目录
[5.1 直连路由概述](#5.1 直连路由概述)
[5.1.1 直连路由工作原理](#5.1.1 直连路由工作原理)
[5.1.2 直连路由配置](#5.1.2 直连路由配置)
[5.2 直连路由仿真](#5.2 直连路由仿真)
[5.3 静态路由技术](#5.3 静态路由技术)
[5.3.1 静态路由定义](#5.3.1 静态路由定义)
[5.3.2 静态路由工作原理](#5.3.2 静态路由工作原理)
[5.3.3 静态路由配置](#5.3.3 静态路由配置)
[5.3.4 默认路由](#5.3.4 默认路由)
[(1) 默认路由概述](#(1) 默认路由概述)
[(2) 配置默认路由](#(2) 配置默认路由)
[(3) 默认路由应用场合:上网](#(3) 默认路由应用场合:上网)
[5.4 静态路由仿真演示](#5.4 静态路由仿真演示)
[5.5 动态路由技术](#5.5 动态路由技术)
[5.5.1 动态路由概述](#5.5.1 动态路由概述)
[5.5.2 动态路由------RIP](#5.5.2 动态路由——RIP)
[(1)路由信息协议-RIP](#(1)路由信息协议-RIP)
[(2)RIP路由表的更新过程](#(2)RIP路由表的更新过程)
[(3) 基于RIP的路由器工作过程](#(3) 基于RIP的路由器工作过程)
[(4) 配置RIP协议](#(4) 配置RIP协议)
[5.6 动态路由RIP仿真演示](#5.6 动态路由RIP仿真演示)
[5.7 动态路由------OSPF](#5.7 动态路由——OSPF)
[5.7.1 OSPF概述](#5.7.1 OSPF概述)
[5.7.2 OSPF工作原理](#5.7.2 OSPF工作原理)
[5.7.3 OSPF基本操作](#5.7.3 OSPF基本操作)
[5.7.4 OSPF与RIP的比较](#5.7.4 OSPF与RIP的比较)
[5.7.5 OSPF的层次化结构](#5.7.5 OSPF的层次化结构)
[5.7.6 OSPF协议配置](#5.7.6 OSPF协议配置)
[5.8 动态路由OSPF仿真](#5.8 动态路由OSPF仿真)
[5.9 NAT技术](#5.9 NAT技术)
[5.9.1 NAT定义](#5.9.1 NAT定义)
[5.9.2 NAT工作原理](#5.9.2 NAT工作原理)
[5.9.3 NAT专业术语](#5.9.3 NAT专业术语)
[5.9.4 NAT的配置](#5.9.4 NAT的配置)
[5.9.5 静态NAT配置](#5.9.5 静态NAT配置)
[5.9.6 动态NAT配置](#5.9.6 动态NAT配置)
[5.10 动态NAPT](#5.10 动态NAPT)
[5.10.1 动态NAPT定义](#5.10.1 动态NAPT定义)
[5.10.2 动态NAPT工作原理](#5.10.2 动态NAPT工作原理)
[5.10.3 动态NAPT配置](#5.10.3 动态NAPT配置)
[5.10.4 NAT的监视和维护命令](#5.10.4 NAT的监视和维护命令)
[5.11 动态NAPT仿真演示](#5.11 动态NAPT仿真演示)
[5.12 静态NAPT](#5.12 静态NAPT)
[5.12.1 静态NATP概述](#5.12.1 静态NATP概述)
[5.12.2 静态NAPT的工作原理](#5.12.2 静态NAPT的工作原理)
[5.12.3 不同NAT技术适用场合](#5.12.3 不同NAT技术适用场合)
[5.12.4 静态NAPT配置](#5.12.4 静态NAPT配置)
[5.13 静态NAPT仿真演示](#5.13 静态NAPT仿真演示)
[5.14 策略路由](#5.14 策略路由)
[5.14.1 策略路由概述](#5.14.1 策略路由概述)
[5.14.2 策略路由工作原理](#5.14.2 策略路由工作原理)
[5.14.3 策略路由适用环境](#5.14.3 策略路由适用环境)
[5.14.4 策略路由配置步骤](#5.14.4 策略路由配置步骤)
[5.15 访问控制列表ACI技术](#5.15 访问控制列表ACI技术)
[5.15.1 ACL概述](#5.15.1 ACL概述)
[5.15.2 ACL工作原理](#5.15.2 ACL工作原理)
[5.15.3 ACL的规则定义](#5.15.3 ACL的规则定义)
[5.15.4 IP ACL的基本准则](#5.15.4 IP ACL的基本准则)
[5.15.5 ACL分类及定义](#5.15.5 ACL分类及定义)
[5.15.6 标准ACL配置](#5.15.6 标准ACL配置)
[5.15.7 查看ACL的配置](#5.15.7 查看ACL的配置)
[5.15.8 扩展ACL的配置](#5.15.8 扩展ACL的配置)
[5.15.9 ACL配置注意事项](#5.15.9 ACL配置注意事项)
[5.16 ACL技术仿真演示](#5.16 ACL技术仿真演示)
5.1 直连路由概述
- 形成路由表的第一种方式:直连路由
- 直连路由是指由当给路由器连接各直连网络的端口配上IP地址后,路由器的路由表中就产生了相应的直连路由。
- 通常每台可网管路由器都要进行配置
5.1.1 直连路由工作原理
5.1.2 直连路由配置
5.2 直连路由仿真
5.3 静态路由技术
5.3.1 静态路由定义
- 静态路由是指由网络管理员手工配置的路由信息
- 静态路由的特点:单向性
- 静态路由的优点:简单、高效
5.3.2 静态路由工作原理
静态路由设置的重要参数:
- ---是明确目标网段地址;
- 二是明确下一跳地址。
5.3.3 静态路由配置
5.3.4 默认路由
(1) 默认路由概述
- 0.0.0.0/0 可以匹配所有的IP地址,属于最不精确的匹配。
- 默认路由可以看作是静态路由的一种特殊情况:当所有已知路由信息都查不到数据包如何转发时,按缺省路由的信息进行转发
(2) 配置默认路由
router(config)#ip route 0.0.0.0 0.0.0.0[转发路由器的IP地址/本地接口]
(3) 默认路由应用场合:上网
5.4 静态路由仿真演示
5.5 动态路由技术
- 真实网络的动态路由
- 静态路由不具有网络自适应性,因此更多时候我们采用动态路由
5.5.1 动态路由概述
通过定期与邻居交换路由信息,依据动态路由协议算法来更新路由表的具有网络自适应的一种生成路由表的方法。
5.5.2 动态路由------RIP
动态路由进行路由更新和路径优选的关键:动态路由协议算法
(1)路由信息协议-RIP
RIP (Routing Information Protocols,路由信息协议)∶RIP基于距离矢量算法(DistanceVectorAlgorithms),使用"跳数"(即metric)来衡量到达目的网络的路由距离,距离为16,将被认为是可不到达,所以只适用于小型网络。
(2)RIP路由表的更新过程
RIP更新原则:找出到每个目的网络的最短距离
(3) 基于RIP的路由器工作过程
(4) 配置RIP协议
5.6 动态路由RIP仿真演示
5.7 动态路由------OSPF
5.7.1 OSPF概述
- 开放式最短路径优先(Open Shortest Path First ,OSPF)是目前广泛使用的一种动态路由协议,它属于链路状态路由协议,以路径开销最短作为最优路径依据,具有路由变化收敛速度快、无路由环路、支持变长子网掩码(VLSM)和汇总、层次区域划分等优点。
- 工作过程:OSPF协议中,每个路由器负责发现、维护与邻居的关系 ,并将已知的邻居列表和链路费用LSU(Link State Update)报文描述,通过可靠的泛洪与自治系统AS内的其他路由器周期性交互,学习到整个自治系统的网络拓扑结构;并通过自治系统边界的路由器注入其他As的路由信息,从而得到整个Internet的路由信息。每隔一个特定时间或当链路状态发生变化时,重新生成LSA,路由器通过泛洪机制将新LSA通告出去,以便实现路由的实时更新。
5.7.2 OSPF工作原理
5.7.3 OSPF基本操作
5.7.4 OSPF与RIP的比较
5.7.5 OSPF的层次化结构
为了使OSPF能够用于规模很大的网络,OSPF将一个自治系统再划分为若干个更小的范围,叫作区域。OSPF的网络设计要求是层次化的网络结构,OSPF网络有以下两个级别的层次:
- 骨干区域(area 0)
- 非骨干区域
5.7.6 OSPF协议配置
5.8 动态路由OSPF仿真
5.9 NAT技术
5.9.1 NAT定义
- NAT (Network Address Translation)
- 就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为
- 一对一的转换 ,即内部地址池中的一个私有地址转换为外部地址池中的---个公有地址。
5.9.2 NAT工作原理
5.9.3 NAT专业术语
(1)NAT中用到的接口类型
- 内部网络- Inside
- 外部网络- Outside
(2)NAT中常见的术语
- 内部本地地址- Inside Local Address
- 内部全局地址- lnside Global Address
- 外部本地地址- Outside Local Address
- 外部全局地址- Outside Global Address
5.9.4 NAT的配置
(1)静态NAT
- 静态NAT需要向外网络提供信息服务的主机
- 永久的一对一IP地址映射关系
(2)动态NAT
- 只访问外网服务,不提供信息服务的主机
- 最多访问外网主机数决定于全局IP地址数
- 临时的一对---IP地址映射关系
5.9.5 静态NAT配置
5.9.6 动态NAT配置
5.10 动态NAPT
5.10.1 动态NAPT定义
网络地址端口转换NAPT (Network Address Port Translation) ,是把内部地址映射到外部网络的一个IP地址的不同端口 上。它可以将中小型的网络隐藏在一个合法的IP地址后面。
(1)动态NAT
- 一对一的转换
- 内部地址池中的一个私有地址转换为外部地址池中的一个公有地址
(2)动态NAPT
- 多对一的转换
- 内部地址池中的多个私有地址+不同的端口号转换为外部网络中的一个Ip地址+不同的端口号
- 而通常转换成的外部网络中的那个IP地址就是出口路由器与ISP路由器相连的端口IP地址
5.10.2 动态NAPT工作原理
5.10.3 动态NAPT配置
5.10.4 NAT的监视和维护命令
5.11 动态NAPT仿真演示
5.12 静态NAPT
5.12.1 静态NATP概述
(1)定义
静态转换指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一永久对应关系。
(2)应用
可以实现外部网络对内部网络中某些特定设备(如WEB服务器、FTP服务器)的访问。
5.12.2 静态NAPT的工作原理
5.12.3 不同NAT技术适用场合
(1)静态NAT/NAPT
如果内部网络有WWW服务器或FTP服务器等可以为外部用户提供服务,则这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
(2)动态NAT
动态地址转换也是将内部本地地址与内部合法地址一对一地转换,但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。
(3)动态NAPT
- 复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况,这种转换极为有用。
- PAT(Port Address Translation)也称为NAPT,是将多个内部地址映射为一个公网地址 ,但以不同的协议端口号与不同的内部地址相对应 。这种方式常用于拨号上Internet网。
5.12.4 静态NAPT配置
5.13 静态NAPT仿真演示
5.14 策略路由
5.14.1 策略路由概述
- 策略路由,可以看作是一种更为复杂的静态路由,它通过定义路由图,匹配路由图中的策略,让数据包按照匹配的策略条件从指定的出口转发至下一跳路由器。
- 策略路由可以基于源lP、源目标lP对、协议、端口号、长度等参数对数据进行分类,对分类的数据执行转发策略。
5.14.2 策略路由工作原理
(1)路由图Route-map原理
应用策略路由前必须要创建策略路由使用的路由图。一个路由图由很多条策略组成,每个策略都定义了1个或多个的匹配规则和对应操作。
- 类似于复杂的Access-list
- 自顶向下地处理,一旦有一条匹配,则立刻结束route-map查找
- Route-map每个条目都被赋予编号,可以任意地插入或删除条目
(2)策略路由处理
一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何策略的数据包按照通常的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。
5.14.3 策略路由适用环境
(1)校园网(internet网、教育网)
(2)企业网(电信、联通网)
5.14.4 策略路由配置步骤
(1)定义ACL对源地址进行限制
指明要进行策略路由的IP地址段,只对permit。
(2)有效定义路由图及其每个策略的匹配规则或条件
匹配访问控制列表进入指定下一跳
(3)在指定接口中应用策略路由
5.15 访问控制列表ACI技术
5.15.1 ACL概述
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。
访问控制列表被广泛地应用于路由器和三层交换机。借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
访问控制列表的作用:内网布署安全策略,保证内网安全权限的资源访问
内网访问外网时,进行安全的数据过滤
防止常见病毒、木马、攻击对用户的破坏
5.15.2 ACL工作原理
当一个数据包进入路由器的某个接口时,路由器首先检查该数据包是否在入栈接口上应用了ACL,如果有,就按ACL列表规则进行匹配,成功后,执行转发或禁止转发。或者路由器检查出栈接口是否应用了ACL,若应用了,同上面的处理,否则直接转出。
5.15.3 ACL的规则定义
定义访问列表的步骤:
第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)
第二步,将规则应用在路由器(或交换机)的接口上
1.入栈应用(in):经某接口进入设备内部的数据包进行安全规则过滤
2.出栈应用(out):设备从某接口向外发送数据时进行安全规则过滤
一个接口在一个方向只能应用一组访问控制列表
5.15.4 IP ACL的基本准则
一切未被允许的就是禁止的
定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过按规则链来进行匹配
使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配规则匹配原则: 从头到尾,至顶向下的匹配方式
匹配成功马上停止
立刻使用该规则的"允许/拒绝....."
5.15.5 ACL分类及定义
标准访问列表(access-list编号1-99)
根据数据包源IP地址 进行规则定义
如: access-list 10.....
扩展访问列表(access-list编号100-199)
根据数据包中源lP、目的IP、源端口、目的端口、协议、时间 等进行规则定义
如: access-list 101......
命名的访问控制列表
不论是标准还是很扩展的访问列表都可以以列表名称。
如: ip access-list standard < name >........
ip access-list extended {name}
5.15.6 标准ACL配置
5.15.7 查看ACL的配置
5.15.8 扩展ACL的配置
5.15.9 ACL配置注意事项
一个端口在一个方向上只能应用一组ACL
在部署标准ACL时,需要将其放置到距离目标近的位置,否则可能会阻断正常的通信。
锐捷全系列交换机可针对物理接口和SVI接口应用ACL 针对物理接口,只能配置入栈应用(In)
针对sVI(虚拟VLAN)接口,可以配置入栈(In)和出栈(Out)应用
访问列表的缺省规则是:拒绝所有