网络运维与网络安全 学习笔记 第二十二天
今日目标
端口隔离原理与配置、路由原理和配置、配置多路由器静态路由
配置默认路由、VLAN间通信之路由器
端口隔离原理与配置
端口隔离概述
实现报文之间的2层隔离,除了使用VLAN技术以后,还可以使用端口隔离技术。
采用该技术后,属于同一个VLAN内的端口所连接的设备也可以实现通信的隔离。
端口隔离为用户提供了更加安全、更加灵活的组网方案。
端口隔离应用场景
端口隔离的基本概念
端口隔离的配置实现
端口隔离综合案例
需求描述
PC1/2/3/4都属于同一个VLAN100
IP地址所在网段为192.168.100.0/24,网关地址为192.168.100.254
PC1/2不能互访,但是都可以访问PC3/4
同时,所有的PC都可以访问Server1
配置步骤
①如图配置PC、R1、Server1的IP地址和网关
②在SW1上配置端口隔离
vlan 100
quit
port-group group-member gi0/0/1 to gi0/0/5
port link-type access
port default vlan 100
quit
port-group group-member gi0/0/1 gi0/0/2
port-isolate enable group 1 ->开区端口隔离,并加入组1
quit
③测试PC与Server1之间的连通性
路由原理和配置
什么是路由
将数据包从一个网段发送到另一个网段
需要依靠具备路由功能的设备来完成
常见的路由设备有路由器或三层交换机
路由器如何工作
根据路由表选择最佳路径
每个路由器都维护着一张路由表,这是转发数据包的关键
每条路由表记录指明了:到达某个子网或主机应从路由器的哪个物理端口发送,通过此端口可到达该路径的下一个路由器的地址。
ar1display ip routing-table
... ...
Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.1.0/24 Direct 0 0 D 192.168.1.254 GigabitEthernet 0/0/1
路由表的形成
路由表时在路由器中维护的路由条目的集合,路由器根据路由表做路径选择,路由表是怎么形成的呢?
直连网段
配置接口IP地址
并且接口状态UP
非直连网段
路由的类型
依据来源的不同,路由条目可以分为三种类型
通过链路层协议发现的路由称为直连路由
通过网络管理员手动添加的路由称为静态路由
通过动态路由协议自动发现的路由称为动态路由
直连路由
system-view
Huaweisysname R1
R1interface GigabitEthernet 0/0/0
R1-GigabitEthernet0/0/0ip address 172.16.2.1 255.255.255.0
system-view
Huaweisysname R2
R2interface GigabitEthernet 0/0/1
R2-GigabitEthernet0/0/1ip address 172.16.2.2 255.255.255.0
静态路由
由管理员手动配置添加,为单向条目
通信双方的路由器都需要配置路由,否则会导致数据包有去无回
默认路由
默认路由的目标网络为0.0.0.0/0,可以匹配任何目标地址
只有当从路由表中找不到任何明确匹配的路由条目时,才会使用默认路由(缺省路由)
默认路由,可以手动添加,也可以让路由器动态学习
静态路由配置命令1
使用ip route-static命令
指定到达的目的网络
基本格式:
Huaweiip route-static 目标网络 子网掩码 下一跳
静态路由配置命令2
配置静态路由
配置接口IP地址并通过静态路由实现全网互通
配置步骤
①如图配置PC、R1、R2的IP地址和网关
②在R1/R2上配置去往对端PC 的静态路由
R1ip route-static 192.168.4.0 24 192.168.2.2
R2ip route-static 192.168.1.0 24 192.168.2.1
③测试PC1与PC2之间的连通性
配置多路由器静态路由
路由器转发数据包的过程
路由器转发数据包的封装过程
Host A向Host B发送数据
配置多路由的静态路由
配置接口IP地址并通过静态路由实现全网互通
配置步骤
①配置PC的IP地址和网关
②保持交换机SW1/2的默认配置不变
③配置R1/R2/R3的接口IP地址
④配置R1/R2/R3的路由条目
R1ip route-static 0.0.0.0 0 192.168.2.2
R2ip route-static 192.168.1.0 24 192.168.2.1
R2ip route-static 192.168.4.0 24 192.168.3.2
R3ip route-static 0.0.0.0 0 192.168.3.1
⑤测试PC1和PC2之间的连通性
配置默认路由
默认路由配置命令
路由故障排查
R1为分公司网关,R2为总公司网关
在R1和R2路由器上都配置默认路由,这种配置对网络通信是否有影响?
在PC1上ping PC2,可以通
如果在PC1上ping一个网络中不存在的地址,例如1.1.1.1,会发送什么?
在R2的G0/0/1接口抓包
在PC1上ping 1.1.1.1,发生了数据环路
解决方案
将R1或R2的任何一方修改为"明细路由"
VLAN间通信之路由器
VLAN间通信
不同的VLAN属于不同的广播域。
连接不同的广播域,使用的是"具备路由功能"的设备,例如路由器、多层交换机
不同VLAN的终端设备在通信时,必须配置网关IP地址
网关指的是一个接口,可以时真实接口,也可以是虚拟接口,可以是主接口,也可以是子接口。
链路类型
交换机连接主机的端口为access链路
交换机连接路由器的端口为Trunk链路
子接口
路由器的物理接口可以划分成多个逻辑接口
每个子接口对应一个VLAN网段的网关
路由器重新封装MAC地址、转换VLAN标签
单臂路由配置
交换机配置
SW1vlan batch 10 20
SW1interface eth0/0/1
SW1-Ethernet0/0/1port link-type access
SW1-Ethernet0/0/1port default vlan 10
SW1interface eth0/0/2
SW1-Ethernet0/0/2port link-type access
SW1-Ethernet0/0/2port default vlan 20
SW1interface gi0/0/1
SW1-GigabitEthernet0/0/1port link-type trunk
SW1-GigabitEthernet0/0/1port trunk allow-pass vlan 10 20
路由器配置
R1interface gi0/0/1.1
R1-GigabitEthernet0/0/1.1dot1q termination vid 10
R1-GigabitEthernet0/0/1.1ip address 10.10.0.1 24
R1interface gi0/0/1.2
R1-GigabitEthernet0/0/1.2dot1q termination vid 20
R1-GigabitEthernet0/0/1.2ip address 10.20.0.1 24
需要在子接口上开启ARP广播
使子接口能够发出ARP查询广播
R1interface gi0/0/1.1
R1-GigabitEthernet0/0/1.1arp broadcast enable
R1interface gi0/0/1.2
R1-GigabitEthernet0/0/1.2arp broadcast enable
路由网综合案例
问题
①如图配置不同PC的IP地址和网关
②每个VLAN的IP地址为192.168.XX.0/24 (XX为vlan 号)
③每个VLAN内的主机的网关IP地址为 192.168.XX.254,XX为vlan号
④确保不同网段的PC是可以互通的
方案
步骤
①配置PC的IP地址和网关
②配置SW1/5/6的vlan为10/20/30,交换机之间的链路为Trunk,与PC间为Access
③配置SW2/3/7的vlan为40/50,交换机之间的链路为Trunk,与PC间为Access
④配置SW4/8/9的vlan为60/70/80,交换机之间的链路为Trunk,与PC间为Access
⑤配置R1/R2/R3的接口IP地址
⑥配置每个VLAN的网关接口IP地址
SW1为vlan10/20/30的网关设备:
interface vlanif 10
ip address 192.168.10.254 24
quit
interface vlanif 20
ip address 192.168.20.254 24
quit
interface vlanif 30
ip address 192.168.30.254 24
quit
SW2为vlan40的网关:
interface vlanif 40
ip address 192.168.40.254 24
quit
SW3为vlan50的网关:
interface vlanif 50
ip address 192.168.50.254 24
quit
R3的 gi0/0/0为vlan60/70/80的网关
interface gi0/0/0.60
dot1q termination vid 60
arp broadcast enable
ip address 192.168.60.254 24
quit
interface gi0/0/0.70
dot1q termination vid 70
arp broadcast enable
ip address 192.168.70.254 24
interface gi0/0/0.80
dot1q termination vid 80
arp broadcast enable
ip address 192.168.80.254 24
quit
⑦在SW1与R1之间添加VLAN100,实现两者互通
SW1:
vlan 100
quit
interface gi0/0/1
port link-type access
port default vlan 100
quit
interface vlanif 100
ip address 192.168.100.100 24
quit
ip route-static 0.0.0.0 0 192.168.100.1
R1:
interface gi0/0/0
ip address 192.168.100.1 24
quit
ip route-static 192.168.10.0 24 192.168.100.100
ip route-static 192.168.20.0 24 192.168.100.100
ip route-static 192.168.30.0 24 192.168.100.100
ip route-static 192.168.40.0 24 192.168.12.2
ip route-static 192.168.50.0 24 192.168.12.2
ip route-static 192.168.60.0 24 192.168.12.2
ip route-static 192.168.70.0 24 192.168.12.2
ip route-static 192.168.80.0 24 192.168.12.2
⑧在SW2与R2之间添加vlan400,实现两者互通
SW2:
vlan 400
quit
interface gi0/0/1
port link-type access
port default vlan 400
quit
interface vlanif 400
ip address 192.168.200.3 24
quit
ip route-static 0.0.0.0 0 192.168.200.2
R2:
interface gi0/0/0
ip address 192.168.200.2 24
quit
ip route-static 192.168.40.0 24 192.168.200.3
⑨在SW3与R2之间添加vlan500,实现两者互通
SW3:
vlan 500
quit
interface gi0/0/1
port link-type access
port default vlan 500
quit
interface vlanif 500
ip address 192.168.255.3 24
quit
ip route-static 0.0.0.0 0 192.168.255.2
R2:
interface gi4/0/0
ip address 192.168.255.2 24
quit
ip route-static 192.168.50.0 24 192.168.255.3
ip route-static 192.168.10.0 24 192.168.12.1
ip route-static 192.168.20.0 24 192.168.12.1
ip route-static 192.168.30.0 24 192.168.12.1
ip route-static 192.168.60.0 24 192.168.23.3
ip route-static 192.168.70.0 24 192.168.23.3
ip route-static 192.168.80.0 24 192.168.23.3
⑩在R3配置路由条目信息,实现与其他PC所在的网段的互通
ip route-static 192.168.10.0 24 192.168.23.2
ip route-static 192.168.20.0 24 192.168.23.2
ip route-static 192.168.30.0 24 192.168.23.2
ip route-static 192.168.40.0 24 192.168.23.2
ip route-static 192.168.50.0 24 192.168.23.2
ip route-static 192.168.60.0 24 192.168.23.2
测试不同网段的PC之间的连通性