浮生记

虚拟局域网(vlan)

当前在我们构造企业网络时所采用的主干网络技术一般都是基于交换和虚拟网络的。交换技术将共享介质改为独占介质,大大提高网络速度。虚拟网络技术打破了地理环境的制约,在不改动网络物理连接的情况下可以任意将工作站在工作组或子网之间移动,工作站组成逻辑工作组或虚拟子网,提高信息系统的运作性能,均衡网络数据流量,合理利用硬件及信息资源。同时,利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低网络维护费用。随着虚拟网络技术的应用，随之必然产生了在虚拟网间如何通讯的问题．

交换机间链路（isl）协议

isl(interior switching link)协议用于实现交换机间的vlan中继。它是一个信息包标记协议，在支持isl接口上发送的帧由一个标准以太网帧及相关的vlan信息组成。如下图所示，在支持isl的接口上可以传送来自不同vlan的数据。

虚拟局域网（vlan）路由实例

3.1. 例一：

设备选用catalyst5500交换机1台，安装ws-x5530-e3管理引擎，多块ws-x5225r及ws-x5302路由交换模块,ws-x5302被直接插入交换机，通过二个通道与系统背板上的vlan 相连，从用户角度看认为它是1个1接口的模块，此接口支持isl。在交换机内划有3个虚拟网，分别名为default、qbw、rgw，通过ws-x5302实现虚拟网间路由。

以下加重下横线部分，如set system name 5500c为需设置的命令。

设置如下：

catalyst 5500配置：

begin

set password $1$fmfq$hfzr5duszvhirhrz4h6v70

set enablepass $1$fmfq$hfzr5duszvhirhrz4h6v70

set prompt console>

set length 24 default

set logout 20

set banner motd ^c^c

!

#system

set system baud 9600

set system modem disable

set system name 5500c

set system location

set system contact

!

#ip

set interface sc0 1 10.230.4.240 255.255.255.0 10.230.4.255

set interface sc0 up

set interface sl0 0.0.0.0 0.0.0.0

set interface sl0 up

set arp agingtime 1200

set ip redirect enable

set ip unreachable enable

set ip fragmentation enable

set ip route 0.0.0.0 10.230.4.15 1

set ip alias default 0.0.0.0

!

#command alias

!

#vtp

set vtp domain hne

set vtp mode server

set vtp v2 disable

set vtp pruning disable

set vtp pruneeligible 2-1000

clear vtp pruneeligible 1001-1005

set vlan 1 name default type ethernet mtu 1500 said 100001 state active

set vlan 777 name rgw type ethernet mtu 1500 said 100777 state active

set vlan 888 name qbw type ethernet mtu 1500 said 100888 state active

set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active

set vlan 1004 name fddinet-default type fddinet mtu 1500 said 101004 state active bridge 0×0 stp ieee

set vlan 1005 name trnet-default type trbrf mtu 1500 said 101005 state active bridge 0×0 stp ibm

set vlan 1003 name token-ring-default type trcrf mtu 1500 said 101003 state active parent 0 ring 0×0 mode srb aremaxhop 7 stemaxhop 7

!

#set boot command

set boot config-register 0×102

set boot system flash bootflash:cat5000-sup3.4-3-1a.bin

!

#module 1 : 2-port 1000baselx supervisor

set module name 1

set vlan 1 1/1-2

set port enable 1/1-2

!

#module 2 : empty

!

#module 3 : 24-port 10/100basetx ethernet

set module name 3

set module enable 3

set vlan 1 3/1-22

set vlan 777 3/23

set vlan 888 3/24

set trunk 3/1 on isl 1-1005

#module 4 empty

!

#module 5 empty

!

#module 6 : 1-port route switch

set module name 6

set port level 6/1 normal

set port trap 6/1 disable

set port name 6/1

set cdp enable 6/1

set cdp interval 6/1 60

set trunk 6/1 on isl 1-1005

!

#module 7 : 24-port 10/100basetx ethernet

set module name 7

set module enable 7

set vlan 1 7/1-22

set vlan 888 7/23-24

set trunk 7/1 on isl 1-1005

set trunk 7/2 on isl 1-1005

!

#module 8 empty

!

#module 9 empty

!

#module 10 : 12-port 100basefx mm ethernet

set module name 10

set module enable 10

set vlan 1 10/1-12

set port channel 10/1-4 off

set port channel 10/5-8 off

set port channel 10/9-12 off

set port channel 10/1-2 on

set port channel 10/3-4 on

set port channel 10/5-6 on

set port channel 10/7-8 on

set port channel 10/9-10 on

set port channel 10/11-12 on

#module 11 empty

!

#module 12 empty

!

#module 13 empty

!

#switch port analyzer

!set span 1 1/1 both inpkts disable

set span disable

!

#cam

set cam agingtime 1-2,777,888,1003,1005 300

end

5500c> (enable)

ws-x5302路由模块设置：

router#wri t

building configuration…

current configuration:

!

version 11.2

no service password-encryption

no service udp-small-servers

no service tcp-small-servers

!

hostname router

!

enable secret 5 $1$w1kk$ajk69fgod7bqkhkcsnbf6.

!

ip subnet-zero

!

interface vlan1

ip address 10.230.2.56 255.255.255.0

!

interface vlan777

ip address 10.230.3.56 255.255.255.0

!

interface vlan888

ip address 10.230.4.56 255.255.255.0

!

no ip classless

!

line con 0

line aux 0

line vty 0 4

password router

login

!

end

router#

3.1. 例二：

交换设备仍选用catalyst5500交换机1台，安装ws-x5530-e3管理引擎，多块ws-x5225r在交换机内划有3个虚拟网，分别名为default、qbw、rgw，通过cisco3640cisco思科路由器实现虚拟网间路由。交换机设置与例一类似。

cisco思科路由器cisco3640，配有一块nm-1fe-tx模块，此模块带有一个快速以太网接口可以支持isl。cisco3640快速以太网接口与交换机上的某一支持isl的端口实现连接，如交换机第3槽第1个接口（3/1口）。

router#wri t

building configuration…

current configuration:

!

version 11.2

no service password-encryption

no service udp-small-servers

no service tcp-small-servers

!

hostname router

!

enable secret 5 $1$w1kk$ajk69fgod7bqkhkcsnbf6.

!

ip subnet-zero

!

interface fastethernet1/0

!

interface fastethernet1/0.1

encapsulation isl 1

ip address 10.230.2.56 255.255.255.0

!

interface fastethernet1/0.2

encapsulation isl 777

ip address 10.230.3.56 255.255.255.0

!

interface fastethernet1/0.3

encapsulation isl 888

ip address 10.230.4.56 255.255.255.0

!

no ip classless

!

line con 0

line aux 0

line vty 0 4

password router

login

!

end

router#

安全性管理

对cisco思科路由器的安全性管理主要包括：建立口令以保护访问cisco思科路由器的安全，使用正确的访问表以管理通过cisco思科路由器的可接受数据流等。

1、口令管理

下面显示了设置控制从终端进行访问的口令的命令。

命令 操作效果

line console 0 为控制台终端建立一个口令

line vty 0 4 telnet连接建立一个口令

enable-password 为特权exec模式建立一个口令

enable-secret 使用md5加密方法建立密码口令

service password-encryption 保护口令，避免其通过idsplay命令

将口令显示出来

2、报文过滤

cisco的防火墙功能主要是通过报文的过滤实现的。

它可以实现对多种数据流的控制，如限制流入、以及流出等。通过对访问列表的编写，我们可以实现对特定网络或主机的数据流限制。

accsess-list 的编号有特定的范围：

<1-99> ip standard access list

<100-199> ip extended access list

<1100-1199> extended 48-bit mac address access list

<200-299> protocol type-code access list

<700-799> 48-bit mac address access list

例如我们可以定义如下的访问表来实现允许任何主机到主机160..10.2.101的报文：

accsess-list 101 permit ip any host 160.10.2.101

而下面的语句允许使用客户源端口（小于1024的端口留给服务器用）方式的主机发往160.10.2.100的udp报文通过，且报文的目的端口必须为dns端口（53）。其中gt为great than。

accsess-list 101 permit udp any gt 1023 host 160.10.2.100 eq 53

建立好访问列表以后，要想让它进行报文过滤，必须将它应用到端口上。在进入要控制的端口后，用如下的命令应用此访问表：

router(config-if)#ip access-group 101 in

其中的in表示对向里（针对此端口来说）的数据进行过滤。要注意的是，一个端口只能有一个向里和向外的列表，如果有几个，则只有第一个起作用。

参考：

ciscocisco思科路由器口令恢复

当ciscocisco思科路由器的口令被错误修改或忘记时，可以按如下步骤进行操作：

1.开机时按使进入Ｒom监控状态

2.按o 命令读取配置寄存器的原始值

>o

3.作如下设置，使忽略nvram引导

>o/r0x**4*cisco2500系列命令

rommon 1 >confreg 0x**4*cisco2600、1600系列命令

一般正常值为0×2102

4.重新启动cisco思科路由器

>i

rommon 2 >reset

5.在“setup”模式，对所有问题回答no

6.进入特权模式

router>enable

7.下载nvram

router>configure memory

8.恢复原始配置寄存器值并激活所有端口

“hostname”#configure terminal

“hostname”(config)#config-register 0x“value”

“hostname”(config)#interface xx

“hostname”(config)#no shutdown

9.查询并记录丢失的口令

“hostname”#show configuration (show startup-config)

10.修改口令

“hostname”#configure terminal

“hostname”(config)line console 0

“hostname”(config-line)#login

“hostname”(config-line)#password xxxxxxxxx

“hostname”(config-line)#

“hostname”(config-line)#write memory(copy running-config startup-config)

２、ip地址分配

地址类网络主机网络地址范围标准二进制掩码

Ａn.h.h.h1-1261111 1111 0000 0000 0000 0000 0000 0000

Ｂn.n.h.h128-1911111 1111 1111 1111 0000 0000 0000 0000

Ｃn.n.n.h192-2231111 1111 1111 1111 1111 1111 0000 0000

子网位个数子网掩码子网数主机数

b类地址

2255.255.192.0216382

3255.255.224.068198

4255.255.240.0144894

5255.255.248.0302846

6255.255.252.0621822

7255.255.254.0126518

8255.255.255.0254254

9255.255.255.128518126

10255.255.255.192182262

11255.255.255.224284630

12255.255.255.240489414

13255.255.255.24881986

14255.255.255.252163822

c类地址

2255.255.255.192262

3255.255.255.224630

4255.255.255.2401414

5255.255.255.248306

6255.255.255.252622

的处理速度。

僵化的地址分配方案使很多地址被浪费，尤其是b类地址十分匮乏。

为了解决第二个问题，可以分配多个较小的网络，例如，用多个c类网络而不是一个b类网络。虽然这样能够很有效地分配地址，但是更加剧了路由表的膨胀（第一个问题）。

在cidr中，地址根据网络拓扑来分配。连续的一组网络地址可以被分配给一个服务提供商，使整组地址作为一个网络地址（很可能使用超网技术）。例如：一个服务提供商被分配以256个c类地址，从213.79.0.0到213.79.255.0，服务提供商给每个用户分配一个c类地址，但服务提供商外部的路由表只通过一个表项–掩码为255.255.0.0的网络213.79.0.0–来分辨这些路由。

这种方法明显减少了路由表的增长，cidr rfc的作者估计，如果90%的服务提供商使用了cidr，路由表将以每3年54%的速度增长，而如果没有使用cidr，则增长速度为776%。如果可以重新组织现有的地址，则因特网骨干上的cisco思科路由器广播的路由数量将大大减少。但这实际是不可行的，因为将带来巨大的管理负担。

四、路由

1、路由表

如果一个主机有多个网络接口，当向一个特定的ip地址发送分组时，它怎样决定使用哪个接口呢？答案就在路由表中。来看下面的例子：

目的 子网掩码 网关 标志 接口

201.66.37.0 255.255.255.0 201.66.37.74 u eth0

201.66.39.0 255.255.255.0 201.66.39.21 u eth1

主机将所有目的地为网络201.66.37.0内主机(201.66.37.1-201.66.37.254)的数据通过接口eth0(ip地址为201.66.37.74)发送，所有目的地为网络201.66.39.0内主机的数据通过接口eth1(ip地址为201.66.39.21)发送。标志u表示该路由状态为“up”（即激活状态）。对于直接连接的网络，一些软件并不象上例中一样给出接口的ip地址，而只列出接口。

此例只涉及了直接连接的主机，那么目的主机在远程网络中如何呢？如果你通过ip地址为201.66.37.254的网关连接到网络73.0.0.0，那么你可以在路由表中增加这样一项：

目的 掩码 网关 标志 接口

73.0.0.0 255.0.0.0 201.66.37.254 ug eth0

此项告诉主机所有目的地为网络73.0.0.0内主机的分组通过201.66.37.254路由过去。标志g(gateway)表示此项把分组导向外部网关。类似的，也可以定义通过网关到达特定主机的路由，增加标志h(host)：

目的 掩码 网关 标志 接口

91.32.74.21 255.255.255.255 201.66.37.254 ugh eth0

下面是路由表的基础，除了特殊表项之外：

目的 掩码 网关 标志 接口

127.0.0.1 255.255.255.255 127.0.0.1 uh lo0

default 0.0.0.0 201.66.37.254 ug eth1

第一项是loopback接口，用于主机给自己发送数据，通常用于测试和运行于ip之上但需要本地通信的应用。这是到特定地址127.0.0.1的主机路由(接口lo0是ip协议栈内部的“假”网卡)。第二项十分有意思，为了防止在主机上定义到因特网上每一个可能到达网络的路由，可以定义一个缺省路由，如果在路由表中没有与目的地址相匹配的项，该分组就被送到缺省网关。多数主机简单地通过一个网卡连接到网络，因此只有通过一个cisco思科路由器到其它网络，这样在路由表中只有三项：loopback项、本地子网项和缺省项（指向cisco思科路由器）。

2、重叠路由

假设在路由表中有下列重叠项：

目的 掩码 网关 标志 接口

1.2.3.4 255.255.255.255 201.66.37.253 ugh eth0

1.2.3.0 255.255.255.0 201.66.37.254 ug eth0

1.2.0.0 255.255.0.0 201.66.37.253 ug eth1

default 0.0.0.0 201.66.39.254 ug eth1

之所以说这些路由重叠是因为这四个路由都含有地址1.2.3.4，如果向1.2.3.4发送数据，会选择哪条路由呢？在这种情况下，会选择第一条路由，通过网关201.66.37.253。原则是选择具有最长(最精确)的子网掩码。类似的，发往1.2.3.5的数据选择第二条路由。

注意：这条原则只适用于间接路由(通过网关)。把两个接口定义在同一子网在很多软件实现上是非法的。例如下面的设置通常是非法的（不过有些软件将尝试在两个接口进行负载平衡）：

接口 ip地址 子网掩码

eth0 201.66.37.1 255.255.255.0

eth1 201.66.37.2 255.255.255.0

对于重叠路由的策略是十分有用的，它允许缺省路由作为目的为0.0.0.0、子网掩码为0.0.0.0的路由进行工作，而不需要作为路由软件的一个特殊情况来实现。

回头来看看cidr，仍使用上面的例子：一个服务提供商被赋予256个c类网络，从213.79.0.0到213.79.255.0。该服务提供商外部的路由表只以一个表项就了解了所有这些路由：213.79.0.0，子网掩码为255.255.0.0。假设一个用户移到了另一个服务提供商，他拥有网络地址213.79.61.0，现在他是否必须从新的服务提供商处取得新的网络地址呢？如果是，意味着他必须重新配置每台主机的ip地址，改变dns设置，等等。幸运的是，解决办法很简单，原来的服务提供商保持路由213.79.0.0(子网掩码为255.255.0.0)，新的服务提供商则广播路由213.79.61.0(子网掩码为255.255.255.0)，因为新路由的子网掩码较长，它将覆盖原来的路由。

3、静态路由

回头看看我们已建立的路由表，已有了六个表项：

目的 掩码 网关 标志 接口

127.0.0.1 255.255.255.255 127.0.0.1 uh lo0

201.66.37.0 255.255.255.0

标签：主机板, 第八主机, 便宜虚拟主机

相关日志

• 电脑最忌讳的18个小动作
• 家庭防火防盗报警系统设计
• linux VSFTP配置大全
• 网络赚钱介绍
• 拒绝死机十四招