NETWORK部分笔记
传输介质简介同轴电缆双绞线光纤数据传输的两种模式
网络基础计算机网络概述OSI七层模型(从下往上)以太网的MAC地址网络三种发送帧的方式交换机工作原理
华为VRP系统的使用华为交换机的命令行视图基本使用
VLAN技术及应用广播域什么是VLANVLAN的基本概念VLAN的配置
TrunkTrunk 干啥的Trunk的配置
链路聚合网络层ICMP协议
IP地址IP地址的组成IP地址的分类IP地址类型子网掩码网关
路由原理及配置静态路由的配置动态路由协议OSPF
传输层的协议TCPTCP的三次握手TCP的传输过程TCP关闭连接的四次断开常见的TCP的服务名与端口号
UDP
ACL访问控制列表NAT静态NATEasy IP
VRRP综合实验20200702自习作业
传输介质简介
网络通信除了包含通信设备本身之外,还包含连接这些设备的传输介质。不同的传输介质有着不同的特性,这些特性会直接影响到通信的传输速度和传输距离。
同轴电缆
同轴电缆是一种早期使用的传输介质,同轴电缆的标准分为两种,10BASE2和10BASE5。这两种标准都支持10Mbps的传输速率,最长传输距离分别为185米和500米,一般情况下10BASE2使用BNC接头,10BASE5同轴电缆使用N型接头。10BASE5和10BASE2所使用的的同轴电缆的直径分别为9.5mm和5mm,前者被称为粗缆,后者被称为细缆。10Mbps的传输速率,早已满足不了目前的需求,已被 淘汰。
双绞线
双绞线又被分为屏蔽双绞线(Shielded Twisted Pair, STP) 和非屏蔽双绞线 (Unshielded Twisted Pair,UTP)。
屏蔽双绞线是双绞线和外层绝缘封套中间有一层金属屏蔽保护层,可以屏蔽电磁干扰。
水晶头:RJ45
线序:
T568A 线序:白绿,绿,白橙,蓝,白蓝,橙,白棕,棕T568B 线序:白橙,橙,白绿,蓝,白蓝,绿,白棕,棕1,2 发送,3,6 接收标准网线(直连线或者直通线):用于连接不同设备(A-A,B-B)交叉网线:用于连接相同设备 (A-B)
光纤
双绞线和同轴电缆传输数据使用的都是电信号,光纤传输的是光信号。光纤支持的传输速率包括10Mbps,100Mbps,1GMbps,10GMbps,甚至更高。光纤又分为两种(单模光纤和多模光纤)
单模光纤只能传输一种模式的光,不存在模间色散,适用于长距离高速传输。多模光纤允许不同模式的光在一根光纤上传输,但是模间色散较大会导致信号脉冲展宽严重,适用于局域网中距离较短的传输。 常用的连接器包括 ST、FC、SC、LC
数据传输的两种模式
半双工:在半双工模式 (half-duplex mode)通信的双发都能发送和接收数据,但是不能同时进行。也就是说一台在发送的时候,另一台只能接收。对讲机是比较典型的例子。全双工:在全双工模式(full-duplex mode)通信的双方都能同时接收和发送数据。就好像我们打电话的时候。同一物理链路上相连接的两台设备的双工模式必须保持一致。
网络基础
计算机网络概述
网络的功能
信息传递资源共享提高可靠提高处理性能
网络组成
路由器
交换机
防火墙
WAN 与 LAN
WAN (广域网)
Wide Area Network 跨区域、大范围的网络。 LAN (局域网)
Local Area Network 小范围的、相对来说较封闭的网络。
网络中常见的拓扑结构
星型
优点:易于实现、易于扩展缺点:中心节点(交换机)的压力比较大 网状
优点:提供冗余、可靠性更高缺点:成本较高
OSI七层模型(从下往上)
开放系统互连参考模型 (Open System Interconnect 简称OSI)是国际标准化组织(ISO)和国际电报电话咨询委员会(CCITT)联合制定的开放系统互连参考模型,为开放式互连信息系统提供了一种功能结构的框架。OSI七层参考模型的各个层次的划分遵循下列原则:
同一层中的各网络节点都有相同的层次结构,具有同样的功能。同一节点内相邻层之间通过接口(可以是逻辑接口)进行通信。七层结构中的每一层使用下一层提供的服务,并且向其上层提供服务。不同节点的同等层按照协议实现对等层之间的通信。
OSI参考模型各个层次的基本功能如下:
物理层(Physical layer 实际上就是物理设备、物理线缆)
建立、维护、断开物理连接,定义了接口及传输介质,比特流(bit)的传输比特流:以大量的二进制数据形式传递数据 数据链路层(Data link layer)
将比特组合成字节,再将字节组合成帧。建立逻辑连接、通过MAC地址实现数据通信、数据帧(frame)的传输,以及错误检测协议:ARP、SLIP、SDLC、HDLC、PPP、STP、帧中继等 网络层(Network layer)
进行逻辑地址寻址、实现不同网络间的通信、定义了IP地址,数据包(packet)的传输协议:IP、ICMP、RIP、OSPF、BGP等 传输层(Transport layer)
定义传输数据的协议端口号,数据段的传输协议:TCP、UDPTCP的数据单元称为段 (segments)UDP协议的数据单元称为数据报(datagrams) 会话层
建立、管理、终止会话就比如说我们再用ssh登录Linux终端,就属于会话层的管理范围该层的通信由不同设备中的应用程序之间的服务请求和相应组成。 表示层
数据格式化,代码转换、数据加密提供各种用于应用层数据的编码和转换功能,确保一个系统的应用层发送的数据能被另外一个系统的应用层识别。 应用层
应用层为操作系统或网络应用程序提供访问网络服务的接口。协议:TFTP、HTTP、FTP、DNS等
以太网的MAC地址
网络设备的MAC地址是全球唯一的。
MAC地址:用来设备一个以太网上的某个单独的设备或一组设备
(物理地址,硬件地址),是由设备厂商出厂时提前配置好,可以作为设备的唯一标识。mac 地址长度 48 位(6 字节),前 24 位代表厂商,后 24 为代表网卡编号
以太网帧格式
网络三种发送帧的方式
单播:是指从单一的源端发送到单一的目的端。在这个域中所有的主机都能收到这个单播帧,但是只有真正的目的主机才会接收并处理收到的帧,其他无关的主机会丢弃。广播:是指帧从单一的源发送到域中所有的主机,所有收到这个广播帧的主机都要接收并且处理这个帧。
但是会产生大量的流量,导致带宽利用率降低,从而影响整个网络的性能。 组播:可以理解为选择性的广播,主机侦听特定的组播地址,接收并处理目的MAC地址为该组播MAC地址的帧。
交换机工作原理
学习,学习源mac地址广播,对除数据来源的设备发送寻找目标主机的信息转发,当mac地址表信息完善之后,主机之间就可以利用交换机进行1对1的数据转发更新,当交换机所连接的设备超过300秒没有任何数据通讯,另外交换机接口所连接的设备断开,则都会清除对应的mac地址记录。
华为VRP系统的使用
华为交换机的命令行视图
用户视图
<Huawei
>
系统视图
<Huawei
>system-view
Enter system view,
return user view with Ctrl+Z.
[Huawei
]
接口视图
[Huawei
]interface Ethernet 0/0/1
[Huawei-Ethernet0/0/1
]
interface
Ethernet
0/0/1
协议视图
[Huawei
]ospf
[Huawei-ospf-1
]
视图间的转换
quit 命令 返回上一层return 命令 返回用户视图CTRL+Z返回用户视图
基本使用
配置主机名
<Huawei
>system-view
[Huawei
]sysname Tedu-SW1
[Tedu-SW1
]
查看版本
[Tedu-SW1
]display version
Huawei Versatile Routing Platform Software
VRP
(R
) software, Version 5.110
(S3700 V200R001C00
)
Copyright
(c
) 2000-2011 HUAWEI TECH CO., LTD
查看全局配置
[Tedu-SW1
]display current-configuration
保存配置
<Tedu-SW1
>save
The current configuration will be written to the device.
Are you sure to continue?
[Y/N
]y
恢复设备为初始状态
<Tedu-SW1
>reset saved-configuration
Warning: The action will delete the saved configuration
in the device.
The configuration will be erased to reconfigure. Continue?
[Y/N
]:y
<Tedu-SW1
>reboot
配置控制台会话时间
<Tedu-SW1
>system-view
[Tedu-SW1
]user-interface console 0
[Tedu-SW1-ui-console0
]idle-timeout 100
关闭日志提示(不建议全部关闭)
<Tedu-SW1
>undo terminal debugging
<Tedu-SW1
>undo terminal logging
<Tedu-SW1
>undo terminal monitor
<Tedu-SW1
>undo terminal trapping
查看交换机MAC地址表
<Tedu-SW1
>display mac-address
VLAN技术及应用
广播域
广播是一种信息的传播方式,指网络中的某一设备同时向网络中所有的其它设备发送数据,这个数据所能广播到的范围即为广播域(Broadcast Domain)。
通常来说 一个局域网就是一个广播域。
广播域内所有的设备都必须监听所有的广播包,如果广播域太大了,用户的带宽就小了,并且需要处理更多的广播,网络响应时间将会长到让人无法容忍的地步。
冲突域
什么是VLAN
VLAN 虚拟局域网(Virtual Local Area Network)
VLAN是将一个物理的LAN在逻辑上划分为多个广播域的通信技术。
VLAN的特点
限制广播域:广播域被限制在一个VLAN内,从而节省了带宽、提高了网络处理能力。增强局域网的安全性:不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能与其它VLAN内的用户直接通信。提高了网络的健壮性:故障被限制在一个VLAN内,本VLAN内的故障不会影响其他VLAN的正常工作。灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
VLAN的基本概念
VLAN Tag
标识所属VLAN VLAN的两种链路类型
接入链路(Access Link):常用作连接用户主机和交换机的链路。通常情况下,主机并不需要知道自己属于哪个VLAN,主机硬件通常也不能识别带有VLAN标记的帧。因此,主机发送和接收的帧都是untagged帧。干道链路(Trunk Link):常用作连接交换机与交换机或交换机与路由器之间的链路。干道链路可以承载多个不同VLAN数据,数据帧在干道链路传输时,干道链路的两端设备需要能够识别数据帧属于哪个VLAN,所以在干道链路上,一般传输的帧都是Tagged帧。 VLAN的端口类型(了解内容)
Access端口是交换机上用来连接用户主机的端口,它只能连接接入链路。有如下特点:
仅仅允许唯一的VLAN ID通过本端口,这个VLAN ID与端口的PVID(Port Default VLAN ID,端口缺省的VLAN ID)相同。如果该端口收到的对端设备发送的帧是untagged(不带VLAN标签),交换机将强制加上该端口的PVID。Access端口发往对端设备的以太网帧永远是不带标签的帧。 Trunk端口是交换机上用来和其他交换机连接的端口,它只能连接干道链路。有如下特点:
Trunk端口允许多个VLAN的帧(带Tag标记)通过。如果从Trunk端口发送的帧带Tag,且Tag与端口缺省的VLAN ID相同,则交换机会剥掉该帧中的Tag标记。仅在这种情况下,Trunk端口发送的帧不带Tag。如果从Trunk端口发送的帧带Tag,但是与端口缺省的VLAN ID不同,则交换机对该帧不做任何动作,直接发送带Tag的帧。 Hybrid端口是交换机上既可以连接用户主机,又可以连接其他交换机的端口。
Hybrid端口既可以连接接入链路又可以连接干道链路。Hybrid端口允许多个VLAN的帧通过,并可以在出端口方向将某些VLAN帧的Tag剥掉。 VLAN的划分(了解的内容)
基于端口划分VLAN根据交换设备的端口编号来划分VLAN。
网络管理员给交换机的每个端口配置不同的PVID,即一个端口缺省属于的VLAN。当一个数据帧进入交换机端口时,如果没有带VLAN标签,且该端口上配置了PVID,那么,该数据帧就会被打上端口的PVID。如果进入的帧已经带有VLAN 标签,那么交换机不会再增加VLAN 标签,对VLAN 帧的处理由端口类型决定。 基于MAC地址划分VLAN
根据计算机网卡的MAC地址来划分VLAN。网络管理员成功配置MAC地址和VLAN ID映射关系表,如果交换机收到的是untagged(不带VLAN标签)帧,则依据该表添加VLAN ID。 基于子网划分VLAN
如果交换设备收到的是untagged(不带VLAN标签)帧,交换设备根据报文中的IP地址信息,确定添加的VLAN ID。 基于协议划分VLAN
根据接口接收到的报文所属的协议(族)类型及封装格式来给报文分配不同的VLAN ID。网络管理员需要配置以太网帧中的协议域和VLAN ID的映射关系表,如果收到的是untagged(不带VLAN标签)帧,则依据该表添加VLAN ID。目前,支持划分VLAN的协议有IPV4、IPV6、IPX、AppleTalk(AT),封装格式有Ethernet II、802.3 raw、802.2 LLC、802.2 SNAP。 基于匹配策略划分VLAN
基于MAC地址、IP地址、接口组合策略划分VLAN是指在交换机上配置终端的MAC地址和IP地址,并与VLAN关联。只有符合条件的终端才能加入指定VLAN。符合策略的终端加入指定VLAN后,严禁修改IP地址或MAC地址,否则会导致终端从指定VLAN中退出。
VLAN的配置
创建VLAN
[Tedu-SW1
]vlan 2
[Tedu-SW1
]vlan batch 3 4
[Tedu-SW1
]vlan batch 5 to 18
删除VLAN
[Tedu-SW1
]undo vlan 4
[Tedu-SW1
]undo vlan batch 5 to 18
为接口配置VLAN
[Tedu-SW1
]interface Ethernet 0/0/1
[Tedu-SW1-Ethernet0/0/1
]port link-type access
[Tedu-SW1-Ethernet0/0/1
]port default vlan 2
[Tedu-SW1-Ethernet0/0/1
]dis this
interface Ethernet0/0/1
port link-type access
port default vlan 2
批量的为端口配置VLAN
[Tedu-SW1
]port-group 1
[Tedu-SW1-port-group-1
]
[Tedu-SW1-port-group-1
]group-member Ethernet 0/0/2 to Ethernet 0/0/10
[Tedu-SW1-port-group-1
]dis this
[Tedu-SW1-port-group-1
]port link-type access
[Tedu-SW1-port-group-1
]port default vlan 2
查看VLAN的端口划分信息
[Tedu-SW1
]dis vlan
The total number of vlans is
: 3
--------------------------------------------------------------------------------
U: Up
; D: Down
; TG: Tagged
; UT: Untagged
;
MP: Vlan-mapping
; ST: Vlan-stacking
;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:Eth0/0/11
(D
) Eth0/0/12
(D
) Eth0/0/13
(D
) Eth0/0/14
(D
)
Eth0/0/15
(D
) Eth0/0/16
(D
) Eth0/0/17
(D
) Eth0/0/18
(D
)
Eth0/0/19
(D
) Eth0/0/20
(D
) Eth0/0/21
(D
) Eth0/0/22
(D
)
GE0/0/1
(D
) GE0/0/2
(D
)
2 common UT:Eth0/0/1
(D
) Eth0/0/2
(D
) Eth0/0/3
(D
) Eth0/0/4
(D
)
Eth0/0/5
(D
) Eth0/0/6
(D
) Eth0/0/7
(D
) Eth0/0/8
(D
)
Eth0/0/9
(D
) Eth0/0/10
(D
)
3 common
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1
enable default
enable disable VLAN 0001
2
enable default
enable disable VLAN 0002
3
enable default
enable disable VLAN 0003
Trunk
Trunk 干啥的
用来实现多个交换机之间的不同VLAN通信它可以承载多个VLAN的标签(Tag)
Trunk的配置
进入端口后修改断流链路类型
[Tedu-SW1
]interface Ethernet 0/0/11
[Tedu-SW1-Ethernet0/0/11
]port link-type trunk
为trunk端口添加允许通过的VLAN
[Tedu-SW1-Ethernet0/0/11
]port trunk allow-pass vlan all
链路聚合
链路聚合(Link Aggregation)是将—组物理接口捆绑在一起作为一个逻辑接口来增加带宽的一种方法,又称为多接口负载均衡组(Load Sharing Group)或链路聚合组(Link Aggregation Group)
通过在两台设备之间建立链路聚合组,可以提供更高的通讯带宽和更高的可靠性。
配置链路聚合
[Tedu-SW1
] interface Eth-Trunk 1
[Tedu-SW1-Eth-Trunk1
] trunkport Ethernet 0/0/7 0/0/8
[Tedu-SW1-Eth-Trunk1
] port link-type trunk
[Tedu-SW1-Eth-Trunk1
] port trunk allow-pass vlan all
网络层
网络层的功能.
定义了基于IP协议的逻辑地址连接不同的媒介类型选择数据通过网络的最佳路径
ICMP协议
Internet 控制消息协议 (Internet Control Message Protocol)
ICMP是TCP/IP协议簇的核心协议之一。
TCP/IP详解 (京东商城的链接)三本书,感兴趣的可以了解。我不是买书的。仅仅只是推荐。
ICMP协议用来在网络设备间传递各种差错和控制信息
对收集各种网络信息、排除网络故障起到很关键的作用
ICMP典型应用 ping 命令
C:\Users\98139>ping www
.baidu
.com
正在 Ping www
.a
.shifen
.com
[182
.61
.200
.6
] 具有 32 字节的数据:
来自 182
.61
.200
.6 的回复: 字节=32 时间=13ms TTL=54
来自 182
.61
.200
.6 的回复: 字节=32 时间=18ms TTL=54
来自 182
.61
.200
.6 的回复: 字节=32 时间=15ms TTL=54
来自 182
.61
.200
.6 的回复: 字节=32 时间=11ms TTL=54
182
.61
.200
.6 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0
(0
% 丢失
),
往返行程的估计时间
(以毫秒为单位
):
最短 = 11ms,最长 = 18ms,平均 = 14ms
ping命令输出信息中包括目的地址、ICMP报文长度、TTL值、以及往返的时间
IP地址
网络层位于数据链路层与传输层之间,网络层中包含了很多的协议,最重要的就是IP协议。网络层提供了IP路由功能。IP地址是用来标识网络中的设备的。
IP地址的组成
IP地址分为网络部分和主机部分IPV4的地址由32个二进制位组成,通常用点分十进制来表示(192.168.1.1)
网络位表示该IP地址所处的网段主机位用来标识本网段上的某台网络设备
每个网段中都有两个特殊地址不能分配给网络设备使用。
第一个是该网段的网络地址(主机位全为0)第二个是该网段的广播地址(主机位全为1)
IP地址的分类
A类:0.0.0.0 —— 127.255.255.255
网络位8bit B类:128.0.0.0 —— 191.255.255.255
网络位16bit C类: 192.0.0.0 —— 223.255.255.255
网络位24bit D类: 224.0.0.0 —— 239.255.255.255
组播 E类:240.0.0.0 —— 255.255.255.255
保留
IP地址类型
私有地址范围
10.0.0.0 —— 10.255.255.255172.16.0.0 —— 172.31.255.255192.168.0.0 —— 192.168.255.255 特殊地址
127.0.0.0 —— 127.255.255.255(本地回环)0.0.0.0 (表示任何网络)255.255.255.255(0.0.0.0 网络中的广播地址)
子网掩码
子网掩码用来区分网络位和主机位,子网掩码与IP地址的表示方式是一样的。
子网掩码一般都是用来和IP地址一起标识一个网段中的一台设备。
默认的子网掩码
每一类IP地址都有默认的缺省子网掩码
A类 255 .0 .0 .0B类 255 .255 .0 .0C类 255 .255 .255 .0
网关
网关是用来转发来自不同网段之间的数据包
报文在转发过程中,首先要确定转发路径以及通往目的网段的接口,然后将报文封装在以太帧中通过指定的物理接口转发出去。
如果目的主机与源主机不在同一网段,报文需要先转发到网关,然后通过网关将报文转发到目的网段。
路由原理及配置
路由器可以实现不同范围网络的连接,路由器要依靠路由表来传递数据
直连路由,在路由器接口配置好ip并开启之后自动生成
非直连路由
静态路由,由管理员手工配置添加路由条目
静态路由适用于结构比较简单的网络。合理的静态路由可以改进网络的性能,并可为重要的应用保证带宽。静态路由的缺点在于:当网络发生故障或者拓扑发生变化后,静态路由不会自动改变,必须有管理员的介入。 动态路由,根据网络拓扑或流量变化,通过路由协议自动设置
静态路由的配置
使用 ip route-static 命令
指定到达IP目的的网络基本格式
[Tedu-SW1
] ip route-static 目标网段 子网掩码 下一跳地址
动态路由协议OSPF
Open Shortest Path First (开放最短路径优先)
适用于大中型网络使用
启动OSPF路由进程
[sw1
] ospf 1
进入OSPF区域视图
[sw1-ospf-1
]area 0
[sw1-ospf-1-area-0.0.0.0
]
宣告直连网段
[sw1-ospf-1-area-0.0.0.0
]network 192.168.1.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0
]network 192.168.2.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0
]network 192.168.3.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0
]network 192.168.4.0 0.0.0.255
传输层的协议
传输层定义了主机应用程序之间端到端的连通性。传输层中最常见的两个协议分别是:
TCP (Transmission Control Protocol 传输控制协议)
UDP (User Datagram Protocol 用户数据包协议)
Syn 打算与对方建立连接
Ack 确认
Fin 打算与对方断开连接
TCP
TCP是一种面向连接的传输层协议,可提供可靠的传输服务。TCP位于TCP/IP 模型的传输层,它是一种面向连接的端到端协议。
TCP的三次握手
(Three-Way Handshake)
所谓的三次握手也就是TCP建立连接的过程。这个链接必须是一方主动的打开,另一方被动打开的。上面这张图是以主机A作为客户端主动发起连接的过程。
首先客户端(主机A)会向服务器A发送一段请求TCP报文,其中:
主机A 发送一个标识了 SYN 的数据段,表示**“请求连接”**;序列号 为 seq = a, (a一般为1);随后主机A会进入到SYN-SENT状态(表示已经发起了连接的请求,但是还没有从服务器A收到确认的信息);
服务器A接收到来着客户端的TCP报文之后,会返回一段确认收到TCP报文:
服务器A收到请求报文前一直处于LISTEN的状态(监听状态);
返回的TCP报文中,标志位为 SYN+ACK,
表示**”确认客户端的报文seq序号有效,服务器A能正常接收主机A发送的数据,并且同意创建新的连接**“
也就是告诉客户端,我收到你的请求了
序列号为 seq = b
确认号为 Ack = a + 1,表示**“收到主机A的序号seq并将值加1,作为自己确认号Ack的值”**;
随后服务器A进入 SYN-RCVD阶段(表示已经收到了请求)。
主机A接收到来着服务器A的确认收到TCP报文后
明确了从主机A到服务器A的数据传输是正常的,结束SYN-SENT状态
返回最后一段TCP报文:
标志位为ACK,表示**“确认收到服务器A同意连接的信号”**
(即告诉服务器A,我知道你收到我发的数据了);
序列号为Seq = a + 1 ,表示**“收到服务器A的确认号Ack,并且把这个Ack的值作为主机的序列号值”**;
确认号 为 Ack = b + 1 表示**“收到服务器A的序列号Seq,并将其值加1,作为主机的确认号Ack的值”**;
随后客户端进入ESTABLISHED状态;(已经确定建立关系的状态)
+
TCP的传输过程
TCP的可靠传输体现在TCP使用了确认技术来保证数据的完整性和准确性。确认技术的工作原理如下图:
主机A向服务器A发送TCP数据,
假定每个数据段的长度为500字节。当服务器A成功接收到序列号是M+1499的字节以及之前的所有字节时,会以M+1500作为确认号进行确认。当Seq:M+1500-M+1999传输失败的时候,服务器A没有收到序列号为M+1500的字节,所以主机A会重复发送这一部分的数据。
TCP关闭连接的四次断开
主机在关闭连接之前,要确认收到来自对方的ACK
TCP支持全双工模式传输数据,这意味着同一时刻两个方向都可以进行数据的传输。
TCP通过三次握手建立连接,TCP连接的终止则要经过四次握手。
如上图:主机A要终止连接。
主机A,向服务器A发送了一个标识了FIN,ACK的数据段
序列号为a。确认序列号为b。
FIN就是告诉对方,我要关闭连接了。进入到状态FIN_WAIT_1此时开始不再处理和发送应用层用户的数据。
服务器A回应一个标识了ACK的数据段,序列号为b,确认序列号为a+1
作为对主机A的FIN报文回应
服务器A想终止连接,向主机A发送了一个标识了FIN,ACK的数据段
序列号为b,确认序列号为a+1.
主机A回应了一个标识了ACK的数据段,序列号为a+1,确认序号为b+1,作为服务器A的FIN报文的确认
常见的TCP的服务名与端口号
端口协议说明
21FTP文件传输协议22SSH用于远程管理网络设备的25SMTP简单的邮件传输协议,用于发送邮件53DNS域名解析服务80HTTP超文本传输协议443HTTPS加密的超文本传输协议
UDP
UDP是一种面向无连接的传输协议,传输可靠性没有保证
当应用程序对传输的可靠性要求不高,但对传输速度和延迟要求较高时,可以用UDP协议来代替TCP在传输层数据的转发。
UDP不提供重传机制,占用的资源小,处理效率高
比如语言和视频
ACL访问控制列表
在企业中网络设备进行通信的时候,需要保证数据传输的安全可靠和网络的性能稳定
ACL访问控制列表可以定义一系列不同的规则,设备根据这些规则来对数据包进行分类,并针对不同类型的报文进行不同的处理
ACL的分类
分类编号范围参数
基本ACL2000-2999源IP地址等高级ACL3000-3999源IP地址、目的IP地址、协议、源端口、目的端口二层ACL4000-4999源MAC地址、目的MAC地址、以太帧协议类型
以编号创建ACL
执行命令 system-view,进入系统视图。
执行命令acl [ number ] acl-number,以编号创建一个ACL。
要创建基本ACL,acl-number的取值范围是2000~2999。要创建高级ACL,acl-number的取值范围是3000~3999。要创建二层ACL,acl-number的取值范围是4000~4999。要创建用户自定义ACL,acl-number的取值范围是5000~5999。
[Huawei
]acl 2000
[Huawei-acl-basic-2000
]rule deny
source 192.168.2.1 0.0.0.0
应用acl到接口
[Huawei
]in g0/0/1
[Huawei-GigabitEthernet0/0/1
]traffic-filter inbound acl 2000
创建高级ACL
[Huawei
]acl 3000
[Huawei-acl-adv-3000
]rule deny tcp
source 192.168.2.1 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 80
应用ACL到接口
[Huawei-acl-adv-3000
]in g0/0/1 进入离2.1最近的接口
[Huawei-GigabitEthernet0/0/1
]undo traffic-filter inbound
[Huawei-GigabitEthernet0/0/1
]traffic-filter inbound acl 3000
NAT
Network Address Translation 网络地址转换
作用
通过将内部网络地址转换成全球唯一的公网IP地址,是内部网络可以连接到外部网络上.
NAT的特性
节省公有地址处理地址重叠增加安全性
NAT的缺点
延迟增大配置和维护有一定的复杂性
NAT的实现方式
静态转换Easp IP
静态NAT
静态转换是指将内部网络的私有地址转换为公有地址时
IP地址的关系是一一对应的一个外网地址对应一个内网地址
按拓扑配置ip地址,下面两台pc需要配置网关,外网的pc无需配置网关路由器配置ip
[Huawei
]in g0/0/0
[Huawei-GigabitEthernet0/0/0
]ip add 192.168.2.254 24
[Huawei
]in g0/0/1
[Huawei-GigabitEthernet0/0/1
]ip add 100.0.0.1 8
在路由器使用nat的静态转换技术
[Huawei-GigabitEthernet0/0/1
]nat static global 100.0.0.2 inside 192.168.2.1
使用nat的静态转换,将内部的192.168.2.1在与外网互联时转换成公网地址100.0.0.2,注意此命令需要在路由器的外网接口配置
测试,配置好nat后,使用192.168.2.1已经可以ping通100.0.0.10
pc
> ping 100.0.0.10
Easy IP
Easy IP运行将多个内部地址映射到网关出接口
首先删除之前在路由器配置的静态nat
[Huawei-GigabitEthernet0/0/1
]undo nat static global 100.0.0.2 inside 192.168.2.1
[Huawei-GigabitEthernet0/0/1
]undo nat static global 100.0.0.3 inside 192.168.2.2
确定可以访问公网的内部设备
[Huawei
]acl 2000
[Huawei-acl-basic-2000
]rule permit
source any
配置easy ip
[Huawei-acl-basic-2000
]in g0/0/1
[Huawei-GigabitEthernet0/0/1
]nat outbound 2000
4,测试,所有内外pc都可以使用路由器的g0/0/1的公网ip访问公网设备了
VRRP
VRRP是虚拟路由冗余协议
VRRP能在不改变组网的情况下,将多台路由器虚拟成一个路由器,通过配置虚拟路由器的IP地址为默认网关,实现网关的备份。
可以解决网关备份过程中自动切换设备的问题,提高网络的可靠性
VRRP组成员角色
主路由器(Master)备份路由器(Backup)虚拟路由器(Virtual)
按拓扑配置ip地址,pc1可以暂时使用1.252或者1.253作为网关,另外三层交换机需要在虚拟接口配置ip
路由器配置ip
[Huawei
]in g0/0/02
[Huawei-GigabitEthernet0/0/2
]ip add 192.168.4.254 24
[Huawei-GigabitEthernet0/0/2
]in g0/0/1
[Huawei-GigabitEthernet0/0/1
]ip add 192.168.3.1 24
[Huawei-GigabitEthernet0/0/1
]in g0/0/0
[Huawei-GigabitEthernet0/0/0
]ip add 192.168.2.1 24
三层交换机配置ip,左边是sw1,右边是sw2
[sw1
]in vlan 1
[sw1-Vlanif1
]ip add 192.168.1.252 24
[sw1-Vlanif1
]vlan 2
[sw1-vlan2
]in vlan 2
[sw1-Vlanif2
]ip add 192.168.2.2 24
[sw1-Vlanif2
]in g0/0/2
[sw1-GigabitEthernet0/0/2
]port link-type access
[sw1-GigabitEthernet0/0/2
]port default vlan 2
[sw2
]in vlan 1
[sw2-Vlanif1
]ip add 192.168.1.253 24
[sw2-Vlanif1
]vlan 3
[sw2-vlan3
]in vlan 3
[sw2-Vlanif3
]ip add 192.168.3.2 24
[sw2-Vlanif3
]in g0/0/2
[sw2-GigabitEthernet0/0/2
]port link-type access
[sw2-GigabitEthernet0/0/2
]port default vlan 3
配置动态路由
路由器配置
[Huawei
]ospf
[Huawei-ospf-1
]area 0
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.2.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.3.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.4.0 0.0.0.255
交换机配置
[sw1
]ospf
[sw1-ospf-1
]area 0
[sw1-ospf-1-area-0.0.0.0
]network 192.168.1.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0
]network 192.168.2.0 0.0.0.255
[sw2
]ospf
[sw2-ospf-1
]area 0
[sw2-ospf-1-area-0.0.0.0
]network 192.168.1.0 0.0.0.255
[sw2-ospf-1-area-0.0.0.0
]network 192.168.3.0 0.0.0.255
之后使用 192.168.1.1 ping 192.168.4.1 可以通
在两台三层交换机配置vrrp
[sw1
]in vlan 1
[sw1-Vlanif1
]vrrp vrid 1 virtual-ip 192.168.1.254
[sw1-Vlanif1
]display vrrp brief
[sw2
]in vlan 1
[sw2-Vlanif1
]vrrp vrid 1 virtual-ip 192.168.1.254
[sw2-Vlanif1
]display vrrp brief
[sw1
]in vlan 1
[sw1-Vlanif1
]vrrp vrid 1 priority 105
利用上图改造成如下结构,其中254是虚拟设备的ip
在s3700交换机创建vlan2,并且将e0/0/4口加入vlan2
[Huawei
]vlan 2
[Huawei-vlan2
]in e0/0/4
[Huawei-Ethernet0/0/4
]port link-type access
[Huawei-Ethernet0/0/4
]port default vlan 2
再将s3700的两个连接了三层交换机的接口设置为trunk
[Huawei
]port-group 1
[Huawei-port-group-1
]group-member Ethernet 0/0/1 Ethernet 0/0/2
[Huawei-port-group-1
]port link-type trunk
[Huawei-port-group-1
]port trunk allow-pass vlan all
在三层交换机创建vlan2,配置vlan2的ip,并将连接s3700的接口配置为trunk
[sw1
]vlan 2
[sw1-vlan2
]in vlan 2
[sw1-Vlanif2
]ip add 192.168.2.252 24
[sw1-Vlanif2
]in g0/0/1
[sw1-GigabitEthernet0/0/1
]port link-type trunk
[sw1-GigabitEthernet0/0/1
]port trunk allow-pass vlan all
[sw2
]vlan 2
[sw2-vlan2
]in vlan 2
[sw2-Vlanif2
]ip add 192.168.2.253 24
[sw2-Vlanif2
]in g0/0/1
[sw2-GigabitEthernet0/0/1
]port link-type trunk
[sw2-GigabitEthernet0/0/1
]port trunk allow-pass vlan all
配置两台三层交换机实现vlan2的vrrp功能,并且可以通过修改优先级实现vrrp的负载均衡
[sw1
]in vlan 2
[sw1-Vlanif2
]vrrp vrid 2 virtual-ip 192.168.2.254
[sw2
]in vlan 2
[sw2-Vlanif2
]vrrp vrid 2 virtual-ip 192.168.2.254
然后使用dis vrrp brief 查看结果,应该在每台三层交换机可以看到2个vlan都使用了vrrp
如果出现某台主机是2个vlan的backup,还可以使用修改优先级的命令实现负载均衡
[sw2-Vlanif2
]vrrp vrid 2 priority 105
最后看到是一主一备的状态则成功
综合实验
S3700配置
SW1配置
<Huawei
>system-view
[Huawei
]vlan batch 10 20 30 40
[Huawei
]port-group 1
[Huawei-port-group-1
]group-member Ethernet 0/0/1 to Ethernet 0/0/2
[Huawei-port-group-1
]port link-type trunk
[Huawei-port-group-1
]port trunk allow-pass vlan all
[Huawei-port-group-1
]quit
[Huawei
]interface Ethernet 0/0/5
[Huawei-Ethernet0/0/5
] port link-type access
[Huawei-Ethernet0/0/5
] port default vlan 10
SW2配置
<Huawei
>system-view
[Huawei
]vlan batch 10 20 30 40
[Huawei
]port-group 1
[Huawei-port-group-1
]group-member Ethernet 0/0/1 to Ethernet 0/0/2
[Huawei-port-group-1
]port link-type trunk
[Huawei-port-group-1
]port trunk allow-pass vlan all
[Huawei-port-group-1
]quit
[Huawei
]interface Ethernet 0/0/5
[Huawei-Ethernet0/0/5
] port link-type access
[Huawei-Ethernet0/0/5
] port default vlan 20
SW3配置
<Huawei
>system-view
[Huawei
]vlan batch 10 20 30 40
[Huawei
]port-group 1
[Huawei-port-group-1
]group-member Ethernet 0/0/1 to Ethernet 0/0/2
[Huawei-port-group-1
]port link-type trunk
[Huawei-port-group-1
]port trunk allow-pass vlan all
[Huawei-port-group-1
]quit
[Huawei
]interface Ethernet 0/0/5
[Huawei-Ethernet0/0/5
] port link-type access
[Huawei-Ethernet0/0/5
] port default vlan 30
SW4配置
<Huawei
>system-view
[Huawei
]vlan batch 10 20 30 40
[Huawei
]port-group 1
[Huawei-port-group-1
]group-member Ethernet 0/0/1 to Ethernet 0/0/2
[Huawei-port-group-1
]port link-type trunk
[Huawei-port-group-1
]port trunk allow-pass vlan all
[Huawei-port-group-1
]quit
[Huawei
]interface Ethernet 0/0/5
[Huawei-Ethernet0/0/5
] port link-type access
[Huawei-Ethernet0/0/5
] port default vlan 40
S5700配置
MS1配置
<Huawei
>system-view
[Huawei
]vlan batch 10 20 30 40 50 60
[Huawei
]port-group 1
[Huawei-port-group-1
]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/5
[Huawei-port-group-1
]port link-type trunk
[Huawei-port-group-1
]port trunk allow-pass vlan all
[Huawei-port-group-1
]quit
[Huawei
]interface Vlanif 10
[Huawei-Vlanif10
]ip address 192.168.10.252 24
[Huawei-Vlanif10
]vrrp vrid 1 virtual-ip 192.168.10.254
[Huawei-Vlanif10
]vrrp vrid 1 priority 110
[Huawei
]interface Vlanif 20
[Huawei-Vlanif20
]ip address 192.168.20.252 24
[Huawei-Vlanif20
]vrrp vrid 2 virtual-ip 192.168.20.254
[Huawei-Vlanif20
]vrrp vrid 2 priority 110
[Huawei
]interface Vlanif 30
[Huawei-Vlanif30
]ip address 192.168.30.252 24
[Huawei-Vlanif30
]vrrp vrid 3 virtual-ip 192.168.30.254
[Huawei
]interface Vlanif 40
[Huawei-Vlanif40
]ip address 192.168.40.252 24
[Huawei-Vlanif40
]vrrp vrid 4 virtual-ip 192.168.40.254
[Huawei
]interface Vlanif 50
[Huawei-Vlanif50
]ip address 192.168.50.2 24
[Huawei
]interface GigabitEthernet 0/0/23
[Huawei-GigabitEthernet0/0/23
]port link-type access
[Huawei-GigabitEthernet0/0/23
]port default vlan 50
[Huawei
]interface Vlanif 60
[Huawei-Vlanif60
]ip address 192.168.60.2 24
[Huawei
]interface GigabitEthernet 0/0/24
[Huawei-GigabitEthernet0/0/24
]port link-type access
[Huawei-GigabitEthernet0/0/24
]port default vlan 60
[Huawei
]ospf
[Huawei-ospf-1
]area 0
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.10.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.20.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.30.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.40.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.50.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.60.0 0.0.0.255
MS2配置
<Huawei
>system-view
[Huawei
]vlan batch 10 20 30 40 70 80
[Huawei
]port-group 1
[Huawei-port-group-1
]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/5
[Huawei-port-group-1
]port link-type trunk
[Huawei-port-group-1
]port trunk allow-pass vlan all
[Huawei-port-group-1
]quit
[Huawei
]interface Vlanif 10
[Huawei-Vlanif10
]ip address 192.168.10.253 24
[Huawei-Vlanif10
]vrrp vrid 1 virtual-ip 192.168.10.254
[Huawei
]interface Vlanif 20
[Huawei-Vlanif20
]ip address 192.168.20.253 24
[Huawei-Vlanif20
]vrrp vrid 2 virtual-ip 192.168.20.254
[Huawei
]interface Vlanif 30
[Huawei-Vlanif30
]ip address 192.168.30.253 24
[Huawei-Vlanif30
]vrrp vrid 3 virtual-ip 192.168.30.254
[Huawei-Vlanif20
]vrrp vrid 3 priority 110
[Huawei
]interface Vlanif 40
[Huawei-Vlanif40
]ip address 192.168.40.253 24
[Huawei-Vlanif40
]vrrp vrid 4 virtual-ip 192.168.40.254
[Huawei-Vlanif20
]vrrp vrid 4 priority 110
[Huawei
]interface Vlanif 70
[Huawei-Vlanif70
]ip address 192.168.70.2 24
[Huawei
]interface GigabitEthernet 0/0/23
[Huawei-GigabitEthernet0/0/23
]port link-type access
[Huawei-GigabitEthernet0/0/23
]port default vlan 70
[Huawei
]interface Vlanif 80
[Huawei-Vlanif80
]ip address 192.168.80.2 24
[Huawei
]interface GigabitEthernet 0/0/24
[Huawei-GigabitEthernet0/0/24
]port link-type access
[Huawei-GigabitEthernet0/0/24
]port default vlan 80
[Huawei
]ospf
[Huawei-ospf-1
]area 0
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.10.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.20.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.30.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.40.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.70.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.80.0 0.0.0.255
路由器配置
R1
<Huawei
>system-view
[Huawei
]acl 2000
[Huawei-acl-basic-2000
]rule permit
source any
[Huawei
]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0
]ip address 192.168.50.1 24
[Huawei
]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1
]ip address 192.168.70.1 24
[Huawei
]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2
]ip address 100.0.0.1 8
[Huawei-GigabitEthernet0/0/2
]nat outbound 2000
[Huawei-GigabitEthernet0/0/2
]quit
[Huawei
]ip route-static 0.0.0.0 0 100.0.0.10
[Huawei
]ospf
[Huawei-ospf-1
]default-route-advertise
[Huawei-ospf-1
]area 0
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.50.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.70.0 0.0.0.255
R2
<Huawei
>system-view
[Huawei
]acl 2000
[Huawei-acl-basic-2000
]rule permit
source any
[Huawei
]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0
]ip address 192.168.60.1 24
[Huawei
]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1
]ip address 192.168.80.1 24
[Huawei
]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2
]ip address 100.0.0.2 8
[Huawei-GigabitEthernet0/0/0
]nat outbound 2000
[Huawei-GigabitEthernet0/0/2
]quit
[Huawei
]ip route-static 0.0.0.0 0 100.0.0.10
[Huawei
]ospf
[Huawei-ospf-1
]default-route-advertise
[Huawei-ospf-1
]area 0
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.60.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0
]network 192.168.80.0 0.0.0.255
20200702自习作业
练习:通过相关配置实现全网互通(除服务器)
拓扑需求与步骤参考 1,将所有路由器与交换机按图中标识修改主机名(比如路由为R1,注意全为大写) 2,按图中标识将网络设备的ip地址配好,SW3的G0/0/1接口加入vlan 50 3,SW3需要为vlan10与vlan20配置ip地址,作为PC2与PC3的网关 4,为R1创建新账户root,密码123. 登录此设备时需要该认证 5,在SW4中按需求创建vlan,并将接口加入相应vlan 6,SW3与SW4之间配置中继链路并放行所有vlan的数据 7,在R1与SW3上使用动态路由ospf宣告自身所连接的网段
思考:如何实现仅PC2可以访问Server1 ?
R1配置
<Huawei
>system-view
[Huawei
]sysname R1
[R1
]
[R1
]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0
]ip ad
[R1-GigabitEthernet0/0/0
]ip address 192.168.30.254 24
[R1
]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1
]ip ad
[R1-GigabitEthernet0/0/1
]ip address 192.168.40.254 24
[R1
]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2
]ip address 192.168.50.1 24
[R1
]ospf
[R1-ospf-1
]area 0
[R1-ospf-1-area-0.0.0.0
]network 192.168.30.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0
]network 192.168.40.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0
]network 192.168.50.0 0.0.0.255
[R1
]aaa
[R1-aaa
]local-user root password cipher 123
[R1
]user-interface console 0
[R1-ui-console0
]authentication-mode aaa
Login authentication
Username:root
Password:
-----------------------------------------------------------------------------
User last login information:
-----------------------------------------------------------------------------
Access Type: Serial
IP-Address
: --
Time
: 2020-07-02 11:36:00-08:00
-----------------------------------------------------------------------------
<R1
>save
SW1配置
<Huawei
>system-view
[Huawei
]sysname SW1
[SW1
]
<SW1
>save
SW2配置
<Huawei
>system-view
[Huawei
]sysname SW2
[SW2
]
[SW2
]acl 2000
[SW2-acl-basic-2000
]rule deny
source 192.168.20.0 0.0.0.255
[SW2-acl-basic-2000
]rule deny
source 192.168.30.0 0.0.0.255
[SW2
]interface Ethernet0/0/1
[SW2-Ethernet0/0/1
]traffic-filter inbound acl 2000
[SW2
]acl 2001
[SW2-acl-basic-2001
]rule permit
source 192.168.10.1 0.0.0.0
[SW2-acl-basic-2001
]rule deny
source any
<SW2
>save
SW3配置
<Huawei
>system-view
[Huawei
]sysname SW3
[SW3
]
[SW3
]vlan batch 10 20
[SW3
]interface Vlanif 10
[SW3-Vlanif10
]ip address 192.168.10.254 24
[SW3
]interface Vlanif 20
[SW3-Vlanif20
]ip address 192.168.20.254 24
[SW3
]vlan 50
[SW3-vlan50
]q
[SW3
]interface Vlanif 50
[SW3-Vlanif50
]ip address 192.168.50.2 24
[SW3
]interface GigabitEthernet 0/0/1
[SW3-GigabitEthernet0/0/1
]port link-type access
[SW3-GigabitEthernet0/0/1
]port default vlan 50
[SW3
]interface GigabitEthernet 0/0/2
[SW3-GigabitEthernet0/0/2
]port link-type trunk
[SW3-GigabitEthernet0/0/2
]port trunk allow-pass vlan all
[SW3
]ospf
[SW3-ospf-1
]area 0
[SW3-ospf-1-area-0.0.0.0
]network 192.168.10.0 0.0.0.255
[SW3-ospf-1-area-0.0.0.0
]network 192.168.20.0 0.0.0.255
[SW3-ospf-1-area-0.0.0.0
]network 192.168.50.0 0.0.0.255
<SW3
>save
SW4配置
<Huawei
>system-view
[Huawei
]sysname SW4
[SW4
]
[SW4
]vlan batch 10 20 50
[SW4
]interface Ethernet 0/0/1
[SW4-Ethernet0/0/1
]port link-type trunk
[SW4-Ethernet0/0/1
]port trunk allow-pass vlan all
[SW4
]interface Ethernet 0/0/2
[SW4-Ethernet0/0/2
]port link-type access
[SW4-Ethernet0/0/2
]port default vlan 10
[SW4
]interface Ethernet 0/0/3
[SW4-Ethernet0/0/3
]port link-type access
[SW4-Ethernet0/0/3
]port default vlan 20
<SW4
>save
