最简单的静态NAT转换:
static (dmz,outside) 10101133 20035101 netmask 255255255255 ;将dmz接口所在网络内的20035101地址转换为10101133这样的outside网络地址
static (outside,dmz) 20035166 101011 netmask 255255255255 ;将outside网络的101011地址转换为20035166这样的dmz网络地址
然后在linux pc 尝试ping一下10101133地址,保证ping通。这样,就保证外网可以正常访问到>思科路由器的全部配置命令:
1、Exec commands:
<1-99> 恢复一个会话
bfe 手工应急模式设置
clear 复位功能
clock 管理系统时钟
configure 进入设置模式
connect 打开一个终端
copy 从tftp服务器拷贝设置文件或把设置文件拷贝到tftp服务器上
debug 调试功能
disable 退出优先命令状态
disconnect 断开一个网络连接
enable 进入优先命令状态
erase 擦除快闪内存
exit 退出exce模式
help 交互帮助系统的描述
lat 打开一个本地传输连接
lock 锁定终端
login 以一个用户名登录
logout 退出终端
mbranch 向树形下端分支跟踪多路由广播
mrbranch 向树形上端分支跟踪反向多路由广播
name-connection 给一个存在的网络连接命名
no 关闭调试功能
pad 打开X29 PAD连接
ping 发送回显信息
ppp 开始点到点的连接协议
reload 停机并执行冷启动
resume 恢复一个活动的网络连接
rlogin 打开远程注册连接
rsh 执行一个远端命令
send 发送信息到另外的终端行
setup 运行setup命令
show 显示正在运行系统信息
slip 开始SLIP协议
start-chat 在命令行上执行对话描述
systat 显示终端行的信息
telnet 远程登录
terminal 终端行参数
test 测试子系统内存和端口
tn3270 打开一个tin3270连接
trace 跟踪路由到目的地
undebug 退出调试功能
verify 验证检查闪烁文件的总数
where 显示活动的连接
which-route 执行OSI路由表查找并显示结果
write 把正在运行的设置写入内存、网络、或终端
x3 在PAD上设置X3参数
xremote 进入xremote模式
2、#show
access-expression 显示访问控制表达式
access-lists 显示访问控制表
apollo Apollo 网络信息
appletalk Apple Talk 信息
arap 显示Appletalk 远端通道统计
arp 地址解析协议表
async 访问路由接口的终端行上的信息
bridge 前向网络数据库
buffers 缓冲池统计
clns CLNS网络信息
clock 显示系统时钟
cmns 连接模式网络服务信息
compress 显示压缩状态
configuration 非易失性内存的内容
controllers 端口控制状态
debugging 调试选项状态
decnet DEC网络信息
dialer 拨号参数和统计
dnsix 显示Dnsix/DMPP信息
entry 排队终端入口
extended 扩展端口信息
flash 系统闪烁信息
flh-log 闪烁装载帮助日志缓冲区
frame-relay 帧中继信息
history 显示对话层历史命令
hosts IP域名,查找方式,名字服务,主机表
interfaces 端口状态和设置
ip IP信息
ipx Novell IPX信息
isis IS-IS路由信息
keymap 终端键盘映射
lat DEC LAT信息
line 终端行信息
llc2 IBM LLC2 环路信息
lnm IBM 局网管理
local-ack 本地认知虚环路
memory 内存统计
netbios-cache NetBios命名缓冲存贮器内存
node 显示已知LAT节点
ntp 网络时间协议
processes 活动进程统计
protocols 活动网络路由协议
queue 显示队列内容
queueing 显示队列设置
registry 功能注册信息
rhosts 远程主机文件
rif RIF存贮器入口
route-map 路由器信息
sdlle 显示sdlc-llc2转换信息
services 已知LAT服务
sessions 远程连接信息
smds SMDS信息
source-bridge 源网桥参数和统计
spanning-tree 跨越树形拓朴
stacks 进程堆栈应用
standby 热支持协议信息
stun STUN状态和设置
subsystem 显示子系统
tcp TCP连接状态
terminal 显示终端设置
tn3270 TN3270 设置
translate 协议转换信息
ttycap 终端容易表
users 显示终端行的信息
version 系统硬、软件状态
vines VINES信息
whoami 当前终端行信息
x25 X25信息
xns XNS信息
xermote Xremote统计
3、#config
Memory 从非易失性内存设置
Network 从TFTP网络主机设置
Overwrite-network 从TFTP网络主机设置覆盖非易失性内存
Terminal 从终端设置
4、Configure commads:
Access-list 增加一个访问控制域
Apollo Apollo全局设置命令
appletalk Appletalk 全局设置命令
arap Appletalk远程进出协议
arp 设置一个静态ARP入口
async-bootp 修改系统启动参数
autonomous-system 本地所拥有的特殊自治系统成员
banner 定义注册显示信息
boot 修改系统启动时参数
bridge 透明网桥
buffers 调整系统缓冲池参数
busy-message 定义当连接主机失败时显示信息
chat-script 定义一个调制解调器对话文本
clns 全局CLNS设置子命令
clock 设置时间时钟
config-register 定义设置寄存器
decnet 全局DEC网络设置子命令
default-value 缺省字符位值
dialer-list 创建一个拨号清单入口
dnsix-nat 为审计提供DMDM服务
enable 修改优先命令口令
end 从设置模式退出
exit 从设置模式退出
frame-relay 全局帧中继设置命令
help 交互帮助系统的描述
hostname 设置系统网络名
iterface 选择设置的端口
ip 全局地址设置子命令
ipx Novell/IPX全局设置命令
keymap 定义一个新的键盘映射
lat DEC本地传输协议
line 设置终端行
lnm IBM局网管理
locaddr-priority-list 在LU地址上建立优先队列
logging 修改注册(设备)信息
login-string 定义主机指定的注册字符串
map-class 设置静态表类
map-list 设置静态表清单
menu 定义用户接口菜单
mop 设置DEC MOP服务器
netbios NETBIOS通道控制过滤
no 否定一个命令或改为缺省设置
ntp 设置NTP
priority-list 建立特权列表
prompt 设置系统提示符
queue-list 建立常规队列列表
rcmd 远程命令设置命令
rcp-enable 打开Rep服务
rif 源路由进程
router-map 建立路由表或进入路由表命令模式
router 打开一个路由进程
rsh-enable 打开一个RSH服务
sap-priority-list 在SAP或MAC地址上建立一个优先队列
service 修改网络基本服务
snmp-server 修改SNMP参数
state-machine 定义一个TCP分配状态的机器
stun STUN全局设置命令
tacacs-server 修改TACACS队列参数
terminal-queue 终端队列命令
tftp-server 为网络装载请求提供TFTP服务
tn3270 tn3270设置命令
translate 解释全局设置命令
username 建立一个用户名及其权限
vines VINES全局设置命令
x25 X25 的第三级
x29 X29 命令
xns XNS 全局设置命令
xremote 设置Xremote
5、(config)#ip
Global IP configuration subcommands:
Accounting-list 选择保存IP记帐信息的主机
Accounting-threshold 设置记帐入口的最大数
accounting-transits 设置通过入口的最大数
alias TCP端口的IP地址取别名
as-path BGP自治系统路径过滤
cache-invalidate-delay 延迟IP路由存贮池的无效
classless 跟随无类前向路由规则
default-network 标志网络作为缺省网关候选
default-gateway 指定缺省网(如果没有路由IP)
domain-list 完成无资格主机的域名
domain-lookup 打开IP域名服务系统主机转换
domain-name 定义缺省域名
forward-protocol 控制前向的、物理的、直接的IP广播
host 为IP主机表增加一个入口
host-routing 打开基于主机的路由(代理ARP和再定向)
hp-host 打开HP代理探测服务
mobile-host 移动主机数据库
multicast-routing 打开前向IP
name-server 指定所用名字服务器的地址
ospf-name-lookup 把OSPF路由作为DNS名显示
pim PIM 全局命令
route 建立静态路由
routing 打开IP路由
security 指定系统安全信息
source-route 根据源路由头的选择处理包
subnet-zero 允许子网0子网
tcp 全局TCP参数在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:
内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
外部区域(外网):外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
停火区(DMZ):停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。1、首先点击服务器Server0,切换到桌面界面,进行IP配置。
2、其次切换到服务器的配置界面,对DHCP菜单进行配置,使连接此服务器的电脑自动分配IP地址。
3、然后对>你这个问题的配置太多了。我发一个项目给你看看吧。
1首先配置vlan及整个拓扑图内的网络设备IP地址。
(1)配置trunk链路
3560核心交换机
enable
configure terminal
interface rangefastethernet0/3 -5 //同时进入fa0/3~fa0/5端口模式
switchport trunkencapsulation dot1q //封装trunk中继封装
switchport mode trunk //配置成trunk模式
exit
interfacefastethernet0/24
switchport modetrunk //配置成trunk模式
no switchport //关闭二层接口,转换成三层接口,可配置IP地址
ip address1921681249 255255255252
shutdown //关闭端口
no shutdown //激活端口
(2)配置vtp(vlan中继协议)
3560核心交换机
enable
configure terminal
vtp domain intranet //vtp域名为intranet
vtp mode server //vtp角色为server
人事部交换机、财务部交换机、研发部交换机都要以下配置
enable
configure terminal
vtp domain intranet //vtp域名为intranet
vtp mode client //vtp角色为client
(3)配置vlan
a3560核心交换机
enable
vlan database //进入vlan数据库
vlan 10 //创建vlan 10
vlan 20 //创建vlan20
vlan 30 //创建vlan30
vlan 40 //创建vlan40
vlan 50 //创建vlan50
vlan 60 //创建vlan60
vlan 70 //创建vlan70
exit
show vlan //显示vlan 数据库信息
b在其他二层交换机查看vlan信息,检验vlan信息是否同步,在人事部交换机、财务部交换机、研发部
交换机分别都是用下面命令,来检验是否vlan同步信息,验证成功!那么
c将相应的端口划入相应的vlan当中
3560核心交换机
enable
configure terminal
interfacefastethernet0/1
switchport modeaccess //将端口配置成接入模式
switchport accessvlan 10 //将该端口划入vlan 10
interfacefastethernet0/2
switchport modeaccess //将端口配置成接入模式
switchport accessvlan 20 //将该端口划入vlan 20
人事部交换机
enable
configure terminal
interfacefastethernet0/1
switchport modeaccess //将端口配置成接入模式
switchport accessvlan 30 //将该端口划入vlan 30
财务部交换机
enable
configure terminal
interfacefastethernet0/1
switchport modeaccess //将端口配置成接入模式
switchport accessvlan 40 //将该端口划入vlan 40
研发部交换机
enable
configure terminal
interfacefastethernet0/1
switchport modeaccess //将端口配置成接入模式
switchport accessvlan 50 //将该端口划入vlan 50
分部交换机
enable
vlan database //进入vlan数据库
vlan 60 //创建vlan 60
vlan 70 //创建vlan 70
exit
configure terminal
interfacefastethernet0/2
switchport modeaccess //配置成接入模式
switchport accessvlan 70 //将该端口划入vlan 70
interfacefastethernet0/3
switchport modeaccess //配置成接入模式
switchport accessvlan 60 //将该端口划入vlan 60
d配置路由器IP地址,以及vlan间网关
总部路由器
enable
configure terminal
interfacefastethernet0/0
ip address1921681250 255255255252
no shutdown
interface serial0/0
ip address 20210323101255255255248
no shutdown
分支机构路由器
enable
configure terminal
interface serial0/0
ip address20210323100 255255255248
no shutdown
interfacefastethernet0/0
no shutdown
exit
interfacefastethernet0/01 //进入fa0/01子接口
encapsulation dot1q70 //封装8021q协议
ip address19216811 255255255192
exit
interfacefastethernet0/02 //进入fa0/02子接口
encapsulation dot1q60 //封装8021q协议
ip address192168165 255255255192
exit
3560核心交换机
enable
configure terminal
interface vlan 10 //进入vlan 10接口
ip address1921681229 255255255252
exit
interface vlan 20 //进入vlan 20接口
ip address1921681225 255255255252
exit
interface vlan 30 //进入vlan 30接口
ip address1921681209 255255255240
exit
interface vlan 40 //进入vlan 40接口
ip address1921681193 255255255240
exit
interface vlan 50 //进入vlan 50接口
ip address1921681129 255255255192
2接下来就是DHCP动态分配ip给人事部、财务部、研发部。在3560核心交换机做
3560核心交换机
enable
configure terminal
ip dhcp pool vlan30 //创建DHCP地址池,名称vlan30
network1921681208 255255255240 //配置要分配的网络
default-router1921681209 //指定缺省网关
exit
ip dhcp pool vlan40 //创建DHCP地址池,名称vlan40
network 1921681192255255255240 //配置要分配的网络
default-router1921681193 //指定缺省网关
exit
ip dhcp pool vlan50 //创建DHCP地址池,名称vlan50、
network1921681128 255255255192 //配置要分配的网络
default-router1921681129 //指定缺省网关
exit
ip dhcpexcluded-address 1921681209 //静态分配网关IP,排除网关地址
ip dhcpexcluded-address 1921681193 //静态分配网关IP,排除网关地址
ip dhcpexcluded-address 1921681129 //静态分配网关IP,排除网关地址
如果配置好端口(PC)关联了vlan,那么PC应该可以成功自动获取IP地址。
3实现使用一个公网地址接入Internet。使用PAT端口地址转发机制。需要在总部路由器配置PAT。
总部路由器:
enable
configure terminal
interfacefastethernet0/0
ip nat inside //配置成内网口
interface serial0/0
ip nat outside //配置成外网口
exit
access-list 10permit 19216810 2552552550 //创建可以访问外网的网段ACL
ip nat pool net20210323101 20210323101 netmask 255255255248 //创建nat地址池
ip nat insidesource list 10 pool net overload //将ACL绑定在NAT中,并且使用端口地址转换
4为路由器和交换机配置telnet,用户名和密码,并且利用tftp进行下载和保存NVRAM
所有设备都用以下命令:
enable
configure terminal
hostname admin //配置主机名为admin
enable passwordadmin //配置特权模式密码,明文加密
line vty 0 4 //进入line路线,远程telnet线路,0~4
login //远程telnet被开启,并且需要登录认证
password admin //配置远程登录密码,为admin
分支机构交换机
enable
configure terminal
interface vlan 60 //配置vlan管理地址,方便远程网管该交换机
ip address19216812 255255255192
exit
ip default-gateway192168165 //配置缺省网关,方便telnet交换机,注意cisco pt模拟器不支持此命令
使用pc使用telnet {IP地址}的格式登陆。
ftfp下载和和保存:
enable
copy tftp:startup-config //从tftp服务器上下载配置文件到路由器NVRAM
输入tftp的IP地址
输入或者依然保持原来的文件名
copy startup-configrunning-config //将现有的启动配置文件覆盖当前的运行文件
copy running-configstartup-config //将当前运行的配置文件保存到NVRAM中
5总经理可以访问任何人,人力资源部和公司财务部的主机除了总经理和内部人员,之外其他部门不可
访问。服务器的ftp服务只允许内网成员访问(只能ACL)。实现这样的效果有两种,分别是VTP和ACL,建
议采用vtp的修剪(拒绝指定vlan的流量),ACL难点。下次两种方法,可以任意采用一种,为了考试,可
以采用ACL。
第一种,在3560核心交换机vtp修剪,拒绝指定vlan的流量通过。
eenable
configure terminal
access-list 10 permit 1921681226 0003
access-list 10 permit 1921681192 00015
access-list 10 deny 19216810 000255
access-list 11 permit 1921681226 0003
access-list 11 permit 1921681208 00015
access-list 11 deny 19216810 000255
interface vlan 30
ip access-group 11 out
exit
interface vlan 40
ip access-group 10 out
6服务器的ftp服务只允许内网成员访问。在总部路由器配置ACL
enable
configure terminal
access-list 100
permit tcp 19216810 000255 host
1921681230 eq 21 //创建拓展ACL,编号100,允许内网用户访问服务器的ftp服务
access-list 100
deny tcp any host 1921681230 eq 21
//拒绝外网用户访问服务器的ftp服务
access-list 100
permit ip any any
//允许其他通讯
interface serial0/0
ip access-group 100 in //将扩展ACL 100挂在该接口
7配置模拟Internet云,使用帧中继来模拟器该广域网连接。让总部路由器和分支机构路由通过帧中继
模拟的Internet进行广域网连接。
总部路由器
enable
configure terminal
hostname zong
user-name fen password 123
interface serial0/0
encapsulation ppp //封装PPP
ppp au chap
分支机构路由器
enable
configure terminal
hostanme fen
user-name zong password 123
interface serial0/0
encapsulation ppp //封装PPP
ppp au chap
8好了。所有配置基本完了。如果需要配置路由。可以参考下面的:
3560核心交换机:
enable
configure terminal
ip route 00000000 fastethernet0/24 //配置缺省路由
或者ip default-gateway 1921681250 (注意:cisco pt不支持此命令) //配置缺省网关
总部路由器
enable
configure terminal
ip route
19216810 255255255128 serial0/0
ip route
1921681128 255255255128 fastethernet0/0
分支机构路由器
enable
configure terminal
ip route 00000000 serial0/0 //配置缺省路由
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)