计算机网络（03）

计算机网络（02）

三层交换机

• 普通交换机叫做 二层交换机
• 三层交换机 = 二层交换 + 三层路由 .
• VLAN + 互通

虚拟接口

• 在三层交换机上配置的VLAN接口为虚拟接口
• 使用***Vlanif ( VLAN虚拟接口 )***实现VLAN间的路由
• VLAN的接口引入使得应用更加灵活

三层交换配置

• 确定那些VLAN需要配置网关

• 在三层交换机上确保对应VLAN的存在

• 给每个VLAN虚拟接口配置IP地址

  [ interface Vlanif 1 ] # 创建一个VLAN虚拟接口 1

  [ ip address 192.168.1.254 24 ] #配置IP

  [ display ip interface brief ] #查看IP简介

• 如果需要 , 为三层交换机添加路由

三层交换机<—>二层交换机

• 二层交换机和三层交换机的连接接口都是 0/0/1 时

  • 二层交换机: 把接口型设成 trunk , 保证所有 VLAN可以输出输入

    • [ interface ethernet 0/0/1 ]
    • [ port link-type trunk ]
    • [ port trunk allow-pass vlan all ]

  • 三层交换机 : 把接口型设成 trunk , 保证所有VLAN数据帧可以传输

    设置虚拟接口与IP地址 , 保证vlan之间可传输数据

    • [ interface Gi 0/0/1 ]
    • [ p l t ]
    • [ p t a v a ]

动态路由

• 动态路由 : 基于某种路由协议实现 , 适用于大型网络 , 减少管理任务.

• 宣告 : 对外告知自身所直连的网段

• 动态路由无需手工配置 , 设备之间可以相互学习.

• OSPF 协议

  • 开放式最短路径优先
  • 兼容性强 , 适合大中型网络使用
  • OSPF区域 (area)
    • 为了适应大型的网络 , OSPF可以在网络内部划分多个区域
    • OSPF使用的第一个区域的ID号为 0

  1. [ ospf ] #进入OSPF协议

  2. [ area 0 ] #进入区域 0

  3. [ network 192.168.1.0 0.0.0.255 ] #宣告自身直连的网段

     • [ 0.0.0.255 ] 是子网掩码 [ 255.255.255.0 ] 的反码

  4. [ network 192.168.2.0 0.0.0.255 ] #宣告2网段…

  5. [ display this ] # 查看当前视图的配置

默认路由器

• 默认路由器是一种特殊的静态路由

• 默认路由的目标网络为 0.0.0.0 0.0.0.0 , 可匹配任何目标地址

• 只有当从路由表中找不到任何明确匹配的路由条目时 , 才会使用默认路由 , 一般访问公网时使用

• [ ip route-static 0.0.0.0 0 192.168.4.2 ]

  目标是 任意子网掩码的 任意网段 , 路径下一步是 192.168.4.2

传输层

• 定义端口号 , 不同端口对应不同服务
• 传输层的作用
  • 网络层提供了点到点的连接
  • 传输层提供端到端的连接
    • 定义了端口号 0 ~ 65535
  • 传输讲究可靠性和传输效率

TCP协议(可靠)

• TCP : 输出控制协议

  • 可靠性高 , 面向连接的协议
  • 传输效率低

• 连接三次握手

  1. [ A ]发送 [ SYN信号 ] 给[ B ] , 请求建立连接

  2. [ B ]收到 [ SYN信号 ]后 , 把 [ SYN信号 ] 和 新的[ ACK信号 ] 发给 [ A ]

  3. [ A ]收到[ SYN信号 ]和[ ACK信号 ]后 , 把[ ACK信号 ]发回[ B ]验证

• 断开四次分手

  1. [ A ]发送 [ FIN信号 ] 给[ B ] , 请求断开连接
  2. [ B ]收到请求后 , 给[ A ]发送[ ACK信号 ]申请验证
  3. [ B ]给[ A ]发送[ FIN信号 ] 申请断开连接
  4. [ A ]收到[ ACK信号 ] 后 , 将其发回[ B ] 验证, 并断开连接

• 使用TCP的服务:

  1. [ FTP ]<------>[ 21号端口 ]<------>文件传输协议 , 用于上传下载

  2. [ SSH ]<------>[ 22号端口 ]<------>用于远程登录 , 管理网络设备

  3. [ SMTP ]<------>[ 25号端口 ]<------>简单邮件传输协议 , 用于发送邮件

  4. [ DNS ]<------>[ 53号端口 ]<------>域名服务

  5. [ HTTP ]<------>[ 80号端口 ]<------>超文本传输协议

  6. [ HTTPS ]<------>[ 443号端口 ]<------>超文传输协议 , 附带安全加密功能

UDP协议(高效)

• UDP : 用户数据报协议

  • 不可靠 , 无连接服务
  • 传输效率高

• 使用UDP的服务:

  1. [ TFTP ]<------>[ 69号端口 ]<------>简单文件传输协议

  2. [ DNS ]<------>[ 53号端口 ]<------>域名服务 (安全OR快速两种都可选)

  3. [ NTP ]<------>[ 123号端口 ]<------>网络时间协议(追求速度)

ACL

• 访问控制列表

• 访问控制列表ACL 是应用在路由器(网络层皆可)接口的指令列表/规则 , 过滤/清洗数据.

• 读取第三层网络层 , 第四层传输层 的报文头信息 , 根据预先定义的规则对报文进行过滤.

ACL的主要类型

1. 基本ACL : 编号范围 [ 2000~2999 ] 参数 : 源IP地址
2. 高级ACL : 编号范围 [ 3000~3999 ] 参数 : 源IP地址 , 目的IP地址 , 端口 , 协议

ACL规则

• 每个ACL可以包含多个规则 , 路由器根据规则对数据流量进行过滤 , 匹配即停止

基本ACL操作

1. [ acl 2000 ] #创建 ACL , 列表号是2000

2. [ rule deny source 192.168.2.1 0.0.0.0 ] # 创建规则 , 拒绝192.168.2.1 的数据通过

   1. [ deny ] 拒绝
   2. [ permit ] 允许
   3. [ 0.0.0.0 ] 是反掩码 , 表示四个位置都匹配前面的地址. [ 0 ] 代表匹配 , [ 1 ] 代表不匹配

3. [ display this ] #查看当前视图配置 , 可以看到规则号码

4. [ interface GigabitEthernet 0/0/1 ] #进入想限制的机器最近的接口

5. [ traffic-filter inbound acl 2000 ] #定义过滤数据是入方向 , 并应用ACL2000规则

6. [ undo rule 5 ] # 如果规则写错，可以根据规则号码删除

7. [ undo traffic-filter inbound ] #在接口取消之前的acl规则

8. [ rule permit source 192.168.2.1 0.0.0.0 ] #创建规则，允许2.1通过

9. [ rule deny source any ] #拒绝所有设备通过

10. [ display acl 2000 ] #查看2000列表的内容

11. [ display acl all ] #查看所有列表的内容