Valn
VLAN:虚拟局域网
VLAN的类型
基于端口的VLAN----一层VLAN
在接口进行配置,将vlan编号映射到交换机物理接口
从该接口进入的帧都将被认为是该vlan
最常用的方式
基于MAC地址的VLAN----二层VLAN
配置一个vlan和mac地址的映射关系,当数据帧进入交换机时,交换机会查询该映射关系表,
根据不同的源MAC地址来划分不同的vlan
一般用于PC接入交换机的端口会发送变化的情况。
基于协议的VLAN----三层VLAN
根据帧中的不同协议来划分。
端口类型
Access端口
一般用于交换机与终端设备相连的接口
假设此时有一个Access端口,其VID为2,从这个端口进入的数据包,都会被规划到vlan2,而
从这个端口发出的vlan则必须是vlan2的数据包,并且删除vlan的字段
Trunk端口
一般用于交换机与交换机相连的接口
Hybrid端口
同时具备Access和Trunk端口的功能,是一种工作机制及其灵活的端口
交换机和路由器协同工作后,将一个广播
逻辑的分割为多个
配置思路:
1、交换机上创建vlan
2、交换机上的各个接口划分到对应的an中
3、Trunk(中继)干道
4、VLAN间的路由–
路由器的子接口(单臂路由)
多层交换机的SVI
配置命令:
1、交换机上创建
VLAN的编号由12位二进制构成;0-4095;其中1-4094可用;
默认交换机存在vlan1;且所有接口默认存在vlan1;
[sw1]vlan 2 [sw1-vlan2]q [sw1]vlan 3 [sw1-vlan31a [sw1]vlan batch 4 to 10 [sw1]vlan batch 11 to 20 25 to 30
2、交换机上的各个接口划分到对应的Vlan中
[sw1]interface Ethernet0/0/1 单独将某个接口划分到对应的van [sw1-Ethernet0/0/1]port link-type access 先将该接口修改为按入模式 [sw1-Ethernet0/0/1]port default vlan 2 再将该接口划分到对应的van中
3、trunk千道
不属于任何一个van,承载所有van流量转发;可以标记(封装)识别(解封装)不同
vlan的标签;
VLAN ID压入到数据帧中的标准-802.1q(dot1.q)
[sw1]interface e0/0/5 [sw1-Etherneto/0/5]port link-type trunk将接口修改trunk模式 [sw1-Ethernet0/0/5]port trunk allow-pass vlan 2 to 3 注:默认华为交换机仅允许VLAN1通过;需要定义允许列表 [router]interface g0/0/0.1 创建子接口 [router-.GigabitEthernet0/.0/0.1]dot1 q termination vid2定义其管理的vlan [router-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24 [router-GigabitEthernet0/,O/0.1刂arp broadcast enable开启子接口ARP功能
ACL
ACL技术----访问控制列表
网络安全
网络管理—SNMP协议
ACL原理
配置了ACL的网络设备会根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对报
文执行预先设定好的处理动作。
ACL是一张表,就是一系列规则的集合。
ACL功能
访问控制:在设备的流入或流出接口上,匹配流量,然后执行设定的动作
流量的流入或者流出是一个相对的概念
动作
permit----允许
deny—拒绝
抓取流量
因为ACL经常与其他协议共同使用,所以ACL一般只做匹配流量的作用,而对应的动作由其他
协议完成。
路由策略、策略路由、防火墙、QoS技术
ACL的匹配规则
自上而下,逐一匹配。
匹配上则按照该规则进行执行,不再向下匹配。
未匹配上,则执行默认规则。
在思科设备上,ACL访问控制列表的最后隐含条件:拒绝所有规则。
在华为设备上,ACL访问控制列表的最后隐含条件:允许所有规则。
ACL分类
基本ACL
只能基于IP报文的源IP地址、报文分片标记和时间段信息来定义规则
编号:2000-2999(用于区分不同的列表)
高级ACL
可以基于IP报文的源目IP地址、源目端口号、协议字段、IP报文优先级、报文长度等信息来定
义规则
编号:3000-3999
二层ACL
使用报文的以太网帧头信息来定义规则
编号:4000-4999
用户自定义ACL
即可以使用IPv4报文的源IP地址,也可以使用目的IP地址,协议类型、甚至使用ICMP、TCP、
UDP、IPv6等协议的各类字段信息来定义规则
编号:5000-5999
需求一:PC1可以访问192.168.2.0网段,而PC2不行
分析结果
仅对源有要求,配置基本ACL即可。
基本ACL配置位置
由于基本ACL仅关注数据包中的源IP地址,故配置时需尽量靠近目标,避免对其他地址访问误
伤;
假设此时,在R1上配置,那么它不仅仅是无法到达192.168.2.0网段,其余网段也不可以
配置命令
1、标准---- 由于标准ACL仅关注数据包中的源IP地址;故调用时必须尽量的靠近目标;避免对其他流量访问的误删;
编号2000-2999为标准列表编号,一个编号为一张表
r2]acl2000 r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0 0 r2-acl-basic-20001rule deny source 192.168.0.0 0.0.255.255 deny source 拒绝所有
动作 源ip地址
源p地址需要使用通配符来匹配范围;通配符和反掩码的区别,在于通配符可以0与1穿
插书写;
ACL定义完成后,必须在接口上调用方可执行;调用时一定注意方向;一个接口的一个方
向上只能调用一张表;
[r2]interface GigabitEthernet 0/0/1 [r2-GigabitEthernet0/0/1]traffic-filter inbound Apply ACL to the inbound direction of the interface outbound Apply ACL to the outbound direction of the interface [r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001
2、扩展列表配置 --由于扩展ACL源、 目IP地址均关注,故调用时尽量靠近源;尽早处理流量;
[r1]acl3000 扩展列表编号3000-3999 [r1-acl-adv-3000]rule deny ip source 192.168.1.3 0.0.0.0 destination 192.168.3.2 0.0.0.0 源p地址
目标ip地址
源、目p地址位置,使用通配符0标记一个主机,或使用友1标记段,或使用ay均可
3、使用扩展列表,同时关注目标端口号;
目标端口号:服务端使用注明端口来确定具体的服务:
ICMPV4-internet控制管理协议-ping
Telnet-远程登录 明文(不加密)基于tcp 目标端口23
条件:1、被登录设备与登录设备网络可达
2、被登录设备进行了telnet服务配置
[r1]aaa [r1-aaa]local-user panxi privilege level 15 password cipher 123456 [r1-aaa]local-user panxi service-type telnet 创建名为panxi的账号,权限最大,密码123456;该账号仅用于telnet远程登录 [r1]user-interface vty 0 4 [r1-ui-vty0-4]authentication-mode aaa 在ty线上启认证 [r1]acl3001 [r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0 destination 192.168.1.1 0 destination-port eq 23 拒绝192.168.1.10对192.168.1.1访问时,传输层协议为tcp,且目标端口号为23; [r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0 destination 192.168.1.1 0 仅拒绝192.168.1.10对192.168.1.1的1CMP访间
NAT
NAT技术—网络地址转换
NAT一般应用于内网的出口路由器或者防火墙上。
NAT技术,对于从内到外的流量,设备会通过NAT将数据包的源地址进行转换(转换成特定的公网
地址);而对于从外到内的流量,则对数据包的目的地址进行转换。
NAT的分类
静态NAT
在边界路由器上建立并维护了一张静态地址映射表。表中记录了公有IP地址和私有IP地址之间
的对应关系。
静态NAT是一个一对一的NAT
工作过程
当内网数据包来到边界路由器上,会先检查其目的IP地址是不是公网IP地址。
如果是公网地址,则会根据事先配置好的静态地址映射表查找该源IP对应的公网IP地
址。
如果有记录,则将源IP地址转换为对应的公网IP地址,然后将数据包转发至公网。
若没有记录,则丢弃数据包。
如果是私网地址,则根据自身路由表向内网进行转发。
[r1-GigabitEthernet0/0/0]nat static global 12.1.1.10 inside 192.168.1.1 公网地址:12.1.1.10;私网地址:192.168.1.1; 注意:不允许使用出接口地址作为公网转换IP地址(NAT地址) 需要使用漂浮IP:12.1.1.10 必须与出接口地址处于同一网段 并且这个IP地址是从运营商买来的合法的公网IP地址 [r1]display nat static //查询静态地址映射表
动态NAT
动态NAT技术的地址映射表内容可变。
一对多、多对多
动态NAT在同时间内,还是一个公网IP对应一个私网IP。
也就是说,当上一个流量回来后,下一个流量才能转换IP地址并转发数据。
配置
[r1]nat address-group 1 12.1.1.10 12.1.1.15 //配置公网IP组 NAPT 网络地址端口转换技术 是在路由器上维护一张源端口号和私网IP地址的映射关系表 1-65535 EASY IP-----华为私有技术---一对多的NAPT 使用的公网地址池是边界路由器的出接口IP地址 [r1]acl 2000 [r1-acl-basic-2000]rule permit source 192.168.1.1 0 //抓取PC1流量 [r1-acl-basic-2000]rule permit source 192.168.1.2 0 //抓取PC2流量 [r1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat //将ACL与公网IP组进行绑定 no-pat:只能进行IP地址转换,而不进行端口转换 [r1]display nat address-group 1
NAPT
网络地址端口转换技术
是在路由器上维护一张源端口号和私网IP地址的映射关系表
1-65535
EASY IP-----华为私有技术—一对多的NAPT
使用的公网地址池是边界路由器的出接口IP地址
配置命令
[r1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 //抓取流量 [r1-GigabitEthernet0/0/0]nat outbound 2000 //接口调用 [r1]display nat outbound //查看NAT配置信息
端口映射(服务映射)
将企业内部的服务器映射到公网,供外部人员访问
配置
[r1-GigabitEthernet0/0/0]nat server protocol tcp global currentinterface 23 inside 192.168.1.100 telnet [r1-GigabitEthernet0/0/0]nat server protocol tcp global currentinterface 8888 inside 192.168.1.100 telnet
园区网组网
什么是园区网
IEEE802.3标准、IEEE802.11标准
园区网络分类
从规模分
按照终端用户数量或者网元(网络中的设备)来分
大型园区网:终端超过2000或者网元超过100
中型园区网:终端在200-2000或者网元在25-100之间
小型园区网:终端小于200或者网元小于25
从服务对象分
封闭园区网
开放园区网
从承载业务分
单业务园区网
多业务园区网
从接入方式分
有线园区网
无线园区网
从不同行业分
企业园区网络
校园网
商业园区网
政府园区网
园区网络的构成
园区网的发展历程
第一代园区网
早期使用集线器,园区网被分成多个局域网,局域网之间使用路由器
二层交换机–>解决了冲突—>BD广播域太大
第二代园区网
万维网、即时通讯
三层交换机(路由式交换机)—>三层架构(核心层、汇聚层、接入层)组网方式
802.3u(快速以太网)—>100Mbps ; 802.3ab(吉比特以太网)—>1Gbps
淘汰了同样具备竞争力的ATM技术
以太网带宽的发展超过了园区网络业务需求的发展
SNMP(简单网络管理协议)
第三代园区网
2007年—>智能移动终端的元年
引入wifi网络
需求不足
安全威胁
NAC(思科网络准入控制系统)
传统网络架构不利于wifi部署
早期wifi部署,是对有线网络的延伸,直接挂载胖AP(提供射频信号、认证、管理
等)
WAC-AP部署模式
瘦AP(仅具备提供射频信号功能)
所有的管理统一由WAC(无线接入控制器)进行管理
华为推出“敏捷园区网络”
第四代园区网