动态路由
动态路由特点
根据网络拓扑或流量变化,由路由器通过路由协议自动设置, 减少了管理任务,但占用了网络带宽,适合ISP服务商、广域网、园区网等大型网络
OSPF协议
Open Shortest Path First ( 开放式最短路径优先)
OSPF区域
为了适应大型的网络,OSPF在AS内划分多个区域,其中骨干区域Area 0这个必须要有,他连接着其他区域
每个OSPF路由器只维护所在区域的完整链路状态信息
区域ID可以表示成一个十进制的数字,也可以表示成一个IP
启动OSPF路由进程
Router(config)# router ospf [进程编号id]
指定OSPF协议运行的接口和所在的区域
Router(config-router)# network [网段] [反掩码] area [区域号]
动态路由原理:
两个相连的路由成为邻居,如果他们都开启了ospf动态路由,就会相互学习,把对方的路由表中的信息学来,从而使网络中的路由相互都能通信
TCP和UDP协议
TCP
传输控制协议,可靠的、面向连接的协议,但是传输效率低
UDP
用户数据报协议,传输效率高,但是不可靠的、无连接的服务
TCP的三次握手与四次断开
ACK 应答回复
SYN 连接请求
FIN 断开请求
三次握手:A发送SYN ---> B接收到后发送SYN和ACK ---> A再反馈ACK
四次断开:A发送FIN ---> B接收到后发送ACK,并且完成自己正在进行的数据传递 ---> B在传递结束后发送SYN ---> A再反馈ACK
TCP的应用
端口 | 协议 | 说明 |
21 | FTP | FTP服务器所开放的控制端口 |
23 | TELNET | 用于远程登录,可以远程控制管理目标计算机 |
25 | SMTP | SMTP服务器开放的端口,用于发送邮件 |
80 | HTTP | 超文本传输协议 |
53 | DNS | 域名服务,当用户输入网站的名称后,由DNS负责将它解析成IP地址,这个过程中用到的端口号是53 |
UDP
UDP首部格式
源端口号(16) | 目标端口号(16) |
UDP长度(16) | UDP校验和(16) |
数据 |
UDP长度:用来指出UDP的总长度
校验和:用来完成对UDP数据的差错检验,它是UDP协议提供的唯一的可靠机制
UDP端口及应用
端口 | 协议 | 说明 |
69 | TFTP | 简单文件传输协议 |
123 | NTP | 网络时间协议 |
53 | DNS | 域名服务 |
UDP的流控和差错控制
UDP缺乏可靠机制,只有校验和来提供差错控制
如果出现丢包需要上层协议来提供差错控制:例如TFTP协议
访问控制列表概述
访问控制列表(ACL):
读取第三层、第四层包头信息,根据预先定义好的规则对包进行过滤,访问控制列表的处理过程
如果匹配第一条规则,则不再往下检查,路由器将决定该数据包允许通过或拒绝通过。
如果不匹配第一条规则,则依次往下检查,直到有任何一条规则匹配。
如果最后没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包。
访问控制列表的类型:
标准访问控制列表,基于源IP地址过滤数据包,列表号是1~99
扩展访问控制列表
基于源IP地址、目的IP地址、指定协议、端口等来过滤数据包,列表号是100~199
标准访问控制列表
配置:先创建控制列表再应用到接口上。
标准访问控制列表的创建
Router(config)# access-list [列表编号] deny [IP] [反子网掩码]
列表编号如果不存在就创建 ,存在就是修改其信息, deny 表示拒绝,permit 表示允许 ,反子网掩码中0表示严格匹配,255表示匹配通配,表明这一位不需要进行匹配操作
隐含拒绝语句,在所有匹配结束后,默认有下面这个判断在最后:
Router(config)#access-list 1 deny 0.0.0.0 255.255.255.255
注:access-list 1 deny 192.168.1.1 0.0.0.0 === access-list 1 deny host 192.168.1.1 ---> 表示192.168.1.1这个IP不能通过
access-list 1 deny 0.0.0.0 255.255.255.255 === access-list 1 deny any ---> 表示拒绝所有
将ACL应用于接口
Router(config-if)#ip access-group [列表号 in或out]
删除已建立的访问控制列表
Router(config)#no access-list [列表号]
接口上取消ACL
Router(config-if)#no ip access-group [列表号 in 或out]
查看访问控制列表
Router#show access-lists
删除ACL
Router(config)#no access-list 列表号
注:不能删除单条ACL语句,只能删除整个ACL。
NAT(网络地址转换)
作用:通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上。
优点:
节省公有合法IP地址
处理地址重叠
安全性
缺点:
延迟增大
配置和维护的复杂性
NAT实现方式
静态转换
IP地址的对应关系是一对一,而且是不变的,借助静态转换,能实现外部网络对内部网络中某些特设定服务器的访问。
静态NAT配置:
配置接口IP及路由
Router(config)#ip nat inside source static 192.168.1.1 61.159.62.131
在内外接口上启用NAT:
出口配置Router(config-if)#iip nat outside
入口配置Router(config-if)#iip nat inside
端口映射:
在内网服务区上配置端口映射,将其的80端口映射为公网的一个IP的80端口,将其web服务发布到Internet。
注意只有外网的设备可以连接内网映射的这个公网的IP的web服务,而内网服务器并不能和外网相连。
配置:
Router(config)#ip nat inside source static [tcp或者udp] [内网的IP地址] [端口号] [注册的公网IP] [端口号]
端口多路复用(PAT)
通过改变外出数据包的源IP地址和源端口并进行端口转换,内部网络的所有主机均可共享一个合法IP地址实现互联网的访问,节约IP。
PAT的配置:
Router(config)# access-list [列表编号] deny [IP] [反子网掩码]
Router(config)#ip nat inside source list [acl控制列表号] interface g0/[端口号] overload
NAT两种实现方式的区别:
静态转换的对应关系一对一且不变,并且没有节约公用IP,只隐藏了主机的真实地址。
端口多路复用可以使所有内部网络主机共享一个合法的外部IP地址,从而最大限度地节约IP地址资源。
开启nat排错功能
Router#debug ip nat 其中S表示源地址 D表示目的地址
关闭nat排错功能
Router#undebug ip nat
NAT的原理:
静态是吧内网的一个IP经过路由后,变成一个公网IP,可以实现,内外网互通,其存在的主要目的是,在需要的时候配置端口映射,而这个只能是外网连内网。
PAT是用过acl控制列表,按照列表要求,允许或拒绝某些IP转发,把其转换为路由器接往外网的端口号作为连接外网的IP,有数据发出的时候,路由器会随机生成一个端口号,并且记录下来,当数据返回的时候,再转发给内网IP地址,不过这只能是内网请求访问外网连接,外网不能主动连接内网。