1.三层交换机：

ip routing 打开三层交换功能。

int vlan 10ip address ip_address netmask 配置ip地址no switchport 配置路由接口（与路由器连接的时候配置地址）switchport trunk encapsulation dot1qswitchport mode trunk 三层交换trunk，与二层交换同样sh ip routing 在三层交换机上查看路由表int vlan 10ip helper-address DHCPsev-IPAddress(dhcp服务器地址）no ip routing (给dhcp路由器去除路由功能）dhcp服务器中有三个vlan网段，实现三层交换机配置dhcp 中继

2.PVST+生成树协议

spanning-tree vlan 10 root primary （根网桥）

spanning-tree vlan 20 root secondary（从网桥）配置速接口 spanning-tree portfast查看 show spanning-tree配置交换机pvst+生成树协议

3.配置HSRP(热备份路由选择协议）

sw1：int vlan 2

ip add 192.168.2.1 255.255.255.0standby 2 ip 192.168.2.254 (配置虚拟ip地址）standby 2 priority 150 （配置优先级）standby 2 preempt （配置站先权）standby 2 track fastethernet 0/1 100 （配置端口跟踪）standby 2 track fastethernet 0/23 100int vlan 3ip add 192.168.3.1 255.255.255.0standby 3 ip 192.168.3.254standby 3 preemptsw2：（同sw1：）：：：三层交换热备份使用vlan，路由器热备份使用接口地址，no ip routing：：：查看HSRP详细信息 show standby

4.注意ip子网划分：

子网数=2的n次方 ，n为子网部分位数。

主机数=2的n次方-2，n为主机部分位数。每一个子网网段第一个地址为子网地址，最后一个为广播地址。

5.访问控制列表ACL： tcp端口及应用 21ftp，23telnet，25smtp，80http

udp端口常见 69tftp，111RPC，123ntp

标准ACL：access-list 1 deny host 192.168.2.2access-list 1 permit anyint f0/1ip access-group 1 in (看场景选择选in或out)扩展ACL: access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21(拒绝网络192.168.1.0/24 访问ftp服务器192.168.2.2 ）access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo （回显）（禁止网络192.168.1.0/24 ping通服务器192.168.2.2）（删除已建立的扩展acl语法：no access-list access-list-number）扩展命名ACL: ip access-list extended xuewenchangdeny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21permit ip any any默认策略建完后以10 20 30 排列:::删除已建立的命名ACL:no ip access-list extended access-list-name：：：:::删除已建立的单个acl：no 10 或者 no acl语句 ::将acl应用： int f0/1ip access-group access-list-name in | out查看：show access-list

6.网络地址转换NAT:

静态NAT（一对一) ip nat inside source static 192.168.1.100 61.159.62.130

(将内部局部地址192.168.1.100转换为内部全局地址61.159.62.130）ip nat inside source static 192.168.1.200 61.159.62.131（将内部局部地址192.168.1.200转换为内部全局地址61.159.62.130）int f0/0 ip nat outside （应用接口内外网）int f0/1 ip nat inside配置默认路由 ip route 0.0.0.0 0.0.0.0 61.159.6.129NAT端口映射发服务器 ip nat inside source static tcp 192.168.100.2 80 61.159.62.131 8080 extendable(扩展）（将web服务器192.168.100.2的80端口转换成了61.159.62.131的8080端口，可以在外网访问61.159.62.131的8080端口）ip nat inside source static tcp 192.168.100.2 25 61.159.62.131 25 extendable(如果数据包的目的地址是61.159.62.131，端口号是25，nat将这个数据包的目的地址转换为stmp服务器地址）动态NAT（多对多） int f0/0 ip add 61.159.62.130 255.255.255.192int f1/0 ip add 192.168.100.1 255.255.255.0access-list 22 permit 192.168.100.0 0.0.0.255 (定义内部网络中允许访问外部网络的acl）ip nat pool xue1 61.159.62.131 61.159.62.190 netmask 255.255.255.192 (定义合法ip地址）ip nat inside source list 22 pool xue1(实现网络地址转换，将acl22中的局部地址转换为xue1地址池中的全局ip地址）：：：如果有多个合法地址池，可以重复使用上面三个命令添加地址池实现地址多对多转换：：：interesting f0/0 ip nat outsideinteresting f0/1 ip nat inside配置默认路由 ip route 0.0.0.0 0.0.0.0 61.159.62.129PAT端口多路复用 access-list 33 permit anyip ant pool xue 61.159.62.131 61.159.62.131 netmask 255.255.255.248 (定义合法的ip地址池）ip nat inside source list 33 pool xue overload(端口复用方式，将acl33中局部地址转换为xue地址池中定义的全局ip地址）interesting f0/0 ip nat outsideinteresting f0/1 ip nat inside配置默认路由 ip route 0.0.0.0 0.0.0.0 61.159.62.129

7.此实验内部网络使用动态路由协议，需要给三台路由器都向外网回一条默认路由，动态rip配置