注册 | 登录 忘记密码? 51cto首页 | 博客 | 论坛 | 招聘
热点文章 WEB3.0来了,能知道100米..
 帮助
《案例精解企业级网络构建》赠书活动开始啦!  最新活动:“Web安全大家谈”有奖征文 博主的更多文章>>

BCN之路由技术(下)——我在IT培训学校的日子(14) 

2007-08-09 23:56:48
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://blkcto.blog.51cto.com/196966/37683
上篇 BCN之路由技术(上)——我在IT培训学校的日子(13) 
 
第十三章 热备HSRP (cisco 专有 )
 
告诉主机可用路由器的方式
缺省网关,代理ARP
ICMP路由器发现协议
虚拟路由冗余协议VRRP IEEE制定。
HSRP备份组的成员:
活跃路由器,备份路由器,虚拟路由器,其他路由器。
HSRP虚拟MAC地址:00000c07ac2f  厂商编码。总所周知的虚拟MAC地址。组号
HSRP消息: 用于决定和维护组内的路由器角色 ,封装在UDP数据包中,使用UDP端口号1985
Hello数据包使用的目的地址是多点广播地址224002(全部路由器); 生存时间ttl值为1
消息类型:
Hello消息,政变消息,辞职消息 
HSRP消息的详细格式:
1字节
1字节
1字节
1字节
版本
Op编码
状态
HELLO时间
保留时间
优先级
保留
认证数据
认证数据
虚拟IP地址
HSRP状态:
初始状态,学习状态,倾听状态,发言状态,备份状态,活跃状态
HSRP计时器:
Hello间隔(hello interval
发送hello数据包的时间间隔,缺省是3秒。
保持时间(hold time
HSRP组内的HSRP路由器在声明活跃路由器发生故障之前等待的时间,缺省10秒。
HSRP配置:
配置一个接口参加HSRP备份组>>配置HSRP优先级>>配置HSRP占先权>>配置Hello消息计时器>>配置HSRP端口跟踪。
配置路由器为HSRP的成员: router(config-if)#standby group-number ip virtual-ip-address
指定优先级: router(config-if)#standby  group-numbery  priority  priority-value
配置HSRP的占先权: router(config-if)#standby group-number preempt
配置HSRP计时器: router(config-if)#standby group-number times hello-interval holdtime
配置端口跟踪: routerA(config-if)#standby group-number track type number interface-priority  (group-number : HSRP组号, 缺省为0 Type : 被跟踪端口的类型, Number : 被跟踪端口的接口号,Interface-priority : 当接口失效时, 路由器的HSRP优先级将被降低的数值。当接口变为可用时,路由器的优先级将被增加上该数值。缺省为10)
显示HSRP路由器的状态 : routerA#show standby type-number group brief
启用调试:   router#debug standby (在实际网络环境启用DEBUG调试命令要小心,该命令可能会导致路由器资源耗尽)
 
第十四章 访问控制列表ACL
应用于路由器接口的指令列表 ,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝
ACL的工作原理 :
读取第三层及第四层包头中的信息 根据预先定义好的规则对包进行过滤
访问控制列表的作用: 提供网络访问的基本安全手段, 可用于QoS,控制数据流量, 控制通信量。
使用命令ip access-groupACL应用到某一个接口上: Router(config-if)#ip access-group access-list-number {in|out}  在接口的一个方向上,只能应用一个access-list
允许/拒绝数据包通过: Router(config)#access-list  access-list-number {permit|deny}  {test  conditions}
通配符any可代替0000  255255255255
host表示检查IP地址的所有位
基本类型的访问控制列表:标准访问控制列表扩展访问控制列表。 
其他种类的访问控制列表:基于MAC地址的访问控制列表, 基于时间的访问控制列表
标准访问控制列表:
根据数据包的源IP地址来允许或拒绝数据包   访问控制列表号从199
扩展访问控制列表: 基于源和目的地址、传输层协议和应用端口号进行过滤
每个条件都必须匹配,才会施加允许或拒绝条件
使用扩展ACL可以实现更加精确的流量控制 
访问控制列表号从100199
Eq 等于端口号    gt 大于端口号 it小于端口号  neq 不等于端口号
 
命名的访问控制列表:
允许从指定的访问列表删除单个条目, 如果添加一个条目到列表中,那么该条目被添加到列表末尾
 
创建名为cisco的命名访问控制列表: Router(config)#ip access-list  extended  cisco
指定一个或多个permitdeny条件 : Routerconfig-ext-nacl# deny tcp 1721640 000255 1721630 000255 eq  23
Routerconfig-ext-nacl# permit ip  any  any
应用到接口E0的出方向: Routerconfig#interface  fastethernet  0/0
Routerconfig-if#ip access-group  cisco out
查看访问控制列表: Router#show access-list
 
需要注意的:最严格的要放在最前面,错了得全不删除。     标准的里目的近,扩展的里源近。
 
 
第十五章 NAT/PAT
NAT的原理:
改变IP包头,使目的地址、源地址或两个地址在包头中被不同地址替换
NAT3种实现方式:
静态转换,动态转换,端口多路复用
NAT的优点
节省公有合法IP地址
处理地址交叉
增强灵活性
安全性
NAT的缺点
延迟增大
配置和维护的复杂性
不支持某些应用
NAT配置步骤:
1、接口IP地址配置
2、使用访问控制列表定义哪些内部主机能做NAT
3、决定采用什么公有地址,静态或地址池
4、指定地址转换映射
5、在内部和外部端口上启用NAT
静态NAT配置:
第一步: 设置外部端口
Router(config)#interface serial 0/0
Router(config-if)#ip address IP  掩码
第二步 :设置内部端口
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address IP  掩码
第三步: 在内部本地和内部合法地址之间建立静态地址转换
Router(config)#ip nat inside source static  IP  掩码
Router(config)#ip nat inside source static  IP  掩码
第四步:在内部和外部端口上启用NAT
Router(config)#interface serial 0/0
Router(config-if)#ip nat outside
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
动态NAT配置;
第一步: 设置外部端口IP地址
第二步: 设置内部端口IP地址
(同上)
第三步:定义合法IP地址池   
Router(config)#ip nat pool test0 外网的IP  network  掩码
第四步:指定网络地址转换映射
Router(config)#ip nat inside source list 1 pool  test0
第五步:在内部和外部端口上启用NAT
Router(config)#Interface serial 0/0
Router(config-if)#Ip nat outside
Router(config)#Interface fastethernet 0/0
Router(config-if)#Ip nat inside
 
PAT配置:
第一步 :设置外部端口IP地址  (同上)
第二步: 设置内部端口IP地址  (同上)
第三步:定义合法IP地址池:
直接使用路由器的接口地址,不用定义地址池
第四步:指定网络地址转换映射:
Router(config)#ip nat inside source list 1 interface serial0/0 overload
第五步:在内部和外部端口上启用NAT (同上)
负载均衡配置:
第一步: 设置外部端口(同上)
第二步:设置内部端口(同上)
第四步:给真实主机定义一个NAT地址集
Router(config)#ip nat pool real-host 10111 10113(地址范围) prefix-length 24 type rotary
第五步:设置访问控制列表和NAT地址集之间的映射
Router(config)#ip nat inside destination list 2 pool real-host
第六步:在内部和外部端口上启用NAT
Router(config)#interface serial 0/0
Router(config-if)#ip nat outside
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
 
测试联通性验证NAT配置:
show ip nat translations
show ip nat  statistics
NATdebug调试:  ruterdebug ip nat
S表示 源地址  D表示目的地址
 
clear ip nat translation *
清除NAT转换表中的所有条目
clear ip nat translation inside local-ip global-ip
清除包含内部转换的简单转换条目
clear ip nat translation outside local-ip global-ip
清除包含外部转换的简单转换条目
 
 
第十六章 网络管理协议和网络管理软件的安装与使用。
SNMP(简单网络传输协议),依赖于UDP数据报服务。利用UDP端口161/162端口。
版本介绍:v1  v2  v3 (主要版本)其中SNMPv2c应用最广泛。
管理对象库(MIB)包含反映设备配置和设备行为的信息,以及控制设备的操作的参数。
SNMP3类操作:get set rap ( 上报)
NTP (network   time  protocol  )为交换机,路由器和工作站之间提供一种时间同步机制。
书本是还讲了MRTG网管软件,但是老师没有讲什么只是随便带过了,我也不知道是不是重点。不是很懂。
 
 
第十七章 网络硬件设备介绍
主要讲的就是CISCO 的和华三的设备, 书上重点介绍了cisco的设备。书上的是几年前的信息了,老师和 我们说的肯定是又是更新过了的。我现在也记不清具体讲了什么了。但是学会了看产品的说明书,也知道要看产品的哪些参数。那是最重要的。需要经常到思科和华为的官网上去了解查看学习资料。