ACL技术----访问控制列表
-
ACL原理
-
设备根据事先设置好的报文匹配规则对经过该设备的流量进行匹配,然后对报文执行预先设定的处理动作。
-
-
ACL功能
-
访问控制---在流入或者流出的接口上匹配流量
-
动作
-
允许--permit
-
拒绝--deny
-
-
-
抓取流量
-
-
ACL匹配规则
-
自上而下、逐一匹配,匹配上则按照规则进行执行,不在向下匹配
-
若没有匹配上,则执行,默认规则
-
华为中ACL访问控制列表末尾隐含条件为允许所有
-
-
-
ACL分类
-
基本ACL
-
只能基于IP报文的源IP地址、报文分片标记来定义规则
-
规则编号:2000-2999
-
-
高级ACL
-
可以基于IP报文的源IP地址、目的IP地址、IP报文的协议字段、IP优先级、长度、TCP的源目端口UDP源目端口等信息来定义
-
规则编号:3000-3999
-
-
二层ACL
-
使用以太网数据帧定义规则
-
编号4000-4999
-
-
用户自定义ACL
-
NAT技术---地址转换技术
私网IP地址
-
在IP地址空间中,A、B、C三类地址各有一部分地址,充当私网IP地址,其余IP地址称为公网IP地址。
A:10.0.0.0---10.255.255.255
B:172.16.0.0--172.31.255.255
C:192.168.0.0--192.168.255.255
-
具有可重复性,私网IP地址不允许在互联网中传输,公网IP地址可以在互联网中使用
静态NAT
静态NAT是通过在私网边界路由器上建立并维护一张静态路由映射表。这张表记录了共有IP地址和私有IP地址之间的对应关系---一
交互技术
交换技术
-
垃圾流量
-
交换机在接收到为止单播或广播帧时,会进行洪帆或广播操作,占用设备资源及带宽资源
-
-
安全问题
-
计算机接收到本不应该受到的数据帧,从而读取内容
-
VLAN----虚拟局域网
VLAN数据帧
VLAN类型
-
基于端口的VLAN--一层VLAN
-
最常见的方式
-
由网络管理员进行配置,将VLAN编号与交换机物理接口对应。此后,从该接口进入的数据帧都将属于该vlan
-
-
基于MAC地址的vlan---二层vlan
-
配置一个vlan和MAC地址的映射,当数据帧进入交换机时,交换机查询该表单,更具不同的源MAC地址来划分不同的vlan
-
一般用于PC接入交换机的端口会改变的网络
-
-
基于协议的vlan划分--三层vlan
端口类型
- Access类型
- 一般用于交换机与终端相连的接口
- Trunk类型
- 一般用于交换机与交换机相连的接口
- Hybrid类型
- 同时具备Access以及Trunk端口的功能