HCIA课程 -- 课后笔记08

HCIA课程 – 课后笔记08

VLAN

• V — 虚拟
• LAN — 局域网 — 地理覆盖范围较小的网络
• MAN — 城域网
• WAN — 广域网

VLAN中的LAN指的是广播域

VLAN — 虚拟局域网 — 交换机和路由器协同工作后，将原来的一个广播域，逻辑上切分为多个虚拟的广播域。

IEEE — 802.1Q标准 = dot1q

• VID — VLAN ID — 是用来区分和标定不同的VLAN。VID由12位二进制构成，取值范围0_{4095。0和4095作为保留，所以可以使用的范围：1}4094。

第一步：创建VLAN

<Huawei>display vlan --- 显示vlan
[Huawei]vlan 2 --- 创建VLAN 
[Huawei-vlan2]
[Huawei]vlan batch 4 to 100 --- 批量创建VLAN 
[Huawei]undo vlan batch 4 to 100 --- 批量删除VLAN 

第二步：将接口划分到VLAN中

• VID配置映射到交换机的接口，实现VLAN的划分 — 一层VLAN/物理VLAN

• VID配置映射MAC地址，来实现VLAN的划分 ---- 二层VLAN

• 数据帧中类型（Type）字段标识是上层协议类型，和VID进行映射，来区分VLAN范围 — 三层VLAN
  
  上图为传统数据帧

• 交换机的转发原理：数据通过接口来到交换机，交换机先记录源MAC地址和接口的映射关系，顺便，将接口对应的VID进行记录。之后，看目标MAC地址，若目标MAC地址在MAC地址表中有记录且VID和源MAC对应的VID相同，则进行单播；否则，进行泛洪 ，泛洪范围为VID与源MAC对应的VID相同的接口。

• 因为以太网Ⅱ型针没有添加标签的位置，所以，802.1Q规定，在源MAC地址和type字段之间增加4个字节的tag(标签)（一定包含12位的VID）。这样新的帧结构我们称为802.1Q帧或者叫tagged帧。将没有打标签的帧称为untagged帧。
  
  上图为802.1q帧或tagged帧

• 我们把交换机和计算机之间的链路称为ACCESS链路，ACCESS链路只能通过untagged的帧，并且，这些帧只能属于某一个特定的VLAN。我们把交换机和交换机之间链路称为trunk链路（trunk干道），trunk干道中运行通过tagged帧，且这些帧可以属于多个VLAN。

第三步：链路配置

access配置（SW与之间PC）

[sw1-GigabitEthernet0/0/1]port link-type access 
[sw1-GigabitEthernet0/0/1]port default vlan 2
[sw1]port-group group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/4
[sw1-port-group] --- 创建接口组

• 创建接口组就可以，在接口组下一次性将组内的接口统一设置。

trunk配置（SW 与之间 SW，SW 与之间 R）

[sw1-GigabitEthernet0/0/5]port link-type trunk --- 定义链路类型
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3 --- 放通对应VLAN流量
[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan all --- 或者可以配置成放通所有流量

第四步：VLAN间路由 — 单臂路由

路由器的子接口 — 路由器的虚拟接口 — 将路由器的一个物理接口逻辑上划分为多个虚拟的子接口

[Huawei]int g 0/0/0.1
[Huawei-GigabitEthernet0/0/0.1] --- 创建子接口

配置子接口

[Huawei-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24 --- 给子接口配置IP地址
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 2 --- 定义子接口管理的VID
[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable --- 开启ARP广播

NAT

• 在IP地址空间中，A，B，C三类地址中各有一部分地址，他们被称为私有地址（私网IP地址），其余的所有地址都称为公有地址（公网IP地址）

• A：10.0.0.0 - 10.255.255.255 — 相当于一个A类的网段

• B：172.16.0.0 - 172.31.255.255 — 相当于16条B类网段

• C：192.168.0.0 - 192.168.255.255 — 相当于256条C类的网段

• 私网IP地址 ---- 可复用性（仅保持私网内部的唯一性即可） — 不能再互联网中使用

• 我们将使用私网IP地址搭建的网络称为私网，将使用公网IP地址进行通信的网络称为公网。

• NAT技术 — 网络地址转换技术 — 他的基本作用就是实现私网IP地址和公网IP地址之间的一个转换。

华为设备：所有NAT相关的配置，都是在边界路由器的出接口上进行配置的。

如：静态NAT、动态NAT、NAPT、端口映射

静态NAT — 一对一的NAT

• 静态NAT就是通过配置，在私网边界路由器上建立维护一张静态地址映射表。静态地址映射表中记录的是公网IP地址和私网IP地址之间一一对应的关系。

[r2-GigabitEthernet0/0/2]nat static global 12.0.0.3 inside 192.168.1.2
[r2-GigabitEthernet0/0/2]nat static global 公网地址 inside 私网地址

1. 必须和公网IP在同一个网段

2. 这个IP地址一定是你花钱问ISP买来的

• 这个地址称为漂浮地址

[r2]display nat static --- 查看静态地址映射表

动态NAT — 多对多的NAT

1. 创建公网IP地址组

[r2]nat address-group 1 12.0.0.4 12.0.0.8 --- 创建一个.4到.8一个5个IP的地址组
 注意：一定买的是连续的公网IP地址

2. 通过ACL来抓取私网IP流量

[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

3. 将公网IP组和ACL抓取的流量绑定

[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 no-pat

• 动态NAT在同一时间内，依然是一对一的NAT。当上网需求量过大时，延迟会较高。

NAPT ---- 网络地址端口转换 — PAT

• NAPT：私网地址转换成公网地址的时候，会记录对应的端口号，保留目的端口号，对源端口号进行记录并转换。

一对多的NAPT 也称为 EASY IP

1. 抓取私网流量

[r2-acl-basic-2001]rule permit source 192.168.0.0 0.0.255.255

2. 配置EASY IP

[r2-GigabitEthernet0/0/2]nat outbound 2000

---

多对多的NAPT

1. 创建公网IP地址组

[r2]nat address-group 1 12.0.0.4 12.0.0.8

注意：一定买的是连续的公网IP地址

2. 通过ACL来抓取私网IP流量

[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

3. 将公网IP组和ACL抓取的流量绑定

[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1

端口映射

• 比如当对端的设备想要通过外网，访问本端的HTTP服务器，可以让本端路由器的80端口映射为HTTP服务器的80端口。

[r2-GigabitEthernet0/0/2]nat server protocol tcp global 12.0.0.1 80 inside 192.168.1.10 80 --- 收到给12.0.0.1的80端口数据转发到私网的1.10的80端口（0.1不能是路由器的接口IP）
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80 --- 此路由器的接口IP，收到80端口就发给1.10的80端口
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y