DAY4
使用工具
虚拟机VMware® Workstation 15 Pro
版本15.5.6 build-16341506
EVE-STUDENT-2.0.3-95_JAN_2019.ova镜像模拟器
wireshark抓包软件
学习内容
虚拟网络VLAN的建立与管理
三层交换机的SVI接口
ALC访问控制
文章目录
- DAY4
- 使用工具
- 学习内容
- part1虚拟网络VLAN的建立
- vlan简介:
- access接口和trunk接口主要区别:
- 简单的vlan互通
- part2 不同vlan间通讯
- 1.单臂路由
- 2.使用三层交换机
- part3:ACL访问控制
- 简介
- 示例:
part1虚拟网络VLAN的建立
vlan简介:
VLAN:虚拟的LAN,二层技术,部署在交换机上
作用:通过命令的形式,在交换机上实现广播域的隔离
路由器本身能够隔离广播域,但是园区网中交换机用的多
原因是路由器平均每端口成本高
一个vlan就是一个广播域,分配一个网段
vlan范围0-4095 0 4095保留(配置不上) VLAN1默认就有,所有接口属于VLAN1 vlan 1002-1005也是默认就有
access接口和trunk接口主要区别:
access接口:只能允许一个VLAN的流量
turnk接口:可以允许多个VLAN的流量通过,思科默认放行所有vlan放行(华为不是)
简单的vlan互通
下面创建vlan:
配置指令如下:
SW1:
//添加vlan 10和vlan 20
Switch(config)#vlan 10,20
Switch(config-vlan)#exit
//在e0/0接口下打开access模式并且运行vlan 10
Switch(config)#interface e0/0
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
//在e0/1接口下打开access模式并且运行vlan 20
Switch(config)#interface e0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit
//trunk口的配置
Switch(config)#interface e0/2
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunkSW2:
//添加vlan 10和vlan 20
Switch(config)#vlan 10,20
Switch(config-vlan)#exit
//在e0/0接口下打开access模式并且运行vlan 10
Switch(config)#interface e0/0
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
//在e0/1接口下打开access模式并且运行vlan 20
Switch(config)#interface e0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit
//trunk口的配置
Switch(config)#interface e0/2
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk测试vlan10和vlan20各自的互通情况
在PC1上ping PC3
在PC2上ping PC2
part2 不同vlan间通讯
1.单臂路由
R:
Router(config)#interface e0/0
Router(config-if)#no shutdown
Router(config)#interface e0/0.10//创建子接口
Router(config-subif)#encapsulation dot1Q 10//使子接口识别tag10
Router(config)#interface e0/0.20
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address 192.168.20.254 255.255.255.02.使用三层交换机
配置路由器子接口encap dot1q
交换机e0/0端口设置为trunk模式
Switch(config)#interface vlan 10//创建SVI接口
Switch(config-if)#ip add 192.168.10.254 255.255.255.0
Switch(config-if)#no shutdown
Switch(config)#interface vlan 20//创建SVI接口
Switch(config-if)#ip add 192.168.20.254 255.255.255.0
Switch(config-if)#no shutdownpart3:ACL访问控制
简介
访问控制列表(ACL)是应用在路由器接口的指令列表(即规则)。这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝。
访问控制列表(ACL)的工作原理:
ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。
ACl是一组规则的集合,它应用在路由器的某个接口上。对路由器接口而言,访问控制列表有两个方向。
出:已经过路由器的处理,正离开路由器的数据包。
入:已到达路由器接口的数据包。将被路由器处理。
如果对路由器的某接口应用了ACL,那么路由器对数据包应用该组规则进行顺序匹配,使用匹配即停止的,不匹配则使用默认规则的方式来过滤数据包。
访问控制列表的类型
标准访问控制列表(只能匹配数据的源IP):根据数据包的源IP地址来允许或拒绝数据包,标准访问控制列表的访问控制列表号是1-99。
r2(config)#access-list 1 deny 12.1.1.1 0.0.0.0
r2(config)#interface e0/1
r2(config-if)#ip access-group 1 in //调用(在哪里生效)
r2#show ip access-lists //查看ACL命令访问控制列表(可以删除单条语句):命名访问控制列表允许在标志和扩展访问控制列表中使用名称代替表号
r2(config)#ip access-list standard ccna //创建ACL 名字ccna
r2(config-std-nacl)#deny host 12.1.1.1//host等同于12.1.1.1 0.0.0.0
r2(config-std-nacl)#permit 0.0.0.0 255.255.255.255//放行所有,另外一种写法permit any
r2(config-std-nacl)#int e0/1
r2(config-if)#ip access-group ccna in扩展访问控制列表(能够匹配的字段多):根据数据包的源IP地址,目的IP地址,指定协议,端口和标志,来允许或拒绝数据包。扩展访问控制列表的访问控制列表号是100-199
r2(config)#access-list 100 deny icmp host 12.1.1.1 host 3.3.3.3
r2(config)#access-list 100 permit tcp host 12.1.1.1 host 3.3.3.3
r2(config)#int e0/1
r2(config-if)#ip access-group 100 in示例:
0对应的IP代表精确匹配,1对应的IP代表忽略匹配
例子 1.1.1.1 0.0.0.0代表匹配单个IP
1.1.1.0 0.0.0.255代表匹配1.0-1.255 256个IP
R2上使用扩展访问控制,禁止对3.3.3.3的ping的icmp,开放对3.3.3.3的telnet的tcp和23.1.1.3的ping的icmp
配置指令:
r2(config)#access-list 101 deny icmp host 12.1.1.1 host 3.3.3.3 echo
r2(config)#access-list 101 permit tcp host 12.1.1.1 host 3.3.3.3
r2(config)#access-list 101 permit icmp host 12.1.1.1 host 23.1.1.3 echo
r2(config)#interface e0/1
r2(config-if)#ip access-group 101 in
r2(config-if)#exit结果:
则实验达成。
