ACL ---- 访问控制列表
ACL的作用:
1,访问控制:在路由器流量流入或流出的接口上,匹配流量,然后 执行设定好的动作。 ---- permit 允许 , deny 拒绝
2,抓取感兴趣流:ACL可以和其他服务结合使用。ACL只负责匹配流 量,其他服务则对匹配上的流量执行对应的动作。
ACL的匹配规则:自上而下,逐一匹配,如果匹配上,则按照对应的动作 执行,不再向下匹配。
思科体系的设备:在ACL列表末尾隐含一条拒绝所有的规则
华为体系的设备:在ACL列表末尾隐含一条允许所有的规则
ACL列表的分类:
基本ACL --- 仅关注数据包中的源IP地址
高级ACL --- 不仅关注数据包中的源IP地址,还会关注数据包中的目 标IP地址,以及协议和目标端口号
二层ACL
用户自定义ACL
需求一:PC1可以访问PC3和PC4,但是PC2不行
基本ACL的位置原则:因为基本ACL只关注数据包中的源IP地址,故调用时 尽可能的靠近目标,避免对其他地址访问造成误伤。
1,创建一张ACL列表
[r2]acl ?
INTEGER<2000-2999> Basic access-list(add to current using rules)
---- 基本ACL
INTEGER<3000-3999> Advanced access-list(add to current using rules)
----- 高级ACL
INTEGER<4000-4999> Specify a L2 acl group
---- 二层ACL
ipv6 ACL IPv6
name Specify a named ACL
number Specify a numbered ACL
[r2]acl 2000
[r2-acl-basic-2000]
2,在ACL列表中添加规则
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.255.0.255 --- 通配符 --- 0代表不可变,1代表可变 --- 通配符中0和1可以穿插使用
[r2-acl-basic-2000]rule permit source any --- 允许所有
[r2]display acl 2000
华为默认以5为步调,自动添加ACL的规则的序号。其目的在于匹配规 则是从上向下按顺序匹配,这样便于在其中插入规则。
[r2-acl-basic-2000]rule 6 deny source 192.168.1.2 0.0.0.0 --- 自 定义序号添加规则
[r2-acl-basic-2000]undo rule 6 --- 按照序号删除规则
3,在接口上调用ACL列表
[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
注意:在一个接口的一个方向上,只能调用一张ACL列表。
需求二:要求PC1可以访问PC3,但是不能访问PC4
高级ACL的位置原则:因为高级ACL是精准匹配,不会造成误伤,所以,在 调用时应该尽量靠近源目标,避免造成额外的链路资源浪费。
[r1]acl name aa 3000 --- 通过重命名的方式创建ACL列表
[r1-acl-adv-aa]
[r1-acl-adv-aa]rule deny ip source 192.168.1.2 0.0.0.0
destination 192.168.3.3 0.0.0.0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name aa --- 通过重命名的方式调用ACL列表
需求三:要求PC1可以ping通R2,但是不能telnet R2
VLAN
V --- 虚拟的
LAN --- 局域网 --- 地理覆盖范围较小的网络
MAN --- 城域网
WAN --- 广域网
LAN --- 广播域
VLAN --- 虚拟局域网 --- 交换机和路由器协同工作后,将原来的一个广 播域逻辑上切分为多个
第一步:创建VLAN
[Huawei]display vlan --- 查看交换机上的VLAN信息
VID --- vlan ID --- 区分和标定不同VLAN ---- IEEE组织802.1Q标 准 --- 12位二进制构成 --- 0 - 4095 其中,0和4095为保留号码,可以 使用的取值范围为 1 - 4094
[Huawei]vlan 2 --- 创建VLAN
[Huawei]vlan batch 4 to 100 --- 批量创建VLAN
[Huawei]undo vlan batch 4 to 100 --- 批量删除
第二步:将接口划入VLAN
VID配置映射到交换机的接口,实现VLAN范围的划分 --- 物理VLAN/
一层VLAN
VID配置映射到数据帧中的MAC地址,实现VLAN范围的划分 --- 二层 VLAN
数据帧中的类型字段标记着上层协议类型,和VID进行映射,则可以 实现VLAN范围的划分 --- 三层VLAN
交换机的转发原理:数据通过接口进入到交换机,交换机先看数据中的源MAC地址和接口的映射关系,顺便,将接口所对应的VID也进行记录。之后,看目标MAC地址,若目标MAC地址在MAC地址表中有记录且记录中的VID和源MAC对应的VID相同,则进行单播;否则,进行泛洪,泛洪范围为VID和源MAC地址对应VID相同的接口。
为了区分不同VLAN的数据,我们可以在数据上增加标签
(TAG)。IEEE组织规定,在原数帧中源MAC地址和类型字段之间,增加4 个字节作为tag --- 包含12位VID。将符合这样要求的帧结构称为802.1Q 帧或tagged帧。将正常的帧结构称为untagged帧。 根据这个特性,我们将交换机和电脑之间的链路称为ACCESS链 路。ACCESS链路只能通过untagged帧,并且,这些帧只能属于某一种特定 的VLAN。我们把交换机和交换机之间的链路称为trunk链路(trunk干 道),trunk干道中允许通过tagged帧,并且可以属于多个VLAN。
第三步:配置trunk干道(sw - sw , sw - R)
第二步:将接口划入VLAN
[Huawei]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access --- 选择 链路类型
[Huawei-GigabitEthernet0/0/1]port default vlan 2 --- 设置链 路中通过VLAN
[Huawei]port-group group-member GigabitEthernet 0/0/3 GigabitEthernet 0/0/4
[Huawei-port-group] --- 将接口放入到接口组中
第三步:配置trunk干道
[Huawei]int g 0/0/5
[Huawei-GigabitEthernet0/0/5]port link-type trunk
[Huawei-GigabitEthernet0/0/5]port trunk allow-pass vlan ?
INTEGER<1-4094> VLAN ID all All
[Huawei-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3
第四步:VLAN间路由 --- 单臂路由
子接口 --- 路由器的一种虚拟接口,将一个物理接口,逻辑上划分 为多个虚拟接口
1,创建子接口
[r1]int g 0/0/0.2
[r1-GigabitEthernet0/0/0.2]
2,配置子接口
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2 --- 定义 子接口管理的VLAN
[r1-GigabitEthernet0/0/0.1]arp broadcast enable --- 开启ARP 广播
NAT
在IP地址空间中,A,B,C三类单播地址中,各有一部分地址,他们被 称为私有地址(或私网IP地址),其余的都称为公有地址(公网IP地 址)。
A:10.0.0.0 - 10.255.255.255 --- 相当于一个A类的网段
B:172.16.0.0 - 172.31.255.255 --- 相当于16个B类的网段
C:192.168.0.0 - 192.168.255.255 --- 相当于256个C类的网段
私网IP地址具有 ---- 可复用性 ---- 不允许私网IP地址在互联网使 用
我们习惯将使用私网IP地址通讯的网络称为私网,并且私网IP地址在 私网内部需要保证唯一性,使用公网IP地址通讯的网络称为公网。
NAT --- 网络地址转换 --- 他的基本作用就是实现私网IP地址和公 网IP地址之间的转换。
华为设备所有NAT相关配置,都是在边界路由器的出接口上配置。
静态NAT
动态NAT
NAPT
端口映射
静态NAT --- 一对一NAT
静态NAT简单来说,就是通过配置在私网边界路由器上建立维 护一张静态地址映射表。静态地址映射表反应了公网IP地址和私网IP
地址之间一一对应的映射关系。
静态NAT配置
[r2-GigabitEthernet0/0/2]nat static global 12.0.0.3 inside 192.168.1.2
1,必须属于公网IP地址网段中的一个
2,必须是花钱从运营商处买来的地址
这个地址我们称为 --- 漂浮地址 --- 当通过ARP请求一个漂浮地址 时,他将返回其对应物理接口的MAC地址。
[r2]display nat static --- 查看静态地址映射表
动态NAT --- 多对多
动态NAT的配置
1,创建公网IP组
[r2]nat address-group 0 12.0.0.4 12.0.0.8
公网IP地址必须是连续的并且是经过ISP授权的。
2,利用ACL抓取感兴趣流
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
3,将公网IP组和ACL抓取的流量对应
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0 no-pat
注意:动态NAT需要加no - pat
动态NAT在同一时间内其实也是一个一对一的NAT,当上网流量过大 时,将会造成延迟升高的现象。
NAPT ---- 网络地址端口映射 --- PAT
可以实现一个公网IP地址对应多个私网IP地址的效果,最多同一时 间允许通过65535个数据包。 ---- 一对多的NAT ---- EASY IP
NAPT也可以实现多对多的NAT,每一个公网IP地址同一时间都可以通 过65535个数据包。
EASY IP 配置
1,利用ACL抓取感兴趣流
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0
0.0.255.255
2,在接口上配置EASY IP
[r2-GigabitEthernet0/0/2]nat outbound 2000
多对多的NAPT配置
1,创建公网IP组
[r2]nat address-group 0 12.0.0.4 12.0.0.8
公网IP地址必须是连续的并且是经过ISP授权的。
2,利用ACL抓取感兴趣流
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
3,将公网IP组和ACL抓取的流量对应
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0
端口映射
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8080 inside 192.168.1.20 80
园区网:我们在生活与工作的园区内使用的网络
什么是园区网?
IEEE802.3 标准、 IEEE802.11 标准
园区网络分类
从规模分
按照终端用户数量或者网元(网络中的设备)来分
大型园区网:终端超过 2000 或者网元超过 100
中型园区网:终端在 200-2000 或者网元在 25-100 之间
小型园区网:终端小于 200 或者网元小于 25
从服务对象分
封闭园区网
开放园区网
从承载业务分
单业务园区网
多业务园区网
从接入方式分
有线园区网
无线园区网
从不同行业分
企业园区网络
校园网
商业园区网
政府园区网 园区网络的构成
园区网的发展历程:
第一代园区网
早期使用集线器,园区网被分成多个局域网,局域网之间使用路由器
二层交换机 --> 解决了冲突 --->BD 广播域太大
第二代园区网
万维网、即时通讯
三层交换机(路由式交换机) ---> 三层架构(核心层、汇聚层、接入层)组网方式
802.3u (快速以太网) --->100Mbps ; 802.3ab( 吉比特以太网 )--->1Gbps
淘汰了同样具备竞争力的 ATM 技术
以太网带宽的发展超过了园区网络业务需求的发展 SNMP (简单网络管理协议)
第三代园区网
2007 年 ---> 智能移动终端的元年
引入 wifi 网络
需求不足
安全威胁
NAC (思科网络准入控制系统)
传统网络架构不利于 wifi 部署
早期 wifi 部署,是对有线网络的延伸,直接挂载胖 AP (提供射频信号、认证、管理
等)
WAC-AP 部署模式
瘦 AP (仅具备提供射频信号功能)
所有的管理统一由 WAC (无线接入控制器)进行管理
华为推出 “ 敏捷园区网络 ”
第四代园区网
448
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
