Network(三)动态路由与ACL配置

一  三层交换机

1  三层交换机概述

三层交换=二层交换+三层转发

2  虚拟接口概述

在三层交换机上配置的VLAN接口为虚拟接口,使用Vlanif(VLAN虚拟接口)实现VLAN间路由,VLAN接口的引入使得应用更加灵活

  • 三层交换机VLAN间通信的转发过程

3  三层交换配置

  • 确定哪些VLAN需要配置网关
  • 如果三层交换机上没有该VLAN则创建它
  • 给每个VLAN虚拟接口配置IP地址
  • 如果需要,为三层交换机添加路由

按照下图的拓扑结构配置ip地址并通过三层交换实现VLAN间通信

<Huawei>system-view               //进入系统视图
[Huawei]undo info-center enable   //关日志
[Huawei]vlan batch 2 3            //创建vlan2与3
[Huawei]display vlan              //检查
[Huawei]interface GigabitEthernet 0/0/2              //进2口
[Huawei-GigabitEthernet0/0/2]port link-type access   //配置接口类型为access
[Huawei-GigabitEthernet0/0/2]port default vlan 2     //把2口加入vlan2
[Huawei-GigabitEthernet0/0/2]in g0/0/3  
[Huawei-GigabitEthernet0/0/3]port link-type access   //配置接口类型为access
[Huawei-GigabitEthernet0/0/3]port default vlan 3     //把3口加入vlan3
路由器可以在物理接口配置ip
而三层交换机要进入虚拟接口配置
[Huawei]interface Vlanif 1                           //进入vlan1的接口(虚拟接口)
[Huawei-Vlanif1]ip address 192.168.1.254 24          //配置ip,该ip可以作为vlan1的网关
[Huawei-Vlanif1]interface Vlanif 2                   //进入vlan2的接口
[Huawei-Vlanif2]ip address 192.168.2.254 24          //配置ip,该ip可以作为vlan2的网关
[Huawei-Vlanif2]interface Vlanif 3                   //进入vlan3的接口
[Huawei-Vlanif3]ip address 192.168.3.254 2           //配置ip,该ip可以作为vlan3的网关
display ip interface brief                           //检查ip

 再增加s3700交换机一台,将网络改造成以下状态

在s3700交换机配置:
[Huawei]vlan batch 2 3    //首先创建vlan2与3
[Huawei]interface ethernet0/0/2
[Huawei-Ethernet0/0/2] port link-type access
[Huawei-Ethernet0/0/2] port default vlan 2            //将e0/0/2口加入vlan2
[Huawei-Ethernet0/0/2] in e0/0/3
[Huawei-Ethernet0/0/3] port link-type access
[Huawei-Ethernet0/0/3] port default vlan 3            //将e0/0/3口加入vlan3
[Huawei-Ethernet0/0/3]in e0/0/4
[Huawei-Ethernet0/0/4]port link-type trunk            //将4口配置为中继链路
[Huawei-Ethernet0/0/4]port trunk allow-pass vlan all  //放行所有数据
再回到s5700配置:
[Huawei-GigabitEthernet0/0/1]port link-type trunk     //把g0/0/1口也配置为中继链路
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all  //放行所有vlan的数据
-------------------------------------     
如果接口配置错乱:这里用s3700举例
[Huawei]clear configuration interface Ethernet 0/0/4  //如果某接口配置错误可以清空
[Huawei]interface e0/0/4                              //进入4接口
[Huawei-Ethernet0/0/4]undo shutdown                   //开启接口

二  动态路由

1  动态路由概述

基于某种路由协议实现,减少了管理任务

2  动态路由协议OSPF

全称为Open Shortest Path First (开放最短路径优先)适合大中型网络使用

OSPF区域(area):为了适应大型的网络,0SPF可以在网络内部划分多个区域

区域0:ospf使用的第一个区域的ID号

3  OSPF基本配置

启动OSPF路由进程并进入首个区域

[Huawei] ospf 1

[Huawei-ospf-1] area 0

宣告所在的网段

[Huawei-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255

增加一台router路由器,与pc一台,并按图配置好ip,新增pc的网关是192.168.5.254,如图所示。

路由器ip按规划配置:
[Huawei]interface GigabitEthernet 0/0/0   //进0口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.4.2  24   //配置ip
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]interface GigabitEthernet 0/0/1   //进1口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.5.254  24   //配置ip

三层交换机接口配置ip思路:
1,创建一个vlan
2,进入该vlan的虚拟接口配置ip
3,将需要配置ip的接口加入上述vlan

s5700的 g0/0/2接口要按照三层交换机接口配置ip的思路进行:
[Huawei]vlan 4    //创建vlan4
[Huawei-vlan4]interface vlanif 4   //进入vlan4接口
[Huawei-Vlanif4]ip add 192.168.4.1 24       //为vlan4配置ip
[Huawei-Vlanif4]quit
[Huawei]interface GigabitEthernet 0/0/2     //进入2接口
[Huawei-GigabitEthernet0/0/2]port link-type access  //配置接口类型为access
[Huawei-GigabitEthernet0/0/2]port default vlan 4    //把2口加入vlan4

目前同网段可以通,但不能全网互通

动态路由宣告:对外告知自身所直连的网段
在三层交换机中配置动态路由:
[Huawei]ospf
[Huawei-ospf-1]area 0    //进入区域0 (第一个区域,表示开始使用ospf)
[Huawei-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255  //依次宣告
自身所直连的网段
[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255   //宣告2网段
[Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255   //宣告3网段
[Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255   //宣告4网段
在路由器中配置动态路由:
[Huawei]ospf
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255   //宣告4网段
[Huawei-ospf-1-area-0.0.0.0]network 192.168.5.0 0.0.0.255   //宣告5网段
[Huawei-ospf-1-area-0.0.0.0]display this    //可以查看当前视图的配置,比如目前在ospf中,就可以看到ospf中都敲了什么命令
[Huawei-ospf-1-area-0.0.0.0]undo network 192.168.44.0 0.0.0.255  //如果有错可以用此方法删除

4  默认路由概述

默认路由是一种特殊的静态路由

默认路由的目标网络为 0.0000000,可匹配任何目标地址

只有当从路由表中找不到任何明确匹配的路由条目时,才会使用默认路由,一般访问公网时使用

格式:[Huawei] lip route-static 0.0.0.0 0 下一跳

默认路由是特殊的静态路由,可以匹配任意网段,专门用来访问海量外部网络使用

路由器配置:
[Huawei-ospf-1-area-0.0.0.0]undo network 192.168.5.0 0.0.0.255  //取消路由器宣告5网段

5700交换机配置:
[Huawei]ip route-static 0.0.0.0 0 192.168.4.2                   //配置默认路由

三  传输层

1  传输层概述

传输层的作用

  • 网络层提供点到点的连接
  • 传输层提供端到端的连接

定义了端口号0~65535

2  TCP协议

TCP (Transmission Control Protocol)

  • 传输控制协议
  • 可靠的、面向连接的协议
  • 传输效率低

(1)TCP的封装格式

(2)TCP三次握手协议

 (4)TCP四次挥手

(5)TCP的应用 

3  UDP协议

UDP (User Datagram Protocol)

  • 用户数据报协议
  • 不可靠的、无连接的服务
  • 传输效率高

(1)UDP的封装格式

(2)UDP的应用

 四  ACL访问控制列表

1  访问列表概述

访问控制列表 (Access Contro List,ACL) 是应用在路由器接口的指令列表(即规则)

(1)ACL的作用

读取第三层、第四层报文头信息

根据预先定义好的规则对报文进行过滤

(2)ACL的主要类型

(3)ACL规则

每个ACL可以包含多个规则,路由器根据规则对数据流量进行过滤

2  基本ACL

(1)基本ACL概述

基于源IP地址过滤数据包-列表号是2000~2999

(2)基本ACL配置

按下图搭建拓扑,首先实现全网互通,然后按下列要求配置acl,禁止2.1与1.1进行数据通信,不能影响其他主机的通信

路由器ip配置:
[Huawei]interface GigabitEthernet 0/0/0   //进0口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254  24   //配置ip
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]interface GigabitEthernet 0/0/1   //进1口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254  24   //配置ip

注意:Server的网关是1.254,2个Client的网关是2.254

路由器ACL配置:
[Huawei]acl 2000    //创建acl 列表号是2000
[Huawei-acl-basic-2000]rule deny source 192.168.2.1 0.0.0.0   //创建规则拒绝源地址是192.168.2.1的数据通过
[Huawei-acl-basic-2000]display this       //查看当前视图配置,可以看到规则号码
[Huawei-acl-basic-2000]quit
[Huawei]interface GigabitEthernet 0/0/1   //进入1口,注意该接口不要照抄,要检查是否为最接近2.1的接口
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000  //定义过滤数据是入方向,并应用之前创建的acl2000
如果配置错误:
[Huawei-acl-basic-2000]undo rule 5                         //如果规则写错,可以根据规则号码删除
[Huawei-GigabitEthernet0/0/0]undo traffic-filter inbound   //应用接口错误可以这样删除

 允许2.1与1.1进行通信,禁止其他设备访问1.1

放行192.168.2.1,拒绝其他设备

[Huawei]acl 2001   //创建新acl,列表号是2001
[Huawei-acl-basic-2001]rule permit source 192.168.2.1 0    //创建规则,允许2.1通过
[Huawei-acl-basic-2001]rule deny source any  //拒绝所有设备通过
[Huawei-acl-basic-2001]in g0/0/1             //进入应用acl的接口
[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound   //在接口取消之前的acl2000
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2001   //应用新的acl
[Huawei-GigabitEthernet0/0/1]display  acl  2000    //可以查看2000列表的内容
[Huawei-GigabitEthernet0/0/1]display  acl  2001    //可以查看2001列表的内容
[Huawei-GigabitEthernet0/0/1]display  acl  all     //可以查看所有列表的内容

3  高级ACL

(1)高级ACL概述

基于源IP地址、目的IP地址、源端口、目的端口、协议等过滤数据包

列表号是3000~3999

(2)高级ACL配置

禁止2.2访问1.1的网站服务,但不影响其他服务,实验拓扑如下图所示。

根据协议所用端口进行封堵

路由器ip配置:(如果延用之前的图那么此步骤可以跳过)
[Huawei]interface GigabitEthernet 0/0/0   //进0口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254  24   //配置ip
[Huawei-GigabitEthernet0/0/0]in g0/0/1   //进1口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254  24   //配置ip
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]acl 3000   //创建(进入)acl3000
[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.1.1 0 destination-port eq 80   //拒绝2.2访问1.1的tcp的80端口
[Huawei-acl-adv-3000]in g0/0/1   //进入距离2.2比较近的接口
[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound   //删除原有acl
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000   //重新在
接口应用acl3000

禁止2.1访问1.1的ftp服务,但不影响其他服务
[Huawei]acl 3000   //创建(进入)acl3000
[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination
 192.168.1.1 0 destination-port eq 21  //拒绝2.1访问1.1的tcp的21端口
使用acl时,同接口的同方向只能一次应用一个acl列表

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/165880.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Cross-View Transformers for Real-Time Map-View Semantic Segmentation 论文阅读

论文链接 Cross-View Transformers for Real-Time Map-View Semantic Segmentation 0. Abstract 提出了 Cross-View Transformers &#xff0c;一种基于注意力的高效模型&#xff0c;用于来自多个摄像机的地图视图语义分割使用相机感知的跨视图注意机制隐式学习从单个相机视…

第93步 深度学习图像分割:PSPNet建模

基于WIN10的64位系统演示 一、写在前面 本期&#xff0c;我们继续学习深度学习图像分割系列的另一个模型&#xff0c;PSPNet。 二、PSPNet简介 &#xff08;1&#xff09;金字塔池化模块 (Pyramid Pooling Module) PSPNet的核心是其金字塔池化模块&#xff0c;该模块能够捕…

4 redis的HyperLogLog入门原理

一、HyperLogLog&#xff08;字符串类型&#xff09; 需求&#xff1a;大型网站(不在大厂基本上用不到) 每个网页每天的 UV 数据(独立访客)&#xff0c;统计如何实现&#xff1f;(尽量少的占用存储空间) Redis 提供了 HyperLogLog 数据结构就是用来解决这种统计问题的。Hyper…

[ 云计算 | AWS 实践 ] Java 如何重命名 Amazon S3 中的文件和文件夹

本文收录于【#云计算入门与实践 - AWS】专栏中&#xff0c;收录 AWS 入门与实践相关博文。 本文同步于个人公众号&#xff1a;【云计算洞察】 更多关于云计算技术内容敬请关注&#xff1a;CSDN【#云计算入门与实践 - AWS】专栏。 本系列已更新博文&#xff1a; [ 云计算 | …

六、文件上传漏洞

下面内容部分&#xff1a;参考 一、文件上传漏洞解释 解释&#xff1a;文件上传漏洞一般指的就是用户能够绕过服务器的规则设置将自己的木马程序放置于服务器实现远程shell&#xff08;例如使用蚁剑远程连接&#xff09;&#xff0c;常见的木马有一句话木马(php) 无需启用sho…

各类语言真实性能比较列表

这篇文章是我所做或将要做的所有真实世界性能比较的索引。如果你对想要看到的其他真实世界案例有建议&#xff0c;请在评论中添加。 用例 1 — JWT 验证 & MySQL 查询 该用例包括&#xff1a; 从授权头部获取 JWT验证 JWT 并从声明中获取电子邮件使用电子邮件执行 MySQL…

〖大前端 - 基础入门三大核心之JS篇㊳〗- DOM访问元素节点

说明&#xff1a;该文属于 大前端全栈架构白宝书专栏&#xff0c;目前阶段免费&#xff0c;如需要项目实战或者是体系化资源&#xff0c;文末名片加V&#xff01;作者&#xff1a;不渴望力量的哈士奇(哈哥)&#xff0c;十余年工作经验, 从事过全栈研发、产品经理等工作&#xf…

SQL练习02

1.买下所有产品的客户 SQL Create table If Not Exists Customer (customer_id int, product_key int); Create table Product (product_key int); Truncate table Customer; insert into Customer (customer_id, product_key) values (1, 5); insert into Customer (customer_…

鸿蒙:使用Stack、ContentTable、Flex等组件和布局实现一个显示界面

效果展示 一.概述 跟随官网继续HarmonyOS学习 本篇博文实现一个食物详情页的开发Demo 通过这个开发过程学习如何使用容器组件Stack、Flex和基本组件Image、Text&#xff0c;构建用户自定义组件&#xff0c;完成图文并茂的食物介绍 二.构建Stack布局 1.食物名称 创建Stack…

YOLOv5 学习记录

文章目录 整体概况数据增强与前处理自适应Anchor的计算Lettorbox 架构SiLU激活函数YOLOv5改进点SSPF 模块 正负样本匹配损失函数 整体概况 YOLOv5 是一个基于 Anchor 的单阶段目标检测&#xff0c;其主要分为以下 5 个阶段&#xff1a; 1、输入端&#xff1a;Mosaic 数据增强、…

【LeetCode刷题-树】--100.相同的树

100.相同的树 /*** Definition for a binary tree node.* public class TreeNode {* int val;* TreeNode left;* TreeNode right;* TreeNode() {}* TreeNode(int val) { this.val val; }* TreeNode(int val, TreeNode left, TreeNode right) {* …

【数据结构】C语言实现队列

目录 前言 1. 队列 1.1 队列的概念 1.2 队列的结构 2. 队列的实现 2.1 队列的定义 2.2 队列的初始化 2.3 入队 2.4 出队 2.5 获取队头元素 2.6 获取队尾元素 2.7 判断空队列 2.8 队列的销毁 3. 队列完整源码 Queue.h Queue.c &#x1f388;个人主页&#xff1a…

获取每个部门中当前员工薪水最高的相关信息

个人网站 首发于公众号小肖学数据分析 描述 有一个员工表dept_emp简况如下: 有一个薪水表salaries简况如下: 获取每个部门中当前员工薪水最高的相关信息&#xff0c;给出dept_no, emp_no以及其对应的salary&#xff0c;按照部门编号dept_no升序排列&#xff0c;以上例子输出…

【NI-DAQmx入门】校准

1.设备定期校准的理由 随着时间的推移电子器件的特性会发生自然漂移&#xff0c;可能会导致测量结果的不准确性。防止出现良品和差品筛选出错的情况满足行业国际标准降低设备出现故障的风险使测量结果更具备参考性 2.查找NI设备的校准间隔。 定期校准会使DAQ设备的精度保持在…

电路的基本原理

文章目录 一、算数逻辑单元(ALU)1、功能2、组成 二、电路基本知识1、逻辑运算2、复合逻辑 三、加法器实现1、一位加法器2、串行加法器3、并行加法器 一、算数逻辑单元(ALU) 1、功能 算术运算&#xff1a;加、减、乘、除等 逻辑运算&#xff1a;与、或、非、异或等 辅助功能&am…

C语言ASCII码排序(1086: ASCII码排序(多实例测试))

题目描述 输入三个字符后&#xff0c;按各字符的ASCII码从小到大的顺序输出这三个字符。 输入&#xff1a;输入数据有多组&#xff0c;每组占一行&#xff0c;由三个字符组成&#xff0c;之间无空格。chu 输出&#xff1a;对于每组输入数据&#xff0c;输出一行&#xff0c;字符…

云课五分钟-0Cg++默认版本和升级-std=c++17

前篇&#xff1a; 云课五分钟-0B快速排序C示例代码-注释和编译指令 视频&#xff1a; 云课五分钟-0Cg默认版本和升级-stdc17 文本&#xff1a; 在Linux系统中&#xff0c;可以通过以下步骤升级g&#xff1a; 打开终端&#xff0c;使用root权限或者sudo权限登录。输入以下命令…

cad提示由于找不到mfc140u.dll,无法继续执行代码怎么修复

在Windows操作系统中&#xff0c;mfc140u.dll是一个重要的文件&#xff0c;很多软件运行都需要它&#xff0c;它属于Microsoft Visual C库的一部分。许多基于C的开发项目都依赖于这个文件&#xff0c;如果在使用过程中出现丢失现象&#xff0c;可能导致相关软件或游戏无法正常运…

Linux管道的工作过程

常用的匿名管道&#xff08;Anonymous Pipes&#xff09;&#xff0c;也即将多个命令串起来的竖线。管道的创建&#xff0c;需要通过下面这个系统调用。 int pipe(int fd[2]) 我们创建了一个管道 pipe&#xff0c;返回了两个文件描述符&#xff0c;这表示管道的两端&#xff…

丢掉破解版,官方免费了!!!

哈喽&#xff01;大家好。 几天不见&#xff0c;今天给大家带来一款海外的神器&#xff0c;官方宣布完全免费&#xff0c;但仅限于个人与教育用途&#xff0c;切勿商用噢&#xff01; 不要看这个软件名字普普通通&#xff0c;实际上内蕴乾坤&#xff01; 接下来看我给大家炫一…