路由器配置

以R2为实例

静态路由：ip route 目的网段 目的掩码 下一跳地址

ip route 172.16.2.0 255.255.255.0 172.16.3.1
ip route 192.168.1.0 255.255.255.0 192.158.10.6

rip路由：network 接口网段

route rip
version 2
no auto-summary
network 172.16.3.0
network 192.168.10.4

ospf路由：network 接口网段 反掩码 area 区域号

route ospf 1
network 172.16.3.0 0.0.0.3 area 0
network 192.168.10.4 0.0.0.3 area 0

以R0为例
默认路由：ip route 0.0.0.0 0.0.0.0 下一跳地址

ip route 0.0.0.0 0.0.0.0 10.0.0.1

以SWA为例

查看端口配置信息：show running-config

查看指定端口配置信息：show running-config interfaces 端口号

查看端口状态：show interfaces

配置VLAN，加入端口：

VLAN 10  //创建VLAN
VLAN 20
exit
int f0/1
switch mode access 	//端口模式改为access模式
switch access vlan 10 	//将f0/1端口加入VLAN10
exit
int f0/2
switch mode access 
switch access vlan 20

配置VLAN接口，开启SWA的 路由功能：

int VLAN 10
ip add 192.168.10.1 255.255.255.0
no shut
int vlan 20
ip add 192.168.20.1 255.255.255.0
exit
ip routing 	//开启路由功能

SWA配置trunk：

int g0/1
switch trunk encapsulation dot1q	//二层端口封装802.1q协议（dot1q），也就是trunk链路的中继协议。
switch mode trunk	//三层交换机接口配置命令用来将二层端口配置成trunk端口

设置dhcp服务器：

service dhcp 	//开启dhcp服务
ip dhcp pool wlgc	//定义地址池
network 192.168.10.0 255.255.255.0	//dhcp服务器宣告可分配的网络
default-router 192.168.10.1		//默认网关，这个地址要和相应网络所连接的路由器的以太网地址相同
dns-server 192.168.10.10	//设置地址池中dhcp使用的dns服务器地址
ip dhcp excluded-address 192.168.10.1	//表示某一地址不由dhcp分配

此外：dhcp配置ip地址的租约有效期：lease 天 时 分

ACL配置

• 标准ACL

  创建ACL命令：

  Router(config)# access-list access-list-number {permit | deny} source [source-wildcard] 
   
   access-list-number：访问控制列表表号，对于标准ACL来说，该表号是1-99中的一个数字
   permit|deny：如果满足测试条件，则允许/拒绝该通信流量
   source：数据包的源地址，可以是主机地址，也可以是网络地址。
   source-wildcard：通配符掩码，也叫做反码。在用二进制0和1表示时，如果某位为1，表明这一位不需要进行匹配操作，如果为0，则表明这一位需要严格匹配
  

  eg.

  Router(config)# access-list 1 permit 192.168.1.0  0.0.0.255  //许来自网络192.168.1.0/24的流量通过
  

  将ACL引用于接口：

  Router(config-if)# ip access-group access-list-number {in| out}
  
  

• 扩展ACL

  创建ACL命令：

  Router(config)# access-list access-list-number {permit|deny} protocol {source source-wildcard destination destination-wildcard} [operator operan]
   
   accessi-list-number：ACL表号，对于扩展ACL来说，是100-199的一个数字
   protocol：用来指定协议，如IP、TCP、UDP、ICMP等
   source、destination：源、目的，分别用来标识源地址、目的地址
   source-wildcard、destination-wildcard：反码、目的反码
   operator operan：lt(小于)、gt(大于)、eq(等于)、neq(不等于)一个端口
  

  eg.允许网络192.168.1.0/24访问网络192.168.2.0/24的IP流量通过，而拒绝其它任何流量

  Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
  Router(config)# access-list 1.0 deny ip any any
  

• 命名ACL

  创建命名ACL的命令：

   Router(config)# ip access-list {standard|extended} access-list-name
   
   standard|extended：决定是标准命名ACL、扩展命名ACL
   access-list-name：有字母、数字组成的字符串
  

  (1)如果是标准命名ACL，命令语法如下：

  Router(config-std-nacl)# [Sequence-Number] {permit|deny} source [source-wildcard]
  

  (2)如果是扩展命名ACL，命令语法如下：

  Router(config-ext-nacl)# [Sequence-Number] {permit|deny} source [source-wildcard destination destination-wildcard] [operator operan]
  Sequence-Number：可选参数，表明配置的ACL语句在ACL中的位置，默认第一条为10，第二条20…
  

  **eg：**允许来自主机192.168.1.1/24的流量通过，而拒绝其它流量，使用标准命名ACL

  Router(config)# ip access-list standard yangshufan
  Router(config-std-nacl)# permit host 192.168.1.1    //默认ACL语句序列号为10
  Router(config-std-nacl)# deny any                  //默认ACL语句序列号为20
  

NAT配置：

• 静态NAT

  格式命令：

  ① ip nat inside source static  local-address global-address [permit-inside]
  
  ② ip nat inside source static 协议 local-address local-port global-address global-port [permit-inside]
  

  local-address：内部本地地址。是主机在网络内部的IP地址，一般是未注册的私有地址。

  global-address：内部全局地址。是内部主机在外部网络表现出的地址，一般是注册的合法地址。

  local-port：本地地址的服务器端口号

  global-port：全局地址的服务器端口号

  permit-inside：允许内部用户使用全局地址访问本地主机

  eg：

  R0：
  int f0/0
  ip nat inside 	//指定内部接口
  int s0/3/0
  ip nat outside	//指定外部接口
  /*配置静态NAT使192.168.10.9访问外网转换为202.202.202.103这个公网地址*/
  ip nat inside source static 192.168.10.9 202.202.202.103
  

• 动态NAT

  步骤：创建地址池→定义访问控制列表→关联地址池和控制列表

  创建地址池：ip nat pool 地址池名 开始IP地址 结束ip地址 netmask 掩码

  访问控制列表：access-list 列表序号 permit{deny} 允许/拒绝访问的ip地址段 反掩码

  关联地址池和控制列表：ip nat inside source list 列表序号 { pool 地址池名 | interface 端口号}

  ps:端口号：指定用该接口的IP地址作为内部全局地址

  eg1：

  int f0/0
  ip nat inside 	//指定内部接口
  int s0/3/0
  ip nat outside	//指定外部接口
  access-list 10 permit 192.168.10.0 0.0.0.255
  /*端口映射*/
  ip nat inside source list 10 interface s0/3/0
  /*利用静态nat*/
  ip nat inside source static tcp 192.168.10.9 80 202.202.202.102 80
  

  eg2：

  R0：
  int f0/0
  ip nat inside 	//指定内部接口
  int s0/3/0
  ip nat outside	//指定外部接口
  /*创建一个以200.200.200.200.1开始到200.200.200.10结束的地址池*/
  ip nat pool abc 200.200.200.1 200.200.200.10 netmask 255.255.255.240
  /*定义访问列表*/
  access-list 10 permit 192.168.10.0 0.0.0.255
  /*将列表10与地址池关联起来，允许列表10的用户去地址池里面拿地址*/
  ip nat inside source list 10 pool abc
  
  /*此外还需在isp还需做一条回程路由*/
  ip route 200.200.200.0 255.255.255.240 202.202.202.101
  

• PAT

  格式：ip nat inside source list 访问列表号 interface 端口号