CCNA第6次课程(1)
CCNA
第
6
次课程(1)
壹、
Trunk
和
STP
一、交换机配置
1、
交换机连接交换机时,接口配置trunk;
2、
在router上配置单臂路由,路由器和交换机相连接,相连的这个端口配置trunk;
3、
SW连接PC,SW的这个端口配置access;
4、
当一个接口配置access模式,一个接口配置trunk模式,连接的时候是不能够相通的;
5、
PC连接SW,router连接SW,前15S侦听SW角色,后15S学习mac地址;
二、STP协议
1、
Root-ID指的就是Bridge-ID;
2、Nbr指的是端口的ID;
1、
cost值,指到达跟桥的路径;
2、
SW最高有4096个VLAN,但是VLAN0和VLAN4095不可用;
贰、
ACL
访问控制列表
一、ACL的原则
1、标准:
检查源地址;
通常允许、拒绝的是完整的协议;
2、扩展:
检查源地址和目的地址;
通常允许、拒绝的是某个特定的协议;
3、
进方向和反方向的检查
In方向的ACL比out方向的ACL更节约资源;
离源地址最近的地方做ACL更节约资源;
Cisco设备默认的ACL动作是deny;
Huawei、H3C默认的ACL动作是access;
叁、
ACL
的配置
一、配置实例
1、标准ACL编号1―99
2、扩展ACL编号100―199
3、如、拒绝192.168.1.100的主机
Access-list1deny192.168.1.1000.0.0.0;
Access-list1permitany;
4、拒绝192.168.1.0/24的网段
Access-list1deny192.168.1.00.0.0.255 ;
Access-list1permitany;
4、
应用接口
Interfacef0/0
Ipaccess-group1(acl号)in;
6、
当
R3
拒绝源地址
R2
不允许通过,则
R3
就不能学习
RIP
、
OSPF
、
EIGRP
;
注:
R3
上只检查通过
R3
的流量;
1、
拒绝
192.168.1.100/24
主机访问
80
端口
Access-list100denytcphost192.168.1.100anyeq80;
Access-list100permitipanyany
;
注:
TCP
:
TCP/IP
协议;
eq
:等于;
IP
:整个网络
IP
;
host
:仅仅限制某一个
IP
;
第一个
any
:任何源地址;
第二个
any
:任何目的地址;
最后应用到接口才能生效;
肆、端口多路复用和
PAT
一、端口多路复用,多个内网
IP
访问外网
1
、如图所示,怎么样实现
192.168.1.0/24
,访问
internet
。
操作步骤:
指定接口inside和outside;
Interfacef0/1;
Ipnatinside;
Interface f0/0;
Ipnatoutside;
指定哪个ip地址可以做NAT(使用ACL指定);
Access-list100permitip192.168.1.00.0.0.255any;
配置地址转换;
Ipnatinsidesourcelist100interff0/0overload(overlaod端口多路复用);
2、如下图,要求PCA访问外网的web服务器
Interfacef0/1;
Ipnatinside;
Interfacef0/0;
Ipnatoutside;
Access-list100permit ip host 192.168.1.1any;
Ipnatinsidesourcelist100interff0/0overload;
Iproute0.0.0.00.0.0.061.1.1.2;
3、查看nat表
Showipnattranslation;
1、
指定只支持50个nat转换(同时在线)
Ipnattranslationmax-entriesall-host50(全局模式);
2、
限制某台电脑的nat转换为10个
Ipnattranslationmax-entrieshost192.168.1.10010;
一、PAT端口地址转换
1、
如上图所示,要求internet的web服务器访问PCA;
Ipnatinsidesourcestatictcp192.168.1.18061.1.1.180;
或者
IPnatinsidesourcestatictcp192.168.1.28061.1.1.18080(这时internet访问PCA时需要加端口号);
2、
一个公网最多只能做65535个nat转换;
3、
多个公网IP做PAT
指定inside、outside接口;
使用ACL指定哪些流量做NAT;
指定哪些公网IP做NAT(地址池);
Ipnatpoolpoolname-line61.1.1.261.1.1.5network255.255.255.248;
配置NAT地址转换;
Ipnatinsidesourcelist100poolpoolname-lineoverload;
未完,请看下篇!