第十三章 热备HSRP (cisco 专有 )
告诉主机可用路由器的方式
缺省网关,代理ARP
ICMP路由器发现协议
虚拟路由冗余协议VRRP ,IEEE制定。
HSRP备份组的成员:
活跃路由器,备份路由器,虚拟路由器,其他路由器。
HSRP虚拟MAC地址:0000。0c 07。ac2f 厂商编码。总所周知的虚拟MAC地址。组号
HSRP消息: 用于决定和维护组内的路由器角色 ,封装在UDP数据包中,使用UDP端口号1985
Hello数据包使用的目的地址是多点广播地址224。0。0。2(全部路由器); 生存时间ttl值为1
消息类型:
Hello消息,政变消息,辞职消息
HSRP消息的详细格式:
|
1字节 |
1字节 |
1字节 |
1字节 |
|
版本 |
Op编码 |
状态 |
HELLO时间 |
|
保留时间 |
优先级 |
组 |
保留 |
|
认证数据 | |||
|
认证数据 | |||
|
虚拟IP地址 | |||
HSRP状态:
初始状态,学习状态,倾听状态,发言状态,备份状态,活跃状态
HSRP计时器:
Hello间隔(hello interval)
发送hello数据包的时间间隔,缺省是3秒。
保持时间(hold time)
HSRP组内的HSRP路由器在声明活跃路由器发生故障之前等待的时间,缺省10秒。
HSRP配置:
配置一个接口参加HSRP备份组>>配置HSRP优先级>>配置HSRP占先权>>配置Hello消息计时器>>配置HSRP端口跟踪。
配置路由器为HSRP的成员: router(config-if)#standby group-number ip virtual-ip-address
指定优先级: router(config-if)#standby group-numbery priority priority-value
配置HSRP的占先权: router(config-if)#standby group-number preempt
配置HSRP计时器: router(config-if)#standby group-number times hello-interval holdtime
配置端口跟踪: routerA(config-if)#standby group-number track type number interface-priority (group-number : HSRP组号, 缺省为0 , Type : 被跟踪端口的类型, Number : 被跟踪端口的接口号,Interface-priority : 当接口失效时, 路由器的HSRP优先级将被降低的数值。当接口变为可用时,路由器的优先级将被增加上该数值。缺省为10)
显示HSRP路由器的状态 : routerA#show standby type-number group brief
启用调试: router#debug standby (在实际网络环境启用DEBUG调试命令要小心,该命令可能会导致路由器资源耗尽)
第十四章 访问控制列表ACL
应用于路由器接口的指令列表 ,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝
ACL的工作原理 :
读取第三层及第四层包头中的信息 , 根据预先定义好的规则对包进行过滤
访问控制列表的作用: 提供网络访问的基本安全手段, 可用于QoS,控制数据流量, 控制通信量。
使用命令ip access-group将ACL应用到某一个接口上: Router(config-if)#ip access-group access-list-number {in|out} 在接口的一个方向上,只能应用一个access-list
允许/拒绝数据包通过: Router(config)#access-list access-list-number {permit|deny} {test conditions}
通配符any可代替0。0。0。0 255。255。255。255
host表示检查IP地址的所有位
基本类型的访问控制列表:标准访问控制列表,扩展访问控制列表。
其他种类的访问控制列表:基于MAC地址的访问控制列表, 基于时间的访问控制列表
标准访问控制列表:
根据数据包的源IP地址来允许或拒绝数据包 访问控制列表号从1到99
扩展访问控制列表: 基于源和目的地址、传输层协议和应用端口号进行过滤
每个条件都必须匹配,才会施加允许或拒绝条件
使用扩展ACL可以实现更加精确的流量控制
访问控制列表号从100到199
Eq 等于端口号 gt 大于端口号 it小于端口号 neq 不等于端口号
命名的访问控制列表:
允许从指定的访问列表删除单个条目, 如果添加一个条目到列表中,那么该条目被添加到列表末尾 。
创建名为cisco的命名访问控制列表: Router(config)#ip access-list extended cisco
指定一个或多个permit及deny条件 : Router(config-ext-nacl)# deny tcp 172。16。4。0 0。0。0。255 172。16。3。0 0。0。0。255 eq 23
Router(config-ext-nacl)# permit ip any any
应用到接口E0的出方向: Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group cisco out
查看访问控制列表: Router#show access-list
需要注意的:最严格的要放在最前面,错了得全不删除。 标准的里目的近,扩展的里源近。
第十五章 NAT/PAT
NAT的原理:
改变IP包头,使目的地址、源地址或两个地址在包头中被不同地址替换
NAT的3种实现方式:
静态转换,动态转换,端口多路复用 。
NAT的优点
节省公有合法IP地址
处理地址交叉
增强灵活性
安全性
NAT的缺点
延迟增大
配置和维护的复杂性
不支持某些应用
NAT配置步骤:
1、接口IP地址配置
2、使用访问控制列表定义哪些内部主机能做NAT
3、决定采用什么公有地址,静态或地址池
4、指定地址转换映射
5、在内部和外部端口上启用NAT
静态NAT配置:
第一步: 设置外部端口
Router(config)#interface serial 0/0
Router(config-if)#ip address IP 掩码
第二步 :设置内部端口
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address IP 掩码
第三步: 在内部本地和内部合法地址之间建立静态地址转换
Router(config)#ip nat inside source static IP 掩码
Router(config)#ip nat inside source static IP 掩码
第四步:在内部和外部端口上启用NAT
Router(config)#interface serial 0/0
Router(config-if)#ip nat outside
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
动态NAT配置;
第一步: 设置外部端口IP地址
第二步: 设置内部端口IP地址
(同上)
第三步:定义合法IP地址池
Router(config)#ip nat pool test0 外网的IP network 掩码
第四步:指定网络地址转换映射
Router(config)#ip nat inside source list 1 pool test0
第五步:在内部和外部端口上启用NAT
Router(config)#Interface serial 0/0
Router(config-if)#Ip nat outside
Router(config)#Interface fastethernet 0/0
Router(config-if)#Ip nat inside
PAT配置:
第一步 :设置外部端口IP地址 (同上)
第二步: 设置内部端口IP地址 (同上)
第三步:定义合法IP地址池:
直接使用路由器的接口地址,不用定义地址池
第四步:指定网络地址转换映射:
Router(config)#ip nat inside source list 1 interface serial0/0 overload
第五步:在内部和外部端口上启用NAT (同上)
负载均衡配置:
第一步: 设置外部端口(同上)
第二步:设置内部端口(同上)
第四步:给真实主机定义一个NAT地址集
Router(config)#ip nat pool real-host 10。1。1。1 10。1。1。3(地址范围) prefix-length 24 type rotary
第五步:设置访问控制列表和NAT地址集之间的映射
Router(config)#ip nat inside destination list 2 pool real-host
第六步:在内部和外部端口上启用NAT
Router(config)#interface serial 0/0
Router(config-if)#ip nat outside
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
测试联通性验证NAT配置:
show ip nat translations
show ip nat statistics
NAT的debug调试: ruter#debug ip nat
S表示 源地址 D表示目的地址
|
clear ip nat translation * |
清除NAT转换表中的所有条目 |
|
clear ip nat translation inside local-ip global-ip |
清除包含内部转换的简单转换条目 |
|
clear ip nat translation outside local-ip global-ip |
清除包含外部转换的简单转换条目 |
第十六章 网络管理协议和网络管理软件的安装与使用。
SNMP(简单网络传输协议),依赖于UDP数据报服务。利用UDP端口161/162端口。
版本介绍:v1 v2 v3 (主要版本)其中SNMPv2c 应用最广泛。
管理对象库(MIB)包含反映设备配置和设备行为的信息,以及控制设备的操作的参数。
SNMP的3类操作:get set rap (读 写 上报)
NTP (network time protocol )为交换机,路由器和工作站之间提供一种时间同步机制。
书本是还讲了MRTG网管软件,但是老师没有讲什么只是随便带过了,我也不知道是不是重点。不是很懂。
第十七章 网络硬件设备介绍
主要讲的就是CISCO 的和华三的设备, 书上重点介绍了cisco的设备。书上的是几年前的信息了,老师和 我们说的肯定是又是更新过了的。我现在也记不清具体讲了什么了。但是学会了看产品的说明书,也知道要看产品的哪些参数。那是最重要的。需要经常到思科和华为的官网上去了解查看学习资料。
总结:
我们2.0BCN两本很厚的书,感觉学下来,全部搞懂真的挺累的。不过和CCNA相比, 2.0BCN的还是相差很多的, 我仔细看了2.0的课件和书后,总结了下2.0多出的和缺少的知识:
2.0多了 PPP与ADSL *** IPv6 WLAN VoIP 三层交换
少了: rip
其中PPP和三层交换在我们的提出下讲了。别的我们就没有学了。老师虽然的上课的时候常说到,但是也只是提提而已。我自己在后面看了一些内容,但是还有VOIP 等一些东西也只是了解一下,还得好好花时间才行。1.0是2004年的书,才几年就更新了一半的知识,我们学网络的不学习怎么行啊。我一直记得那句话:我们一天不进步就是退步。 在写后面的知识的时候,因为忙点自己的私事,所以有些就直接从PPT上摘了下来,重点也都在那。其实在学的时候一天两个小时上一章的知识,真的挺难让人接受的。但是没有办法只能硬着头皮听了。课前后课后不看书是不行的。我这里写的有什么不对的和不全面的地方也希望大家提出来,早几天看见的一个朋友留的评论。真的很谢谢他提出的疑问。也许我们 老师很有讲错的地方。希望正在学习的我们一起进步!