单臂路由

单臂路由是一种通过在路由器的一个接口上配置逻辑接口,来实现不同Vlan之间互通的方法。

实例:

#配置SW1的VLAN

[SW1]vlan 2

#配置端口vlan略

[SW1]int g1/0/4

#把端口g1/0/4配制成trunk口

[SW1-GigabitEthernet1/0/4]port link-type trunk

#配置端口允许Vlan1和vlan2通过

[SW1-GigabitEthernet1/0/4]port trunk permit vlan 1 2  

#为R1配置单臂路由

#配置子接口

[R1]int g0/0.1

#将子接口封装为dot1q协议,并且把它分配给vlan1

[R1-GigabitEthernet0/0.1]vlan-type dot1q vid 1

#配置子接口ip地址

[R1-GigabitEthernet0/0.1]ip address 192.168.1.254 24

[R1]int g0/0.2

[R1-GigabitEthernet0/0.2]vlan-type dot1q vid 2

[R1-GigabitEthernet0/0.2]ip address 192.168.2.254 24

控制访问列表ACL

基于包过滤的控制访问技术,广泛应用于路由器与三层交换机。

ACL准从顺序匹配,先匹配顺序在前的访问控制规则。

ACL有方向性,可以分别控制出/入数据包。

实例:

#配置基本ACL,使192.168.1.0不能访问192.168.2.0

[R2]acl basic 2000

[R2-acl-ipv4-basic-2000]rule deny source 192.168.1.0 0.0.0.255

[R2]interface g0/2

[R2-GigabitEthernet0/2]packet-filter 2000 outbound  

#配置高级ACL,使PC1可以访问server1的Telnet,但不能访问FTP,PC2反之

[R1]acl advanced 3000

[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port range 20 21

[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.3.1 0 destination-port eq 23

[R1]interface g0/0

[R1-GigabitEthernet0/0]packet-filter 3000 inbound  

#配置高级ACL,使使PC3 不能访问 SERVER1

[R2]acl advanced 3000

[R2-acl-ipv4-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.1 0

[R2]interface g0/2

[R2-GigabitEthernet0/2]packet-filter 3000 inbound

NAT

NAT是一种可以把私网地址转换成公网地址的技术,

NAT有三种类型:

  • 静态NAT:将内网中的IP映射为公网IP,一个内部主机唯一占用一个公网IP
  • 动态NAT:将内网的IP动态的映射为公网IP,未注册的IP地址映射到注册IP地址池中的一个地址
  • 端口映射:将多个私网ip地址映射到一个公网ip地址上的不同端口。
#配置NAPT

[R1]acl basic 2000

[R1-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255

[R1]nat address-group 1

[R1-address-group-1]address 100.1.1.1 100.1.1.1

[R1]interface g0/1

[R1-GigabitEthernet0/1]nat outbound 2000 address-group 1

#配置EASY IP

[R3]acl basic 2000

[R3-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255

[R3]interface g0/0

[R3-GigabitEthernet0/1]nat outbound 2000  

#配置NAT SERVER

[R1-GigabitEthernet0/1]nat server protocol tcp global current-interface 20 21 inside 192.168.1.10 20 21

OSPF

ospf,链路状态协议,每个服务器负责发现和维护邻接关系,并将包含邻居列表和链路费用的LSA报文在AS(自治系统)中周期性泛洪,每当链路状态发生变化时将重新生成LSA并发送。

ospf中还有DR和BDR的概念,

为了减少网络中的数据包数量,ospf协议网络会选举出DR和BDR,

先比较优先级,优先级相同比较RID,高者DR,次之BDR。

所有非DR/BDR路由器将与DR和BDR都建立完全邻接关系,交换LSA。

基础配置

  1. 配置IP
#进入端口

int g0/2

#添加IP

ip add 100.1.1.1
  1. 配置rid
#配置RID

[R2]ospf 1 router-id 1.1.1.1
  1. 宣告直连网段和环回口
#配置所属区域

[R2-ospf-1]area 0

#0 为骨干区域

[R2-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

[R2-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255

#宣告另一区域的直连网段

[R2-ospf-1-area-0.0.0.0]area 1

[R2-ospf-1-area-0.0.0.1]network 100.3.3.0 0.0.0.255

配置静默接口

[R3-ospf-1]silent-interface g0/2

引入默认路由

[R1-ospf-1]default-route-advertise

配置stub区域

当ASBR(边界路由器)中引入了大量的外部路由时,可以通过将一些区域设置为stub(末节)区域,不允许AS外部LSA在区域内泛洪。减少区域内数据包的数量。

  • 如果要将一个区域配置成Stub区域,则该区域中的所有路由器必须都要配置stub命令。
  • 如果要将一个区域配置成Totally Stub区域,该区域中的所有路由器必须配置stub命令,而其中该区域的ABR路由器需要配置stub no-summary 命令。
#引入静态路由

[R1-ospf-1]default-route-advertise

#配置stub

[R2-ospf-1-area-0.0.0.1]stub

[R3-ospf-1-area-0.0.0.1]stub

[R4-ospf-1-area-0.0.0.1]stub

配置NSSA区域

NSSA区域是"not-so-stubby" area的简写,它比stub区域更具操作性,

取消了STUB关于ASE的双向传播的限制(区域外的进不来,区域里的也出不去),改为单向限制(区域外的进不来,区域里的能出去)。

#引入静态路由

[R1-ospf-1]default-route-advertise

#配置nssa

[R2-ospf-1-area-0.0.0.1]nssa

[R3-ospf-1-area-0.0.0.1]nssa

[R4-ospf-1-area-0.0.0.1]nssa

配置ISIS

ISIS(中间系统到中间系统)协议是一种应用于电信营运商的路由协议,标准的ISIS协议是为无连接网络服务设计的,不直接适合于IP网络。我们常说的ISIS协议通常是指适用于IP网络的集成ISIS。

  • 与OSPF的区别:

    • ISIS以网段分割区域,OSPF以路由器分割区域(ISIS一个路由器上的所有接口必定都在同一区域)
  • 路由类型:
    • Level 0:终端与路由器之间
    • Level 1:区域内路由
    • Level 2:区域间路由
    • level 3:跨路由域路由
  • 路由器类型:
    • Level 1路由器:区域内路由器
    • Level 2路由器:骨干网路由器
    • Level 1-2路由器:同时连接Level 1路由器和Level 2路由器的路由器

基础配置

  1. 在路由器启动ISIS并配置地址
[R1]isis

[R1-isis-1]network-entity 10.0000.0000.0000.0001.00
  1. 在端口启用ISIS
[R1]int g0/0

[R1-GigabitEthernet0/0]isis enable 1
  1. 配置L1路由器类型
[R1]isis

[R1-isis-1]is-level level-1
  1. 配置L1邻接关系

    需要在网段两端的端口上都配置
[R2]int g0/1

[R2-GigabitEthernet0/1]isis circuit-level level-1

[R3]int g0/1

[R3-GigabitEthernet0/1]isis circuit-level level-1

设置路由开销

[R1]int g0/0

[R1-GigabitEthernet0/0]isis co 5

配置路由渗透

路由渗透不会把L2的明细路由传递至L1路由器,只会向L1路由发布一条默认路由

[R2]isis

[R2-isis-1]address-family ipv4

[R2-isis-1-ipv4]import-route isis level-2 into level-1

配置路由验证

需要在两端的端口上都配置

[R2]int g0/2

[R2-GigabitEthernet0/2]isis authentication-mode simple plain 123456

[R3]int g/2

[R3-GigabitEthernet0/2]isis authentication-mode simple plain 123456

配置BGP

BGP是边界网关协议,是一种在多个AS之间使用的一种路由协议。AS通过keepalive维护邻接关系。

小规模私有网络IGP(RIP、ospf),大规模私有网络用IBGP,互联网用EBGP。

  • IBGP(Interior BGP)

    • 同一个AS内的BGP连接
    • IBGP运行在一个AS内部,没有AS_PATH,所以IBGP不转发来自于其他IBGP的路由
    • 默认不会修改下一跳路由,直接将路由转发
  • EBGP(Exterior BGP)
    • 不同AS间的BGP连接
    • EBGP通过AS_PATH和其他元素过滤来自于自己的路由
    • 会修改路由的下一跳路由,再转发

  1. EBGP会修改路由的下一跳路由,再转发;而IBGP默认不会修改下一跳路由,直接将路由转发。

    • 但是若有三个AS,AS1,AS2和AS3,它们首尾相接,AS2在中间。

      AS1中有R1和R2,AS2中有R3,AS3有R4和R5,其中R2、R3、R4之间通过EBGP连接,而R1和R2、R4和R5通过IBGP连接。

      由于IBGP不会修改下一跳地址,所以R1的下一跳地址就是R3,但由于R1和R3之间没有直连,所以相应的路由会被标记为无效路由。

      这时就需要在R3连接R1时,修改R2上IBGP的默认行为,设置next-hop-self,让IBGP在传递路由的时候,将路由的next-hop改为自己。

  2. 通过IBGP学习到的路由,不能传递给其他的IBGP。

    • 由于不能转发,所以要求所有IBGP路由器全都互相建立邻接关系,形成一个全连接的网络,但是这会给管理与配置带来问题。
    • 解决以上问题有两种方法,BGP反射BGP联盟

基础配置

AS100:R1

AS200:R2(L0:2.2.2.2/32)、R3(L0:3.3.3.3/32)、R4(L0:4.4.4.4/32)

AS300:R5

R3仅运行OSPF协议

#R1,有一端口IP为100.1.1.1/24

#配置AS号,如R1处于AS100

[R1]bgp 100

#宣告邻接关系

[R1‐bgp‐default]peer 100.1.1.2 as‐number 200

[R1‐bgp‐default]address‐family ipv4 unicast

[R1‐bgp‐default‐ipv4]peer 100.1.1.2 enable

#R2,有一端口IP为100.1.1.2/24

#配置AS号

[R2]bgp 200

#宣告邻接关系

[R2‐bgp‐default]peer 100.1.1.1 as‐number 100

#与AS边界路由器(ABR)宣告邻接关系

[R2‐bgp‐default]peer 4.4.4.4 as‐number 200

#将源端口改为环回口

[R2‐bgp‐default]peer 4.4.4.4 connect‐interface LoopBack 0

[R2‐bgp‐default]address‐family ipv4 unicast

[R2‐bgp‐default‐ipv4]peer 100.1.1.1 enable

[R2‐bgp‐default‐ipv4]peer 4.4.4.4 enable

#修改默认路由规则,更改下一跳地址为本机

[R2‐bgp‐default‐ipv4]peer 4.4.4.4 next‐hop‐local

#R4,有一IP为100.4.4.4

[R4]bgp 200

[R4‐bgp‐default]peer 100.4.4.5 as‐number 300

[R4‐bgp‐default]peer 2.2.2.2 as‐number 200

[R4‐bgp‐default]peer 2.2.2.2 connect‐interface LoopBack 0

[R4‐bgp‐default]address‐family ipv4 unicast

[R4‐bgp‐default‐ipv4]peer 100.4.4.5 enable

[R4‐bgp‐default‐ipv4]peer 2.2.2.2 enable

[R4‐bgp‐default‐ipv4]peer 2.2.2.2 next‐hop‐local

#R5,有一IP为100.4.4.5

[R5]bgp 300

[R5‐bgp‐default]peer 100.4.4.4 as‐number 200

[R5‐bgp‐default]address‐family ipv4 unicast

[R5‐bgp‐default‐ipv4]peer 100.4.4.4 enable

BGP路由反射

路由反射器(RR,Route Reflector)将从IBGP对等体中学到了路由反射给其他IBGP对等体,类似OSPF中的DR。

R1和R2建立EBGP邻居,R2使用对等体组与R3/R4/R5建立IBGP邻居

[R2]bgp 200

[R2-bgp-default]group in internal

[R2-bgp-default]peer 3.3.3.3 group in

[R2-bgp-default]peer 4.4.4.4 group in

[R2-bgp-default]peer 5.5.5.5 group in

将R2配置为RR:

[R2-bgp-default-ipv4]peer in reflect-client

[R2-bgp-default-ipv4]reflector cluster-id 2001

BGP联盟

通过在AS中建立子自治域(使用私有AS)来减少AS内的连接数量。

林克的小本本之——HCL网络知识随笔的更多相关文章

  1. 林克的小本本之——记一些基础的linux命令

    查看shell cat /etc/shells 查看系统支持的shell echo $SHELL 查看目前正在使用的shell 快捷键 Ctrl+a 跳到行首 Ctrl+e 跳到行尾 Ctrl+u 删 ...

  2. [转] - Linux网络编程 -- 网络知识介绍

    (一)Linux网络编程--网络知识介绍 Linux网络编程--网络知识介绍客户端和服务端         网络程序和普通的程序有一个最大的区别是网络程序是由两个部分组成的--客户端和服务器端. 客户 ...

  3. 软件测试人员必备网络知识(一):什么是cookie?

     初入职场的新人,是不是经常会被一些基础的网络知识难住,又不敢问老大,只好默默的百度?纳,我花一个星期的加班时间,把这些经常要用到的网络知识点给整理出来了!这是一个系列的,如果对你们有用,后续还会继续 ...

  4. 网络知识--OSI七层网络与TCP/IP五层网络架构及二层/三层网络

    作为一个合格的运维人员,一定要熟悉掌握OSI七层网络和TCP/IP五层网络结构知识. 废话不多说!下面就逐一展开对这两个网络架构知识的说明:一.OSI七层网络协议OSI是Open System Int ...

  5. 网络知识梳理--OSI七层网络与TCP/IP五层网络架构及二层/三层网络(转)

     reference:https://www.cnblogs.com/kevingrace/p/5909719.html https://www.cnblogs.com/awkflf11/p/9190 ...

  6. centos Linux系统日常管理2 tcpdump,tshark,selinux,strings命令, iptables ,crontab,TCP,UDP,ICMP,FTP网络知识 第十五节课

    centos  Linux系统日常管理2  tcpdump,tshark,selinux,strings命令, iptables ,crontab,TCP,UDP,ICMP,FTP网络知识 第十五节课 ...

  7. 网络知识学习2---(IP地址、子网掩码)(学习还不深入,待完善)

    紧接着:网络知识学习1 1.IP地址    IP包头的结构如图 A.B.C网络类别的IP地址范围(图表) A.B.C不同的分配网络数和主机的方式(A是前8个IP地址代表网络,后24个代表主机:B是16 ...

  8. 网络知识 - 简易的自定义Web服务器

    简易的自定义Web服务器 基于浏览器向服务端发起请求 两台主机各自的进程之间相互通信,需要协议.IP地址和端口号,IP表示了主机的网络地址,而端口号则表示了主机上的某个进程的地址,IP加Port统称为 ...

  9. Linux运维基础入门(四):Linux中的网络知识04

    一,虚拟机的安装 略 二,Linux系统下的网络配置(Linux虚拟机的网络设定为桥接模式) 桥接模式:虚拟机同主机一样,在网络中相当于一个真实存在的装有Linux系统的电脑.(我们先用这个模式) N ...

随机推荐

  1. 当linux突然修改任何设置都没办法联网时的绝对有效解决办法

    以下操作为重新启动虚拟网卡的相关配置,初始化并重启虚拟网卡,对目前的配置不会有任何影响 打开终端,依次输入以下内容:– sudo service network-manager stop– sudo  ...

  2. 数位dp介绍

    不了解dp的可以先看一下dp 数位dp含义: 数位:一个数有个位,十位,百位,千位等等,数的每一位都是数位. 数位dp归为计数dp,是在数位上进行操作的dp. 数位dp的实质是一种快速枚举的方式,它满 ...

  3. Gitlab用户信息批量导出

    前言 因运维体系中涉及到用户权限管理及统计,需将Gitlab用户数据提取出来并录入到公司内部自建的权限统计平台. 本文将对Gitlab的用户信息数据批量导出进行操作说明! 思路 A)要对数据进行批量的 ...

  4. java JDK安装包的获取与安装

    Java JDK 安装包获取和安装: JDK 1.8.211 官网下载地址 https://www.oracle.com/technetwork/java/javase/downloads/jdk8- ...

  5. P1055 ISBN号码

    题目描述 每一本正式出版的图书都有一个ISBN号码与之对应,ISBN码包括99位数字.11位识别码和33位分隔符,其规定格式如x-xxx-xxxxx-x,其中符号-就是分隔符(键盘上的减号),最后一位 ...

  6. 2019-2020-7 20199317《Linux内核原理与分析》第七周作业

    第6章  进程的描述和进程的创建 1  进程的描述       操作系统内核实现操作系统的三大管理功能,即进程管理.内存管理和文件系统.其中,操作系统内核中最核心的功能是进程管理.为了管理进程,内核要 ...

  7. jQuery中带有异步Ajax代码的执行顺序

    1.问题 ​ 在使用jQuery的时候想通过Ajax请求来放所需要的html代码中放值,但是请求回来却是空的,源代码如下: $("a").click(function() { // ...

  8. 不使用cookie记录用户信息

    cookie是什么: cookie是由web服务器保存在用户浏览器(客户端)上的小文件,它可以包含用户信息,用户操作信息等等,无论何时访问服务器,只要同源,就能携带到服务端 常见方式 一般:请求一个接 ...

  9. 成为高手前必懂的TCP干货【华为云技术分享】

    版权声明:本文为博主原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明. 本文链接:https://blog.csdn.net/devcloud/article/detai ...

  10. 【我的物联网成长记6】由浅入深了解NB-IoT

    [摘要] 什么是NB-IoT?NB-IoT有什么优势?NB-IoT能做什么?本文将会从NB-IoT技术的发展历程,技术特点,通信协议,应用场景等方面为您全方面解读NB-IoT技术,了解NB-IoT的独 ...