华为ACL
创建ACL
基本ACL - 仅仅匹配源IP
高级ACL - 可以同时匹配5元组 -
源IP、目标IP、源端口、目标端口、传输层协议
ID:2000-2999 | 3000-399 | 4000-4999
name:定义ACL的名字的时候,会让我们选择“类型”
acl name Deny-telnet 3999
rule 5 deny tcp source 192.168.12.1 0 destination 192.168.12.2 0
destination-port eq telnet
调用ACL
traffic-filter inbound/outbound acl {ID |name }
验证ACL
display acl {id/name/all}
display user-interface //查看当前设备上的各种登录接口
注意:
ACL对设备本身发起的流量,是不起作用的;
ACL最后的默认的隐含的一条,不是拒绝所有,而是允许所有;
高级ACL,表示 拒绝所有:
rule {id} deny ip
基本ACL,表示 拒绝所有:
rule {id} deny
华为上面的命名的ACL,如果不指定类型,默认的是“高级”ACL;
并且对于命名的ACL,系统会默认的分配一个 ID ;
在配置和调用过程中,输入ID和name,达到的效果是相同的,
可以交替使用。
华为设备上的 telnet 是在 “用户模式”下使用的;
在特权/系统视图下是无法使用的;
更改telnet的源IP地址:
telnet -a 192.168.10.254 192.168.12.2
对于华为的设备远程访问,是必须需要“vty密码”的,
并且通过 vty 进入的用户权限,默认是0,最小权限。
为了实现能够通过 VTY 对设备进行远程访问,所以
我们得需要在 VTY 接口下面,进行用户权限的更改,
可以基于实际的网络需求进行。在实验过程中,可以
直接将权限更改为15 -
user-interface vty 0 4
user privilege level 15
==============================================================
华为DHCP
全局分配模式:
当服务器收到DHCP discover 之后,会去全局配置的DHCP
地址池中获得可用的IP地址;
接口分配模式
当服务器收到DHCP discover 之后,会分配一个“网关接口”
IP地址所在的网段中的可用IP地址;
配置思路:(DHCP-Relay, DHCP中继)
与思科中的 ip helper-address 功能类似,
华为中的命令为:
interface gi0/0/0
dhcp relay server-ip x.x.x.x
#gi0/0/0端口为客户端所在网段的网关
其他的配置步骤与思路,与思科是完全相同的。
==============================================================
Connected
非C
静态
动态
IGP:internal gateway protocol,内部网关路由协议
DV-distance vector ,距离矢量路由协议
RIP:routing information protocol
IGRP:
EIGRP: enhanced IGRP , 增强型的IGRP(DUAL:扩散更新算法)
LS-link state ,链路状态路由协议 (SPF)
IS-IS:intermedia system - intermedia system
TLV(type/length/value)
CLNP/IPv4/IPv6/MAC/BPDU/VLAN
OSPFv2: IPv4 ,open shortest path first
OSPFv3: IPv6 ,
EGP:external gateway protocol,外部网关路由协议
BGP-border gateway protocol
边界网关路由协议
R1:
router rip // 启用RIP协议;
version 2 // 配置当前运行的 RIP 为 version 2
no auto-summary // 关闭自动汇总功能
network 10.10.1.0
network 192.168.12.0
#前面的3条,在每个路由器上都得写;
#network后面跟的是每个路由器上的直连网络;
验证:
show ip protocols // 查看设备上当前运行的所有的路由协议
show ip route rip //在每个路由器上查看路由表中的 RIP 路由
R1;
ping 10.10.4.4 source 10.10.1.1
任何一种类型的路由,都具备两个基本属性:
管理距离- AD,admin distance
表示的是路由的稳定性,取值范围是 0 -- 255 ,
越小表示越稳定
值最大255,表示路由完全不可信,不能放入路由表
RIP-hop/跳数”
EIGRP-混杂度量值
ISIS-cost/开销
OSPF-cost/开销
BGP-metric
度量值- Metric,
表示的是路由器去往一个路由条目的距离,取值范围不限/跳数
值越小越好;
注意:
路由器的路由表中存在的永远是去往某一个目标网络的“最稳定的”
“最短的”路径;
当路由器去往一个目标网络,具备多个路由条目时,会选择
一个最好的:
#首先比较AD值,越小越好;如果相同;
#其次比较Metric,越小越好;如果相同;
#则全部放入路由表,形成“负载均衡”
默认情况下,对于 RIP 而言,针对任何一个路由条目
最多允许有 4 个条目同时出现。
在思科设备上, AD Metric
直连路由管理距离,0 0
静态路由管理距离,1 0
RIP路由管理距离, 120 hop
-表示的是“跳数”
即路由在传递过程中
经过的路由器的个数
RIP(思科/华为)
OSPF
ISIS
BGP
RIPv1 PK RIPv2
1、发送方式不同,1是广播,2是组播;
RIPv2组播,更加安全,因为只有加入了 224.0.0.9这个组
的设备,才可以接收 RIPv2 信息;
因为RIPv1广播时,所有加入该网段的设备,都可以接收
RIP信息,容易造成路由条目的泄露;
2、子网掩码不同,1不支持,2支持;
可以说,RIPv2支持 VLSM;但是V1不支持;
3、认证支持不同,1不支持,2支持(明文+密文)
RIPv2安全性更高一些,因为支持认证;
RIPv1是不支持任何认证功能的;
4、标记支持不同,1不支持,2支持
RIPv2支持标记(tag),从而便于实现大量路由的批量管理;
但是RIPv1不支持;
一个RIP包里包含了250个路由条目,每个路由条目是20个字节。
R1:
router rip
version 2
no auto-summary
network x.x.x.x
#x.x.x.x.表示的是一个网络范围
@该命令关注的是本地设备上的直连端口
@被 x.x.x.x 表示的网络范围覆盖住的IP地址
所在的端口,启用 RIP 协议进程:
%该端口可以发送 RIP 报文;
%该端口可以接收 RIP 报文;
该端口的IP地址的中的 网络部分
可以放入到 RIP 报文中,传输出去;
RIP:
1、启用协议
2、配置版本2
3、关闭自动汇总
4、宣告路由并且发送/接收
-宣告方式
network
#仅仅是针对直连;
#必不可少的命令
#该命令可以保证一个物理接口是否可以收发报文;
该命令决定了一个端口是否可以启用RIP协议进程;
redistribute (重分发/重发布)
#可以针对任何类型的路由(只要在路由表中有,就行)
#但是该命令仅仅负责将路由表中的路由装入到RIP
respone 报文中;
R1:
router rip
version 2
no auto-summary
network 192.168.12.0
network 10.0.0.0
!
R2:
router rip
version 2
no auto-summary
network 192.168.12.0
redistribute static /将R2本地路由表中的静态路由,强行拉入
到RIP报文中,以实现传递给R1;
ip route 100.1.1.0 255.255.255.0 192.168.23.2
!
验证命令:
show ip protocols
show ip rotue
show ip route rip
clear ip route * //清除
show ip rip datebase RIP数据库
注意:
以后在任何路由协议中,
凡是通过network宣告的路由,都称之为内部路由;
凡是通过 redistribute 宣告的路由,都称之为外部路由;
IGP:
应用于公司内部
目标:
快速的、计算一个去往目标网络“最短”“无环”路径
DV,distance vetor, 距离矢量路由协议
防环机制:
水平分割-
在一个端口上收到的路由,不会从这个端口上发送出去。
最大跳数-
RIP路由的传输的最大跳数是16;
RIP工作表
数据库-凡是宣告成功的路由,首先会进入到这个表;
进入该表的路由,才有可能被发送给其他的路由器;
另外
注意:
路由的传递方向,和数据包的传递方向,永远是相反的。
所以,路由条目中的端口,我们称之为数据包的出端口,
也可以叫路由的入端口
在路由的传递过程中,是不携带路由属性-AD;携带Metric,
并且在发送路由的时候,metric会自动加一。
show ip interface fa0/x
show ip route x.x.x.x //查看单独的一条
RIP中的手动汇总:
-在接口上做,针对的是出现路由;
-在该端口上仅仅发送汇总路由,抑制明细路由的发送;
-RIP中做完手动汇总,需要在本地设备上,手动配置一个针对该汇总路由的
"null0"路由-空路由:
为了防止数据转发环路的发生。
配置命令:
interface fas0/0
ip summary-address rip 10.10.0.0 255.255.0.0
!
ip route 10.10.0.0 255.255.0.0 null 0
RIP工作表:
1、数据表
2、路由表
RIP报文:
1、request
2、respone
RIP路由管理
-路由过滤
1、匹配路由
#标准ACL-只能匹配路由前缀;不能匹配掩码;
#扩展ACL-可以同时匹配前缀和掩码;(RIP不支持)
2、通过路由过滤工具,调用ACL;
router rip
distribute-list {acl} in|out [fas0/0]
3、验证与测试
show ip access-list
show ip protocols
需求1:
在R2上进行配置;
在发送路由时候,过滤 10.10.2.0/24,确保R3没有,R1有
需求2:
在R3上进行入向配置;
通过一个ACL条目,同时过滤掉10.10.1.0/24和10.10.2.0/24;
通过一个ACL条目,同时匹配多个路由条目时候;
1、确定回个路由条目的公共前缀;
相同的位,不变,直接写;
不同的位,变化,直接写0;
转载于:https://blog.51cto.com/13505138/2063510