解析思科IOS操作顺序-----包被如何处理-----不是我解析的 哈哈-阿里云开发者社区

开发者社区> 安全> 正文

解析思科IOS操作顺序-----包被如何处理-----不是我解析的 哈哈

简介:

解析思科IOS操作顺序

在理解路由器中的通信是如何传输的以及如何控制这些通信时,首先熟悉Cisco IOS的操作顺序是至关重要的。我们将带你学习两个顺序不同的操作表:NAT操作顺序和QoS操作顺序。

Cisco IOS操作顺序在路由器如何处理通信中扮演着一个重要的角色。操作顺序根据不同路由器特性的配置告诉路由器如何处理通信。

如果只使用路由器最基本的特性,我们很可能永远不会关注操作顺序。然而,在配置诸如网络地址转换(NAT),服务质量(QoS)和加密等特性时,为了成功配置这些特性,首先需要理解操作顺序。

使用Cisco IOS实际包括两种不同的操作顺序表:NAT操作顺序和QoS操作顺序。让我们逐一进行了解。

NAT操作顺序
在理解NAT操作顺序列表之前,首先需要理解NAT本身。其最基本的形式是,NAT将一个IP地址转换为另一个IP地址。

当路由器使用该操作顺序时,它将入站的包从列表的最上面向下移动。如果数据包来自NAT指定的内部接口,它使用由内向外的列表。如果数据包来自一个由外向内的接口,它使用由外向内操作顺序的列表。

这是由内向外列表的操作顺序:


如果是IPSec,检测输入访问列表

加密-Cisco加密技术(CET)或IPSec

检测输入访问列表

检测输入率限制

输入审计

路由策略

路由

重定向到Web缓冲

由内向外NAT(本地到外部的转换)

密码系统(检查并标识为加密)

检测输出访问列表

检查基于上下文的访问控制(CBAC)

TCP截取

加密
这是由外向内操作顺序的列表:


如果是IPSec,检测输入访问列表

加密-Cisco加密技术(CET)或IPSec

检测输入访问列表

检测输入率限制

输入审计

由外向内NAT(外部到本地的转换)

路由策略

路由

重定向到Web缓冲

密码系统(检查并标识为加密)

检测输出访问列表

检查CBAC

TCP截取

加密
我们假设收到一个来自由外向内的接口的IP包。在解析这个包时,我们希望使用一个访问控制列表阻拦来自某个IP地址的通信。应该将哪个IP地址放入ACL中,是包解析之前的IP地址(例如公网的IP地址),还是包解析后的IP地址呢(例如私有地址)?

通过查看操作顺序,可以确定“由外向内NAT”操作发生在“检测输入访问列表”任务之后。因此,会在ACL中使用公网IP地址,因为数据包没有通过NAT。

另一方面,如果希望为通过NAT的通信建立一个静态路由该怎么办?应该使用公网(外部的)还是私有(内部的)IP地址呢?在这种情况下,因为当通信开始“路由”操作时已经通过了NAT,所以你应当使用私有(内部的)IP地址。

QoS操作顺序
服务质量(QoS)操作顺序是另一个需要了解的重要列表。

这里是入站通信到路由器的操作顺序:


通过边界网关协议(BGP)或QPPB的QoS策略传播

输入公共分类

输入ACL

输入标识-基于分类的标识或承诺接入速率(CAR)

输入策略-通过一个基于分类的策略器或CAR

IPSec

Cisco快速转发(CEF)或快速交换
这里是从路由器出站通信的操作顺序:


CEF或快速交换

输出公共分类

输出ACL

输出标识

输出策略-通过一个基于分类的策略器或CAR

排队-基于类的加权公平队列(CBWFQ)和低延迟队列(LLQ)-以及加权随机早期检测(WRED)
在理解路由器中的通信是如何传输的以及如何控制这些通信时,首先熟悉Cisco IOS的操作顺序是至关重要的。根据经验,在使用任何NAT,密码系统,ACL,路由,或列表中其它特性的结合体时,NAT操作顺序是最重要的。

如果没有对操作顺序正确理解,就不得不需要花费很长时间来查找并处理一个基本的NAT和ACL结合的问题。所以理解操作顺序确实是至关重要。



本文转自q狼的诱惑 51CTO博客,原文链接:http://blog.51cto.com/liangrui/520806,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章