VLAN
LAN-------局域网
MAN-----城域网
WAN------广域网
VLAN里面的LAN指的是局域网,代表的是一个广播域。
VLAN-----------虚拟局域网:交换机和路由器协同工作,将原来的一个广播域,逻辑上分割成多个虚拟的广播域。
判断是否在一个广播域:是否在同一个洪泛范围,Ping一下即可。
VLAN配置
1.创建VLAN
<Huawei>display vlan------查看VLAN
IEEE------802.1Q
VID------12位二进制构成(0-4095)0和4095保留 (1-4094)
[Huawei]vlan 2 ----创建VLAN
[Huawei]vlan 3
[Huawei]vlan batch 2 to 10 -----批量创建VLAN
[Huawei]undo vlan batch 4 to 10 ----- 批量删除VLAN2.将接口划分到对应的VLAN
VID配置映射到交换机的接口上,实现VLAN的划分--------物理VLAN或者一层VLAN
VID配置映射到数据帧中的MAC地址,实现VLAN的划分--------二层VLAN
数据帧中类型字段标记的是上层所使用的协议,我们可以将协议类型和VID配置映射------三层VLAN
交换机加入VLAN后的转发原理:数据通过接口来到交换机,交换机先看数据帧中的源MAC地址,将其和接口的映射关系记录在MAC地址表中,顺便记录接口对应的VID到MAC地址表中。之后看目标MAC,若目标MAC在MAC地址表中有记录且对应的VID和源MAC对应的接口的VID相同,则进行单播;否则,将进行泛洪,泛洪范围除了进入的接口外,所有和进入的接口具有相同的VID的接口。-------从逻辑上将一个广播域分割称为多个虚拟广播域。
给数据帧上加标记需要添加新的字段。标签长度为4个字节------TAG。里面包含12位VID信息。
我们将携带TAG的帧称之为802.1Q,tagged帧。不包括tag的帧称之为untagged帧。
我们将交换机和电脑之间的链路称之为ACCESS链路,ACCESS链路只能通过untagged的帧,且所有的帧属于同一个VLAN;我们将交换机和交换机之间的链路称之为Trunk链路(trunk干道),trunk干道允许通过802.1Q帧,且这些帧可以属于多个VLAN。
[Huawei]int g 0/0/1 -----进入接口
[Huawei-GigabitEthernet0/0/1]port link-type access -----选择链路类型
[Huawei-GigabitEthernet0/0/1]port default vlan 2 ----定义允许通过的VLAN
[Huawei]port-group group-member g 0/0/3 to g 0/0/4---创建接口组
[Huawei-port-group]port link-type access
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-port-group]port default vlan 3
[Huawei-GigabitEthernet0/0/3]port default vlan 3
[Huawei-GigabitEthernet0/0/4]port default vlan 33.配置trunk干道(SW—SW)(SW–R)
[Huawei]int g 0/0/5
[Huawei-GigabitEthernet0/0/5]port link-type trunk
[Huawei-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all ----允许通过所有的VLAN4.VLAN间路由(单臂路由)
子接口:将一个物理接口
三种虚拟接口(子接口、环回、空接口)
[r1]interface GigabitEthernet 0/0/0.1 -----创建子接口
[r1-GigabitEthernet0/0/0.1]ip address 192.168.1.1 24
[r1]interface GigabitEthernet 0/0/0.2 ------创建子接口
[r1-GigabitEthernet0/0/0.2]ip address 192.168.2.1 24
[r1]interface GigabitEthernet 0/0/0.2
[r1-GigabitEthernet0/0/0.2]dot1q termination vid 3------定义子接口管理的VLAN
[r1-GigabitEthernet0/0/0.2]arp broadcast enable--------开启ARP广播一种策略
ACL------访问控制链表
ACL的作用:
1.访问控制:在路由器流量流入或者流出的接口上,匹配流量,然后执行相应的动作。
(permit--------允许,deny------拒绝)。
2.抓取感兴趣流:ACL需要和其他服务结合,ACL负责按照对应的规则匹配流量,而其他的服务对匹配到的流量执行相应的动作。比如:流量控制:Qos----服务质量技术。
ACL的匹配规则:自上而下逐一匹配,匹配上后就按照对应的动作执行,不再向下匹配。
如果设备是思科的体系:在访问列表的末尾会隐含一条拒绝所有的规则。
如果设备是华为的体系:在访问列表的末尾会隐含一条允许所有的规则。
ACL的分类:
基本ACL: 仅关注数据包的源Ip。
高级ACL:不仅关注源IP,还需要关注目标ip以及协议和端口号。
二层ACL:MAC和源MAC
用户自定义ACL:
需求一:PC1可以访问3.0网段,PC2不能访问
基本ACL的位置规则:由于基本ACL仅关注数据包的源ip地址,故配置调用的时候应该尽量靠近目标,避免对其他地方访问误伤。
1.创建ACL
[r2]acl 2000
[r2-acl-basic-2000]
INTEGER<2000-2999> Basic access-list (add to current using rules)---基本ACL
INTEGER<3000-3999> Advanced access-list(add to current using rules)---高级ACL
INTEGER<4000-4999> MAC address access-list(add to current using rules)---二层ACL
INTEGER<10000-10999> Apply MPLS ACL---用户自定义ACL
2.添加规则
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0
通配符和反掩码的区别:通配符中0和1可以穿插使用:0.255.0.255
[r2-acl-basic-2000]display acl 2000
Basic ACL 2000, 2 rules
ACL's step is 5
rule 5 deny (0 times matched)
rule 10 deny source 192.168.1.3 0 (0 times matched)
华为ACL规则的编号默认从5开始,并且以5为步调自动添加
[r2-acl-basic-2000]rule 6 deny source 192.168.1.2 0.0.0.0 ---按序号添加规则
[r2-acl-basic-2000]undo rule 6 -----按序号删除规则
3.在接口上调用ACL
[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
一个接口的一个方向上只能调用一张ACL列表需求二:PC1可以访问PC3,但是不能访问PC4,PC2可以访问3.0网段
高级ACL的位置规则:因为他既关注源IP又关注目标IP,所以位置尽量靠近源。
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.3
0.0.0.0 ---高级ACL的规则
[r1-Ethernet0/0/0]traffic-filter inbound acl 3000-----调用ACL需求三:PC1可以ping通R2,但是不能talnetR2
talnet ------远程登陆协议
路由器的管理方式:带内管理和带外管理
带外管理:通过consle口管理路由器
通过AUX口管理路由器
带内管理:通过talnet管理路由器;------1.登陆设备和被登录设备之间必须可达;2.被登录设备必须开启talnet服务。(第三天的内容)
通过web管理路由器;
通过SNMP管理路由器;
talnet-----C/S----通信是基于TCP 23 通信
开启talnet服务:
[r2]aaa ------进入aaa服务(一个存储和管理账号的地方)
[r2-aaa]
[r2-aaa]local-user longlong privilege level 15 password cipher 123456
Info: Add a new user. ----创建一个用户
[r2-aaa]local-user longlong service-type telnet ----定义用户类型
[r2]user-interface vty 0 4 -----同时开启 0--4 5个登录端口
[r2-ui-vty0-4]authentication-mode aaa -----设置认证模式
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2
.2 0.0.0.0 destination-port eq 23
[r1-Ethernet0/0/0]traffic-filter inbound acl 3001NAT-----网络地址转换
在我们的IP地址空间中,A,B,C三类IP地址,各拿出一部分的IP地址作为私网IP地址(私有IP地址),其余的IP地址称之为公网IP地址(共有IP地址)。
A类:10.0.0.0 – 10.255.255.255(255.0.0.0)(1段A类地址)
B类:172.16.0.0—172.31.255.255(16段B类地址)
C类:192.168.0.0—192.168.255.255 (256段C类地址)
私有IP地址具有可复用性。私网IP地址不能在互联网中使用,我们习惯性的将使用私网IP地址的网络称为私网。公网IP地址可以在互联网中通信使用,将使用公网IP地址通信的网络称为公网。
NAT-----网络地址转换技术,他的基本作用就是实现私网IP地址和公网地址的转换。
在华为设备,所有NAT的相关配置全部在边界路由器的出接口上述进行配置。
静态NAT
通过配置,在我们的私网边界路由器上,维护一张静态地址映射表。静态地址映射表反映了公网IP和私网IP之间一一对应的关系。
动态NAT
NAPA
端口映射
静态NAT
通过配置,在我们的私网边界路由器上,维护一张静态地址映射表。静态地址映射表反映了公网IP和私网IP之间一一对应的关系。
[Huawei-GigabitEthernet0/0/2]nat static global 12.0.0.3 inside 192.168.1.2
12.0.0.3---漂浮地址
[r2-GigabitEthernet0/0/2]display nat static ----查看静态地址映射表动态NAT----多对多
1.创建公网IP组
[r2]nat address-group 1 12.0.0.4 12.0.0.82.acl抓取感兴趣流
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.2553.将动态IP和ACL绑定
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 no-pat动态NAT最大的问题是在同一个时间内还是一对一的关系。
NPAT------------PAT-------网络地址端口转换
一对多的NAPT--------EASY IP
2.acl抓取感兴趣流
[r2-acl-basic-2001]rule permit source 192.168.0.0 0.0.255.2553.配置出接口
[r2-GigabitEthernet0/0/2]nat outbound 2001多对多的NAT
1.创建公网IP组
[r2]nat address-group 1 12.0.0.4 12.0.0.82.acl抓取感兴趣流
[r2]acl 2001
[r2-acl-basic-2001]rule permit source 192.168.0.0 0.0.255.2553.将公网IP和ACL绑定
[r2-GigabitEthernet0/0/2]nat outbound 2001 address-group 1端口映射:
将公网IP对应的端口和我们服务的端口进行绑定,只要访问公网IP的对应端口就将这个数据包装给我们服务器的对应端口。
