网络基础-4(电力公司信息网培训课件ACL+VRRP).pptx

一、ACL访问控制原理 二、设备远程登录配置及访问限制 三、链路聚合技术 四、VRRP协议原理;要增强网络安全性，网络设备需要具备控制某些访问或某些数据的能力。 ACL包过滤是一种被广泛使用的网络安全技术。它使用ACL来实现数据识别，并决定是转发还是丢弃这些数据包。 由ACL定义的报文匹配规则，还可以被其它需要对数据进行区分的场合引用。 ;ACL概述;;入站包过滤工作流程;出站包过滤工作流程;通配符掩码;通配符掩码的应用示例;ACL的标识;基本ACL;高级ACL;二层ACL与用户自定义ACL;ACL包过滤配置任务;启动包过滤防火墙功能;配置基本ACL;配置高级ACL;配置二层ACL;在接口上应用ACL;ACL包过滤显示与调试;ACL规则的匹配顺序;不同匹配顺序导致结果不同;在网络中的正确位置配置ACL包过滤;;基本ACL部署位置示例;一、ACL访问控制原理 二、设备SSH登录配置及访问限制 三、链路聚合技术 四、VRRP协议原理;SSH 是 Secure Shell（安全外壳）的简称，是一种在不安全的网络环境中，通过加密机制和认证机制，实现安全的远程访问以及文件传输等业务的网络安全协议。 SSH 协议采用了典型的客户端/服务器模式，并基于 TCP 协议协商建立用于保护数据传输的会话通道。SSH 协议有两个版本，SSH1.x 和 SSH2.0（简称 SSH1 和 SSH2） ，两者互不兼容。SSH2在性能和安全性方面比 SSH1 有所提高。 设备既可以支持 SSH 服务器功能，接受多个 SSH 客户端的连接，也可以支持 SSH 客户端功能，允许用户通过设备与远程 SSH 服务器建立 SSH 连接。;一、ACL访问控制原理 二、设备SSH登录配置及访问限制 三、链路聚合技术 四、VRRP协议原理;以太网链路聚合通过将多条以太网物理链路捆绑在一起形成一条以太网逻辑链路，实现增加链路带宽的目的，同时这些捆绑在一起的链路通过相互动态备份，可以有效地提高链路的可靠性。 ;如图所示， Device A与Device B之间通过三条以太网物理链路相连， 将这三条链路捆绑在一起，就成为了一条逻辑链路Link aggregation 1。这条逻辑链路的带宽最大可等于三条以太网物理链路的带宽总和， 增加了链路的带宽； 同时， 这三条以太网物理链路相互备份， 当其中某条物理链路down，还可以通过其他两条物理链路转发报文。;链路捆绑是通过接口捆绑实现的，多个以太网接口捆绑在一起后形成一个聚合组，而这些被捆绑在一起的以太网接口就称为该聚合组的成员端口。每个聚合组唯一对应着一个逻辑接口，称为聚合接口。聚合组与聚合接口的编号是相同的，例如聚合组 1 对应于聚合接口 1。聚合组/聚合接口可以分为以下两种类型： 二层聚合组/二层聚合接口：二层聚合组的成员端口全部为二层以太网接口，其对应的聚合接口称为二层聚合接口。 三层聚合组/三层聚合接口：三层聚合组的成员端口全部为三层以太网接口，其对应的聚合接口称为三层聚合接口。 聚合接口的速率和双工模式取决于对应聚合组内的选中端口，成员端口的状态。 聚合接口的速率等于所有选中端口的速率之和，聚合接口的双工模式则与选中端口的双工模式相同。;链路聚合分为静态聚合和动态聚合两种模式，它们各自的优点如下所示： 静态聚合模式： 一旦配置好后， 端口的选中/非选中状态就不会受网络环境的影响， 比较稳定。 动态聚合模式：能够根据对端和本端的信息调整端口的选中/非选中状态，比较灵活。 处于静态聚合模式下的聚合组称为静态聚合组，处于动态聚合模式下的聚合组称为动态聚合组。;一、ACL访问控制原理 二、设备SSH登录配置及访问限制 三、链路聚合技术 四、VRRP协议原理;通常，同一网段内的所有主机上都存在一个相同的默认网关。主机发往其它网段的报文将通过默认网关进行转发，从而实现主机与外部网络的通信。如图所示，当默认网关发生故障时，本网段内所有主机将无法与外部网络通信。;单一默认网关为用户的配置操作提供了方便，但是对网关设备提出了很高的稳定性要求。增加网关是提高链路可靠性的常见方法，此时如何在多个出口之间进行选路就成为需要解决的问题。;VRRP协议简介-3;标准协议模式：基于RFC实现的VRRP，即VRRP标准协议模式 负载均衡模式：在标准协议模式的基础上进行了扩展，实现了负载均衡功能的模式