路由交換學習筆記

第1章計算機網絡詳解

車輛廠網絡拓撲展現

局域網

廣域網

 

服務器

客戶機

 

應用程序

服務  

 

OSI參考模型

     分層的好處

         數據通訊的每一個環節變化不影響其餘環節

         各個廠商設備標準化

 

     應用層 可以產生網絡流量的網絡應用程序 QQ IE

     表示層 加密 壓縮 二進制 ASCII碼 IE瀏覽器出現亂碼

     會話層 查*** 查看會話 netstat -nb

     傳輸層 可靠傳輸 不可靠傳輸 流量控制 滑動窗口技術面向鏈接（三次握手） 確認

     網絡層 選擇路徑

     數據鏈路層 定義瞭如何標識網絡設備 數據幀如何封裝 幀頭幀尾 透明封裝

     物理層 發送和接收Bit流 電壓 接口

 

案例：和平醫院不能更改IP地址就是由於在應用層包含了網絡層的信息

 

從排錯來看OSI參考模型

     從底層向高層逐一排錯

        物理層錯誤鏈接是否正常

        數據鏈路層 ADSL撥號數據鏈路層通網絡層才能通

                   arp -s 192.168.1.100-1d-0f-68-42-fe

        網絡層選擇路徑出現的故障計算機沒有設置網關

        表示層 IE亂碼

        應用層 IE 插件

     替換法排錯

 

 

從安全角度來看OSI參考模型

        物理層安全

        數據鏈路層安全在交換機上的端口綁定MAC地址

        網絡層安全網絡層防火牆 在網絡設備上指定ACL 控制數據包流量

        應用層安全殺毒軟件 應用層防火牆高級防火牆ISA 2006 能夠基於源地址 目標地址 協議 端口號 時間 用戶 文件類型 來控制網絡流量

  

網絡設備

      網卡MAC

      集線器（HUB） 10M 100M  100米 不安全 是一個大的衝突域 30左右計算機

      交換機基於MAC地址轉發數據，安全端口帶寬獨享 標準以太網10，快速以太網100，G 1000M 廣播域

      路由器基於IP地址轉發數據廣域網接口 隔絕廣播 ACL

      網線雙絞線 8根 4對  10M  100M 1236通訊 1000M 8根全用

      直通線  交叉線 全反線 Console調路由器 10 100M123 6  1000M 8

 

演示：更改MAC地址

案例：MAC地址衝突形成的網絡問題

 

網絡設備和OSI參考模型

 

數據封裝

數據段 消息

數據包

數據幀

   Bit

 

數據通訊類型

單工

半雙工 HUB

全雙工以太網 交換機

演示：查看網卡的全雙工半雙工狀態

演示：更改網卡網速

 

網絡設計三層模型

      接入層交換機直接接用戶計算機的交換機接入層交換機 口多 10 or 100M

      聚集層交換機接接入層交換機 端口帶寬高 端口比接入層相對較少

      核心層交換機鏈接匯聚成交換機

將Ping命令或 ip config /all 保存到d盤「ping命令.txt」：

ping www.baidu.com>>d:ping命令.txt

複製命令行：選中—回車—粘貼

第2章 TCP/IP協議和網絡安全

傳輸層協議

  TCP 協議傳輸前 數據分段 編號 創建會話 可靠傳輸 流量控制功能 三次握手 netstat -n

  UDP 一個數據包就能完成任務不可靠傳輸 不創建會話 數據不分段 編號

 

演示：land***和syn***

 

應用層協議和傳輸層協議之間的關係

     服務器對外提供服務就須要使用一個應用層協議

     http=TCP+80

https=TCP+443

     ftp=TCP+21 or 20

    SMTP=TCP+25 發送電子郵件

     PoP3=TCP+110

    RDP=TCP+3389 遠程桌面協議

     微軟SQLServer數據庫=TCP+1433

     DNS=UDP or TCP +53

   1024端口

   用IP地址訪問共享文件=TCP+445

   用計算機名訪問共享文件=TCP+139

 

端口用來標識服務器的服務不一樣服務使用端口應該不一樣

 

演示：Windows上的服務和端口的關係

     查看偵聽的端口netstat -anb

     安裝SMTP Pop3服務 FTP Web服務

     查看新增長的偵聽的端口

案例：端口衝突形成的Web服務啓動失敗

 

演示：更改服務默認端口增長安全性

     默認端口能夠更改，客戶端必須也得更改

更改遠程桌面服務使用的端口

     使用更改後的使用客戶端如何鏈接

 

演示：配置服務器的網絡安全

     使用端口掃描工具掃描遠程服務器端口

     telnet測試遠程服務器的某個端口是否打開

     Windows防火牆的實現WindowsXP的網絡安全

使用遠程控制工具***服務器

     使用TCP/IP篩選配置服務器安全

 

案例：Windows防火牆引發的網絡網絡故障

     單向通訊

 

演示：使用IPSec嚴格控制出入服務器的流量

灰鴿子***防範

查看灰鴿子***創建的會話

     msconfig 查看可疑的服務

     建立IPSec嚴格控制網絡流量

 

結論：服務器網絡安全

   在服務器上只打開必須的端口

   使用IPSec嚴格控制網絡流量

 

網絡層協議 IP （RIP EIGRP OSPF）

講解:跨網段通訊MAC地址和IP地址的做用

數據路由過程數據幀和數據包的變化

MAC地址決定下一跳給那個設備

IP地址決定最終計算機

 

ICMP 測試網絡連通性 ping pathpingtracert（路由器上使用）

 

演示：使用ping命令查看網絡是否擁堵  是不是路由問題形成的丟包

演示：使用ping –i參數找到數據包沿途通過的路由器

演示：經過TTL判斷對方是什麼系統

     Linux  64

     Windows 2000  128

     Unix系列    255

 

ping Ip -t ctrl +C 中止ping

pathping 跟蹤數據包路徑

pathping

 

IGMP 組播管理 點到點 廣播 目標MAC 或IP地址全1  多播（組播）

               

案例：白求恩軍醫學院Pathping排除網絡故障

 

   數據封裝

   傳輸層 數據段 消息

   網絡層 數據包

   數據鏈路層 數據幀

   物理層 Bit

  

Arp協議

ARP IP-->MAC地址 廣播 arp -s 192.168.1.132-32-32-32-23-32

演示：利用ARP欺騙的軟件

   ARP 欺騙 arp -s 192.168.1.1 22-21-21-21-12-12

網絡執法官

P2P終結者

Cain密碼捕獲軟件

 

演示：抓包工具分析數據包

 對於IP地址欺騙沒有辦法

第3章 IP地址  

32位二進制11111111 255

補充知識

IP地址

二進制   十進制

      1   1

     10   2

    100   4

   1000   8

  10000   16

 100000   32

 1000000  64

10000000 128

 

10000000 128

11000000 192

11100000 224

11110000 240

11111000 248

11111100 252

11111110 254

11111111 255

 

   IP地址

子網掩碼的做用

   IP地址的分類默認子網掩碼

   IP地址的分類

A類 1-127           00000001--01111111  

B類 128-191         10000000--10111111

C類 192-223         11000000--11011111

D類 224-239         11100000--11101111  

  多播地址  無子網掩碼

E 類240-255          11110000—11111111   用於測試

 

演示：默認子網掩碼

 

   公網地址

   保留的私有地址

  10.0.0.0

  172.16.0.0--172.31.0.0

  192.168.0.0--192.168.255.0

特殊的一些地址

   主機位全0 表明本網段

   主機位全1 表明本網段全部主機   

  169.254.0.0 

  127.0.0.1

  0.0.0.0

 

演示：地址衝突 0.0.0.0

     演示:ping 192.168.80.255 全部計算機都能收

169.254地址

     Ping 127.0.0.1

 

   廣播地址

   第二層廣播 MAC地址FF-FF-FF-FF-FF-FF

   廣播（第3層）255.255.255.255

   單播

   組播  224.0.0.0----239.255.255.255

 

子網劃分

劃分子網

肯定須要的子網個數

肯定每一個子網主機數量

劃分子網須要確認

    子網掩碼

    子網網段

    開始地址和結束地址

 

    等長子網

    變長子網

B類網絡的子網劃分

超網

CIDR(無類域間路由選擇)的子網掩碼

        

思考：指定一個IP地址所屬的網段 192.168.80.229/27

     點到點網絡的子網掩碼

     肯定和222.223.239.89/26這個地址在同一個網段的地址範圍

     判斷一個地址是否可用 192.168.80.47/32 192.168.80.46/32

     判斷這幾個網段是否可以將子網掩碼前移2位合併

 192.168.67.0/24

192.168.68.0/24

192.168.69.0/24

192.168.70.0/24

 

 192.168.0.0 255.255.255.0

 

 178.12.0.0 255.255.0.0

 

 178.12.0.0    255.255.128.0

 178.12.128.0  255.255.128.0

 

 10.0.0.0 255.0.0.0

 

 10.0.1.0 255.255.255.0

 10.0.2.0 255.255.255.0

 

 10.1.0.0 255.255.0.0

 10.2.0.0 255.255.0.0

 

   超網

 

講解:一個計算機設置多個IP地址的應用

 

網絡排錯

  ipconfig /all

  ping 127.0.0.1 網卡驅動沒問題

  ping 網關和局域網是通的

  ping 202.99.160.68 Internet網絡層通

  ping www.inhe.net 查看域名解析是否正常網絡層測試

  telnet www.inhe.net 80  應用層 測試測試應用層是否暢通 23默認端口

pathping www.inhe.net 跟蹤數據包路徑和計算丟包狀況 

 

   檢查IE設置

   替換法

第4章配置Cisco網絡設備

路由器

模塊化

固定模塊

 

系列

IOS 2500系列路由器 2500 IOS 有企業版標準版

RAM 至關於計算機的內存 配置路由器的設置默認是RAM

NVRAM 至關於硬盤存放  startup-config

ROM   至關於計算機的BIOS , 不能刪除存放 Bootstarp POST 微型IOS

Flash 存放IOS

 

IOS虛擬機

使用Dynamips搭建實驗環境

 

telnet 192.168.1.200

R1

斷開 ctrl+shift+6 X

查看會話 show session

斷開會話 disconnect 1

 

路由器的用戶模式

特權模式

命令的幫助

 

路由配置經常使用命令

Router#

show interface 查看路由器的接口

show running-config 查看路由的配置 密碼 接口IP地址 ACL NAT

show version 查看路由器版本 配置寄存器的值

show ip interface brief 查看和Ip相關的接口信息

show ip route 查看路由表

show ip protocal 查看路由器運行的動態路由協議

全局配置命令

config t

Router(config)#

Router(config)#hostname Router1

Router1(config)#enable password aaa

Router1(config)#enable secret aaaa

 

配置Telnet密碼 TCP 23

Router1(config)#line vty 0 4

Router1(config-line)#password aaa 設置Telnet密碼

Router1(config-line)#login 要求必須登陸

 

使用telnet鏈接路由器

CRT鏈接路由器

 

Telnet若是不須要密碼執行如下命令

Router1(config)#line vty 0 4

Router1(config-line)#no login

Router1(config-line)#no password

 

配置路由器接口IP地址

Router1#config t

Router1(config)#interface fastEthernet 0/0

Router1(config-if)#ip address 192.168.0.1255.255.255.0

Router1(config-if)#no sh

Router1(config-if)#exit

 

廣域網接口配置須要在DCE指定時鐘頻率

Router1(config)#interface serial 2/0

Router1(config-if)#clock rate 64000  在DCE端配置時鐘頻率

Router1(config-if)#ip address 10.0.0.1255.255.255.0

Router1(config-if)#no sh

 

保存路由器配置

查看保存的路由器配置

 

查看運行的路由器配置

 

配置路由器可以進行域名解析

RA(config)#ip domain-lookup

RA(config)#ip name-server 222.222.222.222

創建主機列表

RA（config）# ip hostname ip_address

 

 

使用Cisco發現協議

CDP Cisco發現協議 CDP  二層地址  可以查看鄰居信息

Router(config)#cdp run

Router#show cdp neighbors

RA#show CDPneighbors

 

從路由器Telnet到其餘路由器

Router#telnet Router0

 

從路由器telnet 其餘路由器臨時退出會話

ctrl+shift+6

X

查看會話 show sessions

在路由器上查看鏈接過來的用戶 show users

 

解析主機名

Router(config)#ip host Router0 172.16.5.1 添加名稱和IP地址對應關係

RouterB(config)#ip domain-lookup 啓用域名查找

RouterB(config)#ip name-server202.99.160.68 配置DNS服務器

 

檢測路由器活動

Router#debug ip packet

Router#debug ip ?

 icmp     ICMP transactions

 nat      NAT events

 ospf     OSPF information

 packet   Packet information

 rip      RIP protocol transactions

 routing  Routing table events

Router#undebug all

 

PacketTracer模擬軟件

第5章靜態路由

路由

不一樣網段計算機通訊就叫路由

對路由器的要求，必須知道到網絡中各個網段如何轉發

 

網絡暢通的條件

 

靜態路由管理員告訴路由器到各個網段如何轉發

Router(config)#ip route 192.168.6.0255.255.255.0 192.168.1.2 ？（能夠更改管理距離AD）

刪除理由表

跟蹤數據包路徑

 

路由彙總

路由彙總列外

 

 iproute 192.168.0.0 255.255.252.0 19

默認路由表明大多數網段的路由

 優先級最低

 

演示：默認路由產生大環

     默認路由產生數據包無限跳轉

 

演示：Windows上的網關就是默認路由

Windows上的路由表

在計算機上添加路由表

route add 192.168.2.0 mask 255.255.255.0 192.168.1.2 添加路由表

route print 顯示計算機上的路由表

netstat –r

 

案例和平醫院網絡排錯網關也很重要

     車輛廠新增網段 和分廠不通

    

末端網絡路由器使用默認路由減小路由表項

骨幹網路由器經過路由彙總減小路由表項

第6章動態路由

靜態路由不能自動根據網絡變換而變化  規模小 沒有環

 

動態路由

網絡規模較大 or 具備網狀結構的網絡

動態路由路由器本身來學習到各個網段如何轉發

  RIP度量值 跳數 每隔30秒廣播  15跳 16不可到達 適合於小的網絡 也適合沒有環路的網絡

 

 RIPv1 不包括子網信息只支持等長子網

 RIPv2 支持變長子網  路由信息通告中包括子網掩碼信息

  Router(config-router)#version 2

連續子網不連續子網

  關閉自動彙總 就支持不連續子網

實驗2 配置RIPv2支持不連續子網OK.pkt   不連續子網不支持

    Router(config-router)#no auto-summary

 

RIP 週期性廣播路由表 30秒 度量值是跳數 15跳 16跳認爲不可到達

RIPv1 廣播傳播路由信息支持等長子網 不支持變長子網和不連續子網

RIPv2 多播傳播路由信息支持變長子網 和 不連續子網（關閉自動彙總）傳播路由信息中包含了子網掩碼信息

 

EIGRP協議 Cisco專有協議 非週期性更新路由信息，Hello報文發現和跟蹤鄰居 以太網5秒，T1或更低的速率 Hello報文以單播方式60秒發送一次，3倍時間確認失效，使用224.0.0.10用戶鄰居發現和回覆，鄰居使用單播地址確認 度量值默認帶寬和延遲 支持大的網絡默認100跳 最大255跳 必須是統一自制區域才能交換路由信息 支持變長子網和不連續子網（關閉自動彙總） 收斂速度塊（有·）

度量值能夠包括 跳數 帶寬 延遲 負載 可靠性 代價（cost）

 

EIGRP 至關於RIPv2 支持變長子網 關掉彙總，支持不連續子網。

 

Router#config t

Router(config)#router rip

Router(config-router)#network 172.16.0.0

Router(config-router)#network 10.0.0.0

Router(config-router)#version 2

Router(config-router)#no auto-summary

 

Router#show ip protocols 顯示配置的全部動態路由協議

 

Router(config)#router eigrp 10

Router(config-router)#network 192.168.0.0

Router(config-router)#no auto-summary

手動彙總

Router（config）#interfaceSerial 2/0

Router（config-if）#ipsummary-address eigrp 10 192.168.0.0 255.255.255.128

Router（config-if）#ex

Router（config）#interfacefastEthernet 6/0

Router（config-if）#ipsummary-address eigrp 10 192.168.0.0 255.255.255.128

 

 

查看ip路由協議配置信息

Show ip protocol

 

查看備用路徑

Router#show ip eigrp topology

 

顯示EIGRP協議活動

debug eigrp packets它將給咱們顯示出在兩臺相鄰路由器間所發送的Hello數據包:

Router#debug eigrp packets

 

 

路由信息可信度值越低優先級越高

    直連的網絡 0

    靜態路由   1   iproute 10.0.0.0 255.0.0.0 192.168.1.1 121

   EIGRP      90

   OSPF       110

   RIP        120

 

OSPF 開放式路由協議 帶寬 hello維持鄰居關係

 路由表 由路由根據鏈路狀態數據庫算出來的，不出現環路，路由器之間更新的是鏈路狀態，度量值帶寬。觸發式更新。

路由器三個表鄰居表，鏈路狀態表，路由表

特性

    有地區和自制系統組成

    最小化路由更新流量

    可擴展

    支持變長子網

    跳數不受限

    標準 開放的標準

 

OSPF配置

 

Router(config)#router ospf 110 進程號

Router(config-router)#network 172.16.0.00.0.255.255 area 0  區域號 只有同一個區域的接口才能交換鏈路狀態信息

Router(config-router)#network 172.16.0.10.0.0.0 area 0

 

查看路由表

show ip route

 

查看鏈路狀態數據庫

Router#show ip ospf databases

 

查看鄰居

Router#show ip ospf neighbor

 

測試OSPF收斂速度

 

DR 指定路由器 224.0.0.5224.0.0.6 維護鄰居信息

224.0.0.5---AllSPFRouters.224.0.0.6---AllDRouters（DR+BDR）

BDR 備用的指定路由器

 

更改DR BDR選舉優先級

Router(config-if)#ip ospf priority 2

 

路由協議分如下幾種類型，如今總結主要特色：

}  距離矢量協議，典型表明就是RIP，其特色就是週期性廣播或多播將本身的路由表通告給其餘路由器。

}  鏈路狀態協議，典型表明就是OSPF，其特色就是週期性使用Hello包維護鄰居信息，觸發式更新鏈路狀態，使用鏈路狀態數據庫計算路由表。

}  混合型協議，典型表明就是EIGRP，爲何說它是混合的呢？由於使用Hello包維護鄰居信息，觸發式更新，這些特性像鏈路狀態的部分特性，可是它又直接通告路由表到其餘路由器，這特性是距離矢量的特性。所以稱EIGRP爲混合型。

 

管理距離

 

第7章交換和VLAN

局域網組網設備

集線器

網橋

交換機

 

演示:查看交換機的MAC地址表

 

交換

   交換機MAC地址表是經過數據幀的源MAC地址構造的

   交換機端口能夠實現安全

   交換機端口上實現安全

能夠控制交換機端口鏈接計算機數量

 

在交換機端口綁定MAC地址 MAC和IP

Switch(config-if)#switchport mode access 配置該接口爲訪問接口

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-securityviolation shutdown

Switch(config-if)#switchport port-securitymaximum 1

Switch(config-if)#switchport port-securitymac-address 0090.0CD7.65C8

下面的命令一將現有的MAC地址綁定到端口個接口只能鏈接一個計算機

Switch(config-if-range)#switchportport-security mac-address sticky

再次查看MAC地址表就變成靜態的了

 

生成樹（STP）

   交換機的端口狀態

     阻斷監聽 學習 轉發 禁用

  Hello 時間 BPDU 默認 2S

選根交換機（根網橋）網橋ID=優先級+MAC 網橋ID小的優先成爲根

非根網橋選根端口 到根交換機近的端口

   1.最頂的網橋ID

   2.最低的到達根網橋的路徑開銷

   3.最低的發送方網橋ID

   4.最低的端口優先級

   5.最低的端口ID

 

每根網線兩端肯定一個指定端口，到根交換機近的爲指定端口

 

肯定根網橋

Switch#show spanning-tree   能夠看到阻斷的端口

---------------- ---- --- ----------------- --------------------------------

Gi5/1            Root FWD 4         128.6    P2p

Gi6/1            Altn BLK 4         128.7    P2p

Gi7/1            Altn BLK 4         128.8    P2p

Gi8/1            Altn BLK 4         128.9    P2p

更改網橋優先級

Switch(config)#spanning-tree vlan 1priority 4096

 

關閉vlan 1的生成樹

Switch(config)#no spanning-tree vlan 1

 

交換機的配置

 

Switch(config)#interface vlan 1

Switch(config-if)#ip address 192.168.0.100255.255.255.0

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#ip default-gateway192.168.0.1

 

Switch(config)#enable password aaa

Switch(config)#line vty 0 ?

Switch(config)#line vty 0 15

Switch(config-line)#password aaa

Switch(config-line)#login

優化生成樹

    當網絡中的交換機數量增長或鏈路有變化時，全部交換機上從新進行生成樹操做來肯定阻斷端口和轉發端口。在完成從新計算以前，交換機不能轉發任何數據。完成計算以後，才能轉發數據，這個過程須要的時間就是生成樹的收斂時間。在交換機端口上，生成樹拓撲從阻塞到轉發的典型收斂時間爲50秒。也就是說網絡拓撲有變化，網絡會中斷50秒。經過將匯聚層或核心層交換機設置爲根網橋，可使生成樹收斂得又快又好。

 

配置PortFast 鏈接計算機和服務器的端口能夠配置成portFast端口，當即進入轉發狀態，而避免監聽狀態和學習狀態

在鏈接計算機的接口上配置PortFast  copy running-configstartup-config

 

練習：啓用Portfast

Switch(config)#interface fastEthernet 0/1

Switch(config-if-range)#spanning-treeportfast

虛擬局域網VLAN

查看VLAN命令

Switch#show vlan

建立VLAN

Switch#config t

Switch(config)#vlan 2

Switch(config-vlan)#ex

Switch(config)#interface range fastEthernet0/11 - 24

Switch(config-if-range)#switchport accessvlan 2

 

VLAN間路由

 

單臂路由器

Switch(config-if)#switchport mode trunk

 

Router(config)#interface gigabitEthernet6/0

Router(config-if)#no sh

Router(config)#interface gigabitEthernet6/0.1

Router(config-subif)#encapsulation dot1Q 1

Router(config-subif)#ip address 192.168.0.1255.255.255.0

 

帶路由模塊的交換機實現VLAN間路由

 

VTP實現VLAN的添加 刪除在一個交換機上統一配置

Switch(config)#vtp domain todd

Switch(config)#vtp password aaa

Switch(config)#vtp mode client

 

三層交換解決了VLAN間路由速度問題

 

舉例說明VLAN的意義將安全要求相同的計算機放到一個VLAN 同一個網段有的計算機能訪問Internet有的不能，結果形成亂改IP地址，形成IP地址衝突。

第8章網絡安全

網絡層安全--ACL

安全

非軍事區 Internet 內網

 

三向外圍王

背靠背防火牆

 

網絡***

 

Dos DDos分佈式拒絕服務***

 

後門程序

 

IP欺騙

 

捕獲數據包

 

中間人***

 

訪問控制列表順序

默認拒絕

 

標準訪問控制列表

    基於源IP地址過濾數據包

 

擴展訪問控制列表

    基於源IP地址 目標IP地址 協議（TCP UDP IP（TCP UDP ICMP） ICMP）目標端口 來控制

 

定義標準ACL

Router#config t

Router(config)#access-list 10 deny host192.168.2.2

Router(config)#access-list 10 permit192.168.2.0 0.0.0.255

ACL 默認隱含拒絕全部

 

查看ACL

Router#show ip access-lists

 

將ACL綁定到接口

 

Router#config t

Router(config)#interface serial 3/0

Router(config-if)#ip access-group 10 out

 

刪除ACL

Router(config)#no access-list 10

 

ACL項 從上到下依次檢查，添加ACL時應該將具體IP地址或較爲具體的網段放到ACL上面

 

調整ACL順序，刪除ACL，再建立

將ACL在記事本中編輯好，粘貼到CLI

access-list 10 deny host 192.168.2.2

access-list 10 permit 192.168.2.0 0.0.0.255

 

 

先寫拒絕的項，其他都容許

access-list 10 deny host 192.168.2.2

access-list 10 permit 192.168.2.0 0.0.0.255

access-list 10 permit any 最後寫

 

ACL等價的寫法

access-list 10 deny host 192.168.2.2  ==

access-list 10 deny 192.168.2.2 0.0.0.0

 

access-list 10 permit any ==

access-list 10 permit 0.0.0.0255.255.255.255

 

定義擴展ACL

 

Router(config)#access-list 110 permit tcp192.168.2.0 0.0.0.255 host 10.0.0.2 eq 80

Router(config)#interface serial 3/0

Router(config-if)#ip access-group 110 out

Router(config)#access-list 110 permit icmp192.168.2.0 0.0.0.255 any

Router(config)#access-list 110 permit ip192.168.0.0 0.0.0.255 any

將ACL綁定到路由器telnet接口

Router(config-line)#access-class 11 in

 

訪問控制列表位置

標準的ACL放到距離目標網絡近的路由器上

擴展的ACL放到距離源地址較近的路由器上

 

案例：定義訪問控制列表

IP地址欺騙對策

決不容許任何源地址是內部主機地址或網絡地址的數據包進入一個私有的網絡

 

RB（config）#access-list 150 deny ip 127.0.0.00.255.255.255 any log

RB（config）#access-list 150 deny ip 0.0.0.0255.255.255.255 any log

RB（config）#access-list 150 deny ip 10.0.0.00.255.255.255 any log

RB（config）#access-list 150 deny ip 172.16.0.00.15.255.255 any log

RB（config）#access-list 150 deny ip 192.168.0.00.0.255.255 any log

RB（config）#access-list 150 deny ip 224.0.0.015.255.255.255 any log

RB（config）#access-list 150 deny ip host255.255.255.255 any log  

RB（config）#access-list 150 permit ip any any

RB（config）#interface Serial 2/0

RB（config-if）#ip access-group 150 in

後面log的做用是：當數據包應用該策略被拒絕時將會在控制檯顯示。

這個訪問控制列表拒絕任何來自如下源地址的數據包：

n   任何本地主機地址（127.0.0.0/8）；

n   任何保留的私有地址；

n   任何組播IP地址（224.0.0.0/4）。

第9章網絡地址轉換和端口映射

NAT帶來的好處

安全

單項通訊

增長網段不用增長路由表

缺點

   消耗性能  

 

網絡地址轉換 NAT

靜態NAT

CPE#config t

CPE（config）#ip NAT inside source static 10.0.0.2131.107.0.2

CPE（config）#ip NAT inside source static 10.0.0.3131.107.0.3

CPE（config）#ip NAT inside source static 10.0.0.4131.107.0.4

CPE（config）#ip NAT inside source static 10.0.0.5131.107.0.5

CPE（config）#ip NAT inside source static 10.0.0.6131.107.0.6

CPE（config）#interface fastEthernet 0/1

CPE（config-if）#ip NAT inside           --指定該接口爲NAT的內網接口

CPE（config-if）#ex

CPE（config）#int

CPE（config）#interface Serial 0/0

CPE（config-if）#ip NAT outside     --指定

動態NAT和PAT

CPE#config t

CPE(config)#access-list10 permit 10.0.0.0 0.0.0.255

CPE(config)#ip nat pooltodd 131.107.0.1 131.107.0.1 netmask 255.255.255.0 --先後兩個地址同樣，由於就一個公網地址

CPE(config)#ip natinside source list 10 pool todd   overload   --overload參數將會啓用PAT

CPE(config)#interfaceserial 0/0

CPE(config-if)#ip natoutside --指定NAT的外網接口

CPE(config-if)#ex

CPE(config)#interfacefastEthernet 0/1

CPE(config-if)#ip natinside      --指定NAT的內網接口

端口映射

CPE>en

CPE#config t

CPE(config)#ip natinside source static tcp 10.0.0.5 80 131.107.0.1 80

CPE(config)#ip natinside source static tcp 10.0.0.6 80 131.107.0.1 81

CPE(config)#ip natinside source static tcp 10.0.0.4 25 131.107.0.1 25

CPE(config)#ip natinside source static tcp 10.0.0.4 110 131.107.0.1 110

CPE(config)#interfacefastEthernet 0/1

CPE(config-if)#ip natinside

CPE(config-if)#ex

CPE(config)#interfaceserial 0/0

CPE(config-if)#ip natoutside

Windows實現的NAT和端口映射

Windows鏈接共享實現的端口映射

路由貓實現的端口映射

安全內網受保護

訪問內網必須配置端口映射

 

 

舉例說明：NAT對網絡性能的影響

軟件學院9樓增長一個網段網管並不知道

核寺院涉密系統

代理軟件 ccproxy

第10章 Cisco無線網絡

無線網

  無線局域網

接入數量

第11章Ipv6

爲何須要Ipv6   Ipv4的不足   Ipv6協議棧

IPv6

 IPv4不足的地方

     地址匱乏

     不安全 IPSec

     不支持 QoS

     不支持即插即用

Ipv6尋址表達式

Ipv6地址類型

Ipv6中特殊的地址

實戰：Windows2008自動IP地址配置

實戰：Ipv6通訊本地鏈路地址通訊

實戰：Ipv6訪問網站

IPv6地址 128

   2001:0300::34

  http://[2001:200::21]

   本地鏈路地址FE

   全局地址

配置Ipv6路由

   ipv6 unicast-routing

 

   RIPng OSPFv3 EIGRP

 

IPv4和IPv6共存技術

雙協議棧

6to4隧道技術

ISATAP隧道技術

NAT-PT（Network AddressTranslation-Protocol）

第12章廣域網

廣域網

 

專線安全 帶寬有保證

電路交換電話

包交換相似以太網

 

銅線 x.25 光線幀中繼

 

廣域網封裝

 

PPP協議 工業標準 HDLC 鏈路控制協議LCP 網絡控制協議（NCP）

 

遠程訪問出差 外地用戶訪問企業內網 技術支持

·

*** 經過Internet訪問內網

   PPTP協議 TCP 1723端口

   L2TP協議 TCP 1701端口

   SSL ***  TCP 443 端口 https://

 

站點間***

經過Internet將多個局域網鏈接起來

 

遠程訪問配置步驟：

1.建立用戶 容許撥入

2.啓用遠程訪問 指定分配給遠程用戶的內網地址範圍

跨網段地址分配