CCNA-第十二篇-STP+ACL(下)

首先说说要跳跳了
立个小FLAG, 两个月内急速完成CCIE理论+LAB实操
因为接了个工作,主要我能做到就能做这份工作.
其实NP中间的点很多都会,只是因为笔记弄不急了,
就放到CSDN上重新复习+学习一次.
下几篇开始就要起飞到CCIE了
后面还有个NAT还有一点SDN的介绍一波
当然CCIE是包含NP阶段的东西,所以- -看后续更新吧

先讲ACL,后面再搞STP

ACL
Acess Control List(访问控制列表)

-策略(什么叫策略呢?)
比如不给这个IP去访问另外一个IP
允许/拒绝
Permit - deny

ACL分两种,思科华为都一样,都叫ACL
标准ACL:只能针对源IP,Source-IP
扩展ACL:可以针对五元组
五元组:源IP 目的IP 源端口目的端口协议

标准和扩展的规则编号不一样,使用的场景也不一样
就像标准是警察
扩展ACL是武警

问题来了,既然有武警,那还要警察干嘛?
答:标准的搞路由条目过滤,例192.1681.0/24
答:扩展的做拦截数据+数据过滤例:192.168.1.1访问百度那就是192.168.1.1 - 百度的80/443端口

思科编号
标准ACL:1-99
扩展ACL:100-199

华为编号
标准ACL:2000-2999
扩展ACL:3000-3999

TAG:ACL也是分二三层的,二层是基于MAC的,三层是基于IP的

上个操作

如图所示A是PC,B是出口,现在我要拒绝这台电脑去上网.

上面192.168.1.1
下面192.168.1.2

1-99是标准,因为我们这里是针对下面的主机

所以用标准ACL

然后 permit是放行的意思,deny是拒绝的意思

所以下面的配置可以看到是deny 192.168.1.2

remark是标记的意思,没什么用.其实就是多个备注,方便备注.

然后a.b.c.d是代表一个网段掩码要反掩码
any是所有的意思
host是一个主机的意思
ACL中需写反掩码掩码要反掩码

写完之后,只是一个模板 ,要把它应用起来,所以就在挂在接口下

ACL拒绝了192.168.1.2的所有数据,并且挂载到F0/0接口下

ACL是需要写完之后再挂载到一个接口下才能生效的

可以看到,虽然有路由,但是ping不通,返回值是U.U.U

思科华为的ACL最大区别
思科ACL,默认下拒绝所有
华为ACL,默认下允许所有

啥意思呢,其实他有一条隐藏的deny any在后面
然后呢,ACL都是从上往下执行的.逐条匹配.

所以一样是ping不通的
所以这个时候,我们需要加上一条permit any
如果没写,那么久大问题了!!!
不止你写的这个,其他的全部数据,只要你应用上去了,就会出事.

正确做法

这个in和out呢要怎么区分什么时候用in什么时候用out呢?
这个要看设备
就像初中的时候学物理那样,有个东西叫做参照物
把设备当做参照物即可

对于R0来说,PC的数据是发给他的,所以是进来的,所以用in
如果是从这个设备发出去的那么就是用out

那么讲了思科了,来说说华为

思科和华为的最大特点就是一个拒绝所有一个允许所有

如图所示,2000起步,然后下面有名字,数字,ipv6等选项
然后进去了之后,要先写规则,rule
这里对比思科有个好处,比如思科中,我要在原有的中间加一条,你怎么加?只能全部推翻重来
然后比如这里,如果是10.20.30.40.50.
那么如果我日后要加,我写个15在中间就可以了

如图所示,规则10,拒绝来自1.1.1.1/32的主机后面1个0代表32的反掩码=4个0

如果不写规则号,那么他会有一个默认的编号帮你自动写上去
在华为中就不需要写一条permit any了
因为华为默认是放行所有的

华为一样需要挂载

在华为中,叫做traffic-filter 一样需要做方向
只不过跟思科反过来了而已
其实很多东西都一样,抄过来的

为什么呢?因为你不能全抄,其实厂商那群家伙也头疼,我研发卖个设备我容易吗我,研发出来了,好不容易竞标卖出去了,他妈的他还不会用.那有啥办法,如果直接用别人的,一个官司下来几十个亿就无了

扩展ACL

标准搞完了,那就到扩展了.
扩展呢,是来搞高级需求的,比如telnet,23端口,ssh,22
ftp,20.21.ping-icmp 扩展可以弄到五元组的信息

需求:拒绝PC-telnet到网关上,环境还是这个环境

上面192.168.1.1
下面192.168.1.2
扩展ACL满足这个需求

翻译:ACL名字120 拒绝TCP的主机从192.168.1.1到192.168.1.2 协议是23 23是telnet协议

做完之后,不要忘记思科的特性放行哦

然后我们进入这个接口把这个ACL应用起来

Telnet配置

可以看到,PC1可以ping通但是连不上去,这个时候我们加多一个设备从另外一个地方telnet进来看看.

如图所示,因为路由器的F0/1是没ACL阻拦的,所以成功的Telnet到了这台路由器上.证明在F0/0的扩展ACL生效了

华为扩展ACL

先把telnet弄了哈

user-interface vty 0 4 //进入vtp 最大5用户
set authentication password cipher admin //密码admin

扩展ACL
acl 3000(因为标准的是2000-2999) //创造acl 编号3000
rule 10 deny tcp source 192.168.1.1 0 destination 192.168.1.2 0 destination-port 23 //规则10 .拒绝来自TCP的源地址192.168.1.1到达192.168.1.2的23端口
其实详细看就会发现,跟思科一样的,换了一点点东西而已

查看:display acl 编号

STP

其实生成树的核心思想,就是断什么设备的什么口
他的过程都是自动的,但是我们要手动去修改,去干预.
BPDU:bridge protocol data unit -桥协议数据单元
这个东东是用来非根桥之间的选举之间的数据包

怎么比较呢? 看前面去.

桥ID Bridge ID
简称BID 那这个BID里面有啥呢?
含有两个东西
1,桥优先级默认32768
2.桥MAC地址 =背板MAC=基MAC
生成树中所有的数值是越小越好哦!!!
快速端口:Portfast
状态如下
disble 查看
blocking 阻断
listening 监听
learing 学习MAC,对比
forwarding 转发
整个过程30秒

这个也叫边缘端口,是给终端,PC这些东西用的
比如电脑接入交换机的时候,黄灯的时候就是这个东西的协商状态,等到他变成绿色的才是正常的转发状态
设置成边缘端口可以让他更快的协商完成

默认下开机的情况
思科:PVST私有
华为:MST

当华为+思科设备在一起的时候,他会自动协商成MST

操作先不说了,等到NP再弄吧
好的本次到这里就结束了，欢迎观看我的文章。我是CCIE-Yasuo，喜欢就关注我吧，下一期见。
欢迎新盟教育的同学一起来交流，我是41期的疾风剑豪
同时我也是一名18岁来自大专的学生在学校写的，如有写的不对或侵权请及时联系删除。