# 静态路由配置
当不同网段进行跨网段通信时,可以用静态路由配置,但另一端也需同样配置。
ip route-static 192.168.1.0 24 192.168.2.1
ip route-static [目的网络地址] [子网掩码] [下一跳地址/出接口] [优先级] [preference] [tag] [description]
display ip routing-table //查看所有路由器
display ip routing-table protocol static //仅查看静态路由
- 在点对点p2p中,最优必选方式就是直接指定出接口
- 在这种链路中,二层特性为:链路两端只有两个设备,无需二层寻址需求(无需max地址、arp)
- 而在广播型链路(如以太网)直接指定出接口,可能会有缺陷,需要配合下一跳使用
- 二层特性为:链路中有多个设备,多对端,需要二层寻址(ARP解析MAC)
- 也可以通过配置浮动静态路由的优先级来实现备份
主路由(下一跳10.0.0.2,默认优先级60)
[Huawei] ip route-static 192.168.4.0 255.255.255.0 10.0.0.2
备份路由(优先级80,主路由失效时生效)
[Huawei] ip route-static 192.168.4.0 255.255.255.0 10.0.0.3 preference 80
# TCP UDP CDN
TCP 特点:可靠性高、完整性要求高、延迟不敏感
UDP 特点:速度高、不可靠、延迟敏感
CDN 特点:就近分发、加速访问、降本稳服、高可用
# vlan
# 二层 vlan
vlan 虚拟局域网特点:逻辑分区、隔离安全、灵活组网。
vlan 1 //创建vlan
vlan batch 10 to 20 //创建连续vlan
vlan batch 10 30 50 //创建不连续vlan
dis vlan //查看vlan信息
port default vlan 10 // 将某接口划分到vlan 10下
- 连接终端设备采用 Access 模式
- 连接交换机路由器等相同类型网络设备采用 Trunk 模式
- 需要灵活控制vlan进出采用 Hybrid port 混合端口模式
- 运营商骨干、跨局域网透传vlan需要给vlan套一层外层标签避免vlan id冲突采用 dot1q-tunnel模式
- vlan隔离隔的是故障,连通是连的正常通信
# 三层 vlan
三层交换机拥有网络层,具备路由转发功能,既可以隔离也可以通信
int vlanif 10
ip add x.x.x.x 掩码
# 单臂路由
创建子接口来进行路由转发
int g0/0/0.10 //子接口1
int g0/0/0.20 //子接口2
dot1q termination vid 10 //封装802.1Q协议,绑定vlan10
Ip add 192.168.10.1 24 //配置子接口1 的IP,即为vlan10 的网关
arp broadcast enable //开启arp广播,没有开启arp广播则无法通信
int g0/0/0.20
dot1q termination vid 20
ip add xxxx xx // vlan20 的网关
arp broadcast enable
ARP作用就是解析某一个IP对应的MAC信息
# ACL控制
ACL其实就是创建一个访问控制规则,接着来调用这个规则来使用。
acl name xxxx
INTEGER<2000-2999> Basic access-list(add to current using rules)
INTEGER<3000-3999> Advanced access-list(add to current using rules)
INTEGER<4000-4999> Specify a L2 acl group
INTEGER<5000-5999> User defined access-list
advance Advanced ACL
basic Basic ACL
link Link ACL
user User ACL
# Basic ACL 基础ACL 2000-2999
rule xx编号 deny / permit source 1.1.1.1 0.0.0.0 //在这里0.0.0.0 作为反掩码用于精准匹配单个IP
rule xx permit source any // 允许其他ip流量通过(必加,否则默认拒绝所有)
(rule + 编号 + permit/deny + 源IP)
# 高级ACL 3000-3999
acl 3000
rule 10 deny tcp source 1.1.1.1 0.0.0.255 destination 2.2.2.2 0.0.0.0 destination-port eq 21 //添加规则编号10拒绝内网1.1.1.1/24 访问外网2.2.2.2的FTP21 端口服务
rule 20 permit ip source 3.3.3.3 0.0.0.255 destination any //允许该ip段访问所有外网服务
- 在这条规则中,TCP指定拦截的协议(还可以选择TCP、UDP、ICMP、IP)
- destination-port eq 21 匹配目标端口21,这里eq为等于、gt为大于、lt为小于
- 0.0.0.255 反掩码用于匹配目标网段处于 24段
# 二层ACL 4000-4999
二层ACL用于过滤MAC和Vlan
acl 4000
rule 10 deny source-mac 00e0-fc12-3456
rule 20 permit souce-mac any // 允许其他mac通过(必加,否则默认拒绝所有)
# ACL绑定接口应用
ACL创建后需要绑定到接口的方向当中,其中入方向为in 出方向为out。
- 遵循高级ACL靠近目标,基础ACL靠近源
int g0/0/1
traffic-filter inbound acl 3000
display acl 3000 //检查acl配置是否正常
display traffic-filter int g0/0/1 //检查ACL应用状态
save //以防重启丢失保存
- inbound 过滤接口进入设备的流量,如外网口过滤内网出网流量
- outbound 过滤从设备出接口的流量
# ACL注意事项
- 规则顺序:ACL规则自上而下匹配,一旦匹配就会停止执行,所以精准ACL规则需要在前,宽泛ALC规则在后
- 默认规则:所有ACL最后都需要有一条隐含拒绝所有规则,必须手动添加permit any 允许除acl deny之外的合法流量
- 方向选择:比如在内网禁止访问外网的FTP,ACL应用在路由器内网出方向或外网入方向,优先选择外网入方向,这样减少无用流量转发。
- 高级ACL别配错:高级ACL若应用在源设备侧,可能会导致其他流量被错误拦截,建议靠近目标设备应用。
- ACL--》加规则---》绑接口
- 基础ACL控源ip,高级ACL控IP +协议 + 端口,二层ACL控MAC/Vlan
- 规则顺和方向是生效关键,默认拒绝所有需手动允许的合法流量
# 反掩码匹配规则
| 二进制位 | 反掩码含义 | 子网掩码含义 |
|---|---|---|
| 0 | 必须精准匹配(固定位) | 网络位(固定位) |
| 1 | 可以任意(忽略位) | 主机位(可变位) |
主要用于告诉设备那些需要精准匹配那些可以忽略。
# 精准匹配
例如:需要精准匹配 192.168.1.100
子网验配匹配单个IP:255.255.255.255 所有位都固定
反掩码则为:255.255.255.255 - 255.255.255.255 = 0.0.0.0
ACL写法则为:source 192.168.1.100 0.0.0.0
这里含义为ip这四个段一个都不能有差异,需完全匹配
# 网段匹配
例如:需要匹配 192.168.1.0/24 网段 192.168.1.100~192.168.1.254
子网掩码:255.255.255.0 前三段都固定
反掩码则为:255.255.255.255 - 255.255.255.0 = 0.0.0.255
ACL则:source 192.168.1.0 0.0.0.255
# 进阶某段固定匹配
例如:需要匹配192.168.0.0/16 网段:192.168.x.x
子网掩码:255.255.0.0
反掩码则为:255.255.255.255 - 255.255.0.0 = 0.0.255.255
ACL则:source 192.168.0.0 0.0.255.255
| 对比项 | 子网掩码 | 反掩码 |
|---|---|---|
| 目的 | 划分网络位 / 主机位 | 告诉 ACL 哪些 IP 位要匹配 |
| 1 的含义 | 网络位(固定) | 忽略位(随便) |
| 0 的含义 | 主机位(可变) | 匹配位(必须一样) |
| 计算方式 | 网络位设 1,主机位设 0 | 匹配位设 0,忽略位设 1 |
# NAT
NAT就是网络地址转换,将内网私有IP转换成公网公有IP,让多台内网设备共用一个公网IP上网,还能隐藏内网IP、节省公网IP资源。
- A 类:10.0.0.0 ~ 10.255.255.255(子网掩码 255.0.0.0)
- B 类:172.16.0.0 ~ 172.31.255.255(子网掩码 255.240.0.0)
- C 类:192.168.0.0 ~ 192.168.255.255(子网掩码 255.255.0.0)
这些 IP 不能直接访问公网,必须通过 NAT 转换为公网 IP 才行
# 缺省路由
IP routing-table 0.0.0.0 0.0.0.0 下一跳地址
特点:没有明确匹配路由时,数据统一转发的 兜底路径
# NAT应用
# easy IP
acl 2000
rule permit source 192.168.1.0 0.0.0.255
假设出接口 g0/0/0
int g0/0/0
nat outbound 2000 //从这个口出去的流量自动做nat转换,但是还缺少路
ip route-static 0.0.0.0 0.0.0.0 外网网关IP //这就是路,nat只是创建了门
当没有路由的时候(直连路由、动态路由、其他静态路由)则需要配置”路“则缺省路由告诉设备怎么去外网
路由表里没有任何去往外网的路由时,才需要缺省路由兜底
# 地址池NAT
acl 2000
rule permit source 192.168.1.0 0.0.0.255
nat address-group 1 (编号) 200.1.1.10 200.1.1.20 //创建1号地址池 200.1.1.0~200.1.1.20
int g0/0/0
nat outbound 2000 address-group 1 // 从出网接口出去的地址经nat地址池连接外网
- address-group 1:准备一堆公网 IP
- acl 2000:准备一堆内网 IP
- nat outbound 2000 address-group 1:内网 → 公网,转换完成
nat address-group 1 起始IP 结束IP
acl 2000 rule permit source 内网网段 反掩码
interface 出口
nat outbound 2000 address-group 1
# NAT Server
作用:让外网能访问内网的服务器,如摄像头、网站、游戏服务器等
int g0/0/0
nat server protocol tcp global 64.1.1.4 www inside 192.168.1.10 www
global 全局外网ip、inside内网、www则为网页意思就是端口80
nat server global 64.1.1.4 inside 192.168.1.10 // 也可以直接转换不指定协议和端口
# 静态NAT
作用:一个内网IP永久对应一个公网IP,永不变
nat static global 64.1.1.10 inside 192.168.1.10
当内网服务器需要固定公网ip时使用,不能变也不能和其他人共用
# NAT ALG
作用:让一些特殊协议能正常穿越NAT,如FTP、SIP等
nat alg ftp enable
当有些协议NAT搞不定时,就可用alg来解决
# nat服务查看
dis nat session all
NAT Session Table Information:
Protocol : UDP(17)
SrcAddr Port Vpn : 192.168.1.1 5120 //源地址
DestAddr Port Vpn : 64.1.1.10 5120 //目标地址
NAT-Info
New SrcAddr : 64.1.1.4 //地址池将内网ip转成了这个
New SrcPort : 10259 //转换后的端口
New DestAddr : ----
New DestPort : ----
最终 内网 192.168.1.1 → NAT → 公网 64.1.1.4
# Telnet
真机telnet eNSP中的虚拟机
telnet server enable // 开启telnet服务
user-interface vty 0 4 // 开启五个连接,0 1 2 3 4 从0开始
authentication-mode aaa / password // aaa 需要账号密码,而password 则只需密码
aaa
[Huawei-aaa]local-user test password cipher 123456 //创建test用户密码,cipher则加密显示
[Huawei-aaa]local-user test privilege level 15 // 为用户test配置权限等级,其中0-15越大权限越高
[Huawei-aaa]local-user test service-type telnet //配置test用户仅用于telnet权限
- 0 级:只能 ping
- 1 级:只能看,不能改
- 2~14:能配置,权限逐级升高
- 15 级:拥有设备全部权限
| 等级 | 权限名称 | 权限范围说明 | 典型可执行操作 | 适用角色 |
|---|---|---|---|---|
| 0 | 访问级 | 最低权限,仅基础网络诊断 | ping、tracert | 临时测试人员、访客 |
| 1 | 监控级 | 可查看设备状态,不能配置 | display 系列命令(查看版本、接口、日志等) | 值班人员、监控人员 |
| 2 | 配置级 | 可进行部分基础配置 | 部分简单配置命令 | 初级运维 |
| 3 | 配置级 | 可进行更多系统配置 | 系统基础配置、接口配置 | 运维人员 |
| 4 | 管理级 | 可管理大部分设备功能 | 路由、ACL、接口等配置 | 中级运维 |
| 5 | 管理级 | 权限进一步提升 | 更多系统管理命令 | 中级运维 |
| 6 | 管理级 | 可执行更多管理类操作 | 策略、安全相关部分配置 | 中高级运维 |
| 7 | 管理级 | 权限接近高级管理员 | 大部分设备管理命令 | 中高级运维 |
| 8 | 管理级 | 高级管理权限 | 可配置大部分安全、系统功能 | 高级运维 |
| 9 | 管理级 | 更高管理权限 | 可配置几乎所有非核心安全项 | 高级运维 |
| 10 | 特权级 | 接近最高权限 | 可配置绝大多数功能 | 项目负责人、高级工程师 |
| 11 | 特权级 | 高权限管理 | 几乎所有配置 + 部分安全管理 | 高级工程师 |
| 12 | 特权级 | 高权限管理 | 可执行大部分系统级操作 | 高级工程师 |
| 13 | 特权级 | 接近最高权限 | 可执行系统级、安全级操作 | 资深工程师 |
| 14 | 特权级 | 几乎最高权限 | 除极少数关键操作外,全部可执行 | 资深工程师、管理员助理 |
| 15 | 最高权限级 | 设备完全控制权 | 所有命令:配置、删除、重启、保存、升级、文件管理等 | 设备管理员、最高权限账号 |
# 网络拓扑
# 星型拓扑
特点:通过中间节点将其他节点连接在一起。
优点:容易新增设备,数据必须经过中心,节点易中转,方便网络监控
缺点:中心节点比较重要,出现问题容易影响整个网络。
# 总线型拓扑
特点:所有节点通过一条总线连接在一起
已淘汰
# 环形网络
特点:所有节点连成一个换
优点:节省电缆
缺点:不易扩展
# 树形网络
特点:像一棵树一样的层次化的星型结构
缺点:能够快速将多个星型网络连接在一,易拓展
缺点:层级越高的设备出现问题易导致网络瘫痪
# 全网状网络
特点:所有节点都通过线缆两两连接
优点:具有高可用、高效率通信
缺点:成本高,不易扩展
# 部分网状网络
特点:在全网状基础上,只在重要节点之间才两两相连
优点:成本低于全网状
缺点:可靠性比全网状有所降低
# 组合型的网络
特点:在上列所有类型的网络组合在一起
优点: 结合优缺点查漏补缺,更好的组网
缺点:较为复杂
# 网络模型
# OSI模型
- 应用层 ——— 为应用提供网络服务
- 表示层 ——— 数据格式化、加密解密
- 会话层 ——— 建立、维护、管理会话连接
- 传输层 ——— 建立、维护、管理端到端连接
- 网络层 ——— IP寻址和路由选择
- 数据链路层 ———— 控制网络层与物理层之间的同行
- 物理层 ———比特流传输
# TCP IP 模型
在实际应用中一般将上层合并,下两层依旧分开,就成了TCP IP 模型
TCP/IP标准模型
- 应用层
- 主机到主机层
- 英特网层
- 网络接入层
TCP/IP 对等模型
- 应用层
- 传输层
- 网络接入层
- 数据链路层
- 物理层
# 各层常见协议
# 应用层
HTTP、Telnet、FTP、SMTP、TFTP
# 传输层
TCP、UDP
# 网络层
IP、
IGMP:负责IP组播成员管理的协议。用于在IP主机和其他直接相邻的组播路由器之间建立、维护组播成员关系。
TCMP:基于IP协议在网络中发送控制消息,提供可能在同行环境中的各种问题反馈,通过这些信息,使得更换里者可以做出诊断采取措施解决。
# 数据链路层
Ethernet :以太网协议,一种多路访问广播型数据链路层协议,是当前应用最广泛的协议。
PPP:点对点,用于广域网
PPPoE:Point-to-Point-Protocol over Ethernet 以太网承载PPP协议,常见应用如家宽拨号上网
