1.路由 : 数据从一个网络发送到另一个网络
---不同的网络通信叫路由
2.核心工作表 -- 路由表 ----指引路由器如何工作
----多个路由条目--- 形成路由表
目标网段/掩码 ----- 下一跳 ---出接口
3.display ip routing-table //查看路由表
路由表 ---- 路由条目 ---来源
-----直连路由
-----非直连路由
---静态路由
---动态路由
直连路由----接口配置IP地址
----接口状态up
4. 静态路由 ------- 节省设备资源
------- 手工配置 单向
------- 容易出故障 、 配置复杂
配置格式:ip route-static 192.168.3.0 24 192.168.1.2
目标网段 掩码 下一跳
5.默认路由 --- 是一种特殊的静态路由
--- 目标网段时0.0.0.0 0.0.0.0 表示匹配所有网络
--- 一般应用在末梢网络,企业的边界
--- 当路由表里存在更明细的路由条目时,先匹配明细路由
没有任何明细路由的时候,就匹配默认路由
删除路由:
undo ip route-static 192.168.3.0 24 192.168.45.5
配置默认路由:
ip route-static 0.0.0.0 0.0.0.0 192.168.45.5
6.路由器转发数据包的过程 ----- 查询路由表的过程
7.路由器转发数据包的封装过程 ----- 区分网络层的地址和数据链路层的地址的过程
*两台末梢网络的直连路由如果都设置了默认路由,一旦IP输错就会造成回环。
单臂路由+三层交换机
大的广播区域
----浪费资源
降低网络速率
增加网络延迟
降低网络安全性
---解决办法:分割广播区域
--vlan--
--新问题:不同的vlan不能相互通信
--单臂路由
1.单臂路由配置:
--pc配置IP/掩码/网关
--交换机配置
--创建VLAN
--与PC连接接口配置接口类型access, 将端口加入vlan
--与路由器连接接口配置接口类型trunk, 配置允许
--路由器配置
路由器的物理接口可以划分成多个逻辑接口,每个子接口对应一个vlan网关
--开启dot.1q 和识别vlanID
--配置IP地址及vlan网关地址
--开启接口arp功能
------
interface g0/0/0.1 //创建子接口
ip adddress 192.168.1.254 24
dot.1q termination vid 10 //开启dot.1q 用来识别vlan ID
arp broadcast enable //开启接口的ARP功能,实现获取目标ip的MAC地址
------
interface g0/0/0.2 //创建子接口
ip address 192.168.2.254 24
dot.1q termination vid 20 //开启dot.1q 用来识别vlan ID
arp broadcast enable //开启接口的ARP功能,实现获取目标ip的MAC地址
--测试:不同的vlan主机通过路由子接口实现互通
2.单臂路由的缺陷:
----物理接口不灵活,子接口基于物理接口,物理接口down,子接口全down
----物理接口带宽不一定,不一定满足所有子接口带宽需求
解决方案:三层交换 , 解决路由器接口少的问题,交换机接口多
三层交换 = 两层交换 + 三层转发
三层交换机,用svi来替代路由器接口,每一个vlan都有自己的三层虚接口svi
三层交换配置:
vlan batch 100 200 //创建vlan
interface g0/0/1 //配置与交换机相连的Pc相连的接口类型access
port link-type access
port default vlan 100
interface g0/0/2
port link-type access
port default vlan 200
---------------------------------
interface Vlanif 100 //配置VLAN对应的三层接口 Vlanif (vlan接口) 相当于网关的虚拟接口
ip address 192.168.1.254 24
interface Vlanif 200
ip address 192.168.2.254 24
dis ip int brief //查看三层接口的IP信息
dis ip routing-table //查看IP路由表
-----------实验:三层+两层
vlan batch 100 200
interface Vlanif 200 //创建三层虚接口并配置 IP地址
ip address 192.168.2.254 24 //对应vlan的网关地址
interface Vlanif 100
ip address 192.168.1.254 24 //对应vlan的网关地址
interface g0/0/1 //配置与二层交换机的接口链路类型
-------------------------
port link-type trunk
port trunk allow-pass vlan 100 200
vlan batch 100 200
interface g0/0/3 //配置与三层交换机相连的接口
port link-type trunk
port trunk allow-pass vlan 100 200
-------------------------
interface g0/0/1 //配置与PC相连的接口
port link-type access
port default vlan 100
interface g0/0/2
port link-type access
port default vlan 200
------路由器+三层+二层
路由器:
--配置接口地址
--配置静态路由
三层交换机:
--与路由器相连的配置vlan虚接口
interface Vlanif 1
ip address 192.168.17.2 24
--配置静态路由
在三层交换机上和路由器上配置对应的静态路由即可,或者配置一个默认路由一个静态路由
DHCP
1.dhcp 动态主机配置协议(解决问题)
---手工配置复杂、工作量大、容易出错
---动态分配主机上网参数
---快速适应网络的变化
2.DHCP的角色
--DHCP服务器 ---为客户端分配上网参数的
--DHCP客户端 ---从服务器上获取上网参数的 PC、手机、平板
--DHCP中继 ---客户端和服务器不在一个网段的时候,需要中继做转换
3.DHCP工作原理
-首次 接入具有DHCP服务器的网络
--发现阶段 -- 广播-- discover报文
--提供阶段 -- 单播-- offer报文
--选择阶段 -- 广播-- request报文
--确认阶段 -- 单播-- ACK报文
4.更新租期:
1/2 租期 --- 单播 --- request
7/8租期 --- 广播 --- request
5.DHCP基于全局的配置
配置思路:
1.全局开启DHCP功能
2.配置IP地址池
网段
网关
DNS
租期
3.在于客户端相连的接口开启DHCP功能
4.测试验证
ipconfig
ping
-------------------------------
dhcp enable //开启全局dhcp
ip pool p1 //创建地址池并命名
network 192.168.1.0 mask 24 //配置分配的网段及掩码
gateway-list 192.168.1.254 //配置分配的网关地址
dns-list 8.8.8.8 //配置dns服务器地址
lease day 3 //配置租期
interface g0/0/0
ip address 192.168.1.254 24 //配置与客户端相连的接口ip及网关
dhcp select global //配置为dhcp客户端分配上网参数的方式
---------------------------------------
6.基于接口的DHCP
dhcp enable //开启全局dhcp
interface g0/0/0
ip address 192.168.1.254 24 //配置接口ip相当于分配了网段及网关
dhcp select interface
dhcp server dns-list 4.4.4.4 //配置dns服务器地址
dhcp server lease day 0 hour 6
dhcp server excluded-ip-address 192.168.1.66 192.168.1.253 //配置保留ip
7.DHCP中继配置
配置静态路由保证线路连通:
ip route-static 192.168.1.0 24 10.10.10.2
配置DHCP服务器:
dhcp enable
ip pool p1.0
network 192.168.1.0 mask 24
gateway-list 192.168.1.254
dns-list 8.8.8.8
lease day 6
excluded-ip-address 192.168.1.166
interface g0/0/0
ip address 10.10.10.1 24
dhcp select golbal //接口下开启全局DHCP功能
配置DHCP中继:
dhcp enable
interface g0/0/1 //接口选择dhcp对应分配的网段的接口
dhcp select relay
dhcp relay server-ip 10.10.10.1 //指向DHCP服务器的ip地址
-------------------------------------------------综合实验----------------------------------------
8.三层交换机配置dhcp
vlan batch 10 20
port-group group-member g0/0/ g0/0/2
port link-type trunk
port trunk allow-pass vlan all
interface Vlanif 10
ip address 192.168.1.254 24
interface Vlanif 20
ip address 192.168.2.254 24
dhcp enable
ip pool v10
network 192.168.1.0 mask 24
gateway-list 192.168.1.254
dns-list 4.4.4.4
lease day 1
interface Vlanif 10
dhcp select global
子网划分
1.综合布线六个子系统:
--工作区子系统
--水平子系统
--管理子系统
--垂直子系统
--设备间子系统
--建筑群子系统
布线使用的材料:
线槽: 金属 塑料
桥架: 将多个线槽或者线缆 整理起来
配线架: 交换机-----配线架------信息插座------上网终端
2.子网划分
原因:ipv4地址匮乏,2^32 -----私有地址
-----子网划分
-----IPV6
子网划分的方法:将大的网段划分成多个小的网段
---向主机位借位充当网络位
192.168.1.0/24
192 . 168 . 1 . 0
11111111 . 11111111 . 1111111.00000000 /24
--从主机位接2位充当网络位 ---意味着网络位由24--变成26 即掩码变成26、
(借的两个位置,可以填充0/1任意组合)
11111111 . 11111111 . 11111111 .11 000000 /26
划分成:
192.168.1.0/26 主机范围:0-63 可用1-62
192.168.1.64/26 主机范围:64-127 可用65-126
192.168.1.128/26 主机范围:128-191 可用129-190
192.168.1.192/26 主机范围:192-255 可用193-254
子网数 = 2^n n指的从主机位借的位数
子网的有效主机数 = 2^m-2 m表示子网的主机位位数
1.VRRP协议(虚拟路由器冗余协议)
--v2仅适用于ipv4网络
--v3适用于ipv4和ipv6
-- 作用:在真实网关之间,实现一个虚拟网关,实现多个真是网关之间的冗余备份,
及数据转发的负载均衡。
-- 应用场景:存在多个网关,做冗余备份时,增强网络中网关的健壮性
-- 原理:主网关会一直周期性的发送比较报文周期1s最大间隔3s,一旦备份网关没有收到报文,
则认定设备出现故障,从而进行设备角色的切换。如果原先的主网关故障恢复后,
备份网关会继续备份(抢占模式,Preempt)。
报文发送方式:组播发送,组播地址:224.0.0.18,协议号:112
VRRP组成员:
--主路由(Master)
--备份路由(Backup)
--虚拟路由器(Virtual)
2.vrrp的配置(所有的路由都要配置相同的,只有优先级不同,主网关优先级数值最大,如果优先级相同,比较接口IP地址,数值越大越好):
R1(MASTER):
interface g0/0/0
ip add 192.168.10.251 24 //实际接口的ip地址
//配置VRRP虚拟路由时在网关中配置的,网关是接口层的所以应该进入对应的接口去配置VRRP
interface g0/0/0
vrrp vrid 10 virtual-ip 192.168.10.250 //配置虚拟路由ip地址
vrrp vrid 10 priority 200 //配置路由的优先级,默认是100
-----
R2(BACKUP):
interface g0/0/0
ip add 192.168.10.251 24
//配置VRRP虚拟路由时在网关中配置的,网关是接口层的所以应该进入对应的接口去配置VRRP
interface g0/0/0
vrrp vrid 10 virtual-ip 192.168.10.250
-------
验证命令:
diplay vlan //查看vlan以及与接口的对应关系
display vrrp //查看vrrp的状态,以及优先级
display ip interface brief //查看接口IP地址
3.VRRP常见故障:多个Master
原则:
常见原因:1.多个真实网关之间不通
2.两边配置的vrid不同
3.两边配置的virtrual-ip 不同
4.两边vrrp 认证不成功(vrrp vrid 10 authentication-mode md5 hahaha)
virtua MAC 的最后两位是vrid的值====0000.5e00.01xx,其中xx为vrrp组号(vrid)
4.VRRP端口跟踪:
上行端口不可用时,VRRP优先级降低,主路由可以根据路线情况自动调整,一旦VRRP协议发现跟踪的端口状态为down,就会自动降低自己报文中的优先级。将备份网关升为主网关,仅仅需要在主网关上设置track就行,不用再所有网关上配置。
命令: vrrp vrid 10 track interface g0/0/1 reduced 150
总结一句话:
配置VRRP的黄金法则 - 两边端口的VRRP命令,必须完全相同
(除了优先级不同,master数值最大)
5.VRRP负载均衡(实验)
6.浮动路由(优先级默认值60,越小越好)
相当于做路由备份(数值越大,优先级越低)
ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 //默认优先级为60
ip route-static 0.0.0.0 0.0.0.0 192.168.90.2
ip route-static 0.0.0.0 0.0.0.0 192.168.90.2 preference 100//修改优先级为100作为浮动路由
ACL - 访问控制列表
1.ACL 访问控制列表,是应用在路由器接口的指令列表(规则)
---读取第三层、四层报文头信息(TCP/UDP/IP)
---根据预先定义好的规则对报文进行过滤
作用:匹配数据包,实现数据包的控制(过滤和放行)
2.ACL类型:
基本ACL:编号范围(2000-2999) 参数:源IP地址
高级ACL:编号范围(3000-3999) 参数:源IP地址、目的IP地址、源端口、目的端口、协议
---ACL可以有多个条目,每个条目按rule 值由小到大过滤,最后都没过滤,就默认通过
3.华为基本ACL
-基于源IP地址过滤数据包
-列表号是2000-2999
需求描述:
-禁止PC1网络访问服务器server1
-允许其他所有得访问流量
------------------------------
实验配置思路:
1.创建ACL
acl 2000
rule 10 deny source 192.168.1.1 0.0.0.0
2.调用ACL
r1:interface g0/0/1
traffic-filter inbound acl 2000 //错误示范
3.验证与测试
display acl all (查看设备上得所有acl)
pc1:ping 192.168.100.1(不通)
此时,PC1ping不通Server1同时也ping不通PC2,做法不正确,应该在出接口上过滤。
正确做法:
interface g0/0/0
traffic-filter outbound acl 2000
调用原则:
基本ACL强烈建议调用在距离目标设备近得接口上,高级ACL越远越好,可以更好的节省带宽不占资源。
4.华为高级ACL
---基于源ip地址、目的IP地址、源端口号、目的端口号、协议过滤数据包
---列表号:3000-3999
实验需求:
-允许client1访问server1的WEB服务80端口
-允许client1访问网络192.168.2.0/24
-禁止client1访问其他网络
配置思路:
1.确保网络互通
2.创建高级ACL
acl 3000
rule 10 permit tcp source 192.168.1.1 0
destination 192.168.3.1 0
destination-port eq 80
rule 20 permit ip source 192.168.1.1 0
destination 192.168.2.0 0.0.0.255
rule 30 deny ip source 192.168.1.1 0 destination any
3.调用高级ACL
r1的g0/0/0接口,入方向:
interface g0/0/0
traffic-filter inbound acl 3000
4.测试与验证
client1可以获取server1的网页
client1可以ping通2.0/24的主机:
client1无法ping通其他的网段主机
-----------------------------------------------
拓扑
vrrp的配置案例
需求:
通过配置acl,实现vrrp报文过滤
结果:
在r1和r2上查看vrrp状态,都是master
1.在哪里配置acl
2.在哪个接口配置acl
3.在那个方向配置acl
4.配置啥acl
5.调用acl
6.验证
display acl all
display vrrp
配置:
必须在备份网关上配置,并且入向acl
acl 3000
rule 10 deny 112 source 192.168.10.1 0.0.0.0 destination 224.0.0.18 0.0.0.0
interface g0/0/0
traffic-filter inbound acl 3000
总结:
1.vrrp运行稳定之后只有主网关会发送报文
2.acl不会对设备本身发起的流量起作用,所以在备份网关的入接口做ACL,让备份网关不收主网关发送报文,等待超时过后,备份网关就成了master 网关了。
----------------------------------------------
ACL和traffic-filter结合在一起使用的时候隐含“允许所有”,其他的都“拒绝所有”
ACL的配置思路:
1.确定配置设备
2.确定配置接口
3.确定数据方向
4.创建ACL
5.调用ACL
6.验证与测试
