企业网络搭建笔记
企业网络搭建笔记
XF[TOC]
企业网搭建笔记
单位换算:
字节:byte 比特:bit
1byte=8bit
1KB=1024Byte
1Kb=1024b
1MBps=1024KB
1Mbps=1024Kb
1MB=1048576 Byte
1GB =1024MB
1GByte=8Gbite
OSI 七层模型
物理层
物理层 比特流传输
数据链路层
数据链路层 控制网络层和物理层之间的通信
数据链路层协议由很多种协议,解决各端链路之间的协议标准
每台路由器之间的链路使用的协议都有可能不一样,比如说以太网协议(适合广播型协议),帧中继协议,ppp协议(适用于点到点),802.1x协议(适合无线网络),为了让整个网络的性能更加强大,可以在不同的链路段使用不同的协议网络层
网络层 ip寻址和路由选择
路由技术是网络工程师核心技术之一,直接影响到各个互联网app的应用体验
使用的协议统一,网络层基于IP地址进行路由转发传输层
传输层 建立,维护,管理端到端连接:
两个端之间建立tcp、udp连接,对数据完整性要求高使用tcp,保障数据传输的完整性 ,但是成本比udp高,速度慢,语音视频这类实时采集的数据,没有文件完整性一说,而是采集多少就传输 多少,就用udp会话层
会话层 建立,维护,管理会话连接:
两个app之间的会话,是否可以对接表示层
表示层 数据格式化,加密,解密:
对app数据进行加密,就是相当于独创一套编码方式,只有自己人才知道解码方式,则可以实现数据加密
我们看到的,听到的,都是用计算机的编码来表示
用bmp,jpeg编码来表示图片数据
用wav或mp3编码来表示声音数据
用wmv或avi编码,来表示视频数据应用层
应用层 为应用程序提供网络服务:
用户app里面的数据,图片,声音,文字
远程连接:
指令:
1 |
|
IP地址划分:
VLSM(Variable Length Subnet Masking):
概念:
- 确定IP地址块: 首先,确定您拥有的IP地址块,这将是您用于划分子网的起点。这个IP地址块应该是一个大的IP地址范围,例如一个Class A、Class B或Class C地址块。
- 了解子网容量需求: 确定每个子网所需的IP地址数量。不同的子网可能需要不同数量的IP地址,因此需要了解每个子网的容量需求。
- 选择合适的子网掩码: 对于每个子网,选择一个适合其容量需求的子网掩码。子网掩码决定了子网的大小,因此较大的子网需要较长的子网掩码。
- 子网划分: 使用所选择的子网掩码来划分IP地址块,将其划分为多个子网。确保每个子网具有足够的IP地址以满足其容量需求。通常,子网的第一个IP地址用作子网地址(网关),最后一个IP地址用作广播地址,而中间的IP地址分配给主机。
- 分配子网: 将每个子网分配给特定的网络或部门,根据它们的需求和用途。为了更好地组织和管理子网,您可以使用文档或命名方案来标识每个子网。
- 更新路由表: 如果您正在配置路由器以支持VLSM,确保在路由器上更新路由表以反映新的子网划分。每个子网应该有正确的路由信息,以确保数据包能够正确路由到目标子网。(更新子网的局域网)
- 测试和验证: 在实际网络中测试和验证您的VLSM子网划分,确保每个子网按预期工作。
知道了所需IP地址数量,求需要几位主机号可以用这个公式,接近IP地址数量但不小于的2的幂
例如:vlan10 需要50个IP地址,最接近这个IP地址数量的2的幂是2^6=64,所以主机号位数是6位,网络号是2位,每个网段有64个可用IP地址
A类:0128 B类:129191 C类:192~224
| 常用IP地址分类 | 首位 |
|---|---|
| A类 | 00000000 |
| B类 | 10000000 |
| C类 | 11000000 |
ipv6:
地址转换:
一个16进制数由4个二进制数构成
ipv6地址由16位16进制数和冒号组成,8组,每组4位数,用“:”隔开,从0-9之后用ABCDEF表示到15,总共16位数字
ipv6的0可以缩写,缩头不缩尾;双冒号表示连续的0,在一组ipv6地址中只能使用一次“::”
例如:2001:8000::456:0:0:0中就是用了双冒号表示连续的0,通过推断得出,双冒号表示2组连续的0,因为总共8组16进制数
概念:
ipv6由前64位组成前缀(网络部分),后64位组成接口id,
在前缀中,前48位由网络服务提供商(ISP)划分,也就是说前48位不由老百姓划分。
中间16位则是子网,例如你拿到前48的公网后,就可以用16位来划分子网,例如0000表示公司财务,0001表示摄影部…….
VLAN(虚拟局域网802.1Q):
- svi接口(交换机虚拟接口):给vlan配置IP地址就变成了svi接口
待解决问题:桥接VLAN之间不可路由的协议 路由虚拟局域网之间的流量
指令:
1 | vlan <id> |
arp攻击:
概念:
- arp是一种将IP地址映射为mac地址的协议,它通过广播的方式发送给局域网内的主机,主机接受到arp请求的时候,确认是自己的IP地址就会将自己的mac地址返回
在主机A和主机B之间,主机A发送Arp请求,主机A会现在自己的Arp高速缓存(arp cache)中查找有无对应的mac地址,如果有则在数 据帧中添加该主机的mac地址
- 原理: ARP攻击就是通伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
Arp欺骗原理:
- 伪装成网关:欺骗源把自己(或者其他非网关主机)伪装成网关,向局域网内的目标主机发送ARP应答报文,使得局域网内的主机误以为欺骗源的MAC地址是网关MAC的地址,并将原本应该流向网关的数据都发送到欺骗源。将局域网内某设备的IP地址映射为非法的MAC地址,从而进行监听、截获被非法映射MAC地址的主机的报文。例如:PC4 发送 ARP 报文通告 PC2 的 IP 地址映射为自己的 MAC 地址,将导致本应该发送给 PC2 的 IP 报文全部发送到了 PC4
- 攻击过程:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。
防止arp攻击:
将IP地址与每台终端设备绑定,发现arp攻击源直接将其断网
1)交换机记录每个接口对应的IP地址和MAC,生成DAI检测表
1 | 2)交换机检测每个接口发送过来的ARP回应包,根据DAI表判新是否违规,若违规则丢弃此数据包并对接口进行惩罚。 |
静态ARP绑定:
(明确指定哪个MAC地址应该与哪个IP地址关联)
- 防御ARP攻击和ARP欺骗最直接的方式是进行IP-MAC地址绑定。用户通过在主机和网关(路由器)上实现双向IP地址和MAC地址绑定,即可提高其网络的安全性
指令:
1 | Ruijie(config)#address-bind 192.168.20.1 DC2148F6DCD6 ------------静态映射mac到IP |
注意:配置静态 ARP 绑定可以提高网络的安全性和性能,但需要谨慎管理,因为手动维护绑定可能会变得复杂,特别是在大型网络中。因此,只应在需要时使用静态 ARP 绑定,例如保护重要服务器或网络设备。
STP生成树协议
概念:
- stp是为了解决网络中的环路问题的一个协议,当网络中有多余通信路径的时候,会选择一条主要路径阻塞备用端口(BP),因此网络拓扑类似树枝,所以叫做生成树协议
stp运行原理://
选举根交换机:
选举根交换机是通过比较网桥ID(
BID)来选举的,网桥ID(BID)的组成如下:优先级: mac地址: 默认为3276800-01-A1-98-56-45 选举**根端口(RP)**:根端口(RP)用于接收BPDU数据帧,也用于接受普通流量,
选举条件:根据端口带宽的速率的成本值,非根交换机——根交换机的成本值最低的为根端口,成本一样则比较端口ID(PID)
选举指定端口:在每个网段上面选择,每个网段有且只有一个指定端口,用于转发跟交换接收BPDU数据帧,也转发普通流量
- 选举条件:
- 根交换机的所有端口都是指定端口
- 根端口的对端端口一定是指定端口
- 网段中,BPDU转发端口到根交换机路径开销最小的
- 本段端口ID(PID)
- 选举条件:
阻塞**备用端口(BP)**:
指令:
1 | spanning-tree // 打开生成树(一般默认打开) |
端口环路检测简介:
- 二层网路中的通信: 报文的转发直接通过 MAC 寻址,MAC 地址学习的正确与 否决定着用户之间是否能够正确的互通。在二层交换中,通过 MAC 地址寻址来进行报文转 发。二层设备的 MAC 地址学习都是通过源 MAC 地址学习来进行的。即:当端口收到一个未 知源 MAC 地址的报文,会将这个 MAC 添加到接收端口上,以便后续以该 MAC 地址为目的的报文能够直接转发,即一次学习多测转发。
- 环路的诞生: 当新来源的mac地址发现该mac地址已经学习到了二层设备上,但源端口不一样,会修改原来mac地址的源端口,如果当
指令:
1 | 神州数码:(单端口检测) |
RSTP生成树协议:
为什么需要RSTP(stp的缺陷):
STP从初始状态到完全收敛至少需经过30s
交换机有BP端口(阻塞),RP端口(根端口)down掉切换成RP端口并进入转发状态至少需要经过30s交换机无BP端口,RP端口down掉,其他交换机的BP端口切换成DP(指定)端口并进入转发状态大约费
要50s;****交换机连接终端的链路进入转发雯要经过30s
三种端口状态从用户使用的角度对应的行为都相同,但是呈现出不同的状态,反而增加了使用难度
RSTP的优化:
- 定义了两种新角色:**备份端口(BACKUP PORT)**、和 **预备端口(Altemate Port)** 。
- 状态缩减:从5种缩减到3种
| STP状态 | RSTP状态 | 解释状态对应的行为 |
| :--------: | :--------: | :----------------------------------------------------------: |
| Disabled | Discarding | `如果不转发用户流量也不学习MAC地址,那么端口状态就是Discarding状态` |
| Blocking | | |
| Listening | | |
| Learning | Learnning | `如果不转发用户流量但是学习MAC地址,那么端口状态就是Learning状态` |
| Forwarding | Forwarding | `如果不转发用户流量但是学习MAC地址,那么端口状态就是Learning状态` |
- `**在选举的过程中加入了“发起请求-回复同意” (P/A机制)这种确认机制,由于每个步骤有确认就不需要依赖计时器来保证网络拓扑无环才去转发,只需要考虑BPDU发送报文并计算无环拓扑的时间(一般都是秒级),其目的是使一个指定端口尽快进入Forwarding状态。**
MSTP生成树协议:
概念:
- 在RSTP的基础之上,如果多个主机使用一个生成树那么会导致带宽不够从而导致网络速度慢的问题,所以MSTP诞生了,MSTP具有多案例的特点,也就是说可以生成多个生成树链路,从而利用冗余链路提升网路速度和冗余性并兼顾了可靠性
注:mstp通常和vrrp一同使用,这样可以保证可靠的情况下不会浪费多余链路的带宽,提升冗余性、可靠性、安全性
指令:
1 | Ruijie(config)# spanning-tree |
端口配置:
双工模式:指端口可以同时发送和接收数据,
半工模式:指端口只能在特定时间发送或者接收数据,通信效率比较低
1000Base-TX:千兆位每秒的速率,是一种网络端口的规格和标准
100Base-tx:百兆位每秒
100Base-FX:是指用光纤作为传输介质的百兆速率端口
full:表示全双工模式,即同时发送或接收数据
half:表示半双工模式,只能在某个时刻要么发送数据,要么接收数据
速率和最大传输单元的区别
- 速率:表示网络连接的带宽,即规定时间内可以传输的数据量。例如Mbps(兆每秒)
- 最大传输单元:表示网络通信中可以传输的数据包的最大尺寸。它以字节表示。例如MTU176000byte,即171MB(兆字节)
端口安全:
作用:端口安全的主要目标是确保只有经过授权的设备可以连接到交换机上的特定端口。这可以防止未经授权的设备进入网络,减少网络安全风险。
在限制哪些设备可以连接到网络端口(通常是交换机端口)以及它们可以访问的资源。端口安全通常用于有线网络中,尤其是以太网网络。
端口安全概念:
- MAC地址过滤:一种常见的端口安全技术是使用MAC地址过滤。每个网络设备都有一个唯一的MAC地址(物理地址),它可以用来标识设备。通过配置交换机或网络设备,管理员可以指定哪些MAC地址可以连接到特定的端口。这意味着只有已经授权的设备才能连接到网络,并且未授权的设备将被阻止。
- 端口状态控制:端口安全还允许管理员控制端口的状态。这意味着管理员可以设置端口以自动关闭或锁定,如果检测到异常行为,如多次认证失败、连接多个设备或违反其他规则,那么端口将被禁用或限制。
- 限制设备数量:端口安全还可以用于限制连接到特定端口的设备数量。这可以防止未经授权的设备通过交换机连接到网络,并有助于防止网络拥塞。
- 提高网络安全性:通过实施端口安全策略,网络管理员可以减少未经授权的访问、减少网络攻击的风险,并提高网络的整体安全性。它有助于防止未经授权的设备进入网络,并减少了内部和外部威胁
指令:
-
启动端口安全:
1
2
3
4
5
6
Ruijie(config)#interface gigabitEthernet 0/1
Ruijie(config-if-GigabitEthernet 0/1)#switchport port-security
switch(config-if)#switchport port-security mac-address 000000000001 vlan1
-----------限制接口上mac地址只能访问或通信vlan1
配置端口最大MAC地址数量:
1
Ruijie(config-if-GigabitEthernet 0/1)#switchport port-security maximum **N**
只允许指定IP地址的设备接入:
1
Ruijie(config-if-GigabitEthernet 0/1)#switchport port-security macaddress x.x.x.x //配置绑定的mac地址,设置后仅能让此地址的设备通过端口1
违例发生后的处理:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17-------------------当安全违例事件发生时,将端口置于restrict或shutdown模式。选择restrict模式时,当非法MAC地址或太多MAC连接至该接口时,将丢弃数据包,并向网管计算机发送SNMP陷阱通知。选择shutdown模式时,发生安全错误的端口将被置于error-disable(错误禁用)状态,除非网络管理员使用no shutdown命令手工激活,否则该端口失效。
switch(configif)#switchport port-security violation (restrict/shutdown)
Switch(config-if)# switchport port-security limit rate invalid-source-mac
----------------------设置坏包速率限制
Switch(config-if)# switchport port-security mac-address mac_address
----------为该接口指定安全MAC地址。也可以使用该命令指定最大安全MAC 地址数。如果指定的MAC地址数量少于安全地址的最大数量,动态学习的MAC地址将被保留。
SWITCH(config-if)#errdisable recovery interval 180
---------------设置端口恢复时间
------------------disable:禁用
------------------error:错误
------------------violation:违例
SNMP(陷进通知):
链路聚合:
概念:
链路聚合用于将多个物理网络连接(通常是以太网接口)捆绑成一个逻辑连接,以提高网络性能、可用性、冗余性。当多个物理链路捆绑在一起的时候,它们被视为一个逻辑链路,可以增加总带宽,如果其中一个链路发生故障,流量可以自动切换到其他可用的链路
特点:
- 逻辑链路:链路聚合将多个物理链路组合成一个逻辑链路。这个逻辑链路具有一个虚拟的MAC地址和IP地址。
- 带宽增加:通过捆绑多个链路,链路聚合可以增加总带宽。例如,如果你有两个1 Gbps的物理链路聚合在一起,那么逻辑链路的总带宽将为2 Gbps。
- 负载均衡:链路聚合可以实现负载均衡,将数据流量均匀地分布到各个物理链路上,以充分利用带宽。
- 故障容忍:如果一个物理链路发生故障,链路聚合可以自动将流量切换到其他可用链路,以保持连通性。这提高了网络的可用性。
- 协议支持:链路聚合通常依赖于特定的协议,如IEEE 802.3ad(LACP)或者非标准的协议。这些协议用于管理链路聚合,并确保各个链路的一致性。
- 设备依赖:链路聚合需要支持该技术的网络设备,包括交换机、路由器和服务器网卡。所有参与链路聚合的设备必须配置一致。
链路聚合配置命令:
创建链路聚合组:
1
2
3
4interface Port-group `编号`
switch(config)#port-group 1 -----------创建聚合组
switch(config-if)#port-group 1 ---------将端口加入聚合组添加成员接口:
1
interface x/y
指定接口
1
port-goup1 mode active
将接口添加到聚合链路组
时钟速率
概念:时钟速率定义了每秒钟发送和接收数据的位数,一遍数据能够在接收端能被正确解释
指令:
1
clock rate <频率>
端口镜像(span-交换机端口分析):
概念:
- 端口镜像功能是指交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个 端口;其中被复制的端口称为镜像源端口,复制的端口称为镜像目的端口
特点:
- 目的端口只负责接收复制过来的流量而不会对流量进行转发,不管是介入流量还是转发流量都只会在目的端口进行接收。端口镜像不会改变镜像报文的任何信息,也不会影响原有报文的正常转发。同时对于源端口,目的端口的介质类型没有要求,可以是光口镜像到电口,也可以是电口的流量镜像到光口。对于源端口,目的端口的属性没有要求,可以是access口镜像到trunk口,也可以是trunk口镜像到access口。
指令:
- 注:出:tx 入:rx 双方向:both
- monitor:监视 session
2
--------创建一个监视会话,(被复制端口)源端口为gigabitEthernet 0/1 流量为双向(接收或转发都会被复制)
2
3
4
5
6
7
-----"switch"代表的是监视外部设备的流量,不加上switch只能监视本地数据的流量包(仅限于指定的destination[目标]口)
Ruijie(config-vlan)#remote-span
-----------在vlan上开启配置远程span功能指定”session 1“监视会话的目标端口 Gig 0/24 ,并将复制端口的流量发送到Gig0/24的接口
vrrp(虚拟局域网冗余协议):
概念:
- 是一种网络协议,用于提高网络中的路由器的可用性和冗余性。它允许多个路由器共享一个虚拟 IP 地址(Virtual IP Address,VIP),其中一个路由器被选为主(Master),而其他路由器处于备份(Backup)状态。主路由器接收并处理流量,而备份路由器仅在主路由器失效时接管流量。
指令:
-
1 | vrrp number ip 11.1.1.1 // 在vrrp组中配置虚拟网关 |
DHCP(动态主机分配协议):
概念:
- DHCP是一种网络协议,通常在接入层中配置,用于自动分配IP地址和其他网络配置信息给终端设备,以便他们顺利连接到网络
DHCP的作用:
- IP地址分配: DHCP允许网络管理员为设备自动分配IP地址,而不需要手动为每个设备配置IP地址。这使得网络更容易管理,特别是在大型网络中。
- 子网掩码: DHCP还可以为设备提供正确的子网掩码,以确保设备与其他设备正确通信。
- 默认网关: 它还提供了默认网关的信息,允许设备访问其他网络或互联网。
- DNS服务器: DHCP可以指定DNS服务器的地址,使设备能够进行域名解析。
- 其他配置选项: DHCP还可以提供其他配置信息,如NTP服务器(用于时间同步)、WINS服务器(用于Windows网络)等。
总结:DHCP是一种非常有用的网络协议,使网络管理更加简单和高效,同时为设备提供了必要的配 置信息,以使它们能够顺畅地运行在网络中。
DHCP通信过程:
注: (协议是双方遵守的,DHCP中,主机发起IP广播)
DHCP发现(Discover):当设备加入网络或需要续订租约时,它会广播一个DHCP Discover消息,以寻找可用的DHCP服务器。 //
(主机发送的信息)DHCP提供(Offer):当DHCP服务器接受到Discover消息后,会广播DHCP Offer消息,提供IP地址和其他配置信息 // (DHCP服务器或交换机发送的消息)
DHCP请求(DHCP Request): 设备在收到DHCP Offer后,选择一个DHCP服务器提供的IP地址,并向该服务器发送DHCP Request消息,请求分配该IP地址。(选择之后请求获得这个IP地址) // (主机发送请求)
DHCP确认(DHCP Ack): DHCP服务器在收到DHCP Request消息后,确认分配给主机的IP地址,并发送一个DHCP Ack消息,通知主机可以使用该IP地址。这个Ack消息也是一个广播消息,它标志着IP地址的正式分配。 //(DHCP服务器确认是否可用)
指令:
1 | Ruijie(config)#service dhcp ------>该命令默认不启用,交换机必须配置 |
- 修改祖约时间
1 | Ruijie(config)#ip dhcp pool +原先的地址池名字(区分大小写) |
- 排除地址(excluded)
1 | ruijie(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.50 (设定排除地址为192.168.1.1--192.168.1.50这50个地址) ---排除多个IP地址 |
- 给某个IP地址分配特定IP地址
1 |
DHCP 中继代理(DHCP Relay):
概念:
- DHCP中继(DHCP Relay)通常在分布层或核心层层次中实施,DHCP中继的作用是将来自不同子网或不同网络的DHCP请求传递到具有DHCP服务器的子网,以便在多子网或多网络环境中分配IP地址和配置信息。
注:vlan中svi口是指vlan配置了IP地址后的虚拟接口,也就是说vlan配置了IP地址就成了svi接口(虚拟接口)
配置思路:配置全网互通,接入层交换机中配置vlan并且划分接口到vlan,每一个vlan配置DHCP中继,DHCP服务器配置地址池和网关等信息
指令:
1 | Ruijie(config)#service dhcp ------>该命令默认不启用,交换机必须配置 |
DHCP snooping (DHCP监听):
概念:
DHCP snooping(DHCP监听)是一种网络安全功能,保护局域网中的设备免受恶意DHCP服务器的攻击和不良DHCP消息。
DHCP监听使用可信和不可信接口的概念。通过DHCP流量的路径,交换机验证接口上收到的DHCP数据包,并在受信任接口上跟踪预期的DHCP服务器数据包(OFFER和ACK)。换句话说,不受信任的接口会阻止DHCP服务器数据包。
指令:
IP DHCP Snooping // 启动DHCP侦听 IP DHCP snooping vlan 20 // 指定要实现侦听的vlan intnerface gigabitEthernet 1/1 // 设置DHCP侦听端口 IP DHCP snooping trust // 配置端口信任,G1/1 为信任端口**动态NAT** IP NAT pool pool-name 11.1.1.0-11.1.1.20 netmask 255.255.255.0 //创建NAT地址池 acc number premit/deny 192.168.20.0 0.0.0.255 // 创建控制列表(permit允许,deny拒绝) int fa 0/1 ip nat inside/outside // 定义接口为内网/外网 ip nat inside source list number pool pool-name // list过滤出来的地址进行pool-name内的地址转换1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
## 三层网络设计模型(接入、分布、核心):
1. **接入层(Access Layer):**
- 接入层位于网络层次结构的最底层,最靠近终端用户或设备。
- 特点:接入层主要负责连接终端设备(如计算机、IP电话、打印机等)到网络,并提供对网络资源的访问。它通常涵盖了局域网(LAN)的范围,因此需要处理用户设备的接入和流量分发。
- 功能:在接入层,通常会使用交换机等设备来管理用户的网络连接,执行VLAN划分、安全策略和QoS(服务质量)控制等功能。
2. **层(Distribution Layer):**
- 分布层位于核心层和接入层之间,起到连接和分发流量的作用。
- 特点:分布层的主要任务是连接多个接入层,并提供路由、策略控制和安全性等功能。它通常用于将流量从接入层传送到核心层,并在不同子网之间执行路由。
- 功能:在分布层,常见的功能包括**VLAN**的汇总、**路由**、**访问控制列表(ACL)**的实施、**负载均衡和故障隔离。**
3. **核心层(Core Layer):**
- 核心层位于网络层次结构的顶层,是网络的主干部分,连接不同的分布层。
- 特点:核心层的主要功能是提供高带宽、高可用性的网络互连,以实现快速数据传输。它通常用于在不同分布层之间传递大量的数据流量。
- 功能:在核心层,重要的功能包括高速交换、负载均衡、冗余路径和故障恢复,以确保网络的高可用性和性能。
`注:NAT是将源IP地址转换成目标IP地址,DHCP是将池里的IP地址分配给下层的主机,DHCP是主机自动请求分配IP地址,而NAT是接入层设备强制进行数据包NAT转换的`
## Nat(网络地址转换协议):
- **概念:**用于将一个内部私有IP地址映射到一个固定的外部公共IP地址,而且这个映射是静态不变的,不会随着连接或会话的建立而改变。
- **静态NAT与动态NAT的区别:**静态NAT与动态NAT不同。在动态NAT中,内部私有IP地址动态地映射到一个公共IP地址,通常是从一个IP地址池中分配的。而在静态NAT中,映射关系是明确指定的,一对一的,不会随机变化。
- **指令:**动态/静态**静态NAT** IP nat inside/outside // 定义接口为内网或外网 IP nat inside source static 192.168.20.1 11.1.1.1 // 将内网地址转换为固定的公网地址 配置静态NAT的时候可以起到将某服务器隐藏在内部网络中的作用,并且可以指定访问端口1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
## NAT负载均衡:
### 概念:
- **将多个后端服务器的IP地址映射为统一的外网地址,客户端访问时,对每次连接请求动态的转换为一个内部服务器地址**,可以将外网的流量分给内部每台服务器,从而实现负载均衡
### 负载均衡策略:
1. 轮询(rotary): IP 地址将会在池中循环使用。
2. 权重分配:
3. 性能评估:
## NAPT(端口地址转换):
**地址+端口”的映射方式**,因此 可以使内部局域网的许多主机共享一个IP地址访问Internet;**PAT不光转换IP地址还会修改端口号**,**这可以让同一个IP地址为多个设备转换**
### 指令:
- ```
ip nat pool zlf 200.1.1.1 200.1.1.1 netmask 255.255.255.0 //创建地址池
ip nat inside source list 1 pool zlf overload // 将访问列表过滤的报文进行地址池内NAPT转换
ip nat inside source list number interface fastEthernet(接口) overload // 将过滤的包进行接口上的IP地址转换
静态路由:
概念:
- 网络管理员手动配置的路由表叫做静态路由,配置包含目标IP地址,子网掩码,下一跳
指令:
ip route <ip> <netmask> <下一跳>1
2
3
4
5
6
7
8
### 浮动静态路由指令:
- ```
ip route <ip> <netmask> <下一跳>
ip route <ip> <netmask> <不同的下一跳>
Rip动态路由协议(十年前就被淘汰):
注:rip允许一条路径最多只能包含15个路由器,‘距离’等与16是相当于不可达,因此rip只适用于小型互联网rip仅和相邻路由器交换信息(路由表)并且是周期性交换(例如每30s交换一次)
指令:
1 | router rip // 开启rip动态路由 |
- 路由器刚开始时,只知道自己的直连网络距离为1
| 目的网络 | 距离 | 下一条 |
|---|---|---|
| n1 | 1 | 直连 |
| n4 | 1 | 直连 |
科普网络中‘收敛’: 当某个网络事件引起路由可用或不可用时,路由器就发出更新信息。 路由更新信息遍及整个网络,引发重新计算最佳路径,最终达到所有路由器一致公认的最佳路径。 这个过程即称为收敛
RIP的路由条目更新规则:
C和D是相邻路由器,每隔一个周期发送一次自己的路由表,路由器C将自己路由表中的信息封装到RIP更新报文中,发送给相邻路由器,路由器收到报文后对自己路由表进行更新改造1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
### RIPng:
## OSPF(开放式最短路径优先协议):
### 概念:()
- 链路状态路由选择协议又被称为最短路径优先协议,它基SPF(shortest path first )算法。他比距离矢量协议复杂的多。路由器的链路状态的信息称为链路状态,包括:接口的IP地址和子网掩码,网络类型,(如以太网链路或串行点对点链路),该链路的开销,该链路上的所有的相邻路由器。
### 特点:
- 链路状态路由协议是层次式的,网络中的路由器并不向邻居传递“路由项”,而是通告给邻居一些链路状态。链路状态协议只是通告给邻居的一些链路状态。运行该路由协议的路由器不是简单地从相邻的路由器学习路由,而是把路由器分成区域,收集区域的所有的路由器的链路状态信息,根据状态信息生产网络拓扑结构,每一个路由器再根据拓扑结构计算出路由
### 指令:
- ```
RA(config)#router ospf 10 // 创建ospf 进程
RA(config-router)#network 172.16.1.0 0.0.0.3 area 0 // 通告直连网段
RA(config-router)#network 172.16.1.4 0.0.0.3 area 10 // 通告另一个子网段
RA(config-router)#default-information originate // 分发默认路由信息
RA(config-router)#redistribute ospf 1 subnets // 重分发路由协议1包括子网信息
RA(config-router)#redistribute ospf 2 metric 2 // 重分发ospf2的路由信息度量值2
1 | SW1(config-router)#passive-interface vlan 10 // vlan10 禁止发送hello报文 |
PBR(策略路由):
与普通路由的区别:普通路由是根据目标地址来选择路径,策略路由是根据源地址来选择路径与QOS的区别:
QOS(服务质量区分),是用于控制不同类型的流量的带宽速率保证业务有差别的服务,在带宽有限的时候就需要用到QOS
PBR是用于控制某种类型的数据包 的选路策略,
比如希望张三访问外网走线路1,其他人走线路2
概念:
- 是针对某种数据包,直接制定的选路策略。 都是选路那么跟普通路由有什么区别呢?
- 举个例子来看
- 现在希望张三访问外网走线路1,其他人访问外网走线路2。 如果在路由器上,用常规路由如何实现?
- 是不是发现常规路由无法完成,因为常规路由都是按目标地址来选路,而这里的需求,是按源地址选路
- 只要源地址为张三的数据包,就走线路1,不管目标是什么。
策略路由的做法是,首先用ACL来定义一种特别的数据包(比如源地址为张三的包),然后再针对这个ACL定义的包,配置一个选路策略(走线路1)
应用场景:
多出口网络中,同时有电信和联通的线路,但是服务器对外映射的是电信的公网IP,那就必须强制服务器从电信线路走。 这时就需要用策略路由,来针对源地址为服务器的数据包,做强制走电信线路的规则。
再比如,某些网络安全项目上,要求某些关键数据包,必须经过安全设备的过滤,如下图。
现在希望税务局访问政务服务器的数据包,必须经过安全设备。
就需要在核心设备上,针对税务局的包做策略路由,因为选路策略要考虑源地址。
配置:
router-map ruijie permit 10 // 创建策略路由序号为10 f match IP address 100 // 指定这个策略匹配ACL100,也就是处理list10的包 set ip next-hop 192.168.1.2 // 指定下一跳,即流量即将被路由的地址,也可以设置数据包的出口,建议设置为下一条IP Router(config-if)#ip policy 10 // 接口应用策略路由 show router-map // 查看路由映射 show access-list // 查看ACL列表 show ip policy // Router(config)#1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
注意:
1)route-map的**匹配顺序为从上往下匹配**,当流量匹配到策略后,就按匹配的策略转发数据,**不会继续往下匹配。**
2)route-map **最后有有一条deny所有的语句**,对于**没有匹配到策略路由的流量,不会把内网的流量丢弃,**而是做**正常的ip 路由转发。**
3)set ip next-hop 可以设置下一跳ip地址,也可以设置数据包的出接口,建议设置为下一跳的ip地址。
## 缺省路由(默认路由)
- ### 概念它的网络地址和子网掩码全是0,匹配任意网络前缀。
- ### 它是比较特殊的静态路由
## acl(access control list ):
#### Acl规则:
- 每个ACL可以包含多个规则,每个规则根据自上而下的顺序过滤
#### 特点:
- 读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选和过滤。
- **三层头部信息**:源、目IP
- **四层头部信息**:TCP/UDP协议 、 源、目端口号
- 注意: **一般情况下,标准或扩展ACL一旦编写号,无法修改某一条,也无法删除某一条,也 无法修改顺序,也无法往中间插入新的条目,只能一直在最后添加新的条目。 如想修 改或插入或删除,只能删除整张表,重新写!**
## 标准acl:
#### **概念**:
- 访问控制列表 (ACL)是一种基于包**(数据包)**过滤的 访问控制技术 ,**它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。**. 访问控制列表被广泛地应用于 路由器 和 三层交换机 ,<u>借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障 网络安全</u> 。. 中文名. 访问控制列表. 外文名. Access Control Lists.
`华为设备中过滤的先后顺序是规则的编号规定的,编号越小过滤规则越优先,在Cisco或者锐捷设备中呢是根据配置规则的先后顺序进行一个过滤,在过滤执行中如果匹配到了某一条规则则会跳过匹配循环,permit或deny(允许/拒绝)`
#### 特点:
- #### 特点:
表号:1-99
可以基于源地址进行访问控制
只能基于源地址的访问控制,不能对一些特定的服务或者端口进行访问控制
#### 指令:
- ```python
access-list 1 permit 192.168.1.0 0.0.0.255
// 过滤此网段允许
access-list 1 permit host 192.168.1.2 host 192.168.2.1
// 过滤源IP-目标IP的数据包
access-list 1 permit 192.168.1.0 192.168.1.255
// 过滤1.0~1.255IP的数据包
ROUter1(config-if)#access-group <id> in/out
// 对进或出接口的数据包进行过滤,过滤规则为list <id>
no access-list <id>
// 删除ACL
IP access-list standard <id>
// 创建标准ACL
IP access-list extended <id>
// 创建扩展ACL,补充:扩展ACL五元组包括:源IP/目标IP 源端口/目标端口 协议号(协议如TCP/UDP等)
acl(扩展extended):
五元组:
源IP 目标IP 源端口号 目标端口号 协议号
特点:
表号:100-199
特点:可以基于源IP、目标IP、端口号、协议等对包进行过滤
注:80端口表示web服务器端口
指令:
1 | Router(config)#access-list (100-199) permit tcp host 192.168.1.1 host 192.168.4.1 eq 80 |
alc工作原理
ACL使用网络流量控制(过滤)技术,在路由器上读取网络层和传输层的报头信息。(源IP 目标IP 源端口 目标端口),通过执行ACL定义的访问规则,进行数据流量控制和过滤, 达到网络访问控制的目的。
访问控制列表在接口应用的方向:
`出:以经过路由器的处理,正离开路由器接口的数据包` `入:已到达路由器接口的数据包,将被路由器处理`注意:
ACL表必须应用到接口的进或出方向才生效!
一个接口的一个方向只能应用一张表!
进还是出方向应用?取决于流量控制总方向
ACL表是严格自上而下检查每一条,所以要注意书写顺序
每一条是由条件和动作组成,当流量完全满足条件当某流量没有满足某条件,则 继续检查下一条
标准ACL尽量写在靠近目标的地方
应用场景:
指令:
access-list <id> premit/deny <源IP地址> <通配符反掩码> // permit(允许) deny(拒绝) 后面可加any来表示拒绝或允许除了规则以外的全部流量 Router#show ip access-lists -------------------查看控制列表 Router(config-if)# ip access-group list_name in // 将ACL应用到接口1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
**`注释: 反子网掩码**:将正子网掩码0和1倒置`**
**`255.0.0.0 -- 0.255.255.255`**
**`255.255.0.0 -- 0.0.255.255`**
**`255.255.255.0 -- 0.0.0.255`**
**`反子网掩码作用:用来匹配条件,与0对应的需要严格匹配,与1对应的忽略!`****
* 标准和扩展的区别:
**标准ACL只检查 数据包 的源地址; 扩展ACL既检查<u>数据包</u>的源地址,<u>也检查数据包的目的地址</u>,同时还可以检查数据包的<u>特定协议类型、 端口号 等</u>**
### 通配符和反掩码的关系:
`注:`,遇到0,精确匹配(不能够改变) 遇到1可以任意变,**所以ACL过滤时使用了通配符那么就需要根据通配符来进行过滤**
在ACL中,严格意义上来说IP地址后的反掩码不算作反掩码,因为反掩码的所有字节要么1要么0,主要作用标识网络号和主机号,通配符是用来匹配bits位能不能进行改变,如果是0则精确匹配(固定数),1则任意匹配(任意数)
#### 例一:
其中反码是**0.0.255.255,前面两位是0,**所以前面两位都不能改变,后面两个都是255,代表的是1,所以符合条件的是**192.168.0.0~192.168.255.255**,符合规定的路由如第三张图,只有这**三个路由被**过滤出来
- 
#### 例二:
其中通配符全部都是0,代表都不能有变化,所以符合条件的只有**192.168.0.0**这一条被过滤出来了
- 
#### 例三:
精确到bits位来进行匹配, 奇数或偶数匹配,在ACL过滤的时候,会遇到不是全1的反掩码,例如0.0.254.255,其中第三个字节是254,转换成二进制为:0.0.00000001.11111111,其中0代表精确匹配,则前面七位都是不能改变的,由于前面七位都是2的幂且不为2^1(第8位已经是2 ^1),所以前面八位不管怎么变都是偶数,偶数+1就是奇数,所以过滤的时候就是的**一二字节不变**、**第三字节为奇数**、**第四字节任意** 的这么一个数
- 
如果相匹配偶数,**则把2^1的那位改成0**,并**且与之对应的反掩码将第8位写成0**,这样奇数就不存在了,就能够过滤偶数,192.168.0000000 0.0 0.0.254.255,这样就能匹配到偶数的IP地址
## ACL(命名):
- 作用:可以对标准或者扩展ACL进行自定义命名
- 优点:自自定义命名更容易辨认,也便于记忆! **可以任意修改某一条,或删除某一条,也可以往中间插入某一条**
ip access-list standard/extended 自定义表名 // 自定义标准或扩展名只需要在最后写上表名
1 |
|
redistribute <>
1 |
|
chap认证(挑战握手协议):
认证方发送挑战报文Challenge,包含{用户名=空、id=1(第1次为1最高为3)、随机数},被人正方将自己的用户名与id、随机数、密码计算为hash值,发送用户名和hash给认证方,认证方在检索用户名之后再将用户名、密码、id、随机数计算成hash值,再与被人正方发送的Respones报文进行比较,返回 成功/失败 Sucess/Failure 白话:被认证方将本地用户名和发起挑战方发送的challenge报文进行hash计算,将自己的用户名和挑战值(hash)值发送给认证方,认证方在自己的用户库里找到相同的用户名进行hash计算,与被认证方的挑战值进行对比过后决定是否建立连接,即hash值匹配则建立连接,不匹配则发送failure报文,表示”认证失败”
其中没有明文传输密码,而是以hash值作为代替,所以是很安全的
特点:认证端向被认证端发送
指令:
Router(config-if)#encapsulation ppp // 将接口封装为ppp协议 Router(config-if)# ppp authentication chap // 启用chap认证(建立本地CHAP口令数据库) ip address A.B.C.D <netmask> // 设置IP地址 clock rate <number > // 设置时钟频率 ppp chap hostname <被认证账户名> // 设置认证用户名 ppp chap paword <被认证密码> // 设置认证密码 username <name> password <password> // 设置账户密码(客户端)2 . 然后,我们需要在路由器的接口上启用PPP封装和CHAP认证。1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
配置思路:
1. 单项认证:
确定好客户端和服务端,**在服务端接口上开启ppp认证模式,模式切换为chap**(客户端不用开启CHAP),设置时钟频率,退出接口,设置用户名密码,服务端开启ppp认证,设置始终频率(**选择**),设置chap认证用户和密码
2. 双向认证:
双方都设置ppp认证和CHAP协议,设置串口、时钟频率、设置账号密码,互相设置认证账号和认证密码
#### 在CHAP认证过程中,挑战是由服务器端(在这个场景中是路由器)发起的。
**服务器端(路由器)配置**:
1. 首先,我们需要在路由器上创建一个用户名和密码,这将用于客户端的CHAP认证。
```bash
Router(config)#username HOST1 password cisco
Router(config)#username HOST2 password cisco
1 | Router(config)#interface Serial 0/0/0 |
客户端(主机)配置:
- 在每个主机上,我们也需要创建一个用户名和密码。这里的用户名应该与路由器上的用户名相同,密码也应该相同。
1 | Host(config)#username ROUTER password cisco |
2.然后,我们需要在主机的接口上启用PPP封装和CHAP认证。
1 | Host(config)#interface Serial 0/0/0 |
当主机试图通过路由器访问网络时,路由器会发起CHAP挑战。主机会使用它知道的路由器的用户名和密码来响应挑战。如果响应正确,路由器就会允许主机访问网络。
以上就是在Cisco设备上配置CHAP认证的过程和命令。请注意,这只是一个基本的示例,实际的网络环境可能需要更复杂的配置。此外,出于安全考虑,建议使用更强的密码,并定期更改。如果你有任何问题,请随时向我提问。
QOS(服务质量,流量带宽控制):
概念:
QoS(Quality of Service)是服务质量的简称。为用户提供有差别的网络服务
是对网络流量进行管理的协议,从传统意义上来讲,无非就是传输的带宽、传送的时延、数据的丢包率等,而提高服务质量无非也就是保证传输的带宽,降低传送的时延,降低数据的丢包率以及时延抖动等。广义上讲,服务质量涉及网络应用的方方面面,只要是对网络应用有利的措施,其实都是在提高服务质量。因此,从这个意义上来说,防火墙、策略路由、快速转发等也都是提高网络业务服务质量的措施之一。
在保证某项业务的质量的同时,也在损害其他业务的服务质量,网络资源是有限的,只要存在网络抢占资源的情况就会出现服务质量的高低。
不同设备上的QOS:
防火墙上的QoS: 防火墙通常可以配置QoS规则,以便在处理流量时根据规则对流量进行分类和优先级处理。这有助于确保关键应用程序的流量获得更高的优先级,从而提高网络性能和安全性。防火墙可以基于IP地址、端口号、协议等条件来进行QoS分类和限制流量速率。
路由器上的QoS: 路由器在路由决策时可以应用QoS策略,以根据特定的QoS标记或标志来优先路由流量。路由器可以根据流量类型、源地址、目标地址、DSCP标记等来分类和处理流量。此外,路由器还可以实施流量整形和排队策略,以确保高优先级的流量得到及时处理。
交换机上的QoS: 交换机上的QoS主要集中在局域网内的流量管理。它可以根据交换机上的端口、VLAN、MAC地址、IP地址等因素来进行流量分类和管理。交换机通常实施基于IEEE 802.1p标准的优先级队列(例如,802.1p的三个优先级队列:高<语音通话>、中<web浏览\文件备份>、低),以确保高优先级的流量在交换机内的转发时得到更高的优先级。
背景:
网络不断发展中,规模越来越大,使互联网流量激增,产生网络堵塞,增加转发时延,严重的时候还会产生丢包,导致业务质量下降甚至不可用,所以要在IP网络上开展实时业务,必须解决网络堵塞业务,最直接的就是增加带宽,但是这无疑是需要巨大成本的,所以QOS就在这时候起到作用了
在带宽有限的情况下,该技术应用一个“有保证”的策略对网络流量进行管理,
原理:
- 流量分类,就是将流量划分为多个优先级或多个服务类,
配置:
进行流分类标记:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
### Best-Effort(尽力而为):
#### 概念:
- 先入先出的规则,对时延、丢包率等性能不做任何保证(默认配置)
###
### Diffserv(区分服务):
#### 概念:
- 针对实时性较强的服务,例如ip电话、视频会议、网络直播等。为这些在网络上开通单独的通道,预留带宽、优先级等资源,其他应用资源必须保证每个**要求服务质量的数据流**让路。保证他们传输数据时的时延和抖动降低为最低限度。**比如消防车和救护车一样,其他车必须为他们让道** ,如果为所有应用都设置单独通道等于没设。指定某项服务的优先级(扩展性高)
### intserv(综合服务):
#### 概念:
- Int-Serv服务模型Int-Serv是一个综合服务模型,它可以满足多种QoS需求。该模型使用资源预留协议(RSVP),**RSVP运行在从源端到目的端的每个设备上,可以监视每个流,以防止其消耗资源过多。**这种体系能够明确区分并保证**每一个业务流的服务质量**,为网络提供最细粒度化的服务质量区分。但是,**Inter-Serv模型对设备的要求很高,当网络中的数据流数量很大时,设备的存储和处理能力会遇到很大的压力。**Inter-Serv模型**可扩展性很差**,难以在Internet核心网络实施。(很少使用)
## 报文的分类和标记(`区分不同的流量来进行分类`):
### 简单流分类:
#### 概念:
**二层:**802.1Q中PRI字段
- 802.1p(VLAN <3bits>) 等于0就是802.1Q(Tga)
- 范围0~7
- 
**2.5层:**MPLS的exp位
- EXP(label <3bits>)
- 范围0~7
- 
**三层:**IP的ToS(IPP、DSCP)
- TOS值(前3个bits:IPP<IP priority> IP优先级)
- 长度8bit(前6bit用于标识优先级,保留最后2bit不使用)
- 
### 复杂流分类:
#### 概念:
-
### 小知识:
**BFD(双向故障检测):** 这是一种高速故障检测机制,两个系统建立BDF会话后,会周期性的发送BDF报文,如果在一 方协商的检测时间没有收到BDF报文,则认为这条通路发生了故障。
**吞吐率(req/s):** 单位时间内**一次性能测试过程中**网络上**传输的数据量的总和**
**吞吐量:** 指在一次**性能测试过程中**网络上传输的**数据量的总和**
**高并发:** 通过设计系统保证并行处理多个请求
**QPS:** 每秒响应请求数
**胖AP:**可以单台设置管理模式,例如无线路由器,多内置DHCP、DNS、MAC地址克隆、防火墙等功能
**瘦AP:**不具备单独配置 或 单独使用的AP,需要搭配无线控制器(ac)来使用。
## 准入控制功能(Network Access Contr0l 简称NAC):
### 定义:
- NAC是一种网络安全技术,目标是确保只有经过授权的设备和用户才能连接到企业或组织的网络,通俗的说,**网络上有一个“门卫”,只有符合规定的设备和用户才能通过这个门进入网络,不符合规定的设备会被拒绝入内**
### 与ACL的区别:
1. **NAC** :NAC主要用于经过授权的**设备**和用户可以连接到网络,它关注的是对**网络入口**进行管理,验证授权设备和用户**身份**和**合规性** ,然后决定是否允许访问网络。NAC涉及到 **身份验证、设备健康检测、访问策略** 。
2. **ACL:** ACL是一种**规则集** ,用于定义那些**数据包**被允许通过**网络设备** ,并决定那些被拒绝。ACL**用于控制数据包的流量** ,基于:源IP地址、目标IP地址、端口号、协议等进行过滤,**ACL不涉及设备身份验证,只关注<u>数据包</u>的控制**
### NAC核心功能:
### 802.1x认证(EAPoE 认证)扩展认证协议:
主要目的是为了结局局域网内用户的接入认证问题
#### 与ppp(点对点)认证的区别:
- **应用场景:**`**ppp**`认证是对单个设备进行身份验证,而`**802.1x**`是对局域网内的设备进行身份验证和授权确保只有授权用户才能访问网络资源
- **工作方式:** **ppp认证** 涉及到用户名和密码的验证,客户端和服务器之间进行点对点连接之后进行身份验证 **802.1x认证(eapop)** 使用了更灵活的身份验证方法,通常基于EAP的各种变种
- **目标方面:** **ppp认证** 通常指在验证连接的两端,即客户端和服务端之间的互联。主要目的是确保两端的连接都是合法的
**802.1x(eapop)** 的主要目标是在局域网或者无线网中 `对连接到网络中的每个设备进行身份验证和授权。` `它不仅验证设备合法性,还确保设备被分配到适当的网络vlan,实现网络访问控制和分隔`
#### eap报文:
在客户端(client)和设备端(device)eapoe使用eapol报文封装格式,直接承载与lan坏境中
#### 认证方式:
- 认证终结:
- 认证透传
#### 配置过程:
- ```bash
aaa authentication dot1x // 开启802.1x认证
概念:
- 802.1X是一个网络认证协议,主要目的是为了解决局域网用户的接入认证问题,它就像是一个网络门卫,只有合法的用户才能进入网络。
执行过程:
启动认证: 认证过程通常是在客户端设备试图连接到受保护网络时触发的。客户端通过发送连接请求来启动认证过程,这通常是一个特殊的数据包。
服务端响应: 当客户端发送连接请求后,网络中的认证服务器会对请求进行响应。这个响应通常是一个EAP-Request/Identity消息。EAP-Request/Identity消息是认证的开始,要求客户端提供身份信息。
客户端回应: 客户端接收到EAP-Request/Identity消息后,会回应并提供自己的身份信息。这通常是一个标识符,例如用户名。
服务端验证: 客户端提供身份信息后,认证服务器介入认证过程。认证服务器会验证客户端提供的身份信息是否合法。验证方式取决于认证策略和所使用的EAP方法。验证可以包括用户名和密码的比对、数字证书的验证、双因素认证等。
认证结果: 根据认证服务器的验证结果,认证服务器会向客户端发送EAP-Success(成功)或EAP-Failure(失败)消息。
- 如果认证成功,客户端将被授权连接到网络,并可以开始访问网络资源。
- 如果认证失败,客户端将被拒绝连接,无法访问网络资源。
Portal认证:
特点:
- 通过浏览器引导用户进行身份认证,用户认证方便,交互友好便捷
- 不需要安装客户端,减少客户端的配置工作量。
- 便于运营,可以在Portal页面上开展业务拓展,如广告推送、企业宣传等
- 由于认证之前终端需要获取ip,存在一定的网络安全风险 ,对比802.1x不安全
注意事项(802.1x和NAC):
- 802.1X和NAC是协同工作的。**802.1X用于用户或设备的身份验证,而NAC用于综合考虑身份验证信息以及其他安全策略,以确定是否允许设备访问网络资源。这种联合使用可以提高网络的安全性,确保只有合法和合规**的设备和用户能够连接到网络。
BGP(边界路由协议):
概念:
1.
试卷案例命令:
**(三)
根据下述Vlan规划信息表的要求,在交换机上创建对应的Vlan
1 | vlan 10 //创建vlan |
(一)配置VRRP
SW1使用本Vlan的倒数第二个可用地址
1 | int vlan 10 //指定vlan |
(二)配置MSTP多生成树
1 |
|
(四)ssh服务
1 | SW1、SW2上设置启用SSH服务 |
(五) 端口镜像
现需要把多个安全设备分别连接到SW1设备的1/0/18-19口,通过端口镜像技术把两台核心交换机到防火墙、接入交换机的所有数据流量提交给安全设备进行监控分析。
1 | monitor session 1 source interface eth1/0/18-19 |
vrf(virtual routing and forwarding虚拟路由表):
1 |
|
sflow(网络资源监视)
1 | sflow agent-address 200.1.1.1 |
无线控制器与接入点:
胖AP(fat)和瘦AP(fit):
胖ap:除了无线路由功能以外一般具备wan,lan两个接口,大多支持DHCP服务器、DNS和MAC地址克隆,以及VPN接入、防火墙等安全功能 
- 瘦ap:仅仅作为无线接入点来使用,由无线控制器来进行统一的配置,包括DHCP地址获取等
vap(多少个WiFi就创建多少个vap):
1 |
使用场景:
capwap隧道建立的过程:
1.
1 | -----配置基础有线网络 |
vrf(虚拟路由转发)
1.
