大家好，我是讯享网，很高兴认识大家。



应用层：人机交互   抽象语言——–编码 

表示层：编码——二进制 

会话层：提供会话号

传输层：TCP/UDP  分段（收到MTU值的限制） MTU：最大传输单元，默认1500字节    提供端口号  0-65535   1-1023注明端口  1024-65535动态端口/高端口

网络层：IP    IP地址—-逻辑地址 

数据链路层：介质访问控制层MAC+逻辑链路层LLC

物理层：为数据端设备提供传送数据通路，传输数据

人类最早的网络——-对等网 

距离延长        RJ-45双绞线    100M 

中继器——–物理增压   存在问题：波形失帧

节点增加 

直线型拓扑（总线型拓扑）  

讯享网

环形拓扑 

树状拓扑  

      

波环型拓扑  全网状拓扑

星型拓扑

 

节点增加设备——-HUB集线器   ——安全   延时   地址    冲突   

 物理地址/MAC地址：48位二进制构成以16进制显示  出厂即烧录  全球唯一

冲突问题：相似电流互相吸引碰撞随后抵消 

解决方案：CSMA/CD  载波侦听多路访问/冲突监测机制       排队 

机制解析：

1. 首先使用监听功能，当发现有消息在传播时，停止自身消息发送，进行监听排队，随时准备进入下一阶段。
2. 当监听的消息发送完成时，立刻发送自身消息。
3. 当消息相撞时，会彼此之间发送一个随机的阈值，因为是随机发送所以一定存在大小之分，到达阈值时再次发送自身消息，这样就规避了冲突。

再次提高要求：

1. 无限的传输距离  
2. 没有冲突 
3. 形成单播       

广播———广播域     广播域=泛洪区域   

网桥————交换机—–工作在介质访问控制层  

速率公式：约等于（带宽/8）85%  

交换机的工作原理：

1. 当数据帧进入交换机之后，交换机会先查看数据中的源MAC地址，之后将该数据的进入接口与该MAC地址相互映射到本地的MAC地址表中；在查看数据帧中的目标MAC地址，基于目标MAC地址查询本地MAC地址表，若存在记录则按照记录进行单播。
2. 若不存在记录，则直接洪泛（泛洪）该数据  

泛洪：向除了进入接口以外的所有接口全部发送  

MAC地址表的老化时间：300s   

对等网—–变大—-无限的传输距离   无冲突  单播  =网桥—交换机–工作于介质访问控制层—-二层设备  认识MAC地址  —-认识则单播  不认识则泛洪       泛洪范围越大   延时越高  —-于是生产了一台设备—-路由器—网络层—IP地址   ARP协议（广播） 广播域=泛洪区域 

广播：在一个泛洪区域内 迫使交换机将一个数据进行泛洪  

CISC思科 

IPV4  ：32位二进制构成，以点分十进制标识。 存在网络位和主机位的区分，网络位用于标定所在范围，主机位用于显示在范围内的身份。 为了方便人看，故采取8位一分的方式。  

子网掩码：必须是连续的1根连续的0构成，连续的1对应网络位，连续的0对应主机位。

         ...00000000  

ARP协议（地址解析协议）：   通过一种地址找到另一种地址

老化时间：180s

免费ARP

IPV6：128位二进制构成  冒分十六进制显示   

存在ABCDE五类 

ABC类为单播地址  D类为组播地址  E类为保留地址 

ABC类为单播地址：既可以作为源IP也可以作为目标IP  每一个单播地址都标识着一个唯一的节点  只有单播地址可以作为源IP地址

D类为组播地址—-只能作为目标IP使用 

E类地址——

基于IP地址的第一组8位进行分类 

A类：1-126   前8位为网络位       

B类：128-191  前16位为网络位

C类：192-223  前24位为网络位

D类：224-239  部分网络位主机位

E类：240-255   

特殊地址：

一：127  环回地址   127.0.0.1—-127.255.255.255  

二：255.255.255.255   受限广播地址  

三：主机位全0   不是单播地址  代表一个网段 

四：主机位全1   不是单播地址  直接广播地址 

五：0.0.0.0   代表没有地址，也代表所有地址 

六：169.254.0.0/16   本地链路地址 自动私有地址

主机位范围：主机位全0   到主机位全1  

VLSM  可边长子网掩码  ——子网划分  （借位） 

192.168.1.0/24—–192.168.1.255/24   256个主机数    128个

..00000001.00000000 

192.168.1.0/25—-192.168.1.127/25       128个 

..00000001.10000000

192.168.1.¹²⁸⁄₂₅——-192.168.1.255/25    128个 

192.168.1.0/24  划分为4个子网 

..00000001.00000000

192.168.1.0/26———–192.168.1.63/26   64

..00000001.01000000

192.168.1.⁶⁴⁄₂₆——192.168.1.127/26    64

..00000001.10000000

192.168.1.¹²⁸⁄₂₆——–192.168.1.¹⁹¹⁄₂₆

..00000001.11000000

192.168.1.¹⁹²⁄₂₆——-192.168.1.²⁵⁵⁄₂₆

172.16.0.0/15   划分为四个子网 

172.00010000.00000000.00000000

255..00000000.00000000

172.00010000.00000000.00000000

172.16.0.0/17——172.16.127.²⁵⁵⁄₁₇

172.00010000.10000000.00000000

172.16.128.0/17——172.16.255.²⁵⁵⁄₁₇

172.00010001.00000000.00000000

172.17.0.0/17——-172.17.127.²⁵⁵⁄₁₇

172.00010001.10000000.00000000

172.17.128.0/17——–172.17.255.255/17   

无类域间路由—-CIDR    子网汇总   取相同位 去不同位

192.168.0.0/24    ..00000000.00000000 

192.168.1.0/24    ..00000001.00000000

192.168.2.0/24    ..00000010.00000000

192.168.3.0/24    ..00000011.00000000

..00000000.00000000  

192.168.0.0/22   

172.16.33.0/24

172.16.44.0/24

172.16.55.0/24

172.16.63.0/24     取相同位  去不同位 

172.16.00100001.0

172.16.00101100.0

172.16.00110111.0

172.16.00111111.0   172.16.32.0/19  

TCP/IP模型   

路由器的工作原理：

1.若PC1试图ping通PC2，在已知IP地址的情况下，会优先进行子网掩码的判断，若在同一个广播域内，则广播发送一个ARP请求包，获取对方的MAC地址，随后则可以进行单播通讯，若获取不到则放弃通讯。

2.若PC1试图ping通PC3，在已知IP地址的情况下，会优先进行子网掩码的判断，若不在同一个广播域，则封装目标MAC地址为自己的网关，发送至网关处，随后路由器根据目标IP查询本地路由表，若不存在记录则直接丢弃该数据包，若存在记录，则按照记录发送至该网段的网关处， 随后，网关通过ARP找到目标的MAC地址，随后单播即可。

数据链路层：介质访问控制层MAC+逻辑链路层LLC  

会话层：

传输层： TCP/UDP    分段  提供端口号 

MTU（最大传输单元）：默认1500字节 

0-65535   0-1023注明端口  1024-65535高端口

TCP/IP协议簇 

PDU协议数据单元

应用层：数据报文

传输层：数据段

网络层：数据包

数据链路层：数据帧

物理层：比特流

TTL值：生存周期

最大255  推荐64    常见128  

以太网Ⅱ型帧  

封装与解封装

HTTP—TCP80端口—–超文本传输协议—-提供网页浏览

HTTPS—TCP443端口—-安全传输协议—–给网页加密

FTP—TCP20/21端口—–文件传输协议  

TFTP—-UDP69—简单文件传输协议 

Telnet—TCP23—-远程登录协议 

SSH—-TCP—22  —网络服务协议

DNS—UDP/TCP  53—-域名解析协议  

DHCP—–UDP67/68——动态主机配置协议  

传输层协议：TCP   UDP

TCP—-传输控制协议—–面向连接的可靠协议 

在完成传输层的基本工作的同时还需要保证数据的完整性和可靠性

面向连接——三次握手及四次挥手 

建立一个端到端的虚链路 

SYN：发起一次链接，并告知自身状态 

ACK：表示确认   FIN：断开连接  特殊情况： RST：重连     TCP 严重错误且重连    PSH：加急接收   URG：紧急指针 

可靠性—4种可靠性机制——确认  重传  排序  流控（窗口滑动机制）

UDP—–用户数据报文协议—-非面向连接的不可靠协议 

仅完成传输的基本工作—-分段   端口号

TCP的分段和IP的分片 

IP的分片：受到MTU值的限制

MSS值

<Huawei>   用户视图   仅具有查询权限 

<Huawei>system-view     进入系统视图 

[Huawei]  系统视图  可以进行部分的命令配置 

Ctrl+Z   直接跳回用户视图 

[Huawei]quit  返回上一层

[Huawei]sysname  起名 

？=查询后续可接上的命令   tab=根据已知命令自动补全后续命令 

[R1]display interface brief  查询接口的配置

[R1]display ip interface  brief  查询接口的IP配置 

[R1]interface GigabitEthernet  0/0/0       进入G0/0/0接口 

[R1-GigabitEthernet0/0/0]ip address 192.168.1.1 24    配置IP地址为192.168.1.¹⁄₂₄

display this   查询当前视图下的所有配置

Undo 删除———

1.在什么视图下敲错的命令，则在什么视图下去删除

2.在敲错的命令前+undo  即可达到删除效果 

<R1>save  保存 

DNS：域名解析协议

DNS协议是运行与UDP协议之上（TCP也存在），使用端口号为53。

正向解析：根据主机域名查找相应的IP地址

反向解析：根据IP地址查找相应的主机域名 

是一个典型的C/S（client/server）结构  ——DNS客户端

                                   ——DNS服务器  

DHCP—动态主机配置协议 —-UDP协议的67/68号端口 

典型的C/S结构——–DHCP客户端——索要IP地址

                   DHCP服务器——发放IP地址

DHCP客户端初次申请IP地址：

①DHCP客户端向DHCP服务器去要IP地址，广播， 源IP ：0.0.0.0

源MAC：自己   目标IP：255.255.255.255  目标MAC：全F 

DHCP—-discover包 

②DHCP服务器向DHCP客户端去回复，DHCP-offer包，单播/广播

Offer包中存在一个临时有效的IP地址 

③DHCP客户端向DHCP服务器发送一个DHCP–request包，广播，“我确定使用该IP”

④DHCP服务器向DHCP客户端发送一个DHCP-ACK包，确认收到  单播/广播 

再次获取：

DHCP客户端向DHCP服务器发送一个DHCP–request包，我还想请求之前下发的IP地址 

1.DHCP服务器依旧保有之前的IP地址，则直接发送DHCP-ACK包表示确认。

2.DHCP服务器已经将请求的IP地址发放给了其他设备，则将发送一个DHCP—NAK包 ，表示拒绝该请求。

开启DHCP服务    创建地址池    调用全局服务

[R1]dhcp enable  开启DHCP服务

[R1]ip pool AA  创建地址池

[R1-ip-pool-AA]network 192.168.1.0  mask 24  写入网段

[R1-ip-pool-AA]gateway-list 192.168.1.1  写入网关

[R1-ip-pool-AA]dns-list 8.8.8.8  114.114.114.114  写入dns

[R1]interface g 0/0/0  进入网关处

[R1-GigabitEthernet0/0/0]dhcp select global  在该处调用DHCP全局服务

路由器与路由器之间的链路—骨干链路（总线链路），一般是不会放置PC端的

 路由器获取位置网段的方法：

1. 静态路由—–尤网管手动添加的方式—手写的路由条目
2. 动态路由—–所有路由器上运行相同的一种动态路由器协议，之后通过路由器之间的沟通 协商 最终计算生成的路由条目

[R7]ip route-static 192.168.3.0 24  192.168.2.2

[R8]ip route-static 192.168.1.0 24  192.168.2.1

Pre：优先级  0-255  ，数值越大，优先级越低。

[R14]display ip routing-table protocol static  查询由静态路由生成的路由表

静态路由选路原则：尽量选择最短路径的路由

拓展配置：

1. 负载均衡：当路由器访问同一个目标且目标具有多条开销相似的路径时，可以让设备将流量拆分后延多条路径同时发送，以达到叠加带宽的作用。 
2. 环回接口：路由器配置的一个虚拟接口，一般用于虚拟测试，不需要设备支持。

[R18]interface LoopBack 0  创建环回接口 编号为0

[R18]ping -a 192.168.1.1 192.168.2.1  指定192.168.1.1 ping 192.168.2.1

3.手工汇总：当路由器可以访问多个连续的子网时，若均通过相同的下一跳，则可以将这些网段进行汇总计算，之后仅编辑汇总过后的网段的静态路由，即可达到减少路由条目提高转发效率的目的。 

RIP：路由信息协议   使用跳数作为开销，存在周期更新和触发更新 基于UDP520端口工作  存在V1 V2 NG三个版本 

周期更新的意义：

1. 保活（每30s触发一次，一共触发6次）
2. 没有确认机制 

RIP的破环机制

1. 水平分割——从此口入不从此口出（仅能够从直线型拓扑中避免环路，其主要作用是控制重复更新）
2. 最大跳数  15跳   
3. 触发更新：毒性逆转水平分割     
4. 抑制计时器   

[R1]rip 1  启动时需要定义进程号  仅具有本地意义

[R1-rip-1]version 1  选择V1版本 

宣告：rip只能进行主类的宣告   宣告基于主类网段 找到属于该网段的接口   

1.激活接口—收发rip信息  

2.该接口的信息可以共享给邻居  

[R1-rip-1]network 1.0.0.0

[R1-rip-1]network 12.0.0.0

[R1]rip 1

[R1-rip-1]version 2

[R1-rip-1]undo summary  关闭自动汇总

• RIP的扩展配置

1. RIP V2的手工汇总

手工汇总—在更新的源头设备，所有更新出发的接口上进行汇总配置即可  

[R1]interface g 0/0/0  从哪儿发出 从哪儿汇总

[R1-GigabitEthernet0/0/0]rip summary-address 1.1.0.0 255.255.252.0  在该接口上 进行关于rip的手工汇总 

1. RIP V2的手工认证：在两台运行RIP协议的路由器间进行配置，让两台邻居设备发出的数据中携带身份核实的密钥，也可同时对传输的数据进行加密 

[R1]interface g 0/0/0  必须在和邻居相连的接口上

[R1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher   在该接口上进行关于的手工认证 认证模式为md5   密码为

1. 被动接口—仅接收不发送路由协议信息，仅限连接用户PC的端口使用，不得用于路由器之间，否则将导致无法正常使用。

[R1-rip-1]silent-interface GigabitEthernet 0/0/1 在RIP1的进程中设定沉默接口为g0/0/1

1. 加快收敛 

30s 更新      180s 失效   180s 抑制      300s刷新 

①认为修改计时器可以一定程度上加快收敛速度  ，但是不易修改过小，建议不修改

②尽量维持原有的倍数关系 

③一旦修改计时器全网设备均需修改  

[R1-rip-1]timers rip 30  180  300   

1. 缺省路由—在边界路由器上，进行RIP的缺省配置后，该设备将向内部运行的所有设备发送一条指向该设备的缺省更新，使得内部所有运行RIP协议的设备自动生成缺省路由，下一跳均指向边界路由器。边界路由器自身通往外网的路径依旧需要管理员通过静态路由手工定义。

[R3-rip-1]default-route originate   在边界路由器上下发缺省路由

   

OSPF：开方式最短路径优先协议 

无类别链路状态IGP 

1.距离矢量型协议：运行距离矢量型协议的路由器周期性的泛洪自己的路由表，通过路由的交互，每台路由器从相邻的路由器学习到路由，并且加载进自己的路由表中；对于网路中的所有路由器而言，并不清楚网络的结构，只是简单的知道通完某个目的地有多远方向在哪儿，这既是距离矢量型协议的本质。

2.链路状态型协议：与距离矢量型协议不同，链路状态型协议通告的是链路状态信息，而不是路由表。运行链路状态协议的路由器之间会首先建立一个临时的邻居关系，然后彼此之间开始交互LSA（链路状态通告），路由器将收到的LSA信息存储与本地的LSDB（链路状态数据库）中，路由器通过同步后的LSDB便可以掌握全网的拓扑结构。最后，由本地算法计算出到达各个节点的最优路径，加载于本地路由表中。

支持等开销的负载均衡 

基于组播进行更新  224.0.0.5  224.0.0.6 

支持触发更新；每30min周期更新一次   10s hello包

需要结构化的部署—区域划分 地址规划  

区域划分的规则：

1. 星型结构    骨干区域为0区，大于0为非骨干区域 ，所有非骨干区域必须接入到骨干区域上
2. ABR—域间路由器  两个/多个区域互联时，必须存在ABR—同时工作在两个/多个区域之间的路由器 

Router-ID （路由器标识符），用于在一个ospf域中唯一的标识一台设备   RID的设定可以通过手工定义或系统自动生成的方式—–（一定要手工配置），如果让系统自动生成—-优先配置设备环回的最大数值，则使用物理接口最大数值  

使用cost值作为度量值   cost=参考带宽/接口带宽  默认参考带宽为100M；整段路径的cost值之合越小则越佳。

若接口带宽大于参考带宽，则度量值默认为1，所以在接口带宽大于参考带宽的网络中，可以认为的修改参考带宽。

一：OSPF的数据包类型

二：OSPF的状态机

三：OSPF的工作过程

四：OSPF的基础配置

五：OSPF的扩展配置  

一：OSPF的数据包类型

1. hello包  用于邻居间的发现 关系建立和周期保活 
2. DBD/DD包  数据库描述包  用于携带本地的数据库目录
3. LSR包  链路状态请求包  查看完对端的DBD包后，基于本地的LSDB去向对端索要自己没有的LSA信息
4. LSU包   链路状态更新包   携带各种LSA信息
5. LSACK包  链路状态确认包  用于确认收到  

二：OSPF的状态机

Down状态：表示未被激活的状态，一旦本地发出hello包则进入下一个状态机。一旦接收到hello包也会从  DOWN进入下一个状态机

Init状态：表示初始化的状态，

2-Way：可以进行双向通讯，表示建立了邻居关系 

条件匹配：

EXsatart：预启动 使用未携带数据库目录的DD包进行主从选举，RID数值大者为优，优先进入下一个状态机

EXchange：准交换，携带具体数据库目录的DD包进行目录交换，需要ACK确认。

Loading状态：加载  通过LSR  LSU  LSACK 进行LSA的更新

Full状态：转发  邻接关系的建立

三：OSPF的工作过程 

启动配置完成后，本地组播224.0.0.5发送hello包

Hello包将携带本地RID值，及本地已知所有邻居的RID值

若接收到来自对端的HELLO包中存在本端的RID则视为认识，邻居关系建立，并生成邻居表

邻居关系建立后，条件匹配，匹配失败则永远停留于邻居关系，仅hello包保活即可。

若条件匹配成功，则表明可以建立邻接关系

先试用不携带数据库目录的DD包进行主从选举，RID大者为优，优先共享数据库目录。

最后基于本地的LSDB查看对端的DD包得出自己所需的LSA信息，通过LSR包去要 LSU包区给 LSACK包区确认，最终同步LSDB

之后本地启用SPF算法，基于本地的LSDB生成有向图，在计算出最短路径树，在基于树形结构算出本地到达目标位置的最短路径随后加载于本地路由表中，

收敛完成后，HELLO包周期保活 每30min周期更新一次

30min的周期更新：每30min邻接关系之间进行DD包的对比，若一直则继续保活，若不一致则重新收敛。

Hello time 10s  dead time 40s  时间到了就会删除邻居信息 

OSPF的基础配置 

[R1]ospf 1 router-id 1.1.1.1   创建ospf进程 进程号为1  RID为1.1.1.1

[R1-ospf-1]area 0 进入0区 

[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

[R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255

反掩码    

[R2]display  ospf peer brief   查看邻居表

[R2]display  ospf lsdb   查看数据库表 

注意：一旦修改参考带宽，全网设备均需修改

Ospf的扩展配置 

①从邻居关系建立成为邻接关系的条件 

网络类型 —-

1. 点到点的网络：在一个网段内仅支持存在两个节点 
2. MA：多路访问—在一个网段内支持存在的节点不限

OSPF在点到点的网络类型中所有邻居将直接成为邻接关系

在MA的网络类型中，若所有的设备间均为邻接关系将会产生大量的重复更新，故进行DR/BDR的选举，所有非DR/BDR设备之间将维持邻居关系。

选举规则：

①先比较参选设备的接口的优先级，默认1；范围0-255，数值大为优 

②若参选接口的优先级相同，比较参选设备的RID，数值大为优。

DR/BDR是非抢占性的，故所需要网段内进行重新选举，需要重启该网段内的所有参选设备的OSPF进程；若参选接口优先级为0，则默认放弃参选，一个网段内至少需要存在一台DR设备。

<R1>reset ospf process  重启ospf进程 

手工认证

[R2-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher                                   模式  编号      密码  

手工汇总——区域汇总；在ABR（域间路由器）上将A区域的路由汇总后共享到B区域。

  [R2-ospf-1-area-0.0.0.0]abr-summary 1.1.0.0 255.255.252.0

被动接口—沉默借口

[R1-ospf-1]silent-interface  g 0/0/1 

加快收敛—-修改计时器

修改一台设备的某个接口的hellotime后，该接口的deadtime将自动关闭匹配。  邻居间直连接口的hellotime和deadtime拖不一致，将不能建立邻居关系。 不建议修改的过小  不建议修改 

缺省路由 

[R3-ospf-1]default-route-advertise always  强制下发缺省路由

VLAN  ：虚拟局域网  

LAN局域网  MAN城域网  WAN广域网  

VLAN  lan=广播域  

在同一个广播域之下，广播消息会传达给不应当收到消息的人

VLAN  ：虚拟局域网 —–交换机和路由器协同工作后，将原先的一个广播域逻辑上划分为了多个广播域

VID–VLAN ID   由12位二进制构成 范围 0-4095  0和4095为保留值，

[sw1]vlan batch 2 to 6   批量创建vlan

将接口划入VLAN

一：基于端口的VLAN     物理/一层VLAN 

二：基于MAC的VLAN  

三：基于协议的VLAN 

[sw1]display  mac-address   查看MAC地址表

交换机加入vid的观念之后 交换机的转发过程：交换机会先记录源数据帧中的源MAC地址与进入接口的映射关系，并且一同查看其VID，随后查看目标MAC地址是否在MAC地址表中存在记录，若存在记录，将比对目标MAC地址对应接口的VID和源MAC地址对应接口的VID是否相同，若相同则直接单播，若不同，则进行泛洪（仅在源MAC地址对应接口的VID的范围内的所有接口进行发送）

802.1Q标准   untagged帧=没有标签的802.1q帧

Tagged帧=打上标签的802.1q帧 

我们把交换机和PC端之间的链路称之为ACCESS链路，AEECSS链路中只能通过untagged帧，并且这些帧只能属于一个特定的VLAN。 我们把交换机和交换机/路由器之间的链路称之为trunk链路（干道），trunk链路中运行通过tagged帧，并且这些帧可以属于多个vlan。

[sw1-GigabitEthernet0/0/1]port link-type access   定义该接口下链路类型为access链路

[sw1-GigabitEthernet0/0/1]port default vlan 2 定义该接口属于vlan2

[sw1-GigabitEthernet0/0/5]port link-type trunk   定义该接口下链路类型为trunk链路

[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan all  允许该trunk链路所通过的vlan为所有

[R26]interface g 0/0/0.1  进入g0/0/0这个物理接口的子接口

路由器的子接口—虚拟接口—将一个路由器的一个物理接口逻辑上切分为多个虚拟子接口

[R26-GigabitEthernet0/0/0.1]dot1q termination vid 2  让该子接口执行802.1q标准，同时定义该子接口处为vid–vlan2的网关

[R26-GigabitEthernet0/0/0.1]arp broadcast enable   开启该子接口的arp广播

ACL：访问控制列表 

1访问控制—-在路由器的入或者出的接口上，匹配流量，之后产生动作—允许或拒绝  

1. 定义感兴趣流量—–帮助其他软件抓流量 

匹配规则：

至上而下，逐一匹配，上调匹配按照上条执行，不在查看下条。在华为体系中末尾隐含允许所有，在思科体系中，末尾隐含拒绝所有。

分类：

标准—仅关注数据包中的源IP地址

扩展—关注数据包中的源 目标IP地址  协议号 端口号

标准ACL中，由于标准ACL仅关注数据包中的源IP地址，故越靠近目标越好，可以尽可能的避免误杀。

2000-2999  标准           3000-3999 扩展 

注意：一个编码是一张规则，一张规则可以容纳大量具体的规则

 [R2]acl 2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

ACL在地址匹配时，会使用通配符

255.255.255.0   0.0.0.255     他可以进行0 1 的穿插

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上调用acl2000 

[R2-acl-basic-2000]rule permit source any   规定 允许  所有IP通过  

[R2]ACL name classroomA

扩展ACL

关注数据包中的源IP以及目标IP

由于扩展ACL可以对数据流量进行精确分析，故越靠近源越好。

[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2  0.0.0.0 

在关注源/目标IP地址的同时，在关注目标端口号

Telnet—远程登录   基于TCP23号端口工作 

条件：1.登录设备与被登陆设备之间必须可达

1. 被登陆设备必须开启telnet设定

[R2]aaa 进入aaa服务

[R2-aaa]local-user ABC privilege level 15 password cipher

[R2-aaa]local-user ABC service-type telnet 

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode aaa

[R1-acl-adv-3000]rule  deny tcp source 192.168.4.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

规定  拒绝 tcp行为中的  源192.168.4.1 向目标 192.168.2.2 的 端口号为23的行为 

[R1-acl-adv-3000]rule 7 deny icmp source 192.168.4.1 0.0.0.0 destination 192.168.3.1 0.0.0.0

规则7 拒绝 源IP 192.168.4.1 向 目标IP 192.168.3.1 的ICMP行为  

一个接口的入或者出方向上  只能调用一张acl表格

NAT：网络地址转换 

公有IP和私有IP的区别

公有IP—-全球唯一  可以你在互联网中通信  付费使用

私有IP—-本地唯一  不能在互联网中通信  免费试用

A类：10.0.0.0—10.255.255.255 

B类：172.16.0.0——172.31.255.255

C类：192.168.0.0—–192.168.255.255    

NAT—–网络地址转换，在边界路由器上，进行公有地址和私有地址间的转化 

NAT的分类： 静态NAT  动态NAT  NAPT  端口映射

在华为设备中 NAT的全部配置 一定是在边界路由器的出的接口方向上。

 静态NAT：

我们在私网的边界路由器上建立并维护一张静态地址表，静态地址表映射了公有地址和私有地址间 一一对应的关系

[R2-GigabitEthernet0/0/1]nat static global 12.1.1.1 inside 192.168.1.2    

[R2]display  nat static  查询nat映射关系 

动态NAT

静态NAT和动态NAT最大的区别在于—地址映射表的内容是可变化的，而不是写死的，所以动态NAT不在意一对一的关系，而是实现多对多的转化。

使用端口进行分辨 转化的形式—-NAPT（端口地址转化）也叫PAT   

为解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题，在边界路由器上维护一张源端口号和私网IP地址的映射关系表，因为端口号的取值范围是1-65535，故有65535个，所以NAPT同时支持通过的数据包的最大量即为65535个，这就形成了一对多的动态NAT，华为中称这种NAPT为EASY IP。 当上网需求非常大时，一个公网IP可能不够用，我们也可以同时使用多个公网IP，这样就能形成65535的倍数增长，形成多对多的NAPT。

一对多

[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

[R2-GigabitEthernet0/0/1]nat outbound 2000

多对多

创建公网地址池

[R2]nat address-group 1 12.1.1.2  12.1.1.10

其中包含  12.1.1.12——12.1.1.10 

注意：1.必须是公网  2.必须是连续的IP 

[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

在该接口上  将acl2000定义的感兴趣流量 交给公网地址池 1 进行NAT转化

No-pat   添加则代表为静态多对多  不添加则是动态多对多 

静态多对多：多个一对一

动态多对多：多个一对多

端口映射

[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.2.10  80

[R2-GigabitEthernet0/0/1]nat  server  protocol tcp global current-interface 8080  inside 192.168.2.20 80