ACL

实验 (路由器要使用AR2220否则配置不上acl):

交换机当成傻瓜交换机来用.两个下端的路由 网关配置.254
配置一下缺省路由,让两个网段能通信.
R1
ip route-s 0.0.0.0 0 12.1.1.2
R2
ip route-s 0.0.0.0 0 12.1.1.1
这时pc应该就可以相互通信了.
接下来我们开始做ACL的实验,让一部分pc能访问服务器,一部分pc不能访问服务器.我们现在做的是简单的使用访问控制.后期还有匹配的功能.

我们现在要做拒绝pc访问服务器.

acl 2000 2000到2999
rule deny source 192.168.10.1 0 deny表示拒绝.source是访问的源地址.掩码0表示0.0.0.0 是用来匹配的.用0表示精确匹配.用255表示允许任意值.我们可以匹配精确网址.也可以匹配某一个网段.
int gi0/0/1 traffic-filter inbound acl 2000 然后我们在相应的进入接口 调用这条acl规则,使其生效!
重要提示: 这里的 inbound指的是入方向.还有一个方向outbound 出方向.入指的是从路由进来的时候使用规则.出指的是从后端往出走的时候使用的规则.方向的问题很重要,第一是看你的acl怎么写的,然后要看在哪个接口调用!
这样配置的结果是:路由器R2,再接到源地址为 192.168.10.1 的报文时会直接丢弃.
配置好后查看一下:

rule 5 deny source... 这里面的5是自动生成的,执行的优先等级.我们也可以再设置的时候手动指定优先等级的.自动的级别的步长是5,每次增加5.是为了方便手动指定时在中间插入.
现在我们就完成了:pc1不可以与server通信,但是其他的都可以访问.
下面是acl高级应用的实验:


我们先把上个实验的acl2000 undo掉
int gi0/0/1
undo traffice-filter inbound 这里直接把几口调用acl2000 undo 掉就可以了.设置的acl可以不管他 因为没用调用 不生效.
然后我们用高级的3000段的acl:拒绝pc1和pc2 ping server1 ,但是允许访问http
acl 3000
rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0 deny:拒绝 icmp:协议 source:源 然后是匹配的地址, destination:目标网段 然后网址精确匹配.
int gi0/0/1 traffic-filter inbound acl 3000 然后我们开始调用刚才设定的规则.
到这里设置就完成了 .

实验三:

先去掉刚才的规则int gi0/0/1 undo traffic-filter inibound
然后我们配置新的:
acl 3001
rule deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port eq telnet 拒绝tcp下的 telnet(23)
int gi0/0/1
traffic-filter inbound acl 3001 在接口中调用 acl规则.
测试自己做.

重要注意:acl有四个注意很重要

思科之类是默认拒绝所有.

考试题:

答案 B D

答案 B

NAT 网络地址转换技术 (Network address Translation)

搭建实验:


出口路由器的 pc端就是我们常说的LAN , 出口端就是WAN
我们按照图配置好实验环境,其中运营山路由最后再配置一个环回接口用来测试. int loo 0 ip add 9.9.9.9 24
再使用的时候我们先很乱 可以在路由内给接口配置描述信息. 这样方便查找.
int gi0/0/0 description text text 为字符串 不超过242个 标准工程是必须有这个的.
在现实中,运营商给我的公网地址不可能是掩码24的 一般是掩码是29,也就是给了2的3次方减2个,然后运营上的接口用一个 .
我们为了贴近实验 把出口的wan地址更改一下
int gi0/0/1 ip add 12.1.1.1 29
然后把运营商的接口也改一下 用本网段可用地址的最后一个.
[R2]int gi0/0/0 ip add 12.1.1.6 29

内网的数据从出口路由出去,运营商的路由会直接丢弃的,因为没有nat 源地址是内网地址.
先给我们的出口路由器配一个路由 把所有访问外网的数据交给上级路由.
ip route-s 0.0.0.0 0 12.1.1.6
基础设置结束.
NAT 分几种: 静态NAT static NAT 一对一 ,一一映射,一个私网地址对应一个公网地址,外网的用户可以访问内网的主机.
下面我们开始配置.
global:全局公网地址
local:内网私网地址
inside:内网内部
outside:外部
在路由的出口配置
int gi 0/0/1
nat static global 12.1.1.2 inside 192.168.31.2 将私网地址31.2和外网地址12.1.1.2 做一对一的映射(原地址是31.2 在出去的时候就会被转换成为12.1.1.2)

此时就可以ping通9.9.9.9了,9.9.9.9是看不到pc1的内网网段的 只是在与出口路由器发通信.
我们可在路由器中查询到ping包的映射关系过程:dis nat session protocol icmp

这样我们就查看到了地址转换的过程(这是缓存查看, ping停止后就看不到了.)
这样情况下 服务器访问pc也只能访问到路由的外网ip,所以nat还有一定的安全隔离作用.那么我们访问网站的服务器地址他会是陪在服务器上的么? 肯定不是的!是服务器前面的防火墙设备然后做了nat转换,我们并不清楚服务器的具体配置和内同.
这种nat的缺点也很明显,只能一对一.内网有多个pc是没办法实现都上网的!
所以我们有了第二种NAT
NAT第二种方式 Easy ip:可以允许多个私网地址转换成一个公网ip,企业目前这种用的最多.很常用.
我们把以前那条映射去掉.
int gi0/0/1 undo nat static global 12.1.1.2 inside 192.168.31.2
下面我们开始设置easy ip:
先写一条acl, 是用来匹配内网私网的范围的.不是做访问控制用的.
acl 2000
rule permit source 192.168.31.0 0.0.0.255
注意:acl 用来做匹配范围时,没有默认隐含允许所有规则.所以要写permit
int gi0/0/1 进入路由出去的接口
nat outbound 2000 2000指的是acl表号,匹配的范围,没有写公网地址是因为会默认使用本接口的外网地址.
原理:内网的私网地址出包时转换成公网接口gi0/0/1的当的ip地址.
此时 31.0的内网网段就都可以访问9.9.9.9了

问题:路由后面的pc同时上网,服务器给路由回包时,路由怎么知道要把数据转换给内网的哪个IP呢?
答:包在出去的时候 路由器会查看嵌入在包里面的识别号来判断的. 这个是缓存表,一段时间不用就会收回.

NAT 第三种 server NAT :可以将某服务器的端口映射出去(非常安全.)
我们先去掉路由用原有配置:(略)
我们在私网内部加一个服务器 来做实验.
在gi0/0/1(出口下)
nat server protocol tcp global 12.1.1.4 www inside 192.168.31.254 www 仅仅将服务器的80端口 映射成公网地址的80端口.外网的服务器访问时只访问=12.1.1.4 的80端口就可以 了.
这种比一堆一的优点就是 一堆一将全部端口映射出去,这种直映射指定的端口 更加安全.
注意:内外网的端口可以不一样的. 进来是81到内网边80

广域网链路 PPP, 广域网链路是二层封装,共有三种.PPP,HDLC,FR帧中继

PPPOE就是PPP得一种延申方式.即工作在以太网上的ppp
二层最常见的是mac但是仅限于以太网,非以太网可能就会是ppp

串型口长这样:

这种线可以用作远距离传输.
实验如下:每个路由器在接上串型接口. 然后用串口线连接串口.

serial4/0/0. 网段为12.1.1.0/24
int s4/0/0 进入 s4串口
ip address 12.1.1.1 24
创建后默认会有,link-protocol ppp 先不用管.
两个路由器都设置好后 可以ping通 然后我们抓包查看.
发现二层就是ppp,ppp是点到点的传输.有一个特性,就是可以对二层的链路做认证.而正常的以太网是做不到.

ppp的链路认证:1. pap认证(明文传输,两次握手), 2. chap认证.
二层控制可以更提前做认证.也就是如果认证不通过,连交换机都不让你连. 这个是路由器达不到的.
pppoe 宽带拨号就是把ppp的pap认证用在了以太网络上.下图中三层往上.

加下来我们配置一个pap

R2(服务端)

不拨号通不了,拨号就能ping通了.在查询接口状态的时候,如果不认证接口状态 的协议口就是down.
pap认证的缺点显而易见,就是他是明文的 不安全.

接下来我们来看 chap认证.三次握手.密码密文.

ppp 是广域网.数据穿越运营商 容易发生危险 所以要加密.

与pap的变动很小~ 仔细看下.
undo ppp authentication-mode 先把pap认证取消
ppp authentication-mode chap开启chap认证.
然后我们客户端去连接.
undo ppp pap local-user先取消掉上面哪个.
然后用新的验证方式
ppp chap user 用户名
pppchap passwod 密码
完成 这次我们抓包试试.

广域网链路:HDLC ,FR(帧中继.)
华为默认的封装是ppp封装,我们可以在接口下改为hdlc封装link-protocol hdlc

一条链路两端的封装方式必须一致.所以两面都要改.
然后我们抓包,方式改为hdlc 可以抓到如下包(思科最先研发的.):

华为华三设备默认封装ppp,而思科设备默认是hdlc这个在设备混用的时候要注意.

广域网链路:FR frame-relay 帧中继.用的不多了.现在都直专线了.
ensp中找一个帧中继交换机 FRSW,云彩里面.要设置,不是以太网设备.只能连接串行接口.



串口才可以更改封装方式.以太网是不行的

链路聚合.端口聚合 端口捆绑
之前的冗余做法是只有一根线在用,如果一根线断掉了 零一更启用.如果两根线同时启用有广播包就会来回广播产生交换机环路,如果多了就叫广播风暴.
如果我们把两个线合并为一个端口.那么就叫可以解决这个问题了增加网络带宽的同时还提高了冗余性!.



在未配链路聚合时候 查看下两端交换机哪条线再用?discarding 遗弃 ,forwarding 转发.


这次再查看

另外一种查看看

VRRP 冗余协议. 网关冗余协议. 共有技术.一般用再核心交换机,或者主路由.用作冗余备份.

在网络出口的地方我们配直两台三层交换机或者路由做为冗余,vlan 的网关比如是192.168.1.1,但是我们两台设备都不配置这两个网关,我们配置同一网段的其他网关.把真正的网关配置在两台路由器中间的虚拟设备上,也就是两台设备都设置一个虚拟的路由,然后设置一个作为主路由 ,这样来做到冗余和备份.

开始配置.

vrrp:
核心下联用户的接口.主master
int e0/0/0
vrrp vrid1 virtual-ip 192.168.10.1 vrid 虚拟路由器编号 1-255
两个都这样设置.
设置优先级.默认都是100,我们调高就行了.数字越大越优先.
vrrp vrid 1 priority 105 这样就优先了


查看详细信息

两个路由是如何知道自己和对方路由的优先级呢?路由会每隔几秒向下发送vrrp报文.
主路由发送vrrp报文,目标是 组播地址.因为路由器可以有很多的冗余.可能会很多.如果发单播会发送很多次.
在vrrp高层部分 会携带vrrp很多的参数,包含优先级.
那副路由怎么知道主路由什么时候坏掉的呢.大概两秒钟发一次vrrp报文,如果2.5倍时间没收到.就认为主路由出问题,开始抢占主路由.

上面举的例子是下端出现问题,那么主路由的上联端口出现问题呢?vrrp报文可以正常发送,就会导致不切换到被用路由,这样就会出问题.于是出现这种机制:跟踪主路由上联接口的状态,当发现上联口down时候,主路由自动将优先级降低 10 :在下联端口配置track int gi0/0/1track 监督. 这样配置后 就可以达到上面的效果.如果接口又好用了,那么优先级会加回去.

为了防止 下端用户里也出现配置vrrp的用户,我们可以给vrrp配置密码,没有密码就加入不到vrrp组.两面路由器要配置一样的密码.使用下面指令:
vrrp vrid 1 authentication-mode simple plain 密码 配置认证简单明文密码.