二层交换机与三层交换机从外面来说,是区别不出来的,那么如何区分呢?
从型号上区分:
从配置上看,二层交换机和三层交换机都能划分VLAN,但二层交换机无路由功能 ,只能设置其中一个VLAN的IP地址,三层交换机每个VLAN都能配置IP地址。
H3C 的二层交换机和三层交换机的区别是第二个数,例如H3C S5500 和H3CS5100,第二个数字大于5是三层交换机,小于5是二层交换机 。如S5500是三层交换机 S5100是二层交换机,这只是一个简单的归类,并不是100%准确。
当所以除了看型号,我们还需要根据交换机型号查下参数。
例如我们拿到一款交换机,根据型号查看它的参数,首先要看下它的应用层级。这个数据都可以在中关村的网站上面查到。
二、从功能上区别
二层交换机和三层交换机的区别有以下5点:
1、工作层级不同
二层交换机工作在数据链路层 ,三层交换机工作在网络层 ,三层交换机不仅实现了数据包的高速转发,还可以根据不同网络状况达到最优网络性能。
2、原理不同
二层交换机的原理是当交换机从某个端口收到一个数据包,它会先读取包中的源MAC地址,再去读取包中的目的MAC地址,并在地址表中查找对应的端口,如表中有和目的MAC地址对应的端口,就把数据包直接复制到这个端口上。
三层交换机的原理比较简单,就是一次路由多次交换,通俗来说就是第一次进行源到目的的路由,三层交换机会将此数据转到二层,那么下次无论是目的到源还是源到目的都可以进行快速交换。
3、功能不同
二层交换机基于MAC地址访问,只做数据的转发,并且不能配置IP地址,而三层交换机将二层交换技术和三层转发功能结合在一起,也就是说三层交换机在二层交换机的基础上增加了路由功能,可配置不同vlan的IP地址,vlan之间可通过三层路由实现不同vlan之间通讯。
4、应用不同
二层交换机主要用于网络接入层 和汇聚层 ,而三层交换机主要用于网络核心层 ,但是也存在少部分三层交换机用于汇聚层的现象。二层交换机用于小型局域网,三层交换机用于大型局域网。
5、支持的协议不同
二层交换机支持物理层 和数据链路层协议 ,如以太网交换机,二层交换机和集线器HUB的功能差不多,而三层交换机支持物理层 、数据链路层 及网络层协议 。
大家好,今天我们来学习交流一下Cisco ASA5505防火墙(路由模式)的配置。
通过本文实验,主要了解为以下几点
1、熟悉 ASA5505防火墙的基本配置。
2、掌握 ASA5505防火墙路由模式的配置方法。
实验环境
1、思科 ASA 5505 防火墙1 台。
2、思科 3560 交换机1 台。
3、PC 机2台。
实验配置命令参考
1、配置防火墙名
ciscoasa> enable
ciscoasa# configure terminal
ciscoasa(config)# hostname asa5505
2、配置 Http、telnet和 ssh管理
asa5505(config)#username xxx password xxxxxx encrypted privilege 15
asa5505(config)#aaa authentication enable console LOCAL
asa5505(config)#aaa authentication telnet console LOCAL
asa5505(config)#aaa authentication http console LOCAL
asa5505(config)#aaa authentication ssh console LOCAL
asa5505(config)#aaa autoentication command LOCAL
asa5505(config)#http server enable //启动 HTTP server,便于 ASDM 连接。
asa5505(config)#http 192.168.1.0 255.255.255.0 inside //对内启用 ASDM 连接
asa5505(config)#telnet 192.168.1.0 255.255.255.0 inside //允许内部接口 192.168.1.0 网段telnet 防火墙
asa5505(config)#ssh 192.168.1.0 255.255.255.0 inside //设置 SSH内网地址进入
asa5505(config)#ssh 0.0.0.0 0.0.0.0 outside //对外启用 ASDM 连接 (一般禁用)
asa5505(config)#crypto key generate rsa //打开SSH服务,产生加密密钥
3、配置密码
asa5505(config)# password cisco //远程密码
asa5505(config)# enable password cisco //特权模式密码
5500 系列防火墙默认的登陆密码是 cisco,你可以使用 password xxxx 来修改这个密码 配置特权密码:enable password xxxxx
4、配置 IP
asa5505(config)# interface vlan 2 //进入 vlan2
asa5505(config-if)# ip address 218.16.37.222 255.255.255.192 //vlan2配置 IP
asa5505(config)#show ip address vlan2 //验证配置
5、端口加入 vlan
asa5505(config)# interface e0/3 //进入接口 e0/3
asa5505(config-if)# switchport access vlan 3 //接口 e0/3 加入vlan3
asa5505(config)# interface vlan 3 //进入vlan3
asa5505(config-if)# ip address 10.10.10.36 255.255.255.224 //vlan3配置 IP
asa5505(config-if)# nameif inside (外网:outside; 隔离区:dmz) //vlan3名
asa5505(config-if)#security-level 100 //定义安全级别
asa5505(config-if)# no shutdown //开启
asa5505(config-if)# show switch vlan //验证配置
6、DHCP 中继配置
asa5505(config)# dhcprelay server 201.168.200.4
asa5505(config)# dhcprelay enable inside
asa5505(config)# dhcprelay setroute inside
7、控制列表
asa5505(config)#access-list acl_out extended permit tcp any any eq www //允许tcp协议80 端口入站
asa5505(config)#access-list acl_out extended permit tcp any any eq https //允许 tcp 协议443 端口入站
asa5505(config)#access-list acl_out extended permit tcp any host 218.16.37.223 eq ftp //允许 tcp 协议 21 端口到218.16.37.223 主机
asa5505(config)#access-list acl_out extended permit tcp any host 218.16.37.226 eq 8080 //允许 tcp 协议 8080 端口到 218.16.37.226 主机
asa5505(config)#access-list 100 extended permit icmp any any //设置 ACL 列表(允许 ICMP全部通过)
asa5505(config)#access-list 100 extended permit ip any any //设置 ACL 列表(允许所有 IP全部通过)
asa5505(config)#access-group 100 in interface outside //设置ACL 列表绑定到外端口
asa5505(config)#show access-list ------------------验证配置
8、设置路由
asa5505(config)#route dmz 10.0.0.0 255.0.0.0 10.10.10.33 1 //静态路由到 10.0.0.0网段经过 10.10.10.33 网关跳数为 1
asa5505(config)#route outside 0.0.0.0 0.0.0.0 218.16.37.193 1 //默认路由到所有网段经过 218.16.37.193 网关跳数为 1
asa5505# show route ------------------显示路由信息
9、静态 NAT
asa5505(config)# static (inside,outside) 218.16.37.223 192.168.1.6 netmask 255.255.255.255
//外网218.16.37.223 映射到内网 192.168.1.6
asa5505(config)#access-list acl_out extended permit icmp any any //控制列表名acl_out 允许 ICMP协议
asa5505(config)#access-group acl_out in interface outside //控制列表 acl_out 应用到outside 接口
asa5505(config)#static (inside,dmz) 10.10.10.37 192.168.1.16 netmask 255.255.255.255 //dmz10.10.10.37 映射到内网 192.168.1.16
asa5505(config)#access-list acl_dmz extended permit icmp any any //控制列表名 acl_dmz允许 ICMP协议
asa5505(config)#access-groupacl_dmz in interface dmz //控制列表 acl_out 应用到dmz 接口
asa5505(config)#Show nat //验证配置
10、动态 NAT
asa5505(config)#global(outside) 1 218.201.35.224-218.201.35.226 //定义全局地址池
asa5505(config)#nat(inside) 1 192.168.1.20-192.168.1.22 //内部转换地址池
asa5505(config)# show nat //验证配置
11、基于端口 NAT(PAT)
asa5505(config)#global (outside) 2 interface //定义全局地址即outside地址:218.16.37.222
asa5505(config)#nat (inside) 2 0.0.0.0 0.0.0.0 0 //NAT 地址池(所有地址)0 为无最大会话数限制
asa5505(config)# show nat //验证配置
12、配置 DHCP 服务
asa5505(config)#dhcpd address 192.168.1.100-192.168.1.199 inside //设置 DHCP服务器地址池
asa5505(config)#dhcpd dns 211.99.129.210 202.106.196.115 interface inside //设置DNS服务器到内网端口
asa5505(config)#dhcpd enable inside //设置 DHCP 应用到内网端口
13、FTP 模式
asa5505(config)#ftp mode passive //开启 FTP模式
14、重复 PING 100 次
asa5505# ping 202.96.133.133 repeat 100
15、保存配置
asa5505# write memory //保存配置
实验参考拓扑
实验内容
通过防火墙的路由模式配置使内部 PC 和服务器能够访问外网,服务器对外提供 WEB、FTP服务。外网测试 PC 能够访问内网服务器网站和 FTP服务。
实验步骤
hostname ciscoasa
enable password cisco
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
interface Vlan2
nameif outside
security-level 0
ip address 192.168.28.2 255.255.255.0
interface Vlan3
nameif dmz
security-level 50
ip address 10.10.10.1 255.255.255.0
interface Ethernet0/0
switchport access vlan 2
interface Ethernet0/1
switchport access vlan 1
interface Ethernet0/2
switchport access vlan 3
interface Ethernet0/3
interface Ethernet0/4
interface Ethernet0/5
interface Ethernet0/6
interface Ethernet0/7
passwd cisco encrypted
ftp mode passive
access-list 101 extended permit tcp any host 192.168.28.100 eq www
access-list 101 extended permit tcp any host 192.168.28.100 eq ftp
access-list 100 extended permit icmp any any
access-list 100 extended permit tcp any any
access-list 100 extended permit udp any any
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
static (dmz,outside) 192.168.28.100 10.10.10.10 netmask 255.255.255.255 tcp 80 0
static (dmz,outside) 192.168.28.100 10.10.10.10 netmask 255.255.255.255 tcp 21 0
nat(inside) 1 192.168.1.1-192.168.1.254
access-group 101 in interface outside
access-group 100 in interface dmz
route outside 0.0.0.0 0.0.0.0 192.168.28.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 inside
telnet 192.168.1.0 255.255.255.0 inside
ssh 192.168.1.0 255.255.255.0 inside
crypto key generate rsa
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
dhcprelay timeout 60
class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
service-policy global_policy global
prompt hostname context
Cryptochecksum:30e219cbc04a4c919e7411de55e14a64
: end
通过 ASDM 软件配置策略,具体配置略。
实验常见问题
1、访问原则 (路由模式)
Inside 可以自由访问 outside (我们可能会想为什么包能回来,因为防火墙会检查是否这是已经建立起来的 session)
Outside 可以访问 DMZ (但必须通过 ACL,filters,AAA)
Inside 可以访问 DMZ (但必须通过 ACL,filters,AAA)
Outside 不可以访问 inside, 虽然 The outside user might attempt to reach an inside user by using an existing NAT session,但是不能成功,所以攻击是困难的
DMZ 可以访问 inside(但必须通过 ACL,filters,AAA)
2、当你在防火墙上做了 static nat 时,即把一个公网 IP影射到了一个内部私有 IP,这时你需要做一个访问控制列表,外部地址访问内部主机,并且应该应用到 outside 接口上(进来的方向),内部地址 访问外部网络时,你需要定义 ACL,并应用带 inside 接口上(进防火墙的方向
3、不能采用: static (inside,outside) int 192.168.0.10 tcp 8089 做映射,而应采用 static (inside,outside) 221.221.147.195 192.168.0.10 tcp 8089 做映射。
4、同等安全水平的接口 no nat 但如果配置了 Dyn nat,则必须匹配 NAT rule Inside----->outside 需要nat
以上为本文全部内容,如有学习需要可使用Cisco或者其它模拟软件进行模拟实验。有问题也可留言提问。感谢大家的观看。如果大家对网络技术有兴趣,欢迎大家关注。
相关问答
最简单的说。3560-E最大的接口有万兆口CiscoCatalyst3560-E为高带宽应用提供了线速万兆以太网上行链路端口,能够消除拥塞,确保数据的顺利分发。TwinGig转...
CISCOWS-C3560-48TS-E4人讨论224次围观关注问题写回答讨论回答(4)ZZH450直接应用在无线网络控制器的那个端口就行了:policy-mapdown-4mcl...
z651355816IP查交换机端口进入主交换机1、进入特权模式输入showarp|inc192.168.55.225(或者sharp192.168.55.225)可以看到19...
[回答]如何选购二手笔记本电脑呢?目前二手笔记本其非常高的性价比,是资金紧张的shou选,但是二手总有各种问题,也有奸商翻新维修以次充好的。下面几点可教...
思科交换机的命名规则要比路由的命名规则复杂,看下这些:WS-C2960-24TC-L、WS-C2950G-24-EI-DC、WS-C2960-24TT-L、WS-C3750G-24TS-E、...
思科的三层交换机(3560)是可以自己配置dhcp的,举个例子:sw(config)#servicedhcpsw(config)#ipdhcppool172.25.1.0/24sw(dhcp-...
一起装修网问答平台为您提供思科wsc3560价格是多少钱的相关答案,并为您推荐了关于思科wsc3560价格是多少钱的相关问题,一起装修网问答平台:装修问题,因我而止。
聚合是二层的概念,你可以在3560上将端口(二层)加入某个channel-group,将这个channel-group加入某个vlan,在intvlan接口上设置IP就是了。当然2960上也要将...
[回答]主板,主要还是处理芯片,如:笔记本i965比i945芯片处理能力更强,i945比i910芯片在处理数据的能力又更强些,依此类推。交换机回收系列:思科2960s、296...
一起装修网问答平台为您提供思科三层交换机型号都有哪些?的相关答案,并为您推荐了关于思科三层交换机型号都有哪些?的相关问题,一起装修网问答平台:装修问题...
