CCNA-第十二篇-STP+ACL(下)

首先說說要跳跳了
立個(gè)小FLAG, 兩個(gè)月內(nèi)急速完成CCIE理論+LAB實(shí)操
因?yàn)榻恿藗€(gè)工作,主要我能做到就能做這份工作.
其實(shí)NP中間的點(diǎn)很多都會(huì),只是因?yàn)楣P記弄不急了,
就放到CSDN上重新復(fù)習(xí)+學(xué)習(xí)一次.
下幾篇開始就要起飛到CCIE了
后面還有個(gè)NAT還有一點(diǎn)SDN的介紹一波
當(dāng)然CCIE是包含NP階段的東西,所以- -看后續(xù)更新吧

先講ACL,后面再搞STP

ACL
Acess Control List(訪問控制列表)

-策略(什么叫策略呢?)
比如不給這個(gè)IP去訪問另外一個(gè)IP
允許/拒絕
Permit - deny

ACL分兩種,思科華為都一樣,都叫ACL
標(biāo)準(zhǔn)ACL:只能針對(duì)源IP,Source-IP
擴(kuò)展ACL:可以針對(duì)五元組
五元組:源IP 目的IP 源端口 目的端口 協(xié)議

標(biāo)準(zhǔn)和擴(kuò)展的規(guī)則編號(hào)不一樣,使用的場(chǎng)景也不一樣
就像標(biāo)準(zhǔn)是警察
擴(kuò)展ACL是武警

問題來了,既然有武警,那還要警察干嘛?
答:標(biāo)準(zhǔn)的搞路由條目過濾,例192.1681.0/24
答:擴(kuò)展的做攔截?cái)?shù)據(jù)+數(shù)據(jù)過濾 例:192.168.1.1訪問百度 那就是192.168.1.1 - 百度的80/443端口

思科編號(hào)
標(biāo)準(zhǔn)ACL:1-99
擴(kuò)展ACL:100-199

華為編號(hào)
標(biāo)準(zhǔn)ACL:2000-2999
擴(kuò)展ACL:3000-3999

TAG:ACL也是分二三層的,二層是基于MAC的,三層是基于IP的

上個(gè)操作

如圖所示A是PC,B是出口,現(xiàn)在我要拒絕這臺(tái)電腦去上網(wǎng).

上面192.168.1.1
下面192.168.1.2

1-99是標(biāo)準(zhǔn),因?yàn)槲覀冞@里是針對(duì)下面的主機(jī)

所以用標(biāo)準(zhǔn)ACL

然后 permit是放行的意思,deny是拒絕的意思

所以下面的配置可以看到是deny 192.168.1.2

remark是標(biāo)記的意思,沒什么用.其實(shí)就是多個(gè)備注,方便備注.

然后a.b.c.d是代表一個(gè)網(wǎng)段 掩碼要反掩碼
any是所有的意思
host是一個(gè)主機(jī)的意思
ACL中需寫反掩碼 掩碼要反掩碼

寫完之后,只是一個(gè)模板 ,要把它應(yīng)用起來,所以就在掛在接口下

ACL拒絕了192.168.1.2的所有數(shù)據(jù),并且掛載到F0/0接口下

ACL是需要寫完之后再掛載到一個(gè)接口下才能生效的

可以看到,雖然有路由,但是ping不通,返回值是U.U.U

思科華為的ACL最大區(qū)別
思科ACL,默認(rèn)下拒絕所有
華為ACL,默認(rèn)下允許所有

啥意思呢,其實(shí)他有一條隱藏的deny any在后面
然后呢,ACL都是從上往下執(zhí)行的.逐條匹配.

所以一樣是ping不通的
所以這個(gè)時(shí)候,我們需要加上一條permit any
如果沒寫,那么久大問題了!!!
不止你寫的這個(gè),其他的全部數(shù)據(jù),只要你應(yīng)用上去了,就會(huì)出事.

正確做法

這個(gè)in和out呢要怎么區(qū)分什么時(shí)候用in什么時(shí)候用out呢?
這個(gè)要看設(shè)備
就像初中的時(shí)候?qū)W物理那樣,有個(gè)東西叫做參照物
把設(shè)備當(dāng)做參照物即可

對(duì)于R0來說,PC的數(shù)據(jù)是發(fā)給他的,所以是進(jìn)來的,所以用in
如果是從這個(gè)設(shè)備發(fā)出去的 那么就是用out

那么講了思科了,來說說華為

思科和華為的最大特點(diǎn)就是一個(gè)拒絕所有一個(gè)允許所有

如圖所示,2000起步,然后下面有名字,數(shù)字,ipv6等選項(xiàng)
然后進(jìn)去了之后,要先寫規(guī)則,rule
這里對(duì)比思科有個(gè)好處,比如思科中,我要在原有的中間加一條,你怎么加?只能全部推翻重來
然后比如這里,如果是10.20.30.40.50.
那么如果我日后要加,我寫個(gè)15在中間就可以了

如圖所示,規(guī)則10,拒絕來自1.1.1.1/32的主機(jī) 后面1個(gè)0代表32的反掩碼=4個(gè)0

如果不寫規(guī)則號(hào),那么他會(huì)有一個(gè)默認(rèn)的編號(hào)幫你自動(dòng)寫上去
在華為中就不需要寫一條permit any了
因?yàn)槿A為默認(rèn)是放行所有的

華為一樣需要掛載

在華為中,叫做traffic-filter 一樣需要做方向
只不過跟思科反過來了而已
其實(shí)很多東西都一樣,抄過來的

為什么呢?因?yàn)槟悴荒苋?其實(shí)廠商那群家伙也頭疼,我研發(fā)賣個(gè)設(shè)備我容易嗎我,研發(fā)出來了,好不容易競(jìng)標(biāo)賣出去了,他媽的他還不會(huì)用.那有啥辦法,如果直接用別人的,一個(gè)官司下來幾十個(gè)億就無了

擴(kuò)展ACL

標(biāo)準(zhǔn)搞完了,那就到擴(kuò)展了.
擴(kuò)展呢,是來搞高級(jí)需求的,比如telnet,23端口,ssh,22
ftp,20.21.ping-icmp 擴(kuò)展可以弄到五元組的信息

需求:拒絕PC-telnet到網(wǎng)關(guān)上,環(huán)境還是這個(gè)環(huán)境

上面192.168.1.1
下面192.168.1.2
擴(kuò)展ACL滿足這個(gè)需求

翻譯:ACL名字120 拒絕TCP的主機(jī)從192.168.1.1到192.168.1.2 協(xié)議是23 23是telnet協(xié)議

做完之后,不要忘記思科的特性放行哦

然后我們進(jìn)入這個(gè)接口把這個(gè)ACL應(yīng)用起來

Telnet配置

可以看到,PC1可以ping通但是連不上去,這個(gè)時(shí)候我們加多一個(gè)設(shè)備從另外一個(gè)地方telnet進(jìn)來看看.

如圖所示,因?yàn)槁酚善鞯腇0/1是沒ACL阻攔的,所以成功的Telnet到了這臺(tái)路由器上.證明在F0/0的擴(kuò)展ACL生效了

華為擴(kuò)展ACL

先把telnet弄了哈

user-interface vty 0 4 //進(jìn)入vtp 最大5用戶
set authentication password cipher admin //密碼admin

擴(kuò)展ACL
acl 3000(因?yàn)闃?biāo)準(zhǔn)的是2000-2999) //創(chuàng)造acl 編號(hào)3000
rule 10 deny tcp source 192.168.1.1 0 destination 192.168.1.2 0 destination-port 23 //規(guī)則10 .拒絕來自TCP的源地址192.168.1.1到達(dá)192.168.1.2的23端口
其實(shí)詳細(xì)看就會(huì)發(fā)現(xiàn),跟思科一樣的,換了一點(diǎn)點(diǎn)東西而已

查看:display acl 編號(hào)

STP

其實(shí)生成樹的核心思想,就是斷什么設(shè)備的什么口
他的過程都是自動(dòng)的,但是我們要手動(dòng)去修改,去干預(yù).
BPDU:bridge protocol data unit -橋協(xié)議數(shù)據(jù)單元
這個(gè)東東是用來非根橋之間的選舉之間的數(shù)據(jù)包

怎么比較呢? 看前面去.

橋ID Bridge ID
簡(jiǎn)稱BID 那這個(gè)BID里面有啥呢?
含有兩個(gè)東西
1,橋優(yōu)先級(jí) 默認(rèn)32768
2.橋MAC地址 =背板MAC=基MAC
生成樹中所有的數(shù)值是越小越好哦!!!
快速端口:Portfast
狀態(tài)如下
disble 查看
blocking 阻斷
listening 監(jiān)聽
learing 學(xué)習(xí)MAC,對(duì)比
forwarding 轉(zhuǎn)發(fā)
整個(gè)過程30秒

這個(gè)也叫邊緣端口,是給終端,PC這些東西用的
比如電腦接入交換機(jī)的時(shí)候,黃燈的時(shí)候就是這個(gè)東西的協(xié)商狀態(tài),等到他變成綠色的才是正常的轉(zhuǎn)發(fā)狀態(tài)
設(shè)置成邊緣端口可以讓他更快的協(xié)商完成

默認(rèn)下開機(jī)的情況
思科:PVST私有
華為:MST

當(dāng)華為+思科設(shè)備在一起的時(shí)候,他會(huì)自動(dòng)協(xié)商成MST

操作先不說了,等到NP再弄吧
好的本次到這里就結(jié)束了，歡迎觀看我的文章。我是CCIE-Yasuo，喜歡就關(guān)注我吧，下一期見。
歡迎新盟教育的同學(xué)一起來交流，我是41期的疾風(fēng)劍豪
同時(shí)我也是一名18歲來自大專的學(xué)生在學(xué)校寫的，如有寫的不對(duì)或侵權(quán)請(qǐng)及時(shí)聯(lián)系刪除。

總結(jié)

以上是生活随笔為你收集整理的CCNA-第十二篇-STP+ACL(下)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。