VTP協議
Switch(config)#vtp domain (name)設置VTP域名
Switch(config)#vtp mode server/transparent/client設置VTP模式,服務/透明/客戶/
Switch(config)#vtp password 123 設置VTP密碼
Switch(cofnig)#vtp pruning 設置VTP修剪
Switch#show vtp status 查看VTP狀態信息
Switch#show vlan brief 查看VLAN信息
==========================================================================================
------------------------------------------------------------------------------------------
STP協議
Switch(cofnig)#spanning-tree vlan 1 啓用生成樹
Switch(config)#spanning-tree vlan 2 root primary / secondary 配置交換機爲根網橋、主要的/次要的
Switch(config)#spanning-tree vlan 2 priority 8192 修改交換機的優先級
Switch(config-if)#spanning-tree vlan 2 cost 100/19/4/2 修改端口路徑成本
Switch(config-if)#spanning-tree vlan 2 port-priority 50 修改端口路徑優先級(端口十進制取值0~255,默認值事128)
Switch(config)#spanning-tree uplinkfast 配置上行速鏈路
Switch(config)#interface range f0/1 - 20 (爲除TRUNK鏈路外的接口配速端口)
Switch(config-if)#spanning-tree portfast 配置速端口
Switch#show spanning-tree 查看生成樹信息 (在小凡模擬器上show spanning-tree br)
以太網通道配置
Switch(config)#interface range fasteternet 0/1 - 2 (爲1、2端口配置以太網端口
Switch(config-if-range)#channel-group 1 mode on (把綁在一起成爲組1
Switch#show etherchannel 1 summary 查看以太網通道的配置是否正確
==========================================================================================
------------------------------------------------------------------------------------------
3層交換機的配置
1、在3層交換機上啓動路由,否則3層交換不具有路由功能
switch(config)#ip routing
Switch(config)#vtp domain (name)設置VTP域名
Switch(config)#vtp mode server/transparent/client設置VTP模式,服務/透明/客戶/
Switch(config)#vtp password 123 設置VTP密碼
Switch(cofnig)#vtp pruning 設置VTP修剪
Switch#show vtp status 查看VTP狀態信息
Switch#show vlan brief 查看VLAN信息
==========================================================================================
------------------------------------------------------------------------------------------
STP協議
Switch(cofnig)#spanning-tree vlan 1 啓用生成樹
Switch(config)#spanning-tree vlan 2 root primary / secondary 配置交換機爲根網橋、主要的/次要的
Switch(config)#spanning-tree vlan 2 priority 8192 修改交換機的優先級
Switch(config-if)#spanning-tree vlan 2 cost 100/19/4/2 修改端口路徑成本
Switch(config-if)#spanning-tree vlan 2 port-priority 50 修改端口路徑優先級(端口十進制取值0~255,默認值事128)
Switch(config)#spanning-tree uplinkfast 配置上行速鏈路
Switch(config)#interface range f0/1 - 20 (爲除TRUNK鏈路外的接口配速端口)
Switch(config-if)#spanning-tree portfast 配置速端口
Switch#show spanning-tree 查看生成樹信息 (在小凡模擬器上show spanning-tree br)
以太網通道配置
Switch(config)#interface range fasteternet 0/1 - 2 (爲1、2端口配置以太網端口
Switch(config-if-range)#channel-group 1 mode on (把綁在一起成爲組1
Switch#show etherchannel 1 summary 查看以太網通道的配置是否正確
==========================================================================================
------------------------------------------------------------------------------------------
3層交換機的配置
1、在3層交換機上啓動路由,否則3層交換不具有路由功能
switch(config)#ip routing
2、配置VLAN的IP地址
switch(config)#interface vlan 1 因爲3層交換機支持各VLAN間的路由,因此每個VLAN都可以配置IP地址
switch(config-if)#ip address 192.168.1.1 255.255.255.0
switch(config-if)#no shutdown
switch(config)#interface vlan 1 因爲3層交換機支持各VLAN間的路由,因此每個VLAN都可以配置IP地址
switch(config-if)#ip address 192.168.1.1 255.255.255.0
switch(config-if)#no shutdown
3、查看FIB表
switch #show ip cef
switch #show ip cef
4、查看鄰接關係表
switch#show adjacency detail
switch#show adjacency detail
5、在3層交換機上配置路由接口
switch(config-if)#no switchport (配置接口爲3層模式, 意思就是取消switch的接口)
6、在3層交換機上配置靜態路由或動態路由
與在ROUTE上配置路由方法都是相同的
switch(config-if)#no switchport (配置接口爲3層模式, 意思就是取消switch的接口)
6、在3層交換機上配置靜態路由或動態路由
與在ROUTE上配置路由方法都是相同的
7、配置DHCP中繼轉發
switch(cofig)#interface vlan 2
switch(config-if)#ip helper-address 192.168.2.100
switch(cofig)#interface vlan 2
switch(config-if)#ip helper-address 192.168.2.100
---------------------------------------------------
解決實例;
下面的配置命令,可以配置路由器爲DHCP服務器,用以給DHCP客戶端動態分配ip地址。
Router1#configure terminal
Router1(config)#service dhcp //開啓 DHCP 服務
Router1(config)#ip dhcp pool 172.25.1.0/24 //定義DHCP地址池
Router1(dhcp-config)#network 172.25.1.0 255.255.255.0 // 用network 命令來定義網絡地址的範圍
Router1(dhcp-config)#default-router 172.25.1.1 //定義要分配的網關地址
Router1(dhcp-config)#dns-server 192.168.1.1 配置DNS服務器
Router1(dhcp-config)#exit
解決實例;
下面的配置命令,可以配置路由器爲DHCP服務器,用以給DHCP客戶端動態分配ip地址。
Router1#configure terminal
Router1(config)#service dhcp //開啓 DHCP 服務
Router1(config)#ip dhcp pool 172.25.1.0/24 //定義DHCP地址池
Router1(dhcp-config)#network 172.25.1.0 255.255.255.0 // 用network 命令來定義網絡地址的範圍
Router1(dhcp-config)#default-router 172.25.1.1 //定義要分配的網關地址
Router1(dhcp-config)#dns-server 192.168.1.1 配置DNS服務器
Router1(dhcp-config)#exit
Router1(config)#ip dhcp excluded-address 172.25.1.1 172.25.1.50 //該範圍內的ip地址不能分配給客戶端
Router1(config)#ip dhcp excluded-address 172.25.1.200 172.25.1.255 //該範圍內的ip地址不能分配給客戶端
Router1(config)#end
Router1#
============================================================================================
--------------------------------------------------------------------------------------------
PPP協議
配置PAP認證
PPP認證爲PAP和CHAP兩種
1、主認證端DCE 的PAP配置 ; 在主認證端添加被認證用戶的用戶名和密碼
R1(config)#username R1 password 0 123 (password 參數後面的0表示密碼是爲文明保存的
R1(config)#interface s0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0 (配置S0/0的接口IP)
R1(config-if)#encapsulation ppp (把S0/0封裝PPP協議)
R1(config-if)#ppp authentication pap (啓動認證PAP協議)
R1(config-if)#clock rate 64000 (配置DCE接口的時鐘)
R1(config-if)#no shutdown
Router1(config)#ip dhcp excluded-address 172.25.1.200 172.25.1.255 //該範圍內的ip地址不能分配給客戶端
Router1(config)#end
Router1#
============================================================================================
--------------------------------------------------------------------------------------------
PPP協議
配置PAP認證
PPP認證爲PAP和CHAP兩種
1、主認證端DCE 的PAP配置 ; 在主認證端添加被認證用戶的用戶名和密碼
R1(config)#username R1 password 0 123 (password 參數後面的0表示密碼是爲文明保存的
R1(config)#interface s0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0 (配置S0/0的接口IP)
R1(config-if)#encapsulation ppp (把S0/0封裝PPP協議)
R1(config-if)#ppp authentication pap (啓動認證PAP協議)
R1(config-if)#clock rate 64000 (配置DCE接口的時鐘)
R1(config-if)#no shutdown
2,被認證端DTE 的PAP配置
R2(config)#interface s0/0
R2(config-if)#ip address 192.168.1.2 255.255.255.0 (配置IP地址)
R2(config-if)#encapsulation ppp (SO/0封裝PPP協議)
R2(config-if)#ppp pap sent-username R1 password 0 123 (發起用戶密碼認證;在被認證端配置的用戶名和密碼必須和與在主認證端配置的用戶名和密碼相同)
R2(config-if)#no shutdown
-------------------------------------------
配置CHAP認證
服務器配置R1
R1(config)#username R2 password 0 123 配置用戶名和密碼(用戶名爲對方的用戶名,也可以隨便一個不同的名,必須是唯一的,密碼必須和被認證方的是一樣的密碼)
R1(config)#interface s0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0 (配置接口IP地址)
R1(config-if)#encapsulation ppp (封裝PPP協議在S0/0接口)
R1(config-if)#clock rate 64000 (DCE接口方配置時鐘,只能在DCE方配置,其他方不可以)
R1(config-if)#ppp authentication chap (啓動CHAP協議,直接翻譯爲PPP認證CHAP協議)
R1(config-if)#no shutdown
R2(config)#interface s0/0
R2(config-if)#ip address 192.168.1.2 255.255.255.0 (配置IP地址)
R2(config-if)#encapsulation ppp (SO/0封裝PPP協議)
R2(config-if)#ppp pap sent-username R1 password 0 123 (發起用戶密碼認證;在被認證端配置的用戶名和密碼必須和與在主認證端配置的用戶名和密碼相同)
R2(config-if)#no shutdown
-------------------------------------------
配置CHAP認證
服務器配置R1
R1(config)#username R2 password 0 123 配置用戶名和密碼(用戶名爲對方的用戶名,也可以隨便一個不同的名,必須是唯一的,密碼必須和被認證方的是一樣的密碼)
R1(config)#interface s0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0 (配置接口IP地址)
R1(config-if)#encapsulation ppp (封裝PPP協議在S0/0接口)
R1(config-if)#clock rate 64000 (DCE接口方配置時鐘,只能在DCE方配置,其他方不可以)
R1(config-if)#ppp authentication chap (啓動CHAP協議,直接翻譯爲PPP認證CHAP協議)
R1(config-if)#no shutdown
客服端R2
R2(config)#username R1 password 0 123 (配置用戶名和密碼,用戶名爲對方的或隨便一個不同的名必須是唯一,密碼必須和服務器端一樣的)
R2(config)#interface s0/0
R2(config-if)#ip addres 192.168.1.2 255.255.255.0 (配置S0/0接口的IP地址)
R2(config-if)#encapsulation ppp (封裝PPP協議在S0/0接口)
R2(config-if)#ppp authentication chap(啓動CHAP協議,雙方必須都啓動CHAP協議)
R2(config-if)#no shutdown
R2#ping 192.168.1.1
---------------
查看PPP的配置
router#show interface serial 0/1
internet address will be negotiated using IPCP:接口的IP地址是通過IPCP協議協商的
LCP Open:LCP協議的狀態爲Open,協議工作正常
Open:IPCP,CDPCP狀態爲Open,協議工作正常
調試命令
router#debug PPP packet
=====================================================================================================
-----------------------------------------------------------------------------------------------------
熱備份路由協議HSRP(Hot Standby Router Rrotocol)(CISCO專有的協議)
通過使用同一個虛擬IP地址和虛擬MAC地址,爲IP網絡提供容錯和增強的路由選擇功能。
R2(config)#username R1 password 0 123 (配置用戶名和密碼,用戶名爲對方的或隨便一個不同的名必須是唯一,密碼必須和服務器端一樣的)
R2(config)#interface s0/0
R2(config-if)#ip addres 192.168.1.2 255.255.255.0 (配置S0/0接口的IP地址)
R2(config-if)#encapsulation ppp (封裝PPP協議在S0/0接口)
R2(config-if)#ppp authentication chap(啓動CHAP協議,雙方必須都啓動CHAP協議)
R2(config-if)#no shutdown
R2#ping 192.168.1.1
---------------
查看PPP的配置
router#show interface serial 0/1
internet address will be negotiated using IPCP:接口的IP地址是通過IPCP協議協商的
LCP Open:LCP協議的狀態爲Open,協議工作正常
Open:IPCP,CDPCP狀態爲Open,協議工作正常
調試命令
router#debug PPP packet
=====================================================================================================
-----------------------------------------------------------------------------------------------------
熱備份路由協議HSRP(Hot Standby Router Rrotocol)(CISCO專有的協議)
通過使用同一個虛擬IP地址和虛擬MAC地址,爲IP網絡提供容錯和增強的路由選擇功能。
終端設備發現可用路由器有下面幾中方式:
默認網關(Default Gateway),代理ARP(Proxy ARP),ICMP路由器發現協議(ICMP Router Discovery Protocol ,IRDP)。
默認網關(Default Gateway),代理ARP(Proxy ARP),ICMP路由器發現協議(ICMP Router Discovery Protocol ,IRDP)。
--各路由的作用:
--活躍路由器的功能是轉發發送到虛擬路由器的數據包。
--備份路由器的功能是監視HSRP組的運行狀態。
--虛擬路由器(即該LAN上的網關)的功能是向最終用戶代表一臺可以連續工作的路由器。
HSRP備份組可以包含其他路由器,這些路由器監視Hello消息,但不做應答,這些路由器轉發任何經由它們的數據包。
HSRP的6種狀態,0初始,1學習,2監聽,4發言,8備份,16活躍
----* HSRP的基本配置
1,將路由器配置爲HSRP的成員
routerA(config)#interface f0/1
routerA(config-if)#standby (group-number) ip (virtual-ip-address)
變量group-number(任選)--指示該端口所屬的HSRP組。默認組爲0,可選0~255.
變量virtual-ip-address(任選)---指虛擬HSRP路由器的IP地址
--活躍路由器的功能是轉發發送到虛擬路由器的數據包。
--備份路由器的功能是監視HSRP組的運行狀態。
--虛擬路由器(即該LAN上的網關)的功能是向最終用戶代表一臺可以連續工作的路由器。
HSRP備份組可以包含其他路由器,這些路由器監視Hello消息,但不做應答,這些路由器轉發任何經由它們的數據包。
HSRP的6種狀態,0初始,1學習,2監聽,4發言,8備份,16活躍
----* HSRP的基本配置
1,將路由器配置爲HSRP的成員
routerA(config)#interface f0/1
routerA(config-if)#standby (group-number) ip (virtual-ip-address)
變量group-number(任選)--指示該端口所屬的HSRP組。默認組爲0,可選0~255.
變量virtual-ip-address(任選)---指虛擬HSRP路由器的IP地址
2從HSRP組中取消一個端口
routerA(config)#interface fastethernet 0/1
routerA(config-if)#no standby group ip 那麼路由A的F0/1端口就脫離了備份組
routerA(config)#interface fastethernet 0/1
routerA(config-if)#no standby group ip 那麼路由A的F0/1端口就脫離了備份組
關閉端口重定向功能,
router(config-if)#no ip redirects
router(config-if)#no ip redirects
3,配置HSRP的優先級
router(config-if)#standby (group-number) priority (priority-value)
優先級可選0~255,默認爲100
router(config-if)#standby (group-number) priority (priority-value)
優先級可選0~255,默認爲100
4,配置HSRP的佔先權
要想原來的活躍路由能夠從優先級較低的新活躍路由器那裏重新取回轉發權:
router(config-if)#standby (group-number) preempt(一般兩臺路由器都配置)
要想原來的活躍路由能夠從優先級較低的新活躍路由器那裏重新取回轉發權:
router(config-if)#standby (group-number) preempt(一般兩臺路由器都配置)
5,配置Hello消息的計時器
router(config-if)#standby (group-number) times (helltime)(holdtime)
Hello間隔時間默認爲3s,可選1~255。 保持時間最少是Hello時間的3倍,默認爲10s
router(config-if)#standby (group-number) times (helltime)(holdtime)
Hello間隔時間默認爲3s,可選1~255。 保持時間最少是Hello時間的3倍,默認爲10s
6,配置端口跟蹤
router(config-if)#standby group-number track type-number interface-priority
group-number爲組號,type說明了將跟蹤端口的端口類型(serial/fastethernet)
number說明跟蹤的端口編號,interface-priority(任選)說明當跟蹤的端口失效時路由器的熱備份優先級將降低的數值。
當端口變爲可用時,路由器的優先級將加上該數值。默認爲10
router(config-if)#no standby track (關閉端口跟蹤
router(config-if)#standby group-number track type-number interface-priority
group-number爲組號,type說明了將跟蹤端口的端口類型(serial/fastethernet)
number說明跟蹤的端口編號,interface-priority(任選)說明當跟蹤的端口失效時路由器的熱備份優先級將降低的數值。
當端口變爲可用時,路由器的優先級將加上該數值。默認爲10
router(config-if)#no standby track (關閉端口跟蹤
7,檢查HSRP的狀態
router#show standby (rype-number) (group) brief
type-number(任選)說明要顯示的目標端口類型和序號
group(任選)說明了要顯示端口的某個具體HSRP組
router#show standby
router#show standby (rype-number) (group) brief
type-number(任選)說明要顯示的目標端口類型和序號
group(任選)說明了要顯示端口的某個具體HSRP組
router#show standby
8,啓動調測功能
router#debug standby (該命令可能會將該路由器系統資源耗盡,實際使用中應該特別小心。
------------------------------------------------------------------------------------------------
===============================================================================================
訪問控制列表ACL(access control list)
.........................................
標準訪問控制列表配置命令
1,標準訪問控制列表根據包的源IP地址來允許(permit)或拒絕(deny)數據包
R1(config)#access-list (access-list-number) permit / deny (source-address) [log]
例:R1(config)#access-list 1 permit 172.16.2.0 0.0.0.255
access-list-number是訪問控制列表表號,(標準ACL是1~99)
source-address 爲源IP地址例:192.168.1.10 0.0.0.255
LOG爲可選項,-----生成日誌信息(我一般不寫)
router#debug standby (該命令可能會將該路由器系統資源耗盡,實際使用中應該特別小心。
------------------------------------------------------------------------------------------------
===============================================================================================
訪問控制列表ACL(access control list)
.........................................
標準訪問控制列表配置命令
1,標準訪問控制列表根據包的源IP地址來允許(permit)或拒絕(deny)數據包
R1(config)#access-list (access-list-number) permit / deny (source-address) [log]
例:R1(config)#access-list 1 permit 172.16.2.0 0.0.0.255
access-list-number是訪問控制列表表號,(標準ACL是1~99)
source-address 爲源IP地址例:192.168.1.10 0.0.0.255
LOG爲可選項,-----生成日誌信息(我一般不寫)
2,access-group命令:ACL與進、出站接口聯繫起來
R1(config)#interface serial 0/0
R1(config-if)#ip access-group (access-list-number) in / out
例:R1(config)#ip access-group 1 out
把access-list-number-------爲ACL表號,這裏是指出這一接口鏈接到那ACL表號
in/out 把這ACL表號應用到這接口的in或out方向
R1(config)#interface serial 0/0
R1(config-if)#ip access-group (access-list-number) in / out
例:R1(config)#ip access-group 1 out
把access-list-number-------爲ACL表號,這裏是指出這一接口鏈接到那ACL表號
in/out 把這ACL表號應用到這接口的in或out方向
擴展訪問控制列表
1,擴展訪問控制列表通過啓用基於源和目的地址、傳輸層協議和應用層端口號的過濾來提供更高程度的控制
2,擴展訪問控制列表行中的每一個條件都必須匹配才認爲該行被匹配,纔會施加允許或拒絕條件。
R2(config)#access-list (access-list-number) permit / deny (protocol) (source ip-address)
(destination ip-address) (operator operan) [log]
例:R2(config)#access-list 110 deny TCP 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255 ed 80
(access-list-number )擴展ACL的表號,100~199數字標識擴展ACL
(protocol)用來指定協議類型如IP、TCP、UDP、ICMP、GRE、以及IGRP
(source ip-address)源IP地址192.168.1.0 0.0.0.255 (反碼)
(destination ip-address)目標IP地址172.16.0.0 0.0.255.255(反碼)
(operator operan)---lt(小於),gt(大於),eq(等於) ,neq(不等於) 和一個端口號
1,擴展訪問控制列表通過啓用基於源和目的地址、傳輸層協議和應用層端口號的過濾來提供更高程度的控制
2,擴展訪問控制列表行中的每一個條件都必須匹配才認爲該行被匹配,纔會施加允許或拒絕條件。
R2(config)#access-list (access-list-number) permit / deny (protocol) (source ip-address)
(destination ip-address) (operator operan) [log]
例:R2(config)#access-list 110 deny TCP 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255 ed 80
(access-list-number )擴展ACL的表號,100~199數字標識擴展ACL
(protocol)用來指定協議類型如IP、TCP、UDP、ICMP、GRE、以及IGRP
(source ip-address)源IP地址192.168.1.0 0.0.0.255 (反碼)
(destination ip-address)目標IP地址172.16.0.0 0.0.255.255(反碼)
(operator operan)---lt(小於),gt(大於),eq(等於) ,neq(不等於) 和一個端口號
ACL的通配符
1,通配符any
例:ACL允許訪問任何目的地址:
router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
可以改寫成:
router(config)#access-list 1 permit any
1,通配符any
例:ACL允許訪問任何目的地址:
router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
可以改寫成:
router(config)#access-list 1 permit any
2,通配符host
例:ACL拒絕特定的主機地址
router(config)#access-list 1 permit 172.16.1.10 0.0.0.0
可以改寫成:
router(config)#access-list 1 permit host 172.16.1.10
例:ACL拒絕特定的主機地址
router(config)#access-list 1 permit 172.16.1.10 0.0.0.0
可以改寫成:
router(config)#access-list 1 permit host 172.16.1.10
查看ACL列表
顯示IP接口信息
router# show ip interface fastethernet 0/0
顯示所有ACL的內容
router#show access-list
顯示IP接口信息
router# show ip interface fastethernet 0/0
顯示所有ACL的內容
router#show access-list
**基本類型的訪問控制列表**
標準訪問控制列表
擴展訪問控制列表
**其他種類的訪問控制列表**
基於MAC地址的訪問控制列表
基於時間的訪問控制列表
標準訪問控制列表
擴展訪問控制列表
**其他種類的訪問控制列表**
基於MAC地址的訪問控制列表
基於時間的訪問控制列表
----------------------------------------------------------------------------------------------------
====================================================================================================
網絡地址轉換(network address translation NAT)
通過將內部私網的IP地址翻譯成全球唯一的公網IP地址
NAT的實現方式:
#靜態轉換(static translation)
#動態轉換(dynamic translatin)
#端口多路複用(port address translation ,PAT)
====================================================================================================
網絡地址轉換(network address translation NAT)
通過將內部私網的IP地址翻譯成全球唯一的公網IP地址
NAT的實現方式:
#靜態轉換(static translation)
#動態轉換(dynamic translatin)
#端口多路複用(port address translation ,PAT)
靜態NAT的配置:
靜態轉換就是將內部網絡的私有IP地址轉換爲公有合法IP地址。IP地址的對應關係是一對一的,即某個私有IP只轉換成某個固定的公有合法IP地址。
靜態轉換就是將內部網絡的私有IP地址轉換爲公有合法IP地址。IP地址的對應關係是一對一的,即某個私有IP只轉換成某個固定的公有合法IP地址。
1,在路由配置私有網關全局內部IP
R1(config)# interface serial f0/0
R1(config-if)#ip address 61.159.62.129 255.255.255.248
配置全局內部IP
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.100.1 255.255.255.0
2,在內部局部和內部全局地址之間建立靜態地址轉換
R1(config)#ip nat inside source static (local-ip global-ip)
例:
R1(config)#ip nat inside source static 192.168.100.2 61.159.62.130
R1(config)#ip nat inside source static 192.168.100.3 61.159.62.131
R1(config)#ip nat inside source static 192.168.100.4 61.159.62.132
3,在內部和外部接口上啓用NAT
R1(config)#interface serial 0/0
R1(config-if)#ip nat outside
R1(config)#interface f0/0
R1(config-if)#ip nat inside
R1(config)# interface serial f0/0
R1(config-if)#ip address 61.159.62.129 255.255.255.248
配置全局內部IP
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.100.1 255.255.255.0
2,在內部局部和內部全局地址之間建立靜態地址轉換
R1(config)#ip nat inside source static (local-ip global-ip)
例:
R1(config)#ip nat inside source static 192.168.100.2 61.159.62.130
R1(config)#ip nat inside source static 192.168.100.3 61.159.62.131
R1(config)#ip nat inside source static 192.168.100.4 61.159.62.132
3,在內部和外部接口上啓用NAT
R1(config)#interface serial 0/0
R1(config-if)#ip nat outside
R1(config)#interface f0/0
R1(config-if)#ip nat inside
動態NAT配置:
動態轉換是指將內部網絡的私有地址轉換爲公有合法地址時,對應關係是不確定的,是隨機的。
1,在內部和外部端口配置私有IP跟合法IP
R2(config-if)#ip address 61.159.62.129 255.255.255.192
R2(config-if)#ip address 172.16.100.1 255.255.255.0
2,定義內部網絡中允許訪問外部網絡的訪問控制列表
R2(config)#access-list (access-list-number)permit (source ip-address)
access-list-number爲1~99之間數字
R2(config)#access-list 1 permit 172.16.100.0 0.0.0.255
動態轉換是指將內部網絡的私有地址轉換爲公有合法地址時,對應關係是不確定的,是隨機的。
1,在內部和外部端口配置私有IP跟合法IP
R2(config-if)#ip address 61.159.62.129 255.255.255.192
R2(config-if)#ip address 172.16.100.1 255.255.255.0
2,定義內部網絡中允許訪問外部網絡的訪問控制列表
R2(config)#access-list (access-list-number)permit (source ip-address)
access-list-number爲1~99之間數字
R2(config)#access-list 1 permit 172.16.100.0 0.0.0.255
3,定義合法地址池
R2(config)#ip nat pool (pooname) (star-ip end-ip) netmask (netmask) prefix-leng 24 type rotary
pool poolname地址池名字
star-ip eng-ip 地址池內起始和終止IP地址
netmask netmask :填子網掩碼
prefix-length 24 :子網掩碼,以掩碼中1的數量表示。兩種掩碼錶示方式,任意使用一種
R2(config)#ip nat pool test0 61.159.62.130 61.159.62.192 netmask 255.255.255.192
R2(config)#ip nat pool (pooname) (star-ip end-ip) netmask (netmask) prefix-leng 24 type rotary
pool poolname地址池名字
star-ip eng-ip 地址池內起始和終止IP地址
netmask netmask :填子網掩碼
prefix-length 24 :子網掩碼,以掩碼中1的數量表示。兩種掩碼錶示方式,任意使用一種
R2(config)#ip nat pool test0 61.159.62.130 61.159.62.192 netmask 255.255.255.192
4,實現網絡地址轉換
R2(config)#ip nat inside source list 1 pool test0
把list 1 轉換成 test0
R2(config)#ip nat inside source list 1 pool test0
把list 1 轉換成 test0
5.在接口上啓用NAT
R2(config)#interface serial 0/0
R2(config-if)#ip nat outside
R2(config)#interface f0/0
R2(config-if)#ip nat inside
-----------------------
PAT的配置
端口多路複用是改變外出數據包的源IP地址和源端口並進行端口轉換,即端口地址轉換採用端口多路複用方式
R2(config)#interface serial 0/0
R2(config-if)#ip nat outside
R2(config)#interface f0/0
R2(config-if)#ip nat inside
-----------------------
PAT的配置
端口多路複用是改變外出數據包的源IP地址和源端口並進行端口轉換,即端口地址轉換採用端口多路複用方式
1,配置內外部的端口IP地址:
...........不寫
2,定義內部標準訪問控制列表
R3(config)#access-list 1 permit 10.10.10.0 0.0.0.255
R3(config)#access-list 2 permit 20.20.20.0 0.0.0.255
R3(config)#access-list 3 permit 30.30.30.0 0.0.0.255
有多個網段要訪問外網
...........不寫
2,定義內部標準訪問控制列表
R3(config)#access-list 1 permit 10.10.10.0 0.0.0.255
R3(config)#access-list 2 permit 20.20.20.0 0.0.0.255
R3(config)#access-list 3 permit 30.30.30.0 0.0.0.255
有多個網段要訪問外網
3,定義合法IP地址池
R3(config)#ip nat pool poolname 202.96.128.166 202.96.128.166 netmask 255.255.255.128
由於只有一個地址,開始地址和終止地址都是相同的
R3(config)#ip nat pool poolname 202.96.128.166 202.96.128.166 netmask 255.255.255.128
由於只有一個地址,開始地址和終止地址都是相同的
4,設置複用動態IP地址轉換
R3(config)#ip nat inside source list 1 pool poolname overload
R3(config)#ip nat inside source list 2 pool poolname overload
R3(config)#ip nat inside source list 3 pool poolname overload
以爲多個網段要訪問外網,所以就必須把幾個允許的網段都配上
R3(config)#ip nat inside source list 1 pool poolname overload
R3(config)#ip nat inside source list 2 pool poolname overload
R3(config)#ip nat inside source list 3 pool poolname overload
以爲多個網段要訪問外網,所以就必須把幾個允許的網段都配上
5,在端口上啓用NAT
R3(config)#interface serial 0/0
R3(config-if)#ip nat outside
R3(config)#interface f0/0
R3(config-if)#ip nat inside
R3(config)#interface serial 0/0
R3(config-if)#ip nat outside
R3(config)#interface f0/0
R3(config-if)#ip nat inside
1.2,複用路由外部接哭地址
1,設置內外部接口IP地址
..........不寫(同上)
2,定義內部訪問控制列表
.............不寫(同上)
3,定義合法IP地址池
.....由於是直接使用外部接口地址,所以不用再定義IP地址池
4,設置複用動態IP地址轉換
R3(config)#ip nat inside source list 1 interface s0/0 overload
5,在接口上啓用NAT
.0........不寫(同上)
TCP負載均衡配置
1,設置內外部端口的IP地址
.........同上,不寫
2,爲虛擬主機定義一個NAT地址集
R3(config)#access-list 2 permit 10.10.10.200
3,給真實主機定義一個NAT地址集
R3(config)#ip nat pool real-host 10.10.10.1 10.10.10.3 prefis-length 24 type rotary
真實主機地址爲10.10.10.1~10.10.10.3 ,網絡前綴長度爲24位,該地址集爲循環(rotary)型
1,設置內外部端口的IP地址
.........同上,不寫
2,爲虛擬主機定義一個NAT地址集
R3(config)#access-list 2 permit 10.10.10.200
3,給真實主機定義一個NAT地址集
R3(config)#ip nat pool real-host 10.10.10.1 10.10.10.3 prefis-length 24 type rotary
真實主機地址爲10.10.10.1~10.10.10.3 ,網絡前綴長度爲24位,該地址集爲循環(rotary)型
4,設置訪問控制列表與NAT地址集之間的映射
R3(config)#ip nat inside destination list 2 pool real-lost
表示在訪問控制列表2所允許的虛擬主機地址和真實主機地址集之間建立映射
R3(config)#ip nat inside destination list 2 pool real-lost
表示在訪問控制列表2所允許的虛擬主機地址和真實主機地址集之間建立映射
5,在內部和外部端口上啓用NAT
..........不寫同上
..........不寫同上
NAT的檢查與排錯
router#show ip nat transltions
顯示當前存在的轉換
router#show ip nat transltions
顯示當前存在的轉換
router#show ip nat statistics 查看NAT的統計信息
調試NAT轉換
router#debug ip nat
router#debug ip nat
====================================================================================================
-----------------------------------------------------------------------------------------------------
IPSec ***的配置
SA(Security Associations,安全聯盟)的概念是IPSec的核心.SA定義了各種類型的安全措施
(包含:*提供的服務, *算法, *密鑰)
(包含:*提供的服務, *算法, *密鑰)
例子:f0/0(50.50.50.50/24接內網)A-router s0/0(20.20.20.21/24接出口)《--------------》s0/0(20.20.20.20/24接出口)B-router f0/0(60.60.60.60/24,接內網)
------------------------------
配置IKE協商:
1,啓用IKE
router(config)#crypto isakmp enable 默認Cisco IOS中是激活的
2,建立IKE協商策略
router(config)#crypto isakmp policy 1 (1是IKE策略的編號,取值1~10000,策略編號越低,優先級就越高。
3,配置IKE協商參數
router(config-isakmp)#hash {md5或sha1} (hash命令被用來設置密鑰認證所用的算法,有MD5和SHA-1兩種
router(config-isakmp)#encryption des或3des (encryption命令被用來設置加密所有的算法,3DES 比DES算法更強
router(config-isakmp)authentication pre-share
authentication pre-share 命令告訴路由要使用預先共享的密鑰,此密碼是手工指定的
------------------------------
配置IKE協商:
1,啓用IKE
router(config)#crypto isakmp enable 默認Cisco IOS中是激活的
2,建立IKE協商策略
router(config)#crypto isakmp policy 1 (1是IKE策略的編號,取值1~10000,策略編號越低,優先級就越高。
3,配置IKE協商參數
router(config-isakmp)#hash {md5或sha1} (hash命令被用來設置密鑰認證所用的算法,有MD5和SHA-1兩種
router(config-isakmp)#encryption des或3des (encryption命令被用來設置加密所有的算法,3DES 比DES算法更強
router(config-isakmp)authentication pre-share
authentication pre-share 命令告訴路由要使用預先共享的密鑰,此密碼是手工指定的
router(config-isakmp)lifetme (seconds)
lifetime指定SA的生存時間,超時後,SA將被重新協商(默認爲86440)
lifetime指定SA的生存時間,超時後,SA將被重新協商(默認爲86440)
4,設置共享密鑰和對端地址
router(config)#crypto isakmp key password123 address 20.20.20.20
SA是單向的,要此命令設置預先共享的密碼和對端的IP地址。(password123爲密碼)在設置密碼時,***鏈路兩端的密碼必須是相同的。IP 地址必須是對端的接口IP
----------------------------------------
配置IPSec相關參數
router(config)#crypto isakmp key password123 address 20.20.20.20
SA是單向的,要此命令設置預先共享的密碼和對端的IP地址。(password123爲密碼)在設置密碼時,***鏈路兩端的密碼必須是相同的。IP 地址必須是對端的接口IP
----------------------------------------
配置IPSec相關參數
1,指定Crypto訪問列表
Crypto訪問控制列表必須是互爲鏡像的,如:A加密了所有流向B的TCP流量,則B必須加密流回A的所有TCP的流量 (記得必須要在兩端的路由都要配
route(config)#access-list 101 {deny或permit} ip host 20.20.20.21 host 20.20.20.20
Crypto訪問控制列表必須是互爲鏡像的,如:A加密了所有流向B的TCP流量,則B必須加密流回A的所有TCP的流量 (記得必須要在兩端的路由都要配
route(config)#access-list 101 {deny或permit} ip host 20.20.20.21 host 20.20.20.20
101爲access-list的列表編號, 命令access-list 101 ip host 20.20.20.21 host 20.20.20.20,將所有從20.20.20.21發往20.20.20.20的報文全部加密,另一種配法:
router(config)#access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255
router(config)#access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255
2,配置IPSec傳輸模式
傳輸模式設置定義用於*** 隧道的認證類型、完整性、和負載加密。
router(config)#crypto ipsec transform-set transform-name ah-md5-hmac esp-3des esp-md5-hma
3030
transform-name是傳輸模式的名字,
傳輸模式可選擇的參數有:
---*AH驗證參數:ah-md5-hmac、 ah-sha-hmac
---*ESP加密參數:esp-des、esp-3des、 esp-null
---*ESP驗證參數:esp-md5-hma、 esp-sha-hmac
---------------------------------------------
配置端口的應用
1,設置Crypto Map
上面又了所有構造***隧道需要的信息,下面需要把它整合在一起,應用到一個接口上去。
--*保護的流量(Crypto訪問列表)
--*使用的IPSec轉換設置
--*使用的IPSec轉換設置
--*手工或IKE交換密鑰的使用等(在Crypto Map類型中聲明)
傳輸模式設置定義用於*** 隧道的認證類型、完整性、和負載加密。
router(config)#crypto ipsec transform-set transform-name ah-md5-hmac esp-3des esp-md5-hma
3030
transform-name是傳輸模式的名字,
傳輸模式可選擇的參數有:
---*AH驗證參數:ah-md5-hmac、 ah-sha-hmac
---*ESP加密參數:esp-des、esp-3des、 esp-null
---*ESP驗證參數:esp-md5-hma、 esp-sha-hmac
---------------------------------------------
配置端口的應用
1,設置Crypto Map
上面又了所有構造***隧道需要的信息,下面需要把它整合在一起,應用到一個接口上去。
--*保護的流量(Crypto訪問列表)
--*使用的IPSec轉換設置
--*使用的IPSec轉換設置
--*手工或IKE交換密鑰的使用等(在Crypto Map類型中聲明)
1,創建Crypto Map
router(config)#crypto map (map-name) 1 ipsec-isakmp
map-name爲map的名字,1爲map的優先級,取值爲1~65535,值小,優先級最高。參數ipsec-isakmp表明此
IPSec連接將採用IKE自動協商。
router(config)#crypto map (map-name) 1 ipsec-isakmp
map-name爲map的名字,1爲map的優先級,取值爲1~65535,值小,優先級最高。參數ipsec-isakmp表明此
IPSec連接將採用IKE自動協商。
配置Crypto Map:
router(config-crypto-map)#match address (access-list-number)
match address 指定此Crypto Map使用的訪問控制列表,參數access-list-number必須同前面配置的Crypto訪問控制列表的編號相同
router(config-crypto-map)#match address (access-list-number)
match address 指定此Crypto Map使用的訪問控制列表,參數access-list-number必須同前面配置的Crypto訪問控制列表的編號相同
router(config_crypto-map)#set peer 20.20.20.21
set peer 指定了此Crypto Map所對應***鏈路對端的IP地址,參數ip-address必須同前面在IKE 中配置的對端IP地址相同。
set peer 指定了此Crypto Map所對應***鏈路對端的IP地址,參數ip-address必須同前面在IKE 中配置的對端IP地址相同。
router(config-crypto-map)#set transform-set (transform-name)
set transform-set 指定此Crypto Map所用的傳輸模式,此模式應該在之前配置IPSec時已經定義,即此傳輸模式名稱是之前用命令Crypto ipsec transform-set配置的名稱
set transform-set 指定此Crypto Map所用的傳輸模式,此模式應該在之前配置IPSec時已經定義,即此傳輸模式名稱是之前用命令Crypto ipsec transform-set配置的名稱
2,應用Crypto Map到端口
下面只需要將上面配置好的Crypto應用到對應的接口上,***就可以生效。
router(config)#interface s0/0
router(config-if)#crypto map (map-name)
---------------------------------------
IPSec ***配置的檢查
下面只需要將上面配置好的Crypto應用到對應的接口上,***就可以生效。
router(config)#interface s0/0
router(config-if)#crypto map (map-name)
---------------------------------------
IPSec ***配置的檢查
顯示所有嘗試協商的策略以及最後的默認策略設置
router#show crypto isakmp policy
router#show crypto isakmp policy
顯示在路由上設置的transform-set
router#show crypto ipsec transform-set
router#show crypto ipsec transform-set
顯示當前安全聯盟使用的設置
router#show crypto ipsec sa
router#show crypto ipsec sa
顯示所有配置在路由上的Crypto Map
router#show crypto map
router#show crypto map
========================================================================================
OSPF路由協議和端口限速命令還沒寫上;這個要以後再補上
小結:這些都是自己在學習過程整理的一些思科命令,不是很全面,有錯誤或不詳細請多多指教!