企業網絡部署和運維

1.三層交換機：

ip routing 打開三層交換功能。

int vlan 10

ip address ip_address netmask 配置ip位址

no switchport 配置路由接口（與路由器連接配接的時候配置位址）

switchport trunk encapsulation dot1q

switchport mode trunk 三層交換trunk，與二層交換同樣

sh ip routing 在三層交換機上檢視路由表

ip helper-address DHCPsev-IPAddress(dhcp伺服器位址）

no ip routing (給dhcp路由器去除路由功能）

dhcp伺服器中有三個vlan網段，實作三層交換機配置dhcp 中繼

2.PVST+生成樹協定

spanning-tree vlan 10 root primary （根網橋）

spanning-tree vlan 20 root secondary（從網橋）

配置速接口 spanning-tree portfast

檢視 show spanning-tree

配置交換機pvst+生成樹協定

3.配置HSRP(熱備份路由選擇協定）

sw1：int vlan 2

ip add 192.168.2.1 255.255.255.0

standby 2 ip 192.168.2.254 (配置虛拟ip位址）

standby 2 priority 150 （配置優先級）

standby 2 preempt （配置站先權）

standby 2 track fastethernet 0/1 100 （配置端口跟蹤）

standby 2 track fastethernet 0/23 100

int vlan 3

ip add 192.168.3.1 255.255.255.0

standby 3 ip 192.168.3.254

standby 3 preempt

sw2：（同sw1：）

：：：三層交換熱備份使用vlan，路由器熱備份使用接口位址，no ip routing：：：

檢視HSRP詳細資訊 show standby

4.注意ip子網劃分：

子網數=2的n次方 ，n為子網部分位數。

主機數=2的n次方-2，n為主機部分位數。

每一個子網網段第一個位址為子網位址，最後一個為廣播位址。

5.通路控制清單ACL： tcp端口及應用 21ftp，23telnet，25smtp，80http

udp端口常見 69tftp，111RPC，123ntp

标準ACL：access-list 1 deny host 192.168.2.2

access-list 1 permit any

int f0/1

ip access-group 1 in (看場景選擇選in或out)

擴充ACL: access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21

(拒絕網絡192.168.1.0/24 通路ftp伺服器192.168.2.2 ）

access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo （回顯）

（禁止網絡192.168.1.0/24 ping通伺服器192.168.2.2）

（删除已建立的擴充acl文法：no access-list access-list-number）

擴充命名ACL: ip access-list extended xuewenchang

deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21

permit ip any any

預設政策建完後以10 20 30 排列

:::删除已建立的命名ACL:no ip access-list extended access-list-name：：：

:::删除已建立的單個acl：no 10 或者 no acl語句 ::

将acl應用： int f0/1

ip access-group access-list-name in | out

檢視：show access-list

6.網絡位址轉換NAT:

靜态NAT（一對一) ip nat inside source static 192.168.1.100 61.159.62.130

(将内部局部位址192.168.1.100轉換為内部全局位址61.159.62.130）

ip nat inside source static 192.168.1.200 61.159.62.131

（将内部局部位址192.168.1.200轉換為内部全局位址61.159.62.130）

int f0/0 ip nat outside （應用接口内外網）

int f0/1 ip nat inside

配置預設路由 ip route 0.0.0.0 0.0.0.0 61.159.6.129

NAT端口映射發伺服器 ip nat inside source static tcp 192.168.100.2 80 61.159.62.131 8080 extendable(擴充）

（将web伺服器192.168.100.2的80端口轉換成了61.159.62.131的8080端口，

可以在外網通路61.159.62.131的8080端口）

ip nat inside source static tcp 192.168.100.2 25 61.159.62.131 25 extendable

(如果資料包的目的位址是61.159.62.131，端口号是25，nat将這個資料包的目的位址轉換為stmp伺服器位址）

動态NAT（多對多） int f0/0 ip add 61.159.62.130 255.255.255.192

int f1/0 ip add 192.168.100.1 255.255.255.0

access-list 22 permit 192.168.100.0 0.0.0.255 (定義内部網絡中允許通路外部網絡的acl）

ip nat pool xue1 61.159.62.131 61.159.62.190 netmask 255.255.255.192 (定義合法ip位址）

ip nat inside source list 22 pool xue1

(實作網絡位址轉換，将acl22中的局部位址轉換為xue1位址池中的全局ip位址）

：：：如果有多個合法位址池，可以重複使用上面三個指令添加位址池實作位址多對多轉換：：：

interesting f0/0 ip nat outside

interesting f0/1 ip nat inside

配置預設路由 ip route 0.0.0.0 0.0.0.0 61.159.62.129

PAT端口多路複用 access-list 33 permit any

ip ant pool xue 61.159.62.131 61.159.62.131 netmask 255.255.255.248 (定義合法的ip位址池）

ip nat inside source list 33 pool xue overload

(端口複用方式，将acl33中局部位址轉換為xue位址池中定義的全局ip位址）

7.此實驗内部網絡使用動态路由協定，需要給三台路由器都向外網回一條預設路由，動态rip配置