这波是关于思科设备的相关知识的最后一波,用得上的老铁抓紧点赞收藏加关注了奥,素质三连的老铁不怕你没有女朋友~~~~~从明天开始呢是网络部分的一些基础知识的分享,类似于OSI七层定义三次握手四次断开 DNS DHCP服务器等等等,就不剧透了,想要干货的老铁请尾行我!
- 访问控制列表概述1、访问控制列表(ACL):读取第三层、第四层包头信息根据预先定义好的规则对包进行过滤• 访问控制列表的处理过程如果匹配第一条规则,则不再往下检查,路由器将决定该数据包允许通过或拒绝通过。如果不匹配第一条规则,则依次往下检查,直到有任何一条规则匹配。如果最后没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包。3、访问控制列表的类型:• 标准访问控制列表基于源IP地址过滤数据包 列表号是1~99• 扩展访问控制列表基于源IP地址、目的IP地址、指定协议、端口等来过滤数据包 列表号是100~199• 命名访问控制列表命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号二、标准访问控制列表1、标准访问控制列表的创建
全局:access-list 1 deny 192.168.1.1 0.0.0.0
全局:access-list 1 permit 192.168.1.0 0.0.0.255
通配符掩码:也叫做反码。用二进制数0和1表示,如果某位为1,表明这一位不需要进行匹配操作,如果为0表明需要严格匹配。
例:192.168.1.0/24子网掩码是255.255.255.0,其反码可以通过255.255.255.255减去255.255.255.0得到0.0.0.255
隐含拒绝语句:access-list 1 deny 0.0.0.0 255.255.255.255• 将ACL应用于接口
接口模式:ip access-group 列表号 in或out
注:access-list 1 deny 192.168.1.1 0.0.0.0或写为access-list 1 deny host 192.168.1.1access-list 1 deny 0.0.0.0 255.255.255.255或写为access-list 1 deny any• 删除已建立的访问控制列表全局:no access-list 列表号• 接口上取消ACL接口模式:no ip access-group 列表号in 或out• 查看访问控制列表特权:show access-lists
三、扩展访问控制列表
1、作用
可以根据源IP地址,目的IP地址,指定协议,端口等过滤数据包。
2.扩展访问控制列表号:100-199
• eq等于、lt小于、gt大于、neq不等于
4、扩展访问控制列表案例:例1:全局: access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255(允许192.168.1.0网络访问192.168.2.0网络的所有服务)全局: access-list 101 deny ip any any(拒绝所有)例2:全局: access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21(拒绝192.168.1.0网段访问192.168.2.2的TCP的21端口)全局:access-list 101 permit ip any any(允许访问所有)例3全局: access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo(拒绝192.168.1.0 ping 192.168.2.2)
5、删除扩展ACL
全局:no access-list 列表号
注:扩展与标准ACL不能删除单条ACL语句,只能删除整个ACL。
6、扩展ACL应该应用在离源地址最近的路由器上。
四、命名访问控制列表、
1、命名访问控制列表可以配置标准命名也可配置扩展命名。2、命名访问控列表的ACL语句默第一条为10,第二条为20,依此类推。3、命名ACL可以删除单条ACL语句,而不必删除整个ACL。并且命名ACL语句可以有选择的插入到列表中的某个位置,使得ACL配置更加方便灵活。4、标准命名ACL的配置1)全局:ip access-list standard 名字Permit host 192.168.1.1deny any2)命名ACL应用于接口接口模式:ip access-group 名字 in或out5、扩展命名ACL的配置全局:ip access-list extended 名字
deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 80拒绝1.0网段访问2.2的web服务。
Permit ip any any
• OSPF 三张关键的表: 邻居列表 链路状态数据库 路由表
• 七个邻居建立的过程:down状态、init状态、2-WAY状态、ExStart状态、Exchange状态
• Loading状态、Full状态
• OSPF区域
• 为了适应大型的网络,OSPF在AS内划分多个区域
• 每个OSPF路由器只维护所在区域的完整链路状态信息
• 区域ID
• 区域ID可以表示成一个十进制的数字
• 也可以表示成一个IP
• 骨干区域Area 0
• 负责区域间路由信息传播
• 非骨干区域
• Router ID
• OSPF区域内唯一标识路由器的IP地址
• Router ID选取规则
• 首先,选取路由器loopback接口上数值最高的IP地址
• 如果没有loopback接口,在物理端口中选取IP地址最高的
• 也可以使用router-id命令指定Router ID
• DR和BDR的选举方法
• 自动选举DR和BDR
网段上Router ID最大的路由器将被选举为DR,第二大的将被选举为BDR
• 手工选择DR和BDR
优先级范围是0~255,数值越大,优先级越高,默认为1
如果优先级相同,则需要比较Router ID
如果路由器的优先级被设置为0,它将不参与DR和DBR的选举启动OSPF路由进程Router(config)# router ospf process-id指定OSPF协议运行的接口和所在的区域:Router(config-router)# network address inverse-mask area area-id修改接口的优先级(为了指定DR,修改完之后要重启该网段所有的ospf进程或者重启设备)Router(config-if)#ip ospf priority priority
每日一句:
上天很有意思,猫喜欢吃鱼,猫却不能下水,鱼喜欢吃蚯蚓,鱼却不能上岸。人生,就是一边拥有,一边失去,一边选择,一边放弃。人生,哪有事事如意,生活,哪有样样顺心。所以,不和别人较真,因为不值得,不和自己较真,因为伤不起,不和往事较真,因为回不去。——网易云音乐热评《鱼》陈绮贞
455
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
