第十三章 熱備HSRP (cisco 專有 )
告訴主機可用路由器的方式
缺省網關,代理ARP
ICMP路由器發現協議
虛擬路由冗餘協議VRRP ,IEEE制定。
HSRP備份組的成員:
活躍路由器,備份路由器,虛擬路由器,其他路由器。
HSRP虛擬MAC地址:0000。0c 07。ac2f 廠商編碼。總所周知的虛擬MAC地址。組號
HSRP消息: 用於決定和維護組內的路由器角色 ,封裝在UDP數據包中,使用UDP端口號1985
Hello數據包使用的目的地址是多點廣播地址224。0。0。2(全部路由器); 生存時間ttl值爲1
消息類型:
Hello消息,政變消息,辭職消息
HSRP消息的詳細格式:
|
1字節 |
1字節 |
1字節 |
1字節 |
|
版本 |
Op編碼 |
狀態 |
HELLO時間 |
|
保留時間 |
優先級 |
組 |
保留 |
|
認證數據 | |||
|
認證數據 | |||
|
虛擬IP地址 | |||
HSRP狀態:
初始狀態,學習狀態,傾聽狀態,發言狀態,備份狀態,活躍狀態
HSRP計時器:
Hello間隔(hello interval)
發送hello數據包的時間間隔,缺省是3秒。
保持時間(hold time)
HSRP組內的HSRP路由器在聲明活躍路由器發生故障之前等待的時間,缺省10秒。
HSRP配置:
配置一個接口參加HSRP備份組>>配置HSRP優先級>>配置HSRP佔先權>>配置Hello消息計時器>>配置HSRP端口跟蹤。
配置路由器爲HSRP的成員: router(config-if)#standby group-number ip virtual-ip-address
指定優先級: router(config-if)#standby group-numbery priority priority-value
配置HSRP的佔先權: router(config-if)#standby group-number preempt
配置HSRP計時器: router(config-if)#standby group-number times hello-interval holdtime
配置端口跟蹤: routerA(config-if)#standby group-number track type number interface-priority (group-number : HSRP組號, 缺省爲0 , Type : 被跟蹤端口的類型, Number : 被跟蹤端口的接口號,Interface-priority : 當接口失效時, 路由器的HSRP優先級將被降低的數值。當接口變爲可用時,路由器的優先級將被增加上該數值。缺省爲10)
顯示HSRP路由器的狀態 : routerA#show standby type-number group brief
啓用調試: router#debug standby (在實際網絡環境啓用DEBUG調試命令要小心,該命令可能會導致路由器資源耗盡)
第十四章 訪問控制列表ACL
應用於路由器接口的指令列表 ,用於指定哪些數據包可以接收轉發,哪些數據包需要拒絕
ACL的工作原理 :
讀取第三層及第四層包頭中的信息 , 根據預先定義好的規則對包進行過濾
訪問控制列表的作用: 提供網絡訪問的基本安全手段, 可用於QoS,控制數據流量, 控制通信量。
使用命令ip access-group將ACL應用到某一個接口上: Router(config-if)#ip access-group access-list-number {in|out} 在接口的一個方向上,只能應用一個access-list
允許/拒絕數據包通過: Router(config)#access-list access-list-number {permit|deny} {test conditions}
通配符any可代替0。0。0。0 255。255。255。255
host表示檢查IP地址的所有位
基本類型的訪問控制列表:標準訪問控制列表,擴展訪問控制列表。
其他種類的訪問控制列表:基於MAC地址的訪問控制列表, 基於時間的訪問控制列表
標準訪問控制列表:
根據數據包的源IP地址來允許或拒絕數據包 訪問控制列表號從1到99
擴展訪問控制列表: 基於源和目的地址、傳輸層協議和應用端口號進行過濾
每個條件都必須匹配,纔會施加允許或拒絕條件
使用擴展ACL可以實現更加精確的流量控制
訪問控制列表號從100到199
Eq 等於端口號 gt 大於端口號 it小於端口號 neq 不等於端口號
命名的訪問控制列表:
允許從指定的訪問列表刪除單個條目, 如果添加一個條目到列表中,那麼該條目被添加到列表末尾 。
創建名爲cisco的命名訪問控制列表: Router(config)#ip access-list extended cisco
指定一個或多個permit及deny條件 : Router(config-ext-nacl)# deny tcp 172。16。4。0 0。0。0。255 172。16。3。0 0。0。0。255 eq 23
Router(config-ext-nacl)# permit ip any any
應用到接口E0的出方向: Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group cisco out
查看訪問控制列表: Router#show access-list
需要注意的:最嚴格的要放在最前面,錯了得全不刪除。 標準的裏目的近,擴展的裏源近。
第十五章 NAT/PAT
NAT的原理:
改變IP包頭,使目的地址、源地址或兩個地址在包頭中被不同地址替換
NAT的3種實現方式:
靜態轉換,動態轉換,端口多路複用 。
NAT的優點
節省公有合法IP地址
處理地址交叉
增強靈活性
安全性
NAT的缺點
延遲增大
配置和維護的複雜性
不支持某些應用
NAT配置步驟:
1、接口IP地址配置
2、使用訪問控制列表定義哪些內部主機能做NAT
3、決定採用什麼公有地址,靜態或地址池
4、指定地址轉換映射
5、在內部和外部端口上啓用NAT
靜態NAT配置:
第一步: 設置外部端口
Router(config)#interface serial 0/0
Router(config-if)#ip address IP 掩碼
第二步 :設置內部端口
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address IP 掩碼
第三步: 在內部本地和內部合法地址之間建立靜態地址轉換
Router(config)#ip nat inside source static IP 掩碼
Router(config)#ip nat inside source static IP 掩碼
第四步:在內部和外部端口上啓用NAT
Router(config)#interface serial 0/0
Router(config-if)#ip nat outside
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
動態NAT配置;
第一步: 設置外部端口IP地址
第二步: 設置內部端口IP地址
(同上)
第三步:定義合法IP地址池
Router(config)#ip nat pool test0 外網的IP network 掩碼
第四步:指定網絡地址轉換映射
Router(config)#ip nat inside source list 1 pool test0
第五步:在內部和外部端口上啓用NAT
Router(config)#Interface serial 0/0
Router(config-if)#Ip nat outside
Router(config)#Interface fastethernet 0/0
Router(config-if)#Ip nat inside
PAT配置:
第一步 :設置外部端口IP地址 (同上)
第二步: 設置內部端口IP地址 (同上)
第三步:定義合法IP地址池:
直接使用路由器的接口地址,不用定義地址池
第四步:指定網絡地址轉換映射:
Router(config)#ip nat inside source list 1 interface serial0/0 overload
第五步:在內部和外部端口上啓用NAT (同上)
負載均衡配置:
第一步: 設置外部端口(同上)
第二步:設置內部端口(同上)
第四步:給真實主機定義一個NAT地址集
Router(config)#ip nat pool real-host 10。1。1。1 10。1。1。3(地址範圍) prefix-length 24 type rotary
第五步:設置訪問控制列表和NAT地址集之間的映射
Router(config)#ip nat inside destination list 2 pool real-host
第六步:在內部和外部端口上啓用NAT
Router(config)#interface serial 0/0
Router(config-if)#ip nat outside
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
測試聯通性驗證NAT配置:
show ip nat translations
show ip nat statistics
NAT的debug調試: ruter#debug ip nat
S表示 源地址 D表示目的地址
|
clear ip nat translation * |
清除NAT轉換表中的所有條目 |
|
clear ip nat translation inside local-ip global-ip |
清除包含內部轉換的簡單轉換條目 |
|
clear ip nat translation outside local-ip global-ip |
清除包含外部轉換的簡單轉換條目 |
第十六章 網絡管理協議和網絡管理軟件的安裝與使用。
SNMP(簡單網絡傳輸協議),依賴於UDP數據報服務。利用UDP端口161/162端口。
版本介紹:v1 v2 v3 (主要版本)其中SNMPv2c 應用最廣泛。
管理對象庫(MIB)包含反映設備配置和設備行爲的信息,以及控制設備的操作的參數。
SNMP的3類操作:get set rap (讀 寫 上報)
NTP (network time protocol )爲交換機,路由器和工作站之間提供一種時間同步機制。
書本是還講了MRTG網管軟件,但是老師沒有講什麼只是隨便帶過了,我也不知道是不是重點。不是很懂。
第十七章 網絡硬件設備介紹
主要講的就是CISCO 的和華三的設備, 書上重點介紹了cisco的設備。書上的是幾年前的信息了,老師和 我們說的肯定是又是更新過了的。我現在也記不清具體講了什麼了。但是學會了看產品的說明書,也知道要看產品的哪些參數。那是最重要的。需要經常到思科和華爲的官網上去了解查看學習資料。
總結:
我們2.0BCN兩本很厚的書,感覺學下來,全部搞懂真的挺累的。不過和CCNA相比, 2.0BCN的還是相差很多的, 我仔細看了2.0的課件和書後,總結了下2.0多出的和缺少的知識:
2.0多了 PPP與ADSL *** IPv6 WLAN VoIP 三層交換
少了: rip
其中PPP和三層交換在我們的提出下講了。別的我們就沒有學了。老師雖然的上課的時候常說到,但是也只是提提而已。我自己在後面看了一些內容,但是還有VOIP 等一些東西也只是瞭解一下,還得好好花時間才行。1.0是2004年的書,才幾年就更新了一半的知識,我們學網絡的不學習怎麼行啊。我一直記得那句話:我們一天不進步就是退步。 在寫後面的知識的時候,因爲忙點自己的私事,所以有些就直接從PPT上摘了下來,重點也都在那。其實在學的時候一天兩個小時上一章的知識,真的挺難讓人接受的。但是沒有辦法只能硬着頭皮聽了。課前後課後不看書是不行的。我這裏寫的有什麼不對的和不全面的地方也希望大家提出來,早幾天看見的一個朋友留的評論。真的很謝謝他提出的疑問。也許我們 老師很有講錯的地方。希望正在學習的我們一起進步!