新人培訓(xùn)交行第四天04aclvrrp

ACL訪問控制列表ACL概述ACL（AccessControlList，訪問控制列表）是用來實(shí)現(xiàn)數(shù)據(jù)包識別功能的ACL可以應(yīng)用于諸多方面包過濾防火墻功能NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）QoS（QualityofService，服務(wù)質(zhì)量）的數(shù)據(jù)分類路由策略和過濾按需撥號基于ACL的包過濾技術(shù)對進(jìn)出的數(shù)據(jù)包逐個(gè)過濾，丟棄或允許通過ACL應(yīng)用于接口上，每個(gè)接口的出入雙向分別過濾僅當(dāng)數(shù)據(jù)包經(jīng)過一個(gè)接口時(shí)，才能被此接口的此方向的ACL過濾入方向過濾入方向過濾出方向過濾出方向過濾接口接口路由轉(zhuǎn)發(fā)進(jìn)程入站包過濾工作流程匹配第一條規(guī)則數(shù)據(jù)包入站匹配第二條規(guī)則匹配最后一條規(guī)則丟棄通過YesPermit是否配置入方向ACL包過濾NoPermitDenyPermitDefaultPermitDenyDenyDefaultDeny數(shù)據(jù)包進(jìn)入轉(zhuǎn)發(fā)流程N(yùn)oNoNo檢查默認(rèn)規(guī)則設(shè)定出站包過濾工作流程匹配第一條規(guī)則數(shù)據(jù)包到達(dá)出接口匹配第二條規(guī)則匹配最后一條規(guī)則丟棄通過YesPermit是否配置出方向ACL包過濾NoPermitDenyPermitDefaultPermitDenyDenyDefaultDeny數(shù)據(jù)包出站NoNoNo檢查默認(rèn)規(guī)則設(shè)定通配符掩碼通配符掩碼含義0.0.0.255只比較前24位0.0.3.255只比較前22位0.255.255.255只比較前8位通配符掩碼和IP地址結(jié)合使用以描述一個(gè)地址范圍通配符掩碼和子網(wǎng)掩碼相似，但含義不同0表示對應(yīng)位須比較1表示對應(yīng)位不比較通配符掩碼的應(yīng)用示例IP地址通配符掩碼表示的地址范圍192.168.0.10.0.0.255192.168.0.0/24192.168.0.10.0.3.255192.168.0.0/22192.168.0.10.255.255.255192.0.0.0/8192.168.0.10.0.0.0192.168.0.1192.168.0.1255.255.255.2550.0.0.0/0192.168.0.10.0.2.255192.168.0.0/24和192.168.2.0/24ACL的標(biāo)識利用數(shù)字序號標(biāo)識訪問控制列表可以給訪問控制列表指定名稱，便于維護(hù)訪問控制列表的分類數(shù)字序號的范圍基本訪問控制列表2000～2999擴(kuò)展訪問控制列表3000～3999基于二層的訪問控制列表4000～4999用戶自定義的訪問控制列表5000～5999基本ACL基本訪問控制列表只根據(jù)報(bào)文的源IP地址信息制定規(guī)則接口接口從1.1.1.0/24來的數(shù)據(jù)包不能通過從2.2.2.0/28來的數(shù)據(jù)包可以通過DA=3.3.3.3SA=1.1.1.1DA=3.3.3.3SA=2.2.2.1分組分組接口接口從1.1.1.0/24來，到3.3.3.1的TCP端口80去的數(shù)據(jù)包不能通過從1.1.1.0/24來，到2.2.2.1的TCP端口23去的數(shù)據(jù)包可以通過DA=3.3.3.1,SA=1.1.1.1TCP,DP=80,SP=2032DA=2.2.2.1,SA=1.1.1.1TCP,DP=23,SP=3176分組分組基本ACL部署位置示例要求PCA不能訪問NetworkA和NetworkB，但可以訪問其他所有網(wǎng)絡(luò)PCA172.16.0.1E0/1E0/0RTCRTBRTANetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1[RTA]firewallenable[RTA]aclnumber2000[RTA-acl-basic-2000]ruledenysource172.16.0.10[RTA-Ethernet0/1]firewallpacket-filter2000inbound高級ACL高級訪問控制列表根據(jù)報(bào)文的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則接口接口從1.1.1.0/24來，到3.3.3.1的TCP端口80去的數(shù)據(jù)包不能通過從1.1.1.0/24來，到2.2.2.1的TCP端口23去的數(shù)據(jù)包可以通過DA=3.3.3.1,SA=1.1.1.1TCP,DP=80,SP=2032DA=2.2.2.1,SA=1.1.1.1TCP,DP=23,SP=3176分組分組高級ACL部署位置示例PCA172.16.0.1E0/1E0/0RTCRTBRTA要求PCA不能訪問NetworkA和NetworkB，但可以訪問其他所有網(wǎng)絡(luò)NetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1[RTC]firewallenable[RTC]aclnumber3000[RTC-acl-adv-3000]ruledenyipsource172.16.0.10destination192.168.0.00.0.1.255[RTC-Ethernet0/0]firewallpacket-filter3000inbound本章重點(diǎn)了解ACL的作用了解ACL匹配碼的使用方法了解基本ACL和高級ACL的區(qū)別掌握ACL的的配置方法VRRP普通網(wǎng)絡(luò)存在的問題在如下局域網(wǎng)絡(luò)中，終端用戶存在被孤立的可能。一旦交換機(jī)的三層虛接口故障，局域網(wǎng)用戶就被孤立，不能實(shí)現(xiàn)與外部網(wǎng)絡(luò)的通信。VRRP（VirtualRouterRedundancyProtocol）正是為了解決此問題而誕生。10.0.0.110.0.0.910.0.0.810.0.0.710.0.0.6IP網(wǎng)VRRP的應(yīng)用（一）VRRP以虛擬路由器的形式為終端用戶提供服務(wù)，而實(shí)際負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)的路由器由一組運(yùn)行VRRP協(xié)議的路由器選舉產(chǎn)生，從而實(shí)現(xiàn)三層網(wǎng)關(guān)的備份。10.0.0.110.0.0.910.0.0.810.0.0.710.0.0.610.0.0.210.0.0.3IP網(wǎng)VRRP的應(yīng)用（二）在同一VLAN虛接口下提供多組VRRP組，不同VRRP選擇不同的路由器或三層交換機(jī)擔(dān)當(dāng)Master，相互實(shí)現(xiàn)備份。同時(shí)通過VLAN內(nèi)主機(jī)設(shè)置不同的VirtualIP為網(wǎng)關(guān)地址實(shí)現(xiàn)負(fù)載分擔(dān)。10.0.0.110.0.0.910.0.0.810.0.0.710.0.0.610.0.0.210.0.0.310.0.0.4IP網(wǎng)VRRP的選舉在VRRP組內(nèi)，可以分別指定各路由器的選舉優(yōu)先級。當(dāng)VRRP進(jìn)行選舉時(shí)，首先比較選舉優(yōu)先級，優(yōu)先級高者獲勝成為該VRRP組的Master，失敗者成為Backup。如果兩個(gè)VRRPRouter具有相同的優(yōu)先級，IP地址大者獲勝成為Master。Master周期性發(fā)送Advertisement，Backup接收Advertisement。Backup如果一定時(shí)間內(nèi)未收到Advertisement，認(rèn)為MasterDown，進(jìn)行新一輪的Master選舉。VRRP配置舉例網(wǎng)絡(luò)結(jié)構(gòu)圖兩個(gè)三層交換機(jī)運(yùn)行VRRP協(xié)議10.0.0.910.0.0.810.0.0.710.0.0.610.0.0.210.0.0.3Switch_ASwitch_BIP網(wǎng)多備份組實(shí)現(xiàn)負(fù)荷分擔(dān)同一網(wǎng)絡(luò)結(jié)構(gòu)圖，配置兩個(gè)備份組，其ID為1和2，虛擬網(wǎng)關(guān)分別為10.0.0.1和10.0.0.4正常情況下，Switch_A為1組的Master，Switch_B為2組的Master。局域網(wǎng)內(nèi)部分用戶以10.0.0.1為缺省網(wǎng)關(guān)，部分用戶以10.0.0.4為缺省網(wǎng)關(guān)。配置Switch_A：[Switch_A-vlan-interface2]vrrpvrid1virtual-ip10.0.0.1[Switch_A-vlan-interface2]vrrpvrid1priority120[Switch_A-vlan-interface2]vrrpvrid2virtual-ip10.0.0.4配置Switch_B：[