第十一、十二次笔记

ACL---访问控制列表

ACL作用

1.访问控制---在路由器流量流入或流出的接口上，匹配流量，然后执行设定好的动作---permit（允许）/deny（拒绝）

2.抓取感兴趣流---ACL可以和其他服务结合使用，ACL只负责匹配流量，其他服务则对匹配上的流量执行对应动作

ACL匹配规则：自上而下，逐一匹配，如果匹配上，则按照对应动作执行，不再向下匹配

思科体系设备：在ACL列表末尾隐含一条拒绝所有

华为体系设备：在ACL列表末尾隐含一条允许所有

ACL列表分类

1.基本ACL---仅关注数据包中源IP 地址

    位置原则：因为基本ACL只关注数据包中的源IP 地址，故调用时尽可能的靠近目标，避免对其他地址访问时造成误伤

2.高级ACL---不仅关注数据包中源IP地址，还会关注数据包中的目标IP 地址以及协议和目标端口号

    位置原则：因为高级ACL精准匹配，不会误伤，所以，调用时应尽可能靠近源目标，避免造成额外的链路资源浪费

3.二层ACL

4.用户自定义ACL

需求一：PC1可以访问PC3,PC4，但PC2不行

   1.创建一张ACL列表

[r2]acl ?

  INTEGER<1000-1999>    Interface access-list(add to current using rules)

  INTEGER<10000-10999>  Apply MPLS ACL

  INTEGER<2000-2999>    Basic access-list (add to current using rules)---基本ACL

  INTEGER<3000-3999>    Advanced access-list(add to current using rules)---高级ACL

  INTEGER<4000-4999>    MAC address access-list(add to current using rules)---二层ACL

  ipv6                  ACL IPv6

  name                  Specify a named ACL

  number                Specify a numbered ACL

[r2]acl 2000

[r2-acl-basic-2000]

   2.在ACL列表中添加规则

[r2-acl-basic-2000]rule deny source 192.168.1.3 0.255.0.255---通配符---0代表不可变，1代表可变---通配符中0和1 可以穿插使用

[r2-acl-basic-2000]rule permit source any---允许所有

[r2]display acl 2000---查看acl规则

    华为默认以5为步调，自动添加ACL的规则的序号，其目的在于匹配规则是自上而下顺序匹配，这样便于在其中插入规则

[r2-acl-basic-2000]rule 6 deny source 192.168.1.2 0.0.0.0 --- 自定义序号添加规则

[r2-acl-basic-2000]undo rule 6---按照序列号删除规则

   3.在接口调用ACL表

[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

     注意：在一个接口的一个方向上，只能调用一张ACL表

需求二：要求PC1可以访问PC3,但不能访问PC4

  1.创建ACL表

[r1]acl name aa 3000 --- 通过重命名的方式创建ACL列表

[r1-acl-adv-aa]

  2.添加规则

[r1-acl-adv-aa]rule deny ip source 192.168.1.2 0.0.0.0

destination 192.168.3.3 0.0.0.0

  3.调用

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name aa ---

通过重命名的方式调用ACL列表

需求三：PC1可以ping通r2，但不能telnet r2

Telnet---远程登陆协议

带内管理：通过telnet管理路由器

                 通过web界面管理路由器

                 通过snmp协议进行设备管理

带外管理：通过console接口连接console线对设备进行控制

                 通过minusb接口连接minusb线对设备进行控制

telnet进行管理的前提条件

   1.登陆设备和被登陆设备之间网络必须是联通

  2.被登陆设备必须开启telnet服务

Telnet---C/S架构---被登陆设备充当服务器角色，登陆设备充当客户端---TCP 23

路由器开启telnet服务方法

 1.在aaa中创建用户名

    进入aaa服务

[r2]aaa ---- 进入aaa服务

[r2-aaa]

    创建用户名和密码

[r2-aaa]local-user aa privilege level 15 password cipher

123456

Info: Add a new user.

[r2-aaa] --- 创建用户名和密码

    设置用户服务类型

[r2-aaa]local-user aa service-type telnet --- 设置用户服务类

型

 2.开启虚拟的登陆端口

   

[r2]user-interface vty 0 4

[r2-ui-vty0-4]

[r2-ui-vty0-4]authentication-mode aaa

[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

第十二次笔记

VLAN---V：虚拟

LAN：局域网---地理覆盖范围较小的网络

MAN：城域网

WAN：广域网

LAN---广播域（在技术里）

VLAN---虚拟局域网---交换机和路由器协同工作后，将原来的一个广播域逻辑上切分为多个

配置

1.创建VLAN

[Huawei]display vlan ---查看交换机VLAN信息

VID---vlan ID---区分和标定不同VLAN---IEEE组织802.1Q标准---12位二进制构成---0-4095，其中0和4095为保留号码，可以使用的取值范围1-4094

[Huawei]vlan 2---创建VLAN

[Huawei-vlan2]

[Huawei]vlan batch 4 to 100---批量创建

[Huawei]undo vlan batch 4 to 100---批量删除

2.将接口划入VLAN

VID配置映射到交换机的接口，实现VLAN范围划分---物理VLAN/一层VLAN

VID配置映射到数据帧中的MAC地址，实现VLAN范围划分---二层VLAN

数据帧中的类型字段标记上层协议类型，和VID进行映射，则可以实现不同VLAN的划分---三层VLAN

交换机的转发原理：数据通过接口进入交换机，交换机先看数据中的源MAC地址和接口的映射关系，顺便将接口所对应的VID也进行记录，之后看目标MAC地址，若目标MAC地址在MAC地址表中有记录且记录中记录的VID和源MAC对应的VID相同，进行单播；否则，进行泛红，泛红范围为VID和源MAC对用VID相同的接口

为区分不同VLAN数据，在数据上增加标签（TAG），IEEE组织规定在源数据帧中源MAC地址和类型字段之间，增加4个字节作为tag---包含12位VID。将符合要求的帧结构称为802.1Q帧或tagged帧。将正常的帧结构称为untagged帧

根据这个特性，我们将交换机和电脑之间的链路称为ACCESS链路。ACCESS链路只能通过untagged帧，并且，这些帧只能属于某一种特定的VLAN。我们把交换机和交换机之间的链路称为trunk链路（trunk干道），trunk干道中允许通过tagged帧，并且可以属于多个VLAN。

2.将接口划入VLAN

[Huawei]int g 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-type access --- 选择链路类型

[Huawei-GigabitEthernet0/0/1]port default vlan 2 --- 设置链路中通过VLAN

[Huawei]port-group group-member GigabitEthernet 0/0/3  GigabitEthernet 0/0/4

[Huawei-port-group] --- 将接口放入到接口组中

3.配置trunk干道

[Huawei]int g 0/0/5

[Huawei-GigabitEthernet0/0/5]port link-type trunk

[Huawei-GigabitEthernet0/0/5]port trunk allow-pass vlan ?

 INTEGER<1-4094> VLAN ID

 all                            All

[Huawei-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3

4.VLAN间路由 --- 单臂路由

子接口 --- 路由器的一种虚拟接口，将一个物理接口，逻辑上划分为多个虚拟接口

1，创建子接口

[r1]int g 0/0/0.2

[r1-GigabitEthernet0/0/0.2]

2，配置子接口

[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2 --- 定义子接口管理的VLAN

[r1-GigabitEthernet0/0/0.1]arp broadcast enable --- 开启ARP广播