第十二天内容《基础交换十二》

RIP ：
   属于距离矢量路由协议；
   位于 OSI 模型的第 7 层，通过 UDP 520来表示；
   传递路由的方式，是一跳一跳的传输；(hop - 跳)
    
版本：
     默认版本： 发版本1，收版本1和2；
     版本1：发版本1，收版本1，
     版本2：发版本2，收版本2，
    
    版本2的优点：
        1、可以携带子网掩码；
        2、支持认证功能；
        3、支持路由标记，便于管理路由条目；
        4、发送方式为组播 - 224.0.0.9  
报文：
 请求 - request，用于向其他路由器请求路由条目；
 回应 - respone，用于对请求信息的回应，携带自己的路由发给对方
    
 
配置命令：
    router rip  
       version 2  
       no auto-summary
       network x.x.x.x  
 
验证、测试命令：
  show ip protocols //查看本地设备上启用的所有的路由协议信息
  show ip route  // 查看本地路由表；
  clear ip route *  // 刷新本地的动态路由条目
 
 
特殊路由 - 默认路由  
 
 
默认路由：表示的是所有的网段；
    表现形式： 0.0.0.0/0 ；
       -配置方式（静态）    
          ip  route  0.0.0.0  0.0.0.0  12.1.1.2            
                     
       -配置方式（动态-RIP）
           # ip route 0.0.0.0 0.0.0.0 23.1.1.3 //创建默认路由
           # router rip  
                redistribute static   
                   //将本地路由表中的静态路由，引入到 RIP 中，然后发给其他的内网的RIP路由器；            
 
       -路由表显示
          在路由表中，默认路由条目前面肯定会有一个“*”符号；
 
------------------------------------------------------------
Null 0  路由 ：滞空路由
     凡是发送到端口的数据包，都会被丢弃掉；
     一般用于防止数据环路或者是病毒数据包；
配置方式：
 ip route  x.x.x.x y.y.y.y  null 0
 
 
路由表条目匹配规则：
    最长匹配
    匹配的越长，表示越精确；
例如：
    R8:  
     ip route 192.168.9.100  255.255.255.255  null 0  
     ip  route 0.0.0.0 0.0.0.0 12.1.1.2  
 
当某主机向目标IP地址 192.168.9.100 发送数据包时，匹配的是上面
 
 
--------------------------------------------------
路由管理  
 
     - 认识路由  
     R 192.168.2.0/24 [120/2] via 12.1.1.2
     - 配置路由属性
           -AD  
              router rip  
                 dsitance 119  
                    - 验证  
                        show ip protocols  
                        show ip route rip  
           -Metric  
                每经过一个路由器，metric都会加1；
               router rip  
                 offset-list [acl]  in  4  gi0/0
                  
-----------------------------------------------
 
 
 
 
 
 
 
路由条目  -- 目标IP
 
192.168.1.0 /24
 
 
 
标准 ACL 条目 -- 源IP  
 
192.168.0.1 0.0.255.0  
 
 
 
 
---------------------------------------------------------
 
R1:
 
-创建ACL
  ip access-list  standard Deny-Ping
     10 deny  192.168.1.1  0.0.0.0  
!
-调用ACL
interface gi0/1
  ip access-group  Deny-Ping in       
 
-验证 ACL  
   show ip access-list   // 查看 ACL 的配置信息；
   show ip interface gi0/1   // 查看 ACL 的调用信息；
 
-测试：
  PC-1 ：
     ping 192.168.2.3 , 应该是不通；
 
==========================================================
 
ACL：
    access control list ，访问控制列表，用于匹配感兴趣的
    流量，并进行“控制”；
    
   -作用：
       用于实现对数据报文的控制；
        
   -类型：
       标准
         -只能匹配 IP 头部中的 源IP 地址；
       扩展
         -可以同时匹配 IP 头部中的 源和目标 IP 地址，
          同时，还可以匹配 传输层协议；
   -表示：
        ID，通过不同范围的ID，表示 ACL 的不同类型；
               标准 - 1~99
               扩展 - 100~199
        word ，通过名字，表示 ACL （项目中常用方法）
            通过 名字 区分不同的 ACL 时候，在创建之初，
            必须提前指定 ACL 的类型；
             例如：
                ip access-list standard  "name"
                ip access-list extended  "name"
   -配置：
        创建ACL
            ip access-list  standard ABC
                10 deny 192.168.1.0  0.0.0.255  
                
        调用ACL  
            interface  gi0/1  
                ip  access-group  ABC in  
        验证ACL
            show ip access  
            show ip interface gi0/1  
        测试    
           PC-1 ----> PC-3  
            192.168.1.1 --> 192.168.2.3             
 
－工作原理：
        当端口在特定的方向收到流量以后，开始进行特定方向
        上的 ACL 条目的检查，规则如下：
         1、ACL如果多个条目，则按照每个条目的序列号从小
            到大依次检查、匹配：
         2、首先检查数据包的源头IP地址，是否可以匹配；
               如果不可以，则检查下一个 ACL 条目；
               如果可以，则继续（3）
         3、其次检查数据包的目标IP地址，是否可以匹配；
               如果不可以，则检查下一个 ACL 条目；  
               如果可以，则继续（4）
         4、再次检查数据包的IP后面的协议的类型，是否可以匹配
               如果不可以，则检查下一个 ACL 条目；  
               如果可以，则继续（5）
         5、查看 该 ACL 条目的 动作 ： permit / deny ；  
         6、确定 该 ACL 调用在端口的什么方向？
                如果是 out，则表示允许/拒绝 转发出去；
                如果是 in , 则表示允许/拒绝 转发进来；
注意：   
    ACL 条目 是按照序列号从小到大，逐条目检查的；
        如果该条目没有匹配住，则匹配下一个条目；
        如果该条目匹配主了，则执行上面的（5，6）作用；
    每个 ACL 后面都有一个隐含的拒绝所有。
       针对 标准/扩展 ACL 的 “允许” 所有，配置命令如下：
         标准ACL -  
             ip access-list standard Permit
                 10 permit any  
         扩展ACL -  
             ip access-list  extended Permit  
                 10 permit  ip  any  any   
                  
                  
    **** 在现网中，对ACL进行创建、修改、删除之前，都要
          查看一下当前设备上是否存在对应的 ACL 以及调用情况    
---------------------------------------------------------
ACL调用建议：
     1、如果想通过标准 ACL ，拒绝访问某一个目标主机，
         则将 ACL 调用在距离目标主机尽可能近的地方；
     2、如果想通过标准 ACL ，控制某一个源IP地址主机
        的上网行为，则将调用在距离源IP地址主机尽可能近的地方
     3、扩展 ACL 应该调用在距离 源主机 尽可能近的地方；
        因为扩展 ACL 可以精确的区分不同类型的流量；
 
通过 ACL 控制流量  的  配置思路：
 1、先分析原有数据流的走向
 2、确定转发路径上的设备 （确定路由设备）
 3、确定在哪些设备的、哪些端口的、哪些方向上
 4、确定 ACL 如何写
 5、确定 如何调用   
 6、验证和测试
 
---------------------------------------------------
 
小案例：
 
     192.168.1.1 -------> 192.168.2.3  
        -ping  
              icmp , internet control message protocol  
        -telnet  
              tcp , 23  
               transport control protocol ,传输控制协议
                   建立的是一个稳定的链接；
 
常见流量分析：（套接字）
        tcp 80  ---> web  
        tcp 21  ---> FTP  
        udp 67/68  --> DHCP
        udp 520   --> RIP  
          user datagram protocol ,用户数据报文协议；
                建立的是一个不可靠的链接，但是
                传输速度快；
 
 端口号： 0--65535  
 
    知名端口（wellknown port ）
    随机高端口 > 1024  
    
 
套接字组成：（后期经常研究的对象）
    IP+tcp/udp + port ===> IP socket ，套接字    
    
     192.168.1.1 ， tcp 80 ,  
     192.168.1.1 , tcp 23 ，
 
---------------------------------------------------------
小扩展：
 
2层交换机配置网管IP：
    SW1#
        interface vlan 1  
           no shutdown
           ip address 192.168.2.9 255.255.255.0  
            
        ip default-gateway  192.168.2.254  
               // 为交换机配置网关IP，类似于 PC ；  
 
扩展ACL配置需求-1：  
192.168.1.1 ----> 192.168.2.9  
   ping : icmp      // not   
   telnet : tcp 23  // yes  
 
配置案例的实现命令：  
 R2：
     
    ip access-list extended HAHA   // 创建扩展 ACL ；  
       15  deny icmp 192.168.1.0  0.0.0.255  host 192.168.2.9
       25  permit  ip  any any  
        
    interface gi0/1    // telnet 流量的入端口；  
       ip access-group HAHA in  
配置案例的结果：        
    ping ， not ;  
    telnet  , yes ;     
     
 
扩展ACL配置需求-2：  
192.168.1.1 ----> 192.168.2.9  
   ping : icmp      // yes   
   telnet : tcp 23  // not  
 
R1：
-创建ACL
ip access-list  extended HOHO
10 deny tcp 192.168.1.0  0.0.0.255  host 192.168.2.9 eq 23  
20 permit  ip any any  
 
-调用 ACL  
interface gi0/1    // 链接的是 PC-10
ip access-group HOHO in  
!
-验证 和 测试  
  show ip access-list  
  show ip interface brief  
  telnet x.x.x.x ----------------->NO  
 
 
    
    
 
 
    
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
注意：
    
 
 
 
 
 
《最后的莫西干人》
           - 网易云音乐
 
 
show ip protocols //查看本地设备上启用的所有的路由协议信息；
clear  ip  route * //清除本地路由表中的所有动态路由条目；
 
 
默认路由：
    表现形式： 0.0.0.0/0 ；
       -配置方式（静态）    
          ip  route  0.0.0.0  0.0.0.0  12.1.1.2  
           
                     
       -配置方式（动态-RIP）
           # ip route 0.0.0.0 0.0.0.0 23.1.1.3 //创建默认路由
           # router rip  
                redistribute static   
                   //将本地路由表中的静态路由，引入到 RIP 中，然后发给其他的内网的RIP路由器；            
 
       -路由表显示
          在路由表中，默认路由条目前面肯定会有一个“*”符号；