目录
三层交换机
使用三层交换技术实现VLAN间通信
三层交换=二层交换+三层转发
三层交换机使用过程:
- 1.添加VLAN (vlan batch 2 3)
- 2.对应的接口添加相应的VLAN (int vlan 2)
- 3.进入VLAN虚拟接口配置IP (port link-type access , port default vlan 2)
添加s3700交换机
配置vlan,添加接口,并将4口设置为trunk _________
| 三层交换机 |
vlan batch 2 3 __________
|g0/0/1
in e0/0/2 (3) |e0/0/4
----------
port link-type access | 二层交换机 |
------------
port default vlan 2 (3) e0/0/1 e0/0/2 e0/0/3
pc1 pc2 pc3
in e0/0/4
port link-type trunk
port trunk allow-pass vlan all
在三层交换机上
in g0/0/1
port link-type trunk
port trunk allow-pass vlan all
连接外网
三层交换机主要用于内部网络连接,路由器可以负责连接外网
三层交换机配置IP地址思路
1.创建一个vlan (vlan 4)
2.进入该vlan的虚拟接口配置IP (in vlan 4 ,ip address 192.168.4.1 24)
3.将对应的接口加入该vlan (port link-type access , port default vlan 4)
动态路由
基于某种路由协议实现,适合大中型网络
- 特点:
- 减少了管理任务
- 占用了网络带宽
ospf 协议,开放最短路径优先协议
ospf区域
为了使用大型的网络,ospf在网络内部划分多个区域
每个ospf路由器只维护所在区域的完整链路状态信息
区域ID
区域ID可以表示成一个十进制的数字
也可以表示成一个IP
骨干区域0
负责区域间路由信息传播
ospf配置:
三层交换机
ospf
arae 0 #启动ospf路由进程并进入首个区域
network 192.168.1.0 0.0.0.255 #宣告所在网段
network 192.168.2.0 0.0.0.255
network 192.168.3.0 0.0.0.255
network 192.168.4.0 0.0.0.255
quit #返回系统视图
ip route-static 0.0.0.0 0 192.168.4.2 #添加通往外网的默认路由
路由器
ospf
area 0
network 192.168.4.0 0.0.0.255 #由于三层交换机已经拥有通往外网的默认路由,所以路由器只宣告4网段即可
undo network 192.168.5.0 0.0.0.255 #取消5网段的宣告
传输层
传输层的作用
- 网络层提供点到点的链接
- 传输层提供端到端的连接
传输层两个重要的协议
- TCP 可靠,但效率低,面向连接
- UDP 不可靠,但效率高,无连接
三个重要的标志位:
syn:打算与对方建立连接
ack:确认
fin:打算与对方断开连接
三次握手:
客户机向服务器发送syn
服务器向客户机回ack,syn
客户机向服务器回ack
四次断开 :
客户机向服务器发送fin
服务器向客户机回ack
一段时间之后服务器向客户机发送fin
客户机回给服务器ack
TCP的应用
端口 | 协议 | 说明 |
21 | FTP | 文件传输协议,用于上传下载 |
23 | Telnet | 用于远程登录,通过连接计算机的这一端口,得到验证后可以远程控制管理目标计算机 |
25 | SMTP | 简单的邮件传输协议,用于发送邮件 |
53 | DNS | 域名服务,当用户输入网站的名称后,由DNS负责将将它解析成IP地址,这个过程中用到的端口是53 |
80 | HTTP | 超文本传输协议,通过HTTP实现网络上超文本的传输 |
UDP应用
端口 | 协议 | 说明 |
69 | TFTP | 简单文件传输协议 |
53 | DNS | 域名服务 |
123 | NTP | 网络时间协议 |
ACL访问控制列表
- 作用:
- 访问控制列表是应用在路由器接口的指令列表(即规则)
- 能够读取第三层和第四层报文头信息
- 根据预先定义好的规则对报文进行过滤
三层 IP地址 源IP 目标IP
四层 协议 端口
ACL的主要类型
分类 | 编号范围 | 参数 |
基本ACL | 2000-2999 | 源IP地址 |
高级ACL | 3000-3999 | 源IP地址,目的IP地址,端口,协议 |
ACL规则
每个ACL可以包含多个规则,路由器根据规则对数据流量进行过滤,匹配即停止
基本ACL规则
- 基于源IP地址过滤数据包
- 列表号2000-2999
高级ACL规则
- 基于IP地址,目的IP地址,源端口,目的端口,协议过滤数据包
- 列表号3000-3999
例:
acl 2000 #使用基本acl,列表号2000
rule deny source 192.168.2.1 0.0.0.0 #创建规则,禁止源地址是2.1的数据通过
interface g0/0/1 #进入接口
traffic-filter inbound acl 2000 #在接口的入方向应用acl规则
display acl 2000 #查看acl
如果设置出错,可以undo rule deny source 192.168.2.1 0.0.0.0
放行2.1,其他设备禁止通过
acl 2000
rule permit source 192.168.2.1 0 #放行2.1
rule deny source any #拒绝所有设备
使用高级acl,禁止2.1访问1.1的ftp,禁止2.2访问1.1的网站,其他服务不限制
acl 3000
rule deny tcp source 192.168.2.1 0 destination 192.168.1.1 0 destination-port eq 21 #定义规则,拒绝2.1访问1.1的tcp号端口,也就是拒绝访问ftp服务
rule deny tcp source 192.168.2.2 0 destination 192.168.1.1 0 destination-port eq 80 #定义规则,拒绝2.2访问1.1的tcp的80号端口,也就是拒绝访问web(www)服务
interface g0/0/1
traffic-filter inbound acl 3000 #在接口中应用acl
rule deny source any #拒绝所有设备
undo traffic-filter inbound #在接口中如果要更换列表号,需要先删除原有列表