【正文】 ? Inter簡介 —一個全局的視圖 ? OSI參考模型 vs. TCP/IP協(xié)議集 ? 以太網(wǎng)原理 —集線器 vs. 交換機 ? IP協(xié)議 —編址、路由、訪問控制、地址翻譯 ? 高層應用 —DNS、 HTTP、 FTP、 Email ? 傳輸介質(zhì)與結(jié)構(gòu)化布線 ? 網(wǎng)絡(luò)管理 ? 網(wǎng)絡(luò)管理經(jīng)驗分享 IP地址 特殊用途的 IP地址 1. 全 0的網(wǎng)絡(luò)號碼，這表示“本網(wǎng)絡(luò)”或“我不知道號碼的這個網(wǎng)絡(luò)”。 3. 全 0的主機號碼，這表示該 IP地址就是網(wǎng)絡(luò)的地址。 5. 全 0的 IP地址，即 。這樣的網(wǎng)絡(luò)號碼用作本地軟件回送測試（ Loopback test）之用。原先是使用 。這就是說，和電話號碼的結(jié)構(gòu)不一樣， IP地址不能反映任何有關(guān)主機位置的地理信息。 IP地址的表示 IP地址的分配 Addressing Without Subs 一個網(wǎng)絡(luò)內(nèi)主機數(shù)目過多，會影響機器的效率，給維護帶來困難。 ? 源站點在發(fā)送 IP包前，先比較自己與目的站點的網(wǎng)絡(luò)號是否相同，若相同，則調(diào)用 ARP過程查對方的 MAC地址，直接將包發(fā)給對方；若不同，則查找缺省網(wǎng)關(guān)的 MAC地址，先將包發(fā)給路由器，由路由器選擇合適路徑將包轉(zhuǎn)發(fā)到目的主機。路由協(xié)議分為兩種：內(nèi)部網(wǎng)關(guān)協(xié)議和外部網(wǎng)關(guān)協(xié)議。 ? 內(nèi)部網(wǎng)關(guān)協(xié)議 — 運行在自治系統(tǒng)內(nèi)部，包括： ? RIP (Routing Information Protocol) ? IGRP (Interior Gateway Routing Protocol) ? EIGRP (Enhanced Interior Gateway Routing Protocol) ? OSPF (Open Shortest Path First) ? An autonomous system is a collection of works under a mon administrative domain. ? IGPs operate within an autonomous system. ? EGPs connect different autonomous systems. Autonomous Systems: Interior or Exterior Routing Protocols 數(shù)據(jù)在路由器中傳輸?shù)倪^程 ? 數(shù)據(jù)從源發(fā)送時進行封裝，成為 bit流。 Application Presentation Session Transport Network Data Link Physical Application Presentation Session Transport Network Data Link Physical Router Switch Hub 集線器，交換機，路由器 中繼器 /集線器 ?工作在物理層 ?轉(zhuǎn)發(fā)所有的幀，包括錯誤幀 ?不能分隔開碰撞區(qū)域 ?不能隔離廣播域 ?不影響物理或網(wǎng)絡(luò)地址 網(wǎng)橋 /交換機 ?工作在數(shù)據(jù)鏈路層 ?有選擇地轉(zhuǎn)發(fā)幀 ?不轉(zhuǎn)發(fā)錯誤幀 ?可以隔離碰撞域 ?不隔離廣播域 ?不影響物理或網(wǎng)絡(luò)地址 路由器 ?工作在網(wǎng)絡(luò)層 ?有選擇地轉(zhuǎn)發(fā)幀 ?不轉(zhuǎn)發(fā)錯誤幀 ?可以隔離碰撞域 ?可以隔離廣播域 ?可以對協(xié)議濾波 ?可以影響物理地址但不影響網(wǎng)絡(luò)地址 ICMP（ Inter Control Messages Protocol） ? IP協(xié)議在差錯控制中的作用？ ? ICMP用于傳遞網(wǎng)絡(luò)層的控制信息，提供差錯報告。 目標不可達 ? ICMP實現(xiàn)的主要功能有 ： ? 向 源主機 發(fā)送目的主機不可到達信息 ? 回聲請求 /應答 (ping) ? 出現(xiàn)情況： ? 當目的地網(wǎng)絡(luò)不可達時 ? 當目標主機不可達時 ? 當協(xié)議不可達時 ? 當端口不可達時 ACL（ Access Control List）訪問控制列表 ? ACLs是一系列運用到網(wǎng)絡(luò)地址或者上層協(xié)議上的允許或拒絕指令的集合。在 ACL中的條件可以是： ? 篩選某些主機允許或者禁止訪問的部分網(wǎng)絡(luò) ? 允許或者禁止用戶訪問某一類協(xié)議，如 FTP， HTTP等。當路由器在決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報的時候， Cisco的 IOS軟件，按照 ACL中指令的順序依次檢查數(shù)據(jù)報是否滿足某一個指令條件。 ? 在每一個路由器的端口，可以為每一個支持的 Routed Protocols創(chuàng)建 ACL。 Inbound or Outbound ? Inbound or Outbound ? 進入路由器的 Inbound，離開路由器的 outbound Outgoing Packet E0 S0 Ining Packet Access List Processes Permit? Source and Destination Protocol ACL的工作流程 ACL的配置 ? 創(chuàng)建一個 ACL訪問控制 Router(config) accesslist access_list_number {permit|deny} {test_conditions} ? 將訪問控制綁定到接口上 Router(configif) {protocol} accessgroup access_list_number ? 關(guān)閉訪問控制列表 Router(config) no accesslist access_list_number ACL綁定到接口 ? ACL可以指定到一個或者多個端口。 ? 對流出的數(shù)據(jù)流使用 ACL更有效，因此也更常使用。 標準 ACL ? 標準 ACL ? 檢查源地址 ? 可以允許或者拒絕整套協(xié)議棧 ? 標準 ACL（數(shù)字 1到 99），可以提供數(shù)據(jù)流過濾控制。標準ACL可以允許或禁止整套 IP協(xié)議。這個命令用在全局配置模式下。語法是： ? Router(config) no accesslist accesslistnumber ? 例如： no accesslist 1 標準 ACL舉例 ? 以下圖的結(jié)構(gòu)為例，介紹標準 ACL的使用。 ? 實例 2： E0端口不允許來自于特定地址 ，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。 E0 S0 E1 Non 實例 1:只允許指定的網(wǎng)絡(luò)數(shù)據(jù) ? E0和 E1端口只允許來自于網(wǎng)絡(luò) ，其余的將被阻止。 ? 最后將 ACL關(guān)聯(lián)到端口 E0和 E1。 ? 第一個 ACL命令用“ deny‖禁止來自于此指定主機的數(shù)據(jù)流，通配掩碼。這個組合，也可以用關(guān)鍵字“ any‖替代。 accesslist 1 deny accesslist 1 permit (implicit deny all) (accesslist 1 deny ) interface ether 0 ip accessgroup 1 out 實例 3:禁止來自特定子網(wǎng)的數(shù)據(jù) ? E0端口不允許來自于特定的子網(wǎng) ，而轉(zhuǎn)發(fā)其它的數(shù)據(jù)。而最后一個字節(jié)全 1，表明將不關(guān)心 IP地址的主機部分。 ? 最后將 ACL關(guān)聯(lián)到端口 E0。擴展 ACL檢查源地址和目標地址，以及 TCP或UDP端口號。 ? 擴展 ACL使用的數(shù)字范圍是： 100199。 ? 實例 1：在 E0端口，禁止轉(zhuǎn)出來自 FTP數(shù)據(jù)流到 ，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。 E0 S0 E1 Non 實例 1：禁止轉(zhuǎn)出 FTP數(shù)據(jù) ? 在 E0端口，禁止轉(zhuǎn)出來自 FTP數(shù)據(jù)流到，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。 ? 第二個 ACL命令用“ deny‖禁止來自 FTP（ port=21）數(shù)據(jù)流到 。 ? 最后將此 ACL101關(guān)聯(lián)到端口 E0。 ? 第一個 ACL命令用“ deny‖禁止來自 Tel(port=23)數(shù)據(jù)流。 ? 最后將此 ACL101關(guān)聯(lián)到端口 E0。通配掩碼與 IP地址位位配對，相應位為 0/1，用于表示如何對待 IP地址中的相應位。 ? ACL使用通配掩碼來控制一個或者多個需要進行 允許 或者 禁止 檢查的 IP地址。在子網(wǎng)掩碼中， 0/1決定了相應主機 IP地址是網(wǎng)絡(luò)位、子網(wǎng)位還是主機位。 ? 例如 : 通配掩碼的工作原理 通配掩碼舉例 ? 假設(shè)一個 B類地址，有 8位的子網(wǎng)地址。 通配掩碼舉例 ? 假設(shè)一個 B類地址，有 8位的子網(wǎng)地址。 ? 首先，檢查前面兩個字節(jié) ()，通配掩碼中的前兩個字節(jié)位全為 0。 ? 通配掩碼的第三個字節(jié)應該是 15 (00001111)。 通配掩碼舉例 ? IP地址的第三個字節(jié)為 16 (00010000)。由于最后的四位被忽略，則所有的在范圍 16 (00010000)到 31 (00011111)的都將被允許，相應的通配掩碼位是 1。要使 ACL忽略任意值，通配掩碼為：。 ? Router(config) accesslist 1 permit ? 等價于 ? Router(config) accesslist 1 permit any host命令 ? 當想匹配 IP地址中所有的位時， Cisco IOS允許使用另一個ACL通配掩碼的縮寫。為了指明這個主機地址，將輸入整個地址（如 ）。可以使用縮寫形式來完成這個任務。依賴于 ACL放置的位置，可以減少不必要的數(shù)據(jù)流。 ? ACL放置的規(guī)則是：盡量將擴展 ACL放置在靠近被拒絕的數(shù)據(jù)源。 Network Address Translation ? An IP address is either local or global. ? Local IP addresses are seen in the inside work. Port Address Translation Translating Inside Source Addresses Configuring Static Translation ? Establishes static translation between an inside local address and an inside global address Router(config)ip nat inside source static localip globalip ? Marks the interface as connected to the inside Router(configif)ip nat inside ? Marks the interface as connected to the outside Router(configif)ip nat outside Enabling Static NAT Address Mapping Example Configuring Dynamic Translation ? Establishes dynamic source translation, specifying the access list defined in the prior step Router(config)ip nat inside source list accesslistnumber pool name ? Defines a pool of global addresses to be allocated as needed Router(config)ip nat pool name startip endip {mask mask | prefixlength prefixlength} ? Defines a standard IP access list permitting those inside local addresses that are to be translated Router(config)accesslist accesslistnumber permit source [sourcewildcard] Dynamic Address Translation Example Overloading an Inside Global Address Configuring Overloading ? Establishes dynamic source translation, specifying the access list defined in the prior step Router(config)ip nat inside source list accesslistnumber interface interface overload ? Defines a standard IP access list permitting those inside local addr