copy modem:檔案名.bin.flash:
copy xmodem flash: 檔案名
加載IOS
CISCO IOS提供了網絡服務和網絡化的應用程式。
配置網絡裝置的步驟:
1、需求分析決定配置的内容;
2、配置基本協定IP位址和網絡參數;
3、其他可選項。
Catalyst交換機在出廠時有預設配置;
CISCO路由器出廠時沒有預設配置,需要執行初始化工作。
配置CISCO裝置的方法:
1、帶内配置:通過console、AUX(輔助端口)方式配置
2、帶外管理:telnet、WEB頁面配置、TFTP server下發配置;SNMP協定來進行配置(網管軟體)
IOS的使用者接口:
IOS的使用者接口是CLI(指令行接口)
每個裝置都有不同的配置方式;
你可以使用複制黏貼的方式進行配置;
使用Enter鍵來執行一條指令;
CLI有兩個主要的EXEC(指令執行模式):使用者模式和特權模式;不同的模式有不同的提示符資訊。
使用者模式的提示符是>,在使用者模式下,隻能執行少量的指令;在使用者模式下打入enable指令進入特權模式。
特權模式的提示符資訊是#,在特權下可以執行一些管理性的配置,例如複制、删除等。
指令行幫助工具:1、文法幫助工具,? 2、錯誤資訊提示; 3、指令曆史緩存;
全局模式:要對裝置進行配置,首先要進入全局模式;在這個模式下可以對裝置做一些全局性的配置;例如主機名等。在特權下,輸入configure terminal指令,提示符
hostname(config)#
配置主機名:在全局模式下hostname sw1
配置一個管理性的IP位址
在接口模式 在vlan1的接口下(是一個軟體接口)
在全局模式下interface vlan 1
接口模式的提示符資訊是(config-if)#
ip address 192.168.1.1 255.255.255.0
no shutdown(啟用這個端口)
配置預設網關:在全局模式下ip default-gateway 192.168.1.254
show version:檢視裝置的軟體和硬體資訊;包括軟體版本、裝置型号、接口的類型和數目、配置注冊項的值;
配置注冊項:它決定了路由器加載IOS和配置檔案的順序;
常見的配置注冊項:1、0x2102(預設的)代表了從flash中正常引導IOS和配置檔案;2、0x0 代表進入ROMMON模式(這個模式用于故障診斷和密碼恢複);3、0x1代表進入MINI IOS模式;4、0x2142代表了忽略啟動配置檔案,這個用于密碼恢複的。
路由器的内部元件:1、CPU;2、記憶體;3、flash卡(compact flash 用于儲存IOS檔案)4、NVRAM(非易失性記憶體,用于儲存啟動配置檔案和配置注冊項的值);5、接口;6、ROM(隻讀記憶體,儲存了bootstrap程式、POST(加電自檢)、ROMMON程式、MINI IOS)
配置檔案:運作配置檔案和啟動配置檔案
show running-config (用來檢視記憶體中的運作配置檔案)
show startup-config(用于檢視NVRAM中的啟動配置檔案)
儲存配置檔案:copyrun start/write
删除啟動配置檔案:erasestartup-config
重新開機路由器:reload
路由器的模式:1、使用者模式(>)-->(enable)2、特權(#)-->(config terminal)3、全局模式(config)#-->4、接口模式、子接口模式、路由模式、線路模式、控制器模式
路由器的基本配置:
1、配置主機名:全局下 Hostname r1
2、配置登陸提示資訊:全局下banner motd #welcome to openlab;this is a secured system, authorized access only!#
3、關閉域名解析 no ip domain-lookup
4、資訊同步 line console 0
logging syn
5、接口描述資訊:在接口模式下 description lan-to-engineeroffice;
6、配置路由器的密碼:
1)配置特權密碼;在全局下 enable passwordcisco/enable secret cisco;
2)配置遠端登陸密碼:line vty 0 4(15)
password cisco
login
3)console口的密碼:line console 0
password cisco
7、配置接口IP位址,show ip interface brief(檢視路由器上有哪些接口以及接口的狀态、IP位址等資訊)
8、加密所有密碼:全局下service password-encryption
9、執行逾時時間:
10、配置DCE: show controller serial 0/1/0檢視它是DCE還是DTE 在DCE端配置clock rate64000
11、配置接口帶寬:在接口模式下 bandwidth 2000(KBPS)
發現網絡鄰居
CDP協定(cisco Discovery protocol):是一個私有的2層協定,用于發現與之直連的CISCO裝置;
CDP可以發現鄰居裝置的主機名、裝置型号、裝置的類型、對方的端口、本地連接配接的端口、IOS版本、鄰居的IP位址;
show cdp neighbor
show cdp neighbor detail
show cdp entry *
關閉CDP 在全局下 no cdp run 在接口模式下 no cdp enable
建立網絡拓撲圖:1、主機名;2、裝置型号;3、接口;4、IP位址;5、線路類型
擷取遠端裝置資訊:使用telnet或者SSH協定登陸到遠端裝置,
show session:檢視目前有幾個遠端會話
show user:檢視登入到這個裝置上的使用者
挂起一個會話:ctrl+shift+6x
中斷會話:disconnectsession-number
清除會話:clearline line-number
ping用于測試目标網絡的連通性;
traceroute:用于查詢到達一個特定目标所經過是以網關;
尋找IOS的過程:1、先檢查配置注冊項的值;0x0(代表進入ROMMON模式,0x1進入mini IOS;0x2從flash中引導IOS);2
、執行NVRAM中啟動配置檔案中的boot system指令;3、預設情況下是從flash中引導IOS檔案;4、嘗試從網絡中引導IOS系統;5、RXBOOT模式;6、ROMMON。
修改配置注冊項的值:在全局模式下 config-register 0x2102
路由器密碼恢複的步驟:
1、電腦用console線連接配接到路由器的console口;
2、重新開機路由器;
3、打開超級終端,在路由器重新開機的30秒内按住ctrl+break鍵,進入ROMMON模式;
4、confreg 0x2142; (25路由器的配置 o/r0x2142)
5、重新開機路由器reset (25路由器重新開機的指令是i)
6、進入特權模式,copy start run
7、修改密碼在全局下enable secret cisco
8、儲存配置;
9、把配置注冊項的值恢複到0x2102;config-register0x2102
交換機的密碼恢複:
2、重新開機交換機;
3、打開超級終端,在交換機重新開機的時候按住MODE按鈕;進入ROMMON;它的提示符是switch:
4、打入flash_init指令
5、dir flash:檢視flash中的檔案(有一個config.text)
6、rename flash:config.text flash:old.text
7、reset重新開機交換機
8、進入特權模式,copy flash:old.text run
9、修改密碼;
10、儲存配置;
11、在特權模式下删除老的配置檔案 delete old.text
備份、恢複和更新IOS檔案
copy flash tftp(備份IOS檔案)
copy tftp flash(更新或者恢複IOS)
boot systemflash:c2800nm-advipservicesk9-mz.124-15.T1.bin
備份、恢複配置檔案
copy run tftp(備份運作配置檔案)
copy start tftp(備份啟動配置檔案)
copy tftp start(恢複啟動配置檔案)
copy tftp run(不是一個覆寫的過程,而是一個合并的過程)
show 檢視路由器狀态的靜态結果;占用系統資源少;
DEBUG 檢視路由器運作的動态過程;占用系統資源多。
show process cpu(檢視CPU的使用率)
2層交換機和網橋的功能:1、學習MAC位址;2、轉發并過濾資料幀;3、避免環路。
交換機轉發資料幀的3種方式:1、直通式它隻看資料幀頭中的目标MAC位址,然後立即轉發;2、存儲轉發式 它會等所有的資料封包全部到達之後并檢驗錯誤,然後再轉發;3、無碎片轉發(free-fragment) 它檢查資料幀的前64個位元組,然後立即轉發資料。
show mac-address-table 檢視交換機的MAC位址表;
2層的備援拓撲:它解決了單點失效而導緻網絡中斷的問題。
備援拓撲存在的問題:1、導緻廣播風暴;2、多幀複制;3、MAC位址表不穩定。
生成樹協定(spanning-treeprotocol):為備援拓撲提供一個無環路的環境。通過軟體阻塞其中一個端口來實作無環路的備援拓撲。
STP(802.1d協定)的運作原理:1、每個網絡隻有一個根網橋;2、每個非根網橋隻有一個根端口;3、每一個段隻有一個指定端口;4、根網橋上所有的端口都是指定端口;5、非指定端口被阻塞。
根端口:非根網橋上的距離根網橋最近的端口;
段:交換機與交換機之間的每一條鍊路都是一個段;
指定端口:用于轉發資料的端口
根網橋的選舉:交換機之間每2秒鐘會互相發送一個BPDU(橋接協定資料單元);BPDU包含了兩個字段:root bridge(代表了根網橋)bridge-id(網橋優先級和MAC位址);首先比較優先級,值越小越優先成為根網橋,優先級數值是0-65535,預設值為32768;如果優先級一緻的話,選擇最小的MAC位址的交換機成為根網橋。
STP的端口狀态:1、block(阻塞狀态)--->(maxage timer 20秒)2、偵聽狀态(listening)--->(forwarding delay timer 15秒)3、學習狀态--->(forwarding delay timer 15秒)4、轉發狀态
根端口的選擇:1、最小的path cost; 10M(100)、100M(19)、1G(4)、10G(2) 2、發送者的接口優先級 3、最小的port-id;
指定端口:最小的bridge-id。
STP進行彙聚的情形:1、端口狀态發生改變;2、網絡拓撲狀态改變的時候;
VLAN:每一個VLAN就是一個廣播域,它是由軟體邏輯劃分而成,每一個VLAN就相當于一個實體網橋。它提供更好的安全性,實作了靈活的分段。VLAN可以跨越多個交換機。
當VLAN需要跨越多個交換機的時候,交換機之間需要使用trunk(主幹)鍊路來傳送多個VLAN的流量。trunk使用特殊的封裝來區分不同vlan間的流量。
VLAN成員關系模式:1、靜态VLAN 基于交換機端口劃分而成;
2、動态vlan 基于MAC位址或者使用者名密碼劃分而成的。
Trunk的封裝協定:1、802.1Q 這個協定是一個國際标準協定;
2、ISL 這是一個CISCO私有的協定。
802.1q:在源MAC位址和以太類型字段之間加入了一個4個位元組的TAG,其中包含了4個字段:1、以太類型(0x8100 代表了802.1q資料幀);2、優先級字段,一共3個比特位;3、令牌環标記位;4、VLAN-ID,一共12個比特位,是以vlan一共有4096個(0-4095)。cisco交換機使用軟體形式來進行封裝802.1q資料幀。
802.1q支援native vlan,native vlan是指不加标簽的vlan,交換機的trunk鍊路上隻能同時支援一個native vlan。交換機的兩端的native vlan要一緻。
ISL:在原始資料幀加上了一個26個位元組的資料頭和4個位元組的CRC的尾;CISCO交換機會使用專用硬體晶片來封裝ISL資料幀,它不支援native vlan,它隻适合用于交換機和交換機之間,交換機和路由器之間,對于終端裝置而言,是完全透明的。
cisco29系列和45系列不支援ISL,隻支援dot1.q。
PVST(per vlan spanning-tree):每個VLAN會運作自己的生成樹執行個體,為了實作二層的流量負載均衡。cisco支援的是PVST+。
VTP(vlan trunk protocol):它是一個消息協定,用于通告一個管理域中vlan的配置資訊;它會保證在同一管理域内vlan配置資訊的一緻性,這個消息隻在trunk端口上發送。它可以進行集中化的VLAN配置和管理。
VTP會将交換機分成3個角色:server、client、transparent(透明)
VTP server模式:它可以建立、修改、删除VLAN;它可以發送和同步VLAN資訊;它的配置資訊會儲存在nvram中(其實在flash中,vlan.dat的檔案)。
VTP client模式:它不能建立、修改、删除vlan,它隻能和server進行同步vlan資訊;它會轉發VLAN通告,配置不會儲存在nvram中(在flash中也有一個vlan.dat的檔案)。
VTP的透明模式:它可以建立、修改、删除VLAN,但是它不會跟其他裝置進行vlan資訊的同步;它可以轉發通告,它不會發送通告;
配置資訊會儲存在nvram中。
VTP的運作過程:VTP會每5分鐘或者當VLAN資訊資料庫有改變的時候會發送多點傳播通告;VTP通告隻能發送給同一域内的交換機;用戶端會以修訂号的版本來進行同步,修訂号越高代表了VLAN資訊資料庫越新。
VTP的修剪:可以減少不必要的廣播流量,這個功能僅限于trunk端口。
VLAN的配置:1、選擇一個接口作為trunk端口;
2、指定trunk端口的封裝協定(29系列和45系列不需要指定)
3、配置VTP協定;
4、在VTP server上建立VLAN;
5、在每一個交換機上将端口劃分到vlan中。
文法:1、在接口模式下:
switchport trunk encapsulation dot1q|isl
switchport mode trunk
show interface f0/1 switchport
2、在全局模式下配置VTP
vtp domain name(ccna.com)
vtp mode server| client|transparent(預設模式是server)
vtp password password(cisco)
show vtp status
show vtp password
3、在全局下建立VLAN;
vlan vlan-id(0-4095) 0和4095是系統保留使用的,1,1002-1005也是系統自帶的,預設情況下,所有端口屬于vlan1,VLAN1也是預設的native vlan;1002-1005是保留給token-ring和FDDI;這些VLAN不能修改、删除、重命名;1-1001是屬于正常範圍值的VLAN;VTP server模式隻支援正常範圍内的vlan;從1006-4094都屬于擴充範圍的vlan,隻有透明模式支援。
每個交換機所支援的vlan數目是不一樣的;
在vlan模式下:name ccna
show vlan
show vlan brief
4、在接口模式下:
switchport mode access(預設的工作模式是dynamic desirable)這個模式用于接入終端裝置;
switchport access vlan vlan-id
trunk端口可以通路所有的VLAN,它不屬于某個具體的VLAN;
VLAN配置常見的錯誤:1、trunk兩端的封裝協定不比對;
2、VTP的域名不一緻;
3、VTP的password不一緻;
4、端口不在同一vlan中。
5、VTP的工作模式是否合适。
單臂路由:使用子接口(subinterface)來路由多個vlan的流量;子接口是由實體接口通過軟體邏輯劃分而成;每個子接口可以有跟實體接口一樣的配置;
1、在全局下啟用實體接口
interface f0/0
no shutdown
2、在全局下建立子接口
interface f0/0.1
encapsulation dot1q vlan-id (10)
ip address 10.1.1.1255.255.255.0
單臂路由的缺點:單點失效;流量阻塞;
在配置單臂路由的時候,交換機上的端口也需要配置trunk。
交換機的端口安全:
1、在接口模式下将端口作為access模式;
interface f0/1
switchport mode access
2、在接口模式下啟用端口安全
switchport port-security(啟用端口安全)
switchport port-security maximum 1
switchport port-security mac-address 000c.1111.1111
switchport port-security violation shutdown|protect|restrict
show port-security
show port-security address
show port-security interface f0/10
routing(路由選擇)
router(路由器)
route(路由):到達一個特定目标的路徑。
routing protocol(路由協定)
routed protocol(被路由的協定,比如IP協定)
為了獲得一個路由,首先必須知道目标位址
1、确定可以知道這個路徑的所有源裝置;
2、發現盡可能多的路徑;
3、選擇一個最佳的路徑;
4、維護和驗證路由資訊。
這個過程稱之為路由選擇(routing)
獲得路由的方式:一種是靜态路由,管理者手工指定;優點:原理簡單、配置簡單;缺點:不能夠自适應網絡拓撲變化;第二種是動态路由,它是通過路由協定來動态學習到的;它能夠自适應網絡拓撲變化;但是原理配置相對比較複雜。
靜态路由的配置:在全局模式下:ip route network [mask]{address | interface}[distance] [permanent]
network:代表了目标網絡;mask是目标網段的子網路遮罩;
address:下一跳路由器的IP位址;
interface是指本地路由器的出口;一般不推薦使用這個,隻适合于點到點的鍊路;點到點的鍊路通常指使用HDLC、PPP協定封裝的線路、幀中繼和ATM的點到點子接口;
distance:管理距離;permanent:永久的。
default route(預設|預設路由):當目标網絡不明确的時候。
ip route 0.0.0.00.0.0.0 下一跳路由器的IP位址
路由協定:用在路由器與路由器之間,用于學習、維護路由表的規則;一當确定一個路徑之後,路由器就可以路由IP協定了。
自治系統:(AutonomousSystems)一個相同管理域内的所有網絡的集合。自治系統号(1-65535);
一個路由協定工作在同一個自治系統内的,這種路由協定稱之為IGP(内部網關協定);
一個路由協定工作在不同的自治系統之間,這種路由協定稱之為EGP(外部網關協定)。
常見的IGP:RIP、eigrp、ospf、ISIS
常見的EGP:BGP
管理距離:每一個路由協定都有一個預設的管理距離值;代表了這個路由協定的可信度;管理距離值是0-255之間;值越小越可信。
常見的路由協定的AD值:直連的路由(0)、靜态的(1)、彙總的EIGRP路由(5)、EBGP(20)、内部的EIGRP(90)、IGRP(100)、OSPF(110)、ISIS(115)、RIP(120)、外部的EIGRP(170)、IBGP(200)、未知的協定(255)
有類的路由協定:在路由通告的時候,不包含子網路遮罩;它假定在相同的網絡内子網路遮罩是一緻的;在網絡的邊緣處,會産生自動彙總,隻能彙總成主類網段。rip v1、igrp屬于有類路由協定。
路由彙總:将多個小的網絡聚合成一個大的網絡;前提條件是之前這些小的網絡是通過VLSM劃分而成的。目的:減少路由表的條目,節約路由器的記憶體。彙總的原則:比較最高的相同比特位,要精确彙總。
無類路由協定:在路由通告的時候包含了子網路遮罩;支援VLSM和手工彙總。RIPV2、EIGRP、OSPF、ISIS、BGP都屬于無類的路由協定。
路由協定的算法進行分類:距離矢量型(RIPV2)、鍊路狀态型(OSPF、ISIS)、混合型(EIGRP)
距離矢量型路由協定:它會周期性将自己的路由表通告給鄰居,并且附上路由的距離矢量。
選擇一個最佳路徑:路由協定會根據自己的metric(路徑成本)來選擇到達一個特定目标的最佳路徑。
RIP的metric是以HOP(跳數)作為它選擇最佳路徑的标準。最小的跳數為最佳路徑。
EIGRP的metric是以一個複合的路徑成本來選擇最佳路徑的;它有5個參數:帶寬(bandwidth)、延遲(delay)、可靠性(reliablity)、負載(load)、MTU(最大傳輸單元);預設EIGRP隻使用帶寬和延遲作為它的路徑成本。metric=[10^7/bandwidth(kbps)+delay/10]*256
維護路由資訊:它是按照逐跳的方式來處理路由更新。
避免距離矢量型協定的路由環路問題:1、定義一個最大的路徑成本來防止metric值變成無窮大;2、水準分割,從一個接口上收到的路由更新不會再從這個接口上更新出去;3、路由中毒 當發現一個路由down掉之後,會發送一個更新,更新中路由的metric為最大的metric來申明這個路由失效了;4、毒性逆轉 當路由器收到一個路由中毒消息之後會立即給發送方回報一個路由中毒的消息,以加以确認這個路由已經中毒。5、抑制計時器 在收到一個路由中毒消息之後,路由器會立即啟用一個計時器,在這個計時器内,它不會相信任何關于中毒路由的更新;6、觸發更新 在發現路由down之後,不需要等到下一個更新周期,立即發送路由更新。
鍊路狀态協定:1、路由器之間會互相發送hello包,來發現鄰居,并建立鄰接關系;形成了鄰居表;2、路由器會将自己的鍊路狀态資訊(LSA鍊路狀态通告)通告給所有的鄰居;路由器會收集所有鄰居發送的LSA,形成一個拓撲表;拓撲表中包含了到達所有目标的所有路徑;3、路由器會使用SPF(shortest path first最短路徑優先)算法計算出到達一個特定目标的最短路徑,形成路由表。
鍊路狀态協定通常會采用分層的機制來進行設計;目的:簡化路由表,使拓撲改變的影響最小化。通常會将一個AS分成多個AREA(區域),其中包括一個主幹區域(backbone area)和其他正常區域;所有正常區域必須直連到主幹區域。
鍊路狀态協定的算法:它采用SPF,以自己為原根,将所有路徑的cost值相加,擁有最小的COST值的路徑作為最佳路徑。
鍊路狀态協定的優點:1、沒有環路,因為它擁有所有的拓撲資訊;2、快速的彙聚(收斂);3、如果采用了分層設計,它能夠優化資源的使用率。
鍊路狀态協定使用的注意事項:1、要有足夠的記憶體和CPU資源;因為它需要維護3張表;所有路由都是自己計算的。2、需要分層設計;3、如果網絡設計比較複雜,可能會導緻配置比較複雜;4、故障診斷要比距離矢量協定容易一點。
鍊路狀态協定的缺點:記憶體和CPU使用率較高;初始化的時候流量會非常大。
更新采用增量更新。
混合型協定:它具有鍊路狀态協定的特征,又具有距離矢量協定的特征。
RIP(routing information protocol):它是一個距離矢量型協定;目前我們使用V2版本;它屬于無類路由協定;它是一個IGP協定;它每30秒把自己的路由表更新給鄰居;使用跳數作為它的路徑成本;支援VLSM;支援自動彙總和手工彙總,自動彙總預設打開的;支援最大6條等價路徑,預設是4條。
RIP的計時器:hello計時器是30秒;holdtime(抑制計時器)是180秒;invalid(失效計時器)是180秒;flush(置空計時器)是240秒。clear ip route *(立即清空路由表來重新學習)
RIP的配置:
1、在全局模式下 router rip(進入路由模式)
2、version 2(指定版本)
3、no auto-summary(關閉自動彙總)
4、network network-number(釋出直連的網段,網段号隻需要配置主類的網段号)
檢查RIP的指令:show ip route(檢視路由表)
show ip protocols(檢視目前運作的路由協定以及這個協定的相關參數)
debug ip rip(可以檢視RIP更新的詳細資訊) ripv2是以多點傳播方式來發送更新的,目标位址是224.0.0.9.
undebug all|no debug all關閉所有debug資訊
EIGRP協定的配置
EIGRP:(進階内部網關路由協定)它是CISCO私有協定,它屬于混合型協定,也是一個IGP協定;支援VLSM,支援手工彙總和自動彙總,預設自動彙總打開;它使用帶寬、延遲、可靠性、負載和MTU作為它的路徑成本;預設隻考慮帶寬和延遲;支援最大六條等價路徑,預設4條;它也支援不等價路徑的負載均衡。它支援多個網絡層的協定(ip協定、IPX協定等網絡層協定)。它采用多點傳播位址224.0.0.10來發送更新,采用增量更新;能夠提供快速的路由彙聚。
1、EIGRP路由器之間會互相發送hello包,來發現鄰居,形成鄰居表;鄰居表包含了鄰居的IP位址以及本地的接口。
show ip eigrp neighbor
2、互相更新路由表,通過收集所有鄰居的路由表,形成一個完整的網絡拓撲表;采用擴散更新算法(DUAL)計算出一個無環的最佳路徑;最佳路徑稱之為successor(繼承者);EIGRP也會計算出一個fessiblesuccessor(可行的繼承者)來作為successor的備份;
AD(通告的距離):鄰居路由器到達目标的距離
FD(可行的距離):本路由器到達目标的距離
FD最小的路徑作為最佳路徑。
成為可行繼承者的條件:可行繼承者的AD值一定要小于繼承者的FD值。
3、将繼承者注入到路由表中。可行的繼承者仍然放在拓撲表中。
EIGRP的配置步驟
1、在全局模式下
router eigrp as-number(100)
no auto-summary
2、在路由模式下釋出直連網段
network network-number wildcard(通配符)
通配符:0代表精确比對一個數值;1代表忽略一個數值。
檢驗EIGRP的配置:
show ip route eigrp (檢視EIGRP的路由表)
show ip eigrp neighbor(檢視EIGRP的鄰居)
show ip eigrp topology(檢視EIGRP的拓撲表)
show ip protocol(檢視目前運作的路由協定和協定的相關參數)
debug ip eigrp packets
debug ip eigrp events
OSPF協定
它是一個鍊路狀态協定,是一個開放的标準路由協定,所有廠家都支援這個協定,采用了SPF(最短路徑優先算法);OSPF路由器互相之間通告的是LSA(鍊路狀态通告)而不是路由表;
link(鍊路)=路由器的接口
state(狀态)= 對路由器接口的描述(接口的類型、接口的IP位址和掩碼、接口的狀态等資訊)以及鄰居之間的關系;
LSA會泛洪到區域(area)中的所有OSPF路由器上。通過收集區域中的所有LSA資訊形成拓撲表;
通過SPF算法計算出到達所有目标的最佳路徑。(最短路徑樹或者路由表)
OSPF COST的計算公式 cost=10^8/bandwidth(bps) 這個公式僅适合于100M以及100M以下帶寬的鍊路。
OSPF支援等價負載均衡,最大6條,預設4條。
OSPF隻有在鍊路發生變化時才發生更新;或者每半個小時泛洪一次(将整個鍊路狀态資料庫(LSDB)發送給鄰居)。
OSPF的配置步驟:
1、在全局模式下 router ospf process-id(1)
鄰居之間的程序号可以不一緻,也可以在一個路由器啟用OSPF的多個程序,但是多個程序之間會獨自産生自己的資料庫,是以不推薦啟用多個程序。
2、在路由模式下釋出直連網段
network network-number wildcard area area-id(0) OSPF的backbone區域就是AREA0.
檢查OSPF的配置
show ip route ospf(檢視OSPF的路由)
show ip ospf neighbor(檢視OSPF的鄰居)
show ip ospf database(檢視OSPF的拓撲表)
show ip protocol(檢視OSPF協定的相關參數)
show ip ospf interface(檢視OSPF的接口相關參數)
router-id:在OSPF中,要建立鄰居關系,需要每個路由器提供一個身份辨別;身份辨別通常是路由器上的一個接口IP位址;預設情況下,最大的實體接口位址成為router-id;如果路由器上存在loopback(回環)接口,那最大的loopback接口位址作為router-id;
loopback接口是一個軟體接口,它具有很好的穩定性,不會受到實體接口影響;一般企業用這個接口位址作為路由器的管理位址。
debug ip ospf packets
debug ip ospf events
建立loopback接口:在全局下 interface loopback number(0)
不要忘記将loopback接口放入到路由協定中。
router-id在選舉的時候沒有強制性;一旦選舉完畢,即使你添加了loopback接口,loopback接口也不會立即成為router-id;一定要等到下次選舉的時候(下次重建立立鄰居關系的時候);
通過ACL(通路控制清單)來管理IP流量
ACL:就是流量進出的管理規則;
ACL常見的應用:1、允許或者拒絕通過路由器的資料包;
2、允許或拒絕vty線路的通路。
其他的應用:1、NAT(網絡位址轉換);2、隊列技術;3、按需撥号;4、IPSEC ×××等。
ACL的類型:1、标準的ACL,它隻檢查源位址,隻過濾整個IP協定族;不能夠允許或拒絕某個特定的流量;2、擴充的ACL,它會檢查源和目标位址,可以允許或拒絕某個特定的應用程式。
标明一個ACL:1、數字化的ACL 1-99代表了标準的IP ACL;100-199代表了擴充的IP ACL;1300-1999也是表示标準ACL;2000-2699也用于表述擴充的ACL。2、命名的ACL;
ipaccess-list standard ccna
ipaccess-list extended ccna
ACL使用通配符來比對IP位址;
特殊的通配符:1、比對一個主機 0.0.0.0= host
執行個體:access-list10 permit 172.16.1.1 0.0.0.0
access-list 10 permit host 172.16.1.1
2、比對任意一個主機 0.0.0.0 255.255.255.255=any
執行個體:access-list10 permit 0.0.0.0 255.255.255.255
access-list 10 permit any
3、比對連續的網段 172.16.16.0-172.16.23.0/24
access-list 10 per 172.16.16.0 0.0.7.255
ACL的配置規則:
1、ACL的名稱或者數字标明了什麼樣的協定将被過濾;
2、每一個接口、每一個協定、每一個方向隻能使用一個ACL;
3、ACL是按照語句的順序來進行測試;
4、最嚴格的語句要放在ACL的最上面;(先配置的就在上面,後配置的在下面)
5、ACL的最後有一個隐含的DENY ANY語句,是以ACL至少應該有一個permit語句;
6、在應用ACL到接口之前,首先應該先建立ACL;
7、ACL隻能過濾通過路由器的流量,不能過濾路由器自身産生的流量;
8、ACL不能插入或删除某一條語句,除了命名的ACL可以删除一條語句,但是仍然不能插入一條語句。
标準ACL的配置
step1:在全局模式下建立ACL
access-list acl-number permit|denynetwork-number wildcard
執行個體:access-list 10 permit 172.16.1.0 0.0.0.255
step2: 将ACL應用到接口上
interface f0/1
ip access-group acl-number in|out
執行個體:ip access-group 10 in
擴充ACL的配置
step1:在全局下建立ACL;
access-list access-list-number {permit | deny} protocol(協定) source source-wildcard [operatorport] destination destination-wildcard [operator port] [established] [log]
protocol:IP、TCP、UDP、ICMP、OSPF、EIGRP等
operator:EQ(等于)、NEQ(不等于)、GT(大于)、LT(小于)、range(範圍)
port(端口号)
established:隻用于TCP流量,隻比對已經完成3次握手的流量;(防範TCP SYN攻擊)
log:産生日志消息。
執行個體:access-list 100 permit tcp 192.168.1.0 0.0.0.255any eq www
access-list 100 permit udp 192.168.2.0 0.0.0.255any range 21000 35000
step2:在接口上應用ACL;
ipaccess-group acl-number in|out
執行個體:ipaccess-group 100 in
命名的ACL配置:
step1:在全局下配置命名的ACL;
ipaccess-list standard|extended name
執行個體:ip access-list extended ccna
step2:在ACL的子模式下配置規則:
1)如果是标準的,
permit|deny network-number wildcard
2)如果是擴充的;
{permit | deny} protocol(協定) source source-wildcard [operator port] destinationdestination-wildcard [operator port] [established] [log]
access-list 100 per tcp host 192.168.1.1 any eq 80
ipaccess-list extended ccna
permit tcp host 192.168.1.1 any eq 80
對ACL做一個描述
執行個體:access-list 10 remarktest-for-ccna
限制VTY線路的通路:
我們需要在所有的VTY線路上應用ACL;
執行個體:access-list 10 per host172.16.1.1
line vty 0 4
access-class acl-number in
執行個體;access-class 10 in
檢查ACL:
show access-list show ipaccess-list
show ip int f0/1
NAT(網絡位址轉換):為了解決公網位址匮乏的問題;提供了一定的安全性。
NAT的術語:1、inside local(内部本地位址)用于公司内部通訊的位址,通常是私有位址;2、inside global(内部全局位址)公司出去通路公網時使用的位址,通常是ISP配置設定給公司的公網位址;3、outside local(外部本地位址) 外部使用者通路公司内部資源使用的位址;通常這個位址是公網位址,有些特殊情況是公司特定配置設定的私有位址。4、outsideglobal(外部全局位址):通常是公網位址,公司通路的外部伺服器的公網位址。
PAT(端口位址轉換):它允許将多個内部本地位址轉換成一個内部全局位址。
配置NAT的方法:1、靜态NAT配置,管理者手工指定,适合于轉換内部對外提供服務的伺服器;2、動态的NAT配置,一般适合于内部員工去通路外部公網伺服器的時候;
靜态NAT配置的方法:
1、在全局下 ip nat inside source static inside_local_addressinside_global_address
ipnat inside source static 172.16.1.3 202.1.1.3
2、指定内部接口和外部接口
interface f0/0
ipnat inside(連接配接内網的接口)
intf0/1
ipnat outside(連接配接外網的接口)
動态NAT的配置
1、定義一個ACL來确定哪些内部流量需要被轉換出去;
access-list access-list-number permit protocol source source-wildcarddestination destination-wildcard
執行個體:access-list 10 per 172.16.1.0 0.0.0.255
2、定義一個位址池用于轉化内部位址
ipnat pool pool-name start-ip end-ip netmask mask/prefix-length length
執行個體:ip local pool ccna 202.1.1.2202.1.1.6 netmask 255.255.255.248/prefix-length 29
3、将ACL和位址池關聯
ipnat inside source list acl-number pool pool-name [overload]
執行個體: ip nat inside source list 10pool ccna overload
4、指定内部接口和外部接口
interface f0/0
ip nat inside
interface f0/1
ip nat outside
PAT的配置步驟
2、進行端口轉換
ipnat inside source list acl-number interface interface-name overload
執行個體:ip nat inside source list 10interface f0/1 overload
3、指定内部接口和外部接口
内部對外提供服務的伺服器使用靜态的NAT,内部員工出去通路Internet時,通常用PAT技術。
檢查NAT的配置
show ip nat translation(檢視NAT轉化的資訊表,包括靜态的和動态的轉換)
show ip nat statistics(檢視NAT的配置資訊和統計資訊)
debug ip nat(檢視NAT轉換的動态過程)
clear ip nat translation *(清除所有的動态NAT轉換)
WAN(廣域網):用于連接配接遠端站點的線路,通常是指專線網絡;選擇廣域網連接配接方式的時候要考慮使用者的需求、費用和高可用性。
WAN常見的連接配接方式(實體層):專線(DDN、SDH等);電路交換網絡(ISDN);包交換網絡(fram-relay、ATM);
WAN2層常見的使用協定:HDLC、PPP、frame-relay、ATM(異步傳輸模式)。
點到點的連接配接線路:1、HDLC,是序列槽的預設封裝協定;2、PPP協定:它分為了兩層;一層是LCP,用于控制2層鍊路的建立;一層是NCP,用于将網絡層的資料包封裝成幀;
LCP的可選項配置:認證、多鍊路捆綁、壓縮、錯誤探測等功能;
PPP的認證包括兩種協定:PAP(pppauthentication protocol)和CHAP(挑戰握手認證協定);PAP在認證的時候是以明文密碼認證的;CHAP在認證的時候密碼是加密的;
PPP CHAP的配置步驟:
1、在全局下配置主機名;
hostname name
2、在全局下配置使用者名和密碼
username name(對方的主機名) password password(密碼)
username r2 password cisco
3、在接口模式下
interface serail 0/0
encapsulation ppp
ppp authentication chap
debug ppp authentication(驗證PPP認證是否成功)
幀中繼(frame-relay)
幀中繼是一個面向連接配接的2層封裝協定,它使用VC(虛電路)提供連接配接;
VC(虛電路):它是由軟體通過統計複用技術将一個實體線路邏輯劃分而成的,一個實體線路可以最多劃分成1024個VC;
local loop(本地環路):CPE(用戶端的路由器)和ISP幀中繼交換機之間的鍊路;在這個本地環路上,ISP會給使用者提供一個或者多個VC;
VC可以分為PVC(永久虛電路)和SVC(交換虛電路);現在一般用PVC;我們使用DLCI(資料鍊路控制辨別符)去标明某一個具體的VC;DLCI值存在于本地環路上,隻有本地意義。
LMI(本地管理接口):用于跟中心局交換機通訊的協定,它可以知道目前本地環路有哪些VC,以及這些VC的狀态(active、inactive、deleted);LMI的标準:1、CISCO;2、Q.933标準(國際标準);3、ANSI(美國标準)。
CIR(承諾資訊速率):電信服務商保障的帶寬;
bc(承諾超出速率):線上路不是很忙的情況下,允許的超出的速率;
BC=CIR*TC(125ms)
BE(突發超出速率):線上路非常空閑的情況下,突發的速率。
MINCIR(最小承諾資訊速率):線上路滿負荷的情況下,最低的帶寬保障值。
幀中繼的拓撲類型:全網狀的、部分網狀的、星型的。
幀中繼的位址映射:使用INVERSE-ARP(反向ARP)解析DLCI号對應的IP位址;使用本地的DLCI号解析遠端對端的IP位址。
幀中繼映射的配置
1、在實體接口下封裝幀中繼
interface s1/0
encapsulation frame-relay
ip address
frame-relay map ip 對方的ip位址 本地的DLCI号 broadcast
執行個體:frame map ip 10.1.12.2 102 broadcast
2、幀中繼的子接口分為兩種:一種是點到點子接口;一種是多點子接口;隻有點到點子接口才能解決水準分割的問題;
1、在實體接口下封裝幀中繼;
encapsulation frame-relay
no shut
2、在全局下建立點到點子接口
interface s1/0.1 point-to-point
ip address 10.1.12.1255.255.255.0
frame-relay interface-dlci 本地的DLCI号
執行個體:frame-relay interface-dlci 102
在這種接口下隻支援這個映射的指令。
3、在建立多點子接口:
interface s1/0.2 multipoint
ip address 10.1.13.1255.255.255.0
frame-relay map ip 對方的ip位址 本地的DLCI号 broadcast
多點子接口連接配接多個遠端站點,需要每一個遠端站點做一個映射。
http://jlsgs.blog.51cto.com/7966754/1677001