vlan
1, 控制广播 2, 增加安全 3,提高带宽利用 4,降低延迟
trunk 中继链路
链路聚合
路由器可以传递不同网段的数据
路由器依靠路由表传递数据
路由表获取方式
1,直连路由
2,静态路由
3,默认路由 0.0.0.0 0
4,动态路由
三层交换机使用过程:
1, 添加vlan
2, 对应的接口加入相应vlan
3, 进入vlan虚拟接口配置ip
添加s3700交换机
配置vlan,添加接口,并将4口设置为trunk
三层交换机配置ip地址思路:
1, 创建一个vlan
2, 进入该vlan的虚拟接口配置ip
3, 再将对应接口加入该vlan
ospf 开放最短路径优先
ospf配置:
三层交换机
ospf
area 0
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
network 192.168.3.0 0.0.0.255
network 192.168.4.0 0.0.0.255
quit //返回系统视图
[Huawei]ip route-static 0.0.0.0 0 192.168.4.2 //添加通往外网的默认路由
路由器
ospf
area 0
network 192.168.4.0 0.0.0.255 //由于三层交换机已经拥有通往外网的默认路由,所以路由器只宣告4网段即可
undo network 192.168.5.0 0.0.0.255 //取消5网段的宣告
传输层 能够实现端到端的传输
TCP 可靠 效率低 面向连接
三次握手 syn—>ack,syn—>ack
四次断开 fin—>ack—>fin—>ack
syn 打算与对方建立连接
ack 确认
fin 打算与对方断开连接
ftp 21
telnet 23
ssh 22
smtp 25在这里插入图片描述
http 80
https 443
dns 53
UDP 不可靠 效率高 无连接
tftp 69
dns 53
ntp 123
acl 访问控制列表
三层 ip地址 源ip 目标ip
四层 协议 端口
192.169.100.100
192.168.0.1
0.0.0.0
255.255.255.255
0 匹配
1 不匹配
基本acl 2000~2999 源ip
高级acl 3000~3999 源ip 目标ip 协议 端口
使用基本acl限制源地址的通讯:
在路由器中配置
acl 2000 //使用基本acl,列表号2000
rule deny source 192.168.2.1 0.0.0.0 //创建规则,禁止源地址是2.1的数据通过
undo rule 5 //如果出错,可以删除
[Huawei]interface G0/0/1 //进入接口
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 //在接口的入方向应用acl规则
display acl 2000 //查看
放行2.1, 禁止其他设备通过
acl 2000
rule permit source 192.168.2.1 0 //放行2.1
rule deny source any //拒绝所有设备
undo traffic-filter inbound //在接口中如果要更换列表号,需要先删除原有列表
使用高级acl,禁止2.1访问1.1的ftp,禁止2.2访问1.1的网站,其他服务不限制
acl 3000
rule deny tcp source 192.168.2.1 0 destination 192.168.1.1 0 destination-port eq 21 //定义规则,拒绝2.1访问1.1的tcp的21号端口,也就是拒绝访问ftp服务
rule deny tcp source 192.168.2.2 0 destination 192.168.1.1 0 destination-port eq 80 //定义规则,拒绝2.2访问1.1的tcp的80号端口,也就是拒绝访问web(www)服务
[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //在接口中应用acl
ACL的规则:
每个ACL可以包含多个规则,路由器根据规则对数据流量过滤匹配即停止
例如:
[huawei]acl 2000
[huawei-acl-basic-2000]rule 5 deny sou 192.168.1.10
[huawei-acl-basic-2000]rule 10 perm sou any
[huawei-acl-basic-2000]qu
[huawei]in g0/0/1
[Huawei-GigabitEthernet0/0/1]traff inbo acl 2000
查看ACL
[huawei]display acl 2000 或 [huawei]display acl all
高级ACL操作例子:
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 5 perm tcp sou 192.168.1.1 0 des 192.168.3.1 0 des eq 80
[Huawei-acl-adv-3000]rule 15 den ip sou any
[Huawei-acl-adv-3000]qu
[Huawei]in g0/0/2
[Huawei-GigabitEthernet0/0/2]traff inb acl 3000
查看ACL
[huawei]display acl 3000 或 [huawei]display acl all
[Huawei]ip ro 0.0.0.0 0 192.168.12.2
[Huawei]ip ro 0.0.0.0 0 192.168.23.2
[Huawei]ip ro 192.168.1.0 255.255.255.0 192.168.12.1
[Huawei]ip ro 192.168.3.0 255.255.255.0 192.168.23.3
测试:
Client1可以访问Server1的Web服务
Client1可以ping通网段192.168.2.0/24
Client1不可以ping通网段192.168.3.0/24
