实际上由netfilter和iptables两个组件构成。netfilter是集成在内核中的一部分，其作用是定义、保存相应的规则，而iptables是一种工具，用来修改信息的过滤规则及其他配置。

netfilter是Linux核心中的一个通用架构，其提供了一系列的表（tables）,每个表由若干个链（chains）组成，而每条链可以由一条或若干条规则（rules）组成。

详细的可以参见  参考资料 1  2

环境：linux .winxp两台
Linux eth2:ip:10.1.10.251  接外网

linux eth1:ip:6.6.6.6    接内网（winxp）

1、配置默认策略

开启转发：修改/etc/sysctl.conf的net.ipv4.ip_forward=1
#不要修改/proc/sys/net/ipv4/ip_forward重启不保存

iptables -F：清空所选链中的规则，如果没有指定链则清空指定表中所有链的规则
iptables -X：清除预设表filter中使用者自定链中的规则
iptables -Z：清除预设表filter中使用者自定链中的规则

iptables -P INPUT DROP
iptables -P FORWARD DROP

2.允许环回

iptables -A INPUT -i lo -j ACCEPT

3.连接状态设置

iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT

4.实施NAT

iptables -t nat -A POSTROUTING -j MASQUERADE
#此设置比较危险，推荐按照入接口，源地址，出接口进行NAT
#该设置会使所有接口都成为NAT入接口包括eth2

5.允许内部上网

iptables -A FORWARD -p tcp –dport 80 -j ACCEPT
iptables -A FORWARD -p tcp –dport 53 -j ACCEPT
iptables -A FORWARD -p udp –dport 53 -j ACCEPT

6.保存
iptables-save或service iptables save
7.测试，ok，QQ能上，网页能上
参考资料：
1.http://redking.blog.51cto.com/27212/143185
2.http://linux.vbird.org/linux_server/0250simple_firewall.php

每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN（Secondary VLAN）。辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。
pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。
①混杂端口（Promiscuous Port）
②主机端口（Host Port）

Catalyst3560， 45，    65系列支持

 配置pVLAN的实例：
      SwitchA(config)#vlan 100
      SwitchA(config-vlan)#private-vlan primary                           
      !设置主VLAN 100
              
      SwitchA(config)#vlan 200
      SwitchA(config-vlan)#private-vlan community 
     !设置团体VLAN 200                                    

      SwitchA(config)#vlan 300
      SwitchA(config-vlan)#private-vlan isolated 
     !设置隔离VLAN 300                                         

      SwitchA(config)#vlan 100
      SwitchA(config-vlan)#private-vlan association 200,300  
      !将辅助VLAN关联到主VLAN                       

     
      SwitchA(config)#interface vlan 100
      SwitchA(config-if)#private-vlan mapping add 200,300                 
      !将辅助VLAN映射到主VLAN接口，允许pVLAN入口流量的三层交换     
     
      SwitchA(config)# interface fastethernet 0/2
      SwitchA(config-if)#switchport mode private-vlan host
      SwitchA(config-if)#switchport private-vlan host-association 100 200
      !2号口划入团体VLAN 200

      SwitchA(config)# interface fastethernet 0/3
      SwitchA(config-if)#switchport mode private-vlan host
      SwitchA(config-if)#switchport private-vlan host-association 100 300
      !3号口划入隔离VLAN 300

      SwitchA(config)# interface fastethernet 0/1
      SwitchA(config-if)#switchport mode private-vlan promiscuous
      SwitchA(config-if)#switchport private-vlan mapping 100 add 200-300
      !1号口杂合模式

CatOS的配置
      set vlan 100 pvlan-type primary
      set vlan 200 pvlan-type community     
      set vlan 300 pvlan-type isolated     
      set pvlan 100 200 5/1
      set pvlan 100 300 5/2
      set pvlan mapping 100,200 15/1
      set pvlan mapping 100,300 15/1    //指定混杂模式的接口

参考资料：
http://hi.baidu.com/n6630/blog/item/c6e6974cb3d362fdd62afc64.html
http://yixuelian.blog.51cto.com/133058/56824
http://hi.baidu.com/coghost/blog/item/4f4dfb22e3bdd5a24723e83e.html
http://baike.baidu.com/view/1065646.htm
关于端口隔离

Switch(config)# interface gigabitethernet1/0/2
Switch(config-if)# switchport protected

Catalyst 29 35系列支持
网关 及共享口 不敲protected 即可通信

二层EtherChannel配置：

Switch(config)#int range f0/1 – 2

Switch(config-if-range)#channel-group 1 mode active

Switch(config)#int port-channel 1

Switch(config-if)#switchport mode trunk

物理口会自动继承逻辑口上的配置

interface FastEthernet0/1
channel-group 1 mode active
switchport mode trunk

注意事项：
3550上可能会出Command rejected（Packet Tracer5.3也是如此）要先封装协议，再起trunk。

Switch(config)#int f0/5
Switch(config-if)#switchport mode trunk
Command rejected: An interface whose trunk encapsulation is “Auto” can not be configured to “trunk” mode.

Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk

三层EtherChannel配置：

interface range FastEthernet0/1 – 3
shutdown
no switchport
channel-group 1 mode active

interface Port-channel 1
no switchport
ip address 192.168.0.1 255.255.255.252

interface range FastEthernet0/1 – 3
no shutdown

注意事项：
shutdown 可以不用，但会弹出很多接口信息
Packet Tracer 5.3做实验时，range可能配不了channel-group单个接口进入配置即可。

删掉EtherChannel

no int po 1
default f0/1 – 3

将物理接口与虚拟模板接口关联

[RTA] interface virtual-template 1
[RTA-Virtual-Template1] ip address 1.1.1.1 24
[RTA] interface serial 2/0
[RTA-Serial2/0] ppp mp virtual-template 1
[RTA] interface serial 2/1
[RTA-Serial2/0] ppp mp virtual-template 1

[RTB] interface virtual-template 1
[RTB-Virtual-Template1] ip address 1.1.1.2 24
[RTB] interface serial 2/0
[RTB-Serial2/0] ppp mp virtual-template 1
[RTB] interface serial 2/1
[RTB-Serial2/0] ppp mp virtual-template 1
MP-Group方式配置（拓扑图同上）
RTA] interface mp-group 1
[RTA-Mp-group1] ip address 1.1.1.1 24
[RTA-Mp-group1] interface Serial2/0
[RTA-Serial2/0] ppp mp mp-group 1
[RTA-Mp-group1] interface Serial2/1
[RTA-Serial2/1] ppp mp mp-group 1

[RTB] interface mp-group 1
[RTB-Mp-group1] ip address 1.1.1.2 24
[RTB-Mp-group1] interface Serial2/0
[RTB-Serial2/0] ppp mp mp-group 1
[RTB-Mp-group1] interface Serial2/1
[RTB-Serial2/1] ppp mp mp-group 1

参考资料：H3CNE6.0 PPT  X00070003 第30章 配置PPP

两种配置方法。一种是通过配置虚拟模板接口（Virtual-Template，VT）来实现MP，另一种是利用MP-Group接口实现MP。

方法一mp group：

interface Multilink1
 ip address 192.168.0.1 255.255.255.0
 ppp multilink
 multilink-group 1
!
interface Serial0/0
 no ip address
 encapsulation ppp
 serial restart-delay 0
 ppp multilink
 multilink-group 1
!
interface Serial0/1
 no ip address
 encapsulation ppp
 serial restart-delay 0
 ppp multilink
 multilink-group 1
!

注意事项：

1.输入ppp multilink group 1会自动转换为
ppp multilink
multilink-group 1

2.保障接口 no shutdown

参考资料：

http://dreamearth.blog.51cto.com/616542/149360

—————————————-

方法二：使用virtual-template：

multilink virtual-template 1
!
interface Virtual-Template1
 ip address 192.168.0.1 255.255.255.0
 ppp multilink
!
interface Serial0/0
 encapsulation ppp
 ppp multilink
!
interface Serial0/1
 encapsulation ppp
 ppp multilink

实验验证：

Router#sh ip int bri
Interface                  IP-Address      OK? Method Status                Protocol
Serial0/0                  unassigned      YES unset  up                    up     
Serial0/1                  unassigned      YES unset  up                    up       
Virtual-Access1            192.168.0.1     YES TFTP   up                    up     
Virtual-Template1          192.168.0.1     YES manual down                  down   
Router#sh int virtual-access 1
Virtual-Access1 is up, line protocol is up
  Hardware is Virtual Access interface
  Internet address is 192.168.0.1/24
  MTU 1500 bytes, BW 3088 Kbit, DLY 100000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation PPP, loopback not set

切断一条链路后

Router#sh ip int bri  
Interface                  IP-Address      OK? Method Status                Protocol
Serial0/0                  unassigned      YES unset  up                    down   
Serial0/1                  unassigned      YES unset  up                    up      
Virtual-Access1            192.168.0.1     YES TFTP   up                    up     
Virtual-Template1          192.168.0.1     YES manual down                  down   

参考资料：

http://ltyluck.blog.51cto.com/170459/214877

企业边缘路由器配置：
interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 2.2.2.1 255.255.255.0
ip nat outside
duplex auto
speed auto
!配置入口和出口
ip nat inside source static 1.1.1.2 2.2.2.11
!静态NAT
ip nat pool xixi 2.2.2.101 2.2.2.110 netmask 255.255.255.0
ip nat inside source list 1 pool xixi overload
!动态NAT（PAT）先定义ACL和NAT pool 做映射即可
access-list 1 permit 1.1.1.0 0.0.0.255
!ACL，实际根据需要可以只放行HTTP
ip route 0.0.0.0 0.0.0.0 2.2.2.2
!默认路由不做不行啊

2.外网口使用连接地址（一般为私有地址）
出口和NAT的地址不在同一网段，一般这种情况发生在光纤入户企业，拥有一段公网IP地址
假设为202.102.134.0/29,ISP将此段地址静态路由指过来了

ISP配置：
ip route 202.102.134.0 255.255.255.248 10.1.10.2
企业边缘路由器配置：

interface FastEthernet0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!入口
interface FastEthernet0/1
ip address 10.1.10.2 255.255.255.0
ip nat outside
duplex auto
speed auto
!出口

ip route 0.0.0.0 0.0.0.0 10.1.10.1
!这个不做不行呀！
ip nat pool haha 202.102.134.3 202.102.134.6 netmask 255.255.255.248
ip nat inside source list 1 pool haha overload
ip nat inside source static 192.168.0.2 202.102.134.1
!
access-list 1 permit 192.168.0.0 0.0.0.255
!ACL

上述情况中如果发布一台web服务器，192.168.0.2（202.102.134.1），很显然DNS解析到202.102.134.1（有钱的可以弄个智能DNS解析，根据源地址不同做不同解析），我们看一下这个过程。

内网192.168.0.3 访问202.102.134.1  数据包到达路由器查看路由表：
Gateway of last resort is 10.1.10.1 to network 0.0.0.0

10.0.0.0/24 is subnetted, 1 subnets
C       10.1.10.0 is directly connected, FastEthernet0/1
C    192.168.0.0/24 is directly connected, FastEthernet0/0
S*   0.0.0.0/0 [1/0] via 10.1.10.1
Router#
很显然数据包发往ISP路由器，ISP有去往202.102.134.0/29的路由，又指了回来。正常访问，而本文刚开始的第一种情况就不行。

实际工程中，很多企业会在内网口f0/0绑一个公网地址做网关，然后内网的电脑就可以配公网IP了。
这只是其中一种方式，有些网吧，内网用公网地址，都不用做NAT的。