标签：组播   修改   outbound   nat配置   美国国防部   sid   否则   找不到   基本命令   

Network

一、概述

1、网络的由来

• 世界上第一个网络的产生，是在冷战期间，美国国防部DOD出资要求搭建一个分布式军事指挥系统。其后，ARPA：美国的高级研究项目署。

• 将美国的三所大学中的四台计算机联系经起来，形成ARPAnet。当时使用的基本原理就是IP地址，TCP/IP协议。一直延续到今天。

2、网络速率

• 在网络传输中，描述速率的时候，用的是bit（比特）

• 在电脑上描述文件大小的时候，用的是byte（字节）

• 1byte = 8 bit

生活中，我们常说的拉一个宽带100M，这里描述的是速率。所以平时下载时看到的速度是无法达到100M/s，因为下载时用的是文件大小的描述。

3、网络的分类

3.1、按地域范围

• 局域网：LAN
• 广域网：WAN
• 城域网：MAN

3.2、按技术划分

• 对等网：网络中主机具有相同角色
• C/S：客户机/服务器
• B/S：浏览器/服务器

3.3、按安全划分

• intranet：内部网络
• extranet：外部网络
• Internet：国际互联网

4、网络拓扑结构

• 点对点
  • 一般用于广域网中，连接两台路由器。
• 星型（重要，常用结构）
  • 易于实现，易于扩展，易于排查故障。缺点：中心节点压力大，成本高
• 网状：几乎没有
• 总线型；几乎没有

5、OSI 参考模型

• 分层思想
  • 将复杂的流程分解，复杂问题简单化
  • 更易排查问题。比如，先ping一下，可以确定是高层、还是低层问题。
• 国际标准化组织ISO于1984年发布的。
• 规定是，从下往上，一至七层：

6、TCP/IP参考模型

7、数据通信过程

1. 应用层程序准备好数据

2. 表示层负责将数据转换格式

3. 会话层负责建立会话连接，不是所有应用都有此步骤

4. 传输层负责把数据切分成一个个的片段，称作数据段segment。

每个数据段加上编号，称作序列号。还需要指定使用的是TCP或UDP协议，以及端口号。

5. 网络层负责给数据加上IP地址，打成数据包package。

6. 数据链路层负责给数据加上MAC地址，打成数据帧frame。

7. 物理层将数据转换成二制的0和1，称作比特(流)，在物理介质上传输。

• 发送方，数据自上向下总是增加头部内容，称作封装过程。

• 接收方，数据自下向上将发送方加入的头部移除，称作解封装过程。

8、华为设备

• 接口
  • console工：控制台接口，连接控制线缆到PC机。相当于是为设备提供键盘、鼠标、显示器
  • FastEthernet：快速以太网接口，速率100Mbps
  • GigabitEthernet：吉比特接口，速率1000Mbps
• 设备配置
  • 命令需要在不同的模式下执行，不同模式有不同的指令
    • 用户视图：只能执行一些基本的查询指令。<主机名>
    • 系统视图：可以执行管理命令：[主机名]
    • 接口视图：只对某一接口生效的指令在此执行。[主机名-接口]
    • 协议视图：配置相关协议时使用的视图。[主机名-协议]

<Huawei>                                          # 用户视图
<Huawei> system-view                              # 进入系统视图

[Huawei]                                          # 系统视图
[Huawei] sysname sw1                              # 修改主机名为sw1

# 在华为设备上,任何与显示相关的命令,都以display开头
[sw1] display interface brief                        # 显示所有端口的简要信息

[sw1] int g0/0/1                                     # 进入接口
[sw1-GigabitEthernet0/0/1]                           # 接口视图

[sw1-GigabitEthernet0/0/1] quit                          # 返回上一步
[sw1-GigabitEthernet0/0/1] return                        # 直接返回到用户视图
[sw1-GigabitEthernet0/0/1] ctrl+z                        # 按组合键也会返回到用户视图

<sw1>save
# 系统提示将会把系统原有配置覆盖,是否要继续,选择y,系统再次提示文件名,直接回车,采用默认的名字即可
<sw1>reset saved-configuration                        # 擦除保存的配置

常用基础命令

<Huawei> ?                                     # 用？可以显示该模式下所有的命令
<Huawei> l?                                    # 显示所有的以l开头的命令
<Huawei>language-mode Chinese                  # 改变为中文提示
[Huawei] sysname sw1                           # 修改主机名为sw1

<sw1>display version                                # 查看设备的软件版本号和运行时间
<sw1>display current-configuration                  # 查看设备当前的生效配置


# 配置密码
# AAA模式。认证模式：以下三个A
# Athentication：认证，你是谁
# Athorization：授权，你能干什么
# Audit：审计，你干了什么
<sw1>system-view
[sw1] aaa
[sw1-aaa] local-user 用户名 password cipher 密码

# 设置加密密码
[sw1-aaa] quit
[sw1] user-interface console 0

# 进入控制台接口模式
[sw1-ui-console0] authentication-mode aaa            # 配置使用AAA认证

# 退出到最外面,再次回车,进入用户视图就需要用户名和密码了

命令小技巧

# 配置设备没有控制台超时时间,相当于配置主机、手机锁屏前的等待时间
[sw1] user-interface console 0
[sw1-ui-console0] idle-timeout 分钟数

# 在操作时会不错的有日志提醒。如需要屏蔽可以直接在用户视图复制以下命令。
<Huawei>
undo terminal debugging
undo terminal monitor
undo terminal logging
undo terminal trapping
sys
user-interface console 0
idle-timeout 0

二、交换机（数据链路层）

1、MAC地址（第二层）

• MAC：介质访问控制
  • MAC地址也叫物理地址。设备在生产时，MAC烧到印制的电路版中
  • 网卡有MAC地址。交换机、路由器的每个端口都有MAC地址。
  • MAC地址共48位（48个二进制），6字节。
  • 以十六进制表示：2进制转换成16进制，每两个16进制之间用：或- 隔开。共6段。
  • MAC地址前24位是厂商的组织唯一标识符，即OUI。后24位由厂商决定。

# 2进制与16进制的转换:4位2进制转换成一个16进制数
0000 -> 0
0001 -> 1
0010 -> 2
0011 -> 3
0100 -> 4
0101 -> 5
0110 -> 6
0111 -> 7
1000 -> 8
1001 -> 9
1010 -> A
1011 -> B
1100 -> C
1101 -> D
1110 -> E
1111 -> F

2、工作原理

• 学习
  • 交换机内部有一张MAC地址表。在开机的时候是空的，没有任何记录。
  • 主机发送数据帧，数据帧包含了源MAC地址，目标MAC地址。
  • 交换机根据数据帧学习，并记录每个端口连接的主机的MAC地址。
• 广播
  • 如果接收的数据帧中的目标MAC地址，在MAC表中没有，交换机就会向其它所有接口进行广播。
• 转发
  • 经过学习后，当MAC地址表中有目标MAC，交换机就通过单播转发数据帧。
• 更新（动态学习）
  • 交换机的MAC地址表老化时间是300秒
  • 当交换机发现某个接口发送的数据帧与MAC地址表中记录不一致时，会重新学习记录。

3、划分VLAN

3.1、网络的通信类型

在IPV4中：

• 单播unicast：一对一
• 多播（组播）multicast：一对部分
• 广播broadcast：一对所有

在IPV6中：没有广播，增加的是任播anycast。

• 任播地址与单播地址一样，只不过这个地址是可以配置在多个节点上。
• 当需要找这个地址时，交换机会自动判断去找最近的。

3.2、划分VLAN的原因

广播域：设备发出广播后，能够接收到广播的设备集合起来，就是一个广播域。

• 没有任何配置的情况下，多台交换机，默认是处于同一个广播域。
• 交换机的每个接口，默认情况也是处于同一个广播域。

原因：如果不对广播域进行控制，随着设备增加，会极大的降低网络的传输效率

• 交换机会将主机发送的数据帧向所有端口发送
  • 广播（目标MAC是1-1-1-1-1的）
  • 组播
  • 未知地址的单播

3.3、划分VLAN的作用（优点）

VLAN：Virtual LAN（虚拟局域网）

• 控制广播，划分广播域。
• 增加安全性
• 提高带宽利用
• 降低延迟

3.4、创建VLAN

每个VLAN都有一个ID号（1--4094）。同时还可设定名称（非必须）。

# 查看VLAN信息,默认所有端口都在vlan1中
<Huawei> system-view
[Huawei] display vlan                        # 查看VLAN

# 创建一个VLAN(系统模式)
[Huawei] vlan 10                              # VLAN id号范围是1-4094
[Huawei-vlan10] description ops               # 给VLAN10命名：ops（运维部）
[Huawei-vlan10] display this                  # 查看当前模式下有哪些配置

# 批量创建VLAN
[Huawei] vlan batch 15 20                  # 创建两个VLAN
[Huawei] vlan batch 21 to 25               # 创建5个VLAN：21-25
[Huawei] display vlan

# 删除VLAN:在创建VLAN的命令前加undo
[Huawei] undo vlan 20
[Huawei] undo vlan batch 15 21
[Huawei] undo vlan batch 21 to 25

3.5、划分端口给VLAN

端口的分类：

• 接入端口access：接入端口只能属于一个VLAN。
• 中断端口trunk：不属于任何VLAN，但是可以承载所有的VLAN的数据。

• 重点注意：在不同的交换机之间通信，同一VLAN才能通信，以VLAN的ID号区分。原因：交换机在转发数据帧时，会打上相应的VLAN标识。

• 在同一个交换机中，同一VLAN，不同网段，是无法直接通信的，需要有网关转发（路由）。

• 在同一个交换机中，不同VLAN，同一网段，也是无法直接通信的；就相当于：不同交换机，不同的VLAN，是无法通信的。

• 所以，同一网段，要想通，必须设置在同一VLAN中。

# 注意：将接口设置成对应的端口，再将端口加入相应的VLAN。必须进入接口视图配置。
[Huawei] int g0/0/1                                          # 进入接口
[Huawei-GigabitEthernet0/0/1] port link-type access          # 设置端口类型
[Huawei-GigabitEthernet0/0/1] port default vlan 10           # 加入vlan10
[Huawei-GigabitEthernet0/0/1] display this                   # 查看当前接口设置


# 批量将端口加入VLAN
[Huawei] port-group 1                                        # 创建端口组,组号为1

[Huawei-port-group-1] group-member g0/0/5 g0/0/8             # 将不连续端口加入组
[Huawei-port-group-1] group-member g0/0/11 to g0/0/15        # 将连续端口加入组

[Huawei-port-group-1] port link-type access
[Huawei-port-group-1] port default vlan 10                   # 将端口组加入VLAN10
[Huawei] display vlan                                        # 查看VLAN

3.6、中继链路聚合

• 中继链路：两个交换机之间将两个中继端口连接的线路。主要用在交换机之间。
• 链路聚合：交换机之间可以连接多条链路。将多条链路捆绑成一个逻辑端口。
  • 可以提供更大的带宽，还可实现容错。
• 重点注意
  • 参与捆绑的所有端口，物理状态要一致：比如，都是1000Mb/s
  • 参与捆绑的所有端口，必须：同一VLAN，或，都是中继端口
• 细节点：创建链路聚合时，必须先创建逻辑 (虚拟) 端口，再配置逻辑端口属性。物理端口不能先配置任何属性，否则会报错。
• 链路聚合也是可以用于接入端口的，只不过实际工作很少见。

# 配置中继，两个步骤。注意，链路两端的交换机端口都需要配置。（一条链路）
# 1. 将端口设置为中继模式
[sw1] int g0/0/24
[sw1-GigabitEthernet0/0/24] port link-type trunk
# 2. 设置中继端口允许哪些VLAN的数据通过
[sw1-GigabitEthernet0/0/24] port trunk all-pass vlan all

------------------------------------------------------------------------
# 链路聚合（多条链路）两端的交换机端口都需要配置

# 1. 清除参与捆绑端口的配置(如果之前有配置过则需要)
[sw1] clear configuration interface GigabitEthernet 0/0/23
[sw1] clear configuration interface GigabitEthernet 0/0/24

# 2. 创建名为Eth-Trunk 0的逻辑端口
[sw1] interface Eth-Trunk 0

# 3. 把物理端口加入到逻辑端口中
[sw1-Eth-Trunk0] trukport GigabitEthernet 0/0/23 0/0/24

# 4. 配置逻辑端口为中继状态
[sw1-Eth-Trunk0] port link-type trunk
[sw1-Eth-Trunk0] port trunk allow-pass vlan all

# 5. 将物理端口启用
[sw1] interface GigabitEthernet 0/0/23
[sw1-GigabitEthernet0/0/23] undo shutdown
[sw1] interface GigabitEthernet 0/0/24
[sw1-GigabitEthernet0/0/24] undo shutdown

# 6. 查看
[sw1] display vlan
[sw1] display interface Eth-Trunk 0
[sw1] display current-configuration

三、路由器（网络层）

1、网络层（第三层）

• ARP：地址解析协议（以广播的方式工作。经常说的ARP广播就是这个）
  • 三层需要IP地址
  • 二层需要MAC地址
  • APR协议：将IP地址解析为MAC地址

• ICMP协议（Ping命令）：通过IP数据报传送，用来发送错误和控制信息
  • 目的地不可达
  • TTL越时
  • 信息请求
  • 信息应答
  • 地址请求

2、工作原理

• 路由器：负责路径选择的设备。路由，即路径。

• 路由器负责将不同的网络连接起来。交换机连接的是相同网络

• 路由器是三层设备，每个端口都要有IP地址，且不能设置同一网段的IP。

• 路由器收到数据包后，根据自己的路由表做出转发决定。

• 如果目的地不在路由表中，则将数据包丢弃。（交换机是广播）

• 路由器不允许广播通过。

• 路由表的形成可以是管理员手工配置静态路由；也可以通过路由协议自动学习

• 路由表中保存的是最优路径，而不是全部路径。

# 基本命令
[R1] display interface brief                     # 查看端口简要信息
[R1] display ip interface brief                  # 查看端口配置的IP信息
[R1] display ip routing-table                    # 查看路由表

[R1] int g0/0/0                                  # 进入接口视图
[R1-GigabitEthernet0/0/1] ip address 192.168.1.254 24            # 给接口配置IP。
[R1-GigabitEthernet0/0/1] undo ip address                        # 取消IP配置

3、静态路由

• 由管理员手工配置，为单向条目。
• 通信双方的边缘路由器都需要指定，否则会导致数据包有去无回。

拓扑图参考：

• 当1.1主机去ping主机3.1或4.1时，数据包可以发送到R2，但是当返回数据包时，如果在R2中没有指定下一跳路由，也就是在路由表中没有到达IP目的的记录，则会将包丢弃。

# 配置格式为：ip route-static 目标网络的ID(网段)  子网掩码  下一跳
[R1] ip route-static 192.168.3.0  24  192.168.2.2
[R1] ip route-static 192.168.4.0  24  192.168.2.2

# 注意看，在R2中，因为只有1网段不是直连的，所以就需要配置。
# 而R2本身2.0，3.0，4.0的网段都是直连的，就不需要配置。(原理仍然是：看路由表。）
[R2] ip route-static 192.168.1.0  24  192.168.2.1

默认路由（缺省路由）

• 默认路由是一种特殊的静态路由
• 默认路由的目标网络为0.0.0.0/0，即可以匹配任意的目标地址。
• 只有当从路由表中找不到任何可以明确匹配的路由条目时，才使用默认路由。优先级最低
• 一般在企业的网关出口使用。为了连接公网，往外跳的时候进行设置，往里走的时候，如果是大公司，用动态路由协议，小公司架构不复杂也可以用静态路由设置。

# 拓扑图仍是参考上图。对于R1，设置默认路由后，不管是到3.0、4.0、5.0、6.0网段，都是跳到2.2。
[R1] ip route-static 0.0.0.0  0  192.168.2.2

4、三层交换机

三层交换机 ＝ 二层交换＋三层路由转发

• 在三层交换机中，把每个VLAN当作有一个虚拟接口。（一个房间有一个门）
• 然后，在VLAN的虚拟网关接口（Vlanif）上配置网关IP。
• 配置好虚拟网关IP后，就相当于路由器的接口设置了IP，就可以认为实现直连路由转发。
• 注意：跟路由一样，接口不能配置同一网段的IP。

[Huawei] vlan batch 2 3
[Huawei] interface Vlanif 1                                    # 进入虚拟接口
[Huawei-Vlanif1] ip address 192.168.1.254 24                   # 设置网关IP
  
[Huawei] interface Vlanif 2
[Huawei-Vlanif1] ip address 192.168.2.254 24
  
[Huawei] interface Vlanif 3
[Huawei-Vlanif1] ip address 192.168.3.254 24
  
[Huawei] interface G0/0/2
[Huawei-GigabitEthernet0/0/2]  port link-type access
[Huawei-GigabitEthernet0/0/2]  port default vlan 2
  
[Huawei] interface G0/0/3
[Huawei-GigabitEthernet0/0/2]  port link-type access
[Huawei-GigabitEthernet0/0/2]  port default vlan 3

升级一下：从性价比考虑，一般三层交换机S5700比S3700要高，虽然S3700也是三层交换机，但是接口为百兆口，作为三层交换机性能是完全不够的，一般只作为二层交换机使用。

实际工作中的经典架构。

5、动态路由OSPF

动态路由：由协议OSPF实现

OSPF协议：Open Shortest Path First（开放式最短路径优先）

步骤：

1. 开启OSPF协议
2. 配置区域
3. 宣告自身拥有的所有的网段。（反掩码：0变1，1变0）

[Huawei] ospf                        # 开启OSPF
[Huawei-ospf-1] area 0               # 区域必须从0开始

# 以下为宣告自身拥有的网段。注意：掩码需要写反掩码。
[Huawei-ospf-1-area-0.0.0.0] network 192.168.1.0  0.0.0.255
[Huawei-ospf-1-area-0.0.0.0] network 192.168.2.0  0.0.0.255
[Huawei-ospf-1-area-0.0.0.0] network 192.168.3.0  0.0.0.255
[Huawei-ospf-1-area-0.0.0.0] network 192.168.4.0  0.0.0.255

[Huawei] ip route-static 0.0.0.0 0.0.0.0 192.168.4.2
  
[Huawei] display routing-table | include 24                  # 查看路由表中，包含24的信息。

四、传输层

作用：提供端到端的连接。

1、TCP协议（Transmission Control Protocol）

• 传输控制协议
• 可靠的、面向连接的协议
• 传输效率低

2、UDP协议（User Datagram Protocol）

• 用户数据报协议
• 不可靠的、无连接的服务
• 传输效率高

3、TCP的连接与断开

• 连接：三次握手

  • Client：发送SYN，请求建立连接。
  • Server：发送SYN、ACK
  • Client：发送ACK

• 断开：四次挥手

  • Client：发送FIN，请求断开
  • Server：发送ACK
  • Server：发送FIN，请求断开（注意：这里的server同意与发送请求不是同时发生的）
  • Client：发送ACK

五、ACL

ACL：访问控制列表。

应用在路由器接口的，指令列表，即规则。

可以有多条规则，匹配即停止。

从以上分类可以得知，ACL必须应用在三层设备上，且是设置在接口上的。因为只有三层设备才能识别IP、端口、协议

1、基本ACL

• 步骤
  • 开启ACL，定义分类
  • 设立规则（交通红绿灯）
  • 进入接口，执行规则（交警）

[R1] acl 2000                                    # 开启ACL，基本分类
[R1] rule deny source 192.168.2.1  0             # 设立规则：拒绝此IP访问，0表示这是一个主机，不是网段。

[R1] in g0/0/1                                          # 进入三层设备的接口，设立执行规则。
[Huawei-G0/0/1] traffic-filter inbound acl 2000         # 过滤进入，规则2000

# deny：拒绝            permit：允许            inbound：进入            outbound：出去
---------------------------------------------------------------------------------
[R1] display acl 2000                                    # 查看
[Huawei-G0/0/1] undo traffic-filter inbound              # 删除

2、高级ACL

• 步骤
  • 开启ACL，定义分类
  • 设立规则
  • 进入接口，执行规则

[R1] acl 3000
[R1-acl-adv-3000] rule deny tcp source 192.168.2.1 0 destination 192.168.1.1 0 destination-port eq 21					
# 规则：允许tcp协议中，针对源IP，访问，目标IP，的端口号等于21，的服务

[R1] in g0/0/1
[R1-GigabitEthernet0/0/1] traffic-filter inbount acl 3000

六、NAT

• NAT

  • Network Address Translation，网络地址转换

• IP地址：32位二进制数

  • 常规分类

    • A：1～127
    • B：128～191
    • C：192～223

  • 私有地址

    • 10.0.0.0/8
    • 172.16.0.0 - 172.31.0.0/16
    • 192.168.0.0 - 192.168.255.0/24

• 优点：

  • 节省公有IP地址
  • 处理地址重叠
  • 安全

• NAT常用的2种类型

  • 静态转换：1对1：适合服务器对外发布服务的环境，内外双方均可发起链接。
  • easy ip：1对多：适合只访问外网的需求，比如办公室环境员工上网，只能由内向外发起数据请求。

NAT配置必须在出口（连外部网络的接口）进行设置

1、静态NAT

[R1] int g0/0/1                        # 一定要进入接口配置
[R1-GigabitEthernet0/0/1] nat static global 100.0.0.1 inside 192.168.2.1

# 当192.168.2.1出去的时候，将其转换成100.0.0.1
‘static:静态		global:全局‘

2、easy ip

• 由于这里是多人共用一个公网IP出去访问外网。
• 所以首先要在三层设备设置允许谁出去访问。要使用ACL来设定
• 最后再通过NAT调用ACL规则即可
• 跟静态不一样：不再需要指点公网IP，因为在路由器出口已经配置了公网IP，直接就用此IP。

[R1] acl 2000
[R1-acl-2000] rule permit source any

[R1] int g0/0/1
[R1-G0/0/1] nat outbount 2000            # NAT调用acl2000规则。

# 跟静态NAT不一样：不再需要指定公网IP，因为在路由器出口已经配置了公网IP，直接就用此IP。

七、VRRP

VRRP协议：虚拟路由冗余协议——主要实现网关高可用，热备份

VRRP 三个角色

• 主路由器（master）：负责转发数据
• 备份路由器（backup）：监视主路由，随时替代
• 虚拟路由器（Virtual）：客户机的网关

1、首先配置虚拟路由器（虚拟IP）

虚拟网关，本身就是一个IP，那么在三层设备中，就相当于设置一个IP，首先要进入VLAN虚拟接口。

[Huawei] interface Vlanif 1                  # 进入VLAN虚拟接口中设置
[Huawei-Vlanif1] vrrp vrid 1 virtual-ip 192.168.1.254
# vrid=virtual id；最好跟VLAN的ID一致。

<Huawei>display vrrp brief                   # 查看VRRP信息

2、实现负载均衡、热备份。

思路：

• MS1：vlan1(主)，vlan2(备)
• MS2：vlan1(备)，vlan2(主)

#[MS1] 
[Huawei] interface Vlanif 10
[Huawei-Vlanif10] ip address 192.168.10.252 24
[Huawei-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.254
[Huawei-Vlanif10] vrrp vrid 1 priority 110                  # 设置优先级。

[Huawei] interface Vlanif 20
[Huawei-Vlanif20] ip address 192.168.20.252 24
[Huawei-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.254

-----------------------------------------------------------------------------
#[MS2] 
[Huawei] interface Vlanif 10
[Huawei-Vlanif10] ip address 192.168.10.253 24
[Huawei-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.254

[Huawei] interface Vlanif 20
[Huawei-Vlanif20] ip address 192.168.20.253 24
[Huawei-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.254
[Huawei-Vlanif20] vrrp vrid 2 priority 110                  # 设置优先级。

# 优先级没有设置，默认情况下：1、谁先起服务谁为主。2、如同时起服务，IP大的为主。（了解即可）
# 优先级默认是100，最大是254。一般是往上调。

八、子网划分

Network-网络基础