企业网络互联技术
第1次課
Windows活動目錄管理?? ?16課時?? ?8次課
?? ?(1)相關的理論知識點
?? ?(2)綜合實驗
企業網絡互聯技術---是以上學期課程為基礎進行擴展講解的企業中應用廣泛的技術。
?? ?VLAN間通信---基礎知識:VLAN(接口類型、接口對數據幀處理方式)、Trunk鏈路
?? ?STP
?? ?ACL
?? ?NAT
?? ?VRRP
不同的二層網絡之間要進行通信,需要借助3層設備的路由功能來實現。
一個VLAN相當于一個邏輯上的LAN。
(1)VLAN10的PC發出一個Untagged數據幀。
?? ?備注:Untagged表示數據幀未打上VLAN的標簽,標簽內包含VLAN的ID。
(2)該Untagged數據幀進入交換機的access接口后,根據接口的PVID,打上對應的 VLAN tag。該數據幀變為tagged幀。
備注:2層接口與3層接口最明顯的區別是3層接口可以配置IP地址,2層接口不能配置。
路由器接口種類多,但是每種接口數量少。
交換機接口種類少,每類接口數量多。
二層交換機一般沒有電源開關。
VLAN間路由的方案
(1)使用3層路由器的物理接口器實現VLAN間通信
?? ?①VLAN數量越多,需要的物理接口越多。
?? ?②路由器的接口數量少。
?? ?備注:一般生產環境不會使用該方案。但可用于學習理解VLAN間通信的原理。
(2)使用路由器的物理接口的子接口實現VLAN間通信---單臂路由技術
?? ?①路由器子接口是基于物理接口創建的。
?? ??? ?子接口可用的前提是物理接口正常工作。
?? ??? ?用于創建子接口的物理接口必須支持全雙工工作模式。
?? ??? ??? ?半雙工---同一時刻僅能發送或僅能接收。
?? ??? ??? ?全雙工---可同時收發數據。
?? ??? ??? ?單工---僅具備發送功能或僅具備接收功能。
?? ?②路由器和交換機之間的鏈路必須為trunk鏈路。
?? ??? ?交換機接口為Trunk接口
?? ??? ??? ?trunk鏈路
?? ??? ??? ?PVID
?? ??? ??? ?允許哪些VLAN通過該鏈路
?? ??? ?路由器子接口上封裝802.1q協議。
============================================================
第2次課
1、實現VLAN間通信的方案二(單臂路由)存在著問題:
(1)容易出現單點故障---物理接口損壞,導致網絡不通。
(2)容易出現網絡瓶頸,交換機和路由器之間的鏈路容易出現網絡擁塞現象。
2、解決方案:
(1)使用三層交換機取代路由器,可提供更多的接口。---可行,但實際生產環境中不會使用。
(2)使用三層交換機的VLANIF接口實現VLAN間的通信。---是除了單臂路由之外的另一套技術,且應用廣泛。
3、VLANIF接口:
(1)VLANIF接口是一種邏輯接口(看得見、摸不著、但存在)
(2)VLANIF接口支持VLAN tag的添加和剝離,能夠完成VLAN的通信。
(3)VLANIF接口是一種三層接口,支持配置IP地址。
?? ?display ip interface brief?? ?//查看L3接口的簡要信息
?? ?display interface brief?? ?//查看L2和L3接口的簡要信息。
?? ?備注:默認情況下L2接口不支持ip address命令。
?? ?L2/L3接口---缺省情況下為L2接口,可通過命令將其切換為L3接口。
(4)VLANIF接口的存在,依賴于編號相同的VLAN,如果該VLAN不存在,則不存在對應編號的VLANIF接口。
?? ?接口狀態的復習:
?? ??? ?up up?? ??? ?接口正常工作,物理層完好,協議層配置OK。
?? ??? ?up down?? ??? ?接口正常,但暫時沒有工作,因為物理層完好,但是協議層配置不足。
?? ??? ?down down?? ?接口故障,或沒有連接。
?? ??? ?*down down?? ?接口管理性關閉,即管理員使用命令去使能接口。
?? ?①創建VLAN后,對應編號的VLANIF接口仍不存在。
?? ?②當VLAN存在后,使用“interface vlanif 編號”命令,可成功創建與VLAN對應的VLANIF接口。
?? ?③當VLANIF接口創建成功后,如果接口狀態為“down down”狀態,需要將交換機物理接口劃分到對應VLAN,才能讓VLANIF接口狀態變為“up up”或“up down”
(5)VLANIF接口上配置的IP地址為該VLAN成員計算機的網關。
4、使用VLANIF接口實現VLAN間通信的配置
(1)在交換機上創建相關的VLAN。
?? ?vlan 10?? ??? ??? ?創建單個的VLAN,并進入VLAN配置視圖。
?? ?vlan batch 10 20?? ??? ?批量創建VLAN。
(2)將交換機上的接口劃分到各個VLAN中。
?? ?port link-type access?? ?配置接口的鏈路類型為access。
?? ?port default vlan 10?? ??? ?配置access接口的PVID。
(3)在交換機上創建VLANIF接口,并配置IP地址。
?? ?interface vlanif 10?? ??? ?創建VLANIF接口并進入VLANIF接口視圖。
?? ?ip address IP地址 掩碼長度?? ?配置接口的IP地址。
(4)配置PC,并指明網關。
備注:數據在不同VLAN間轉發的過程,實際上與以前講解的不同網絡間通信的過程一致。
?? ?二層封裝的MAC地址每到一處,都會發生變化;
?? ?三層封裝的IP地址,從始至終不會變化。
?? ?
發出:
?? ?SMAC:MAC1
?? ?DMAC:MAC2
?? ?SIP:10.2
?? ?DIP:20.2
到網關VLANIF10
?? ?目的MAC是否是自己接口
?? ??? ?不是,丟棄幀
?? ??? ?是,收下,接封裝
?? ??? ??? ?SIP:10.2
?? ??? ??? ?DIP:20.2
從網關VLANIF10發出:
?? ?重封裝:
?? ??? ?SMAC:MAC2
?? ??? ?DMAC:MAC2?? ??? ??? ?
?? ??? ?SIP:10.2
?? ??? ?DIP:20.2
基礎配置:
system-view?? ??? ?進入系統視圖
sysname 名字?? ??? ?起名字
undo info-center enable?? ?關閉信息中心,防止彈出的信息打斷輸入。
user-interface console 0?? ?進入console線路視圖,用于本地管理設備時使用。
idle-timeout 0 0?? ??? ?設置為永不超時
quit?? ??? ??? ?退出
user-interface vty 0 4?? ?進入vty線路視圖,用于遠程登錄設備時使用。
idle-timeout 0 0
authentication-mode { password | aaa } ?? ?配置驗證模式,目前推薦使用password。
set authentication password { cipher | simple } 密碼?? ?配置密碼,推薦使用cipher。
user privilege level?? ?{級別值}?? ?配置登錄用戶級別
protocol inbound { all | ssh | telnet }?? ?配置允許登錄時使用的協議。?? ?
quit
interface 接口類型 接口編號?? ??? ?//進入接口視圖。
?? ?備注:常見的接口類型如下:
?? ??? ?Ehernet?? ?以太網接口(Eth)
?? ??? ?FastEthernet?? ?快速以太網接口(FE)
?? ??? ?GigabitEthernet?? ?千兆以太網接口(GE)
?? ??? ?LoopBack?? ??? ?回環接口,邏輯接口,一般用于模擬網絡或作為輔助使用。
?? ??? ?VLANIF?? ??? ?與VLAN相關的三層邏輯接口。
?? ??? ?Eth-Trunk?? ?以太網鏈路聚合接口
?? ??? ?serial?? ??? ?廣域網使用的串行接口。?
第3次課
1、報文經過三層轉發時,報文內容有哪些變化?
(1)當報文經過三層轉發時,二層頭部中的源和目的MAC地址會發生變化。
?? ?①源MAC地址變為發出設備的MAC地址
?? ?②目的MAC地址變為下一跳設備的MAC地址
(2)當報文經過三層轉發時,源和目的IP地址保持不變。TTL值每經過一個三層設備,遞減1。
(3)當報文經過三層轉發時,二層頭部中的VLAN Tag不具備。
2、二層接口與三層接口的比較:
(1)是否支持IP地址配置
?? ?①二層接口不支持
?? ?②三層接口支持
(2)是否具備MAC地址
?? ?①二層接口不具備獨立的MAC地址,而是借用設備的MAC地址。---一臺設備上所有的二層接口MAC地址相同。
?? ?②三層接口具有獨立的MAC地址,各不相同。
(3)對數據幀的處理方式
?? ?①二層接口收到數據幀后,要么直接轉發,要么泛洪處理,參考依據為MAC地址表。
?? ?②三層接口收到數據幀后,如果目的MAC地址匹配,則進一步解封轉處理;否則丟棄。
第4次課
1、STP背景(為何使用STP)??? ?
學習生成樹的思維導圖:
?? ?環境:二層網絡----交換機
?? ?單點故障--->使用冗余拓撲--->形成二層環路--->容易造成網絡廣播風暴和MAC地址表漂移,導致網絡擁塞甚至癱瘓--->又要解決單點故障的同時,還要解決二層環路帶來的影響--->使用STP
交換機對于未知單播幀、組播幀和廣播幀都進行泛洪處理。
廣播風暴:被泛洪處理的數據幀在二層環路中不斷循環轉發,且無壽命限制,當數據流增大到一定程度,將導致網絡擁塞。
MAC地址漂移:廣播風暴中循環轉發的幀,因為地址學習的關系,導致MAC地址表表項內容不斷變化,無法穩定。
一個MAC地址只能對應一個接口。
一個接口可對應多個MAC地址。
STP能在提供冗余功能的同時解決二層環路問題。
2、STP的基本原理
(1)環路中的所有交換機啟用STP
(2)交換機之間交換協議報文
(3)交換機進行無環拓撲計算
(4)阻塞環路中某個或某些較差接口,從而消除環路
(5)一旦有效鏈路出現問題,STP重新計算,原先被阻塞的接口重新打開轉發數據。
3、2層和3層網絡解決環路的方法:
(1)2層網絡采用STP解決環路問題
(2)3層網絡采用以下機制解決環路問題:
?? ?①IP報文中的TTL字段
?? ?②動態路由協議
?? ??? ?OSPF----最短路徑優先算法
?? ??? ??? ?以自己為根,計算到所有目的地的最短路徑,形成一個樹狀結構。
?? ??? ?RIP---定義最大跳數、路由毒化、反轉毒殺、抑制計時器、觸發更新。
第5次
1、STP中重要的基本概念
(1)橋ID(網橋ID、BID)
?? ?①BID是STP運行過程中為冗余拓撲中的每個交換機定義的唯一標識符。
?? ?②BID=橋優先級+橋MAC地址
?? ?備注:802.1D標準定義了標準的生成樹協議。
?? ??? ?橋優先級:0-65535,默認為32768。
?? ?③用處:在STP運行過程,BID最小的交換機會成為根橋。
?? ?④BID最小:
?? ??? ?橋優先級最小時,不關注橋MAC地址
?? ??? ?橋優先級相同時,橋MAC地址最小
(2)根橋
?? ?①根橋是STP運行過程中計算出的無環路徑樹的根部。
?? ?②作用:STP拓撲計算過程的參考點。
(3)cost(開銷)
?? ?①cost是反映接口鏈路狀況的一種參考值。
?? ?②cost與接口鏈路帶寬成反比。
?? ?③cost值可以通過命令進行調整。
?? ?④STP計算中關注的不是某條鏈路的cost,而是根路徑開銷(RPC)
(4)Port ID(PID,端口ID)
?? ?①PID是運行了STP的交換機為每個接口分配的唯一標識符。
?? ?②PID=端口優先級+端口ID
?? ??? ?備注:端口ID為系統分配的ID號,與接口標識符無關。
?? ??? ?端口優先級:1-255,默認為128。
?? ?③作用:特定環境中用于STP選舉指定接口。
(5)BPDU(橋協議數據單元)
?? ?①BPDU是STP運行時,交換機相互之間發送的報文。
?? ?②BPDU分為兩種:
?? ??? ?配置BPDU---用于計算和維護ST網絡。
?? ??? ?TCN(拓撲變更通告) BPDU---當網絡拓撲發生變化時,關聯的交換機才會觸發生成該BPDU。
2、配置BPDU的比較原則:
(1)最小的根橋ID(RBID)
(2)最小的RPC
(3)最小的BID
(4)最小的Port ID
3、STP的計算過程
(1)選根橋
?? ?①原則:一個交換網絡中有且僅有一個根橋。
?? ?②方法:網絡中擁有最小BID的交換機。
?? ?③注意事項:根橋角色可被搶占。
?? ?④建議:為了避免根橋角色被強占,提前規劃,并將根橋的優先級設置為0。
(2)選根端口
?? ?①原則:每臺非根交換機上僅有一個根端口。
?? ?②方法:當非根交換機上有多個接口接入網絡時,根接口收到的BPDU中RPC最低。
?? ??? ?如果端口到根橋的RPC相同,則比較上行交換機的BID,最小BID交換機連接的端口是根端口。
?? ??? ?如果上行交換機的BID相同,則比較上行交換機的Port ID,最小Port ID端口連接的端口是根端口。
?? ?③作用:用于接收根橋發送的配置BPDU或其他非根交換機轉發的配置BPDU。
(3)選指定端口
?? ?①原則:每條鏈路上選舉一個指定端口
?? ?②方法:
?? ??? ?先比較端口到根橋的RPC,最小的成為指定端口。
?? ??? ?如果RPC相同,則比較兩端交換機的BID。
?? ??? ?如果BID相同,則比較兩端的PID。---一般該方法用不著。
?? ??? ?備注:根橋上的端口一般都為指定端口。
?? ?③作用:一般用于發送BPDU。
(4)選阻塞端口---基本上不用選舉,即使不是根端口,也不是指定端口的端口就會被阻塞。
4、STP的接口狀態:
(1)disable(禁用)---業務數據和BPDU都不能收發。
(2)blocking(阻塞)---業務數據不收發,BPDU可接收,不會進行MAC地址學習。
(3)listening(偵聽)---業務數據不收發,BPDU可接收,不會進行MAC地址學習。
(4)Learning(學習)---業務數據不可發,BPDU可接收,會進行MAC地址學習。
(5)forwarding(轉發)---業務數據和BPDU都可收發。
5、STP配置
(1)配置STP工作模式
?? ?華為設備缺省為mstp模式。
?? ?stp mode { stp | rstp | mstp }
(2)配置根橋
?? ?該命令可選,但建議在生產環境下為了網絡穩定性,根據網絡規劃手動配置根橋。?? ?
?? ?stp root primary
?? ?備注:該命令將交換機設置為根橋,且橋優先級為0。
(3)配置備份根橋
?? ?該命令可選,當為了實現冗余,可考慮配置備份根橋。
?? ?stp root secondary
?? ?備注:該命令將交換機設置為備份根橋,且橋優先級為4096。如果沒有設置根橋的情況下,不要設置備份根橋。
(4)配置交換機的STP優先級
?? ?stp priority 優先級值
?? ?備注:缺省值為32768。
(5)配置接口路徑開銷標準
?? ?stp pathcost-standard { dot1d-1998 | dot1t | legacy }
?? ?備注:缺省為dot1t
(6)修改接口鏈路開銷
?? ?在接口視圖下,stp cost 開銷值
?? ?備注:一般不建議去修改。或技術不到家的人不要用這條命令。
(7)啟用生成樹功能
?? ?stp enable
?? ?備注:缺省開啟。
第7次課
1、背景:需要一個過濾流量的工具。
2、ACL的介紹:
(1)概念:
?? ?規則的集合
?? ?規則有序排列
?? ?根據規則有允許或拒絕流量通過的處理方式。
?? ??? ?permit---允許
?? ??? ?deny---拒絕
?? ?匹配工具,用于對報文進行匹配或區分(篩選)
(2)應用:----應用廣泛。
?? ?①匹配IP流量
?? ?②在Traffic-filter中被調用
?? ??? ?Traffic---流量
?? ??? ?filter---過濾器
?? ?③在NAT中被調用
?? ??? ?NAT---網絡地址轉換
?? ?④在路由策略中被調用
?? ??? ?路由策略---針對路由實施策略,在后面的學期中會學習。
?? ?⑤在防火墻的策略部署中被調用---第4、5學期會學習防火墻技術。
?? ?⑥在QoS(服務質量)中被調用
3、ACL的原理
(1)ACL的匹配順序
?? ?①自動順序(auto模式)---按照規則的精確度從高到低進行排序和匹配。
?? ??? ?優先匹配最嚴格最細致的規則。
?? ?②配置順序(config模式)---按照規則的編號從小到大進行排序和匹配。
(2)ACL匹配結果
?? ?①首選看規則中是permit還是deny。
?? ?②再看結合的技術的特點和作用。
備注:“允許”是指允許流量通過嗎?
?? ?當ACL應用到流量過濾中時是的。
?? ?當ACL應用到其他技術時,不一定是。
第8次?
1、ACL的組成
(1)每一條規則語句由如下內容構成:
?? ?①規則編號
?? ?②要執行的動作
?? ?③要匹配的條件
(2)在ACL的末尾有一條潛規則(隱含規則)
?? ?rule 4294967294 deny any
?? ?①用戶自定義的規則的編號默認情況下小于隱含規則的編號。
?? ?②隱含規則的作用是拒絕所有,因此一個ACL中至少要有一條允許的規則。
2、規則編號
(1)ACL中一條規則語句具有唯一的編號,取值范圍為0-4294967294,最后一個值被隱含規則使用。
(2)配置ACL規則時,如果不指定規則編號,起始值為5。
?? ?第一條自定義的規則,編號默認為5。
(3)配置ACL規則時,如果不指定規則編號,且不為第一條規則,則默認按步長值5遞增。
?? ?步長值存在的原因是:為了方便的在舊規則之間插入新規則。
?? ??? ?①添加規則時,編號不會自動發生改變。
?? ??? ?②添加規則時,可能因沒有步長值存在時無所用的號碼。
?? ??? ?③如果需要添加,且無位置添加時,需刪除整個ACL,重新配置。
3、通配符---是寫條件時,重要的參考之一。
(1)概念:是32位二進制數構成,其中0和1可以不連續。0表示匹配,1表示隨機分配。
?? ?①匹配表示通配符中0對應的IP地址位上的數值不能變動,必須一樣。
?? ?②隨機分配表示通配符中1對應的IP地址為上的數值可以是0,也可以是1,與原數值無關。
(2)作用:用于配合IP地址,表示一個IP、一個網段、連續或不連續的IP地址范圍。靈活性高。
(3)常見案例:
?? ?0.0.0.0?? ?表示匹配一個IP地址。可以縮寫為0。
?? ?0.0.0.255?? ?表示匹配一個網段。
?? ?0.0.0.254?? ?表示匹配奇數IP地址或偶數IP地址。
?? ??? ?192.168.1.0 0.0.0.254?? ?
?? ??? ?192.168.1.1 0.0.0.254
(4)匹配所有IP地址的寫法:
?? ?0.0.0.0 255.255.255.255?? ?可用any替換
4、ACL的分類與標識
(1)區分不同的ACL可用兩種標識:
?? ?①編號
?? ?②名稱
(2)分類:
?? ?①基于ACL標識方法分為:
?? ??? ?數字型ACL
?? ??? ?命名型ACL
?? ?②基于ACL規則定義的方式分為:
?? ??? ?基本ACL?? ??? ?2000-2999?? ?關注源IP地址
?? ??? ?高級ACL?? ??? ?3000-3999?? ?關注源/目的IP地址、IP協議類型、ICMP類型、源/目的端口號
?? ??? ?二層ACL?? ??? ?4000-4999
?? ??? ?用戶自定義ACL?? ?5000-5999
?? ??? ?用戶ACL?? ??? ?6000-6999
5、ACL的匹配機制
?? ?自上而下逐條匹配
?? ?一旦匹配立即執行
?? ?如無匹配執行潛規則
6、命令語法
(1)基本ACL
?? ?acl number 基本ACL編號
?? ?rule [規則編號] { permit | deny } source 源IP地址 通配符
(2)高級ACL
?? ?acl number 高級ACL編號
?? ?rule [規則編號] { permit | deny } 協議 source 源IP地址 通配符 [源端口] destination 目的IP地址 通配符 [目的端口]
7、ACL匹配位置
(1)入站(inbound)方向---入站方向的ACL對于入站流量先過濾再路由。
?? ?路由的流量比進入接口的流量要少。
(2)出站(outbound)方向---出站方向的ACL對于出站流量而言,先路由再過濾。
備注:接口是入站接口還是出站接口,由流量的方向決定。ACL是入站ACL還是出站ACL由命令決定。
第9次課
1、基本ACL配置命令語法
(1)創建數字型ACL
?? ?acl [number] 基本ACL的編號 [match-order config]
?? ??? ?備注:match---匹配,order---順序,config是指匹配順序模式為config模式。
(2)創建命名型ACL
?? ?acl name ACL的名字 { basic | 基本ACL編號} [match-order config]
?? ??? ?備注:basic---基本,基礎
(3)配置基本ACL規則
?? ?rule [規則編號] { deny | permit } [ source { 源IP地址 通配符 | any } | time-range 時間范圍名稱 ]
2、高級ACL配置命令語法
(1)創建命令類似。
(2)規則的配置:
①當協議不是tcp或udp時:
?? ?rule [規則編號] { permit | deny } 協議 source 源IP地址 通配符 destination 目的IP地址 通配符?
②當協議是tcp或udp時:
?? ?rule [規則編號] { permit | deny } { tcp | udp } destination { 目的IP地址 通配符 | any} destination-port { eq | gt | lt | range } 端口號/端口號范圍 source { 目的IP地址 通配符 | any} destination-port { eq | gt | lt | range } 端口號/端口號范圍
?? ?備注:
?? ??? ?source---源
?? ??? ?destination---目的
?? ??? ?eq---等于
?? ??? ?gt---大于
?? ??? ?lt---小于
?? ??? ?range---范圍
第10次課
一、NAT背景知識
1、IPv4地址因分配不均已經使用地址的設備數量激增出現了IPv4地址耗盡危機(感覺不夠用)。
2、開發新版本IPv6地址,但是從IPv4過渡到IPv6需要一個較長的階段。
3、在過渡階段想解決IPv4地址耗盡危機,有一系列的方法。
(1)將IPv4地址劃分為私有IP和公有IP地址兩大類,私有IP地址可在LAN內部重復利用。
(2)VLSM(可變長子網掩碼)、CIDR(無類域間路由)技術。
4、企業用戶或個人用戶的設備使用私有IP地址,如何訪問公網資源?使用NAT技術,將私有IP轉換為公有IP。
二、NAT技術原理---IP報文改寫技術
1、作用:對IP數據報文中的IP地址(源IP地址、目的IP地址)進行轉換
2、典型應用場景:
(1)針對私網訪問公網時,從內到外的流量,進行轉換,將私有IP地址轉換成公有IP地址。
(2)針對公網用戶訪問私網服務器資源時,從外到內的流量,進行轉換,對IP報文中目的IP地址進行轉換。
3、基本原理
(1)NAT設備在配置了NAT技術后,會形成一個NAT轉換表。
(2)NAT轉換表中每一個表項都為一對地址的映射關系。
4、NAT的優點和缺點:
(1)優點:
?? ?①節省合法的注冊地址(公網IP地址)---節約成本
?? ?②在地址重疊時提供便利的解決方案---能減少維護成本,避免重新編址。
?? ?③提高連接Internet的靈活性。
?? ?④提升了網絡安全性---隱藏內網IP架構。
(2)缺點:
?? ?①會增加網絡延遲,影響網絡性能。
?? ?②影響網絡攻擊時溯源
?? ?③會影響一些其他協議的使用。---NAT和某些技術不能共存。
第11-14次
一、NAT的分類、各類型特點及適用場景
1、靜態NAT
(1)特點:
?? ?①私有IP地址與公有IP地址之間的對應關系為固定的一對一映射關系。
?? ?②支持雙向互訪。
?? ?③地址之間的對應關系為管理員手動指定。
?? ?④一旦配置后,該對應關系將永久保存在NAT映射表中,直到被管理員刪除。
?? ?⑤僅進行IP地址的轉換,不同時轉換端口。
(2)配置思路及命令
?? ?①方式一:直接在接口視圖下配置。
?? ??? ?nat static global {全局地址/公有地址} inside {主機地址/私有地址}
?? ??? ??? ?static---靜態
?? ??? ??? ?global---全局
?? ??? ??? ?inside---內部,是outside的反義詞。
?? ?②方式二:在系統視圖下配置,并在接口視圖下啟用。
?? ??? ?A、配置映射關系
?? ??? ??? ?nat static global 全局地址 inside 主機地址
?? ??? ?B、在接口上應用
?? ??? ??? ?nat static enable
(3)配置案例及分析
?? ?①在內網和外網進行抓包,所看到的現象:
?? ??? ?A、PC ping通了服務器
?? ??? ?B、內網捕獲的IP數據包中源地址為私有地址,目的地址為公有地址。
?? ??? ?C、外網捕獲的IP數據包中源地址變成了指定的公有地址。目的地址不變。
?? ?②在NAT路由器上,查看NAT轉化表
?? ??? ?display nat static
?? ??? ?可看到公有地址和私有地址的一對一映射關系。
?? ??? ?也可看到僅有地址進行轉換,沒有端口進行轉換。
2、動態NAT
(1)特點:
?? ?①私有IP地址與公有IP地址之間的對應關系為一對一映射關系。
?? ??? ?與靜態NAT的不同之處:
?? ??? ??? ?A、一對一的映射關系不固定。
?? ??? ??? ?B、靜態NAT不使用地址池,而動態NAT使用地址池。
?? ?②使用IP地址池來管理所有可用公有地址。
?? ??? ?A、用于形成映射關系的地址被標記“In Use”。
?? ??? ?B、未被用于形成映射關系,或映射關系被解除的地址標記為“Not Use”。
?? ?③地址映射關系剛開始并不存在于NAT映射表中,當流量經過設備時,臨時生成映射關系,并在NAT轉換表中存在一段時間后自動刪除。
?? ??? ?好處:節約公有IP地址資源。
?? ??? ??? ?靜態NAT的固定一對一映射關系,在主機長時間離線或不向外網發送數據時,仍占用公有IP地址資源,會造成公有IP地址資源的浪費。
小結:靜態NAT與動態NAT的區別
?? ??? ??? ?靜態NAT?? ??? ?動態NAT
一對一映射關系是否固定?? ?是?? ??? ?否
是否使用公有IP地址池?? ?否?? ??? ?是
地址映射關系存在的時間?? ?一直?? ??? ?臨時
(2)配置思路及命令
?? ?①創建公有IP地址池
?? ??? ?nat address-group 地址池索引編號 起始地址 結束地址
?? ??? ?備注:定義的IP地址池中的地址,不能隨意,要能路由通信。
?? ??? ?地址池索引編號取值范圍:0-7
?? ?②配置地址轉換的ACL規則---通過ACL規則來定義允許哪些內網網段可進行NAT。
?? ??? ?acl number 基本ACL的編號
?? ??? ?rule permit source 源IP地址 源通配符
?? ??? ?注意:只能使用基本ACL來制定規則。
?? ?③接口視圖下配置帶地址池的NAT outbound---將允許轉換的私有地址和地址池關聯,便于后期生成映射關系。
?? ??? ?nat outbound ACL的編號 address-group 地址組索引編號 no-pat?
?? ??? ?備注:no-pat選項如果添加,表示不進行端口轉換。
(3)配置案例及分析
?? ?①每臺設備在轉換時占用一個公有IP。
?? ?②超出公有地址時的設備,報錯:目標主機不可達。
?? ?③經過觀察,192.168.1.0網段設備ping目標外網服務器時,有時候通,有時候不通。什么原因?
?? ??? ?每臺設備執行ping命令時,一次性依次發5個包,前3個包的IP能被轉換,后面的包因公有地址不足,無法轉換,因此無回復信息。后一臺設備執行ping時,也會出現有的通有的不通的現象,當通的時候,是因為,公有IP被釋放,有可用公有IP。
3、NAPT
(1)特點:
?? ?①解決動態NAT不能節約公網IP地址的問題。---節約公網IP地址資源。
?? ?②私有IP地址和公有IP地址之間是多對一的映射關系。
?? ?③轉換地址的同時,也轉換端口。
擴充知識:端口號的數量
?? ?TCP協議有65536個,UDP協議有65536個。
?? ?取值范圍:0-65535
?? ?分類:
?? ??? ?知名端口:0-1023?? ??? ?早期的一些比較有名,應用廣泛的應用使用這些端口。
?? ??? ?注冊端口:1024-49151?? ?如果在互聯網上正常使用應用軟件功能,需要對應用注冊對應的端口號。
?? ??? ?私有端口:49152-65535?? ?測試、學習的過程中使用。
(2)配置思路及命令
?? ?參考動態NAT,不使用no-pat選項。
(3)配置案例及分析
?? ?使用PC1、PC2、PC3 ping 服務器。
?? ?每臺PC發出的數據包轉換后的IP地址相同。
?? ?不同PC發出的數據包轉換后的IP地址可以不同。
4、Easy-IP
(1)特點:
?? ?①轉換IP地址的同時也會轉換端口。
?? ?②私有IP和公有IP地址之間是多對一的映射關系。
?? ?③不需要地址池。
?? ?④轉換后的公有地址是設備上連接公網的接口的IP地址。
?? ?⑤連接公網的NAT設備接口的地址可以是靜態手動配置,也可以是自動獲取。
Easy-IP與NAPT的區別:
?? ?前者無需地址池,后者需要地址池;
?? ?前者轉換后的地址與接口地址有關,后者轉換后的地址與地址池中的地址有關。
(2)配置思路及命令
?? ?①配置基本ACL定義允許轉換的私有地址。
?? ?②在出接口關聯ACL。
?? ??? ?nat outbound ACL編號
(3)配置案例及分析
?? ?所有設備轉換后的IP地址是NAT設備出接口的IP地址。
?? ?如果更改NAT設備出接口的IP地址,那么轉換后的地址也隨之變化。
5、NAT Server
(1)特點:
?? ?①映射關系是一對一。
?? ?②同時轉換IP地址和端口號。
?? ?③主要用于外網用戶訪問企業內網服務器時使用。
(2)配置思路及命令
?? ?①配置位置:NAT設備的inbound接口配置
?? ?②命令:
?? ??? ?nat server protocol { tcp | udp } global 公有地址 端口 inside 服務器私有IP 端口
(3)配置案例及分析
第15-18次
一、VRRP概述及原理
1、VRRP產生的背景
補充知識:
路由器的特點:
?? ?①接口種類多,接口數量少;
?? ?②每個接口都是單獨廣播域---可用于分割廣播域,每個接口配置的IP屬于不同網段。
交換機的特點:
?? ?①接口種類比較單一,接口數量多;
?? ?②所有接口屬于同一個廣播域---不能用于分割廣播域。
?? ?③接口缺省情況下不支持配置IP地址。
如果在拓撲圖中省略交換機設備,來表示以太網連接可用實心直線表示。
(1)網關(Gateway)---從本網絡前往其他網絡的必經之路。
?? ?①一般情況下,由路由器的接口承擔此角色。
?? ?②交換機的VLANIF接口也可承擔此角色。
?? ?③單臂路由環境下,路由器的子接口也可作為網關。
?? ?備注:如果訪問其他網絡時,PC上并未配置網關IP地址,則無法訪問。如果訪問行為發生在同一個網絡中,此時PC上可以不配置網關IP。
(2)單網關的缺陷:網關出現單點故障后,將導致整個網絡無法對外通信。
?? ?解決方案:采用多網關進行冗余。
(3)多網關存在的問題:
?? ?①網關間IP地址沖突---不同網關配置不同的地址,規劃好即可。
?? ?②主機會頻繁切換網絡出口。
?? ?③切換網關時可能需要手動切換。
?? ?④切換網關時所花費的時間較長。
2、VRRP概述
(1)全稱:虛擬路由器冗余協議。
(2)概念:VRRP是一種能在不改變組網的情況下,將多臺物理路由器虛擬成一個虛擬路由器,通過配置虛擬路由器的IP地址成為默認網關,實現網關備份的技術。
(3)版本:
?? ?VRRPv2(常用)---僅用于IPv4環境
?? ?VRRPv3---可用于IPv4和IPv6環境
(4)報文:只有一種
?? ?advertisement(通告)
?? ?目的IP地址:224.0.0.18?? ?---D類IPv4地址,組播地址
?? ?目的MAC地址:01-00-5e-00-00-12
?? ?協議號:112
3、VRRP基本結構
(1)VRRP路由器---運行了VRRP協議的設備。
(2)VRRP虛擬路由器---是由VRRP路由器虛擬而成,也被稱為VRRP備份組。
(3)Master(主)路由器---是VRRP備份組中的一種角色,承擔報文轉發任務。一個備份組中有且僅有一個。
(4)Backup(備份)路由器---是VRRP備份組中的一種角色,不承擔報文轉發任務。一個備份組中除了Master之外的VRRP路由器都是Backup路由器。當Master路由器故障時,將競選為新的Master。
(5)VRRP優先級(Priority)---用于競選VRRP角色。
?? ?①取值范圍:0-255。
?? ?②缺省值:100
?? ?③備份組內優先級最高的VRRP路由器將成為Master路由器。
?? ?④優先級值為0時,放棄選舉。
?? ?⑤當真實網關IP地址與虛擬路由器的虛擬IP地址相同時,該VRRP路由器成為IP地址擁有者,其優先級值為255,成為Master。
(6)虛擬路由器標識符(VRID)---是虛擬路由器(VRRP備份組)的唯一標識。需要手動指定。
(7)虛擬IP地址---一個虛擬路由器可以有1個或多個虛擬IP地址,由管理員手動指定。
(8)虛擬MAC地址---不是由管理員手動指定,而是系統根據VRID生成。
?? ?00-00-5E-00-01-VRID
?? ?廠商ID(華為00-00-5E)+協議編碼(IPv4:00-01、IPv6:00-02)+VRID(17,11)
4、狀態機---VRRP狀態之間的切換,對于以后排錯是一個比較好的參考依據。?? ??? ?
(1)有3種狀態:
?? ?①Initial(初始)
?? ?②Master(主)
?? ?③Backup(備份)
(2)狀態切換
?? ?①當VRRP路由器剛運行VRRP協議時,為初始狀態。
?? ?②協議啟動后,如果優先級為255,則直接狀態變為Master;如果優先級不為255,則狀態變為Backup。
?? ?③當接收到的VRRP通告報文中Master失效間隔時間超時或優先級值為0,或者收到的VRRP通告報文中的優先級值小于自己的優先級值時,VRRP路由器將狀態變更為Master。
?? ?④當接收到的VRRP通告報文中的優先級值大于自己的優先級值時,狀態將從Master變為Backup。
?? ?⑤如果VRRP協議關閉,則都變為初始狀態。
二、VRRP主備備份工作過程
1、工作過程:
(1)選舉Master路由器
?? ?①VRRP路由器發送VRRP通告信息。
?? ?②VRRP路由器收到通告信息后比較優先級,選擇優先級高的為Master路由器。
?? ?③如果優先級相同,如果網絡中存在Master,則Master不變;如果不存在Master,則比較接口IP地址。接口IP地址較大的成為Master。
(2)狀態維持
?? ?①Master周期性發送VRRP通告。
?? ?②通過VRRP通告通知組內其他成員,Master處于正常工作狀態。
?? ?③如果在Master_down_interval定時器超時的時候,沒有收到Master發送的通告,則認定Master故障,Backup設備將變為Master。
?? ??? ?Master_down_interval=3×Advertisement_interval+Skew_Time
?? ??? ?Skew_Time=(256-Backup設備的優先級值)/256
?? ??? ?單位:秒
?? ??? ?Advertisement_interval=1s
(3)Master通過免費ARP報文,將虛擬路由器MAC地址告知其他設備。
(4)當Master故障后,Backup變成Master,原Master恢復后,進行主備回切,此時原Master如果立即搶占Master角色,將會導致網絡通信中斷。
2、Master上行鏈路故障
(1)上行鏈路故障不影響Master向Backup發送VRRP通告,因此不會進行線路切換。
(2)解決方案:采用VRRP聯動監控功能。
?? ?①監控Master上行鏈路
?? ?②一旦上行鏈路故障,將Master的優先級值下降,讓其低于Backup,讓它們進行角色切換。
三、VRRP負載分擔工作過程
1、VRRP主備備份方式存在的缺點:
(1)Master負載過重。---整個網絡流量都經過Master進行傳輸。
(2)Backup所處鏈路資源未利用上(資源利用率較低)。
2、VRRP負載分擔工作過程:
(1)以相同的VRRP路由器成員組成多個備份組(至少是2個)。
(2)在不同的備份組中Master路由器由不同的VRRP路由器承擔角色。
(3)客戶端設置不同的虛擬IP地址作為網關,實現在不同的鏈路上負載分擔網絡流量。
3、VRRP負載分擔方式的優點:
(1)降低了Master的負擔。
(2)充分利用了鏈路資源。
4、VRRP主備備份和負載分擔方式的比較:
(1)相同點:兩者都具備網關的冗余功能。每個備份組僅有一個Master路由器。
(2)不同點:
?? ?①備份組數量:
?? ??? ?主備備份:1個備份組
?? ??? ?負載分擔:至少2個備份組
?? ?②虛擬IP數量:
?? ??? ?主備備份:1個
?? ??? ?負載分擔:至少2個
?? ?③網關配置:
?? ??? ?主備備份:所有主機使用同一個網關地址
?? ??? ?負載分擔:使用不同的網關地址。
四、VRRP基本配置
(1)VRRP主備備份
?? ?①配置設備基礎信息:主機名、線路、信息中心、IP地址、路由(靜態路由)
?? ?②在VRRP備份組成員路由器網關接口上進行VRRP配置
?? ??? ?A、Master路由器
?? ??? ??? ?vrrp vrid 1 virtual-ip 10.1.1.254
?? ??? ??? ?vrrp vrid 1 priority 150
?? ??? ??? ?vrrp vrid 1 preempt-mode timer delay 20
?? ??? ??? ?vrrp vrid 1 track interface GigabitEthernet 0/0/1 reduced 60
?? ??? ?B、Backup路由器
?? ??? ??? ?vrrp vrid 1 virtual-ip 10.1.1.254
?? ?③在客戶端上將所有主機的網關IP地址設置為虛擬IP地址。
(2)VRRP負載分擔
?? ?①配置設備基礎信息:主機名、線路、信息中心、IP地址、路由(靜態路由)
?? ?②在VRRP備份組成員路由器網關接口上進行VRRP配置
?? ??? ?注意:需要配置兩個或兩個以上的VRRP備份組
?? ?③在客戶端上將主機的網關IP地址設置為對應虛擬IP地址。
注意事項:必須事先規劃好各個路由器的角色、優先級、虛擬IP地址等信息。
第19-21次課?? ?Windows活動目錄管理課程復習
一、活動目錄域環境部署(第1、7章)
1、基礎知識
(1)基本概念:
?? ?目錄服務
?? ?活動目錄
?? ?域
?? ?域控制器
?? ?對象
?? ?屬性
?? ?容器
?? ?OU(組織單元)
?? ?LDAP
?? ?UPN
?? ?DN?? ?cn=,ou=,dc=...?? ??? ?zhangsan ?sales ? yinhe.com
(2)活動目錄與DNS的關系。(3句話)
?? ?密不可分
?? ?記錄、定位
?? ?名稱格式
(3)活動目錄的優點
(4)DC的作用
(5)工作組環境和域環境的區別
?? ?設備地位
?? ?資源管理
(6)客戶端加入域時需要滿足的條件
?? ?客戶端和DC網絡互通
?? ?DNS配置正確
?? ?具有域內管理者權限
2、主域控制器(DC)的部署
(1)部署DC的前提條件:
?? ?具備管理員權限
?? ?操作系統版本---不能是個人版,需要是企業版(Server 、Server R2),除了WEB版
?? ?NTFS文件系統
?? ?靜態IP和子網掩碼
?? ?足夠存儲空間
?? ?DNS輔助
3、額外DC的部署
(1)額外DC的作用(3個)
(2)額外DC部署的條件
?? ?域管理員權限
?? ?與主DC之間網絡通暢
?? ?DNS指向主DC/DNS服務器地址。
4、子域、域林的部署
(1)子域的概念
(2)域林的概念
(3)刪除子域和域林的條件:
將域控制器添加到現有域---創建額外DC時。
將新域添加到現有林---創建子域的時候。
添加新林---創建林中第一臺DC時。
二、對象管理(第2-5章)
1、域用戶和組的管理
(1)賬戶分類
?? ?本地賬戶
?? ?域賬戶:用戶賬戶、組賬戶
(2)域用戶賬戶
?? ?①用途:P33
?? ?②創建方法(5個):
?? ??? ?使用AD用戶和計算機工具
?? ??? ?使用命令:
?? ??? ??? ?net user?? ??? ?CMD---工作組環境和域環境均可使用
?? ??? ??? ?dsadd?? ??? ?CMD---僅域環境中可使用。
?? ??? ??? ?New-ADUser?? ?PowerShell---僅域環境中可使用。
?? ??? ?使用CSVDE導入---文件模板+CSVDE命令工具
?? ??? ?腳本---腳本文件,直接執行
?? ??? ?批處理---可直接輸入命令執行,也可將命令寫在批處理文件內,再執行文件。
?? ??? ?備注:需要額外記住一些常用命令的語法格式。
?? ?③域用戶賬戶屬性:
?? ??? ?登錄時間
?? ??? ?登錄到
?? ??? ?解鎖賬戶
?? ?④登錄方式
?? ??? ?登錄名:?? ?域NETBIOS名稱\用戶名?? ?yinhe\zhangsan
?? ??? ?UPN:用戶名@域名?? ??? ?zhangsan@wh.yinhe.com
?? ?⑤批量導入域用戶的方法:
?? ??? ?使用csvde工具
?? ??? ?使用(第三方)工具---AD Bulk Admin
(3)域組的管理
?? ?①根據組的作用域將域組分為:(3類)
?? ??? ?本地域
?? ??? ?全局域
?? ??? ?通用域
?? ?②根據組類型將域組分為:(2種)
?? ??? ?安全組
?? ??? ?通訊組
?? ?③能被加入到域組的對象有哪些?
?? ??? ?用戶、計算機、聯系人、組
?? ?④通訊組和安全組的區別
?? ??? ?通訊組沒有安全功能,不能被賦予權限。
?? ??? ?安全組有安全功能,可被賦予權限。?? ?
(4)默認情況下,一個普通域用戶可將多少臺客戶端加入到域?
?? ?10臺,委派狀態下
2、漫游用戶
(1)用戶配置文件的類型(4種)及說明
?? ?本地
?? ?漫游
?? ?強制
?? ?臨時
(2)用戶配置文件存儲的位置:
?? ?C:\用戶?? ?C:\users?? ??? ?%systemdrive%
(3)默認情況下,Windows10 客戶端使用V5的用戶配置文件,其擴展名為.V5
(4)漫游的工作原理?? ?P63
(5)單一用戶漫游
?? ?漫游用戶文件夾?? ??? ?用戶名.V5?? ??? ?共享,給權限?? ?
(6)批量用戶漫游
?? ?漫游用戶文件夾?? ?profile\%username%?? ?共享,給profile權限
(7)用戶配置文件的定義和作用
?? ?定義:是指用戶在登錄時系統自動加載的所需環境的設置和文件的集合。
?? ?作用:為用戶提供操作所需的環境。
3、OU(組織單位/組織單元)管理
(1)概念:是一個特殊的容器對象。用于組織管理域中的對象,將其組成對象邏輯組,簡化管理。
(2)OU中可包含的對象有哪些:
?? ?用戶、計算機、工作組、打印機、應用程序、安全策略、文件共享、其他OU
(3)域中管理體系的三層結構:
?? ?①域
?? ?②默認容器:容器、OU
?? ?③域對象
(4)默認容器及其作用?? ?P77
(5)其他容器相關知識
?? ?①默認容器(非OU)中不能創建OU。
?? ?②域級別能夠創建OU,OU中可創建其他OU。
(6)OU的設計方式:
?? ?①基于部門
?? ?②基于地理位置
?? ?③基于對象類型
(7)OU與組的區別
?? ?①相同點---域中的容器對象。都能進行組織管理。
?? ?②不同點
?? ??? ?OU體現管理模型,組是權限的集合。
?? ??? ?對象可同時隸屬于不同的組,但不能同時隸屬于不同OU。
(8)“防止容器被意外刪除”選項的作用:防止誤操作導致意外刪除OU。
(9)OU委派控制
?? ?①優點:降低管理員工作負擔,提高工作效率。
?? ?②注意事項:
?? ??? ?域管理員權限
?? ??? ?規劃好委派對象,以及委派任務內容。
4、組策略管理
(1)概念:是管理員為計算機和用戶定義的,用于控制應用程序、系統設置和管理模板的一種機制(工具)。
(2)分類:
?? ?①本地組策略---只能在本地生效
?? ?②域組策略---域中生效
(3)優點:
?? ?①減少管理成本。
?? ?②減少配置錯誤發生的可能性。
?? ?③個性化/定制化---針對特定對象實施特定策略。
(4)GPO(組策略對象)
?? ?①也是域中的對象之一。
?? ?②GPO必須與站點、域、OU中的一個關聯,才能產生效果。
?? ?③GPO與容器之間必須鏈接,才能讓其中包含的組策略生效。
?? ?④默認GPO有兩個:
?? ??? ?默認域策略?? ?Default Domain Policy
?? ??? ?默認域控制器策略?? ?Default Domain Controllers Policy
(5)組策略的生效時間:
?? ?①用戶配置
?? ??? ?用戶登錄時自動應用。
?? ??? ?手動強制刷新時立即生效。
?? ??? ?已登錄:
?? ??? ??? ?默認應用周期:90-120min/次
?? ??? ??? ?安全性配置策略:16h/次
?? ?②計算機配置
?? ??? ?開機啟動時自動應用。
?? ??? ?手動強制刷新時立即生效。
?? ??? ?已啟動:
?? ??? ??? ?默認應用周期:
?? ??? ??? ??? ?DC:5min/次
?? ??? ??? ??? ?非DC:90-120min/次
?? ??? ??? ?安全性配置策略:16h/次
備注:手動強制刷新命令:?? ?gpupdate /force
(6)刪除GPO和刪除GPO鏈接的區別:
?? ?刪除GPO實際上就是刪除了策略。
?? ?刪除GPO鏈接實際上未刪除策略,只是去除了GPO與容器之間的關聯。
(7)組策略的應用規則:
?? ?①繼承---默認情況下,下層容器繼承上層容器的GPO。
?? ?②阻止繼承---子容器可阻止繼承上層容器的GPO。
?? ?③累加---如果容器的多個組策略設置不沖突,則最終有效策略為所有組策略的累加。
?? ?④沖突---如果容器的多個組策略設置有沖突,則按如下順序應用:LSDOU---本地、站點、域、組織單元
?? ?⑤默認情況下,策略沖突時,后應用的策略覆蓋前面的。
?? ?⑥如果子容器關聯的策略與上層的沖突,或子容器阻止繼承上層容器的GPO,如果想要讓上層容器的GPO中的策略生效,可設置強制生效。
三、活動目錄災難恢復(第6章)
1、原因:容錯,并防止誤操作導致的AD數據庫數據丟失。
2、AD數據庫文件默認存放的位置:?? ?%systemroot%\NTDS?? ?C:\Windows\NTDS
3、備份方式:
(1)手動備份---一次性備份
(2)自動備份---備份計劃
4、還原AD的方法:
(1)非授權還原---適用于以下兩種環境:
?? ?①獨立DC上還原數據;
?? ?②有多臺DC且進行了數據同步,但對數據的丟失能夠接受。
(2)授權還原---不能接受數據的丟失。
5、其他:
(1)還原DC的系統狀態一定要在目錄服務修復模式下進行。
(2)進入目錄服務修復模式的方法:
?? ?①設置--->更新和安全--->恢復--->立即重啟--->疑難解答--->高級選項--->啟動設置--->重啟
?? ?②選擇目錄服務修復模式--->輸入用戶名:.\administrator--->輸入密碼:目錄服務還原模式密碼
?? ??? ?備注:輸入的不是管理員administrator的密碼,也不是域管理員administrator的密碼。
(3)使用ntdsutil工具
(4)AD回收站的作用:用來快速還原被誤刪除的AD對象,避免從備份恢復時的繁瑣操作。最大限度地縮短目錄服務中斷時間。
第22-24次課?? ?企業網絡互聯技術復習
一、前置回顧內容:計算機網絡技術
1、第5章 交換機的工作原理及配置----交換機的工作原理
(1)地址學習
(2)轉發過濾
(3)環路避免---本課程的STP與之相關。
2、第11章 VLAN
(1)端口類型
(2)鏈路類型
(3)不同類型的端口在收發數據時如何處理數據幀---添加和去除VLAN Tag
(4)VLAN Trunk鏈路---要和第12章節的Eth-Trunk區分開。
(5)基本配置
?? ?①創建VLAN
?? ?②接口劃分
3、第12章 Eth-Trunk?? ?
(1)是一個應用較為廣泛的冗余(可靠性)技術。
(2)本門課程學習過程中某些網絡環境下可能用到該技術。
二、VLAN間通信
1、學習該知識的原因:
(1)廣播域越多越好,且為了提升網絡的安全性、靈活性等特點,劃分VLAN。
(2)劃分VLAN后,不同VLAN之間需要通信。
2、實現VLAN間通信的技術方案:---需要三層功能
(1)使用路由器的物理接口
?? ?一個VLAN連接到一個物理接口
(2)使用路由器物理接口的子接口(單臂路由技術)---如果要節約成本,且要求不高的時候可考慮該方案。
?? ?使用一個物理接口。
?? ?每個VLAN關聯一個子接口。
(3)使用多層交換機的SVI(交換虛擬接口)---VLANIF---實際應用中推薦大家使用該方案。
?? ?VLANIF接口與物理接口、子接口配置好后,都被視為直連網絡。
3、路由器物理接口的子接口相關配置
(1)創建子接口
(2)子接口終結配置
?? ?協議:dot1q(802.1Q)
?? ?命令格式
?? ?ARP廣播功能啟用
4、使用VLANIF接口時需要注意的地方
(1)VLANIF接口對應的VLAN必須存在。
(2)VLANIF接口對應的VLAN中至少存在一個物理接口,才能up up。
三、生成樹
1、學習的原因:
(1)在實現冗余的同時避免二層環路帶來的危害,需要用到STP。
?? ?廣播風暴、MAC地址表漂移(震蕩)
(2)學習理解了STP運行的原理后,能對被阻塞的接口進行掌控,從而實現數據流轉發路徑的控制。
2、STP基本概念
(1)BID
?? ?①中文全稱
?? ?②作用
?? ?③組成
?? ?④網橋優先級取值范圍及默認值
(2)根橋
(3)Cost(開銷值)
?? ?①與帶寬成反比
?? ?②有哪些標準:802.1d-1998、802.1t、legacy
(4)RPC(根路徑開銷)
(5)Port ID
?? ?①作用
?? ?②組成
?? ?③端口優先級取值范圍及默認值。
(6)BPDU
?? ?①中文全稱
?? ?②作用
?? ?③分類:配置、拓撲變更通告
?? ?④BPDU報文結構中重要的字段:計時器
3、STP的選舉過程
(1)選根橋
(2)選根端口
(3)選指定端口
(4)選Alternate(預備)端口
4、選舉標準:
(1)每個網絡有且僅有一個根橋
(2)每臺非根交換機上僅有一個根端口
(3)每段鏈路上僅有一個指定端口
5、選舉的依據:
(1)根橋選舉:最小的BID
(2)根端口選舉
?? ?①RPC最小。
?? ?②上行交換機的BID最小。
?? ?③上行交換機的PID最小。
?? ?④本地交換機PID最小。
(3)指定端口選舉
?? ?①RPC最小
?? ?②鏈路兩端的BID最小
?? ?③鏈路兩端的PID最小
(4)預備端口選舉:除了根端口和指定端口之外的端口就是預備端口。
6、端口角色(Role):
(1)根端口?? ?ROOT
(2)指定端口?? ?DESI
(3)預備端口?? ?ALTE
7、端口狀態(State):
(1)轉發?? ??? ?Forwarding
(2)學習?? ??? ?Learning
(3)偵聽?? ??? ?Listening
(4)阻塞?? ??? ?Blocking
(5)禁用?? ??? ?Discarding
8、計時器
(1)Message Age(消息壽命)---每經過一個交換機,該值累加1,最大值為20。
(2)Max age(最大壽命)---20s
(3)Forward Delay(轉發延遲)---15s
(4)Hello Time(發送BPDU的時間間隔)---2s
9、配置命令:
(1)配置STP模式:
?? ?stp mode { stp | rstp | mstp }?? ??? ?//默認是mstp。
(2)配置STP優先級和接口優先級:
?? ?stp priority 優先級值
(3)STP功能開關
?? ?[ undo ] stp enable
四、ACL
1、學習的原因:
(1)流量過濾的需求
(2)結合其他技術,實現控制網絡訪問行為、防止網絡攻擊和提升網絡帶寬利用率等目的。
2、ACL的組成:
(1)ACL編號
(2)規則
(3)規則編號:
?? ?①步長值:默認為5。
?? ?②步長值的作用:便于規則的插入。
(4)動作:
?? ?①允許:permit
?? ?②拒絕:deny
(5)匹配項(匹配條件)
3、通配符(理解用法,如何書寫)
4、ACL的標識:
(1)數字編號
(2)名稱
5、ACL分類:
(1)根據ACL的標識:
?? ?①數字型ACL
?? ?②命名型ACL
(2)根據ACL的規則定義方式
?? ?①基本的ACL:2000-2999
?? ?②高級的ACL:3000-3999
?? ?③二層ACL
?? ?④用戶自定義ACL
?? ?⑤用戶ACL
6、匹配順序:
(1)自動排序?? ?auto模式?? ??? ?按規則的精度進行排序。
(2)配置模式?? ?config模式?? ?按ACL規則編號進行排序。
7、ACL的匹配
?? ?自上而下逐條匹配,一旦匹配立即執行,沒有匹配,執行潛規則。
8、ACL的配置語法:
(1)基本ACL關注源IP地址
(2)高級ACL關注源IP地址、目的IP地址、源端口號、目的端口號、協議。
五、NAT
六、VRRP
?
總結
- 上一篇: 常用xsl符号
- 下一篇: Latex排版论文常见问题