一.ACL
1. 类型
① 标准访问控制列表
- 只能根据源地址做过滤
- 针对整个协议采取相关动作(允许或禁止)
② 扩展访问控制列表
- 能根据源、目的地址、端口号等进行过滤
- 能允许或拒绝特定的协议
2. 入站与出站
调用在 IN 方向时先过 ACL 再查找路由表;调用在 OUT 方向时先查找路由表再过 ACL
3. 配置命令
① 标准访问控制列表
- 常用编号1-99
- 如果没有通配符掩码,默认为0.0.0.0
- no access-list access-list-number 将会删除整个ACL列表,可以通过 no 语句编号实现删除
- 需要在接口中调用,关联入站或出站方向(默认出站)
- 精确匹配主机可用host,匹配所有可用any
- access-class 可在vty下调用
例:
Router(config)# access-list 1 deny 10.1.1.0 0.0.0.255
Router(config)# access-list 1 permit any
Router(config-if)# ip access-group 1 in
② 扩展访问控制列表
例:
Router(config)# access-list 100 deny tcp 10.1.1.0 0.0.0.255 host 10.1.2.100 eq 23
Router(config)# access-list 100 permit any any
Router(config-if)# ip access-group 1 out
③ 命名访问控制列表
例:
Router(config)# ip access-list standard test
Router(config-std-nacl)# permit host 10.1.1.100
Router(config-if)# ip access-group test in
④ 查看命令
Router# show access-lists
4. 注意事项
- 每个接口,每个方向,只能设置一个ACL
- ACL结尾默认deny any
- ACL只会过滤转发数据包,不会过滤本身产生的数据包
- 通常标准ACL调用在距离目标地址近的地方,扩展ACL调用在离源地址近的地方
二.NAT
1. 类型
① 静态NAT:一对一明确转换
② 动态NAT:一对一转换,转换为地址池中一个未使用的 ip
③ 端口复用(PAT):多对一复用转换
2. 配置命令
① 静态NAT
Router(config)# ip nat inside source static local-ip global-ip
Ruter(config-if)# ip nat inside
Router(config-if)# ip nat outside
Router# show ip nat translations
② 动态NAT
例:
Router(config)# ip nat pool test 10.1.1.100 10.1.1.200 netmask 255.255.255.0
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# ip nat inside source list 1 pool test
Ruter(config-if)# ip nat inside
Router(config-if)# ip nat outside
③ PAT
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# ip nat inside source list 1 interface e0/0 overload
Ruter(config-if)# ip nat inside
Router(config-if)# ip nat outside
三.广域网简介
1. 类型
① 专线
如T1,T3
- 专有逻辑链接一直在线(安全、高传输质量)
- 支持多种物理介质与物理接口标准
- 稳定可靠,配置与维护简单
- 适合长时间的业务流量需求
- 价格相对较高
② 分组交换(包交换)
如x.25,FrameRelay
- 允许和其他公司共享带宽,适合突发性数据较多情况
- 分组交换网络可以为特定的端到端建立通过交换的路由
- PVC 永久虚电路,在交换开始时就已经建立了路由
- SVC交换虚电路,根据需要建立
③ 电路交换
- 由SP为企业远程网络节点间通信提供临时的数据传输通道,类似电话拨号技术,常见如ISDN,ADSL
- 逻辑连接持久有效,按需拨号
- 传输介质主要为电话线,也可以为光纤
- 带宽主要为56Kpbs,64Kbps,128Kbps,2Mbps
- 稳定性较差,配置与维护较复杂
④ VPN
四.PPP协议
1. 概述
- 能够控制数据链路的建立
- 能够对IP地址进行分配和使用
- 允许同时采用多种网络层协议
- 能够配置和测试数据链路
- 能够进行错误检测
- 提供身份验证
- 有协商选项,能够对网络层的地址和数据压缩等进行协商
2. PAP
PAP:Password Authentication Protocol
3. CHAP
CHAP:Challenge Authentication Protocol
4. PPPOE
PPPOE:point to point protocol over ethernet
- 在以太网上承载PPP协议(点到点连接协议),利用以太网将大量主机组成网络,通过一个远端接入设备连入以太网,并对接入的每一个主机实现控制、计费功能
- 客户端设备可以是PC或路由器
5. 配置命令
① PPP
Router(config-if)# encapsulation ppp
Router(config)# hostname client
Router(config)# username client password test
Router(config-if)# ppp authentication {pap | chap}
PAP认证
Router(config-if)# ppp pap sent-username client password test
CHAP认证
Router(config)# ppp chap hostname client
Router(config)# ppp chap password test
Router# debug ppp authentication
Router# debug ppp negotiation
② PPPOE
Server端配置
Router(config)#username R1 password cisco
Router(config)#ip local pool PPPOE 12.1.1.1 /--也可采用dhcp pool方式--/
Router(config)#bba-group pppoe CCIE /--开启PPPoE拨号组CCIE--/
Router(config-bba-group)#virtual-template 1 /--将虚拟模版1加载到拨号组中--/
Router(config)#interface Ethernet0/0
Router(config-if)#ip address 12.1.1.2 255.255.255.0
Router(config-if)#pppoe enable group CCIE /--将该物理接口映射到拨号组PPPOE2,这样从该接口进入的拨号数据包就会调用该拨号组--/
Router(config-if)#no shutdown
Router(config)#interface Virtual-Template1 /--创建虚拟模版用于拨号--/
Router(config-if)#ip unnumbered Ethernet0/0 /--借用接口E0/0的地址--/
Router(config-if)#ip mtu 1492 /--PPP头部是8个字节,防止不必要的分片--/
Router(config-if)#peer default ip address pool PPPOE /--为对端分发地址池PPPOE中的IP--/
Router(config-if)#ppp authentication chap
Client端配置
Router(config)#interface Ethernet0/0
Router(config-if)#pppoe enable group global
Router(config-if)#pppoe-client dial-pool-number 1
Router(config-if)#no ip address
Router(config-if)#no shutdown
Router(config)#interface Dialer 1 /--配置客户端拨号接口--/
Router(config-if)#ip address negotiated /--地址通过协商获得--/
Router(config-if)#ip mtu 1492
Router(config-if)#encapsulation ppp
Router(config-if)#dialer pool 1
Router(config-if)#ppp chap hostname R1
Router(config-if)#ppp chap password cisco
五.GRE
1. 隧道技术
Tunnel 是一个虚拟的点对点连接,提供了一条通路使封装的数据报文能够在这个通路上传输,并且在一个Tunnel的两端分别对数据报进行封装及解封装
2. GRE隧道
GRE:Generic Routing Encapsulation
一种封装协议,提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在隧道中传输
3. 配置命令
Router(config)# int tunnel 0
Router(config-if)# ip address 10.1.1.1 255.255.255.252
Router(config-if)# tunnel source e0/0
Router(config-if)# tunnel destination 202.1.1.1
Router(config-if)# tunnel mode grep ip
扫一扫
435
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
