VRRP基本概述
VRRP能够在不改变组网的情况下,将多台路由器虚拟成一个虚拟路由器,通过配置虚拟路由器的ip地址为默认网关,实现网关的备份。
协议版本:VRRPv2(常用)和VRRPv3
VRRPv2仅适用于IPV4,VRRPv3适用于IPV4 和IPV6
VRRP只有一种报文,Advertisement报文,其目的ip地址是224.0.0.18,目的Mac地址是01-00-5e-00-00-12,协议号是112
VRRP主备切换
初始状态:双发互发vrrp报文,确定主和备
流量会从主服务器通过,而且给备服务器发送vrrp报文,告知对方,主的状态
备服务器在一段时间内收不到主的报文,才会抢占主的位置,被服务器成为主服务器,流量走主服务器,并且继续向备服务器发送vrrp报文
VRRP负载分担工作过程
ACL原理与配置
ACL访问控制
网络安全:威胁防护,病毒防护
核心设备和核心机房是不能对外提供访问
访问控制:屏蔽;小说网站,视频网站
访问控制:用来对数据包做访问控制,丢弃或者运行数据包通过
设备:路由器上进行访问控制
ACL工作原理:数据包从接口经过,接口启用了acl时,路由器会对报文进行检查,根据策略进行相应的处理。
ACL接口上的应用
1.在入口上,数据包进入路由器。有策略就会执行
2.在出口上:数经过路由器处理之后,数据包才能出去
华为设置默认是方通的,不做限制。需要人工配置策略。
白名单:在名单上的才可以放行,不在的一律丢弃
拒绝所有,允许个别
黑名单在名单上的一律丢弃
ACL位置规则:
基本ACL:尽量用在靠近目的地。
高级ACL:尽量靠近源的地方
ACL应用规则:
1.一个接口的一个方向,只能调用一个ACL
*2.一个ACL里面可以有多个rule(规则),按照规则id从小到大排序,从上往下依次执行。
*3.数据包一旦被某个规则匹配,就不再继续向下匹配
4.华为默认放过所有。
总结
你有ACL,但是没有配置策略,默认就是放行所有。
如果没有匹配到任何策略,也是放行。
实验
rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.30.0 0
rule创建规则 固定格式
deny拒绝
destination 192.168.3.30.0 0
rule permit tcp source 192.168.1.30 0 destination 192.168.3.30 0 destination-port eq 80
permit: 允许TCP
source: 192.168.1.30
destination:192.168.3.30
destination-port eq:80 http
允许192.168.1.30这个地址可以访问192.168.3.30这个服务对外提供的http服务的80端口
相关命令
调用命令:traffic-filter outbound acl 2000
路由器外部用 outbound
内部用用 inbound
拒绝192.168.1.0整个网段不能和192.168.3.30这个IP禁用icmp,ping不同
先删除接口调用
再删除ACL编号里的规则
最后再删除ACL编号