VLAN技术 & ACL访问控制

VLAN介绍与配置

VLAN概述

• 交换网络中的问题

• VLAN（Virtual Local Area Network）

• 在物理网络上划分出逻辑网 ，对应OS模型第二层

• VLAN划分不受端口物理位置限制，VLAN和普通物理网络有同样属性

• 第二层数据单播、广播只在一个VLAN内转发，不会进入其他VLAN中

• 一个VLAN = 一个广播域 = 一个网段

• VLAN的作用

1. 安全性，减少保密信息遭到破坏的可能性

2. 节约成本，无需昂贵的网络升级

3. 提高性能，将二层网络划分成多个广播域，减少不必要的数据流

4. 缩小广播域，减少一个广播域上的设备数量

5. 提升管理效率

配置VLAN

• 体会VLAN隔离广播域

1. 创建VLAN
switch# configure terminal
switch(config)# vlan 10
switch(config-vlan)# exit
switch(config)# vlan 20
switch(config-vlan)# exit

2. 查看ⅥLAN表,VLAN创建成功
switch# show vlan b

3. 将端口加入到VLAN中
switch# configure terminal
switch(config)# int f0/1
switch(config-if)# switchport access vlan 10
switch(config-if)# exit

VLAN Trunk

• 什么是 Trunk

• 介绍:：Trunk是在两个网络设备之间，承载多于—种VLAN的端到端的连接，将ⅥAN延伸至整个网络

• 作用：允许所有VLAN数据通过 trunk链路

• 方法：通过在数据帧上加标签，来区分不同的ⅥLAN数据

• Trunk标签

1. ISL标签：Cisco私有的，标签大小30字节

2. 802.1q标签：公有协议，所有厂家都支持，标签大小4字节，属于内部标签

• 交换机端口链路类型

1. 接入端口 ：也称为 access端口，一般用于连接pc ，只能属于某一个vlan ，也只能传输一个vlan的数据

2. 中继端口 ：也称为 trunk端口，一般用于连接其他交换机 ，属于公共端口 ，允许所有vlan的数据通过

• 配置Trunk命令

Switch(config)# f0/2
Switch(config-if)# switchport mode trunk    //开启trunk口
Switch(config-if)#
BLINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/2, changed state to down

ACL访问控制列表

ACL概述

• 什么是访问控制列表

• 访问控制列表(ACL)：应用于路由器接口 的指令列表，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝

• ACL的工作原理

• 读取第三层及第四层包头 中的信息

• 根据预先定义好的规则对包进行过滤

• ACL的作用

• 提供网络访问的基本安全手段

• 可以控制数据流量

• 控制通信量

• 访问控制列表的作用

• 实现访问控制列表的核心技术是包过滤

ACL的工作原理

• 通过分析IP数据包包头信息，进行判断

ACL的分类

1. 基本类型 的控制访问列表

2. 标准 访问控制列表

3. 扩展 访问控制列表

4. 其他种类 的访问控制列表

5. 基于MAC地址的访问控制列表

6. 基于时间的访问控制列表

标准访问控制列表

• 根据数据包的源IP地址来允许或拒绝 数据包（只使用源地址进行过滤）

• 访问控制列表号从1~99

• 标准访问控制列表流程图

• 标准访问控制列表的配置

1. 第一步,使用 access-ist命令创建访问控制列表

switch# configure terminal
switch(config)# access-list表号 permit/deny源IP或源网段 反子网掩码

注意：反子网掩码：将正子网掩码的0和1倒置

255.0.0.0	0.255.255.255
255.255.0.0	0.0.255.255
255.255.255.0	0.0.0.255

举例 ：拒绝IP 40.1.1.1 的主机

Router>enable
Router#conf terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#access-list 1 deny host 40.1.1.1
Router(config)#access-list 1 permit any
Router(config)#int f0/1
Router(config-if)#ip access-group 1 out
Router(config-if)#exit
Router(config)#exit
%SYS-5-CONFIG_I: Configured from console by console
Router#show access-lists
Standard IP access list 1
    10 deny host 40.1.1.1
    20 permit any
Router#

举例 ：拒绝网段10.1.1.0 的主机

Router#conf terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#access-list 1 deny 10.1.1.0 0.0.0.255
Router(config)#access-list 1 permit any
Router(config)#int f0/1
Router(config-if)#ip access-group 1 out
Router(config-if)#exit
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#show access-lists
Standard IP access list 1
    10 deny 10.1.1.0 0.0.0.255
    20 permit any
Router#

判断in还是 out的方法：以路由器为准，进路由器为 in，出路由器为out

扩展访问控制列表

• 介绍

• 基于源和目的地址、传输层协议和应用端口号 进行过滤

• 每个条件都必须匹配，才会施加允许或拒绝条件

• 使用扩展ACL可以实现更加精确 的流量控制

• 访问控制列表号从100~199

• 特点：扩展访问控制列表使用更多的信息描述 数据包，表明是允许还是拒绝

• 扩展访问控制列表流程图

• 扩展访问控制列表的配置

1. 使用 access-list命令创建“扩展访问控制列表、

Router(config)# access-list 表号{ permit deny}协议 源IP或源网段 反子网掩码 [eq端口号]
注意:协议为tcp/udp/ip/icmp

举例：
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255

1. 将ACL表应用到接口上

Router(config)# int fo/x
Router(config-if)# ip access-group 表号 in/out