交换技术
垃圾流量问题
交换机在接收到未知单播或广播帧时,会进行洪泛或广播操作,占用其他设备资源及带宽资源
安全问题
计算机接收到本不应该受到的数据帧,从而读取内容
VLAN----
虚拟局域网
VLAN
数据帧
VLAN
类型
基于端口的
VLAN----
一层
VLAN
最常见的方式
由网络管理员进行配置,将
vlan
编号与交换机物理接口对应。此后,从该接口进入的数据帧都
将属于该
vlan.
基于
MAC
地址的
VLAN---
二层
vlan
配置一个
vlan
和
mac
地址的映射表单,当数据帧进入交换机时,交换机查询该表单,根据不同
的源
MAC
地址来划分不同
vlan
一般用于
PC
接入交换机的端口会改变的网络。
基于协议的
VLAN
划分
----
三层
vlan
VLAN
的配置
1
、在交换机上创建
vlan
[sw1]vlan 2 -----
默认情况下交换机存在
vlan 1
,并且所有接口属于
vlan 1
[sw1]vlan batch 2 to 10 20 ----
批量创建
vlan2
到
vlan10
以及
vlan20
2
、将接口划入
vlan
[sw1]interface GigabitEthernet 0/0/1
[sw1-GigabitEthernet0/0/1]port link-type access -----
修改链路类型为
Access
[sw1-GigabitEthernet0/0/1]port default vlan 2 ----
修改端口所属
vlan
[sw1]display vlan ----
查看
vlan
表单
端口类型
Access
类型
一般用于交换机与终端相连的接口
Trunk
类型
一般用于交换机与交换机相连的接口
Hybrid
类型
同时具备
Access
以及
Trunk
端口的功能
3
、配置
Trunk
干道
[sw1]interface GigabitEthernet 0/0/24
[sw1-GigabitEthernet0/0/24]port link-type trunk ----
将接口链路类型设置为
trunk
干道
[sw1-GigabitEthernet0/0/24]port trunk allow-pass vlan 2 3 ----
在
trunk
干道的允许列表中加入
vlan2
和
vlan3
VLAN
间路由
多臂路由
单臂路由
[r1]interface GigabitEthernet 0/0/0.1
[r1-GigabitEthernet0/0/0.1]ip address 192.168.2.254 24
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2 ----
声明该子接口所能处理的
VLAN
标签
[r1-GigabitEthernet0/0/0.1]arp broadcast enable -----
开启子接口
ARP
广播功能
交换机连接路由器的接口链路类型修改为
Trunk
类型。
子接口具备对
VLAN Tag
的处理能力,可以将数据帧中的
VLAN Tag
剥离或添加。
子接口是由物理接口
ID+
子接口
ID
进行标识。
三层交换机
1
、创建
vlan
[sw5]vlan batch 2 3
2
、将接口划入
vlan
或配置
Trunk
干道
[sw5]interface GigabitEthernet 0/0/1
[sw5-GigabitEthernet0/0/1]port link-type trunk
[sw5-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
3
、创建
SVI
接口
-----
完成前两步
[sw5]interface Vlanif 2 ----
创建具备对
vlan 2
的标签进行操作的接口
[sw5-Vlanif2]ip address 192.168.2.254 24
1
、设计拓扑
2
、规划
vlan
及
IP
网段
3
、配置
---
配置二层网络
---
配置
IP
地址
---
配置路由
----
策略
4
、割接
ACL
技术
----
访问控制列表
ACL
原理
设备根据事先设置好的报文匹配规则对经过该设备的流量进行匹配,然后对报文执行预先设定
的处理动作。
ACL
功能
访问控制
----
在流量流入或者流出的接口上匹配流量。
动作
允许
---permit
拒绝
----deny
抓取流量
ACL
匹配规则
自上而下、逐一匹配,匹配上则按照规则进行执行,不再向下匹配
若没有匹配上,则执行默认规则
华为中,
ACL
访问控制列表末尾隐含条件为
允许所有
。
ACL
分类
基本
ACL
只能基于
IP
报文的源
IP
地址、报文分片标记来定义规则。
规则编号:
2000-2999
高级
ACL
可以基于
IP
报文的源
IP
地址、目的
IP
地址、
IP
报文的协议字段、
IP
优先级、长度、
TCP
的
源目端口、
UDP
源目端口等信息来定义规则
规则编号:
3000-3999
二层
ACL
使用以太网数据帧定义规则
编号:
4000-4999
用户自定义
ACL
需求一
:允许
PC1
访问
192.168.2.0/24
网段,而
PC2
不行。
分析:该需求仅对源有要求,配置基本
ACL
,且因为基本
ACL
仅关注数据包中的源
IP
地址;故配置
时尽量靠近目标,避免对其他地址访问误伤。
[r2]acl 2000 ----
创建基本
ACL
列表
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 ---
编写规则
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ----
调用策略
[r2]display acl 2000 -----
查看
ACL
列表
通配符:
0
代表不可变;
1
代表可变。
可以精准匹配某一个
IP
地址或网段。
1
、拒绝
192.168.1.2
和
192.168.1.3
rule deny source 192.168.1.2 0.0.0.1
00000011
00000001
2
、拒绝
192.168.1.0/24
网段
rule deny source 192.168.1.1 0.0.0.255
3
、拒绝
192.168.1.0/24
网段中的单数
IP
rule deny source 192.168.1.1 0.0.0.254
需求二
:
PC1
可以访问
PC3
,但是不能访问
PC4
分析:对目标有要求,使用高级
ACL
;由于高级
ACL
对流量进行了精确匹配,可以避免误伤,所以调用时
靠近源,减少链路资源消耗。
[r1]acl 3100
[r1-acl-adv-3100]rule deny ip source 192.168.1.1 0.0.0.0 destination 192.168.2.2 0.0.0.0
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3100
设备的一个接口只能调用一张
ACL
列表,但是一张
ACL
列表可以在不同地方多次调用
。
需求三
:
PC1
可以
ping
通
R2
,但是不能
Telnet R2
。
[r1]acl 3000
[r1-acl-adv-3000]rule deny tcp source 192.168.1.1 0.0.0.0 destination 12.0.0.2 0.0.0.0
destination-port eq telnet
NAT
技术
---
地址转换技术
私网
IP
地址
在
IP
地址空间中,
A
、
B
、
C
三类地址各有一部分地址,充当私网
IP
地址,其余
IP
地址称为公网
IP
地
址。
A
:
10.0.0.0---10.255.255.255
B
:
172.16.0.0---172.31.255.255
C
:
192.168.0.0---192.168.255.255
具有可重复性,私网
IP
地址不允许在互联网中传输,公网
IP
地址可以在互联网中使用。
静态
NAT
静态
NAT
是通过在私网边界路由器上建立并维护一张
静态地址映射表
。这张表记录了公有
IP
地址和私
有
IP
地址之间的对应关系。
----
一对一的
NAT
静态
NAT
配置位置为边界路由器的出接口。
[r2-GigabitEthernet0/0/1]nat static global 12.0.0.100 inside 192.168.1.1
12.0.0.100----
漂浮
IP----
合法的从运营商购买的公网
IP
地址,且该地址必须与边界路由器出接口地
址处于同网段。
[r2]display nat static ----
查看静态地址映射表
动态
NAT
1
、配置公网
IP
组
[r2]nat address-group 1 12.0.0.10 12.0.0.20 ----
配置公有
IP
地址
NAT
组,
IP
地址段必须是连续的
2
、配置
ACL
抓取私网流量
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
3
、将
ACL
与公网
IP
组绑定
[r2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
no-pat
:改参数配置后,地址转换仅进行
IP
地址转换,不进行端口转换。
NAPT----
网络地址端口转换技术
easy ip
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[r2-GigabitEthernet0/0/1]nat outbound 2000
端口映射
[r2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 23 inside
192.168.3.1 telnet