LAN,WAN,VLAN,WLAN
LAN:代表局域网
WAN:代表广域网
VLAN:代表虚拟局域网
WLAN:代表无限局域网
VLAN
虚拟局域网 -----交换机和路由器协同工作后,将一个广播域逻辑地切分为多个
VLAN的配置思路
1.首先在交换机上创建vlan
2.交换机上的各个接口划分到对应的vlan中
3.trunk干道
4.VLAN间路由-----路由器子接口(单臂路由);多层交换机的SVI
注:trunk干道----中继干道-----不属于任何一个vlan,承载所有vlan的流量转发,具有标记和识别区分不同vlan信息的能力。
VLAN配置命令
VLAN配置命令:
display vlan 查看vlan
1.交换机上创建VLAN,0-4095由12位二进制构成,其中1-4094可用。默认存在vlan1,且所有接口默认属于vlan1
[sw1]vlan 3 创建单个vlan
[sw1-vlan3]q
[sw1]vlan batch 10 to 30 批量创建vlan
2.交换机上各个接口划分到对应的vlan中
[sw1]interface e0/0/01
[sw1-Ethernet0/0/1]port link-type access 先将该接口修改为接入模式
[sw1-Ethernet0/0/1]port default vlan 2 再将其划分到对应的vlan中
批量将多个接口划分到同一个vlan
[sw1]port-group group-member e0/0/3 to e0/0/4
或者:[sw1]port-group group-member e0/0/3 e0/0/4
[sw1-port-group]port link-type access
[sw1-port-group]port default vlan 3
3.trunk干道----中继干道-----不属于任何一个vlan,承载所有vlan的流量转发,具有标记和识别区分不同vlan信息的能力
[sw1]interface g0/0/1
[sw1 GigabitEthernet0/0/1]port link-type trunk 先将接口模式修改为trunk模式
[sw1-Ethernet0/0/1]port trunk allow-pass vlan 2 3 或
[sw1 GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3 默认华为的trunk仅允许vlan1通过,需要添加其他的允许列表
华为支持的trunk封装标准为公共标准----802.1Q dot1.q 封装16位二进制,其中后12位用于代表VLAN编号。
4.路由器子接口 (不同vlan间互通)(想象成两个线)
[r1]interface g0/0/0.1 创建子接口
[r1 GigabitEthernet0/0/0.1]ip address 192.168.1.254 24
[r1 GigabitEthernet0/0/0.1]dot1q termination vid 2 定义其管理的vlan
[r1 GigabitEthernet0/0/0.1]arp broadcast enable
开启该接口的arp功能,华为设备的物理接口是默认开启,但子接口需要手工开启
[r1 GigabitEthernet0/0/0.1]q
[r1]interface GigabitEthernet0/0/0.2
[r1 GigabitEthernet0/0/0.2]ip address 192.168.2.254 24
[r1 GigabitEthernet0/0/0.2]dot1q termination vid 3
[r1 GigabitEthernet0/0/0.2]arp broadcast enable
VLAN小实验
实现全网可达
1.创建vlan,并将各个接口划分到对应vlan中
2.建立trunk干道
3.创建单臂路由
4.开启DHCP服务
5.实验结果
ACL介绍
访问控制列表
作用:
1.访问限制-----在流量经过路由器的进或出的接口上,匹配流量后产生动作(允许,拒绝)
2.定义感兴趣流量-----为其他的策略或协议提供帮助
匹配规则
在ACL表上,至上而下逐一匹配,上条匹配按上条执行,不再查看下条。
注:cisco系列默认隐含拒绝所有,华为系列默认隐含允许所有。
分类
1.标准ACL----仅关注数据包中的源ip地址
2.扩展ACL-----关注数据包中的源,目标ip地址,协议号或目标端口号
配置
1.标准ACL-----由于其仅关注数据包中的ip地址,故在调用时,应该尽量的靠近目标,避免误删。
2.扩展ACL-----由于扩展ACL精确的匹配了流量源和目标地址,故调用时尽量靠近源头,避免流量的浪费。
(1)仅关注源,目ip地址的
(2)在关注源,目ip地址的同时,也关注数据包中的目标端口或协议号。
ACL配置命令:
1.标准ACL:创建编号为2000的ACL列表,2000-2999编号均为标准ACL,一个编号为一张表。(ACL在一个接口的一个方向上,只能调用一张表)
[r1]acl 2000
[r1-acl-basic-2000]
[r1-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
[r1-acl-basic-2000]rule permit source any
[r1-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255
允许或拒绝 源ip地址,可以使用通配符,也可以为所有
注:ACL使用的是通配符,OSPF使用的是反掩码,通配符允许0和1穿插交替使用
ACL编写完成后,需要调用方可生效。
[r1]interface g0/0/1
[r1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
(outbound inbound)
调用时注意方向
2.扩展ACL:
(1)仅关注源,目ip地址的,编号3000-3999位扩展ACL的编号。
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
协议 源ip地址 目标ip地址
1.无论源或目标ip地址,均可以使用any或通配符自定义范围。
2.如果rule deny ip,则相当于所有协议,彻底不通
3.除tcp和udp,其他所有协议都是跨层封装协议,没有端口号
4.只有跨到2层才使用第一代帧以太网
5.以太网是典型的MA网络
[r1]interface g0/0/0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
(2)在关注源,目ip地址的同时,也关注数据包中的目标端口或协议号。
[r1]acl 3001
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 192.168.1.1 0 destination-port eq 23
以上配置的效果为:拒绝192.168.1.10对目标ip地址192.168.1.1同时目标端口号为23的访问----拒绝了telnet
[r1]interface g0/0/0 调用
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
[r1]acl 3002
[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0
以上配置的效果为:拒绝192.168.1.10对目标192.168.1.1的icmp访问-----拒绝了ping
[r1]interface g0/0/0 调用
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3002
路由器上配置远程登录的命令:
[r1]aaa 三a服务 权限
[r1-aaa]local-user 用户名 privilege level 15 password cipher 123456
[r1-aaa]local-user 用户名 service-type telnet
[r1-aaa]q
创建账号:用户名,密码123456
[r1]user-interface vty 0 4 调用账号 (表示有5个人可以同时登录这个设备)
[r1-ui-vty0-4]authentication-mode aaa
<r2>telnet 192.168.1.1 使用路由器远程登录另一台路由器
<r1>
<r1>q 退出r1
Telnet
为了配合实验,我们这里讲一些扩展知识
Telnet服务-----远程登录服务,基于TCP的目标端口号23;Telnet就是终端设备通过网络环境远程管理配置设备的服务。
条件:
1.终端和服务端网络可达
2.被登录设备开启了远程登录服务。
ACL综合小实验
以下为实验要求:
1.合理划分网段和ip
2.配ip地址
3.启动telnet服务
4.ACL表限制规则
实验结果
1.拒绝pc1,ping通r1
2.拒绝pc1,telnet登录r2
3.拒绝pc2,telnet登录r1
4.拒绝pc2,ping通r2