网关路由:不同网段之间的联通
注:进去之前system-view
常用命令:display ip interface brief #查看配置的IP
IP配置情况:dis ip int b
静态路由:
#查看到达目的的路由信息
display ip routing-table 192.168.xx
#配置静态路由信息 1.1是目的ip,2.1是下一跳
ip route-static 192.168.1.1 255.255.255.0 192.168.2.1
# vlan虚拟局域网划分和ACL访问控制列表
创建vlan:vlan 10
查看vlan信息:display vlan
# 在进入接口之后划分vlan之前使用命令:port link-type access 配置接口模式,再使用命令;port default vlan xx配置进口vlan
交换机的接口两种模式:Access:用来连接终端,电脑,打印机
# 在进入接口之后划分vlan之前使用命令:port link-type trunk 配置接口模式,再使用命令;port trunk allow-pass vlan all(允许所有vlan)配置搭建交互及接口
Trunk:用来连接其它的交换机
#三层交换机
三层交换机充当网关的作用
1.划分vlan10/20/.......
2.端口配置trunk/access接口模式
3.端口:interface vlanif10 配置ip address xxxxxxx 255.255.255.0 vlan10电脑网关
4.端口:interface vlanif12 配置ip address xxxxxxx 255.255.255.0 vlan20电脑网关
.........
# 单臂交换机
三层交换机和单臂交换机可以用来实现vlan之间的互联,但相对来说单臂使用的较少
单臂路由:
# 将0/0/0.xx 接口分支
interface g0/0/0.xx xx代表子接口的数字分支,每个子接口对待一个vlan的数据
命令:
(1)g0/0/0:dot1q termination vid xx 指定和那个vlan关联
(2)开启允许ARP广播:g0/0/0:arp broadcast enable (ARP解析某个IP对应的mac)
(3)配上vlan xx的地址网关:g0/0/0:ip address 1.1.1.254 255.255.255.0
(4)可以查看自己命令历史:dis this
# ACL访问控制列表
(1)acl name xx advance(分为四个级别:只说两个1.basic做控制时只会检查源地址,不会检查目标地址 2.advance(高级all检查))
(2)拒绝192.168.10.0 访问 192.168.30.0
规则:rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255(掩码反着写)
(3)rule permit ip source any destination any 允许其他的数据通讯
(4)在三层的接口:treffix-filter inbound acl name xxx 使用刚才配置的xx规则
(5)查看配置规则;display acl all
NAT网络地址转换
# 内网到公网的ip转换
(1)ACL表控制:acl name xxx basic (我们直接看源地址,只要源地址是192.168.xx.xx都转换成公网IP。所以使用basic)
(2)配置ACL规则:rule permit source 192.168.0.0 0.0.255.255 (老规矩掩码倒着写)
(3)设置NAT地址池:nat address-group 1 64.1.1.2 64.1.1.6 (1是编号 设置五个公网IP供转换2-6)
(4)进入中间转换的路由0.0.1出接口:nat outbound 2999 address
-group 1 (2999是分配的ACL编号,dis acl all可以查看acl信息。使用刚才配置编码1的NAT规则)
(ps:私网地址-192.168.xx 10.x.x.x 172.16.x.x-172.31.x.x)
静态NAT(服务器发布)
外网客户端可以通过一个固定的IP去访问私网的服务器
(1)配置路由信息:ip route-static 目的ip 255.255.255.0 下一跳路由IP(如果想要ping同对方,只需配置自己的路由下一跳即可)
(2)g0/0/1:nat server global 119.1.1.123 inside 172.16.0.1(私网的服务器对外表示的IP,inside对内部私网的IP为172.16.0.1)
如何远程管理网络(telnet)
(1)确保自己的IP可以ping通远程的路由(可通过更改本机电脑的IPv4)
(2)开启路由器的远程连接:user-interface vty 0-4 (user-interface开启一个远程管理的界面,vty远程管理虚拟连接,0-4开启5个可同时连接的用户)
(3)authentication-mode aaa/password(authentication-mode远程管理验证模式,aaa需输入账号密码。password只需要输入密码)
(4)q aaa进入aaa(aaa分别表示认证授权收费)
(5)aaa:配置用户密码:local-user user password cipher passwd (cipher为加密显示)
(6)aaa:local-user user privilege level 15(privilege:赋予权限,权限分为0-15)
(7)aaa:local-user user service-type telnet(使用telnet)
(8)q 打开telnet服务:telnet server enable
任务:
1. 网络中有3个不同部门,均可自动获取地址
2. 各部门可互相访问,也可访问内网服务器172.16.100.1
3. Pc1不允许访问互联网,Pc2和Pc3可以访问互联网
4. 内网服务器对外发布的地址为64.1.1.3,互联网用户可以访问这台服务器
5. 内网服务器的域名是www.zhynet.net,各Pc可以通过域名访问