第一章:VTP
配置思路:
1>设置VTP域名
2>设置VTP模式
3>创建VLAN
4>配置其它VTP参数
vtp domian [domian name] //设置vtp域名
vtp mode [server|client|transparent] //设置vtp模式
vtp password [passdord] //设置vtp口令
vtp pruning //配置vtp修剪
vtp version 2 //运行vtp版本2
show vtp status //查看vtp配置信息
第二章:STP
配置思路:
1> 启用STP协议
2> 设置根网桥
3> 配置以太通道
4> 配置上行链路、速端口
spanning-tree vlan [vlan-list] //启用生成树协议
spanning-tree vlan [vlan-list] root [primary|secondary] //配置跟网桥
spanning-tree vlan [vlan-list] priority [bridge-priority] //修改网桥优先级
spanning-tree vlan [vlan-list] cost [cost] //修改端口成本
spanning-tree vlan [vlan-list] port-priority [priority] //修改端口优先级
spanning-tree uplinkfast //配置上行链路
spanning-tree portfasr //配置速端口
interface range f0/1 – 2 //进入1-2快速以太接口
channel-group 1 mode on //配置以太通道
show spanning-tree //查看生成树配置
show spanning-tree vlan [vlan-id] detail //查看某个vlan的生成树详细信息
show etherchannel 1 summary //查看以太通道1信息
第三章:三成交换
配置思路:
1> 开启三层交换路由功能
2> 配置VLAN IP地址
3> 关闭路由接口二层交换功能
ip routing //开启路由功能
interface vlan [vlan-id] //进入指定vlan
ip address [ip-address subnet-mask] //配置vlan IP地址和子网掩码
no switchport //配置接口为三层模式
ip helper-address [address] //中继转发DHCP地址
show ip route //查看路由表信息
show ip ecf //查看FIB表信息
show adjacency detail //查看邻接关系表信息
第五章:帧中继(Frame Relay)
配置思路:
1> 将路由器交换机转换成帧中继交换机
2> 设置帧中继交换机接口的带宽
3> 将接口IP地址关闭
4> 设置接口封装模式为帧中继
5> 设置接口DCE时钟频率
6> 配置接口封装协议
7> 配置接口成为DCE
8> 配置DLCI映射关系
9> 将接口开启
外网帧中继
frame-relay switching //开启帧中继协议
bandwidth [值] //设置接口带宽,反转ARP
no ip address //将接口IP禁用
encapsulation frame-relay //将接口封装模式为帧中继
clock rate [time] //设置接口DCE时钟频率
frame-relay lmi-type [cisco|ansi] //配置接口封装帧中继协议
frame-relay intf-typr [dce|dte] //配置接口成为DCE或DTE
frame-relay route [值] interface [接口] [值] //配置端口帧中继DLCI映射关系
no ip mroute-cache //关闭路由高级缓存
本地帧中继
interface s0/0 //进入同步串行接口
encapsulation frame-relay //配置接口封装方式为帧中继
frame-relay interface-hdlc [值] //将外网的DLCI对应到帧中继接口上
frame-relay lmi-type [cisco|ansi] //配置接口封装的类型
frame-relay map ip [ip address] broadcast //配置DTE静态帧中继映射
第六章:PPP
配置思路:
1> 进入接口将接口封装为PPP协议
2> 配置配置接口IP地址
3> 配置主认证方PAP或者CHAP认证
4> 配置被认证方PAP或者CHAP认证
5> 配置IP地址协商
6> 配置PPP压缩
PAP
encapsulation ppp //配置接口封装方式为PPP协议
ip address [ip address ip mask] //配置接口IP地址和子网掩码
shutdown //将接口关闭
no shutdown //将端口开启
username [username] password 0 [password] //配置验证用户名和密码 "不带0是加密密码
ppp authentication [pap|chap] //配置接口认证方式
ppp pap sent-username [username] password 0 [password] //配置被认证方用户密码 "PAP模式下需要填写的是主认证方的用户名和密码
CHAP
主认证方
username [username] password 0 [password] //配置主认证端用户名和密码
ppp encapsulation chap //将端口封装成CHAP认证方式
被认证方
username [username] password 0 [password] //配置主认证方发送过来的用户名和被认证放自己的密码
ppp chap password 0 [password] //在接口配置这条命令也可以达到相同的效果
IP协商
peer default ip address [ip address] //在PPP服务器要分配给对方的IP地址
ip address negotiated //在PPP客户端要获取服务器的IP地址
PPP压缩
compress [presictor|stac] //在接口启用PPP压缩 " Predictor会消耗大量的内存,Stac会占用大部分的CPU资源
ip tcp header-compression // 配置TCP头压缩
debug ppp packet //启用调试模式来查看PPP连接状态和协商过程
第八章:OSPF单域
配置思路:
1> 开启OSPF路由协议
2> 发布接口所在区域
3> 修改OSPF其它参数
interface loopback 0 //进入路由器回环接口
ip address [ip address] //配置回环接口IP地址多位路由器的RouterID
router ospf [进程号] //启动OSPF路由协议,设置进程号
network [网段地址] [反码掩码] area [区域号] //指定OSPF协议接口所运行的区域
ip ospf cost [值] //修改接口Cost值
ip ospf hello-interval [时间] //修改OSPF Hello值时间默认时间10秒
ip ospf dead-interval [时间] //修改OSPF Dead(失效间隔)时间,默认是Hello的4倍
show ip ospf neighbor //查看邻居列表
show ip ospf detabase //查看链路状态数据库
show ip ospf //查看OSPF配置
show ip ospf interface [接口] //查看OSPF接口状态
show ip ospf proce-id //显示指定进程信息
第九章:OSPF多域
配置思想:
1> 启用OSPF路由协议
2> 发布接口所在区域
area [area id] stub //将指定区域设置成末梢区域
area [area id] stub no-summary //将指定区域设置成完全末梢区域
debug ip ospf adj //查看路由器临界的整个过程
clear ip router //清空路由表
第十章:OSPF高级配置
配置思想:
1> 启用OSPF路由协议
2> 发布接口所在区域
3> 配置OSPF辅助地址
4> 配置路由重分发
5> 配置地址汇总
6> 配置徐链路
area [area id] nssa //将路由器配置成非纯末梢区域
area [area id] nssa no-summary //将在ASBR路由器设置为非纯末梢并不进行路由汇总
ip address [ip address] [netmask] secondary //配置接口辅助地址
area [area id] range [ip address] [mask] //在区域间路由器进行路由汇总
summary-address [ip address] [mask] //在ASBR路由器进行路由汇总
no summary-address //删除路由汇总
ip route [ip address] [mask] null0 //汇总后的地址当实际地址不存在时候将不会再走默认路由而是丢弃该数据包
redistribute [protocol] [protocol id] metric [metric跳数] metric-type [metric-tpye值] |subnets
//路由重分发 如:
router rip //启用RIP路由协议
redistribute ospf 2 metric 1 //将OSPF路由协议信息注入到RIP路由协议中 "OSPF的进程号是2 到达RIP路由协议路由器的跳数为1
redistribute rip metric 1 metric-tpye [1|2] subnets //将RIP路由协议信息注入到OSPF路由协议中 "其中metric 1 是给定一个OSPF代价,metric-tpye 1|2 1是计算整个路径的成本,2是不计算到达ASBR的路径成本,subnets 是网络汇总
passive-inerface [接口] //在路由模式下,不管什么协议,只进行接收不发送
area [area id] virtual-link [对端IP地址] //设置与同个区域内的路由器建立虚链路 ”虚链路的地址为对端路由器的IP地址
default-information originate //开启FSPF的默认动态路由,告诉下面其他路由学习它的默认路由
第十一章:HSRP
配置思想:
1> 配置HSRP组号虚拟地址
2> 配置HSRP优先级
3> 配置HSRP占先权
4> 配置HSRP端口跟踪
5> 配置HSRP其它参数
ip irdp multicast //在路由器中进行IRDP广播,要让Solaris操作系统兼容需要用此命令
ip irdp preference [number] //设置路由器IRDP优先级 "默认是0,值越大优先级越高
stanbdy [group number] ip [hsrp ip address] //设置热备的组号和热备IP地址
no standby group ip //取消一个端口用的热备IP地址
no ip redirects //关闭活跃路由器地址,"防止主机知道路由器真是MAC地址
stanbfy [group number] priority [值] //配置接口HSRP优先级
stanbdy [group number] preempt [值] //设置接口HSRP占先权
stanbdy [group number] times [hellotime|holdtime] //配置HSRP HELLO之间和HSRP保持时间,默认HELLO时间是3秒,保持时间是10秒,保持时间最少应该是HELLO时间的3倍
stanbdy [group number] track [接口] [值] //配置跟踪端口 "接口是路由有要跟踪的端口,值是当接口链路不可用时热备接口优先级自动降低指定数值
no stanbey group track //关闭端口跟踪
show stanbdy //查看路由所有热备信息
show stanbdy brief //查看路由热备状态
debug stanbdy //启用热备调式模式
no debug all //关闭所有调试模式
第十二章:ACL
配置思想:
1> 创建ACL规则列表
2> 将ACL规则应用到接口上
标准访问控制列表
access-list [list number] [deny|permit] [ip address] [mask] //创建标准ACL规则如:
access-list 1 deny 192.168.1.20 0.0.0.0 //建立ACL 1的规则并拒绝源地址为192.168.1.20的IP地址访问网络
access-list 1 permit 192.168.1.0 0.0.0.255 //在列表1的ACL中追加一条允许192.168.1.0网段的IP地址允许访问网络
access-lias 1 permit 0.0.0.0 255.255.255.255 //在列表1的ACL中追加一条允许所有IP允许访问网络
access-list 1 permit any //使用ANY通配符也可以达到允许所有地址访问网络的效果
access-list 1 permit host 192.168.1.10 //使用HOST通配符可以达到允许某个指定主机访问网络
ip access-group [access list number] in|out //在接口模式把某个ACL联系起来,指明ACL流量是应用于入口还是出口
扩展访问控制列表
access-list [access list number] [deny|permit] [protocol] [源地址] [目的地址] [lt|gt|eq|neq] [established //创建ACL规则
[access list number] //创建的ACL表号
[deny|permit] //允许或拒绝
[protocol] //协议协议
[lt|gt|eq|neq] //协议的端口 lt小于 gt大于 eq等于 neq不等于
[established] //如果数据包已建立链接ACK为1时,便可以允许数据的通过
如:
access-list 100 deny tcp 172.16.0.10 0.0.255.255 any eq 21 //拒绝172.16.0.0的网段访问所有目的地址TCP协议的21端口
命名访问控制列表
ip access-list [standard|extended] [name] //命名一条标准或者扩展的ACL如:
ip access-list extended weetzhen
deny tcp host 172.16.0.10 any eq 80 //拒绝主机为172.16.0.10 TCP协议的80端口通过
permit ip any amy //允许所有主机IP协议通过
ip access-group weetzhen out //在接口上应用weetzhen的ACL列表
no ip access-group [list number] //在接口模式删除指定ACL列表
no access-list [list number] //在全局模式删除指定ACL列表
show ip interface [interface] //查看接口详细信息
show access-list //查看路由器所有ACL信息
show access-list [list name] //查看路由器指定名字的详细信息
第十三章:NAT
配置思想:
1> 创建ACL规则
2> 将内网要和外网的IP地址做NAT映射
3> 配置要转换的公网IP地址池
4> 配置负载均衡
5> 启动接口NAT是出口还是入口
静态NAT
ip nat inside source static [目标ip] [转换外部ip] //将内部局部地址转换为内部全局地址
ip nat [inside|outside] //在接口模式启用NAT,并表明是入口还是出口
动态NAT
access-list [list number] permit [源IP] [反码] //配置ACL规则
ip nat pool [pool name] [star ip] [end ip] [netmask] //配置IP地址池如:
ip nat pool GWIP 61.134.2.100 61.134.2.150 255.255.255.0 type rotary
GWIP //地址池的名称
61.134.2.100 //要映射分配地址池公网IP的起始地址
61.134.2.150 //要映射分配地址池公网IP的终止地址
255.255.255.0 //要映射分配地址池公网IP的子网掩码
type rotary //地址池中的地址为循环使用
ip nat inside source list [list number] pool [pool name] //将ACL列表中的地址转换为公网地址池的地址如:
ip nat inside source list 1 pool GWIP //将ACL列表1的规则对应到地址池为GWIP中,也就是说在ACL列表1的内网IP地址在访问公网时将被转换成公网IP为:
61.134.2.10~61.134.2.150的IP地址
ip nat translation timeout [time] //动态NAT地址失效的时间,默认是24小时
ip nat [inside|outside] //在接口模式启用NAT,并表明是入口还是出口
PAT NAT
使用外部全局地址
同样要定义ACL规则
ip nat pool onlyone 61.134.2.100 61.134.2.100 netmask 255.255.255.248 //定义公网IP地址池,onlyone 为名称 由于只有一个IP地址,所以起始地址和终止地址都是相同的,子网掩码为255.255.255.248
ip ant inside source list [list unmber] pool [pool number] overload //将ACL列表的IP地址与公网地址池的IP地址建立映射关系 "注意:在使用PAT时必须在后面加上overload否者只能有一台主机IP地址被映射到公网上如:
ip nat inside source list 1 pool PATNAT overload //将ACL列表1的IP地址都映射为PATNAT的公网地址访问网络
同样也要在接口中启动、指明那个接口是出口和入口
使用服用路由外部接口地址
同样要定义ACL规则
由于只有一个公网IP地址,所以不需要定义IP地址池了
ip nat inside source list [list] interface [interface] overload //将ACL列表的地址与接口建立映射关系如:
ip nat inside source list 1 interface s0/0 overload //将ACL列表为1的内部IP地址映射到S0/0接口上,所有ACL列表1的IP地址都使用S0/0接口的IP地址做NAT转换
ip nat [inside|outside] //在接口模式启用NAT,并表明是入口还是出口
set ip next-hop [ip address] //指定数据包的出口下一条IP地址(用于策略路由)
set default interface [interface] //指定数据包默认走的接口
set ip tos [max-reliability|min-delty|max-thtoughput|min-monerytary-cost|normal]
//指定数据包类型
max-reliability //最大可靠性
min-delty //最小延时
max-thtoughput //最大通过率
min-monerytary-cost //最小开销货币
TCP负载均衡
interface s1/0 //进入S0/0接口
ip address 61.134.2.100 255.255.255.224 //配置IP地址
interface f0/0 //进入F0/0接口
ip address 192.168.1.1 255.255.255.0 //配置IP
access-list 1 permit 192.168.1.254 //创建ACL规则列表1并允许192.168.1.254的虚拟IP访问网络
ip nat pool real-hoat 192.168.1.1 192.168.1.3 prefix-length 24 type rotary
//配置一个名为real-host的地址池IP为:192.168.1.1~192.168.1.3的地址子网掩码长度为24位rotary表示轮循池
ip nat inside destination list 1 pool real-host //将ACL列表1的IP
(192.168.1.254)虚拟IP地址和地址池(real-host)的真是主机建立映射
ip nat [inside|outside] //在接口模式启用NAT,并表明是入口还是出口
show ip nat translations //查看NAT转换表
show ip nat statistics //查看NAT配置信息
第十四章:×××
配置思想:
IKE部分: 1>IKE协商策略配置使用的认证算法
2>配置告诉对端路由预先贡献分的密钥
3>设置共享密钥和对端IP地址
IPSec部分:1>配置IPSec传输模式名字、AH认证、ESP加密、ESP加密
2>配置×××的ACL规则
端口部分:1>创建Crypto Map
2>设定×××链路对端IP地
3>设置Crypto Map使用的传输模式
4>指定Crypto Map使用的ACL规则列表
5>在接口上使用Crypto Map
IKE协商
crypto isakmp policy [1~10000] //建立IKE协商策略、优先级
hash [md5|sha1] //使用认证的算法
authentication pre-share //告诉对端路由预先共享的密钥
crypto isakmp key [key name] address [ip address] //设置共享密钥与对端要建立×××的IP地址
IPSec协商
crypto ipsec transform-set [set name] [ah-md5-hmac|ah-sha-hmac] [esp-des|esp-3des|esp-null] [esp-dm5-hmac|esp-sha-hmac] //配置IPSec传输模式如:
crypto ipsec transform-set weetzhen ah-md5-hmac esp-des esp-md5-hmac
weetzhen //IPSec的名字
ah-md5-hmac //AH所使用的认证方法
esp-des //ESP所使用的加密方法
esp-md5-hmac //ESP所使用的认证方法
access-list [list unmber] permit ip [源IP] [netmask] [目的IP] [netmask]
//创建ACL规则列表,这里是允许私网到私网的地址
端口应用
crypto map [map name] [1~65535] ipsec-isakmp //创建Crypto map的名字、优先级、声明IKE是自动协商的
set peer [对端IP] //设定对端×××链路的IP地址
set transform-set [map name] //设定Crypto map使用的传输模式,名字是上面创建的Map name
match address [access-list] //指定Crypto Map使用的ACL规则
interface [interface] //进入接口
crypto map [map name] //在接口用启用Crypto Map,Map的名字为
show crypto isakmp policy //查看所有尝试协商的策略
show crypto ipsec transform-set //查看路由上设置的transform-set
show crypto ipsec sa //查看当前使用的安全联盟
show crypto map //查看路由器上的Crypto Map
第十五章:VoIP
配置思想:
1> 配置接口IP地址
2> 配置默认或者静态路由
3> 配置开启语音电话进程号
4> 指明本机VoIP电话号码
5> 将VoIP电话号码绑定到语音接口上
6> 指明VoIP的配置进程号
7> 配置要打的电话号码
8> 将要打的电话号码映射到路由接口的IP地址上
interface [interface] //进入接口
ip address [ip address] [netmask] //配置IP地址和子网掩码
ip route [目标IP] [目标掩码] [下一条IP] //配置静态或者默认路由
dial-peer voice [1~2147483647] pots //为语音单口配置,端口号,1是配置的进程号
destination-pattern [号码] //设置接口的VoIP电话号码
port [interface] //将号码绑定在指定接口上
dial-peer voice [1~2147483647] voip //指明是要设置的VoIP配置,进程号
destination-pattern [对方号码] //致命对方的VoIP号码
session targe ipv4:[ip address] //将号码映射到本路由器的出口上
第十六章:IPv6
配置思想:
1> 启用路由转发IPv6协议
2> 定义启用IPv6 RIP协议及名字
3> 配置接口IPv6地址
4> 在接口上启用IPv6 RIP协议
interface [interface] //进入接口
ipv6 address [ipv6 address] //配置接口的IPv6地址
no shutdown //将接口开启
ipv6 unicast-routing //开启路由IPv6转发功能
ipv6 router rip [rip name] //配置路由ipv6 RIP协议,为RIP协议命名
ipv6 rip [rip name] enable //在接口上启用IPv6 RIP协议
show ipv6 route //查看IPv6路由表
附:策略路由
基于源路由策略
配置思想:
1>网络管理员手动干涩数据包在路由器转发的路径
2>让数据包的流向可以随着网络管理员的配置
3>从而达到能控制数据包流向的过程
access-list 100 permit ip 192.168.200.0 0.0.0.255 61.134.1.20 0.0.0.255
//创建ACL规则列表为100 允许源地址为192.168.200.0网段的IP协议数据包访问目的地址为:61.134.1.20的流量
access-list 110 permit ip any 61.134.1.20 0.0.0.255
//创建ACL规则列表为110 允许所有地址IP协议数据包访问目的地址为:61.134.1.20的流量
route-map Policy1 permit 10
//建立侧裂路由,定义策略路由名字为:Policy1 优先级为:10
match ip address 100
//定义这条策略路由所引用的ACL规则条目为:100
set default interface [interface]
//指定如果符合定义ACL规则的条目的数据包将默认走指定的接口
route map Policy1 permit 20
//在原先的策略路由中再追加一条策略路由,名字还是:Policy1优先级为:20
match-map ip address 110
//定义这条策略路由所引用的ACL规则条目为:110
set default interface [interface]
//指定如果符合定义ACL规则的条目的数据包将默认走指定的接口
interface [interface]
//进入指定接口
ip policy route-map Policy1
//在接口中应用Policy1的策略路由
基于通信量策略
配置细想:
1>通过管理员干涩将指定的数据流量能按照管理员的意思选择路径
access-list 100 permit tcp any any eq smtp
//创建一条名为100的扩展ACL,允许所有网络地址访问所有目的地址TCP协议的SMTP端口
route-map TrafficPolicy1 permit 10
//建立一个策略路由名为:TrafficPolicy1优先级为:10
match ip address 100
//定义这条策略路由引用ACL为100的列表规则
set ip next-hop [next ip address]
//设置这条策略路由的下一跳地址(如果符合ACL列表为100的网络地址访问是TCP协议SMTP端口的数据包,将被发送到下一跳接口上)
route-map TrafficPolocy1 permit 20
//在原先的策略路由中再追加一条策略路由优先级为:20
set ip next-hop [next ip address]
//设置这条策略路由的下一跳地址
interface [interface]
//进入接口
ip policy route-map TrafficPolocy1
//在接口中应用名为:TrafficPolocy1的路由策略
服务类型策略
配置思想:
1>让路由器发送过来的数据包做TOS优先级处理
2>达到Qos服务质量处理过程
假设:R2路由器内的网络是服务于银行系统,需要安全性较高的网络质量,R3路由器内的网络服务于语音业务系统,对延时较为敏感,R5路由器内为骨干网络,R6为.....
我们就考虑于不同类型的数据包该如何去处理
可以给R2网络发送过来的数据包设置为最大可靠性,R3网络发过来的数据包设置为最小延时,R5网络发送过来的数据包设置成最大通过率,R6当然以一样了!!!就假定R6为最小货币开销
根据网络类型来设置路由策略,主要配置在R1和R4路由器上
R1:
access-list 1 permit 192.168.1.0 0.0.0.255
//创建ACL规则列表为1允许192.168.1.0网段数据包流量通过
access-list 2 permit 192.168.10.0 0.0.0.255
//创建ACL规则列表为2允许192.168.10.0网段数据包流量通过
route-map TosPolicy1 permit 10
//创建一条策略路由名为为:TosPolicy1优先级为10
match ip address 1
//将这条策略路由引用ACL列表1的规则
set ip tos max-reliability
//设置这条策略路由的Tos为:max-reliability(最大可靠性)
route-map TosPolicy1 permit 20
//在原先的策略路由中追加一条策略路由,优先级为20
match ip address 2
//将这条策略路由引用ACL列表2的规则
set ip tos min-delty
//设置正如条测录入路由的Tos为:min-delty(最小延时)
route-map TosPolicy1 permit 30
//在原先的策略路由中追加一条策略路由,优先级为30
set ip tos normal
//设置这条策略路由的Tos为normal(正常)
interface s1/0
//进入接口S1/0
ip policy route-map Tospolicy1
//在接口中应用名为Tospolicy1的路由策略
interface s1/1
//进入接口S1/1
uo policy route-map TosPolicy1
//在接口中应用名为Tospolicy1的路由策略
R4:
配置基本和R1一样,只是在设置Tos类型中盖面而已
set ip tos max-thtoughput
//设置路由的Tos为max-thtoughput(最大通过率)
set ip tos min-monerytary-cost
//设置路由的Tos为min-monerytary-cost(最小货币开销)
然后将策略路由应用到接口上
多ISP internet介入
为路由配置接口IP地址:
内网
interface f0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
外网
interface f0/1
ip address 168.168.18.158 255.255.255.252
ip nat outside
interface s1/0
ip address 68.18.18.2 255.255.255.248
ip nat outside
ip nat pool Isp1_Pool 168.168.18.159 168.168.18.165 netmask 255.255.255.224
//创建一个公网IP地址池名为:Isp1_Pool,地址池起始IP为:168.168.18.159终止IP为:168.168.18.165子网掩码为:255.255.255.224(也就是为第一个ISP的地址池)
ip nat pool Isp2_Pool 68.18.18.3 68.18.18.10 netmask 255.255.255.248
//与上条命令一样,为第二个ISP的ISP地址池
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
//创建一条名为100的ACL规则允许192.168.0.0网段的IP数据包流量通过
route-map Isp1 permit 10
//建立一个策略路由名为:Isp1优先级为:10
match ip address 100
//将这条策略路由引用ACL为100的规则
match interface f0/1
//将这条策略路由应用到F0/1接口上
ip nat inside source route-map Isp1 pool Isp1_Pool
//将Isp1引用的ACL规则地址与定义的Isp1_Pool地址池的地址做NAT转换
route-map Isp2 permit 20
match ip address 100
match interface s1/0
ip nat inside source route-map Isp2 pool Isp2_Pool
//同上
ip route 0.0.0.0 0.0.0.0 168.168.18.158
ip route 0.0.0.0 0.0.0.0 68.18.18.2
//发布2条默认路由的下一条浮动地址
端口多路复用:
同PAT一样为接口配置好IP,启用NAT,指定接口为入口或者出口
access-list 1 permit 192.168.18.0 0.0.0.255
//创建一个标准的ACL名为1的列表允许192.168.18.0网段地址数据包流量通过
注:由于直接使用外部接口地址,所以不再定义IP地址
route-map Isp1 permit 10
match ip address 1
match ip interface f0/1
//建立一个策略路由名为Isp1优先级为10
将这条策略路由引用ACL列表为1的规则
将这条策略路由应用到F0/1接口上
ip nat inside source route-map Isp1 interface f0/1 overload
ip nat inside source route-map Isp2 interface s1/0 overload
//将Isp1和Isp2应用的ACL规则地址与F0/1个S1/0接口硬扯NAT
ip route 0.0.0.0 0.0.0.0 168.168.18.158
ip route 0.0.0.0 0.0.0.0 68.18.18.1
//设置浮动默认路由
配置思路:
1>设置VTP域名
2>设置VTP模式
3>创建VLAN
4>配置其它VTP参数
vtp domian [domian name] //设置vtp域名
vtp mode [server|client|transparent] //设置vtp模式
vtp password [passdord] //设置vtp口令
vtp pruning //配置vtp修剪
vtp version 2 //运行vtp版本2
show vtp status //查看vtp配置信息
第二章:STP
配置思路:
1> 启用STP协议
2> 设置根网桥
3> 配置以太通道
4> 配置上行链路、速端口
spanning-tree vlan [vlan-list] //启用生成树协议
spanning-tree vlan [vlan-list] root [primary|secondary] //配置跟网桥
spanning-tree vlan [vlan-list] priority [bridge-priority] //修改网桥优先级
spanning-tree vlan [vlan-list] cost [cost] //修改端口成本
spanning-tree vlan [vlan-list] port-priority [priority] //修改端口优先级
spanning-tree uplinkfast //配置上行链路
spanning-tree portfasr //配置速端口
interface range f0/1 – 2 //进入1-2快速以太接口
channel-group 1 mode on //配置以太通道
show spanning-tree //查看生成树配置
show spanning-tree vlan [vlan-id] detail //查看某个vlan的生成树详细信息
show etherchannel 1 summary //查看以太通道1信息
第三章:三成交换
配置思路:
1> 开启三层交换路由功能
2> 配置VLAN IP地址
3> 关闭路由接口二层交换功能
ip routing //开启路由功能
interface vlan [vlan-id] //进入指定vlan
ip address [ip-address subnet-mask] //配置vlan IP地址和子网掩码
no switchport //配置接口为三层模式
ip helper-address [address] //中继转发DHCP地址
show ip route //查看路由表信息
show ip ecf //查看FIB表信息
show adjacency detail //查看邻接关系表信息
第五章:帧中继(Frame Relay)
配置思路:
1> 将路由器交换机转换成帧中继交换机
2> 设置帧中继交换机接口的带宽
3> 将接口IP地址关闭
4> 设置接口封装模式为帧中继
5> 设置接口DCE时钟频率
6> 配置接口封装协议
7> 配置接口成为DCE
8> 配置DLCI映射关系
9> 将接口开启
外网帧中继
frame-relay switching //开启帧中继协议
bandwidth [值] //设置接口带宽,反转ARP
no ip address //将接口IP禁用
encapsulation frame-relay //将接口封装模式为帧中继
clock rate [time] //设置接口DCE时钟频率
frame-relay lmi-type [cisco|ansi] //配置接口封装帧中继协议
frame-relay intf-typr [dce|dte] //配置接口成为DCE或DTE
frame-relay route [值] interface [接口] [值] //配置端口帧中继DLCI映射关系
no ip mroute-cache //关闭路由高级缓存
本地帧中继
interface s0/0 //进入同步串行接口
encapsulation frame-relay //配置接口封装方式为帧中继
frame-relay interface-hdlc [值] //将外网的DLCI对应到帧中继接口上
frame-relay lmi-type [cisco|ansi] //配置接口封装的类型
frame-relay map ip [ip address] broadcast //配置DTE静态帧中继映射
第六章:PPP
配置思路:
1> 进入接口将接口封装为PPP协议
2> 配置配置接口IP地址
3> 配置主认证方PAP或者CHAP认证
4> 配置被认证方PAP或者CHAP认证
5> 配置IP地址协商
6> 配置PPP压缩
PAP
encapsulation ppp //配置接口封装方式为PPP协议
ip address [ip address ip mask] //配置接口IP地址和子网掩码
shutdown //将接口关闭
no shutdown //将端口开启
username [username] password 0 [password] //配置验证用户名和密码 "不带0是加密密码
ppp authentication [pap|chap] //配置接口认证方式
ppp pap sent-username [username] password 0 [password] //配置被认证方用户密码 "PAP模式下需要填写的是主认证方的用户名和密码
CHAP
主认证方
username [username] password 0 [password] //配置主认证端用户名和密码
ppp encapsulation chap //将端口封装成CHAP认证方式
被认证方
username [username] password 0 [password] //配置主认证方发送过来的用户名和被认证放自己的密码
ppp chap password 0 [password] //在接口配置这条命令也可以达到相同的效果
IP协商
peer default ip address [ip address] //在PPP服务器要分配给对方的IP地址
ip address negotiated //在PPP客户端要获取服务器的IP地址
PPP压缩
compress [presictor|stac] //在接口启用PPP压缩 " Predictor会消耗大量的内存,Stac会占用大部分的CPU资源
ip tcp header-compression // 配置TCP头压缩
debug ppp packet //启用调试模式来查看PPP连接状态和协商过程
第八章:OSPF单域
配置思路:
1> 开启OSPF路由协议
2> 发布接口所在区域
3> 修改OSPF其它参数
interface loopback 0 //进入路由器回环接口
ip address [ip address] //配置回环接口IP地址多位路由器的RouterID
router ospf [进程号] //启动OSPF路由协议,设置进程号
network [网段地址] [反码掩码] area [区域号] //指定OSPF协议接口所运行的区域
ip ospf cost [值] //修改接口Cost值
ip ospf hello-interval [时间] //修改OSPF Hello值时间默认时间10秒
ip ospf dead-interval [时间] //修改OSPF Dead(失效间隔)时间,默认是Hello的4倍
show ip ospf neighbor //查看邻居列表
show ip ospf detabase //查看链路状态数据库
show ip ospf //查看OSPF配置
show ip ospf interface [接口] //查看OSPF接口状态
show ip ospf proce-id //显示指定进程信息
第九章:OSPF多域
配置思想:
1> 启用OSPF路由协议
2> 发布接口所在区域
area [area id] stub //将指定区域设置成末梢区域
area [area id] stub no-summary //将指定区域设置成完全末梢区域
debug ip ospf adj //查看路由器临界的整个过程
clear ip router //清空路由表
第十章:OSPF高级配置
配置思想:
1> 启用OSPF路由协议
2> 发布接口所在区域
3> 配置OSPF辅助地址
4> 配置路由重分发
5> 配置地址汇总
6> 配置徐链路
area [area id] nssa //将路由器配置成非纯末梢区域
area [area id] nssa no-summary //将在ASBR路由器设置为非纯末梢并不进行路由汇总
ip address [ip address] [netmask] secondary //配置接口辅助地址
area [area id] range [ip address] [mask] //在区域间路由器进行路由汇总
summary-address [ip address] [mask] //在ASBR路由器进行路由汇总
no summary-address //删除路由汇总
ip route [ip address] [mask] null0 //汇总后的地址当实际地址不存在时候将不会再走默认路由而是丢弃该数据包
redistribute [protocol] [protocol id] metric [metric跳数] metric-type [metric-tpye值] |subnets
//路由重分发 如:
router rip //启用RIP路由协议
redistribute ospf 2 metric 1 //将OSPF路由协议信息注入到RIP路由协议中 "OSPF的进程号是2 到达RIP路由协议路由器的跳数为1
redistribute rip metric 1 metric-tpye [1|2] subnets //将RIP路由协议信息注入到OSPF路由协议中 "其中metric 1 是给定一个OSPF代价,metric-tpye 1|2 1是计算整个路径的成本,2是不计算到达ASBR的路径成本,subnets 是网络汇总
passive-inerface [接口] //在路由模式下,不管什么协议,只进行接收不发送
area [area id] virtual-link [对端IP地址] //设置与同个区域内的路由器建立虚链路 ”虚链路的地址为对端路由器的IP地址
default-information originate //开启FSPF的默认动态路由,告诉下面其他路由学习它的默认路由
第十一章:HSRP
配置思想:
1> 配置HSRP组号虚拟地址
2> 配置HSRP优先级
3> 配置HSRP占先权
4> 配置HSRP端口跟踪
5> 配置HSRP其它参数
ip irdp multicast //在路由器中进行IRDP广播,要让Solaris操作系统兼容需要用此命令
ip irdp preference [number] //设置路由器IRDP优先级 "默认是0,值越大优先级越高
stanbdy [group number] ip [hsrp ip address] //设置热备的组号和热备IP地址
no standby group ip //取消一个端口用的热备IP地址
no ip redirects //关闭活跃路由器地址,"防止主机知道路由器真是MAC地址
stanbfy [group number] priority [值] //配置接口HSRP优先级
stanbdy [group number] preempt [值] //设置接口HSRP占先权
stanbdy [group number] times [hellotime|holdtime] //配置HSRP HELLO之间和HSRP保持时间,默认HELLO时间是3秒,保持时间是10秒,保持时间最少应该是HELLO时间的3倍
stanbdy [group number] track [接口] [值] //配置跟踪端口 "接口是路由有要跟踪的端口,值是当接口链路不可用时热备接口优先级自动降低指定数值
no stanbey group track //关闭端口跟踪
show stanbdy //查看路由所有热备信息
show stanbdy brief //查看路由热备状态
debug stanbdy //启用热备调式模式
no debug all //关闭所有调试模式
第十二章:ACL
配置思想:
1> 创建ACL规则列表
2> 将ACL规则应用到接口上
标准访问控制列表
access-list [list number] [deny|permit] [ip address] [mask] //创建标准ACL规则如:
access-list 1 deny 192.168.1.20 0.0.0.0 //建立ACL 1的规则并拒绝源地址为192.168.1.20的IP地址访问网络
access-list 1 permit 192.168.1.0 0.0.0.255 //在列表1的ACL中追加一条允许192.168.1.0网段的IP地址允许访问网络
access-lias 1 permit 0.0.0.0 255.255.255.255 //在列表1的ACL中追加一条允许所有IP允许访问网络
access-list 1 permit any //使用ANY通配符也可以达到允许所有地址访问网络的效果
access-list 1 permit host 192.168.1.10 //使用HOST通配符可以达到允许某个指定主机访问网络
ip access-group [access list number] in|out //在接口模式把某个ACL联系起来,指明ACL流量是应用于入口还是出口
扩展访问控制列表
access-list [access list number] [deny|permit] [protocol] [源地址] [目的地址] [lt|gt|eq|neq] [established //创建ACL规则
[access list number] //创建的ACL表号
[deny|permit] //允许或拒绝
[protocol] //协议协议
[lt|gt|eq|neq] //协议的端口 lt小于 gt大于 eq等于 neq不等于
[established] //如果数据包已建立链接ACK为1时,便可以允许数据的通过
如:
access-list 100 deny tcp 172.16.0.10 0.0.255.255 any eq 21 //拒绝172.16.0.0的网段访问所有目的地址TCP协议的21端口
命名访问控制列表
ip access-list [standard|extended] [name] //命名一条标准或者扩展的ACL如:
ip access-list extended weetzhen
deny tcp host 172.16.0.10 any eq 80 //拒绝主机为172.16.0.10 TCP协议的80端口通过
permit ip any amy //允许所有主机IP协议通过
ip access-group weetzhen out //在接口上应用weetzhen的ACL列表
no ip access-group [list number] //在接口模式删除指定ACL列表
no access-list [list number] //在全局模式删除指定ACL列表
show ip interface [interface] //查看接口详细信息
show access-list //查看路由器所有ACL信息
show access-list [list name] //查看路由器指定名字的详细信息
第十三章:NAT
配置思想:
1> 创建ACL规则
2> 将内网要和外网的IP地址做NAT映射
3> 配置要转换的公网IP地址池
4> 配置负载均衡
5> 启动接口NAT是出口还是入口
静态NAT
ip nat inside source static [目标ip] [转换外部ip] //将内部局部地址转换为内部全局地址
ip nat [inside|outside] //在接口模式启用NAT,并表明是入口还是出口
动态NAT
access-list [list number] permit [源IP] [反码] //配置ACL规则
ip nat pool [pool name] [star ip] [end ip] [netmask] //配置IP地址池如:
ip nat pool GWIP 61.134.2.100 61.134.2.150 255.255.255.0 type rotary
GWIP //地址池的名称
61.134.2.100 //要映射分配地址池公网IP的起始地址
61.134.2.150 //要映射分配地址池公网IP的终止地址
255.255.255.0 //要映射分配地址池公网IP的子网掩码
type rotary //地址池中的地址为循环使用
ip nat inside source list [list number] pool [pool name] //将ACL列表中的地址转换为公网地址池的地址如:
ip nat inside source list 1 pool GWIP //将ACL列表1的规则对应到地址池为GWIP中,也就是说在ACL列表1的内网IP地址在访问公网时将被转换成公网IP为:
61.134.2.10~61.134.2.150的IP地址
ip nat translation timeout [time] //动态NAT地址失效的时间,默认是24小时
ip nat [inside|outside] //在接口模式启用NAT,并表明是入口还是出口
PAT NAT
使用外部全局地址
同样要定义ACL规则
ip nat pool onlyone 61.134.2.100 61.134.2.100 netmask 255.255.255.248 //定义公网IP地址池,onlyone 为名称 由于只有一个IP地址,所以起始地址和终止地址都是相同的,子网掩码为255.255.255.248
ip ant inside source list [list unmber] pool [pool number] overload //将ACL列表的IP地址与公网地址池的IP地址建立映射关系 "注意:在使用PAT时必须在后面加上overload否者只能有一台主机IP地址被映射到公网上如:
ip nat inside source list 1 pool PATNAT overload //将ACL列表1的IP地址都映射为PATNAT的公网地址访问网络
同样也要在接口中启动、指明那个接口是出口和入口
使用服用路由外部接口地址
同样要定义ACL规则
由于只有一个公网IP地址,所以不需要定义IP地址池了
ip nat inside source list [list] interface [interface] overload //将ACL列表的地址与接口建立映射关系如:
ip nat inside source list 1 interface s0/0 overload //将ACL列表为1的内部IP地址映射到S0/0接口上,所有ACL列表1的IP地址都使用S0/0接口的IP地址做NAT转换
ip nat [inside|outside] //在接口模式启用NAT,并表明是入口还是出口
set ip next-hop [ip address] //指定数据包的出口下一条IP地址(用于策略路由)
set default interface [interface] //指定数据包默认走的接口
set ip tos [max-reliability|min-delty|max-thtoughput|min-monerytary-cost|normal]
//指定数据包类型
max-reliability //最大可靠性
min-delty //最小延时
max-thtoughput //最大通过率
min-monerytary-cost //最小开销货币
TCP负载均衡
interface s1/0 //进入S0/0接口
ip address 61.134.2.100 255.255.255.224 //配置IP地址
interface f0/0 //进入F0/0接口
ip address 192.168.1.1 255.255.255.0 //配置IP
access-list 1 permit 192.168.1.254 //创建ACL规则列表1并允许192.168.1.254的虚拟IP访问网络
ip nat pool real-hoat 192.168.1.1 192.168.1.3 prefix-length 24 type rotary
//配置一个名为real-host的地址池IP为:192.168.1.1~192.168.1.3的地址子网掩码长度为24位rotary表示轮循池
ip nat inside destination list 1 pool real-host //将ACL列表1的IP
(192.168.1.254)虚拟IP地址和地址池(real-host)的真是主机建立映射
ip nat [inside|outside] //在接口模式启用NAT,并表明是入口还是出口
show ip nat translations //查看NAT转换表
show ip nat statistics //查看NAT配置信息
第十四章:×××
配置思想:
IKE部分: 1>IKE协商策略配置使用的认证算法
2>配置告诉对端路由预先贡献分的密钥
3>设置共享密钥和对端IP地址
IPSec部分:1>配置IPSec传输模式名字、AH认证、ESP加密、ESP加密
2>配置×××的ACL规则
端口部分:1>创建Crypto Map
2>设定×××链路对端IP地
3>设置Crypto Map使用的传输模式
4>指定Crypto Map使用的ACL规则列表
5>在接口上使用Crypto Map
IKE协商
crypto isakmp policy [1~10000] //建立IKE协商策略、优先级
hash [md5|sha1] //使用认证的算法
authentication pre-share //告诉对端路由预先共享的密钥
crypto isakmp key [key name] address [ip address] //设置共享密钥与对端要建立×××的IP地址
IPSec协商
crypto ipsec transform-set [set name] [ah-md5-hmac|ah-sha-hmac] [esp-des|esp-3des|esp-null] [esp-dm5-hmac|esp-sha-hmac] //配置IPSec传输模式如:
crypto ipsec transform-set weetzhen ah-md5-hmac esp-des esp-md5-hmac
weetzhen //IPSec的名字
ah-md5-hmac //AH所使用的认证方法
esp-des //ESP所使用的加密方法
esp-md5-hmac //ESP所使用的认证方法
access-list [list unmber] permit ip [源IP] [netmask] [目的IP] [netmask]
//创建ACL规则列表,这里是允许私网到私网的地址
端口应用
crypto map [map name] [1~65535] ipsec-isakmp //创建Crypto map的名字、优先级、声明IKE是自动协商的
set peer [对端IP] //设定对端×××链路的IP地址
set transform-set [map name] //设定Crypto map使用的传输模式,名字是上面创建的Map name
match address [access-list] //指定Crypto Map使用的ACL规则
interface [interface] //进入接口
crypto map [map name] //在接口用启用Crypto Map,Map的名字为
show crypto isakmp policy //查看所有尝试协商的策略
show crypto ipsec transform-set //查看路由上设置的transform-set
show crypto ipsec sa //查看当前使用的安全联盟
show crypto map //查看路由器上的Crypto Map
第十五章:VoIP
配置思想:
1> 配置接口IP地址
2> 配置默认或者静态路由
3> 配置开启语音电话进程号
4> 指明本机VoIP电话号码
5> 将VoIP电话号码绑定到语音接口上
6> 指明VoIP的配置进程号
7> 配置要打的电话号码
8> 将要打的电话号码映射到路由接口的IP地址上
interface [interface] //进入接口
ip address [ip address] [netmask] //配置IP地址和子网掩码
ip route [目标IP] [目标掩码] [下一条IP] //配置静态或者默认路由
dial-peer voice [1~2147483647] pots //为语音单口配置,端口号,1是配置的进程号
destination-pattern [号码] //设置接口的VoIP电话号码
port [interface] //将号码绑定在指定接口上
dial-peer voice [1~2147483647] voip //指明是要设置的VoIP配置,进程号
destination-pattern [对方号码] //致命对方的VoIP号码
session targe ipv4:[ip address] //将号码映射到本路由器的出口上
第十六章:IPv6
配置思想:
1> 启用路由转发IPv6协议
2> 定义启用IPv6 RIP协议及名字
3> 配置接口IPv6地址
4> 在接口上启用IPv6 RIP协议
interface [interface] //进入接口
ipv6 address [ipv6 address] //配置接口的IPv6地址
no shutdown //将接口开启
ipv6 unicast-routing //开启路由IPv6转发功能
ipv6 router rip [rip name] //配置路由ipv6 RIP协议,为RIP协议命名
ipv6 rip [rip name] enable //在接口上启用IPv6 RIP协议
show ipv6 route //查看IPv6路由表
附:策略路由
基于源路由策略
配置思想:
1>网络管理员手动干涩数据包在路由器转发的路径
2>让数据包的流向可以随着网络管理员的配置
3>从而达到能控制数据包流向的过程
access-list 100 permit ip 192.168.200.0 0.0.0.255 61.134.1.20 0.0.0.255
//创建ACL规则列表为100 允许源地址为192.168.200.0网段的IP协议数据包访问目的地址为:61.134.1.20的流量
access-list 110 permit ip any 61.134.1.20 0.0.0.255
//创建ACL规则列表为110 允许所有地址IP协议数据包访问目的地址为:61.134.1.20的流量
route-map Policy1 permit 10
//建立侧裂路由,定义策略路由名字为:Policy1 优先级为:10
match ip address 100
//定义这条策略路由所引用的ACL规则条目为:100
set default interface [interface]
//指定如果符合定义ACL规则的条目的数据包将默认走指定的接口
route map Policy1 permit 20
//在原先的策略路由中再追加一条策略路由,名字还是:Policy1优先级为:20
match-map ip address 110
//定义这条策略路由所引用的ACL规则条目为:110
set default interface [interface]
//指定如果符合定义ACL规则的条目的数据包将默认走指定的接口
interface [interface]
//进入指定接口
ip policy route-map Policy1
//在接口中应用Policy1的策略路由
基于通信量策略
配置细想:
1>通过管理员干涩将指定的数据流量能按照管理员的意思选择路径
access-list 100 permit tcp any any eq smtp
//创建一条名为100的扩展ACL,允许所有网络地址访问所有目的地址TCP协议的SMTP端口
route-map TrafficPolicy1 permit 10
//建立一个策略路由名为:TrafficPolicy1优先级为:10
match ip address 100
//定义这条策略路由引用ACL为100的列表规则
set ip next-hop [next ip address]
//设置这条策略路由的下一跳地址(如果符合ACL列表为100的网络地址访问是TCP协议SMTP端口的数据包,将被发送到下一跳接口上)
route-map TrafficPolocy1 permit 20
//在原先的策略路由中再追加一条策略路由优先级为:20
set ip next-hop [next ip address]
//设置这条策略路由的下一跳地址
interface [interface]
//进入接口
ip policy route-map TrafficPolocy1
//在接口中应用名为:TrafficPolocy1的路由策略
服务类型策略
配置思想:
1>让路由器发送过来的数据包做TOS优先级处理
2>达到Qos服务质量处理过程
假设:R2路由器内的网络是服务于银行系统,需要安全性较高的网络质量,R3路由器内的网络服务于语音业务系统,对延时较为敏感,R5路由器内为骨干网络,R6为.....
我们就考虑于不同类型的数据包该如何去处理
可以给R2网络发送过来的数据包设置为最大可靠性,R3网络发过来的数据包设置为最小延时,R5网络发送过来的数据包设置成最大通过率,R6当然以一样了!!!就假定R6为最小货币开销
根据网络类型来设置路由策略,主要配置在R1和R4路由器上
R1:
access-list 1 permit 192.168.1.0 0.0.0.255
//创建ACL规则列表为1允许192.168.1.0网段数据包流量通过
access-list 2 permit 192.168.10.0 0.0.0.255
//创建ACL规则列表为2允许192.168.10.0网段数据包流量通过
route-map TosPolicy1 permit 10
//创建一条策略路由名为为:TosPolicy1优先级为10
match ip address 1
//将这条策略路由引用ACL列表1的规则
set ip tos max-reliability
//设置这条策略路由的Tos为:max-reliability(最大可靠性)
route-map TosPolicy1 permit 20
//在原先的策略路由中追加一条策略路由,优先级为20
match ip address 2
//将这条策略路由引用ACL列表2的规则
set ip tos min-delty
//设置正如条测录入路由的Tos为:min-delty(最小延时)
route-map TosPolicy1 permit 30
//在原先的策略路由中追加一条策略路由,优先级为30
set ip tos normal
//设置这条策略路由的Tos为normal(正常)
interface s1/0
//进入接口S1/0
ip policy route-map Tospolicy1
//在接口中应用名为Tospolicy1的路由策略
interface s1/1
//进入接口S1/1
uo policy route-map TosPolicy1
//在接口中应用名为Tospolicy1的路由策略
R4:
配置基本和R1一样,只是在设置Tos类型中盖面而已
set ip tos max-thtoughput
//设置路由的Tos为max-thtoughput(最大通过率)
set ip tos min-monerytary-cost
//设置路由的Tos为min-monerytary-cost(最小货币开销)
然后将策略路由应用到接口上
多ISP internet介入
为路由配置接口IP地址:
内网
interface f0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
外网
interface f0/1
ip address 168.168.18.158 255.255.255.252
ip nat outside
interface s1/0
ip address 68.18.18.2 255.255.255.248
ip nat outside
ip nat pool Isp1_Pool 168.168.18.159 168.168.18.165 netmask 255.255.255.224
//创建一个公网IP地址池名为:Isp1_Pool,地址池起始IP为:168.168.18.159终止IP为:168.168.18.165子网掩码为:255.255.255.224(也就是为第一个ISP的地址池)
ip nat pool Isp2_Pool 68.18.18.3 68.18.18.10 netmask 255.255.255.248
//与上条命令一样,为第二个ISP的ISP地址池
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
//创建一条名为100的ACL规则允许192.168.0.0网段的IP数据包流量通过
route-map Isp1 permit 10
//建立一个策略路由名为:Isp1优先级为:10
match ip address 100
//将这条策略路由引用ACL为100的规则
match interface f0/1
//将这条策略路由应用到F0/1接口上
ip nat inside source route-map Isp1 pool Isp1_Pool
//将Isp1引用的ACL规则地址与定义的Isp1_Pool地址池的地址做NAT转换
route-map Isp2 permit 20
match ip address 100
match interface s1/0
ip nat inside source route-map Isp2 pool Isp2_Pool
//同上
ip route 0.0.0.0 0.0.0.0 168.168.18.158
ip route 0.0.0.0 0.0.0.0 68.18.18.2
//发布2条默认路由的下一条浮动地址
端口多路复用:
同PAT一样为接口配置好IP,启用NAT,指定接口为入口或者出口
access-list 1 permit 192.168.18.0 0.0.0.255
//创建一个标准的ACL名为1的列表允许192.168.18.0网段地址数据包流量通过
注:由于直接使用外部接口地址,所以不再定义IP地址
route-map Isp1 permit 10
match ip address 1
match ip interface f0/1
//建立一个策略路由名为Isp1优先级为10
将这条策略路由引用ACL列表为1的规则
将这条策略路由应用到F0/1接口上
ip nat inside source route-map Isp1 interface f0/1 overload
ip nat inside source route-map Isp2 interface s1/0 overload
//将Isp1和Isp2应用的ACL规则地址与F0/1个S1/0接口硬扯NAT
ip route 0.0.0.0 0.0.0.0 168.168.18.158
ip route 0.0.0.0 0.0.0.0 68.18.18.1
//设置浮动默认路由
转载于:https://blog.51cto.com/426440/98283
扫一扫
1780
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
