当前位置:   article > 正文

基础知识(三),OSI七层协议、数据传输过程、数据的封装与解封装、IP抓包分析、交换机、路由器、ARP协议、TRUNK中继、VLAN、DHCP中继、ICMP协议、三层交换机_绘制(使用word或wps)osi参考模型,标明数据传输过程中的封装和解封装过程

绘制(使用word或wps)osi参考模型,标明数据传输过程中的封装和解封装过程

OSI与TCP-I5五层协议

分层模型

分层思想:

将复杂的流程分解为几个功能相对单一的子过程:

整个流程更加清晰,复杂问题简单化
更容易发现问题并针对性的解决问题

OSI七层协议的建立原因:协议太多,分层管理

问:完成每件事需要的协议太多,如何解决?
答:下层为上层服务,每层独立,协议相同。
  • 1
  • 2

OSI七层模型

在这里插入图片描述
同层协议相同,下层为上层服务。实际应用上表示层和会话层被应用层包含了

应用层				应用层		PDU		

表示层				表示层

会话层				会话层

传输层				传输层		数据段

网络层				网络层		数据包

数据链路层			数据链路层		帧

物理层				物理层		比特
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13

TCP/IP 5层协议簇/协议栈

5.应用层		PC/防火墙		
工作协议:HTTP/S(80/443)、SSH-22、Telnet-23、FTP-20/21、DNS-53、DHCP-67/68、SMTP-25、RDP-3389、POP3-110、SMB-445、Mysql-3306

4.传输层		防火墙
工作协议:二选一,TCP安全可靠、UDP性能快

3.网络层		路由器(三层路由器)
工作协议:ICMP		IP			ARP

2.数据链路层		交换机(二层交换机) 网卡
工作协议:Mac子层协议

1.物理层				网线
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13

五层协议流程图解:
在这里插入图片描述

网卡速率:

Ethernet			10Mb/s
FsatEthernet		100Mb/s
GigabitEthernet		1000Mb/s
TenGigabitEthernet 	10000Mb/s	
  • 1
  • 2
  • 3
  • 4

数据传输过程

数据的封装与解封装过程:

传输层:

  • 完成进程到进程通信
  • TCP:面向连接服务。提供可靠的通信,因为双方要构建链接,丢包链接有数据重传机制
  • UDP:无连接服务,不可靠,丢包无重传机制

网络层:

  • 完成点到点的通信(点-计算机)
  • IP协议:给数据加上IP包头

数据链路层:

  • 交换机存在数据链路层,不认识上面层,所以辨识不出IP

  • 交换机根据mac地址来转发数据

  • mac地址:加上mac地址(帧头)和FCS(帧尾)

物理层:

数字信号:比特流(bit)
8bit >1Byte字节,小b和大B

数据的封装与解封装过程:

5层 应用层 >输出数据hello

4层 传输层>给hello加上TCP/UDP头,完成进程到进程的通信(应用层的源端口号和目标端口号)TCP保证安全可靠性,UDP保证性能,速度快但安全性不足

3层 网络层 > 加上IP包头,把源IP和目标IP加上去。

2层 数据链路层 >加上mac子层和FCS(帧校验,保证完整性)

1层 物理层:利用比特流传输数据

封装过程:
解封过程:
在这里插入图片描述

IP抓包分析

IP包头分析

三层网络层IP包头格式:
在这里插入图片描述

物理层(1层)

工作在物理层的设备:网线、光纤、空气

  • 网线、光纤、空气都是物理层的介质
  • 用比特流的形式传输数据:

比特流中传输数据大小:

 8bit = 1Byte    
 1024B = 1KB    
 1024KB = 1MB   
 1024MB = 1GB   
 1024GB = 1TB    
 1024TB = 1PB
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

信号:

电信号:
模拟信号: 放大器 ->可以远距离传输但是噪音也会放大,会失真
数字信号:中继器 ->把信号复原,抗干扰能力强传输距离短

光信号:
光纤类型:
单模光纤:只传输单种光,传输距离更远,衰减更小
多模光纤:可以传输多种光,传输距离小,
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

网线

网线/双绞线:坑干扰
五类双绞线
超五类双绞线、六类双绞线、七类双绞线:市面上比较常见,更干扰能力更强

水晶头排线:
T586A标准:白绿、绿、白橙、蓝、白蓝、橙、白棕、棕
T586B标准(国标):白绿、绿、白绿、蓝、白蓝、绿、白棕、棕

网线用途分类:
交叉线:一端为A一端为B。同种设备间使用
直通线:两端都是A或B。异种设备间使用
全反线:一端为A,另一端为反A,也称console线。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12

网络拓扑图
简单网络拓扑图
在这里插入图片描述

数据链路层(2层 Data Link Layer)

工作在数据链路层的设备:交换机、网卡
传输单元:帧

帧格式:
802.3:有线网卡
802.11:无线网卡,在传输的时候去掉源帧加上另一个帧发送给无线笔记本
  • 1
  • 2
  • 3

帧结构:帧头-数据段(上三层数据)-帧尾

帧头:目标mac、源mac、类型(IP/ARP)。

mac地址:
也叫物理地址,全球唯一。长度:48位、6字节

类型字段:
0x0800:十六进制,代表上层为IP协议
0x0806:十六进制,代表上层为ARP协议
作用:类型字段作用是识别上层协议,为上层提供服务

上三层数据:MTU值(最大传输单元),1500字节(国标)



帧尾:保证数据完整性,帧头和上三层数据的hash值
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

示例图在这里插入图片描述

交换机

  • 交换机工作在数据链路层:根据mac地址表转发数据,硬件转发

交换机(Switch)工作原理:

收到一个数据帧后:

  • 首先学习帧中的源mac地址来形成mac地址表

  • 然后检查帧中的目标mac地址,并匹配mac地址表:

  • 如表中有匹配项,则单播转发

  • 如表中无匹配项,则除接收端口外广播转发

交换机接口模式:

交换机mac地址表只记录自己的端口地址
交换机的端口mac地址不会覆盖,个人PC拔掉网线300秒mac地址会消息而如果换了端口会直接覆盖更新mac地址表

端口状态: up/down,开启/关闭
dowm的3种可能:
1.人工down掉
2.速率不匹配
3.双工模式不匹配(双工duplex)

双工模式3种:
1.单工-已淘汰,只能单向通信,一端接一段收。比如bb机、录音机
2.半双工:双向通信,但是一端发送另一端不能发送
3.全双工:双向通信,两端都可以进行即时通信

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14

交换机原理示例图:
在这里插入图片描述

交换机基本工作模式和命令:

  • 二层接口默认开启
  • 三层接口默认管理down

利用console线直插电脑和交换机:

  • 第一次配置网络设备,需要使用cosole线,水晶头连交换机、com口连电脑(或转usb口连usb)

  • 在PC上需要使用"超级终端"或其他软件打开交换机配置窗口

基本工作模式:

1. 用户模式:switch>
可以查看交换机的基本简单信息,且不能做任何修改配置

2. 特权模式:switch#
可以查看所有配置,但不能修改配置。却可以做测试保存、初始化等操作
switch>enable		进入特权模式:switch#
configure terminal:配置终端命令		switch(config)#

3. 全局配置模式:switch(config)#
默认不能查看配置,可以修改配置且全局生效
switch#>configure terminal		#进入全局配置模式

4. 接口配置模式:switch(config-if)#
默认不能查看配置,可以修改配置且对该端口生效
switch(config)#interface f0/1		#进入f0/1接口配置模式

5. Console口/线/控制台配置模式:switch(config-line)#
默认不能查看配置,可以修改配置且对console口生效
switch(config)#line console 0		#进入console口模式
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19

交换机基本命令:

1. exit		#退出一级
2. end		#直接退到特权模式
3. reload		#重启,如果重启或断电前不保存,那么当前所做所有配置命令消失
4. 在内存中存在文件running-config,第一次开机系统会在内存中自动创建一个新的running-config文件。所有配置操作都在此文件中
5. 缩写:e?可以查看该模式下所有e开头的命令,进一格缩写可以不用打全命令
6. tab键可补全命令和路径

7. 修改主机名命令:全局配置模式下
hostname sw-bj-01-02(主机名)	#修改交换机主机名

8. 配置用户密码:console口模式下
password laolao(密码) 	#至少六位
login	#开启用户密码,必须用密码启动
exit	

9. 配置特权模式用户密码:全局模式下
enable passwor kongyuhen(密码)	明文密码,show 内存文件可看到
hash密码:enable secret 123456(密码)		使用md5加密
当明文和密文同时配置,明文密码失效

10. 删除配置:命令在哪配置在哪模式下删除,命令前加no
原命令参数具有唯一性的时候不用加参数,比如密码、主机名
no hostname 主机名(可不写) 				全局模式下,删除主机名配置
no password(可不写) 密码 no login		console模式下,删除用户密码不要验证
no enable password						全局模式下,删除特权密码,不需要接密码

11. 快捷键:所有模式
ctrl+u		#快速删除光标所有字符
ctrl+a		#快速定位光标到行首
ctrl+e		#快速光标到行尾

12. 保存配置:特权模式下
copy running-config startup-config		#从内存复制到硬盘中
或者write也是保存

13. 查看running-config配置:特权模式下
思科:show running-config
华为:display  running-config

14. 重启设备:特权模式下
reload

15. 恢复出厂设置:特权模式下
erase startup-config

16. 查看mac地址表:特权模式下
show mac-address-table		#查看mac地址表

17. 查看接口连接端口的状态:特权模式下
show ip interface brief		#查看接口状态

18. 人为down掉某端口:进入某端口接口模式
shutdown		#关闭,此端口无法进行通信
no shutdown		#开启

19. 交换机开机动作:
先去硬盘中查找startup-config是否存在
如果存在,则复制到内存中并改名为running-config文件
如果不存在,在内存中创建running-config文件

20. do的用法:其他模式可强制使用特权模式命令
一般情况下show命令只能在特权模式下是用,但是其他模式可以强制使用
命令:do	show...		#在命令前加do。任何特权命令在其他模式加do就可以
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63

为二层交换机配置管理IP:

  • 交换机内置一个虚拟接口用来方便管理

交换机写入命令:

conf t			#进入全局模式
int vlan 1		#进入虚拟端口
ip address ip地址 子网掩码			#配置交换机ip地址,不能与现有ip地址冲突
no shutdown


交换机也可以开启远程服务:
configure terminal		#在全局模式下
line vty 0 4			#进入虚拟终端,开启远程控制
transport input telnet/ssh/none/all		#可选择的开启单个服务或全关/开
login local		#开启本地身份验证
exit			#退回全局模式
username 账号 password 密码			#在全局模式下添加用户,用来远程控制(可添加多个用户)

hostname ly1			#配置路由器主机名
ip domain-name ly1.jinyi.com			#配置路由器域名
crypto key generate rsa 				#配置密钥对全局模式下,生成一个rsa算法带有公密钥:加密字节
再进行虚拟终端操作开启ssh服务


交换机也需要配置网关:用于跨网段管理
给vlan接口配置网关地址:在全局模式下
ip default-gateway 网关地址			#配置网关地址
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23

网络层 3层

路由器

路由器原理:

跨越从源主机到目标主机的一个互联网络来转发数据包的经过。 路由就是路由器为数据包选择路径的过程

路由作用:

路由器可以隔离网段但交换机不可以 ,路由器不同接口必须配置不同的网关地址且网段不能相

路由表:

  • 路由器中维护的路由条目的集合

  • 路由器根据路由表做路径选择

  • 路由器工作在网络层,根据路由表转发数据,路由选择,路由转发

路由器命令基本与交换器命令一致
为三层路由器配置网关IP:

路由表的形成:
直连网段:配置ip地址,端口UP状态

非直连网段:
假设三层设备为路由器
和交换机命令一致
三层接口默认是人工down掉,需要手动开启配置ip
手动开启down掉端口:特权模式下
show ip interface brief	查看端口状态
注意查看直通线连的是哪个端口

1. 配置ip:接口模式下,需要查路由器连接线的接口是哪个,然后进入此接口模式
int f0/0		#假设连接是是f0/0接口
ip address ip地址 子网掩码 		#配置路由器ip
no shutdown 					#启用up状态
就可以开启
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16

路由器转发下一跳路由配置:

静态路由:全局模式
conf t
ip route 目标网段 子网掩码 下一跳路由ip
如:ip route 10.1.1.0 255.255.255.0 20.1.1.2

默认路由:全局模式
conf t
ip route 全网段 全网段掩码 下一跳路由ip
如:ip route 0.0.0.0 0.0.0.0 20.1.1.2

浮动路由:全局模式
在静态或默认路由后加空格+数字(正整数),比如有两条直通线相连的路由器
conf t
ip route 网段 掩码 下一跳路由ip
ip route 网段 掩码 下一跳路由ip 2

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16

三层路由器远程控制:

  • 远程控制需要设置用户配置和特权配置密码
1. 不需要身份验证:
configure terminal		#在全局模式下
line vty 0 4			#进入虚拟终端,开启远程控制
transport input telnet/ssh/none/all		#可选择的开启单个服务或全关/开
passwword 密码				#设置密码
login
exit

2. 需要身份验证:
configure terminal		#在全局模式下
line vty 0 4			#进入虚拟终端,开启远程控制
transport input telnet/ssh/none/all		#可选择的开启单个服务或全关/开
login local		#开启本地身份验证
exit			#退回全局模式

创建用户:
username 账号 password 密码			#在全局模式下添加用户,用来远程控制(可添加多个用户)

3. 如果配置ssh服务需要提前配置路由器主机名、域名、密钥:
hostname ly1			#配置路由器主机名
ip domain-name ly1.jinyi.com			#配置路由器域名
crypto key generate rsa 				#配置密钥对全局模式下,生成一个rsa算法带有公密钥:加密字节
再进行2. 中虚拟终端操作开启ssh服务
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23

三层路由器拓扑图:
在这里插入图片描述

路由器隔离网段示例图:在这里插入图片描述

路由全网互通配置ip基本命令排错:

do show ip route			查看路由表命令
do show ip interface brief	查看接口列表
  • 1
  • 2

ARP协议分析

广播和广播域:

广播:将广播地址做为目的地址的数据帧
广播域:网络中能接受到同一个广播的所有节点的集合

MAC地址广播:

广播地址为 FF-FF-FF-FF-FF-FF

IP地址广播:

全IP地址广播:255.255.255.255
广播ip地址为ip地址网段的广播地址,如192.268.1.255/24

ARP协议(Address Resolution Protocol) 地址解析协议
作用:将一个已知的ip地址解析成mac地址
ARP协议没有验证机制

ARP工作原理:
ARP协议只存在内网中,路由器隔绝ARP协议

ARP原理:
发送APR广播请求 :获取对方的mac地址
接受ARP单播回应:目标ip接收广播回应mac地址

ARP广播请求报文内容:
我是10.1.1.1 我的mac是AA
谁是10.1.1.2 你的mac是?

ARP请求过程:
PC1发送数据给PC2,查看缓存中有没有PC2的mac地址
PC1发送ARP请求信息(广播)
内网段中所有主机收到ARP请求信息
只有PC2应答(单播,因为ARP请求包含PC2ip地址)
其他主机丢弃
PC1将PC2mac地址保存到缓存中,发送数据


ARP请求过程(经过路由器):
第一步:
路由器接受到数据帧,查看目标mac地址是否对应自身mac地址
如不对应直接丢弃
如对应直接解封装数据帧

第二步:
解封装数据帧,查看目标ip并对应路由表
如果路由表匹配不成功则直接丢弃,并向源ip反馈错误信息
如果路由表匹配成功则将ip包路由到出接口,然后再封装ip包加上帧头/尾

第三步:
封装数据帧,首先将本路由出接口的mac地址作为源mac地址。然后检查ARP缓存表(路由器中的ip和mac地址对应关系)
检查ARP缓存表是否有下一跳路由的mac地址:
如有,将提取并作为目标mac地址封装到帧中
如没有,则发送ARP广播请求下一跳mac地址并获取对方mac地址(下一跳路由器收到ARP请求然后应答(回应mac地址)。),再进行封装帧。
最后将帧发送到下一条路由

第四步:下一跳路由进行第二步操作。直到路由到目标ip段的网关地址,目标网关收到帧数据进行ARP广播或单播,经由交换机mac地址表进行数据传输到目标ip的PC上
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36

数据路由示例图:
在这里插入图片描述

ARP基本命令:

Windows系统中的ARP命令:
arp -a			#cmd查看个人PC本地ARP缓存
arp -d			#清除ARP缓存
arp -s			#ARP绑定
  • 1
  • 2
  • 3
  • 4

ARP攻击和欺骗原理:

  • 通过发送伪造虚假的ARP报文(广播或单播),来实现攻击和欺骗
  • 如虚假的报文的mac是伪造不存在的,实现ARP攻击,结果是终端通信/断网
  • 如虚假报文的mac是攻击者自身的真实mac地址,实现ARP欺骗,结果可以监听、窃取、篡改、控制流量,但不中断通信

欺骗原理实例图:

PC1向PC2发起请求
PC2应答,PC3伪造ARP信息应答
因为ARP协议中谁应答最后PC1取谁

ARP攻击者通过发送虚假伪造的ARP报文对受害者进行ARP缓存投毒
  • 1
  • 2
  • 3
  • 4
  • 5

ARP欺骗网关示例图:在这里插入图片描述
ARP欺骗主机:
在这里插入图片描述

ARP攻击防御

ARP防御3种方法:

第一种:
静态ARP绑定:
手动绑定/双向绑定,将ARP缓存表中学习的ip对应mac地址绑定为静态
对Windows的PC进行绑定:
	netsh interface ipv4 show neighbors
	netsh interface ipv4 set neighbors 11 本地地址 本地mac地址
	或arp -s 网关地址 网关mac地址
对网关进行绑定:路由全局模式
	arp 网关地址 网关mac地址 arpa 路由接口(f0/1)

第二种:
ARP防火墙:
优点:自动自动绑定静态ARP,主动防御
缺点:不断向网关发送ARP请求包,网关负载较大(当内网中主机较多时,每台主机都发送ARP请求包)

第三种:
硬件级ARP防御:
优点:直接禁掉ARP攻击
利用管理型交换机(企业级)
交换机支持接口做动态ARP绑定(配合DHCP服务器),交换机ARP缓存表记录下来。不允许发送虚假ARP请求包(因为mac地址绑定下来)
或静态ARP绑定
第一步:
交换机上需要开启DHCP监听功能:交换机全局模式
ip dhcp snooping

第二步:
交换机上:全局模式
arp 所属ip地址 所属网关mac地址 arp 所属交换机接口(f0/1)
对每台PC/网关进行绑定
或
conf t 
ip dhcp snooping
int range f0/1 -48
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33

TRUNK

trunk/中继链路/公共链路在交换机上使用
作用:允许所有VLAN数据通过trunk链路
方法:通过在数据帧上加标签,来区分不同的vlan的数据

trunk标签:

  • ISL标签:cisco(思科)私有的,标签大小30字节26+4(在帧前面加26字节帧尾加4字节)

  • 802.1q标签:公有协议,所有厂家都支持,标签大小4字节,属于内部标签(在数据帧中间加上标签)

交换机端口链路类型:

  • 接入端口:也称为access端口,一般用于连接PC。只能属于某一个vlan,也只能传输1个vlan的数据
  • 中继端口:也称为trunk端口,一般用于连接其他交换机。属于公共端口,允许所有vlan的数据通过

配置trunk命令:交换机间交叉线上的接口

int f0/x		进入此接口模式
switchport trunk encapsulation dot1q/isl		#将此接口封装的标签为dot1q(公共标签)或isl(思科标签)可不选择默认是dot1q
switchport mode trunk 		#将此接口配置为中继接口模式
exit
  • 1
  • 2
  • 3
  • 4

VLAN(Virtual LAN) 虚拟局域网

VLAN属于二层技术
广播/广播域
广播的危害:增加网络/终端负担,传播病毒,安全性下降
如可控制广播:

使用路由器物理隔绝,广播不能透过路由器
缺点:成本高,不灵活(PC跑到别的部门访问不了原部门,不同部门网段不同)
使用VLAN技术控制:
VLAN技术是在交换机上实现的且是通过逻辑隔离划分的广播域,用来控制广播隔绝离广播域
一个VLAN = 一个广播域 = 一个网段

VLAN的类型:
静态VLAN:手工配置,基于端口划分的VLAN
动态VALN手工配置,基于maczhi'w
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 默认所有接口都在vlan 1
  • 交换机上出接口和入接口不在同一个vlan不能互相通信

一台交换机划分VLAN命令:

在交换机上
静态VLAN命令:全局模式下
创建vlan:
conf t
vlan ID,ID,ID-ID		#创建vlan   数字,数字,可创建多个vlan。进入name模式
name IT			#给vlan id 起名字为IT部门
exit

查看VLAN表:特权模式或加do
show vlan brief

将接口加入到VLAN:全局模式
int f0/x		#进入此接口
switchport access vlan ID	#将交换机该接口加入到vlan 几中
exit

还需要配置路由-交换机连接的端口配置trunk技术
int f0/5					#进入需要trunk的接口
switchport mode trunk		#默认情况下使用802.1q标签
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19

一台交换机配置vlan示例图:
在这里插入图片描述

多台交换机划分VLAN命令:

默认所有接口都在vlan 1
交换机上出接口和入接口不在同一个vlan不能互相通信
如果有多个交换机:全局模式下
重新创建VLAN ID 并与上交换机一样
创建vlan:
conf t
vlan ID,ID,ID-ID		#创建vlan   数字,数字,可创建多个vlan。进入name模式
name IT			#给vlan id 起名字为IT部门
exit
再将连接交换机的接口变为中继接口

当有较多交换机和较复杂vlan情况下:
使用vtp 进行集中管理:在一台交换机上管理其他交换机创建vlan
vtp domain name(名字)			VTP是用来帮助管理多交换机的多vlan情况,防止vlan信息混乱,维持vlan信息统一。
如果你的网路比较大,且交换机数量多,vlan复杂的情况下,就需要使用vtp domain了。别的交换机就会学习到
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

单臂路由

  • vlan控制广播域、不同vlan间无法进行广播,但是不同vlan之间可以通过路由器单播通信
  • 不同vlan间通信是靠路由来实现的
  • 单臂路由缺点:当有上千员工存在网络瓶颈,网络信号差,容易发生单点物理故障(所有子接口依赖路由器连接交换机上的直通线),vlan间通信的每个帧都进行单独路由

路由器开启子接口给不同vlan间通信配置命令:

在路由设备上:全局模式下
conf t
int f0/0.1		#在此接口模式下创建子接口(可以创建上万个逻辑子接口)
encapsulation dot1q 10     #10是标签
ip add 网关地址 掩码
no shutdown
exit

int f0/0.2		#再创建第二个vlan的子接口
encapsulation dot1q 20     #20是标签
ip add 网关地址2 掩码
no shutdown
int f0/0			配完子接口需要配置父接口开启网关f0/0接口
no shutdown
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14

路由器使用开启子接口并配置标签示例图:

在这里插入图片描述

路由器-DHCP中继

  • 路由器可以充当DHCP服务器(三层设备以上都可以)
  • 当PC广播的时候就不用山长水远跑到服务器上面请求ip
  • 路由器还是需要配置子接口,PC才可以进入网关地址池申请ip
  • PC数据从哪个子接口进入就从哪个地址池请求ip
  • 公司人少的时候可用路由器充当DHCP服务器,人多需要用服务器,不然路由器工作效率会降低

在三层路由器上部署DHCP服务器:

conf t			全局模式下
ip dhcp excluded-address 10.1.1.1 10.1.1.99			#可提前预留1-99的ip地址
ip dhcp pool 地址池名字(v10) 		#创建dhcp地址池(作用域),进入地址池配置模式
network vlan地址段 掩码				#提供vlan网段和掩码
default-router 此vlan网关地址		#指定网关
dns-server dns服务器地址				#指定dns服务器地址
lease 天 小时 分钟		提供租约时间,如:lease 1 1 1(租约时间为1天1小时1分钟)
exit

然后内网里面有几个网段就在路由器里面配置几个子接口和地址池

在路由器上删除配置:全局模式
no ip dhcp excluded-address 10.1.1.1 10.1.1.99	#删除预留地址
no ip dhcp pool 地址池名字(v10) 			#删除地址池
有多个地址池有继续删除
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

用服务器配置DHCP服务器:

  • 路由器需要做配置,路由器收到不同vlan的 PCdhcp广播包会以单播方式转发到DHCP服务器上
    路由器上广播转单播请求 ip命令:
conf t
 int f0/0.1			#进入vlan子接口配置命令
 ip helper-address dhcp服务器ip地址			#指定需转发的dhcp服务器ip地址
 exie
 然后不同的子接口配置dhcp服务器ip地址(本dhcp服务器ip地址上路由器的子接口 不用配置)
  • 1
  • 2
  • 3
  • 4
  • 5

ICMP协议

ICMP端口号:没有端口号,只有应用层的协议才有端口号
ICMP协议作用:网络探测与回馈机制(网络探测、路由跟踪、错误反馈)
ICMP封装的帧:2层帧头+3层(ip包头+icmp头+数据)+2层帧尾(只有)
ICMP协议的封装格式:ICMP头和数据
数据是一些无意义的数据
ICMP头有四个ICMP类型字段:

8:ping请求			#本地PC向目标PC发送
0:ping应答			#目标PC给本地PC应答
3:目标主机不可达		#路由器无法进行路由,返回的错误(里面存在代码,不同代码代表不同错误类型),或路由器和防火墙不允许访问
11:TTL超时,路由环路


ip跟踪:
windows:tracert ip地址
linux和路由器:traceroute ip地址
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

三层交换机:三层路由器+二层交换机组合

三层交换机原理:

  • 三层交换机 = 三层路由器 + 二层交换机
  • 三层路由引擎可以开关

三层交换机优点:

  • 解决了网络瓶颈问题
  • 解决了单点故障(虚拟接口不再依赖任何物理接口,线路走主板)
  • 一次路由,永久交换,只对第一次数据帧路由后面直接根据表换帧头发送。单臂路由对每次数据帧进行路由。路由里面会生成快速转发表[vlan20 目标ip]和邻接关系表[路由mac 目标mac]一一对应)

三层交交换机配置命令:

三层交换机接口间线路配置trunk链路:
conf t
int range f0/1 - 2			#多个接口一起配置
switchport trunk encapsulation dot1q			#指定封装标签
switchport mode trunk		#接口开启trunk链路
exit
vtp domain 名字				#配置vtp,二层交换机也会也会接收到三层交换机划分vlan的配置


划分vlan:
开启路由引擎配置激活vlan,不用配置标签每个vlan走单独主板线路
conf t
ip routing			#开启三层路由器功能
no ip routing		#关闭三层路由功能
int vlan 10			#在路由里面创建vlan10虚拟网关端口(交换机得先创建激活vlan10)
ip add 网关地址	掩码			#给vlan10配置网关地址
no shut 			#激活
int vlan 20			#继续创建vlan20虚拟网关端口,继续上面操作(路由器里面得mac地址一样)
exit

访问外网,二层端口升级为三层端口
int f0/x
no switchport			#此命令升级为三层接口
ip add 网关地址	掩码		
no shut 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25

内部网络规划示例图:

在这里插入图片描述

HSRP协议(思科)/VRRP协议

HSRP协议:使用双网关,当主网关线路出现问题切换到备用网关
VRRP协议:使用双网关,当主网关线路出现问题切换到备用网关

HSRP协议(热备份路由协议)
HSRP组号:1-255,没有大小之分
热备份路由配置命令:

活跃路由和备份路由都需要配置:
 int f0/x或int vlan x			#进入路由网关接口模式/如果有多个核心交换机
 standby 组号(1-255) ip 虚拟ip地址					#创建组号并设置虚拟ip
 standby 组号(1-255) priority 优先级(数字)			#配置该路由网关的优先级
 standby 组号(1-255) preempt		#设置占先权,当发现其他路由优先权比自己低立即抢占活跃路由名分
 standby 组号 strack f0/x 			#跟踪路由器路由接口状态f0/x为路由接口

查看路由备份表:
show standby (brief	)		#查看hsrp状态	
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

热备份路由原理:
在这里插入图片描述
多核心交换机示例图:

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/很楠不爱3/article/detail/562128
推荐阅读
  

闽ICP备14008679号