第1次課
Windows活動目錄管理?? ?16課時?? ?8次課
?? ?（1）相關的理論知識點
?? ?（2）綜合實驗
企業網絡互聯技術---是以上學期課程為基礎進行擴展講解的企業中應用廣泛的技術。
?? ?VLAN間通信---基礎知識：VLAN（接口類型、接口對數據幀處理方式）、Trunk鏈路
?? ?STP
?? ?ACL
?? ?NAT
?? ?VRRP

不同的二層網絡之間要進行通信，需要借助3層設備的路由功能來實現。
一個VLAN相當于一個邏輯上的LAN。

（1）VLAN10的PC發出一個Untagged數據幀。
?? ?備注：Untagged表示數據幀未打上VLAN的標簽，標簽內包含VLAN的ID。
（2）該Untagged數據幀進入交換機的access接口后，根據接口的PVID，打上對應的 VLAN tag。該數據幀變為tagged幀。

備注：2層接口與3層接口最明顯的區別是3層接口可以配置IP地址，2層接口不能配置。

路由器接口種類多，但是每種接口數量少。
交換機接口種類少，每類接口數量多。
二層交換機一般沒有電源開關。

VLAN間路由的方案
（1）使用3層路由器的物理接口器實現VLAN間通信
?? ?①VLAN數量越多，需要的物理接口越多。
?? ?②路由器的接口數量少。
?? ?備注：一般生產環境不會使用該方案。但可用于學習理解VLAN間通信的原理。
（2）使用路由器的物理接口的子接口實現VLAN間通信---單臂路由技術
?? ?①路由器子接口是基于物理接口創建的。
?? ??? ?子接口可用的前提是物理接口正常工作。
?? ??? ?用于創建子接口的物理接口必須支持全雙工工作模式。
?? ??? ??? ?半雙工---同一時刻僅能發送或僅能接收。
?? ??? ??? ?全雙工---可同時收發數據。
?? ??? ??? ?單工---僅具備發送功能或僅具備接收功能。
?? ?②路由器和交換機之間的鏈路必須為trunk鏈路。
?? ??? ?交換機接口為Trunk接口
?? ??? ??? ?trunk鏈路
?? ??? ??? ?PVID
?? ??? ??? ?允許哪些VLAN通過該鏈路
?? ??? ?路由器子接口上封裝802.1q協議。
============================================================
第2次課
1、實現VLAN間通信的方案二（單臂路由）存在著問題：
（1）容易出現單點故障---物理接口損壞，導致網絡不通。
（2）容易出現網絡瓶頸，交換機和路由器之間的鏈路容易出現網絡擁塞現象。
2、解決方案：
（1）使用三層交換機取代路由器，可提供更多的接口。---可行，但實際生產環境中不會使用。
（2）使用三層交換機的VLANIF接口實現VLAN間的通信。---是除了單臂路由之外的另一套技術，且應用廣泛。
3、VLANIF接口：
（1）VLANIF接口是一種邏輯接口（看得見、摸不著、但存在）
（2）VLANIF接口支持VLAN tag的添加和剝離，能夠完成VLAN的通信。
（3）VLANIF接口是一種三層接口，支持配置IP地址。
?? ?display ip interface brief?? ?//查看L3接口的簡要信息
?? ?display interface brief?? ?//查看L2和L3接口的簡要信息。
?? ?備注：默認情況下L2接口不支持ip address命令。
?? ?L2/L3接口---缺省情況下為L2接口，可通過命令將其切換為L3接口。
（4）VLANIF接口的存在，依賴于編號相同的VLAN，如果該VLAN不存在，則不存在對應編號的VLANIF接口。
?? ?接口狀態的復習：
?? ??? ?up up?? ??? ?接口正常工作，物理層完好，協議層配置OK。
?? ??? ?up down?? ??? ?接口正常，但暫時沒有工作，因為物理層完好，但是協議層配置不足。
?? ??? ?down down?? ?接口故障，或沒有連接。
?? ??? ?*down down?? ?接口管理性關閉，即管理員使用命令去使能接口。
?? ?①創建VLAN后，對應編號的VLANIF接口仍不存在。
?? ?②當VLAN存在后，使用“interface vlanif 編號”命令，可成功創建與VLAN對應的VLANIF接口。
?? ?③當VLANIF接口創建成功后，如果接口狀態為“down down”狀態，需要將交換機物理接口劃分到對應VLAN，才能讓VLANIF接口狀態變為“up up”或“up down”
（5）VLANIF接口上配置的IP地址為該VLAN成員計算機的網關。
4、使用VLANIF接口實現VLAN間通信的配置
（1）在交換機上創建相關的VLAN。
?? ?vlan 10?? ??? ??? ?創建單個的VLAN，并進入VLAN配置視圖。
?? ?vlan batch 10 20?? ??? ?批量創建VLAN。
（2）將交換機上的接口劃分到各個VLAN中。
?? ?port link-type access?? ?配置接口的鏈路類型為access。
?? ?port default vlan 10?? ??? ?配置access接口的PVID。
（3）在交換機上創建VLANIF接口，并配置IP地址。
?? ?interface vlanif 10?? ??? ?創建VLANIF接口并進入VLANIF接口視圖。
?? ?ip address IP地址 掩碼長度?? ?配置接口的IP地址。
（4）配置PC，并指明網關。

備注：數據在不同VLAN間轉發的過程，實際上與以前講解的不同網絡間通信的過程一致。
?? ?二層封裝的MAC地址每到一處，都會發生變化；
?? ?三層封裝的IP地址，從始至終不會變化。
?? ?
發出：
?? ?SMAC：MAC1
?? ?DMAC：MAC2
?? ?SIP：10.2
?? ?DIP：20.2

到網關VLANIF10
?? ?目的MAC是否是自己接口
?? ??? ?不是，丟棄幀
?? ??? ?是，收下，接封裝
?? ??? ??? ?SIP：10.2
?? ??? ??? ?DIP：20.2
從網關VLANIF10發出：
?? ?重封裝：
?? ??? ?SMAC：MAC2
?? ??? ?DMAC：MAC2?? ??? ??? ?
?? ??? ?SIP：10.2
?? ??? ?DIP：20.2

基礎配置：
system-view?? ??? ?進入系統視圖
sysname 名字?? ??? ?起名字
undo info-center enable?? ?關閉信息中心，防止彈出的信息打斷輸入。
user-interface console 0?? ?進入console線路視圖，用于本地管理設備時使用。
idle-timeout 0 0?? ??? ?設置為永不超時
quit?? ??? ??? ?退出
user-interface vty 0 4?? ?進入vty線路視圖，用于遠程登錄設備時使用。
idle-timeout 0 0
authentication-mode { password | aaa } ?? ?配置驗證模式，目前推薦使用password。
set authentication password { cipher | simple } 密碼?? ?配置密碼，推薦使用cipher。
user privilege level?? ?{級別值}?? ?配置登錄用戶級別
protocol inbound { all | ssh | telnet }?? ?配置允許登錄時使用的協議。?? ?
quit
interface 接口類型 接口編號?? ??? ?//進入接口視圖。
?? ?備注：常見的接口類型如下：
?? ??? ?Ehernet?? ?以太網接口（Eth）
?? ??? ?FastEthernet?? ?快速以太網接口（FE）
?? ??? ?GigabitEthernet?? ?千兆以太網接口（GE）
?? ??? ?LoopBack?? ??? ?回環接口，邏輯接口，一般用于模擬網絡或作為輔助使用。
?? ??? ?VLANIF?? ??? ?與VLAN相關的三層邏輯接口。
?? ??? ?Eth-Trunk?? ?以太網鏈路聚合接口
?? ??? ?serial?? ??? ?廣域網使用的串行接口。?

第3次課
1、報文經過三層轉發時，報文內容有哪些變化？
（1）當報文經過三層轉發時，二層頭部中的源和目的MAC地址會發生變化。
?? ?①源MAC地址變為發出設備的MAC地址
?? ?②目的MAC地址變為下一跳設備的MAC地址
（2）當報文經過三層轉發時，源和目的IP地址保持不變。TTL值每經過一個三層設備，遞減1。
（3）當報文經過三層轉發時，二層頭部中的VLAN Tag不具備。
2、二層接口與三層接口的比較：
（1）是否支持IP地址配置
?? ?①二層接口不支持
?? ?②三層接口支持
（2）是否具備MAC地址
?? ?①二層接口不具備獨立的MAC地址，而是借用設備的MAC地址。---一臺設備上所有的二層接口MAC地址相同。
?? ?②三層接口具有獨立的MAC地址，各不相同。
（3）對數據幀的處理方式
?? ?①二層接口收到數據幀后，要么直接轉發，要么泛洪處理，參考依據為MAC地址表。
?? ?②三層接口收到數據幀后，如果目的MAC地址匹配，則進一步解封轉處理；否則丟棄。

第4次課
1、STP背景（為何使用STP）？?? ?
學習生成樹的思維導圖：
?? ?環境：二層網絡----交換機
?? ?單點故障--->使用冗余拓撲--->形成二層環路--->容易造成網絡廣播風暴和MAC地址表漂移，導致網絡擁塞甚至癱瘓--->又要解決單點故障的同時，還要解決二層環路帶來的影響--->使用STP

交換機對于未知單播幀、組播幀和廣播幀都進行泛洪處理。
廣播風暴：被泛洪處理的數據幀在二層環路中不斷循環轉發，且無壽命限制，當數據流增大到一定程度，將導致網絡擁塞。
MAC地址漂移：廣播風暴中循環轉發的幀，因為地址學習的關系，導致MAC地址表表項內容不斷變化，無法穩定。

一個MAC地址只能對應一個接口。
一個接口可對應多個MAC地址。

STP能在提供冗余功能的同時解決二層環路問題。

2、STP的基本原理
（1）環路中的所有交換機啟用STP
（2）交換機之間交換協議報文
（3）交換機進行無環拓撲計算
（4）阻塞環路中某個或某些較差接口，從而消除環路
（5）一旦有效鏈路出現問題，STP重新計算，原先被阻塞的接口重新打開轉發數據。

3、2層和3層網絡解決環路的方法：
（1）2層網絡采用STP解決環路問題
（2）3層網絡采用以下機制解決環路問題：
?? ?①IP報文中的TTL字段
?? ?②動態路由協議
?? ??? ?OSPF----最短路徑優先算法
?? ??? ??? ?以自己為根，計算到所有目的地的最短路徑，形成一個樹狀結構。
?? ??? ?RIP---定義最大跳數、路由毒化、反轉毒殺、抑制計時器、觸發更新。

第5次
1、STP中重要的基本概念
（1）橋ID（網橋ID、BID）
?? ?①BID是STP運行過程中為冗余拓撲中的每個交換機定義的唯一標識符。
?? ?②BID=橋優先級+橋MAC地址
?? ?備注：802.1D標準定義了標準的生成樹協議。
?? ??? ?橋優先級：0-65535，默認為32768。
?? ?③用處：在STP運行過程，BID最小的交換機會成為根橋。
?? ?④BID最小：
?? ??? ?橋優先級最小時，不關注橋MAC地址
?? ??? ?橋優先級相同時，橋MAC地址最小
（2）根橋
?? ?①根橋是STP運行過程中計算出的無環路徑樹的根部。
?? ?②作用：STP拓撲計算過程的參考點。
（3）cost（開銷）
?? ?①cost是反映接口鏈路狀況的一種參考值。
?? ?②cost與接口鏈路帶寬成反比。
?? ?③cost值可以通過命令進行調整。
?? ?④STP計算中關注的不是某條鏈路的cost，而是根路徑開銷（RPC）
（4）Port ID（PID，端口ID）
?? ?①PID是運行了STP的交換機為每個接口分配的唯一標識符。
?? ?②PID=端口優先級+端口ID
?? ??? ?備注：端口ID為系統分配的ID號，與接口標識符無關。
?? ??? ?端口優先級：1-255，默認為128。
?? ?③作用：特定環境中用于STP選舉指定接口。
（5）BPDU（橋協議數據單元）
?? ?①BPDU是STP運行時，交換機相互之間發送的報文。
?? ?②BPDU分為兩種：
?? ??? ?配置BPDU---用于計算和維護ST網絡。
?? ??? ?TCN（拓撲變更通告） BPDU---當網絡拓撲發生變化時，關聯的交換機才會觸發生成該BPDU。
2、配置BPDU的比較原則：
（1）最小的根橋ID（RBID）
（2）最小的RPC
（3）最小的BID
（4）最小的Port ID
3、STP的計算過程
（1）選根橋
?? ?①原則：一個交換網絡中有且僅有一個根橋。
?? ?②方法：網絡中擁有最小BID的交換機。
?? ?③注意事項：根橋角色可被搶占。
?? ?④建議：為了避免根橋角色被強占，提前規劃，并將根橋的優先級設置為0。
（2）選根端口
?? ?①原則：每臺非根交換機上僅有一個根端口。
?? ?②方法：當非根交換機上有多個接口接入網絡時，根接口收到的BPDU中RPC最低。
?? ??? ?如果端口到根橋的RPC相同，則比較上行交換機的BID，最小BID交換機連接的端口是根端口。
?? ??? ?如果上行交換機的BID相同，則比較上行交換機的Port ID，最小Port ID端口連接的端口是根端口。
?? ?③作用：用于接收根橋發送的配置BPDU或其他非根交換機轉發的配置BPDU。
（3）選指定端口
?? ?①原則：每條鏈路上選舉一個指定端口
?? ?②方法：
?? ??? ?先比較端口到根橋的RPC，最小的成為指定端口。
?? ??? ?如果RPC相同，則比較兩端交換機的BID。
?? ??? ?如果BID相同，則比較兩端的PID。---一般該方法用不著。
?? ??? ?備注：根橋上的端口一般都為指定端口。
?? ?③作用：一般用于發送BPDU。
（4）選阻塞端口---基本上不用選舉，即使不是根端口，也不是指定端口的端口就會被阻塞。
4、STP的接口狀態：
（1）disable（禁用）---業務數據和BPDU都不能收發。
（2）blocking（阻塞）---業務數據不收發，BPDU可接收，不會進行MAC地址學習。
（3）listening（偵聽）---業務數據不收發，BPDU可接收，不會進行MAC地址學習。
（4）Learning（學習）---業務數據不可發，BPDU可接收，會進行MAC地址學習。
（5）forwarding（轉發）---業務數據和BPDU都可收發。
5、STP配置
（1）配置STP工作模式
?? ?華為設備缺省為mstp模式。
?? ?stp mode { stp | rstp | mstp }
（2）配置根橋
?? ?該命令可選，但建議在生產環境下為了網絡穩定性，根據網絡規劃手動配置根橋。?? ?
?? ?stp root primary
?? ?備注：該命令將交換機設置為根橋，且橋優先級為0。
（3）配置備份根橋
?? ?該命令可選，當為了實現冗余，可考慮配置備份根橋。
?? ?stp root secondary
?? ?備注：該命令將交換機設置為備份根橋，且橋優先級為4096。如果沒有設置根橋的情況下，不要設置備份根橋。
（4）配置交換機的STP優先級
?? ?stp priority 優先級值
?? ?備注：缺省值為32768。
（5）配置接口路徑開銷標準
?? ?stp pathcost-standard { dot1d-1998 | dot1t | legacy }
?? ?備注：缺省為dot1t
（6）修改接口鏈路開銷
?? ?在接口視圖下，stp cost 開銷值
?? ?備注：一般不建議去修改。或技術不到家的人不要用這條命令。
（7）啟用生成樹功能
?? ?stp enable
?? ?備注：缺省開啟。

第7次課
1、背景：需要一個過濾流量的工具。
2、ACL的介紹：
（1）概念：
?? ?規則的集合
?? ?規則有序排列
?? ?根據規則有允許或拒絕流量通過的處理方式。
?? ??? ?permit---允許
?? ??? ?deny---拒絕
?? ?匹配工具，用于對報文進行匹配或區分（篩選）
（2）應用：----應用廣泛。
?? ?①匹配IP流量
?? ?②在Traffic-filter中被調用
?? ??? ?Traffic---流量
?? ??? ?filter---過濾器
?? ?③在NAT中被調用
?? ??? ?NAT---網絡地址轉換
?? ?④在路由策略中被調用
?? ??? ?路由策略---針對路由實施策略，在后面的學期中會學習。
?? ?⑤在防火墻的策略部署中被調用---第4、5學期會學習防火墻技術。
?? ?⑥在QoS（服務質量）中被調用
3、ACL的原理
（1）ACL的匹配順序
?? ?①自動順序（auto模式）---按照規則的精確度從高到低進行排序和匹配。
?? ??? ?優先匹配最嚴格最細致的規則。
?? ?②配置順序（config模式）---按照規則的編號從小到大進行排序和匹配。
（2）ACL匹配結果
?? ?①首選看規則中是permit還是deny。
?? ?②再看結合的技術的特點和作用。
備注：“允許”是指允許流量通過嗎？
?? ?當ACL應用到流量過濾中時是的。
?? ?當ACL應用到其他技術時，不一定是。

第8次?
1、ACL的組成
（1）每一條規則語句由如下內容構成：
?? ?①規則編號
?? ?②要執行的動作
?? ?③要匹配的條件
（2）在ACL的末尾有一條潛規則（隱含規則）
?? ?rule 4294967294 deny any
?? ?①用戶自定義的規則的編號默認情況下小于隱含規則的編號。
?? ?②隱含規則的作用是拒絕所有，因此一個ACL中至少要有一條允許的規則。
2、規則編號
（1）ACL中一條規則語句具有唯一的編號，取值范圍為0-4294967294，最后一個值被隱含規則使用。
（2）配置ACL規則時，如果不指定規則編號，起始值為5。
?? ?第一條自定義的規則，編號默認為5。
（3）配置ACL規則時，如果不指定規則編號，且不為第一條規則，則默認按步長值5遞增。
?? ?步長值存在的原因是：為了方便的在舊規則之間插入新規則。
?? ??? ?①添加規則時，編號不會自動發生改變。
?? ??? ?②添加規則時，可能因沒有步長值存在時無所用的號碼。
?? ??? ?③如果需要添加，且無位置添加時，需刪除整個ACL，重新配置。
3、通配符---是寫條件時，重要的參考之一。
（1）概念：是32位二進制數構成，其中0和1可以不連續。0表示匹配，1表示隨機分配。
?? ?①匹配表示通配符中0對應的IP地址位上的數值不能變動，必須一樣。
?? ?②隨機分配表示通配符中1對應的IP地址為上的數值可以是0，也可以是1，與原數值無關。
（2）作用：用于配合IP地址，表示一個IP、一個網段、連續或不連續的IP地址范圍。靈活性高。
（3）常見案例：
?? ?0.0.0.0?? ?表示匹配一個IP地址。可以縮寫為0。
?? ?0.0.0.255?? ?表示匹配一個網段。
?? ?0.0.0.254?? ?表示匹配奇數IP地址或偶數IP地址。
?? ??? ?192.168.1.0 0.0.0.254?? ?
?? ??? ?192.168.1.1 0.0.0.254
（4）匹配所有IP地址的寫法：
?? ?0.0.0.0 255.255.255.255?? ?可用any替換
4、ACL的分類與標識
（1）區分不同的ACL可用兩種標識：
?? ?①編號
?? ?②名稱
（2）分類：
?? ?①基于ACL標識方法分為：
?? ??? ?數字型ACL
?? ??? ?命名型ACL
?? ?②基于ACL規則定義的方式分為：
?? ??? ?基本ACL?? ??? ?2000-2999?? ?關注源IP地址
?? ??? ?高級ACL?? ??? ?3000-3999?? ?關注源/目的IP地址、IP協議類型、ICMP類型、源/目的端口號
?? ??? ?二層ACL?? ??? ?4000-4999
?? ??? ?用戶自定義ACL?? ?5000-5999
?? ??? ?用戶ACL?? ??? ?6000-6999
5、ACL的匹配機制
?? ?自上而下逐條匹配
?? ?一旦匹配立即執行
?? ?如無匹配執行潛規則
6、命令語法
（1）基本ACL
?? ?acl number 基本ACL編號
?? ?rule [規則編號] { permit | deny } source 源IP地址 通配符
（2）高級ACL
?? ?acl number 高級ACL編號
?? ?rule [規則編號] { permit | deny } 協議 source 源IP地址 通配符 [源端口] destination 目的IP地址 通配符 [目的端口]
7、ACL匹配位置
（1）入站（inbound）方向---入站方向的ACL對于入站流量先過濾再路由。
?? ?路由的流量比進入接口的流量要少。
（2）出站（outbound）方向---出站方向的ACL對于出站流量而言，先路由再過濾。

備注：接口是入站接口還是出站接口，由流量的方向決定。ACL是入站ACL還是出站ACL由命令決定。

第9次課
1、基本ACL配置命令語法
（1）創建數字型ACL
?? ?acl [number] 基本ACL的編號 [match-order config]
?? ??? ?備注：match---匹配，order---順序，config是指匹配順序模式為config模式。
（2）創建命名型ACL
?? ?acl name ACL的名字 { basic | 基本ACL編號} [match-order config]
?? ??? ?備注：basic---基本，基礎
（3）配置基本ACL規則
?? ?rule [規則編號] { deny | permit } [ source { 源IP地址 通配符 | any } | time-range 時間范圍名稱 ]
2、高級ACL配置命令語法
（1）創建命令類似。
（2）規則的配置：
①當協議不是tcp或udp時：
?? ?rule [規則編號] { permit | deny } 協議 source 源IP地址 通配符 destination 目的IP地址 通配符?
②當協議是tcp或udp時：
?? ?rule [規則編號] { permit | deny } { tcp | udp } destination { 目的IP地址 通配符 | any} destination-port { eq | gt | lt | range } 端口號/端口號范圍 source { 目的IP地址 通配符 | any} destination-port { eq | gt | lt | range } 端口號/端口號范圍
?? ?備注：
?? ??? ?source---源
?? ??? ?destination---目的
?? ??? ?eq---等于
?? ??? ?gt---大于
?? ??? ?lt---小于
?? ??? ?range---范圍

第10次課
一、NAT背景知識
1、IPv4地址因分配不均已經使用地址的設備數量激增出現了IPv4地址耗盡危機（感覺不夠用）。
2、開發新版本IPv6地址，但是從IPv4過渡到IPv6需要一個較長的階段。
3、在過渡階段想解決IPv4地址耗盡危機，有一系列的方法。
（1）將IPv4地址劃分為私有IP和公有IP地址兩大類，私有IP地址可在LAN內部重復利用。
（2）VLSM（可變長子網掩碼）、CIDR（無類域間路由）技術。
4、企業用戶或個人用戶的設備使用私有IP地址，如何訪問公網資源？使用NAT技術，將私有IP轉換為公有IP。
二、NAT技術原理---IP報文改寫技術
1、作用：對IP數據報文中的IP地址（源IP地址、目的IP地址）進行轉換
2、典型應用場景：
（1）針對私網訪問公網時，從內到外的流量，進行轉換，將私有IP地址轉換成公有IP地址。
（2）針對公網用戶訪問私網服務器資源時，從外到內的流量，進行轉換，對IP報文中目的IP地址進行轉換。
3、基本原理
（1）NAT設備在配置了NAT技術后，會形成一個NAT轉換表。
（2）NAT轉換表中每一個表項都為一對地址的映射關系。
4、NAT的優點和缺點：
（1）優點：
?? ?①節省合法的注冊地址（公網IP地址）---節約成本
?? ?②在地址重疊時提供便利的解決方案---能減少維護成本，避免重新編址。
?? ?③提高連接Internet的靈活性。
?? ?④提升了網絡安全性---隱藏內網IP架構。
（2）缺點：
?? ?①會增加網絡延遲，影響網絡性能。
?? ?②影響網絡攻擊時溯源
?? ?③會影響一些其他協議的使用。---NAT和某些技術不能共存。
第11-14次
一、NAT的分類、各類型特點及適用場景
1、靜態NAT
（1）特點：
?? ?①私有IP地址與公有IP地址之間的對應關系為固定的一對一映射關系。
?? ?②支持雙向互訪。
?? ?③地址之間的對應關系為管理員手動指定。
?? ?④一旦配置后，該對應關系將永久保存在NAT映射表中，直到被管理員刪除。
?? ?⑤僅進行IP地址的轉換，不同時轉換端口。
（2）配置思路及命令
?? ?①方式一：直接在接口視圖下配置。
?? ??? ?nat static global {全局地址/公有地址} inside {主機地址/私有地址}
?? ??? ??? ?static---靜態
?? ??? ??? ?global---全局
?? ??? ??? ?inside---內部，是outside的反義詞。
?? ?②方式二：在系統視圖下配置，并在接口視圖下啟用。
?? ??? ?A、配置映射關系
?? ??? ??? ?nat static global 全局地址 inside 主機地址
?? ??? ?B、在接口上應用
?? ??? ??? ?nat static enable
（3）配置案例及分析
?? ?①在內網和外網進行抓包，所看到的現象：
?? ??? ?A、PC ping通了服務器
?? ??? ?B、內網捕獲的IP數據包中源地址為私有地址，目的地址為公有地址。
?? ??? ?C、外網捕獲的IP數據包中源地址變成了指定的公有地址。目的地址不變。
?? ?②在NAT路由器上，查看NAT轉化表
?? ??? ?display nat static
?? ??? ?可看到公有地址和私有地址的一對一映射關系。
?? ??? ?也可看到僅有地址進行轉換，沒有端口進行轉換。
2、動態NAT
（1）特點：
?? ?①私有IP地址與公有IP地址之間的對應關系為一對一映射關系。
?? ??? ?與靜態NAT的不同之處：
?? ??? ??? ?A、一對一的映射關系不固定。
?? ??? ??? ?B、靜態NAT不使用地址池，而動態NAT使用地址池。
?? ?②使用IP地址池來管理所有可用公有地址。
?? ??? ?A、用于形成映射關系的地址被標記“In Use”。
?? ??? ?B、未被用于形成映射關系，或映射關系被解除的地址標記為“Not Use”。
?? ?③地址映射關系剛開始并不存在于NAT映射表中，當流量經過設備時，臨時生成映射關系，并在NAT轉換表中存在一段時間后自動刪除。
?? ??? ?好處：節約公有IP地址資源。
?? ??? ??? ?靜態NAT的固定一對一映射關系，在主機長時間離線或不向外網發送數據時，仍占用公有IP地址資源，會造成公有IP地址資源的浪費。

小結：靜態NAT與動態NAT的區別
?? ??? ??? ?靜態NAT?? ??? ?動態NAT
一對一映射關系是否固定?? ?是?? ??? ?否
是否使用公有IP地址池?? ?否?? ??? ?是
地址映射關系存在的時間?? ?一直?? ??? ?臨時

（2）配置思路及命令
?? ?①創建公有IP地址池
?? ??? ?nat address-group 地址池索引編號 起始地址 結束地址
?? ??? ?備注：定義的IP地址池中的地址，不能隨意，要能路由通信。
?? ??? ?地址池索引編號取值范圍：0-7
?? ?②配置地址轉換的ACL規則---通過ACL規則來定義允許哪些內網網段可進行NAT。
?? ??? ?acl number 基本ACL的編號
?? ??? ?rule permit source 源IP地址 源通配符
?? ??? ?注意：只能使用基本ACL來制定規則。
?? ?③接口視圖下配置帶地址池的NAT outbound---將允許轉換的私有地址和地址池關聯，便于后期生成映射關系。
?? ??? ?nat outbound ACL的編號 address-group 地址組索引編號 no-pat?
?? ??? ?備注：no-pat選項如果添加，表示不進行端口轉換。
（3）配置案例及分析
?? ?①每臺設備在轉換時占用一個公有IP。
?? ?②超出公有地址時的設備，報錯：目標主機不可達。
?? ?③經過觀察，192.168.1.0網段設備ping目標外網服務器時，有時候通，有時候不通。什么原因？
?? ??? ?每臺設備執行ping命令時，一次性依次發5個包，前3個包的IP能被轉換，后面的包因公有地址不足，無法轉換，因此無回復信息。后一臺設備執行ping時，也會出現有的通有的不通的現象，當通的時候，是因為，公有IP被釋放，有可用公有IP。

3、NAPT
（1）特點：
?? ?①解決動態NAT不能節約公網IP地址的問題。---節約公網IP地址資源。
?? ?②私有IP地址和公有IP地址之間是多對一的映射關系。
?? ?③轉換地址的同時，也轉換端口。

擴充知識：端口號的數量
?? ?TCP協議有65536個，UDP協議有65536個。
?? ?取值范圍：0-65535
?? ?分類：
?? ??? ?知名端口：0-1023?? ??? ?早期的一些比較有名，應用廣泛的應用使用這些端口。
?? ??? ?注冊端口：1024-49151?? ?如果在互聯網上正常使用應用軟件功能，需要對應用注冊對應的端口號。
?? ??? ?私有端口：49152-65535?? ?測試、學習的過程中使用。

（2）配置思路及命令
?? ?參考動態NAT，不使用no-pat選項。
（3）配置案例及分析
?? ?使用PC1、PC2、PC3 ping 服務器。
?? ?每臺PC發出的數據包轉換后的IP地址相同。
?? ?不同PC發出的數據包轉換后的IP地址可以不同。
4、Easy-IP
（1）特點：
?? ?①轉換IP地址的同時也會轉換端口。
?? ?②私有IP和公有IP地址之間是多對一的映射關系。
?? ?③不需要地址池。
?? ?④轉換后的公有地址是設備上連接公網的接口的IP地址。
?? ?⑤連接公網的NAT設備接口的地址可以是靜態手動配置，也可以是自動獲取。

Easy-IP與NAPT的區別：
?? ?前者無需地址池，后者需要地址池；
?? ?前者轉換后的地址與接口地址有關，后者轉換后的地址與地址池中的地址有關。
（2）配置思路及命令
?? ?①配置基本ACL定義允許轉換的私有地址。
?? ?②在出接口關聯ACL。
?? ??? ?nat outbound ACL編號
（3）配置案例及分析
?? ?所有設備轉換后的IP地址是NAT設備出接口的IP地址。
?? ?如果更改NAT設備出接口的IP地址，那么轉換后的地址也隨之變化。

5、NAT Server
（1）特點：
?? ?①映射關系是一對一。
?? ?②同時轉換IP地址和端口號。
?? ?③主要用于外網用戶訪問企業內網服務器時使用。
（2）配置思路及命令
?? ?①配置位置：NAT設備的inbound接口配置
?? ?②命令：
?? ??? ?nat server protocol { tcp | udp } global 公有地址 端口 inside 服務器私有IP 端口
（3）配置案例及分析

第15-18次
一、VRRP概述及原理
1、VRRP產生的背景
補充知識：
路由器的特點：
?? ?①接口種類多，接口數量少；
?? ?②每個接口都是單獨廣播域---可用于分割廣播域，每個接口配置的IP屬于不同網段。
交換機的特點：
?? ?①接口種類比較單一，接口數量多；
?? ?②所有接口屬于同一個廣播域---不能用于分割廣播域。
?? ?③接口缺省情況下不支持配置IP地址。
如果在拓撲圖中省略交換機設備，來表示以太網連接可用實心直線表示。

（1）網關（Gateway）---從本網絡前往其他網絡的必經之路。
?? ?①一般情況下，由路由器的接口承擔此角色。
?? ?②交換機的VLANIF接口也可承擔此角色。
?? ?③單臂路由環境下，路由器的子接口也可作為網關。
?? ?備注：如果訪問其他網絡時，PC上并未配置網關IP地址，則無法訪問。如果訪問行為發生在同一個網絡中，此時PC上可以不配置網關IP。
（2）單網關的缺陷：網關出現單點故障后，將導致整個網絡無法對外通信。
?? ?解決方案：采用多網關進行冗余。
（3）多網關存在的問題：
?? ?①網關間IP地址沖突---不同網關配置不同的地址，規劃好即可。
?? ?②主機會頻繁切換網絡出口。
?? ?③切換網關時可能需要手動切換。
?? ?④切換網關時所花費的時間較長。
2、VRRP概述
（1）全稱：虛擬路由器冗余協議。
（2）概念：VRRP是一種能在不改變組網的情況下，將多臺物理路由器虛擬成一個虛擬路由器，通過配置虛擬路由器的IP地址成為默認網關，實現網關備份的技術。
（3）版本：
?? ?VRRPv2（常用）---僅用于IPv4環境
?? ?VRRPv3---可用于IPv4和IPv6環境
（4）報文：只有一種
?? ?advertisement（通告）
?? ?目的IP地址：224.0.0.18?? ?---D類IPv4地址，組播地址
?? ?目的MAC地址：01-00-5e-00-00-12
?? ?協議號：112
3、VRRP基本結構
（1）VRRP路由器---運行了VRRP協議的設備。
（2）VRRP虛擬路由器---是由VRRP路由器虛擬而成，也被稱為VRRP備份組。
（3）Master（主）路由器---是VRRP備份組中的一種角色，承擔報文轉發任務。一個備份組中有且僅有一個。
（4）Backup（備份）路由器---是VRRP備份組中的一種角色，不承擔報文轉發任務。一個備份組中除了Master之外的VRRP路由器都是Backup路由器。當Master路由器故障時，將競選為新的Master。
（5）VRRP優先級（Priority）---用于競選VRRP角色。
?? ?①取值范圍：0-255。
?? ?②缺省值：100
?? ?③備份組內優先級最高的VRRP路由器將成為Master路由器。
?? ?④優先級值為0時，放棄選舉。
?? ?⑤當真實網關IP地址與虛擬路由器的虛擬IP地址相同時，該VRRP路由器成為IP地址擁有者，其優先級值為255，成為Master。
（6）虛擬路由器標識符（VRID）---是虛擬路由器（VRRP備份組）的唯一標識。需要手動指定。
（7）虛擬IP地址---一個虛擬路由器可以有1個或多個虛擬IP地址，由管理員手動指定。
（8）虛擬MAC地址---不是由管理員手動指定，而是系統根據VRID生成。
?? ?00-00-5E-00-01-VRID
?? ?廠商ID（華為00-00-5E）+協議編碼（IPv4：00-01、IPv6:00-02）+VRID（17,11）
4、狀態機---VRRP狀態之間的切換，對于以后排錯是一個比較好的參考依據。?? ??? ?
（1）有3種狀態：
?? ?①Initial（初始）
?? ?②Master（主）
?? ?③Backup（備份）
（2）狀態切換
?? ?①當VRRP路由器剛運行VRRP協議時，為初始狀態。
?? ?②協議啟動后，如果優先級為255，則直接狀態變為Master；如果優先級不為255，則狀態變為Backup。
?? ?③當接收到的VRRP通告報文中Master失效間隔時間超時或優先級值為0，或者收到的VRRP通告報文中的優先級值小于自己的優先級值時，VRRP路由器將狀態變更為Master。
?? ?④當接收到的VRRP通告報文中的優先級值大于自己的優先級值時，狀態將從Master變為Backup。
?? ?⑤如果VRRP協議關閉，則都變為初始狀態。

二、VRRP主備備份工作過程
1、工作過程：
（1）選舉Master路由器
?? ?①VRRP路由器發送VRRP通告信息。
?? ?②VRRP路由器收到通告信息后比較優先級，選擇優先級高的為Master路由器。
?? ?③如果優先級相同，如果網絡中存在Master，則Master不變；如果不存在Master，則比較接口IP地址。接口IP地址較大的成為Master。
（2）狀態維持
?? ?①Master周期性發送VRRP通告。
?? ?②通過VRRP通告通知組內其他成員，Master處于正常工作狀態。
?? ?③如果在Master_down_interval定時器超時的時候，沒有收到Master發送的通告，則認定Master故障，Backup設備將變為Master。
?? ??? ?Master_down_interval=3×Advertisement_interval+Skew_Time
?? ??? ?Skew_Time=（256-Backup設備的優先級值）/256
?? ??? ?單位：秒
?? ??? ?Advertisement_interval=1s
（3）Master通過免費ARP報文，將虛擬路由器MAC地址告知其他設備。
（4）當Master故障后，Backup變成Master，原Master恢復后，進行主備回切，此時原Master如果立即搶占Master角色，將會導致網絡通信中斷。
2、Master上行鏈路故障
（1）上行鏈路故障不影響Master向Backup發送VRRP通告，因此不會進行線路切換。
（2）解決方案：采用VRRP聯動監控功能。
?? ?①監控Master上行鏈路
?? ?②一旦上行鏈路故障，將Master的優先級值下降，讓其低于Backup，讓它們進行角色切換。

三、VRRP負載分擔工作過程
1、VRRP主備備份方式存在的缺點：
（1）Master負載過重。---整個網絡流量都經過Master進行傳輸。
（2）Backup所處鏈路資源未利用上（資源利用率較低）。
2、VRRP負載分擔工作過程：
（1）以相同的VRRP路由器成員組成多個備份組（至少是2個）。
（2）在不同的備份組中Master路由器由不同的VRRP路由器承擔角色。
（3）客戶端設置不同的虛擬IP地址作為網關，實現在不同的鏈路上負載分擔網絡流量。
3、VRRP負載分擔方式的優點：
（1）降低了Master的負擔。
（2）充分利用了鏈路資源。
4、VRRP主備備份和負載分擔方式的比較：
（1）相同點：兩者都具備網關的冗余功能。每個備份組僅有一個Master路由器。
（2）不同點：
?? ?①備份組數量：
?? ??? ?主備備份：1個備份組
?? ??? ?負載分擔：至少2個備份組
?? ?②虛擬IP數量：
?? ??? ?主備備份：1個
?? ??? ?負載分擔：至少2個
?? ?③網關配置：
?? ??? ?主備備份：所有主機使用同一個網關地址
?? ??? ?負載分擔：使用不同的網關地址。
四、VRRP基本配置
（1）VRRP主備備份
?? ?①配置設備基礎信息：主機名、線路、信息中心、IP地址、路由（靜態路由）
?? ?②在VRRP備份組成員路由器網關接口上進行VRRP配置
?? ??? ?A、Master路由器
?? ??? ??? ?vrrp vrid 1 virtual-ip 10.1.1.254
?? ??? ??? ?vrrp vrid 1 priority 150
?? ??? ??? ?vrrp vrid 1 preempt-mode timer delay 20
?? ??? ??? ?vrrp vrid 1 track interface GigabitEthernet 0/0/1 reduced 60
?? ??? ?B、Backup路由器
?? ??? ??? ?vrrp vrid 1 virtual-ip 10.1.1.254
?? ?③在客戶端上將所有主機的網關IP地址設置為虛擬IP地址。
（2）VRRP負載分擔
?? ?①配置設備基礎信息：主機名、線路、信息中心、IP地址、路由（靜態路由）
?? ?②在VRRP備份組成員路由器網關接口上進行VRRP配置
?? ??? ?注意：需要配置兩個或兩個以上的VRRP備份組
?? ?③在客戶端上將主機的網關IP地址設置為對應虛擬IP地址。
注意事項：必須事先規劃好各個路由器的角色、優先級、虛擬IP地址等信息。

第19-21次課?? ?Windows活動目錄管理課程復習
一、活動目錄域環境部署（第1、7章）
1、基礎知識
（1）基本概念：
?? ?目錄服務
?? ?活動目錄
?? ?域
?? ?域控制器
?? ?對象
?? ?屬性
?? ?容器
?? ?OU（組織單元）
?? ?LDAP
?? ?UPN
?? ?DN?? ?cn=，ou=，dc=...?? ??? ?zhangsan ?sales ? yinhe.com
（2）活動目錄與DNS的關系。（3句話）
?? ?密不可分
?? ?記錄、定位
?? ?名稱格式
（3）活動目錄的優點
（4）DC的作用
（5）工作組環境和域環境的區別
?? ?設備地位
?? ?資源管理
（6）客戶端加入域時需要滿足的條件
?? ?客戶端和DC網絡互通
?? ?DNS配置正確
?? ?具有域內管理者權限

2、主域控制器（DC）的部署
（1）部署DC的前提條件：
?? ?具備管理員權限
?? ?操作系統版本---不能是個人版，需要是企業版（Server 、Server R2），除了WEB版
?? ?NTFS文件系統
?? ?靜態IP和子網掩碼
?? ?足夠存儲空間
?? ?DNS輔助

3、額外DC的部署
（1）額外DC的作用（3個）
（2）額外DC部署的條件
?? ?域管理員權限
?? ?與主DC之間網絡通暢
?? ?DNS指向主DC/DNS服務器地址。

4、子域、域林的部署
（1）子域的概念
（2）域林的概念
（3）刪除子域和域林的條件：

將域控制器添加到現有域---創建額外DC時。
將新域添加到現有林---創建子域的時候。
添加新林---創建林中第一臺DC時。

二、對象管理（第2-5章）
1、域用戶和組的管理
（1）賬戶分類
?? ?本地賬戶
?? ?域賬戶：用戶賬戶、組賬戶
（2）域用戶賬戶
?? ?①用途：P33
?? ?②創建方法（5個）：
?? ??? ?使用AD用戶和計算機工具
?? ??? ?使用命令：
?? ??? ??? ?net user?? ??? ?CMD---工作組環境和域環境均可使用
?? ??? ??? ?dsadd?? ??? ?CMD---僅域環境中可使用。
?? ??? ??? ?New-ADUser?? ?PowerShell---僅域環境中可使用。
?? ??? ?使用CSVDE導入---文件模板+CSVDE命令工具
?? ??? ?腳本---腳本文件，直接執行
?? ??? ?批處理---可直接輸入命令執行，也可將命令寫在批處理文件內，再執行文件。
?? ??? ?備注：需要額外記住一些常用命令的語法格式。
?? ?③域用戶賬戶屬性：
?? ??? ?登錄時間
?? ??? ?登錄到
?? ??? ?解鎖賬戶
?? ?④登錄方式
?? ??? ?登錄名：?? ?域NETBIOS名稱\用戶名?? ?yinhe\zhangsan
?? ??? ?UPN：用戶名@域名?? ??? ?zhangsan@wh.yinhe.com
?? ?⑤批量導入域用戶的方法：
?? ??? ?使用csvde工具
?? ??? ?使用（第三方）工具---AD Bulk Admin
（3）域組的管理
?? ?①根據組的作用域將域組分為：（3類）
?? ??? ?本地域
?? ??? ?全局域
?? ??? ?通用域
?? ?②根據組類型將域組分為：（2種）
?? ??? ?安全組
?? ??? ?通訊組
?? ?③能被加入到域組的對象有哪些？
?? ??? ?用戶、計算機、聯系人、組
?? ?④通訊組和安全組的區別
?? ??? ?通訊組沒有安全功能，不能被賦予權限。
?? ??? ?安全組有安全功能，可被賦予權限。?? ?
（4）默認情況下，一個普通域用戶可將多少臺客戶端加入到域？
?? ?10臺，委派狀態下

2、漫游用戶
（1）用戶配置文件的類型（4種）及說明
?? ?本地
?? ?漫游
?? ?強制
?? ?臨時
（2）用戶配置文件存儲的位置：
?? ?C:\用戶?? ?C:\users?? ??? ?%systemdrive%
（3）默認情況下，Windows10 客戶端使用V5的用戶配置文件，其擴展名為.V5
（4）漫游的工作原理?? ?P63
（5）單一用戶漫游
?? ?漫游用戶文件夾?? ??? ?用戶名.V5?? ??? ?共享，給權限?? ?
（6）批量用戶漫游
?? ?漫游用戶文件夾?? ?profile\%username%?? ?共享，給profile權限
（7）用戶配置文件的定義和作用
?? ?定義：是指用戶在登錄時系統自動加載的所需環境的設置和文件的集合。
?? ?作用：為用戶提供操作所需的環境。
3、OU（組織單位/組織單元）管理
（1）概念：是一個特殊的容器對象。用于組織管理域中的對象，將其組成對象邏輯組，簡化管理。
（2）OU中可包含的對象有哪些：
?? ?用戶、計算機、工作組、打印機、應用程序、安全策略、文件共享、其他OU
（3）域中管理體系的三層結構：
?? ?①域
?? ?②默認容器：容器、OU
?? ?③域對象
（4）默認容器及其作用?? ?P77
（5）其他容器相關知識
?? ?①默認容器（非OU）中不能創建OU。
?? ?②域級別能夠創建OU，OU中可創建其他OU。
（6）OU的設計方式：
?? ?①基于部門
?? ?②基于地理位置
?? ?③基于對象類型
（7）OU與組的區別
?? ?①相同點---域中的容器對象。都能進行組織管理。
?? ?②不同點
?? ??? ?OU體現管理模型，組是權限的集合。
?? ??? ?對象可同時隸屬于不同的組，但不能同時隸屬于不同OU。
（8）“防止容器被意外刪除”選項的作用：防止誤操作導致意外刪除OU。
（9）OU委派控制
?? ?①優點：降低管理員工作負擔，提高工作效率。
?? ?②注意事項：
?? ??? ?域管理員權限
?? ??? ?規劃好委派對象，以及委派任務內容。
4、組策略管理
（1）概念：是管理員為計算機和用戶定義的，用于控制應用程序、系統設置和管理模板的一種機制（工具）。
（2）分類：
?? ?①本地組策略---只能在本地生效
?? ?②域組策略---域中生效
（3）優點：
?? ?①減少管理成本。
?? ?②減少配置錯誤發生的可能性。
?? ?③個性化/定制化---針對特定對象實施特定策略。
（4）GPO（組策略對象）
?? ?①也是域中的對象之一。
?? ?②GPO必須與站點、域、OU中的一個關聯，才能產生效果。
?? ?③GPO與容器之間必須鏈接，才能讓其中包含的組策略生效。
?? ?④默認GPO有兩個：
?? ??? ?默認域策略?? ?Default Domain Policy
?? ??? ?默認域控制器策略?? ?Default Domain Controllers Policy
（5）組策略的生效時間：
?? ?①用戶配置
?? ??? ?用戶登錄時自動應用。
?? ??? ?手動強制刷新時立即生效。
?? ??? ?已登錄：
?? ??? ??? ?默認應用周期：90-120min/次
?? ??? ??? ?安全性配置策略：16h/次
?? ?②計算機配置
?? ??? ?開機啟動時自動應用。
?? ??? ?手動強制刷新時立即生效。
?? ??? ?已啟動：
?? ??? ??? ?默認應用周期：
?? ??? ??? ??? ?DC：5min/次
?? ??? ??? ??? ?非DC：90-120min/次
?? ??? ??? ?安全性配置策略：16h/次
備注：手動強制刷新命令：?? ?gpupdate /force
（6）刪除GPO和刪除GPO鏈接的區別：
?? ?刪除GPO實際上就是刪除了策略。
?? ?刪除GPO鏈接實際上未刪除策略，只是去除了GPO與容器之間的關聯。
（7）組策略的應用規則：
?? ?①繼承---默認情況下，下層容器繼承上層容器的GPO。
?? ?②阻止繼承---子容器可阻止繼承上層容器的GPO。
?? ?③累加---如果容器的多個組策略設置不沖突，則最終有效策略為所有組策略的累加。
?? ?④沖突---如果容器的多個組策略設置有沖突，則按如下順序應用：LSDOU---本地、站點、域、組織單元
?? ?⑤默認情況下，策略沖突時，后應用的策略覆蓋前面的。
?? ?⑥如果子容器關聯的策略與上層的沖突，或子容器阻止繼承上層容器的GPO，如果想要讓上層容器的GPO中的策略生效，可設置強制生效。

三、活動目錄災難恢復（第6章）
1、原因：容錯，并防止誤操作導致的AD數據庫數據丟失。
2、AD數據庫文件默認存放的位置：?? ?%systemroot%\NTDS?? ?C:\Windows\NTDS
3、備份方式：
（1）手動備份---一次性備份
（2）自動備份---備份計劃
4、還原AD的方法：
（1）非授權還原---適用于以下兩種環境：
?? ?①獨立DC上還原數據；
?? ?②有多臺DC且進行了數據同步，但對數據的丟失能夠接受。
（2）授權還原---不能接受數據的丟失。
5、其他：
（1）還原DC的系統狀態一定要在目錄服務修復模式下進行。
（2）進入目錄服務修復模式的方法：
?? ?①設置--->更新和安全--->恢復--->立即重啟--->疑難解答--->高級選項--->啟動設置--->重啟
?? ?②選擇目錄服務修復模式--->輸入用戶名：.\administrator--->輸入密碼：目錄服務還原模式密碼
?? ??? ?備注：輸入的不是管理員administrator的密碼，也不是域管理員administrator的密碼。
（3）使用ntdsutil工具
（4）AD回收站的作用：用來快速還原被誤刪除的AD對象，避免從備份恢復時的繁瑣操作。最大限度地縮短目錄服務中斷時間。

第22-24次課?? ?企業網絡互聯技術復習
一、前置回顧內容：計算機網絡技術
1、第5章 交換機的工作原理及配置----交換機的工作原理
（1）地址學習
（2）轉發過濾
（3）環路避免---本課程的STP與之相關。
2、第11章 VLAN
（1）端口類型
（2）鏈路類型
（3）不同類型的端口在收發數據時如何處理數據幀---添加和去除VLAN Tag
（4）VLAN Trunk鏈路---要和第12章節的Eth-Trunk區分開。
（5）基本配置
?? ?①創建VLAN
?? ?②接口劃分
3、第12章 Eth-Trunk?? ?
（1）是一個應用較為廣泛的冗余（可靠性）技術。
（2）本門課程學習過程中某些網絡環境下可能用到該技術。

二、VLAN間通信
1、學習該知識的原因：
（1）廣播域越多越好，且為了提升網絡的安全性、靈活性等特點，劃分VLAN。
（2）劃分VLAN后，不同VLAN之間需要通信。
2、實現VLAN間通信的技術方案：---需要三層功能
（1）使用路由器的物理接口
?? ?一個VLAN連接到一個物理接口
（2）使用路由器物理接口的子接口（單臂路由技術）---如果要節約成本，且要求不高的時候可考慮該方案。
?? ?使用一個物理接口。
?? ?每個VLAN關聯一個子接口。
（3）使用多層交換機的SVI（交換虛擬接口）---VLANIF---實際應用中推薦大家使用該方案。
?? ?VLANIF接口與物理接口、子接口配置好后，都被視為直連網絡。
3、路由器物理接口的子接口相關配置
（1）創建子接口
（2）子接口終結配置
?? ?協議：dot1q（802.1Q）
?? ?命令格式
?? ?ARP廣播功能啟用
4、使用VLANIF接口時需要注意的地方
（1）VLANIF接口對應的VLAN必須存在。
（2）VLANIF接口對應的VLAN中至少存在一個物理接口，才能up up。

三、生成樹
1、學習的原因：
（1）在實現冗余的同時避免二層環路帶來的危害，需要用到STP。
?? ?廣播風暴、MAC地址表漂移（震蕩）
（2）學習理解了STP運行的原理后，能對被阻塞的接口進行掌控，從而實現數據流轉發路徑的控制。
2、STP基本概念
（1）BID
?? ?①中文全稱
?? ?②作用
?? ?③組成
?? ?④網橋優先級取值范圍及默認值
（2）根橋
（3）Cost（開銷值）
?? ?①與帶寬成反比
?? ?②有哪些標準：802.1d-1998、802.1t、legacy
（4）RPC（根路徑開銷）
（5）Port ID
?? ?①作用
?? ?②組成
?? ?③端口優先級取值范圍及默認值。
（6）BPDU
?? ?①中文全稱
?? ?②作用
?? ?③分類：配置、拓撲變更通告
?? ?④BPDU報文結構中重要的字段：計時器
3、STP的選舉過程
（1）選根橋
（2）選根端口
（3）選指定端口
（4）選Alternate（預備）端口
4、選舉標準：
（1）每個網絡有且僅有一個根橋
（2）每臺非根交換機上僅有一個根端口
（3）每段鏈路上僅有一個指定端口
5、選舉的依據：
（1）根橋選舉：最小的BID
（2）根端口選舉
?? ?①RPC最小。
?? ?②上行交換機的BID最小。
?? ?③上行交換機的PID最小。
?? ?④本地交換機PID最小。
（3）指定端口選舉
?? ?①RPC最小
?? ?②鏈路兩端的BID最小
?? ?③鏈路兩端的PID最小
（4）預備端口選舉：除了根端口和指定端口之外的端口就是預備端口。
6、端口角色（Role）：
（1）根端口?? ?ROOT
（2）指定端口?? ?DESI
（3）預備端口?? ?ALTE
7、端口狀態（State）：
（1）轉發?? ??? ?Forwarding
（2）學習?? ??? ?Learning
（3）偵聽?? ??? ?Listening
（4）阻塞?? ??? ?Blocking
（5）禁用?? ??? ?Discarding
8、計時器
（1）Message Age（消息壽命）---每經過一個交換機，該值累加1，最大值為20。
（2）Max age（最大壽命）---20s
（3）Forward Delay（轉發延遲）---15s
（4）Hello Time（發送BPDU的時間間隔）---2s
9、配置命令：
（1）配置STP模式：
?? ?stp mode { stp | rstp | mstp }?? ??? ?//默認是mstp。
（2）配置STP優先級和接口優先級：
?? ?stp priority 優先級值
（3）STP功能開關
?? ?[ undo ] stp enable

四、ACL
1、學習的原因：
（1）流量過濾的需求
（2）結合其他技術，實現控制網絡訪問行為、防止網絡攻擊和提升網絡帶寬利用率等目的。
2、ACL的組成：
（1）ACL編號
（2）規則
（3）規則編號：
?? ?①步長值：默認為5。
?? ?②步長值的作用：便于規則的插入。
（4）動作：
?? ?①允許：permit
?? ?②拒絕：deny
（5）匹配項（匹配條件）
3、通配符（理解用法，如何書寫）
4、ACL的標識：
（1）數字編號
（2）名稱
5、ACL分類：
（1）根據ACL的標識：
?? ?①數字型ACL
?? ?②命名型ACL
（2）根據ACL的規則定義方式
?? ?①基本的ACL：2000-2999
?? ?②高級的ACL：3000-3999
?? ?③二層ACL
?? ?④用戶自定義ACL
?? ?⑤用戶ACL
6、匹配順序：
（1）自動排序?? ?auto模式?? ??? ?按規則的精度進行排序。
（2）配置模式?? ?config模式?? ?按ACL規則編號進行排序。
7、ACL的匹配
?? ?自上而下逐條匹配，一旦匹配立即執行，沒有匹配，執行潛規則。
8、ACL的配置語法：
（1）基本ACL關注源IP地址
（2）高級ACL關注源IP地址、目的IP地址、源端口號、目的端口號、協議。

五、NAT

六、VRRP

?

總結

以上是生活随笔為你收集整理的企业网络互联技术的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。