目录
一、vlan通信
1.1 单臂路由
1.1.1 利用子接口和802.1Q技术
Router(config)#int g0/0/0.XXX ----进入子接口,XXX为子接口id
Router(config-subif)#encapsulation dot1Q XXX ----封装vLAN接口信息,XXX为vlan编号
Router(config-subif)#id address 192.168.1.1 255.255.255.0
子接口和母接口只能二选一,配了一个,另一个不生效
交换机上:创建vlan,把相关接口加入到vlan中,交换机和路由器互联的接口改为trunk
1.1.2 用三层交换机和vlan接口实现实现vlan通信
在三层交换机上:①创建vlan,把接口加入到对应vlan中
Switch(config)#ip routing ----开启路由功能
②进入vlan接口,配置IP地址,作为该vlan下的所有设备的网关
Switch(config-if)#ip address 192.168.1.254 255.255.255.0
二、ACL
2.1 基础知识
ACL:访问控制列表,用来识别数据的。需要指定规则(报文特征),来找到数据
deny / permit
包顾虑防火墙、NAT、路由策略、QoS...
1.每个数据包都会逐个匹配ACL,直到匹配某个规则为止,执行对应动作
2.ACL是应用在接口上的,可以对进或者出的数据进行过滤
3.ACL具有很强的方向性,数据只会被该接口的该方向的ACL过滤
4.ACL的规则有序列号,数据会按照规则配置依次匹配,规则在配置时,匹配范围(筛选范围)小的尽量靠前,匹配范围(筛选范围)大的尽量靠后。
5.在思科体系总,ACL的默认规则是拒绝所有数据
ACL中,通过通配符符掩码来找数据,将通配符掩码和IP地址结合,来表示一个范围
通配符掩码,有二进制组成,
0表示对应位必须比较,比较结果必须和原数一致
1表示对应位不需要比较,比较结果不需要和原数一致
通配符掩码:0.0.0.0 = host
255.255.255.255 = any
例 : IP地址 : 170.30.16.0
通配符掩码:0.0.15.255
10101010 00011110 00010000 00000000
00000000 00000000 00001111 11111111
10101010 00011110 00010000 00000000
1111 11111111
170.30.16.0-255 = 170.30.16.0/24
170.30.17.0-255 = 170.30.17.0/24
. . .
170.30.31.0-255 = 170.30.31.0/24
思科中:ACL可分为标准ACL和拓展ACL
标准ACL:id 1-99 只匹配数据的源IP,只根据数据的源IP地址来制定规则。数据过滤比较简单粗糙
例:三个路由器已经手工配置的静态路由
例1:现在如果采用Route3
①先创建ACL
R3(config)# access-list +id +deny / permit +源IP地址 +通配符掩码
R3(config)# access-list 1 deny 100.1.1.0 0.0.0.255
②再绑定接口
R3(config)#int g0/0/0
R3(config-if)#ip access-group 1 in /out(考虑数据的进出方向)
在R2上ping 操作一下,不可达,再在R3上查看ACL次数
如果ACL规则后没有match,要么是规则写错了,要么是数据没有到达ACL绑定的接口。
删除,进入手工配置的静态路由后的状态
拓展ACL:id 100-199 可以根据源目的IP地址、协议号、端口号……来指定规则,数据过滤会更加细致
R3(config)# access-list +id +deny/permit +协议 +源IP地址 +通配符掩码 +目的源IP地址 +通配符掩码 +eq +端口号
例2:从R2远程登录到R4上
R4上操作:
R2上操作:
让R2不能远程登录R4,其他功能正常,如ping操作正常
(1)先创建ACL
R3(config)# access-list +id +deny/permit +协议 +源IP地址 +通配符掩码 +目的源IP地址 +通配符掩码 +eq +端口号
R3(config)#access-list 100 deny tcp 100.1.1.1 0.0.0.0 200.1.1.2 0.0.0.0 eq telnet
(2)再绑定接口
R2无法登陆
R3(config)#access-list 100 permit ip any any
R2(config)#no ip access-list standard 1 ---- 删除列表1
三、NAT技术:网络地址转换技术
IP地址分为公网地址和私网地址
私网地址:任何个人/企业/组织都可以使用的地址 10.0.0.0 -10.255.255.255
172.16.0.0-127.255.255.255
192.168.0.0-192.168.255.255
公网地址:不可以重复,全网唯一,公网和私网之间禁止通信
NAT:网络地址转换,完成公网地址和私网地址之间的转换
1.静态一对一转换(station转换)
2.动态转换,需要配置地址池
①设置内网和公网
Router(config-if)#ip nat inside / outside
②配置ACL,找到需要做地址转换的数据
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
③配置地址池
Router(config)#ip nat pool test 100.1.1.100 100.1.1.200 netmask 255.255.255.0 ----创建地址池,名字test
④把ACL和地址池关联
Router(config)#ip nat inside source list 1 pool test
Router#show ip nat translations ---查看地址值转换过程(要在ping一下才有转换过程)
删除:
3.基于端口的转换,不需要配置地址池
①配置ACL,找到需要做地址转换的数据
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
②把ACL和地址池关联
Router(config)#ip nat inside source list 1 interface g0/1 overload
四、路由补充
特殊路由:默认路由 0.0.0.0/0 代表所有网络范围
明细路由:记录的是去往某个明确的网络范围
如果设备的默认路由额明细路由同时存在,按照掩码越长越优的原则,优先匹配明细路由
serial线缆中运行的是PPP(点到点)协议
R1(config)#IP +route +目的网络 +掩码 +出接口 (该接口运行PPP协议)
R1(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0
利用NAT实现上网
Roouter1:
pc1:
DNS1
HTTP1
最后pc1实现:
五、eigrp 协议(Cisco特有协议)
Router(config)#route eigrp ?
<1-65535> Autonomous system number
Router(config)#route eigrp XXX ---开启eigrp,XXX为AS号
Router(config-router)#network 192.168.1.0 255.255.255.0 ----宣告直连网段
Router(config-router)#no auto-summary ----关闭自动汇总功能
Router(config-router)#eigrp router-id x.x.x.x ----配置RID,x.x.x.x为RID号
Router#show ip eigrp neighbors ----查看eigrp的邻居信息