2. 科技
    3. vlan、nat、acl

    vlan、nat、acl

    科技2023-10-11  95

    vlan

    vlan:虚拟局域网

    交换机和路由器协同工作后,将- -个广播域逻辑的切分为多个;

    配置思路:

    1、交换机上创建VLAN

    2、交换机上的接口划分到对应VLAN中

    3、Trunk干道

    4、VLAN 间路由-路由器子接口(单臂路由)

    多层交换机

    配置命令:

    1、交换机上创建VLAN

    Vlan编号0-4095 其中1-4094可用;默认存在VLAN1,且默认交换机.上所有的物理接口属于VLAN1 ;

    [Huawei]vlan2创建 单个VLAN

    [Huawei-vlan2]description classroom-B描述标记该 VLAN的特征

    [Huawei]vlan batch3 10创建多 个不编号不连续的VLAN

    undo valn batch 10 to 20 22//删除vlan10–20以及22

    2、交换机上接口划分到对应的VLAN中

    [Huawei]interface GigabitEthernet 0/0/1进入接口

    [Huawei-GigabitEthernet0/0/1]port link-type access先修改接 口模式为接入模式u[Huawei-GigabitEthernet0/0/1]port default vlan 2

    然后将接口划分到某个VLAN中

    批量将交换机接口划分到VLAN中

    [Huawei]port-group group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/4

    [Huawei-port-grouplport link type access。

    [Huawei- port-group]port default vlan 3

    同一交换机机下不同vlan的主机网段不在同一个网段
    如果在同一个网段,两者通信的时候一方一看和自己在同一个网段会发送ARP广播去询问目标的MAC地址,但是二者又不在同一个vlan中,所以这个广播过不去,就没有办法正常通信(valn是物理上隔离广播域)

    3、trunk干道—中继干道一不属于任何一个VLAN, 承载所有VLAN的流量传递;

    标记(打标签)和区分(识别和去除标签)不同VLAN流量的能力;

    注:华为设备默认trunk仅允许VLAN1通过;

    [sw1]interface GigabitEthernet 0/0/24

    [sw1-GigabitEthernet0/0/24]port link-type trunk修改接 口模式为trunk

    [sw1-GigabitEthernet0/0/24]port trunk allow-pass vlan all定义允许通过的VLAN

    [sw2-GigabitEthernet0/0/24]port trunk allow-pass vlan2 to3也可 以仅允许部分VLAN通过

    Cisco的trunk干道上存在ISL私有标记技术和802.1q公有标记技术Cisco 以外的厂商均使用802.1q这种公共标记技术802.1q=dot1.q

    4、路由器的子接口在一个物理接口上,逻辑配置多个虚拟接口,来识别和标记不同VLAN的流量,为不同的VLAN网段担任网关进行路由工作;

    [Huawei]interface GigabitEthernet 0/0/0.1创建子接口

    [Huawei-GigabitEthernet0/0/0.1]dot1q terminationvid 2定 义该接口识别和标记的vid

    注:华为设备,默认子接口不进行ARP应答,因此必须开启该功能

    [Huawei- GigabitEthernet0/0/0.1]arp broadcast enable

    [Huawei-GigabitEthernet0/0/0.1]jp address 192.168.1.254 24配置 该网段的网关ip地址

    [Huawei]interface GigabitEthernet 0/0/0.2

    [Huawei-GigabitEthernet0/0/0.2]dot1q termination vid 3

    [Huawei-GigabitEthernet0/0/0.2]arp broadcast enable

    [Huawei-GigabitEthernet0/0/0.2jip address 192.168.2.254 24

    ACL

    1、访问限制— 在路由器流量进或出的接口上匹配流量,之后对其进行限制

    2、定义感兴趣流量

    ACL的限制手段—拒绝 允许

    匹配规则:

    自上而下逐- - .匹配,上条匹配按上条执行,不再查看下条;

    Cisco在末尾隐含一条拒绝所有;华为在末尾隐含允许所有;

    ACL的分类:

    1、标准ACL仅匹配流量中的源 IP地址

    2、扩展ACL匹配流量中的源/目ip地址,目标端口号或目标协议号;

    ACL的写法:

    1、 编号

    编号:标准2000-2999 扩展3000-3999 一个编号为一张表

    2、命名

    1、标准ACL- _因为只匹配流量中的源ip地址,故调用时为避免误删,尽量靠近目标,[r2]acl 2000创建编号为 2000的ACL。

    [r2- acl- basic-2000]rule deny source 192.168.1.2 0.0.0.0 拒绝一个具体的ip地址

    [r2-acl-basic-2000]rule deny source 192.168.3.2 0 也拒绝一个ip,通配符简写了。

    [r2- acl- basic- 2000]rule deny source192.168.2.0 0.0.0.255 拒绝一个地址访问

    注: ACL使用的是通配符,OSPF 使用的是反掩码;区别在于通配符可以0、1穿插;

    [r2-acl- basic-2000]rule deny source 192.168.3.0 0.255.0.255

    默认以5为步调增加需要,便于插入规则

    acl number 2000

    rule 5 deny source 192.168.1.2 0

    rule 10 deny source 192.168.2.0 0.0.0.255

    rule 15 deny source 192.0.3.0 0.255.0.2554

    [r2- acl-basic-2000]rule 9 permit source 192.168.2.10 0

    acl number 2000

    rule 5 deny source192.168.1.2 04

    rule 9 permit source 192.168.2.100

    rule 10 deny source 192.168.2.0 0.0.0.255

    rule 15 deny source

    [r2- acl-basic-2000]un rule 9同时序号也可以方便删除条目;

    [r2]acl name classroomB basic使用命名方式来创建一个标准ACL列表;

    注: ACL在定制完成后,必须到接口上进行调用才能生效工作

    [r2]interface GigabitEthernet 0/0/0

    [r2-GigabitEthernet0/0/O]traffic- filter ?

    inboundApply ACL to the inbound direction of the interface入向

    outbound Apply ACL to the outbound direction of the interface出 向

    [r2- GigabitEthernet0/0/O]traffic- filter outbound acl 2001

    2、扩展ACL-因为扩展ACL可以清楚的标记目标,故调用时建议尽量的靠近源; 4[r1-acl- adv- 3000]rule deny ip source 192.168.1.2 0 destination 192.168.3.2 0

    [r1]interface GigabitEthernet 0/0/0接口调用

    [r1-GigabitEthernet0/0/0]traffic fiter inbound acl 3000

    NAT

    NAT :网络地址转换

    IPV4地址= ABCDE 5种分类

    其中ABC三类为单播地址-既可以作为源ip地址,也可以作为目标ip地址;

    在ABC地址中还存在私有和公有ip地址的区分:

    公有ip地址:具有全球唯一性,可以在互联网中通讯使用,需要付费

    私有ip地址:具有本地的唯一性,不能在互联网中通讯,无需付费

    私有ip地址:10.0.0.0/8 172.16.0.0/16-172.31.0.0/16 192.168.0.0/24-192.168.255.0/24

    NAT:网络地址转换

    在一台路由器上对进或出流量进行ip地址的修改;常用规则为从内部去往外部时修改源ip地址;从外部进入内部时修改目标ip地址;

    静态nat-地址间的映射关系为固定;动态nat,临时地址映射;

    流量从内部去往外部时,将内部本地地址修改为内部全局地址;从外部进入内部时,将内部全局地址修改为内部本地地址;

    1、一对一(静态)

    在边界路由器上,生成一条固定的永久的映射记录;

    [RTA-Serial1/0/0]nat static global 202.10.10.1 inside 192.168.1.14

    [RTA-Serial1/0/0]nat static global 202.10.10.2 inside 192.168.1.2

    [RTA]display nat static

    2.一对多 (动态)内部私有ip地址在nat成为同一个公有ip地址时,需要不同的源端口号,来形成唯一的临时映射关系;临时映射——需要内部流量先去往外部,被转换记录,之后返回,映射刷新;

    PAT端口地址转换

    [RTA]acI 2000

    [RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 私有

    [RTA- acl- basic-2000]quit

    [RTA]interface serial1/0/0该接口为公有IP所在接口

    [RTA-Serial1/0/0]nat outbound 2000

    [RTA]display nat outbound

    因为需要修改流量的端口,故一对多又被称为PAT-端口地址转换一个公有 ip,仅存在65535个端口,故-一个时间节点最大一次转发65535 个数据包,所以不能在大型网络中使用;

    overload携带该单词为动态 nat,不携带为静态,但因为一对多只能为动态,故即使不配置该单词,设备也会自动在默认添加该单词;

    3、多对多(动、静态均可)主要针对大型的局域网,同一时间大量数据包需要进入互联网;一个公有ip,只能进行65535转发故同时提供多个公有ip;

    [RTA]nat address-group 1 200.10.10.1 200.10.10.200 公有ip范围

    [RTA]acl 2000

    [RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255私有 ip范围[RTA- acl-basic-2000]quit

    [RTA]interface serial1/0/0 在连接互联网的公有ip地址接口配置

    [RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pate

    切记:携带no-pat为静态多对多;不携带为动态多对多;

    [RTA]display nat address-group 1

    携带overload为动态,就是循环将私有ip转换不同公有ip的不同端口;相当于同时进行多个一对多;也不携带overload为静态,就是最先出来的一些私有ip,和各个公有ip形成一对一映射;

    4、端口映射(静态)

    [RTA-GigabitEthernet0/0/1]interface Serial1/0/0

    [RTA-Serial1/0/0]ip address 200.10.10.2 24

    [RTA-Serial1/0/0]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080

    Processed: 0.011, SQL: 8