1. 交换机

(1). 工作原理

  1. 主机A把数据发送到交换机A,交换机A查找****MAC地址表记录主机A的MAC地址,有则返回直接发送给主机B,没有则向所有端口发送广播
  2. 交换机B接收到交换机A的广播帧,****查找MAC地址表并记录主机A的MAC地址,有则直接发送给主机B,没有则向所有端口发送广播
  3. 交换机B某一端口的主机B接收到广播帧,通过****单播发送ARP请求给交换机B
  4. 交换机B向交换机A****发送主机B的数据帧并记录主机B的MAC地址
  5. 交换机A向主机A****转发交换机B的数据帧并记录主机B的MAC地址
  6. 主机A收到回复请求

(2). 基本配置

  • 配置主机名:hostname 
    hostname icq
  • 设置登录密码:password 
    line console 0  #进入控制台
password icq    #设置登录口令
login       #允许登录
exit        #退出控制台
  • 保存配置:write
  • 重启设备:reload
  • 设置用户特权密码 
    conf t
enable password 密码 (明文密码)
enable secret 密码 (密文)
write
  • 查看MAC缓存表 
    show mac-address-table
  • 查看接口状态列表 
    show ip int brief
  • 手工关闭接口 
    shutdown
  • 手工开启接口 
    no shutdown
  • 删除配置 
    命令前加: no
  • 清除初始化配置 
    erase startup-config

2 路由器

(1). 路由表

a. 直连网段
  • 配置IP地址 -> 端口处于UP状态 -> 形成直连路由
b. 非直连网段
  • 需要静态路由或者动态路由,将网段添加到路由表中

(2). 静态路由

  • 手动配置,缺乏灵活性
格式:
ip route 目标网段 子网掩码 下一跳IP

Router>enable
Router#configure terminal
Router(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.2  //表示把寻找192.168.0.0网段的信息发送给另一个端口192.168.1.2
Router(config)#ip route 0.0.0.0 0.0.0.0 下一跳IP  //表示任何网络都交给下一跳处理

3. VLAN

(1). 含义

  • 在****物理网络上划分出的逻辑网络,对应OSI第二层
  • 不受端口物理位置限制

(2). 作用

1. 减少保密信息遭到破坏的可能性
2. 节约成本,无需升级网络
3. 极高管理效率
4. 缩小广播域,减少一个广播域上的设备数量
5. 提高性能,减少不必要的数据流

(3). 配置

vlan x  //创建编号为x的vlan区域
switchport access vlan x  //到交换机端口配置,将端口添加至vlan区域

1.在交换机上换分vlan
Switch>enable
Switch#configure terminal
Switch(config)#vlan 2
Switch(config-vlan)#name v2
Switch(config-vlan)#exit
Switch(config)#vlan 3
Switch(config-vlan)#name v3
Switch(config-vlan)#exit

2.为交换机的端口分配vlan
Switch(config)#interface f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)# interface f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 3
Switch(config-if)#exit
Switch(config)#interface f0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit

(4). VLAN Trunk

a. 介绍
  • 将不同交换机划分的VLAN连接在一起
b. 配置
int f0/x
switchport mode trunk
exit

1.在两个交换机连接的接口上分别开启Trunk模式
Switch(config)#interface f0/4
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 2,3
Switch(config-if)#exit

4. 访问控制列表

(1). 含义

  • 应用于****路由器接口的指令列表,用于指定哪些数据包可以转发,哪些数据包需要拒绝

(2). 作用

  • 提供****网络访问的基本安全手段
  • 控制****数据流量
  • 控制通信量

(3). 工作原理

  • **读取第三层及第四层包头中的信息(**协议、目的地址与目的端口、源地址与源端口)
  • 根据预先****定义好的规则对包进行过滤(包过滤

(4). 分类

a. 基本类型
  • 标准访问控制列表
    • 只使用数据包的****源地址允许或拒绝数据包
    • 访问控制列表号从****1~99
  • 扩展访问控制列表
b. 其他类型
  • 基于MAC地址的访问控制列表
  • 基于时间的访问控制列表

(5). 标准ACL配置

a. 创建策略
configure terminal
access-list 1 deny 202.100.10.1 0.0.0.0 //创建策略1,拒绝202.100.10.1的主机访问
b. 应用策略
configure terminal
interface f0/0
ip access-group 1 in  //将策略1配置到f0/0的流入流量控制
c. 实例
R1(config)#access-list 1 deny 192.168.10.0 0.0.0.255	//拒绝192.168.10.0网段的数据包
R1(config)#access-list 1 deny 192.168.40.2 0.0.0.0		//拒绝192.168.40.2地址的数据包
R1(config)#access-list 1 permit any		//允许除以上之外的数据包通过
R1(config)#int g0/2	
R1(config-if)#ip access-group 1 out		//在g0/2端口的流出流量上配置ACL

R2(config)#access-list 2 deny 192.168.10.2 0.0.0.0		//拒绝192.168.10.2地址的数据包
R2(config)#access-list 2 permit any		//允许除此之外的数据通过
R2(config)#int g0/0
R2(config-if)#ip access-group 2 in		//在g0/0端口的流入流量上配置ACL

show access-lists		//显示路由器上的ACL表
show ip interface gigabitEthernet 0/0	//显示端口的信息

5. NAT转换

(1). 原因

  • 合法的IP地质资源****即将耗尽
  • 通过NAT技术将****私网地址转换成公网地址
  • 可以有效的****隐藏内部局域网中的主机,具有一定的安全保护作用

(2). 原理

  1. 改变****IP包头
  2. 报文从****私有网络进入公网时,将源IP地址替换成公网IP
  3. 响应包从服务端发回出口网关时,网关将目的地址改为****原内网地址

(3). 类型

a. 静态NAT
  • 手动转换
  • 一对一转换
  • 适用于内部服务器****向外部提供服务(WEB、FTP)
b. 动态NAT
  • 手动定义2个地址集,一个****允许转换的内部地址集,一个外部地址集,转换设备动态的实现地址映射
  • 一对一转换
  • 适用于内部用户访问外部资源时,以及适用于****租用的地址数量较多
c. 端口地址转换PAT
  • 多个本地地址使用相同的全局地址进行转换,只通过****不同的端口进行区分
  • 多对一转换
  • 适用于****地址数很少用户很多

(4). 配置

a. 静态NAT
①. 配置步骤
  1. 在出口路由器上配置静态转换表 
    Router(config)#ip nat inside source static local-ip global-ip
  2. 标记哪个端口连接内网 
    Router(config-if)#ip nat inside
  3. 标记哪个端口连接外网
Router(config-if)#ip nat outside
②. 配置实例
Router>enable
Router#configure terminal
Router(config)#ip nat inside source static 192.168.10.2 110.110.1.1
Router(config)#interface s0/1/0
Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#
Router(config)#interface f0/0
Router(config-if)#ip nat inside
Router(config-if)#exit
b. 动态NAT
①. 配置步骤
  1. 定义一个IP地址池
Router(config)#ip nat pool 地址池名 公网起始地址 公网结束地址 netmask 子网掩码
  1. 定义一个ACL,只有和这个列表匹配的地址才会进行NAT转换
Router(config)#access-list 表号 permit 地址 反子网掩码
  1. 定义动态NAT,把和列表匹配的内部本地地址,用地址池中的地址建立NAT映射
Router(config)#ip nat inside source list ACL表号 pool 地址池名字
  1. 标记网络的内部和外部接口
Router(config-if)#ip nat inside|outside
②. 实例
Router>enable
Router#configure terminal
Router(config)#access-list 1 permit 192.168.23.0 0.0.0.255
Router(config)#ip nat pool natpool 110.110.1.3 110.110.1.6 netmask 255.255.255.0
Router(config)#ip nat inside source list 1 pool natpool
Router(config)#interface s0/1/0
Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#interface f0/0
Router(config-if)#ip nat inside
c. PAT
①. 配置步骤
  1. 定义IP访问控制列表 
    Router(config)#access-list 表号 permit IP地址 反子网掩码
  2. 配置多复用动态转换条目 
    Router(config)#ip nat inside source list ACL表号 地址池名 overload //overload表示使用端口复用技术
  3. 标记外部接口和内部接口 
    Router(config-if)#ip nat inside|outside
②. 实例
Router>enable
Router#configure terminal
Router(config)#access-list 1 permit 192.168.23.0 0.0.0.255
Router(config)#ip nat inside source list 1 interface s0/1/0 overload
Router(config)#interface s0/1/0
Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#interface f0/0
Router(config-if)#ip inside