
4. 配置堆叠口:
1. 创建堆叠口:全局配置模式下,vsl-port
2. 将物理接口加入堆叠口:port-member interface tenGigabitEthernet 0/25
3. port-member interface tenGigabitEthernet 0/26
5. 保存配置:write
6. 激活堆叠:在特权模式下,switch convert mode virtual
配置telnet密码:
1. 配置enable密码:全局配置模式下:enable password mima
2. 设置用户名和密码:全局配置模式下:username vincent password vincent
3. 设置telnet接口( vty )密码:
1. Line vty 0 4 ( 允许五个用户 )
2. Login local ( 本地验证 )
第四天
PPP协议:点到点协议
广域网协议( WAN ):PPP HDLC(高级数据链路控制协议) FR(帧中继)
以太网协议( LAN ):VLAN STP 链路聚合 VSU ospf rip
以太网:
1.
并行传输,F0/0 G0/0
广域网:
1. 串行传输,S0/0 串行速度快于并行
2. 模式:
1. 异步传输:传输之前不需要协商
2. 同步传输:传输之前需要协商,实时性 时钟
3. DCE:数据通讯设备
4. DTE;数据终端设备
PPP协议:提供认证服务
1. PAP认证( 密码认证协议 ) 明文传输
2. CHAP认证( 挑战握手协议 ) 密文传输
认证方:验证用户名与密码
被认证方:提交用户名和密码
AAA协议:
1. 认证
2. 计费
3. 授权
思科默认接口协议是HDLC
配置PPP:
1. 配置AAA( 配置用户名,密码 ): Router(config)#username vincent password vincent
2. 开启AAA: aaa new-model
3. PPP做认证时采用AAA的本地认证: Router(config)#aaa authentication ppp default local
4. 在接口下配置PPP:
1. 进入接口:
2. 改变接口的封装协议改为PPP: Router(config-if)# encapsulation PPP ( 思科默认接口协议是HDLC )
3. 改接口认证类型为chap:Router(config-if)#ppp authentication chap
被认证方提交用户名与密码:
1. 进接口
2. 改变接口封装协议:Router(config-if)#encapsulation ppp
3. 提交用户名:Router(config-if)#ppp chap hostname vincent
4. 提交密码:Router(config-if)#ppp chap password vincent
5. pap的提交方式是一次性提交用户名密码
设置波特率( 带宽 ):
在接口下输入:Clock rate 2000000 ( 修改带宽为2M )
1Mbit/s=1000000bit/s
禁止路由解析 no ip domain-lookup
无线:
1. 硬件:
1. AP:无线接入点
1. 瘦AP:单独的管理软件或控制器AC
2. 胖AP:可自主管理
2. AC:无线控制器
2. AC-AP:
1. 配置vlan:(1.创建vlan 2.设置接口为access 10,20 3.配置vlan的IP地址)
1. Ap vlan:
1. vlan 10
2. name AP
3. ip add 192.168.1.1 255.255.255.0
2. 用户 vlan:
1. vlan 20
2. name user
3. ip add 192.168.2.1 255.255.255.0
3. Loopback0:
1. Loopback 0
2. Int loo0
3. Ip add 1.1.1.1 255.255.255.0
4. 开接口access允许 vlan10,20 通过
2. 配置dhcp:
1. Ap dhcp( option 138):
1. Service dhcp
2. Ip dhcp pool ap
3. Option 138 ip 1.1.1.1
4. Network 192.168.1.0 255.255.255.0
5. Default-router 192.168.1.1
6. Dns-server 8.8.8.8
2. 用户 dhcp:
1. Service dhcp
2. Ip dhcp pool user
3. Network 192.168.2.0 255.255.255.0
4. Default-router 192.168.2.1
5. Dns-server 8.8.8.8
- 配置无线:
- 配置SSID:Wlan-config 10 vincent (创建一个编号为10的SSID名字为vincent)
- 配置ap-group( SSID与用户的VLAN相关联):
- ap-group vincent
- interface-mapping 10 20
- 把AC的配置下发到AP 上:
- 查看AC:show ac-config client
- ap-config xxx ----->把ap组的配置关联到ap上(XXX为某个ap的名称时,那么表示只在该ap下应用ap-group;第一次部署时默认XXX实际是AP的MAC地址)
- ap-group vincent
- 配置ap-group( SSID与用户的VLAN相关联):
- 配置SSID:Wlan-config 10 vincent (创建一个编号为10的SSID名字为vincent)
验证命令:
1. 使用无线客户端连接无线.
2. 在无线交换机上使用show ap-config summary命令查看AP的配置,使用show ap-config running-config 可查看AP详细配
3. 查看show ac-config client summary by-ap-name 可查看关联到无线的无线客户端
第五天
热备份:
1. 优点:大大增加了无限的无线网络稳定性和防灾能力
2. 缺点:需要增加无线控制器AC设备和增加额外配置
热备份:保证可靠 两个设备都存活
无线AC启用热备份功能,当AC主机或者链路中断时用户可以迅速切换到备份AC
热备份之前实现VLAN互通:
热备份配置:
1. 创建SSID:wlan-config 1 vincent
2. 配置ap-group:
1. ap-group vincent
2. interface-mapping 1 10
3. 热备份:
1. AC-1(config)#wlan hot-backup 2.2.2.2 ----->配置对端IP地址
2. AC-1(config-hotbackup)# context 10 ----->配置备份实例
3. AC-1(config-hotbackup-ctx)# priority level 7 ----->配置AC-1热备实例优先级,7表示抢占模式
4. AC-1(config-hotbackup-ctx)# ap-group vincent----->将ap-group加入热备实例
5. AC-1(config-hotbackup-ctx)# dhcp-pool vincent----->将无线用户地址池加入热备实例
6. AC-1(config-hotbackup-ctx)# vrrp interface VLAN 10 group 1 ----->无线用户网关VRRP组加入热备实例
7. AC-1(config-hotbackup-ctx)# vrrp interface VLAN 30 group 1 ----->AC-1 和 AC-2 VRRP组加入热备实例
8. AC-1(config-hotbackup)# wlan hot-backup enable ----->启用热备功能
9. 配置另个AC
4. 查看热备份: 通过show wlan hot-backup,确认connect 状态为channel_up
VLAN
MSTP ßà VRRP保证mstp主根与vrrp主为同一个交换机
BFD:快速检测技术 毫秒级检测
中国三大网络:Internet PSTN CATV
出口网管 防火墙 安全审计
NAT:网路地址转换技术 // 私网 --( 防火墙 出口网管 )-- 公网
IPV4: 2^32
IPV6: 2^128
解决Ipv4紧缺:
1.VLSM
2.私网地址
3.NAT
私网地址:局域网内部使用
- 10.0.0.0-10.255.255.255
- 172.16.0.0-172.31.255.255
- 192.168.0.0-192.168.255.255
公网地址:互联网
配置NAT:
1.保证内网互通
2.保证数据出内网配置缺省路由 0.0.0.0
3.NAT:
1.选择要转换的流量( 使用acl ): access-list 1 permit 10.1.1.0 0.0.0.255
2.配置公网地址池:ip nat pool vincent( 名字 ) 170.168.2.3( 起始地址) 170.168.2.254(结束地址) netmask 255.255.255.0
3.关联:ip nat inside source list 1 pool vincent
4.配置内外网接口:
1.进内接口
2.Ip nat inside
3.进外接口
4. Ip nat outside
出口网关:桌面化设置 NAT用命令行设置