VLAN的基本配置
(config)#vlan 10 创建VLAN10
(config-vlan)#name vlanname 命名VLAN为vlanname
(config-if)#switchport access vlan 10 将该端口划入VLAN10中
某端口的接口配置模式下进行
(config)#interface vlan 10 进入VLAN 10的虚拟端口配置模式
(config-if)# ip address 192.168.1.1 255.255.255.0 为VLAN10的虚拟端口配置IP及掩码,二层交换机只能配置一个IP,此IP是作为管理IP使用,例如,使用Telnet的方式登录的IP地址
(config-if)# no shutdown 启用该端口
端口安全
(config)# interface fastethernet 0/1 进入一个端口
(config-if)# switchport port-security 开启该端口的安全功能
1.配置最大连接数限制
(config-if)# switchport port-secruity maxmum 1 配置端口的最大连接数为1,最大连接数为128
(config-if)# switchport port-secruity violation shutdown
配置安全违例的处理方式为shutdown,可选为protect (当安全地址数满后,将未知名地址丢弃)、restrict(当违例时,发送一个Trap通知)、shutdown(当违例时将端口关闭,并发送Trap通知,可在全局模式下用errdisable recovery来恢复)。
2.IP和MAC地址绑定
(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx ip-address 172.16.1.1
接口配置模式下配置MAC地址xxxx.xxxx.xxxx和IP172.16.1.1进行绑定(MAC地址注意用小写)
三层路由功能(针对三层交换机)
(config)# ip routing 开启三层交换机的路由功能
(config)# interface fastethernet 0/1
(config-if)# no switchport 开启端口的三层路由功能(这样就可以为某一端口配置IP)
(config-if)# ip address 192.168.1.1 255.255.255.0
(config-if)# no shutdown
三层交换机路由协议
(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 配置静态路由
注:172.16.1.0 255.255.255.0 为目标网络的网络号及子网掩码
172.16.2.1 为下一跳的地址,也可用接口表示,如ip route 172.16.1.0 255.255.255.0 serial 1/2(172.16.2.0所接的端口)
(config)# router rip 开启RIP协议进程
(config-router)# network 172.16.1.0 申明本设备的直连网段信息
(config-router)# version 2 开启RIP V2,可选为version 1(RIPV1)、version 2(RIPV2)
(config-router)# no auto-summary 关闭路由信息的自动汇总功能(只有在RIPV2支持)
(config)# router ospf 开启OSPF路由协议进程(针对1762,无需使用进程ID)
(config)# router ospf 1 开启OSPF路由协议进程(针对2501,需要加OSPF进程ID)
(config-router)# network 192.168.1.0 .255 area 0
申明直连网段信息,并分配区域号(area0为骨干区域)
IP ACL:
交换机采用命名的访问控制列表;分标准(stand)和扩展(extended)两种
1.标准ACL
(config)#ip access-list stand listname 定义命名标准列表,命名为listname,stand为标准列表
(config-std-nacl)#deny 192.168.30.0 .255 拒绝来自192.168.30.0网段的IP流量通过
注:deny:拒绝通过;可选:deny(拒绝通过)、permit(允许通过)
192.168.30.0 .255:源地址及源地址通配符;可使用any表示任何IP
(config-std-nacl)#permit any
(config-std-nacl)#end 返回
2.扩展ACL
(config)#ip access-list extended listname
定义命名扩展列表,命名为listname,extended为扩展
(config-ext-nacl)#deny tcp 192.168.30.0 .255 192.168.10.0 0.0.0.255 eq www 拒绝源地址为192.168.30.0网段的IP访问目的地址为192.168.10.0网段的WWW服务
注:deny:拒绝通过,可选:deny(拒绝通过)、permit(允许通过)
tcp: 协议名称,协议可以是udp, ip,eigrp, gre, icmp, igmp, igrp等等。
192.168.10.0 .255:源地址及源地址通配符
192.168.30.0 .255:目的地址及目的地址通配符
eq:操作符(lt-小于,eq-等于,gt-大于,neg-不等于,range-包含)
www:端口号,可使用名称或具体编号
可以使用的协议名称(或编号)和端口名称(或编号)请打?查询。
(config-ext-nacl)#permit ip any any 允许其它通过
(config-ext-nacl)#end 返回
(config)#interface vlan 10 进入端口配置模式
(config-if)# ip access-group listname in 访问控制列表在端口下in方向应用;可选:in(入栈)、out(出栈)
(config-if)#end 返回
注:配置ACL时,若只想对其中部分IP进行限制访问时,必须配置允许其流量通过,否则设备只会对限制IP进行处理,不会对非限制IP进行允许通过处理。