网络
2024-11-21 20:56:07 0 举报AI智能生成
网络理论知识以及配置
作者其他创作
大纲/内容
华为
HCIA
HCIP
思科
CCNA
CCNP
华三
山石
飞塔
CCNA&HCIA
网络基础
基本链路概念
网线
八根线
四根线用来通信
两根发
两根收
全双工/半双工
半双工类似对讲机,只能单向通讯,一端发,另一端收。
全双工类似电话,双方都可以通讯
所有的HUB设备都是半双工
无线用的半双工
速率
Gbit
Mbit
Kbit
Bit
文件的大小是按照byte计算的
1byte=8bit
HUB/集线器
类似于导电棒
电信号复制
无法识别每台设备的身份
这个身份指的是MAC地址
转发方式
泛洪
把从一个接口收到数据,从除了源接口之外的所有接口,复制发送
只要是个数据都会泛洪
<font color="#4ccbcd">泛洪是一个动作/广播是一种属性</font>
连接的所有设备属于同一个冲突域
连在一起的网络
LAN
局域网
交换机
识别设备的身份
形成广播域
MAC地址表
接口和MAC地址的对应关系
转发机制
依据MAC地址转发
收到数据后根据数据的目的MAC地址进行转发
只有需要广播的数据才会泛洪
每一个接口都是一个独立的冲突域
连在一起的网络
LAN
局域网
路由器
路由表
通过网络标识决定出口
目的信息通常是一个范围
连接多个LAN
WAN
覆盖大范围网络
每一个接口都是一个独立的广播域
隔离广播域,分割广播域,把网络划分不同的广播域
定位:在出口侧,链接运营商的位置
防火墙
厂商
飞塔
山石网科
checkpoint
天融信
绿盟
思科
华为
华三
锐捷
可以理解为是在路由器的基础上加了很多强大的功能,一般部署再出口或者部署再服务器区域边界
WLAN(无线)
通过空口链接,可以理解为就是通过有线接口连接
AP
胖AP
每个AP都是独立配置,家用的路由器通常就是胖AP
瘦AP
通过AC统一管理,不需要单独配置
吸顶AP
面板AP
佳哥便宜,一般卖酒店
无线控制器AC
其实就是交换机上加装了AC的功能
AP用来实现用户的无线的接入,AC用来管理AP;通常都是配套使用的
网络拓扑层级划分
出口层
链接运营商的设备,负责内部的流量转发去往公网
核心层
内部的核心交换机,分别链接底下的接入层,或者汇聚层,防火墙区域,在网络当中,作为流量核心中转站
AC旁挂在核心层
汇聚层<br>(不是必选项,一般中大型)
用来把接入交换机连接起来,接入到核心网络
能够节约足够多的链接成本,能够更好的管理
接入层
用来接入用户的主机,实现终端接入
LAN/WAN/MAN
LAN:局域网,部署再几公里的网络
MAN:城域网,部署再几十公里,围绕一个城市的网络
WAN:广域网,从几十公里到几千公里的网络
OSI七层与TCP/IP五层
OSI七层
应用层
各种应用程序
telnet
端口23,并且TCP协议
登录设备,管理设备使用
FTP
传输文本文件,传出系统升级软件
20/21 TCP
SMTP
25 TCP
TFTP
69 UDP
表示层
数据表现形式转换,压缩,加密
会话层
一对一,一对多回话传输,控制速度
传输层
数据端口号与应用程序对应
端口范围
1-65535
公用端口范围
1-1023
客户端
客户端本地随机产生的端口不能冲突
源端口为随机产生
服务端
通信过程中,如果访问不同服务时,因为IP地址不一样,哪儿怕有相同端口也不影响,可以通过IP地址来进行区分
为固定端口,为替他客户端提供服务
为什么需要端口:用来区分本地不同应用服务
协议
TCP和UDP
TCP
可靠传输
三次握手
确认机制
业务:文件传输,文本传输
UDP
不可靠传输
只管去传,传的好与坏,无所谓,丢了就丢了
业务:直播/视频/语言类
网络层
路由器
三层设备
IP地址:描述主机所在的位置,主机所在地
每个主机都会有一个独立的IP地址,作为你在网络的所在地
数据链路层
二层交换机
每个电脑的网卡标识(主机的名字)MAC地址
MAC地址
表示形式:16进制
计算机二进制:48个数值
MAC地址
FF-FF-FF-FF-FF-FF(广播通信)
描述你主机的名称,主机的身份证号
LLC子层
双工
全双工
半双工
灯橙色
速率
接口类型
Ethernet
10M
FastEthernet
100M
giEthernet
1000M
Ten-g Ethernet
10000M
Ethernet
100000M
协商没有达到最高速率
橙色灯
负责数据封装
MAC子层
和物理层对接
存储MAC
物理层
定义物理机接口的规范,定义传输的物理特性规范
常见介质
双绞线
成本低
部署距离:100-250米之间
适用:企业的接入
POE供电
网线不能太渣
超5类
POE供电不稳定的现象
每隔一段时间重启
光纤
线的成本低,模块有点贵
部署距离:500米-20公里
适用:设备与设备之间链接
单模
42KM
多模
2KM
无线
没有成本
部署:40米(覆盖范围) 网桥:1-2公里,10公里
受环境影响太大了
TCP/IP对等模型
应用层
传输层
网络层
数据链路层
物理层
TCP/IP标准模型
应用层<br>主机到主机层<br>英特网层<br>网络接入层
数据封装结构
应用层
数据(DATA)
[交换机]
传输层
标识数据产生的端口号
随机选择空闲端口
去往对端的哪个端口号
提前知道的
65535*2
TCP
1~65535
UDP
1~65535
对数据进行第一次封装-TCP/UDP首部
[TCP/UDP源目端口]+[交换机]
数据段
网络层
通过IP定位网络设备的位置
对数据第二次封装-IP报头
[源IP和目的IP]+[TCP/UDP源目端口]+[交换机]
数据包
数据链路层
在中间链路间不断更换
对数据进行了第三次封装-以太网头部和FCS尾部
[源MAC和目的MAC]+[源IP和目的IP]+[TCP/UDP源目端口]+[交换机]+[FCS尾部]
顺便校验
数据帧
物理层
转换成电信号
比特(bit)
数据封装
自上而下(封装)
你要进行通信,软件会从应用层开始打包数据,传输层根据软件,确定协议类型(TCP/UDP),随机产生源端口,按照软件产生的目的端口,根据网络层的信息,产生源IP(电脑网卡IP),目的IP(软件提供),产生源目MAC地址,通过我们物理层规范的链路,发送出去。
自下而上(解封装)
物理层:位 bit<br>数据链路层:帧 Frame<br>网络层:包 Packet<br>传输层:段 Segment<br>应用层:数据 Data
当网口收到数据后,还原成帧,检查目的MAC,是否发送给我,如果不是丢弃,如果是,继续拆IP,如果目的IP是接口IP,那么继续拆,检查协议+端口,是否是本地监听,如果本地有监听,发送给对应的进行软件处理,如果没有监听则丢弃
网络层和传输层的重要知识
网络层
IP地址
组成
表示
192.168.30.21
32位
32bit
换算
VLSM
CIDR
ICMP协议
ping
ICMP Request
ICMP Reply
tracert
ICMP timeout
目的不可达
ICMP Request
ICMP Reply
1、源设备发送TTL=1的 ICMP request
2、第一台设备收到TTL=1的请求,立即将TTL-1,TTL=0,并目的地址不是自己,回复Timeout报文,<br>
3、源设备收到Timeout报文,记录往返时间,并将TTL+1继续探测
4、如果中间设备是防火墙,禁ping,则此时不会回应Timeout报文,源设备等待一段时间后发现没有回应,则设置为* * * 并自动TTL=1自动继续探测下<br>一个节点
5、如果到达目的地址,目的设备会回复Reply报文,则源设备收到回应,停止探测<br>
网络互访的基础
获得对方IP地址
APP
应用层集成
网页
DNS解析
ARP协议
同网段ARP
1、设备想要发送信息
如果没有对方的MAC
触发ARP请求
1、广播报文
须发发送给所有人
2、设备收到ARP请求
1、目的地址IP是不是自己
是
回应
不是
不回应
白嫖发送ARP请求的设备的MAC
3、路由器上查看ARP表
华为
display arp
思科
show arp
4、PC查看ARP
arp -a
不同网段ARP
1、设备想要发送信息
目的IP和源IP不在同网段
触发ARP请求,请求网关设备
2、网关收到ARP
回复ARP
主要作用:
用来实现网络的解析作用,访问网络当中的某个主机,但是不知道主机的MAC地址,需要通过ARP协议来进行询问,获取到MAC地址后,进行通信
协议流程
先查询ARP表
有存在通信IP地址的MAC地址信息
直接通信
没有信息
通过ARP报文去请求获取MAC地址
如果有人回复
记录到ARP表
并且完成通信
如果没人回复则是一个失效的通信
ARP报文
特点:收到别人请求的时候,会根据里面的自我介绍,学习到表项当中
请求报文
主机在ARP表里面没有看到通信主机IP对应的MAC地址
特点:广播报文(发给所有人)
应答报文
当收到ARP报文后,是发给你的,能够恢复,通过应答报文回复具体的信息
特点:单播报文(1对1)
ARP协议报文结构
[以太网头部]+[ARP]+[FCS]
没有IP头部
ARP的目的MAC
FFFF:FFFF:FFFF
广播MAC地址
ARP报文无法穿透路由器
免费ARP
新配置一个地址,获得一个地址
结构
结构
1、向网络中自我介绍
2、检查地址冲突<br>
如果收到回应代表地址冲突
没有收到回应代表地址正常
RARP
DHCP
动态主机控制协议
动态地址分配
反向ARP
DHCP服务器中绑定我这个设备的MAC地址
本设备获取的地址就是
192.168.30.21
永远为这个MAC地址预留
传输层
TCP
网络层头部协议号=6
可靠传输机制
1、确定对方的连接
TCP的三次握手
1、Client需要请求服务器和我建立一个连接,分配资源<br>
发送SYN
1、seq=100 ,ACK=0 (第一个请求不需要确认)
2、Server收到SYN请求,分配资源,回复对方,且进行反向连接建立
发送SYN+ACK
seq=200,ACK=101(告诉对方,我已经收到了100,请继续发101)
3、Client收到对方的SYN+ACK,把数据和确认报文合并在一起发送
发送ACK
seq=101,ACK=201
2、发送信息必须受到确定报文之后才会继续往下发送
3、断开连接
TCP的四次挥手
1、Client需要断开连接
发送FIN
seq=106
2、Server端同意断开
发送ACK
seq=206,ACK=107
3、Sever端要断开连接
发送FIN
seq=206
4、Client同意断开
发送ACK
seq=107 ,ACK=207
UDP
网络层头部协议号=17
不可靠传输机制
1、建立连接时只需要确定对方可达
2、只要第一步确定了端口可达,不断发送数据
IPv4地址组成
IP地址的功能
1、标识设备
192.168.30.21/24
主机地址
2、判定网络
192.168.30.0/24
网络地址
进制转换
进制<br>
二进制
计算机理解的语言
逢二进一
0,1
10
十进制
常用表示方法
逢十进一
0,1,2,3,4,5,6,7,8,9
10
十六进制
MAC地址/IPV6表示方式
逢十六进一
0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F
10
IP地址的换算
二进制数值
0000 0000
0
0000 0001
1
1*2^0
0000 0010
2
1*2^1
0000 0100
4
1*2^2
0000 1000
8
1*2^3
0001 0000
16
1*2^4
0010 0000
32
1*2^5
0100 0000
64
1*2^6
1000 0000
128
1*2^7
二进制换十进制
计算器
采用表格
十进制转二进制
取余换算
IP地址的组成
网络部分/主机部分<br>
网络部分:描述一个广播域前缀
主机部分:给这个广播域做具体地址的编排
掩码
作用<br>
1、用来描述IP地址的网络位与主机位<br> 2、当数据转发的时候,通过掩码判断如果是同一个网段,那就直接转发,如果是不同网段,发送给网关<br> 3、掩码决定了这个网段IP地址的数量
掩码的规则<br>
必须是连续的1到0的关系,中间位置可以任意
网关
该广播域内的所有主机去访问其他网段的时候,目标MAC都需要封装网关的MAC,让网关能够接受
通俗来理解,是这个广播域里面的路由器,这个路由器负责把内网的数据发送到其他区域
IP地址分类
0.0.0.0~255.255.255.255
特殊地址
0.0.0.0
DHCP过程要不要数据包
未指定地址
DHCP报文源地址是0.0.0.0
网关
缺省路由
255.255.255.255
全网广播地址
环回测试地址
127.0.0.0~127.255.255.255
广播地址
一个网段当中的最后一个地址
作用: 所有人接收使用
表示方式:主机位全部为1
网络地址
一个网段当中的第一个地址
作用:用来描述一个广播域,类似于名称
表示方式:主机位全为0
A类
1.0.0.0~126.255.255.255
掩码=8
10.0.0.0/8
2^24
B类
128.0.0.0~191.255.255.255
掩码=16
172.16.0.0/16
C类
192.0.0.0~223.255.255.255
掩码=24
192.168.0.0/24
D类
224.0.0.0~239.255.255.255
组播地址
暂时不关心
E类
240.0.0.0~255.255.255.254
实验室地址
不使用
无类地址
10.1.1.1/24
172.16.1.0/24
192.168.1.0/25
私网地址
私网
公司网络
家庭网
A类
10.0.0.0~10.255.255.255
B类
172.16.0.0~172.31.255.255
C类
192.168.0.0~192.168.255.255
网段计算公式
1、IP地址的拥有个数
192.168.30.0/24
IP地址个数
2^(32-掩码位)
0~255
256个IP地址
192.168.1.0/25
IP地址个数
2^(32-25)=128
可用地址个数
128-2
开头192.168.1.0
192.168.1.0000 0000
结尾192.168.1.127
192.168.1.0111 1111
可用地址-2
192.168.30.0
主机位全0
网络地址
192.168.30.21/24
192.168.30.255
主机位全1
网段广播
2^(主机位)-2
2、同网段计算
172.16.1.126/25
172.16.1.126/25
172. 16. 1.0111 1110
255.255.255.1000 0000
172.16.1.0/25
网络地址
0~127
IP地址个数
128
去除一头一尾
可用地址
126
172.16.1.133/25
172.16.1.133/25
172. 16. 1.1000 0101
255.255.255.1000 0000
172.16.1.128/25
128~255
IP地址个数
128
去除一头一尾
可用地址
126
一个网段的地址范围怎么计算?
计算案例:<br> 192.168.1.128/24,请说出这个网段的地址范围,以及可用地址<br>第一步:把地址和掩码写成二进制<br>11000000.10101000.00000001.10000000-192.168.1.128<br>11111111.11111111.11111111.00000000<br>第二步:写出网络地址的二进制和广播地址的二进制<br>11000000.10101000.00000001.00000000-192.168.1.0 网络地址<br>11000000.10101000.00000001.11111111-192.168.1.255 广播地址<br>192.168.1.0-192.168.1.255
地址规划
本质是给广播域有效的地址范围,能够满足当前广播域的主机与路由器的地址的需求,让他们处在同一个网段当中
1、确定网络前缀,还有每个广播域的主机数量
规划要从地址多的进行规划
规划要从地址多的进行规划
2、每个广播域采用的掩码<br>
/21:2048
/22:1024
/23:512
/24:256
/25:128
/26:64
/27:32
/28:16
/29:8
-2才是可用地址
3.给每一个广播域根据掩码确定前缀,以及地址范围
从地址数量多的广播域开始
从地址数量多的广播域开始
4.每个广播域网段都确定好了,给具体的路由器还有主机确定明细的地址,以及告知主机的网关参数
VLSM和CIDR
网络设备操作系统
常见各个厂家操作系统
设备登录
WEB登录
问:现在都有web登录了,我还学命令行干嘛?<br>
对于设备占用的资源比较高(一般网络设备的性能都不是很高,例如常见1万左右的路由器,可以内存就200M左右)
快速配置,复杂功能并不支持
场景:开局快速配置/轻维护
对于设备占用的资源比较
WEB登录:一般是基于IP地址
命令行登录
优势:除了要学习之外,没有缺点
登录方式
通过配置线,进行登录<br>
1.通过配置线,RJ45连到设备的console接口,USB接口连到电脑上
2.查看自己的设备管理器,检查出识别的com接口是多少
3.通过软件去登录设备(mobaxterm/CRT/Putty),波特率9600,关闭流控
通过IP地址<br>
1.开启了telnet/SSH协议,可以基于IP地址去登录
命令行视图概念
试图概念
用户视图:用户视图上,基本上只能做查看命令,其他的都做不了<br>
登录设备后的视图
系统视图:能够针对任何功能进行调试,类似于桌面的概念
system-view---从用户视图切换到系统视图
帮忙按键于命令<br>
tab按键:输入命令的前缀,能够把完整命令补全出来,能够更快速的去配置设备
<Huawei>sys <br><Huawei>system-view <br>Enter system view, return user view with Ctrl+Z.<br>[Huawei]
?按键:查看支持的命令
基本操作命令
视图操作<br>
quit:返回上一级
return
:返回到用户视图,或者直接输入ctrl+z也可以直接返回
undo:删除命令,undo+命令前缀,可以删除相应的命令
功能配置<br>
修改设备名称<br>
[AR1]sysname YGXX_39JXL_11F_1103_ACC1<br>[YGXX_39JXL_11F_1103_ACC1]
作用:确定设备的名称,更好的维护,管理设备
命令规则:客户单位_楼栋编号+名称_楼层号_房间号_设备编号
配置IP地址<br>
[AR1]interface G0/0/1<br><br>[AR1-GigabitEthernet0/0/1]ip address 192.168.1.254 24
1.进入接口<br>2.配置IP地址为192.168.1.254,掩码为24
关闭接口<br>
[AR2]interface GigabitEthernet 0/0/1<br><br>[AR2-GigabitEthernet0/0/1]shutdown
关闭1口的接口
查看命令<br>
display前缀都是查看命令<br>
查看接口的IP地址信息
display ip int br<br>
[AR2]display ip interface brief<br><br>Interface IP Address/Mask Physical Protocol <br>GigabitEthernet0/0/0 192.168.2.254/24 up up <br>GigabitEthernet0/0/1 10.1.12.2/24 up up <br>GigabitEthernet0/0/2 unassigned down down
inteface:描述接口的编号<br>
ip address/mask:地址+掩码
physical/protocol:描述接口的状态,如果是down,表示接口没有起来,链路有问题,up表示正常
维护命令<br>
保存命令
save
<AR1>save <br> The current configuration will be written to the device. <br> Are you sure to continue? (y/n)[n]:y<br> It will take several minutes to save configuration file, please wait.......<br> Configuration file had been saved successfully
把当前的配置,保存到存储当中,如果没有保存,后续重启配置会丢失
恢复出厂
恢复出厂
reset saved-configuration
<AR1>reset saved-configuration <br>This will delete the configuration in the flash memory.<br><br>The device configuratio<br>ns will be erased to reconfigure.<br><br>Are you sure? (y/n)[n]:y<br> Clear the configuration in the device successfully.
<AR1>reboot <br>Info: The system is comparing the configuration, please wait.<br>Warning: All the configuration will be saved to the next startup configuration. <br>Continue ? [y/n]:n<br>System will reboot! Continue ? [y/n]:y<br>Info: system is rebooting ,please wait...
交换原理
MAC地址的构成<br>
48个bit构成的MAC地址
MAC地址
单播MAC地址
每个终端所有的MAC地址
广播MAC地址
全为1的MAC地址,48个1,FF-FF-FF-FF-FF-FF
组播MAC地址
组播通信的
HUB
收到一个数据包,往所有的接口发送
纯硬件
半双工
电路结构简单,所有接口共享同一个电路才有这个问题
交换机
系统升级----具备软件的操作系统
能够智能化的调度数据
优化转发效果----原本HUB,收到一个数据,往所有的接口发送
硬件升级----每个接口独立冲突域----每个接口都是全双工的
交换机的转发原理<br>
MAC地址表
交换机转发的所有数据,都会查询MAC地址表进行转发,从而实现数据调度(HUB是收到一个数据,不做查表,直接转发)
基本要素
MAC地址+端口
MAC地址表的来源
自动学习
从任何一个接口收到一个数据后,都会先查询源MAC地址,然后学习到MAC地址表当中
如果MAC地址表中已经存在,会覆盖之前的信息,生成最新的
手工配置
人工通过命令去配置
交换机的转发行为
泛洪
收到的数据,目标MAC是广播MAC地址
MAC地址表中没有的(未知单播帧)
转发
查看MAC地址表,能够找到转发接口,单播
丢弃
做控制策略
问题<br>
MAC地址表,能不能一个接口,对应多个MAC?
可以的,在级联的场景下,通常是这样的
MAC地址表,能不能一个MAC对应多个接口?
不行,会进行覆盖
ARP不等于MAC地址表,这是2个东西
ARP表,是任何网络设备/终端在自己需要访问某个IP的时候,无法封装MAC,从而查询ARP表去封装的
交换机的MAC地址表,是指交换机从接口收到要转发的用户数据,从而查询表项,进行转发
MAC地址转发(二层转发)与路由转发(三层转发),不一样的地方是,二层转发叫尽力而为的转发,也就是说,哪怕表里面没有,我也尽可能的帮你转发出去,而路由转发的特点是,表里面没有,就丢弃掉了
配置命令<br>
配置命令
mac-address static 5489-9804-6a63 GigabitEthernet0/0/3 vlan 1
6a63:需要绑定的MAC地址
GI0/0/3:绑定的接口
vlan 1:所属的vlan信息
查看命令
display mac-address
查看mac地址表
vlan
access接口
给pc使用的接口,或者说终端使用的接口
1.收到数据:给数据内部确定标签(打上标签),这个标签就是你access定义的vlan标签
2.发送数据:往Access口发送的数据,一律不能带标签出去,需要去标签转发
trunk接口
交换机互联/交换机连AP,交换机连ac
1.收到数据
带标签:根据标签的vlan,往对应的vlan去转发(根据标签就知道该数据属于那个vlan)
没有带标签:打上PVID所指定的vlan标签
2.发送数据
普通VLAN:根据该数据的vlan,往接口出去的时候,带着标签转发出去
PVID VLAN:不带标签发送
PVID该策略是给无线场景使用的,指定AP所属的vlan,因为AP默认自己的流量是不带标签、
收到的时候,都是打标签,只是打什么标签而已
发送的时候,才会根据接口类型,pvid等特性,来决定是否带标签出去
VLAN本质上:给我们的交换网络,通过VLAN技术来实现广播域的划分
子网划分:
基于业务部门的VLAN
技术服务部-VLAN 10:192.168.10.0/24
财务部门-VLAN 20:192.168.20.0/24
销售部门-VLAN 30:192.168.30.0/24
多臂路由
缺点
每个VLAN都需要一个路由接口
单臂路由----子接口
在路由器的物理接口的基础上,配置虚拟接口,这个虚拟接口是在物理接口之上的,能够绑定VLAN,当物理接口收到VLAN数据的时候,根据VLAN编号,把不同VLAN的数据,丢给不同的子接口
缺点
单点故障问题
真实网络,一定会进行结构分层,路由器的
路由器在一个网络当中,都是作为边界设备,出口设备
一个网络中真正实现内部转发的,是交换机
三层交换机功能
VLANif 50:192.168.50.254----在交换机内部的虚拟路由器上,创建一个路由器接口,接口的名字叫vlanif 50,并且这个接口连在vlan 50里面,vlan50下的用户的数据可以发往这个接口
路由的基础
基础概念<br>
路由表<br>
设备收到三层转发的数据,依赖的转发表项<br>
关键信息
前缀+掩码:192.168.1.0/24
用来匹配,类似路标牌上的名字
转发的接口:interface接口 Gi0/0/0
指导数据的转发
路由来源<br>
直连路由<br>
根据接口的网段产生的直连路由信息
产生条件:配置IP地址
静态路由
人工手动的在设备上添加一条路由,来帮助设备进行转发
动态路由
让设备之间进行交互,同步学习路由,更简单的配置
路由表的比较关系<br>
路由参数比较 <br>
1、优先级参数
作用:描述路由来源的优先级信息,类似于信任程度,用来比较选出最优的路由
参数范围:0-255
比较关系:越小越优先
直连:0
静态:60
OSPF:10
IS-IS:15
BGP:255
2、cost参数
作用:描述到目的地的路径开销
参数范围:0-42E
比小,越小越优先
3、如果上述参数完全一致
实现等价的负载分担
比较案例
网段 优先级 cost 接口
192.168.0.0/16 60 1 1
192.168.0.0/24 50 200 2
192.168.0.0/24 50 30 3
192.168.1.0/24 100 5 4
192.168.2.0/25 6 7 5
192.168.2.0/24 3 2 6
0.0.0.0/0 255 200 8
192.168.2.0/24 3 8 9
192.168.2.0/24 3 2 10
请问,最终路由表中有哪些路由?
display ip routing-table结果
网段 优先级 cost 接口
192.168.0.0/16 60 1 1
192.168.0.0/24 50 30 3
192.168.1.0/24 100 5 4
192.168.2.0/25 6 7 5
192.168.2.0/24 3 2 6
192.168.2.0/24 3 2 10
0.0.0.0/0 255 200 8
路由转发规则
最长掩码匹配
收到数据包,查找路由进行转发的过程中,掩码越长越优先
配置命令<br>
配置命令
静态路由配置
配置命令:ip route-static 192.168.3.0 24 GigabitEthernet 0/0/2 10.1.12.2
在系统视图下完成配置
192.168.3.0/24:前缀+掩码
G0/0/2:转发的接口
10.1.12.2:下一跳信息,对端的接口IP
配置注意点:需要考虑通信的沿途路径的路由
1.梳理环境中每个设备有哪些路由<br>
2.把需要转发的网段,写成路由添加进去
3.根据需要的路由,完成配置
缺省路由
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 0/0/1 10.1.12.1<br>
配置缺省路由,主要不能互指,会出现环路问题
浮动路由
2条等价的路由,把其他一个路由优先级调大,这个时候会变成一个备份路由,当主路由出现故障后,能够达到切换成备份路由的效果<br>
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 10.1.13.2 preference 255
preference:调整优先级,范围是1-255,数值越大,优先级月底
查看命令<br>
display ip routing-table:查看设备的路由表信息
动态路由
OSPF
使用场景<br>
静态的缺点
配置繁琐,配置量大(网络规模越大,路由配置的数量越多)<br>
出现故障不好定位,需要对网络非常清晰,才能定位
不具备故障收敛能力,缺少在可靠网络使用的能力
解决方案
动态路由协议
协议分类<br>
OSPF<br>
企业网络
IS-IS
ISP
BGP
所有场景都会用(大型场景的路由协议)
OSPF基础原理<br>
OSPF路由产生的过程
1、每个设备产生关于自己的LSA,发送给其他OSPF的设备
2、所有设备都会收集到全网的LSA,并且进行拓扑计算
3、给每个路由在拓扑上计算出最优的路径(cost最短的一个路径)
4、把计算好的最优路由,放入进路由表当中
基础概念<br>
router-id
OSPF当中默认的个人名字就是router(我是谁)
格式:采用IP地址的格式,类似1.1.1.1或者说192.168.1.1
配置方式<br>
手动配置(建议)
自动生成
采用地址大的作为router-id
router-id注意的点:要保证全网的router-id唯一,不要产生冲突,否则会出现邻居建立不了的问题
cost<br>
带宽参考值/接口带宽
带宽参考值默认为100M
区域<br>
区域0:骨干区域,非0的区域称为非骨干区域
所有的非骨干区域必须链接到骨干区域当中
邻居关系的建立<br>
作用:同步LSA,把已有的LSA和其他设备进行协商交换,保证全网的LSA的同步
建立过程
邻居关系建立
互相做基本的了解,了解对方的基础信息
邻接关系建立
交换DD报文的目的是为了让彼此知道对方有哪些LSA,从而为下个阶段获取做准备
同步LSA,获取自己没有的LSA,同时把对方需要的LSA,发送过去,实现同步,full完成同步
配置命令<br>
配置命令
基本配置<br>
ospf router-id 1.1.1.1
创建ospf进程,并且指定router-id为1.1.1.1
area 0
创建区域0
interface Gi0/0/1
ospf enable area 0
在接口底下,把接口关联到ospf进程当中,并且归属到区域0
查看命令
display ospf peer br
查看邻居信息,和哪些设备建立了邻居关系
距离路由矢量协议
链路状态类协议
NAT
使用场景<br>
在企业与运营商对接的出口上,运营商会分配公网IP地址,当收到内网的用户流量,要去往公网的时候,给流量的源地址,转换成公网地址,发出去----能够让运营商进行回包
技术类别
静态NAT
静态NAT是一对一的NAT,一个私网地址对应一个公网地址
缺点
1个公网地址对应一个私网IP,浪费公网IP地址
有安全问题
使用场景
内网有服务器,需要挂在公网上,通常用该技术来实现
动态NAT
现阶段没有人使用
多对多,动态的给内网上网的用户分配IP地址,进行上网
Easy IP
基于端口复用技术,给每个用户上网都转换成同一个IP地址,只是把端口进行替换
使用场景:上网使用
NAT server
基于端口转换,给每个服务器+端口绑定到外网IP+端口,让外网用户基于端口访问内网
提高安全性,节约地址
使用场景:把服务器挂在公网上使用
对比
上网:Easy IP
上网+服务器对外:Easy IP+(静态NAT或NAT server)
什么时候用NAT server?什么时候用静态NAT?
端口开放过多的情况下,用静态NAT(例如一个服务器,有几千个端口出去)否则,用NAT server
端口开放过多的情况下,用静态NAT(例如一个服务器,有几千个端口出去)否则,用NAT server
配置命令
静态nat
nat static global 110.1.1.2 inside 192.168.1.1
动态nat
acl number 2000
rule 5 permit
nat address-group 0 110.1.1.50 110.1.1.200
interface GigabitEthernet0/0/1
nat outbound 2000 address-group 0 no-pat
Easy IP
acl number 2000
rule 5 permit
nat outbound 2000
NAT server
nat server protocol tcp global 110.1.1.2 80 inside 192
.168.1.1 80
ACL
企业网络的本质,是互通
ACL:匹配流量,限制流量,过滤流量
特征:流量里面有什么? 外观,你的信息3
报文结构
二层:源 目MAC地址,VLAN
三层:源 目 IP地址
四层:源 目 端口号 TCP/UDP
ACL----本质上,是一本书,专门写特征
deny source 2.2.2.0 0.0.0.255
通配符:0表示匹配,1表示忽略不计
00000010.00000010.00000010.00000000
00000000.00000000.00000000.11111111---0.0.0.255
00000010.00000010.00000010.00000001---2.2.2.1
acl 2000
rule 5 deny source 192.168.1.0 0.0.0.255
rule 10 permit source 192.168.2.0 0.0.0.255
rule 14 deny source 192.168.0.0 0.0.255.255
rule 15 permit source 192.168.3.0 0.0.0.255
关于ACL编号
acl编号为2000-2999这个范围:抓取源IP地址特征
ACL编号为3000-3999这个范围:抓取源IP,目的IP
acl number 3001
rule 5 deny ip source 192.168.1.0 0.0.0.255
rule 10 deny tcp source 192.168.30.0 0.0.0.255 destination 192.168.50.0 0.0.0.2
55 destination-port eq www
rule 15 deny tcp source 192.168.30.0 0.0.0.255 destination 192.168.50.0 0.0.0.2
55 destination-port eq 443
rule 20 deny tcp source 192.168.30.0 0.0.0.255 destination-port eq www
DHCP
大多数情况,在企业网络不可能每个人自己去配置地址
容易配置错误/不会
访客网络/
设备自动去分配地址,如果人员离开,我能够释放地址,给到其他的用户去使用
DHCP
正常上网地址172 什么情况下PC会出现获取169.x.x.x 设172的静态可以正常上网
默认设备的租期是1天
租期区分场景
连锁商超---流动人口大
如果租期长-----DHCP的租期设置为30分钟-1个小时
配置命令
dhcp enable #开启DHCP服务<br>interface GigabitEthernet0/0/0<br> ip address dhcp select interface #在接口底下启用DHCP<br> dhcp server static-bind ip-address 192.168.1.1 mac-address 5489-98b1-2468 #静态绑定444<br> dhcp server excluded-ip-address 192.168.1.10 192.168.1.20 <br> dhcp server lease day 0 hour 0 minute 30 <br><br><br><br>dhcp enable #开启DHCP服务<br><br>ip pool VLAN1<br> gateway-list 192.168.1.254 <br> network 192.168.1.0 mask 255.255.255.0 <br> static-bind ip-address 192.168.1.1 mac-address 5489-98b1-2468 <br> excluded-ip-address 192.168.1.10 192.168.1.20 <br> lease day 0 hour 0 minute 30 <br><br>interface GigabitEthernet0/0/0<br> ip address 192.168.1.254 255.255.255.0 <br> dhcp select global
实验
静态路由
OSPF路由协议
CCNP&HCIP
生成树系列
使用场景
防环协议
STP协议
缺点
收敛慢
30S/50S
浪费资源
会阻塞多余端口,多余的端口完全不会跑数据
RSTP协议
STP基础上,做出了机制上的优化
改进:收敛速度变快,变成了秒级
缺点
浪费资源
会阻塞多余端口,多余的端口完全不会跑数据
使用场景
中小型企业的业务
MSTP协议
在RSTP的基础上解决了浪费资源的问题,提高了流量的利用
缺点
速度/利用率很普通
使用场景
企业网络
堆叠/集群+聚合
主流的虚拟化的方案,切换毫秒级
缺陷
只能自己厂家的做虚拟化,并且型号严格要求
使用场景
各类场景部署都适用
STP原理
基础概念
BID<br>
组成
优先级+MAC地址
缺省:优先级默认是32768
RID<br>
根桥
全网当中会选出唯一的根桥
设备在传递BPDU的过程中,里面携带了根桥的BID,放在RID的参数当中
COST
计算到根桥的路径距离,用来进行选举比较的
<br>
PORT
优先级+端口
选举过程
选举参数
最小的根桥ID<br>
优先级+MAC地址
比较方式
1、先比较优先级,越小越优先<br>
2、比较MAC地址
最小的COST<br>
比小
最小的BID<br>
优先级+MAC地址
比较方式
1、先比较优先级,越小越优先<br>
2、比较MAC地址
最小的port ID<br>
比小
选举步骤
1、全网当中选出唯一的根桥(老大)<br>
注意:全网初始情况下,所有人都认为自己是老大
2、每个非根交换机选出唯一的一个根端口<br>
针对所有端口收到的BPDU进行比较
3、每一段当中选出一个指定端口<br>
两台设备互相发送的BPDU进行比较
4、没有角色的端口为阻塞端口
状态机的作用<br>
防止出现临时环路
<br>
侦听---15---学习----15---转发
故障切换<br>
存在阻塞端口的设备出现链路故障
根端口挂掉,等待30s完成收敛(阻塞端口是根端口的替代端口)
不存在阻塞端口的设备出现链路故障
根端口挂掉后,等待50s后,完成收敛,20s的超时时间
RSTP原理
优化特性
新增端口角色
备份端口:自己与自己协商的结果,在特殊场景下存在
STP/RSTP/MSTP
替代端口:之前的阻塞端口,设备与设备协商的结果
STP/RSTP/MSTP
特点:能够让协议适合更丰富的场景,解决更多的环路问题,但是这个机制并不能提高收敛速度
STP/RSTP/MSTP
简化了端口状态机的数量
从5个简化到了3个,更方便去查看
子主题
提升收敛速度特性
P/A协商机制<br>
作用:让根端口与指定端口这一段快速协商,打开端口
协商过程
1.在交互初期,双方指定端口(都认为自己是老大),互相发送BPDU,P位置位为yes(双方进行PK提议)
2.一端优先级不是那么高,这个时候端口变成了根端口,那么会立即打开端口,并且回复BPDU,里面的A位置位为yes
如果你端口没有协商成根端口,例如是替代端口(AP),BP端口,那么不会打开端口,也不会回复A置位的
3.对端指定端口收到A位置位为yes的报文,会立即把指定端口打开
DP/RP之间故事
更短的老化时间<br>
STP:20s没有收到BPDU,设备角色进行切换,重新收敛(stp 50s的场景)
备份端口切换,需要等待时间
RSTP:3xhello(2s)=6s,6秒完成收敛,速度更快
备份端口切换,需要等待时间
次等BPDU的处理机制<br>
收到优先级没有我高的BPDU,这个时候会立即回复一个我自己的BPDU和对方进行PK
场景:设备没有AP端口,当根端口挂掉后,以自己为根去发送BPDU
优化功能
边缘端口
PC侧问题
当PC接入到交换机的时候,至少需要等待30s才能转发(接口无法P/A,无法快速迁移)
解决方案<br>
关闭接口的stp功能
边缘端口作用
一般配置在连接PC侧的电脑上,该端口不参与STP计算,打开后直接进入到转发状态
特殊情况:如果该端口收到BPDU,会重新开始计算STP,同理,该端口也会发送bpdu
BPDU保护功能<br>
这个保护功能主要是针对边缘端口所设置的一个功能,可以让边缘端口增加一个额外的特性,当收到bpdu之后,会立即给接口shutdown掉
MSTP原理
VRRP<br>
使用场景<br>
主要是解决用户侧无法切换路径的问题(通过技术实现网关冗余的效果)
vrrp:本质上是一个虚拟IP地址和MAC的技术
实现原理<br>
基本概念
vrid:类似于组id,设备之间需要相同的vrid才能协商一个虚拟地址
范围:1-255
虚拟IP<br>
路由器设置的虚拟IP地址,双方之间会协商一个虚拟IP
虚拟MAC<br>
0000-5e00-0101
0000-5e00 固定前缀
0101
第一个01是指ipv4
第二个01是根据vrid来决定的
设备角色<br>
master<br>
主设备,当前使用该地址的设备
backup<br>
备份设备,当主设备挂掉后,备设备顶上去
VRRP协商过程<br>
vrrp的时间概念
通告时间<br>
多久发送一个vrrp报文<br>
1s
老化时间<br>
通告时间x3+偏移时间
配置命令<br>
vrrp vrid 10 virtual-ip 192.168.10.254<br>
设置vrid为10
设置虚拟的IP地址为192.168.10.254
vrrp vrid 10 priority 200
设置vrid 10的这个组的优先级为200
链路聚合<br>
使用场景<br><br><br>
单行链路的缺陷
可靠性较低,一旦断开后,网络直接断掉
解决方案
多条链路+STP类:阻塞多余的接口,无法具备负载的特性<br>
链路聚合:能够负载,并且具备冗余
实现原理<br>
类别<br>
手工聚合
特点:本地指定端口,绑定相应的物理端口
缺点
如果存在错误的接线情况,会导致出现丢包等问题
如果链路存在问题,那么这个时候无法感知,进行切换,或者剔除该链路
LACP
双方进行协商,同时进行保活
LACP特点<br>
协商概念
活跃端口:再LACP当中,优先级较高,能够转发数据端口(活跃端口可以设置聚合口的成员端口的最大数量,也就是说所有的端口都可以作为活跃,备份端口是可选的)
1.根据设备优先级+MAC地址,选举主从设备
2.根据主设备端口发出得LACP的端口优先级和端口号,选举出活跃端口<br>
聚合检测概念
快模式:1s发送一个lacp报文,然后3s没有收到对端的,判定接口失效
负载分担特性<br>
设备收到流量后,按照规则调度流量走某个物理接口的特点
模式类型
逐包
按照包进行分配,这种方式当前设备已经不支持,会出现报文乱序的问题
逐流
源IP/源目IP/源MAC/源目MAC
配置命令<br>
配置命令
静态聚合(手工聚合)
interface Eth-Trunk 1
创建虚拟的聚合接口
trunkport GigabitEthernet 0/0/1
把物理接口划分到聚合口当中
后续划分接口vlan等配置,都在聚合端口里面进行配置
LACP配置
interface Eth-Trunk 1
mode lacp-static
配置为LACP模式
trunkport GigabitEthernet 0/0/1
给他划分到聚合接口
查看命令<br>
display interface Eth-Trunk 1<br>
链路聚合接口的状态
super vlan<br>
交换机转发流程
1.收/发数据帧后<br>
收
access<br>
1.收到没有标签的数据,打上接口定义的vlan标签,然后查询对应vlan的mac地址表进行转发<br>
2.收到带标签的数据,标签值与接口定义的vlan是否一致
标签与接口不一致,丢弃数据<br>
如果一致,保留标签,查询对应的mac地址表进行转发
trunk<br>
1.收到没有带标签的,打上PVID的标签,查询对应的vlan<br>
2.收到带标签的,如果在允许列表中,查询对应的vlan转发
发
access<br> 发送出去的不带任何VLAN ID<br> trunk<br> 发送出去携带对应的VLAN ID<br> 特殊:如果转发的vlan id符合PVID,不带标签发送
2.二层转发<br>
1.学习功能
根据收到的数据帧的源MAC地址查表进行学习
1、表项中不存在相应MAC地址的信息
添加一个新的表项
2、表项中存在,但是收到的接口与表项的接口不一致
覆盖之前的表项
3.表项中存在,并且收到的接口与表项接口一致
刷新表项
2.查询MAC地址表,二层转发
特点:查询目的MAC地址
表项中存在相应的表项
单播/按照表项中的进行转发
1.表项中不存在目的MAC的信息
查询目标mac是否符合vlanif的mac
符合
不符合
泛洪
3.三层转发<br>
1.查询目标IP地址
目标IP是自己vlanif的接口IP
查询端口号,继续解封,这个数据包是需要本地处理的
目标IP不是自己vlanif的接口IP
查询路由表处理<br>
表项中不存在
丢弃数据处理
表项中存在
重新封装
4.重新封装<br>
二层封装
源MAC:路由表的出接口MAC
目标MAC(根据路由的下一跳进行封装)
目标下一跳是自己接口的地址
直连路由处理,封装目标IP的MAC信息
查询ARP表项
arp表项中是否存在<br>
存在表项
直接封装
不存在表项
通过arp报文请求去获取arp信息
请求后,有收到应答报文
直接封装
获取的arp信息缓存在arp表中
请求后,收不到应答报文<br>
丢包
目标下一跳是一个非自己接口的地址
封装下一跳的信息
super vlan<br>
聚合vlan场景<br>
1.降低网络的改造难度<br>
2.节约地址
3.隔离
原理<br>
针对VLANIF做聚合的技术,可以把多个vlan关联到一个vlanif下
super vlan
设置的聚合vlan
注意点:底下的接口是没有办法划分聚合vlan的
sub vlan
关联的子vlan
注意点:是不能创建vlanif的
配置<br>
配置命令<br>
主vlan设置
vlan 100
进入到主vlan
aggregate-vlan
指定该vlan为聚合vlan
access-vlan 10 20
关联vlan 10 与 vlan 20为子vlan
arp-proxy inter-sub-vlan-proxy enable
代理功能
查看命令
display super-vlan
隔离技术<br>
技术背景
在网络中,处于安全性考虑,需要设置隔离的需求,来提高网络的安全性
实现原理
mux vlan
vlan类别
主vlan
隔离vlan
隔离vlan之间无法互访,只能访问主vlan的接口
互通性vlan
相同互通性vlan之间能够互访,也能够访问主vlan
主VLAN特点:可以与关联的互通性vlan和隔离vlan进行通信
注意事项
1.隔离端口只能设置一个
2.互通性vlan,如果vlanid不一致,也不会通信
配置命令
配置命令
mux vlan
vlan 100
创建,进入到主vlan
subordinate separate 10
指定vlan10为隔离vlan
subordinate group 20 30
指定vlan 20与30为互通性vlan
查看命令
display mux-vlan<br>
查看mux vlan的接口关联信息
BFD<br>
使用场景<br>
检测技术
1.实现链路的可达性检测
2.把检测的结果,上传到其他协商上面
协议原理<br>
应用层协议,轻量级的探测协议
会话协商模式
静态协商
需要手动配置标示符
只是说明怎么协商会话id,和建立没有直接关系
动态协商
无需手动配置,自动协商
只是说明怎么协商会话id,和建立没有直接关系
会话状态
down
接口打开后的初始状态,发送的报文会携带该状态的标识
init
当前有收到对方的down报文,类似第一次握手成功
up
表示有收到对端的init,会话完成协商
配置命令<br>
自协商
bfd
全局配置启用
bfd q1 bind peer-ip 12.1.1.1 source-ip 12.1.1.2 auto
配置bfd的实例,检测的地址是12.1.1.1 ,我的源地址是12.1.1.2,采用自动协商模式
手工模式
bfd
bfd q2 bind peer-ip 23.1.1.2 source-ip 23.1.1.1
discriminator local 2
指定本地标示符
discriminator remote 1
指定对端标示符
单臂回声
bfd q1 bind peer-ip 12.1.1.1 interface GigabitEthernet0/0/1 one-arm-echo
discriminator local 1
本地会话id
commit
提交
查看命令
dis bfd se all
OSPF
动态路由协议特点
距离矢量协议
类别
RIP
不用,淘汰
BGP
距离矢量类协议,现阶段使用场景非常广泛
本周
链路状态协议
类别
ospf
is-is
实现过程
1.全网设备建立邻居
目的:传递lsa
LSA
我是谁
我连着谁,连着有多远
我底下有哪些网段
IA学习的,主要学习邻居建立的过程,LSA是怎么传递出去得
2.根据lsa进行路由计算
根据spf算法,计算拓扑图
在拓扑图上挂路由
3.计算每个路由的最优下一跳,以及路径开销,下发到全局路由表
OSPF原理
基础原理
router id
我是谁
标识的特点:点分十进制,和IP地址长得一样
设置方式
本地配置
自动选举
区域
区域的作用
减少区域内的lsa泛洪
减少ospf收敛对设备的影响
骨干区域
区域0
普通区域
非区域0
cost
带宽参考值/接口带宽=cost
路由计算
SPF计算
LSA类别
1类LSA
设备对于自身的描述,自我介绍
我是谁
我连着谁,开销是多少
我有哪些网段
link-type类型
p-2-p
描述连接的是点到点类型
连接的是一个router-id
TransNet
描述连接的是一个广播网络
连接的是一个2类(dr的虚拟节点)
stubnet
描述的是路由信息,路由+开销的形式
其他信息
ls-id
ad-id
产生的设备
所有设备都会产生1类LSA
2类
拓扑信息
描述这个广播网络的设备连接信息
路由信息
描述这个广播网络的网段(没有开销)
产生设备
DR产生
3类LSA
路由信息
ls id:路由网段
adv rtr:这个是通告者abr的router-id
net mask:掩码信息
metric:开销信息
多个abr的时候,可以比较,选出最优的路径出去
产生设备:abr产生
条件
OSPF区域间防环机制
1.所有区域都必须连接骨干区域
2.ABR不会将描述到达某个区域内网段路由的3类LSA再注入回该区域。
3.ABR从非骨干区域收到的3类LSA不能用于区域间路由的计算。
4类LSA
内容
ls id:asbr的router-id
adv rtr:abr的router-id
metric:描述abr到asbr的路径开销
拓扑描述信息
作用:给其他区域的设备,描述asbr所在的位置
每经过一个ABR,会替换adv rtr
产生设备:ABR,在ABR传递5类给其他区域的时候,会产生相应的4类LSA过去
5类LSA
路由信息
ls id:网段信息
adv rtr:通告者的router-id(asbr,并且不改变)
net mask:掩码信息
metric:默认固定1(可以改变)
产生设备:ASBR产生,当引入外部路由的时候,产生5类LSA
type类型
type 1
计算的时候,是沿途路径开销+路由开销
type 2
计算的时候,只关注5类lsa开销来进行选路,不关注内部的路径开销
区域内的拓扑计算
计算拓扑
以设备自己为根,根据拓扑信息,计算出全网的拓扑节点(1类+2类的形式组成)
挂路由
把每个设备的stubnet挂到设备下
根据当前拓扑+路由,计算出每个路由的最优路径,下发到ospf路由表中
区域间的路由计算
挂路由,把3类LSA挂在abr设备上面,计算方式同样是路径开销+路由开销
路由比较计算
1/2类&gt;3类&gt;5类 type 1&gt;type 2
OSPF优化功能
路由表优化
特殊区域
stub
abr过滤4/5类,下发3类的缺省路由
针对外部路由较多的场景下去使用
Totally Stub区域
abr过滤3/4/5类,下发3类的缺省路由
过滤较为彻底
Nssa区域
abr过滤4/5类,下发缺省路由
在区域内的设备,通过import命令注入外部的路由后,形成的类别是7类LSA
ABR针对收到的7类,实现7转5,泛洪到其他区域
totally nssa区域
abr过滤3/4/5类,下发缺省路由
在区域内的设备,通过import命令注入外部的路由后,形成的类别是7类LSA
ABR针对收到的7类,实现7转5,泛洪到其他区域
汇总
abr进行三类汇总
asbr进行5类汇总
其他优化
提高收敛速度
1.接口修改为P2P类型,无需选举dr
2.修改hello间隔
静默接口
不发送hello,不协商邻居,网段正常通告,一般配置在连接PC侧
配置命令
配置命令
import-route isis 1 cost 1000 type 1
引入isis协议到ospf当中,并且开销为1000,类型为type 1
特殊区域配置
stub区域配置
ospf 1
进入到ospf进程下
area 1
进入到区域视图下
stub
设置为stub区域
totally stub区域配置
ospf 1
area 1
stub no-summary
NSSA
ospf 1
进入到ospf配置视图
area 1
进入到区域视图
nssa
设置为nssa区域
3类汇总
在区域视图下配置
abr-summary 172.16.0.0 255.255.252.0
5类汇总
再ospf视图下
asbr-summary 172.16.0.0 255.255.252.0
静默接口
silent-interface GigabitEthernet 0/0/0
查看命令
display ospf peer brief
查看邻居关系
display ospf lsdb
查看lsdb目录
display ospf lsdb router 1.1.1.1
查看一类lsa
display ospf lsdb network
查看2类lsa
display ospf routing
查看计算好的路由
ISIS
OSPF区别对比
ISIS方便改进
OSPF弊端:报文格式固定,比如要支持IPV6功能,就需要开发新的协议
支持的网络类型
OSPF支持更多的网络类型,适应各种场景
ISIS只支持广播类型和P2P
NET地址
区域ID+system-id+00组成
区域id范围为1-13字节
system-id固定6字节
00固定1字节
实现原理
DIS
作用类似DR
特点
dis这台设备发送hello间隔是3s一次,超时时间是10s
可抢占原则(在邻居建立之后选举的dis)
选择规则
优先级:范围0-127
缺省64
比大
比较MAC地址,比大
设备角色
L1
严格要求区域信息
类似特殊区域,一般来说可以把性能较低的设备,规划到L1
L1/2
作为L1和L2区域连接的设备,桥梁
区域规划:一定要和L1区域一致
L2
不要求校验区域,可以和任意区域的设备建立邻居关系
骨干区域规划为L2,或者所有设备全做L2
L1区域和L2区域互连
L1/2设备会下发缺省路由到L1区域
att置位
置位条件
L2邻居关系
有不同区域的邻居(数据库里面有不同区域的LSP)
L1/2设备会把L1里面计算的路由,大包发送到L2,类似OSPF当中3类的行为
实现过程
邻居建立过程
类似OSPF到2-way建立过程
特点:每个设备在启用ISIS功能之后,就会开始发送hello报文,10s发送一次,超时时间30s
建立完整过程
<br>
同步过程
CSNP
类似OSPF的DD报文,描述我的数据库里面有那些LSP
PSNP
类似OSPF中的LSR和LSACK的报文,请求和确认
LSP
更新报文
LSP的内容
同步过程
<br>
配置命令
查看命令
display isis lsdb
查询lsdb
基本配置
isis 1
is-level level-1
配置设备角色为L1
network-entity 49.0001.0000.0000.0001.00
NET地址配置方式
00固定
0000.0000.0001
system-id
49.0001
为区域id
isis enable 1
宣告接口进入ISIS
额外配置
修改接口类型
isis circuit-type p2p
路由泄露
解决L1的次优路径问题
import-route isis level-2 into level-1
把L2的路由引入进L1
路由基础/路由策略
路由基础原理
路由表
加表方式
1.协议优先级
ospf:10/150
is-is:15
bgp:255
直连:0
比较方式
越小越优先
2.开销(cost)
比较方式:越小越优先
同协议比较cost
转发依据
最长掩码匹配
实际设备控制层面计算
协议路由表
不同协议自身计算出来的路由信息
根据协议计算的cost,选出最优路由,下发全局路由表
RIP
所有的路由都会放进全局路由表进行比较,选出最优的路由
根据不同协议产生的相同路由,通过优先级比较出最优的路由
路由策略
匹配工具
acl
匹配项(网络号)
掩码?通配符?反掩码
前缀列表
解决acl不能匹配掩码问题
前缀列表规则
p ip-prefix q1 index 1 permit 192.168.1.0 24 greater-equal 24 less-equal 26
q1:名称,本地意义
index:序号,类似acl的序号,匹配顺序
permit/deny
拒绝或者允许的意思
192.168.1.0 24
抓取网络号是192.168.1开头的(前面24位一致的)
greater:起始掩码为24
less:结束掩码 26
如何放通所有
ip ip-prefix q1 index 10 permit 0.0.0.0 0 less-equal 32
0为通配意思,4个0表示抓取任意网络号
注意事项
ip ip-prefix q1 index 20 permit 0.0.0.0 0
抓取缺省路由
如果没有定义greater参数,但是写了less参数,默认的greater的参数就是我们的网络号的匹配位
过滤工具
filter-policy
针对协议产生的路由实现过滤
过滤特点:需要配合匹配工具去针对特定的路由进行过滤
实现方向:
import
在协议路由进入到全局路由表的时候,进行过滤
export
route-policy
路由策略工具,可以实现路由属性修改,路由过滤功能
import
route-policy
route-policy q1 permit node 10
外部:
q1:名称
permit:符合permit的放入路由表
deny:最终的结果是干掉这个路由
node :序号,类似acl
默认隐含deny规则
if-match ip-prefix q1
apply cost 10000
配置
1.规划tag
2.isis 改变开销类型
3.写route-policy来解决环路(路由回灌问题)
4.修改优先级,解决环路问题
配置思路
1.规划tag
如图所示
2.isis区域改变开销类型
isis区域所有设备配置: cost-style wide
3.AR3/AR4配置route-policy与引入配置
AR3
OSPF中引入ISIS
route-policy isistoospf deny node 10
if-match tag 400
route-policy isistoospf permit node 20
apply tag 200
ospf 1
import-route isis 1 route-policy isistoospf
ISIS中引入OSPF
route-policy ospftoisis deny node 10
if-match tag 300
route-policy ospftoisis permit node 20
apply tag 100
isis 1
import-route ospf 1 route-policy ospftoisis
AR4
OSPF中引入ISIS
route-policy isistoospf deny node 10
if-match tag 100
route-policy isistoospf permit node 20
apply tag 300
import-route isis 1 route-policy isistoospf
ISIS中引入OSPF
route-policy ospftoisis deny node 10
if-match tag 200
route-policy ospftoisis permit node 20
apply tag 400
import-route ospf 1 route-policy ospftoisis
4.修改优先级
OSPF引入RIP设备上,引入的过程中打上标签(AR2)
ospf 1
import-route rip 1 tag 10000
AR3/AR4修改优先级
route-policy pre permit node 10
if-match tag 10000
apply preference 11
配置route-policy
ospf 1
preference ase route-policy pre 150
MQC策略路由
使用场景
多出口场景下使用
通过MQC可以实现报文特征的流量控制,达到选路的效果(路由表,不具备源选路的能力)
MQC策略
流分类
traffic classifier q1 operator or
if-match acl 2001
在流分类的视图下,可以匹配报文的特征,针对报文的特征做为匹配参数
流行为
traffic behavior q2
redirect ip-nexthop 10.1.1.2
在流行为的视图下,定义报文的动作
限速
丢弃
修改字段
重定向
流策略
traffic policy q3
classifier q1 behavior q2
在流策略视图下,绑定流行为和流分类策略
调用
traffic-policy q3 inbound
调用可以分为2个方向,一个是in,一个是out
找到相应vlan的mac地址表
0 条评论
下一页
为你推荐
查看更多
