VLAN: 虚拟局域网——交换机和路由器协同工作后,在逻辑上将原来的一个广播域切分成多虚拟的广播域。
VID:vlan ID,用来区分和标定不同的vlan
Vlan编号范围:由12位二进制构成,范围0—4095;0和4095作为保留值,可用为1—4094
【SW1】display vlan 查看vlan列表
【SW1】display mac-address 查询mac地址表
使用VLAN:
第一步:创建vlan
【SW1】vlan 2 创建vlan 2
【SW1】vlan batch 4 to 100 创建vlan4 - 100
第二步:进入接口划分进vlan
[SW1-GigabitEthernet0/0/1]port link-type access 定义该接口下的链路为access链路
[SW1-GigabitEthernet0/0/1]port default vlan 2 定义该接口隶属于vlan 2
IEEE组织----802.1Q标准
Tagged帧=有标签 unTagged帧=没有标签
我们把交换机和PC端之间的链路称之为access链路,access;链路只能通过untagged帧,并且,这些帧只能属于一个特定的vlan。我们把交换机和交换机之间的链路称之为trunk链路(trunk干道),trunk链路中通过tagged帧,并且这些帧可以属于多个vlan。
加入VID信息后交换机的转发原理:数据通过接口来到交换机,交换机先记录源MAC地址和接口的映射关系,顺便将接口对应的VID进行记录。之后再看目标MAC地址,若目标MAC地址在MAC地址表中有记录且和源MAC对应的VID相同,则进行单播,否则进行泛洪----泛洪范围只在VID相同的区域进行。
第三步:配置trunk干道
[SW1-GigabitEthernet0/0/5]port link-type trunk 定义该接口下为trunk链路
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3 定义该接口下的trunk 链路可通过vlan2到3
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan all 该接口下的trunk链路可通过所有的vlan帧型
第四步:实现vlan间路由
路由器子接口----虚拟接口---将路由器的一个物理接口在逻辑上划分为多个虚拟的子接口。
[R1]interface g 0/0/0.1 进入虚拟子接口
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 2 定义子接口执行802.1q标准且接口管理vlan 2
[R1-GigabitEthernet0/0/0.1]arp broadcast enable 开启arp广播
ACL:访问控制列表
- 访问控制----在路由器的入或者出接口上,匹配流量,之后产生动作----允许和拒绝
- 定义感兴趣流量---帮助其他的策略抓流量
匹配规则:
至上而下,逐一匹配,上条匹配按照上条执行,不在查看下条;在思科的体系中,末尾隐含拒绝所有,在华为的体系中,末尾隐含允许所有。
分类:
标准-----仅关注数据包中的源IP地址
扩展-----关注数据包中的源/目标IP地址,协议号或目标端口号
标准ACL配置:由于标准ACL仅关注数据包中的源IP地址,故,调用时尽可能的靠近目标,避免对其他地址的访问被删除。
【R2】acl ?
INTEGER<2000-2999> 标准ACL 编号
INTEGER<3000-3999> 扩展ACL 编号
[R2]acl 2000 选择编号ACL2000
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 规定 拒绝 源IP为 192.168.1.2 尾号0.0.0.0 的意义就是定死这个IP
[R2-acl-basic-2000]rule permit source any 规则允许源IP为所有
[R2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 规定 允许 源 192.168.1.0/24这个网段通过
在匹配地址时,需要使用通配符
ACL的通配符与ospf的反掩码匹配规则相同,唯一区别在于通配符可以进行0 1 穿插。
[R2]display acl 2000 查询acl 2000
步调 5为一跳 自动添加的序列号
[R2-acl-basic-2000]rule 7 deny source 192.168.1.1 0.0.0.0 修改步调7为一跳
[R2-GigabitEthernet0/0/1] 进入需要调用acl的接口
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在出方向上调用acl2000
【R2】acl name classroom-A 2000 给acl命名
扩展ACL配置:
1.关注数据包中的源、目标IP地址、协议号或目标端口号
由于扩展ACL对流量进行了精确的匹配,故 可以避免误杀,因此,调用时,尽量的靠近源IP。
【R1】acl 3000 选择扩展ACL编号
【R1-acl-adv-3000】rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0 规定 拒绝 源 192.168.1.2 目标 192.168.3.2 IP行为
2.在关注源/目标IP地址的同时,再关注目标端口号
Telnet 远程登录,基于TCP23号端口
条件:(1)登录设备与被登录设备之间必须可达
(2)被登录设备必须开启telnet设定
【R1】aaa 开启aaa服务
【R1-aaa】local-user AAA privilege level 15 password cipher 12345 创建账户AAA 提权为15级 定义该账号密码为12345
【R1-aaa】local-user AAA service-type telnet 定义该账户用于远程登录
【R1】user-interface vty 0 4 开放五个虚拟接口
【R1-ui-vty0-4】authentication-mode aaa 认证模式为aaa
[R1-acl-adv-3003]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23 规定 拒绝 源 192.168.1.10 向目标 192.168.1.1 tcp协议行为 目标行为 为 23号端口
[R1-acl-adv-3003]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 规定 拒绝 源 192.168.1.10 向目标 192.168.2.2 的icmp(ping)行为
注意:路由器的出或者入的接口上只能调用一张表