假期第四周学习总结
第四周学习总结
ICMP协议
ICMP的作用
网络探测与回馈机制
1.网络探测
2.路由跟踪
3.错误反馈
ICMP封装格式
ICMP头 数据
ICMP头:ICMP类型、代码
ICMP类型字段:
8:ping请求
0:ping应答
3:目标主机不可达
11:TTL超时
VLAN(Virtual LAN 虚拟局域网)
1.广播/广播域
2.广播的危害:
增加网络/终端负担,传播病毒,安全性
3.如何控制广播??
控制广播=隔离广播域
路由器隔离广播(物理隔离广播)
路由器隔离广播缺点:成本高、不灵活
3.采用新的技术VLAN来控制广播,VLAN技术是在交换机上实现的,且是通过逻辑隔离划分的广播域
4.VLAN是干什么的?
控制广播,逻辑隔离广播域。
5.VLAN的类型
(1)静态VLAN:
*手工配制
*基于端口划分的VLAN
vlan表
(2)动态VLAN:
*手工配制
*基于MAC地址划分的VLAN/采用802.1x端口认证
VTP协议
*VTP(VLAN Tranking Protocol)
-虚拟局域网中继协议。
-从一点维护整个网络上VLAN的添加、删除和重命名工作。
VTP域
-具有相同域名,通过Trunk相连的一组交换机
-相同VTP域可以同时学习到添加、删除或更改VLAN、只在相同VTP域中有效。
单臂路由
单臂路由缺点:
1.网络瓶颈
2.容易发生单点物理故障
(所有的子接口依赖于总物理接口)
3.VLAN间通信的每一个帧都进行单独路由
三层交换机:
1.三层交换机 = 三层路由+二层交换机
2.三层路由引擎是可以关闭或开启的
3.三层交换机的优点:
与单臂路由相比:
1)解决了网络瓶颈问题
2)解决了单点故障(虚拟接口不再依赖任何的物理接口)
3)一次路由,永久交换
HSRP协议/VRRP协议 热备份路由协议
ACL
1. Access Control List
2. ACL是一种包过滤技术。
3. ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号、[5层数据]
基于三层和四层过滤
4. ACL在路由器上配置,也可以在防火墙上配置(一般称为策略)
5. ACL主要分为2大类:
1)标准ACL
2)扩展ACL
6. 标准ACL:
表号:1-99
特点:只能基于源IP对包进行过滤
命令:
conf t
access-list 表号 permit/deny 源IP或源网段 反子网掩码
注释:反子网掩码:将正子网掩码0和1倒置
255.0.0.0 -- 0.255.255.255
255.255.0.0 -- 0.0.255.255
255.255.255.0 -- 0.0.0.255
反子网掩码作用:用来匹配条件,与0对应的需要严格匹配,与1对应的忽略!
例如: access-list 1 deny 10.0.0.0 0.255.255.255
解释:该条目用来拒绝所有源IP为10开头的!
access-list 1 deny 10.1.1.1 0.0.0.0
解释:该条目用来拒绝所有源IP为10.1.1.1的主机
简写: access-list 1 deny host 10.1.1.1
access-list 1 deny 0.0.0.0 255.255.255.255
解释:该条目用来拒绝所有所有人
简写: access-list 1 deny any
完整的案例:
conf t
acc 1 deny host 10.1.1.1
acc 1 deny 20.1.1.0 0.0.0.255
acc 1 permit any
查看ACL表:
show ip access-list [表ID]
将ACL应用到接口:
int f0/x
ip access-group 表号 in/out
exit
sh run
7.扩展ACL:
表号:100-199
特点:可以基于源IP、目标IP、端口号、协议等对包进行过滤
命令:
acc 100 permit/deny 协议 源IP或源网段 反子网掩码 目标IP或源网段 反子网掩码 [eq 端口号]
注释:协议:tcp/udp/icmp/ip
案例:
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
acc 100 permit icmp host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 permit ip any any
8. ACL原理
1)ACL表必须应用到接口的进或出方向才生效!
2)一个接口的一个方向只能应用一张表!
3)进还是出方向应用?取决于流量控制总方向
4)ACL表是严格自上而下检查每一条,所以要主要书写顺序
5)每一条是由条件和动作组成,当流量完全满足条件当某流量没有满足某条件,则继续检查下一条
6)标准ACL尽量写在靠近目标的地方
7)小原理:
1)做流量控制,首先要先判断ACL写的位置(那个路由器?那个接口的哪个方向?)
2)再考虑怎么写ACL。
3)如何写?
首先要判断最终要允许所有还是拒绝所有
然后写的时候要注意:将严格的控制写在前面
8)一般情况下,标准或扩展acl一旦编写号,无法修改某一条,也无法删除某一条,也无法修改顺序,也无法往中间插入新的条目,只能一直在最后添加新的条目
如想修改或插入或删除,只能删除整张表,重新写!
conf t
no access-list 表号
9.命名ACL:
作用:可以对标准或扩展ACL进行自定义命名
优点:自定义命名更容易辨认,也便于记忆!
可以任意修改某一条,或删除某一条,也可以往中间插入某一条
命令:
conf t
ip access-list standard/extended 自定义表名
开始从deny或permit编写ACL条目
exit
删除某一条:
ip access-list standard/extended 自定义表名
no 条目ID
exit
插入某一条:
ip access-list standard/extended 自定义表名
条目ID 动作 条件
exit
NAT
1.Network Address Translations
网络地址转换
2. ipv4地址严重不够用了
x.x.x.x x0-255
A B C类可以使用 D组播 E科研
3. IP地址分为公网IP和私网IP
公网IP只能在公网上使用
私网IP只能在内网中使用
公网上不允许出现私有IP地址!!!!!!
私网IP可以重复在内网使用
私有IP地址范围:
1)10.0.0.0/8 (10开头的)
2)172.16.0.0/16 - 172.31.0.0/16
(172.16开头的一直到172.31开头的)
3)192.168.0.0/16 (192.168开头的)
4.NAT主要实现公私有IP地址的转换,一般是路由器或者防火墙上来完成,不建议在三层交换机上配置!
5. NAT有3大类:
1)静态NAT:1对1映射,(静态PAT,端口映射技术)
2)动态NAT
3)PAT(端口地址转换,Port Address Translations)
PAT也称为端口复用技术
6.NAT命令:
1)定义内网端口:
int f0/0
ip nat inside
exit
2)定义外网端口:
int f0/1
ip nat outside
exit
3)配置PAT:
定义内部地址池:
acc 1 permit 192.168.0.0 0.0.255.255
做PAT动态映射:
conf t
ip nat inside source list 1 int f0/1 overload
4)配置静态端口转换:
conf t
ip nat inside source static tcp 192.168.1.3 80 100.1.1.2 80
动态路由RIP
*距离-矢量路由选择协议
路由协议的工作原理
*RIP的基本概念
*定期更新
*邻居
*广播更新
*全路由表更新
路由表的形成
*路由器学习到直连路由
*更新周期30s到时,路由器会向邻居发送路由表
*再过30s,第二个更新周期到了再次发送路由表