CCNA-第十二篇-STP+ACL(下)
首先说说要跳跳了
立个小FLAG, 两个月内急速完成CCIE理论+LAB实操
因为接了个工作,主要我能做到就能做这份工作.
其实NP中间的点很多都会,只是因为笔记弄不急了,
就放到CSDN上重新复习+学习一次.
下几篇开始就要起飞到CCIE了
后面还有个NAT还有一点SDN的介绍一波
当然CCIE是包含NP阶段的东西,所以- -看后续更新吧
先讲ACL,后面再搞STP
ACL
Acess Control List(访问控制列表)
-策略(什么叫策略呢?)
比如不给这个IP去访问另外一个IP
允许/拒绝
Permit - deny
ACL分两种,思科华为都一样,都叫ACL
标准ACL:只能针对源IP,Source-IP
扩展ACL:可以针对五元组
五元组:源IP 目的IP 源端口 目的端口 协议
标准和扩展的规则编号不一样,使用的场景也不一样
就像标准是警察
扩展ACL是武警
问题来了,既然有武警,那还要警察干嘛?
答:标准的搞路由条目过滤,例192.1681.0/24
答:扩展的做拦截数据+数据过滤 例:192.168.1.1访问百度 那就是192.168.1.1 - 百度的80/443端口
思科编号
标准ACL:1-99
扩展ACL:100-199
华为编号
标准ACL:2000-2999
扩展ACL:3000-3999
TAG:ACL也是分二三层的,二层是基于MAC的,三层是基于IP的
上个操作
如图所示A是PC,B是出口,现在我要拒绝这台电脑去上网.
上面192.168.1.1
下面192.168.1.2
1-99是标准,因为我们这里是针对下面的主机
所以用标准ACL
然后 permit是放行的意思,deny是拒绝的意思
所以下面的配置可以看到是deny 192.168.1.2
remark是标记的意思,没什么用.其实就是多个备注,方便备注.
然后a.b.c.d是代表一个网段 掩码要反掩码
any是所有的意思
host是一个主机的意思
ACL中需写反掩码 掩码要反掩码
写完之后,只是一个模板 ,要把它应用起来,所以就在挂在接口下
ACL拒绝了192.168.1.2的所有数据,并且挂载到F0/0接口下
ACL是需要写完之后再挂载到一个接口下才能生效的
可以看到,虽然有路由,但是ping不通,返回值是U.U.U
思科华为的ACL最大区别
思科ACL,默认下拒绝所有
华为ACL,默认下允许所有
啥意思呢,其实他有一条隐藏的deny any在后面
然后呢,ACL都是从上往下执行的.逐条匹配.
所以一样是ping不通的
所以这个时候,我们需要加上一条permit any
如果没写,那么久大问题了!!!
不止你写的这个,其他的全部数据,只要你应用上去了,就会出事.
正确做法
这个in和out呢要怎么区分什么时候用in什么时候用out呢?
这个要看设备
就像初中的时候学物理那样,有个东西叫做参照物
把设备当做参照物即可
对于R0来说,PC的数据是发给他的,所以是进来的,所以用in
如果是从这个设备发出去的 那么就是用out
那么讲了思科了,来说说华为
思科和华为的最大特点就是一个拒绝所有一个允许所有
如图所示,2000起步,然后下面有名字,数字,ipv6等选项
然后进去了之后,要先写规则,rule
这里对比思科有个好处,比如思科中,我要在原有的中间加一条,你怎么加?只能全部推翻重来
然后比如这里,如果是10.20.30.40.50.
那么如果我日后要加,我写个15在中间就可以了
如图所示,规则10,拒绝来自1.1.1.1/32的主机 后面1个0代表32的反掩码=4个0
如果不写规则号,那么他会有一个默认的编号帮你自动写上去
在华为中就不需要写一条permit any了
因为华为默认是放行所有的
华为一样需要挂载
在华为中,叫做traffic-filter 一样需要做方向
只不过跟思科反过来了而已
其实很多东西都一样,抄过来的
为什么呢?因为你不能全抄,其实厂商那群家伙也头疼,我研发卖个设备我容易吗我,研发出来了,好不容易竞标卖出去了,他妈的他还不会用.那有啥办法,如果直接用别人的,一个官司下来几十个亿就无了
扩展ACL
标准搞完了,那就到扩展了.
扩展呢,是来搞高级需求的,比如telnet,23端口,ssh,22
ftp,20.21.ping-icmp 扩展可以弄到五元组的信息
需求:拒绝PC-telnet到网关上,环境还是这个环境
上面192.168.1.1
下面192.168.1.2
扩展ACL满足这个需求
翻译:ACL名字120 拒绝TCP的主机从192.168.1.1到192.168.1.2 协议是23 23是telnet协议
做完之后,不要忘记思科的特性放行哦
然后我们进入这个接口把这个ACL应用起来
Telnet配置
可以看到,PC1可以ping通但是连不上去,这个时候我们加多一个设备从另外一个地方telnet进来看看.
如图所示,因为路由器的F0/1是没ACL阻拦的,所以成功的Telnet到了这台路由器上.证明在F0/0的扩展ACL生效了
华为扩展ACL
先把telnet弄了哈
user-interface vty 0 4 //进入vtp 最大5用户
set authentication password cipher admin //密码admin
扩展ACL
acl 3000(因为标准的是2000-2999) //创造acl 编号3000
rule 10 deny tcp source 192.168.1.1 0 destination 192.168.1.2 0 destination-port 23 //规则10 .拒绝来自TCP的源地址192.168.1.1到达192.168.1.2的23端口
其实详细看就会发现,跟思科一样的,换了一点点东西而已
查看:display acl 编号
STP
其实生成树的核心思想,就是断什么设备的什么口
他的过程都是自动的,但是我们要手动去修改,去干预.
BPDU:bridge protocol data unit -桥协议数据单元
这个东东是用来非根桥之间的选举之间的数据包
怎么比较呢? 看前面去.
桥ID Bridge ID
简称BID 那这个BID里面有啥呢?
含有两个东西
1,桥优先级 默认32768
2.桥MAC地址 =背板MAC=基MAC
生成树中所有的数值是越小越好哦!!!
快速端口:Portfast
状态如下
disble 查看
blocking 阻断
listening 监听
learing 学习MAC,对比
forwarding 转发
整个过程30秒
这个也叫边缘端口,是给终端,PC这些东西用的
比如电脑接入交换机的时候,黄灯的时候就是这个东西的协商状态,等到他变成绿色的才是正常的转发状态
设置成边缘端口可以让他更快的协商完成
默认下开机的情况
思科:PVST私有
华为:MST
当华为+思科设备在一起的时候,他会自动协商成MST