三层交换机:路由器+交换机
![](https://img-blog.csdnimg.cn/direct/7698956153194e6599b4ba40d864f3d4.png)
创建vlan
![](https://img-blog.csdnimg.cn/direct/c141dc3c5e1e43d19120acacca153429.png)
配置0/0/2串口为vlan2,3接口为vlan3
![](https://img-blog.csdnimg.cn/direct/cccf1be6f36649bdbea1ff070df7c7bf.png)
![](https://img-blog.csdnimg.cn/direct/5db74567bdf04f5baa911a8ac5a546e4.png)
三层交换机的串口是不能直接配置地址,要在虚拟接口(vlan的接口)配置IP地址
配置vlan1的虚拟接口
![](https://img-blog.csdnimg.cn/direct/353b6dfe02e34c838596cf1fb3dcfcae.png)
此时vlan1的主机能ping通三层交换机串口1的地址
![](https://img-blog.csdnimg.cn/direct/48fb0aa558a04bec940da63b550667f7.png)
配置vlan2和vlan3
![](https://img-blog.csdnimg.cn/direct/efd6833c2c244a338b9a02f3eba7456e.png)
在配置网关地址
![](https://img-blog.csdnimg.cn/direct/76b9da6e2ca94488a11f70f55da149fd.png)
此时这三台电脑就能互联,如用2主机ping1主机
![](https://img-blog.csdnimg.cn/direct/342e562554db41f5be2cb5e0281fd1c2.png)
查看ip地址
![](https://img-blog.csdnimg.cn/direct/7de68ca057aa4d0cbe07fb5fe4be14dd.png)
查看三层交换机的路由表(实现了路由器的路由表功能)
![](https://img-blog.csdnimg.cn/direct/00477303bda2423ea618add7629914c2.png)
先查看路由表,看路由表中是否有该IP地址网络段的路由表,如果有该ip地址,查看其接口,然后查看该接口所连接的ip地址。及保证的广播泛滥,又能互相接通
![](https://img-blog.csdnimg.cn/direct/d5c3836c879c4c1a890050bc9467e592.png)
创建交换机的vlan2/3
![](https://img-blog.csdnimg.cn/direct/9ebfa3f7099b48b4ab912b89d31f5c12.png)
只有主机1能ping通三层交换机,其余主机都不能ping通,需要在二层交换机和三层交换机之间设置中继链路,让不同的vlan ping三层交换机(如果串口配置错误,需要clean清空串口然后undo shutdown重启串口)
![](https://img-blog.csdnimg.cn/direct/70c7997e284846cf869438c5da00272a.png)
![](https://img-blog.csdnimg.cn/direct/ba6e55d371504c6b83c211cfe4110872.png)
此时所有主机都能ping通
![](https://img-blog.csdnimg.cn/direct/a008162d592e4129a3f90ef3ce5de30e.png)
因为在三层交换机中有路由表,相当于一个路由器
![](https://img-blog.csdnimg.cn/direct/dc72eb03376a4a1293261b35c5eb1f65.png)
添加设备
![](https://img-blog.csdnimg.cn/direct/33033813286946128cf475161565a8c6.png)
配置路由器地址
![](https://img-blog.csdnimg.cn/direct/1428adfcb8154efd9eda57da238eaeb7.png)
配置三层交换机,先创建vlan然后配置虚拟vlan的IP地址,然后把串口加入到vlan中
![](https://img-blog.csdnimg.cn/direct/0f9c1db8ffa0405d9bcda1d9d44f05de.png)
![](https://img-blog.csdnimg.cn/direct/730052469f2c497dbf705cdb3bad4146.png)
![](https://img-blog.csdnimg.cn/direct/523a0797c87440a898f79f73722a6cb7.png)
此时对于三层交换机192.168.4.1的地址能ping通,而ping不了5.1主机
![](https://img-blog.csdnimg.cn/direct/4eaf291bec5d4d5c93684c5e1fda013a.png)
![](https://img-blog.csdnimg.cn/direct/edd6f8278e7445c7b2e542b0fce0e5a1.png)
可以设置动态路由来ping第5个网络段,
动态路由协议OSPF(开放式最短路径优先):动态路由能够相互学习,自动指定下一跳(适合复杂度大型网络),可以划分多个区域,第一个区域为0,宣告(自身可直连的网段)能去的网段
在三层交换机中配置动态路由:掩码可以是反掩码(0.0.0.255)
![](https://img-blog.csdnimg.cn/direct/b8cae774fe7e4a729e673089173748c2.png)
在路由器中配置动态路由:
![](https://img-blog.csdnimg.cn/direct/b7b722ec03fe4040bd22b85b637bd055.png)
此时该结构图所有的主机都能互通了
使用主机1.1ping5.1
![](https://img-blog.csdnimg.cn/direct/e5a484d26bd04777afb72c2bae6de425.png)
查看当前配置
![](https://img-blog.csdnimg.cn/direct/4767de07cf40433e99cc185fb0647fee.png)
查看三层交换机的路由表,此时查看三层交换机和路由器的路由表就有了所有的网段,
![](https://img-blog.csdnimg.cn/direct/c85edf9621de4cfdb9ae7cdc3ae407ea.png)
默认路由:特殊的静态路由,可以匹配任意网段,专门用来访问海量的网络
在路由器中先把之前设置的5网段的动态路由删除掉
![](https://img-blog.csdnimg.cn/direct/55effbc1f33144b68542a495ed86d054.png)
查看三层交换机路由表,此时三层交换机中已经识别到路由器的5网段动态路由被删除了,在其路由表中的5网段就自动删除了
![](https://img-blog.csdnimg.cn/direct/0c58e4740b35442e82a13d4f377a71e6.png)
然后再三层交换机上配置默认路由
![](https://img-blog.csdnimg.cn/direct/166cbc8be2f44d4f9f862275f41a6365.png)
查看三层交换机的路由表,直连路由表中没有的网络段会去默认路由表
![](https://img-blog.csdnimg.cn/direct/d7cccf57b0184000a735f927bb3ce939.png)
![](https://img-blog.csdnimg.cn/direct/e8682b743119490082a26c30347f2f8a.png)
传输层:定义端口号65536个(0~65535),定义了tcp、udp两个协议。
tcp(传输控制协议)高可靠,效率低,面向连接。
tcp传输数据时会用到一些标记:syn(打算与对方建立连接),ack(确认),fin(打算与对方断开连接)。
当访问服务器时会发生三次握手:
1、用户syn-->服务器,
2、服务器ack,syn-->用户,
3、用户ack-->服务器。
四次断开:
1、用户fin-->服务器
2、服务器ack-->用户
3、服务器fin-->用户
4、用户ack-->服务器
而udp(用户数据报协议)低可靠,高效率,无连接。
使用TCP协议传输数据的常见服务
端口 | 协议 | 作用 |
21 | FTP | 文件传输协议,用于上传下载 |
22 | SSH | 用于远程登录,管理网络设备 |
25 | SMTP | 简单邮件传输协议,用于发送邮件 |
53 | DNS | 域名服务 |
80 | HTTP | 超文本传输协议 |
443 | HTTPS | 超文本传输协议,附带安全加密功能 |
使用UDP协议传输数据的常见服务
端口 | 协议 | 作用 |
69 | TFTP | 简单文件传输协议 |
53 | DNS | 域名服务 |
123 | NTP | 网络时间协议 |
ACL:访问控制列表(Access Control List)是应用在路由器接口,控制数据的通路。
基本ACL列表号2000~2999,在列表中可以写某种规则,根据源ip来控制链路的联通
高级ACL列表号3000~3999,根据数据源ip、目标ip、端口号、协议
在ACL应用中同接口的同方向只能应用一个ACL列表,列表号是从上到下依次匹配。
基本ACL:
![](https://img-blog.csdnimg.cn/direct/61a8c86807cd4fffb1d2387025a096be.png)
配置路由器串口号
![](https://img-blog.csdnimg.cn/direct/637c5df41ba44c0eb4818c3784487cf1.png)
此时server ping client1
![](https://img-blog.csdnimg.cn/direct/6564263e30f04f0d8c4157e8ae8bc393.png)
想要让server和client1ping不通,其余都能ping
![](https://img-blog.csdnimg.cn/direct/4437105f785a4011823b1c8ab7e1eedd.png)
激活,在路由器1接口,应用ACL 2000列表来过滤进入的数据(inboud)
![](https://img-blog.csdnimg.cn/direct/70db6348b8eb4c4ca82a549cddad7bf5.png)
此时client1 ping 不通server
![](https://img-blog.csdnimg.cn/direct/055a532696a34ad3a89a909724750a57.png)
而client2能ping通
![](https://img-blog.csdnimg.cn/direct/526a8dc90cce42c289f14492b8dcec3d.png)
查看路由器ACL的配置
![](https://img-blog.csdnimg.cn/direct/66956dd6622f42548381b0d3a0a898ab.png)
删除规则undo rule 5(序号)
想要client1和server通,而server其他人不能ping
规则1:放行client2,,规则2:禁止所有
![](https://img-blog.csdnimg.cn/direct/dd6998aa4cf544fc8e6dc9c97571242b.png)
取消之前设置的禁止规则
![](https://img-blog.csdnimg.cn/direct/67d3cee6243f4b438957d169edc95430.png)
重新激活新规则
![](https://img-blog.csdnimg.cn/direct/32f8faf9aac04a42a6801929af78de9d.png)
此时只有cline1能ping其他不能pingserver
![](https://img-blog.csdnimg.cn/direct/129d209ca4d74951b352e0b6d8077fe9.png)
查看ACL列表规则
![](https://img-blog.csdnimg.cn/direct/a520a547d7584ea2b05e9b418a3d9bf9.png)
高级ACL:
![](https://img-blog.csdnimg.cn/direct/132e72c4a6c844769f3ce99596bab8e3.png)
先删除所有ACL,此时所有的服务器和客户端能互通
![](https://img-blog.csdnimg.cn/direct/17004326c710425e83bd5f4309eec988.png)
查看server和clienthttp和ftp服务
http
![](https://img-blog.csdnimg.cn/direct/dd176708d5544bdd8c8c7858c115e3c2.png)
![](https://img-blog.csdnimg.cn/direct/8a5c64be8bb7485d9f2312db93e320ac.png)
ftp
![](https://img-blog.csdnimg.cn/direct/aa394bac55884dcd9c6592c49bf772b1.png)
![](https://img-blog.csdnimg.cn/direct/e3389ea5bff443748861d7f3e0fb3b5b.png)
设置禁止2.2访问1.1的http网站服务,但不受其他影响
![](https://img-blog.csdnimg.cn/direct/24ba826203194aa49ec1db97528e7389.png)
删除之前的服务,激活当前服务(控制进入数据)
![](https://img-blog.csdnimg.cn/direct/c0e94fbee0504d12919eb7f6b39b26c1.png)
此时2.2就不能服务服务器的http服务
![](https://img-blog.csdnimg.cn/direct/7cafc26923814adf849bbd12118baecc.png)
设置禁止2.2访问1.1的ftp网站服务
![](https://img-blog.csdnimg.cn/direct/0482e579c2e84d1f817f6b54eeb3801a.png)
此时因为串口之前已经应用了ACL 3000,所以立即生效
![](https://img-blog.csdnimg.cn/direct/5eb5bfa6fc2840ee974618735ae1eaa3.png)
查询ACL设置的规则
![](https://img-blog.csdnimg.cn/direct/7fbb3e44f917488d996c172e672cdaf8.png)