diff --git a/B. 第二阶段/周考月考/0904周考.md b/B. 第二阶段/周考月考/0904周考.md new file mode 100644 index 0000000..e69de29 diff --git a/B. 第二阶段/课后作业/0904.md b/B. 第二阶段/课后作业/0904.md new file mode 100644 index 0000000..154b61e --- /dev/null +++ b/B. 第二阶段/课后作业/0904.md @@ -0,0 +1,58 @@ +# 2024.09.04_课后作业 + + + +### 1.简述VRRP抢占功能的作用 + +VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)是一种网络协议,用于实现路由器的高可用性。VRRP可以让多台路由器共同构成一个虚拟路由器,在主备模式下工作,以保证当主路由器出现故障时,能够快速由备用路由器接管服务,从而保证网络的不间断运行。 + +VRRP抢占功能的作用如下: + +1. **提高网络可靠性**:当主路由器恢复正常后,如果没有抢占功能,它将不会自动恢复成主状态,这可能会导致网络资源的浪费。而抢占功能允许主路由器在恢复后重新获得控制权,从而充分利用所有设备的处理能力。 +2. **快速角色切换**:在主路由器故障后,如果备用路由器拥有更高的优先级,且开启了抢占功能,那么一旦原主路由器恢复,备用路由器会立即将控制权交还给原主路由器,实现快速的角色切换。 +3. **优化资源利用**:抢占功能可以确保总是优先级最高的路由器担任主角色,这样可以根据路由器的性能和配置来合理分配工作负载,优化网络资源的利用。 +4. **维护网络策略一致性**:某些网络策略可能需要在特定的路由器上执行,抢占功能可以确保这些策略在主路由器恢复后能够得到继续执行,从而保持网络策略的一致性。 +5. **简化网络管理**:抢占功能可以减少网络管理员的干预,因为路由器可以根据预设的优先级自动进行角色切换,减少了手动干预的需要。 + + + +### 2.简述 ACL 的工作原理 + +ACL(Access Control List,访问控制列表)是一种用于控制网络流量的安全策略,它可以根据预设的规则来允许或拒绝通过网络设备的数据包。以下是ACL的工作原理简述: + +1. **定义规则**:首先,网络管理员会根据网络安全策略的需要,定义一系列的规则。这些规则基于各种标准,如源IP地址、目的IP地址、端口号、协议类型等。 +2. **配置ACL**:将定义好的规则配置到网络设备(如路由器或交换机)上。在配置过程中,管理员会指定ACL应用到哪个接口(入站或出站),以及规则是应用于数据包的流入还是流出。 +3. **数据包检查**:当数据包到达网络设备时,设备会根据ACL的配置对数据包进行检查。检查通常在数据包处理过程的早期进行,以确保安全策略得到有效执行。 +4. **匹配规则**: + - **顺序匹配**:设备按照ACL中规则的顺序,从第一条规则开始检查,直到找到匹配的规则。一旦找到匹配的规则,设备将不再检查后续的规则。 + - **规则条件**:每条规则都包含一个或多个条件,如源地址、目的地址、端口号等。数据包必须满足规则中所有条件才算匹配。 +5. **执行动作**:一旦数据包与某条规则匹配,设备将执行该规则中定义的动作,这个动作可以是“允许”(permit)或“拒绝”(deny)。 + - **允许(Permit)**:如果规则的动作是“允许”,则数据包将继续转发。 + - **拒绝(Deny)**:如果规则的动作是“拒绝”,则数据包将被丢弃,并且通常不会发送任何通知给源主机。 +6. **默认规则**:如果数据包没有与任何规则匹配,那么将根据ACL的默认规则来处理。默认规则通常是“隐含”的,即在ACL中没有明确写出,它可以是“允许”或“拒绝”,这取决于ACL的类型(标准ACL通常默认允许,而扩展ACL通常默认拒绝)。 + + + +### 3.简述NAT的工作原理 + +NAT(Network Address Translation,网络地址转换)是一种在IP网络中使用的地址转换技术,它允许一个或多个私有地址空间内的设备通过一个或多个共有IP地址与外部网络(如互联网)进行通信。以下是NAT的工作原理简述: + +1. **私有地址与公有地址**: + - 私有地址:在内部网络(如家庭、办公室局域网)中使用的IP地址,这些地址是根据RFC 1918定义的,不在互联网上公开路由。 + - 公有地址:在互联网上唯一且可路由的IP地址。 +2. **数据包的转换**: + - 当内部网络中的设备(使用私有地址)发送数据包到外部网络时,数据包首先到达运行NAT的设备(如路由器)。 + - NAT设备检查数据包的源IP地址,并将其替换为NAT设备的公有IP地址。这个过程称为“源NAT”(Source NAT,SNAT)。 +3. **端口号映射**: + - 为了能够将多个内部设备的通信复用到单个公有IP地址上,NAT设备还会修改数据包的源端口号,创建一个端口号映射表。 + - 映射表记录了内部设备的私有IP地址和端口号与NAT设备的公有IP地址和端口号之间的对应关系。 +4. **数据包转发**: + - 经过源地址和端口号转换的数据包现在有了可路由的公有IP地址,可以被发送到互联网上的目的地。 +5. **返回数据包的处理**: + - 当外部网络设备响应时,数据包将发送到NAT设备的公有IP地址。 + - NAT设备检查数据包的目的端口号,并根据端口号映射表将目的IP地址和端口号转换回相应的内部设备的私有IP地址和端口号。 + - 然后将数据包转发到内部网络中的正确设备。 +6. **NAT的类型**: + - **静态NAT**:一对一的映射,将内部网络的私有IP地址永久映射到公有IP地址。 + - **动态NAT**:从有限的公有IP地址池中动态分配地址给内部网络设备。 + - **端口地址转换(PAT)**:也称为NAT过载,允许多个内部设备共享一个公有IP地址,通过端口号区分不同的会话。 \ No newline at end of file