CCNA基础知识汇总

ACL：访问控制列表：

配置在路由器接口上的一组策略，根据数据包中的3层或4层信息，用来实现对数据包的访

问控制：

列表分为标准列表和扩展列表：

标准访问控制列表：只根据3层信息去判断，而且只能依据源IP地址去屏蔽。

标准列表的定义：

R3(config)#ipaccess-liststandard1(1-99标准列表的标号)

R3(config-std-nacl)#deny55

R3(config-std-nacl)#permit55

R3(config-std-nacl)#permitany

等等，先定义出列表，然后定义策略。deny拒绝，permit允许。标准列表只基于原地址：

可以是ip或是一段网络，同样适用反向掩码来匹配。

匹配过程：从第一列开始匹配，顺次往下，匹配到任何一条都按照这条的规则执行，而不会

继续往下在匹配了。最有有一条是隐士默认拒绝一切的。

标准列表的放置位置：一般放置在离目的地最近的地方。

将列表应用到接口上：

R3(config-if)#ipaccess-group1out1代表列表的标号：

扩展访问列表的定义：

可以根据3、4层的信息，遵循的协议以及协议传输端口进行数据屏蔽。扩展列表既考虑源,

也考虑目的。

R3#showipaccess-lists查看定义的列表。

扩展列表的定义：

Rl(config)#ipaccess-listextended100100是列表的标号(100-199)

Rl(config-ext-nacl)#denytcp55hosteq80

阻止tcp传输，源地址为网络，目的地址为的目的端口等于80的

数据包通过。

同样，默认隐式拒绝一切：禁止的是ip协议。

Rl(config-ext-nacl)#permitipanyany允许所有ip协议通过。

扩展列表一般定义在离源最近的|地方|

icmp：

en

configt

linecon0

loggsyn

nodomain-lookup

exec-t00

hostR

策略路由：

nat：

en

conft

noipdomain-lookup

linecon0

loggsyn

exec-t00

hostR

ACL：访问控制列表可以认为是路由器上的防火墙。

防火墙，通过对穿越的数据包进行检查，允许符合规则的数据包通过，拒绝非法的数据包通

过，从而保障内网的安全。

1、ACL只对穿越的数据包有效。

2、ACL的转发优先级要高于路由表。

3、ACL是应用在接口上的。

ACL如何检查数据包

ACL可以读取数据包的IP包头和TCP/UDP包头，三层和四层的包头。ACL可以对数据的源地

址和目的地址，以及源端口和目标端口进行检查。

ACL存在默认的规则：拒绝所有，所以在创建列表的时候最后一定要加上允许的规则。

ACL按照顺序进行匹配，通常将严格的规则写在前面。

标准访问控制列表

只检查数据包的源地址

编号：1-99

写法1：

rl(config)#access-list1permitany

rl(config)#access-list1deny//拒绝所有源为1.1,1.1的通讯

rl(config)#access-list1denyhost〃同上(host可以指定主机)

如果是网段

rl(config)#access-list1deny55〃拒绝所有源为1.1,1.1的通讯

ACL应用到接口上

rl(config-if)#ints0/0

rl(config-if)#ipaccess-group1in〃将ACL1应用在sO/3的in流入方向。

标准的ACL一般应用在离目的地址近的接口上。这个接口往往是出接口

写法2：

r2(config)#ipaccess-liststandard1

r2(config-std-nacl)#permitany

r2(config-std-nacl)#deny

扩展访问控制列表

检查数据包的源地址、目的地址、协议类型、端口号

编号:100-199

写法1：

r2(config)#access-list100permitipanyany〃允许所有IP通讯(any可以代表所有网段)

r2(config)#access-list100denyicmphost55〃拒绝源地址为的目

的地址为网段的icmp数据包

r2(config)#access-list100denyicmp5555

拒绝源地址为网段，目标地址为网段的icmp数据包

写法2：

r2(config)#ipaccess-listextended100

r2(config-ext-nacl)#denytcp5555eq80

r2(config-ext-nacl)#denytcp5555eq80

〃拒绝基于TCP连接的80端口的源地址为和,目的地址为的所有

数据包。

如果列表如下

r2#showipaccess-lists

ExtendedIPaccesslist100

20denyicmphost55(11matches)

30denyicmp5555(11matches)

40permitipanyany(106matches)

50denytcp5555eqwww

60denytcp5555eqwww

要去掉其中的规则

r2(config)#ipaccess-listextended100

r2(config-ext-nacl)#no50

r2(config-ext-nacl)#no60〃去掉50和60两条规则

插入规则，编号为10(只能在扩展的ACL中应用)

r2(config)#ipaccess-listextended100

r2(config-ext-nacl)#10denytcp5555eqwww

rl#showipaccess-lists〃查看列表信息

r2#showaccess-lists

总结

标准的ACL,语法结构

写法1：

rl(config)#access-list1deny

ACL的编号动作IP地址或网段通配符掩码(反掩码)

写法2：

r2(config)#ipaccess-liststandard1〃增加编号为1的ACL并进入ACL编辑模式，进行输入

r2(config-std-nacl)#permitany

r2(config-std-nacl)#deny

动作IP地址或网段通配符掩码

扩展的访问控制列表，语法结构

r2(config)#access-list100denyicmphost55

ACL的编号动作协议源地址或网段(反掩码)目标地址或网段

写法2：

r2(config)#ipaccess-listextended100〃增加编号为100的ACL并进入ACL编辑模式，进行输

入

r2(config-ext-nacl)#denytcp5555eq80

动作协议源地址或网段目标地址或网段端口等于端口号

r2(config-ext-nacl)#10denytcp5555eqwww

规则编号动作协议端口号或服务

注意:

对于一个接口的一个方向只能应用1个ACL

在ACL中，你输入列表条目的顺序就是IOS测试的顺序。(扩展的可以指定编号进行插入)

记住：把最严格的条目写在最上面，并且注意好判断语句之间的逻辑顺序，防止出错。

ACL的最后一行语句默认是拒绝所有，此条目并不显示，所以要非常注意。你要根据实际情

况，添加相应的

允许(permit)语句。

cisco访问vpn配置步骤：

1、配置第一阶段协商策略,IKE策略

VPN(config)#cryptoisakmppolicy1一设置ipsec密钥交换IKE的isakmp策略

VPN(config-isakmp)#encryption3des一设置加密算法

VPN(config-isakmp)#hashmd5-md5计算hash

VPN(config-isakmp)#authenticationpre-share--认证采用与共享密钥

VPN(config-isakmp)#group2-设置dh算法的组，和dh算法相关

2、配置IKE客户端配置组参数，其中clientgroup是自己定义的任意命名

VPN(config)#cryptoisakmpclientconfigurationgroupclientgroup--设置组名，客户拨入的用户

名

VPN(config-isakmp-group)#key123456--设置用户的拨入密码

VPN(config-isakmp-group)#poolippool一地址由地址池分配

3、配置IPSEC转换集，供下面的动态影射模板调用

VPN(config)#cryptoipsectransform-setipsectransesp-3desesp-md5-hmac

名称为ipsectrans

4、配置动态影射模板,并调用IPSEC转换集

VPN(config)#cryptodynamic-mapdynamicmap1定义动态映射模板，名称为dynamicmap。

VPN(config-crypto-map)#settransform-setipsectrans设置转换集，并调用上面定义的集

ipsectrans

5、配置真实的加密影射，并关联IKE的授权列表,响应客户段地址请求

VPN(config)#cryptomapactmapisakmpauthorizationlistclientgroup一定义atcmap，匹配前

面定义的客户端的组名clientgroup

VPN(config)#cryptomapactmapclientconfigurationaddressrespond--定义actmap,响应客户

端的地址请求。

6、调用动态影射模板

VPN(config)#cryptomapactmap1ipsec-isakmpdynamicdynamicmap

7、VPN(config)#intf0/0

VPN(config-if)#cryptomapactmap

8、定义本地地址池

VPN(config)#iplocalpoolippool54

9、设置路由

VPN(config)#iproutef0/0

客户端借助软件连接访问即可。

1＞配置IKE

Router(config)#cryptoisakmpenable

Router(config)#cryptoisakmppolicy1

Router(config-isakmp)#authenticationpre-share

Router(config-isakmp)#encryptiondes

Router(config-isakmp)#group1

Router(config-isakmp)#hashmd5

Router(config-isakmp)#lifetime86400

Router(config)#cryptoisakmpidentityaddress定义联系对端的方式，使用地址

Router(config)#cryptoisakmpkey0ciscoaddress设置共享的密钥和对端ip

2、配置IPsec

Router(config)#cryptoipsectransform-setbjsetesp-desesp-md5-hmac定义转换集bjset

Router(config)#cryptoipsecsecurity-associationlifetimeseconds2700定义ipsecsa生存时间

Router(config)#access-list100permit5555./定义感兴趣

的数据流

Router(config)#cryptomapbjmap1ipsec-isakmp定义cryptomap,名称为bjmap

Router(config-crypto-map)#setpeer

Router(config-crypto-map)#settransform-setbjset匹酉已转换集

Router(config-crypto-map)#matchaddress100匹配列表100

3、应用接口

Router(config)#intsO/O

Router(config-if)#cryptomapbjmap

什么是IPSec

IPSec作用于网络层，用来保护数据和认证IP数据包

1、开放的标准架构：独立于算法，

2、提供数据的机密性(confidentiality)、完整性(integrity)、源认证(originauthentication),反

回放保护(anti-replayprotection)

机密性：

加密密钥(key)：对称和非对称

对称特征：抵挡加密算法的攻击：算法的时代性

可变长的密钥长度和可预测性

雪崩效应：如果数据被改变将产生很大的变化

密钥交换(DHKeyExchange):可以在公众网络交换密钥

非对称：公钥和私钥

RSA加密

加密算法：DES,3DES、AES,RSA

两者比较：

对称：加密速度快(线速)，适合大数据块加密

密钥管理问题

需很少的硬件协助

非对称：往往要硬件支持

完整性：

Hash算法：

单向功能

固定长度的摘要(指纹)

雪崩效应

HMAC算法：不可抵挡中间人攻击

SHA-1：160bit

MD5：128bit

源认证(Peerauth)：

Pre-sharedkeys：Hash(key+ID)=Hashl(key+ID)

RSAsignatures:Privatekey[Hash(key+ID)]

RSA、DSA

数据认证、数据完整性、交易的不可否定性

RSAencryptednonces(随机数):尾随

IPSec安全协议

AH(authenticationheader):51

认证：对源认证

完整性：对整个数据做完整性包括IP头

不提供数据的加密、提供反回放保护(加数据报的序列号)

hash(lPheader+data+key)结果插入IP包字段AH(24byte)

ESP(EncapsulatingSecurityPayload):50

加密

认证

完整性：仅对Payload部分做完整性

反回放保护

传输模式(transportmode):不修改IPheader

隧道模式(Tunnelmode)：修改IPheader

IPSec结构

协议：ESP、AH、ESP+AH

加密：DES、3DES、AES

认证：MD5、SHA

DH：DHl(768bit)、DH2(1024bit)

IPSecSA(SecurityAssociations):搜集必要的信息告诉对方以什么样的机制发送和接受数据包,

包括使用ESP还是AH、MD5、和对端IP地址等。

创建SA的两种方式：

手动指定所有SA参数

动态协商(IKE)：自动完成整个密钥交换过程

1、认证对端

2、产生和刷新密钥

3、协商SA

4、“对称”策略

5、提供PFS功能lifetime时间到时重新生成Key,与上一个Key没有推导性(关联性)

IKE方式IPSec

1、定义感兴趣的流量触发IPSec连接，

2、协商IKESA建立安全通道、交换密钥(DHexchange)、验证对端ID(IP地址或FQDN)

3、协商IPSecSA：IPSec变换集(transformsets)

4、传输IPSec数据

5、终止:lifetimetimeout或counterexceeded

配置IKE

Router(config)#(no)cryptoisakmpenable/启用IKE

Router(config)#cryptoisakmppolicy(优先级)/创建IKE策略

Router(config-isakmp)#authenticationpre-shared

Router(config-isakmp)#encriptiondes

Router(config-isakmp)#group3/2

Router(config-isakmp)#hashMD5

Router(config-isakmp)#lifetime86400

Router(config)#cryptoisakmpid[add]/定义联系对端的方式，可省略

Router(config)#cryptoisakmpkey[key]add[add]/定义预共享密钥

Router#shcryptoisakmppolicy

配置IPSec

Router(config)#cryptoipsectransform-set[name][transforms]/定义变换集，协商

Router(config)#cryptoipsecsecurity-associationlifetimekelobyteXXX/定义协商lifetime

Router(config)#access-list100permitip.../定义感兴趣的数据流

Router(config)#cryptomap[map-name][seq-num]ipsec-isakmp/定义cryptomap

Router(config-crypto-map)#matchaddress100

Router(config-crypto-map)#setpeer[add]

Router(config-crypto-map)#setpfsgroup1

Router(config-crypto-map)#settransform-setXXX

Router(config-crypto-map)#setsecurity-associationlifetime86400

启用IPSsec

Router(config)#inte0/l/出站接口

Router(config-if)#cryptomap[map-name]

测试和校验IPSec

shcryptomap

shcryptoisakmppolicy

shcryptoipsecsa

shcryptoipsectransform-set

shcryptoengineconnectionsactive

debugcrytoipsec

debugcrytoisakmp

en

conft

noipdomain-lookup

linecon0

loggsyn

exec-t00

hostR

NAT网络地址转换

为什么要用NAT?

1、IPv4即将耗尽，NAT可以解决地址不够用的问题。

2、NAT可以使局域网（私网）计算机连入Internet。

3、保障局域网机器的安全。

在公网中没有去往私网的路由。

pci访问

去的时候修改的源地址

pci上的数据包

源地址目的地址

经过路由器nat之后

源地址目的地址

回来的时候修改是目的地址

的数据包

源地址目的地址

经过nat之后

源地址目的地址

nat实验

1、为路由器配置缺省路由

huayu_nat(config)#iproute

nat的分类

huayu_nat#showipnattranslations〃查看nat的映射信息

huayu_nat#clearipnattranslation*〃清空映射缓存

定义访问外部数据的入口(私网接口)

huayu_nat(config)#intfl/3

huayu_nat(config-if)#ipnatinside

定义访问外部数据的出口(公网接口)

huayu_nat(config)#intsO/3

huayu_nat(config-if)#ipnatoutside

1＞静态nat(一对一)

huayu_nat(config)#ipnatinsidesourcestatic

huayu_nat(config)#ipnatinsidesourcestatic

1个公网地址只能对应单个内网机器，多台机器上网需要多个公网IP,所以静态nat不被经

常使用

2、动态nat(多对多)

几(2)个公网IP,对用多个内网机器，同时只能有几(2)个机器上网。

先做内网机器的地址列表

huayu_nat(config)#access-list1permit55

再做公网地址的地址池

huayu_nat(config)#ipnatpoolhuayunetmask〃定义一个名

称为huayu的公网地址池

进行多对多的映射

huayu_nat(config)#ipnatinsidesourcelist1poolhuayu

3、PAT端口复用nat(一对多)

huayu_nat(config)#ipnatinsidesourcelist1interfaces0/0overload

将流入的源地址为ACL1的地址从S0Q接口流出，做端口复用nat

将nat的端口永久的映射到内网的服务器(将内网服务器发布到公网)

huayu_nat(config)#ipnatinsidesourcestatictcp8080

将的80端口永久的借给的80端口使用。

OSPF的网络类型：

点到点网络类型：

PPP、HDLC：广域网的两个数据链路层协议。cisco的设备默认封装的是HDLC

以太网的数据链路层的协议是：ARPA（以太网协议）

广域网的数据链路层协议：ppp、hdlc、framerelay、atm等协议。其中ppp和hdlc是点对

点协议。

Encapsulation(封装)HDLC

R2(config)#ints0/0

R2(config-if)#encapsulationppp更改数据连路层的封装协议。

Rl#showipospfinterfacesO/3查看接口连接的网络的类型。

Point_to_Point点到点网络。

广播多路访问网络类型：特点：接口连接的网络是广播类型，此外，每个路由器有过个邻居。

那么这样的网络如果不做特殊处理，会形成很多重复的LSA,所有OSPF会对这样的网络做

出优化：选举DR(指定路由器)和BDR(备份指定路由器)，经过优化之后，DR会成为网

络的老大，BDR成为次之的路由器，其他的路由器称为Dothers,邻接关系：DR和所有的

Dothers,以及BDR形成邻接关系。Dother之间不是邻接关系。

Riftshowipospfneighbor

产看邻居关系时,能够看到DR以及BDR,Dothers,

和DR以及BDR形成的关系是Full,全邻接关系，代表己经收发学习过LSA。

和Dothers之间--twoways,这种关系不能发送LSA。

DR和BDR的选举原则：

1、对比优先级，优先级越高，优先成为DR,其次的成为BDR。优先级默认都是1,如果优

先级为0,就不参与选举。

2、如果优先级都一样，那么根据RID选举，最高的为DR。

R3#showipospfinterfaceel/0产看接口的优先级，以及状态。Priority1

DR和BDR的选举是:hello报文。

Rl(config)#intel/3

Rl(config-if)#ipospfpriority10更改接口的优先级。范围是0-255.

优先级：是指的接口的优先级。

NetworkTypeBROADCAST(广播)

非广播多路访问网络：帧中继网络、atm网络。特点：网络通信不是广播，而是指定邻居,

单播进行。此种网络类型同样需要选举DR和BDR。

局域网：

广域网：连接多家分公司的路由器：连接线路：一般租用运营商专线，还有介入运营商的帧

中继或atm网络(相当于使用运营商提供的虚拟线路。)

点到多点：实际上就是对非广播多路访问网络的一种优化。

OSPF的报文类型：

1、hello：确立邻接关系,选举DR和BDRo

2、DBD数据库描述报文：对比DBD,就可以知道是否具有了全部的拓扑信息

3、LSR链路状态请求报文：如果自己的DBD比别人的DBD少，就会发送LSR请求少的信息。

4、LSU链路状态更新报文：DBD多的人会向请求者发送所需的条目。

5、LSACK：收到更新报文的需要向发送者确认。

ospf多区域的优化：

⑴、末梢区域stub

(2)、完全末梢区域stubno-summary

完全末梢区域，不仅阻止5类LSA,同时还阻止3类LSA。同时也会生成默认路由。

Rl(config)#routerospf100

Rl(config-router)#area1stubno-summary

满足末梢区域条件的，就都可以进一步优化为完全末梢区域。

(3)、NSSA非完全末梢区域

特点：阻止3、4、5类LSA,同时会向其他区域生成默认路由。跟末梢具有同样的特

点:

区别：ASBR在引入外部路由时，以7类LSA引入，7类LSA会在本区域内泛洪，经过

ABR之后，7类LSA变为5类LSA。7类LSA的条目，在ospf中标记为0N2的条目。

R4(config)#routerospf100

R4(config-router)#area2nssano-summary

8、ospf虚链路:

当ospf的区域不与0区域直接接壤时，可以考虑配置虚链路来实现通信。

虚链路配置在连接多个区域的ABR上。

R3(config)#routerospf100

R3(config-router)#area1virtual-link

area1代表提供虚链路的区域。2.222代表对端ABR的RID

9、ospf的汇总

⑴。spf的区域汇总：在ABR路由器上进行。

R2(config-router)#area1range

areal代表要汇总的区域号

range后面所接的是汇总的网络号和掩码

(2)

ospf的外部汇总：ASBR上进行外部汇总。

R4(config)#routerospf100

R4(config-router)#summary-address

ospf支持地址聚合。

OSPF为什么划分多个区域

1、方便针对每个区域网络进行管理

2、减少整个网络的LSA泛洪，提高网络的效率，节省网络的资源

3、可以根据路由器的性能来分配路由器的角色（ASBR和BR和ABR）

4、在ABR和ASBR上可以进行汇总，减少路由器中路由表的条目，提高查询速度

虚链路技术

将不与骨干区域相连的区域（其ABR无法通过骨干区域与其他区域的ABR进行LSA更新）通过

在其他区域中创建的虚链路间接的与骨干区域相连。连接到骨干区域

在协议模式下配置虚链路，要在两端的ABR上创建。

r2（config-router）#area1virtual-link

r6（config-router）#area1virtual-link

areal为穿越的区域

virtuallink后为对端的RID

LSA更新的类型

类型1：最普通的LSA,单一区域内，路由器与邻居之间的链路状态更新。泛洪范围本区域

类型2：在多路访问型网络中，DR和BDR与DRother之间的的链路状态更新。泛洪范围本

区域

类型3：由ABR发送的LSA汇总的更新，用来告诉区域内的路由器，ABR所能到达的其他区

域（其他区域）。泛洪由ABR产生，泛洪区域为ABR所连接的区域。实现了域间通讯。

类型4：区域内的路由器如果要跟外部（非。spf自治系统）进行通讯，首先要到达自治系统

边界路路由器（ASBR）

由ABR发送的到达ASBR的LSA更新。泛洪区域ABR所连接的区域。实现了域内的路由器到

ASBR之间的链路。

类型5:与外部路由进行通讯。ASBR产生，通告整个OSPF网络（自治系统），ASBR所能到

达的地方。

类型7：在NSSA非完全末梢区域的ASBR产生，在本区域内进行泛洪更新，当经过ABR时

被转换成LSA5类型的更新。减少整个自治系统的LSA泛洪提高路由器的工作效率。优化了

NSSA区域。只在NSSA区域出现。

由于处于非骨干区域（NSSA）的ASBR发送是LSA更新不能泛洪到其他区域，只能泛洪到它

所在的区域。

其他区域要知道这个LSA更新，由该区域的ABR将这个更新转化成类型5

rl(config-router)#redistributeripsubnets将rip重分布到OSPF

末梢区域：处于整个自治系统的边缘。

完全末梢区域：处于整个网络的边缘。

非完全末梢区域(NSSA)：处于整个自治的边缘，但是不处于整个网络的边缘。

在网络中符合上面的条件才可以配置成为以上的区域，来实现对这些区域的优化。

配置NSSA区域，在区域中的所有路由器中在协议模式下执行

(config-router)#area1nssa

配置完全末梢区域

在所有区域内部路由器上配置区域为末梢区域

r5(config-router)#area2stub

然后在ABR路由器上配置

r3(config-router)#area2stubno-summary

完全末梢区域中的内部路由器会出现ospf的默认路由，所有去往外部或其他区域的路由全

部走默认。下一跳地址为ABR的地址。(本区域内的路由不变)

末梢区域中存在LSA泛洪类型：1,2,3,4

完全末梢区域中存在的LSA泛洪类型：1,2

NSSA非完全末梢区域存在的LSA泛洪类型：1,2,3,7

ospf：多区域

OSPF的区域划分原则：

区域号可以采用普通的十进制数字，也可以采用IP地址的格式。

例如area2,或者区域area

区域0,被称作骨干区域，在域间通信中，起主要传输作用。

多区域的网络中，必不可少的是0区域，而且其他所有区域都必须和0区域接壤。

多区域中路由器的类型：

内部路由器：所有接口都属于一个区域内的路由器

同一区域的所有内部路由器的LSDB相同

自主系统：一个协议的所有路由器。

多区域的配置:

en

conft

noipdomain-lookup

linecon0

loggsyn

exec-t00

hostR

多区域的路由条目：

0…代表本区域内的路由条目

olA—其他区域的路由条目。

ospf的LSA类型？

1、1类Isa,也叫做路由器LSA：只在本区域内进行泛洪。1类Isa被路由器识别，显示为

。的路由条目。

2、2类LSA,也叫做网络Isa,在多路访问网络中，有DR产生。只在本区域内进行泛洪。显

示为。的条目。

3、3类LSA,也叫做网络汇总LSA,描述的是一个区域的所有LSA的汇总，将其发送给另

一个区域。实际上就是域间通信量。3类LSA,被显示为OIA的条目。

4、5类LSA,描述的是其他自主系统的所有路由信息。目的是通告ospf如何到达其他的自

主系统。5类LSA在路由表中标记为0E2的条目。在整个。spf的自主系统内泛洪。

5、4类LSA：伴随5类LSA产生，由ABR生成，描述的是如何到达ASBR,而不是到达其

他网络。4类Isa在路由表中没有条目。

6、7类LSA：在路由表中显示为0N2的条目。和特殊区域有关。

R4(config)#routerospf100

R4(config-router)#redistributeconnectedsubnets将其他协议的条目重分布到ospf的区域

中重分布直连接口。

ospf的优化：

1、将满足条件的区域，优化为末梢区域stub：

stub末梢区域：特点：不接受5类LSA,取而代之的是会生成一条默认路由。

优点：可以减少末梢区域内的路由条目的数量。

Rl(config)#routerospf100

Rl(config-router)#area1stub这些区域的定义应该在这个区域内的所有路由器上都去

配置。

OSPF的验证

文本验证

在区域0上使用验证

rl(config-router)#area0authentication

接口上配置密码

rl(config-if)#ipospfauthentication-key123

OSPF验证的特点，OSPF是针对区域进行验证，区域内的每台路由器都要启用验证，每条链

路可以使用不同的密码，但是一条的链路的两个接口必须使用相同的密码。

密文验证

接口上配置密码

rl(config-if)#ipospfmessage-digest-key1md5111

其中1为key-id,111的为密码

在协议下定义验证方式

rl(config-router)#area0authenticationmessage-digest

骨干区域：标号为0的区域，主要负责各非骨干区域路由信息的汇总，所有的非骨干区域的

通信必须通过骨干区域。

内部路由器IR：仅属于同一个区域

区域边界路由器ABR：同时处于多个区域的路由器

骨干路由器BR：至少有1个接口处于骨干区域

自治系统边界路由器ASBR：同时运行多个路由器协议的路由器

所有区域间的路由信息交换都是有骨干区域(骨干路由器)完成的。

en

confte

noipdomainlook

linecons0

exec-time00

loggsync

exit

host

1、复习上节课的作业练习

2、将ospf的度量问题，10000000/接口带宽

向ospf重新分配是需要考虑类型：

3、路由的重分布：rip到ospf、ospf到rip,静态到rip,静态到ospf。

重分布的原则，重分布的方式、从分布的方向、

1、重分布的位置（两种协议相连接的地方）

2、路由再分配，需要考虑的问题：

度量的问题

有类与无类别路由分配的问题

度量：Rip条数

eigrp:BW=1000DLY=1RELY=255LOAD=1MTU=1500

ospf:10g接口带宽

到RIP

要求掌握的分配协议：

1、直连网络的分配

直连到RIP：

(config)#routerrip

(config-router)#redistributeconnectedmetric1

直连到EIGRP

(config)#routereigrp64

(config-router)#redistributeconnectedmetric100010025511500

到OSPF

(config)#routerospf1

(config-router)#redistributeconnectedmetric100subnets

2、静态在分配

到RIP

(config)#routerrip

(config-router)#redistributestaticmetric1

到EIGRP

(config)#routereigrp64

(config-router)#redistributestaticmetric100010025511500

到OSPF

(config)#routerospf1

(config-router)#redistributestaticmetric100subnets

2、重分布的风向(双向，单向)

访问控制列表(ACL)：

一、分类

标准ACL：标号1-99

基于源IP地址控制数据包

扩展ACL：标号100-199

基于源地址目的IP地址端口号协议类型

ACL匹配规则：

1、从上到下

2、把具体的放在恰面

3、一张ACLU中至少有一条permit语句

4、标准的ACL放在里目的进的地方，扩展的放在离元进的地方

路由重分布：实现不同路由协议之间相互学习路由信息。

静态-RIP-ospf之间的相互重分布：

重分布面临问题？

1、不同协议之间度量的问题

2、地址类别的问题

3、重分布的位置？一连接不同协议的路由器。

1、RIP和ospf的双向重分布：

⑴将rip重分布到ospf：

1)

R6(config)#routerospf100

R6(config-router)#redistributerip

%Onlyclassfulnetworkswillberedistributed

解释：只有有类(主类)地址，才能够被重分布进来

R6(config-router)#redistributeripsubnets(subnets关键字，可以实现将子网类地址同样重分

布到ospf中)

2)

在向ospf重分布路由时，如果没有指定代价，那么。spf的所有的路由器都默认将外部

的路由标记为0E2,所有的条目的代价都为20,而且在ospf内部，经过路由器，代价不累

加。

R6(config-router)#redistributeripsubnetsmetric80在此可以更改默认的代价为80.

3)

ospf在引入其他路由协议时，默认会以类型2引入，在路由表中标记为0E2,

R6(config-router)#redistributeripsubnetsmetric80metric-type1在此可以更改重分布的类型

为1。标记为0E1。

0E1的引入路由，在ospf中传递，代价是累加的。

subnets、metric、metric-type

(2)将ospf重分布到rip中

代价？

R6(config)#routerrip

R6(config-router)#redistributeospf100metric5

向rip中重分布ospf的条目：

1)、必须指定代价？代价的大小，在rip会累加，而且要注意累加到最后一个路由器,

代价应该不能超过15.

2)、其他的协议的子网条目，如果重分布到ripvl中，会自动汇总。

如果rip引进了聚合地址，那么？

2、静态路由和ospf的双向重分布：

(l)ospf重分布静态？

R6(config)#routerospf100

R6(config-router)#redistributestaticmetric10metric-type1subnets

R6(config-router)#redistributeconnectedsubnetsmetric10metric-type1

重分布静态路由时，直连需要单独重分布，否则无法进入。

(2)静态路由如何学习ospf?-手工一条条添。

R6(config)#routerospf100

R6(config-router)#default-informationoriginatealways重分布默认路由给其他区域的所有路

由器。

ospf的认证：

(1)、以区域为单位，认证应用在链路上。

(config-router)#area<area-id>authentication定义区域进行认证

(config-if)#ipospfauthentication-key<key>定义认证的密码。

这种认证称为明文认证：缺点是在传递加密的信息时，必须传送加密的密码。而其密码是明

文的。

(2)、ospf的密文认证：

R6(config-router)#area2authenticationmessage-digest宣告区域使用md5生成的加密序列进

行验证。

R6(config-if)#jpospfmessage-digest-key123md5456123是密码id,456是密码

3、rip和静态重分布？

en

conft

noipdomain-lookup

linecon0

loggsyn

exec-t00

hostR

cisco帧中继网络自己接口ping不通。

帧中继的网络非广播的类型？

Rl(config)#ints0/0

Rl(config-if)#ipospfnetworkbroadcast更改网络类型为广播。

Rl(config-if)#ipospfnetworkpoint_to_multiPoint点到多点

更改OSPF的网络类型为点到多点，可以不选举DR和BDRo

帧中继非网状拓扑(线性拓扑)：如果配置rip协议，默认的是关闭水平分割的。但是关闭

了水平分割，容易出现环路或者假的路由条目，造成无法通信。

开启水平割，可以避免环路，但是无法正常学习路由条目。

怎么解决：

子接口？

子接口的配置？

R2(config)#ints0/0.1multipoint进入子接口，并定义类型

R2(config-subif)#ipadd

R2(config-subif)#noshutdown

R2(config-subif)#frame-relayinterface-dlci100定义子接口传输的虚链路接口。100为进入的

DLCI标识。

R2(config)#ints0/0.2multipoint进入子接口，并定义类型

R2(config-subif)#ipadd

R2(config-subif)#noshutdown

R2(config-subif)#frame-relayinterface-dlci300

子接口在逻辑上形成了两条通道。收发信息不是一个接口，水平分割就不会再分割条目了。

广域网的数据连路层协议有哪些？

以太网--ARPA协议

广域网数据链路层协议？

HDLC

PPP点到点协议。

ppp支持认证。PPPOE

framerelay

ATM—这两个协议是分组交换协议。

令牌环网络和FDDI的通信原理？（数据链路层协议是什么）

PPP协议:

可以分为两个子层次，风别是LCP和NCP,在数据链路层，LCP负责数据链路的建立于拆除,

以及链路的验证。

NCP：如果LCP建立成功，那么NCP就会协商网络层协议。

PPP协议的认证:

pap：

chap：

ppp协议介绍：

ppp协议是在点对点链路上运行的数据链路层协议。

PPP协议的组成：

LCP（Link-ControlProtocol,链路控制协议）

建立、拆除和控制数据链路

NCP（Network-ControlProtocol,网络控制协议）

协商数据链路上的其它网络协议，身份验证是在LCP层进行的。验证通过后，才能转到

NCP阶段协商网络层协议。

PAP和CHAP（身份验证）

P叩使用明文两次握手实现,chap采用3次质询握手来实现。讲解认证原理和配置实验。

pap验证原理：在主验证路由器上建立用户名和密码。这些信息存储在数据库中。

R2（config）#usernamezhangsanpassword123

R2（config）#usernamelisipassword123

在主验证方定义那个接口启用验证。

R2（config-if）#pppauthenticationpap

被验证方：在需要进行验证的接口上，去配置发送验证的用户名和密码

R2(config-if)#ppppapsent-usernamehuayupassword123

只有发送的用户名和密码与主验证方数据库中的一致，验证才通过。

R2#debugpppauthentication调试ppp的验证信息。

R2(config-if)#ipaddressnegotiated表示此接口将自动获得IP地址。

Rl(config-if)#peerdefaultipaddress0

给对方接口发送的具体IP。这个传输遵循ipcp协议。网络层协议。

PAP验证配置：

RTB(config)#usernameapassworda

RTB(config)#interfaceserial0/0

RTB(config-if)#encapsulationppp

RTB(config-if)#pppauthenticationpap

RTB(config-if)#ipaddress

RTB(config-if)#peerdefaultipaddl

RTA(config)#interfaceserial0/0

RTA(config-if)#encapsulationppp

RTA(config-if)#ppppapsent-usernameapassworda

RTA(config-if)#ipaddressnego

chap认证：

定义:在每台需要认证的路由上定义用户名和密码:用户名是对方的路由器的主机名称。

Rl(config)#usernameR2password123

R2(config)#usernameRIpassword123

进入需要进行验证的接口：

宣告启用chap认证

R2(config-if)#pppauthenticationchap

chap认证没有主和被区别，双方都需要做的。

CHAP认证配置:

RTB(config)#hostnameB

RTB(config)#usernameApasswordPass

RTB(config)#interfaceserial0/0

RTB(config-if)#encapsulationppp

RTB(config-if)#pppauthenticationchap

RTB(config-if)#ipaddress

RTA(config)#hostnameA

RTA(config)#usernameBpasswordPass

RTA(config)#interfaceserial0/0

RTA(config-if)#encapsulationppp

RTA(config-if)#pppauthenticationchap

RTA(config-if)#ipaddressnego

PPP协议支持链路捆绑：可以把多条运行ppp协议的链路捆绑成一条。这样合并带宽。

传输效率高。而且物理接口无需在配置IP地址。直接在合并的虚链路上配置IP即可。

实验PPP多链路捆绑的意义及配置。

1、配置ppp多链路multilink链路,并配置IP地址，激活。

r3(config)#intmultilink1

r3(config-if)#noshutdown

r3(config-if)#ipadd

2、建立multilink组，并将接口加入到组中来。

r3(config-if)#ints0/0

r3(config-if)#pppmultilinkgroup1

r3(config-if)#ints0/l

r3(config-if)#pppmultilinkgroup1

showinterfacemultilink1可查看链路的状态和带宽。

帧中继试验:

基本配置

关闭反向ARP来提高动态路由的收敛速度。

noframe-relayinverse-arp

frame-relaymapipout-dlci

子接口的实验，解决水平分割的问题

子接口关闭反响ARP

noframe-relayinverse-arp

frame-reIayinterface-dciiout-dlci

rip在宣告网络时是有类宣告。

为什么要在v2中关闭自动汇总

v2的自动汇总，盲目去把子网都汇总成有类的网络，造成路由表的错误，所以要关闭自动

汇总

r2(config-if)#noipcef关闭快速转发(在接口下)

r2(config-if)#noiproute-cache清除路由缓存

ripv2的手动汇总

要在路由条目发出源头做汇总，也就是在路由器的出接口做汇总，这样其他路由器学到的直

接就是汇总路由。

rl(config-if)#ipsummary-addressrip1.1.0,0

带宽：每秒钟在链路上传输的比特数kbit/s

网速：每秒钟在链路上传输的字节数kbyte/s

带宽除以8等于网速

自治系统：在一部分网络中运行同一种路由协议，由该协议来管理这部分网络的路由信息，

那么这部分网络就被称为该协议的自治系统。

VLSM子网将有类的网络划分成无类的子网，网络规模越来越小

CIDR超网将有类的网络组合成无类的超网，网络规模越来越大

以有类的掩码为边界，

掩码往右借位，掩码越来越大，网络越来越小，被称为子网

掩码往左借位，掩码越来越小，网络越来越大，被称为超网。

/24

/24

/16

/S

作业:将ripvl、ripv2、igrp、eigrp之间的特点进行总结。

EIGRP

协议中存在3张表

邻居表：存放着所有的邻居信息

拓扑表：根据邻居发来的链路状态信息，描绘出来的网络拓扑和每条链路的开销，在拓扑表

中，去往同一目的，eigrp可以最多保留6条路径，默认是4条。

路由表：当拓扑表完善后，路由器知道了整个的网络的所有链路的开销，运行扩展更新算法

计算最优路径，生成路由表。

/24

/24

1.1.00000001.00000000

1.1.00000010.00000000

1.1.00000000.00000000

255.255.11111100.00000000

/22

/24

/24

/21

en

conft

noipdomain-lookup

linecon0

loggsyn

exec-time00

hostR

STP协议的工作原理：

生成树协议：

STP2008-07-0517:42STP的作用：

1、逻辑上断开环路，防止广播风暴的产生

2、当环路出现故障、断开的接口被激活、恢复通信、起备份线路的作用。

STP将环形网络形成树状结构的过程：

1、选择根网桥(确定生成树的树根)

2、选择根端口

3、选择指定端口，同时阻塞其他端口

1、如何确立网络中的根网桥(网桥就是交换机的另一种称呼)

选择跟网桥根据网桥的ID(BID),BID是有两部分信息组成(优先级+网桥的mac

地址)、默认所有网桥的优先级是32768(1-65535)。如何比较：BID优先比较优先级，优先

级值越低，越优先。如果优先级一样，在比较mac地址，mac小的优先。

网桥的mac地址是那个mac地址：每个交换机都有一个标识自己的mac地址，所有以太网

接口的mac地址都是基于这个mac的，在此上面加1这样来实现的。

查看网桥ID的命令：(BID)showspanning-tree

2、选择根端口：在非根网桥上选择一个到根网桥最近的端口作为根端口

选择根端口的依据是：

根路径成本最低

路径成本是由带宽决定的。不同的带宽由不同的成本。看表格就行了，10mb成本是

lOO.lOOmb成本是19.

直连的网桥ID最小

端口ID最小

端口ID的组成：优先级+端口编号，默认优先级是128(0-255)

128.1128.2

3、选择指定端口

在每个网段上，选择1个指定端口

根桥上的端口全是指定端口

非根桥上的指定端口：

根路径成本最低

端口所在的网桥的ID值较小

端口ID值较小

swl#showspanning-treeblockedports查看交换机上被阻塞的端口

生成树协议有两种：cst标准生成树协议，生成树只基于物理的交换机。而不考虑vlan

PVST(cisco私有标准)：做到了每个vlan都有自己的生成树。而且可以通过调整参数，

实现不同的vlan有不同的根。从而使具有冗余设计的网络既能防止环路，同时还能实现负

载分流。

PVST常用配置命令：

1、Switch(config)#spanning-treevlanvlan-ID在某个vlan中启用生成树

2、Switch(config)#spanning-treevlanvlan-IDrootprimary直接将某个交换机指定为某个vlan

的根

3、Switch(config)#spanning-treevlanvlan-IDpriority优先级具体值(默认32768),更改网桥

的优先级，这个级别是4096的倍数。(0-65535)

4、Switch(config-if)#spanning-treevlanvlan-listcostcost值修改端口成本可以调整路径成本

5、Switch(config-if)#spanning-treevlanvlan-listport-p