一、网际互联
局域网 广域网 服务器
客户机 OSI参考模型
分层的好处:每个环节的变化不影响其他环节 各个厂商的设备标准化 应用层:能够产生网络流量的应用程序(QQ)
表示层:加密、压缩(QQ视频)、二进制、ASCII码 IE出现乱码 会话层:服务器与客户机之间建立的联系(在线视频、木马的识别与查询) 查看会话 netstat -n 查看建立会话的进程netstat -nb 查看所有可用的参数以及功能netstat /? 传输层:不可靠的传输UDP(一个数据包完成任务) 可靠的传输TCP(数据量很大,一个数据包不能完成任务)流量控制 滑动窗口 确认机制(累计)三次握手 网络层:选择路径 网络网状结构 数据链路层:定义了如何识别网络设备 MAC 48 物理层:发送和接收比特流 电压 接口 从排错的角度看OSI参考模型
从底层向高层逐一排错 物理层:连接是否正常,设备加电 数据链路层:ADSL拨号正确(低级别验证) 网络层:选择路径出现故障 计算机网关设置问题 表示层:IE乱码问题 应用层:IE恶意插件 IE安全设置(受限站点) 从安全的角度看0SI参考模型
物理层安全:锁门,墙内网线 数据链路层安全:交换机上端口绑定MAC地址,AP账号、密码 网络层:在网络设备上指定访问控制列表 网络层防火墙 应用层:杀毒软件 应用层防火墙 ISA控制网络访问流量 从网络设备的角度看OSI
物理层:网线、集线器 数据链路层:网卡、交换机 网络层:路由器 网络设备
网线:双绞线 8根4对 T568B T568A (1236 10M 100M;1000M网络8根线全用) 直通线(两端T568B)连接不同类的设备 交叉线(一端T568B,另一端13和16调换),同类的设备 全反线:调试交换机/路由器用 集线器(HUB):是一个大的冲突域 不安全 交换机(Switch):基于MAC地址的数据转发 安全 端口的带宽独享 一个广播域 路由器(Router):基于IP地址的数据转发 ACL 隔绝广播 广域网接口 从数据封装角度看OSI
应用层 传输层 数据段 消息 网络层 数据包 数据链路层 数据帧 物理层 Bit 网络设计的三层模型 接入层交换机 直接连接用户计算机 接口多 10M/100M 汇聚层交换机 连接接入层交换机 接口相对较少 端口的带宽要求高 核心层交换机 连接汇聚层交换机 冗余设备 二、TCP/IP协议
传输层协议 TCP:传输前 数据分段 编号 建立会话 可靠传输 UDP:一个数据包就能完成任务 不可靠的传输 不建立会话 不需分段 不需编号 应用层的协议
HTTP=TCP+80 FTP= TCP+21 0R 20 SMTP=TCP+25 发送电子邮件 POP3=TCP+110 RDP=TCP+3389远程桌面协议 DNS=UDP OR TCP +53 连数据库=TCP+1433 端口用来表示服务器的服务 不同的服务使用的端口应该不同 默认端口可以更改 客户端必须也得更改 查看本地服务器的端口 netstat -a/an/anb
查看远程服务器打开的端口 telnet 192.168.186.128 21 实验2-01:WindowsServer2003安装服务查看端口
配置FTP服务器 配置Web服务器 配置SMTP服务和PoP3服务 实验2-02:修改本地服务器打开的端口 实验2-03:使用TCP/IP筛选保护服务器安全 TCP/IP筛选对PC访问Server和Server访问PC的不同作用 实验2-04:使用IPSec保护服务器安全 password1! msconfig查看服务 netstat -n查看会话 网络层协议
IP(RIP EIGRP OSPF) ICMP 测试网络连通性 ping pathping tracert ping 粗略的测试网络的速度 ping /?参数的查询 ping IP -t pathping tracert 跟踪沿途路径 (TTL过路由器减1) 计算丢包率 延迟等 IGMP 组播管理 节省带宽 ARP IP->MAC 广播方式解析 拓展实验:P2P终结者 网络执法官
防止ARP欺骗:arp -s ip mac可以绑定IP地址与MAC地址 三、子网划分和TCP/IP排错
IP地址:IPV4点分十进制(32位二进制 每八位一组表示成十进制) 是否为同一个网段看网络部分,同网段由交换机直接转发,不同的网段通信需要路由器转发,IP地址分为网络号(networkID类似于电话号码的区号)和主机号(hostID)
IP地址的分类(根据第一组二进制是的值)
A 0-127 B 128-191 C 192-223 D 224-239 多播地址 无子网掩码 E 240-255 测试用 广播(第3层)IP地址全1
单播 ABC类地址 组播 D类地址 数据包路由过程中MAC地址的变化
同一网段只需要交换机按照MAC地址转发 不同网段,路由器隔绝广播,只能解析到路由器的MAC地址,PC的目标地址为路由器的MAC,路由器查表转发 为什么需要MAC地址和IP地址?
IP地址决定最终数据给谁(复杂网络的主机标识) MAC地址决定下一站给谁(本网段中给谁) 子网掩码的作用:判断一个IP属于哪一个网段(逐位相与)
默认子网掩码:本地连接,TCP/IP属性 演示 划分了子网的子网掩码:借用n位主机号当做网络号 公网地址(不够用)
保留的私有地址 10.0.0.0 172.16.0.0--172.31.0.0 192.168.0.0--192.168.255.0 169.254.0.0 127.0.0.1 路由器不转发目标地址为私网地址的数据包 NAT 省IP地址 内网安全 慢 改变源IP地址为公网地址,实现与Internet发与收的过程 端口映射 允许外网访问内网 服务器不同的端口映射为内网的不同主机 子网划分
等长子网划分:借用一定的主机位为子网位,子网掩码一定,每个子网可容纳的主机数相同。 变长子网划分:子网掩码不定(即可变长子网掩码),每个子网容纳主机数不同,更灵活、合理。 超网(路由汇总)
汇总的思想:把网络前缀都相同的连续的IP地址组成一个地址块。 排错(TCP/IP环境中的排错)
ipconfig /all ping 127.0.0.1 网卡驱动没问题 ping 网关 和局域网是通的 ping 202.99.160.68 Internet网络层通 ping www. 查看域名解析是否正常 网络层测试 telnet www. 80 应用层测试 检查IE设置 替换法 四、Cisco的互联网络操作系统 路由器功能:加载网络协议和功能,在不同的网段转发数据,ACL控制流量、增加安全性,为网络中的资源提供网络可靠性 Cisco路由器的硬件组成:
Flash:装操作系统 RAM:内存,存放临时文件 ROM:类似于BIOS,装有最小的操作系统(DOS) CPU:处理 NVRAM:非意识性存储,固化在主板上,断电不丢失,类似于硬盘 路由器的分类
固定模块 模块化:功能可扩展 路由器系列:2500,2600,4000
路由器的连接方式:
通过控制台端口(Concole口)RJ-45与计算机的COM口连接 通过辅助端口(AUX)RJ-45,事先配置号MODE命令,远程拨号连入 通过Telnet远程访问终端来连接 路由器配置方式:
设置模式(Continue with configuration dialog? [yes/no]: y或者特权模式下键入setup)Ctrl+C退出设置模式 CLI模式(configuration dialog? [yes/no]: n然后键入Enter) 路由器常用模式:用户模式、特权模式和全局配置模式
1.Router>用户模式(查看统计信息,是进入特权模式的踏脚石,logout/exit退出控制台操作) Router>enable 2.Router#特权模式(查看并修改路由器的配置,disable返回用户模式) show interface 查看路由器的接口 show running-config 查看路由的配置 密码 接口IP地址 ACL NAT show version 查看路由器版本 配置寄存器的值 show ip interface brief 查看和Ip相关的接口信息 show ip route 查看路由表 show ip protocal 查看路由器运行的动态路由协议 Router#config terminal 3.Router(config)#全局配置模式(修改路由器的当前运行配置文件中的内容) 实战1:常规操作以及技巧:模式切换、编辑与帮助、主机名、标志区
Router>? 查看可用的命令 Router>sh? 短命令列表 Router#show ? 长命令串的完成 【空格下翻一页、回车下翻一行;Tab键妙用】 Router(config)#hostname Router1 修改主机名 Router1(config)#banner motd #test# 标识区 实战2:设置口令保护路由器:启用口令、辅助口令、控制台口令、Telnet口令、启用加密口令
启用口令 Router1(config)#enable password aaa 设置enable密码 Router1(config)#enable secret aaaa(较新的设置,如果被设置将越过启用口令的设置) 使用line命令可以指定用户模式的口令 辅助口令 Router(config)#line aux 0 Router(config-line)#password aux Router(config-line)#login 在“登录”之前必须设置口令 控制台口令 Router(config)#line console 0 Router(config-line)#password console Router(config-line)#login Telnet口令 Router1(config)#line vty 0 4 (没有IOS企业版的路由器默认时有5条VTY线路,0到4) Router1(config-line)#password aaa 设置Telnet密码 Router1(config-line)#login 要求必须登录 设置密码,且要求登录,则Telnet需要输入密码 不设置密码,不要求登录(no login),则直接Telnet进去 不设置密码,要求登录,则无法Telnet 加密命令(默认只用启用加密口令是被加密的,Router#show running-config 可以看得到) Router(config)#service password-encryption 所有的口令都被加密 实战3:路由器接口配置:激活接口、配置IP地址、串行接口命令 Router1(config)#interface fastEthernet 0/0 Router1(config-if)#ip address 192.168.0.1 255.255.255.0(secondary同时添加第二个IP) Router1(config-if)#no shutdown Router1(config)#interface serial 2/0
Router1(config-if)#clock rate 64000 在DCE端配置时钟频率(DCE是数据通信设备,DTE是数据终端设备,路由器一般是DTE,判断二者可以通过查看接头,或者使用命令来查看串行接口是否连接有DCE电缆Router#show controllers serial 2/0) Router1(config-if)#ip address 10.0.0.1 255.255.255.0 Router1(config-if)#no sh 实战4:查看、保存并擦除配置 Router#show version 查看系统硬件基本配置 Router#show running-config 查看除启用加密口令之外的所有口令 Router#copy running-config startup-config 从RAM写入NVRAM Router#erase startup-config 删除启动配置文件 五、管理Cisco互联网络
路由器的启动顺序 1.POST开机自检 2.默认从Flash加载IOS 3.IOS软件从NVRAM Startup-config加载,如果没有Startup-config,则进入setup模式 配置寄存器:16位的二进制
0x2142不加载配置文件 0x2102正常加载 路由器恢复口令的步骤
1.启动路由器并通过执行一个中断来中断启动顺序,这个中断将路由器带人ROM监控模式。 2.修改配置寄存器以开启位6(值为0X2142)。 3.重载路由器。 4.进入特权模式。 5.将startup-config文件复制为running-config文件。 6.修改口令。 7.将配置寄存器重设为默认值。 8.保存路由器的配置。 9.重载路由器。 口令:查看、修改寄存器的值并重设密码
查看:RouterA#show version 显示为0x2102 修改:RouterA(config)#config-register 0x2142 检查:RouterA#show version 显示Configuration register is 0x2102(will be 0x2142 at next reload) 保存:RouterA#copy running-config startup-config 重启:RouterA#reload 重设密码再存盘 实战:使用控制台连接Router操作
重启路由器Ctrl+breack 中断路由器正常启动 Rommon 1 > confreg 0x2142 更改寄存器的值 Rommon 2 >Reset 重启路由器 Router#copy startup-config running-config 使以前的配置生效 Router(config)#enable secret aaaa 重设enable密码 Router#copy running-config startup-config 保存当前设置 Router(config)#config-register 0x2102 更改寄存器的值,使之正常加载 注:不同系列路由器修改配置寄存器命令不同
在2600系列命令 Rommon 1 >confreg 0x2142 Rommon 2 >Reset 配置2500系列命令
产生中断后输入o,再输入o/r 0x2142 输入I(初始化) 备份和升级路由器IOS
验证闪存 Router#show f1ash Router#show version 备份Cisco IOS Router#copy flash tftp 恢复和升级Cisco IOS Router#copy tftp flash Cisco发现协议CDP
Router(config)#cdp run 开启路由器的CDP Router(config-if)#cdp enable 启用端口 Router#show cdp neighbor 显示直连设备 Telnet应用
同时Telnet到多台设备,若要保持连接,可以按下Ctrl+shift+6组合键,放开后,再按X键。 检查Telnet连接,Router#show sessions 解析主机名
建立主机表 Router(config)#ip host Router0 172.16.5.1 Router#telnet Router0 使用DNS解析名称 ip domain-lookup 默认打开 六、IP路由
不同网段计算机通信就叫路由 对路由器的要求,必须知道到网络中各个网段如何转发 网通:沿途所有Router都必须知道去到目标网段的下一跳和回到源网段的下一跳(PC网关设置正确) 路由分为 静态路由 管理员告诉路由器到各个网段如何转发 动态路由 路由器自己来学习到各个网段如何转发 配置静态路由
Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2 默认路由 代表大多数网段的路由 (默认路由优先级最低)
RouterR(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.2 路由汇总 检查路由表是以子网掩码位数多的优先
RouterR(config)#ip route 172.16.0.0 255.255.0.0 10.0.0.2 IP规则地区性 全球的IP地址分配分析
末端网络路由器使用默认路由减少路由表项 骨干网路由器通过路由汇总减少路由表项 动态路由 路由器自己来学习到各个网段如何转发
网络规模较大 or 具有网状结构的网络 学习配置RIP协议(路由信息协议)距离矢量路由选择协议 RIP 周期性广播路由表 30秒 度量值是跳数 15跳 16跳认为不可到达 RIPv1 广播传播路由信息 支持等长子网 不支持变长子网和不连续子网 RIPv2 多播传播路由信息 支持变长子网 和 不连续子网(关闭自动汇总)传播路由信息中包含了子网掩码信息 RIP协议的工作原理:比对选择跳数少的路径转发 Router(config)#router rip 在路由器上启用RIP(可简写成r r)
Router(config-router)#network 172.16.0.0 告诉路由器RIP协议工作在那些端口(只写主类的网络号,ABC类) 【Router(config-router)#version 2 使用第二版的RIP协议】 【Router(config-router)#no auto-summary 关闭自动汇总】 查看路由表show ip route 查看运行的路由协议show ip protocols 监控Router2上的RIP信息交换
Router#debug ip rip 打开监控开关 Router#RIP 可查看路由器接收、发出和计算出的路由信息 在Router2上关闭所有的Debug Router#undebug all 监控结束 七、EIGRP和OSPF
EIGRP 类似于于RIPv2 支持变长子网 关掉汇总,支持不连续子网。 EIGRP的工作原理
EIGRP(增强的内部网关)协议,Cisco专有协议。 非周期性更新路由信息,Hello报文发现和跟踪邻居,形成邻居关系时,彼此通告完整的路由表。之后他们只传播路由表变化的部分。 度量值默认带宽和延迟 支持大的网络默认100跳 最大255跳 必须是统一自治区域才能交换路由信息 支持变长子网和不连续子网(关闭自动汇总) 收敛速度块(有备用路径) EIGRP配置方法
Router(config)#router eigrp 10 设置自治区域号 Router(config-router)#network 192.168.0.0 参与路由协议的有类地址 Router(config-router)#no auto-summary 关闭自动汇总以支持不连续子网 路由信息可信度
连接接口 默认 0 静态路由 默认 1 EIGRP 默认 90 IGRP 默认 100 OSPF 默认 110 RIP 默认 120 未知 255 这条路由永远不会被使用 实验7-01动态路由EIGRP
实验7-02路由信息可靠性 实验7-03关闭EIGRP路由自动汇总 OSPF 路由表 由路由根据链路状态数据库算出来的,不出现环路,路由器之间更新的是链路状态,度量值带宽。触发式更新。
路由器三个表 邻居表,链路状态表,路由表 特性 有地区和自制系统组成 最小化路由更新流量 可扩展 支持变长子网 跳数不受限 标准 开放的标准 OSPF配置 Router(config)#router ospf 110 进程号 Router(config-router)#network 172.16.0.0 0.0.255.255 area 0 区域号 只有同一个区域的接口才能交换链路状态信息 Router(config-router)#network 172.16.0.1 0.0.0.0 area 0 OSPF的network写法
1.写Router所有接口的网段(翻转掩码) 2.进行汇总,如果Router的多个接口属于同一个网段 3.写Router各接口的IP地址(精确地址255.255.255.255,则翻转掩码为0.0.0.0) DR和BDR
准备知识 邻居:地区ID相同、认证口令同、Hello和Dead间隔相同。 邻接:成为邻居之后的下一个处理过程,邻接路由器指那些经过简单的Hello数据交换并进入数据库交换的路由器。 为了减少在特定网络分段中交换信息的数量,OSPF为每个网络分段选择一台指定路由器(DR)和备份指定路由器(BDR)。DR和BDR即是路由器建立的信息交换的中心结点。 DR和BDR的选举
RID是在OSPF启动时由所有激活接口中的最高IP地址确定; Router0#show ip ospf 查看Router3的RID Routing Process "ospf 1" with ID 192.168.0.13 环回接口确保OSPF进程总有一个激活的接口; Router(config)#interface loopback 0 Router(config-if)#ip address 192.168.10.1 255.255.255.255 Router#copy running-config startup-config Router#reload 重启路由器之后环回接口配置生效OR删除OSPF重新创建数据库 为路由器添加一个新的RID来替换原有的RID;(同时设置换回接口,此方法生效) Router(config)#router ospf 1 Router(config-router)#router-id 192.168.10.10 Reload or use "clear ip ospf process" command, for this to take effect 通过配置路由器接口的优先级来“指定”选举。(在已存在的DR和BDR被关闭之前不会起作用,即一旦选举发生过了,都不会再次进行,除非DR和BDR被重启和/或关闭) Router(config)#interface fastEthernet 0/0 Router(config-if)#ip ospf priority 2 Router#show ip ospf interface 查看并验证OSPF配置
八、第2层交换和生成树协议(STP)
第2层交换的功能 MAC地址学习 转发/过滤决定 避免环路 STP(Spanning-Tree Protocol生成树)
工作过程 1.选根桥:先看优先级,默认为32768 (0~61440,显示时将VLAN ID加进去)优先级小的为根,优先级相同的再看MAC,小的为根桥 2.非根网桥 选根端口 到根交换机近(开销小)的端口 3.每根网线两端确定一个指定端口,到根交换机近的为指定端口,剩下的为阻塞端口 阻断的端口转发BPDU(桥协议数据单元),不转发用户数据,而指定端口转发用户数据 生成树端口的状态 阻塞Blocking,不转发数据帧,指监听BPDU。刚加电时默认都阻塞。 侦听Listening,端口侦听BPDU,在没有形成MAC地址表时,准备转发数据。 学习Learning,端口侦听BPDU,并学习交换式网络中的所有路径。 转发Forwarding,发送并接收数据帧。 实验8-01查看交换机MAC地址表 Switch#show mac-address-table 查看交换机上的MAC地址表 实验8-02生成树协议 确定根网桥 Switch#show spanning-tree 更改交换机的优先级 Switch(config)#spanning-tree vlan 1 priority 4096 关闭生成树 Switch(config)#no spanning-tree vlan 1 交换机端口可以实现安全
控制交换机接口连接计算机的数量 Switch(config)#interface fastEthernet 0/4 Switch(config-if)#switchport mode access 配置该接口为访问接口 Switch(config-if)#switchport port-security 设置安全策略 Switch(config-if)#switchport port-security violation shutdown 违反安全策略端口关闭 Switch(config-if)#switchport port-security maximum 2 最大连接数目为2 交换机端口绑定MAC地址
Switch(config)#interface fastEthernet 0/4 Switch(config-if)#switchport mode access 配置该接口为访问接口 Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation shutdown Switch(config-if)#switchport port-security mac-address 0090.0CD7.65C8 绑定MAC地址 九、虚拟局域网(VLAN)
一个VLAN=一个广播域=一个逻辑网段(=一个部门) 分段(通过逻辑分组,增加广播域的数量而减小广播域的范围); 灵活(通过将交换机端口或者用户分配到VLAN组灵活添加广播域用户而不管物理地址); 安全(VLAN创建可以与用户所需的网络资源相一致,以防任何主机连入则能任意访问) VLAN识别方法
交换机间链路(Inter-Switch Link, ISL):Cisco交换机专用的方法 IEEE 802.1Q:IEEE创建的作为帧标记的标准方法 实验9-01验证VLAN
查看VLAN Switch#show vlan 创建VLAN Switch(config)#vlan 2 Switch(config)#interface fastEthernet 0/2 (Switch(config)#interface range fastEthernet 0/13 – 24) Switch(config-if-range)#switchport access vlan 2 删掉VLAN Switch(config)#no vlan 2 实验9-02配置单臂路由器
Switch(config-if)#switchport mode trunk 开启交换机的G比特以太网口模式为Trunk Router(config)#interface gigabitEthernet 6/0
Router(config-if)#no sh Router(config)#interface gigabitEthernet 6/0.1 具体的子接口(0.1纯粹为了好记) Router(config-subif)#encapsulation dot1Q 1 封装,该子接口负责VLAN1 Router(config-subif)#ip address 192.168.0.1 255.255.255.0 该子接口的IP地址 实验9-03带路由模块的VLAN间路由
Switch(config)#vlan 2 Switch(config)#interface gigabitEthernet 0/1 Switch(config-if)#switchport mode trunk Switch(config)#interface gigabitEthernet 0/2 Switch(config-if)#switchport mode trunk Switch(config)#interface vlan 1 Switch(config-if)#ip address 192.168.0.1 255.255.255.0 Switch(config-if)#no sh Switch(config)#interface vlan 2 Switch(config-if)#ip address 192.168.1.1 255.255.255.0 Switch(config-if)#no sh 实验9-04楼宇网络VLAN间路由
每个交换机上都人为去配置VLAN,为了简化操作使用VTP
VTP(VLAN间干道协议):实现VLAN的单一管理(VLAN的添加、删除等数量的管理)server操作,client被动变化。 实验9-05VTP域
Switch(config)#vtp domain office1 配置VTP域名为office1 Switch(config)#vtp password aaa 配置VTP密码为aaa Switch(config)#vtp mode server 设置VTP模式为server Switch(config)#vtp mode client 设置VTP模式为client
十、安全
Cisco IOS防火墙 基于策略的多接口支持 网络地址转换:对外隐藏内网,增加安全性 基于时间的访问控制:根据精确时间决定安全策略 ... ... 访问控制列表
标准的访问控制列表:基于源IP地址过滤数据包 扩展的访问控制列表:基于源IP地址 目标IP地址 协议(TCP UDP IP(TCP UDP ICMP) ICMP)目标端口 来控制 命名的访问控制列表:功能同前两者,不是新型的ACL,只是给人一点参考提示 实验10-01配置标准的访问控制列表
定义标准ACL Router#config t Router(config)#access-list ? 查看编号,1~99为标准ACL,100~199为扩展ACL Router(config)#access-list 10 deny host 192.168.2.2 Router(config)#access-list 10 permit 192.168.2.0 0.0.0.255 ACL 默认隐含拒绝所有deny any 查看ACL
Router#show ip access-lists 将ACL绑定到接口
Router#config t Router(config)#interface serial 3/0 Router(config-if)#ip access-group 10 out 将访问控制列表绑定到S3/0出口 删除ACL
Router(config)#no access-list 10 ACL等价的写法
access-list 10 deny host 192.168.2.2 == access-list 10 deny 192.168.2.2 0.0.0.0 access-list 10 permit any ==
access-list 10 permit 0.0.0.0 255.255.255.255 实验10-02配置扩展的访问控制列表
Router(config)#access-list 101 permit tcp 192.168.2.0 0.0.0.255 host 10.0.0.2 eq 80 Router(config)#interface serial 3/0 Router(config-if)#ip access-group 101 out 允许市场部PING通WebServer网段
Router(config)#access-list 101 permit icmp 192.168.2.0 0.0.0.255 10.0.0.0 0.255.255.255 允许销售部访问PC6(IP包含所有)
Router(config)#access-list 101 permit ip 192.168.0.0 0.0.0.255 host 10.0.0.3 实验10-03使用ACL保护路由器安全
Router(config)#access-list 20 permit 192.168.2.2 0.0.0.0 定义标准的访问控制列表 Router(config)#line vty 0 4 Router(config-line)#access-class 20 in 将访问控制列表绑定VTY端口 Router(config)#access-list 112 permit tcp host 192.168.2.2 any eq 23(telnet)定义扩展的访问控制列表
ACL配置指南
访问控制列表中条目的顺序非常重要 使用文本编辑工具编辑ACL,然后粘帖到命令行 自上而下的处理 ACL项 从上到下依次检查,添加ACL时应该将具体IP地址或较为具体的网段放到ACL上面 不能够重新排序或删除其中ACL中的的某一条 使用no access-list number 命令删除整个访问控制列表 例外:命名访问控制列表允许删除ACL中的某一条 隐含拒绝所有 除非在ACL最后显示允许所有 访问控制列表位置
标准的ACL放到距离目标网络近的路由器上 扩展的ACL放到距离源地址较近的路由器上 高级访问控制列表
命名的访问控制列表 Router(config)#ip access-list standard Sales Router(config-std-nacl)#deny host 192.168.0.3 Router(config-if)#ip access-group Sales in
思考:
什么时候使用标准的ACL,什么时候使用扩展的ACL? 可否在一个物理接口上绑定多个ACL,如果在某一接口in方向绑定两个ACL,如何作用? 实验中有人进行IP地址欺骗,该如何进一步防护? 10-03实验中要想防止除PC7之外的主机ping通路由器,该再怎样操作? 十一、网络地址转换NAT
NAT的目的是允许把私有IP地址映射到外部网络的合法IP地址,以减缓可用IP地址空间的消耗。 以下是适于使用NAT的各种情况: 需要连接到因特网,但是主机没有公网IP 更换了一个新的ISP,需要重新组织网络 需要合并两个具有相同网络地址的内网 NAT三种类型 静态NAT 动态NAT 复用(端口地址映射PAT) 静态NAT Router(config)#ip nat inside source static 10.1.1.1 172.16.12.10 动态NAT Router(config)#ip nat pool todd 172.16.12.10 172.16.12.10 netmask 255.255.255.0 Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255 Router(config)#ip nat inside source list 1 pool todd Router(config-if)#interface fastEthernet 0/1 Router(config-if)#ip nat inside Router(config)#interface s 0/0 Router(config-if)#ip nat outside 删除缓存的地址转换 Router#clear ip nat translation * 查看映射关系 Router#show ip nat translations PAT Router(config)#ip nat pool todd 172.16.12.10 172.16.12.10 netmask 255.255.255.0 Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255 Router(config)#ip nat inside source list 1 pool todd overload Router(config-if)#interface fastEthernet 0/1 Router(config-if)#ip nat inside Router(config)#interface s 0/0 Router(config-if)#ip nat outside 到内网的端口映射 Router(config)#ip nat inside source static tcp 10.1.2.2 80 172.16.12.10 80 Router(config)#interface fastEthernet 0/0 Router(config-if)#ip nat inside Router(config)#interface serial 0/0 Router(config-if)#ip nat outside 十二、Cisco无线网络技术
在典型情况下,WLAN运行在半双工通信模式下 WLAN的工作和用集线器连起来的以太网很像。 WLAN使用射频频率(RF),这些无线电波遇到墙、水面和金属表面等,会被吸收、折射或反射,导致信号强度降低。 十二、IPv6
Router(config)#ipv6 unicast-routing Router(config)#interface fastEthernet 0/1 Router(config-if)#ipv6 address 2002::2/64 Router(config-if)#no shu 静态路由
Router(config)#ipv6 route 2001::/64 2002::1 动态路由RIPng
Router(config)#ipv6 unicast-routing Router(config)#ipv6 router rip 1 Router(config)#interface f Router(config)#interface fastEthernet 0/0 Router(config-if)#ipv6 rip 1 enable Router#show ipv6 route
|
|