4組建校園網(wǎng)初

1、組建校園網(wǎng)（初級篇）,文檔類型: 文檔密級: 主送對象: 抄送對象: 文檔編號: 審 核 人:,學習目標,掌握802.1Q Trunk相關概念及配置掌握不同網(wǎng)段互訪

2、ARP工作方式掌握三層交換基本原理及配置掌握路由表、靜態(tài)路由概念及配置掌握不同三層交換機互聯(lián)接口的形式掌握訪問控制列表基本原理及配置,2,場景描述,,課程內(nèi)容,第一章 802.1Q Trunk相關概念及配置第二章 三層交換基本原理及配置第三章 路由基礎第四章 三層交換機互聯(lián)接口類型第五章 訪問控制列表(ACL)原理及配置,4,場景描述,,宿舍1區(qū)1號樓1101寢室下載1202寢室電影,李強要下載王亮PC上的電影

3、,1樓接入交換機,RG-S2652G,,,,,1102寢室,1202寢室,,,Switch,宿舍1區(qū)1號樓,,,導員辦公室,192.168.1.10/24,192.168.2.0/24,,Switch,2樓接入交換機,RG-S2652G,,,宿舍1區(qū)匯聚交換機,RG-S5750,李強,張磊,192.168.1.11/24,VLAN 10,VLAN 20,VLAN 20,,導員辦公室,VLAN 10,,192.168.2.0/24,第一章

4、 802.1Q Trunk相關概念及配置,數(shù)據(jù)封裝的過程（TCP/IP協(xié)議棧）,李強,張磊,192.168.1.10,192.168.1.11,,將需要傳輸?shù)臄?shù)據(jù)以TCP/IP協(xié)議棧的格式進行封裝,,源:192.168.1.10（本地）目的:192.168.1.11,,目的MAC如何確定？,源MAC:ca00.1340.0000（本地）,ca00.1340.0000,ca04.0b74.0000,還是需要ARP協(xié)議?。?,,,,VLA

5、N 10,VLAN 20,,VLAN 20,F0/24,F0/10,F0/20,,在F0/24口如何區(qū)分VLAN10與VLAN20的ARP數(shù)據(jù)？,1樓接入交換機,宿舍1區(qū)匯聚交換機,2樓接入交換機,,VLAN 10,第一章 802.1Q Trunk相關概念及配置,以太網(wǎng)幀變化：標準以太網(wǎng)幀和IEEE802.1Q幀標準以太網(wǎng)幀：,標準以太網(wǎng)幀,第一章 802.1Q Trunk相關概念及配置,以太網(wǎng)幀變化：標準以太網(wǎng)幀和IEEE802.1

6、Q幀802.1Q以太網(wǎng)幀（TAG幀）：,,,,,,TCI,,帶有IEEE802.1Q標簽（TAG)的以太網(wǎng)幀,,,第一章 802.1Q Trunk相關概念及配置,標簽封裝的過程,,,交換機1,交換機2,,數(shù)據(jù)幀,打上Tag標簽,去除Tag標簽,802.1Q數(shù)據(jù)幀只在交換機的trunk鏈路上傳輸，對于用戶報文是完全透明的。默認條件下，Trunk鏈路會轉發(fā)交換機上存在的所有VLAN的數(shù)據(jù)。,Trunk,,,,李強192.168.1.

7、10,Trunk,張磊192.168.1.11,,,第一章 802.1Q Trunk相關概念及配置,TAG VLAN/802.1Q VLAN,Switch B,,,,,,,,VLAN30,,VLAN20,,VLAN10,Tag VLAN,IEEE802.1Q通過一個物理端口傳輸多個VLAN的信息，實現(xiàn)同一VLAN跨越不同的物理交換機,,第一章 802.1Q Trunk相關概念及配置,Access接口一般用來連接用戶終端的接口，承

8、載正常的以太網(wǎng)幀，僅僅屬于某個特定的VLANTrunk接口常用來連接網(wǎng)絡設備，承載被標識的以太網(wǎng)幀 ，缺省能夠承載交換機上所有VLAN的數(shù)據(jù)。,李強,張磊,192.168.1.10,192.168.1.11,ca00.1340.0000,ca04.0b74.0000,,,,,VLAN 10,VLAN 20,,VLAN 20,F0/24,F0/10,F0/20,1層接入交換機,宿舍1區(qū)匯聚交換機,2層接入交換機,ACCESS,TRUN

9、K,TRUNK,TRUNK,TRUNK,ACCESS,第一章 802.1Q Trunk相關概念及配置,Access接口一般收到的是不帶tag的幀。從access口發(fā)送出去的幀不帶tag。Trunk接口收到帶tag的幀后，交換機上存在該VLAN且該接口允許該VLAN通過，則接收，否則直接丟棄該幀。從Trunk接口發(fā)送出去時，該接口的native VLAN數(shù)據(jù)幀將不帶tag，其他所有VLAN數(shù)據(jù)幀都帶上相應VLAN的tag。,第

10、13頁,第一章 802.1Q Trunk相關概念及配置,Native VLAN所謂Native VLAN，也叫缺省VLAN，在這個接口上收發(fā)的不帶標簽的untag報文，都被認為是屬于這個VLAN的。一個tag幀經(jīng)過trunk口時，如果tag VLAN與trunk口的Native VLAN相同，則會剝?nèi)ag標記。,,,,vlan 10,vlan 20,,,untag,TAG 20,Native VLAN 10,,vlan10,,vl

11、an 20,第14頁,第一章 802.1Q Trunk相關概念及配置,VLAN修剪/裁剪技術VLAN的trunk口缺省是能夠轉發(fā)所有VLAN幀（1－4096）的流量。從提高安全性和減少不必要的數(shù)據(jù)流量這兩個角度考慮，我們可以通過設置trunk口的許可VLAN 列表（allowed-VLANs），來限制某些VLAN的流量不能通過這個trunk口，這也稱為VLAN的修剪。,,TrunkAllow vlan 10,20,40,,,,,,

12、vlan 10,vlan 20,vlan 10,vlan 30,,vlan 20,vlan 40,,vlan 40,,,,,,,,,,第15頁,第一章 802.1Q Trunk相關概念及配置,二層交換網(wǎng)絡中VLAN連通性 數(shù)據(jù)流路徑上的所有交換機中必須存在該VLAN。數(shù)據(jù)流路徑上的所有Trunk接口必須允許該VLAN通過。,,vlan 10,20,40,,,,,,vlan 10,vlan 20,vlan 10,vlan 30,,

13、vlan 20,vlan 40,,vlan 40,,,,,,,,,,第一章 802.1Q Trunk相關概念及配置,創(chuàng)建VLAN并命名配置交換機接口模式連接用戶的接口綁定VLAN連接交換機的接口配置為trunk可選定義trunk的許可列表配置native vlan查看VLAN的相關信息,第一章 802.1Q Trunk相關概念及配置,創(chuàng)建VLAN10，將它命名為manageSwitch(config)# vlan 10

14、Switch(config-vlan)# name test把接口 0/10和VLAN10綁定 Switch(config)# interface fastethernet 0/10Switch(config-if)# switchport access vlan 10將一組接口加入某一個VLANSwitch(config)#interface range fastethernet 0/1 - 8，0/15，0/20Swit

15、ch(config-if-range)# switchport access vlan 20,第一章 802.1Q Trunk相關概念及配置,把Fa0/1配成Trunk口Switch(config)# interface fastethernet0/1Switch(config-if)# switchport mode trunk把端口Fa0/20 配置為Trunk端口，但是不包含VLAN 2：Switch(config)# i

16、nterface fastethernet 0/20Switch(config-if)# switchport trunk allowed vlan remove 2配置native vlanSwitch(config-if)# switchport trunk native vlan 20在配置Trunk接口時，確保連接鏈路兩端的Trunk口屬于相同的native VLAN！,如何將一個TRUNK口變更為ACCESS口？,

17、第一章 802.1Q Trunk相關概念及配置,驗證配置信息Switch# show vlan VLAN Name Status Ports ---- -------- -------- ---------------

18、 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6, Fa0/7, Fa0/8,

19、 Fa0/9,Fa0/10, Fa0/11, Fa0/12, Fa0/13,Fa0/18, Fa0/19, Fa0/20,

20、 Fa0/21, Fa0/22 4 VLAN0004 active Fa0/14, Fa0/15, Fa0/16, Fa0/17,Fa0/20 5 VLAN0005 a

21、ctive Fa0/20,Fa0/23,Fa0/24Switch# show interfaces fastethernet0/20 switchport Interface Switchport Mode Access Native Protected VLAN lists --------- ----------

22、 --------- --------- -------- --------- ----------- Fa0/20 Enabled Trunk 1 1 Enabled 1,3-4094,第一章 802.1Q Trunk相關概念及配置,一個特殊需求,李強,張磊,192.168.1.10,192.168.1.1

23、1,ca00.1340.0000,ca04.0b74.0000,,,,,VLAN 10,VLAN 30,,VLAN 20,1樓接入交換機,宿舍1區(qū)匯聚交換機,2樓接入交換機,如何讓李強能訪問張磊？,課程內(nèi)容,第一章 802.1Q Trunk相關概念及配置第二章 三層交換基本原理及配置第三章 路由基礎第四章 三層交換機互聯(lián)接口類型第五章 訪問控制列表(ACL)原理及配置,21,場景描述,,宿舍1區(qū)1號樓1101寢室下載1

24、202寢室電影,不同VLAN/IP間如何通訊？,1樓接入交換機,RG-S2652G,,,,,1102寢室,1202寢室,,,Switch,宿舍1區(qū)1號樓,192.168.1.10/24,,Switch,2樓接入交換機,RG-S2652G,,,李強,張磊,192.168.2.10/24,VLAN 20,VLAN 30,192.168.1.0/24,192.168.2.0/24,第二章 三層交換基本原理及配置,不同VLAN三層互訪需求 V

25、LAN隔離了VLAN之間的任何流量，分屬于不同VLAN的用戶不能互相通信 將VLAN和IP子網(wǎng)對應，使用三層轉發(fā)技術，通過路由將報文從一個VLAN轉發(fā)到另外一個VLANVLAN間互訪方法單臂路由（本章不做介紹）三層交換,第二章 三層交換基本原理及配置,,,,,192.168.1.0/24VLAN10,192.168.2.0/24VLAN20,三層交換：SVI模式三層交換機上分別創(chuàng)建每個VLAN的SVI接口在每個SVI上

26、配置IP地址，作為對應VLAN內(nèi)主機的網(wǎng)關在交換機內(nèi)部利用路由功能解決VLAN間通信三層交換機和二層交換機通過trunk鏈路相連,第二章 三層交換基本原理及配置,SVISwitch virtual interface。,第二章 三層交換基本原理及配置,三層交換機的三層轉發(fā)功能默認開啟創(chuàng)建VLAN的虛擬接口并配置IP地址,Switch(config)# interface vlan vlan-idSwitch(config-if

27、)# ip address ip-address mask,配置實例SVI （switch virtual interface）Switch(config)#vlan 10 Switch(config-vlan)# interface vlan 10 Switch(config-if)#ip address 192.168.1.254 255 255.255.0下聯(lián)樓層接入口配置為trunkSwitch(config-if)

28、#switchport mode trunk,第二章 三層交換基本原理及配置,,宿舍1區(qū)1號樓1101寢室下載1202寢室電影,在這個下載的過程中，李強的PC如何把下載王亮PC上的電影？,1樓接入交換機,RG-S2652G,,,,,1102寢室,1202寢室,,,Switch,宿舍1區(qū)1號樓,,,導員辦公室,192.168.1.10/24,192.168.10.0/24,,Switch,2樓接入交換機,RG-S2652G,,,宿舍1區(qū)匯

29、聚交換機,RG-S5750,李強,張磊,192.168.2.10/24,VLAN 10,VLAN 20,VLAN 30,,導員辦公室,VLAN 10,,192.168.10.0/24,192.168.1.254/24,192.168.2.254/24,第二章 三層交換基本原理及配置,發(fā)送數(shù)據(jù)前PC要獲取網(wǎng)關ARP信息,,ARP查詢報文,192.168.1.254的MAC地址是多少？,哪臺PC需要對這個ARP查詢報文進行響應?,1樓接入交

30、換機,,,,,1102寢室,1202寢室,,,Switch,宿舍1區(qū)1號樓,192.168.1.10/24,Switch,2樓接入交換機,RG-S2652G,,,李強,張磊,192.168.2.10/24,VLAN 20,VLAN 30,192.168.1.254/24,192.168.2.254/24,192.168.1.254的MAC地址是001a.0010.00de,,ARP響應報文,宿舍1區(qū)匯聚交換機,李強PC在發(fā)送數(shù)據(jù)前，會根

31、據(jù)目的IP和掩碼，判斷目的主機是否和自己在同一網(wǎng)段。以確定是否需要通過網(wǎng)關轉發(fā)數(shù)據(jù),第二章 三層交換基本原理及配置,數(shù)據(jù)封裝變化,李強,張磊,192.168.1.10,192.168.2.10,ca00.1340.0000,ca04.0b74.0000,,,,,VLAN 30,VLAN 20,1樓接入交換機,宿舍1區(qū)匯聚交換機,2樓接入交換機,,VLAN 10,192.168.1.254/24MAC:001A.0010.00DE,,1

32、92.168.1.254/24MAC:001A.0010.00DF,源MAC:ca00.1340.0000目的MAC: 001a.0010.00de,源:192.168.1.10目的:192.168.2.10,電影數(shù)據(jù),,TAG:20,第二章 三層交換基本原理及配置,數(shù)據(jù)封裝變化,李強,張磊,192.168.1.10,192.168.2.10,ca00.1340.0000,ca04.0b74.0000,,,,,VLAN 30,VL

33、AN 20,1樓接入交換機,宿舍1區(qū)匯聚交換機,2樓接入交換機,,VLAN 10,192.168.1.254/24MAC:001A.0010.00DE,192.168.1.254/24MAC:001A.0010.00DF,源MAC:ca00.1340.0000目的MAC: 001a.0010.00de,源:192.168.1.10目的:192.168.2.10,電影數(shù)據(jù),,TAG:20,源MAC:001a.0010.00df目

34、的MAC: ca04.0b74.0000,TAG:30,,,源:192.168.1.10目的:192.168.2.10,電影數(shù)據(jù),源MAC:001a.0010.00df目的MAC: ca04.0b74.0000,第二章 三層交換基本原理及配置,SVI配置？,李強,張磊,192.168.1.10,192.168.1.11,ca00.1340.0000,ca04.0b74.0000,,,,,VLAN 10,VLAN 30,,VLAN 2

35、0,1層接入交換機,宿舍1區(qū)匯聚交換機,2層接入交換機,二層交換機能否進行SVI接口配置？配置的目的是什么？,課程內(nèi)容,第一章 802.1Q Trunk相關概念及配置第二章 三層交換基本原理及配置第三章 路由基礎第四章 三層交換機互聯(lián)接口類型第五章 訪問控制列表(ACL)原理及配置,32,第三章 路由基礎概念,什么是路由把用戶數(shù)據(jù)從一個IP子網(wǎng)轉發(fā)到另一個IP子網(wǎng)路由設備路由器、三層交換機、防火墻。,,,,,,,

36、,,,…,,…,…,,,,,,,,,,,宿舍1區(qū),RG-S8606,宿舍1區(qū)核心交換機,,導員辦公室,RG-S5750,RG-S5750,,宿舍1區(qū)匯聚交換機,,,,,,,,1101寢室,,1102寢室,,1103寢室,,1201寢室,1層接入交換機,RG-S2652G,2層接入交換機,RG-S2652G,宿舍1區(qū)2號樓,,2202寢室,,2201寢室,,第三章 路由基礎概念,建立路由建立并維護路由表數(shù)據(jù)轉發(fā)基于路由表進行數(shù)據(jù)的轉

37、發(fā)。把IP包從出口封裝并轉發(fā)出去,,,,第三章 路由基礎概念,路由表路由轉發(fā)信息構建成一張路由轉發(fā)表路由表存儲在路由設備的NVRM存儲器中，非靜態(tài)存儲。,S5750#show ip routeCodes: C - connected, S - static, R - RIP B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA extern

38、al type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate defaultGatewa

39、y of last resort is no setC 192.168.10.0/24 is directly connected, VLAN 10C 192.168.10.1/32 is local host. C 192.168.20.0/24 is directly connected, VLAN 20C 192.168.20.1/32 is local host.,,,第三章 路由基礎概念,多轉發(fā)

40、路徑到達同一個目標網(wǎng)絡可能有多個路由源、多條路徑網(wǎng)絡號相同、子網(wǎng)掩碼相同只有最佳路由才會進入路由表路由優(yōu)選先比較管理距離值，越小越優(yōu)先管理距離相等，再比較度量值，越小越優(yōu)先不同路由協(xié)議的度量值不具備可比性,第三章 路由基礎概念,管理距離AD:Administrative Distance用于衡量路由源的可信度,,,RIP,OSPF,路由表,,,,,第三章 路由基礎概念,管理距離取值范圍 0－255，數(shù)值越小越優(yōu)先只

41、在設備內(nèi)部比較時生效廠商私有可以根據(jù)需要人為修改管理距離，影響路由優(yōu)選,第三章 路由基礎概念,度量值（Metric)同一路由協(xié)議衡量路徑優(yōu)劣的參數(shù)不同路由協(xié)議關于度量值的參數(shù)不同，不具有可比性數(shù)值越小越優(yōu)選可以根據(jù)需要人為修改，影響路由優(yōu)選,O 172.22.0.0/16 [110/20] via 10.3.3.3, 01:03:01, Serial1/2,管理距離,度量值,,,第三章 路由基礎概念,直連路由通過接口感

42、知到的直連網(wǎng)絡接口配置IP，該接口的物理層和數(shù)據(jù)鏈路層UP靜態(tài)路由使用命令手工添加到路由表，保持靜態(tài)不變動態(tài)路由通過路由協(xié)議學習后自動計算加入路由表，動態(tài)變化。RIP、OSPF、IS-IS、EIGRP、BGP,如果一個交換機SVI所屬的物理接口都沒有連接任何設備，交換機上是否存在SVI對應的直連路由?,第三章 路由基礎概念,數(shù)據(jù)轉發(fā)原則基于目標IP進行轉發(fā)最長匹配原則匹配不到丟棄轉發(fā)之前必須先基于出口鏈路進行封裝,第

43、三章 路由基礎概念,靜態(tài)路由由管理員根據(jù)網(wǎng)絡拓撲手工配置簡單，無開銷拓撲發(fā)生變化，不能自動感知拓撲變化，需要管理員人工干預應用場景小型網(wǎng)絡。拓撲結構簡單，網(wǎng)絡穩(wěn)定的環(huán)境,,,,,,,數(shù)據(jù)服務器,視頻服務器,,,,用戶數(shù)據(jù),視頻終端,,辦公區(qū),匯聚交換機,匯聚交換機,核心交換機,第三章 路由基礎概念,靜態(tài)路由配置思路畫拓撲圖，分析網(wǎng)絡情況在源和目標之間畫代表數(shù)據(jù)流的線確保在源和目標之間的三層設備上都有關于目標的正確的路由

44、條目靜態(tài)路由配置命令Switch(config)#ip route [網(wǎng)絡號] [子網(wǎng)掩碼] [下一跳路由器的IP地址/本地接口]例：ip route 192.168.10.0 255.255.255.0 172.16.2.1例：ip route 192.168.10.0 255.255.255.0 serial 1靜態(tài)路由描述轉發(fā)路徑的方式有兩種指向下一跳路由器直連接口的IP地址（即將數(shù)據(jù)包交給X.X.X.X）指向

45、本地接口（即從本地某接口發(fā)出）,第三章 路由基礎概念,浮動靜態(tài)路由用于路由路徑備份，提高可靠性 通過設定管理距離值Ip route 目標網(wǎng)絡 子網(wǎng)掩碼 下一跳/本地出口 AD,第三章 路由基礎概念,路由等價負載均衡將流量均等地分布到多條度量相同的路徑上關于同一個目標網(wǎng)絡的多條路由出現(xiàn)在路由表同一個路由源，管理距離和度量值相等,第三章 路由基礎概念,缺省路由 0.0.0.0/0可以匹配所有的IP地址，屬于最不精確的匹配當

46、所有已知路由信息都查不到數(shù)據(jù)包如何轉發(fā)時，按缺省路由的信息進行轉發(fā)ip route 0.0.0.0 0.0.0.0 [轉發(fā)路由器的IP地址/本地接口],課堂練習,,宿舍1區(qū)1號樓1102寢室與2號樓2201寢室互訪,哪些設備要配置靜態(tài)路由？如何配置？,1樓接入交換機,RG-S2652G,,,,,1102寢室,2201寢室,,,Switch,宿舍1區(qū)1號樓,192.168.1.10/24,,Switch,1樓接入交換機,RG-S2652

47、G,,,宿舍1號樓匯聚交換機,RG-S5750,李強,王亮,192.168.10.11/24,VLAN 20,VLAN 80,,,RG-S5750,宿舍2號樓匯聚交換機,RG-S8606,宿舍1區(qū)核心交換機,課程內(nèi)容,第一章 802.1Q Trunk相關概念及配置第二章 三層交換基本原理及配置第三章 路由基礎第四章 三層交換機互聯(lián)接口類型第五章 訪問控制列表(ACL)原理及配置,48,場景描述,,1區(qū)匯聚交換機與1區(qū)核

48、心交換機如何互聯(lián)？,李強要下載王亮PC上的電影,Access,Trunk,如何互聯(lián)？,第四章 三層路由口,SVI互聯(lián)方式1創(chuàng)建互聯(lián)VLAN 100 Access接口類型：將物理接口分配到VLAN 100 S8606;S5750分別配置指向?qū)Ψ降撵o態(tài)路由,創(chuàng)建互聯(lián)VLAN 1OOSwitch(config)#vlan 100 Switch(config-vlan)# interface vlan 100 Switch(con

49、fig-if)#ip address 192.168.100.1 255 255.255.252將互聯(lián)接口劃入VLAN 100Switch(config)# interface fastethernet 0/24Switch(config-if)# switchport access vlan 100,第四章 三層路由口,SVI互聯(lián)方式2創(chuàng)建互聯(lián)VLAN 100 Trunk接口類型：互聯(lián)接口承載VLAN 100，900 S

50、8606;S5750分別配置指向?qū)Ψ降撵o態(tài)路由,創(chuàng)建互聯(lián)VLAN 1OOSwitch(config)#vlan 100 Switch(config-vlan)# interface vlan 100 Switch(config-if)#ip address 192.168.100.1 255 255.255.252互聯(lián)接口只承載VLAN100,900Switch(config)# interface fastethernet

51、0/24Switch(config-if)# switchport mode trunkSwitch(config-if)# switchport trunk allowed vlan remove 1-99,101-899,901-4094,第四章 三層路由口,路由口方式將一個物理接口設定為非交換口在該物理接口下直接配置IP地址S8606;S5750分別配置指向?qū)Ψ降撵o態(tài)路由,創(chuàng)建路由口Switch(config

52、)# interface fastethernet 0/24Switch(config-if)# no switchport Switch(config-if)#ip address 192.168.100.1 255 255.255.252,課程內(nèi)容,第一章 802.1Q Trunk相關概念及配置第二章 三層交換基本原理及配置第三章 路由基礎第四章 三層交換機互聯(lián)方式第五章 訪問控制列表(ACL)原理及配置

53、,53,場景描述,,如何禁止學生與輔導員間互訪？,李強要下載王亮PC上的電影,1樓接入交換機,RG-S2652G,,,,,1102寢室,1202寢室,,,Switch,宿舍1區(qū)1號樓,,,輔導員辦公室,192.168.1.10/24,192.168.2.0/24,,Switch,2樓接入交換機,RG-S2652G,,,宿舍1區(qū)匯聚交換機,RG-S5750,李強,張磊,192.168.1.11/24,VLAN 10,VLAN 20,VLA

54、N 30,,輔導員辦公室,VLAN 10,,192.168.2.0/24,,,第五章 訪問控制列表(ACL)原理及配置,什么是訪問控制列表Access Control Lists：簡稱ACL，是一個有序的語句集，通過網(wǎng)絡管理人員定義的參數(shù),區(qū)分不同的數(shù)據(jù)流。由相關應用去調(diào)用編寫的ACL,實現(xiàn)訪問控制等安全功能訪問控制列表用途拒絕、允許特定的數(shù)據(jù)流通過網(wǎng)絡設備：訪問控制，防止攻擊對特定的數(shù)據(jù)流、報文、路由條目等進行匹配和標識

55、，以用于其它目的:路由條目過濾，QOS等,第五章 訪問控制列表(ACL)原理及配置,訪問控制的基礎一個IP數(shù)據(jù)包如下圖所示（圖中IP所承載的上層協(xié)議為TCP/UDP） ：,第五章 訪問控制列表(ACL)原理及配置,訪問控制列表的形式ACL由一系列的表項組成，每個表項稱為一個訪問控制表項(Access Control Entry：ACE),,一個ACL中的部分表項,Ace,第五章 訪問控制列表(ACL)原理及配置,ACE如何工作每個

56、ACE由序號、動作、檢查的內(nèi)容組成按序號順序執(zhí)行，序號小則優(yōu)先級高，先執(zhí)行一旦匹配某條ACE，則執(zhí)行ACE規(guī)定的動作，不再進行比較ACE中有兩種可能的動作:Permit表示允許對應的數(shù)據(jù)流通過，deny表示對應的數(shù)據(jù)被丟棄。最后有一條隱含的deny所有ip報文的ACEACE根據(jù)數(shù)據(jù)的特征參數(shù)區(qū)分不同的數(shù)據(jù)：IP地址，端口號ACE不能對交換機CPU本身產(chǎn)生的報文進行控制,第五章 訪問控制列表(ACL)原理及配置,ACL的IN/O

57、UT方向同一個ACL，同一個接口，有入與出兩種應用方向接口的一個方向只能應用一個ACL,,,in,,,out,,,Switch,,1樓接入交換機,,宿舍1區(qū)匯聚交換機,對匯聚交換機，李強PC的數(shù)據(jù)是IN還是OUT?,,李強,第五章 訪問控制列表(ACL)原理及配置,ACL分類IP標準ACL：只能過濾IP數(shù)據(jù)包頭中的源IP地址IP擴展ACL：過濾源IP/目的IP、協(xié)議（TCP/IP）、協(xié)議信息（端口號、標志代碼）等MAC擴展AC

58、LExpert（專家）ACL ACL80,第五章 訪問控制列表(ACL)原理及配置,IP標準ACL配置： Ruijie (config)#ip access-list standard deny-stu Ruijie(config-std-nacl)#可定義對象：源IPIP擴展ACL配置：Ruijie (config)#ip access-list extended deny-stu

59、 Ruijie(config-std-nacl)#可定義對象：源ip 目標ip TCP/UDP端口 協(xié)議號 。。。。,第五章 訪問控制列表(ACL)原理及配置,IP標準ACL實例該ACL名字叫test其中有兩條ACE，第一條ACE拒絕來自192.168.1.0網(wǎng)段的主機訪問任何網(wǎng)絡，第二條ACE允許其它任意主機訪問任意網(wǎng)絡 Switch(config)# ip access-l

60、ist standard test Switch(config-std-nacl)# 10 deny 192.168.1.0 0.0.0.255 Switch(config-std-nacl)#20 permit any Switch(config-std-nacl)# end,怎樣利用 IP 地址 和 反掩碼wildcard-mask 來表示一個網(wǎng)段?,listnumber {

61、permit | deny } address [ wildcard–mask ],第五章 訪問控制列表(ACL)原理及配置,ACE 條目中的地址范圍描述反掩碼：和子網(wǎng)掩碼相似，但寫法不同。0表示需要比較；1表示忽略比較掩碼轉換成反掩碼：255.255.255.255減掩碼反掩碼和IP地址結合使用，描述一個地址范圍,192.168.1.0 0.0.0.255＝192.168.1.0/24,第五章 訪問控制列表(ACL)原理及

62、配置,IP擴展ACL實例該ACL有一條ACE，用于只允許指定網(wǎng)絡192.168.0.0/16的所有主機可以訪問服務器172.168.12.3的HTTP服務；如果報文沒有成功匹配此ACE，則該報文將被丟棄，因為ACL的最后隱含了一條deny any any的ACE表項 Switch(config)# ip access-list extended http Switch(config-ext-nacl)# 10 permi

63、t tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Switch(config-ext-nacl)# end,listnumber { permit | deny } protocol source source- wildcard–mask destination destination-wildcard–mask [operator operand],第五章

64、訪問控制列表(ACL)原理及配置,ACL應用準則和限制空ACL：如果只是創(chuàng)建了一個ACL，沒有具體的ACE條目?？誂CL組表示允許所有數(shù)據(jù)包，空的ACL組已經(jīng)在路由器上被激活，但不包含語句的ACL，要使隱式拒絕語句起作用，則在ACL中至少要有一條允許或拒絕語句。只能在每個接口、每個協(xié)議、每個方向上應用一個ACL在數(shù)據(jù)包被路由到其它接口之前，處理入站ACL數(shù)據(jù)包被路由到接口之后，而在數(shù)據(jù)包離開接口之前，處理出站ACLACL應用到

65、一個接口時，這會影響通過接口的流量，但ACL不會過濾設備本身產(chǎn)生的流量ACL放置在什么位置只過濾數(shù)據(jù)包源地址的ACL應該放置在離目的地盡可能近的地方過濾數(shù)據(jù)包的源地址和目的地址以及其他信息的ACL，則應該放在離源地址盡可能近的地方,ip access-group {id|name} {in|out},第五章 訪問控制列表(ACL)原理及配置,標準ACL案例需求：只允許192.168.1.10和192.168.1.100兩臺PC

66、訪問主機D。如果把ACL應用在F0/0口，是IN還是OUT?為何我們要應用在F0/1口？,第五章 訪問控制列表(ACL)原理及配置,擴展ACL案例需求：只允許internet用戶訪問內(nèi)網(wǎng)服務器中特定服務器對應的特定服務。如果把ACL應用在F0/0口，是IN還是OUT?為何我們要應用在F0/1口？,場景描述,,如何禁止學生與輔導員間在AM9:00-PM6:00互訪？,李強要下載王亮PC上的電影,1樓接入交換機,RG-S2652G,,

67、,,,1102寢室,1202寢室,,,Switch,宿舍1區(qū)1號樓,,,輔導員辦公室,192.168.1.10/24,192.168.2.0/24,,Switch,2樓接入交換機,RG-S2652G,,,宿舍1區(qū)匯聚交換機,RG-S5750,李強,張磊,192.168.1.11/24,VLAN 10,VLAN 20,VLAN 30,,輔導員辦公室,VLAN 10,,192.168.2.0/24,,,第五章 訪問控制列表(ACL)原理及配

68、置,基于時間的ACL首先配置一個時間范圍time-rangetime-range的實現(xiàn)依賴于設備系統(tǒng)時鐘，如果要使用這個功能，必須保證硬件有一個可靠的時鐘 Switch(config)# time-range no-http Switch(config-time-range)# periodic weekdays 8:00 to 18:00 Switch(config)# ip access