第二章
网络安全基础技术
VLAN:虚拟局域网(用在交换机上)
- vlan —隔离技术
- 先用vlan把用户隔离开,再用某种技术把隔离开的用户连接起来并正常通信
- 隔离:隔离的是故障
- 连通:连通的是正常通信
作用:
-
限制广播域:广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
-
增强局域网的安全性:不同VLAN内的报文在传输时相互隔离,即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
-
提高了网络的健壮性:故障被限制在一个VLAN内,本VLAN内的故障不会影响其他VLAN的正常工作。
-
灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
通俗易懂:就是用来划分区域,互不干扰,当一个区域坏了(或者被渗透了),不会影响到其他区域
实验:创建vlan
拓扑图
LSW1:
u t m — 关闭提示
sys — 进入系统视图
vlan 10 — 创建vlan10
vlan 20 — 创建vlan20
dis vlan — 查看是否创建成功
int g0/0/1 — 进入0/0/1接口
port link-type access — 将0/0/1接口设置为access接口类型
port default vlan 10 — 将0/0/1接口划分到vlan10里面
int 0/0/2 — 进入0/0/2接口
port link-type access — 将0/0/2接口设置为access接口类型
port default vlan 20 — 将0/0/1接口划分到vlan20里面
PC1: ping PC2 — 配置完后发现 ping 不通,说明已经讲两个接口划分到不同接口模型上。
交换机的接口模式
-
access:用来连接终端的,比如:电脑,打印机等
-
trunk:用来连接其他交换机、路由器等
我们如何让同一接口模型互通呢,接下来看实验
实验:同一VLAN互通,不同VLAN不通
拓扑图
LSW1:
u t m
sys
vlan batch 10 20 — 创建vlan10 20 (快捷码)
int g0/0/1
port link-type access
port default vlan 10
int g0/0/2
port link-type access
port default vlan 20
int g0/0/3
port link-type trunk — 将0/0/3接口设置成trunk接口类型
port trunk allow-pass vlan all — trunk接口允许所有vlan通过(all — 所有的意思)
LSW2:
u t m
sys
vlan batch 10 20
int g0/0/2
port link-type access
port default vlan 10
int g0/0/3
port link-type access
port default vlan 20
int g0/0/1
port link-type trunk
port trunk allow-pass vlan all
#查看是否ping通
vlan 10:PC1 ping PC3
vlan 20:PC2 ping PC4
上面讲了让同一接口模型互通,接下来讲如何让不同接口互通呢,看实验
三层交换技术
vlanif — 逻辑接口
- 通常此接口地址用vlan下用户的网关
作用:
- 用来实现不同vlan的用户可以通信的(就是互通)
实验:不同vlan互通
拓扑图
LSW1:
u t m
sys
vlan batch 10 20
int g0/0/1
port link-type access
port default vlan 10
int g0/0/2
port link-type access
port default vlan 20
int g0/0/3
port link-type trunk
port trunk allow-pass vlan all
LSW2:
u t m
sys
vlan batch 10 20
int g0/0/1
port link-type trunk
port trunk allow-pass vlan all
quit
int vlanif10 — 进入vlanif10接口
ip address 10.10.10.254 24 — 配置vlanif10接口的ip地址(这里的IP地址必须是PC1上的网关和子网掩码)
int vlanif20
ip address 20.20.20.254 24
PC1:ping PC2
ping 20.20.20.20
课外知识:单臂路由技术
- 另外一种不同vlan可以互通的技术
拓扑图
LSW1:
u t m
sys
vlan batch 10 20
int g0/0/1
port link-type access
port default vlan 10
int g0/0/2
port link-type access
port default vlan 20
int g0/0/3
port link-type trunk
port trunk allow-pass vlan all
AR1:
u t m
sys
#因为有两个vlan,所以需要将0/0/0接口分为两个子接口,分别对应vlan的数据
int g0/0/0.10
int g0/0/0.20
q — 返回上一级(quit的简写)
int g0/0/0.10 — 进入0/0/0.10的子接口
dot1q termination vid 10 — 指定这个子接口与vlan10关联(vid — vlan的id)
arp broadcast enable — 开启ARP广播功能(允许arp广播)
ip address 10.10.10.254 24
dis this — 查看自己配置的哪些命令
int g0/0/0.20
dot1q termination vid 20
arp broadcast enable
ip address 20.20.20.254 24 —配置0/0/0.20子接口的ip地址(这里的IP地址必须是PC1上的网关和子网掩码)
#查看是否互通
PC1:ping PC2 的IP地址
ping 20.20.20.20
小知识:
arp—地址解析协议
- 是网络通信必备协议,用来解析某个IP所对应的MAC地址
Energy Efficient Ethernet(EEE)是一种节能技术,具体指IEEE 802.3az标准。该技术的目标是在网络设备(如交换机、路由器等)的网卡没有流量时自动降低功耗,以节省能源。EEE技术在网络使用率较低时特别有用,因为它可以在不影响网络性能的情况下降低设备的能耗。如果网络中存在大量的空闲时间,且网络设备支持EEE技术,那么配置EEE命令可以帮助降低设备的能耗,从而节省能源和运营成本。
为了允许这些终结子接口能够转发广播报文,就需要在子接口上执行 arp broadcast enable命令;反之如果不不执行终结子接口不能够转发广播报文
442
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
