天亮了说晚安's Blog

本文转自：http://xuyi35.blog.51cto.com/359953/94836 实验目的：熟练掌握ACL，NAT和DHCP的原理以及在CISCO IOS上对它们进行配置的方法 实验内容：ACL的配置 NAT的配置 DHCP的配置 实验条件：2600系列路由器两台，2900交换机一台，PC两台 一．ACL的配置 （一）标准ACL  Step 1 在路由器上配置主机名和密码 Step 2 配置以太网段上的PC a. PC 1 IP address 192.168.14.2 Subnet mask 255.255.255.0 Default gateway 192.168.14.1 b. PC 2 IP address 192.168.14.3 Subnet mask 255.255.255.0 Default gateway 192.168.14.1 Step 3 保存配置 GAD#copy running-config startup-config Step 4 通过ping命令测试两台PC到缺省网关的连接性 Step 5 阻止PC访问路由器的以太口 GAD(config)#access-list 1 deny 192.168.14.0 0.0.0.255 GAD(config)#access-list 1 permit any Step 6 从路由器ping两台PC Step 7 把ACL应用到接口上 GAD(config-if)#ip access-group 1 in Step 8 从两台PC ping路由器 Step 9 创建新的ACL access-list 2 permit 192.168.14.1 0.0.0.254 Step 10 把ACL应用的接口上 ip access-group 2 in Step 11 从两台PC ping路由器   GAD#show runnin......Read More

本文转自：http://zirag.blog.51cto.com/623170/217832 Read More

本文转自：http://forest.blog.51cto.com/1202625/270015 在企业中，要实现所有的员工都能与互联网进行通信，每个人各使用一个公网地址是很不现实的。一般，企业有1个或几个公网地址，而企业有几十、几百个员工。要想让所有的员工使用这仅有的几个公网地址与互联网通信该怎么做呢？使用NAT技术！   在企业中，一般会有多个部门，像财务部、技术部、工程部等等。每个部门有每个部门的职责。像财务部这种重要的部门有些资料是不允许被其他员工知道的。怎样能清楚的区分不同的部门，以便于管理呢？使用VLAN技术！   为了工作方便、增强工作效率，各部门经理必须能相互通信。但不允许员工之间相互通信。我们又该怎样做呢？使用ACL技术！     今天我们来学习如何使用NAT + VLAN +ACL管理企业网络。如下是试验环境：   环境介绍： 企业中只有一个公网地址，172.16.1.1/24 企业中共有三个部门工程部、财务部、技术部。 PC1  PC3  PC5 分别为三个部门的部门经理使用。 PC1 的ip地址为192.168.1.2/24 PC2 的ip地址为192.168.1.3/24 PC3 的ip地址为192.168.2.2/24 PC4 的ip地址为192.168.2.3/24 PC5 的ip地址为192.168.3.2/24 PC6 的ip地址为192......Read More

本文转自：http://yytian.blog.51cto.com/535845/289951 1. 包过滤 　　包过滤作为一种网络安全保护机制，在转发数据包时，先检查包头信息（例如包的源地址/目的地址、源端口/目的端口和上层协议等），然后与设定的规则进行比较，根据比较的结果决定对该数据包进行转发还是丢弃处理，一般来说这种包过滤主要应用在一些特殊服务的访问上（如防止远程登录、防病毒）和特殊环境的访问上（不同Vlan间的互访或者对服务器的访问）。一般都是在路由器和交换机的端口上以及SVI端口应用acl来实施一定的访问策略，在网络层和传输层上过滤报文。 2. nat 　　nat（network address translation，地址转换）是将数据报报头中的ip地址转换为另一个ip地址的过程，主要用于实现内部网络（私有ip地址）访问外部网络（公有ip地址）的功能。 　　在实际应用中，我们可能仅希望某些内部主机（具有私有ip地址）具有访问internet（外部网络）的权利，而其他内部主机则不允许。这是通过将acl和nat地址池进行关联来实现的，即只有满足acl条件的数据报文才可以进行地址转换，从而有效地控制地址转换的使用范围。 3. ipsec 　　ipsec（ip security）协议族是ietf制定的一系列协议，它通过ip层的加......Read More

本文转自：http://369369.blog.51cto.com/319630/768235/ 一、qos介绍 在Cisco IOS 系统上作QOS，一般要有以下五步： 1、启用全局qos 2、设置ACL匹配的流量 3、设置一个class-map，来匹配第二步设置的ACL 4、设置一个policy-map匹配class-map，然后再在这里面定义一系列策略 5、将policy-map应用到相应的接口上 解注： 1、交换机默认情况下qos是disable，所以在应用qos时，必须先启用它，可以在全局模式下启用，命令为：switch(config)#mls qos，查看交换机qos状态可用show mls qos 2、定义一条ACL，这条ACL可以是标准的，可以是扩展的，可以是命名的，1-99是标准ACL命名列表，100以上是扩展的ACL命名列表，个人喜欢用自定义ACL，除了精确外，也最明了。 3、class map是一个分类表，它要包含某条ACL。具体格式为switch (config)#class-map [match-all|match-any] {map-name} 交换机默认的策略为match-all，匹配所有，所以命令可以简化为 switch (config)#class-map map145-to-134 match-any，表示至少符合一个条件 4、protocal map，定义一个策略表，这个策略要包含第三步定义的class表，并且限制的带宽要在此明确指定 5、进入接口视图，应用策略，接口一般指端口，不能在......Read More

本文转自：http://shiziaifeng2009.blog.163.com/blog/static/1359005122011170206442/ 一、网络说明 　　PC１接在Cisco3550 F0/1上，速率为100Ｍ； Cisco3550的G0/1为出口。 　　二、详细配置过程 注：本配置：完善了转载中一些有误配置。 　　每个接口每个方向只支持一个策略；一个策略可以用于多个接口。因此所有PC的下载速率的限制都应该定义在同一个策略(在本例子当中 为policy-map user-down)，而PC不同速率的区分是在Class-map分别定义。 1、在交换机上启动QOS Switch(config)#mls qos //在交换机上启动QOS ２、定义PC1(10.10.10.1)访问控制列表 Switch(config)#access-list 10 permit 10.10.10.0 0.0.0.255 //控制pc1上行流量 Switch(config)#access-list 100 permit ip any 10.10.10.0 0.0.0.255 //控制pc1下行流量 ３、定义类，并和上面定义的访问控制列表绑定 Switch(config)# class-map user1-up //定义PC１上行的类，并绑定访问列表10 Switch(config-cmap)# match access-group 10 Switch(config-cmap)# exit Switch(config)# class-map user1-down Switch(config-cmap)# match access-group 100 //定义PC１下行的类，并绑定访问列表100 Switch(config-cmap)#......Read More

本文转自：http://zs266.blog.163.com/blog/static/191695046201243111436432/?latestBlog 交换机是cisco3550-24三层交换机，24口进100兆带宽，1口，2口，3口每个口出带宽限25兆，这些资料够了嘛 24口上面的网关ip是218.20.252.241，1口下面的ip是218.20.252.242，2口下面的ip是218.20.252.243，3口下面ip是218.20.252.244，我这台机的ip218.20.252.254，掩码是255.255.255.240 Switch#sh run Building configuration… Current configuration : 3239 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Switch ! enable password cisco ! no aaa new-model ip subnet-zero ip routing ! mls qos aggregate-policer user1-in 25000000 2000000 exceed-action drop mls qos ! ! ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! ! ! vlan internal allocation policy ascending ! class-map match-all match-alluser1-in match ip dscp default ! ! policy-map 10 class match-alluser1-in police aggregate user1-in ! ! ! interface F......Read More

本文转自：http://www.hackbase.com/tech/2011-08-05/64822.html 注：每个接口每个方向只支持一个策略；一个策略可以用于多个接口。因此端口下的网段的下载速率的限制都应该定义在同一个策略　　1.在交换机上启动QOS　　Switch（config）#mls qos    //在交换机上启动QOS　　2. 定义访问控制列表　　Switch（config）#access-list 10 permit 59.215.45.0 0.0.0.127　　控制这个端口下59.215.45.0网段的上传流量　　Switch（config）#access-list 100 permit any 59.215.45.0 0.0.0.127　　控制这个端口下59.215.45.0网段的下载流量　　3.定义类，并和上面定义的访问控制列表绑定　　Switch（config）# class-map rate-limit-uplink         /定义上行的类。并绑定访问列表10　　Switch（config-cmap）# match access-group 10　　Switch（config-cmap）# exit　　Switch（config）# class-map rate-limit-downlink      /定义下行的类。并绑定访问列表100　　Switch（config-cmap）# match access-group 100　　Switch（config-cmap）# exit　　4.定义策略，把定义的类绑定到该策略　　Switch（config）# policy-map rate-limit-uplink        //定......Read More