一、计算机网络发展的三个阶段爱好者博墅,y3|#W�H2}�o�a�W
1、研究阶段 (68年~84年)爱好者博墅&P.i,W�T O�I3[�d
主要特征:
�U�A9H�T:Q:`�i�Z*a*t0 TCP/IP协议的研制成功。
�h4a(G�}:q P/S0 Client/Server工作方式的实现。
,{%q4R�t-i0 实现了资源共享和分散控制等。
2、运行阶段 (85年~92年)
�g;F5i�i�@ r!z:n�h0 主要特征:爱好者博墅7O�i1\�]:l�k�Z�I�D
Internet骨干网络的延生
�i�h!Y E�E;n:q�\0 网络私有化的形成爱好者博墅�X�u!X-n,R)g�y k
网络商业化的开始
3、应用阶段 (92年~今)
�B�]�H3B�W�w0 主要特征:爱好者博墅+y�R:C#F3N�_9[�F:L�?+|
网络发展的全球化
$I0S+p�s2H0I0K�O�}0 网络运行的商业化
�p�R w�z Y�P0 网络应用的多样化
二、我国计算机网络的三个层次爱好者博墅$?�G!z�[!I ]/q�v
1、国家经济信息化的基本通信网,爱好者博墅-E�b.S:T�u)n5~9[�T)r
CHINAPAC:1991建设,分组交换网。
8w'Y�X%V/A#T0 CHINADDN:1994建设,数字专用网爱好者博墅.`�n {�I9T*V�C;c
金桥工程:1997建设,以光纤、卫星、微波、无线移动等多种方式,形成天地一体的爱好者博墅$U5g�u!h4x�X�p h9X/b&M
网络结构。
2、依托此平台开发的各种专业网络和应用网络;
�s�R$B4d�X�R0 金卡工程:全民信用卡系统——电子货币工程。
$I�v$Y#@�^ N z V1u0 金企工程:企业生产与流通信息系统,为国家宏观调控提供科学依据。爱好者博墅,O�e'j�u2p3r�T�P
金农工程:农业综合管理及信息服务系统,以县城为点的农业基本情况数据库。
#W.o-Z:b�V�s�S�e/G�{ @!K�Z0 金关工程:国家对外经济贸易信息网。
:c,j�_ D4R P0 金税工程:增值税专用发票计算机稽核系统工程。爱好者博墅�r'G�J/?5@�b�j
企业网络:企业总部与分部组成的异地独立网络。爱好者博墅5Q#Z�q `0~�k
教育科研网:CERNET连接全国各大高校。
3、目前中小型企业网络的应用情况爱好者博墅�[�E u�}-m�F
企事业都建设了自己的局域网,而且越来越多的局域网和广域网相联。爱好者博墅:b*q.k} e b�X M
网络硬件水平不断提高,促进了网络技术的应用,网络管理人才的需求加大。爱好者博墅)B+g3W�E D
网络管理员:以网络互联技术为主的网络人才。爱好者博墅�F&m n)r�z�p z�D1l&k
操作系统管理员:以管理操作系统为主的网络人才。
'p0|8p�u�g0^ T0 线路维护人员:负责网络运行的维修人员。爱好者博墅�k�N�I.C�h!x#P k�t,W
网络技术支持:负责公司网络产品的技术的咨询和售后服务。
网络互联基础
一、OSI七层协议爱好者博墅2B�v�a ]�d
OSI(Open System interconnection)开放系统互连参考模型爱好者博墅)O�H�n�q�Ug.m
ISO(International Standards Organization)国际标准化组织
1、物理层
_�c!J*j�|�k x7]0 机械性能:接口的型状,尺寸的大小,引脚的数目和排列方式等。爱好者博墅�x�d1q0I,_"w8f U
电气性能:接口规定信号的电压、电流、阻抗、波形、速率及平衡特性等。
�}*I�@�|3I�N0 工程规范:接口引脚的意义、特性、标准。
4B.k ^&x/K�~)M4I&I0 工作方式:确定数据位流的传输方式,如:单工、半双工或全双工。爱好者博墅"l-U�J"W�J
物理层协议有:爱好者博墅7_�S�R H�I5M�M�\�G�o
美国电子工业协会(EIA)的RS232,RS422,RS423,RS485等;
"b"U.D�h+V s-F0 国际电报电话咨询委员会(CCITT)的X.25、X.21等;
�l1N�Z�?�C,s�S�v0 物理层的数据单位是位(BIT),典型设备是集线器HUB。
2、链路层
�O�[w�~�G0 链路层屏蔽传输介质的物理特征,使数据可靠传送。爱好者博墅4{2g�R s S�k�~�T�R,y!G
内容包括介质访问控制、连接控制、顺序控制、流量控制、差错控制和仲裁协议等。爱好者博墅6];i*u(C�|�WN�@
链路层协议有:爱好者博墅5H�}�g�u A�B
协议有面向字符的通讯协议(PPP)和面向位的通讯协议(HDLC)。爱好者博墅�v�D�N+w&u#V$o
仲裁协议:802.3、802.4、802.5,即:爱好者博墅�t�\5U�x.n�}�S3d'T
CSMA/CD(Carrier Sense Multiple Access with Collision Detection)、Token 爱好者博墅8s�b�^4^/k�e�K S a
Bus、Token Ring
!P�t)a6Q H0 链路层数据单位是帧,实现对MAC地址的访问,典型设备是交换机Switch。
3、网络层
:Z�] U�O*E!x4B/a%}�k0 网络层管理连接方式和路由选择。爱好者博墅�s y7A�b�r�r
连接方式:虚电路(Virtual Circuits)和数据报(Datagram)服务。
�Q2b)o�{�j�v/t%Y�z�^0 虚电路是面向连接的(Connection-Oriented),数据通讯一次路由,通过会话建立的一条
�s�r&O:v M�u4@0通路。
�j�x�z"g�R4[)p a0 数据报是非连接的(Connectionless-Oriented),每个数据报都有路由能力。爱好者博墅#C*N0o/h P*}!S,Z
网络层的数据单位是包,使用的是IP地址,典型设备是路由器Router。
�Q�v6{5N�X�x0 这一层可以进行流量控制,但流量控制更多的是使用第二层或第四层。
爱好者博墅�n�u&H�c�{�_�z
4、传输层
,~�Q�k9\�S#a7h0 提供端到端的服务。可以实现流量控制、负载均衡。爱好者博墅2m�@4K�m+U
传输层信息包含端口、控制字和校验和。爱好者博墅1z�mE�|+P \"d�N'E�n
传输层协议主要是TCP和UDP。
�r�g�K/V3J0 传输层位于OSI的第四层,这层使用的设备是主机本身。
5、会话层爱好者博墅�F.v S�I�c M�^"W"h�M
会话层主要内容是通过会话进行身份验证、会话管理和确定通讯方式。
H } ] U8T�x�R�w/Q�F V!z0 一旦建立连接,会话层的任务就是管理会话。
�g'l�W(N�S�j3C�^�s0
�|+T�e3}%B+u�y*Y0 6、表示层
e'N�t�m$|,p�L.K0 表示层主要是解释通讯数据的意义,如代码转换、格式变换等,使不同的终端可以表示。爱好者博墅2E�\;M�u k�o
还包括加密与解密、压缩与解压缩等。爱好者博墅�W,N,Y i�c7g'u)D
爱好者博墅7u$U)?�k�l'R�m9u�n�?�s
7、应用层爱好者博墅�u�p-g�m�H&Y%S�H�v
应用层应该是直接面向用户的程序或服务,包括系统程序和用户程序,爱好者博墅�J'V0O.[�N"H]
例如www、FTP、DNS、POP3和SMTP等都是应用层服务。
数据在发送时是数据从应用层至物理层的一个打包的过程,
�Gf!y)r z0 接收时是数据从物理层至应用层的一个解包的过程,爱好者博墅�D R�A3b&?5?
从功能角度可分为三组,1、2层解决网络信道问题,3、4层解决传输问题,5、6、7层处爱好者博墅�O�N�~ q.r5@ @
理对应用进程的访问。
�E�x�D�z;E&D�b0 从控制角度可分为二组,第1、2、3层是通信子网层,第4、5、6、7层是主机控制层。
爱好者博墅�I&{(c5G�z Q!C E
二、TCP/IP 协议簇爱好者博墅6w O!I)x7w/s
TCP/IP(Transmission Control Protocol/Internet Protocol)已成为一个事实上的工业爱好者博墅$Q ?1{ v7`�c$R
标准。
�@/K z�U�~/@�h�b0 TCP/IP是一组协议的代名词,它还包括许多协议,组成了TCP/IP协议簇。
�U�M�C0I v0 TCP/IP协议簇分为四层,IP位于协议簇的第二层(对应OSI的第三层),TCP位于协议簇的第
2s�X"`�A�L l"\9Y�D5\0三层(对应OSI的第四层)。爱好者博墅4?�\3{�j W�Z�V9l
TCP和IP是TCP/IP协议簇的中间两层,是整个协议簇的核心,起到了承上启下的作用。爱好者博墅�T�{!A�D'T2\ p
1、接口层
�Y�W6v:e;p1q+q't0 TCP/IP的最低层是接口层,常见的接口层协议有:爱好者博墅$N8{�n�}-M�w
Ethernet 802.3、Token Ring 802.5、X.25、Frame reley、HDLC、PPP等。
2、网络层爱好者博墅�x:u6^)~0h
网络层包括:IP(Internet Protocol)协议、ICMP(Internet Control Message Protocol)爱好者博墅�vZ�["O;B7M�|#[
控制报文协议、ARP(Address Resolution Protocol)地址转换协议、RARP(Reverse ARP)反向
m8V9\�f�k�X�m!C�k3X0地址转换协议。爱好者博墅!T�I�R�K4m�o
IP是网络层的核心,通过路由选择将下一跳IP封装后交给接口层。IP数据报是无连接服务爱好者博墅�A S%t4^0I3w/{&v�h
。
,L�C�?8A0U�w�G/l k/I%k3C0 ICMP是网络层的补充,可以回送报文。用来检测网络是否通畅。
C�?-z1D�H�E8K�j�J�a0 Ping命令就是发送ICMP的echo包,通过回送的echo relay进行网络测试。
�[;t O3J"w0 ARP是正向地址解析协议,通过已知的IP,寻找对应主机的MAC地址。爱好者博墅�u�a�t0]%t!c P�u
RARP是反向地址解析协议,通过MAC地址确定IP地址。比如无盘工作站和DHCP服务。
3、传输层
S$y�S�n�R q J5?0 传输层协议主要是:传输控制协议TCP(Transmission Control Protocol)和用户数据报协
/u/} {�^�\,We�N7~6D0议UDP(User Datagram rotocol)。
�r'u1S�A Q�@ o P0 TCP是面向连接的通信协议,通过三次握手建立连接,通讯时完成时要拆除连接,由于TCP爱好者博墅4a#c){�X ?�u,e
是面向连接的所以只能用于点对点的通讯。爱好者博墅 z5j)s�i"z�p�U
TCP提供的是一种可靠的数据流服务,采用“带重传的肯定确认”技术来实现传输的可靠爱好者博墅1x'} L Z!W�?2} j;A
性。TCP还采用一种称为“滑动窗口”的方式进行流量控制,所谓窗口实际表示接收能力,用
&f3M ~ o�j#B0以限制发送方的发送速度。
UDP是面向无连接的通讯协议,UDP数据包括目的端口号和源端口号信息,由于通讯不需要爱好者博墅,x�C8n�n�L&n8s�Q
连接,所以可以实现广播发送。
�wF'qY�w-r�T�I ]�D0 UDP通讯时不需要接收方确认,属于不可靠的传输,可能会出丢包现象,实际应用中要求
/?7@�c�o�Y1u�b0在程序员编程验证。
4、应用层爱好者博墅6{�Q�^�J�n;r f |
应用层一般是面向用户的服务。如FTP、TELNET、DNS、SMTP、POP3。
Y ]#W�@7F�c�D%N0 FTP(File Transmision Protocol)是文件传输协议,一般上传下载用FTP服务,数据端口
!T�W�z�O�N�c�}0是20H,控制端口是21H。
�I'g�X�F(M/g0 Telnet服务是用户远程登录服务,使用23H端口,使用明码传送,保密性差、简单方便。
2f$S+P�V!K�R"G$u�{2A0 DNS(Domain Name Service)是域名解析服务,提供域名到IP地址之间的转换。
1['t3@"o�V0 SMTP(Simple Mail Transfer Protocol)是简单邮件传输协议,用来控制信件的发送、中爱好者博墅0n�A5c"CO2A
转。 爱好者博墅�J�[�J�}�X
POP3(Post Office Protocol 3)是邮局协议第3版本,用于接收邮件。
数据格式:爱好者博墅;B$p9B#z;_�n$Z
数据帧:帧头+IP数据包+帧尾 (帧头包括源和目标主机MAC地址及类型,帧尾是校验字)
/v6s�c8z+W�W V�A;A�V0 IP数据包:IP头部+TCP数据信息 (IP头包括源和目标主机IP地址、类型、生存期等)
�P�W#k&[�i*|�J�]#\0 IP数据信息:TCP头部+实际数据 (TCP头包括源和目标主机端口号、顺序号、确认号、校爱好者博墅3p�K�h!_�b.J A
验字等)
三、TCP连接的建立爱好者博墅 N�D�Y1E3z�h8@&F
1、TCP连接通过三次握手完成。爱好者博墅�y3k�l�F"O�s
client首先请求连接,发一个SYN包;Server收到后回应SYN_ACK包;Client收到后再爱好者博墅/c/` e4n8i.[�t
发ACK包。即:
Client Server爱好者博墅%E j7_:[/o @�B
SYN ---> 收爱好者博墅6X S�v0j�L�y$o9d'V*w
<--- SYN+ACK爱好者博墅�D-I Q6l�V5c,K�n
ACK ---> 收
established表示建立状态,当某端发出数据包后收到了回应则进入established状态。爱好者博墅 t+p�m0i�]
在TCP/IP连接时,如果两端都是established状态,则握手成功,否则是无连接或半联接状
5[�q4X6q'Y,Q�y0态。
爱好者博墅�X�?&C�T�s0O�o:g�w
2、套接字Socket
z;d�q I u/I0 套接字Socket由协议、IP地址和端口号组成,套接字表示一路通讯,一般是一个服务,如爱好者博墅�| w2h�`�p6w
www服务是TCP的80端口,Telnet是TCP的23端口。
�a)\ r%[�f�b3C3_+f0四、IP地址划分
$S�l-U�x�Q�q!~ B0 1、IP地址分类爱好者博墅�l�B/N V5p�u$?!Q N
IP地址有四个段,包括网络标识和主机标识两部分:netid+hostid。
L%w)e�J m4E0 IP地址应用分为A、B、C三类,D、E类是保留和专用的。爱好者博墅�N�?;f0Z�C�f�Z�?�T�O
Class A 0******* xxxxxxxx xxxxxxxx xxxxxxxx
xN ~+j�|6]�h�n0 Class B 10****** ******** xxxxxxxx xxxxxxxx
�Y�A�~:Z(Q�];V0 Class C 110***** ******** ******** xxxxxxxx
�D%F f�J�z�{�P�s�U L0 Class D 1110**** ******** ******** ********
P;X�Q'C:p1F�m T�K�v0 Class E 1111**** ******** ******** ********
2、地址区间
"n�};F$T3R�z3j.L0 址址类 地址区间 网络数 主机数
!d�n�S X y1Y%}0 A 类 1.0.0.1~126.255.255.254 27-2=126 224-2=16777214
8K8B P�e�S-u�z3N0 B 类 128.0.0.1~191.255.255.254 214-2=16382 216-2=65534
'r�_�i%q�N4}�g�B P0 C 类 192.0.0.1~223.255.255.254 221-2=2097150 28-2=254爱好者博墅�s�m�\�E3@l$A,S
D 类 224.0.0.1~239.255.255.255 228=268435456 0爱好者博墅._�}�]'K�g�G�U
E 类 240.0.0.1~255.255.255.255 228=268435456 0
3、特殊地址爱好者博墅7@�r Z�^ j3J�E�v
主机地址全0表示为一个网络地址。
$X�I�Q!c#c8a,S0 主机地址全1表示为对应网络的广播地址。
A'L�]�H�c0 全0的IP地址:0.0.0.0,表示本机地址,只在启动过程时有效。爱好者博墅 e J�n M1w D
全1的IP地址255.255.255.255,表示本地广播(有的软件不支持)。
o�k�|�L�Je�^0 私有地址:爱好者博墅/t�t�k�]8m�w)A8B2g*`
10.0.0.0 - 10.255.255.255
�H�iV0u9c�l8Z#Q0 172.16.0.0 - 172.31.255.255
4m/L!B#c*s3n-]0 192.168.0.0 - 192.168.255.255
�n W�w#u(s�Q,Z$h0 127.0.0.0网络是回环网络loopback,用于本机测试。例如:
�~,y-N�K�F!k0 ping 127.0.0.1 是测试本机网卡是否工作正常。
/?$^.}2M�i*S0 4、子网掩码
E8|H�h0?�R L0 子网掩码用来区分网络地址和主机地址,标准的子网掩码为:爱好者博墅"w#f�r4v�A�Q�}$@ b�s
A 类: 1.0.0.1~126.255.255.254 netmask:255.0.0.0
�t�c�V-~�F$_!i8i0 B 类:128.0.0.1~191.255.255.254 netmask:255.255.0.0爱好者博墅3v'`�R�Z%l4b#X
C 类:192.0.0.1~223.255.255.254 netmask:255.255.255.0
'] z�f7d"?0g�Qm/M0 子网掩码和IP地址的“与”运算得出对应的网络地址。
7I%H�{'j,m%u u-^0 如果将子网掩码“1”的位数增加则网络地址数增加,形成子网。相当于网络的分隔。
9b�[�I ]%U�e�l2u�^;o'L0 如果将子网掩码“1”的位数减小则网络地址数减少,形成超网。相当于网络的聚合。
�C+M�U1Z�A8{"H2e0交换机原理与应用
一、基本以太网爱好者博墅�y:O*|3a.I�t�k(\
1、以太网标准:爱好者博墅%k4n1k8^/Y�^ ]0Y�\1f�g
以太网是Ethernet的意思,过去使用的是十兆标准,现在是百兆到桌面,千兆做干线。
�V�u/U�` r0 常见的标准有:爱好者博墅%E%w9H�R3{3M K
10BASE-2 细缆以太网爱好者博墅8G�e|$Y�V5\�] S
10BASE-5 粗缆以太网
�o1^3Y�E G�N0 10BASE-T 星型以太网
#{ [ G�f�|�e0 100BASE-T 快速以太网爱好者博墅�h ]�O�S V�~-X1G�X
1000BASE-T 千兆以太网
2、接线标准
;h�PD7v�K�r�P0 星型以太网采用双绞线连接,双绞线是8芯,分四组,两芯一组绞在一起,故称双绞线。
�r�y2~8m4F/U�[/{�L0 8芯双绞线只用其中4芯:1、2、3、6。
常见接线方式有两种:爱好者博墅�h-|'a-J�w.|�i�~�BI
568B接线规范: 白橙 橙 白绿 蓝 白蓝 绿 白棕 棕 爱好者博墅!V%w"_�B(@5i�^
1 2 3 4 5 6 7 8爱好者博墅�L�k�S�Y.U u
568A接线规范: 白绿 绿 白橙 蓝 白蓝 橙 白棕 棕爱好者博墅7x(M�X-m*N2H�n4_�b H
1 2 3 4 5 6 7 8
将568B的1和3对调,2和6对调,就得到568A。
3、接线方法
�c2~:i8X6?0 两边采用相同的接线方式叫做平接,两边采用不同的接线方式叫扭接。
�K6W�Cj2`�U7g0 不同的设备之间连接,使用平接线;相同的设备连接使用扭接线。
)X3w*R T-y�Z8o�|0 电脑、路由器与集线器、交换机连接时使用平接线。爱好者博墅�Y(c�v�P�?�y
这是因为网线中的4条线,一对是输入,一对是输出,输入应该与输出对应。
^1g!Z&U�v0 如果将1和3连接,2和4连接,相当于自己的输出送给自己的输入。爱好者博墅&t�u7]$Y c;R A-v�c
这样可以使网卡进入工作状态,阻止空接口关闭,而影响有些程序的运行。
爱好者博墅�g&k�E-w�`"Tl'U
二、交换机原理与应用
�l B8u7O�m�_:D;]&w7`0 1、冲突域和广播域爱好者博墅"f8M0W�\�Q�~"b�P t
交换机是根据网桥的原理发展起来的,学习交换机先认识两个概念:
H.y h3O)h�Y�u-]0 (1)冲突域:
#p(r7` E6Y�j�k7y0 冲突域是数据必然发送到的区域。爱好者博墅 I�O�h+~7T ^.t
HUB是无智能的信号驱动器,有入必出,整个由HUB组成的网络是一个冲突域。
1P!Yf#k�v�d�q�A0 交换机的一个接口下的网络是一个冲突域,所以交换机可以隔离冲突域。
(2)广播域:
�`0}']([�G�L�d�cL X�d0 广播数据时可以发送到的区域是一个广播域。爱好者博墅�}-l5S�X6K E�e,J
交换机和集线器对广播帧是透明的,所以用交换机和HUB组成的网络是一个广播域。
�i�]�d�C"o3x+W�L�C+i�t�m C0 路由器的一个接口下的网络是一个广播域。所以路由器可以隔离广播域。
2、交换机原理爱好者博墅�I.L�A0l a�N�Y
(1)端口地址表爱好者博墅�h)C6q4N+K�k5s
端口地址表记录了端口下包含主机的MAC地址。端口地址表是交换机上电后自动建立的,爱好者博墅%r.V.~;?�Z0g�H)FY�P�`
保存在RAM中,并且自动维护。爱好者博墅 e9b�F6mk m)T
交换机隔离广播域的原理是根据其端口地址表和转发决策决定的。
�c�G U3~�ZG:?�@-z0 (2)转发决策
"i�@1I�z�Q�?0 交换机的转发决策有三种操作:丢弃、转发和扩散。
:K0g�M�B�]�g1x0 丢弃:当本端口下的主机访问已知本端口下的主机时丢弃。
-I4o�~5a4p"n)q u6?0 转发:当某端口下的主机访问已知某端口下的主机时转发。
+u7_�|*y�W�r7Q�^�S�t0 扩散:当某端口下的主机访问未知端口下的主机时要扩散。爱好者博墅%Q.m�`�f�{
每个操作都要记录下发包端的MAC地址,以备其它主机的访问。爱好者博墅 a�j.S5a�W(s
(3)成存期:
�U"\7f5h:a-Q�V:P�j0 生成期是端口地址列表中表项的寿命。每个表项在建立后开始进行倒记时,每次发送爱好者博墅�F�\�g u5H(A
数据都要刷新记时。对于长期不发送数据主机,其MAC地址的表项在生成其结束时删除。爱好者博墅'?8V�h5V1^�b�N�\4S�m Z
所以端口地地表记录的总是最活动的主机的MAC地址。
3、交换网络中的环
以太网是总线或星型结构,不能构成环路,否则会产两个严重后果:爱好者博墅 v�@$j�K9?�J�}
(1)产生广播风暴,造成网络堵塞。爱好者博墅 R;g(m�F7U,f n
(2)克隆帧会在各个口出现,造成地址学习(记录帧源地址)混乱。
解决环路问题方案:爱好者博墅�?�j�`�F�M"`1r�j J3P
(1)网络在设计时,人为的避免产生环路。爱好者博墅:L)U'}1k�J L�q�G
(2)使用生成树STP(Spanning Tree Protocol)功能,将有环的网络剪成无环网络。爱好者博墅5C�{5j'I�A�mt4F
STP被IEEE802规范为802.1d标准。
生成树协议术语
�s+C�w�f+c�n0 (1)网桥协议数据单元:BPDU(Bridge Protocol Data Unit)
Z,j6j�t G0 BPDU是生成树协议交换机间通讯的数据单元,用于确定角色。
v3K _7f%h(|;l(l�u0 (2)网桥号:Bridge ID
�[7?)a�B6I,?.o-V�M0 交换机的标识号,它由优先级和MAC地址组成,优先级16位,MAC地址48位。爱好者博墅�~�p�L�j.T
(3)根网桥:Root bridge爱好者博墅�_8q!V�` E�[�D3W!p�B
根网桥定义为网桥号最小的交换机,根网桥所有的端口都不会阻塞。
�F$?0b.v�x�\"k#i�V�u0 (4)根端口:Root port爱好者博墅.Q,k*V#D(`7M3N(i
非根网桥到根网桥累计路径花费最小的端口,负责本网桥与根网桥通讯的接口。
�j�J0Y!D M�i�f ^ T0 (5)指定网桥:Designated bridge
�O�w�W�K�f�Q9b0 网络中到根网桥累计路径花费最小交换机,负责收发本网段数据。爱好者博墅&m;i R#I�O-b�G
(6)指定端口:Designated port爱好者博墅;`�^�f:L:~0t�B0B�Z @�S
网络中到根网桥累计路径花费最小的交换机端口,根网桥每个端口都是指定端口。爱好者博墅7b D�h2J�s/I�q�}�m�X�K�@
(7)非指定端口:NonDesignated port爱好者博墅 y2D4n-F�} p�~�z�{6m
余下的端口是非指定端口,它们不参与数据的转发,也就是被阻塞的端口。
-N�b�KH�?*^7S0?�l0 (根端口是从非根网桥选出,指定端口是网段中选出)。
生成树协议的状态:爱好者博墅3d�]&@(~�{$Y
生成树协议工作时,所有端口都要经过一个端口状态的建立过程。爱好者博墅 I�n8{�F�j
生成树协议通过BPDU广播,确定各交换机及其端口的工作状态和角色,爱好者博墅 K�y:a�O5O
交换机上的端口状态分别为:关闭、阻塞、侦听、学习和转发状态。
(I�P�T \�t�P0 (1)关闭状态:Disabled 不收发任何报文,当接口空连接或人为关闭时处于关闭状态。
f u�x�P�c�^�B�^0 (2)阻塞状态:Blocking 在机器刚启动时,端口是阻塞状态(20秒),但接收BPDU信息。爱好者博墅*M4p�t�?�^#m�^ I
(3)侦听状态:listening 不接收用户数据(15秒),收发BPDU,确定网桥及接口角色。爱好者博墅�l l�J�Y&H#`#^�F(Y�{
(4)学习状态:learning 不接收用户数据(15秒),收发BPDU,进行地址学习。
#E U�t3L�O6H(]�k%K:E,P0 (5)转发状态:Forwarding 开始收发用户数据,继续收发BPDU和地址学习,维护STP。
4、关于VLAN
1V2]�w%n�h$W�_0 VLAN(Virtual Lan)是虚拟逻辑网络,交换机通过VLAN设置,可以划分为多个逻辑网络,爱好者博墅+] Q!xv$A0~*h
从而隔离广播域。具有三层模块的交换机可以实现VLAN间的路由。爱好者博墅8S�T�w^�s3{1{�D;u�U�|)c
(1)端口模式爱好者博墅�S�r,S�{#^$Q
交换机端口有两种模式,access和trunk。access口用于与计算机相连,而交换机之间爱好者博墅�Z#b5S�j"{�K5z&g�R
的连接,应该是trunk。爱好者博墅�z"[�u�| ]�f4h&d8}
交换机端口默认VLAN是VLAN1,工作在access模式。爱好者博墅)e$o0~�N�@8@
Access口收发数据时,不含VLAN标识。具有相同VLAN号的端口在同一个广播域中。
2q�o(]�e*k�u�C�R0 Trunk口收发数据时,包含VLAN标识。Trunk又称为干线,可以设置允许多个VLAN通过。
(2)VLAN中继协议:爱好者博墅�w�x�X V,R�T�x
VLAN中继协议有两种:
)E+C�u'u�{,U�X,j�V�A0 ISL(Inter-Switch Link): ISL是Cisco专用的VLAN中继协议。
t�c�u�H:s�q P-J3J/a0 802.1q(dot1q):802.1q是标准化的,应用较为普遍。
(3)VTP
�f0S&y#g�m5c�_�O,g0 VTP(Vlan Trunking Protocol)是VLAN传输协议,在含有多个交换机的网络中,可以
�D J�]5K�T X�T�_0 将中心交换机的VLAN信息发送到下级的交换机中。
&d�Pd,r�t6f:u�L0 中心交换机设置为VTP Server,下级交换机设置为VTP Client。
)N#r6z�J,U�C0 VTP Client要能学习到VTP Server的VLAN信息,要求在同一个VTP域,并要口令相同。
(4)VLAN共享
@&^�Y�e�Q�~�e/[0 如果要求某个VLAN与其他VLAN访问,可以设置VLAN共享或主附VLAN。
-Z)u�j [8D#f0 共享模式的VLAN端口,可以成为多个VLAN的成员或同时属于多个VLAN。爱好者博墅4@2i+Q%s_�t�]�_
在主附VLAN结构中,子VLAN与主VLAN可以相互访问,子VLAN间的端口不能互相访问。
'A:A�C�@�s�M9J0 一般的VLAN间使用不同网络地址;主附VLAN中主VLAN和子VLAN使用同一个网络地址。
5、交换机和路由器的口令恢复:爱好者博墅+^�?�E;A�}#A.Q�h�u
(1)交换机的口令恢复:
�e3?*O%q!_�\$W�q0 交换机的口令恢复的操作是先启动超级终端,在交换机上电时按住的mode键.爱好者博墅;O+`�W�y�J3b�L8H
几秒后松手,进入ROM状态,将nvram中的配置文件config.txt改名或删除,再重启。爱好者博墅![ _�O�Y&c�Z:B#K;Y
参考命令为:
*z�C�}7j�X0 switch:rename flash:config.text flash:config.bak
�q7D�h�C�W+b3h0 switch:erase flash:config.text
(2)路由器的口令恢复:
/B�K�^�D�B�Go�s�H0 路由器的口令恢复操作先启动超级终端,在路由器上电时按计算机的Ctrl+Break键,爱好者博墅�d�c/k�h�}�v�z
进入ROM监控状态rommon>,用配置寄存器命令confreg设置参数值0x2142,跳过配置文件爱好者博墅(q/{�F�g U&t
设置口令后再还原为0x2102。爱好者博墅:^&B�n!y�R�r�V�t
参考命令为:
�M�{ \ H#^ F/t0 rommon>confreg 0x2142
�]�h.x�|�a0i0 router(config)#config-register 0x2102爱好者博墅/O�]�|#T0X-K�E;f�_�|c
没有特权口令无法进入特权状态,只能进入ROM监控状态,使用confreg 0x2142命令。爱好者博墅�_:C']�W-k,Y,_
当口令修改完后,可以在特权模式下恢复为使用配置文件状态。
三、三层交换的概念爱好者博墅�`"S�f�@/zd
1、交换机是链路层设备,使用MAC地址,完成对帧的操作。爱好者博墅�x q�~&Eo4N.W�V
交换机的IP地址做管理用,交换机的IP地址实际是VALN的IP。爱好者博墅;R�x�[5{+w
一个VLAN一个广播域,不同VLAN的主机间访问,相当于网络间的访问,要通过路由实现。爱好者博墅�r r L!Y�e1q
不同VLAN间主机的访问有以下几种情况:爱好者博墅0h3L4@6m�u*q;@"P$v�m
(1)两个VLAN分别接入路由器的两个物理接口。这是路由器的基本应用。爱好者博墅�Q'l�f�A�N+w8V
(2)两个VLAN通过trunk接入路由器的一个物理接口,这是应用于子接口的单臂路由。爱好者博墅;Y�M$P�~$H9A
(3)使用具有三层交换模块的交换机。Cisco的3550和华为的3526都是基本的三层交换机。爱好者博墅�R)s�k3Ga�N-Y�h�H
1)通过VLAN的IP地址做网关,实现三层交换,要求设置VLAN的IP地址。爱好者博墅3t!O�E�\/H0} S�t�B�L
2)将端口设置在三层工作,要求端口设置no switchport,再设置端口的IP地址。
2、交换机的通道技术
#u"d3d-x*t�D"t9[0 交换机通道技术是将交换机的几个端口捆绑使用,即端口的聚合。爱好者博墅5X0K!B�G�R�Y q
使用通道技术一个方面提高了带宽,同时提高了线路的可靠性。爱好者博墅(U�G'm�O$n ^"\1i�P
但是如果设置不当,有可能产生环路,造成广播风暴堵塞网络。爱好者博墅 ?�I%J�d�\0Q
要聚合的端口要划分到指定的VLAN或trunk。爱好者博墅#D&~�O,N.q�F�`!d
配置三层通道时,先要进入通道,再用no switchport命令关闭二层,设置通道IP地址。爱好者博墅�@ g"d N�H2v�E$W�|
一个通道一般小于8个接口,接口参数应该一致,如工作模式、封装的协议、端口类型。
3、端口协商方式
$c.x�Z�E'r�Z�d0 端口的聚合有两种方式,一种是手动的方式,一个是自动协商的方式。
v�}�a+s'h0 手动的方式很简单,设置端口成员链路两端的模式为“on”。命令格式为:
4h3`�X v�g,D�[0 channel-group <number> mode on
自动方式有两种类型:爱好者博墅�_�s0L�c�q9S4y�j
PAgP(Port Aggregation Protocol)和LACP(Link aggregation Control Protocol)。
:z f$N-e8a�P8_0 PAgP:Cisco设备的端口聚合协议,有auto和desirable两种模式。
/S S�n%y W5B0 auto模式在协商中只收不发,desirable模式的端口收发协商的数据包。爱好者博墅�M�X4w�s4@�j
LACP:标准的端口聚合协议802.3ad,有active和passive两种模式。爱好者博墅�N#|�r�Z�_�c
active相当于PAgP的auto,而passive相当于PAgP的desirable。
4、通道端口间的负载平衡爱好者博墅3X�Y7F�` u
通道端口间的负载平衡有两种方式,基于源MAC的转发和基于目的MAC的转发。
4r y�e�{ zi)}�V3Z0 scr-mac:源MAC地址相同的数据帧使用同一个端口转发。爱好者博墅 C6s&n x8j�U
dst-mac:目的MAC地址相同的数据帧使用同一个端口转发。爱好者博墅)_;N�Z*q�o�W.oH
路由器原理与应用
一、路由的基本概念爱好者博墅+x�L:r�t�C�k
路由器的网络层的设备,负责IP数据包的路由选择和转发。
�_�U�x&]/`�y0 1、路由类型爱好者博墅(D�L:|�Q�J�] T
路由的类型有:直连路由、静态路由、默认路由和动态路由。爱好者博墅$g�P0W�{�e r
直连路由是与路由器直接相联网络的路由,路由器有对直连网络有转发能力。
)R�C*}�Pj�M;K S:c"B0 静态路由是管理员人为设置的路由,网络开支小,可以有效的改善网络状况。
�n�z�{ N/q;P6@2`�o�]0 默认路由是静态路由的一个特例,将路由表不能匹配的数据包送默认路由。一般在最后。爱好者博墅%i�A"r�D"z5~�?4T
动态路由是路由协议自动建立和管理的路由,常见动态路由协议有:
)N�_5J'F�x�}!w�@0 RIP(Routing Information Protocol) 、
!v�o�f k;q�D/]4T0 IGRP(Interior Gateway Routing Protocol)、
�r�t�R3N1X't b0 EIGRP(Enhance Interior Gateway Routing Protocol)、爱好者博墅8d�X z�d }
OSPF(Open Shortest Path First)、
8a�c�p�J O0 BGP(Backbone Getway Protocol)
/v1Y A�p-yA�K8T�x�y5^*o0 上述路由协议称为routing protocol,而IP、IPX称为可路由的协议routed protocol。
4d-a7b*g(x:f+~ b�l0 也有一些协议是不可路由的,如NetBEUI协议。爱好者博墅�h�b�G7h(f,b
2、路由算法
2?�|7F�X�x0 路由算法常见的有三种类型:
0M�J3H3N,|�R0 距离矢量D-V(Distance-Vector) 算法,如:RIP、IGRP、BGP;爱好者博墅�`�]�_ j7m
链路状态L-S(Link State)算法,如:OSPF、IS-IS;爱好者博墅�U�B(B�@8o�L�@�U�A5{/Y
混合算法,如:Cisco的EIGRP。
3、路由交换范围
�C$B J,J3G0 路由器通过交换信息建立路由表,当网络结构变化时,路由表能自动维护。爱好者博墅0R8W�D�w*D s�W�m Q'x
路由表跟随网络结构变化过程称为收俭。为了减少收俭过程引起的网络动荡,要考滤
.p;S�o�L n�@�u$D0 路由交换范围。爱好者博墅�r�u7Y�G#g�E�J�f0V
RIP协议通过network命令指定,例如:设置10.0.0.0网络的接口参与路由信息交换
'o�j/x�]7p/e�E$Y�M0 router(config-router)network 10.0.0.0
ospf协议通过network命令指定,例如:设置10.65.1.1 接口参与路由交换
.F*p�B E)z�~-Y0 router(config-router)network 10.65.1.1 0.0.0.0 area 0
&u#f&r�|8p+m0 area是网络管理员在自治系统(国际机构分配)AS(Autonomous System)内部划分的区域。
N�R�n'V�U�O%b0 0.0.0.0是匹配码,0表示要求匹配,1表示不关心。
4、路由表
�r;p�G5o�k�v0 路由表(Routing Table)是路由器中路由项的集合,是路由器进行路径选择的依据,
(J6I%E�c+E'Y�\0 每条路由项包括:目的网络和下一跳,还有优先级,花费等。
路由优先匹配原则:爱好者博墅1~�l�L�b�W�k
(1)直接路由:直连的网络优先级最高。爱好者博墅-n6g9_$a�K7G c�N p�e
(2)静态路由:优先级可设,一般高于动态路由。
�r T�U*n$U9J'l�r2@�J0 (3)动态路由:相同花费时,长掩码的子网优先。爱好者博墅�g�t0J3D)r-L�m0Z
(4)默认路由:最后有一条默认路由,否则数据包丢弃。
爱好者博墅�j6F�r�C�V6a�x0K4G B�l
二、RIP路由协议
�M8k�N6t�]&| n"v0 1、RIP协议的认识
+y�P6h6i�g�@�{0 RIP(Routing Information Protocol)是采用D-V(Distance-Vector)算法的距离矢量协议爱好者博墅'T)u2h�z {3Q
根据跳数(Hop Count)来决定最佳路径。最大跳数为16,限制了网络的范围。
[:e�~�J�t3L�j�|0 单独以跳数作为距离或花费,在有些情况下是不合理的,因为跳数少不一定是最佳路径;
"p:y�A6t k1J;F�b0 实际上带宽和可靠性也是重要的因素。有时需要管理员修改花费值。
RIP有两个版本,RIP-1 和RIP-2。
+~7T k;U:R!p�y0g0 RIP-1:采用广播方式发送报文。不支持子网路由。
�K�E�L�b7};l$B y,j1Q0 RIP-2:支持多播方式、子网路由和路由的聚合。
2、路由表的维护
�@&M+d�~9r�y�v�j5G0 通过UDP协议每隔30秒发送路由交换信息,从而确定邻居的存在。
4W"h,G6U&Q%f0 若180秒还没有收到某相邻结点路由信息,标记为此路不可达。爱好者博墅"g @�a�_�~�P l�v
若再120秒后还没有收到路由信息,则删除该条路由。爱好者博墅�V�m3f5M�|�H
当网络结构变化时,要更新路由表,这个过程称为收敛(Convergence)。
�x�p�h.H*W4S%T6M�G0 RIP标记一条路由不可达要经过3分钟,收敛过程较慢。
路由表是在内存当中的,路由器上电时初始化路由表,对每个直接网络生成一条路由。
�@,E ^-W*X |'[0 同时复制相邻路由器的路由表,复制过程中跳数加1,且下一跳指向该路由器。爱好者博墅#B P�u:T�L2y-R�f
若去往某网络的下一跳是RouteA,若RouteA去该网络的路由没有了,则删除这一路由。
�z�p�S(m(F;A0 跳数是到达目的网络所经过的路由器数目,直接网络的跳数是0,且有最高的优先级。
3、路由环路:
:L�H-H�|/?'{(~2u0O;Q�V0 矢量路由的一个弱点就是可能产生路由环路,产生路由环路的原因有两种,
+s c�M&T8u�]y0 一是静态路由设置的不合理,再一是动态路由定时广播产生的误会。
6X�F�{5W+_;O0 先看静态路由设置不合理的情况:
H"d&_.q)`0 设两个路由器RouterA和RouterB,其路由表中各有一条去往相同目的网络的静态路由,
s m R'V�A%p%e4B0 但下一跳彼此指向对方,形成环路。
再看动态路由造成的情况:
5r�`)i;\�~�`:O�?0 假设某路由器RouterA通过RouterB至网络neta,
&V�|�A�C�^8p0 但RouteB到neta不可达了,且RouterB的广播路由比RouterA先来到,
�K�i/M�_�u&r0C6C0 RouterB去neta不可达,但RouterA中有去往neta路由,且下一跳是RouterB,
�s�}6H0?%T�K�X&M0 这时RouteB就会从RouterA那里学习该路由,将去往neta的指向RouterA,跳数加1。爱好者博墅"Y2_ ~�Q b�L:|�Q
去neta的路由原本是RouterB传给RouterA的,现RouterB却从RouterA学习该路由,爱好者博墅#?%N;I#V�L Q7x1O
显然是不对的,但这一现象还会继续,爱好者博墅*X�k�~w0`
RouterA去neta网络的下一路是RouterB,当RouterB的跳数加1的时候,RouterA将再加1。爱好者博墅�{/@�g3L#{7x w7D e
周而复反形成环路,直至路由达到最大值16。
4、解决路由环路的办法
7R)N�a�@#B�K�k8j+o4P0 (1) 规定最大跳数爱好者博墅0N�j�X�S2w:X�w1G/I
RIP规定了最大跳数为16,跳数等于16时视为不可达,从而阻止环跳进行。
�q�n�V(y"C0 (2) 水平分割爱好者博墅,s�n�?)i7d2w)~�mS
水平分割是过滤掉发送给原发者的路由信息。具体路由信息单向传送。
&H�g&S7I){�X3O0 (3) 毒性逆转
�I�J$?�C N9g+A:m%B0 水平分割的改进,收到原是自己发出的路由信息时,将这条信息跳数置成16,即毒化。
X�_"`�C ?�d�S(Z0 (4) 触发方式
x.i3q�t&z�b�]�S0 一旦发现网络变化,不等呼叫,立即发送更新信息,迅速通知相邻路由器,防止误传。
2^+t [&J0c y3u+|�K8l0 (5) 抑制时间爱好者博墅8[/U�X�H+{6R$S�d,u
在收到路由变化信息后,启动抑制时间,此时间内变化项被冻结,防止被错误地覆盖。
三、OSPF路由协议
2},_5N$}�t T y�t�W F0 1、OSPF的特点爱好者博墅9L�{:W0]"a
OSPF(Open Shortest Path First)开放式最短路径优先协议,
m.id�l�[�O4v0 使用L-S(Link State)算法的链路状态路由协议,路由算法复杂,适合大型网络,爱好者博墅-r `�[5R�}�n/a�V
网络拓扑结构变化时,采用触发方式,组播更新,收敛快,要求更高的内存和CPU资源。爱好者博墅)R�m�a�{�H�`9Q
LSA(Link State Advertisement)链路状态通告是以本路由器为根的最小路径优先树。
3~!a1| S�v4B0 LSDB(Link State DataBase)链路状态数据库,这是各个路由器的LSA的集合。爱好者博墅�w ]#U:b$D(z
每个路由器的LSA是不同的,但他们的集合LSDB是相同的。
#S%{1W�w4U�e�@!B a�q0 D-V算法只考虑下一跳,没有全局的概念,交给下一跳就完成任务,所以容易产生环路。
�w0W h�{�Z�~�v0 L-S算法每个路由器可以根据网络整体结构决定路径,所以不会产生环。
�?�P�C�[�C�K�k�t3a0 2、指定路由器与路由器标识
t"H!~�d�|0 指定路由器DR(Dezignated Router)是ospf路由交换的中心,数据通过DR进行交换。爱好者博墅 ^5m8K$S|6p3W#Y
在路由器群组中优先级(Router Priority)值最高的为DR,次高的为备份指定路由器BDR。
+q�|5t�]9w @;w�W0 管理员可以通过设置优先级指定DB和BDR。优先级相同时,比较 router id。爱好者博墅 }�U�a;N6d,z�J h�I3y
如果没有设置Router id,则以回环接口loopback ip值高的为DR,爱好者博墅�@#^,T f�c;q4r�s
如果loopback ip 没有设置,取接口的IP地址中最高的为DR。
3、建立路由表
�y6R5w�w�d/v0 (1)Hello报文爱好者博墅�\�{-X0Y�U,P A.{
Hello报文用于发现新邻居问候老邻居,选举指定路由器DR和BDR。
�y9S�o;D0v�B-f%Q0 (2)DD报文(Database Descrīption Packet)爱好者博墅�b�h)g�A�R�p i w!c�m
DD报文用LSA头head信息表示LSA的变化情况,将其发送给DR,DR再发给其它路由器。爱好者博墅�b�Z�@.O�v�D
(3)LSR报文(Link State Request Packet)爱好者博墅�^,J�T)E�D�o1X/s2o
LSR是请求更新包,当LSDB需要更新时,将其发送给DR,点对点连接时直接同步LSDB。
[�B0t�x1X:mY0 (4)LSU报文(Link State Update Packet)
�y�[*Y Y/X�}"s�R�s�I0 DR用多播Multicast地址224.0.0.6收,224.0.0.5发,同步整个区域的LSDB。
�y�^g4Y G0 (5)确认后计算路由:
,j�R�^6K2a�W�G�x�f ?0 LSDB同步后,计算cost花费,考虑跳数、带宽、可靠性等综合因素求解最佳路径。
4、单区域OSPF配置爱好者博墅,\(v�B W(I9@F
单区域OSPF配置是指运行OSPF协议的路由器在同一个区域area n,
�R#M;x.x�q*F o!e0 对于只有一个区域的网络,区域号是任意的,一般设置为0。
7P1?8p0u�]�Y$|0 单区域OSPF有三种连接情况:爱好者博墅f U \#G'o�`
点对点的连接(Point to point)、爱好者博墅&~�Y�L.y6k�?�l(A�p�t
广播方式的连接(Broadcast Multi Access Network)、爱好者博墅�u x�oR�u(p�b
非广播方式多点连接(Non Multi Access Network)。爱好者博墅�{#S�G;a9H�e�P1i�Q�B�N
点对点连接结构最简单,可靠性高,工作稳定;爱好者博墅"X�A,q�]�G%E
以太网连接是典型的广播方式的连接;
8c�Y,O-k*V�b�~0 帧中继连接是属于的非广播方式多点连接类型。
爱好者博墅�J.R�b6H�r-A
5、多区域OSPF的设置爱好者博墅�^�l#f;J�j
多区域中要求有一个是骨干区域area 0,边界路由器跨接两个区域。爱好者博墅 F2w�]�v+b
多区域的区域内部按单区域设置,多区域间通过边界路由器的连接。
stub是末节区域,末节区域不接收ospf以外的路由信息,
P)_ N)l/s�V0 如果路由器想去往区域以外网络,要使用默认路由。
�~5G�?�[�Y(D0 只有多区域中才存在末节区域。末节区域要设置在边界路由器上。爱好者博墅E�N�o�d9Z2_1^�{ y
作为企业可以将分支区域设置为末节区域,爱好者博墅�?�n![1]�n0x5g s
分支区域不需要知道总部网络的细节,却能够通过缺省路由到达那里。
�|)c5W�r!i0s!n0四、访问控制列表爱好者博墅}1c Q)V:g�w$["}
1、访问控制列表类型与作用爱好者博墅2l�u�]�m(R�j�@
访问控制列表是对通过路由器的数据包进行过滤。
?�M�J2b�L6K&P0 过滤是根据IP数据包的5个要素:
�q�w6M�K$J0 源IP地址、目的IP地址、协议号、源端口、目的进行的。
访问控制列表有两类,标准访问控制例表和扩展的访问控制列表。
�J6F�c"Z+V�E0 标准访问列表:
&p�k2Q:]�V0 标准访问列表的列表号为1~99,只对源IP地址进行访问控制。爱好者博墅 H0N.` M�q}
扩展访问列表:
*r F;m�C1?5~�t0 扩展访问列表的列表号为100~199,可对源和目的地址、协议、端口号进行访问控制。
�E:G'o�|�a0 2、访问控制列表的结构爱好者博墅f7r�b�L#A7P't
分三步:
9n�l'a�G'b�X(s1w0 定义一个ACL:access-list <number> <permit|deny> <sourceIP wild|any>爱好者博墅.J/m�y9]'M�H%v�\�e
进入指定接口:interface <interface>
.S9h k%g�a�\ r:b0 绑定指定ACL:ip access-group <number> [in|out]
3、访问控制列表匹配原则
|.t�M n n1N7A!e�q0 访问控制列表默认的是deny any。爱好者博墅$\/g�S @-j�A�u
一般是逐行匹配,也可以设置深度匹配。
�_�i9K m,J.U�N0e'P D0 所以写访问控制列表一般是从小的范围向大的范围,成为梯形结构。爱好者博墅�c }�U x+K's
一般在访问控制表的最后一行要写permit any。
4、命名方式的访问控制列表
8~�}#y�j�q;i�n�F+J0 命名方式是用名称代替列表号,便于记忆,扩展了条目数量,可以是基本型或扩展型。爱好者博墅�P4c5k�S�z�e$j W
命令方式ACL语法有些变化,支持删除一个列表中的某个语句。爱好者博墅 x�l n6k�I
命名语法格式:
�R�Y�i:k'M K7d�P�c0 roa(config)#ip access-list {standard|extended} name
?�\�w�{�T m0 roa(config std nacl)#{deny|permit}]<S_ip><S_Wild>
7j.E V O�y1T;d�o0 roa(config ext nacl)#{deny|permit}[protocol]<S_ip><S_Wild><D_ip><D_Wild>[op]
;z T�Z#[2\�C�O0 第一行是定义命名方式访问控制列表类型:标准或扩展。
�t�y j�X W1M0 第二行是标准命名方式的访问控制列表的语法格式。
/n&\$T)l�y {�H0 第三行是扩展命令方式的访问控制列表的语法格式。
五、地址转换NAT
�S�W�m�g�wC�R�l9j�J t0 1、NAT的认识
�_�n�p�?!z�w/|0 NAT(Network Address Translate)是地址转换操作。
�Z1^)N:[�U(c�s _�E0 NAT可以将局网中的私有IP转换成公有IP,解决了内部网络访问internet的问题。
�R�n!f�p�_&d�mI(Tu0 NAT可以做负载均衡,将内部多个服务器对外映射成一台服务器。
�O�m�k�k s"Z0 定义:爱好者博墅�k I%G�C ]�k�Z�~�A
Inside local address: 内部网的私有IP。爱好者博墅 i.q#c7Y5~�@;@)}9X
Inside global address: 内部网的公有IP。
7[ `�A�g S%W0 Outside global address: 互联网中的公有IP。爱好者博墅.[&o&?"b6y j,L�q
Outside local address: 互联网中的公有IP对应的私有IP。
NAT可分为原地址变换SNAT和目的地址变换DNAT。
&y%~�T4f�Q4TG�a�n0 按工作方式划分,可分为静态NAT和动态NAT。爱好者博墅�k2B*f9I b�l
SNAT命令中使用source参数,DNAT命令中使用destination参数。
�l5e�p ^.d�@3~�t0 (对已连接的返回包可自动对应)
2、静态NAT爱好者博墅�t�l�Q�d*W }�Z�`
建立IP地址与IP地址之间一对一的就应关系
�X�O {�|�n&_0E�E X�V!W0 设置:爱好者博墅�I+U�m�^�c*g�{�{.C
Router(config)#ip nat inside source static <ipa> <ipb>爱好者博墅#Q6F R F�N�J�|�t b
在接口inside中对IP地址一对一的进行变换,一般ipa是私网IP,ipb是公网IP。
爱好者博墅;b _-E�u6~�m
3、动态NAT爱好者博墅�r�D(o4Q�I k ]+o"a
动态NAT一般用于将局域网中的多个私有IP从公有IP地址池中提取公有IP对外访问。爱好者博墅!j�S"|�C6d�J
设内部局域网是:10.66.0.0,公网IP地址池为:60.1.1.1~60.1.1.8爱好者博墅�O#H(~�L.U
当内部网络要访问internet时,从公网IP地址池中提取公网IP对外访问。爱好者博墅�H;{�P5z;L0r |�X�^
设置:爱好者博墅�{�n6H:h�qd
定义地址池p1:
�{�r(F1@4e�z L0 Router(config)#ip nat pool p1 60.1.1.1 60.1.1.8 netmask 255.255.255.0
�B&M�q,^�[0 定义访问控制列表1:
h�T2o�s!J�q)j�j([�|m0 Router(config)#access-list 1 permit 10.66.0.0 0.0.255.255爱好者博墅3[�{(w:w(_�|�E O
将访问控制列表1的源地址,动态的从公网IP地址池p1的提取公网IP:
�G-@�E�R�L�k�Q�c�y�S�m0 Router(config)#ip nat inside source list 1 pool p1
爱好者博墅�V�E C�b l�H
4、PAT
!K K*p�x�@0 PAT(Port Address Translate)是端口地址转换,将私有IP转换到公网IP的不同端口上。爱好者博墅�q1Gc j�O8o�n-d
PAT是原将动态nat地址池pool改为用接口,并使用参数overload。属于动态NAT。爱好者博墅.N�S)_)e�N(t7s�f
设置:爱好者博墅�T9z'd3X0l�B v
Router(config)#access-list 2 permit 10.66.0.0 0.0.255.255爱好者博墅�B+B�p�Z5^V7c�J
Router(config)#ip nat inside source list 2 interface s0/0 overload
5、基于NAT的负载均衡爱好者博墅�y�B�k�k%G/p \
NAT可以实现负载均衡。
9i"o�_(u8v3Q0 一般的NAT都是将内部私有IP转换为公网IP,连接方向从内部向外。爱好者博墅�G�{�A+l)s ]�x
而对于负载均衡是将一个公网IP翻译成多个内部私有IP,连接访问从外向内。爱好者博墅�v.o r%\�`8`
例如:
_2x R�w x�l0 内部的www服务负载过重,可将多台同样的服务器,但对外映射成一个IP地址,爱好者博墅 V�e�J e�]�u�s
内部的多台服务器成为捆绑在一起构成虚拟服务器,外部访问这个虚拟服务器时,爱好者博墅-B�e�P�]/n�E
路由器轮流指向各台服务器,从而达到负载均衡。
*J�r L�X�s&@$G,j�I0 设置:爱好者博墅�`�G6r5w�r ^�j�T
定义地址池p2,使用rotary参数轮循。爱好者博墅 P�|�I�n�L,r�h%B
ra(config)#ip nat pool p2 10.1.1.2 10.1.1.4 netmask 255.255.255.0 type rotary
N o:_$H�o:|�G0 ra(config)#access-list 1 permit 60.1.1.1
0A�R�~#c-[9f0 ra(config)#ip nat inside destination list 1 pool p2
'j'N�^�[ n�M0 在指定接口inside中建立list 2与pool p2的对应关系。Destination表示转换目的地址。
6、基于服务的NAT
*n�m�t+?�g�r�j0 基于服务的NAT配置,细化了NAT的应用,转换可以具体到协议和端口,即指定的服务上。爱好者博墅�P�`;z7L2C3^
例如:
*p�O8j7t�C0 对内网的虚拟服务器(使用一个公网IP)的访问:爱好者博墅#Q"D)p�o T�Q�K�A
当访问TCP 20端口时就将它转到内部ftp服务上。爱好者博墅0]�q1S7J!} C3z
当访问TCP 21端口时也将它转到内部ftp服务上。
�g)\.s:x�R�Q�H0 当访问TCP 80端口时就将它转换到内部的www服务器上。爱好者博墅)C3n�T*T+w(}�|
设置:爱好者博墅4~�_&k+U3r�Y2e
Router(config)#ip nat inside source static tcp 10.65.1.2 20 60.1.1.1 20爱好者博墅�`�} K*L/?�Z r
Router(config)#ip nat inside source static tcp 10.65.1.2 21 60.1.1.1 21爱好者博墅�?9{ }6m-H�E2g
Router(config)#ip nat inside source static tcp 10.65.1.3 80 60.1.1.1 80爱好者博墅�c)V'Y!R!V#V1X v�{
常见广域网协议及特点
一、常用的广域网协议爱好者博墅!d�B _�f�o+x�I+M*D _
PPP(Point to Point Protocol)、HDLC(High level Data Link Control)、fram-relay。
PPP:点对点的协议,华为路由器默认封装,是面向字符的控制协议。爱好者博墅:g"O#L�^'D�]�c2[-o�Z�R
HDLC:高级数据链路控制协议,Cisco路由器默认的封装,是面向位的控制协议。
/}#w�r"h ^�E2L�p-e�j�E7n�\�R0 fram-relay:表示帧中继交换网,它是x.25分组交换网的改进,以虚电路的方式工作。
二、PPP协议
9]8{"y j8C/H�h&I1d0 1、PPP协议的组成和特点
5j'\)x�{�f%Y8@0 PPP协议是在SLIP基础上开发的,解决了动态IP和差错检验问题。爱好者博墅 p�?+N�V-]�K3Z�W�L
PPP协议包含数据链路控制协议LCP和网络控制协议NCP。爱好者博墅&F!] b�i�K�_
LCP协议提供了通信双方进行参数协商的手段。
�s�z i4n)T/K�z0 NCP协议使PPP可以支持IP、IPX等多种网络层协议及IP地址的自动分配。
0i�~4r"s1s&_�W5a(y0 PPP协议支持两种验证方式:PAP和CHAP。
2、PAP(Password Authentication Protocol)验证爱好者博墅.b!H!z:w�z�]3G
PAP验证是简单认证方式,采用明文传输,验证只在开始联接时进行。
$s�w5k1y3m8\�D0 验证方式:爱好者博墅4i�q(g�e�N,t
(1)被验方先发起联接,将username和Password一起发给主验方。爱好者博墅�x�m1D�N)n�W�W
(2)主验方收到被验方username和Password后,在数据库中进行匹配,并回送ACK或NAK。
3、CHAP(Challenge-Handshake Authentication Protocol)验证
�X�X$F)O�_ n�T0 CHAP是要求握手验证方式,安全性较高,采用密文传送用户名。爱好者博墅�V6B�f L�d8S�W.j!`9Q
主验方和被验方两边都有数据库。爱好者博墅�e&d [!U�s�J
要求双方的用户名互为对方的主机名,即本端的用户名等于对端的主机名,且口令相同。爱好者博墅�| l�Z6r Q�l�d#[
验证方式:
�[�t#^/k�M K0 (1) 主验方向被验证方发送随机报文,将自己的主机名一起发送。
�P0p%C�B;z,C,^(w0 (2) 被验方根据主验方的主机名在本端的用户表中查找口令字,爱好者博墅�R&y0d3U�N�I2K y
将口令加密运算后加上自己的主机名及用户名回送主验方。爱好者博墅+i�`�U"g/U+R(H
(3) 主验方根据收到的被验方的用户名在本端查找口令字,根据验证结果返回验证结果。
三、HDLC协议爱好者博墅�z)V0O+o�Y�A/Q
HDLC(High level Data Link Control)高级数据链路层控制协议。是Cisco的路由器爱好者博墅�K�y�@�h�R3S&j F j
默认的封装协议。爱好者博墅9V�s8E;u�`�x�Z�B
HDLC是面向位协议,用"数据位"定义字段类型,而不用控制字符,通过帧中用"位"的组爱好者博墅*x�k�Y�p�o�o
合进行管理和控制。爱好者博墅�C(@^5e�@-r,p ~�R
帧格式为:
"l�q�L�S%k0 字段:开始标志 地址字段 控制字段 信息字段 校验序列 结束标志爱好者博墅�Y�\5|*?�z
位长: 8 8*n 8 任意 16 8爱好者博墅0MJ%R.c9n
字段:F=01111110 A C I FCS F=01111110
爱好者博墅�ib%J�t�Y Z4q1C
四、帧中继
�q�h$c4r u+B�o�G5Y-T�@0 企业网申请帧中继时,局端提供DLCI号和接入的LMI类型,局端是DCE,客户端是DTE。
:n%w�]�[2A�~ _�E0~+V�n0 设局端提供的虚电路号DLCI是16和17,本地管理类型接口LMI是Cisco。爱好者博墅*`�^1Q�X U�F7h
设置内容:连接端口的IP地址,指定lmi类型,设置虚电路号。
8D�R8]#D�M `�u�o�s�j�_0 例如:爱好者博墅*F0c B�_�^-q�i�[
Router(config)#int s0/0
�v�x b�I6E0 Router(config-if)#ip address 172.l6.20.1 255.255.255.0
2e1m {4y6b0 Router(config-if)#encap frame-relay爱好者博墅,_/V4b�X�|�P7p
Router(config-if)#frame-relay lmi-type cisco
+Q3]�m.h�P�w�A�P6J�]0 Router(config-if)#frame-relay dlci 16
如果在实验室条件下配置帧中继,要求用一个路由器做继交换机switching。爱好者博墅4g:h#@�I$z�f!R
Router(config)#frame-relay switching
当要求一点对多点时,可以使用子接口的帧中继设置。
�]�H�MK+S�},X7U*v0 PIX防火墙特点与应用
一、PIX防火墙的认识
'd�z i�a�y%b0 PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。
&m;~ z�o�K)j�V0 PIX有很多型号,并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。爱好者博墅9e�T�g�T3r-S�V9w
PIX防火墙常见接口有:console、Failover、Ethernet、USB。
�@�Q2r�\9}�f0J4y0 网络区域:爱好者博墅7o E�m�}1g(i
内部网络:inside
3r:a8e3]L#v�K2K0 外部网络:outside爱好者博墅 a�x,a�m k
中间区域:称DMZ (停火区)。放置对外开放的服务器。
二、防火墙的配置规则爱好者博墅9R�w�[�U2f-j.];k
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。
(q:|/z/w�w%Y6\�R0 (内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
9]�n8i;l�s!Z1T�X0 inside可以访问任何outside和dmz区域。爱好者博墅�j#o:d2d/g D v
dmz可以访问outside区域。爱好者博墅�A�\�a"r�T j+D
inside访问dmz需要配合static(静态地址转换)。
g*B N�~p0[0T�z0 outside访问dmz需要配合acl(访问控制列表)。
三、PIX防火墙的配置模式:爱好者博墅�I i1U3V�y1J
PIX防火墙的配置模式与路由器类似,有4种管理模式:
!c v�d�W e6V0[�v0 PIXfirewall>:用户模式
�g h&c1v3z�A�O V0 PIXfirewall#:特权模式爱好者博墅"E�y mJ�@�C;A-X
PIXfirewall(config)#:配置模式
�Y |�} F9l�y0 monitor>:ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。
四、PIX基本配置命令
$i�f�b�J�{;H�e0 常用命令有:nameif、interface、ip address、nat、global、route、static等。爱好者博墅�m�L:V�c f�q
1、nameif爱好者博墅 B�q `�t B�n
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。爱好者博墅�]5|;Y0x�H:Z
例如要求设置:爱好者博墅 l I*B)P�I c
ethernet0命名为外部接口outside,安全级别是0。爱好者博墅 N,{:L9a�n�y0S
ethernet1命名为内部接口inside,安全级别是100。
�x0f ^,};{,z L�Q%I6k0 ethernet2命名为中间接口dmz, 安装级别为50。
%I!W D�g�f�|0 使用命令:
�P1_�D'b�s-x+J0 PIX525(config)#nameif ethernet0 outside security0爱好者博墅,_�a�P�^�v�l�E�N
PIX525(config)#nameif ethernet1 inside security100
2]4Y5K8m%i9L�U�Z(e0 PIX525(config)#nameif ethernet2 dmz security50
0q4\�f�O�R(D0 2、interface
:I�w'A�E:}2h0 配置以太口工作状态,常见状态有:auto、100full、shutdown。爱好者博墅�[�s�G�r#c�a f�{ w�r
auto:设置网卡工作在自适应状态。
;}V'N�\,}�F�@2~0 100full:设置网卡工作在100Mbit/s,全双工状态。
�z:G4[4Z ~0 shutdown:设置网卡接口关闭,否则为激活。
E8^"C�X#h�^0 命令:爱好者博墅:K�H)H L.]
PIX525(config)#interface ethernet0 auto
�b-A4a�z1^;u�b�n�|0 PIX525(config)#interface ethernet1 100full爱好者博墅*e�e�U�u+M�N
PIX525(config)#interface ethernet1 100full shutdown
3、ip address
Q;@ ^�]�}:M+S0 配置网络接口的IP地址,例如:
4\ L S z�u�L0 PIX525(config)#ip address outside 133.0.0.1 255.255.255.252
#K-e,N;R�^�z0 PIX525(config)#ip address inside 192.168.0.1 255.255.255.0爱好者博墅�M4m�@ i l Z�}
内网inside接口使用私有地址192.168.0.1,外网outside接口使用公网地址133.0.0.1。
4、global爱好者博墅:Z�k�T�G�P�s7i�k:D Y
指定公网地址范围:定义地址池。
*o U�R8W�k0 Global命令的配置语法:
%a.u-E6T v�O�k.a.C0 global (if_name) nat_id ip_address-ip_address [netmark global_mask]爱好者博墅�\*X6B `�i�w
其中:爱好者博墅7k'_�E�Q�k,?+c$g�h�Z
(if_name):表示外网接口名称,一般为outside。
-S I/f.u)G0 nat_id:建立的地址池标识(nat要引用)。爱好者博墅�vW�z T h�w
ip_address-ip_address:表示一段ip地址范围。爱好者博墅/D#r Z.Z-O�^8`
[netmark global_mask]:表示全局ip地址的网络掩码。
例如:
�W%G7g�o�\�Y.x-h�D0 PIX525(config)#global (outside) 1 133.0.0.1-133.0.0.15 爱好者博墅�}�Z U b/d�M.L
地址池1对应的IP是:133.0.0.1-133.0.0.15爱好者博墅:c$Z�}(S�_�H3l
PIX525(config)#global (outside) 1 133.0.0.1
�R#z,N4w:K�s�Y0 地址池1只有一个IP地址 133.0.0.1。 爱好者博墅�M$x�},i�w:p"j
PIX525(config)#no global (outside) 1 133.0.0.1 爱好者博墅0~%c�d'b/T4L
表示删除这个全局表项。
5、nat爱好者博墅2S�S�c�_4M;J9D
地址转换命令,将内网的私有ip转换为外网公网ip。
�J$L3g X�`�|0 nat命令配置语法:nat (if_name) nat_id local_ip [netmark] 爱好者博墅;~5U+` H'F$F
其中:爱好者博墅,N/v�z f+|A&P�L
(if_name):表示接口名称,一般为inside.
�A1p#~�J�V Q2~�W6e�Y)D0 nat_id: 表示地址池,由global命令定义。
6j5s6^�s�k;r5X�o0 local_ip: 表示内网的ip地址。对于0.0.0.0表示内网所有主机。爱好者博墅-x�s+g�C.E�Y$L3}'Z
[netmark]:表示内网ip地址的子网掩码。
在实际配置中nat命令总是与global命令配合使用。爱好者博墅�j�@!IR�M2Q�w�v�D�n
一个指定外部网络,一个指定内部网络,通过net_id联系在一起。
�H8x6g-K(e�Z'B3c @0 例如:爱好者博墅 |'X5JE�f�Y�P;Y�A0f `
PIX525(config)#nat (inside) 1 0 0
)|�Q�v;^�R�e1w0 表示内网的所有主机(0 0)都可以访问由global指定的外网。
PIX525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
-R�U�U(e�c$N�S�V�U ]/w0 表示只有172.16.5.0/16网段的主机可以访问global指定的外网。
6、route
d�K�S�Q�~0 route命令定义静态路由。爱好者博墅$d O�Y-B;c�k/J�]
语法:
�L�A�x�k,?4G�m+N/g8y0 route (if_name) 0 0 gateway_ip [metric]
3d4d�X)O�y�V�E0 其中:
0g�C�L�z�l0 (if_name):表示接口名称。爱好者博墅.A }�b-{�b
0 0 :表示所有主机爱好者博墅�Q _;C N)P/{8C�S
Gateway_ip:表示网关路由器的ip地址或下一跳。
-B,W�H4k n�B5E!}0 [metric]:路由花费。缺省值是1。
例如:爱好者博墅'E"t4W�?.c
PIX525(config)#route outside 0 0 133.0.0.1 1 爱好者博墅1d:B�N�r�E
设置缺省路由从outside口送出,下一跳是133.0.0.1。
�j7e.Y%d�k8Q&M0 0 0 代表 0.0.0.0 0.0.0.0,表示任意网络。
PIX525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1爱好者博墅9d"?/s�@/A5N9i,e/a
设置到10.1.0.0网络下一跳是10.8.0.1。最后的“1”是花费。
7、static爱好者博墅�j�|�O9x:u�g5Z�i5i:\-@
配置静态IP地址翻译,使内部地址与外部地址一一对应。
['["U�z�f9b0 语法:
?:O(C t�Y6b�K0 static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
�y�Q�m�B�j"[$c0 其中:
�z�d Jt4k�[0 internal_if_name表示内部网络接口,安全级别较高,如inside。
5W5\�a�f8u)S�`0 external_if_name表示外部网络接口,安全级别较低,如outside。爱好者博墅4k5d'H�d�_'z,A&F�h�r�])m;[
outside_ip_address表示外部网络的公有ip地址。爱好者博墅�x*T'W�j&~%o�@�k3?"f
inside_ ip_address表示内部网络的本地ip地址。
#Q�@5] X�O�r�x�H n ]#^0 (括号内序顺是先内后外,外边的顺序是先外后内)
�\6\#jH�j2`;r0 例如:
�O p a c:h f0 PIX525(config)#static (inside,outside) 133.0.0.1 192.168.0.8爱好者博墅�~ ?�V8h�Q�{4\3G4| C�W
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址。
PIX525(config)#static (dmz,outside) 133.0.0.1 172.16.0.2爱好者博墅�]�`+R't B%R
中间区域ip地址172.16.0.2,访问外部时被翻译成133.0.0.1全局地址。
8、conduit
�t-D5G E�O�F�Y0 管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。
+c�v�k/}*s�R�J�}0 例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。爱好者博墅�}9G�E�c8~3?�r�O�m$P1n w
语法:
/@8V#K�}-F�N4K�\�n�^%@�m&[�Q0 conduit permit|deny protocol global_ip port[-port] foreign_ip [netmask]爱好者博墅7~2E q�?2@�k�g"r V
其中:
y�k�P�M1T'h R'W�q�H�u5E0 global_ip是一台主机时前面加host参数,所有主机时用any表示。
�U3W�C%R8_�S0 foreign_ip 表示外部ip。
�C(S8~�z�l�V�y*N�F"X'x0 [netmask] 表示可以是一台主机或一个网络。
+h�p�m ~'P�G�F't�d0 例如:
,v�v�{9E�n�O'?0 PIX525(config)#static (inside,outside) 133.0.0.1 192.168.0.3
�_�[ a }8k2D:D�G0 PIX525(config)#conduit permit tcp host 133.0.0.1 eq www any
这个例子说明static和conduit的关系。192.168.0.3是内网一台web服务器,爱好者博墅�z4O2i2d�]l E1L�Y,M
现在希望外网的用户能够通过PIX防火墙访问web服务。
K�i3w�x(z R(e0 所以先做static静态映射:192.168.0.3->133.0.0.1爱好者博墅 i�s�~�K3[6Q
然后利用conduit命令允许任何外部主机对全局地址133.0.0.1进行http访问。
9、访问控制列表ACL
1K-U;A/A�v�\�B�v Q0 访问控制列表的命令与couduit命令类似,爱好者博墅�A0f N�j�P
例:
a7D s�D$U&e�u5G0 PIX525(config)#access-list 100 permit ip any host 133.0.0.1 eq www爱好者博墅�J1J T�Z�^4s$N�h�b&W
PIX525(config)#access-list 100 deny ip any any
:w9B�p-{!j5C'E0 PIX525(config)#access-group 100 in interface outside
10、侦听命令fixup
~3^%v�x�_0 作用是启用或禁止一个服务或协议,爱好者博墅9R�f�R.u u�Q�L c T9\-C(|�Z
通过指定端口设置PIX防火墙要侦听listen服务的端口。
�z&H#p s�X)k H�E�W0 例:爱好者博墅7e9N9j!}�~
PIX525(config)#fixup protocol ftp 21
�d V f-]�c�u8G�_"}-i�?0 启用ftp协议,并指定ftp的端口号为21
PIX525(config)#fixup protocol http 8080爱好者博墅/d�b$X�G m,{ D
PIX525(config)#no fixup protocol http 80
�x+f�I:`;H$k"s�z�q2d ^0 启用http协议8080端口,禁止80端口。
11、telnet
/W.Q�f-X7D�p0 当从外部接口要telnet到PIX防火墙时,telnet数据流需要用vpn隧道ipsec提供保护或爱好者博墅!a�^$[�[�l�n�D:}2I [�{
在PIX上配置SSH,然后用SSH client从外部到PIX防火墙。爱好者博墅�b�a�{�|8h:N `
例:爱好者博墅u�r;F7J�H.w�Q�X'D M)[
telnet local_ip [netmask]爱好者博墅A J d#N�Z�`�r�U
local_ip 表示被授权可以通过telnet访问到PIX的ip地址。爱好者博墅 S N�q/X�a;l�?
如果不设此项,PIX的配置方式只能用console口接超级终端进行。
12、显示命令:
!P(Z3q�k�E q�L&e0 show interface ;查看端口状态。爱好者博墅2s2q3w�F }�S�y�J'k�\�P
show static ;查看静态地址映射。
�Q�m7M R�q�Q.g0 show ip ;查看接口ip地址。
#h�w7f O @-c A�Y0 show config ;查看配置信息。爱好者博墅�_;Z�M(A:H#v�N
show run ;显示当前配置信息。
�`�\�? m'Q+\�t�w�r�S"D0 write terminal ;将当前配置信息写到终端。爱好者博墅.P�|�I5I�L�X
show cpu usage ;显示CPU利用率,排查故障时常用。爱好者博墅 [,D�l u�i�e�G
show traffic ;查看流量。爱好者博墅�q�S3y�t�p,q9x�o
show blocks ;显示拦截的数据包。
,~)E"s�os,j�I�o0 show mem ;显示内存
13、DHCP 服务
7O'@�t#@2n�e�@0 PIX具有DHCP服务功能。爱好者博墅 s7d�_ U b"X/[
例:
%e)_0y�r)e�X�c0 PIX525(config)#ip address dhcp
�b%z�^y�t L/j0 PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
�f�p�m c�_�F0 PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47爱好者博墅�m�P�M�[+a.R�T+f
PIX525(config)#dhcp domain abc.com.cn
五、PIX防火墙举例
�Y3Z8` t)a2`Dq�~0 设:
�C�O7b @ ?W0 ethernet0命名为外部接口outside,安全级别是0。
�p�c�i�D"n�d0 ethernet1被命名为内部接口inside,安全级别100。爱好者博墅�a,| f5u.Q G x�y$W
ethernet2被命名为中间接口dmz,安全级别50。
PIX525#conf t
"U�n b'G�K�T#~*Z$R0PIX525(config)#nameif ethernet0 outside security0
�Y�W2|$i�E$~|�Y2e)k b0PIX525(config)#nameif ethernet1 inside security100爱好者博墅9n9~ ]1d*M f&_�i
PIX525(config)#nameif ethernet2 dmz security50
�R*?/N3{){0PIX525(config)#interface ethernet0 auto
:V'L r.W G�y"Y0PIX525(config)#interface ethernet1 100full爱好者博墅�T'G6@�X8F�I%i
PIX525(config)#interface ethernet2 100full爱好者博墅�t-Y�G'y+P M�x&Z�w
PIX525(config)#ip address outside 133.0.0.1 255.255.255.252 ;设置接口IP
$t/h�|�K�i�z%@�_0PIX525(config)#ip address inside 10.66.1.200 255.255.0.0 ;设置接口IP爱好者博墅7y4H$d2\�x){ ^
PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0 ;设置接口IP爱好者博墅.kI5i:x�E�H�?
PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14 ;定义的地址池
�p+N,l:x�K ]�n�I0PIX525(config)#nat (inside) 1 0 0 ;0 0表示所有
PIX525(config)#route outside 0 0 133.0.0.2 ;设置默认路由爱好者博墅�V*`�{�z4k:?/B�z*G!Y \
PIX525(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;静态NAT爱好者博墅$t�x�n�]!A�}�d
PIX525(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;静态NAT爱好者博墅�O�P�l�o�q�`2n
PIX525(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ;静态NAT爱好者博墅�Y�_0f!g�v2q�@�Z
PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACL爱好者博墅�N�]�l�e�I�x�k
PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACL
�u"O�v�}!r*v�X0PIX525(config)#access-list 101 deny ip any any ;设置ACL
-b+b1W�Y0D#IS�J0PIX525(config)#access-group 101 in interface outside ;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。爱好者博墅)u�P&R$K3C4?
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会
�X T�j�p�Z�gM9U7~0映射成地址池的IP,到外部去找。爱好者博墅�r6F-y)?%W1c-?�E
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。爱好者博墅�c2A)`3H'^0Z!`�[�z�H+B
PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
�m�n3?&| S/U0 静态路由指示内部的主机和dmz的数据包从outside口出去。
PIX 防火墙应用举例
设:
;N"J�p�x s @�R�R7v9D*H0 ethernet0命名为外部接口outside,安全级别是0。爱好者博墅�v�@�Q P/D8h,i#P,K�@)Q
ethernet1被命名为内部接口inside,安全级别100。
�h,W�r6P�M�z�b0 ethernet2被命名为中间接口dmz,安全级别50。
参考配置:
�\)E T�B F'n/b0PIX525#conf t ;进入配置模式爱好者博墅�N.a1W$p i,x
PIX525(config)#nameif ethernet0 outside security0 ;设置优先级0爱好者博墅;l V�@1N!V
PIX525(config)#nameif ethernet1 inside security100 ;设优先级100爱好者博墅�F�j�qA�j�o�O5d k�C/z
PIX525(config)#nameif ethernet2 dmz security50 ;设置优先级50爱好者博墅#]�B�W5e�j�W3j$q�B/b v�e
PIX525(config)#interface ethernet0 auto ;设置自动方式
#y `!i~:\�S t�T I�M0PIX525(config)#interface ethernet1 100full ;设置全双工爱好者博墅�~1?3Z�}�e4h�v!L�`
PIX525(config)#interface ethernet2 100full ;设置全双工爱好者博墅3\5T-]%w�d�Z�G2`�~:Z
PIX525(config)#ip address outside 133.0.0.1 255.255.255.252 ;设置接口IP
6H�R�}5i�r�Z-F�m�l3a K0PIX525(config)#ip address inside 10.66.1.200 255.255.0.0 ;设置接口IP
7n�{2F+P�k+A3I.D0PIX525(config)#ip address dmz 10.65.1.200 255.255.0.0 ;设置接口IP爱好者博墅#g*c L7N0s&C%^6o�q)[�G
PIX525(config)#global (outside) 1 133.1.0.1-133.1.0.14 ;定义地址池爱好者博墅9Z�f�X$y Q
PIX525(config)#nat (inside) 1 0 0 ;动态NAT
�w!o2W�t�a�J0PIX525(config)#route outside 0 0 133.0.0.2 ;设置默认路由爱好者博墅�Y�D D"d�{-z"N w$U�o
PIX525(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;静态NAT
�[�t7m;P�x S b0PIX525(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;静态NAT
7f�V�r ~�q)e�o0x0PIX525(config)#static (inside,dmz) 10.66.0.0 10.66.0.0 netmask 255.255.0.0爱好者博墅 p c;I�k�z8Y"S�f
PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACL爱好者博墅1C�l1J�m�r�j�p
PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACL
_/])F�u�j�V/l0PIX525(config)#access-list 101 deny ip any any ;设置ACL爱好者博墅0W+N7^1_+s�_"H H$_;Z,r
PIX525(config)#access-group 101 in interface outside ;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。爱好者博墅:Z,?�i0]0O�|�M4] w
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会爱好者博墅�X�q$Y7H*n:e1Y
映射成地址池的IP,到外部去找。爱好者博墅&W�]�c([;}�x;g�h
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101, static是双向的。
�Z�N�E�Q#b'O ["h0 PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。爱好者博墅&{�@:O0v�f"|�}
静态路由指示内部的主机和dmz的数据包从outside口出去。 |
免费注册 
用户登录 
新用户注册 
网络的连通性 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
