设备之间的互通的类型就分为两种:
交换:相同网段的两个IP地址之间通信
所谓的相同网段,指的是IP地址的网络位是相同的
如果想要实现相同网段互通,就得依靠设备:交换机
我们需要学习的,其实是交换机内部系统的使用,也就是各种技术。
交换机工作原理 :形成MAC地址表(靠源MAC)、查找MAC地址表(靠目标MAC)
vlan/trunk/access
交换网络通信的问题:单点故障 → 任何设备之间通信时,仅仅存在一个互通的链路。
单点故障的解决方案 : 增加备份的设备/线路
带来新的问题:环路
解决方案:STP→RSTP→MSTP→链路聚合(捆绑)
路由:不同网段的两个IP地址之间通信
所谓的不同网段,指的是IP地址的网络位不相同
想要设备不同的网段互通,就得依靠的设备是:具备路由功能的设备。
我们学习路由设备的时候,只要就是在学习:路由表。
路由表中包含很多的类型:直连路由/静态路由/动态路由
工作原理:基于数据包的目标IP地址,查找路由条目。能匹配到就转发,匹配不到就丢弃。
在路由网络中依然会存在单点故障,解决办法,依然是:添加额外的设备或者线路
添加额外的线路,所对应的技术是:浮动路由
添加额外的设备,所对用的技术是:VRRP
所以,我们接下来需要学习的就是:网络控制。
即,我让你通你就通,不让你通就不能通。
ACL概述
ACL(Access Control List),访问控制列表
1.主要用于在众多类型的数据包中,“匹配/抓取”感兴趣的数据
2.是一个包含了多个“规侧”的列表,不同规则通过“规则号”进行区分
3.每个“"规则”都包含:动作+条件两部分内容
4.动作分为:允许(permit)和拒绝(deny)
5.条件分为:地址(address)和通配符(wildcard bits)
匹配原则:
顺序匹配
匹配即停止
默认规则:
只有使用taffic-filter调用ACL时默认规则是允许所有
其他调用ACL的方式都是拒绝所有
比如:疫情防控
1红码 拒绝
2绿码 允许
3默认规则 允许所有
通配符:
0 表示的是 检查
1 表示的是 不检查
举例:
找女朋友
女 身材好 嫁妆 18岁 0.0.0.0
女 身材好 嫁妆 18岁 0.255.0.255
192.168.1.0 0.0.0.255
192.168.1.1 255.0.255.0
ACL分类
二层 ACL
编号:4000-4999
参数: 源MAC 目MAC 类
基本 ACL
编号:2000-2999
参数:源IP地址
高级 ACL
编号:3000-3999
参数:(五元组)源IP地址、目标IP地址、协议号、源端口、目标端口
选择配置设备及端口方法:
基本ACL尽量调用在距离目标近的接口上
高级ACL尽量调用在距离源近的接口上
基本ACL案例1:
拓扑:
需求
1)如图配置IP地址
2)PC1不能访问 Server
3)PC2允许访问 Server
4)允许其他所有的访问流量
思路:
1.实现网络互通
终端设备网络参数
路由器接口IP地址
2.先弄清楚数据转发的路径
确认配置ACL的设备
3.配置ACL规则表
4.调用ACL规则表
配置:
R1:
Sys
Sysname R1
interface GigabitEthernet0/0/1
ip address 192.168.1.254 255.255.255.0
q
interface GigabitEthernet0/0/2
ip address 192.168.2.254 255.255.255.0
q
interface GigabitEthernet0/0/0
ip address 192.168.100.254 255.255.255.0
q
ACL 2000 //创建基本ACL
rule 10 deny source 192.168.1.0 0.0.0.255
规则 10 拒绝 源IP 通配符
检查数据包的“源IP地址”
数据包的源IP地址 必须是 192.168.1.无所谓
匹配住以后 执行“拒绝动作”
interface GigabitEthernet0/0/0
traffic-filter outbound acl 2000
q
outbound 出方向
inbound 入方向
纯文本
基本ACL案例2:
拓扑:
需求:
1)如图配置IP地址
2)不允许“售后服务部”以任何的方式访问“财务部”服务器
3)售后服务部可以访问网络的任何其他设备
思路:
1.实现网络互通
终端设备网络参数
路由器接口IP地址
2.先弄清楚数据转发的路径
确认配置ACL的设备
3.配置ACL规则表
4.调用ACL规则表
配置:
R1:
sys
sysname R1
in g0/0/1
ip add 192.168.1.254 24
q
in g0/0/0
ip add 192.168.12.1 24
q
ip route-static 192.168.2.0 255.255.255.0 192.168.12.2
ip route-static 192.168.3.0 255.255.255.0 192.168.12.2
R2:
sys
sysname R2
in g0/0/1
ip add 192.168.2.254 24
q
in g0/0/0
ip add 192.168.12.2 24
q
in g0/0/2
ip add 192.168.3.254 24
q
ip route-static 192.168.1.0 255.255.255.0 192.168.12.1
sw1:
sys
sysname sw1
vlan batch 10 20
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
q
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
q
sw2:
sys
sysname sw2
vlan batch 10 20
interface GigabitEthernet0/0/1
port link-type access
port default vlan 20
q
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
q
display ip interface brief //查看接口IP地址
display port vlan //查看vlan接口类型
实现全网互通后,根据数据转发路径,选择设备配置ACL及调用接口
R2:
ACL 2000
rule 10 deny source 192.168.1.1 0.0.0.0
interface GigabitEthernet0/0/2
ip address 192.168.3.254 255.255.255.0
traffic-filter outbound acl 2000
q
其他命令补充:
display acl all //查看所有ACL表
undo traffic-filter outbound //删除接口调用
undo acl 2000 //删除ACL
acl 2000
undo rule 10 //删除规则
纯文本
高级ACL概述
匹配流量比基本ACL更精准
编号范围:3000-3999
匹配参数:源IP 目标IP 协议号 源端口 目标端口
高级ACL案例1
拓扑
需求
1)如图配置IP地址,配置路由,确保各设备互通
2)售后部仅仅能访问 Server1上的Web服务,不能访问其他服务
3)售后部可以访问行政部的所有设备的任何服务
4)除了上述权限外,售后部不能访问网络中的其他任何地方
配置思路
1.实现全网互通
2.ACL类型
-高级acl
-高级ACL配置调用在距离源近的设备上
3.创建ACL
4.调用ACL
配置
配置思路:
1.配置终端设备
2.配置路由器
1)接口IP地址
2)静态路由
3.测试全网互通
实现全网互通配置:
R1:
sys
sysname R1
interface GigabitEthernet0/0/0
ip address 192.168.12.1 24
q
interface GigabitEthernet0/0/2
ip address 192.168.1.254 24
q
ip route-static 0.0.0.0 0 192.168.12.2
R2:
sys
sysname R2
interface GigabitEthernet0/0/0
ip address 192.168.23.2 24
q
interface GigabitEthernet0/0/1
ip address 192.168.12.2 24
q
interface GigabitEthernet0/0/2
ip address 192.168.2.254 24
q
ip route-static 192.168.1.0 24 192.168.12.1
ip route-static 192.168.3.0 24 192.168.23.3
R3:
sys
sysname R3
interface GigabitEthernet0/0/1
ip address 192.168.23.3 24
q
interface GigabitEthernet0/0/2
ip address 192.168.3.254 24
q
ip route-static 0.0.0.0 0 192.168.23.2
R1:
ACL 3000
rule 10 permit tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port eq 80
规则编号 动作 协议号 源IP地址 通配符 目标IP地址 通配符 目标端口 等于 端口号
(允许)
rule 20 permit ip source 192.168.1.1 0 destination 192.168.2.0 0.0.0.255
rule 30 deny ip source 192.168.1.1 0 destination any
默认规则:允许所有
协议号:IP协议 表示所有协议
地址:any 表示所有地址
interface GigabitEthernet0/0/2
traffic-filter inbound acl 3000 //调用ACL
流量过滤 入方向
纯文本
高级ACL之ICMP
需求变化
1)如图配置IP地址,配置路由,确保各设备互通
2)售后部仅仅能ping通Server1,不能访问其他服务
3)售后部可以访问行政部的所有设备的任何服务
4)除了上述权限外,售后部不能访问网络中的其他任何地方
配置变化:
acl 3000
undo rule 10 //删除原因第一条规则
rule 10 permit icmp source 192.168.1.1 0 destination 192.168.3.1 0
//添加新规则
注意:三层协议没有端口号 所以不用写目标端口和源端口
纯文本
高级ACL之Telnet
拓扑
需求
1)如图配置IP地址,配置路由,确保各设备互通
2)为了便于设备管理,为设备开启远程管理功能,登录密码:HCIE
3)仅仅允许 192.168.1.254 远程登录 R2,其他设备不可以
4)拒绝 R1的任何IP地址远程登录 R3,其他设备都可以
配置
R2:
ACL 2000
rule 10 permit source 192.168.1.254 0.0.0.0
q
user-interface vty 0 4 //进入远程管理接口
acl 2000 inbound //调用ACL
<r1>telnet -a 192.168.1.254 192.168.12.2
-a 表示 指定自身的IP地址
如果不指定接口IP地址去发送数据包时
默认使用出口地址作为源IP地址
AR3:
ACL 2000
rule 10 deny source 192.168.1.254 0
rule 20 deny source 192.168.12.1 0
rule 30 permit source any
q
user-interface vty 0 4 //进入远程管理接口
acl 2000 inbound //调用ACL
默认规则:
只有使用taffic-filter调用ACL时默认规则是允许所有
其他调用ACL的方式都是拒绝所有
注:当需求描述的是1台设备的时候,需要考虑该设备是否有多个IP地址
纯文本