网络安全自学笔记04 - 路由器技术
路由器技术概念
一、路由器工作在网络层
1、网络层功能
- 定义了基于IP协议的逻辑地址
- 连接不同的媒介类型
- 选择数据通过网络的最佳路径
- 网络层传输的数据单元是IP数据包
2、网络层的IP数据报
- 版本:IP协议的版本,双方通讯版本必须一致,目前广泛使用的IP协议版本号为4(IPv4)
- 首部长度:IP包头部长度,长度可变,因此需要定义
- 优先级与服务类型:用来获得更好的服务,这个字段在旧标准叫做服务类型,但实际一直没有被使用过,1998年IETF把这个字段名为分区服务DS,只有在使用分区服务时,才会启用,提供3曾QoS
- 总长度:总长度指首部及数据之和的长度,单位为字节,总长度本身16位。
- 标识:IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段,但这个标识并不是序号,因为IP是无连接的服务,当数据报由于长度超过网络的MTU而必须分片时,这个标识字段的值就被复制到所有的数据报的标识字段中,相同的字段的值使分片的数据报片最后能正确的组装成为原来 的数据报
- 标志,但目前只有2位有意义,MF=0标识这已是若干数据报片中的最后一个,标识段中间的以为标识DF,意思是不能分片,只有当DF=0时才允许分片
- 段偏移量:较长的分组在分片后,某片在原分组中的相对位置。
标识、标志、段偏移量:上层来的数据到IP层会被分片,这几个字段进行标识,用来重组不乱序 - 生存时间:生存时间字段常用的英文缩写TTL(Time To Live),表示在网络中的寿命,由发出数据报的源点设置这个字段,其目的是防止无法交付的数据报无限制在因特网中兜圈子,每经过一个路由器时TTL减少一段时间
- 协议:标识此数据报携带的数据是何种协议,UDP是17,TCP是6
- 首部校验和:这个字段只校验数据报的首部,但不包括数据部分。数据报每经过一个路由器,都要重新计算一下首部校验和,不校验数据可减少计算时间
- 源地址:发送方的ip
- 目的地址:接收方的IP
二、路由器基础
1、路由
- 从原主机到目标主机转发过程
- 包含两个基本动作:确定最佳路径、通过网络传输信息
- 路由器中维护一张路由表,经过路由表路由地址
2、路由分类
- 静态路由:管理员手动配置,并且是单项,缺乏灵活性
- 默认路由:一种特殊的静态路由,默认路由一般用于末节网络
- 动态路由:
- 路由器能够通过路由协议自动建立自己的路由表,并且根据实际情况变化调整
- 常用的动态路由协议:RIP、OSPF、IS-IS、BGP、IGRP、EIGRP等
三、静态路由配置
在路由器上添加路由条目
en conf t ip route network 192.168.1.0 255.255.255.0 f0/1
默认路由配置
ip route 0.0.0.0 0.0.0.0 f0/1
查看路由条目
en show ip route
路由器上配置DHCP
en conf t ip dhcp pool phoon //定义地址池 network 192.168.1.0 255.255.255.0 //定义客户端网段 default-router 192.168.1.254 //定义客户端网关 dns-server 8.8.8.8 //定义客户端获取的DNS exit ##定义排除地址 ip dhcp excluded-address 192.168.1.1-192.168.1.10
四、单臂路由
1、概念
- 单臂路由是指在路由器或交换机一个接口上通过配置子接口或逻辑接口的方式来实现不同vlan间通讯
- vlan的链路类型
- 交换机与主机的端口为access链路
- 交换机连接路由器的端口为Trunk链路
- 路由器的三层接口不能配置为交换机的链路类型trunk
- 在路由器上划分子接口
- 路由器的物理接口可被划分成多个逻辑接口
- 每个子接口对应一个vlan网段的网关
- 当pc1需要发送数据给pc2,发现pc2和自己不是同一个网段,这时将数据交给自己网关,网关为路由器的f0/0.1子接口,通过ARP协议获取自己的网关的MAC地址,数据会通过交换机进行转发,到了交换机之后,会为收到的数据打赏vlan标签,将数据传到路由器,集合路由器工作原理查看目的的IP地址找到接口,在进行标签转换,再发送到交换机,交换机根据mac地址表再进行转发
2、单笔路由配置
配置链路类型
switchport mode trunk #接口模式
配置路由器子接口
interface fastethernet f0/0.1 encapsulation dot1Q 10
为路由器子接口配置IP地址,作为网关
ip address 192.168.10.254 255.255.255.0
开启物理接口
int f0/0 no shutdown
五、热备份路由HSRP
1、概念
- 创建一个虚拟路由器,数据来往通过虚拟路由器转发,并决定发送给物理的活跃路由或备份路由进行转发数据。
- HSRP组成员
- 活跃路由器:主要功能是转发到虚拟路由器的数据包,组中的另一台路由器被选为备份路由,活跃路由通过发送hello消息来承担和保持它的活跃角色
- 备份路由器:主要功能是监视HSRP组的允许状态,并且到活跃路由不能运行时,迅速承担起转发数据包的责任。备份路由也传输hello消息,告知组中所有路由器备份路由的角色和状态变化
- 虚拟路由器:虚拟路由也有自己的IP地址和MAC地址,但并不实际转发数据包
- 其他路由器:这些路由器监视hello消息,但不做应答,这些路由器转发任何经由他们的数据包,但并不转发经由虚拟路由器的数据包
- HSRP的虚拟MAC地址,由十六进制表示最后两位位HSRP组号
- 组播地址为224.0.0.2
- HSRP状态:
- 初始状态:备份组内初始状态
- 学习状态:该组员未设置虚拟IP地址,并等待从本都活动路由器转发的认证Hello报文中学习得到自己的虚拟IP
- 监听状态:该组员已得到或设置虚拟IP地址,通过监听hello报文监视活跃备份路由器,一旦发现活跃备份路由器长时间未发送hello报文则进入发言状态,开始竞选
- 发言状态:参加竞选的活跃备份路由器。通过发送hello报文时竞选这互相比较、竞争
- 备份状态:当活跃路由坏掉时启动的路由器。备份状态时也会周期发送hello报文告诉自己没有坏掉
- 活跃状态:负责虚拟路由器实际路由工作的路由器
- hello间隔默认3秒,保持时间默认10秒
2、HSRP配置
设置HSRP的成员
standby group-number ip virtual-ip-address
配置HSRP的优先级
standby group-number priority priority-value #范围0-255,默认100
HSRP占先权(优先级高的路由器重新获得转发权)
standby group-number preempt
配置hello间隔和保持时间
standby group-number times hellotime holdtime
配置HSRP端口跟踪
standby group-number track type mod/num interface-priority
查看SHRP状态
#查看HSRP摘要信息 shou standby brief #查看SGRP详细信息 shows tandby
六、动态路由RIP
1、概念
1)特点:
- 维护路由信息
- 建立路由表
- 决定最佳路径
- 减少管理任务
- 由于自动向其他路由器发送路有消息,所以会占用网络宽带
2)常见动态路由
- RIP:路由信息协议,是内部网关协议IGP中最先得到广泛使用的协议,是一种分布式的基于距离矢量的路由器选择协议,是因特网的标准协议,其最大有点就是实现简单,开销小
- OSPF:OSPF开放式最短路径有限,是一个内部网关(IGP),用于在单一自治系统内决策路由
- IS-IS:中间系统到中间系统路由协议最初是ISO未CLNP设计的动态路由协议
- BGP:边界相关协议是基于TCP上的一种自治系统路由协议,BGP是唯一一个用来处理像因特网大小的网络协议,也是唯一能够妥善处理好 不相关路由域间的多路连接协议
3)相关名词
- 自治系统(AS):运行相同路由协议的路由器属于同一自治系统
- 内部网关协议(IGP):用于在单一自治系统内决策路由器,如RIP、OSPF等
- 外部网关协议(EGP):用于连接不同自治系统,如 BGP
4)RIP路由基本概念
- RIP(路由信息协议)是内部网关协议(IGP),是一种动态路由选择协议,用于自治系统(AS)内的路由信息传递
- RIP最大跳数为15跳,16跳不可达
- 每隔30s向相邻路由器发送路由更新消息,使用UDP520段端口
- RIP路由版本
2、配置
启动RIP进程
router ip
宣告主网络号
network network-number
查看路由表
show ip route
查看路由协议的配置
show ip protocols
启用版本v2
router rip version 2
关闭rip v2路由自动汇总
no auto-summary
七、OSPF高级配置
1、概念
- NSSA基本概念:
- 作为OSPF协议的一种扩展属性,NSSA中定义了一种LSA-Type7的类型的LSA,作为区域内的路由器引入了外部路由时使用,该类型的LSA除了类型标识与Type5不相同之外,其他内容基本一样,这样区域内的路由器就可以通过LSA的类型来判断是否该路由来自本区域内。但由于Type7类的LSA是新定义的,对于不支持NSSA属性的路由器无法识别,所以协议规定:在NSSA的ABR上将NSSA内部产生的Type7类型的LSA转化为Type5类型的LSA再发布出去,并同时更改LSA的发布者为ABR自己。这样NSSA区域外的路由器就可以完全不用支持该属性
- 由于NSSA是路由STUB区域的概念进来的,所以他的名字叫“not-so-stubby”area,本意是:不是那么STUB的区域
- NSSA对LSA的影响:
- 类型7LSA在一个NSSA区域内携带外部信息
- 类型7LSA在NSSA的ABR上被转化为5LSA
- 不允许外部LSA
- 汇总LSA被引入
- NSSA区域重分发路由类型
- N1、N2
- 经过NSSA区域ABR后转换成E1、E2
2、NSSA区域配置命令
area area-id nssa [no-summary]
area 2 nssa no-summary
3、虚链路
1、概念
- 虚连接是指在两台ABR之间,穿过一个非骨干区域(转换区域),建立的一条逻辑上的连接通道,可以理解为两台ABR之间存在一个点对点的连接。“逻辑通道”是指两台ABR之间的多台运行OSPF的路由器只是起到一个转发报文的作用(由于协议报文的目的的地址不是这些路由器,所以这些报文对于它们是透明的,只是当作普通的IP报文来转发),两台ABR之间直接传递路由信息。这里的路由信息是指ABR生成的type3的LSA,区域内的路由器同步方式没有因此改变
- 一条通过一个非主干去域连接到骨干区域的链路
- 通过一个非主干区域连接一个分段的主干区域
- 虚链路的配置增加了OSPF网络故障排除的困难,如果配置了一条虚拟路,设计者应该仅仅把它用来作为修复无法避免的网络拓扑问题的一个临时手段。虚链路可以看作是一个表明OSPF域的某个部分是否需要重新设计标志。实际上,永久虚拟链路的存在重视一个设计笔记糟糕的OSPF域的标志
- 配置虚拟链路的规则及特点
- 虚拟链路必须配置在两台ABR路由器之间
- 传送区域不能是一个末梢区域
- 虚拟路的稳定性取决于经过的区域的稳定性
- 虚拟路有助于逻辑冗余
2、配置命令
areaarea-id britual-link router-id
#area-id 穿越区域的ID
#router-id 对端ABR的路由IDshou ip ospf virtual-links #查看虚链路
八、路由重分发
1、概念
- 一个单一IP路由器协议是管理网络中IP路由的首选方案
- 在大型的企业中,可能在同一网内使用到多种路由协议,为了实现多种路哟协议的协同工作,路由器可以使用路由重分发将学习到的一种路由协议的路由通过另一种路由协议广播出去,这样网络的所有部分都可以联通了。为了实现重分发,路由器必须同时运行多种路由协议,这样,每种路由协议才可以取路由表中的所有或部分其他协议的路由器来进行广播
- Cisco IOS能执行多个路由协议,每一个路由协议和该路由协议所服务的网络属于同一个自治系统
2、重分发到OSPF域中路由器的路径类型
- 类型1的外部路径(Type 1 external path, E1)
- E1类型内部代价加上外部的代价
- 类型2的外部路径(Type 2 external path, E2)
- E2类型指考虑外部的代价
3、重分发配置
redistribute protocol [metric metric- value][metric-type type-value][subnets]
#protocol 路由协议
#[metric metric- value] 度量值
#[metric-type type-value] 度量类型
#[subnets]携带子网掩码
九、访问控制类别ACL
1、概念
- 访问控制列表是一种基于包括过滤的访问控制技术,它可以根据设置的条件对接口上的数据包进行过滤,允许其通过或丢弃,访问控制列表被广泛地应用与路由器和三层交换机,借助访问控制列表,可以有效控制用户对网络的访问,从而最大程度保证网络安全(数据包的五元组:源IP、目标IP、源端口、目标端口、协议)
- 读取第三层(源IP和目的IP)、第四层包头(源端口和目的端口)信息
- 根据预先定义好的规则对包进行过滤
2、ACL分类(思科设备)
1、标准ACL
- 基于源IP地址过滤包
- 标准访问控制列表控制列号是1~99
2、扩展ACL
- 基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包
- 扩展访问列表的访问控制列表号100~199
3、命名ACL
- 命名访问控制列表允许在标准的扩展访问控制列表中使用名称代替表号
3、标准ACL配置
access-list access-listp-number{permit|deny}source
#access-listp-number ACL表号
#permit 允许
#deny 拒绝
#source 源地址或源网段
#如:access-list 1 deny host 192.168.1.1
#host 标识一台主机
#any 标识所有主机或网段
#删除ACL:access-list 1#将ACL 应用于接口
int f0/1
ip access-group access-list-number{in|out}
#in 进方向
#out 出方向#取消接口上ACL的应用
no ip access-group access-list-number{in|out} #查看ACL配置
show access-list
4、扩展ACL配置
access-listaccess-list-number{in|out} protocol{source source-wildcard destination destination-wildcard}[operator operan]
#如:拒绝网段192.168.1.0访问主机192.168.0.1的80 端口
access-list 100 deny tcp 192.168.1.0 0.0.0.255 host 192.168.10.1 eq 80
#删除acl
no access-list 100
#将ACL 应用于接口
int f0/1
ip access-group 100 in
#in 进方向
#out 出方向
- eq:等于
- gt:大于
- lt:小于
- neq:不等于
- ronge:范围
5、命名ACL配置
#创建ACL
ip access-list{standare|extended}access-list-name
#配置标准命名ACL
[SEQUENCE-NUMBER]{permit|deny}source[source-wildcard]
#配置扩展命名ACL
[SEQUENCE-NUMBER]{permit|deny}source{source-wildcard destination destination-wildcard}[operator operan]
十、网络地址转换NAT
1、概念
1、背景
- 随着接入internet计算机的不断猛增,IP地址资源也就愈加显得捉襟见肘。事实上,除了中国教育和科研计算机网外,一般用户几乎申请不到整段的C类IP地址。在其他的ISP那里,即使是拥有几百台计算机的大型局域网用户,当他们申请IP地址时,所分配的地址也不过只有几个或几十个IP地址
- 需要在私网连接到公网的路由器上安装NAT软件。装有NAT软件的路由器叫NAT路由器。它至少由一个有效的外部全球IP地址。目前NAT技术也广泛应用在不同的设备上,如防火墙、上网行为管理、VPN等
- 合法的IP地址资源日益短缺。
- 一个局域网内部由很多太主机,但是不是每台主机都有合法的IP地址,为了使所有的主机都可以进行连接因特网,需要使用地址转换
- 地址转换技术可以有效的隐藏局域网中的主机,具有一定的网络安全保护作用
- 地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务
2、NAT的实现方式
- 静态转换:一对一的进行转换
- 动态转换:多对多的进行转换
- 端口多路复用:都对一的进行转换,携带端口号,最大程度节省公网IP(源地址转换SNAT)
端口映射:一般用于内网服务器向外部提供服务
3、NAT包含4类地址
- 内部局部地址:发送方的内网地址
- 内部全局地址:发送方的外网地址
- 外部局部地址:接收方的内网地址
- 外部全局地址:接收方的外网地址
2、NAT工作原理
1、静态转换
- 一对一转换(不携带端口)
- 等于直连
2、动态转换
- 多对多转换:外网多个IP对内网多个IP,如过外网的多个IP都被分配,这内网IP需要下线之后才能上新主机,但可以通过加公网端口使所有主机都可以上网
3、端口映射
- 当出现内网有对外提供服务的服务器,外网只有一个公网IP时,这时候就需要端口映射,将内网服务器的某个服务的端映射到外网IP的端口
- NAT优点:节省公网IP、处理地址重叠(两个需要互联的网络分配了同样的IP地址或者一个私有网络和共有网络分配了同样的全局地址这种情况成为重叠)、增强灵活性、安全性
- NAT缺点:延迟增大(访问网络时需要进行地址转换)、配置和维护的复杂性、不支持某些应用,可以通过静态NAT映射来避免,如vpn
3、NAT配置
1、配置步骤
- 接口配置IP
- 使用访问控制列表定义哪些内部主机能做NAT
- 动态转换和端口多路服用需要定义ACL
- 决定采用什么共有地址,静态或地址池
- 静态:静态转换
- 地址池:动态转换和端口多路服用
- 指定地址转换映射(服务器映射)(选配)
- 在内部和外部端口上启用NAT
#指定内网接口 int f0/0 ip nat inside #指定外网接口 int f0/1 ip nat outside
2、静态NAT配置
#将内网地址192.168.1.100转换12.23.24.56
ip nat inside source static 192.168.1.100 12.23.24.56
3、动态NAT配置
#定义全局地址池
ip nat pool phoon 12.23.24.56 12.23.24.60 netmask 255.255.255.0
#定义ACL,允许地址转换主机或网络段
access-list 1 permit 192.168.1.0 0.0.0.255
#应用
ip nat inside cource list 1 pool phoon
4、端口多路复用PAT配置
#定义全局地址池
ip nat pool phoon 12.23.24.56 12.23.24.60 netmask 255.255.255.0
#定义ACL,允许地址转换主机或网络段
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside cource list 1 pool phoon overload
#也可以利用外网端口作为全局地址,不必指定地址池,起到节省全局IP地址的作用
ip nat inside cource list 1 interface f0/1 overload
5、端口映射(服务器发布)配置
#将内网服务器网站发布到外网供外网用户访问,映射端口为8080
ip nat inside cource static tcp 192.168.2.100 80 12.23.24.56 8080
清楚NAT转换表
clear ip nat translation *
网络安全自学笔记04 - 路由器技术相关推荐
- 网络安全自学笔记03 - 交换机技术
交换机技术概念 一.交换机工作在数据链路层 1.数据链路层功能 数据链路的建立.维护与拆除 帧包装.帧传输.帧同步: 为了使传输中发生差错后只将有从.错的有限数据进行重发,数据链路层将比特流组合成以太 ...
- 网络安全自学笔记+学习路线(超详细)
01 什么是网络安全 网络安全可以基于攻击和防御视角来分类,我们经常听到的 "红队"."渗透测试" 等就是研究攻击技术,而"蓝队".&quo ...
- CTF和网络安全自学笔记
自学网络安全 ----CTF小白的学习笔记 这是我自学CTF的第一天,在我看来,不论是学习什么,你都要先把你所要学的东西的概念弄弄明白,这样你才能更好地规划接下来要走的路,那么,接下来我就简短的描述一 ...
- 网络安全自学笔记05 - 网络协议基础与攻击
一.ARP协议 1.ARP协议概念 1.什么是ARP address resollution protocol,地址解析协议. 将一个已知的IP地址解析成MAC地址 ARP协议通过IP地址向MAC地址 ...
- 网络安全自学笔记+岗位介绍
我就在这个行业,目前湖南,薪资就没必要说了,高就对了. 这个行业优势就是工资高,缺点就需要一直学,卷得要死,不是跟别人卷,而是自己卷,一会后面细说 这个行业目前分为几个岗位,分别是安全运维,安全服务, ...
- Quantopian自学笔记04
LESSON 7 Portfolio Management 上一章中我们把 data pipeline 包含进了我们的策略中,现在就是要定义我们如何利用生成的数据来重新平衡重新布局我们的资产组合.我们 ...
- 网络安全自学笔记08 - Linux之shell
一.shell基本概述 什么是shell脚本?到底能解决什么问题?shell脚本其实就是把一批命令集合在一起,解决一些复杂的问题,有点类似于程序设计(在shell中,变量.分支.循环.函数.数组等与程 ...
- Java自学笔记总结04
Java自学笔记04 一.Lambda表达式 1.1 函数式编程思想概述 1.2 体验Lambda表达式 1.3 Lambda表达式的标准格式 1.4 Lambda表达式的使用 1.5 Lambda表 ...
- Linux自学笔记 | 10 常用命令 - 压缩解压类
Linux自学笔记 | 10 常用命令 - 压缩解压类 Linux自学笔记 | 01 文件系统和目录结构 Linux自学笔记 | 02 VIM编辑器的安装与使用 Linux自学笔记 | 03 Linu ...
最新文章
- springboot处理参数再转发请求_SpringBoot图文教程6—SpringBoot中过滤器的使用
- 选择纯种犬还是杂种犬?
- 【总结】百家稷学!重点汇总有三AI(教育)服务过的那些企业与学校
- Spring(三)——HelloSpring、IOC创建对象的方式、属性注入、自动装配、使用注解开发
- java生产者与消费者问题_java生产者与消费者问题
- 一起开心暑假集训第一周限时训练 2020/7/5
- 2019输入序列号闪退_正式告别60秒长语音 讯飞输入法新版评测:能动口我绝不动手...
- 【C语言进阶深度学习记录】三十七 C/C++中造成程序内存错误的原因(野指针)
- JAVA的Future类
- 严格地说来的zhajinhuagame
- mysql 导出csv命令_MySQL 导出数据到csv文件的命令
- Simulink之晶闸管(可控硅SCR)
- 新手的神奇bug——ImportError: cannot import name XXX
- linux时间时区和GPS/BD授时
- setoolkit的钓鱼攻击
- 2021年记录杭州买房大事
- 狂肝10个月手搓GPU,他们在《我的世界》里面玩《我的世界》
- 51单片机 8*8点阵贪吃蛇
- 【PyTorch】模型 FPS 测试 Benchmark(参考 MMDetection 实现)
- 软件测试的方法一共有几种
热门文章
- MacOS Monterey 12.4 (21F79) OC 0.8.0 / Cl 5146 / PE 三分区原版黑苹果镜像
- 使用 docker 对容器资源进行限制
- 三维图像处理_三维全景技术是怎样的黑科技
- 如何评价微擎?怎么看待微擎模块应用?
- 奇虎360scribe日志采集系统
- UBUNTU上打字练习软件
- 【概率论】4-7:条件期望(Conditional Expectation)
- session Storage
- 运动电荷的电磁场(一)
- 超轻量级通用人脸检测模型