思科交换机路由器配置

思科交换机路由器配置第一页，共140页。中央处理器(CPU,MotorolaOrion）通讯芯片组内存接口控制台端口(Console)辅助接口(AUX)配置文件交换机/路由器的基本组成第二页，共140页。交换机/路由器内存的组成只读内存(ROM)闪存(FLASH)随机存取内存(RAM)非易失性RAM(NVRAM)第三页，共140页。交换机/路由器的物理接口以太网/快速以太网/千兆以太网/万兆以太网令牌环网(TokenRing)光纤分布数据接口(FDDI)同步串口异步串口高速接口(HSSI)ISDNBRI(BasicRateInterface)第四页，共140页。交换机/路由器的逻辑接口Loopback通道接口拨号器空接口(Null)第五页，共140页。连接交换机/路由器的配置端口用设备自带的配置线(Rollover)线来连接计算机的串口和设备的的Console口。运行计算机自带的超级终端程序软件，参数设成9600,8N1，hardwareflowcontrol。第六页，共140页。系统启动例程会初始化交换机初始启动利用缺省配置参数1.接入电源2.观察启动顺序面板上的指示灯LEDsCiscoIOS输出到控制台上的内容交换机的初始启动第七页，共140页。检查交换机指示灯(LEDs)第八页，共140页。交换机自检期间的端口指示灯

1.启动时，所有端口指示灯变绿.2.每个端口自检完毕，对应的指示灯熄灭.3.如果端口自检失败,对应指示灯呈黄色.4.如果有任何自检失败情况，系统指示灯呈现黄色.5.如果没有自检失败,自检过程完成.6.随着自检过程的完成,指示灯闪亮后熄灭.第九页，共140页。交换机路由器的命令模式UserEXEC

Switch>PrivilegedEXECSwitch#GlobalconfigurationSwitch(config)#InterfaceconfigurationSwitch(config-if)#

第十页，共140页。控制台登入交换机并键入特权模式密码>>enableEnterpassword:##disable>exit用户模式提示特权模式提示第十一页，共140页。Switch#showinterfacesSwitch#showversion显示交换机的状态Switch#showrunning-config显示交换机的各种运行状态第十二页，共140页。配置模式:全局配置模式

Switch#configureterminalSwitch(config)#端口配置模式Switch(config)#interfacefa0/1Switch(config-if)#配置交换机第十三页，共140页。帮助机制?abbreviated-command-entry?abbreviated-command-entry<Tab>command?

commandkeyword?第十四页，共140页。historyshhisotry<ctrl>+P<ctrl>+N上下箭头键Switch#terminalhistory第十五页，共140页。配置交换机的主机名为交换机设置主机名交换机名(config)#hostnamewh_edu第十六页，共140页。wh_edu#configtwh_edu(config)#intvlan1wh_edu(config_vlan)#ipaddipaddnetmaskwh_edu(config_vlan)#noshutdownwh_edu(config)#ipdefault-gatewayip-address配置交换机IP地址第十七页，共140页。配置文件showrunning-configcopyrunning-configstartup-configshowstartup-config

erasestartup-config第十八页，共140页。wh_edu#configtwh_edu(config)#enablepasswordpasswordwh_edu(config)#enablepassword[levellevel]{password|encryption-typeencrypted-password}wh_edu(config)#enablesecret[levellevel]{password|encryption-typeencrypted-password}wh_edu(config)#servicepassword-encryption设置特权口令第十九页，共140页。设置Telnet口令configureterminallinevty015passwordpassword第二十页，共140页。设置Console口令configureterminallineconsole0passwordpassword第二十一页，共140页。创建用户configureterminalusernamename[privilegelevel]{passwordencryption-typepassword}

line[console0|vty015]loginlocal第二十二页，共140页。wh_edu#clocksethh:mm:ssdaymonthyearwh_edu(config)#showclock

设置系统时间第二十三页，共140页。配置域名configureterminalipdomain-namenameipname-serverserver-address1[server-address2...server-address6]ipdomain-lookup第二十四页，共140页。wh_edu(config)#promptstringwh_edu(config)#bannermotdcmessagecwh_edu(config)#bannerlogincmessagec配置交换机其它标识第二十五页，共140页。wh_edu(config-if)#speed{10|100|1000|auto}wh_edu(config-if)#duplex{full|half|auto}wh_edu(config-if)#flowcontrol{receive|send}{on|off|desired}配置端口的速率、双工、流控第二十六页，共140页。分段灵活性

安全性第三层第二层第一层销售部人力资源部工程部一个VLAN=一个广播域=逻辑网段(子网)VLAN综述第二十七页，共140页。交换的基本概念1、共享式以太网：当一台主机发送数据的时候，其他主机只能接收此数据，此时其他网上主机都不能发送数据；2，冲突域：域内的不同设备同时发出的以太网帧会互相冲突；特点为：每台主机得到的可用带宽很低，网上冲突成倍增加，信息传输安全得不到保证。3，广播域：网络中的一组设备集合；当这些设备中的一个发出一个广播时，所有其他的设备都能接收到这个广播帧。第二十八页，共140页。冲突域&广播域两者区别：连接在一个HUB上的所有设备构成一个冲突域，同时也构成一个广播域；连接在一个没有划分VLAN的交换机上的各个端口上的设备分别属于不同的冲突域，即每一个交换端口构成一个冲突域，但同属于一个广播域第二十九页，共140页。4,VLAN:每一个VLAN对应一个广播域；二层交换机之间没有路由功能，不能在VLAN之间转发帧，因而处于不同VLAN之间的主机不能进行通信；（三层交换机支持VLAN间的路由，可以实现VLAN间的通信）5，VLAN

trunk：在交换机之间或交换机与路由器之间，互相连接的端口上配置中继模式，使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。帧的格式分为两种。第三十页，共140页。ISL＆IEEE802.1QISL:Inter-switchlink,是CISCO交换机独有的协议IEEE802.1Q:是国际标准协议，被几乎所有的网络设备生产商所共同支持；第三十一页，共140页。6，VTP：VLAN中继协议，用于维护全网的一致性；有三种工作模式，服务器模式，客户模式和透明模式。第三十二页，共140页。VTP模式服务器模式客户模式透明模式发送/转发

信息宣告同步不会存贮于NVRAM创建vlan修改vlan删除vlan发送/转发

信息宣告同步存贮于NVRAM创建vlan修改vlan删除vlan转发

信息宣告不同步存贮于NVRAM第三十三页，共140页。VTP是如何工作的VTP信息宣告以多点传送的方式来进行VTP服务器和客户模式下会同步最新版本的宣告信息VTP信息宣告每隔5分钟或者有变化时发生第三十四页，共140页。VTP信息宣告以多点传送的方式来进行VTP服务器和客户模式下会同步最新版本的宣告信息VTP信息宣告每隔5分钟或者有变化时发生（30s）1.新增VLAN2.版本3-->版本4服务器客户客户4.版本3-->版本45.同步新的VLAN信息334.版本3-->版本45.同步新的VLAN信息VTP是如何工作的第三十五页，共140页。VLAN的配置要点1,2950至少支持64个VLAN(部分型号250个)2,VLAN的标识在标准软件中1－1005，在增加软件版本中1－4094,1002to1005保留给TokenRingandFDDI.3,VLAN1是厂家的缺省VLAN，不可删除。4,只有一个管理VLAN可以被激活。5,2950不支持ISLTrunk。第三十六页，共140页。启用VTP启用主干功能,以支持VLAN间的路由功能创建VLAN将端口加入VLANVLAN

VTP配置的步骤第三十七页，共140页。vtpmodeserver|client|transparentvtpdomaindomain-name

vtppruningwh-edu(config)#创建VTP域第三十八页，共140页。确认VTP配置wh_edu#showvtpstatus第三十九页，共140页。创建一个VLANvlanvlan-idnamevlan-namewh_edu(config)#第四十页，共140页。确认一个VLANwh_edu#showvlan[vlan#]第四十一页，共140页。分配交换机的端口到VLAN中interfaceinterface-idswitchportmodeaccessswitchportaccessvlanvlan-idwh_edu(config-if)#第四十二页，共140页。查看VLAN中的成员wh_edu#showvlanbrief第四十三页，共140页。删除一个VLANwh_edu(config)#novlanvlan-id第四十四页，共140页。配置Trunkswitchporttrunkencapsulationdot1qswitchportmodetrunkswitchporttrunknativevlanvlan-idswitchporttrunkallowedvlan{add|except|none|remove}vlan-list

wh_edu(config-if)#第四十五页，共140页。动态VLAN简介第四十六页，共140页。配置动态VLANvmpsserveripaddressprimaryvmpsserveripaddressinterfaceinterface-idswitchportmodeaccessswitchportaccessvlandynamicwh_edu(config)#第四十七页，共140页。配置动态VLANsetvmpsdownloadmethodrcp|tftp[username]setvmpsdownloadserverip_addr[]setvmpsstateenable|disableConsole>(enable)第四十八页，共140页。配置Vlan间路由iproutinginterfaceVlanVlan-id

ipaddressip-addresssubnet-mask

noshutdownwh_edu(config)#第四十九页，共140页。配置三层端口interfaceinterface-id

noswitchportipaddressip-addresssubnet-mask

noshutdownwh_edu(config)#第五十页，共140页。SO静态路由BNetworkA在小型网络中适宜设置静态路由。BStubNetwork第五十一页，共140页。指定一条可以到达目标网络的路径Router(config)#iproutenetwork[mask]

{address|interface}[distance][permanent]

静态路由的配置第五十二页，共140页。StubNetworkiproute

SO静态路由的例子BNetworkAB这是一条单方向的路径，必须配置一条相反的路径。第五十三页，共140页。StubNetworkiproute

缺省路由SOBNetworkAB使用缺省路由后，StubNetwork可以到达路由器A以外的网络。第五十四页，共140页。动态路由简介RIPv1v2OSPFIS-ISIGRPEIGRPBGPIGP(内部网关协议)EGP(外部网关协议)距离失量路由链路状态路由第五十五页，共140页。路由选择协议在IGP中，RIP是个广泛使用的协议。RIP也称向量距离协议，用信息包所经过的网关来做距离的单位，超过15跳便无法到达。IGRP是CISCO专用的路由协议，可以服务于大型互连网络，不受限于15跳的限制（100跳）第五十六页，共140页。19.2kbpsT1T1T1Hop计算路由器每隔30秒更新最多支持相同hop数的6条路径，实现负载均衡RIP概述第五十七页，共140页。激活RIP协议wh_edu(config)routerripwh_edu(config-router)#networknetwork-number选择直接连接的网络必须是有效的网络RIP配置第五十八页，共140页。routerripnetworknetworkRIP配置举例routerripnetworkrouterripnetworknetworkS2E0S3S2S3ABC

E0第五十九页，共140页。查看RIP信息RouterA#shipprotocolsRoutingProtocolis"rip"Sendingupdatesevery30seconds,nextduein0secondsInvalidafter180seconds,holddown180,flushedafter240OutgoingupdatefilterlistforallinterfacesisIncomingupdatefilterlistforallinterfacesisRedistributing:ripDefaultversioncontrol:sendversion1,receiveanyversionInterfaceSendRecvKey-chainEthernet0112Serial2112RoutingforNetworks:

RoutingInformationSources:GatewayDistanceLastUpdate12000:00:10Distance:(defaultis120)S2E0S3S2S3ABC

E0第六十页，共140页。查看路由表RouterA#shiprouteCodes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPi-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,*-candidatedefaultU-per-userstaticroute,o-ODRT-trafficengineeredrouteGatewayoflastresortisnotset/24issubnetted,1subnetsCisdirectlyconnected,Ethernet0/24issubnetted,2subnetsR[120/1]via,00:00:07,Serial2Cisdirectlyconnected,Serial2R/24[120/2]via,00:00:07,Serial2S2E0S3S2S3ABC

E0第六十一页，共140页。OSPF协议概述OSPF是一种链路状态路由选择协议。所谓链路状态是指路由器接口的状态，如UP，DOWN，IP及网络类型等。链路状态信息通过链路状态公告(LSA)发布到网上的每台路由器。每台路由器通过LSA信息建立一个关于网络的拓扑数据库。第六十二页，共140页。OSPF协议概述区域(Area)在OSPF中使用区域来为自治系统分段，OSPF是一种层次化的路由选择协议，区域0是一个OSPF网络中必须具有的区域，也称为主干区域，其他所有区域要求通过区域0互连到一起。第六十三页，共140页。OSPF协议的优点OSPF是基于国际标准的协议，具有开放性强的特点，被众多网络设备厂商所支持。支持VLSM；使用触发的路由更新，快速反应网络变化，减小协议本身对网络流量的占用。支持大型网络，并能进行优化路由更新。第六十四页，共140页。配置OSPF协议CanAssignNetworkorInterfaceAddress.BroadcastNetworkPoint-to-PointNetwork

E0E0

S0S1ABC<OutputOmitted>interfaceEthernet0ipaddress!<OutputOmitted>routerospf1network55area0<OutputOmitted>interfaceEthernet0ipaddress!interfaceSerial0ipaddress<OutputOmitted>routerospf50networkarea0networkarea0第六十五页，共140页。查看OSPF协议状态Router#showipprotocolsRouter#showiproute第六十六页，共140页。管理Mac地址表showmac-address-tableaddressconfigureterminalmac-address-tableaging-time[0|10-1000000][vlanvlan-id]mac-address-tablestaticmac-addrvlanvlan-idinterfaceinterface-id第六十七页，共140页。AccessControlList(ACL，也称存取列表）主要作用有：1）拒绝或允许流入（或流出）的数据流通过特定的接口2）为DDR应用定入数据流3）过滤路由更新的内容4）控制虚拟终端线(vty)的访问5）提供流量控制等访问控制表第六十八页，共140页。访问列表类型IP标准访问列表能够对源地址进行过滤，是一种简单，直接的数据控制手段。IP扩展访问列表除了基于数据包源地址的过滤以外，还能够对协议，目的地址，端口号进行网络流量过滤。当然，配置也更复杂。第六十九页，共140页。第七十页，共140页。AccessListNumbersNumberType1-99IPstandardaccesslist100-199IPextendedaccesslist1300-1999IPstandardaccesslist2000-2699IPextendedaccesslist第七十一页，共140页。IP标准访问列表的一般配置禁止来自网络的流量!!!Router#configureterminalRouter(config)#Router(config)#access-list2deny55Router(config)#access-list2permitanyRouter(config)#ints0Router(config-if)#ipaccess-group2outRouter(config-if)#第七十二页，共140页。访问表位置路由器路由器源inout路由器目的第七十三页，共140页。IP标准访问列表的配置（一）Router#Router#configureterminalRouter(config)#Router(config)#access-list1denyhostRouter(config)#access-list1permitany上面配置的访问列表是拒绝特定主机，允许其它主机访问第七十四页，共140页。访问列表应用到接口(二)Router#Router#configureterminalRouter(config)#Router(config)#interfaceEthernet0Router(config-if)#Router(config-if)#ipaccess-group1in(输入)Router(config-if)#ipaccess-group1out(输出)第七十五页，共140页。访问表位置扩展访问表尽量放在靠近过滤源的位置目的：不会影响其它接口上的上的数据标准访问表尽量放在靠近目的端口的位置

第七十六页，共140页。IP标准访问列表的一般配置为什么我们禁止后，要加access-list1permitany？在标准或扩展IP或IPX的每个访问表的末尾，总有一个隐含的denyall。也就是说报文与语句不匹配，则此隐含命令将禁止该报文第七十七页，共140页。删除访问表Router#Router#configureterminalRouter(config)#Router(config)#noaccess-list[number]第七十八页，共140页。访问列表的查看：router#showipaccess-lists1StandardIPaccesslist1permitany(2matches)deny,wildcardbits55router#shipaccess-listsStandardIPaccesslist1permitanyExtendedIPaccesslist101denyicmp5555echopermitipanyany第七十九页，共140页。扩展ACL范例access-listlist109denytcpanyanyeq135access-listlist109denytcpanyanyeq136access-listlist109denytcpanyanyeq137access-listlist109denytcpanyanyeq138access-listlist109denytcpanyanyeq139access-listlist109denytcpanyanyeq389access-listlist109denytcpanyanyeq445access-listlist109denytcpanyanyeq3389access-listlist109denyudpanyanyeq135access-listlist109denyudpanyanyeq136access-listlist109denyudpanyanyeq137access-listlist109denyudpanyanyeq138access-listlist109denyudpanyanyeq139access-listlist109denyudpanyanyeq445access-listlist109denyudpanyanyeq3389access-listlist109permitip55any

第八十页，共140页。配置标准ACL

wh_edu(config)#access-listaccess-list-number{deny|permit}source[source-wildcard][log]第八十一页，共140页。配置扩展ACL

wh_edu(config)#access-listaccess-list-number{deny|permit}protocolsourcesource-wildcard

destinationdestination-wildcard[fragments][log][log-input][time-range

time-range-name]access-list

access-list-number{deny|permit}

tcp

sourcesource-wildcard

[operator[port]]destinationdestination-wildcard[operator[port]]

[established][fragments][log][log-input][time-rangetime-range-name][flag]

access-listaccess-list-number{deny|permit}udp

sourcesource-wildcard[operator[port]]destinationdestination-wildcard[operator[port]]

[fragments][log][log-input][time-rangetime-range-name]]

第八十二页，共140页。配置扩展ACL

wh_edu(config)#access-listaccess-list-number{deny|permit}icmpsourcesource-wildcarddestinationdestination-wildcard[icmp-type|[[icmp-typeicmp-code]|[icmp-message]][fragments][log][log-input][time-rangetime-range-name]第八十三页，共140页。配置命名的ACL

wh_edu(config)#ipaccess-liststandardnamedeny|permit{source[source-wildcard]|hostsource|any}[log]ipaccess-listextendednamedeny|permitprotocol{source[source-wildcard]|hostsource|any}{destination[destination-wildcard]|hostdestination|any}[established][log][time-rangetime-range-name]第八十四页，共140页。配置基于时间的ACL

wh_edu(config)#time-rangetime-range-nameabsolute[starttimedate][endtimedate]periodicday-of-the-weekhh:mmto[day-of-the-week]hh:mm

periodic{weekdays|weekend|daily}hh:mmtohh:mmSwitch(config)#time-rangeworkhoursSwitch(config-time-range)#periodicweekdays8:00to12:00Switch(config-time-range)#periodicweekdays13:00to17:00Switch(config)#time-rangenew_year_day_2005Switch(config-time-range)#absolutestart00:001Jan2005end23:591Jan2005Switch(config)#access-list188denytcpanyanytime-rangenew_year_day_2005Switch(config)#access-list188permittcpanyanytime-rangeworkhours

第八十五页，共140页。基于Mac地址的ACL

wh_edu(config)#macaccess-listextendedname

deny|permit{any|hostsourceMACaddress|sourceMACaddress

mask}{any|hostdestinationMACaddress|destinationMACaddressmask}interfaceinterface-idmacaccess-group{name}{in}

第八十六页，共140页。用ACL对telnet进行限制

wh_edu(config)#line

vtyline-number

access-classaccess-list-number{in

|

out}第八十七页，共140页。配置EtherChannelsconfigureterminalinterfaceinterface-idchannel-groupchannel-group-numbermode{auto[non-silent]|desirable[non-silent]|on}exitport-channelload-balance{dst-mac|src-mac}第八十八页，共140页。wh_edu#nocdprunwh_edu#cdprunwh_edu(config-if)#nocdpenablewh_edu#shcdpneighbors配置CDP协议第八十九页，共140页。STP协议简介生成树协议，在实现交换机之间的备份链路，避免网络环路的出现，实现网络的高可用性。通过在交换机之间传递BPDU(bridgeprotocoldataunit,桥接协议数据单元)来互相告知诸如交换机的链路性质，根桥信息等，以便确定根桥，决定哪些端口处于转发状态，哪些端口处于阻止状态，以免引起网络环路。工作方式主要功能第九十页，共140页。配置生成树spanning-treevlanvlan-idrootprimaryspanning-treevlanvlan-idrootsecondaryspanning-treevlanvlan-idprioritypriorityshowspanning-treevlanvlan-idshowspanning-treeinterfaceinterface-id

nospanning-treevlanvlan-id思科建议在交换机上启动生成树,特别是在可能出现回环的链路上.第九十一页，共140页。RSTP和MSTPspanning-treemstconfigurationinstanceinstance-idvlanvlan-rangenamenamerevisionversionexitspanning-treemodemstspanning-treemstinstance-idrootprimary|secondaryshowspanning-treemstconfigurationshowspanning-treemstinstance-idshowspanning-treemstinterfaceinterface-id第九十二页，共140页。配置802.1x协议RadiusServer第九十三页，共140页。配置802.1x协议configureterminalradius-serverhost{hostname|ip-address}auth-portport-numberkeystringaaanew-modelaaaauthenticationdot1xdefaultgroupradiusinterfaceinterface-iddot1xport-controlautoshowdot1x

第九十四页，共140页。配置镜像端口configureterminalmonitorsessionsession_numbersource

interface

interface-id[,|-][both|rx|tx]monitorsessionsession_numberdestinationinterface

interface-id

Switch(config)#monitorsession1sourceinterfacegigabitethernet0/1Switch(config)#monitorsession1destinationinterfacegigabitethernet0/2第九十五页，共140页。配置SNMP协议第九十六页，共140页。配置SNMP协议snmp-servercommunitystring[ro|rw][access-list-number]access-listaccess-list-number{deny|permit}source[source-wildcard]snmp-serverhosthost-addr{informs|traps}{version{1|2c}}community-stringnotification-typesnmp-serverenabletrapsnotification-typesnosnmp-serverSwitch(config)#snmp-servercommunitypublicSwitch(config)#snmp-serverenabletrapsvtpSwitch(config)#snmp-serverhost7publicSwitch(config)#snmp-serverhost11public第九十七页，共140页。组播协议简介IGMPIGMPSnoopingPIM第九十八页，共140页。配置PIM协议ipmulticast-routinginterfaceinterface-idippimversion[1|2]ippim{dense-mode|sparse-mode|sparse-dense-mode}第九十九页，共140页。配置CGMPinterfaceinterface-idipcgmp[proxy]

第一百页，共140页。配置IGMPSnoopingconfigureterminalipigmpsnoopingipigmpsnoopingvlanvlan-idipigmpsnoopingvlanvlan-idmrouterlearn{cgmp|pim-dvmrp}ipigmpsnoopingvlanvlan-idmrouterinterfaceinterface-idipigmpsnoopingvlanvlan-idstaticmac-addressinterfaceinterface-id第一百零一页，共140页。配置IGMPSnoopingservicedhcpipdhcprelayinformationoptioninterfacevlanvlan-idiphelper-addressaddress第一百零二页，共140页。Qos第一百零三页，共140页。配置Qosinterfacerangeport-rangeflowcontrolreceiveoffflowcontrolsendoffexitmlsqosinterfaceinterface-idmlsqostrust{cos|dscp|ip-precedence}mlsqoscos{default-cos|override}第一百零四页，共140页。配置Qosmlsqosmapdscp-mutationdscp-mutation-name

in-dscptoout-dscpinterfaceinterface-idmlsqostrustdscpmlsqosdscp-mutationdscp-mutation-name第一百零五页，共140页。配置Qosaccess-listaccess-list-number{deny|permit}source[source-wildcard]access-listaccess-list-number{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcardmacaccess-listextendednamepermit|deny{hostsrc-MAC-addrmask|any|hostdst-MAC-addr|dst-MAC-addrmask}class-mapclass-map-name[match-all|match-any]match{access-groupacl-index-or-name|ipdscpdscp-list|ipprecedenceip-precedence-list}第一百零六页，共140页。配置Qosaccess-listaccess-list-number{deny|permit}source[source-wildcard]access-listaccess-list-number{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcardmacaccess-listextendednamepermit|deny{hostsrc-MAC-addrmask|any|hostdst-MAC-addr|dst-MAC-addrmask}policy-mappolicy-map-nameclassclass-map-name[access-groupacl-index-or-name|dscpdscp-list|precedenceip-precedence-list]trust[cos|dscp|ip-precedence]set{ipdscpnew-dscp|ipprecedencenew-precedence}policerate-bpsburst-byte[exceed-action{drop|policed-dscp-transmit}]interfaceinterface-idservice-policy{inputpolicy-map-name|outputpolicy-map-name}第一百零七页，共140页。配置Qosinterfaceinterface-idwrr-queuecos-mapqueue-idcos1...Cos8wrr-queuequeue-limitweight1weight2weight3weight4priority-queueoutwrr-queuebandwidthweight1weight2weight3weight4mlsqosmin-reservemin-reserve-levelmin-reserve-buffersizewrr-queuemin-reservequeue-idmin-reserve-level第一百零八页，共140页。配置Qosconfigureterminalaccess-list1permit6class-mapvideoclassmatchaccess-group1exitpolicy-mapvideopolicyclassvideoclasssetipdscp56police50000002000000exceed-actiondropexitexitinterfacegigabitethernet0/1service-policyinputvideopolicyexitinterfacegigabitethernet0/2priority-queueoutwrr-queuecos-map467第一百零九页，共140页。NAT(网络地址翻译)在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址，在Internet上使用。其具体的做法是把IP包内的地址池（内部本地）用合法的IP地址段（内部全局）来替换。第一百一十页，共140页。NAT术语InternetInsideInsideLocalIPAddressSimpleNATtableInsideGlobalIPAddressHostBACBABDSADASADA第一百一十一页，共140页。内部本地地址:私有IP，不能直接用于互连网。内部全局地址：用来代替内部本地IP地址的，对外，或在互联网上是合法的的IP地址。第一百一十二页，共140页。NAT功能InsideLocalIPAddressNATtableInsideGlobalIPAddressNAT功能:内部网络地址转换复用内部的全局地址TCP负载均衡解决网络地址重叠InternetInside第一百一十三页，共140页。复用内部的全局地址将一个内部全局地址用于同时代表多个内部局部地址。主要用IP地址和端口号的组合来唯一区分各个内部主机。目前应用很普遍。（如下图）第一百一十四页，共140页。复用内部的全局地址:1723:1024NATtable:1723:1024:23:23TCPTCP:1723:1492:23TCPInternetInsideHostB13SADASADA452HostCDA4InsideGlobalIPAddress:PortOutsideGlobalIPAddress:PortProtocolInsideLocalIPAddress:Port第一百一十五页，共140页。NAT三种类型NAT有三种类型：静态NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。多用于服务器。而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。多用于网络中的工作站。PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。第一百一十六页，共140页。StaticNATConfigurationExampleipnatinsidesourcestatic!interfaceEthernet0ipaddress0ipnatinside!interfaceSerial0ipaddressipnatoutside!

Mapstheinsidelocaladdresstotheinsideglobaladdress.Thisinterfaceconnectedtotheoutsideworld.Thisinterfaceconnectedtotheinsidenetwork.第一百一十七页，共140页。NAT静态映射实例使用静态NAT实现没有路由可达性的内网FTP服务器（）和外网上的主机之间的双向连通。第一百一十八页，共140页。interfaceEthernet0ipaddressipnatinside（指定内部接口）!interfaceSerial0ipaddressipnatoutside（指定外部接口）!ipnatinsidesourcestatic(建立两个IP地址之间的静态映射)ipclasslessiproute第一百一十九页，共140页。注意：从外网到内网建立静态映射后，外网能PING通内部全局地址（）,如果使用真实地址，则访问失败，这是因为从外网没有到达内网的路由存在！Ping……Ping!!!!!第一百二十页，共140页。ipnatpooldyn-nat54

netmaskipnatinsidesourcelist1pooldyn-nat!interfaceEthernet0ipaddress0ipnatinside!interfaceSerial0ipaddressipnatoutside!access-list1permit55!DynamicNATConfigurationTranslatebetweeninsidehostsaddressedfrom/24to

thegloballyunique/24network.

Thisinterfaceconnectedtotheoutsideworld.Thisinterfaceconnectedtotheinsidenetwork.第一百二十一页，共140页。ConfiguringInsideGlobalAddressOverloadingipnatpoolovrld-nat netmaskipnatinsidesourcelist1poolovrld-natoverload!interfaceEthernet0/0ipaddress0ipnatinside!interfaceSerial0/0ipaddressipnatoutside!access-list1permit55第一百二十二页，共140页。负载均衡负载均衡：用于将一台虚拟的主机映射到几台真实的主机上。(如下图)第一百二十三页，共140页。TCP负载均衡NATtableInsideGlobalIPAddress:Port

27:8027:8027:80OutsideGlobalIPAddress:Port:3058:4371:3062ProtocolTCPTCPTCPInsideLocalIPAddress:Port:80:80:80InternetInsideHostB45SADASA27DA27132HostC27Virtual

hostReal

hosts第一百二十四页，共140页。配置负载均衡ipnatpoolloadsharingprefix-length24typerotaryaccesslist2permit27ipnatinsidedestinationlist2poolloadsharingInterfaceEthernet0ipnatinsideInterfaceSerial0ipnatoutside第一百二十五页，共140页。解决网络地址重叠InternetDNSserverx.x.x.xHostCInsideLocal

IPAddressInsideGlobal

IPAddressOutsideGlobal

IPAddressOutsideLocalIPAddressNATtableDNSrequestforhostCaddressSA=DA=x.x.x.xDNSresponsefromx.x.x.xmessagetohostCSA=x.x.x.xDA=C=SA=DA=messagetohostCSA=DA=SA=x.x.x.xDA=C=DNSrequestforhostCaddressSA=DA=x.x.x.x第一百二十六页，共140页。解决网络地址重叠ipnatpoolglobalpoolprefix-length24access-list1permit55ipnatinsidesourcelist1poolglobalpooloverloadipnatoutsidesourcestaticInterfaceEthernet0ipnatinsideInterfaceSerial0ipnatoutside第一百二十七页，共140页。Router#shipnattransProInsideglobalInsidelocalOutsidelocalOutsideglobaltcp:11003:11003:23:23tcp:1067:1067:23:23VerifyingNATAtranslationforaTelnetisstillactive.

TwodifferentinsidehostsappearontheoutsidewithasingleIPaddress.BasicIPaddresstranslationUniqueTCPportnumbersareusedtodistinguish

betweenhosts.Router#showipnattransPro Insideglobal Insidelocal OutsidelocalOutsideglobal--- --- ------ --- ---IPaddresstranslationwithoverloading第一百二十八页，共140页。ClearingNATTranslationEntriesAllentriesarecleared.iscleared.Router#shipnattransProInsideglobalInsidelocalOutsidelocalOutsideglobaltcp:11003:11003:23:23tcp:1067:1067:23:23router#clearipnattrans*router#router#showipnattrans

router#showipnattransProInsideglobal Insidelocal Outsidelocal Outsideglobaludp:1220 :1120 32:53 32:53tcp:11003:11003:23:23tcp:1067:1067:23:23router#clearipnattransudpinside122032533253router#showipnattransPro