HCIA笔记整合

news2024/11/5 22:40:03

第一部分:

OSI七层模型

应用层:人机交互   抽象语言--------编码 

表示层:编码------二进制 

会话层:提供会话号

传输层:TCP/UDP  分段(收到MTU值的限制) MTU:最大传输单元,默认1500字节    提供端口号  0-65535   1-1023注明端口  1024-65535动态端口/高端口

网络层:IP    IP地址----逻辑地址 

数据链路层:介质访问控制层MAC+逻辑链路层LLC

物理层:

人类最早的网络-------对等网 

距离延长        RJ-45双绞线    100M 

中继器--------物理增压   存在问题:波形失帧

节点增加 

直线型拓扑(总线型拓扑)  

环形拓扑 

树状拓扑        

波环型拓扑  全网状拓扑

星型拓扑 

节点增加设备-------HUB集线器   ------安全   延时   地址    冲突   

地址:唯一  格式相同    物理地址/MAC地址:48位二进制构成以16进制显示

出厂即烧录  全球唯一

      

冲突问题:相似电流互相吸引碰撞随后抵消 

解决方案:CSMA/CD  载波侦听多路访问/冲突监测机制       排队 

机制解析:

首先使用监听功能,当发现有消息在传播时,停止自身消息发送,进行监听排队,随时准备进入下一阶段。

当监听的消息发送完成时,立刻发送自身消息。

当消息相撞时,会彼此之间发送一个随机的阈值,因为是随机发送所以一定存在大小之分,到达阈值时再次发送自身消息,这样就规避了冲突。

再次提高要求:

无限的传输距离  

没有冲突 

形成单播       

广播---------广播域     广播域=泛洪区域   

网桥------------交换机-----工作在介质访问控制层  

速率公式:约等于(带宽/8)85%  

交换机的工作原理:

当数据帧进入交换机之后,交换机会先查看数据中的源MAC地址,之后将该数据的进入接口与该MAC地址相互映射到本地的MAC地址表中;在查看数据帧中的目标MAC地址,基于目标MAC地址查询本地MAC地址表,若存在记录则按照记录进行单播

若不存在记录,则直接洪泛(泛洪)该数据  

泛洪:向除了进入接口以外的所有接口全部发送  

MAC地址表的老化时间:300s   

对等网-----变大----无限的传输距离   无冲突  单播  =网桥---交换机--工作于介质访问控制层----二层设备  认识MAC地址  ----认识则单播  不认识则泛洪       泛洪范围越大   延时越高  ----于是生产了一台设备----路由器---网络层---IP地址   ARP协议(广播) 广播域=泛洪区域 

广播:在一个泛洪区域内 迫使交换机将一个数据进行泛洪  

CISC思科 

IPV4  :32位二进制构成,以点分十进制标识。 存在网络位和主机位的区分,网络位用于标定所在范围,主机位用于显示在范围内的身份。 为了方便人看,故采取8位一分的方式。  

0      00000000

1      00000001

2      00000010

3      00000011

4      00000100

5      00000101  通过不断的+1  最终得出一个次方轴

00000000   0

00000001   1

00000010   2

00000100   4

00001000   8

00010000   16

00100000   32

01000000   64

10000000   128   

 192.168.1.0    11000000.10101000.00000001.00000000  

192.168.1.0

192.168.2.0    

子网掩码:必须是连续的1根连续的0构成,连续的1对应网络位,连续的0对应主机位。

         11111111.11111111.11111111.00000000  

 

192.168.1.1           11000000.10101000.00000001.00000001

255.255.255.0         11111111.11111111.11111111.00000000

ARP协议(地址解析协议):   通过一种地址找到另一种地址

老化时间:180s

免费ARP

IPV6:128位二进制构成  冒分十六进制显示   

存在ABCDE五类 

ABC类为单播地址  D类为组播地址  E类为保留地址 

ABC类为单播地址:既可以作为源IP也可以作为目标IP  每一个单播地址都标识着一个唯一的节点  只有单播地址可以作为源IP地址

D类为组播地址----只能作为目标IP使用 

E类地址------

基于IP地址的第一组8位进行分类 

A类:1-126   前8位为网络位       

B类:128-191  前16位为网络位

C类:192-223  前24位为网络位

D类:224-239  部分网络位主机位

E类:240-255   

特殊地址:

一:127  环回地址   127.0.0.1----127.255.255.255  

二:255.255.255.255   受限广播地址  

三:主机位全0   不是单播地址  代表一个网段 

四:主机位全1   不是单播地址  直接广播地址 

五:0.0.0.0   代表没有地址,也代表所有地址 

六:169.254.0.0/16   本地链路地址 自动私有地址

主机位范围:主机位全0   到主机位全1  

VLSM  可边长子网掩码  ------子网划分  (借位) 

192.168.1.0/24-----192.168.1.255/24   256个主机数    128个

11000000.10101000.00000001.00000000 

192.168.1.0/25----192.168.1.127/25       128个 

11000000.10101000.00000001.10000000

192.168.1.128/25-------192.168.1.255/25    128个 

192.168.1.0/24  划分为4个子网 

11000000.10101000.00000001.00000000

192.168.1.0/26-----------192.168.1.63/26   64

11000000.10101000.00000001.01000000

192.168.1.64/26------192.168.1.127/26    64

11000000.10101000.00000001.10000000

192.168.1.128/26--------192.168.1.191/26

11000000.10101000.00000001.11000000

192.168.1.192/26-------192.168.1.255/26

172.16.0.0/15   划分为四个子网 

172.00010000.00000000.00000000

255.11111110.00000000.00000000

172.00010000.00000000.00000000

172.16.0.0/17------172.16.127.255/17

172.00010000.10000000.00000000

172.16.128.0/17------172.16.255.255/17

172.00010001.00000000.00000000

172.17.0.0/17-------172.17.127.255/17

172.00010001.10000000.00000000

172.17.128.0/17--------172.17.255.255/17   

无类域间路由----CIDR    子网汇总   取相同位 去不同位

192.168.0.0/24    11000000.10101000.00000000.00000000 

192.168.1.0/24    11000000.10101000.00000001.00000000

192.168.2.0/24    11000000.10101000.00000010.00000000

192.168.3.0/24    11000000.10101000.00000011.00000000

11000000.10101000.00000000.00000000  

192.168.0.0/22   

172.16.33.0/24

172.16.44.0/24

172.16.55.0/24

172.16.63.0/24     取相同位  去不同位 

172.16.00100001.0

172.16.00101100.0

172.16.00110111.0

172.16.00111111.0   172.16.32.0/19  

TCP/IP模型   

第二部分:

第三部分:

开启服务    创建地址池    调用全局服务

[R1]dhcp enable  开启DHCP服务

[R1]ip pool AA  创建地址池

[R1-ip-pool-AA]network 192.168.1.0  mask 24  写入网段

[R1-ip-pool-AA]gateway-list 192.168.1.1  写入网关

[R1-ip-pool-AA]dns-list 8.8.8.8  114.114.114.114  写入dns

[R1]interface g 0/0/0  进入网关处

[R1-GigabitEthernet0/0/0]dhcp select global  在该处调用DHCP全局服务

路由器与路由器之间的链路---骨干链路(总线链路),一般是不会放置PC端的

 路由器获取位置网段的方法:

静态路由-----尤网管手动添加的方式---手写的路由条目

动态路由-----所有路由器上运行相同的一种动态路由器协议,之后通过路由器之间的沟通 协商 最终计算生成的路由条目

全网通

[R7]ip route-static 192.168.3.0 24  192.168.2.2

[R8]ip route-static 192.168.1.0 24  192.168.2.1

Pre:优先级  0-255  ,数值越大,优先级越低。

 

ip route-static 192.168.1.0 24  192.168.2.1 preference

Undo 删除

[R14]display ip routing-table protocol static  查询由静态路由生成的路由表

 

静态路由选路原则:尽量选择最短路径的路由

拓展配置:

负载均衡:当路由器访问同一个目标且目标具有多条开销相似的路径时,可以让设备将流量拆分后延多条路径同时发送,以达到叠加带宽的作用。 

环回接口:路由器配置的一个虚拟接口,一般用于虚拟测试,不需要设备支持。

[R18]interface LoopBack 0  创建环回接口 编号为0

 

[R18]ping -a 192.168.1.1 192.168.2.1  指定192.168.1.1 ping 192.168.2.1

3.手工汇总:当路由器可以访问多个连续的子网时,若均通过相同的下一跳,则可以将这些网段进行汇总计算,之后仅编辑汇总过后的网段的静态路由,即可达到减少路由条目提高转发效率的目的。 

第四部分:

GE接口—千兆接口

ETH接口—百兆接口

—用户视图

display interface ?—可以帮助我们查看在这个位置我能敲的指令 查看接口详细信息

display ip interface brief —查看接口ip地址的一下情况(简略信息)

save The current configuration will be written to the device. Are you sure to continue? (y/n)[n]:y system-view —系统视图(全局视图)

[Huawei]sysname aa—设备改名称

[r1]interface GigabitEthernet 0/0/0—接口视图

TAB—快捷键(自动补全)

[r1-GigabitEthernet0/0/0]undo ip address —删除某条指令(在原指令之前+UNDO)

[r1-GigabitEthernet0/0/0]ip add 192.168.1.254 24——接口配置IP地址,支持简写

[r1-GigabitEthernet0/0/0]quit—回退 访问服务器的方式:

C:\Users\陈浚>ping www.baidu.com—通过域名进行访问

通过访问IP地址的方式进行访问

DNS_域名解析服务器—通过域名和IP地址进行绑定

telnet—远程登陆协议

Server—被登录的设备

client—想要进行远程登陆的设备

[r1]aaa—用来存在华为设备用户和密码的空间

[r1-aaa]local-user abc password cipher 123456—设置了一个本地用户和密码

[r1-aaa]local-user abc service-type telnet—选择服务类型,这里选择Telnet

ENSP的用法

2023年5月20日 14:09

[r1-aaa]local-user abc privilege level 0—赋予权限等级(登录的权限,数字越大,权 限越高)

[r1]user-interface vty 0 4—创建登录的端口,这里是虚拟端口,表示能够同时允许5

台设备同时登录。

[r1-ui-vty0-4]authentication-mode aaa —绑定aaa空间的用户和密码

第五部分:

Save 保存

缺省路由:一条不限定目标的路由条目,查表时,若本地路由条目均不匹配,则直接匹配缺省路由

 ip route-static 0.0.0.0 0 12.0.0.2

特征:一旦缺省路由与黑洞路由相遇,百分之百形成路由环路

空接口路由:在黑洞路由器上,配置一条达到汇总网段并指向空接口的路由

①空接口--null0,路由器的一个虚拟接口,如果一条路由被指向noll0接口,则代表将该流量丢弃

②路由表匹配原则:精确匹配原则/最长(掩码最长(网络位最多))匹配原则

浮动静态路由:  优先级--数值越大优先级越低

1,2

6个骨干链路

8个环回

192.168.1.0/24 一分二 192.168.1.0/25 192.168.1.128/25

192.168.1.0/25作为骨干链路 192.168.1.128/25环回路由

192.168.1.0 00000 00 192.168.1.0/30

192.168.1.0 00001 00 192.168.1.4/30

192.168.1.0 00010 00 192.168.1.8/30

192.168.1.0 00011 00 192.168.1.12/30

192.168.1.0 00100 00 192.168.1.16/30

192.168.1.0 00101 00 192.168.1.20/30

192.168.1.1 00 00000 192.168.1.128/27 r1的环回 192.168.1.128/28  192.168.1.144/28

192.168.1.1 01 00000 192.168.1.160/27

192.168.1.160/28  192.168.1.176/28

192.168.1.1 10 00000 192.168.1.192/27

192.168.1.192/28 192.168.1.208/28

192.168.1.1 11 00000 192.168.1.224/27

192.168.1.224/28 192.168.1.240/28

3,5

写缺省路由 ——一直向右去找r5

R1  ip route-static 0.0.0.0 0 192.168.1.2

      ip route-static 0.0.0.0 0 192.168.1.6

R2  ip route-static 0.0.0.0 0 192.168.1.10

R3  ip route-static 0.0.0.0 0 192.168.1.4

R4  ip route-static 0.0.0.0 0 192.168.1.8

      ip route-static 0.0.0.0 0 192.168.22 preference61

4

配缺省路由没有经过的-----汇总了一部分

     R2  ip route-static 192.168.1.128 27 192.168.1.1

           ip route-static 192.168.1.4 30 192.168.1.1

           ip route-static 192.168.1.192 27 192.168.1.10

           ip route-static 192.168.1.192 27 192.168.1.1

           ip route-static 192.168.1.12 30 192.168.1.10

    R3   ip route-static 192.168.1.0 30 192.168.1.5

           ip route-static 192.168.1.8 30 192.168.1.14

           ip route-static 192.168.1.128 27 192.168.1.5

           ip route-static 192.168.1.160 27 192.168.1.5

           ip route-static 192.168.1.160 27 192.168.1.14

    R4   ip route-static 192.168.1.0 30 192.168.1.9

           ip route-static 192.168.1.4 30 192.168.1.13

           ip route-static 192.168.1.160 27 192.168.1.9

           ip route-static 192.168.1.192 27 192.168.1.13

           ip route-static 192.168.1.128 27 192.168.1.9

           ip route-static 192.168.1.128 27 192.168.1.13

    R5   ip route-static 192.168.1.0 24 192.168.1.17

           ip route-static 192.168.1.0 24 192.168.1.21 preference 61

第六部分: 

OSPF: 开放式最短路径优先协议

无类别链路状态IGP

1.距离矢量性协议:运行距离矢量协议的路由器周期性的泛洪自己的路由表,通过路由的交互,每台路由器从相邻的路由器学习到路由,并且加载进自己的路由表中;对于网络中的所有路由而言,并不清楚网络的结构,只是简单的知道通往某个目的地有多远方向在哪儿,这既是距离矢量型协议的本质。

2.链路状态型协议:与距离矢量协议不同,链路状态型协议通告的是链路状态信息,而不是路由表。运行链路状态型协议的路由器之间会首先建立一个临时的邻居关系,然后彼此之间开始交互LSA(链路状态通告),路由器将收到的LSA信息存储与本地的LSDB(链路状态数据库)中,路由器通过同步后的LSDB便可以掌握全网的拓扑结构。最后,由本地算法计算出到达各个节点的最优路径,加载于本地路由表中。

支持等开销的负载均衡 --(不懂)

基于组播进行更新 224.0.0.5 224.0.0.6

支持触发更新;每30分钟周期更新一次 10s 一次的hello包

需要结构化的部署---区域划分(链路状态型协议的距离矢量性的特征) 地址规划

区域划分的规则:

1.星型结构   骨干区域为0区,大于0为非骨干区域,所有非骨干区域必须接入到骨干区域上

2.ABR---域间路由器  两个/多个区域互联时,必须存在 ABR---同时工作在两个/多个区域之间的路由器

Router-ID (路由器标识符),用于在一个ospf域中唯一的标识一台设备  RID的设定可以通过手工定义或系统自动生成的方式---(一定要手工配置),如果让系统自动生成---优先配置设备环回的最大数值,则使用物理接口的最大数值

使用cost值作为度量值   cost=参考带宽/接口带宽 默认参考带宽为100M;整段路径的cost值之合越小则越佳。若接口带宽大于参考带宽,则 度量值默认为1,所以在接口带宽大于参考带宽的网络中,可以人为的修改参考带宽。

一:ospf 的数据包类型

二:ospf的状态机

三:ospf

四:ospf的基础配置

第七部分:

 

ospf工作过程

启动配置完成后,本地组播224.0.0.5发送hello包

hello包将携带本地rid值,及本地已知所有邻居的rud值

若接受到来自对端的hello包中存在本端的rid则视为认识,邻居关系建立,并生成邻居表

邻居关系建立后,条件匹配,匹配失败则永远停留于邻居关系,仅hello包保活即可。

若条件匹配成功,则表明可以建立邻接关系

先试用不携带数据库目录的dd包进行主从选举,rid大者为优,优先共享数据库目录。

最后基于本地的lsdb查看对端的dd包得出自己所需的啦信息,通过lsr包去要流速包区给;sack包区确认,最后同步lsdb

之后本地启用spf算法,基于本地的lsdb生产有向图,在计算出最短路径树,在基于树形结构算出本地到达目标位置的最短路径随后加载于本地路由表中,

收敛完成后,hello包保活 每30min周期更新一次

30min的周期更新:每30min邻接关系之间进行dd包的对比,若一直则继续保活,若不一致则重新收敛。

ospf基础配置

例R1——

Ospf 1 router-id 1.1.1.1  创建ospf进程 进程号为1 RID为1.1.1 .1

Area 0 进入0区

Network 1.1.1.1 0.0.0.0  

Network 12.1.1.0 0.0.0.255

反掩码   192.168.1.128/25   255.255.255.128 255.255.255.255-255.255.255.128=0.0.0.127

 10.10.1.2 255.255.255.252 0.0.0.3

Display ospf peer brief 查看邻居表

Display ospf lsdb 查看数据库表Display ospf lsdb router 2.2.2.2

Bandwidth-reference  修改参考带宽

 

 

 

ospf的扩展配置

①从邻居关系建立成为邻接关系的条件

网络类型----

1.点到点的网络:在一个网段内仅支持存在两个节点

2.MA:多路访问---在一个网段内存在的节点不限

ospf在点到点的网络类型中所有邻居将直接成为邻接关系

在MA的网络类型中,若所有的设备间均为邻接关系将会产生大量的重复更新,故进行DR/BDR的选举,所有非DR/BDR设备之间将维持邻居关系。

选举规则:

①先比较参选设备的接口的优先级,默认1;范围0-255,数值大为优

②若参选接口的优先级相同,比较参选设备的RID,数值大为优。

DR/BDR是非抢占性的,故所需要网段内进行重新选举时,需要重启该网段内的所有参选设备的ospf进程;若参选接口优先级为0,默认放弃参选;一个网段至少

Reset ospf process 重启ospf进程

手工认证

Ospf authentication- mode md5 1 cipher 66666 认证模式和认证模式的编号和认证的密码

手工汇总---区域汇总;在ABR(域间路由器)上将A区域的路由汇总后共享到B区域

R2中

Ospf 1

Area 0

Abr-summary 1.1.0.0 255.255.252.0

 

沉默接口

Silent- interface g 0/0/1

加快收敛---修改计时器

修改一台设备的某个接口的hellotime后,该接口的deadtime将自动关闭匹配。  邻居间直连接口的hellotime和deadtime若不一致,将不能建立邻居关系。不建议修改的过小  不建议修改

G 0/0/0

Ospf timer hello  ?

缺省路由

R3中

Ospf 1

Default-route-advertise always 强制下发缺省路由

 

 

 

划分区域---

 拿设备中的id配

同下ospf dr-priority 0

0

R3   (不全)

 

 

 

ospf 1 router-id 192.168.1.65

Area 0

 

 

手工认证

R1,r2,r3同下r3和r4的

 

 

 

 

 

手工汇总

 

192.168.1.0/25             192.168.1.128/30

192.168.1.128/30(全0不能用) 192.168.1.129/30 192.168.1.130/30 192.168.1.131/30(全1不能用)

192.168.1.

192.168.1.0/26   192.168.1.64/26

VLAN:虚拟局域网-----交换机和路由器协同工作后,将原先的

LAN:局域网   MAN:城域网  WAN:广域网  

VLAN  lan=广播域

在同一个广播域之下,广播消息会传达给不应当收到消息的人

VID---VLAN ID 由12位二进制构成 范围0-4095 0和4095为保留值

将接口划入VLAN

一:基于端口的VLAN

二:基于MAC的VLAN

三:基于协议的VLAN

Display Mac-address  --- 查Mac地址表

配完以后变成两个广播域‘所以要分两个网段

Arp-a

Interface g 0/0/0.1 进入g0/0/0这个物理接口的子接口

Ip address---

Dot1q termination vid 2 ---

Arp broadcast enable ----

第八部分:

写静态时,两个路由器都要写

ACL

R2中

Acl  2000

Rule deny source 192.1668.1.2 0.0.0.0

 

 

通配符 0代表没有变化 1代表有一种变化 符合要求的通过 不匹配的不通过

 

 

 

 

Telent

 

 

 

ACL不会-----

 

 

 

ACL:访问控制列表 

1访问控制----在路由器的入或者出的接口上,匹配流量,之后产生动作---允许或拒绝  

定义感兴趣流量-----帮助其他软件抓流量 

匹配规则:

至上而下,逐一匹配,上调匹配按照上条执行,不在查看下条。在华为体系中末尾隐含允许所有,在思科体系中,末尾隐含拒绝所有。

分类:

标准---仅关注数据包中的源IP地址

扩展---关注数据包中的源 目标IP地址  协议号 端口号

标准ACL中,由于标准ACL仅关注数据包中的源IP地址,故越靠近目标越好,可以尽可能的避免误杀。

2000-2999  标准           3000-3999 扩展 

注意:一个编码是一张规则,一张规则可以容纳大量具体的规则

 [R2]acl 2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

ACL在地址匹配时,会使用通配符

255.255.255.0   0.0.0.255     他可以进行0 1 的穿插

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上调用acl2000 

[R2-acl-basic-2000]rule permit source any   规定 允许  所有IP通过  

[R2]ACL name classroomA

扩展ACL

关注数据包中的源IP以及目标IP

由于扩展ACL可以对数据流量进行精确分析,故越靠近源越好。

[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2  0.0.0.0 

在关注源/目标IP地址的同时,在关注目标端口号

Telnet---远程登录   基于TCP23号端口工作 

条件:1.登录设备与被登陆设备之间必须可达

被登陆设备必须开启telnet设定

[R2]aaa 进入aaa服务

[R2-aaa]local-user ABC privilege level 15 password cipher 123456

[R2-aaa]local-user ABC service-type telnet 

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode aaa

[R1-acl-adv-3000]rule  deny tcp source 192.168.4.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

规定  拒绝 tcp行为中的  源192.168.4.1 向目标 192.168.2.2 的 端口号为23的行为 

[R1-acl-adv-3000]rule 7 deny icmp source 192.168.4.1 0.0.0.0 destination 192.168.3.1 0.0.0.0

规则7 拒绝 源IP 192.168.4.1 向 目标IP 192.168.3.1 的ICMP行为  

 

 

 

 

 

PC1,R2

 

 

 

 

ACL:访问控制列表 

1访问控制----在路由器的入或者出的接口上,匹配流量,之后产生动作---允许或拒绝  

定义感兴趣流量-----帮助其他软件抓流量 

匹配规则:

至上而下,逐一匹配,上调匹配按照上条执行,不在查看下条。在华为体系中末尾隐含允许所有,在思科体系中,末尾隐含拒绝所有。

分类:

标准---仅关注数据包中的源IP地址

扩展---关注数据包中的源 目标IP地址  协议号 端口号

标准ACL中,由于标准ACL仅关注数据包中的源IP地址,故越靠近目标越好,可以尽可能的避免误杀。

2000-2999  标准           3000-3999 扩展 

注意:一个编码是一张规则,一张规则可以容纳大量具体的规则

 [R2]acl 2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

ACL在地址匹配时,会使用通配符

255.255.255.0   0.0.0.255     他可以进行0 1 的穿插

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上调用acl2000 

[R2-acl-basic-2000]rule permit source any   规定 允许  所有IP通过  

[R2]ACL name classroomA

扩展ACL

关注数据包中的源IP以及目标IP

由于扩展ACL可以对数据流量进行精确分析,故越靠近源越好。

[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2  0.0.0.0 

在关注源/目标IP地址的同时,在关注目标端口号

Telnet---远程登录   基于TCP23号端口工作 

条件:1.登录设备与被登陆设备之间必须可达

被登陆设备必须开启telnet设定

[R2]aaa 进入aaa服务

[R2-aaa]local-user ABC privilege level 15 password cipher 123456

[R2-aaa]local-user ABC service-type telnet 

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode aaa

[R1-acl-adv-3000]rule  deny tcp source 192.168.4.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

规定  拒绝 tcp行为中的  源192.168.4.1 向目标 192.168.2.2 的 端口号为23的行为 

[R1-acl-adv-3000]rule 7 deny icmp source 192.168.4.1 0.0.0.0 destination 192.168.3.1 0.0.0.0

规则7 拒绝 源IP 192.168.4.1 向 目标IP 192.168.3.1 的ICMP行为  

一个接口的入或者出方向上  只能调用一张acl表格

NAT:网络地址转换 

公有IP和私有IP的区别

公有IP----全球唯一  可以你在互联网中通信  付费使用

私有IP----本地唯一  不能在互联网中通信  免费试用

A类:10.0.0.0---10.255.255.255 

B类:172.16.0.0------172.31.255.255

C类:192.168.0.0-----192.168.255.255    

NAT-----网络地址转换,在边界路由器上,进行公有地址和私有地址间的转化 

NAT的分类: 静态NAT  动态NAT  NAPT  端口映射

在华为设备中 NAT的全部配置 一定是在边界路由器的出的接口方向上。

 静态NAT:

我们在私网的边界路由器上建立并维护一张静态地址表,静态地址表映射了公有地址和私有地址间 一一对应的关系

[R2-GigabitEthernet0/0/1]nat static global 12.1.1.1 inside 192.168.1.2    

[R2]display  nat static  查询nat映射关系 

动态NAT

静态NAT和动态NAT最大的区别在于---地址映射表的内容是可变化的,而不是写死的,所以动态NAT不在意一对一的关系,而是实现多对多的转化。

使用端口进行分辨 转化的形式----NAPT(端口地址转化)也叫PAT   

为解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题,在边界路由器上维护一张源端口号和私网IP地址的映射关系表,因为端口号的取值范围是1-65535,故有65535个,所以NAPT同时支持通过的数据包的最大量即为65535个,这就形成了一对多的动态NAT,华为中称这种NAPT为EASY IP。 当上网需求非常大时,一个公网IP可能不够用,我们也可以同时使用多个公网IP,这样就能形成65535的倍数增长,形成多对多的NAPT。

一对多

[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

[R2-GigabitEthernet0/0/1]nat outbound 2000

多对多

创建公网地址池

[R2]nat address-group 1 12.1.1.2  12.1.1.10

其中包含  12.1.1.12------12.1.1.10 

注意:1.必须是公网  2.必须是连续的IP 

[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

在该接口上  将acl2000定义的感兴趣流量 交给公网地址池 1 进行NAT转化

No-pat   添加则代表为静态多对多  不添加则是动态多对多 

静态多对多:多个一对一

动态多对多:多个一对多

端口映射

[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.2.10  80

[R2-GigabitEthernet0/0/1]nat  server  protocol tcp global current-interface 8080  inside 192.168.2.20 80

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2230804.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

html简易流程图

效果图 使用htmlcssjs&#xff0c;无图片&#xff0c;没用Canvas demo: <!DOCTYPE html> <html> <head><link href"draw.css" rel"stylesheet" /><script src"draw.js" type"text/javascript"></…

新手BUG:在声明了返回值的函数中不写返回值

本文对两个分别以int和string为返回值类型的函数进行分析&#xff0c;说明了在有返回值的函数中不写返回值会产生的问题。然后给出在编译阶段检查出这样的问题的办法。 一、背景 在软件测试环节发现&#xff0c;函数会在返回之前coredump。经过排查发现&#xff0c;在这个会…

单个相机矫正畸变

1、通过标定助手获取到内参外参&#xff0c;外参在此无效&#xff0c;只用到了内参 2、然后通过halcon算子进行矫正 参考&#xff1a;超人视觉

【骑士放置——最大独立集】

题目 思路 最大独立集n-最小点覆盖n-最大边匹配 代码 #include <bits/stdc.h> using namespace std; #define x first #define y second typedef pair<int, int> PII; const int N 110; int dx[8] {-2, -1, 1, 2, 2, 1, -1, -2}; int dy[8] {1, 2, 2, 1, -1, …

【每日题解】3226. 使两个整数相等的位更改次数

给你两个正整数 n 和 k。 你可以选择 n 的 二进制表示 中任意一个值为 1 的位&#xff0c;并将其改为 0。 返回使得 n 等于 k 所需要的更改次数。如果无法实现&#xff0c;返回 -1。 示例 1&#xff1a; 输入&#xff1a; n 13, k 4 输出&#xff1a; 2 解释&#xff1a…

使用Docker Swarm进行集群管理

&#x1f493; 博客主页&#xff1a;瑕疵的CSDN主页 &#x1f4dd; Gitee主页&#xff1a;瑕疵的gitee主页 ⏩ 文章专栏&#xff1a;《热点资讯》 使用Docker Swarm进行集群管理 引言 Docker Swarm 简介 安装 Docker Ubuntu CentOS 初始化 Swarm 集群 加入 Worker 节点 验证集…

SPA和SSR

单页面应用程序(SPA) 单页面应用(SPA)全称是:Single-page application, SPA应用是在客户端呈现的(术语称:CRS)。 SPA应用默认只返回一个空HTML页面&#xff0c;如:body只有<div id"app"></div>而整个应用程序的内容都是通过JavaScript动态加载&#xf…

初始JavaEE篇——多线程(4):wait、notify,饿汉模式,懒汉模式,指令重排序

找往期文章包括但不限于本期文章中不懂的知识点&#xff1a; 个人主页&#xff1a;我要学编程(ಥ_ಥ)-CSDN博客 所属专栏&#xff1a;JavaEE 目录 wait、notify 方法 多线程练习 单例模式 饿汉模式 懒汉模式 指令重排序 wait、notify 方法 wait 和 我们前面学习的sleep…

MySQL-基础汇总

MySQL-基础汇总 数据库对于任何一个从事后台开发的人说都是永远躲不掉的&#xff0c;任何系统或程序离开了数据的支持都变的毫无意义。而管理数据的工具——数据库就显得尤为重要。本章节我们的核心就是 MySQL&#xff0c;相信很多小伙伴跟我一样&#xff0c;也沉浸在增、删、…

【AD】1-2 AD24软件的中英文版本切换

1.如图设置软件后&#xff0c;关闭软件重新打开。如果想要切换回英文&#xff0c;将③勾选去掉&#xff0c;关闭软件重新在打开即可。

CSS、Less、Scss

CSS、Less和SCSS都是用于描述网页外观的样式表语言&#xff0c;但它们各自具有不同的特点和功能。以下是对这三者的详细阐述及区别对比&#xff1a; 详细阐述 CSS&#xff08;Cascading Style Sheets&#xff09; 定义&#xff1a;CSS是一种用来表现HTML或XML等文件样式的计算机…

【Python项目管理】“无法创建虚拟环境”报错原因及解决方法

一、问题说明 笔者最近在做一个python项目&#xff08;使用pycharm IDE&#xff09;&#xff0c;在添加python解释器时&#xff0c;提示无法创建虚拟环境&#xff08;Unable to create virtual environment&#xff09;&#xff0c;如下2图所示&#xff1a; 【添加python解释…

【实践】某央企研究院如何打造IT监控告警平台?

01客户简介&#xff1a; 案例客户为某央企下属研究院。 02痛点分析&#xff1a; 随着信创国产化持续推进&#xff0c;案例客户已完成部分IT核心系统的替代&#xff0c;部署了一系列国产软硬件设施&#xff0c;如Kylinv10操作系统、融智通网络设备等。由于信创生态不够成熟&a…

qt QBrush详解

1、概述 QBrush是Qt框架中的一个基本图形对象类&#xff0c;它主要用于定义图形的填充模式。QBrush可以用于填充如矩形、椭圆形、多边形等形状&#xff0c;也可以用于绘制背景等。通过QBrush&#xff0c;可以设置填充的颜色、样式&#xff08;如实心、渐变、纹理等&#xff09…

0-1规划的求解

实验类型&#xff1a;◆验证性实验 ◇综合性实验 ◇设计性实验 实验目的&#xff1a;学会使用Matlab编程实现求解0-1规划。 实验内容&#xff1a;1.学习使用Matlab定义子函数的命令function&#xff1b; 2.编程求解0-1型整数规划的枚举法或隐枚举法。 例1&#xff1a;求…

禾川HCQ1控制器程序编译报错如何解决

1、第一次打开用户程序 2、提示库未安装 3、安装库文件 4、脉冲轴库未安装 5、没有错误 去禾川自动化官网,把可以安装的包和库都安装下,程序编译就没有错误了。 6、下载相关包文件

C++进阶-->AVL树的实现

1. AVL树的介绍 1、AVL树的名字来源于他的发明者G. M. Adelson-Velsky和E. M. Landis两个前苏联的科学家&#xff0c;他们名字首元素组成。 2、AVL树就是我们前面二叉搜索树实现的时候提到的平衡二叉搜索树即二叉搜索树的左右孩子都是AVL树&#xff0c;即左右子树的高度差的绝…

【网络安全】|nessus使用

1、扫描结果分析&#xff1a; Sev&#xff1a;漏洞的严重性级别 CVSS&#xff1a;量化漏洞严重性的标准&#xff0c;通过计算得出一个分数&#xff0c;分数越高表示漏洞越严重。 VPR&#xff1a;基于风险的评分系统&#xff0c;帮助组织优先处理风险最高的漏洞。 EPSS&#xf…

P2-5【C语言基本数据类型、运算符和表达式】第五节-知识要点:格式输出函数printf()

讲解视频&#xff1a; P2-5【C语言基本数据类型、运算符和表达式】第五节-知识要点&#xff1a;格式输出函数printf() 知识要点&#xff1a;格式输出函数printf()。 一、任务分析 已知三角形三边a&#xff0c;b&#xff0c;c的值&#xff0c;求三角形的面积。要求输出a&#…

RFID资产管理

随着物联网和智能制造的发展&#xff0c;RFID资产管理逐渐成为企业提升运营效率的重要工具。利用RFID技术&#xff0c;企业能够实时跟踪和管理各种固定资产&#xff0c;从而提高资产利用率&#xff0c;降低运营成本。在现代化的管理体系中&#xff0c;RFID资产管理不仅限于资产…