大型网络的配置实例
说明
这是一个比较综合的实例,从拓扑图上可以看出,它所包含的设备和技术。以下对这个例子作些说明。
对于内部局域网,选用Cisco的Catalyst 6506作为中心交换机,二级交换采用Catalyst 3500,同时为了说明Trunk,又加了一个Catalyst 2900 作为三级交换,对于终端连接用了Catalyst 1900交换机,这样就可以在Catalyst 6506与Catalyst 3500之间
以及Catalyst 3500与Catalyst 2900 之间建立Trunk,实现跨交换机的VLAN。
注:Catalyst 2900系列如果要实现Trunk,软件必须是企业版的。
对于外连上,主要是专线连接和拨号访问,当然种类比较多.包括了DDN、 ISDN、 Frame Relay、 E1 线路等。
本例给出设备的基本配置。
对于多设备的连接问题,值得注意的是路由问题,本实例外连部分采用静态路由而内部局域网采用动态路由. 在本例的帧中继配置中,运用了IP Unnumbered ,可以节省地址资源,有兴趣可以注意一下。
网络拓扑:
VLAN划分问题
对于交换设备本例中划到VLAN 1中,而对于外连设备的所有以太网端口,均划到VLAN 2中,下面给出各VLAN的名称和网关地址,本例划分8个VLAN.
VLAN ID VLAN Name Gateway
VLAN 1 Bluestudy 1 10.1.0.1/16
VLAN 2 Bluestudy 2 10.2.0.1/16
VLAN 3 Bluestudy 3 10.3.0.1/16
VLAN 4 Bluestudy 4 10.4.0.1/16
VLAN 5 Bluestudy 5 10.5.0.1/16
VLAN 6 Bluestudy 6 10.6.0.1/16
VLAN 7 Bluestudy 7 10.7.0.1/16
附件 - 如何获取无忧币 - 下载扣无忧币规则
01.jpg (65.74 KB)
2006-10-18 17:44
Catalyst 6506 的配置
Enter password:
enable
Enter password:
config t
set system name Bluestudy
set time 10/30/2000 9:30:00
set password
set enablepass
set interface sc0 10.1.0.2/16
set ip route default 10.1.0.1
set ip dns server 10.1.0.100
set ip dns domain https://www.doczj.com/doc/931920214.html,
set ip dns enable
set vtp domain bluestudy mode server
set vlan 3 name Bluestudy 3
set vlan 4 name Bluestudy 4
set vlan 5 name Bluestudy 5
set vlan 6 name Bluestudy 6
set vlan 7 name Bluestudy 7
set vlan 8 name Bluestudy 8
set port negotiation 2/1-8 enable
set port name 2/1-8 GEC 802.1Q Trunk
set trunk 2/1-8 desirable dot1q
set port speed 2/1-8 1000
set vlan 1 3/1-48
对于6506的交换机方面的配置只需做出Trunk即可,因为要实现跨交换机之间的虚网,下面配置6506的路由模块,因为6506的路由模块现在与管理引擎模块集成在了一起,所以,默认命令是:Session 15 ,详情请见 6506 路由设置.
Catalyst 6506RSM模块的配置
(enable) session 15
Trying Router-15...
Connected to Router-15.
Escape character is '^]'.
enable
configure terminal
hostname bluestudy
enable password password
line vty 0 6
password secret_word
ip domain-name https://www.doczj.com/doc/931920214.html,
ip name-server 10.1.0.100
interface vlan 1
ip address 10.1.0.1 255.255.0.0
no shutdown
interface vlan 2
ip address 10.2.0.1 255.255.0.0
no shutdown
interface vlan 3
ip address 10.3.0.1 255.255.0.0
no shutdown
no shutdown
interface vlan 5
ip address 10.5.0.1 255.255.0.0
no shutdown
interface vlan 6
ip address 10.6.0.1 255.255.0.0
no shutdown
interface vlan 7
ip address 10.7.0.1 255.255.0.0
no shutdown
interface vlan 8
ip address 10.8.0.1 255.255.0.0
no shutdown
router rip
version 2
network 10.0.0.0
ip route 0.0.0.0 0.0.0.0 10.2.0.12
ip route 192.168.2.0 255.255.255.0 10.2.0.13
ip route 192.168.3.0 255.255.255.240 10.2.0.11
ip route 192.168.4.0 255.255.255.0 10.2.0.11
ip route 192.168.5.0 255.255.255.0 10.2.0.11
ip route 192.168.6.0 255.255.255.0 10.2.0.11
copy running-config startup-config
Building configuration...
[OK]
这里给出的是单纯的命令行,略去了一些默认状况的设置.
Catalyst 3500 的配置
!
version 12.0
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
enable password password
!
username bluestudy password password
username test password password
!
省略端口的显示
!
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface GigabitEthernet0/2
!
interface VLAN1
ip address 10.1.0.4 255.255.0.0
ip helper-address 10.1.0.100
ip directed-broadcast
no ip route-cache
!
ip default-gateway 10.1.0.1
interface Ethernet1/1(与2900对接)
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet1/2(与1900 A对接)
switchport access VLAN 3
no shut
!
interface Ethernet1/3(与1900 B对接)
switchport access VLAN 4
no shut
!
snmp-server engineID local 000000090200000216BE4E80 snmp-server community public RO
(打开简单的网络管理,便于以后,Cisco 网管软件识别和管理)!
line con 0
login local
transport input none
stopbits 1
line vty 0 4
login local
line vty 5 15
login
!
end
Catalyst 2900 的配置
2900的配置与3500的相似,命令如下
hostname bluestudy
!
enable password password
!
username bluestudy password password
username test password password
!
省略端口的显示
!
interface Ethernet0/1(与3500对接)
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface VLAN1
ip address 10.1.0.3 255.255.0.0
ip helper-address 10.1.0.100
ip directed-broadcast
no ip route-cache
!
ip default-gateway 10.1.0.1
switchport access VLAN 5
no shut
!
interface Ethernet0/3(与1900 D对接)
switchport access VLAN 6
no shut
!
snmp-server engineID local 000000090200000216BE4E80 snmp-server community public RO
snmp-server community private RW
snmp-server chassis-id 0x17
!
line con 0
login local
transport input none
stopbits 1
line vty 0 4
login local
line vty 5 15
login
!
end
Cisco Catalyst 1900 的配置
对于1900的配置就相对容易得多了
只需在enable 状态下键入 Setup 就会进入配置向导
给出交换机的
IP地址:10.3.0.5
掩码:255.255.0.0
网关:10.3.0.1
就可以了,另外应该打开简单的网络管理协议SNMP
snmp-server community public RO
snmp-server community private RW
即可
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password password encrypted
passwd password encrypted
hostname pix_A
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
pager lines 24
no logging console
logging monitor debugging
logging buffered debugging
no logging trap
logging facility 20
interface ethernet0 auto
interface ethernet1 auto
ip address outside 192.168.0.1 255.255.255.252
ip address inside 10.2.0.13 255.255.0.0
arp timeout 14400
nat (inside ) 0 192.168.0.0 255.255.255.252
rip outside passive
no rip outside default
no rip inside passive
rip inside default
route outside 192.168.2.0 255.255.255.0 192.168.0.2 route inside 0.0.0.0 0.0.0.0 10.2.0.1
timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00
esnmp-server community public RO
snmp-server community private RW telnet 10.2.0.200 255.255.255.255 telnet timeout 15
mtu outside 1500
mtu inside 1500
floodguard 0
Cisco 2610A 的配置
Current configuration:
!
version 11.3
service timestamps debug uptime service timestamps log uptime
service password-encryption
!
hostname 2610A
!
enable password password
!
username bluestudy password password no ip domain-lookup!
!
interface Ethernet0/0
ip address 192.168.0.2 255.255.255.252 no shut
!
interface Serial0/0
ip address 192.168.0.5 255.255.255.252 no shut
!
interface Serial0/1
no ip address
ip route 0.0.0.0 0.0.0.0 192.168.0.1
ip route 192.168.2.0 255.255.255.0 192.168.0.6 !
snmp-server community public RO
snmp-server community private RW
!
line con 0
line aux 0
line vty 0 4
login local
!
no scheduler allocate
end
Cisco 1603的配置
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 1603
!
enable secret password
enable password password
!
memory-size iomem 25
ip subnet-zero
!
interface Serial0
ip address 192.168.0.6 255.255.255.252
no ip directed-broadcast
ip address 192.168.2.1 255.255.255.0 no ip unreachables
no ip directed-broadcast
!
ip classless
ip route 0.0.0.0 0.0.0.0 s0
no ip http server
!
snmp-server community public RO
snmp-server community private RW
!
line con 0
password password
transport input none
line aux 0
line vty 0 4
password password
login
!
no scheduler allocate
end
PIX 520B的基本配置
PIX Version 4.2(4)
nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password password encrypted passwd password encrypted hostname pix520_B
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
pager lines 24
no logging console
no logging monitor
no logging buffered
no logging trap
logging facility 20
interface ethernet0 auto
interface ethernet1 auto
ip address outside 202.108.66.97 255.255.255.248 ip address inside 10.2.0.12 255.255.0.0
arp timeout 14400
global (outside) 1 202.108.66.100
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
route outside 0.0.0.0 0.0.0.0 202.109.77.98 timeout xlate 3:00:00 conn 1:00:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
telnet 10.2.0.200 255.255.255.255
telnet timeout 15
mtu outside 1500
mtu inside 1500
Current configuration:
!
version 11.3
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname 2610B
!
enable password password
!
username bluestudy password password no ip domain-lookup!
!
interface Ethernet0/0
ip address 202.108.66.98 255.255.255.248 no shut
!
interface Serial0/0
ip address 202.108.8.1 255.255.255.252 no shut
!
interface Serial0/1
no ip address
shutdown
!
ip route 0.0.0.0 0.0.0.0 202.108.8.2
!
snmp-server community public RO
snmp-server community private RW
!
line con 0
line aux 0
line vty 0 4
no scheduler allocate
end
Cisco 2610c 的配置
version 11.2
service udp-small-servers
service tcp-small-servers
!
hostname 2610C
!
enable secret cisco
!
ip subnet-zero
no ip domain-lookup
!
ip address-pool local
isdn switch-type basic-net3
interface Ethernet0
ip address 10.2.0.11 255.255.0.0
!
interface Serial0
no ip address
encapsulation frame-relay
frame-relay lmi-type ansi
!
interface Serial0.1 point-to-point description Frame Relay to bluestudy1 ip unnumbered Ethernet0
frame-relay interface-dlci 10
!
interface Serial0.2 point-to-point description Frame Relay to bluestudy2 ip unnumbered Ethernet0
frame-relay interface-dlci 11
no ip address
shutdown
isdn switch-type basic-net3
!
interface BRI1/1
ip address 192.168.3.1 255.255.255.240 encapsulation ppp
timeout absolute 60 0
dialer idle-timeout 3600
dialer-group 1
isdn switch-type basic-net3
peer default ip address pool default
ppp authentication chap pap callin
!
interface BRI1/2
no ip address
encapsulation ppp
shutdown
isdn switch-type basic-net3
!
interface BRI1/3
no ip address
encapsulation ppp
shutdown
isdn switch-type basic-net3
no peer default ip address
!
ip local pool default 192.168.3.3 192.168.3.14 ip http server
ip classless
ip route 192.168.5.0 255.255.255.0 serial0.1 ip route 192.168.4.0 255.255.255.0 serial0.2 ip route 0.0.0.0 0.0.0.0 10.2.0.1
!
access-list 1 permit any
password console
login
line aux 0
line vty 0 4
password telnet
login
!
end
Cisco 1720A 的配置
version 11.2
service udp-small-servers
service tcp-small-servers
hostname bluestudy1
!
enable secret cisco
!
ip subnet-zero
no ip domain-lookup
!
interface Fastethernet0
ip address 192.168.5.1 255.255.255.0 !
interface Serial0
no ip address
encapsulation frame-relay
!
interface Serial0.1 point-to-point description Frame Relay to bluestudy ip unnumbered Ethernet0
frame-relay interface-dlci 10
!
ip http server
password console
login
line aux 0
line vty 0 4
password bluestudy1
login
!
end
Cisco 1720B 的配置
version 11.2
service udp-small-servers
service tcp-small-servers
hostname bluestudy1
!
enable secret cisco
!
ip subnet-zero
no ip domain-lookup
!
interface Fastethernet0
ip address 192.168.4.1 255.255.255.0 !
interface Serial0
no ip address
encapsulation frame-relay
!
interface Serial0.1 point-to-point description Frame Relay to bluestudy ip unnumbered Ethernet0
frame-relay interface-dlci 11
!
ip http server
password console
login
line aux 0
line vty 0 4
password bluestudy2
login
!
end
Lucent MAX 6000
对于阵列式访问服务器(朗讯的MAX 6000),可以起到小型ISP的作用,如果作了Callback的配置,那么员工就可以在家里也能够登陆到公司的网络。而且,因为E1线路通常是包月的,因此,可以省去员工的上网费用,当然也可以通过计费费软件,适当收费,实现以网养网。
对于其配置只要将大于30个IP地址加入地址池中,然后将所有路由指向中心交换机即可。
对于MAX6000的配置,通常是菜单形式的,可以根据向导进行配置。
在此,省略其配置。
但是,以前遇到一个问题,MAX 6000接入中心交换机(3Com 3500)时,将其路由指向3500,而3500也将拨入用户网络指向MAX 6000,但是产生如下现象
现象如下:
1.由MAX6000拨入的19
2.168.6.0网络与内部网络10.0.0.0 通讯正常,但是却不能与其他专线连接的网络(如:192.168.2.0)通讯.而路由指向与上述相同.
2.中心交换机是6500的时候,这些问题就解决了,怀疑是3500的错误,但是,当将MAX 6000的网络指向2610 A,同时,2610 A也将路由指向MAX 6000,在MAX 6000上Traceroute却连192.168.0.6都到不了.最终的解决办法就是,将192.168.6.0/24改成10.2.8.0/16,即给拨入用户直接分配内部地址,这就不存在路由问题了,所以,都可以正常通讯,不知是何原因.
网络管理
对于Cisco的网管软件的使用上是比较简单的。
在安装CWSI时,只要给出一个种子点的IP地址(如:中心交换机的IP:10.1.0.2)就可以了,在安装完软件以后,利用自动搜寻功能就可以找到网络中连接的Cisco设备了。同时,也要选择相应的数据库,对于PIX 520、Catalyst 6500、Catalyst 3500等要向代理要补丁包。因为没有补丁包网管软件连6500的模块都不能识别。
至于一些应用功能,只要参照使用手册看看就可以了。
但是,前提就是要安装 HP OpenView 等操作平台
对于CiscoView 的功能要简单得多,前台也可以安装SNMPS
而Cwsi 包含Cisco View。
中小企业网络组建与配置 目录 案例背景 (1) 需求分析 (1) 拓扑结构 (1) 组网设备 (2) 地址规划 (3) 方案实施 (3) 配置步骤 (5) 1、网络设备基本配置 (5) (1)S2126G-A1交换机基本配置 (5) (2)S2126G-B1交换机基本配置 (7) (3)S2126G-C1交换机基本配置 (8) (4)S3550-24-A的基本配置 (9) (5)S3550-24-B的基本配置 (11) (6)S3550-24-C的基本配置 (12) (7)S6806E-A的基本配置 (14) (8)R2624-A的基本配置 (15) 2、OSPF路由选择协议配置及测试 (15) (1)S3550-24-A OSPF路由协议配置 (15) (2)S3550-24-B OSPF路由协议配置 (16) (3)S3550-24-C OSPF路由协议配置 (16) (4)S6806E OSPF路由协议配置 (17) (5)R2624-A OSPF路由协议配置 (17) 3、服务器配置 (21) DNS.DHCP.EMAIL.WEB.FTP配置 (18) 总结 (21) 参考文献 (21)
摘要:本文是基于一个课程的网络互联设计,根据实践环境设计一个小型企业内部的网络组建。从实际情况出发把这个小型企业的实际需要应用到网络中去,使这个企业的内部网络能够快速便捷。因为条件有限,本次设计的拓扑结构图是在模拟器上进行的。主要运用了所学的路由和交换技术。 关键字:小型企业;网络;设计方案 案例背景 某小型企业现有300个结点,需要建设一个小型网络以实现该企业内部的相互通信和与外部的联系,通过该网络提高企业的发展和企业内部办公的信息化、办公自动化。该企业有15个部门,则需要让这15个部门能够通过该网络访问互联网,并能实现部门之间信息化的合作。所以该网络的必须体现办公的方便性、迅速性、高效性、可靠性、科技性、资源共享、相互通信、信息发布及查询等功能,以作为支持企业内部办公自动化、供应链管理以及各应用系统运行的基础设施。 需求分析 该网络是一个单核心的网络结构(拓扑结构如图1所示),采用典型的三层结构,核心、汇聚、接入。各部门独立成区域,防止个别区域发生问题,影响整个网的稳定运行,若某汇聚交换机发生问题只会影响到某几个部门,该网络使用vlan进行隔离,方便员工调换部门。 核心交换机连接三台汇聚交换机对所有数据进行接收并分流,所以该设备必须是高质量、功能具全,责任重大,通过高速转发通信,提高优化的,可靠的传输结构。核心层应该尽快地交换分组。该设备不承担访问列表检查、数据加密、地址翻译或者其他影响的最快速率分组的任务。 汇聚层交换机位于接入层和核心层之间,该网络有三台汇聚层交换机分担15个部门,能帮助定义和分离核心。该层的设备主要目的是提供一个边界的定义,以在其内进行分组处理。该层将网络分段为多个广播域。该问控制列表可以实施策略并过滤分组。汇聚层将网络问题限制在发生问题的工作组内,防止这些问题影响到核心层。该层的交换机运行在第二层和第三层上。 接入层为网络提供通信,并且实现网络入口控制。最终用户通过接入层访问网络的。作为网络的“前门”,接入层交换机使用访问列表以阻止非授权的用户进入网络。 拓扑结构 如图1所示为企业内部的网络拓扑结构图。
二层交换机配置案例(配置2层交换机可远程管理): Switch> Switch>en 进入特权模式 Switch#config 进入全局配置模式 Switch(config)#hostname 2ceng 更改主机名为2ceng 2ceng(config)#interface vlan 1 进入VLAN 1
2ceng(config-if)#no shut 激活VLAN1 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface vlan 2 创建VLAN 2 2ceng(config-if)#no shut 激活VLAN2 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface vlan 3 创建VLAN 3 2ceng(config-if)#no shut 激活VLAN3 2ceng(config-if)# ip address 192.168.3.254 255.255.255.0 配置192.168.3.254为2ceng管理IP 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface range fa0/1-12 进入到端口1-12 2ceng(config-if-range)#switchport mode access 将1-12口设置为交换口 2ceng(config-if-range)#switch access vlan 1 将1-12口划分到VLAN 1 2ceng(config-if-range)#exit 退出到全局配置模式 2ceng(config)#interface range fa0/13-23 进入到端口13-23 2ceng(config-if-range)#switch access vlan 2 将13-23口划分到VLAN2 2ceng(config-if-range)#exit 退出到全局配置模式 2ceng(config)#interface fastEthernet 0/24 进入到24口 2ceng(config-if)#switch mode trunk 将24口设置为干线 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#enable secret cisco 设置加密的特权密码cisco 2ceng(config)#line vty 0 4 2ceng(config-line)#password telnet 设置远程登陆密码为telnet
交换机配置(三)ACL基本配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为、 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率 限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30
3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的 粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的 级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示,,,,20M,40M,60M,80M。 此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合 acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图
VLAN网络的配置实例 为了给大家一个真实的配置实例学习机会,下面就以典型的中型局域网VLAN配置为例向各位介绍目前最常用的按端口划分VLAN的配置方法。 某公司有100台计算机左右,主要使用网络的部门有:生产部(20)、财务部(15)、人事部(8)和信息中心(12)四大部分,如图1所示。 网络基本结构为:整个网络中干部分采用3台Catalyst 1900网管型交换机(分别命名为:Switch1、Switch2和Switch3,各交换机根据需要下接若干个集线器,主要用于非VLAN用户,如行政文书、临时用户等)、一台Cisco 2514路由器,整个网络都通过路由器Cisco 2514与外部互联网进行连接。 所连的用户主要分布于四个部分,即:生产部、财务部、信息中心和人事部。主要对这四个部分用户单独划分VLAN,以确保相应部门网络资源不被盗用或破坏。 现为了公司相应部分网络资源的安全性需要,特别是对于像财务部、人事部这样的敏感部门,其网络上的信息不想让太多人可以随便进出,于是公司采用了VLAN的方法来解决以上问题。通过VLAN的划分,可以把公司主要网络划分为:生产部、财务部、人事部和信息中心四个主要部分,对应的VLAN组名为:Prod、Fina、Huma、Info,各VLAN组所对应的网段如下表所示。 VLAN 号 VLAN 名端口号
2 Prod Switch 1 2-21 3 Fina Switch2 2-16 4 Huma Switch3 2-9 5 Info Switch3 10-21 【注】之所以把交换机的VLAN号从"2"号开始,那是因为交换机有一个默认的VLAN,那就是"1"号VLAN,它包括所有连在该交换机上的用户。 VLAN的配置过程其实非常简单,只需两步:(1)为各VLAN组命名;(2)把相应的VLAN对应到相应的交换机端口。 下面是具体的配置过程: 第1步:设置好超级终端,连接上1900交换机,通过超级终端配置交换机的VLAN,连接成功后出现如下所示的主配置界面(交换机在此之前已完成了基本信息的配置): 1 user(s) now active on Management Console. User Interface Menu [M] Menus [K] Command Line [I] IP Configuration Enter Selection: 【注】超级终端是利用Windows系统自带的"超级终端"(Hypertrm)程序进行的,具体参见有关资料。 第2步:单击"K"按键,选择主界面菜单中"[K] Command Line"选项,进入如下命令行配置界面: CLI session with the switch is open. To end the CLI session,enter [Exit ]. >
华为交换机各种配置实例 交换机配置(三)ACL基本配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,1.25M,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示3.12M,6.25M,9.38M,12.5M,20M,40M,60M,80M。此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate 3 3. 配置acl,定义符合速率限制的数据流
华为路由器dhcp简单配置实例 session 1 DHCP的工作原理 DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述。DHCP有3个端口,其中UDP67和UDP68为正常的DHCP 服务端口,分别作为DHCP Server和DHCP Client的服务端口;546号端口用于DHCPv6 Client,而不用于DHCPv4,是为DHCP failover服务,这是需要特别开启的服务,DHCP failover是用来做“双机热备”的。 DHCP协议采用UDP作为传输协议,主机发送请求消息到DHCP服务器的67号端口,DHCP服务器回应应答消息给主机的68号端口,DHCP的IP地址自动获取工作原理及详细步骤如下: 1、DHCP Client以广播的方式发出DHCP Discover报文。 2、所有的DHCP Server都能够接收到DHCP Client发送的DHCP Discover报文,所有的DHCP Server都会给出响应,向DHCP Client发送一个DHCP Offer报文。DHCP Offer报文中“Your(Client) IP Address”字段就是DHCP Server 能够提供给DHCP Client使用的IP地址,且DHCP Server会将自己的IP地址放在“option”字段中以便DHCP Client 区分不同的DHCP Server。DHCP Server在发出此报文后会存在一个已分配IP地址的纪录。 3、DHCP Client只能处理其中的一个DHCP Offer报文,一般的原则是DHCP Client处理最先收到的DHCP Offer报文。DHCP Client会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP Server的IP地址和需要的IP地址。 4、DHCP Server收到DHCP Request报文后,判断选项字段中的IP地址是否与自己的地址相同。如果不相同,DHCP Server不做任何处理只清除相应IP地址分配记录;如果相同,DHCP Server就会向DHCP Client响应一个DHCP ACK 报文,并在选项字段中增加IP地址的使用租期信息。 5、DHCP Client接收到DHCP ACK报文后,检查DHCP Server分配的IP地址是否能够使用。如果可以使用,则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程;如果DHCP Client发现分配的IP地址已经被使用,则DHCP Client向DHCPServer发出DHCP Decline报文,通知DHCP Server禁用这个IP地址,然后DHCP Client 开始新的地址申请过程。 6、DHCP Client在成功获取IP地址后,随时可以通过发送DHCP Release报文释放自己的IP地址,DHCP Server收到DHCP Release报文后,会回收相应的IP地址并重新分配。
H C三层交换机D H C P 配置实例H C网络设备集团文件发布号:(9816-UATWW-MWUB-WUNN-INNUL-DQQTY-
D H C P典型配置 【需求】 DHCP的主要用途是:通过DHCP服务器的协助来控管各个客户机(执行中的用户端)上不可缺少的网络配置参数,包括DNS(DomainNameService?域名服务),WINS (WindowsInternetNameService?Windows互联网名字服务)等。 【组网图】 在PC上执行“ipconfig”,该PC已经通过DHCP自动获取IP地址、网关、域名信息。C:\>ipconfig WindowsIPConfiguration
Ethernetadapter本地连接: Connection-specificDNSSuffix.:https://www.doczj.com/doc/931920214.html, SubnetMask.. 【提示】 1、只给出DHCPserver上最基本的配置,其它可选配置可以查看《操作手册》5.1.2DHCPRelay典型配置 【需求】 路由器进行DHCPRelay,将DHCP报文进行中继。 【组网图】 1、DHCPServer可以使用PCServer,也可以使用路由器充当。 2、当使用路由器作为DHCPServer的配置,和上一节的配置类似。 5.1.3DHCPClient典型配置 【需求】 路由器作为DHCPClient,获取接口的动态IP地址。 主要用在使用路由器的以太网接口通过LAN方式接入公网的组网。
【组网图】 通过dispint可以查看接口获取的IP地址 [Quidway]dispinte1/0/0 Ethernet1/0/0currentstate:UP? Lineprotocolcurrentstate:UP Description:Ethernet1/0/0Interface TheMaximumTransmitUnitis1500,Holdtimeris10(sec) IPSendingFrames'FormatisPKTFMT_ETHNT_2,Hardwareaddressis00e0-fc45-2ca7 Mediatypeistwistedpair,loopbacknotset,promiscuousmodenotset 100Mb/s,Full-duplex,linktypeisautonegotiation Outputflow-controlisdisabled,inputflow-controlisdisabled Outputqueue:(Urgentqueue:Size/Length/Discards)0/50/0 Outputqueue:(Protocolqueue:Size/Length/Discards)0/500/0 Outputqueue:(FIFOqueuing:Size/Length/Discards)0/75/0 Last300secondsinputrate0.00bytes/sec,0.00packets/sec Last300secondsoutputrate0.00bytes/sec,0.00packets/sec Input:406packets,57174bytes,406buffers 218broadcasts,0multicasts,0pauses
网络实例综合实验 一、拓扑图: 配置: 二、三层交换机SWA配置快播,qvod,百度影音,下载: https://www.doczj.com/doc/931920214.html,/ SWA(config)#vlan 10 SWA(config)#vlan 20 SWA(config)#vlan 30 SWA(config)#vlan 40 SWA(config)#vlan 50 SWA(config)#vlan 60 SWA(config)#spanning-tree
SWA(config)#spanning-tree mst configuration SWA(config-mst)#name ruijie SWA(config-mst)#reversion 1 SWA(config-mst)#instance 10 vlan 10,20,30 SWA(config-mst)#instance 20 vlan 40,50,60 SWA(config)#spanning-tree mst 10 priority 4096 SWA(config)# spanning-tree mst 20 priority 8192 SWA(config)#interface range fa0/12-13 SWA(config-if-range)#portgroup 1 on SWA(config)#interface agg 1 SWA(config-if)#switchport mode trunk SWA(config)#int vlan 10 SWA(config-if)#ip add 172.16.1.1 255.255.255.0 SWA(config)#int vlan 20 SWA(config-if)#ip add 172.16.2.1 255.255.255.0 SWA(config)#int vlan 30 SWA(config-if)#ip add 172.16.3.1 255.255.255.0 SWA(config)#int vlan 40 SWA(config-if)#ip add 172.16.4.1 255.255.255.0 SWA(config)#int vlan 50 SWA(config-if)#ip add 172.16.5.1 255.255.255.0 SWA(config)#int vlan 60 SWA(config-if)#ip add 172.16.6.1 255.255.255.0 SWA(config)#int vlan 10 SWA(config-if)#vrrp 10 ip 172.16.1.254 SWA(config-if)#vrrp 10 pri 120 SWA(config)#int vlan 20 SWA(config-if)#vrrp 20 ip 172.16.2.254 SWA(config-if)#vrrp 20 pri 120 SWA(config)#int vlan 30 SWA(config-if)#vrrp 30 ip 172.16.3.254 SWA(config-if)#vrrp 30 pri 120 SWA(config)#int vlan 40 SWA(config-if)#vrrp 40 ip 172.16.4.254 SWA(config)#int vlan 50 SWA(config-if)#vrrp 50 ip 172.16.5.254
Cisco 2811企业网络配置案例 网络, Cisco, 企业 一、DHCP服务 1.全局地址池 地址池名称:global 地址段:192.168.0.0 255.255.255.0 默认网关:192.168.0.1 DNS:202.106.0.20,202.106.116.1 地址租期:3天 ip dhcp pool global network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 202.106.0.20 202.106.116.1 lease 3 2.固定地址池 为每个员工建立一个DHCP 地址池,并根据员工姓名对地址池进行命名,根据MAC地址进行IP地址分配,如: ip dhcp pool staffnameA host 192.168.0.11 255.255.255.0 client-identifier 0108.0046.0ef8.ae ip dhcp pool staffnameB host 192.168.0.12 255.255.255.0 client-identifier 0100.115b.518c.a2 注意,在MAC地址前面多了个01,然后每4位用一个点分隔。 3.未分配的IP地址 地址段:192.168.0.60 到192.168.0.254 ip dhcp excluded-address 192.168.0.60 192.168.0.254 二设置IP地址与MAC地址绑定 绑定特权IP地址与MAC地址的关系,保证特权IP不被占用。 arp 192.168.0.2 0000.e897.444c ARPA arp 192.168.0.3 0000. 00e8.9734 ARPA ………… 绑定其他IP地址与MAC地址的关系,保证IP不被盗用。 arp 192.168.0.9 ef00.abcd.4444 ARPA ………… ………… arp 192.168.0.254 ef00.abcd.4444 ARPA 三、PAT转换 访问控制列表100的策略: 允许192.168.0.2、192.168.0.3、192.168.0.4、192.168.0.5、192.168.0.6、192.168.0.7、192.168.0.8七个特权地址任意访问公网。 允许其他地址访问MSN、QQ、MAIL、SKYPE、DNS、网站:60.28.30.73、61.135.150.104、61.135.150.98等。 允许任意用户使用PING命令。 四、PPTP配置 建立用户abc,bcd,允许使用PPTP功能。打开AAA服务,实现本地认证。 username abc password abc username bcd password bcd 为VPN用户指定DNS ip name-server 202.100.0.20 ip name-server 202.106.116.1 打开AAA服务 aaa new-model aaa authentication login default local aaa authentication ppp default local
即用即查Linux命令行实例参考手册代码 第13章基本网络配置命令 配置或显示网络设备——ifconfig ifconfig命令语法: ifconfig [网络设备] [IP地址] [参数] 实例1:显示安装在本地主机的第一块以太网卡eth0的状态,执行命令: [root@localhost ~]# ifconfig eth0 实例2:配置本地主机回送接口。执行命令: [root@localhost ~]# ifconfig lo inet 127.0.0.1 up 实例3:显示本地主机上所有网络接口的信息,包括激活和非激活的,执行命令: [root@localhost ~]# ifconfig 实例4:配置eth0网络接口的IP为192.168.1.108。 在设置eth0网络接口之前,首先显示本地主机上所有网络接口的信息。执行命令:[root@localhost ~]# ifconfig 然后设置eth0网络接口,ip为192.168.1.108,netmask为255.255.255.0,broadcast为192.168.1.255。执行命令: [root@localhost ~]# ifconfig eth0 192.168.1.108 netmask 255.255.255.0 broadcast 192.168.1.255 实例5:启动/关闭eth0网络接口。 在eth0网络接口禁用之前,首先显示本地主机上所有网络接口的信息。执行命令:[root@localhost ~]# ifconfig 然后执行禁用eth0网络接口命令: [root@localhost ~]# ifconfig eth0 down [root@localhost ~]# ifconfig 再次显示本地主机上所有网络接口的信息,以便比较分析禁用eth0网络接口命令的作用。 为了进一步深入了解,可以测试ping该网络接口。执行命令: [root@localhost ~]# ping 192.168.1.108 此时应该ping不通主机192.168.1.108。接下来可以执行如下命令重新启动该网络接口。 [root@localhost ~]# ifconfig eth0 up 实例6:为eth0网络接口添加一个IPv6地址fe80::20c::29ff:fe5f:ba3f/64。 在为eth0网络接口添加IPv6地址之前,首先显示本地主机上所有网络接口的信息。执行命令: [root@localhost ~]# ifconfig 然后执行ping6命令检测未添加IPv6地址fe80::20c::29ff:fe5f:ba3f/64之前eth0网络接口的状况: [root@localhost ~]# ping6 –I eth0 –c 4 fe80::20c::29ff:fe5f:ba3f 接下来为eth0网络接口添加一个IPv6地址fe80::20c::29ff:fe5f:ba3f/64,执行命令:[root@localhost ~]# ifconfig eth0 add fe80::20c:29ff:fe5f:ba3f
华为路由器IS-IS基本配置实例 组网需求 如图1所示: ?S-switch-A、S-switch-B、S-switch-C和S-switch-D属于同一自治系统,要求他们之间通过IS-IS协议达到IP网络互连的目的。 ?S-switch-A、S-switch-B和S-switch-C的区域号是10,S-switch-D的区域号是20。 ?S-switch-A和S-switch-B是Level-1设备,S-switch-C是Level-1-2设备,S-switch-D是Level-2设备。 图1 IS-IS基本配置组网图
配置思路 采用如下的思路配置IS-IS的基本功能: 1.配置各物理接口所属的VLAN。 2.配置各VLANIF接口的IP地址。 3.在各S-switch上运行IS-IS进程,指定网络实体,配置level级别。 4.查看各S-switch的IS-IS数据库信息及路由表信息。 数据准备 为完成此配置例,需准备如下的数据: ?各接口所属的VLAN ID,具体数据如图1所示。 ?各VLANIF接口的IP地址,具体数据如图1所示。 ?四台S-switch的system id、级别和所属区域号。 ?S-switch-A的system id 0000.0000.0001,区域号Area10,为Level-1设备。 ?S-switch-B的system id 0000.0000.0002,区域号Area10,为Level-1设备。 ?S-switch-C的system id 0000.0000.0003,区域号Area10,为Level-1-2设备。 ?S-switch-D的system id 0000.0000.0004,区域号Area20,为Level-2设备。配置步骤 1.配置各接口所属的VLAN ID(略) 2.配置各VLANIF接口的IP地址(略)
华为三层交换机配置实例一例 服务器1双网卡,内网IP:192.168.0.1,其它计算机通过其代理上网 PORT1属于VLAN1 PORT2属于VLAN2 PORT3属于VLAN3 VLAN1的机器可以正常上网 配置VLAN2的计算机的网关为:192.168.1.254 配置VLAN3的计算机的网关为:192.168.2.254 即可实现VLAN间互联 如果VLAN2和VLAN3的计算机要通过服务器1上网 则需在三层交换机上配置默认路由 系统视图下:ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 然后再在服务器1上配置回程路由 进入命令提示符 route add 192.168.1.0 255.255.255.0 192.168.0.254 route add 192.168.2.0 255.255.255.0 192.168.0.254 这个时候vlan2和vlan3中的计算机就可以通过服务器1访问internet了~~ 华为路由器与CISCO路由器在配置上的差别" 华为路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致,有些方面还根据国内用户的需求作了很好的改进。例如中英文可切换的配置与调试界面,使中文用户再也不用面对着一大堆的英文专业单词而无从下手了。另外它的软件升级,远程配置,备份中心,PPP回拨,路由器热备份等,对用户来说均是极有用的功能特性。 在配置方面,华为路由器以前的软件版本(VRP1.0-相当于CISCO的IOS)与CISCO有细微的差别,但目前的版本(VRP1.1)已和CISCO兼容,下面首先介绍VRP软件的升级方法,然后给出配置上的说明。 一、VRP软件升级操作 升级前用户应了解自己路由器的硬件配置以及相应的引导软件bootrom的版本,因为这关系到是否可以升级以及升级的方法,否则升级失败会导致路由器不能运行。在此我们以从VRP1.0升级到VRP1.1为例说明升级的方法。 1.路由器配置电缆一端与PC机的串口一端与路由器的console口连接 2.在win95/98下建立使用直连线的超级终端,参数如下: 波特率9600,数据位8,停止位1,无效验,无流控,VT100终端类型 3.超级终端连机后打开路由器电源,屏幕上会出现引导信息,在出现: Press Ctrl-B to enter Boot Menu. 时三秒内按下Ctrl+b,会提示输入密码 Please input Bootrom password: 默认密码为空,直接回车进入引导菜单Boot Menu,在该菜单下选1,即Download application program升级VRP软件,之后屏幕提示选择下载波特率,我们一般选择38400 bps,随即出现提示信息: Download speed is 38400 bps.Please change the terminal's speed to 38400 bps,and select XMODEM protocol.Press ENTER key when ready. 此时进入超级终端“属性”,修改波特率为38400,修改后应断开超级终端的连接,再进入连接状态,以使新属性起效,之后屏幕提示: Downloading…CCC 这表示路由器已进入等待接收文件的状态,我们可以选择超级终端的文件“发送”功能,选定相应的VRP软件文件名,通讯协议选Xmodem,之后超级终端自动发送文件到路由器中,整个传送过程大约耗时8分半钟。完成后有提示信息出现,系统会将收到的VRP软件写入Flash Memory覆盖原来的系统,此时整个升级过程完成,系统提示改回超级终端的波特率: Restore the terminal's speed to 9600 bps. Press ENTER key when ready. 修改完后记住进行超级终端的断开和连接操作使新属性起效,之后路由器软件开始启动,用show ver命令将看见
华为NAT配置案例模拟 图表1模拟拓扑图 1、在华为设备上部署静态NAT技术,实现公司员工(私网)访问internet (公网) 静态一对一: AR1# interface GigabitEthernet0/0/1 ip address 202.106.1.2 255.255.255.0 nat static global 202.1.1.1 inside 192.168.1.2 netmask 255.255.255.255 AR2# [AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2 [AR2] 结果测试:
查看静态转换表 [AR1]display nat static Static Nat Information: Interface : GigabitEthernet0/0/1 Global IP/Port : 202.1.1.1/---- Inside IP/Port : 192.168.1.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Total : 1 [AR1] 在没有做静态NAT条目的PC2上不能访问公网,可以得出结论:静态NAT是静 态一对一的关系 2、在华为设备上部署动态NAT技术,实现公司员工(私网)访问internet (公网) 动态NAT [AR1]nat address-group 1 202.1.1.1 202.1.1.1(定义一个地址池存放一个可用公网地址202.1.1.1) [AR1]dis cu | begin acl acl number 2000 (定义转换的源IP)
华为路由器防火墙配置 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source- mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较 的概念;为IP时
有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq) 、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个 端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个 数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或 0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo- reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 log [可选] 表示如果报文符合条件,需要做日志。 listnumber 为删除的规则序号,是1~199之间的一个数值。