企业网络高级技术(ATEN)
第一章:VTP协议
1.VTP运行模式。
VTP的功能:集中管理和配置交换机上vlan信息。
一.服务器模式:能添加和修改vlan,并向外发送VTP通告,相同域名转发vlan信息(默认)
二.客户机模式:不能够添加或创建,删除vlan,在同一域中能学习,转发。不同域中不学习,不转发。
三.透明模式:可以创建和删除本机vlan,只在本地生效,只转发,不学习。
2.VTP的版本(V1和V2)区别:V2版本中透明模式不是同一域中,也能转发。
3.VTP的3种通告
一.汇总通告:发送vlan目录。 二.子集通告:通告vlan列表和vlan信息。
三.通告请求:3种情况发生:1.交换机重新启动后,2.VTP域改变后,3.配置修改编号高。
4.VTP的配置
一.在全局模式下配置VTP域名
全局模式下输入:vtp domain 名称
配置交换机模式(默认交换机为服务器模式)
全局模式下输入:vtp mode server | client | transparent
配置VTP口令,VTP修剪,VTP的版本
..........................:vtp password 密码
..........................:vtp pruning
..........................:vtp version 2
在vlan数据库中(虚拟小凡3640)(注 配置模式下时,无须打mode直接输入vtp server|client|tranparent)
配置vtp版本格式为:vtp v2-mode
5.查看vtp的配置信息
特权模式下:show vtp status
特权以上模式时:输入do show vtp status
第二章:STP协议
1.生成树算法:
3个步骤:一.选择根网桥:(依据)网桥ID,优先级(默认32768)。
二.选择根端口:(非根网桥)根路径成本,直连的(网桥ID),端口ID。
三.指定端口:根路径成本,根网桥上所有端口都是指定端口,每条链路选一个,(所有值都取小的)。
2.路由环路产生危害:广播风暴,mac地址翻动不稳定。
3.生成树端口的状态:转发(FWD),学习(LRN),侦听(LIS),阻塞(BLK,只接收BPDU不学习), 禁用(Disabled)
4.生成树计时器
一.从阻塞到侦听(20s) 二.从侦听到学习(15s) 三.从学习到转发(15s) 最大老化时间20s,转发延迟15s.
5.PVST的配置
作用:一.利用PVST实现网络的负载分担。
二.配置上行速链路,实现备份的上行链路快速恢复。
三.配置速端口,使连接终端的端口快速进入到转发的状态。
配置命令:启用生成树的命令:spanning-tree vlan vlanID
配置根网桥的命令:spanning-tree vlan vlanID root primary 或者 spanning-tree vlan vlanID priority 4096
配置上行速链路:spanning-tree uplinkfast(接入层,汇聚层上配置)
配置速端口:spanning-tree portfast (在连接主机端口上配置)
PVST配置的查看命令:show spanning-tree brief 查看单个vlan:spanning-tree vlan vlanID detail
6.Ethernet Channel (以太网通道)
作用:能够负载均衡,提高链路带宽,并能够互相备份。
限制:最多可以捆绑8条物理链路。
原则:参与捆绑的端口必须属于同一个vlan,如果端口配置的是中继模式,那么所有端口都相同,物理参数设置必须相同。
以太网通道的配置:
如图:
A全局模式:interface range f0/1 - 3
................channel-group 1 mode on
B配置与A也相同
7.STP的测试
一.将交换机开启后,会自动运行STP。
二.查看谁是根网桥,哪些端口被阻塞。
三.配置PVST
四.将STP生成树中各vlan拓朴图画好。
五.ping测试(拿真机去ping虚拟PC)或为vlan配地址拿交换机vlan去ping虚拟PC,参数为:ping IP地址 repeat 次数
停止按住 ctrl + shift + 6
六.进入接口断掉(shutdown)看线路备份是否成功.
第三章:三层交换
三层交换技术就是:二层交换技术+三层转发技术。
解决传统路由器低速,复杂所造成的网络瓶颈问题。
1.三层交换机的工作原理:
一.传统的MLS(多层交换)
交换机将流中的第一个数据包转发给第3层引擎,后者以软件交换的方式对数据包进行处理。(一次路由,多次交换)
二.基于CEF的MLS
包含两个转发信息表:转发信息库(FIB)类似于路由表,邻接关系表类似于mac地址表。(没有路由,只有交换)
2.集中式交换与分布式交换(硬件转发)
一.交换机靠硬件转发,路由器靠软件转发,
两者区别:集中式交换在一个专用ASIC(专用集成电路)做出转发决策(只有一个转发引擎)。
分布式交换在交换机(3层)的接口或线路模块独立的做出转发决策(多个转发引擎)。
3.三层交换机的配置
一.启动路由:ip routing
二.配置vlan IP地址:全局模式:interface vlan vlanID ---- ip add 地址 子网掩码 ------ no shutdown (主机网关IP地址)
三.查看FIB表和邻接关系表: show ip cef show adjacency detail
四.配置路由接口IP地址:全局模式:interface f0/1 --- no switchport --- ip add 地址 子网掩码 -- no shutdown
五.配置DHCP中继转发:全局模式:interface vlanID ---- ip helper-address DHCPserver地址
六.三层交换上静态路由或动态路由与路由器上配置一样。
第四章:综合实验
1.测试DHCP中继(注:须把DHCP虚拟删除)
基本配置思路:如图所示:
一.将R1虚拟为一台DHCP服务器
二.配置命令:no ip routing(关闭路由) E0/0 --- ip add 地址 子网掩码 网关 --- ip default-gateway vlan1地址
地址池: ip dhcp pool vlan1
network 网络地址
default-router vlan1地址(网关)
dns-server (DNS IP地址)
lease 8 (租用8天)
三.在交换机上配置vlan:配置各vlanIP地址(此地址是PC网关)
四.在PC上获取IP地址:ipconfig /release ipconfig /renew
2.综合拓扑图
基本步骤(依据OSI七层参考模型)
一.trunk
二.VTP
三.端口加入vlan
四.以太网通道
五.PVST
六.vlan间路由
七.路由选择
八.测试Ping
第五章:广域网技术(WAN)
1.广域网连接类型:广域网为覆盖范围广阔,并有服务提供商(ISP)接入。
一.专用连接:一般使用同步串行链路,缺点为费用太高。占用一条物理链路(64KB--2M)DDN技术
二.电路交换连接:通信会话都要建立,保持,然后拆除物理电路,优点为按需拨号,缺点为带宽小。(28kb--56kb)
占用一条逻辑链路,分两种连接:1.异步串行拨号连接,2.ISDN连接(综合业务数字网连接)
三.分组交换连接:帧中继(frame relay)使用虚电路来提供端到端的连接,两种类型:永久虚电路(PVC)和交换虚电路(SVC)
缺点安全性不高。
四.宽带接入连接,总线分散,互相平贪(XDSL接入技术)
2.广域网封装协议
一.HDLC协议(高级数据链路控制协议)
cisco路由器默认封装为HDLC协议,每个厂商都不一样。(数据链路层协议)
二.PPP协议(通用)
承载网络层数据包的一种数据链路层协议。
三.帧中继协议
在X。25分组交换协议上发展起来的一种快速分组交换协议,逻辑上占用,DLCI类似于mac地址,(能连接很多分支机构)
四.ATM协议
二层提供面向连接,采用信元交换,带宽比较大。
3.广域网拓扑
广域网的节点可以分为网络中心节点,分支节点,远程接入节点。
注:广域网中没有广播,DTE属于终端一般为用户端,DCE属于终接一般为电信局提供时钟。
第六章:PPP协议
1.PPP协议的优点:支持同步,异步串行链路。支持多种网络层协议,支持各种连接参数的协商,
支持错误检测,支持用户认证,允许进行数据压缩。
2.PPP协议的组成:由3部分组成:协议封装方式,LCP协议和NCP协议。
3.PPP运行过程:链路不可用阶段,链路建立阶段,认证阶段,网络层协议阶段,链路终止阶段。
4.PPP的帧的格式:如图:
5.LCP协议和NCP协议
LCP协议负责数据链路的建立,配置,维护,测试和终止。魔术字用来帮助检测链路是否存在环路。
NCP协议的数据报文是在网络层协议阶段被交换的,IPCP,IPXCP支持网络层协议。
6.PPP认证:两种方式:PAP认证和CHAP认证
一.PAP认证特点:二次握手协议,密码明文传输,被认证方发起连接。
二.CHAP认证特点:三次握手协议,密码不传,主认证方发起连接(内容ID,随机数,用户名)
7.多链路PPP:将多个PPP链路捆绑起来,形成一条带宽更大的PPP链路,称为MultilinkPPP即多链路PPP。
优点:增加带宽,负载分担,利用分片降低时延,线路备份。
8.PPP协议的配置:PAP认证,Chap认证配置。
一.PPP协议基本配置:
进入串口的配置模式:interface s0/0(广域网接口)
封装PPP协议:encapsulation PPP
配置IP地址:ip add IP地址
使用shutdown和no shutdown 重启一下
二.PAP认证
如图:
1.封装PPP
2.创建用户名和密码:username 用户名 password 0或7(“0"表示以明文保存在本地,7表示以密文保存在本地)密码
3.启用PAP :接口上启用 ppp authentication pap
4.发送用户名和密码,被认证方:接口上ppp pap sent username password 0 密码 (此用户名和密码要与主认证方一致)
三.Chap认证
如图:
1.在数据库先创建好用户名和密码 username 用户名 password 0 密码
2.启用chap 接口上启用:ppp authentication chap
3.发送认证如图在主认证方发送R2--ppp chap hostname R2 在被认证方发送R1---ppp chap hostname R1
配置IP地址协商:
服务器端配置:接口上peer default ip add IP地址
客户端配置:接口上ip add negotiated
关闭shutdown----开启no shutdown
查看show ip interface brief 是否全部up show interface s0/0接口 LCP,IPCP是否open
检验是否认证成功有两种方法:一.ping 配置IP地址ping通 二. NCP,LCP 查看是否open
9.配置PPP压缩,多链路PPP捆绑配置:
1.配置stac压缩(身体压缩)接口上:compress { predictor | stac }
2.配置TCP头压缩(头部压缩)接口上:ip tcp header-compression (路由负载加重)
3.多链路捆绑
如图:
R1中配置:interface multilink 1
ip add 192.168.0.1 255.255.255.0
ppp multilink group 1
interface s0/0
no ip add
encapsulation ppp
ppp multilink group 1
no shutdown
s0/1中R2配置于此一样
第七章:DSL技术
1.DSL的分类:
对称型DSL:应用于企业中点对点网络,上下行速率一样。
非对称型DSL:下行速率大,包括ADSL,VDSL。(对称型DSL和非对称型DSL区分依据:通过上下行速率不一样分出来的)
2.ADSL的特点及优点
高速传输,下行最高达到8Mbps,上下速率高达到1Mbps。上网,打电话互不干扰。独享带宽,安全可靠。安装快捷方便。价格实惠。
3.ADSL原理:
ADSL技术是一种接入技术,处于OSI 7层模型的第1.2层即物理层和数据链路层。
物理层采用频分复用的方式划分语音,上行,下行3个部分。
数据链路层采用ATM协议对数据进行封装,传输。
4.ADSLmode的工作模式:
桥接模式(二层模式)没有拨号功能。
路由模式(三层模式)多用户共享一条ADSL线路,还能为PC终端提供DHCP,NAT,默认路由等服务。
5.ADSL接入类型:
一.个人用户使用PC虚拟拨号上网,如图所示:
二.小型企业使用ADSLmode共享ADSL虚拟拨号上网。如图所示:
三.小型企业使用ADSLmode共享ADSL专线上网。如图所示:
6.影响ADSL传输速率的因素:线路质量,噪声干扰,线路长度。
7.配置ADSLmode:
广域网(WAN):VPI/VCI 和 用户名/密码(PPPOE)
局域网(LAN):DHCP,NAT,路由。
首先查看ADSLmode说明书,找到接口IP地址,并输入用户名和密码,进去之后,把该接口改成自己内部本网段地址然后提交。
(之前需将PC与此接口同一网段),在通过IE打开,直接输IP地址。
8.破解星空极速
现在使用星空极速拨号上网 如图:
下载gatadslpass破解。
第8章 OSPF基本概念及单区域配置
1.OSPF的区域:OSPF是一种链路状态型的路由协议,区域0为骨干区域,必须有的,类似于国家的首都。
2.RouterID:是在ospf区域内唯一标识一台路由器的IP地址,使用loopback接口作为router ID 主要有2个好处:比任何其他的物理端口都更稳 定, 方便于记忆。
3.OSPF的工作过程:邻居列表,链路状态数据库(LSDB),路由器。
首先,路由器与相邻路由器建立邻接关系,在邻居之间互相同步链路状态数据库,并把学习的链路状态放入到链路状态数据库中,在经过SPF算法,算出最短路径,并放入到路由表,进行数据转发。
4.邻接关系的建立:
7个过程:Init:初始阶段,发送hello报文。
2way:建立好邻居关系。
exstart:开始状态,发送DBD类似于目录。
exchange:交换状态(交换目录LSR,LSU,LSACK)。
loading:发送。
full:建立邻接关系。
建立邻接关系需要满足的条件:两个路由器必须在共同网段上,端口在一个区域内。
验证:相同验证密码才能成为邻居。hello interval和dead interval 相同。stub区域标记
5.OSPF的网络接口类型:
点到点网络(hello报文10s) 广播多址网络(30s) 非广播多址网络(NBMA)30s
点到多点网络(10s) (注:广播多址和非广播多址需要选举DR和BDR)
6.DR和BDR的选举
一.选出优先级最高的路由器为DR,其次为BDR。
二.当优先级一样时,routerID大的作为DR或BDR。
注:选举完成后,如在放入优先级高的路由器也不会成为DR。
DR(指定路由器)使用组播进行泛洪。
224.0.0.6(DR/BDR)进行泛洪(类似于村长和副村长)
224.0.0.5(DRother)进行泛洪(类似于村民)
7.OSPF的特点:
可适应大规模网络,路由变化收敛速度快,无路由环,支持可变长子网掩码VLSM,支持区域划分,支持以组播地址发送协议报文。
8.OSPF的单域配置:
一.配置loopback接口地址:interface loopback 0 ip add ip地址 子网掩码
二.启动OSPF路由进程:router ospf 进程ID
三.指定OSPF协议运行的接口和所在的区域:
network 网络ID 反向掩码 area 区域号 或 network 接口IP地址 0.0.0.0 area 区域号
反向掩码=四个255相减正向掩码
四.修改接口的cost值: ip ospf cost cost值
五.配置ospf计时器 :ip ospf hello-interval 时间(s)
ip ospf dead-interval 时间(s)
查看命令:
邻居列表:show ip ospf neighbor
链路状态数据库:show ip ospf database
路由表:show ip route
ospf配置:show ip ospf
ospf接口数据库结构:show ip ospf interface 接口
所有接口IP地址:show ip interface brief
宣告哪些网络:show ip protocols
链路状态信息:有哪些链路,链路连接哪些路由器,带宽。
第九章:OSPF多域配置
1.OSPF路由器的类型:
一.内部路由器:所有接口都属于同一个区域的路由器。
二.区域边界路由器(ABR):是指连接一个或多个区域到骨干区域。
三.自治系统边界路由器(ASBR)
四.骨干路由器:区域0
2.OSPF的区域类型:
骨干区域Area0(必须有),标准区域(都允许LSA进来),
末梢区域(stub)减少LSA,拒绝LSA5
完全末梢区域(Totally stubby)LSA3.4.5拒绝
非纯末梢区域(NSSA)拒绝LSA5
完全非纯末梢区域
3.OSPF的链路状态通告:
链路状态通告LSA的类型:
type1 路由器LSA:只要运行OSPF,就有type1,本区域内宣告直连链路信息。
type2网络LSA:由DR发出的,本区域内所有链路信息(type1,type2自己所在区域)
type3网络汇总LSA:由ABR发出的,ABR所在的区其他区域的汇总链路通告。
type4ASBR汇总LSA:由ABR发出的,告诉网络怎么去往ASBR。
type5SAS外部LSA:由ASBR发出的,告诉OSPF怎么去往外部,广播形式发送, 整个自治系统泛洪。
type7NSSA外部LSA:由ASBR发出的,NSSA区域中。
4.路径类型:
类型1的外部路径(E1)
类型2的外部路径(E2)
两者区别为类型1从自己开始算,而类型2OSPF内部不用算,从ASBR开始算。默认为E2。
5.查看路由表
show ip route(E1,E2)为type5,(0)为type1,2,(IA)为type3,4.
show ip ospf border-routers 查看ABR/ASBR
6.末梢区域(stub)的配置:
作用:拒绝类型5的,减少LSA,优化网络性能。
路由模式: area 区域ID stub
7.完全末梢区域(Totally stubby area)的配置:拒绝LSA3,4,5.
路由模式: area 区域ID stub no-summary(拒绝type3.4) (在ABR上配置)
该区路由器:area 区域ID stub
8.OSPF认证功能配置:
一.路由模式下:area 区域ID authentication(启用认证)
二.进入接口:ip ospf authentication-key 密码(明文)
………authentication-key mess……密码(密文)
若须与此建立邻接关系须配置一致。
9.通告配置接口,不发出OSPF消息或RIP消息
路由模式下:passive-interface e0/0(接口)
第十章:OSPF高级配置
1.配置NSSA区域:拒绝type 5 LSA
路由模式:area 区域ID nssa
在ABR上:area 区域ID nssa no-summary(拒绝type3.4)
此时会有一条类型3的默认路由ABR发出的。
2.OSPF的辅助地址(理解)
一.接口模式下:ip add IP地址 子网掩码 secondary
宣告时也将此网段宣告出去
二.在OSPF域的路由器,配置静态路由。
3.地址汇总(掌握)减少LSA数量,提高网络稳定性
一.汇总类型:
区域间路由汇总:路由模式:area 区域ID range 网段地址 子网掩码
外部路由汇总在ASBR中配置:路由模式:summary-address 网段地址 子网掩码
4.路由重分发:实现不同协议的主机通信。
任何协议发布到RIP里须要加metric值。
任何协议发布到OSPF里须要加subnets.
一.router rip ---- redistribute ospf 进程号 metric 10(小于15)
二.router ospf 进程号 ---- redistribute rip subnets
5.虚链路加密:进入接口:ip ospf message-digest-key 1 md5 密码
一.虚链路是指一条通过一个非骨干区域连接到骨干区域的链路。
二.规则:必须配置在两台ABR路由器之间,传送区域不能是一个末梢区域。
如图:
配置命令:
R2与R3上配虚拟链路
R2路由模式: area 1 virtual-link R3的RID
R3路由模式: area 1 virtual-link R2的RID
authentication message-digest (启用虚链路加密)
排错时查看命令:
show ip pro 查看宣告的网络 show ip route 查看路由表
show ip int br 查看接口IP show ip ospf border-routers 查看ABR/ASBR
show ip ospf neighbors 查看邻接关系 show ip ospf 查看配置的区域
第十一章:热备份路由协议(HSRP)
1.终端设备发现可用路由器有下面几种方式:
默认网关:须静态配置。 代理ARP:发现路由器,超时时间长(120s)
ICMP路由器发现协议:须在终端站上实现IRDP,须在注册表中增加一个值:
perform router-discovery
2.HSRP的工作原理(cisco提出的)
HSRP备份组由以下设备组成:
一台活跃路由器,一台备份路由器,一台虚拟路由器,其他路由器。
3.HSRP的状态:
一.初始状态
二.学习状态
三.监听状态:监听来自活跃路由器和备份路由器的Hello消息。
四.发言状态:发送周期性的Hello消息。
五.备份状态
六.活跃状态
4.HSRP计时器
默认3s发送一次hello包 默认的保持时间是10s(死亡时间)
5.VRRP(虚拟路由冗余协议)
HSRP是Cisco的专有协议,其他主流路由器厂商均支持VRRP协议
VRRP只有3种状态:初始状态,主状态,备份状态。HSRP有6种。
6.HSRP的基本配置:
一.建立虚拟路由器(在内部接口上配置)
进入内部接口:standby group-number ip 虚拟IP地址
二.配置HSRP的优先级:
优先级数值高的成为活跃路由器:
standby group-number priority 优先级大小(默认为100)
三.配置HSRP的占先权:standby group-number preempt
四.配置hello消息的计时器(一般为默认)
五.配置HSRP的端口跟踪
如图所示:
内部接口模式下:standby group-number track 外部接口 priority 优先级大小(降低)
六.查看命令:show standby 或 show standby brief
7.一般企业HSRP拓扑图
如图:
建立两个HSRP组实现负载分担:
如图:
在三层交换上为各vlan配置不一样IP地址,在interface vlan 1建立虚拟路由,
端口跟踪为f0/5。
第十二章:访问控制列表(ACL)
1.访问控制列表类型(过滤3层和4层)
一.标准访问控制列表:检查源地址。
二.扩展访问控制列表:检查源地址,目的地址,端口,协议。
2.标准访问控制列表配置命令
全局模式:access-list 列表号 deny(拒绝) | permit(允许) 主机 / 网段 子网掩码
如:access-list 列表号 deny host 192.168.1.1 (拒绝192.168.1.1访问)
应用到接口:ip access-group 1 out | in
判断是out 还是in 的方法 如图所示:
一般拒绝某个主机或网段,后面加一条允许所有access-list 1 permit any
3.扩展访问控制列表配置命令
access-list 100-199 deny | permit 协议 源IP或网段 目的IP或网段 eq 端口号
如:access-list 101 deny icmp host 192.168.1.1 host 192.168.2.1
允许所有:access-list 101 permit ip any any
应用到接口:ip access-group 101 out | in
查看:show access-list brief 或show running-config
标准ACL与扩展ACL缺点:删除一个全部没有
标准ACL一般配置在离目的地址近的路由器上。
扩展ACL一般配置在离源地址近的路由器上。
某个接口的某个方向上只有一个ACL
4.单向访问:(如:PC1不能ping通PC2,但PC2能ping通PC1)
一.ip access-list extended one
二.evaluate 名字(定义一个名字)
三.deny icmp 源IP 目的IP --- permit ip any any (允许所有)
四.ip access-list extened two
五.permit icmp 源IP 目的IP(跟上面反过来)reflect 名字(于以上名字一致)
六.permit ip any any
七.应用到接口:ip access-group one | two in | out
5.基于时间段ACL
一.time-range 名字
二.定义时间 absolute (指某年某月某日) periodic (每个星期)
如:absolute start 20:00 7 oct 2009 end 20:30 7 oct 2009
(2009年10月7日20:00-20:30这个时间段)
三.设定ACL:access-list 101 deny tcp 源IP 目的IP eq 端口 time-range 名字(于以上名字对应)
四.应用到接口
查看时间:show clock
设置时间:clock set 19:17:11 7 octo 2009
查看:show time-range
第十三章:网络地址转换(NAT)
1.NAT技术解决公网IP地址不够用
2.NAT的实现方式:静态转换(一对一)
动态转换(多对多)
端口多路复用PAT(多对一)
3.NAT的术语:
内部局部IP地址(内部私有地址)
内部全局IP地址(公网IP地址)
外部全局IP地址(其它公网IP)
外部局部IP地址(其它私有地址)
4.NAT的优点和缺点:
优点:使内部私有地址能在公网上出去,增加网络连接时的灵活性。
缺点:NAT会使延迟增大,NAT增加了配置和排错的复杂性。
5.NAT的配置:
一.静态NAT的配置(一对一)
ip nat inside source static 内部地址 公网IP
进入接口启用nat : ip nat outside | inside (进|出)
二.动态NAT的配置:(多对多)
- 配置ACL:(指明哪些地址要NAT)
- 配置地址池:ip nat pool 名称 起始公网IP 终公网IP netmask 子网掩码
- 映射到接口:ip nat inside source list 列表号 pool 名称
- 启用NAT:ip nat outside | inside
三.PAT的配置(多对一)
- 配置ACL
- 映射到接口:ip nat inside source list 列表号 interface s0/0(公网接口) overload
- 启用NAT进入接口:ip nat outside | inside
6.TCP负载均衡配置:
- 配置各接口IP
- 配置ACL access-list 列表号 permit 公网IP地址
- 定义NAT地址集:
ip nat pool 名称 始IP 终IP(私有地址必须连续)prefix-length 24 type rotary
- NAT映射:ip nat inside destination list 列表号 pool 名称(于以上名称对应)
- 端口启用:ip nat outside | inside
如图所示:
7.查看命令: show ip nat translation
清空NAT表条目:clear ip nat translation *
查看配置的命令:show running-config
8.公司有一台WEB服务器,申请一个公网IP地址,想实现内部人员访问WEB,互联网上也能访问WEB,
如图所示:
一.NAT命令:ip nat inside source static tcp 私有IP 80 公网IP 80(将WEBIP地址与0端口绑在一起)
二.接口启用NAT:ip nat inside | outside
第十四章:虚拟专网(×××)
1.×××的结构和分类 ×××=加密+隧道
- 站点到站点
- 远程访问×××
2.×××的工作原理
一.访问控制(ACL)二.报文加密 三.报文认证 四.IP封装
接着到对方就是一个解封装过程。
3.×××技术主要包括4个关键部分
一.安全隧道技术:二层隧道协议:PPTP,L2F,L2TP
三层隧道协议:GRE,IPsec,SSL,MPLS
- 二层隧道协议优点可以封装任何三层协议,但本身不加密。
- 三层隧道协议:IPsec只支持IP/单播,优点:安全性,可扩展性与可靠性。
二.信息加密技术:对称加密算法:DES,AES(3des,md5,sha-1哈希认证)
非对称加密算法:RSA,PGP其余为对称型
对称加密优点:加密比较快,缺点密钥管理
隧道:可理解为:允许私有地址在公网上跑
4.IPsec×××(IP安全协议)
IPsec协议族包括:AH,ESP,IKE
IPsec提供的安全服务:私有性(机密性),完整性,真实性(验证),防重放
ESP(主要为加密,什么都有,不才出国)AH(只具有认证,没有加密,出口出国)
5.IPsec×××的配置
- 配置ACL
- 建立IKE
- 配置IPsec
- 端口应用
配置ACL命令:access-list 100-199 permit 源网段 反向掩码 目的网段 反向掩码
启用IKE:crypto isakmp enable (默认为启用)
建立IKE协商策略:crypto isakmp policy 编号
预先共享的密钥:authentication pre-share
加密:encryption 3des 算法:hash md5
配置密钥:crypto isakmp key 0(明)或6(密)密码 add 对方公网IP
IPsec配置:crypto ipsec transform-set 名字1 ah-md5 esp-3des
端口应用创建map:crypto map 名字2 优先级 ipsec-isakmap
map使用的访问列表:match address 列表号
对端公网IP:set peer 对方公网IP
传输模式:set transform-set 名字1
进入外部接口:crypto map 名字2
(注:另一个路由器也相应配置,只须保证密钥一致,把源和目的交换即可)
查看命令:show crypto engine connections active
第十五章:WLAN和VoIP
1.WLAN的优势(无线局域网)
安装便捷,使用灵活,经济节约,易于扩展
注:无线局域网包括两种设备:AP 和 无线网卡
2.AP的配置(访问服务点)
对策1:更改默认设置
对策2:更新AP的firmware(升级操作系统) (注:须不断电,否侧AP挂掉)
对策3:屏蔽SSID广播
对策4:加密(WEP<WPA<WPA2)
对策5:MAC地址过滤
3.配置无线网卡
确定windows xp的wireless zero configuration服务是否启动。
4.如何选择无线局域网设备
802.11a :传输速率:54MB
802.11b :远距离最好:11MB
802.11g :传输速率:54MB
802.11g+ :传输速率:108MB
(注:802.11b和802.11g能兼容)
5.VOIP概述
VOIP技术:语音信号通过Internet传输都称为VOIP
VOIP中的关键问题:
- 服务品质(QOS)保证
- 高可用性
- 开放性及兼容性
- 可管理性与安全性问题
- 多媒体应用
VOIP各项产品及设备的类型
- VOIP软件(MSN,QQ,skype)
- VOIP网络电话
- VOIP网关
- VOIPPBX(程控交换机)
6.VOIP语音模块的接口类型
接口类型有3种:FXS,FXO,E/M
FXS:接电话机
FXO:接电话线(电信局)
E/M:接PBX(程控交换机)
7.VOIP的配置
第一步:路由能ping通
第二步:绑定到接口
命令全局模式:dial-peer voice 进程ID pots (开始配置电话)
destination-pattern 号码 (指明VOIP的电话号码)
port 1/0/0 (配置的电话号码绑定到指定的语音端口上)
第三步:远端公网IP捆绑
命令:dial-peer voice 进程ID voip (VOIP的配置)
destination-pattern 1001(远端) (指明分部的电话号码)
session target ipv4:192.168.1.1(公网IP) (电话号码映射)
第十六章:IPv6概述
1.IPv6相对于IPv4的优点
更大的地址空间,更高效的路由基础结构,更好的安全性,移动性,更好的服务质量
2.IPv6地址表示
IPv6有128位,16位划分为一段,共8段,并用冒号隔开
压缩表示:对于一个段中全部数字为0,保留一个
当地址中存在一个或多个连续的16比特为0时,用“::”表示,只能出现一次。
3.IPv6地址类型
单播,组播,任播:标识多个接口
4.单播IPv6地址
全局单播地址:相当于IPv4的公网地址
链路本地地址:FE80::/64 IPv4私有地址
站点本地地址:FECO::/10 IPv6私有
特殊IPv6地址:环回地址:0:0:0:0:0:0:0:1或::1
5.IPv6接口标识符(EUI-64)
EF-12-33-AB-CD-12 将IEEE802地址转换成EUI-64地址
第一步:从中间破开,将第七位反向0变成1,1变成0.
EF---11101111---11101101-12-13-AB-CD-12
第二步:从中间加入FF和FE
ED12:33FF:FEAB:CD12
6.IPv6 的配置实例
一.配置接口的IPv6地址:ipv6 address IPv6地址
二.启用IPv6的流量转发:ipv6 unicast-routing
三.在路由器上启用IPv6的RIP路由协议:ipv6 router rip name
四.在接口上启用IPv6的RIP协议:ipv6 rip name enable
如果是OSPF协议,就要配置router-id
一.启用IPv6的OSPF路由协议:ipv6 router ospf 进程ID
二.在接口上启用OSPF协议:ipv6 ospf 进程ID area 区域ID
查看命令:show ipv6 interface br
show ipv6 route
静态发布到OSPF:
router ospf 10 --- redistribute static subnets
default-information originate (OSPF发布到静态)
RIP与静态:
router rip -- redistribute static metric 3
default-information originate
转载于:https://blog.51cto.com/liweizhong/422096
166
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
