收藏
下载资源

{经营管理知识}网络故障排除讲义

上传人:精****库 文档编号:141072761 上传时间:2020-08-04 格式:PPTX 页数:59 大小:1.98MB
返回 下载 相关 举报
{经营管理知识}网络故障排除讲义_第1页
第1页 / 共59页
{经营管理知识}网络故障排除讲义_第2页
第2页 / 共59页
{经营管理知识}网络故障排除讲义_第3页
第3页 / 共59页
{经营管理知识}网络故障排除讲义_第4页
第4页 / 共59页
{经营管理知识}网络故障排除讲义_第5页
第5页 / 共59页
点击查看更多>>
资源描述

《{经营管理知识}网络故障排除讲义》由会员分享,可在线阅读,更多相关《{经营管理知识}网络故障排除讲义(59页珍藏版)》请在金锄头文库上搜索。

1、网络故障排除,目录,第一章 VLAN原理及基本配置 第二章 ACL原理及基本配置 第三章 常用维护方法和命令 第四章 案例分析,VLAN的产生原因广播风暴,广播,传统的以太网是广播型网络,网络中的所有主机通过HUB或交换机相连,处在同一个广播域中,通过路由器隔离广播域,路由器,广播,通过VLAN划分广播域,Broadcast Domain 1 VLAN 10,Broadcast Domain 2 VLAN 20,Broadcast Domain 3 VLAN 30,市场部,工程部,财务部,以太网端口的链路类型,Access link:只能允许某一个VLAN的untagged数据流通过。 Tru

2、nk link:允许多个VLAN的tagged数据流和某一个VLAN的untagged数据流通过。 Hybrid link:允许多个VLAN的tagged数据流和多个VLAN的untagged数据流通过。 Hybrid端口可以允许多个VLAN的报文发送时不携带标签,而Trunk端口只允许缺省VLAN的报文发送时不携带标签。 三种类型的端口可以共存在一台设备上,Access Link和Trunk Link,Access link,Trunk link,Trunk Link和VLAN,VLAN10,VLAN2,VLAN10,VLAN3,VLAN2,VLAN10,VLAN5,VLAN5,VLAN2,

3、VLAN5,广播报文发送,Trunk Link,VLAN2,VLAN3,VLAN3,VLAN2,带有VLAN3标签的以太网帧,带有VLAN2标签的以太网帧,不带VLAN标签的 以太网帧,数据帧在网络通信中的变化,第一章 VLAN原理及基本配置 第二章 ACL原理及基本配置 第三章 常用维护方法和命令 第四章 案例分析,目录,ACL访问控制列表,为了过滤通过网络设备的数据包,需要配置一系列的匹 配规则,以识别需要过滤的对象。在识别出特定的对象之后 ,网络设备才能根据预先设定的策略允许或禁止相应的数据 包通过。 访问控制列表(Access Control List,ACL)就是用来实现 这些功能。

4、 ACL通过一系列的匹配条件对数据包进行分类,这些条件可 以是数据包的源地址、目的地址、端口号等。ACL可应用在 交换机全局或端口上,交换机根据ACL中指定的条件来检测 数据包,从而决定是转发还是丢弃该数据包。,以太网访问列表,主要作用:在整个网络中分布实施接入安全性,Internet,服务器,部门 A,部门 B,Intranet,访问控制列表ACL,对到达端口的数据包进行分类,并打上不同的动作标记 访问列表作用于交换机的所有端口 访问列表的主要用途: 包过滤 镜像 流量限制 流量统计 分配队列优先级,流分类,通常选择数据包的包头信息作为流分类项 2层流分类项 以太网帧承载的数据类型 源/目的

5、MAC地址 以太网封装格式 Vlan ID 入/出端口 3/4层流分类项 协议类型 源/目的IP地址 源/目的端口号 DSCP,IP 数据包过滤,IP header,TCP header,Application-level header,Data,应用程序和数据,源/目的端口号,源/目的IP地址,L3/L4过滤,应用网关,TCP/IP包过滤元素,访问控制列表的构成,Rule(访问控制列表的子规则) Time-range(时间段机制) ACL=rules + time-range (访问控制列表由一系列规则组成,有必要时 会和时间段结合),访问控制列表 策略:ACL1 策略:ACL2 策略:AC

6、L3 . 策略:ACLN,时间段的相关配置,在系统视图下,配置时间段: time-range time-name start-time to end-time days-of-the-week from start- date to end-date 在系统视图下,删除时间段: undo time-range time-name start-time to end-time days-of-the-week from start- date to end-date ,假设管理员需要在从2002年12月1日上午8点到2003年1月1日下午18点的时间段内实施安全策略,可以定义时间段名为denyt

7、ime,具体配置如下: Systemtime-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003,访问控制列表的类型,20002999:表示基本ACL。只根据数据包的源IP地址制定规则。 30003999:表示高级ACL(3998与3999是系统为集群管理预留的编号,用户无法配置)。根据数据包的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则。 40004999:表示二层ACL。根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。 50005999:表示用户自定义A

8、CL。以数据包的头部为基准,指定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。,定义访问控制列表,在系统视图下,定义ACL并进入访问控制列表视图: acl number acl-number | name acl-name basic | advanced | interface | link match-order config | auto 在系统视图下,删除ACL: undo acl number acl-number | name acl-name | all ,基本访问控制列表的规则配置,在基本访问控制列表视图下,配置相应的

9、规则 rule rule-id permit | deny source source-addr source-wildcard | any fragment time-range time-range-name 在基本访问控制列表视图下,删除一条子规则 undo rule rule-id source fragment time-range ,高级访问控制列表的规则配置,在高级访问控制列表视图下,配置相应的规则 rule rule-id permit | deny protocol source source-addr source-wildcard | any destination de

10、st-addr dest-mask | any soure-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type icmp-code established precedence precedence tos tos | dscp dscp fragment time-range time-range-name 在高级访问控制列表视图下,删除一条子规则 undo rule rule-id source destination soure-port destination-port

11、precedence tos | dscp fragment time-range ,端口操作符及语法,TCP/UDP协议支持的端口操作符及语法,操作符及语法,含义,eq portnumber,等于portnumber,gt portnumber,大于portnumber,lt portnumber,小于portnumber,neq portnumber,不等于portnumber,range portnumber1 portnumber2,介于端口号portnumber1和 portnumber2之间,接口访问控制列表的规则配置,在接口访问控制列表视图下,配置相应的规则 rule rule-

12、id permit | deny interface interface-name | interface-type interface-num | any time-range time-range-name 在接口访问控制列表视图下,删除一条子规则 undo rule rule-id,二层访问控制列表的规则配置,在二层访问控制列表视图下,配置相应的规则 rule rule-id permit | deny protocol cos vlan-pri ingress source-vlan-id source-mac-addr source-mac-wildcard interface in

13、terface-name | interface-type interface-num | any egress dest-mac-addr dest-mac-wildcard interface interface-name | interface-type interface-num | any time-range time-range-name 在二层访问控制列表视图下,删除一条子规则 undo rule rule-id,自定义访问控制列表的规则配置,在自定义访问控制列表视图下,配置相应的规则 rule rule-id permit | deny rule-string rule-ma

14、sk offset & time-range time-range-name 在自定义访问控制列表视图下,删除一条子规则 undo rule rule-id 用户自定义访问控制列表的数字标识取值范围为50005999,规则匹配原则,一条访问控制列表往往会由多条规则组成,这样在匹配一条访问控制列表的时候就存在匹配顺序的问题。在华为系列交换机产品上,支持下列两种匹配顺序: Config:指定匹配该规则时按用户的配置顺序(后下发先生效) Auto:指定匹配该规则时系统自动排序(按“深度优先”的顺序),激活访问控制列表,在系统视图下,激活ACL: packet-filter user-group ac

15、l-number | acl-name rule rule | ip-group acl-number | acl-name rule rule link-group acl-number | acl-name rule rule 在系统视图下,取消激活ACL: undo packet-filter user-group acl-number | acl-name rule rule | ip-group acl-number | acl-name rule rule link-group acl-number | acl-name rule rule ,配置ACL进行包过滤的步骤,综上所述,在System交换机上配置ACL进行包过滤的步骤如下: 配置时间段(可选) 定义访问控制列表(四种类型:基本、高级、基于接口、基于二层和用户自定义) 激活访问控制列表,访问控制列表配置举例一,要求配置高级ACL,禁止员工在工作日8:0018:00的时间段内访问新浪网站( 61.172.201.194 ) 1. 定义时间段 System time-range test 8:00 to 18:00 working-day 2.定义高级ACL 3000,配置目的IP地址为新浪

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 企业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号