1.三層交換機:
ip routing 打開三層交換功能。
int vlan 10
ip address ip_address netmask 配置ip位址
no switchport 配置路由接口(與路由器連接配接的時候配置位址)
switchport trunk encapsulation dot1q
switchport mode trunk 三層交換trunk,與二層交換同樣
sh ip routing 在三層交換機上檢視路由表
ip helper-address DHCPsev-IPAddress(dhcp伺服器位址)
no ip routing (給dhcp路由器去除路由功能)
dhcp伺服器中有三個vlan網段,實作三層交換機配置dhcp 中繼
2.PVST+生成樹協定
spanning-tree vlan 10 root primary (根網橋)
spanning-tree vlan 20 root secondary(從網橋)
配置速接口 spanning-tree portfast
檢視 show spanning-tree
配置交換機pvst+生成樹協定
3.配置HSRP(熱備份路由選擇協定)
sw1:int vlan 2
ip add 192.168.2.1 255.255.255.0
standby 2 ip 192.168.2.254 (配置虛拟ip位址)
standby 2 priority 150 (配置優先級)
standby 2 preempt (配置站先權)
standby 2 track fastethernet 0/1 100 (配置端口跟蹤)
standby 2 track fastethernet 0/23 100
int vlan 3
ip add 192.168.3.1 255.255.255.0
standby 3 ip 192.168.3.254
standby 3 preempt
sw2:(同sw1:)
:::三層交換熱備份使用vlan,路由器熱備份使用接口位址,no ip routing:::
檢視HSRP詳細資訊 show standby
4.注意ip子網劃分:
子網數=2的n次方 ,n為子網部分位數。
主機數=2的n次方-2,n為主機部分位數。
每一個子網網段第一個位址為子網位址,最後一個為廣播位址。
5.通路控制清單ACL: tcp端口及應用 21ftp,23telnet,25smtp,80http
udp端口常見 69tftp,111RPC,123ntp
标準ACL:access-list 1 deny host 192.168.2.2
access-list 1 permit any
int f0/1
ip access-group 1 in (看場景選擇選in或out)
擴充ACL: access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
(拒絕網絡192.168.1.0/24 通路ftp伺服器192.168.2.2 )
access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo (回顯)
(禁止網絡192.168.1.0/24 ping通伺服器192.168.2.2)
(删除已建立的擴充acl文法:no access-list access-list-number)
擴充命名ACL: ip access-list extended xuewenchang
deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
permit ip any any
預設政策建完後以10 20 30 排列
:::删除已建立的命名ACL:no ip access-list extended access-list-name:::
:::删除已建立的單個acl:no 10 或者 no acl語句 ::
将acl應用: int f0/1
ip access-group access-list-name in | out
檢視:show access-list
6.網絡位址轉換NAT:
靜态NAT(一對一) ip nat inside source static 192.168.1.100 61.159.62.130
(将内部局部位址192.168.1.100轉換為内部全局位址61.159.62.130)
ip nat inside source static 192.168.1.200 61.159.62.131
(将内部局部位址192.168.1.200轉換為内部全局位址61.159.62.130)
int f0/0 ip nat outside (應用接口内外網)
int f0/1 ip nat inside
配置預設路由 ip route 0.0.0.0 0.0.0.0 61.159.6.129
NAT端口映射發伺服器 ip nat inside source static tcp 192.168.100.2 80 61.159.62.131 8080 extendable(擴充)
(将web伺服器192.168.100.2的80端口轉換成了61.159.62.131的8080端口,
可以在外網通路61.159.62.131的8080端口)
ip nat inside source static tcp 192.168.100.2 25 61.159.62.131 25 extendable
(如果資料包的目的位址是61.159.62.131,端口号是25,nat将這個資料包的目的位址轉換為stmp伺服器位址)
動态NAT(多對多) int f0/0 ip add 61.159.62.130 255.255.255.192
int f1/0 ip add 192.168.100.1 255.255.255.0
access-list 22 permit 192.168.100.0 0.0.0.255 (定義内部網絡中允許通路外部網絡的acl)
ip nat pool xue1 61.159.62.131 61.159.62.190 netmask 255.255.255.192 (定義合法ip位址)
ip nat inside source list 22 pool xue1
(實作網絡位址轉換,将acl22中的局部位址轉換為xue1位址池中的全局ip位址)
:::如果有多個合法位址池,可以重複使用上面三個指令添加位址池實作位址多對多轉換:::
interesting f0/0 ip nat outside
interesting f0/1 ip nat inside
配置預設路由 ip route 0.0.0.0 0.0.0.0 61.159.62.129
PAT端口多路複用 access-list 33 permit any
ip ant pool xue 61.159.62.131 61.159.62.131 netmask 255.255.255.248 (定義合法的ip位址池)
ip nat inside source list 33 pool xue overload
(端口複用方式,将acl33中局部位址轉換為xue位址池中定義的全局ip位址)
7.此實驗内部網絡使用動态路由協定,需要給三台路由器都向外網回一條預設路由,動态rip配置