文章目錄

• • 物理層（Physic Layer）
  • 數(shù)據(jù)鏈路層（2層 Data Link Layer）
  • • • 1、幀結(jié)構(gòu)：
      • 2、幀格式：
      • 3、工作在數(shù)據(jù)鏈路層的設(shè)備： 交換機(jī)/網(wǎng)卡
      • 4、交換機(jī)基本的工作原理：MAC地址表
      • 5、交換機(jī)的端口：
      • 6、交換機(jī)5大基本工作模式及命令（支持縮寫，思科）
      • 9、快捷鍵
      • 10、交換機(jī)開機(jī)動(dòng)作
  • 網(wǎng)絡(luò)層（3層）
  • • • 1、IP包頭分析
      • 2、路由器
      • 3、路由器基本的原理：路由表，ip協(xié)議
      • 4、路由器的工作原理
      • 5、ARP協(xié)議
      • 6、ICMP協(xié)議
  • VLAN：Virtual LAN（虛擬局域網(wǎng)）
  • HSRP（Hot Standby Router Protocol）
  • ACL
  • NAT(Network Address Translations)

物理層（Physic Layer）

1、設(shè)備（介質(zhì)）：網(wǎng)線/光纖/空氣
2、比特bit
8bit=1Byte
1024B=1KB
1024KB=1MB
1024MB=1GB
1024GB=1TB
1024TB=1PB
3、信號(hào)
電信號(hào)（模擬信號(hào)：抗干擾能力弱：放大器、數(shù)字信號(hào)：抗干擾能力強(qiáng)：中繼器）
光信號(hào)
4、光纖
單模光纖、多模光纖：傳播距離遠(yuǎn)的話單模好一點(diǎn)，近距離兩者差不多
5、網(wǎng)線/雙絞線
5類雙絞線
超5類雙絞線
6類雙絞線：基于超5類增強(qiáng)抗干擾能力
7類雙絞線

T568A：白綠、綠、白橙、藍(lán)、白藍(lán)、橙、白棕、棕
T568B：白橙、橙、白綠、藍(lán)、白藍(lán)、綠、白棕、棕
網(wǎng)線的用途分類：
1）交叉線：一端為A，一端為B。同種設(shè)備（3層及以上的設(shè)備可視為同種設(shè)備）之間使用！
2）直通線：兩端都為A或B（市面上都是B）。異種設(shè)備之間使用！
3）全反線：一端為A，另一端為反A，也稱為console線

數(shù)據(jù)鏈路層（2層 Data Link Layer）

1、幀結(jié)構(gòu)：

2、幀格式：

802.3：有線網(wǎng)卡
802.11：無線網(wǎng)卡

類型：0x0800:IP協(xié)議、0x0806:ARP協(xié)議，長(zhǎng)度：2字節(jié)
作用：識(shí)別上層協(xié)議，為上層提供服務(wù)
MAC地址：全球唯一，長(zhǎng)度：48位，6字節(jié)

3、工作在數(shù)據(jù)鏈路層的設(shè)備： 交換機(jī)/網(wǎng)卡

4、交換機(jī)基本的工作原理：MAC地址表

檢查幀頭，根據(jù)源MAC地址動(dòng)態(tài)的生成MAC地址表，再匹配目標(biāo)MAC地址，如沒有則廣播轉(zhuǎn)發(fā)幀，有則單播轉(zhuǎn)發(fā)
老化時(shí)間：PC1和交換機(jī)1斷開連接，等待300秒后MAC地址表里的數(shù)據(jù)會(huì)自動(dòng)消失
這時(shí)PC2連接到了PC1原來的端口，則交換機(jī)1會(huì)立即更新PC2的綁定記錄

例如：PC1給PC4發(fā)送信息

1）首先將幀由PC1經(jīng)過端口F0/1發(fā)送到交換機(jī)1中
2）交換機(jī)1檢查MAC地址表中沒有這個(gè)記錄，然后將源MAC地址與接口的對(duì)應(yīng)記錄添加到表中并廣播轉(zhuǎn)發(fā)
3）PC2收到之后會(huì)當(dāng)作垃圾丟掉，交換機(jī)2收到后會(huì)檢查自己的MAC地址表，發(fā)現(xiàn)沒有則添加相應(yīng)的記錄并除接收端外廣播轉(zhuǎn)發(fā)
4）PC3收到后會(huì)當(dāng)作垃圾丟掉，PC4則成功收到幀，并進(jìn)行解封裝后收到消息

PC4回復(fù)PC1的消息

1）PC4將幀經(jīng)由F0/1端口發(fā)送到交換機(jī)2
2）交換機(jī)2檢查MAC地址表中沒有源MAC地址這個(gè)記錄，然后將源MAC地址與端口的對(duì)應(yīng)記錄添加到表中并發(fā)現(xiàn)有目標(biāo)MAC地址的記錄，然后將幀經(jīng)F0/2接口單播轉(zhuǎn)發(fā)至交換機(jī)1
3）交換機(jī)1發(fā)現(xiàn)沒有源MAC地址的記錄，然后將相應(yīng)的記錄添加至表中，再檢查到有目標(biāo)MAC地址的記錄，單播轉(zhuǎn)發(fā)至PC1，解封裝后收到信息

5、交換機(jī)的端口：

E:10Mb
F:100Mb
G:1000Mb
Te:10000Mb

F0/1:0是模塊號(hào)，1是端口號(hào)
接口速率自適應(yīng)：1000/100/10Mb自適應(yīng)
速率工作模式可以是1000/100/10任何一種狀態(tài)

端口狀態(tài)：up/down
down的三種可能：
1）人工down掉
2）速率不匹配down掉
3）雙工模式不匹配（雙工duplex）
雙工模式：單工、半雙工、全雙工

6、交換機(jī)5大基本工作模式及命令（支持縮寫，思科）

第一次配置網(wǎng)絡(luò)設(shè)備，需要使用console線，在pc上需要使用“超級(jí)終端”軟件。

1）用戶模式：
switch>
可以查看交換機(jī)的基本簡(jiǎn)單信息，但不能做任何修改配置！

2）特權(quán)模式：用戶模式輸入命令enable簡(jiǎn)化---->en命令進(jìn)入特權(quán)模式
switch#
可以查看交換機(jī)的所有配置，不能修改配置，但是可以做測(cè)試、保存、初始化等操作

reload:重啟，內(nèi)存中的數(shù)據(jù)都會(huì)丟失
show:查看，例如show mac-address-table:查看MAC地址表，show ip interface brief:查看接口狀態(tài)列表
write|cpoy running-config startup-config:將設(shè)置保存到硬盤
erase startup-config:清空配置文件
特權(quán)模式的命令前面加do后都可以在其他模式使用，但是不能自動(dòng)補(bǔ)全了

3）全局配置模式：特權(quán)模式下輸入configure terminal簡(jiǎn)化---->conf t進(jìn)入全局配置模式
switch(config)#
默認(rèn)不能查看配置，可以修改配置，且全局生效！

hostname 新用戶名：修改用戶名，立即生效
enable password 新密碼|enable secret 新密碼：設(shè)置明文/密文（在running-config文件中是否加密）特權(quán)密碼，兩個(gè)同時(shí)配置明文密碼失效
no ip domain-lookup:關(guān)閉自動(dòng)解析功能
ip defalut-gateway ip:配置網(wǎng)關(guān)
line vty 0 4:全局配置模式中，進(jìn)入虛擬終端，開啟遠(yuǎn)程控制，默認(rèn)打開23（telnet），可以有4個(gè)同時(shí)控制
int vlan 1:全局配置模式下，進(jìn)入虛擬端口，配置遠(yuǎn)程控制telnet，可以給這個(gè)端口（有一臺(tái)虛擬pc）配IP，然后就可以同網(wǎng)段遠(yuǎn)程管理了，跨網(wǎng)段的話還需要配置網(wǎng)關(guān)

4）接口配置模式：全局配置模式下輸入interface 接口名簡(jiǎn)化---->int 接口名進(jìn)入接口模式
switch(config-if)#
默認(rèn)不能查看配置，可以修改配置，且對(duì)該接口生效！

exit:退出一級(jí)
end:直接退到特權(quán)模式
shutdown:手工關(guān)閉接口
no 以前配置的命令:刪除這條命令，在哪模式配的在哪刪
ip address ip 子網(wǎng)掩碼：為3層端口配IP（只有3層及3層以上的設(shè)備才有IP地址，另外3層設(shè)備的端口默認(rèn)是人工關(guān)閉的，需要手動(dòng)開啟no shut，2層設(shè)備的端口默認(rèn)是開啟的）

5）console口/線/控制臺(tái)模式：全局配置模式下輸入line console 0---->line co 0進(jìn)入console口模式
switch(config-line)#
默認(rèn)不能查看配置，可以修改配置，且對(duì)console口生效！

password 密碼：設(shè)置用戶密碼
login：開啟身份驗(yàn)證
exit

7、字母+？可以提示命令
8、Tab補(bǔ)全鍵

9、快捷鍵

ctrl+u：快速刪除光標(biāo)前所有的字符
ctrl+a：快速定位光標(biāo)到行首
ctrl+e：快速定位光標(biāo)到行尾

10、交換機(jī)開機(jī)動(dòng)作

先去硬盤中查找有無startup-config文件，如果沒有，則在內(nèi)存中創(chuàng)建一個(gè)新的running-config文件，如果存在，則復(fù)制到內(nèi)存中并改名為running-config。真正有效的是running-config文件，startup-config文件只是為了保證關(guān)機(jī)不消失。

網(wǎng)絡(luò)層（3層）

1、IP包頭分析

長(zhǎng)度：20（最小）-60字節(jié)

版本（4bit）：表示IPV4或者IPV6
首部長(zhǎng)度（4bit）：單位是4字節(jié)，表示IP包頭的長(zhǎng)度
優(yōu)先級(jí)與服務(wù)類型（8bit）：前3位表示優(yōu)先級(jí)，中間4位表示服務(wù)類型，最后一位沒啟用
總長(zhǎng)度（16bit）：IP包的長(zhǎng)度

IP分片（網(wǎng)絡(luò)層，為了防止DDOS攻擊現(xiàn)在一般在應(yīng)用層進(jìn)行）：一個(gè)幀只能存1500個(gè)字節(jié)的上三層數(shù)據(jù)，所以總長(zhǎng)度超過1500要進(jìn)行分片。分幾片就復(fù)制幾份IP包頭，IP包頭除底下這三個(gè)值（還原的時(shí)候看）不一樣之外，其他都一樣。

標(biāo)識(shí)符（16bit）：標(biāo)識(shí)同一個(gè)報(bào)文內(nèi)的所有分片。
標(biāo)志（3bit）：第一位沒啟用一直是0；第二位是1則代表沒分片，0代表分片；第三位是1則代表不是最后一個(gè)分片，0代表是最后一片。
段偏移量（13bit）：決定分片的先后順序（一般是1480*（n-1），n表示第幾片）。

TTL（8bit）：Time To Live：存活時(shí)間，0-255，防止一個(gè)數(shù)據(jù)包在網(wǎng)絡(luò)上永久的循環(huán)下去（每經(jīng)過一臺(tái)路由器就減一）
協(xié)議號(hào)（8bit）：和類型的作用一樣，用來標(biāo)識(shí)上層封裝的協(xié)議是誰，6是TCP，17是UDP，1是ICMP
首部校驗(yàn)和（16bit）：校驗(yàn)的是IP包頭

原地址（32bit）：IP地址
目標(biāo)地址（32bit）：IP地址

2、路由器

路由：跨越源主機(jī)到目標(biāo)主機(jī)的一個(gè)互聯(lián)網(wǎng)絡(luò)來轉(zhuǎn)發(fā)數(shù)據(jù)包的過程（路由器為IP包選擇路徑的過程）
路由器：擁有路由能力的機(jī)器，作用：連接不同網(wǎng)段的（內(nèi)網(wǎng)與外網(wǎng)）

3、路由器基本的原理：路由表，ip協(xié)議

路由條目存儲(chǔ)的是網(wǎng)段和端口的對(duì)應(yīng)關(guān)系
直連路由條目：配好IP，開啟端口之后就會(huì)自動(dòng)形成，用C表示
靜態(tài)路由條目：手工配置的，用S表示ip route 目標(biāo)網(wǎng)段 子網(wǎng)掩碼 下一跳IP地址
默認(rèn)路由條目：用S*表示，網(wǎng)段和子網(wǎng)掩碼都為0，表示所有網(wǎng)段，適合邊緣路由器ip route 0.0.0.0 0.0.0.0 下一跳IP地址
浮動(dòng)路由條目：作為備用選項(xiàng)，配置管理距離值，優(yōu)先級(jí)低的會(huì)隱藏起來ip route 目標(biāo)網(wǎng)段 子網(wǎng)掩碼 下一跳IP地址 管理距離值
路由表里有相應(yīng)的路由條目才會(huì)進(jìn)行轉(zhuǎn)發(fā)，沒有則丟棄，進(jìn)行反饋

管理距離值：在路由表里C的默認(rèn)值為0，S默認(rèn)為1，S*默認(rèn)為無窮大
優(yōu)先級(jí)和管理距離值成反比

路由器的一些命令

show ip route:特權(quán)模式，查看路由表
ip domain-name 域名：全局模式下，起個(gè)域名（不是真的域名只是叫這個(gè)而已）
crypto key generate rsa 長(zhǎng)度:全局模式下，生成rsa的密鑰對(duì)

line vty 0 4:全局配置模式中，進(jìn)入虛擬終端，開啟遠(yuǎn)程控制，默認(rèn)打開23（telnet），可以有4個(gè)同時(shí)控制
password 新密碼：設(shè)置telnet連接密碼
login:啟用密碼驗(yàn)證
transport input 協(xié)議名:可以切換遠(yuǎn)程控制協(xié)議
login local:啟用本地?cái)?shù)據(jù)庫驗(yàn)證
username xxx password xxx:全局配置模式下，創(chuàng)建用戶名和密碼

4、路由器的工作原理

一個(gè)幀到達(dá)路由，路由器首先檢查目標(biāo)MAC地址是不是自己，如果不是則丟棄，如果是則解封裝，并將IP包送到路由器內(nèi)部

路由器檢查IP包頭中的目標(biāo)IP，并匹配路由表，如果匹配失敗則丟棄并向源IP回饋錯(cuò)誤信息，成功則將IP包路由到出接口

封裝幀，首先將出接口的MAC地址作為源MAC地址封裝，然后檢查ARP緩存表，檢查是否有下一跳MAC地址，如果有，提起并作為目標(biāo)MAC地址封裝到幀中，如果沒有，則發(fā)送ARP廣播請(qǐng)求下一跳的MAC地址，并獲取到對(duì)方的MAC地址，再記錄緩存并封裝幀，再將幀發(fā)送出去

5、ARP協(xié)議

1、廣播與廣播域

• 廣播：將廣播地址作為目的地址的數(shù)據(jù)幀
• 廣播域：網(wǎng)絡(luò)中能接收到同一個(gè)廣播所有節(jié)點(diǎn)的集合（越小越好）

交換機(jī)不能隔離廣播域，路由器可以（圈代表廣播域）

2、MAC廣播地址：FF-FF-FF-FF-FF-FF（所有）
3、IP廣播地址：255.255.255.255（全局廣播）、網(wǎng)段廣播：主機(jī)位為255

4、什么是ARP協(xié)議
ARP：Adress Resolution Protocol：地址解析協(xié)議
作用：在內(nèi)網(wǎng)將已知的IP地址解析成MAC地址

5、ARP原理

• 發(fā)送ARP廣播請(qǐng)求

  • PC1發(fā)送數(shù)據(jù)給PC2，查看緩存沒有PC2的MAC地址，PC1發(fā)送ARP請(qǐng)求消息（廣播）
    ARP報(bào)文內(nèi)容：我是10.1.1.1 我的mac：AA 誰是10.1.1.3 你的mac：？

• 接收ARP單播應(yīng)答

  • 所有主機(jī)收到ARP請(qǐng)求消息，PC2回復(fù)ARP應(yīng)答（單播），其他主機(jī)丟棄

PC1將PC2的MAC保存在緩存中，發(fā)送數(shù)據(jù)

內(nèi)網(wǎng)通信請(qǐng)求的是目標(biāo)主機(jī)的MAC地址，外網(wǎng)通信請(qǐng)求的是網(wǎng)關(guān)（路由器）的MAC地址

ARP報(bào)文：28字節(jié)

Windows系統(tǒng)中的ARP命令：arp -a：查看本機(jī)的ARP緩存表 arp -d：清除ARP緩存 arp -s：ARP綁定Cisco系統(tǒng)中的ARP命令：Router#show arp:查看本機(jī)的ARP緩存表 Router#clear arp-cache:清除ARP緩存 Router(config)#arp ip地址 MAC地址 arpa:ARP綁定

ARP緩存表是后來居上（后響應(yīng)的ARP報(bào)文會(huì)覆蓋原來的數(shù)據(jù)），ARP協(xié)議沒有身份驗(yàn)證機(jī)制，不管是單播還是廣播都會(huì)存進(jìn)緩存中
6、ARP攻擊原理
通過發(fā)送偽造的虛假的ARP廣播或者單播報(bào)文以及虛假偽造的MAC地址來進(jìn)行攻擊
目的：終止通信/斷網(wǎng)，容易被發(fā)現(xiàn)

7、ARP欺騙原理
中間人攻擊
通過發(fā)送偽造的虛假的ARP廣播或者單播報(bào)文和自己的MAC地址來實(shí)現(xiàn)欺騙
目的：監(jiān)聽、竊取、篡改、控制流量，但不中斷通信！

• ARP欺騙主機(jī)
  

• ARP欺騙網(wǎng)關(guān)
  

也可以說是攻擊者通過虛假偽造的ARP報(bào)文對(duì)受害者進(jìn)行ARP緩存投毒

8、ARP攻擊的防御

靜態(tài)ARP綁定：手工雙向綁定
缺點(diǎn)：工作量大！建議用在公司的主要服務(wù)器上

ARP防火墻：以毒攻毒，自動(dòng)綁定網(wǎng)關(guān)靜態(tài)ARP，（主動(dòng)防御）然后一直給網(wǎng)關(guān)發(fā)包
缺點(diǎn)：網(wǎng)關(guān)受不了了，增加網(wǎng)絡(luò)負(fù)擔(dān)，成功率不是100%

硬件級(jí)的防御：
DAI技術(shù)：D：DHCP、AI：ARP檢測(cè)偵察技術(shù)（依賴于DHCP記錄表），將攻擊拍死在萌芽之中
交換機(jī)支持端口做動(dòng)態(tài)ARP綁定（配合DHCP服務(wù)器）或做靜態(tài)綁定

cont fip dhcp snoopingip arp inspect #檢查偵測(cè)

6、ICMP協(xié)議

作用：網(wǎng)絡(luò)探測(cè)與回饋機(jī)制，適用于任何協(xié)議
1.網(wǎng)絡(luò)探測(cè)
2.路由跟蹤 Windows：tracert ip地址、Linux或路由：traceroute ip地址
3.錯(cuò)誤反饋

ICMP封裝格式：

ICMP頭：ICMP類型、代碼
ICMP類型：8代表ping請(qǐng)求、0代表ping應(yīng)答、3代表目標(biāo)主機(jī)不可達(dá)、11代表TTL超時(shí)
代碼：目標(biāo)主機(jī)不可達(dá)時(shí)分類

VLAN：Virtual LAN（虛擬局域網(wǎng)）

廣播的危害:增加網(wǎng)絡(luò)/終端負(fù)擔(dān)，傳播病毒，安全性

如何控制廣播？
控制廣播=隔離廣播域
路由器隔離廣播（物理隔離）:缺點(diǎn)：成本高、不靈活

1、VLAN是干什么的？
采用新的技術(shù)VLAN來控制廣播，VLAN技術(shù)是在交換機(jī)上實(shí)現(xiàn)的，且是通過邏輯隔離劃分的廣播域
不同VLAN之間不能通信，交換機(jī)首先查看是從哪個(gè)端口出來的然后比對(duì)VLAN表看是在哪個(gè)VLAN，然后再根據(jù)MAC地址表轉(zhuǎn)發(fā)，經(jīng)過端口時(shí)會(huì)再次查看VLAN表進(jìn)行比對(duì)，不是同一VLAN則丟棄幀
2、一個(gè)VLAN=一個(gè)廣播域=一個(gè)網(wǎng)段
VLAN是二層技術(shù)
3、VLAN 的類型

• 靜態(tài)VLAN：手工配置，基于端口劃分的VLAN

• 動(dòng)態(tài)VLAN：手工配置，基于MAC地址劃分的VLAN

4、靜態(tài)VLAN命令
每個(gè)交換機(jī)都有默認(rèn)的VLAN1，所有端口默認(rèn)都在VLAN1中

1）創(chuàng)建VLAN： conf tvlan ID,ID,ID-IDname 自定義名稱exit 2）查看VLAN表: enshow vlan brief 3）將端口加入到VLAN： int f0/xswitchport access vlan id

5、Trunk：解決跨交換機(jī)的相同VLAN通信的問題
中繼鏈路：不屬于任何VLAN，同時(shí)允許任何VLAN的數(shù)據(jù)從這里通過
通過在數(shù)據(jù)幀加上標(biāo)簽（交換機(jī)上）來區(qū)分不同VLAN的數(shù)據(jù)

標(biāo)簽：802.1q標(biāo)簽：公有協(xié)議，所有廠家都支持，標(biāo)簽大小4字節(jié)，屬于內(nèi)部標(biāo)簽。

交換機(jī)端口鏈路類型：

接入端口：access，一般連接pc，只能允許某一個(gè)VLAN的數(shù)據(jù)通過

中繼端口：trunk，一般連接其他交換機(jī)，屬于公共端口，允許所有VLAN的數(shù)據(jù)通過

配置trunk命令：

int f0/xswitchport trunk encapsulation dot1q/islswitchport mode trunkexit

6、單臂路由：解決不同VLAN之間無法通信的問題

第一步：配置路由器的接口，3層接口無法設(shè)置trunk

cont f int f0/0.1 #進(jìn)入子接口encapsulation dot1q 10 #設(shè)置只能識(shí)別vlan10這個(gè)標(biāo)簽ip add 10.1.1.254 255.255.255.0 #設(shè)置ip，配置網(wǎng)關(guān)no shutexit int f0/0.2encapsulation dot1q 20ip add 20.1.1.254 255.255.255.0 no shutexit int f0/0 no shut

第二步：將F0/3設(shè)為trunk端口

int f0/3switchport trunk encapsulation dot1qswitchport mode trunkexit

原理：

PC1（左）給PC2（右）發(fā)信息，首先查看是否在同一網(wǎng)段，發(fā)現(xiàn)不是則發(fā)給網(wǎng)關(guān)，發(fā)現(xiàn)沒有網(wǎng)關(guān)的mac地址，則發(fā)送ARP廣播請(qǐng)求網(wǎng)關(guān)的mac地址，得到網(wǎng)關(guān)的mac地址后發(fā)送至交換機(jī)，交換機(jī)查看vlan表發(fā)現(xiàn)是vlan10來的數(shù)據(jù)，然后查看MAC地址表進(jìn)行轉(zhuǎn)發(fā)，經(jīng)過端口F0/3時(shí)加上標(biāo)簽10，f0/0.1收到數(shù)據(jù)后轉(zhuǎn)給f0/0.2,f0/0.2加上標(biāo)簽20后發(fā)往交換機(jī)，交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。

單臂路由缺點(diǎn)：1.網(wǎng)絡(luò)瓶頸、2.容易發(fā)生單點(diǎn)物理故障（所有子接口依賴于總物理接口）、3.vlan間通信的每一個(gè)幀都要進(jìn)行單獨(dú)路由

DHCP中繼
可以讓DHCP廣播包單播轉(zhuǎn)發(fā)給DHCP服務(wù)器
在路由器上配置：哪個(gè)VLAN需要幫助就在哪個(gè)接口上配，只有DHCP服務(wù)器所在的接口不用配

int f0/xip helper-address dhcp服務(wù)器ipexit

在三層路由器上部署DHCP服務(wù)器：

conf tip dhcp excluded-address 10.1.1.1 10.1.1.99 #排除地址池的IPip dhcp pool v10network 10.1.1.0 255.255.255.0defalut-router 10.1.1.254dns-server 40.1.1.1exit

7、三層交換技術(shù)
實(shí)現(xiàn)不同VLAN的通信，代替單臂路由

1）三層交換機(jī)=三層路由器+二層交換機(jī)
2）三層路由引擎可以自由關(guān)閉

conf tip routing #開啟no ip routing #關(guān)閉

3）三層交換機(jī)的優(yōu)點(diǎn)：
與單臂路由相比：解決了網(wǎng)絡(luò)瓶頸問題、解決了單點(diǎn)故障（虛擬接口不再依賴物理接口）、一次路由永久交換

4）三層交換機(jī)上開啟虛接口（配置VLAN的網(wǎng)關(guān)）

int vlan 10 #10代表給VLAN10配網(wǎng)關(guān)ip add 10.1.1.254 255.255.255.0no shutexit

5）二層端口升級(jí)為三層端口,可以連接外網(wǎng)

int f0/xno switchportexit

HSRP（Hot Standby Router Protocol）

HSRP：Cisco私有的協(xié)議
VRRP：公有的協(xié)議
原理都差不多一樣

熱備份路由協(xié)議：實(shí)際上備份的是網(wǎng)關(guān)，在路由器上配置

作用：在一個(gè)網(wǎng)關(guān)出現(xiàn)故障的時(shí)候，可以自動(dòng)的切換到另一個(gè)備份網(wǎng)關(guān)上面，繼續(xù)上網(wǎng)

原理：員工網(wǎng)關(guān)指向虛擬路由器，由虛擬路由器轉(zhuǎn)發(fā)給活躍路由器

兩個(gè)網(wǎng)關(guān)加入同一個(gè)HSRP組：id1-255，無大小之分

加入同一個(gè)組之后在這個(gè)組里會(huì)產(chǎn)生一個(gè)虛擬路由器（也連接到這個(gè)局域網(wǎng)），配置虛擬IP地址standby 1 ip xxxxx

HSRP組里的成員：
虛擬路由器（老大，無優(yōu)先級(jí)）
活躍路由器
備份路由器
其他路由器

HSRP優(yōu)先級(jí)：1-255standby 1 priority 優(yōu)先級(jí)
默認(rèn)為100，越大優(yōu)先級(jí)越高

HSRP組成員通過定時(shí)發(fā)送hello包來交流，默認(rèn)每隔3秒
hello時(shí)間3秒，堅(jiān)持時(shí)間10秒（得不到回信備份路由器就篡位了）

占先權(quán)preempt：不用等堅(jiān)持時(shí)間standby 1 preempt
當(dāng)檢測(cè)不到對(duì)方（路由器網(wǎng)關(guān)接口壞了）或檢測(cè)到對(duì)方優(yōu)先級(jí)比自己低，立即搶占活躍路由的名分。

配置跟蹤track，跟蹤外網(wǎng)的端口狀態(tài)，一旦外網(wǎng)端口down掉就自降優(yōu)先級(jí)！

STP協(xié)議：生成樹協(xié)議
交換機(jī)物理環(huán)路，會(huì)產(chǎn)生廣播風(fēng)暴，STP協(xié)議會(huì)邏輯down掉一個(gè)接口，取消環(huán)路

ACL

Access Control List：訪問控制列表，一種包過濾技術(shù)，基于三層IP包頭的IP地址、四層TCP/UDP頭部的端口號(hào)[5層數(shù)據(jù)]來過濾

ACL在路由器上配置，也可以在防火墻上配置（一般稱為策略）

ACL主要分為兩大類：標(biāo)準(zhǔn)ACL/擴(kuò)展ACL

標(biāo)準(zhǔn)ACL：
表號(hào)：1-99
特點(diǎn)：只能基于源IP對(duì)包進(jìn)行過濾
命令：

創(chuàng)建ACL表： conf taccess-list 表號(hào) permit/deny 源IP或網(wǎng)段 反子網(wǎng)掩碼注釋：反子網(wǎng)掩碼就是將子網(wǎng)掩碼的0和1（二進(jìn)制）倒置，其實(shí)算下來也就是將0和255倒置255.0.0.0---------0.255.255.255255.255.0.0---------0.0.255.255255.255.255.0---------0.0.0.255反子網(wǎng)掩碼的作用：用來匹配，與0對(duì)應(yīng)的需要嚴(yán)格匹配，與1對(duì)應(yīng)的忽略例如：access-list 1 deny 10.1.1.3 0.0.255.255 拒絕所有源IP為10.1開頭的access-list 1 deny 10.1.1.3 0.0.0.0 拒絕所有源IP為10.1.1.3的主機(jī)簡(jiǎn)寫：access-list 1 deny host 10.1.1.3 access-list 1 deny 10.1.1.3 0.0.255.255 拒絕所有人簡(jiǎn)寫：access-list 1 deny any 將ACL表應(yīng)用到接口 int f0/xip access-group in/outexit查看ACL表： show ip access-list 表號(hào)刪除ACL表： no access-list 表號(hào)

擴(kuò)展ACL：
表號(hào)：100-199
特點(diǎn)：可以基于源IP、目標(biāo)IP、端口號(hào)、協(xié)議等對(duì)包進(jìn)行過濾
命令：

創(chuàng)建ACL表： conf tacc 100 permit/deny 協(xié)議 源IP或源網(wǎng)段 反子網(wǎng)掩碼 目標(biāo)IP或目標(biāo)網(wǎng)段 反子網(wǎng)掩碼 [eq 端口號(hào)] 注釋：協(xié)議：TCP/UDP/IP/ICMP

原理：
ACL表必須應(yīng)用到接口的進(jìn)或出的方向才生效！
一個(gè)接口的一個(gè)方向只能有一張ACL表！
進(jìn)還是出方向取決于流量控制總方向
ACL表是嚴(yán)格自上而下檢查每一條，所以要注意書寫順序，越嚴(yán)格就越靠前
每一條是由條件和動(dòng)作（permit允許、deny拒絕）組成，當(dāng)流量沒有滿足某條件，則繼續(xù)檢查下一條

先判斷ACL寫的位置（哪個(gè)路由器的哪個(gè)接口的哪個(gè)方向？？？）
標(biāo)準(zhǔn)ACL盡量寫在靠近目標(biāo)的地方
擴(kuò)展ACL盡量寫在靠近源IP的地方
再考慮如何寫？
首先判斷最終要允許還是拒絕所有，然后將嚴(yán)格的控制寫在前面

一般情況下，標(biāo)準(zhǔn)或擴(kuò)展ACL表一旦編寫好，無法修改或刪除某一條，也無法修改順序，無法在中間添加，只能在最后一條添加新的條目，或者刪了ACL重新寫一個(gè)表

命名ACL：
作用：可以對(duì)標(biāo)準(zhǔn)或者擴(kuò)展ACL進(jìn)行自定義命名
優(yōu)點(diǎn)：自定義命名更加容易辨認(rèn)，也便于記憶，可以任意修改或刪除某一條，也可以往中間插入

conf tip access-list extended(擴(kuò)展)/standard(標(biāo)準(zhǔn)) 自定義名稱 直接進(jìn)入表內(nèi)部（可以進(jìn)入任何表中用名字）內(nèi)部直接從動(dòng)作開始寫刪除是按照標(biāo)號(hào)來的 no 10插入也是，先寫標(biāo)號(hào) ，再?gòu)膭?dòng)作開始寫

NAT(Network Address Translations)

NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換，主要是實(shí)現(xiàn)公私有IP地址的轉(zhuǎn)換，一般是在路由器外網(wǎng)接口或防火墻上來完成，不建議在三層交換機(jī)上配置！
作用：解決ipv4地址嚴(yán)重不夠用了的問題 A B C三類可用

IP地址分為公網(wǎng)IP和私網(wǎng)IP
公網(wǎng)IP只能在公網(wǎng)上使用，私網(wǎng)IP只能在內(nèi)網(wǎng)使用
公網(wǎng)上不允許出現(xiàn)私有IP！！!
私有IP可以重復(fù)在內(nèi)網(wǎng)使用

私有地址范圍：在ABC三類中拿一些出來

1) 10.0.0.0/8 以10開頭的（前8位二進(jìn)制數(shù)字） 2）172.16.0.0/16 - 172.31.0.0/16 以172.16開頭的到172.31開頭的 3）192.168.0.0/16 以192.168開頭的

NAT三大類：
靜態(tài)NAT：公司內(nèi)部服務(wù)器使用，1對(duì)1映射，（靜態(tài)PAT，端口映射技術(shù)，手動(dòng)在NAT地址轉(zhuǎn)換表配置IP和端口的對(duì)應(yīng)）

動(dòng)態(tài)NAT
PAT（Port Adress Translation：端口地址轉(zhuǎn)換也叫端口復(fù)用技術(shù)）
通過端口號(hào)來區(qū)分內(nèi)網(wǎng)不同的人的，路由器自己生成的

命令：

定義內(nèi)外網(wǎng)接口：內(nèi)到外的數(shù)據(jù)：轉(zhuǎn)換源IP、外到內(nèi)的數(shù)據(jù)：轉(zhuǎn)換目標(biāo)IP端口號(hào)范圍：0-65535 int f0/0ip nat inside/outsideexit配置PAT： 定義內(nèi)部地址池： acc 1 permit 192.168.0.0 0.0.255.255 做PAT動(dòng)態(tài)映射： conf tip nat inside source list 1 int f0/1 overlode 做匹配使用配置靜態(tài)端口轉(zhuǎn)換： conf tip nat inside source static tcp 192.168.1.3 80 100.1.1.2 80查看NAT表：sh ip nat translation

總結(jié)

以上是生活随笔為你收集整理的物理层（网线）、数据链路层（交换机）、网络层（IP协议、ARP协议、ICMP协议、路由器）、VLAN（虚拟局域网）、HSRP协议、ACL、NAT的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。