網絡知識點總結_02

傳輸層 TCP頭部 + 上層數據 -->數據段

協議：TCP UDP

TCP的封裝格式：

TCP:Transmission Control Protocol
      傳輸控制協議
      面向鏈接的協議
      傳輸效率低
      FTP(21) Telnet(23) SMTP(25) DNS(53) HTTP(80)

UDP的封裝格式：

UDP:User Datagram Protocol
        用戶數據報
        不可靠的、無鏈接的服務
        傳輸效率高
        TFTP(69) DNS(53) NTP(123)

一.訪問控制

1> ACL的配置

     定義：讀取頭部信息，根據規則進行過濾

     頭部{ IP報頭（源、目標地址） + TCP報頭（源端口、目標端口） } + 數據

     上圖中爲何須要交換機：省路由器的接口！

2> 訪問控制列表的類型
標準訪問控制列表：
        基於源IP地址過濾（列表號是1-99）

擴展訪問控制列表：
       基於原IP地址、目的IP地址、指定協議、端口（列表號是100-199）

3> 配置（路由器）
標準ACL配置1:
       注：單獨拒絕192.168.2.1，放行其餘數據。 0.0.0.0，0是不校驗
       Router(config)#access-list 1 deny 192.168.2.1 0.0.0.0 或
       Router(config)#access-list 1 deny host 192.168.2.1
       Router(config)#access-list 1 permit any
      （爲何要這句，匹配即中止，不匹配則隱含拒絕！）

      在出或者入接口，應用acl
      Router(config-if)#ip access-group 1 in（out）

      取消：
      Router(config)#no access-list 1
      查看：
      Router#show access-lists

標準ACL配置2:
      單獨容許192.168.2.1，拒絕所有
      Router(config)#access-list 1 permit 192.168.2.1 0.0.0.0 或
      Router(config)#access-list 1 permit host 192.168.2.1
      Router(config-if)#ip access-group 1 in

擴展ACL配置:
       Router(config)#access-list 101 deny tcp host 192.168.1.0 0.0.0.255 host  192.168.2.2 eq 80
       Router(config)#access-list 101 permit ip any any
       Router(config-if)#ip access-group 101 in
       注：拒絕192.168.1.0網段訪問192.168.2.2的80服務

二.靜態NAT

1> NAT Network Address Translation 網絡地址轉換

***********************
     做用：將內網IP翻譯成公網IP，使內網能鏈接外網。
               節省合法IP地址
               處理地址重疊
               安全性
     缺點：
               延遲增大
               配置和維護的複雜性

私有IP地址的分類：
       A類：10.0.0.0 -- 10.255.255.255
       B類：172.16.0.0 -- 172.31.255.255
       C類：192.168.0.0 -- 192.168.255.255

********************************

實現方式：靜態轉換 端口多路複用(PAT)

靜態轉換（Static Translation）
       原理：拼接封裝，相似於打標記
        出：內網局部IP+內網全局IP-->外網
        回：外網-->內網全局IP-->內網局部IP(10.10.10.1,不去10.10.10.2，由於有標記）
        配置：在路由器的內網一側端口（通常爲網關）和外部一側端口（通常爲公網IP 分別配置IP地址，no shutdown
                          Router(config)#ip nat inside source static tcp 內網單點IP 公網IP
                  在內部和外部端口上啓用NAT：
                          Router(config)#interface g0/1（外）
                          Router(config-if)#ip nat outside
                          Router(config)#interface g0/0（內）
                          Router(config-if)#ip nat inside
                         注：內網各主機的網關是192.168.1.254，配置在路由器內側
                         此轉換隻轉換了一臺主機上外網，有兩個思路：
                         1.外網只有一個，只買了一家，萬一外網沒網了怎麼辦？
                                 解決：將不一樣的內網IP轉換爲不一樣的公網IP
                         2.靜態轉換隻轉換了1臺主機訪問外網，多臺或者全部怎麼配置？
                                 解決：一個公網IP只能綁定一各內網IP，多個內網IP能上網，要麼買多個公網IP，要麼用PAT。
              端口映射：
                      Router(config)#ip nat inside source static tcp 192.168.1.1 80 100.0.0.2 80
                      注：靜態裝換真是內網能上網，那外網訪問內網的服務就須要開內網的端口，與外網的端口匹配，映射的是端口，外網能夠訪問內網的服務。

端口多路複用（Port Address Translation）
       做用：改變內網外出數據包的源IP地址和端口，並進行地址轉換，使內部全部主機都可共享一個合法IP實現外網訪問，節約IP。
       配置：使用acl定義內部ip地址
                         Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255（只容許了1.0網段）
                 使用pat複用外網接口地址
                        Router(config)#ip nat inside source list 1 interface g0/1 overload （g0/1，在路由器對外端口轉換）
                 在內部和外部端口上啓用NAT：
                        Router(config)#interface g0/1（外）
                        Router(config-if)#ip nat outside
                        Router(config)#interface g0/0（內）
                        Router(config-if)#ip nat inside
                        注：靜態轉換還得映射端口，PAT端口也給轉換了
                        靜態轉換和PAT，路由器兩邊內外網端口都要配IP，都要啓用轉換。

三.STP Spanning Tree Protocol（交換機）
做用：配置阻塞接口，邏輯上斷開網絡環路，組織廣播風暴。線路故障，阻塞激活。（備份冗餘的做用）

來源：複雜的網絡拓撲實現備份冗餘的時候，防止交換機造成環路又能實現備份冗餘和負載均衡。

配置阻塞：交換機三環逆時針同vlan中，第一個主根，第二個次根，則次根的下一個（逆時針）鏈路將阻塞。（即邏輯上斷開環路，防止廣播風暴，但整個鏈路是通的）
命令：
      配置主根：（交換機1）
            Switch(config)#spanning-tree vlan 1 priority 24576 或
            Switch(config)#spanning-tree vlan 1 root primary
      配置次根：（交換機2）
            Switch(config)#spanning-tree vlan 1 priority 28672 或
            Switch(config)#spanning-tree vlan 1 root secondary

理解：
        vlan1數據傳輸如圖所示，若是紅a鏈路段斷裂，則紅x鏈路激活，網絡仍是暢通
        vlan2數據傳輸如圖所示，若是藍b鏈路段斷裂，則藍x鏈路激活，網絡仍是暢通

理論實現步驟：

     1.MS1底層客戶機配置IP，網關（1.1-->1.252,2.1-->2.252）
        MS2底層客戶機配置IP，網關（1.2-->1.253,2.2-->2.253）

     2.全部交換機鏈接的接口，配置中繼鏈路:
            二層交換機：Switch(config-if-range)#switchport mode trunk
            三層交換機：
                                 Switch(config-if-range)#switchport trunk encapsulation dot1q
                                 Switch(config-if-range)#switchport mode trunk

     3.全部交換機建立Vlan2,配置MS1爲vlan1的活躍路由器、vlan2的備份路由器，MS2爲vlan1的備份路由器、vlan2的備份路由器，實現負載均衡的效果
        配置vlan IP：
               MS1:
                    vlan1配置IP:
                             Switch(config-if)#ip address 192.168.1.252 255.255.255.0
                             Switch(config-if)#no shutdown
                    vlan2配置IP:
                             Switch(config-if)#ip address 192.168.2.252 255.255.255.0
              MS2:
                    vlan1配置IP:
                             Switch(config-if)#ip address 192.168.1.253 255.255.255.0
                             Switch(config-if)#no shutdown
                    vlan2配置IP:
                             Switch(config-if)#ip address 192.168.2.253 255.255.255.0

       配置對應vlan主次根：
             MS1:
                   Switch(config)#spanning-tree vlan 1 root primary
                   Switch(config)#spanning-tree vlan 2 root secondary
             MS2:
                    Switch(config)#spanning-tree vlan 2 root primary
                    Switch(config)#spanning-tree vlan 1 root secondary

       開啓熱備份功能:(建立虛擬網關254）
             MS1:
                    vlan 1:
                              Switch(config-if)#standby 1 ip 192.168.1.254
                              Switch(config-if)#standby 1 priority 105（主根）
                              Switch(config-if)#standby 1 preempt（先佔據主導地位）
                   vlan 2:
                              Switch(config-if)#standby 2 ip 192.168.2.254
            MS2:
                   vlan 1:
                              Switch(config-if)#standby 1 ip 192.168.1.254

                   vlan 2:
                              Switch(config-if)#standby 2 ip 192.168.2.254
                              Switch(config-if)#standby 2 priority 105（主根）
                              Switch(config-if)#standby 2 preempt（先佔據主導地位）

 

++++++++++++++++++++++++

Vlan:分割廣播域

 

Trunk:分割識別vlan

 

以太通道：（交換機）鏈路聚合，負載均衡、備份冗餘

 

靜態路由：（ip route 網段 掩碼 下一跳 ）多網互通

 

動態路由：多網互通

     Switch(config)#router ospf 1

     Switch(config-router)#network 網段 反掩碼 area 0 (多網互通）

 

訪問控制（ACL,傳輸層，路由器）                 

     Router(config)#access-list 100 deny tcp host 192.168.2.2 host 192.168.1.1 eq 80

     Router(config)#interface gigabitEthernet 0/1

     Router(config-if)#ip access-group 100 in

 

NAT地址轉換：內網訪問外網

    靜態轉換：

              Router(config)#ip nat inside source static 192.168.1.1 100.0.0.2

              Router(config)#interface g0/1

              Router(config-if)#ip nat outside

              Router(config)#interface g0/0

              Router(config-if)#ip nat inside

              端口映射：

              Router(config)#ip nat inside source static tcp 192.168.1.1 80 100.0.0.2 80 

    端口多路複用：PAT

              Router(config)#access-list 1 permit 網段 反掩碼 

              Router(config)#ip nat inside source list 1 interface g0/1 overload（路由外接口）

STP:生成樹協議

做用：配置阻塞接口，防止造成廣播風暴

    主根：

          Switch(config)#spanning-tree vlan 1 priority 24576 或

          Switch(config)#spanning-tree vlan 1 root primary

    次根：

          Switch(config)#spanning-tree vlan 1 priority 28672 或

          Switch(config)#spanning-tree vlan 1 root secondary

 

HSRP熱備份路由選擇協議:虛擬網關（1.252 + 1.253 --> 1.254）

    MS1：

       Switch(config)#interface vlan 1

       Switch(config-if)#standby 1 ip 192.168.1.254

    MS2：

       Switch(config)#interface vlan 1

       Switch(config-if)#standby 1 ip 192.168.1.254

++++++++++++++++++++++++