一、VLAN配置
1、簡介
VLAN(Virtual Local Area Network,虛擬局域網)技術把一個物理LAN划分成多個邏輯的LAN——VLAN,處於同一VLAN的主機能直接互通,而處於不同VLAN的主機則不能
直接互通,從而增強了局域網的安全性。划分VLAN后,廣播報文被限制在同一個VLAN內,即每個VLAN是一個廣播域,有效地限制了廣播域的范圍。通過VLAN可以將不同的主機
划分到不同的工作組,同一工作組的主機可以位於不同的物理位置,網絡構建和維護更方便靈活。
2、VLAN報文封裝
要使網絡設備能夠分辨不同VLAN的報文,需要在報文中添加標識VLAN的字段。IEEE 802.1Q協議規定,在以太網報文的目的MAC地址和源MAC地址字段之后、協議類型字段之
前加入4個字節的VLAN Tag,用以標識VLAN的相關信息。
3、VLAN的划分
VLAN根據划分方式不同可以分為不同類型,下面列出了幾種最常見的VLAN類型:
1)基於端口的VLAN
2)基於MAC地址的VLAN
3)基於IP子網的VLAN
4)基於協議的VLAN
如果某個接口下同時使能以上四種VLAN,則缺省情況下VLAN的匹配將按照MAC VLAN、IP子網VLAN、協議VLAN、端口VLAN的先后順序進行。
基於端口划分VLAN是最簡單、最有效的VLAN划分方法。它按照設備端口來定義VLAN成員,將指定端口加入到指定VLAN中之后,該端口就可以轉發該VLAN的報文。
4、不同VLAN間的三層互通
vlan間路由:通過三層設置路由,使得不同vlan間可以相互通信。但是僅僅允許單薄通信。
1)單臂路由
2)SVI(交換虛接口)
5、配置vlan基本命令
[SW1]undo info-center enable 關閉信息中心 [SW1]vlan 10 [SW1-vlan10]name gongchengbu [SW1-vlan10]description gongchengbu [SW1]int g1/0/1 [SW1-GigabitEthernet1/0/1]port link-type trunk [SW1-GigabitEthernet1/0/1]port trunk permit vlan all
二、端口模式
1、以太網端口有 3種鏈路類型:access、trunk、hybird
1)Access類型端口:只能屬於1個VLAN,一般用於連接計算機端口;
2)Trunk類型端口:可以允許多個VLAN通過,可以接收和發送多個VLAN 報文, 一般用於交換機與交換機相關的接口。
3)Hybrid類型端口:可以允許多個VLAN通過,可以接收和發送多個VLAN 報文,可以用於交換機的間連接也可以用於連接用戶計算機。
首先,將交換機的類型進行划分,交換機分為低端(SOHO級)和高端(企業級)。
其兩者的重要區別就是低端的交換機每一個物理端口為一個邏輯端口,而高端交換機則是將多個物理端口捆綁成一個邏輯端口再進行的配置的。
2、鏈路類型
vlan的鏈路類型可以分為接入鏈路和干道鏈路。
1、接入鏈路(access link)指的交換機到用戶設備的鏈路,即是接入到戶,可以理解為由交換機向用戶的鏈路。由於大多數電腦不能發送帶vlan tag的幀,所以這段鏈路可以理解為不帶vlan tag的鏈路。
2、干道鏈路(trunk link)指的交換機到上層設備如路由器的鏈路,可以理解為向廣域網走的鏈路。這段鏈路由於要靠vlan來區分用戶或者服務,所以一般都帶有vlan tag。
3、access,trunk,hybid是三種端口屬性
1)具有access性質的端口只能屬於一個vlan,且該端口不打tag;
2)具有trunk性質的端口可以屬於多個vlan,且該端口都是打tag的;
3)具有hybid性質的端口可以屬於多個vlan,至於該端口在vlan中是否打tag由用戶根據具體情況而定;
4、配置基本命令
[H3C]int g1/0/1 [H3C-GigabitEthernet1/0/1]port link-type ? access Set the link type to access hybrid Set the link type to hybrid trunk Set the link type to trunk
三、Vlan間路由
1、單臂路由
R1配置命令:
[R1]int GE0/1.1 進入子接口 [R1-GigabitEthernet0/1.1]ip address 192.168.10.254 255.255.255.0 配置IP地址 [R1-GigabitEthernet0/1.1]vlan-type dot1q vid 10 關聯vlan [R1]int GE0/1.2 [R1-GigabitEthernet0/1.2]ip address 192.168.20.254 255.255.255.0 [R1-GigabitEthernet0/1.2]vlan-type dot1q vid 20
SW1配置命令:
[H3C]int GE1/0/1 [H3C-GigabitEthernet1/0/1]port link-type trunk 上行鏈路設置為trunk [H3C-GigabitEthernet1/0/1]port trunk permit vlan 1 10 20 放行valn10 vlan20 [H3C]int GE1/0/2 [H3C-GigabitEthernet1/0/2]port link-type access 下行連接PC設置為access口 [H3C-GigabitEthernet1/0/2]port access vlan 10 划分為vlan10 [H3C]int GE1/0/3 [H3C-GigabitEthernet1/0/2]port link-type access [H3C-GigabitEthernet1/0/2]port access vlan 20
PC1、PC2配置命令:
[H3C]int GE0/1 [H3C-GigabitEthernet0/1]ip address 192.168.10.2 24 配置IP地址 [H3C]ip route-static 0.0.0.0 0 192.168.10.254 添加一條默認路由指向網關(設置網關)
2、SVI交換虛接口
SW1配置命令:
[H3C]int vlan 10 [H3C-Vlan-interface10]ip address 192.168.10.254 24 [H3C]int vlan 20 [H3C-Vlan-interface20]ip address 192.168.20.254 24
[H3C]int GE1/0/2 [H3C-GigabitEthernet1/0/2]port link-type access 下行連接PC設置為access口 [H3C-GigabitEthernet1/0/2]port access vlan 10 划分為vlan10 [H3C]int GE1/0/3 [H3C-GigabitEthernet1/0/2]port link-type access [H3C-GigabitEthernet1/0/2]port access vlan 20
PC1、PC2配置命令:
[H3C]int GE0/1 [H3C-GigabitEthernet0/1]ip address 192.168.10.2 24 配置IP地址 [H3C]ip route-static 0.0.0.0 0 192.168.10.254 添加一條默認路由指向網關(設置網關)
四、NAT技術
1、技術優點
作為一種過渡方案,NAT通過地址重用的方法來滿足IP地址的需要,可以在一定程度上緩解IP地址空間枯竭的壓力。它具備以下優點:
1) 對於內部通訊可以利用私網地址,如果需要與外部通訊或訪問外部資源,則可通過將私網地址轉換成公網地址來實現。
2)通過公網地址與端口的結合,可使多個私網用戶共用一個公網地址。
3)通過靜態映射,不同的內部服務器可以映射到同一個公網地址。外部用戶可通過公網地址和端口訪問不同的內部服務器,同時還隱藏了內部服務器的真實IP地址,從而防止外部對內部服務器乃至內部網絡的攻擊行為。
4)方便網絡管理,如通過改變映射表就可實現私網服務器的遷移,內部網絡的改變也很容易。
2、NAT技術實現
NAT的基本原理是僅在私網主機需要訪問Internet時才會分配到合法的公網地址,而在內部互聯時則使用私網地址。當訪問Internet的報文經過NAT網關時,NAT網關會用一個合法的公網地址替換原報文中的源IP地址,並對這種轉換
進行記錄;之后,當報文從Internet側返回時,NAT網關查找原有的記錄,將報文的目的地址再替換回原來的私網地址,並送回發出請求的主機。這樣,在私網側或公網側設備看來,這個過程與普通的網絡訪問並沒有任何的區別。
3、實驗拓撲
R1配置命令
第一種配置方法:
[R1]int g0/1 [R1-GigabitEthernet0/1]ip address 192.168.10.1 255.255.255.0
[R1]int g0/0
[R1-GigabitEthernet0/0]ip address 12.1.1.1 255.255.255.0
[R1-GigabitEthernet0/0]
[R1-GigabitEthernet0/0]nat outbound 出接口做nat
[R1]ip route-static 0.0.0.0 0 12.1.1.2
第二種配置方法:
[R1]nat address-group 1 配置nat地址池
[R1-address-group-1]address 12.1.1.3 12.1.1.4 划分地址池IP斷
[R1]acl basic 2000 基本的acl2000
[R1-acl-ipv4-basic-2000]rule permit source 192.168.10.0 0.0.0.255 精確匹配源
[R1]int g0/0
[R1-GigabitEthernet0/0]nat outbound 2000 address-group 1 出接口調用
外網配置命令
[ww]int g0/0 [ww-GigabitEthernet0/0]ip add 12.1.1.2 24 [ww]int LoopBack 0 [ww-LoopBack0]ip address 8.8.8.8 24
PC配置命令
[PC]int g0/2 [PC-GigabitEthernet0/2]ip address 192.168.10.2 255.255.255.0 [PC]ip route-static 0.0.0.0 0 192.168.10.1
R1開啟調試命令
<R1>terminal debugging <R1>terminal monitor <R1>debugging nat packet <R1>debugging nat event <R1>*Oct 23 21:14:30:072 2020 R1 NAT/7/COMMON: PACKET: (GigabitEthernet0/0-out) Protocol: ICMP 192.168.10.2: 0 - 8.8.8.8: 0(VPN: 0) ------> 12.1.1.1: 0 - 8.8.8.8: 0(VPN: 0) *Oct 23 21:14:30:073 2020 R1 NAT/7/COMMON: PACKET: (GigabitEthernet0/0-in) Protocol: ICMP 8.8.8.8: 0 - 12.1.1.1: 0(VPN: 0) ------> 8.8.8.8: 0 - 192.168.10.2: 0(VPN: 0) <R1>display nat session Slot 0: Initiator: Source IP/port: 192.168.10.2/219 Destination IP/port: 8.8.8.8/2048 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: ICMP(1) Inbound interface: GigabitEthernet0/1 Initiator: Source IP/port: 192.168.10.2/218 Destination IP/port: 8.8.8.8/2048 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: ICMP(1) Inbound interface: GigabitEthernet0/1 Total sessions found: 2
4、將內部PC的端口映射出去
[R1]int g0/0 [R1-GigabitEthernet0/0]nat server protocol tcp global 12.1.1.4 inside 192.168.10.2 23 PC配置: [PC]telnet server enable [PC]user-interface vty 0 4 [PC-line-vty0-4]authentication-mode scheme [PC]local-user hcnp [PC-luser-manage-hcnp]password simple 123 [PC]local-user hcnp [PC-luser-manage-hcnp]service-type telnet