網(wǎng)絡(luò)技術(shù)基礎(chǔ)篇

網(wǎng)絡(luò)技術(shù)基礎(chǔ)篇熊煒目標(biāo)網(wǎng)絡(luò)傳輸介質(zhì)二層交換技術(shù)路由技術(shù)三層交換技術(shù)安全技術(shù)園區(qū)網(wǎng)絡(luò)搭建方案課程議題網(wǎng)絡(luò)傳輸介質(zhì)

網(wǎng)絡(luò)傳輸介質(zhì)-雙絞線線序標(biāo)準(zhǔn)：568A白綠、綠、白橙、蘭、白蘭、橙、白棕、棕568B白橙、橙、白綠、蘭、白蘭、綠、白棕、棕線纜種類交叉線相同設(shè)備類型接口使用交叉線直連線不同設(shè)備類型接口使用直連線有效線纜長度100米智能MDI/MDIX不需要知道電纜另一端為MDI還是MDIX設(shè)備兩種電纜（普通、交叉）都可連接交換機(jī)、集線器或NIC設(shè)備。消除由于電纜配錯(cuò)引起的連接錯(cuò)誤簡(jiǎn)化10/100M網(wǎng)絡(luò)安裝維護(hù)，降低開銷。光纖中心是光傳播的玻璃芯芯外面包圍著一層折射率比芯低的玻璃封套，以使光纖保持在芯內(nèi)。再外面的是一層薄的塑料外套，用來保護(hù)封套。光纖分為單模光纖和多模光纖光柱保護(hù)層核心線纜保護(hù)層光線結(jié)構(gòu)示意圖網(wǎng)絡(luò)傳輸介質(zhì)-光纖網(wǎng)絡(luò)傳輸介質(zhì)-光纖FC－PC型光尾纖接頭外形圖SC－PC型光尾纖接頭外形圖ST-PC型光尾纖接頭外形圖FC/PC－SC/PC型光尾纖外形圖網(wǎng)絡(luò)傳輸介質(zhì)續(xù)常見介質(zhì)型號(hào)型號(hào)代表的傳輸介質(zhì)10Base2細(xì)同軸電纜10Base5粗同軸電纜10BaseT雙絞線100BaseTX5類以上雙絞線100BaseFX單模、多模光纖1000BaseTX超5類以上雙絞線1000BaseSX短波多模光纖1000BaseLX長波單、多模光纖課程議題物理層互聯(lián)設(shè)備

共享式以太網(wǎng)工作機(jī)制CSMA/CD：載波偵聽、多路訪問、沖突檢測(cè)聽當(dāng)PCA要發(fā)一個(gè)數(shù)據(jù)包給PCD的時(shí)候,首先PCA要先聽HUB的鏈路上是否有數(shù)據(jù)在跑,如果有那么PCA等待,如果沒有那么PCA將數(shù)據(jù)包發(fā)出.這樣的做法是由于HUB上的鏈路是共享的,所以采用了發(fā)數(shù)據(jù)包之前先進(jìn)行沖突檢測(cè)的方法,那么我們稱為CSMA/CD.PCAPCBPCCPCD空閑數(shù)據(jù)聽數(shù)據(jù)現(xiàn)在的情況是PCA和PCC都要發(fā)數(shù)據(jù),但是兩人剛才都檢測(cè)到HUB上是空閑的.那么兩人都發(fā).結(jié)果發(fā)生了沖突.兩人都同時(shí)啟動(dòng)BACKOFF動(dòng)作.隨機(jī)的生成一個(gè)秒數(shù),再發(fā)數(shù)據(jù)包.如果再與其他PC發(fā)送的數(shù)據(jù)包沖突.那么再次BACKOFF,BACKOFF一共可進(jìn)行15次.PCAPCBPCCPCD沖突聽數(shù)據(jù)隨機(jī)秒數(shù)物理層設(shè)備—集線器沖突域功能負(fù)責(zé)在兩個(gè)節(jié)點(diǎn)的物理層上按比特傳遞信息，完成信號(hào)的整形、放大和復(fù)制功能，以此來延長網(wǎng)絡(luò)的長度。特點(diǎn)：所有用戶共享10M帶寬任何用戶發(fā)送數(shù)據(jù)時(shí)，所有用戶都可以接收到在某一時(shí)刻只允許一個(gè)用戶傳輸數(shù)據(jù)物理層設(shè)備-集線器課程議題網(wǎng)絡(luò)技術(shù)基本原理

以太網(wǎng)交換機(jī)（二層交換技術(shù)）特點(diǎn)以太網(wǎng)交換機(jī)是一種具有簡(jiǎn)化、低價(jià)、高性能和高端口密集特點(diǎn)的網(wǎng)絡(luò)產(chǎn)品。 二層交換機(jī)屬數(shù)據(jù)鏈路層設(shè)備，可以識(shí)別數(shù)據(jù)包中的MAC地址信息，根據(jù)MAC地址進(jìn)行轉(zhuǎn)發(fā)，并將這些MAC地址與對(duì)應(yīng)的端口記錄在自己內(nèi)部的一個(gè)地址表中。交換機(jī)MAC地址表學(xué)習(xí)（一）MAC地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444F0/1F0/3F0/2F0/4ACBD交換機(jī)初始化時(shí)MAC地址表是空的。交換機(jī)MAC地址表學(xué)習(xí)（二）MAC地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444F0/1:0260.8c01.1111F0/1F0/3F0/2F0/4ACBD主機(jī)之間互相發(fā)送數(shù)據(jù)，交換機(jī)會(huì)學(xué)習(xí)數(shù)據(jù)幀的源MAC地址。交換機(jī)幀轉(zhuǎn)發(fā)原理（一）已知單播幀過濾操作FilteringF0/1:0260.8c01.1111F0/2:0260.8c01.2222F0/3:0260.8c01.3333F0/4:0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444XXMAC地址表F0/1F0/3F0/2F0/4ACBD交換機(jī)幀轉(zhuǎn)發(fā)原理（二）未知單播幀，廣播幀：執(zhí)行廣播操作Flooding(泛洪)0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444F0/1F0/3F0/2F0/4F0/1:0260.8c01.1111F0/2:0260.8c01.2222F0/3:0260.8c01.3333F0/4:0260.8c01.4444MAC地址表ACBD沖突域與廣播域1234四個(gè)沖突域、一個(gè)廣播域交換機(jī)互連方式級(jí)聯(lián)：交換機(jī)之間利用以太網(wǎng)接口連接起來擴(kuò)展網(wǎng)絡(luò)范圍單鏈路帶寬瓶頸延時(shí)大堆疊:通過堆疊線纜將交換機(jī)的背板連接起來，擴(kuò)大級(jí)聯(lián)帶寬堆疊線纜短（1米）解決帶寬瓶頸（單鏈路1G或更大）延時(shí)小統(tǒng)一管理堆疊－菊花鏈鏈路帶寬1G銳捷交換機(jī)支持最多8臺(tái)交換機(jī)堆疊堆疊-主從式鏈路帶寬2.66G課程議題路由技術(shù)

什么是路由選擇一個(gè)將數(shù)據(jù)包發(fā)往某個(gè)目標(biāo)網(wǎng)段或主機(jī)的路徑就是路由的過程。路由器的功能作用實(shí)現(xiàn)不同IP網(wǎng)段主機(jī)間的相互訪問實(shí)現(xiàn)不同通信協(xié)議網(wǎng)段主機(jī)間的相互訪問不轉(zhuǎn)發(fā)廣播數(shù)據(jù)包功能基于IP地址的尋徑和轉(zhuǎn)發(fā)不同通信協(xié)議的轉(zhuǎn)換特定IP數(shù)據(jù)包的分片和重組路由器轉(zhuǎn)發(fā)數(shù)據(jù)過程1、路由器從接口收到數(shù)據(jù)包，讀取數(shù)據(jù)包里的目的IP地址2、根據(jù)目的IP地址信息查找路由表進(jìn)行匹配3、匹配成功后，按照路由表中轉(zhuǎn)發(fā)信息進(jìn)行轉(zhuǎn)發(fā)4、匹配失敗，將數(shù)據(jù)包丟棄，并向源發(fā)送方反回錯(cuò)誤信息報(bào)文Packet路由表目的網(wǎng)段轉(zhuǎn)發(fā)方式從F1口發(fā)出從F2口發(fā)出交給B路由表的產(chǎn)生方式----直連路由路由器會(huì)自動(dòng)生成本路由器激活端口所在網(wǎng)段的路由條目路由表的產(chǎn)生方式----靜態(tài)路由在簡(jiǎn)單拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)里，網(wǎng)絡(luò)管理員手動(dòng)輸入路由條目。路由表產(chǎn)生的方式----動(dòng)態(tài)路由動(dòng)態(tài)路由協(xié)議學(xué)習(xí)到的路由在大型網(wǎng)絡(luò)環(huán)境下，依靠路由協(xié)議比如OSPF、RIP路由協(xié)議學(xué)習(xí)課程議題路由器的管理方式路由器的管理方式帶外管理通過帶外對(duì)路由器進(jìn)行管理(PC與路由器直接相連)帶內(nèi)管理通過Telnet對(duì)路由器進(jìn)行遠(yuǎn)程管理通過Web對(duì)路由器進(jìn)行遠(yuǎn)程管理通過SNMP工作站對(duì)路由器進(jìn)行遠(yuǎn)程管理Console口及配置線纜RJ45-DB9轉(zhuǎn)換器＋反轉(zhuǎn)線纜DB9-RJ45線纜Console口(RJ45)AUX口（連接撥號(hào)網(wǎng)絡(luò)）帶外路由器配置連線利用配置線將主機(jī)的COM口和路由器的console口相連打開超級(jí)終端從開始-〉程序-〉附件-〉通訊-〉超級(jí)終端打開超級(jí)終端程序配置超級(jí)終端為連接命名選擇合適的COM口配置正確的參數(shù)TELNET管理路由器在主機(jī)DOS命令行下輸入：telnetipaddress（路由器管理IP）TELNET管理路由器續(xù)輸入telnet密碼和特權(quán)密碼即可進(jìn)入到路由器的配置界面基于WEB的管理

在web頁面中輸入路由器的管理IP可以進(jìn)入路由器的web管理頁面基于WEB的管理

在web頁面下對(duì)路由器進(jìn)行管理課程議題路由器的基本配置路由器配置模式配置模式提示符進(jìn)入命令用戶模式Router>特權(quán)模式Router#enable全局模式Router(config)#configureterminal線路配置模式Router(config-line)#vty04路由配置模式Router(config-router)#routerrip接口配置模式Router(config-if)#Interfacef1/1路由器上配置telnet第一步:配置端口地址RouterA#configureterminal！進(jìn)入全局配置模式RouterA(config)#interfacefastethernet1/0！進(jìn)入路由器接口配置模式RouterA(config-if)#ipaddress！配置路由器管理接口IP地址RouterA(config-if)#noshutdown！開啟路由器f1/0接口路由器上配置telnet第二步：配置遠(yuǎn)程登錄密碼RouterA(config)#linevty04！進(jìn)入路由器線路配置模式RouterA(config-line)#login！配置遠(yuǎn)程登錄RouterA(config-line)#passwordstar！設(shè)置路由器遠(yuǎn)程登錄密碼為“star”RouterA(config-line)#end第三步：配置路由器特權(quán)模式密碼RouterA(config)#enablesecretstar！設(shè)置路由器特權(quán)模式密碼為“star”

或者

RouterA(config)#enablepasswordstar路由器配置文件的管理查看配置文件showversion！查看版本及引導(dǎo)信息showrunning-config！查看運(yùn)行配置showstartup-config！查看用戶保存在NVRAM中的配置文件保存配置文件Router#copyrunning-configstartup-configRouter#writememoryRouter#write刪除配置文件Router#deleteflash:config.text！刪除初始配置文件課程議題路由原理路由信息 路由信息源,可到達(dá)路徑,最佳路徑F1/0S1/2信息源目的網(wǎng)絡(luò)轉(zhuǎn)發(fā)接口直連F1/0學(xué)習(xí)獲得S1/2路由信息查看路由信息router#showiprouteCodes:C-connected，S–static，R–RIP，O-OSPFIA-OSPFinterarea，E1-OSPFexternaltype1E2-OSPFexternaltype2，*-candidatedefaultGatewayoflastresortistonetwork /24issubnetted,1subnetsC isdirectlyconnected,serial1/2OE2/16[110/20]via,01:03:01,Serial1/2S*/0[1/0]via路由信息O --路由信息的來源(OSPF) --目標(biāo)網(wǎng)絡(luò)（或子網(wǎng)）[110 --管理距離(路由的可信度)/20] --度量值(路由的可到達(dá)性)via --下一跳地址(下個(gè)路由器)00:00:23 --路由的存活的時(shí)間(時(shí)分秒)Serial1/2 --出站接口O [110/20]via,00:00:23,Serial1/2管理距離(可信度)管理距離可以用來選擇采用哪個(gè)IP路由協(xié)議管理距離值越低，學(xué)到的路由越可信靜態(tài)配置路由優(yōu)先于動(dòng)態(tài)協(xié)議學(xué)到的路由采用復(fù)雜量度的路由協(xié)議優(yōu)先于簡(jiǎn)單量度的路由協(xié)議Connectedinterface0Staticrouteoutaninterface 0Staticroutetoanexthop 1ExternalBGP 20OSPF 110IS-IS 115RIPv1,v2 120InternalBGP 200Unknown 255路由源缺省管理距離路由決策原則最長匹配例：/8和/16根據(jù)路由的管理距離：管理距離越小，路由越優(yōu)先例：S/8和R/8管理距離一樣，就比較路由的度量值(metric)，越小越優(yōu)先例：S/8[1/20]和S/8[1/40]課程議題直連路由直連路由定義路由器能夠自動(dòng)產(chǎn)生激活端口IP所在網(wǎng)段的直連路由信息路由器的每個(gè)接口都必須單獨(dú)占用一個(gè)網(wǎng)段F1/0F1/1S1/2目標(biāo)網(wǎng)段出口CFastethernet1/0CSerial1/2CFastethernet1/1課程議題靜態(tài)路由靜態(tài)路由靜態(tài)路由概述靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息靜態(tài)路由除了具有簡(jiǎn)單、高效、可靠的優(yōu)點(diǎn)外，它的另一個(gè)好處是網(wǎng)絡(luò)安全保密性高靜態(tài)路由是手動(dòng)添加路由信息要去往某網(wǎng)段該如何走靜態(tài)路由

S1/2BABS1/2F1/0F1/0RACF1/0CS1/2RBCF1/0CS1/2RA去往？手工添加告訴路由器去往走S1/2接口這條路SS1/2RB去往？手工添加告訴路由器去往走S1/2接口這條路SS1/2配置靜態(tài)路由步驟靜態(tài)路由的一般配置步驟1.為路由器每個(gè)接口配置IP地址2.確定本路由器有哪些直連網(wǎng)段的路由信息3.確定網(wǎng)絡(luò)中有哪些屬于本路由器的非直連網(wǎng)段4.添加本路由器的非直連網(wǎng)段相關(guān)的路由信息靜態(tài)路由配置靜態(tài)路由配置命令配置靜態(tài)路由用命令iprouterouter(config)#iproute[網(wǎng)絡(luò)編號(hào)][子網(wǎng)掩碼][轉(zhuǎn)發(fā)路由器的IP地址/本地接口]例：iprouteserial1/2例：iproute靜態(tài)路由描述轉(zhuǎn)發(fā)路徑的方式有兩種指向本地接口（即從本地某接口發(fā)出）指向下一跳路由器直連接口的IP地址（即將數(shù)據(jù)包交給X.X.X.X）靜態(tài)路由配置實(shí)例routerA(config)#iproute

或

routerA(config)#iprouteserial1/2S1/2網(wǎng)絡(luò)BAB默認(rèn)路由默認(rèn)路由概述/0可以匹配所有的IP地址，屬于最不精確的匹配默認(rèn)路由可以看作是靜態(tài)路由的一種特殊情況當(dāng)所有已知路由信息都查不到數(shù)據(jù)包如何轉(zhuǎn)發(fā)時(shí)，按缺省路由的信息進(jìn)行轉(zhuǎn)發(fā)配置默認(rèn)路由：router(config)#iproute[轉(zhuǎn)發(fā)路由器的IP地址/本地接口]缺省路由routerB(config)#iprouteInternet上大約99.99%的路由器上都存在一條缺省路由!SOB互聯(lián)網(wǎng)AB課程議題三層交換機(jī)技術(shù)

三層交換概念VLAN的默認(rèn)設(shè)置是VLAN之間不允許通訊的，要想實(shí)現(xiàn)VLAN間的通訊，必須使用路由器，但是路由器是三層設(shè)備，不僅僅涉及到硬件設(shè)計(jì)還有其中的軟件設(shè)計(jì)，因此價(jià)格昂貴，而且路由器要把每一個(gè)數(shù)據(jù)包的目的地址與自己的路由表項(xiàng)對(duì)比來決定數(shù)據(jù)包的去向，處理速度十分緩慢（相對(duì)于LAN的速度來說），要在大型的網(wǎng)絡(luò)核心里使用路由器來進(jìn)行VLAN的數(shù)據(jù)交換會(huì)使整個(gè)網(wǎng)絡(luò)的效率大打折扣，于是人們將交換機(jī)的快速交換能力和路由器的路由尋址能力能力起來，出現(xiàn)的三層交換的概念三層交換概念簡(jiǎn)單地說，三層交換技術(shù)就是：二層交換技術(shù)＋三層轉(zhuǎn)發(fā)技術(shù)。它解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進(jìn)行管理的局面，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。三層交換概念三層交換（也稱多層交換技術(shù)，或IP交換技術(shù)）是相對(duì)于傳統(tǒng)交換概念而提出的。眾所周知，傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第二層――數(shù)據(jù)鏈路層進(jìn)行操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。三層交換原理一個(gè)具有三層交換功能的設(shè)備，是一個(gè)帶有第三層路由功能的交換機(jī)，是交換和路由原理的的有機(jī)結(jié)合，并不是簡(jiǎn)單地把路由器設(shè)備的硬件及軟件疊加在局域網(wǎng)交換機(jī)上。三層交換原理假設(shè)兩個(gè)使用IP協(xié)議的主機(jī)A、B通過第三層交換機(jī)進(jìn)行通信，發(fā)送主機(jī)A在開始發(fā)送時(shí)，把自己的IP地址與B主機(jī)的IP地址比較，判斷B主機(jī)是否與自己在同一子網(wǎng)內(nèi)。若B與A在同一子網(wǎng)內(nèi)，則進(jìn)行二層的轉(zhuǎn)發(fā)。三層交換概念若兩個(gè)主機(jī)不在同一子網(wǎng)內(nèi)，如A要與目的主機(jī)B通信，發(fā)送主機(jī)A要向“缺省網(wǎng)關(guān)”發(fā)出ARP(地址解析)封包，而“缺省網(wǎng)關(guān)”的IP地址其實(shí)是三層交換機(jī)的三層交換模塊。當(dāng)發(fā)送主機(jī)A對(duì)“缺省網(wǎng)關(guān)”的IP地址廣播出一個(gè)ARP請(qǐng)求時(shí)，網(wǎng)關(guān)將自己的MAC地址發(fā)給A，然后A將數(shù)據(jù)發(fā)給網(wǎng)關(guān)，網(wǎng)關(guān)根據(jù)數(shù)據(jù)包的目的地址進(jìn)行路由，之后轉(zhuǎn)發(fā)給B。三層交換原理經(jīng)過第一次路由，交換機(jī)會(huì)學(xué)習(xí)到A和B的ip地址和MAC地址寫入自己的ip主機(jī)列表和MAC地址表，當(dāng)A繼續(xù)給B發(fā)送數(shù)據(jù)時(shí)，交換機(jī)對(duì)數(shù)據(jù)進(jìn)行讀取之后根據(jù)ip主機(jī)列表進(jìn)行轉(zhuǎn)發(fā)。三層交換分類三層交換機(jī)可以根據(jù)其處理數(shù)據(jù)的不同而分為純硬件和純軟件兩大類。三層交換分類純硬件的三層技術(shù)相對(duì)來說技術(shù)復(fù)雜，成本高，但是速度快，性能好，負(fù)載能力強(qiáng)。其原理是，采用ASIC芯片，采用硬件的方式進(jìn)行路由表的查找和刷新。三層交換分類基于軟件的三層交換機(jī)技術(shù)較簡(jiǎn)單，但速度較慢，不適合作為主干。其原理是，采用CPU用軟件的方式查找路由表。三層交換機(jī)總結(jié)在邏輯上三層交換和路由是等同的，三層交換的過程就是IP報(bào)文選路的過程。三層交換機(jī)與路由器在轉(zhuǎn)發(fā)操作上的主要區(qū)別在于其實(shí)現(xiàn)的方式：三層交換機(jī)通過硬件實(shí)現(xiàn)查找和轉(zhuǎn)發(fā)傳統(tǒng)路由器通過微處理器上運(yùn)行的軟件實(shí)現(xiàn)查找和轉(zhuǎn)發(fā)三層交換機(jī)的轉(zhuǎn)發(fā)路由表與路由器一樣，需要軟件通過路由協(xié)議來建立和維護(hù)課程議題NAT技術(shù)

什么時(shí)候使用NAT局域網(wǎng)與Internet互聯(lián)時(shí)，需要使用NAT技術(shù)代理服務(wù)器proxy、ISA、ICS、wingate、sysgate等NAT/NAPT(網(wǎng)絡(luò)地址轉(zhuǎn)換/網(wǎng)絡(luò)地址端口轉(zhuǎn)換)路由器、防火墻、核心交換機(jī)、服務(wù)器常見實(shí)現(xiàn)方式NAT/NAPT帶來的好處解決地址空間不足的問題；IPv4的空間已經(jīng)嚴(yán)重不足私有IP地址網(wǎng)絡(luò)與公網(wǎng)互聯(lián)；/8，/12，/16非注冊(cè)IP地址網(wǎng)絡(luò)與公網(wǎng)互聯(lián)；建網(wǎng)時(shí)分配了全局IP地址－但沒注冊(cè)網(wǎng)絡(luò)改造中，避免更改地址帶來的風(fēng)險(xiǎn)什么是NAT/NAPT概念：NAT就是將網(wǎng)絡(luò)地址從一個(gè)地址空間轉(zhuǎn)換到另外一個(gè)地址空間的一個(gè)行為NAT的類型NAT（NetworkAddressTranslation）轉(zhuǎn)換后，一個(gè)本地IP地址對(duì)應(yīng)一個(gè)全局IP地址NAPT（NetworkAddressPortTranslation）轉(zhuǎn)換后，多個(gè)本地地址對(duì)應(yīng)一個(gè)全局IP地址NAT/NAPT的術(shù)語NAT中用到的接口類型：內(nèi)部網(wǎng)絡(luò)－Inside外部網(wǎng)絡(luò)－OutsideNAT中常見的術(shù)語：內(nèi)部本地地址－InsideLocalAddress內(nèi)部全局地址－InsideGlobalAddress外部本地地址－OutsideLocalAddress外部全局地址－OutsideGlobalAddress互聯(lián)網(wǎng)OutsideInside企業(yè)內(nèi)部網(wǎng)外部網(wǎng)NAT工作原理/24/24內(nèi)部本地地址內(nèi)部全局地址源IP:目的IP:源IP:目的IP:源IP:目的IP:源IP:目的IP:源IP:目的IP:源IP:目的IP:NAPT工作原理/24源IP::1024目的IP::80內(nèi)部本地地址：端口內(nèi)部全局地址:端口外部全局地址:端口:1024:1024：80:1136:1136：80源IP::1024目的IP::80源IP::80目的IP::1024源IP::80目的IP::1024Web服務(wù)源IP::1024目的IP::80源IP::80目的IP::1024使用NAPT的情況在以下幾種情況下，需要使用NAPT技術(shù)：缺乏全局IP地址,甚至沒有專門申請(qǐng)的全局IP地址，只有一個(gè)連接ISP的全局IP地址內(nèi)部網(wǎng)要求上網(wǎng)的主機(jī)數(shù)很多提高內(nèi)網(wǎng)的安全性NAT/NAPT的配置NAT/NAPT的配置有兩種靜態(tài)NAT/NAPT動(dòng)態(tài)NAT/NAPT靜態(tài)NAT/NAPT需要向外網(wǎng)絡(luò)提供信息服務(wù)的主機(jī)永久的一對(duì)一IP地址映射關(guān)系動(dòng)態(tài)NAT/NAPT只訪問外網(wǎng)服務(wù)，不提供信息服務(wù)的主機(jī)內(nèi)部主機(jī)數(shù)可以大于全局IP地址數(shù)最多訪問外網(wǎng)主機(jī)數(shù)決定于全局IP地址數(shù)臨時(shí)的一對(duì)一IP地址映射關(guān)系靜態(tài)NAT配置步驟1、定義內(nèi)網(wǎng)接口和外網(wǎng)接口Router(config)#interfacefastethernet1/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1/1Router(config-if)#ipnatinside2、建立靜態(tài)的映射關(guān)系Router(config)#ipnatinsidesourcestatic靜態(tài)NAPT1、定義內(nèi)網(wǎng)接口和外網(wǎng)接口Router(config)#interfacefastethernet0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1Router(config-if)#ipnatinside2、建立靜態(tài)的映射關(guān)系Router(config)#ipnatinsidesourcestatictcp10241024Router(config)#ipnatinsidesourcestaticudp10241024動(dòng)態(tài)NAT配置1、定義內(nèi)網(wǎng)接口和外網(wǎng)接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定義內(nèi)部本地地址范圍Router(config)#access-list10permit553、定義內(nèi)部全局地址池Router(config)#ipnatpoolabc0netmask4、建立映射關(guān)系Router(config)#ipnatinsidesourcelist10poolabc動(dòng)態(tài)NAPT配置1、定義內(nèi)網(wǎng)接口和外網(wǎng)接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定義內(nèi)部本地地址范圍Router(config)#access-list10permit553、定義內(nèi)部全局地址池Router(config)#ipnatpoolabcnetmask4、建立映射關(guān)系Router(config)#ipnatinsidesourcelist10poolabcoverload課程議題安全技術(shù)

VPN虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測(cè)交換機(jī)端口安全利用交換機(jī)的端口安全功能實(shí)現(xiàn)防止局域網(wǎng)大部分的內(nèi)部攻擊對(duì)用戶、網(wǎng)絡(luò)設(shè)備造成的破壞，如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機(jī)端口安全的基本功能限制交換機(jī)端口的最大連接數(shù)端口的安全地址綁定交換機(jī)端口安全安全違例產(chǎn)生于以下情況：如果一個(gè)端口被配置為一個(gè)安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)如果該端口收到一個(gè)源地址不屬于端口上的安全地址的包當(dāng)安全違例產(chǎn)生時(shí)，你可以選擇多種方式來處理違例：Protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個(gè)）的包Restrict：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知配置安全端口

端口安全最大連接數(shù)配置switchportport-security ！打開該接口的端口安全功能switchportport-securitymaximumvalue ！設(shè)置接口上安全地址的最大個(gè)數(shù)，范圍是1－128，缺省值為128switchportport-securityviolation{protect|restrict|shutdown} ！設(shè)置處理違例的方式注意：1、端口安全功能只能在access端口上進(jìn)行配置。2、當(dāng)端口因?yàn)檫`例而被關(guān)閉后，在全局配置模式下使用命令errdisablerecovery來將接口從錯(cuò)誤狀態(tài)中恢復(fù)過來。配置安全端口端口的安全地址綁定switchportport-security！打開該接口的端口安全功能switchportport-securitymac-addressmac-addressip-addressip-address ！手工配置接口上的安全地址注意：1、端口安全功能只能在access端口上進(jìn)行配置2、端口的安全地址綁定方式有:單MAC、單IP、MAC+IP案例（一）下面的例子是配置接口gigabitethernet1/3上的端口安全功能，設(shè)置最大地址個(gè)數(shù)為8，設(shè)置違例方式為protectSwitch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end案例（二）下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口綁定地址，主機(jī)MAC為00d0.f800.073c，IP為02Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address02Switch(config-if)#end查看配置信息查看所有接口的安全統(tǒng)計(jì)信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以及違例處理方式等

Switch#showport-security

SecurePortMaxSecureAddr

CurrentAddrSecurityAction------------------------------------------------Gi1/381Protect查看安全地址信息Switch#showport-securityaddress

VlanMacAddressIPAddressTypePortRemainingAge(mins)-------------------------------------------------100d0.f800.073c02ConfiguredFa0/381課程議題IP訪問控制列表什么是訪問列表IPAccess-list：IP訪問列表或訪問控制列表，簡(jiǎn)稱IPACLACL就是對(duì)經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過濾ISP√為什么要使用訪問列表內(nèi)網(wǎng)安全運(yùn)行訪問外網(wǎng)的安全控制訪問列表訪問控制列表的作用：內(nèi)網(wǎng)布署安全策略，保證內(nèi)網(wǎng)安全權(quán)限的資源訪問內(nèi)網(wǎng)訪問外網(wǎng)時(shí)，進(jìn)行安全的數(shù)據(jù)過濾防止常見病毒、木馬、攻擊對(duì)用戶的破壞訪問列表的組成定義訪問列表的步驟第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過）第二步，將規(guī)則應(yīng)用在路由器（或交換機(jī)）的接口上訪問控制列表規(guī)則的分類：1、標(biāo)準(zhǔn)訪問控制列表2、擴(kuò)展訪問控制列表訪問列表規(guī)則的應(yīng)用路由器應(yīng)用訪問列表對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制1.入棧應(yīng)用（in）經(jīng)某接口進(jìn)入設(shè)備內(nèi)部的數(shù)據(jù)包進(jìn)行安全規(guī)則過濾2.出棧應(yīng)用（out）設(shè)備從某接口向外發(fā)送數(shù)據(jù)時(shí)進(jìn)行安全規(guī)則過濾一個(gè)接口在一個(gè)方向只能應(yīng)用一組訪問控制列表F1/0F1/1INOUT訪問列表的入棧應(yīng)用NY是否允許

?Y是否應(yīng)用

訪問列表

?N查找路由表進(jìn)行選路轉(zhuǎn)發(fā)以ICMP信息通知源發(fā)送方以ICMP信息通知源發(fā)送方NY選擇出口

S0

路由表中是否存在記錄

?NY查看訪問列表

的陳述是否允許

?Y是否應(yīng)用

訪問列表

?NS0S0訪問列表的出棧應(yīng)用IPACL的基本準(zhǔn)則一切未被允許的就是禁止的定義訪問控制列表規(guī)則時(shí)，最終的缺省規(guī)則是拒絕所有數(shù)據(jù)包通過按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配規(guī)則匹配原則從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)則的“允許/拒絕……”Y拒絕Y是否匹配

規(guī)則條件1?允許N拒絕允許是否匹配

規(guī)則條件2?拒絕是否匹配

最后一個(gè)

條件

?YYNYY允許隱含拒絕N一個(gè)訪問列表多條過濾規(guī)則訪問列表規(guī)則的定義標(biāo)準(zhǔn)訪問列表根據(jù)數(shù)據(jù)包源IP地址進(jìn)行規(guī)則定義擴(kuò)展訪問列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進(jìn)行規(guī)則定義源地址TCP/UDP數(shù)據(jù)IP

eg.HDLC1-99號(hào)列表IP標(biāo)準(zhǔn)訪問列表目的地址源地址協(xié)議端口號(hào)IP擴(kuò)展訪問列表TCP/UDP數(shù)據(jù)IP

eg.HDLC100-199號(hào)列表

0表示檢查相應(yīng)的地址比特1表示不檢查相應(yīng)的地址比特001111111286432168421000000000000111111111111反掩碼（通配符）IP標(biāo)準(zhǔn)訪問列表的配置1.定義標(biāo)準(zhǔn)ACL編號(hào)的標(biāo)準(zhǔn)訪問列表

Router(config)#access-list<1-99>{permit|deny}源地址[反掩碼]命名的標(biāo)準(zhǔn)訪問列表switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩碼]2.應(yīng)用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}F1/0S1/2F1/1IP標(biāo)準(zhǔn)訪問列表配置實(shí)例(一)配置：access-list1permit55(access-list1denyany)interfaceserial1/2ipaccess-group1out標(biāo)準(zhǔn)訪問列表配置實(shí)例(二)需求：你是某校園網(wǎng)管，領(lǐng)導(dǎo)要你對(duì)網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行控制,要求校長可以訪問財(cái)務(wù)的主機(jī)，但教師機(jī)不可以訪問。配置：ipaccess-listextendedabcpermithostdeny55財(cái)務(wù)教師F0/1F0/2F0/5F0/6F0/8F0/9F0/10校長IP擴(kuò)展訪問列表配置實(shí)例(一)如何創(chuàng)建一條擴(kuò)展ACL該ACL有一條ACE，用于允許指定網(wǎng)絡(luò)（192.168.x..x）的所有主機(jī)以HTTP訪問服務(wù)器，但拒絕其它所有主機(jī)使用網(wǎng)絡(luò)Router(config)#access-list103permittcp55hosteqwwwRouter#showaccess-lists103訪問列表的驗(yàn)證顯示全部的訪問列表