ccna笔记完整版

ICND互联思科网络设备
1 什么是计算机网络
两台或两台以上的互联的自治的计算机的集合,达到资源共享的目的

2 网络为什么划分层次模型
1 统一协议和标准 让不通厂商的设备可以互相操作
2 降低网络传输的复杂度

ISO 国际标准化组织
OSI 开放系统互联 7层的模型

核心层：提供一个快速转发 代表性设备：3层交换机或3层以上
分布层：提供一些策略的操作 3层交换机
接入层：提供很多接口用来接入网络

应用层:提供一个用户接口 提供一个人机交互的界面
表示层:提供一个标准的格式 格式的转化
会话层:建立 区分 释放会话
(数据段)传输层:提供一个端口号的寻址 提供一个可靠或者不可靠的连接
(数据包)网络层:提供一个逻辑地址的寻址 建立的是一个主机到主机的连接
(数据帧)数据链路层:提供一个物理地址的寻址 可以查错 但是不能纠错
(比特)物理层:提供一个比特流的透明的传输

MTU值 最大传输单元 1500byte

计算机网络 (谢希仁)

IETF 因特网工程任务小组 RFC 请求注释文档
https://www.360docs.net/doc/0212484545.html,

网际协议IP
尽力而为的传输 没有重传 没有纠错 有查错
应用层:
TFTP 简单文件传输协议
FTP 文件传输协议
P0P3 邮局协议第三版
SMTP 简单邮件传输协议
Telnet 远程登录协议
SNMP 简单网络管理协议
DNS 域名解析系统

版本:版本4 IPv6 版本6
头部长度:20byte
服务类型:8bit 里面用到前三个bit 0-7 6,7是保留
0-5 一般的数据优先级为0 QOS 服务质量
DSCP(差分式服务编码点) 用了6个bit
总长度:16个bit 最大65535byte
标识:如果是同一个数据包的分片 标识位一样
标志:3bit 第二个bit DF 这个数据包是否允许分片
第三个bit MF 这个数据包后面是否还有分片
片偏移:记录了分片在原来数据包里面的位置
生存时间:TTL 防环 每经过一个路由器 TTL值减一 减到0的时候丢弃
协议:标识了IP报文传递的是一个什么样的协议
ICMP 1 TCP 6 UDP 17 EIGRP 88 OSPF 89
NBAR(基于网络的应用的识别)
校验和:校验数据包是否出错
奇偶校验 海明码 CRC循环冗余校验

传输层
TCP传输控制协议
可靠的 面向连接的 有SEQ和ACK 开销大
UDP用户数据报协议
不可靠的 面向无连接 没有SEQ和ACK 开销小

端口号 16bit 0-65535 0-1024是周知的协议使用的端口号

ARP 地址解析协议
用来请求对方的MAC地址 前提是要知道对方的IP地址
ARP的操作码 请求是1 响应是2
双绑 网关上和自己的PC上都要进行绑定

IP地址
在一个IP网络里面唯一的标识一个设备的标识符
他是一个32位的二进制数字 我们习惯用点分十进制来表示他

IP地址分为5类
A 1-126 1.0.0.0 - 126.25

5.255.255
B 128-191 128.0.0.0-191.255.255.255
C 192-223 192.0.0.0-223.255.255.255
D 224-239 组播
E 240-255 科研保留用

127.0.0.0/8 用来做换回测试的

IP地址分为网络位和主机位
网络位用来标识一个网段
主机位用来标识一个网段内的一台主机
每个网段的第一个地址用来表示一个网段192.168.1.0
每个网段的最后一个地址用来表示整个网段的所有主机192.168.1.255

私有IP地址范围 RFC 1918
A 10.0.0.0 - 10.255.255.255
B 172.16.0.0 - 172.31.255.255
C 192.168.0.0- 192.168.255.255

169.254.0.0/16 微软买断的

路由器的不同接口必须属于不同的网段
路由器不转发广播数据包

子网掩码:区分网络位和主机位
子网掩码为1代表网络位 子网掩码为0的地方代表主机位
192.168.1.9
255.255.255.0

1100 0000.1010 1000.0000 0001.0000 1001
1111 1111.1111 1111.1111 1111.0000 0000
1100 0000.1010 1000.0000 0001.0000 0000
192.168.1.0
192.168.1.1 - 192.168.1.254
192.168.1.255
与运算 1和任何数相与等于任何数 0和任何数相与等于0

VLSM变长子网掩码
R1--------------------R2
192.168.1.1 192.168.1.2
192.168.1.0000 0001
255.255.255.1111 1100 255.255.255.252
可用主机地址范围2^n-2 2^2-2=2

192.168.1.0 192.168.1.1-192.168.1.254

192.168.1. 0000 0000 192.168.1.0
255.255.255.1000 0000 255.255.255.128
192.168.1.0 255.255.255.128
192.168.1.0 代表网络
192.168.1.127 代表广播
可用的主机范围192.168.1.1- 192.168.1.126
192.168.1.1000 0000 192.168.1.128
192.168.1.128 代表网络
192.168.1.255 代表广播
192.168.1.129 - 192.168.1.254

192.168.1.128 255.255.255.128
划分两个子网 每个子网至少10台主机

2^N-2>=10
6 62
5 30
4 14
网络位 25位 主机位7位
192.168.1.128/26 255.255.255.192
192.168.1.192

192.168.1.128/27 255.255.255.224
192.168.1.160
192.168.1.192
192.168.1.224

192.168.1.128/28 255.255.255.240
192.168.1.144
192.168.1.160
192.168.1.176

CIDR 无类域间路由 路由汇总
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24

192.168.0000 0000.0
192.168.0000 0001.0
192.168.0000 0010.0
192.168.0000 0011.0
192.168.0.0/22


IOS网络操作系统 ISO国际标准化组织 OSI 开放系统互联
就是路由器和交换机的操作系统

CISCO网络设备的登陆方式
1 控制台console口登陆 第一次配置设备必须使用console口
2 虚拟终端 telnet SSH 用的最多的
3 AUX 用modem拨号上去配置
4 网络管理软件 SNMP

路由器的基本配置
Router> 用户模式
Router>enable 进入特权模式
Router#特权模式
Router#configure terminal 进入全局配置模式
Router(config)#全局配置模式
Router(config)#hostname Openlab 修改设备名
Openlab(config)#
Openlab#show clock
*00:14:20.275 UTC Mon Mar 1 1993
R1(config)#interface serial 0
R1(config-if)#ip add 1.1.1.1 255.255.255.0
R1(config-if)#clock rate 6

4000
R1(config-if)#no shutdown
R1#sh ip interface brief
Openlab(config)#banner motd p 配置登陆横幅
welcome to openlab p
Openlab#write 保存配置


Openlab(config)#enable password cisco 设置特权模式密码
Router#show running-config 查看路
由器的所有配置
Openlab(config)#service password-encryption 给所有的密码加密
Openlab(config)#enable secret ccie 设置密文enable密码
telnet的配置
R1(config)#username ccie password ccie 新建一个用户和密码
R1(config)#line vty 0 4 进入虚拟终端线路口
R1(config-line)#login local 启用本地验证
R1(config)#no ip domain lookup 关掉域名解析
R1(config)#line console 0
R1(config-line)#exec-timeout 0 0 禁止超时

R1(config-line)#logging synchronous 启用日志同步
R1(config)#line vty 0 4
R1(config-line)#exec-timeout 0 0
R1(config-line)#logging synchronous 启用日志同步

CCNP_Rack1>clear line vty 1 清理虚拟终端线路1
CCNP_Rack1>clear line tty 1 清理2511线路1

R1#reload 重启一个路由器

路由器是专用的计算机
路由器的启动顺序
1-POST 2-BOOTSTRAP 3-加载IOS 4-加载配置文件
路由器的硬件组件
1 RAM 随机存储器 存放是当前运行的配置
2 ROM 只读存储器 mini IOS
3 FLASH 闪存 相当于PC机的硬盘 (新:CF卡)
4 INTFACE 接口 路由器的每一个接口相当于一个网卡
5 CPU

配置寄存器
0x2102 正常的启动顺序
0x2142 跳过配置文件
0x2101 进入迷你IOS
Router(config)#config-register 0x2102

监控模式 破解路由器密码 破解交换机密码
Ctrl+break
rommon 1 > confreg 0x2142 reset重启
>o/r 0x2142 i重启

startup-config 下一次启动的配置 保存的配置
running-config 当前正在运行的配置
Router#copy startup-config running-config

H3C(config)#no enable password

H3C(config)#config-register 0x2102
H3C#write


CDP 思科发现协议
私有的 支持多协议 支持各种数据链路层的封装
发现直连链路上其他的思科的设备的基本信息
CCNP_Rack1#sh cdp neighbors 查看所有邻居的情况
CCNP_Rack1#sh cdp neighbors
Open.J Eth 0 178 S I WS-C2950-2Fas 0/7
设备名 本地的接口 保持时间 交换机 设备的平台 对端的接口

CDP默认开启
Switch(config)#no cdp run 关闭所有接口的CDP
Switch(config)#int f0/1
Switch(config-if)#no cdp enable

CDP的数据包默认每隔60s发送一次 保持时间180s

DHCP
Router(config)#ip dhcp pool dhcp
Router(dhcp-config)#network 192.168.1.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.1.1
Router(dhcp-config)#dns-server 202.103.24.68
Router(config)#ip dhcp excluded-address 192.168.1.1 清除地址


以太网
现代局域网最流行的是以太网
1973年由施乐公司发明
1982年DIX发布了以太网的标准

IEEE 802.3 美国电子电气工程师协会
DIX Ethernet2 DEC 因特尔 施乐

802.3有两个子层
LLC

逻辑链路控制 标识上层是什么协议
MAC 访问控制媒介 提供物理地址的寻址

Ethernet2 没有LLC这个子层

前导 SOF
7个字节 起始定界符
目的MAC 源MAC TYPE 数据(MTU) FCS
0x0800 46-1500 帧校验序列 采用的是CRC-32循环冗余校验

一个数据帧最小不能小于64byte 小于64byte的数据帧 交换机认为是碎片帧 从而丢弃

MAC地址的介绍 48位
前24位是OUI机构标识符 标识这是哪一个结构的MAC地址

第7个bit 代表是否全局唯一 0 全局唯一 1 本地唯一
第8个bit 代表是否是组播 0 单播 1 组播

10-base-T
10代表最大速率10MB/s base 传递的是数字信号 T 双绞线

双绞线 水晶头 夹线钳 测线仪
1 3用来发送数据 2 6用来接受数据
EIA/TIA-568A 13 26互换
EIA/TIA-568B 橙白 橙 绿白 蓝 蓝白 绿 棕白 棕

A-B 交叉线 用来连接相同的设备
B-B 直通线 用来连接不同的设备


现代以太网的挑战
1 距离的限制 网线的100m
2 冲突的可能性多 因为使用集线器

升级为交换机
基于硬件转发帧 ASIC
全双工转发数据帧

核心层:转发数据帧 不做任何策略
分布层:会做很多策略 限速 NAC网络接入控制
接入层:提供一个很高的端口密度用来接入网络


VLAN虚拟局域网
同一个vlan的设备可以互访
不同vlan的设备的不能互访

vlan是用来隔离广播域的
一个vlan是一个逻辑的子网 同一个vlan的设备在同一个子网

交换机默认会有一个vlan1 默认所有的接口都属于vlan1

802.1Q TRUNK 中继协议
数据帧从TRUNK接口出去的时候会打上一个TAG
数据帧从TRUNK接口进来的时候撕掉这个TAG

Switch(config)#vlan 10
Switch(config-vlan)#name qq
Switch(config-vlan)#exit
Switch(config)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10

Switch(config)#int range f0/1 - 3
Switch(config-if)#switchport access vlan 10

PVLAN私有VLAN

Switch(config)#int f0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 10
Switch(config-if)#switchport trunk allowed vlan add 20


本地vlan native vlan
上TRUNK不打标
Switch(config)#int range f0/1 - 23
Switch(config-if-range)#switchport trunk native vlan 999

VTP vlan中继协议
让客户模式的交换机同步服务器模式的交换机的vlan.dat

VTP的版本
VTP 三个版本 1 2 3 默认是版本1
VTP的模式
服务器模式 创建 修改 删除 vlan 发送和转发VTP的通告
客户模式 不能创建 修改 删除 vlan 转发VTP的通告
透明模式 创建 修改 删除 vlan 转发VTP的通告

配置版本号 当服务器模式交换机 创建 修改 删除vlan的时候配置版本号+1

VTP的裁剪:裁剪是网络里面不必要的广播数据帧的流量
只需要在服务器模式交换机上开启

VTP配置
Swi

tch(config)#vtp domain open 设置VTP的域名
Switch(config)#vtp mode server/client/transparent 模式设置为server
Switch(config)#vtp password cisco 设置验证的密码
Switch(config)#vtp pruning 开启VTP的裁剪
Switch(config)#vtp version 2 设置VTP的版本为2

Switch#sh vtp status 排错

单臂路由
多个vlan要想访问其他网络 每一个vlan需要一个网关 但是路由器的接口有限
子接口 逻辑的接口 依靠的是物理接口传递数据
Router(config)#int f0/0
Router(config-if)#no shutdown
Router(config)#int f0/0.10
Router(config-subif)#encapsulation dot1Q 10 和vlan10关联
Router(config-subif)#ip add 192.168.10.1 255.255.255.0
Router(config)#int f0/0.20
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip add 192.168.20.1 255.255.255.0
Switch(config)#int f0/1
Switch(config-if)#switchport mode trunk

以太通道
通过将多条物理线路逻辑的绑定到一起 增加带宽 减少开销
最多只能绑定8条 支持支10MB以上的以太接口

为了防止单点故障 从而引入了冗余的网络拓扑
冗余的网络拓扑带来的问题
1 广播风暴
2 重复帧
3 MAC表翻动

STP 生成树协议
阻塞网络里面的所有冗余的节点 防止广播风暴
IEEE 802.1D
思科 默认开启 H3C 默认关闭

BPDU 桥协议数据单元 包含了STP选举所需要的所有参数
1在交换网络里面选出一个根桥交换机
桥ID=优先级+MAC(最小) 思科 优先级缺省是32768
2 选根端口 RP
每一个非根交换机上到达根最近的端口
每一个非根交换机有且只有一个根端口
1 比较到根的开销 100MB 19 1000MB 4
2 比较上级交换机的桥ID
3 比较上级交换机的接口优先级
4 比较上级交换机的接口ID
3选指定端口 DP
每一条链路上面选出一个到达根最近的端口
1 比开销 到根开销最小的那个端口
2 比桥ID 桥ID小的成为指定端口
4 非指定端口成为阻塞端口

阻塞(20s):监听流入的BPDU
监听(15s):进行STP的选举
学习(15s):学习数据帧的源MAC地址
转发:转发数据帧

思科交换机默认stp是PVSTP+ 增强型的每vlan生成树
每一个vlan一个STP
查看STP
Switch#show spanning-tree vlan 1
Switch(config)#spanning-tree vlan 1 priority 4096 必须是4096的倍数
Switch(config)#spanning-tree vlan 1 root primary
Switch(config)#spanning-tree vlan 1 root secondary

端口安全
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security mac aaaa.aaaa.aaaa
Switch(config-if)#switchport port-security violation shutdown

Switch#sh mac-address-table
惩罚措施
shutdown 会导致所有流量全部丢弃
protect 转发合法流量 丢弃非法流量


路由器
路由器主要功能在多条路径寻找一条最优的路径到

达某一个网段
路由器需要所有非直连的网段的路由
路由:到某一个目的网段怎么走
路由条目生成方式
1 静态路由:管理员手动配置的 可靠性最高
2 动态路由:
路由三个要素:目的网段+下一跳+开销

静态路由的优点:简单 基本不占用路由器的资源
静态路由的缺点:只适用小型网络 不灵活
静态路由的配置
R1#show ip route 查看路由表
R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.2
R1(config)#ip route 目的网段 目的网段的子网掩码 下一跳
缺省路由
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
去往所有网段的数据包都交给192.168.12.2

动态路由协议
路由器和路由器之间交互路由协议的数据包 自动生成路由
自动适应网络拓扑的变化
优点:配置简单 适用于大型网络 智能
缺点:占用CPU的资源 还要占用链路的带宽

路由协议的分类
距离矢量:路由器和路由器之间交互的是路由
RIP IGRP EIGRP BGP
链路状态:路由器和路由器之间交换的是链路状态信息
OSPF IS-IS

RIP:路由信息协议 淘汰了 但是路由器支持
IGRP:内部网关路由协议 淘汰了 路由器不支持
EIGRP:增强型内部网关路由协议 思科私有的
OSPF:开放最短路径优先 公有协议
IS-IS:中间系统到中间系统 运营商里面用的比较多
BGP:边界网关路由协议 用来连接AS

AS:自治系统
是一组运行了相同的路由协议和具有相同开销 参数的路由器的集合

IGP(内部网关路由协议):RIP EIGRP OSPF IS-IS
EGP(外部网关路由协议):BGP

有类:RIPv1 IGRP 只能识别标准的类
无类:RIPv2 EIGRP OSPF IS-IS BGP 可以识别变长子网掩码

RIP 以跳数作为开销
OSPF 以带宽作为开销
EIGRP 以带宽和延时作为开销

评估路由协议的可信度---->管理距离 AD
EIGRP 90
IGRP 100
OSPF 110
IS-IS 115
RIP 120

距离矢量路由协议

收敛:当整个网络里的所有路由器获悉整个网络里的所有网段的路由的时候会进入一个稳定状态 收敛状态

跳数无穷大:定义一个最大的跳数 16跳 16跳就是不可达
路由环路:使用水平分割(从某一个接口收到的路由 不再从某一个接口发送回去)
路由中毒:把出问题的路由标记为16跳发送给邻居
毒性逆转:打破水平分割的原则 把中毒路由发送回去
触发更新:只要路由表发生变化 立即发送更新


链路状态路由协议 OSPF IS-IS
邻居表:记录所有直连的邻居路由器
拓扑表:记录了整个网络的所有链路的信息
路由表:记录了到每一个网段的最短路径

LSA:链路状态通告 通告的是链路状态的信息

路由器与路由器之间交互LSA 形成拓扑表 根据拓扑表运行SPF算法
形成最短路径树 根据最短路径树生成路由表



RIP路由信

息协议
以跳数作为开销
支持6条路径的负载均衡 缺省是4条
每隔30s发送一次更新 抖动更新 25s - 30s

RIPv1 有类 不支持VLSM 更新不带掩码 以广播发送更新
不支持路由汇总 不支持验证
RIPv2 无类 支持VLSM 更新是带掩码 用224.0.0.9 发送更新
支持路由汇总 支持验证

RIP的配置
R1(config)#router rip
R1(config-router)#no auto-summary 关闭自动汇总
R1(config-router)#version 2 版本2
R1(config-router)#network 192.168.12.0
R1(config-router)#network 192.168.1.0
network 凡是接口的IP地址属于后面这个网段的 一律开启RIP
R 192.168.1.0/24 [120/1] via 192.168.12.1
[AD/开销]

OSPF 开放最短路径优先
链路状态路由协议
邻居表:
通过交互hello报文
默认每隔10s发送一次 保持时间40s
拓扑表:
通过交互LSA(链路状态通告) 形成链路状态数据库
路由表:
通过运行SPF算法 形成转发信息数据库

100%无环路

OSPF的区域的划分
1 将LSA的防洪限制在区域内部
2 将网络拓扑的变化产生的影响限制在区域内部

区域分成
核心区域 区域0 骨干区域
普通区域 非0的都是普通区域

所有普通区域必须和核心区域直连


hello包建立邻居关系
hello的目的是一个多播的地址224.0.0.5

1 route-id
2 hello的时间和死亡时间
3 邻居的IP地址 0.0.0.0
4 区域的ID
5 路由器的优先级
6 DR IP
7 BDR IP
8 验证密码
9 末节区域的标志

两个邻居hello时间和死亡时间必须一致
区域的ID必须一致

OSPF的开销的计算公式
cost=100/接口带宽(MB)

OSPF的配置
R1(config)#router ospf 1 开启OSPF 进程号为1 只具有本地意义
R1(config-router)#network 192.168.12.1 0.0.0.0 area 0
R1(config-router)#network 192.168.13.0 0.0.0.255 area 0
反掩码
0精确匹配
1忽略
192.168.12.1 0.0.0.0 192.168.12.1/32
192.168.12.0 0.0.0.255 192.168.12.0/24

R2#sh ip ospf neighbor
当邻居的状态为full的时候 OSPF正常工作的

EIGRP增强型内部网关路由协议
*思科私有的
EIGRP的特点
1 高级距离矢量路由协议
*2 收敛之王
3 100%无环 DUAL扩散更新算法
4 配置简单
5 增量更新和触发更新
*6 支持等价和非等价的负载均衡
7 灵活的网络设计
8 用多播和单播代替了广播(IGRP)
*9 支持VLSM和CIDR
10 在任意节点可以执行汇总
11 支持多协议 APPLE TALK IPX TCP/IP

EIGRP也有三张表 所有说他具有链路状态路由协议的特征

EIGRP的开销 带宽 延时 可靠性 负载 MTU
cost=(10^7/带宽+延时/10)*256

EIGRP:简单 灵活 收敛速度快 不适用于大型网络
OSPF:复杂 可靠 无环 层次化网络设计 适用于大型网络

EIGRP的配置
R1(config)#router eigrp 100 AS号(非BGP的AS号)
在同意AS内 AS号必须一致
R1(config-router)#no auto-summary 关闭自动汇总
R1(config-router)#net

work 192.168.12.0 0.0.0.255
R1(config-router)#network 192.168.1.1 0.0.0.0


cost=(10^7/带宽+延时/10)*256
带宽:沿途所有路径最小的带宽
延时:沿途所有路径延时之和

100MB=100000KB
延时=100+100=200

ACL 访问控制列表

1过滤流经路由器的数据包
2定义流量

ACL只有两个动作 permit允许 deny拒绝

标准的ACL(1-99) 只能够检测数据包的源IP
扩展的ACL(100-199) 能够检测数据包的的源IP 目的IP 协议 端口号
命名的ACL 包含的标准的和扩展的ACL 首选

ACL的配置原则
每一个路由器的每个接口的每个方向上对于每一个协议只能配置一条ACL
最精确的条目要放在ACL的上面
路由器不能过滤自己产生的流量
每一个ACL至少要有一条允许的语句

标准的ACL的配置
R1(config)#access-list 1 deny 192.168.1.0 0.0.0.255
R1(config)#access-list 1 permit any
R1(config)#int f0/1
R1(config-if)#ip access-group 1 in
R1#sh ip access-lists

扩展的ACL
R1(config)#access-list 100 deny tcp 192.168.1.1 0.0.0.0 192.168.2.2 0.0.0.0 eq 21
R1(config)#access-list 100 deny tcp 192.168.1.1 0.0.0.0 192.168.2.2 0.0.0.0 eq 80
R1(config)#access-list 100 permit ip any any
R1(config)#int f0/1
R1(config-if)#ip access-group 100 in

命名的ACL
R1(config)#ip access-list extended work
deny tcp host 192.168.1.1 host 192.168.2.2 eq 21

Router(config)#ip access-list extended work
Router(config-ext-nacl)#deny tcp any any eq 80
Router(config-ext-nacl)#1 deny tcp any any eq 21
Router(config-ext-nacl)#2 deny tcp any any eq 20
Router(config-ext-nacl)#no 10

NAT网络地址转换
让多个内网的主机共用一个公网的IP访问互联网

NAT数据包在出去的时候 源IP地址会被路由器的公网IP取代

PAT的配置
R1(config)#ip access-list extended CCNA
R1(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 any

R1(config)#ip nat inside source list CCNA interface f0/1 overload 从内向外的转换 转换数据包的源 ACL CCNA定义的流量要做NAT 所有内网的流量的IP全部转换成接口f0/1的IP 启用PAT

R1(config)#int f0/1
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#int f0/0
R1(config-if)#ip nat inside

R1#sh ip nat translations


Switch(config)#int vlan 1
Switch(config-if)#ip add 192.168.1.100 255.255.255.0
Switch(config-if)#no shutdown
Switch(config)#ip default-gateway 192.168.1.254

Switch(config)#line vty 0 15
Switch(config-line)#login local
Switch(config-line)#exit

Switch(config)#username cisco password cisco

Switch(config)#enable password cisco

静态的NAT
R1(config)#ip nat inside source static tcp 192.168.1.100 23 202.103.12.1 23

WAN广域网
广域网 FR DSL ATM MPLS VPN
局域网 以太网 双绞线 光纤

广域网的常见接入方式

ADSL 非对称用户数字线路
FR 帧中继
ATM 异步传输模式
MPLS(多协议标签交换) MBGP VPN(虚拟专用网)

ADSL
利用利用

电话线来同时传递语音和数据的流量
利用高频传数据 低频传语音
最高上行速率1Mb 最高下行速率8Mb
B byte
b bit

延时很高

串口的封装
HDLC 高级数据链路控制
公有的协议 但是思科加入了一个私有字段 所以思科的HDLC和其他厂商不兼容
思科的设备的串口默认就是HDLC的封装

PPP 点到点协议
NCP 网络控制协议 提供了一个对协议栈的支持
LCP 链路控制协议 链路连接的发起和控制

PPP的验证
PAP 密码验证协议
PAP明文发送用户名和密码


CHAP 挑战握手验证协议
CHAP使用HASH值来传递用户名密码

ADSL使用PPPOE的技术

PAP的配置
Client(config)#int s0/1/0
Client(config-if)#ip add 1.1.1.1 255.255.255.0
Client(config-if)#encapsulation ppp
Client(config-if)#ppp pap sent-username cisco password csico

Server(config)#int s0/1/0
Server(config-if)#ip add 1.1.1.2 255.255.255.0
Server(config-if)#encapsulation ppp
Server(config-if)#ppp authentication pap
Server(config)#username cisco password csico

CHAP
R1(config)#username R2 password cisco
R1(config)#int s0/1/0
R1(config-if)#ip add 1.1.1.1 255.255.255.0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap
R1(config-if)#cl ra 64000

R2(config)#username R1 password cisco
R2(config)#int s0/1/0
R2(config-if)#ip add 1.1.1.2 255.255.255.0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap
R2(config-if)#cl ra 64000

FR帧中继
PVC 永久虚链路
DLCI 数据链路连接标识 相当于以太网的MAC
只具有本地意义 不同的PVC可以使用相同的DLCI号

解决帧中继NBMA的可达性问题
由于有水平分割 导致部分路由不能传递给其他路由器

使用子接口
会增加IP的需求

R1(config)#int s0/1/0
R1(config-if)#ip add 1.1.1.1 255.255.255.0
R1(config-if)#encapsulation frame-relay
R1(config-if)#frame-relay map ip 1.1.1.2 102 broadcast
R1(config-if)#no frame-relay inverse-arp

R2#sh frame-relay map 查看帧中继的映射图

帧中继的子接口
点到点
R1(config)#int s0.1 point-to-point
R1(config-subif)#frame-relay interface-dlci 102

点到多点
R1(config)#int s0.2 multipoint
R1(config-subif)#frame-relay map ip 1.1.1.2 102 broadcast

VPN 虚拟专用网
虚拟:两个私网的信息穿越公网
专用:流量必须加密来保证私密性

VPN的设备
路由器 PIX ASA VPN集中器

路由器使用软件加密解密
防火墙使用硬件加密解密

VPN的优点相对于传统二层链路
开销:非常小
安全:使用了加密解密
扩展性:完全兼容IP 支持组播 QOS 语音 视频的流量

VPN的种类
站点到站点
两边路由器的身份完全对等 配置基本相同
典型的代表:IPsec VPN

远程接入
使用CS模型 分为client和server
典型代表Ezvpn
Client的配置非常简单 Server的配置相当复杂

IPsec IP安全协议
私密性:加密 解密 保证数

据包的安全
完整性:hash算法 保证数据包不被篡改
MD5(消息摘要5) SHA(安全哈希算法)
验证:验证对等体的身份 预共享密钥 CA证书验证(RSA的签名)

加密算法
对称加密:DES 3DES AES
非对称加密:RSA

DH:在不安全的链路上安全的传递密钥

GRE VPN
通用路由封装
R1(config)#interface tunnel 0
R1(config-if)#ip add 192.168.13.1 255.255.255.0
R1(config-if)#tunnel source f0/1
R1(config-if)#tunnel destination 202.103.23.3
R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.13.3