華爲ACL
創建ACL
基本ACL - 僅僅匹配源IP
高級ACL - 可以同時匹配5元組 -
源IP、目標IP、源端口、目標端口、傳輸層協議
ID:2000-2999 | 3000-399 | 4000-4999
name:定義ACL的名字的時候,會讓我們選擇“類型”
acl name Deny-telnet 3999
rule 5 deny tcp source 192.168.12.1 0 destination 192.168.12.2 0
destination-port eq telnet
調用ACL
traffic-filter inbound/outbound acl {ID |name }
驗證ACL
display acl {id/name/all}
display user-interface //查看當前設備上的各種登錄接口注意:
ACL對設備本身發起的流量,是不起作用的;
ACL最後的默認的隱含的一條,不是拒絕所有,而是允許所有;
高級ACL,表示 拒絕所有:
rule {id} deny ip
基本ACL,表示 拒絕所有:
rule {id} deny
華爲上面的命名的ACL,如果不指定類型,默認的是“高級”ACL;
並且對於命名的ACL,系統會默認的分配一個 ID ;
在配置和調用過程中,輸入ID和name,達到的效果是相同的,
可以交替使用。
華爲設備上的 telnet 是在 “用戶模式”下使用的;
在特權/系統視圖下是無法使用的;
更改telnet的源IP地址:
telnet -a 192.168.10.254 192.168.12.2
對於華爲的設備遠程訪問,是必須需要“vty密碼”的,
並且通過 vty 進入的用戶權限,默認是0,最小權限。
爲了實現能夠通過 VTY 對設備進行遠程訪問,所以
我們得需要在 VTY 接口下面,進行用戶權限的更改,
可以基於實際的網絡需求進行。在實驗過程中,可以
直接將權限更改爲15 -
user-interface vty 0 4
user privilege level 15 ==============================================================
華爲DHCP
全局分配模式:
當服務器收到DHCP discover 之後,會去全局配置的DHCP
地址池中獲得可用的IP地址;
接口分配模式
當服務器收到DHCP discover 之後,會分配一個“網關接口”
IP地址所在的網段中的可用IP地址;
配置思路:
1、開啓 DHCP 服務;
[huawei]dhcp enable // 相當於思科中的 service dhcp ;
2、創建 DHCP 地址池;
[huawei]ip pool VLAN10
[huawei-ip-pool-vlan10]network 192.168.10.0 24 //配置 IP地址網段;
[huawei-ip-pool-vlan10]gateway-list 192.168.10.254 //配置網關IP地址;
[huawei-ip-pool-vlan10]dns-list 8.8.8.8 //配置 DNS 服務器地址
3、配置 DHCP 分配IP地址的方式;
[huawei]interface gi0/0/0 -->接收DHCP請求的端口
[huawei-gi0/0/0]dhcp select global -->表示去全局配置的
DHCP地址池獲取IP地址;
4、配置 DHCP 客戶端
將主機的IP地址獲取方式選擇“自動獲取/DHCP”;
5、驗證與測試
DHCP-Server:
display ip pool VLAN10 // 查看配置的 DHCP 地址池
display dhcp statistic // 查看DHCP統計信息
PC-1/2:
ipconfig
ping x.x.x.x
配置思路:(IP地址接口分配方式)
1、開啓DHCP服務;
2、配置DHCP分配IP地址的方式(接口分配方式)
interface gi0/0/0
ip address 192.168.10.254 255.255.255.0
dhcp select interface
->表示該端口上收到 DHCP 請求以後,會直接使用
該端口的IP地址所在網段中的其他可用的IP地址
進行對DHCP客戶端的迴應。那麼該接口下的所有
發送DHCP discover 的主機,獲得的IP地址都是
一個網段的,並且都是與該接口在同一個網段。
配置思路:(DHCP-Relay, DHCP中繼)
與思科中的 ip helper-address 功能類似,
華爲中的命令爲:
interface gi0/0/0
dhcp relay server-ip x.x.x.x
x.x.x.x 爲 DHCP 服務器的IP地址;
#gi0/0/0端口爲客戶端所在網段的網關
其他的配置步驟與思路,與思科是完全相同的。==============================================================
Connected
非C
靜態
動態
IGP:internal gateway protocol,內部網關路由協議
DV-distance vector ,距離矢量路由協議
RIP:routing information protocol
IGRP:
EIGRP: enhanced IGRP , 增強型的IGRP(DUAL:擴散更新算法)
LS-link state ,鏈路狀態路由協議 (SPF)
IS-IS:intermedia system - intermedia system
TLV(type/length/value)
CLNP/IPv4/IPv6/MAC/BPDU/VLAN
OSPFv2: IPv4 ,open shortest path first
OSPFv3: IPv6 ,
EGP:external gateway protocol,外部網關路由協議
BGP-border gateway protocol
邊界網關路由協議- ==============================================================
RIP:
公有標準協議;
位於OSI 第 7 層, 套接字: UDP 520
分爲 version(版本) 1 和 2
僅適用於小型網絡,因爲 RIP 傳遞只能穿越最多15個有效路由器(最多16個)
R1:
router rip // 啓用RIP協議;
version 2 // 配置當前運行的 RIP 爲 version 2
no auto-summary // 關閉自動彙總功能
network 10.10.1.0
network 192.168.12.0
#前面的3條,在每個路由器上都得寫;
#network後面跟的是每個路由器上的直連網絡;驗證:
show ip protocols // 查看設備上當前運行的所有的路由協議
show ip route rip //在每個路由器上查看路由表中的 RIP 路由
R1;
ping 10.10.4.4 source 10.10.1.1
任何一種類型的路由,都具備兩個基本屬性:
管理距離- AD,admin distance
表示的是路由的穩定性,取值範圍是 0 -- 255 ,
越小表示越穩定
值最大255,表示路由完全不可信,不能放入路由表
RIP-hop/跳數”
EIGRP-混雜度量值
ISIS-cost/開銷
OSPF-cost/開銷
BGP-metric
度量值- Metric,
表示的是路由器去往一個路由條目的距離,取值範圍不限/跳數
值越小越好;
注意:
路由器的路由表中存在的永遠是去往某一個目標網絡的“最穩定的”
“最短的”路徑;
當路由器去往一個目標網絡,具備多個路由條目時,會選擇
一個最好的:
#首先比較AD值,越小越好;如果相同;
#其次比較Metric,越小越好;如果相同;
#則全部放入路由表,形成“負載均衡”
默認情況下,對於 RIP 而言,針對任何一個路由條目
最多允許有 4 個條目同時出現。
在思科設備上, AD Metric
直連路由管理距離,0 0
靜態路由管理距離,1 0
RIP路由管理距離, 120 hop
-表示的是“跳數”
即路由在傳遞過程中
經過的路由器的個數RIP(思科/華爲)
OSPF
ISIS
BGP
RIPv1 PK RIPv2
1、發送方式不同,1是廣播,2是組播;
RIPv2組播,更加安全,因爲只有加入了 224.0.0.9這個組
的設備,纔可以接收 RIPv2 信息;
因爲RIPv1廣播時,所有加入該網段的設備,都可以接收
RIP信息,容易造成路由條目的泄露;
2、子網掩碼不同,1不支持,2支持;
可以說,RIPv2支持 VLSM;但是V1不支持;
3、認證支持不同,1不支持,2支持(明文+密文)
RIPv2安全性更高一些,因爲支持認證;
RIPv1是不支持任何認證功能的;
4、標記支持不同,1不支持,2支持
RIPv2支持標記(tag),從而便於實現大量路由的批量管理;
但是RIPv1不支持;
一個RIP包裏包含了250個路由條目,每個路由條目是20個字節。
R1:
router rip
version 2
no auto-summary
network x.x.x.x
x.x.x.x 必須是主類網絡的形式;
#x.x.x.x.表示的是一個網絡範圍
@該命令關注的是本地設備上的直連端口
@被 x.x.x.x 表示的網絡範圍覆蓋住的IP地址
所在的端口,啓用 RIP 協議進程:
%該端口可以發送 RIP 報文;
%該端口可以接收 RIP 報文;
該端口的IP地址的中的 網絡部分
可以放入到 RIP 報文中,傳輸出去;RIP:
1、啓用協議
2、配置版本2
3、關閉自動彙總
4、宣告路由並且發送/接收
-宣告方式
network
#僅僅是針對直連;
#必不可少的命令
#該命令可以保證一個物理接口是否可以收發報文;
該命令決定了一個端口是否可以啓用RIP協議進程;
redistribute (重分發/重發布)
#可以針對任何類型的路由(只要在路由表中有,就行)
#但是該命令僅僅負責將路由表中的路由裝入到RIP
respone 報文中;
R1:
router rip
version 2
no auto-summary
network 192.168.12.0
network 10.0.0.0
!
R2:
router rip
version 2
no auto-summary
network 192.168.12.0
redistribute static /將R2本地路由表中的靜態路由,強行拉入
到RIP報文中,以實現傳遞給R1;
ip route 100.1.1.0 255.255.255.0 192.168.23.2
!
驗證命令:
show ip protocols
show ip rotue
show ip route rip
clear ip route * //清除
show ip rip datebase RIP數據庫
注意:
以後在任何路由協議中,
凡是通過network宣告的路由,都稱之爲內部路由;
凡是通過 redistribute 宣告的路由,都稱之爲外部路由;
IGP:
應用於公司內部
目標:
快速的、計算一個去往目標網絡“最短”“無環”路徑
DV,distance vetor, 距離矢量路由協議
防環機制:
水平分割-
在一個端口上收到的路由,不會從這個端口上發送出去。
最大跳數-
RIP路由的傳輸的最大跳數是16;
RIP工作表
數據庫-凡是宣告成功的路由,首先會進入到這個表;
進入該表的路由,纔有可能被髮送給其他的路由器;
另外
注意:
路由的傳遞方向,和數據包的傳遞方向,永遠是相反的。
所以,路由條目中的端口,我們稱之爲數據包的出端口,
也可以叫路由的入端口
在路由的傳遞過程中,是不攜帶路由屬性-AD;攜帶Metric,
並且在發送路由的時候,metric會自動加一。
show ip interface fa0/x
show ip route x.x.x.x //查看單獨的一條
RIPv2的報文結構(與V1的不同點)
1/3層不同:是組播-224.0.0.9
2、RIP報文內容不同
-多了一個tag,從而可以實現路由的批量管理
-多了一個掩碼,從而可以實現支持VLSM,從可以實現關閉自動彙總
-多了一個next-hop,從而可以解決數據轉發的次優路徑問題
-可以將第一個路由條目,當做認證字段來使用;支持明文和密文
兩種加密認證方式
自動彙總:
-什麼協議纔有
距離矢量或者路徑矢量路由協議,才具有自動彙總特性
當然,是可以基於網絡需求,進行關閉。
-什麼時候發生
在發送路由的時候,在主類網絡邊界,會進行自動彙總。
彙總成主類網絡的形式,使用的是默認的子網掩碼;
-結果
最終,在端口,僅會發送彙總路由,不會發送明細路由;
(彙總本質-發彙總,抑制明細)
RIP中的手動彙總:
-在接口上做,針對的是出現路由;
-在該端口上僅僅發送彙總路由,抑制明細路由的發送;
-RIP中做完手動彙總,需要在本地設備上,手動配置一個針對該彙總路由的
"null0"路由-空路由:
爲了防止數據轉發環路的發生。
配置命令:
interface fas0/0
ip summary-address rip 10.10.0.0 255.255.0.0
!
ip route 10.10.0.0 255.255.0.0 null 0
RIP工作表:
1、數據表
2、路由表
RIP報文:
1、request
2、respone
RIP路由管理
-路由過濾
1、匹配路由
#標準ACL-只能匹配路由前綴;不能匹配掩碼;
#擴展ACL-可以同時匹配前綴和掩碼;(RIP不支持)
2、通過路由過濾工具,調用ACL;
router rip
distribute-list {acl} in|out [fas0/0]
3、驗證與測試
show ip access-list
show ip protocols
需求1:
在R2上進行配置;
在發送路由時候,過濾 10.10.2.0/24,確保R3沒有,R1有
需求2:
在R3上進行入向配置;
通過一個ACL條目,同時過濾掉10.10.1.0/24和10.10.2.0/24;
通過一個ACL條目,同時匹配多個路由條目時候;
1、確定回個路由條目的公共前綴;
相同的位,不變,直接寫;
不同的位,變化,直接寫0;