单臂路由

单臂路由是一种通过在路由器的一个接口上配置逻辑接口,来实现不同Vlan之间互通的方法。

实例:

#配置SW1的VLAN

[SW1]vlan 2

#配置端口vlan略

[SW1]int g1/0/4

#把端口g1/0/4配制成trunk口

[SW1-GigabitEthernet1/0/4]port link-type trunk

#配置端口允许Vlan1和vlan2通过

[SW1-GigabitEthernet1/0/4]port trunk permit vlan 1 2  

#为R1配置单臂路由

#配置子接口

[R1]int g0/0.1

#将子接口封装为dot1q协议,并且把它分配给vlan1

[R1-GigabitEthernet0/0.1]vlan-type dot1q vid 1

#配置子接口ip地址

[R1-GigabitEthernet0/0.1]ip address 192.168.1.254 24

[R1]int g0/0.2

[R1-GigabitEthernet0/0.2]vlan-type dot1q vid 2

[R1-GigabitEthernet0/0.2]ip address 192.168.2.254 24

控制访问列表ACL

基于包过滤的控制访问技术,广泛应用于路由器与三层交换机。

ACL准从顺序匹配,先匹配顺序在前的访问控制规则。

ACL有方向性,可以分别控制出/入数据包。

实例:

#配置基本ACL,使192.168.1.0不能访问192.168.2.0

[R2]acl basic 2000

[R2-acl-ipv4-basic-2000]rule deny source 192.168.1.0 0.0.0.255

[R2]interface g0/2

[R2-GigabitEthernet0/2]packet-filter 2000 outbound  

#配置高级ACL,使PC1可以访问server1的Telnet,但不能访问FTP,PC2反之

[R1]acl advanced 3000

[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port range 20 21

[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.3.1 0 destination-port eq 23

[R1]interface g0/0

[R1-GigabitEthernet0/0]packet-filter 3000 inbound  

#配置高级ACL,使使PC3 不能访问 SERVER1

[R2]acl advanced 3000

[R2-acl-ipv4-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.1 0

[R2]interface g0/2

[R2-GigabitEthernet0/2]packet-filter 3000 inbound

NAT

NAT是一种可以把私网地址转换成公网地址的技术,

NAT有三种类型:

  • 静态NAT:将内网中的IP映射为公网IP,一个内部主机唯一占用一个公网IP
  • 动态NAT:将内网的IP动态的映射为公网IP,未注册的IP地址映射到注册IP地址池中的一个地址
  • 端口映射:将多个私网ip地址映射到一个公网ip地址上的不同端口。
#配置NAPT

[R1]acl basic 2000

[R1-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255

[R1]nat address-group 1

[R1-address-group-1]address 100.1.1.1 100.1.1.1

[R1]interface g0/1

[R1-GigabitEthernet0/1]nat outbound 2000 address-group 1

#配置EASY IP

[R3]acl basic 2000

[R3-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255

[R3]interface g0/0

[R3-GigabitEthernet0/1]nat outbound 2000  

#配置NAT SERVER

[R1-GigabitEthernet0/1]nat server protocol tcp global current-interface 20 21 inside 192.168.1.10 20 21

OSPF

ospf,链路状态协议,每个服务器负责发现和维护邻接关系,并将包含邻居列表和链路费用的LSA报文在AS(自治系统)中周期性泛洪,每当链路状态发生变化时将重新生成LSA并发送。

ospf中还有DR和BDR的概念,

为了减少网络中的数据包数量,ospf协议网络会选举出DR和BDR,

先比较优先级,优先级相同比较RID,高者DR,次之BDR。

所有非DR/BDR路由器将与DR和BDR都建立完全邻接关系,交换LSA。

基础配置

  1. 配置IP
#进入端口

int g0/2

#添加IP

ip add 100.1.1.1
  1. 配置rid
#配置RID

[R2]ospf 1 router-id 1.1.1.1
  1. 宣告直连网段和环回口
#配置所属区域

[R2-ospf-1]area 0

#0 为骨干区域

[R2-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

[R2-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255

#宣告另一区域的直连网段

[R2-ospf-1-area-0.0.0.0]area 1

[R2-ospf-1-area-0.0.0.1]network 100.3.3.0 0.0.0.255

配置静默接口

[R3-ospf-1]silent-interface g0/2

引入默认路由

[R1-ospf-1]default-route-advertise

配置stub区域

当ASBR(边界路由器)中引入了大量的外部路由时,可以通过将一些区域设置为stub(末节)区域,不允许AS外部LSA在区域内泛洪。减少区域内数据包的数量。

  • 如果要将一个区域配置成Stub区域,则该区域中的所有路由器必须都要配置stub命令。
  • 如果要将一个区域配置成Totally Stub区域,该区域中的所有路由器必须配置stub命令,而其中该区域的ABR路由器需要配置stub no-summary 命令。
#引入静态路由

[R1-ospf-1]default-route-advertise

#配置stub

[R2-ospf-1-area-0.0.0.1]stub

[R3-ospf-1-area-0.0.0.1]stub

[R4-ospf-1-area-0.0.0.1]stub

配置NSSA区域

NSSA区域是"not-so-stubby" area的简写,它比stub区域更具操作性,

取消了STUB关于ASE的双向传播的限制(区域外的进不来,区域里的也出不去),改为单向限制(区域外的进不来,区域里的能出去)。

#引入静态路由

[R1-ospf-1]default-route-advertise

#配置nssa

[R2-ospf-1-area-0.0.0.1]nssa

[R3-ospf-1-area-0.0.0.1]nssa

[R4-ospf-1-area-0.0.0.1]nssa

配置ISIS

ISIS(中间系统到中间系统)协议是一种应用于电信营运商的路由协议,标准的ISIS协议是为无连接网络服务设计的,不直接适合于IP网络。我们常说的ISIS协议通常是指适用于IP网络的集成ISIS。

  • 与OSPF的区别:

    • ISIS以网段分割区域,OSPF以路由器分割区域(ISIS一个路由器上的所有接口必定都在同一区域)
  • 路由类型:
    • Level 0:终端与路由器之间
    • Level 1:区域内路由
    • Level 2:区域间路由
    • level 3:跨路由域路由
  • 路由器类型:
    • Level 1路由器:区域内路由器
    • Level 2路由器:骨干网路由器
    • Level 1-2路由器:同时连接Level 1路由器和Level 2路由器的路由器

基础配置

  1. 在路由器启动ISIS并配置地址
[R1]isis

[R1-isis-1]network-entity 10.0000.0000.0000.0001.00
  1. 在端口启用ISIS
[R1]int g0/0

[R1-GigabitEthernet0/0]isis enable 1
  1. 配置L1路由器类型
[R1]isis

[R1-isis-1]is-level level-1
  1. 配置L1邻接关系

    需要在网段两端的端口上都配置
[R2]int g0/1

[R2-GigabitEthernet0/1]isis circuit-level level-1

[R3]int g0/1

[R3-GigabitEthernet0/1]isis circuit-level level-1

设置路由开销

[R1]int g0/0

[R1-GigabitEthernet0/0]isis co 5

配置路由渗透

路由渗透不会把L2的明细路由传递至L1路由器,只会向L1路由发布一条默认路由

[R2]isis

[R2-isis-1]address-family ipv4

[R2-isis-1-ipv4]import-route isis level-2 into level-1

配置路由验证

需要在两端的端口上都配置

[R2]int g0/2

[R2-GigabitEthernet0/2]isis authentication-mode simple plain 123456

[R3]int g/2

[R3-GigabitEthernet0/2]isis authentication-mode simple plain 123456

配置BGP

BGP是边界网关协议,是一种在多个AS之间使用的一种路由协议。AS通过keepalive维护邻接关系。

小规模私有网络IGP(RIP、ospf),大规模私有网络用IBGP,互联网用EBGP。

  • IBGP(Interior BGP)

    • 同一个AS内的BGP连接
    • IBGP运行在一个AS内部,没有AS_PATH,所以IBGP不转发来自于其他IBGP的路由
    • 默认不会修改下一跳路由,直接将路由转发
  • EBGP(Exterior BGP)
    • 不同AS间的BGP连接
    • EBGP通过AS_PATH和其他元素过滤来自于自己的路由
    • 会修改路由的下一跳路由,再转发

  1. EBGP会修改路由的下一跳路由,再转发;而IBGP默认不会修改下一跳路由,直接将路由转发。

    • 但是若有三个AS,AS1,AS2和AS3,它们首尾相接,AS2在中间。

      AS1中有R1和R2,AS2中有R3,AS3有R4和R5,其中R2、R3、R4之间通过EBGP连接,而R1和R2、R4和R5通过IBGP连接。

      由于IBGP不会修改下一跳地址,所以R1的下一跳地址就是R3,但由于R1和R3之间没有直连,所以相应的路由会被标记为无效路由。

      这时就需要在R3连接R1时,修改R2上IBGP的默认行为,设置next-hop-self,让IBGP在传递路由的时候,将路由的next-hop改为自己。

  2. 通过IBGP学习到的路由,不能传递给其他的IBGP。

    • 由于不能转发,所以要求所有IBGP路由器全都互相建立邻接关系,形成一个全连接的网络,但是这会给管理与配置带来问题。
    • 解决以上问题有两种方法,BGP反射BGP联盟

基础配置

AS100:R1

AS200:R2(L0:2.2.2.2/32)、R3(L0:3.3.3.3/32)、R4(L0:4.4.4.4/32)

AS300:R5

R3仅运行OSPF协议

#R1,有一端口IP为100.1.1.1/24

#配置AS号,如R1处于AS100

[R1]bgp 100

#宣告邻接关系

[R1‐bgp‐default]peer 100.1.1.2 as‐number 200

[R1‐bgp‐default]address‐family ipv4 unicast

[R1‐bgp‐default‐ipv4]peer 100.1.1.2 enable

#R2,有一端口IP为100.1.1.2/24

#配置AS号

[R2]bgp 200

#宣告邻接关系

[R2‐bgp‐default]peer 100.1.1.1 as‐number 100

#与AS边界路由器(ABR)宣告邻接关系

[R2‐bgp‐default]peer 4.4.4.4 as‐number 200

#将源端口改为环回口

[R2‐bgp‐default]peer 4.4.4.4 connect‐interface LoopBack 0

[R2‐bgp‐default]address‐family ipv4 unicast

[R2‐bgp‐default‐ipv4]peer 100.1.1.1 enable

[R2‐bgp‐default‐ipv4]peer 4.4.4.4 enable

#修改默认路由规则,更改下一跳地址为本机

[R2‐bgp‐default‐ipv4]peer 4.4.4.4 next‐hop‐local

#R4,有一IP为100.4.4.4

[R4]bgp 200

[R4‐bgp‐default]peer 100.4.4.5 as‐number 300

[R4‐bgp‐default]peer 2.2.2.2 as‐number 200

[R4‐bgp‐default]peer 2.2.2.2 connect‐interface LoopBack 0

[R4‐bgp‐default]address‐family ipv4 unicast

[R4‐bgp‐default‐ipv4]peer 100.4.4.5 enable

[R4‐bgp‐default‐ipv4]peer 2.2.2.2 enable

[R4‐bgp‐default‐ipv4]peer 2.2.2.2 next‐hop‐local

#R5,有一IP为100.4.4.5

[R5]bgp 300

[R5‐bgp‐default]peer 100.4.4.4 as‐number 200

[R5‐bgp‐default]address‐family ipv4 unicast

[R5‐bgp‐default‐ipv4]peer 100.4.4.4 enable

BGP路由反射

路由反射器(RR,Route Reflector)将从IBGP对等体中学到了路由反射给其他IBGP对等体,类似OSPF中的DR。

R1和R2建立EBGP邻居,R2使用对等体组与R3/R4/R5建立IBGP邻居

[R2]bgp 200

[R2-bgp-default]group in internal

[R2-bgp-default]peer 3.3.3.3 group in

[R2-bgp-default]peer 4.4.4.4 group in

[R2-bgp-default]peer 5.5.5.5 group in

将R2配置为RR:

[R2-bgp-default-ipv4]peer in reflect-client

[R2-bgp-default-ipv4]reflector cluster-id 2001

BGP联盟

通过在AS中建立子自治域(使用私有AS)来减少AS内的连接数量。

林克的小本本之——HCL网络知识随笔的更多相关文章

  1. 林克的小本本之——记一些基础的linux命令

    查看shell cat /etc/shells 查看系统支持的shell echo $SHELL 查看目前正在使用的shell 快捷键 Ctrl+a 跳到行首 Ctrl+e 跳到行尾 Ctrl+u 删 ...

  2. [转] - Linux网络编程 -- 网络知识介绍

    (一)Linux网络编程--网络知识介绍 Linux网络编程--网络知识介绍客户端和服务端         网络程序和普通的程序有一个最大的区别是网络程序是由两个部分组成的--客户端和服务器端. 客户 ...

  3. 软件测试人员必备网络知识(一):什么是cookie?

     初入职场的新人,是不是经常会被一些基础的网络知识难住,又不敢问老大,只好默默的百度?纳,我花一个星期的加班时间,把这些经常要用到的网络知识点给整理出来了!这是一个系列的,如果对你们有用,后续还会继续 ...

  4. 网络知识--OSI七层网络与TCP/IP五层网络架构及二层/三层网络

    作为一个合格的运维人员,一定要熟悉掌握OSI七层网络和TCP/IP五层网络结构知识. 废话不多说!下面就逐一展开对这两个网络架构知识的说明:一.OSI七层网络协议OSI是Open System Int ...

  5. 网络知识梳理--OSI七层网络与TCP/IP五层网络架构及二层/三层网络(转)

     reference:https://www.cnblogs.com/kevingrace/p/5909719.html https://www.cnblogs.com/awkflf11/p/9190 ...

  6. centos Linux系统日常管理2 tcpdump,tshark,selinux,strings命令, iptables ,crontab,TCP,UDP,ICMP,FTP网络知识 第十五节课

    centos  Linux系统日常管理2  tcpdump,tshark,selinux,strings命令, iptables ,crontab,TCP,UDP,ICMP,FTP网络知识 第十五节课 ...

  7. 网络知识学习2---(IP地址、子网掩码)(学习还不深入,待完善)

    紧接着:网络知识学习1 1.IP地址    IP包头的结构如图 A.B.C网络类别的IP地址范围(图表) A.B.C不同的分配网络数和主机的方式(A是前8个IP地址代表网络,后24个代表主机:B是16 ...

  8. 网络知识 - 简易的自定义Web服务器

    简易的自定义Web服务器 基于浏览器向服务端发起请求 两台主机各自的进程之间相互通信,需要协议.IP地址和端口号,IP表示了主机的网络地址,而端口号则表示了主机上的某个进程的地址,IP加Port统称为 ...

  9. Linux运维基础入门(四):Linux中的网络知识04

    一,虚拟机的安装 略 二,Linux系统下的网络配置(Linux虚拟机的网络设定为桥接模式) 桥接模式:虚拟机同主机一样,在网络中相当于一个真实存在的装有Linux系统的电脑.(我们先用这个模式) N ...

随机推荐

  1. mysql数据库终端上的增删改查及权限等相关操作

    ctrl + c 终止 [linux] service mysql start 启动mysql service mysql stop 停止mysql service mysql restart 重启m ...

  2. python数据分析三个重要方法之:numpy和pandas

    关于数据分析的组件之一:numpy ndarray的属性     4个必记参数:ndim:维度shape:形状(各维度的长度)size:总长度dtype:元素类型   一:np.array()产生n维 ...

  3. UiPath之获取邮件相关信息

    大家好,小U又来给大家分享UiPath文章,争取每一篇文章都给大家带来满满的干货. 本次案例是告诉大家如何使用GetOutLookMailMessage这个Activity, 案例的目的是将某个特定人 ...

  4. SpringBoot 整合 Zookeeper 接入Starring微服务平台

    背景 最近接的一个项目是基于公司产品Starring做的微服务支付平台,纯后台项目,实现三方支付公司和银行接口来完成用户账户扣款,整合成通用支付接口发布给前端调用. 但是扯蛋了,这边前端什么都不想做, ...

  5. java中sleep()和wait()区别

    1,sleep方法是Thread类的静态方法,wait()是Object超类的成员方法 2,sleep()方法导致了程序暂停执行指定的时间,让出cpu该其他线程,但是他的监控状态依然保持者,当指定的时 ...

  6. 实战webpack系列04

    04. 一切皆模块 Webpack有一个不可不说的优点,它把所有的文件都都当做模块处理,JavaScript代码,CSS和fonts以及图片等等通过合适的loader都可以被处理. 一.CSS 继续上 ...

  7. windows下PyCharm安装及使用 【转自 https://blog.csdn.net/yctjin/article/details/70307933?locationNum=11&fps=1】

    一.首先安装pycharm,可以参考这篇文章:http://www.jianshu.com/p/042324342bf4 搭建环境 1.win10_X64,其他Win版本也可以.2.PyCharm版本 ...

  8. 《手把手教你》系列进阶篇之1-python+ selenium自动化测试 - python基础扫盲(详细教程)

    1. 简介 如果你从一开始就跟着宏哥看博客文章到这里,基础篇和练习篇的文章.如果你认真看过,并且手动去敲过每一篇的脚本代码,那边恭喜你,至少说你算真正会利用Python+Selenium编写自动化脚本 ...

  9. shell脚本持续更改

    1.用shell查看磁盘是否大于80%并发送邮箱告警. 分析如何查看磁盘占用: # df -h | grep /dev/vda1 | awk '{print $5}' |cut -d "%& ...

  10. CSS的三种样式,有一种你肯定不知道

    前言本文的文字及图片来源于网络,仅供学习.交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理.作者LFuser 正文 新手注意:如果你学习遇到问题找不到人解答,可以点我进裙 ...