月度归档： 2024 年 11 月

主要参数：

• -A: 在指定链的末尾添加一条规则。
• -D: 删除指定链中的规则。
• -I: 在指定链中插入一条规则。
• -R: 替换指定链中的规则。
• -L: 列出指定链中的所有规则。
• -F: 清空指定链中的所有规则。
• -Z: 将指定链中的所有计数器清零。
• -N: 创建一个新的用户定义链。
• -X: 删除指定的用户定义链。
• -P: 设置指定链的默认策略。
• -s: 指定源 IP 地址或子网。
• -d: 指定目标 IP 地址或子网。
• -p: 指定协议（如 tcp、udp、icmp）。
• -j: 指定目标动作（如 ACCEPT、DROP、REJECT）。
• -i: 指定数据包进入的网络接口。
• -o: 指定数据包离开的网络接口。
• --sport: 指定源端口。
• --dport: 指定目标端口。
• -m: 指定扩展模块（如 state、limit、mac 等）。

主要文件：

• /etc/sysconfig/iptables: 在某些 Linux 发行版中，这是 iptables 规则的保存文件。
• /etc/iptables/rules.v4: 在某些发行版中，用于保存 IPv4 规则的文件。
• /etc/iptables/rules.v6: 用于保存 IPv6 规则的文件。
• /proc/net/ip_tables_names: 包含当前系统中所有 IP 表的列表。

在路由器的接口

[g 0/0/0]ipv6 enable // 先启用ipv6
ipv6 add xx::xx 64 //类比ipv4

ipv6路由：osp v3

[r1] ospfv3 1
[r1-ospfv3-1]router-id 1.1.1.1 //v3需要配置id 类比ipv4

ospf v2 和 v3的区别：

1、v3 只要两边在同一个链路就能都成为邻居，不是同一个网段都可以。
2、通过instance id实现邻居建立

osfp v3 的LSA

8型LSA：每个设备都会对每个链路产生一个LINK-LSA，目的是向该链路上的其他路由器通告本接口的链路本地地址；同时通告本接口的ipv6前缀
对于IPv6，链路本地地址的前缀是FE80::/10，通常看到的链路本地地址形如FE80::XXXX

9型LSA 传递路由信息：只在所属区域传播，依赖拓扑信息

831

运维：
运维时将所有的网络设备使用同一个网段进行管理，比如192.168.254.x，这些ip是交换机的唯一IP地址，也就是桥ip。并且使用特殊的vlan号进行管理。

当某网络中。192.168.x.250-254作为X网段的网关，此时是主备，是两台交换机上的两个接口的物理地址，如果使用VRRP+MSTP则可能还有一个虚拟的网关地址如192.168.x.1

新的防火墙：替代了出口路由器 华为USG统一安全网关 也就是下一代防火墙

目前路由器交换机本质是转发，下一代防火墙的本质是控制。

防火墙的区域：防火墙需要划分安全区域，比如将某几个口划分到受信任域，其他为不受信或者DMZ，每一个接口只能被划分到一个安全域中。
其中，防火墙还有一个local区域，防火墙本身对外发送的报文视为从local区域发出，需要由防火墙接收而不是转发的报文，也在loical区域接收。

防火墙的模式：
透明桥：
路由：

透明桥：旧网络要加入防火墙，但是不便更改。此时使用透明桥模式，相当于一个交换机（非三层）

路由模式：相当于出口路由器（也就是将防火墙替换掉出口路由器）

混合模式：某些接口透明桥。某些接口路由。

注意到upnp会自动映射端口，出于安全考虑应该关闭upnp。upnp不是必要的。

VPN:IPsec、SSL MPLS-vpn、L2TP、PPTP、GRE vpn
专线：DDN、PTN、SDH

高级vlan：

hybrid：交换机的接口类型
使用场景：pc、服务器、交换机、路由器、语音终端、AP
必须使用hybrid的场景：一台交换机的接口属于不同vlan，且该接口需要传输多个非标签报文。比如 语音终端、AP

查看交换机接口类型：
[sw1]dis port vlan actice
当把hybrid当成access（不打标签）
int g 0/0/0
port hybrid pvid vlan 10 //将该接口划分成vlan10中
port hybrid untagged vlan 10 //不打标签
undo port hybrid vlan 1 //因为vlan1 是默认的pvid，也就是默认所属vlan，若不想允许vlan1 则可以去除。

把hybrid当trunk：
int g 0/0/1
port hybrid tagged vlan 10 //打上vlan10的标签

由于192.168.1.2和192.168.1.3属于不同vlan，他们不能互访，被隔离。

int g 0/0/1
port hybrid pvid vlan 30
port hybrid untagged vlan 10 20 30

int g 0/0/2
port hybrid pvid vlan 10
port hybrid untagged vlan 10 30

int g 0/0/1
port hybrid pvid vlan 20
port hybrid untagged vlan 20 30

基于MAC的vlan：
将所有接口的mac-vlan 都enable
[sw1-vlan10]mac-vlan mac-address xxxx-xxxx-xxxx

高级vlan

允许多个vlan用户在同一个网段。

在SW2创建聚合vlan30 该vlan是逻辑vlan，trunk不允许通过。
1、创建并进入vlan30 : int vlan 30
2 、给地址：ip add 192.168.1.1 24 //该地址是vlan10 vlan20的ip的网关地址
3、valn 30 聚合vlan 也叫父vlan
aggregate-vlan
access-vlan 10 20 //10和20为子vlan

vlan mapping :vlan转换
实现二层无缝连接，类似nat映射（但在企业网中使用并不多）

如上图，最关键的配置在SW2进行。
int g 0/0/1
qinq vlan-translation enable //关键命令，启动qinq vlan转换功能
pott link-type trunk
port trunk allow-pass vlan 100 //100相当于公网地址，如上图sw2会将30 31 转换为100 ，回包也会从100 转换成 30 31
port vlan-mapping vlan 30 to 39 map-vlan 100 //这里配置30 到 39 进行转换
注意：vlan-mapping映射只有报文携带tagged标签的时候才可以转换。也就是trunk或者hybrid（tag）才生效，access不行。

Qinq：标签嵌套标签

相同vlan端口隔离:二层隔离（ACL是在三层的隔离手法）二层交换机无法使用访问控制列表acl来进行隔离。
堡垒机：安全审计设备，和交换机差不多。

在sw上配置隔离组，在同一个隔离组中不能互访（接口）

[sw1] interface g 0/0/1
port-isolate enable group 1

interface g 0/0/4
port-isolate enable group 1 //此时，接口1 和 4 由于处于同一个隔离组中，它们之间不能互访。

mux vlan：二层vlan隔离技术

满足：同一个二层广播域，某些能互通，某些要隔离

核心操作：在sw将vlan 10 设置成主vlan，2成隔离型，3为互通型

separate 隔离型
group 互通型
其他接口 仍然按照配置access口配置，最后再加上port mux-vlan enable

端口安全（二层功能，限制的是mac） ：目的是防止私接交换机
在交换机某个接口下 port-securiyt enable 就会开启接口安全，此时默认情况下，交换机的MAC地址表只能学习一个地址。
另外可有手动配置mac绑定：port-security mac-address sticky xxxx-xxxx-xxxx-xxxx vlan x
port-security 的保护动作有down接口（高危操作，接口会down，只能undo shutdown

二层ACL：也可以根据MAC进行控制

镜像流量：

在交换机（核心或者汇聚或者接入交换机）配置一个观察口，接收镜像流量。

[sw]observe-port 1 interface g 0/0/3 //如上图，将3口设置成观察接口
int g 0/0/2
port-mirroring to observe-port 1 both //将2 口的报文进出的流量镜像一份发给观察组1 （也就是3口）

如上图：镜像流量有三种 进出、进、出

检查配置：dis port-mirroring
dis observe-port

如上图：若是监控设备不在交换机或者路由器旁边，可以进行远程镜像。
在R1 observe-server destination-ip 5.5.5.5 source-ip 3.3.3.1
int g 0/0/0
mirror to observe-server both //将3.3.3.1的进出流量镜像后发送给5.5.5.5

‘

路由器的端口镜像：

注意：

1、一个接口只能是镜像或者观察，不能同时配置成两个

2、主接口做镜像，子接口也会被镜像

3、多个接口的镜像可以到一个观察口，对于交换机也可以将一个接口的流量镜像到多个观察口。

基于流的镜像：
命中acl的流量镜像到观察组

首先写一个acl xx

然后：int g 0/0/x
traffic-mirror inbound acl xx to observe-port 1 //将命中acl 3000 的数据流从观察口发出

MQC：

WLAN:

mac认证：手动配置mac允许如打印机、网络摄像头无法输入账号密码的设备接入无线网络。

可靠组网：
1、之前是MSTP+VRRP对网关、破环进行冗余备份。
2、堆叠+链路捆绑（ether-trunk）

什么是堆叠：
多台交换机用线缆连接后组合在一起，虚拟化成一台设备，是一种横向虚拟化技术（核心和核心，接入和接入等），在数据中心中则使用纵向虚拟化（核心和接入组合等）

华为堆叠技术：
CSS（框式交换机）
istack（盒式）
思科堆叠技术：VSS
华三堆叠技术：IRF
锐捷堆叠技术：VSU //各个厂商的堆叠技术不兼容

华为堆叠：登录一台设备就可以操作其他设备，最多可以堆叠9台。若结合跨设备链路聚合技术，可以实现链路的高可靠性备份、避免二层环路。

堆叠中，所有交换机都处于转发状态，分成主、备、从，如下图：

多台交换机堆叠之后，管理上变成一台，且只有一台主交换机。主交换机会进行选举，按照优先级选举。堆叠中只有一台备交换机，其余都是从交换机。登录时不管登录哪个都相当于登录主设备。

堆叠端口：
每台交换机的堆叠端口最多有两个
华为堆叠端口：

堆叠建立流程：

避免堆叠分裂：堆叠双主检测。

堆叠成功后登录哪个交换机都能操作其他交换机的接口，如两台50口交换机堆叠后变成100个。

1：网络拓扑

登录核心交换机看vlan

登录每一台路由器或者三层交换机看接口，邻居路由

ABR至少有一个接口要连接到骨干区域

自治系统：运行同一个协议，比如整个运行ospf的区域。ASBR说明某个三层交换机或者路由器运行两个自治系统，相当于运行两个协议。

企业用什么管理资产：

堡垒机：

准入：

软件：

cmdb：

管理网络设备（登录）：secure CRT：该软件类似xshell方便ssh登录交换机。

ospf 开销计算：既看经过链路多少，也看带宽。

ospf虚链路：特殊情况下，分支单位不与骨干区域相连接。如下图，area 3 不直接与骨干区域相邻，除了abr其他学习不到该区域的路由。

注意到，area 0 一定是骨干区域

上图应该在R2和R3之间打上虚链路：
R2：ospf 1
area 2
vlink-peer 3.3.3.3 //R3的routerid

上图可见，已经学到了4.4.4.4的路由。

ospf邻居建立过程：

互相发送hello-邻居-泛洪LSA（拓扑、路由信息）-LSDB-运行spf算法-生成最优路由-路由表

国家电网、运营商：isis

ospf和isis的应用场景

内部网关协议：ospf isis

外部网关协议：bgp（国家与国家之间）

路由引入：目的：将静态路由引入ospf 或者将ospf引入BGP

如上图：R9运行的rip的路由，省总公司运行着OSPF路由，他们之间是相互学习不到路由的。因此需要引入路由。在R8（ASBR）上引入rip：
[R8]ospf1
[ospf1]import-route rip //即可

但是此时只是单向引入，要想R9也能学习ospf，在R8也引入ospf
[r8]rip 1

[r8-rip-1]import-route ospf 1 //将ospf区域的路由全部引入rip区域

外部引入的路由cost默认为1，而且不会累加。如果只有一个ASBR相当于只有一个出口，所以cost没必要累加，如果有两出口，就会开始累加。

LSA：链路状态广告LSA 是 OSPF 路由器之间交换的信息单元，每个 LSA 包含了关于单个路由器或网络的详细信息。通过交换这些 LSAs，OSPF 路由器能够构建一个完整的网络拓扑图，并使用这个图来计算到达网络中任何位置的最短路径。

封装在LSU里面，有三张表:
1、邻居表：dis ospf peer brief
2、拓扑表（链路状态数据库）：dis ospf lsdb
3、路由表：dis ip routing-table

LSA 1型：每个路由器都会发送，自报家门，只在所处的area传播。我是谁，接了谁，有哪些网段。

LSA 2型：只有DR发出，也在所处的area传播。告诉所有人一共有几个网段，通告DR的信息以及所有成员信息。

LSA 3型：ABR发出。可以穿越整个自洽区域（在各个ABR中转） ，在不同区域的ospf信息进行传递。代表网段路由信息。

LSA 4型：ABR进行通告，告诉自治系统ASBR的routeid
dis ospf lsdb
dis ospf lsdb asbr

LSA 5型：ASBR发出，引入其他自治系统的路由信息。

LSA 7型：nssa lsa 特殊区域，nssa的ASBR产生，不接收4、5型LSA
经过ABR后7型转5型 //7型就是披马甲

路由汇总：

在ABR/ASBR上进行路由汇总，将多个网段汇成1个网段：
6.6.6.0/24
6.6.7.0/24
6.6.8.0/24
汇总成6.6.0.0/20 //根据掩码

ospf 1
area 1
abr-summary 6.6.0.0 255.255.240.0 // 但这是在ABR上做的，如果是ASBR则为 asbr-summary 6.6.0.0 255.255.240.0

特殊区域：
1、stub:末节区域，不接收4、5型LSA
在area 中所有路由器都进行配置 [ospf -area-1]stub //所有设备都敲上
此时由于不接收4、5型lsa也就是不接收来自其他自治区域的LSA ，其他末节区域的路由将无法学习，但是依然能访问，原因是自动产生一条0.0.0.0 吓一跳为ASBR的缺省路由。

2、totally-stub：完全末节
[ospf-area1]stub no-summary //不接收3、4、5型LSA

3、NSSA型：不完全末节

4、totaly-nssa

不接收3、4、5 //在totaly-stub基础上 多了一个7转5而已

OSPF路由控制：

IS-IS：

若不同区域都是L2可以构成邻居，不同区域的L12 和L2也能形成L2的邻居。

ISIS路由计算：

如上图，R1想要学习 R4 R5的路由，需要R2 R3生成缺省路由。R2 R3会向R1发送 ATT（附加信息）置1.

ATT=1 的情况：
1、必须是L1/2设备
2、必须有L2邻居
3、必须能接受不同区域的LSP

路由选择：

破环技术-生成树

vrrp+mstp 破环冗余

stp：固定时间发送报文，发现环路并阻塞端口。主要就是找根桥。

可靠性企业网：

1、vrrp+mstp（造价小）（公有技术，可以厂商间混用）

2、堆叠技术（推荐）（多虚一、一虚多）多虚一时相当于超融合，多台设备相当于一台设备。

MSTP同域三要素 域名、实例和vlan映射、修订级别。三要素一致才能确定同一个MSTP域。

VRRP：将两个网关虚拟成一个，这两个网关分成主备。主备设备之间互相发送心跳包（3s是最大时间），若某路由器、三层交换机故障，备用变主用，并且发送arp报文刷新接入层交换机的arp表。

不配置的情况下，vvrp的优先级是100.在vvrp中，优先级越大越好。优先级为0时表示设备出现问题不参与竞争，255则表示虚拟网关和实际网关为同一个ip。

mac： 01-00-5e 组播

vvrp封装在IP中，协议号112

虚拟mac地址：虚拟路由器根据vrid生成mac，一个虚拟路由器就拥有一个虚拟mac，格式为00-00-5e-00-01-{vrid}

vrrp联动bfd：在主设备，使用track：
vrrp vrid 1 track interface g0/0/1 //监控接口，如果某接口down，那么优先级默认减少10，但是如果更多设备串联，最好使用bfd。

vrrp负载分担：三层交换机上进行。：

如上图，sw2分别建立vlanif2 到 5，配上地址为254结尾，sw3同样只不过以253结尾，两个sw作为主备，互为对端地址。

[vlanifx]vrrp vrid x v-ip x.x.x.x

[vlanifx]vrrp vrid x p xxx //优先级

检查： [swx]dis vrrp brief

MSTP+VRRP:

所有的交换机:
stp region-configuration
region-name aa
revision-level 1
instance 1 vlan 2 to 3
instance 2 vlan 4 to 5
active region-configuration

随后在核心交换机上：
stp instance 1 root primary
stp instance 2 root secondary

对端上则优先级换过来。 //按照上述方法 此时核心交换机1为主根桥

安全设备会要求数据包来回路径一致，网络设备则不关注来回路径是否一致。

1、dhcp snooping ：在交换机上只允许DHCP服务器的接口分发的ip地址有效，其他接口认为是无效地址。

2、IPSG ip源防护：在交换机与pc相连接的上联口， ip source check user-bind enable

从该接口的数据检查ip mac vlan，若不符合则丢弃

也可针对某个vlan的所有端口开启

ps：检查的表为dhcp snooping 的表 交换机：dis dhcp snooping user-bind all

开启了源防护后，由于静态ip地址不记录在snooping表项中，因此能限制手动配置的ip访问网络。

被限制后，由于会在接入交换机就被丢弃，连网关都无法访问。

3、由于DHCP snooping 的表项由于是存在内存中，遇到关机则会丢失，应该备份保存。

交换机：dhcp snooping user-bind autosave flash:/xx.tbl snooping表项会保存在该表里。