进入vlan1虚拟接口视图

转载

风之谷启航 2024-07-27 09:48:35

文章标签 进入vlan1虚拟接口视图 VLAn ACL：访问控制列表 nat ip地址 文章分类 云原生云计算

一、VLAN：虚拟局域网

1、LAN ：Local Area Network
路由器和交换机协同工作，之后将原来的一个广播域逻辑的切分为多个；
配置思路：
（1）交换机上创建vlan
（2）交换机上各个接口划分到对应的vlan中
（3）TRUNK干道----中继干道 SW-SW SW-ROUTER
（4）Vlan间路由-----单臂路由（子接口）、多层交换机

2、创建vlan 0-4095 其中 1-4094可用
1-1005标准vlan
1006-4094扩展vlan — VTP模式必须为透明模式

默认交换机上存在vlan1,1002-1005；且所有的接口默认处于vlan1；

Switch(config)#vlan 2
 Switch(config-vlan)#name classroom1
 Switch(config-vlan)#exit
 Switch(config)#vlan 3
 Switch(config-vlan)#exit
 批量创建和删除vlan
 Switch(config)#vlan 2-10 
 Switch(config)#no vlan 2-10,100-200

3、接口划入vlan
Switch(config)#interface fastEthernet 0/1 进入接口
Switch(config-if)#switchport mode access 先定义接口模式为接入
Switch(config-if)#switchport access vlan 2 再将接口划分到对应的vlan中

批量将接口划入vlan
Switch(config)#interface range fastEthernet 0/3 -4 , fastEthernet 0/10 -20
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 3

4、trunk干道—不属于任何一个vlan，承载所有vlan的流量，标记和识别不同vlan流量的能力；封装的标准为802.1q标准—dot1q
Switch(config)#interface fastEthernet 0/5
Switch(config-if)#switchport mode trunk
Native vlan --本征vlan，所有vlan的流量在经过trunk干道时，均会被标记上编号；唯独native vlan是不会进行标记的；故trunk两端的native必须一致；默认为vlan1；

5、vlan间路由----单臂路由（子接口）
Router(config)#interface fastEthernet 0/0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fastEthernet 0/0.1
Router(config-subif)#encapsulation dot1Q 2
Router(config-subif)#ip address 192.168.1.254 255.255.255.0
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.2
Router(config-subif)#encapsulation dot1Q 3
Router(config-subif)#ip address 192.168.2.254 255.255.255.0

二、ACL：访问控制列表

**
1、访问控制-----在路由器上流量进或出的接口上规则流量；

访问控制：定义ACL列表后，将列表调用于路由器的接口上，当流量通过接口时，进行匹配，匹配成功后按照设定好的动作进行处理即可-----动作–允许、拒绝

匹配规则：至上而下逐一匹配，上条匹配按上条执行，不再查看下条；末尾隐含拒绝所有；
分类：（1）标准ACL–仅关注数据包中的源ip地址
（2）扩展ACL–关注数据包中源、目标ip地址、目标端口号、协议号

2、配置：
标准ACL—编号：由于标准ACL仅关注数据包中的源ip地址，调用时尽量的靠近目标，避免误删；

Router(config)#access-list 1 deny host 192.168.4.2 拒绝单一设备
 Router(config)#access-list 1 deny 192.168.4.0 0.0.0.255 拒绝范围
 Router(config)#access-list 1 deny any 拒绝所有Router(config)#access-list 1 deny host 192.168.4.2
 Router(config)#access-list 1 permit any
 Router(config)#interface fastEthernet 0/0.1
 Router(config-subif)#ip access-group 1 out

命名写法：

Router(config)#ip access-list standard a
 Router(config-std-nacl)#deny host 192.168.4.2
 Router(config-std-nacl)#permit any
 Router(config-std-nacl)#exit

默认+10生成序列号，便于删除和插入

Router(config)#ip access-list standard a
 Router(config-std-nacl)#15 deny host 1.1.1.1
 Router(config-std-nacl)#no 15

扩展ACL配置：扩展ACL关注数据包中的源、目标ip地址，故调用时应该尽量的靠近源，当然不能在源上，因为ACL不能限制本地产生的流量；

r1(config)#access-list 100 deny ip host 192.168.4.2 host 192.168.1.2

源目标

192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255 范围
 r1(config)#access-list 100 permit ip any any
 r1(config)#interface fastEthernet 0/0
 r1(config-if)#ip access-group 100 inr1(config)#access-list 100 deny ip host 192.168.4.2 host 192.168.1.2
 r1(config)#access-list 100 permit ip any any
 r1(config)#interface fastEthernet 0/0
 r1(config-if)#ip access-group 100 in

命名写法

Router(config)#ip access-list extended a
 Router(config-ext-nacl)#deny host 192.168.4.2
 Router(config-ext nacl)#permit any
 Router(config-ext -nacl)#exit

关注目标端口号：
ICMP–ping 跨层封装协议，不存在端口号
Telnet–远程登录基于TCP目标23号端口
设备开启远程登录

r1(config)#username ccna privilege 15 secret cisco123
 r1(config)#line vty 0 4
 r1(config-line)#login local

规则一个设备到另一个设备的目标端口

r1(config)#access-list 101 deny tcp host 1.1.1.1 host 2.2.2.2 eq 23 远程登录被拒绝
 r1(config)#access-list 101 permit ip any anyr1(config)#access-list 102 deny icmp host 1.1.1.1 host 2.2.2.2 拒绝ping
 r1(config)#access-list 102 permit ip any any

单向PING 后加echo

3、NAT：网络地址转换公有ip和私有ip间互换
解决IPv4地址不够用的问题
拖累了IPv6的发展
内部本地、全局
外部本地、全局
私有公有
在边界路由器上，流量从内部去往外部时，将数据包中的源ip地址进行修改（内部本地修改为内部全局）；流量从外部进入内部时，修改目标ip地址（外部全局修改为外部本地）

一对一：（静态）

r2(config)#ip nat inside source static 192.168.1.2 12.1.1.2

本地全局

一对多：（动态）PAT --端口地址转换
将多个私有ip地址转换为同一公有ip地址，依赖数据包中的端口号来进行区分；
先使用ACL定义感兴趣流量----哪些私有ip地址被转换

r2(config)#access-list 1 permit 192.168.1.0 0.0.0.255
 r2(config)#access-list 1 permit 192.168.2.0 0.0.0.255
 r2(config)#ip nat inside source list 1 interface fastEthernet 1/0 overload

本地全局负载

多对多：（静态或动态）

r2(config)#access-list 2 permit 192.168.0.0 0.0.255.255 定义内部本地地址范围
 r2(config)#ip nat pool xxx 12.1.1.2 12.1.1.10 netmask 255.255.255.0 定义内部全局地址范围r2(config)#ip nat inside source list 2 pool xxx overload 配置多对多NAT

在配置多对多NAT时，是否携带overload将决定为静态或动态多对多；
不携带—静态多对多最先来的边界路由器上的9个私有ip地址与这9个公有ip地址形成一对一；
携带----动态多对多循环占用每个公有ip地址进行PAT；

端口映射：

r2(config)#ip nat inside source static tcp 192.168.1.100 80 12.1.1.2 80

本地全局
通过外部访问12.1.1.2，同时目标端口为80时，目标ip地址就一定被转换为192.168.1.100，端口号80；
r2(config)#ip nat inside source static tcp 192.168.1.200 80 12.1.1.2 8080
通过外部访问12.1.1.2同时目标端口为8080时，目标ip地址就一定被转换为192.168.1.200，端口号80；
切记：一旦进行nat配置，就必须定义边界路由器上各个接口的方向

r2(config)#interface fastEthernet 1/0
 r2(config-if)#ip nat outside
 r2(config-if)#exit
 r2(config)#interface fastEthernet 0/0
 r2(config-if)#ip nat inside
 r2(config-if)#exit
 r2(config)#interface fastEthernet 0/1
 =r2(config-if)#ip nat inside

本文章为转载内容，我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题，欢迎原作者联系我们进行内容更正或删除文章。