第十二天內容《基礎交換十二》
阿新 • • 發佈:2017-11-18
cisco 交換機 路由器 基礎交換 深圳雲計算王森
配置命令:
router rip
version 2
no auto-summary
network x.x.x.x
驗證、測試命令:
show ip protocols //查看本地設備上啟用的所有的路由協議信息
show ip route // 查看本地路由表;
clear ip route * // 刷新本地的動態路由條目
特殊路由 - 默認路由
默認路由:表示的是所有的網段;
表現形式: 0.0.0.0/0 ;
-配置方式(靜態)
-配置方式(動態-RIP)
# ip route 0.0.0.0 0.0.0.0 23.1.1.3 //創建默認路由
# router rip
redistribute static
//將本地路由表中的靜態路由,引入到 RIP 中,然後發給其他的內網的RIP路由器;
-路由表顯示
在路由表中,默認路由條目前面肯定會有一個“*”符號;
------------------------------------------------------------
Null 0 路由 :滯空路由
凡是發送到端口的數據包,都會被丟棄掉;
一般用於防止數據環路或者是病毒數據包;
配置方式:
ip route x.x.x.x y.y.y.y null 0
路由表條目匹配規則:
最長匹配
匹配的越長,表示越精確;
例如:
R8:
ip route 192.168.9.100 255.255.255.255 null 0
ip route 0.0.0.0 0.0.0.0 12.1.1.2
當某主機向目標IP地址 192.168.9.100 發送數據包時,匹配的是上面
--------------------------------------------------
路由管理
- 認識路由
R 192.168.2.0/24 [120/2] via 12.1.1.2
- 配置路由屬性
-AD
router rip
dsitance 119
- 驗證
show ip protocols
show ip route rip
-Metric
每經過一個路由器,metric都會加1;
router rip
offset-list [acl] in 4 gi0/0
-----------------------------------------------
路由條目 -- 目標IP
192.168.1.0 /24
標準 ACL 條目 -- 源IP
192.168.0.1 0.0.255.0
---------------------------------------------------------
R1:
-創建ACL
ip access-list standard Deny-Ping
10 deny 192.168.1.1 0.0.0.0
!
-調用ACL
interface gi0/1
ip access-group Deny-Ping in
-驗證 ACL
show ip access-list // 查看 ACL 的配置信息;
show ip interface gi0/1 // 查看 ACL 的調用信息;
-測試:
PC-1 :
ping 192.168.2.3 , 應該是不通;
==========================================================
ACL:
access control list ,訪問控制列表,用於匹配感興趣的
流量,並進行“控制”;
-作用:
用於實現對數據報文的控制;
-類型:
標準
-只能匹配 IP 頭部中的 源IP 地址;
擴展
-可以同時匹配 IP 頭部中的 源和目標 IP 地址,
同時,還可以匹配 傳輸層協議;
-表示:
ID,通過不同範圍的ID,表示 ACL 的不同類型;
標準 - 1~99
擴展 - 100~199
word ,通過名字,表示 ACL (項目中常用方法)
通過 名字 區分不同的 ACL 時候,在創建之初,
必須提前指定 ACL 的類型;
例如:
ip access-list standard "name"
ip access-list extended "name"
-配置:
創建ACL
ip access-list standard ABC
10 deny 192.168.1.0 0.0.0.255
調用ACL
interface gi0/1
ip access-group ABC in
驗證ACL
show ip access
show ip interface gi0/1
測試
PC-1 ----> PC-3
192.168.1.1 --> 192.168.2.3
-工作原理:
當端口在特定的方向收到流量以後,開始進行特定方向
上的 ACL 條目的檢查,規則如下:
1、ACL如果多個條目,則按照每個條目的序列號從小
到大依次檢查、匹配:
2、首先檢查數據包的源頭IP地址,是否可以匹配;
如果不可以,則檢查下一個 ACL 條目;
如果可以,則繼續(3)
3、其次檢查數據包的目標IP地址,是否可以匹配;
如果不可以,則檢查下一個 ACL 條目;
如果可以,則繼續(4)
4、再次檢查數據包的IP後面的協議的類型,是否可以匹配
如果不可以,則檢查下一個 ACL 條目;
如果可以,則繼續(5)
5、查看 該 ACL 條目的 動作 : permit / deny ;
6、確定 該 ACL 調用在端口的什麽方向?
如果是 out,則表示允許/拒絕 轉發出去;
如果是 in , 則表示允許/拒絕 轉發進來;
註意:
ACL 條目 是按照序列號從小到大,逐條目檢查的;
如果該條目沒有匹配住,則匹配下一個條目;
如果該條目匹配主了,則執行上面的(5,6)作用;
每個 ACL 後面都有一個隱含的拒絕所有。
針對 標準/擴展 ACL 的 “允許” 所有,配置命令如下:
標準ACL -
ip access-list standard Permit
10 permit any
擴展ACL -
ip access-list extended Permit
10 permit ip any any
**** 在現網中,對ACL進行創建、修改、刪除之前,都要
查看一下當前設備上是否存在對應的 ACL 以及調用情況
---------------------------------------------------------
ACL調用建議:
1、如果想通過標準 ACL ,拒絕訪問某一個目標主機,
則將 ACL 調用在距離目標主機盡可能近的地方;
2、如果想通過標準 ACL ,控制某一個源IP地址主機
的上網行為,則將調用在距離源IP地址主機盡可能近的地方
3、擴展 ACL 應該調用在距離 源主機 盡可能近的地方;
因為擴展 ACL 可以精確的區分不同類型的流量;
通過 ACL 控制流量 的 配置思路:
1、先分析原有數據流的走向
2、確定轉發路徑上的設備 (確定路由設備)
3、確定在哪些設備的、哪些端口的、哪些方向上
4、確定 ACL 如何寫
5、確定 如何調用
6、驗證和測試
---------------------------------------------------
小案例:
192.168.1.1 -------> 192.168.2.3
-ping
icmp , internet control message protocol
-telnet
tcp , 23
transport control protocol ,傳輸控制協議
建立的是一個穩定的鏈接;
常見流量分析:(套接字)
tcp 80 ---> web
tcp 21 ---> FTP
udp 67/68 --> DHCP
udp 520 --> RIP
user datagram protocol ,用戶數據報文協議;
建立的是一個不可靠的鏈接,但是
傳輸速度快;
端口號: 0--65535
知名端口(wellknown port )
隨機高端口 > 1024
套接字組成:(後期經常研究的對象)
IP+tcp/udp + port ===> IP socket ,套接字
192.168.1.1 , tcp 80 ,
192.168.1.1 , tcp 23 ,
---------------------------------------------------------
小擴展:
2層交換機配置網管IP:
SW1#
interface vlan 1
no shutdown
ip address 192.168.2.9 255.255.255.0
ip default-gateway 192.168.2.254
// 為交換機配置網關IP,類似於 PC ;
擴展ACL配置需求-1:
192.168.1.1 ----> 192.168.2.9
ping : icmp // not
telnet : tcp 23 // yes
配置案例的實現命令:
R2:
ip access-list extended HAHA // 創建擴展 ACL ;
15 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.9
25 permit ip any any
interface gi0/1 // telnet 流量的入端口;
ip access-group HAHA in
配置案例的結果:
ping , not ;
telnet , yes ;
擴展ACL配置需求-2:
192.168.1.1 ----> 192.168.2.9
ping : icmp // yes
telnet : tcp 23 // not
R1:
-創建ACL
ip access-list extended HOHO
10 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.9 eq 23
20 permit ip any any
-調用 ACL
interface gi0/1 // 鏈接的是 PC-10
ip access-group HOHO in
!
-驗證 和 測試
show ip access-list
show ip interface brief
telnet x.x.x.x ----------------->NO
註意:
《最後的莫西幹人》
- 網易雲音樂
show ip protocols //查看本地設備上啟用的所有的路由協議信息;
clear ip route * //清除本地路由表中的所有動態路由條目;
默認路由:
表現形式: 0.0.0.0/0 ;
-配置方式(靜態)
ip route 0.0.0.0 0.0.0.0 12.1.1.2
-配置方式(動態-RIP)
# ip route 0.0.0.0 0.0.0.0 23.1.1.3 //創建默認路由
# router rip
redistribute static
//將本地路由表中的靜態路由,引入到 RIP 中,然後發給其他的內網的RIP路由器;
-路由表顯示
在路由表中,默認路由條目前面肯定會有一個“*”符號;
RIP :
屬於距離矢量路由協議;
位於 OSI 模型的第 7 層,通過 UDP 520來表示;
傳遞路由的方式,是一跳一跳的傳輸;(hop - 跳)
版本:
默認版本: 發版本1,收版本1和2;
版本1:發版本1,收版本1,
版本2:發版本2,收版本2,
版本2的優點:
1、可以攜帶子網掩碼;
2、支持認證功能;
3、支持路由標記,便於管理路由條目;
4、發送方式為組播 - 224.0.0.9
報文:
請求 - request,用於向其他路由器請求路由條目;
配置命令:
router rip
version 2
no auto-summary
network x.x.x.x
驗證、測試命令:
show ip protocols //查看本地設備上啟用的所有的路由協議信息
show ip route // 查看本地路由表;
clear ip route * // 刷新本地的動態路由條目
特殊路由 - 默認路由
默認路由:表示的是所有的網段;
表現形式: 0.0.0.0/0 ;
-配置方式(靜態)
-配置方式(動態-RIP)
# ip route 0.0.0.0 0.0.0.0 23.1.1.3 //創建默認路由
# router rip
redistribute static
//將本地路由表中的靜態路由,引入到 RIP 中,然後發給其他的內網的RIP路由器;
-路由表顯示
在路由表中,默認路由條目前面肯定會有一個“*”符號;
------------------------------------------------------------
Null 0 路由 :滯空路由
凡是發送到端口的數據包,都會被丟棄掉;
一般用於防止數據環路或者是病毒數據包;
配置方式:
ip route x.x.x.x y.y.y.y null 0
路由表條目匹配規則:
最長匹配
匹配的越長,表示越精確;
例如:
R8:
ip route 192.168.9.100 255.255.255.255 null 0
ip route 0.0.0.0 0.0.0.0 12.1.1.2
當某主機向目標IP地址 192.168.9.100 發送數據包時,匹配的是上面
--------------------------------------------------
路由管理
- 認識路由
R 192.168.2.0/24 [120/2] via 12.1.1.2
- 配置路由屬性
-AD
router rip
dsitance 119
- 驗證
show ip protocols
show ip route rip
-Metric
每經過一個路由器,metric都會加1;
router rip
offset-list [acl] in 4 gi0/0
-----------------------------------------------
路由條目 -- 目標IP
192.168.1.0 /24
標準 ACL 條目 -- 源IP
192.168.0.1 0.0.255.0
---------------------------------------------------------
R1:
-創建ACL
ip access-list standard Deny-Ping
10 deny 192.168.1.1 0.0.0.0
!
-調用ACL
interface gi0/1
ip access-group Deny-Ping in
-驗證 ACL
show ip access-list // 查看 ACL 的配置信息;
show ip interface gi0/1 // 查看 ACL 的調用信息;
-測試:
PC-1 :
ping 192.168.2.3 , 應該是不通;
==========================================================
ACL:
access control list ,訪問控制列表,用於匹配感興趣的
流量,並進行“控制”;
-作用:
用於實現對數據報文的控制;
-類型:
標準
-只能匹配 IP 頭部中的 源IP 地址;
擴展
-可以同時匹配 IP 頭部中的 源和目標 IP 地址,
同時,還可以匹配 傳輸層協議;
-表示:
ID,通過不同範圍的ID,表示 ACL 的不同類型;
標準 - 1~99
擴展 - 100~199
word ,通過名字,表示 ACL (項目中常用方法)
通過 名字 區分不同的 ACL 時候,在創建之初,
必須提前指定 ACL 的類型;
例如:
ip access-list standard "name"
ip access-list extended "name"
-配置:
創建ACL
ip access-list standard ABC
10 deny 192.168.1.0 0.0.0.255
調用ACL
interface gi0/1
ip access-group ABC in
驗證ACL
show ip access
show ip interface gi0/1
測試
PC-1 ----> PC-3
192.168.1.1 --> 192.168.2.3
-工作原理:
當端口在特定的方向收到流量以後,開始進行特定方向
上的 ACL 條目的檢查,規則如下:
1、ACL如果多個條目,則按照每個條目的序列號從小
到大依次檢查、匹配:
2、首先檢查數據包的源頭IP地址,是否可以匹配;
如果不可以,則檢查下一個 ACL 條目;
如果可以,則繼續(3)
3、其次檢查數據包的目標IP地址,是否可以匹配;
如果不可以,則檢查下一個 ACL 條目;
如果可以,則繼續(4)
4、再次檢查數據包的IP後面的協議的類型,是否可以匹配
如果不可以,則檢查下一個 ACL 條目;
如果可以,則繼續(5)
5、查看 該 ACL 條目的 動作 : permit / deny ;
6、確定 該 ACL 調用在端口的什麽方向?
如果是 out,則表示允許/拒絕 轉發出去;
如果是 in , 則表示允許/拒絕 轉發進來;
註意:
ACL 條目 是按照序列號從小到大,逐條目檢查的;
如果該條目沒有匹配住,則匹配下一個條目;
如果該條目匹配主了,則執行上面的(5,6)作用;
每個 ACL 後面都有一個隱含的拒絕所有。
針對 標準/擴展 ACL 的 “允許” 所有,配置命令如下:
標準ACL -
ip access-list standard Permit
10 permit any
擴展ACL -
ip access-list extended Permit
10 permit ip any any
**** 在現網中,對ACL進行創建、修改、刪除之前,都要
查看一下當前設備上是否存在對應的 ACL 以及調用情況
---------------------------------------------------------
ACL調用建議:
1、如果想通過標準 ACL ,拒絕訪問某一個目標主機,
則將 ACL 調用在距離目標主機盡可能近的地方;
2、如果想通過標準 ACL ,控制某一個源IP地址主機
的上網行為,則將調用在距離源IP地址主機盡可能近的地方
3、擴展 ACL 應該調用在距離 源主機 盡可能近的地方;
因為擴展 ACL 可以精確的區分不同類型的流量;
通過 ACL 控制流量 的 配置思路:
1、先分析原有數據流的走向
2、確定轉發路徑上的設備 (確定路由設備)
3、確定在哪些設備的、哪些端口的、哪些方向上
4、確定 ACL 如何寫
5、確定 如何調用
6、驗證和測試
---------------------------------------------------
小案例:
192.168.1.1 -------> 192.168.2.3
-ping
icmp , internet control message protocol
-telnet
tcp , 23
transport control protocol ,傳輸控制協議
建立的是一個穩定的鏈接;
常見流量分析:(套接字)
tcp 80 ---> web
tcp 21 ---> FTP
udp 67/68 --> DHCP
udp 520 --> RIP
user datagram protocol ,用戶數據報文協議;
建立的是一個不可靠的鏈接,但是
傳輸速度快;
端口號: 0--65535
知名端口(wellknown port )
隨機高端口 > 1024
套接字組成:(後期經常研究的對象)
IP+tcp/udp + port ===> IP socket ,套接字
192.168.1.1 , tcp 80 ,
192.168.1.1 , tcp 23 ,
---------------------------------------------------------
小擴展:
2層交換機配置網管IP:
SW1#
interface vlan 1
no shutdown
ip address 192.168.2.9 255.255.255.0
ip default-gateway 192.168.2.254
// 為交換機配置網關IP,類似於 PC ;
擴展ACL配置需求-1:
192.168.1.1 ----> 192.168.2.9
ping : icmp // not
telnet : tcp 23 // yes
配置案例的實現命令:
R2:
ip access-list extended HAHA // 創建擴展 ACL ;
15 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.9
25 permit ip any any
interface gi0/1 // telnet 流量的入端口;
ip access-group HAHA in
配置案例的結果:
ping , not ;
telnet , yes ;
擴展ACL配置需求-2:
192.168.1.1 ----> 192.168.2.9
ping : icmp // yes
telnet : tcp 23 // not
R1:
-創建ACL
ip access-list extended HOHO
10 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.9 eq 23
20 permit ip any any
-調用 ACL
interface gi0/1 // 鏈接的是 PC-10
ip access-group HOHO in
!
-驗證 和 測試
show ip access-list
show ip interface brief
telnet x.x.x.x ----------------->NO
註意:
《最後的莫西幹人》
- 網易雲音樂
show ip protocols //查看本地設備上啟用的所有的路由協議信息;
clear ip route * //清除本地路由表中的所有動態路由條目;
默認路由:
表現形式: 0.0.0.0/0 ;
-配置方式(靜態)
ip route 0.0.0.0 0.0.0.0 12.1.1.2
-配置方式(動態-RIP)
# ip route 0.0.0.0 0.0.0.0 23.1.1.3 //創建默認路由
# router rip
redistribute static
//將本地路由表中的靜態路由,引入到 RIP 中,然後發給其他的內網的RIP路由器;
-路由表顯示
在路由表中,默認路由條目前面肯定會有一個“*”符號;
第十二天內容《基礎交換十二》