一、VLAN(交换机):虚拟局域网
(附:同一广播域内部,网络安全防御度最低)
1.作用:交换机和路由器协同工作后,将一个广播域可以逻辑的分割为多个广播域。
2.配置思路:
(1)交换机上创建VLAN
(2)交换机上的各个接口划分到对应的VLAN中
(3)trunk(中继)干道
(4)VLAN间路由---<1> 路由器的子接口(单臂路由) <2> 多层交换机的SVI方法
3.配置命令:
(1)交换机上创建---VLAN编号由12位二进制构成:0-4095 1-4094是可用的
(默认交换机存在VLAN1,且所有接口默认存在于VLAN1)(删除 – 前面加undo)
[Huawei]sysname sw1
(单个创建) (批量创建)
[sw1]vlan 2 [sw1]vlan batch 4 to 10
[sw1-vlan2]q [sw1]vlan batch 11 to 20 25 to 30
[sw1]vlan 3 (11到20是一组,25到30是一组)
[sw1-vlan3](2)将交换机上的各个接口划分到对应的VLAN中
[sw1]int e0/0/1 (单独将某个接口划分到对应的VLAN)
[sw1-Ethernet0/0/1]port link-type access (先将该接口修改为接入模式)
[sw1-Ethernet0/0/1]port default vlan 2 (再将该接口划分到对应的VLAN)
(创建接口组)
[sw1]port-group group-member e0/0/3 to e0/0/4 (批量将多个接口划分到同一个VLAN)
[sw1-port-group]p l ac
[sw1-port-group]p d vlan 3(3)配置trunk干道
(不属于任何一个VLAN,承载了所有VLAN流量的转发。可以标记(封装)和识别(解封装)不同VLAN的标签。)(VLAN ID压入到数据帧中的标准--802.1q(dot1.q))
[sw1]int e0/0/1
[sw1-Ethernet0/0/1]port link-type trunk (将接口修改为trunk模式)
[sw1-Ethernet0/0/1]port trunk allow-pass vlan 2 to 3
附:华为交换机默认仅允许VLAN1通过,需要定义允许列表
[sw2]int e0/0/3
[sw2-Ethernet0/0/3]port link-type trunk
[sw2-Ethernet0/0/3]port trunk allow-pass vlan all(允许所有VLAN通过)(4)路由器子接口的配置(单臂路由)
[Huawei]sysname r1
[r1]intg0/0/0.1 (创建子接口)
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2 (定义其管理的VLAN)
[r1-GigabitEthernet0/0/0.1]ip add 192.168.1.254 24 (定义子接口的IP地址)
[r1-GigabitEthernet0/0/0.1]arp broadcast enable (开启子接口的ARP功能)
[r1]intg0/0/0.2
[r1-GigabitEthernet0/0/0.2]dot1q termination vid 3
[r1-GigabitEthernet0/0/0.2]ip add 192.168.2.254 24
[r1-GigabitEthernet0/0/0.2]arp broadcast enable二、动态路由协议
1.概述:路由器间沟通,协商后,自动生成路由表。在拓扑结构发生变化后,可以实时收敛(重新计算)适应新的结构。(TCP结构全称---传输控制协议)
2.基于AS进行分类:AS--自治系统(0-65535标准编号)
- IGP-内部网关路由协议(AS内部使用) RIP OSPF EIGRP ISIS......
- EGP-外部网关路由协议(AS外部使用) BGP EGP......
IGP的分类:
【1】基于工作特点进行分类
- DV-距离矢量 RIP EIGRP ...... (直连路由器(直连=邻居)共享路由表)
- LS-链路状态 OSPF ISIS ...... (路由本地计算)
【2】基于更新时是否携带子网掩码
- 有类别:不携带子网掩码,按照主类定义子网掩码
- 无类别:携带子网掩码,基于实际掩码来判断网段
三、RIP:路由信息协议(距离矢量协议)(默认优先级是100,不满意可以直接定义静态路由)
(附:存在V1/V2/NG)(NG:下一代IPV6专用)
1.工作方式:基于UDP520端口进行工作,使用跳数进行度量。---支持等开销负载均衡
2.更新方式:30s周期更新;触发更新。
- 周期更新 -- (保活;取代确认)(异步周期更新可能导致有环路)
- 触发更新就是当检测到网络拓扑发生变动时,路由器会立即发送一个更新信息给邻居路由器,并依次产生触发更新通知它们的邻居路由器,此过程就叫触发更新。
3.V1和V2的区别:
(1)V1是有类别协议,不携带子网掩码,不能区分子网划分和汇总(子网和母网)
(2)V2是无类别协议,携带子网掩码,可以识别VLSM(可变长子网掩码—子网划分)和子网汇总,不支持超网
(3)V1 --- 广播更新 – 255.255.255.255 V2 --- 组播更新 – 224.0.0.9
(4)V2支持手工认证
4.破环机制
(1)水平分割 -- 从此口进,不从此口出(直线拓扑中防环)
最主要作用是在MA网络中避免重复流量。
MA网络 --- 多路访问网络:一个网段内的节点数量不限制
(2)触发更新---毒性逆转水平分割
(速度快,解决所有环路)
(3)最大跳数 -- 15跳(16跳为不可达)
(4)抑制计时器
(默认不工作)若跳数无征兆增大,证明出现环路,这时开始工作。
5.配置命令
(1)V1配置:
[r1]rip 1 启动时可以定义进程号,默认进程为1 (仅具有本地意义)
[r1-rip-1]version 1 选择版本1
宣告:(RIP中只宣告主类)例:接口ip 192.168.1.1 宣告:network 192.168.1.0 (主类:ABCDE)
[1] 激活 – 被选中接口可以收发RIP的信息
[2] 共享路由 – 被选中接口的网段可以共享给本地的所有邻居
[r1-rip-1]network 1.0.0.0
[r1-rip-1]network 12.0.0.0 (被宣告的接口就可以开始发RIP的更新包了)
[r2]display ip routing-table protocol rip 查看RIP协议的路由(2)V2配置:
[r1]rip 1 启动时可以定义进程号,默认进程为1 (仅具有本地意义)
[r1-rip-1]version 2 选择版本2
[r1-rip-1]network 1.0.0.0
[r1-rip-1]network 12.0.0.0 (宣告主类,自己携带子网掩码)6.拓展配置
(1)RIPV2的手工汇总(V1不携带子网掩码,自动汇总为主类):在更新源路由器上,所有更新发出的接口上配置
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]rip summary-address 1.1.0.0 255.255.252.0
汇总网段 汇总网段子网掩码(2)RIPV2的认证
(认证:邻居间发的RIP消息中进行身份核实口令的添加。华为开启认证,所有RIP的信息会加密传输)
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123456
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123456
(两个直连的邻居间,认证口令和模式必须完全一致)(3)沉默接口(被动接口):仅接收,不发送路由协议信息,只能用于连接用户终端的接口,不能用于直连路由器邻居的接口,否则邻居间无法共享路由信息。
[r1]rip 1
[r1-rip-1]silent-interface g0/0/1(4)加快收敛
RIP计时器:30S更新 180S失效 180S抑制 300S刷新
(适当修改计时器,可以加快协议的收敛速度。)
修改:全网所有运行RIP的设备建议一致;维持原有倍数关系,不宜修改过小。
[r1]rip 1
[r1-rip-1]timers rip 30 180 300 (不能修改抑制计时器)(5)缺省路由 – 在边界路由器上定义缺省源头信息后,会向内网发布缺省路由。之后内部路由器将自动生成缺省路由指向边界路由器方向。边界路由器指向ISP的缺省路由依旧得手写。
[r3]rip 1
[r3-rip-1]default-route originate 定义缺省源头信息后,向内网发布缺省路由