基于华为Ensp模拟器中:
VLAN:虚拟局域网---交换机和路由器协同工作后,将原来的一个广播域,逻辑上,切分为多个虚拟的广播域。
[SW1]display vlan 查看vlan列表
VID-vlan ID 用来区分和标定不同的vlan
Vlan编号范围:由12位二进制构成,范围0-4095,0和4095作为保留值,可用1-4094个。第一步:创建vlan
[SW1]vlan 2 创建vlan2
[SW1]vlan batch 4 to 100 创建vlan 4-100
第二步:将接口划分进VLAN
[SW1]display mac-address 查询mac地址表
加入VID信息后交换机的转发原理:数据通过接口来到交换机,交换机先记录源AMC地址和接口的映射关系,顺便将接口对应的VID进行记录。之后再看目标MAC地址,若目标MAC地址在MAC地址表中有记录且和源MAC对应的VID相同,则进行单播,否则进行泛洪--泛洪范围只在VID相同的区域进行泛洪。
IEEE组织---802.1Q标准
Tagged帧=有标签 unTagged帧=没有标签
我们把交换机和PC端之间的链路称之为access链路,access链路只能通过untagged帧,并且,这些帧只能属于一个特定的vlan。我们把交换机和交换机之间的链路称之为trunk链路(trunk干道),trunk链路中通过tagged帧,并且这些帧可以属于多个vlan。
[SW1-GigabitEthernet0/0/1]port link-type access 定义该接口下的链路为access链路
[SW1-GigabitEthernet0/0/1]port default vlan 2 定义 该接口隶属于vlan2
第三步:配置trunk干道
[SW1-GigabitEthernet0/0/5]port link-type trunk 定义该接口下为trunk链路
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3 定义该接口下的trunk链路可通过vlan 2 到 3
[SW2-GigabitEthernet0/0/3]port trunk allow-pass vlan all 该接口下的trunk链路可通过所有vlan帧型
第四步:实现vlan间路由
路由器子接口----虚拟接口---将路由器的一个物理接口在逻辑上划分为多个虚拟的子接口。
[R1]interface g 0/0/0.1 进入虚拟子接口
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 2 定义子接口执行802.1q标准且该接口管理vlan2
[R1-GigabitEthernet0/0/0.1]arp broadcast enable 开启arp广播
ACL:访问控制列表
1.访问控制----在路由器的入或者出接口上,匹配流量,之后产生动作----允许和拒绝
2.定义感兴趣流量---帮助其他的策略抓流量
匹配规则:
至上而下,逐一匹配,上条匹配按照上条执行,不在查看下条;在思科的体系中,末尾隐含拒绝所有,在华为的体系中,末尾隐含允许所有。
分类:标准-----仅关注数据包中的源IP地址扩展-----关注数据包中的源/目标IP地址,协议号或目标端口号
标准ACL配置:由于标准ACL仅关注数据包中的源IP地址,故,调用时尽可能的靠近目标,避免对其他地址的访问被删除。
[R2]acl ?
INTEGER<2000-2999> 标准ACL 编号
INTEGER<3000-3999> 扩展ACL 编号
[R2-acl-basic-2000] 选择编号ACL2000
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 规定 拒绝 源IP为 192.168.1.2 尾号0.0.0.0 的意义就是定死这个IP[R2-acl-basic-2000]rule permit source any 规则 允许 源IP为 所有
[R2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 规定 允许 源 192.168.1.0/24这个网段通过
在匹配地址时,需要使用通配符
CL的通配符与ospf的反掩码匹配规则相同,唯一区别在于通配符可以进行0 1 穿插
[R2]display acl 2000 查询acl 2000
步调 5为一跳 自动添加的序列号
[R2-acl-basic-2000]rule 7 deny source 192.168.1.1 0.0.0.0 步调
[R2-GigabitEthernet0/0/1] 进入需要调用acl的接口
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在出方向上调用acl2000
[R2]acl name classroom-A 2000 给acl表进行命名
扩展ACL配置:
关注数据包中的源 目标IP地址 协议号 或 目标端口号
由于扩展ACL对流量进行了精确的匹配,故 可以避免误杀,因此,调用时,尽量的靠近源。
[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0规定 拒绝 源 192.168.1.2 目标 192.168.3.2 IP行为2.在关注源/目标IP地址的同时,在关注目标端口号
Telnet远程登录 基于TCP23号端口
条件:
1.登录设备与被登录设备之间必须可达
2.被登录设备必须开启telnet设定
[R1]aaa 开启aaa服务
[R1-aaa]local-user MXY privilege level 15 password cipher 123456 创建账户MXY 提权 为15级 定义该账号密码为123465
[R1-aaa]local-user MXY service-type telnet 定义该账户用于远程登录
[R1]user-interface vty 0 4 开放五个虚拟接口
[R1-ui-vty0-4]authentication-mode aaa 认证模式为aaa
[R1-acl-adv-3003]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23
规定 拒绝 源 192.168.1.10 向 目标 192.168.1.1 tcp协议行为 目标行为 为23端口 路由器的出或者入接口上只能调用一张表
[R1-acl-adv-3003]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0
规定拒绝源192.168.1.10向目标192.168.2.2的icmp(ping)行为