benet3.0网络笔记03

◆28.HSRP的配置命令
配置为HSRP的成员
Switch（config-if）#standby group-number ip virtual-ip-address
配置HSRP的优先级（范围0～255，默认100）
Switch(config-if)#standby group-number priority priority-value
HSRP占先权配置（HSRP占先权，优先级高的路由器重新获得转发权，成为活跃路由器）
Switch(config-if）#standby group-number preempt
HSRP计时器配置（配置Hello间隔和保持时间）
Switch(config-if)#standby group-number times hellotime holdtime
HSRP端口跟踪配置（跟踪端口不可用时，HSRP优先级降低）
Switch(config-if)#standby group-number track type mod/num interface-priority
查看HSRP摘要信息
Switch#show standby [type mod/num] [group-number] brief
查看HSRP详细信息
Switch#show standby
例：
SW1配置
SW1(config)#interface vlan 2
SW1(config-if)#ip address 192.168.1.1 255.255.255.0
SW1(config-if)#standby 10 ip 192.168.1.254
SW1(config-if)#standby 10 priority 200
SW1(config-if)#standby 10 preempt
SW1(config-if)#standby 10 timers 2 8
SW1(config-if)#standby 10 track fastEthernet 0/1 100

◆29.访问控制列表
⑴标准访问控制列表配置（表号范围1-99）
创建ACL
Router(config)#access-list access-list-number { permit | deny } source [ source-wildcard ]
删除ACL
Router(config)# no access-list access-list-number
应用实例
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0
允许192.168.1.0/24和主机192.168.2.2的流量通过
隐含的拒绝语句
Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255
关键字host（代替全0的子网掩码）any（代表所有网段）
将ACL应用于接口（注意：以路由器的角度去看in或out）
Router(config-if)# ip access-group access-list-number {in |out}
在接口上取消ACL的应用
Router(config-if)# no ip access-group access-list-number {in |out}
⑵扩展访问控制列表配置
创建ACL
Router(config)#access-list access-list-number { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]
删除ACL
Router(config)# no access-list access-list-number
将ACL应用于接口
Router(config-if)# ip access-group access-list-number {in |out}
在接口上取消ACL的应用
Router(config-if)# no ip access-group access-list-number {in |out}
例：
应用实例1
Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Router(config)# access-list 101 deny ip any any
应用实例2
Router(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
Router(config)# access-list 101 permit ip any any
应用实例3
Router(config)# access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo
Router
(config)# access-list 101 permit ip any any
⑶命名访问控制列表配置
创建ACL
Router(config)# ip access-list { standard | extended }
access-list-name
配置标

准命名ACL
Router(config-std-nacl)# [ Sequence-Number ] { permit | deny } source [ source-wildcard ]
配置扩展命名ACL
Router(config-ext-nacl)# [ Sequence-Number ] { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]
Sequence-Number决定ACL语句在ACL列表中的位置，默认第一条10，第二条20. .
删除整组ACL
Router(config)# no ip access-list { standard | extended } access-list-name
删除组中单一ACL语句
no Sequence-Number
no ACL语句
例：
Router(config-std-nacl)# no 10或Router(config-std-nacl)#no permit host 192.168.1.1
例：
⑴标准命名ACL应用实例
Router(config)# ip access-list standard cisco
Router(config-std-nacl)# permit host 192.168.1.1
Router(config-std-nacl)# deny any
允许来自主机192.168.1.1/24的流量通过
更改ACL,又允许来自主机192.168.2.1/24的流量通过
Router(config)# ip access-list standard cisco
Router(config-std-nacl)#15 permit host 192.168.2.1
查看配置
Router#show access-lists
Standard IP access list cisco
10 permit 192.168.1.1
15 permit 192.168.2.1
20 deny any
⑵扩展命名ACL应用实例
Router(config)# ip access-list extended cisco
Router(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
Router(config-ext-nacl)# permit ip any any

◆30.定时访问控制列表
定义时间范围的名称
Router(config)# time-range time-range-name
指定该时间范围何时生效
定义一个时间周期
Router(config-time-range)# periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm
定义一个绝对时间
Router(config-time-range)# absolute [start hh:mm day month year] [end hh:mm day month year]
扩展ACL中引入时间范围
Router(config)#access-list access-list-number { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ] time-range time-range-name
将ACL应用于接口
Router(config-if)# ip access-group access-list-number { in |out }
例：
应用实例1
Router(config)# time-range mytime
Router(config-time-range)# periodic weekdays 8:30 to 17:30
Router(config-time-range)# exit
Router(config)# access-list 101 permit ip any any time-range mytime
Router(config)# int f0/0
Router(config-if)# ip access-group 101 in
应用实例2
Router(config)# time-range mytime
Router(config-time-range)# absolute start 8:00 10 may 2009 end 18:00 20 may 2009
Router(config-time-range)# exit
Router(config)# access-list 101 permit ip any any time-range mytime
Router(config)# int f0/0
Router(config-if)# ip access-group 101 in

◆31.NAT配置
⑴静态NAT配置（适用于发布服务器）实例
设置外部端口的IP地址：
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address 61.159
.62.130 255.255.255.248
设置内部端口的IP地址：
Router(config)#interface FastEthernet 1/0
Router(config-if)#ip address 192.168.100.1 255.255.255.0
建立静态

地址转换
Router(config)#ip nat inside source static 192.168.100.2 61.159.62.130
Router(config)#ip nat inside source static 192.168.100.3 61.159.62.131
在内部和外部端口上启用NAT
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip nat outside
Router(config)#interface FastEthernet 1/0
Router(config-if)#ip nat inside
配置默认路由
Router(config)#ip route 0.0.0.0 0.0.0.0 61.159.62.129
★NAT映射
同一内部局部地址映射到多个内部全局地址
Router(config)#ip nat inside source static local-ip global-ip [extendable]
配置实例
Router(config)#ip nat inside source static tcp 192.168.100.2 61.159.62.131 extendable
Router(config)#ip nat inside source static tcp 192.168.100.2 61.159.62.132 extendable
端口映射
Router(config)#ip nat inside source static protocol local-ip UDP/TCP-port global-ip UDP/TCP-port [extendable]
NAT端口映射配置示例
Router(config)#ip nat inside source static tcp 192.168.100.2 80 61.159.62.131 80 extendable
Router(config)#ip nat inside source static tcp 192.168.100.3 80 61.159.62.131 8080 extendable
⑶动态NAT配置
置外部端口的IP地址：
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address 61.159.62.130 255.255.255.192
设置内部端口的IP地址：
Router(config)#interface FastEthernet 1/0
Router(config-if)#ip addres设s 172.168.100.1 255.255.255.0
定义内部网络中允许访问外部网络的访问控制列表
Router(config)#access-list 1 permit 172.168.100.0 0.0.0.255
定义合法IP地址池
Router(config)#ip nat pool test0 61.159.62.131 61.159.62.190 netmask 255.255.255.192
实现网络地址转换
Router(config)#ip nat inside source list 1 pool test0
在内部和外部端口上启用NAT，以及配置默认路由均与静态NAT配置相同
⑷PAT配置（端口多路复用）
实现网络地址转换时多了overload参数其他与动态NAT一致
Router(config)#ip nat inside source list 1 pool onlyone overload
⑸复用路由器外部接口地址
直接使用接口的IP地址作为转换后的源地址
Router(config)#ip nat inside source list 1 interface FastEthernet 0/0 overload
★查看NAT转换条目
Router# show ip nat translations [verbose]（verbose：显示详细的NAT转换条目信息）
★查看NAT统计信息
Router#show ip nat statistics
★NAT转换条目超时时间
默认情况下
UDP超时值：5分钟
DNS超时值：1分钟
TCP超时值：24小时
更改超时时间配置
Router(config)#ip nat translation { dns-timeout | icmp-timeout | tcp-timeout | udp-timeout } { seconds | never }
★清除NAT转换条目（静态NAT条目不能被清除）
清除NAT转换表中的所有条目
Router#clear ip nat translation *
清除包含内
部转换的转换条目
Router#clear ip nat translation inside local-ip global-ip
清除包含外部转换的转换条目
Router#clear ip nat translation outside local-ip global-ip

本文来源：https://www.bwwdw.com/article/loj4.html