目录
网络设备原理:
交换机基本原理与配置
stp,vlan
静态路由,rip,ospf,bgp,路由引入
acl,nat,路由基本配置,路由器dhcp配置
wlan,策略路由,路由策略
网络安全原理:
认证方式以及部署
虚拟专用网VPN
防火墙安全策略部署配置
病毒防治
网络攻击防治
网络安全设备部署
网络设备原理及配置
二层
1.交换机基本原理与配置
基于mac地址转发
三大功能:地址学习,转发,消除环路
其他基础配置
system-view //更改视图
sysname SW1 //改名
vlan batch 10 20 //创建vlan
display mac-address # 查看MAC地址表
display vlan # 查看VLAN信息
display port vlan # 查看接口VLAN划分
display stp # 查看生成树stp
基础参数
桥ID:桥优先级+MAC。默认优先级:32768(128*256),越小越优先
根桥选举:桥ID最小
端口角色:根端口RP,指定端口DP,阻塞端口AP
端口状态:禁用-监听-学习-转发-阻塞
BPDU
选举顺序
1.选根桥:交换机优先级+mac地址最小选举为根桥
2.非根桥选根端口:开销>对端桥ID>对端端口ID>本端端口ID(全为小优先,端口默认优先级为128,0~255)
3.指定端口DP:链路两端设备到根桥开销小的一方出端口为DP(每台非根交换机都只有一个根端口,每条线路都有一个指定端口)
stp root primary // 主根
stp root secondary // 备根
stp priority 4096 //修改优先级案例题高频
端口为什么被阻塞:不是根端口也不是指定端口,为了放置产生二层环路与广播风暴,从而被stp阻塞
链路断开之后为什么能自动恢复:原阻塞端口开启监听学习状态,切换为转发状态,实现链路冗余备份
STP作用:消除二层环路,避免广播风暴,实现链路冗余
BPDU的组播地址:01-80-C0-00-00-00
RSTP与MSTP
RSTP:收敛速度远快于STP,兼容STP
MSTP:多VLAN划分生成树,实现流量分担,避免所有VLAN走一条线路,充分利用冗余链路
stp mode mstp
# 进入MST域配置
stp region-configuration
region-name xxx
instance 1 vlan 10 20
instance 2 vlan 30 40
activevlan
核心基础
VLAN作用:相同VLAN二层互通,不同VLAN二层隔离。隔离广播域
VLAN范围:编号:1~4094,;VLAN1默认归属,不可删除不可改名,vid字长12bit
互通条件
三种接口模式:assess,trunk,hybrid
assess:只属于一个vlan,只收发无标签帧,接入电脑、终端
port link-type access
port default vlan 10trunk:允许多个vlan带标签通过,收发带标签帧,默认允许所有vlan,交换机之间使用
port link-type trunk
port trunk allow-pass vlan 100 200
port trunk allow-pass vlan all //放行所有vlanhybrid:可带标签、可去标签。默认pvid=1。pvid:入栈。untagged、tagged:出站
port link-type hybrid
port hybrid pvid vlan 10 //无标签入帧归属vlan
port hybrid untagged vlan 10 //出接口玻璃标签
port hybrid tagged vlan 20 //出接口保留标签VLAN划分方式
基于端口划分:按照交换机接口划分VLAN,位置变VLAN不变
基于MAC划分:按照终端MAC地址划分,设备换端口仍属于原VLAN
基于IP地址划分:
基于协议划分:网络层协议
跨交换机VLAN配置考点
SW1、SW2 互联,PC1 (SW1-g0/0/1)、PC3 (SW2-g0/0/1) 同属 VLAN10
SW1/2与核心交换机接口配置为trunk
trunk接口放行VLAN10
终端接口配置为access并划入VLAN10
不同VLAN互通方案
三层交换机vlanif接口
# 创建三层VLAN虚拟接口,做网关
interface Vlanif 10
ip address 192.168.10.1 255.255.255.0
interface Vlanif 20
ip address 192.168.20.1 255.255.255.0三层路由相关配置
静态路由
优先级:
直连:0,ospf:10,静态:60,ISIS:15,rip:100,ospf引入:150,BGP:255
//通用格式
ip route-static 目标网段 子网掩码 下一跳IP/出接口
//配置默认路由
ip route-static 0.0.0.0 0.0.0.0 下一跳
//下一跳IP写法
ip route-static 192.168.20.0 255.255.255.0 12.1.1.2
//出接口写法
ip route-static 192.168.20.0 255.255.255.0 Serial0/0/1常考场景
1.直连互指静态路由
2.末端设备配置默认路由(高频)
3.浮动静态路由(备份静态路由修改优先级)
# 主链路
ip route-static 192.168.30.0 255.255.255.0 10.1.1.2
# 备份链路 优先级80
ip route-static 192.168.30.0 255.255.255.0 10.2.2.2 preference 80高频问答
静态路由优缺点:优点:稳定可靠,不占用链路贷款,转发效率高。缺点:大型网络配置量大,不能自动适应拓扑变化
ping不通:只配置单项路由,没有配置反向路由;下一条IP填写错误;目标网段/掩码错误;互联网接口未开启,没配IP
查看命令
display ip routing-table # 查看路由表
display ip route-static # 查看静态路由rip
基础
协议类型:距离矢量路由协议,UDP520
最大条数15,16不可达
RIPv1:广播更新,无掩码,不支持VLSM,自动汇总
RIPv2:组播224.0.0.9、支持掩码、VLSM,可关闭自动汇总
三大定时器:30s,180s,240s
核心命令
# 开启RIP
rip 1
# 版本2
version 2
# 关闭自动汇总(必考)
undo summary
# 宣告直连主类网段
network 主类网络号
# 引入其他路由
import-route static/direct/ospf
# 禁止接口发RIP更新
silent-interface 接口名必考规则
network只写主类网段,不写掩码
宣告后接口只接受rip保温
silent-interface:只收不发,对接终端放路由泄露
RVPv2默认自动汇总,跨主类必须undo summary
收到16跳路由直接不可达
防止路由环路:路由毒化,水平分割,最大路由跳数
RIPv2认证:明文认证:simple;密文认证:cipher
明文认证
rip authentication_mode simple huwei123
加密认证
rip authentication_mode MD5 nonstandard cipter huawei123 1经典案例
1.基础全网互通配置
2.引入路由
rip 1
import-route static //引入静态路由
import-route direct //引入直连路由3.静默端口
4.路由策略过滤rip路由
acl 2000
rule deny 192.168.5.0 0.0.0.255
rule permit
route-policy rp1 permit node 10
if-match acl 2000
# RIP引入时调用
import-route direct route-policy rp1ospf
核心基础
链路状态路由,三层协议,度量值:cost。
区域划分:骨干区域(area0),所有非骨干区域必须直连area0
邻居/邻接:邻居双向互通hello;邻接完成LSA同步,正式交换路由
路由器划分:DR指定路由器,BDR备用指定路由器,ABR区域边界路由器,ASBR自治系统边界路由器
LSA分类:1类所有路由器,二类仅DR,三类四类ABR(三类类似于普通路由),五类七类ASBR
核心命令
# 1. 启动OSPF进程
ospf 1 router-id 1.1.1.1
# 2. 宣告网段+区域
network 192.168.1.0 0.0.0.255 area 0
# 3. 配置DR优先级
int g0/0/1
ospf dr-priority 100
# 4. 静默接口(只收不发路由)
silent-interface g0/0/1
# 5. 引入外部路由
import-route static
import-route rip 1
# 6. ABR路由汇总
abr-summary 192.168.0.0 255.255.0.0
# 7. 修改接口开销
int g0/0/1
ospf cost 5关键规则
route-id:手动配置有限,无则选最大换回口IP,再选最大物理课口IP,全网唯一
network格式:网段+反掩码+区域号
hello时间:广播/单播10s,NBMA:30s
邻居建立必要条件:区域号一致,hello时间一致,认证一致,网段互通,route-id不重复
认证:区域认证与接口认证
OSPF每三十分钟进行一次完整更新
经典案例
1.单区域OSPF全网互通
2.多区域OSPF
两台ABR同时属于两个区域,area0,area1
ABR路由器配置
ospf 1 router-id 3.3.3.3
network 10.0.0.0 0.0.0.255 area 0
network 192.168.3.0 0.0.0.255 area 1
# 区域间路由汇总
abr-summary 192.168.0.0 255.255.0.03.引入外部路由+路由策略过滤(需求:将静态路由引入,过滤192.168.5.0)
# 1. ACL过滤
acl 2000
rule deny source 192.168.5.0 0.0.0.255
rule permit
# 2. 路由策略
route-policy os_rp permit node 10
if-match acl 2000
# 3. OSPF调用引入
ospf 1
import-route static route-policy os_rp高频问答
OSPF相比RIP优点:收敛快,无条数限制,开销合理,支持大型网络,分层区域划分
为什么划分多区域:减少LSA洪泛范围,降低设备负载,路由汇总,提升网络稳定性
静默接口作用:接入终端PC不发送OSPF报文,节省资源,防止邻居异常建立
邻居起不来排查:route-id,区域,hello时间,ip不同,掩码错误
查看命令
OSPF的三大表项:邻居表,LSDB表,OSPF路由表
display ospf peer brief # 查看OSPF邻居
display ip routing-table ospf # 查看OSPF路由
display ospf lsdb # 查看链路状态数据库
display ospf interface # 查看接口OSPF参数bgp
核心基础
协议类型:外部网关,距离矢量路由协议,TCP179,可靠传输.60s一次存活报文
路由属性:自治区as号:1-65535。公认必遵:AS_PATH,NEXT_HOP,Origin。自由决定:Local_preference,MED
邻居类型:IBGP,EBGP(不要求直连)
优先级规则:Local_preference>AS_Path短>Origin>MED>NEXT_HOP
核心命令
# 1. 启动BGP进程,指定本地AS号
bgp 65001
# 2. 配置Router-ID
router-id 1.1.1.1
# 3. 创建邻居
peer 10.1.1.2 as-number 65002
# 4. 宣告网段
network 192.168.1.0 255.255.255.0
# 5. EBGP多跳(非直连建邻居)
peer x.x.x.x ebgp-max-hop 2
# 6. 引入IGP路由
import-route ospf 1
# 7. 本地优先级(影响本AS出方向,越大越优)
peer 10.1.1.2 route-policy set-localpref import
# 8. MED值(影响对方AS入方向,越小越优)
peer 10.1.1.2 route-policy set-med export
# 9. 路由反射器(解决IBGP全互联)
cluster-id 65001
peer 反射客户端 reflect-client核心必背
TCP直连源地址,部署IBGP对等体是,使用loopback回环地址,接口稳定,可借助IBGP冗余拓扑保证可靠性;EBGP使用loopback需要考虑多路问题,默认直连。
BGP表有:对等体表,BGP路由表
引入路由与注入路由:
network 10.1.0.0
import-route ospf/static通告原则:通过network,import-route,aggregate生成BGP路由,通过update传送给对等体
1.只发布最佳路由;2.从EBGP来的路由发布给所有对等体;3.水平分割:从RB发送的路由不再发送给RB;4.BGP同步规则:邻居关系可以跨路由建立,放置路由黑洞,但默认关闭。
问答
对称体建立过程:
1.先启动的BGP发起TCP连接请求,R1使用随机端口访问R2179端口发起TCP请求 2.R1R2互发open报文交换信息。keeplive保持连接(180s,死亡时间=keeplive*3),open报文自身携带AS号 3.对等体建立,使用BGP update通告对等体
经典案例
1.双ISP口接入
# 1. 基本
router-id 1.1.1.1
bgp 100
peer 2.2.2.2 as-number 200 # 电信EBGP
peer 3.3.3.3 as-number 300 # 联通EBGP
# 2. 发布内网
network 10.0.0.0 255.255.255.0
# 3. 选路:电信优先(Local-Pref 越大越好)
peer 2.2.2.2 route-policy SET_LP_PREFER import # 电信入路由设LP=200
peer 3.3.3.3 route-policy SET_LP_NORMAL import # 联通入路由设LP=100
# 4. 路由策略
route-policy SET_LP_PREFER permit node 10
apply local-preference 200
route-policy SET_LP_NORMAL permit node 10
apply local-preference 100相关简答:外网用户访问时,流量返回端口不通问题
外部流量访问内网服务器,来自于一个ISP的外网用户,服务器返回数据包时,返回数据包从另外一个ISP接口离开,导致源目的地址错误,数据包被丢弃。开启设备商两条运行商出口的源进源出功能
配置dns服务器,使得内网用户访问时可以将域名转换成内网IP地址
2.BGP路由黑洞
场景
AS100(R1)→AS200(R2、R3)→AS300(R4) R1(AS100)EBGP→R2(AS200) R2(AS200)IBGP→R3(AS200) R3(AS200)EBGP→R4(AS300)
AS200 内R2、R3 只跑 BGP,不跑 IGP(OSPF/ISIS)
1)问题
R1 发布 10.1.1.0/24:
路由传递:R1→R2→R3→R4(正常)
数据返回:R4→R3→R2(R2 无 10.1.1.0/24 的 IGP 路由,丢包)→ 路由通、数据不通 = 黑洞。
2)原因(答题模板)
IBGP 路由默认不重分布进 IGP,AS 内部路由器只有 BGP 路由,无 IGP 路由。
数据转发时,IGP 路由缺失,导致流量被丢弃,形成路由黑洞。
3)解决方法
IBGP 同步(老方法):开启同步,BGP 等 IGP 学到路由再发布(慢)。
重分布 BGP 进 IGP(常用):
3.校园网多出口下的BGP选路控制
某大学校园网内运行OSPF,通过边界路由器R2连接教学区(AS 300)和生活区(AS 200)。R2与R3、R4、R5都在AS 100内运行IBGP。题目要求:让R1和R6之间的流量优先走R2-R3-R4这条高带宽主链路,当主链路断开时,能自动切换到R2-R5-R4备用链路。
考点:
1)流量方向,判断是出方向还是入方向
2)属性选择:影响本AS内的 去往其他AS的流量,采用Local_perference,大优先
3)在R2上,针对主链路(R3)上学习到的路由设置跟高的LP(200),这样内部路由器会优先选择R2-R3作为出口
如果是让外网流量进入,则采用AS_PATH,MED控制
备份路由切换时导致流量丢失:在备份切换时,bgp路由是收敛速度滞后于ospf的收敛速度,导致流量丢失,可以通过配置bgp与ospf的联动功能解决
4.OSPF双向路由引入的环路风险
某公司网络中,核心层运行OSPF,出口路由器与运营商运行BGP。为了打通内外路由,在出口路由器上做了OSPF与BGP的"双向引入"。23年5月
环路原因:核心在于路由反馈。例如,一台边界路由器将BGP学到的外部路由引入OSPF,该路由在OSPF域内传递后,可能被另一台边界路由器学到,又被重新引入回BGP。由于协议优先级等问题,很可能产生环路或次优路径
解决方案:将BGP路由引入OSPF之前打上tag,在另一方向引入时通过路由策略拒绝带有tag的路由;路由过滤,使用acl/前缀列表,只允许特定路由进入,不再全量引入
路由引入
核心考点
路由引入:OSPF,RIP,BGP,直连,静态
常考问题:路由环路,次优路由,路由丢失
必考规则:路由策略,前缀列表,ACL
基础规则
直连路由默认不能引入,必须手动引入
重分布默认只引入活跃路由
双向重分布必做:打标记+过滤,放置环路
所有重分布建议绑定路由策略
经典案例
1.RIP引入静态路由
# 1. 创建前缀列表匹配静态网段
ip ip-prefix sta index 10 permit 192.168.10.0 24
# 2. 路由策略放行
route-policy rip-imp permit node 10
if-match ip-prefix sta
# 3. RIP引入静态
rip 1
import-route static route-policy rip-imp
# 4. RIP下发默认路由
default-route originate2.OSPF引入RIP
# 匹配RIP网段
ip ip-prefix rip-net permit 192.168.1.0 22
route-policy ospf-in permit node 10
if-match ip-prefix rip-net
apply cost 20 # 修改OSPF外部开销
apply tag 10 # 打标记,双向重分布用来防环
# OSPF引入RIP
ospf 1
import-route rip 1 route-policy ospf-in3.双向重分布
# 1. OSPF进RIP,打标记10
route-policy os-to-ri permit node 10
apply tag 10
rip 1
import-route ospf 1 route-policy os-to-ri
# 2. RIP进OSPF,拒绝带有tag10的路由(防回灌)
route-policy ri-to-os deny node 10
if-match tag 10
route-policy ri-to-os permit node 20
ospf 1
import-route rip 1 route-policy ri-to-os4.过滤部分路由
# 允许两条
ip ip-prefix f1 index 10 permit 192.168.5.0 24
ip ip-prefix f1 index 20 permit 192.168.6.0 24
route-policy filter-in permit node 10
if-match ip-prefix f1
# 引入时调用
ospf 1
import-route static route-policy filter-in三层核心层、公网外网相关配置
acl
流量过滤,允许拒绝数据包痛醒,路由策略匹配
服务控制,流量分流
采用反掩码
代码
基本acl
语法
acl number 2000
rule permit/deny source 源地址 反掩码
允许网段访问
acl 2000
rule permit source 192.168.1.0 0.0.0.255
禁止单个主机访问
acl 2000
rule deny source 192.168.1.10 0.0.0.0高级acl
语法
acl number 3000
rule permit/deny 协议 源IP 反掩码 目的IP 反掩码 [端口]
禁止PC访问80端口
acl 3000
rule deny tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.100 0.0.0.0 destination-port eq 80
rule permit ip any any
禁止ping(icmp)
rule deny icmp source any destination any
只允许内网远程登录路由器
acl 3000
rule permit tcp source 192.168.1.0 0.0.0.255 destination any destination-port eq 23
禁止外网访问FTP
rule deny tcp source any destination 192.168.1.0 0.0.0.255 destination-port eq 21ACL调用常用位置
1.接口调用
# 入接口过滤
interface g0/0/1
traffic-filter inbound acl 3000
# 出接口过滤
interface g0/0/2
traffic-filter outbound acl 3000配合路由策略调用
route-policy test permit node 10
if-match acl 3000总结,ACL难度不高,但是最常用
nat
nat三大类
静态nat:一对一固定映射
动态nat:多对多地址池转换(内网上网)
NAPT(easy ip):多对一端口(家用)
核心作用:内网ip映射为公网ip
私网地址:10.0.0.0/8;172.16.0.0-172.32.0.0/16;192.168.0.0/16
inbound:外网流量进入内网;outbound:内网流量进入公网
案例
1.easyIp多用户上网
配置步骤:高级ACL匹配内网流量,外网口开启Easy IP,
acl number 3000
rule permit ip source 192.168.1.0 0.0.0.255 destination any
interface GigabitEthernet 0/0/0
nat outbound 3000nat outbound ACL号 = Easy IP
2.动态NAT地址池转换
将内网玩孤单转换为一段公网地址池,公网地址池:202.100.1.10 ~ 202.100.1.20
# 1. 定义内网流量ACL
acl 3000
rule permit ip source 192.168.1.0 0.0.0.255 any
# 2. 创建公网地址池
nat address-group 1 202.100.1.10 202.100.1.20
# 3. 外网口调用
interface G0/0/0
nat outbound 3000 address-group 1 no-pat3.静态NAT发布内网服务器
内网服务器192.168.1.100,映射公网IP:202.100.1.5。使得外网用户可以直接访问公网IP进而访问内网服务器
一对一永久映射
全局配置
nat static global 202.100.1.5 inside 192.168.1.100
外网接口生效
interface G0/0/0
nat static enable4.NAT服务器端口映射
外网访问公网IP80端口,映射到内网服务器192.168.1.100:80
# 外网接口下配置
interface G0/0/0
nat server protocol tcp global 202.100.1.1 80 inside 192.168.1.100 805.内外网互通
禁止192.168.1.20主机访问外网,其余允许
acl 3000
rule deny ip source 192.168.1.20 0.0.0.0 any
rule permit ip source 192.168.1.0 0.0.0.255 any
interface G0/0/0
nat outbound 3000静态NAT与动态NAT配置
静态NAT:
接口视图配置:直接,但是相对固化
nat static global 1.1.1.100 inside 192.168.1.100
系统视图:灵活,便于集中管理
nat static global 1.1.1.100 inside 192.168.1.100
nat static enable动态NAT
创建地址池
nat address-group 池编号 起始IP 终止IP
配置地址转换ACL
acl acl_number
rule permit source 源地址 反掩码
接口视图配置地址池NAT outbound
nat outbound acl编号 address-group 池ID no-patNAPT
配置与动态nat基本相同,去掉最后的no-pat即可
NAT server
nat server protocol tcp global 1.1.1.100 80 inside 192.168.1.10 80路由基本配置
直连路由:0,静态路由:60,OSPF 内部:10,RIP:100
路由命令通用格式:ip route-static 目标网段 子网掩码 下一跳IP
三大路由类型:静态路由,默认路由,浮动静态路由
浮动静态路由
# 主路由(优先级默认60)
ip route-static 0.0.0.0 0.0.0.0 10.1.1.2
# 备路由(优先级80,数值大优先级低)
ip route-static 0.0.0.0 0.0.0.0 10.2.2.2 preference 80路由器的dhcp
基础
采用C/S模型,端口67服务器,端口68客户端
四步握手:Discover,Offer,request,ack
地址分配方式:动态分配,自动分配(第一次分配后永久绑定),静态绑定(IP+MAC绑定)
必考配置:全局地址池,全局接口/接口地址池,排除地址,静态绑定,网关DNS,租期
基础命令
dhcp enable # 全局开启DHCP(必写)
dhcp server ip-pool 池名 # 创建全局地址池
network 网段 掩码 # 分配网段
gateway-list 网关地址 # 下发网关
dns-list DNS1 DNS2 # 下发DNS
lease day 时 分 # 设置租期
dhcp server forbidden-ip 起始 结束 # 排除不分配IP经典案例
1.核心交换机作DHCP服务器
2.多VLAN
3.接入二层交换机,用户在不同VLAN
4.核心交换机VLANIF接口作为网关
通过全局地址池给PC1配置地址
全局开启DHCP
dhcp enable # 全局启用DHCP(必考空)
ip pool HW
gateway-list 192.168.1.1
network 192.168.1.0 mask 24
excluded-ip-adress 192.168.1.200 192.168.1.254 //排除这些地址不可分配给PC
interface GE0/0/0 //会接收到DHCP Discover报文的接口
DHCP select globalDHCP select后有三个参数:global,interface,relay
通过接口地址池给PC2/3配置地址
interface GE0/0/1
ip address 192.168.2.1 24
DHCP select interface
DHCP server excluded-ip-address 192.168.2.254
//为PC3分配固定的IP地址
DHCP server static-bind ip-address 192.168.2.2 mac-address 00e0-fc00-00aaDHCP Relay配置
R1配置
interface GE0/0/1
ip address 10.1.1.1 24
quit
interface GE0/0/0
ip address 192.168.1.1
DHCP select relay
DHCP relay server-select 10.1.1.2
quit
R2配置
ip pool HW-1
network 192.168.1.0 mask 24
gateway-list 192.168.1.1
quit
interface GE 0/0/1
ip address 10.1.1.2 24
DHCP select global
quit
ip route-static 192.168.1.0 255.255.255.0 10.1.1.1DHCP Snooping
防止非法DHCP分配,防范DHCP攻击
在对应的接口下打开dhcp snoopling功能(包含DHCP服务器与请求DHCP服务的客户端)
dhcp snooping enable(客户端接口以及交换机本身)
dhcp snooping trusted(dhcp服务器所在的接口)
三层其他
wlan
wlan本质上还是二层的东西,但是,它经常性地在交换机三层这里考,不便将其放在和普通二层
| 标准 | 频段 | 最高速率 | |
|---|---|---|---|
| 802.11 | 2.4G | 2Mbps | |
| 802.11b | 2.4G | 11Mbps | |
| 802.11a/g | 2.4G或5G | 54Mbps | |
| 802.11n(WiFi4) | 2.4G和5G | 600Mbps | |
| 802.11ac(WiFi5) | 5G | 1.3/6.9Gbps | |
| 802.11ax(WiFi6) | 2.4G和5G | 9.6Gbps | |
| 802.11be(WIFI7) | 2.4G,5G和6G | 36-46Gbps |
核心
wlan分为两种,一是胖AP(家用,复合AP,路由,交换机功能),二是AP+fitAP(企用,工作范围较广)
AC+瘦AP是考察重点
有线侧组网
AC与AP之间的联通通过CAPWAP隧道,通过CAPWAP协议
AP-AC组网方式:二层组网,AP与AC在同一个广播域中,适用于小型网络;三层组网,AP与AC之间存在三层设备,适合大型网络
AC连接方式:直连式与旁挂式,通常采用旁挂式。此处指的是无线网络AP-AC与有线网络的关系。采用旁挂式是因为,如果使用直连,无线网络出现故障会连带有限网路一起故障
数据转发:隧道转发,用户数据到AP后,通过CAPWAP隧道,封装后转发给ac,再由ac转发给上层网络,缺点是ac压力大,有迂回流量,有点事安全性高,不放行业务vlan。直接转发:无迂回流量,但会放行业务vlan
无线侧组网
终端与AP之间就是无线侧组网
2.4G信道被划分为14个有重叠的信道,一般相隔5个作为无重叠
|-------|----------|----------------------------------------------------|
| BSS | 基本服务及BSS | 无线网络的基本服务单元,通常由一个AP和若干个无线终端组成 |
| ESS | 扩展服务集 | 多个使用相同SSID的BSS组成,解决BSS覆盖范围有限的问题 |
| SSID | 服务集标识符 | 区分不同的无线网络 |
| ESSID | 扩展服务集标识符 | 一个或一组无线网络的表示 |
| BSSID | 基本服务及标识符 | 在链路层上区分一个AP上不同VAP,也可以用它来区分统一ESS中的BSS |
| VAP | 虚拟接入点 | AP设备商虚拟出来的业务功能试题,用户可以在一个AP上创建不同的VAP为不同用户群体提供无线接入服务 |
AP的工作流程
AP上线------WLAN业务配置下发------STA接入------WLAN业务数据转发
1.AP上线
手动配置IP,DHCP(DHCPserver,AC,核心交换机都可以分配IP)
建立CAPWAP隧道:Discover(AP发现AC)。动态,AP预配置AC静态地址列表;动态DHCP,DNS,广播->二层。建立CAPWAP隧道
AP接入控制:jion Request
AP版本升级
CAPWAP隧道维持
2.配置下发
配置VAP模板,创建SSID模板,创建安全模板,配置数据转发模式
3.STA接入
扫描,链路认证,关联,接入认证,DHCP,用户认证
802.11 三类帧:管理帧,控制帧,数据帧
用户认证:portal(游客),mac认证(打印机等),802.1x认证(内部员工)
具体配置
路由策略(route-policy)与策略路由(PBR)
基础知识
匹配工具:acl(默认允许),ip前缀列表(默认拒绝)
route-policy,主管路由条目,控制路由能否发布能否学习。
route-policy 策略名 permit/deny node 节点号
if-match 条件1 [条件2 ...]
apply 动作1 [动作2 ...]核心配置命令:1.创建路由策略2.使用if-match匹配条件3.apply修改动作
注意要点
路由策略默认拒绝
前缀列表掩码:permit 172.16.17.0 24 不能写成 255.255.255.0
BGP 策略方向:import 过滤入路由,export 过滤出路由,不可混淆
经典案例分析
1.OSPF引入静态路由过滤
R1 仅将172.16.17.0/24、172.16.18.0/24、172.16.19.0/24引入 OSPF,拒绝其他路由。
# 1. 前缀列表精确匹配3个网段
ip ip-prefix static-permit index 10 permit 172.16.17.0 24
ip ip-prefix static-permit index 20 permit 172.16.18.0 24
ip ip-prefix static-permit index 30 permit 172.16.19.0 24
# 2. Route-Policy引用前缀列表,允许匹配路由
route-policy import-static permit node 10
if-match ip-prefix static-permit
# 3. OSPF引入静态路由时绑定策略
ospf 1
import-route static route-policy import-static2.多出口策略路由PBR
行政部(192.168.1.0/24)走电信,研发部(192.168.2.0/24)走联通,其他流量默认走电信。
高级ACL定义流量
acl number 3001 # 匹配行政部
rule permit ip source 192.168.1.0 0.0.0.255
acl number 3002 # 匹配研发部
rule permit ip source 192.168.2.0 0.0.0.255
创建策略路由
policy-based-route office-pbr permit node 10 # 行政部走电信
if-match acl 3001
apply ip-address next-hop 1.1.1.1
policy-based-route office-pbr permit node 20 # 研发部走联通
if-match acl 3002
apply ip-address next-hop 2.2.2.2
policy-based-route office-pbr permit node 30 # 其他流量默认走电信
apply ip-address next-hop 1.1.1.1
内网入口接口应用PBR
interface GigabitEthernet 1/0/1 # 连接内网
ip policy-based-route office-pbr3.BGP路由属性修改
拓扑:R1(BGP)→R2(BGP+OSPF)→内网 需求:R2 将从 R1 学习的 BGP 路由发布给内网时,本地优先级设为 200(优先走该路径)。
# 1. ACL匹配BGP路由源
acl number 2000
rule permit source 10.20.0.0 0.0.0.255
# 2. Route-Policy设置本地优先级
route-policy local-pre permit node 10
if-match ip route-source acl 2000
apply local-preference 200
# 3. BGP进程应用策略
bgp 100
peer 10.20.0.1 as-number 200
ipv4-family unicast
peer 10.20.0.1 route-policy local-pre import4.浮动路由主备链路切换
拓扑:R1→R3(主链路)、R1→R2(备链路) 需求:主链路故障时秒级切换到备链路,用 BFD 检测链路状态。
# 1. 主静态路由(优先级60)
ip route-static 0.0.0.0 0.0.0.0 192.168.13.3 preference 60
# 2. 备静态路由(优先级80,浮动)
ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 preference 80
# 3. BFD配置(检测主链路)
bfd
bfd session 192.168.13.3 interface GigabitEthernet 1/0/1