中学教育组建校园网初.pptVIP

Rgnos的都有序号，按照序号大小顺序执行，缺省为10，并以10递增 Ace的执行都是需要硬件资源，不是说ACE条目可以无限制的编写，这点要注意，因为占用交换机芯片的硬件资源，因此ACL和一些其它安全功能共用时，会产生一些问题。这点在后续的安全专题中会给大家介绍 IN/OUT方向是以网络设备物理接口或者VLAN SVI接口的角度来理解 在安全控制中，In和 out 说明了 ACL起作用的方向。In方向说明当报文从外界网络进入该接口时，要受到 ACL的检 查，过滤。Out 方向说明当报文从该接口转发，准备前往外界网络时，要受到 ACL的检查，过滤。 如果是vacl这里所谓的 in和 out 方向是针对 VLAN而言的， In 进入属于某个vlan的接口 Out离开属于某个vlan的接口 在同一个vlan内的接口转换数据，既不是in，也不是out 蓝色的ACL名称在实际项目中最好使用有实际意义的英文或者拼音缩写 在锐捷目前的RGOS版本中，在ACE书写时可以使用掩码了，设备会自动进行转换。 标准ACL的局限： 流量要经过所有到达目的地的途径，它在即将到达目的地时被丢弃，这是对带宽的浪费。 有辅导员反馈，希望晚上下班后能和学生寝室的同学使用IM即时通讯工具沟通，晚上能开放访问控制。此时如何处理呢？ 由于部分设备没有RTC时钟，所以不支持time-range，不支持基于时间的ACL； 蓝色的ACL名称使用有实际意义的英文或者拼音缩写 蓝色的ACL名称使用有实际意义的英文或者拼音缩写 show access-lists 查看所有协议的所有ACL show ip access-group 查看接口应用的ACL情况 Line vty 0 4 Access-class x in 项目规划时：Vlan和IP子网对应。在同一台二层交换机上，不同VLAN不能通信。 不同vlan的主机配置不同子网的ip地址，不同vlan也就是不同子网间的通信交给配置的缺省网关，缺省网关就是具备路由功能的路由器或者三层交换机。 SVI接口是虚拟接口 VLAN 20如何配置？ * 我们现在使用S5750这个型号的三层交换机进行VLAN间数据转发，完成前面讲解的SVI配置后，我们来看看数据是如何转发的： 张磊PC在完成IP配置后，同样会有相同的过程：建立网关54的ARP信息表 1区汇聚交换机接收到这个带有TAG20标签的数据包，如何处理？ VLAN间三层交换一般又称为三层路由，什么是路由，路由与我们的数据转发是怎样一种关系？是我们这一节要介绍的内容。 * 在一个网络，甚至一个路由器上可能运行多种路由协议， 关于同一个目标网络的路由可能有多个来源 网络号相同、子网掩码相同----同一个目标网络 我们可以使用sh ip int bri命令查看SVI三层接口是否UP，只有三层接口UP，才能产生直连路由！ 到相同的目的地，不同的路由协议（包括静态路由）可能会发现不同的路由，当前路由仅能由唯一的路由协议来决定。各路由协议（包括静态路由）都被赋予了一个管理距离，当存在多个路由信息源时，具有较小管理距离的路由协议发现的路由将成为最优路由，并被加入路由表中。 每个路由协议都会有一张路由表， 度量值（metric）标识出了到达这条路由所指的目的地址的代价，通常路由的度量值会受到线路延迟、带宽、负载、丢包率、跳数等因素的影响，不同的动态路由协议会选择其中的一种或几种因素来计算度量值（如RIP用跳数来计算花费值）。该度量值只在同一种路由协议内有比较意义，不同的路由协议之间的路由度量值没有可比性，也不存在换算关系。静态路由的度量值为0。 链路层协议发现的路由 开销小，配置简单，无需人工维护。只能发现本接口所属网段的路由。 手工配置静态路由 无开销，配置简单，需人工维护，适合简单拓朴结构的网络。 动态路由协议发现的路由 开销大，配置复杂，无需人工维护，适合复杂拓朴结构的网络 我们可以使用sh ip int bri命令查看SVI三层接口是否UP，只有三层接口UP，才能产生直连路由！ 浮动静态路由不能被永久的保存在路由选择表中，它仅仅会出现在一种特殊的情况下，即在一条首选路由发生失败的时候。浮动静态路由主要考虑到链路的冗余性能。 在主路由条目正常情况下，使用SHOW IP ROUTE能否看到浮动静态路由条目？ S57各配置一条静态、S86配置两条静态。 这里可否使用缺省路由？ Vlan ip子网规划及配置 回顾接口 access trunk 如果S8606与S5750等所有网络设备都使用VLAN 900做为管理LVAN，采用目前这种互联方式可行么？ 还有其他互联方式么？ 通过前面章节的配置，宿舍1区的各个楼层，各个VLAN间的用户都能相互访问了。现在学校从安全性出发，希望