洛阳网站建设价格低cilimao磁力猫搜索引擎

1. ACL

ACL: 访问控制列表, Access Control List。
通过定义规则来允许或拒绝流量的通过。

1.1 ACL分类

1.2 配置实例

如图所示，对R2的访问只允许192.168.1.0/24网段。
我们可以配置基本acl来限制

acl 2000
acl number 2000  rule 5 permit source 192.168.1.0 0.0.0.255 rule 10 deny source 192.168.2.0 0.0.0.255 rule 400000 deny 

基本acl能做的高级acl都能做。

acl number 3000  rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 10.1.12.2 0 rule 10 deny ip destination 10.1.12.2 0

高级acl禁ping,其实就是禁icmp包。

rule 10 deny icmp

高级acl禁用telnet

rule 5 deny tcp destination-port eq telnet 

注意需要对应入接口，还是出接口。
ACL有时与NAT配合使用。
对路由器AR1, 限制对R2访问

traffic-filter outbound acl 3000

对路由器R2，禁止ping和telnet。

traffic-filer inbound acl 3000

2. NAT

NAT：网络地址转换，Network Address Translation。

主要是为了解决公网与私网IP转换的问题。

2.1 静态NAT

私有地址与公网地址一对一，一个公网IP只会分配给唯一且固定的内网主机。

2.2 动态NAT

基于地址池实现私有与公有地址的的转化。可以实现多对多了，但同一时间能上网的主机数并没有改变。

2.3 NAPT

NAPT路由器通过源端口来区分私有地址，就可以实现一个公网地址对应多个私有地址。

2.4 Easy IP

用于小型局域网，使用出口路由器的公网IP来进行NAPT转化。

2.5 配置实例

对PC3进行静态NAT绑定，可能是老板的IP。

nat static global  100.1.1.9 inside 192.168.1.3 netmask 255.255.255.255

对其他的主机用动态的NAPT转换。
创建地址nat地址池

net address-group 1 100.1.1.10  100.1.1.20

创建基本acl

acl 2000
rule permit any

注意NAT应该应用在R1的出接口上

int g 0/0/1

应用NAPT
转换， 后面加上no-pat就不进行端口转换。

nat outbound 2000 address-group 1

如果不配置地址池，直接使用acl规则，就是配置EasyIP。此时使用的就是运营商给分配的临时公网IP。

nat outbound 2000

2.6 nat server

在某些场合，私网中有一些服务器需要向公网用户提供服务，比如私网中部署的一些Web服务器、FTP服务器等，NAT支持这样的应用，此时可以配置NAT Server来实现公网用户访问私网服务器。

案例：

配置命令

nat server protocol tcp global  12.1.1.5 www inside 192.168.1.1 www

3. 链路聚合

链路聚合的目的是提升链路带宽。
通过将多个物理口绑定为一个逻辑口来实现链路聚合。

3.1 聚合模式

1. 手动
2. LACP模式

对于两端

3.2 聚合要素

1. 同种设备
2. 两端接口速率一致
3. 双工模式相同
4. 传输介质相同
5. 成员端口有限制
6. 负载分担方式

3.3 配置案例

手动链路聚合

[SW1]interface Eth-Trunk 1 # 创建聚合端口
[SW1-Eth-Trunk1]mode manual load-balance#  设置负载分担模式为手动负载分担（默认配置）
[SW1-Eth-Trunk1]load-balance src-dst-mac  #设置基于源目MAC地址负载分担，默认为基于源目IP地址负载分担
[SW1-Eth-Trunk1]trunkport Ethernet 0/0/1 to 0/0/3  #设置成员端口为1口到3口

lacp链路聚合

[SW2]interface Eth-Trunk 1
[SW2-Eth-Trunk1]mode lacp-static
[SW2-Eth-Trunk1]load-balance src-dst-mac
[SW2-Eth-Trunk1]trunkport Ethernet 0/0/1 to 0/0/3

设置最大活跃链路数

max active-linknumber 2

lacp需要选举主动端和被动端, 可以设置lacp优先级来改变。

lacp priority 100

端口的优先级也可以改变

int e 0/0/1
lacp priority 2000

同时我们需要开启端口的可抢占功能

lacp preempt enable

对于路由器的链路聚合，我们需要先将它的以太网口从二层切换成三层。

undo portswitch

Ref

huawei-nat
huawei-acl
huawei-portswitch