网络运维与网络安全 学习笔记2023.11.21

网络运维与网络安全 学习笔记 第二十二天

今日目标

端口隔离原理与配置、路由原理和配置、配置多路由器静态路由

配置默认路由、VLAN间通信之路由器

端口隔离原理与配置

端口隔离概述

实现报文之间的2层隔离，除了使用VLAN技术以后，还可以使用端口隔离技术。

采用该技术后，属于同一个VLAN内的端口所连接的设备也可以实现通信的隔离。

端口隔离为用户提供了更加安全、更加灵活的组网方案。

端口隔离应用场景

端口隔离的基本概念

端口隔离的配置实现

端口隔离综合案例

需求描述

PC1/2/3/4都属于同一个VLAN100
IP地址所在网段为192.168.100.0/24，网关地址为192.168.100.254
PC1/2不能互访，但是都可以访问PC3/4
同时，所有的PC都可以访问Server1

配置步骤

①如图配置PC、R1、Server1的IP地址和网关

②在SW1上配置端口隔离

vlan 100

quit

port-group group-member gi0/0/1 to gi0/0/5

port link-type access

port default vlan 100

quit

port-group group-member gi0/0/1 gi0/0/2

port-isolate enable group 1 ->开区端口隔离，并加入组1

quit

③测试PC与Server1之间的连通性

路由原理和配置

什么是路由

将数据包从一个网段发送到另一个网段

需要依靠具备路由功能的设备来完成

常见的路由设备有路由器或三层交换机

路由器如何工作

根据路由表选择最佳路径

每个路由器都维护着一张路由表，这是转发数据包的关键

每条路由表记录指明了：到达某个子网或主机应从路由器的哪个物理端口发送，通过此端口可到达该路径的下一个路由器的地址。

ar1\]display ip routing-table ... ... Destination/Mask Proto Pre Cost Flags NextHop Interface 192.168.1.0/24 Direct 0 0 D 192.168.1.254 GigabitEthernet 0/0/1 #### 路由表的形成 **路由表时在路由器中维护的路由条目的集合，路由器根据路由表做路径选择，路由表是怎么形成的呢？** **直连网段** 配置接口IP地址 并且接口状态UP **非直连网段**  #### 路由的类型 **依据来源的不同，路由条目可以分为三种类型** 通过链路层协议发现的路由称为直连路由 通过网络管理员手动添加的路由称为静态路由 通过动态路由协议自动发现的路由称为动态路由 #### 直连路由  system-view \[Huawei\]sysname R1 \[R1\]interface GigabitEthernet 0/0/0 \[R1-GigabitEthernet0/0/0\]ip address 172.16.2.1 255.255.255.0 system-view \[Huawei\]sysname R2 \[R2\]interface GigabitEthernet 0/0/1 \[R2-GigabitEthernet0/0/1\]ip address 172.16.2.2 255.255.255.0 #### 静态路由 由管理员手动配置添加，为单向条目 通信双方的路由器都需要配置路由，否则会导致数据包有去无回 #### 默认路由 默认路由的目标网络为0.0.0.0/0，可以匹配任何目标地址 只有当从路由表中找不到任何明确匹配的路由条目时，才会使用默认路由（缺省路由） 默认路由，可以手动添加，也可以让路由器动态学习 #### 静态路由配置命令1 使用ip route-static命令 指定到达的目的网络 基本格式： \[Huawei\]ip route-static 目标网络 子网掩码 下一跳 #### 静态路由配置命令2  #### 配置静态路由 **配置接口IP地址并通过静态路由实现全网互通**  **配置步骤** ①如图配置PC、R1、R2的IP地址和网关 ②在R1/R2上配置去往对端PC 的静态路由 \[R1\]ip route-static 192.168.4.0 24 192.168.2.2 \[R2\]ip route-static 192.168.1.0 24 192.168.2.1 ③测试PC1与PC2之间的连通性 ### 配置多路由器静态路由 #### 路由器转发数据包的过程       #### 路由器转发数据包的封装过程 **Host A向Host B发送数据**     #### 配置多路由的静态路由 **配置接口IP地址并通过静态路由实现全网互通**   **配置步骤** ①配置PC的IP地址和网关 ②保持交换机SW1/2的默认配置不变 ③配置R1/R2/R3的接口IP地址 ④配置R1/R2/R3的路由条目 \[R1\]ip route-static 0.0.0.0 0 192.168.2.2 \[R2\]ip route-static 192.168.1.0 24 192.168.2.1 \[R2\]ip route-static 192.168.4.0 24 192.168.3.2 \[R3\]ip route-static 0.0.0.0 0 192.168.3.1 ⑤测试PC1和PC2之间的连通性 ### 配置默认路由 #### 默认路由配置命令  #### 路由故障排查 R1为分公司网关，R2为总公司网关 在R1和R2路由器上都配置默认路由，这种配置对网络通信是否有影响？  在PC1上ping PC2，可以通 如果在PC1上ping一个网络中不存在的地址，例如1.1.1.1，会发送什么？ 在R2的G0/0/1接口抓包 在PC1上ping 1.1.1.1，发生了数据环路 **解决方案** 将R1或R2的任何一方修改为"明细路由" ### VLAN间通信之路由器 #### VLAN间通信 不同的VLAN属于不同的广播域。 连接不同的广播域，使用的是"具备路由功能"的设备，例如路由器、多层交换机 不同VLAN的终端设备在通信时，必须配置网关IP地址 网关指的是一个接口，可以时真实接口，也可以是虚拟接口，可以是主接口，也可以是子接口。 **链路类型** 交换机连接主机的端口为access链路 交换机连接路由器的端口为Trunk链路 **子接口** 路由器的物理接口可以划分成多个逻辑接口 每个子接口对应一个VLAN网段的网关 **路由器重新封装MAC地址、转换VLAN标签**  ### 单臂路由配置  #### 交换机配置 \[SW1\]vlan batch 10 20 \[SW1\]interface eth0/0/1 \[SW1-Ethernet0/0/1\]port link-type access \[SW1-Ethernet0/0/1\]port default vlan 10 \[SW1\]interface eth0/0/2 \[SW1-Ethernet0/0/2\]port link-type access \[SW1-Ethernet0/0/2\]port default vlan 20 \[SW1\]interface gi0/0/1 \[SW1-GigabitEthernet0/0/1\]port link-type trunk \[SW1-GigabitEthernet0/0/1\]port trunk allow-pass vlan 10 20 #### 路由器配置 \[R1\]interface gi0/0/1.1 \[R1-GigabitEthernet0/0/1.1\]dot1q termination vid 10 \[R1-GigabitEthernet0/0/1.1\]ip address 10.10.0.1 24 \[R1\]interface gi0/0/1.2 \[R1-GigabitEthernet0/0/1.2\]dot1q termination vid 20 \[R1-GigabitEthernet0/0/1.2\]ip address 10.20.0.1 24 #### 需要在子接口上开启ARP广播 **使子接口能够发出ARP查询广播** \[R1\]interface gi0/0/1.1 \[R1-GigabitEthernet0/0/1.1\]arp broadcast enable \[R1\]interface gi0/0/1.2 \[R1-GigabitEthernet0/0/1.2\]arp broadcast enable ### 路由网综合案例 #### 问题 ①如图配置不同PC的IP地址和网关 ②每个VLAN的IP地址为192.168.XX.0/24 （XX为vlan 号） ③每个VLAN内的主机的网关IP地址为 192.168.XX.254，XX为vlan号 ④确保不同网段的PC是可以互通的 #### 方案  #### 步骤 ①配置PC的IP地址和网关 ②配置SW1/5/6的vlan为10/20/30，交换机之间的链路为Trunk，与PC间为Access ③配置SW2/3/7的vlan为40/50，交换机之间的链路为Trunk，与PC间为Access ④配置SW4/8/9的vlan为60/70/80，交换机之间的链路为Trunk，与PC间为Access ⑤配置R1/R2/R3的接口IP地址 ⑥配置每个VLAN的网关接口IP地址 SW1为vlan10/20/30的网关设备： interface vlanif 10 ip address 192.168.10.254 24 quit interface vlanif 20 ip address 192.168.20.254 24 quit interface vlanif 30 ip address 192.168.30.254 24 quit SW2为vlan40的网关： interface vlanif 40 ip address 192.168.40.254 24 quit SW3为vlan50的网关： interface vlanif 50 ip address 192.168.50.254 24 quit R3的 gi0/0/0为vlan60/70/80的网关 interface gi0/0/0.60 dot1q termination vid 60 arp broadcast enable ip address 192.168.60.254 24 quit interface gi0/0/0.70 dot1q termination vid 70 arp broadcast enable ip address 192.168.70.254 24 interface gi0/0/0.80 dot1q termination vid 80 arp broadcast enable ip address 192.168.80.254 24 quit ⑦在SW1与R1之间添加VLAN100，实现两者互通 SW1： vlan 100 quit interface gi0/0/1 port link-type access port default vlan 100 quit interface vlanif 100 ip address 192.168.100.100 24 quit ip route-static 0.0.0.0 0 192.168.100.1 R1： interface gi0/0/0 ip address 192.168.100.1 24 quit ip route-static 192.168.10.0 24 192.168.100.100 ip route-static 192.168.20.0 24 192.168.100.100 ip route-static 192.168.30.0 24 192.168.100.100 ip route-static 192.168.40.0 24 192.168.12.2 ip route-static 192.168.50.0 24 192.168.12.2 ip route-static 192.168.60.0 24 192.168.12.2 ip route-static 192.168.70.0 24 192.168.12.2 ip route-static 192.168.80.0 24 192.168.12.2 ⑧在SW2与R2之间添加vlan400，实现两者互通 SW2： vlan 400 quit interface gi0/0/1 port link-type access port default vlan 400 quit interface vlanif 400 ip address 192.168.200.3 24 quit ip route-static 0.0.0.0 0 192.168.200.2 R2： interface gi0/0/0 ip address 192.168.200.2 24 quit ip route-static 192.168.40.0 24 192.168.200.3 ⑨在SW3与R2之间添加vlan500，实现两者互通 SW3： vlan 500 quit interface gi0/0/1 port link-type access port default vlan 500 quit interface vlanif 500 ip address 192.168.255.3 24 quit ip route-static 0.0.0.0 0 192.168.255.2 R2： interface gi4/0/0 ip address 192.168.255.2 24 quit ip route-static 192.168.50.0 24 192.168.255.3 ip route-static 192.168.10.0 24 192.168.12.1 ip route-static 192.168.20.0 24 192.168.12.1 ip route-static 192.168.30.0 24 192.168.12.1 ip route-static 192.168.60.0 24 192.168.23.3 ip route-static 192.168.70.0 24 192.168.23.3 ip route-static 192.168.80.0 24 192.168.23.3 ⑩在R3配置路由条目信息，实现与其他PC所在的网段的互通 ip route-static 192.168.10.0 24 192.168.23.2 ip route-static 192.168.20.0 24 192.168.23.2 ip route-static 192.168.30.0 24 192.168.23.2 ip route-static 192.168.40.0 24 192.168.23.2 ip route-static 192.168.50.0 24 192.168.23.2 ip route-static 192.168.60.0 24 192.168.23.2 测试不同网段的PC之间的连通性