文章目录
- 网络基础
-
- 一、VLAN
-
- 1. 概述
- 2. 类型
-
- 2.1 静态VLAN
- 2.2 动态VLAN
- 3. Trunk
- 4. 单臂路由&三层交换技术
-
- 4.1 单臂路由
- 4.2 三层交换技术
- 二、ACL
-
- 1. 概述
- 2. 功能
- 3. 分类
-
- 3.1 标准ACL
- 3.2 扩展ACL
- 3.3 命名ACL
- 4. 注意
- 三、HSRP&VRRP协议
-
- 1. 协议解决了什么问题?
- 2. HSRP&VRRP概述
- 3. 实现原理
- 4. 配置命令
- 四、内部网络规划
网络基础
一、VLAN
1. 概述
虚拟局域网:VLAN(Virtual Local Area Network),是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样。工作在交换机上,一个VLAN就是一个广播域,就是一个网段。
通俗讲:学校的每个班就相当于一个vlan,每个班名称,就相当于vlan的名称,每个学生的编号就是ip地址;同班同学(同一个vlan的ip)。
优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
2. 类型
2.1 静态VLAN
手工配置,基于端口划分的VLAN。
VLAN表:端口和VLAN接口。
VLAN命令:Cisco系统
Switch(config)#vlan ID,ID,ID-ID
Switch(config-valn)#name 名称
do show vlan b 查看vlan表
将端口加入vlan
int f0/x
switchport access vlan ID
2.2 动态VLAN
手工配置,基于MAC地址划分的VLAN。
VLAN表:MAC地址和VLAN接口。
3. Trunk
解决的问题
解决不同交换机,相同VLAN间通信!
- Trunk是在两个网络设备之间承载多于一种VLAN的端到端的连接,将VLAN延伸至整个网络。VLAN Trunk允许VLAN数据流在交换机间传输,所以设备在同一VLAN,但连接到不同交换机,能够不通过路由器来进行通信。
-
通过在VLAN上加标签,来区分不同的vlan数据。
trunk标签:
ISL标签:cisco私有的,大小30字节;
802.1标签:公有协议,支持所有厂家,大小为4字节。
-
交换机端口链路类型
接入端口:access,一般只连接pc,只允许某一个vlan的数据通过;
中继端口:trunk,一般连接其他交换机,属于公共端口,允许所有vlan的数据通过。
- 配置trunk命令
int f0/x
switchport trunk encapsulation dotlq/isl
switchport mode trunk
exit
4. 单臂路由&三层交换技术
在学校中,同一个教室的同学,可以相互通信,不同班的同学,若不做其它工作,很难往来通信。所以同一个vlan间,可以相互通信;不同vlan,若不做配置,不能相互通信。那么不同vlan如何通通信呢?就需要单臂路由与三层交换机。
4.1 单臂路由
单臂路由是指在路由器的一个接口上通过配置子接口的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通,一台路由器允许多个vlan互相通信。
单臂路由的实现方式:其实就是普通二层交换机加路由器,从而实现不同vlan间的可以互相通信。
4.2 三层交换技术
对于小型的网络,单臂路由可以应付,但随着VLAN之间流量的不断增加,很可能导致路由器成为整个网络的瓶颈,出现掉包、或者通信堵塞。
为了解决上述问题,引入三层交换机,本质上就是“带有路由功能的(二层)交换机”。路由属于OSI参照模型中第三层网络层的功能,因此带有第三层路由功能的交换机才被称为“三层交换机”。
利用第三层协议中的IP包的包头信息来对后续数据业务流进行标记,具有同一标记的业务流的后续报文被交换到第二层数据链路层,从而打通源IP地址和目的IP地址之间的一条通路。这条通路经过第二层链路层。有了这条通路,三层交换机就没有必要每次将接收到的数据包进行拆包来判断路由,而是直接将数据包进行转发,将数据流进行交换。
二、ACL
1. 概述
访问控制列表(Access Control Lists)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机。
ACL基于IP包头的IP地址,四层TCP/UDP头部的端口号。
2. 功能
1)限制网络流量、提高网络性能。ACL根据数据包的协议,指定这种类型的数据包具有更高的优先级,同等情况下可预先被网络设备处理。
2)提供对通信流量的控制手段。
3)提供网络访问的基本安全手段。
4)在网络设备接口处,决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。
3. 分类
ACL表必须应用到接口的进出方向才生效,一个接口的一个方向只能应用一张表,ACL表严格遵循自上而下检查每一条
3.1 标准ACL
- 标准ACL只能基于源IP对包进行过滤,可对匹配的包采取拒绝或允许两个操作,编号范围是从1到99。
- 命令
conf t
access-list 表号 permit/deny 源IP 反子网掩码
应用到接口
int f0/x
ip access-group 表号 in/out
exit
反子网掩码:将正子网掩码0和1倒置(255.255.0.0 --> 0.0.255.255)
作用:用来匹配与0对应的需要严格匹配,与1对应的忽略!
例如:
access-list 1 deny 10.1.1.1 0.0.255.255
根据0.0,只拒绝所有源IP为10.1的IP地址
3.2 扩展ACL
- 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199。
- 命令
acc 表号 permit/deny 协议(tcp/udp/icmp/ip) 源IP 反子网掩码 目标IP 反子网掩码 [eq 端口号]
3.3 命名ACL
- 可以对标准ACL或扩展ACL进行自定义命令,便于辨识,可以修改、删除任意一条,也可以往中间插入一条。
- 命令
conf t
ip access-list standard/extended 自定义表名
开始从permit/deny编写条目
exit
删除某一条:
ip accsss-list standard/extended 自定义表名
no 条目id
exit
4. 注意
一般情况下,一旦标准ACL或扩展ACL编写好,无法修改或删除其中一条命令,也无法往中间插入,只能追加到最后一条。
若想删除,只能删除整张表:no access-list 表号
三、HSRP&VRRP协议
1. 协议解决了什么问题?
传统网络规划:
问题:当路由器与外网或交换机连接出现问题时怎么保证PC还可以正常连接网络?
解决:再增加一台路由器
问题:怎么在不需要重启瞬间从10.1.1.254转化到10.1.1.253?
2. HSRP&VRRP概述
- HSRP:(Hot Standby Router Protocol):热备份路由协议,是cisco平台一种特有的技术,是cisco的私有协议;备份的是网关不是设备。
- VRRP:(Virtual Router Redundancy Protocol):虚拟路由冗余协议,是国际标准,由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议。
3. 实现原理
- 两个网关启用HSRP协议,将网关放入同一HSRP组中(组号1-255,没大小之分);
- 会产生一个虚拟路由器,配置其虚拟IP地址(10.1.1.252);
-
此时HSRP组中有三个成员分别为:
虚拟路由器(老大)、活跃路由器、备份路由器;活跃和备份的优先级根据HSRP优先级决定,HSRP优先级为1-255,默认为100;
- HSRP组成员通过定时发送hello包来交流,默认每隔3秒;
- 此时PC流量会先通过虚拟路由器转发给活跃路由器,如果当活跃路由器突然down掉,备份路由器发送hello包得不到回应,坚持发送hello包10秒,备份路由器会立即抢占活跃路由器的地位,代替它工作;一旦宕机的重新复活,会重新抢占回来活跃路由器的地位;
- 配置跟踪track,跟踪外网端口状态,一旦down掉,则自降优先级。
4. 配置命令
活跃路由器配置:
int f0/0
standby HSRP组号 ip 虚拟IP地址
standby HSRP组号 priority 200 # 配置优先级
standby HSRP组号 preempt # 开启占先权
standby HSRP组号 track f0/0 # 配置跟踪track
exit
备份路由器配置:
int f0/0
standby HSRP组号 ip 虚拟IP地址
standby HSRP组号 priority 150
standby HSRP组号 preempt
standby HSRP组号 track f0/0
exit
四、内部网络规划
核心层:主要连接外网,调节汇聚层之间的流量
汇聚层:分担核心层的工作量