1、 ACL的一些内容的回顾:
1. 回顾
A 方向
B 访问控制列表ACL不能过滤自己产生的流量
强调:还是一个in的应用和out的应用
C 顺序
一个成功的访问控制列表acl,必须有一个permit语句,因为默认deny
*大家使用名称列表。
D 访问控制列表acl再今后的学习当中应用的方向。她无处不再
试验、out方向的过滤
试验、做一个路由器的vty的过滤
LAN(config)#access-list 1 permit host 2.2.2.2
LAN(config)#line vty 0 4
LAN(config-line)#access-class 1 in 我们用这个东西来过滤对我的路由器的telnet访问
这个时候我们以源地址是2.2.2.2来做一个测试::::
ISP#telnet 1.1.1.1 /source-interface loo0
Trying 1.1.1.1 ... Open
User Access Verification
Password:
实际
中:
必须要过滤vty的访问,不能所有人都可以访问VTy
然后还必须输入:
LAN(config-line)#no transport input 不允许所有的行为通过vty接口访问我的设备
LAN(config-line)#transport input telnet 只允许telnet行为对我的vty接口进行访问。
试验、扩展访问控制列表的应用
1. 过滤icmp[网际(互联网)控制报文(消息)协议]的流量
r1(config)#access-list 101 permit icmp host 199.99.1.50 host 1.1.1.1 只允许源地址是199.99.1.50到目的地址1.1.1.1的icmp的流量
r1(config)#access-list 101deny(拒绝) icmp any any 剩余的icmp都拒绝
r1(config)#access-list 101 permit ip any any 其他的都允许(*****扩展访问控制列表的默认deny语句是deny ip any any)
r1(config)#int f0/0
r1(config-if)#ip access-group 101 in 再接口调用
试验、利用扩展的访问控制列表acl过滤穿越路由器的telnet的访问
r2(config)#access-list 101 deny tcp host 3.3.3.3 host 1.1.1.1 eq 23 端口号
r2(config)#access-list 101 permit ip any any
试验、过滤掉http的访问
r1(config)#access-list 101 permit tcp host 199.99.1.50 any eq 80
r1(config)#access-list 101 permit ip any any
试验、领导要求,拒绝所有的人ping我,但是不拒绝我ping所有人
重点:icmp:echo请求包,echo-reply回应
r1#sh access-list
Extended IP access list 101
10 deny icmp any any echo
20 permit icmp any any
30 permit ip any any
试验、访问控制列表跟log合作
r1(config)#access-list 101 permit icmp any any log
r1(config)#access-list 101 permit tcp any any eq 23 log
r1(config)#access-list 101 permit ip any any
试验、名称列表
r1#sh access-list
Extended IP access list fxh
10 deny icmp any any
15 deny tcp any any eq ftp-data
16 deny tcp any any eq ftp
20 deny tcp any any eq telnet
30 permit ip any any (18 matches)
我建议大家今后使用这个列表。
2、 NAT技术和PAT技术
私有IP地址有一个
,这个叫:RFC1918标准
RFC其实早期就是BBS,她叫做网络问题征解。
10.0.0.0
192.168.0.0
172.16.0.0
共有地址:IANA internet地址管理中心。全世界的各个国家都有一个IP地址范围。
ISP,SP
目前呢,我们上网的人非常多。共有IP地址不够了。
两个解决
:
1. NAT/PAT(把这个私有IP地址转换为共有IP地址,然后出去)
2. IPV6
重点:NAT/PAT看的是内外。
内:inside
外:outside
说白了,就是inside转换为outside
我们把内部的地址叫:内部本地地址 192.168.1.1
外部的地址叫:外部全局地址 202.106.0.20
NAT有一个重伤:
你有多少个内部,就必须对应多少个外部
这种,她一般用在服务器的地址转换。她的速度是非常快。
PAT的优势:
她可以实现多对一。
比如说你有300个私有IP,最终,你申请线路,申请了一个共有IP,那么你需要把300个转换为一个地址。你可以把300个转换为一个地址中的某一个端口。
一个地址拥有65535个端口
1-254 给那些公认的必遵的协议,比如FTP,SMTP,HTTP
256-1023给那些大型的厂商。微软。Cisco
1024-65535 是可以任意使用的。
试验、静态NAT地址转换
gw(config)#int f0/0
gw(config-if)#ip nat inside 定义这个接口为内部
gw(config-if)#int s1/2
gw(config-if)#ip nat outside 定义这个接口为外部
gw(config)#ip nat inside source static 1.1.1.100 202.202.202.1
我要把内部的从inside过来的地址1.1.1.100转换为外部的全局地址202.202.202.1
测试nat的结果:
gw#debug ip nat 开启debug,查看转换后的结果
IP NAT debugging is on
gw#
*Mar 1 00:06:49.791: NAT: expiring 202.202.202.1 (1.1.1.100) icmp 2 (2) 这个提示我们你做的是icmp
gw#
*Mar 1 00:07:00.283: NAT*: s=1.1.1.100->202.202.202.1, d=202.202.202.202 [15] 去包的转换
*Mar 1 00:07:00.299: NAT*: s=202.202.202.202, d=202.202.202.1->1.1.1.100 [15] 回包的转换
gw#clear ip nat translation * 清除NAT的转换表
gw#sh ip nat translations 查看NAT的转换表
Pro Inside global Inside local Outside local Outside global
icmp 202.202.202.2:512 1.1.1.99:512 202.202.202.202:512 202.202.202.202:512
--- 202.202.202.2 1.1.1.99 --- ---
gw#sh ip nat statistics 查询nat的状态
Total active translations: 2 (1 static, 1 dynamic; 1 extended)
Outside interfaces:
Serial1/2
Inside interfaces:
FastEthernet0/0
Hits: 21 Misses: 7
CEF Translated packets: 28, CEF Punted packets: 0
Expired translations: 5
Dynamic mappings:
Queued Packets: 0
试验、动态NAT的转换
拓扑还是原来的拓扑
动态NAT的意义在于,你的外部地址有多个。比如说有8个。
gw(config)#ip nat pool fxh 202.202.202.2 202.202.202.6 netmask 255.255.255.0 建立一个地址池叫fxh,这个池中包含的地址是转换后的地址。也就是外部地址
gw(config)#ip access-list standard fxh 她过滤的是内部的地址,待转换地址
gw(config-std-nacl)#permit ip any
gw(config)#ip nat inside source list fxh pool fxh
我们把从acl过滤的源地址,转换为刚才建立的地址池pool。
试验、利用动态的NAT建立一个转换项目
1.1.1.100 转换的地址是202.202.202.2
1.1.1.99 转换为地址是202.202.202.3
1.1.1.98 转换为地址是202.202.202.4
1.1.1.97 转换为202.202.202.5
步骤:
gw#sh access-list 利用acl来过滤每一个地址
Standard IP access list 1
10 permit 1.1.1.100
Standard IP access list 2
10 permit 1.1.1.99
Standard IP access list 3
10 permit 1.1.1.98
Standard IP access list 4
10 permit 1.1.1.97
gw(config)#ip nat pool nat-1 202.202.202.2 202.202.202.2 net 255.255.255.0
gw(config)#ip nat pool nat-2 202.202.202.3 202.202.202.3 net 255.255.255.0
gw(config)#ip nat pool nat-3 202.202.202.4 202.202.202.4 net 255.255.255.0
gw(config)#ip nat pool nat-4 202.202.202.5 202.202.202.5 net 255.255.255.0
gw(config)#ip nat inside sou list 1 pool nat-1
gw(config)#ip nat inside sou list 2 pool nat-2
gw(config)#ip nat inside sou list 3 pool nat-3
gw(config)#ip nat inside sou list 4 pool nat-4
试验、PAT的转换
拓扑还是原来的拓扑
gw(config)#ip access-list standard fxh 利用这个访问控制列表来定义那些源被转换
gw(config-std-nacl)#per any 所有的源地址都需要被转换
gw(config)#ip nat inside source list fxh interface s1/2 overload
从访问控制列表fxh过来的源流量都被转换S1/2接口地址的某一个端口。
验证PAT
gw#debug ip nat detailed
IP NAT detailed debugging is on
gw#sh ip nat statistics
Total active translations: 1 (0 static, 1 dynamic; 1 extended)
Outside interfaces:
Serial1/2
Inside interfaces:
FastEthernet0/0
Hits: 22 Misses: 4
CEF Translated packets: 22, CEF Punted packets: 7
Expired translations: 4
Dynamic mappings:
-- Inside Source
[Id: 1] access-list fxh interface Serial1/2 refcount 1
[0] prot 6: port #7 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #9 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #11 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #13 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #19 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #21 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #23 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #79 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #80 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #113 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #179 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #512 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #513 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #514 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #515 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #544 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1718 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1719 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1720 refcount 2 syscount 2 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1973 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1976 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1977 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1978 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1979 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1980 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1981 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1982 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1983 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1984 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1987 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1988 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1989 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1990 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1991 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1992 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1994 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #1996 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #2065 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #2067 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #5060 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
[0] prot 6: port #10000 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.0.0, flags 1
Queued Packets: 0
gw#sh ip nat translations 查询pat的转换表
Pro Inside global Inside local Outside local Outside global
tcp 202.202.202.1:64315 1.1.1.100:64315 202.202.202.202:23 202.202.202.202:23
试验、NAT和PAT的合作
我们需要让一部分流量走NAT,让一部分流量走PAT
我们需要让地址1.1.1.100走nat,让地址1.1.1.99走PAT
gw(config)#ip access-list standard NAT
gw(config-std-nacl)#per host 1.1.1.100
gw(config)#ip access-list standard PAT
gw(config-std-nacl)#per host 1.1.1.99
gw(config)#ip nat pool NAT-POOL 202.202.202.2 202.202.202.2 net 255.255.255.0
构建了一个nat的pool名字叫NAT-POOL
gw(config)#ip nat inside source list NAT pool NAT-POOL 上面定义了NAT
gw(config)#ip nat inside sou list PAT inter s1/2 over 下面定义了PAT
将来大家也可以尝试这么去测试一下,如果你们公司有两个公网IP,你可以尝试让一个网段走其中一个,让另外一个网段走另外一个,都操作成PAT。
3、 广域网技术
今后我们经常的会遇到一个问题,就是客户需要将很多地方的公司通过WAN来互联,那么我们就需要申请专线了,那么有那些专线的模式,申请后,如何安装,都需要什么样的设备和配置有那些不同!????
1. 术语
1、客户端设备(customer premises equipment,CPE):物理上在用户侧的设备,包括属于用户的设备和服务提供商放在用户端的设备。
2、分界点(demarcation point):在CPE的末端,本地环路设备起始的部分;可以位于电信机房,也可以是建筑物的所在地(POP点),由电信公司所拥有。
3、本地回路(local loop):也可以叫做“最后一公里“。从分界点到服务提供商的中心局的电缆(铜缆或光纤)。
4、CO交换机:到最近WAN服务的交换设备。
5、长途网络(toll network):WAN供应商云图中成组的交换机和设备(中继)。呼叫者的流量经过中继到达第一个中心,然后去其他地区或者是国外的通信中心,经过长途传输到达目的地。
2. 看图说话
3. 各种技术的封装模式
A 专线:
HDLC
PPP
SDH 同步光网络
DWDM
B 拨号
PPP
C 包交换
X.25 老的,银行用
Frame-relay 帧中继
ATM 异步传输
1、帧中继(frame relay):一种分组交换的技术、高性能、运行在OSI的最下2层即物理层和数据链路层。它其实是X.25技术的简化版本,省略了X.25技术的一些功能比如窗口技术和数据重发功能;这是因为帧中继工作在性能更好的WAN设备上,而且它比X.25有更好的传输效率,速度可以从64Kbps达到T3的45Mbps.它还提供带宽的动态分配和拥塞控制功能
2、ISDN(综合业务数字网络):是一种在已有的电话线路上传输语音和数据等数字服务。如果你对那种传统的拨号(dial-up)上网的速度感到不满的时候,你可以使用ISDN的方式。ISDN也可作为比如帧中继或者T1连接的备份连接;目前基本处于被xDSL和CABLE(电缆)等高速接入技术所淘汰的边缘。
3、平衡链路访问过程(Link Access Procedure, Balanced, LAPB):工作在OSI参考模型的数据链路层,是一种面向连接的协议;一般和X.25技术结合到一起进行数据传输.因为它有严格的窗口和超时功能,所以使得代价很高。
4、高级数据链路控制(High-Level Data-Link Control , HDLC):这个是由IBM创建的同步数据链路控制(Synchronous Data Link Control, SDLC)衍生而来的。工作在OSI参考模型的数据链路层;相比LAPB来说,HDLC成本较低;HDLC不会把多种网络层的协议封装在同一个连接上。各个厂商的HDLC都有他自己鉴定网络层协议的方式,所以各个厂商的HDLC是不同的,私有化的;目前使用的并不广泛,但在CISCO的设备中是串行接口的默认封装
。
5、点对点协议(Point-to-Point Protocol,PPP):一种工业标准(industry-standard)协议。因为各个厂商的HDLC私有,所以PPP可以用在不同厂商的设备之间的连接。PPP使用网络控制协议(Network Control Protocol, NCP)来验证上层的OSI参考模型的网络层协议。
6、异步传输模式(Asynchronous Transfer Mode, ATM):国际电信联盟电信标准委员会(ITU-T)制定的信元(cell)中继标准。ATM使用固定长度的53字节长的信元方式进行传输,ATM网络是面向连接的。随着城域以太网的快速发展,ATM最终将被以太技术所取代。
4、 PPP协议
PPP既支持同步,也支持异步
高级数据链路控制HDLC只支持同步。
他们都是链路封装协议
PPP协议分为两层:
LCP:链路控制协议,作用是做链路验证的,比如我们拨号弹出的密码用户名对话框,那个就是LCP来控制的
NCP:网络控制协议,他是一个管理控制的责任,她协调与上层的关系。
试验、PAP的ppp协议
r1(config)#username cisco password cisco
r1(config)#int s1/0
r1(config-if)#encapsulation ppp
r1(config-if)#ppp authentication pap
r1(config-if)#ppp pap sent-username cisco password cisco
查询
r2#sh int s1/0
Serial1/0 is up, line protocol is up
Hardware is M4T
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open 表明验证成功
Open: CDPCP, crc 16, loopback not set
Keepalive set (10 sec)
5、 帧中继 frame-relay
她是包交换的一种,她是链路层封装协议,她不支持加密
1. 帧中继的术语
LMI:本地管理接口,这个东西是管理本地路由器跟局端交换机之间的状态一个东西。
PVC:永久虚链路,因为我们知道,包交换他们之间建立的链路是虚链路,你用也可以,她用也可以。每次使用的链路不一定相同。
SVC:动态虚链路
LAR:本地接入速率(每个帧中继接口可以传输的最大带宽)
DLCI:数据链路连接标识,这个是重点,我们利用她来映射IP地址,因为核心中的帧中继交换机不能够识别IP,但是她转发的是DLCI,这个是一个号码,我们可以利用她来映射我们的IP。IARP(dlci-map-ip),ARP,RARP。
CIR: 承诺信息速率(正常情况下,帧中继网络传输数据的速率,它是在最小单位时间内的传输数据平均值,单位为bps)
这个是电信公司承诺我们的一个速率。但是实际速率并没有到这么高。
Bc:承诺突发量
Be:允许超过突发量,可以允许的突发数值。
FECN:前向拥塞指示
BECN:后向拥塞指示
ECN:作为Frame-relay的错误校验出现的参数
DE:可抛弃
,如果出现DE,那么可以丢弃。