目录
定义
虚拟路由冗余协议VRRP(Virtual Router Redundancy Protocol)是一种用于提高网络可靠性的容错协议。通过VRRP,可以在主机的下一跳设备出现故障时,及时将业务切换到备份设备,从而保障网络通信的连续性和可靠性。
默认0-255
0代表主要退出
255代表 有设备和虚拟ip冲突
可手动配置 1-254
优先级相同会比较接口地址大的优先
优先级默认为100
VRRP工作原理
如下图所示,路由器A、B、C通过配置VRRP组成一个虚拟路由器。虚拟路由器的IP地址可以与设备上某台设备的实际IP地址一致(实际上直接指定此设备为Master),也可以与它们的地址在同一个网段但不一致。在本例中,我们以前一种方式来举例说明,虚拟路由器的IP地址为路由器A的IP地址(注意:虚拟路由器的IP地址可以与设备上某台设备的实际IP地址一致,也可以与它们呢的地址在同一个网段但不一致。在本例中,我们以前一种方式来举例说明)。由于虚拟路由器的IP地址与路由器A的IP地址相同,因此路由器A为Master设备,路由器B、C为Backup设备。Client1~3的默认网关为10.10.0.1。作为Master设备,路由器A处理着Client1~3发往默认网关10.10.0.1的报文。
VRRP工作原理
当Master设备出现故障时,路由器B和路由器C会选举出新的Master设备。新的Master设备开始响应对虚拟IP地址的ARP响应,并定期发送VRRP通告报文。
VRRP的详细工作过程如下:
- VRRP备份组中的设备根据优先级选举出Master。Master设备通过发送免费ARP报文,将虚拟MAC地址通知给与它连接的设备或者主机,从而承担报文转发任务。
- Master设备周期性向备份组内所有Backup设备发送VRRP通告报文,通告其配置信息(优先级等)和工作状况。
- 如果Master设备出现故障,VRRP备份组中的Backup设备将根据优先级重新选举新的Master。
- VRRP备份组状态切换时,Master设备由一台设备切换为另外一台设备,新的Master设备会立即发送携带虚拟路由器的虚拟MAC地址和虚拟IP地址信息的免费ARP报文,刷新与它连接的设备或者主机的MAC表项,从而把用户流量引到新的Master设备上来,整个过程对用户完全透明。
- 原Master设备故障恢复时,若该设备为IP地址拥有者(优先级为255),将直接切换至Master状态。若该设备优先级小于255,将首先切换至Backup状态,且其优先级恢复为故障前配置的优先级。
- Backup设备的优先级高于Master设备时,由Backup设备的工作方式(抢占方式和非抢占方式)决定是否重新选举Master。
ACL
什么是acl
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
网络ACL基本信息
- 您的VPC默认没有网络ACL。当您需要时,可以创建自定义的网络ACL并将其与子网关联。关联子网后,网络ACL默认拒绝所有出入子网的流量,直至添加放通规则。
- 网络ACL可以关联多个子网,但一个子网同一时间只能关联一个网络ACL。
- 每个新创建的网络ACL最初都为未激活状态,直至您关联子网为止。
ACL的组成
ACL的每一条规则都会允许或者阻止特定的流量,在定义一条合理的ACL规则之前,需要了解其基本组成。
- ACL标识:使用数字或者名称来标识ACL。
- 使用数字标识ACL:不同的类型的ACL使用不同的数字进行标识。关于每类ACL编号的详细介绍,请参见ACL的分类。
- 使用名称标识ACL:可以使用字符来标识ACL,就像用域名代替IP地址一样,更加方便记忆。
- 规则:即描述匹配条件的判断语句。
ACL的分类
随着ACL技术的发展,其种类越来越丰富,根据其不同的规则和使用场景,常用的可分为以下几类:
基本ACL
基本ACL规则只包含源IP地址,对设备的CPU消耗较少,可用于简单的部署,但是使用场景有限,不能提供强大的安全保障。
高级ACL
相较于基本ACL,高级ACL提供更高的扩展性,可以对流量进行更精细的匹配。通过配置高级ACL,可以阻止特定主机或者整个网段的源或者目标。除此之外,还可以使用协议信息(IP、ICMP、TCP、UDP)去过滤相应的流量。
二层ACL
在公司的内部网络中,想对特定的终端进行访问权限控制,这时就需要二层ACL。使用二层ACL,可以根据源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息对流量进行管控。
用户ACL
由于企业内部同部门的工作人员的终端不在同一个网段难以管理,需要将其纳入一个用户组,并对其用户组进行访问权限管理,这时候就需要用户ACL。用户ACL在高级ACL的基础上增加了用户组的配置项,可以实现对不同用户组的流量管控。
不同类型的ACL的具体组成如下表所示:
| 基本ACL | 高级ACL | 二层ACL | 用户ACL | |||
| ACL标识 | ACL编号 | 2000~2999 | 3000~3999 | 4000~4999 | 6000~6031 | |
| ACL名称 | Y | Y | Y | Y | ||
| 规则 | 规则编号 | - | Y | Y | Y | Y |
| 动作 | permit/deny | Y | Y | Y | Y | |
| 匹配项 | 生效时间段 | Y | Y | Y | Y | |
| IP协议类型 | - | Y | Y | Y | ||
| IPv4 | Y | Y | - | Y | ||
| IPv6 | Y | Y | - | Y | ||
| 源ip地址 | Y | Y | - | Y | ||
| 源MAC地址 | - | - | Y | - | ||
| 源端口号 | - | Y | Y | Y | ||
| 目的地址 | - | Y | - | Y | ||
| 目的MAC地址 | - | - | Y | - | ||
| 目的端口号 | - | Y | Y | Y | ||
| 用户组 | - | - | - | Y |
通配符掩码
定义
通配符掩码(wildcard-mask)路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围,它与子网掩码不同。它不像子网掩码告诉路由器IP地址的哪一位属于网络号一样,通配符掩码告诉路由器为了判断出匹配,它需要检查IP地址中的多少位。
这个地址掩码可以只使用两个32位的号码来确定IP地址的范围。这是十分方便的,因为如果没有掩码的话,不得不对每个匹配的IP客户地址加入一个单独的访问列表语句。这将造成很多额外的输入和路由器大量额外的处理过程。所以地址掩码相当有用。
计算
通配符掩码中,0表示要检查的位,1表示不需要检查的位
通配符掩码中,可以用255.255.255.255表示所有IP地址,因为全为1说明32位中所有位都不需检查,此时可用any替代。而0.0.0.0的通配符则表示所有32位都必须要进行匹配,它只表示一个IP地址,可以用host表示。
二,求子网掩码255.255.255.248通配符掩码(反掩码)
(1)、把子网掩码255.255.255.248转换成二进制为:
11111111.11111111.11111111.11111000
通配符掩码值为:广播全1(二进制)地址 减去 子网掩码二制制值,即:
11111111.11111111.11111111.11111111 - 11111111.11111111.11111111.11111000
得到结果为:
00000000.00000000.00000000.00000111
转换为十进制:
0.0.0.7
(2)、通配符掩码=255-掩码.255-掩码.255-掩码.255-掩码,即:
255-255.255-255.255-255.255-248=0.0.0.7
三、求子网掩码255.255.128.0通配符掩码(反掩码)
(1)、把子网掩码255.255.128.0转换成二进制为:
11111111.11111111.10000000.0000000
通配符掩码值为:广播全1(二进制)地址 减去 子网掩码二制制值,即:
11111111.11111111.11111111.11111111 - 11111111.11111111.10000000.0000000
得到结果为:
00000000.00000000.01111111.11111111
转换为十进制:
0.0.127.255
(2)、通配符掩码=255-掩码.255-掩码.255-掩码.255-掩码,即:
255-255.255-255.255-128.255-0=0.0.127.255
如 ip地址为 192.168.0.1 通配符掩码为 0.0.0.255
遇到这样的题目大家肯定会直接把通配符掩码取反,
00000000.0000000.00000000.11111111 (0.0.0.255)取反 11111111.11111111.11111111.00000000
得出的范围是:192.168.0.0/24
例:
ip地址为 192.168.0.1 通配符掩码为 0.0.3.255
00000000.00000000.00000011.11111111 (0.0.3.255)取反 11111111.11111111.11111100.00000000
得出的范围是:192.168.0.0/22
以上2个例子都是连续的,也就是通配符转换二进制后1和0都是连续的,通配符和反掩码区别在于,转换二进制后,通配符可以不连续,而反掩码需要连续,那么不连续的通配符该如何计算呢?
ip地址为 192.168.0.1 通配符掩码为 0.0.2.255 表示的范围是 192.168.0.0/24和192.168.2.0/24
这题并不能用上面的方法计算,那该如何计算呢?其实我们都存在着一个误区,认为通配符掩码就是子网掩码取反.
我们看百度百科解释中这样的一句话:相反,在访问列表中将通配符掩码中的一位设成1表示I P地址中对应的位既可以是1又可以是0。有时,可将其称作“无关”位,因为路由器在判断是否匹配时并不关心它们。
也就是说通配符掩码1相对应的位,是无关紧要的,可以是0也可以是1.那么我们的计算方法就出来了。
首先转换成二进制
11000000.10101000.00000000.00000001 (192.168.0.1)
00000000.00000000.00000010.11111111 (0.0.2.255)
通配符掩码0位必须检查,1位无需检查,也就是说通配符掩码第三段第7位那个1所对应的IP位,可以是0也可以是1.
结果就产生了2种情况.
11000000.10101000.00000000.11111111和11000000.10101000.00000010.11111111
1755
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
