Router(config)#line console 0
password cisco 本地登录密码
login /login local(启用本地用户名和密码)
enable confter
service password-encryption 加密口令 交换
vtp要慎重,最好不要用,有风险。
enable configtr
vtp domain 域名
vtp mode server/client/transparent 模式
int接口
switchport mode trunk vtp password 密码 vtp pruning 修剪 vtp version 2 版本 end
showvtp status stp
指定根网桥 enable configtr
spanning-treevlan _ root primary end
show spanning-tree configtr
int range f0/1-20
spanning-tree portfast配置速端口 spanning-tree uplinkfast上行速链路 end
show spanning-tree
以太网通道配置 1 端口必须属于同一VLAN enable configtr
int range 接口
channel-group 1 mode on end
2 TRUNK show etherchannel 1 summary 查看
3层交换机的配置
改二层端口为3层端口 noswitchport
在3层交换机上启动路由功能 ip routing
no ip route 0.0.0.0 0.0.0.0 192.168.2.177 删除路由 ip route 目的的网段目的网段掩码下一跳静态路由 show ip route 查看路由表
show running 查看配置 路由
路径跟踪命令tracerter
静态路由命令:ip router <目的网段><目的网段掩码><下一跳>
默认路由命令 0.0.0.0 0.0.0.0 目的地址
HSRP
原理
一台虚拟路由器代替两台路由器对外公布的是虚拟路由器的网管,但后台是两台真实的路由器在相互工作,当一台坏了马上会到另一台路由器去。
将路由器配置为HSRP成员
router(configuration-if)#standby group-number ip virtual 备份组虚拟路由器的ip地址 取消
router(configuration-if)#no standby group-number ip virtual 关闭端口重定向
router(configuration-if)#no ip redirects 配置HSRP优先级
router(configuration-if)#standby group-number priority priority-value
0-255 默认为100 优先级越大就是活动路由 配置HSRP占先权
router(configuration-if)#standby group-number preempt 配置端口跟踪 router(configuration-if)#standby group-number track type number interface-priority 组号端口类型端口号降级的数值
取消端口跟踪
no standby group track 显示HSRP路由器的状态
router#show standby type-number group brief 显示一行 router#shou standby 显示全部
ACL 两种ACL
1 标准ACL(控制源IP和目的IP )access-list (1-99) 2 扩展ACL (控制源IP和MAC access-list (100-199) 设置方法 标准ACL
1 定义要限制和应许的IP网段或主机
access-list 1 permit/deny 172.16.0.13 0.0.0.0 permit应许 deny限制 0.0.0.0 反掩码也可以写成host 比如access-list 1 permit.deny host 172.16.0.13
通常情况下,这条命令的后面会默认跟上一条限制所有的命令 2 把设置应用到接口上去 interface e0
ip access-group 1(access-list-number) in/out 扩展ACL
1 定义要限制和应许主机通信的协议端口
access-list 101 permit/deny tcp(协议)172.16.0.13 0.0.255.255 172.16.1.13 0.0.255.255 eq 21(FTP的端口号)限制和应许主机172.16.0.13到主机172.16.1.13 FTP的通信流量
2 2 把设置应用到接口上去 interface e0
ip access-group 101(access-list-number) in/out
3命名访问控制列表
ip access-list (standard(标准)/extended(扩展)) name 比如可以给上面的2的101命名为CISCO ip access-list extended cisco
permit/denytcp 172.16.0.13 0.0.255.255 172.16.1.13 0.0.255.255 eq 21 intface e0
ip access-group cisco in/out
查看命令
show access-list
NAT
静态NAT
语法:ipnat inside source static local-ip global-ip 1 设置外部端口的IP 即WAN口IP
2 设置内部端口的IP 即与三层交换机连接的端口IP 即网关 3 ipnat inside source static 192.168.1.2 61.159.62.130 一条一条的增加
4 在内部和外部端口上启用NAT
(configuration)# interface serial 0/0 (configuration)# ipnat outside
(configuration)# interface fastethernet 0/0 (configuration)# ipnat inside
动态NAT
语法: 1 建立地址池:ipnat pool pool-name star-ip end-ipnetmask掩码 2 对应关系设置ipnat inside source list 1 pool pool-name 1 设置外部端口的IP 即WAN口IP
2 设置内部端口的IP 即与三层交换机连接的端口IP 即网关 3 定义内部网络中允许访问外部网络的访问控制列表
(config)#access-list 1 permit 192.168.1.0 0.0.0.255 表示允许192.168.1.1~192.168.1.255 访问外部网络
1表示表号
4 定义合法IP地址池(即公网的IP地址池)
(config)#ipnat pool test1 61.159.62.130 61.159.62.190 netmask 255.255.255.192 test1表示地址池的名字
5 网络地址转换
(config)#ipnat inside source list 1 pool test1 6 在内部和外部端口上启用NAT
(configuration)# interface serial 0/0 (configuration)# ipnat outside
(configuration)# interface fastethernet 0/0 (configuration)# ipnat inside
只有一个公网IP时 Pat 配置
1 设置外部端口的IP 即WAN口IP
2 设置内部端口的IP 即与三层交换机连接的端口IP 即网关 3 定义内部网络中允许访问外部网络的访问控制列表
相关推荐:
loading