CCNA第6次课程(1)

CCNA 第 6 次课程(1)

壹、 Trunk 和 STP

一、交换机配置

1、 交换机连接交换机时，接口配置trunk；

2、 在router上配置单臂路由，路由器和交换机相连接，相连的这个端口配置trunk；

3、 SW连接PC，SW的这个端口配置access;

4、 当一个接口配置access模式，一个接口配置trunk模式，连接的时候是不能够相通的；

5、 PC连接SW，router连接SW，前15S侦听SW角色，后15S学习mac地址；

二、STP协议

1、 Root-ID指的就是Bridge-ID；

2、Nbr指的是端口的ID；

1、 cost值，指到达跟桥的路径；

2、 SW最高有4096个VLAN,但是VLAN0和VLAN4095不可用；

贰、 ACL 访问控制列表

一、ACL的原则

1、标准：

检查源地址；

通常允许、拒绝的是完整的协议；

2、扩展：

检查源地址和目的地址；

通常允许、拒绝的是某个特定的协议；

3、 进方向和反方向的检查

In方向的ACL比out方向的ACL更节约资源；

离源地址最近的地方做ACL更节约资源；

Cisco设备默认的ACL动作是deny；

Huawei、H3C默认的ACL动作是access；

叁、 ACL 的配置

一、配置实例

1、标准ACL编号1—99

2、扩展ACL编号100—199

3、如、拒绝192.168.1.100的主机

Access-list1deny192.168.1.1000.0.0.0；

Access-list1permitany;

4、拒绝192.168.1.0/24的网段

Access-list1deny192.168.1.00.0.0.255 ；

Access-list1permitany;

4、 应用接口

Interfacef0/0

Ipaccess-group1(acl号)in;

6、

当 R3 拒绝源地址 R2 不允许通过，则 R3 就不能学习 RIP 、 OSPF 、 EIGRP ；

注： R3 上只检查通过 R3 的流量；

1、 拒绝 192.168.1.100/24 主机访问 80 端口

Access-list100denytcphost192.168.1.100anyeq80;

Access-list100permitipanyany ；

注： TCP ： TCP/IP 协议； eq ：等于； IP ：整个网络 IP ； host ：仅仅限制某一个 IP ；

第一个 any ：任何源地址；

第二个 any ：任何目的地址；

最后应用到接口才能生效；

肆、端口多路复用和 PAT

一、端口多路复用，多个内网 IP 访问外网

1 、如图所示，怎么样实现 192.168.1.0/24 ，访问 internet 。

操作步骤：

指定接口inside和outside；

Interfacef0/1;

Ipnatinside;

Interface f0/0;

Ipnatoutside;

指定哪个ip地址可以做NAT（使用ACL指定）；

Access-list100permitip192.168.1.00.0.0.255any;

配置地址转换；

Ipnatinsidesourcelist100interff0/0overload（overlaod端口多路复用）;

2、如下图，要求PCA访问外网的web服务器

Interfacef0/1；

Ipnatinside；

Interfacef0/0；

Ipnatoutside;

Access-list100permit ip host 192.168.1.1any;

Ipnatinsidesourcelist100interff0/0overload;

Iproute0.0.0.00.0.0.061.1.1.2;

3、查看nat表

Showipnattranslation;

1、 指定只支持50个nat转换（同时在线）

Ipnattranslationmax-entriesall-host50（全局模式）；

2、 限制某台电脑的nat转换为10个

Ipnattranslationmax-entrieshost192.168.1.10010；

一、PAT端口地址转换

1、 如上图所示，要求internet的web服务器访问PCA；

Ipnatinsidesourcestatictcp192.168.1.18061.1.1.180；

或者

IPnatinsidesourcestatictcp192.168.1.28061.1.1.18080（这时internet访问PCA时需要加端口号）；

2、 一个公网最多只能做65535个nat转换；

3、 多个公网IP做PAT

指定inside、outside接口；

使用ACL指定哪些流量做NAT；

指定哪些公网IP做NAT（地址池）；

Ipnatpoolpoolname-line61.1.1.261.1.1.5network255.255.255.248；

配置NAT地址转换；

Ipnatinsidesourcelist100poolpoolname-lineoverload；

未完，请看下篇!

转载于:https://blog.51cto.com/zkhylt/729696