VLAN 和 ACL

VLAN： 虚拟局域网——交换机和路由器协同工作后，在逻辑上将原来的一个广播域切分成多虚拟的广播域。

VID：vlan  ID，用来区分和标定不同的vlan 

Vlan编号范围：由12位二进制构成，范围0—4095；0和4095作为保留值，可用为1—4094

 

【SW1】display vlan    查看vlan列表

【SW1】display  mac-address  查询mac地址表

使用VLAN：

第一步：创建vlan

【SW1】vlan 2     创建vlan 2

【SW1】vlan batch 4 to  100  创建vlan4 - 100

第二步：进入接口划分进vlan

[SW1-GigabitEthernet0/0/1]port  link-type access   定义该接口下的链路为access链路

[SW1-GigabitEthernet0/0/1]port default  vlan 2  定义该接口隶属于vlan 2

IEEE组织----802.1Q标准 

Tagged帧=有标签    unTagged帧=没有标签

我们把交换机和PC端之间的链路称之为access链路，access；链路只能通过untagged帧，并且，这些帧只能属于一个特定的vlan。我们把交换机和交换机之间的链路称之为trunk链路（trunk干道），trunk链路中通过tagged帧，并且这些帧可以属于多个vlan。

加入VID信息后交换机的转发原理：数据通过接口来到交换机，交换机先记录源MAC地址和接口的映射关系，顺便将接口对应的VID进行记录。之后再看目标MAC地址，若目标MAC地址在MAC地址表中有记录且和源MAC对应的VID相同，则进行单播，否则进行泛洪----泛洪范围只在VID相同的区域进行。

第三步：配置trunk干道

 [SW1-GigabitEthernet0/0/5]port link-type  trunk  定义该接口下为trunk链路

 [SW1-GigabitEthernet0/0/5]port trunk allow-pass  vlan   2  to  3  定义该接口下的trunk 链路可通过vlan2到3

 [SW1-GigabitEthernet0/0/5]port trunk allow-pass  vlan all  该接口下的trunk链路可通过所有的vlan帧型

第四步：实现vlan间路由

路由器子接口----虚拟接口---将路由器的一个物理接口在逻辑上划分为多个虚拟的子接口。

 [R1]interface g 0/0/0.1 进入虚拟子接口

[R1-GigabitEthernet0/0/0.1]dot1q  termination  vid 2   定义子接口执行802.1q标准且接口管理vlan 2

[R1-GigabitEthernet0/0/0.1]arp  broadcast  enable  开启arp广播

ACL：访问控制列表

1. 访问控制----在路由器的入或者出接口上，匹配流量，之后产生动作----允许和拒绝
2. 定义感兴趣流量---帮助其他的策略抓流量 

匹配规则：

至上而下，逐一匹配，上条匹配按照上条执行，不在查看下条；在思科的体系中，末尾隐含拒绝所有，在华为的体系中，末尾隐含允许所有。

分类：

标准-----仅关注数据包中的源IP地址

扩展-----关注数据包中的源/目标IP地址，协议号或目标端口号

标准ACL配置：由于标准ACL仅关注数据包中的源IP地址，故，调用时尽可能的靠近目标，避免对其他地址的访问被删除。

【R2】acl  ？

  INTEGER<2000-2999>  标准ACL 编号

  INTEGER<3000-3999>  扩展ACL 编号

[R2]acl  2000     选择编号ACL2000 

[R2-acl-basic-2000]rule  deny  source  192.168.1.2   0.0.0.0       规定 拒绝 源IP为 192.168.1.2               尾号0.0.0.0 的意义就是定死这个IP

[R2-acl-basic-2000]rule  permit  source  any   规则允许源IP为所有

[R2-acl-basic-2000]rule  permit  source  192.168.1.0  0.0.0.255    规定 允许 源 192.168.1.0/24这个网段通过

在匹配地址时，需要使用通配符

ACL的通配符与ospf的反掩码匹配规则相同，唯一区别在于通配符可以进行0  1 穿插。

[R2]display acl 2000     查询acl 2000

 步调 5为一跳  自动添加的序列号

[R2-acl-basic-2000]rule 7 deny source 192.168.1.1 0.0.0.0      修改步调7为一跳

[R2-GigabitEthernet0/0/1]     进入需要调用acl的接口

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000     在出方向上调用acl2000

【R2】acl name classroom-A  2000        给acl命名

扩展ACL配置：

1.关注数据包中的源、目标IP地址、协议号或目标端口号

由于扩展ACL对流量进行了精确的匹配，故 可以避免误杀，因此，调用时，尽量的靠近源IP。

【R1】acl   3000  选择扩展ACL编号

【R1-acl-adv-3000】rule   deny   ip  source  192.168.1.2    0.0.0.0   destination  192.168.3.2   0.0.0.0        规定 拒绝 源 192.168.1.2    目标  192.168.3.2    IP行为

2.在关注源/目标IP地址的同时，再关注目标端口号

Telnet  远程登录，基于TCP23号端口

条件：（1）登录设备与被登录设备之间必须可达

           （2）被登录设备必须开启telnet设定

【R1】aaa    开启aaa服务

【R1-aaa】local-user  AAA  privilege   level   15   password   cipher    12345   创建账户AAA   提权为15级    定义该账号密码为12345

【R1-aaa】local-user  AAA service-type telnet      定义该账户用于远程登录

【R1】user-interface   vty  0   4     开放五个虚拟接口

【R1-ui-vty0-4】authentication-mode   aaa     认证模式为aaa

[R1-acl-adv-3003]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23                       规定 拒绝 源 192.168.1.10   向目标  192.168.1.1  tcp协议行为  目标行为 为 23号端口

[R1-acl-adv-3003]rule deny icmp source 192.168.1.10 0.0.0.0 destination  192.168.2.2 0.0.0.0          规定  拒绝  源 192.168.1.10   向目标  192.168.2.2  的icmp（ping）行为

注意：路由器的出或者入的接口上只能调用一张表