初级工程师(CCNA)
-
网络基础概念
-
OSI模型:
OSI层次 作用 协议 应用层 为用户提供发送,接受数据的接口 http(超文本传输),https(安全的超文本传输),FTP(文件传输协议),tftp(普通文件传输),e-mail服务(smtp(简单信息传输协议),pop3(邮件协议)),远程登录登陆(telent(远程登录),ssh(安全套件远程登录)) 表示层 提供给用户数据发送,数据表示形式 ASCII码, 会话层 提供给用户不同应用处理的平台,区分服务 操作系统(多线程) 传输层 提供数据可靠或者不可靠的传输服务:提供端到端的连接,提供差错控制和纠正功能 TCP(传输控制协议):可靠传输,面向连接,小数据量。UDP(用户数据协议):不可靠传输,面向非连接,大数据量。SPX:Novell公司 网络层 提供逻辑地址:逻辑地址,差错控制及纠正 IP:因特网协议,标识网络节点。IPX:Novell公司。Appletalk:苹果公司 数据链路层 提供物理地址–网卡 有线网:IEE 802.3。无线网卡:IEEE 802.11a/b/g/n/ac 物理层 定义线缆标准 RS232(console线),RJ45(双绞线) -
查看本地电脑网卡地址及IP地址
cmd->ipconfig/all 物理地址就是网卡地址
-
-
TCP/IP模型:
TCP/IP OSI 协议 应用层 应用层,表示层,会话层 相同 主机到主机层 传输层 TCP/UDP 因特(internet)层 网络层 IP(因特网协议),Icmp(因特网控制管理协议,用于测试通信)。ARP(地址解析协议,映射ip地址和mac地址) 网络接入层 数据链路层,物理层 LAN:MAC(以太网卡),Token-ring(令牌环),FDDI(光纤)。WAN:Ppp(点到点协议),Frame-relay(帧中继 日本) 实验1:
-
设置http服务
检查:
-
DNS服务
DNS(domain-name server/system 域名服务器、系统):将web网站的域名和web网站的IP地址进行映射,方便用户使用网络。举例:百度的域名:www.baidu.com 百度服务器的地址 180.97.33.107
180.97.33.108
检查:
-
E-mail服务器:smtp和pop3
测试:
192.168.1.1登录[email protected]邮箱,向[email protected]邮箱发送文件
“你好,朋友,我们能不能处一下子。”
登录邮箱,写邮箱,发送
-
ftp服务
测试:
-
远程登录(telnet):
设备基本操作 设备模式 用户模式:管理员模式:(输入enable 可以简写为 en)全局模式(配置模式):config(conf t)模式切换:exit:逐渐推出,最终可以退回到用户模式end:直接退出,只能推出到特权模式TAB:补全键,?命令提示符 设备的命名 全局模式下:hostname+名称(设备的命名具有指向性) Console密码 安全:防止console任意登录,保证console授权登录 配置:全局模式下:line console 0(进入console线程)password ccna(配置console身份认证,密码:cnaa) login (激活身份认证console登录)[ enable密码 安全:对用户身份进行认证,用户模式进入特权模式做认证 全局模式下:enable password ccnp(设置enable密码,密码为ccnp) 验证密码 远程登录密码 安全:为了对远程远程登录的用户进行身份验证(telnet) 配置:在全局模式下 Line vty 0 4(进入虚拟终端线程,打开0-4共五个线程,最多16). password ccie(正常设置密码)login(激活) 设备优化配置 1.关闭超时:在全局模式下 Line console 0 。 no exec-timeout(关闭超时) logg sy(开启会话同步,输入命令和系统会话分开) 2.删除密码 全局模式下 no enable password (删除enable密码)line console 0 。 no password (删除console 密码) line vty 0 4 。no password (删除telent) 交换机远程登录:
-
配置交换机的管理接口地址
进入全局模式下:
int vlan 1(进入交换机的管理接口)
no shutdown (打开接口) 简写(no sh)
ip address 192.168.1.254 255.255.255.0(配置接口ip地址)
-
测试:
-
-
-
-
-
二层技术
-
第一节交换机基本功能:
MAC地址学习:
交换机本地会保存终端设备的MAC地址,与交换机的接口形成动态的映射关系,我们成为MAC地址表,这是交换机转发数据帧的依据。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hNtTbieE-1635605447534)(C:\Users\NSQAQ\AppData\Roaming\Typora\typora-user-images\image-20210706142009032.png)]
注意:交换机mac地址表默认保存300s,300s之后刷新。(老化时间 aging-time)
-
数据帧的转发和过滤
-
二层网络防止环路:生成树 spanning-tree(简称:STP)
作用:逻辑上阻塞接口,使接口进入一种blocking状态,接口的颜色为橙色
当链路正常时,阻塞接口链路不转发数据;当链路出现单点故障时,阻塞链路会自动切换成forwarding转发状态(50=20s+15s+15s)。
-
-
虚拟局域网技术:
虚拟局域网(VLAN:virtual local area network)用于分割广播域,逻辑上对交换机进行网络分段,实现广播域分割,避免广播包的扩散
-
Vlan的范围:0-4095(2^12)
0,4095:系统保留,不能使用
1:管理vlan,交换机缺省vlan(所有设备默认在vlan1)
2-1001:以太网常用vlan,LAN中可以使用
1002-1005:令牌环和光纤保留vlan,不能使用
1006-4094:扩展vlan,三层及以上交换机(思科3550/60,华为3700/5700)
PS:vlan数量的限制满足不了大数据的要求,vmware公司和cisco公司共同研发Vxlan技术,提供共超过16万vlan。
交换机上使用vlan直接创建基于vlan-id的虚拟接口,配置ip地址作为此vlan的网关地址,这种虚拟接口就是svi接口
-
配置Vlan:
vlan 10 创建vlan,vlan-id:10
name MY 命名vlan,名称MY。可选配置,默认名称”VLAN0010“
int rang f0/1-4 同时进入f0/1到f0/4所有接口
Switchport mode access 交换机接口模式设置为接入模式(简写:sw mo ac)
Switchport access vlan 10 交换机接口vlan10中(简写: sw ac vlan 10)
检查:
查看vlan摘要信息及接口:show vlan brief
-
干道技术 trunk
提供交换机接口为不同的vlan数据帧打标机和识别标记的功能,实现跨交换机LAN通信(一个vlan=一个网段=一个广播域LAN)。
Trunk的配置:
trunk一般配置在交换机之间的链路
int ran f0/5 - 6 进入干道接口 Switchport mode trunk (简写 sw mo tr ) 设置接口为trunk接口 。注意:接口一旦设置为trunk口,不在属于任何vlan,show vlan brief 查看trunk接口。 -
单臂路由技术
用来解决不同vlan之间的通讯问题,路由器需要提供网关地址。并且识别不同vlan数据帧的标记。
交换机
int f0/6
sw mode trunk (简写 sw mo tr) 封装trunk接口
路由器
int f0/0 进入接口f0/0
no sh 打开接口
int f0/0.10 创建子接口,接口号**.10** (2^31)
encapsulation dot1q 20 简写(en do 20) 封装dot1q标记 vlan20
ip add 10.1.1.254 255.255.255.0 配置vlan20网关
int f0/0.20 创建子接口,接口号**.20**
en do 30 封装dot1q标记 vlan30
ip add 10.1.2.254 255.255.255.0 配置vlan30网关
设置计算机网关
单臂路由网络故障排除步骤:
-
终端设备地址检查
重点排查:网关地址“default gateway”是否正确
-
排查交换机的接口vlan划分,trunk接口封装
show vlan brief (查vlan接口)
show int trunk (查看trunk链路)
-
排查路由器网关子接口IP地址及标签封装
show ip int brief (查看接口ip地址)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tAHyevJr-1635605447545)(C:\Users\NSQAQ\AppData\Roaming\Typora\typora-user-images!在这里插入图片描述
)]show running-config 简写(sh run ) 查看设备正在运行的配置
-
-
vtp (虚拟局域网干道协议)
-
VTP:vlan trunk protocol ,用于思科交换机之间同步vlan信息,例如:vlan-ID,vlan-name,但是不包括接口划分。
vtp的配置(前提是交换机之间所有链路封装trunk)
-
vtp domain CCIE(设置vyp域名必须相同) ,名字最好大写
-
vtp version 2 (选择vtp版本,常用vtpv2)
-
vtp mode server/client/transparent (选择vtp的模式,服务/客户/透明模式)
同步的话一般,选择1个sever 其他全为client
不同步:全部透明 transparent
transparent,不进行同步
sever和client相互同步
-
可选:身份认证
vtp password cisco 设置vtp密码,密文 md5
进行配置:
-
右,下两台设置trunk
en,
conf t
int f0/7
sw mo tr
end
wr -
左右
en
conf t
vtp do CCIE
vtp mode client
-
下
en
conf t
vtp do CCIE
vtp ver 2
vtp mode server
vlan 10
vlan 20
vlan 30
-
查看vtp是否同步
show vtp status
如果vtp不同步,先检查交换机之间的trunk封装;再去提升“sever”端修订版本号
下:server
全局模式下(创建vlan,修订号+1;删除vlan,修订号+1)
vlan 40
no vlan 40
vlan 50
no vlan50
-
路由器增加单臂路由的网关接口
en
conf t
int f0/0.30
en dot1q 10
ip add 192.168.1.254 255.255.255.0
-
给计算机增设网关
-
-
-
路由技术(三层技术)
路由器:网关地址;提供网络设备转发数据的依据,即路由表。
路由器功能:
(1) 逻辑寻址:通过查看数据包中目的IP地址,然后再去查看本地路由表,根据路由表进行数据转发。
支持逻辑寻址:路由协议(static、rip、ospf、eigrp)
(2) 流量控制:通过识别数据包中的源、目IP地址和源、目端口号对数据进行相应策略(允许通过、拒绝通过)
支持流量控制:ACL
(3) WAN连接:通过接入运营商或者Internet的方式,使内网能够互相访问或者访问Internet资源。
支持WAN连接:NAT
(4) VPN连接:通过公网传输私网数据,实现私网到私网的通信
种类:GRE VPN(内网边界设备配置)、MPLS VPN(运营商边界设备配置)、IPsec VPN(内网边界设备配置,需要公网地址)、DM VPN(大型公司分支站点多)
-
因特网协议
IP:Internet protocol 因特网协议
作用:用于标识网络中每一个节点,网络设备“定位符”
ip共有16个版本,常用ipv4和ipv6.
ipv4 32位二进制的地址,使用点分十进制表示,例如:192.168.1.1.每段8位二进制。地址空间:2^32约等于42.9亿 ipv6 128位二进制的地址,使用冒号分十六进制表示,例如:2001:a : b: c : d:2002:1:2。分成8段,每段16位二进制。地址空间:2128约等于3*1038(撒哈拉沙漠沙子) 现在ipv6网络大多数是与ipv4公用基础网络架构,双栈(ipv4和ipv6),设备负担大。
ipv4地址组成:网络位network+主机位host=32位
网络位:确定一个网络范围大小 2104教室
主机位:确定此地址在网络位所确定的网络范围中具体位置。 2104教室第一排第一列
2^7 2^6 2^5 2^4 2^3 2^2 2^1 2^0 128 64 32 16 8 4 2 1 192 1 1 0 0 0 0 0 0 168 1 0 1 0 1 0 0 0 255 1 1 1 1 1 1 1 1 240 1 1 1 1 0 0 0 0 掩码mask:用于确定ip地址中网络位的位数。通过与ip地址进行二进制的与计算,得到的不变位就是网络位,其他主机位。
例子:
IP地址:192.168.1.100 1100 000.1010 1000.0000 0001.0110 0100
ip掩码:255.255.255.0 1111 111.1111 1111.1111 1111.0000 0000
网络位:192.168.1
主机位:.100
IP地址:172.16.20.20
ip掩码:255.255.240.0
网络位:172.16.16
主机位:4.20
192.168.1.1 255.255.255.0也可以写成 192.168.1.1/24 (前24是网络位)
-
ip地址的应用(一):
举例:某网吧具有200台电脑,三台服务器,两台pos机,12个网络摄像头,1个门禁,需要多大的网段才能满足网吧的需求?
公式:2^n-2 (n是主机位的位数,“-2”是剔除此网段中主机位全0和全1的地址)
2^n-2>=218,n>+8
网段:网络位相同的一个集合
主机位为255的是广播地址
主机位为0的代表所有子网端
2^8-2=254,可以使用IP地址范围:192.168.1.1—192.168.1.254
-
国际IP地址的分类
类别 范围/掩码 作用 A类 1-126/8 ABC三大主类,主要用于单播通信 B类 128-191/16 C类 192-223/24 D类 224-239 没有掩码,组播通讯地址,举例:CCTV-5 E类 240-255 特殊IP地址:
0.0.0.0:代表所有网络,缺省路由
127.0.0.1:本地回环地址,代表本地
255.255.255.255:广播地址,现在被禁用
169:Microsoft 微软的私有地址
RFC1918文档定义私有IP地址(LAN 中可用IP) 10.0.0.0-10.255.255.255 /8 172.16.0.0-172.31.2255.255 /12 192.168.0.0–192.168.255.255 /16 VLSM和CIDR
-
-
路由协议
路由协议提供路由器转发数据包的依据,通过收集目标的路由信息,形成一个最佳路径转发表即路由表,路由器根据路由表转发数据到达目标
static路由 Dynamic路由 静态路由 距离矢量类型,方向,距离。代表:rip。(最多35条路由) 链路状态类型,邻居,代价。代表性:OSPF (isis) (1w条路由) 混合类型,Eigrp(最快)。BGP(路径矢量)(10w 起步) -
静态路由
网关地址一般选第一个或者最后一个地址
路由接口配置
en
conf t
int + 接口名称 (进入接口)
no sh (思科设备接口默认关闭)
ip add ip地址+ip掩码
错误分析:
接口错误
删除接口地址配置
int 接口地址
no ip add (删除地址)
ip add 新ip地址 (配置新的地址)
-
直连显示
-
-
静态路由模式
在全局模式下
ip route + 目标网段 +目标掩码 +下一跳网关地址 (离本地最近路由器接口地址)
左边路由
ip route 172.16.100.0 255.255.255.0 172.16.12.2
右边
ip route 172.16.1.0 255.255.255.0 172.16.12.1
检查
删除静态路由:
全局模式下
no ip route +目标网段+目标掩码+下一跳地址
特殊静态路由:缺省静态
适用场景:一般用于连接外网网关设备上
ip route 0.0.0.0 0.0.0.0 出接口/下一跳地址
例如:ip route 0.0.0.0 0.0.0.0 172.16.12.2
静态的优点:安全,简单,CPU消耗低
劣势:对于大型网络配置量,运维的成本高。
-
路由信息协议(rip)
rip(routing information protocol):
-
Rip是一种基于UDP目的端口520的动态路由协议,rip在ipv4网络环境中常用ripv1和v2版本,在ipv6网络环境中适用ripng版本
Rip路由协议两种消息:request请求路由和response应答回复
Rip是一种距离矢量路由协议,由于收敛时间(网络发生变化到所有设备都知道这个变化的时间称为convergence time收敛时间)过慢 会有环路的风险,rip有五种防环机制,分别是:水平分割、毒性逆转、最大跳数、路由中毒、保持失效定时器、触发更新
水平分割Split horizon 从本接口发出去的路由,就不会从此接口再接收回来。“吐了就不要再吃了“ 毒性逆转 本地路由失效后,对端就将此路由设置为 possibly down,不可用。 最大跳数路由中毒 本地路由失效后,本地将这条路由设置为possibly down,不可用。 保持失效定时器 本地路由失效后,将此路由的信息挂起hold down,在hold时间之内不再接收任何关于它的信息,时间180s,足够其他设备更新路由表,等到其他设备更新完之后,此条路由就从本地删除。 触发更新 本地路由失效后,立刻通知其他所有设备,让他们更新路由表。
rip共有3个版本,ripv1/v2/ng。其中ipv4网络中适用ripv1/v2;ipv6网络中使用riping
rip适用场景:中小型网络,例如:农村信用合作社
rip配置:
在全局模式下
router rip (激活rip协议)
version 2 (选择ripv2运行)简写(ver 2)
no auto-summary(关闭自动汇总)(简写: no au)
network +本地直连接口网段(将接口在rip协议中激活)(net +本地直连接口网段;)
-
-
ospf 开放最短路径优先协议
OSPF:open shortest path first (开放最短路径优先)
Ospf共有三个版本,ospfv1,2,3,其中v1,v2用于ipv4网络,v3用于ipv6网络
ospf过程
- 发送hello包,建立邻居关系
- 邻居之间互相发送路由数据库菜单
- 邻居之间查漏补缺最佳路由
Ospf区域概念:area
骨干区域:backbone:只有一个,area 0。
常规区域normal:除了area0 外,其他所有区域随意。
非骨干区域必须和骨干区域相连,才能够和其他区域通讯
-
Ospf的配置:
Router ospf +进程号 (激活ospf,进程号自定义 (1-65535))
router-id x.x.x.x (设置ospf路由器的标识符,一定不能相同)
network +本地直连接口网段 +通配符(反掩码)area+区域号
-
查看配置
show IP ospf neighbor (查看ospf邻居关系)
如果 没有手动指定,他会选择自身端口最大的ip作为router-id
如果需要修改ospf的router-id,我们需要使用 cle ip os pro 重启ospf进程,使修改动作生效
-
-
广域网技术
-
动态主机配置协议(DHCP)
dhcp: dynamic host configuration protocol
作用:用于终端设备IP地址的自动分配,根据mac地址分配到不同的ip地址。地址自动获得,有租期限制。一般为一天
DHCP配置存在两种场景:
-
内网服务器,并且支持dhcp
-
内网中没有服务器,或者有服务器,但是不想增加服务器负担,在网关设备上配置(路由器、防火墙、多层交换机)
DHCP:
在路由的全局模式下:
ip dhcp pool +名称 (创建dhcp地址池,名称自定义)
network+地址网段+掩码 (分配地址网段空间)
default-router +此网段的网关地址 (指定网关)
dns-sever + 网络中DNS服务器地址 (定义dns (可选))
全局模式下:
ip dhcp excluded-address +剔除地址范围的起始地址+结束地址
- 注:有几个网段就需要几个地址池,一个地址池下不可能出现多个network命令
例子:
ip dhcp pool VLAN10
network 172.16.10.0 255.255.255.0
def 172.16.110.1
dns 8.8.8.8
ip dhcp ex 172.16.10.1 172.16.10.100
问题2-1:dhcp的网络中,有可能会出现攻击者,对server不断发送discover广播包,请求ip地址,造成server的地址池枯竭,称为dhcp饿死攻击。
问题2-2:dhcp的网络中,有可能会出现中间人,通过嗅探client发送的discover广播包,立即向client发送伪装的dhcp offer包,从而使client获取到错的ip。
问题3:当网络中存在多个dhcp server时,client获取的ip地址是收到的第一个发送过来的offer,dhcp server虽然有很多,但是数据流向不同,谁的offer先发送给client,那么client就是谁的真正客户。
-
-
网络地址翻译
NAT:network address translation 网络地址翻译
背景及意义:现在网络ipv4地址比较匮乏,需要对IP地址进行管理;
LAN局域网出现早于intermet,而LAN内部地址规划混乱,需要在进入internet时,对地址进行统一分配和管理
适用:NAT一般配置在内网的网关路由器或者防护墙firewall上
应用环境:
-
internet上用户想要访问内网的服务器
方法:静态NAT,static NAT,一对一(一个私网——一个公网)
配置方式:
int f0/0
ip nat outside (将f0/0端口设置为outside)
int f0/1
ip nat inside (将f0/1端口设置为inside)
ip net inside source static +私网ip+公网ip
需求1:分配给右边服务器192.168.100.100这个私网地址一个公网ip:12.1.1.200.(将100.100的私网翻译成1.200的公网,在内网中是100.100,在内网之外的其他地方是1.200)
-
内部用户获取合法ip访问公网资源
方法:端口NAT(Port Nat),多对一,多个私网对一个公网(本地网关设备的外网地址接口)
-
接口nat分类:inside和outside
左边路由器
int f0/0.10
ip nat inside
int f0/1
ip nat outside
-
定义内网范围:使用ACL匹配
access-list 10 permit 192.168.10.0 0.0.0.255 (抓取内部网段的人)
-
定义nat翻译:端口nat(端口复用)
ip nat inside source list 10 int f0/1 overload
-
查看现象:
在vlan10 的电脑上ping 12.1.1.200
在左边路由器上查看
sh ip nat tra
-
-
基站设备:地址池NAT(pool nat),多对多,多个私网多个私网
- int f0/0.20
- ip nat inside
- int f0/1
- ip nat outside
- ip nat pool GW 12.1.1.101 12.1.1.104 netmask 255.255.255.0
- acce 20 permit 192.168.20.0 0.0.0.255
- ip nat inside source list 20 pool GW
- end
- wr
-
-
访问控制列表
ACL:access-list,作用两种作用:根据ACL调用的地方。
- 对数据进行处理:ACL调用在接口上(数据经过的是接口)
- 对路由进行处理:ACL调用在路由协议下(路由时路由协议产生)
acl根据匹配精度分为两种:数据的粒度(源,目ip+协议+源,目端口 ) )
ACL分类 标准列表(Standard) 作用:用于匹配网段/精确地址,匹配源 。 范围:1-99 配置:acce+列表号+permit+源网段+通配符 扩展列表 (Extended) 作用:用于匹配数据的源和目的网段/地址;用于针对特点协议,例如:tcp,udp,icmp,ospf;用于针对特点端口,例如:tcp80端口,443端口,21端口,23端口,53端口 (http,https,ftp,telnet,dns) 范围:100-199 配置:acce +列表号+permit/deny+特定协议+源网段+通配符+目的网段+通配符+eq+端口 举例:acce 100 deny tcp 192.168.10.0 0.0.0.255 12.1.1.200 0.0.0.0 eq 80 (过滤http) acce 100 deny tcp 192.168.10.0 0.0.0.255 12.1.1.200 0.0.0.0 eq 443 (过滤https) acce 100 deny icmp any any (过滤所有ping包) acce 100 permit ip any(任何源) any(任何目的) (放行所有) - 包过滤防火墙主要技术ACL,状态检测防火墙是在ACL基础上进行优化
例子:
acce 101 deny icmp 192.168.20.0 0.0.0.255 12.1.1.200 0.0.0.0
acce 101 permit ip any any
int f0/0.20
ip acce 101 in (接口调用ACL,方向in)
-
-
无线技术
无线技术wireless是一种网络接入技术,弥补有线网络在特殊情况下不利于实施的情况,比如:覆盖范围。
无线的术语:
-
信号的发送方式:射频(radio,目前主流),红外
射频频率来说:2.4Ghz,5Ghz
射频信道:channel
- 2.4Ghz:channel 1-13,互相不干扰 1,6,11
- 5Ghz:中国可以使用channel149,153,157,161,165
-
天线:全向,定向
- 全向:家用无线路由器
- 定向:公告,高处,例如:火车站,市中心地标
-
无线设备
- STA:station无线终端,只要安装无线网卡的设备。
- AP:access point 接入点,提供STA接入网络的功能
- 胖AP:fat AP,单独组建无线局域网,例如:家用无线路由器
- 瘦AP:fit AP,需要用于AC共同组网,数量多,覆盖范围广,例如:楼道中吸顶式AP
- AC:access controller 无线控制器,与fit AP组网,为其提供无线参数推送
- 无线网络技术术语:
- SSID:service set ID 服务集标识符。(可隐藏;可广播)
- Channel:服务信道
- Authentication:认证方式,常用:WPA,WPA2-PSK
- Encryption:加密方式,常用:AES(对称加密算法)
-
宽带拨号技术:PPPOE (PPP online ethernet)
PPP协议:主要提供身份认证,chap认证,三次握手
Ethernet协议:主要提供高速转发,以太网传输数据率高。
配置:
在运行商设备上:
-
配置物理接口
int f0/0
no sh
ip add 172.16.0.1 255.255.255.0
pppoe enable (激活pppoe)
-
虚拟拨号:
vpdn enable (激活虚拟拨号)
vpdn-group 1 (创建组)
accept -dialin (开启拨号)
protocol pppoe (选择拨号协议,pppoe)
virtual-template 1 (创建虚模板)
int vir 1 (进入虚模板)
ip unn f0/0 (借地址)
ppp authentication chap (开启认证)
peer default ip address pool LOCAL (调用地址)
-
创建账号和密码:
username:13953149583
password:139583
username:123456789
password:123789
-
创建地址池:
ip local pool LOCAL 172.16.0.101 172.16.0.200
-
-
