动态路由
一、动态路由概述
- 解决的问题:
- 在大型网络中,替代了手动配置每一条静态路由的巨大工作量。
- 动态路由的过程:
- 网络中的路由器之间相互信任,传递路由信息,利用接受到的路由信息更新路由表的过程。
- 动态路由的特点:
- 自主学习,减少了管理任务
- 宣告直连网段,占用了网络带宽
二、动态路由协议
1、动态路由协议概述
a ) 动态路由是基于某种协议来实现的。路由协议定义了在与其他路由器通信时的一些规则(如何学习路由;用什么标准来选择和维护路由信息)。
b ) 动态路由协议就像是路由器之间用于交流信息的语言,通过它,路由器之间可以共享网络连接信息和状态信息。
c) 每一种动态路由协议都有自己的路由选择算法,一个路由选择算法至少有以下几个算法
a、向其他路由器传递路由信息
b、接收其他路由器的路由信息
c、根据接收到的路由信息计算出到达每个目的网络的最优路径,并由此生成路由表
d、根据网络拓扑的变化及时更新路由表
2、度量值
当到达同一个网段有多条不同路径时,动态路由协议会选择一条最优的路径来传输数据。
用来度量路径优劣的参考值就是度量值。不同的路由协议使用不同的度量值,有的还同时使用多个度量值
a 跳数
b 带宽
c 负载
d 时延
e 可靠性
f 成本
3、收敛
使网络中所有路由器的路由表达到一致状态的过程称为收敛。
这一过程所花费的时间总和就是收敛时间。
4、静态路由和动态路由
静态路由 | 动态路由 |
适用于中小型网络 | 适用于大型网络 |
手动配置每条路由表 | 自主学习 |
各路由条目的优先级
直连路由>静态路由>动态路由
三、动态路由协议的分类
1、距离矢量路由协议
依据从源网络到目的网络所经过的路由器的个数来选择路由。
2、链路状态路由协议
会综合考虑从源网络到目的网络的各条路径的情况来选择路由。
四、RIP路由协议
1、工作原理
a、配置了RIP路由协议,路由器之间会互相发送自己的路由表信息。
b、RIP路由协议使用跳数作为唯一的度量值。
并且规定最大跳数为15,16跳视为不可达。
c、路由器启动后,平均每隔30秒就发送一次路由更新信息。
d、水平分割:从一个接口学习到的路由信息,不在从这个接口发送出去
- 配置
启动rip进程 router rip
宣告直连网段 network 直连网段
- RIP v1与RIP v2
RIP v1 | RIP v2 |
广播更新 | 组播更新 |
有类路由协议,不带掩码宣告 | 无类路由协议,携带掩码宣告 |
不支持不连续子网 | 支持不连续子网 |
自动汇总不可关闭 | 可手动关闭自动汇总 |
4、RIP v2的配置
启动RIP进程 router rip
指定RIP版本号 version 2
关闭路由自动汇总 no auto-summary
宣告直连网段 network 直连网段
虚链路
- 什么是虚链路?
指一条通过一个非骨干区域连接到骨干区域的链路
- 虚链路的目的?
通过一个非骨干区域连接一个区域到骨干区域
通过一个非骨干区域连接一个分段的骨干区域
- 配置虚链路的规则与及特点
虚链路必须配置在两台ABR路由器之间
传送区域不能是一个末梢区域
虚链路的稳定性取决于其经过的区域的稳定性
虚链路有助于提供逻辑冗余
- 配置命令
Router(config-router)# area 所跨越的区域号 vritual-link 对端的router-id
第三章ospf多区域+路由充分发
一、创建ospf多区域的原因:
1、改善网络的可扩展性,随时可以在原有的环境上添加区域
2、加快收敛速度。
二、通信量分类:
域内通信量(Intra-Area Traffic)
单个区域内的路由器之间交换数据包构成的通信量
域间通信量(Inter-Area Traffic)
不同区域的路由器之间交换数据包构成的通信量
外部通信量(External Traffic)
OSPF域内的路由器与OSPF区域外或另一个自治系统
三、路由器分类:
内部路由器
只保存本区域的链路状态(路由条目)
区域边界路由器
用来连接区域0和其他区域
自治系统边界路由器
用来连接OSPF的AS与外部其他的路由
四、链路状态通告(LSA)类型
类型 | 描述 | 用途 |
Type 1 | 路由器LSA | 由区域内的路由器发出的 |
Type 2 | 网络LSA | 由区域内的DR发出的 |
Type 3 | 网络汇总LSA | ABR发出的,其他区域的汇总链路通告 |
Type 4 | ASBR汇总LSA | ABR发出的,用于通告ASBR信息 |
Type 5 | AS外部LSA | ASBR发出的,用于通告外部路由 |
Type 7 | NSSA外部LSA | NSSA区域内的ASBR发出的, 用于通告本区域连接的外部路由 |
五、路由重新分发
配置路由重分发的目的:
为了让不同的自治系统(不同的路由协议)之间可以相互通信。
配置路由充分发前需要注意的点
- 确定自治系统边界路由器
- 确定进行路由充分发的方向
六、路由重分发实验配置
Router(config)#router ospf 1
Router(config-router)#redistribute rip subnets
Router(config-router)#exit
Router(config)#router rip
Router(config-router)#redistribute ospf 1 metric 5
Router(config-router)#exit
ospf特殊区域
配置特殊区域的目的:
汇总路由条目,减少链路状态数据库的内存,节省路由器资源、提升路由器性能
末梢区域
不允许自治系统外部的链路状态通告在其内部泛洪。
将自治系统外部路由条目进行汇总。汇总成默认路由指向自己的区域边界路由器。
完全末梢区域
将处直连路由外的所有路由条目进行汇总,汇总成一条默认路由指向自己的区域边界路由器
非纯完全末梢区域
特点:
是ospf自治系统的末梢,但不是正向拓扑结构的末梢。
配置
- 配置末梢区域
需要在区域内的所有路由器上配置
Router 1的配置
Router 1(config)# router ospf 1
Router 1(config-router)#area 1 stub
Router 1(config-router)#exit
Router 2的配置
Router2(config)# router ospf 1
Router 2(config-router)#area 1 stub
Router 2(config-router)#exit
- 配置完全末梢区域
在末梢区域的基础上,只配置区域边界路由器
Router 1不做配置
Router 2的配置
Router 2(config)# router ospf 1
Router 2(config-router)#area 1 stub no-summary
Router 2(config-router)#exit
- 配置非纯完全末梢区域
需要在区域内的所有路由器上配置
Router 3的配置
Router 3(config)# router ospf 1
Router 3(config-router)#area 2 nssa
Router 3(config-router)#exit
Router 4的配置
Router4(config)# router ospf 1
Router 4(config-router)#area 2 nssa
Router 4(config-router)#exit
第五章 IP V6 和VoIP
一、IPV6出现的原因
1、移动性支持不够
2、地址危机
3、QoS和性能问题
4、配置复杂
5、安全问题
6、骨干路由表膨胀
二、IPV6的最终目标
提高一个更高效、更为安全、并能更好的支持不同业务流和移动特性的新路由架构
三、IPV6的优点
- 更大的地址空间
- 更高效的路由基础
- 更好的安全型
- 移动性
5、更好的QoS
四、IPV6的表示方式
冒号分十六进制
- IPV6的单播地址
- 全局单播地址。类似于IPV4的公网
- 链路本地地址。
类似于IPV4的私网,当IPV6大规模实施后,将被淘汰,需要自动获取
- 站点本地地址。
- 类似于IPV4的私网,当IPV6大规模实施后,将被淘汰,需要手动配置
5、特殊IPv6地址
- 未指定地址 0:0:0:0:0:0:0:0 或 :: 相当于IPv4的0.0.0.0
- 环回地址(0:0:0:0:0:0:0:1 或 ::1)标识一个环回接口 ,相当于IPv4的127.0.0.1
6、兼容性地址
与 IPv4 兼容的地址,0:0:0:0:0:0:w.x.y.z 或 ::w.x.y.z
当IPV6大规模实施后,将被淘汰
六、统一通信
指的是把计算机与传统通信技术统一一体的新通信模式,融合计算机网络与传统通信网络在一个网络平台上,实现电话、传真、数据传输、音视频会议、呼叫中心、即时通信等众多应用服务。
- VoIP
又称IP电话或IP网络电话,是Voice Over IP的缩写
通过对语音信号进行编码数字化、压缩处理成压缩帧,然后转换为IP数据包在TCP/IP网络上进行传输,从而达到了在IP网络上进行语音通信的目的
八、VoIP的优势
1、能够更加有效的使用网络资源
2、成本低廉
3、同数据业务有更大的兼容性
4、IP电话网继承了计算机网络的智能特性,可以灵活的实现各种增值业务的开发
5、开放的体系结构
第六章服务访问质量
网络现状
延迟
延迟抖动
丢包
使用QoS的目的
区分流量,保证重要流量及时被转发
什么是Qos
QoS是一种网络拥塞的解决方法。
QoS的目的
保证重要流量及时被转发
网络拥塞的解决方法
Best-Effort service,尽力而为的服务模型
先进先出的转发
Integrated service,综合服务模型
提前申请网络资源,各节点预留资源
Differentiated service,区分服务模型
不预留资源,通过多种方法指定报文的QoS
流量监控
承诺平均速率(CIR)
突发量(Committed Burst size,Bc)
额外突发量(Excess Burst size,Be)
上机部分
实验拓扑
实验要求
现有ftp服务器192.168.1.1和win7客户端192.168.2.1.要求限制192.168.2.1的下载速度
实验步骤
一、配置设备接口ip
R1(config)# inerface f0/0
R1(config-if)#ip address 192.168.1.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#ex
R1(config)#int f1/0
R1(config-if)#ip address 192.168.2.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#ex
二、使用CAR技术进行限速
R1(config)#access-list 100 permit ip any host 192.168.2.1
R1(config-if)#rate-limit input access-group 100 100000 20000 40000 conform-action continue exceed-action drop
Snmp协议
- 网络管理的范围
- 配置管理;
- 性能管理;
- 故障管理;
- 安全管理;
- 计费管理;
- 网络管理的组成
- 被管理端,一般是网络中比较重要的设备,目的是为了及时监控和维护。
- 代理程序是运行在被管理端的程序
- 网络管理器就是管理端
- 公共信息管理协议
- 管理信息库
- 网络管理的模式
- 带内管理:指管理流量和业务流量在相同的链路中传递
- 带外管理:指管理流量通过专用的线缆传输,和业务流量完全隔离
- 网络管理的方式
- telnet管理。简单方便,术语带内管理
- console管理。效率高,带外管理
- SSH管理。安全性能高,带内管理
- Web管理。免安装客户端软件。带内管理
- SNMP术语
- NMS。运行在管理端的网管软件
- Agent。运行在被管理端的代理程序
- MIB。管理信息库,包含了所有可能被查询的变量的集合
- OID
- Community。用于提供代理程序和管理程序之间的认证
- SNMP版本
- SNMP V1 功能有限
- SNMP V2 部署简单,功能齐全
- SNMP V3 增强了安全性和远程管理能力,但大规模部署是稍显麻烦。
- 配置信息
R1(config)#snmp-server community xiaoqiao RW 读写 RO只读
//启动snmp协议,制定共同体xiaoming的权限为读写
R1(config)#snmp-server host 192.168.100.1 xiaoming
//本机使用xiaoming共同体向192.168.100.1发送信息
R1(config)#snmp-server enable traps config
//允许所有的trap消息
第七章 ASA基础配置
理论部分
一、状态化防火墙的conn表
状态化防火墙维护一个关于用户信息的连接表,称为Conn表
Conn表中的关键信息
源IP地址
目的IP地址
IP协议(例如TCP或UDP)
IP协议信息(例如TCP/UDP端口号,TCP序列号,TCP控制位)
默认情况下,ASA对TCP和UDP协议提供状态化连接,但ICMP协议是非状态化的(不在conn表做记录)
二、状态化防火墙进行状态化处理的过程
所有出站流量允许,在conn表做记录;
所有进站流量匹配conn表,如果有记录则允许,没有记录则丢弃。
三、ASA使用安全算法执行以下三项基本操作
访问控制列表,手动配置。
连接表,设备自带,不需要人工干预。
检测引擎,设备自带,不需要人工干预
四、接口的名称
物理名称e0/0、e0/1
逻辑名称
内网口用inside,默认安全级别是100
外网口用outside,默认安全级别是0
五、接口的安全级别
Asa防火墙每个接口都有安全级别,范围是0-100,数值越大优先级别越高。
不同安全级别的接口之间访问时,遵从的默认规则
允许出站(outbound)连接,允许内防外,允许高访低
禁止入站(inbound)连接,禁止外访内,禁止低访高
禁止相同安全级别的接口之间通信
六 、配置acl的作用
允许入站连接
控制出站连接
Acl语法
Access-list 表名 deny/permit 协议 源地址 掩码 目的地址 掩码 [eq 端口号]
七、配置静态路由
语法:
route inside/outside 目标网段 目标掩码 下一跳ip地址
八、其他配置
保存配置
ciscoasa# write memory
ciscoasa# copy running-config startup-config
清除所有配置
ciscoasa#clear configure all
- DMZ区域的概念和作用
DMZ(DeMilitarized Zone)称为“隔离区”,也称“非军事化区”
位于企业内部网络和外部网络之间的一个网络区域,用于存放公开服务器
DMZ区的安全级别
介于inside和outside之间
有六默认的访问规则
Inside可以访问outside
Inside可以访问dmz
Dmz可以访问outside
Dmz不能访问inside
Outside不能访问inside
Outside不能访问dmz
十、远程管理
内网用户用telnet,外网用户用ssh
1、使用telnet协议远程
ciscoasa(config)# telnet 192.168.1.0 255.255.255.0 inside
//允许inside区域的192.168.1.0网段的用户使用telnet协议远程管理
ciscoasa(config)#passwd 123123 //设置远程登录的密码为123123
2、ssh协议
ciscoasa(config)# host aaa //修改主机名为aaa
aaa(config)# domain-name aaa.com //修改域名为aaa.com
aaa(config)# crypto key generate rsa modulus 1024
//自动生成1024位的密钥
aaa(config)# ssh 192.168.1.0 255.255.255.0 inside
//允许inside区域的192.168.1.0网段的用户使用ssh协议远程管理
aaa(config)# ssh 0.0.0.0 0.0.0.0 outside
//允许outside区域的所有网段的用户使用ssh协议远程管理
注:
Cisco的ASA防火墙默认的ssh协议远程登录的用户名为PIX.密码为之前设置的远程登录密码
-----------------------------------------------------------------------------------------------------------------
实验部分
实验拓扑
实验步骤
- 配置asa接口和默认路由
ciscoasa(config)# interface e0/0
ciscoasa(config-if)# ip add 100.1.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# nameif outside
ciscoasa(config)# interface e0/1
ciscoasa(config-if)# ip add 192.168.1.254 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# nameif inside
ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 100.1.1.2
二、配置路由器接口和静态路由
Interface e0/0
Ipaddress 100.1.1.2 255.255.255.0
No shutdown
Interface e0/1
Ip address 192.168.2.254 255.255.255.0
No shutdown
ip route 192.168.1.0 255.255.255.0 100.1.1.1
三、配置acl
1、实现192.168.2.1远程192.168.1.1
ciscoasa(config)# access-list 100 permit tcp host 192.168.2.1 host 192.168.1.1 eq 3389
2、实现192.168.1.1ping192.168.2.1
access-list 100 permit icmp host 192.168.2.1 host 192.168.1. 1 echo-reply
---------------------------------------------------------------------------------------------------------------------------------
3、拒绝内网的192.168.1.1远程访问外网的100.1.1.1
四、开启内网telnet
telnet 192.168.1.0 255.255.255.0 inside
password 123
五、开启外网ssh
crypto key generate rsa modulus 1024 //生成1024位的密钥
ssh 192.168.2.0 255.255.255.0 outside
ASA NAT的四种实现方式
p194顶部
1 允许高安全级别的区域访问低安全级别的区域
2 禁止低安全级别的区域访问高安全级别的区域
3 禁止相同安全级别的区域通信
----------------------------------------------------------------------------------------------------------------
P197
1, 连接表的元素
2 p178,倒数6和 7行
3 p183.图8.3
4 p190,配置asdn接入(1-4)
5 access-list 100 deny icmp host (外网口ip) /100.1.1.1 any echo-reply
access-group 100 out interface outside
6 telnet ssh asdm
7 IP 开启接口 逻辑名称 安全级别
8 P190最下面一行
9 ssh 192.168.100.0 255.255.255.0 inside
10 route inside 192.168.9.0 255.255.255.0 192.168.1.4
1 四种(动态nat,动态pat,静态nat,静态pat)
2 show xlate detail
3 启用nat控制
---------------------------------------
- 用于在启用nat控制时,豁免某一网段的出站连接可以不做nat转换,
- nat (inside) 0 access-list 100
- p205-206
- 四种(动态nat,动态pat,静态nat,静态pat)
- 指定内网做转换的网段10.10.2.0,natID为1
- nat-id用于将nat指定的内网网段与global指定的公网地址一一对应
- 0 0 表示所有的网段
- show xlate detail
- static (inside,outside) tcp 100.1.1.1 80 192.168.4.50 80
- 启用nat控制时,所有内网出站链接必须使用NAT转发。
所以说在启用NAT控制时,NAT规则是必须的
- 思路
inside安全级别为100,dmz安全级别为50.默认inside可以访问dmz。但asa防火墙只有icmp协议经过时是非状态化的,即inside到dmz的ping请求包可以出去,而dmz给inside的ping回应包却进不去。
方法
- 允许dmz区域给inside的ping回应
access-list 100 permit icmp host 172.16.1.7 host 192.168.1.10 echo-reply
允许dmz区域到inside的ping请求
access-list 100 permit icmp host 172.16.1.7 host 192.168.1.10 echo
- 允许dmz区域和inside区域的icmp协议通信
access-list 100 permit icmp host 172.16.1.7 host 192.168.1.10
NAT的作用
- 节省公有ip
- 保护服务器的内部私有地址
NAT的分类
- 动态NAT
多个公网地址对应多个内网地址。用于实现内访外
- 定义内网组要做转换的网段
Nat (内网口的逻辑名称) nat编号内网网段子网掩码
- 定义公网地址池
Global(外网口的逻辑名称) nat编号开始ip-结束ip
- 动态PAT(端口多路复用)
一个公网地址对应多个内网地址。用于实现内访外
- 定义内网组要做转换的网段
Nat (内网口的逻辑名称) nat编号内网网段子网掩码
- 配置基于外网口的PAT
Global(外网口的逻辑名称) nat编号interface
- 静态nat
一个公网地址对应一个内网地址。用于实现内访外
static (内网接口的逻辑名称,外网口的逻辑名称) 公网ip内网ip
- 静态pat
一个公网地址对应多个内网地址。用于实现外访内
用于将内部的服务器的私有ip映射到公网ip
私有地址
A 10.0.0.0-10.255.255.255
B 172.16.0.0-172.32.255.255
C 192.168.0.0-192.168.255.255
Static (内网口逻辑名称,外网口逻辑名称)协议公网ip端口号私有ip端口号
查看nat转换记录
ciscoasa# show xlate detail
2 in use, 2 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
NAT from inside:192.168.1.1 to outside:100.1.1.20 flags s
//NAT转换记录,来自于inside方向的192.168.1.1,转换成outsidefangxiang的100.1.1.20,类型是静态NAT
//类型1: i 动态NAT
//类型2: ri 动态PAT
//类型3: S 静态NAT
//类】】型4: sr 静态pat
实验步骤
动态nat
将内网192.168.1.0网段,转换到100.1.1.10-100.1.1.11
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa(config)# global (outside) 1 100.1.1.10-100.1.1.11
动态pat
将192.168.1.0网段转换到100.1.1.1
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa(config)# clear config global //清除动态nat
写法一:ciscoasa(config)# global (outside) 1 100.1.1.1-100.1.1.1
//当地址池只有一个公有ip时,默认启用pat转换
写法二:ciscoasa(config)# global (outside) 1 interface
//基于外网口(outside)的pat转换
静态nat
将内网192.168.1.1转换成100.1.1.100
ciscoasa(config)# clear config nat //清除内网转换的网段
ciscoasa(config)# clear config global //清除公网地址池
ciscoasa(config)# clear xlate //清除转换记录
ciscoasa(config)# static (inside,outside) 100.1.1.100 192.168.1.1
静态pat转换
将内网192.168.1.1的www服务转换到100.1.1.1的80端口
ciscoasa(config)# static (inside,outside) tcp 100.1.1.1 80 192.168.1.1 80
------------------------------------------------------------------------------------------------------------------------
NAT开关
禁用nat开关,内网所有出站连接可以使用nat转发,也可以使用静态或默认路由转发。(默认)
所以说在禁用nat控制时,NAT规则并不是必须的
命令 :no nat-control
启用nat控制时,所有内网出站链接必须使用NAT转发。
所以说在启用NAT控制时,NAT规则是必须的
命令:nat-control
NAT豁免
作用:
用于在启用nat控制时,豁免某一网段的出站连接可以不做nat转换,
(即使用静态/默认/动态等其他路由协议与外网通信)
ciscoasa(config)# nat-control //启用nat开关
ciscoasa(config)# ACCess-list 101 permit ip host 192.168.1.1 host 192.168.2.1
//借助acl制定豁免的数据流量
ciscoasa(config)# nat (inside) 0 access-list 101 //配置nat豁免。Nat编号0,是单独留给nat豁免使用的。
NAT豁免
- 开启nat控制开关
ciscoasa(config)# nat-control
- 允许不做nat转换的网段
ciscoasa(config)# access-list 100 permit ip 192.168.1.0 255.255.255.0 any
- 配置豁免
ciscoasa(config)# nat (inside) 0 access-list 100
分片
Identification(标识):
标识一致时,表示它们原先属于同一个IP数据报文
Flags(标志):
第2位:0表示允许分片,1表示拒绝分片
第3位:0表示最后一个分片,1表示还有后续的分片
ASA上防范IP分片
asa(config)# fragment chain 1
日志安全级别
ASA的两种工作模式
路由模式(默认)
充当一个3层设备,基于目的IP地址转发数据包
透明模式
充当一个2层设备,基于目的MAC地址转发数据帧
配置
切换到透明模式
asa(config)# firewall transparent
查看当前的工作模式
asa(config)# show firewall
配置管理IP地址
asa(config)# ip address 192.168.1.253 255.255.255.0