VALN、ACL、NAT、园区网络

本文涉及的产品
云防火墙,500元 1000GB
公网NAT网关,每月750个小时 15CU
简介: VLAN:虚拟局域网

Valn

VLAN:虚拟局域网


VLAN的类型

基于端口的VLAN----一层VLAN

在接口进行配置,将vlan编号映射到交换机物理接口

从该接口进入的帧都将被认为是该vlan

最常用的方式

基于MAC地址的VLAN----二层VLAN

配置一个vlan和mac地址的映射关系,当数据帧进入交换机时,交换机会查询该映射关系表,

根据不同的源MAC地址来划分不同的vlan

一般用于PC接入交换机的端口会发送变化的情况。

基于协议的VLAN----三层VLAN

根据帧中的不同协议来划分。


端口类型

Access端口

一般用于交换机与终端设备相连的接口

假设此时有一个Access端口,其VID为2,从这个端口进入的数据包,都会被规划到vlan2,而

从这个端口发出的vlan则必须是vlan2的数据包,并且删除vlan的字段

Trunk端口

一般用于交换机与交换机相连的接口

Hybrid端口

同时具备Access和Trunk端口的功能,是一种工作机制及其灵活的端口


交换机和路由器协同工作后,将一个广播

逻辑的分割为多个


配置思路:

1、交换机上创建vlan

2、交换机上的各个接口划分到对应的an中

3、Trunk(中继)干道

4、VLAN间的路由–

路由器的子接口(单臂路由)

多层交换机的SVI


配置命令:


1、交换机上创建

VLAN的编号由12位二进制构成;0-4095;其中1-4094可用;

默认交换机存在vlan1;且所有接口默认存在vlan1;

[sw1]vlan 2
[sw1-vlan2]q
[sw1]vlan 3
[sw1-vlan31a
[sw1]vlan batch 4 to 10
[sw1]vlan batch 11 to 20 25 to 30

2、交换机上的各个接口划分到对应的Vlan中

[sw1]interface Ethernet0/0/1
单独将某个接口划分到对应的van
[sw1-Ethernet0/0/1]port link-type access
先将该接口修改为按入模式
[sw1-Ethernet0/0/1]port default vlan 2
再将该接口划分到对应的van中

3、trunk千道

不属于任何一个van,承载所有van流量转发;可以标记(封装)识别(解封装)不同

vlan的标签;

VLAN ID压入到数据帧中的标准-802.1q(dot1.q)

[sw1]interface e0/0/5
[sw1-Etherneto/0/5]port link-type trunk将接口修改trunk模式
[sw1-Ethernet0/0/5]port trunk allow-pass vlan 2 to 3
注:默认华为交换机仅允许VLAN1通过;需要定义允许列表
[router]interface g0/0/0.1
创建子接口
[router-.GigabitEthernet0/.0/0.1]dot1 q termination vid2定义其管理的vlan
[router-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24
[router-GigabitEthernet0/,O/0.1刂arp broadcast enable开启子接口ARP功能

ACL


ACL技术----访问控制列表

网络安全

网络管理—SNMP协议


ACL原理

配置了ACL的网络设备会根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对报

文执行预先设定好的处理动作。

ACL是一张表,就是一系列规则的集合。


ACL功能

访问控制:在设备的流入或流出接口上,匹配流量,然后执行设定的动作

流量的流入或者流出是一个相对的概念

动作

permit----允许

deny—拒绝

抓取流量

因为ACL经常与其他协议共同使用,所以ACL一般只做匹配流量的作用,而对应的动作由其他

协议完成。

路由策略、策略路由、防火墙、QoS技术

ACL的匹配规则

自上而下,逐一匹配。

匹配上则按照该规则进行执行,不再向下匹配。

未匹配上,则执行默认规则。

在思科设备上,ACL访问控制列表的最后隐含条件:拒绝所有规则。

在华为设备上,ACL访问控制列表的最后隐含条件:允许所有规则。


ACL分类

基本ACL

只能基于IP报文的源IP地址、报文分片标记和时间段信息来定义规则

编号:2000-2999(用于区分不同的列表)

高级ACL

可以基于IP报文的源目IP地址、源目端口号、协议字段、IP报文优先级、报文长度等信息来定

义规则

编号:3000-3999

二层ACL

使用报文的以太网帧头信息来定义规则

编号:4000-4999

用户自定义ACL

即可以使用IPv4报文的源IP地址,也可以使用目的IP地址,协议类型、甚至使用ICMP、TCP、

UDP、IPv6等协议的各类字段信息来定义规则

编号:5000-5999

需求一:PC1可以访问192.168.2.0网段,而PC2不行

分析结果

仅对源有要求,配置基本ACL即可。


基本ACL配置位置

由于基本ACL仅关注数据包中的源IP地址,故配置时需尽量靠近目标,避免对其他地址访问误

伤;

假设此时,在R1上配置,那么它不仅仅是无法到达192.168.2.0网段,其余网段也不可以

配置命令


1、标准---- 由于标准ACL仅关注数据包中的源IP地址;故调用时必须尽量的靠近目标;避免对其他流量访问的误删;


编号2000-2999为标准列表编号,一个编号为一张表

r2]acl2000
r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0 0
r2-acl-basic-20001rule deny source 192.168.0.0 0.0.255.255
deny source 拒绝所有 

动作 源ip地址

源p地址需要使用通配符来匹配范围;通配符和反掩码的区别,在于通配符可以0与1穿

插书写;


ACL定义完成后,必须在接口上调用方可执行;调用时一定注意方向;一个接口的一个方

向上只能调用一张表;

[r2]interface GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter
inbound Apply ACL to the inbound direction of the interface
outbound Apply ACL to the outbound direction of the interface
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001

2、扩展列表配置 --由于扩展ACL源、 目IP地址均关注,故调用时尽量靠近源;尽早处理流量;

[r1]acl3000
扩展列表编号3000-3999
[r1-acl-adv-3000]rule deny ip source 192.168.1.3 0.0.0.0 destination 192.168.3.2 0.0.0.0
源p地址

目标ip地址

源、目p地址位置,使用通配符0标记一个主机,或使用友1标记段,或使用ay均可


3、使用扩展列表,同时关注目标端口号;

目标端口号:服务端使用注明端口来确定具体的服务:

ICMPV4-internet控制管理协议-ping

Telnet-远程登录 明文(不加密)基于tcp 目标端口23

条件:1、被登录设备与登录设备网络可达

2、被登录设备进行了telnet服务配置

[r1]aaa
[r1-aaa]local-user panxi privilege level 15 password cipher 123456
[r1-aaa]local-user panxi service-type telnet
创建名为panxi的账号,权限最大,密码123456;该账号仅用于telnet远程登录
[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode aaa
在ty线上启认证
[r1]acl3001
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 192.168.1.1 0 destination-port eq 23
拒绝192.168.1.10对192.168.1.1访问时,传输层协议为tcp,且目标端口号为23;
[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0
仅拒绝192.168.1.10对192.168.1.1的1CMP访间

NAT

NAT技术—网络地址转换

NAT一般应用于内网的出口路由器或者防火墙上。

6b2ef3b5312741bfab221d6a2f7f97dd.png

NAT技术,对于从内到外的流量,设备会通过NAT将数据包的源地址进行转换(转换成特定的公网

地址);而对于从外到内的流量,则对数据包的目的地址进行转换。

NAT的分类


静态NAT

在边界路由器上建立并维护了一张静态地址映射表。表中记录了公有IP地址和私有IP地址之间

的对应关系。

静态NAT是一个一对一的NAT

工作过程

当内网数据包来到边界路由器上,会先检查其目的IP地址是不是公网IP地址。

如果是公网地址,则会根据事先配置好的静态地址映射表查找该源IP对应的公网IP地

址。

如果有记录,则将源IP地址转换为对应的公网IP地址,然后将数据包转发至公网。

若没有记录,则丢弃数据包。

如果是私网地址,则根据自身路由表向内网进行转发。

[r1-GigabitEthernet0/0/0]nat static global 12.1.1.10 inside
192.168.1.1
公网地址:12.1.1.10;私网地址:192.168.1.1;
注意:不允许使用出接口地址作为公网转换IP地址(NAT地址)
需要使用漂浮IP:12.1.1.10
必须与出接口地址处于同一网段
并且这个IP地址是从运营商买来的合法的公网IP地址
[r1]display nat static //查询静态地址映射表

动态NAT

动态NAT技术的地址映射表内容可变。

一对多、多对多

动态NAT在同时间内,还是一个公网IP对应一个私网IP。

也就是说,当上一个流量回来后,下一个流量才能转换IP地址并转发数据。

配置

[r1]nat address-group 1 12.1.1.10 12.1.1.15 //配置公网IP组
NAPT
网络地址端口转换技术
是在路由器上维护一张源端口号和私网IP地址的映射关系表
1-65535
EASY IP-----华为私有技术---一对多的NAPT
使用的公网地址池是边界路由器的出接口IP地址
[r1]acl 2000
[r1-acl-basic-2000]rule permit source 192.168.1.1 0 //抓取PC1流量
[r1-acl-basic-2000]rule permit source 192.168.1.2 0 //抓取PC2流量
[r1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat
//将ACL与公网IP组进行绑定
no-pat:只能进行IP地址转换,而不进行端口转换
[r1]display nat address-group 1

NAPT

网络地址端口转换技术

是在路由器上维护一张源端口号和私网IP地址的映射关系表

1-65535

EASY IP-----华为私有技术—一对多的NAPT

使用的公网地址池是边界路由器的出接口IP地址

配置命令

[r1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 //抓取流量
[r1-GigabitEthernet0/0/0]nat outbound 2000 //接口调用
[r1]display nat outbound //查看NAT配置信息

端口映射(服务映射)

将企业内部的服务器映射到公网,供外部人员访问

配置

[r1-GigabitEthernet0/0/0]nat server protocol tcp global currentinterface 23 inside 192.168.1.100 telnet
[r1-GigabitEthernet0/0/0]nat server protocol tcp global currentinterface 8888 inside 192.168.1.100 telnet

园区网组网

什么是园区网

2e07881807e64966b70f9e60bffe72bf.png

IEEE802.3标准、IEEE802.11标准


园区网络分类

从规模分

按照终端用户数量或者网元(网络中的设备)来分

大型园区网:终端超过2000或者网元超过100

中型园区网:终端在200-2000或者网元在25-100之间

小型园区网:终端小于200或者网元小于25

从服务对象分

封闭园区网

开放园区网

从承载业务分

单业务园区网

多业务园区网

从接入方式分

有线园区网

无线园区网

从不同行业分

企业园区网络

校园网

商业园区网

政府园区网

园区网络的构成

abb113578b754e6da5d1b08ece0a32fd.png

园区网的发展历程


第一代园区网

早期使用集线器,园区网被分成多个局域网,局域网之间使用路由器

二层交换机–>解决了冲突—>BD广播域太大


第二代园区网

万维网、即时通讯

三层交换机(路由式交换机)—>三层架构(核心层、汇聚层、接入层)组网方式

802.3u(快速以太网)—>100Mbps ; 802.3ab(吉比特以太网)—>1Gbps

淘汰了同样具备竞争力的ATM技术

以太网带宽的发展超过了园区网络业务需求的发展

SNMP(简单网络管理协议)


第三代园区网

2007年—>智能移动终端的元年

引入wifi网络

需求不足

安全威胁

NAC(思科网络准入控制系统)

传统网络架构不利于wifi部署

早期wifi部署,是对有线网络的延伸,直接挂载胖AP(提供射频信号、认证、管理

等)

WAC-AP部署模式

瘦AP(仅具备提供射频信号功能)

所有的管理统一由WAC(无线接入控制器)进行管理

华为推出“敏捷园区网络”


第四代园区网

a52b9486808a4d88aae90d89d56e7393.png

相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
相关文章
|
7天前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
43 7
|
7天前
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
22 2
|
23天前
|
运维 负载均衡 安全
|
1月前
|
安全 网络安全 数据安全/隐私保护
Cisco-网络地址转换动态NAT
Cisco-网络地址转换动态NAT
|
1月前
|
安全 网络安全 数据安全/隐私保护
Cisco-网络地址转换静态NAT
Cisco-网络地址转换静态NAT
|
3月前
|
监控 安全 网络协议
网络设备上的ACL
【8月更文挑战第13天】
37 2
|
3月前
|
虚拟化
VMware NAT 模式 虚拟机网络电缆被拔出,连不上网
VMware NAT 模式 虚拟机网络电缆被拔出,连不上网
105 0
|
5月前
|
存储 运维 网络协议
穿越网络界限:探索NAT IPv4的神秘面纱
穿越网络界限:探索NAT IPv4的神秘面纱
117 1
|
6月前
|
安全 网络安全 网络架构
计算机网络地址转换(NAT)
网络地址转换(NAT)允许多个主机共享一个或一组公共IP地址,同时保护内部网络的隐私和安全。NAT通常由路由器或防火墙设备执行,它充当内部网络和外部网络之间的中间人,将内部主机的私有IP地址映射到一个或多个公共IP地址上。
98 0
|
6月前
|
网络协议
地址重叠时,用户如何通过NAT访问对端IP网络?
地址重叠时,用户如何通过NAT访问对端IP网络?