一、基础配置命令
Router >enable
Router # configure terminal
Router(config)#interface loopback 0 进入本地环回口0
Router(config-if)#ip add 1.1.1.1 255.255.255.0 给环回口配置地址
Router(config-if)#no shutdown 打开环回口
Router#show ip route 查看路由器的路由表
二、NAT技术配置
1、静态NAT配置
Router(config)#ip nat inside source static 192.168.1.1 202.96.1.3
将内部的单个地址192.168.1.1映射为202.96.1.3
Router(config)# int e0/0
Router(config-if)#ip address 202.96.1.3 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)# ip nat outside 设置nat转换的出接口
Router(config)# int e0/1
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)# ip nat inside 设置nat转换的入接口
端口映射
Router(config)# ip nat inside source static tcp 192.168.1.1 23 interface Ethernet0/0 80
将地址192.168.1.1的23端口映射到e0/0地址的80端口上
Router# show ip nat translations 查看nat映射对应的地址表
2、动态NAT配置
Router(config)#ip nat pool a 202.96.1.3 202.96.1.10 netmask 255.255.255.0
定义一个名为a的地址池,范围从202.96.1.3到202.96.1.10这个区间
Router(config)#ip nat inside source list 1 pool NAT
将内部的地址池,就是list1匹配的地址,通过地址池a进行一对一映射
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
定义内部需要上网的地址池,用于NAT转换
Router(config)# int e0/0
Router(config-if)# ip nat outside 设置nat转换的出接口
Router(config)# int e0/1
Router(config-if)# ip nat inside 设置nat转换的入接口
Router#show ip nat statistics 查看nat转换的统计信息
3、PAT配置
1)单ip接口pat设置
Router(config)# ip nat inside source list 1 interface Ethernet0/2 overload
将匹配到的地址通过接口E0/2做映射
Router(config)#access-list 1 permit 172.16.1.0 0.0.0.25
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# int e0/0
Router(config-if)# ip nat outside 设置nat转换的出接口
Router(config)# int e0/1
Router(config-if)# ip nat inside 设置nat转换的入接口
2)多公网ip的pat设置
Router(config)#ip nat pool b 202.96.1.3 202.96.1.10 netmask 255.255.255.0
定义一个名为b的地址池,范围从202.96.1.3到202.96.1.10这个区间
Router(config)#ip nat inside source list 1 pool NAT overload
将内部的地址池,就是list1匹配的地址,映射到地址池b的不ip的不同端口上
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# int e0/0
Router(config-if)# ip nat outside
Router(config)# int e0/1
Router(config-if)# ip nat inside
Router#show ip nat statistics 查看nat转换的统计信息
三、访问控制列表
1、标准ACL(199或13001999)
Router(config)#access-list 1 deny 172.16.1.0 0.0.0.255 定义表1禁止此网段通过
Router(config)#access-list 1 permit any 同时运行其他网络通过
Router(config)# int e0/0
Router(config-if)#ip access-group 1 in 将表1应用到此接口。
(注:in表示所匹配流量从此接口进,out表示所匹配流量从此接口出)
Router#show access-lists 查看所有控制列表
2、扩展ACL(100199或20002699)
Router(config)# access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www
定义扩展表100允许172网段的tcp流量访问主机2.2.2.2的web端口。(注:eq后面可以加端口,也可以是具体的服务名称)
Router(config)# access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 1.1.1.1 eq telnet
同时允许172网段的tcp流量访问主机2.2.2.2的telnet端口
(注:思科的acl最后一条为deny ip any any,默认存在)
Router(config)# int e0/0
Router(config-if)#ip access-group 100 in 将表100应用到此接口
Router(config)# access-list 101 deny icmp 172.16.1.0 0.0.0.255 host 2.2.2.2
定义扩展表101禁止172网段的icmp流量访问主机2.2.2.2
Router(config)# access-list 101 deny icmp 172.16.1.0 0.0.0.255 host 1.1.1.1
定义扩展表101禁止172网段的icmp流量访问主机1.1.1.1
Router(config)# access-list 101 permit ip any any
允许其他的流量通过
Router(config)# int e0/1
Router(config-if)#ip access-group 101 in
3、命名ACL
Router(config)#ip access-list standard a
创建个名称为a的标准ACL
Router(config-std-nacl)#deny 172.16.1.0 0.0.0.255
Router(config-std-nacl)#permit any
Router(config)# int e0/0
Router(config-if)#ip access-group a in
将这个命名的acl应用到此接口
Router(config)#ip access-list extended b
创建个名称为b的标准扩展ACL
Router(config-ext-nacl)# access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www
同上
outer(config-ext-nacl)# access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 1.1.1.1 eq telnet
同上
Router(config)# int e0/1
Router(config-if)#ip access-group b in
4、基于时间ACL
Router(config)#time-range time
定义一个名称为time的时间段
Router(config-time-range)#periodic weekdays 8:00 to 18:00
定义一个时间,周一到周五的8点到18点
Router(config-time-range)#periodic Saturday Sunday 18:00 to 23:00
定义一个时间,周六到周日的18点到23点
Router(config)#access-list 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet
time-range time
只要在固定时间,才能匹配到这条ACL
Router(config)# int e0/1
Router(config-if)# ip access-group 111 in
Router#show time-range
5、动态ACL(选用,目前平台无法实现)
R2(config)#username dongda password dongda@2020
开启一个用户,用于验证登录
R2(config)#access-list 120 permit tcp 172.16.2.0 0.0.0.255 host 2.2.2.2 eq telnet
匹配需要登录的用户段,放行该网段的telnet
R2(config)#access-list 120 permit tcp 172.16.2.0 0.0.0.255 host 12.12.12.2 eq telnet
匹配需要登录的用户段,放行该网段的telnet
R2(config)#access-list 120 permit ip any any
放行流量,如果配置了其他协议,把ip改为其他协议流量
R2(config)# access-list 120 dynamic test timeout 120 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2
Dynamic定义动态ACL,命名为test,timeout定义ACL的超时时间
R2(config)# access-list 120 dynamic test timeout 120 permit tcp 172.16.3.0 0.0.0.255 host 12.12.12.2
R2(config)# int e0/1
R2 (config-if)# ip access-group 120 in
R2(config)#line vty 0 4
R2(config-line)#login local 本地验证
R2(config-line)# autocommand-options access-enable host timeout 5
在一个动态ACL中创建一个临时性的访问控制列表条目,timeout定义了空闲超时值,空闲超时值必须小于绝对超时值
6、自反ACL(选用)
R2(config)#ip access-list extended ACLOUT
定义扩展命令ACL叫ACLOUT,负责出口
R2(config-ext-nacl)#permit tcp any any reflect REF
定义自反的ACL
R2(config-ext-nacl)#permit udp any any reflect REF
定义自反的ACL
R2(config)#ip access-list extended ACLIN
定义扩展命令ACL叫ACLIN,负责入口
R2(config-ext-nacl)#evaluate REF
评估反射
R2(config-ext-nacl)#int e0/0
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
四、交换机知识拓展
1、交换机接口配置ip
Switch(config)#vlan 20
Switch(config)#interface vlan 20
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
这个ip为所有划分进vlan20主机的网关,或者用于设备互联。
Switch(config-if)#no shutdown
Switch(config)#int e0/1
Switch(config-if)#switchport access vlan 20
2、交换机配置静态路由
Switch(config)#ip routing 交换机开启路由功能
Switch (config)#ip route 10.10.10.0 255.255.255.128 192.168.1.1
五、路由器配置
1、dns设置
R1(config)#ip dns server
R1(config)#ip host baidu.com 221.226.31.2
Vpc配置dns
VPCS> ip dns 221.226.31.2
2、默认路由
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
把全部路由指向192.168.1.1,一般放在内网出口用,如果有明细路由,优先匹配明细路由,如果没有,则匹配默认路由