1,静态路由
1)特点
使用静态路由的环境:
晓得网络环境仅仅需要简单的路由
在hub and spoke 的网络拓扑同
需要创建快速临时的路由
不适合静态路由的情况:
大型网络
快速扩展的网络
2)配置
拓扑
需求
a,site1和Internet处于202.106.1.0/24网络中
其中:site1的IP:202.106.1.1
internet的IP地址:202.106.1.100
b,internet和site2处于200.100.1.0/24
其中:site2的IP地址:200.100.1.10
internet的IP地址:200.100.1.100
c,配置静态/默认路由,保障site1可以和site2之间通过telnet通讯(1 telnet 2)
配置:
******************************site1*************************
!
interface Ethernet0/0 ----接口手动配置IP地址
ip address 202.106.1.1 255.255.255.0
!
ip route
200.100.1.0(目标网络前缀) 255.255.255.0(目标网络掩码
202.106.1.100(next-hop)
---配置静态路由
!
Site1#
show ip route
Codes: L - local, C - connected,
S - static
, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override
Gateway of last resort is not set
S
200.100.1.0/24 [1/0] via 202.106.1.100
202.106.1.0/24 is variably subnetted, 2 subnets, 2 masks
******************************Internet****************************
!
interface Ethernet0/0
ip address 202.106.1.100 255.255.255.0
!
interface Ethernet0/1
ip address 200.100.1.100 255.255.255.0
!
Internet#
sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override
Gateway of last resort is not set
200.100.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 200.100.1.0/24
is directly connected, Ethernet0/1
L 200.100.1.100/32 is directly connected, Ethernet0/1
202.106.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 202.106.1.0/24
is directly connected, Ethernet0/0
L 202.106.1.100/32 is directly connected, Ethernet0/0
************************Site2***********************
!
interface Ethernet0/1
ip address 200.100.1.10 255.255.255.0
!
ip route
0.0.0.0 0.0.0.0 200.100.1.100 -----配置默认(缺省)路由
!
line vty 0 4
password
cisco
---
配置登录秘钥
login
transport input
telnet
----定义登录方式(接受)
!
Site2#
show ip route
Codes: L - local, C - connected,
S - static
, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area,
* - candidate default
, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override
Gateway of last resort is 200.100.1.100 to network 0.0.0.0
S*
0.0.0.0/0 [1/0] via 200.100.1.100
200.100.1.0/24 is variably subnetted, 2 subnets, 2 masks
**************************测试********************
2,ACL(access control list)访问控制列表
作用:标记流量/路由,并针对标记标记做相关的策略(比如限制)
1)特点
a,一系列允许和拒绝条目的集合
b,按照number从上至下依次匹配
c,一旦匹配某一列表,将不再往下执行
d,任何访问控制列表的最后都有一条隐含的拒绝所有的条目
严重提醒:ACL无法限制自身发起的流量(只对抵达或穿越的流量生效)
2)通配符(Wildcard) ----所谓的“反掩码”
表示方式:点分十进制
匹配原则:
0-------表示匹配
1-------表示忽略
实例:
172.30.16.0/24 to 172.30.31.0/24
反掩码:172.30.16.0 0.0.
15
.255
匹配所有地址为使用关键词host(host .29)
忽略所有地址为使用关键词any
3)ACL的种类
a,IPv4
b,IPv6
c,非IP
奥义:相同接口相同方向只能调用一种类型的ACL
4)ACL的类型
a,PACL:端口的ACL
b,RACL:路由的ACL
c,VLAN:VLAN的ACL
5)思科ACL类型
a,标准
表示方式:数字(number)/命名(name)
数字范围:1-99/1300-1999
check:只能匹配源
调用原则:靠近目的调用
b,扩展
表示方式:数字(number)/命名(name)
数字范围:100-199/2000-2699
check:可以匹配源目IP、源目端口以及协议号
调用原则:靠近源调用
6)实验
拓扑
a,内网10.1.1.0/24
R0:10.1.1.1
R1:10.1.1.2
GW-R3:10.1.1.100
b,外网202.100.1.100
GW-R2:202.100.10.100
R3:202.100.1.10
c,使用标准ACL限制R0访问R4的流量
d,使用扩展的ACL
----只允许R0通过telnet/http访问R3
----只允许R1通过ping/SSH来访问R3
配置:
****************************需求C************************
分析:
标准的
ACL
只能检查(匹配)源
IP
,在此实验需求中,只能匹配源自于
In.R1
的流量。
调用原则:靠近目的调用,基于此实验需求中,目的为
Out.R4
。因此
ACL
在
GW.R3
或
Out.R4
上皆可配置(推荐在
Out.R4
上配置)
严重提醒:在实施
ACL
之前,一定要对网络现况做一个全面的了解。然后在实施
ACL
Out.R4
:
!定义标准
ACL
内容
access-list
1
deny 10.1.1.1
access-list
1
permit 202.100.1.0 0.0.0.255
access-list
1
permit 10.1.1.0 0.0.0.255
access-list
1
deny any log
---把默认隐含并且拒绝所有的条目显现并添加Log--了解被拒绝的流量类型
!
interface
Ethernet0/1
ip address 202.100.1.10 255.255.255.0
ip access-group
1
in
!
***************************需求D*************************
分析:因为扩展的
ACL是可以匹配源目IP、源目端口以及协议号的。
因此建议在
GW.R3
上去实施(靠近源)
GW.R3
:
!
ip access-list extended
In.traffic
permit tcp host 10.1.1.1 host 202.100.1.10 eq telnet --放行R1去往R4的telnet
permit tcp host 10.1.1.1 host 202.100.1.10 eq www---放行R1去往R4的http
permit icmp host 10.1.1.2 host 202.100.1.10 echo---放行R2 ping R4流量
permit tcp host 10.1.1.2 host 202.100.1.10 eq 22---放行R2去往R4的SSH
deny ip any any
log
!
interface
Ethernet0/0
ip address 10.1.1.100 255.255.255.0
ip access-group
In.traffic
in
!
作业:
1,ACL的作用
2,ACL的种类
3,ACL的特点
4,ACL配置方式
a,标准---只检查源---靠近目的调用
b,扩展---检查源目IP、源目的端口和协议号---靠近源调用
5,实验(课堂实验---自定义拓扑和需求)