一、VLAN 技术(虚拟局域网)

1. VLAN 概述
  • 作用:将一个物理广播域逻辑划分为多个虚拟广播域,隔离广播域
  • VID(VLAN ID):12 位二进制,范围 1-4094(0 和 4095 保留)
2. VLAN 划分方式
  1. 基于端口:将交换机端口划分到不同 VLAN(最常用)
  2. 基于 MAC 地址:根据设备 MAC 地址划分 VLAN
  3. 基于协议:根据上层协议类型划分 VLAN
3. 802.1Q 标准
  • 定义了带 VLAN 标签的以太网帧格式
  • 标签长度:4 字节,包含 TPID(2 字节)、PRI(3 位)、CFI(1 位)、VID(12 位)
  • Tagged 帧:带 VLAN 标签的帧(交换机之间传输)
  • Untagged 帧:不带 VLAN 标签的帧(交换机与 PC 之间传输)
4. 链路类型
  • Access 链路:交换机与 PC 之间,只能传输一个 VLAN 的 Untagged 帧
  • Trunk 链路:交换机之间,可传输多个 VLAN 的 Tagged 帧
5. VLAN 基础配置
# 1. 创建VLAN
[SW1]vlan 2
[SW1]vlan batch 3 to 10  # 批量创建VLAN

# 2. 配置Access接口
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 2

# 3. 配置Trunk接口
[SW1]interface GigabitEthernet 0/0/5
[SW1-GigabitEthernet0/0/5]port link-type trunk
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3
# 允许所有VLAN通过
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan all
6. VLAN 间路由(单臂路由)
  • 原理:使用路由器子接口实现不同 VLAN 之间的通信
  • 配置: 
    [R1]interface GigabitEthernet 0/0/0.1
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 2
[R1-GigabitEthernet0/0/0.1]ip address 192.168.2.254 24
[R1-GigabitEthernet0/0/0.1]arp broadcast enable

[R1]interface GigabitEthernet 0/0/0.2
[R1-GigabitEthernet0/0/0.2]dot1q termination vid 3
[R1-GigabitEthernet0/0/0.2]ip address 192.168.3.254 24
[R1-GigabitEthernet0/0/0.2]arp broadcast enable

二、ACL 访问控制列表

1. ACL 概述
  • 作用:匹配流量并执行允许 / 拒绝动作;定义感兴趣流量供其他策略使用
  • 匹配规则:自上而下逐一匹配,匹配即停止
  • 华为设备:末尾隐含允许所有;思科设备:末尾隐含拒绝所有
2. ACL 分类
  • 标准 ACL(2000-2999):仅匹配源 IP 地址,调用时靠近目标
  • 扩展 ACL(3000-3999):匹配源 / 目标 IP、协议、端口,调用时靠近源
3. 标准 ACL 配置
# 创建标准ACL
[R2]acl 2000
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
[R2-acl-basic-2000]rule permit source any

# 在接口调用ACL
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
4. 扩展 ACL 配置
# 创建扩展ACL
[R1]acl 3000
# 拒绝192.168.1.2访问192.168.3.2
[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
# 拒绝192.168.1.10 Telnet 192.168.1.1
[R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23
# 拒绝192.168.1.10 ping 192.168.2.2
[R1-acl-adv-3000]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0

# 在接口调用ACL
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

三、NAT 网络地址转换

1. NAT 概述
  • 作用:实现私网 IP 与公网 IP 的转换,解决公网 IP 地址不足问题
  • 私网 IP 地址范围:
    • A 类:10.0.0.0/8
    • B 类:172.16.0.0/12
    • C 类:192.168.0.0/16
2. NAT 分类
  1. 静态 NAT:私网 IP 与公网 IP 一一对应
  2. 动态 NAT:私网 IP 与公网 IP 池动态映射(多对多)
  3. NAPT(端口地址转换):多个私网 IP 共享一个公网 IP(一对多)
  4. 端口映射:将公网 IP 的特定端口映射到私网服务器的端口
3. 静态 NAT 配置
[R2-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside 192.168.1.2
# 查看静态NAT映射
[R2]display nat static
4. NAPT(Easy IP)配置
# 创建ACL抓取感兴趣流量
[R2]acl 2000
[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

# 在出接口配置Easy IP
[R2-GigabitEthernet0/0/1]nat outbound 2000
5. 动态 NAT 配置
# 创建公网地址池
[R2]nat address-group 1 12.1.1.4 12.1.1.10

# 创建ACL抓取感兴趣流量
[R2]acl 2001
[R2-acl-basic-2001]rule permit source 192.168.0.0 0.0.255.255

# 在出接口配置动态NAT
[R2-GigabitEthernet0/0/1]nat outbound 2001 address-group 1
6. 端口映射配置
# 将公网接口80端口映射到192.168.1.10:80
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80

# 将公网接口8080端口映射到192.168.1.20:80
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 192.168.1.20 80
# 网络安全
Logo
DAMO开发者矩阵

DAMO开发者矩阵,由阿里巴巴达摩院和中国互联网协会联合发起,致力于探讨最前沿的技术趋势与应用成果,搭建高质量的交流与分享平台,推动技术创新与产业应用链接,围绕“人工智能与新型计算”构建开放共享的开发者生态。

更多推荐

cover

从埋点到画像:政策平台的用户行为数据 pipeline

avatar DAMO开发者矩阵
cover

D3SL 系列安全门锁 内部逃生解锁装置实操案例 具备内部逃生功能的工业安全门互锁开关实拍 D3SL 系列安全门锁 防人员误锁困:带逃生解锁安全门锁应用案例 立宏安全

avatar DAMO开发者矩阵
cover

大模型安全之供应链漏洞

avatar DAMO开发者矩阵