路由與交換知識點解析

1、IP地址分類A類地址：范圍0 -127,前8位為網(wǎng)絡位，后24位為主機位。規(guī)定 0不允許使用，127作為測試TCP/IP協(xié)議的環(huán)回地址，故實際可用的地址是1-126。B類地址：范圍128 - 191，前16位為網(wǎng)絡位，后16位為主機位，C類地址：范圍192 - 223，前24位為網(wǎng)絡位，后 8位為主機位，D類地址：范圍224 - 239，組播地址使用，不區(qū)分網(wǎng)絡號或主機號。用來轉發(fā)目的地址為 預先定義的一組IP地址的分組。E類地址：范圍240 - 255，保留實驗使用，用于科研，In ternet上沒有E類地址。主機位全0的IP地址代表網(wǎng)絡本身，主機位全1的IP地址代表本網(wǎng)絡的廣播，這兩個地址

2、不能分配給某個網(wǎng)絡設備使用。私有IP地址用于私有網(wǎng)絡，這些地址在In ternet上是不可被路由的。A - 55B - 55C - 55七層模型1、物理層2、數(shù)據(jù)鏈路層 3、網(wǎng)絡層4、傳輸層5、會話層6、表示層7、應用層 應用層的協(xié)議HTTP，使用TCP的80端口 FTP，使用TCP的21端口 SMTP，使用TCP的25端口 POP3,使用TCP的110端口Tel net，使用 TCP/UDP 的 23 端口DNS，使用TCP的53端口，進行域名解析，負責把

3、域名解析成對應的IP地址。路由器的啟動過程1系統(tǒng)硬件執(zhí)行加電自檢（post），運行ROM中的硬件檢測程序，進行硬件檢測。2軟件初始化過程。加載并運行ROM中的Bootstrap啟動程序，進行初步引導工作3從閃存Flash/TFTP中定位并加載IOS系統(tǒng)文件4將NVRAM中的Startup-Config配置文件調(diào)入RAM中逐條執(zhí)行5運行經(jīng)過配置的IOS軟件 路由動作包括兩項基本內(nèi)容：尋址和轉發(fā) 尋址：判定到大目的地的最佳路徑，由路由選擇算法實現(xiàn)。 轉發(fā)：按尋址的最佳路徑傳送數(shù)據(jù)分組。路由選擇協(xié)議的分類1、靜態(tài)路由選擇協(xié)議：在管理、配置路由器時設置的固定的路由表動態(tài)路由選擇協(xié)議：通過運行路由選擇協(xié)

4、議，使網(wǎng)絡中路由器間相互通信，傳遞路由信 息,禾U用收到的路由信息動態(tài)更新路由表的過程。2、自治域：一個具有統(tǒng)一管理結構、統(tǒng)一路由策略的網(wǎng)絡。根據(jù)是否在一個自治域內(nèi)使用，動態(tài)路由協(xié)議分為IGP和EGPIGP（內(nèi)部網(wǎng)關路由協(xié)議），自治域內(nèi)部采用的路由選擇協(xié)議，有RIP、OSPF、IGRP、EIGRPEGP（外部網(wǎng)關路由協(xié)議），用于多個自治域之間的路由協(xié)議，有BGP3、動態(tài)路由協(xié)議從算法角度分為距離矢量路由協(xié)議、鏈路狀態(tài)路由協(xié)議 距離適量路由協(xié)議的特點1路由器只向鄰居發(fā)送路由信息報文2路由器將更新后的完整路由信息報文發(fā)送給鄰居3路由器根據(jù)接收到的信息報文計算并產(chǎn)生路由表4路由選擇協(xié)議有 RIP、I

5、GRP、BGP鏈路狀態(tài)路由協(xié)議的特點1對網(wǎng)絡發(fā)生的變化能夠快速響應，發(fā)送觸發(fā)式更新2當鏈路狀態(tài)發(fā)生變化，檢測到變化而設備創(chuàng)建LSA，通過組播地址傳送給所有的鄰居。每個鄰居復制一份 LSA,更新自己的鏈路狀態(tài)數(shù)據(jù)庫LSDB，然后再轉發(fā)LSA給其他的鄰居。3. 發(fā)送周期性更新，時間間隔是30mi n4. 路由選擇二協(xié)議有 OSPF、IS-IS4、有類路由協(xié)議：不在路由更新中給出與網(wǎng)絡相關的子網(wǎng)信息不支持不連續(xù)子網(wǎng)在網(wǎng)絡邊界自動匯總RIPvl、IGRP無類路由協(xié)議：在路由更新信息中附帶子網(wǎng)掩碼信息支持VLSM支持人工匯總RIPv2、EIGRP、OSPF、IS-IS路由決策原則1、按最長匹配原則當有多

6、條路徑到達目標時，以其IP地址或網(wǎng)絡號最長匹配的作為最佳路由2、按最小管理距離優(yōu)先在相同匹配長度的情況下，管理距離越小，路由越優(yōu)先3、按度量值最小優(yōu)先當匹配長度、管理距離都相同時，度量值越小越優(yōu)先路由表的基本信息1、目標網(wǎng)絡/子網(wǎng)掩碼：指出目標主機所在的網(wǎng)絡地址和子網(wǎng)掩碼信息2、管理距離/度量值字段：指出該路由條目的可信程度及到達目標網(wǎng)絡所花的代價3、下一跳地址字段：指出被路由數(shù)據(jù)包將被送到的下一跳路由器的入口地址4、路由更新時間字段：指出上一次收到此路由信息所經(jīng)過的時間5、輸出接口字段：指出到目標網(wǎng)絡去的數(shù)據(jù)包從本路由器的哪個接口發(fā)出目標網(wǎng)絡的4種特例1、 主機地址：某個特定主機的IP地址，

7、子網(wǎng)掩碼為 552、子網(wǎng)地址：某個特定子網(wǎng)的網(wǎng)絡地址3、網(wǎng)絡地址：某個特定網(wǎng)絡的網(wǎng)絡地址4、默認路由：所有未在路由表中指定的網(wǎng)絡地址，均發(fā)往默認路由所指定的地址直連路由：一旦定義了路由器的接口IP地址，并激活了此接口，路由器就自動產(chǎn)生激活端口 IP所在網(wǎng)段的直連路由信息。靜態(tài)路由：由網(wǎng)絡管理員手工配置的路由信息特點：簡單、高效、可靠、網(wǎng)絡安全保密性高RIP管理距離120采用距離向量算法度量是基于跳數(shù)的，每經(jīng)過一臺路由器，路徑的跳數(shù)就加一。允許的最大跳數(shù)為15跳，16跳即為不可達。RIP每隔30s向UDP的520端口發(fā)送一次路由信息廣播，廣播自己的全部路由表，每一個數(shù)據(jù)

8、包最多包含25條路由信息。RIPvl有類路由協(xié)議不支持不連續(xù)子網(wǎng)不支持VLSM和CIDR采用廣播地址55發(fā)送路由更新不提供認證在路由選擇更新包中不包含子網(wǎng)掩碼信息不能關閉自動匯總RIPv2無類路由協(xié)議支持不連續(xù)子網(wǎng)支持 VLSM 和CIDR采用組播地址發(fā)送路由更新提供明文和MD5認證能關閉自動匯總，提供人工匯總RIP的缺點1、以跳數(shù)為度量值，會選出次優(yōu)路由2、度量值最大為16,限制了網(wǎng)絡的規(guī)模3、可靠性差，接受來自任何設備的更新4、收斂速度慢，通常要 5min左右5、RIP協(xié)議占用太多帶寬RIP中的計時器1、更新計時器用于設置定期路由更新的時間間隔，

9、一般為30s。2、無效計時器180s。才在此路由器上啟動抑即路由條目廢除的時路由器在認定一個路由成為無效路由之前所需等待的時間，缺省是3、抑制計時器用于設置路由信息被抑制的時間。只有某一路由標記為不可達時,制定時器，缺省為 180s。4、廢除計時器用于設置某個路由成為無效路由并將它從路由表中刪除的時間間隔， 間，缺省為240s。5、觸發(fā)更新計時器使用1-5s的隨機值來避免觸發(fā)更新風暴RIPv2認證缺省不進行認證 可以配置多個密鑰，在不同的時間應用不同的密鑰。明文認證的匹配原則1、發(fā)送方發(fā)送最小 Key ID的密鑰2、不攜帶Key ID號碼3、 接收方會和所有 Key Chain中的密鑰進行匹配

10、，若果匹配成功，則認證通過 密文認證的匹配原則1、發(fā)送方發(fā)送最小 Key ID的密鑰2、攜帶Key ID號碼3、 接收方首先會查找是否有相同的Key ID，如果有，只匹配一次，決定認證是否成功。如 果沒有該Key ID，只向下查找一跳，匹配，認證成功；不匹配，認證失敗。OSPF鏈路狀態(tài)路由協(xié)議、內(nèi)部網(wǎng)關路由協(xié)議以帶寬作為度量值路由器之間使用鏈路狀態(tài)通告LSA來交換各自的鏈路狀態(tài)信息，并把獲得的信息存放在鏈路狀態(tài)數(shù)據(jù)庫LSDB中，運用SPF算法生成SPF樹，從而得出路由表。路由器只和DR、BDR建立鄰接關系，路由器只和DR和BDR交換LSA，然后由DR將LSA 傳送給DOTHERRoute-id

11、1人工指定的優(yōu)先2、 選擇激活的具有最高IP地址的環(huán)回接口3、 選擇激活的具有最高IP地址的物理接口LSA共有7類，第一類LSA由區(qū)域內(nèi)所有路由器產(chǎn)生，只能在本區(qū)域內(nèi)泛洪3表：鄰居表、拓撲表、路由表 特征1支持大型網(wǎng)絡、路由收斂快、占用網(wǎng)絡資源少2、無路由環(huán)路3、支持 VLSM 和 CIDR4、支持負載均衡5、支持區(qū)域劃分、提供路由分級管理區(qū)域：將網(wǎng)絡分割成一個“主干”連接的一組相互獨立的部分，這些相互獨立的部分即為區(qū) 域。AreaO，主干區(qū)域，將各區(qū)域連接起來的區(qū)域。主干區(qū)域負責收集非主干區(qū)域發(fā)出的匯總路由信息，并將這些信息傳送到各區(qū)域。 各區(qū)域的路由器只保存該區(qū)域的鏈路狀態(tài)，同一區(qū)域的鏈路

12、狀態(tài)保持同步。 分區(qū)域的好處1減少路由更新2、加速收斂3、限制不穩(wěn)定到一個區(qū)域4、提高網(wǎng)絡性能4種路由器的類型1內(nèi)部路由器（IR）:所有的端口都在同一區(qū)域的路由器2、主干路由器：至少有一個端口連接主干區(qū)域的路由器3、區(qū)域邊界路由器（ABR）;具有連接多區(qū)域端口的路由器4、自治系統(tǒng)邊界路由器（ASBR）:至少有一個連接外部自治域網(wǎng)絡端口的路由器，負責將非OSPF網(wǎng)絡信息傳入 OSPF網(wǎng)絡OSPF的工作流程1建立路由器的鄰居關系2、進行必要的 DR和BDR的選舉3、鏈路狀態(tài)數(shù)據(jù)庫的同步4、產(chǎn)生路由表5、維護路由信息OSPF鄰居關系不能建立的原因1、HELLO和DEAD間隔不同2、區(qū)域號碼不一致3、

13、認證類型或密碼不一樣4、Route-id 相同5、鏈路上的MTU不匹配6、HELLO 包被ACL拒絕認證區(qū)域認證：數(shù)據(jù)交換的驗證基于每一個區(qū)域，該區(qū)域的所有路由器上定義相同的協(xié)議認證方式。鏈路認證：數(shù)據(jù)交換的驗證是基于端口定義的，只在此鏈路上進行認證基于鏈路的認證優(yōu)于基于區(qū)域的認證3種認證類型1、0表示不認證2、1表示簡單密碼認證3、2表示MD5認證廣域網(wǎng)協(xié)議PPP 協(xié)議，HDLC 協(xié)議、Frame Relay 等PPP協(xié)議PAP認證客戶端向服務器發(fā)送用戶名和密碼，服務器進行驗證。特點：1、兩次握手協(xié)議 2、明文方式進行驗證CHAP認證客戶端和服務器分別給出對方的用戶名和密碼，互相進行認證 特

14、點1、二次握手協(xié)議2、只在網(wǎng)絡上傳輸用戶名，而不傳輸口令3、安全性高網(wǎng)絡地址轉換，負責將私有地址轉換為可以被路由的公網(wǎng)地址3種類型靜態(tài)NAT :內(nèi)部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法地址。動態(tài)地址池NAT :在外部網(wǎng)絡中定義了一系列的合法地址網(wǎng)絡地址端口轉換（PAT）:把內(nèi)部地址映射到外部網(wǎng)絡的一個IP地址的不同端口上。ACL基本原理：使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息（源地址、目的地址、協(xié)議號、端口號），根據(jù)預先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。配置ACL的基本原則1、最小特權原則2、最靠近受控對象原則ACL由一系列訪問控制語句組成，按照

15、各訪問控制語句在ACL中的順序，對數(shù)據(jù)包進行檢查，一旦找到了某一匹配條件，就結束比較過程，不再檢查以后的其它條件判斷語句。新的語句總是被加到 ACL的最后，最后將強加一條拒絕全部流量的隱含語句。定義ACL時必須先小范圍精確匹配，再大范圍匹配。4 類 ACL1 標準 ACL ,1-992、擴展 ACL 100-1993、命名ACL4、基于時間的 ACL使用命名ACL的好處1、直觀地表示特定的 ACL2、不受99條標準ACL和100條擴展ACL的限制3、可以對ACL進行修改Show命令R1#show versionR1#show runnin g-c onfigR1#show startup-c

16、onfigR1#show in terfacesR1#show in terfaces fastEthernet 0/0R1#show con trollers fastEthernet 0/0R1#show historyR1#show hostsR1#show clockR1#show usersR1#show ip in terface briefR1#show ip routeSW#show vla nR1#show ip protocolsR1#show ip ospf n eighborR1#show ip ospf databaseR1#show ip nat tran slat

17、i onsR1#show ip nat statisticsR1#clear ip route *R1#clear ip ospf processR1#clear ip nat tran slati on *查看操作系統(tǒng)的名稱和版本查看活動配置文件查看備份配置文件顯示所有路由器端口狀態(tài)顯示特定端口的狀態(tài)顯示特定接口的硬件信息顯示鍵入過的命令歷史列表顯示主機名和地址信息顯示路由器的時間設置顯示所有連接到路由器的用戶 顯示端口的主要信息 查看路由表顯示所有 vlan查看協(xié)議查看OSPF的鄰居關系查看拓撲結構數(shù)據(jù)庫查看當前NAT的轉換情況顯示轉換統(tǒng)計信息清除路由表重啟協(xié)議進程清除轉換表中所有動態(tài)表項

18、SW#show in terfaces fO/24 switchport顯示某一端口的相關信息，包括vlan、trunkR1(co nfig)# int f0/0進入接口R1(config-if)#ip address 配接口 IP 地址R1(co nfig-if)# no shutdow n打開接口在串口的DCE端設置時鐘R1(config)#interface s0/0R1(config-if)#clock rate 64000配置遠程登錄R1(c on fig)#e nable password ccnaR1(c on fig)#e na

19、ble secret ccnpR1(co nfig)#li ne vty 0 4R1(config-line)#password ccieR1(c on fig-l in e)#log inR1(c on fig)#ba nner motd * welcome *R2#te In et 配置靜態(tài)路由R1(config)#ip route f0/0R1(co nfig)#ip route 23.1配置默認路由R1(config)#ip route f0/0R1(config)#ip route 0

20、.0.0.0 R1(config)#ip default-gateway 設置用戶模式進入特權模式的明文密碼 或者設置用戶模式進入特權模式的密文密碼 密文密碼會覆蓋明文密碼進入控制線路配置模式設置遠程登錄密碼開啟登錄密碼保護配置登錄提示信息.1.0 下一跳為本地接口的靜態(tài)路由下一跳為轉發(fā)路由器的IP地址的靜態(tài)路由下一跳為本地接口的默認路由下一跳為轉發(fā)路由器的IP地址的默認路由路由器當主機用時，設置默認網(wǎng)關VLAN的配置SW(co nfig)#vlan 10SW(co nfig)#i n

21、terface f0/1SW(c on fig-if)#switchport mode accessSW(c on fig-if)#switchport access vla n 10SW(co nfig-if)# no shutdow n創(chuàng)建vlan指定模式為acces將接口劃入對應 vlanSW(co nfig)#i nt f0/24SW(c on fig-if)#switchport mode trunkSW(config-if)#switchport trunk encapsulation dot1qSW(co nfig-if)# no shutdow n單臂路由R1(co nfig)

22、#i nt f0/0R1(c on fig-if)# no ip addressR1(c on fig-if)# no shutdow nR1(co nfig)#i nt f0/0.10指定模式為trunk封裝dot1q協(xié)議清除IP地址進入子接口R1(config-subif)#ip address R1(c on fig-subif)# no shutdow nR1con fig-subif)#e neap sulatio n dot1Q 10R1(c on fig-subif)# no shutdow n配置子接口的封裝協(xié)議，并與IP地址VLAN

23、關聯(lián)三層交換機的配置SW(con fig)# in terface vlan 10進入SVI接口SW(con fig-if)#ip address 配置SVI接口的IP地址SW(con fig-if)# no shutdow nRIP的配置R1(c on fig)#router rip設置協(xié)議為RIPR1(c on fig-router)#vers ion 2定義版本號R1(c on fig-router)# no auto-summary關閉自動匯總R1(co nfig-router)# network 宣告直連網(wǎng)段R1(co

24、 nfig-router)#timers basic 30 90 100 300更改計時器RIPv2認證R1(c on fig)#key cha in n ame定義密鑰鏈，進入密鑰鏈配置模式R1(co nfig-keychai n) #key 1定義密鑰序號，進入密鑰配置模式R1(config-keychain-key)#key-string sspu定義密鑰內(nèi)容R1(config)#interface s1/0R1(config-if)#ip rip authentication mode md5指定認證模式R1(config-if)#ip rip authentication mode

25、textR1(c on fig-if)#ip rip authe nticati on key-cha in n ame弓丨用密鑰鏈RIPv2觸發(fā)更新R1(co nfig)#i nt s1/0以太網(wǎng)接口下，不支持觸發(fā)更新R1(c on fig-if)#ip rip triggered啟動觸發(fā)更新OSPF的配置R1(config)#interface f0/0R1(co nfig-if)#ip ospf priority 10定義接口的優(yōu)先級R1(config-if)#ip ospf hello-interval 5修改HELLO間隔R1(co nfig-if)#ip ospf dead-i n

26、terval 20修改DEAD間隔R1(c on fig-if)#ip ospf n etwork poin t-to-po int指定網(wǎng)絡類型為點到點網(wǎng)絡R1(co nfig)#router ospf 110啟動路由進程R1(co nfig-router)# network 55 area 0發(fā)布路由配置基于區(qū)域的明文認證R1(co nfig)#router ospf 110R1(c on fig-router)#area 0 authe nticati onR1(config)#interface f0/0R1(c on fig-if)#ip ospf au

27、the nticati on-key abc配置基于區(qū)域的MD5認證R1(co nfig)#router ospf 110R1(c on fig-router)#area 0 authe nticati on message-digestR1(config)#interface f0/0R1(c on fig-if)#ip ospf message-digest-key 1 md5 abc 配置基于鏈路的明文認證R1(config)#interface f0/0R1(c on fig-if)#ip ospf authe nticati onR1(c on fig-if)#ip ospf aut

28、he nticati on-key abc配置基于鏈路的MD5認證R1(config)#interface f0/0R1(config-if)#ip ospf authentication message-digestR1(c on fig-if)#ip ospf message-digest-key 1 md5 abcPAP認證客戶端配置R1(config)#interface s0/0R1(config-if)#encapsulation pppR1(c on fig-if)#ppp pap sen t-user name R1 password ccie 服務器配置R2(c on fig

29、)#user name R1 password ccieR2(config)#interface s0/0R2(c on fig-if)#e ncapsulati on pppR2(c on fig-if)#ppp authe nticati on papCHAP認證客戶端配置R1(c on fig)#username R2 password ccieR1(config)#interface s0/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chap服務器配置R2(c on fig)#user name R1

30、 password ccieR2(config)#interface s0/0R2(c on fig-if)#e ncapsulati on pppR2(c on fig-if)#ppp authe nticati on chap幀中繼配置R1(config)#interface s0/0封裝幀中繼格式為ietf關閉反向ARP定義幀中繼本地接口管理類型為ansiR1(config-if)#encapsulation frame-relay ietfR1(c on fig-if)# no frame-relay in verse-arpR1(c on fig-if)#frame-relay lm

31、i-type ansi建立幀中繼靜態(tài)地址映射R1(co nfig-if)#frame-relay map ip 102NAT配置R1(co nfig)# int fO/OR1(co nfig-if)#ip address 定義外網(wǎng)地址定義內(nèi)網(wǎng)地址靜態(tài)NAT內(nèi)部本地地址范圍R1(c on fig-if)#ip nat outsideR1(co nfig)#i nt f0/1R1(co nfig-if)#ip address R1(c on fig-if)#ip n at i nsid

32、eR1(co nfig)#ip nat in side source static 動態(tài)地址池配置R1(co nfig)#access-list 1 permit 55R1(config)#ip nat pool abc 0 netmask 外部地址池建立映射關系R1(c on fig)#ip nat in side source list 1 pool abc 靜態(tài)PAT配置R1(co nfig)#ip nat in side source static tcp 1024 1024R1(co nfig)#ip nat in side source static udp 1024 1024動態(tài)PAT配置R1(co nfig)#access-list 1 permit 55內(nèi)部本地地址