admin管理员组文章数量:1630197
一、交换机命令:
1、交换机模式切换
Swith>enable //切换到特权
Swith#config t //切换到全局配置模式
Swith(config)# interface f0/1 //进入接口 f0/0
Swith(config)# interface vlan 1 //进入 VLAN 1 中
Swith(config-if)#ip address 192.168.1.1 255.255.255.0 //对 VLAN1 设置 IP 地址和子网掩码
Swith(config-if)#no shutdown //激活 VLAN1
2、设置交换机的密码
1、用户到特权的密码
Swith(config)#enable password 123 (优先级低)
Swith(config)#enable secret 456 (优先级高) //如果两个都设置则 456 生效
2、控制台 console 密码设置
Swith(config)# line con 0
Swith(config-line)#login
Swith(config-line)#password console123 //设置 console 密码为 telnet123
3、启用 telnet 密码
Swith(config)#line vty 0 15 //最多有 0~15 人可以 telnet 访问 swith,合计 16 人
Swith(config-line)#login
Swith(config-line)#password telnet123 //设置 telnet 密码为 telnet123
注:要想真正生效 telnet 还要设置特权密码
3、交换机命名
Swith(config)#hostname BENETSW01 //使用 hostname 命名交换机的名字
4、show查看命令
Swith#show version //显示 IOS 版本信息
Swith#show int vlan 1 brief //简单的显示 VLAN1 的信息
Swith#show running-config //显示正在运行的配置文件
Swith#show startup-config //显示己经保存的配置文件
Swith#show mac-address-table //显示 MAC 地址表
Swith#show mac-address-table //显示 MAC 地址表更新的间隔,默认为 5 分钟
Swith#show neighbor detail //显示邻居详细信息
Swith#show traffic //显示 CDP 流量
Swith#show
5、设置交换机的网关和 DNS 名称服务器的 IP 地址
Swith(config)# ip default-gateway 192.168.10.8 //交换机的网关设置为 192.168.10.8
Swith(config)# ip domain -name server 202.106.0.20 //设置 DNS 名称服务器地址
Swith(config)# no ip domain-lookup //交换机名称服务器的域名查询
6、创建、删除、查看VLAN
Switch#vlan database //进入 vlan 数据库配置模式
Switch(vlan)#vlan 2 //创建 VLAN2 自动命名为 vlan0002,同 vlan2 name sales
Switch(vlan)#exit //退出时应用生效
Swith(vlan)#no vlan 2 //删除 vlan2
Switch(config)# interface f0/1
Switch(config-if)# switchport access vlan 2 //将端口加入 vlan 2 中
Switch(config-if)# no switchport access vlan 2 //将端口从 vlan2 中删除
Switch(config)# interface range f0/1 – 10 // 进行 F0/1 到 10 端口范围
Switch(config-if-range)# switchport access vlan 2 //将 f0/1 到 f0/10 之间的所有端口加入vlan 2
Switch# show vlan brief //查看所有 VLAN 的摘要信息
Switch# show vlan id (vlan-id ) //查看指定 VLAN 的信息
7、开启并查看trunk端口
Swith(config)#interface f0/24
Swith(config-if)#swith mode trunk //将 f0/24 端口设置为 trunk
Switch#show interface f0/24 switchport //查看 f0/24 的接口状态
8、从Trunk中添加、删除vlan
Switch (config-if )# switchport trunk allowed vlan remove 3 //从 trunk 端口删除 v lan3 通过
Switch (config-if)# switchport trunk allowed vlan add 3 //从 trunk 端口添加 vlan3 通过
Switch # show interface interface-id switchport //检查中继端口允许 VLAN 的列表
9、单臂路由配置
Router(config)# interface f0/0.1
Router(config-subif)# encapsolution dot1q 1 //子接口封装 dot1q 针对的是 VLAN1
Router(config-subif)# ip address 192.168.1.1 255.255.255.0 //设置 VLAN 的网关地址
Router(config-subif)# encapsolution dot1q 2 //子接口封装 dot1q 针对的是 vlan2
Router(config-subif)# ip address 192.168.2.1 255.255.255.0 //设置 vlan2 的网关的地址
10、配置VTP服务器
S1#vlan database //进入 vlan 配置模式
S1(vlan)#vtp server //设置该交换机为VTP服务器模式,考试时选默认是透明模式,但思科是默认为服务器模式。
S1(vlan)#vtp domain domain-name //设置 VTP 管理域名称
S1(vlan)#vtp pruning //启用 VTP 修剪功能
S1(vlan)#exit
S1#show vtp status //显示 VTP 状态信息
11、配置VTP客户端
S2#vlan database
S2(vlan)#vtp client //设置该交换机为 VTP 客户端模式
S2(vlan)#vtp domain domain-name //这里域名必须和上面的 vtp 服务器设置的 domain 名称一样
S2(vlan)#exit
12、交换机基本配置---mac 地址配置
Switch(config)#mac-address-table aging-time 100 //设置学习的 MAC 地址的超时时间,默认 300s
Switch(config)#mac-address-table permanent 0050.8DCB.FBD1 f0/3 //添加永久地址
Switch(config)#mac-address-table resticted static 0050.8DCB.FBD2 f0/6 f0/7 //加入限制性静态地址,它是在设置永久
性地址的基础上,同时限制了源端口,它只允许所 static 配置的接口(f0/6)与指定的端口(f0/7)通信,提高安全性。
Switch(config)#end
Switch#show mac-address-table (查看 MAC 地址表)
Switch#clear mac-address-table dynamic (清除动态学习的 MAC 地址表项)
Switch#clear mac-address-table resticted static (清除配置的限制性 MAC 地址表项)
13、生成树快速端口(PortFast)配置
STP PortFast 是一个 Catalyst 的一个特性。在 STP 中,只有 forwarding 状态, port 才能发送用户数据。如果一个 port 一开始 是没有接 pc ,一旦 pc 接上,就会经历 blocking(20s)->listening(15s)->learing(15s)->forwarding 状态的变化。这样从 pc 接上网线,到能发送用户数据,缺省的配置下需要等 50 秒的时间,但如果设置了 portfast ,就使得该端口不再应用 STP 算法,一 旦该端口物理上能工作,就立即将其置为 “ 转发 ” 状态。在基于 IOS 交换机上, PortFast 只能用于连接到终端设备的接入层交换机端 口上
开启 PortFast 命令:
Switch(config)#interface f0/1
Switch(config-if)#spanning-tree portfast
如果把批次开启可以用:
Switch(config)#interface range f0/1 – 3
Switch(config-if-range)#spanning-tree portfast //注:只有在确认不会产生环路的端口上开启快速端口。
14、STP 的负载均衡配置
(1)、使用 STP 端口权值(优先级)实现负载均衡
当交换机的两个口形成环路时, STP 端口优先级用来决定那个口是转发状态,那个处于阻塞的。可以通过修改 Vlan 对应端口的优先 级来决定该 VLAN 的流量走两对 Trunk 链路中那一条。 如上图,我们用端口 F0/23 做 Trunk1 ,用 f0/24 做 Trunk2 。具体配置如下: <1> 、配置 VTP 、 VLAN 及 Trunk (和上面 VLAN 配置过程一样,我们把 S1 设成服务器模式, S2 设为客户端模式) (配置 vtp---- 在 S1 、 S2 上)S1#vlan database //进入 VLAN 配置子模式
S1(vlan)#vtp server
S1(vlan)#vtp domain vtpserver //这三步也要在 S2 上执行,只是把第二步的 Vtp server 换成 vtp client
(配置 Trunk----在 S1、S2 上)
S1(config)#interface f0/23
S1(config-if)#switchport mode trunk
S1(config-if)#exit
S1(config)#interface f0/24
S1(config-if)#switchport mode trunk //在 S2 上执行同样的这几步操作。
(配置 VLAN----只在 S1 上)
S1#vlan database
S1(vlan)#vlan 2 name vlan2
S1(vlan)#vlan 3 name vlan3
… //依次创建 2-5 vlan。
S1(vlan)#exit
<2>
、配置
STP
优先级
----
在
vtp
服务器
S1
上配置
S1(config)#interface f0/23 //进入 f0/23 端口配置模式,Trunk1
S1(config-if)#spanning-tree vlan 1 port-priority 10 //将 vlan 1 的端口优先级设为 10(值越小,优先级越高!)
S1(config-if)#spanning-tree vlan 2 port-priority 10 //将 vlan 2 的设为 10,vlan3-5 在该端口上是默认的 128
S1(config-if)#exit
S1(config)#interface f0/24 //进入 f0/24,Trunk2
S1(config-if)#spanning-tree vlan 3 port-priority 10
S1(config-if)#spanning-tree vlan 4 port-priority 10
S1(config-if)#spanning-tree vlan 5 port-priority 10 //同上,将 vlan3-5 的端口优先级设为 10
由于我们分别设置了不同 Trunk 上不同 VLAN 的优先级。而默认是 128 ,这样, STP 协议就可以根据这个优先级的大小来使 Trunk1 发送接收 vlan1-2 的数据; Trunk2 发接 vlan3-5 的数据,从而实现负载均衡。
(2)使用 STP 路径值实现负载均衡
如图示: Trunk1 走 VLAN1-2 的数据,而 Trunk2 走 VLAN3-5 的数据。 其中 vtp 、 vlan 、和 trunk 端口的配置都和上面一样,不再列出。各项都配置好后,在服务器模式的交换机 S1 上执行路径值的 配置(路径值也叫端口开销, IEEE802.1d 规定默认值: 10Gbps=2 ; 1Gbps=4 ; 100Mbps=19 ; 10Mbps=100 )S1(config)#interface f0/23
S1(config-if)#spanning-tree vlan 3 cost 30
S1(config-if)#spanning-tree vlan 4 cost 30
S1(config-if)#spanning-tree vlan 5 cost 30 //分别设置 vlan 3-5 生成树路径值为 30
S1(config-if)#exit
S1(config)#interface f0/24
S1(config-if)#spanning-tree vlan 1 cost 30
S1(config-if)#spanning-tree vlan 2 cost 30
这样,通过将希望阻断的
VLAN
的生成树路径设大,
stp
协议就会阻断该
VLAN
从该
Trunk
上通过。
15、EtherChannel(Cisco交换机端口聚合)
EtherChannel 有两个版本, Cisco 的称为端口聚合协议 PAgP(Port Aggregation Protocol) , IEEE 的 802.3ad 标准称为链路 汇聚控制协议 LACP(Link Aggregation Control Protocol) ,他们的配置有些不同。 为避免有冗余链路的网络环境里出现环路,我们采用 STP 技术,但 Spanning Tree 冗余连接的工作方式是:除了一条链路工作 外,其余链路实际上是处于待机(Stand By) 状态。那么能不能把这些冗余的链路利用起来以增加带宽呢?又如何让两条或多条链 路同时工作呢?这就是在网络工程中常用的 EtherChannel 技术。 Etherchannel 特性在交换机到交换机、交换机到路由器、交 换机到服务器之间提供冗余的、高速的连接方式,简单说就是将两个设备间多条 FE 或 GE 物理链路捆在一起组成一条设备间逻辑 链路,从而达到增加带宽,提供冗余的目的。该技术容错能力好, 实体线路中断可以在数秒内切换至别条线路使用。 以太 channel 在交换机间或者交换机和主机间提供最多 800Mbps ( fast etherchnnel )或者最多 8Gbps ( Gigabit etherchannel)的全双工带宽。一个以太 channel 最多由八个配置正确的端口构成。所有在同一个以太 channel 中的接口必须具有相同的特性( 如双工模式、速度、同为 FE 或 GE 端口、 native VLAN, 、 VLAN range, 、 and trunking status and type. 等) ,并且都要同时配置成二层接口或者三层接口。设定范例 :
S1(config)#interface range f0/1 - 2
S1(config-if-range)#channel-group 1 mode passive
//表示将 Fa0/1,Fa0/2 设成同一个 group, 使用 LACP 的被动模式!
S2(config)#interface range f0/1 - 2
S2(config-if-range)#channel-group 1 mode active
//将另一边的端口也以同样方式设定, 但 mode 设成 active 即可, 交换机会自己新增一个虚拟端口: Port-channel1(Po1),
它和实体接口一样使用,其成本为 12。
检查其状态,可用命令:
show etherchannel detail;
show etherchannel load-balance;
show etherchannel port
show etherchannel port-channel;
show etherchannel protocol;
show etherchannel summary
二、路由部分命令:
1、路由器的模式
v 用户模式:Router> //用户模式
v 特权模式:Router# //特权模式
v 全局配置模式:Router(config)# //配置模式
v 接口配置模式:Router(config-if)# //接口模式
v 子接口配置模式:Router(config)#interface fa0/0.1 //进入子接口 Router(config-subif)# //子接口状态
v Line 模式:Router(config-line)# //进行线模式
v 路由模式:Router(config-router)# //路由配置模式
2、配置静态路由条目
Router(config)#ip route 192.168.10.0 255.255.255.0 192.168.9.2 //到达 192.168.10.0 网段及掩码需要经过相邻路由器的接口的 IP 地址
3、配置默认路由
Router B(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2 //所以外出的数据包如果找不到路由表目均找 192.168.2.2 接口
4、密码配置
v 配置控制台密码
teacher(config)#line console 0
teacher((config_line)#login
teacher((config_line)#password cisco
teacher(config)#enable password cisco //配置特权模式密码
teacher(config)#enable secret 1234 //配置加密保存的密码
teacher(config)#service password-encryption //对所有密码加密
5、配置路由器的banner信息
teacher(config)#banner motd $This is Aptech company’s Router! Please don’t change the
configuration without permission! $
6、配置路由器接口的描述信息
teacher(config)#interface fastethernet 0/0
teacher(config_if)#description connecting the company’s intranet!
7、配置控制台
v 配置控制台会话时间
teacher(config)#line console 0
teacher(config_line)#exec-timeout 0 0
v 配置控制台输出日志同步
teacher(config)#line console 0
teacher(config_line)#logging synchronous
8、动态路由相关命令
Router(config)# router rip //启动 RIP 进程
Router(config-router#version 2 //指定启动 rip v2 版本
Router(config-router)# network network-number //宣告主网络号
Router# show ip route //查看路由表
Router#show ip route static //仅显示静态路由信息
Router# show ip protocols //查看路由协议配置
Rouetr# debug ip rip //打开 RIP 协议调试命令
9、动态路由配置
RouterA(config)#interface f0/0
RouterA(config-if)#ip address 192.168.1.1 255.255.255.0
RouterA(config-if)#no shutdown
RouterA(config)#interface f0/1
RouterA(config-if)#ip address 10.0.0.2 255.0.0.0
RouterA(config-if)#no shutdown
RouterA(config)#router rip
RouterA(config-router)#network 10.0.0.0
RouterA(config-router)#network 192.168.1.0
10、路由器密码恢复
进入 ROM Monitor 模式
修改配置寄存器的值,启动时绕过 startup-config 文件:
rommon1>confreg 0×2142
rommon2>reset
用 startup-config 覆盖 running-config:
Router#copy startup-config running-config
修改密码:
Router(config)#enable password cisco
修改配置寄存器的值:
Router(config)#config-register 0×2102
11、VPN配置
环境:接口地址都已经配置完,路由也配置了,双方可以互相通信 . 密钥认证的算法 2 种: md5 和 sha1 加密算法 2 种: des 和 3des IPsec 传输模式 3 种: AH 验证参数 :ah-md5-hmac(md5 验证 ) 、 ah-sha-hmac(sha1 验证 ) ESP 加密参数: esp-des(des 加密 ) 、 esp-3des(3des 加密 ) 、 esp-null (不对数据进行加密) ESP 验证参数: esp-md5-hmac(md5 验证 ) 、 esp-sha-hmac( 采用 sha1 验证 )
(1)启用 IKE 协商
路由器 A
routerA(config)#crypto isakmp policy 1 //建立 IKE 协商策略(1 是策略编号 1-1000,号越小,优先级越高)
routerA(config-isakmap)#hash md5 //选用 md5 密钥认证的算法
routerA(config-isakmap)#authentication pre-share //告诉路由使用预先共享的密钥
routerA(config)#crypto isakmp key 12345 address 20.20.20.22 //12345 是设置的共享密钥,20.20.20.22 是对端的 IP
路由器 B
routerB(config)#crypto isakmp policy 1
routerB(config-isakmap)#hash md5
routerB(config-isakmap)#authentication pre-share
routerB(config)#crypto isakmp key 12345 address 20.20.20.21 //路由 B 和 A 的配置除了这里的对端 IP 地址,其它都要一样的)。
(2)配置 IPSec 相关参数
路由器 A
routerA(config)#crypto ipsec transform-set test ah-md5-hamc esp-des
//test 传输模式的名称。ah-md5-hamc esp-des 表示传输模式中采用的验证参数和加密参数。
routerA(config)#acess-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
//定义哪些地址的报文加密或是不加密。
路由器 B
routerB(config)#crypto ipsec transform-set test ah-md5-hamc esp-des
routerB(config)#acess-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
//路由器 B 和 A 的配置除了这里的源和目的 IP 地址变了,其它都一样。
(3)3 设置 crypto map (把 IKE 的协商信息和 IPSec 的参数,整合到一起,起一个名字)
路由器 A
routerA(config)#crypto map testmap 1 ipsec-isakmp
//testmap:给 crypto map 起的名字。1:优先级。ipsec-isakmp:表示此 IPSec 链接采用 IKE 自动协商
routerA(config-crypto-map)#set peer 20.20.20.22 //指定此 VPN 链路,对端的 IP 地址
routerA(config-crypto-map)#set transform-set test //IPSec 传输模式的名字。
routerA(config-crypto-map)#match address 101 //上面定义的 ACL 列表号
路由器 B
routerB(config)#crypto map testmap 1 ipsec-isakmp
routerB(config-crypto-map)#set peer 20.20.20.21 (和 A 路由的配置只有这里的对端 IP 不一样)
routerB(config-crypto-map)#set transform-set test
routerB(config-crypto-map)#match address 101
(4)把 crypto map 的名字应用到端口
routerA(config)#inter s0/0 (进入应用 VPN 的接口)
routerA(config-if)#crypto map testmap (testmap:crypto map 的名字)
B 路由器和 A 设置完全一样。
(5)查看 VPN 的配置
Router#show crypto ipsec sa //查看安全联盟(SA)
router#show crypto map //显示 crypto map 内的所有配置
router#show crypto isakmp policy //查看优先级
12、RIP 协议的配置
R(config)# router rip
R(config)# network 10.0.0.0(一个有类网络号,要声明所有连接到该路由器接口上的有类网络)
RIPv2 配置:
R(config)# version 2
RIP 抑制(被动接口):
R(config)# passive-interface s0/0(表示 s0/0 接口只接受 RIP 路由更新而不再发送更新)
13、终端服务器的配置
可以通过配置终端服务器( Terminal server )来实现用一台 PC 机同时访问多个网络设备(如路由器或交换机),减少配置管理 的负担。终端服务器是路由器的一种功能,现在大多路由器都可以通过加装异步/ 同步网络模块用作终端服务器。
如上图: PC 机与终端服务器之间通过 Console 线缆直接相连;终端服务器通过 1 拖 8 与两台路由器相连,线号为 1 和 2 。终端服务器的配置清单如下:
hostname Term_Server
!
interface loopback0 //增加一个 loopback 接口,用于逆向 Telnet
ip address 10.1.1.1 255.255.255.255 //最节省地址空间的方法设置一个 ip 给环回接口。
!
ip host router1 2001 10.1.1.1 //配置主机表,使得 router1 与 2001,router2 与 2002 联系起来,方便访问其他路由器
ip host router2 2002 10.1.1.1 //我们访问它们时就不用 telnet 10.1.1.1 2001,而直接用主机名:router1
!
line 1 8
no exec //在 line1-8 上配置 no exec 禁止这 8 条异步线路上产生 EXEC 进程,而只允许从终端服务器到其他路由器的连
接。
transport input all //指明在这 8 条线路的输入方向上允许所有的协议。
配置好后,首先登录到终端服务器:
Term_Server#
Term_Server#router1
Trying router1 (10.1.1.1,2001) …Open
Router1>
这时可以用会话切换命令 Ctrl+Shift+6 然后按 X,切换回终端服务器:
Term_Server#
Term_Server#router2
Trying router1 (10.1.1.1,2002) …Open
Router2>
< Ctrl+Shift+6,x>
Term_Server#show sessions
Term_Server#disconnect 2 //断开会话 2
Term_Server#show line 1 //查看线路 1 状态
Term_Server#clear line 2 //清除线路 2
14、单区域/多区域 OSPF 协议的配置
路由器 R1
Interface e0
ip address 192.1.0.129 255.255.255.192
Interface s0
ip address 192.200.10.5 255.255.255.252
router ospf 100
network 192.200.10.1 0.0.0.3 area 0
network 192.1.0.128 0.0.0.63 area 1
路由器 R2
Interface e0
ip address 192.1.0.65 255.255.255.192
Interface s0
ip address 192.200.10.6 255.255.255.252
router ospf 200
network 192.200.10.4 0.0.0.3 area 0
network 192.1.0.64 0.0.0.63 area 2
路由器 R3
Interface e0
ip address 192.1.0.130 255.255.255.192
router ospf 300
network 192.1.0.128 0.0.0.63 area 1
路由器 R4
Interface e0
ip address 192.1.0.66 255.255.255.192
router ospf 400
network 192.1.0.64 0.0.0.63 area 2
注:实际配置通配符掩码时,记住其值就等于:块大小-1;/28 块大小是 16,通配符就用 15
三、广域网配置
1、ISDN 配置
ISDN( 综合业务数字网 ) ,提供两种类型的访问接口,即基本速率接口 BRI 和主要速率接口 PRI 。 ISDN BRI 提供 2B 64 +D 16 PRI 提供 30B+D( 均为 64Kb/s) 。下面通过一个实例来说明两台路由器通过 ISDN 线路连接时最基本的配置。
R1 配置
R1(config)#isdn switch-type basic3 //设置交换机类型为 basic-net3,这取决于所连接的 ISDN 类型,中国用的这个
R1(config)#interface bri 0 //进入 BRI 接口配置模式
R1(config-if)#ip address 192.168.1.1 255.255.255.0 //设置接口 IP 地址
R1(config-if)#encapsulation ppp //设置封装协议为 PPP
R1(config-if)#dialer string 80000002 //设置拨号串,为对方的 ISDN 号
R1(config-if)#dialer-group 1 //在该接口应用拨号列表 1 的设置
R1(config-if)#no shutdown //激活端口
R1(config-if)#exit
R1(config)#dialer-list 1 protocol ip permit //设置拨号列表 1,即当 IP 包需要在该拨号链路上传输时引起拨号
R2 配置
R2(config)#isdn switch-type basic3
R2(config)#interface bri 0
R2(config-if)#ip address 192.168.1.2 255.255.255.0 //设置接口 IP 地址
R2(config-if)#encapsulation ppp
R2(config-if)#dialer string 80000001 //设置拨号串,为对方(R1)的 ISDN 号
R2(config-if)#dialer-group 1
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#dialer-list 1 protocol ip permit //R2 和 R1 配置基本相同
2、PPP配置
PPP(点对点协议),DDR 是按需拨号路由,一般在实际应用中,ISDN、PPP、DDR 经常综合应用 下面结合实例说明基本的配置命令:
R1
R1(config)#username R2 password 0 ciso //定义用户名和口令,注意用户名设为对方,口令双方设置一致。
由于是在 ISDN 线路进行 PPP 封装,对 ISDN 和端口的基本配置都和上面 ISDN 的配置相同,下面只列出配置清单。
isdn switch-type basic3
Interface E0
ip address 10.1.1.1 255.25.255.0
Interface BRI0
ip address 192.168.1.1 255.255.255.0
encapsulation ppp
dialer idle-timeout 300
//设置拨号空闲时间,如果超时没有 IP 数据包从该接口发送,就断开连接。默认 120s
dialer map ip 192.168.1.2 name R2 broadcast 80000002 (注:设置的 IP、name、isdn 号都是对方的)
//设置拨号映射,当有列表定义的数据包传输时就使用这个定义的映射发起拨号连接并进行认证操作。
ppp multilink //启用 PPP 多链路的功能特性
dialer load-threshold 128
//设置启用多链路的条件,即:当实际负载占一个 B 信道带宽的(128/256)%=50%时,就启用第二个 B 信道,设为 1 时为无条
件启用 2 个 B 信道。
dialer-group 1
no cdp enable //通常在拨号链路上都禁用 CDP 发现协议
ppp authentication chap //设置 PPP 认证方式为 CHAP,或设为:pap (口令认证方式)。或设为:chap pap(混合模式)。
ip route 10.1.2.0 255.255.255.0 192.168.1.2
dialer-list 1 protocol ip permit
R2 配置基本和 R1 相同,只有下面几个地方需注意配置正确的参数:
username R1 password 0 ciso
ip address 10.1.2.1 255.25.255.0
ip address 192.168.1.2 255.255.255.0
dialer map ip 192.168.1.1 name R1 broadcast 80000001
ip route 10.1.1.0 255.255.255.0 192.168.1.1
3、帧中继配置
帧中继是 X.25 的简化版本。帧中继广域网设备分为 DTE 和 DCE ,路由作为 DTE 设备。帧中继提供面向连接的数据链路层通信。 通过帧中继虚电路为每个链路分配一个链路识别码( DLCI ) .
(1)配置帧中继交换机:
就是配置一个帧中继的环境,为下面的基本帧中继配置做准备,现以一个具有 3 个串行接口的路由器为例,通过下面配置来实现 全网状的帧中继环境。(全网状是指在这个帧中继环境中任何两个结点间都存在一条虚电路)每个接口上的 DLCI 都标在图上,虚线箭头表示两结点间的虚电路。下面是配置清单:
Interface serial1
no ip address
encapsulation frame-relay
clockrate 64000
frame-relay lmi-type cisco
frame-relay lmi-type dce
frame-relay route 102 interface serial2 201
frame-relay route 103 interface serial3 301
!
Interface serial2
no ip address
encapsulation frame-relay
clockrate 64000
frame-relay lmi-type cisco
frame-relay lmi-type dce
frame-relay route 201 interface serial1 102
frame-relay route 203 interface serial3 303
!
Interface serial3
no ip address
encapsulation frame-relay
clockrate 64000
frame-relay lmi-type cisco
frame-relay lmi-type dce
frame-relay route 301 interface serial1 103
frame-relay route 303 interface serial2 203
配置完成,用 show frame route 显示完整路由信息
(2)基本帧中继配置
上面的帧中继环境已经配置好,现在在该环境中接入两个路由器,以实现端到端的连通性。a、配置基本的帧中继连接
这里忽略 E0 口的 IP 配置和 no shutdown 激活配置路由器 R1
R1(config)#interface s0
R1(config-if)#ip address 19.168.1.1 255.255.255.0
R1(config-if)#encap frame-relay //该接口使用帧中继封装
R1(config-if)#no frame-relay inverse-arp //关闭帧中继逆向 ARP
R1(config-if)#frame map ip 192.168.1.2 cisco
R1(config-if)#no shutdown
R1(config-if)#end
路由器 R1
R2(config)#interface s0
R2(config-if)#ip address 19.168.1.2 255.255.255.0
R2(config-if)#encap frame-relay //该接口使用帧中继封装
R2(config-if)#no frame-relay inverse-arp //关闭帧中继逆向 ARP,防止多个 DLCI 之间的映射产生混乱。
R2(config-if)#frame map ip 192.168.1.1 cisco
R2(config-if)#no shutdown
R2(config-if)#end
b、配置静态路由并测试连通性。
静态路由配置方法上面已经学习,不再详述。然后可以使用下列命令查看配置状态信息。
Show frame pvc;
Show frame map;
Show frame traffic;
Show frame lmi
4、L2TP 配置与测试
第二层通道协议( Layer 2 Tunneling Protocol )是一广泛使用的隧道技术,应用 L2TP ,方便远程用户随时通过 Internet 安全 的接入公司局域网。L2TP 有两种报文: 控制报文:建立、维护和释放隧道。 数据报文:包装通过隧道传输的 PPP 帧。L2TP 配置实例:
Vpdn-group 1 //创建 vpdn 组 1,并记入 VPDN 组 1 配置模式。
Accept-dialin protocol l2tp virtual-template 1 terminate-from hostname as8010
//接受 L2TP 通道连接请求,并根据 Virtual-template 1 创建 Virtual-access 接口。
Local name keith //设置 Tunnel 本端名称为 Keith
Lcp renegotiation always //LCP 再次协商
No l2tp tunnel authentication //设置不验证通道对端。
四、PIX 防火墻配置
PIX 是 CISCO 公司开发的防火墙系列设备,主要起到策略过滤,隔离内外网,根据用户实际需求设置 DMZ (停火区)。它和一般 硬件防火墙一样具有转发数据包速度快,可设定的规则种类多,配置灵活的特点。PIX 配置专题 六个基本命令:nameif, interface,ip address,nat,global,route。
PIX 防火墙基本配置命令:
1 、 nameif 配置防火墙接口的名字,并指定安全级别:Pix525(config)#nameif ethernet0 outside security0 //命名 e0 为 outside,安全级别为 0。该名称在后面使用
Pix525(config)#nameif ethernet1 inside security100 //命名 e1 为 inside,安全级别为 100。安全系数最高
Pix525(config)#nameif dmz security50 //设置 DMZ 接口为停火区,安全级别 50。安全系数居中。
在该配置中,e0 被命名为外部接口(outside),安全级别是 0;以 e1 被命名为内部接口(inside),安全级别是 100。安全级
别取值范围为 1 到 99,数字越大安全级别越高。
2
、配置以太口参数(
interface
):
Pix525(config)#interface ethernet0 auto //设置 e0 为 AUTO 模式,auto 选项表明系统网卡速度工作模式等为自动适应,这
样该接口会自动在 10M/100M,单工/半双工/全双工直接切换。
Pix525(config)#interface ethernet1 100 full //强制设置以太接口 1 为 100Mbit/s 全双工通信。
Pix525(config)#shutdown //关闭端口
小提示:在节假日需要关闭停火区的服务器的服务时可以在 PIX 设备上使用 interface dmz 100full shutdown,这样 DMZ 区会关
闭对外服务。
3
、配置内外网卡的
IP
地址(
ip address
):
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248 //设置外网接口为 61.144.51.42,子网掩码为 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0 //设置内网接口 IP 地址、子网掩码。
你可能会问为什么用的是 outside 和 inside 而没有使用 ethernet1,ethernet0 呢?其实这样写是为了方便我们配置,不容易出错误。只要我们通过 nameif 设置了各个接口的安全级别和接口类别,接口类别就代表了相应的端口,也就是说 outside=ethernet0,inside=ethernet1。
4
、指定要进行转换的内部地址(
nat
):
NAT 的作用是将内网的私有
ip
转换为外网的公有
ip
,
Nat
命令总是与
global
命令一起使用,这是因为
nat
命令可以指定一台主机 或一段范围的主机访问外网,访问外网时需要利用 global
所指定的地址池进行对外访问。
nat 命令配置语法: nat (if_name) nat_id local_ip [netmark] 其中( if_name )表示内网接口名字,如 inside , Nat_id 用来标识全局地址池,使它与其相应的 global 命令相匹配, local_ip 表 示内网被分配的 ip 地址。例如 0.0.0.0 表示内网所有主机可以对外访问。 [netmark] 表示内网 ip 地址的子网掩码。
示例语句如下:
Pix525(config)#nat (inside) 1 0.0.0.0 0.0.0.0 //启用 nat,内网的所有主机都可以访问外网,可以用 0 代表 0.0.0.0
Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0 //设置只有 172.16.5.0 这个网段内的主机可以访问外网。
5
、指定外部地址范围(
global
):
global 命令把内网的
ip
地址翻译成外网的
ip
地址或一段地址范围。
Global 命令的配置语法: global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中( if_name )表示外网接口名字,如 outside ; Nat_id 用来标识全局地址池,使它与其相应的 nat 命令相匹配; ip_addressip_address 表示翻译后的单个 ip 地址或一段 ip 地址范围; [netmark global_mask] 表示全局 ip 地址的网络掩码。示例语句如下:
Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48
//设置内网的主机通过 pix 防火墙要访问外网时,pix 防火墙将使用 61.144.51.42-61.144.51.48 这段 ip 地址池为要访问外网的主机分配一个全局 ip 地址。
Pix525(config)#global (outside) 1 61.144.51.42
//设置内网要访问外网时,pix 防火墙将为访问外网的所有主机统一使用61.144.51.42 这个单一 ip 地址。
Pix525(config)#no global (outside) 1 61.144.51.42
//删除 global 中对 61.144.51.42 的宣告,也就是说数据包通过 NAT向外传送时将不使用该 IP,这个全局表项被删除。
6
、设置指向内网和外网的静态路由(
route
)
route
命令定义一条静态路由。
route 命令配置语法: route (if_name) 0 0 gateway_ip [metric] 其中( if_name )表示接口名字,例如 inside , outside 。 Gateway_ip 表示网关路由器的 ip 地址。 [metric] 表示到 gateway_ip 的跳数。通常缺省是 1 。示例语句如下:
Pix525(config)#route outside 0 0 61.144.51.168 1 //设置一条指向边界路由器(ip 地址 61.144.51.168)的缺省路由。
Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1 //设置一条指向内部的路由。
Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1 //设置另一条指向内部的路由。
总结:
目前我们已经掌握了设置
PIX
的六大基本命令,通过这六个命令我们已经可以让
PIX
为我们的网络服务了。不过让网络运行 还远远不够,我们要有效的利用网络,合理的管理网络,这时候就需要一些高级命令了。
PIX 防火墙高级配置命令:
1、配置静态 IP 地址翻译(static):
如果从外网发起一个会话,会话目的地址是一个内网的 ip 地址, static 就把内部地址翻译成一个指定的全局地址,允许这个会话建立。static 命令配置语法: static (internal_if_name , external_if_name) outside_ip_address inside_ ip_address 其中 internal_if_name 表示内部网络接口,安全级别较高。如 inside. 。 external_if_name 为外部网络接口,安全级别较低,如 outside 等。 outside_ip_address 为正在访问的较低安全级别的接口上的 ip 地址。 inside_ ip_address 为内部网络的本地 ip 地 址。示例语句如下:
Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
//ip 地址为 192.168.0.8 的主机,对于通过 pix 防火墙建立的每个会话,都被翻译成 61.144.51.62 这个全局地址,也可以理解成 static 命令创建了内部 ip 地址 192.168.0.8 和外部ip 地址 61.144.51.62 之间的静态映射。PIX 将把 192.168.0.8 映射为 61.144.51.62 以便 NAT 更好的工作。
小提示:使用 static 命令可以让我们为一个特定的内部 ip 地址设置一个永久的全局 ip 地址。这样就能够为具有较低安全级别的指定
接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口
2、管道命令(conduit):
使用 static 命令可以在一个本地 ip 地址和一个全局 ip 地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被 pix 防火 墙的自适应安全算法(ASA) 阻挡, conduit 命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许 从外部到 DMZ 或内部接口的入方向的会话。对于向内部接口的连接, static 和 conduit 命令将一起使用,来指定会话的建立。说得通俗一点管道命令(conduit )就相当于以往 CISCO 设备的访问控制列表( ACL )。conduit 命令配置语法: conduit permit|deny global_ip port[-port] protocol foreign_ip [netmask] 其中 permit|deny 为允许 | 拒绝访问, global_ip 指的是先前由 global 或 static 命令定义的全局 ip 地址,如果 global_ip 为 0 ,就 用 any 代替 0 ;如果 global_ip 是一台主机,就用 host 命令参数。 port 指的是服务所作用的端口,例如 www 使用 80 , smtp 使 用 25 等等,我们可以通过服务名称或端口数字来指定端口。 protocol 指的是连接协议,比如: TCP 、 UDP 、 ICMP 等。 foreign_ip 表示可访问 global_ip 的外部 ip 。对于任意主机可以用 any 表示。如果 foreign_ip 是一台主机,就用 host 命令参数。示例语句如下:
Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
//表示允许任何外部主机对全局地址 192.168.0.8 的这台主机进行 http 访问。
其中使用 eq 和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对 ftp 的访问。
Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
//设置不允许外部主机 61.144.51.89 对任何全局地址进行 ftp 访问。
Pix525(config)#conduit permit icmp any any
//设置允许 icmp 消息向内部和外部通过。
Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
这两句是将 static 和 conduit 语句结合而生效的,192.168.0.3 在内网是一台 web 服务器,现在希望外网的用户能够通过 pix 防火墙得到 web 服务。所以先做 static 静态映射把内部 IP192.168.0.3 转换为全局 IP61.144.51.62,然后利用 conduit 命令允许任何外部主机对全局地址 61.144.51.62 进行 http 访问。
小提示:对于上面的情况不使用 conduit 语句设置容许访问规则是不可以的,因为默认情况下 PIX 不容许数据包主动从低安全级别的端口流向高安全级别的端口。
3
、配置
fixup
协议:
fixup 命令作用是启用,禁止,改变一个服务或协议通过 pix 防火墙,由 fixup 命令指定的端口是 pix 防火墙要侦听的服务。示例例 子如下:
Pix525(config)#fixup protocol ftp 21 //启用 ftp 协议,并指定 ftp 的端口号为 21
Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080 //为 http 协议指定 80 和 1080 两个端口。
Pix525(config)#no fixup protocol smtp 80 //禁用 smtp 协议。
4
、设置
telnet
:
pix5.0 之前只能从内部网络上的主机通过
telnet
访问
pix
。在
pix 5.0
及后续版本中,可以在所有的接口上启用
telnet
到
pix
的 访问。当从外部接口要 telnet
到
pix
防火墙时,
telnet
数据流需要用
ipsec
提供保护,也就是说用户必须配置
pix
来建立一条到另 外一台 pix
,路由器或
vpn
客户端的
ipsec
隧道。另外就是在
PIX
上配置
SSH
,然后用
SSH client
从外部
telnet
到
PIX
防火墙。
我们可以使用
telnet
语句管理登录
PIX
的权限。
telnet 配置语法:telnet local_ip [netmask] local_ip 表示被授权通过 telnet 访问到 pix 的 ip 地址。如果不设此项, pix 的配置方式只能由 console 进行。也就是说默认情况 下只有通过 console 口才能配置 PIX 防火墙。 小提示:由于管理 PIX 具有一定的危险性,需要的安全级别非常高,所以不建议大家开放提供外网 IP 的 telnet 管理 PIX 的功能。 如果实际情况一定要通过外网 IP 管理 PIX 则使用 SSH 加密手段来完成。
五、ACL命令和过滤规则
访问控制列表(ACL) 是应用在路由器接口上的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来判断决定。将数据包和访问列表进行比较时应遵循的重要规则: 1. 数据包到来,则按顺序比较访问列表的每一行。 2. 按顺序比较访问列表的各行,直到找到匹配的一行,一旦数据包和某行匹配,执行该行规则,不再进行后续比较。 3. 最后一行隐含 “deny” 的意义。如果数据包与访问列表中的所有行都不匹配,将被丢弃。 4. IP 访问控制列表会发送一个 ICMP 主机不可达的消息到数据包的发送者,然后丢弃数据包。 5. 如果某个列表挂接在实际接口上,删除列表后,默认的 deny any 规则会阻断那个接口的所有数据流量。有两种类型的 ACL:标准的访问列表和扩展的访问列表 (1) 标准访问控制列表 控制基于过滤源地址的信息流。编号范围 1-99,举例:
router(config)#access-list 10 permit 172.16.0.0 0.0.255.255
router(config)#access-list 20 deny 192.168.1.0 0.0.0.255
router(config)#access-list 20 permit any
//注意这个编号 20 的 ACL 的顺序,如果调换顺序,就不起任何作用。
router(config)#access-list 30 deny host 192.168.1.1
//host 表精确匹配,默认掩码码为 0.0.0.0,指定单个主机。
注意:在访问列表的最后默认定义了一条 deny any any 语句。
(2)扩展访问控制列表:
比标准访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、IP 优先级 等。编号范围是从 100 到 199,格式一般为:
access-list ACL 号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]
access-list 100 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255
access-list 101 deny tcp any host 192.168.1.1 eq www
//这句命令是将所有主机访问 192.168.1.1 上网页服务(WWW)TCP 连接的数据包丢弃。
access-list 101 permit tcp any host 198.78.46.8 eq smtp
//允许来自任何主机的 TCP 报文到达特定主机 198.78.46.8的 smtp 服务端口(25)
注意:这里 eq 就是等于的意思。端口号的指定可以用几种不同的方法。可以用数字或一个可识别的助记符。可以使用 80 或http 或 www 来指定 Web 的超文本传输协议。对于使用数字的端口号,还可以用"<"、">"、"="以及不等于来进行设置。
命名访问列表:
只是创建标准或扩展访问列表的另一种方法而已。所谓命名是以列表名代替列表编号来定义 IP 访问控 制列表的。举例如下:
Router(config)#ip access-list extended http-not
Router(config-ext-nacl)#deny tcp 172.16.10.0 0.0.0.255 host 172.16.1.2 eq 23
Router(config-ext-nacl)# permit ip any any
Router(config-ext-nacl)#exit
入口访问列表和出口访问列表:
通过上面方法创建的访问列表,要应用到路由器的一个要进行过滤的接口上,并且指定
将它应用到哪一个方向的流量上时,才真正的被激活而起作用
。
访问列表的调用:在接口下使用:
下面是通用的 ACL 配置规则: 1. 每个接口、每个协议或每个方向上只可以应用一个访问列表。(因为 ACL 末尾都隐含拒绝的语句,经过第一 个 ACL 的过 滤,不符合的包都被丢弃,也就不会留下任何包和第二个 ACL 比较)。 2. 除非在 ACL 末尾有 permit any 命令,否则所有和列表条件不符的包都将丢弃,所以每个 ACL 至少要有一个运 行语句,以 免其拒绝所有流量。 3. 要先创建 ACL,再将其应用到一个接口上,才会生效。 4. ACL 过滤通过路由器的流量,但不过滤该路由器产生的流量。 5. IP 标准访问列表尽可能的应用在靠近目的地的接口上,因为他是基于源地址过滤的,放在源端没有意义。 6. IP 扩展访问列表尽可能的应用在靠近源地址的接口上,因为它可以基于目的地址、协议等过滤,放在源端过 滤,免得需要过 滤的数据包还被路由到目的端才被过滤,以节省带宽。router(config)#interface s0/1 router(config-if)# ip access-group 10 in router(config-if)# ip access-group 20 out ACL 可在 VTY 下调用,但只能用标准列表: R1(config)#access-list 10 permit 192.168.1.1 R1(config)#line vty 0 4 R1(config-line)#access-class 10 in
VTY 线路的启用 /关闭 (虚拟终端连接) VTY 线路的启用只能按顺序进行,你不可能启用 line vty 10,而不启用 line vty 9。如果想启用 line vty 9,那么你可以在 全局模式(或 line 模式)下输入命令 line vty 9 ,如: (config)#line vty 9 这样系统 会自动启用前面的 0-8 线路。当然也可 以直接输入 line vty 0 9 直接启用 10 条线路。 如果不想开启这么多条线路供用户使用,那么只须在全局模式下使用 no line vty m [n]命令就可以关闭第 m 后的线路,此 时 n 这个数值可有可无,因为系统只允许开启连续的线路号,取消第 m 号线路会自动取消其后的 所有线路。
文档链接:https://download.csdn/download/Noel_Xie/89080586
版权声明:本文标题:(必看)网络工程师基本配置命令(大全) 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dianzi/1729026018a1183301.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论