H3C官方基本配置及网络维护培训.pptx

网络故障排除目录第一章 VLAN原理及基本配置第二章 ACL原理及基本配置第三章 常用维护方法和命令第四章 案例分析VLAN的产生原因－广播风暴传统的以太网是广播型网络，网络中的所有主机通过HUB或交换机相连，处在同一个广播域中……广播路由器……广播通过路由器隔离广播域通过VLAN划分广播域Broadcast Domain 1VLAN 10Broadcast Domain 3VLAN 30Broadcast Domain 2VLAN 20工程部财务部市场部以太网端口的链路类型Access link：只能允许某一个VLAN的untagged数据流通过。Trunk link：允许多个VLAN的tagged数据流和某一个VLAN的untagged数据流通过。Hybrid link：允许多个VLAN的tagged数据流和多个VLAN的untagged数据流通过。Hybrid端口可以允许多个VLAN的报文发送时不携带标签，而Trunk端口只允许缺省VLAN的报文发送时不携带标签。三种类型的端口可以共存在一台设备上Access Link和Trunk LinkTrunk linkAccess linkTrunk Link和VLANVLAN10Trunk LinkVLAN5广播报文发送VLAN10VLAN5VLAN2VLAN10VLAN3VLAN2VLAN5VLAN2数据帧在网络通信中的变化VLAN2VLAN3带有VLAN3标签的以太网帧不带VLAN标签的以太网帧带有VLAN2标签的以太网帧VLAN2VLAN3目录第一章 VLAN原理及基本配置第二章 ACL原理及基本配置第三章 常用维护方法和命令第四章 案例分析ACL访问控制列表 为了过滤通过网络设备的数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表（Access Control List，ACL）就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。ACL可应用在交换机全局或端口上，交换机根据ACL中指定的条件来检测数据包，从而决定是转发还是丢弃该数据包。Internet以太网访问列表主要作用:在整个网络中分布实施接入安全性服务器部门 BIntranet部门 A访问控制列表ACL对到达端口的数据包进行分类，并打上不同的动作标记访问列表作用于交换机的所有端口访问列表的主要用途：包过滤镜像流量限制流量统计分配队列优先级流分类通常选择数据包的包头信息作为流分类项2层流分类项以太网帧承载的数据类型源/目的MAC地址以太网封装格式Vlan ID入/出端口3/4层流分类项协议类型源/目的IP地址源/目的端口号DSCPIP 数据包过滤TCP/IP包过滤元素应用程序和数据源/目的IP地址源/目的端口号IP headerApplication-level headerTCP headerData应用网关L3/L4过滤访问控制列表的构成Rule（访问控制列表的子规则）Time-range（时间段机制）ACL=rules [+ time-range]（访问控制列表由一系列规则组成，有必要时会和时间段结合）访问控制列表策略:ACL1策略:ACL2策略:ACL3...策略:ACLN时间段的相关配置在系统视图下，配置时间段:time-range time-name [ start-time to end-time ] [ days-of-the-week ] [ from start- date] [ to end-date ] 在系统视图下，删除时间段:undo time-range time-name [ start-time to end-time ] [ days-of-the-week ] [ from start- date] [ to end-date ] 假设管理员需要在从2002年12月1日上午8点到2003年1月1日下午18点的时间段内实施安全策略，可以定义时间段名为denytime，具体配置如下: [System]time-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003 访问控制列表的类型2000～2999：表示基本ACL。只根据数据包的源IP地址制定规则。3000～3999：表示高级ACL（3998与3999是系统为集群管理预留的编号，用户无法配置）。根据数据包的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则。4000～4999：表示二层ACL。根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层