上篇 BCN之路由技术(上)——我在IT培训学校的日子(13)
第十三章
热备
HSRP (cisco
专有
)
告诉主机可用路由器的方式
缺省网关,代理
ARP
ICMP
路由器发现协议
虚拟路由冗余协议
VRRP
,
IEEE
制定。
HSRP
备份组的成员
:
活跃路由器,备份路由器,虚拟路由器,其他路由器。
HSRP
虚拟
MAC
地址
:0000
。
0c
07
。
ac2f
厂商编码。总所周知的虚拟
MAC
地址。组号
HSRP
消息
:
用于决定和维护组内的路由器角色
,封装在
UDP
数据包中,使用
UDP
端口号
1985
Hello
数据包使用的目的地址是多点广播地址
224
。
0
。
0
。
2
(全部路由器)
;
生存时间
ttl
值为
1
消息类型
:
Hello
消息,政变消息,辞职消息
HSRP
消息的详细格式
:
1
字节
|
1
字节
|
1
字节
|
1
字节
|
版本
|
Op
编码
|
状态
|
HELLO
时间
|
保留时间
|
优先级
|
组
|
保留
|
认证数据
|
|||
认证数据
|
|||
虚拟
IP
地址
|
HSRP
状态
:
初始状态,学习状态,倾听状态,发言状态,备份状态,活跃状态
HSRP
计时器
:
Hello
间隔(
hello interval
)
发送
hello
数据包的时间间隔,缺省是
3
秒。
保持时间(
hold time
)
HSRP
组内的
HSRP
路由器在声明活跃路由器发生故障之前等待的时间,缺省
10
秒。
HSRP
配置
:
配置一个接口参加
HSRP
备份组
>>
配置
HSRP
优先级
>>
配置
HSRP
占先权
>>
配置
Hello
消息计时器
>>
配置
HSRP
端口跟踪。
配置路由器为
HSRP
的成员
:
router(config-if)#standby group-number ip virtual-ip-address
指定优先级
:
router(config-if)#standby group-numbery priority priority-value
配置
HSRP
的占先权
:
router(config-if)#standby group-number preempt
配置
HSRP
计时器
:
router(config-if)#standby group-number times hello-interval holdtime
配置端口跟踪
:
routerA(config-if)#standby group-number track type number interface-priority (group-number : HSRP
组号,
缺省为
0
,
Type :
被跟踪端口的类型,
Number :
被跟踪端口的接口号,
Interface-priority :
当接口失效时,
路由器的
HSRP
优先级将被降低的数值。当接口变为可用时,路由器的优先级将被增加上该数值。缺省为
10)
显示
HSRP
路由器的状态
:
routerA#show standby type-number group brief
启用调试
:
router#debug standby (
在实际网络环境启用
DEBUG
调试命令要小心,该命令可能会导致路由器资源耗尽
)
第十四章
访问控制列表
ACL
应用于路由器接口的指令列表
,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝
ACL
的工作原理
:
读取第三层及第四层包头中的信息
,
根据预先定义好的规则对包进行过滤
访问控制列表的作用
:
提供网络访问的基本安全手段,
可用于
QoS
,控制数据流量,
控制通信量。
使用命令
ip access-group
将
ACL
应用到某一个接口上
:
Router(config-if)#ip access-group access-list-number {in|out}
在接口的一个方向上,只能应用一个
access-list
允许
/
拒绝数据包通过
:
Router(config)#access-list access-list-number {permit|deny} {test conditions}
通配符
any
可代替
0
。
0
。
0
。
0 255
。
255
。
255
。
255
host
表示检查
IP
地址的所有位
基本类型的访问控制列表
:
标准访问控制列表,扩展访问控制列表。
其他种类的访问控制列表
:
基于
MAC
地址的访问控制列表,
基于时间的访问控制列表
标准访问控制列表
:
根据数据包的源
IP
地址来允许或拒绝数据包
访问控制列表号从
1
到
99
扩展访问控制列表
:
基于源和目的地址、传输层协议和应用端口号进行过滤
每个条件都必须匹配,才会施加允许或拒绝条件
使用扩展
ACL
可以实现更加精确的流量控制
访问控制列表号从
100
到
199
Eq
等于端口号
gt
大于端口号
it
小于端口号
neq
不等于端口号
命名的访问控制列表
:
允许从指定的访问列表删除单个条目,
如果添加一个条目到列表中,那么该条目被添加到列表末尾
。
创建名为
cisco
的命名访问控制列表
:
Router(config)#ip access-list extended cisco
指定一个或多个
permit
及
deny
条件
:
Router
(
config-ext-nacl
)
# deny tcp 172
。
16
。
4
。
0 0
。
0
。
0
。
255 172
。
16
。
3
。
0 0
。
0
。
0
。
255 eq 23
Router
(
config-ext-nacl
)
# permit ip any any
应用到接口
E0
的出方向
:
Router
(
config
)
#interface fastethernet 0/0
Router
(
config-if
)
#ip access-group cisco out
查看访问控制列表
:
Router#show access-list
需要注意的
:
最严格的要放在最前面,错了得全不删除。
标准的里目的近,扩展的里源近。
第十五章
NAT/PAT
NAT
的原理
:
改变
IP
包头,使目的地址、源地址或两个地址在包头中被不同地址替换
NAT
的
3
种实现方式
:
静态转换,动态转换,端口多路复用
。
NAT
的优点
节省公有合法
IP
地址
处理地址交叉
增强灵活性
安全性
NAT
的缺点
延迟增大
配置和维护的复杂性
不支持某些应用
NAT
配置步骤
:
1
、接口
IP
地址配置
2
、使用访问控制列表定义
哪些
内部主机能做
NAT
3
、决定采用什么公有地址,静态或地址池
4
、指定地址转换映射
5
、在内部和外部端口上启用
NAT
静态
NAT
配置
:
第一步:
设置外部端口
Router(config)#interface serial 0/0
Router(config-if)#ip address IP
掩码
第二步
:设置内部端口
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address IP
掩码
第三步:
在内部本地和内部合法地址之间建立静态地址转换
Router(config)#ip nat inside source static IP
掩码
Router(config)#ip nat inside source static IP
掩码
第四步:在内部和外部端口上启用
NAT
Router(config)#interface serial 0/0
Router(config-if)#ip nat outside
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
动态
NAT
配置;
第一步:
设置外部端口
IP
地址
第二步:
设置内部端口
IP
地址
(
同上
)
第三步:定义合法
IP
地址池
Router(config)#ip nat pool test0
外网的
IP network
掩码
第四步:指定网络地址转换映射
Router(config)#ip nat inside source list 1 pool test0
第五步:在内部和外部端口上启用
NAT
Router(config)#Interface serial 0/0
Router(config-if)#Ip nat outside
Router(config)#Interface fastethernet 0/0
Router(config-if)#Ip nat inside
PAT
配置
:
第一步
:设置外部端口
IP
地址
(
同上
)
第二步:
设置内部端口
IP
地址
(
同上
)
第三步:定义合法
IP
地址池
:
直接使用路由器的接口地址,不用定义地址池
第四步:指定网络地址转换映射
:
Router(config)#ip nat inside source list 1 interface serial0/0 overload
第五步:在内部和外部端口上启用
NAT (
同上
)
负载均衡配置
:
第一步:
设置外部端口
(
同上
)
第二步:设置内部端口
(
同上
)
第四步:给真实主机定义一个
NAT
地址集
Router(config)#ip nat pool real-host 10
。
1
。
1
。
1 10
。
1
。
1
。
3(
地址范围
) prefix-length 24 type rotary
第五步:设置访问控制列表和
NAT
地址集之间的映射
Router(config)#ip nat inside destination list 2 pool real-host
第六步:在内部和外部端口上启用
NAT
Router(config)#interface serial 0/0
Router(config-if)#ip nat outside
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
测试联通性验证
NAT
配置
:
show ip nat translations
show ip nat statistics
NAT
的
debug
调试
: r
uter
#
debug ip nat
S
表示
源地址
D
表示目的地址
clear ip nat translation *
|
清除
NAT
转换表中的所有条目
|
clear ip nat translation inside local-ip global-ip
|
清除包含内部转换的简单转换条目
|
clear ip nat translation outside local-ip global-ip
|
清除包含外部转换的简单转换条目
|
第十六章
网络管理协议和网络管理软件的安装与使用。
SNMP(
简单网络传输协议
)
,依赖于
UDP
数据报服务。利用
UDP
端口
161/162
端口。
版本介绍
:v1 v2 v3 (
主要版本
)
其中
SNMPv2c
应用最广泛。
管理对象库
(MIB)
包含反映设备配置和设备行为的信息,以及控制设备的操作的参数。
SNMP
的
3
类操作
:get set rap (
读
写
上报
)
NTP (network time protocol )
为交换机,路由器和工作站之间提供一种时间同步机制。
书本是还讲了
MRTG
网管软件,但是老师没有讲什么只是随便带过了,我也不知道是不是重点。不是很懂。
第十七章
网络硬件设备介绍
主要讲的就是
CISCO
的和华三的设备,
书上重点介绍了
cisco
的设备。书上的是几年前的信息了,老师和
我们说的肯定是又是更新过了的。我现在也记不清具体讲了什么了。但是学会了看产品的说明书,也知道要看产品的哪些参数。那是最重要的。需要经常到思科和华为的官网上去了解查看学习资料。
总结
:
我们
2.0BCN
两本很厚的书,感觉学下来,全部搞懂真的挺累的。不过和
CCNA
相比,
2.0BCN
的还是相差很多的,
我仔细看了
2.0
的课件和书后,总结了下
2.0
多出的和缺少的知识
:
2.0
多了
PPP
与
ADSL ××× IPv6 WLAN VoIP
三层交换
少了
: rip
其中
PPP
和三层交换在我们的提出下讲了。别的我们就没有学了。老师虽然的上课的时候常说到,但是也只是提提而已。我自己在后面看了一些内容,但是还有
VOIP
等一些东西也只是了解一下,还得好好花时间才行。
1.0
是
2004
年的书,才几年就更新了一半的知识,我们学网络的不学习怎么行啊。我一直记得那句话
:
我们一天不进步就是退步。
在写后面的知识的时候,因为忙点自己的私事,所以有些就直接从
PPT
上摘了下来,重点也都在那。其实在学的时候一天两个小时上一章的知识,真的挺难让人接受的。但是没有办法只能硬着头皮听了。课前后课后不看书是不行的。我这里写的有什么不对的和不全面的地方也希望大家提出来,早几天看见的一个朋友留的评论。真的很谢谢他提出的疑问。也许我们老师很有讲错的地方。希望正在学习的我们一起进步
!