三层交换机的操作:
1、开启路由功能
ip routing
interface vlan 10
//进入vlan 10 配置IP地址模式
ip address address mask
//PC机连到该vlan 10包含的接口上设置网关就是interface的ip地址
2、交换机彼此交换需配置trunk
interface fa0/0
swtichport mode trunk
//配置trunk口之后,查看show vlan 发现原先的vlan 10包含的接口里加上去了0/0端口,因为每个域都可以通过这个端口与另外的交换机交换数据
3、划分vlan
interface range fa0/0-10
switch access vlan 10
4、开启路由端口
interface fa0/0
no switchport
ip address ... mask
路由器的操作:
1、配置动态路由
方法一:
配置OSPF(一定要有个主域,默认是area 0,附域之间的交换数据都要通过主域)
router ospf 1
network address mask area id(默认是0)
//这里的address是与路由器直连的ip地址
2、配置单臂路由:
interface fastethernet0/0.10
encapsulation dot1q 10
//命令:encapsulation dot1q [vlan-id] 功能:配置以太网子接口vlan号,封装格式为802.1q。
ip address 192.168.10.254 255.255.255.0
no shutdown
interface fastethernet0/0.20
encapsulation dot1q 20
ip address 192.168.20.254 255.255.255.0
no shutdown
交换机的配置略(划分vlan 10,20)
通过在交换机上划分适当数目的vlan,不仅能有效隔离广播风暴,还能提高网络安全系数及网络带宽的利用效率。但是对于那些既希望隔离又希望对某些客户机进行互通的公司来说,划分VLAN的同时为不同VLAN建立互相访问的通道也是必要的。路由器与交换机之间是通过外部线路连接的,这个外部线路只有一条,但是他在逻辑上是分开的,需要路由的数据包会通过这个线路到达路由器,经过路由后再通过此线路返回交换机进行转发。单臂路由方式仅仅是对现有网络升级时采取的一种策略,在企业内部网络中划分了 VLAN,当VLAN之间有部分主机需要通信,但交换机不支持三层交换,这时我们使用该方法来解决实际问题。。
配置ACL(access control List)
1-99 standard 100-199 extended
standard模式
access-list 1 deny|permit any|192.168.1.0(网段)|192.168.1.10(ip地址) [time](配置时间段)
interface fa0/0
ip group 1 in|out
//注意点:需要拒绝某一网段或地址,先permit any不然拒绝一条,没有permit进入的,那就是空。
//注意点:这里用到的是standard标准的(源头判断,设置的时候靠近目的),还有extended扩展的(目的判断,设置的时候靠近源)。
//注意点:正确理解in out的意思!!!路由器,交换机都可以配置ACL。
extended模式:
access-list 110 deny tcp/ip/icmp/igmp/... host 192.168.1.1 host 192.168.2.1 time-range aaa
从源地址到目的地址
time-range aaa
daily 8:00 to 9:00
VRRP配置
双核心的网络环境下,增强网络的稳定性,在主网关设备发生故障时,备份网关设备可以在不影响内外数据通信的前提下进行网关切换,且不需要再修改内部网络的设置。例如:内网有网段vlan10,当核心交换机A或者上联接口出现故障时,数据切换到核心交换机B上通信。
1、配置连通性:
关键命令:
vlan 10
ip address 192.168.10.254 255.255.255.0 --配置vlan10的ip地址
vrrp 1 ip 192.168.10.1--配置vrrp虚拟地址
vrrp 1 priority 120--配置优先级,越大越优先,默认是100;
exit
另一条机器
vlan 10
ip address 192.168.10.253 255.255.255.0
vrrp 1 ip 192.168.10.1
exit
MSTP配置
A:
vlan 10
vlan 20
vlan 30
vlan 40
exit
spanning-tree
spanning-tree mst configuration
instance 1 vlan 10,20
instance 2 vlan 30,40
spanning-tree mst 1 priority 4096(1024的倍数,默认是32768)
//vlan 10,20的与其他的机器比起来会先选择A
exit
B:
vlan 10
vlan 20
vlan 30
vlan 40
exit
spanning-tree
spanning-tree mst configuration
instance 1 vlan 10,20
instance 2 vlan 30,40
spanning-tree mst 2 priority 4096
exit
端口聚合配置+负载均衡
switch A:
configure terminal
interface range fastethernet0/0-3
port-group 1
end
switch B:
configure terminal
interface range fastethernet0/0-3
port-group 1
end
负载均衡:
神马 src-神马的。(忘记了- - 、真机上通过 ?可以查出来)
DHCP:
这里把DHCP_Server用三层交换机代替
此次内容涉及到两个三层交换机,记中间的交换机为switch1,dhcp_server为switch2
先对switch1操作:
enable
configuration terminal
划分vlan 2 ,vlan 3并配置接口vlan 2ip地址跟接口vlan 3ip地址
再划分出一个接口作为trunk口 用以 链接switch2
#trunk口的ip地址网段跟dhcp接出来端口的ip地址网段相同且不再vlan2,vlan3网段里面
开启dhcp服务
config的状态下输入 service dhcp
配置dhcp中继
ip helper-address dhcp服务器接出来的端口ip地址
到此switch1的配置结束了
接下来配置 switch2:
enable
configuration terminal
先划分出一个端口作为路由接口
no switchport
ip address...
开启dhcp功能,配置dhcp地址池
service dhcp
ip dhcp pool vlan 2
network 192.168.2.0 255.255.255.0跟switch1的vlan 2网段
ip dhcp pool vlan 3
network 192.168.3.0 255.255.255.0跟switch2的vlan 3网段一样
就OK了
如果有pc机直接连接dhcp的话:
划分路由端口,并设置ip地址192.168.4.3
ip dhcp pool 192.168.4.0
network 192.168.4.0 255.255.255.0
就OK了
配置PPP:
§ A(config-if)# encapsulation ppp //在路由器A的S0、S1端口分别启动PPP协议。
§ B(config-if)# encapsulation ppp //在路由器B的S0、S1端口分别启动PPP协议。
§ 2.配置PPP认证使用的用户名和密码
§ B(config)#username B password cisco //为路由器B设置一个用户名和口令。
§ A(config)#username A password cisco //为路由器A设置一个用户名和口令。
§ 3. 配置PAP认证
§ 在路由器A、B的S1端口上:
§ A(config-if)#ppp authentication pap
§ B(config-if)#ppp authentication pap
§ 需要说明的是,在Cisco IOS 11.1或更高的版本中,如果路由器发送(或响应)PAP消息(或请求),则必须在指定接口上使用PAP协议。
§ 单向认证:比如A向B发出认证请求,那么只在A上配置即可,B不用额外配置。
§ A(config-if)#ppp pap sent-username B password cisco//B设置的账号密码要跟这里的验证的账号密码一致!
§ 双向认证:A和B双方要互相认证,那么A、B都要配置。
§ A(config-if)#ppp pap sent-username B password cisco
§ B(config-if)#ppp pap sent-username A password cisco
NAT配置:
Network Address Translation//
属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
ip nat inside source static x.x.x.x(原来的ip地址) x.x.x.x(要转化成的ip地址,当然要跟网关同网段)
interface fastEthernet0/0//要开启nat的端口
ip nat inside.//传入的时候进行转化
interface serial0/0//还不知道是否一定要
ip nat outside