VLAN介紹與配置
VLAN概述
- 交換網絡中的問題
-
VLAN(Virtual Local Area Network)
-
在物理網絡上划分出邏輯網 ,對應OS模型第二層
-
VLAN划分不受端口物理位置限制,VLAN和普通物理網絡有同樣屬性
-
第二層數據單播、廣播只在一個VLAN內轉發,不會進入其他VLAN中
-
一個VLAN = 一個廣播域 = 一個網段
- VLAN的作用
-
安全性,減少保密信息遭到破壞的可能性
-
節約成本,無需昂貴的網絡升級
-
提高性能,將二層網絡划分成多個廣播域,減少不必要的數據流
-
縮小廣播域,減少一個廣播域上的設備數量
-
提升管理效率
配置VLAN
- 體會VLAN隔離廣播域
1. 創建VLAN
switch# configure terminal
switch(config)# vlan 10
switch(config-vlan)# exit
switch(config)# vlan 20
switch(config-vlan)# exit
2. 查看ⅥLAN表,VLAN創建成功
switch# show vlan b
3. 將端口加入到VLAN中
switch# configure terminal
switch(config)# int f0/1
switch(config-if)# switchport access vlan 10
switch(config-if)# exit
VLAN Trunk
-
什么是 Trunk
-
介紹::Trunk是在兩個網絡設備之間,承載多於—種VLAN的端到端的連接,將ⅥAN延伸至整個網絡
-
作用:允許所有VLAN數據通過 trunk鏈路
-
方法:通過在數據幀上加標簽,來區分不同的ⅥLAN數據
- Trunk標簽
-
ISL標簽:Cisco私有的,標簽大小30字節
-
802.1q標簽:公有協議,所有廠家都支持,標簽大小4字節,屬於內部標簽
- 交換機端口鏈路類型
-
接入端口 :也稱為 access端口,一般用於連接pc ,只能屬於某一個vlan ,也只能傳輸一個vlan的數據
-
中繼端口 :也稱為 trunk端口,一般用於連接其他交換機 ,屬於公共端口 ,允許所有vlan的數據通過
- 配置Trunk命令
Switch(config)# f0/2
Switch(config-if)# switchport mode trunk //開啟trunk口
Switch(config-if)#
BLINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/2, changed state to down
ACL訪問控制列表
ACL概述
-
什么是訪問控制列表
-
訪問控制列表(ACL):應用於路由器接口 的指令列表,用於指定哪些數據包可以接收轉發,哪些數據包需要拒絕
-
ACL的工作原理
-
讀取第三層及第四層包頭 中的信息
-
根據預先定義好的規則對包進行過濾
-
ACL的作用
-
提供網絡訪問的基本安全手段
-
可以控制數據流量
-
控制通信量
-
訪問控制列表的作用
- 實現訪問控制列表的核心技術是包過濾
ACL的工作原理
- 通過分析IP數據包包頭信息,進行判斷
ACL的分類
-
基本類型 的控制訪問列表
-
標准 訪問控制列表
-
擴展 訪問控制列表
-
其他種類 的訪問控制列表
-
基於MAC地址的訪問控制列表
-
基於時間的訪問控制列表
標准訪問控制列表
-
根據數據包的源IP地址來允許或拒絕 數據包(只使用源地址進行過濾)
-
訪問控制列表號從1~99
- 標准訪問控制列表流程圖
- 標准訪問控制列表的配置
- 第一步,使用 access-ist命令創建訪問控制列表
switch# configure terminal
switch(config)# access-list表號 permit/deny源IP或源網段 反子網掩碼
注意:反子網掩碼:將正子網掩碼的0和1倒置
| 255.0.0.0 | 0.255.255.255 |
|---|---|
| 255.255.0.0 | 0.0.255.255 |
| 255.255.255.0 | 0.0.0.255 |
舉例 :拒絕IP 40.1.1.1 的主機
Router>enable
Router#conf terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 1 deny host 40.1.1.1
Router(config)#access-list 1 permit any
Router(config)#int f0/1
Router(config-if)#ip access-group 1 out
Router(config-if)#exit
Router(config)#exit
%SYS-5-CONFIG_I: Configured from console by console
Router#show access-lists
Standard IP access list 1
10 deny host 40.1.1.1
20 permit any
Router#
舉例 :拒絕網段10.1.1.0 的主機
Router#conf terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 1 deny 10.1.1.0 0.0.0.255
Router(config)#access-list 1 permit any
Router(config)#int f0/1
Router(config-if)#ip access-group 1 out
Router(config-if)#exit
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#show access-lists
Standard IP access list 1
10 deny 10.1.1.0 0.0.0.255
20 permit any
Router#
判斷in還是 out的方法:以路由器為准,進路由器為 in,出路由器為out
擴展訪問控制列表
-
介紹
-
基於源和目的地址、傳輸層協議和應用端口號 進行過濾
-
每個條件都必須匹配,才會施加允許或拒絕條件
-
使用擴展ACL可以實現更加精確 的流量控制
-
訪問控制列表號從100~199
-
特點:擴展訪問控制列表使用更多的信息描述 數據包,表明是允許還是拒絕
-
擴展訪問控制列表流程圖
- 擴展訪問控制列表的配置
- 使用 access-list命令創建“擴展訪問控制列表、
Router(config)# access-list 表號{ permit deny}協議 源IP或源網段 反子網掩碼 [eq端口號]
注意:協議為tcp/udp/ip/icmp
舉例:
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255
- 將ACL表應用到接口上
Router(config)# int fo/x
Router(config-if)# ip access-group 表號 in/out