CCNA第五天

1、 ACL的一些内容的回顾： 1. 回顾 A 方向 B 访问控制列表ACL不能过滤自己产生的流量 强调：还是一个in的应用和out的应用 C 顺序 一个成功的访问控制列表acl，必须有一个permit语句，因为默认deny *大家使用名称列表。 D 访问控制列表acl再今后的学习当中应用的方向。她无处不再 试验、out方向的过滤 试验、做一个路由器的vty的过滤 LAN(config)#access-list 1 permit host 2.2.2.2 LAN(config)#line vty 0 4 LAN(config-line)#access-class 1 in 我们用这个东西来过滤对我的路由器的telnet访问 这个时候我们以源地址是2.2.2.2来做一个测试：：：： ISP#telnet 1.1.1.1 /source-interface loo0 Trying 1.1.1.1 ... Open User Access Verification Password: 实际中： 必须要过滤vty的访问，不能所有人都可以访问VTy 然后还必须输入： LAN(config-line)#no transport input 不允许所有的行为通过vty接口访问我的设备 LAN(config-line)#transport input telnet 只允许telnet行为对我的vty接口进行访问。 试验、扩展访问控制列表的应用 1. 过滤icmp[网际（互联网）控制报文（消息）协议]的流量 r1(config)#access-list 101 permit icmp host 199.99.1.50 host 1.1.1.1 只允许源地址是199.99.1.50到目的地址1.1.1.1的icmp的流量 r1(config)#access-list 101deny（拒绝） icmp any any 剩余的icmp都拒绝 r1(config)#access-list 101 permit ip any any 其他的都允许（*****扩展访问控制列表的默认deny语句是deny ip any any） r1(config)#int f0/0 r1(config-if)#ip access-group 101 in 再接口调用 试验、利用扩展的访问控制列表acl过滤穿越路由器的telnet的访问 r2(config)#access-list 101 deny tcp host 3.3.3.3 host 1.1.1.1 eq 23 端口号 r2(config)#access-list 101 permit ip any any 试验、过滤掉http的访问 r1(config)#access-list 101 permit tcp host 199.99.1.50 any eq 80 r1(config)#access-list 101 permit ip any any 试验、领导要求，拒绝所有的人ping我，但是不拒绝我ping所有人 重点：icmp：echo请求包，echo-reply回应 r1#sh access-list Extended IP access list 101 10 deny icmp any any echo 20 permit icmp any any 30 permit ip any any 试验、访问控制列表跟log合作 r1(config)#access-list 101 permit icmp any any log r1(config)#access-list 101 permit tcp any any eq 23 log r1(config)#access-list 101 permit ip any any 试验、名称列表 r1#sh access-list Extended IP access list fxh 10 deny icmp any any 15 deny tcp any any eq ftp-data 16 deny tcp any any eq ftp 20 deny tcp any any eq telnet 30 permit ip any any (18 matches) 我建议大家今后使用这个列表。 2、 NAT技术和PAT技术 私有IP地址有一个，这个叫：RFC1918标准 RFC其实早期就是BBS，她叫做网络问题征解。 10.0.0.0 192.168.0.0 172.16.0.0 共有地址：IANA internet地址管理中心。全世界的各个国家都有一个IP地址范围。 ISP,SP 目前呢，我们上网的人非常多。共有IP地址不够了。 两个解决： 1. NAT/PAT（把这个私有IP地址转换为共有IP地址，然后出去） 2. IPV6 重点：NAT/PAT看的是内外。 内：inside 外：outside 说白了，就是inside转换为outside 我们把内部的地址叫：内部本地地址 192.168.1.1 外部的地址叫：外部全局地址 202.106.0.20 NAT有一个重伤： 你有多少个内部，就必须对应多少个外部 这种，她一般用在服务器的地址转换。她的速度是非常快。 PAT的优势： 她可以实现多对一。 比如说你有300个私有IP，最终，你申请线路，申请了一个共有IP，那么你需要把300个转换为一个地址。你可以把300个转换为一个地址中的某一个端口。 一个地址拥有65535个端口 1-254 给那些公认的必遵的协议，比如FTP,SMTP,HTTP 256-1023给那些大型的厂商。微软。Cisco 1024-65535 是可以任意使用的。 试验、静态NAT地址转换 gw(config)#int f0/0 gw(config-if)#ip nat inside 定义这个接口为内部 gw(config-if)#int s1/2 gw(config-if)#ip nat outside 定义这个接口为外部 gw(config)#ip nat inside source static 1.1.1.100 202.202.202.1 我要把内部的从inside过来的地址1.1.1.100转换为外部的全局地址202.202.202.1 测试nat的结果： gw#debug ip nat 开启debug，查看转换后的结果 IP NAT debugging is on gw# *Mar 1 00:06:49.791: NAT: expiring 202.202.202.1 (1.1.1.100) icmp 2 (2) 这个提示我们你做的是icmp gw# *Mar 1 00:07:00.283: NAT*: s=1.1.1.100->202.202.202.1, d=202.202.202.202 [15] 去包的转换 *Mar 1 00:07:00.299: NAT*: s=202.202.202.202, d=202.202.202.1->1.1.1.100 [15] 回包的转换 gw#clear ip nat translation * 清除NAT的转换表 gw#sh ip nat translations 查看NAT的转换表 Pro Inside global Inside local Outside local Outside global icmp 202.202.202.2:512 1.1.1.99:512 202.202.202.202:512 202.202.202.202:512 --- 202.202.202.2 1.1.1.99 --- --- gw#sh ip nat statistics 查询nat的状态 Total active translations: 2 (1 static, 1 dynamic; 1 extended) Outside interfaces: Serial1/2 Inside interfaces: FastEthernet0/0 Hits: 21 Misses: 7 CEF Translated packets: 28, CEF Punted packets: 0 Expired translations: 5 Dynamic mappings: Queued Packets: 0 试验、动态NAT的转换 拓扑还是原来的拓扑 动态NAT的意义在于，你的外部地址有多个。比如说有8个。 gw(config)#ip nat pool fxh 202.202.202.2 202.202.202.6 netmask 255.255.255.0 建立一个地址池叫fxh，这个池中包含的地址是转换后的地址。也就是外部地址 gw(config)#ip access-list standard fxh 她过滤的是内部的地址，待转换地址 gw(config-std-nacl)#permit ip any gw(config)#ip nat inside source list fxh pool fxh 我们把从acl过滤的源地址，转换为刚才建立的地址池pool。 试验、利用动态的NAT建立一个转换项目 1.1.1.100 转换的地址是202.202.202.2 1.1.1.99 转换为地址是202.202.202.3 1.1.1.98 转换为地址是202.202.202.4 1.1.1.97 转换为202.202.202.5 步骤： gw#sh access-list 利用acl来过滤每一个地址 Standard IP access list 1 10 permit 1.1.1.100 Standard IP access list 2 10 permit 1.1.1.99 Standard IP access list 3 10 permit 1.1.1.98 Standard IP access list 4 10 permit 1.1.1.97 gw(config)#ip nat pool nat-1 202.202.202.2 202.202.202.2 net 255.255.255.0 gw(config)#ip nat pool nat-2 202.202.202.3 202.202.202.3 net 255.255.255.0 gw(config)#ip nat pool nat-3 202.202.202.4 202.202.202.4 net 255.255.255.0 gw(config)#ip nat pool nat-4 202.202.202.5 202.202.202.5 net 255.255.255.0 gw(config)#ip nat inside sou list 1 pool nat-1 gw(config)#ip nat inside sou list 2 pool nat-2 gw(config)#ip nat inside sou list 3 pool nat-3 gw(config)#ip nat inside sou list 4 pool nat-4 试验、PAT的转换 拓扑还是原来的拓扑 gw(config)#ip access-list standard fxh 利用这个访问控制列表来定义那些源被转换 gw(config-std-nacl)#per any 所有的源地址都需要被转换 gw(config)#ip nat inside source list fxh interface s1/2 overload 从访问控制列表fxh过来的源流量都被转换S1/2接口地址的某一个端口。 验证PAT gw#debug ip nat detailed IP NAT detailed debugging is on gw#sh ip nat statistics Total active translations: 1 (0 static, 1 dynamic; 1 extended) Outside interfaces: Serial1/2 Inside interfaces: FastEthernet0/0 Hits: 22 Misses: 4 CEF Translated packets: 22, CEF Punted packets: 7 Expired translations: 4 Dynamic mappings: -- Inside Source [Id: 1] access-list fxh interface Serial1/2 refcount 1 [0] prot 6: port #7 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #9 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #11 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #13 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #19 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #21 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #23 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #79 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #80 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #113 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #179 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #512 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #513 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #514 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #515 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #544 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1718 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1719 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1720 refcount 2 syscount 2 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1973 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1976 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1977 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1978 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1979 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1980 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1981 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1982 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1983 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1984 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1987 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1988 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1989 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1990 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1991 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1992 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1994 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #1996 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #2065 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #2067 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #5060 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 [0] prot 6: port #10000 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1 Queued Packets: 0 gw#sh ip nat translations 查询pat的转换表 Pro Inside global Inside local Outside local Outside global tcp 202.202.202.1:64315 1.1.1.100:64315 202.202.202.202:23 202.202.202.202:23 试验、NAT和PAT的合作 我们需要让一部分流量走NAT，让一部分流量走PAT 我们需要让地址1.1.1.100走nat，让地址1.1.1.99走PAT gw(config)#ip access-list standard NAT gw(config-std-nacl)#per host 1.1.1.100 gw(config)#ip access-list standard PAT gw(config-std-nacl)#per host 1.1.1.99 gw(config)#ip nat pool NAT-POOL 202.202.202.2 202.202.202.2 net 255.255.255.0 构建了一个nat的pool名字叫NAT-POOL gw(config)#ip nat inside source list NAT pool NAT-POOL 上面定义了NAT gw(config)#ip nat inside sou list PAT inter s1/2 over 下面定义了PAT 将来大家也可以尝试这么去测试一下，如果你们公司有两个公网IP，你可以尝试让一个网段走其中一个，让另外一个网段走另外一个，都操作成PAT。 3、 广域网技术 今后我们经常的会遇到一个问题，就是客户需要将很多地方的公司通过WAN来互联，那么我们就需要申请专线了，那么有那些专线的模式，申请后，如何安装，都需要什么样的设备和配置有那些不同！？？？？ 1. 术语 1、客户端设备(customer premises equipment，CPE)：物理上在用户侧的设备，包括属于用户的设备和服务提供商放在用户端的设备。 2、分界点(demarcation point)：在CPE的末端，本地环路设备起始的部分；可以位于电信机房，也可以是建筑物的所在地（POP点），由电信公司所拥有。 3、本地回路(local loop)：也可以叫做“最后一公里“。从分界点到服务提供商的中心局的电缆（铜缆或光纤）。 4、CO交换机：到最近WAN服务的交换设备。 5、长途网络（toll network）：WAN供应商云图中成组的交换机和设备（中继）。呼叫者的流量经过中继到达第一个中心，然后去其他地区或者是国外的通信中心，经过长途传输到达目的地。 2. 看图说话 3. 各种技术的封装模式 A 专线： HDLC PPP SDH 同步光网络 DWDM B 拨号 PPP C 包交换 X.25 老的，银行用 Frame-relay 帧中继 ATM 异步传输 1、帧中继(frame relay)：一种分组交换的技术、高性能、运行在OSI的最下2层即物理层和数据链路层。它其实是X.25技术的简化版本，省略了X.25技术的一些功能比如窗口技术和数据重发功能；这是因为帧中继工作在性能更好的WAN设备上，而且它比X.25有更好的传输效率，速度可以从64Kbps达到T3的45Mbps.它还提供带宽的动态分配和拥塞控制功能 2、ISDN（综合业务数字网络）：是一种在已有的电话线路上传输语音和数据等数字服务。如果你对那种传统的拨号(dial-up)上网的速度感到不满的时候，你可以使用ISDN的方式。ISDN也可作为比如帧中继或者T1连接的备份连接；目前基本处于被xDSL和CABLE（电缆）等高速接入技术所淘汰的边缘。 3、平衡链路访问过程(Link Access Procedure, Balanced, LAPB)：工作在OSI参考模型的数据链路层，是一种面向连接的协议；一般和X.25技术结合到一起进行数据传输.因为它有严格的窗口和超时功能，所以使得代价很高。 4、高级数据链路控制(High-Level Data-Link Control , HDLC)：这个是由IBM创建的同步数据链路控制(Synchronous Data Link Control, SDLC)衍生而来的。工作在OSI参考模型的数据链路层；相比LAPB来说，HDLC成本较低；HDLC不会把多种网络层的协议封装在同一个连接上。各个厂商的HDLC都有他自己鉴定网络层协议的方式，所以各个厂商的HDLC是不同的，私有化的；目前使用的并不广泛，但在CISCO的设备中是串行接口的默认封装。 5、点对点协议(Point-to-Point Protocol，PPP)：一种工业标准(industry-standard)协议。因为各个厂商的HDLC私有，所以PPP可以用在不同厂商的设备之间的连接。PPP使用网络控制协议(Network Control Protocol, NCP)来验证上层的OSI参考模型的网络层协议。 6、异步传输模式(Asynchronous Transfer Mode, ATM)：国际电信联盟电信标准委员会(ITU-T)制定的信元(cell)中继标准。ATM使用固定长度的53字节长的信元方式进行传输，ATM网络是面向连接的。随着城域以太网的快速发展，ATM最终将被以太技术所取代。 4、 PPP协议 PPP既支持同步，也支持异步 高级数据链路控制HDLC只支持同步。 他们都是链路封装协议 PPP协议分为两层： LCP：链路控制协议，作用是做链路验证的，比如我们拨号弹出的密码用户名对话框，那个就是LCP来控制的 NCP:网络控制协议，他是一个管理控制的责任，她协调与上层的关系。 试验、PAP的ppp协议 r1(config)#username cisco password cisco r1(config)#int s1/0 r1(config-if)#encapsulation ppp r1(config-if)#ppp authentication pap r1(config-if)#ppp pap sent-username cisco password cisco 查询 r2#sh int s1/0 Serial1/0 is up, line protocol is up Hardware is M4T MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Open 表明验证成功 Open: CDPCP, crc 16, loopback not set Keepalive set (10 sec) 5、 帧中继 frame-relay 她是包交换的一种，她是链路层封装协议，她不支持加密 1. 帧中继的术语 LMI：本地管理接口，这个东西是管理本地路由器跟局端交换机之间的状态一个东西。 PVC：永久虚链路，因为我们知道，包交换他们之间建立的链路是虚链路，你用也可以，她用也可以。每次使用的链路不一定相同。 SVC：动态虚链路 LAR：本地接入速率（每个帧中继接口可以传输的最大带宽） DLCI：数据链路连接标识，这个是重点，我们利用她来映射IP地址，因为核心中的帧中继交换机不能够识别IP，但是她转发的是DLCI，这个是一个号码，我们可以利用她来映射我们的IP。IARP（dlci-map-ip），ARP，RARP。 CIR： 承诺信息速率（正常情况下,帧中继网络传输数据的速率,它是在最小单位时间内的传输数据平均值,单位为bps） 这个是电信公司承诺我们的一个速率。但是实际速率并没有到这么高。 Bc：承诺突发量 Be：允许超过突发量，可以允许的突发数值。 FECN：前向拥塞指示 BECN：后向拥塞指示 ECN：作为Frame-relay的错误校验出现的参数 DE：可抛弃，如果出现DE,那么可以丢弃。