新人培训交行第四天04aclvrrp

ACL访问控制列表ACL概述ACL（AccessControlList，访问控制列表）是用来实现数据包识别功能的ACL可以应用于诸多方面包过滤防火墙功能NAT（NetworkAddressTranslation，网络地址转换）QoS（QualityofService，服务质量）的数据分类路由策略和过滤按需拨号基于ACL的包过滤技术对进出的数据包逐个过滤，丢弃或允许通过ACL应用于接口上，每个接口的出入双向分别过滤仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤入方向过滤入方向过滤出方向过滤出方向过滤接口接口路由转发进程入站包过滤工作流程匹配第一条规则数据包入站匹配第二条规则匹配最后一条规则丢弃通过YesPermit是否配置入方向ACL包过滤NoPermitDenyPermitDefaultPermitDenyDenyDefaultDeny数据包进入转发流程NoNoNo检查默认规则设定出站包过滤工作流程匹配第一条规则数据包到达出接口匹配第二条规则匹配最后一条规则丢弃通过YesPermit是否配置出方向ACL包过滤NoPermitDenyPermitDefaultPermitDenyDenyDefaultDeny数据包出站NoNoNo检查默认规则设定通配符掩码通配符掩码含义0.0.0.255只比较前24位0.0.3.255只比较前22位0.255.255.255只比较前8位通配符掩码和IP地址结合使用以描述一个地址范围通配符掩码和子网掩码相似，但含义不同0表示对应位须比较1表示对应位不比较通配符掩码的应用示例IP地址通配符掩码表示的地址范围192.168.0.10.0.0.255192.168.0.0/24192.168.0.10.0.3.255192.168.0.0/22192.168.0.10.255.255.255192.0.0.0/8192.168.0.10.0.0.0192.168.0.1192.168.0.1255.255.255.2550.0.0.0/0192.168.0.10.0.2.255192.168.0.0/24和192.168.2.0/24ACL的标识利用数字序号标识访问控制列表可以给访问控制列表指定名称，便于维护访问控制列表的分类数字序号的范围基本访问控制列表2000～2999扩展访问控制列表3000～3999基于二层的访问控制列表4000～4999用户自定义的访问控制列表5000～5999基本ACL基本访问控制列表只根据报文的源IP地址信息制定规则接口接口从1.1.1.0/24来的数据包不能通过从2.2.2.0/28来的数据包可以通过DA=3.3.3.3SA=1.1.1.1DA=3.3.3.3SA=2.2.2.1分组分组接口接口从1.1.1.0/24来，到3.3.3.1的TCP端口80去的数据包不能通过从1.1.1.0/24来，到2.2.2.1的TCP端口23去的数据包可以通过DA=3.3.3.1,SA=1.1.1.1TCP,DP=80,SP=2032DA=2.2.2.1,SA=1.1.1.1TCP,DP=23,SP=3176分组分组基本ACL部署位置示例要求PCA不能访问NetworkA和NetworkB，但可以访问其他所有网络PCA172.16.0.1E0/1E0/0RTCRTBRTANetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1[RTA]firewallenable[RTA]aclnumber2000[RTA-acl-basic-2000]ruledenysource172.16.0.10[RTA-Ethernet0/1]firewallpacket-filter2000inbound高级ACL高级访问控制列表根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则接口接口从1.1.1.0/24来，到3.3.3.1的TCP端口80去的数据包不能通过从1.1.1.0/24来，到2.2.2.1的TCP端口23去的数据包可以通过DA=3.3.3.1,SA=1.1.1.1TCP,DP=80,SP=2032DA=2.2.2.1,SA=1.1.1.1TCP,DP=23,SP=3176分组分组高级ACL部署位置示例PCA172.16.0.1E0/1E0/0RTCRTBRTA要求PCA不能访问NetworkA和NetworkB，但可以访问其他所有网络NetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1[RTC]firewallenable[RTC]aclnumber3000[RTC-acl-adv-3000]ruledenyipsource172.16.0.10destination192.168.0.00.0.1.255[RTC-Ethernet0/0]firewallpacket-filter3000inbound本章重点了解ACL的作用了解ACL匹配码的使用方法了解基本ACL和高级ACL的区别掌握ACL的的配置方法VRRP普通网络存在的问题在如下局域网络中，终端用户存在被孤立的可能。一旦交换机的三层虚接口故障，局域网用户就被孤立，不能实现与外部网络的通信。VRRP（VirtualRouterRedundancyProtocol）正是为了解决此问题而诞生。10.0.0.110.0.0.910.0.0.810.0.0.710.0.0.6IP网VRRP的应用（一）VRRP以虚拟路由器的形式为终端用户提供服务，而实际负责数据转发的路由器由一组运行VRRP协议的路由器选举产生，从而实现三层网关的备份。10.0.0.110.0.0.910.0.0.810.0.0.710.0.0.610.0.0.210.0.0.3IP网VRRP的应用（二）在同一VLAN虚接口下提供多组VRRP组，不同VRRP选择不同的路由器或三层交换机担当Master，相互实现备份。同时通过VLAN内主机设置不同的VirtualIP为网关地址实现负载分担。10.0.0.110.0.0.910.0.0.810.0.0.710.0.0.610.0.0.210.0.0.310.0.0.4IP网VRRP的选举在VRRP组内，可以分别指定各路由器的选举优先级。当VRRP进行选举时，首先比较选举优先级，优先级高者获胜成为该VRRP组的Master，失败者成为Backup。如果两个VRRPRouter具有相同的优先级，IP地址大者获胜成为Master。Master周期性发送Advertisement，Backup接收Advertisement。Backup如果一定时间内未收到Advertisement，认为MasterDown，进行新一轮的Master选举。VRRP配置举例网络结构图两个三层交换机运行VRRP协议10.0.0.910.0.0.810.0.0.710.0.0.610.0.0.210.0.0.3Switch_ASwitch_BIP网多备份组实现负荷分担同一网络结构图，配置两个备份组，其ID为1和2，虚拟网关分别为10.0.0.1和10.0.0.4正常情况下，Switch_A为1组的Master，Switch_B为2组的Master。局域网内部分用户以10.0.0.1为缺省网关，部分用户以10.0.0.4为缺省网关。配置Switch_A：[Switch_A-vlan-interface2]vrrpvrid1virtual-ip10.0.0.1[Switch_A-vlan-interface2]vrrpvrid1priority120[Switch_A-vlan-interface2]vrrpvrid2virtual-ip10.0.0.4配置Switch_B：[