前景:
-
vlan: 虚拟局域网
-
acl:访问控制列表
vlan虚拟局域网的作用
-
隔离广播域、增强安全性、简化网络管理、提高网络性能和增强灵活性
示例:
一个公司有三个部门:销售、营销和财务。每个部门都有自己的 VLAN:
-
销售 VLAN: 销售人员只能与其他销售人员通信。他们无法访问营销或财务部门的资源。
-
营销 VLAN: 营销人员只能与其他营销人员通信。他们无法访问销售或财务部门的资源。
-
财务 VLAN: 财务人员只能与其他财务人员通信。他们无法访问销售或营销部门的资源。
通过使用 VLAN,医院获得了以下好处:
-
提高安全性: 如果一个部门受到网络攻击,其他部门不会受到影响。例如,如果销售 VLAN 受到病毒攻击,营销 VLAN 和财务VLAN 将不受影响。
-
减少广播流量: 广播流量只会发送到属于同一 VLAN 的设备。这可以减少网络流量和提高性能。例如,销售 VLAN上的广播消息不会发送到营销 VLAN 或财务 VLAN。
-
简化管理: 管理员可以为每个 VLAN 设置不同的规则和策略。例如,他们可以限制销售 VLAN 对某些网站的访问,或者为营销 VLAN 提供比其他 VLAN 更高的带宽。
ensp实验
1、划分vlan(access模式)
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
######交换机的接口模式有三种
主要用的有两种,access,trunk
access:用来连接终端的(电脑,打印机)
trunk:用来连接其他的交换机
Hybrid 模式是一种混合模式,它允许交换机端口同时作为 access 端口和 trunk 端口。也就是说,它可以连接终端设备(如电脑和打印机),也可以连接其他交换机。
###########################
[Huawei-GigabitEthernet0/0/1]port default vlan 10 ###把0/0/1划分到vlan10
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 20
[Huawei-GigabitEthernet0/0/2]display vlan
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:GE0/0/3(D) GE0/0/4(D) GE0/0/5(D) GE0/0/6(D)
GE0/0/7(D) GE0/0/8(D) GE0/0/9(D) GE0/0/10(D)
GE0/0/11(D) GE0/0/12(D) GE0/0/13(D) GE0/0/14(D)
GE0/0/15(D) GE0/0/16(D) GE0/0/17(D) GE0/0/18(D)
GE0/0/19(D) GE0/0/20(D) GE0/0/21(D) GE0/0/22(D)
GE0/0/23(D) GE0/0/24(D)
10 common UT:GE0/0/1(U)
20 common UT:GE0/0/2(U)
2、vlan划分(trunk模式)
<Huawei>sy
[Huawei]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type trunk #配置成trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan all #允许那些vlan通过(all所有)
###port trunk allow-pass vlan 10,,port trunk allow-pass vlan 20(方通10和20)
3、三层交换
1、配置好pc1和pc2的ip和网关
2、配置二层交换的vlan
二层交换
<Huawei>sy
[Huawei]vlan 10
[Huawei]vlan 20
[Huawei-vlan20]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 10
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 20
[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan all
3、配置三层交换的地址
<Huawei>sy
[Huawei]vlan 10
[Huawei]vlan 20
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[Huawei-GigabitEthernet0/0/1]q
[Huawei]interface Vlanif 10 ###就是pc1 vlan 10的网关
[Huawei-Vlanif10]ip address 1.1.1.254 255.255.255.0
[Huawei]interface Vlanif 20 ###就是pc2 vlan 20的网关
[Huawei-Vlanif20]ip address 2.2.2.254 255.255.255.0
4、单臂路由
4.1、单臂路由概述
单臂路由(router-on-a-stick)是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。
单臂路由实现不同VLAN之间的通信
链路类型有两种
交换机连接主机的端口为access链路
交换机连接路由器的端口为Trunk链路
4.1.1子接口
-
路由器的物理接口可以被划分为多个逻辑接口
-
每个子接口对应一个VLAN网段的网关
交换机配置:
1、配置链路
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]vlan 10
[Huawei-GigabitEthernet0/0/1]vlan 20
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 10
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port default vlan 20
[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan all
单臂路由实现不同VLAN之间通信的原理
路由器重新封装MAC地址,转换VLAN标签
[Huawei]int g0/0/0.10 //进入G0/0/0.10子接口(让子接口和vlan相关联就可以了)
[Huawei-GigabitEthernet0/0/0.10]dot1q termination vid 10 //配置子接口dot1q封装的vlanID(dot1q就是和那个vlan进行关联,vid可以理解为vlan的id)
[Huawei-GigabitEthernet0/0/0.10]arp broadcast enable//网络通信必备协议,作用就是用来解析ip地址所对应的mac
[Huawei-GigabitEthernet0/0/0.10]ip address 1.1.1.254 255.255.255.0//配置子接口的IP地址
[Huawei-GigabitEthernet0/0/0.10]dis this //查看子接口信息
[V200R003C00]
#
interface GigabitEthernet0/0/0.10
dot1q termination vid 10
ip address 1.1.1.254 255.255.255.0
arp broadcast enable
#
return
[Huawei-GigabitEthernet0/0/0.10]int g0/0/0.20
[Huawei-GigabitEthernet0/0/0.20]dot1q termination vid 20
[Huawei-GigabitEthernet0/0/0.20]arp broadcast enable
[Huawei-GigabitEthernet0/0/0.20]ip address 2.2.2.254 255.255.255.0
[Huawei-GigabitEthernet0/0/0.20]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/0.20
dot1q termination vid 20
ip address 2.2.2.254 255.255.255.0
arp broadcast enable
#
return
acl访问控制
1.acl概述
ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等
ACL技术讲解(大白话版)-CSDN博客(借鉴此文能够更通俗的理解)
2.acl的分类
基于ACL规则定义方式的划分,可分为:
基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL
基于ACL标识方法的划分,则可分为:
数字型ACL和命名型ACL
⚠️:用户在创建ACL时可以为其指定编号,不同的编号对应不同类型的ACL。同时,为了便于记忆和识别,用户还可以创建命名型ACL,即在创建ACL时为其设置名称。
命名型ACL,也可以是“名称 数字”的形式,即在定义命名型ACL时,同时指定ACL编号。如果不指定编号,系统则会自动为其分配一个数字型ACL的编号。
基本ACL:
主要针对IP报文的源IP地址进行匹配,基本ACL的编号范围是2000-2999。
比如这个例子,创建的是acl 2000,就意味着创建的是基本ACL。
高级ACL:
可以根据IP报文中的源IP地址、目的IP地址、协议类型,TCP或UDP的源目端口号等元素进行匹配,
可以理解为:基本ACL是高级ACL的一个子集,高级ACL可以比基本ACL定义出更精确、更复杂、更灵活的规则。
前提条件:
1、能够实现pc1,pc2,pc3相互访问通
lsw1交换机配置
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[Huawei]interface Vlanif 10
[Huawei-Vlanif10]ip add 192.168.10.254 255.255.255.0
[Huawei-Vlanif10]int vlan 20
ip address 192.168.20.254 255.255.255.0
[Huawei-Vlani20]int vlan30
ip address 192.168.30.254 255.255.255.0
dis ip int b //查看信息
Interface IP Address/Mask Physical Protocol
MEth0/0/1 unassigned down down
NULL0 unassigned up up(s)
Vlanif1 unassigned up down
Vlanif10 192.168.10.254/24 up up
Vlanif20 192.168.20.254/24 up up
Vlanif30 192.168.30.254/24 up up
3.acl规则配置
步骤一:创建一个访问控制规则
步骤二:调用这个规则(创建完调用才能实现)
1、创建规则
[Huawei]acl name test advance //创建一个名字为test的规则(创建命名型ACL,自动分配编号,advance:高级类型acl)
[Huawei-acl-adv-test]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
###ip:指定ACL规则应用的协议是IP。
####source 192.168.10.0 0.0.0.255:指定匹配的数据包的源IP地址范围,即从192.168.10.0到192.168.10.255的所有地址
####destination 192.168.30.0 0.0.0.255:指定匹配的数据包的目标IP地址范围,即从192.168.30.0到192.168.30.255的所有地址。
[Huawei-acl-adv-test]rule permit ip source any destination any //允许从任何源 IP 地址到任何目标 IP 地址的所有 IP 数据包。这是最宽松的 ACL 规则,它允许所有流量通过
2、调用规则
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl name test //traffic-filter报文过滤(过滤规则),inbound:入站规则,调用名字为test的规则
#用于将名为 "test" 的 ACL 应用到 GigabitEthernet0/0/1 接口的入站流量。
语法:
traffic-filter {inbound | outbound} acl name <acl_name>
traffic-filter: 指定要配置流量过滤。
inbound: 指定要过滤入站流量。
outbound: 指定要过滤出站流量。
acl name: 指定要应用的 ACL 的名称。
