企业级网络架构(搭建)学习笔记(网管)
技不压身,了解下企业级网络的搭建,虽然偏硬件,但是有利于知识体系的构建。和学TCP/IP协议时的一些东西互通,同时为以后回老家当网管做准备,哈哈,生活加油!是一起参加红帽考试的小伙伴分享的资源,然后稍作整理,时间原因,这篇笔记后面部分没有实际敲Demo,先知道个大概,以后涉及到这方面在深入研究,补充一些实战的东西。
写在前面
技不压身,了解下企业级网络的搭建,虽然偏硬件,但是有利于知识体系的构建。和学TCP/IP协议时的一些东西互通,同时为以后回老家当网管做准备,哈哈,生活加油!是一起参加红帽考试的小伙伴分享的资源,然后稍作整理,时间原因,这篇笔记后面部分没有实际敲Demo,先知道个大概,以后涉及到这方面在深入研究,补充一些实战的东西。
另:如果想详细的了解HTTP、TCP/IP 等协议,小伙伴可以看看这几篇博客:
《图解TCP/IP》读书笔记
《图解HTTP》读书笔记
一、计算机硬件、在线攒机
显示器 (输出设备)
- 屏幕尺寸:20.1寸、27寸、32寸… 一寸=2.54cm #计算方式: 显示器和电视机都是采用
测试对角线的方式
来定义的. - 分辨率: 1280x720 高清、1920x1080 全高清、3840x2160 超高清
- 接口:
- HDMI:高清晰度多媒体(音频+视频) 接口
- 老式显示接口:DVI (视频数字接口)、VGA (视频图阵接口)
键盘、鼠标(输入设备)
鼠标接口:
- PS2 圆口 不支持热插拔;
- USB 扁口 支持热插拔;
- 无线收发
主机 (核心)
一台计算机的最核心构件:容纳处理器、内存、磁盘等计算和存储元件;提供人机交互的各种输入/输出接口;主机的组成:
CPU处理器;CPU(Central Processing Unit)
,中央处理器是整个计算机运算与控制的核心,CPU性能指标:- 核心数:单核、双核、四核、八核等;
- 线程数:四线程、八线程、等;
- 主频:2.8GHz、3.4GHz、3.9GHz、、4.2GHz等;
- 缓存:3.0MB、6.0MB、8.0MB、20MB等;
1
2
3
4CPU ( 缓存 ) <——> 内存 <——> 硬盘:
cpu不能直接处理硬盘中的数据,需要先将硬盘中的数据读取内存中,然后再从内存中读取数据;
为了提高处理效率,在CPU中也有一个缓存区,处理数据时,先将内存里的数据读取CPU的缓存中,CPU处理完自己的内容后,
直接从自己的CPU缓存中读取数据,CPU缓存继续从内存中读取数据,内存再从硬盘中读取数据,循环往复。 - CPU的散热方式:风冷、水冷、液冷;
- 内存: 内部存储器:用于暂时存放CPU中的程序运算数据,以及与硬盘等外部存储器交互的数据主要指标:
- 容量:4G、8G、16G
- 频率:DDR3 800
2133MHz、DDR4 21332666MHz
主板
;也称主机板、系统板:集成了计算机的主要电路系统;提供一系列芯片及扩展槽以连接其他配件;主要指标:- 芯片组(Inter、AMD、NVIDIA);
- 主板尺寸 (标准型、紧凑型、迷你型)
显卡、声卡、网卡
;处理图像、音频、网络数据的专用设备:通常由主板集成,有特殊需求也可独立配备 (性能更优);主要指标:- 显存大小(1G, 2G, 4G) 、显卡接口 (AGP、PCI-E);
- 网卡速度 (百兆、千兆)、双网口、无线网卡
硬盘、光驱
;硬盘 主要的外接存储器,光驱 用来读取光盘介质的驱动器设备(已经淘汰,不再使用:DVD ROM 只读光驱;DVD RW 刻录机;DVD 移动(USB接口) 刻录机),硬盘属性:- 容量 (500GB、1TB、2TB、4TB);
- 转速(5400、7200、10000);
- 类型(SATA、SSD固态)
机箱及电源
;机箱用来固定主板、硬盘、光驱及各种扩展卡;电源及风扇用来提供能源及散热主板BLOS设置
;Basic Input/Output System 基本输入输出系统固化在主板的一个芯片中,用于加电自检/初始化计算机;- 进入BlOS设置的方法根据计算机加电后的提示操作,
通常为 Del键或 F2 键
- 常见的BLOS设置
- 开启虚拟化支持、设置启动顺序、设置安全密码;
- 清除BLOS自定义设置;
- 进入BlOS设置的方法根据计算机加电后的提示操作,
在线攒机
浏览器中输入在线攒机即可:例如:http://zj.zol.com.cn/
二、网络概述
什么是计算机网络
- 硬件方面:通过线缆将网络设备和计算机连接起来;
- 软件方面:操作系统,应用软件,应用程序通过通信线路互联;
作用: 实现资源共享,信息传递,增加可靠性,提高系统处理能力
标准化组织
ISO(国际标准化组织);IEEE(电气和电子工程师协会)
WAN与LAN
WAN(广域网):范围:几十到几千千米;作用:用于连接远距离的计算机网络;应用:Internet;
LAN(局域网):范围:1km左右;作用:用于连接较短距离内的计算机;应用:企业网,校园网;
网络设备生产厂商
华为;Cisco(思科)
路由交换设备
- 路由器(Router);
- 交换机(Switch);
网络拓扑结构
- 点对点拓扑结构:两台设备之间有一条单独的连接;作用:专用于广域网中连接两台路由器;
- 星型拓扑:
- 优点:易于实现;易于网络扩展;易于故障排查;
- 缺点:中心节点压力大;组网成本较高
- 网状拓扑结构:一个节点与其他节点相连;
- 优点:提供冗余性和容错性;可靠性高;
- 缺点:组网成本高;
三、OSI参考模型
OSI 七层模型
分层思想:梳理网络体系,便于相关人员能够更精确的定位到问题所在将复杂的流程分解,复杂问题简单化;更容易发现问题并针对性的解决问题
国际标准化组织 ( ISO ):规定将网络分为七层,从下往上依次是:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层
OSI理论七层模型
更多见博客: https://blog.csdn.net/sanhewuyang/article/details/86369071
应用层:为应用程序提供服务并规定通信相关的细节,针对特定应用的协议,包括文件传输,电子邮件,远程登录等协议。
表示层:将应用处理的信息转换为适合网络传输的格式,或者将下一层的数据转化为上一层能够处理的格式,主要负责数据格式的转换。将设备固有的数据格式转换为网络标准传输格式,不同设备对同一比特流的解释可能不同,使他们保持一致。
会话层:通信管理,负责建立和断开通信连接(数据流动的逻辑通路),管理传输层以下的分层,以及数据的分割等数据传输相关的管理。(何时建立/断开连接,保持多久的连接)
传输层:起着可靠传输的作用,只在通信双方节点上进行处理(确保数据被可靠的传输送到目标地址),无需路由器上处理。
网络层:将数据传输到目标地址,目标地址可以是多个网络通过路由器连接的而成的某一个地址,负责寻址和路由选择。(经过那个路由传递到目标地址)
数据链路层:负责物理层面上的互连的,节点之间的通信出传输,将0,1序列划分为具有意义的数据帧传送给对端(数据帧 的生成与接收,数据帧与比特流的之间的准换)
物理层:负责0,1比特流与电压高低,光的闪灭之间的互换,界定连接器与网络的规格。
TCP/IP 五层模型
- 应用层: 上层数据 —–》 计算机 HTTP, FTP, TFTP, SMTP, SNMP, DNS
- 传输层: 数据段 —–》 防火墙TCP, UDP
- 网络层: 数据包 —–》 路由器 ICMP, IGMP, IP, ARP
- 数据链路层: 数据帧 —–》 交换机 VLAN, TRUNK, MSTP
- 物理层: 比特流 —–》 网卡
1
2
3
4
5
6# HTTP协议:超文本传输协议,例:互联网的访问;
# FTP协议:文件传输协议,例:文件的共享与互相传递;
# TFTP协议:简单的文件传输协议,例:只能传递小文件,文件的大小以KB来衡量;
# SMTP协议:电子邮件传输协议,例:发送邮件;
# SNMP协议:简单网络管理协议,例:远程控制;
# DNS协议:域名解析协议,将IP地址解析为域名,例:www.baidu.com(域名)什么是协议
:为了使数据可以在网络上从源传递到目的地,网络上所有设备需要“讲”相同的“语言”;描述网络通信中“语言”规范的一组规则就是协议常用的以太网接口
- RJ-11: 四根线序,连接电话;
- RJ-45: 八根线序,最常用的规范(廉价稳定);
线序的类型
- T568A: 白绿,绿,白橙,蓝,白蓝,橙,白棕,棕
- T568B: 白橙,橙,白绿,蓝,白蓝,绿,白棕,棕
- 标准网线(直通线):
1
2T568A --------------- T568A
T568B --------------- T568B - 交叉网线(交叉线):
1
T568A --------------- T568B
线序的选择
- 直通线:线缆两头的线序相同;
- 交叉线:线缆两头的线序不同;
- 有交换机时用直通线 ( 一条线连接的两台设备 );
- 没有交换机时用交叉线 ( 一条线连接的两台设备 );
双绞线(网线)
目前使用最广,价格相对便宜的一种传输介质;由两根绝缘铜导线相互缠绕组成,以减少对邻近线的电气干扰;
双绞线的标准:
类型 | 传输速率 |
---|---|
cat5 | 100Mbps |
cat5e | 100Mbps |
cat6 | 1000Mbps ——> 服务器 |
cat7 | 10000Mbps —–> 使用需要万兆网卡,少用 |
中继器(物理层设备)
放大信号;延长网络传输距离;网线一般不要超过150米,否则会丢失数据,可以加一个中继器。数据封装和解封装
协议数据单元 (PDU)
设备与层的对应关系
- 应用层: 上层数据 —–》 计算机 HTTP, FTP, TFTP, SMTP, SNMP, DNS
- 传输层: 数据段 —–》 防火墙TCP, UDP
- 网络层: 数据包 —–》 路由器 ICMP, IGMP, IP, ARP
- 数据链路层: 数据帧 —–》 交换机VLAN, TRUNK, MSTP
- 物理层: 比特流 —–》 网卡
四、IP地址分类
IP地址的组成
IP地址由32个二进制数构成
。总体上可以分为两部分:网络位+主机位
;为了方便表示,人为地,将8位换算成10进制数,共4段。4段数字用小数点分隔,称作点分10进制
的表示方式;
- 相同的网络,网络部分相同;主机部分一定不同;
- 不同的网络,网络部分一定不同;主机部分可以相同;
子网掩码:
用于判定一个IP地址的网络部分和主机部分;网络部分全写为1,主机部分写为0;1对应的部分是网络,0对应的部分是主机;
IP地址分类
- A类: 1 - 127 网络位+主机位+主机位+主机位 255.0.0.0 (127常用于表示本机)
- B类: 128 - 191 网络位+网络位+主机位+主机位 255.255.0.0
- C类: 192 - 223 网络位+网络位+网络位+主机位 255.255.255.0
- D类: 用于多播,也叫组播
- E类:保留
私有IP地址(网段)
- A:10.0.0.0/8 /8表示网络位是8位 10.0.0.1 ~ 10.255.255.255
- B:172.16.0.0 - 172.31.0.0/16 176.16.0.1 ~ 176.31.255.255
- C:192.168.0.0/24 192.168.0.1 ~ 192.168.255.255
五、windows网络配置
查看当前网络的IP地址信息
选择“网络” ——> 右键 “属性” ——> 选择“更改适配器设置” ——> 双击“以太网”或者“WLAN” 或者其他
虚拟网卡(必须是已经启用或者能够已连接的) ——> 点击“详细信息
windows系统的常用操作
- 打开命令提示符: 点击搜索,输入“cmd” 或者使用快捷方式 “Windows”徽标键 + “R” 打开运行界面,输入“cmd”;
- 查看网卡信息:输入 ipconfig ;
- 验证网络连通性: ping IP地址 —> (例如:ping 127.0.0.1(自己ping自己) 或者验证能否连通外网:ping www.baidu.com)
- 修改网卡的IP地址
首先,按照 P3.1 操作,显示出所有的网卡;然后,选择一个要修改的网卡 ( 例如:以太网 ),右键“属性”;再次,双击 “Internet 协议版本4 (TCP/IPV4)”;最后,选择 “使用下面的IP 地址” 配置 IP地址,子网掩码和网关;
六 、交换机的命令行视图
华为交换机的命令行
1 | <Huawei> #用户视图 |
命令行的层次关系
1 | 用户视图 #查看运行状态或其他参数 |
视图间的转换
1 | <Huawei> #用户视图 |
七、交换机的基本配置
配置主机名
1 | #主机名的配置必须在系统视图模式下进行 |
显示VRP的版本信息
1 | <Huawei>display version |
查看交换机的所有配置
1 | <Huawei> |
使用账户和密码登录终端
1 | <Huawei> |
保存交换机的配置
1 | #我们之前在交换机上做的配置,交换机并不会给我们永久保存,重启后所有配置失效,需要在用户视图下保存配置 |
恢复设备出厂默认值
1 | <Huawei>reset saved-configuration #恢复出厂默认值 |
避免自动退出配置界面
1 | #空闲一段时间后(默认控制台会话时间为10分钟) |
常用技巧
更改语言为中文
1 | <Huawei>language-mode Chinese #用户视图下 |
信息不提示命令
1 | #取消控制台的错误,日志等各种提示信息 |
配置设备永不自动关机
1 | <Huawei> |
查看系统配置信息
1 | <Huawei> |
查看当前设备简要的接口信息
1 | <Huawei> |
查看历史命令
1 | <Huawei> |
查看MAC地址表
1 | <Huawei> |
八、数据链路层
以太网MAC地址
用来识别一个以太网上的某个单独的设备或一组设备。
以太网帧格式
数据链路层的协议数据单元
什么是交换机
- 交换机是用来
连接局域网的主要设备
- 交换机能够根据
以太网帧中目标地址智能的转发数据,因此交换机工作在数据链路层
交换机转发原理
- 初始状态(一无所知);
- MAC地址学习(将源地址记录到MAC地址表中);
- 广播未知数据帧(广播目的地址,接收方回应,交换机记录接收方的源MAC地址到MAC地址表中)
交换机的工作原理
- 学习–》MAC地址表是交换机通过学习接收的数据帧的源MAC地址来形成的;
- 广播–》如果目标地址在MAC地址表中没有,交换机就向发送该数据帧的接口外的其他所有接口广播该数据帧;
- 转发–》交换机根据MAC地址表单播转发数据帧;
- 更新–》交换机MAC地址表的老化时间是300秒,交换机如果发现一个帧的源接口和MAC地址表中的源MAC地址的所在接口不同,交换机将MAC地址重新学习到新的接口;注意:断电,拔网线,过300秒都会使MAC地址表变化
查看MAC地址表
1 | <Huawei> |
VLAN:交换机按照其端口区分了多个网段,从而区分了广播数据传播的范围、减少了网络负载并提高了网络的安全性。,然而异构的两个网段之间,就需要利用具有路由功能的交换机(如3层交换机)
,或在各段中间通过路由器的连接才能实现通信。
九、VLAN技术与应用
广播域
广播域指接收同样广播消息的节点的集合:在该集合中的任何一个节点传输一个广播帧,则其他所有能接收到这个帧的节点都被认为是该广播帧的一部分;交换机的所有接口默认属于同一个广播域;
VLAN概述
什么是VLAN
:Virtual LAN(虚拟局域网)是物理设备上连接的不受物理位置限制的用户的一个逻辑组;为什么引入VLAN
:交换机的所有接口默认属于同一个广播域;随着接入设备的增多,网络中广播增多,降低了网络的效率;为了分割广播域,引入了VLAN
VLAN的作用
- 广播控制;
- 增加安全性;
- 提高带宽利用;
- 降低延迟
静态VLAN的配置
VLAN的最大数量(默认):4096个(vlan0默认保留,从vlan1开始,vlan1是默认存在的,所有接口默认
属于vlan1)配置VLAN的步骤
- 创建VLAN;
- 将接口加入到相应的VLAN中;
- 验证
查看VLAN
1 | <Huawei> |
创建单个VLAN
1 | <Huawei> |
批量创建VLAN
1 | <Huawei> |
删除VLAN
1 | <Huawei> |
将接口加入VLAN
- 首先将接口视图的类型修改成 access;
- 然后再将接口加入到 VLAN中
将单个接口加入到vlan
1 | <Huawei> |
将不连续多个接口加入到vlan
1 | #将不连续的端口加入到vlan2,首先创建端口组,再对端口进行配置: |
将连续多个接口加入到vlan
1 | #将连续的端口加入到vlan 3中,首先创建端口组,再对端口进行配置: |
十、Trunk中继链路
Trunk出现的原因:
接入链路只能实现一个vlan通信,终极链路可以实现多个vlan通信。
Trunk概念和特点
trunk干道类型,一般应用在交换机和交换机相连的接口上
;特点:
- 用在交换机之间,
可以实现不同交换机上相同VLAN通信
; - 中继链路不属于任何VLAN;
- 中继链路可以承载所有VLAN的数据;
Trunk的配置
首先,进入端口后修改端口链路类型,然后,为已经修改为Trunk模式的端口添加允许的VLAN,注意:Trunk的配置是在交换机的接口上配置的,配置的接口为连接两台交换机的线缆的接口,两台交换机都得配置
1 | <Huawei> |
链路聚合功能
也叫以太通道, 如果交换机之间只有一条线路,这条链路可能成为网络的瓶颈;可以在交换机之间再增加额外的链路
,使多条链路成为一个逻辑链路
;
- 多条线路负载均衡,提高带宽
- 容错,当一条线路失效时,不会造成全网中断
十一、链路聚合的配置
初始化接口
1 | <Huawei> |
创建链路聚合接口(即虚拟接口)
1 | <Huawei> |
将通过vlan的接口加入到链路聚合接口中
1 | #首先,先将ethernet 0/0/1 接口加入到链路聚合接口中 |
检查
1 | display this |
十二、拓扑结构练习
第一步
:设计好网络拓扑结构第二步
:配置IP地址和子网掩码,在每台电脑上配置相应的IP地址和子网掩码第三步
:在交换机上配置vlan并将接口加入到相应的vlan中(LSW1 和 LSW2 都要做)
1 | <Huawei>system-view |
- 如果交换机之间只有一条线,则需要配置中继链路,执行第四步操作;如果交换机要提高传输速率,和安全性,则需要配置聚合链路,执行第五步操作;
- 第四步:配置中继链路,让所有的vlan 都可以通过交换机之间的一条线路进行通信(LSW1 和 LSW2都要做)
1 | #在交换机相互连接的接口上配置,我这里都是 Ethernet 0/0/7 |
第五步
:配置聚合链路,将两条线路捆绑起来,提高带宽和安全性(LSW1 和 LSW2 都要做)1
2
3
4
5
6
7
8
9
10
11
12
13
14
15#交换机之间增加了一条网线,两端接口均为 Ethernet 0/0/8
<Huawei>
<Huawei>system-view #进入系统视图
[Huawei]clear configuration interface Ethernet 0/0/7 #如果接口上之前做了配置,先清空接口信息
[Huawei]interface Ethernet0/0/7
[Huawei-Ethernet0/0/7]display this #发现shutdown,接口关闭,需要开启
[Huawei-Ethernet0/0/7]undo shutdown #开启接口
[Huawei]interface Eth-Trunk 1 #进入的同时会自己先创建链路聚合接口
[Huawei-Eth-Trunk1]trunkport Ethernet 0/0/7 0/0/8 #将两个接口一起加入Eth-Trunk1中
[Huawei-Eth-Trunk1]port link-type trunk
[Huawei-Eth-Trunk1]port trunk allow-pass vlan all
[Huawei-Eth-Trunk1]display this #可以查看到允许所以的vlan通过
[Huawei]display current-configuration #验证自己的配置结果
<Huawei>save #存盘
#配置完成,用ping命令测试,删除一条线,再次用ping命令测试
十三、路由原理及配置
什么是路由
将数据包从一个网络发送到另一个网络,需要依靠路由器来完成;路由器只关心网络的状态,决定最佳路径路由器可以根据路由表选择最佳路径
- 每个路由器都维护着一张
路由表
,这是路由器转发数据包的关键; - 每条路由表记录指明了:
到达某个子网或主机应从路由器的哪个物理接口发送,通过此接口可到达该路径的下一个路由器的地址(或直接相连网络中的目标主机地址)
如何获得路由表
直连路由:路由设备配置IP地址后自动生成;
直连路由的配置:
第一步
:设计好网络拓扑结构;第二步
:在PC2和PC1中配置IP地址,子网掩码和网关;1
2PC2: IP地址:192.168.1.1/24 网关:192.168.1.254
PC1: IP地址:192.168.2.1/24 网关:192.168.2.254第三步
:在路由器AR2上给相应的接口配置IP地址;1
2
3
4
5
6
7
8
9
10
11
12
13<Huawei>
<Huawei>system-view #进入系统视图下
[Huawei]display interface brief #查看设备接口信息,百兆还是千兆接口
[Huawei]interface GigabitEthernet 0/0/0 #进入g 0/0/0的接口视图下
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 255.255.255.0 #为接口 g0/0/0配置IP地址和子网掩码
[Huawei-GigabitEthernet0/0/0]display this #查看配置结果
[Huawei-GigabitEthernet0/0/0]quit #回到系统视图下
[Huawei]interface GigabitEthernet 0/0/1 # #进入g 0/0/1的接口视图下
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 255.255.255.0 ##为接口 g0/0/0配置IP地址和子网掩码
[Huawei-GigabitEthernet0/0/1]display this #查看配置结果
[Huawei-GigabitEthernet0/0/1]quit #退回到系统视图
[Huawei]display ip routing-table #查看路由表信息,数据过多,可以用下面命令来筛选
[Huawei]display ip routing-table | include /24 #删选查看,只查看 /24结尾的路由信息第四步
:使用 ping 命令 进行测试
静态路由:由管理员在路由器上手工指定;
:- 动态路由:根据网络拓扑或流量变化,由路由器通过路由协议自动设置;适合ISP服务商、广域网、园区网等大型网络
十四、静态路由与默认路由
静态路由主要特点
由管理员手工配置,为单向条目;通信双方的边缘路由器都需要指定,否则会导致数据包有去无回;
使用 ip route-static 命令
1 | 1》指定到达 IP 目的网络; |
默认路由
- 默认路由是一种特殊的静态路由;
- 默认路由的目标网络为
0.0.0.0
0.0.0.0
,可匹配任何目标地址; - 只有当从路由表中找不到任何明确匹配的路由条目才会使用默认路由,
一般在企业网关出口使用
1
#目标网络为0.0.0.0,子网掩码简写为0,192.168.2.2 为下一跳
- 默认路由不能随便配置。容易照成路由环路,只能用于内部网路和外部网路。
配置静态路由
第一步
:设计好网络拓扑结构;第二步
:在PC1、PC2 和 PC3 中配置IP地址,子网掩码和网关;1
2
3PC1: IP地址:192.168.1.1/24 网关:192.168.1.254
PC2: IP地址:192.168.3.1/24 网关:192.168.3.254
PC3: IP地址:192.168.4.1/24 网关:192.168.4.254第三步
:在路由器AR1上给相应的接口配置IP地址1
2
3
4
5
6
7#在接口g 0/0/0 上给192.168.1.0/24网段配置网关,IP地址:192.168.1.254/24
<Huawei>
<Huawei>system-view #进入系统视图下
[Huawei]display interface brief #查看设备接口信息,百兆还是千兆接口
[Huawei]interface GigabitEthernet 0/0/0 #进入g 0/0/0的接口视图下
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 255.255.255.0
[Huawei-GigabitEthernet0/0/0]display this1
2
3
4
5
6
7
8#在接口g 0/0/1 上配置IP地址:192.168.2.1/24
<Huawei>sys
<Huawei>system-view
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.1 24 #掩码255.255.255.0 可以用24 来表示
[Huawei-GigabitEthernet0/0/1]display this
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]dis ip routing-table | include /24 #确认自己配置的是否正确第四步
:在路由器 AR2 上给相应的接口配置IP地址1
2
3
4
5#在接口g 0/0/1 上配置IP地址:192.168.2.2/24
<Huawei>system-view
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.2 24 #掩码255.255.255.0可以用 24 来表示
[Huawei-GigabitEthernet0/0/1]display this1
2
3
4
5
6
7#在接口g 0/0/0 上给192.168.3.0/24 网段配置网关,IP地址:192.168.3.254/24
<Huawei>
<Huawei>system-view #进入系统视图下
[Huawei]display interface brief #查看设备接口信息,百兆还是千兆接口
[Huawei]interface GigabitEthernet 0/0/0 #进入g 0/0/0的接口视图下
[Huawei-GigabitEthernet0/0/0]ip address 192.168.3.254 255.255.255.0
[Huawei-GigabitEthernet0/0/0]display this1
2
3
4
5
6
7#在接口g 0/0/2 上给192.168.4.0/24网段配置网关,IP地址:192.168.4.254/24
<Huawei>system-view
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 192.168.4.254 24 #掩码255.255.255.0可以用 24 来表示
[Huawei-GigabitEthernet0/0/2]display this
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]dis ip routing-table | include /24 #确认自己配置的是否正确第五步
:配置静态路由,让全网互通1
2
3
4
5#AR1上配置静态路由,AR2上也要配置,否则不通
#静态路由的配置是让在不同路由器上的设备互相连通的,如果设备是由同一台路由器连接的,是直接通过直连路由是连通的
[Huawei]ip route-static 192.168.3.0 24 192.168.2.2 #目标地址为3.0网段,代表这个网段下的所有主机
[Huawei]ip route-static 192.168.4.0 24 192.168.2.2
[Huawei]dis ip routing-table | include /241
2
3#AR2上配置静态路由,AR1上也要配置,否则不通
[Huawei]ip route-static 192.168.1.0 24 192.168.2.1
[Huawei]dis ip routing-table | include /24 #发现这台路由器上的192.168.3.0/24 网段和 192.168.4.0/24 网段都设置了静态路由
注释:如果发现IP地址配置错误,使用如下方法删除并重新设置
1 | [Huawei]interface g0/0/0 |
第六步
:使用 ping 命令 进行测试第七步
:保存配置1
<Huawei>save #永久保存配置信息,只能在用户视图下进行
十五、三层交换机
什么是三层交换
实现数据互通必须使用交换机,交换机只能连接相同的网段的网路互通,交换机是链路层工具(二层)。路由器(具备路由转发功能,三层)是网络层工具,使用三层交换技术实现VLAN间通信;三层交换 = 二层交换 + 三层转发。
使用三层交换机必须使用VLAN
虚接口概述
三层交换机连接不同网段的,类似二层交换机连接不同的网段。使用三层需要规划好VLAN,二层交换机的不同网段,类别于三层交换机的不用的VLAN。
在三层交换机上配置的VLAN接口为虚拟接口;
使用 vlanif (VLAN接口) 实现VLAN间路由:VLAN接口的引入使得应用更加灵活。VLAN 接口相当于二层交换机的路由接口配置。
1 | <Huawei>system-view |
三层交换配置思路
- 确认哪些VLAN需要配置网关;
- 如果三层交换机上没有该VLAN则创建它;
- 为每个VLAN创建相关的虚拟接口;
- 给每个VLAN虚拟接口配置IP地址;
- 如果需要,配置三层交换机的动态或静态路由
三层交换VLAN间通信
路由器默认只有三个接口,最多只能连接三个不同的网段。想要多网段互通,需要使用多个路由器来实现多网段的路由配置。
这样十分浪费资源,解决办法是使用,三层交换机。路由器默认只有三个接口
第一步
:设计好网络拓扑结构;第二步
:在PC1、PC2 和 PC3 中配置IP地址,子网掩码和网关;
1 | PC1: IP地址:192.168.1.1/24 网关:192.168.1.254 |
第三步
:在三层交换机LSW1上创建VLAN;1
2<Huawei>system-view
[Huawei]vlan batch 2 to 3 #根据设备所在的vlan,在三次交换机上创建相应的vlan第四步
:将接口加入到对应VLAN中;
1 | [Huawei]interface GigabitEthernet 0/0/2 |
第五步
:在三层交换机上给VLAN配置网关;`1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16#给 vlan 1配置网关:192.168.1.254/24
<Huawei>system-view
[Huawei]interface Vlanif 1
[Huawei-Vlanif1]ip address 192.168.1.254 24
[Huawei-Vlanif1]display this #查看配置的结果
#给 vlan 2配置网关:192.168.2.254/24
[Huawei]interface Vlanif 2
[Huawei-Vlanif2]ip address 192.168.2.254 24
[Huawei-Vlanif2]display this #查看配置的结果
#给 vlan 3配置网关:192.168.3.254/24
[Huawei]interface Vlanif 3
[Huawei-Vlanif3]ip address 192.168.3.254 24
[Huawei-Vlanif3]display this #查看配置的结果
[Huawei-Vlanif3]quit
[Huawei]display ip routing-table | include /24 #查看配置的所有VLAN第六步
:使用 ping 命令 进行测试
十六、综合组网
案例(更合理的使用三层交换机)
:交换机、三层交换、路由构建网络
第一步
:设计好网络拓扑结构;为了缓解三层交换机的压力,通常连接外部网路需要连接一个路由器。路由器的功能要比三成交换机强大。第二步
:在PC1、PC2 和 PC3 及PC4 中配置IP地址,子网掩码和网关;1
2
3
4PC1: IP地址:192.168.1.1/24 网关:192.168.1.254
PC2: IP地址:192.168.2.1/24 网关:192.168.2.254
PC3: IP地址:192.168.3.1/24 网关:192.168.3.254
PC4: IP地址:192.168.5.1/24 网关:192.168.5.254第三步
:在二层交换机 (S3700) LSW1上创建VLAN;1
2<LSW1>system-view
[LSW1]vlan batch 2 to 3 #二层交换机上创建vlan第四步
:将接口加入到交换机 (S3700) LSW1相应的vlan中;
1 | [LSW1]interface Ethernet 0/0/2 |
第五步
:在二层交换机LSW1 (S3700) 和三层交换机LSW2(S5700) 上配置trunk(中继链路)
1 | #在二层交换机LSW1 (S3700)的Ethernet 0/0/4接口配置trunk |
第六步
:在三层交换机LSW2(S5700)上创建vlan,并将接口GE 0/0/2加入到vlan 4中
1 | <LSW2>system-view |
第七步
:在三层交换机 LSW2(S5700) 的虚接口上配置IP1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17#在vlan 1上配置IP地址
[LSW2]interface Vlanif 1
[LSW2-Vlanif1]ip address 192.168.1.254 24
[LSW2-Vlanif1]quit
#在vlan 2上配置IP地址
[LSW2]interface Vlanif 2
[LSW2-Vlanif2]ip address 192.168.2.254 24
[LSW2-Vlanif2]quit
#在vlan 3上配置IP地址
[LSW2]interface Vlanif 3
[LSW2-Vlanif3]ip address 192.168.3.254 24
[LSW2-Vlanif3]quit
#在vlan 4上配置IP地址
[LSW2]interface Vlanif 4
[LSW2-Vlanif4]ip address 192.168.4.1 24
[LSW2-Vlanif4]quit
[LSW2]display ip routing-table | include /24 #查看虚接口配置信息第八步
:在路由器AR1(AR2220) 上给接口配置IP地址
1 | <AR1>system-view |
第九步
:在三层交换机LSW2(S5700)上配置静态路由
1 | <LSW2>system-view |
第十步
:在路由器AR1(AR2220) 上配置静态路由
1 | <AR1>system-view |
第十一步
:测试,保持全网互通
十七、动态路由
动态路由概述
动态路由是基于某种路由协议来实现的;使用动态路由可以减少了管理任务;但是占用了网络带宽.
上图为直连路由,配置动态路由的时候,所以路由都需要开启动态路由,同时需要宣告
连接的网段。实现的网段共享。全网互通。全网可达。动态更新路由信息
动态路由协议 OSPF
动态路由协议 OSPF
,全称为Open Shortest Path Firsh ( 开放式最短路径优先 );适合大中型网络使用;
OSPF区域
为了适应大型的网络,OSPF
在网络内部划分多个区域;每个OSPF
路由器只维护所在区域的完整链路状态信息
区域ID
区域ID可以表示成一个十进制的数字;也可以表示一个IP
骨干区域Area 0
负责区域间路由信息的传播,必须要拥有的一个区域
十八、OSPF配置
OSPF基本配置
- 启动OSPF路由进程并进入首个区域
1
2[Huawei]ospf 1 #开启一个进程,进程号为 1,小型网络开启一个进程就可以
[Huawei-ospf-1]area 0 #进入骨干区域,相当于控制中枢,必须得有 - 宣告所在的网段
1
[Huawei-ospf-1-area-0.0.0.0]network 192.168.0.0 0.0.0.255 #宣告网段,192.168.0.0的子网掩码为255.255.255.0,反掩码则为0.0.0.255
十九、OSPF动态路由配置案例
第一步
:设计好网络拓扑结构;第二步
:在PC1、PC2 中配置IP地址,子网掩码和网关;1
2PC1: IP地址:10.0.0.1/8 网关:10.0.0.2
PC2: IP地址:40.0.0.2/8 网关:40.0.0.1第三步
:在路由器AR1(AR2220) 上的接口上配置IP地址1
2
3
4
5
6
7
8
9#在接口 g0/0/0 上配置IP地址
[AR1]interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]ip address 10.0.0.2 8
#在接口 g0/0/1 上配置IP地址
[AR1]interface GigabitEthernet 0/0/1
[AR1-GigabitEthernet0/0/1]ip address 20.0.0.1 8
[AR1-GigabitEthernet0/0/1]quit
#通过路由表查看配置结果
[AR1]display ip routing-table | include /8第三步
:在路由器AR2(AR2220) 上的接口上配置IP地址
1 | #在接口 g0/0/0 上配置IP地址 |
第四步
:在路由器AR3(AR2220) 上的接口上配置IP地址
1 | #在接口 g0/0/0 上配置IP地址 |
第五步
:在路由器AR1(AR2220) 上配置动态路由OSPF
1 | [AR1]ospf 1 #启动一个进程,进程号为 1 |
第六步
:在路由器AR2(AR2220) 上配置动态路由OSPF
1 | [AR2]ospf 1 #启动一个进程,进程号为 1 |
第七步
:在路由器AR3(AR2220) 上配置动态路由OSPF
1 | [AR3]ospf 1 #启动一个进程,进程号为 1 |
第八步
:测试,保持全网互通
二十、案例使用动态路由完成综合组网
第一步
:设计好网络拓扑结构;第二步
:在PC1、PC2 和 PC3 中配置IP地址,子网掩码和网关;1
2
3PC1: IP地址:192.168.1.1/24 网关:192.168.1.254
PC2: IP地址:192.168.2.1/24 网关:192.168.2.254
PC3: IP地址:192.168.3.1/24 网关:192.168.3.254第三步
:在二层交换机 (S3700) LSW1上创建VLAN;1
2<LSW1>system-view
[LSW1]vlan batch 2 to 3 #二层交换机上创建vlan第四步
:将接口加入到交换机 (S3700) LSW1相应的vlan中;1
2
3
4
5
6
7
8[LSW1]interface Ethernet 0/0/2
[LSW1-Ethernet0/0/2]port link-type access
[LSW1-Ethernet0/0/2]port default vlan 2
[LSW1-Ethernet0/0/2]display vlan #查看结果
[LSW1]interface Ethernet 0/0/3
[LSW1-Ethernet0/0/3]port link-type access
[LSW1-Ethernet0/0/3]port default vlan 3
[LSW1-Ethernet0/0/3]display vlan #查看结果第五步
:在二层交换机LSW1 (S3700) 和三层交换机LSW2(S5700) 上配置trunk1
2
3
4
5
6
7
8
9
10
11
12#在二层交换机LSW1 (S3700)的Ethernet 0/0/4接口配置trunk
[LSW1]interface Ethernet 0/0/4
[LSW1-Ethernet0/0/4]port link-type trunk
[LSW1-Ethernet0/0/4]port trunk allow-pass vlan all
[LSW1-Ethernet0/0/4]quit
[LSW1]display current-configuration
#在三层交换机LSW2(S5700)的Ethernet 0/0/4接口配置trunk
[LSW2]interface GigabitEthernet 0/0/1
[LSW2-GigabitEthernet0/0/1]port link-type trunk
[LSW2-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[LSW2-GigabitEthernet0/0/1]quit
[LSW2]display current-configuration第六步
:在三层交换机LSW2(S5700)上创建vlan,并将接口GE 0/0/2加入到vlan 4中1
2
3
4
5
6<LSW2>system-view
[LSW2]vlan batch 2 to 4 #三层交换机上创建vlan
[LSW2]interface GigabitEthernet 0/0/2
[LSW2-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 4
[LSW2-GigabitEthernet0/0/2]display vlan #查看结果第七步
:在三层交换机 LSW2(S5700) 的虚接口上配置IP1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16#在vlan 1上配置IP地址
[LSW2]interface Vlanif 1
[LSW2-Vlanif1]ip address 192.168.1.254 24
[LSW2-Vlanif1]quit
#在vlan 2上配置IP地址
[LSW2]interface Vlanif 2
[LSW2-Vlanif2]ip address 192.168.2.254 24
[LSW2-Vlanif2]quit
#在vlan 3上配置IP地址
[LSW2]interface Vlanif 3
[LSW2-Vlanif3]ip address 192.168.3.254 24
[LSW2-Vlanif3]quit
#在vlan 4上配置IP地址
[LSW2]interface Vlanif 4
[LSW2-Vlanif4]ip address 192.168.4.1 24
[LSW2-Vlanif4]quit第八步
:在路由器AR1(AR2220) 上给接口配置IP地址1
2
3
4
5
6<AR1>system-view
[AR1]interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]ip address 192.168.4.2 24
[AR1]interface GigabitEthernet 0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.5.254 24 #在路由器上给5.0网段配置网关
[AR1]display ip routing-table | include /24 #查看接口IP地址配置信息第八步
:在三层交换机LSW2(S5700)上配置动态路由1
2
3
4
5
6
7#宣告网段,配置反掩码
[LSW2]ospf 1
[LSW2-ospf-1]area 0
[LSW2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[LSW2-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[LSW2-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[LSW2-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255第九步
:在三层交换机LSW2(S5700)上配置连通外网的默认路由1
[LSW2]ip route-static 0.0.0.0 0 192.168.4.2 #默认路由匹配所有的外围地址
第十步
:在路由器AR1(AR2220) 上配置动态路由1
2
3[AR1]ospf 1
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255第十一步
:在路由器AR1(AR2220) 上配置默认路由1
[AR2]ip route-static 0.0.0.0 0 192.168.5.1 #下一跳为运营商提供的IP地址,由运营商代替访问互联网
第十一步
:测试
注意:在实际的环境中,架构完成以后,要访问外网需要在三层交换机LSW2和 路由器 AR1上都要配置去外面的静态路由.
二十一、传输层概述
传输层的作用
- 网络层提供
点到点的连接
; - 传输层提供
端到端的连接
;端口号区分
传输层最主要的功能就是能够让应用程序之间实现通信
。计算机内部,通常同一时间运行着多个程序。为此,必须分清是哪些程序与哪些程序在进行通信。识别这些应用程序的是端口号。
传输层的协议
TCP(Transmission Control Protocol)
- 传输控制协议;可靠的、面向连接的; 传输效率低
TCP是一种面向有连接的传输层协议,它保证两端通行主机之间的通信可达,正确处理传输过程中丢失的,传输顺序乱等异常情况。TCP能够有效利用带宽,缓解网络拥堵。建立与断开需要7次发包收包。tcp如何保证传输的可靠性:
- 将应用数据分割为tcp认为合适发送的数据包。
- 超时传送,当tcp发送一个段后,它会启动一个定时器,等待目的端确认受到这个报文段,如果没有收到确认,将重发这个报文段。
- 当tcp收到tcp链发送的的数据时,会发送一个确认,(对于收到的请求做一个确认),这个请求不会立即发送,会推迟几秒
- 若tcp收到包,校验出包有错,丢弃报文段,不给出响应,tcp对端会重发。
- 对于失序数据进行重排序,然后教给应用层(tcp报文段作为ip数据报进行传输,而ip数据报的到达会失序,)因此tcp也可能失序。
- 对于重复数据,直接丢弃。 tcp可以进行流量控制,防止较快主机导致较慢主机的缓存区溢出
UDP(User Datagram Protocol)
- 用户数据报协议;不可靠、无连接的; 传输效率高
TCP的封装格式
三次握手:
- 第一次握手:Host A 向Host B发送一个SYN,等待Host B确认;我们建立连接吧
- 第二次握手:Host B收到数据包后,知道Host A 请求建立连接,给Host A回复SYN和ACK,确认连接请求;我也想和你建立连接
- 第三次握手:Host A收到确认后,发送ACK给Host B;嗯,好的。
TCP的四次断开
四次断开:
即终止TCP连接,就是断开一个TCP连接时,需要客户端和服务端总共发送4个包以确认连接的断开。
- 第一次断开:Host A发送一个FIN,用来关闭Host A到Host B的数据传送;
- 第二次断开:Host B收到FIN后,发送一个ACK给Host A;
- 第三次断开:Host B发送一个FIN,用来关闭Host B到Host A的数据传送;
- 第四次断开:Host A收到FIN后,发送一个ACK给Host B;
TCP的应用
UDP的封装格式
UDP的应用
二十二、ACL简介与基本配置
ACL的作用
- 访问控制列表(Access Control List, ACL)是应用在
路由器接口
的指令列表(即规则); - 读取第三层、第四层报文头信息;
- 根据预先定义好的规则对报文进行过滤;
ACL的主要类型
分类 | 编号范围 | 参数 |
---|---|---|
基本ACL | 2000-2999 | 源IP地址 |
高级ACL | 3000-3999 | 源IP地址、目标IP地址、端口、协议 |
ACL规则:
每个ACL可以包含多个规则,路由器根据规则对数据流量进行过滤,匹配即停止.
根据规则号(rule 后面的数字)匹配,前面的规则匹配了,就不再匹配后面的规则;前面的规则不匹配,则继续匹配下面的规则.
1 | 255.255.255.0 #十进制表示 |
基本ACL概述
- 基于源IP地址过滤数据包;
- 列表号是 2000 ~ 2999;
二十三、基本ACL配置(1)
需求描述:
- 禁止PC1访问服务器 Server1;
- 允许其他所有的访问流量
第一步
:设计好网络拓扑结构;第二步
:在PC1、PC2 和 Server1 中配置IP地址,子网掩码和网关;
1 | PC1: IP地址: 192.168.1.1/24 网关:192.168.1.254 |
第三步
:在路由器AR1(AR2220) 上配置直连路由;
1 | #给路由器接口上配置上配置相应的IP地址 |
第四步
:设置ACL访问限制;
1 | [Huawei]acl 2000 #基本acl,列表号是 2000~2999 |
第五步
:查看设置的ACL策略;
1 | [AR1]display acl 2000 #查看单个ACL策略 |
第六步
:测试;
1 | PC1 不能 ping 通 Server1; |
二十四、案例/基本ACL配置(2)
需求描述:禁止主机PC2与PC1互通
,而允许其他的所有流量.
- 第一步:设计好网络拓扑结构;
- 第二步:在PC1、PC2 和 Server1 中配置IP地址,子网掩码和网关;
1
2
3PC1: IP地址:192.168.1.1/24 网关:192.168.1.254
PC2: IP地址:192.168.2.1/24 网关:192.168.2.254
PC3: IP地址:192.168.2.2/24 网关:192.168.2.254 - 第三步:在路由器AR1(AR2220) 上配置直连路由;第四步:测试
1
2
3
4
5
6
7[AR1]interface g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[AR1-GigabitEthernet0/0/0]quit
[AR1]interface GigabitEthernet 0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.2.254 255.255.255.0
[AR1-GigabitEthernet0/0/1]quit
[AR1]display ip routing-table | include /241
2PC1 可以 ping 通 PC2;
PC1 可以 ping 通 PC3; - 第五步:路由器上配置ACL策略;
1 | [Huawei]acl 2000 #基本acl,列表号是 2000~2999 |
第六步:查看设置的ACL策略;
1 | [AR1]display acl 2000 #查看单个ACL策略 |
第七步:测试;
1 | PC2 可以 ping 通 PC1; |
二十五、案例3/基本ACL配置(3)
第一步
:设计好网络拓扑结构;第二步
:在PC1、PC2 和 Server1 中配置IP地址,子网掩码和网关;1
2
3PC1: IP地址:192.168.1.1/24 网关:192.168.1.254
PC2: IP地址:192.168.2.1/24 网关:192.168.2.254
PC3: IP地址:192.168.2.2/24 网关:192.168.2.254第三步
:在路由器AR1(AR2220) 上配置直连路由;第四步:测试1
2
3
4
5
6
7[AR1]interface g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[AR1-GigabitEthernet0/0/0]quit
[AR1]interface GigabitEthernet 0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.2.254 255.255.255.0
[AR1-GigabitEthernet0/0/1]quit
[AR1]display ip routing-table | include /241
2PC1 可以 ping 通 PC2;
PC1 可以 ping 通 PC3;第五步
:路由器上配置ACL策略;第六步:测试;1
2
3
4
5
6
7
8
9
10
11
12#第一步:配置规则,允许主机PC2与PC1互通
[AR1]acl 2000 #要删除2000下的所有规则,undo acl 2000
[AR1-acl-basic-2000]display this #查看2000下的所有规则
[AR1-acl-basic-2000]rule permit source 192.168.2.1 0 #配置规则允许192.168.2.1和192.168.1.1互通
[AR1-acl-basic-2000]display this #查看2000下的所有规则
#第二步:配置规则,禁止其他所有设备访问PC1
[AR1-acl-basic-2000]rule deny source any `#any指的就是其他所有的IP地址`
[AR1-acl-basic-2000]quit
#第三步:将规则加入到相应的接口中
[AR1]interface GigabitEthernet 0/0/1
[AR1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 `#规则写好后要加入到接口处让其生效,因为是禁止其他设备访问,所以是数据的进入,这里用 inbound`
[AR1-GigabitEthernet0/0/1]display this #查看2000下的所有规则1
2PC2 可以 ping 通 PC1;
PC3 不能 ping 通 PC1;
二十六、ACL高级配置
高级ACL概述:基于源IP地址、目标IP地址、源端口、目标端口、协议 过滤数据包;列表号是 3000 ~ 3999;
案例1:高级ACL配置(1)
需求描述:
允许Client1 访问Server1的Web服务;允许Clinet1 访问网络 192.168.2.0/24; 禁止Client1 访问其他网络
第一步
:设计好网络拓扑结构;第二步
:在PC1、PC2 和 Server1 中配置IP地址,子网掩码和网关;1
2
3Client1: IP地址:192.168.1.1/24 网关:192.168.1.254
PC1: IP地址:192.168.2.1/24 网关:192.168.2.254
Server1: IP地址:192.168.3.1/24 网关:192.168.3.254第三步
:在路由器AR1,AR2,AR3上配置直连路由;1
2
3
4
5
6
7
8
9#在路由器AR1上的接口上配置IP地址
<Huawei>system-view
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 192.168.1.254 24
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.4.1 24
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]display ip routing-table | include /241
2
3
4
5
6
7
8
9
10
11
12#在路由器AR2上的接口配置IP地址
<Huawei>system-view
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.4.2 24
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.5.1 24
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]display ip routing-table | include /241
2
3
4
5
6
7
8
9#在路由器AR3上的接口配置IP地址
<Huawei>system-view
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.5.2 24
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 192.168.3.254 24
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]display ip routing-table | include /24第四步
:配置动态路由OSPF,在路由器AR1,AR2,AR3上宣告网段;1
2
3
4
5
6
7
8
9#路由器AR1 宣告跟它相连的网段
<Huawei>system-view
[Huawei]ospf 1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 #后跟反掩码
[Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255 # #后跟反掩码
[Huawei-ospf-1-area-0.0.0.0]quit
[Huawei-ospf-1]quit
[Huawei]display ip routing-table | include /241
2
3
4
5
6
7
8
9#路由器AR2 宣告跟它相连的网段
<Huawei>system-view
[Huawei]ospf 1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255 #后跟反掩码
[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.5.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]quit
[Huawei]display ip routing-table | include /241
2
3
4
5
6
7
8
9#路由器AR3 宣告跟它相连的网段
<Huawei>system-view
[Huawei]ospf 1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.5.0 0.0.0.255 # #后跟反掩码
[Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]quit
[Huawei-ospf-1]quit
[Huawei]display ip routing-table | include /24第五步
:测试全网互通;第六步
:路由器AR1上配置ACL策略;1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16#允许Client1(192.168.1.1) 访问Server1(192.168.3.1)的Web服务
<AR1>system-view
[AR1]acl 3000
[AR1-acl-adv-3000]rule 5 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 80
#允许Clinet1(192.168.1.1) 访问网络 192.168.2.0/24
[AR1-acl-adv-3000]rule 10 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
[AR1-acl-adv-3000]display this
#禁止Client1(192.168.1.1) 访问其他网络
[AR1-acl-adv-3000]rule 15 deny ip source any
[AR1-acl-adv-3000]quit
#将规则加入到相应的接口中 g 0/0/2
[AR1]interface GigabitEthernet 0/0/2
[AR1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
#查看 ACL规则
[AR1]display acl 3000 #查看3000的acl策略
[AR1]display acl all #查看所有的acl策略1
2
3
4#测试
Client1(192.168.1.1) 可以访问Server1(192.168.3.1)的web服务;
Client1(192.168.1.1) 可以ping 通网络 192.168.2.0/24;
Client1(192.168.1.1) 不能ping 通网络 192.168.3.0/24;
案例2:高级ACL配置(2)
需求描述:
- 通过配置高级acl禁止Client1 访问 Server1 的 www 服务;禁止Client2 访问Server1的 ftp 服务器;所有主机的其他服务不受限制
第一步
:设计好网络拓扑结构;第二步
:在PC1、PC2 和 Server1 中配置IP地址,子网掩码和网关;1
2
3PC1: IP地址:192.168.1.1/24 网关:192.168.1.254
PC2: IP地址:192.168.2.1/24 网关:192.168.2.254
PC3: IP地址:192.168.2.2/24 网关:192.168.2.254第三步
:在路由器AR1(AR2220) 上配置直连路由;1
2
3
4
5
6
7
8
9#接口g 0/0/0上配置IP地址:192.168.1.254/24
[AR1]interface g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[AR1-GigabitEthernet0/0/0]quit
#接口g 0/0/1上配置IP地址:192.168.2.254/24
[AR1]interface GigabitEthernet 0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.2.254 255.255.255.0
[AR1-GigabitEthernet0/0/1]quit
[AR1]display ip routing-table | include /24第四步
:路由器上配置ACL策略;1
2
3
4
5
6
7
8
9
10
11
12
13
14#配置高级acl禁止Client1(192.168.2.1) 访问 Server1(192.168.1.1) 的www(80)服务
[AR1]acl 3000
[AR1-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination 192.168.1.1 0
destination-port eq 80
[AR1-acl-adv-3000]display this
#将规则加入到相应的接口中
[AR1-acl-adv-3000]quit
[AR1]interface GigabitEthernet 0/0/1
[AR1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
#配置高级acl禁止Client2(192.168.2.2) 访问 Server1(192.168.1.1) 的ftp(21)服务
[AR1-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.1.1 0
destination-port eq 21
[AR1-acl-adv-3000]display this
[AR1-acl-adv-3000]第五步
:路由器上查看ACL策略;第六步:测试1
2
3#查看 ACL#
[AR1]display acl 3000 #查看3000的acl策略
[AR1]display acl all #查看所有的acl策略1
2Client1(192.168.2.1) 不可以访问 Server1(192.168.1.1) 的 www(80) 服务;
Client2(192.168.2.2) 不可以访问 Server1(192.168.1.1) 的 ftp(21) 服务;
二十七、NAT概述
NAT的作用
Network Address Translation,网络地址转换;NAT是通过将内部网络的私有IP地址转换成全球唯一的公网IP地址,使内部网络可以连接到外部网络;
私有IP地址分类
1 | A类 10.0.0.0 ~ 10.255.255.255 |
NAT的特性
- NAT的优: 节省公有合法IP地址;处理地址重叠;安全性
- NAT的缺点:延迟增大;配置和维护的复杂性;
NAT实现方式
静态转换;Easy IP;
NAT 的工作过程
- 静态
- Easy IP
二十八、静态NAT
静态NAT概述
静态转换是指将内部网络的私有地址转换为公有地址时,IP地址的对应关系是确定的;静态转换是一对一的转换;静态转换是双向的;
静态NAT配置命令
将内部地址10.1.1.11、10.1.1.12静态转换
为公网地址 200.1.1.11、200.1.1.12,以便访问外网主机或被外网主机访问
1 | #g0/0/2为和外部网络相连的接口(出门口); |
案例1 静态NAT配置
需求分析
:
在AR2上配置静态NAT 使192.168.2.1 转换为100.0.0.2,192.168.2.2 转换为100.0.0.3,实现外部
网络访问。
- 第一步:设计好网络拓扑结构;
- 第二步:在PC1、PC2 和 Server1 中配置IP地址,子网掩码和网关;
1
2
3PC1: IP地址:192.168.2.1/24 网关:192.168.2.254
PC2: IP地址:192.168.2.2/24 网关:192.168.2.254
Server1: IP地址:100.0.0.10/8 #不用配网关 - 第三步:在路由器AR2(AR2220) 上的接口配置IP地址;第四步:在路由器AR2(AR2220) 上配置静态NAT;
1
2
3
4
5
6
7
8
9
10#在接口 g0/0/1上配置IP:192.168.2.254/24
<AR2>system-view
[AR2]interface GigabitEthernet 0/0/1
[AR2-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[AR2-GigabitEthernet0/0/1]quit
#在接口 g0/0/2 上配置IP: 100.0.0.0.1/8
[AR2]interface GigabitEthernet 0/0/2
[AR2-GigabitEthernet0/0/2]ip address 100.0.0.1 8
[AR2-GigabitEthernet0/0/2]quit
[AR2]display ip routing-table #查看配置信息1
2
3
4
5
6
7#nat是在进入外网的接口上配置的,本次拓扑需要在接口 g 0/0/2 上配置
[AR2]interface GigabitEthernet 0/0/2
#将私网IP地址 192.168.2.1 转换为 公网IP地址 100.0.0.2
[AR2-GigabitEthernet0/0/2]nat static global 100.0.0.2 inside 192.168.2.1
#将私网IP地址 192.168.2.2 转换为 公网IP地址 100.0.0.3
[AR2-GigabitEthernet0/0/2]nat static global 100.0.0.3 inside 192.168.2.2
[AR2-GigabitEthernet0/0/2]display this #查看以上配置是否正确注意:私网地址与公网地址绑定以后,外网服务器直接可以访问绑定的公网地址来访问私网服务器
第五步:查看设备上配置NAT第六步:测试1
2[AR2]display nat static #查看配置的静态NAT
[AR2]display nat static interface GigabitEthernet 0/0/2 #查看接口上的多组NAT第七步 路由器AR2上添加默认路由1
2
3PC1(192.168.2.1) 可以访问 Server1(100.0.0.10);
PC1(192.168.2.2) 可以访问 Server1(100.0.0.10);
Server1(100.0.0.10) 可以通过访问 100.0.0.2 来访问PC1(192.168.2.1);1
2
3
4
5#以上完成了访问单台外网服务器的拓扑,在真实的环境下外网的服务器有很多台,为了可以访问所有的网
络,需要配置默认路由,下一跳地址为运营商提供的IP地址。 例如:100.0.0.0.10
<AR2>system-view
[AR2]ip route-static 0.0.0.0 0 100.0.0.10
[AR2]display ip routing-table
二十九、EASY IP
Easy IP 允许将多个内部地址映射到网关出接口;Easy IP 是多对一的转换;Easy IP 是单向的
案例1 Easy IP配置
需求分析:
在路由器AR2上配置Easy IP,使企业内网192.168.2.0/24都可以通过接口 g0/0/2 的IP, 实现外部网
络的访问
第一步
:设计好网络拓扑结构;第二步
:在PC1、PC2 和 Server1 中配置IP地址,子网掩码和网关;1
2
3PC1: IP地址:192.168.2.1/24 网关:192.168.2.254
PC2: IP地址:192.168.2.2/24 网关:192.168.2.254
Server1: IP地址:100.0.0.10/8 #不用配网关第三步
:在路由器AR1(AR2220) 上的接口配置IP地址;1
2
3
4
5
6
7
8
9
10#在接口 g0/0/1上配置IP:192.168.2.254/24
<AR2>system-view
[AR2]interface GigabitEthernet 0/0/1
[AR2-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[AR2-GigabitEthernet0/0/1]quit
#在接口 g0/0/2 上配置IP: 100.0.0.0.1/8
[AR2]interface GigabitEthernet 0/0/2
[AR2-GigabitEthernet0/0/2]ip address 100.0.0.1 8
[AR2-GigabitEthernet0/0/2]quit
[AR2]display ip routing-table #查看配置信息第四步
:在路由器AR2(AR2220) 上配置Easy IP;1
2
3
4
5
6
7
8
9
10
11#设置允许192.168.2.0网段的规则
[AR2]acl 2000
[AR2-acl-basic-2000]rule 5 permit source 192.168.2.0 0.0.0.255
[AR2-acl-basic-2000]quit
#在接口g 0/0/2上设置Easy IP
[AR2]interface GigabitEthernet 0/0/2
[AR2-GigabitEthernet0/0/2]nat outbound 2000
[AR2-GigabitEthernet0/0/2]quit
[AR2-GigabitEthernet0/0/2]display this #查看接口配置是否正确
#查看所有的acl规则
[AR2]display acl all第五步
:查看设备上配置Easy IP1
[AR2]display nat outbound #查看配置的Easy IP
第六步
:测试1
2PC1(192.168.2.1) 可以访问 Server1(100.0.0.10);
PC1(192.168.2.2) 可以访问 Server1(100.0.0.10);注意:如果同时配置了静态 NAT 和 Easy IP, 通信时优先使用的是 静态 NAT
第七步
: 路由器AR2上添加默认路由1
2
3
4#以上完成了访问单台外网服务器的拓扑,在真实的环境下外网的服务器有很多台,为了可以访问所有的网络,需要配置默认路由,下一跳地址为运营商提供的IP地址。 例如:100.0.0.0.10
<AR2>system-view
[AR2]ip route-static 0.0.0.0 0 100.0.0.10
[AR2]display ip routing-tab
三十、VRRP概述与环境
单网关场景分析
当网关路由器出现故障时,本网段内以该设备为网关的主机都不能与 Internet 进行通信。
多网关存在的问题
通过部署多网关的方式实现网关的备份,存在的问题:
- 1、网关间IP地址冲突;
- 2、主机会频繁切换网络出口
什么是VRRP
VRRP是虚拟路由冗余协议,VRRP能够在不改变组网的情况下,从多台网关设备里产生一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关,实现网关的备份
VRRP应用
VRRP组成员角色
- 主(Master) 路由器;
- 备份(Backup) 路由器;
- 虚拟(Virtual) 路由器
VRRP原理
企业级的架构中,需要保证架构的稳定性,即关键设备中有一台出现问题了,不会导致整个网络的瘫
痪;一个网络访问另外的网络需要通过路由器来完成,VRRP的作用就是
:由两台配置了不同IP地址(网关)的路由器,组成一个虚拟的路由器,对外提供网关服务的是这个虚拟路由器。这样不管是真实路由器哪个出现问题,都不会影响整个网络的运行,提高了网络结构的稳定性。
三十一、VRRP配置
VRRP配置步骤
- 配置VRRP的成员;
- 配置VRRP的优先级 (默认100);
- 查看VRRP信息
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15#三层交换机SW1上配置, 主路由器(Master)
<Huawei>system-view #进入系统视图
[Huawei]sysname SW1 #修改设备名字
[SW1]
[SW1]undo info-center enable #取消信息提示
#给vlan1配置网关
[SW1]interface Vlanif 1
[SW1-Vlanif1]ip address 192.168.1.252 255.255.255.0
#将三层交换机SW1配置为VRRP的成员,设置虚拟IP地址
[SW1-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254
#配置VRRP的优先级,不写默认为100
[SW1-Vlanif1]vrrp vrid 1 priority 105
[SW1-Vlanif1]
#查看VRRP配置信息
[SW1-Vlanif1]display vrrp brief1
2
3
4
5
6
7
8
9
10
11
12
13#三层交换机SW2上配置,,备用路由器(backup)
<Huawei>system-view #进入系统视图
[Huawei]sysname SW2 #修改设备名字
[SW2]
[SW2]undo info-center enable #取消信息提示
#给vlan1配置网关
[SW2]interface Vlanif 1
[SW2-Vlanif1]ip address 192.168.1.253 255.255.255.0
#将三层交换机SW1配置为VRRP的成员,设置虚拟IP地址
[SW2-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254
#不用设置优先级,默认为100
#查看VRRP配置信息
[SW2-Vlanif1]display vrrp brief
案例:三层交换配置VRRP
在三层交换机配置 VRRP 后使其产生一个虚拟 IP 地址 192.168.1.254为内部主机的网关
第一步:设计好网络拓扑结构;
第二步:在PC1、PC2 中配置IP地址,子网掩码和网关;
1
2PC1: IP地址:192.168.1.1/24 网关:192.168.1.254
PC2: IP地址:192.168.4.1/24 网关:192.168.2.254第三步:在三层交换机LSW1和LSW2上配置IP地址;
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17#在三层交换机LSW1上配置IP地址
<LSW1>system-view
[LSW1]vlan batch vlan 2 #创建vlan
#将接口 g0/0/1加入到vlan 2中
[LSW1]interface GigabitEthernet 0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 2
[LSW1-GigabitEthernet0/0/1]quit
#给vlan 2配置IP地址,三层交换机不能直接给接口配IP地址
[LSW1]interface Vlanif 2
[LSW1-Vlanif2]ip address 192.168.2.2 24
[LSW1-Vlanif2]quit
#给vlan 1配置IP地址
[LSW1]interface Vlanif 1
[LSW1-Vlanif1]ip address 192.168.1.252 255.255.255.0
#查看配置信息
[LSW1]display ip routing-table | include /241
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16#在三层交换机LSW2上配置IP地址
<LSW2>system-view
[LSW2]vlan batch 3
#将接口 g0/0/1加入到vlan 3中
[LSW1]interface GigabitEthernet 0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 3
[LSW1-GigabitEthernet0/0/1]quit
#给vlan 1配置IP地址
[LSW2]interface vlan 1
[LSW2-Vlanif1]ip address 192.168.1.253 24
[LSW2-Vlanif1]quit
#给vlan 3配置IP地址,三层交换机不能直接给接口配IP地址
[LSW2]interface vlan 3
[LSW2-Vlanif3]ip address 192.168.3.2 24
[LSW2]display ip routing-table | include /24 #查看配置信息第四步
:给路由器配置直连路由;1
2
3
4
5
6
7
8
9
10
11
12
13#在接口g 0/0/0上配置IP地址192.168.2.1/24
[AR1]interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]ip address 192.168.2.1 24
[AR1-GigabitEthernet0/0/0]quit
#在接口g 0/0/1上配置IP地址192.168.3.1/24
[AR1]interface GigabitEthernet 0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.3.1 24
[AR1-GigabitEthernet0/0/1]quit
#在接口g 0/0/2上配置IP地址192.168.4.254/24
[AR1]interface GigabitEthernet 0/0/2
[AR1-GigabitEthernet0/0/2]ip address 192.168.4.254 24
[AR1-GigabitEthernet0/0/2]quit
[AR1]display ip routing-table | include /24 #查看配置信息第五步:三层交换机和路由器上配置动态路由OSPF;
1
2
3
4
5
6
7
8
9
10#三层交换机LSW1上配置动态路由
<LSW1>system-view
[LSW1]OSPF 1 #启动进程,进程号为1
[LSW1-ospf-1]area 0 #进入骨干区域
#宣告跟它相连的网段,注意反掩码的书写
[LSW1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]quit
#过滤查看路由表
[LSW1]display ip routing-table | include /241
2
3
4
5
6
7
8
9#三层交换机LSW2上配置动态路由
<LSW2>system-view
[LSW2]ospf 1 # #启动进程,进程号为1
[LSW2-ospf-1]area 0 # #进入骨干区域
#宣告跟它相连的网段,注意反掩码的书写
[LSW2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[LSW2-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
#过滤查看路由表
[LSW2]display ip routing-table | include /241
2
3
4
5
6
7
8
9<AR1>system-view
[AR1]ospf 1 #启动进程,进程号为1
[AR1-ospf-1]area 0 #进入骨干区域
#宣告跟它相连的网段,注意反掩码的书写
[AR1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
#过滤查看路由表
[AR1]display ip routing-table | include /24第六步:两台三层交换机上配置VRRP(虚拟路由);
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16#三层交换机SW1上配置, 主路由器(Master)
[SW1]interface vlan 1
#将三层交换机SW1配置为VRRP的成员,设置虚拟IP地址
[SW1-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254
#配置VRRP的优先级,不写则默认为100
[SW1-Vlanif1]vrrp vrid 1 priority 105
[SW1-Vlanif1]
#查看VRRP配置信息
[SW1-Vlanif1]display vrrp brief
#三层交换机SW2上配置,备用路由器(backup)
[SW2]interface vlan 1
#将三层交换机SW1配置为VRRP的成员,设置虚拟IP地址
[SW2-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254
#不用设置优先级,默认为100
#查看VRRP配置信息
[SW2-Vlanif1]display vrrp brief第七步
:测试;
断开任何一条二层交换机与三层交换机之间的连线,网络还是互通的;注意:断开连线测试时,需要等一会儿,切换需要时间
三十二、企业级网络分析与升级
目前网络环境
公司介绍:一家网络服务的IT公司;公司位于北京,有若干服务器;通过NAT技术将业务服务器与 Internet 互联
目前网络拓扑结构
目前网络技术
目前网络环境已用技术:
- 默认路由:实现到互联网数以万计网络访问的简化配置;
- 静态路由:路由器与三层交换间配置静态路由;
- NAT:将业务服务器与Internet 互联
问题分析
现有网络环境问题分析:
- 接入层交换机只与同一个三层交换机互连,存在单点故障而影响网络通信;
- 互联网连接单一服务商;
- 网络规模不断增加,静态路由缺乏灵活
项目需求
现有网络需求:
- 为提高主机对本公司网络服务访问的可靠性,需要使用很多的冗余技术;
- 为了保证局域网络高可用使用了网状拓扑;
- 为了保证服务器不会因为使用单一网关而出现的单点失败,影响网络通信,需要网关冗余;
- 为了保证到互联网的高可用,接入需使用冗余互联网连接。
项目技术
基于项目的需求,解决方案中需要增加如下技术:
- OSPF路由协议:实现网络路径的自动学习;
- VRRP:实现冗余网关;
- 链路聚合:实现增加链路可靠性
项目拓扑
重新规划后的网络拓扑:
企业级网络架构(搭建)学习笔记(网管)
https://liruilongs.github.io/2021/03/25/Network/企业级网络架构(搭建)学习笔记(网管)/