hcia 笔记
一.网络
网络是由网络连接设备借助传输介质将其断开设备联结在一起以实现数据交换与资源共享的平台
1.⽹络连接设备:路由器、交换机
3. 传输介质:⽹线、光纤、同轴电缆
4. ⽹络终端设备:计算机、服务器、⼿机、摄像头
二.osi七层参考模型(开放系统互联)。核心思想:分层
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层
1.应⽤层
功能是直接向⽤户提供服务,完成⽤户希望在⽹络上完成的各种⼯作。
功能模块的作用就是将编译后的计算机程序代码呈现出来,并非为了其他目的而是为了向用户展示。
2.表示层
表⽰层对来⾃应⽤层的数据和命令进⾏解释,解释成程序能理解的程序语⾔。
并且,数据的压缩和解压缩,加密和解密等⼯作都由表⽰层负责。
3.会话层
负责在⽹络中的不同主机之间建⽴,维持和终⽌通信(会话)。
由此对数据进⾏有序的传输控制,计算机收到了发送的数据,
但是面对大量进程时,则需明确哪些进程需要用到该数据进而使得该数据能够被各个相关进程中访问。
4.传输层
我们可以通过IP地址来定位一台特定的主机;那么如何鉴别这台主机上运行的应用程序呢?答案即是该应用所使用的端口。
传输层的功能:建⽴端⼝到端⼝的数据传输,即进程与进程之间的数据传输。
传输层给我们提供了两种端到端的通信服务
1.TCP协议:效率低但是发送包会校验是否完整
2.UDP协议:效率⾼但是不管别⼈能否完整收到
5.网络层
⽹络层的主要功能根据主机的IP地址完成主机之间的数据传输。
具体来说:物理层面的数据经由这一层面的转换成为数据包,并通过路由选择算法实现路径的优化。
从⼀个⽹络设备传输到另⼀个⽹络设备。
一般情况下, 数据链路层通常负责处理网络内所有节点之间的通信问题, 而网络层则主要负责处理不同子网之间的通信需求
⽹络层主要设备:路由器
6.数据链路层
为了保障数据的可靠传输,将数据封装成数据帧的形式进⾏传输。
每个数据帧被分为报头(head)和数据(data)两个部分,在报头部分包含发件人(源地址)、收件人(目标地址)以及数据类型三个组成部分。
7.物理层
物理层的中心任务在于利用物理介质传输比特流。简而言之,则是在采用何种物理信号(如电信号或光信号)。
来表⽰数据0和1。常⽤的设备有中继器,集线器,⽹线,同轴电缆
三.封装和解封装
封装可以理解为各层将每一层的实现数据添加到内容数据之前,解封装是逆过程。而真正完成这个工
作的是工作在各个层次的协议。
类似于寄信的时候不能可把信纸直接寄出,需要要信封,收件人,发件人,邮编,邮票等东西,这些东
西相当于各层的实现数据。
四.三次握手
1.发送端首先发送一个带有SYN(synchronize)标志地数据包给接收方。
接收方接收后会反馈一个包含SYN/ACK标志的数据包以传递确认信息表明我已经接收到
最终, 发送者会重新发送一个带有ACK标志的数据包, 这表明我已经确认并完成了这一操作, 这标志着连接的建立
通俗解释:
客户端:嘿,李四,是我,听到了吗?
服务端:我听到了,你能听到我的吗?
客户端:好的,我们互相都能听到对方的话,我们的通信可以开始了。
四次挥手
首次握手:通过发送一个FIN标志位来阻止Client与Server之间的数据传输后,在完成操作后会Transition至FIN_WAIT_1状态。
第二次握手:当Server接收到FIN时(即客户发送了一个终止请求),Server会立即向Client应答,并确认接收到的数据段的序列号是否正确(即数据段的序列号等于客户端发送的数据段的序列号加一)。具体来说,在响应中包含两个字段:ACK字段用于应答,并将接收到的数据段的序列号加一;FIN字段仅占有一位二进制位来标识客户端已结束这个连接请求。完成这些操作后,Server会进入CLOSE_WAIT状态以等待客户端的回应。
ACK操作:Server向Client发送一个结束标志 FIN 以断开数据传输,并使Server达到LAST_ACK状态。
第四次握手:当Client接收到FIN信号后,Client过渡到等待状态(TIME_WAIT),随后向Server发送一个ACK报文以确认接收方的序列号,并将其设置为接收到的序列号加1。 Server根据该ACK报文进入关闭状态(CLOSED),从而完成了所有握手流程。
通俗解释:
客户端:我所有东西都说完了
服务端:我已经全部听到了,但是等等我,我还没说完
客户端:好了,我已经说完了
服务端:好的,那我们的通信结束
五.ip地址
ip地址由32位二进制组成 。为方便人类读写写成点分十进制格式
由网络位和主机位两部分组成
如何判断俩个或多个地址是否在同一个网段(广播域)
IETF早期规定的网络位划分方法:主类划分法
主类划分---看数字辩网段
我们通过前8位也就是第一组8位二进制来区分这五类。
A类:前8位二进制为 0XXXXXXX,转换成10进制就是 0 - 127
他的网络位是前8位。因为0 和 127是特殊地址,所以A类的范围是1 - 126
B类:前8位二进制为 10XXXXXX 128 - 191 网络位是前16位
C类:前8位二进制为 110XXXXX 192 - 223 网络位是前24位
D类:前8位二进制为 1110XXXX 224 - 239 组播地址,不分主机位和网络为
E类:前8位二进制为 1111XXXX 240 - 255 保留地址,为美国军方所有
特殊IP地址
1,127.0.0.1 - 127.255.255.255 ---- 环回地址
2,255.255.255.255 ---- 受限广播地址 ---- 受路由器的限制 --- 只能作为目标IP使用
3,主机位全1 --- 192.168.2.X/24 --- 192.168.2.255 --- 直接广播地址 --- 只能作为目标IP使用
4,主机位全0 --- 192.168.2.X/24 --- 192.168.2.0 -- 网段 -- 网络号
5,0.0.0.0 --- 1,代表没有IP。2,代表任意IP。
6,169.254.0.0/16 --- 自动私有地址
VLSM与CIDR
无类型地址---不依赖数字来识别网络段而是采用子网掩码来进行区分其规则在于将网络位上的地址与子网掩码进行设置
VLSM --- 可变长子网掩码 ---- 子网划分
核心思路:通过延长子网掩码(将主机位借到网络位)来实现网段的划分
CIDR --- 无类域间路由 ---- 汇总
可变长子网掩码---取相同去不同
六.ARP协议解析过程:
如果A主机要对B主机进行数据传输的话
1)A主机先会查看自己的ARP高速缓存中是否有B主机的Mac地址记录
当A主机的快取存储器中包含有B主机的相关记录时,则可以直接使用该MAC地址来进行数据传输的过程
当A主机的缓存空间中未存储B主机的相关数据块时,则会向局域网的所有主机发送一个ARP应答请求。
当B主机接收到来自A主机的ARP广播请求时, 会立即向其发送一个相应的ARP响应包。
当A主机在接收到来自B主机的数据包时,在其高速缓存中记录了目标计算机(即B)的MAC地址;随后,在确认该MAC地址无误的情况下,A主机向其目标计算机(即B)发送了数据流。
七.路由器
路由器的作用:
1、不同网络间的互联
2、为它所承载的数据做路径的选择---选路
路由器的工作原理:
当数据包抵达路由器时,在其到达之前首先要确定目标IP地址;随后系统会检查本地的路由表是否存在对应记录。如果发现路由表中有对应记录,则该流量将按照指定路径无误转发;反之,在本地路由表中未找到相关记录的情况下则会丢弃该流量
获取未知网段的方法:
1、静态路由--手写
2、动态路由---路由器间协商、沟通、计算自动生成
静态路由的写法:
[r1]ip route-static192.168.3.0 255.255.255.0 192.168.2.2
目标网络号 下一跳
[r1]displayiprouting-table 查看路由表
下一跳:流量下一个进入接口的ip地址
静态的扩展配置:
负载均衡技术:当请求目标一致且路径开销相近时;设备能够按比例分配流量至多条通道进行传输;从而实现带宽资源的最大化利用。
环回接口创建后可用于验证路由器是否能够正确编码与解码TCP/IP协议组件[r1]interfaceLoopBack?<0-1023>LoopBackinterfacenumber
[r1]interfaceLoopBack0
[r1-LoopBack0]ipaddress1.1.1.124
此外,在模拟PC终端连接的实验环境中设计一个用户接口系统,并通过该系统能够方便地实现与实际设备的交互。
3、手动聚合如果路由器可能需要访问一组连续的子网段且共享同一个下一跳地址,则可以执行手动聚合操作;完成之后就足够了;这将节省路由表中的条目数量
4、路由黑洞汇总地址中包含了真正不存在的网络段时;会导致流量出现去入不通的情况;造成链路资源的浪费;建议合理规划IP地址(从而避免出现路由黑洞),尽量精确地进行地址汇总。
5、缺省路由--无条件匹配的路由,在网络中代表所有网段;当路由器完成本地直连域内的静态与动态路由查询仍未能获取到通向目标网络的信息时,则会采用该条目进行处理;
[r1]iproute-static 0.0.0.0 0.0.0.0 12.1.1.2
6、当网络中存在吸收路由和默认路由相遇时,在某些情况下会导致循环。为了防止网络循环,在黑 hole路由器上应配置一条连接到汇聚段的空接口。该空接口同时会丢弃所有非目标流量以防止网络循环。
[r1]iproute-static1.1.0.022 NULL 0
动态与静态不同的传输方式会将数据包发送至路由表中的条目,并且这些条目的优先级各不相同;对于直连和静态两种方式而言,在优先级设置上应遵循从0到255的原则,并且建议将此范围内的值尽可能减小以提高网络性能
[r1]iproute-static100.100.100.02413.1.1.2preference?INTEGER<1-255>Preferencevaluerange
[r1]iproute-static100.100.100.02413.1.1.2preference61
进入相同的对象时会包含多条路径;用于将加载完成度最低的任务分配到表格中处理;当多个路由的优先级相等时,则将其同时加入表中(实现负载均衡);通过调整部分路由的优先级能够实现静态备份的效果。
八.VLAN:虚拟局域网
交换机和路由器协同工作后,将一个广播域逻辑的分割为多个;
配置思路:
1、交换机上创建vlan
2、交换机上的各个接口划分到对应的vlan中
3、Trunk(中继)干道
4、VLAN间的路由---路由器的子接口(单臂路由)多层交换机的SVI
配置命令:
交换机上的VLAN编号由一个包含12位二进制数的字段表示,并且其范围为0至4095。其中编号为1至4094的是可配置的VLAN。在没有额外配置的情况下,默认情况下,默认交换机将配置VLAN 1,并且在没有额外配置的情况下,默认接口也连接到VLAN 1。
[sw1]vlan2
[sw1-vlan2]q
[sw1]vlan3
[sw1-vlan3]q
[sw1]vlanbatch4to10
[sw1]vlan batch11 to 20 25 to 30
2、交换机上的各个接口划分到对应的vlan中[sw1]interfaceEthernet0/0/1
单独将某个接口划分到对应的
vlan[sw1-Ethernet0/0/1]portlink-typeaccess
先将该接口修改为接入模式
[sw1-Ethernet0/0/1]portdefaultvlan2
再将该接口划分到对应的vlan中批量的将多个接口划分到同一个vlan
[sw1]port-groupgroup-memberEthernet0/0/3toEthernet0/0/4
[sw1-port-group]portlink-typeaccess
[sw1-port-group]portdefaultvlan33、
该干道不隶属于任何vLAN,并负责转发所有vLAN的流量;可以通过标记(封装)的方式识别并解封装不同vLAN的标签。
VLANID压入到数据帧中的标准---802.1q(dot1.q)
[sw1]interfacee0/0/5
[sw1-Ethernet0/0/5]portlink-typetrunk
将接口修改trunk模式
[sw1-Ethernet0/0/5] port trunk permit passvlan2to3 注释:默认情况下,在华为交换机中只有VLAN1会被允多端口传输;建议在配置中明确设置允许列表
[sw2-Ethernet0/0/3]port trunk allow-pass vlan all
允许所有vlan通过4、路由器子接口[router]interfaceg0/0/0.1
创建子接口
[router-GigabitEthernet0/0/0.1]dot1qterminationvid2
定义其管理的vlan
[router-GigabitEthernet0/0/0.1]ipaddress192.168.1.254 24
[router-GigabitEthernet0/0/0.1]arpbroadcastenable开启子接口ARP功能
九.动态路由
动态路由协议:基于路由器间的通信与协商过程实现自动生成路由表的能力;当网络拓扑结构发生变化时,在短时间内就能快速收敛(重新规划)以适应新的网络架构。
基于AS进行分类:
AS--自治系统0-65535标准编号
IGP内部网关路由协议AS内部使用--RIPOSPFEIGRPISIS.....
EGP外部网关路由协议AS之间使用---BGPEGP.....
IGP的分类:
【1】基于工作特点进行分类:
DV距离矢量 RIP EIGRP......
LS链路状态 OSPF ISIS......
【2】基于更新时是否携带子网掩码
有类别--不携带子网掩码,按主类定义子网掩码
无类别--携带子网掩码,基于实际掩码来判断网段
RIP:路由信息协议。属于距离矢量协议
存在V1/V2/NG(下一代IPV6专用)
基于UDP520端口工作;
使用跳数作为度量;
更新方式:30s周期更新、触发更新周期更新--保活取代确认优先级100;
支持等开销负载均衡;
V1和V2的区别:
1、V1有类别协议,不携带子网掩码,不能区分子网划分和汇总;
V2无类别协议,携带子网掩码,进行VLSM和子网汇总,不支持超网;
2、V1广播更新--255.255.255.255
V2组播更新--224.0.0.9
3、V2支持手工认证
破环机制:
1、水平分割--从此口进,不从此口出--直线拓扑中防环;
主要功能是通过MA网络实现数据包冲突的防止;MA网络采用多路接入技术,在一个网段内的设备数无限制。
2、触发更新--毒性逆转水平分割
3、最大跳数---15跳16跳为不可达
4、抑制计时器;
配置命令:
V1配置:
[r1]rip?
INTEGER<1-65535>ProcessID
[r1]rip启动时可以定义进程号;默认为进程1;仅具有本地意义
[r1-rip-1]version1 选择版本1;
宣告:
1、激活--被选中接口可以收发rip的信息
2、共享路由--被选中接口的网段可以共享给本地的所有邻居;
[r1-rip-1]network1.0.0.0
[r1-rip-1]network12.0.0.0
[r1-rip-1]network172.16.0.0
[r1-rip-1]network192.168.1.0
切记:RIP宣告时,只能宣告主类网段;
[r2]displayiprouting-tableprotocolrip
查看某种协议产生的路由条目
V2的配置:
[r1]rip?
INTEGER<1-65535>ProcessID
[r1]rip 启动时可以定义进程号;默认为进程1;仅具有本地意义
[r1-rip-1]version2 选择版本2;
宣告:
1、激活--被选中接口可以收发rip的信息
2、共享路由--被选中接口的网段可以共享给本地的所有邻居;
[r1-rip-1]network1.0.0.0
[r1-rip-1]network12.0.0.0
[r1-rip-1]network172.16.0.0
[r1-rip-1]network192.168.1.0
【2】RIP的扩展配置
1)RIPV2的手工汇总--在更新源路由器上,所有更新发出的接口上配置
[r1]intg0/0/1[r1-GigabitEthernet0/0/1]ripsummary-address1.1.0.0255.255.252.0
2)RIPV2的认证
在RIP消息之间交换的过程中实施身份核实口令的加入;同时,在华为与其ri数据上实施加密传输操作之前已实现接口授权通过认证
[r1]interfaceg0/0/1
[r1-GigabitEthernet0/0/1]rip authentication-mode md5 usual cipher123456
两两直连的邻居间,认证口令和模式必须完全一致;
3)沉默接口(被动接口)--仅接收不发送路由协议信息;
该接口仅限于为用户提供接入功能;若直接连接至路由器相邻网络段落,则可能导致相邻网络段落之间出现通信障碍[r1]rip1
[r1-rip-1]silent-interfaceGigabitEthernet0/0/0
4)加快收敛
RIP计时器 30s更新 180s失效 180s抑制 300s刷新
适当调整计时器参数,在实施过程中有助于提高协议收敛速度。同时建议所有运行 rip 的设备保持一致性配置,并维持原有倍数比例不变。为了确保系统稳定性,请避免选择过于敏感且参数较小的配置项;
[r1]rip1
[r1-rip-1]timers rip 30 180 300 抑制计时器不修改
5)缺省路由--在边界路由器上配置相关的起始信息后,在内网发送该缺省路由;随后内部路由器会根据网络拓扑自动生成该缺省路由指向边界路由器方向的指令;对于连接到ISP的边界路由器而言,在其网络路径上缺少明确指定的情况下,默认情况下仍需手动配置其缺省路由指向。
[r3]rip
[r3-rip-1]default-routeoriginate
Ospf:
OSPF(Open Shortest Path First)是一种无类别链路状态I GP协议;其采用定期时间间隔+主动检测机制进行数据包传播;当网络规模扩大时其数据包传播数量呈指数增长因此为了适应中大型网络的需求需采取结构化措施:科学划分区域、规范IP地址规划;而组播信息采用分段发送的方式以减少资源消耗
ospf的工作过程
完成配置后开始执行网络邻居间通信过程;在hello包中将包含发送节点及其已知所有直接邻居的rid信息;随后生成节点间关系列表;对于相邻节点之间需要判断是否满足成为邻接节点的要求;若无法满足成为邻接节点的要求,则继续维持当前邻居关系;此时仅需保证hello包每10秒发送一次即可维持存活状态;若成功建立邻接关系则需使用DBD协议进行本地数据库目录的一致性检查;基于检查结果利用LSR/LSU/LSack算法获取本地未知的服务列表项(lsa)信息;通过比较后的lsdb数据库实现一致同步并生成数据库表;随后根据lsdb数据应用spf算法构建有向图—>最短路径树结构——计算出本机至所有未知网段的最佳路径并将其加载至本地路由表中;当收敛条件达成时系统进入稳定状态;当系统完成收敛后将每隔半小时执行一次相邻节点间的lsdb一致性检查以保障网络的一致性
】ospf的5种数据包:
Hello邻居的发现,关系的建立;周期(10s)的保活携带rid
Dbd数据库描述包;本地数据库目录
Lsr链路状态请求
Lsu链路状态更新
Lsack链路状态确认
Lsa-链路状态(LSA),具体包括每条具体的路由信息或网络架构;它并不是一个单独的数据包,在LSU数据包中进行传输。
【2】Ospf的7个状态机:
Down:一旦接收到的hello包,进入下一个状态机
Init初始化:一旦接收到的hello包中,存在本地的rid,进入下一个状态
2way双向通讯:邻居关系建立的标志关注条件:
Exstart startup phase: The system adopts a DBD package (without directory information) to implement leader election between master and slave nodes; the rid node has priority to enter the next stage; this mechanism addresses the issue of unordered directory sharing.
Exchange准交换:使用携带目标信息的dbd包,共享本地数据库目录;
Loading过程中,在完成检查相关DBD信息后,默认情况下会基于本地环境未预先配置好的LSD(Light Scattering Data)进行数据查询操作;随后通过LSR(Light Scattering Remote)协议向远程端发送请求,并由接收方利用LSU(Light Scattering Unit)工具将这些LSD数据传输过来;最后本地系统会调用LSACK接口以验证接收到的数据的一致性
Full:邻接关系建立的标志;意味着邻接间,数据库同步(一致)
【4】基础配置
[r1]ospf1router-id1.1.1.1
在启动过程中能够配置进程号与Ring ID(PID与RIng ID)。其中默认设置为Process ID(PID)为1,Ring ID(RId)采用IPV4地址编码方式,并且全网唯一;而在手动模式下则会依次设定以下参数:环回接口的最大数值以及物理接口的最大数值。
[r1-ospf-1]
宣告:
1、激活--可以收发ospf的信息
2、被选中接口的拓扑信息可以共享给邻接
3、区域划分
[r1-ospf-1]area0
[r1-ospf-1-area-0.0.0.0]network1.1.1.10.0.0.0
[r1-ospf-1-area-0.0.0.0]network12.1.1.00.0.0.255
ospf在宣告时,需要使用反掩码,来匹配宣告的地址范围
区域划分规则:
星型拓扑结构以编号0干线路区为中心干线路区,在该区域内所有节点均为核心干线路区;当该区域内节点数量大于0时,则属于分线型拓扑结构下的分线干线路区。
在两个相邻网络区域内必须要设置ABR作为边界路由器,在Abrlink完成的情况下进行设备间的通信配置;在完成Abrlink后会发送Hello报文以建立邻居关系,并生成完整的邻居信息表。
r2
当邻居关系建立后时,请关注以下条件;当匹配失败时,则会维持当前邻居关系,并且仅在hello包周期内确保本地存活。如果匹配成功,则可以将其发展为邻接(或毗邻)状态。在邻接节点之间交流时,则会利用DBD、 LSR、 L SU以及 LS ack协议来查询本地尚不为人知的 LSA 信息。完整的本地 LS DB则是一个用于存储路径信息和接口状态的数据库表
完成时本地开始处理。采用SPF算法进行处理,并生成相应的有向图和树状结构,并从本地出发寻找所有未知网络段的最短路径,并将其存储在本地的路由表中;
优先级为10;度量为cost值;cost值=开销值
【5】扩展配置
1)DR/BDR选举
邻居成为邻接关系的条件;与网络类型有关;
网络类型:点到点--在一个网段内只能存在两个节点--串线链路
MA全称为多路访问(Multipath Access),它允许在一个网络段内任意数量地接入设备,并且这些设备之间不会互相干扰。与传统的串口连接方式不同的是,在这种架构下,“多路访问”不仅限于当前已连接的几台设备,并且能够支持最终接入多个独立的终端设备。“--以太网”作为一种基于IEEE 802.3标准的高速局域网技术,在这种架构下同样适用。
在点对点网络中,邻居关系会转换为邻接关系;
MA 网络中会进行 DR/BDR 选举;
在一个网段内只有 DR/BAD 与其他路由器构成邻接关系;
非 DR/BAO 之间的互连即被视为邻居关係。
选举规则:
首先评估该网络段所有候选设备接口的优先级等级,并采用等级越高越优的原则进行筛选;其中,默认设置下取值为1;允许范围从0到255,并规定数值0表示设备不在候选列表中
2、若所有参选者优先级相同,比较参选设备的RID,数值大优;
干涉选举:
DR类成员拥有最高的优先级,在OSPF中属于核心成员;请注意OSPF采用的是非抢占式选举机制,在完成这些设置后,请确保所有路由器重新启动OSPF进程以建立正确的网络拓扑结构。
[r2]interfaceGigabitEthernet0/0/0
[r2-GigabitEthernet0/0/0]ospf dr-priority 3
修改接口优先级
Warning:TheOSPFprocesswillbereset.Continue?[Y/N]:y
2、DR优先级修改为最大,BDR次大;其他设备修改为0;无需重启进程
区域汇总——OSPF协议不支持接口直接汇总;仅能在ABR上将A区拓扑计算所得路由,并在B区进行汇总。
[r2]ospf1
[r2-ospf-1]area0
[r2-ospf-1-area-0.0.0.0]abr-summary1.1.0.0255.252.0.0
ABR R2负责连接起区域0与其他各区域网络。该操作包括:基于区域0获取的网络拓扑信息计算出的路由路径,在向各个区域发送时会进行汇总处理,并最终将该路由信息整合到所有相关区域内。其中,在处理过程中会统计汇总所有相关的网段信息,其中包含网段1.1.0.0/22
3)被动接口(沉默接口)-- 仅负责接收而不发送路由协议信息; 用于连接用户终端的接口,并禁止与其他路由器直接相连以避免断开邻居关系;
[r2]ospf1
[r2-ospf-1]silent-interfaceGigabitEthernet0/0/0
4)认证--接口认证在直连邻居或邻接的接口上配置,保障更新的安全
[r1-GigabitEthernet0/0/1]ospf authentication-mode md 5 1 cipher 123456
模式、编号、密码要求邻居间一致
5)加快收敛
邻居间计时器10s hello time 40s dead time
相邻端口之间可以通过修改本端设备的hellotime参数,并使本端设备的deadtime时间字段自动建立关系;然而,在OSPF协议中要求相邻端口之间的hellotime与deadtime时间字段必须保持一致,并且只有当这些条件满足时才能实现正常通信;[r1] interface GigabitEthernet0/0/0
[r1-GigabitEthernet0/0/0]ospf timer hello 5
6)缺省路由---边界路由器上配置完成后,系统会自动向下发布一条缺省路由,随后内网设备会根据配置自动建立缺省路由指向边界
[r4]ospf1
[r4-ospf-1]default-route-advertisealways
十.ACL
ACL访问控制列表:
作用:
1、访问控制---在路由器流量进或出的接口上,匹配流量产生动作---允许、拒绝
2、定义感兴趣流量---抓取流量,之后给到其他的策略,让其他策略进行工作;
配置规则:从上到下依次配置,在每一步操作中当前层的配置将覆盖前一层设置;对于Cisco系列设备,默认情况下不允许接收未知来源的数据包;而对于华为系列设备,则支持来自所有外部网络的通信
分类:
1、标准---仅关注数据包中的源ip地址
2、扩展---关注数据包中的源、目标ip地址,目标端口号或协议号配置命令:
1
[r2]acl2000
[r2-acl-basic-2000]rule deny source192.168.1.30.0.0.0
[r2-acl-basic-2000]rule deny source192.168.0.00.0.255.255
[r2-acl-basic-2000]rule deny source any
在进行范围匹配时,应采用通配符;它们之间的区别主要体现在其主要区别在于通配符能够以交错排列的方式替代反掩码。
ACL定义完成后应当设置系统端点以实现其功能;调用时必须特别注意方向性限制;同一个系统端点的单向只能对应一张表。
[r2]interfaceGigabitEthernet0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter?
inbound Apply ACL to the inbound direction of the interface
outbound Apply ACL to the outbound direction of the interface
[r2-GigabitEthernet0/0/1]
traffic-filter outbound acl 2001
2
2
扩展列表编号3000-3999
[r1-acl-adv-3000]block rule ip source [IPv4 address] destination [IPv4 address] IP地址来源与目的位置:使用通配符*标记单台主机或用反向通配符!标记段或任一均可
【3】使用扩展列表,同时关注目标端口号;
目标端口号:服务端使用注明端口来确定具体的服务;
ICMPV4--internet控制管理协议--ping
Telnet--远程登录明文(不加密)基于tcp,目标端口23;
条件:
1、被登录设备与登录设备网络可达
2、被登录设备进行了telnet服务配置
[r1]aaa
[r1-aaa]local-userpanxiprivilegelevel15passwordcipher123456
[r1-aaa]local-userpanxiservice-typetelnet
创建名为panxi的账号,权限最大,密码123456;该账号仅用于telnet远程登录
[r1]user-interfacevty04
[r1-ui-vty0-4]authentication-modeaaa
在vty线上开启认证
[r1]acl3001
[r1-acl-adv-3001]rule deny tcp source 192.168.1.100 destination 192.168.1.1 0 destination-port eq 23
拒绝192.168.1.10对192.168.1.1访问时,传输层协议为tcp,且目标端口号为23;
[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0
仅拒绝192.168.1.10对192.168.1.1的ICMP访问
NET
IPV4地址中,存在私有与公有IP地址的区别:
公有:具有全球唯一性,可以在互联网通讯,需要付费使用
私有:具有本地唯一性,不能在互联网通讯,无需付费使用
私有ip地址:10.0.0.0/8 172.16.0.0/16-172.31.0.0/16 192.168.0.0/24-192.168.255.0/24
NAT网络地址转换技术用于将连接到内网(内部私有网络)设备上的公有IP地址对应的外部网络接口与内部私有网络设备之间的通信映射起来。在边界路由器上配置该功能时,在连接到外网的公有IP地址对应的接口处实现进出该IP地址范围内的流量进行修改以达到内外网通信的目的。
一对一 一对多 多对多 端口映射
One-to-Many: Many private IP addresses correspond to a single public IP address PAT port address conversion. Use ACL to define the range of private IP addresses that can be converted to PAT ports.
[r2]acl2000
[r2-acl-basic-2000]rule permit source192.168.0.0 0.0.255.255
[r2]intg0/0/2
公网相关的接口用于处理与ACL2000列表内关注的私有IP地址相关联的数据;当数据经过该接口转发时,其源IP地址会被设置为该接口对应的公网IP。
[r2-GigabitEthernet0/0/2]nat outbound 2000
一对一的配置:
连接公网的接口配置
[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.10
端口映射:
[r2-GigabitEthernet0/0/2]forwarding protocol tcp global current interface 80 configured on the interface inside 192.168.1.10 80
请注意:端口80是一个非常著名的端口。如果您继续使用它可能会导致功能故障。请问您是否确定要继续?(Y/N):y
外部访问该接口ip-12.1.1.1且目标端口号为80时,将被修改为192.168.1.10目标端口80;
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8888i nside 192.168.1.20 80
外部访问该物理接口ip-12.1.1.1且目标端口为8888时,将被修改为192.168.1.20目标端口80;
多对多配置:
[r1]nat address-group 1 12.1.1.31 2.1.1.10
先定义公有ip地址范围
[r1]acl2000
再定义私有ip地址的范围
[r1-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
最后在连接公网的接口上配置多对多
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
一对一(多个一对一)