目录

一、vlan通信

1.1 单臂路由

1.1.1 利用子接口和802.1Q技术

1.1.2 用三层交换机和vlan接口实现实现vlan通信

二、ACL

2.1 基础知识

三、NAT技术：网络地址转换技术

四、路由补充

利用NAT实现上网

五、eigrp 协议（Cisco特有协议）

---

一、vlan通信

1.1 单臂路由

1.1.1 利用子接口和802.1Q技术

Router(config)#int g0/0/0.XXX ----进入子接口，XXX为子接口id

Router(config-subif)#encapsulation dot1Q XXX ----封装vLAN接口信息，XXX为vlan编号

Router(config-subif)#id address 192.168.1.1 255.255.255.0

子接口和母接口只能二选一，配了一个，另一个不生效

交换机上：创建vlan，把相关接口加入到vlan中，交换机和路由器互联的接口改为trunk

1.1.2 用三层交换机和vlan接口实现实现vlan通信

在三层交换机上：①创建vlan，把接口加入到对应vlan中

Switch(config)#ip routing ----开启路由功能

②进入vlan接口，配置IP地址，作为该vlan下的所有设备的网关

Switch(config-if)#ip address 192.168.1.254 255.255.255.0

---

二、ACL

2.1 基础知识

ACL：访问控制列表，用来识别数据的。需要指定规则（报文特征），来找到数据

deny / permit

包顾虑防火墙、NAT、路由策略、QoS...

1.每个数据包都会逐个匹配ACL，直到匹配某个规则为止，执行对应动作

2.ACL是应用在接口上的，可以对进或者出的数据进行过滤

3.ACL具有很强的方向性，数据只会被该接口的该方向的ACL过滤

4.ACL的规则有序列号，数据会按照规则配置依次匹配，规则在配置时，匹配范围（筛选范围）小的尽量靠前，匹配范围（筛选范围）大的尽量靠后。

5.在思科体系总，ACL的默认规则是拒绝所有数据

ACL中，通过通配符符掩码来找数据，将通配符掩码和IP地址结合，来表示一个范围

通配符掩码，有二进制组成，

0表示对应位必须比较，比较结果必须和原数一致

1表示对应位不需要比较，比较结果不需要和原数一致

通配符掩码：0.0.0.0 = host

255.255.255.255 = any

例 ： IP地址 ： 170.30.16.0

通配符掩码：0.0.15.255

10101010 00011110 00010000 00000000

00000000 00000000 00001111 11111111

10101010 00011110 00010000 00000000

1111 11111111

170.30.16.0-255 = 170.30.16.0/24

170.30.17.0-255 = 170.30.17.0/24

. . .

170.30.31.0-255 = 170.30.31.0/24

思科中：ACL可分为标准ACL和拓展ACL

标准ACL：id 1-99 只匹配数据的源IP，只根据数据的源IP地址来制定规则。数据过滤比较简单粗糙

例：三个路由器已经手工配置的静态路由

例1：现在如果采用Route3

①先创建ACL

R3(config)# access-list +id +deny / permit +源IP地址 +通配符掩码

R3(config)# access-list 1 deny 100.1.1.0 0.0.0.255

②再绑定接口

R3(config)#int g0/0/0

R3(config-if)#ip access-group 1 in /out（考虑数据的进出方向）

在R2上ping 操作一下，不可达，再在R3上查看ACL次数

如果ACL规则后没有match，要么是规则写错了，要么是数据没有到达ACL绑定的接口。

删除，进入手工配置的静态路由后的状态

拓展ACL：id 100-199 可以根据源目的IP地址、协议号、端口号……来指定规则，数据过滤会更加细致

R3(config)# access-list +id +deny/permit +协议 +源IP地址 +通配符掩码 +目的源IP地址 +通配符掩码 +eq +端口号

例2：从R2远程登录到R4上

R4上操作：

R2上操作：

让R2不能远程登录R4，其他功能正常，如ping操作正常

（1）先创建ACL

R3(config)# access-list +id +deny/permit +协议 +源IP地址 +通配符掩码 +目的源IP地址 +通配符掩码 +eq +端口号

R3(config)#access-list 100 deny tcp 100.1.1.1 0.0.0.0 200.1.1.2 0.0.0.0 eq telnet

（2）再绑定接口

R2无法登陆

R3(config)#access-list 100 permit ip any any

R2(config)#no ip access-list standard 1  ---- 删除列表1

---

三、NAT技术：网络地址转换技术

IP地址分为公网地址和私网地址

私网地址：任何个人/企业/组织都可以使用的地址 10.0.0.0 -10.255.255.255

172.16.0.0-127.255.255.255

192.168.0.0-192.168.255.255

公网地址：不可以重复，全网唯一，公网和私网之间禁止通信

NAT：网络地址转换,完成公网地址和私网地址之间的转换

1.静态一对一转换（station转换）

2.动态转换，需要配置地址池

①设置内网和公网

Router(config-if)#ip nat inside / outside

②配置ACL，找到需要做地址转换的数据

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255

③配置地址池

Router(config)#ip nat pool test 100.1.1.100 100.1.1.200 netmask 255.255.255.0 ----创建地址池,名字test

④把ACL和地址池关联

Router(config)#ip nat inside source list 1 pool test

Router#show ip nat translations ---查看地址值转换过程（要在ping一下才有转换过程）

删除：

3.基于端口的转换，不需要配置地址池

①配置ACL，找到需要做地址转换的数据

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255

②把ACL和地址池关联

Router(config)#ip nat inside source list 1 interface g0/1 overload

---

四、路由补充

特殊路由：默认路由 0.0.0.0/0 代表所有网络范围

明细路由：记录的是去往某个明确的网络范围

如果设备的默认路由额明细路由同时存在，按照掩码越长越优的原则，优先匹配明细路由

serial线缆中运行的是PPP（点到点）协议

R1(config)#IP +route +目的网络 +掩码 +出接口 （该接口运行PPP协议）

R1(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0

利用NAT实现上网

Roouter1:

pc1:

DNS1

 

HTTP1

最后pc1实现：

五、eigrp 协议（Cisco特有协议）

Router(config)#route eigrp ?

<1-65535> Autonomous system number

Router(config)#route eigrp XXX ---开启eigrp，XXX为AS号

Router(config-router)#network 192.168.1.0 255.255.255.0 ----宣告直连网段

Router(config-router)#no auto-summary ----关闭自动汇总功能

Router(config-router)#eigrp router-id x.x.x.x ----配置RID,x.x.x.x为RID号

Router#show ip eigrp neighbors ----查看eigrp的邻居信息