第1次课
Windows活动目录管理 16课时 8次课
(1)相关的理论知识点
(2)综合实验
企业网络互联技术---是以上学期课程为基础进行扩展讲解的企业中应用广泛的技术。
VLAN间通信---基础知识:VLAN(接口类型、接口对数据帧处理方式)、Trunk链路
STP
ACL
NAT
VRRP
不同的二层网络之间要进行通信,需要借助3层设备的路由功能来实现。
一个VLAN相当于一个逻辑上的LAN。
(1)VLAN10的PC发出一个Untagged数据帧。
备注:Untagged表示数据帧未打上VLAN的标签,标签内包含VLAN的ID。
(2)该Untagged数据帧进入交换机的access接口后,根据接口的PVID,打上对应的 VLAN tag。该数据帧变为tagged帧。
备注:2层接口与3层接口最明显的区别是3层接口可以配置IP地址,2层接口不能配置。
路由器接口种类多,但是每种接口数量少。
交换机接口种类少,每类接口数量多。
二层交换机一般没有电源开关。
VLAN间路由的方案
(1)使用3层路由器的物理接口器实现VLAN间通信
①VLAN数量越多,需要的物理接口越多。
②路由器的接口数量少。
备注:一般生产环境不会使用该方案。但可用于学习理解VLAN间通信的原理。
(2)使用路由器的物理接口的子接口实现VLAN间通信---单臂路由技术
①路由器子接口是基于物理接口创建的。
子接口可用的前提是物理接口正常工作。
用于创建子接口的物理接口必须支持全双工工作模式。
半双工---同一时刻仅能发送或仅能接收。
全双工---可同时收发数据。
单工---仅具备发送功能或仅具备接收功能。
②路由器和交换机之间的链路必须为trunk链路。
交换机接口为Trunk接口
trunk链路
PVID
允许哪些VLAN通过该链路
路由器子接口上封装802.1q协议。
============================================================
第2次课
1、实现VLAN间通信的方案二(单臂路由)存在着问题:
(1)容易出现单点故障---物理接口损坏,导致网络不通。
(2)容易出现网络瓶颈,交换机和路由器之间的链路容易出现网络拥塞现象。
2、解决方案:
(1)使用三层交换机取代路由器,可提供更多的接口。---可行,但实际生产环境中不会使用。
(2)使用三层交换机的VLANIF接口实现VLAN间的通信。---是除了单臂路由之外的另一套技术,且应用广泛。
3、VLANIF接口:
(1)VLANIF接口是一种逻辑接口(看得见、摸不着、但存在)
(2)VLANIF接口支持VLAN tag的添加和剥离,能够完成VLAN的通信。
(3)VLANIF接口是一种三层接口,支持配置IP地址。
display ip interface brief //查看L3接口的简要信息
display interface brief //查看L2和L3接口的简要信息。
备注:默认情况下L2接口不支持ip address命令。
L2/L3接口---缺省情况下为L2接口,可通过命令将其切换为L3接口。
(4)VLANIF接口的存在,依赖于编号相同的VLAN,如果该VLAN不存在,则不存在对应编号的VLANIF接口。
接口状态的复习:
up up 接口正常工作,物理层完好,协议层配置OK。
up down 接口正常,但暂时没有工作,因为物理层完好,但是协议层配置不足。
down down 接口故障,或没有连接。
*down down 接口管理性关闭,即管理员使用命令去使能接口。
①创建VLAN后,对应编号的VLANIF接口仍不存在。
②当VLAN存在后,使用“interface vlanif 编号”命令,可成功创建与VLAN对应的VLANIF接口。
③当VLANIF接口创建成功后,如果接口状态为“down down”状态,需要将交换机物理接口划分到对应VLAN,才能让VLANIF接口状态变为“up up”或“up down”
(5)VLANIF接口上配置的IP地址为该VLAN成员计算机的网关。
4、使用VLANIF接口实现VLAN间通信的配置
(1)在交换机上创建相关的VLAN。
vlan 10 创建单个的VLAN,并进入VLAN配置视图。
vlan batch 10 20 批量创建VLAN。
(2)将交换机上的接口划分到各个VLAN中。
port link-type access 配置接口的链路类型为access。
port default vlan 10 配置access接口的PVID。
(3)在交换机上创建VLANIF接口,并配置IP地址。
interface vlanif 10 创建VLANIF接口并进入VLANIF接口视图。
ip address IP地址 掩码长度 配置接口的IP地址。
(4)配置PC,并指明网关。
备注:数据在不同VLAN间转发的过程,实际上与以前讲解的不同网络间通信的过程一致。
二层封装的MAC地址每到一处,都会发生变化;
三层封装的IP地址,从始至终不会变化。
发出:
SMAC:MAC1
DMAC:MAC2
SIP:10.2
DIP:20.2
到网关VLANIF10
目的MAC是否是自己接口
不是,丢弃帧
是,收下,接封装
SIP:10.2
DIP:20.2
从网关VLANIF10发出:
重封装:
SMAC:MAC2
DMAC:MAC2
SIP:10.2
DIP:20.2
基础配置:
system-view 进入系统视图
sysname 名字 起名字
undo info-center enable 关闭信息中心,防止d出的信息打断输入。
user-interface console 0 进入console线路视图,用于本地管理设备时使用。
idle-timeout 0 0 设置为永不超时
quit 退出
user-interface vty 0 4 进入vty线路视图,用于远程登录设备时使用。
idle-timeout 0 0
authentication-mode { password | aaa } 配置验证模式,目前推荐使用password。
set authentication password { cipher | simple } 密码 配置密码,推荐使用cipher。
user privilege level {级别值} 配置登录用户级别
protocol inbound { all | ssh | telnet } 配置允许登录时使用的协议。
quit
interface 接口类型 接口编号 //进入接口视图。
备注:常见的接口类型如下:
Ehernet 以太网接口(Eth)
FastEthernet 快速以太网接口(FE)
GigabitEthernet 千兆以太网接口(GE)
LoopBack 回环接口,逻辑接口,一般用于模拟网络或作为辅助使用。
VLANIF 与VLAN相关的三层逻辑接口。
Eth-Trunk 以太网链路聚合接口
serial 广域网使用的串行接口。
第3次课
1、报文经过三层转发时,报文内容有哪些变化?
(1)当报文经过三层转发时,二层头部中的源和目的MAC地址会发生变化。
①源MAC地址变为发出设备的MAC地址
②目的MAC地址变为下一跳设备的MAC地址
(2)当报文经过三层转发时,源和目的IP地址保持不变。TTL值每经过一个三层设备,递减1。
(3)当报文经过三层转发时,二层头部中的VLAN Tag不具备。
2、二层接口与三层接口的比较:
(1)是否支持IP地址配置
①二层接口不支持
②三层接口支持
(2)是否具备MAC地址
①二层接口不具备独立的MAC地址,而是借用设备的MAC地址。---一台设备上所有的二层接口MAC地址相同。
②三层接口具有独立的MAC地址,各不相同。
(3)对数据帧的处理方式
①二层接口收到数据帧后,要么直接转发,要么泛洪处理,参考依据为MAC地址表。
②三层接口收到数据帧后,如果目的MAC地址匹配,则进一步解封转处理;否则丢弃。
第4次课
1、STP背景(为何使用STP)?
学习生成树的思维导图:
环境:二层网络----交换机
单点故障--->使用冗余拓扑--->形成二层环路--->容易造成网络广播风暴和MAC地址表漂移,导致网络拥塞甚至瘫痪--->又要解决单点故障的同时,还要解决二层环路带来的影响--->使用STP
交换机对于未知单播帧、组播帧和广播帧都进行泛洪处理。
广播风暴:被泛洪处理的数据帧在二层环路中不断循环转发,且无寿命限制,当数据流增大到一定程度,将导致网络拥塞。
MAC地址漂移:广播风暴中循环转发的帧,因为地址学习的关系,导致MAC地址表表项内容不断变化,无法稳定。
一个MAC地址只能对应一个接口。
一个接口可对应多个MAC地址。
STP能在提供冗余功能的同时解决二层环路问题。
2、STP的基本原理
(1)环路中的所有交换机启用STP
(2)交换机之间交换协议报文
(3)交换机进行无环拓扑计算
(4)阻塞环路中某个或某些较差接口,从而消除环路
(5)一旦有效链路出现问题,STP重新计算,原先被阻塞的接口重新打开转发数据。
3、2层和3层网络解决环路的方法:
(1)2层网络采用STP解决环路问题
(2)3层网络采用以下机制解决环路问题:
①IP报文中的TTL字段
②动态路由协议
OSPF----最短路径优先算法
以自己为根,计算到所有目的地的最短路径,形成一个树状结构。
RIP---定义最大跳数、路由毒化、反转毒杀、抑制计时器、触发更新。
第5次
1、STP中重要的基本概念
(1)桥ID(网桥ID、BID)
①BID是STP运行过程中为冗余拓扑中的每个交换机定义的唯一标识符。
②BID=桥优先级+桥MAC地址
备注:802.1D标准定义了标准的生成树协议。
桥优先级:0-65535,默认为32768。
③用处:在STP运行过程,BID最小的交换机会成为根桥。
④BID最小:
桥优先级最小时,不关注桥MAC地址
桥优先级相同时,桥MAC地址最小
(2)根桥
①根桥是STP运行过程中计算出的无环路径树的根部。
②作用:STP拓扑计算过程的参考点。
(3)cost(开销)
①cost是反映接口链路状况的一种参考值。
②cost与接口链路带宽成反比。
③cost值可以通过命令进行调整。
④STP计算中关注的不是某条链路的cost,而是根路径开销(RPC)
(4)Port ID(PID,端口ID)
①PID是运行了STP的交换机为每个接口分配的唯一标识符。
②PID=端口优先级+端口ID
备注:端口ID为系统分配的ID号,与接口标识符无关。
端口优先级:1-255,默认为128。
③作用:特定环境中用于STP选举指定接口。
(5)BPDU(桥协议数据单元)
①BPDU是STP运行时,交换机相互之间发送的报文。
②BPDU分为两种:
配置BPDU---用于计算和维护ST网络。
TCN(拓扑变更通告) BPDU---当网络拓扑发生变化时,关联的交换机才会触发生成该BPDU。
2、配置BPDU的比较原则:
(1)最小的根桥ID(RBID)
(2)最小的RPC
(3)最小的BID
(4)最小的Port ID
3、STP的计算过程
(1)选根桥
①原则:一个交换网络中有且仅有一个根桥。
②方法:网络中拥有最小BID的交换机。
③注意事项:根桥角色可被抢占。
④建议:为了避免根桥角色被强占,提前规划,并将根桥的优先级设置为0。
(2)选根端口
①原则:每台非根交换机上仅有一个根端口。
②方法:当非根交换机上有多个接口接入网络时,根接口收到的BPDU中RPC最低。
如果端口到根桥的RPC相同,则比较上行交换机的BID,最小BID交换机连接的端口是根端口。
如果上行交换机的BID相同,则比较上行交换机的Port ID,最小Port ID端口连接的端口是根端口。
③作用:用于接收根桥发送的配置BPDU或其他非根交换机转发的配置BPDU。
(3)选指定端口
①原则:每条链路上选举一个指定端口
②方法:
先比较端口到根桥的RPC,最小的成为指定端口。
如果RPC相同,则比较两端交换机的BID。
如果BID相同,则比较两端的PID。---一般该方法用不着。
备注:根桥上的端口一般都为指定端口。
③作用:一般用于发送BPDU。
(4)选阻塞端口---基本上不用选举,即使不是根端口,也不是指定端口的端口就会被阻塞。
4、STP的接口状态:
(1)disable(禁用)---业务数据和BPDU都不能收发。
(2)blocking(阻塞)---业务数据不收发,BPDU可接收,不会进行MAC地址学习。
(3)listening(侦听)---业务数据不收发,BPDU可接收,不会进行MAC地址学习。
(4)Learning(学习)---业务数据不可发,BPDU可接收,会进行MAC地址学习。
(5)forwarding(转发)---业务数据和BPDU都可收发。
5、STP配置
(1)配置STP工作模式
华为设备缺省为mstp模式。
stp mode { stp | rstp | mstp }
(2)配置根桥
该命令可选,但建议在生产环境下为了网络稳定性,根据网络规划手动配置根桥。
stp root primary
备注:该命令将交换机设置为根桥,且桥优先级为0。
(3)配置备份根桥
该命令可选,当为了实现冗余,可考虑配置备份根桥。
stp root secondary
备注:该命令将交换机设置为备份根桥,且桥优先级为4096。如果没有设置根桥的情况下,不要设置备份根桥。
(4)配置交换机的STP优先级
stp priority 优先级值
备注:缺省值为32768。
(5)配置接口路径开销标准
stp pathcost-standard { dot1d-1998 | dot1t | legacy }
备注:缺省为dot1t
(6)修改接口链路开销
在接口视图下,stp cost 开销值
备注:一般不建议去修改。或技术不到家的人不要用这条命令。
(7)启用生成树功能
stp enable
备注:缺省开启。
第7次课
1、背景:需要一个过滤流量的工具。
2、ACL的介绍:
(1)概念:
规则的集合
规则有序排列
根据规则有允许或拒绝流量通过的处理方式。
permit---允许
deny---拒绝
匹配工具,用于对报文进行匹配或区分(筛选)
(2)应用:----应用广泛。
①匹配IP流量
②在Traffic-filter中被调用
Traffic---流量
filter---过滤器
③在NAT中被调用
NAT---网络地址转换
④在路由策略中被调用
路由策略---针对路由实施策略,在后面的学期中会学习。
⑤在防火墙的策略部署中被调用---第4、5学期会学习防火墙技术。
⑥在QoS(服务质量)中被调用
3、ACL的原理
(1)ACL的匹配顺序
①自动顺序(auto模式)---按照规则的精确度从高到低进行排序和匹配。
优先匹配最严格最细致的规则。
②配置顺序(config模式)---按照规则的编号从小到大进行排序和匹配。
(2)ACL匹配结果
①首选看规则中是permit还是deny。
②再看结合的技术的特点和作用。
备注:“允许”是指允许流量通过吗?
当ACL应用到流量过滤中时是的。
当ACL应用到其他技术时,不一定是。
第8次
1、ACL的组成
(1)每一条规则语句由如下内容构成:
①规则编号
②要执行的动作
③要匹配的条件
(2)在ACL的末尾有一条潜规则(隐含规则)
rule 4294967294 deny any
①用户自定义的规则的编号默认情况下小于隐含规则的编号。
②隐含规则的作用是拒绝所有,因此一个ACL中至少要有一条允许的规则。
2、规则编号
(1)ACL中一条规则语句具有唯一的编号,取值范围为0-4294967294,最后一个值被隐含规则使用。
(2)配置ACL规则时,如果不指定规则编号,起始值为5。
第一条自定义的规则,编号默认为5。
(3)配置ACL规则时,如果不指定规则编号,且不为第一条规则,则默认按步长值5递增。
步长值存在的原因是:为了方便的在旧规则之间插入新规则。
①添加规则时,编号不会自动发生改变。
②添加规则时,可能因没有步长值存在时无所用的号码。
③如果需要添加,且无位置添加时,需删除整个ACL,重新配置。
3、通配符---是写条件时,重要的参考之一。
(1)概念:是32位二进制数构成,其中0和1可以不连续。0表示匹配,1表示随机分配。
①匹配表示通配符中0对应的IP地址位上的数值不能变动,必须一样。
②随机分配表示通配符中1对应的IP地址为上的数值可以是0,也可以是1,与原数值无关。
(2)作用:用于配合IP地址,表示一个IP、一个网段、连续或不连续的IP地址范围。灵活性高。
(3)常见案例:
0.0.0.0 表示匹配一个IP地址。可以缩写为0。
0.0.0.255 表示匹配一个网段。
0.0.0.254 表示匹配奇数IP地址或偶数IP地址。
192.168.1.0 0.0.0.254
192.168.1.1 0.0.0.254
(4)匹配所有IP地址的写法:
0.0.0.0 255.255.255.255 可用any替换
4、ACL的分类与标识
(1)区分不同的ACL可用两种标识:
①编号
②名称
(2)分类:
①基于ACL标识方法分为:
数字型ACL
命名型ACL
②基于ACL规则定义的方式分为:
基本ACL 2000-2999 关注源IP地址
高级ACL 3000-3999 关注源/目的IP地址、IP协议类型、ICMP类型、源/目的端口号
二层ACL 4000-4999
用户自定义ACL 5000-5999
用户ACL 6000-6999
5、ACL的匹配机制
自上而下逐条匹配
一旦匹配立即执行
如无匹配执行潜规则
6、命令语法
(1)基本ACL
acl number 基本ACL编号
rule [规则编号] { permit | deny } source 源IP地址 通配符
(2)高级ACL
acl number 高级ACL编号
rule [规则编号] { permit | deny } 协议 source 源IP地址 通配符 [源端口] destination 目的IP地址 通配符 [目的端口]
7、ACL匹配位置
(1)入站(inbound)方向---入站方向的ACL对于入站流量先过滤再路由。
路由的流量比进入接口的流量要少。
(2)出站(outbound)方向---出站方向的ACL对于出站流量而言,先路由再过滤。
备注:接口是入站接口还是出站接口,由流量的方向决定。ACL是入站ACL还是出站ACL由命令决定。
第9次课
1、基本ACL配置命令语法
(1)创建数字型ACL
acl [number] 基本ACL的编号 [match-order config]
备注:match---匹配,order---顺序,config是指匹配顺序模式为config模式。
(2)创建命名型ACL
acl name ACL的名字 { basic | 基本ACL编号} [match-order config]
备注:basic---基本,基础
(3)配置基本ACL规则
rule [规则编号] { deny | permit } [ source { 源IP地址 通配符 | any } | time-range 时间范围名称 ]
2、高级ACL配置命令语法
(1)创建命令类似。
(2)规则的配置:
①当协议不是tcp或udp时:
rule [规则编号] { permit | deny } 协议 source 源IP地址 通配符 destination 目的IP地址 通配符
②当协议是tcp或udp时:
rule [规则编号] { permit | deny } { tcp | udp } destination { 目的IP地址 通配符 | any} destination-port { eq | gt | lt | range } 端口号/端口号范围 source { 目的IP地址 通配符 | any} destination-port { eq | gt | lt | range } 端口号/端口号范围
备注:
source---源
destination---目的
eq---等于
gt---大于
lt---小于
range---范围
第10次课
一、NAT背景知识
1、IPv4地址因分配不均已经使用地址的设备数量激增出现了IPv4地址耗尽危机(感觉不够用)。
2、开发新版本IPv6地址,但是从IPv4过渡到IPv6需要一个较长的阶段。
3、在过渡阶段想解决IPv4地址耗尽危机,有一系列的方法。
(1)将IPv4地址划分为私有IP和公有IP地址两大类,私有IP地址可在LAN内部重复利用。
(2)VLSM(可变长子网掩码)、CIDR(无类域间路由)技术。
4、企业用户或个人用户的设备使用私有IP地址,如何访问公网资源?使用NAT技术,将私有IP转换为公有IP。
二、NAT技术原理---IP报文改写技术
1、作用:对IP数据报文中的IP地址(源IP地址、目的IP地址)进行转换
2、典型应用场景:
(1)针对私网访问公网时,从内到外的流量,进行转换,将私有IP地址转换成公有IP地址。
(2)针对公网用户访问私网服务器资源时,从外到内的流量,进行转换,对IP报文中目的IP地址进行转换。
3、基本原理
(1)NAT设备在配置了NAT技术后,会形成一个NAT转换表。
(2)NAT转换表中每一个表项都为一对地址的映射关系。
4、NAT的优点和缺点:
(1)优点:
①节省合法的注册地址(公网IP地址)---节约成本
②在地址重叠时提供便利的解决方案---能减少维护成本,避免重新编址。
③提高连接Internet的灵活性。
④提升了网络安全性---隐藏内网IP架构。
(2)缺点:
①会增加网络延迟,影响网络性能。
②影响网络攻击时溯源
③会影响一些其他协议的使用。---NAT和某些技术不能共存。
第11-14次
一、NAT的分类、各类型特点及适用场景
1、静态NAT
(1)特点:
①私有IP地址与公有IP地址之间的对应关系为固定的一对一映射关系。
②支持双向互访。
③地址之间的对应关系为管理员手动指定。
④一旦配置后,该对应关系将永久保存在NAT映射表中,直到被管理员删除。
⑤仅进行IP地址的转换,不同时转换端口。
(2)配置思路及命令
①方式一:直接在接口视图下配置。
nat static global {全局地址/公有地址} inside {主机地址/私有地址}
static---静态
global---全局
inside---内部,是outside的反义词。
②方式二:在系统视图下配置,并在接口视图下启用。
A、配置映射关系
nat static global 全局地址 inside 主机地址
B、在接口上应用
nat static enable
(3)配置案例及分析
①在内网和外网进行抓包,所看到的现象:
A、PC ping通了服务器
B、内网捕获的IP数据包中源地址为私有地址,目的地址为公有地址。
C、外网捕获的IP数据包中源地址变成了指定的公有地址。目的地址不变。
②在NAT路由器上,查看NAT转化表
display nat static
可看到公有地址和私有地址的一对一映射关系。
也可看到仅有地址进行转换,没有端口进行转换。
2、动态NAT
(1)特点:
①私有IP地址与公有IP地址之间的对应关系为一对一映射关系。
与静态NAT的不同之处:
A、一对一的映射关系不固定。
B、静态NAT不使用地址池,而动态NAT使用地址池。
②使用IP地址池来管理所有可用公有地址。
A、用于形成映射关系的地址被标记“In Use”。
B、未被用于形成映射关系,或映射关系被解除的地址标记为“Not Use”。
③地址映射关系刚开始并不存在于NAT映射表中,当流量经过设备时,临时生成映射关系,并在NAT转换表中存在一段时间后自动删除。
好处:节约公有IP地址资源。
静态NAT的固定一对一映射关系,在主机长时间离线或不向外网发送数据时,仍占用公有IP地址资源,会造成公有IP地址资源的浪费。
小结:静态NAT与动态NAT的区别
静态NAT 动态NAT
一对一映射关系是否固定 是 否
是否使用公有IP地址池 否 是
地址映射关系存在的时间 一直 临时
(2)配置思路及命令
①创建公有IP地址池
nat address-group 地址池索引编号 起始地址 结束地址
备注:定义的IP地址池中的地址,不能随意,要能路由通信。
地址池索引编号取值范围:0-7
②配置地址转换的ACL规则---通过ACL规则来定义允许哪些内网网段可进行NAT。
acl number 基本ACL的编号
rule permit source 源IP地址 源通配符
注意:只能使用基本ACL来制定规则。
③接口视图下配置带地址池的NAT outbound---将允许转换的私有地址和地址池关联,便于后期生成映射关系。
nat outbound ACL的编号 address-group 地址组索引编号 no-pat
备注:no-pat选项如果添加,表示不进行端口转换。
(3)配置案例及分析
①每台设备在转换时占用一个公有IP。
②超出公有地址时的设备,报错:目标主机不可达。
③经过观察,192.168.1.0网段设备ping目标外网服务器时,有时候通,有时候不通。什么原因?
每台设备执行ping命令时,一次性依次发5个包,前3个包的IP能被转换,后面的包因公有地址不足,无法转换,因此无回复信息。后一台设备执行ping时,也会出现有的通有的不通的现象,当通的时候,是因为,公有IP被释放,有可用公有IP。
3、NAPT
(1)特点:
①解决动态NAT不能节约公网IP地址的问题。---节约公网IP地址资源。
②私有IP地址和公有IP地址之间是多对一的映射关系。
③转换地址的同时,也转换端口。
扩充知识:端口号的数量
TCP协议有65536个,UDP协议有65536个。
取值范围:0-65535
分类:
知名端口:0-1023 早期的一些比较有名,应用广泛的应用使用这些端口。
注册端口:1024-49151 如果在互联网上正常使用应用软件功能,需要对应用注册对应的端口号。
私有端口:49152-65535 测试、学习的过程中使用。
(2)配置思路及命令
参考动态NAT,不使用no-pat选项。
(3)配置案例及分析
使用PC1、PC2、PC3 ping 服务器。
每台PC发出的数据包转换后的IP地址相同。
不同PC发出的数据包转换后的IP地址可以不同。
4、Easy-IP
(1)特点:
①转换IP地址的同时也会转换端口。
②私有IP和公有IP地址之间是多对一的映射关系。
③不需要地址池。
④转换后的公有地址是设备上连接公网的接口的IP地址。
⑤连接公网的NAT设备接口的地址可以是静态手动配置,也可以是自动获取。
Easy-IP与NAPT的区别:
前者无需地址池,后者需要地址池;
前者转换后的地址与接口地址有关,后者转换后的地址与地址池中的地址有关。
(2)配置思路及命令
①配置基本ACL定义允许转换的私有地址。
②在出接口关联ACL。
nat outbound ACL编号
(3)配置案例及分析
所有设备转换后的IP地址是NAT设备出接口的IP地址。
如果更改NAT设备出接口的IP地址,那么转换后的地址也随之变化。
5、NAT Server
(1)特点:
①映射关系是一对一。
②同时转换IP地址和端口号。
③主要用于外网用户访问企业内网服务器时使用。
(2)配置思路及命令
①配置位置:NAT设备的inbound接口配置
②命令:
nat server protocol { tcp | udp } global 公有地址 端口 inside 服务器私有IP 端口
(3)配置案例及分析
第15-18次
一、VRRP概述及原理
1、VRRP产生的背景
补充知识:
路由器的特点:
①接口种类多,接口数量少;
②每个接口都是单独广播域---可用于分割广播域,每个接口配置的IP属于不同网段。
交换机的特点:
①接口种类比较单一,接口数量多;
②所有接口属于同一个广播域---不能用于分割广播域。
③接口缺省情况下不支持配置IP地址。
如果在拓扑图中省略交换机设备,来表示以太网连接可用实心直线表示。
(1)网关(Gateway)---从本网络前往其他网络的必经之路。
①一般情况下,由路由器的接口承担此角色。
②交换机的VLANIF接口也可承担此角色。
③单臂路由环境下,路由器的子接口也可作为网关。
备注:如果访问其他网络时,PC上并未配置网关IP地址,则无法访问。如果访问行为发生在同一个网络中,此时PC上可以不配置网关IP。
(2)单网关的缺陷:网关出现单点故障后,将导致整个网络无法对外通信。
解决方案:采用多网关进行冗余。
(3)多网关存在的问题:
①网关间IP地址冲突---不同网关配置不同的地址,规划好即可。
②主机会频繁切换网络出口。
③切换网关时可能需要手动切换。
④切换网关时所花费的时间较长。
2、VRRP概述
(1)全称:虚拟路由器冗余协议。
(2)概念:VRRP是一种能在不改变组网的情况下,将多台物理路由器虚拟成一个虚拟路由器,通过配置虚拟路由器的IP地址成为默认网关,实现网关备份的技术。
(3)版本:
VRRPv2(常用)---仅用于IPv4环境
VRRPv3---可用于IPv4和IPv6环境
(4)报文:只有一种
advertisement(通告)
目的IP地址:224.0.0.18 ---D类IPv4地址,组播地址
目的MAC地址:01-00-5e-00-00-12
协议号:112
3、VRRP基本结构
(1)VRRP路由器---运行了VRRP协议的设备。
(2)VRRP虚拟路由器---是由VRRP路由器虚拟而成,也被称为VRRP备份组。
(3)Master(主)路由器---是VRRP备份组中的一种角色,承担报文转发任务。一个备份组中有且仅有一个。
(4)Backup(备份)路由器---是VRRP备份组中的一种角色,不承担报文转发任务。一个备份组中除了Master之外的VRRP路由器都是Backup路由器。当Master路由器故障时,将竞选为新的Master。
(5)VRRP优先级(Priority)---用于竞选VRRP角色。
①取值范围:0-255。
②缺省值:100
③备份组内优先级最高的VRRP路由器将成为Master路由器。
④优先级值为0时,放弃选举。
⑤当真实网关IP地址与虚拟路由器的虚拟IP地址相同时,该VRRP路由器成为IP地址拥有者,其优先级值为255,成为Master。
(6)虚拟路由器标识符(VRID)---是虚拟路由器(VRRP备份组)的唯一标识。需要手动指定。
(7)虚拟IP地址---一个虚拟路由器可以有1个或多个虚拟IP地址,由管理员手动指定。
(8)虚拟MAC地址---不是由管理员手动指定,而是系统根据VRID生成。
00-00-5E-00-01-VRID
厂商ID(华为00-00-5E)+协议编码(IPv4:00-01、IPv6:00-02)+VRID(17,11)
4、状态机---VRRP状态之间的切换,对于以后排错是一个比较好的参考依据。
(1)有3种状态:
①Initial(初始)
②Master(主)
③Backup(备份)
(2)状态切换
①当VRRP路由器刚运行VRRP协议时,为初始状态。
②协议启动后,如果优先级为255,则直接状态变为Master;如果优先级不为255,则状态变为Backup。
③当接收到的VRRP通告报文中Master失效间隔时间超时或优先级值为0,或者收到的VRRP通告报文中的优先级值小于自己的优先级值时,VRRP路由器将状态变更为Master。
④当接收到的VRRP通告报文中的优先级值大于自己的优先级值时,状态将从Master变为Backup。
⑤如果VRRP协议关闭,则都变为初始状态。
二、VRRP主备备份工作过程
1、工作过程:
(1)选举Master路由器
①VRRP路由器发送VRRP通告信息。
②VRRP路由器收到通告信息后比较优先级,选择优先级高的为Master路由器。
③如果优先级相同,如果网络中存在Master,则Master不变;如果不存在Master,则比较接口IP地址。接口IP地址较大的成为Master。
(2)状态维持
①Master周期性发送VRRP通告。
②通过VRRP通告通知组内其他成员,Master处于正常工作状态。
③如果在Master_down_interval定时器超时的时候,没有收到Master发送的通告,则认定Master故障,Backup设备将变为Master。
Master_down_interval=3×Advertisement_interval+Skew_Time
Skew_Time=(256-Backup设备的优先级值)/256
单位:秒
Advertisement_interval=1s
(3)Master通过免费ARP报文,将虚拟路由器MAC地址告知其他设备。
(4)当Master故障后,Backup变成Master,原Master恢复后,进行主备回切,此时原Master如果立即抢占Master角色,将会导致网络通信中断。
2、Master上行链路故障
(1)上行链路故障不影响Master向Backup发送VRRP通告,因此不会进行线路切换。
(2)解决方案:采用VRRP联动监控功能。
①监控Master上行链路
②一旦上行链路故障,将Master的优先级值下降,让其低于Backup,让它们进行角色切换。
三、VRRP负载分担工作过程
1、VRRP主备备份方式存在的缺点:
(1)Master负载过重。---整个网络流量都经过Master进行传输。
(2)Backup所处链路资源未利用上(资源利用率较低)。
2、VRRP负载分担工作过程:
(1)以相同的VRRP路由器成员组成多个备份组(至少是2个)。
(2)在不同的备份组中Master路由器由不同的VRRP路由器承担角色。
(3)客户端设置不同的虚拟IP地址作为网关,实现在不同的链路上负载分担网络流量。
3、VRRP负载分担方式的优点:
(1)降低了Master的负担。
(2)充分利用了链路资源。
4、VRRP主备备份和负载分担方式的比较:
(1)相同点:两者都具备网关的冗余功能。每个备份组仅有一个Master路由器。
(2)不同点:
①备份组数量:
主备备份:1个备份组
负载分担:至少2个备份组
②虚拟IP数量:
主备备份:1个
负载分担:至少2个
③网关配置:
主备备份:所有主机使用同一个网关地址
负载分担:使用不同的网关地址。
四、VRRP基本配置
(1)VRRP主备备份
①配置设备基础信息:主机名、线路、信息中心、IP地址、路由(静态路由)
②在VRRP备份组成员路由器网关接口上进行VRRP配置
A、Master路由器
vrrp vrid 1 virtual-ip 10.1.1.254
vrrp vrid 1 priority 150
vrrp vrid 1 preempt-mode timer delay 20
vrrp vrid 1 track interface GigabitEthernet 0/0/1 reduced 60
B、Backup路由器
vrrp vrid 1 virtual-ip 10.1.1.254
③在客户端上将所有主机的网关IP地址设置为虚拟IP地址。
(2)VRRP负载分担
①配置设备基础信息:主机名、线路、信息中心、IP地址、路由(静态路由)
②在VRRP备份组成员路由器网关接口上进行VRRP配置
注意:需要配置两个或两个以上的VRRP备份组
③在客户端上将主机的网关IP地址设置为对应虚拟IP地址。
注意事项:必须事先规划好各个路由器的角色、优先级、虚拟IP地址等信息。
第19-21次课 Windows活动目录管理课程复习
一、活动目录域环境部署(第1、7章)
1、基础知识
(1)基本概念:
目录服务
活动目录
域
域控制器
对象
属性
容器
OU(组织单元)
LDAP
UPN
DN cn=,ou=,dc=... zhangsan sales yinhe.com
(2)活动目录与DNS的关系。(3句话)
密不可分
记录、定位
名称格式
(3)活动目录的优点
(4)DC的作用
(5)工作组环境和域环境的区别
设备地位
资源管理
(6)客户端加入域时需要满足的条件
客户端和DC网络互通
DNS配置正确
具有域内管理者权限
2、主域控制器(DC)的部署
(1)部署DC的前提条件:
具备管理员权限
*** 作系统版本---不能是个人版,需要是企业版(Server 、Server R2),除了WEB版
NTFS文件系统
静态IP和子网掩码
足够存储空间
DNS辅助
3、额外DC的部署
(1)额外DC的作用(3个)
(2)额外DC部署的条件
域管理员权限
与主DC之间网络通畅
DNS指向主DC/DNS服务器地址。
4、子域、域林的部署
(1)子域的概念
(2)域林的概念
(3)删除子域和域林的条件:
将域控制器添加到现有域---创建额外DC时。
将新域添加到现有林---创建子域的时候。
添加新林---创建林中第一台DC时。
二、对象管理(第2-5章)
1、域用户和组的管理
(1)账户分类
本地账户
域账户:用户账户、组账户
(2)域用户账户
①用途:P33
②创建方法(5个):
使用AD用户和计算机工具
使用命令:
net user CMD---工作组环境和域环境均可使用
dsadd CMD---仅域环境中可使用。
New-ADUser PowerShell---仅域环境中可使用。
使用CSVDE导入---文件模板+CSVDE命令工具
脚本---脚本文件,直接执行
批处理---可直接输入命令执行,也可将命令写在批处理文件内,再执行文件。
备注:需要额外记住一些常用命令的语法格式。
③域用户账户属性:
登录时间
登录到
解锁账户
④登录方式
登录名: 域NETBIOS名称\用户名 yinhe\zhangsan
UPN:用户名@域名 zhangsan@wh.yinhe.com
⑤批量导入域用户的方法:
使用csvde工具
使用(第三方)工具---AD Bulk Admin
(3)域组的管理
①根据组的作用域将域组分为:(3类)
本地域
全局域
通用域
②根据组类型将域组分为:(2种)
安全组
通讯组
③能被加入到域组的对象有哪些?
用户、计算机、联系人、组
④通讯组和安全组的区别
通讯组没有安全功能,不能被赋予权限。
安全组有安全功能,可被赋予权限。
(4)默认情况下,一个普通域用户可将多少台客户端加入到域?
10台,委派状态下
2、漫游用户
(1)用户配置文件的类型(4种)及说明
本地
漫游
强制
临时
(2)用户配置文件存储的位置:
C:\用户 C:\users %systemdrive%
(3)默认情况下,Windows10 客户端使用V5的用户配置文件,其扩展名为.V5
(4)漫游的工作原理 P63
(5)单一用户漫游
漫游用户文件夹 用户名.V5 共享,给权限
(6)批量用户漫游
漫游用户文件夹 profile\%username% 共享,给profile权限
(7)用户配置文件的定义和作用
定义:是指用户在登录时系统自动加载的所需环境的设置和文件的集合。
作用:为用户提供 *** 作所需的环境。
3、OU(组织单位/组织单元)管理
(1)概念:是一个特殊的容器对象。用于组织管理域中的对象,将其组成对象逻辑组,简化管理。
(2)OU中可包含的对象有哪些:
用户、计算机、工作组、打印机、应用程序、安全策略、文件共享、其他OU
(3)域中管理体系的三层结构:
①域
②默认容器:容器、OU
③域对象
(4)默认容器及其作用 P77
(5)其他容器相关知识
①默认容器(非OU)中不能创建OU。
②域级别能够创建OU,OU中可创建其他OU。
(6)OU的设计方式:
①基于部门
②基于地理位置
③基于对象类型
(7)OU与组的区别
①相同点---域中的容器对象。都能进行组织管理。
②不同点
OU体现管理模型,组是权限的集合。
对象可同时隶属于不同的组,但不能同时隶属于不同OU。
(8)“防止容器被意外删除”选项的作用:防止误 *** 作导致意外删除OU。
(9)OU委派控制
①优点:降低管理员工作负担,提高工作效率。
②注意事项:
域管理员权限
规划好委派对象,以及委派任务内容。
4、组策略管理
(1)概念:是管理员为计算机和用户定义的,用于控制应用程序、系统设置和管理模板的一种机制(工具)。
(2)分类:
①本地组策略---只能在本地生效
②域组策略---域中生效
(3)优点:
①减少管理成本。
②减少配置错误发生的可能性。
③个性化/定制化---针对特定对象实施特定策略。
(4)GPO(组策略对象)
①也是域中的对象之一。
②GPO必须与站点、域、OU中的一个关联,才能产生效果。
③GPO与容器之间必须链接,才能让其中包含的组策略生效。
④默认GPO有两个:
默认域策略 Default Domain Policy
默认域控制器策略 Default Domain Controllers Policy
(5)组策略的生效时间:
①用户配置
用户登录时自动应用。
手动强制刷新时立即生效。
已登录:
默认应用周期:90-120min/次
安全性配置策略:16h/次
②计算机配置
开机启动时自动应用。
手动强制刷新时立即生效。
已启动:
默认应用周期:
DC:5min/次
非DC:90-120min/次
安全性配置策略:16h/次
备注:手动强制刷新命令: gpupdate /force
(6)删除GPO和删除GPO链接的区别:
删除GPO实际上就是删除了策略。
删除GPO链接实际上未删除策略,只是去除了GPO与容器之间的关联。
(7)组策略的应用规则:
①继承---默认情况下,下层容器继承上层容器的GPO。
②阻止继承---子容器可阻止继承上层容器的GPO。
③累加---如果容器的多个组策略设置不冲突,则最终有效策略为所有组策略的累加。
④冲突---如果容器的多个组策略设置有冲突,则按如下顺序应用:LSDOU---本地、站点、域、组织单元
⑤默认情况下,策略冲突时,后应用的策略覆盖前面的。
⑥如果子容器关联的策略与上层的冲突,或子容器阻止继承上层容器的GPO,如果想要让上层容器的GPO中的策略生效,可设置强制生效。
三、活动目录灾难恢复(第6章)
1、原因:容错,并防止误 *** 作导致的AD数据库数据丢失。
2、AD数据库文件默认存放的位置: %systemroot%\NTDS C:\Windows\NTDS
3、备份方式:
(1)手动备份---一次性备份
(2)自动备份---备份计划
4、还原AD的方法:
(1)非授权还原---适用于以下两种环境:
①独立DC上还原数据;
②有多台DC且进行了数据同步,但对数据的丢失能够接受。
(2)授权还原---不能接受数据的丢失。
5、其他:
(1)还原DC的系统状态一定要在目录服务修复模式下进行。
(2)进入目录服务修复模式的方法:
①设置--->更新和安全--->恢复--->立即重启--->疑难解答--->高级选项--->启动设置--->重启
②选择目录服务修复模式--->输入用户名:.\administrator--->输入密码:目录服务还原模式密码
备注:输入的不是管理员administrator的密码,也不是域管理员administrator的密码。
(3)使用ntdsutil工具
(4)AD回收站的作用:用来快速还原被误删除的AD对象,避免从备份恢复时的繁琐 *** 作。最大限度地缩短目录服务中断时间。
第22-24次课 企业网络互联技术复习
一、前置回顾内容:计算机网络技术
1、第5章 交换机的工作原理及配置----交换机的工作原理
(1)地址学习
(2)转发过滤
(3)环路避免---本课程的STP与之相关。
2、第11章 VLAN
(1)端口类型
(2)链路类型
(3)不同类型的端口在收发数据时如何处理数据帧---添加和去除VLAN Tag
(4)VLAN Trunk链路---要和第12章节的Eth-Trunk区分开。
(5)基本配置
①创建VLAN
②接口划分
3、第12章 Eth-Trunk
(1)是一个应用较为广泛的冗余(可靠性)技术。
(2)本门课程学习过程中某些网络环境下可能用到该技术。
二、VLAN间通信
1、学习该知识的原因:
(1)广播域越多越好,且为了提升网络的安全性、灵活性等特点,划分VLAN。
(2)划分VLAN后,不同VLAN之间需要通信。
2、实现VLAN间通信的技术方案:---需要三层功能
(1)使用路由器的物理接口
一个VLAN连接到一个物理接口
(2)使用路由器物理接口的子接口(单臂路由技术)---如果要节约成本,且要求不高的时候可考虑该方案。
使用一个物理接口。
每个VLAN关联一个子接口。
(3)使用多层交换机的SVI(交换虚拟接口)---VLANIF---实际应用中推荐大家使用该方案。
VLANIF接口与物理接口、子接口配置好后,都被视为直连网络。
3、路由器物理接口的子接口相关配置
(1)创建子接口
(2)子接口终结配置
协议:dot1q(802.1Q)
命令格式
ARP广播功能启用
4、使用VLANIF接口时需要注意的地方
(1)VLANIF接口对应的VLAN必须存在。
(2)VLANIF接口对应的VLAN中至少存在一个物理接口,才能up up。
三、生成树
1、学习的原因:
(1)在实现冗余的同时避免二层环路带来的危害,需要用到STP。
广播风暴、MAC地址表漂移(震荡)
(2)学习理解了STP运行的原理后,能对被阻塞的接口进行掌控,从而实现数据流转发路径的控制。
2、STP基本概念
(1)BID
①中文全称
②作用
③组成
④网桥优先级取值范围及默认值
(2)根桥
(3)Cost(开销值)
①与带宽成反比
②有哪些标准:802.1d-1998、802.1t、legacy
(4)RPC(根路径开销)
(5)Port ID
①作用
②组成
③端口优先级取值范围及默认值。
(6)BPDU
①中文全称
②作用
③分类:配置、拓扑变更通告
④BPDU报文结构中重要的字段:计时器
3、STP的选举过程
(1)选根桥
(2)选根端口
(3)选指定端口
(4)选Alternate(预备)端口
4、选举标准:
(1)每个网络有且仅有一个根桥
(2)每台非根交换机上仅有一个根端口
(3)每段链路上仅有一个指定端口
5、选举的依据:
(1)根桥选举:最小的BID
(2)根端口选举
①RPC最小。
②上行交换机的BID最小。
③上行交换机的PID最小。
④本地交换机PID最小。
(3)指定端口选举
①RPC最小
②链路两端的BID最小
③链路两端的PID最小
(4)预备端口选举:除了根端口和指定端口之外的端口就是预备端口。
6、端口角色(Role):
(1)根端口 ROOT
(2)指定端口 DESI
(3)预备端口 ALTE
7、端口状态(State):
(1)转发 Forwarding
(2)学习 Learning
(3)侦听 Listening
(4)阻塞 Blocking
(5)禁用 Discarding
8、计时器
(1)Message Age(消息寿命)---每经过一个交换机,该值累加1,最大值为20。
(2)Max age(最大寿命)---20s
(3)Forward Delay(转发延迟)---15s
(4)Hello Time(发送BPDU的时间间隔)---2s
9、配置命令:
(1)配置STP模式:
stp mode { stp | rstp | mstp } //默认是mstp。
(2)配置STP优先级和接口优先级:
stp priority 优先级值
(3)STP功能开关
[ undo ] stp enable
四、ACL
1、学习的原因:
(1)流量过滤的需求
(2)结合其他技术,实现控制网络访问行为、防止网络攻击和提升网络带宽利用率等目的。
2、ACL的组成:
(1)ACL编号
(2)规则
(3)规则编号:
①步长值:默认为5。
②步长值的作用:便于规则的插入。
(4)动作:
①允许:permit
②拒绝:deny
(5)匹配项(匹配条件)
3、通配符(理解用法,如何书写)
4、ACL的标识:
(1)数字编号
(2)名称
5、ACL分类:
(1)根据ACL的标识:
①数字型ACL
②命名型ACL
(2)根据ACL的规则定义方式
①基本的ACL:2000-2999
②高级的ACL:3000-3999
③二层ACL
④用户自定义ACL
⑤用户ACL
6、匹配顺序:
(1)自动排序 auto模式 按规则的精度进行排序。
(2)配置模式 config模式 按ACL规则编号进行排序。
7、ACL的匹配
自上而下逐条匹配,一旦匹配立即执行,没有匹配,执行潜规则。
8、ACL的配置语法:
(1)基本ACL关注源IP地址
(2)高级ACL关注源IP地址、目的IP地址、源端口号、目的端口号、协议。
五、NAT
六、VRRP
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)