神马文学网CCNA知识点概要
来源:百度文库 编辑:神马文学网 时间:2024/05/01 04:05:41
一、网际互联
局域网
广域网
服务器
客户机
OSI参考模型
分层的好处:每个环节的变化不影响其他环节
各个厂商的设备标准化
应用层:能够产生网络流量的应用程序(QQ)
表示层:加密、压缩(QQ视频)、二进制、ASCII码 IE出现乱码
会话层:服务器与客户机之间建立的联系(在线视频、木马的识别与查询)
查看会话 netstat -n
查看建立会话的进程netstat -nb
查看所有可用的参数以及功能netstat /?
传输层:不可靠的传输UDP(一个数据包完成任务)
可靠的传输TCP(数据量很大,一个数据包不能完成任务)流量控制 滑动窗口 确认机制(累计)三次握手
网络层:选择路径 网络网状结构
数据链路层:定义了如何识别网络设备 MAC 48
物理层:发送和接收比特流 电压 接口
从排错的角度看OSI参考模型
从底层向高层逐一排错
物理层:连接是否正常,设备加电
数据链路层:ADSL拨号正确(低级别验证)
网络层:选择路径出现故障 计算机网关设置问题
表示层:IE乱码问题
应用层:IE恶意插件 IE安全设置(受限站点)
从安全的角度看0SI参考模型
物理层安全:锁门,墙内网线
数据链路层安全:交换机上端口绑定MAC地址,AP账号、密码
网络层:在网络设备上指定访问控制列表 网络层防火墙
应用层:杀毒软件 应用层防火墙 ISA控制网络访问流量
从网络设备的角度看OSI
物理层:网线、集线器
数据链路层:网卡、交换机
网络层:路由器
网络设备
网线:双绞线 8根4对 T568B T568A (1236 10M 100M;1000M网络8根线全用)
直通线(两端T568B)连接不同类的设备
交叉线(一端T568B,另一端13和16调换),同类的设备
全反线:调试交换机/路由器用
集线器(HUB):是一个大的冲突域 不安全
交换机(Switch):基于MAC地址的数据转发 安全 端口的带宽独享 一个广播域
路由器(Router):基于IP地址的数据转发 ACL 隔绝广播 广域网接口
从数据封装角度看OSI
应用层
传输层 数据段 消息
网络层 数据包
数据链路层 数据帧
物理层 Bit
网络设计的三层模型
接入层交换机 直接连接用户计算机 接口多 10M/100M
汇聚层交换机 连接接入层交换机 接口相对较少 端口的带宽要求高
核心层交换机 连接汇聚层交换机 冗余设备
二、TCP/IP协议
传输层协议
TCP:传输前 数据分段 编号 建立会话 可靠传输
UDP:一个数据包就能完成任务 不可靠的传输 不建立会话 不需分段 不需编号
应用层的协议
HTTP=TCP+80
FTP= TCP+21 0R 20
SMTP=TCP+25 发送电子邮件
POP3=TCP+110
RDP=TCP+3389远程桌面协议
DNS=UDP OR TCP +53
连数据库=TCP+1433
端口用来表示服务器的服务 不同的服务使用的端口应该不同
默认端口可以更改 客户端必须也得更改
查看本地服务器的端口 netstat -a/an/anb
查看远程服务器打开的端口 telnet 192.168.186.128 21
实验2-01:WindowsServer2003安装服务查看端口
配置FTP服务器
配置Web服务器
配置SMTP服务和PoP3服务
实验2-02:修改本地服务器打开的端口
实验2-03:使用TCP/IP筛选保护服务器安全
TCP/IP筛选对PC访问Server和Server访问PC的不同作用
实验2-04:使用IPSec保护服务器安全
password1!
msconfig查看服务
netstat -n查看会话
网络层协议
IP(RIP EIGRP OSPF)
ICMP 测试网络连通性 ping pathping tracert
ping 粗略的测试网络的速度
ping /?参数的查询 ping IP -t
pathping tracert 跟踪沿途路径 (TTL过路由器减1) 计算丢包率 延迟等
IGMP 组播管理 节省带宽
ARP IP->MAC 广播方式解析
拓展实验:P2P终结者 网络执法官
防止ARP欺骗:arp -s ip mac可以绑定IP地址与MAC地址
三、子网划分和TCP/IP排错
IP地址:IPV4点分十进制(32位二进制 每八位一组表示成十进制)
是否为同一个网段看网络部分,同网段由交换机直接转发,不同的网段通信需要路由器转发,IP地址分为网络号(networkID类似于电话号码的区号)和主机号(hostID)
IP地址的分类(根据第一组二进制是的值)
A 0-127
B 128-191
C 192-223
D 224-239 多播地址 无子网掩码
E 240-255 测试用
广播(第3层)IP地址全1
单播 ABC类地址
组播 D类地址
数据包路由过程中MAC地址的变化
同一网段只需要交换机按照MAC地址转发
不同网段,路由器隔绝广播,只能解析到路由器的MAC地址,PC的目标地址为路由器的MAC,路由器查表转发
为什么需要MAC地址和IP地址?
IP地址决定最终数据给谁(复杂网络的主机标识)
MAC地址决定下一站给谁(本网段中给谁)
子网掩码的作用:判断一个IP属于哪一个网段(逐位相与)
默认子网掩码:本地连接,TCP/IP属性 演示
划分了子网的子网掩码:借用n位主机号当做网络号
公网地址(不够用)
保留的私有地址
10.0.0.0
172.16.0.0--172.31.0.0
192.168.0.0--192.168.255.0
169.254.0.0
127.0.0.1
路由器不转发目标地址为私网地址的数据包
NAT 省IP地址 内网安全 慢
改变源IP地址为公网地址,实现与Internet发与收的过程
端口映射 允许外网访问内网
服务器不同的端口映射为内网的不同主机
子网划分
等长子网划分:借用一定的主机位为子网位,子网掩码一定,每个子网可容纳的主机数相同。
变长子网划分:子网掩码不定(即可变长子网掩码),每个子网容纳主机数不同,更灵活、合理。
超网(路由汇总)
汇总的思想:把网络前缀都相同的连续的IP地址组成一个地址块。
排错(TCP/IP环境中的排错)
ipconfig /all
ping 127.0.0.1 网卡驱动没问题
ping 网关 和局域网是通的
ping 202.99.160.68 Internet网络层通
pingwww.inhe.net 查看域名解析是否正常 网络层测试
telnetwww.inhe.net 80 应用层测试
检查IE设置
替换法
四、Cisco的互联网络操作系统
路由器功能:加载网络协议和功能,在不同的网段转发数据,ACL控制流量、增加安全性,为网络中的资源提供网络可靠性
Cisco路由器的硬件组成:
Flash:装操作系统
RAM:内存,存放临时文件
ROM:类似于BIOS,装有最小的操作系统(DOS)
CPU:处理
NVRAM:非意识性存储,固化在主板上,断电不丢失,类似于硬盘
路由器的分类
固定模块
模块化:功能可扩展
路由器系列:2500,2600,4000
路由器的连接方式:
通过控制台端口(Concole口)RJ-45与计算机的COM口连接
通过辅助端口(AUX)RJ-45,事先配置号MODE命令,远程拨号连入
通过Telnet远程访问终端来连接
路由器配置方式:
设置模式(Continue with configuration dialog? [yes/no]: y或者特权模式下键入setup)Ctrl+C退出设置模式
CLI模式(configuration dialog? [yes/no]: n然后键入Enter)
路由器常用模式:用户模式、特权模式和全局配置模式
1.Router>用户模式(查看统计信息,是进入特权模式的踏脚石,logout/exit退出控制台操作)
Router>enable
2.Router#特权模式(查看并修改路由器的配置,disable返回用户模式)
show interface 查看路由器的接口
show running-config 查看路由的配置 密码 接口IP地址 ACL NAT
show version 查看路由器版本 配置寄存器的值
show ip interface brief 查看和Ip相关的接口信息
show ip route 查看路由表
show ip protocal 查看路由器运行的动态路由协议
Router#config terminal
3.Router(config)#全局配置模式(修改路由器的当前运行配置文件中的内容)
实战1:常规操作以及技巧:模式切换、编辑与帮助、主机名、标志区
Router>? 查看可用的命令
Router>sh? 短命令列表
Router#show ? 长命令串的完成
【空格下翻一页、回车下翻一行;Tab键妙用】
Router(config)#hostname Router1 修改主机名
Router1(config)#banner motd #test# 标识区
实战2:设置口令保护路由器:启用口令、辅助口令、控制台口令、Telnet口令、启用加密口令
启用口令
Router1(config)#enable password aaa 设置enable密码
Router1(config)#enable secret aaaa(较新的设置,如果被设置将越过启用口令的设置)
使用line命令可以指定用户模式的口令
辅助口令
Router(config)#line aux 0
Router(config-line)#password aux
Router(config-line)#login 在“登录”之前必须设置口令
控制台口令
Router(config)#line console 0
Router(config-line)#password console
Router(config-line)#login
Telnet口令
Router1(config)#line vty 0 4 (没有IOS企业版的路由器默认时有5条VTY线路,0到4)
Router1(config-line)#password aaa 设置Telnet密码
Router1(config-line)#login 要求必须登录
设置密码,且要求登录,则Telnet需要输入密码
不设置密码,不要求登录(no login),则直接Telnet进去
不设置密码,要求登录,则无法Telnet
加密命令(默认只用启用加密口令是被加密的,Router#show running-config 可以看得到)
Router(config)#service password-encryption 所有的口令都被加密
实战3:路由器接口配置:激活接口、配置IP地址、串行接口命令
Router1(config)#interface fastEthernet 0/0
Router1(config-if)#ip address 192.168.0.1 255.255.255.0(secondary同时添加第二个IP)
Router1(config-if)#no shutdown
Router1(config)#interface serial 2/0
Router1(config-if)#clock rate 64000 在DCE端配置时钟频率(DCE是数据通信设备,DTE是数据终端设备,路由器一般是DTE,判断二者可以通过查看接头,或者使用命令来查看串行接口是否连接有DCE电缆Router#show controllers serial 2/0)
Router1(config-if)#ip address 10.0.0.1 255.255.255.0
Router1(config-if)#no sh
实战4:查看、保存并擦除配置
Router#show version 查看系统硬件基本配置
Router#show running-config 查看除启用加密口令之外的所有口令
Router#copy running-config startup-config 从RAM写入NVRAM
Router#erase startup-config 删除启动配置文件
五、管理Cisco互联网络
路由器的启动顺序
1.POST开机自检
2.默认从Flash加载IOS
3.IOS软件从NVRAM Startup-config加载,如果没有Startup-config,则进入setup模式
配置寄存器:16位的二进制
0x2142不加载配置文件
0x2102正常加载
路由器恢复口令的步骤
1.启动路由器并通过执行一个中断来中断启动顺序,这个中断将路由器带人ROM监控模式。
2.修改配置寄存器以开启位6(值为0X2142)。
3.重载路由器。
4.进入特权模式。
5.将startup-config文件复制为running-config文件。
6.修改口令。
7.将配置寄存器重设为默认值。
8.保存路由器的配置。
9.重载路由器。
口令:查看、修改寄存器的值并重设密码
查看:RouterA#show version 显示为0x2102
修改:RouterA(config)#config-register 0x2142
检查:RouterA#show version 显示Configuration register is 0x2102(will be 0x2142 at next reload)
保存:RouterA#copy running-config startup-config
重启:RouterA#reload
重设密码再存盘
实战:使用控制台连接Router操作
重启路由器Ctrl+breack 中断路由器正常启动
Rommon 1 > confreg 0x2142 更改寄存器的值
Rommon 2 >Reset 重启路由器
Router#copy startup-config running-config 使以前的配置生效
Router(config)#enable secret aaaa 重设enable密码
Router#copy running-config startup-config 保存当前设置
Router(config)#config-register 0x2102 更改寄存器的值,使之正常加载
注:不同系列路由器修改配置寄存器命令不同
在2600系列命令
Rommon 1 >confreg 0x2142
Rommon 2 >Reset
配置2500系列命令
产生中断后输入o,再输入o/r 0x2142
输入I(初始化)
备份和升级路由器IOS
验证闪存
Router#show f1ash
Router#show version
备份Cisco IOS
Router#copy flash tftp
恢复和升级Cisco IOS
Router#copy tftp flash
Cisco发现协议CDP
Router(config)#cdp run 开启路由器的CDP
Router(config-if)#cdp enable 启用端口
Router#show cdp neighbor 显示直连设备
Telnet应用
同时Telnet到多台设备,若要保持连接,可以按下Ctrl+shift+6组合键,放开后,再按X键。
检查Telnet连接,Router#show sessions
解析主机名
建立主机表
Router(config)#ip host Router0 172.16.5.1
Router#telnet Router0
使用DNS解析名称
ip domain-lookup 默认打开
六、IP路由
不同网段计算机通信就叫路由
对路由器的要求,必须知道到网络中各个网段如何转发
网通:沿途所有Router都必须知道去到目标网段的下一跳和回到源网段的下一跳(PC网关设置正确)
路由分为
静态路由 管理员告诉路由器到各个网段如何转发
动态路由 路由器自己来学习到各个网段如何转发
配置静态路由
Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
默认路由 代表大多数网段的路由 (默认路由优先级最低)
RouterR(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.2
路由汇总 检查路由表是以子网掩码位数多的优先
RouterR(config)#ip route 172.16.0.0 255.255.0.0 10.0.0.2
IP规则地区性
全球的IP地址分配分析
末端网络路由器使用默认路由减少路由表项
骨干网路由器通过路由汇总减少路由表项
动态路由 路由器自己来学习到各个网段如何转发
网络规模较大 or 具有网状结构的网络
学习配置RIP协议(路由信息协议)距离矢量路由选择协议
RIP 周期性广播路由表 30秒 度量值是跳数 15跳 16跳认为不可到达
RIPv1 广播传播路由信息 支持等长子网 不支持变长子网和不连续子网
RIPv2 多播传播路由信息 支持变长子网 和 不连续子网(关闭自动汇总)传播路由信息中包含了子网掩码信息
RIP协议的工作原理:比对选择跳数少的路径转发
Router(config)#router rip 在路由器上启用RIP(可简写成r r)
Router(config-router)#network 172.16.0.0 告诉路由器RIP协议工作在那些端口(只写主类的网络号,ABC类)
【Router(config-router)#version 2 使用第二版的RIP协议】
【Router(config-router)#no auto-summary 关闭自动汇总】
查看路由表show ip route
查看运行的路由协议show ip protocols
监控Router2上的RIP信息交换
Router#debug ip rip 打开监控开关
Router#RIP 可查看路由器接收、发出和计算出的路由信息
在Router2上关闭所有的Debug
Router#undebug all 监控结束
七、EIGRP和OSPF
EIGRP 类似于于RIPv2 支持变长子网 关掉汇总,支持不连续子网。
EIGRP的工作原理
EIGRP(增强的内部网关)协议,Cisco专有协议。
非周期性更新路由信息,Hello报文发现和跟踪邻居,形成邻居关系时,彼此通告完整的路由表。之后他们只传播路由表变化的部分。
度量值默认带宽和延迟 支持大的网络默认100跳 最大255跳 必须是统一自治区域才能交换路由信息 支持变长子网和不连续子网(关闭自动汇总) 收敛速度块(有备用路径)
EIGRP配置方法
Router(config)#router eigrp 10 设置自治区域号
Router(config-router)#network 192.168.0.0 参与路由协议的有类地址
Router(config-router)#no auto-summary 关闭自动汇总以支持不连续子网
路由信息可信度
连接接口 默认 0
静态路由 默认 1
EIGRP 默认 90
IGRP 默认 100
OSPF 默认 110
RIP 默认 120
未知 255 这条路由永远不会被使用
实验7-01动态路由EIGRP
实验7-02路由信息可靠性
实验7-03关闭EIGRP路由自动汇总
OSPF 路由表 由路由根据链路状态数据库算出来的,不出现环路,路由器之间更新的是链路状态,度量值带宽。触发式更新。
路由器三个表 邻居表,链路状态表,路由表
特性
有地区和自制系统组成
最小化路由更新流量
可扩展
支持变长子网
跳数不受限
标准 开放的标准
OSPF配置
Router(config)#router ospf 110 进程号
Router(config-router)#network 172.16.0.0 0.0.255.255 area 0 区域号 只有同一个区域的接口才能交换链路状态信息
Router(config-router)#network 172.16.0.1 0.0.0.0 area 0
OSPF的network写法
1.写Router所有接口的网段(翻转掩码)
2.进行汇总,如果Router的多个接口属于同一个网段
3.写Router各接口的IP地址(精确地址255.255.255.255,则翻转掩码为0.0.0.0)
DR和BDR
准备知识
邻居:地区ID相同、认证口令同、Hello和Dead间隔相同。
邻接:成为邻居之后的下一个处理过程,邻接路由器指那些经过简单的Hello数据交换并进入数据库交换的路由器。
为了减少在特定网络分段中交换信息的数量,OSPF为每个网络分段选择一台指定路由器(DR)和备份指定路由器(BDR)。DR和BDR即是路由器建立的信息交换的中心结点。
DR和BDR的选举
RID是在OSPF启动时由所有激活接口中的最高IP地址确定;
Router0#show ip ospf 查看Router3的RID
Routing Process "ospf 1" with ID 192.168.0.13
环回接口确保OSPF进程总有一个激活的接口;
Router(config)#interface loopback 0
Router(config-if)#ip address 192.168.10.1 255.255.255.255
Router#copy running-config startup-config
Router#reload 重启路由器之后环回接口配置生效OR删除OSPF重新创建数据库
为路由器添加一个新的RID来替换原有的RID;(同时设置换回接口,此方法生效)
Router(config)#router ospf 1
Router(config-router)#router-id 192.168.10.10
Reload or use "clear ip ospf process" command, for this to take effect
通过配置路由器接口的优先级来“指定”选举。(在已存在的DR和BDR被关闭之前不会起作用,即一旦选举发生过了,都不会再次进行,除非DR和BDR被重启和/或关闭)
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip ospf priority 2
Router#show ip ospf interface 查看并验证OSPF配置
八、第2层交换和生成树协议(STP)
第2层交换的功能
MAC地址学习
转发/过滤决定
避免环路
STP(Spanning-Tree Protocol生成树)
工作过程
1.选根桥:先看优先级,默认为32768 (0~61440,显示时将VLAN ID加进去)优先级小的为根,优先级相同的再看MAC,小的为根桥
2.非根网桥 选根端口 到根交换机近(开销小)的端口
3.每根网线两端确定一个指定端口,到根交换机近的为指定端口,剩下的为阻塞端口
阻断的端口转发BPDU(桥协议数据单元),不转发用户数据,而指定端口转发用户数据
生成树端口的状态
阻塞Blocking,不转发数据帧,指监听BPDU。刚加电时默认都阻塞。
侦听Listening,端口侦听BPDU,在没有形成MAC地址表时,准备转发数据。
学习Learning,端口侦听BPDU,并学习交换式网络中的所有路径。
转发Forwarding,发送并接收数据帧。
实验8-01查看交换机MAC地址表
Switch#show mac-address-table 查看交换机上的MAC地址表
实验8-02生成树协议
确定根网桥
Switch#show spanning-tree
更改交换机的优先级
Switch(config)#spanning-tree vlan 1 priority 4096
关闭生成树
Switch(config)#no spanning-tree vlan 1
交换机端口可以实现安全
控制交换机接口连接计算机的数量
Switch(config)#interface fastEthernet 0/4
Switch(config-if)#switchport mode access 配置该接口为访问接口
Switch(config-if)#switchport port-security 设置安全策略
Switch(config-if)#switchport port-security violation shutdown 违反安全策略端口关闭
Switch(config-if)#switchport port-security maximum 2 最大连接数目为2
交换机端口绑定MAC地址
Switch(config)#interface fastEthernet 0/4
Switch(config-if)#switchport mode access 配置该接口为访问接口
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#switchport port-security mac-address 0090.0CD7.65C8 绑定MAC地址
九、虚拟局域网(VLAN)
一个VLAN=一个广播域=一个逻辑网段(=一个部门)
分段(通过逻辑分组,增加广播域的数量而减小广播域的范围);
灵活(通过将交换机端口或者用户分配到VLAN组灵活添加广播域用户而不管物理地址);
安全(VLAN创建可以与用户所需的网络资源相一致,以防任何主机连入则能任意访问)
VLAN识别方法
交换机间链路(Inter-Switch Link, ISL):Cisco交换机专用的方法
IEEE 802.1Q:IEEE创建的作为帧标记的标准方法
实验9-01验证VLAN
查看VLAN
Switch#show vlan
创建VLAN
Switch(config)#vlan 2
Switch(config)#interface fastEthernet 0/2
(Switch(config)#interface range fastEthernet 0/13 – 24)
Switch(config-if-range)#switchport access vlan 2
删掉VLAN
Switch(config)#no vlan 2
实验9-02配置单臂路由器
Switch(config-if)#switchport mode trunk 开启交换机的G比特以太网口模式为Trunk
Router(config)#interface gigabitEthernet 6/0
Router(config-if)#no sh
Router(config)#interface gigabitEthernet 6/0.1 具体的子接口(0.1纯粹为了好记)
Router(config-subif)#encapsulation dot1Q 1 封装,该子接口负责VLAN1
Router(config-subif)#ip address 192.168.0.1 255.255.255.0 该子接口的IP地址
实验9-03带路由模块的VLAN间路由
Switch(config)#vlan 2
Switch(config)#interface gigabitEthernet 0/1
Switch(config-if)#switchport mode trunk
Switch(config)#interface gigabitEthernet 0/2
Switch(config-if)#switchport mode trunk
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.0.1 255.255.255.0
Switch(config-if)#no sh
Switch(config)#interface vlan 2
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
Switch(config-if)#no sh
实验9-04楼宇网络VLAN间路由
每个交换机上都人为去配置VLAN,为了简化操作使用VTP
VTP(VLAN间干道协议):实现VLAN的单一管理(VLAN的添加、删除等数量的管理)server操作,client被动变化。
实验9-05VTP域
Switch(config)#vtp domain office1 配置VTP域名为office1
Switch(config)#vtp password aaa 配置VTP密码为aaa
Switch(config)#vtp mode server 设置VTP模式为server
Switch(config)#vtp mode client 设置VTP模式为client
十、安全
Cisco IOS防火墙
基于策略的多接口支持
网络地址转换:对外隐藏内网,增加安全性
基于时间的访问控制:根据精确时间决定安全策略
... ...
访问控制列表
标准的访问控制列表:基于源IP地址过滤数据包
扩展的访问控制列表:基于源IP地址 目标IP地址 协议(TCP UDP IP(TCP UDP ICMP) ICMP)目标端口 来控制
命名的访问控制列表:功能同前两者,不是新型的ACL,只是给人一点参考提示
实验10-01配置标准的访问控制列表
定义标准ACL
Router#config t
Router(config)#access-list ? 查看编号,1~99为标准ACL,100~199为扩展ACL
Router(config)#access-list 10 deny host 192.168.2.2
Router(config)#access-list 10 permit 192.168.2.0 0.0.0.255
ACL 默认隐含拒绝所有deny any
查看ACL
Router#show ip access-lists
将ACL绑定到接口
Router#config t
Router(config)#interface serial 3/0
Router(config-if)#ip access-group 10 out 将访问控制列表绑定到S3/0出口
删除ACL
Router(config)#no access-list 10
ACL等价的写法
access-list 10 deny host 192.168.2.2 ==
access-list 10 deny 192.168.2.2 0.0.0.0
access-list 10 permit any ==
access-list 10 permit 0.0.0.0 255.255.255.255
实验10-02配置扩展的访问控制列表
Router(config)#access-list 101 permit tcp 192.168.2.0 0.0.0.255 host 10.0.0.2 eq 80
Router(config)#interface serial 3/0
Router(config-if)#ip access-group 101 out
允许市场部PING通WebServer网段
Router(config)#access-list 101 permit icmp 192.168.2.0 0.0.0.255 10.0.0.0 0.255.255.255
允许销售部访问PC6(IP包含所有)
Router(config)#access-list 101 permit ip 192.168.0.0 0.0.0.255 host 10.0.0.3
实验10-03使用ACL保护路由器安全
Router(config)#access-list 20 permit 192.168.2.2 0.0.0.0 定义标准的访问控制列表
Router(config)#line vty 0 4
Router(config-line)#access-class 20 in 将访问控制列表绑定VTY端口
Router(config)#access-list 112 permit tcp host 192.168.2.2 any eq 23(telnet)定义扩展的访问控制列表
ACL配置指南
访问控制列表中条目的顺序非常重要
使用文本编辑工具编辑ACL,然后粘帖到命令行
自上而下的处理
ACL项 从上到下依次检查,添加ACL时应该将具体IP地址或较为具体的网段放到ACL上面
不能够重新排序或删除其中ACL中的的某一条
使用no access-list number 命令删除整个访问控制列表
例外:命名访问控制列表允许删除ACL中的某一条
隐含拒绝所有
除非在ACL最后显示允许所有
访问控制列表位置
标准的ACL放到距离目标网络近的路由器上
扩展的ACL放到距离源地址较近的路由器上
高级访问控制列表
命名的访问控制列表
Router(config)#ip access-list standard Sales
Router(config-std-nacl)#deny host 192.168.0.3
Router(config-if)#ip access-group Sales in
思考:
什么时候使用标准的ACL,什么时候使用扩展的ACL?
可否在一个物理接口上绑定多个ACL,如果在某一接口in方向绑定两个ACL,如何作用?
实验中有人进行IP地址欺骗,该如何进一步防护?
10-03实验中要想防止除PC7之外的主机ping通路由器,该再怎样操作?
十一、网络地址转换NAT
NAT的目的是允许把私有IP地址映射到外部网络的合法IP地址,以减缓可用IP地址空间的消耗。
以下是适于使用NAT的各种情况:
需要连接到因特网,但是主机没有公网IP
更换了一个新的ISP,需要重新组织网络
需要合并两个具有相同网络地址的内网
NAT三种类型
静态NAT
动态NAT
复用(端口地址映射PAT)
静态NAT
Router(config)#ip nat inside source static 10.1.1.1 172.16.12.10
动态NAT
Router(config)#ip nat pool todd 172.16.12.10 172.16.12.10 netmask 255.255.255.0
Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255
Router(config)#ip nat inside source list 1 pool todd
Router(config-if)#interface fastEthernet 0/1
Router(config-if)#ip nat inside
Router(config)#interface s 0/0
Router(config-if)#ip nat outside
删除缓存的地址转换
Router#clear ip nat translation *
查看映射关系
Router#show ip nat translations
PAT
Router(config)#ip nat pool todd 172.16.12.10 172.16.12.10 netmask 255.255.255.0
Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255
Router(config)#ip nat inside source list 1 pool todd overload
Router(config-if)#interface fastEthernet 0/1
Router(config-if)#ip nat inside
Router(config)#interface s 0/0
Router(config-if)#ip nat outside
到内网的端口映射
Router(config)#ip nat inside source static tcp 10.1.2.2 80 172.16.12.10 80
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface serial 0/0
Router(config-if)#ip nat outside
十二、Cisco无线网络技术
在典型情况下,WLAN运行在半双工通信模式下
WLAN的工作和用集线器连起来的以太网很像。
WLAN使用射频频率(RF),这些无线电波遇到墙、水面和金属表面等,会被吸收、折射或反射,导致信号强度降低。
十二、IPv6
Router(config)#ipv6 unicast-routing
Router(config)#interface fastEthernet 0/1
Router(config-if)#ipv6 address 2002::2/64
Router(config-if)#no shu
静态路由
Router(config)#ipv6 route 2001::/64 2002::1
动态路由RIPng
Router(config)#ipv6 unicast-routing
Router(config)#ipv6 router rip 1
Router(config)#interface f
Router(config)#interface fastEthernet 0/0
Router(config-if)#ipv6 rip 1 enable
Router#show ipv6 route
局域网
广域网
服务器
客户机
OSI参考模型
分层的好处:每个环节的变化不影响其他环节
各个厂商的设备标准化
应用层:能够产生网络流量的应用程序(QQ)
表示层:加密、压缩(QQ视频)、二进制、ASCII码 IE出现乱码
会话层:服务器与客户机之间建立的联系(在线视频、木马的识别与查询)
查看会话 netstat -n
查看建立会话的进程netstat -nb
查看所有可用的参数以及功能netstat /?
传输层:不可靠的传输UDP(一个数据包完成任务)
可靠的传输TCP(数据量很大,一个数据包不能完成任务)流量控制 滑动窗口 确认机制(累计)三次握手
网络层:选择路径 网络网状结构
数据链路层:定义了如何识别网络设备 MAC 48
物理层:发送和接收比特流 电压 接口
从排错的角度看OSI参考模型
从底层向高层逐一排错
物理层:连接是否正常,设备加电
数据链路层:ADSL拨号正确(低级别验证)
网络层:选择路径出现故障 计算机网关设置问题
表示层:IE乱码问题
应用层:IE恶意插件 IE安全设置(受限站点)
从安全的角度看0SI参考模型
物理层安全:锁门,墙内网线
数据链路层安全:交换机上端口绑定MAC地址,AP账号、密码
网络层:在网络设备上指定访问控制列表 网络层防火墙
应用层:杀毒软件 应用层防火墙 ISA控制网络访问流量
从网络设备的角度看OSI
物理层:网线、集线器
数据链路层:网卡、交换机
网络层:路由器
网络设备
网线:双绞线 8根4对 T568B T568A (1236 10M 100M;1000M网络8根线全用)
直通线(两端T568B)连接不同类的设备
交叉线(一端T568B,另一端13和16调换),同类的设备
全反线:调试交换机/路由器用
集线器(HUB):是一个大的冲突域 不安全
交换机(Switch):基于MAC地址的数据转发 安全 端口的带宽独享 一个广播域
路由器(Router):基于IP地址的数据转发 ACL 隔绝广播 广域网接口
从数据封装角度看OSI
应用层
传输层 数据段 消息
网络层 数据包
数据链路层 数据帧
物理层 Bit
网络设计的三层模型
接入层交换机 直接连接用户计算机 接口多 10M/100M
汇聚层交换机 连接接入层交换机 接口相对较少 端口的带宽要求高
核心层交换机 连接汇聚层交换机 冗余设备
二、TCP/IP协议
传输层协议
TCP:传输前 数据分段 编号 建立会话 可靠传输
UDP:一个数据包就能完成任务 不可靠的传输 不建立会话 不需分段 不需编号
应用层的协议
HTTP=TCP+80
FTP= TCP+21 0R 20
SMTP=TCP+25 发送电子邮件
POP3=TCP+110
RDP=TCP+3389远程桌面协议
DNS=UDP OR TCP +53
连数据库=TCP+1433
端口用来表示服务器的服务 不同的服务使用的端口应该不同
默认端口可以更改 客户端必须也得更改
查看本地服务器的端口 netstat -a/an/anb
查看远程服务器打开的端口 telnet 192.168.186.128 21
实验2-01:WindowsServer2003安装服务查看端口
配置FTP服务器
配置Web服务器
配置SMTP服务和PoP3服务
实验2-02:修改本地服务器打开的端口
实验2-03:使用TCP/IP筛选保护服务器安全
TCP/IP筛选对PC访问Server和Server访问PC的不同作用
实验2-04:使用IPSec保护服务器安全
password1!
msconfig查看服务
netstat -n查看会话
网络层协议
IP(RIP EIGRP OSPF)
ICMP 测试网络连通性 ping pathping tracert
ping 粗略的测试网络的速度
ping /?参数的查询 ping IP -t
pathping tracert 跟踪沿途路径 (TTL过路由器减1) 计算丢包率 延迟等
IGMP 组播管理 节省带宽
ARP IP->MAC 广播方式解析
拓展实验:P2P终结者 网络执法官
防止ARP欺骗:arp -s ip mac可以绑定IP地址与MAC地址
三、子网划分和TCP/IP排错
IP地址:IPV4点分十进制(32位二进制 每八位一组表示成十进制)
是否为同一个网段看网络部分,同网段由交换机直接转发,不同的网段通信需要路由器转发,IP地址分为网络号(networkID类似于电话号码的区号)和主机号(hostID)
IP地址的分类(根据第一组二进制是的值)
A 0-127
B 128-191
C 192-223
D 224-239 多播地址 无子网掩码
E 240-255 测试用
广播(第3层)IP地址全1
单播 ABC类地址
组播 D类地址
数据包路由过程中MAC地址的变化
同一网段只需要交换机按照MAC地址转发
不同网段,路由器隔绝广播,只能解析到路由器的MAC地址,PC的目标地址为路由器的MAC,路由器查表转发
为什么需要MAC地址和IP地址?
IP地址决定最终数据给谁(复杂网络的主机标识)
MAC地址决定下一站给谁(本网段中给谁)
子网掩码的作用:判断一个IP属于哪一个网段(逐位相与)
默认子网掩码:本地连接,TCP/IP属性 演示
划分了子网的子网掩码:借用n位主机号当做网络号
公网地址(不够用)
保留的私有地址
10.0.0.0
172.16.0.0--172.31.0.0
192.168.0.0--192.168.255.0
169.254.0.0
127.0.0.1
路由器不转发目标地址为私网地址的数据包
NAT 省IP地址 内网安全 慢
改变源IP地址为公网地址,实现与Internet发与收的过程
端口映射 允许外网访问内网
服务器不同的端口映射为内网的不同主机
子网划分
等长子网划分:借用一定的主机位为子网位,子网掩码一定,每个子网可容纳的主机数相同。
变长子网划分:子网掩码不定(即可变长子网掩码),每个子网容纳主机数不同,更灵活、合理。
超网(路由汇总)
汇总的思想:把网络前缀都相同的连续的IP地址组成一个地址块。
排错(TCP/IP环境中的排错)
ipconfig /all
ping 127.0.0.1 网卡驱动没问题
ping 网关 和局域网是通的
ping 202.99.160.68 Internet网络层通
pingwww.inhe.net 查看域名解析是否正常 网络层测试
telnetwww.inhe.net 80 应用层测试
检查IE设置
替换法
四、Cisco的互联网络操作系统
路由器功能:加载网络协议和功能,在不同的网段转发数据,ACL控制流量、增加安全性,为网络中的资源提供网络可靠性
Cisco路由器的硬件组成:
Flash:装操作系统
RAM:内存,存放临时文件
ROM:类似于BIOS,装有最小的操作系统(DOS)
CPU:处理
NVRAM:非意识性存储,固化在主板上,断电不丢失,类似于硬盘
路由器的分类
固定模块
模块化:功能可扩展
路由器系列:2500,2600,4000
路由器的连接方式:
通过控制台端口(Concole口)RJ-45与计算机的COM口连接
通过辅助端口(AUX)RJ-45,事先配置号MODE命令,远程拨号连入
通过Telnet远程访问终端来连接
路由器配置方式:
设置模式(Continue with configuration dialog? [yes/no]: y或者特权模式下键入setup)Ctrl+C退出设置模式
CLI模式(configuration dialog? [yes/no]: n然后键入Enter)
路由器常用模式:用户模式、特权模式和全局配置模式
1.Router>用户模式(查看统计信息,是进入特权模式的踏脚石,logout/exit退出控制台操作)
Router>enable
2.Router#特权模式(查看并修改路由器的配置,disable返回用户模式)
show interface 查看路由器的接口
show running-config 查看路由的配置 密码 接口IP地址 ACL NAT
show version 查看路由器版本 配置寄存器的值
show ip interface brief 查看和Ip相关的接口信息
show ip route 查看路由表
show ip protocal 查看路由器运行的动态路由协议
Router#config terminal
3.Router(config)#全局配置模式(修改路由器的当前运行配置文件中的内容)
实战1:常规操作以及技巧:模式切换、编辑与帮助、主机名、标志区
Router>? 查看可用的命令
Router>sh? 短命令列表
Router#show ? 长命令串的完成
【空格下翻一页、回车下翻一行;Tab键妙用】
Router(config)#hostname Router1 修改主机名
Router1(config)#banner motd #test# 标识区
实战2:设置口令保护路由器:启用口令、辅助口令、控制台口令、Telnet口令、启用加密口令
启用口令
Router1(config)#enable password aaa 设置enable密码
Router1(config)#enable secret aaaa(较新的设置,如果被设置将越过启用口令的设置)
使用line命令可以指定用户模式的口令
辅助口令
Router(config)#line aux 0
Router(config-line)#password aux
Router(config-line)#login 在“登录”之前必须设置口令
控制台口令
Router(config)#line console 0
Router(config-line)#password console
Router(config-line)#login
Telnet口令
Router1(config)#line vty 0 4 (没有IOS企业版的路由器默认时有5条VTY线路,0到4)
Router1(config-line)#password aaa 设置Telnet密码
Router1(config-line)#login 要求必须登录
设置密码,且要求登录,则Telnet需要输入密码
不设置密码,不要求登录(no login),则直接Telnet进去
不设置密码,要求登录,则无法Telnet
加密命令(默认只用启用加密口令是被加密的,Router#show running-config 可以看得到)
Router(config)#service password-encryption 所有的口令都被加密
实战3:路由器接口配置:激活接口、配置IP地址、串行接口命令
Router1(config)#interface fastEthernet 0/0
Router1(config-if)#ip address 192.168.0.1 255.255.255.0(secondary同时添加第二个IP)
Router1(config-if)#no shutdown
Router1(config)#interface serial 2/0
Router1(config-if)#clock rate 64000 在DCE端配置时钟频率(DCE是数据通信设备,DTE是数据终端设备,路由器一般是DTE,判断二者可以通过查看接头,或者使用命令来查看串行接口是否连接有DCE电缆Router#show controllers serial 2/0)
Router1(config-if)#ip address 10.0.0.1 255.255.255.0
Router1(config-if)#no sh
实战4:查看、保存并擦除配置
Router#show version 查看系统硬件基本配置
Router#show running-config 查看除启用加密口令之外的所有口令
Router#copy running-config startup-config 从RAM写入NVRAM
Router#erase startup-config 删除启动配置文件
五、管理Cisco互联网络
路由器的启动顺序
1.POST开机自检
2.默认从Flash加载IOS
3.IOS软件从NVRAM Startup-config加载,如果没有Startup-config,则进入setup模式
配置寄存器:16位的二进制
0x2142不加载配置文件
0x2102正常加载
路由器恢复口令的步骤
1.启动路由器并通过执行一个中断来中断启动顺序,这个中断将路由器带人ROM监控模式。
2.修改配置寄存器以开启位6(值为0X2142)。
3.重载路由器。
4.进入特权模式。
5.将startup-config文件复制为running-config文件。
6.修改口令。
7.将配置寄存器重设为默认值。
8.保存路由器的配置。
9.重载路由器。
口令:查看、修改寄存器的值并重设密码
查看:RouterA#show version 显示为0x2102
修改:RouterA(config)#config-register 0x2142
检查:RouterA#show version 显示Configuration register is 0x2102(will be 0x2142 at next reload)
保存:RouterA#copy running-config startup-config
重启:RouterA#reload
重设密码再存盘
实战:使用控制台连接Router操作
重启路由器Ctrl+breack 中断路由器正常启动
Rommon 1 > confreg 0x2142 更改寄存器的值
Rommon 2 >Reset 重启路由器
Router#copy startup-config running-config 使以前的配置生效
Router(config)#enable secret aaaa 重设enable密码
Router#copy running-config startup-config 保存当前设置
Router(config)#config-register 0x2102 更改寄存器的值,使之正常加载
注:不同系列路由器修改配置寄存器命令不同
在2600系列命令
Rommon 1 >confreg 0x2142
Rommon 2 >Reset
配置2500系列命令
产生中断后输入o,再输入o/r 0x2142
输入I(初始化)
备份和升级路由器IOS
验证闪存
Router#show f1ash
Router#show version
备份Cisco IOS
Router#copy flash tftp
恢复和升级Cisco IOS
Router#copy tftp flash
Cisco发现协议CDP
Router(config)#cdp run 开启路由器的CDP
Router(config-if)#cdp enable 启用端口
Router#show cdp neighbor 显示直连设备
Telnet应用
同时Telnet到多台设备,若要保持连接,可以按下Ctrl+shift+6组合键,放开后,再按X键。
检查Telnet连接,Router#show sessions
解析主机名
建立主机表
Router(config)#ip host Router0 172.16.5.1
Router#telnet Router0
使用DNS解析名称
ip domain-lookup 默认打开
六、IP路由
不同网段计算机通信就叫路由
对路由器的要求,必须知道到网络中各个网段如何转发
网通:沿途所有Router都必须知道去到目标网段的下一跳和回到源网段的下一跳(PC网关设置正确)
路由分为
静态路由 管理员告诉路由器到各个网段如何转发
动态路由 路由器自己来学习到各个网段如何转发
配置静态路由
Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
默认路由 代表大多数网段的路由 (默认路由优先级最低)
RouterR(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.2
路由汇总 检查路由表是以子网掩码位数多的优先
RouterR(config)#ip route 172.16.0.0 255.255.0.0 10.0.0.2
IP规则地区性
全球的IP地址分配分析
末端网络路由器使用默认路由减少路由表项
骨干网路由器通过路由汇总减少路由表项
动态路由 路由器自己来学习到各个网段如何转发
网络规模较大 or 具有网状结构的网络
学习配置RIP协议(路由信息协议)距离矢量路由选择协议
RIP 周期性广播路由表 30秒 度量值是跳数 15跳 16跳认为不可到达
RIPv1 广播传播路由信息 支持等长子网 不支持变长子网和不连续子网
RIPv2 多播传播路由信息 支持变长子网 和 不连续子网(关闭自动汇总)传播路由信息中包含了子网掩码信息
RIP协议的工作原理:比对选择跳数少的路径转发
Router(config)#router rip 在路由器上启用RIP(可简写成r r)
Router(config-router)#network 172.16.0.0 告诉路由器RIP协议工作在那些端口(只写主类的网络号,ABC类)
【Router(config-router)#version 2 使用第二版的RIP协议】
【Router(config-router)#no auto-summary 关闭自动汇总】
查看路由表show ip route
查看运行的路由协议show ip protocols
监控Router2上的RIP信息交换
Router#debug ip rip 打开监控开关
Router#RIP 可查看路由器接收、发出和计算出的路由信息
在Router2上关闭所有的Debug
Router#undebug all 监控结束
七、EIGRP和OSPF
EIGRP 类似于于RIPv2 支持变长子网 关掉汇总,支持不连续子网。
EIGRP的工作原理
EIGRP(增强的内部网关)协议,Cisco专有协议。
非周期性更新路由信息,Hello报文发现和跟踪邻居,形成邻居关系时,彼此通告完整的路由表。之后他们只传播路由表变化的部分。
度量值默认带宽和延迟 支持大的网络默认100跳 最大255跳 必须是统一自治区域才能交换路由信息 支持变长子网和不连续子网(关闭自动汇总) 收敛速度块(有备用路径)
EIGRP配置方法
Router(config)#router eigrp 10 设置自治区域号
Router(config-router)#network 192.168.0.0 参与路由协议的有类地址
Router(config-router)#no auto-summary 关闭自动汇总以支持不连续子网
路由信息可信度
连接接口 默认 0
静态路由 默认 1
EIGRP 默认 90
IGRP 默认 100
OSPF 默认 110
RIP 默认 120
未知 255 这条路由永远不会被使用
实验7-01动态路由EIGRP
实验7-02路由信息可靠性
实验7-03关闭EIGRP路由自动汇总
OSPF 路由表 由路由根据链路状态数据库算出来的,不出现环路,路由器之间更新的是链路状态,度量值带宽。触发式更新。
路由器三个表 邻居表,链路状态表,路由表
特性
有地区和自制系统组成
最小化路由更新流量
可扩展
支持变长子网
跳数不受限
标准 开放的标准
OSPF配置
Router(config)#router ospf 110 进程号
Router(config-router)#network 172.16.0.0 0.0.255.255 area 0 区域号 只有同一个区域的接口才能交换链路状态信息
Router(config-router)#network 172.16.0.1 0.0.0.0 area 0
OSPF的network写法
1.写Router所有接口的网段(翻转掩码)
2.进行汇总,如果Router的多个接口属于同一个网段
3.写Router各接口的IP地址(精确地址255.255.255.255,则翻转掩码为0.0.0.0)
DR和BDR
准备知识
邻居:地区ID相同、认证口令同、Hello和Dead间隔相同。
邻接:成为邻居之后的下一个处理过程,邻接路由器指那些经过简单的Hello数据交换并进入数据库交换的路由器。
为了减少在特定网络分段中交换信息的数量,OSPF为每个网络分段选择一台指定路由器(DR)和备份指定路由器(BDR)。DR和BDR即是路由器建立的信息交换的中心结点。
DR和BDR的选举
RID是在OSPF启动时由所有激活接口中的最高IP地址确定;
Router0#show ip ospf 查看Router3的RID
Routing Process "ospf 1" with ID 192.168.0.13
环回接口确保OSPF进程总有一个激活的接口;
Router(config)#interface loopback 0
Router(config-if)#ip address 192.168.10.1 255.255.255.255
Router#copy running-config startup-config
Router#reload 重启路由器之后环回接口配置生效OR删除OSPF重新创建数据库
为路由器添加一个新的RID来替换原有的RID;(同时设置换回接口,此方法生效)
Router(config)#router ospf 1
Router(config-router)#router-id 192.168.10.10
Reload or use "clear ip ospf process" command, for this to take effect
通过配置路由器接口的优先级来“指定”选举。(在已存在的DR和BDR被关闭之前不会起作用,即一旦选举发生过了,都不会再次进行,除非DR和BDR被重启和/或关闭)
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip ospf priority 2
Router#show ip ospf interface 查看并验证OSPF配置
八、第2层交换和生成树协议(STP)
第2层交换的功能
MAC地址学习
转发/过滤决定
避免环路
STP(Spanning-Tree Protocol生成树)
工作过程
1.选根桥:先看优先级,默认为32768 (0~61440,显示时将VLAN ID加进去)优先级小的为根,优先级相同的再看MAC,小的为根桥
2.非根网桥 选根端口 到根交换机近(开销小)的端口
3.每根网线两端确定一个指定端口,到根交换机近的为指定端口,剩下的为阻塞端口
阻断的端口转发BPDU(桥协议数据单元),不转发用户数据,而指定端口转发用户数据
生成树端口的状态
阻塞Blocking,不转发数据帧,指监听BPDU。刚加电时默认都阻塞。
侦听Listening,端口侦听BPDU,在没有形成MAC地址表时,准备转发数据。
学习Learning,端口侦听BPDU,并学习交换式网络中的所有路径。
转发Forwarding,发送并接收数据帧。
实验8-01查看交换机MAC地址表
Switch#show mac-address-table 查看交换机上的MAC地址表
实验8-02生成树协议
确定根网桥
Switch#show spanning-tree
更改交换机的优先级
Switch(config)#spanning-tree vlan 1 priority 4096
关闭生成树
Switch(config)#no spanning-tree vlan 1
交换机端口可以实现安全
控制交换机接口连接计算机的数量
Switch(config)#interface fastEthernet 0/4
Switch(config-if)#switchport mode access 配置该接口为访问接口
Switch(config-if)#switchport port-security 设置安全策略
Switch(config-if)#switchport port-security violation shutdown 违反安全策略端口关闭
Switch(config-if)#switchport port-security maximum 2 最大连接数目为2
交换机端口绑定MAC地址
Switch(config)#interface fastEthernet 0/4
Switch(config-if)#switchport mode access 配置该接口为访问接口
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#switchport port-security mac-address 0090.0CD7.65C8 绑定MAC地址
九、虚拟局域网(VLAN)
一个VLAN=一个广播域=一个逻辑网段(=一个部门)
分段(通过逻辑分组,增加广播域的数量而减小广播域的范围);
灵活(通过将交换机端口或者用户分配到VLAN组灵活添加广播域用户而不管物理地址);
安全(VLAN创建可以与用户所需的网络资源相一致,以防任何主机连入则能任意访问)
VLAN识别方法
交换机间链路(Inter-Switch Link, ISL):Cisco交换机专用的方法
IEEE 802.1Q:IEEE创建的作为帧标记的标准方法
实验9-01验证VLAN
查看VLAN
Switch#show vlan
创建VLAN
Switch(config)#vlan 2
Switch(config)#interface fastEthernet 0/2
(Switch(config)#interface range fastEthernet 0/13 – 24)
Switch(config-if-range)#switchport access vlan 2
删掉VLAN
Switch(config)#no vlan 2
实验9-02配置单臂路由器
Switch(config-if)#switchport mode trunk 开启交换机的G比特以太网口模式为Trunk
Router(config)#interface gigabitEthernet 6/0
Router(config-if)#no sh
Router(config)#interface gigabitEthernet 6/0.1 具体的子接口(0.1纯粹为了好记)
Router(config-subif)#encapsulation dot1Q 1 封装,该子接口负责VLAN1
Router(config-subif)#ip address 192.168.0.1 255.255.255.0 该子接口的IP地址
实验9-03带路由模块的VLAN间路由
Switch(config)#vlan 2
Switch(config)#interface gigabitEthernet 0/1
Switch(config-if)#switchport mode trunk
Switch(config)#interface gigabitEthernet 0/2
Switch(config-if)#switchport mode trunk
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.0.1 255.255.255.0
Switch(config-if)#no sh
Switch(config)#interface vlan 2
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
Switch(config-if)#no sh
实验9-04楼宇网络VLAN间路由
每个交换机上都人为去配置VLAN,为了简化操作使用VTP
VTP(VLAN间干道协议):实现VLAN的单一管理(VLAN的添加、删除等数量的管理)server操作,client被动变化。
实验9-05VTP域
Switch(config)#vtp domain office1 配置VTP域名为office1
Switch(config)#vtp password aaa 配置VTP密码为aaa
Switch(config)#vtp mode server 设置VTP模式为server
Switch(config)#vtp mode client 设置VTP模式为client
十、安全
Cisco IOS防火墙
基于策略的多接口支持
网络地址转换:对外隐藏内网,增加安全性
基于时间的访问控制:根据精确时间决定安全策略
... ...
访问控制列表
标准的访问控制列表:基于源IP地址过滤数据包
扩展的访问控制列表:基于源IP地址 目标IP地址 协议(TCP UDP IP(TCP UDP ICMP) ICMP)目标端口 来控制
命名的访问控制列表:功能同前两者,不是新型的ACL,只是给人一点参考提示
实验10-01配置标准的访问控制列表
定义标准ACL
Router#config t
Router(config)#access-list ? 查看编号,1~99为标准ACL,100~199为扩展ACL
Router(config)#access-list 10 deny host 192.168.2.2
Router(config)#access-list 10 permit 192.168.2.0 0.0.0.255
ACL 默认隐含拒绝所有deny any
查看ACL
Router#show ip access-lists
将ACL绑定到接口
Router#config t
Router(config)#interface serial 3/0
Router(config-if)#ip access-group 10 out 将访问控制列表绑定到S3/0出口
删除ACL
Router(config)#no access-list 10
ACL等价的写法
access-list 10 deny host 192.168.2.2 ==
access-list 10 deny 192.168.2.2 0.0.0.0
access-list 10 permit any ==
access-list 10 permit 0.0.0.0 255.255.255.255
实验10-02配置扩展的访问控制列表
Router(config)#access-list 101 permit tcp 192.168.2.0 0.0.0.255 host 10.0.0.2 eq 80
Router(config)#interface serial 3/0
Router(config-if)#ip access-group 101 out
允许市场部PING通WebServer网段
Router(config)#access-list 101 permit icmp 192.168.2.0 0.0.0.255 10.0.0.0 0.255.255.255
允许销售部访问PC6(IP包含所有)
Router(config)#access-list 101 permit ip 192.168.0.0 0.0.0.255 host 10.0.0.3
实验10-03使用ACL保护路由器安全
Router(config)#access-list 20 permit 192.168.2.2 0.0.0.0 定义标准的访问控制列表
Router(config)#line vty 0 4
Router(config-line)#access-class 20 in 将访问控制列表绑定VTY端口
Router(config)#access-list 112 permit tcp host 192.168.2.2 any eq 23(telnet)定义扩展的访问控制列表
ACL配置指南
访问控制列表中条目的顺序非常重要
使用文本编辑工具编辑ACL,然后粘帖到命令行
自上而下的处理
ACL项 从上到下依次检查,添加ACL时应该将具体IP地址或较为具体的网段放到ACL上面
不能够重新排序或删除其中ACL中的的某一条
使用no access-list number 命令删除整个访问控制列表
例外:命名访问控制列表允许删除ACL中的某一条
隐含拒绝所有
除非在ACL最后显示允许所有
访问控制列表位置
标准的ACL放到距离目标网络近的路由器上
扩展的ACL放到距离源地址较近的路由器上
高级访问控制列表
命名的访问控制列表
Router(config)#ip access-list standard Sales
Router(config-std-nacl)#deny host 192.168.0.3
Router(config-if)#ip access-group Sales in
思考:
什么时候使用标准的ACL,什么时候使用扩展的ACL?
可否在一个物理接口上绑定多个ACL,如果在某一接口in方向绑定两个ACL,如何作用?
实验中有人进行IP地址欺骗,该如何进一步防护?
10-03实验中要想防止除PC7之外的主机ping通路由器,该再怎样操作?
十一、网络地址转换NAT
NAT的目的是允许把私有IP地址映射到外部网络的合法IP地址,以减缓可用IP地址空间的消耗。
以下是适于使用NAT的各种情况:
需要连接到因特网,但是主机没有公网IP
更换了一个新的ISP,需要重新组织网络
需要合并两个具有相同网络地址的内网
NAT三种类型
静态NAT
动态NAT
复用(端口地址映射PAT)
静态NAT
Router(config)#ip nat inside source static 10.1.1.1 172.16.12.10
动态NAT
Router(config)#ip nat pool todd 172.16.12.10 172.16.12.10 netmask 255.255.255.0
Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255
Router(config)#ip nat inside source list 1 pool todd
Router(config-if)#interface fastEthernet 0/1
Router(config-if)#ip nat inside
Router(config)#interface s 0/0
Router(config-if)#ip nat outside
删除缓存的地址转换
Router#clear ip nat translation *
查看映射关系
Router#show ip nat translations
PAT
Router(config)#ip nat pool todd 172.16.12.10 172.16.12.10 netmask 255.255.255.0
Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255
Router(config)#ip nat inside source list 1 pool todd overload
Router(config-if)#interface fastEthernet 0/1
Router(config-if)#ip nat inside
Router(config)#interface s 0/0
Router(config-if)#ip nat outside
到内网的端口映射
Router(config)#ip nat inside source static tcp 10.1.2.2 80 172.16.12.10 80
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface serial 0/0
Router(config-if)#ip nat outside
十二、Cisco无线网络技术
在典型情况下,WLAN运行在半双工通信模式下
WLAN的工作和用集线器连起来的以太网很像。
WLAN使用射频频率(RF),这些无线电波遇到墙、水面和金属表面等,会被吸收、折射或反射,导致信号强度降低。
十二、IPv6
Router(config)#ipv6 unicast-routing
Router(config)#interface fastEthernet 0/1
Router(config-if)#ipv6 address 2002::2/64
Router(config-if)#no shu
静态路由
Router(config)#ipv6 route 2001::/64 2002::1
动态路由RIPng
Router(config)#ipv6 unicast-routing
Router(config)#ipv6 router rip 1
Router(config)#interface f
Router(config)#interface fastEthernet 0/0
Router(config-if)#ipv6 rip 1 enable
Router#show ipv6 route