肖哥HCNA-正式篇笔记3

2022/5/31 23:20:00

本文主要是介绍肖哥HCNA-正式篇笔记3,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

ACL

image.png
image.png
实验 (路由器要使用AR2220否则配置不上acl):
image.png
交换机当成傻瓜交换机来用.两个下端的路由 网关配置.254
配置一下缺省路由,让两个网段能通信.
R1
ip route-s 0.0.0.0 0 12.1.1.2
R2
ip route-s 0.0.0.0 0 12.1.1.1
这时pc应该就可以相互通信了.
接下来我们开始做ACL的实验,让一部分pc能访问服务器,一部分pc不能访问服务器.我们现在做的是简单的使用访问控制.后期还有匹配的功能.
image.png
我们现在要做拒绝pc访问服务器.
image.png
acl 2000 2000到2999
rule deny source 192.168.10.1 0 deny表示拒绝.source是访问的源地址.掩码0表示0.0.0.0 是用来匹配的.用0表示精确匹配.用255表示允许任意值.我们可以匹配精确网址.也可以匹配某一个网段.
int gi0/0/1 traffic-filter inbound acl 2000 然后我们在相应的进入接口 调用这条acl规则,使其生效!
重要提示: 这里的 inbound指的是方向.还有一个方向outbound 方向.指的是从路由进来的时候使用规则.指的是从后端往出走的时候使用的规则.方向的问题很重要,第一是看你的acl怎么写的,然后要看在哪个接口调用!
这样配置的结果是:路由器R2,再接到源地址为 192.168.10.1 的报文时会直接丢弃.
配置好后查看一下:
image.png
rule 5 deny source... 这里面的5是自动生成的,执行的优先等级.我们也可以再设置的时候手动指定优先等级的.自动的级别的步长是5,每次增加5.是为了方便手动指定时在中间插入.
现在我们就完成了:pc1不可以与server通信,但是其他的都可以访问.
下面是acl高级应用的实验:
image.png
image.png
我们先把上个实验的acl2000 undo掉
int gi0/0/1
undo traffice-filter inbound 这里直接把几口调用acl2000 undo 掉就可以了.设置的acl可以不管他 因为没用调用 不生效.
然后我们用高级的3000段的acl:拒绝pc1和pc2 ping server1 ,但是允许访问http
acl 3000
rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0 deny:拒绝 icmp:协议 source:源 然后是匹配的地址, destination:目标网段 然后网址精确匹配.
int gi0/0/1 traffic-filter inbound acl 3000 然后我们开始调用刚才设定的规则.
到这里设置就完成了 .

实验三:
image.png
先去掉刚才的规则int gi0/0/1 undo traffic-filter inibound
然后我们配置新的:
acl 3001
rule deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port eq telnet 拒绝tcp下的 telnet(23)
int gi0/0/1
traffic-filter inbound acl 3001 在接口中调用 acl规则.
测试自己做.

重要注意:acl有四个注意很重要
image.png
思科之类是默认拒绝所有.

考试题:
image.png
答案 B D
image.png
答案 B

NAT 网络地址转换技术 (Network address Translation)

image.png
image.png
搭建实验:
image.png
image.png
出口路由器的 pc端就是我们常说的LAN , 出口端就是WAN
我们按照图配置好实验环境,其中运营山路由最后再配置一个环回接口用来测试. int loo 0 ip add 9.9.9.9 24
再使用的时候我们先很乱 可以在路由内给接口配置描述信息. 这样方便查找.
int gi0/0/0 description text text 为字符串 不超过242个 标准工程是必须有这个的.
在现实中,运营商给我的公网地址不可能是掩码24的 一般是掩码是29,也就是给了2的3次方减2个,然后运营上的接口用一个 .
我们为了贴近实验 把出口的wan地址更改一下
int gi0/0/1 ip add 12.1.1.1 29
然后把运营商的接口也改一下 用本网段可用地址的最后一个.
[R2]int gi0/0/0 ip add 12.1.1.6 29
image.png
内网的数据从出口路由出去,运营商的路由会直接丢弃的,因为没有nat 源地址是内网地址.
先给我们的出口路由器配一个路由 把所有访问外网的数据交给上级路由.
ip route-s 0.0.0.0 0 12.1.1.6
基础设置结束.
NAT 分几种: 静态NAT static NAT 一对一 ,一一映射,一个私网地址对应一个公网地址,外网的用户可以访问内网的主机.
下面我们开始配置.
global:全局公网地址
local:内网私网地址
inside:内网内部
outside:外部
在路由的出口配置
int gi 0/0/1
nat static global 12.1.1.2 inside 192.168.31.2 将私网地址31.2和外网地址12.1.1.2 做一对一的映射(原地址是31.2 在出去的时候就会被转换成为12.1.1.2)
image.png
此时就可以ping通9.9.9.9了,9.9.9.9是看不到pc1的内网网段的 只是在与出口路由器发通信.
我们可在路由器中查询到ping包的映射关系过程:dis nat session protocol icmp
image.png
这样我们就查看到了地址转换的过程(这是缓存查看, ping停止后就看不到了.)
这样情况下 服务器访问pc也只能访问到路由的外网ip,所以nat还有一定的安全隔离作用.那么我们访问网站的服务器地址他会是陪在服务器上的么? 肯定不是的!是服务器前面的防火墙设备然后做了nat转换,我们并不清楚服务器的具体配置和内同.
这种nat的缺点也很明显,只能一对一.内网有多个pc是没办法实现都上网的!
所以我们有了第二种NAT
NAT第二种方式 Easy ip:可以允许多个私网地址转换成一个公网ip,企业目前这种用的最多.很常用.
我们把以前那条映射去掉.
int gi0/0/1 undo nat static global 12.1.1.2 inside 192.168.31.2
下面我们开始设置easy ip:
先写一条acl, 是用来匹配内网私网的范围的.不是做访问控制用的.
acl 2000
rule permit source 192.168.31.0 0.0.0.255
注意:acl 用来做匹配范围时,没有默认隐含允许所有规则.所以要写permit
int gi0/0/1 进入路由出去的接口
nat outbound 2000 2000指的是acl表号,匹配的范围,没有写公网地址是因为会默认使用本接口的外网地址.
原理:内网的私网地址出包时转换成公网接口gi0/0/1的当的ip地址.
此时 31.0的内网网段就都可以访问9.9.9.9了

问题:路由后面的pc同时上网,服务器给路由回包时,路由怎么知道要把数据转换给内网的哪个IP呢?
答:包在出去的时候 路由器会查看嵌入在包里面的识别号来判断的. 这个是缓存表,一段时间不用就会收回.

NAT 第三种 server NAT :可以将某服务器的端口映射出去(非常安全.)
我们先去掉路由用原有配置:(略)
我们在私网内部加一个服务器 来做实验.
在gi0/0/1(出口下)
nat server protocol tcp global 12.1.1.4 www inside 192.168.31.254 www 仅仅将服务器的80端口 映射成公网地址的80端口.外网的服务器访问时只访问=12.1.1.4 的80端口就可以 了.
这种比一堆一的优点就是 一堆一将全部端口映射出去,这种直映射指定的端口 更加安全.
注意:内外网的端口可以不一样的. 进来是81到内网边80

广域网链路 PPP, 广域网链路是二层封装,共有三种.PPP,HDLC,FR帧中继

image.png
PPPOE就是PPP得一种延申方式.即工作在以太网上的ppp
二层最常见的是mac但是仅限于以太网,非以太网可能就会是ppp
image.png
串型口长这样:
image.png
这种线可以用作远距离传输.
实验如下:每个路由器在接上串型接口. 然后用串口线连接串口.
image.png
serial4/0/0. 网段为12.1.1.0/24
int s4/0/0 进入 s4串口
ip address 12.1.1.1 24
创建后默认会有,link-protocol ppp 先不用管.
两个路由器都设置好后 可以ping通 然后我们抓包查看.
发现二层就是ppp,ppp是点到点的传输.有一个特性,就是可以对二层的链路做认证.而正常的以太网是做不到.
image.png

ppp的链路认证:1. pap认证(明文传输,两次握手), 2. chap认证.
二层控制可以更提前做认证.也就是如果认证不通过,连交换机都不让你连. 这个是路由器达不到的.
pppoe 宽带拨号就是把ppp的pap认证用在了以太网络上.下图中三层往上.
image.png
image.png

加下来我们配置一个pap
image.png
R2(服务端)
image.png
不拨号通不了,拨号就能ping通了.在查询接口状态的时候,如果不认证接口状态 的协议口就是down.
pap认证的缺点显而易见,就是他是明文的 不安全.

接下来我们来看 chap认证.三次握手.密码密文.
image.png
ppp 是广域网.数据穿越运营商 容易发生危险 所以要加密.
image.png
与pap的变动很小~ 仔细看下.
undo ppp authentication-mode 先把pap认证取消
ppp authentication-mode chap开启chap认证.
然后我们客户端去连接.
undo ppp pap local-user先取消掉上面哪个.
然后用新的验证方式
ppp chap user 用户名
pppchap passwod 密码
完成 这次我们抓包试试.
image.png

广域网链路:HDLC ,FR(帧中继.)
华为默认的封装是ppp封装,我们可以在接口下改为hdlc封装link-protocol hdlc
image.png
一条链路两端的封装方式必须一致.所以两面都要改.
然后我们抓包,方式改为hdlc 可以抓到如下包(思科最先研发的.):
image.png
华为华三设备默认封装ppp,而思科设备默认是hdlc这个在设备混用的时候要注意.

广域网链路:FR frame-relay 帧中继.用的不多了.现在都直专线了.
ensp中找一个帧中继交换机 FRSW,云彩里面.要设置,不是以太网设备.只能连接串行接口.
image.png
image.png
image.png
串口才可以更改封装方式.以太网是不行的

链路聚合.端口聚合 端口捆绑
之前的冗余做法是只有一根线在用,如果一根线断掉了 零一更启用.如果两根线同时启用有广播包就会来回广播产生交换机环路,如果多了就叫广播风暴.
如果我们把两个线合并为一个端口.那么就叫可以解决这个问题了增加网络带宽的同时还提高了冗余性!.
image.png
image.png
image.png
在未配链路聚合时候 查看下两端交换机哪条线再用?discarding 遗弃 ,forwarding 转发.
image.png
image.png
这次再查看
image.png

另外一种查看看
image.png


VRRP 冗余协议. 网关冗余协议. 共有技术.一般用再核心交换机,或者主路由.用作冗余备份.

image.png

在网络出口的地方我们配直两台三层交换机或者路由做为冗余,vlan 的网关比如是192.168.1.1,但是我们两台设备都不配置这两个网关,我们配置同一网段的其他网关.把真正的网关配置在两台路由器中间的虚拟设备上,也就是两台设备都设置一个虚拟的路由,然后设置一个作为主路由 ,这样来做到冗余和备份.
image.png
开始配置.
image.png
vrrp:
核心下联用户的接口.主master
int e0/0/0
vrrp vrid1 virtual-ip 192.168.10.1 vrid 虚拟路由器编号 1-255
两个都这样设置.
设置优先级.默认都是100,我们调高就行了.数字越大越优先.
vrrp vrid 1 priority 105 这样就优先了
image.png
image.png
查看详细信息
image.png

两个路由是如何知道自己和对方路由的优先级呢?路由会每隔几秒向下发送vrrp报文.
主路由发送vrrp报文,目标是 组播地址.因为路由器可以有很多的冗余.可能会很多.如果发单播会发送很多次.
在vrrp高层部分 会携带vrrp很多的参数,包含优先级.
那副路由怎么知道主路由什么时候坏掉的呢.大概两秒钟发一次vrrp报文,如果2.5倍时间没收到.就认为主路由出问题,开始抢占主路由.
image.png
上面举的例子是下端出现问题,那么主路由的上联端口出现问题呢?vrrp报文可以正常发送,就会导致不切换到被用路由,这样就会出问题.于是出现这种机制:跟踪主路由上联接口的状态,当发现上联口down时候,主路由自动将优先级降低 10 :在下联端口配置track int gi0/0/1track 监督. 这样配置后 就可以达到上面的效果.如果接口又好用了,那么优先级会加回去.
image.png
为了防止 下端用户里也出现配置vrrp的用户,我们可以给vrrp配置密码,没有密码就加入不到vrrp组.两面路由器要配置一样的密码.使用下面指令:
vrrp vrid 1 authentication-mode simple plain 密码 配置认证简单明文密码.



这篇关于肖哥HCNA-正式篇笔记3的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!


扫一扫关注最新编程教程