网络基础学习

一、什么是网络：

网络是利用传输将世界不同位置的计算机连接在一起，就形成一张网。

二、网络如何变大

1、节点数增加：让数据变大，宽带变大，数据内容复杂。

2、距离延长：

传输距离越长，电信号越弱，丢包率越高。

传输距离处理办法：中继器----物理增压，存在的问题：波形失帧

节点数量增加的办法：①直线型拓扑结构②网状型拓扑结构③环形网络结构④星型拓扑结构

节点增加设备-------HUB集线器 ：安全   延时   地址    冲突    

三、如何解决问题

地址具有唯一性 ，格式相同，物理地址/MAC地址：48位二进制构成以16进制显示

冲突问题：相似电流互相吸引碰撞随后抵消  

解决方案：CSMA/CD-----载波侦听多路访问/冲突监测机制：

①首先使用监听功能，当发现有消息在传播时，停止自身消息发送，进行监听排队，随时准备进入下一阶段。

②当监听的消息发送完成时，立刻发送自身消息。

③当消息相撞时，会彼此之间发送一个随机的阈值，因为是随机发送所以一定存在大小之分，到达阈值时再次发送自身消息，这样就规避了冲突。

随着网络的发展，逐渐提出了增加网络的核心要求：

1、无线传输距离

2、无冲突，所有节点可以同时发，不需要等任何人

3、单薄，一对一传输，别人不会接收，安全且高效

四、网桥----交换机的发明

网络桥（Bridge）是一种网络设备，它可以连接两个或多个局域网（LAN）以便它们能够互相通信。网络桥的主要作用是连接位于不同物理网络的设备，使它们能够在同一个逻辑网络中进行通信。

具体来说，网络桥的作用有以下几个方面：

1. 实现局域网的扩展：当一个局域网无法满足用户的通信需求时，可以通过网络桥将多个局域网连接起来，形成一个更大的网络。这样，用户可以在这个扩展后的网络中进行通信和数据传输。

2. 分割网络：有时候，一个大型的局域网可能由于设备数量众多或数据流量过大而导致网络性能下降。通过使用网络桥，可以将一个大型局域网分割成多个较小的局域网，从而有效减少网络拥堵和数据碰撞的发生。

3. 隔离网络：在某些情况下，需要将不同部门或者敏感数据进行隔离，以保证数据的安全性和机密性。网络桥可以用于连接不同的局域网，但是不会将数据从一个网络传递到另一个网络，实现网络的隔离。

4. 支持不同网络协议的互通：不同局域网可能使用不同的网络协议，如以太网、令牌环网（Token Ring）等。网络桥可以通过将这些不同协议的数据包转发到适当的目的地，实现不同协议之间的互通。

交换机的工作原理：

当数据帧进入交换机之后，交换机会先查看数据中的源MAC地址，之后将该数据的进入接口与该MAC地址相互映射到本地的MAC地址表中；在查看数据帧中的目标MAC地址，基于目标MAC地址查询本地MAC地址表，若存在记录则按照记录进行单播。

若不存在记录，则直接泛洪该数据   （泛洪：向除了进入接口以外的所有接口全部发送）

MAC地址表的老化时间：300s   

如果无数个交换机连接，范洪范围太大，网络越卡，所以就诞生了路由器。

五、路由器的诞生----全球互联

路由器的工作原理：

1.若PC1试图ping通PC2，在已知IP地址的情况下，会优先进行子网掩码的判断，若在同一个广播域内，则广播发送一个ARP请求包，获取对方的MAC地址，随后则可以进行单播通讯，若获取不到则防骑通讯。

2.若PC1试图ping通PC3，在已知IP地址的情况下，会优先进行子网掩码的判断，若不在同一个广播域，则封装目标MAC地址为自己的网关，发送至网关处，随后路由器根据目标IP查询本地路由表，若不存在记录则直接丢弃该数据包，若存在记录，则按照记录发送至该网段的网关处， 随后，网关通过ARP找到目标的MAC地址，随后单播即可。

IPV4  ：32位二进制构成，以点分十进制标识。 存在网络位和主机位的区分，网络位用于标定所在范围，主机位用于显示在范围内的身份。 为了方便人看，故采取8位一分的方式。

子网掩码：必须是连续的1根连续的0构成，连续的1对应网络位，连续的0对应主机位。

六、OSI七层模型

应用层：人机交互   抽象语言-------->编码  

表示层：编码------>二进制  

会话层：提供会话号

传输层：TCP/UDP  分段（收到MTU值的限制） MTU：最大传输单元，默认1500字节    提供端口号  0-65535   1-1023注明端口  1024-65535动态端口/高端口

网络层：IP    IP地址----逻辑地址  

数据链路层：介质访问控制层MAC+逻辑链路层LLC

物理层：数据传输、传输介质管理、信号编码、时钟同步

七、协议及模型

ARP协议（地址解析协议）：   通过一种地址找到另一种地址（老化时间：180s）

免费ARP

IPV6：128位二进制构成  冒分十六进制显示    

存在ABCDE五类  

ABC类为单播地址  D类为组播地址  E类为保留地址  

①ABC类为单播地址：既可以作为源IP也可以作为目标IP  每一个单播地址都标识着一个唯一的节点  只有单播地址可以作为源IP地址

②D类为组播地址----只能作为目标IP使用  

③E类地址

基于IP地址的第一组8位进行分类：

A类：1-126   前8位为网络位        

B类：128-191  前16位为网络位

C类：192-223  前24位为网络位

D类：224-239  部分网络位主机位

E类：240-255    

特殊地址：

一：127  环回地址   127.0.0.1----127.255.255.255   

二：255.255.255.255   受限广播地址   

三：主机位全0   不是单播地址  代表一个网段  

四：主机位全1   不是单播地址  直接广播地址  

五：0.0.0.0   代表没有地址，也代表所有地址  

六：169.254.0.0/16   本地链路地址 自动私有地址

主机位范围：主机位全0   到主机位全1  

VLSM  可边长子网掩码  ------子网划分  （借位）

无类域间路由----CIDR    子网汇总   （取相同位 去不同位）

TCP/IP模型

PDU协议数据单元

应用层：数据报文

传输层：数据段

网络层：数据包

数据链路层：数据帧

物理层：比特流

TTL值：生存周期

最大255  推荐64    常见128

以太网Ⅱ型帧

封装与解封装

HTTP---TCP80端口-----超文本传输协议----提供网页浏览

HTTPS---TCP443端口----安全传输协议-----给网页加密

FTP---TCP20/21端口-----文件传输协议   

TFTP----UDP69---简单文件传输协议  

Telnet---TCP23----远程登录协议  

SSH----TCP---22   

DNS---UDP/TCP----域名解析协议   

DHCP-----UDP67/68------动态主机配置协议   

传输层协议：TCP   UDP

TCP----传输控制协议-----面向连接的可靠协议  

在完成传输层的基本工作的同时还需要保证数据的完整性和可靠性

面向连接------三次握手及四次挥手  

建立一个端到端的虚链路  

SYN：发起一次链接，并告知自身状态  

ACK：表示确认   FIN：断开连接  特殊情况： RST：重连     TCP 严重错误且重连    PSH：加急接收   URG：紧急指针  

可靠性---4种可靠性机制------确认  重传  排序  流控（窗口滑动机制）

UDP-----用户数据报文协议----非面向连接的不可靠协议  

仅完成传输的基本工作----分段   端口号  

TCP的分段和IP的分片  

IP的分片：受到MTU值的限制

DNS：域名解析协议

DNS协议是运行与UDP协议之上（TCP也存在），使用端口号为53。

正向解析：根据主机域名查找相应的IP地址

反向解析：根据IP地址查找相应的主机域名  

是一个典型的C/S（client/server）结构  ------DNS客户端、 ------DNS服务器   

DHCP---动态主机配置协议 ----UDP协议的67/68号端口  

典型的C/S结构--------DHCP客户端------索要IP地址、 DHCP服务器------发放IP地址

DHCP客户端初次申请IP地址：

①DHCP客户端向DHCP服务器去要IP地址，广播， 源IP ：0.0.0.0

源MAC：自己   目标IP：255.255.255.255  目标MAC：全F  

DHCP----discover包  

②DHCP服务器向DHCP客户端去回复，DHCP-offer包，单播/广播

Offer包中存在一个临时有效的IP地址  

③DHCP客户端向DHCP服务器发送一个DHCP--request包，广播，“我确定使用该IP”

④DHCP服务器向DHCP客户端发送一个DHCP-ACK包，确认收到  单播/广播  

再次获取：

DHCP客户端向DHCP服务器发送一个DHCP--request包，我还想请求之前下发的IP地址  

1.DHCP服务器依旧保有之前的IP地址，则直接发送DHCP-ACK包表示确认。

2.DHCP服务器已经将请求的IP地址发放给了其他设备，则将发送一个DHCP---NAK包 ，表示拒绝该请求。  

八、eNSP的使用

1、使用技巧

①tab键：用于自动补全指令

②？：用于命令提示符

③PS：用于命令支撑自动补全

④quit：用于退出当前命令的命令

⑤system-view：用于配置和管理设备

⑥display this：用于查看当前视图所有配置

⑦display ip interface brief：查看结果ip配置情况简要信息

⑧save：保存配置（y）（出现successfully代表保存成功）只有用户视图下才可以使用

⑨sysname：修改设备名

2、设备配置

①放好设备并启动

②配置设备

配置路由器

配置PC1、PC2、PC3

尝试并且能ping通，说明网络已通

配置Client、Server，并且Client ping测试DNS

从Client获取主机名

①配置DNSServer

②配置HttpServer

③用HttpServer去ping通主机域名或ip地址

④成功从Client获取主机名

九、开启DHCP服务，创建地址池，调用全局服务

1、路由器与路由器之间的链路---骨干链路（总线链路），一般是不会放置PC端的。

2、路由器获取位置网段的方法：

（1）静态路由-----尤网管手动添加的方式---手写的路由条目

（2）动态路由-----所有路由器上运行相同的一种动态路由器协议，之后通过路由器之间的沟通 协商 最终计算生成的路由条目

注：Pre：优先级  0-255  ，数值越大，优先级越低。

静态路由选路原则：尽量选择最短路径的路由

拓展配置：

（1）负载均衡：当路由器访问同一个目标且目标具有多条开销相似的路径时，可以让设备将流量拆分后延多条路径同时发送，以达到叠加带宽的作用。 

（2）环回接口：路由器配置的一个虚拟接口，一般用于虚拟测试，不需要设备支持。

（3）手工汇总：当路由器可以访问多个连续的子网时，若均通过相同的下一跳，则可以将这些网段进行汇总计算，之后仅编辑汇总过后的网段的静态路由，即可达到减少路由条目提高转发效率的目的。

（4）路由黑洞：在汇总中若包含网络中实际不存在的网段时，可能使数据包有去无回，造成链路资源的浪费（合理的子网划分可以尽量减少路由黑洞）

（5）缺省路由：一条不限定目标的路由条目，查表时，若本地路由条目均不匹配，则直接匹配缺省路由。  

特征：一旦缺省路由与黑洞路由相遇，将百分之百形成路由环路

（6）空接口路由：在黑洞路由器上，配置一条达到汇总网段并指向空接口的路由   

①空接口--null0，路由器的一个虚拟接口，如果一条路由被指向noll0接口，则代表将该流量丢弃

②路由表匹配原则：精确匹配原则/最长匹配原则

（7）浮动静态路由

十、动态路由  

静态路由协议缺点：1.配置量大  2.不能根据拓扑的变化而进行实时收敛

动态路由协议的优点：可以根据拓扑的变化而实时更新

动态路由协议的缺点：1.额外占用链路资源2.安全风险3.选路错误的风险  

十一、动态路由协议的分类：

（1）基于AS进行分类------ -IGP内部网关协议  EGP外部网关协议  

AS：自治系统 标准编号0-65535 其中1-64511公有 64512-65535私有

IGP：RIP  OSPF  EIGRP  ISIS

EGP：BGP   

IGP协议的分类：

（1）基于更新时是否携带子网掩码  

（2）基于工作特点进行分类  

①DV距离矢量型协议  RIP  EIGRP  邻居间分享路由表；以跳数作为开销    

算法：贝尔曼福特算法

②LS链路状态型协议   OSPF  ISIS ；邻居间共享拓扑信息，再由本地自己计算生成路由条目  

 算法：SPF  

RIP：路由信息协议  距离矢量型协议  基于UDP520号端口   使用跳数作为开销  存在V1 V2 NG（使用于ipv6） 三个版本

V1版本于V2版本的区别：

①V1版本为有类别路由协议---不携带子网掩码  V2版本为无类别路由协议---更新时携带子网掩码   

②V1是广播更新255.255.255.255   V2是组播更新224.0.0.9  

③ V1不支持手工认证  V2支持手工认证（通讯会被加密，增加安全性）

周期更新的意义：

（1）保活（每30s触发一次，一共触发6次）

（2）没有确认机制  

RIP的破环机制

（1）水平分割------从此口入不从此口出（仅能够从直线型拓扑中避免环路，其主要作用是控制重复更新）

（2）最大跳数  15跳    

（3）触发更新：毒性逆转水平分割      

（4）抑制计时器    

 

[R1]rip 1  启动时需要定义进程号  仅具有本地意义

[R1-rip-1]version 1  选择V1版本  

宣告：rip只能进行主类的宣告   宣告基于主类网段 找到属于该网段的接口    

1.激活接口---收发rip信息   

2.该接口的信息可以共享给邻居

注：undo summary  关闭自动汇总

二．RIP的扩展配置

（1）RIP V2的手工汇总

手工汇总---在更新的源头设备，所有更新出发的接口上进行汇总配置即可   

从哪儿发出 从哪儿汇总

 rip summary-address 1.1.0.0 255.255.252.0  在该接口上 进行关于rip的手工汇总  

（2）RIP V2的手工认证：在两台运行RIP协议的路由器间进行配置，让两台邻居设备发出的数据中携带身份核实的密钥，也可同时对传输的数据进行加密  

必须在和邻居相连的接口上

 rip authentication-mode md5 usual cipher xxxxxx  在该接口上进行关于的手工认证 认证模式为md5   密码为任意六位数

（3）被动接口---仅接收不发送路由协议信息，仅限连接用户PC的端口使用，不得用于路由器之间，否则将导致无法正常使用。

silent-interface GigabitEthernet 0/0/1 在RIP1的进程中设定沉默接口为g0/0/1

（4）加快收敛  ：30s 更新      180s 失效   180s 抑制      300s刷新  

①认为修改计时器可以一定程度上加快收敛速度  ，但是不易修改过小，建议不修改

②尽量维持原有的倍数关系  

③一旦修改计时器全网设备均需修改   

timers rip 30  180  300   

（5）缺省路由---在边界路由器上，进行RIP的缺省配置后，该设备将向内部运行的所有设备发送一条指向该设备的缺省更新，使得内部所有运行RIP协议的设备自动生成缺省路由，下一跳均指向边界路由器。边界路由器自身通往外网的路径依旧需要管理员通过静态路由手工定义。

default-route originate   在边界路由器上下发缺省路由

十一、OSPF：开方式最短路径优先协议  

无类别链路状态IGP  

1.距离矢量型协议：运行距离矢量型协议的路由器周期性的泛洪自己的路由表，通过路由的交互，每台路由器从相邻的路由器学习到路由，并且加载进自己的路由表中；对于网路中的所有路由器而言，并不清楚网络的结构，只是简单的知道通完某个目的地有多远方向在哪儿，这既是距离矢量型协议的本质。

2.链路状态型协议：与距离矢量型协议不同，链路状态型协议通告的是链路状态信息，而不是路由表。运行链路状态协议的路由器之间会首先建立一个临时的邻居关系，然后彼此之间开始交互LSA（链路状态通告），路由器将收到的LSA信息存储与本地的LSDB（链路状态数据库）中，路由器通过同步后的LSDB便可以掌握全网的拓扑结构。最后，由本地算法计算出到达各个节点的最优路径，加载于本地路由表中。

支持等开销的负载均衡  

基于组播进行更新  224.0.0.5  224.0.0.6  

支持触发更新；每30min周期更新一次   10s hello包

需要结构化的部署---区域划分 地址规划   

十二、区域划分的规则：

（1）星型结构    骨干区域为0区，大于0为非骨干区域 ，所有非骨干区域必须接入到骨干区域上

（2）ABR---域间路由器  两个/多个区域互联时，必须存在ABR---同时工作在两个/多个区域之间的路由器  

Router-ID （路由器标识符），用于在一个ospf域中唯一的标识一台设备   RID的设定可以通过手工定义或系统自动生成的方式-----（一定要手工配置），如果让系统自动生成----优先配置设备环回的最大数值，则使用物理接口最大数值   

使用cost值作为度量值   cost=参考带宽/接口带宽  默认参考带宽为100M；整段路径的cost值之合越小则越佳。

若接口带宽大于参考带宽，则度量值默认为1，所以在接口带宽大于参考带宽的网络中，可以认为的修改参考带宽。

一：OSPF的数据包类型

二：OSPF的状态机

三：OSPF的工作过程

四：OSPF的基础配置

五：OSPF的扩展配置   

一：OSPF的数据包类型

（1）hello包  用于邻居间的发现 关系建立和周期保活  

（2）DBD/DD包  数据库描述包  用于携带本地的数据库目录

（3）LSR包  链路状态请求包  查看完对端的DBD包后，基于本地的LSDB去向对端索要自己没有的LSA信息

（4）LSU包   链路状态更新包   携带各种LSA信息

（5）LSACK包  链路状态确认包  用于确认收到   

二：OSPF的状态机

Down状态：表示未被激活的状态，一旦本地发出hello包则进入下一个状态机。一旦接收到hello包也会从 DOWN进入下一个状态机

Init状态：表示初始化的状态，

2-Way：可以进行双向通讯，表示建立了邻居关系  

条件匹配：

EXsatart：预启动 使用未携带数据库目录的DD包进行主从选举，RID数值大者为优，优先进入下一个状态机

EXchange：准交换，携带具体数据库目录的DD包进行目录交换，需要ACK确认。

Loading状态：加载  通过LSR  LSU  LSACK 进行LSA的更新

Full状态：转发  邻接关系的建立

三：OSPF的工作过程  

启动配置完成后，本地组播224.0.0.5发送hello包

Hello包将携带本地RID值，及本地已知所有邻居的RID值

若接收到来自对端的HELLO包中存在本端的RID则视为认识，邻居关系建立，并生成邻居表

邻居关系建立后，条件匹配，匹配失败则永远停留于邻居关系，仅hello包保活即可。

若条件匹配成功，则表明可以建立邻接关系

先试用不携带数据库目录的DD包进行主从选举，RID大者为优，优先共享数据库目录。

最后基于本地的LSDB查看对端的DD包得出自己所需的LSA信息，通过LSR包去要 LSU包区给 LSACK包区确认，最终同步LSDB

之后本地启用SPF算法，基于本地的LSDB生成有向图，在计算出最短路径树，在基于树形结构算出本地到达目标位置的最短路径随后加载于本地路由表中，

收敛完成后，HELLO包周期保活 每30min周期更新一次

30min的周期更新：每30min邻接关系之间进行DD包的对比，若一直则继续保活，若不一致则重新收敛。

Hello time 10s  dead time 40s  时间到了就会删除邻居信息  

OSPF的基础配置  

ospf 1 router-id 1.1.1.1   创建ospf进程 进程号为1  RID为1.1.1.1

area 0 进入0区  

network 1.1.1.1 0.0.0.0

network 12.1.1.0 0.0.0.255 反掩码    

display  ospf peer brief   查看邻居表

display  ospf lsdb   查看数据库表  

注意：一旦修改参考带宽，全网设备均需修改

Ospf的扩展配置  

①从邻居关系建立成为邻接关系的条件  

网络类型 ----

（1）点到点的网络：在一个网段内仅支持存在两个节点  

（2）MA：多路访问---在一个网段内支持存在的节点不限

OSPF在点到点的网络类型中所有邻居将直接成为邻接关系

在MA的网络类型中，若所有的设备间均为邻接关系将会产生大量的重复更新，故进行DR/BDR的选举，所有非DR/BDR设备之间将维持邻居关系。

选举规则：

①先比较参选设备的接口的优先级，默认1；范围0-255，数值大为优  

②若参选接口的优先级相同，比较参选设备的RID，数值大为优。

DR/BDR是非抢占性的，故所需要网段内进行重新选举，需要重启该网段内的所有参选设备的OSPF进程；若参选接口优先级为0，则默认放弃参选，一个网段内至少需要存在一台DR设备。

reset ospf process  重启ospf进程  

手工汇总------区域汇总；在ABR（域间路由器）上将A区域的路由汇总后共享到B区域。

被动接口---沉默借口

加快收敛----修改计时器

修改一台设备的某个接口的hellotime后，该接口的deadtime将自动关闭匹配。  邻居间直连接口的hellotime和deadtime拖不一致，将不能建立邻居关系。 不建议修改的过小  不建议修改  

缺省路由  

default-route-advertise always  强制下发缺省路由

VLAN ：虚拟局域网   

LAN局域网  MAN城域网  WAN广域网   

VLAN  lan=广播域   

在同一个广播域之下，广播消息会传达给不应当收到消息的人

VLAN ：虚拟局域网 -----交换机和路由器协同工作后，将原先的一个广播域逻辑上划分为了多个广播域

VID--VLAN ID   由12为二进制构成 范围 0-4095  0和4095为保留值，

vlan batch 2 to 6   批量创建vlan

将接口划入VLAN

一：基于端口的VLAN     物理/一层VLAN  

二：基于MAC的VLAN   

三：基于协议的VLAN  

display  mac-address   查看MAC地址表

交换机加入vid的观念之后 交换机的转发过程：交换机会先记录源数据帧中的源MAC地址与进入接口的映射关系，并且一同查看其VID，随后查看目标MAC地址是否在MAC地址表中存在记录，若存在记录，将比对目标MAC地址对应接口的VID和源MAC地址对应接口的VID是否相同，若相同则直接单播，若不同，则进行泛洪（仅在源MAC地址对应接口的VID的范围内的所有接口进行发送）

802.1Q标准   untagged帧=没有标签的802.1q帧

Tagged帧=打上标签的802.1q帧  

 

我们把交换机和PC端之间的链路称之为ACCESS链路，AEECSS链路中只能通过untagged帧，并且这些帧只能属于一个特定的VLAN。 我们把交换机和交换机/路由器之间的链路称之为trunk链路（干道），trunk链路中运行通过tagged帧，并且这些帧可以属于多个vlan。

port link-type access   定义该接口下链路类型为access链路

port default vlan 2 定义该接口属于vlan2

port link-type trunk   定义该接口下链路类型为trunk链路

port trunk allow-pass vlan all  允许该trunk链路所通过的vlan为所有

interface g 0/0/0.1  进入g0/0/0这个物理接口的子接口

路由器的子接口---虚拟接口---将一个路由器的一个物理接口逻辑上切分为多个虚拟子接口

dot1q termination vid 2  让该子接口执行802.1q标准，同时定义该子接口处为vid--vlan2的网关

arp broadcast enable   开启该子接口的arp广播

十三、ACL：访问控制列表  

1.访问控制----在路由器的入或者出的接口上，匹配流量，之后产生动作---允许或拒绝   

（1）定义感兴趣流量-----帮助其他软件抓流量  

匹配规则：

至上而下，逐一匹配，上调匹配按照上条执行，不在查看下条。在华为体系中末尾隐含允许所有，在思科体系中，末尾隐含拒绝所有。

分类：

标准---仅关注数据包中的源IP地址

扩展---关注数据包中的源 目标IP地址  协议号 端口号

标准ACL中，由于标准ACL仅关注数据包中的源IP地址，故越靠近目标越好，可以尽可能的避免误杀。

2000-2999  标准           3000-3999 扩展  

注意：一个编码是一张规则，一张规则可以容纳大量具体的规则

acl 2000--->rule deny source 192.168.1.2 0.0.0.0

ACL在地址匹配时，会使用通配符

255.255.255.0   0.0.0.255     他可以进行0 1 的穿插

raffic-filter outbound acl 2000 在该接口的出方向上调用acl2000  

rule permit source any   规定 允许  所有IP通过   

ACL name classroomA

扩展ACL

关注数据包中的源IP以及目标IP

由于扩展ACL可以对数据流量进行精确分析，故越靠近源越好。

在关注源/目标IP地址的同时，在关注目标端口号

Telnet---远程登录   基于TCP23号端口工作  

条件：1.登录设备与被登陆设备之间必须可达

（1）被登陆设备必须开启telnet设定

aaa 进入aaa服务

local-user ABC privilege level 15 password cipher 123456

local-user ABC service-type telnet  

user-interface vty 0 4 

authentication-mode aaa

rule  deny tcp source 192.168.4.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23 

规定  拒绝 tcp行为中的  源192.168.4.1 向目标 192.168.2.2 的 端口号为23的行为  

rule 7 deny icmp source 192.168.4.1 0.0.0.0 destination 192.168.3.1 0.0.0.0

规则7 拒绝 源IP 192.168.4.1 向 目标IP 192.168.3.1 的ICMP行为   

一个接口的入或者出方向上  只能调用一张acl表格

十四、NAT：网络地址转换  

公有IP和私有IP的区别

公有IP----全球唯一  可以你在互联网中通信  付费使用

私有IP----本地唯一  不能在互联网中通信  免费试用

A类：10.0.0.0---10.255.255.255  

B类：172.16.0.0------172.31.255.255

C类：192.168.0.0-----192.168.255.255     

NAT-----网络地址转换，在边界路由器上，进行公有地址和私有地址间的转化  

NAT的分类： 静态NAT  动态NAT  NAPT  端口映射

在华为设备中 NAT的全部配置 一定是在边界路由器的出的接口方向上。

 静态NAT：

我们在私网的边界路由器上建立并维护一张静态地址表，静态地址表映射了公有地址和私有地址间 一一对应的关系

nat static global 12.1.1.1 inside 192.168.1.2    

display  nat static  查询nat映射关系  

动态NAT

静态NAT和动态NAT最大的区别在于---地址映射表的内容是可变化的，而不是写死的，所以动态NAT不在意一对一的关系，而是实现多对多的转化。

使用端口进行分辨 转化的形式----NAPT（端口地址转化）也叫PAT    

为解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题，在边界路由器上维护一张源端口号和私网IP地址的映射关系表，因为端口号的取值范围是1-65535，故有65535个，所以NAPT同时支持通过的数据包的最大量即为65535个，这就形成了一对多的动态NAT，华为中称这种NAPT为EASY IP。 当上网需求非常大时，一个公网IP可能不够用，我们也可以同时使用多个公网IP，这样就能形成65535的倍数增长，形成多对多的NAPT。

一对多：

rule permit source 192.168.0.0 0.0.255.255

nat outbound 2000

多对多：

创建公网地址池

nat address-group 1 12.1.1.2  12.1.1.10

其中包含  12.1.1.12------12.1.1.10  

注意：1.必须是公网  2.必须是连续的IP

nat outbound 2000 address-group 1

在该接口上  将acl2000定义的感兴趣流量 交给公网地址池 1 进行NAT转化

No-pat   添加则代表为静态多对多  不添加则是动态多对多  

静态多对多：多个一对一

动态多对多：多个一对多

端口映射

nat server protocol tcp global current-interface 80 inside 192.168.2.10  80

nat  server  protocol tcp global current-interface 8080  inside 192.168.2.20 80