Ether-channel : 以太网通道
通常称之为以太网链路捆绑,或者叫链路汇聚、链路聚合;
-作用:
将多个类似的接口,捆绑成一个逻辑接口,从而
增加设备之间的传输带宽
增加设备之间的连接可靠性
不但可以在设备之间形成链路备份,还可以实现数据转发的
负载均衡;
-注意:
可以将多个2层链路捆绑在一起;
可以将多个3层链路捆绑在一起;
配置思路:
1、将多个成员端口放入指定的 channel-group ;
2、查看并配置虚拟出来的“port-channel" ;
创建 Ether-channel :
interface rang fas0/23 , fas0/24 # 将成员端口放入组 23 ;
channel-group 23 mode on
interface rang fas0/23 , fas0/24 # 将成员端口放入组 32 ;
channel-group 32 mode on
----------------------------------------------
show ip interface brief # 验证 Ether-channel 后形成的
port-channel 23 虚拟端口(捆绑成一个口)
port-channel 32
-----------------------------------------------
interface port-channel 23 # 配置每个port-channel 为 Trunk ;
switchport trunk encapsulation dot1q
switchport mode trunk
interface port-channel 32
switchport trunk encapsulation dot1q
switchport mode trunk
!
---------------------------------------------------------------------------------------------------------------
注意:
进行链路捆绑的链路可以是2层链路,也可以是3层链路;
进行链路捆绑的链路必须参数相同;
所谓的3层链路,指的是可以配置IP地址的链路;
所谓的2层链路,指出是交换机上不可以配置IP地址的链路;
所谓的2层网络,指的是交换网络;
所谓的3层网络,指的是路由网络;
所谓的2层地址,指的是 MAC 地址;
所谓的3层地址,指的是 IP 地址;
所以:
2层不通,看 MAC ;
3层不通,看 IP ;
-----------------------------------------------------
路由协议:
-作用 : 在路由器上运行之后,让路由器之间自动互相学习
各自的路由条目;
路由协议分类:
直连
非直连
静态
动态
IGP
DV
RIP
IGRP
EIGRP
LS
ISIS
OSPF
EGP - BGP
--------------------------------------------------------
RIP , routing information protocol , 路由信息协议;
PC1 : 192.168.1.1/24
192.168.1.254
R1:
interface gi0/0 # 连接的是 PC1
no shutdown
ip address 192.168.1.254 255.255.255.0
interface gi0/1 # 连接的是 R2 ;
no shutdown
ip address 12.1.1.1 255.255.255.0
配置 RIP 协议:
router rip
version 2
no auto-summary
network 192.168.1.0
network 12.0.0.0
R2:
interface gi0/1 # 连接的是 R1 ;
no shutdown
ip address 12.1.1.2 255.255.255.0
interface gi0/0 # 连接的是 R3 ;
no shutdown
ip address 23.1.1.2 255.255.255.0
配置 RIP 协议 :
router rip
version 2
no auto-summary
network 12.0.0.0
network 23.0.0.0
R3:
interface gi0/0 # 连接的是 R2 ;
no shutdown
ip address 23.1.1.3 255.255.255.0
interface gi0/2 # 连接的是 PC2
no shutdown
ip address 192.168.2.254 255.255.255.0
配置 RIP 协议 :
router rip // 为设备启用 RIP 协议;
version 2 // 配置版本号为 2 ;
no auto-summary // 关闭自动汇总;
network 192.168.2.0 //后面跟的必须是直连、主类网段
network 23.0.0.0
PC2: 192.168.2.1 /24
192.168.2.254
测试命令:
在R1/R2/R3 上查看路由表,可以看到其他网段的路由条目,
是通过 RIP 协议学习过来的;
show ip route //显示路由表的全部条目;
show ip route rip // 仅仅显示路由表中的 RIP 条目;
PC1 ----> PC2 , 正确结果应该是:通!
---------------------------------------------------
Router rip
network x.x.x.x
1、x.x.x.x 是一个主类网络形式; 1
2、x.x.x.x 表示的是一个IP地址范围;
3、x.x.x.x 表示的范围内的IP地址,仅仅限制直连链路;
4、本地设备上,凡是被该 x.x.x.x 范围覆盖住的 IP 地址
所在的链路,都启用 RIP 协议:
#可以在该端口上发送 RIP 报文;
#可以在该端口上接收 RIP 报文;
#可以将该端口上的IP地址中的网络部分,放在
RIP报文中,传输给其他的路由器;
RIP :
属于距离矢量路由协议;
位于 OSI 模型的第 7 层,通过 UDP 520来表示;
传递路由的方式,是一跳一跳的传输;(hop - 跳)
版本:
默认版本: 发版本1,收版本1和2;
版本1:发版本1,收版本1,
版本2:发版本2,收版本2,
版本2的优点:
1、可以携带子网掩码;
2、支持认证功能;
3、支持路由标记,便于管理路由条目;
4、发送方式为组播 - 224.0.0.9
报文:
请求 - request,用于向其他路由器请求路由条目;
回应 - respone,用于对请求信息的回应,携带自己的路由发给对方
配置命令:
router rip
version 2
no auto-summary
network x.x.x.x
验证、测试命令:
show ip protocols //查看本地设备上启用的所有的路由协议信息
show ip route // 查看本地路由表;
clear ip route * // 刷新本地的动态路由条目
特殊路由 - 默认路由
默认路由:表示的是所有的网段;
表现形式: 0.0.0.0/0 ;
-配置方式(静态)
ip route 0.0.0.0 0.0.0.0 12.1.1.2
-配置方式(动态-RIP)
# ip route 0.0.0.0 0.0.0.0 23.1.1.3 //创建默认路由
# router rip
redistribute static
//将本地路由表中的静态路由,引入到 RIP 中,然后发给其他的内网的RIP路由器;
-路由表显示
在路由表中,默认路由条目前面肯定会有一个“*”符号;
------------------------------------------------------------
Null 0 路由 :滞空路由
凡是发送到端口的数据包,都会被丢弃掉;
一般用于防止数据环路或者是病毒数据包;
配置方式:
ip route x.x.x.x y.y.y.y null 0
路由表条目匹配规则:
最长匹配
匹配的越长,表示越精确;
例如:
R8:
ip route 192.168.9.100 255.255.255.255 null 0
ip route 0.0.0.0 0.0.0.0 12.1.1.2
当某主机向目标IP地址 192.168.9.100 发送数据包时,匹配的是上面
--------------------------------------------------
路由管理
- 认识路由
R 192.168.2.0/24 [120/2] via 12.1.1.2
- 配置路由属性
-AD
router rip
dsitance 119
- 验证
show ip protocols
show ip route rip
-Metric
每经过一个路由器,metric都会加1;
router rip
offset-list [acl] in 4 gi0/0
-----------------------------------------------
路由条目 -- 目标IP
192.168.1.0 /24
标准 ACL 条目 -- 源IP
192.168.0.1 0.0.255.0
---------------------------------------------------------
R1:
-创建ACL
ip access-list standard Deny-Ping
10 deny 192.168.1.1 0.0.0.0
!
-调用ACL
interface gi0/1
ip access-group Deny-Ping in
-验证 ACL
show ip access-list // 查看 ACL 的配置信息;
show ip interface gi0/1 // 查看 ACL 的调用信息;
-测试:
PC-1 :
ping 192.168.2.3 , 应该是不通;
==========================================================
ACL:
access control list ,访问控制列表,用于匹配感兴趣的
流量,并进行“控制”;
-作用:
用于实现对数据报文的控制;
-类型:
标准
-只能匹配 IP 头部中的 源IP 地址;
扩展
-可以同时匹配 IP 头部中的 源和目标 IP 地址,
同时,还可以匹配 传输层协议;
-表示:
ID,通过不同范围的ID,表示 ACL 的不同类型;
标准 - 1~99
扩展 - 100~199
word ,通过名字,表示 ACL (项目中常用方法)
通过 名字 区分不同的 ACL 时候,在创建之初,
必须提前指定 ACL 的类型;
例如:
ip access-list standard "name"
ip access-list extended "name"
-配置:
创建ACL
ip access-list standard ABC
10 deny 192.168.1.0 0.0.0.255
调用ACL
interface gi0/1
ip access-group ABC in
验证ACL
show ip access
show ip interface gi0/1
测试
PC-1 ----> PC-3
192.168.1.1 --> 192.168.2.3
-工作原理:
当端口在特定的方向收到流量以后,开始进行特定方向
上的 ACL 条目的检查,规则如下:
1、ACL如果多个条目,则按照每个条目的序列号从小
到大依次检查、匹配:
2、首先检查数据包的源头IP地址,是否可以匹配;
如果不可以,则检查下一个 ACL 条目;
如果可以,则继续(3)
3、其次检查数据包的目标IP地址,是否可以匹配;
如果不可以,则检查下一个 ACL 条目;
如果可以,则继续(4)
4、再次检查数据包的IP后面的协议的类型,是否可以匹配
如果不可以,则检查下一个 ACL 条目;
如果可以,则继续(5)
5、查看 该 ACL 条目的 动作 : permit / deny ;
6、确定 该 ACL 调用在端口的什么方向?
如果是 out,则表示允许/拒绝 转发出去;
如果是 in , 则表示允许/拒绝 转发进来;
注意:
ACL 条目 是按照序列号从小到大,逐条目检查的;
如果该条目没有匹配住,则匹配下一个条目;
如果该条目匹配主了,则执行上面的(5,6)作用;
每个 ACL 后面都有一个隐含的拒绝所有。
针对 标准/扩展 ACL 的 “允许” 所有,配置命令如下:
标准ACL -
ip access-list standard Permit
10 permit any
扩展ACL -
ip access-list extended Permit
10 permit ip any any
**** 在现网中,对ACL进行创建、修改、删除之前,都要
查看一下当前设备上是否存在对应的 ACL 以及调用情况
---------------------------------------------------------
ACL调用建议:
1、如果想通过标准 ACL ,拒绝访问某一个目标主机,
则将 ACL 调用在距离目标主机尽可能近的地方;
2、如果想通过标准 ACL ,控制某一个源IP地址主机
的上网行为,则将调用在距离源IP地址主机尽可能近的地方
3、扩展 ACL 应该调用在距离 源主机 尽可能近的地方;
因为扩展 ACL 可以精确的区分不同类型的流量;
通过 ACL 控制流量 的 配置思路:
1、先分析原有数据流的走向
2、确定转发路径上的设备 (确定路由设备)
3、确定在哪些设备的、哪些端口的、哪些方向上
4、确定 ACL 如何写
5、确定 如何调用
6、验证和测试
---------------------------------------------------
案例:
192.168.1.1 -------> 192.168.2.3
-ping
icmp , internet control message protocol
-telnet
tcp , 23
transport control protocol ,传输控制协议
建立的是一个稳定的链接;
常见流量分析:(套接字)
tcp 80 ---> web
tcp 21 ---> FTP
udp 67/68 --> DHCP
udp 520 --> RIP
user datagram protocol ,用户数据报文协议;
建立的是一个不可靠的链接,但是
传输速度快;
端口号: 0--65535
知名端口(wellknown port )
随机高端口 > 1024
套接字组成:(后期经常研究的对象)
IP+tcp/udp + port ===> IP socket ,套接字
192.168.1.1 , tcp 80 ,
192.168.1.1 , tcp 23 ,
---------------------------------------------------------
小扩展:
2层交换机配置网管IP:
SW1#
interface vlan 1
no shutdown
ip address 192.168.2.9 255.255.255.0
ip default-gateway 192.168.2.254
// 为交换机配置网关IP,类似于 PC ;
扩展ACL配置需求-1:
192.168.1.1 ----> 192.168.2.9
ping : icmp // not
telnet : tcp 23 // yes
配置案例的实现命令:
R2:
ip access-list extended HAHA // 创建扩展 ACL ;
15 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.9
25 permit ip any any
interface gi0/1 // telnet 流量的入端口;
ip access-group HAHA in
配置案例的结果:
ping , not ;
telnet , yes ;
扩展ACL配置需求-2:
192.168.1.1 ----> 192.168.2.9
ping : icmp // yes
telnet : tcp 23 // not
R1:
-创建ACL
ip access-list extended HOHO
10 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.9 eq 23
20 permit ip any any
-调用 ACL
interface gi0/1 // 链接的是 PC-10
ip access-group HOHO in
!
-验证 和 测试
show ip access-list
show ip interface brief
telnet x.x.x.x ----------------->NO
show ip protocols //查看本地设备上启用的所有的路由协议信息;
clear ip route * //清除本地路由表中的所有动态路由条目;
默认路由:
表现形式: 0.0.0.0/0 ;
-配置方式(静态)
ip route 0.0.0.0 0.0.0.0 12.1.1.2
-配置方式(动态-RIP)
# ip route 0.0.0.0 0.0.0.0 23.1.1.3 //创建默认路由
# router rip
redistribute static
//将本地路由表中的静态路由,引入到 RIP 中,然后发给其他的内网的RIP路由器;
-路由表显示
在路由表中,默认路由条目前面肯定会有一个“*”符号;