笔记
NAT网络地址转换
1.Network AddressTranslations(网络地址转换)
-
为什么要使用NAT? ipv4地址严重不够用
x.x.x.x 0-255
A类: 1-126 默认子网掩码:255.0.0.0
127回环地址
B类: 128-191 默认子网掩码:255.255.0.0
C类: 192-223 默认子网掩码:255.255.255.0
D类: 224-239 组播地址
E类: 240-254 科研使用
ABC几乎混为一谈了 -
IP地址分为公网IP和私网IP
公网IP只能在公网使用,私网IP只能在内网使用
公网上不允许出现私有IP,私网IP可以重复在内网使用
比如192.168.1.1是私有地址 每个内网都可以重复使用此地址 -
私有地址范围 ABC类
- 10.0.0.0/8 (10开头的)
- 172.16.0.0/16-172.31.0.0/16 (172.16开头的到172.31开头的)
路由器不会路由私有IP - 192.168.0.0/16 (192.168开头的)
-
NAT主要实现公私有IP地址转换,一般是在三层以及以上设备上配置(路由器或防火墙)不建议在三层交换机上配置
-
NAT有三大类
1. 静态NAT:1对1映射(静态PAT,端口映射)
2. 动态NAT
3. PAT(端口地址转换,Port Address Translations) 端口号:0–65535
overload复用
路由器靠 ‘NAT地址转换表’ 转换IP
在路由器上要定义内外网接口
因为所有设备都遵循一个原理 :
> 内到外:转换源IP
> 外到内:转换目标IP
6. NAT命令
--定义内网端口:
int f0/0
ip nat inside
exit
--定义外网端口
int f0/1
--ip nat outside
exit
配置PAT
定义内部地址池:
acc 1 permit 192.168.0.0 0.0.255.255
做PAT动态映射:
conf t
ip nat inside source list 1 int f0/1 overload
配置静态端口转换:
conf t
ip nat inside source static tcp 192.168.1.3 80 100.1.1.2 80
动态路由协议RIP
动态路由
- 基于某种路由协议实现
动态路由特点
- 减少管理任务
- 占用了网络宽带
动态路由协议概述
- 路由器之间用来交换信息的语言
度量值
- 跳数、带宽、负载、时延、可靠性、成本
收敛
- 使所有路由表都达到一致状态,这叫收敛完成
按照路由执行的算法分类 - 距离矢量路由协议
依据从源到网络到目标网络所经过的路由器的个数选择路由
RIP、IGRP - 链路状态路由协议
综合考虑从源到目标的各个情况选择路由
OSPF、IS-IS
RIP的基本概念
- 定期更新
- 邻居
- 广播更新
- 全路由表更新
rip度量跳数最大值15跳 15跳不可达
rip默认30秒更新一次,UDP520端口
RIP命令
conf t
router rip(协议名)
no auto-summary (不要自动汇总)
version 2(版本选择1或2 可以不配这条)
network 10.0.0.0(激活接口)
no router rip(删除)
VPN
1、VPN(Virtual Private Network)
虚拟专有网络
虚拟专网
2、引入
VPN可以实现在不安全的网络上,安全的传输数据,好像专网!
VPN只是一个技术,使用PKI技术,来保证数据的安全三要素
- 安全三要素:
1)机密性
2)完整性
3)身份验证
4、加密技术:
1)对称加密:加密与解密使用相同的密钥
密钥是通信双方协商生成,生成过程是明文通信!
密钥容易泄露!
速度快!
对称加密算法:DES、3DES、AES
2)非对称加密算法:使用公私钥加密数据
公私钥成对生成,互为加解密关系!
公私钥不能互相推算!
双方交换公钥
使用对方的公钥加密实现机密性
使用自己的私钥进行签名,实现身份验证
速度慢,安全性高
常见算法:RSA、DH
5.完整性算法/hash值算法:
MD5
SHA
6.VPN的类型:
1)远程访问VPN:(Remote Access VPN)
一般用在个人到安全连接企业内部!
一般出差员工/在家办公,安全连接内网时使用!
一般公司部署VPN服务器,员工在外拨号连接VPN即可!
常见RA-VPN协议:PPTP VPN、L2TP VPN、SSTP VPN
EZvpn/easyvpn、SSL VPN
2)点到点VPN
一般用在企业对企业安全连接!
一般需要在两个企业总出口设备之间建立VPN通道!
常见的点到点VPN:IPsecVPN
7.IPsecVPN:
1)属于点到点VPN,可以在2家企业之间建立VPN隧道!
2)VPN隧道优点:安全性!
合并俩家企业内网!
3)VPN隧道技术:
1)传输模式:只加密上层数据,不加密私有IP包头,速度快
2)隧道模式:加密整个私有IP包,包括IP包头,更安全,速度慢
4)VPN隧道技术:重新封装技术+加密认证技术
5)IPsecVPN分为2大阶段:
第一阶段:管理连接
目的:通信双方设备通过非对称加密算法加密对称加密算法所使用的对称密钥!
命令:
conf t ( IKE)
crypto isakmp policy 1 (传输集/策略集)
encryption des/3des/aes
hash md5/sha
group 1/2/5
authentication pre-share
lifetime 秒 (默认86400秒)
exit
crypto isakmp key 预共享密钥 address 对方的公网IP地址
第二阶段:数据连接
目的:通过对称加密算法加密实际所要传输的私网数据!
定义VPN触发流量:
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
定义加密及认证方式:
conf t
crypto ipsec transform-set 传输模式名 esp-des/3des/aes esp/ah-md5/sha-hmac
例:
crypto ipsec teansform-set wentran esp-aes esp-sha-hmac
ESP:支持加密及认证(身份验证+完整性)
AH:只支持认证(身份验证+完整性)
创建MAP映射表:
conf t
crypto map map名 1 ipsec-isakmp
match address acl表名
set transform-set 传输模式名
set peer 对方的公网IP
exit
crypto map wenmap 1 ipsec-isakmp
match address 100
set transform-set wentran
set peer 200.1.1.2
exit
crypto map wenmap 2 ipsec-isakmp
match address 101
set transform-set wentran
set peer 150.1.1.2
exit
将map表应用到外网端口:
int f0/1(外网端口)
crypto map wenmap
exit
****注意:一个接口只能应用一个map表!!!!!
- 查看命令:
show crypto isakmp sa 查看第一阶段状态
show crypto ipsec sa 查看第二阶段状态
show crypto isakmp policy 查看第一阶段的策略配置集
show crypto ipsec transform-set 查看第二阶段的传输模式
9.路由器的工作原理:
内网–to–外网: 路由–NAT–VPN–出去