网络运维基础2

qq_171440515

已于 2023-12-26 13:41:19 修改

阅读量813

点赞数 18

文章标签：网络运维服务器

于 2023-12-14 20:21:46 首次发布

本文链接：https://blog.csdn.net/qq_41665284/article/details/135001930

版权

system-view 系统视图
interface g0/0/0进入路由器 GE0/0/0接口
ip address 192.168.1.1 255.255.255.0 在当前接口下设置IP地址和子网掩码
display ip routing-table 查看路由表
ip route-static 3.3.3.10 255.255.255.0 2.2.2.10 设置静态
ip route 目标网络目标网络子网掩码下一接口ip地址/送出口

网关：当一台电脑向另一台电脑发送信息时，首先判断目标地址网络位是否一致，如果不一致则交给网关处理，所以当电脑和路由器连接时，电脑的网关就是路由器连接口的IP地址
**此时图中的网关和路由器链接口的IP地址不一致所以就PING不通**
此时图中的网关和路由器链接口的IP地址不一致所以就PING不通，无法找到2.2.2.2，只有把PC1的网关改成192.168.1.10才能Ping通
网关：有两点一：必须要和当前PC机的网段一致
二：必须和路由接口地址相同

Vlan：虚拟局域网比如一家公司有三个办公室，每个办公室有10台电脑，这样最基础的可以按照办公室来设置Vlan
1.先创建Vlan 如：Vlan 10 Vlan 20 查询是否创建成功可以使用 display Vlan 即可查询
2.然后把路由器或者交换机的接口设置成当前VLan

交换机的接口有两种常用类型
1：Access是连接终端的类型，如电脑，打印机等等
2：trunk是连接其他交换机的
port link-type access 设置接口类型
port default vlan 10 把vlan10划入到这个接口中
在这里插入图片描述
在trunk模式下允许哪些vlan通过使用：port trunk allow-pass vlan all

ACL:访问控制规则，允许某些信息通过，剩下的不能通过
ACL：分为基本控制 basic,和高级控制 advance,基本控制只会检查源地址，高级则能检查目标地址
在这里插入图片描述
rule deny ip source （源IP）192.168.10.0 0.0.0.255 des （目IP）IP 掩码
这个规则，就是限制10 IP访问30 IP，ACL的子网掩码是取反来写的，0就是255，,255就是0放行其他IP过来的消息注意：这是两个规则一个禁止，一个放行然后在这里插入图片描述
traffic-filter 报文过滤
在0/0/1这个接口下，调用名字为test的ACL规则，来实现过滤包的目的
查看 ACL规则 display acl all

NAT. 私网转公网，比如一个小区好几层用户都会用一个公网IP去访问互联网
私网类似有192.168.x.x 10.x.x.x 172.16.x.x 到 172.31.x.x
在这里插入图片描述
一。先创建一个普通的ACL规则名称
然后创建这个规则：把所有192.168.X.X这个网段下面的IP地址全部转换，如上图所示***子网掩码是错误的得写成0.0.255.255 ***应为路由表是反子网掩码的，转换成什么呢，看下面
二。创建一个NAT的地址池，
在这里插入图片描述
nat address-group 1 64.1.1.2 64.1.1.6 这就是在池子里面建立了5个公网IP，注意中间的1不要忘了
地址池里面的地址不要和源地址目标地址重复
三。nat outbound 2999 address-group 1 这就是把ACL 2999下的数据包转换成address-group 1所定义的地址，不知道ACL对应的编号的话，就 display acl all查看下
在这里插入图片描述
特别注意，在acl编写下子网掩码，要按位与来写

NAT outBound是PC机出去上网使用的
NAT Server是服务器对外发布

先配置了一份，静态路由表的跳转，然后在把服务器的私网IP绑定到公网IP上
ip route-static 200.200.200.254 255.255.255.0 119.1.1.2 在路由器AR4上通过0/0/1这个接口时，他的下一跳都是119.1.1.2无论此时传入的IP地址是否是
nat server global 119.1.1.123 inside 172.16.0.1 表示内网ip为 172的服务器绑定的外网IP为119
在这里插入图片描述

telnet 远程登录路由器进行配置的工具

防火墙的配置

信任域和非信任域
以及DMZ域中间域

首先也是和路由器或者交换机一样，需要配置接口IP
然后配置信任区域
firewall zone trust 进入信任区域
add int g0/0/1 添加进入信任域的接口，接口按照自己链接的写
在加非信任域和外网口
firewall zone untrust add int g0/0/2

域创建完成后，在创建一个安全策略
security-policy 进入防火墙安全规则
rule name ShangWang 新建一个规则，给这个规则起一个名字叫shangwang
source-zone trust 从信任区域
destination-zone untrust 到非信任区域
action permit 授权操作许可
这里就把安全策略弄完了
接下来，需要把内网IP转换成外网IP
使用nat技术，把内网IP转换成外网IP
nat-policy 进入nat配置
rule name shangwang 新建一个nat配置，命名为shangwang
source-zone trust 从信任区来
destination-zone untrust 到非信任区去

action source-nat easy-ip 做地址转换，转成出口ip

qq_171440515

关注

18
点赞
踩
18

收藏

觉得还不错? 一键收藏
1
评论
网络运维基础2

此时图中的网关和路由器链接口的IP地址不一致所以就PING不通，无法找到2.2.2.2，只有把PC1的网关改成192.168.1.10才能Ping通。网关：当一台电脑向另一台电脑发送信息时，首先判断目标地址网络位是否一致，如果不一致则交给网关处理，所以当电脑和路由器连接时，ip address 192.168.1.1 255.255.255.0 在当前接口下设置IP地址和子网掩码。interface g0/0/0进入路由器 GE0/0/0接口。网关：有两点一：必须要和当前PC机的网段一致。
复制链接

扫一扫