CCNA-第十二篇-STP+ACL(下)

首先說說要跳跳了
立個小FLAG, 兩個月內急速完成CCIE理論+LAB實操
因為接了個工作,主要我能做到就能做這份工作.
其實NP中間的點很多都會,只是因為筆記弄不急了,
就放到CSDN上重新復習+學習一次.
下幾篇開始就要起飛到CCIE了
后面還有個NAT還有一點SDN的介紹一波
當然CCIE是包含NP階段的東西,所以- -看后續更新吧

先講ACL,后面再搞STP

ACL
Acess Control List(訪問控制列表)

-策略(什么叫策略呢?)
比如不給這個IP去訪問另外一個IP
允許/拒絕
Permit - deny

ACL分兩種,思科華為都一樣,都叫ACL
標準ACL:只能針對源IP,Source-IP
擴展ACL:可以針對五元組
五元組:源IP 目的IP 源端口 目的端口 協議

標準和擴展的規則編號不一樣,使用的場景也不一樣
就像標準是警察
擴展ACL是武警

問題來了,既然有武警,那還要警察干嘛?
答:標準的搞路由條目過濾,例192.1681.0/24
答:擴展的做攔截數據+數據過濾 例:192.168.1.1訪問百度 那就是192.168.1.1 - 百度的80/443端口

思科編號
標準ACL:1-99
擴展ACL:100-199

華為編號
標準ACL:2000-2999
擴展ACL:3000-3999

TAG:ACL也是分二三層的,二層是基于MAC的,三層是基于IP的

上個操作

如圖所示A是PC,B是出口,現在我要拒絕這臺電腦去上網.

上面192.168.1.1
下面192.168.1.2

1-99是標準,因為我們這里是針對下面的主機

所以用標準ACL

然后 permit是放行的意思,deny是拒絕的意思

所以下面的配置可以看到是deny 192.168.1.2

remark是標記的意思,沒什么用.其實就是多個備注,方便備注.

然后a.b.c.d是代表一個網段 掩碼要反掩碼
any是所有的意思
host是一個主機的意思
ACL中需寫反掩碼 掩碼要反掩碼

寫完之后,只是一個模板 ,要把它應用起來,所以就在掛在接口下

ACL拒絕了192.168.1.2的所有數據,并且掛載到F0/0接口下

ACL是需要寫完之后再掛載到一個接口下才能生效的

可以看到,雖然有路由,但是ping不通,返回值是U.U.U

思科華為的ACL最大區別
思科ACL,默認下拒絕所有
華為ACL,默認下允許所有

啥意思呢,其實他有一條隱藏的deny any在后面
然后呢,ACL都是從上往下執行的.逐條匹配.

所以一樣是ping不通的
所以這個時候,我們需要加上一條permit any
如果沒寫,那么久大問題了!!!
不止你寫的這個,其他的全部數據,只要你應用上去了,就會出事.

正確做法

這個in和out呢要怎么區分什么時候用in什么時候用out呢?
這個要看設備
就像初中的時候學物理那樣,有個東西叫做參照物
把設備當做參照物即可

對于R0來說,PC的數據是發給他的,所以是進來的,所以用in
如果是從這個設備發出去的 那么就是用out

那么講了思科了,來說說華為

思科和華為的最大特點就是一個拒絕所有一個允許所有

如圖所示,2000起步,然后下面有名字,數字,ipv6等選項
然后進去了之后,要先寫規則,rule
這里對比思科有個好處,比如思科中,我要在原有的中間加一條,你怎么加?只能全部推翻重來
然后比如這里,如果是10.20.30.40.50.
那么如果我日后要加,我寫個15在中間就可以了

如圖所示,規則10,拒絕來自1.1.1.1/32的主機 后面1個0代表32的反掩碼=4個0

如果不寫規則號,那么他會有一個默認的編號幫你自動寫上去
在華為中就不需要寫一條permit any了
因為華為默認是放行所有的

華為一樣需要掛載

在華為中,叫做traffic-filter 一樣需要做方向
只不過跟思科反過來了而已
其實很多東西都一樣,抄過來的

為什么呢?因為你不能全抄,其實廠商那群家伙也頭疼,我研發賣個設備我容易嗎我,研發出來了,好不容易競標賣出去了,他媽的他還不會用.那有啥辦法,如果直接用別人的,一個官司下來幾十個億就無了

擴展ACL

標準搞完了,那就到擴展了.
擴展呢,是來搞高級需求的,比如telnet,23端口,ssh,22
ftp,20.21.ping-icmp 擴展可以弄到五元組的信息

需求:拒絕PC-telnet到網關上,環境還是這個環境

上面192.168.1.1
下面192.168.1.2
擴展ACL滿足這個需求

翻譯:ACL名字120 拒絕TCP的主機從192.168.1.1到192.168.1.2 協議是23 23是telnet協議

做完之后,不要忘記思科的特性放行哦

然后我們進入這個接口把這個ACL應用起來

Telnet配置

可以看到,PC1可以ping通但是連不上去,這個時候我們加多一個設備從另外一個地方telnet進來看看.

如圖所示,因為路由器的F0/1是沒ACL阻攔的,所以成功的Telnet到了這臺路由器上.證明在F0/0的擴展ACL生效了

華為擴展ACL

先把telnet弄了哈

user-interface vty 0 4 //進入vtp 最大5用戶
set authentication password cipher admin //密碼admin

擴展ACL
acl 3000(因為標準的是2000-2999) //創造acl 編號3000
rule 10 deny tcp source 192.168.1.1 0 destination 192.168.1.2 0 destination-port 23 //規則10 .拒絕來自TCP的源地址192.168.1.1到達192.168.1.2的23端口
其實詳細看就會發現,跟思科一樣的,換了一點點東西而已

查看:display acl 編號

STP

其實生成樹的核心思想,就是斷什么設備的什么口
他的過程都是自動的,但是我們要手動去修改,去干預.
BPDU:bridge protocol data unit -橋協議數據單元
這個東東是用來非根橋之間的選舉之間的數據包

怎么比較呢? 看前面去.

橋ID Bridge ID
簡稱BID 那這個BID里面有啥呢?
含有兩個東西
1,橋優先級 默認32768
2.橋MAC地址 =背板MAC=基MAC
生成樹中所有的數值是越小越好哦!!!
快速端口:Portfast
狀態如下
disble 查看
blocking 阻斷
listening 監聽
learing 學習MAC,對比
forwarding 轉發
整個過程30秒

這個也叫邊緣端口,是給終端,PC這些東西用的
比如電腦接入交換機的時候,黃燈的時候就是這個東西的協商狀態,等到他變成綠色的才是正常的轉發狀態
設置成邊緣端口可以讓他更快的協商完成

默認下開機的情況
思科:PVST私有
華為:MST

當華為+思科設備在一起的時候,他會自動協商成MST

操作先不說了,等到NP再弄吧
好的本次到這里就結束了，歡迎觀看我的文章。我是CCIE-Yasuo，喜歡就關注我吧，下一期見。
歡迎新盟教育的同學一起來交流，我是41期的疾風劍豪
同時我也是一名18歲來自大專的學生在學校寫的，如有寫的不對或侵權請及時聯系刪除。

總結

以上是生活随笔為你收集整理的CCNA-第十二篇-STP+ACL(下)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。