上篇 BCN之路由技术(上)——我在IT培训学校的日子(13) 
 
第十三章 热备 HSRP (cisco 专有 )

 

告诉主机可用路由器的方式

缺省网关,代理 ARP

ICMP 路由器发现协议

虚拟路由冗余协议 VRRP IEEE 制定。

HSRP 备份组的成员 :

活跃路由器,备份路由器,虚拟路由器,其他路由器。

HSRP 虚拟 MAC 地址 :0000 0c 07 ac2f  厂商编码。总所周知的虚拟 MAC 地址。组号

HSRP 消息 : 用于决定和维护组内的路由器角色 ,封装在 UDP 数据包中,使用 UDP 端口号 1985

Hello 数据包使用的目的地址是多点广播地址 224 0 0 2 (全部路由器) ; 生存时间 ttl 值为 1

消息类型 :

Hello 消息,政变消息,辞职消息  

HSRP 消息的详细格式 :

1 字节

1 字节

1 字节

1 字节

版本

Op 编码

状态

HELLO 时间

保留时间

优先级

保留

认证数据

认证数据

虚拟 IP 地址

HSRP 状态 :

初始状态,学习状态,倾听状态,发言状态,备份状态,活跃状态

HSRP 计时器 :

Hello 间隔( hello interval

发送 hello 数据包的时间间隔,缺省是 3 秒。

保持时间( hold time

HSRP 组内的 HSRP 路由器在声明活跃路由器发生故障之前等待的时间,缺省 10 秒。

HSRP 配置 :

配置一个接口参加 HSRP 备份组 >> 配置 HSRP 优先级 >> 配置 HSRP 占先权 >> 配置 Hello 消息计时器 >> 配置 HSRP 端口跟踪。

配置路由器为 HSRP 的成员 : router(config-if)#standby group-number ip virtual-ip-address

指定优先级 : router(config-if)#standby  group-numbery  priority  priority-value

配置 HSRP 的占先权 : router(config-if)#standby group-number preempt

配置 HSRP 计时器 : router(config-if)#standby group-number times hello-interval holdtime

配置端口跟踪 : routerA(config-if)#standby group-number track type number interface-priority  (group-number : HSRP 组号, 缺省为 0 Type : 被跟踪端口的类型, Number : 被跟踪端口的接口号, Interface-priority : 当接口失效时, 路由器的 HSRP 优先级将被降低的数值。当接口变为可用时,路由器的优先级将被增加上该数值。缺省为 10)

显示 HSRP 路由器的状态 : routerA#show standby type-number group brief

启用调试 :   router#debug standby ( 在实际网络环境启用 DEBUG 调试命令要小心,该命令可能会导致路由器资源耗尽 )

 

第十四章 访问控制列表 ACL

应用于路由器接口的指令列表 ,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝

ACL 的工作原理 :

读取第三层及第四层包头中的信息 根据预先定义好的规则对包进行过滤

访问控制列表的作用 : 提供网络访问的基本安全手段, 可用于 QoS ,控制数据流量, 控制通信量。

使用命令 ip access-group ACL 应用到某一个接口上 : Router(config-if)#ip access-group access-list-number {in|out}  在接口的一个方向上,只能应用一个 access-list

允许 / 拒绝数据包通过 : Router(config)#access-list  access-list-number {permit|deny}  {test  conditions}

通配符 any 可代替 0 0 0 0  255 255 255 255

host 表示检查 IP 地址的所有位

基本类型的访问控制列表 : 标准访问控制列表扩展访问控制列表。  

其他种类的访问控制列表 : 基于 MAC 地址的访问控制列表, 基于时间的访问控制列表

标准访问控制列表 :

根据数据包的源 IP 地址来允许或拒绝数据包    访问控制列表号从 1 99

扩展访问控制列表 : 基于源和目的地址、传输层协议和应用端口号进行过滤

每个条件都必须匹配,才会施加允许或拒绝条件

使用扩展 ACL 可以实现更加精确的流量控制  

访问控制列表号从 100 199

Eq 等于端口号     gt 大于端口号 it 小于端口号   neq 不等于端口号

 

命名的访问控制列表 :

允许从指定的访问列表删除单个条目, 如果添加一个条目到列表中,那么该条目被添加到列表末尾

 

创建名为 cisco 的命名访问控制列表 : Router(config)#ip access-list  extended  cisco

指定一个或多个 permit deny 条件 : Router config-ext-nacl # deny tcp 172 16 4 0 0 0 0 255 172 16 3 0 0 0 0 255 eq  23

Router config-ext-nacl # permit ip  any  any

应用到接口 E0 的出方向 : Router config #interface  fastethernet  0/0

Router config-if #ip access-group  cisco out

查看访问控制列表 : Router#show access-list

 

需要注意的 : 最严格的要放在最前面,错了得全不删除。      标准的里目的近,扩展的里源近。

 

 

第十五章 NAT/PAT

NAT 的原理 :

改变 IP 包头,使目的地址、源地址或两个地址在包头中被不同地址替换

NAT 3 种实现方式 :

静态转换,动态转换,端口多路复用

NAT 的优点

节省公有合法 IP 地址

处理地址交叉

增强灵活性

安全性

NAT 的缺点

延迟增大

配置和维护的复杂性

不支持某些应用

NAT 配置步骤 :

1 、接口 IP 地址配置

2 、使用访问控制列表定义 哪些 内部主机能做 NAT

3 、决定采用什么公有地址,静态或地址池

4 、指定地址转换映射

5 、在内部和外部端口上启用 NAT

静态 NAT 配置 :

第一步: 设置外部端口

Router(config)#interface serial 0/0

Router(config-if)#ip address IP  掩码

第二步 :设置内部端口

Router(config)#interface FastEthernet 0/0

Router(config-if)#ip address IP  掩码

第三步: 在内部本地和内部合法地址之间建立静态地址转换

Router(config)#ip nat inside source static  IP  掩码

Router(config)#ip nat inside source static  IP  掩码

第四步:在内部和外部端口上启用 NAT

Router(config)#interface serial 0/0

Router(config-if)#ip nat outside

Router(config)#interface fastethernet 0/0

Router(config-if)#ip nat inside

动态 NAT 配置;

第一步: 设置外部端口 IP 地址

第二步: 设置内部端口 IP 地址

( 同上 )

第三步:定义合法 IP 地址池    

Router(config)#ip nat pool test0 外网的 IP  network   掩码

第四步:指定网络地址转换映射

Router(config)#ip nat inside source list 1 pool  test0

第五步:在内部和外部端口上启用 NAT

Router(config)#Interface serial 0/0

Router(config-if)#Ip nat outside

Router(config)#Interface fastethernet 0/0

Router(config-if)#Ip nat inside

 

PAT 配置 :

第一步 :设置外部端口 IP 地址   ( 同上 )

第二步: 设置内部端口 IP 地址   ( 同上 )

第三步:定义合法 IP 地址池 :

直接使用路由器的接口地址,不用定义地址池

第四步:指定网络地址转换映射 :

Router(config)#ip nat inside source list 1 interface serial0/0 overload

第五步:在内部和外部端口上启用 NAT ( 同上 )

负载均衡配置 :

第一步: 设置外部端口 ( 同上 )

第二步:设置内部端口 ( 同上 )

第四步:给真实主机定义一个 NAT 地址集

Router(config)#ip nat pool real-host 10 1 1 1 10 1 1 3( 地址范围 ) prefix-length 24 type rotary

第五步:设置访问控制列表和 NAT 地址集之间的映射

Router(config)#ip nat inside destination list 2 pool real-host

第六步:在内部和外部端口上启用 NAT

Router(config)#interface serial 0/0

Router(config-if)#ip nat outside

Router(config)#interface fastethernet 0/0

Router(config-if)#ip nat inside

 

测试联通性验证 NAT 配置 :

show ip nat translations

show ip nat  statistics

NAT debug 调试 :  r uter debug ip nat

S 表示 源地址   D 表示目的地址

 

clear ip nat translation *

清除 NAT 转换表中的所有条目

clear ip nat translation inside local-ip global-ip

清除包含内部转换的简单转换条目

clear ip nat translation outside local-ip global-ip

清除包含外部转换的简单转换条目

 

 

第十六章 网络管理协议和网络管理软件的安装与使用。

SNMP( 简单网络传输协议 ) ,依赖于 UDP 数据报服务。利用 UDP 端口 161/162 端口。

版本介绍 :v1  v2  v3 ( 主要版本 ) 其中 SNMPv2c 应用最广泛。

管理对象库 (MIB) 包含反映设备配置和设备行为的信息,以及控制设备的操作的参数。

SNMP 3 类操作 :get set rap ( 上报 )

NTP (network   time  protocol  ) 为交换机,路由器和工作站之间提供一种时间同步机制。

书本是还讲了 MRTG 网管软件,但是老师没有讲什么只是随便带过了,我也不知道是不是重点。不是很懂。

 

 

第十七章 网络硬件设备介绍

主要讲的就是 CISCO 的和华三的设备, 书上重点介绍了 cisco 的设备。书上的是几年前的信息了,老师和 我们说的肯定是又是更新过了的。我现在也记不清具体讲了什么了。但是学会了看产品的说明书,也知道要看产品的哪些参数。那是最重要的。需要经常到思科和华为的官网上去了解查看学习资料。

 

 

 

总结 :

我们 2.0BCN 两本很厚的书,感觉学下来,全部搞懂真的挺累的。不过和 CCNA 相比, 2.0BCN 的还是相差很多的, 我仔细看了 2.0 的课件和书后,总结了下 2.0 多出的和缺少的知识

2.0 多了   PPP ADSL  ×××  IPv6   WLAN  VoIP  三层交换

少了 :  rip

其中 PPP 和三层交换在我们的提出下讲了。别的我们就没有学了。老师虽然的上课的时候常说到,但是也只是提提而已。我自己在后面看了一些内容,但是还有 VOIP 等一些东西也只是了解一下,还得好好花时间才行。 1.0 2004 年的书,才几年就更新了一半的知识,我们学网络的不学习怎么行啊。我一直记得那句话 : 我们一天不进步就是退步。    在写后面的知识的时候,因为忙点自己的私事,所以有些就直接从 PPT 上摘了下来,重点也都在那。其实在学的时候一天两个小时上一章的知识,真的挺难让人接受的。但是没有办法只能硬着头皮听了。课前后课后不看书是不行的。我这里写的有什么不对的和不全面的地方也希望大家提出来,早几天看见的一个朋友留的评论。真的很谢谢他提出的疑问。也许我们老师很有讲错的地方。希望正在学习的我们一起进步 !