交换机:
修改名称:
划分vlan:
IP地址配置:
二三层口转化:
写路由:
链路聚合:
MSTP:
DHCP Server
DHCP 中继:
ACL:
用户名以密文显示
用户名密码配置
配置telnet、console分别密码和用户名密码方式登录(非AAA)
配置ssh分别密码和用户名密码方式登录(非AAA)
配置telnet、ssh、console分别密码和用户名密码方式登录(AAA)
VRRP:
BFD:
配置举例:
路由器:
NAT:
isis:
ospf:
配置举例:
sw5>enable --进入特权模式
sw5#configure terminal --进入配置模式
sw5(config)#hostname sw5
sw2(config)#int g0/5
sw2(config-if-GigabitEthernet 0/5)#switchport mode ?
access Set trunking mode to ACCESS unconditionally
hybrid Hybrid
trunk Set trunking mode to TRUNK unconditionally
uplink Set mode to UPLINK
sw2(config-if-GigabitEthernet 0/5)#switchport mode trunk trunk模式
sw2(config-if-GigabitEthernet 0/5)#switchport trunk ?
allowed Set allowed VLAN when interface is in trunking mode
native(相当于华为的pvid) Set native VLAN characteristics when interface is in trunking mode
sw2(config-if-GigabitEthernet 0/5)#switchport trunk allowed vlan ?
add Add VLANs to the current list
all All VLANs
except All VLANs except the following--除该vlan的所有vlan
only Only VLANs --仅,仅允许10,20,30--。。。allowed vlan 10,20,30
remove Remove VLANs from the current list --从当前列表中清楚
举例:
int gigabitEthernet 0/5
switchport mode trunk
switchport trunk native vlan 10
switchport trunk allowed vlan only 10,20,30
--如果要加一个vlan 40的话,注意必须这样 switchport trunk allowed vlan only 10,20,30,40 .不能 switchport trunk allowed vlan only 40,否则就只允许40了,网络会断
举例:
int gigabitEthernet 0/5
switchport mode access
switchport access vlan 10
sw2(config)#int vlAN 10
sw2(config-if-VLAN 10)#ip address ?
A.B.C.D IP address
A.B.C.D/<0-32> IP address/mask
dhcp IP Address via DHCP
mix Specify static and dynamic IP address compatibly
sw5(config-if-GigabitEthernet 0/5)#show this
Building configuration...
!
no switchport
ip address 10.1.1.1 255.255.255.0
sw2(config)#interface gigabitEthernet 0/5
sw2(config-if-GigabitEthernet 0/5)#no switchport 变三层
ip route 0.0.0.0 0.0.0.0 VLAN 172 172.16.1.254
ip route 0.0.0.0 0.0.0.0 172.16.1.253 61
ip route 0.0.0.0 0.0.0.0 g0/1 1.1.1.1
SW1>enable
SW1#configure terminal
SW1(config)#interface range gigabitEthernet 0/1-2 ------>同时进入到g0/1-3口配置模式
SW1(config-if-range)#port-group 1 ------>设置为AG1
SW1(config-if-range)#exit
SW1(config)#interface aggregateport 1 ------>进入AG1口配置模式
SW1(config-if-AggregatePort 1)# switchport mode access ------>将AG1口配置为access口
SW1(config-if-AggregatePort 1)#switchport access vlan 10
SW1(config)#aggregateport load-balance src-dst-ip ------>更改流量平衡算法为源目ip模式,默认为源MAC+目的MAC模式
1.先添加 vlan --sw5(config)#vlan 10 --vlan range 50,60,70
2.在相应的接口放通相应的vlan
Ruijie(config)#spanning-tree --开启stp功能
Ruijie(config)#spanning-tree mst configuration
Ruijie(config-mst)# instance 1 vlan 10, 20
Ruijie(config-mst)# instance 2 vlan 30, 40
Ruijie(config-mst)#spanning-tree mst 2 priority 4096 --实例2的优先级4096
sw5(config-if-GigabitEthernet 0/5)#spanning-tree mst 1 cost 2000000 --实例1在5口的cost为 2000000
sw5(config)#service dhcp --开启dhcp
sw5(config)#ip dhcp pool vlan10
sw5(dhcp-config)#show this
Building configuration...
!
network 192.168.10.0 255.255.255.0
dns-server 114.114.114.114
default-router 192.168.10.254
排除地址:在全局配置
sw5(config)#ip dhcp excluded-address 192.168.10.11
sw5(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10 --范围
固定某个地址给某个终端:
sw5(config)#ip dhcp pool P_192.168.10.50
sw5(dhcp-config)#show this
Building configuration...
!
hardware-address 5000.0012.0000(终端MAC地址)
host 192.168.10.50 255.255.255.0 (终端地址)
lease 1 0 0 (租期一天0分0秒)
dns-server 8.8.8.8
default-router 192.168.10.254
一、组网需求
汇聚交换机为用户的网关,开启DHCP relay功能。核心交换机为网络核心设备,开启DHCP Server功能,汇聚交换机与核心交换机使用三层口互联
二、组网拓扑
三、配置要点
1、在汇聚交换机上开启DHCP relay功能,并且设置用户网关及路由信息
2、在核心交换机上开启DHCP Server功能,并且配置DHCP地址池(部分场景中,DHCP服务器为专用的服务器搭建)
3、DHCP relay所在交换机如果有开启DHCP snooping,需要额外配置 check-giaddr
四、配置步骤
核心交换机配置:
1、创建核心设备与汇聚设备的互联IP地址
Ruijie>en
Ruijie#config ter
Ruijie(config)#interface gigabitEthernet 0/24
Ruijie(config-if-GigabitEthernet 0/24)#no switchport
Ruijie(config-if-GigabitEthernet 0/24)#ip address 172.16.1.1 255.255.255.252
Ruijie(config-if-GigabitEthernet 0/24)#exit
2、创建核心设备到汇聚设备用户网段的静态路由
Ruijie(config)#ip route 192.168.1.0 255.255.255.0 172.16.1.2
3、开启核心设备的DHCP服务功能
Ruijie(config)#service dhcp ------>该命令默认不启用,交换机必须配置
4、创建核心设备的DHCP地址池
Ruijie(config)#ip dhcp pool vlan10
Ruijie(dhcp-config)#network 192.168.1.0 255.255.255.0 ------>子网掩码要和所设置IP地址的子网掩码一致,这里都是/24位掩码
Ruijie(dhcp-config)#dns-server 218.85.157.99 ------>设置分配给客户端的DNS地址
Ruijie(dhcp-config)#default-router 192.168.1.254 ------>设置分配给用户的网关地址,这个要和汇聚设备上所设置的IP地址一致,为192.168.1.254
Ruijie(dhcp-config)#exit
5、保存配置
Ruijie(config)#end
Ruijie#wr
汇聚交换机配置:
1、创建汇聚设备的IP地址,即用户的网关地址
Ruijie(config)#interface vlan 10
Ruijie(config-if-VLAN 10)#ip address 192.168.1.254 255.255.255.0
Ruijie(config-if-VLAN 10)#exit
2、创建汇聚设备与核心设备的互联IP地址
Ruijie(config)#interface gigabitEthernet 0/24
Ruijie(config-if-GigabitEthernet 0/24)#no switchport
Ruijie(config-if-GigabitEthernet 0/24)#ip address 172.16.1.2 255.255.255.252
Ruijie(config-if-GigabitEthernet 0/24)#exit
3、创建汇聚设备到外网的默认路由
Ruijie(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1
4、开启汇聚交换机的DHCP服务功能
Ruijie(config)#service dhcp ------>该命令默认不启用,交换机必须配置
5、开启汇聚交换机的DHCP relay功能
Ruijie(config)#ip helper-address 172.16.1.1 ------>该地址需要是核心交换机的IP地址,并且路由可达
6、保存配置
Ruijie(config)#end
Ruijie#wr
7、注意:中继环境中,需要在有配置DHCP snooping的交换机额外配置 check-giaddr,否则会导致获取不到ip地址(实验未认证出来);DHCP snooping只能窥探非中继的DHCP报文,如果网络中有存在中继的情况,就必须要开启这个功能,方法如下
Ruijie>en
Ruijie(config)#interface gigabitEthernet 0/49
Ruijie(config-GigabitEthernet 0/49)#ip dhcp snooping trust --------开启DHCP snooping的交换机所有接口缺省为untrust口,交换机只转发从trust口收到的DHCP响应报文(offer、ACK)
Ruijie(config)#ip dhcp snooping check-giaddr ------>全局启动 DHCP Snooping 支持处理 Relay 请求报文功能
Ruijie(config)#end
sw5(config)#ip access-list extended 100
sw5(config-ext-nacl)#show this
Building configuration...
!
10 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
20 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
30 permit ip 192.168.20.0 0.0.0.255 192.168.0.0 0.0.255.255
40 permit ip 192.168.20.0 0.0.0.255 172.16.0.0 0.0.0.255
50 permit ip 192.168.20.0 0.0.0.255 10.0.0.0 0.255.255.255
60 permit ip 192.168.10.0 0.0.0.255 any
70 permit ip host 0.0.0.0 host 255.255.255.255
80 deny ip any any
interface GigabitEthernet 0/3
ip access-group 100 in --接口调用
sw5(config)#interface vlan 10
sw5(config-if-vlan 10)#ip access-group 100 in --接口调用
sw5(config)#service password-encryption
sw5(config)#
username ljc05 password 7 154b092c1b250c541752
username ljc05 login mode telnet
username ljc05 login mode console
sw5(config)#username ljc05 privilege ?
<0-15> User privilege level(default value: 1)
配置交换机管理IP
Ruijie>enable ------>进入特权模式
Ruijie#configure terminal ------>进入全局配置模式
Ruijie(config)#interface vlan 1 ------>进入vlan 1接口
Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0 ------>为vlan 1接口上设置管理ip
Ruijie(config-if)#exit ------>退回到全局配置模式
3)、配置telnet密码
需求一:telnet时使用密码登入交换机 (console口不受影响)
Ruijie(config)#line vty 0 4 ------> 进入telnet密码配置模式,0 4表示允许共5个用户同时telnet登入到交换机
Ruijie(config-line)#login ------>启用需输入密码才能telnet成功
Ruijie(config-line)#password ruijie ------> 将telnet密码设置为ruijie
Ruijie(config-line)#exit ------> 回到全局配置模式
Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie
Ruijie(config)#end ------>退出到特权模式
Ruijie#write
需求二:telnet时使用用户名及密码登入交换机 (console口不受影响)
Ruijie(config)#line vty 0 4 ------>进入telnet密码配置模式,0 4表示允许共5个用户同时telnet登入到交换机
Ruijie(config-line)#login local ------>启用telnet时使用本地用户和密码功能
Ruijie(config-line)#exit ------>回到全局配置模式
Ruijie(config)#username admin password ruijie --默认登录模式是所有
( Ruijie(config)#username admin login mode ?
console Console login mode only
ftp Ftp login mode only
ssh Ssh login mode only
telnet Telnet login mode only )
------>配置远程登入的用户名为admin,密码为ruijie
Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie
Ruijie(config)#end ------>退出到特权模式
Ruijie#write ------>确认配置正确,保存配置
需求三:console口时使用密码登入交换机
Ruijie(config)#line console 0
Ruijie(config-line)#show this
Building configuration...
!
login
password ljc@123
需求四:console时使用用户名及密码登入交换机
Ruijie(config)#line console 0
Ruijie(config-line)#login local ------>启用时使用本地用户和密码功能
Ruijie(config-line)#exit ------>回到全局配置模式
Ruijie(config)#username admin password ruijie
Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie
Ruijie(config)#end ------>退出到特权模式
Ruijie#write ------>确认配置正确,保存配置
1、开启交换机的SSH服务功能
Ruijie#configure terminal
Ruijie(config)#enable service ssh-server
2、生成加密密钥:
Ruijie(config)#crypto key generate dsa ------>加密方式有两种:DSA和RSA,可以随意选择
Choose the size of the key modulus in the range of 360 to 2048 for your
Signature Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: ------>直接敲回车
% Generating 512 bit DSA keys ...[ok]
3、配置交换机的管理IP地址
Ruijie(config)#interface vlan 1
Ruijie(config-if)# ip address 192.168.1.1 255.255.255.0
需求一:SSH时仅使用密码登入交换机
Ruijie(config)#line vty 0 4 ------> 进入SSH密码配置模式,0 4表示允许共5个用户同时SSH登入到交换机
Ruijie(config-line)#login ------>启用需输入密码才能SSH成功
Ruijie(config-line)#password ruijie ------> 将SSH密码设置为ruijie
Ruijie(config-line)#exit ------> 回到全局配置模式
Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie
Ruijie(config)#end ------>退出到特权模式
Ruijie#write ------>确认配置正确,保存配置
ssh登录时候
出现输入用户名界面,随便输入一个用户名,我这边输入了 xxx 作为用户名
注意事项:如果要限制用户使用telnet登录,只能使用SSH登录,则需要调整配置,默认情况下telnet和SSH均可登录。
Ruijie(config)#line vty 0 4
Ruijie(config-line)#transport input ?
all All protocols
none No protocols
ssh TCP/IP SSH protocol
telnet TCP/IP Telnet protocol
Ruijie(config-line)#transport input ssh
需求二:SSH时使用用户名及密码登入交换机
Ruijie(config)#line vty 0 4 ------>进入SSH密码配置模式,0 4表示允许共5个用户同时SSH登入到交换机
Ruijie(config-line)#login local ------>启用SSH时使用本地用户和密码功能
Ruijie(config-line)#exit ------>回到全局配置模式
Ruijie(config)#username admin password ruijie ------>配置远程登入的用户名为admin,密码为ruijie
Ruijie(config)#enable password ruijie ------>配置进入特权模式的密码为ruijie
Ruijie(config)#end ------>退出到特权模式
Ruijie#write ------>确认配置正确,保存配置
注意事项:如果要限制用户使用telnet登录,只能使用SSH登录,则需要调整配置,默认情况下telnet和SSH均可登录。
Ruijie(config)#line vty 0 4
Ruijie(config-line)#transport input ?
all All protocols
none No protocols
ssh TCP/IP SSH protocol
telnet TCP/IP Telnet protocol
Ruijie(config-line)#transport input ssh
Ruijie>enable
Ruijie#config terminal
Ruijie(config)#username admin1 password admin1 ----->配置本地用户名和密码
Ruijie(config)#username admin2 password admin2
Ruijie(config)#aaa new-model ------>开启AAA功能
Ruijie(config)#aaa authentication login default local ------>先调用本地交换机配置的用户名密码,
Ruijie(config)#line vty 0 4
Ruijie(config-line)#login authentication default ------>vty模式下应用login认证
(Ruijie(config-line)#transport input ?
all All protocols
none No protocols
ssh TCP/IP SSH protocol
telnet TCP/IP Telnet protocol)--默认放通ssh、telnet
Ruijie(config-line)#exit
Ruijie(config)#line console 0 ------>该方法对使用console口登录的用户也同样生效 ,请根据实际情况配置,如果配置操作失误,会导致无法登陆交换机,建议line vty的配置使用telnet或者SSH验证成功之后,再到lineconsole下配置
------配置了AAA(Ruijie(config)#aaa new-model),consele自动就会变成aaa的登录认证方式,继承上面配置的用户名和密码登录
配置前:
line console 0
login
password ljc@123
line vty 0 4
login local
password admin@123
配置后自动如下:
!
line console 0
password ljc@123
line vty 0 4
password admin@123
Ruijie(config-line)#login authentication default ------>console模式下应用login认证
Ruijie(config-line)#exit
Ruijie(config)#exit
Ruijie#write
创建好vlan,放通好vlan
VRRP配置
核心交换机A配置:
Ruijie(config)#int vlan 10 /sw5(config)#int g0/5 ---no swichport
Ruijie(config-VLAN 10)#ip address 192.168.10.254 255.255.255.0 ------>配置vlan10的ip地址
Ruijie(config-VLAN 10)#vrrp 1 ip 192.168.10.1 ------>配置vrrp虚拟地址
Ruijie(config-VLAN 10)#vrrp 1 priority 120 ------> 配置优先级,越大越优先,默认是100
Ruijie(config-VLAN 10)#exit
核心交换机B配置:
Ruijie(config)#int vlan 10
Ruijie(config-VLAN 10)#ip address 192.168.10.253 255.255.255.0
Ruijie(config-VLAN 10)#vrrp 1 ip 192.168.10.1
Ruijie(config-VLAN 10)#exit
二、组网拓扑
三、配置要点
配置浮动静态路由,并且配置BFD与静态路由联动
四、配置步骤
SW 1
1、配置IP地址及浮动静态路由
SW1>en
SW1#conf terminal
SW1(config)#interface gigabitEthernet 0/1
SW1(config-GigabitEthernet 0/1)#no switchport
SW1(config-GigabitEthernet 0/1)#ip address 1.1.1.2 255.255.255.0
SW1(config)#interface gigabitEthernet 0/2
SW1(config-GigabitEthernet 0/2)#no switchport
SW1(config-GigabitEthernet 0/2)#ip address 2.2.2.2 255.255.255.0
SW1(config)#ip route 0.0.0.0 0.0.0.0 g0/1 1.1.1.1 ------>配置默认路由,要和BFD联动,路由必须是配置出接口和下一跳,下一跳和对端BFD指定的源地址必须一致
SW1(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.1 200 ------>浮动路由
2、配置BFD与静态路由联动
SW1(config)#interface gigabitEthernet 0/1
SW1(config-GigabitEthernet 0/1)#bfd interval 500 min_rx 500 multiplier 3 ------>配置BFD时间参数,该命令同时启用了接口的BFD功能,因此必须配置; 这里的 500/500/3 为推荐配置,间隔500ms发送一个探测报文,连续3个没收到回应宣告链路失败。
SW1(config-GigabitEthernet 0/1)#no bfd echo ------>默认是bfd echo模式,在某些时候(如中间连接FW或对接友商设备的时候)可能把echo报文过滤导致BFD无法建立成功,推荐关闭,和友商对接的时候部分设备默认没有支持echo模式,本端默认打开的情况下,可能会出现会话down。
SW1(config)#ip route static bfd GigabitEthernet 0/1 1.1.1.1 source 1.1.1.2 ------> BFD和静态路由联动
SW2:
1、配置IP地址及浮动静态路由
SW2(config)#interface gigabitEthernet 0/1
SW2(config-GigabitEthernet 0/1)#ip address 1.1.1.1 255.255.255.0
SW2(config)#interface gigabitEthernet 0/2
SW2(config-GigabitEthernet 0/2)#ip address 2.2.2.1 255.255.255.0
SW2(config)#ip route 192.168.1.0 255.255.255.0 1.1.1.2
SW2(config)#ip route 192.168.1.0 255.255.255.0 2.2.2.2 200
2、配置BFD与静态路由联动
SW2(config)#interface gigabitEthernet 0/1
SW2(config-GigabitEthernet 0/1)#bfd interval 500 min_rx 500 multiplier 3
SW2(config-GigabitEthernet 0/1)#no bfd echo
SW2(config)#ip route static bfd GigabitEthernet 0/1 1.1.1.2 source 1.1.1.1
sw5#show run
sw5#show running-configBuilding configuration...
Current configuration: 3349 bytesversion X86_RGOS 12.5(5)
hostname sw5
!
aggregateport load-balance src-dst-ip
spanning-tree mst configuration
instance 0 vlan 1-9, 11-19, 21-4094
instance 1 vlan 10
instance 2 vlan 20
!
spanning-tree mst 0 priority 4096
spanning-tree mst 1 priority 0
spanning-tree
!
ip access-list extended 100
10 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
20 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
30 permit ip 192.168.20.0 0.0.0.255 192.168.0.0 0.0.255.255
40 permit ip 192.168.20.0 0.0.0.255 172.16.0.0 0.0.0.255
50 permit ip 192.168.20.0 0.0.0.255 10.0.0.0 0.255.255.255
60 permit ip 192.168.10.0 0.0.0.255 any
70 permit ip host 0.0.0.0 host 255.255.255.255
80 deny ip any any
!
ip access-list extended 101
10 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
20 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
30 permit ip any any
!
username ljc05 password 7 154b092c1b250c541752
username ljc05 login mode telnet
username ljc05 login mode console
!
aaa new-model
!
aaa authentication login default local
!
no cwmp
!
service dhcp
ip dhcp excluded-address 192.168.10.1
ip dhcp excluded-address 192.168.10.2
ip dhcp excluded-address 192.168.10.254
!
ip dhcp pool vlan10
network 192.168.10.0 255.255.255.0
dns-server 114.114.114.114
default-router 192.168.10.254
!
ip dhcp pool P_192.168.10.50
hardware-address 5000.0012.0000
host 192.168.10.50 255.255.255.0
lease 1 0 0
dns-server 8.8.8.8
default-router 192.168.10.254
!
install 0 X86
!
sysmac 5000.0005.0001
!
webmaster level 0 username admin secret 8 $1c$7eyy23uMQk$jz2xh0f#n0|$f!:r,.,8l#`!&:jj.$rv660|`!
service password-encryption
!
redundancy
!
clock timezone beijing +8 0
!
vpdn limit_rate 15
!
enable secret 8 $1c$7eyy23uMQk$jz2xh0f#n0|$f!:r,.,8l#`!&:jj.$rv660|`!
vlan range 1,10,20,30,172
!
interface GigabitEthernet 0/0
switchport access vlan 172
!
interface GigabitEthernet 0/1
port-group 1
!
interface GigabitEthernet 0/2
port-group 1
!
interface GigabitEthernet 0/3
switchport mode trunk
switchport trunk allowed vlan only 10,20,30
ip access-group 100 in
!
interface GigabitEthernet 0/4
switchport mode trunk
switchport trunk allowed vlan only 10,20,30
ip access-group 101 in
!
interface GigabitEthernet 0/5
no switchport
ip address 10.1.1.1 255.255.255.0
!
interface GigabitEthernet 0/6
!
interface GigabitEthernet 0/7
!
interface GigabitEthernet 0/8
no switchport
ip address 1.1.1.5 255.255.255.0
!
interface GigabitEthernet 0/9
!
interface AggregatePort 1
switchport mode trunk
switchport trunk allowed vlan only 10,20,30,172
!
interface VLAN 1
ip address mix dhcp
!
interface VLAN 10
ip address 192.168.10.1 255.255.255.0
vrrp 1 ip 192.168.10.254
vrrp 1 priority 120
!
interface VLAN 20
ip address 192.168.20.1 255.255.255.0
vrrp 2 ip 192.168.20.254
!
interface VLAN 30
ip address 192.168.30.1 255.255.255.0
vrrp 3 ip 192.168.30.254
!
interface VLAN 172
ip address 172.16.1.1 255.255.255.0
bfd interval 500 min_rx 500 multiplier 3
!
ip route static bfd VLAN 172 172.16.1.254 source 172.16.1.1
!
ip route 0.0.0.0 0.0.0.0 VLAN 172 172.16.1.254
ip route 0.0.0.0 0.0.0.0 172.16.1.253 61
!
line console 0
line vty 0 4
transport input telnet
!
end
4、定义nat的内网口和外网口
R1(config)#interface gigabitEthernet 0/1
R1(config-GigabitEthernet 0/1)#ip nat outside //配置nat的外网口
R1(config-GigabitEthernet 0/1)#exit
R1(config)#int gigabitEthernet 0/0
R1(config-GigabitEthernet 0/0)#ip nat inside//配置nat的内网口
R1(config-GigabitEthernet 0/0)#exit
5、在R1上配置ACL,把内网需要进行NAT转换的流量匹配出来
R1(config)#ip access-list standard 10
R1(config-std-nacl)#10 permit 172.16.1.0 0.0.0.255
R1(config-std-nacl)#exit
6、配置场景一nat转换策略
R1(config)#ip nat inside source list 10 interface gigabitEthernet 0/1 overload //将acl 10匹配的流量,执行nat转换,转换成gigabitEthernet 0/1口的地址
7、配置场景二nat转换策略
1)配置公网地址池
R1(config)#ip nat pool ruijie netmask 255.255.255.0 //配置一个名字为ruijie的公网地址池
R1(config-ipnat-pool)#address 192.168.2.10 192.168.2.11 //公网地址的起始ip地址,结束ip地址
R1(config-ipnat-pool)#address 192.168.2.15 192.168.2.15//若有多个公网地址,但是不连续,可以配置多个公网地址段
R1(config-ipnat-pool)#exit
注意:
1)公网地址池的地址,不一定要跟外网口的地址在同一个网段,只要是外网分配的可用ip地址就可以。
2) 公网地址的起始ip地址和结束ip地址可以不连续
2)配置nat转换策略
R1(config)#ip nat inside source list 10 pool ruijie overload //将acl 10匹配的流量,执行nat转换,转换成地址池ruijie里面的地址
注意:
overload参数是执行nat重载的含义,若不加overload是执行动态的ip一对一映射,不会执行端口转换,不能解决公网地址不够的问题。若是在网络出口执行NAT,是为了解决公网地址不够的问题,必须要加overload参数。
8、配置场景三nat转换策略
将内网服务器172.16.1.100 映射成公网地址192.168.2.168;或者将内网172.16.1.100 tcp 80端口 映射成公网的192.168.2.168 的80端口。
如下分别为基于ip地址的一对一映射及基于TCP、UDP协议的端口映射的配置示例:
1)基于ip地址的一对一映射
R1(config)#ip nat inside source static 172.16.1.100 192.168.2.168 permit-inside //把内网172.16.1.100 映射成公网的192.168.2.168
2)基于TCP、UDP协议的端口映射
R1(config)#ip nat inside source static tcp 172.16.1.100 80 192.168.2.168 80 permit-inside //把内网172.16.1.100 tcp 23端口 映射成公网的192.168.2.168 的23端口
注意:
1)静态nat转换,可以进行ip地址一对一的转换,也可以基于TCP、UDP协议进行端口转换。
2) permit-inside功能:当有内网服务器静态映射成公网地址时,内网PC若需要通过该公网地址访问服务器,就必须配置permit-inside参数,在配置静态nat时,建议都配置permit-inside参数。
r11(config)#router isis 1 --跟router isis 不一样
r11(config-router)#show th
Building configuration...
!
is-type level-1 --路由器角色为level-1
net 49.0001.0110.1101.1011.00
interface GigabitEthernet 0/0
no switchport
ip address 12.1.1.11 255.255.255.0
ip router isis 1 --接口开启isis 1
!
interface Loopback 0
ip address 11.11.11.11 255.255.255.255
ip router isis 1
R1(config)#router ospf 1 //启用ospf协议,进程号为1
R1(config-router)#network 192.168.1.1 0.0.0.0 area 0 //把192.168.1.1匹配的接口通告进ospf进程,区域号为0
R1(config-router)#network 10.1.1.1 0.0.0.0 area 0
R1(config-router)#exit
将area 2配置为stub区域
R3(config)#router ospf 1
R3(config-router)#area 2 stub //area 2 配置为stub区域
R3(config-router)#exit
将area 2配置为totally stub区域
R3(config)#router ospf 1
R3(config-router)#area 2 stub no-summary //area 2 配置为totally stub区域
R3(config-router)#exit
将area 2配置为nssa区域
R3(config)#router ospf 1
R3(config-router)#area 2 nssa //area 2 配置为nssa区域
R3(config-router)#exit
将area 2配置为totally nssa区域
注意:
R3(config)#router ospf 1
R3(config-router)#area 2 nssa no-summary //area 2 配置为totally nssa区域
R3(config-router)#exit
r7(config)#show running-config
Building configuration...
Current configuration: 1751 bytesversion X86_RGOS 12.5(5)
hostname r7
!
ip access-list standard 10
5 permit 192.168.0.0 0.0.255.255
10 permit 172.16.0.0 0.0.255.255
!
username ljc07 password 7 06073a0e261b32765741
username ljc07 login mode telnet
!
aaa new-model
!
aaa authentication login default local
!
no cwmp
!
install 0 X86
!
sysmac 5000.0007.0001
!
webmaster level 0 username admin secret 8 $1c$7eyy23uMQk$jz2xh0f#n0|$f!:r,.,8l#`!&:jj.$rv660|`!
service password-encryption
!
redundancy
!
vpdn limit_rate 15
!
enable secret 8 $1c$7eyy23uMQk$jz2xh0f#n0|$f!:r,.,8l#`!&:jj.$rv660|`!
vlan 1
!
interface GigabitEthernet 0/0
no switchport
ip address 100.1.1.1 255.255.255.0
ip nat outside
!
interface GigabitEthernet 0/1
no switchport
ip address 172.16.1.254 255.255.255.0
bfd interval 500 min_rx 500 multiplier 3
ip nat inside
!
interface GigabitEthernet 0/2
!
interface GigabitEthernet 0/3
!
interface GigabitEthernet 0/4
!
interface GigabitEthernet 0/5
!
interface GigabitEthernet 0/6
!
interface GigabitEthernet 0/7
!
interface GigabitEthernet 0/8
no switchport
ip address 1.1.1.7 255.255.255.0
!
interface GigabitEthernet 0/9
!
interface Loopback 0
ip address 7.7.7.7 255.255.255.255
!
interface VLAN 1
ip address mix dhcp
!
ip nat inside source list 10 interface GigabitEthernet 0/0 overload
!
ip route static bfd GigabitEthernet 0/1 172.16.1.1 source 172.16.1.254
!
ip route 0.0.0.0 0.0.0.0 100.1.1.2
ip route 192.168.10.0 255.255.255.0 172.16.1.1
ip route 192.168.10.0 255.255.255.0 GigabitEthernet 0/1 172.16.1.1
ip route 192.168.20.0 255.255.255.0 172.16.1.1
ip route 192.168.30.0 255.255.255.0 172.16.1.1
!
line console 0
line vty 0 4
transport input telnet
!
end
r11(config)#show running-config
Building configuration...
Current configuration: 1162 bytesversion X86_RGOS 12.5(5)
hostname r11
!
no cwmp
!
install 0 X86
!
sysmac 5000.000b.0001
!
webmaster level 0 username admin secret 8 $1c$7eyy23uMQk$jz2xh0f#n0|$f!:r,.,8l#`!&:jj.$rv660|`!
no service password-encryption
!
redundancy
!
vpdn limit_rate 15
!
enable secret 8 $1c$7eyy23uMQk$jz2xh0f#n0|$f!:r,.,8l#`!&:jj.$rv660|`!
vlan 1
!
interface GigabitEthernet 0/0
no switchport
ip address 12.1.1.11 255.255.255.0
ip router isis 1
!
interface GigabitEthernet 0/1
no switchport
ip address 13.1.1.11 255.255.255.0
ip router isis 1
!
interface GigabitEthernet 0/2
no switchport
ip address 100.1.1.2 255.255.255.0
ip router isis 1
!
interface GigabitEthernet 0/3
!
interface GigabitEthernet 0/4
!
interface GigabitEthernet 0/5
!
interface GigabitEthernet 0/6
!
interface GigabitEthernet 0/7
!
interface GigabitEthernet 0/8
!
interface GigabitEthernet 0/9
!
interface Loopback 0
ip address 11.11.11.11 255.255.255.255
!
interface VLAN 1
ip address mix dhcp
!
router isis 1
is-type level-1
net 49.0001.0110.1101.1011.00
graceful-restart
!
line console 0
line vty 0 4
login
!
end
参考文档: 1. 锐捷交换产品实施一本通.chm
2.锐捷路由产品一本通V6.7.chm