雲計算網絡基礎第七天
通常稱之為以太網鏈路捆綁,或者叫鏈路匯聚、鏈路聚合;
-作用:
將多個類似的接口,捆綁成一個邏輯接口,從而
增加設備之間的傳輸帶寬
增加設備之間的連接可靠性
不但可以在設備之間形成鏈路備份,還可以實現數據轉發的
負載均衡;
-註意:
可以將多個2層鏈路捆綁在一起;
可以將多個3層鏈路捆綁在一起;
配置思路:
1、將多個成員端口放入指定的 channel-group ;
2、查看並配置虛擬出來的“port-channel" ;
創建 Ether-channel :
interface rang fas0/23 , fas0/24 # 將成員端口放入組 23 ;
channel-group 23 mode on
interface rang fas0/23 , fas0/24 # 將成員端口放入組 32 ;
channel-group 32 mode on
----------------------------------------------
show ip interface brief # 驗證 Ether-channel 後形成的
port-channel 23 虛擬端口(捆綁成一個口)
port-channel 32
-----------------------------------------------
interface port-channel 23 # 配置每個port-channel 為 Trunk ;
switchport trunk encapsulation dot1q
switchport mode trunk
interface port-channel 32
switchport trunk encapsulation dot1q
switchport mode trunk
!
---------------------------------------------------------------------------------------------------------------
註意:
進行鏈路捆綁的鏈路可以是2層鏈路,也可以是3層鏈路;
進行鏈路捆綁的鏈路必須參數相同;
所謂的3層鏈路,指的是可以配置IP地址的鏈路;
所謂的2層鏈路,指出是交換機上不可以配置IP地址的鏈路;
所謂的2層網絡,指的是交換網絡;
所謂的3層網絡,指的是路由網絡;
所謂的2層地址,指的是 MAC 地址;
所謂的3層地址,指的是 IP 地址;
所以:
2層不通,看 MAC ;
3層不通,看 IP ;
-----------------------------------------------------
路由協議:
-作用 : 在路由器上運行之後,讓路由器之間自動互相學習
各自的路由條目;
路由協議分類:
直連
非直連
靜態
動態
IGP
DV
RIP
IGRP
EIGRP
LS
ISIS
OSPF
EGP - BGP
--------------------------------------------------------
RIP , routing information protocol , 路由信息協議;
PC1 : 192.168.1.1/24
192.168.1.254
R1:
interface gi0/0 # 連接的是 PC1
no shutdown
ip address 192.168.1.254 255.255.255.0
interface gi0/1 # 連接的是 R2 ;
no shutdown
ip address 12.1.1.1 255.255.255.0
配置 RIP 協議:
router rip
version 2
no auto-summary
network 192.168.1.0
network 12.0.0.0
R2:
interface gi0/1 # 連接的是 R1 ;
no shutdown
ip address 12.1.1.2 255.255.255.0
interface gi0/0 # 連接的是 R3 ;
no shutdown
ip address 23.1.1.2 255.255.255.0
配置 RIP 協議 :
router rip
version 2
no auto-summary
network 12.0.0.0
network 23.0.0.0
R3:
interface gi0/0 # 連接的是 R2 ;
no shutdown
ip address 23.1.1.3 255.255.255.0
interface gi0/2 # 連接的是 PC2
no shutdown
ip address 192.168.2.254 255.255.255.0
配置 RIP 協議 :
router rip // 為設備啟用 RIP 協議;
version 2 // 配置版本號為 2 ;
no auto-summary // 關閉自動匯總;
network 192.168.2.0 //後面跟的必須是直連、主類網段
network 23.0.0.0
PC2: 192.168.2.1 /24
192.168.2.254
測試命令:
在R1/R2/R3 上查看路由表,可以看到其他網段的路由條目,
是通過 RIP 協議學習過來的;
show ip route //顯示路由表的全部條目;
show ip route rip // 僅僅顯示路由表中的 RIP 條目;
PC1 ----> PC2 , 正確結果應該是:通!
---------------------------------------------------
Router rip
network x.x.x.x
1、x.x.x.x 是一個主類網絡形式; 1
2、x.x.x.x 表示的是一個IP地址範圍;
3、x.x.x.x 表示的範圍內的IP地址,僅僅限制直連鏈路;
4、本地設備上,凡是被該 x.x.x.x 範圍覆蓋住的 IP 地址
所在的鏈路,都啟用 RIP 協議:
#可以在該端口上發送 RIP 報文;
#可以在該端口上接收 RIP 報文;
#可以將該端口上的IP地址中的網絡部分,放在
RIP報文中,傳輸給其他的路由器;
RIP :
屬於距離矢量路由協議;
位於 OSI 模型的第 7 層,通過 UDP 520來表示;
傳遞路由的方式,是一跳一跳的傳輸;(hop - 跳)
版本:
默認版本: 發版本1,收版本1和2;
版本1:發版本1,收版本1,
版本2:發版本2,收版本2,
版本2的優點:
1、可以攜帶子網掩碼;
2、支持認證功能;
3、支持路由標記,便於管理路由條目;
4、發送方式為組播 - 224.0.0.9
報文:
請求 - request,用於向其他路由器請求路由條目;
回應 - respone,用於對請求信息的回應,攜帶自己的路由發給對方
配置命令:
router rip
version 2
no auto-summary
network x.x.x.x
驗證、測試命令:
show ip protocols //查看本地設備上啟用的所有的路由協議信息
show ip route // 查看本地路由表;
clear ip route * // 刷新本地的動態路由條目
特殊路由 - 默認路由
默認路由:表示的是所有的網段;
表現形式: 0.0.0.0/0 ;
-配置方式(靜態)
ip route 0.0.0.0 0.0.0.0 12.1.1.2
-配置方式(動態-RIP)
# ip route 0.0.0.0 0.0.0.0 23.1.1.3 //創建默認路由
# router rip
redistribute static
//將本地路由表中的靜態路由,引入到 RIP 中,然後發給其他的內網的RIP路由器;
-路由表顯示
在路由表中,默認路由條目前面肯定會有一個“*”符號;
------------------------------------------------------------
Null 0 路由 :滯空路由
凡是發送到端口的數據包,都會被丟棄掉;
一般用於防止數據環路或者是病毒數據包;
配置方式:
ip route x.x.x.x y.y.y.y null 0
路由表條目匹配規則:
最長匹配
匹配的越長,表示越精確;
例如:
R8:
ip route 192.168.9.100 255.255.255.255 null 0
ip route 0.0.0.0 0.0.0.0 12.1.1.2
當某主機向目標IP地址 192.168.9.100 發送數據包時,匹配的是上面
--------------------------------------------------
路由管理
- 認識路由
R 192.168.2.0/24 [120/2] via 12.1.1.2
- 配置路由屬性
-AD
router rip
dsitance 119
- 驗證
show ip protocols
show ip route rip
-Metric
每經過一個路由器,metric都會加1;
router rip
offset-list [acl] in 4 gi0/0
-----------------------------------------------
路由條目 -- 目標IP
192.168.1.0 /24
標準 ACL 條目 -- 源IP
192.168.0.1 0.0.255.0
---------------------------------------------------------
R1:
-創建ACL
ip access-list standard Deny-Ping
10 deny 192.168.1.1 0.0.0.0
!
-調用ACL
interface gi0/1
ip access-group Deny-Ping in
-驗證 ACL
show ip access-list // 查看 ACL 的配置信息;
show ip interface gi0/1 // 查看 ACL 的調用信息;
-測試:
PC-1 :
ping 192.168.2.3 , 應該是不通;
==========================================================
ACL:
access control list ,訪問控制列表,用於匹配感興趣的
流量,並進行“控制”;
-作用:
用於實現對數據報文的控制;
-類型:
標準
-只能匹配 IP 頭部中的 源IP 地址;
擴展
-可以同時匹配 IP 頭部中的 源和目標 IP 地址,
同時,還可以匹配 傳輸層協議;
-表示:
ID,通過不同範圍的ID,表示 ACL 的不同類型;
標準 - 1~99
擴展 - 100~199
word ,通過名字,表示 ACL (項目中常用方法)
通過 名字 區分不同的 ACL 時候,在創建之初,
必須提前指定 ACL 的類型;
例如:
ip access-list standard "name"
ip access-list extended "name"
-配置:
創建ACL
ip access-list standard ABC
10 deny 192.168.1.0 0.0.0.255
調用ACL
interface gi0/1
ip access-group ABC in
驗證ACL
show ip access
show ip interface gi0/1
測試
PC-1 ----> PC-3
192.168.1.1 --> 192.168.2.3
-工作原理:
當端口在特定的方向收到流量以後,開始進行特定方向
上的 ACL 條目的檢查,規則如下:
1、ACL如果多個條目,則按照每個條目的序列號從小
到大依次檢查、匹配:
2、首先檢查數據包的源頭IP地址,是否可以匹配;
如果不可以,則檢查下一個 ACL 條目;
如果可以,則繼續(3)
3、其次檢查數據包的目標IP地址,是否可以匹配;
如果不可以,則檢查下一個 ACL 條目;
如果可以,則繼續(4)
4、再次檢查數據包的IP後面的協議的類型,是否可以匹配
如果不可以,則檢查下一個 ACL 條目;
如果可以,則繼續(5)
5、查看 該 ACL 條目的 動作 : permit / deny ;
6、確定 該 ACL 調用在端口的什麽方向?
如果是 out,則表示允許/拒絕 轉發出去;
如果是 in , 則表示允許/拒絕 轉發進來;
註意:
ACL 條目 是按照序列號從小到大,逐條目檢查的;
如果該條目沒有匹配住,則匹配下一個條目;
如果該條目匹配主了,則執行上面的(5,6)作用;
每個 ACL 後面都有一個隱含的拒絕所有。
針對 標準/擴展 ACL 的 “允許” 所有,配置命令如下:
標準ACL -
ip access-list standard Permit
10 permit any
擴展ACL -
ip access-list extended Permit
10 permit ip any any
**** 在現網中,對ACL進行創建、修改、刪除之前,都要
查看一下當前設備上是否存在對應的 ACL 以及調用情況
---------------------------------------------------------
ACL調用建議:
1、如果想通過標準 ACL ,拒絕訪問某一個目標主機,
則將 ACL 調用在距離目標主機盡可能近的地方;
2、如果想通過標準 ACL ,控制某一個源IP地址主機
的上網行為,則將調用在距離源IP地址主機盡可能近的地方
3、擴展 ACL 應該調用在距離 源主機 盡可能近的地方;
因為擴展 ACL 可以精確的區分不同類型的流量;
通過 ACL 控制流量 的 配置思路:
1、先分析原有數據流的走向
2、確定轉發路徑上的設備 (確定路由設備)
3、確定在哪些設備的、哪些端口的、哪些方向上
4、確定 ACL 如何寫
5、確定 如何調用
6、驗證和測試
---------------------------------------------------
案例:
192.168.1.1 -------> 192.168.2.3
-ping
icmp , internet control message protocol
-telnet
tcp , 23
transport control protocol ,傳輸控制協議
建立的是一個穩定的鏈接;
常見流量分析:(套接字)
tcp 80 ---> web
tcp 21 ---> FTP
udp 67/68 --> DHCP
udp 520 --> RIP
user datagram protocol ,用戶數據報文協議;
建立的是一個不可靠的鏈接,但是
傳輸速度快;
端口號: 0--65535
知名端口(wellknown port )
隨機高端口 > 1024
套接字組成:(後期經常研究的對象)
IP+tcp/udp + port ===> IP socket ,套接字
192.168.1.1 , tcp 80 ,
192.168.1.1 , tcp 23 ,
---------------------------------------------------------
小擴展:
2層交換機配置網管IP:
SW1#
interface vlan 1
no shutdown
ip address 192.168.2.9 255.255.255.0
ip default-gateway 192.168.2.254
// 為交換機配置網關IP,類似於 PC ;
擴展ACL配置需求-1:
192.168.1.1 ----> 192.168.2.9
ping : icmp // not
telnet : tcp 23 // yes
配置案例的實現命令:
R2:
ip access-list extended HAHA // 創建擴展 ACL ;
15 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.9
25 permit ip any any
interface gi0/1 // telnet 流量的入端口;
ip access-group HAHA in
配置案例的結果:
ping , not ;
telnet , yes ;
擴展ACL配置需求-2:
192.168.1.1 ----> 192.168.2.9
ping : icmp // yes
telnet : tcp 23 // not
R1:
-創建ACL
ip access-list extended HOHO
10 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.9 eq 23
20 permit ip any any
-調用 ACL
interface gi0/1 // 鏈接的是 PC-10
ip access-group HOHO in
!
-驗證 和 測試
show ip access-list
show ip interface brief
telnet x.x.x.x ----------------->NO
show ip protocols //查看本地設備上啟用的所有的路由協議信息;
clear ip route * //清除本地路由表中的所有動態路由條目;
默認路由:
表現形式: 0.0.0.0/0 ;
-配置方式(靜態)
ip route 0.0.0.0 0.0.0.0 12.1.1.2
-配置方式(動態-RIP)
# ip route 0.0.0.0 0.0.0.0 23.1.1.3 //創建默認路由
# router rip
redistribute static
//將本地路由表中的靜態路由,引入到 RIP 中,然後發給其他的內網的RIP路由器;
-路由表顯示
在路由表中,默認路由條目前面肯定會有一個“*”符號;
雲計算網絡基礎第七天