数据通信技术 课件 项目4 部署网络扩展业务及应用

数据通信技术任务4.1实训：部署VRRP实现网关备份一、VRRP技术背景优点：具有最小化的配置和运行开销，能够兼各种IP应用缺点：增加了单点故障的可能性NETWORK54/24网关1.254/24网关1.254/24网关1.254单点故障主机上配置网关一、VRRP技术背景R1/24网关1.253R253/24GE0/0/052/24GE0/0/0

解决单点故障的最好办法是硬件上的冗余，但是如果在终端的单跳部署双网关的话，又会因为终端网关的固定配置，导致发生故障时无法实现流量的自动倒换，由此引入VRRP协议。二、VRRP协议概述MasterR1/24网关1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54VRRP一种能够解决网关路由器单点故障引起网络失效的容错协议。当主机的下一跳路由器坏掉时，可以及时的由另一台路由器来代替，保持通讯的连续性和可靠性。二、VRRP协议概述R1/24网关1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54VRRP核心思路

通过多台核心共同虚拟出一个假网关，假网关的IP成为二层网络的唯一网关地址，使主网关断掉以后自动切换到备份网关，达到主备互为备份，双机热备效果。三、VRRP基本原理1运行机制2基本术语3处理ARP及ICMP三、VRRP基本原理运行机制R1/24网关1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54MasterR1/24网关1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54Master同一组内的路由器通过选举确定一个主路由器承载流量，实现针对虚拟路由器的各种网络功能三、VRRP基本原理运行机制R1/24网关1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54MasterR1/24网关1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54Master备份路由器暂时无法使用虚拟IP地址，只能接受主路由器发来的控制信息三、VRRP基本原理运行机制R1/24网关1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54MasterR1/24网关1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54Master一旦主路由器出现网络故障，备份路由器会马上切换成主路由从而获得虚拟IP地址，接管原来主路由的网络功能，完成故障倒换三、VRRP基本原理基本术语01vrrp报文02vrrp角色与状态切换03备份组(vrid)04追踪与抢占三、VRRP基本原理VersionTypeViturlRtrID07331PriorityCountIPv4AddrsAuthTypeAdverIntChecksumIPv4Address(1)......IPv4Address(n)AuthenticationData(1)AuthenticationData(2)4815162324由master路由器，以心跳间隔1s，通过组播形式向广播域发送1.Vrrp报文基本术语三、VRRP基本原理基本术语重要字段含义Type报文的类型，取值为1，表示VRRP通告报文。VirtualRtrID虚拟路由器组号码，组号码指定是基于广播域的。Priority网关接口在备份组中的优先级，取值范围是1~254。AdverIntVRRPv2报文的发送时间间隔，缺省是1秒，也被称为心跳间隔。IPv4AddressVRRP备份组的虚拟IPv4地址。VersionTypeViturlRtrID07331PriorityCountIPv4AddrsAuthTypeAdverIntChecksumIPv4Address(1)......IPv4Address(n)AuthenticationData(1)AuthenticationData(2)4815162324重要字段介绍三、VRRP基本原理基本术语2.vrrp角色与状态切换Master路由器Backup路由器在VRRP组中实际转发数据包，响应对虚拟IP地址的ARP请求。同时以一定的时间间隔发送VRRP消息，通知Backup路由器自己的存活。在VRRP组中处于监听状态的路由器，一旦Master路由器出现故障，Backup路由器就开始接替工作三、VRRP基本原理基本术语2.vrrp角色与状态切换初始值是100，以大为优，优先级0和255无法设置，0表示不参选，255表示ip地址拥有者01.比较vrrp优先级如果优先级一样则比较物理接口IP地址的大小，以大为优02.比较物理接口IP地址的大小选举规则三、VRRP基本原理基本术语2.vrrp角色与状态切换VRRP状态机

初始状态都是Initialize，如果不是IP地址拥有者则都跳转至backup，在规定时间内，Backup若没有收到Master发来的心跳报文，将切换为Master。如果master收到优先级更高的报文，则会切换回backup。Initializemasterbackup接口downIP地址拥有者接口down非IP地址拥有者等一个主失效时间，或一个skewtime收到优先级更高通告三、VRRP基本原理基本术语2.vrrp角色与状态切换skewtime=(256-优先级)/256主失效时间=3×心跳间隔+skewtimeInitializemasterbackup接口downIP地址拥有者接口down非IP地址拥有者等一个主失效时间，或一个skewtime收到优先级更高通告三、VRRP基本原理基本术语3.备份组(vrid)多组之间可以做负载(分流)一个组应该以广播域来理解一共支持255个备份组，一个组内必须满足角色要求(一主多备)SSSSHostADefaultgateway:11HostBDefaultgateway:12SwitchAVRID1:MasterVRID2:BackupVRRPVRID1VirtualIPAddress:11VRRPVRID2VirtualIPAddress:12SwitchBVRID2:MasterVRID1:BackupSwitchC流量1流量2三、VRRP基本原理基本术语4.追踪与抢占业务流量正常接口故障接口

VRRP冗余备份功能有时需要额外的功能来完善其工作。图中案例如果interface1发生故障，VRRP是无法感知并切换流量，这时需要配置追踪来防范次优路径，当Master设备启动追踪功能，发现上行接口或链路发生故障时，Master设备降低自己的优先级完成角色切换，从而解决次优路径问题。VRRP的追踪SSHostAHostBMasterSwitchAVRRPSwitchBBackupSwitchCSwitch1SwitchDInterface1HostAHostBMasterSwitchAVRRPSwitchBBackupSwitchCSwitch1SwitchDInterface1SSSSSSSS三、VRRP基本原理基本术语4.追踪与抢占01.抢占模式如果Backup设备的优先级比当前Master设备的优先级高，则主动将自己切换成Master02.非抢占模式只要Master设备没有出现故障，Backup设备即使随后被配置了更高的优先级也不会成为Master设备VRRP的抢占三、VRRP基本原理基本术语在性能不稳定的网络中，网络堵塞可能导致Backup设备因为超时未收到通告报文，从而切换为Master。如果一段时间后原Master设备的报文又到达了，新Master设备将再次切换回Backup。如此则会出现VRRP备份组成员状态频繁切换的现象。实际工程中，为了缓解这种现象，可以合理设置抢占延时。抢占延时三、VRRP基本原理处理ARP及ICMPR1/24R253/24GE0/0/052/24GE0/0/0master无故ARP当R1出现故障时，VRRP会将master交给R2，此时R2会立即主动触发无故ARP刷交换机mac地址表，让终端马上切换流量。ARP的操作三、VRRP基本原理处理ARP及ICMPR1/24R253/24GE0/0/052/24GE0/0/0ICMP重定向业务流master虽然R1没有配置上行口追踪，当R1上行链路发生故障时，master角色是不会发生切换，但是VRRP会使R1触发ICMP重定向使终端改自己的路由表，让终端切换流量，不至于走次优路径。ICMP的操作案例背景如图所示，某企业为了保证网络可靠性，使用双路由作为企业的出口网关，由于终端配置网关的唯一性，流量不能在故障时迅速切换到另一台设备上，导致无法实现网关的备份，请使用VRRP协议配置企业出口网关，到达故障时流量自动切换。四、VRRP配置案例GE0/0/0GE0/0/1GE0/0/0GE0/0/1GE0/0/1GE0/0/1GE0/0/2GE0/0/2Ethernet0/01Ethernet0/01Ethernet0/01Ethernet0/02PC2PC1LSP-R3LSW1网关1网关2/30/3053/2452/24loop0:：/32IP:/24gateway:54/24IP:/24gateway:54/24案例背景出现故障交换机LSW1为企业接入层非网管交换机，路由器ISP-R3为运营商路由器，在ISP-R3上创建loopback接口模拟外网的网段用于测试，ISP-R3配置浮动静态路由作为回程路由，用于测试故障时的流量倒换情况，网关1、网关2为企业的边界路由器。拓扑说明：案例背景五、任务准备分组情况班级姓名组号指导老师组长组员任务分工学生任务分配表需要自行准备Console线、笔记本电脑、shell终端软件五、任务准备工具选择Console线笔记本电脑终端软件

在/24的广播域中，有两个网关都能作为本网段内终端的网关，此时可以配置VRRP协议将两个网关地址虚拟成一个假地址，让主动端先使用假地址承接流量，当主动端故障时自动切换至备份，实现网关的热备份。配置思路：IP规划根据案例要求，现将设备的IP地址规划如下：设备名称设备接口编号IP地址网关地址网关1G0/0/0/30网关1G0/0/153/24网关2G0/0/252/24网关2G0/0/1/30ISP-R3G0/0/0/30ISP-R3G0/0/1/30ISP-R3loopback0/32PC1/2454PC2/2454具体配置六、任务实施具体配置参照数字资源配置流程完成ip地址及路由配置第一步在同一广播域内的网关接口上运行vrrp协议第二步调整vrrp相关参数第三步验证配置第四步网关冗余的网络环境建议使用VRRP协议实现单跳冗余12VRRP工作过程犹如竞争穿马甲的过程3在实际工程中，VRRP需要配置追踪上行口来解决次优路径总结1.配置VRRP时，VRID的指定是基于

。A广播域C优先级D物理位置BIP地址A思考数据通信技术任务4.2实训：配置DHCP服务一、DHCP技术背景业务迁移业务迁移移动办公移动办公IP地址冲突？

在大型网络中，确保所有主机都拥有正确的配置是一件的相当困难的管理任务，尤其对于含有移动办公用户和笔记本电脑的动态网络更是如此。一、DHCP技术背景业务迁移业务迁移移动办公移动办公IP地址冲突？

手动配置或重新配置数量巨大的计算机可能要花很长时间，而且IP主机配置过程中的错误可能导致该主机无法与网络中的其他主机通信。业务迁移业务迁移移动办公移动办公IP地址冲突？一、DHCP技术背景

因此需要一种机制来简化IP地址的配置，实现IP地址的集中式管理。而IETF（互联网工程任务组）设计的动态主机配置协议（DHCP，DynamicHostConfigurationProtocol）正是这样一种机制。

DHCP是一种客户机/服务器协议，该协议简化了客户机IP地址的配置和管理工作以及其它TCP/IP参数的分配。基本上不需要网络管理人员的人为干预。网络中的DHCP服务器给运行DHCP的客户机自动分配IP地址和相关的TCP/IP的配置信息。ClientDHCPServer提出申请分配地址等参数IP地址池二、DHCP概述

DHCP服务器拥有一个IP地址池，当任何启用DHCP的客户机登录到网络时，可从它那里租借一个IP地址。因为IP地址是动态的（租借）而不是静态的（永久分配），不使用的IP地址就自动返回地址池，供再分配，从而大大节省了IP地址空间。ClientDHCPServer提出申请分配地址等参数IP地址池二、DHCP概述DHCP客户端判断是否接受提供的信息DHCP服务器判断是否同意Client需求DHCP服务器提供可租用的IPDHCP客户端选择租用IPDHCP服务器同意IP租用DHCP客户端完成TCP/IP设置DHCP客户端请求租用IP地址阶段一阶段二阶段三阶段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline从DHCP客户端向DHCP服务器请求租用IP开始，直到完成客户端的TCP/IP设置，简单来说由四个阶段组成。三、DHCP工作流程（1）请求租用IP地址

当我们刚为计算机安装好TCP/IP协议，并设置成DHCP客户端后，第一次启动计算机时即会进入此阶段。首先由DHCP客户端广播一个DHCPDiscover信息包，请求任一部DHCP服务器提供IP租约。DHCP客户端判断是否接受提供的信息DHCP服务器判断是否同意Client需求DHCP服务器提供可租用的IPDHCP客户端选择租用IPDHCP服务器同意IP租用DHCP客户端完成TCP/IP设置DHCP客户端请求租用IP地址阶段一阶段二阶段三阶段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程（2）提供可租用的IP地址

因为DHCPDiscover是以广播方式送出，所以网络上所有的DHCP服务器都会收到此信息包，而每一台DHCP服务器收到此信息包时，都会从本身的地址池中，找出一个可用的IP地址，设置租约期限后记录在DHCPOffer信息包内，再以广播方式送给客户端。DHCP客户端判断是否接受提供的信息DHCP服务器判断是否同意Client需求DHCP服务器提供可租用的IPDHCP客户端选择租用IPDHCP服务器同意IP租用DHCP客户端完成TCP/IP设置DHCP客户端请求租用IP地址阶段一阶段二阶段三阶段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程（3）选择IP地址

因为每一台DHCP服务器都会送出DHCPOffer信息包，因此DHCP客户端会收到多个DHCPOffer信息包，按照默认值，客户端会接受最先收到的DHCPOffer信息包，其他陆续收到的DHCPOffer信息包则不予理会。DHCP客户端判断是否接受提供的信息DHCP服务器判断是否同意Client需求DHCP服务器提供可租用的IPDHCP客户端选择租用IPDHCP服务器同意IP租用DHCP客户端完成TCP/IP设置DHCP客户端请求租用IP地址阶段一阶段二阶段三阶段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程（3）选择IP地址

客户端接着以广播方式送出DHCPRequest（请求）信息包，除了向选定的服务器申请租用IP地址，也让其它曾发送DHCPOffer信息包、但未被选定的服务器知道：“你们所提供的IP地址落选了。不必为我保留，可以租用给其他的客户端啦！”DHCP客户端判断是否接受提供的信息DHCP服务器判断是否同意Client需求DHCP服务器提供可租用的IPDHCP客户端选择租用IPDHCP服务器同意IP租用DHCP客户端完成TCP/IP设置DHCP客户端请求租用IP地址阶段一阶段二阶段三阶段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程（3）选择IP地址

不过，如果DHCP客户端不接受DHCP服务器所提供的参数，就会广播一个DHCPDecline（拒绝）信息包，告知服务器：“我不接受你建议的IP地址（或租用期限等）。”然后回到第一阶段，再度广播DHCPDiscover信息包，重新执行整个取得租约的流程。DHCP客户端判断是否接受提供的信息DHCP服务器判断是否同意Client需求DHCP服务器提供可租用的IPDHCP客户端选择租用IPDHCP服务器同意IP租用DHCP客户端完成TCP/IP设置DHCP客户端请求租用IP地址阶段一阶段二阶段三阶段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程（3）选择IP地址

客户端为何会不同意呢？最常见的原因是IP地址重复。因为客户端收到服务器建议的IP地址时，通常会以ARP协议检查该地址是否已被使用，倘若有其他粗心的用户，手动设置IP地址时也占用了相同的地址，客户端当然就要拒绝租用此IP地址。DHCP客户端判断是否接受提供的信息DHCP服务器判断是否同意Client需求DHCP服务器提供可租用的IPDHCP客户端选择租用IPDHCP服务器同意IP租用DHCP客户端完成TCP/IP设置DHCP客户端请求租用IP地址阶段一阶段二阶段三阶段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程（4）IP地址使用确认

当被选中的DHCP服务器收到DHCPRequest信息包时，假如同意客户端的租用要求，便会广播DHCPAck（承认）信息包给DHCP客户端，告知可以将设置值写入TCP/IP并开始计算租用的时间。DHCP客户端判断是否接受提供的信息DHCP服务器判断是否同意Client需求DHCP服务器提供可租用的IPDHCP客户端选择租用IPDHCP服务器同意IP租用DHCP客户端完成TCP/IP设置DHCP客户端请求租用IP地址阶段一阶段二阶段三阶段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程（4）IP地址使用确认

当然，可能也会有不同意的状况出现，倘若DHCP服务器不能给予DHCP客户端所请求的信息，则会发出DHCPNack（拒绝承认）信息包。当客户端收到DHCPNack信息包时，便直接回到第一阶段，重新执行整个流程。DHCP客户端判断是否接受提供的信息DHCP服务器判断是否同意Client需求DHCP服务器提供可租用的IPDHCP客户端选择租用IPDHCP服务器同意IP租用DHCP客户端完成TCP/IP设置DHCP客户端请求租用IP地址阶段一阶段二阶段三阶段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程四、DHCP续租问题

取得IP租约后，DHCP客户端必须定期更新（Renew）租约，否则当租约到期，就不能再使用此IP地址。

按照RFC的默认值，每当租用时间超过租约期限的1/2（50%）及7/8（87.5%）时，客户端就必须发出DHCPRequest信息包，向DHCP服务器请求更新租约。

特别注意一点，更新租约时是以单播方式发出DHCPRequest信息包，也就是会指定哪一台DHCP服务器应该要处理此信息包，和前面确认IP租约阶段中，使用广播发送DHCaPRequest信息包是不同的。五、跨子网部署DHCP服务允许DHCP广播数据报通过路由器子网2子网1DHCP客户机DHCP客户机DHCP服务器

当DHCP的客户端和DHCP的服务器之间，不在同一个子网内时，我们可以在连接不同子网的路由器上允许DHCP广播数据报通过，这种方法需要路由器的支持，同时也可能造成广播流量的增加。五、跨子网部署DHCP服务子网2子网1DHCP客户机DHCP客户机DHCP服务器DHCP中继代理服务器

另一种方法可以采用部署中继代理服务器方式解决：DHCP中继代理服务器和DHCP的客户端位于同一个子网，它会侦听广播的DHCPDiscover和DHCPRequest消息，然后通过单播方式发送此消息给其指定的DHCP服务器来实现跨网段得地址。案例背景如图所示，某企业总部与分部间网络已经互通，现为了方便管理，要求管理员将总部路由器配置为DHCP服务器，并向全网终端分配IP地址等相关参数。六、DHCP配置案例案例背景GE0/0/0GE0/0/0GE0/0/1Ethernet0/01GE0/0/1Ethernet0/01总部PC1分部PC2分部R2总部R1DHCP服务器/3054/2454/24网络参数网络参数七、任务准备分组情况班级姓名组号指导老师组长组员任务分工学生任务分配表需要自行准备Console线、笔记本电脑、shell终端软件七、任务准备工具选择Console线笔记本电脑终端软件总部终端得地址直接调用服务器全局地址池即可。分部终端得地址，需要在分部路由器R2上配置中继代理功能。配置思路：IP规划根据案例要求，现将设备的IP地址规划如下：设备名称设备接口编号IP地址网关地址总部R1G0/0/0/30总部R1G0/0/154/24分部R2G0/0/0/30分部R2G0/0/154/24具体配置八、任务实施具体配置参照数字资源配置流程按照规划正确配置IP地址。第一步服务端配置全局地址池。第二步总部网关接口调用地址池，分部网关接口配置中继代理。第三步验证配置。第四步DHCP能够动态给终端分配IP相关参数，提高网管效率12DHCP工作过程分四个阶段：请求、提供、选择、确认3使用DHCP中继代理服务器能够跨子网部署DHCP服务总结答：DHCP的作用：DHCP是一种基于C/S模式，能够动态给终端分配IP相关参数的应用层协议。DHCP工作过程总共分为四个阶段：（1）请求租用IP地址；（2）提供可租用的IP地址；（3）选择IP地址；（4）IP地址使用确认。1.

DHCP有何作用？简述DHCP的运作流程。思考数据通信技术任务4.3实训：部署ACL实现访问控制Internet管理员控制台一、ACL基本概念ACLACL(AccessControlLists)：是一种数据包匹配工具，能够通过特定规则指挥数据表动作，网络设备使用ACL可以对网络访问进行控制，有效保证网络的安全运行。Internet管理员控制台ACL访问控制列表ACL（AccessControlList）可以定义一系列不同的规则，每条规则都描述了对匹配一定信息的数据包所采取的动作：允许（permit）或拒绝（deny）。一、ACL基本概念Internet管理员控制台ACL设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。一、ACL基本概念网络访问行为控制01限制网络流量02提高网络性能03防止网络攻击04一、ACL基本概念ACL的功能二、ACL使用场景ACL可以限制网络流量、提高网络性能它是一种对通信流量进行控制的手段；能够提供控制网络访问的基本安全手段。过滤流量抓取流量二、ACL使用场景此时ACL的作用就是过滤流量，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。调用在路由器接口处不调用在接口处使用场景那么此时ACL的作用就是匹配并抓取流量，用于其他协议后一步处理。ACL没有调用在接口上二、ACL使用场景调用在接口上的ACL拒绝相关流量进入数据包过滤流量根据ACL中的匹配条件对进站和出站的报文进行过滤处理。打个比方，ACL其实是一种报文过滤器，ACL规则就是过滤器的滤芯。安装什么样的滤芯（即根据报文特征配置相应的ACL规则），ACL就能过滤出什么样的报文。1.02.03.04.02.0网段流量被标记抓取流量根据ACL中的条件对流量进行标记，以供设备进一步进行特殊处理。三、流量转发机制是否有进站ACL查询路由是否有出站ACLFile进站出站否Permit/Deny?是是找到出口PPDPermit/Deny?D否转发数据包进站首先看有无进方向ACL，如果有则查看ACL规则，如果ACL允许则继续查路由表决定是否转发，如果ACL拒绝那么数据包将不经过路由表直接丢弃。出站方向会先看路由表是否转发，如果能够转发再继续查出站方向的ACL表，最终决定数据数据包是否能从此接口发出。ACL应用在设备接口出方向报文先经过路由表路由后转至出接口，根据接口上应用的出方向ACL条件进行匹配，是允许permit还是拒绝deny，如果是允许，就根据路由表转发数据，如果是拒绝就直接将数据包丢弃了。入方向出方向VS先路由后匹配先匹配后路由ACL应用在设备接口入方向当接口收到数据包时，先根据应用在接口上的ACL条件进行匹配，如果允许则根据路由表进行转发，如果拒绝则直接丢弃。三、流量转发机制四、ACL查表规则NoNoNoMatch?Match?Match?ImplicitDenyDenyDenyDenyPermitPermitPermitPacketPermittedPacketDeniedPacketReadyforACLProcessing四、ACL查表规则NoNoNoMatch?Match?Match?ImplicitDenyDenyDenyDenyPermitPermitPermitPacketPermittedPacketDeniedPacketReadyforACLProcessing

从第一条语句开始向下比对，一但比对成功不再进行后续比对。列表最后隐藏了一条“拒绝所有”如果所有语句都没有比对成功，默认是“拒绝”,一般在配置时建议将重要的规则靠前部署。

路由器的一个接口同一个方向最多只能有一个列表，但一个列表中可以有N条语句，列表在调用的时候需要分清方向，进入接口的是“in”离开接口的是“out”。四、ACL查表规则本示例中，RTA收到了来自两个网络的报文。RTA会依据ACL的配置顺序来匹配这些报文。网络/24发送的数据流量将被RTA上配置的ACL2000的规则15匹配，因此会被拒绝。而来自网络/24的报文不能匹配访问控制列表中的任何规则，遂执行隐式拒绝所有，因此也会被拒绝。如果未匹配如果未匹配/24/24RTARTBrule15denysource55rule10denysource55acl2000rule5denysource55五、ACL分类分类编号范围参数标准ACL2000-2999源IP地址等扩展ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口、特定协议根据不同的划分规则，ACL可以有不同的分类。最常见的两种分类是标准ACL和扩展ACL标准ACL可以使用报文的源IP地址来匹配报文，其编号取值范围是2000-2999五、ACL分类分类编号范围参数标准ACL2000-2999源IP地址等扩展ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口、特定协议扩展ACL可以使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文扩展ACL可以定义比基本ACL更准确、更丰富、更灵活的规则，其编号取值范围是3000-3999五、ACL分类分类编号范围参数标准ACL2000-2999源IP地址等扩展ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口、特定协议在实际工程中，需要根据业务需求，灵活选择ACL类型进行配置六、ACL部署注意事项01ACL用于流量过滤时只能过滤穿过它的流量，不能过滤本地始发流量02一个路由器能配置多个ACL03ACL用于流量过滤是做在接口上的，同一个接口同一个方向只能调用一个ACL表项(一个接口不同方向可以调用不同表)，一个ACL内能有多个策略条目六、ACL部署注意事项04标准ACL尽量布置靠近信宿05扩展ACL尽量布置靠近信源06尽量不要用标准ACL做包过滤七、案例背景某企业总部及分部网络已搭建完毕且实现互联互通，如图所示。七、案例背景现希望通过配置ACL来控制员工的上网行为：1.在总部只允许管理pc远程登录至分部R2进行管理；2.总部的pc不允许在工作时间8:00~17:00浏览网页，但是可以进行邮件qq等上网行为。八、任务准备分组情况班级姓名组号指导老师组长组员任务分工学生任务分配表需要自行准备Console线、笔记本电脑、shell终端软件八、任务准备工具选择Console线笔记本电脑终端软件针对需求1，可以使用标准ACL匹配管理机IP，然后在被管理端R2的虚拟用户终端接口（VTY）的进方向调用即可对于需求2，则必须使用高级ACL封锁总部PC的WWW服务，实现流量的管控配置思路设备名称设备接口编号IP地址网关地址总部接入路由器R1G0/0/0/30G0/0/154/24运营商路由器R2G0/0/0/30G0/0/154/24桥接真机/2454云服务器/2454IP规划九、任务实施具体配置具体配置参照数字资源第一步：按照按照拓扑规划，正确配置IP地址及路由第二步：在R2上配置telnet服务第三步：配置基本acl和扩展acl，分别实现要求1和要求2第四步：验证配置配置流程ACL是一种通过规则匹配流量的工具12ACL由多条规则组成，遵循顺序匹配，一旦匹配成功就终止3ACL类型分为：标准ACL和扩展ACL总结1.简述ACL查表规则思考答：从第一条语句开始向下比对，一但比对成功不再进行后续比对。如果所有语句都没有比对成功，默认“拒绝”所有。2.使用编号方式配置扩展ACL时，编号的范围是多少？思考数据通信技术任务4.4实训：NAT的基本配置一、NAT技术背景公司A/8公司B/16公司C/24Internet

随着网络设备的数量不断增长，可用IPv4地址空间逐渐耗尽，解决IPv4地址枯竭问题的权宜之计是分配可重复使用的各类私网地址段给企业内部或家庭使用。私有地址段：-55-55-55一、NAT技术背景公司A/8公司B/16公司C/24Internet但是，所有携带私有地址的IP数据包都不可能被路由至Internet上。因此，当使用私有地址的内部网络节点要与外部网络进行通信时，就会面临地址无法传递的问题。为此，引入了NAT技术。私有地址段：-55-55-55二、NAT技术概述私有网络公共网络/24SWASWA/24/24RTA主机A主机B源IP源IP转换

NAT是一种通过将私有地址转换为可以在公网上被路由的公有IP地址，实现私有地址节点与外部公网节点之间相互通信的技术。二、NAT技术概述01节省了IP地址02提高了网络的私密性私有网络公共网络/24SWASWA/24/24RTA主机A主机B源IP源IP转换三、NAT基本原理

当内部网络的一台主机想要向外部网络中的主机进行数据传输时，路由器先将数据包发到NAT设备，NAT设备上的NAT进程将首先查看IP包包头的内容，如果该包是被允许通过的，就用自己所拥有的一个全球唯一的IP地址替换掉包头内源地址字段中的私有IP地址，然后将数据包转发到外部网络的目标主机上。提供了NAT功能的设备，一般运行在内部网络与外部网络的边界上，内部0SASA外部NAT表内部本地IP地址内部全局IP地址21NAT设备三、NAT基本原理

当外部主机回应包被发送回来时，NAT进程将接收它，并通过查看当前的网络地址转换表，用原来的内部主机私有地址替换掉回应包中的公有目标地址，然后将该回应包送到内部网的相应源主机上。内部0SASA外部NAT表内部本地IP地址内部全局IP地址21NAT设备三、NAT基本原理实现了私有地址节点与公网节点间的相互通信大幅降低了对全局地址的需求破坏了端到端通信原则，导致某些应用需要ALG技术配合NAT设备容易成为网络性能瓶颈优点缺点内部0SASA外部NAT表内部本地IP地址内部全局IP地址21NAT设备四、NAT类型静态NAT01动态NA