IP容量
ip地址一共是32位,/24就表示他的网络号是24位。
也就是说共有 2^(32-24)-2 个主机(因为主机为全0和1的保留不用,所以需要减2),共254个ip。
/24:2的8次方-2 :254
/25:2的7次方-2 :126
/26:2的6次方-2 :62
IP总数 | 子网掩码 | Amount of a Class C | |
---|---|---|---|
/32 | 1 | 255.255.255.255 | |
/31 | 2 | 255.255.255.254 | |
/30 | 4 | 255.255.255.252 | 1/64 |
/29 | 8 | 255.255.255.248 | 1/32 |
/28 | 16 | 255.255.255.240 | 1/16 |
/27 | 32 | 255.255.255.224 | 1/8 |
/26 | 64 | 255.255.255.192 | 1/4 |
/24 | 256 | 255.255.255.0 | 1 |
/23 | 512 | 255.255.254.0 | 2 |
/22 | 1024 | 255.255.252.0 | 4 |
/21 | 2048 | 255.255.248.0 | 8 |
/20 | 4096 | 255.255.240.0 | 16 |
/19 | 8192 | 255.255.224.0 | 32 |
/18 | 16384 | 255.255.192.0 | 64 |
/17 | 32768 | 255.255.128.0 | 128 |
/16 | 65536 | 255.255.0.0 | 256 |
一、eNSP
1.什么是eNSP
eNSP(Enterprise Network Simulation Platform)是一款由华为提供的免费的、可扩展的、图形化操作的网络仿真工具平台,主要对企业网络路由器、交换机进行软件仿真,完美呈现真实设备实景,支持大型网络模拟,让广大用户有机会在没有真实设备的情况下能够模拟演练,学习网络技术。
2.交换机命令行视图
进入交换机或路由器会有一个命令界面,如下
添加一台交换机,右键选择启动,然后双击,进入命令界面
3.eNSP视图模式
eNSP有种视图模式 : 用户视图 | 系统视图 | 接口视图 | 协议视图
一般 用的比较多的是系统视图和接口视图
**切换视图 **
① 切换用户视图( <主机名> )
默认状态下是用户视图 按 CTRL+ ] 可以进入用户视图
② 切换系统视图( [主机名] )
在用户模式下输入 system-view 可以进入系统视图
③ 切换接口视图 ( [主机名-接口名] )
在系统视图下 输入接口名可以进入接口视图
**补充: **
①接口有一般有两种类型 以E开头和以G开头 以E开头的为百兆接口,以G开头的为千兆接口
②路由器一般选用AR2220
③交换机使用三层交换机 选用S3700(百兆接口) 或 S5700(千兆接口)
④接口连线使用auto自动连接即可
二、eNSP的简单使用
1.修改交换机或路由器主机名
#修改主机名必须进入系统视图
<Huawei> system-view
#名称:r3
[Huawei] sysname r3
#quit或者q返回-上一级;return任何位置-返回到用户视图
[r3]quit
#保存
<r3>save
显示VRP版本,查看交换机配置
#显示VRP版本
[Huawei]display version
#查看交换机配置-配置信息较多,按空格可以跳页查看
# 可以简写为 dis cu
[Huawei]display current-configuration
2.路由器设置登录账号
#如果你想要其他人无法修改路由器或交换机的配置,可以创建一个登录账号
#屏蔽泛红
<Huawei>undo ter mon
#进到系统视图
<Huawei>system-view
#进入aaa认证
[Huawei]aaa
#创建账户叫root,密码123 ,cipher 为加密方式
[Huawei-aaa] local-user root password cipher 123
[Huawei-aaa] local-user root privilege level 15
[Huawei-aaa] undo local-user root service-type
[Huawei-aaa] q
[Huawei]user-interface console 0
#激活配置,一定要激活不然重启后失效
[Huawei-ui-console0]authentication-mode aaa
3.删除当前命令,恢复设备出厂默认值
#删除当前命令 undo port
#undo +命令
[r1-GigabitEthernet0/0/1] undo ip address 192.168.2.254 24
#重置配置文件,系统提示Y/N,输入Y
<Huawei>reset saved-configuration
#重启设备,弹出两次提示信息 第一次为确认是否保存N 第二次提示确认是否重启Y
<Huawei>reboot
4.屏蔽警告提示信息
<Huawei> undo terminal debugging
#屏蔽泛红消息
<Huawei> undo terminal monitor
<Huawei> undo terminal logging
<Huawei> undo terminal trapping
三、配置IP地址、子网掩码、网关等等
1.PC的配置
双击PC机,打开其基础配置,在IPv4配置选项卡中可设置IP地址、子网掩码、网关。
例设置IP地址、子网掩码、网关分别为:192.168.1.11 、255.255.255.0、192.168.1.254,如下图:
2.路由器的配置ip
若要对路由器的接口进行配置,在CLI中需转到接口视图,并进入相应的接口,然后输入ip address后跟ip地址和子网掩码,之间空格隔开。
例对路由器的GigabitEthernet0/0/0接口配置ip地址和子网掩码分别为:192.168.1.254、255.255.255.0。
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]return
<Huawei>save
#查看接口IP配置
<Huawei>display ip interface brief
3.路由器设置DHCP
3.1全局地址池配置步骤:
#定义地址池
ip pool Global-pool
#配置网关地址列表
gateway-list 192.168.1.254
#设置地址网段
network 192.168.1.0 mask 255.255.255.0
#设置不参与自动分配的IP地址范围
excluded-ip-address 192.168.1.1
#设置租约,默认1天
lease day 3 hour 0 minute 0
#设置DNS服务器地址
dns-list 114.114.114.114 8.8.8.8
3.1.1应用(在某接口上应用)
#应用(在某接口上应用)
dhcp enable #在路由器上启用DHCP服务
int G0/0/0 #在接口上应用
#ip address 192.168.1.254 24
dhcp select global
return
save
#检查
display ip interface brief
3.2基于接口的DHCP服务器配置步骤
dhcp enable #在路由器上启用DHCP服务
int G0/0/1
ip address 192.168.2.254 24
dhcp select interface
dhcp server excluded-ip-address 192.168.2.1
dhcp server lease day 3 hour 0 minute 0
dhcp server dns-list 114.114.114.114 8.8.8.8
#检查
display ip interface brief
4.华为交换机配置vlan和ip
#屏蔽泛红消息
<Huawei>undo terminal monitor
#创建vlan 10
[Huawei] vlan 10
#进入vlan 10
[Huawei] int Vlanif 10
#设置ip地址
[Huawei-Vlanif10] ip address 192.168.10.254 24
[Huawei-Vlanif10] q
#进入接口
[Huawei]int g0/0/1
#access只允许一个vlan通过
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 10
#返回用户视图
[Huawei-Vlanif10] return
#保存
<Huawei> save
#查看vlan信息
<Huawei> display vlan
5.配置静态路由
需求:192.168.1.2访问192.168.2.1
R1路由器-添加静态路由
#目的网段 + 掩码 + 下一跳
[r1] ip route-static 192.168.2.0 255.255.255.0 10.0.0.2
R2路由器-添加静态路由
[r2] ip route-static 192.168.1.0 255.255.255.0 10.0.0.1
6.单臂路由-交换机配置vlan
1.2 交换机配置vlan
undo ter mon
sys
vlan batch 10 20 30
int g0/0/2
#类型access,允许单个vlan口通过
port link-type access
port default vlan 10
q
int g0/0/3
port link-type access
port default vlan 20
q
int g0/0/4
port link-type access
port default vlan 30
q
int g0/0/1
#类型trunk,允许多个vlan口通过
port link-type trunk
#允许10/20/30的vlan口通过
port trunk allow-pass vlan 10 20 30
#允许所有的vlan口通过
#port trunk allow-pass vlan all
1.2单臂路由只有一个口,从逻辑上分成3个口 0.1 0.2 0.3
undo ter mon
sys
int g0/0/0.1
ip address 192.168.1.254 24
#封装到10
dot1q termination vid 10
#开启arp广播
arp broadcast enable
int g0/0/0.2
ip address 192.168.2.254 24
dot1q termination vid 20
arp broadcast enable
int g0/0/0.3
ip address 192.168.3.254 24
dot1q termination vid 30
arp broadcast enable
7.设置远程登入
#进到系统视图
<Huawei>system-view
#进入aaa认证
[Huawei]aaa
#创建账户叫huawei,密码123 ,cipher 为加密方式
[Huawei-aaa] local-user huawei password cipher 123
[Huawei-aaa] local-user huawei privilege level 3
#设置用户类型
[Huawei-aaa] local-user huawei service-type telnet
[Huawei-aaa] quit
#设置5个用户可以登入
[Huawei] user-interface vty 0 4
#激活配置,一定要激活不然重启后失效
[Huawei-ui-console0] authentication-mode aaa
四、链路聚合
1.交换机创建链路聚合
大白话:将2条线路,逻辑上变成一条
LSW3/LSW4 两台机器都需要添加命令
<Huawei>undo ter mon
<Huawei>sys
[Huawei]int Eth-Trunk 1
[Huawei-Eth-Trunk1]mode manual load-balance
[Huawei-Eth-Trunk1]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]eth-trunk 1
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]eth-trunk 1
#查看
[Huawei]display eth-trunk 1
五、动态路由rip和ospf
1.配置动态路由rip
1.什么是动态路由
动态路由指路由器能够根据路由器之间的交换的特定路由信息自动地建立自己的路由表,并且能够根据链路和节点的变化适时地进行自动调整。
2.什么是RIP路由
1.RIP(Routing Information Protocol)是基于距离矢量算法的路由协议,利用跳数来作为计量标准。最大条数15跳,因此RIP只能应用于小规模网络。
2.路由行为指的是,当网络设备(具有三层路由功能的网络设备,如路由器、三层交换机、防火墙等)收到—个IP报文时,
会在自己的路由表(Routing-table) 中查询报文的目的IP地址,如果能够找到匹配给目的IP地址的路由表项,则根据该表项所指示的下一跳及出接口转发报文;
如果没有任何路由表项匹配,则丢弃该报文。3.路由的行为(路由器转发数据的行为)是逐跳的,因此报文从源去往目的地的过程中,沿途的每一个参与数据转发的网络设备都需要具有关于目的网络的路由。
3.rip缺点:
1、由于15跳为最大值,RIP只能应用于小规模网络。
2、收敛速度慢。
3、根据跳数选择的路由,不一定是最优路由。
R1路由器-添加动态路由
[Huawei]rip
[Huawei-rip-1]network 192.168.1.0
[Huawei-rip-1]network 10.0.0.0
R2路由器-添加动态路由
[Huawei]rip
[Huawei-rip-1]network 192.168.2.0
[Huawei-rip-1]network 10.0.0.0
2.动态路由ospf
OSPF(Open Shortest Path First)是一种开放式最短路径优先的路由协议,是目前较为流行的内部网关协议(IGP)之一.
OSPF协议通过使用链路状态广播协议(LSA)来建立网络拓扑结构,然后根据运行Dijkstra算法来确定最短路,进而计算出最优的路由信息,从而实现了快速、可靠地构建网络路由。与RIP协议相比,OSPF协议具有更快的收敛时间、更好的可扩展性和更高的性能。
下面是OSPF路由协议的几个重要特点:
- 策略多样性:OSPF协议支持多种路由策略,如等价路由、多路径路由、区域路由等,使得网络运营人员可以更好地控制网络路由。
- 等级结构:OSPF协议具有信息等级结构,可用于组织、管理和优化网络带宽资源。
- 可靠性和高性能:OSPF协议通过建立多个邻居关系,使得网络拓扑结构更加可靠和稳定,并通过 LSA 等机制使得协议在网络中的性能更优。
- 链路状态数据库:OSPF协议中的链路状态数据库(LSDB)维护了网络中所有路由器的信息,可以用来计算全局最短路径。
总之,OSPF协议是一种可靠、高性能、可扩展的路由协议,适用于大型企业和服务提供商的网络环境。
OSPF基本概念
OSPF区域
为了适应大型的网络,OSPF在AS内划分多个区域
每个OSPF路由器只维护所在区域的完整链路状态信息1.区域ID
区域ID可以表示成一个十进制的数字
也可以表示成一个IP
- 骨干区域Area 0
负责区域间路由信息传播3.非骨干区域
非晋干区域相互通信必须通过骨干区域
– 标准区域
– 末梢区域stub
– 完全末梢区域total stub
– 非纯末悄区域nssa
OSPF路由类型
- 区域之间路由器: ABR
- 自制系统边界路由器:ASBR
生成OSPF多区域的原因
改善网络的可扩展性
快速收敛
Router ID
OSPF区域内唯一标识路由器的IP地址
Router ID选取规则
1.选取路由器loopback接口上数值最高的IP地址
2.如果没有loopback接口,在物理端口中选取IP地址最高的
3.也可以使用router-id命令指定Router ID
4.DR和BDR的选举方法
选举DR和BDR
1.DR简介:
一个广播性、多接入网络中的指定路由器(Designated Router)
2.BDR简介:
为减小多路访问网络中OSPF流量,OSPF会选择一个指定路由器(DR)和一个备份指定路由器(BDR)。
当多路访问网络发生变化时,DR负责更新其他所有OSPF路由器。BDR会监控DR 的状态,并在当前DR发生故障时接替其角色。
3.自动选举DR和BDR
网段上Router lID最大的路由器将被选举为DR,第二大的将被选举为BDR
2.手工选择DR和BDR
优先级范围是0~255,数值越大,优先级越高,默认为1
如果优先级相同,则需要比较Router ID
如果路由器的优先级被设置为0,它将不参与DR和DBR的选举
3.DR和BDR的选举过程
路由器的优先级可以影响一个选举过程,但是它不能强制更换已经存在的DR或BDR路由器
OSPF的组播地址
224.0.0.5
224.0.0.6
DRothers向DR/BDR发送DBD、LASR或者Lsu时目标地址是224.0.0.6(AllDRouter)﹔或者理解为:DR/BDR侦224.0.0.6
DR/BDR向DRothers发送更新的DBD、LSR或者Lsu时目标地址是224.0.0.5(AllSPFRouter),或者理解为:DRothers侦听224.0.0.5
度量值
OSPF度量值 cost(开销)=10OM/BW(端口带宽)
– 最短路径是基于接口指定的代(cost路径成本)计算的
R工P是跳数
OSPF协议6种LSA分析
LSA类型 | 描述 |
---|---|
1类 | 所有OSPF路由器都会产生,只在区域内传播 |
2 | DR产生,只在区域内传播 |
3 | ABR产生,在相邻的两个区域相互传播 |
4 | ABR产生,向和ASBR不在同一区域的其他区域传播,用于表示ASBR |
5 | ASBR产生,向整个OSPF协议区传播,用于描述另一个协议域的路由信息 |
7 | NSSA区域中的ASBR产生,用于向NSSA区域通告外部路由 |
每一种区域中允许泛洪的LSA
区域类型 | 1&2 | 3 | 4&5 | 7 |
---|---|---|---|---|
骨干区域(区域O) | 允许 | 允许 | 允许 | 不允许 |
非骨干区域,非末梢 | 允许 | 允许 | 允许 | 不允许 |
末梢区域 | 允许 | 允许 | 不允许 | 不允许 |
完全末梢区域 | 允许 | 不允许*(除了一条默认路由) | 不允许 | 不允许 |
NSSA区域 | 允许 | 允许 | 不允许 | 允许 |
OSPF地址汇总的作用
地址汇总也是通过减少泛洪的LSA数量节省资源
可以通过屏蔽一些网络不稳定的细节来节省资源
减少路由表中的路由条目
2.1 单区域
R1路由器-添加动态路由ospf-单区域
<Huawei>sys
[Huawei]ospf
#创建区域
[Huawei-ospf-1]area 0
#注意网段后面跟的是通配符,0表示不可变
[Huawei-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255
R2路由器-添加动态路由ospf-单区域
<Huawei>sys
[Huawei]ospf
#创建区域
[Huawei-ospf-1]area 0
#注意网段后面跟的是通配符,0表示不可变
[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255
#查看路由
[Huawei]display ip routing-table
2.2 多区域
r1路由器配置
<Huawei>undo ter mon #屏蔽泛红消息
<Huawei>sys #进入
[Huawei]sysname r1 #修改名称
[r1]int g0/0/0 #进入接口
[r1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 #接口定义Ip
[r1-GigabitEthernet0/0/0]un sh #启用接口 1. undo shutdown(un sh):启用接口(接口视图下) 2. shutdown(sh):禁用接口(接口视图下)
[r1]int LoopBack 0 #进入回环口
[r1-LoopBack0]ip address 1.1.1.1 32 #定义Ip
[r1-LoopBack0]q #返回到上一级
[r1]ospf 1 router-id 1.1.1.1 #开启ospf进程号为1 router-id 1.1.1.1
[r1-ospf-1]area 1 #进入区域1,区域ID可以用数字表示,也可以用IP表示,若区域0则是骨干区域
[r1-ospf-1-area-0.0.0.1]authentication-mode hmac-md5 1 cipher passwd123 #区域认证
[r1-ospf-1-area-0.0.0.1]network 192.168.1.0 0.0.0.255 #注意网段后面跟的是 通配符,0表示不可变
[R1-ospf-1-area-0.0.0.1]network 1.1.1.1 0.0.0.0 #宣告oSPF区域内的直连网段,使用通配符
[r1-ospf-1-area-0.0.0.1]return #退出到用户视图
<r1>save #保存
<r1>reset ospf process #重置oSPF进程
<r1>display ip routing #查看路由
<r1>display ip interface brief #查看ip
<r1>display ospf peer brief #查看邻居关系
r2路由器设置
<Huawei>undo ter mon
<Huawei>sys
[Huawei]sysname r2
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip address 192.168.1.2 24
[r2-GigabitEthernet0/0/0]int g0/0/2
[r2-GigabitEthernet0/0/2]ip address 192.168.234.2 24
[r2-GigabitEthernet0/0/2]q
[r2]int LoopBack 0
[r2-LoopBack0]ip address 2.2.2.2 32
[r2-LoopBack0]q
[r2]ospf 1 router-id 2.2.2.2
[r2-ospf-1]a 1
[r1-ospf-1-area-0.0.0.1]authentication-mode hmac-md5 1 cipher passwd123
[r2-ospf-1-area-0.0.0.1]network 192.168.1.0 0.0.0.255
[r2-ospf-1-area-0.0.0.1]a 0
[r2-ospf-1-area-0.0.0.1]authentication-mode hmac-md5 1 cipher passwd123
[r2-ospf-1-area-0.0.0.0]network 192.168.234.0 0.0.0.255
[r2-ospf-1-area-0.0.0.0]q
[r2-ospf-1]q
[r2]int LoopBack 0
[r2-LoopBack0]ospf enable 1 area 0
[r2-LoopBack0]return
<r2>save
<r2>display ospf peer brief
r3路由器配置
<Huawei>undo ter mon
<Huawei>sys
[Huawei]sysname r3
[r3]int g0/0/0
[r3-GigabitEthernet0/0/0]ip address 192.168.234.3 24
[r3-GigabitEthernet0/0/0]q
[r3]int LoopBack 0
[r3-LoopBack0]ip address 3.3.3.3 32
[r3-LoopBack0]q
[r3]ospf 1 router-id 3.3.3.3
[r3-ospf-1]a 0
[r3-ospf-1-area-0.0.0.0]authentication-mode hmac-md5 1 cipher passwd123
[r3-ospf-1-area-0.0.0.0]network 192.168.234.0 0.0.0.255
[r3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
[r3-ospf-1-area-0.0.0.0]return
<r3>save
<r3>display ospf peer brief
r4路由器配置
<Huawei>undo ter mon
<Huawei>sys
[Huawei]sysname r4
[r4]int g0/0/2
[r4-GigabitEthernet0/0/2]ip address 192.168.234.4 24
[r4-GigabitEthernet0/0/2]int g0/0/1
[r4-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[r4-GigabitEthernet0/0/1]q
[r4]int lo
[r4]int LoopBack 0
[r4-LoopBack0]ip address 4.4.4.4 32
[r4-LoopBack0]q
[r4]ospf 1 router-id 4.4.4.4
[r4-ospf-1]a 0
[r4-ospf-1-area-0.0.0.0]network 192.168.234.0 0.0.0.255
[r4-ospf-1-area-0.0.0.0]authentication-mode hmac-md5 1 cipher passwd123
[r4-ospf-1-area-0.0.0.0]a 2
[r4-ospf-1-area-0.0.0.2]authentication-mode hmac-md5 1 cipher passwd123
[r4-ospf-1-area-0.0.0.2]network 192.168.2.0 0.0.0.255
[r4-ospf-1-area-0.0.0.2]q
[r4-ospf-1]q
[r4]int LoopBack 0
[r4-LoopBack0]ospf enable 1 area 0
[r4-LoopBack0]return
<r4>save
<r4>display ospf peer brief
r5路由器配置
<Huawei>undo ter mon
<Huawei>sys
[Huawei]sysname r5
[r5]int g0/0/0
[r5-GigabitEthernet0/0/0]ip address 192.168.2.2 24
[r5-GigabitEthernet0/0/0]q
[r5]int LoopBack 0
[r5-LoopBack0]ip address 5.5.5.5 32
[r5-LoopBack0]q
[r5]ospf 1 router-id 5.5.5.5
[r5-ospf-1]a 2
[r5-ospf-1-area-0.0.0.2]authentication-mode hmac-md5 1 cipher passwd123
[r5-ospf-1-area-0.0.0.2]network 192.168.2.0 0.0.0.255
[r5-ospf-1-area-0.0.0.2]network 5.5.5.5 0.0.0.0
[r5-ospf-1-area-0.0.0.2]return
<r5>display ospf peer brief
验证路由访问
修改路由器优先级,接口优先级改为0,将不在竞争DR和BDR,DR形象比喻为村长,BDR形象比喻为副村长,接口改为0形象比喻为村民不参与以后得村长和副村长的竞选
#可以不做
[r2]int g0/0/2
[r2-GigabitEthernet0/0/2]ospf dr-priority 0
#ospf配置认证
#接口认证和区域认证都开启,接口认证大于区域认证;接口认证优先
#区域认证
[r2]ospf 1
[r2-ospf-1]a 0
[r2-ospf-1-area-0.0.0.0]authentication-mode hmac-md5 1 cipher passwd123
#接口认证
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ospf authentication-mode hmac-md5 1 cipher passwd123
#接口宣告 area 0
[r2]int LoopBack 0
[r2-LoopBack0]ospf enable 1 area 0
#查看邻居关系
display ospf peer brief
六、交换机生成树
1.自动选举
#选举老大的标准,接口都是发波的
#查看自动生成树
dis stp brief
#一个收波,一个发波
[SW1]dis stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 ROOT FORWARDING NONE
0 GigabitEthernet0/0/2 DESI LEARNING NONE
#2个接口都是发波的,是老大
[SW2]dis stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 DESI FORWARDING NONE
0 GigabitEthernet0/0/2 DESI FORWARDING NONE
#一个接口阻塞,一个接口是收波,一个接口发波
[SW3]dis stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 ALTE DISCARDING NONE
0 GigabitEthernet0/0/2 ROOT FORWARDING NONE
0 GigabitEthernet0/0/3 DESI FORWARDING NONE
2.干预选举
#干预选举
[SW1]stp mode stp
[SW2]stp mode stp
[SW3]stp mode stp
#改变优先级,最高级0,SW1变成老大
# stp priority 0 和 stp root primary 意思一样
[SW1]stp priority 0
[SW1]dis stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 DESI DISCARDING NONE
0 GigabitEthernet0/0/2 DESI DISCARDING NONE
#改变优先级4096,SW2对波要一直赢SW3
# stp priority 4096 和 stp root secondary 意思一样
[SW2]stp priority 4096
[SW2]dis stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 ROOT FORWARDING NONE
0 GigabitEthernet0/0/2 DESI FORWARDING NONE
[SW3]dis stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 ALTE DISCARDING NONE
0 GigabitEthernet0/0/2 ROOT FORWARDING NONE
0 GigabitEthernet0/0/3 DESI FORWARDING NONE
3.故障模拟
#没有配置任何vlan,也可以配置ip,应该有默认vlan1
[SW1]int Vlanif 1
[SW1-Vlanif1]ip address 192.168.1.254 24
[SW2]int Vlanif 1
[SW2-Vlanif1]ip add
[SW2-Vlanif1]ip address 192.168.1.253 24
[SW3]int g0/0/1
[SW3-GigabitEthernet0/0/1]shutdown
#模拟SW3接口1,故障;pc1长ping之后,故障一段时间,自动切换线路后恢复正常Ping
七、ACL
通信四元素,源IP地址,目的IP地址,和源端口,目的端口、第五元素是协议。
ACL(访问控制列表
)
1.ACL概述
读取数据包中的IP头部,TCP/DUP 头部中的源IP地址,目的IP地址,和源端口,目的端口根据设置好的ACL决定数据的丢弃还是允许通过。
2.工作原理
acl 在接口上定义N条规则过滤数据包,要么放行,要么丢弃
匹配规则:从上往下依次匹配,匹配即停止,不会继续匹配下一条。
#打比方:如果在入站口就拦截了,就无法查表了
当数据包进入入站口,经过出站口时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的丢弃或允许通过
3.ACL类型:
基本ACL(2000-29999)只匹配源IP
高级ACL:(3000-3999)可恨据源IP地址,目的IP地址,和源端口,目的端口 匹配
二次ACL:(4000-4999)可根据源MAC 目的MAC 二层协议
2.实验
r1
<Huawei>undo ter mon
<Huawei>system-view
[Huawei]sysname r1
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[r1-GigabitEthernet0/0/1]int g0/0/2
[r1-GigabitEthernet0/0/0]ip address 10.10.0.1 24
[r1-GigabitEthernet0/0/0]q
[r1]ospf 1
[r1-ospf-1]a 0
[r1-ospf-1-area-0.0.0.0]network 192.168.1.254 0.0.0.0
[r1-ospf-1-area-0.0.0.0]network 192.168.2.254 0.0.0.0
[r1-ospf-1-area-0.0.0.0]network 10.10.0.1 0.0.0.0
[r1-ospf-1-area-0.0.0.0]return
<r1>save
r2
<Huawei>undo ter mon
<Huawei>system-view
[Huawei]sysname r2
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip address 10.10.0.2 24
[r2-GigabitEthernet0/0/0]int g0/0/1
[r2-GigabitEthernet0/0/1]ip address 192.168.3.254 24
[r2-GigabitEthernet0/0/1]int g0/0/2
[r2-GigabitEthernet0/0/2]ip address 192.168.4.254 24
[r2-GigabitEthernet0/0/2]q
[r2]ospf 1
[r2-ospf-1]a 0
[r2-ospf-1-area-0.0.0.0]network 192.168.3.254 0.0.0.0
[r2-ospf-1-area-0.0.0.0]network 192.168.4.254 0.0.0.0
[r2-ospf-1-area-0.0.0.0]network 10.10.0.2 0.0.0.0
[r2-ospf-1-area-0.0.0.0]return
<r2>save
A 192.168.1.1无法访问192.168.4.1
#步长100,值大一点,方便维护
#deny 拒绝
[r1-acl-adv-3000]rule 100 deny ?
<1-255> Protocol number
gre GRE tunneling(47)
icmp Internet Control Message Protocol(1)
igmp Internet Group Management Protocol(2)
ip Any IP protocol
ipinip IP in IP tunneling(4)
ospf OSPF routing protocol(89)
tcp Transmission Control Protocol (6)
udp User Datagram Protocol (17)
#source源
#destination 目标 0.0.0.0可以缩写为0
[r1]acl 3000
[r1-acl-adv-3000]rule 100 deny ip source 192.168.1.1 0.0.0.0 destination 192.168.4.1 0.0.0.0
#查看记录
[r1-acl-adv-3000]dis this
[V200R003C00]
#
acl number 3000
rule 100 deny ip source 192.168.1.1 0 destination 192.168.4.1 0
#
return
[r1-acl-adv-3000]q
[r1]int g0/0/2
#接口out出方向,启用acl 3000规则
[r1-GigabitEthernet0/0/2]traffic-filter outbound acl 3000
[r1]acl 3000
#取消rule 100单个规则
[r1-acl-adv-3000]undo rule 100
#取消所有的acl 3000
[r1]undo acl 3000
B.需求:R1 可以telnet R2;R1 不可以ping R2
[r2]aaa
[r2-aaa]local-user huawei password cipher 123 #r2创建telnet用户
[r2-aaa]local-user huawei privilege level 3
[r2-aaa]local-user huawei service-type telnet
[r2-aaa]q
[r2]user-interface vty 0 4
[r2-ui-vty0-4]authentication-mode aaa
[r2]acl 3000
[r2-acl-adv-3000]rule 100 permit tcp source 10.10.0.1 0 destination-port eq 23 #放行10.10.0.1telnet
[r2-acl-adv-3000]rule 101 deny icmp source 10.10.0.1 0 destination 10.10.0.2 0 #拒绝10.10.0.1的ping
[r2-acl-adv-3000]rule 102 permit ospf #如果最后一条是拒绝所有,前面需要放行ospf
[r2-acl-adv-3000]rule 200 deny ip #拒绝所有ip
[r2-acl-adv-3000]q
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
八、NAT
NAT(Network Address Translation),是指网络地址转换,1994年提出的。NAT是用于在本地网络中使用私有地址,在连接互联网时转而使用全局 IP 地址的技术。NAT实际上是为解决IPv4地址短缺而开发的技术.
NAT旨在通过将一个外部 IP 地址和端口映射到更大的内部 IP 地址集来转换 IP 地址。 基本上,NAT 使用流量表将流量从一个外部(主机)IP 地址和端口号路由到与网络上的终结点关联的正确内部 IP 地址。
1. NAT类型
NAT 有 3 中类型:静态NAT,动态NAT,端口复用NAPT
1.1. 静态NAT
内部本地地址一对一转换成内部全局地址,相当内部本地的每一台PC都绑定了一个全局地址。一般用于在内网中对外提供服务的服务器
1.2. 动态NAT
在内部本地地址转换的时候,在地址池中选择一个空闲的,没有正在被使用的地址,来进行转换,一般选择的是在地址池定义中排在前面的地址,当数据传输或者访问完成时就会放回地址池中,以供内部本地的其他主机使用,但是,如果这个地址正在被使用的时候,是不能被另外的主机拿来进行地址转换的
1.3. 端口复用NAPT
面对私网内部数量庞大的主机,如果NAT只进行IP地址的简单替换,就会产生一个问题:当有多个内部主机去访问同一个服务器时,从返回的信息不足以区分响应应该转发到哪个内部主机。此时,需要 NAT 设备根据传输层信息或其他上层协议去区分不同的会话,并且可能要对上层协议的标识进行转换,比如 TCP 或 UDP 端口号。这样 NAT 网关就可以将不同的内部连接访问映射到同一公网IP的不同传输层端口,通过这种方式实现公网IP的复用和解复用。这种方式也被称为端口转换PAT、NAPT或IP伪装,但更多时候直接被称为NAT,因为它是最典型的一种应用模式。
2.R1-R2基础配置
#####################################R1配置
<Huawei>undo ter mon
<Huawei>system-view
[Huawei]sysname r1
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1]ip address 100.1.1.1 24
[r1-GigabitEthernet0/0/1]
#添加一条静态路由,下一跳地址100.1.1.2
[r1]ip route-static 0.0.0.0 0 100.1.1.2
[r1]acl 2000
[r1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
[r1-acl-basic-2000]q
######################################R2配置
<Huawei>undo ter mon
<Huawei>system-view
[Huawei]sysname ISP
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip address 100.1.1.2 24
#模拟公网
[ISP]int LoopBack 0
[ISP-LoopBack0]ip add
[ISP-LoopBack0]ip address 8.8.8.8 32
[ISP-LoopBack0]
3.动态NAT,拿到公网Ip 100.1.1./24
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]nat outbound 2000
[r1-GigabitEthernet0/0/1]q
#动态NAT
#如果一个地址不够用
#创建一个地址池10-20,开始地址100.1.1.10--->结束地址100.1.1.20
[r1]nat address-group 1 100.1.1.10 100.1.1.20
[r1]int g0/0/1
#取消之前的nat outbound 2000
[r1-GigabitEthernet0/0/1]undo nat outbound 2000
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 #启用地址池
#不加端口转换,11个ip用完了,地址就不够用了,谨慎使用
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
4.动态NAT,拿到公网Ip 200.1.1./24
[r1]nat address-group 2 200.1.1.1 200.1.1.10
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1
[r1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 no-pat
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 2
[r1-GigabitEthernet0/0/1]
#运营商要给你加一条静态路由
[ISP]ip route-static 200.1.1.0 28 100.1.1.1
5.公网访问服务器
静态NAT
#取消之前加的
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 2
#取消之前加的
[ISP]undo ip route-static 200.1.1.0 28 100.1.1.1
[ISP]ip route-static 200.1.1.1 32 100.1.1.1
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]nat outbound 2000
[r1-GigabitEthernet0/0/1]nat server global 200.1.1.1 inside 192.168.1.5 #静态NAT,NAT外网地址转化
[r1]dis nat server #查看nat
[SW1]
[SW1]int g0/0/4
[SW1-GigabitEthernet0/0/4]stp edged-port enable #选做,启用边缘接口,不在做生成树计算
6.静态NAPT
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]undo nat server global 200.1.1.1 inside 192.168.1.5
[r1-GigabitEthernet0/0/1]nat server protocol tcp global 200.1.1.1 80 inside 192.168.1.5 80
[r1-GigabitEthernet0/0/1]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/1
ip address 100.1.1.1 255.255.255.0
nat server protocol tcp global 200.1.1.1 www inside 192.168.1.5 www
nat outbound 2000
#
return
[r1-GigabitEthernet0/0/1]
;