一、实验知识总结(真机)
实验拓扑图:
二层交换机配置:
Switch>en
Switch#conf t
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#int f0/1
Switch(config-if)#sw mode access
Switch(config-if)#sw access vlan 10
Switch(config-if)#exit
Switch(config)#int f0/2
Switch(config-if)#sw mode trunk
三层交换机配置:
Switch>en
Switch#conf t
Switch(config)#vlan 10
Switch(config-vlan)#int f0/1
Switch(config-if)#sw trunk encap dot1Q
Switch(config-if)#sw mode trunk
Switch(config-if)#exit
Switch(config)#int f0/2
Switch(config-if)#sw trunk encap dot1Q
Switch(config-if)#sw mode trunk
Switch(config-if)#exit
Switch(config)#int vlan 10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#ip helper-address 192.168.100.1
Switch(config-if)#exit
Switch(config)#int vlan1
Switch(config-if)#no shut
Switch(config-if)#ip address 192.168.100.254 255.255.255.0
Switch(config)#ip access-list extended vlan10
Switch(config-ext-nacl)#10 deny udp any eq 68 any eq 67
Switch(config-ext-nacl)#20 permit ip any any
Switch(config-ext-nacl)#exit
Switch(config)#int vlan10
Switch(config-if)#ip access-group vlan10 in
路由器配置:
Router>en
Router#conf t
Router(config)#int f0/0
Router(config-if)#no shutdown
Router(config-if)#ip address 192.168.100.1 255.255.255.0
Router(config-if)#exit
Router(config)#service dhcp
Router(config)#ip dhcp pool vlan10
Router(dhcp-config)#network 192.168.10.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.10.254
Router(dhcp-config)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.254
实验心得:
① 容易忘记给路由器配置静态路由(ip route 0.0.0.0 0.0.0.0 192.168.100.254)和打开接口(no shutdown);
② 容易忘记给三层交换机的vlan 10(SVI接口)配置中继功能;
③ 对于ACL的配置命令格式不熟悉;
④ 容易忘记将ACL应用到接口上。
⑤ 对于昨天的CHAP认证实验,之所以没有抓到三次握手的报文,是因为我直接undo shutdown接口了,应该先shutdown接口再undo shutdown接口。(下图是抓到的三次握手报文)
二、理论知识总结
1. PPPoE协议原理与会话流程
(1)发现阶段(建立会话标识)
PADI(广播):客户端广播发送,用于发现网络中的 PPPoE Server。
PADO(单播):Server 回应客户端,告知自身存在。
PADR(单播):客户端向选定 Server 请求分配 Session ID。
PADS(单播):Server 分配唯一 Session ID 给客户端,会话通道建立。
(2)会话阶段(数据传输与协商)
PPP 协商:基于建立的会话,依次完成 LCP(链路配置)、认证(如 PAP/CHAP)、NCP(网络层参数协商,如 IP 分配 )。
数据传输:协商完成后,通过 PPPoE 会话传输业务数据(如上网流量)。
PADT(单播):客户端或 Server 发送,用于主动终止 PPPoE 会话。
2. Internet接入认证方式
核心逻辑:先限定访问,再认证放行。
Portal认证(网页认证)流程:
① 获取 IP 并限制访问:PC 从 BAS(宽带接入服务器 )通过 DHCP 拿到 IP,但仅能访问 Portal 服务器,无法通外网。
② 触发 Portal 认证:PC 打开 Portal 服务器 Web 页面,用 HTTP 等协议提交用户名 / 密码。
③ 认证信息转发:Portal 服务器通过私有协议,把用户账号密码发给 BAS 。
④ AAA 鉴权:BAS 调用 AAA(认证、授权、计费 )系统,校验用户身份。
⑤ 认证放行:鉴权通过后,BAS 放开该 IP 访问权限,PC 可正常上网。
3. NAT的概念及应用场景
企业接入互联网时,因私网 IP 无法直接连通公网,产生两大组网需求:
① 公网地址:企业用私网 IP,接入公网需向运营商申请公网 IP,IPv4 稀缺、费用高,IPv6 充裕可按需申请。
② 公网路由:拿到公网 IP 后,需解决与互联网路由对接,以及企业内网路由部署,保障用户访问公网 。
IPv4公网地址稀缺的解决方法:
向运营商申请一小段或1个公有IP,在边界设备上做网络地址转换,将私有IP转换成公有IP,然后再访问Internet。
3.1 NAT概述
3.2 NAT转换类型
NAT转换表:存储NAT地址转换条目。
(1)动态NAT:只转换IP地址,没有节省地址。路由器的NAT地址转换表由内网设备上公网的数据流触发形成的。
(2)动态PAT:转换IP地址和端口,节省公网IP地址。路由器的NAT地址转换表由内网设备上公网的数据流触发形成的。
(3)静态NAT:只转换IP地址,没有节省地址。路由器的NAT地址转换表由管理员手工固定。
(4)静态PAT:转换IP地址和端口,节省公网IP地址。路由器的NAT地址转换表由管理员手工固定。
3.3 NAT基本配置
3.4 NAT的工作原理
核心逻辑:IP 和端口的 “替换 - 还原”
① 内网访问外网:内网设备用私有 IP 发请求,NAT 设备把私有 IP (源IP)换成公网 IP,让外网回包能找对设备;
② 外网回应内网:外网回包带着公网 IP 来,NAT 设备查映射,把公网 IP (目的IP)换回对应私有 IP,传给内网设备。
注意:① 思科设备:入方向先ACL包过滤,再NAT;出接口反之;
② 华为华三设备:入方向和出方向均先ACL包过滤,再NAT。