思科CCNA复习笔记
命名主机名:(config)#hostname 主机名 (其中主机名中不可含有空格)。
给主机设置banner:(config)#banner motd/login 特殊字符 banner内容 特殊字符
其中banner内容中不能含有特殊字符,否则将会从该字符处结束。
接口描述:(config-if)#description 描述内容(描述内容一般为该接口的详细信息)。
主机的密码设置:密码设置有,使能密码,vty密码,控制台密码;其中vty密码和控制台密码需要使用login命令来启用,命令为password。而使能密码有两种形式enable password和enable secret;其中enable password的密码是不加密的在配置文件中以明文显示,enable secret的密码是加密的,在配置文件中加密显示。如果enable password和enable secret同时使用,以enable secret的密码为准。service password-encryption 命令为手动加密,可以使所有的密码在配置文件中以加密的形式显示。
阻止会话退出:(config-line)#exec-timeout 0 0 (0分0秒表示永不超时等同于 no exec-timeout) 。
使光标还原到原来的位置,重新显示被覆盖的命令——logging synchronous
(config-line)#logging synchronous
在二层交换机上配置三层管理地址的时候,应该把ip地址赋予vlan这个虚拟接口上
(config)#interface vlan 1
(config-if)#ip address 192.168.1.225 255.255.255.0
(config-if)#no shutdown
关掉域名查找(防止路由器将错误的命令作为域名进行查询)
(config)#no ip domain-lookup
#show ip interface brief (简单显示每个接口的信息)
#show ip interface (详细显示每个接口的信息)
#show interfaces (详细显示所有接口的二三层信息,信息最多)
#show interfaces 接口类型 接口编号 (详细显示指定接口的二三层信息)
在主机中使用ping命令来测试主机的网络连通性
如果ping的结果是!!!!!表示网络是正常的
如果ping的结果是…..表示网络不通
如果ping的结果是u.u.u表示下一跳不可到达
保存当前配置文件到NVRAM中作为启动配置文件
#copy running-config startup-config
#wr (实际操作中可用,CCNA考试中不可用)
检查串口的串行线是否连接好
#show controller serial 串口编号 (可用于检查串口是DCE还是DTE)
清除NVRAM(即清除启动配置文件)
#erase startup-config (重启主机后没有启动配置文件,自动进入setup模式)
全局启用CDP协议(CISCO设备默认启用CDP协议)
(config)#cdp run
全局关闭CDP协议
(config)#no cdp run
对某个接口关闭CDP协议
(config-if)#no cdp enable
对某个接口启用CDP协议
(config-if)#cdp enable
显示CDP邻居的简单信息
#show cdp neighbors
显示CDP邻居的详细信息
#show cdp neighbors detail
显示某个接口上的CDP信息
#show cdp interface 接口类型 接口编号
显示所有邻居的CDP信息
#show cdp entry *
显示某个邻居设备的CDP信息
#show cdp entry 邻居设备名
显示某个邻居设备的CDP信息(第三层协议)
#show cdp entry 邻居设备名 protocol
显示某个邻居设备的CDP信息(设备的IOS操作系统版本)
#show cdp entry 邻居设备名 version
TELNET远程主机
#telnet 远程主机ip地址或远程主机名(DNS解析可用)
结束对远程主机的telnet访问
#exit
暂时离开远程主机回到当前主机但保持对于远程主机的连接
Ctrl+shift+6 x (同时按下前三个键,放开后再按x)
显示由本地发起的到远程主机的telnet连接
#show sessions
断开和远程主机的telnet的连接
#disconnect 1
暂时离开远程主机后再回到远程主机的连接
#resume 1
或者是在使能模式下直接回车键
显示由远程主机发起的到本地主机的telnet连接
#show users
断开由远程主机发起的telnet连接
#clear line 2 (该命令在packet tracer上无法验证)
telnet管理命令6条
show sessions 和show users
disconnect 和clear line
ctrl+shift+6 x 和resume
使用traceroute命令,检查从本地到目的主机所经过的路由器,即数据包经过的路径
#traceroute 目的主机
路由器和交换机的密码恢复
利用ctrl+break等快捷键使主机进入rommon模式,使用config-register命令改变主机的启动模式,即进入不加载配置文件的模式,然后使用copy startup-config running-config命令重新加载配置文件,并进一步修改主机密码,从而达到恢复主机密码的目的。
在主机启动时进入rommon模式
在主机自检过程中按下Ctrl+break快捷键
使主机进入不加载配置文件启动模式
rommon>confreg 0x2142
主机重启
rommon>reset
rommon>boot
进一步进行密码恢复
在正常模式下进入不加载配置文件的启动模式
(config)#config-register 0x2142
查看主机的启动模式
#show version(在输出的最后一行会输出当前的启动模式和下一次启动的模式)
交换机的密码恢复
交换机启动时按住mode键,进入switch模式,使用rename命令对配置文件进行改名,重启交换机,主机因无法找到配置文件而进入配置模式,使用copy命令将已经改名的配置文件重新加载为运行配置文件,从而进行密码恢复。(注意此方法未在模拟器中验证)。
Ios文件和配置文件的备份和还原
Ios文件可备份在tftp服务器,也可从tftp服务器还原
#copy Flash tftp(依次输入tftp服务器的地址,源文件名,和保存文件名)
#copy tftp flash (依次输入tftp服务器的地址,源文件名,和保存文件名)
配置文件可以保存在NVRAM中,Flash中,tftp服务器中。以及三者之间相互保存。
Ios文件也可以通过超级终端进行文件传输,但是传输速度较慢,只适合于主机崩溃等特殊情况使用。
交换机接口为二层接口,不可分配第三层地址,即交换机接口不能分配ip地址。为管理交换机可为交换机分配第三层管理地址。将ip地址赋予vlan接口。
(config)#interface vlan 1
(config-if)#ip address ip地址 子网掩码
设置接口的双工模式
(config-if)#duplex auto/full/half (自动模式,全双工模式,半双工模式)
为交换机端口绑定mac地址(端口安全)
(config-if)#mac-address-table static mac地址 接口所属vlan 接口名
交换机端口的三种访问模式为 trunk ,access ,dynamic
Trunk为中继模式
Access为接入模式
Dynamic为协商模式(未验证)
Access模式中的接口可以加入vlan
设置交换机的接口为自动协商模式
(config-if)#switchport mode dynamic auto
创建新的vlan并改名
(config)#vlan编号
(config-vlan)#name vlan名称
将端口加入相应的vlan
(config-if)#switchport access vlan编号
Vtp配置,在由多个交换机组成的大型网络中快速配置跨交换机的vlan网络
Vtp的配置步骤
1. 配置trunk(连接两个交换机之间的端口设置为trunk模式)
2. 配置vtp domain(配置vtp域,只有在相同域中的交换机才能共享vlan信息)
3. 配置vtp mode(vtp模式有client模式和server模式,其中只有一个server)
4. 配置vlan(vlan的新建只能在server交换机进行,client交换机不能创建vlan)
5. 将端口加入vlan(在域内的任何交换机中都可以将非trunk端口加入任何vlan中)
其中vtp密码必须同时在client和server端同时配置
(config)#vtp password 密码
其中vtp修建只在server端配置即可
(config)#vtp pruning (未验证)
由于业务需要的要求,要对主要链路实现冗余,但是链路冗余可能引起网络的不稳定,如广播风暴,mac地址不稳定,和环路。Spanning tree protocol(生成树协议)可以在实现链路冗余的同时避免以上问题。
其中Cisco的设备中,生成树协议是默认启用的,不需配置即可实现链路冗余。
交换机参与stp过程并完成二层收敛的过程中,端口要经过阻塞,侦听,学习,转发,禁用的5个状态,一共要等待30~50秒的时间,如果拓扑结构发生改变的话,重新运行stp算法又要花费同样长的时间,在这期间会出现网络中断的现象。所以为了快速完成二层收敛,可以使用portfast命令,所有的非中继链路(即连接到主机和路由器的端口)直接处于转发状态,以提高收敛速度。但是使用portfast命令可能创建第2层环路,因此要确保不会在连接到另一台第2层交换机的端口上启用portfast。
全局启用portfast,即在交换机的所有非中继端口上启用portfast
(config)#spanning-tree portfast default
在交换机的某个端口上启用portfast
(config-if)#spanning-tree portfast 【trunk】
可选的trunk参数是在连接到非交换机设备的中继线上启用portfast,这些设备包括带有中继网卡的路由器和服务器。
在Cisco的交换机上没有aux接口
为交换机设置网关,以便在局域网外对交换机进行远程管理。
(config)#ip default-gateway 网关地址
通过对交换机端口的安全设置可以限制能够动态分配给交换端口的mac地址数量,设置静态mac地址。并在用户违反安全规则后对端口进行一定的操作。
为每个交换机端口设置静态mac地址
(config-if)#switchport port-security mac-address mac地址
显示交换机的mac地址表
#show mac address-table
起初已经学习的mac地址条目
#clear mac address-table
对交换机端口启用端口安全性
(config-if)#switchport port-security
指定可以与交换机端口关联的mac地址最大数
(config-if)#switchport port-security maximum 数字
交换机端口违反安全性是交换机对端口执行的规则
(config-if)#switchport port-security violation portect|restrict|shutdown
Portect 地址数量达到允许的最大值后,其他额外学习到的所有地址都被丢弃(只有在启用粘连选项时才应用此选项)
Restrict 导致交换机生成安全性违反警报
Shutdown 导致交换机生成安全性警报并禁用接口
启用因违反端口安全而关闭的接口(先管理性关闭端口,在启用端口;直接启用端口无效)
(config-if)#shutdown
(config-if)#no shutdown
交换机端口学习安全mac地址的方式
(config-if)#switchport port-security mac-address stick 设置交换机的端口安全地址学习模式为粘性模式,即允许交换机动态的学习mac地址,直到地址数量达到允许的最大值,保存配置之后,从新引导交换机后粘性学习的地址显示为静态安全地址。
显示端口安全性配置
#show port-security interface 端口类型 端口编号
显示交换机的端口安全性的总体配置
#show port-security
查看静态定义或端口安全性动态学习的mac地址
#show port-security address
显示主机的ARP表
#show ip arp
注意只有交换机端口处于access模式时,才可以对端口使用端口安全性配置。
重点:生成树协议的不同标准以及标准的升级演化。
单臂路由器实现不同vlan间通信
在路由器上配置子接口
(config)#interface fastEthernet 0/0.1
(config)#interface fastEthernet 0/0.2
配置子接口的封装格式
(config-subif)# encapsulation dot1Q 1 配置封装格式为802.1Q 该接口属于vlan 1
注意子接口为逻辑接口,但是对于路由器来说该逻辑接口具有和物理接口一样的特性,可以分配ip地址,关闭启用接口,对接口使用访问控制列表等
注意:该子接口的封装格式必须与交换机上vlan的封装格式一致,否则该子接口将无法与交换机的vlan通信。
取消子接口时的命令为
(config)#no interface fastEthernet 0/0.1 即在原命令前加no
使用三层交换机的三层功能实现vlan之间的互相通信
三层交换机同时具有二层交换机和三层路由器的优点,他不但具有交换机的交换功能,同时还具有部分路由器的ip路由功能,由于三层交换机使用专用的芯片实现三层功能,因此具有更大等快的数据吞吐量,但是其ip路由功能只是基础的路由功能,不具有路由器的多种接入方式的支持,主要适用于大型局域网使用。不能完全替代路由器的作用。
启用三层交换机的ip路由功能
(config)#ip routing
关闭三层交换机的ip路由功能
(config)#no ip routing
注意,Cisco模拟器中的三层交换机3560的ip路由功能无法关闭。(已验证)。
三层交换机中的不同vlan可以分配不同的ip地址。三层交换机将vlan看做一个网段的网关接口,具有物理接口的全部特性。三层交换机的ip路由功能就是在不同的vlan之间搬移数据,用以实现不同vlan之间的数据通信。
no keepalive 命令的意义:以太网接口中的no keepalive能使接口不检测keepalive(存活)信号,从而在不连接任何设备的情况下,可以激活此接口。这样只是为我们配置和监测路由协议而设,在实际的网络环境中是不应该使用该命令的。
注意该命令只能在网卡接口模式中使用。
静态路由的配置
(config)#ip route 目的地址 目的地址的子网掩码 下一跳地址【自定义的管理距离】
注意:自定义的管理距离为可选参数,主要用于确定该条路由的优先级,可以实现浮动的静态路由起备份作用。
带有网络接口的静态路由
(config)#ip route 目的地址 目的子网掩码 下一跳的本地出站接口 [自定义的管理距离]
带有网络接口的静态路由只有在点对点的链路中才能使用,如果是共享式链路应该使用带有下一跳地址的静态路由。
默认静态路由的作用是在数据包找不到相对应的路由条目时,默认执行的路由条目,在局域网中一般将默认静态路由指向isp的边缘路由器。
(config)#0.0.0.0 0.0.0.0 下一跳地址或去往下一跳的本地出站接口
查看路由表
#show ip route
利用静态路由实现负载均衡
网络拓扑图为该三角形结构,该结构中任何一个路由器到达除自己以外的任何一台路由器都有两条路径可行,经过合理的设置路由条目,可以实现两条链路之间进行负载均衡。
通过traceroute命令可以追踪数据包的流向,通过该命令显示的结果可知,路由器在两条链路上实现了负载均衡。
注意:该负载均衡为对称性的,即两条链路负载的流量大小是相同的。当有多条路径且链路带宽大小差不多时才会使用负载均衡,如果实行负载均衡的两条链路带宽差距太大,会造成较小带宽的链路发生数据拥塞,从而影响数据的传输。
路由器动态路由rip协议的配置
Rip协议为距离矢量路由协议,rip协议中源网关和目标网关之间的跳数最多为15条。Rip使用hop(跳数=网关)计算,不管带宽。路由器每隔30秒更新。最多支持相同跳数的6条路径,实现负载均衡。Rip通过UDP的520端口工作,rip信息封装在UDP数据单元中,它定义了2种信息类型,请求信息和应答信息。Rip的度量值为跳数,最大值不超过15跳。
启用rip协议
(config)#router rip
选择对外发布的网络
(config-router)#network 网络地址(该网络地址必须为分类的网络地址)
Rip协议有第一版和第二版的区别,默认启用的是第一版,启动第二版的命令
(config-router)#version 2
Rip协议默认的会自动进行路由汇总,可以手动关闭自动汇总
(config-router)#no auto-summary
Rip协议支持在接口模式下手工汇总路由(但是务必关闭自动汇总功能)
(config-if)#ip summary-address rip 网络地址子网掩码
默认情况下在rip的v2不可以学习到v1的路由,必须在接口模式下使用以下命令
(config-if)#ip rip send version 1|2|1 2 设置发送的rip信息为第一版,第二版,第一二版
(config-if)#ip rip receive version 1|2|1 2 设置接受的rip信息为第一版,第二版,第一二版
Eigrp协议为igrp协议的升级版本,两者同为Cisco的私有动态路由协议。两者的配置基本相同,并且现在主要使用的为eigrp协议。在较高版本的ios的中只支持eigrp协议。
Eigrp协议的配置
启动eigrp协议
(config)#router eigrp 自治系统编号(其中不同路由器之间要共享路由信息,必须配置相同的自治系统编号)
添加接口到路由协议进程中
(config-router)#network 网路地址 子网掩码或通配符掩码
其中通配符掩码为255.255.255.255减去子网掩码
关闭自动汇总(默认为开启自动汇总)
(config-router)#no auto-summary
在接口上手动配置网络汇总
(config-if)#ip summary-address eigrp 自治系统编号汇总后网络地址 子网掩码
负载均衡
等价的负载均衡是自动实现的,最高支持6条路径进行等价的负载均衡。
不等价的负载均衡,必须进行配置才可使用。
(config-router)#variance 变化因子
变化因子的值是正整数,默认的值为1,要使用非等价的负载均衡,路由器要使用最佳度量值路径(可行距离)乘以变化因子的值,如果次优先级的路径的度量值(通告距离)小于该值,那么路由器将在路由选择表中包含它以及最佳度量值路径。
进行负载均衡时,路由器会智能的进行处理,路由器会根据不同路径的不同带宽的比例分配流量。可以使用traffic-share命令覆盖这种默认行为。
执行负载均衡的默认行为
(config-router)#traffic-share balanced
将默认路径和备份路径同时放入路由器的路由表中,但是路由器只使用默认路径,如果默认路径失效,则自动的启用备份路径,从而加快网络的收敛速度,达到网络即时收敛的目的。
(config-router)#traffic-share min across-interfaces
Eigrp协议支持md5加密的认证,使用md5认证路由选择更新可以确保路由器只接受来自授权路由器的更新,防止未经授权的路由更新被接受。
设置eigrp认证需要3个步骤,启用eigrp,定义用于md5认证的密钥并启用认证。
配置用于md5认证的密钥
1. 配置key-chain
创建key-chain (config)#key-chain 名称
定义key id (config-keychain)#key 【id】
定义key string (config-keychain-key)#key-string 【string】
2. 启动验证
(config-if)#ip authentication mode eigrp 自治系统编号 md5
(config-if)#ip authentication key-chain eigrp 自治系统编号 【key-chain名称】
Ospf为链路状态协议,是由IETF开发的公共协议,适用于不同厂家设备相互连接。Ospf作为内部网关协议,用于在同一个自治域中的路由器之间发布路由信息,支持大型网络,路由收敛快,占用网络资源少等优点,在目前应用的网络路由协议中占有相当重要的地位。
Ospf协议中引用了分层路由的概念,将网络分割成一个主干连接的一组相互独立的部分,这些相互独立的部分被称为区域(area),主干的部分称为主干区域。每个区域就如同一个独立的网络,该区域的ospf路由器只保存该区域的链路状态。每个路由器的链路状态数据库都可以保持合理的大小,路由计算的时间,报文数量都不会过大。
根据路由器所连接的物理网络不同,OSPF将网络划分为四种类型:广播多路访问型(Broadcast multiAccess)、非广播多路访问型(None Broadcast MultiAccess,NBMA)、点到点型(Point-to-Point)、点到多点型(Point-to-MultiPoint)。
广播多路访问型网络如:Ethernet、Token Ring、FDDI。NBMA型网络如:Frame Relay、X.25、SMDS。Point-to-Point型网络如:PPP、HDLC。
其中在多路访问的网络中存在多个路由器的时候,为了避免路由器之间建立完全相邻关系而引起的大量开销,ospf要求在区域中选取一个dr和bdr,每个路由器都与dr建立完全的相邻关系,dr负责收集所有的链路状态信息,并发布给其他路由器。Bdr在dr失效时取代dr的职责。在点对点的网络中不选举dr和bdr,因为只存在两个节点,彼此完全相邻。
在dr和bdr的选举当中是根据路由器的优先权和路由器id来进行的。优先级的值大小从0到255,优先级最高的路由器被选举为dr。如果优先级的大小一样,则根据路由器的id来选举dr,id值最高的路由器被选举为dr。其中优先级和id都可以手动的进行设置。
在不指明RouterID的情况下,路由器会自动进行选举,选举规则如下:
1.在多loopback口的OSPF路由器上,以最大的loopback口地址作为Router-id.
2.在只有一个loopback口的OSPF路由器上,选择loopback口地址作为Router-id.
3.没loopback口的OSPF路由器,选择物理接口上IP地址最大的作为Router-id.
Ospf相关配置
启用ospf协议
(config)#router ospf 进程号 (注意:进程号只用本地意义,不同路由器可使用不同的进程号)
指定运行ospf协议的接口
(config-router)#网络号 通配符掩码 area 区域号 (注意:区域号代表运行ospf协议的区域,希望交换路由信息的路由器必须处于相同的区域内)
配置ospf中路由器的id
(config-router)#router-id id号 (注意:其中id号为点分十进制的ip地址的形式,其中可以使用0.0.0.0到255.255.255.255之间的任意id,不受ip地址的限制)
配置环回接口ip地址作为路由器id
(Config)#loopback 环回接口编号 (环回接口编号是为了区分多个环回接口,无实际意义)
其中环回接口具有物理接口的所有特性,路由器把环回接口看做物理接口。
为环回接口配置ip地址
(config-if)#ip地址子网掩码 (为了节约ip地址资源,一般使用32位子网掩码,即255.255.255.255)
其中环回接口也可以用作设备的管理,作为设备的管理ip地址,例如telnet和ssh。因为物理接口可能会由于故障down,但是环回接口永远不会出现故障,更适合作为设备的管理地址。