小型办公室的组网方案
根据需求组网
需求:
1,微型公司和小型公司,大部分员工都使用无线网络,办公场所的工位数量大概在30~150之间这样的。
2,由于“移动”办公,员工经常会在屋子之间捧着mac book pro或者ipad来回串,如果ssid是不一样的或者不支持漫游,网速会差,所以最好是全公司就一个公用的wifi名字(最多再加个给GUEST用的,或者2.4G和5G分开成两个)。还能支持无缝漫游。
3,如果面积比较大,有多个屋子或者屋子很大,一个无线路由器覆盖不全。
传统解决方案可能有些麻烦而且网络可能不太稳定:
华为的AC+瘦AP的整体方案价格贵。相比之下tplink还是适合选用
方案的组成主要为:
1,路由器(有线的,主要是为了接入外网用的)
2,ac,无线控制器。对所有瘦ap做配置管理的。
3,瘦ap,若干台,根据实际情况来决定由多少台。无线接入点。
4,交换机,用来把上面这些设备连一起,提供主干网络数据传输的。
适合二三十人最低端方案:
TPlink AC/路由 + 2~4台瘦AP
具体设备:
1,TP-LINK TL-R473GP-AC 企业级VPN路由器 千兆端口/AP管理/POE供电
2,TP-LINK TL-AP451C 450M企业级无线吸顶式AP 无线wifi接入点
更具性价比的选择:
TP-LINK AP450I-POE 450M无线86型面板式AP 企业级酒店别墅wifi接入 POE供电 AC管理
考虑到性价比这样选择的好处是,TPlink把路由和AC集成在一个设备上,配置管理简单,但是这种性能没有单独的AC性能好。当然也有其他的限制,首先是:450这个级别的AP,是不支持5G的,只能提供2.4G的接入,从每个设备的无线速度来讲,是要比5G的接入的带宽要小的,对最高无线传输速度没有要求的就无所谓。
如果经常要通过无线互相传超大文件,比如互相传好几十G的文件的,或者做视频直播,如果只有2.4G,超高清(2k,4k啥的)可能会有点卡。虽然在AC里面可能也能配置5G信号,也能把SSID写成xxx_5G,然而。这并没有用,只是名字叫5G的2.4G信号而已。AP没有5G频段那就不是5G的网络。如果对带宽要求不高,2.4G其实更稳定,平时办公上网查资料,上微信qq,淘宝,看个720p视频都没问题。
这个AC+路由的集成设备也是由限制的,比如不能设置多个ip段,如果想在公司内提供多个网段的子网,这个路由器就干不了了。而且这个路由器只有5个口,一个接外网,还剩四个口,可能只能接4个瘦AP了。如果要接更多设备,就再买个交换机吧。AP是支持POE的,这个路由器的口也是支持POE的,所以要添置交换机,而且交换机是要用来接只支持POE的瘦AP的话,记得买支持POE的交换机就是了,比如:
TP-LINK SG1005P 5口千兆4口POE非网管PoE交换机
我们要求无线的带宽最好有5G。
那么把无线ap换成双频的版本就行了,比如:
TP-LINK TL-AP902C-PoE AC900双频企业级无线吸顶式AP 无线wifi接入点
如果你需要单个ap更大带宽,还可以选他们家的TL-AP1200, 1300, 1750版本,就是价格越来越贵。
但其实如果不是非要吸顶的ap,我推荐同样的带宽,选择下面这种面板式的:
TP-LINK TL-AP1200I-PoE AC1200双频无线面板式AP 企业级酒店别墅wifi接入 POE供电 AC管理
还是那句话,我不懂tplink为啥这么定价。
TP-LINK TL-AP1200GI-PoE AC1200双频无线面板式AP 企业级酒店别墅wifi接入 千兆端口 POE供电 AC管理
还有一个要注意的问题,就是如果你选的是吸顶的TL-AP902C-PoE AC900双频的AP,要注意这个的5G,只支持国内的信道标准,149~161. 有些美国或者哪个国家的无线网卡,可能不支持这个信道范围,比如我们的nvidia的一个设备,支持的是3648这个段的,所以在买之前事先大概了解一下你们的主要设备是不是支持149161. 如果你想更兼容,可以在买AP的时候买高端版本的,比如吸顶的话,TL-AP1300C-POE 以上的都支持3648和149161. 面板式的AP,1200双频及其以上的就都支持了。
这里我就遇到坑了,我们公司就是有核心设备就只支持36~48,而且带宽必须要大,所以必须用5G,然而我买AP的时候贪便宜,买了吸顶的TL-AP902C-PoE,当时没仔细看还有面板式的。。后来只好又买了TL-AP1200I, 然后今天又发现AP1200I只有百兆有线口,我为什么没有一上来就买TL-AP1200GI。
如果你们需要多个网段,更好的内网控制,那就不能用这款集成路由器了。
如果你们觉得这款集成路由里的AC控制也有点弱,比如不能设置两个不同频段的5G分成两名字,也不能用这款集成路由了。可能需要把方案里集成路由换成 路由 + AC 分开的两个更好的设备。
比如:
如果要路由器支持多网段,可以选
TP-LINK TL-ER3220G 双核多WAN口千兆企业VPN路由器 防火墙/VPN/微信连WiFi/AP管理功能
这款有5个千兆网口,1WAN+3WAN/LAN+1LAN
3个口是wan/lan 可选的,可以在这些口上自定义不同的内网网段,当然也可以支持多WAN口备份。。
另外,如果你们原来就有无线路由器或者别的什么路由器,如果还比较稳定的话,在改造无线网络的时候可以用原来的路由器,只需要把无线功能关了,只把它当有线路由器使用就行了,这样能够节省成本,不过这样你就得单买个ac控制器,比如:
TP-LINK TL-AC100 无线控制器
所以目前根据我们公司的需要,我理想的配置应该是:
TP-LINK TL-ER3220G(路由器+ac) + TP-LINK SG1005P(交换机) + 2个 TP-LINK TL-AP1200GI-PoE(面板ap)
有一根20米的网线,一共1900元搞定。
当然我那个交换机是因为我们还有之前的别的设备需要有线连,口有点不够。
在部署ap的时候要注意的就是:
1,尽量分散开,比如如果你们就只有一个大厅,那就把ap放在四个角,这样互相尽量不干扰,而屋里信号又覆盖比较均匀。
2,尽量把每个ap的信号调弱,ac里面能设置每个ap的信号强度,尽量设置弱一些,因为是多个ap,不怕覆盖不到,只怕多了互相干扰。
3,尽量把每个ap的信道设置分开,比如2.4G,还举上面大屋放四个角的例子,那么一个对角的两个ap分别设置成1,和11,另外一对对角的两个设置成6. 如果更多ap,那就类似,让每一个ap周围的其他ap都和它的信号隔开。如果是5G,信道也类似的分隔开。别用ac里面信道那个“自动”。我选了自动之后,发现几个ap全都是11信道。
连接部署方式在那些设备的介绍页面都有,这里随便截一个:
image.png
如果用的是AC和路由集成的,上面两个设备就成了一个。 如果口用的不多,而且集成路由器的口支持POE,那连POE交换机都不用。有的AP,比如面板1200GI那个,在AC里可能看不到,更新AC数据库就行了,打电话给TPlink,让他们给你传个新的。
AP、路由、中继、桥接、客户端模式之间的区别
image.png
注意:有的型号的TP-Link 迷你无线路由器上只有AP(接入点)模式、Router(无线路由)模式、Repeater(中继)模式这3种模式。
一、AP(接入点)模式
AP(接入点)模式下,只需要把一根可以上网的网线插在192.168.1.253路由器上,无需任何配置就可以上网了;但需要注意这时候 192.168.1.253路由器上的无线网络未加密,建议设置一个无线密码。在此模式下,该设备相当于一台无线HUB,可实现无线之间、无线到有线、无线到广域网络的访问。最常见的能够提供无线客户端的接入,例如:无线网卡接入等。
具体设置步骤:
该产品出厂默认是AP模式,用网线将设备与宽带接口连接,搜索该设备的无线信号进行连接,把无线IP地址改为自动获取即可(一般情况下,宽带路由器提供分配IP地址功能,DHCP)。多数单纯性无线AP本身不具备路由功能,包括DNS、DHCP、Firewall在内的服务器功能都必须有独立的路由或是计算机来完成。目前大多数的无线AP都支持多用户(30-100台电脑)接入,数据加密,多速率发送等功能,在家庭、办公室内,一个无线AP便可实现所有电脑的无线接入。AP即可以和无线网卡建立无线连接,也可以和有线网卡通过网线建立有线连接。在这种模式下,无线1到13。选择中应该注意的是,如果周围环境中还有其他的无线网络,尽量不要与它使用相同的频率段。
同时注意开启无线功能,就是不要选中‘关闭无线功能’的这个选项即可。选中‘Access Point’选项,设置好SSID号即可。注意,通过无线方式与我们的无线AP建立连接的无线网卡上设置的SSID号必需与我们无线AP上设置的SSID号相同,否则无法接入网络。
适用场所:例如宾馆、酒店或者其它提供了一根网线上网的场所.
二、Router(无线路由)模式
在Router(无线路由)模式下,192.168.1.253路由器就相当于一台普通的无线宽带路由器;需要连接ADSL Modem(猫)或者光猫等设备来进行配置。
image.png
适用场所:用户自己办理了宽带业务情况下使用。
三、Repeater(中继)模式
Repeater(中继)模式下,192.168.1.253路由器会通过无线的方式与一台可以上网的无线路由器建立连接,用来放大可以上网的无线路由器上的无线信号;
注意:放大后的无线信号的名称和原来的无线路由器的无线信号名称一致。
image.png
适用场所:有一台可以上网的无线路由器,但是该无线路由器的无线信号覆盖有线,希望无线信号可以覆盖更广泛的范围时使用。
四、Bridge(桥接)模式
Bridge(桥接)模式,192.168.1.253路由器会通过无线的方式与一台可以上网的无线路由器建立连接,用来放大可以上网的无线路由器上的无线信号;
注意:放大后的无线信号的名称和原来的无线路由器的无线信号名称不一样。
image.png
适用场所:有一台可以上网的无线路由器,但是该无线路由器的无线信号覆盖有线,希望无线信号可以覆盖更广泛的范围时使用。
五、Client(客户端)模式
Client(客户端)模式下,192.168.1.253路由器相当于一块无线网卡,用来接收其它无线路由器上的无线信号;电脑只能够通过网线连接到192.168.1.253路由器上使用。
image.png
适用场所:附近有无线信号,并且用户知道该无线信号密码,用户的台式电脑想连接该无线信号上网时使用。
友情提示:
Repeater(中继)模式和Bridge(桥接)模式都是通过无线的方式连接到一台可以上网的无线路由器上,放大该无线路由器上的无线信号;区别在于Repeater(中继)模式下放大后的无线信号名称和之前路由器上的一致,而Bridge(桥接)模式放大后的无线信号名称和之前路由器上的无线信号名称不同。
支持高达7种AP工作模式
根据需要 DAP-1360可配置为七种不同模式。
接入点模式(AP)允许设备作为无线用户的中心集线器。
无线客户端模式(AP Client)能使DAP- 1360连接到另一个接入点。
桥接器模式(WDS)将两个有线网络(LAN)连接在一起。
AP桥接器模式中(WDS+AP),设备可同时作为无线集线器和桥接器。
中继器模式(Repeater)可扩展无线覆盖范围,消除所有“盲”点。
WISP客户端路由器模式(Wisp client router)允许无线Internet服务用户在不需要额外路由器的情况下,与支持以太网计算机的家庭/办公室用户共享Internet 连接。
最后,设备还可作为 WISP中继器(Wish Repeater),在没有额外路由器的情况下,使WISP用户与有线和无线计算机共享Internet连接。
保护您的无线网络和数据
DAP-1360提供的64/128-字节WEP加密和WPA/WPA2安全设置能保护您的网络和无线数据。该设备同样支持Wi-Fi保护安装(WPS),可以快速安全地设置无线网络。此外,接入点特有的MAC地址过滤和禁用SSID广播功能可限制外来者访问您的家庭和办公室网络。
首款支持WISP拨号上网的无线路由器
无线互联网服务提供商(WISP)采用中等无线技术提供到用户计算机的连接。WISP提供了从小型热点到几千米的覆盖范围。用户通过DAP-1360便可以无线连接上这些WISP,享用无线上网。(示意图如下)
快速简易地安装您的AP
使用DAP-1360安装向导,在几分钟内即可完成您无线网络的设置,并能配置您DAP-1360的运行模式,易于在网络中添加新的无线设备。使用DAP-1360,可快速简易地为您的家庭和办公室创建一个简单的无线网络。
由于3G和来智能手机的迅猛发展,让手机搜索的应用开始逐渐主流化。而与传统的互联网搜索相比,其便利性更高。像手机网民可以在任何时间、任何地点进行对内容的搜索,包括新闻、酒店等信息。可见3G如此之便利。那么如果同时有多台设备怎么办?下面我们就以TL-WR703N 150M 迷你型3G 无线路由器为例介绍如何实现多台设备共享3G上网。
TL-WR703N 150M 迷你型3G 无线路由器是专为满足需要经常出差的商务人士的无线上网需要而设计的。它基于IEEE 802.11n 标准,能扩展无线网络范围,提供最高达150Mbps 的稳定传输,同时兼容IEEE 802.11b 和IEEE 802.11g 标准。
TL-WR703N 外观小巧,携带轻便。它可以轻松将3G 网络转为Wi-Fi 信号,使没有3G 功能的iPad、笔记本电脑以及一部分保有GSM 手机号码但正在使用智能手机的用户得以通过Wi-Fi 共享3G 网络。同时TL-WR703N 提供三种供电方式,省去携带一大堆电源适配器的烦恼,使用更加灵活;即插即用,并提供多种工作模式,满足灵活多变的组网方案。TL-WR703N 功能实用、性能优越、易于管理并且提供多重安全防护措施,可以有效保护用户的无线上网安全。
网络故障
我们有时候上网时可能会发现一时能上网,一时不能上网。在解决网络的故障时,我们首先要搞清网络的拓扑结构。然后分析问题出在那个部位,再针对问题给出解决的办法。
如下网络的拓扑结构
image.png
一眼看过我们或许就觉得这个拓扑结构有问题,下面我们分析一下
存在的问题有以下几点:
1、整体网络结构不规范。没有遵守核心层、汇聚层、接入层的组网方式;
2、所有的路由器都没有优化配置:房间路由器的WAN接口没有配置固定IP地址,LAN接口没有修改网络地址段;且全都默认开启了DHCP功能。导致局域网众多的路由器都提供DHCP服务,这也是一时能上网,一时不能上网的关键问题所在。
解决办法:
1、查看主路由器LAN口的IP地址配置情况,确定网络地址是多少。如下图,网络地址是:192.168.1.0。如果主路由器不提供WIFI接入功能,最好把DHCP也关闭掉。
image.png
image.png
2、进入自己房间的路由器。不同厂家的进入地址会有区别,拿起路由器看肚子下面的标签。实在进不去可以恢复出厂设置再进。
image.png
高级设置进入WAN口的配置:
image.png
确保IP地址是在192.168.1.0网段。可际可以用的IP地址数是从1到254。其中192.168.1.1是主路由器使用了的,固可以填写的是从2到254。如有冲突可以这个范围里变换。
然后进入LAN的设置:
image.png
确保网络段不在192.168.1.0即可,可从192.168.2.0到192.168.255.0中选取。
路由器会提示重启。然后就可以顺畅的上网了。
修改配置的作用是让主路由器的LAN和接入路由器的WAN口在192.168.1.0网段。而接入路由器的LAN口在其它网段,且接入路由器的WAN口配置为固定IP。网络中再多的DHCP服务器也改变不了它,上网就稳定了。
这种网络结构最好是使用无线AP,主路由器集中管理。配置简单、方便维护。参照网络拓扑图如下:
image.png
通过VLAN模板来实现OLT的二层互通
OLT+ONU本是电信公司用于解决企业和家庭在“光进铜退”时期远距离接入互联网的一种组网方式,因为良好的可扩展性迅速发展成为办公楼内部局域网的组网方式。
OLT老大哥手下管理着众多ONU小弟,每一个ONU就是一个家庭或是一个企业,这些家庭和企业因为安全性问题,是不可能通信的,即他们都可以连入互联网,但是相互是不通的。这就是一个特性。
但是在企业内部局域网就不行了呀,你比如共享一个文件,或是共享一个打印机,这么高上大的设备,ping同一个网络的设备,居然是不通的!很惊奇对吧!需要的小伙伴只需要按如下的方式就可以实现你的目标:
MA5683T(config)#vlan 177
MA5683T(config)#vlan service-profile profile-id 1
MA5683T(config-vlan-srvprof-1)#user-bridging enable
MA5683T(config-vlan-srvprof-1)#commit
MA5683T(config-vlan-srvprof-1)#quit
MA5683T(config)#vlan bind service-profile 177 profile-id 1
MA5683T(config)#
详细解说如下图:
image.png
网络拓扑
物理拓扑、逻辑拓扑
物理拓扑:反映实物连接的拓扑图
物理拓扑分三种:总线形、星形、环形、树形
image
逻辑拓扑:便与思维理解的拓扑图,只是表示网络中一个点到另一个点的路径,并不是具体结构。
OSI七层模型
物理层---数据链路层---网络层---传输层---会话层---表示层---应用层
注:
1、应用层:为应用提供网络跟身份验证。
2、表示层:确保接收可读。
3、会话层:建立、管理应用程序之间的对话
4、传输层:数据传输,使用TCP、UDP协议
5、网络层:使用IP识别、网关
6、数据链路层:使用MAC地址,交换机、VALN
7、物理层:定义规范、标准各种网线设备接口
TCP/IP模型
物理层---数据链路层---网络层---传输层---应用层
注:
1、TCP/IP模型中应用层其实实现的是OSI模型中应用层、表示层、会话层三层功能;
2、数据链路层与物理层又合称网络访问层。
IP地址的分类
IP地址分为三类:
A类 1.0.0.0~127.255.255.255
B类 128.0.0.0~191.255.255.255
C类 192.0.0.0~223.255.255.255
其中私有IP范围:
A类 10.0.0.0~10.255.255.255
B类 172.16.0.0~172.31.255.255
C类 192.168.0.0~192.168.255.255
公有IP范围:
A类 1.0.0.0~9.255.255.255和11.0.0.0~127.255.255.255
B类 128.0.0.0~172.15.255.255和172.32.0.0~191.255.255.255
C类 192.0.0.0~192.167.255.255和192.169.0.0~223.255.255.255
127.0.0.0~127.255.255.255为环回地址
IP地址的ABC三段,由子网掩码区分
DHCP
DHCP技术:动态分配IP的技术,由DHCP服务器分配。
防范DHCP攻击的方法:设置唯一端口。
具体步骤:
1、客户端向DHCP服务器发送广播请求;
2、DHCP服务器广播回复客户端;
3、客户端向DHCP服务器单独发送请求;
4、DHCP服务器为客户端发送分配的IP。
DNS
DNS为域名解析系统。用户将一个域名发送至DNS服务器,由DNS服务器解析这个域名,得到相应的IP地址,发送到客户端,客户再由IP地址访问网站。
ARP
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。
ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。
OSI模型把网络工作分为七层,IP地址在第三层,MAC地址在第二层,彼此不直接打交道。在通过以太网发送IP数据包时,需要先封装第三层(32位IP地址)、第二层(48位MAC地址)的报头,但由于发送时只知道目标IP地址,不知道其MAC地址,又不能跨第二、三层,所以需要使用地址解析协议。使用地址解析协议,可根据网络层IP数据包包头中的IP地址信息解析出目标硬件地址(MAC地址)信息,以保证通信的顺利进行。
image.png
image.png
image.png
image.png
工作过程
主机A的IP地址为192.168.1.1,MAC地址为0A-11-22-33-44-01;
主机B的IP地址为192.168.1.2,MAC地址为0A-11-22-33-44-02;
当主机A要与主机B通信时,地址解析协议可以将主机B的IP地址(192.168.1.2)解析成主机B的MAC地址,以下为工作流程:
第1步:根据主机A上的路由表内容,IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。
第2步:如果主机A在ARP缓存中没有找到映射,它将询问192.168.1.2的硬件地址,从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配,它将丢弃ARP请求。
第3步:主机B确定ARP请求中的IP地址与自己的IP地址匹配,则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。
第4步:主机B将包含其MAC地址的ARP回复消息直接发送回主机A。
第5步:当主机A收到从主机B发来的ARP回复消息时,会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的,生存期结束后,将再次重复上面的过程。主机B的MAC地址一旦确定,主机A就能向主机B发送IP通信了。
路由配置
通信方式
半双工通信发生故障几率高,但成本低;
双工通信发生故障几率低,但成本高。
交换机工作原理
1、组播广播,未知单播全部泛洪;
2、依据目标mac地址进行转发;
3、源MAC地址记录。
路由器工作原理
1、查询路由表,依据目标IP转发;
2、通过动态路由协议静态路由协议等进行填充;
3、单播、组播、广播转发(特殊:全广播隔离,定向广播转发)。
组建网络
核心层:提供核心路由和分布站点间最佳传输
汇聚层:又叫分布层,提供基于策略的连接,点减少、汇聚
接入层:提供网间环境共用组访问。
为什么会有核心层?
1、便有管理
2、节省接口
3、节省资金
4、减少对外接口,提高安全性
路由配置相关命令
1、进入后为用户模式,很少用,权限低;
2、enable后进入特权模式,少部分操作在这一层;
3、conf t 后进入配置模式(全局模式),大部分操作都在此层;(config)
4、int 接口号 后进入接口模式,接口相关配置在此层完成。(config-if)
show running config 查看当前所有配置
记录会话功能
show ip interface brief 查看当前接口信息
show ip int 接口 查看当前接口详细信息
上下键可调用历史命令
Show history 查看历史命令
Show mac 查看mac地址表
配置接口ip地址详细步骤:
1、en
2、conf t
3、int 接口号
4、ip add ip地址 掩码
5、no shutdown
6、检查测试(ping)
对路由器重命名hostname
查看路由表show ip route
默认网关(在全局模式下):
ip default -gatway 网关地址
静态路由配置方法:(在全局模式下)
方法1:ip route 目的ip 掩码 接口号
方法2:ip route 目的ip 掩码 下一跳
默认路由配置方法(在全局模式下):
ip route 0.0.0.0 0.0.0.0 默认路由ip地址。
接口中的loopback接口:
属于虚拟接口;多用于标识路由身份。
保存配置的两种方法:
方法1:write
方法2:copy running-config startup-config
设置密码:password
远程管理:
1、telnet,最常见的访问方法,简单,但不安全
2、SSH,有两个版本,采用加密方式保障信息安全,比Telnet多设置域名跟密码
端口安全:
1、未经授权的MAC地址禁止访问;
2、限制通过的MAC地址数量;
3、通过禁用闲置端口来保障端口安全。
几条常用命令:
1、description 注释接口信息(有长度,最大238字符);
2、banner login “欢迎语”;
3、show session 查看会话;
4、show users 查看正在使用的用户;
5、Ctrl-shift-6 暂停;
6、disconnect 关闭当前会话;
7、show 静态查看;
8、debug 调试命令,动态查看。
动态ip(DHCP)
在配置模式下:
ip dhcp pool xxx
network 地址池 掩码
default-route 网关
dns-server 域名解析地址
思科邻居发现协议:
show cdp neighbors 仅限于思科设备之间,发现网络中的邻居
配置路由步骤:
1、先配ip地址;
2、检查直连是否通畅;
3、配置下一跳(在配置完一条,必须在反方向再配一条)。
为什么要使用二层网络环境?
提供冗余,防止网络由于单链路或者单设备的故障而导致网络瘫痪。
VLAN的实现方式:基于端口
路由协议
路由表:网络 下一条(接口)优先走最精确
直连:路由器连接到该网络;
静态路由:由管理员手动输入
动态路由:DHCP服务器自动分配
默认路由:ip route 0.0.0.0 0.0.0.0 默认路由ip地址
VLAN
添加VLAN的两种方法:
1、在VLAN Database下配置
2、在全局模式下。
VLAN的好处:便于管理 安全
关于trunk:
一般在交换机之间或交换机与路由器之间使用,有两种封装模式(do1a为公有,ISL为思科专利)
限制VLAN通过:swichport truck allowed vlan 1,5,,11,1002,1005
访问控制列表和网络地址转换
VTP协议
1、VTP为思科独有;
2、用来传输VLAN配置信息,在整个网络中分布和同步VLAN信息;
3、VTP中有damain(域)的概念,在相同的域才能传播VLAN信息;
4、VTP消息只能在trunk上传输;
5、VTP有三种模式,server、client、transparent,每五分钟一次刷新。
server模式:
1、添加、删除、修改VLAN信息;
2、发送转发VLAN信息;
3、存在NVRAM中;
client模式:
1、不能添加、删除、修改VLAN信息;
2、发送转发VLAN信息;
3、不存在NVRAM中;
transparent模式:只能转发,不能学习。
VTP高版本会向低版本传输。
防倒灌现象方法:
(基本原则为:将新加入的交换机配置版本改为0)
1、改域名,改成其他域名再改回来;
2、改模式,改为透明模式;
3、清空配置。
关于生成树协议整体描述
1、生成树协议包括:STP(802,1D)、RSTP(802,1w)、MST(802,1s);
2、生成树协议,物理上有环,逻辑无环;
3、生成树协议使用的包:BPDU(桥协议数据单元)。
控制访问列表ACL
两个功能:过滤,通过过滤经过路由器的数据包来管理ip流量;
分类,标识流量进行特殊处理。
网络地址转换
使用NAT、PAT(如今统称NAT),分三种方式
静态:一对一的地址映射。
动态:从地址池中挑选地址映射。
过载:允许多个内部地址映射到一个地址,以端口来区分。
配置检验静态转换
ip nat inside source static local-ip global-ip 建立内部本地地址与内部全局地址间的静态转换
ip nat inside 将该接口标记为连接内部网络的接口
ip nat outside 将该接口标记为连接外部网络的接口
show ip nat translations 显示活动的转换
过载地址转换
RouterX(config) # access-list access-list-number permit source source-wildcard
定义允许那些要被转换的内部本地地址的标准 ip ACL
RouterX(config)# ip nat inside source list access-list-number interface interface overload
建立动态源转换,指定上一步定义的ACL
RouterX# show ip nat translations
显示活动的转换
静态与动态路由协议
路由协议:
在路由器之间确定路径和维护路由表,分为四种;
1、直连路由协议;
2、默认路由协议;
3、静态路由协议;
4、动态路由协议。
默认路由可以手工设置也可动态输入。
在实际网络中直连和默认路由必须有,静态路由跟动态路由必须有一个。
动态路由协议
主要原理是将本机地址“喊”出去。
动态路由协议有:
1、RIP 用于实验环境,管理小型网络
2、EIGRP (IGP)
3、LGRP (IGP)
4、OSPF (IGP)最常用,应用率高。
5、BGP (EGP)
6、IS-IS (EGP)
7、MPIS
有类路由协议:发送的路由更新不包含子网掩码。
无类路由协议:发送的路由更新包含子网掩码。
路由环路
产生原因:
1、缓慢的收敛会产生不一致的路由;
2、更新产生累加,从而形成路由环路。
解决方法
1、定义最大值,到达数值后不再累加。
2、水平分割法(两种)
1简单水平分割:从本接口收到的路由条目不再从此接口发出;
2带毒性逆转的水平分割:从本接口发出的路由条目,会从本接口发出,但标记为不可达。
3、抑制计时器,路由器为网络中可能的故障延时,确认后在更新。
网友评论