VLAN广播域划分

----------《《一、VLAN广播域划分》》----------

功能:广播控制、安全性、宽带利用、延迟。
端口划分静态VLAN、MAC地址划分动态VLAN。

——静态VlAN划分——
法一:全局模式创建VLAN。
Switch(config)# vlan vlan-id
Switch(config-vlan)# name vlan-name
法二:进入VLAN数据库创建VLAN。

——VLAN的添加、删除——
删除VLAN
Switch# vlan database
Switch(vlan)# no vlan vlan-id
或 Switch(config)# no vlan vlan-id

将端口加入VLAN
Switch(config)# int f0/1
Switch(config-if)# switchport access vlan vlan-id
Switch(config-if)# no switchport access vlan vlan-id

添加多个端口到VLAN
Switch(config)# int range f0/1-10

查看VLAN配置
Switch# show vlan brief
Switch# show vlanid vlan-id

——Trunk中继模式配置——
配置接口Trunk模式
Switch(config-if)# switchport mode ?
access普通接口模式
trunk 中继线路,全通
dynamic auto 主动模式
dynamic desirable 被动模式
查看接口模式
Switch# show interface interface-id switchchport
从Trunk中删除、添加VLAN
去除VLAN
Switch(config-if)# switchport trunk allowed vlan remove vlan-id
添加VLAN
Switch(config-if)# switchport trunk allowed vlan add vlan-id

——以太通道配置——
多条线路负载均衡,提高带宽,容错
Switch(config)# interface range fastEthernet 0/1-2
Swith(config-if-range)# channel-group id mode on
查看以太通道的配置
Switch# show etherchannel summary
注:捆绑的端口配置相同的VLAN、中继模式、物理参数。

——路由器上配置DHCP服务——
Router(config)# ip dhcp pool pool-name定义IP地址池
Router(dhcp-config)# network 192.168.1.0 255.255.255.0动态分配IP地址段
Router(dhcp-config)# default-router 192.168.1.254设定网关地址
Router(dhcp-config)# dns-server 202.106.0.20为客户端配置DNS地址
Router(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10预留静态分配的IP地址


----------《《二、高级路由交换》》----------

三层交换=二层交换+三层转发

——三层交换机VLAN互通——
(1)2层交换机配置VLAN、Trunk
Switch(config)# vlan 2
Switch(config)# vlan 3
Switch(config)# int range f 0/6-10
Switch(config-if-range)# switchport access vlan 2
Switch(config)# int range f 0/11-15
Switch(config-if-range)# switchport access vlan 3
Switch(config)# int f 0/24
Switch(config-if)# switchport mode trunk

(2)3层交换机配置
3层交换机配置VLAN、Trunk
SW-3L(config)# vlan 2
SW-3L(config)# vlan 3

开启路由功能
SW-3L(config)# ip routing
配置虚拟接口IP
SW-3L(config)# int v 1
SW-3L(config-if)# ip address 192.168.1.254 255.255.255.0
SW-3L(config-if)# no shutdown

配置路由接口
SW-3L(config-if)# no switchport
配置Trunk并指定接口封装为802.1q
SW-3L(config)# int f 0/24
SW-3L(config-if)# switchport trunk encapsulation dot1q
SW-3L(config-if)# switchport mode trunk
注:trunk不属于任何VLAN

——多交换机VLAN互通——
(1)3层交换机配置VLAN、Trunk
(2)在三层交换机配置路由
SW-3L(config)# int f 0/24
SW-3L(config-if)# no switchport
SW-3L(config-if)# ip address 192.168.4.1 255.255.255.0
SW-3L(config-if)# no shutdown
SW-3L(config)# ip route 0.0.0.0 0.0.0.0 192.168.4.2
(3)在路由器上配置接口和路由
Router(config)# int f 0/24
Router(config-if)# ip address 192.168.4.2 255.255.255.0
Router(config-if)# no shutdown
Router(config)# ip route 192.168.1.0 255.255.255.0 192.168.4.1
Router(config)# ip route 192.168.2.0 255.255.255.0 192.168.4.1
Router(config)# ip route 192.168.3.0 255.255.255.0 192.168.4.1

动态路由
方便管理,占用带宽
按应用范围分类:
内部网关协议:RIP、IGRP、EIGRP、IS-IS、OSPF
外部网关协议:EGP、BGP

按路由执行算法分类:
距离矢量路由协议:RIP、IGRP
链路状态路由协议OSPF、IS-IS

——RIP协议——

最大15跳,更新时间30s,UDP520端口
RIP配置
启动RIP进程并启用版本V2
Router(config)# router rip
Router(config-router)# version 2
关闭RIP V2路由自动汇总
Router(config-router)# no auto-summary
宣告主网络ID
Router(config-router)# network 192.168.1.0

----------《《三、HSRP和生成树》》----------

——HSRP热备份路由选择协议——
HSRP组成员:活跃、备份、虚拟等其他路由器
UDP1985、TTL=1
HSRP状态
初始、学习、监听、发言、备份、活跃
HSRP计时器:Hello间隔3s,保持时间10s

——HSRP配置——
配置为HSRP成员
Switch(config-if)# standby 1 ip 192.168.1.254
配置HSRP优先级
Switch(config-if)# standby 1 priority 100
配置HSRP占先权
Switch(config-if)# standby 1 preempt
配置HSRP端口跟踪
Switch(config-if)# standby 1 track int f 0/1
查看HSRP摘要信息
Switch(config-if)# show standby brief

——二层交换配置HSRP——
SW1(config)# int f 0/24
SW1(config-if)# ip address 192.168.1.253 255.255.255.0
SW1(config-if)# standby 1 ip 192.168.1.254
SW1(config-if)# standby 1 priority 200
SW1(config-if)# standby 1 preempt
SW1(config-if)# standby 1 track int f 0/1

SW2(config)# int f 0/24
SW2(config-if)# ip address 192.168.1.252 255.255.255.0
SW2(config-if)# standby 1 ip 192.168.1.254
SW2(config-if)# standby 1 priority 150
SW2(config-if)# standby 1 preempt
SW2(config-if)# standby 1 track int f 0/1

——三层交换配置HSRP——
SW-3L1(config)# int f 0/24
SW-3L1(config-if)# ip address 192.168.1.253 255.255.255.0
SW-3L1(config-if)# standby 1 ip 192.168.1.254
SW-3L1(config-if)# standby 1 priority 200
SW-3L1(config-if)# standby 1 preempt
SW-3L1(config-if)# standby 1 track int f 0/1

SW-3L2(config)# int f 0/24
SW-3L2(config-if)# ip address 192.168.1.252 255.255.255.0
SW-3L2(config-if)# standby 1 ip 192.168.1.254
SW-3L2(config-if)# standby 1 priority 150
SW-3L2(config-if)# standby 1 preempt
SW-3L2(config-if)# standby 1 track int f 0/1

SW-3L(config)# ip routing
SW-3L(config)# int v 1
SW-3L(config-if)# ip address 192.168.1.254 255.255.255.0
SW-3L(config-if)# no shutdown
SW-3L(config-if)# no switchport
SW-3L(config)# int f 0/24
SW-3L(config-if)# switchport trunk encapsulation dot1q
SW-3L(config-if)# switchport mode trunk

(待完成)

——STP生成树协议——
生成树算法:
1.根网桥:每个广播域选择一个根网桥,BID最小的
2.根端口:每个非根网桥分别选择一个根端口,路径成本低、接口ID小,绿色
3.指定端口:每个网段上选择指定端口,黄色
4.阻塞端口:未选端口为阻塞端口,红色

带宽与路径成本:
10Mbps-----100
16Mbps------62
45Mbps------39
100Mbps----19
155Mbps----14
622Mbps-----6
1000Mbps---4

BDDU桥协议数据单元
根网桥ID-----8bit
根路径成本---4bit
发送网桥ID---8bit
端口ID--------2bit

STP的收敛
交换机端口STP的5状态
转发、学习、侦听、阻塞、禁用

——STP配置——

PVST+配置
选择稳定的交换机作为根网桥
启用生成树命令
Switch(config)# spanning-tree vlan vlan-id
指定根网桥
Switch(config)# spanning-tree vlan vlan-id priority n4096 (优先级)
指定VLAN主次根
Switch(config)# spanning-tree vlan vlan-id root { primary | secondary }
查看生成树配置
Switch# show spanning-tree
查看某个VLAN生成树详细信息
Switch# show spanning-tree vlan vlan-id detail
配置速端口(避免转发延迟)
Switch(config-if)# spanning-tree portfast

----------《《四、标准、扩展ACL配置》》----------

Access Control Lists,访问控制列表
ACL协议分类:
标准ACL
基于源IP地址过滤数据包,列表号:1~99
扩展ACL
基于源IP地址、目标IP地址、指定协议、端口来过滤数据包,列表号:100~199
命名ACL
允许在标准和扩展访问列表中使用名称代替表号

——标准ACL配置——

1.创建ACL
Router(config)# access-list (1~99) { permit(允许) | deny(拒绝) } 网络 反掩码
隐含的拒绝语句(未匹配默认拒绝)
Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255

2.将ACL应用于接口
Router(config-if)# ip access-group (1-99) { in(入) | out(出) }
在接口处取消ACL应用
Router(config-if)# no ip access-group (1-99) { in | out }
删除ACL
Router(config)# no access-list (1~99)
查看ACL
Router# show access-lists

注: 192.168.1.1 0.0.0.0 = host 192.168.1.1
0.0.0.0 255.255.255.255 = any

——扩展ACL配置——
1.创建ACL
允许192.168.1.1访问192.168.4.1的HTTP服务
Router(config)# access-list 100 permit tcp host 192.168.1.1 host 192.168.4.1 eq 80(eq www)
拒绝192.168.1.1访问192.168.4.1的其他服务
Router(config)# access-list 100 deny ip host 192.168.1.1 host 192.168.4.1
允许192.168.1.0访问192.168.4.1
Router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1

2.将ACL应用于接口
Router(config-if)# ip access-group (100-199) { in | out }

——标准命名ACL配置——
1.创建ACL
Router(config)# ip access-list { standard(标准) | extended(扩展) } access-list-name
Router(config)# ip access-list standard cisco
Router(config-std-nacl)# (10) permit host 192.168.1.1
Router(config-std-nacl)# (20) deny any
只允许该主机访问,前面编号方便修改,注意顺序

2.更改ACL
Router(config)# ip access-list standard cisco
Router(config-std-nacl)# 15(序列号) permit host 192.168.2.1
中间添加语句,允许192.168.2.1访问
查看ACL配置信息
Router# show access-lists Standard IP accsee list cisco

3.将ACL应用于接口
Router(config-if)# ip access-group (1~99) { in | out }
删除整组ACL
Router(config)# no ip access-list (1~99) { standard | extended } access-list-name
删除组中单一ACL语句
no Sequence-Number(序列号)
no ACL语句

——扩展命名ACL配置——
1.创建ACL
Router(config)# ip access-list extended cisco
Router(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
Router(config-ext-nacl)# permit ip any any

2.将ACL应用于接口
Router(config-if)# ip access-group (100-199) { in | out }

----------《《五、NAT及静态转换》》----------

Network Address Tranlation ,网络地址转化
作用:内网IP转公网IP
优点:节省共有IP,处理地址重叠,安全,灵活
缺点:延迟大,配置和维护复杂,不支持某些应用(静态NAT映射可避免)

——静态NAT配置——
1.静态地址转换为合法外部地址
Router(config)# ip nat inside source static local-ip global-ip [ extendable ]
2.在端口上启用NAT
Router(config-if)# ip nat { inside(入口) | outside(出口) }
3.配置默认路由
Router(config)# ip route 0.0.0.0 0.0.0.0 f0/0(跳出口)

——NAT端口映射——
Router(config)# ip nat inside source static tcp local-ip 80 global-ip 80
将内网192.168.1.1的80端口映射为61.159.62.133的80端口
Router(config)# ip nat inside source static tcp 192.168.1.1 80 61.159.62.133 80

——动态NAT配置——
1.定义将要转换的地址列表
Router(config)# access-list 1 permit 192.168.1.0 255.255.255.0
2.定义动态转换后的地址池
(范围为61.159.62.131~61.159.62.134)
Router(config)# ip nat pool test0 61.159.62.131 61.159.62.134 netmask 255.255.255.248
3.将列表1转化为test0
Router(config)# ip nat inside source list 1 pool test0
4.在内外部端口分启用NAT
Router(config-if)# ip nat outside
Router(config-if)# ip nat inside
5.配置默认路由
Router(config)# ip route 0.0.0.0 0.0.0.0 f0/0(跳出口)

——PAT配置——
Port Address Translation,端口多路复用(端口地址转化),通过改变外出数据包源IP和源端口,并进行端口转换,内网所有主机均可共享一个公用IP访问外网,节约IP。
1.定义内部访问列表
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
2.定义合法IP地址池
使用外部接口地址,不再定义IP地址池
3.设置复用动态IP地址转换
Router(config)# ip nat inside source list 1 int f0/1(外部接口) overload(所有外网)
4.在内外部端口分启用NAT
Router(config-if)# ip nat outside
Router(config-if)# ip nat inside
5.配置默认路由
Router(config)# ip route 0.0.0.0 0.0.0.0 f0/0(跳出口)
查看NAT转换条目
Router# show ip nat translations [ verbose(详细条目) ]
清除NAT转换条目,静态NAT条目不会被删除
Router# clear ip nat translations*
跟踪NAT
Router# debug ip nat

 

posted @ 2018-04-25 23:29  腐种发芽  阅读(1170)  评论(0编辑  收藏  举报