1:网络前言
建立一个网络需要组件:计算机(运行有操作系统的:PC、文件服务器)、联网设备(交换机、路由器、防火墙)和介质(光纤、网线)
2:网络拓扑结构
用线缆、设备构建一个网络的时候,可以有各种类型的拓扑,所谓拓扑就是指设备之间的连接方式:
总线型(bus topology):所有的设备通过一条线路进行通信
扩展的星型(Extended-Star Topology):多个星形拓扑的组合,优点是减弱了中心设备的责任。
双环型(Dual-Ring Topology):应用于冗余备份
部分互联(Partial-Mesh Topology):只是核心设备进行互联,在容错和费用间均衡
3:OSI参考模型
OSI参考模型具有层次化,优点:
提供不同厂商之间的标准接口;
把复杂的网络问题分解为小的简单问题,易于学习和操作。
第七层:应用层:提供人与应用程序交互的界面(登陆QQ时的窗口。)
第六层:表示层:定义信息是如何通过用户正在使用的界面传输并呈现给用户。还可以提供加密以保护来自于应用层的数据信息。
第五层:会话层:负责启动链接的建立和终止,区分多个链接,负责对应用层、表示层和会话层出现的任何错误进行报告。操作系统就在此层次。
第四层:传输层:建立、维持、终止两个设备之间的会话连接,提供可靠(TCP、三次握手:差错侦测、差错校正)或不可靠(UDP:只有差错侦测,实现实时数据)的连接;
第三层:网络层:定义第三层地址;寻找到达目的地的最佳路径;跨区域进行协商。
第二层:数据链路层:定义了在单个链路上如何传输数据,提供了物理地址/硬件地址,提供无连接和面向连接的服务;协商两端设备的0、1比特的一致。
第一层:物理层:定义设备接口的类型、连接设备之间的线缆的类型;对传输的信息进行电信号与模拟信号之间的转换,在两个网络设备之间提供透明的比特流传输。
4:封装和解封装
这七层是为了帮助我们理解数据传送到远程设备时所经历的传输过程,数据传输的过程分为封装、解封装两个过程:
每一层使用自己层的协议和别的系统的对应层互相通信,协议层的协议在对等层之间交换的信息叫协议数据单元。
5:TCP/IP协议栈
6:每层设备
T:双绞线 F:光纤 X:双工方式
直通线:不同种设备之间互联(路--交)(网线两头的水晶头里的线颜色要对应好)
交叉线:同种设备之间互联(路--路;交--交;路--PC)
8跟铜丝的网线,在这8根丝中,只有4根是传数据用的,其它4根线只是为了消除电磁干扰。在4根传输数据的线当中,有2根是用来发送数据的,有2根是用来接收数据的。发送数据的那2根线一定要和对端接收数据的连。所以电脑之间用交叉线。但现在很多交换机是自适应的,内部会自动切换收、发电路。所以用这2种线都可以。
实际工作中可以看设备端口号后面有没有X,都有或者都没有——>交叉线
8:配置路由器
1.登录方式:console口、AUX远程拨号、telnet、web形式
2.真机操作:连接电脑和路由器的console口、secureCRT软件、quickconect、serial、选端口(转接口的端口)、波特率9600、connect。
3.介绍TAB键、错误情况、^、命令提示符
4.命令:
Router> 用户模式,查看
Router# 特权模式,查看、保存、
Router(config)# 全局配置模式
Router(config-if)# 接口模式
Router(config-if)#exit 逐层退出
Router#sh ip int brief
*思科路由器的每个接口,在默认情况下是关闭的
9:路由器的组成
RAM(内存):随机存取存储器,存放我们当前的配置,掉电即丢。
NVRAM/Configuration Register:非易失性随机访问存储器,是指断电后仍能保持数据的一种RAM。存放有以保存的配置文件
寄存器值:影响路由器启动过程的一个值,作用:0x2102 正常,从flash中加载IOS,并且从NVRAM中读取配置文件 0x2142 从flash中加载IOS,但不从NVRAM中读取保存的配置
ROM:只读存储器,工作过程中只能读出,而不像随机存储器那样能快速地、方便地加以改写,存放有引导程序 Flash(硬件):IOS操作程序
R1#show flash:可以查看IOS
Interface:
10:路由器的启动
2.加载引导程序
4.加载IOS镜像--RAM
6.加载配置文件--RAM
7.正常启动
11:路由器的安全
硬件威胁:防盗
电力威胁:尽量不要断电!UPS不间断电源,防止意外断电
配置威胁:密码
1.路由器第一道防线:console 0密码(即对线路密码,插入线即要输密码):
R1(config)#line console 0
R1(config-line)#login
2.路由器第二道防线:远程登录密码
R1(config-line)#password ccie
R1(config-line)#login
3.路由器第三道防线:enable密码
R1(config)#enable password ccna
*当enable password & enable secret同时共存时,enable secret生效,演示现象
R1(config)#no service password-encryption
配标语(庄重严肃警告):
*以第一个符号为起始符和终止符!
12:远程登录
Telnet核心配置:
若没有线路密码,就无法登录!
R1(config-line)#password ccie
删除login后的现象、使用本地用户名和密码
R1(config)#username jiance password ccna
R1(config-line)#login local
R1会要求输入用户名和密码
Login像防盗门,password像钥匙
SSH核心配置:(保护对IOS设备的远程访问,SSH流量加密)
R1(config)#host R1
2.给路由器新建一个域名
R1(config)#ip domain-name cisco.com
3.给路由器新建一个用户名和密码(共后续SSH登录时验证使用)
R1(config)#username ccie password ccie
4.用上述的hostname和域名形成RSA加密密钥(对称加密)
R1(config)#crypto key generate rsa
5.VTY线路配置:
将连接进入配置的远程登录协议限制为SSH
6.将vty线路的认证设置为利用本地数据库进行验证(即用username、password组合进行验证)
对被访问者设置enable密码
13:路由器的破密码
利用路由器的启动顺序)
*路由器正常的配置寄存器的值:加载配置:0x2102(通过修改该值) 不加载配置:0x2142
2.路由加载过程中,按住break键(ctrl+Fn+break),将路由器引导到rommon模式
4.Rommon 2>reset,重启
6.删除、修改密码
1. 修改完密码后,需要保存配置,否则之前的密码还是放在配置文件中;
在正常的IOS 中修改配置寄存器的值如下:
8.Router#copy running-config start-config
9.保存配置,重启配置
25系列
2.路由加载过程中,按住break键(ctrl+Fn+break),将路由器引导到rommon模式
3.Rommon 1>o/r 0x2142,修改配置寄存器的值
之前的一样。
第二天(以太网组成、SW工作原理、VLSN、TRUNK、VTP、SW安全、SW破密码)
1.LAN使用的组件
网卡(NIC,Network Interface Card)插在计算机主板插槽中,负责将用户要传递的数据转换为网络上其它设备能够识别的格式,通过网络介质传输。
交换机(Switch)它同样具备许多接口,提供多个网络节点互连。但它的性能却较共享集线器大为提高,交换机还具备集线器欠缺的功能,如数据过滤、网络分段、广播控制等。
协议:以太网,IP,ARP,DHCP
3.提供数据和应用程序
5.提供去往其他网络的通信路径
3.以太网的发展
1973年有Xerox公司研发出了以太网的雏形,到了1982年由DIX:DEC公司INTEL公司XEROR施乐公司三家公司进行了标准化,当时的传输速度有10M/s。直到2002年,由IEEE组织重新制定了一个IEEE802.3标准,由于ethernet技术比较成熟,现在我们用得最多的也就是ethernet。
我们说二层-数据链路层有交换机和集线器两个主要设备,在早期的网络中主要是集线器,集线器的工作原理比较简单,当然也存在着很多不足,集线器组成的网络叫做共享式以太网,存在的缺点就是许多主机共享这条线路,多台主机同时发送数据时就会出现很多冲突,数据产生冲突,给我们的直接影响是出具出错或者网速很慢很慢,为了解决这个问题,有一种技术叫做CSMA/CD载波侦听多路访问冲突检测。
载波侦听:监听这条线路是否有人使用
冲突检测:如果有人使用就等待,多人同时发,所有人同时发,百兆的传输介质一般只有二十兆的传输速率
局域网中交换机是非常重要的网络设备,负责主机之间快速的数据转发。
依靠MAC地址转发数据帧,在交换机内部,存放着MAC地址表,交换机就是依赖于MAC地址表进行转发的。当交换机收到一个数据帧的时候,交换机会将该数据帧的源MAC地址以及收到该数据帧的接口写入自己的MAC地址表中,当交换机收到一个目标MAC不明确的数据帧(MAC地址表中没有目标MAC的条目),交换机会在所有接口发送该数据帧(广播、泛洪)。
这里涉及到一个重要的概念-MAC地址,是用于数据链路层数据转发时寻找路径用的,MAC地址固化到我们设备的网卡上,理论上是MAC不会重复,是全球唯一的。
MAC目的地址的类型:
组播:一组设备
双工方式:
全双工:同时收发
CSMA/CD只能工作在半双工状态。
Sw1#sh mac-address-table 查看
VLAN的优点:
将网络分段:一个VLAN就是一个独立的逻辑网段,
为组织设计VLAN:
易于管理同时易于排出故障:我们在分配地址时,基本上会分配连续的地址,这样方便与网络管理以及可以及时找出错误所在。
可以减少路由条目:
接入层:(1900、2900、2960系列)
核心层:(3550、3560、4503、6509系列)
(1)静态VLAN: 手动把接口放到某个VLAN中。
(3)语音VLAN:自动识别语音数据
(1)作用:在交换机之间,传递多个VLAN的数据
a.思科私有ISL:(NP)
Sw1(config-if)#switchport trunk encapsulation dot1q 规定Trunk封装,NA只是用的是2950交换机,默认是dot1Q.
Sw1#show interface trunk 确认接口是trunk模式
两端的NATIVE VLAN要一致;一般把流量较大的接口划入native vlan中!
Sw1#show vlan brief
Sw1(config-vlan)#name teacher改VLAN名字
确认端口模式(ACCESS)
将接口划到相应的VLAN
Sw1(config)#int range fa 0/1 - 10,fa 0/18对一些端口同时进行操作
删除VLAN之前,要确认VLAN下没有接口,把已有的接口放到其他的VLAN内,否则sh vlan brief将看不到相应的接口,虽然不影响对这些接口的其他操作。
6:VTP
三种模式:
可以添加、删除和更改VLAN
VLAN信息写入NVRAM
不可以添加、删除和更改VLAN
VLAN信息不写入NVRAM
可以添加、删除和更改本地VLAN
VLAN信息写入NVRAM
a.Trunk必须正常
默认情况下,域名为空NULL,只有当服务器域名从空到有时开始传输VLAN信息。
Sw1#sh vtp status查看VTP信息
Sw1(config)#vtp mode transparent
VTP到底是谁同步谁,与VTP的模式无关,服务器也可以从客户端学习,而与配置版本号有关
每对VLAN做一次操作,不论是添加,删除还是修改,configuration revision都+1
VTP修剪:
6:交换机的安全
硬件威胁:防盗
电力威胁:尽量不要断电!UPS不间断电源,防止意外断电
7:交换机破密码
1、设置交换机加密并保存配置
Switch#reload 重起交换机。当交换机重起时,按住交换机前面板的Mode 键不放
switch: flash_init-------------------初始化flash 。
3.修改配置文件名
4.重启交换机
5.修改密码
Switch#show flash
Switch#rename flash:config.old flash:config.text 将启动的文件名改回到正常的文件名。
Switch(config)#no enable password-----------删除密码。
Switch(config-line)#no password-------------删除控制台的密码。
6.保存配置文件
Switch#copy running-config startup-config 将密码删除后的配置文件保存。
Switch# 很明显没要求密码验证。密码已被删除。
CDP
1.作用:用来发现和思科设备直接相连的其他思科设备的信息;(思科设备在默认情况下,CDP都是开启的)
Sw1#sh cdp neighbors
*实际应用中,安全起见,最好把全网的CDP关闭!!!
Sw1(config-if)#no cdp enable
IOS备份升级
备份IOS到服务器上
说明:给接口、PC配地址,IOS以.bin文件保存在路由器的FLASH内,
3 5571584 c2600-i-mz.122-28.bin
Source filename []? c2600-i-mz.122-28.bin
Destination filename [c2600-i-mz.122-28.bin]?
升级IOS:
Router#copy tftp: flash:
Source filename []? c2600-i-mz.122-28.bin
Destination filename [c2600-i-mz.122-28.bin]?
网络层
网络层主要实现的内容是:
2.基于逻辑地址寻找到到达目的设备的路径;
1.在网络层;
3.数据包是独立处理(一个一个处理);
5.尽力而为发送;
1.IP Address
2.PDU:version:IPv4:点分十进制;
4.IP空间大小:IPv4:2^32;
A类:0xxx xxxx(第1个八位位组的第1个比特为0,默认情况下,前8位为网络位,后24位为主机位)
C类:110x xxxx
主机位全0:网络IP地址,表示一段IP地址的集合。
主机位全1:广播IP地址。例如:192.168.1.255
A:10.0.0.0--10.255.255.255
C:192.168.0.0--192.168.255.255
DNS(domain name survice)域名解析服务:
Ns lookup
Jiangsu dns 218.2.135.1
*命令:Ip configure all:
DHCP
1.优点:
6.减少错误
2.DHCP地址分配方式:
7.自动分配:为连接到网络的某些主机主动的分配IP地址,该地址将长期由该主机使用。
3.工作原理:
二层可不讲
客户机每重新登录时,不需再发送DHCPdiscover,而是直接发送包含前一次所分配的IP地址的DHCPrequest请求信息。当服务器收到信息后,它会尝试让客户机继续使用原来的IP地址,并回答一个DHCPack确认信息。如果此IP地址已无法再分配给原来的客户机使用(此IP地址已分配给其它客户机使用),则服务器给客户机回答一个DHCPnack否认信息。当原来的客户机收到此DHCPnack否认信息后,它就必须重新发送DHCPdiscover发现信息来请求新的IP地址。
服务器出租的IP地址一般都有一个租期,期满后服务器便会收回出租的IP地址。如果客户机要延长IP租约,必须更新其IP租约。客户机启动时和IP租约期限过一半时,客户机都会自动向DHCP服务器发送更新其IP租约的信息。
8.路由器模拟DHCP SERVER的完整配置:
(2)在路由器上新建立一个dhcp的地址池;
(3)在DHCP地址池里放入一段ip地址
(4)在dhcp server里分给客户PC网关ip地址
(5)在dhcpserver里给客户分配dns服务器地址
(6)在DHCP地址池里删除已经被使用或者被保留的ip地址
该例:表示将1.1--1.10的地址保留下来,DHCP从1.11开始分配子网。
与目的地址一起来标识目的主机或路由器所在的网段的地址。将目的地址和网络掩码“逻辑与”后可得到目的主机或路由器所在网段的地址。例如:目的地址为8.1.1.1,掩码为255.0.0.0 的主机或路由器所在网段的地址为8.0.0.0。掩码由若干个连续“1”构成,既可以用点分十进制表示,也可以用掩码中连续“1”的个数来表示。
1.网络号一样的IP属于同一网络,可以通过交换机直接通信!
192.168.1.0/24 或者192.168.1.0 255.255.255.0/24 24表示有位网络位;
VLSM
把一个网络划分成多个子网,要求每一个子网使用不同的网络标识 ID。但是每个子网的主机数不一定相同,而且相差很大,如果我们每个子网都采用固定长度子网掩码,而每个子网上分配的地址数相同,这就造成地址的大量浪费。这时候我们可以采用变长子网掩码(VLSM,Variable Length SubnetMasking)技术,对节点数比较多的子网采用较短的子网掩码,子网掩码较短的地址可表示的网络/子网数较少,而子网可分配的地址较多;节点数比较少的子网采用较长的子网掩码,可表示的逻辑网络/子网数较多,而子网上可分配地址较少。这种寻址方案必能节省大量的地址,节省的这些地址可以用于其它子网上。
做子网划分的时候,一定要从主机数目最多的网段开始划分!
方法一:
(2)在根据每个子网的大小,在网段范围内划分
实验要求:
2.限制fa0/23口最大允许访问量为1
4.常用的交换机命令
S1(config)#interface fastethernet 0/23
S1(config-if)#switchport port-security启动交换机的端口安全特性,必须打不能省略
S1(config-if)#switchport port-security maximum 1 设置可以安全访问的用户有 1 个。
设置当接口上的访问违反了安全特性时,所采用的惩罚措施。惩罚措施有保护、限制和关闭。关闭:当新的当新的计算机接入时,如果该接口的 MAC 条目超过了最大数目,则该接口将会被关闭,则这个新的计算机和原来的计算机都无法接入,需要管理员使用“no shutdown”命令从新打开。
用一根直通线将PC 和交换机的0/23 口相连,查看0/23 接口上的指示灯的变化情况。如果由橙色经过大约 50 秒的时间变为绿色后再立即关闭,说明实验成功
S1#show interfaces fastethernet 0/23
Hardware is Fast Ethernet, address is 000c.3051.5617 (bia 000c.3051.5617)
表示是出现错误时,关闭了接口。
第四天(路由介绍、单臂路由、静态路由、RIP、EIGRP、OSPF)
4:路由简介
10.网段:是用来标示一组PC的
12.路由器:我们在第一天的课上就讲过,路由器对有收到的数据进行转发,它能够决定从1号口收到的数据是从2、3、4哪个口转发,路由器就可以做这样的决策,就是依赖于路由器上存放的一张路由表进行的。
14.路由协议:路由器知道所有自身接口下所配的IP地址,称作--直连,那么A想知道B的信息,它们两个可以交换彼此的直连信息,这种交换方式称作路由协议,当然路由协议有很多种。就像大家的手机一样,你想告诉朋友某人的手机号码,你可以直接报号码,也可以导成信息的形式发送,或者导成表格的形式,大家可以发现,随着手机越来越只能,交换方式也越来越新颖,路由协议也一样,最简单的形式是直连路由,还有其他路由形式,比如静态,就像它的名字一样,很被动的接受你给它的命令,是一种指哪去哪的形式,比如,对于A1来说,它想去B6,告诉它你必须从A4出去,如果哪天我将B6接口下的地址改掉了,A1还是会按照之前的指令出去,这就是静态,虽然简单,但是太不灵活。有其他的方式来规避这种不灵活,就是动态协议,其实就是A于B能够定期的交换彼此自身接口下的地址,这种动态的交换方式我们称作动态路由协议,显然动态路由协议还有一些分类。那么大家先来看看对于A来说,它知道自己身后连了192.168.1.0网段,而工程师告诉它你要去192.168.1.0你必须从A4出去,A是信任直连还是信任静态呢--肯定是直连么,这就是多种方式之间的优先顺序了,我们认为最好的是直连,这些获取路由方式之间是有优劣的,比较优劣的参考就是管理距离值了,值越小越好,思科认为直连最可靠--0,其次是静态--1.
5:单臂路由
2个不同的VLAN相当于两个不同的子网,那么我们用交换机肯定不可以通信,此时需要路由器,子接口的创建(主接口只需打开,不需要配IP)
配置:
R1#configure terminal
R1(config)#interface fastEthernet 0/0
R1(config)#interface fastEthernet 0/0.2
R1(config-subif)#ip add 192.168.2.1 255.255.255.0
R1(config-subif)#encapsulation dot1Q 3
交换机
SW1(config)#vlan 2
SW1(config)#interface fastEthernet 0/2
SW1(config-if)#switchport access vlan 2
SW1(config)#interface fastEthernet 0/3
SW1(config-if)#switchport access vlan 3
SW1(config-if)#end
SW1#show vlan
SW1(config)#interface fastEthernet 0/24
SW1(config-if)#switchport mode trunk
SW1(config-if)#switchport mode trunk
SW2做相同配置
6:RIP
基于距离矢量算法;版本1和2;每隔30秒,全网广播一次完整的路由表。Rip学习路由的方式:谣言机制、听信谣言的机制。
Rip的配置
启动Rip:
在Rip进程中,通告自己知道的网段信息(主类通告即可):
R1(config-router)#network 192.168.2.0
R1(config-router)#ver 2 发送2版本的Rip
自动汇总:当路由器跨越主类网络边界的是奇偶,Rip会将网段自动的汇总成主类网络,通告给下一跳路由。所以配置Ripv2的时候,一定要记得,将自动汇总关闭掉,否则,无法体现其作为无类路由协议的优点。
R1(config-router)#no auto-summary要记得!!!
手动汇总
R1(config-router)#ip rip summary-address
7.水平分割(split horizon):路由器从一个接口收到的路由更新,不会再从这个接口发出来,但是数据还可以从该端口进出。默认情况下,水平分割是开启的。
9.Hold-down timer计时器:180s,当路由器感知到某个网段不可达的时候,路由器会将该网段置为possibly down状态,并且启动Hold-down timer计时器,并且在180s内,任何其他路由器通告的关于该网段的可达性目标,都被忽略,不会引起路由表的变化。
补充说明:
Rip的有效可达距离是15跳,第16跳不可达。
Rip每30s发送一次更新(周期更新)。
V2 无类的,组播方式更新-224.0.0.9
特点:
(2)百分百无环的路由协议
(4)采用组播和单播更新--224.0.0.10
(6)支持VLSM和不连续子网问题(它是一个无类路由协议)
首先,两台运行EIGRP的路由器,互相发送Hello报文(5s一次,15s有效),形成EIGRP的邻居关系。然后,双方互相通告自己知道的网段信息。最后,每台路由器优选Metric小的路由协议到自己的路由表。
(1)邻居表:双方发完Hello报文后形成 R#show ip eigrp neighbors
(3)路由表:优选完路径后形成 ,挑选出来最佳的路由条目
(1)启动EIGRP协议
(2)关闭自动汇总
(3)通告自己知道的网段
R2....
修改
查看三张表:
R2#sh ip eigrp topology拓扑表
D 192.168.1.0/24[90/156160] D:代表Eigrp; 90:管理距离;
8:OSPF
首先,两台运行OSPF的路由器互相发送的Hello报文,形成邻居关系。
然后两台路由器泛洪(广播)LSA(链路状态通告),收集全网所有的LSA。
最后运用SPF算法(缔结斯科拉算法),本地计算路由,放进自己的路由表。
因为OSPF是分区域的。他将网络分为两种区域内心很高--骨干区域(Area 0,任何OSPF都要有骨干区域)和非骨干区域。(NA只研究骨干区域)若在网络中还存在非骨干区域,那么一定要确保,非骨干区域和骨干区域直接相连。
掩码的反吗,0所对应的位精确匹配,控制参与OSPF协议的网段的范围。255.255.255.255-掩码=反掩码
(1)启动OSPF:
8.通告网段信息:
R1(config-router)#network 192.168.1.1 0.0.0.0 area 0
R1#sh ip ospf neighbour
DCE:DCE端口要配时钟频率
R1#sh controllerss 0/0/0 查看
将端口配置好后,再做OSPF
反掩码:
在反掩码中相应位为 1 的地址中的位在比较中被忽略,为0 的必须被检查。IP 地址与反掩码都是32 位的数。
用子网掩码表示 192.168.0.1 255.255.255.0
管理距离:
管理距离:直连—0;静态—0/1;RIP-120;OSPF-110;EIGRP-90;unknown—255;
当路由器发现去往目的网段有多条可行路径时,路由器会根据metric选择一个最优路径。
OSPF:根据路径上带宽来选择最优路径,带宽越大,路径越优先。
不论是RIP,OSPF,EIGRP,Metric值越小越优先。
说明:
本地数据出接口
环回口
我们知道,当交换机收到一个目的MAC不存在于MAC地址表里的数据帧,交换机会从所有接口向外转发;而路由器收到目的IP网段不在路由表里的数据包,路由器会丢弃。可是对于公司不会花费大成本去买台服务器回来存全球互联网上的路由条目,而且互联网上的网站、网址不断的在变化,路由表中没有目的地的条目时会进行丢包,所以我们寻求一种解决办法,叫默认路由,默认路由绝对是低调做人高调做事的,
R1(config)#ip 0.0.0.0 0.0.0.0 192.168.2.2
