网络工程师培训PPT资料

发布时间:2021-08-01 06:07:33

信息化网络
专题知识培训

1

培训内容概要
? 一、数据网系统 ? 二、MSTP光传输系统 ? 三、存储与备份系统

2

第一部分:数据网系统
? 1、网络原理知识介绍 ? 2、信息化网络的*私樯 ? 3、网络设备的基本配置与维护

3

1、网络基本知识介绍
? ? ? ? 1.1 1.2 1.3 1.4 OSI 七层参考模型 Switching 交换 Routing 路由 Security 安全

4

1.1 OSI 七层参考模型
Open System Interconnection Reference Model

5

OSI :开放系统互连参考模型(Open System Interconnection Reference Model)

网络世界的法律!
6

OSI Reference Models

PCA
Data

PCB
Application Presentation Session Transport Network Datalink
Physical

Application Presentation Session Transport Network Datalink
Physical

网络设备传输数据的过程是按照OSI七层参考模型来运动的。

7

OSI Reference Models (cont)
Application
应用层

Presentation Session Transport Network
数据流层

Data link Physical

我们统称七层模型的上三层为应用层,下四层为数据流层。

8

网络协议结构图
BGP Telnet FTP SMTP DNS TFTP SNMP RIP

Application Layer

EIGRP
ICMP
PING Trace

TCP IP

UDP

OSPF

Transport Layer

IGMP
Network Layer

ARP

DIRVER

PPP FrameRelay HDLC ETHERNET
Cable

Data Link Layer

Physical Layer
9

Encapsulation
在发送数据的时候,就 是一个封装数据的过程.
Application
data

Presentation Session

TCP/UDP header

Transport

Segment

IP header

Network
FCS

Packet

LLC

LLC Sub layer MAC Sub layer

Data link

Frame Bit
10

MAC

FCS

011000110101

Physical

De encapsulation
在接收数据的时候,就是 一个解封装数据的过成.
Application layer Presentation layer Session layer

Transport layer

Segment

Network layer
LLC Sub layer
MAC LLC IP TCP data FCS

Packet

MAC Sub layer

Data link

Frame Bit
11

011000110101

Physical layer

七层功能

提供应用程序间通信 处理数据格式、数据加密等

7 6
5 4

应用层 表示层 会话层 传输层 网络层 数据链路层 物理层

建立、维护和管理会话 建立主机端到端连接

寻址和路由选择 提供介质访问、链路管理等 比特流传输

3 2

1

12

以太网络
其他的网络*嗽诮窈蟮目纬汤锘挂*,我们在这里主要 介绍一下Broadcast网络也就是以太网络。 以太网使用CSMA/CD (Carrier Sense and Multiple Access with Collision Detection).CSMA/CD意思是,所有的设备利用同 一个媒介通信,每一时刻只能传输一个设备的信息,但它们可 以同时接收信息.如果两个设备试图在同一时刻传输,将发生 传输冲突,检测到冲突后,两个设备都会等待一段随机的时间 (很短)再进行传输.

13

物理层 ---HUB
CSMA/CD

PC A
Packet

听 空闲

PC B

PC C

PC D

当PCA要发一个数据包给PCD的时候,首先PCA要先听HUB的链路上是否 有数据在跑,如果有那么PCA等待,如果没有那么PCA将数据包发出.这样 的做法是由于HUB上的链路是共享的,所以采用了发数据包之前先进行冲 突检测的方法,那么我们称为CSMA/CD.
14

物理层 ---HUB
CSMA/CD

听 继续听

有数据在转发

HUB上的链路是共享的,所以如果HUB上有数据在转发,那么此时PCA需要 等待.
15

物理层 ---HUB
CSMA/CD BACK OFF

PC A
随机秒数 Packet

听 空闲

PC B

随机秒数

PC C


Packet

PC D

现在的情况是PCA和PCC都要发数据,但是两人刚才都检测到HUB上是空 闲的.那么两人都发.结果发生了冲突.两人都同时启动BACK OFF动作.随 机的生成一个秒数,再发数据包.如果再与其他PC发送的数据包冲突.那么 再次BACK OFF,BACK OFF一共可进行15次.
16

物理层总结

? 经过上面的几个例子,我们发现物理层的设备比如 HUB由于没有任何的机制可以避免数据发送时的冲 突,当然更不用说广播风暴了.所以HUB是不能划分 冲突域和广播域的.换句话说,一个HUB就是一个冲 突域,一个广播域.

17

数据链路层

MAC地址是一个48位的地址,前24位是厂商号,后24位是厂商自定义的 产品号。 比如:Cisco的MAC都是:0000.0C 华为产品前3个字节是0x00E0FC

18

交换基础
交换机的背 板带宽是交 换式的,不互 相影响.

Packet

Packet

Packet

Packet

19

冲突域与广播域

1

2

3

4

四个冲突域,一个广播域.

20

数据链路层总结
? 经过上面的几个例子,我们发现数据链路层的设备比如 Switch由于背板带宽是交换的而不是共享的,所以可以避免 数据发送时的冲突.所以Switch是可以划分冲突域的,但是 Switch只是一个二层的设备不设计三层的概念所以不能划 分广播域.换句话说,一个Switch的每个interface就是一个 冲突域,整个Switch就是一个广播域.

21

网络层介绍

定义与指定协议相关联的源和目标逻辑地址

定义通过网络的路径

多链路连接

22

IP协议
IP协议是TCP/IP协议族中最为核心的协议,所有TCP、UDP、ICMP及IGMP数据 都以IP数据包格式传输。

IP地址被我们称为网络逻辑地址,用来唯一的标示一台网络设备。

IP地址与MAC地址的关系是,MAC地址被我们称为物理地址。是厂家出厂设置

的地址一般不做更改,IP地址与MAC地址是通过ARP协议进行解析对应的。

23

IP地址
IP地址是32位无符号整数,例如1.1.1.1。我们可以把IP地址分为五类。

8 bits

8 bits Host

8 bits Host Host

8 bits 地址的第一个
字节(十进制)

? Class A:
? Class B:

Network

Host Host Host

1---126
128---191 192---223

Network Network

? Class C:
? Class D:

Network Network Network

组播地址 科研用

224---239
240---255

? Class E:

24

IP 地址分类

Bits:

1 0NNNNNNN Range (1-126) 1

8 9 Host 8 9

16 17 Host 16 17

24 25 Host 24 25

32

Class A:
Bits:

32

Class B:
Bits:

10NNNNNN

Network

Host 16 17
Network 16 17

Host 24 25
Host 24 25

Range (128-191) 1 8 9
110NNNNN Network

3

Class C:
Bits:

Range (192-223) 1 8 9 1110MMMM

3

Class D:

Multicast Group Multicast Group Multicast Group

Range (224-239)
25

子网掩码

Network

Host

IP Address

172 255

16 255

0
00000000

0
Host

Network Default Subnet 11111111 11111111 Mask “/16” 表示子网掩码有16位.

0

0
00000000

Network 8-bit Subnet Mask “/24”表示子网掩码有24位.

Subnet

Host

255

255

255

0
26

Class

Address area 0.0.0.0 1.0.0.0到126.0.0.0

State Reserve Usable Private Reserve Host loop Usable Reserve Private Reserve Usable Private Reserve Multicast All host

A

10.0.0.0-10.255.255.255 127.0.0.0 127.0.0.1 128.0.0.0到191.254.0.0

B

191.255.0.0 172.16.0.0-172.31.255.255 192.0.0.0

C

192.0.1.0到223.255.254.0 192.168.0.0-192.168.255.255 223.255.255.0 224.0.0.0到239.255.255.255 224.0.0.1

224.0.0.2
224.0.0.4

All router
All DVMRP router

D

224.0.0.5
224.0.0.6 224.0.0.9 224.0.0.10 224.0.0.13

All OSPF router
All OSPF DR (Designated Router) All RIPv2 router All EIGRP router All PIM router Reserve Broadcast

E

240.0.0.0到255.255.255.254 255.255.255.255

27

IP报头
4比特版本 4比特IHL 8比特服务类型 16比特总长度

16比特标识

3比特标识

13比特分段偏移

8比特生存期TTL

8比特协议 32比特源地址 32比特目的地址 选项 数据

16比特校验和

28

IP报头(续)
4比特版本 4比特IHL 8比特服务类型 16比特总长度

IP版本号(Version Number)----IP报头的前4比特标识了IP的运行版本(V4或者V6)。 IP数据包的头位是版本域。因为讨论的是IPv4数据包,所以版本号为4。4的二进制表示 是0100。 IHL(Internet头长度)域----她是以32比特字为单位的头的长度,标识IP报头的长度。 8比特的服务类型(TOS)域----设为0,因为没有特殊的TOS需求;这样,TOS域的值就 为00000000。用来指定该数据Packet的优先权,延迟,吞吐量和可靠性参数。 总长度字段(Total Length Field)----这16比特字段包含IP Packet的总长度。

29

IP报头(续)
4比特版本 4比特IHL 8比特服务类型 16比特总长度 3比特标识 13比特分段偏移

16比特标识 8比特生存期TTL

Packet标识符(Packet Identifier)----允许一个主机来决定最新到达的数据分段属于哪 一个Packet.

标志(Flags)----接下来的字段包括3个1比特标志,用来指出对Packet的分段是否允许 以及在分段已经使用时,是否还允许分段。
数据片骗移量字段----指出这个数据片在原有数据包中的位置,如果原有数据包没有被分 片.那么这个字段等于0. 生存时间(TTL,Time-To-Live)字段-----在WAN中,IP Packet不能永久漫游,限制了一 个有限的TTL值。8比特的TTL字节由发送者确定,最大为255。Packet每经过一个站,这 个值至少被递减1。递减到1以后,则确定该Packet是不可传送的。 30

IP报头(续)
4比特版本 4比特IHL 8比特服务类型 16比特总长度 3比特标识 8比特协议 13比特分段偏移

16比特标识 8比特生存期TTL

16比特校验和

协议标识符字段(Protocol Identifier Field)----这8比特字段标识了IP报头之后的协议, 例如协议号为6就是TCP ,协议号为17就是UDP,协议号为89就是OSPF,协议号为88就是 EIGRP。 校验和(Checksum)----校验和字段是一个16比特的检错字段。

31

IP报头(续)
4比特版本 4比特IHL 8比特服务类型 16比特总长度 3比特标识 8比特协议 32比特源地址 32比特目的地址 填充 数据 源IP地址(Source IP Address)----本字段为源端计算机的IP地址。 目标IP地址(Destination IP Address)----本字段为目标计算机的IP地址。 填充字段(Padding)----为确保IP报头总是32比特的整倍数,本字段填充进额外的0。
32

16比特标识 8比特生存期TTL

13比特分段偏移

16比特校验和

路由
路由的概念就是将个不同子网的IP,进行转发通信。

路由有两个功能:
寻路:在路由表中找目的子网的路由条目。 转发:通过ARP表或MAP表重新进行二层的封装。

33

路由(续) 2
在路由的过程中,三层地址不变, 二层地址随着下跳的改变而改变. 1.1.1.1
e0
Packet

ARP MAC -- IP MAP 二层地址 -- IP 2

2.2.2.1
e1

1

Route Table

1.1.1.2 PCA 1.1.1.0 PCB

1.1.1.0 2.2.2.0

E0 E1

c c

PCC 2.2.2.2 2.2.2.0

1.1.1.3
SOURCE MAC SOURCE IP SOURCE MAC

SOURCE IP

PCA
DESTINATION MAC

PCA
DESTINATION IP

e1
DESTINATION MAC

PCA
DESTINATION IP

e0

PCC

PCC

PCC

34

ARP
ARP为IP地址到对应的硬件地址之间提供动态映射.我们之所以用动态这个词是 因为这个过程是自动完成的. ARP为IP地址到对应的硬件地址之间提供动态映射.我们之所以用动态这个词是 因为这个过程是自动完成的. 点对点链路不使用ARP。当设置这些链路时,必须告知内核链路每一端的IP地 址。

35

ARP-地址解析协议

10.0.0.2 对应的MAC: 00-E0-FC-00-00-12
IP:10.0.0.1/24 MAC:00-E0-FC-00-00-11 ARP Reply

IP:10.0.0.2/24 MAC:00-E0-FC-00-00-12

需要10.0.0.2的 MAC地址?

ARP Request?

36

RARP-反向地址解析协议

你的IP地址是10.0.0.1

无盘工作站

RARP Reply

RARP Server

我的IP地址是 什么? RARP Request?

37

免费ARP
通过上一个胶片的Debug信息我们可以看到另一个有趣的现象,就是主机或者 路由器会来查找本地接口IP地址的MAC地址,我们称之为免费ARP。

免费ARP有两个方面的好处:
一、一个主机可以通过查找本地接口IP地址的MAC地址来确定网络中是否有设 置了相同IP地址的主机。 二、如果更改了MAC地址或者更换了NIC,那么主机收到某个IP地址的ARP请求 而且这个请求的IP地址已经在本地ARP缓存中,主机就要用ARP请求中的发送端 (在这里也就是他自己)硬件地址对高速缓存中相应的内容进行更新。

38

ARP高速缓存
ARP高效运行的关键是由于每个主机上都有一个ARP高速缓存.这个高速缓存存 放了最*Internet地址到硬件地址之间的映射记录.高速缓存中每一项的生存时 间一般是20分钟,起始时间从被创建时开始算起. Cisco(config-if)#arp timeout ? <0-2147483> Seconds

39

Proxy ARP
如果ARP请求是从一个网络的主机发往另一个网络的主机,那么连接这两个网络 的路由器就可以回答该请求,这个过程称作委托ARP或ARP代理(Proxy ARP).这样 可以欺骗发起ARP请求的发送端,使它误以为路由器就是目的主机,而事实上目的 主机是在路由器的”另一边”.路由器的功能相当于目的主机的代理,把分组从 其他主机转发给它.

A
10.1.1.2

Proxy ARP

B
20.1.1.2

40

传输层介绍
? 通过端口号区分上层应用

? 建立端到端连接(TCP连接)

? 提供面向连接(TCP)和非面向连接(UDP)

41

面向连接协议和面向非连接协议
传输层有两种协议:1、面向连接协议。2、面向非连接协议。 面向连接协议的典型代表为TCP协议,面向非连接协议的典型代表为UDP协议。 面向连接协议要求必须在数据传输之前先做好连接工作,比如TCP的三次握手工 作。

A

Packet

B

42

一台PC机发信息的过程
我要发送 Data
Segment Segment Segment Segment 序列号 端口号 源端口号

目标端口号

TCP协议将数据分装成数据段.表面上看应用可以转发大量的数据.然而TCP或任 何传输层协议,必须开始把大量数据分成更易管理的数据块的过程,每个数据块 称为”segment” 。 分段处理中有一部分是对整个TCP报头字段的分段,这些字段中最重要的两个是 序列号以及正在发送和接收分段数据的应用的源和目标端口号.
43

序号的作用
Seq Seq ISN+2 2

Seq 1+1 Seq ISN
Seq Seq ISN+3 3

由于网络的原因致使我们第一个发出的包却最后一个到,如果对方按照接收的 顺序处理那么数据的内容可能将混乱。 序列号标识从原始数据流中分割出的数据段的顺序,这使接收方能重建数据流, 而不会把内容弄混乱。 序列号由于要标示数据包的顺序所以必须是N+1累加的,但是这样可能会被黑 客捕捉从而推测我们下一个数据包的序号进行伪装。所以我们第一个序列号是 一个随即数,我们称之为ISN。
44

一台PC机发信息的过程(续)

IP信息

Segment

源IP地址

Packet

目的IP地址

网络里可以被路由的地址是IP地址而不是TCP的端口号,所以我们需要在 Segment的上面再加一些信息---IP包头。我们管加了IP包头的Segment叫做 Packet。 源和目标机器的IP地址包含在IP分组的报头中,它们使路由器能够将IP分组转发 到本地网以外的目标.
45

TCP概述
尽管TCP和UDP都使用相同的网络层(IP),TCP却向应用层提供与UDP完全 不同的服务,TCP提供一种面向连接的可靠的字节流服务。 面向连接的意思是说:两个使用TCP的应用(一个客户和一个服务器)在彼 此交换数据之前必须先建立一个TCP连接以保证数据传输的可靠性。这一过 程与打电话相似,先拨号震铃,等待对方摘机说“喂”然后才说明是谁。

46

TCP概述(续)
在一个TCP连接中,仅有两方进行彼此通信,当然这个通讯也可以是双向的。

每个TCP段都包含源端和目的端的端口号,用于寻找发端和收端应用进程。 这两个值加上IP首部中的源端IP首部中的源端IP地址和目的端IP地址唯一确 定一个TCP连接。
一个IP地址和一个端口号也称为一个插口Socket。 俞国华 3539292 代振文 2651314

先建立联系,再通话。

端口号:23

10.1.1.10

先建立连接,再传数据。

端口号:2901

10.1.1.1

47

TCP数据格式
Bit 0 Bit 15 Bit 16 Bit 31

Source port (16)

Destination port (16)

Sequence number (32) Acknowledgement number (32)
Header length (4)
U R G A P R T S F

Reserved (6)

C S bits S Y (6) I Code K H N

N

Window (16) Urgent (16)

20 Bytes

Checksum (16) Options (0 or 32 if any) Data (varies)

URG 紧急指针(urgent pointer)有效。

ACK 确认序号有效。
PSH 接收方应该尽快将这个报文段交给应用层。 RST 重建连接。

SYN 同步序号用来发起一个连接。
FIN 发端完成发送任务。
48

TCP在OSI中的位置
BGP Telnet FTP SMTP DNS TFTP SNMP RIP

Application Layer

EIGRP
ICMP
PING Trace

TCP IP

UDP

OSPF

Transport Layer

IGMP
Network Layer

ARP

DIRVER

PPP FrameRelay HDLC ETHERNET
Cable

Data Link Layer

Physical Layer
49

TCP面向连接
TCP是一个面向连接的协议。无论哪一个方向另一方发送数据之前,都必须 先在双方之间建立一条连接。 TCP为应用层提供全双工服务。这意味数据能在两个方向上独立地进行传输, 因此,连接的每一端必须保持每个方向上的传输数据序号。

Packet

50

TCP三次握手

PC A

Synchronize

PC B

Acknowledge Synchronize Acknowledge

Connection Established

51

TCP面向连接---Three-way handshake
为在传输数据之前,先建立一个连接。TCP需要有一个三次握手的动作。 1、请求端(通常称为客户)发送一个SYN段指明客户打算连接的服务器的端 口,以及初始序号(ISN,在这个例子中为127974818)。这个SYN段为报文 段 1。 2、服务器发回包含服务器的初始序号的SYN报文段进行确认。一个SYN将占 用一个序号。 3、客户必须将确认序号设置为服务器的ISN加1以对服务器的SYN报文段进行 确认(报文段3)。 这三个报文段完成连接的建立。这个过程也称为三次握手(three-way handshake)。

52

TCP面向连接---Three-way handshake(续)
发送第一个SYN的一端将执行主动打开(active open)。接收这个SYN并发 回下一个SYN的另一端执行被动打开(passive open)。

我们注意看到在同步序号后面有一个(0),意思是没有发送任何数据。在 三次握手的过程中TCP是不发数据的。

53

TCP面向连接---序号与确认
既然TCP报文段作为IP数据报来传输,而IP数据报的到达可能会失序,因此 TCP报文段的到达也可能会失序。 所以TCP将对受到的数据进行重新排序,将收到的数据以正确的顺序交给应 用层。 当TCP收到发自TCP连接另一端的数据,它将发送一个确认。这个确认不是立 即发送通常将推迟几分之一秒。

序号是32bit的无符号数,序号到达2的32次方-1后又从0开始。

54

TCP面向连接---序号与确认(续)
在三次握手以后,开始传送数据。
1 2 3 4 5 6 7 8 9 10

在这里我们发现, 接收方不需要对 每一个数据进行 确认。 Ack是累积的, 表示收方已经正 确收到了一直到 确认号减一的所 有字节。

发送方用序号来代表所发送的数据,接收方用Ack来确认所接收的数据。
55

TCP滑动窗口
TCP窗口代表了接收方的接收数据能力。

每次接收方接收了一批数据后,判断自己今后的接收能力。
1、比如接收方通告一个为4的窗口给发送方。

2、发送方立即发送大小为4字节的数据去添满接收方的窗口(当然发送方也 可以不用这么积极)。
3、接收方用Ack确认,表示已经收到发送方的数据。但窗口现在为0,因为 刚才4字节的数据正在接收方的缓存里排队,现在接收方已经没有窗口了。

56

TCP滑动窗口
让我们将上一个图例的窗口拿出来分析一下。
1 2 3 4 1-1024

接收方在三次握手时,通 告了一个4096的窗口。
1024-2048 2049-3072 3073-4096 4097-5120 51

5
6 7 8 9 10

三次握手通告4096字节窗口
1-3发送数据 1-3073字节 4确认2049字节

报文4通告4096字节窗口
报文5确认 1024字节 报文5通告3072字节窗口 报文6发送 报文7确认 1024字节

3073-4097字节

57

本单元简单讲解了OSI 七层参考模型 的 一些基本原理,便于大家在今后一阶段 的学*。

大家休息一会儿,接下来学*的是switching …………….

58

1.2 Switching
? 1.2.1 园区网的设计

? 1.2.2 Command Line ? 1.2.3 VLAN的介绍 ? 1.2.4 Spanning-tree

59

园区网的设计
? 1、园区网,通常是指连接建筑物内和一群建筑物之间设备 的企业网。局域网交换和高速路由选择技术被用来提供建筑 物之间的连接。 ? 2、分级网络设计包括以下3层:
– 核心层——提供最优的区间传输 – 汇聚层——提供基于策略的连接 – 接入层——为多业务应用和其他的网络应用提供用户到网络的接入

60

园区网的设计(续)
1、核心层,是一个高速的交换式骨干,它的设计目标是 使得交换分组所耗费的时间延迟最小,在园区网的各个汇 聚层设备之间提供高速的连接。 2、汇聚层,是核心层和接入层的分界点,包含以下一些 功能: A、地址或区域的汇聚 B、将部门或工作组的访问连接到骨干 C、广播/组播域的定义 D、 VLAN间路由选择 E、介质转换 F、安全策略

61

园区网的设计(续)
3、接入层,是本地终端用户被许可接入网络的点。通常 2层交换机在接入层中起非常重要的作用。包括下列功能: A、共享带宽 B、交换带宽 C、MAC层过滤

62

园区网的设计(续)
核心层

汇聚层

接入层

63

园区网的设计(续)

64

园区网的设计(完)

65

Command Line

66

IOS基础
IOS是和Unix 、windows、linux一样的操作系统,是目前使用最广泛的操作系 统之一。 IOS是一种特殊的用来交换数据报文的操作系统,他的结构很大部分用来致力 于是报文交换更加迅速、更加高速。 IOS被设计成比较小的、内嵌进cisco路由器的一种操作系统,为了追求速度, 在错误保护方面有所牺牲。 Quidway设备系统是VRP,Cisco设备系统是IOS。目前Quidway系统的最高版 本为3.0版,Cisco设备系统是12.0版。

67

命令行模式
用户模式:用户模式:对交换机和路由器的有限操作,例如:ping 、 traceroute、 connect 、show 、 telnet

命令提示符:Cisco>

特权模式:对交换机和路由器更深入的操作,有配置和监视权力,是进入其它 配置模式的前提,一共16个级别 ,最高级15 命令提示符: Cisco >enable value (0-15) Cisco #

68

全局模式:对交换机和路由器进行各个协议的设置 ,对各个服务的设置 ,对 路由器常规的设置 ,配置各个应用条件 ,可以从Configure Mode进入Line Mode和Interface Mode ,可以配置路由器充当的角色。
命令提示符: Cisco #configure terminal Cisco (config)# (aaa, access-list, )

接口模式:进入接口,对接口进行配置

命令提示符: Cisco (config-if)# Interface Cisco (config-line)# line Cisco(config-route)# router configure Cisco(config-std-nacl)# Name stand of access-list Cisco(config-ext-nacl)# Name extended of access-list
69

基本配置操作
配置用户名,密码 : ?Cisco用户名,密码有两种数据库,一种是本地数据库,一种是远程数据库,远程数 据库需要有AAA软件的支持。 ?Cisco可以基于用户设置16个权限级别 0-15,其中0级是User用户模式,1-15 级是特权模式。如果从用户模式转到特权模式不特别指定级别的话,默认是15 级。在没有设置密码的情况下,只有15级是不需要密码就可以进入的

加用户名,密码,权限,给密码加密,应用级别验证。 Router(config)#username ktt privilege 15 password cisco Router(config)#service password-encryption Router(config)#enable secret level 0 15 注意:虽然设置了15级的密码,但是如果不加级别验证,即使是0级的用户在 其他级别没有加密码的情况下一样可以不需要验证的进入特权模式。

70

应用在VTY和CONSOLE上 Router(config)#line console 0 Router(config-line)#login local Router(config)#line vty 0 4 Router(config-line)#login local(采用本地验证) 显示登陆 cisco#show line Tty Typ Tx/Rx * 0 CTY * 1 VTY 2 VTY 3 VTY 4 VTY 5 VTY 清除用户登陆 cisco#clear line 1 [confirm] [OK]

-

A Modem Roty AccO AccI Uses Noise Overruns - - 2 0 0/0 - - 2 0 0/0 - - 0 0 0/0 - - 0 0 0/0 - - 0 0 0/0 - - 0 0 0/0

71

设置主机名 Hostname(config)#Hostname XXX

单独无用户名的密码管理: Hostname(config)#enable password xxxx Hostname(config)#enable secret xxxx Write 命令: Cisco #write terminal 将配置显示在终端上.相当于Show running-config 命令(防火墙只能用Write) Router#write 将配置保存到NVRAM里,相当于copy running-config startup-config

Cisco#write memory 将内存中的配置写到NVRAM中.相当与Copy running-config startup-config命令。
72

show

任务

命令

查看版本及引导信息
查看运行设置 查看开机设置 显示端口信息 显示路由信息 显示IP包传输情况 显示TCP包传输情况

show version
show running-config show startup-config show interface type slot/number show ip route show ip traffic show tcp statistics

73

VLAN的介绍

74

为什么需要VLAN

在一个楼里有多台交换机.

75

为什么需要VLAN(续)

在同 一个 广播 域里

在一个园区网里有多个楼宇,所有楼宇都在一个广播域里.

76

为什么需要VLAN(续)

VLAN 10

VLAN 20

VLAN 30
VLAN的优势:1.安全 2.分割广播域
77

VLAN的分类
静态VLAN:这种方法也被称为“基于端口的成员身份”。

动态VLAN:动态VLAN软件实现来建立的。

协议VLAN:通过不同的网络协议来实现VLAN的,比如IP协议,IPX 协议。

IP VLAN: 基于IP网段的VLAN.

78

动态VLAN
Server Switch A E1 E2 E1 Switch B E2

PC A VLAN 10 PC C VLAN 10 PC B VLAN 20 PC D VLAN 20

PC D PC A PC B PC C

动态VLAN:是基于MAC地址划分的.
79

静态VLAN
Switch B Switch A E1 E2 E1 E2

PC A PC B PC C

PC D

静态VLAN:是基于端口划分的.
80

链路类型
Access-link 连接到这个端口上的设备完全不知道存在着一个VLAN。为了保证使接入设备 不需要知道VLAN的存在,交换机负责在Frame被发送到末端设备之前将VLAN 信息从Frame里拿掉。

Trunk-link 干道链路不属于某个具体的VLAN或者说Trunk Link属于所有VLAN。由于一个 VLAN(如果是和IP子网挂联的VLAN)确定了一个广播域。不论一个网络由多 少个交换机组成,也无论一个VLAN跨越了多少个交换机,按照VLAN的定义, 一个VLAN就确定了一个广播域。

81

Access-link,Trunk-link(续)
Access-link 一般情况下 跑一个VLAN.

Single Vlan

Vlan 1 Trunk-link可 以承载多个 VLAN.

Vlan 2 Vlan 3 Vlan 4

82

Access-link,Trunk-link

Trunk-link

Access-link

E1 E2 E1 E2

Switch S A P P C C w

i C D A B t c h

83

Access-link,Trunk-link(续)
Encapsulation Vlan ID
Source Mac PC A Destination Mac PC C

DE Encapsulation Vlan ID

VLAN 10

Switch B
Source Mac PC A

Switch A
E1 E2 E1 E2

Destination Mac PC C

Destination Mac PC C

PC A PC B PC C

PC D

Source Mac PC A

84

Trunk-link Encapsulation

?ISL----用于互连多台交换机的Cisco专有封装协议。 ?IEEE802.1Q----一种IEEE标准方法。 ?局域网仿真(LANE)----用于通过异步传输模式(ATM)网络传输 VLAN的一种IEEE标准方法。 ?802.10----在标准802.10 Frame (光纤分布式数据接口FDDI)内传 输VLAN信息的一种Cisco专有方法。VLAN信息被写在802.10 Frame的 安全关联标识符(SAID)部分。这种方法通常被用来通过FDDI骨干 网传输VLAN。

85

Trunk-link Encapsulation(续)
802.1Q是内部封装,只加入了4个字节,并且改变了原有数据帧的内容。

802.1Q是所有厂商的标准,建议使用。

ISL封装方式是Cisco私有的封装方式,ISL是一个外部封装方式。有26字节的 头和一个4字节的尾。这样总共是加入了30字节数,如果是一个不认识ISL的设 备(非Cisco厂商的设备),那么将认为这是一个巨帧。

86

VLAN与广播
为了保证同属于一个VLAN的所有主机都接收到这个广播报文,交换机必须按照 如下原则进行转发数据包: 1.发送给本交换机中同一个VLAN中的所有其他端口。 2.将这个数据包发送给本交换机的包含这个VLAN的所有Trunk link,以便让其 他交换机上的同一个VLAN的端口也发送该数据包。

Broadcast

E1
Broadcast

E2
Broadcast

E3
Broadcast

E4

E5

Broadcast E6

Trunk

VLAN 10

VLAN 20

87

Spanning-tree

88

Spanning-tree的概述
Spanning-Tree是动态解决在冗余网络*私峁怪谐鱿只仿肺侍獾募际酢 那么为什么在网络中需要冗余链路,冗余链路是怎样产生路由环路的呢?

服务器/主机 X

路由器 Y 网段 1

我们看到在这个网络里可能会有单点故障出现。
89

冗余链路
服务器/主机 X

路由器 Y 我们看到在这个网络里冗余链路解决了单点故障的问题。
90

冗余链路的问题---广播风暴
冗余*巳创吹墓悴シ绫┦窃趺囱纬傻摹 服务器/主机 X

广播风暴

路由器 Y
91

冗余链路的问题---广播风暴(续)
未经受广播风暴 经受广播风暴

92

冗余链路的问题
冗余*巳创吹闹馗粗∥侍狻 服务器/主机 X

重复数据帧 路由器 Y
93

冗余链路的问题
冗余*舜吹腗AC地址表不稳定的问题。 服务器/主机 X 1
MAC X
不,好像X 在我的口2 上。

MAC X

Interface 1

Interface 1

2
1 2
MAC X Interface 1

3 1

MAC X

Interface 1
不,好像X 在我的口2 上。

2
不,好像X 在我的口2 上。

MAC不稳

MAC不稳

1

2 3

MAC不稳

路由器 Y
94

生成树协议(STP)简介
生成树协议(STP)是为克服冗余网络中透明桥接的问题而创建的。STP的目的 是通过协商一条到根网桥的无环路路径来避免和消除网络中的环路,它通过 判定网络中存在环路的地方并动态阻断用余链路来实现这个目的。通过这种 方式,它确保到每个目的地都有一个路径,所以永远不会产生桥接环路。 如果某条链路失效了,因为根网桥知道还存在着冗于链路,它就会启用它先前关 掉的这条冗余链路。

这就是说有些端口需要被关闭或置为非转发模式。这些端口仍然知道网络的* 结构,并且,如果正在转发数据的链路失效了,它们就可以被启用了。

生成树协议执行一种被称为生成树算法的(STA)的算法。

95

生成树协议(STP)实现
基本思想:在网桥之间传递特殊的消息(配置消息BPDU),包含足够的信息做 以下工作:
从网络中的所有网桥中,选出一个作为根网桥(Root)。
服务器/主机 X

1 2 1 2
Root

3 1 2

1 3
路由器 Y

2

96

生成树协议(STP)实现
计算本网桥到根网桥的最短路径。 对每个LAN,选出离根桥最*的那个网桥作为指定网桥,负责所在LAN上的 数据转发。
服务器/主机 X

1

2
1

Root

3 1 2

2

1 3
路由器 Y

2

97

生成树协议(STP)实现(续)
网桥选择一个根端口,该端口给出的路径是此网桥到根桥的最佳路径。 不进行数据帧转发的端口被暂时阻断,这些端口将继续接收BPDU,但不发 送用户数据。
服务器/主机 X

1

2
1

Root

3 1 2

2

1 3
路由器 Y

2

98

STP建立过程
建立无环路生成树协议的第一步是选举一个Root Bridge。Root Bridge是所 有Switch用来决定网络中是否存在环路的参考点。 1.在开始启动的时候,Switch先假定自己是Root Bridge并将Bridge ID设置 为Root ID。(假设自己是Root Bridge。) 那么BPDU的消息内容为: Root ID:自己 RootPath Cost:0 Designated Bridge:自己 2.比较Bridge ID,先看优先级,优先级越低越好。如果优先级相同,再看 MAC谁比较低。(比较Bridge ID,选举真正的Root Bridge。) 2字节的优先级默认是32768。6字节MAC地址是交换机的MAC地址。
99

STP建立过程(续)
3.当选举了Root Bridge后,每台Switch必须与Root Bridge建立关联。这是 通过侦听从其他各个端口进入的BPDU来进行的。如果能在多个端口上接 收到同一个BPDU就说明存在着到Root Bridge的Redundancy链路。(查 看有没有到Root Bridge的Redundancy。)

SW A

BPDU

1

BPDU

2

Redundancy!!

SW B

1

2
100

STP建立过程---选择那些端口是转发 (续)
选择那些端口是转发,那些端口是阻止。由三个条件来选择: (1)路径开销:路径开销是从Switch到Root Bridge的方向叠加的。

Cost Path=10

Cost Path=100

Cost Path=10

Cost Path=10

路由器 Y
101

STP建立过程---选择那些端口是转发 (续)
(2)网桥信息:如果各个端口接收到的BPDU的路径开销相同。那么Switch将 查看Bridge ID以决定哪个端口应该进行转发。有最低Bridge ID的端口将 被选举为转发端口,其他所有端口均被设置为阻断。

Cost Path=10
Bridge ID

Cost Path=10
Bridge ID

Cost Path=10

Cost Path=10

路由器 Y
102

STP建立过程---选择那些端口是转发 (续)
(3)端口信息:如果路径开销和网桥ID都相同,例:在*行链路这种情况下, Bridge将查看端口ID以决定哪个端口应该进行转发。ID最低的端口将进 行转发,所有其他端口将被阻断。

Port ID

Port ID

103

接口状态---Block
阻断(Block)----为了防止Bridge产生Loop,所有端口开始都处于Block状 态。 如果交换机在其他端口收到了同一个BPDU那么交换机就认为有另一条链路 可到达Root Bridge。如果生成树决定其他链路是到Root Bridge更好的路 径,那么这个端口继续保持Block。

在此其间不能接收和发送配置消息,也不能地址学*。如果本端口被交换机 认为是最好的端口,那么进入到下面的状态。这个时间是20秒,为最大 生存周期。

104

接口状态---Listening
倾听(Listening)----端口从Block状态转为Listening状态。它利用这段时 间来Listening是否还有到Root Bridge的其他路径。

在Listening状态中,端口可以倾听到配置消息,但是不能转发或接收用户数 据。也不允许端口将它所听到的任何信息放到地址表中。

倾听状态实际上是用来说明端口已经准备好进行传输,但是它愿意再倾听一 下以确认它不会产生Loop。Switch倾听的时间也是转发延迟(Forward delay ),这个时间为15秒。

105

接口状态--- learning、Forward
学*(learning)----学*状态与倾听状态非常相似,除了端口可以将它所 学到的信息添加地址表这一点之外,它依然不可以发送或接收用户数据。 Switch学*的时间也是转发延迟(Forward delay),这个时间为15秒。

转发(Forward)----这个状态意味着端口可以发送和接收用户数据。
Message Age- 20秒 Block

Listening Forward Delay- 30秒
learning Forward
106

1.3 Routing
? ? ? ? 1.3.1 1.3.2 1.3.3 1.3.3 路由选择原理 静态路由 OSPF路由协议 ACL

107

路由选择原理

108

什么是路由
选择一个将数据包发往某个目标网段或主机的路径就是路由的过程。

10.1.1.0

172.16.1.0

用户产生的数据流比如文件,视频流,电子邮件等等应用被从一个逻辑的源 转发到一个逻辑的目的地。 用来表示逻辑源和逻辑目的地的是IP地址,因此我们认为路由的过程是将不 同IP地址网段的IP包进行转发。那么实现这一功能的设备我们称之为路由器。
109

路由表的作用
路由器就像网络中的向导一样,当IP包来到路由器后有一个很重要的任务就 是查看该路由器是否知道这个IP数据包要去的目的地。 路由器采用自动学*,依靠路由协议学*或网络管理员手动配置等方式获得 IP数据包要去往的目的地信息。 路由器将这些信息形成“档案”有选择的存放在路由表中,以便提供路由服 务。

Packet

110

路由条目的要素
一个路由条目有五个要素组成:

如何形成的路由条目,比如直连路由,静态路由,路由协议等等。 如果是单播广播路由条目,则标示该路由条目的是目的地址。 如果是组播路由条目的话,则标示路由条目的是源地址(详见Multicast幻 灯)。 表明目的地范围的子网掩码。 代表该路由条目代价的Metric值。 标示该路由条目最终选路结果的下一跳地址和接口。

111

路由表是如何形成的
在路由器中存储路由条目的数据库不但是路由表,比如OSPF路由协议的数 据库或EIGRP路由协议的*寺呒怼5谴娲⒃诼酚杀砝锏穆酚商跄恳欢 是可作为路由工作使用的信息。也就是说路由表是最后选录的结果集合。 路由条目可以有三种学*方式: 1、在大型网络环境下,依靠路由协议比如OSPF、BGP路由协议学*。

112

路由表是如何形成的
2、在简单*私峁沟耐缋铮绻芾碓笔侄淙肼酚商跄俊

3、路由器会自动学*周边网络情况。
1.1.2.0
1.1.1.0 1.1.3.0

113

如何选择进入路由表内的条目
如果有到达同一个目的地的多个路由条目同时存在那么我们必须选择一个或 多个最优的条目进入路由表。 如果选择了多个那么就实现了多链路的负*胶狻 在选择最优路由条目的过程中有两个关键条件需要被考虑。 1、比较不同路由条目产生的方式是否为最可靠方式。比如是由直连路由自 动发现的,还是静态路由产生的或者是路由协议产生的,再比如是由什么路 由协议产生的。

2、在相同产生方式的情况下比较不同链路的代价。
比较路由条目产生方式的值在华为路由器上我们称为路由优先级,在思科路 由器上我们称为Distance。两个厂商对不同的产生方式有不同的见解,所以 选路条件各不相同。但华为公司的产品问世较晚,所以选路方式更加贴切实 际需求。
114

路由优先级和管理距离
路由来源 直接的接口 以一个接口为出口的静态路由 以下一跳路由器为出口的静态路由 EIGRP的Summary EBGP EIGRP IGRP OSPF OSPF ASE IS-IS 10 150 15 115 170 50 华为路由优先级 0 0 1 思科管理距离 0 0 1 5 20 90 100 110

RIP(v1/v2)
EGP 外部EIGRP 内部BGP(IBGP) Unkown

100

120
140

160 130 255

170 200 255 115

Distance 与 Metric
由于EIGRP的Distance为90,RIP的Distance为120.所以EIGRP优先. 相同的路由协议时,也就是Distance相等时.选择路径的条件为最小Metric. EIGRP:GET RB OR RC RIP:GET RD B Metric=100 Metric=200
c

A

Network E

EIGRP
D

RIP
116

可路由协议和路由协议
可路由协议是可以被别人路由的协议,比如:IP。 路由协议是路由别人的协议,比如:OSPF。 在一个网段内数据传输依靠IP Protocol。

Packet

A

1.1.1.2
Packet

1.1.1.2

在不同网段内数据传输依靠Routing Protocol

B

2.2.2.2
117

有类路由协议和无类路由协议
Classful routing

不随个网络地址发送Subnet Mask信息的路由选择协议被称为有类路由选择 协议。RIPv1 IGRP属于有类别路由选择协议。
当与外部网络(换句话说,就是与不同的主类网络)交换路由时,接收方路 由器将不会知道Subnet,因为Subnet Mask信息没有被包括在路由更 新数据包中。 注意:Classful routing路由可以交换属于同一个主类(A类,B类,C类)网 络子网的路由,但必须使用相同的Subnet mask。

118

有类路由协议和无类路由协议(续)
这里有两种情况说明,Classful routing路由是不带Subnet Mask信息的更新。 即使是在同一个主类网络里也不带Subnet Mask信息。之所以在同一 个主类网络里能够区分Subnet,是因为: ? 如果路由更新信息是关于在接收Interface上所配置的同一主类网络的, 那么路由器将采用配置在本地Interface上的Subnet Mask 。 如果路由更新信息是关于在接收Interface上所配置的不同主类网络的, 那么路由器将根据其所属地址类别采用缺省的Subnet Mask。
172.16.1.0/24 192.168.5.16/28

?

172.16.2.0/24

A
172.16.1.0/24 172.16.2.0/24

172.16.2.0

B

172.16.0.0

C

172.16.1.0/24 192.168.5.16/28

192.168.5.16/28

192.168.5.0/24

172.16.2.0/24

172.16.0.0/16
119

有类路由协议和无类路由协议(续)
Classless routing

Classless routing(无类别路由选择协议)可以被看作是第二代路由选择协议, 它们被设计用于克服早期Classful routing的一些限制。Classless routing包括OSPF,EIGRP,RIPv2,IS-IS,BGPv4。并且可以在主类 网络的边界人工控制Summary。
172.16.2.0/24 172.16.1.0/24 192.168.5.16/28

A
172.16.1.0/24 172.16.2.0/24
192.168.5.16/28

172.16.2.0/24

B

172.16.2.0/24 172.16.1.0/24

C

172.16.1.0/24 192.168.5.16/28
172.16.2.0/24

192.168.5.16/28 172.16.2.0/24 172.16.1.0/24

120

DV路由协议和LS路由协议
Distance Vector路由选择协议产生的定期的,例行的路由更新只传输到直接 相连的路由设备。设备发送路由更新所最为常用的寻址方式是一种逻 辑广播,尽管在某些情况下,也可以指定使用Unicast传送方式发送路 由更新。 在纯Distance Vector环境中,路由更新包括一个完整的Route Table。通过接 收相邻设备的Complete Route Table ,路由器能够核查所有已知路由, 然后根据所接收的更新信息修改本地路由表。所以Distance Vector有 时被称为“Routing by rumor”。
172.16.2.0/24 172.16.1.0/24 192.168.5.16/28 172.16.2.0/24 172.16.1.0/24 192.168.5.16/28

A
172.16.1.0/24 不管你知不 172.16.2.0/24 知道我把我 192.168.5.16/28 所有的路由 信息都传给 你。

B 172.16.2.0/24 172.16.1.0/24 192.168.5.16/28 172.16.1.0/24 192.168.5.16/28
172.16.2.0/24

C

192.168.5.16/28 172.16.2.0/24 172.16.1.0/24

当然对有些高级DV路由协议来说,比如EIGRP,BGP是发送增量路由信息的, 并且可以使用组播地址。
121

DV路由协议和LS路由协议
State Link只当网络*私峁狗⑸浠辈派陕酚筛耈pdate更新数据包。 当链路状态发生变化时,检测到这一变化的设备就生成一个关于该链 路(路由path)的链路状态通告(LSA)。 LSA通过一个特殊的Multicast被传播给所有相邻设备。每台路由设备都会保 留LSA的copy也就是不做任何修改,并向其邻居设备转发该LSA(这个 过程被称为扩散Flooding),然后更新其*私峁故菘猓ㄕ馐且桓霭 含网络所有链路状态信息的表)。

122

路由协议的分类
B
C
Classless routing

Classful routing

A D

Distance Vector

B C

A D

State Link

123

AS自治系统
IGPs: RIP, IGRP EGPs: BGP

AS 100

AS 200

– 自治系统:使用相同的路由准则的网络的集合,一般是一个ISP,或 者一个大型的行政机构. – 路由协议分为两类:1.IGP 2.EGP – IGP在一个自治系统内运行。比如:RIP OSPF IS-IS EIGRP IBGP. – EGP连接不同的自治系统。比如:EBGP
124

静态路由

125

静态路由的要素
目的地址---单播广播路由都关心的是目的地,只有组播才关心源地址。 代表目的地址范围的子网掩码 下一跳---下一跳可以是本地接口也可以是下一跳路由器接口。 Router(config)#ip route 1.1.1.0 255.255.255.0 serial 0

126

连接Internet的静态路由
某机票代理公司,需要与Internet连接。请配置电信端路由器和机票公司路 由器。注意:www服务器只是一个模拟。

E0:20.10.1.12

L0 10.1.1.0
S0 1.1.1.1/24 S1 1.1.1.2/24

Internet

A

B

20.10.1.11

Www服务器

127

连接Internet的静态路由配置
由于RouterA不可能把到达Internet的所有路由信息配置完全,则只需要在 RouterA上配置一条默认路由,让所有想要访问Internet或者www服务器的数据 包都转发到电信路由器。至于数据包如何找到目的地,这个是电信路由器需要 解决的问题。

在RouterA中配置Static路由 RouterA(config)#ip route 0.0.0.0 0.0.0.0 s0

但是这条Static路由也是有条件的。因为选路是由最大精确匹配作为条件的,所 以在本地路由表(Router Table)中,数据包中带的目的地址与别的所有路由信 息都匹配不上的时候,路由器才会想默认路由转发数据包。

128

连接Internet的静态路由配置(续)
电信路由器的配置就比较简单 RouterB(config)#ip route 10.1.1.0 255.255.255.0 s1 或者 RouterB(config)#ip route 10.1.1.0 255.255.255.0 1.1.1.1 大家也许要问,为什么没用到题目给出的WWW服务器? 其实我们在给出默认路由的时候已经解决了这个问题了。默认路由的 作用就是把自己路由表中没有匹配上的任何数据包都通过默认路由转发。 那么我们是否配置了到达WWW服务器的Static路由信息是没有区别的。

129

MA下的Static
某区的三个学校互连共有12个网段,使用电信通已经有的以太网络的进行通 信。

L0 10.1.1.0 L1 10.1.2.0

S0 1.1.1.1/24

S1 1.1.1.2/24

L0 20.1.1.0 L1 20.1.2.0

L2 10.1.3.0

A C
S0 1.1.1.3/24

B

L2 20.1.3.0

L0 30.1.1.0
L1 30.1.2.0 L2 30.1.3.0

130

MA下Static路由的配置
RouterA(config)#ip route 20.1.1.0 255.255.255.0 1.1.1.2 RouterA(config)#ip route 20.1.2.0 255.255.255.0 1.1.1.2 RouterA(config)#ip route 20.1.3.0 255.255.255.0 1.1.1.2 ……… Note: 在MA的Static路由配置,不可以指定为本路由器出去的接口。因为如果 指定了本路由器的出去接口,数据包面临B和C两台路由器,根本不知道怎么 样才能到达目的网段!只有指定为下一跳(Next Hop)的网络IP地址,数据 包才能知道到达目的网段的正确路径。 Note: 在RouterB和RouterC上也要进行相应的配置,路由的*鸸嬖蚴锹酚傻牧蕉 必须都要有对方的路由条目。
131

OSPF路由协议

132

路由协议性能
综合性能

BGP

OSPF IS-IS

RIP2 RIP1

有路由环路问题

无路由环路问题

华为技术

摘自华为HCNE
133

OSPF路由协议概述
?可适应大规模网络 ?路由变化收敛速度快 ?无路由环路 ?支持VLSM ?支持等值路由负*胶 ?区域划分功能 ?提供路由的分级管理 ?支持验证 ?已组播地址发送协议报文

134

OSPF计算路由的过程
1
RA RB

A LSA 的 RTA
2

1

B
5

2

5

LSDB

LSA 的 RTB LSA 的 RTC
3

C

RC

LSA 的 RTD

D

3
RD

(一)网络的*咏峁

(二)每台路由器的链路状态数 (三)由链路状态数据库 到的带权有向图 据库
135

OSPF计算路由的过程(续)

1

1

A
2

B

1

1

A
2

B

A
2

B

A
2

B

C
3

C
3

C
3 3

C

D

D

D

D

(四)每台路由器分别以自己为根节点计算最小生成树

136

大型网络的OSPF

Total Study Backbone Standard BGP Standard Area3 Area1 Area2 NSSA Area0 Stub Area5 Area4 BGP

137

ACL

138

ACL概述
访问控制列表是一个有序的语句集,它是通过匹配报文中信息与访问表参数, 来允许报文通过或拒绝报文通过某个接口。

这样的定义并不意味着安全中任何问题都能够用访问列表解决,也不意味着使 用访问列表根据报文中特定参数建立一种安全策略或者实现一个数据流。

139

访问列表的其它应用
优先级判断

Queue List

按需拨号

路由表过滤 Routing Table

基于数据包检测的特殊数据通讯应用。

140

访问列表的类型
路由器至少支持两种类型的访问控制列表:标准访问表和扩展访问表。标准的 访问表只允许过滤源地址,并且功能十分有限。扩展的访问表允许过滤源地址、 目的地址和上层应用。

IP

Standard Extended

1-99 100-199

Named
IPX Standard Extended SAP filters Named

Name (Cisco IOS 11.2 and later)
800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later)
141

标准IP访问控制列表
标准IP访问控制列表的基本格式为: Access-list [list number] [permit/deny] [source address] [wildcard-mask] [log]

E0
Incoming Packet

Access List Processes
Source Permit?

Outgoing Packet

S0

访问控制列表的标号有两个功能:1.定义了访问控制列表操作的协议。2.指明 了VRP/IOS将所有标识为同一个号码的语句作为一个实体。

标准访问控制列表的表号为1-99之间。
142

标准IP访问控制列表(续)
Access-list [list number] [permit/deny] [source address] [wildcard-mask] [log] 关键字Permit/Deny用来表示满足访问表项的报文是允许通过接口,还是要过滤 掉。Permit是允许,Deny是拒绝。

对于标准访问控制列表,源地址是主机或一组主机的十进制表示。
访问列表功能所支持的通配符与子网掩码的方式是相反的。这就是说,二进制 的0表示一个匹配条件,二进制的1表示一个不关心条件。 举例:Access-list 1 permit 10.1.1.0 0.0.0.255 表示匹配源地址为10.1.1.0网络 中的所有报文。

143

标准IP访问控制列表(续)
关键字Host不是必须的,但是当匹配某一个特定的主机地址时是非常有用的。 注意:这个关键字只有在Cisco IOS中有。Host表示一种精确的匹配,是0.0.0.0 的简写。 举例:Access-list 1 permit 10.1.1.1 0.0.0.0=Access-list 1 permit host 10.1.1.1

关键字Any不是必须的,但是当匹配所有报文时是非常有用的。是所有地址的 匹配,是0.0.0.0 255.255.255.255的简写。
举例:Access-list 1 permit 0.0.0.0 255.255.255.255=Access-list 1 permit any 关键字Log,对那些能够匹配访问表中的permit和deny语句的报文作日志。

举例:Access-list 1 permit host 10.1.1.1 log
144

扩展IP访问控制列表
扩展IP访问控制列表的基本格式为: Access-list [list number] [permit/deny] [protocol keyword] [source address source-wildcard] [source port] [destination address] [destination-wildcard] [destination port] [log] [options]

E0
Incoming Packet

Access List Processes
Source and Destination

Protocol
Permit?

Outgoing Packet

S0

表号:与标准访问列表类似,该表号标识一个扩展的IP访问表。表号100-199 可用来定义100个唯一的扩展的IP访问表。 使用Permit/Deny关键字可以指定那些匹配访问表语句的报文是否允许通过一个 接口或者被过滤掉。
145

扩展IP访问控制列表
扩展IP访问控制列表的基本格式为: Access-list [list number] [permit/deny] [protocol keyword] [source address source-wildcard] [source port] [destination address] [destination-wildcard] [destination port] [log] [options] 协议关键字:定义了需要被过滤的协议,例如IP,TCP,UDP,ICMP等等。 源地址和通配符的功能与标准IP访问表中的相同,当然可以使用Host和Any简 写。 源端口号可以用几种不同的方法来指定。为了记忆方便我们可以使用一个数字 或者使用一个可识别的助记符。例如我们可以使用80或者Http或者www来指定 对Web的超文本传输协议的操作。 目的地址和通配符的结构与源地址和通配符的结构相同。 目的端口号的指定方法与源端口号的方法相同。
146

扩展IP访问控制列表(续)
关键字Established只用于TCP协议,并且只用在TCP通信的一个方向上来响应由 另一端发起的会话。只有当Inside主机先发起了会话,才能允许来自任何地方的 TCP报文到达源主机。 关键字precedence用于匹配优先级名称或数字0~7。 关键字remark用于在访问表中添加文本注释。 Remark放在单个访问控制列表语句中的访问表号码之后,并在其后使用注释或 标记。 Access-list 101 remark allow traffic to zhangjun’s PC Access-list 101 permit ip any host 10.1.1.25

147

扩展IP访问控制列表(续)
关键字icmp-type用于过滤ICMP消息类型。用户也可以指定ICMP消息码 (0~255)。 关键字TOS用于按数字(1-15)或名字指定的服务优先级来过滤。 关键字Port用于定义一个TCP或UDP端口的十进制号码或者名称。

148

ACL的流程
当没有Access-list条目时。

Inbound Interface Packets
Routing Table Entry

S0 Outbound Interfaces E0

?
N

149

ACL的流程(续)
当没有Access-list条目时。
Packet Inbound Interface Packets Choose Interface
Y Routing Table Entry

S0 Outbound Interfaces

?

Access N List ?

150

ACL的流程(续)
当有Access-list条目时。

Inbound Interface Packets

Choose Interface
Y Routing Table Entry

S0 Test Access List Statements Outbound Interfaces E0 Packet Permit ?
Y

?

Access List ?
Y

151

ACL的流程(续)
当有Access-list条目时。

Inbound Interface Packets

Choose Interface
Y Routing Table Entry

S0 Test Access List Statements Outbound Interfaces E0

?

Access List ?
Y

Permit ?
N

Discard Packet

152

访问列表的测试:允许和拒绝
Match First Test Y ?

Packets to Interface(s) in the Access Group

Deny

Packet Discard Bucket

Deny
153

访问列表的测试:允许和拒绝
Match First Test Y ?

Packets to Interface(s) in the Access Group

Permit

Destination

Packet Discard Bucket
154

访问列表的测试:允许和拒绝
Match First Test ? N

Packets to Interface(s) in the Access Group

Deny

Y

Match Next Test(s) ? N

Y

Permit

Destination

Deny

Y

Packet Discard Bucket

Match Y Last Test ? N Implicit Deny

Permit

Deny

If no match deny all
155

配置原则
? 访问列表的编号指明了使用何种协议的访问列表 ? 每个端口、每个方向、每条协议只能对应于一条 访问列表 ? 访问列表的内容决定了数据的控制顺序 ? 具有严格限制条件的语句应放在访问列表所有语 句的最上面 ? 在访问列表的最后有一条隐含声明:deny any- 每一条正确的访问列表都至少应该有一条允许语 句 ? 先创建访问列表,然后应用到接口上

156

1.4 Security
? 1.4.1 主机电脑的安全 ? 1.4.1 网络的安全

157

主机电脑的安全

158

操作系统的安全

159


相关文档

  • 网络工程师培训资料(ppt159张)
  • 网络工程师培训01-网络体系结构-PPT精选文档
  • 网络工程师培训资料(ppt 159页)
  • 最新文档-【培训课件】(网络工程师培训)01-网络体系结构-PPT精品文档
  • 网络工程师培训PPT
  • 弱电工程师培训资料--视频监控系统(PPT)
  • 弱电工程师培训资料--视频监控系统PPT.rar
  • 供应商质量工程师培训资料PPT
  • 2011-9-24更新 弱电工程师培训资料--视频监控系统PPT.rar
  • HCNE网络工程师培训PPT5.0初级版 HL-001 网络基础知识 (4)
  • 猜你喜欢

  • 潍坊永基建材有限公司企业信用报告-天眼查
  • 手术室护士长2012工作总结
  • 部审初中数学七年级上《方程的应用》邓瑞雄PPT课件 一等奖新名师优质公开课获奖比赛新课标
  • 2019部编版一年级语文上册识字3《口耳目》精美课件
  • 托福写作提高必背10个短文
  • 高速机床主轴部件有限元分析
  • 人行道透水混凝土专项施工方案设计
  • 结婚红包祝福语大全图片-最新精选范文
  • 交通局出租汽车行业“安全生产月”活动总结
  • 2017年专四词汇语法模拟试题练习
  • 2018春鄂教版语文二年级下册期末试卷[精品]
  • 南北朝的祖冲之简介
  • 初中化学实验探究题
  • 江苏海通交通集团有限公司(企业信用报告)- 天眼查
  • 美国建筑给水排水与可持续发展网上课件整理
  • 初一作文:不变的是那份信念作文800字
  • 住房和城乡建设系统2017年度冬春火灾防控工作方案
  • 当前房地产市场形势与政策走向199页PPT
  • 关于凄凉的优美散文
  • 圣灵群岛旅游攻略
  • 保证期间,人民法院受理债务人破产案件的,债权人要求保证人承担保证责任的
  • 山东燕山集团建筑安装工程公司企业信用报告-天眼查
  • 【推荐下载】表扬信模板201X-word范文 (3页)
  • [真卷]2011年广东省广州市育才中学小升初数学试卷含答案
  • Realtek Gamma Correction
  • 房地产估价与实务 第一讲 房地产估价概述
  • 5月份个人入党申请书最新范文
  • 党员简要事迹范文
  • 思念小城的抒情散文
  • 3D纸钻石折法
  • 男权文化下的姐妹情谊-2019年文档资料
  • 温州市美福餐饮有限公司大同分店企业信用报告-天眼查
  • 北京工商大学会计硕士考研英语复习经验谈
  • 微信红包存在风险,不能领取怎么办
  • 潍坊永基建材有限公司企业信用报告-天眼查
  • 进口水果的种类和吃法
  • 2012一级福建省建造师机电工程考资料
  • 佛教的上香礼仪及含义是什么?
  • 年度 所 主要行动计划(修订版)
  • 恶势力认定标准_黑社会性质组织的司法认定
  • 钢制压力容器设计制造规程
  • 苏教版小学数学六年级上册比的意义课件PPT课件
  • 电脑版