iptables 是一个状态包检测防火墙stateful packet inspection。 实际上由netfilter和iptables两个组件构成。netfilter是集成在内核中的一部分，其作用是定义、保存相应的规则，而iptables是一种工具，用来修改信息的过滤规则及其他配置。 netfilter是Linux核心中的一个通用架构，其提供了一系列的表（tables）,每个表由若干个链（chains）组成，而每条链可以由一条或若干条规则（rules）组成。 详细的可以参见  参考资料 1  2 环境：linux .winxp两台 Linux eth2:ip:10.1.10.251  接外网 linux eth1:ip:6.6.6.6    接内网（winxp） 1、配置默认策略 开启转发：修改/etc/sysctl.conf的net.ipv4.ip_forward=1 #不要修改/proc/sys/net/ipv4/ip_forward重启不保存 iptables -F：清空所选链中的规则，如果没有指定链则清空指定表中所有链的规则 iptables -X：清除预设表filter中使用者自定链中的规则 iptables -Z：清除预设表filter中使用者自定链中的规则 iptables -P INPUT DROP iptables -P FORWARD DROP 2.允许环回 iptables -A INPUT -i lo -j ACCEPT 3.连接状态设置

PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。 每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN（Secondary VLAN）。辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。 pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。 ①混杂端口（Promiscuous Port） ②主机端口（Host Port） Catalyst3560， 45，    65系列支持  配置pVLAN的实例：       SwitchA(config)#vlan 100       SwitchA(config-vlan)#private-vlan primary                                  !设置主VLAN 100                      SwitchA(config)#vlan 200       SwitchA(config-vlan)#private-vlan community       !设置团体VLAN 200                                           SwitchA(config)#vlan 300       SwitchA(config-vlan)#private-vlan isolated       !设置隔离VLAN 300                                                SwitchA(config)#vlan 100       SwitchA(config-vlan)#private-vlan association 200,300        [...]

二层EtherChannel配置： Switch(config)#int range f0/1 – 2 Switch(config-if-range)#channel-group 1 mode active Switch(config)#int port-channel 1 Switch(config-if)#switchport mode trunk 物理口会自动继承逻辑口上的配置 interface FastEthernet0/1 channel-group 1 mode active switchport mode trunk

两种配置方法。一种是通过配置虚拟模板接口（Virtual-Template，VT）来实现MP，另一种是利用MP-Group接口实现MP。 方法一mp group： interface Multilink1  ip address 192.168.0.1 255.255.255.0  ppp multilink  multilink-group 1 ! interface Serial0/0  no ip address  encapsulation ppp  serial restart-delay 0  ppp multilink  multilink-group 1 ! interface Serial0/1  no ip address  encapsulation ppp  serial restart-delay 0  ppp multilink  multilink-group 1 ! 注意事项：

1.动态NAT（PAT）和静态NAT 企业边缘路由器配置： interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 ip nat inside duplex auto speed auto