1.路由 ： 數(shù)據(jù)從一個網(wǎng)絡(luò)發(fā)送到另一個網(wǎng)絡(luò)

? ? ? ? ? ? ? ---不同的網(wǎng)絡(luò)通信叫路由

2.核心工作表 -- 路由表 ----指引路由器如何工作

? ? ? ? ? ? ? ?----多個路由條目--- 形成路由表

? ? ? ? ? ? ? 目標(biāo)網(wǎng)段/掩碼? ----- 下一跳? ---出接口

3.display ip routing-table? //查看路由表

路由表 ---- 路由條目? ---來源

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? -----直連路由

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? -----非直連路由

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ---靜態(tài)路由

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ---動態(tài)路由

直連路由----接口配置IP地址

? ? ? ? ? ? ----接口狀態(tài)up

4. 靜態(tài)路由 ------- 節(jié)省設(shè)備資源

? ? ? ? ? ? ? ? ? ------- 手工配置? 單向

? ? ? ? ? ? ? ? ? ------- 容易出故障 鹿寨、 配置復(fù)雜

配置格式：ip route-static? ? ? 192.168.3.0? 24? ? ? 192.168.1.2

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?目標(biāo)網(wǎng)段? ? 掩碼? ? ? ? 下一跳

5.默認路由 --- 是一種特殊的靜態(tài)路由

? ? ? ? ? ? ? ? --- 目標(biāo)網(wǎng)段時0.0.0.0 0.0.0.0 表示匹配所有網(wǎng)絡(luò)

? ? ? ? ? ? ? ? --- 一般應(yīng)用在末梢網(wǎng)絡(luò)，企業(yè)的邊界

? ? ? ? ? ? ? ? --- 當(dāng)路由表里存在更明細的路由條目時，先匹配明細路由

? ? ? ? ? ? ? ? ? ? ? 沒有任何明細路由的時候倔撞，就匹配默認路由

刪除路由：

undo ip route-static 192.168.3.0 24 192.168.45.5

配置默認路由：

ip route-static 0.0.0.0 0.0.0.0 192.168.45.5

6.路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的過程 ----- 查詢路由表的過程

7.路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的封裝過程? -----? 區(qū)分網(wǎng)絡(luò)層的地址和數(shù)據(jù)鏈路層的地址的過程

*兩臺末梢網(wǎng)絡(luò)的直連路由如果都設(shè)置了默認路由霹俺，一旦IP輸錯就會造成回環(huán)丙唧。

單臂路由+三層交換機

大的廣播區(qū)域

? ? ? ? ? ? ----浪費資源

? ? ? ? ? ? ? ? ? 降低網(wǎng)絡(luò)速率

? ? ? ? ? ? ? ? ? 增加網(wǎng)絡(luò)延遲

? ? ? ? ? ? ? ? ? 降低網(wǎng)絡(luò)安全性

? ? ---解決辦法：分割廣播區(qū)域

? ? ? ? ? ? ? ? --vlan--

? ? ? ? ? ? ? ? --新問題：不同的vlan不能相互通信

? ? ? ? ? ? ? ? --單臂路由

1.單臂路由配置：

單臂路由數(shù)據(jù)流向圖

--pc配置IP/掩碼/網(wǎng)關(guān)

--交換機配置

? ? ? --創(chuàng)建VLAN

? ? ? --與PC連接接口配置接口類型access愈魏， 將端口加入vlan

? ? ? --與路由器連接接口配置接口類型trunk， 配置允許

--路由器配置? ? ?

單臂路由配置圖

?路由器的物理接口可以劃分成多個邏輯接口胡本，每個子接口對應(yīng)一個vlan網(wǎng)關(guān)

? ? ? --開啟dot.1q 和識別vlanID

? ? ? --配置IP地址及vlan網(wǎng)關(guān)地址

? ? ? --開啟接口arp功能

------

interface g0/0/0.1? ? ?//創(chuàng)建子接口

ip adddress 192.168.1.254 24

dot.1q termination vid 10? ? ? ?//開啟dot.1q 用來識別vlan ID

arp broadcast enable? ? ? ? ? ? ?//開啟接口的ARP功能牌柄，實現(xiàn)獲取目標(biāo)ip的MAC地址

------

interface g0/0/0.2? ? ? ???//創(chuàng)建子接口

ip address 192.168.2.254 24

dot.1q termination vid 20? ? //開啟dot.1q 用來識別vlan ID

arp broadcast enable? ? ? ? ??//開啟接口的ARP功能，實現(xiàn)獲取目標(biāo)ip的MAC地址

--測試：不同的vlan主機通過路由子接口實現(xiàn)互通

2.單臂路由的缺陷：

? ? ? ? ? ? ? ? ? ----物理接口不靈活侧甫，子接口基于物理接口珊佣，物理接口down,子接口全down

? ? ? ? ? ? ? ? ? ----物理接口帶寬不一定，不一定滿足所有子接口帶寬需求

解決方案：三層交換? 披粟，??解決路由器接口少的問題咒锻，交換機接口多

三層交換 = 兩層交換 + 三層轉(zhuǎn)發(fā)

三層交換機，用svi來替代路由器接口守屉，每一個vlan都有自己的三層虛接口svi

三層交換機配置圖

三層交換配置：

vlan batch 100 200? //創(chuàng)建vlan

interface g0/0/1? ? ? //配置與交換機相連的Pc相連的接口類型access

port link-type access

port default vlan 100

interface g0/0/2

port link-type access

port default vlan 200

---------------------------------

interface Vlanif 100? //配置VLAN對應(yīng)的三層接口? Vlanif （vlan接口） 相當(dāng)于網(wǎng)關(guān)的虛擬接口

ip address 192.168.1.254 24

interface Vlanif 200

ip address 192.168.2.254 24

dis ip int brief? ? ? ? ? ? //查看三層接口的IP信息

dis ip routing-table? ? //查看IP路由表

-----------實驗：三層+兩層

vlan batch 100 200? ?

interface Vlanif 200? ? ? ? ? ? ? ? ? ? ? ? ? //創(chuàng)建三層虛接口并配置 IP地址

ip address 192.168.2.254 24? ? ? ? ? ?//對應(yīng)vlan的網(wǎng)關(guān)地址

interface Vlanif 100

ip address 192.168.1.254 24? ? ? ? ? ?//對應(yīng)vlan的網(wǎng)關(guān)地址

interface g0/0/1? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?//配置與二層交換機的接口鏈路類型

-------------------------

port link-type trunk

port trunk allow-pass vlan 100 200

vlan batch 100 200

interface g0/0/3? ? ? ? ? ? ? ? ? ? ? ? //配置與三層交換機相連的接口

port link-type trunk

port trunk allow-pass vlan 100 200

-------------------------

interface g0/0/1? ? ? ? ? ? ? ? ? ? ? ? //配置與PC相連的接口

port link-type access

port default vlan 100

interface g0/0/2

port link-type access

port default vlan 200

------路由器+三層+二層

路由器：

--配置接口地址

--配置靜態(tài)路由

三層交換機：

--與路由器相連的配置vlan虛接口

interface Vlanif 1

ip address 192.168.17.2 24

--配置靜態(tài)路由

三層交換機與其他網(wǎng)段通信

在三層交換機上和路由器上配置對應(yīng)的靜態(tài)路由即可惑艇，或者配置一個默認路由一個靜態(tài)路由

DHCP

1.dhcp 動態(tài)主機配置協(xié)議（解決問題）

? ? ? ? ? ? ---手工配置復(fù)雜、工作量大拇泛、容易出錯

? ? ? ? ? ? ---動態(tài)分配主機上網(wǎng)參數(shù)

? ? ? ? ? ? ---快速適應(yīng)網(wǎng)絡(luò)的變化

2.DHCP的角色

? --DHCP服務(wù)器? ---為客戶端分配上網(wǎng)參數(shù)的

? --DHCP客戶端? ---從服務(wù)器上獲取上網(wǎng)參數(shù)的 PC滨巴、手機、平板

? --DHCP中繼? ? ---客戶端和服務(wù)器不在一個網(wǎng)段的時候俺叭，需要中繼做轉(zhuǎn)換

DHCP中繼

3.DHCP工作原理

? -首次? 接入具有DHCP服務(wù)器的網(wǎng)絡(luò)

? ? ? ? ? --發(fā)現(xiàn)階段? -- 廣播-- discover報文

? ? ? ? ? --提供階段? -- 單播-- offer報文

? ? ? ? ? --選擇階段? -- 廣播-- request報文

? ? ? ? ? --確認階段? -- 單播-- ACK報文?

DHCP工作原理

4.更新租期：

? ? 1/2 租期? ---? 單播? --- request

? ? 7/8租期? ---? 廣播? ---? request

5.DHCP基于全局的配置

DHCP服務(wù)規(guī)劃

配置思路：

1.全局開啟DHCP功能

2.配置IP地址池

? ? 網(wǎng)段

? ? 網(wǎng)關(guān)

? ? DNS

? ? 租期

3.在于客戶端相連的接口開啟DHCP功能

4.測試驗證

ipconfig

ping

-------------------------------

全局DHCP實驗圖

dhcp enable? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //開啟全局dhcp

ip pool p1? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //創(chuàng)建地址池并命名

network 192.168.1.0 mask 24? ? ? ? //配置分配的網(wǎng)段及掩碼

gateway-list 192.168.1.254? ? ? ? ? ? //配置分配的網(wǎng)關(guān)地址

dns-list 8.8.8.8? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //配置dns服務(wù)器地址

lease day 3? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //配置租期

interface g0/0/0

ip address 192.168.1.254 24? ? ? ? ? //配置與客戶端相連的接口ip及網(wǎng)關(guān)

dhcp select global? ? ? ? ? ? ? ? ? ? ? ? ? //配置為dhcp客戶端分配上網(wǎng)參數(shù)的方式

---------------------------------------

6.基于接口的DHCP

基于接口的DHCP

基于接口的DHCP實驗圖

dhcp enable? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //開啟全局dhcp

interface g0/0/0

ip address 192.168.1.254 24? ? ? ? ? ? ? //配置接口ip相當(dāng)于分配了網(wǎng)段及網(wǎng)關(guān)

dhcp select interface? ? ? ? ? ? ? ? ? ? ? ? ?

dhcp server dns-list 4.4.4.4? ? ? ? ? ? ? //配置dns服務(wù)器地址

dhcp server lease day 0? hour 6

dhcp server excluded-ip-address 192.168.1.66 192.168.1.253? //配置保留ip

7.DHCP中繼配置

dhcp中繼實驗圖

配置靜態(tài)路由保證線路連通：

ip route-static 192.168.1.0 24 10.10.10.2

配置DHCP服務(wù)器：

dhcp enable? ? ? ? ? ? ? ?

ip pool p1.0

network 192.168.1.0 mask 24

gateway-list 192.168.1.254

dns-list 8.8.8.8

lease day 6

excluded-ip-address 192.168.1.166

interface g0/0/0

ip address 10.10.10.1 24

dhcp select golbal? ? //接口下開啟全局DHCP功能

配置DHCP中繼：

dhcp enable

interface g0/0/1? ? ? ? ? ? //接口選擇dhcp對應(yīng)分配的網(wǎng)段的接口

dhcp select relay

dhcp relay server-ip 10.10.10.1? ? //指向DHCP服務(wù)器的ip地址

-------------------------------------------------綜合實驗----------------------------------------

綜合實驗

8.三層交換機配置dhcp

三層交換DHCP實驗圖

vlan batch 10 20

port-group group-member g0/0/ g0/0/2

port link-type trunk

port trunk allow-pass vlan all

interface Vlanif 10

ip address 192.168.1.254 24

interface Vlanif 20

ip address 192.168.2.254 24

dhcp enable

ip pool v10

network 192.168.1.0 mask 24

gateway-list 192.168.1.254

dns-list 4.4.4.4

lease day 1

interface Vlanif 10

dhcp select global

子網(wǎng)劃分

1.綜合布線六個子系統(tǒng)：

? --工作區(qū)子系統(tǒng)

? --水平子系統(tǒng)

? --管理子系統(tǒng)

? --垂直子系統(tǒng)

? --設(shè)備間子系統(tǒng)

? --建筑群子系統(tǒng)

布線使用的材料：

? 線槽： 金屬? 塑料

? 橋架： 將多個線槽或者線纜 整理起來

? 配線架： 交換機-----配線架------信息插座------上網(wǎng)終端

2.子網(wǎng)劃分

? ? ? ? 原因：ipv4地址匱乏恭取，2^32? -----私有地址

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? -----子網(wǎng)劃分

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? -----IPV6

子網(wǎng)劃分的方法：將大的網(wǎng)段劃分成多個小的網(wǎng)段

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ---向主機位借位充當(dāng)網(wǎng)絡(luò)位

192.168.1.0/24

? 192? ? ? ? .? ? ? 168? ? ? ? .? ? ? ? 1? ? .? ? ? 0?

11111111 . 11111111? ? . 1111111.00000000? /24?

--從主機位接2位充當(dāng)網(wǎng)絡(luò)位 ---意味著網(wǎng)絡(luò)位由24--變成26? 即掩碼變成26、

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? （借的兩個位置熄守，可以填充0/1任意組合）

11111111 .? 11111111? .? 11111111 .11 000000 /26

劃分成：

192.168.1.0/26? ? ? ? ? 主機范圍：0-63 可用1-62

192.168.1.64/26? ? ? ? 主機范圍：64-127 可用65-126

192.168.1.128/26? ? ? 主機范圍：128-191 可用129-190

192.168.1.192/26? ? ? 主機范圍：192-255 可用193-254

子網(wǎng)數(shù) = 2^n? ? ? ? ? n指的從主機位借的位數(shù)

子網(wǎng)的有效主機數(shù) = 2^m-2? ? ? m表示子網(wǎng)的主機位位數(shù)

變長子網(wǎng)劃分

1.VRRP協(xié)議（虛擬路由器冗余協(xié)議）

? ? ? ? ? ? ? --v2僅適用于ipv4網(wǎng)絡(luò)

? ? ? ? ? ? ? --v3適用于ipv4和ipv6

? ? ? ? ? ?--??作用：在真實網(wǎng)關(guān)之間蜈垮，實現(xiàn)一個虛擬網(wǎng)關(guān)，實現(xiàn)多個真是網(wǎng)關(guān)之間的冗余備份柠横，

? ??????????????????????及數(shù)據(jù)轉(zhuǎn)發(fā)的負載均衡窃款。

? ? ? ? ? ?-- 應(yīng)用場景：存在多個網(wǎng)關(guān)课兄，做冗余備份時牍氛，增強網(wǎng)絡(luò)中網(wǎng)關(guān)的健壯性

? ? ? ?? ? -- 原理：主網(wǎng)關(guān)會一直周期性的發(fā)送比較報文周期1s最大間隔3s,一旦備份網(wǎng)關(guān)沒有收到報文，

? ??????????則認定設(shè)備出現(xiàn)故障烟阐，從而進行設(shè)備角色的切換搬俊。如果原先的主網(wǎng)關(guān)故障恢復(fù)后紊扬，

? ??????????備份網(wǎng)關(guān)會繼續(xù)備份（搶占模式，Preempt）唉擂。

? ? ? ? ? ? ? 報文發(fā)送方式：組播發(fā)送餐屎，組播地址：224.0.0.18，協(xié)議號：112

? VRRP組成員：

? ? ? ? ? ? ? --主路由（Master）

? ? ? ? ? ? ? --備份路由（Backup）

? ? ? ? ? ? ? --虛擬路由器（Virtual）

2.vrrp的配置(所有的路由都要配置相同的玩祟，只有優(yōu)先級不同腹缩，主網(wǎng)關(guān)優(yōu)先級數(shù)值最大，如果優(yōu)先級相同空扎，比較接口IP地址藏鹊，數(shù)值越大越好)：

vrrp實驗圖

R1(MASTER):

interface g0/0/0

ip add 192.168.10.251 24? ? ? ? ? //實際接口的ip地址

?//配置VRRP虛擬路由時在網(wǎng)關(guān)中配置的，網(wǎng)關(guān)是接口層的所以應(yīng)該進入對應(yīng)的接口去配置VRRP

interface g0/0/0? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

vrrp vrid 10 virtual-ip 192.168.10.250? ? //配置虛擬路由ip地址

vrrp vrid 10 priority 200? ? ? ? ? ? ? ? ? ? ? //配置路由的優(yōu)先級转锈，默認是100

-----

R2(BACKUP):

interface g0/0/0

ip add 192.168.10.251 24

?//配置VRRP虛擬路由時在網(wǎng)關(guān)中配置的盘寡，網(wǎng)關(guān)是接口層的所以應(yīng)該進入對應(yīng)的接口去配置VRRP

interface g0/0/0? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

vrrp vrid 10 virtual-ip 192.168.10.250

-------

驗證命令：

diplay vlan? ? ?//查看vlan以及與接口的對應(yīng)關(guān)系

display vrrp? ? //查看vrrp的狀態(tài)，以及優(yōu)先級

display ip interface brief? ? //查看接口IP地址

3.VRRP常見故障：多個Master

原則：

? ? ? ? ? ? 常見原因：1.多個真實網(wǎng)關(guān)之間不通

? ? ? ? ? ? ? ? ? ? ? ? ? ? 2.兩邊配置的vrid不同

? ? ? ? ? ? ? ? ? ? ? ? ? ? 3.兩邊配置的virtrual-ip 不同

? ? ? ? ? ? ? ? ? ? ? ? ? ? 4.兩邊vrrp 認證不成功（vrrp vrid 10 authentication-mode md5 hahaha）

virtua MAC 的最后兩位是vrid的值====0000.5e00.01xx,其中xx為vrrp組號（vrid）

4.VRRP端口跟蹤：

? ? ? ? ? ? 上行端口不可用時撮慨，VRRP優(yōu)先級降低竿痰，主路由可以根據(jù)路線情況自動調(diào)整,一旦VRRP協(xié)議發(fā)現(xiàn)跟蹤的端口狀態(tài)為down，就會自動降低自己報文中的優(yōu)先級砌溺。將備份網(wǎng)關(guān)升為主網(wǎng)關(guān)影涉，僅僅需要在主網(wǎng)關(guān)上設(shè)置track就行，不用再所有網(wǎng)關(guān)上配置抚吠。

? ? ? ? ? 命令：? vrrp vrid 10 track interface g0/0/1 reduced 150

總結(jié)一句話：

? ? ? ? ? 配置VRRP的黃金法則 - 兩邊端口的VRRP命令常潮，必須完全相同

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? （除了優(yōu)先級不同，master數(shù)值最大）

vrrp內(nèi)部鏈路故障

vrrp外部鏈路故障

5.VRRP負載均衡（實驗）

vrrp負載均衡試驗圖

6.浮動路由（優(yōu)先級默認值60楷力，越小越好）

浮動路由

浮動路由實驗圖

浮動路由配置

相當(dāng)于做路由備份（數(shù)值越大喊式，優(yōu)先級越低）

ip route-static 0.0.0.0 0.0.0.0 192.168.12.2? ? //默認優(yōu)先級為60

ip route-static 0.0.0.0 0.0.0.0 192.168.90.2

ip route-static 0.0.0.0 0.0.0.0 192.168.90.2 preference 100//修改優(yōu)先級為100作為浮動路由

ACL - 訪問控制列表

1.ACL 訪問控制列表，是應(yīng)用在路由器接口的指令列表（規(guī)則）

? ? ? ? ? ? ? ? ? ---讀取第三層萧朝、四層報文頭信息（TCP/UDP/IP）

? ? ? ? ? ? ? ? ? ---根據(jù)預(yù)先定義好的規(guī)則對報文進行過濾

作用：匹配數(shù)據(jù)包岔留，實現(xiàn)數(shù)據(jù)包的控制（過濾和放行）

2.ACL類型：?

????????????????????基本ACL：編號范圍（2000-2999） 參數(shù)：源IP地址

? ? ? ? ? ? ? ? ? ? 高級ACL：編號范圍（3000-3999）? 參數(shù)：源IP地址、目的IP地址检柬、源端口献联、目的端口、協(xié)議

---ACL可以有多個條目何址，每個條目按rule 值由小到大過濾里逆，最后都沒過濾，就默認通過

3.華為基本ACL? ? ? ?

?????????????????????????-基于源IP地址過濾數(shù)據(jù)包

? ? ? ? ? ? ? ? ? ? ? ? ?-列表號是2000-2999

需求描述：

-禁止PC1網(wǎng)絡(luò)訪問服務(wù)器server1

-允許其他所有得訪問流量

------------------------------

ACL實驗圖

實驗配置思路:

1.創(chuàng)建ACL

? ? acl 2000

? ? rule 10 deny source 192.168.1.1 0.0.0.0

2.調(diào)用ACL

? ? r1：interface g0/0/1

? ? ? ? traffic-filter inbound acl 2000? //錯誤示范

3.驗證與測試

? ? display acl all? (查看設(shè)備上得所有acl)

? ? pc1:ping 192.168.100.1(不通)

? ? 此時用爪，PC1ping不通Server1同時也ping不通PC2,做法不正確原押，應(yīng)該在出接口上過濾。

正確做法：

interface g0/0/0

traffic-filter outbound acl 2000

調(diào)用原則：

基本ACL強烈建議調(diào)用在距離目標(biāo)設(shè)備近得接口上偎血，高級ACL越遠越好诸衔，可以更好的節(jié)省帶寬不占資源盯漂。

4.華為高級ACL

? ? ? ? ? ? ---基于源ip地址、目的IP地址笨农、源端口號就缆、目的端口號、協(xié)議過濾數(shù)據(jù)包

? ? ? ? ? ? ---列表號：3000-3999

實驗需求：

-允許client1訪問server1的WEB服務(wù)80端口

-允許client1訪問網(wǎng)絡(luò)192.168.2.0/24

-禁止client1訪問其他網(wǎng)絡(luò)

ACL實驗圖2

配置思路：

1.確保網(wǎng)絡(luò)互通

2.創(chuàng)建高級ACL

? acl 3000

? rule 10 permit tcp source 192.168.1.1 0? ? ? ? ? ? ? ? ? ? ? ? ? ?

? ? ? ? ? ? ? ? ? ? ? destination 192.168.3.1 0

? ? ? ? ? ? ? ? ? ? ? destination-port eq 80

? rule 20 permit ip source 192.168.1.1 0

? ? ? ? ? ? ? ? ? ? ? destination 192.168.2.0 0.0.0.255

? rule 30 deny ip source 192.168.1.1 0 destination any

3.調(diào)用高級ACL

? r1的g0/0/0接口谒亦，入方向：

? interface g0/0/0

? traffic-filter inbound acl 3000

4.測試與驗證

? client1可以獲取server1的網(wǎng)頁

? client1可以ping通2.0/24的主機：

? client1無法ping通其他的網(wǎng)段主機

-----------------------------------------------

拓撲

vrrp的配置案例

需求：

通過配置acl,實現(xiàn)vrrp報文過濾

結(jié)果：

在r1和r2上查看vrrp狀態(tài)竭宰，都是master

1.在哪里配置acl

2.在哪個接口配置acl

3.在那個方向配置acl

4.配置啥acl

5.調(diào)用acl

6.驗證

display acl all

display vrrp

配置：

必須在備份網(wǎng)關(guān)上配置，并且入向acl

acl 3000

rule 10 deny 112 source 192.168.10.1 0.0.0.0 destination 224.0.0.18 0.0.0.0

interface g0/0/0

traffic-filter inbound acl 3000

總結(jié)：

1.vrrp運行穩(wěn)定之后只有主網(wǎng)關(guān)會發(fā)送報文

2.acl不會對設(shè)備本身發(fā)起的流量起作用份招，所以在備份網(wǎng)關(guān)的入接口做ACL羞延，讓備份網(wǎng)關(guān)不收主網(wǎng)關(guān)發(fā)送報文，等待超時過后脾还，備份網(wǎng)關(guān)就成了master 網(wǎng)關(guān)了伴箩。

----------------------------------------------

ACL和traffic-filter結(jié)合在一起使用的時候隱含“允許所有”，其他的都“拒絕所有”

ACL的配置思路：

1.確定配置設(shè)備

2.確定配置接口

3.確定數(shù)據(jù)方向

4.創(chuàng)建ACL

5.調(diào)用ACL

6.驗證與測試