VLAN
V---->虚拟
LAN---->局域网---地理覆盖范围较小的网络
MAN----->城域网
WAN----->广域网
VLAN ---- 虚拟局域网 ---- 交换机和路由器协同工作,将原来的一个广播域 逻辑上切分为多个。
第一步:创建VLAN
<Huawei>display vlan -------- 查看交换机VLAN情况
VID ---- VLAN ID ----- 区分和标定不同VLAN的 --- IEEE组织颁布了802.1Q标准,专门定 义了VLAN技术 --- 要求VID由12位二进制构成 ---- 0~4095,其中0和4095为保留值, VID的真实取值范围为1~4094
[sw1]vlan 2 ------- 创建VLAN
[sw1]vlan batch 4 to 100 ----- 批量创建VLAN
[sw1]undo vlan batch 4 to 100 -------- 批量删除VLAN
第二步:将接口划入VLAN
VID配置映射到交换机的接口,实现了VLAN的划分----物理VLAN/一层VLAN
VID配置映射到数据帧中的MAC地址,实现VLAN、的划分---二层VLAN
VID配置映射到数据帧中的类型字段,实现VLAN的划分-----三层VLAN
现在的交换机,也可以通过IP地址进行VLAN范围的划分甚至时是通过策略 进行VLAN 的划分。
<sw1>display mac-address ----- 查看交换机中的MAC地址表
IEEE组织在802.1Q标准中规定,在以太网Ⅱ型帧源MAC地址和类型字段之间,添加 4 个字节的标签 --- tag,这样的帧我们称为802.1Q帧或tagged帧。不带标签的帧可以被 称为untagged帧。
根据这个特性,我们将交换机和电脑之间称为Access链路,交换机侧的接口称为 Access接口,Access链路中只能通过untagged帧,并且,这些帧一定属于某一种特定 的VLAN。交换机和交换机之间的链路,我们称为trunk链路(trunk干道),交换机侧 的接口称为trunk接口,trunk干道允许通过tagged帧,并且这些帧可以属于多个VLAN。
第三步:配置trunk干道(SW-SW SW-R)
第二步配置:
[sw1-GigabitEthernet0/0/1]port link-type access ----- 配置接口类型
[sw1-GigabitEthernet0/0/1]port default vlan 2 ------ 将接口划分到VLAN 2
[sw1]port-group group-member GigabitEthernet 0/0/3 GigabitEthernet 0/0/4
[sw1-port-group] ------ 创建接口组,对接口组内的接口进行相同配置
第三步配置:
[sw1-GigabitEthernet0/0/5]port link-type trunk
方法一:
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3 ---- 配置trunk干道允许VLAN2 和3通过
[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan all ------ 允许所有VLAN通过
方法二:
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3 ---- 配置trunk干道允许VLAN 2到3通过
第四步:VLAN间路由 ----- 单臂路由
子接口 --- 将路由器的物理接口在逻辑上进行划分,划分成多个虚拟的子接口
[r1]interface GigabitEthernet 0/0/0.?
<1-4096> GigabitEthernet interface subinterface number
[r1]interface GigabitEthernet 0/0/0.1
[r1-GigabitEthernet0/0/0.1]
配置子接口
[r1-GigabitEthernet0/0/0.1]ip address 192.168.1.1 24 ---- 配置子接口IP地址
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2 ----- 用802.1Q标准管理VLAN 2
[r1-GigabitEthernet0/0/0.1]arp broadcast enable ---- 开启ARP广播(子接口默认不开启 ARP广播应答,通过这个命令开启后将应答对应的物理接口的MAC地址)
NAT --- 网络地址转换
在IP地址空间中,A,B,C三类地址中各有一部分地址,他们被称为私有地址(私网IP地址),其余的 被称为公有地址(公网IP地址)。
A:10.0.0.0 - 10.255.255.255 ---- 相当于一个完整的A类网段
B:172.16.0.0 - 172.31.255.255 -- 相当于拿出了16条B类的网段
C:192.168.0.0 - 192.168.255.255 --- 相当于拿出了256条C类的网段
我们一般习惯将使用私网IP地址通信的网络称为私网(私网IP地址具有可复用性,但是必须保证私网 内部的唯一性。),使用公网IP地址通信的网络,称为公网。
NAT ---- 网络地址转换 --- 他的基本作用就是实现私网IP地址 和公网IP地址之间的转换。
华为设备所有NAT相关的配置均在边界路由器的出接口上进行配置。
私网内发出数据包来到边界路由器上转发时会先判断是转向公网还是私网,如果是私网直接转发,是公网就要对源IP地址进行映射表进行转换,转换成公网IP地址,同样的公网发出的数据包进入私网也要先在边界路由器进行地址转换再转发。
静态NAT ---- 一对一的NAT
静态NAT简单来说,就是通过 配置在私网边界路由器上建立维护 一张静态地址 映射表。静态地址映射表反应的是公有IP地址和私有IP地址之间一一对应的关系。
做静态NAT是不能使用出接口配的公网IP地址。
[r2-GigabitEthernet0/0/2]nat static global 12.0.0.3 inside 192.168.1.2 ------ 12.0.0.3 ---- 1、必须是花钱购买的公网IP地址,2、必须和出接口在同一个网段
[r2-GigabitEthernet0/0/2]display nat static ----- 查看静态地址映射表
此时arp缓存表记录的12.0.0.1和12.0.0.3的物理地址是一样的,而并未再接口处 配置12.0.0.3的地址,这里的12.0.0.3地址我们称为漂浮地址。
动态NAT --- 多对多的NAT
动态NAT在同一个时间还是一个公网IP地址对应一个私网IP地址,所以,当上网 需求量比较大的时候,便需要排队使用,导致延迟上升。
1、创建公网IP地址组
[r2]nat address-group 1(公网地址组的编号,最多可创建8个公网地址组) 12.0.0.4 12.0.0.8(公网IP地址组的地址必须是连续的,都是花钱向运营商买来的)
2、通过ACL抓取私网流量
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
3、在出接口配置动态NAT
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 no-pat
NAPT(PAT) ---- 网络地址端口转换 ---- 可以实现多对多的NAPT和一对多的NAPT
一对多的NAPT ---- EASY IP
多对多的NAPT配置
1、创建公网IP地址组
[r2]nat address-group 1(公网地址组的编号,最多可创建8个公网地址组) 12.0.0.4 12.0.0.8(公网IP地址组的地址必须是连续的,都是花钱向运营商买来的)
2、通过ACL抓取私网流量
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
3、在出接口配置多对多的NAPT
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1
EASY IP的配置方法:
1、通过ACL抓取私网流量
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
2、在出接口做EASY IP
[r2-GigabitEthernet0/0/2]nat outbound 2000
端口映射
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
客户端访问服务器
配置私网第二台服务器的端口映射
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8080 i
nside 192.168.1.20 80
客服端访问第二台服务器后加映射端口好
391
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
