交换机的作用是链接同一个网络下的所有设备,如果有无线设备加入,需要添加AP(无线接入点)设备在交换机层次上
路由器的作用是将不同网络下的设备链接
划分网段:网络位、网段、子网掩码
看子网掩码有多少个255,可以确定网络位有几段,确定自己的网段就可以比较其它IP是否在同一个网段下
子网掩码决定网络位,网络位决定网段
查看自己电脑连接的网卡
使用eNSP软件模拟网络配置
根据教程进行安装即可
选择两台AR2200型号路由器,使用AUTO网线自动连接
tips:Tab键自动补充命令单词
设置IP地址思路:
1.路由器AR1的0/0/0接口和AR2的0/0/0接口通过网线连接,AR1的0/0/0接口和AR2的0/0/0接口应该设置IP地址
1.创建一个类似于现实环境下的的网络拓补图
2.手动配置路由器地址
路由器有多个接口,每个接口都需要配置IP地址
3.路由器开启DHCP功能
这时在主机上选择DHCP功能后,就会实现自动分配地址效果
主机间也可实现通信
添加一台服务器实现DNS域名解析系统
主机PC1首先向DNS服务器发送请求,请求解析网址对应的IP地址,DNS经过解析后,将IP地址应答给主机PC1,这时主机通过网址对应的IP地址即可以访问网址对应的服务器。
添加服务器,对服务器进行配置
1.添加域名、域名对应的IP地址
2.配置服务器IP地址
3. 路由器添加对应的配置
4.主机DHCP重启,即可得到DNS服务器地址
5.DNS服务器启动
6.访问网址测试
作用:连接不同的网段。
当PC1向PC2通信时,首先查看两者是否处于同一网段,如果处于同一网段,则直接可以通信。如果处于不同网段,则需要使用到网关,将数据包传递给网关,网关在路由器的接口会接受并转发到对应的网关地址
路由器可以作为连接不同网段的网关
目前有两个网段的PC连接在一个路由器上:192.168.1.1、100.100.100.1
想要实现跨网段通信,需要对路由器的接口进行设置(配置IP地址)
如果路由器连接了多个网段的主机,接口会根据路由表将数据包发送(判断数据包应该发送到哪一个网关)
查看路由器的路由表
实现以下的网络拓扑图:
测试PC能否和服务器通信,设置好网关和IP地址后
根据拓扑图的IP地址设置好后,测试PC是否可以ping通服务器
测试失败,检查路由器A中是否有通往192.168.3.10的路由表
发现没有通往192.168.3.10的路由表
添加静态路由表:想要路由器A的数据包能够去往192.168.3.10,需要将数据包交给192.168.2.10
ip route-static 192.168.3.0 255.255.255.0 192.168.2.10
//添加一条静态路由(route-static),目标网段192.168.3.0,下一跳是192.168.2.10
这时再查看路由表就可以看到目标网段(Destination/Mask)为192.168.3.0的路由表了 ,想要去往192.168.3.0这个目标网段,下一跳(NextHop)为192.168.2.10
数据包通往一个网段,在转发设备的帮助下,数据包到达设备后,会从设备接口转发出去,这时路由表会提示下一跳,下一跳对应了目标网段的设备的接口。
注意,主机之间的通信必须有来有回,192.168.1.1向服务器发送数据包,服务器必须给192.168.1.1一个回应,所以查看路由器B是否存在通往192.168.1.1的路由表。不存在此路由表,
这时主机PC就可以实现和服务器的通信了
电脑的网络连接设置为DHCP后,DNS和IP会自动获取,无需手动设置。
一般应用会将IP地址内嵌,这样用户使用应用时,就无需再使用DNS,但是网站一般都需要DNS来进行访问。
TCP:可靠传输,文件的完整性强
UDP:效率传输,文件的传输速率快
网络拓扑图如下:
创建两个不同的VLAN,将两台PC放进不同的VLAN中。分为两个步骤
1.在交换机中创建两个vlan
2.将两台PC加入到创建的VLAN中
因为PC1连接的接口是g0/0/1,将PC1加入到vlan10的操作,实际就是将接口g0/0/1划分到vlan10中
首先将g0/0/1接口设置为access模式
交换机的接口的三种模式
1.access:连接终端;例如主机,打印机等
2.trunk:连接其他的交换机
再将接口加入到指定的vlan中
查看接口是否加入到vlan中
PC2加入指定VLAN设置同上
1.接口设置为access,2.接口加入指定的vlan中
网络拓扑图如下,实现相同vlan之间的PC可以通信
当来自vlan10的数据包发出后,交换机1发送到交换机2,此时交换机2会根据数据包的标识识别出这个数据包属于vlan10,只会允许在vlan10中通信。以上效果的实现,需要将交换机1和交换机2的接口设置为turnk模式。
首先将交换机1和交换机2连接的接口的模式设置为trunk模式,再设置turnk接口允许哪些vlan通过
port trunk allow-pass vlan 10
//trunk接口允许vlan10的数据包通信
交换机2的接口设置(同一设置理)
1.设置交换机相连的接口
2.设置vlan
3.设置接口对应的vlan属性
最后测试在同一vlan下的PC能否通信即可
先用VLAN把用户隔离开,再用某种技术,把隔离开的用户连起来。
这样做额目的是将出现故障的用户隔离起来
隔离:故障隔离
联通:正常通行
三层交换机的模式如上,PC之间的通信需要经过三层交换机,这样就会对危险数据产生隔离
三层交换机承担着网关的作用
三层交换机的设置
//三层交换机的设置
sy
Enter system view, return user view with Ctrl+Z.
[Huawei]vlan 10
[Huawei-vlan10]vlan 20
//创建两个vlan
[Huawei-vlan20]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[Huawei-GigabitEthernet0/0/1]q
//接口的类型设置为trunk,并允许所有的vlan通过
[Huawei]interface Vlanif 10
//进入vlan接口为10号的接口配置模式(网关使用)
[Huawei-Vlanif10]ip address 1.1.1.254 255.255.255.0
//vlan 10区域下的PC的网关是vlan10的IP地址,跨网段通信时会将数据转发到vlan 10对应的IP地址
[Huawei-Vlanif10]q
[Huawei]interface vlan 20
//设置vlan 20
[Huawei-Vlanif20]
[Huawei-Vlanif20]ip address 2.2.2.254 255.255.255.0
//vlan 20设置一个IP地址,对应PC2的网关
二层交换机的设置:
sy
Enter system view, return user view with Ctrl+Z.
[Huawei]vlan 10
[Huawei-vlan10]vlan 20
//创建两个vlan
[Huawei-vlan20]int g0/0/1
//设置接口001
[Huawei-GigabitEthernet0/0/1]port link-type access
//设置接口为access模式
[Huawei-GigabitEthernet0/0/1]port default vlan 10
//将接口g0/0/1划分到vlan 10
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 20
[Huawei-GigabitEthernet0/0/2]q
[Huawei]int g0/0/3
//设置接口003
[Huawei-GigabitEthernet0/0/3]port link-type trunk
//接口类型设置为trunk(交换机之间的连接类型
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan all
//设置允许通过的vlan
单臂路由(router-on-a-stick)是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。
首先配置两台PC的基本信息
配置交换机
1.生成两个vlan,2.对应逻辑接口划分vlan,3.设置接口连接路由器
[Huawei]vlan 10
[Huawei-vlan10]vlan 20
[Huawei-vlan20]q
//1.生成两个vlan
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 10
//2.将接口划分到vlan中
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 20
[Huawei-GigabitEthernet0/0/2]int g0/0/3
//3.设置连接路由器的接口
[Huawei-GigabitEthernet0/0/3]port link-type trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan all
配置路由器
sy
Enter system view, return user view with Ctrl+Z.
[Huawei]int g0/0/0.10
//1.设置g0/0/0接口下的逻辑子接口10
[Huawei-GigabitEthernet0/0/0.10]int g0/0/0.20
//2.设置g0/0/0接口下的逻辑子接口20
[Huawei-GigabitEthernet0/0/0.20]q
[Huawei-GigabitEthernet0/0/0.10]dot1q termination vid 10
//3.将逻辑子接口10的划分到vlan 10中(和vlan进行关联)
[Huawei-GigabitEthernet0/0/0.10]arp broadcast enable
//4.开启arp协议
[Huawei-GigabitEthernet0/0/0.10]ip add 1.1.1.254 255.255.255.0
//5.配置逻辑子接口的IP地址(网关)
[Huawei-GigabitEthernet0/0/0.10]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/0.10
dot1q termination vid 10
ip address 1.1.1.254 255.255.255.0
arp broadcast enable
#
return
[Huawei-GigabitEthernet0/0/0.10]int g0/0/0.20
[Huawei-GigabitEthernet0/0/0.20]dot1q termination vid 20
[Huawei-GigabitEthernet0/0/0.20]ip add 2.2.2.254 255.255.255.0
[Huawei-GigabitEthernet0/0/0.20]arp broadcast enable
[Huawei-GigabitEthernet0/0/0.20]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/0.20
dot1q termination vid 20
ip address 2.2.2.254 255.255.255.0
arp broadcast enable
#
return
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
步骤1:创建一个访问控制规则
步骤2:调用这个规则
使用到三层交换机技术
//配置三层交换机
sy
[Huawei]vlan 30
[Huawei-vlan30]
[Huawei-vlan30]int vlan 30
[Huawei-Vlanif30]ip add 192.168.30.254 255.255.255.0
//1.创建vlan30,并设置30号VLAN接口的IP,作为网关使用
[Huawei-Vlanif30]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all.
//2.设置接口g0/0/1的类型和通行规则
[Huawei-GigabitEthernet0/0/1]vlan 10
[Huawei-vlan10]vlan 20
[Huawei-vlan20]int vlan 10
[Huawei-Vlanif10]ip add 192.168.10.254 255.255.255.0
[Huawei-Vlanif10]int vlan 20
[Huawei-Vlanif20]ip add 192.168.20.254 255.255.255.0
[Huawei-Vlanif20]q
[Huawei]dis ip int b
//查看所有vlan的IP地址
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 5
The number of interface that is DOWN in Physical is 1
The number of interface that is UP in Protocol is 4
The number of interface that is DOWN in Protocol is 2
Interface IP Address/Mask Physical Protocol
MEth0/0/1 unassigned down down
NULL0 unassigned up up(s)
Vlanif1 unassigned up down
Vlanif10 192.168.10.254/24 up up
Vlanif20 192.168.20.254/24 up up
Vlanif30 192.168.30.254/24 up up
[Huawei]q
save
[Huawei]acl name acl_name
[Huawei-acl-adv-acl_name]acl name acl_test advance
//设置acl规则的名称
[Huawei-acl-adv-acl_test]rule deny ip source 192.168.10.0 0.0.0.255 destination
192.168.30.0 0.0.0.255
//设置想要拦截的数据的源地址和目的地址
[Huawei-acl-adv-acl_test]rule permit ip source any destination any
//设置放行的数据的规则
[Huawei-acl-adv-acl_test]dis this
#
acl name acl_test 3998
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
rule 10 permit ip
#
return
[Huawei-acl-adv-acl_test]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl name acl_test
//启用acl规则
//二层交换机配置
sy
Enter system view, return user view with Ctrl+Z.
[Huawei]vlan 30
[Huawei-vlan30]
[Huawei-vlan30]int e0/0/3
[Huawei-Ethernet0/0/3]port link-type access
[Huawei-Ethernet0/0/3]port default vlan 30
[Huawei-Ethernet0/0/3]q
[Huawei]vlan batch 10 20 30
Info: This operation may take a few seconds. Please wait for a moment...done.
[Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]port link-type access
[Huawei-Ethernet0/0/1]port default vlan 10
[Huawei-Ethernet0/0/1]int e0/0/2
[Huawei-Ethernet0/0/2]port link-type ACCESS
[Huawei-Ethernet0/0/2]port default vlan 20
[Huawei-Ethernet0/0/2]dis this
#
interface Ethernet0/0/2
port link-type access
port default vlan 20
#
return
[Huawei-Ethernet0/0/2]int e0/0/4
[Huawei-Ethernet0/0/4]port link-type trunk
[Huawei-Ethernet0/0/4]port trunk allow-pass vlan all
[Huawei-Ethernet0/0/4]q
save
网络拓扑图如下:内网中的PC想要访问外网的路由器,就需要做一个NAT网络地址转换
常见的私网地址:
192.168.×.×
10.×.×.×
172.16.×.× 到 172.31.×.×
在没有进行地址转换时,192.168.1.1是可以实现对64.1.1.1的通信的,但是和64.1.1.10不能通信(通信是双向的,192.168.1.1可以到达64.1.1.0这个网段,但是64.1.1.10不能到达192.168.1.0这个网段)
192.168.1.1发出数据,经过网关到达64.1.1.10,但是公网设备不存在和内网设备的路由,所以不能实现和192.168.1.1进行通信。
使用NAT转换规则,将内网设备的IP地址转化为公网的IP地址。这样外网设备的路由表中就有路由存在,可以实现数据包的往返。
//路由器1的配置
sy
Enter system view, return user view with Ctrl+Z.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 255.255.255.0
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 64.1.1.1 255.255.255.0
[Huawei-GigabitEthernet0/0/1]q
//创建一个acl访问控制列表,并且使用basic模式
[Huawei]acl name in_net basic
//acl使用的的规则是从192.168这个网段发出
[Huawei-acl-basic-in_net]rule permit source 192.168.0.0 0.0.255.255
[Huawei-acl-basic-in_net]q
//添加一个nat地址转换群组(地址池),地址池的序号为1,里面包含了64.1.1.2到64.1.1.6这些地址
[Huawei]nat address-group 1 64.1.1.2 64.1.1.6
//查看所有的acl
[Huawei]dis acl all
Total quantity of nonempty ACL number is 1
Basic ACL in_net 2999, 1 rule
Acl's step is 5
rule 5 permit source 192.168.0.0 0.0.255.255
//配置001接口
[Huawei]int g0/0/1
//将nat和序号为2999的acl绑定,同时绑定的地址池的序号是1(转换后的地址在地址池中选择)
[Huawei-GigabitEthernet0/0/1]nat outbound 2999 address-group 1
[Huawei-GigabitEthernet0/0/1]q
//(外网)路由器2的配置
sy
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 64.1.1.10 255.255.255.0
上文的NAT地址转换实现了内网设备如何访问公网设备,但是如果公网设备想要访问内网设备
因为内网设备的IP地址一般只有内网使用人员知道,所以外网设备想要访问内网时,是不知道内网下的设备IP地址,无法通信。
PC2想要访问内网的PC1时,是通过访问一个公网的IP实现的,实现将PC1的内网IP和公网IP绑定,这样PC2想要访问PC1直接访问公网IP 即可,无需知道PC1的内网IP
规划一个公网IP和PC1绑定,公网IP为119.1.1.123
内网的路由器设置如下
//AR1
sy
Enter system view, return user view with Ctrl+Z.
//查看是否存在通往200.200.200.0网段的路由
[Huawei]display ip routing-table 200.200.200.0
//不存在则添加:去往200.200.200.0,那么经过AR1的数据包的下一跳的目的地必须是119.1.1.2
//路由添加规则,前往哪个网段,需要确定下一跳的目的地
[Huawei]ip route-static 200.200.200.0 255.255.255.0 119.1.1.2
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat server global 119.1.1.123 inside 172.16.0.1
//开启nat协议,将内网IP绑定一个固定外网IP
[Huawei-GigabitEthernet0/0/1]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/1
nat server global 119.1.1.123 inside 172.16.0.1
#
return
//001接口没有IP地址,配置
[Huawei-GigabitEthernet0/0/1]ip add 119.1.1.1 255.255.255.0
外网的路由器配置如下
sy
Enter system view, return user view with Ctrl+Z.
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 200.200.200.254 255.255.255.0
[Huawei-GigabitEthernet0/0/1]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 119.1.1.2 255.255.255.0
[Huawei-GigabitEthernet0/0/0]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/0
ip address 119.1.1.2 255.255.255.0
#
return
[Huawei-GigabitEthernet0/0/0]
以上配置后,PC2访问119.1.1.123时,相当于访问172.16.0.1
远程管理路由器时,在路由器端开启telnet协议,就可以实现远程管理
user-interface vty 0 4 //开启interface的5个远程管理虚拟连接(0-4)
authentication-mode aaa //开启验证模式(3a模式)
//验证模式有aaa模式(输入账号加密码),密码模式(只需要输密码)
aaa //进入aaa配置模式
local-user 用户名 password cipher 123456 //cipher表示加密显示密码
local-user 用户名 privilege 15 //给用户配置权限
local-user 用户名 service-type telnet 开启服务类型为telnet
telnet server enable
在路由器上配置好以上选项后,在主机上telnet目的路由器,输入用户名和密码就可以实现远程操作路由器
实现效果:
三个部门分别是PC1、PC2、PC3 ,均可自动获得地址
各部门可以互相访问,也可以访问内网服务器172.16.100.1
PC1不允许访问互联网、PC2和PC3可以访问互联网
内网服务器对外发布的地址为64.1.1.3,互联网用户可以访问这台服务器
内网服务器的域名是www.mylu.com,各PC可以通过域名访问
1.交换机1不需要做vlan设置,因为在交换机接口下的只有vlan10
2.给交换机2创建两个vlan
二层交换机设置
由于LSW2对应的vlan只有一个,所以可以直接将LSW1的G0/0/2接口划分到vlan 10,这样就可以不用配置LSW2了
//LSW3的配置
sy
[Huawei]vlan batch 20 30
//设置接口并划分vlan
[Huawei-GigabitEthernet0/0/2]int e0/0/2
[Huawei-Ethernet0/0/2]port link-type access
[Huawei-Ethernet0/0/2]port default vlan 20
[Huawei-Ethernet0/0/2]int e0/0/3
[Huawei-Ethernet0/0/3]port link-type access
[Huawei-Ethernet0/0/3]port default vlan 30
[Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]port link-type trunk
[Huawei-Ethernet0/0/1]port trunk allow-pass vlan all
核心交换机设置
//1.创建vlan,并作为网关使用
[Huawei]vlan batch 10 20 30 40
[Huawei]int vlan 10
[Huawei-Vlanif10]ip add 192.168.10.254 24
[Huawei-Vlanif10]int vlan 20
[Huawei-Vlanif20]ip add 192.168.20.254 24
[Huawei-Vlanif20]int vlan 30
[Huawei-Vlanif30]ip add 192.168.30.254 24
[Huawei-Vlanif30]int vlan 40
[Huawei-Vlanif40]ip add 172.16.100.254 24
[Huawei-Vlanif40]q
//2.开启DHCP功能
[Huawei]dhcp enable
[Huawei]int vlan 10
[Huawei-Vlanif10]dhcp select interface
//配置DNS服务器
[Huawei-Vlanif10]dhcp server dns-list 172.16.100.1
[Huawei-Vlanif10]int vlan 20
[Huawei-Vlanif20]dhcp select interface
[Huawei-Vlanif20] dhcp server dns-list 172.16.100.1
[Huawei-Vlanif20]int vlan 30
[Huawei-Vlanif30]dhcp select interface
[Huawei-Vlanif30] dhcp server dns-list 172.16.100.1
[Huawei-Vlanif30]
//3.内网中,由于这个物理接口下只有一个vlan,所以直接将这个接口划分到vlan10即可
[Huawei-Vlanif30]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 10、
//4.和路由器连接接口的设置
[Huawei-GigabitEthernet0/0/2]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan all
//5.和服务器连接接口的设置
[Huawei-GigabitEthernet0/0/3]int g0/0/4
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 40
[Huawei-GigabitEthernet0/0/4]int g0/0/1
//和路由器连接的接口,直接设置接口的IP地址会报错,所以使用vlan设置IP地址,再将接口划分到vlan,这样接口就可以设置IP地址了
[Huawei-GigabitEthernet0/0/1]ip add 10.10.10.2 24
^
Error: Unrecognized command found at '^' position.
[Huawei-GigabitEthernet0/0/1]q
[Huawei]vlan 100
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]port default vlan 100
[Huawei]int vlan 100
[Huawei-Vlanif100]ip add 10.10.10.2 24
//三层交换机实现和路由器的通信
[Huawei]ping 10.10.10.1
PING 10.10.10.1: 56 data bytes, press CTRL_C to break
Reply from 10.10.10.1: bytes=56 Sequence=1 ttl=255 time=90 ms
Reply from 10.10.10.1: bytes=56 Sequence=2 ttl=255 time=30 ms
Reply from 10.10.10.1: bytes=56 Sequence=3 ttl=255 time=30 ms
Reply from 10.10.10.1: bytes=56 Sequence=4 ttl=255 time=30 ms
Reply from 10.10.10.1: bytes=56 Sequence=5 ttl=255 time=50 ms
--- 10.10.10.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 30/46/90 ms
//添加去往外网的路由(想要去到外网,下一跳设置为10.10.10.1),外网的IP:0.0.0.0 0.0.0.0
[Huawei]ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
DNS配置(服务器的配置)
设置好以上内容后,PC设置DHCP,就可以实现自动获取IP地址,并且可以根据网址访问服务器
内网路由器的设置
sy
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 10.10.10.1 24
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 64.1.1.1 24
//添加去往外网的路由
[Huawei]ip route-static 0.0.0.0 0.0.0.0 64.1.1.10
//添加去往内网的路由
[Huawei]ip route-static 192.168.0.0 255.255.0.0 10.10.10.2
[Huawei]ip route-static 172.16.100.0 255.255.255.0 10.10.10.2
//创建acl控制访问列表,序列号为2000
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[Huawei-acl-basic-2000]q
//nat地址转换,序列号为1,地址池里只有一个地址64.1.1.5
[Huawei]nat address-group 1 64.1.1.5 64.1.1.5
//nat和acl绑定至接口
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 ?
address-group IP address-group of NAT
interface Specify the interface
Please press ENTER to execute command
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
//测试能否和外网路由器通信
ping 64.1.1.10
PING 64.1.1.10: 56 data bytes, press CTRL_C to break
Reply from 64.1.1.10: bytes=56 Sequence=1 ttl=255 time=50 ms
Reply from 64.1.1.10: bytes=56 Sequence=2 ttl=255 time=30 ms
Reply from 64.1.1.10: bytes=56 Sequence=3 ttl=255 time=20 ms
Reply from 64.1.1.10: bytes=56 Sequence=4 ttl=255 time=20 ms
Reply from 64.1.1.10: bytes=56 Sequence=5 ttl=255 time=20 ms
--- 64.1.1.10 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 20/28/50 ms
//限制vlan10内的PC不能和外网通信
[Huawei]acl 2001
[Huawei-acl-basic-2001]rule deny source 192.168.10.0 0.0.0.255
//其他vlan不受影响
[Huawei-acl-basic-2001]rule permit source any
//绑定acl至接口
[Huawei-acl-basic-2001]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2001
[Huawei-GigabitEthernet0/0/0]q
//nat地址转换内网服务器的IP
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat server global 64.1.1.3 inside 172.16.100.1
外网路由器的设置
SY
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 64.1.1.10 24
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 8.8.8.254 24
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 9.9.9.254 24
VLAN又叫虚拟局域网,是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。
传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。
VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。
另外,VLAN具有灵活性和可扩张性等特点,方便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标,在局域网中有效利用虚拟局域网技术能够提高网络运行效率。
Access接口一般用于和不能识别Tag的用户终端(如用户主机、服务器)相连,或者不需要区分不同VLAN成员时使用。
Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。它可以允许多个VLAN的帧带Tag通过,但只允许属于缺省VLAN的帧从该类接口上发出时不带Tag(即剥除Tag)。