文章目錄
- 網絡基礎
-
- 一、VLAN
-
- 1. 概述
- 2. 類型
-
- 2.1 靜态VLAN
- 2.2 動态VLAN
- 3. Trunk
- 4. 單臂路由&三層交換技術
-
- 4.1 單臂路由
- 4.2 三層交換技術
- 二、ACL
-
- 1. 概述
- 2. 功能
- 3. 分類
-
- 3.1 标準ACL
- 3.2 擴充ACL
- 3.3 命名ACL
- 4. 注意
- 三、HSRP&VRRP協定
-
- 1. 協定解決了什麼問題?
- 2. HSRP&VRRP概述
- 3. 實作原理
- 4. 配置指令
- 四、内部網絡規劃
網絡基礎
一、VLAN
1. 概述
虛拟區域網路:VLAN(Virtual Local Area Network),是一組邏輯上的裝置和使用者,這些裝置和使用者并不受實體位置的限制,可以根據功能、部門及應用等因素将它們組織起來,互相之間的通信就好像它們在同一個網段中一樣。工作在交換機上,一個VLAN就是一個廣播域,就是一個網段。
通俗講:學校的每個班就相當于一個vlan,每個班名稱,就相當于vlan的名稱,每個學生的編号就是ip位址;同班同學(同一個vlan的ip)。
優點: 網絡裝置的移動、添加和修改的管理開銷減少;可以控制廣播活動;可提高網絡的安全性。
2. 類型
2.1 靜态VLAN
手工配置,基于端口劃分的VLAN。
VLAN表:端口和VLAN接口。
VLAN指令:Cisco系統
Switch(config)#vlan ID,ID,ID-ID
Switch(config-valn)#name 名稱
do show vlan b 檢視vlan表
将端口加入vlan
int f0/x
switchport access vlan ID
2.2 動态VLAN
手工配置,基于MAC位址劃分的VLAN。
VLAN表:MAC位址和VLAN接口。
3. Trunk
解決的問題
解決不同交換機,相同VLAN間通信!
- Trunk是在兩個網絡裝置之間承載多于一種VLAN的端到端的連接配接,将VLAN延伸至整個網絡。VLAN Trunk允許VLAN資料流在交換機間傳輸,是以裝置在同一VLAN,但連接配接到不同交換機,能夠不通過路由器來進行通信。
-
通過在VLAN上加标簽,來區分不同的vlan資料。
trunk标簽:
ISL标簽:cisco私有的,大小30位元組;
802.1标簽:公有協定,支援所有廠家,大小為4位元組。
-
交換機端口鍊路類型
接入端口:access,一般隻連接配接pc,隻允許某一個vlan的資料通過;
中繼端口:trunk,一般連接配接其他交換機,屬于公共端口,允許所有vlan的資料通過。
- 配置trunk指令
int f0/x
switchport trunk encapsulation dotlq/isl
switchport mode trunk
exit
4. 單臂路由&三層交換技術
在學校中,同一個教室的同學,可以互相通信,不同班的同學,若不做其它工作,很難往來通信。是以同一個vlan間,可以互相通信;不同vlan,若不做配置,不能互相通信。那麼不同vlan如何通通信呢?就需要單臂路由與三層交換機。
4.1 單臂路由
單臂路由是指在路由器的一個接口上通過配置子接口的方式,實作原來互相隔離的不同VLAN(虛拟區域網路)之間的互聯互通,一台路由器允許多個vlan互相通信。
單臂路由的實作方式:其實就是普通二層交換機加路由器,進而實作不同vlan間的可以互相通信。
4.2 三層交換技術
對于小型的網絡,單臂路由可以應付,但随着VLAN之間流量的不斷增加,很可能導緻路由器成為整個網絡的瓶頸,出現掉包、或者通信堵塞。
為了解決上述問題,引入三層交換機,本質上就是“帶有路由功能的(二層)交換機”。路由屬于OSI參照模型中第三層網絡層的功能,是以帶有第三層路由功能的交換機才被稱為“三層交換機”。
利用第三層協定中的IP包的標頭資訊來對後續資料業務流進行标記,具有同一标記的業務流的後續封包被交換到第二層資料鍊路層,進而打通源IP位址和目的IP位址之間的一條通路。這條通路經過第二層鍊路層。有了這條通路,三層交換機就沒有必要每次将接收到的資料包進行拆包來判斷路由,而是直接将資料包進行轉發,将資料流進行交換。
二、ACL
1. 概述
通路控制清單(Access Control Lists)是一種基于包過濾的通路控制技術,它可以根據設定的條件對接口上的資料包進行過濾,允許其通過或丢棄。通路控制清單被廣泛地應用于路由器和三層交換機。
ACL基于IP標頭的IP位址,四層TCP/UDP頭部的端口号。
2. 功能
1)限制網絡流量、提高網絡性能。ACL根據資料包的協定,指定這種類型的資料包具有更高的優先級,同等情況下可預先被網絡裝置處理。
2)提供對通信流量的控制手段。
3)提供網絡通路的基本安全手段。
4)在網絡裝置接口處,決定哪種類型的通信流量被轉發、哪種類型的通信流量被阻塞。
3. 分類
ACL表必須應用到接口的進出方向才生效,一個接口的一個方向隻能應用一張表,ACL表嚴格遵循自上而下檢查每一條
3.1 标準ACL
- 标準ACL隻能基于源IP對包進行過濾,可對比對的包采取拒絕或允許兩個操作,編号範圍是從1到99。
- 指令
conf t
access-list 表号 permit/deny 源IP 反子網路遮罩
應用到接口
int f0/x
ip access-group 表号 in/out
exit
反子網路遮罩:将正子網路遮罩0和1倒置(255.255.0.0 --> 0.0.255.255)
作用:用來比對與0對應的需要嚴格比對,與1對應的忽略!
例如:
access-list 1 deny 10.1.1.1 0.0.255.255
根據0.0,隻拒絕所有源IP為10.1的IP位址
3.2 擴充ACL
- 擴充IP通路控制清單比标準IP通路控制清單具有更多的比對項,包括協定類型、源位址、目的位址、源端口、目的端口、建立連接配接的和IP優先級等。編号範圍是從100到199。
- 指令
acc 表号 permit/deny 協定(tcp/udp/icmp/ip) 源IP 反子網路遮罩 目标IP 反子網路遮罩 [eq 端口号]
3.3 命名ACL
- 可以對标準ACL或擴充ACL進行自定義指令,便于辨識,可以修改、删除任意一條,也可以往中間插入一條。
- 指令
conf t
ip access-list standard/extended 自定義表名
開始從permit/deny編寫條目
exit
删除某一條:
ip accsss-list standard/extended 自定義表名
no 條目id
exit
4. 注意
一般情況下,一旦标準ACL或擴充ACL編寫好,無法修改或删除其中一條指令,也無法往中間插入,隻能追加到最後一條。
若想删除,隻能删除整張表:no access-list 表号
三、HSRP&VRRP協定
1. 協定解決了什麼問題?
傳統網絡規劃:
問題:當路由器與外網或交換機連接配接出現問題時怎麼保證PC還可以正常連接配接網絡?
解決:再增加一台路由器
問題:怎麼在不需要重新開機瞬間從10.1.1.254轉化到10.1.1.253?
2. HSRP&VRRP概述
- HSRP:(Hot Standby Router Protocol):熱備份路由協定,是cisco平台一種特有的技術,是cisco的私有協定;備份的是網關不是裝置。
- VRRP:(Virtual Router Redundancy Protocol):虛拟路由備援協定,是國際标準,由IETF提出的解決區域網路中配置靜态網關出現單點失效現象的路由協定。
3. 實作原理
- 兩個網關啟用HSRP協定,将網關放入同一HSRP組中(組号1-255,沒大小之分);
- 會産生一個虛拟路由器,配置其虛拟IP位址(10.1.1.252);
-
此時HSRP組中有三個成員分别為:
虛拟路由器(老大)、活躍路由器、備份路由器;活躍和備份的優先級根據HSRP優先級決定,HSRP優先級為1-255,預設為100;
- HSRP組成員通過定時發送hello包來交流,預設每隔3秒;
- 此時PC流量會先通過虛拟路由器轉發給活躍路由器,如果當活躍路由器突然down掉,備份路由器發送hello包得不到回應,堅持發送hello包10秒,備份路由器會立即搶占活躍路由器的地位,代替它工作;一旦當機的重新複活,會重新搶占回來活躍路由器的地位;
- 配置跟蹤track,跟蹤外網端口狀态,一旦down掉,則自降優先級。
4. 配置指令
活躍路由器配置:
int f0/0
standby HSRP組号 ip 虛拟IP位址
standby HSRP組号 priority 200 # 配置優先級
standby HSRP組号 preempt # 開啟占先權
standby HSRP組号 track f0/0 # 配置跟蹤track
exit
備份路由器配置:
int f0/0
standby HSRP組号 ip 虛拟IP位址
standby HSRP組号 priority 150
standby HSRP組号 preempt
standby HSRP組号 track f0/0
exit
四、内部網絡規劃
核心層:主要連接配接外網,調節彙聚層之間的流量
彙聚層:分擔核心層的工作量