上一篇博客:单臂路由、三层交换技术、ICMP协议
目录
- HSRP
- ACL
开始
一、HSRP
Hot Standby Router Protocol
0. 百度百科:
热备份路由器协议(HSRP)的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。实现HSRP的条件是系统中有多台路由器,它们组成一个"热备份组",这个组形成一个虚拟路由器。
换句话说,当源主机不能动态知道第一跳路由器的 IP 地址时,HSRP 协议能够保护第一跳路由器不出故障。1. 场景:
公司基本局域网结构,当路由器有时出现故障上不了网
为了解决、预防
需要在搞一台备份的路由器作为备用网关
两个网关DNS可以手动指向另一个未故障的DNS
或者重启电脑,自动完成指向(刚开机要续约)
2. 引进:
HSRP协议:思科私有的热备份路由协议
VRRP协议:共有的热备份路由协议
作用:备份网关
3. 实现:
两个路由器(一个10.254,一个10.253)需要在一个HSRP组(范围为1-255)
之后组里面除了两个网关,还出现一个虚拟路由器(10.252)
此时公司客户机有三个选择网关
虚拟路由器的IP称为 虚拟IP地址,需要自己配
HSRP组中的3个路由器需要选择首次
- 虚拟路由器–》老大
- 活跃路由器–》优先级设置
- 备份路由器–》优先级设置
- 其他路由器–》其他的路由器
这时候需要引进优先级,决定谁是活跃路由器
4. HSRP优先级:1-255
默认为100,越高优先级越高
他们之间能交流:HSRP组成员通过定时发送hello包来交流,默认是每隔3秒
然后所有的员工都指向虚拟路由器,虚拟路由器在找活跃路由器
当第一个活跃路由器故障,最多等待10秒钟,然后上位活跃路由器
5. 占先权:给备份路由配置的一种权限preempt,当检测到第一个活跃路由器故障,立即上位活跃路由器
6. 跟踪端口track
为了防止路由器连接外网的线路故障,内网正常,外网故障跟踪路由连接外网的端口
配置跟踪端口track,跟踪外网端口状态,外网down掉,自降优先级
二、ACL
Access Control List
前面学习的NTFS时候,存在的一张权限表,就叫做ACL表
Access Control List:访问资源控制表
- 百度百科:
- 访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
- 信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。
- 配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。如可以配置ACL,禁止局域网内的设备访问外部公共网络,或者只能使用FTP服务。ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。
- ACL是物联网中保障系统安全性的重要技术,在设备硬件层安全基础上,通过对在软件层面对设备间通信进行访问控制,使用可编程方法指定访问规则,防止非法设备破坏系统安全,非法获取系统数据。
- 作用:
这里不在是访问文件、文件夹资源控制,而是网络流量资源的控制
如,公司不同网段、VLAN,然后在交换机或者路由器设置ACL,特定条件访问
就是 包过滤技术(拿掉帧头,检测过滤)
- ACL原理:
之前NTFS是基于用户、组来过滤
现在是基于包头的三层IP地址、四层TCP/UDP头部的端口号来过滤,按照一张表
- 配置
ACL可以在路由器上配置,也可以在防火墙上配置(一般策略)
- 防火墙:
主要的目的不是防止木马、病毒,他们在5层,一般需要配置IPS再次过滤病毒
- ACL分类
主要分为两大类
- 标准ACL
- 扩展ACL
- 标准ACL
- 表号:1-99 特点:只能基于源IP对包进行过滤
- 实现:路由器的两个端口,每个端口都有有in和out方向,两个端口四个方向
类似两道大门,可以设置表在门内、外,方向错误可能会失效 所以,写表+选方向 原理:
- ACL表必须应用到接口的进或出方向才有效
- 一个接口的一个方向只能应用一张表
- 进还是出方向,取决于流量控制总方向
- ACL表示严格自上而下的检查每一条,所以要注意书写顺序
- 每一条是由条件和动作组成,当某流量没有满足条件,则继续检查下一条
- 拓展ACL
- 表号:100-199
- 特点:可以基于源IP、目标IP、端口号、协议等对包进行过滤
参考:B站千峰
