目录

1. 路由

  1.1 静态路由

  1.2 动态路由

2. 访问控制列表

  2.1 标准访问控制列表

  2.2 扩展访问控制列表

  2.3 命名访问控制列表

3. VLAN

  3.1 基础知识

  3.2 配置实例

1. 路由

1.1 静态路由

静态路由的特点:

  • 不可通告行。静态路由默认情况下是私有的,不会通告给其他路由器
  • 接力性。如果某条静态路由中间经过的跳数大于1(也就是整条路由路径经历了3个或以上路由器节点),则必须在除最后一个路由器外的其他路由器上依次配置到达相同目标节点或网络的静态路由

PC1若要ping通PC2,必须配置以下四条静态路由(两条正向,两条回程):

1)         在R1路由器上配置到PC2的正向静态路由(以PC2 10.16.4.0/24作为目标节点,以C节点IP地址10.16.2.2/24作为下一跳地址)

2)         在R2路由器上配置到PC2的正向静态路由(同样以PC2 10.16.4.0/24作为目标节点,以E节点IP地址10.16.3.2/24作为下一跳地址)

3)         在R3路由器上配置到达PC1的回程静态路由(以PC1 10.16.1.1/24作为目标节点,以D节点IP地址10.16.3.1/24作为下一跳地址),以提供ping通信回程ICMP消息的路由路径

4)         在R2路由器上配置到PC2的正向静态路由(同样以PC2 10.16.4.0/24作为目标节点,以B节点IP地址10.16.2.1/24作为下一跳地址)

路由器各端口上所直接连接的各个网络都是直接连通的,因为它们之间默认就有直连路由,也即连接在同一个路由器上的各个网络之间的跳数为0。

  • 递归性。静态路由中的下一跳是路径中其它路由器中的任意一个接口,只要能保证到达下一跳就行了。如上图,若要在R1上配置到R3所连的10.16.4.0/24的静态路由,下一跳可以是C、D、E、F接口中的任意一个

静态路由配置命令:

ip route [destination_network] [mask] [next-hop_address or exit_interface] [administrative_distance] [permanent]

ip route 172.16.3.0 255.255.255.0 192.168.2.4 150

ip route 172.16.3.0 255.255.255.0 s0/0/0

ip route 0.0.0.0  0.0.0.0  10.1.5.1      //配置10.1.5.1为默认路由

一个路由是否会出现在路由选择表中,取决于路由器是否能与配置的下一跳地址通信。Permanent参数保证路由始终存在于路由表中。

配置默认路由。若路由器配置了IGP则通过ip default-network配置的路由通告给相邻的路由器。

  1. ip route 0.0.0.0  0.0.0.0  接口或IP地址
  2. ip default-network  IP地址

1.2 动态路由

动态路由特点:

  1. 自动通告
  2. 自动生成双向路由
  3. 仅可生成网络间的路由表项,不能生成到达具体节点或主机的动态路由表项

防止路由环路的方法

  1. 最大跳计数。RIP的最大跳数为16
  2. 水平分割。禁止路由选择协议回传路由选择信息。路由选择协议需要判断路由信息是从哪个接口收到的,一旦确定了这一接口,协议就不能再把有关这一路由的信息从同一接口发出。
  3. 路由中毒。在路由信息中标识不可达网络。
  4. 保持关闭。为已关闭的路由指定再恢复的许可时间或为不稳定的网络指定修改到下一个最佳路由需要等待的时间

RIP路由协议

  1. 路由更新定时器。路由器发送自己的路由表给相邻路由器的时间间隔(通常为30s)。
  2. 路由失效定时器。路由器最终认定一个路由为无效路由之前需要等待的时长(通常为180s)。
  3. 保持失效定时器。保持路由无效的时间(默认180s)。
  4. 路由刷新定时器。将某个路由认定为无效路由起至将它从路由选择表中删除的时间间隔(默认240s)。

2. 访问控制列表

标准访问控制列表

只根据源IP地址来进行控制

访问控制列表是逐行比较的,并且末尾都有一条隐式的deny语句。访问控制列表只有应用于接口后才会发挥作用。在接口的特定方向上,每种协议只能有一个访问控制列表。可在特权模式下通过access-list ?查看各fang

扩展访问控制列表

能够检查IP分组第3层和第4层的多个字段

命名访问控制列表

 2.1 标准访问控制列表

定义标准访问控制列表(全局配置模式)

access-list list-num {deny | permit} {any | host A.B.C.D}

应用于接口(接口模式)

ip access-group list-num {in | out}

 //拒绝任何来自172.16.30.2的分组
access-list deny host 172.16.30.2

通配符掩码中,0表示地址中的相应字节必须与指定的地址相同。

172.16.30.0  0.0.0.255表示前3B必须完全相同,而第4个字节可以为任意值。

通配符掩码总是比块大小小1。假如要禁止网络中的一部分,如172.16。8.0~172.16.15.0,访问你的网络,该范围对应的块大小为8,因此访问控制列表中,应指定网络号172.16.8.0和通配符掩码0.0.7.255。

 access-list  deny 172.16.16.0 0.0.3.255

该配置表示从网络172.16.16.0开始,并使用块大小4,因此范围为172.16.16.0~172.16.19.255。

 access-list  deny 192.168.160.0 0.0.31.255

该配置表示从网络192.168.160.0开始,向上数32个网络,到192.168.191.255结束。

确定块大小和通配符掩码时需牢记以下两点:

  1. 起始位置必须为0或块大小的整数倍
  2. 命令any与0.0.0.0 255.255.255.255等价

实例:禁止图中4个LAN访问因特网

首先需要确定每个LAN所在的子网及其块大小。以E0连接的LAN为例。该网络包含2=8个子网,块大小为256-224=32。172.16.144.17位于子网172.16.128中。

 Router(config)#access-list  deny 172.16.128.0 0.0.31.255
Router(config)#access-list deny 172.16.48.0 0.0.15.255
Router(config)#access-list deny 172.16.192.0 0.0.63.255
Router(config)#access-list deny 172.16.88.0 0.0.7.255
Router(config)#access-list permit any
Router(config)#interface serial
Router(config)#ip access-group out

2.2 扩展访问控制列表

定义扩展访问控制列表(全局配置模式)

access-list list-num {deny | permit} protocol {any | host A.B.C.D} {any | host A.B.C.D} port

应用于接口(接口模式)

ip access-group list-num {in | out}

实例:只让主机B以HTTP方式访问财务部服务器,但允许其他数据流通过

 Router(config)# access-list  permit tcp host 192.168.177.2 host 172.22.89.26 eq
Router(config)# access-list deny tcp any host 172.22.89.26 eq
Router(config)# access-list permit ip any any
Router(config)# interface fastethernet /
Router(config)# ip access-group out

2.3 命名访问控制列表

定义标准访问控制列表(全局配置模式)

ip access-list {standard | extended} name

注意,这里是ip access-list

应用于接口(接口模式)

ip access-group name {in | out}

3. VLAN

3.1 基础知识

静态VLAN

将交换机端口手动分配到VLAN。将主机连接到交换机端口时,必须验证该端口的VLAN成员资格。如果端口成员资格与主机要求的成员资格(由IP地址配置决定)不同,主机将无法访问网络。

动态VLAN

通过智能管理软件,根据MAC地址、协议邓来确定节点所属VLAN。

接入端口

接入端口只属于一个VLAN,不进行VLAN 标记。如果接口收到标记过的分组将直接丢弃。

中继端口

可以属于多个VLAN,有一个默认VLAN ID(PVID),用于传输未标记数据流的VLAN的ID。帧标记只用于中继链路。

帧标记的工作原理:进入交换构造后,帧到达的每台交换机都首先从帧标记中获取VLAN ID,然后查看过滤表中的信息,以确定如何对帧进行处理。如果帧到达的交换机还有另一条中继链路,帧将从该中继链路发出。当帧到达出口,即一条与帧中VLAN ID匹配的接入链路后,交换机将把VLAN ID删除,然后将帧发给设备。

VLAN标记方法

交换机间链路(ISL)

ISL是思科专用协议

IEEE 802.1Q

两台交换机要交换VLAN信息,必须满足如下三项要求:

  1. 两台交换机的VTP管理域名相同
  2. 其中一台交换机被配置为VTP服务器
  3. VTP密码相同(如果使用了的话)

VTP有三种运行模式:

  1. 服务器模式:默认模式,可在VTP域中创建、添加和删除VLAN,修改VLAN信息时也必须在服务器模式下进行。配置存储在NVRAM中。
  2. 客户端模式:接收来在VTP服务器的信息,也接收并转发更新,但不能创建、修改或删除VLAN。配置不存储在NVRAM中,重启配置信息将丢失。
  3. 透明模式:只能转发VTP通告。维护自己的VLAN数据库,与VTP域无关。

3.2 配置实例

下面以实例说明如何在一个典型的快速以太局域网中实现VLAN。所谓典型局域网就是指由一台具有三层交换功能的核心交换机接几台分支交换机(不一定具有三层交换能力)。我们假设核心交换机为com,分支交换机分别为par1、par2、par3,假设VLAN名称分别为counter、market和managing。

需要做的工作:

  1. 设置VTP DOMAIN(核心、分支交换机上都设置)
  2. 配置中继(核心、分支交换机上都设置)
  3. 创建VLAN(在server上设置)
  4. 将交换机端口划入VLAN
  5. 配置三层交换机

3.2.1 设置VTP DOMAIN

 //配置核心交换机com
com#vlan database
com(vlan)#vtp domain com
com(vlan)# vtp server //配置par1
par1#vlan database
par1(vlan)#vtp domain com
par1(vlan)# vtp client //配置par2
par2#vlan database
par2(vlan)#vtp domain com
par2(vlan)# vtp client //配置par3
par3#vlan database
par3(vlan)#vtp domain com
par3(vlan)# vtp client

3.2.2 配置中继

 //配置核心交换机com
com(config)#interface gigabitethernet /
com(config-if)switchport
com(config-if)switchport trunk encapsulation isl
com(config-if)switchport mode trunk com(config)#interface gigabitethernet /
com(config-if)switchport
com(config-if)switchport trunk encapsulation isl
com(config-if)switchport mode trunk com(config)#interface gigabitethernet /
com(config-if)switchport
com(config-if)switchport trunk encapsulation isl
com(config-if)switchport mode trunk //配置分支交换机
par1(config)#interface gigabitethernet /
par1(config-if)#switchport mode trunk par2(config)#interface gigabitethernet /
par2(config-if)#switchport mode trunk par3(config)#interface gigabitethernet /
par3(config-if)#switchport mode trunk

3.2.3 创建VLAN

 com#vlan database
com(vlan)#vlan name counter
com(vlan)#vlan name market
com(vlan)#vlan name managing

注意,这里的VLAN是在核心交换机上建立的,它会通过VTP通告告知整个管理域中的交换机。

3.2.4 将端口划入VLAN

 //配置par1
par1(config)#interface fastethernet /
par1(config-if)#switchport access vlan
par1(config)#interface fastethernet /
par1(config-if)#switchport access vlan
par1(config)#interface fastethernet /
par1(config-if)#switchport access vlan //配置par2
par2(config)#interface fastethernet /
par2(config-if)#switchport access vlan
par2(config)#interface fastethernet /
par2(config-if)#switchport access vlan
par2(config)#interface fastethernet /
par2(config-if)#switchport access vlan //配置par3
par3(config)#interface fastethernet /
par3(config-if)#switchport access vlan
par3(config)#interface fastethernet /
par3(config-if)#switchport access vlan
par3(config)#interface fastethernet /
par3(config-if)#switchport access vlan

3.2.5 配置三层交换

VLAN间要实现三层交换必须给VLAN分配IP地址,这分为两种情况:其一,给所有VLAN节点分配静态IP地址;其二,给所有VLAN节点分配动态IP地址。

1)给所有VLAN节点分配静态IP地址

 com(config)#interface vlan
com(config-if)#ip address 172.16.58.1 255.255.255.0
com(config)#interface vlan
com(config-if)#ip address 172.16.59.1 255.255.255.0
com(config)#interface vlan
com(config-if)#ip address 172.16.60.1 255.255.255.0

然后在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址,并且把默认网关设置为该VLAN的接口地址,这样所有VLAN就可以互相访问了。

2)给所有VLAN节点分配动态IP地址

 com(config)#interface vlan
com(config-if)#ip address 172.16.58.1 255.255.255.0
com(config-if)ip helper-address 172.16.1.11 //DHCP服务器IP com(config)#interface vlan
com(config-if)#ip address 172.16.59.1 255.255.255.0
com(config-if)ip helper-address 172.16.1.11 //DHCP服务器IP com(config)#interface vlan
com(config-if)#ip address 172.16.60.1 255.255.255.0
com(config-if)ip helper-address 172.16.1.11 //DHCP服务器IP

然后在DHCP服务器上设置网络地址分别为172.16.58.0,172.16.59.0,172.16.60.0的作用域,并将这些作用域的路由器选项设置为对应VLAN的接口IP地址,这样所有VLAN就可以互相访问了。
最后在各接入VLAN的计算机上进行网络设置,设置为自动获取IP地址即可。

 //启用中继代理
com(config)#service dhcp
com(config)#ip dhcp replay information option //启用路由
com(config)#ip routing //保存设置
com#copy run start
05-26 21:22