CCNPII学习笔记10（性能优化和安全）

最新推荐文章于 2024-02-12 00:15:00 发布

weixin_33724570

最新推荐文章于 2024-02-12 00:15:00 发布

阅读量198 java 移动开发操作系统

原文链接：http://blog.51cto.com/struggle/108381

一、 ISDN 综合业务数字网（ Integrated Service Digital Network ）

1. 特性：

① 呼叫连接速度快

② 信息传输质量高

③ ISDN BRI 提供 2 个 B 信道和 1 个 D 信道

//B 信道：用于传输数据，每个信道带宽 64Kbit/s

//D 信道：用于传输信令，速率 16Kbit/s

④ 价格低

2. 应用场合

① 网间互联

② 专线备份（主线断线，自动拨号，主动连接，自动断开）

3. 接入方式

连接路由器的 bri 端口

4.Dial Demand Routing 按需路由拨号

特性：需要连接时，自动连接，需要断开时，自动断开

5.DDR 的配置

① 配置 ISDN 交换机的类型

(config)#isdn switch-type 类型（运营商提供）

② 配置信道 ID （中国区域不用设置）

(config)#int bri 端口

(config-if)#isdn spid1 信道 ID

(config)#isdn spid2 信号 ID

// 信道 ID 由运营商提供

③ 配置路由（一般为静态）

④ 定义感兴趣信息（能导致路由器拨号的信息）

(config)#dialer-list 表号 protocol 协议 permit/deny/list ACL 号

// 有 list 才写 ACL 号

// 表号： 1-10 把感兴趣信息写在表中

// 协议： IP,IPX

例：

(config)#dialer-list 1 protocol ip permit

(config)#dialer-list 2 protocol ip list 100

(config)#access-list 100 permit tcp any 10.1.1.2 0.0.0.0 eq ftp [log]

允许任何地址访问 10.1.1.2 的 FTP

(config-if)#dialer-group 表号

// 把表挂到端口上

⑤ 指定拨打的电话号码

(config-if)#dialer string 号码

⑥ 定义断开机制

(config-if)#dialer idle-timeout 秒

⑦ 端口常规配置

(config-if)#ip addr ip 地址掩码

(config-if)#encap ppp

(config-if)#no shut

ISDN 实验

ISDN switch-type basic-in

A(config)#dialer-list 1 protocol ip permit

A(config)#int bri0

A(config-if)#isdn spid1 32177820010100

A(config-if)#dialer-group 1

A(config-if)#dialer string 7782001

A(config-if)#dialer idle-timeout 60

A(config-if)#ip add 202.110.100.1 255.255.255.0

A(config-if)#encap ppp

A(config-if)#no shut

A(config)#router rip

A(config-router)#ver 2

A(config-router)#net 192.168.10.0

A(config-router)#net 202.110.100.0

A(config-router)#exit

A(config)#int e0

A(config-if)#ip add 192.168.10.1 255.255.255.0

A(config-if)#no shut

B(config)#dialer-list 1 protocol ip permit

B(config)#int bri0

B(config-if)#isdn spid1 32177820020100

B(config-if)#dialer-group 1

B(config-if)#dialer string 7782002

B(config-if)#dialer idle-time 60

B(config-if)#ip add 202.110.100.2 255.255.255.0

B(config-if)#encap ppp

B(config-if)#no shut

B(config)#router rip

B(config-router)#ver 2

B(config-router)#net 192.168.20.0

B(config-router)#net 202.110.100.0

B(config-router)#exit

B(config)#int e0

B(config-if)#ip add 192.168.20.1 255.255.255.0

B(config-if)#no shut

二、 ADSL （ Asymmetric DSL ）

在电话线中按频宽区分电话线路

ADSLmodem 属于 ATM 产品

ATM 发送信元，以太网发送帧， modem 负责转换信号

ADSL 接入设备：

① Cisco 827 宽带路由器，大约 2000-3000

② Cisco1700 路由器（模块化） 4000 左右

A 配制 wic-1NET 模块，广域网模块， 400 左右，属于以太网器件

B 配制 ADSL 模块， 900 左右， ATM 器件

③ Cisco2800 路由器，模块化设备， 12000 左右

④ modem+switch

⑤ 在 modem 和 switch 之间加代理服务器，例如： sygate 代理软件

⑥ 做冗余负载均衡

ADSL 配置：

协议： PPPoE/PPPoA( 接入 ATM 网络 )

步骤：

1. 配置 VPDN （虚拟私有拨号网络）

(config)#vpdn enable

// 启用 vpdn 功能

(config)#vpdn-group pppoe

// 建立 VPDN 组，可拨的号码组

(config-vpdn)#request-dialin

// 拨入

(config-vpdn)#protocol pppoe

// 指定协议，建立 pppoe 会话

2. 配置 ATM 端口（外线接 ADSL 模块）

(config)#interface atm 模块号 / 端口号

(config-if-atm)#vpc 虚拟路径标识 / 虚拟通道标识（运营商提供）

(config-if-atm-vc)#pppoe-client dial-pool-number 池号

// 指定 ATM 对应的池号，为了和“逻辑拨号端口”关联

3. 配置拨号接口

(config)#int dialer0

(config-if)#ip address negotiated

// 协商意思是地址动态获取

(config-if)#encap ppp

(config-if)#dialer pool 池号（与上面池号一致）

(config-if)#ip mtu 1492

// 指定最大传输单元 1500=1492+8 字节信元封装

(config-if)#ppp authentication chap callin 拨入

// 指定 PPP 的验证

(config-if)#ppp chap hostname 用户名

(config-if)#ppp chap password 密码

4. 配置 NAT （私有地址转换成公有地址）

NAT 分类：

① 静态 NAT ：一个私有 IP 转换成一个公有 IP

应用公网服务器

配置：

A 定义转换关系：

(config)#ip nat inside soure static 私有 IP 公有 IP

B 指定内网端口

(config-if)#ip nat inside

C 指定外网端口

(config-if)#ip nat outside

② 动态多对一转换 PAT ：通过端口区分转换关系

192.168.0.1	202.110.100.1	1030
192.168.0.2	202.110.100.1	1031

返回的数据根据数据包中 NAT 表端口对应关系区分转换的 IP

配置：

A 定义可以 PAT 的私有 IP

(config)#access-list 表号 permit 私有 IP 匹配码

B 指定 PAT 的目标地址

(config)#ip nat inside soure list 表号 interface 外网端口 overload

C 指定内网端口

(config-if)#ip nat inside

D 指定外网端口

(config-if)#ip nat outside

③ 动态多对多转换 PAT

A 定义可以 PAT 的私有 IP

(config)#access-list 表号 permit 私有 IP 匹配码

B 指定 PAT 的目标地址

(config)#ip nat pool 池名起始公有 IP 结束公有 IP network 掩码

(config)#ip nat inside soure list 表号 pool 池名 overload

C 指定内网端口

(config-if)#ip nat inside

D 指定外网端口

(config-if)#ip nat outside

E 配置默认路由

(config)#ip route 0.0.0.0 0.0.0.0 dialer0

查看 NAT 表： show ip nat translations

三、 Etherchannel 以太通道

1. 以太通道

把多条链路聚合为一条逻辑链路来提高数据传输速率，以提供高达 8 条链路的聚合，可以提供 10Mbit/s — 160Gbit/s 的速率

2. 应用场合

用于交换机，路由器和服务器之间提供容错的高速链路

// 速率为 1Gbit/s 的链路，聚合后因全双工双向传输后，带宽为 4Gbit/s

3. 配置原则

① 一个以太通道的所有端口必须在同一 VLAN 中或都配置为中继端口

② 不要把以太通道内的端口配置为动态 VLAN 端口（基本不用动态 VLAN ）

③ 不要把以太通道内的端口配置为“交换端口分析器的目的端口（ SPAN ）”

// 交换端口分析器：例如防火墙和***检测

④ 如果是中继端口，中继端口模式必须相同

⑤ 所有端口的速率和双工模式必须相同

4.EtherChannel 负载均衡策略

① 只基于源（ MAC 、 IP 、端口）

② 只基于目的（ MAC 、 IP 、端口）

③ 同时基于源和目的（ MAC 、 IP 、端口）

5. 以太通道协议

⑴ 端口聚合协议（ PAgP ）

① CISCO 私有协议

② 动态的将“近似配置”的端口组合到一个逻辑链路中

// 近似配置：相同的速率，双工模式，天然 VLAN ， VLAN 范围，中继状态和类型

PAgP 的模式：

On ：强制端口进入通道，而不需要 PAgP ，必须两端端口都是 on 模式，才能存在可用的以太通道

Off ：阻止端口进入通道

Auto ：将端口置于被动协商状态，默认设置

Desirable ：将端口置于主动协商状态

⑵ 链路聚合控制协议（ LACP ）

① 通用技术

② 将尽可能多的兼容端口组合到一个逻辑链路中，直到达到最大数（ 8 个端口）

LACP 模式：

On ：强制端口进入通道

Off ：阻止端口进入通道

Passive ：将端口置于被动协商状态 , 默认设置

Active ：将端口置于主动协商状态

6.EtherChannel 配置

① 建立以太通道

(config)#interface port-channel 通道号（ 1-6 ）

(config-if)#ip address ip 地址掩码

② 配置物理端口（需要另配端口速率，双工， vlan ，中继等）

(config-if)#channel-protocol pagp/lacp

// 指定通道协议

(config-if)#channel-group 通道号 mode on/off/auto/desirable //PAgP

或者

(config-if)#channel-group 通道号 mode on/off/active/passive //LACP

③ 配置负载均衡策略（可选）

(config)#port-channelload-balance{src-mac|dst-mac|src-dst-mac|src-ip|dst-ip|src-dst-ip|src-port|dst-port|src-dst-port}

// 显示以太通道的负载均衡策略： show etherchannel load-balance

// 显示以太通道的配置： show etherchannel 通道号 port-channel

笔记职场 CCNP 思科技术

网络安全入门到实战，让SQLmap子弹飞一会儿

9本网络安全实战书籍精华

共23章 | simeon2005

￥51.00 829人订阅

Web网站安全评估分析及防御

企业级网安运维

共30章 | simeon2005

￥51.00 407人订阅

负载均衡高手炼成记

高并发架构之路

共15章 | sery

￥51.00 507人订阅

扫一扫,领取大礼包

struggle1=1

转载于:https://blog.51cto.com/struggle/108381