目录
- 基本实验
- 扩展实验
- 命令提示
- 理论学习
- 网络的发展与应用
- 网络互联基础
- 交换机原理与应用
- 路由器原理与应用
- 常见广域网协议及特点
- PIX防火墙特点与应用
- PIX 防火墙应用举例
#基本实验
##实验一 计算机和交换机基本设置
添加一个交换机,一个计算机,双击交换机,进入终端配置:
<Quidway>system ;进入管理员模式
password:
[Quidway]sysname S3026 ;交换机命名
[S3026]super password 111 ;设置特权密码
[S3026]user-interface vty 0 4 ;进入虚拟终端视图
[S3026-ui-vty0-4]authentication-mode password ;设置虚拟终端验证方式
[S3026-ui-vty0-4]set authentication-mode password simple 222 ;设虚拟终端的密码
[S3026-ui-vty0-4]user privilege level 3 ;设置虚拟终端的权限级别,3是最高级
[S3026-ui-vty0-4]quit ;退出虚拟终端视图
[S3026]quit ;退出管理员视图
<S3026>sys ;进入管理员模式
password:111 ;输入登录密码
[S3026]display currect-config ;显示当前交换机配置
[S3026]dis curr ;上述命令的简写
[S3026]vlan 2 ;添加vlan2
[S3026-vlan2]port ethernet0/2 ;将端口2添加到vlan2
[S3026-vlan2]port e0/4 to et0/6 ;将端口4-6添加到vlan2
[S3026-vlan2]quit ;退出vlan2视图
[S3026]dis vlan ;显示vlan信息
[S3026]int e0/3 ;进图端口3
[S3026-Ethernet1]port access vlan 2 ;将端口3以access方式添加到vlan2
[S3026-Ethernet1]quit ;退出端口3视图
[S3026]dis vlan ;显示vlan信息
[S3026]dis curr ;显示当前交换机信息
[S3026]interface vlan 1 ;进入vlan1视图
[S3026-Vlan-interface1]ip address 10.65.1.8 255.255.0.0;试着vlan1的ip和子网掩码
[S3026-Vlan-interface1]quit ;退出vlan1视图
[S3026]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;设置交换机的静态路由
[S3026]ip default-gateway 10.65.1.2 ;设置交换机的默认网关
[S3026]dis curr ;显示当前配置信息
[S3026]save ;保存
双击小电脑:
login:root ;登录主机
password:linux ;输入登录密码
[root@PCA root]#ifconfig eth0 10.65.1.1 netmask 255.255.0.0;设置ip和子网掩码
[root@PCA root]#ifconfig ;显示ip设置
[root@PCA root]#route add default gw 10.65.1.2;设置默认网关
[root@PCA root]#route ;显示网关设置
[root@PCA root]#ping 10.65.1.8 ;向10.65.1.8发送ECHO包
[root@PCA root]#telnet 10.65.1.8 ;远程登录10.65.1.8
##实验二 配置端口聚合
要求聚合的端口工作在全双工,速度一致,在同一槽口且连续。
参数:ingress:源MAC, both:源和目的MAC
对于SwitchA:
[Quidway]sysname SwitchA ;给交换机命令
[SwitchA]interface ethernet0/1 ;进入端口1视图
[SwitchA-Ethernet0/1]duplex full ;设置为全双工模式
[SwitchA-Ethernet0/1]speed 100 ;速度为100
[SwitchA-Ethernet0/1]port link-type trunk ;设置端口连接类型为trunk
[SwitchA-Ethernet0/1]port trunk permit vlan all ;设置允许所有vlan通过
[SwitchA-Ethernet0/1]int e0/2 ;进入端口2视图
[SwitchA-Ethernet0/2]duplex full ;设置为全双工模式
[SwitchA-Ethernet0/2]speed 100 ;速度为100
[SwitchA-Ethernet0/2]port link-type trunk ;设置端口类型为trunk
[SwitchA-Ethernet0/2]port trunk permit vlan all ;设置允许所有vlan通过
对于SwitchB:
[Quidway]sysname SwitchB ;为交换机命令
[SwitchB]interface ethernet0/1 ;进图端口1视图
[SwitchB-Ethernet0/1]duplex full ;设置为全双工模式
[SwitchB-Ethernet0/1]speed 100 ;速度为100
[SwitchB-Ethernet0/1]port link-type trunk ;设置端口连接为trunk
[SwitchB-Ethernet0/1]port trunk permit vlan all ;允许所有vlan通过
[SwitchB-Ethernet0/1]int e0/2 ;进入端口2视图
[SwitchB-Ethernet0/2]duplex full ;设置为全双工模式
[SwitchB-Ethernet0/2]speed 100 ;速度为100
[SwitchB-Ethernet0/2]port link-type trunk ;设置端口连接类型为trunk
[SwitchB-Ethernet0/2]port trunk permit vlan all ;允许所有类型的vlan通过
聚合操作:
[SwitchA]link-aggregation ethernet0/1 to ethernet0/2 both ;将端口1到端口2聚合
[SwitchB]link-aggregation ethernet0/1 to ethernet0/2 both ;将端口1到端口2聚合
[SwitchA]display link-aggregation ethernet0/1 ;显示聚合信息
[SwitchA]undo link-aggregation all ;取消所有聚合
##实验三 基本VLAN设置
[SwitchA]vlan 2 ;添加vlan2
[SwitchA-vlan2]port e0/3 to e0/4 ;将端口3-4添加到vlan2
[SwitchA-vlan2]vlan 3 ;添加vlan3
[SwitchA-vlan3]port e0/5 to e0/6 ;将端口5-6添加到vlan3
[SwitchA]dis vlan all ;显示所有vlan信息
[SwitchA]dis current ;显示当前配置信息
[SwitchB]vlan 2 ;添加vlan2
[SwitchB-vlan2]port e0/3 to e0/4 ;将端口3-4添加到vlan2
[SwitchB-vlan2]vlan 3 ;添加vlan3
[SwitchB-vlan3]port e0/5 to e0/6 ;将端口5-6添加到vlan3
[SwitchB-vlan3]quit ;退出vlan视图
[SwitchB]dis vlan all ;显示所有vlan信息
[SwitchB]dis current ;显示所有配置信息
设置计算机的IP为:
PCA:10.65.1.1 PCB:10.66.1.1 PCC:10.65.1.3 PCD:10.66.1.3
[root@PCA root]ifconfig eth0 10.65.1.1 netmask 255.255.0.0
[root@PCB root]ifconfig eth0 10.66.1.1 netmask 255.255.0.0
[root@PCC root]ifconfig eth0 10.65.1.3 netmask 255.255.0.0
[root@PCD root]ifconfig eth0 10.66.1.3 netmask 255.255.0.0
[root@PCA root]#ping 10.65.1.1 通 (本机IP)
[root@PCA root]#ping 10.65.1.3 不通 (中间连接线是vlan 1)
[root@PCA root]#ping 10.66.1.1 不通 (不同网络,不同vlan)
[root@PCA root]#ping 10.66.1.3 不通 (不同网络,不同vlan)
[root@PCB root]#ping 10.66.1.3 不通 (中间连接线是vlan 1)
将PCA改接到SwitchA E0/2 (vlan 1)
[root@PCA root]#ping 10.65.1.3 不通 (同网络,不同vlan)
将PCC改接到SwitchB E0/2 (vlan 1)
[root@PCA root]#ping 10.65.1.3 通 (同网络,同在vlan 1)
再改回来,并设置trunk:
[S3026A]interface ethernet0/8 ;进入端口8视图
[S3026A-Ethernet0/8]port link-type trunk ;设置端口类型为trunk
[S3026A-Ethernet0/8]port trunk permit vlan all ;允许所有vlan通过
[S3026B]interface ethernet0/1 ;进图端口1
[S3026B-Ethernet0/1]port link-type trunk ;设置端口类型为trunk
[S3026B-Ethernet0/1]port trunk permit vlan all ;允许所有vlan通过
[S3026B-Ethernet0/1]quit ;退出端口视图
[S3026B]dis curr ;显示当前所有配置信息
[root@PCA root]#ping 10.65.1.3 通 ;属于同一个vlan
[root@PCA root]#ping 10.66.1.3 不通 ;不同网络,不同vlan
[root@PCB root]#ping 10.66.1.3 通 ;属于同一个vlan
即:PCA和PCC同在vlan 2 是通的,PCB和PCD同在vlan 3是通的。
PCA和PCB是不通的。同理PCC和PCD也是不通的。
------------------------------------------------------------
再加入一个交换机switchC,将它串入switchA和switchB之间,连接方式:
switchA:E0/8-->switchC:E0/3; switchC:E0/6-->switchB:E0/1
(1) 新加入的SwitchC 默认状态时,测试连通性。
从PCA->PCC,从PCB->PCD 测试:
[root@PCA root]# ping 10.65.1.3 (不通)
[root@PCB root]# ping 10.66.1.3 (不通)
由于新加入的交换机没有设置trunk,端口默认vlan 1,交换机的trunk
要成对出现,因为当dot1q不能和另一端交换信息时,会自动down掉。
(2) 将交换机之间的连线都设置成trunk时,再测试连通性。
[S3026C]interface ethernet0/3 ;进入端口3视图
[S3026C-Ethernet0/1]port link-type trunk ;设置端口类型为trunk
[S3026C-Ethernet0/1]port trunk permit vlan all ;允许所有vlan通过
[S3026C]interface ethernet0/6 ;进入端口6视图
[S3026C-Ethernet0/8]port link-type trunk ;设置端口类型为trunk
[S3026C-Ethernet0/8]port trunk permit vlan all ;允许所有vlan通过
现在有两条正确的trunk,再看一下联通情况:
[root@PCA root]# ping 10.65.1.3 (通) ;属于同一个vlan
[root@PCB root]# ping 10.66.1.3 (通) ;属于用一个vlan
(3) 设置vtp
VTP是vlan 传输协议,在VTP Server上配置的vlan 在条件允许条件下,可以
从VTP Client 端看到VTP Server上的vlan,并将自己端口加入到vlan中。
[S3026C]vtp domain abc ;设置vtp名称
[S3026C]vtp mode server ;设置vtp模式为server
[S3026C]vtp password ok ;设置密码为ok
[S3026B]vtp domain abc ;设置vtp名称
[S3026B]vtp mode client ;设置vtp模式为client
[S3026B]vtp password ok ;设置密码为ok
[S3026A]#disp vlan ;显示交换机A的所有vlan信息
[S3026B]#disp vlan ;显示交换机B的所有vlan信息
[S3026C]#disp vlan ;显示交换机C的所有vlan信息
当口令和域名一致时,client端可以学习到server端的vlan,在VTP Server端还
可以有很多策略,这里只是说明最基本的问题。
VTP在企业、机关、学校的应用是很多的,在主交换机上设置好vlan以后,下级的
交换机不用再设置vlan,可以将client的某些端口添加到VTP Server中定义的vlan中
去,加强了管理。
##实验四 配置primary VLAN和secondary VLAN
主附vlan一般用于一个网络段的情况,主vlan和子vlan间可以访问,
而子vlan之间是不能访问的。
设置计算机的IP为:
PCA:10.65.1.1 PCB:10.65.1.2 PCC:10.65.1.3 PCD:10.65.1.4
[root@PCA root]ifconfig eth0 10.65.1.1 netmask 255.255.0.0
[root@PCB root]ifconfig eth0 10.65.1.2 netmask 255.255.0.0
[root@PCC root]ifconfig eth0 10.65.1.3 netmask 255.255.0.0
[root@PCD root]ifconfig eth0 10.65.1.4 netmask 255.255.0.0
[SwitchA]vlan 2 ;添加vlan2
[SwitchA-vlan2]port ethernet 0/5 to ethernet 0/6;将端口5-6添加到vlan2
[SwitchA]vlan 3 ;添加vlan3
[SwitchA-vlan3]port ethernet 0/7 to ethernet 0/8;将端口7-8添加到vlan3
[SwitchA]vlan 5 ;添加vlan5
[SwitchA-vlan5]port ethernet 0/1 to ethernet 0/4;将端口1-4添加到vlan5
[SwitchA-vlan5]isolate-user-vlan enable ;将vlan5设置为主vlan
[SwitchA-vlan5]quit ;退出vlan5视图
[SwitchA]isolate-user-vlan 5 secondary 2,3 ;将vlan2,3设置Wie子vlan
[SwitchB]vlan 2 ;添加vlan2
[SwitchB-vlan2]port ethernet 0/5 to ethernet 0/6;将端口5-6添加到vlan2
[SwitchB]vlan 3 ;添加vlan3
[SwitchB-vlan3]port ethernet 0/7 to ethernet 0/8;将端口7-8添加到vlan3
[SwitchA]vlan 4 ;添加vlan4
[SwitchB-vlan4]port ethernet 0/1 to ethernet 0/4;将端口1-4添加到vlan4
[SwitchB-vlan4]isolate-user-vlan enable ;将vlan4设置为主vlan
[SwitchB-vlan4]quit ;退出vlan4视图
[SwitchB]isolate-user-vlan 4 secondary 2,3 ;将vlan2,3设置为子vlan
##实验五 交换机的镜像与生成树
(一) 设置镜像
镜像是一个端口的数据被映射到另一个端口,进行数据分析。
[Quidway]monitor-port e0/8 ;设置观测端口
[Quidway]port mirror e0/1 ;设置被观测端口
或:
[Quidway]port mirror e0/1 to e0/2 observing-port e0/8;一次性设置观测与被观测端口
(二) 生成树
[Quidway]stp {enable|disable} ;{启动|关闭}生成树
[Quidway]stp priority 4096 ;设置交换机的优先级
[Quidway]stp root primary ;设置交换机为树根
[Quidway-Ethernet0/1]stp cost 200 ;设置交换机端口的花费
##实验六 路由器BootROM升级
<Quidway>system
[Quidway]reload
Press Ctrl+B to enter Boot Menu …
Boot Menu:
1:Download application program
2:Download Bootrom program
3:Modify Bootrom password
4:Exit menu
5:Reboot
Enter your choice(1-5):1
Downloading application program
from serial ... (rs232)
please choose your download speed:
1:9600bps
2:19200bps
3:38400bps
4:Exit and reboot
Enter your choice(1-4):2
Download speed is 38400bps.
Please change the terminal's speed to 38400bps.
And select XMODEM
protocol. Press ENTER key when ready.
Downloading ...CC (please select [File]->[Send])
############################################################
############################################################
############################################################
########### ok!
Download completed.
Write flash auccessfully!
[Quidway]
##实验七 直联路由
<Quidwqy>system ;进入管理员模式
password:
[Quidway]interface ethernet0 ;进入端口0视图
[Quidway-Ethernet0]ip addr 10.65.1.2 255.255.255.0 ;设置端口0IP地址
[Quidway-Ethernet0]undo shutdown ;启动端口0
[Quidway-Ethernet0]int e1 ;进入端口1
[Quidway-Ethernet1]ip addr 10.66.1.2 255.255.255.0 ;设置端口1IP地址
[Quidway-Ethernet1]undo shutdown ;启动端口1
[root@PCA root]#ifconfig eth0 10.65.1.1 netmask 255.255.0.0 ;设置主机AIP
[root@PCB root]#ifconfig eth0 10.66.1.1 netmask 255.255.0.0 ;设置主机BIP
[root@PCA root]#ping 10.65.1.2 (不通,没有关只能ping直连的口)
[root@PCA root]#ping 10.66.1.2 (不通,PCA 没有设置网关)
[root@PCA root]#route add default gw 10.65.1.2 ;设置主机A网关
[root@PCA root]#ping 10.66.1.2 (通)
[root@PCA root]#ping 10.66.1.1 (不通,因PCB没有网关)
[root@PCB root]#route add default gw 10.66.1.2 ;设置主机B网关
[root@PCA root]#ping 10.66.1.1 (通)
去掉计算机Host B与Router的连线,再ping:
[root@PCA root]#ping 10.66.1.2 不通(没有接线端口会自动down掉)
再连接Host B与Router的连线,再ping:
[root@PCA root]#ping 10.66.1.2 (通)
##实验八 单臂路由
设置PCA ip:10.65.1.1 gateway:10.65.1.2
设置PCB ip:10.66.1.1 gateway:10.66.1.2
[root@PCA root]#ifconfig eth0 10.65.1.1 netmask 255.255.0.0
[root@PCA root]#route add default gw 10.65.1.2
[root@PCB root]#ifconfig eth0 10.66.1.1 netmask 255.255.0.0
[root@PCB root]#route add default gw 10.66.1.2
1.一个接口两个IP的情况
<Quidwqy>system ;进入管理员模式
password:
[Quidway]interface ethernet0 ;进入接口0视图
[Quidway-Ethernet0]ip addr 10.65.1.2 255.255.255.0 ;设置IP
[Quidway-Ethernet1]ip addr 10.66.1.2 255.255.255.0 secondary ;设置IP
[Quidway-Ethernet1]undo shutdown ;启动
[root@PCA root]#ping 10.66.1.1 通
2.划分两个子接口,对两个vlan的路由
[SwitchA]vlan 2 ;添加vlan2
[SwitchA-vlan2]port e0/3 ;将端口3添加到vlan2
[SwitchA]vlan 3 ;添加vlan3
[SwitchA-vlan3]port e0/6 ;将端口6添加到vlan3
[SwitchA]int e0/1 ;进入端口1
[SwitchA-Ethernet0/1]port link-type trunk ;设置端口类型为trunk
[SwitchA-Ethernet0/1]port trunk permit vlan all ;允许所有vlan通过
[SwitchA-Ethernet0/1]port trunk encap dot1q ;设置trunk封装协议为dot1q
[SwitchA]dis curr
[Quidway]int e0 ;进入端口0
[SwitchA-Ethernet0]int e0.1 ;进入端口0.1
[SwitchA-Ethernet0.1]encapsulation dot1q 2 ;设置封装格式为dot1q
[SwitchA-Ethernet0.1]ip addr 10.65.1.2 255.255.255.0;设置IP
[SwitchA-Ethernet0.1]undo shut ;启动
[SwitchA-Ethernet0.1]int e0.2 ;进入端口0.2
[SwitchA-Ethernet0.2]encapsulation dot1q 2 ;设置封装格式为dot1q
[SwitchA-Ethernet0.2]ip addr 10.66.1.2 255.255.255.0;设置IP
[SwitchA-Ethernet0.2]undo shut ;启动
[SwitchA]dis curr
[root@PCA root]#ping 10.66.1.1 通
##实验九 静态路由实验
PCA:10.65.1.1 PCB:10.66.1.1 PCC:10.70.1.1 PCD:10.71.1.1
[root@PCA root]#ifconfig eth0 10.65.1.1 netmask 255.255.0.0
[root@PCB root]#ifconfig eth0 10.66.1.1 netmask 255.255.0.0
[root@PCC root]#ifconfig eth0 10.70.1.1 netmask 255.255.0.0
[root@PCD root]#ifconfig eth0 10.71.1.1 netmask 255.255.0.0
[RouterA]interface ethernet0 ;进入端口0
[RouterA-Ethernet0]ip addrress 10.65.1.2 255.255.0.0
[RouterA-Ethernet0]undo shutdown
[RouterA-Ethernet0]int e1
[RouterA-Ethernet1]ip addrress 10.66.1.2 255.255.0.0
[RouterA-Ethernet1]undo shutdown
[RouterA-Ethernet1]int s1
[RouterA-Serial1]ip addrress 10.68.1.2 255.255.0.0
[RouterA-Serial1]undo shutdown
[RouterA-Serial1]clock rate 64000
[RouterA-Serial1]quit
[RouterA]ip routing
[RouterA]dis curr
[RouterB]interface ethernet0
[RouterB-Ethernet0]ip addrress 10.70.1.2 255.255.0.0
[RouterB-Ethernet0]undo shutdown
[RouterB-Ethernet0]int e1
[RouterB-Ethernet1]ip addrress 10.71.1.2 255.255.0.0
[RouterB-Ethernet1]undo shutdown
[RouterB-Ethernet1]int s0
[RouterB-Serial0]ip addrress 10.68.1.1 255.255.0.0
[RouterB-Serial0]undo shutdown
[RouterB-Serial0]quit
[RouterB]ip routing
[RouterB]dis curr
[root@PCA root]#ifconfig eth0 10.65.1.1 netmask 255.255.0.0
[root@PCA root]#route add default gw 10.65.1.2
[root@PCA root]#ping 10.65.1.2 通
[root@PCA root]#ping 10.66.1.2 通
[root@PCA root]#ping 10.67.1.2 通
[root@PCA root]#ping 10.68.1.2 不通
[root@PCA root]#ping 10.69.1.2 不通
[RouterA]ip route-static 10.69.0.0 255.255.0.0 10.67.1.1
[root@PCA root]#ping 10.69.1.1 通
三个路由器的静态路由 (参考实验九图)
设置RouterA的IP:
f0/0: 10.65.1.2 --->PCA:10.65.1.1
f0/1: 10.66.1.2 --->PCB:10.66.1.1
s0/0: 10.67.1.2
s0/1: 10.68.1.2 --->接RouterC s0/0
设置RouterC的IP:
s0/0: 10.68.1.1 <---
s0/1: 10.78.1.2 --->接RouterB s0/0
设置RouterB的IP:
s0/0: 10.78.1.1 <---
s0/1: 10.67.1.1
f0/0: 10.69.1.2 --->PCC:10.69.1.1
f0/1: 10.70.1.2 --->PCD:10.70.1.1
设置从PCA到PCC的静态路由
[ROA]ip routing
[ROA]ip route-static 10.69.0.0 255.255.0.0 10.68.1.1
[ROA]display ip route
[ROB]ip route-static 10.69.0.0 255.255.0.0 10.78.1.1
[ROB]display ip route
[root@PCA root]#ping 10.69.1.1 (通)
[root@PCA root]#ping 10.78.1.1 (不通)
[root@PCA root]#ping 10.70.1.1 (不通)
为什么PCA 到10.78.1.1不通呢?它是去10.69.1.1要经过的地方啊,这是由于在
RouterA上,没有去10.78.0.0网络的路由,所以到这个网络它不知道要向哪去送。
如何让PCA到10.70.1.1 (PCD)通呢,像10.69.0.0网络一样,在路径的路由器上
,
再各写一条到10.70.0.0网络的静态路由就可以了。
如果每一条路径都写一组静态路由显然不好,由于PCA在这个网络中实际只有一条
主通路,所以使用默认路由较好。
我们再做一个使用默认路由的小实验,先去掉原有的静态路由。
[ROA]undo ip route-static 10.69.0.0 255.255.0.0 10.68.1.1
[ROA]display ip route
[ROA]undo ip route-static 10.69.0.0 255.255.0.0 10.78.1.1
[ROB]display ip route
[root@PCA root]#ping 10.69.1.1 (不通)
[ROA]ip route-static 0.0.0.0 0.0.0.0 10.68.1.1
[ROB]display ip route
[ROB]ip route-static 0.0.0.0 0.0.0.0 10.69.1.1
[ROB]display ip route
[root@PCA root]#ping 10.69.1.1 (通)
[root@PCA root]#ping 10.70.1.1 (通)
[root@PCA root]#ping 10.78.1.1 (通)
路由表是路由器实现路由的指导思想。到一个网络通不通,要看路由表中有没有去
目的网络的路由表项,动态路由可以自动创建路由表,定时更新。
[RouterB-Serial0]undo ip addrress 10.67.1.1 255.255.0.0
[RouterB-Serial0]ip addrress 10.70.1.1 255.255.0.0
[RouterC]interface serial0
[RouterC-Serial0]ip addrress 10.67.1.1 255.255.0.0
[RouterC-Serial0]undo shutdown
[RouterC-Serial0]clock rate 64000
[RouterC-Serial0]int s1
[RouterC-Serial1]ip addrress 10.70.1.1 255.255.0.0
[RouterC-Serial1]undo shutdown
[RouterC-Serial1]quit
[RouterC]ip route-static 10.69.0.0 255.255.0.0 10.70.1.1
[RouterC]dis curr
[root@PCA root]#ping 10.69.1.1 通
[root@PCA root]#ping 10.68.1.1 不通
##实验十 动态路由实验
##实验十一 访问控制列表实验
##实验十二 地址转换配置
#扩展实验
#命令提示
计算机命令
12345678910111213141516171819
PCA login: root ;使用root用户 password: linux ;口令是linux# shutdown -h now ;关机# init 0 ;关机# logout ;用户注销# login ;用户登录# ifconfig ;显示IP地址# ifconfig eth0 <ip address> netmask <netmask> ;设置IP地址# ifconfig eht0 <ip address> netmask <netmask> down ;禁用IP地址# route add 0.0.0.0 gw <ip> ;设置网关# route del 0.0.0.0 gw <ip> ;删除网关# route add default gw <ip> ;设置网关# route del default gw <ip> ;删除网关# route ;显示网关# ping <ip> ;发ECHO包# telnet <ip> ;远程登录----------------------------------------交换机命令
[Quidway]dis cur ;显示当前配置
[Quidway]display current-configuration ;显示当前配置
[Quidway]display interfaces ;显示接口信息
[Quidway]display vlan all ;显示路由信息
[Quidway]display version ;显示版本信息
[Quidway]super password ;修改特权用户密码
[Quidway]sysname ;交换机命名
[Quidway]interface ethernet 0/1 ;进入接口视图
[Quidway]interface vlan x ;进入接口视图
[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;静态路由=网关
[Quidway]rip ;三层交换支持
[Quidway]local-user ftp
[Quidway]user-interface vty 0 4 ;进入虚拟终端
[S3026-ui-vty0-4]authentication-mode password ;设置口令模式
[S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令
[S3026-ui-vty0-4]user privilege level 3 ;用户级别
[Quidway]interface ethernet 0/1 ;进入端口模式
[Quidway]int e0/1 ;进入端口模式
[Quidway-Ethernet0/1]duplex {half|full|auto} ;配置端口工作状态
[Quidway-Ethernet0/1]speed {10|100|auto} ;配置端口工作速率
[Quidway-Ethernet0/1]flow-control ;配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端口平接扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;设置端口工作模式
[Quidway-Ethernet0/1]port access vlan 3 ;当前端口加入到VLAN
[Quidway-Ethernet0/2]port trunk permit vlan {ID|All} ;设trunk允许的VLAN
[Quidway-Ethernet0/3]port trunk pvid vlan 3 ;设置trunk端口的PVID
[Quidway-Ethernet0/1]undo shutdown ;激活端口
[Quidway-Ethernet0/1]shutdown ;关闭端口
[Quidway-Ethernet0/1]quit ;返回
[Quidway]vlan 3 ;创建VLAN
[Quidway-vlan3]port ethernet 0/1 ;在VLAN中增加端口
[Quidway-vlan3]port e0/1 ;简写方式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 ;在VLAN中增加端口
[Quidway-vlan3]port e0/1 to e0/4 ;简写方式
[Quidway]monitor-port <interface_type interface_num> ;指定镜像端口
[Quidway]port mirror <interface_type interface_num> ;指定被镜像端口
[Quidway]port mirror int_list observing-port int_type int_num ;指定镜像和被镜像
[Quidway]description string ;指定VLAN描述字符
[Quidway]description ;删除VLAN描述字符
[Quidway]display vlan [vlan_id] ;查看VLAN设置
[Quidway]stp {enable|disable} ;设置生成树,默认关闭
[Quidway]stp priority 4096 ;设置交换机的优先级
[Quidway]stp root {primary|secondary} ;设置为根或根的备份
[Quidway-Ethernet0/1]stp cost 200 ;设置交换机端口的花费
[Quidway]link-aggregation e0/1 to e0/4 ingress|both ; 端口的聚合
[Quidway]undo link-aggregation e0/1|all ; 始端口为通道号
[SwitchA-vlanx]isolate-user-vlan enable ;设置主vlan
[SwitchA]isolate-user-vlan <x> secondary <list> ;设置主vlan包括的子vlan
[Quidway-Ethernet0/2]port hybrid pvid vlan <id> ;设置vlan的pvid
[Quidway-Ethernet0/2]port hybrid pvid ;删除vlan的pvid
[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged ;设置无标识的vlan
如果包的vlan id与PVId一致,则去掉vlan信息. 默认PVID=1。
所以设置PVID为所属vlan id, 设置可以互通的vlan为untagged.
----------------------------------------
路由器命令
~~~~~~~~~~
[Quidway]display version ;显示版本信息
[Quidway]display current-configuration ;显示当前配置
[Quidway]display interfaces ;显示接口信息
[Quidway]display ip route ;显示路由信息
[Quidway]sysname aabbcc ;更改主机名
[Quidway]super passwrod 123456 ;设置口令
[Quidway]interface serial0 ;进入接口
[Quidway-serial0]ip address <ip> <mask|mask_len> ;配置端口IP地址
[Quidway-serial0]undo shutdown ;激活端口
[Quidway]link-protocol hdlc ;绑定hdlc协议
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222
[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugging hdlc all serial0 ;显示所有信息
[Quidway]debugging hdlc event serial0 ;调试事件信息
[Quidway]debugging hdlc packet serial0 ;显示包的信息
静态路由:
[Quidway]ip route-static <ip><mask>{interface number|nexthop}[value][reject|blackhole]
例如:
[Quidway]ip route-static 129.1.0.0 16 10.0.0.2
[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]ip route-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
动态路由:
[Quidway]rip ;设置动态路由
[Quidway]rip work ;设置工作允许
[Quidway]rip input ;设置入口允许
[Quidway]rip output ;设置出口允许
[Quidway-rip]network 1.0.0.0 ;设置交换路由网络
[Quidway-rip]network all ;设置与所有网络交换
[Quidway-rip]peer ip-address ;
[Quidway-rip]summary ;路由聚合
[Quidway]rip version 1 ;设置工作在版本1
[Quidway]rip version 2 multicast ;设版本2,多播方式
[Quidway-Ethernet0]rip split-horizon ;水平分隔
[Quidway]router id A.B.C.D ;配置路由器的ID
[Quidway]ospf enable ;启动OSPF协议
[Quidway-ospf]import-route direct ;引入直联路由
[Quidway-Serial0]ospf enable area <area_id> ;配置OSPF区域
标准访问列表命令格式如下:
acl <acl-number> [match-order config|auto] ;默认前者顺序匹配。
rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:
[Quidway]acl 10
[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rule normal deny source any
扩展访问控制列表配置命令
配置TCP/UDP协议的扩展访问列表:
rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any}
[operate]
配置ICMP协议的扩展访问列表:
rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any]
[icmp-code] [logging]
扩展访问控制列表操作符的含义
equal portnumber ;等于
greater-than portnumber ;大于
less-than portnumber ;小于
not-equal portnumber ;不等
range portnumber1 portnumber2 ;区间
扩展访问控制列表举例
[Quidway]acl 101
[Quidway-acl-101]rule deny souce any destination any
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www
[Quidway]firewall enable
[Quidway]firewall default permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound
地址转换配置举例
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 101 ;内部指定主机可以进入e0
[Quidway-acl-101]rule deny ip source any destination any
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]quit
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound
[Quidway]acl 102 ;外部特定主机和大于1024端口的数据包允许进入S0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than
1024
[Quidway-acl-102]quit
[Quidway]int s0
[Quidway-Serial0]firewall packet-filter 102 inbound ;设202.38.160.1是路由器出口IP。
[Quidway-Serial0]nat outbound 101 interface ;是Easy ip,将acl 101允许的IP从本接口出时变换源地址。
内部服务器地址转换配置命令(静态nat):
nat server global <ip> [port] inside <ip> port [protocol] ;global_port不写时使用inside_port
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.2 telnet tcp
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.3 www tcp
设有公网IP:202.38.160.101~202.38.160.103 可以使用。 ;对外访问(原例题)
[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1 ;建立地址池
[Quidway]acl 1
[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255 ;指定允许的内部网络
[Quidway-acl-1]rule deny source any
[Quidway-acl-1]int serial 0
[Quidway-Serial0]nat outbound 1 address-group pool1 ;在s0口从地址池取出IP对外访问
[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP设置:
[Quidway-s0]link-protocol ppp ;默认的协议
PPP验证:
主验方:pap|chap
[Quidway]local-user q2 password {simple|cipher} hello ;路由器1
[Quidway]interface serial 0
[Quidway-serial0]ppp authentication-mode {pap|chap}
[Quidway-serial0]ppp chap user q1 ;pap时,没有此句
pap被验方:
[Quidway]interface serial 0 ;路由器2
[Quidway-serial0]ppp pap local-user q2 password {simple|cipher} hello
chap被验方:
[Quidway]interface serial 0 ;路由器2
[Quidway-serial0]ppp chap user q2 ;自己路由器名
[Quidway-serial0]local-user q1 password {simple|cipher} hello ;对方路由器名
帧中继frame-relay (二分册6-61)
[q1]fr switching
[q1]int s1
[q1-Serial1]ip address 192.168.34.51 255.255.255.0
[q1-Serial1]link-protocol fr ;封装帧中继协议
[q1-Serial1]fr interface-type dce
[q1-Serial1]fr dlci 100
[q1-Serial1]fr inarp
[q1-Serial1]fr map ip 192.168.34.52 dlci 100
[q2]int s1
[q2-Serial1]ip address 192.168.34.52 255.255.255.0
[q2-Serial1]link-protocol fr
[q2-Serial1]fr interface-type dte
[q2-Serial1]fr dlci 100
[q2-Serial1]fr inarp
[q2-Serial1]fr map ip 192.168.34.51 dlci 100
帧中继监测
[q1]display fr lmi-info[]interface type number]
[q1]display fr map
[q1]display fr pvc-info[serial interface-number][dlci dlci-number]
[q1]display fr dlci-switch
[q1]display fr interface
[q1]reset fr inarp-info
[q1]debugging fr all[interface type number]
[q1]debugging fr arp[interface type number]
[q1]debugging fr event[interface type number]
[q1]debugging fr lmi[interface type number]
启动ftp服务:
[Quidway]local-user ftp password {simple|cipher} aaa service-type ftp
[Quidway]ftp server enable
----------------------------------------
#理论学习
##网络的发展与应用
一、计算机网络发展的三个阶段
1、研究阶段 (68年~84年)
主要特征:
TCP/IP协议的研制成功。
Client/Server工作方阿式的实现。
实现了资源共享和分散控制等。
2、运行阶段 (85年~92年)
主要特征:
Internet骨干网络的延生
网络私有化的形成
网络商业化的开始
3、应用阶段 (92年~今)
主要特征:
网络发展的全球化
网络运行的商业化
网络应用的多样化
二、我国计算机网络的三个层次
1、国家经济信息化的基本通信网,
CHINAPAC:1991建设,分组交换网。
CHINADDN:1994建设,数字专用网
金桥工程:1997建设,以光纤、卫星、微波、无线移动等多种方式,形成天地一体的网络结构。
2、依托此平台开发的各种专业网络和应用网络;
金卡工程:全民信用卡系统——电子货币工程。
金企工程:企业生产与流通信息系统,为国家宏观调控提供科学依据。
金农工程:农业综合管理及信息服务系统,以县城为点的农业基本情况数据库。
金关工程:国家对外经济贸易信息网。
金税工程:增值税专用发票计算机稽核系统工程。
企业网络:企业总部与分部组成的异地独立网络。
教育科研网:CERNET连接全国各大高校。
3、目前中小型企业网络的应用情况
企事业都建设了自己的局域网,而且越来越多的局域网和广域网相联。
网络硬件水平不断提高,促进了网络技术的应用,网络管理人才的需求加大。
网络管理员:以网络互联技术为主的网络人才。
操作系统管理员:以管理操作系统为主的网络人才。
线路维护人员:负责网络运行的维修人员。
网络技术支持:负责公司网络产品的技术的咨询和售后服务。
##网络互联基础
一、OSI七层协议
OSI(Open System interconnection)开放系统互连参考模型
ISO(International Standards Organization)国际标准化组织
1、物理层
机械性能:接口的型状,尺寸的大小,引脚的数目和排列方式等。
电气性能:接口规定信号的电压、电流、阻抗、波形、速率及平衡特性等。
工程规范:接口引脚的意义、特性、标准。
工作方式:确定数据位流的传输方式,如:单工、半双工或全双工。
物理层协议有:
美国电子工业协会(EIA)的RS232,RS422,RS423,RS485等;
国际电报电话咨询委员会(CCITT)的X.25、X.21等;
物理层的数据单位是位(BIT),典型设备是集线器HUB。
2、链路层
链路层屏蔽传输介质的物理特征,使数据可靠传送。
内容包括介质访问控制、连接控制、顺序控制、流量控制、差错控制和仲裁协议等。
链路层协议有:
协议有面向字符的通讯协议(PPP)和面向位的通讯协议(HDLC)。
仲裁协议:802.3、802.4、802.5,即:
CSMA/CD(Carrier Sense Multiple Access with Collision Detection)、TokenBus、Token Ring
链路层数据单位是帧,实现对MAC地址的访问,典型设备是交换机Switch。
3、网络层
网络层管理连接方式和路由选择。
连接方式:虚电路(Virtual Circuits)和数据报(Datagram)服务。
虚电路是面向连接的(Connection-Oriented),数据通讯一次路由,通过会话建立的一条通路。
数据报是非连接的(Connectionless-Oriented),每个数据报都有路由能力。
网络层的数据单位是包,使用的是IP地址,典型设备是路由器Router。
这一层可以进行流量控制,但流量控制更多的是使用第二层或第四层。
4、传输层
提供端到端的服务。可以实现流量控制、负载均衡。
传输层信息包含端口、控制字和校验和。
传输层协议主要是TCP和UDP。
传输层位于OSI的第四层,这层使用的设备是主机本身。
5、会话层
会话层主要内容是通过会话进行身份验证、会话管理和确定通讯方式。
一旦建立连接,会话层的任务就是管理会话。
6、表示层
表示层主要是解释通讯数据的意义,如代码转换、格式变换等,使不同的终端可以表示。
还包括加密与解密、压缩与解压缩等。
7、应用层
应用层应该是直接面向用户的程序或服务,包括系统程序和用户程序,
例如www、FTP、DNS、POP3和SMTP等都是应用层服务。
数据在发送时是数据从应用层至物理层的一个打包的过程,
接收时是数据从物理层至应用层的一个解包的过程,
从功能角度可分为三组,1、2层解决网络信道问题,3、4层解决传输问题,5、6、7层处理对应用进程的访问。
从控制角度可分为二组,第1、2、3层是通信子网层,第4、5、6、7层是主机控制层。
二、TCP/IP 协议簇
TCP/IP(Transmission Control Protocol/Internet Protocol)已成为一个事实上的工业标准。
TCP/IP是一组协议的代名词,它还包括许多协议,组成了TCP/IP协议簇。
TCP/IP协议簇分为四层,IP位于协议簇的第二层(对应OSI的第三层),TCP位于协议簇的第三层(对应OSI的第四层)。
TCP和IP是TCP/IP协议簇的中间两层,是整个协议簇的核心,起到了承上启下的作用。
1、接口层
TCP/IP的最低层是接口层,常见的接口层协议有:
Ethernet 802.3、Token Ring 802.5、X.25、Framereley、HDLC、PPP等。
2、网络层
网络层包括:IP(Internet Protocol)协议、ICMP(Internet Control Message Protocol)控制报文协议、ARP(Address Resolution Protocol)地址转换协议、RARP(Reverse ARP)反向地址转换协议。
IP是网络层的核心,通过路由选择将下一跳IP封装后交给接口层。IP数据报是无连接服务。
ICMP是网络层的补充,可以回送报文。用来检测网络是否通畅。
Ping命令就是发送ICMP的echo包,通过回送的echo relay进行网络测试。
ARP是正向地址解析协议,通过已知的IP,寻找对应主机的MAC地址。
RARP是反向地址解析协议,通过MAC地址确定IP地址。比如无盘工作站和DHCP服务。
3、传输层
传输层协议主要是:传输控制协议TCP(Transmission Control Protocol)和用户数据报协议UDP(User Datagram rotocol)。
TCP是面向连接的通信协议,通过三次握手建立连接,通讯时完成时要拆除连接,由于TCP是面向连接的所以只能用于点对点的通讯。
TCP提供的是一种可靠的数据流服务,采用“带重传的肯定确认”技术来实现传输的可靠性。TCP还采用一种称为“滑动窗口”的方式进行流量控制,所谓窗口实际表示接收能力,用以限制发送方的发送速度。
UDP是面向无连接的通讯协议,UDP数据包括目的端口号和源端口号信息,由于通讯不需要连接,所以可以实现广播发送。
UDP通讯时不需要接收方确认,属于不可靠的传输,可能会出丢包现象,实际应用中要求在程序员编程验证。
4、应用层
应用层一般是面向用户的服务。如FTP、TELNET、DNS、SMTP、POP3。
FTP(File Transmision Protocol)是文件传输协议,一般上传下载用FTP服务,数据端口是20H,控制端口是21H。
Telnet服务是用户远程登录服务,使用23H端口,使用明码传送,保密性差、简单方便。
DNS(Domain Name Service)是域名解析服务,提供域名到IP地址之间的转换。
SMTP(Simple Mail Transfer Protocol)是简单邮件传输协议,用来控制信件的发送、中转。
POP3(Post Office Protocol 3)是邮局协议第3版本,用于接收邮件。
数据格式:
数据帧:帧头+IP数据包+帧尾 (帧头包括源和目标主机MAC地址及类型,帧尾是校验字)
IP数据包:IP头部+TCP数据信息 (IP头包括源和目标主机IP地址、类型、生存期等)
IP数据信息:TCP头部+实际数据 (TCP头包括源和目标主机端口号、顺序号、确认号、校验字等)
三、TCP连接的建立
1、TCP连接通过三次握手完成。
client首先请求连接,发一个SYN包;Server收到后回应SYN_ACK包;Client收到后再发ACK包。即:
Client Server
SYN ---> 收
<--- SYN+ACK
ACK ---> 收
established表示建立状态,当某端发出数据包后收到了回应则进入established状态。
在TCP/IP连接时,如果两端都是established状态,则握手成功,否则是无连接或半联接状态。
2、套接字Socket
套接字Socket由协议、IP地址和端口号组成,套接字表示一路通讯,一般是一个服务,如www服务是TCP的80端口,Telnet是TCP的23端口。
四、IP地址划分
1、IP地址分类
IP地址有四个段,包括网络标识和主机标识两部分:netid+hostid。
IP地址应用分为A、B、C三类,D、E类是保留和专用的。
Class A 0******* xxxxxxxx xxxxxxxx xxxxxxxx
Class B 10****** ******** xxxxxxxx xxxxxxxx
Class C 110***** ******** ******** xxxxxxxx
Class D 1110**** ******** ******** ********
Class E 1111**** ******** ******** ********
2、地址区间
址址类 地址区间 网络数 主机数
A 类 1.0.0.1~126.255.255.254 27-2=126 224-2=16777214
B 类 128.0.0.1~191.255.255.254 214-2=16382 216-2=65534
C 类 192.0.0.1~223.255.255.254 221-2=2097150 28-2=254
D 类 224.0.0.1~239.255.255.255 228=268435456 0
E 类 240.0.0.1~255.255.255.255 228=268435456 0
3、特殊地址
主机地址全0表示为一个网络地址。
主机地址全1表示为对应网络的广播地址。
全0的IP地址:0.0.0.0,表示本机地址,只在启动过程时有效。
全1的IP地址255.255.255.255,表示本地广播(有的软件不支持)。
私有地址:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
127.0.0.0网络是回环网络loopback,用于本机测试。例如:
ping 127.0.0.1 是测试本机网卡是否工作正常。
4、子网掩码
子网掩码用来区分网络地址和主机地址,标准的子网掩码为:
A 类: 1.0.0.1~126.255.255.254 netmask:255.0.0.0
B 类:128.0.0.1~191.255.255.254 netmask:255.255.0.0
C 类:192.0.0.1~223.255.255.254 netmask:255.255.255.0
子网掩码和IP地址的“与”运算得出对应的网络地址。
如果将子网掩码“1”的位数增加则网络地址数增加,形成子网。相当于网络的分隔。
如果将子网掩码“1”的位数减小则网络地址数减少,形成超网。相当于网络的聚合。
##交换机原理与应用
一、基本以太网
1、以太网标准:
以太网是Ethernet的意思,过去使用的是十兆标准,现在是百兆到桌面,千兆做干线。
常见的标准有:
10BASE-2 细缆以太网
10BASE-5 粗缆以太网
10BASE-T 星型以太网
100BASE-T 快速以太网
1000BASE-T 千兆以太网
2、接线标准
星型以太网采用双绞线连接,双绞线是8芯,分四组,两芯一组绞在一起,故称双绞线。
8芯双绞线只用其中4芯:1、2、3、6。
常见接线方式有两种:
568B接线规范: 白橙 橙 白绿 蓝 白蓝 绿 白棕 棕
1 2 3 4 5 6 7 8
568A接线规范: 白绿 绿 白橙 蓝 白蓝 橙 白棕 棕
1 2 3 4 5 6 7 8
将568B的1和3对调,2和6对调,就得到568A。
3、接线方法
两边采用相同的接线方式叫做平接,两边采用不同的接线方式叫扭接。
不同的设备之间连接,使用平接线;相同的设备连接使用扭接线。
电脑、路由器与集线器、交换机连接时使用平接线。
这是因为网线中的4条线,一对是输入,一对是输出,输入应该与输出对应。
如果将1和3连接,2和4连接,相当于自己的输出送给自己的输入。
这样可以使网卡进入工作状态,阻止空接口关闭,而影响有些程序的运行。
二、交换机原理与应用
1、冲突域和广播域
交换机是根据网桥的原理发展起来的,学习交换机先认识两个概念:
(1)冲突域:
冲突域是数据必然发送到的区域。
HUB是无智能的信号驱动器,有入必出,整个由HUB组成的网络是一个冲突域。
交换机的一个接口下的网络是一个冲突域,所以交换机可以隔离冲突域。
(2)广播域:
广播数据时可以发送到的区域是一个广播域。
交换机和集线器对广播帧是透明的,所以用交换机和HUB组成的网络是一个广播域。
路由器的一个接口下的网络是一个广播域。所以路由器可以隔离广播域。
2、交换机原理
(1)端口地址表
端口地址表记录了端口下包含主机的MAC地址。端口地址表是交换机上电后自动建立的,
保存在RAM中,并且自动维护。
交换机隔离广播域的原理是根据其端口地址表和转发决策决定的。
(2)转发决策
交换机的转发决策有三种操作:丢弃、转发和扩散。
丢弃:当本端口下的主机访问已知本端口下的主机时丢弃。
转发:当某端口下的主机访问已知某端口下的主机时转发。
扩散:当某端口下的主机访问未知端口下的主机时要扩散。
每个操作都要记录下发包端的MAC地址,以备其它主机的访问。
(3)成存期:
生成期是端口地址列表中表项的寿命。每个表项在建立后开始进行倒记时,每次发送
数据都要刷新记时。对于长期不发送数据主机,其MAC地址的表项在生成其结束时删除。
所以端口地地表记录的总是最活动的主机的MAC地址。
3、交换网络中的环
以太网是总线或星型结构,不能构成环路,否则会产两个严重后果:
(1)产生广播风暴,造成网络堵塞。
(2)克隆帧会在各个口出现,造成地址学习(记录帧源地址)混乱。
解决环路问题方案:
(1)网络在设计时,人为的避免产生环路。
(2)使用生成树STP(Spanning Tree Protocol)功能,将有环的网络剪成无环网络。
STP被IEEE802规范为802.1d标准。
生成树协议术语
(1)网桥协议数据单元:BPDU(Bridge Protocol Data Unit)
BPDU是生成树协议交换机间通讯的数据单元,用于确定角色。
(2)网桥号:Bridge ID
交换机的标识号,它由优先级和MAC地址组成,优先级16位,MAC地址48位。
(3)根网桥:Root bridge
根网桥定义为网桥号最小的交换机,根网桥所有的端口都不会阻塞。
(4)根端口:Root port
非根网桥到根网桥累计路径花费最小的端口,负责本网桥与根网桥通讯的接口。
(5)指定网桥:Designated bridge
网络中到根网桥累计路径花费最小交换机,负责收发本网段数据。
(6)指定端口:Designated port
网络中到根网桥累计路径花费最小的交换机端口,根网桥每个端口都是指定端口。
(7)非指定端口:NonDesignated port
余下的端口是非指定端口,它们不参与数据的转发,也就是被阻塞的端口。
(根端口是从非根网桥选出,指定端口是网段中选出)。
生成树协议的状态:
生成树协议工作时,所有端口都要经过一个端口状态的建立过程。
生成树协议通过BPDU广播,确定各交换机及其端口的工作状态和角色,
交换机上的端口状态分别为:关闭、阻塞、侦听、学习和转发状态。
(1)关闭状态:Disabled 不收发任何报文,当接口空连接或人为关闭时处于关闭状态。
(2)阻塞状态:Blocking 在机器刚启动时,端口是阻塞状态(20秒),但接收BPDU信息。
(3)侦听状态:listening 不接收用户数据(15秒),收发BPDU,确定网桥及接口角色。
(4)学习状态:learning 不接收用户数据(15秒),收发BPDU,进行地址学习。
(5)转发状态:Forwarding 开始收发用户数据,继续收发BPDU和地址学习,维护STP。
4、关于VLAN
VLAN(Virtual Lan)是虚拟逻辑网络,交换机通过VLAN设置,可以划分为多个逻辑网络,
从而隔离广播域。具有三层模块的交换机可以实现VLAN间的路由。
(1)端口模式
交换机端口有两种模式,access和trunk。access口用于与计算机相连,而交换机之间
的连接,应该是trunk。
交换机端口默认VLAN是VLAN1,工作在access模式。
Access口收发数据时,不含VLAN标识。具有相同VLAN号的端口在同一个广播域中。
Trunk口收发数据时,包含VLAN标识。Trunk又称为干线,可以设置允许多个VLAN通过。
(2)VLAN中继协议:
VLAN中继协议有两种:
ISL(Inter-Switch Link): ISL是Cisco专用的VLAN中继协议。
802.1q(dot1q):802.1q是标准化的,应用较为普遍。
(3)VTP
VTP(Vlan Trunking Protocol)是VLAN传输协议,在含有多个交换机的网络中,可以
将中心交换机的VLAN信息发送到下级的交换机中。
中心交换机设置为VTP Server,下级交换机设置为VTP Client。
VTP Client要能学习到VTP Server的VLAN信息,要求在同一个VTP域,并要口令相同。
(4)VLAN共享
如果要求某个VLAN与其他VLAN访问,可以设置VLAN共享或主附VLAN。
共享模式的VLAN端口,可以成为多个VLAN的成员或同时属于多个VLAN。
在主附VLAN结构中,子VLAN与主VLAN可以相互访问,子VLAN间的端口不能互相访问。
一般的VLAN间使用不同网络地址;主附VLAN中主VLAN和子VLAN使用同一个网络地址。
5、交换机和路由器的口令恢复:
(1)交换机的口令恢复:
交换机的口令恢复的操作是先启动超级终端,在交换机上电时按住的mode键.
几秒后松手,进入ROM状态,将nvram中的配置文件config.txt改名或删除,再重启。
参考命令为:
switch:rename flash:config.text flash:config.bak
switch:erase flash:config.text
(2)路由器的口令恢复:
路由器的口令恢复操作先启动超级终端,在路由器上电时按计算机的Ctrl+Break键,
进入ROM监控状态rommon>,用配置寄存器命令confreg设置参数值0x2142,跳过配置文件
设置口令后再还原为0x2102。
参考命令为:
rommon>confreg 0x2142
router(config)#config-register 0x2102
没有特权口令无法进入特权状态,只能进入ROM监控状态,使用confreg 0x2142命令。
当口令修改完后,可以在特权模式下恢复为使用配置文件状态。
三、三层交换的概念
1、交换机是链路层设备,使用MAC地址,完成对帧的操作。
交换机的IP地址做管理用,交换机的IP地址实际是VALN的IP。
一个VLAN一个广播域,不同VLAN的主机间访问,相当于网络间的访问,要通过路由实现。
不同VLAN间主机的访问有以下几种情况:
(1)两个VLAN分别接入路由器的两个物理接口。这是路由器的基本应用。
(2)两个VLAN通过trunk接入路由器的一个物理接口,这是应用于子接口的单臂路由。
(3)使用具有三层交换模块的交换机。Cisco的3550和华为的3526都是基本的三层交换机。
1)通过VLAN的IP地址做网关,实现三层交换,要求设置VLAN的IP地址。
2)将端口设置在三层工作,要求端口设置no switchport,再设置端口的IP地址。
2、交换机的通道技术
交换机通道技术是将交换机的几个端口捆绑使用,即端口的聚合。
使用通道技术一个方面提高了带宽,同时提高了线路的可靠性。
但是如果设置不当,有可能产生环路,造成广播风暴堵塞网络。
要聚合的端口要划分到指定的VLAN或trunk。
配置三层通道时,先要进入通道,再用no switchport命令关闭二层,设置通道IP地址。
一个通道一般小于8个接口,接口参数应该一致,如工作模式、封装的协议、端口类型。
3、端口协商方式
端口的聚合有两种方式,一种是手动的方式,一个是自动协商的方式。
手动的方式很简单,设置端口成员链路两端的模式为“on”。命令格式为:
channel-group
自动方式有两种类型:
PAgP(Port Aggregation Protocol)和LACP(Link aggregation Control Protocol)。
PAgP:Cisco设备的端口聚合协议,有auto和desirable两种模式。
auto模式在协商中只收不发,desirable模式的端口收发协商的数据包。
LACP:标准的端口聚合协议802.3ad,有active和passive两种模式。
active相当于PAgP的auto,而passive相当于PAgP的desirable。
4、通道端口间的负载平衡
通道端口间的负载平衡有两种方式,基于源MAC的转发和基于目的MAC的转发。
scr-mac:源MAC地址相同的数据帧使用同一个端口转发。
dst-mac:目的MAC地址相同的数据帧使用同一个端口转发。
##路由器原理与应用
一、路由的基本概念
路由器的网络层的设备,负责IP数据包的路由选择和转发。
1、路由类型
路由的类型有:直连路由、静态路由、默认路由和动态路由。
直连路由是与路由器直接相联网络的路由,路由器有对直连网络有转发能力。
静态路由是管理员人为设置的路由,网络开支小,可以有效的改善网络状况。
默认路由是静态路由的一个特例,将路由表不能匹配的数据包送默认路由。一般在最后。
动态路由是路由协议自动建立和管理的路由,常见动态路由协议有:
RIP(Routing Information Protocol) 、
IGRP(Interior Gateway Routing Protocol)、
EIGRP(Enhance Interior Gateway Routing Protocol)、
OSPF(Open Shortest Path First)、
BGP(Backbone Getway Protocol)
上述路由协议称为routing protocol,而IP、IPX称为可路由的协议routed protocol。
也有一些协议是不可路由的,如NetBEUI协议。
2、路由算法
路由算法常见的有三种类型:
距离矢量D-V(Distance-Vector) 算法,如:RIP、IGRP、BGP;
链路状态L-S(Link State)算法,如:OSPF、IS-IS;
混合算法,如:Cisco的EIGRP。
3、路由交换范围
路由器通过交换信息建立路由表,当网络结构变化时,路由表能自动维护。
路由表跟随网络结构变化过程称为收俭。为了减少收俭过程引起的网络动荡,要考滤
路由交换范围。
RIP协议通过network命令指定,例如:设置10.0.0.0网络的接口参与路由信息交换
router(config-router)network 10.0.0.0
ospf协议通过network命令指定,例如:设置10.65.1.1 接口参与路由交换
router(config-router)network 10.65.1.1 0.0.0.0 area 0
area是网络管理员在自治系统(国际机构分配)AS(Autonomous System)内部划分的区域。
0.0.0.0是匹配码,0表示要求匹配,1表示不关心。
4、路由表
路由表(Routing Table)是路由器中路由项的集合,是路由器进行路径选择的依据,
每条路由项包括:目的网络和下一跳,还有优先级,花费等。
路由优先匹配原则:
(1)直接路由:直连的网络优先级最高。
(2)静态路由:优先级可设,一般高于动态路由。
(3)动态路由:相同花费时,长掩码的子网优先。
(4)默认路由:最后有一条默认路由,否则数据包丢弃。
二、RIP路由协议
1、RIP协议的认识
RIP(Routing Information Protocol)协议是采用D-V(Distance-Vector)算法的距离矢量
协议;
根据跳数(Hop Count)来决定最佳路径。最大跳数为16,限制了网络的范围。
单独以跳数作为距离或花费,在有些情况下是不合理的,因为跳数少不一定是最佳路径;
实际上带宽和可靠性也是重要的因素。有时需要管理员修改花费值。
RIP有两个版本,RIP-1 和RIP-2。
RIP-1:采用广播方式发送报文。不支持子网路由。
RIP-2:支持多播方式、子网路由和路由的聚合。
2、路由表的维护
通过UDP协议每隔30秒发送路由交换信息,从而确定邻居的存在。
若180秒还没有收到某相邻结点路由信息,标记为此路不可达。
若再120秒后还没有收到路由信息,则删除该条路由。
当网络结构变化时,要更新路由表,这个过程称为收敛(Convergence)。
RIP标记一条路由不可达要经过3分钟,收敛过程较慢。
路由表是在内存当中的,路由器上电时初始化路由表,对每个直接网络生成一条路由。
同时复制相邻路由器的路由表,复制过程中跳数加1,且下一跳指向该路由器。
若去往某网络的下一跳是RouteA,若RouteA去该网络的路由没有了,则删除这一路由。
跳数是到达目的网络所经过的路由器数目,直接网络的跳数是0,且有最高的优先级。
3、路由环路:
矢量路由的一个弱点就是可能产生路由环路,产生路由环路的原因有两种,
一是静态路由设置的不合理,再一是动态路由定时广播产生的误会。
先看静态路由设置不合理的情况:
设两个路由器RouterA和RouterB,其路由表中各有一条去往相同目的网络的静态路由,
但下一跳彼此指向对方,形成环路。
再看动态路由造成的情况:
假设某路由器RouterA通过RouterB至网络neta,
但RouteB到neta不可达了,且RouterB的广播路由比RouterA先来到,
RouterB去neta不可达,但RouterA中有去往neta路由,且下一跳是RouterB,
这时RouteB就会从RouterA那里学习该路由,将去往neta的指向RouterA,跳数加1。
去neta的路由原本是RouterB传给RouterA的,现RouterB却从RouterA学习该路由,
显然是不对的,但这一现象还会继续,
RouterA去neta网络的下一路是RouterB,当RouterB的跳数加1的时候,RouterA将再加1。
周而复反形成环路,直至路由达到最大值16。
4、解决路由环路的办法
(1) 规定最大跳数
RIP规定了最大跳数为16,跳数等于16时视为不可达,从而阻止环跳进行。
(2) 水平分割
水平分割是过滤掉发送给原发者的路由信息。具体路由信息单向传送。
(3) 毒性逆转
水平分割的改进,收到原是自己发出的路由信息时,将这条信息跳数置成16,即毒化。
(4) 触发方式
一旦发现网络变化,不等呼叫,立即发送更新信息,迅速通知相邻路由器,防止误传。
(5) 抑制时间
在收到路由变化信息后,启动抑制时间,此时间内变化项被冻结,防止被错误地覆盖。
三、OSPF路由协议
1、OSPF的特点
OSPF(Open Shortest Path First)开放式最短路径优先协议,
使用L-S(Link State)算法的链路状态路由协议,路由算法复杂,适合大型网络,
网络拓扑结构变化时,采用触发方式,组播更新,收敛快,要求更高的内存和CPU资源。
LSA(Link State Advertisement)链路状态通告是以本路由器为根的最小路径优先树。
LSDB(Link State DataBase)链路状态数据库,这是各个路由器的LSA的集合。
每个路由器的LSA是不同的,但他们的集合LSDB是相同的。
D-V算法只考虑下一跳,没有全局的概念,交给下一跳就完成任务,所以容易产生环路。
L-S算法每个路由器可以根据网络整体结构决定路径,所以不会产生环。
2、指定路由器与路由器标识
指定路由器DR(Dezignated Router)是ospf路由交换的中心,数据通过DR进行交换。
在路由器群组中优先级(Router Priority)值最高的为DR,次高的为备份指定路由器BDR。
管理员可以通过设置优先级指定DB和BDR。优先级相同时,比较 router id。
如果没有设置Router id,则以回环接口loopback ip值高的为DR,
如果loopback ip 没有设置,取接口的IP地址中最高的为DR。
3、建立路由表
(1)Hello报文
Hello报文用于发现新邻居问候老邻居,选举指定路由器DR和BDR。
(2)DD报文(Database Description Packet)
DD报文用LSA头head信息表示LSA的变化情况,将其发送给DR,DR再发给其它路由器。
(3)LSR报文(Link State Request Packet)
LSR是请求更新包,当LSDB需要更新时,将其发送给DR,点对点连接时直接同步LSDB。
(4)LSU报文(Link State Update Packet)
DR用多播Multicast地址224.0.0.6收,224.0.0.5发,同步整个区域的LSDB。
(5)确认后计算路由:
LSDB同步后,计算cost花费,考虑跳数、带宽、可靠性等综合因素求解最佳路径。
4、单区域OSPF配置
单区域OSPF配置是指运行OSPF协议的路由器在同一个区域area n,
对于只有一个区域的网络,区域号是任意的,一般设置为0。
单区域OSPF有三种连接情况:
点对点的连接(Point to point)、
广播方式的连接(Broadcast Multi Access Network)、
非广播方式多点连接(Non Multi Access Network)。
点对点连接结构最简单,可靠性高,工作稳定;
以太网连接是典型的广播方式的连接;
帧中继连接是属于的非广播方式多点连接类型。
5、多区域OSPF的设置
多区域中要求有一个是骨干区域area 0,边界路由器跨接两个区域。
多区域的区域内部按单区域设置,多区域间通过边界路由器的连接。
stub是末节区域,末节区域不接收ospf以外的路由信息,
如果路由器想去往区域以外网络,要使用默认路由。
只有多区域中才存在末节区域。末节区域要设置在边界路由器上。
作为企业可以将分支区域设置为末节区域,
分支区域不需要知道总部网络的细节,却能够通过缺省路由到达那里。
四、访问控制列表
1、访问控制列表类型与作用
访问控制列表是对通过路由器的数据包进行过滤。
过滤是根据IP数据包的5个要素:
源IP地址、目的IP地址、协议号、源端口、目的进行的。
访问控制列表有两类,标准访问控制例表和扩展的访问控制列表。
标准访问列表:
标准访问列表的列表号为1~99,只对源IP地址进行访问控制。
扩展访问列表:
扩展访问列表的列表号为100~199,可以对源和目的地址、协议、端口号进行访问控制。
2、访问控制列表的结构
分三步:
定义一个ACL:access-list
进入指定接口:interface
绑定指定ACL:ip access-group
3、访问控制列表匹配原则
访问控制列表默认的是deny any。
一般是逐行匹配,也可以设置深度匹配。
所以写访问控制列表一般是从小的范围向大的范围,成为梯形结构。
一般在访问控制表的最后一行要写permit any。
4、命名方式的访问控制列表
命名方式是用名称代替列表号,便于记忆,扩展了条目数量,可以是基本型或扩展型。
命令方式ACL语法有些变化,支持删除一个列表中的某个语句。
命名语法格式:
router(config)#ip access-list {standard|extended} name
router(config std nacl)#{deny|permit}]
router(config ext nacl)#
{deny|permit}[protocol]
第一行是定义命名方式访问控制列表类型:标准或扩展。
第二行是标准命名方式的访问控制列表的语法格式。
第三行是扩展命令方式的访问控制列表的语法格式。
五、地址转换NAT
1、NAT的认识
NAT(Network Address Translate)是地址转换操作。
NAT可以将局网中的私有IP转换成公有IP,解决了内部网络访问internet的问题。
NAT可以做负载均衡,将内部多个服务器对外映射成一台服务器。
定义:
Inside local address: 内部网的私有IP。
Inside global address: 内部网的公有IP。
Outside global address: 互联网中的公有IP。
Outside local address: 互联网中的公有IP对应的私有IP。
NAT可分为原地址变换SNAT和目的地址变换DNAT。
按工作方式划分,可分为静态NAT和动态NAT。
SNAT命令中使用source参数,DNAT命令中使用destination参数。
(对已连接的返回包可自动对应)
2、静态NAT
静态NAT是在指定接口上,对数据包的原IP或目的IP进行一对一的转换。
常用于将某个私有IP固定的映射成为一个公有IP。
语法:
Router(config)#ip nat inside source static
在指定接口inside中对数据包的原地址进行变换,一般ipa是私网IP,ipb是公网IP。
3、动态NAT
动态NAT一般用于将局域网中的多个私有IP从公有IP地址池中提取公有IP对外访问。
设内部局域网是:10.66.0.0,公网IP地址池为:60.1.1.1~60.1.1.8
当内部网络要访问internet时,从公网IP地址池中提取公网IP对外访问。
语法:
定义地址池p1:
Router(config)#ip nat pool p1 60.1.1.1 60.1.1.8 netmask 255.255.255.0
定义访问控制列表1:
Router(config)#access-list 1 permit 10.66.0.0 0.0.255.255
将访问控制列表1的源地址,动态的从公网IP地址池p1的提取公网IP:
Router(config)#ip nat inside source list 1 pool p1
4、PAT
PAT(Port Address Translate)是端口地址转换,将私有IP转换到公网IP的不同端口上。
PAT是原将动态nat地址池pool改为用接口,并使用参数overload。属于动态NAT。
语法:
Router(config)#access-list 2 permit 10.66.0.0 0.0.255.255
Router(config)#ip nat inside source list 2 interface s0/0 overload
5、基于NAT的负载均衡
NAT可以实现负载均衡。
一般的NAT都是将内部私有IP转换为公网IP,连接方向从内部向外。
而对于负载均衡是将一个公网IP翻译成多个内部私有IP,连接访问从外向内。
例如:
内部的www服务负载过重,可将多台同样的服务器,但对外映射成一个IP地址,
内部的多台服务器成为捆绑在一起构成虚拟服务器,外部访问这个虚拟服务器时,
路由器轮流指向各台服务器,从而达到负载均衡。
语法:
定义地址池p2,使用rotary参数轮循。
ra(config)#ip nat pool p2 10.1.1.2 10.1.1.4 netmask 255.255.255.0 type rotary
ra(config)#access-list 1 permit 60.1.1.1
ra(config)#ip nat inside destination list 1 pool p2
在指定接口inside中建立list 2与pool p2的对应关系。Destination表示转换目的地址。
6、基于服务的NAT
基于服务的NAT配置,细化了NAT的应用,转换可以具体到协议和端口,即指定的服务上。
例如:
对内网的虚拟服务器(使用一个公网IP)的访问:
当访问TCP 20端口时就将它转到内部ftp服务上。
当访问TCP 21端口时也将它转到内部ftp服务上。
当访问TCP 80端口时就将它转换到内部的www服务器上。
语法:
Router(config)#ip nat inside source static tcp 10.65.1.2 20 60.1.1.1 20
Router(config)#ip nat inside source static tcp 10.65.1.2 21 60.1.1.1 21
Router(config)#ip nat inside source static tcp 10.65.1.3 80 60.1.1.1 80
##常见广域网协议及特点
一、常用的广域网协议
PPP(Point to Point Protocol)、HDLC(High level Data Link Control)、fram-relay。
PPP:点对点的协议,华为路由器默认封装,是面向字符的控制协议。
HDLC:高级数据链路控制协议,Cisco路由器默认的封装,是面向位的控制协议。
fram-relay:表示帧中继交换网,它是x.25分组交换网的改进,以虚电路的方式工作。
二、PPP协议
1、PPP协议的组成和特点
PPP协议是在SLIP基础上开发的,解决了动态IP和差错检验问题。
PPP协议包含数据链路控制协议LCP和网络控制协议NCP。
LCP协议提供了通信双方进行参数协商的手段。
NCP协议使PPP可以支持IP、IPX等多种网络层协议及IP地址的自动分配。
PPP协议支持两种验证方式:PAP和CHAP。
2、PAP(Password Authentication Protocol)验证
PAP验证是简单认证方式,采用明文传输,验证只在开始联接时进行。
验证方式:
(1)被验方先发起联接,将username和Password一起发给主验方。
(2)主验方收到被验方username和Password后,在数据库中进行匹配,并回送ACK或NAK。
3、CHAP(Challenge-Handshake Authentication Protocol)验证
CHAP是要求握手验证方式,安全性较高,采用密文传送用户名。
主验方和被验方两边都有数据库。
要求双方的用户名互为对方的主机名,即本端的用户名等于对端的主机名,且口令相同。
验证方式:
(1) 主验方向被验证方发送随机报文,将自己的主机名一起发送。
(2) 被验方根据主验方的主机名在本端的用户表中查找口令字,
将口令加密运算后加上自己的主机名及用户名回送主验方。
(3) 主验方根据收到的被验方的用户名在本端查找口令字,根据验证结果返回验证结果。
三、HDLC协议
HDLC(High level Data Link Control)高级数据链路层控制协议。是Cisco的路由器
默认的封装协议。
HDLC是面向位协议,用”数据位”定义字段类型,而不用控制字符,通过帧中用”位”的组
合进行管理和控制。
帧格式为:
字段:开始标志 地址字段 控制字段 信息字段 校验序列 结束标志
位长: 8 8*n 8 任意 16 8
字段:F=01111110 A C I FCS F=01111110
四、帧中继
企业网申请帧中继时,局端提供DLCI号和接入的LMI类型,局端是DCE,客户端是DTE。
设局端提供的虚电路号DLCI是16和17,本地管理类型接口LMI是Cisco。
设置内容:连接端口的IP地址,指定lmi类型,设置虚电路号。
例如:
Router(config)#int s0/0
Router(config-if)#ip address 172.l6.20.1 255.255.255.0
Router(config-if)#encap frame-relay
Router(config-if)#frame-relay lmi-type cisco
Router(config-if)#frame-relay dlci 16
如果在实验室条件下配置帧中继,要求用一个路由器做继交换机switching。
Router(config)#frame-relay switching
当要求一点对多点时,可以使用子接口的帧中继设置。
##PIX防火墙特点与应用
一、PIX防火墙的认识
PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。
PIX有很多型号,并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。
PIX防火墙常见接口有:console、Failover、Ethernet、USB。
网络区域:
内部网络:inside
外部网络:outside
中间区域:称DMZ (停火区)。放置对外开放的服务器。
二、防火墙的配置规则
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。
(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
三、PIX防火墙的配置模式:
PIX防火墙的配置模式与路由器类似,有4种管理模式:
PIXfirewall>:用户模式
PIXfirewall#:特权模式
PIXfirewall(config)#:配置模式
monitor>:ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。
四、PIX基本配置命令
常用命令有:nameif、interface、ip address、nat、global、route、static等。
1、nameif
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。
例如要求设置:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1命名为内部接口inside,安全级别是100。
ethernet2命名为中间接口dmz, 安装级别为50。
使用命令:
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet1 inside security100
PIX525(config)#nameif ethernet2 dmz security50
2、interface
配置以太口工作状态,常见状态有:auto、100full、shutdown。
auto:设置网卡工作在自适应状态。
100full:设置网卡工作在100Mbit/s,全双工状态。
shutdown:设置网卡接口关闭,否则为激活。
命令:
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 100full
PIX525(config)#interface ethernet1 100full shutdown
3、ip address
配置网络接口的IP地址,例如:
PIX525(config)#ip address outside 133.0.0.1 255.255.255.252
PIX525(config)#ip address inside 192.168.0.1 255.255.255.0
内网inside接口使用私有地址192.168.0.1,外网outside接口使用公网地址133.0.0.1。
4、global
指定公网地址范围:定义地址池。
Global命令的配置语法:
global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中:
(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmark global_mask]:表示全局ip地址的网络掩码。
例如:
PIX525(config)#global (outside) 1 133.0.0.1-133.0.0.15
地址池1对应的IP是:133.0.0.1-133.0.0.15
PIX525(config)#global (outside) 1 133.0.0.1
地址池1只有一个IP地址 133.0.0.1。
PIX525(config)#no global (outside) 1 133.0.0.1
表示删除这个全局表项。
5、nat
地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:nat (if_name) nat_id local_ip [netmark]
其中:
(if_name):表示接口名称,一般为inside.
nat_id: 表示地址池,由global命令定义。
local_ip: 表示内网的ip地址。对于0.0.0.0表示内网所有主机。
[netmark]:表示内网ip地址的子网掩码。
在实际配置中nat命令总是与global命令配合使用。
一个指定外部网络,一个指定内部网络,通过net_id联系在一起。
例如:
PIX525(config)#nat (inside) 1 0 0
表示内网的所有主机(0 0)都可以访问由global指定的外网。
PIX525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0/16网段的主机可以访问global指定的外网。
6、route
route命令定义静态路由。
语法:
route (if_name) 0 0 gateway_ip [metric]
其中:
(if_name):表示接口名称。
0 0 :表示所有主机
Gateway_ip:表示网关路由器的ip地址或下一跳。
[metric]:路由花费。缺省值是1。
例如:
PIX525(config)#route outside 0 0 133.0.0.1 1
设置缺省路由从outside口送出,下一跳是133.0.0.1。
0 0 代表 0.0.0.0 0.0.0.0,表示任意网络。
PIX525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1
设置到10.1.0.0网络下一跳是10.8.0.1。最后的“1”是花费。
7、static
配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:
static(internal_if_name,external_if_name) outside_ipaddr inside ip_address
其中:
internal_if_name表示内部网络接口,安全级别较高,如inside。
external_if_name表示外部网络接口,安全级别较低,如outside。
outside_ipaddress表示外部网络的公有ip地址。
inside ip_address表示内部网络的本地ip地址。
(括号内序顺是先内后外,外边的顺序是先外后内)
例如:
PIX525(config)#static (inside,outside) 133.0.0.1 192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址。
PIX525(config)#static (dmz,outside) 133.0.0.1 172.16.0.2
中间区域ip地址172.16.0.2,访问外部时被翻译成133.0.0.1全局地址。
8、conduit
管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。
例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。
语法:
conduit permit|deny protocol global_ip port[-port] foreign_ip [netmask]
其中:
global_ip是一台主机时前面加host参数,所有主机时用any表示。
foreign_ip 表示外部ip。
[netmask] 表示可以是一台主机或一个网络。
例如:
PIX525(config)#static (inside,outside) 133.0.0.1 192.168.0.3
PIX525(config)#conduit permit tcp host 133.0.0.1 eq www any
这个例子说明static和conduit的关系。192.168.0.3是内网一台web服务器,
现在希望外网的用户能够通过PIX防火墙访问web服务。
所以先做static静态映射:192.168.0.3->133.0.0.1
然后利用conduit命令允许任何外部主机对全局地址133.0.0.1进行http访问。
9、访问控制列表ACL
访问控制列表的命令与couduit命令类似,
例:
PIX525(config)#access-list 100 permit ip any host 133.0.0.1 eq www
PIX525(config)#access-list 100 deny ip any any
PIX525(config)#access-group 100 in interface outside
10、侦听命令fixup
作用是启用或禁止一个服务或协议,
通过指定端口设置PIX防火墙要侦听listen服务的端口。
例:
PIX525(config)#fixup protocol ftp 21
启用ftp协议,并指定ftp的端口号为21
PIX525(config)#fixup protocol http 8080
PIX525(config)#no fixup protocol http 80
启用http协议8080端口,禁止80端口。
11、telnet
当从外部接口要telnet到PIX防火墙时,telnet数据流需要用vpn隧道ipsec提供保护或
在PIX上配置SSH,然后用SSH client从外部到PIX防火墙。
例:
telnet local_ip [netmask]
local_ip 表示被授权可以通过telnet访问到PIX的ip地址。
如果不设此项,PIX的配置方式只能用console口接超级终端进行。
12、显示命令:
show interface ;查看端口状态。
show static ;查看静态地址映射。
show ip ;查看接口ip地址。
show config ;查看配置信息。
show run ;显示当前配置信息。
write terminal ;将当前配置信息写到终端。
show cpu usage ;显示CPU利用率,排查故障时常用。
show traffic ;查看流量。
show connect count ;查看连接数。
show blocks ;显示拦截的数据包。
show mem ;显示内存
13、DHCP 服务
PIX具有DHCP服务功能。
例:
PIX525(config)#ip address dhcp
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain abc.com.cn
五、PIX防火墙举例
设:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1被命名为内部接口inside,安全级别100。
ethernet2被命名为中间接口dmz,安全级别50。
PIX525#conf t
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet1 inside security100
PIX525(config)#nameif ethernet2 dmz security50
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 100full
PIX525(config)#interface ethernet2 100full
PIX525(config)#ip address outside 133.0.0.1 255.255.255.252 ;设置接口IP
PIX525(config)#ip address inside 10.66.1.200 255.255.0.0 ;设置接口IP
PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0 ;设置接口IP
PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14 ;定义的地址池
PIX525(config)#nat (inside) 1 0 0 ;0 0表示所有
PIX525(config)#route outside 0 0 133.0.0.2 ;设置默认路由
PIX525(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;静态NAT
PIX525(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;静态NAT
PIX525(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ;静态NAT
PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACL
PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACL
PIX525(config)#access-list 101 deny ip any any ;设置ACL
PIX525(config)#access-group 101 in interface outside ;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会
映射成地址池的IP,到外部去找。
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101, static是双向的。
PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。
##PIX 防火墙应用举例
设:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1被命名为内部接口inside,安全级别100。
ethernet2被命名为中间接口dmz,安全级别50。
参考配置:
PIX525#conf t ;进入配置模式
PIX525(config)#nameif ethernet0 outside security0 ;设置定全级0
PIX525(config)#nameif ethernet1 inside security100 ;设置定全级100
PIX525(config)#nameif ethernet2 dmz security50 ;设置定全级50
PIX525(config)#interface ethernet0 auto ;设置自动方式
PIX525(config)#interface ethernet1 100full ;设置全双工方式
PIX525(config)#interface ethernet2 100full ;设置全双工方式
PIX525(config)#ip address outside 133.0.0.1 255.255.255.252 ;设置接口IP
PIX525(config)#ip address inside 10.66.1.200 255.255.0.0 ;设置接口IP
PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0 ;设置接口IP
PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14 ;定义的地址池
PIX525(config)#nat (inside) 1 0 0 ;0 0表示所有
PIX525(config)#route outside 0 0 133.0.0.2 ;设置默认路由
PIX525(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;静态NAT
PIX525(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;静态NAT
PIX525(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ;静态NAT
PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACL
PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACL
PIX525(config)#access-list 101 deny ip any any ;设置ACL
PIX525(config)#access-group 101 in interface outside ;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会
映射成地址池的IP,到外部去找。
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101, static是双向的。
PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。