Linux基础16

一、VLAN虚拟局域网

分割广播域——优化思路

路由器中创建vlan：vlan    [数字]

删除vlan：undo    vlan    [数字]

查看vlan信息：display    vlan

单个接入链路：

​    interface    ethernet    0/0/3    #进入3接口视图

​        port    link-type    access    #设置接口类型为接入链路

​        port    default    vlan    2    #将0/0/3接口加入vlan2

​    quit    #退出接口视图

> 待所有接口接入完毕，最后保存

批量创建vlan：

​    vlan    batch    2    4    8    #批量不连续创建vlan

​    vlan    batch    20    to    40    #范围创建

接口组(多个接入链路)：

​    port-group    1    #创建接口组1

​        group-member    ethernet    0/0/3    ethernet    0/0/4    #给接口组添加成员3和4

​        port    link-type    access    #设置接口类型为接入链路

​        port    default    vlan    2    将接口组中所有接口接入vlan2

​    quit

> 如此往复，剔除组中的某个接口：undo    group-member    ethernet    0/0/7

二、Trunk中继链路和链路聚合

中继链路可以连接不同交换机下的同一vlan网的机器

配置：

​    interface    ethernet    0/0/7    #进入7接口视图

​        port    link-type    trunk    #设置接口7类型为中继链路

​        port    trunk    allow-pass    vlan all    #放行所有不同交换机下的同一vlan的传输数据

​    quit

> 保存

清空接口配置：clear    configuration    interface    ethernet    0/0/7    #注销接口

开启接口：undo    shutdown

链路聚合

​    interface    eth-trunk    1    #创建1号链路聚合接口并进入

​        trunkport    ethernet    0/0/7    0/0/8    #捆绑7、8号接口

​        port    link-type    trunk    #配置为中继链路

​        port    trunk    allow-pass    vlan    all    #放行vlan数据

三、网络层

路由器

​    display    ip    routing-table    |    include    24    #查看路由表，过滤24

​    interface    gigabitethernet    0/0/0    #进入0号接口

​        ip    address    192.168.1.100    24    #配置ip

> ​    undo    ip    address    #配置ip错误删除

​        quit

> 同样进入1号接口配置ip

​    display    ip    interface    brief    #查看所有设备及ip配置

ip    route-static    192.168.3.0    24    192.168.2.2    //添加下一跳

OSPF动态路由、三层交换机、传输层和ACL访问控制列表

一、OSPF动态路由

​    ospf    #进入动态路由配置

​    area 0    #划分区域

​    network    192.168.1.0    0.0.0.255    #声明当前路由器联通的接口

二、三层交换机

二层交换机配置：

​    创建众多vlan区域分别配置ip，将交换机不同接口接入对应vlan区域

​    interface    vlanif    10

​        ip    address    192.168.1.254    24

​    最重要：与三层交换机连接配置为中继链路并放行所有vlan数据

三层交换机配置：

​    与二层交换机连接配置为中继链路并放行所有vlan数据

操作：

​    二层交换机：

​    interface    ethernet    0/0/4    #进入4接口视图

​        port    link-type    trunk    #设置接口4类型为中继链路

​        port    trunk    allow-pass    vlan all    #放行所有不同交换机下的同一vlan的传输数据

​    quit

​    三层交换机：

​    interface    GigabitEthernet    0/0/1    #进入1接口视图

​        port    link-type    trunk    #设置接口1类型为中继链路

​        port    trunk    allow-pass    vlan all    #放行所有不同交换机下的同一vlan的传输数据

​    quit

三层交换机连接外网：

​    交换机不能给端口配置ip，所以思路为创建vlan区域包含外网，给vlan配置ip，将三层交换机接口接入vlan

​    给三层交换机和路由器配置路由，最后配置默认路由

​    配置默认路由：ip    route-static    0.0.0.0    0.0.0.0    giabitetherent    0/0/1    #任意网络、子网掩码，从giabitetherent    0/0/1接口连接外网

> 因为路由器不知道下一跳网关地址ip，所以最后输入自身出口网关ip

​    并却路由器配置：defsult-route-advertise    #宣告默认路由def(tab)

三、传输层和ACL访问控制列表

网络层提供ip到ip的连接，传输层提供端口到端口的连接

路由器ACL配置：(匹配即停止)

​    acl    2000    #创建acl列表2000

​    rule    deny    source    192.168.2.1    0.0.0.0    #创建规则禁止2.1通过

​    rule    4    permit    source    192.168.3.1    0    #创建规则允许3.1通过

> display    this    #查看视图配置

​    进入0/0/1接口，启用规则

​    traffic-filter    inbound    acl    2000    #启用acl2000策略

一个方向只有一个访问控制列表

-----------------------------------------------------------------------------------------------------------------------------

补充：默认路由

ip    route-static    0.0.0.0    0.0.0.0    192.168.4.2    #任意ip任意掩码都通向4.2网关

> 适用于边缘路由，优先级最低

高级ACL、NAT

一、高级ACL

创建ACL：

​    acl    3000

​    rule    deny    tcp    source    192.168.2.2    0    destination    192.168.1.1    0    destination-port    eq    21

> 规则    拒绝    tcp协议    源    ip                    掩码    目标            ip                    掩码            端口                    等于    21

​    rule    deny    tcp    destination    192.168.1.1    0    destination-port    eq    80

> 可以省略源地址

应用规则：

​    traffic-filter    inbound    acl    3000    #in方向

​    traffic-filter    outbound    acl    3001    #out方向

二、NAT

将私有IP地址转换成全球唯一的公网IP地址，私网可以访问公网反之不行

路由器：

​    编写ACL访问控制列表，允许Easy IP地址转换的用户

​    acl    2000

​        rule    permit    source    any#用户默认公司内部员工any

​    interface    g0/0/1

​        nat    outbound    2000    #启用Easy IP地址转换

内网发布服务器：布置到对外网的接口

企业级服务器搭配思路：

二层交换机：划分vlan隔离广播

​    vlan    batch    10    20    #创建不同vlan区域

​    port-group    1    #创建接口组

​    group-member    ethernet    0/0/1    ethernet    0/0/2    #给接口组添加成员

​    port    link-type    access    #设置接口类型为接入链路

​    port    default    vlan    10    #将接口组所有接口加入vlan区域

配置二层与三层交换机之间的trunk中继链路

​    port    link-type    trunk    #设置接口类型为trunk链路

​    port    trunk    allow-pass    vlan    all    #设置允许所有vlan区域通过

三层交换机(解决不同vlan间通信)

​    vlan    batch    10    20    #

​    interface    Vlanif    10    #为vlanif虚拟接口配置ip

​        ip    address    192.168.1.254    24    #配置网关

给通往路由器的接口配ip

​    vlan    100    #创建没人用的vlan区域

​    interface    Vlanif    100    #把接口接入vlan区域

​        ip    address    192.168.3.1    24    #给接口配置ip

路由器接口配置ip

​    int    g0/0/0

​        ip    address    192.168.3.2    24

​    int    g0/0/1

​        ip    address    200.168.1.254    24

路由器配置动态路由和默认路由并共享

​    ospf

​        area    0

​            network    192.168.1.0    0.0.0.255

​            network    192.168.2.0    0.0.0.255

​    ip    route-static    0.0.0.0    0.0.0.0    g(tab)0/0/1

​    ospf

​        de(tab)

三层交换机自动学习路由器共享路线

路由器编写ACL配置ip地址公网私网转换

第二个三层交换机，配置与第一个步骤一样，但网关配置改253

数制、ipv4和ipv6、路由器和三层交换机部署dhcp、telnet远程管理路由器、linux虚拟网络

两个三层交换机配置vlan区域给vlanif做铺垫

三层交换机所有接口做trunk链路

两个二层交换机连接三层的接口做trunk链路

配置vlan区域，连接pc机的接口分别加入vlan区域

三层第三交换机设置不同的虚拟vlan区域并配置ip地址

设置第一台三层交换机vlan1主vlan2备；第二台三层交换机vlan2主vlan1备

dhcp    enable

ip    pool    test

network    192.168.1.0    mask    255.255.255.0

gateway-list    192.168.1.254

dns-list    8.8.8.8

int g0/0/0

ip address 192.168.1.254 24

dhcp    select global