1.三層交換機:
ip routing 打開三層交換功能。
int vlan 10
ip address ip_address netmask 配置ip地址
no switchport 配置路由接口(與路由器連接的時候配置地址)
switchport trunk encapsulation dot1q
switchport mode trunk 三層交換trunk,與二層交換同樣
sh ip routing 在三層交換機上查看路由表
int vlan 10
ip helper-address DHCPsev-IPAddress(dhcp服務器地址)
no ip routing (給dhcp路由器去除路由功能)
dhcp服務器中有三個vlan網段,實現三層交換機配置dhcp 中繼
2.PVST+生成樹協議
spanning-tree vlan 10 root primary (根網橋)
spanning-tree vlan 20 root secondary(從網橋)
配置速接口 spanning-tree portfast
查看 show spanning-tree
配置交換機pvst+生成樹協議
3.配置HSRP(熱備份路由選擇協議)
sw1:int vlan 2
ip add 192.168.2.1 255.255.255.0
standby 2 ip 192.168.2.254 (配置虛擬ip地址)
standby 2 priority 150 (配置優先級)
standby 2 preempt (配置站先權)
standby 2 track fastethernet 0/1 100 (配置端口跟蹤)
standby 2 track fastethernet 0/23 100
int vlan 3
ip add 192.168.3.1 255.255.255.0
standby 3 ip 192.168.3.254
standby 3 preempt
sw2:(同sw1:)
:::三層交換熱備份使用vlan,路由器熱備份使用接口地址,no ip routing:::
查看HSRP詳細信息 show standby
4.注意ip子網劃分:
子網數=2的n次方 ,n爲子網部分位數。
主機數=2的n次方-2,n爲主機部分位數。
每一個子網網段第一個地址爲子網地址,最後一個爲廣播地址。
5.訪問控制列表ACL: tcp端口及應用 21ftp,23telnet,25smtp,80http
udp端口常見 69tftp,111RPC,123ntp
標準ACL:access-list 1 deny host 192.168.2.2
access-list 1 permit any
int f0/1
ip access-group 1 in (看場景選擇選in或out)
擴展ACL: access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
(拒絕網絡192.168.1.0/24 訪問ftp服務器192.168.2.2 )
access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo (回顯)
(禁止網絡192.168.1.0/24 ping通服務器192.168.2.2)
(刪除已建立的擴展acl語法:no access-list access-list-number)
擴展命名ACL: ip access-list extended xuewenchang
deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
permit ip any any
默認策略建完後以10 20 30 排列
:::刪除已建立的命名ACL:no ip access-list extended access-list-name:::
:::刪除已建立的單個acl:no 10 或者 no acl語句 ::
將acl應用: int f0/1
ip access-group access-list-name in | out
查看:show access-list
6.網絡地址轉換NAT:
靜態NAT(一對一) ip nat inside source static 192.168.1.100 61.159.62.130
(將內部局部地址192.168.1.100轉換爲內部全局地址61.159.62.130)
ip nat inside source static 192.168.1.200 61.159.62.131
(將內部局部地址192.168.1.200轉換爲內部全局地址61.159.62.130)
int f0/0 ip nat outside (應用接口內外網)
int f0/1 ip nat inside
配置默認路由 ip route 0.0.0.0 0.0.0.0 61.159.6.129
NAT端口映射發服務器 ip nat inside source static tcp 192.168.100.2 80 61.159.62.131 8080 extendable(擴展)
(將web服務器192.168.100.2的80端口轉換成了61.159.62.131的8080端口,
可以在外網訪問61.159.62.131的8080端口)
ip nat inside source static tcp 192.168.100.2 25 61.159.62.131 25 extendable
(如果數據包的目的地址是61.159.62.131,端口號是25,nat將這個數據包的目的地址轉換爲stmp服務器地址)
動態NAT(多對多) int f0/0 ip add 61.159.62.130 255.255.255.192
int f1/0 ip add 192.168.100.1 255.255.255.0
access-list 22 permit 192.168.100.0 0.0.0.255 (定義內部網絡中允許訪問外部網絡的acl)
ip nat pool xue1 61.159.62.131 61.159.62.190 netmask 255.255.255.192 (定義合法ip地址)
ip nat inside source list 22 pool xue1
(實現網絡地址轉換,將acl22中的局部地址轉換爲xue1地址池中的全局ip地址)
:::如果有多個合法地址池,可以重複使用上面三個命令添加地址池實現地址多對多轉換:::
interesting f0/0 ip nat outside
interesting f0/1 ip nat inside
配置默認路由 ip route 0.0.0.0 0.0.0.0 61.159.62.129
PAT端口多路複用 access-list 33 permit any
ip ant pool xue 61.159.62.131 61.159.62.131 netmask 255.255.255.248 (定義合法的ip地址池)
ip nat inside source list 33 pool xue overload
(端口複用方式,將acl33中局部地址轉換爲xue地址池中定義的全局ip地址)
interesting f0/0 ip nat outside
interesting f0/1 ip nat inside
配置默認路由 ip route 0.0.0.0 0.0.0.0 61.159.62.129
7.此實驗內部網絡使用動態路由協議,需要給三臺路由器都向外網回一條默認路由,動態rip配置
