HCIA第十一天到第十二天

第十一天

ACL ---- 访问控制列表

ACL的作用：

1， 访问控制： 在路由器流量流入或流出的接口上， 匹配流量， 然后 执行设定好的动作。  ---- permit 允许 , deny 拒绝

2， 抓取感兴趣流： ACL可以和其他服务结合使用。ACL只负责匹配流 量， 其他服务则对匹配上的流量执行对应的动作。

ACL的匹配规则： 自上而下， 逐一匹配， 如果匹配上， 则按照对应的动作 执行， 不再向下匹配。

思科体系的设备： 在ACL列表末尾隐含一条拒绝所有的规则

华为体系的设备： 在ACL列表末尾隐含一条允许所有的规则

ACL列表的分类

基本ACL --- 仅关注数据包中的源IP地址

高级ACL --- 不仅关注数据包中的源IP地址， 还会关注数据包中的目 标IP地址， 以及协议和目标端口号

二层ACL

用户自定义ACL

需求一： PC1可以访问PC3和PC4， 但是PC2不行

基本ACL的位置原则： 因为基本ACL只关注数据包中的源IP地址， 故调用时 尽可能的靠近目标， 避免对其他地址访问造成误伤

1， 创建一张ACL列表 [r2]acl ?

INTEGER<2000-2999> rules)

---- 基本ACL

INTEGER<3000-3999> rules)

----- 高级ACL

Basic access-list(add to current using

Advanced access-list(add to current using

INTEGER<4000-4999>  Specify a L2 acl group

---- 二层ACL

ipv6

name

number

ACL IPv6

Specify a named ACL

Specify a numbered ACL

[r2]acl 2000

[r2-acl-basic-2000]

2， 在ACL列表中添加规则

[r2-acl-basic-2000]rule deny source 192.168.1.3 0.255.0.255 --- 通配符 --- 0代表不可变， 1代表可变 --- 通配符中0和1可以穿插使用

[r2-acl-basic-2000]rule permit source any --- 允许所有

[r2]display acl 2000

华为默认以5为步调， 自动添加ACL的规则的序号。其目的在于匹配规 则是从上向下按顺序匹配， 这样便于在其中插入规则。

[r2-acl-basic-2000]rule 6 deny source 192.168.1.2 0.0.0.0 --- 自 定义序号添加规则

[r2-acl-basic-2000]undo rule 6 --- 按照序号删除规则

3， 在接口上调用ACL列表

[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 注意： 在一个接口的一个方向上， 只能调用一张ACL列表。

需求二： 要求PC1可以访问PC3， 但是不能访问PC4

高级ACL的位置原则： 因为高级ACL是精准匹配， 不会造成误伤， 所以， 在 调用时应该尽量靠近源目标， 避免造成额外的链路资源浪费。

[r1]acl name aa 3000 --- 通过重命名的方式创建ACL列表 [r1-acl-adv-aa]

[r1-acl-adv-aa]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name aa --- 通过重命名的方式调用ACL列表

需求三： 要求PC1可以ping通R2， 但是不能telnet R2

telnet --- 远程登录协议

带外管理 --- 通过console接口连接console线对设备进行控制

----  通过miniUSB接口连接MINIUSB线对设备进行控制 带内管理 --- 通过telnet管理路由器

--- 通过web界面管理路由器

--- 通过SNMP协议进行设备管理

telnet进行管理的前提条件

1， 登录设备和被登录设备之间网络必须时联通的

2， 被登录设备必须开启telnet服务

telnet ---- C/S架构 --- 被登录设备充当telnet服务器的角色， 登 录设备充当telnet客户端的角色。  ---- TCP 23

路由器开启telnet服务的方法：

1， 在AAA中创建用户名

[r2]aaa  ---- 进入aaa服务

[r2-aaa]

[r2-aaa]local-user aa privilege level 15 password cipher 123456

Info: Add a new user.

[r2-aaa]  --- 创建用户名和密码

[r2-aaa]local-user aa service-type telnet --- 设置用户服务类 型

2， 开启虚拟的登录端口

[r2]user-interface vty 0 4

[r2-ui-vty0-4]

[r2-ui-vty0-4]authentication-mode aaa

[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

第十二天

VLAN

V --- 虚拟的

LAN --- 局域网 --- 地理覆盖范围较小的网络

MAN --- 城域网

WAN --- 广域网

LAN --- 广播域

VLAN --- 虚拟局域网 --- 交换机和路由器协同工作后， 将原来的一个广 播域逻辑上切分为多个

第一步： 创建VLAN

[Huawei]display vlan  --- 查看交换机上的VLAN信息

VID --- vlan ID --- 区分和标定不同VLAN ---- IEEE组织802.1Q标

准 --- 12位二进制构成 --- 0 - 4095 其中， 0和4095为保留号码， 可以 使用的取值范围为 1 - 4094

[Huawei]vlan 2  --- 创建VLAN

[Huawei]vlan batch 4 to 100 --- 批量创建VLAN

[Huawei]undo vlan batch 4 to 100 --- 批量删除

第二步： 将接口划入VLAN

VID配置映射到交换机的接口， 实现VLAN范围的划分 --- 物理VLAN/ 一层VLAN

VID配置映射到数据帧中的MAC地址， 实现VLAN范围的划分 --- 二层 VLAN

数据帧中的类型字段标记着上层协议类型， 和VID进行映射， 则可以 实现VLAN范围的划分 --- 三层VLAN

交换机的转发原理： 数据通过接口进入到交换机， 交换机先看数据中的源

MAC地址和接口的映射关系， 顺便， 将接口所对应的VID也进行记录。之   后， 看目标MAC地址， 若目标MAC地址在MAC地址表中有记录且记录中的VID 和源MAC对应的VID相同， 则进行单播； 否则， 进行泛洪， 泛洪范围为VID  和源MAC地址对应VID相同的接口。

为了区分不同VLAN的数据， 我们可以在数据上增加标签

（TAG） 。IEEE组织规定，在原数帧中源MAC地址和类型字段之间， 增加4 个字节作为tag --- 包含12位VID。将符合这样要求的帧结构称为802.1Q 帧或tagged帧。将正常的帧结构称为untagged帧。

根据这个特性， 我们将交换机和电脑之间的链路称为ACCESS链

路。ACCESS链路只能通过untagged帧， 并且， 这些帧只能属于某一种特定 的VLAN。我们把交换机和交换机之间的链路称为trunk链路（trunk干     道） ，trunk干道中允许通过tagged帧， 并且可以属于多个VLAN。

第三步： 配置trunk干道（sw - sw , sw - R）

第二步： 将接口划入VLAN

[Huawei]int g 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-type access --- 选择 链路类型

[Huawei-GigabitEthernet0/0/1]port default vlan 2 --- 设置链 路中通过VLAN

[Huawei]port-group group-member GigabitEthernet 0/0/3 GigabitEthernet 0/0/4

[Huawei-port-group]  --- 将接口放入到接口组中

第三步： 配置trunk干道

[Huawei]int g 0/0/5

[Huawei-GigabitEthernet0/0/5]port

[Huawei-GigabitEthernet0/0/5]port INTEGER<1-4094>  VLAN ID        all              All

[Huawei-GigabitEthernet0/0/5]port 3

link-type trunk

trunk allow-pass vlan ?

trunk allow-pass vlan 2 to

第四步： VLAN间路由 --- 单臂路由

子接口 --- 路由器的一种虚拟接口， 将一个物理接口， 逻辑上划分 为多个虚拟接口

1， 创建子接口

[r1]int g 0/0/0.2

[r1-GigabitEthernet0/0/0.2]

2， 配置子接口

[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2 --- 定义 子接口管理的VLAN

[r1-GigabitEthernet0/0/0.1]arp broadcast enable  --- 开启ARP广播