网络运维与网络安全 学习笔记2023.11.21

网络运维与网络安全 学习笔记 第二十二天

今日目标

端口隔离原理与配置、路由原理和配置、配置多路由器静态路由
配置默认路由、VLAN间通信之路由器

端口隔离原理与配置

端口隔离概述

实现报文之间的2层隔离，除了使用VLAN技术以后，还可以使用端口隔离技术。
采用该技术后，属于同一个VLAN内的端口所连接的设备也可以实现通信的隔离。
端口隔离为用户提供了更加安全、更加灵活的组网方案。

端口隔离应用场景

端口隔离的基本概念

端口隔离的配置实现

端口隔离综合案例

需求描述

PC1/2/3/4都属于同一个VLAN100
IP地址所在网段为192.168.100.0/24，网关地址为192.168.100.254
PC1/2不能互访，但是都可以访问PC3/4
同时，所有的PC都可以访问Server1
1
2
3
4

配置步骤
①如图配置PC、R1、Server1的IP地址和网关
②在SW1上配置端口隔离
vlan 100
quit
port-group group-member gi0/0/1 to gi0/0/5
port link-type access
port default vlan 100
quit
port-group group-member gi0/0/1 gi0/0/2
port-isolate enable group 1 ->开区端口隔离，并加入组1
quit
③测试PC与Server1之间的连通性

路由原理和配置

什么是路由

将数据包从一个网段发送到另一个网段
需要依靠具备路由功能的设备来完成
常见的路由设备有路由器或三层交换机

路由器如何工作

根据路由表选择最佳路径
每个路由器都维护着一张路由表，这是转发数据包的关键
每条路由表记录指明了：到达某个子网或主机应从路由器的哪个物理端口发送，通过此端口可到达该路径的下一个路由器的地址。
[ar1]display ip routing-table
… …
Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.1.0/24 Direct 0 0 D 192.168.1.254 GigabitEthernet 0/0/1

路由表的形成

路由表时在路由器中维护的路由条目的集合，路由器根据路由表做路径选择，路由表是怎么形成的呢？
直连网段
配置接口IP地址
并且接口状态UP
非直连网段

路由的类型

依据来源的不同，路由条目可以分为三种类型
通过链路层协议发现的路由称为直连路由
通过网络管理员手动添加的路由称为静态路由
通过动态路由协议自动发现的路由称为动态路由

直连路由

system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 172.16.2.1 255.255.255.0

system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip address 172.16.2.2 255.255.255.0

静态路由

由管理员手动配置添加，为单向条目
通信双方的路由器都需要配置路由，否则会导致数据包有去无回

默认路由

默认路由的目标网络为0.0.0.0/0，可以匹配任何目标地址
只有当从路由表中找不到任何明确匹配的路由条目时，才会使用默认路由（缺省路由）
默认路由，可以手动添加，也可以让路由器动态学习

静态路由配置命令1

使用ip route-static命令
指定到达的目的网络
基本格式：
[Huawei]ip route-static 目标网络 子网掩码 下一跳

静态路由配置命令2

配置静态路由

配置接口IP地址并通过静态路由实现全网互通

配置步骤
①如图配置PC、R1、R2的IP地址和网关
②在R1/R2上配置去往对端PC 的静态路由
[R1]ip route-static 192.168.4.0 24 192.168.2.2
[R2]ip route-static 192.168.1.0 24 192.168.2.1
③测试PC1与PC2之间的连通性

配置多路由器静态路由

路由器转发数据包的过程

路由器转发数据包的封装过程

Host A向Host B发送数据

配置多路由的静态路由

配置接口IP地址并通过静态路由实现全网互通


配置步骤
①配置PC的IP地址和网关
②保持交换机SW1/2的默认配置不变
③配置R1/R2/R3的接口IP地址
④配置R1/R2/R3的路由条目
[R1]ip route-static 0.0.0.0 0 192.168.2.2
[R2]ip route-static 192.168.1.0 24 192.168.2.1
[R2]ip route-static 192.168.4.0 24 192.168.3.2
[R3]ip route-static 0.0.0.0 0 192.168.3.1
⑤测试PC1和PC2之间的连通性

配置默认路由

默认路由配置命令

路由故障排查

R1为分公司网关，R2为总公司网关
在R1和R2路由器上都配置默认路由，这种配置对网络通信是否有影响？

在PC1上ping PC2，可以通
如果在PC1上ping一个网络中不存在的地址，例如1.1.1.1，会发送什么？
在R2的G0/0/1接口抓包
在PC1上ping 1.1.1.1，发生了数据环路

解决方案
将R1或R2的任何一方修改为“明细路由”

VLAN间通信之路由器

VLAN间通信

不同的VLAN属于不同的广播域。
连接不同的广播域，使用的是“具备路由功能”的设备，例如路由器、多层交换机
不同VLAN的终端设备在通信时，必须配置网关IP地址
网关指的是一个接口，可以时真实接口，也可以是虚拟接口，可以是主接口，也可以是子接口。

链路类型
交换机连接主机的端口为access链路
交换机连接路由器的端口为Trunk链路
子接口
路由器的物理接口可以划分成多个逻辑接口
每个子接口对应一个VLAN网段的网关

路由器重新封装MAC地址、转换VLAN标签

单臂路由配置

交换机配置

[SW1]vlan batch 10 20
[SW1]interface eth0/0/1
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]port default vlan 10

[SW1]interface eth0/0/2
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/2]port default vlan 20

[SW1]interface gi0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20

路由器配置

[R1]interface gi0/0/1.1
[R1-GigabitEthernet0/0/1.1]dot1q termination vid 10
[R1-GigabitEthernet0/0/1.1]ip address 10.10.0.1 24

[R1]interface gi0/0/1.2
[R1-GigabitEthernet0/0/1.2]dot1q termination vid 20
[R1-GigabitEthernet0/0/1.2]ip address 10.20.0.1 24

需要在子接口上开启ARP广播

使子接口能够发出ARP查询广播
[R1]interface gi0/0/1.1
[R1-GigabitEthernet0/0/1.1]arp broadcast enable

[R1]interface gi0/0/1.2
[R1-GigabitEthernet0/0/1.2]arp broadcast enable

路由网综合案例

问题

①如图配置不同PC的IP地址和网关
②每个VLAN的IP地址为192.168.XX.0/24 （XX为vlan 号）
③每个VLAN内的主机的网关IP地址为 192.168.XX.254，XX为vlan号
④确保不同网段的PC是可以互通的

方案

步骤

①配置PC的IP地址和网关
②配置SW1/5/6的vlan为10/20/30，交换机之间的链路为Trunk，与PC间为Access
③配置SW2/3/7的vlan为40/50，交换机之间的链路为Trunk，与PC间为Access
④配置SW4/8/9的vlan为60/70/80，交换机之间的链路为Trunk，与PC间为Access
⑤配置R1/R2/R3的接口IP地址
⑥配置每个VLAN的网关接口IP地址

SW1为vlan10/20/30的网关设备：
interface vlanif 10
ip address 192.168.10.254 24
quit
interface vlanif 20
ip address 192.168.20.254 24
quit
interface vlanif 30
ip address 192.168.30.254 24
quit

SW2为vlan40的网关：
interface vlanif 40
ip address 192.168.40.254 24
quit

SW3为vlan50的网关：
interface vlanif 50
ip address 192.168.50.254 24
quit

R3的 gi0/0/0为vlan60/70/80的网关
interface gi0/0/0.60
dot1q termination vid 60
arp broadcast enable
ip address 192.168.60.254 24
quit

interface gi0/0/0.70
dot1q termination vid 70
arp broadcast enable
ip address 192.168.70.254 24

interface gi0/0/0.80
dot1q termination vid 80
arp broadcast enable
ip address 192.168.80.254 24
quit

⑦在SW1与R1之间添加VLAN100，实现两者互通
SW1：
vlan 100
quit

interface gi0/0/1
port link-type access
port default vlan 100
quit

interface vlanif 100
ip address 192.168.100.100 24
quit

ip route-static 0.0.0.0 0 192.168.100.1

R1：
interface gi0/0/0
ip address 192.168.100.1 24
quit

ip route-static 192.168.10.0 24 192.168.100.100
ip route-static 192.168.20.0 24 192.168.100.100
ip route-static 192.168.30.0 24 192.168.100.100
ip route-static 192.168.40.0 24 192.168.12.2
ip route-static 192.168.50.0 24 192.168.12.2
ip route-static 192.168.60.0 24 192.168.12.2
ip route-static 192.168.70.0 24 192.168.12.2
ip route-static 192.168.80.0 24 192.168.12.2

⑧在SW2与R2之间添加vlan400，实现两者互通
SW2：
vlan 400
quit

interface gi0/0/1
port link-type access
port default vlan 400
quit

interface vlanif 400
ip address 192.168.200.3 24
quit

ip route-static 0.0.0.0 0 192.168.200.2

R2：
interface gi0/0/0
ip address 192.168.200.2 24
quit

ip route-static 192.168.40.0 24 192.168.200.3

⑨在SW3与R2之间添加vlan500，实现两者互通
SW3：
vlan 500
quit

interface gi0/0/1
port link-type access
port default vlan 500
quit

interface vlanif 500
ip address 192.168.255.3 24
quit

ip route-static 0.0.0.0 0 192.168.255.2

R2：
interface gi4/0/0
ip address 192.168.255.2 24
quit

ip route-static 192.168.50.0 24 192.168.255.3
ip route-static 192.168.10.0 24 192.168.12.1
ip route-static 192.168.20.0 24 192.168.12.1
ip route-static 192.168.30.0 24 192.168.12.1
ip route-static 192.168.60.0 24 192.168.23.3
ip route-static 192.168.70.0 24 192.168.23.3
ip route-static 192.168.80.0 24 192.168.23.3

⑩在R3配置路由条目信息，实现与其他PC所在的网段的互通
ip route-static 192.168.10.0 24 192.168.23.2
ip route-static 192.168.20.0 24 192.168.23.2
ip route-static 192.168.30.0 24 192.168.23.2
ip route-static 192.168.40.0 24 192.168.23.2
ip route-static 192.168.50.0 24 192.168.23.2
ip route-static 192.168.60.0 24 192.168.23.2

测试不同网段的PC之间的连通性