新路由交换技术与应用项目化教程 教学课件 孙秀英 ACL原理及配置
合集下载
路由交换技术与应用(孙秀英)章 (28)
7
ACL具体的执行流程: 数据包只有在跟第一个判断条件不匹配时,它才被交给 ACL中的下一个条件判断语句进行比较。如果匹配(假设为允许 发送),则不管是第一条还是最后一条语句,数据都会立即发 送到目的接口。如果所有的ACL判断语句都检测完毕,仍没有 匹配的语句出口,则该数据包将视为被拒绝而被丢弃。 作为一个通用的数据流量的判别标准,ACL还可以和其他 技术配合,应用在不同的场合:如防火墙、QOS与队列技术、 策略路由、数据速率限制、路由策略、NAT等。
访问控制列表(Access Control List,ACL)是路由器和交 换机接口的指令列表,用来控制端口进出的数据包。ACL适用 于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包 含了匹配关系、条件和查询语句,表只是一个框架结构,其目 的是为了对某种访问实现控制。
4
信息点间通信、内外网络的通信都是企业网络中பைடு நூலகம்不可少 的业务需求。但是为了保证内网的安全性,需要通过安全策略 来保障非授权用户只能访问特定的网络资源,从而达到对访问 进行控制的目的。也就是说,ACL可以实现过滤网络中的流量, 控制访问。
标准ACL和扩展ACL的比较如表28-1所示。
25 表28-1 标准ACL和扩展ACL的比较
标准 ACL 基于源地址过滤 允许/拒绝整个 TCP/IP 协议族 范围从 1 到 99
扩展 ACL 基于源、目的地址过滤 指定特定的 IP 协议和协议号
范围从 100 到 199
26
28.7 ACL协议的规则
15
28.6 ACL的工作原理
28.6.1 ACL的工作流程 下面以应用在外出接口方向(Outbound)的ACL为例说明ACL
的工作流程(参见图28-2):
路由交换技术与应用(孙秀英)章 (8)
(2) 将用于升级的后台主机与交换机的管理以太口的IP 地址设置在同一网段。
28
(3) 启动后台FTP服务器。 (4) 重启动ZXR10 3900/3200,在超级终端下根据提示按 任意键进入Boot状态。显示 如下: ZXR10 System Boot Version: 1.0 Creation date: Dec 31 2002, 14:01:52 (省略) Press any key to stop for change parameters...
8
(8) 修改指定文件或目录的名称: rename <source-filename> <destination-filename> 下面通过实例操作来说明文件操作命令的使用。
9
(1) 查看FLASH中当前文件信息: (2) 在FLASH中创建目录ABC,然后将其删除:
10
8.2 FTP/TFTP配置
33
(6) 如果正常启动,用show version命令查看新的版本 是否已在内存中运行,若仍为旧版本,说明从后台服务器设 置错误,检查后台版本文件以及FTP服务器设置,然后从步骤 (1)开始重新进行操作。
(7) 用delete命令将FLASH中IMG目录下旧的版本文件 zxr10.zar删除。如果FLASH的空间足够,也可以不用删除旧 版本,将其改名即可。
(1) 在后台主机运行wftpd软件,出现如图8-1所示界面。
12 图8-1 WFTPD界面
13
(2) 点击菜单项[Security],选择[User/Rights…],在 弹出的对话框中进行以下操作:
① 点击<New User…>按钮,新建一个用户,如target, 并设置密码;
28
(3) 启动后台FTP服务器。 (4) 重启动ZXR10 3900/3200,在超级终端下根据提示按 任意键进入Boot状态。显示 如下: ZXR10 System Boot Version: 1.0 Creation date: Dec 31 2002, 14:01:52 (省略) Press any key to stop for change parameters...
8
(8) 修改指定文件或目录的名称: rename <source-filename> <destination-filename> 下面通过实例操作来说明文件操作命令的使用。
9
(1) 查看FLASH中当前文件信息: (2) 在FLASH中创建目录ABC,然后将其删除:
10
8.2 FTP/TFTP配置
33
(6) 如果正常启动,用show version命令查看新的版本 是否已在内存中运行,若仍为旧版本,说明从后台服务器设 置错误,检查后台版本文件以及FTP服务器设置,然后从步骤 (1)开始重新进行操作。
(7) 用delete命令将FLASH中IMG目录下旧的版本文件 zxr10.zar删除。如果FLASH的空间足够,也可以不用删除旧 版本,将其改名即可。
(1) 在后台主机运行wftpd软件,出现如图8-1所示界面。
12 图8-1 WFTPD界面
13
(2) 点击菜单项[Security],选择[User/Rights…],在 弹出的对话框中进行以下操作:
① 点击<New User…>按钮,新建一个用户,如target, 并设置密码;
《路由交换技术及应用(第3版)》HCNP拓展教学资料-教案(7)
《路由交换技术及应用(第3版)》HCNP拓展教学资料-教案(7)一、课前回顾1、IGMP原理5.3 PIM-DM 协议原理组播组管理协议IGMP(Internet Group Management Protocol)在接收者主机和组播路由器之间运行。
路由器之间则需要运行组播路由协议。
组播路由器之间运行组播路由协议,组播路由协议用于建立和维护组播路由,并正确、高效地转发组播数据包。
组播路由形成了一个从数据源到多个接收端的单向无环数据传输路径,即组播分发树。
组播路由协议分为域内组播路由和域间组播路由协议。
PIM(Protocol Independent Multicast)是典型的域内组播路由协议,分为DM(Dense Mode)和SM(Sparse Mode)两种模型。
PIM(Protocol Independent Multicast)称为协议无关组播,即给IP组播提供路由信息的可以是静态路由、RIP、OSPF、IS-IS、BGP等任何一种单播路由协议。
组播路由和单播路由协议无关,只要通过单播路由协议能够产生相应组播路由表项即可。
PIM-DM(Protocol Independent Multicast Dense Mode)称为协议独立组播-密集模式,属于密集模式的组播路由协议,适用于小型网络。
在这种网络环境下,组播组的成员相对比较密集。
PIM-DM假设网络中的每个子网都存在至少一个对组播源感兴趣的接收站点,因此组播数据包被扩散到网络中的所有点,与此伴随着相关资源(带宽和路由器的CPU等)的消耗。
为了减少网络资源的消耗,密集模式组播路由协议对没有组播数据转发的分支进行Prune操作,只保留包含接收者的分支。
被剪掉的分支如果有组播数据转发需求也可以重新接收组播数据流。
PIM-DM使用Graft嫁接机制主动恢复组播报文的转发。
周期性的扩散和剪枝现象是密集模式协议的特征。
DM模式下数据包的转发路径是一颗“有源树”。
路由交换ppt课件
详细描述
动态交换通过使用诸如RIP、OSPF等动态路由协议,能够自动发现网络拓扑并更新路由表。这种方式的优点是灵 活性高,能够快速适应网络变化,提高网络的可靠性和可用性。然而,动态交换需要更多的资源投入,包括路由 器和网络带宽,同时对网络管理员的技术要求也较高。
虚拟局域网交换
总结词
虚拟局域网交换允许多个独立的局域网在同一物理网络上运行,通过逻辑隔离提高安全 性。
详细描述
RIP协议使用Bellman-Ford算法来计算到达目的地的最短路径,通过周期性地 发送路由更新报文来维护路由信息。RIP协议适用于较小的网络环境,但在大型 网络中可能会导致路由循环和收敛缓慢。
OSPF协议
总结词
一种基于链路状态的路由协议,适用于大型网络。
详细描述
OSPF协议使用Dijkstra算法来计算最短路径,通过定期发送链路状态更新报文来 维护路由信息。OSPF协议能够快速收敛,适用于大型网络环境,但配置相对复 杂。
码、路由表、NAT等。
交换机
交换机概述
交换机是一种网络设备,用于连接多 个终端设备,实现数据交换。
交换机功能
交换机的主要功能包括数据包的交换 、过滤、广播风暴抑制等。
交换机分类
根据不同的分类标准,交换机可以分 为不同类型,如接入交换机、汇聚交 换机、核心交换机等。
交换机配置
交换机的配置涉及一系列参数和命令 ,包括VLAN、STP、QoS等。
解决方案探讨
讨论可行的路由交换解决方案,如 SDN、NFV等。
THANKS
感谢观看
交换配置
01
02
03
04
VLAN配置
将交换机上的端口划分到不同 的虚拟局域网,实现广播域的
动态交换通过使用诸如RIP、OSPF等动态路由协议,能够自动发现网络拓扑并更新路由表。这种方式的优点是灵 活性高,能够快速适应网络变化,提高网络的可靠性和可用性。然而,动态交换需要更多的资源投入,包括路由 器和网络带宽,同时对网络管理员的技术要求也较高。
虚拟局域网交换
总结词
虚拟局域网交换允许多个独立的局域网在同一物理网络上运行,通过逻辑隔离提高安全 性。
详细描述
RIP协议使用Bellman-Ford算法来计算到达目的地的最短路径,通过周期性地 发送路由更新报文来维护路由信息。RIP协议适用于较小的网络环境,但在大型 网络中可能会导致路由循环和收敛缓慢。
OSPF协议
总结词
一种基于链路状态的路由协议,适用于大型网络。
详细描述
OSPF协议使用Dijkstra算法来计算最短路径,通过定期发送链路状态更新报文来 维护路由信息。OSPF协议能够快速收敛,适用于大型网络环境,但配置相对复 杂。
码、路由表、NAT等。
交换机
交换机概述
交换机是一种网络设备,用于连接多 个终端设备,实现数据交换。
交换机功能
交换机的主要功能包括数据包的交换 、过滤、广播风暴抑制等。
交换机分类
根据不同的分类标准,交换机可以分 为不同类型,如接入交换机、汇聚交 换机、核心交换机等。
交换机配置
交换机的配置涉及一系列参数和命令 ,包括VLAN、STP、QoS等。
解决方案探讨
讨论可行的路由交换解决方案,如 SDN、NFV等。
THANKS
感谢观看
交换配置
01
02
03
04
VLAN配置
将交换机上的端口划分到不同 的虚拟局域网,实现广播域的
路由交换技术及应用(第3版)-HCNP拓展教学资料-教学进度表
实验室
13
阶段测试
2
测试
习题课
练习题
多媒体教室
9
14
4.1 BGP概述
2
引导启发法、讲授法
理论课
多媒体课件
多媒体教室
2
15
4.2 BGP报文与数据库
2
引导启发法、讲授法
理论课
多媒体课件
多媒体教室
2
实验六BGP的邻居配置
2
演示、分组练习
实验课
实验指导书
实验室
实验报告
10
16
4.3 BGP原理
2
引导启发法、讲授法
实验课
实验指导书
实验室
实验报告
理论课
多媒体课件
多媒体教室
2
17
实验七BGP的路由配置
2
演示、分组练习
实验课
实验指导书
实验室
实验报告
实验八BGP的路由传递
2
演示、分组练习
实验课
实验指导书
实验室
实验报告
11
19
4.4BGP路径属性
4.5BGP路由汇总
2
引导启发法、讲授法
理论课
多媒体课件
多媒体教室
2
20
实验七BGP路由汇总
2
演示、分组练习
理论课
多媒体课件
多媒体教室
2
2
2
实验一VLAN的配置
2
演示、分组练习
实验课
实验指导书
实验室
实验报告
3
2.1 STP~2.2 RSTP
2
引导启发、复习回顾法
理论课
多媒体课件
多媒体教室
13
阶段测试
2
测试
习题课
练习题
多媒体教室
9
14
4.1 BGP概述
2
引导启发法、讲授法
理论课
多媒体课件
多媒体教室
2
15
4.2 BGP报文与数据库
2
引导启发法、讲授法
理论课
多媒体课件
多媒体教室
2
实验六BGP的邻居配置
2
演示、分组练习
实验课
实验指导书
实验室
实验报告
10
16
4.3 BGP原理
2
引导启发法、讲授法
实验课
实验指导书
实验室
实验报告
理论课
多媒体课件
多媒体教室
2
17
实验七BGP的路由配置
2
演示、分组练习
实验课
实验指导书
实验室
实验报告
实验八BGP的路由传递
2
演示、分组练习
实验课
实验指导书
实验室
实验报告
11
19
4.4BGP路径属性
4.5BGP路由汇总
2
引导启发法、讲授法
理论课
多媒体课件
多媒体教室
2
20
实验七BGP路由汇总
2
演示、分组练习
理论课
多媒体课件
多媒体教室
2
2
2
实验一VLAN的配置
2
演示、分组练习
实验课
实验指导书
实验室
实验报告
3
2.1 STP~2.2 RSTP
2
引导启发、复习回顾法
理论课
多媒体课件
多媒体教室
精品课件-路由交换技术与应用-第23章
1 第23章 HDLC协议的数据配置
23.1 HDLC协议配置的基本步骤(命令) 23.2 HDLC协议配置实例 小结
2
主要内容: HDLC协议配置的基本步骤(命令) HDLC协议配置实例
3
23.1 HDLC协议配置的基本步骤(命令)
HDLC协议配置的基本步骤(命令)如下: (1) 选择要配置的接口并进入接口配置模式: interface <interface-name> (2) 为接口配置帧中继封装: encapsulation hdlc (3) 在接口配置模式下,配置接口的IP地址: ip address <ip-addr> <net-mask> [<broadcast-addr>] [secondary]
7
小结
本章主要讲述了: (1) HDLC协议配置的基本步骤; (2) HDLC在实际的广域网中的应用(配置实例)。
8
每一种知识都需要努力, 都需要付出,感谢支持!
9
知识就是力量,感谢支持 !
10
----谢谢大家!!
4 23.2 HDLC协议配置实例 如图23-1所示,GAR1和GAR2通过E1接口相连,封装HDLC。
5 图23-1 HDLC协议的配置实例
6
GAR1的配置(GAR2的配置和GAR1的配置相同): ZXR10_R1(config)# interface ce1_1/1.1 ZXR10_R1(config-if)# encapsulation hdlc ZXR10_R1(config-if)#ip address 192.168.1.1 255.255.255.0
23.1 HDLC协议配置的基本步骤(命令) 23.2 HDLC协议配置实例 小结
2
主要内容: HDLC协议配置的基本步骤(命令) HDLC协议配置实例
3
23.1 HDLC协议配置的基本步骤(命令)
HDLC协议配置的基本步骤(命令)如下: (1) 选择要配置的接口并进入接口配置模式: interface <interface-name> (2) 为接口配置帧中继封装: encapsulation hdlc (3) 在接口配置模式下,配置接口的IP地址: ip address <ip-addr> <net-mask> [<broadcast-addr>] [secondary]
7
小结
本章主要讲述了: (1) HDLC协议配置的基本步骤; (2) HDLC在实际的广域网中的应用(配置实例)。
8
每一种知识都需要努力, 都需要付出,感谢支持!
9
知识就是力量,感谢支持 !
10
----谢谢大家!!
4 23.2 HDLC协议配置实例 如图23-1所示,GAR1和GAR2通过E1接口相连,封装HDLC。
5 图23-1 HDLC协议的配置实例
6
GAR1的配置(GAR2的配置和GAR1的配置相同): ZXR10_R1(config)# interface ce1_1/1.1 ZXR10_R1(config-if)# encapsulation hdlc ZXR10_R1(config-if)#ip address 192.168.1.1 255.255.255.0
《路由与交换技术》课件——第六章:交换技术
② 转发/ 过滤决定:当在某个接口上收到帧时,交换机就查看其目的硬件地址 ,并在MAC数据库中找到其外出的接口。帧只被转发到指定的目的端口。
③ 避免环路:如果为了提供冗余而在交换机之间创建了多个连接,网络中就 可能产生环路。在提供冗余的同时,可使用生成树协议(Spanning Tree Protocol,STP)来防止产生网络环路。
6.1.2 转发/过滤决定
• 当帧到达交换机接口时,交换机就将其目的地址与转发/过滤MAC数据库中的地址 进行比较。如果目的硬件地址是已知的且已列在数据库中,帧就只被发送到正确 的外出接口。交换机不会将帧送往除了目的地接口之外的任何其他接口,这样就 保留了在其他网段上的带宽,这种方式称为帧过滤。
• 如果目的硬件地址没有被列在MAC数据库中,帧就被广播到除了发送帧的接口之外 的所有其他活动的接口。如果某台设备响应了此广播,MAC数据库就会用此设备的 接口地址(位置)进行更新。
18
6.2.3 生成树端口状态
阻塞(Blocking):被阻塞的端口将不能转发帧,它只监听BPDU。设置阻塞状态的意图是防 止使用有环路的路径。当交换机加电时,默认情况下所有的端口都处于阻塞状态。 侦听( L i s t e n i n g ) : 端口都侦听BPDU,以确信在传送数据帧之前,在网络上没有环路产生。 处在侦听状态的端口,在没有形成MAC地址表时,就准备转发数据帧。 学习(Learning):交换机端口侦听BPDU,并学习交换式网络中的所有路径。处在学习状态 的端口形成了MAC地址表,但不能转发数据帧。转发延迟意味着将端口从侦听状态转换 到学习状态所花费的时间,默认时设置为15秒,可以用命令show spanning-tree显示出来。 转发(Forwarding):在桥接的端口上,处在转发状态的端口发送并接收所有的数据帧。如 果在学习状态结束时,端口仍然是指定端口或根端口,它就进入转发状态。 禁用(Disabled):从管理上讲,处于禁用状态的端口不能参与帧的转发或形成STP。处于禁 用状态下,端口实质上是不工作的。
③ 避免环路:如果为了提供冗余而在交换机之间创建了多个连接,网络中就 可能产生环路。在提供冗余的同时,可使用生成树协议(Spanning Tree Protocol,STP)来防止产生网络环路。
6.1.2 转发/过滤决定
• 当帧到达交换机接口时,交换机就将其目的地址与转发/过滤MAC数据库中的地址 进行比较。如果目的硬件地址是已知的且已列在数据库中,帧就只被发送到正确 的外出接口。交换机不会将帧送往除了目的地接口之外的任何其他接口,这样就 保留了在其他网段上的带宽,这种方式称为帧过滤。
• 如果目的硬件地址没有被列在MAC数据库中,帧就被广播到除了发送帧的接口之外 的所有其他活动的接口。如果某台设备响应了此广播,MAC数据库就会用此设备的 接口地址(位置)进行更新。
18
6.2.3 生成树端口状态
阻塞(Blocking):被阻塞的端口将不能转发帧,它只监听BPDU。设置阻塞状态的意图是防 止使用有环路的路径。当交换机加电时,默认情况下所有的端口都处于阻塞状态。 侦听( L i s t e n i n g ) : 端口都侦听BPDU,以确信在传送数据帧之前,在网络上没有环路产生。 处在侦听状态的端口,在没有形成MAC地址表时,就准备转发数据帧。 学习(Learning):交换机端口侦听BPDU,并学习交换式网络中的所有路径。处在学习状态 的端口形成了MAC地址表,但不能转发数据帧。转发延迟意味着将端口从侦听状态转换 到学习状态所花费的时间,默认时设置为15秒,可以用命令show spanning-tree显示出来。 转发(Forwarding):在桥接的端口上,处在转发状态的端口发送并接收所有的数据帧。如 果在学习状态结束时,端口仍然是指定端口或根端口,它就进入转发状态。 禁用(Disabled):从管理上讲,处于禁用状态的端口不能参与帧的转发或形成STP。处于禁 用状态下,端口实质上是不工作的。
路由交换技术与应用(孙秀英)章 (4)
13
5. LC接口 类似于SC型连接器,LC型连接器是一种插入式光纤连接 器,采用操作方便的模块化插孔(RJ)闩锁机理制成。LC型连 接器与SC型连接器一样,都是全双工连接器。
14
6. MT-RJ接口 MT-RJ型是一种更新型号的连接器,其外壳和锁定机制类 似于RJ型风格,而体积大小类似于LC型,标准大小的MT-RJ型 可以同时连接两条光纤,有效密度增加了1倍。 MT-RJ小型光纤连接器采用双工设计,体积只有传统SC或 ST连接器的一半,因而可以安装到普通的信息面板,使光纤 到桌面轻易成为现实。光纤连接器采用插拔式设计,易于使 用,甚至比RJ45插头都小。
的计算机、打印机或其他设备等的集合,其地理范围和站点 数目均有限,通信线路要专门敷设。局域网一般采用数据信 号的基带传输方式,结构简单、误码率低、数据传输速率高、 时延小,能进行广播或多播。
4
4.1.2 局域网的分类 根据不同的分类标准,局域网可按5种情况划分。 1. 按拓扑结构分类 按拓扑结构分类,可以将局域网分为总线型局域网、环
21
与基于帧体系结构的FR相比,异步传输模式 (Asynchronous Transfer Mode,ATM)是基于信元的体系结构, 有固定的53 B长度。它能提供更高带宽的低延迟和低抖动的 永久共享式网络技术的需求,能够在私有和公共网络上传输 语音、视频和数据。
22
数字用户环路(DSL)是一种充分利用现有的铜线(电话用 户线)资源,采用各种高速调制和编码的接入技术,实现最终 用户的宽带接入。现在可以运用的DSL技术有HDSL、SDSL、 ADSL、VDSL等几种。DSL的优点是:它利用现有的市内电话网 和电话交换局的机房,可以降低施工和维护成本,并且对电 话业务没有影响。由于它基于现有的电话线,因此对于电话 公司来说是一种比较合适的方案,可以充分挖掘现有网络的 潜力。DSL的缺点是对线路的质量要求较高。