计算机网络(02)
三层交换机
- 普通交换机叫做 二层交换机
- 三层交换机 = 二层交换 + 三层路由 .
- VLAN + 互通
虚拟接口
- 在三层交换机上配置的VLAN接口为虚拟接口
- 使用***Vlanif ( VLAN虚拟接口 )***实现VLAN间的路由
- VLAN的接口引入使得应用更加灵活
三层交换配置
-
确定那些VLAN需要配置网关
-
在三层交换机上确保对应VLAN的存在
-
给每个VLAN虚拟接口配置IP地址
[ interface Vlanif 1 ] # 创建一个VLAN虚拟接口 1
[ ip address 192.168.1.254 24 ] #配置IP
[ display ip interface brief ] #查看IP简介
-
如果需要 , 为三层交换机添加路由
三层交换机<—>二层交换机
-
二层交换机和三层交换机的连接接口都是 0/0/1 时
-
二层交换机: 把接口型设成 trunk , 保证所有 VLAN可以输出输入
- [ interface ethernet 0/0/1 ]
- [ port link-type trunk ]
- [ port trunk allow-pass vlan all ]
-
三层交换机 : 把接口型设成 trunk , 保证所有VLAN数据帧可以传输
设置虚拟接口与IP地址 , 保证vlan之间可传输数据
- [ interface Gi 0/0/1 ]
- [ p l t ]
- [ p t a v a ]
-
动态路由
-
动态路由 : 基于某种路由协议实现 , 适用于大型网络 , 减少管理任务.
-
宣告 : 对外告知自身所直连的网段
-
动态路由无需手工配置 , 设备之间可以相互学习.
-
OSPF 协议
- 开放式最短路径优先
- 兼容性强 , 适合大中型网络使用
- OSPF区域 (area)
- 为了适应大型的网络 , OSPF可以在网络内部划分多个区域
- OSPF使用的第一个区域的ID号为 0
-
[ ospf ] #进入OSPF协议
-
[ area 0 ] #进入区域 0
-
[ network 192.168.1.0 0.0.0.255 ] #宣告自身直连的网段
- [ 0.0.0.255 ] 是子网掩码 [ 255.255.255.0 ] 的反码
-
[ network 192.168.2.0 0.0.0.255 ] #宣告2网段…
-
[ display this ] # 查看当前视图的配置
默认路由器
-
默认路由器是一种特殊的静态路由
-
默认路由的目标网络为 0.0.0.0 0.0.0.0 , 可匹配任何目标地址
-
只有当从路由表中找不到任何明确匹配的路由条目时 , 才会使用默认路由 , 一般访问公网时使用
-
[ ip route-static 0.0.0.0 0 192.168.4.2 ]
目标是 任意子网掩码的 任意网段 , 路径下一步是 192.168.4.2
传输层
- 定义端口号 , 不同端口对应不同服务
- 传输层的作用
- 网络层提供了点到点的连接
- 传输层提供端到端的连接
- 定义了端口号 0 ~ 65535
- 传输讲究可靠性和传输效率
TCP协议(可靠)
-
TCP : 输出控制协议
- 可靠性高 , 面向连接的协议
- 传输效率低
-
连接三次握手
-
[ A ]发送 [ SYN信号 ] 给[ B ] , 请求建立连接
-
[ B ]收到 [ SYN信号 ]后 , 把 [ SYN信号 ] 和 新的[ ACK信号 ] 发给 [ A ]
-
[ A ]收到[ SYN信号 ]和[ ACK信号 ]后 , 把[ ACK信号 ]发回[ B ]验证
-
-
断开四次分手
- [ A ]发送 [ FIN信号 ] 给[ B ] , 请求断开连接
- [ B ]收到请求后 , 给[ A ]发送[ ACK信号 ]申请验证
- [ B ]给[ A ]发送[ FIN信号 ] 申请断开连接
- [ A ]收到[ ACK信号 ] 后 , 将其发回[ B ] 验证, 并断开连接
-
使用TCP的服务:
-
[ FTP ]<------>[ 21号端口 ]<------>文件传输协议 , 用于上传下载
-
[ SSH ]<------>[ 22号端口 ]<------>用于远程登录 , 管理网络设备
-
[ SMTP ]<------>[ 25号端口 ]<------>简单邮件传输协议 , 用于发送邮件
-
[ DNS ]<------>[ 53号端口 ]<------>域名服务
-
[ HTTP ]<------>[ 80号端口 ]<------>超文本传输协议
-
[ HTTPS ]<------>[ 443号端口 ]<------>超文传输协议 , 附带安全加密功能
-
UDP协议(高效)
-
UDP : 用户数据报协议
- 不可靠 , 无连接服务
- 传输效率高
-
使用UDP的服务:
-
[ TFTP ]<------>[ 69号端口 ]<------>简单文件传输协议
-
[ DNS ]<------>[ 53号端口 ]<------>域名服务 (安全OR快速两种都可选)
-
[ NTP ]<------>[ 123号端口 ]<------>网络时间协议(追求速度)
-
ACL
-
访问控制列表
-
访问控制列表ACL 是应用在路由器(网络层皆可)接口的指令列表/规则 , 过滤/清洗数据.
-
读取第三层网络层 , 第四层传输层 的报文头信息 , 根据预先定义的规则对报文进行过滤.
ACL的主要类型
- 基本ACL : 编号范围 [ 2000~2999 ] 参数 : 源IP地址
- 高级ACL : 编号范围 [ 3000~3999 ] 参数 : 源IP地址 , 目的IP地址 , 端口 , 协议
ACL规则
- 每个ACL可以包含多个规则 , 路由器根据规则对数据流量进行过滤 , 匹配即停止
基本ACL操作
-
[ acl 2000 ] #创建 ACL , 列表号是2000
-
[ rule deny source 192.168.2.1 0.0.0.0 ] # 创建规则 , 拒绝192.168.2.1 的数据通过
- [ deny ] 拒绝
- [ permit ] 允许
- [ 0.0.0.0 ] 是反掩码 , 表示四个位置都匹配前面的地址. [ 0 ] 代表匹配 , [ 1 ] 代表不匹配
-
[ display this ] #查看当前视图配置 , 可以看到规则号码
-
[ interface GigabitEthernet 0/0/1 ] #进入想限制的机器最近的接口
-
[ traffic-filter inbound acl 2000 ] #定义过滤数据是入方向 , 并应用ACL2000规则
-
[ undo rule 5 ] # 如果规则写错,可以根据规则号码删除
-
[ undo traffic-filter inbound ] #在接口取消之前的acl规则
-
[ rule permit source 192.168.2.1 0.0.0.0 ] #创建规则,允许2.1通过
-
[ rule deny source any ] #拒绝所有设备通过
-
[ display acl 2000 ] #查看2000列表的内容
-
[ display acl all ] #查看所有列表的内容