JS-CZ-006路由器安全技術(shù).ppt

1、路由器安全技術(shù),技術(shù)基礎(chǔ)課程系列,講師介紹,邁普通信xxx部門：張三 電話郵箱：,課程內(nèi)容,路由器身份認證體制,看是否有配置line,AAA認證,用戶登錄,進入Shell,未配置line,未配置AAA,已配置line,已配置AAA,看是否有配置AAA,line認證,用戶及級別設(shè)置,設(shè)置用戶及相關(guān)屬性 使用user命令來配置本地用戶和相關(guān)用戶權(quán)限屬性。,用戶分015級，15最高；只有高級別用戶才能對低級別用戶操作； 設(shè)置用戶密碼時的參數(shù)0代表以明文輸入，而不是以密文輸入。,用戶及級別設(shè)置,修改命令的級別 在邁普路由器IOS中的每個shell命令都有一個默認的級別，但是可

2、以通過命令privilege來修改其默認級別。 保證只有相應(yīng)級別及以上的用戶才有配置、查看相應(yīng)命令的權(quán)限。,設(shè)置enable密碼 設(shè)置進入各個用戶級別的本地enable密碼。也可以只設(shè)置一個共通的密碼。若沒有配置enable密碼，則非console用戶不能進入特權(quán)模式。,用戶及級別設(shè)置,設(shè)置line屬性 路由器支持一個console口用戶最多16個telnet用戶和16個ssh用戶同時登錄到設(shè)備上，line命令可以為這些登錄設(shè)置不同的認證、授權(quán)等屬性。,AAA技術(shù)概念,AAA是認證、授權(quán)和統(tǒng)計（Authentication, Authorization and Accounting）的簡稱。

3、它提供了一個用來對這三種安全功能進行配置的一致性框架。AAA的配置實際上是對網(wǎng)絡(luò)安全的一種管理。 這里的網(wǎng)絡(luò)安全主要指訪問控制。包括： 哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器？ 具有訪問權(quán)的用戶可以得到哪些服務(wù)？ 如何對正在使用網(wǎng)絡(luò)資源的用戶進行記賬？,AAA基本原理,NAS：網(wǎng)絡(luò)接入服務(wù)器（Network Access Server）。在路由器上啟動AAA安全服務(wù)作為NAS。當用戶想要登錄NAS或與 NAS建立連接（比如撥號連接）從而獲得訪問其他網(wǎng)絡(luò)的權(quán)限時，NAS起到了驗證用戶的作用 RADIUS：遠程身份認證撥入用戶服務(wù)（Remote Authentication Dial In User Serv

4、ice） Tacacs：Tacacs是終端訪問控制系統(tǒng)（Terminal Access Controller Access Control System）的簡稱,AAA認證相關(guān)配置,AAA認證簡單設(shè)置命令,配置范例,router(config-if)# aaa new-model 啟動AAA功能 router(config-if)# aaa authentication login default local 對登陸用戶根據(jù)本地用戶數(shù)據(jù)庫進行身份認證,Dot1x接入認證體系,802.1X IEEE802 LAN/WAN 委員會為解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題，提出了802.1X協(xié)議。后來，802.

5、1X協(xié)議作為局域網(wǎng)端口的一個普通接入控制機制在以太網(wǎng)中被廣泛應(yīng)用，主要解決以太網(wǎng)內(nèi)認證和安全方面的問題。 802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議（port based network acce ss control protocol）?！盎诙丝诘木W(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入設(shè)備的端口這一級對所接入的用戶設(shè)備進行認證和控制。連接在端口上的用戶設(shè)備如果能通過認證，就可以訪問局域網(wǎng)中的資源；如果不能通過認證，則無法訪問局域網(wǎng)中的資源。 802.1X系統(tǒng)為典型的Client/Server 結(jié)構(gòu)，如圖 所示，包括三個實體：客戶端（Client）、設(shè)備端（Device）和認證服務(wù)器（Serv

6、er ）,802.1X的認證方式,802.1X認證系統(tǒng)使用EAP （Extensible Authentication Protocol ，可擴展認證協(xié)議），來實現(xiàn)客戶端、設(shè)備端和認證服務(wù)器之間認證信息的交換。 在客戶端與設(shè)備端之間，EAP協(xié)議報文使用 EAPOL封裝格式，直接承載于LAN 環(huán)境中。 在設(shè)備端與RADIUS 服務(wù)器之間，可以使用兩種方式來交換信息： EAP 協(xié)議報文由設(shè)備端進行中繼，使用EAPOR（EAP over RADIUS）封裝格式承載于RADIUS 協(xié)議中 EAP 協(xié)議報文由設(shè)備端進行終結(jié)，采用包含 PAP（Password Authentication Protoco

7、l ，密碼驗證協(xié)議）或CHAP （Challenge Handshake Authentication Protocal，質(zhì)詢握手驗證協(xié)議）屬性的報文與RADIUS 服務(wù)器進行認證交互,802.1X認證流程,802.1X認證相關(guān)配置,802.1X認證常用命令,dot1x eap-relay 該命令配置端口的EAP模式，EAP中繼或者EAP終結(jié)。相關(guān)的no命令恢復(fù)配置缺省值。 dot1x eap-relay enable|disable; no dot1x eap-relay,dot1x port-control 該命令在端口啟用或者關(guān)閉802.1X功能。相關(guān)的no命令恢復(fù)配置缺省值。 dot1

8、x port-control enable|disable no dot1x port-control,dot1x port-method 該命令配置端口802.1X的認證模式，基于端口 認證模式或者基于用戶認證模式。相關(guān)的no命令恢復(fù)配置缺省值。 dot1x port-method portbased|macbased no dot1x port-method 備注:Portbased:基于端口 的認證模式 macbased:基于用戶的認證模式,課程內(nèi)容,內(nèi)聯(lián)網(wǎng)通常采用一定的安全措施與企業(yè)或機構(gòu)外部的Internet用戶相隔離，這個安全措施就是防火墻（firewall）。防火墻技術(shù)一般分為兩

9、類: 網(wǎng)絡(luò)級防火墻:主要是用來防止整個網(wǎng)絡(luò)出現(xiàn)外來非法的入侵。屬于這類的有包過濾（packet filtering）和授權(quán)服務(wù)器（authorization server）。 應(yīng)用級防火墻:從應(yīng)用程序來進行存取控制。通常使用應(yīng)用網(wǎng)關(guān)或委托服務(wù)器（proxy server）來區(qū)分各種應(yīng)用。例如，可以只允許通過萬維網(wǎng)的應(yīng)用，而阻止FTP應(yīng)用的通過。,訪問控制列表（ACL）技術(shù),邁普路由器采用的是包過濾式的防火墻技術(shù)； 包過濾式防火墻的核心就是通過訪問控制列表來控制流入流出路由器的數(shù)據(jù)； 訪問控制列表以IP包信息為基礎(chǔ)，對IP源地址、IP目標地址、協(xié)議類型及各協(xié)議的字段（如：TCP、UDP的端口號，

10、ICMP的類型、代碼，IGMP的類型等）進行篩選； 訪問列表根據(jù)過濾的內(nèi)容可以分成2類，標準訪問列表和擴展訪問列表；,標準訪問列表配置實例,實例實現(xiàn)目標 建立標準訪問列表2，定義了三條規(guī)則; 將標準訪問列表2應(yīng)用于以太接口0; 從以太接口0來的包中，只允許子網(wǎng)上的主機IP地址為發(fā)來的包通過，允許子網(wǎng)上所有機器發(fā)來的包，拒絕接收其它的包。,擴展訪問列表配置命令,定義擴展訪問控制列表 定義一個擴展訪問列表，可以用數(shù)字命名，也可以是用戶自定義名稱，該命令將進入擴展訪問列表配置模式。no格式是刪掉某個訪問列表，包含它下面的所有規(guī)則。 no ip a

11、ccess-list extended access-list-number | access-list-name ,規(guī)則定義 配置一條permit（或deny）擴展訪問列表規(guī)則，no格式是刪除指定的規(guī)則。 no sequence permit protocol source source-wildcard operator source-port source-port destination destination-wildcard icmp-type igmp-type operator destination-port destination-port ack / fin / esta

12、blished / psh / rst / syn / urg precedence precedence tos tos log audit time-range time-range-name,擴展訪問列表規(guī)則參數(shù),擴展訪問列表規(guī)則參數(shù),擴展訪問列表配置命令,在接口上應(yīng)用訪問控制列表 對于往內(nèi)的訪問列表，如果允許這個包，路由器軟件繼續(xù)處理這個包；如果拒絕這個包，防火墻軟件就會扔掉這個包，并向源地址發(fā)送ICMP管理狀態(tài)不可達的包。 對于往出的訪問列表，收到并路由一個包到接口后，防火墻軟件根據(jù)訪問列表檢測包。如果允許這個包，路由器軟件就會轉(zhuǎn)發(fā)這個包；如果拒絕這個包，防火墻軟件就會扔掉這個包，并

13、向源地址發(fā)送ICMP管理狀態(tài)不可達的包。,no ip access-group access-list-number | access-list-name in | out ,防火墻的其他安全功能,偽源地址檢測偽源地址一直是攻擊者最常利用的手段，常常被使用在會話劫持、DOS攻擊等場合，而對于這樣的報文進行檢測也往往是很具有技術(shù)性的；最常規(guī)的檢測是在各接口上配置接收方向的訪問列表，進行包的過濾，但這種檢測是相當有限的； 邁普路由器有相應(yīng)的檢測機制，從這樣幾個角度進行： 接收接口是否正確，如果接收到某報文的接口根本沒有到達其源地址的路由，其路由應(yīng)該取決于其它接口，該報文將被攔截； 從本路由器上根本

14、找不到到達某報文源地址的路由，該報文被攔截； 從源地址來看，是直連路由且屬于以太網(wǎng)，但在ARP表中找不到該MAC地址與源IP地址的對應(yīng)，很可能是欺騙，攔截該報文； 不是直連路由，是接口路由，如果在ARP表中找不到該報文的MAC項，是不正常的，攔截該報文； 如果按照源地址來看是網(wǎng)關(guān)路由，但MAC地址卻不是對應(yīng)的網(wǎng)關(guān)的物理地址，很可能也是欺騙，攔截該報文； 其余的包，確定正常的或無法確定的，都放行；,防火墻的其他安全功能,攻擊檢測 根據(jù)開關(guān)檢測攻擊：ICMP flood、 Smurf、 Fraggle、 SYN flood、 LAND等； 幾種攻擊包的檢測（或監(jiān)控）：,攻擊檢測功能,ip icmp

15、 intercept ICMP flood，該攻擊通過向目的服務(wù)器發(fā)送大量ICMP包，占用帶寬，從而導(dǎo)致合法報文無法到達目的服務(wù)器，達到攻擊目的；檢測時，對于路由器所保護的各服務(wù)器地址為目的地址的ICMP報文進行記數(shù)，一旦報文的接收頻率高出正常范圍，則懷疑存在攻擊行為，嚴格控制報文的流經(jīng)頻率；直到頻率低出范圍，又開始放行；此處理方式有一定的局限性：即當拒絕過量包時也拒絕了合法的包，但在綜合考慮系統(tǒng)自身的承受能力的前提下，此方法是最合理的，且保證了目標服務(wù)器不被淹沒；此方法只能用來保護路由器后面的目標服務(wù)器，但不能保護路由器自身；,no ip icmp intercept list access

16、-list-number | access-list-name maxcount ,攻擊檢測功能,ip smurf intercept Smurf也是一種這種類型的攻擊，攻擊者先使用該受害主機的地址，向一個廣播地址發(fā)送ICMP回響請求，在此廣播網(wǎng)絡(luò)上，潛在的數(shù)以千計的計算機將會做出響應(yīng)，大量響應(yīng)將發(fā)送到受害主機，此攻擊后果同ICMP flood，但比之更為隱秘；此類包可通過兩種方式攔截，如果偽源地址檢測能夠檢測出來，直接拒絕該包，另外，可打開smurf檢測開關(guān)，如果源地址是受保護的目的服務(wù)器地址，而目的地址是一個廣播地址，則攔截這樣的包； smurf自身利用的是ICMP_ECHO包，但考慮到其

17、它的ICMP請求包也將導(dǎo)致同樣的后果，因此，將檢測擴展到類型ICMP_TSTAMP、ICMP_IREQ、ICMP_MASKREQ；,no ip smurf intercept list access-list-number | access-list-name masklen number ,攻擊檢測功能,ip fraggle intercept 攻擊fraggle嚴格說來，是一個smurf的變種，它針對許多防火墻對于ICMP包檢查比較嚴格的前提，不再向廣播地址發(fā)ICMP請求包，而是改為發(fā)送UDP包，當目的網(wǎng)段的計算機收到該包并檢查到目的端口不可達時，將發(fā)給受害主機一個“目的端口不可達”的差錯

18、報文，大量的報文同時涌向受害主機，因而達到攻擊目的；此檢測與smurf檢測大同小異，僅僅類型不同而已；,no ip fraggle intercept list access-list-number | access-list-name masklen number ,攻擊檢測功能,ip tcp intercept land LAND攻擊則利用了系統(tǒng)的另一個弱點：許多系統(tǒng)不知道如何處理源地址與端口號等同于目的地址與端口號的SYN建連請求，導(dǎo)致系統(tǒng)紊亂或死機；因此，如果檢測到了某個報文的源地址等于目的地址、源端口等于目的端口，當即扔掉這樣的包。,no ip tcp intercept land,

19、攻擊檢測功能,ip tcp intercept land LAND攻擊則利用了系統(tǒng)的另一個弱點：許多系統(tǒng)不知道如何處理源地址與端口號等同于目的地址與端口號的SYN建連請求，導(dǎo)致系統(tǒng)紊亂或死機；因此，如果檢測到了某個報文的源地址等于目的地址、源端口等于目的端口，當即扔掉這樣的包。,no ip tcp intercept list access-list-number | access-list-name maxcount number ,防火墻的監(jiān)控與維護, show access-lists 顯示訪問列表的內(nèi)容, 當沒有名稱和編號時，顯示所有的訪問列表。 show access-lists a

20、ccess-list-number | access-list-name audit, show ip interface list 顯示各接口上訪問列表的應(yīng)用。, clear access-list counters 清除訪問列表的計數(shù)器, 當沒有名稱和編號時，清除所有的訪問列表的計數(shù)器。, debug ip packet access-list 查看訪問列表的過濾處理信息來監(jiān)控和維護防火墻。,課程內(nèi)容,NAT的概念,網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）主要用來完成局部地址與全局地址之間的轉(zhuǎn)換。NAT解決了Internet地址耗竭問題，企業(yè)內(nèi)部網(wǎng)只需少量的全局地址就可達到與INTERNET的互連。 NAT

21、使一個組織在多個域內(nèi)重用注冊過的IP地址，只要離開該域以前將那些重用地址轉(zhuǎn)換為全局的唯一注冊IP地址即可。,NAT的相關(guān)術(shù)語,內(nèi)部本地地址：分配給內(nèi)部網(wǎng)絡(luò)中的主機的IP地址。這個地址可能不是由網(wǎng)絡(luò)信息中心（NIC）或服務(wù)提供商（ISP）分配的合法的IP地址。 內(nèi)部全局地址：合法的IP地址（由NIC或ISP分配的），用于向外部世界表示一個或多個內(nèi)部本地IP地址。 外部本地地址：分配給外部網(wǎng)絡(luò)中的主機的IP地址。這個地址可能不是由網(wǎng)絡(luò)信息中心（NIC）或服務(wù)提供商（ISP）分配的合法的IP地址。 外部全局地址：合法的外部IP地址（由NIC或ISP分配的），internet上實際存在的地址。 靜態(tài)轉(zhuǎn)

22、換：在內(nèi)部本地地址與內(nèi)部全局地址之間建立一個一對一的映射。當一個固定的地址必須從外界訪問一個內(nèi)部主機時靜態(tài)轉(zhuǎn)換是有用的。 動態(tài)轉(zhuǎn)換：在一個內(nèi)部本地地址與一個全局地址池之間建立一個映射。,NAT的分類應(yīng)用,你想接入Internet，但你的主機并不都具有全球唯一的IP地址 通常情況下，內(nèi)部本地地址通常采用127、192等保留網(wǎng)段作為內(nèi)部本地地址。而這些地址相對外網(wǎng)來說不可達。為了要使得內(nèi)部網(wǎng)絡(luò)訪問外部的某些地址，就需要使用內(nèi)部源NAT地址轉(zhuǎn)換。為了節(jié)省內(nèi)部全局地址池中的地址，可以重載內(nèi)部全局地址，允許路由器將多個本地地址映像為一個全局地址。 你想進行基本的TCP信息流負載分配 如果內(nèi)部網(wǎng)絡(luò)中有多臺

23、提供同樣服務(wù)的主機（如Web Server），它們擁有連續(xù)的幾個內(nèi)部IP地址，通過配置內(nèi)部目的地址NAT轉(zhuǎn)換可以實現(xiàn)簡單的TCP負 載分擔，而通過一個或幾個全局IP地址對外提供服務(wù)。 你希望只有部分外網(wǎng)段才能訪問內(nèi)網(wǎng)服務(wù)器 可以在與外界通信時，使用外部源NAT地址轉(zhuǎn)換，把外部全局IP地址轉(zhuǎn)換成外部本地IP地址。,NAT常用配置命令,NAT常用配置命令,靜態(tài)轉(zhuǎn)換內(nèi)部源地址,在與外界通信時，使用轉(zhuǎn)換內(nèi)部源地址把你自己的IP地址轉(zhuǎn)換成全局唯一的IP地址。可以選擇配置靜態(tài)或動態(tài)轉(zhuǎn)換。 在本例中，建立到靜態(tài)轉(zhuǎn)換，然后將以太接口f0配置為內(nèi)部接口，串口s0/0配

24、置為外部接口。,靜態(tài)轉(zhuǎn)換內(nèi)部源地址,router 配置,如果分配的外部地址足夠多，也可將內(nèi)部整個網(wǎng)段映射到外部網(wǎng)段,動態(tài)轉(zhuǎn)換內(nèi)部源地址,動態(tài)轉(zhuǎn)換內(nèi)部源地址,router 配置, 注意：訪問列表必須只允許那些將被轉(zhuǎn)換的地址。一個允許太多地址的訪問列表會導(dǎo)致不可預(yù)期的結(jié)果。,重載一個內(nèi)部全局地址,為了節(jié)省內(nèi)部全局地址池中的地址，可以允許路由器將多個本地地址映像為一個全局地址。當多個本地地址映像到一個全局地址時，則用每個內(nèi)部主機的TCP或UDP端口號來區(qū)分這些本地地址。,重載一個內(nèi)部全局地址,router 配置,轉(zhuǎn)換內(nèi)部目的地址,如果內(nèi)部網(wǎng)絡(luò)中有多臺提供同樣服務(wù)的主機（如多臺Web Server，它

25、們擁有連續(xù)的幾個內(nèi)部IP地址），通過配置內(nèi)部目的地址的NAT轉(zhuǎn)換可以實現(xiàn)簡單的TCP負載分擔，而通過一個或幾個全局IP地址對外提供服務(wù)。,轉(zhuǎn)換內(nèi)部目的地址,訪問列表必須只允許那些將被轉(zhuǎn)換的地址； 如果內(nèi)部主機只有一個就不再需要進行TCP負載分擔，不需要使用此配置,router 配置,靜態(tài)轉(zhuǎn)換外部源地址,在與外界通信時，使用轉(zhuǎn)換外部原地址把外部全局IP地址轉(zhuǎn)換成外部本地IP地址?？梢耘渲渺o態(tài)或動態(tài)轉(zhuǎn)換。,靜態(tài)轉(zhuǎn)換外部源地址,router 配置,如果分配的地址足夠多，也可以同時將外部整個網(wǎng)段映射到內(nèi)部網(wǎng)段,動態(tài)轉(zhuǎn)換外部源地址,首先由外部主機向內(nèi)部主機發(fā)起連接，報文為195.1.1

26、.1- 經(jīng)過路由器后，使用地址池中的地址0替換源地址，報文變?yōu)?- 主機收到請求后，響應(yīng)請求，報文為-0 響應(yīng)報文經(jīng)過路由器后，使用外部地址替換目的地址，報文變?yōu)?，并根據(jù)目的地址轉(zhuǎn)發(fā)給主機,動態(tài)轉(zhuǎn)換外部源地址,router 配置,NAT配置注意事項,全局地址和本地地址不能交迭。 配置時靜態(tài)的地址不能與動態(tài)的地址池中的地址交迭。 作為連接問題的一個解決方案，只有當一個內(nèi)部網(wǎng)中有相對少量的主機同時與這個域的外界通信時，

27、NAT才是實用的。在這種情況下，在必須與外界通信時，這個域的IP地址中只有一個很小的子集必須被轉(zhuǎn)換成全球唯一的IP地址。當不再使用時，這些地址還能被重新使用。 當應(yīng)用程序中嵌入IP地址或端口時，NAT對端用戶來說就成為不透明的，故NAT也不能用于此種情況，在應(yīng)用程序中嵌入了IP地址和端口的應(yīng)用協(xié)議中，現(xiàn)在只支持FTP，MMS，OICQ，TFTP。 路由信息只能向內(nèi)不能向外傳播。 需設(shè)定NAT與ISP的路由器之間的靜態(tài)路由配置。 IP OPTION 不能正常的支持。 當有多個接口時，要使用同樣的NAT表。,NAT的監(jiān)控命令,NAT的監(jiān)控命令,NAT監(jiān)控信息實例,描述與分析： Type：NAT轉(zhuǎn)換

28、記錄的類型 Pro：IP協(xié)議類型 Inside global：內(nèi)部全局地址和端口 Inside local：內(nèi)部局部地址和端口 Outside local：外部局部地址和端口 Outside global：外部全局地址和端口 Age：記錄余下的生命期（秒） 括號中的內(nèi)容：當前的TCP狀態(tài),router# show ip nat translations Type Pro Inside global Inside local Outside local Outside global Age NAT ICMP 41:1024 00:1024 - 128

29、.255.125.125:1024 50 NAT TCP 41:1916 00:1916 - :80 1785 (NORMAL:0) NAT TCP 41:1882 00:1882 - :80 1785 (NORMAL:0),該顯示結(jié)果表明內(nèi)部局部地址00分別向外部地址25發(fā)送了ICMP報文，向外部地址的80端口發(fā)起了兩條TCP連接。,NAT的監(jiān)控命令,show ip nat statistics信息分析（1

30、）,NAT的監(jiān)控命令,show ip nat statistics信息分析（2）,NAT的監(jiān)控命令,show running-config ip nat信息分析 顯示結(jié)果： ip nat pool pp 40 41 netmask ip nat inside source list 1 pool pp overload 描述與分析: 配置了一個地址池內(nèi)地址為40-41的地址池 pp，并將該地址池地址與access-list 1綁定，并采用端口重載方式,show ip na

31、t pool信息分析,NAT的監(jiān)控命令,描述與分析： source：地址信息 rcv_pkts/s：每秒接收的報文數(shù) rcv_bits/s：每秒接收的bit數(shù) send_pkts/s： 每秒平均的發(fā)送報文數(shù) send_bits/s： 每秒平均的發(fā)送bits數(shù) tcp/udp/other： 當前的用戶的TCP/UDP/OTHER的分別的連接數(shù),show local stat信息分析,source rcv_pkts/s rcv_bits/s send_pkts/s send_bits/s tcp/udp/other : 5 42720 2 720 1 /1 /0 129

32、.255.104.104: 22 7140 416 3416580 2164/2615/0 all: 27 49860 418 3417300 4323/2616/0,NAT的調(diào)試命令,課程內(nèi)容,DHCP協(xié)議簡介,當網(wǎng)絡(luò)規(guī)模達到一定程度，它就開始變得難以管理。特別在手工分發(fā)IP地址的網(wǎng)絡(luò)環(huán)境中為了減輕管理員跟蹤記錄手工分配I P地址的負擔。 IETF為此設(shè)計了動態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）。 DHCP采用客戶端/服務(wù)器模式，從一個地址池中把I P地址分配給請求主機，它提供一種機制，允許計算機不必手工參與即可加入新的網(wǎng)絡(luò)和獲取

33、IP地址，這個概念術(shù)語稱作即插即用網(wǎng)絡(luò)（ plug-and-play networking）。 DHCP也能提供其他信息，如網(wǎng)關(guān)IP、DNS服務(wù)器、缺省域和網(wǎng)絡(luò)范圍內(nèi)HOSTS文件的位置。,DHCP消息格式,DHCP的報文類型,DHCPDISCOVER：客戶端用于地址申請的廣播報文。 DHCPOFFER：服務(wù)器端對客戶端DHCPDISCOVER報文的回復(fù)，包含了所提供的IP地址和網(wǎng)絡(luò)配置信息。 DHCPREQUEST：在不同的狀態(tài)下，用途不同： (a) 在請求狀態(tài)時，請求服務(wù)器同意開始使用所提供的IP地址。 (b) 在更新狀態(tài)，請求提供IP地址的服務(wù)器更新IP地址租用時間。 (c) 在重綁定狀

34、態(tài)，廣播請求子網(wǎng)中的服務(wù)器，是否允許繼續(xù)使用當前的IP地址。 DHCPACK：服務(wù)器端對客戶端請求的同意報文。 DHCPNAK：服務(wù)器端對客戶端請求的否定報文?？蛻舳吮仨氈匦麻_始申請。 DHCPRELEASE：客戶端主動終止IP地址的使用，用于釋放IP地址報文。 DHCPDECLINE：由于地址已經(jīng)被使用，客戶端對服務(wù)器提供的地址表示拒絕。 DHCPINFORM：客戶端要求服務(wù)器提供最新的網(wǎng)絡(luò)配置信息。,DHCP簡單工作流程,客戶機通過DHCPDISCOVER廣播提出請求。也可直接請求租用的永久地址。 服務(wù)器收到請求，返回附有一個可用地址的DHCPOFFER報文。 客戶機若收到多個DHCPOF

35、FER報文，選擇第一個的地址或其所請求的那個。 客戶機廣播含有服務(wù)器標識的DHCPREQUEST報文并等待。 服務(wù)器檢查收到的DHCPREQUEST報文，當其中的標識與服務(wù)器相符，發(fā)回DHCPACK報文，如果所請求的I P已被分配或者租期已滿，發(fā)回DHCPNAK報文。 如果客戶機收到DHCPACK報文，即開始使用IP地址。如它收到DHCPNAK，會重新開始整個過程。假如I P有問題，客戶機會發(fā)送一個DHCPDECLINE報文給服務(wù)器并重新開始。,DHCP客戶端變遷,租用更新定時器,重綁定定時器,租用到期定時器,定時器重置為0,DHCP常用配置命令,DHCP配置范例,范例說明：maipu路由器r

36、outerA的f0口通過一臺二層交換機與兩臺PC以及routerB相連，routerA作為DHCP服務(wù)器端，兩臺PC和routerB作為客戶端。其中routerA的f0口ip地址為。,DHCP配置范例,router A配置,router B配置,DHCP的中繼代理,中繼代理：能中繼服務(wù)器和客戶機之間的交互報文。這樣可以使服務(wù)器能處理不在該服務(wù)器所在子網(wǎng)的DHCP報文。這意味著不必為每一個子網(wǎng)設(shè)置一個服務(wù)器，為每一個子網(wǎng)設(shè)置一個服務(wù)器開銷很大 中繼代理工作原理： DHCP客戶機廣播一個消息。 中繼代理把收到報文的接口對應(yīng)的IP地址放到消息的giaddr（中繼IP地址）域中，然后

37、單播至服務(wù)器。 服務(wù)器給中繼代理返回應(yīng)答(通過單播)。應(yīng)答分配的IP地址與giaddr域地址相同。 中繼代理會從giaddr域中I P地址對應(yīng)的接口中廣播應(yīng)答。,/24,租用,DHCP消息,DHCP中繼代理配置范例,范例說明：如圖所示，router A是一個dhcp的服務(wù)器，router B是一個dhcp中繼，router A的f0口地址為，和router B的f0為 ，e0的ip地址為，所以router A的地址池，是一個跨網(wǎng)段的為pc1和pc2分配地址。,DHCP中繼代理配置范例,router A配置,ro

38、uter B配置,DHCP監(jiān)控命令,DHCP調(diào)試命令,課程內(nèi)容,多機冗余熱備協(xié)議介紹,VBRP：Virtual Backup Router Protocol(MP)HSRP: Hot Standby Router Protocol(Cisco) VRRP: Virtual Router Redundancy Protocol(RFC2338)GLBP: Gateway Load Balancing Protocol(Cisco),一個網(wǎng)絡(luò)內(nèi)的主機設(shè)置一條缺省路由，主機發(fā)出的目的地址不在本網(wǎng)段的報文將通過缺省路由發(fā)往網(wǎng)關(guān)路由器。 為了提高網(wǎng)絡(luò)穩(wěn)定性和可靠性，采用多臺機器共同承擔網(wǎng)關(guān)的角色，形成主

39、備關(guān)系或者負載均衡的冗余方式。,VRRP協(xié)議介紹,VRRP：虛擬路由冗余協(xié)議（Virtual Router Redundancy Protocol） 就是為解決多機冗余備份問題而提出的，它為具有多播或廣播能力的局域網(wǎng)（如：以太網(wǎng)）設(shè)計。 VRRP協(xié)議是在CISCO的私有協(xié)議HSRP基礎(chǔ)上進行簡化后指定出來的（RFC2338）。VRRP將局域網(wǎng)的一組路由器組織成一個虛擬的路由器，稱之為一個備份組。這個虛擬的路由器（即備份組）擁有自己的IP地址，網(wǎng)絡(luò)內(nèi)的主機就通過這個虛擬的路由器來與其它網(wǎng)絡(luò)進行通信。 當備份組內(nèi)的MASTER路由器壞掉時，備份組內(nèi)的其它BACKUP路由器將會接替成為新的MASTE

40、R，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機提供路由服務(wù)，從而實現(xiàn)網(wǎng)絡(luò)內(nèi)的主機不間斷地與外部網(wǎng)絡(luò)進行通信。,VRRP相關(guān)概念,Master：VRRP的一個狀態(tài)，活動路由器處于該狀態(tài)，且保證相關(guān)IP報文的轉(zhuǎn)發(fā)。優(yōu)先級高的路由器為master狀態(tài)。 Backup：VRRP的一個狀態(tài)，備份路由器處于該狀態(tài)，且保證在活動路由器失效時，及時切換。 Priority：接口上配置的優(yōu)先級,VRRP報文結(jié)構(gòu),VRRP報文是一種多播IP報文（8），協(xié)議號是112（0 x70） VRID：接口配置的Virtual Router Identifier (VRID)虛擬路由器ID。 Priority：接口上配置的優(yōu)先級。

41、 擁有虛擬IP地址的路由器（VIP等于接口IP的路由器），priority等于255，其余路由器只能為1254，缺省是100。 Count IP Addr：虛擬IP地址的個數(shù)，一般等于1。,VRRP工作流程,虛擬路由器的三種狀態(tài)： 初始化狀態(tài)（Initialize） 活動狀態(tài)（master） 備份狀態(tài)（backup）,VRRP競爭原則,優(yōu)先級為255的接口UP后自動成為Master，不進行競爭； 優(yōu)先級不為255的接口先進入Backup狀態(tài)，設(shè)置dead定時器，在定時器超時前若沒有收到VRRP報文則將自己設(shè)為Master參與競爭； 各個接口通過VRRP報文比較優(yōu)先級，優(yōu)先級大者為Master；

42、優(yōu)先級相同則IP地址大的為Master； 在若一個接口因為UP較早先進入Master狀態(tài)，后來者的優(yōu)先級比其高時搶占其為Master（需配置搶占功能），優(yōu)先級相同時不取代； Master接口DOWN，重新進行競爭； 若VRRP對路由器其他接口進行Track，則相應(yīng)接口狀態(tài)變化會對Master的優(yōu)先級造成影響，引起重新競爭,VRRP相關(guān)命令,VRRP相關(guān)命令,VRRP配置范例,范例說明：如圖所示，局域網(wǎng)里的pc1和pc2通過路由器router-a、router-b與Internet相連。pc1、pc2均配置默認網(wǎng)關(guān)/16。,VRRP配置范例,routerA配置,rout

43、erB配置,VRRP的監(jiān)控命令,VRRP的調(diào)試命令,debug vrrp event信息,VRRP的調(diào)試命令,debug vrrp packet信息,debug vrrp timer信息,VBRP協(xié)議介紹,VBRP：虛擬備份路由協(xié)議（Virtual Backup Router Protocol）,兼容Cisco的HSRP熱備份路由協(xié)議（Hot Standby Router Protocol） VBRP通過使多個路由器能夠發(fā)出關(guān)于單個IP地址的請求來解決多機冗余備份問題 在局域網(wǎng)中的用戶將必須選擇兩個路由器之一為默認網(wǎng)關(guān)。當兩個路由器上的VBRP起作用時，就產(chǎn)生了第三個虛擬路由器并且給它分配一個

44、自己的IP地址，然后使用這個地址作為主機的默認網(wǎng)關(guān)。 在任何一個給定的時間里，一個VBRP路由器是活動的路由器，同時一個VBRP路由器是備份路由器。 活動的路由器對通過虛擬的IP地址的流量起作用。如果活動的路由器變得不可用了，備份的路由器將接管操作。,VBRP相關(guān)概念,Active Router：活動路由器，當前負責(zé)轉(zhuǎn)發(fā)報文的路由器。 Standby Router：備份路由器，主備份路由器。 Standby Group：加入VBRP的一組路由器，它們共同維護一個虛擬的路由器。,VBRP報文結(jié)構(gòu),VBRP報文是一種UDP報文，源和目的端口都是1985，在VBRP中定義了三種類型的報文： Hello報文：由活動路由器