视频来源:第三篇01交换机_哔哩哔哩_bilibili、第三篇02路由器_哔哩哔哩_bilibili、第三篇03vlan_哔哩哔哩_bilibili、第三篇04vtp_哔哩哔哩_bilibili、路由器深入学习1_哔哩哔哩_bilibili、acl访问控制列表详解_哔哩哔哩_bilibili、nat详解_哔哩哔哩_bilibili、网络搭建实列详解_哔哩哔哩_bilibili
5、热备份路由选择协议HSRP
思科自有协议,可以实现负载均衡
路由器、三层交换、防火墙都可以用。华为使用VARP,也是一样的道理
STP实现网桥备份,HSRP实现网关备份
三层的链路冗余靠网关。将很多设备在逻辑上当成一个使用,这样主机的网关地址就不会随着链路故障而重新配置
有多出口的时候,HSRP将上下两个网关的接口(1.1.1.100、1.1.1.200)当成一个虚拟路由器
相当于一个群集,网关的虚拟IP为1.1.1.1,用于调度
设备找网关的时候,虚拟路由器会告诉你应该走A还是走B(如果A坏掉了,虚拟路由器就会自动切换,告诉你走B)
HSRP成员分为四种
虚拟路由器:终端网关指向的路由器
活跃路由器:网络出口经过的路由器(干活的。只有一台)
备份路由器:活跃路由器坏掉了,流量马上切换到备份路由器,实现热备份(只能有一台,尽可能加快切换的速度)
其他路由器:如果有更多的出口(第三台~第n台)
工作原理:给你谁的mac,你就往谁那儿走。谁活跃,mac地址说了算
HSRP消息:有点像生成树的BPDU、VTP通告
广播地址:255.255.255.255、FF-FF-FF-FF
组播地址:224.0.0.2
交换机里会生产各种各样的组播空间,组播是介于广播和单播之间,他们会向交换机申请空间,空间之内的收的到,空间之外的收不到。即只能让跟自己有关系的收到信息
因为TTL=1,下一台设备收到组播之后不会再转发
HSRP的状态
活跃路由器:初始 >> 活跃
备份路由器:初始 >> 备份
其他路由器:初始 >> 监听
学习状态基本决定了它后面是什么角色
生成树协议只要有优先级更合适的根网桥接入,生成树马上会重算
HSRP为了保证链路稳定性,只要当前有活跃路由器,哪怕接进来一台优先级255的路由器也没有用。只要在学习状态发现有活跃,只能当备份;只要在学习状态发现有备份,只能当监听(除非人为干预)
HSRP计时器类似于群集心跳检测,定期发一个通告。每个三秒发一个通告,如果连续十秒没有听到通告就让位(可以手动调,一般保持三倍关系)
配置
设置虚拟IP地址
设置优先级
如果只打第一条命令,先配的网关设备先活跃,第二台变成备份
6、访问控制列表ACL
和iptables很像,相对更简单,也没有iptables功能强大(iptables是软件模拟,定义在应用层)
ACL、NAT,用在三层以上的设备,只能过滤到网络层和传输层的端口号
不光是放行和拦截,还会被用来配合抓流量
标准列表、扩展列表
通过IP信息、TCP头信息,对数据进行过滤
路由器:包过滤型ACL
防火墙:状态检测型ACL
包过滤的匹配方向:分为两个方向
应用时候在端口上分为两个匹配方向。匹配规则从上到下,允许/拒绝,默认有一条拒绝所有,永远在最后
越详细的越优先配置在上边,越笼统的越往下放
思科标准控制列表:1~99,能过滤的信息非常单一,只能过滤源IP地址
思科扩展访问控制列表:100~199,源/目的IP、协议、端口号、标志位
命名访问控制列表:
配置
创建ACL
删除ACL
7、NAT
SNAT、DNAT
在使用iptables的时候,转源端口号、目的端口号
实现方式:
静态转换:一对一
动态转换:
端口多路复用:一个公网地址转成好多地址
优点:
缺点:
配置步骤:
8、动态路由协议OSPF
ip route叫静态路由
路由很多,网段很多时,静态路由之外还要写浮动路由(备份路由条目。当主路由条目损坏时进入浮动)
在更大的环境下,要写OSPF、ISS、BGP等动态路由协议
浙公网安备 33010602011771号