动态路由、传输层、ACL作用与概述、ACL配置

Top

NSD NETWORK DAY03

1. 案例1：三层交换机基本配置
2. 再增加s3700交换机一台，将网络改造成以下状态，如图-2所示：
3. 案例1：动态路由
4. 案例2：基本ACL的配置（1）
5. 案例3：基本ACL的配置（2）

1 案例1：三层交换机基本配置

1.1 问题

按照图-1的拓扑结构配置ip地址并通过三层交换实现VLAN间通信

1.2 步骤

1. <Huawei>system-view         //进入系统视图
2. [Huawei]undo info-center enable //关日志
3. [Huawei]vlan batch 2 3 //创建vlan2与3
4. [Huawei]display vlan //检查
5. [Huawei]interface GigabitEthernet 0/0/2 //进2口
6. [Huawei-GigabitEthernet0/0/2]port link-type access //配置接口类型为access
7. [Huawei-GigabitEthernet0/0/2]port default vlan 2 //把2口加入vlan2
8. [Huawei-GigabitEthernet0/0/2]in g0/0/3
9. [Huawei-GigabitEthernet0/0/3]port link-type access //配置接口类型为access
10. [Huawei-GigabitEthernet0/0/3]port default vlan 3 //把3口加入vlan3
12. 路由器可以在物理接口配置ip
13. 而三层交换机要进入虚拟接口配置
14. [Huawei]interface Vlanif 1        //进入vlan1的接口(虚拟接口)
15. [Huawei-Vlanif1]ip address 192.168.1.254 24        //配置ip，该ip可以作为vlan1的网关
16. [Huawei-Vlanif1]interface Vlanif 2 //进入vlan2的接口
17. [Huawei-Vlanif2]ip address 192.168.2.254 24        //配置ip，该ip可以作为vlan2的网关
18. [Huawei-Vlanif2]interface Vlanif 3 //进入vlan3的接口
19. [Huawei-Vlanif3]ip address 192.168.3.254 2        //配置ip，该ip可以作为vlan3的网关
20. display ip interface brief //检查ip

2 再增加s3700交换机一台，将网络改造成以下状态，如图-2所示：

1. 在s3700交换机配置：
2. [Huawei]vlan batch 2 3 //首先创建vlan2与3
3. [Huawei]interface ethernet0/0/2
4. [Huawei-Ethernet0/0/2] port link-type access
5. [Huawei-Ethernet0/0/2] port default vlan 2 //将e0/0/2口加入vlan2
6. [Huawei-Ethernet0/0/2] in e0/0/3
7. [Huawei-Ethernet0/0/3] port link-type access
8. [Huawei-Ethernet0/0/3] port default vlan 3 //将e0/0/3口加入vlan3
9. [Huawei-Ethernet0/0/3]in e0/0/4
10. [Huawei-Ethernet0/0/4]port link-type trunk //将4口配置为中继链路
11. [Huawei-Ethernet0/0/4]port trunk allow-pass vlan all //放行所有数据
13. 再回到s5700配置：
14. [Huawei-GigabitEthernet0/0/1]port link-type trunk //把g0/0/1口也配置为中继链路
15. [Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all //放行所有vlan的数据
16. -------------------------------------
17. 如果接口配置错乱：这里用s3700举例
18. [Huawei]clear configuration interface Ethernet 0/0/4 //如果某接口配置错误可以清空
19. [Huawei]interface e0/0/4 //进入4接口
20. [Huawei-Ethernet0/0/4]undo shutdown //开启接口

3 案例1：动态路由

3.1 问题

之后将拓扑延申，增加一台router路由器，与pc一台，并按图配置好ip，新增pc的网关是192.168.5.254，如图-3所示。

3.2 步骤

实现此案例需要按照如下步骤进行。

步骤一：

1. 路由器ip按规划配置：
2. [Huawei]interface GigabitEthernet 0/0/0 //进0口
3. [Huawei-GigabitEthernet0/0/0]ip address 192.168.4.2 24 //配置ip
4. [Huawei-GigabitEthernet0/0/0]quit
5. [Huawei]interface GigabitEthernet 0/0/1 //进1口
6. [Huawei-GigabitEthernet0/0/1]ip address 192.168.5.254 24 //配置ip

步骤二：

1. 三层交换机接口配置ip思路：
2. 1，创建一个vlan
3. 2，进入该vlan的虚拟接口配置ip
4. 3，将需要配置ip的接口加入上述vlan
6. s5700的 g0/0/2接口要按照三层交换机接口配置ip的思路进行：
7. [Huawei]vlan 4 //创建vlan4
8. [Huawei-vlan4]interface vlanif 4 //进入vlan4接口
9. [Huawei-Vlanif4]ip add 192.168.4.1 24 //为vlan4配置ip
10. [Huawei-Vlanif4]quit
11. [Huawei]interface GigabitEthernet 0/0/2 //进入2接口
12. [Huawei-GigabitEthernet0/0/2]port link-type access //配置接口类型为access
13. [Huawei-GigabitEthernet0/0/2]port default vlan 4 //把2口加入vlan4

目前同网段可以通，但不能全网互通

步骤三：配置动态路由

动态路由：基于某种路由协议实现，适合大型网络，减少管理任务

宣告：对外告知自身所直连的网段

1. 在三层交换机中配置动态路由：
2. [Huawei]ospf
3. [Huawei-ospf-1]area 0 //进入区域0 (第一个区域，表示开始使用ospf)
4. [Huawei-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 //依次宣告
5. 自身所直连的网段
6. [Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255 //宣告2网段
7. [Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255 //宣告3网段
8. [Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255 //宣告4网段
10. 在路由器中配置动态路由：
11. [Huawei]ospf
12. [Huawei-ospf-1]area 0
13. [Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255 //宣告4网段
14. [Huawei-ospf-1-area-0.0.0.0]network 192.168.5.0 0.0.0.255 //宣告5网段
15. [Huawei-ospf-1-area-0.0.0.0]display this //可以查看当前视图的配置，比如目前在ospf中，就可以看到ospf中都敲了什么命令
16. [Huawei-ospf-1-area-0.0.0.0]undo network 192.168.44.0 0.0.0.255 //如果有错可以用此方法删除

步骤四：默认路由

1. 默认路由是特殊的静态路由，可以匹配任意网段，专门用来访问海量外部网络使用
2. 路由器配置：
3. [Huawei-ospf-1-area-0.0.0.0]undo network 192.168.5.0 0.0.0.255 //取消路由器宣告5网段
4. 5700交换机配置：
5. [Huawei]ip route-static 0.0.0.0 0 192.168.4.2 //配置默认路由

 TCP的应用：

 UDP的应用：

4 案例2：基本ACL的配置（1）

 

4.1 问题

按图-4搭建拓扑，首先实现全网互通

然后按下列要求配置acl：

禁止2.1与1.1进行数据通信，不能影响其他主机的通信

4.2 步骤

实现此案例需要按照如下步骤进行。

步骤一：配置路由器IP

1. 路由器ip配置：
2. [Huawei]interface GigabitEthernet 0/0/0 //进0口
3. [Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //配置ip
4. [Huawei-GigabitEthernet0/0/0]quit
5. [Huawei]interface GigabitEthernet 0/0/1 //进1口
6. [Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24 //配置ip
7. [Huawei-GigabitEthernet0/0/1]quit

Server的网关是1.254

2个Client的网关是2.254

1. 路由器ACL配置：
2. [Huawei]acl 2000 //创建acl 列表号是2000
3. [Huawei-acl-basic-2000]rule deny source 192.168.2.1 0.0.0.0 //创建规则拒绝源地址是192.168.2.1的数据通过
4. [Huawei-acl-basic-2000]display this //查看当前视图配置，可以看到规则号码
5. [Huawei-acl-basic-2000]quit
6. [Huawei]interface GigabitEthernet 0/0/1 //进入1口，注意该接口不要照抄，要检查是否为最接近2.1的接口
7. [Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 //定义过滤数据是入方向，并应用之前创建的acl2000
9. 如果配置错误：
10. [Huawei-acl-basic-2000]undo rule 5 //如果规则写错，可以根据规则号码删除
11. [Huawei-GigabitEthernet0/0/0]undo traffic-filter inbound //应用接口错误可以这样删除

5 案例3：基本ACL的配置（2）

5.1 问题

使用上题拓扑允许2.1与1.1进行通信，禁止其他设备访问1.1

5.2 步骤

实现此案例需要按照如下步骤进行。

步骤一：放行192.168.2.1，拒绝其他设备

此步骤需要在上一实验基础上进行

1. [Huawei]acl 2001 //创建新acl，列表号是2001
2. [Huawei-acl-basic-2001]rule permit source 192.168.2.1 0 //创建规则，允许2.1通过
3. [Huawei-acl-basic-2001]rule deny source any //拒绝所有设备通过
4. [Huawei-acl-basic-2001]in g0/0/1 //进入应用acl的接口
5. [Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound //在接口取消之前的acl2000
6. [Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2001 //应用新的acl
7. [Huawei-GigabitEthernet0/0/1]display acl 2000 //可以查看2000列表的内容
8. [Huawei-GigabitEthernet0/0/1]display acl 2001 //可以查看2001列表的内容
9. [Huawei-GigabitEthernet0/0/1]display acl all //可以查看所有列表的内容