目录
VLAN:虚拟局域网:交换机和路由器协同工作后,将原来一个广播域逻辑的切分为多个
一、配置思路:
1、交换机上创建vlan
2、交换机上的各个接口划分到对应的vlan中
3、Trunk干道—中继干道 SW--SW SW--ROUTER
4、VLAN间路由
二、配置命令:
2.1、创建vlan
编号范围0-4095 其中1-4094可用 默认交换机存在vlan1,且默认所有的接口处于vlan1
[sw1]vlan2 创建vlan
[sw2]undo vlan2 删除vlan
[sw1]vlan batch 2 to 10 / 15 to 20 批量创建2-10 / 15-20
2.2、交换机上的各个接口划分到对应的vlan
交换机默认以VLAN 1接口进行通信(即:vlan 1无需配置)
[sw1]interface Eth0/0/1
[sw1-Ethernet0/0/1] port link-type access 先将接口模式修改为接入(通道)
[sw1-Ethernet0/0/1] port default vlan2 再将该接口划分到对应的vlan中
批量将一些接口划分到对应的vlan中:
[sw1] port-group group-member Ethernet0/0/3 to Ethernet0/0/4
[sw1-port-group]port link-type access [sw1-port-group]port default vlan3
2.3、Trunk干道
不属于任何一个vlan,承载所有vlan的流量;标记和区别识别不同vlan编号的功能
IEE-802.1Q标准=dot1q
[sw1]interface GigabitEthernet0/0/1
[sw1-GigabitEthernet0/0/1]port link-type trunk 修改为trunk模式
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan2 to 3
默认华为设备的trunk干道仅允许vlan1通过;所以需要手工添加允许经过的vlan编号
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all 允许所有的vlan接口通过
2.4、路由器的子接口 ----单臂路由
[router]interface GigabitEthernet0/0/0.1
[router-GigabitEthernet0/0/0.1]dot1q termination vid2 定义接口管理的vlan
[router-GigabitEthernet0/0/0.1]ip address 192.168.1.250 24 配置接口的IP地址
[router-GigabitEthernet0/0/0.1]arp broadcast enable 华为需要手工开启子接口的arp应答功能
三、ACL:访问控制列表
1、访问控制—在路由器流量入或出的接口上,匹配流量,之后产生动作
2、定义感兴趣流量—帮助其他的策略协议抓流量
匹配规则: 至上而下逐一匹配,上条件匹配按上条执行,不再查看下条; 在思科体系中,末尾隐含拒绝所有;在华为体系中,末尾隐含允许所有;
分类: 1>标准—仅关注数据包中的源IP地址;
2>扩展—关注数据包中的源、目标IP地址,协议号或目标端口号;
3.1标准ACL配置
由于标准ACL仅关注数据包中的源IP地址,故调用时尽量的靠近目标,避免源对其他地址的访问被误删;
[r2]acl?
INTEGER<2000-2999> 标准ACL编号
INTEGER<3000-3999> 扩展ACL编号
一个编号是一张规则,一张规则列表可以容纳大量的具体规则;
[r2]acl 2000
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
动作只有 deny与permit 在匹配地址时,需要使用通配符;
ACL的通配符与OSPF的反掩码匹配规则相同;唯一的区别在于通配符可以0、1穿插
[r2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[r2-acl-basic-2000]rule pemit source any 所有
默认以5为步调自动添加序列号;便于插入和删除
[r2-acl-basic-2000]rule 7 deny source 192.168.2.1
[r2-acl-basic-2000]undo rule 7
[r2]acl name classroom-A 2001 在创建ACL时,可以通过命名来标记策略应用的位置
切记:在路由器一个接口的一个方向上只能调用一张ACL列表;
ACL编写完成后,必须在相应的位置调用时,方可生效;即使已经调用,若同时删除了ACL,那么调用无效;
[r2-GigabitEthernet0/0/0] traffic-filter?
inbound Apply ACL to the inbound direction of the interface 入方向
outbound Apply ACL to the outbound direction of the interface 出方向
[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
3.2扩展ACL协议
关注源/目标IP地址,目标端口或协议号
由于扩展ACL对流量进行精确的匹配,故可避免误删,因此调用时尽量靠近源;
【1】仅关注源、目标IP地址
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
源IP地址 目标IP地址
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 接口调用
【2】在关注源、目标IP地址的同时,再关注目标端口号
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23
拒绝源IP地址192.168.1.10对目标IP地址192.168.1.1的目标端口为23的TCP通讯行为——即telnet被拒绝
[r1-acl-adv-3001]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0
拒绝源IP地址192.168.1.10对目标IP地址192.168.1.1的ICMP行为——即ping被拒绝
以上操作完成后需调用策略:[r1-GigabitEthernet0/0/0] traffic-filter inbound acl 3002
四、扩展:telnet远程登录
基于TCP的23端口工作
条件:1、登录与被登录设备间必须可达(可通)
2、被登录设备,开启telnet设定;
[r1]aaa 进入AAA服务
[r1-aaa]local-user linxi privilege level 15 password cipher 123456
[r1-aaa]local-user linxi service-type telnet 创建账号linxi,密码123456(自定);该账号只能用于远程登录
[r1]user-interface vty 0 4 [r1-ui-vty0-4]authentication-mode aaa