网络规划设计师 视频笔记
網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師介紹
考試要求
????(1)系統(tǒng)掌握數(shù)據(jù)通信基本原理;
????(2)系統(tǒng)掌握計(jì)算機(jī)網(wǎng)絡(luò)的原理;
????(3)系統(tǒng)掌握計(jì)算機(jī)系統(tǒng)的原理;
????(4)系統(tǒng)掌握局域網(wǎng)、廣域網(wǎng)、Internet的技術(shù);
????(5)系統(tǒng)掌握TCP/IP體系結(jié)構(gòu)及協(xié)議;
????(6)掌握網(wǎng)絡(luò)計(jì)算機(jī)環(huán)境與網(wǎng)絡(luò)應(yīng)用;
????(7)熟練掌握各類網(wǎng)絡(luò)產(chǎn)品及其應(yīng)用規(guī)范;
????(8)掌握網(wǎng)絡(luò)安全和信息安全技術(shù)、安全產(chǎn)品及其應(yīng)用規(guī)范;
????(9)熟練應(yīng)用項(xiàng)目管理的方法和工具實(shí)施網(wǎng)絡(luò)工程項(xiàng)目;
????(10)具備大中型網(wǎng)絡(luò)設(shè)計(jì)、部署和管理的實(shí)踐經(jīng)驗(yàn)和能力;
????(11)具有大中型網(wǎng)絡(luò)測試及評估的實(shí)踐經(jīng)驗(yàn)和能力;
????(12)熟悉有關(guān)的法律法規(guī)與標(biāo)準(zhǔn);
????(13)具有應(yīng)用數(shù)學(xué)、經(jīng)濟(jì)與管理科學(xué)的相關(guān)基礎(chǔ)知識;
????(14)熟練閱讀和正確理解相關(guān)領(lǐng)域的英文文獻(xiàn);
網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師介紹
????能力標(biāo)準(zhǔn)
????????通過本考試的合格人員應(yīng)熟悉所涉及的應(yīng)用領(lǐng)域的業(yè)務(wù);在需求分析階段,能分析用戶的需求和約束條件,寫出網(wǎng)絡(luò)系統(tǒng)需求規(guī)格說明書;在規(guī)劃設(shè)計(jì)階段,能根據(jù)系統(tǒng)需求規(guī)格說明書,完成邏輯結(jié)構(gòu)設(shè)計(jì)、物理結(jié)構(gòu)設(shè)計(jì),選用適宜的網(wǎng)絡(luò)設(shè)備,按照標(biāo)準(zhǔn)規(guī)范編寫系統(tǒng)設(shè)計(jì)文檔及項(xiàng)目開發(fā)計(jì)劃;在部署實(shí)施階段,能按照系統(tǒng)設(shè)計(jì)文檔和項(xiàng)目開發(fā)計(jì)劃組織項(xiàng)目施工,對項(xiàng)目實(shí)施過程進(jìn)行質(zhì)量控制、進(jìn)度控制、成本管理,能具體指導(dǎo)項(xiàng)目實(shí)施;在評測運(yùn)維階段,能根據(jù)相關(guān)標(biāo)準(zhǔn)和規(guī)范對網(wǎng)絡(luò)進(jìn)行評估測試,能制定運(yùn)行維護(hù)、故障分析與處理機(jī)制,確保網(wǎng)絡(luò)提供正常服務(wù);能指導(dǎo)制定用戶的數(shù)據(jù)和網(wǎng)絡(luò)戰(zhàn)略規(guī)劃,能指導(dǎo)網(wǎng)絡(luò)工程師進(jìn)行系統(tǒng)建設(shè)實(shí)施;具有高級網(wǎng)絡(luò)工程師的實(shí)際工作能力和業(yè)務(wù)水平。
????綜合知識
????1、計(jì)算機(jī)網(wǎng)絡(luò)原理
????????1.1計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)知識
????????1.2數(shù)據(jù)通信基礎(chǔ)知識
????????1.3網(wǎng)絡(luò)分層與功能
????????1.4網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)軟件
????????1.4.1網(wǎng)卡
????????1.5局域網(wǎng)
????????1.6廣域網(wǎng)與接入
????????1.7網(wǎng)絡(luò)互連
????????1.8Internet協(xié)議
????????1.9網(wǎng)絡(luò)管理
????????1.10服務(wù)質(zhì)量控制技術(shù)
????2、計(jì)算機(jī)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)知識
????????2.2需求分析
????????2.3邏輯設(shè)計(jì)
????????2.4物理設(shè)計(jì)
????????2.5網(wǎng)絡(luò)測試、優(yōu)化和管理
????????2.6網(wǎng)絡(luò)故障分析與處理
????????2.7網(wǎng)絡(luò)系統(tǒng)性能評估技術(shù)和方法
????
????3、網(wǎng)絡(luò)資源設(shè)備
????????3.1網(wǎng)絡(luò)服務(wù)器
????????3.2網(wǎng)絡(luò)存儲系統(tǒng)
????????3.3其他資源
????4、網(wǎng)絡(luò)安全
????????4.1網(wǎng)絡(luò)不安全因素與網(wǎng)絡(luò)安全體系
????????4.2惡意軟件的防治
????????4.3******及預(yù)防方法
????????4.4防火墻應(yīng)用
????????4.5ISA Server應(yīng)用配置
????????4.6IDS與IPS
????????4.7訪問控制技術(shù)
????????4.8***技術(shù)
????????4.9網(wǎng)絡(luò)安全隔離
????????4.10安全認(rèn)證方法與技術(shù)
????????4.11加密和數(shù)字簽名
????????4.12網(wǎng)絡(luò)安全應(yīng)用協(xié)議
????????4.13安全審計(jì)
????????4.14安全管理
???
????5、項(xiàng)目管理
????????5.1項(xiàng)目計(jì)劃管理
????????5.2項(xiàng)目范圍管理
????????5.3項(xiàng)目進(jìn)度控制
????????5.4項(xiàng)目成本管理
????????5.5項(xiàng)目風(fēng)險(xiǎn)管理
????????5.6項(xiàng)目質(zhì)量管理
????????5.7項(xiàng)目文檔管理
?
????6、標(biāo)準(zhǔn)化與法律法規(guī)
????????6.1標(biāo)準(zhǔn)的分類
????????6.2標(biāo)準(zhǔn)化機(jī)構(gòu)
????????6.3知識產(chǎn)權(quán)
????????6.4互聯(lián)網(wǎng)有關(guān)的法律法規(guī)
????7、財(cái)務(wù)管理實(shí)務(wù)
????????7.1會計(jì)常識
????????7.2財(cái)務(wù)管理實(shí)務(wù)
????8、應(yīng)用數(shù)學(xué)
????????8.1概率統(tǒng)計(jì)應(yīng)用
????????8.2圖論應(yīng)用
????????8.3組合分析
????????8.4運(yùn)籌方法
????9、專業(yè)英語
????????9.1具有高級工程師所要求的英文閱讀水平
????????9.2熟悉網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師崗位相關(guān)領(lǐng)域的專業(yè)英語術(shù)語
案例分析
????1、網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)
????2、網(wǎng)絡(luò)工程管理
????3、網(wǎng)絡(luò)優(yōu)化
????4、網(wǎng)絡(luò)配置
????5、網(wǎng)絡(luò)性能分析與測試
????6、網(wǎng)絡(luò)故障分析
網(wǎng)絡(luò)論文
????根據(jù)試卷上給出的與網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)有關(guān)的若干論文題目,選擇其中一個(gè)題目,按照規(guī)定的要求撰寫論文。論文涉及的內(nèi)容如下:
????1、網(wǎng)絡(luò)技術(shù)應(yīng)用與對比分析
????????·交換技術(shù)類
????????·路由技術(shù)類
????????·網(wǎng)絡(luò)安全技術(shù)類
????????·服務(wù)器技術(shù)類
????????·存儲技術(shù)類
??? 2、網(wǎng)絡(luò)技術(shù)對應(yīng)用系統(tǒng)建設(shè)的影響
????????·網(wǎng)絡(luò)計(jì)算模式
????????·應(yīng)用系統(tǒng)集成技術(shù)
????????·P2P技術(shù)
????????·容災(zāi)備份與災(zāi)難恢復(fù)
????????·網(wǎng)絡(luò)安全技術(shù)
????????·基于網(wǎng)絡(luò)的應(yīng)用系統(tǒng)開發(fā)技術(shù)
????3、專用網(wǎng)絡(luò)需求分析、設(shè)計(jì)、實(shí)施和項(xiàng)目管理
????????·工業(yè)網(wǎng)絡(luò)
????????·電子政務(wù)網(wǎng)絡(luò)
????????·電子商務(wù)網(wǎng)絡(luò)
????????·保密網(wǎng)絡(luò)
????????·無線數(shù)字城市網(wǎng)絡(luò)
????????應(yīng)急指揮網(wǎng)絡(luò)
????????·視頻監(jiān)控網(wǎng)絡(luò)
????????·機(jī)房工程
????4、下一代網(wǎng)絡(luò)技術(shù)分析
????????·IPv6
????????·全光網(wǎng)絡(luò)
????????·3G、B3G、4G、WiMAX、WMN等無線網(wǎng)絡(luò)
????????·多網(wǎng)融合
RIP協(xié)議
基本概念
????RIP協(xié)議采用距離向量算法,再實(shí)際應(yīng)用中已經(jīng)較少使用。再默認(rèn)情況下,RIP使用一種非常簡單的度量制度;距離就是通往目的站點(diǎn)所需經(jīng)過的鏈路數(shù),取值為1-15,數(shù)值16表示無窮大。RIP進(jìn)程使用UDP的520端口來發(fā)送和接收RIP分組。RIP分組分隔30s以廣播的形式發(fā)送一次,為了防止出現(xiàn)“廣播風(fēng)暴”,其后續(xù)的分組將做隨機(jī)延時(shí)后發(fā)送。再RIP,如果一個(gè)路由在180s內(nèi)未被刷,則相應(yīng)的距離就被設(shè)定成無窮大,并從路由表中刪除該表項(xiàng)。RIP分組分為兩種:請求分組和響應(yīng)分組。
????RIP通過廣播UDP報(bào)文來交換路由信息,每30秒發(fā)送一次路由信息更新。RIP提供跳躍計(jì)數(shù)(hopcount)作為尺度來衡量路由距離,跳躍計(jì)數(shù)是一個(gè)包達(dá)到目標(biāo)所必須經(jīng)過的路由器的數(shù)目。如果到相同目標(biāo)有二個(gè)不等速或不同帶寬的路由器,但跳躍計(jì)數(shù)相同,則RIP認(rèn)為兩個(gè)路由是等距離的。RIP最多支持的跳數(shù)為15,即在源和目的網(wǎng)間所要經(jīng)過的最多路由器的數(shù)目為15,跳數(shù)16表示不可達(dá)。
局限性
????協(xié)議中規(guī)定,一條有效的路由信息的度量(metric)不能超過15,這就使得該協(xié)議不能應(yīng)用于很大型的網(wǎng)絡(luò),應(yīng)該說正是由于設(shè)計(jì)者考慮到該協(xié)議只適合于小型網(wǎng)絡(luò)所以才進(jìn)行了這一限制。對于metric16的目標(biāo)網(wǎng)絡(luò)來說,即認(rèn)為其不可到達(dá)。
????2)該路由協(xié)議應(yīng)用到實(shí)際中時(shí),很容易出現(xiàn)“計(jì)數(shù)到無窮大”的現(xiàn)象,這使得路由收斂很慢,再網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變化以后需要很長時(shí)間路由信息才能穩(wěn)定下來。
????3)該協(xié)議以跳數(shù),即報(bào)文經(jīng)過的路由器個(gè)數(shù)為衡量標(biāo)準(zhǔn),并以此來選擇路由,這一措施欠合理性,因?yàn)闆]有考慮網(wǎng)絡(luò)延時(shí)、可靠性、線路負(fù)荷等因素對傳輸質(zhì)量和速度的影響。
????4)計(jì)數(shù)到無窮大(Counting to Infinity)
????前面的RIP的局限性一部分提到了可能出現(xiàn)的計(jì)數(shù)到無窮大的現(xiàn)象,下面就來分析一下該現(xiàn)象的產(chǎn)生原因與過程。考察下面的簡單網(wǎng)絡(luò):
????c(目的網(wǎng)絡(luò))——routerA——routerB
????在正常情況下,對于目標(biāo)網(wǎng)絡(luò),A路由器的metric值為1,B路由器的metric值為2。當(dāng)目標(biāo)網(wǎng)絡(luò)與A路由器之間的鏈路發(fā)生故障而斷掉以后:
????c(目的網(wǎng)絡(luò))——||——routerA————routerB
????A路由器會將針對目標(biāo)網(wǎng)絡(luò)C的路由表項(xiàng)的metric值置為16,即標(biāo)記為目標(biāo)網(wǎng)絡(luò)不可達(dá),并準(zhǔn)備在每30秒進(jìn)行一次的路由表更新中發(fā)送出去,如果在這條信息還未發(fā)出的時(shí)候,A路由器收到了來自B的路由更新報(bào)文,而B中包含著關(guān)于C的metric為2的路由信息,根據(jù)前面提到的路由更新方法,路由器A會錯(cuò)誤的認(rèn)為有一條通過B路由器的路徑可以到達(dá)目標(biāo)網(wǎng)絡(luò)C,從而更新其路由表,將對于目標(biāo)網(wǎng)絡(luò)C的路由表項(xiàng)的metirc值由16改為3,而對于的du端口變?yōu)榕cB路由器相連接的端口。很明顯,A會將該條信息發(fā)給B,B將無條件。更新其路由表,將metric改為4;該信息又從B發(fā)向A,A將metric改為5……最后雙發(fā)的路由表關(guān)于目標(biāo)網(wǎng)絡(luò)C的metric值都變?yōu)?6,此時(shí),才真正得到了正確的路由信息。這種現(xiàn)象稱為“計(jì)數(shù)到無窮大”現(xiàn)象,雖然最終完成了收斂,但是收斂速度很慢,而且浪費(fèi)了網(wǎng)絡(luò)資源來發(fā)送這些循環(huán)的分組。
????另外,從這里我們也可以看出,metirc值的最大值的選擇實(shí)際上存在著矛盾,如果選得太小,那么適用的網(wǎng)絡(luò)規(guī)模太小,如果選得過大,那么在出現(xiàn)計(jì)數(shù)到無窮大現(xiàn)象的時(shí)候收斂時(shí)間會變得很長。
路由環(huán)路
????在維護(hù)路由信息表信息的時(shí)候,如果在拓?fù)浒l(fā)生改變后,網(wǎng)絡(luò)收斂緩慢產(chǎn)生了不協(xié)調(diào)或者矛盾的路由選擇條目,就會發(fā)生路由環(huán)路的問題,這種條件下,路由器對無法到達(dá)的網(wǎng)絡(luò)路由不予理睬,導(dǎo)致用戶的數(shù)據(jù)包不停在網(wǎng)絡(luò)上循環(huán)發(fā)送,最終造成網(wǎng)絡(luò)資源的嚴(yán)重浪費(fèi)。
路由環(huán)路產(chǎn)生的場景
????當(dāng)A路由器一側(cè)的X網(wǎng)絡(luò)發(fā)生故障,則A路由器收到故障信息,并把X網(wǎng)絡(luò)設(shè)置為不可達(dá),等待更新周期來通知相鄰的B路由器。但是,如果相鄰的B路由器的更新周期先來了,則A路由器講從B路由器那學(xué)到了達(dá)到X網(wǎng)絡(luò)的路由,就是錯(cuò)誤路由,因此此時(shí)的X網(wǎng)絡(luò)已經(jīng)損壞,而A路由器卻在自己的路由表內(nèi)增加了一條經(jīng)過B路由器達(dá)到X網(wǎng)絡(luò)的路由。然后A路由器還會繼續(xù)把該錯(cuò)誤路由通告B路由器,B路由器更新路由表,認(rèn)為達(dá)到X網(wǎng)絡(luò)須經(jīng)過B路由器,而B則認(rèn)為到達(dá)X網(wǎng)絡(luò)進(jìn)行A路由器。
RIP協(xié)議中對路由環(huán)路解決方案
????1、最大跳數(shù):當(dāng)一個(gè)路由條目作為副本發(fā)送出去的時(shí)候就會自加1跳,那么最大加到16跳,到16跳就已經(jīng)視為最大條數(shù)不可達(dá)了。
????2、水平分割:其規(guī)則就是不向原始路由更新來的方向再次發(fā)送路由更新信息(個(gè)人理解為單向更新,單向反饋)。比如有三臺路由器ABC,B向C學(xué)習(xí)到訪問網(wǎng)絡(luò)10.4.0.0的路徑以后,不再向C聲明自己可以通過C訪問10.4.0.0網(wǎng)絡(luò)的路徑信息,A向B學(xué)習(xí)到訪問10.4.0.0網(wǎng)絡(luò)路徑信息后,也不再向B聲明,而一旦網(wǎng)絡(luò)10.4.0.0發(fā)生故障無法訪問,C會向A和B發(fā)送該網(wǎng)絡(luò)不可達(dá)到的路由更新信息,但不會再學(xué)習(xí)A和B發(fā)送的能夠達(dá)到10.4.0.0的錯(cuò)誤信息。
????3、路由中毒(路由毒化):定義最大值在一定程度上解決了路由環(huán)路問題,但并不徹底,可以看到,在達(dá)到最大值之前,路由環(huán)路還是存在的。為此,路由中毒就可以徹底解決這個(gè)問題。其原理是這樣的:假設(shè)有三臺路由器ABC,當(dāng)網(wǎng)絡(luò)10.4.0.0出現(xiàn)故障無法訪問的時(shí)候,路由器C便向鄰居路由發(fā)送相關(guān)路由更新信息,并將其度量值標(biāo)為無窮大,告訴它們網(wǎng)絡(luò)10.4.0.0不可達(dá)到,路由器B收到毒化消息后將該鏈路路由表項(xiàng)標(biāo)記為無窮大,表示該路徑已經(jīng)失效,并向鄰居A路由器通告,依次毒化各個(gè)路由器,告訴鄰居10.4.0.0這個(gè)網(wǎng)絡(luò)已經(jīng)失效,不再接收更新信息,從而避免了路由環(huán)路。
????4、毒性逆轉(zhuǎn)(也稱為反向中毒):結(jié)合上面的例子,當(dāng)路由器B看到到達(dá)網(wǎng)絡(luò)10.4.0.0的度量值為無窮大的時(shí)候,就發(fā)送一個(gè)叫做毒化逆轉(zhuǎn)的更新信息給C路由器,說明10.4.0.0這個(gè)網(wǎng)絡(luò)不可達(dá)到,這是超越水平分割的一個(gè)特例,這樣保證所有的路由器都接受了毒化的路由信息。
????5、控制更新時(shí)間:當(dāng)路由表中的某個(gè)條目所指網(wǎng)絡(luò)消失時(shí),路由器并不會立刻的刪除該條目并學(xué)習(xí)新條目,而是嚴(yán)格按照我們前面所介紹的計(jì)時(shí)器時(shí)間現(xiàn)將條目設(shè)置為無效接著是掛起,在240秒時(shí)才刪除該條目,這么做其實(shí)是為了盡可能的給予一個(gè)時(shí)間等待發(fā)生改變的網(wǎng)絡(luò)恢復(fù)。比如收到從鄰居發(fā)送來的更新信息,包含一個(gè)比原來路徑具有更好度量值的路由,就標(biāo)記為可以訪問,并取消抑制計(jì)時(shí)器。
????6、觸發(fā)更新:因網(wǎng)絡(luò)拓?fù)浒l(fā)生變化導(dǎo)致路由表發(fā)生改變時(shí),路由器立刻產(chǎn)生更新通告直連鄰居,不在需要等待30秒的更新周期,這樣做是為了盡可能的將網(wǎng)絡(luò)拓?fù)涞母淖兺ǜ娼o其他人。
定時(shí)器
????RIP中一共使用了4個(gè)定時(shí)器:
????updatetimer,timeourtimer,garbagetimer,holddowntimer。
????Updatetimer用于每30秒發(fā)送路由更新報(bào)文。
????Timeouttimer用于路由信息失效前的180秒的計(jì)時(shí),每次收到同一條路由信息的更新信息就將該計(jì)數(shù)器復(fù)位。
????Garbagetimer和holddowntimer同時(shí)用于將失效的路由信息刪除前的計(jì)時(shí);在holddowntimer的時(shí)間內(nèi),失效的路由信息不能被接收到的新信息更新;在garbagetimer計(jì)時(shí)器超時(shí)后,失效的路由信息被刪除。
????另外,在觸發(fā)更新中,更新信息會需要1到5秒的隨機(jī)延遲以后才被發(fā)出,這里也需要一個(gè)計(jì)時(shí)器。
RIPv2概述
????RIP-v2不是一個(gè)新的協(xié)議,它只是在RIPv1協(xié)議的基礎(chǔ)上增加了一些擴(kuò)展特性,以適用于現(xiàn)代網(wǎng)絡(luò)的路由選擇環(huán)境。這些擴(kuò)展特性有:
????>每個(gè)路由條目都攜帶自己的子網(wǎng)掩碼
????>路由選擇更新更具有認(rèn)證功能
????>每個(gè)路由條目都攜帶下一跳地址
????>外部路由標(biāo)志
????>組播路由更新
????最重要的一項(xiàng)是路由更新條目增加了子網(wǎng)掩碼的字段,因而RIP協(xié)議可以使用可變長的子網(wǎng)掩碼,從而使RIP-V2協(xié)議變成了一個(gè)無類別的路由協(xié)議。
RIPv1、v2區(qū)別
????1.RIPv1是有類路由協(xié)議,RIPv2是無類路由協(xié)議
????2.RIPv1不能支持VLSM,RIPv2可以支持VLSM
????3.RIPv1沒有認(rèn)證的功能,RIPv2可以支持認(rèn)證,并且有明文和MD5兩種認(rèn)證。
????4.RIPv1沒有手工匯總的功能,RIPv2可以在關(guān)閉自動匯總的前提下,進(jìn)行手工匯總。
????5.RIPv1是廣播更新,RIPv2是組播更新。
????6.RIPv1對路由沒有標(biāo)記的功能,RIPv2可以對路由打標(biāo)記(tag),用于過濾和做策略。
????7.RIPv1發(fā)送的updata最多可以攜帶25條路由條目,RIPv2在有認(rèn)證的情況下最多只能攜帶24條路由。
????8.RIPv1發(fā)送的updata包里面沒有next-hop屬性,RIPv2有next-hop屬性,可以用于路由更新的重定。
RIP路由實(shí)例配置
????四個(gè)位于不同地理位置的子網(wǎng)通過遠(yuǎn)程電纜連接在一起,現(xiàn)在要求使用RIP協(xié)議完成整個(gè)路由選擇的配置
根據(jù)拓?fù)浣Y(jié)構(gòu)圖的要求,正確配置各路由器的各接口地址。
RIP路由配置
路由器R1的RIP配置:
R1#config terminal
R1(config)#router rip
R1(config-router)#network 192.168.1.0
R1(config-router)#network 192.168.10.0
R1(config-router)#network 192.168.12.0
R1(config-router)#end
路由器R2的RIP配置:
R2#config terminal
R2(config)#router rip
R2(config-router)#network 192.168.2.0
R2(config-router)#network 192.168.10.0
R2(config-router)#network 192.168.13.0
R2(config-router)#end
路由器R3的RIP配置:
R3#config terminal
R3(config)#router rip
R3(config-router)#network 192.168.3.0
R3(config-router)#network 192.168.11.0
R3(config-router)#network 192.168.12.0
R3(config-router)#end
路由器R4的RIP配置:
R4#config terminal
R4(config)#router rip
R4(config-router)#network 192.168.13.0
R4(config-router)#network 192.168.4.0
R4(config-router)#network 192.168.11.0
R3(config-router)#end
查看路由表
在特權(quán)模式下,使用show ip route命令查看路由表。
最前面的C或R代表路由項(xiàng)的類別,C是直連,R代表是RIP協(xié)議生成的。
第二部分是目的網(wǎng)段。
[120/1]:表示RIP路由協(xié)議的管理距離為120,1則是路由器的度量值,即跳數(shù)。
第四部分表示下一跳的IP地址。
第五部分說明了路由產(chǎn)生的時(shí)間。
第六部分表示該路由所使用的接口。
測試網(wǎng)絡(luò)連通性。
各路由器使用ping命令測試網(wǎng)絡(luò)連通性
OSPF協(xié)議
1????OSPF術(shù)語
????OSPF(Open Shortest Path First開放式最短路徑優(yōu)先)是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議(interior Gateway Protocol,簡稱IGP),用于在單一自治系統(tǒng)(autonomous system,AS)內(nèi)決策路由。是對鏈路狀態(tài)路由協(xié)議的一種實(shí)現(xiàn),故運(yùn)作于自治系統(tǒng)內(nèi)部。著名的迪克斯加算法被用來計(jì)算最短路徑樹。與RIP相比,OSPF是鏈路狀態(tài)協(xié)議,而RIP是距離矢量協(xié)議。不同廠商管理距離不同,思科OSPF的協(xié)議管理距離(AD)是110,華為OSPF的協(xié)議管理距離是150。
????鏈路是路由器接口的另一種說法,因此OSPF也稱為接口狀態(tài)路由協(xié)議。OSPF通過路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫,生成最短路徑樹,每個(gè)OSPF路由器使用這些最短路徑構(gòu)造路由表。
1.1????Router-ID
????如果路由器之間分不清誰是誰,沒有辦法確定各自的身份,那么通告的鏈路狀態(tài)就是毫無意義的,所以必須給每一個(gè)OSPF路由器定義一個(gè)身份,就相當(dāng)于人的名字,這就是Router-ID,并且Router-ID在網(wǎng)絡(luò)中絕對不可以有重名,否則路由器收到的鏈路狀態(tài),就無法確定發(fā)起者的身份,也就無法通過鏈路狀態(tài)信息確定網(wǎng)絡(luò)位置,OSPF路由器發(fā)出的鏈路狀態(tài)都會寫上自己的Router-ID,可以理解為該鏈路的簽名,不同路由器產(chǎn)生的鏈路狀態(tài),簽名決不會相同。
????每一臺OSPF路由器只有一個(gè)Router-ID,Router-ID使用IP地址的形式來表示,確定Router-ID的方法為:
手工指定Router-ID
????下例是某路由器的一段配置,可以看出該路由器的router-id為手工指定。
????#
????ospf 1 router-id 10.10.190.255
????import-route static
????area 0.0.0.0
????network 10.10.168.12 0.0.0.3
????#
????2.路由器上活動loopback接口中IP地址最大的,也就是數(shù)字最大的,如C類地址優(yōu)先于B類地址,一個(gè)非活動的接口的IP地址是不能被選為Router-ID的。
????3.如果沒有活動的loopback接口,則選擇活動物理接口IP地址最大的。
????Router-ID只在OSPF啟動時(shí)計(jì)算,或者重置OSPF進(jìn)程后計(jì)算。
????1.2????COST
????cost指接口上運(yùn)行ospf協(xié)議所需的開銷。ospf路由條目存在cost值,當(dāng)數(shù)據(jù)包到達(dá)路由器后,如果存在多條到達(dá)同意目的段的ospf路由條目,路由表中出現(xiàn)的將是cost值最小的路由條目。如果這些條目的cost值一樣,則多條路徑可實(shí)現(xiàn)數(shù)據(jù)包的負(fù)載均衡。
????OSPF使用接口的帶寬來計(jì)算cost。例如一個(gè)10 Mbit/s的接口,計(jì)算Cost的方法為:100M/10M=0(其中100M為參考帶寬,這個(gè)可以修改,但一般不推薦,因?yàn)閰⒖紟捠且粋€(gè)全局性指標(biāo)),所以一個(gè)10 Mbits/s的接口,OSPF認(rèn)為該接口的Metric值為10,需要注意的是,計(jì)算中,帶寬的單位取bit/s,而不是Kbits/s。如果路由器要經(jīng)過兩個(gè)接口才能到達(dá)目標(biāo)網(wǎng)絡(luò),那么很顯然,兩個(gè)接口的Cost值要累加起來,才算是到達(dá)目標(biāo)網(wǎng)絡(luò)的Cost值,所以Cost值累加起來,在累加時(shí),同時(shí)EIGRP一樣,只計(jì)算出接口,不計(jì)算進(jìn)接口。
????OSPF會自動計(jì)算接口上的Cost值,但也可以通過手工指定該接口的Cost值,手工指定的優(yōu)先于自動計(jì)算的值。OSPF計(jì)算的Cost,同樣是和接口帶寬成反比,帶寬越高,Cost值越小。到達(dá)目標(biāo)相同的Cost值的路徑,可以執(zhí)行負(fù)載均衡,最多6條鏈路同時(shí)執(zhí)行負(fù)載均衡。
????#
????interface Vlanif2
????ip address 192.168.1.1 255.255.255.0
????ospf cost 2 //手工指定接口的cost值
????1.3 鏈路(Link)
????就是路由器上的接口,在這里,應(yīng)該指運(yùn)行在OSPF進(jìn)程下的接口。
????
????1.4 鏈路狀態(tài)(Link-State)
????鏈路狀態(tài)(LSA)就是OSPF接口上的描述信息,例如接口上的IP地址,子網(wǎng)掩碼,網(wǎng)絡(luò)類型,Cost值等等。
????OSPF路由器之間交換的并不是路由表,而是鏈路狀態(tài)(LSA),OSPF通過獲得網(wǎng)絡(luò)中所有的鏈路狀態(tài)信息,從而計(jì)算出到達(dá)每個(gè)目標(biāo)精確的網(wǎng)絡(luò)路徑。OSPF路由器會將自己所有的鏈路狀態(tài)毫不保留地全部發(fā)給鄰居,鄰居將收到的鏈路狀態(tài)全部放入鏈路狀態(tài)數(shù)據(jù)庫(Link-State Database),鄰居再發(fā)給自己的所有鄰居,并且在傳遞過程中,絕對不會有任何更改。通過這樣的過程,最終,網(wǎng)絡(luò)中所有的OSPF路由器都擁有網(wǎng)絡(luò)中所有的鏈路狀態(tài),并且所有路由器的鏈路狀態(tài)應(yīng)該能描繪出相同的網(wǎng)絡(luò)拓?fù)洹?/p>
????比如,如今要計(jì)算一條鐵路圖,如上海地鐵二號某段的圖,如果不直接將該圖給別人看,圖好比是路由表,如今只是報(bào)給別人各個(gè)站的信息,該信息好比是鏈路狀態(tài),通過告訴別人各個(gè)站左邊一站是什么,右邊一站是什么,別人也能通過該信息(鏈路狀態(tài)),畫出完整的線路圖(路由表),如得到如下各站信息(鏈路狀態(tài)):
????從以上計(jì)算過程可以知道,因?yàn)榈玫礁髡镜男畔?#xff0c;就能畫出整條線路圖,而OSPF也同樣根據(jù)路由各接口的信息(鏈路狀態(tài)),計(jì)算出網(wǎng)絡(luò)拓?fù)鋱D,OSPF之間交換鏈路狀態(tài),就像上面交換換各站信息,而不像RIP和EIGRP直接交換路由表,交換路由表,就等于直接給人家看線路圖,可見OSPF的智能算法,比距離矢量協(xié)議對網(wǎng)絡(luò)有更精確的認(rèn)知。
????1.5????OSPF區(qū)域
????因?yàn)镺SPF路由器之間會將所有的鏈路狀態(tài)(LSA)相互交換,毫不保留,當(dāng)網(wǎng)絡(luò)規(guī)模達(dá)到一定程度時(shí),LSA將形成一個(gè)龐大的數(shù)據(jù)庫,勢必會給OSPF計(jì)算帶來巨大的壓力;為了能夠降低OSPF計(jì)算的復(fù)雜程度,緩存計(jì)算壓力,OSPF采用分區(qū)域計(jì)算,將網(wǎng)絡(luò)中所有OSPF路由器劃分成不同的區(qū)域,每個(gè)區(qū)域負(fù)責(zé)各自區(qū)域精確的LSA傳遞與路由計(jì)算,然后再將一個(gè)區(qū)域的LSA簡化和匯總之后轉(zhuǎn)發(fā)到另外一個(gè)區(qū)域,這樣一來,在區(qū)域內(nèi)部,擁有網(wǎng)絡(luò)精確的LSA,而在不同區(qū)域,則傳遞簡化LSA。
????OSPF協(xié)議區(qū)域
????·OSPF使用Area實(shí)現(xiàn)了分層——兩層模式
????·區(qū)域號是一個(gè)32bit的整數(shù)
????????-定義為IP address格式
????????-也可以用一個(gè)十進(jìn)制整數(shù)表示
????????-(ie.Area 0.0.0.0,or Area 0)
????·區(qū)域0.0.0.0保留為骨干區(qū)
????·非骨干區(qū)一定要連接到骨干區(qū)
????區(qū)域的劃分為了能夠盡量設(shè)計(jì)成無環(huán)網(wǎng)絡(luò),所以采用了Hub-Spoke的拓?fù)浼軜?gòu),也就是采用核心與分支的拓?fù)?#xff0c;如下圖:
????區(qū)域的命名可以采用整數(shù)數(shù)字,如1、2、3、4,也可以采用IP地址的形式,0.0.0.1、0.0.0.2,因?yàn)椴捎昧薍ub-Spoke的架構(gòu),所以必須定義出一個(gè)核心,然后其它部分都與核心相連,OSPF的區(qū)域0就是所有區(qū)域的核心,稱為BackBone區(qū)域(骨干區(qū)域),而其它區(qū)域稱為Normal 區(qū)域(常規(guī)區(qū)域),在理論上,所有的常規(guī)區(qū)域應(yīng)該直接和骨干區(qū)域相連,常規(guī)區(qū)域只能和骨干區(qū)域交換LSA,常規(guī)區(qū)域與常規(guī)區(qū)域之間即使直連也無法互換LSA,如上圖Area 1、Area 2、Area 3、Area 4只能和Area 0互換LSA,然后再由Area 0互換LSA,然后再由Area 0轉(zhuǎn)發(fā),Area 0就像是一個(gè)中轉(zhuǎn)站,兩個(gè)常規(guī)區(qū)域需要交換LSA,只能先交給Area 0,再由Area 0轉(zhuǎn)發(fā),而常規(guī)區(qū)域之間無法互相轉(zhuǎn)發(fā)。
????OSPF區(qū)域是基于路由器的接口劃分的,而不是基于整臺路由器劃分的,一臺路由器可以屬于單個(gè)區(qū)域,也可以屬于多個(gè)區(qū)域,如下圖
????如果一臺OSPF路由器屬于單個(gè)區(qū)域,即該路由器所有接口都屬于同一個(gè)區(qū)域,那么這臺路由器稱為Internal Router(IR),如上圖中的R2,R3和R4;
????如果一臺OSPF路由器屬于多個(gè)區(qū)域,即該路由器的接口不都屬于一個(gè)區(qū)域,那么這臺路由器稱為Area Border Router(ABR),如上圖中的R1,ABR可以將一個(gè)區(qū)域的LSA匯總后轉(zhuǎn)發(fā)至另一個(gè)區(qū)域;
????如果一臺OSPF路由器將外部路由協(xié)議重分布進(jìn)OSPF,那么這臺路由器稱為Autoomous System Boundary Router(ASBR),如上圖中,R5將EIGRP重分進(jìn)OSPF,那么R5就是ASBR,但是如果只是將OSPF重分布進(jìn)其它路由協(xié)議,則不能稱為ASBR。
????下例是某臺路由器的一段配置,可以看出該路由器充當(dāng)ASBR的角色,因?yàn)樗肓遂o態(tài)路由。
????#
????ospf 1 router-id 10.10.190.255
????import-route static
????area 0.0.0.0
????network 10.10.168.12 0.0.0.3
????#
????從它的鄰居路由器上也可以看出它是一臺ASBR路由器:
????可以配置任何OSPF路由器成為ABR或ASBR。
????由于OSPF有著多種區(qū)域,所有OSPF的路由在路由表中也以多種形式存在,共分為以下幾種:
????·如果是同區(qū)域的路由,叫做Intra-Area Route,在路由表中使用O來表示;
????·如果是不同區(qū)域的路由,叫做Inter-Area Route或Summary Route,在路由表中使用OIA來表示;
????·如果并非OSPF的路由,或者是不同OSPF進(jìn)程的路由,只是被重分布到OSPF的,叫做External Route,在路由表中使用O E2或OE 1來表示。
????·當(dāng)存在多種路由可以到達(dá)同意目的地時(shí),OSPF將根據(jù)先后順序來選擇要使用的路由,所有路由的先后順序?yàn)?#xff1a;
????Intra-Area — Inter-Area — External E1 — External E2,即 O —— O IA — O E1 — O E2。
????1.6 鄰居(Neighbor)
????路由器會將鏈路狀態(tài)數(shù)據(jù)庫中所有的內(nèi)容毫不保留地發(fā)給所有鄰居,要想在OSPF路由器之間交換LSA,必須先形成OSPF鄰居,OSPF鄰居靠發(fā)送Hello包來建立和維護(hù),Hello包會在啟動了OSPF的接口上周期性發(fā)送,在不同的網(wǎng)絡(luò)中,發(fā)送Hello包的間隔也會不同,當(dāng)超過4倍的Hello時(shí)間,也就是Dead時(shí)間過后還沒有收到鄰居的Hello包,鄰居關(guān)系將會斷開。
????下圖是hello和dead時(shí)間:
????
????兩臺OSPF路由器必須滿足4個(gè)條件,才能形成OSPF鄰居,4個(gè)必備條件如下:
????·Area-id(區(qū)域號碼)即路由器之間必須配置在相同的OSPF區(qū)域,否則無法形成鄰居;
????·Hello and Dead Interval(Hello時(shí)間與Dead時(shí)間)即路由器之間的Hello時(shí)間和Dead時(shí)間必須一致,否則無法形成鄰居。
????·Authentication(認(rèn)證)路由器之間必須配置相同的認(rèn)證密碼,如果密碼不同,則無法形成鄰居。
????·Stub Area Flag(末節(jié)標(biāo)簽)路由器之間的末節(jié)標(biāo)簽必須一致,即處在相同的末節(jié)區(qū)域內(nèi),否則無法形成鄰居。
????1.7????鄰接(Adjacency)
????兩臺OSPF路由器能夠形成鄰居,但并不一定能相互交換LSA,只要能交換LSA,關(guān)系則為鄰接(Adjacency)。鄰居之間只交換Hello包,而鄰接(Adjacency)之間不僅交換Hello包,還要交換LSA。
???
????1.8????DR/BDR
????當(dāng)多臺OSPF路由器連到同一個(gè)多路訪問網(wǎng)段時(shí),如果每臺路由器之間都相互交換LSA,那么該網(wǎng)段將充滿著眾多LSA條目,為了能夠盡量減少LSA的傳播數(shù)量,通過在多路訪問網(wǎng)段中選擇出一個(gè)核心路由器,稱為DR(Designated Router),網(wǎng)段中所有的OSPF路由器都和DR互換LSA,這樣一來,DR就會擁有所有的LSA,并且將所有的LSA轉(zhuǎn)發(fā)給每一臺路由器;DR就像是該網(wǎng)段的LSA中轉(zhuǎn)站,所有的路由器都與該中轉(zhuǎn)站互換LSA,如果DR失效后,那么就會造成LSA的丟失與不完整,所以在多路訪問網(wǎng)絡(luò)中除了選舉出DR之外,還會選舉出一臺路由器作為DR的備份,稱為BDR(Backup Designated Router),BDR在DR不可用時(shí),代替DR的工作,而既不是DR,也不是BDR的路由器稱為Drother,事實(shí)上,Dother除了和DR互換LSA之外,同時(shí)還會和BDR互換LSA。
????其實(shí),DR與BDR并沒有任何本質(zhì)與功能的區(qū)別,只有在多路訪問的網(wǎng)絡(luò)環(huán)境,才需要DR和BDR,DR與BDR的選舉是在一個(gè)二層網(wǎng)段內(nèi)選舉的,即在多個(gè)路由器互連的接口范圍內(nèi),與OSPF區(qū)域沒有任何關(guān)系,一個(gè)區(qū)域可能有多個(gè)多路訪問網(wǎng)段,那么就會存在多個(gè)DR和BDR,但一個(gè)多路訪問網(wǎng)段,只能有一個(gè)DR和BDR。
????選舉DR和BDR的規(guī)則為:
????*比較接口優(yōu)先級
????選舉優(yōu)先級最高的為DR,優(yōu)先級數(shù)字越大,表示優(yōu)先級越高,被選為DR的幾率就越大,次優(yōu)先級的為BDR,優(yōu)先級范圍是0-255,默認(rèn)為1,優(yōu)先級為0表示沒有資格選舉DR和BDR。
????*Route-Id大小
????如果在優(yōu)先級都相同的情況下,Route-Id最大的成為DR,其次是BDR,數(shù)字越大,被選為DR的幾率就越大。
????因?yàn)樗新酚善鞫寄芘cDR和BDR互換LSA,所以所有路由器都與DR和BDR都是鄰接(Adjacency)關(guān)系,而Drother與Drother之間無法互換LSA,所以Drother與Drother之間只是鄰居關(guān)系。
????在一個(gè)多路訪問網(wǎng)絡(luò)中,選舉DR和BDR是有時(shí)間限制的,該時(shí)間為Wait時(shí)間,默認(rèn)為4倍的Hello時(shí)間,即與Dead時(shí)間相同,如果OSPF路由器在超過Wait時(shí)間后也沒有其他路由器與自己競爭DR與BDR沒有失效的情況下,不會進(jìn)行重新選舉,也就是在選舉出DR與BDR之后,即使有更高優(yōu)先級的路由器加入網(wǎng)絡(luò),也不會影響DR與BDR的角色,在越出選舉時(shí)間(Wait時(shí)間)后,只有DR與BDR失效后,才會重新選舉。DR失效后,會同時(shí)重新選舉DR與BDR,而在BDR失效后,只會重新選舉BDR。
????DR和BDR才能接收和傳遞目標(biāo)地址為224.0.0.6的數(shù)據(jù)包。
????由此可見,Drother路由器將數(shù)據(jù)包發(fā)向目標(biāo)地址224.0.0.6,只能被DR和BDR接收,其他Drother不能接收;而DR和BDR將數(shù)據(jù)包發(fā)向目標(biāo)地址224.0.0.5,可以被所有路由器接收。
ACL訪問控制列表
????訪問控制列表(Access Control List,ACL)是路由器和交換機(jī)接口的指令列表,用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議,如IP、IPX、AppleTalk等。
????信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求,為了保證內(nèi)網(wǎng)的安全性,需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源,從而達(dá)到對訪問進(jìn)行控制的目的。簡而言之,ACL可以過濾網(wǎng)絡(luò)中的流量,是控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。
????配置ACL后,可以限制網(wǎng)絡(luò)流量,允許特定設(shè)備訪問,指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等。如可以配置ACL,禁止局域網(wǎng)內(nèi)的設(shè)備訪問外部公共網(wǎng)絡(luò),或者只能使用FTP服務(wù)。ACL既可以在路由器上配置,也可以在具有ACL功能的業(yè)務(wù)軟件上進(jìn)行配置。
????ACL是物聯(lián)網(wǎng)中保障系統(tǒng)安全性的重要技術(shù),在設(shè)備硬件層安全基礎(chǔ)上,通過對在軟件層面對設(shè)備間通信進(jìn)行訪問控制,使用可編程方法指定訪問規(guī)則,防止非法設(shè)備破壞系統(tǒng)安全,非法獲取系統(tǒng)數(shù)據(jù)。
作用
????ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如,ACL可以根據(jù)數(shù)據(jù)包的協(xié)議,指定數(shù)據(jù)包的優(yōu)先級。
????ACL提供對通信流量的控制手段。例如,ACL可以限定或簡化路由更新信息的長度,從而限制通過路由器某一網(wǎng)段的通信流量。
????ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL允許主機(jī)A訪問人力資源網(wǎng)絡(luò),而拒絕主機(jī)B訪問。
????ACL可以在路由器端口處決定哪些類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如,用戶可以允許E-mail通信流量被路由,拒絕所有的Telnet通信流量。
????例如,某部門要求只能使用WWW這個(gè)功能,就可以通過ACL實(shí)現(xiàn);又例如,為了某部門的保密性,不允許其訪問外網(wǎng),也不允許外網(wǎng)訪問它,就可以通過ACL實(shí)現(xiàn)。
3P原則
????記住3P原則,您便記住了在路由器上應(yīng)用ACL的一般規(guī)則。您可以為每種協(xié)議(per protocol)、每個(gè)方向(per direction)、每個(gè)接口(per interface)配置一個(gè)ACL;
????每種協(xié)議一個(gè)ACL:要控制接口上的流量,必須為接口上啟用的每種協(xié)議定義相應(yīng)的ACL。
????每個(gè)方向一個(gè)ACL:一個(gè)ACL只能控制接口上一個(gè)方向的流量。要控制入站流量和出站流量,必須分別定義兩個(gè)ACL。
????每個(gè)接口一個(gè)ACL:一個(gè)ACL只能控制一個(gè)接口(例如快速以太網(wǎng)0/0)上的流量。
??? ACL的編寫可能相當(dāng)復(fù)雜而且極具挑戰(zhàn)性。每個(gè)接口上都可以針對多種協(xié)議和各個(gè)方向進(jìn)行定義。示例中的路由器有兩個(gè)接口配置了IP、Appletalk和IPX。該路由器可能需要12個(gè)不同的ACL—協(xié)議數(shù)(3)乘以方向數(shù)(2),再乘以端口數(shù)(2)。
執(zhí)行過程
????一個(gè)端口執(zhí)行哪條ACL,這需要按照列表中的條件語句執(zhí)行順序來判斷。如果一個(gè)數(shù)據(jù)包的報(bào)頭跟表中某個(gè)條件判斷語句相匹配時(shí),它才被交給ACL中的下一條判斷語句進(jìn)行比較。如果匹配(假設(shè)為允許發(fā)送),則不管是第一條還是最后一條語句,數(shù)據(jù)都會立即發(fā)送到目的接口。如果所有的ACL判斷語句都檢測完畢,仍沒有匹配的語句出口,則該數(shù)據(jù)包將視為被拒絕而被丟棄。這里要注意,ACL不能對本路由器產(chǎn)生的數(shù)據(jù)包進(jìn)行控制。
????如果設(shè)備使用了TCAM,比如aute U3052交換機(jī),那么所有的ACL是并行執(zhí)行的。舉例來說,如果一個(gè)端口設(shè)定了多條ACL規(guī)則,并不是逐條匹配,而是一次執(zhí)行所有ACL語句。
ACL分類
????目前有三種主要的ACL:標(biāo)準(zhǔn)ACL、擴(kuò)展ACL及命名ACL。其他的還有標(biāo)準(zhǔn)MAC ACL、時(shí)間控制ACL、以太協(xié)議ACL、IPv6 ACL等。
????標(biāo)準(zhǔn)的ACL使用1-99以及1300-1999之間的數(shù)字作為表號,擴(kuò)展的ACL使用100-199以及2000-2999之間的數(shù)字作為表號。
????標(biāo)準(zhǔn)ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量,或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量,或者拒絕某一協(xié)議簇(比如IP)的所有通信流量。
????擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍。例如,網(wǎng)路管理員如果希望做到“允許外來的Web通信流量通過,拒絕外來的FTP和Telnet等通信流量”,那么,他可以使用擴(kuò)展ACL來到達(dá)目的,標(biāo)準(zhǔn)ACL不能控制這么精確。
????在標(biāo)準(zhǔn)與擴(kuò)展訪問控制列表中均要使用表號,而在命名訪問控制列表中使用一個(gè)字母或數(shù)字組合的字符串來代替前面所使用的數(shù)字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目,這樣可以讓我們在使用過程中方便地修改。在使用命名訪問控制列表時(shí),要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多個(gè)ACL,不同類型的ACL也不能使用相同的名字。
????隨著網(wǎng)絡(luò)的發(fā)展和用戶要求的變化,從IOS 12.0開始,思科(Cisco)路由器就增加了一種基于時(shí)間的訪問列表。通過它,可以根據(jù)一天中的不同時(shí)間,或者根據(jù)一星期中的不同日期,或二者相結(jié)合來控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。這種基于時(shí)間的訪問列表,就是在原來的標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表中,加入有效的時(shí)間范圍來更合理有效地控制網(wǎng)絡(luò)。首先定義一個(gè)時(shí)間范圍,然后在原來的各種訪問列表的基礎(chǔ)上應(yīng)用它。
????基于時(shí)間訪問列表的設(shè)計(jì)中,用time-range命令來指定時(shí)間范圍的名稱,然后用absolute命令,或者一個(gè)或多個(gè)periodic命令來具體定義時(shí)間范圍。
基于時(shí)間
·概述
????一個(gè)很通常的需求,就是在某個(gè)公司里,有時(shí)希望限制員工在某個(gè)時(shí)間范圍內(nèi)才可以訪問網(wǎng)頁,即HTTP服務(wù),或其他服務(wù),在時(shí)間范圍之外,就不能訪問,那么這樣的需求,就可以通過配置基于時(shí)間的ACL來實(shí)現(xiàn)。
????要通過ACL來限制用戶在規(guī)定的時(shí)間范圍內(nèi)訪問特定的服務(wù),首先設(shè)備上必須配置好正確的時(shí)間。在相應(yīng)的時(shí)間要允許相應(yīng)的服務(wù),這樣的命令,在配置ACL時(shí),是正常配置的,但是,如果就將命令正常配置之后,默認(rèn)是在所有時(shí)間內(nèi)允許的,要做到在相應(yīng)的時(shí)間內(nèi)允許,還必須為該命令加上一個(gè)時(shí)間限制,這樣就使得這條ACL命令只在此時(shí)間范圍內(nèi)才能生效。而要配置這樣的時(shí)間范圍,是通過配置time-range來實(shí)現(xiàn)的,在time-range中定義好時(shí)間,再將此time-range跟在某ACL的條目之后,那么此條目就在該時(shí)間范圍內(nèi)其作用,其它時(shí)間是不起作用的。
????在定義time-range時(shí),常用的時(shí)間簡單分為兩種,第一種叫做絕對時(shí)間(absolute),即這個(gè)時(shí)間只生效一次,比如2010年1月1日15:00;另一種時(shí)間叫做周期時(shí)間(periodic),即這個(gè)時(shí)間是會多次重復(fù)的,比如每周一,或者每周一到周五。
????1.應(yīng)用ACL
????r1(config)#int f0/1
????r1(config-if)#ip access-group 150 out
????1.測試時(shí)間范圍內(nèi)的流量情況
????(1)查看當(dāng)前R1的時(shí)間
????r1#sh clock
????14:34:33.002 GMT Thu Oct 2009
????r1#
????說明:當(dāng)前時(shí)間為周四14:34,即在所配置的時(shí)間范圍內(nèi)。
????(2)測試R2向R4發(fā)起telnet會話
????r2#telnet 14.1.1.4
????Trying 14.1.1.4
????%Destination unreachable;gateway or host down
????r2#
????說明:可以看到,在規(guī)定的時(shí)間范圍內(nèi),R2向R4發(fā)起telnet會話是被拒絕的。
????(3)測試除telnet外的其它流量
????r2#ping 14.1.1.4
????Type escape sequence to abort.
????Sending 5,100-byte ICMP Echos to 14.1.1.4,timeout is 2 seconds:
????!!!!!
????Success rate is 100 percent(5/5),round-trip min/avg/max=1/2/4 ms
????r2#
????說明:可以看到,在規(guī)定的時(shí)間范圍內(nèi),除了telnet之外,其它流量不受限制。
????(4)測試除R2之外的設(shè)備telnet情況
????r3#telnet 14.1.1.4
????Trying 14.1.1.4…Open
????r4>
????說明:可以看到,除R2之外,其它設(shè)備telnet并不受限制。
????1.測試時(shí)間范圍外的流量情況
????(1)查看當(dāng)前R1的時(shí)間
????r1#sh clock
????15:01:15.206 GMT Thu Oct 1 2009
????r1#
????說明:當(dāng)前時(shí)間為周四15:01,即在所配置的時(shí)間范圍之外。
????(2)測試R2向R4發(fā)起telnet會話
????r2#telnet 14.1.1.4
????Typing 14.1.1.4…Open
????r4>
????說明:在時(shí)間范圍之外,所限制的流量被放開。
正確放置
????ACL通過過濾數(shù)據(jù)包并且丟棄不希望抵達(dá)目的地的數(shù)據(jù)包來控制通信流量。然而,網(wǎng)絡(luò)能否有效地減少不必要的通信流量,這還要取決于網(wǎng)絡(luò)管理員把ACL放置在哪個(gè)地方。
????假設(shè)在的一個(gè)運(yùn)行TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)只想拒絕從RouterA的T0接口連接的網(wǎng)絡(luò)到RouterID的E1接口連接的網(wǎng)絡(luò)的訪問,即禁止從網(wǎng)絡(luò)1到網(wǎng)絡(luò)2的訪問。
????根據(jù)減少不必要通信流量的來源處,即RouterA。如果網(wǎng)管員使用標(biāo)準(zhǔn)ACL來進(jìn)行網(wǎng)絡(luò)流量限制,因?yàn)闃?biāo)準(zhǔn)ACL只能檢查源IP地址,所以實(shí)際執(zhí)行情況為:凡事檢查到源IP地址和網(wǎng)絡(luò)1匹配的數(shù)據(jù)包將會被丟掉,即網(wǎng)絡(luò)1到網(wǎng)絡(luò)2、網(wǎng)絡(luò)3和網(wǎng)絡(luò)4的訪問都將被禁止。由此可見,這個(gè)ACL控制方法不能達(dá)到網(wǎng)管員的目的。同理,將ACL放在RouterB和RouterC上也存在同樣的問題。只有將ACL放在連接目標(biāo)網(wǎng)絡(luò)的RouterID上(E0接口),網(wǎng)絡(luò)才能準(zhǔn)確實(shí)現(xiàn)網(wǎng)管員的目標(biāo)。由此可以得出一個(gè)結(jié)論:標(biāo)準(zhǔn)ACL要盡量靠近目的端。
????網(wǎng)絡(luò)管理員如果使用擴(kuò)展ACL來進(jìn)行上述控制,則完全可以把ACL放在RouterA上,因?yàn)閿U(kuò)展ACL能控制源地址(網(wǎng)絡(luò)1),也能控制目的地址(網(wǎng)絡(luò)2),這樣從網(wǎng)絡(luò)1到網(wǎng)絡(luò)2訪問的數(shù)據(jù)包在RouterA上就被丟棄,不會傳到RouterB、RouterC和RouterD上,從而減少不必要的網(wǎng)絡(luò)流量。因此,我們可以得出另一個(gè)結(jié)論:擴(kuò)展ACL要盡量靠近源端。ACL的主要命令描述access-list 定義訪問控制列表參數(shù)ip access-group 指派一個(gè)訪問列表到一個(gè)接口ip access-list extended定義一個(gè)擴(kuò)展訪問控制列表Remark注釋一個(gè)訪問控制列表show ip access-list顯示已配置的訪問控制列表。
定義規(guī)范
????(1)ACL的列表號指出了是那種協(xié)議的ACL。各種協(xié)議有自己的ACL,而每個(gè)協(xié)議的ACL又分為標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。這些ACL是通過ACL列表號區(qū)別的。如果在使用一種訪問ACL時(shí)用錯(cuò)了列表號,那么就會出錯(cuò)誤。
????(2)一個(gè)ACL的配置是每協(xié)議、每接口、每方向的。路由器的一個(gè)接口上每一種協(xié)議可以配置進(jìn)方向和出方向兩個(gè)ACL。也就是說,如果路由器上啟用了IP和IPX兩種協(xié)議棧,那么路由器的一個(gè)接口上可以配置IP、IPX兩種協(xié)議,每種協(xié)議進(jìn)出兩個(gè)方向,共四個(gè)ACL。
????(3)ACL的語句順序決定了對數(shù)據(jù)包的控制順序。在ACL中各描述語句的放置順序是很重要的。當(dāng)路由器決定某一數(shù)據(jù)包是被轉(zhuǎn)發(fā)還是被阻塞時(shí),會按照各項(xiàng)描述語句在ACL中的順序,根據(jù)各描述語句的判斷條件,對數(shù)據(jù)報(bào)進(jìn)行檢查,一旦找到了某一匹配條件就結(jié)束比較過程,不再檢查以后的其他條件判斷語句。
????(4)最有限制性的語句應(yīng)該放在ACL語句的首行。把最有限制性的語句放在ACL語句的首行或者語句中靠近前面的位置上,把“全部允許”或者“全部拒絕”這樣的語句放在末行或接近末行,可以防止出現(xiàn)諸如本該拒絕(放過)的數(shù)據(jù)包被放過(拒絕)的情況。
????(5)新的表項(xiàng)只能被添加到ACL的末尾,這意味著不可能改變已有訪問控制列表的功能。如果必須改變,只有先刪除已存在的ACL,然后創(chuàng)建一個(gè)新ACL,將新ACL應(yīng)用到相應(yīng)的接口上。
????(6)在將ACL應(yīng)用到接口之前,一定要先建立ACL。首先在全局模式下建立ACL,然后把它應(yīng)用在接口的出方向上。在接口上應(yīng)用一個(gè)不存在的ACL是不可能的。
????(7)ACL語句不能被逐條的刪除,只能一次性刪除整個(gè)ACL。
????(8)在ACL的最后,有一條隱含的“全部拒絕”的命令,所以在ACL里一定至少有一條“允許”的語句。
????(9)ACL只能過濾穿過路由器的數(shù)據(jù)流量,不能過濾由路由器上發(fā)出的數(shù)據(jù)包。
????(10)在路由器選擇進(jìn)行以前,應(yīng)用在接口進(jìn)入方向的ACL起作用。
????(11)在路由器選擇決定以后,應(yīng)用在接口離開方向的ACL起作用。
常見問題
????1.“ACL的最后一條語句都是隱式拒絕語句”是什么意思?
????每個(gè)ACL的末尾都會自動插入一條隱含的deny語句,雖然ACL中看不到這條語句,它仍起作用。隱含的deny語句會阻止所有流量,以防不受歡迎的流量意外進(jìn)入網(wǎng)絡(luò)。
????1.配置ACL后為什么沒有生效?
????在創(chuàng)建訪問控制列表之后,必須將其應(yīng)用到某個(gè)接口才可開始生效。ACL控制的對象是進(jìn)出接口的流量。
命令格式
????access-list命令
????(1)標(biāo)準(zhǔn)訪問列表
????access-list access-list-number {permit | deny}{source [source-wildcard] | any}
????命令解釋如下。
????access-list:訪問列表命令。
????access-list-number:訪問列表號碼,值為1-99
????permit:允許
????deny:拒絕
????source:源IP地址。
????source-wildcard:源IP地址的通配符。
????(2)擴(kuò)展訪問列表
????access-list access-list-number { permit | deny } {protocol \ protocol-keyword }:可使用的協(xié)議,包括IP、ICMP、IGRP、EIGRP、OSPF等。
????destination destination-wild:目的IP地址,格式與源IP地址相同。
????protocol-specific options:協(xié)議制定的選項(xiàng)。
????log:記錄有關(guān)數(shù)據(jù)報(bào)進(jìn)入訪問列表的信息。
NAT技術(shù)
????NAT(Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)是1994年提出的。當(dāng)在專用內(nèi)部的一些主機(jī)本來已經(jīng)分配到了本地IP地址(即僅在本專用網(wǎng)內(nèi)使用的專用地址),但現(xiàn)在又想和因特網(wǎng)的主機(jī)通信(并不需要加密)時(shí),可使用NAT方法。
????這種方法需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝NAT軟件。裝有NAT軟件的路由器叫做NAT路由器,它至少有一個(gè)有效的外部全球IP地址。這樣,所有使用本地地址的主機(jī)在和外界通信時(shí),都要在NAT路由器上將其本地地址轉(zhuǎn)換成全球IP地址,才能和因特網(wǎng)連接。
????另外,這種通過使用少量的公有IP地址代表較多的私有IP地址的方式,將有助于減緩可用的IP地址空間的枯竭。在RFC1632中有對NAT的說明。
NAT功能
????NAT不僅能解決了IP地址不足的問題,而且還能夠有效地避免來自網(wǎng)絡(luò)外部的×××,隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)
????1、寬帶分享:這是NAT主機(jī)的最大功能;
????2、安全防護(hù):NAT之內(nèi)的PC聯(lián)機(jī)到Internet上面時(shí),他所顯示的IP是NAT主機(jī)的公共IP,所以Client端的PC當(dāng)然就具有一定程度的安全了,外界在進(jìn)行portscan(端口掃描)的時(shí)候,就偵測不到源Client端的PC。
NAT的實(shí)現(xiàn)方式
????NAT的實(shí)現(xiàn)有三種,即靜態(tài)轉(zhuǎn)換Static Nat、動態(tài)轉(zhuǎn)換Dynamic Nat和端口多路復(fù)用Overload。
????靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址,IP地址對是一對一的,是一成不變的,某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換,可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。
????動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí),IP地址是不確定的,是隨機(jī)的,所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說,只要指定哪些內(nèi)部地址可以轉(zhuǎn)換,以及用哪些合法地址作為外部地址時(shí),就可以進(jìn)行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)。可以采用動態(tài)轉(zhuǎn)換的方式。
????端口多路復(fù)用(Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換,即端口地址轉(zhuǎn)換(PAT,Port Address Translation)采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對Internet的訪問,從而可以最大限度地節(jié)約IP資源。同時(shí),又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī),有效避免來自internet的×××。因此,目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。
????ALG(Application Level Gateway),即應(yīng)用程序級網(wǎng)關(guān)技術(shù):傳統(tǒng)的NAT技術(shù)只對IP層和傳輸層頭部進(jìn)行轉(zhuǎn)換處理,但是一些應(yīng)用層協(xié)議,在協(xié)議數(shù)據(jù)報(bào)文中包含了地址信息。為了使得這些應(yīng)用也能透明地完成NAT轉(zhuǎn)換,NAT使用一種稱作ALG的技術(shù),它能對這些應(yīng)用程序在通信時(shí)所包含的地址信息也進(jìn)行相應(yīng)的NAT轉(zhuǎn)換。例如:對于FTP協(xié)議的PORT/PASV命令、DNS協(xié)議的“A”和“PTR” queries命令和部分ICMP消息類型等都需要相應(yīng)的ALG來支持。
????如果協(xié)議數(shù)據(jù)報(bào)文中不包含地址信息,則很容易利用傳統(tǒng)的NAT技術(shù)來完成透明的地址轉(zhuǎn)換功能,通常我們使用的如下應(yīng)用就可以直接利用傳統(tǒng)的NAT技術(shù):HTTP、TELNET、FINGER、NTP、NFS、ARCHIE、RLOGIN、RSH、RCP等。
·NAT的技術(shù)背景
????要真正了解NAT就必須先了解現(xiàn)在IP地址的適用情況,私有IP地址是指內(nèi)部網(wǎng)絡(luò)或主機(jī)的IP地址,公有IP地址是指在因特網(wǎng)上全球唯一的IP地址。RFC 1918為私有網(wǎng)絡(luò)預(yù)留出了三個(gè)IP地址塊,如下:
????A類:10.0.0.0-10.255.255.255
????B類:172.16.0.0-172.31.255.255
????C類:192.168.0.0-192.168.255.255
????上述三個(gè)范圍內(nèi)的地址不會出現(xiàn)在因特網(wǎng)上被分配,因此可以不必向ISP或注冊中心申請而在公司或企業(yè)內(nèi)部自由使用。
????隨著接入Internet的計(jì)算機(jī)數(shù)量的不斷猛增,IP地址資源也就愈加顯得捉襟見肘。事實(shí)上,除了中國教育和科研計(jì)算機(jī)網(wǎng)(CERNET)外,一般用戶幾乎申請不到整段的C類IP地址。在其他ISP那里,即使是擁有幾百臺計(jì)算機(jī)的大型局域網(wǎng)用戶,當(dāng)他們申請IP地址時(shí),所分配的地址也不過只有幾個(gè)或幾十個(gè)IP地址。顯然,這樣少的IP地址根本無法滿足網(wǎng)絡(luò)用戶的需求,于是也就產(chǎn)生了NAT技術(shù)。
????雖然NAT可以借助于某些代理服務(wù)器來實(shí)現(xiàn),但考慮到運(yùn)算成本和網(wǎng)絡(luò)性能,很多時(shí)候都是在路由器上來實(shí)現(xiàn)。
·NAPT
????NAPT(Network Address Port Translation),即網(wǎng)絡(luò)端口地址轉(zhuǎn)換,可將多個(gè)內(nèi)部地址映射為一個(gè)合法公網(wǎng)地址,但以不同的協(xié)議端口號與不同的內(nèi)部地址相對應(yīng),也就是<內(nèi)部地址+內(nèi)部端口>與<外部地址+外部端口>之間的轉(zhuǎn)換。NAPT普遍用于接入設(shè)備中,它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面。NAPT也被稱為“多對一”的NAT,或者叫PAT(Port Address Translations,端口地址轉(zhuǎn)換)、地址超載(address overloading)。
????NAPT與動態(tài)地址NAT不同,它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上,同時(shí)在該地址上加上一個(gè)由NAT設(shè)備選定的TCP端口號。NAPT算得上是一種較流行的NAT變體,通過轉(zhuǎn)換TCP或UDP協(xié)議端口號以及地址來提供并發(fā)性。除了一對源和目的IP地址之外,這個(gè)表還包括一對源和目的協(xié)議端口號,以及NAT盒使用的一個(gè)協(xié)議端口號。
????NAPT的主要優(yōu)勢在于,能夠使用一個(gè)全球有效IP地址獲得通用性。主要缺點(diǎn)在于其通信僅限于TCP或UDP。當(dāng)所有通信都采用TCP或UDP,NAPT允許一臺內(nèi)部計(jì)算機(jī)訪問多臺外部計(jì)算機(jī),并允許多臺內(nèi)部主機(jī)訪問同一臺外部計(jì)算機(jī),相互之間不會發(fā)生沖突。
NAT工作原理
????借助于NAT,私有(保留)地址的“內(nèi)部”網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時(shí),私有地址被轉(zhuǎn)換成合法的IP地址,一個(gè)局域網(wǎng)只需使用少量IP地址(甚至是1個(gè))即可實(shí)現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)與Internet的通信需求。
????NAT將自動修改IP報(bào)文的源IP地址和目的IP地址,IP地址校驗(yàn)則在NAT處理過程中自動完成。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報(bào)文的數(shù)據(jù)部分中,所以還需要同時(shí)對報(bào)文的數(shù)據(jù)部分進(jìn)行修改,以匹配IP頭中已經(jīng)修改過的源IP地址。否則,在報(bào)文數(shù)據(jù)部分嵌入IP地址的應(yīng)用程序就不能正常工作。
????1、如圖這個(gè)client(終端)的gateway(網(wǎng)關(guān))設(shè)定為NAT主機(jī),所以當(dāng)要連上Internet的時(shí)候,該封包就會被送到NAT主機(jī),這個(gè)時(shí)候的封包Header之source IP(源IP)為192.168.1.100;
????2、而透過這個(gè)NAT主機(jī),它會將client的對外聯(lián)機(jī)封包的source IP(192.168.1.100)偽裝成ppp0(假設(shè)為撥接情況)這個(gè)接口所具有的公共IP,因?yàn)槭枪睮P了,所以這個(gè)封包就可以連上Internet了,同時(shí)NAT主機(jī)并會記憶這個(gè)聯(lián)機(jī)的封包是由哪一個(gè)(192.168.1.100)client端傳送來的;
????????3、由Internet傳送回來的封包,當(dāng)然由NAT主機(jī)來接收了,這個(gè)時(shí)候,NAT主機(jī)會去查詢原本記錄的路由信息,并將目標(biāo)IP由ppp0上面的公共改回原來的192.168.1.100;
????????4、最后則由NAT主機(jī)將封包傳送給原先發(fā)送封包的Clinet。
配置NAT
????在配置NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換之前),首先需要了解內(nèi)部本地地址和內(nèi)部全局地址的分配情況。根據(jù)不同的需求,執(zhí)行以下不同的配置任務(wù)。
????·內(nèi)部源地址NAT配置
????·內(nèi)部源地址NAPT配置
????·重疊地址NAT配置
????·TCP負(fù)載均衡
·配置內(nèi)部源地址靜態(tài)NAT
????當(dāng)內(nèi)部網(wǎng)絡(luò)需要與外部網(wǎng)絡(luò)通訊時(shí),需要配置NAT,將內(nèi)部私有IP地址轉(zhuǎn)換成全局唯一IP地址。您可以配置靜態(tài)或動態(tài)的NAT來實(shí)現(xiàn)互聯(lián)互通的目的,或者需要同時(shí)配置靜態(tài)和動態(tài)的NAT。
????靜態(tài)NAT,是建立內(nèi)部本地地址和內(nèi)部全局地址的一對一永久映射。當(dāng)外部網(wǎng)絡(luò)需要通過固定的全局可路由地址訪問內(nèi)部主機(jī),靜態(tài)NAT就顯得十分重要。要配置靜態(tài)NAT,在全局配置模式中執(zhí)行以下命令:
| 命令 | 作用 |
R(config)#ip nat inside source static local-address global-address [permit-inside] [vrf vrf_name] | 定義內(nèi)部源地址靜態(tài)轉(zhuǎn)換關(guān)系 |
R(config)#interface interface-type interface-number | 進(jìn)入接口配置模式 |
| R(config-if)#ip nat inside | 定義該接口連接內(nèi)部網(wǎng)絡(luò) |
R(config)#interface interface-type interface-number | 進(jìn)入接口配置模式 |
| R(config-if)ip nat outside | 定義該接口連接外部網(wǎng)絡(luò) |
????以上配置較為簡單,可以配置多個(gè)Inside和outside接口。
????·配置內(nèi)部源地址動態(tài)NAT
????動態(tài)NAT,是建立內(nèi)部本地地址和內(nèi)部全局地址池的臨時(shí)映射關(guān)系,過一段時(shí)間沒有用就會刪除映射關(guān)系。要配置動態(tài)NAT,在全局配置模式中執(zhí)行以下命令:
| 命令 | 作用 |
R(config)#ip nat pool address-pool start-address end-address {netmask mask | prefix-length prefix-length} | 定義全局IP地址池 |
R(config)#access-list access-list-number permit ip-address wildcard | 定義訪問列表,只有匹配該列表的地址才轉(zhuǎn)換 |
| R(config)#ip nat inside source list access-list-number pool address-pool [vrf vrf_name] | 定義內(nèi)部源地址動態(tài)轉(zhuǎn)換關(guān)系 |
| R(config)#interface interface-type interface-number | 進(jìn)入接口配置模式 |
| R(config-if)#ip nat inside | 定義接口連接內(nèi)部網(wǎng)絡(luò) |
| R(config)#interface interface-type interface-number | 進(jìn)入接口配置模式 |
| R(config-if)#ip nat outside | 定義接口連接外部網(wǎng)絡(luò) |
????需要注意的是:訪問列表的定義,使得只在列表中許可的源地址才可以被轉(zhuǎn)換,必須注意訪問列表最后一個(gè)規(guī)則是否定全部。訪問列表不能定義太寬,要盡量準(zhǔn)確,否則將出現(xiàn)不可預(yù)知的結(jié)果。
·配置內(nèi)部源地址NAPT
????傳統(tǒng)的NAT一般是指一對一的地址映射,不能同時(shí)滿足所有的內(nèi)部網(wǎng)絡(luò)主機(jī)與外部網(wǎng)絡(luò)通訊的需要。使用NAPT(網(wǎng)絡(luò)地址端口轉(zhuǎn)換),可以將多個(gè)內(nèi)部本地地址映射到一個(gè)內(nèi)部全局地址。
????NAPT分為靜態(tài)NAPT和動態(tài)NAPT。靜態(tài)NAPT一般應(yīng)用在將內(nèi)部網(wǎng)指定主機(jī)的指定端口映射到全局地址的指定端口上。而前一小節(jié)提及的靜態(tài)NAT,是將內(nèi)部主機(jī)映射成全局地址。
????要配置靜態(tài)NAPT,在全局配置模式中執(zhí)行以下命令:
| 命令 | 作用 |
R(config)#ip nat inside source static {UDP|TCP} local-address port global-address port [permit-inside] [vrf vrf_name] | 定義內(nèi)部源地址靜態(tài)轉(zhuǎn)換關(guān)系 |
| R(config)#interface interface-type interface-number | 進(jìn)入接口配置模式 |
| R(config-if)# ip nat inside | 定義該接口連接內(nèi)部網(wǎng)絡(luò) |
| R(config)#interface interface-type interface-number | 進(jìn)入接口配置模式 |
| R(config-if)#ip nat outside | 定義接口連接外部網(wǎng)絡(luò) |
????NAPT可以使用地址池中的IP地址,也可以直接使用接口的IP地址。一般來說一個(gè)地址就可以滿足一個(gè)網(wǎng)絡(luò)的地址轉(zhuǎn)換需要,一個(gè)地址最多可以提供64512個(gè)NAT地址轉(zhuǎn)換。如果地址不夠,地址池可以多定義幾個(gè)地址。
NAT配置實(shí)例
????在配置網(wǎng)絡(luò)地址轉(zhuǎn)換的過程之前,首先必須搞清楚內(nèi)部接口和外部接口,以及在哪個(gè)外部接口上啟用NAT。通常情況下,連接到用戶內(nèi)部網(wǎng)絡(luò)的接口是NAT內(nèi)部接口,而連接到外部網(wǎng)絡(luò)(如Internet)的接口是NAT外部接口。
·靜態(tài)地址轉(zhuǎn)換的實(shí)現(xiàn)
????假設(shè)內(nèi)部局域網(wǎng)使用的IP地址段為192.168.0.1-192.168.0.254,路由器局域網(wǎng)端(即默認(rèn)網(wǎng)關(guān))的IP地址為192.168.0.1,子網(wǎng)掩碼為255.255.255.0。網(wǎng)絡(luò)分配的合法IP地址范圍為61.159.62.128-61.159.62.135,路由器在廣域網(wǎng)中的IP地址為61.159.62.129,子網(wǎng)掩碼為255.255.255.248可用于轉(zhuǎn)換的IP地址范圍為61.159.62.130-61.159.62.134。要求將內(nèi)部網(wǎng)址192.168.0.2-192.168.0.6分別轉(zhuǎn)換為合法IP地址61.159.62.130-61.159.62.134。
????第一步,設(shè)置外部端口。
????interface serial 0
????ip address 61.159.62.129 255.255.255.248
????ip nat outside
????第二步,設(shè)置內(nèi)部端口
????interface ethernet 0
????ip address 192.168.0.1 255.255.255.0
????ip nat inside
????第三步,在內(nèi)部本地與外部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。
????ip nat inside source static 內(nèi)部本地地址 外部合法地址。
????示例:
????ip nat inside source static 192.168.0.2 61.159.62.130????//將內(nèi)部網(wǎng)絡(luò)地址 192.168.0.2轉(zhuǎn)換為合法IP地址61.159.62.130
????ip nat inside source static 192.168.0.3 61.159.62.131????//將內(nèi)部網(wǎng)絡(luò)地址 192.168.0.3轉(zhuǎn)換為合法IP地址61.159.62.131
????ip nat inside source static 192.168.0.4 61.159.62.132????//將內(nèi)部網(wǎng)絡(luò)地址 192.168.0.4轉(zhuǎn)換為合法IP地址61.159.62.132
????ip nat inside source static 192.168.0.5 61.159.62.133????//將內(nèi)部網(wǎng)絡(luò)地址 192.168.0.5轉(zhuǎn)換為合法IP地址61.159.62.133
????ip nat inside source static 192.168.0.6 61.159.62.134????//將內(nèi)部網(wǎng)絡(luò)地址 192.168.0.6轉(zhuǎn)換為合法IP地址61.159.62.134
????至此,靜態(tài)地址轉(zhuǎn)換配置完畢。
·動態(tài)地址轉(zhuǎn)換的實(shí)現(xiàn)
????假設(shè)內(nèi)部網(wǎng)絡(luò)使用的IP地址段為172.16.100.1-172.16.100.254,路由器局域網(wǎng)端口(即默認(rèn)網(wǎng)關(guān))的IP地址為172.16.100.1,子網(wǎng)掩碼為255.255.255.0。網(wǎng)絡(luò)分配的合法IP地址范圍為61.159.62.128-61.159.62.191,路由器在廣域網(wǎng)中的IP地址為61.159.62.129,子網(wǎng)掩碼為255.255.255.192,可用于轉(zhuǎn)換的IP地址范圍為61.159.62.130-61.159.62.190。要求將內(nèi)部網(wǎng)址172.16.100.2-172.16.100.254動態(tài)轉(zhuǎn)換為合法IP地址61.159.62.130-61.159.62.190。
????第一步,設(shè)置外部端口.
????設(shè)置外部端口命令的語法如下:
????ip nat outside
????示例:
????interface serial 0 //進(jìn)入串行端口 serial 0
????ip address 61.159.62.129 255.255.255.192 //將其IP地址指定為61.159.62.129,子網(wǎng)掩碼為255.255.255.192
????ip nat outside //將串行口serial 0設(shè)置為外網(wǎng)端口
????注意,可以定義多個(gè)外部端口。
????
????第二步,設(shè)置內(nèi)部端口
????設(shè)置內(nèi)部接口命名的語法如下:
????ip nat inside
????示例:
????interface ethernet 0 //進(jìn)入以太網(wǎng)端口 Ethernet 0
????ip address 172.16.100.1 255.255.255.0 //將其IP地址指定為172.16.100.1,子網(wǎng)掩碼為255.255.255.0
????ip nat inside //將Ethernet 0 設(shè)置為內(nèi)網(wǎng)端口。
????注意,可以定義多個(gè)內(nèi)部端口。
????
????第三步,定義合法IP地址池。
????定義合法IP地址池命令的語法如下:
????ip nat pool 地址池名稱起始IP地址 終止IP地址子網(wǎng)掩碼
????其中,地址池名字可以任意設(shè)定。
????示例:
????ip nat pool chinanet,IP范圍為61.159.62.130 61.159.62.190 netmask 255.255.255.192 //指明地址緩沖池的名稱為chinanet,IP地址范圍是61.159.62.130-61.159.62.190,子網(wǎng)掩碼為255.255.255.192。需要注意的是,即使掩碼為255.255.255.0,也會由起始IP地址和終止IP地址對IP地址池進(jìn)行限制。
????或ip nat pool test 61.159.62.130 61.159.62.190 prefix-length 26
????注意,如果有多個(gè)合法IP地址范圍,可以分別添加。例如,如果還有一段合法IP地址范圍為“211.82.216.1-211.82.216.254”,那么,可以再通過下述命令將其添加至緩沖池中。
????ip nat pool cernet 211.82.216.1 211.82.216.254 netmask 255.255.255.0
????或
????ip nat pool test 211.82.216.1 211.82.216.254 prefix-length 24
????
????第四步,定義內(nèi)部網(wǎng)絡(luò)中允許訪問Internet的訪問列表。
????定義內(nèi)部訪問列表命令的語法如下:
????access-list 標(biāo)號 permit 源地址通配符(其中,標(biāo)號為1-99之間的整數(shù))
????access-list 1 permit 172.16.100.0 0.0.0.255 //允許訪問Internet的網(wǎng)段為172.16.100.0-172.16.100.255,反掩碼為0.0.0.255。需要注意的是,在這里采用的是反掩碼,而非子網(wǎng)掩碼。反掩碼。反掩碼與子網(wǎng)掩碼的關(guān)系為:反掩碼+子網(wǎng)掩碼=255.255.255.255。例如,子網(wǎng)掩碼為255.255.0.0,則反掩碼為0.0.255.255;子網(wǎng)掩碼為255.0.0.0,則反掩碼為0.255.255.255;子網(wǎng)掩碼為255.252.0.0,則反掩碼為0.3.255.255;子網(wǎng)掩碼為255.255.255.192,則反掩碼為0.0.0.63。
????另外,如果想將多個(gè)IP地址段轉(zhuǎn)換為合法IP地址,可以添加多個(gè)訪問列表。例如,當(dāng)欲將172.16.98.0-172.16.98.255和172.16.99.0-172.16.99.255轉(zhuǎn)換為合法IP地址時(shí),應(yīng)當(dāng)添加下述命令:
????access-list2 permit 172.16.98.0 0.0.0.255
????access-list3 permit 172.99.0.0 0.0.0.255
????示例:ip nat pool chinanet 61.159.62.130 61.159.62.190 netmask 255.255.255.192????//指明地址緩沖池的名稱為chinanet,IP地址范圍為61.159.62..130-61.159.62.190,子網(wǎng)掩碼為255.255.255.192。需要注意的是,即使掩碼為255.255.255.0,也會由起始IP地址和終止IP地址對IP地址池進(jìn)行限制。
????或ip nat pool test 61.159.62.130 61.159.62.190 prefix-length 26
????注意,如果有多個(gè)合法IP地址范圍,可以分別添加。例如,如果還有一段合法IP地址范圍為“211.82.216.1-211.82.216.254”,那么,可以再通過下述命令將其添加至緩沖池中。
????ip nat pool cernet 211.82.216.1 211.82.216.254????netmask 255.255.255.0
????或
????ip nat pool test 211.82.216.1 211.82.216.254 prefix-length 24
????第五步,實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換
????在全局設(shè)置模式下,將第四步由access-list指定的內(nèi)部本地地址列表與第三步指定的合法IP地址池進(jìn)行地址轉(zhuǎn)換。命令語法如下:
????ip nat inside source list 訪問列表標(biāo)號 pool 內(nèi)部合法地址池名字
????示例:
????ip nat inside source list 1 pool chinanet
????如果有多個(gè)內(nèi)部訪問列表,可以一一添加,以實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換,如
????ip nat inside source list 2 pool chinanet
????ip nat inside source list 3 pool chinanet
????如果有多個(gè)地址池,也可以一一添加,以增加合法地址范圍,如
????ip nat inside source list 1 pool cernet
????ip nat inside source list 2 pool cernet
????ip nat inside source list 3 pool cernet
????至此,動態(tài)地址轉(zhuǎn)換設(shè)置完畢
·端口復(fù)用動態(tài)地址轉(zhuǎn)換(PAT)
????內(nèi)部網(wǎng)絡(luò)使用的IP地址段為10.100.100.1-10.100.100.254,路由器局域網(wǎng)端口(即默認(rèn)網(wǎng)關(guān))的IP地址為10.100.100.1,子網(wǎng)掩碼為255.255.255.0。網(wǎng)絡(luò)分配的合法IP地址范圍為202.99.160.0-202.99.160.3,路由器廣域網(wǎng)中的IP地址為202.99.160.1,子網(wǎng)掩碼為255.255.255.252,可用于轉(zhuǎn)換的IP地址為202.99.160.2。要求將內(nèi)部網(wǎng)址10.100.100.1-10.100.100.254轉(zhuǎn)換為合法IP地址202.99.160.2。
????第一步,設(shè)置外部端口。
????interface serial 0
????ip address 202.99.160.1 255.255.255.252
????ip nat outside
????第二步,設(shè)置內(nèi)部端口
????interface ethernet 0
????ip address 10.100.100.1 255.255.255.0
????ip nat inside
????第三步,定義合法IP地址池
????ip nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252????//指明地址緩沖池的名稱為onlyone,IP地址范圍為202.99.160.2,子網(wǎng)掩碼為255.255.255.252。由于本例只有一個(gè)IP地址可用,所以,起始IP地址與終止IP地址均為202.99.160.2。如果有多個(gè)IP地址,則應(yīng)當(dāng)分別鍵入起止的IP地址。
????第四步,定義內(nèi)部訪問列表
????access-list 1 permit 10.100.100.0 0.0.0.255
????允許訪問internet的網(wǎng)段為10.100.100.0-10.100.100.255,子網(wǎng)掩碼為255.255.255.0。需要注意的是,在這里子網(wǎng)掩碼的順序跟平常所寫的順序相反,即0.0.255.255。
????第五步,設(shè)置復(fù)用動態(tài)地址轉(zhuǎn)換
????在全局模式下,設(shè)置在內(nèi)部的本地地址與內(nèi)部合法IP地址間建立復(fù)用動態(tài)地址轉(zhuǎn)換。命令語法如下:
????ip nat inside source list 訪問列表號 pool 內(nèi)部合法地址池名字 overload
????示例:
????ip nat inside source list 1pool onlyone overload //以端口復(fù)用方式,將訪問列表1中的私有IP地址轉(zhuǎn)換為onlyone IP地址池中定義的合法IP地址。
????注意:overload是復(fù)用動態(tài)地址轉(zhuǎn)換的關(guān)鍵詞。
????至此,端口復(fù)用動態(tài)地址轉(zhuǎn)換完成。
????還可以這樣寫:
????ip nat inside source list 1 interface serial 0 overload
CIDR技術(shù)
概念
????超網(wǎng)(supernetting)是與子網(wǎng)類似的概念--IP地址根據(jù)子網(wǎng)掩碼被分為獨(dú)立的網(wǎng)絡(luò)地址和主機(jī)地址。但是,與子網(wǎng)把大網(wǎng)絡(luò)分成若干個(gè)小網(wǎng)絡(luò)相反,它是把一些小網(wǎng)絡(luò)組合成一個(gè)大網(wǎng)絡(luò)--超網(wǎng)。
????超網(wǎng)創(chuàng)建用來解決路由列表超出現(xiàn)有軟件和管理人力的問題以及提供B類網(wǎng)絡(luò)地址空間耗盡的解決辦法。超網(wǎng)允許一個(gè)路由列表入口表示一個(gè)網(wǎng)絡(luò)集合,就如一個(gè)區(qū)域代碼表示一個(gè)區(qū)域的電話號碼的集合一樣。
????目前盛行的外部網(wǎng)關(guān)協(xié)議邊界網(wǎng)關(guān)協(xié)議(BGP)以及開放式最短路徑優(yōu)先(OSPF)路由協(xié)議都支持超網(wǎng)技術(shù)。
????子網(wǎng)劃分將一個(gè)單一的IP地址劃分成多個(gè)子網(wǎng),以延緩大型網(wǎng)絡(luò)地址(主要是B類)的分配速度。子網(wǎng)劃分從20世紀(jì)80年代提出以后的確起到了這個(gè)作用。但是到了20世紀(jì)90年代,子網(wǎng)劃分也就無法阻止B類網(wǎng)絡(luò)地址最好耗盡的趨勢。原因很簡單,B類地址只有一萬六千多個(gè)。而人們?yōu)橹械却笮〉木W(wǎng)絡(luò)申請地址時(shí),更傾向于使用B類地址,并在其上進(jìn)行子網(wǎng)劃分,以避免由于多個(gè)C類地址給網(wǎng)絡(luò)配置和管理帶來的不便。因此,B類地址分配的速度很快,而C類地址的分配速度則慢很多。為了解決B類地址空間緊張的問題,并充分利用C類地址空間(C類網(wǎng)絡(luò)的數(shù)量有2百多萬個(gè)),人們有提出了超網(wǎng)技術(shù)。
????超網(wǎng)的功能是將多個(gè)連續(xù)的c類的網(wǎng)絡(luò)地址聚合起來映射到一個(gè)物理網(wǎng)絡(luò)上。這樣,這個(gè)物理網(wǎng)絡(luò)就可以使用這個(gè)聚合起來的c類地址的共同地址前綴作為其網(wǎng)絡(luò)號。
????超網(wǎng)創(chuàng)建用來解決路由列表超出現(xiàn)有軟件和管理人力的問題以及提供B類網(wǎng)絡(luò)地址空間耗盡的解決辦法。超網(wǎng)允許一個(gè)路由列表入口表示一個(gè)網(wǎng)絡(luò)集合,就如一個(gè)區(qū)域代碼表示一個(gè)區(qū)域的電話號碼的集合一樣。
????目前盛行的外部網(wǎng)關(guān)協(xié)議邊界網(wǎng)關(guān)協(xié)議(BGP)以及開放式最短路徑優(yōu)先(OSPF)路由協(xié)議都支持超網(wǎng)技術(shù)。
優(yōu)點(diǎn)和不足
????超網(wǎng)的優(yōu)點(diǎn)是可以充分利用C類網(wǎng)絡(luò)空間資源。在多數(shù)情況下,使用超網(wǎng)地址分配樂意使分配的網(wǎng)絡(luò)空間與實(shí)際所需的節(jié)點(diǎn)數(shù)量相匹配,因而提高了地址空間的利用率。例如,一個(gè)4000個(gè)節(jié)點(diǎn)的物理網(wǎng)絡(luò),分配一個(gè)B類地址顯然是浪費(fèi),但C類地址又太小,那么我們可以為該物理網(wǎng)絡(luò)分配一個(gè)4000個(gè)節(jié)點(diǎn)的物理網(wǎng)絡(luò),分配一個(gè)B類地址顯然是浪費(fèi),但C類地址又太小,那么我們可以為該物理網(wǎng)絡(luò)分配一個(gè)由16個(gè)連續(xù)C類網(wǎng)絡(luò)構(gòu)成的地址空間塊。
????超網(wǎng)方式也帶來了新的問題:路由表規(guī)模的增長。路由表規(guī)模與網(wǎng)絡(luò)數(shù)量成正比。一個(gè)物理網(wǎng)絡(luò)對應(yīng)多個(gè)C類網(wǎng)絡(luò)地址,使得該網(wǎng)絡(luò)在路由表對應(yīng)于多個(gè)C類的前綴表項(xiàng),使路由表過于龐大。路由協(xié)議為交換路由信息而帶來的開銷也急劇增加。這個(gè)問題可采用無類型域間路由就(CIDR,Class Inter-Domain-Routing)技術(shù)來解決。盡管一個(gè)物理網(wǎng)絡(luò)在路由表中對應(yīng)多個(gè)表項(xiàng),但所有表項(xiàng)必然指向同一個(gè)下一跳地址,因此有可能對表項(xiàng)進(jìn)行聚合。CIDR技術(shù)可以把路由表中連續(xù)的C類網(wǎng)絡(luò)地址聚合的C類網(wǎng)絡(luò)地址必須是連續(xù)的,且地址塊的數(shù)量為2的冪。聚合以后的CIDR地址塊的網(wǎng)絡(luò)前綴的長度。顯然,子網(wǎng)掩碼的長度將小于24(C類網(wǎng)絡(luò)掩碼長度)。與子網(wǎng)選路中采用的表示形式一樣,CIDR定義得地址塊也統(tǒng)一表示成“網(wǎng)絡(luò)前綴/子網(wǎng)掩碼位數(shù)”的形式。
CIDR的特點(diǎn)
????(1)CIDR消除了傳統(tǒng)的A類、B類和C類地址以及劃分子網(wǎng)的概念,可以更加有效的分配IP地址空間。CIDR使用各種長度的“網(wǎng)絡(luò)前綴”來代替分類地址中的網(wǎng)絡(luò)號和子網(wǎng)號,而不是像分類地址中只能使用1字節(jié)、2字節(jié)、3字節(jié)的網(wǎng)絡(luò)號。CIDR不再使用“子網(wǎng)”的概念而使用網(wǎng)絡(luò)前綴,使用IP地址從三級編址又回到了兩級編址,即無分類的兩級編址。
????IP地址::={<網(wǎng)絡(luò)前綴>,<主機(jī)號>}
????CIDR也使用“斜線記法”,即在IP地址后寫上網(wǎng)絡(luò)前綴所占的位數(shù)(對應(yīng)子網(wǎng)掩碼中1的個(gè)數(shù))。
????(2)CIDR把網(wǎng)絡(luò)前綴都相同的連續(xù)的IP地址組成“CIDR地址塊”,一個(gè)CIDR地址塊由地址塊的起始地址(即地址塊中地址數(shù)值最小的一個(gè))和地址塊中的地址數(shù)來定義的。CIDR地址塊也可用斜線記法來表示。
????由于一個(gè)CIDR地址塊可以表示很多地址,所以在路由表中就利用CIDR地址塊來查找目的網(wǎng)絡(luò)。這種地址的聚合通常稱為路由聚合,它使得路由表中的一個(gè)項(xiàng)目可以表示原來傳統(tǒng)分類地址的很多個(gè)路由。路由聚合也稱為構(gòu)成超網(wǎng)。路由聚合有利于減少路由器之間的路由選擇信息的交換,從而提高了整個(gè)因特網(wǎng)的性能。
應(yīng)用舉例
????一個(gè)4000個(gè)節(jié)點(diǎn)的物理網(wǎng)絡(luò)通過路由器R連接到Internet,并且被分配了有連續(xù)的16個(gè)C類網(wǎng)絡(luò)地址構(gòu)成的地址空間。為了將該網(wǎng)絡(luò)作為一個(gè)統(tǒng)一的網(wǎng)絡(luò)進(jìn)行選路,在路由器R上,可利用CIDR將這16個(gè)C類地址的路由表項(xiàng)聚合成一個(gè)表項(xiàng)來進(jìn)行選路。網(wǎng)絡(luò)中的各路由器路由表中都只需記錄一條網(wǎng)絡(luò)地址的路由表項(xiàng),而不需要為其中的每一個(gè)C類網(wǎng)絡(luò)地址分別記錄單獨(dú)的表項(xiàng)了。
????這種用符合“網(wǎng)絡(luò)前綴/子網(wǎng)掩碼”表示的連續(xù)C類地址塊被稱為CIDR塊。作為降低IP地址分配速度以及減少Internet路由器中表項(xiàng)數(shù)的一種方法,CIDR技術(shù)已經(jīng)被廣泛認(rèn)同,在地址分配中也被廣泛使用。申請Internet地址,從地址分配機(jī)構(gòu)獲得的Internet地址往往都是一個(gè)CIDR塊,而不是傳統(tǒng)的分類地址。
????實(shí)際上,CIDR中并未限制網(wǎng)絡(luò)地址必須為C類。因此,CIDR提供的的確是一種“無類型”的地址分配方式。在路由表表示及選路操作上,CIDR與子網(wǎng)都是相似的。
????IETF將整個(gè)IP地址空間中的一部分CIDR塊保留用于專用網(wǎng)絡(luò),稱為專用地址(Private Address)。這些地址不會被Internet地址管理機(jī)構(gòu)分配給Internet中的網(wǎng)絡(luò)和結(jié)點(diǎn)。專用地址不會被Internet地址管理機(jī)構(gòu)分配給Internet中的網(wǎng)絡(luò)和結(jié)點(diǎn)。專用地址不是Internet中的合法地址,因此專用網(wǎng)的地址空間與Internet地址空間是隔離的。這種隔離提供了一種安全手段防止內(nèi)部網(wǎng)絡(luò)遭受來自網(wǎng)布的***。當(dāng)然,隔離也使專用網(wǎng)的內(nèi)結(jié)點(diǎn)不能直接訪問Internet,需要在網(wǎng)絡(luò)入口使用代理或者NAT(網(wǎng)絡(luò)地址翻譯)等機(jī)制。
????在做ACL時(shí),為了節(jié)省開支(即用盡量少的ACL條目)會用到超網(wǎng)技術(shù)。因此涉及到超網(wǎng)的計(jì)算和劃分。下面列舉幾例說明計(jì)算超網(wǎng)的方法:
????1.由2048個(gè)C類網(wǎng)絡(luò)組成,從192.24.0.0到192.31.255.0,哪個(gè)掩碼可表示此地址范圍?
????????192.24.0.0劃成2進(jìn)制為
????????11000000.00011 000.00000000.00000000
????????192.31.0.0劃成2進(jìn)制為
????????11000000.00011 111.00000000.00000000
????相同位
????從左到右相同的位數(shù)為子網(wǎng)掩碼位數(shù),即:13位,掩碼為255.248.0.0
????2.在配置ACL時(shí)碰到這樣一個(gè)地址范圍:59.39.80.0-59.39.127.0如何劃分超網(wǎng)才使ACL條目最少呢?
????59.39.80.0轉(zhuǎn)化為2進(jìn)制為
????00111011.00100111.01010000.00000000
????取全0之前位數(shù)為網(wǎng)絡(luò)地址位,即59.39.80.0/20(59.39.80.0-59.39.95.255)得到一個(gè)超網(wǎng)
????然后余下的地址以59.39.96.0開始
????59.39.96.0轉(zhuǎn)化為2進(jìn)制為:
????00111011.00100111.01100000.00000000
????取全0之前位數(shù)為網(wǎng)絡(luò)地址位,即59.39.96.0/19[59.39.96.0-59.39.127.255],全部覆蓋此地址池
????一共得到兩條ACL,分別為:59.39.80.0/20、59.39.96.0/19
????VLSM技術(shù)
????VLSM(可變長子網(wǎng)掩碼)是為了有效的使用無類別域間路由(CIDR)和路由匯聚(route summary)來控制路由表的大小,網(wǎng)絡(luò)管理員使用先進(jìn)的IP尋址技術(shù),VLSM就是其中的常用方式,可以對子網(wǎng)進(jìn)行層次化編址,以便最有效的利用現(xiàn)有的地址空間。
????VLSM(Varable Length Subnet Mask,可變長子網(wǎng)掩碼)規(guī)定了如何在一個(gè)進(jìn)行了子網(wǎng)劃分的網(wǎng)絡(luò)中的不同部分使用不同的子網(wǎng)掩碼。這對于網(wǎng)絡(luò)內(nèi)部不同網(wǎng)段需要不同大小子網(wǎng)的情形來說很有效。
????簡介
????VLSM其實(shí)就是相對于類的IP地址來說的。A類的第一段是網(wǎng)絡(luò)號(前八位),B類地址的前兩段是網(wǎng)絡(luò)號(前十六位),C類的前三段是網(wǎng)絡(luò)號(前二十四位)。而VLSM的作用就是在類的IP地址的基礎(chǔ)上,從它們的主機(jī)號部分借出相應(yīng)的位數(shù)來做網(wǎng)絡(luò)號,也就是增加網(wǎng)絡(luò)號的位數(shù)。各類網(wǎng)絡(luò)可以用來劃分子網(wǎng)的位數(shù)為:A類有二十四位可以借,B類有十六位可以借,C類有八位可以借(可以再劃分的位數(shù)就是主機(jī)號的位數(shù)。實(shí)際上不可以都借出來,因?yàn)镮P地址中必須要有主機(jī)號的部分,而且主機(jī)號部分剩下一位是沒有意義的,所以在實(shí)際中可以借的位數(shù)是在上面那些數(shù)字中再減去2,借的位作為子網(wǎng)部分)。
????這是一種產(chǎn)生不同大小子網(wǎng)的網(wǎng)絡(luò)分配機(jī)制,指一個(gè)網(wǎng)絡(luò)可以配置不同的掩碼。開發(fā)可變長度子網(wǎng)掩碼的想法就是在每個(gè)子網(wǎng)上保留足夠的主機(jī)數(shù)的同時(shí),把一個(gè)子網(wǎng)進(jìn)一步分成多個(gè)小子網(wǎng)時(shí)有更大的靈活性。如果沒有VLSM,一個(gè)子網(wǎng)掩碼只能提供給一個(gè)網(wǎng)絡(luò)。這樣就限制了要求的子網(wǎng)數(shù)上的主機(jī)數(shù)。另外,VLSM是基于比特位的,而類網(wǎng)絡(luò)是基于8位組的。
????在實(shí)際工程實(shí)踐中,能夠進(jìn)一步將網(wǎng)絡(luò)劃分成三級或更多級子網(wǎng)。同時(shí),能夠考慮使用全0或全1子網(wǎng)以節(jié)省網(wǎng)絡(luò)地址空間。某局域網(wǎng)上使用了27位的掩碼,則每個(gè)子網(wǎng)可以支持30臺主機(jī)(2^5-2=30);而對于WAN連接而言,每個(gè)連接只需要2個(gè)地址,理想的方案是使用30位掩碼(2^5=30),然而同主類別網(wǎng)絡(luò)相同掩碼的約束,WAN之間也必須使用27位掩碼,這樣就浪費(fèi)28個(gè)地址。
????基本算法
????VLSM是將大范圍的IP網(wǎng)絡(luò)劃分成多個(gè)小范圍的IP網(wǎng)絡(luò),為某一個(gè)單位或企業(yè)的不同部分對內(nèi)可顯示不同的網(wǎng)絡(luò),對外可顯示同一個(gè)IP網(wǎng)絡(luò)。提到VLSM,不得不提出的是掩碼。掩碼同IP一樣,具有32位的二進(jìn)制,用于與某一個(gè)IP進(jìn)行運(yùn)算,算出該IP的網(wǎng)絡(luò)號。即將32位的IP與32位的掩碼進(jìn)行“與運(yùn)算”,這樣就可以得出網(wǎng)絡(luò)號。
????如:IP為:21.31.233.69與掩碼255.255.255.192的網(wǎng)絡(luò)號:
????????21.31.233.69=00010101 00011111 11101001 01000101
????255.255.255.192=11111111 11111111 11111111 11000000=00010101 00110001 11101001 01000000=21.31.233.64
????故:
????????21.31.233.69&255.255.255.192=21.31.233.64
????所以該子網(wǎng)網(wǎng)絡(luò)號為21.31.233.64。
????實(shí)例分析
????例如:某公司有兩個(gè)主要部分:市場部和技術(shù)部。技術(shù)部又分為硬件部和軟件部兩個(gè)部分。該公司申請到了一個(gè)完整的C類IP地址段:210.31.233.0,子網(wǎng)掩碼255.255.255.0。為了便于分級管理,該公司采用VSLM技術(shù),將原主網(wǎng)絡(luò)劃分稱為兩級子網(wǎng)(未考慮全0和全1子網(wǎng))。
????市場部分得了一級子網(wǎng)中的第1個(gè)子網(wǎng),即210.31.233.0,子網(wǎng)掩碼255.255.255.192,該一級子網(wǎng)共有62個(gè)IP地址可供分配,用于主機(jī)使用。
????技術(shù)部將所分得的一級子網(wǎng)中的第2個(gè)子網(wǎng)210.31.233.128,子網(wǎng)掩碼255.255.255.192。又進(jìn)一步劃分成了兩個(gè)二級子網(wǎng)。其中第1個(gè)二級子網(wǎng)210.31.233.128,子網(wǎng)掩碼255.255.255.224劃分給技術(shù)部的下屬分部-硬件部,該二級子網(wǎng)共有30個(gè)IP地址可供分配。技術(shù)部的下屬分部-軟件部分得了第2個(gè)二級子網(wǎng)210.31.233.160,子網(wǎng)掩碼255.255.255.224,該二級子網(wǎng)共有30個(gè)IP地址可供分配。
????VLSM技術(shù)對高效分配IP地址(較少浪費(fèi))以及減少路由表大小都起到非常重要的作用。這在超網(wǎng)和網(wǎng)絡(luò)聚合中非常有用。但是需要注意的是使用VLSM時(shí),所采用的路由協(xié)議必須能夠支持它,這些路由協(xié)議包括RIP2,OSPF,EIGRP,IS-IS和BGP。
????無類路由選擇網(wǎng)絡(luò)可以使用vlsm,而有類路由選擇網(wǎng)絡(luò)中不能使用vlsm。
????劃分子網(wǎng)的幾個(gè)捷徑
????1.你所選擇的子網(wǎng)掩碼將會產(chǎn)生多少個(gè)子網(wǎng)?:2的x次方(x代表掩碼位,即2進(jìn)制為1的部分)
????2.每個(gè)子網(wǎng)能有多少個(gè)主機(jī)?:2的y次方-2(y代表主機(jī)位,即2進(jìn)制為0的部分)
????3.有效子網(wǎng)是?:有效子網(wǎng)號=256-10進(jìn)制的子網(wǎng)掩碼(結(jié)果叫做block size或base number)
????4.每個(gè)子網(wǎng)的廣播地址是?:廣播地址=下個(gè)子網(wǎng)號-1
????5.每個(gè)子網(wǎng)的有效主機(jī)分別是?:忽略子網(wǎng)全為0和全為1的地址剩下的就是有效主機(jī)地址。最后有效1個(gè)主機(jī)地址=下個(gè)子網(wǎng)號-2(即廣播地址-1)
????C類地址例子:網(wǎng)絡(luò)地址 192.168.10.0;子網(wǎng)掩碼 255.255.255.192/26
????1.子網(wǎng)數(shù)=2*2=4
????2.主機(jī)數(shù)=2的6次方-2=62
????3.有效子網(wǎng)?:block size=256-192=64;所以第一個(gè)子網(wǎng)為192.168.10.0,第二個(gè)為192.168.10.64,第三個(gè)為192.168.10.128,第四個(gè)為192.168.10.192
????4.廣播地址:下個(gè)子網(wǎng)-1,所以4個(gè)子網(wǎng)的廣播地址分別是192.168.10.63、192.168.10.127和192.168.10.191、192.168.10.255
????5.有效主機(jī)范圍是:第一個(gè)子網(wǎng)的主機(jī)地址是192.168.10.1-192.168.10.62;第二個(gè)是192.168.10.65-192.168.10.126;第三個(gè)192.168.10.129-192.168.10.190;第四個(gè)是192.168.10.193-192.168.10.254
????B類地址例子1:網(wǎng)絡(luò)地址:172.16.0.0;子網(wǎng)掩碼255.255.192.0/18
????1.子網(wǎng)數(shù)=2*2=4
????2.主機(jī)數(shù)=2的14次方-2=16382
????3.有效子網(wǎng)?:block size=256-192=64;所以第一個(gè)子網(wǎng)為172.16.0.0,第二個(gè)為172.16.64.0,第三個(gè)為172.16.128.0,第四個(gè)為172.16.192.0
????4.廣播地址:下個(gè)子網(wǎng)-1.所以4個(gè)子網(wǎng)的廣播地址分別是172.16.63.255、172.16.127.255,172.16.191.255,172.16.255.255
????5.有效主機(jī)范圍是:第一個(gè)子網(wǎng)的主機(jī)地址是172.16.0.1到172.16.63.254;第二個(gè)是172.16.64.1到172.16.127.254;第三個(gè)是172.16.128.1到172.16.191.254;第四個(gè)是172.16.128.1到172.16.255.254
VLAN技術(shù)
????什么是VLAN?VLAN(Virtual LAN),翻譯成中文是“虛擬局域網(wǎng)”。LAN可以是由少數(shù)幾臺家用計(jì)算機(jī)構(gòu)成的網(wǎng)絡(luò),也可以是數(shù)以百計(jì)的計(jì)算機(jī)構(gòu)成的企業(yè)網(wǎng)絡(luò)。
????VLAN所指的LAN特指使用路由器分割的網(wǎng)絡(luò)——也就是廣播域。
????在此讓我們先復(fù)習(xí)一下廣播域的概念。廣播域,指的是廣播幀(目標(biāo)MAC地址全部為1)所能傳遞到的范圍,亦即能夠直接通信的范圍。嚴(yán)格來說,并不僅僅是廣播幀,多播幀(Multicast Frame)和目標(biāo)不明的單播幀(Unknown Unicast Frame)也能在同一個(gè)廣播域中暢行無阻。本來,二層交換機(jī)只能構(gòu)建單一的廣播域,不過使用VLAN功能后,它能夠?qū)⒕W(wǎng)絡(luò)分割成多個(gè)廣播域。
????未分割廣播域時(shí),,,,
????那么為什么需要分割廣播域呢?那是因?yàn)?#xff0c;如果僅有一個(gè)廣播域,有可能會影響到網(wǎng)絡(luò)整體的傳輸性能。具體原因,請參看附圖加深理解。
????圖中,是一個(gè)由5臺二層交換機(jī)(交換機(jī)1-5)連接了大量客戶機(jī)構(gòu)成的網(wǎng)絡(luò)。假設(shè)這時(shí),計(jì)算機(jī)A需要與計(jì)算機(jī)B通信。在基于以太網(wǎng)的通信中,必須在數(shù)據(jù)幀中指定目標(biāo)MAC地址才能正常通信,因此計(jì)算機(jī)A必須先廣播“ARP請求(ARP Request)信息”,來嘗試獲取計(jì)算機(jī)B的MAC地址。交換機(jī)1收到廣播幀(ARP請求)后,會將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口,也就是Flooding了。接著,交換機(jī)2收到廣播幀后也會Foolding。交換機(jī)3、4、5也還會Flooding。最終ARP請求會被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機(jī)上。
????請大家注意一下,這個(gè)ARP請求原本是為了獲得計(jì)算機(jī)B的MAC地址而發(fā)出的。也就是說:只要計(jì)算機(jī)B能收到就萬事大吉了。可是事實(shí)上,數(shù)據(jù)幀卻傳遍了整個(gè)網(wǎng)絡(luò),導(dǎo)致所有的計(jì)算機(jī)都收到了它。如此一來,一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬,另一方面,收到廣播信息的計(jì)算機(jī)還要消耗一部分CPU時(shí)間來對它進(jìn)行處理。造成了網(wǎng)絡(luò)帶寬和CPU運(yùn)算能力的大量無謂消耗。
????廣播信息是那么經(jīng)常發(fā)出的嗎?讀到這里,您也許會問:廣播信息真是那么頻繁出現(xiàn)的嗎?答案是:是的!實(shí)際上廣播幀會非常頻繁地出現(xiàn)。利用TCP/IP協(xié)議棧通信時(shí),除了前面出現(xiàn)的ARP外,還有可能需要發(fā)出DHCP、RIP等很多其他類型的廣播信息。ARP廣播,是在需要與其他主機(jī)通信時(shí)發(fā)出的。當(dāng)客戶機(jī)請求DHCP服務(wù)器分配IP地址時(shí),就必須發(fā)出DHCP的廣播。而使用RIP作為路由協(xié)議時(shí),每隔30秒路由器都會對鄰近的其他路由器廣播一次路由信息。RIP以外的其他路由協(xié)議使用多播傳輸Apple Talk等協(xié)議也經(jīng)常需要用到廣播。例如在Windows下雙擊打開“網(wǎng)絡(luò)計(jì)算機(jī)”時(shí)就會發(fā)出廣播(多播)信息。(Windows XP除外,,,,)總之,廣播就在我們身邊。
????下面是一些常見的廣播通信:ARP請求:建立IP地址和MAC地址的映射關(guān)系。RIP:一種路由協(xié)議。DHCP:用于自動設(shè)定IP地址的協(xié)議。NETBEUI:Windows下使用的網(wǎng)絡(luò)協(xié)議。IPX:Novell Netware使用的網(wǎng)絡(luò)協(xié)議。Apple Talk:蘋果公司的Macintoshi計(jì)算機(jī)使用的網(wǎng)絡(luò)協(xié)議。
????廣播域的分割與VLAN的必要性分割廣播時(shí),一般都必須使用到路由器。使用路由器后,可以以路由器上的網(wǎng)絡(luò)接口(LAN interface)為單位分割廣播域。但是,通常情況下路由器上不會有太多的網(wǎng)絡(luò)接口,其數(shù)目多在1-4個(gè)左右。隨著寬帶連接的普及,寬帶路由器(或者叫IP共享器)變得較為常見,但是需要注意的是,它們上面雖然帶著多個(gè)(一般為4個(gè)左右)連接LAN一側(cè)的網(wǎng)絡(luò)接口,但那實(shí)際上是路由器內(nèi)置的交換機(jī),并不能分割廣播域。況且使用路由器分割廣播域的話,所能分割的個(gè)數(shù)完全取決于路由器的網(wǎng)絡(luò)接口個(gè)數(shù),使得用戶無法自由地根據(jù)實(shí)際需要分割廣播域。與路由器相比,二層交換機(jī)一般帶有多個(gè)網(wǎng)絡(luò)接口。因此如果能使用它分割廣播域,那么無疑運(yùn)用上的靈活性會大大提高。用于在二層交換機(jī)上分割廣播域的技術(shù),就是VLAN。通過利用VLAN,我們可以自由設(shè)計(jì)廣播域的構(gòu)成,提高網(wǎng)絡(luò)設(shè)計(jì)的自由度。
????實(shí)現(xiàn)VLAN的機(jī)制
????在理解了“為什么需要VLAN”之后,接下來讓我們來了解一下交換機(jī)是如何使用VLAN分割廣播域的。首先,在一臺未設(shè)置任何VLAN的二層交換機(jī)上,任何廣播域都會被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口(Flooding)。例如,計(jì)算機(jī)A發(fā)送廣播信息后,會被轉(zhuǎn)發(fā)給端口2、3、4。
????這時(shí),如果在交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN;同時(shí)設(shè)置端口1、2屬于紅色VLAN、端口3、4屬于藍(lán)色VLAN。再從A發(fā)出廣播幀的話,交換機(jī)就只會把它轉(zhuǎn)發(fā)給同屬于一個(gè)VLAN的其他端口——也就是同屬于紅色VLAN的端口2,不會再轉(zhuǎn)發(fā)給屬于藍(lán)色VLAN的端口。同樣,C發(fā)送廣播信息時(shí),只會被轉(zhuǎn)發(fā)給其他屬于藍(lán)色VLAN的端口,不會被轉(zhuǎn)發(fā)給屬于紅色VLAN的端口。
????直觀地描述VLAN如果要更為直觀地描述VLAN的話,我們可以把它理解為將一臺交換機(jī)在邏輯上分割成了數(shù)臺交換機(jī)。在一臺交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN,也可以看作是將一臺交換機(jī)換做一紅一藍(lán)兩臺虛擬的交換機(jī)。
????在紅、藍(lán)兩個(gè)VLAN之外生成新的VLAN時(shí),可以想象成又添加了新的交換機(jī)。但是,VLAN生成的邏輯上的交換機(jī)是互不想通的。因此,在交換機(jī)上設(shè)置VLAN后,如果未做其他處理,VLAN間是無法通信的。明明接在同一個(gè)交換機(jī)上,但卻偏偏無法通信——這個(gè)事實(shí)也許讓人難以接受。但它既是VLAN方便易用特征,又是使VLAN令人難以理解的原因。
????需要VLAN間通信時(shí)怎么辦?
????那么,當(dāng)我們需要在不同的VLAN間通信時(shí)又該如何是好呢?請大家再次回憶一下:VLAN是廣播域。而通常兩個(gè)廣播域之間由路由器提供中繼服務(wù)。
VLAN的訪問鏈接
????交換機(jī)的端口
????交換機(jī)的端口,可以分為以下兩種:
????·訪問鏈接(Access Link)
????·匯聚鏈接(Trunk Link)
????接下來就讓我們來依次學(xué)習(xí)這兩種不同端口的特征。這一講,首先學(xué)習(xí)“訪問鏈接”
????訪問鏈接
????訪問鏈接,指的是“只屬于一個(gè)VLAN,且僅向該VLAN轉(zhuǎn)發(fā)數(shù)據(jù)幀”的端口。在大多數(shù)情況下,訪問鏈接所連的客戶機(jī)。
????通常設(shè)置VLAN的順序是:
????·生成VLAN
????·設(shè)定訪問鏈接(決定各端口屬于哪一個(gè)VLAN)
????設(shè)定訪問鏈接的手法,可以是事先固定的、也可以是根據(jù)所連的計(jì)算機(jī)而動態(tài)改變設(shè)定。前者被稱為“靜態(tài)VLAN”、后者自然就是“動態(tài)VLAN”了。
????靜態(tài)VLAN
????靜態(tài)VLAN又被稱為基于端口的VLAN(Port Based VLAN)。顧名思義,就是明確指定各端口屬于哪個(gè)VLAN的設(shè)定方法。
????由于需要一個(gè)個(gè)端口地指定,因此當(dāng)網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)目超過一定數(shù)字(比如數(shù)百臺)后,設(shè)定操作就會變得繁雜務(wù)必。并且,客戶機(jī)每次變更所連端口,都必須同時(shí)更改該端口所屬VLAN的設(shè)定——這顯然不適合那些需要頻繁改變拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。
????動態(tài)VLAN
????另一方面,動態(tài)VLAN則是根據(jù)每個(gè)端口所連的計(jì)算機(jī),隨時(shí)改變端口所屬的VLAN。這就可以避免上述的更改設(shè)定之類的操作。動態(tài)VLAN可以大致分為3類:
????·基于MAC地址的VLAN(MAC Based VLAN)
????·基于子網(wǎng)的VLAN(Subnet Based VLAN)
????·基于用戶的VLAN(User Based VLAN)
????其間的差異,主要在于根據(jù)OSI參考模型哪一層的信息決定端口所屬的VLAN。
????基于MAC地址的VLAN,就是通過查詢并記錄端口所連計(jì)算機(jī)上網(wǎng)卡的MAC地址來決定的。
????由于是基于MAC地址決定所屬VLAN的,因此可以理解為這是一種在OSI的第二層設(shè)定訪問鏈接的辦法。
????但是,基于MAC地址的VLAN,在設(shè)定時(shí)必須調(diào)查所連接的所有計(jì)算機(jī)的MAC地址并加以登錄。而且如果計(jì)算機(jī)交換了網(wǎng)卡,還是需要更改設(shè)定。
????基于子網(wǎng)的VLAN,則是通過所連計(jì)算機(jī)的IP地址,來決定端口所屬VLAN的。不像基于MAC地址的VLAN,即使計(jì)算機(jī)因?yàn)榻粨Q了網(wǎng)卡或是其他原因?qū)е翸AC地址改變,只要它的IP地址不變,就仍可以加入原先設(shè)定的VLAN。
????因此,與基于MAC地址的VLAN相比,能夠更為簡便地改變網(wǎng)絡(luò)結(jié)構(gòu)。IP地址是OSI參照模型中第三層的信息,所以我們可以理解為基于子網(wǎng)的VLAN是一種在OSI的第三層訪問鏈接的放方法。
????基于用戶的VLAN,則是根據(jù)交換機(jī)各端口所連的計(jì)算機(jī)上當(dāng)前登錄的用戶,來決定該端口屬于哪個(gè)VLAN。這里的用戶識別信息,一般是計(jì)算機(jī)操作系統(tǒng)登錄的用戶,比如可以是Windows域中使用的用戶名。這些用戶名信息,屬于OSI第四層以上的信息。
????總的來說,決定端口VLAN時(shí)利用的信息在OSI中的層面越高,就越適用構(gòu)建靈活多變的網(wǎng)絡(luò)。
????訪問鏈接的總結(jié)
????綜上所述,設(shè)定訪問鏈接的手法有靜態(tài)VLAN和動態(tài)VLAN兩種,其中動態(tài)VLAN又可以繼續(xù)細(xì)分為幾個(gè)小類。
????其中基于子網(wǎng)的VLAN和基于用戶的VLAN有可能是網(wǎng)絡(luò)設(shè)備廠商使用獨(dú)有的協(xié)議實(shí)現(xiàn)的,不同廠商的設(shè)備之間互聯(lián)有可能出現(xiàn)兼容性問題;因此在選擇交換機(jī)時(shí),一定要注意事先確認(rèn)。
????下表總結(jié)了靜態(tài)VLAN和動態(tài)VLAN的相關(guān)信息。
| 種類 | 解說 | |
| 靜態(tài)VLAN(基于端口的VLAN) | 將交換機(jī)的各端口固定指派給VLAN | |
動態(tài)VLAN | 基于MAC地址的VLAN | 根據(jù)各端口所連計(jì)算機(jī)的MAC地址設(shè)定 |
| 基于子網(wǎng)的VLAN | 根據(jù)各端口所連計(jì)算機(jī)的IP地址設(shè)定 | |
| 基于用戶的VLAN | 根據(jù)端口所連計(jì)算機(jī)上登錄用戶設(shè)定 | |
????何為匯聚鏈接?
????匯聚鏈接(Trunk Link)指的是能夠轉(zhuǎn)發(fā)多個(gè)不同VLAN的通信的端口。
????匯聚鏈路上流通的數(shù)據(jù)幀,都被附加了用于識別分屬于哪個(gè)VLAN的特殊信息。
????現(xiàn)在再讓我們回過頭考慮一下剛才那個(gè)網(wǎng)絡(luò)如果采用匯聚鏈路又會如何呢?用戶只需要簡單地將交換機(jī)間互聯(lián)的端口設(shè)定為匯聚鏈接就可以了。這時(shí)使用的網(wǎng)線還是普通的UTP線,而不是什么其他的特殊布線。圖例中是交換機(jī)間互聯(lián),因此需要用交叉線來連接。
????接下來,讓我們具體看看匯聚鏈接是如何實(shí)現(xiàn)跨越交換機(jī)間的VLAN的。
????A發(fā)送的數(shù)據(jù)幀從交換機(jī)1經(jīng)過匯聚鏈路到達(dá)交換機(jī)2時(shí),在數(shù)據(jù)幀上附加了表示屬于紅色VLAN的標(biāo)記。
????交換機(jī)2收到數(shù)據(jù)幀后,經(jīng)過檢查VLAN標(biāo)識發(fā)現(xiàn)這個(gè)數(shù)據(jù)幀是屬于紅色VLAN的,因此去除標(biāo)記后根據(jù)需要將復(fù)原的數(shù)據(jù)幀只轉(zhuǎn)發(fā)給其他屬于紅色VLAN的,因此去除標(biāo)記后根據(jù)需要將原復(fù)原的數(shù)據(jù)幀只轉(zhuǎn)發(fā)給其他屬于紅色VLAN的端口。這時(shí)的轉(zhuǎn)送,是指經(jīng)過確認(rèn)目標(biāo)MAC地址并與MAC地址列表比對后只轉(zhuǎn)發(fā)給目標(biāo)MAC地址所連的端口。只有當(dāng)數(shù)據(jù)幀是一個(gè)廣播幀、多播幀或者目標(biāo)不明的幀時(shí),它才會被轉(zhuǎn)發(fā)到所有屬于紅色VLAN的端口。
????藍(lán)色VLAN發(fā)送數(shù)據(jù)幀時(shí)的情形也與此相同。
????通過匯聚鏈路時(shí)附加的VLAN識別信息,有可能支持標(biāo)準(zhǔn)的“IEEE 802.1Q”協(xié)議,也可能是Cisco產(chǎn)品獨(dú)有的“ISL(Inter Switch Link)”。如果交換機(jī)支持這些規(guī)格,那么用戶就能夠高效率地構(gòu)筑橫跨多臺交換機(jī)的VLAN。
????另外,匯聚鏈路上流通著多個(gè)VLAN的數(shù)據(jù),自然負(fù)載較重。因此,在設(shè)定匯聚鏈接時(shí),有一個(gè)前提就是必須支持100Mbps以上的傳輸速度。
????另外,默認(rèn)條件下,匯聚鏈接會轉(zhuǎn)發(fā)交換機(jī)上存在的所有VLAN的數(shù)據(jù)。換一個(gè)角度看,可以認(rèn)為匯聚鏈接(端口)同時(shí)屬于交換機(jī)上所有的VLAN。由于實(shí)際應(yīng)用中很可能并不需要轉(zhuǎn)發(fā)所有VLAN的數(shù)據(jù),因此為了減輕交換機(jī)的負(fù)載、也為了減少對帶寬的浪費(fèi),我們關(guān)于IEEE 802.1Q和ISL的具體內(nèi)容,將在下一講中提到。
IEEE802.1Q與ISL
????匯聚方式
????在交換機(jī)的匯聚鏈接上,可以通過對數(shù)據(jù)幀附加VLAN信息,構(gòu)建跨越多臺交換機(jī)的VLAN。附加VLAN信息的方法,最具代表性的有:
????·IEEE802.1Q
????·ISL
????
????現(xiàn)在就讓我們看看這種協(xié)議分別如何對數(shù)據(jù)幀附加VLAN信息。
????IEEE802.1Q
????IEEE802.1Q,俗稱“Dot One Q”,是經(jīng)過IEEE認(rèn)證的對數(shù)據(jù)幀附加VLAN識別信息的協(xié)議。在此,請大家回憶一下以太網(wǎng)數(shù)據(jù)幀的標(biāo)準(zhǔn)格式。
????IEEE802.1Q所附加的VLAN識別信息,位于數(shù)據(jù)幀中“發(fā)送源MAC地址”與“類別域(Type Field)”之間。具體內(nèi)容為2字節(jié)的TPID和2字節(jié)的TCI,共計(jì)4字節(jié)。
????在數(shù)據(jù)幀中添加了4字節(jié)的內(nèi)容,那么CRC值自然也會有所變化。這時(shí)數(shù)據(jù)幀上的CRC是插入TPID、TCI后,對包括它們在內(nèi)的整個(gè)數(shù)據(jù)幀重新計(jì)算后所得的值。
????而當(dāng)數(shù)據(jù)幀離開匯聚鏈路時(shí),TPID和TCI會被去除,這時(shí)還會進(jìn)行一次CRC的重新計(jì)算。TPID的值,固定為0x8100。交換機(jī)通過TPID,來確定數(shù)據(jù)幀內(nèi)附加了基于IEEE802.1Q的VLAN信息。而實(shí)質(zhì)上的VLAN ID,是TCI中的12位元。由于總共有12位,因此最多可供識別4096個(gè)VLAN。
????基于IEEE 802.1Q附加的VLAN信息,就像在傳遞物品時(shí)附加的標(biāo)簽。因此,它也被稱作“標(biāo)簽型VLAN(Tagging VLAN)”
????ISL(Intel Switch Link)
????ISL,是Cisco產(chǎn)品支持的一種與IEEE802.1Q類似的、用于在匯聚鏈路上附加VLAN信息的協(xié)議。
????使用ISL后,每個(gè)數(shù)據(jù)幀頭部都會被附加26自己的“ISL包頭(ISL Header)”,并且在幀尾帶上通過對包括ISL包頭在內(nèi)的整個(gè)數(shù)據(jù)幀進(jìn)行計(jì)算后得到的4自己CRC值。換而言之,就是總共增加了30字節(jié)的信息。
????在使用ISL的環(huán)境下,當(dāng)數(shù)據(jù)幀離開匯聚鏈路時(shí),只要簡單地去除ISL包頭和新CRC就可以了。由于原先的數(shù)據(jù)幀及其CRC都被完整保留,因此無需重新計(jì)算CRC。
????ISL有如用ISL包頭和新CRC將原數(shù)據(jù)幀整個(gè)包裹起來,因此也被稱為“封裝型 VLAN(Encapsulated VLAN)”。
????需要注意的是,不論是IEEE 802.1Q的“Tagging VLAN”,還是ISL的“Encapsulated VLAN”,都不是很嚴(yán)密的稱謂。不同的書籍和參考資料中,上述詞語有可能被混合使用,因此需要大家在學(xué)習(xí)時(shí)格外注意。
????并且由于ISL是Cisco獨(dú)有的協(xié)議,因此只能用于Cisco網(wǎng)絡(luò)設(shè)備之間的互聯(lián)。
VLAN間路由1
VLAN間路由的必要性
????根據(jù)目前為止學(xué)習(xí)的知識,我們已經(jīng)知道兩臺計(jì)算機(jī)即使連接在同一臺交換機(jī)上,只要所屬的VLAN不同就無法直接通信。接下來我們將要學(xué)習(xí)的就是如何在不同的VLAN間進(jìn)行路由,使分屬不同VLAN的主機(jī)能夠互相通信。
????首先,先來復(fù)習(xí)一下為什么不同VLAN間不通過路由就無法通信。在LAN內(nèi)的通信,必須在數(shù)據(jù)幀頭中指定通信目標(biāo)的MAC地址。而為了獲取MAC地址,TCP/IP協(xié)議下使用的是ARP。ARP解析MAC地址的方法,則是通過廣播。也就是說,如果廣播報(bào)文無法到達(dá),那么就無從解析MAC地址,亦即無法直接通信。
????計(jì)算機(jī)分屬不同的VLAN,也就意味著分屬不同的廣播域,自然收不到彼此的廣播報(bào)文。因此,屬于不同VLAN的計(jì)算機(jī)之間無法直接互相通信。為了能夠在VLAN間通信,需要利用OSI參照模型中更高一層——網(wǎng)絡(luò)層的信息(IP地址)來進(jìn)行路由。關(guān)于路由的具體內(nèi)容,以后有機(jī)會再詳細(xì)解釋說吧。
????路由功能,一般主要由路由器提供。但在今天的局域網(wǎng)里,我們也經(jīng)常利用帶有路由功能的交換機(jī)——三層交換機(jī)(Layer 3 Switch)來實(shí)現(xiàn)。接下來就讓我們分別看看使用路由器和三層交換機(jī)進(jìn)行VLAN間路由時(shí)的情況。
使用路由器進(jìn)行VLAN間路由
????在使用路由器進(jìn)行VLAN間路由時(shí),與構(gòu)建橫跨多臺交換機(jī)的VLAN時(shí)的情況類似,我們還是會遇到“該如何連接路由器與交換機(jī)”這個(gè)問題。路由器和交換機(jī)的接線方式,大致有以下兩種:
????·將路由器與交換機(jī)上的每個(gè)VLAN分別連接
????·不論VLAN有多少個(gè),路由器與交換機(jī)都只用一條網(wǎng)線連接
????最容易想到的,當(dāng)然還是“把路由器和交換機(jī)以VLAN為單位分別用網(wǎng)線連接”了。將交換機(jī)上用于和路由器互聯(lián)的每個(gè)端口設(shè)為訪問鏈接,然后分別用網(wǎng)線與路由器上的獨(dú)立端口互聯(lián)。如下圖所示,交換機(jī)上有2個(gè)VLAN,那么就需要在交換機(jī)上預(yù)留2個(gè)端口用于與路由器互聯(lián);路由器上同樣需要有2個(gè)端口;兩者之間用2條網(wǎng)線分別連接。
????如果采用這個(gè)辦法,大家不難想象它的擴(kuò)展性很成問題。每增加一個(gè)新的VLAN,都需要消耗路由器的端口和交換機(jī)上的訪問鏈接,而且還需要重新布設(shè)一條網(wǎng)線。而路由器,通常不會帶有太多LAN接口的。新建VLAN時(shí),為了對應(yīng)的VLAN所需的端口,就必須將路由器升級成帶有多個(gè)LAN接口的高端產(chǎn)品,這部分成本、還有重新布線所帶來的開銷,都使得這種接線法成為一種不受歡迎的辦法。
????那么,第二種方法“不論VLAN數(shù)目多少,都只用一條網(wǎng)線連接路由器與交換機(jī)”呢?當(dāng)使用一條網(wǎng)線連接路由器與交換機(jī)、進(jìn)行VLAN間路由時(shí),需要用到匯聚鏈接。
????具體實(shí)現(xiàn)過程為:首先將用于連接路由器的交換機(jī)端口設(shè)為匯聚鏈接,而路由器上的端口也必須支持匯聚鏈路。雙方用于匯聚鏈路的協(xié)議自然也必須相同。接著在路由器上定義各個(gè)VLAN的“子接口(Sub Interface)”。盡管實(shí)際與交換機(jī)連接的物理端口只有一個(gè),但在理論上我們可以把它分割為多個(gè)虛擬端口。
????VLAN將交換機(jī)從邏輯上分割成了多臺,因而用于VLAN間路由的路由器,也必須擁有分別對應(yīng)各個(gè)VLANd 虛擬接口。
轉(zhuǎn)載于:https://blog.51cto.com/rainy0426/2060729
總結(jié)
以上是生活随笔為你收集整理的网络规划设计师 视频笔记的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【转载】游戏场景设计、构图的一些基本思考
- 下一篇: 尚医通(二十四)微信退款(取消预约功能)