一:局域网大纲:①PSTN:电话网络(网络拨号)通过连接PSTN再连接到internet
②双绞线:四个主要颜色:橙、绿、蓝、棕。
四个次要颜色:白橙、白绿、白蓝、白棕
自左向右(线序)
T568A(直通线):白橙、橙。白绿绿、白蓝蓝、白棕棕。
T568B(交叉线):白橙、橙、白绿蓝、白蓝绿、白棕棕。
同构设备用交叉线,异构设备用直通线
③以太网是一种多路访问的广播型网络
多路访问:一个网卡,一根网线连接到交换机上,可以和多个人(所有人)接受
④MAC地址:在以太网内部,使用专用的mac地址进行标识自己和通信(不能修改)
⑤网络分为两大技术:路由技术(广域网技术):遵循TCP/IP协议,任何连接到Internet的设备,都必须有IP地址
交换技术(局域网技术):遵循以太网技术标准,任何连接到以太网的设备必须有mac地址
⑥ARP攻击:ARP攻击就是通过伪造IP地址和mac地址实现ARP欺骗,能够在网络中产生大量的ARP通信量。使网络阻塞,
攻击者只要持续不断的放出伪造的ARP相应包就能更改目标主机ARP缓存的IP-mac条目,造成网络中断或中间人攻击。
ARP:地址解析协议
ARP攻击原理
发送放IP
发送放mac
四个字段: 目的IP
目的mac
预防ARP的攻击
封装 解封装
source mac address AAAA
destination mac address FFFF
source ip address 192.168.0.1
source mac address AAAA
target ip address 192.168.0.2
target mac address 0.0.0.0
二:VLAN 划分 TRUNK
Int e x/x/x
Access: Port link-type access
Port default vlan (数字)
Int ex/x/x
Trunk: port link-type trunk
Port trunk allow-pass vlan all
接入层交换机划分VLAN
交换机与PC间
代码:
VLAN batch 100 200 (划分vlan)
Interface e/0/1
Port link-type access
Port default VLAN 100
Interface e/0/2
Port link-type access
Port default VLAN 200
交换机与交换机之间
VLAN batch 100 200
Interface g/0/1
Port link-type trunk
Port trunk allow-pass VLAN all
Interface g/0/2
Port link-type trunk
Port trunk allow-pass VLAN all
三层交换机
VLAN batch 100 200 (划分vlan)
Interface e/0/1
Port link-type access
Port default VLAN 100
Interface e/0/2
Port link-type access
Port default VLAN 200
创建VLAN口充当网关
Interface VLANif 100
IP add 192.168.1.254 24
三:单臂路由(多个pc且在不同网段的情况下)
在子接口上配置的命令
Interface e0/0/1.1
Dot1q termination vid 100
Ip add 192.168.1.254 24
Arp broadcoast enable (打开arp功能)
四:静态路由
IP route-static 192.168.1.0 (目的网段)24 (子网掩码)192.168.2.1 (出口路由的ip)
五:缺省路由
IP route-static 0.0.0.0 0 192.168.2.1(出口路由的IP)
六:浮动路由(两个路由器之间连接两条线)
先配IP,再设置优先级。优先级值越大,优先级越低。
IP route-static 192.168.1.0 (目的网段)24 (子网掩码)192.168.2.1 (出口路由的ip)
Preference 100 (优先级)
七:动态路由
Rip
Version 2
Network 192.168.1.0
Network 192.168.2.0 (所有直连路由器的所有网段)
Rip在路由器中的默认优先级为100,静态再路由器中的默认优先级为60
八:Rip注入规则
Import-route static
查看交换机配置信息
Display vlan
查看IP配置
Display IP interface brief
查看路由表
Display IP routing -table
查看所有配置
Display cur
九:VRRP协议原理跟配置
VRRP可以实现网关的备份,又能解决多个网关之间互相冲突的问题,可以在不改变组网的情况下将多台路由虚拟成一个虚拟路由。
协议版本为:VRRPv2(仅适用于IPv4网络)和VRRPv3(IPv4和IPv6都适用)
VRRP协议报文:Advertisement报文其目的IP地址为224.0.0.18。目的MAC地址为01-00-5e-00-00-12
Vrrp(备份和负载)
主备转换配置
路由A
Interface g0/0/1 (进下行链路的端口)
IP address10.0.0.1 24 (配置IP)
Vrrp vrid 1 virtual-IP10.0.0.10 (配置虚拟网关)
Vrrp vrid 1 priority 120 (设置优先级 优先级默认为100)
Vrrp vrid 1 preempt-mode timer delay 20 (设置主备转换的间隔时间)
Vrrp vrid 1 track Interface g0/0/0 reduced 30 (进上行链路设置联动并把惩罚值设为30)
路由B
Int g0/0/1
IP address 10.0.0.2 24
Vrrp vrid 1 virtual-IP 10.0.0.10
负载分担配置
配置两个虚拟网关,使流量能够从不同的方向走
路由A
Interface g0/0/1 (进下行链路的端口)
IP address10.0.0.1 24 (配置IP)
Vrrp vrid 1 virtual-IP10.0.0.10 (配置虚拟网关)
Vrrp vrid 1 priority 120 (设置优先级 优先级默认为100)
Vrrp vrid 1 preempt-mode timer delay 20 (设置主备转换的间隔时间)
Vrrp vrid 1 track Interface g0/0/0 reduced 30 (进上行链路设置联动并把惩罚值设为30)
Vrrp vrid 2 virtual-IP 10.0.0.11(配置第二个虚拟网关)
路由B
Interface g0/0/1 (进下行链路的端口)
IP address10.0.0.2 24 (配置IP)
Vrrp vrid 2 virtual-IP 10.0.0.10 (配置第一个虚拟网关)
Vrrp vrid 1 virtual-IP 10.0.0.11 (配置第二个虚拟网关)
Vrrp vrid 1 priority 120 (设置优先级 优先级默认为100)
Vrrp vrid 1 preempt-mode timer delay 20 (设置主备转换的间隔时间)
Vrrp vrid 1 track Interface g0/0/0 reduced 30 (进上行链路设置联动并把惩罚值设为30)
Display vrrp (查看vrrp过程)
聚合链路
聚合链路的三大优点
节省成本 2.提高带宽 3.增加可靠性
聚合链路有两种模式
手工负载均衡
命令为:
Int Eth-Trunk 1 (设置一个组)
Mode manual load-balance (更改为手动均衡模式)
Int g0/0/0 (进端口)
Eth-trunk 1 (调用这个组)
Display int eth-trunk (查看带宽)
lacp模式
命令为:
Int eth-trunk 1 (设置一个组)
Mode lacp-static (更改为lacp模式)
Int g0/0/0
Eth-trunk 1 (调用这个组)
Lacp priority 100 (设置这条线的优先级 默认为32768 数值越小越优先)
Quit
Int eth-trunk
Max active-link number 2 (最大活动链路为2条)
路由器于路由器之间
Int eth-trunk
Undo portswith (关闭二层 才能在聚合链路的路由配IP)
Display stp brief (查看生成树)
十:三类地址(abc)
简单来说,在以太网中,所有地址大致可以分为A、B、C三类
如下
A类地址:0.X.X.X~127.X.X.X
B类地址:128.X.X.X~191.X.X.X
C类地址:192.X.X.X~223.X.X.X
密码登录
局域网中,一台路由器可通过远程登录的方式进行权限内对另一台路由的操作,代码如下:
User-interface vty 0 4 //开启远程
Authentication-mode password //设置密码方式
Set Authentication password ciphter XXX //设置权限(认证密码等级)
User privilege level X //设置等级(X为等级)
Telnet X.X.X.X //远程登录X.X.X.X (目标路由ip)
Aaa认证方式:
User-interface vty 0 4 //开启远程
Authentication-mode aaa //设置方式为aaa
Local-user admin password ciphter XXX privilege level X //添加新用户设置登录密码及权限等级
local-user admin service-type Telnet //设置服务类型为远程登录
十一:Acl访问控制列表
设置策略
Acl X(2000~3000)rule deny (permit)icmp source X.X.X.X 0.0.0.255 destination
B.B.B.B 0.0.0.255 //拒绝(允许)X.X.X.X 访问B.B.B.B
在接口中调用
Traffic-filter outbound (inbound)aclX //在路由器出口(进口)调用策略
十二:NAT地址转换
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。
环回口的配置:
--int LOOPBACK 123(随意) 创建环回口
--ip address +不同网段ip 24
--nat static global+公网地址 inside +内部网地址(将环回口ip转换为公网ip)
此时需要做缺省路由
动态NAT:
进入到出接口,
--nat address-group 1 xxxx xxxx(创建地址池,不能同静态地址重复)
--acl 2000/3000
--rule 5/10 permit source xxxx 0.0.0.255
--nat outbound/inbound 2000 address-group 1 no-pat(到接口里调用)
NAPT(基于接口的转换),NAPT(Network Address Port Translation),即网络端口地址转换,可将多个内部地址映射为一个合法公网地址,但以不同的协议端口号与不同的内部地址相对应,也就是<内部地址+内部端口>与<外部地址+外部端口>之间的转换。NAPT普遍用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT也被称为"多对一"的NAT,或者叫PAT
:
--nat address-group 1
--acl 200/3000
--rule premit source + 想要转化为公网的网段 +0.0.0.255
--nat outbound 2000 address-group 1(进入到接口里调用)
EASY-IP:
--acl 2000
--rule premit source + 想要转化为公网的网段 +0.0.0.255
--nat outbound 2000(进入到接口里调用)
Easy IP 方式可以实现自动根据路由器上WAN 接口的公网IP 地址实现与私网IP 地址之间的映射(无需创建公网地址池)。 Easy IP 主要应用于将路由器WAN 接口IP 地址作为要被映射的公网IP 地址的情形,特别适合小型局域网接入Internet 的情况
私有网络三个IP 地址块:
A 类:10.0.0.0~10.255.255.255
B 类:172.16.0.0~172.31.255.255
C 类:192.168.0.0~192.168.255.255
十三:DHCP动态主机配置协议
是一个局域网的网络协议,使用UDP协议工作,J基于17号协议。 主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段。67,68是dhcp的两个端口
基于端口的dhcp:
接口地址池是在为接口配置了合法的单播ip地址,且在接口视图下配置dhcp select interface命令后由系统创建的,它的地址范围就是此接口所在的网段,并且只在此接口下有效
--dhcp enable(开启dhcp服务)在进行dhcp配置之前,需要先使能dhcp服务。只有使能该服务后,其它相关的dhcp配置才能生效
--dhcp select interface(进入到端口里)
--dhcp server lease day +日期(1.2.3....) 租期设置
--dhcp server excluded-ip-address xxxx xxxx(排除的地址池,可以用来分配其他服务器)
--dhcp server dns-list +ip(dns服务器)
基于全局的dhcp
--dhcp enable(开启)
--network xxxx(网段)
--gateway-list xxxx (客户端出接口网关)
--dhcp server lease day +日期(1.2.3....) 租期设置
--dhcp server excluded-ip-address xxxx xxxx(排除的地址池,可以用来分配其他服务器)
--dhcp server dns-list +ip(dns服务器)
--dhcp select global(进入接口调用)
Dhcp 中继(面向PC端的接口作中继)
Dhcp enable
Int x/x/x (进接口)
Dhcp select relay ( 让进的接口为中继)
Dhcp relay server-ip 192.168.x.x ( 意思为中继到那一个服务器)