网络知识点总结_02

时间 2019-12-13

标签网络知识总结栏目系统网络繁體版

原文原文链接

传输层 TCP头部 + 上层数据 -->数据段安全

协议：TCP UDP网络

TCP的封装格式：

TCP:Transmission Control Protocol
传输控制协议
面向链接的协议
传输效率低
FTP(21) Telnet(23) SMTP(25) DNS(53) HTTP(80)负载均衡

UDP的封装格式：

UDP:User Datagram Protocol
用户数据报
不可靠的、无链接的服务
传输效率高
TFTP(69) DNS(53) NTP(123)tcp

一.访问控制
ide

1> ACL的配置spa

定义：读取头部信息，根据规则进行过滤翻译

头部{ IP报头（源、目标地址） + TCP报头（源端口、目标端口） } + 数据3d

上图中为何须要交换机：省路由器的接口！router

2> 访问控制列表的类型
标准访问控制列表：
基于源IP地址过滤（列表号是1-99）

扩展访问控制列表：
基于原IP地址、目的IP地址、指定协议、端口（列表号是100-199）blog

3> 配置（路由器）
标准ACL配置1:
注：单独拒绝192.168.2.1，放行其余数据。 0.0.0.0，0是不校验
Router(config)#access-list 1 deny 192.168.2.1 0.0.0.0 或
Router(config)#access-list 1 deny host 192.168.2.1
Router(config)#access-list 1 permit any
（为何要这句，匹配即中止，不匹配则隐含拒绝！）

在出或者入接口，应用acl
Router(config-if)#ip access-group 1 in（out）

取消：
Router(config)#no access-list 1
查看：
Router#show access-lists

标准ACL配置2:
单独容许192.168.2.1，拒绝所有
Router(config)#access-list 1 permit 192.168.2.1 0.0.0.0 或
Router(config)#access-list 1 permit host 192.168.2.1
Router(config-if)#ip access-group 1 in

扩展ACL配置:
Router(config)#access-list 101 deny tcp host 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 80
Router(config)#access-list 101 permit ip any any
Router(config-if)#ip access-group 101 in
注：拒绝192.168.1.0网段访问192.168.2.2的80服务

二.静态NAT

1> NAT Network Address Translation 网络地址转换

***********************
做用：将内网IP翻译成公网IP，使内网能链接外网。
节省合法IP地址
处理地址重叠
安全性
缺点：
延迟增大
配置和维护的复杂性

私有IP地址的分类：
A类：10.0.0.0 -- 10.255.255.255
B类：172.16.0.0 -- 172.31.255.255
C类：192.168.0.0 -- 192.168.255.255

********************************

实现方式：静态转换端口多路复用(PAT)

静态转换（Static Translation）
原理：拼接封装，相似于打标记
出：内网局部IP+内网全局IP-->外网
回：外网-->内网全局IP-->内网局部IP(10.10.10.1,不去10.10.10.2，由于有标记）
配置：在路由器的内网一侧端口（通常为网关）和外部一侧端口（通常为公网IP 分别配置IP地址，no shutdown
Router(config)#ip nat inside source static tcp 内网单点IP 公网IP
在内部和外部端口上启用NAT：
Router(config)#interface g0/1（外）
Router(config-if)#ip nat outside
Router(config)#interface g0/0（内）
Router(config-if)#ip nat inside
注：内网各主机的网关是192.168.1.254，配置在路由器内侧
此转换只转换了一台主机上外网，有两个思路：
1.外网只有一个，只买了一家，万一外网没网了怎么办？
解决：将不一样的内网IP转换为不一样的公网IP
2.静态转换只转换了1台主机访问外网，多台或者全部怎么配置？
解决：一个公网IP只能绑定一各内网IP，多个内网IP能上网，要么买多个公网IP，要么用PAT。
端口映射：
Router(config)#ip nat inside source static tcp 192.168.1.1 80 100.0.0.2 80
注：静态装换真是内网能上网，那外网访问内网的服务就须要开内网的端口，与外网的端口匹配，映射的是端口，外网能够访问内网的服务。

端口多路复用（Port Address Translation）
做用：改变内网外出数据包的源IP地址和端口，并进行地址转换，使内部全部主机都可共享一个合法IP实现外网访问，节约IP。
配置：使用acl定义内部ip地址
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255（只容许了1.0网段）
使用pat复用外网接口地址
Router(config)#ip nat inside source list 1 interface g0/1 overload （g0/1，在路由器对外端口转换）
在内部和外部端口上启用NAT：
Router(config)#interface g0/1（外）
Router(config-if)#ip nat outside
Router(config)#interface g0/0（内）
Router(config-if)#ip nat inside
注：静态转换还得映射端口，PAT端口也给转换了
静态转换和PAT，路由器两边内外网端口都要配IP，都要启用转换。

三.STP Spanning Tree Protocol（交换机）
做用：配置阻塞接口，逻辑上断开网络环路，组织广播风暴。线路故障，阻塞激活。（备份冗余的做用）

来源：复杂的网络拓扑实现备份冗余的时候，防止交换机造成环路又能实现备份冗余和负载均衡。

配置阻塞：交换机三环逆时针同vlan中，第一个主根，第二个次根，则次根的下一个（逆时针）链路将阻塞。（即逻辑上断开环路，防止广播风暴，但整个链路是通的）
命令：
配置主根：（交换机1）
Switch(config)#spanning-tree vlan 1 priority 24576 或
Switch(config)#spanning-tree vlan 1 root primary
配置次根：（交换机2）
Switch(config)#spanning-tree vlan 1 priority 28672 或
Switch(config)#spanning-tree vlan 1 root secondary

理解：
vlan1数据传输如图所示，若是红a链路段断裂，则红x链路激活，网络仍是畅通
vlan2数据传输如图所示，若是蓝b链路段断裂，则蓝x链路激活，网络仍是畅通

理论实现步骤：

1.MS1底层客户机配置IP，网关（1.1-->1.252,2.1-->2.252）
MS2底层客户机配置IP，网关（1.2-->1.253,2.2-->2.253）

2.全部交换机链接的接口，配置中继链路:
二层交换机：Switch(config-if-range)#switchport mode trunk
三层交换机：
Switch(config-if-range)#switchport trunk encapsulation dot1q
Switch(config-if-range)#switchport mode trunk

3.全部交换机建立Vlan2,配置MS1为vlan1的活跃路由器、vlan2的备份路由器，MS2为vlan1的备份路由器、vlan2的备份路由器，实现负载均衡的效果
配置vlan IP：
MS1:
vlan1配置IP:
Switch(config-if)#ip address 192.168.1.252 255.255.255.0
Switch(config-if)#no shutdown
vlan2配置IP:
Switch(config-if)#ip address 192.168.2.252 255.255.255.0
MS2:
vlan1配置IP:
Switch(config-if)#ip address 192.168.1.253 255.255.255.0
Switch(config-if)#no shutdown
vlan2配置IP:
Switch(config-if)#ip address 192.168.2.253 255.255.255.0

配置对应vlan主次根：
MS1:
Switch(config)#spanning-tree vlan 1 root primary
Switch(config)#spanning-tree vlan 2 root secondary
MS2:
Switch(config)#spanning-tree vlan 2 root primary
Switch(config)#spanning-tree vlan 1 root secondary

开启热备份功能:(建立虚拟网关254）
MS1:
vlan 1:
Switch(config-if)#standby 1 ip 192.168.1.254
Switch(config-if)#standby 1 priority 105（主根）
Switch(config-if)#standby 1 preempt（先占据主导地位）
vlan 2:
Switch(config-if)#standby 2 ip 192.168.2.254
MS2:
vlan 1:
Switch(config-if)#standby 1 ip 192.168.1.254

vlan 2:
Switch(config-if)#standby 2 ip 192.168.2.254
Switch(config-if)#standby 2 priority 105（主根）
Switch(config-if)#standby 2 preempt（先占据主导地位）

++++++++++++++++++++++++

Vlan:分割广播域

Trunk:分割识别vlan

以太通道：（交换机）链路聚合，负载均衡、备份冗余

静态路由：（ip route 网段掩码下一跳）多网互通

动态路由：多网互通

Switch(config)#router ospf 1

Switch(config-router)#network 网段反掩码 area 0 (多网互通）

访问控制（ACL,传输层，路由器）

Router(config)#access-list 100 deny tcp host 192.168.2.2 host 192.168.1.1 eq 80

Router(config)#interface gigabitEthernet 0/1

Router(config-if)#ip access-group 100 in

NAT地址转换：内网访问外网

静态转换：

Router(config)#ip nat inside source static 192.168.1.1 100.0.0.2

Router(config)#interface g0/1

Router(config-if)#ip nat outside

Router(config)#interface g0/0

Router(config-if)#ip nat inside

端口映射：

Router(config)#ip nat inside source static tcp 192.168.1.1 80 100.0.0.2 80

端口多路复用：PAT

Router(config)#access-list 1 permit 网段反掩码

Router(config)#ip nat inside source list 1 interface g0/1 overload（路由外接口）

STP:生成树协议

做用：配置阻塞接口，防止造成广播风暴

主根：

Switch(config)#spanning-tree vlan 1 priority 24576 或

Switch(config)#spanning-tree vlan 1 root primary

次根：

Switch(config)#spanning-tree vlan 1 priority 28672 或

Switch(config)#spanning-tree vlan 1 root secondary

HSRP热备份路由选择协议:虚拟网关（1.252 + 1.253 --> 1.254）

MS1：

Switch(config)#interface vlan 1

Switch(config-if)#standby 1 ip 192.168.1.254

MS2：

Switch(config)#interface vlan 1

Switch(config-if)#standby 1 ip 192.168.1.254

++++++++++++++++++++++++