CCNA主要知識點彙總
2021-06-14由 生命的凱歌256124851 發表于 農業
八位位組怎麼轉化
第一天(拓撲、OSI、封裝、每層的裝置、線纜、路由器配置、路由器組成與啟動、路由器安全)
1:網路前言
組建一個網路之前要考慮很多因素:費用、安全、網速、拓撲、可伸縮性、可靠性、可用性
建立一個網路需要元件:計算機(執行有作業系統的:PC、檔案伺服器)、聯網裝置(交換機、路由器、防火牆)和介質(光纖、網線)
2:網路拓撲結構
前言:
用線纜、裝置構建一個網路的時候,可以有各種型別的拓撲,所謂拓撲就是指裝置之間的連線方式:
點對點(point to point topology):需要將很多裝置連結在一起時不常見
匯流排型(bus topology):所有的裝置透過一條線路進行通訊
星型(Star Topology):用於連結許多裝置的環境,不過中心裝置的壓力會很大,存在單點故障。解決辦法:擴充套件性的星形拓撲。
擴充套件的星型(Extended-Star Topology):多個星形拓撲的組合,優點是減弱了中心裝置的責任。
單環型(Ring Topology):為了解決單點故障
雙環型(Dual-Ring Topology):應用於冗餘備份
全互聯(Full-Mesh Topology):容錯能力強大,費用昂貴
部分互聯(Partial-Mesh Topology):只是核心裝置進行互聯,在容錯和費用間均衡
3:OSI參考模型
前言:
OSI參考模型具有層次化,優點:
簡化了相關的網路操作;
提供不同廠商之間的標準介面;
使各個廠商能夠設計出相互操作的網路裝置;
把複雜的網路問題分解為小的簡單問題,易於學習和操作。
第七層:應用層:提供人與應用程式互動的介面(登陸QQ時的視窗。)
第六層:表示層:定義資訊是如何透過使用者正在使用的介面傳輸並呈現給使用者。還可以提供加密以保護來自於應用層的資料資訊。
第五層:會話層:負責啟動連結的建立和終止,區分多個連結,負責對應用層、表示層和會話層出現的任何錯誤進行報告。作業系統就在此層次。
第四層:傳輸層:建立、維持、終止兩個裝置之間的會話連線,提供可靠(TCP、三次握手:差錯偵測、差錯校正)或不可靠(UDP:只有差錯偵測,實現實時資料)的連線;
第三層:網路層:定義第三層地址;尋找到達目的地的最佳路徑;跨區域進行協商。
第二層:資料鏈路層:定義了在單個鏈路上如何傳輸資料,提供了物理地址/硬體地址,提供無連線和麵向連線的服務;協商兩端裝置的0、1位元的一致。
第一層:物理層:定義裝置介面的型別、連線裝置之間的線纜的型別;對傳輸的資訊進行電訊號與模擬訊號之間的轉換,在兩個網路裝置之間提供透明的位元流傳輸。
4:封裝和解封裝
這七層是為了幫助我們理解資料傳送到遠端裝置時所經歷的傳輸過程,資料傳輸的過程分為封裝、解封裝兩個過程:
每一層使用自己層的協議和別的系統的對應層互相通訊,協議層的協議在對等層之間交換的資訊叫協議資料單元。
5:TCP/IP協議棧
6:每層裝置
7:線纜
T:雙絞線 F:光纖 X:雙工方式
光纖(玻璃纖維):多模是紅外光譜;單模是鐳射
直通線:不同種裝置之間互聯(路--交)(網線兩頭的水晶頭裡的線顏色要對應好)
交叉線:同種裝置之間互聯(路--路;交--交;路--PC)
8跟銅絲的網線,在這8根絲中,只有4根是傳資料用的,其它4根線只是為了消除電磁干擾。在4根傳輸資料的線當中,有2根是用來發送資料的,有2根是用來接收資料的。傳送資料的那2根線一定要和對端接收資料的連。所以電腦之間用交叉線。但現在很多交換機是自適應的,內部會自動切換收、發電路。所以用這2種線都可以。
實際工作中可以看裝置埠號後面有沒有X,都有或者都沒有——>交叉線
8:配置路由器
1。登入方式:console口、AUX遠端撥號、telnet、web形式
2。真機操作:連線電腦和路由器的console口、secureCRT軟體、quickconect、serial、選埠(轉介面的埠)、波特率9600、connect。
3。介紹TAB鍵、錯誤情況、^、命令提示符
4。命令:
Router> 使用者模式,檢視
Router>en
Router# 特權模式,檢視、儲存、
Router#conf t
Router(config)# 全域性配置模式
Router(config)#int fa 0/0
Router(config-if)# 介面模式
Router(config-if)#ip add 192。168。1。1 255。255。255。0對介面配IP
Router(config-if)#exit 逐層退出
Router(config-if)#end 直接回到特權模式
Router#sh ip int brief
*思科路由器的每個介面,在預設情況下是關閉的
9:路由器的組成
RAM(記憶體):隨機存取儲存器,存放我們當前的配置,掉電即丟。
R1#dir system:
NVRAM/Configuration Register:非易失性隨機訪問儲存器,是指斷電後仍能保持資料的一種RAM。存放有以儲存的配置檔案
R1#show startup-config
暫存器值:影響路由器啟動過程的一個值,作用:0x2102 正常,從flash中載入IOS,並且從NVRAM中讀取配置檔案 0x2142 從flash中載入IOS,但不從NVRAM中讀取儲存的配置
檢視暫存器值:show version
ROM:只讀儲存器,工作過程中只能讀出,而不像隨機儲存器那樣能快速地、方便地加以改寫,存放有載入程式Flash(硬體):IOS操作程式
R1#show flash:可以檢視IOS
CPU
Interface:
10:路由器的啟動
1。加電自檢
2。載入載入程式
3。尋找IOS映象——FLASH
4。載入IOS映象——RAM
5。尋找配置檔案——NVRAM
6。載入配置檔案——RAM
7。正常啟動
11:路由器的安全
硬體威脅:防盜
環境威脅:保持乾淨(溫度、溼度)
電力威脅:儘量不要斷電!UPS不間斷電源,防止意外斷電
配置威脅:密碼
1。路由器第一道防線:console 0密碼(即對線路密碼,插入線即要輸密碼):
R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#login
2。路由器第二道防線:遠端登入密碼
R1(config)#line vty 0 4
R1(config-line)#password ccie
R1(config-line)#login
3。路由器第三道防線:enable密碼
R1(config)#enable password ccna
R1(config)#enable secret ccnp 明文加密
*當enable password & enable secret同時共存時,enable secret生效,演示現象
R1(config)#service password-encryption 對所有明文密碼加密
R1(config)#no service password-encryption
*密碼加密服務一旦開啟,即使後期關閉,被加密的密碼資訊也無法被還原(單項加密,慎重使用!)
配標語(莊重嚴肅警告):
R1(config)#banner motd “××××”
*以第一個符號為起始符和終止符!
12:遠端登入
一、Telnet遠端登入(被訪問者的線路、enable密碼都要先配置好,否則無法登入)
Telnet核心配置:
PC>telnet 192。168。1。1
若沒有線路密碼,就無法登入!
R1(config)#line vty 0 4
R1(config-line)#password ccie
R1(config-line)#login
刪除login後的現象、使用本地使用者名稱和密碼
R1(config)#username jiance password ccna
R1(config)#line vty 0 4
R1(config-line)#login local
PC>telnet 192。168。1。1
R1會要求輸入使用者名稱和密碼
Login像防盜門,password像鑰匙
SSH核心配置:(保護對IOS裝置的遠端訪問,SSH流量加密)
1。修改hostname
R1(config)#host R1
2。給路由器新建一個域名
R1(config)#ip domain-name cisco。com
3。給路由器新建一個使用者名稱和密碼(共後續SSH登入時驗證使用)
R1(config)#username ccie password ccie
4。用上述的hostname和域名形成RSA加密金鑰(對稱加密)
R1(config)#crypto key generate rsa
5。VTY線路配置:
將連線進入配置的遠端登入協議限制為SSH
R1(config-line)#transport input ssh
6。將vty線路的認證設定為利用本地資料庫進行驗證(即用username、password組合進行驗證)
R1(config-line)#login local
對被訪問者設定enable密碼
利用PC等終端測試SSH的有效性:ssh -l ccie 192。168。1。1
13:路由器的破密碼
原理:
利用路由器的啟動順序)
25系列以上
*路由器正常的配置暫存器的值:載入配置:0x2102(透過修改該值) 不載入配置:0x2142
1。關機、重啟
2。路由載入過程中,按住break鍵(ctrl+Fn+break),將路由器引導到rommon模式
3。Rommon 1>confreg 0x2142,修改配置暫存器的值
4。Rommon 2>reset,重啟
5。Router#copy start-config running-config,啟動完成後,計入特權模式
6。刪除、修改密碼
注意:如果是在實際工程環境中,完成上述工作後,還需要做兩件事情。
1。 修改完密碼後,需要儲存配置,否則之前的密碼還是放在配置檔案中;
2。 把配置暫存器的值修改為0x2102,因為如果是0x2142 的話,下次路由器的配置檔案不會被載入。
在正常的IOS 中修改配置暫存器的值如下:
7。Router(config)#config-register 0x2102(將配置暫存器的值再改回來)
8。Router#copy running-config start-config
9。儲存配置,重啟配置
25系列
1。關機、重啟
2。路由載入過程中,按住break鍵(ctrl+Fn+break),將路由器引導到rommon模式
3。Rommon 1>o/r 0x2142,修改配置暫存器的值
4。Rommon 2>reload 重啟
之前的一樣。
第二天(乙太網組成、SW工作原理、VLSN、TRUNK、VTP、SW安全、SW破密碼)
3:LAN介紹
1。LAN使用的元件
線纜(cable):區域網的距離擴充套件通常需要透過線纜來實現,不同的區域網有不同連線線纜,如光纖(fiber)、雙絞線(twisted pair)、同軸電纜等。
網絡卡(NIC,Network Interface Card)插在計算機主機板插槽中,負責將使用者要傳遞的資料轉換為網路上其它裝置能夠識別的格式,透過網路介質傳輸。
集線器(Hub)是單一匯流排共享式裝置,提供很多網路介面,負責將網路中多個計算機連在一起。
交換機(Switch)它同樣具備許多介面,提供多個網路節點互連。但它的效能卻較共享集線器大為提高,交換機還具備集線器欠缺的功能,如資料過濾、網路分段、廣播控制等。
路由器(Router): 路由器是一種用於網路互連的計算機裝置,它工作在 OSI 參考模型的第三層(網路層),為不同的網路之間資料的轉發尋找路徑。
協議:乙太網,IP,ARP,DHCP
2。LAN的功能
3。提供資料和應用程式
4。資源共享
5。提供去往其他網路的通訊路徑
3。乙太網的發展
LAN中所用到的技術有ethernet和IEEE802。3
1973年有Xerox公司研發出了乙太網的雛形,到了1982年由DIX:DEC公司INTEL公司XEROR施樂公司三家公司進行了標準化,當時的傳輸速度有10M/s。直到2002年,由IEEE組織重新制定了一個IEEE802。3標準,由於ethernet技術比較成熟,現在我們用得最多的也就是ethernet。
4。CSMA/CD
我們說二層-資料鏈路層有交換機和集線器兩個主要裝置,在早期的網路中主要是集線器,集線器的工作原理比較簡單,當然也存在著很多不足,集線器組成的網路叫做共享式乙太網,存在的缺點就是許多主機共享這條線路,多臺主機同時傳送資料時就會出現很多衝突,資料產生衝突,給我們的直接影響是出具出錯或者網速很慢很慢,為了解決這個問題,有一種技術叫做CSMA/CD載波偵聽多路訪問衝突檢測。
A。工作原理:
載波偵聽:監聽這條線路是否有人使用
多路訪問:所有裝置用相同的線路去傳輸
衝突檢測:如果有人使用就等待,多人同時發,所有人同時發,百兆的傳輸介質一般只有二十兆的傳輸速率
3:交換機
區域網中交換機是非常重要的網路裝置,負責主機之間快速的資料轉發。
工作原理:
依靠MAC地址轉發資料幀,在交換機內部,存放著MAC地址表,交換機就是依賴於MAC地址表進行轉發的。當交換機收到一個數據幀的時候,交換機會將該資料幀的源MAC地址以及收到該資料幀的介面寫入自己的MAC地址表中,當交換機收到一個目標MAC不明確的資料幀(MAC地址表中沒有目標MAC的條目),交換機會在所有介面傳送該資料幀(廣播、泛洪)。
MAC
這裡涉及到一個重要的概念-MAC地址,是用於資料鏈路層資料轉發時尋找路徑用的,MAC地址固化到我們裝置的網絡卡上,理論上是MAC不會重複,是全球唯一的。
MAC地址的長度是48bite,並且以十六進位制數表示,0~9和A~F,8個bite為一個位元組共6個位元組,為了方便讀取,我們通常採用點隔開十六進位制數,例如:FFFF。FFFF。FFFF或者FF:FF:FF:FF:FF:FF
MAC目的地址的型別:
廣播:所有的
組播:一組裝置
單播:一臺裝置
雙工方式:
半雙工:裝置可傳送、接受資料,不能同時進行。用於共享介質連線的網路
全雙工:同時收發
網橋支援半雙工,交換機支援兩者
CSMA/CD只能工作在半雙工狀態。
檢視交換機的MAC地址表
Sw1#sh mac-address-table 檢視
4:Vlan
VLAN的優點:
具有靈活性:打破了每個部門必須住在一個固定的區域,一個交換機上可以有對個VLAN,一個VLAN 也可以跨越多個交換機,VLAN 不夠到地裡範圍的限制
將網路分段:一個VLAN就是一個獨立的邏輯網段,
提高了安全性:不同的VLAN配置了不同的邏輯網段,那麼需要路由器來連線並進行VLAN之間的通訊,我們可以在路由器上做很多安全的策略
為組織設計VLAN:
VLAN 的設計必須考慮好如何實施分層的網路編址,分層編址的好處有:
易於管理同時易於排出故障:我們在分配地址時,基本上會分配連續的地址,這樣方便與網路管理以及可以及時找出錯誤所在。
將錯誤量最小化:層次化編址還可以減少重複分配等等
可以減少路由條目:
園區網架構的模型:
接入層:(1900、2900、2960系列)
匯聚層:(3550、3560、4503系列)
核心層:(3550、3560、4503、6509系列)
成員關係:
(1)靜態VLAN: 手動把介面放到某個VLAN中。
(2)動態VLAN:利用VMPS伺服器,將PC的MAC地址和VLAN繫結。
(3)語音VLAN:自動識別語音資料
5:Trunk
(1)作用:在交換機之間,傳遞多個VLAN的資料
(2)如何識別不同的VLAN資料?
a。思科私有ISL:(NP)
b。國際標準802。1Q:VLAN Tag:在乙太網的資料幀之間插入VLAN Tag
Sw1(config-if)#switchport trunk encapsulation dot1q 規定Trunk封裝,NA只是用的是2950交換機,預設是dot1Q。
Sw1(config-if)#switchport mode trunk 確認Trunk,手工強做成Trunk
Sw1#show interface trunk 確認介面是trunk模式
鏈路兩端的封裝一定要一致,(802。1Q-802。1Q;ISL-ISL);
兩端的NATIVE VLAN要一致;一般把流量較大的介面劃入nativevlan中!
劃分VLAN:
Sw1#show vlan brief
Sw1(config)#vlan 100
Sw1(config-vlan)#name teacher改VLAN名字
將介面放入VLAN中
確認埠模式(ACCESS)
Sw1(config-if)#switchport mode access
將介面劃到相應的VLAN
Sw1(config-if)#switchport access vlan 100
Sw1(config)#int range fa 0/1 - 10,fa 0/18對一些埠同時進行操作
Sw1(config)#no vlan 100
刪除VLAN之前,要確認VLAN下沒有介面,把已有的介面放到其他的VLAN內,否則sh vlan brief將看不到相應的介面,雖然不影響對這些介面的其他操作。
交換機重啟後,即便之前沒有儲存VLAN,VLAN依然存在。
6:VTP
思科私有的
三種模式:
伺服器:
可以新增、刪除和更改VLAN
學習/轉發相同域名的VTP訊息
VLAN資訊寫入NVRAM
客戶端:
不可以新增、刪除和更改VLAN
學習/轉發相同域名的VTP訊息
VLAN資訊不寫入NVRAM
透明模式:
可以新增、刪除和更改本地VLAN
不學習只轉發相同域名的VTP訊息
VLAN資訊寫入NVRAM
條件:
a。Trunk必須正常
b。所有交換機必須處於同一個VTP的域名下,且域名是大小寫敏感。
預設情況下,域名為空NULL,只有當伺服器域名從空到有時開始傳輸VLAN資訊。
VTP在預設情況下,是開啟的。交換機預設的VTP的模式都是Server。
Sw1#sh vtp status檢視VTP資訊
Sw2(config)#vtp mode client
Sw1(config)#vtp mode transparent
Sw1(config)#vtp domain Cisco
VTP到底是誰同步誰,與VTP的模式無關,伺服器也可以從客戶端學習,而與配置版本號有關
configuration revision大的去同步小的;
每對VLAN做一次操作,不論是新增,刪除還是修改,configuration revision都+1
VLAN更新資訊有兩種形式:5分鐘定時更新+只要存在VLAN資訊的變化立即觸發更新
VTP修剪:
透過阻止不必要的資料泛洪來節約可用的頻寬,預設關閉
6:交換機的安全
硬體威脅:防盜
環境威脅:保持乾淨(溫度、溼度)
電力威脅:儘量不要斷電!UPS不間斷電源,防止意外斷電
配置威脅:密碼
7:交換機破密碼
1、設定交換機加密並儲存配置
Switch#copy running-config startup-config
Switch#reload 重起交換機。當交換機重起時,按住交換機前面板的Mode 鍵不放
2。修改啟動檔名
switch: flash_init——————————-初始化flash 。
switch: dir flash:——————-顯示flash 中的檔案
3。修改配置檔名
switch: rename flash:config。text flash:config。old 將啟動配置檔案改名,這樣交換機啟動時就讀不到 config。text 了,從而沒有了密碼。
4。重啟交換機
switch: boot————————引導系統,這時不再按住Mode 鍵了。
5。修改密碼
Switch>en
Switch#show flash
2 -rwx 1193 Mar 01 1993 00:01:20 config。old 啟動檔名被修改所以不會被載入。
Switch#rename flash:config。old flash:config。text 將啟動的檔名改回到正常的檔名。
Switch#copy flash:config。text running-config
Switch(config)#no enable password——————-刪除密碼。
Switch(config)#line con 0
Switch(config-line)#no password——————-刪除控制檯的密碼。
Switch(config-line)#no login————————不要求密碼驗證。
6.儲存配置檔案
Switch#copy running-config startup-config 將密碼刪除後的配置檔案儲存。
Switch>en
Switch# 很明顯沒要求密碼驗證。密碼已被刪除。
CDP
思科發現協議,思科私有的
1。作用:用來發現和思科裝置直接相連的其他思科裝置的資訊;(思科裝置在預設情況下,CDP都是開啟的)
2。命令:
Sw1#sh cdp neighbors
Sw1#sh cdp neighbors detail
*實際應用中,安全起見,最好把全網的CDP關閉!!!
Sw1(config)#no cdp run
Sw1(config-if)#no cdp enable
*先開介面後改名字,鄰居會學到重複的資訊,要等holdtime結束
IOS備份升級
備份IOS到伺服器上
說明:給介面、PC配地址,IOS以。bin檔案儲存在路由器的FLASH內,
Router#show flash:
3 5571584 c2600-i-mz。122-28。bin
Router#copy flash: tftp:
Source filename []? c2600-i-mz。122-28。bin
Address or name of remote host []? 192。168。1。2
Destination filename [c2600-i-mz。122-28。bin]?
Writing c2600-i-mz。122-28。bin!!!!!!!!!!!!!!
升級IOS:
過程與備份相反
Router#copy tftp: flash:
Address or name of remote host []? 192。168。1。2
Source filename []? c2600-i-mz。122-28。bin
Destination filename [c2600-i-mz。122-28。bin]?
Writing c2600-i-mz。122-28。bin!!!!!!!!!!!!!!
網路層
網路層主要實現的內容是:
1。定義用於網路層的邏輯地址;
2。基於邏輯地址尋找到到達目的裝置的路徑;
IP的特點
1。在網路層;
2。無連線,即不可靠;
3。資料包是獨立處理(一個一個處理);
4。層次化的編制;
5。盡力而為傳送;
6。沒有資料恢復的功能;
1。IP Address
1。由網路位、主機位組成,IP地址+子網掩碼:確定網路位!!
2。PDU:version:IPv4:點分十進位制;
3。TTL(time to live):防止包被無休止的傳輸(包每經過一個路由器TTL減1,當其為0且包還未達目的時,該包就被丟棄。TTLmax=255)
4。IP空間大小:IPv4:2^32;
5。IP分類
A類:0xxx xxxx(第1個八位位組的第1個位元為0,預設情況下,前8位為網路位,後24位為主機位)
B類:10xx xxxx
C類:110x xxxx
*127開頭的:測試用 127。0。0。1測試本機網管是否正常,資料包從本地出發最後回到本地,只要網管是正常的肯定是通的;
主機位全0:網路IP地址,表示一段IP地址的集合。
例如:192。168。1。0(192。168。1。1——192。168。1。254)
主機位全1:廣播IP地址。例如:192。168。1。255
私有地址:在企業內部使用,無法在網際網路上通訊。開始使用IP add時沒有考慮到會用光耗盡,那麼如果企業不需要訪問外網只要內部進行 就交流,我們可以使用私有的地址。
A:10。0。0。0——10。255。255。255
B:172。16。0。0——172。31。255。255
C:192。168。0。0——192。168。255。255
DNS(domain name survice)域名解析服務:
平時上網是在位址列輸入www。xxx。com,可是網際網路不認識這個,需要一個東西來做域名<—>IP add的對映
Ns lookup
Google dns 8。8。8。8
Jiangsu dns 218。2。135。1
*命令:Ip configure all:
DHCP
1。優點:
5。減少管理員的配置量
6。減少錯誤
7。集中管理IP
2。DHCP地址分配方式:
6。手工分配:根據需要為某些少數特定主機(DNS伺服器、印表機)繫結固定的IP地址,地址不會過期。
7。自動分配:為連線到網路的某些主機主動的分配IP地址,該地址將長期由該主機使用。
8。動態分配:主機主動申請IP地址,伺服器為其制定一個IP地址,同時規定此地址租期。
3。工作原理:
二層可不講
重新登入:
客戶機每重新登入時,不需再發送DHCPdiscover,而是直接傳送包含前一次所分配的IP地址的DHCPrequest請求資訊。當伺服器收到資訊後,它會嘗試讓客戶機繼續使用原來的IP地址,並回答一個DHCPack確認資訊。如果此IP地址已無法再分配給原來的客戶機使用(此IP地址已分配給其它客戶機使用),則伺服器給客戶機回答一個DHCPnack否認資訊。當原來的客戶機收到此DHCPnack否認資訊後,它就必須重新發送DHCPdiscover發現資訊來請求新的IP地址。
更新租約:
伺服器出租的IP地址一般都有一個租期,期滿後伺服器便會收回出租的IP地址。如果客戶機要延長IP租約,必須更新其IP租約。客戶機啟動時和IP租約期限過一半時,客戶機都會自動向DHCP伺服器傳送更新其IP租約的資訊。
為了便於理解,我們把DHCP客戶機比做餐館裡的客人,DHCP伺服器比做服務員(一個餐館裡也可以有多個服務員),IP地址比做客戶需要的食物。那麼可以這樣描述整個過程:客人走進餐館,問:“有沒有服務員啊?”(DHCPdiscover),多個服務員同時回答:“有,我這有雞翅”“有,我這有漢堡”(DHCPoffer)。客人說:“好吧,我要一份漢堡”(DHCPrequest,這個客人比較死板,總是選擇第一次聽到的食物),端著漢堡的服務員迴應了一聲:“來啦”(DHCPack),並把食物端到客人面前,供其享用(將網絡卡和IP地址繫結)。客人下次來的時候,就直接找上次那個服務員點自己喜歡的漢堡了(DHCPrequest),如果還有漢堡,服務員會再次確認並上菜(DHCPack),而如果已經賣完了,服務員則會告訴客人:“不好意思,已經賣完了”(DHCPnack)。當然,服務員隔一段時間會來收拾一次桌子,除非客人特別說明這菜還要繼續吃的,服務員會將剩菜端走。
8。路由器模擬DHCPSERVER的完整配置:
(1)給路由器埠配ip;
(2)在路由器上新建立一個dhcp的地址池;
DHCP(config)#ip dhcp pool ccna
(3)在DHCP地址池裡放入一段ip地址
DHCP(dhcp-config)#network 192。168。1。0255。255。255。0
(4)在dhcp server裡分給客戶PC閘道器ip地址
DHCP(dhcp-config)#default-route 192。168。1。1
(5)在dhcpserver裡給客戶分配dns伺服器地址
DHCP(dhcp-config)#dns-server 218。2。135。5
(6)在DHCP地址池裡刪除已經被使用或者被保留的ip地址
DHCP(config)#ip dhcp excluded-address 192。168。1。1 192。168。1。10
該例:表示將1。1——1。10的地址保留下來,DHCP從1。11開始分配子網。
掩碼
與目的地址一起來標識目的主機或路由器所在的網段的地址。將目的地址和網路掩碼“邏輯與”後可得到目的主機或路由器所在網段的地址。例如:目的地址為8。1。1。1,掩碼為255。0。0。0 的主機或路由器所在網段的地址為8。0。0。0。掩碼由若干個連續“1”構成,既可以用點分十進位制表示,也可以用掩碼中連續“1”的個數來表示。
(111***111000***000,一共24位)
1。網路號一樣的IP屬於同一網路,可以透過交換機直接通訊!
2。子網的劃分:從主機位的高位開始借位,每借n位,網路就被分為2^n份;
192。168。1。0/24或者192。168。1。0 255。255。255。0/24 24表示有位網路位;
VLSM
前言:
把一個網路劃分成多個子網,要求每一個子網使用不同的網路標識 ID。但是每個子網的主機數不一定相同,而且相差很大,如果我們每個子網都採用固定長度子網掩碼,而每個子網上分配的地址數相同,這就造成地址的大量浪費。這時候我們可以採用變長子網掩碼(VLSM,Variable Length SubnetMasking)技術,對節點數比較多的子網採用較短的子網掩碼,子網掩碼較短的地址可表示的網路/子網數較少,而子網可分配的地址較多;節點數比較少的子網採用較長的子網掩碼,可表示的邏輯網路/子網數較多,而子網上可分配地址較少。這種定址方案必能節省大量的地址,節省的這些地址可以用於其它子網上。
掩碼一定是大於主類掩碼!
做子網劃分的時候,一定要從主機數目最多的網段開始劃分!
方法一:
(1)先把規定的網段的範圍確定下來;
(2)在根據每個子網的大小,在網段範圍內劃分
埠安全
實驗要求:
1.啟用埠的安全措施
2.限制fa0/23口最大允許訪問量為1
3.採取的安全措施為保護,限制或關閉
4.常用的交換機命令
實驗過程:
S1(config)#interface fastethernet 0/23
S1(config-if)#switchport mode 確定埠模式
S1(config-if)#switchport port-security啟動交換機的埠安全特性,必須打不能省略
iance(config-if)#switchport port-security mac-address aaaa。aaaa。aaaa 將地址繫結在介面 0/23 上。
S1(config-if)#switchport port-security maximum 1 設定可以安全訪問的使用者有 1 個。
iance(config-if)#switchport port-security violation shutdown
設定當介面上的訪問違反了安全特性時,所採用的懲罰措施。懲罰措施有保護、限制和關閉。關閉:當新的當新的計算機接入時,如果該介面的 MAC 條目超過了最大數目,則該介面將會被關閉,則這個新的計算機和原來的計算機都無法接入,需要管理員使用“no shutdown”命令從新開啟。
實驗檢測:
用一根直通線將PC 和交換機的0/23 口相連,檢視0/23 介面上的指示燈的變化情況。如果由橙色經過大約 50 秒的時間變為綠色後再立即關閉,說明實驗成功
檢視以太口
S1#show interfaces fastethernet 0/23
FastEthernet0/23 is down, line protocol is down (err-disabled)
Hardware is Fast Ethernet, address is 000c。3051。5617 (bia 000c。3051。5617)
表示是出現錯誤時,關閉了介面。
第四天(路由介紹、單臂路由、靜態路由、RIP、EIGRP、OSPF)
4:路由簡介
9。IP地址:IP地址我們在之前的課程中跟大家講過其實就是用來唯一標示一臺PC的
10。網段:是用來標示一組PC的
11。路由:去往某個網段的路徑我們就稱作路由,我們可以理解為網段。比如說我們公司有三個部門,每個部們分數不同的網段,對應於路由器來說就是三個不同的路由資訊
12。路由器:我們在第一天的課上就講過,路由器對有收到的資料進行轉發,它能夠決定從1號口收到的資料是從2、3、4哪個口轉發,路由器就可以做這樣的決策,就是依賴於路由器上存放的一張路由表進行的。
13。路由表:路由表由兩部分組成:網段+出介面,路由表可以告訴路由器A你想去往10。2。2。0網段必須從4接口出去。
14。路由協議:路由器知道所有自身介面下所配的IP地址,稱作——直連,那麼A想知道B的資訊,它們兩個可以交換彼此的直連資訊,這種交換方式稱作路由協議,當然路由協議有很多種。就像大家的手機一樣,你想告訴朋友某人的手機號碼,你可以直接報號碼,也可以導成資訊的形式傳送,或者導成表格的形式,大家可以發現,隨著手機越來越只能,交換方式也越來越新穎,路由協議也一樣,最簡單的形式是直連路由,還有其他路由形式,比如靜態,就像它的名字一樣,很被動的接受你給它的命令,是一種指哪去哪的形式,比如,對於A1來說,它想去B6,告訴它你必須從A4出去,如果哪天我將B6介面下的地址改掉了,A1還是會按照之前的指令出去,這就是靜態,雖然簡單,但是太不靈活。有其他的方式來規避這種不靈活,就是動態協議,其實就是A於B能夠定期的交換彼此自身介面下的地址,這種動態的交換方式我們稱作動態路由協議,顯然動態路由協議還有一些分類。那麼大家先來看看對於A來說,它知道自己身後連了192。168。1。0網段,而工程師告訴它你要去192。168。1。0你必須從A4出去,A是信任直連還是信任靜態呢——肯定是直連麼,這就是多種方式之間的優先順序了,我們認為最好的是直連,這些獲取路由方式之間是有優劣的,比較優劣的參考就是管理距離值了,值越小越好,思科認為直連最可靠——0,其次是靜態——1。
5:單臂路由
前言:
2個不同的VLAN相當於兩個不同的子網,那麼我們用交換機肯定不可以通訊,此時需要路由器,子介面的建立(主介面只需開啟,不需要配IP)
配置:
R1#configure terminal
R1(config)#interface fastEthernet 0/0
R1(config-if)#no shutdown 路由器介面預設關閉的
R1(config)#interface fastEthernet 0/0。2
R1(config-subif)#encapsulation dot1Q 2 2:表示該子介面劃入VLAN2
R1(config-subif)#ip add 192。168。2。1 255。255。255。0
R1(config)#interface fastEthernet 0/0。3
R1(config-subif)#encapsulation dot1Q 3
R1(config-subif)#ip add 192。168。3。1 255。255。255。0
交換機
SW1#configure terminal
SW1(config)#vlan 2
SW1(config)#vlan 3
SW1(config)#interface fastEthernet 0/2
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 2
SW1(config)#interface fastEthernet 0/3
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 3
SW1(config-if)#end
SW1#show vlan
SW1#configure terminal
SW1(config)#interface fastEthernet 0/24
SW1(config-if)#switchport mode trunk
SW1(config)#interface fastEthernet 0/23
SW1(config-if)#switchport mode trunk
SW2做相同配置
6:RIP
工作原理:
基於距離向量演算法;版本1和2;每隔30秒,全網廣播一次完整的路由表。Rip學習路由的方式:謠言機制、聽信謠言的機制。
Rip的配置
如何刪除靜態路由
啟動Rip:
R1(config)#router rip
在Rip程序中,通告自己知道的網段資訊(主類通告即可):
R1(config-router)#network 192。168。1。0
R1(config-router)#network 192。168。2。0
*不連續子網問題(有類路由協議)的解決方法:使用無類路由協議
R1(config-router)#ver 2 傳送2版本的Rip
Ripv2雖然是一個無類路由協議,但是預設情況下,開啟了自動彙總的功能。
自動彙總:當路由器跨越主類網路邊界的是奇偶,Rip會將網段自動的彙總成主類網路,通告給下一跳路由。所以配置Ripv2的時候,一定要記得,將自動彙總關閉掉,否則,無法體現其作為無類路由協議的優點。
在Rip程序下,
R1(config-router)#no auto-summary要記得!!!
R2#clear ip route *
手動彙總
手動彙總一定在路由更新方向的出介面上——-於使用者資料傳遞方向相反
R1(config-router)#ip rip summary-address
Rip的防環機制
7。水平分割(splithorizon):路由器從一個介面收到的路由更新,不會再從這個介面發出來,但是資料還可以從該埠進出。預設情況下,水平分割是開啟的。
8。毒性逆轉(poison reverse):路由中毒
9。Hold-down timer計時器:180s,當路由器感知到某個網段不可達的時候,路由器會將該網段置為possibly down狀態,並且啟動Hold-down timer計時器,並且在180s內,任何其他路由器通告的關於該網段的可達性目標,都被忽略,不會引起路由表的變化。
10。觸發更新:一出問題就通知其他路由,僅在S口下敲出觸發更新的命令(介面下:IP)
補充說明:
Rip一跳數最後度量值。
Rip的有效可達距離是15跳,第16跳不可達。
Rip最多支援16條路徑的等價負載均衡,預設只支援4條。
Rip每30s傳送一次更新(週期更新)。
Rip V1 有類的,廣播方式更新
V2 無類的,組播方式更新-224。0。0。9
7:EIGRP
特點:
(1)收斂很快
(2)百分百無環的路由協議
(3)支援部分更新——第一次全部更新
(4)採用組播和單播更新——224。0。0。10
(5)唯一一個既支援等價負載均衡,也支援非等價負載均衡的路由協議
(6)支援VLSM和不連續子網問題(它是一個無類路由協議)
工作原理:
首先,兩臺執行EIGRP的路由器,互相傳送Hello報文(5s一次,15s有效),形成EIGRP的鄰居關係。然後,雙方互相通告自己知道的網段資訊。最後,每臺路由器優選Metric小的路由協議到自己的路由表。
每一個EIGRP的程序,在路由器中都會維護三張表--
(1)鄰居表:雙方發完Hello報文後形成 R#show ip eigrp neighbors
(2)拓撲表:雙方通告完網段資訊後形成,包含所有從鄰居處學來的路由 R#show ip eigrp topology
(3)路由表:優選完路徑後形成 ,挑選出來最佳的路由條目
配置
(1)啟動EIGRP協議
R1(config)#router eigrp x x:自制系統號
(2)關閉自動彙總
R1(config-router)#no auto-summary
(3)通告自己知道的網段
R1(config-router)#network 192。168。1。0
R2。。。。
EIGRP鄰居關係形成的條件--AS號要保持一致,K值要一致
修改
R1(config)#no router eigip 100 實驗時,做不同的協議時,要將之前的協議刪除!
檢視三張表:
R2#sh ip eigrp neighbours鄰居表
R2#sh ip eigrp topology拓撲表
R2#sh ip route路由表
D 192。168。1。0/24[90/156160] D:代表Eigrp;90:管理距離;
8:OSPF
工作原理:
首先,兩臺執行OSPF的路由器互相傳送的Hello報文,形成鄰居關係。
然後兩臺路由器泛洪(廣播)LSA(鏈路狀態通告),收集全網所有的LSA。
路由器將收集到的LSA進行整理,形成OSPF資料庫。
最後運用SPF演算法(締結斯科拉演算法),本地計算路由,放進自己的路由表。
OSPF是一個層次化的路由協議
因為OSPF是分割槽域的。他將網路分為兩種區域內心很高--骨幹區域(Area 0,任何OSPF都要有骨幹區域)和非骨幹區域。(NA只研究骨幹區域)若在網路中還存在非骨幹區域,那麼一定要確保,非骨幹區域和骨幹區域直接相連。
反掩碼(萬用字元):
掩碼的反嗎,0所對應的位精確匹配,控制參與OSPF協議的網段的範圍。255。255。255。255-掩碼=反掩碼
配置:
(1)啟動OSPF:
R1(config)#router ospf 100(兩端程序ID號可以不同,本地有效)
8。通告網段資訊:
R1(config-router)#network 192。168。1。0 0。0。0。255 area 0反掩碼決定網段
R1(config-router)#network 192。168。1。1 0。0。0。0 area 0
(3)檢視:
R1#sh ip ospf neighbour
序列介面連線路由器
DCE:DCE埠要配時鐘頻率
DTE
R1#sh controllerss 0/0/0 檢視
R1(config-if)#clock rate 64000
將埠配置好後,再做OSPF
乙太網比序列介面鄰居關係建立慢,因為乙太網需要選DR和BDR的環節,序列介面不需要。
反掩碼:
反掩碼的作用和子網掩碼很相似。通常情況下反掩碼看起來很象一個顛倒過來的IP 地址子網掩碼,但是用法上是不一樣的。IP 地址與反掩碼的關係語法規定如下:
在反掩碼中相應位為 1 的地址中的位在比較中被忽略,為0 的必須被檢查。IP 地址與反掩碼都是32 位的數。
例如:192。168。0。1/24 網段
用子網掩碼錶示 192。168。0。1 255。255。255。0
用反掩碼錶示 192。168。0。1 0。0。0。255
管理距離:
當一個網路裡有多個動態協議時,分別告之多條路徑,該如何選擇呢?判斷當在一個網路裡部署多個路由協議的時候,根據管理距離來選擇最優的路由協議。管理距離越小,路由協議越優先。CISCO自然認為自己的協議是最好的。
管理距離:直連—0;靜態—0/1;RIP-120;OSPF-110;EIGRP-90;unknown—255;
Metric:
當路由器發現去往目的網段有多條可行路徑時,路由器會根據metric選擇一個最優路徑。
RIP:會根據路徑上經過的路由器的跳數來簡單判斷路徑的好壞,跳數越少,鏈路越優先,但有可能選擇次優路徑。
OSPF:根據路徑上頻寬來選擇最優路徑,頻寬越大,路徑越優先。
EIGRP:根據鏈路的頻寬、延遲、可靠性、負載、MTU最大儲存單元來計算Metric。但在預設狀態下,EIGRP只考慮頻寬和延遲。
不論是RIP,OSPF,EIGRP,Metric值越小越優先。
5:靜態路由
說明:
下一條地址
本地資料出介面
回程路由
環回口
預設路由:
我們知道,當交換機收到一個目的MAC不存在於MAC地址表裡的資料幀,交換機會從所有介面向外轉發;而路由器收到目的IP網段不在路由表裡的資料包,路由器會丟棄。可是對於公司不會花費大成本去買臺伺服器回來存全球網際網路上的路由條目,而且網際網路上的網站、網址不斷的在變化,路由表中沒有目的地的條目時會進行丟包,所以我們尋求一種解決辦法,叫預設路由,預設路由絕對是低調做人高調做事的,
R1(config)#ip 0。0。0。0 0。0。0。0 192。168。2。2