4組建校園網(wǎng)初

1、組建校園網(wǎng)（初級(jí)篇）,文檔類型: 文檔密級(jí): 主送對(duì)象: 抄送對(duì)象: 文檔編號(hào): 審 核 人:,學(xué)習(xí)目標(biāo),掌握802.1Q Trunk相關(guān)概念及配置掌握不同網(wǎng)段互訪

2、ARP工作方式掌握三層交換基本原理及配置掌握路由表、靜態(tài)路由概念及配置掌握不同三層交換機(jī)互聯(lián)接口的形式掌握訪問控制列表基本原理及配置,2,場(chǎng)景描述,,課程內(nèi)容,第一章 802.1Q Trunk相關(guān)概念及配置第二章 三層交換基本原理及配置第三章 路由基礎(chǔ)第四章 三層交換機(jī)互聯(lián)接口類型第五章 訪問控制列表(ACL)原理及配置,4,場(chǎng)景描述,,宿舍1區(qū)1號(hào)樓1101寢室下載1202寢室電影,李強(qiáng)要下載王亮PC上的電影

3、,1樓接入交換機(jī),RG-S2652G,,,,,1102寢室,1202寢室,,,Switch,宿舍1區(qū)1號(hào)樓,,,導(dǎo)員辦公室,192.168.1.10/24,192.168.2.0/24,,Switch,2樓接入交換機(jī),RG-S2652G,,,宿舍1區(qū)匯聚交換機(jī),RG-S5750,李強(qiáng),張磊,192.168.1.11/24,VLAN 10,VLAN 20,VLAN 20,,導(dǎo)員辦公室,VLAN 10,,192.168.2.0/24,第一章

4、 802.1Q Trunk相關(guān)概念及配置,數(shù)據(jù)封裝的過程（TCP/IP協(xié)議棧）,李強(qiáng),張磊,192.168.1.10,192.168.1.11,,將需要傳輸?shù)臄?shù)據(jù)以TCP/IP協(xié)議棧的格式進(jìn)行封裝,,源:192.168.1.10（本地）目的:192.168.1.11,,目的MAC如何確定？,源MAC:ca00.1340.0000（本地）,ca00.1340.0000,ca04.0b74.0000,還是需要ARP協(xié)議??！,,,,,VLA

5、N 10,VLAN 20,,VLAN 20,F0/24,F0/10,F0/20,,在F0/24口如何區(qū)分VLAN10與VLAN20的ARP數(shù)據(jù)？,1樓接入交換機(jī),宿舍1區(qū)匯聚交換機(jī),2樓接入交換機(jī),,VLAN 10,第一章 802.1Q Trunk相關(guān)概念及配置,以太網(wǎng)幀變化：標(biāo)準(zhǔn)以太網(wǎng)幀和IEEE802.1Q幀標(biāo)準(zhǔn)以太網(wǎng)幀：,標(biāo)準(zhǔn)以太網(wǎng)幀,第一章 802.1Q Trunk相關(guān)概念及配置,以太網(wǎng)幀變化：標(biāo)準(zhǔn)以太網(wǎng)幀和IEEE802.1

6、Q幀802.1Q以太網(wǎng)幀（TAG幀）：,,,,,,TCI,,帶有IEEE802.1Q標(biāo)簽（TAG)的以太網(wǎng)幀,,,第一章 802.1Q Trunk相關(guān)概念及配置,標(biāo)簽封裝的過程,,,交換機(jī)1,交換機(jī)2,,數(shù)據(jù)幀,打上Tag標(biāo)簽,去除Tag標(biāo)簽,802.1Q數(shù)據(jù)幀只在交換機(jī)的trunk鏈路上傳輸，對(duì)于用戶報(bào)文是完全透明的。默認(rèn)條件下，Trunk鏈路會(huì)轉(zhuǎn)發(fā)交換機(jī)上存在的所有VLAN的數(shù)據(jù)。,Trunk,,,,李強(qiáng)192.168.1.

7、10,Trunk,張磊192.168.1.11,,,第一章 802.1Q Trunk相關(guān)概念及配置,TAG VLAN/802.1Q VLAN,Switch B,,,,,,,,VLAN30,,VLAN20,,VLAN10,Tag VLAN,IEEE802.1Q通過一個(gè)物理端口傳輸多個(gè)VLAN的信息，實(shí)現(xiàn)同一VLAN跨越不同的物理交換機(jī),,第一章 802.1Q Trunk相關(guān)概念及配置,Access接口一般用來連接用戶終端的接口，承

8、載正常的以太網(wǎng)幀，僅僅屬于某個(gè)特定的VLANTrunk接口常用來連接網(wǎng)絡(luò)設(shè)備，承載被標(biāo)識(shí)的以太網(wǎng)幀 ，缺省能夠承載交換機(jī)上所有VLAN的數(shù)據(jù)。,李強(qiáng),張磊,192.168.1.10,192.168.1.11,ca00.1340.0000,ca04.0b74.0000,,,,,VLAN 10,VLAN 20,,VLAN 20,F0/24,F0/10,F0/20,1層接入交換機(jī),宿舍1區(qū)匯聚交換機(jī),2層接入交換機(jī),ACCESS,TRUN

9、K,TRUNK,TRUNK,TRUNK,ACCESS,第一章 802.1Q Trunk相關(guān)概念及配置,Access接口一般收到的是不帶tag的幀。從access口發(fā)送出去的幀不帶tag。Trunk接口收到帶tag的幀后，交換機(jī)上存在該VLAN且該接口允許該VLAN通過，則接收，否則直接丟棄該幀。從Trunk接口發(fā)送出去時(shí)，該接口的native VLAN數(shù)據(jù)幀將不帶tag，其他所有VLAN數(shù)據(jù)幀都帶上相應(yīng)VLAN的tag。,第

10、13頁,第一章 802.1Q Trunk相關(guān)概念及配置,Native VLAN所謂Native VLAN，也叫缺省VLAN，在這個(gè)接口上收發(fā)的不帶標(biāo)簽的untag報(bào)文，都被認(rèn)為是屬于這個(gè)VLAN的。一個(gè)tag幀經(jīng)過trunk口時(shí)，如果tag VLAN與trunk口的Native VLAN相同，則會(huì)剝?nèi)ag標(biāo)記。,,,,vlan 10,vlan 20,,,untag,TAG 20,Native VLAN 10,,vlan10,,vl

11、an 20,第14頁,第一章 802.1Q Trunk相關(guān)概念及配置,VLAN修剪/裁剪技術(shù)VLAN的trunk口缺省是能夠轉(zhuǎn)發(fā)所有VLAN幀（1－4096）的流量。從提高安全性和減少不必要的數(shù)據(jù)流量這兩個(gè)角度考慮，我們可以通過設(shè)置trunk口的許可VLAN 列表（allowed-VLANs），來限制某些VLAN的流量不能通過這個(gè)trunk口，這也稱為VLAN的修剪。,,TrunkAllow vlan 10,20,40,,,,,,

12、vlan 10,vlan 20,vlan 10,vlan 30,,vlan 20,vlan 40,,vlan 40,,,,,,,,,,第15頁,第一章 802.1Q Trunk相關(guān)概念及配置,二層交換網(wǎng)絡(luò)中VLAN連通性 數(shù)據(jù)流路徑上的所有交換機(jī)中必須存在該VLAN。數(shù)據(jù)流路徑上的所有Trunk接口必須允許該VLAN通過。,,vlan 10,20,40,,,,,,vlan 10,vlan 20,vlan 10,vlan 30,,

13、vlan 20,vlan 40,,vlan 40,,,,,,,,,,第一章 802.1Q Trunk相關(guān)概念及配置,創(chuàng)建VLAN并命名配置交換機(jī)接口模式連接用戶的接口綁定VLAN連接交換機(jī)的接口配置為trunk可選定義trunk的許可列表配置native vlan查看VLAN的相關(guān)信息,第一章 802.1Q Trunk相關(guān)概念及配置,創(chuàng)建VLAN10，將它命名為manageSwitch(config)# vlan 10

14、Switch(config-vlan)# name test把接口 0/10和VLAN10綁定 Switch(config)# interface fastethernet 0/10Switch(config-if)# switchport access vlan 10將一組接口加入某一個(gè)VLANSwitch(config)#interface range fastethernet 0/1 - 8，0/15，0/20Swit

15、ch(config-if-range)# switchport access vlan 20,第一章 802.1Q Trunk相關(guān)概念及配置,把Fa0/1配成Trunk口Switch(config)# interface fastethernet0/1Switch(config-if)# switchport mode trunk把端口Fa0/20 配置為Trunk端口，但是不包含VLAN 2：Switch(config)# i

16、nterface fastethernet 0/20Switch(config-if)# switchport trunk allowed vlan remove 2配置native vlanSwitch(config-if)# switchport trunk native vlan 20在配置Trunk接口時(shí)，確保連接鏈路兩端的Trunk口屬于相同的native VLAN！,如何將一個(gè)TRUNK口變更為ACCESS口？,

17、第一章 802.1Q Trunk相關(guān)概念及配置,驗(yàn)證配置信息Switch# show vlan VLAN Name Status Ports ---- -------- -------- ---------------

18、 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6, Fa0/7, Fa0/8,

19、 Fa0/9,Fa0/10, Fa0/11, Fa0/12, Fa0/13,Fa0/18, Fa0/19, Fa0/20,

20、 Fa0/21, Fa0/22 4 VLAN0004 active Fa0/14, Fa0/15, Fa0/16, Fa0/17,Fa0/20 5 VLAN0005 a

21、ctive Fa0/20,Fa0/23,Fa0/24Switch# show interfaces fastethernet0/20 switchport Interface Switchport Mode Access Native Protected VLAN lists --------- ----------

22、 --------- --------- -------- --------- ----------- Fa0/20 Enabled Trunk 1 1 Enabled 1,3-4094,第一章 802.1Q Trunk相關(guān)概念及配置,一個(gè)特殊需求,李強(qiáng),張磊,192.168.1.10,192.168.1.1

23、1,ca00.1340.0000,ca04.0b74.0000,,,,,VLAN 10,VLAN 30,,VLAN 20,1樓接入交換機(jī),宿舍1區(qū)匯聚交換機(jī),2樓接入交換機(jī),如何讓李強(qiáng)能訪問張磊？,課程內(nèi)容,第一章 802.1Q Trunk相關(guān)概念及配置第二章 三層交換基本原理及配置第三章 路由基礎(chǔ)第四章 三層交換機(jī)互聯(lián)接口類型第五章 訪問控制列表(ACL)原理及配置,21,場(chǎng)景描述,,宿舍1區(qū)1號(hào)樓1101寢室下載1

24、202寢室電影,不同VLAN/IP間如何通訊？,1樓接入交換機(jī),RG-S2652G,,,,,1102寢室,1202寢室,,,Switch,宿舍1區(qū)1號(hào)樓,192.168.1.10/24,,Switch,2樓接入交換機(jī),RG-S2652G,,,李強(qiáng),張磊,192.168.2.10/24,VLAN 20,VLAN 30,192.168.1.0/24,192.168.2.0/24,第二章 三層交換基本原理及配置,不同VLAN三層互訪需求 V

25、LAN隔離了VLAN之間的任何流量，分屬于不同VLAN的用戶不能互相通信 將VLAN和IP子網(wǎng)對(duì)應(yīng)，使用三層轉(zhuǎn)發(fā)技術(shù)，通過路由將報(bào)文從一個(gè)VLAN轉(zhuǎn)發(fā)到另外一個(gè)VLANVLAN間互訪方法單臂路由（本章不做介紹）三層交換,第二章 三層交換基本原理及配置,,,,,192.168.1.0/24VLAN10,192.168.2.0/24VLAN20,三層交換：SVI模式三層交換機(jī)上分別創(chuàng)建每個(gè)VLAN的SVI接口在每個(gè)SVI上

26、配置IP地址，作為對(duì)應(yīng)VLAN內(nèi)主機(jī)的網(wǎng)關(guān)在交換機(jī)內(nèi)部利用路由功能解決VLAN間通信三層交換機(jī)和二層交換機(jī)通過trunk鏈路相連,第二章 三層交換基本原理及配置,SVISwitch virtual interface。,第二章 三層交換基本原理及配置,三層交換機(jī)的三層轉(zhuǎn)發(fā)功能默認(rèn)開啟創(chuàng)建VLAN的虛擬接口并配置IP地址,Switch(config)# interface vlan vlan-idSwitch(config-if

27、)# ip address ip-address mask,配置實(shí)例SVI （switch virtual interface）Switch(config)#vlan 10 Switch(config-vlan)# interface vlan 10 Switch(config-if)#ip address 192.168.1.254 255 255.255.0下聯(lián)樓層接入口配置為trunkSwitch(config-if)

28、#switchport mode trunk,第二章 三層交換基本原理及配置,,宿舍1區(qū)1號(hào)樓1101寢室下載1202寢室電影,在這個(gè)下載的過程中，李強(qiáng)的PC如何把下載王亮PC上的電影？,1樓接入交換機(jī),RG-S2652G,,,,,1102寢室,1202寢室,,,Switch,宿舍1區(qū)1號(hào)樓,,,導(dǎo)員辦公室,192.168.1.10/24,192.168.10.0/24,,Switch,2樓接入交換機(jī),RG-S2652G,,,宿舍1區(qū)匯

29、聚交換機(jī),RG-S5750,李強(qiáng),張磊,192.168.2.10/24,VLAN 10,VLAN 20,VLAN 30,,導(dǎo)員辦公室,VLAN 10,,192.168.10.0/24,192.168.1.254/24,192.168.2.254/24,第二章 三層交換基本原理及配置,發(fā)送數(shù)據(jù)前PC要獲取網(wǎng)關(guān)ARP信息,,ARP查詢報(bào)文,192.168.1.254的MAC地址是多少？,哪臺(tái)PC需要對(duì)這個(gè)ARP查詢報(bào)文進(jìn)行響應(yīng)?,1樓接入交

30、換機(jī),,,,,1102寢室,1202寢室,,,Switch,宿舍1區(qū)1號(hào)樓,192.168.1.10/24,Switch,2樓接入交換機(jī),RG-S2652G,,,李強(qiáng),張磊,192.168.2.10/24,VLAN 20,VLAN 30,192.168.1.254/24,192.168.2.254/24,192.168.1.254的MAC地址是001a.0010.00de,,ARP響應(yīng)報(bào)文,宿舍1區(qū)匯聚交換機(jī),李強(qiáng)PC在發(fā)送數(shù)據(jù)前，會(huì)根

31、據(jù)目的IP和掩碼，判斷目的主機(jī)是否和自己在同一網(wǎng)段。以確定是否需要通過網(wǎng)關(guān)轉(zhuǎn)發(fā)數(shù)據(jù),第二章 三層交換基本原理及配置,數(shù)據(jù)封裝變化,李強(qiáng),張磊,192.168.1.10,192.168.2.10,ca00.1340.0000,ca04.0b74.0000,,,,,VLAN 30,VLAN 20,1樓接入交換機(jī),宿舍1區(qū)匯聚交換機(jī),2樓接入交換機(jī),,VLAN 10,192.168.1.254/24MAC:001A.0010.00DE,,1

32、92.168.1.254/24MAC:001A.0010.00DF,源MAC:ca00.1340.0000目的MAC: 001a.0010.00de,源:192.168.1.10目的:192.168.2.10,電影數(shù)據(jù),,TAG:20,第二章 三層交換基本原理及配置,數(shù)據(jù)封裝變化,李強(qiáng),張磊,192.168.1.10,192.168.2.10,ca00.1340.0000,ca04.0b74.0000,,,,,VLAN 30,VL

33、AN 20,1樓接入交換機(jī),宿舍1區(qū)匯聚交換機(jī),2樓接入交換機(jī),,VLAN 10,192.168.1.254/24MAC:001A.0010.00DE,192.168.1.254/24MAC:001A.0010.00DF,源MAC:ca00.1340.0000目的MAC: 001a.0010.00de,源:192.168.1.10目的:192.168.2.10,電影數(shù)據(jù),,TAG:20,源MAC:001a.0010.00df目

34、的MAC: ca04.0b74.0000,TAG:30,,,源:192.168.1.10目的:192.168.2.10,電影數(shù)據(jù),源MAC:001a.0010.00df目的MAC: ca04.0b74.0000,第二章 三層交換基本原理及配置,SVI配置？,李強(qiáng),張磊,192.168.1.10,192.168.1.11,ca00.1340.0000,ca04.0b74.0000,,,,,VLAN 10,VLAN 30,,VLAN 2

35、0,1層接入交換機(jī),宿舍1區(qū)匯聚交換機(jī),2層接入交換機(jī),二層交換機(jī)能否進(jìn)行SVI接口配置？配置的目的是什么？,課程內(nèi)容,第一章 802.1Q Trunk相關(guān)概念及配置第二章 三層交換基本原理及配置第三章 路由基礎(chǔ)第四章 三層交換機(jī)互聯(lián)接口類型第五章 訪問控制列表(ACL)原理及配置,32,第三章 路由基礎(chǔ)概念,什么是路由把用戶數(shù)據(jù)從一個(gè)IP子網(wǎng)轉(zhuǎn)發(fā)到另一個(gè)IP子網(wǎng)路由設(shè)備路由器、三層交換機(jī)、防火墻。,,,,,,,

36、,,,…,,…,…,,,,,,,,,,,宿舍1區(qū),RG-S8606,宿舍1區(qū)核心交換機(jī),,導(dǎo)員辦公室,RG-S5750,RG-S5750,,宿舍1區(qū)匯聚交換機(jī),,,,,,,,1101寢室,,1102寢室,,1103寢室,,1201寢室,1層接入交換機(jī),RG-S2652G,2層接入交換機(jī),RG-S2652G,宿舍1區(qū)2號(hào)樓,,2202寢室,,2201寢室,,第三章 路由基礎(chǔ)概念,建立路由建立并維護(hù)路由表數(shù)據(jù)轉(zhuǎn)發(fā)基于路由表進(jìn)行數(shù)據(jù)的轉(zhuǎn)

37、發(fā)。把IP包從出口封裝并轉(zhuǎn)發(fā)出去,,,,第三章 路由基礎(chǔ)概念,路由表路由轉(zhuǎn)發(fā)信息構(gòu)建成一張路由轉(zhuǎn)發(fā)表路由表存儲(chǔ)在路由設(shè)備的NVRM存儲(chǔ)器中，非靜態(tài)存儲(chǔ)。,S5750#show ip routeCodes: C - connected, S - static, R - RIP B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA extern

38、al type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate defaultGatewa

39、y of last resort is no setC 192.168.10.0/24 is directly connected, VLAN 10C 192.168.10.1/32 is local host. C 192.168.20.0/24 is directly connected, VLAN 20C 192.168.20.1/32 is local host.,,,第三章 路由基礎(chǔ)概念,多轉(zhuǎn)發(fā)

40、路徑到達(dá)同一個(gè)目標(biāo)網(wǎng)絡(luò)可能有多個(gè)路由源、多條路徑網(wǎng)絡(luò)號(hào)相同、子網(wǎng)掩碼相同只有最佳路由才會(huì)進(jìn)入路由表路由優(yōu)選先比較管理距離值，越小越優(yōu)先管理距離相等，再比較度量值，越小越優(yōu)先不同路由協(xié)議的度量值不具備可比性,第三章 路由基礎(chǔ)概念,管理距離AD:Administrative Distance用于衡量路由源的可信度,,,RIP,OSPF,路由表,,,,,第三章 路由基礎(chǔ)概念,管理距離取值范圍 0－255，數(shù)值越小越優(yōu)先只

41、在設(shè)備內(nèi)部比較時(shí)生效廠商私有可以根據(jù)需要人為修改管理距離，影響路由優(yōu)選,第三章 路由基礎(chǔ)概念,度量值（Metric)同一路由協(xié)議衡量路徑優(yōu)劣的參數(shù)不同路由協(xié)議關(guān)于度量值的參數(shù)不同，不具有可比性數(shù)值越小越優(yōu)選可以根據(jù)需要人為修改，影響路由優(yōu)選,O 172.22.0.0/16 [110/20] via 10.3.3.3, 01:03:01, Serial1/2,管理距離,度量值,,,第三章 路由基礎(chǔ)概念,直連路由通過接口感

42、知到的直連網(wǎng)絡(luò)接口配置IP，該接口的物理層和數(shù)據(jù)鏈路層UP靜態(tài)路由使用命令手工添加到路由表，保持靜態(tài)不變動(dòng)態(tài)路由通過路由協(xié)議學(xué)習(xí)后自動(dòng)計(jì)算加入路由表，動(dòng)態(tài)變化。RIP、OSPF、IS-IS、EIGRP、BGP,如果一個(gè)交換機(jī)SVI所屬的物理接口都沒有連接任何設(shè)備，交換機(jī)上是否存在SVI對(duì)應(yīng)的直連路由?,第三章 路由基礎(chǔ)概念,數(shù)據(jù)轉(zhuǎn)發(fā)原則基于目標(biāo)IP進(jìn)行轉(zhuǎn)發(fā)最長(zhǎng)匹配原則匹配不到丟棄轉(zhuǎn)發(fā)之前必須先基于出口鏈路進(jìn)行封裝,第

43、三章 路由基礎(chǔ)概念,靜態(tài)路由由管理員根據(jù)網(wǎng)絡(luò)拓?fù)涫止づ渲煤?jiǎn)單，無開銷拓?fù)浒l(fā)生變化，不能自動(dòng)感知拓?fù)渥兓?，需要管理員人工干預(yù)應(yīng)用場(chǎng)景小型網(wǎng)絡(luò)。拓?fù)浣Y(jié)構(gòu)簡(jiǎn)單，網(wǎng)絡(luò)穩(wěn)定的環(huán)境,,,,,,,數(shù)據(jù)服務(wù)器,視頻服務(wù)器,,,,用戶數(shù)據(jù),視頻終端,,辦公區(qū),匯聚交換機(jī),匯聚交換機(jī),核心交換機(jī),第三章 路由基礎(chǔ)概念,靜態(tài)路由配置思路畫拓?fù)鋱D，分析網(wǎng)絡(luò)情況在源和目標(biāo)之間畫代表數(shù)據(jù)流的線確保在源和目標(biāo)之間的三層設(shè)備上都有關(guān)于目標(biāo)的正確的路由

44、條目靜態(tài)路由配置命令Switch(config)#ip route [網(wǎng)絡(luò)號(hào)] [子網(wǎng)掩碼] [下一跳路由器的IP地址/本地接口]例：ip route 192.168.10.0 255.255.255.0 172.16.2.1例：ip route 192.168.10.0 255.255.255.0 serial 1靜態(tài)路由描述轉(zhuǎn)發(fā)路徑的方式有兩種指向下一跳路由器直連接口的IP地址（即將數(shù)據(jù)包交給X.X.X.X）指向

45、本地接口（即從本地某接口發(fā)出）,第三章 路由基礎(chǔ)概念,浮動(dòng)靜態(tài)路由用于路由路徑備份，提高可靠性 通過設(shè)定管理距離值Ip route 目標(biāo)網(wǎng)絡(luò) 子網(wǎng)掩碼 下一跳/本地出口 AD,第三章 路由基礎(chǔ)概念,路由等價(jià)負(fù)載均衡將流量均等地分布到多條度量相同的路徑上關(guān)于同一個(gè)目標(biāo)網(wǎng)絡(luò)的多條路由出現(xiàn)在路由表同一個(gè)路由源，管理距離和度量值相等,第三章 路由基礎(chǔ)概念,缺省路由 0.0.0.0/0可以匹配所有的IP地址，屬于最不精確的匹配當(dāng)

46、所有已知路由信息都查不到數(shù)據(jù)包如何轉(zhuǎn)發(fā)時(shí)，按缺省路由的信息進(jìn)行轉(zhuǎn)發(fā)ip route 0.0.0.0 0.0.0.0 [轉(zhuǎn)發(fā)路由器的IP地址/本地接口],課堂練習(xí),,宿舍1區(qū)1號(hào)樓1102寢室與2號(hào)樓2201寢室互訪,哪些設(shè)備要配置靜態(tài)路由？如何配置？,1樓接入交換機(jī),RG-S2652G,,,,,1102寢室,2201寢室,,,Switch,宿舍1區(qū)1號(hào)樓,192.168.1.10/24,,Switch,1樓接入交換機(jī),RG-S2652

47、G,,,宿舍1號(hào)樓匯聚交換機(jī),RG-S5750,李強(qiáng),王亮,192.168.10.11/24,VLAN 20,VLAN 80,,,RG-S5750,宿舍2號(hào)樓匯聚交換機(jī),RG-S8606,宿舍1區(qū)核心交換機(jī),課程內(nèi)容,第一章 802.1Q Trunk相關(guān)概念及配置第二章 三層交換基本原理及配置第三章 路由基礎(chǔ)第四章 三層交換機(jī)互聯(lián)接口類型第五章 訪問控制列表(ACL)原理及配置,48,場(chǎng)景描述,,1區(qū)匯聚交換機(jī)與1區(qū)核

48、心交換機(jī)如何互聯(lián)？,李強(qiáng)要下載王亮PC上的電影,Access,Trunk,如何互聯(lián)？,第四章 三層路由口,SVI互聯(lián)方式1創(chuàng)建互聯(lián)VLAN 100 Access接口類型：將物理接口分配到VLAN 100 S8606;S5750分別配置指向?qū)Ψ降撵o態(tài)路由,創(chuàng)建互聯(lián)VLAN 1OOSwitch(config)#vlan 100 Switch(config-vlan)# interface vlan 100 Switch(con

49、fig-if)#ip address 192.168.100.1 255 255.255.252將互聯(lián)接口劃入VLAN 100Switch(config)# interface fastethernet 0/24Switch(config-if)# switchport access vlan 100,第四章 三層路由口,SVI互聯(lián)方式2創(chuàng)建互聯(lián)VLAN 100 Trunk接口類型：互聯(lián)接口承載VLAN 100，900 S

50、8606;S5750分別配置指向?qū)Ψ降撵o態(tài)路由,創(chuàng)建互聯(lián)VLAN 1OOSwitch(config)#vlan 100 Switch(config-vlan)# interface vlan 100 Switch(config-if)#ip address 192.168.100.1 255 255.255.252互聯(lián)接口只承載VLAN100,900Switch(config)# interface fastethernet

51、0/24Switch(config-if)# switchport mode trunkSwitch(config-if)# switchport trunk allowed vlan remove 1-99,101-899,901-4094,第四章 三層路由口,路由口方式將一個(gè)物理接口設(shè)定為非交換口在該物理接口下直接配置IP地址S8606;S5750分別配置指向?qū)Ψ降撵o態(tài)路由,創(chuàng)建路由口Switch(config

52、)# interface fastethernet 0/24Switch(config-if)# no switchport Switch(config-if)#ip address 192.168.100.1 255 255.255.252,課程內(nèi)容,第一章 802.1Q Trunk相關(guān)概念及配置第二章 三層交換基本原理及配置第三章 路由基礎(chǔ)第四章 三層交換機(jī)互聯(lián)方式第五章 訪問控制列表(ACL)原理及配置

53、,53,場(chǎng)景描述,,如何禁止學(xué)生與輔導(dǎo)員間互訪？,李強(qiáng)要下載王亮PC上的電影,1樓接入交換機(jī),RG-S2652G,,,,,1102寢室,1202寢室,,,Switch,宿舍1區(qū)1號(hào)樓,,,輔導(dǎo)員辦公室,192.168.1.10/24,192.168.2.0/24,,Switch,2樓接入交換機(jī),RG-S2652G,,,宿舍1區(qū)匯聚交換機(jī),RG-S5750,李強(qiáng),張磊,192.168.1.11/24,VLAN 10,VLAN 20,VLA

54、N 30,,輔導(dǎo)員辦公室,VLAN 10,,192.168.2.0/24,,,第五章 訪問控制列表(ACL)原理及配置,什么是訪問控制列表Access Control Lists：簡(jiǎn)稱ACL，是一個(gè)有序的語句集，通過網(wǎng)絡(luò)管理人員定義的參數(shù),區(qū)分不同的數(shù)據(jù)流。由相關(guān)應(yīng)用去調(diào)用編寫的ACL,實(shí)現(xiàn)訪問控制等安全功能訪問控制列表用途拒絕、允許特定的數(shù)據(jù)流通過網(wǎng)絡(luò)設(shè)備：訪問控制，防止攻擊對(duì)特定的數(shù)據(jù)流、報(bào)文、路由條目等進(jìn)行匹配和標(biāo)識(shí)

55、，以用于其它目的:路由條目過濾，QOS等,第五章 訪問控制列表(ACL)原理及配置,訪問控制的基礎(chǔ)一個(gè)IP數(shù)據(jù)包如下圖所示（圖中IP所承載的上層協(xié)議為TCP/UDP） ：,第五章 訪問控制列表(ACL)原理及配置,訪問控制列表的形式ACL由一系列的表項(xiàng)組成，每個(gè)表項(xiàng)稱為一個(gè)訪問控制表項(xiàng)(Access Control Entry：ACE),,一個(gè)ACL中的部分表項(xiàng),Ace,第五章 訪問控制列表(ACL)原理及配置,ACE如何工作每個(gè)

56、ACE由序號(hào)、動(dòng)作、檢查的內(nèi)容組成按序號(hào)順序執(zhí)行，序號(hào)小則優(yōu)先級(jí)高，先執(zhí)行一旦匹配某條ACE，則執(zhí)行ACE規(guī)定的動(dòng)作，不再進(jìn)行比較ACE中有兩種可能的動(dòng)作:Permit表示允許對(duì)應(yīng)的數(shù)據(jù)流通過，deny表示對(duì)應(yīng)的數(shù)據(jù)被丟棄。最后有一條隱含的deny所有ip報(bào)文的ACEACE根據(jù)數(shù)據(jù)的特征參數(shù)區(qū)分不同的數(shù)據(jù)：IP地址，端口號(hào)ACE不能對(duì)交換機(jī)CPU本身產(chǎn)生的報(bào)文進(jìn)行控制,第五章 訪問控制列表(ACL)原理及配置,ACL的IN/O

57、UT方向同一個(gè)ACL，同一個(gè)接口，有入與出兩種應(yīng)用方向接口的一個(gè)方向只能應(yīng)用一個(gè)ACL,,,in,,,out,,,Switch,,1樓接入交換機(jī),,宿舍1區(qū)匯聚交換機(jī),對(duì)匯聚交換機(jī)，李強(qiáng)PC的數(shù)據(jù)是IN還是OUT?,,李強(qiáng),第五章 訪問控制列表(ACL)原理及配置,ACL分類IP標(biāo)準(zhǔn)ACL：只能過濾IP數(shù)據(jù)包頭中的源IP地址IP擴(kuò)展ACL：過濾源IP/目的IP、協(xié)議（TCP/IP）、協(xié)議信息（端口號(hào)、標(biāo)志代碼）等MAC擴(kuò)展AC

58、LExpert（專家）ACL ACL80,第五章 訪問控制列表(ACL)原理及配置,IP標(biāo)準(zhǔn)ACL配置： Ruijie (config)#ip access-list standard deny-stu Ruijie(config-std-nacl)#可定義對(duì)象：源IPIP擴(kuò)展ACL配置：Ruijie (config)#ip access-list extended deny-stu

59、 Ruijie(config-std-nacl)#可定義對(duì)象：源ip 目標(biāo)ip TCP/UDP端口 協(xié)議號(hào) 。。。。,第五章 訪問控制列表(ACL)原理及配置,IP標(biāo)準(zhǔn)ACL實(shí)例該ACL名字叫test其中有兩條ACE，第一條ACE拒絕來自192.168.1.0網(wǎng)段的主機(jī)訪問任何網(wǎng)絡(luò)，第二條ACE允許其它任意主機(jī)訪問任意網(wǎng)絡(luò) Switch(config)# ip access-l

60、ist standard test Switch(config-std-nacl)# 10 deny 192.168.1.0 0.0.0.255 Switch(config-std-nacl)#20 permit any Switch(config-std-nacl)# end,怎樣利用 IP 地址 和 反掩碼wildcard-mask 來表示一個(gè)網(wǎng)段?,listnumber {

61、permit | deny } address [ wildcard–mask ],第五章 訪問控制列表(ACL)原理及配置,ACE 條目中的地址范圍描述反掩碼：和子網(wǎng)掩碼相似，但寫法不同。0表示需要比較；1表示忽略比較掩碼轉(zhuǎn)換成反掩碼：255.255.255.255減掩碼反掩碼和IP地址結(jié)合使用，描述一個(gè)地址范圍,192.168.1.0 0.0.0.255＝192.168.1.0/24,第五章 訪問控制列表(ACL)原理及

62、配置,IP擴(kuò)展ACL實(shí)例該ACL有一條ACE，用于只允許指定網(wǎng)絡(luò)192.168.0.0/16的所有主機(jī)可以訪問服務(wù)器172.168.12.3的HTTP服務(wù)；如果報(bào)文沒有成功匹配此ACE，則該報(bào)文將被丟棄，因?yàn)锳CL的最后隱含了一條deny any any的ACE表項(xiàng) Switch(config)# ip access-list extended http Switch(config-ext-nacl)# 10 permi

63、t tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Switch(config-ext-nacl)# end,listnumber { permit | deny } protocol source source- wildcard–mask destination destination-wildcard–mask [operator operand],第五章

64、訪問控制列表(ACL)原理及配置,ACL應(yīng)用準(zhǔn)則和限制空ACL：如果只是創(chuàng)建了一個(gè)ACL，沒有具體的ACE條目?？誂CL組表示允許所有數(shù)據(jù)包，空的ACL組已經(jīng)在路由器上被激活，但不包含語句的ACL，要使隱式拒絕語句起作用，則在ACL中至少要有一條允許或拒絕語句。只能在每個(gè)接口、每個(gè)協(xié)議、每個(gè)方向上應(yīng)用一個(gè)ACL在數(shù)據(jù)包被路由到其它接口之前，處理入站ACL數(shù)據(jù)包被路由到接口之后，而在數(shù)據(jù)包離開接口之前，處理出站ACLACL應(yīng)用到

65、一個(gè)接口時(shí)，這會(huì)影響通過接口的流量，但ACL不會(huì)過濾設(shè)備本身產(chǎn)生的流量ACL放置在什么位置只過濾數(shù)據(jù)包源地址的ACL應(yīng)該放置在離目的地盡可能近的地方過濾數(shù)據(jù)包的源地址和目的地址以及其他信息的ACL，則應(yīng)該放在離源地址盡可能近的地方,ip access-group {id|name} {in|out},第五章 訪問控制列表(ACL)原理及配置,標(biāo)準(zhǔn)ACL案例需求：只允許192.168.1.10和192.168.1.100兩臺(tái)PC

66、訪問主機(jī)D。如果把ACL應(yīng)用在F0/0口，是IN還是OUT?為何我們要應(yīng)用在F0/1口？,第五章 訪問控制列表(ACL)原理及配置,擴(kuò)展ACL案例需求：只允許internet用戶訪問內(nèi)網(wǎng)服務(wù)器中特定服務(wù)器對(duì)應(yīng)的特定服務(wù)。如果把ACL應(yīng)用在F0/0口，是IN還是OUT?為何我們要應(yīng)用在F0/1口？,場(chǎng)景描述,,如何禁止學(xué)生與輔導(dǎo)員間在AM9:00-PM6:00互訪？,李強(qiáng)要下載王亮PC上的電影,1樓接入交換機(jī),RG-S2652G,,

67、,,,1102寢室,1202寢室,,,Switch,宿舍1區(qū)1號(hào)樓,,,輔導(dǎo)員辦公室,192.168.1.10/24,192.168.2.0/24,,Switch,2樓接入交換機(jī),RG-S2652G,,,宿舍1區(qū)匯聚交換機(jī),RG-S5750,李強(qiáng),張磊,192.168.1.11/24,VLAN 10,VLAN 20,VLAN 30,,輔導(dǎo)員辦公室,VLAN 10,,192.168.2.0/24,,,第五章 訪問控制列表(ACL)原理及配

68、置,基于時(shí)間的ACL首先配置一個(gè)時(shí)間范圍time-rangetime-range的實(shí)現(xiàn)依賴于設(shè)備系統(tǒng)時(shí)鐘，如果要使用這個(gè)功能，必須保證硬件有一個(gè)可靠的時(shí)鐘 Switch(config)# time-range no-http Switch(config-time-range)# periodic weekdays 8:00 to 18:00 Switch(config)# ip access