转到正文

天亮了说晚安's Blog

欢迎您的光临! http://www.tllswa.com

存档

2014 年 8 月 的存档

NAT + VLAN +ACL管理企业网络

8 月 14
未分类

本文转自:http://forest.blog.51cto.com/1202625/270015 在企业中,要实现所有的员工都能与互联网进行通信,每个人各使用一个公网地址是很不现实的。一般,企业有1个或几个公网地址,而企业有几十、几百个员工。要想让所有的员工使用这仅有的几个公网地址与互联网通信该怎么做呢?使用NAT技术!   在企业中,一般会有多个部门,像财务部、技术部、工程部等等。每个部门有每个部门的职责。像财务部这种重要的部门有些资料是不允许被其他员工知道的。怎样能清楚的区分不同的部门,以便于管理呢?使用VLAN技术!   为了工作方便、增强工作效率,各部门经理必须能相互通信。但不允许员工之间相互通信。我们又该怎样做呢?使用ACL技术!     今天我们来学习如何使用NAT + VLAN +ACL管理企业网络。如下是试验环境:   环境介绍: 企业中只有一个公网地址,172.16.1.1/24 企业中共有三个部门工程部、财务部、技术部。 PC1  PC3  PC5 分别为三个部门的部门经理使用。 PC1 的ip地址为192.168.1.2/24 PC2 的ip地址为192.168.1.3/24 PC3 的ip地址为192.168.2.2/24 PC4 的ip地址为192.168.2.3/24 PC5 的ip地址为192.168.3.2/24 PC6 的ip地址为192......Read More

我要发言 阅读全文

ACL 的学习与应用

8 月 14
未分类

本文转自:http://yytian.blog.51cto.com/535845/289951 1. 包过滤   包过滤作为一种网络安全保护机制,在转发数据包时,先检查包头信息(例如包的源地址/目的地址、源端口/目的端口和上层协议等),然后与设定的规则进行比较,根据比较的结果决定对该数据包进行转发还是丢弃处理,一般来说这种包过滤主要应用在一些特殊服务的访问上(如防止远程登录、防病毒)和特殊环境的访问上(不同Vlan间的互访或者对服务器的访问)。一般都是在路由器和交换机的端口上以及SVI端口应用acl来实施一定的访问策略,在网络层和传输层上过滤报文。 2. nat   nat(network address translation,地址转换)是将数据报报头中的ip地址转换为另一个ip地址的过程,主要用于实现内部网络(私有ip地址)访问外部网络(公有ip地址)的功能。   在实际应用中,我们可能仅希望某些内部主机(具有私有ip地址)具有访问internet(外部网络)的权利,而其他内部主机则不允许。这是通过将acl和nat地址池进行关联来实现的,即只有满足acl条件的数据报文才可以进行地址转换,从而有效地控制地址转换的使用范围。 3. ipsec   ipsec(ip security)协议族是ietf制定的一系列协议,它通过ip层的加......Read More

我要发言 阅读全文

Cisco交换机QOS(限速)详解

8 月 14
未分类

本文转自:http://369369.blog.51cto.com/319630/768235/ 一、qos介绍 在Cisco IOS 系统上作QOS,一般要有以下五步: 1、启用全局qos 2、设置ACL匹配的流量 3、设置一个class-map,来匹配第二步设置的ACL 4、设置一个policy-map匹配class-map,然后再在这里面定义一系列策略 5、将policy-map应用到相应的接口上 解注: 1、交换机默认情况下qos是disable,所以在应用qos时,必须先启用它,可以在全局模式下启用,命令为:switch(config)#mls qos,查看交换机qos状态可用show mls qos 2、定义一条ACL,这条ACL可以是标准的,可以是扩展的,可以是命名的,1-99是标准ACL命名列表,100以上是扩展的ACL命名列表,个人喜欢用自定义ACL,除了精确外,也最明了。 3、class map是一个分类表,它要包含某条ACL。具体格式为switch (config)#class-map [match-all|match-any] {map-name} 交换机默认的策略为match-all,匹配所有,所以命令可以简化为 switch (config)#class-map map145-to-134 match-any,表示至少符合一个条件 4、protocal map,定义一个策略表,这个策略要包含第三步定义的class表,并且限制的带宽要在此明确指定 5、进入接口视图,应用策略,接口一般指端口,不能在......Read More

我要发言 阅读全文

思科三层交换机限速

8 月 14
未分类

本文转自:http://shiziaifeng2009.blog.163.com/blog/static/1359005122011170206442/ 一、网络说明   PC1接在Cisco3550 F0/1上,速率为100M; Cisco3550的G0/1为出口。   二、详细配置过程 注:本配置:完善了转载中一些有误配置。   每个接口每个方向只支持一个策略;一个策略可以用于多个接口。因此所有PC的下载速率的限制都应该定义在同一个策略(在本例子当中 为policy-map user-down),而PC不同速率的区分是在Class-map分别定义。 1、在交换机上启动QOS Switch(config)#mls qos //在交换机上启动QOS 2、定义PC1(10.10.10.1)访问控制列表 Switch(config)#access-list 10 permit 10.10.10.0 0.0.0.255 //控制pc1上行流量 Switch(config)#access-list 100 permit ip any 10.10.10.0 0.0.0.255 //控制pc1下行流量 3、定义类,并和上面定义的访问控制列表绑定 Switch(config)# class-map user1-up //定义PC1上行的类,并绑定访问列表10 Switch(config-cmap)# match access-group 10 Switch(config-cmap)# exit Switch(config)# class-map user1-down Switch(config-cmap)# match access-group 100 //定义PC1下行的类,并绑定访问列表100 Switch(config-cmap)#......Read More

我要发言 阅读全文

cisco交换机限速配置

8 月 14
未分类

本文转自:http://zs266.blog.163.com/blog/static/191695046201243111436432/?latestBlog 交换机是cisco3550-24三层交换机,24口进100兆带宽,1口,2口,3口每个口出带宽限25兆,这些资料够了嘛 24口上面的网关ip是218.20.252.241,1口下面的ip是218.20.252.242,2口下面的ip是218.20.252.243,3口下面ip是218.20.252.244,我这台机的ip218.20.252.254,掩码是255.255.255.240 Switch#sh run Building configuration… Current configuration : 3239 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Switch ! enable password cisco ! no aaa new-model ip subnet-zero ip routing ! mls qos aggregate-policer user1-in 25000000 2000000 exceed-action drop mls qos ! ! ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! ! ! vlan internal allocation policy ascending ! class-map match-all match-alluser1-in match ip dscp default ! ! policy-map 10 class match-alluser1-in police aggregate user1-in ! ! ! interface F......Read More

我要发言 阅读全文

Cisco 2960 3750交换机端口流量限速

8 月 14
未分类

本文转自:http://www.hackbase.com/tech/2011-08-05/64822.html 注:每个接口每个方向只支持一个策略;一个策略可以用于多个接口。因此端口下的网段的下载速率的限制都应该定义在同一个策略  1.在交换机上启动QOS  Switch(config)#mls qos    //在交换机上启动QOS  2. 定义访问控制列表  Switch(config)#access-list 10 permit 59.215.45.0 0.0.0.127  控制这个端口下59.215.45.0网段的上传流量  Switch(config)#access-list 100 permit any 59.215.45.0 0.0.0.127  控制这个端口下59.215.45.0网段的下载流量  3.定义类,并和上面定义的访问控制列表绑定  Switch(config)# class-map rate-limit-uplink         /定义上行的类。并绑定访问列表10  Switch(config-cmap)# match access-group 10  Switch(config-cmap)# exit  Switch(config)# class-map rate-limit-downlink      /定义下行的类。并绑定访问列表100  Switch(config-cmap)# match access-group 100  Switch(config-cmap)# exit  4.定义策略,把定义的类绑定到该策略  Switch(config)# policy-map rate-limit-uplink        //定......Read More

我要发言 阅读全文

流量整形和流量监管的命令有哪写?

8 月 12
未分类

本文摘录于互联网 目录树: 流量相关概念 正常流量定义 网络定义的cir、bc、be 网络流量控制机制 流量整形和流量监管特点 流量整形内容: 一、 GTS 1、 基于接口 int s0 traffic-shape rate 256000 //出口流量以256Kbit/s进行整形 tafffic-shape adaptive 64000 //收到BECN后CIR被降低为64kbit/s show traffic s0 show traffic queue 2、 基于流的GTS Acess-list 101 traffic-shape group 101 xx xx xx 3、 CB shaping class-map myclass match any policy-map mypolicy class myclass shape average 256000 16384 0 //以配置的CIR 256Kbit/s发送通信,而不传送任何过量的突发位。bc=16384 shape adaptive 64000 ////收到BECN后CIR被降低为64kbit/s int s0 service-policy output mypolicy show interface shape 二、 FRTS 1、 FRTS 基于接口的GTS Encapsulation fram-relay Frame-relay adp 2000 定义BECN,拥塞的时候最小的流量为这个,适合TCP 当为UDP的时候 Traffic-shap fecn-adptive 发送一个测试帧。 : 2、 DE位 access-list 100 permit ip host 1.1.1.1 host 2.2.2.2 frame-relay de-list 3 protoc......Read More

我要发言 阅读全文

shape peak、shape average和police

8 月 12
未分类

本文转自:http://kanghestef.blog.51cto.com/77886/191164 shape peak、shape average和police 以下是相关配置:     环境:Dynamips、FlashFXP、IOS 12.4T ! ftp-server enable ftp-server topdir disk0: ! …….. ! class-map match-all shape match access-group 100 ! ! policy-map shape class shape police cir 80000 bc 15000 be 30000 conform-action transmit exceed-action drop ! ….. access-list 100 permit tcp any host 192.168.1.200 access-list 100 deny   tcp any any R1#sh run int f0/0 Building configuration… Current configuration : 166 bytes ! interface FastEthernet0/0 ip address 192.168.1.221 255.255.255.0 duplex full rmon native rmon collection stats 1 owner config service-policy output shape end R1# R1#sh policy-map int f0/0 FastEthernet0/0   Service-policy output: shape     Class-map: shape (match-all) 7593 packets, 10691055 bytes 5 minute offered rate 36000 bps, drop rate 3000 bps Match: access-group 100 police: cir 80000 bps, bc 15000 bytes conformed 268......Read More

我要发言 阅读全文

cisco路由器常用的查看端口和通道状况的命令

8 月 11
未分类

本文转自:http://zhengyin0211.blog.sohu.com/168115611.html 下面以Cisco1800路由器为例,介绍一下常用的查看端口和通道状况的命令。 在MS-DOS窗口里敲入命令telnet+IP地址,回车,即可远程登录路由器。一般用路由器局域网口地址。 1,用R1#sh ip int b命令查看端口状态 R1#sh ip int b Interface IP-Address OK? Method Status Protocol FastEthernet0/0 100.100.100.226 YES NVRAM up up FastEthernet0/1 200.200.200.226 YES NVRAM up up Serial0/0/0 72.22.81.102 YES NVRAM up up Serial0/0/1 72.22.81.109 YES NVRAM up up 正常情况下,思科1800路由器四个端口的Status和protocol都是up的。 2,用R1#sh int s0/0/0查看链路状态和通道情况 Serial0/0/0 is up, line protocol is up //接口与协议都已启动(正常) Serial0/0/0 is up, line protocol is down //接口启动,协议没有匹配成功(端口无物理故障,但通道不通) Serial0/0/0 is down, line protocol is down //接口与协议都DOWN掉(协转没有工作) Serial0/0/0 is down,line protocol is down(disable)//端口出现物理性故障,需更换端口。 Serial0/0/0 is administratively down,line protocol is down ......Read More

我要发言 阅读全文

备案信息

苏ICP备15013660号

天亮了说晚安's Blog
Copyright © 2024 天亮了说晚安's Blog Design by SRS Solutions 返回页首