路由配置命令
路由器端口 vlan 1 配置ip地址 需要 no shut
配置交换机主机名 host S1
查看路由表 show ip route -> show ip ro
进入接口 interface f0/0 -> int f0/0
ip地址配置 ip add {IP地址} {子网掩码} 列如:ip add 192.168.0.254 255.255.255.0
开启端口 no shutdown ->no shut
关闭端口 shutdown -> shut
s0/1/0 (配置直连静态路由)
R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.1 (配置下一跳静态路由/ – 标准静态路由 – )
s0/1/0 192.168.1.1 (完全指定静态路由)
165.0.0.5 5
(浮动静态路由)
配置默认路由
R3(config)# ip route 0.0.0.0 0.0.0.0 {下一跳地址}
例如:R3(config)# ip route 0.0.0.0 0.0.0.0 192.168.12.1
跟踪 10.10.1.1 路径 C:> tracert 10.10.1.1 tracert
协议路由
RIP配置
距离矢量 (RIP1:\使用跳数作为路径选择的唯一度量/通告的路由最大跳数为15跳,超过15跳会视为不可达\每30秒广播一次消息\管理距离是管理距离是120 //管理距离是路由协议的可信度或优先级。每一种路由协议都会分配一个信任等级,这个信任等级就叫管理距离。管理距离是从0到255.)
路由协议
链路状态
进入路由器的RIP配置模式 router rip ->ro r
通告网络 (直链网路) network network-address --> net network-address
版本修改 version 2 -> v 2
禁用自动汇总 no auto-summary -> no auto (a)
被动接口的配置 passive-interface type number -> pass§ 列如:R1(config-router)#passive-interface f0/0 -> p f0/0
显示路由器当前配置的路由协议 Router#show ip protocols ->sh ip p
显示RIP数据库信息 Router#show ip rip database -> sh ip rip d
OSPF路由 (单区域)
Router(config)#ro os 1
Router(config-router)#net 192.168.1.0 0.0.0.255 area 0
Router(config-router)#net 192.168.17.0 0.0.0.255 area 0
EIGIP路由
Router(config)#ro eigrp 100
Router(config-router)#net 192.168.1.0 0.0.0.255
Router(config-router)#net 192.168.3.0 0.0.0.255
交换机SSH配置
设置enable密码 S1 (config)#enable secret 123456 -> ena s 123456 //建议配置密文特权口令
配置网络的IP域名,用ssh第2版
S1 (config)#ip domain-name cisco.com //创建域名 cisco.com -> ip domain-n cisco.com
S1(config)#ip ssh version 2 //SSH协议版本2 ip ssh v 2
生成RSA非对称秘钥
S1 (config)#crypto key generate rsa //生成 RSA 加密密钥 -> cr k g rsa //% Please define a hostname other than Router.(主机必须重命名)
配置本地身份验证和vty
S1 (config)#username admin password ccna //创建本地用户名和口令 -> u admins pas ccna
S1 (config)#line vty 0 15
S1 (config-line)#transport input ssh //指定vty登录模式ssh -> tr inp ssh
S1 (config-line)#login local //使用本地身份证验证 -> login loc
设置超时时间和重试次数
S1(config)#ip ssh time-out 20 //超时设置为20秒 -> ip ssh ti 20
S1(config)#ip ssh authentication-retries 2 //重试次数为2次 -> ip s au 2
S1(config)#show ip ssh
C:>ssh -I admin 192.168.0.254
端口安全(交换机)
静态
动态 安全MAC地址
粘滞
启用端口安全和设置端口的违规模式
Switch(config-if)# switchport port-security [violation {protect | restrict |shutdown}]
maximum value(2) (设置端口允许通过的最大MAC地址(2)数量)
Switch(config-if)#switchport port-security mac-address mac-address (设置静态安全MAC地址)
sw po mac-address sticky {mac-address} (粘滞安全MAC地址)
mac s {mac-address}
显示交换机或指定端口的端口安全设置
Switch# show port-security [interface interface-id ]
显示所有交换机端口或某个指定端口上配置的所有安全MAC地址
Switch# show port-security [interface interface-id ] address
示例:
启用端口安全
S1(config)#interface range f0/2-3 -> int r f0/0
S1(config-if-range)#switchport mode access -> sw m a
S1(config-if-range)#switchport port-security -> sw po
配置f0/2端口的静态安全地址
S1(config)#interface f0/2 -> int f0/0
S1(config-if)#switchport port-security mac-address 54be.f74e.2456 -> sw po mac 54be.f74e.2456
配置端口合法地址数量
S1(config-if)#switchport port-security maximum 2 -> sw po max 2
配置端口的违规模式
S1(config-if)#switchport port-security violation protect
配置粘滞端口安全
S1(config-if)#switchport port-security mac-address sticky -> sw po mac s
show port-security address命令查看安全MAC地址 -> sh po add
show run interface f0/2命令查看交换机S1运行配置文件中f0/2端口的配置 -> sh run int f0/2
将违规的计算机从交换机端口移除,然后发出shutdown/no shutdown命令重新启用端口。
S1(config)#interface range f0/2-3
S1(config-if-range)#shutdown
S1(config-if-range)#no shutdown
VLAN配置
创建VLAN并命名
Switch(config)#vlan vlan-id -> vl 10
Switch(config-vlan)#name vlan-name -> na office
为VLAN分配端口
通过一个特定的端口号进入接口配置模式
Switch(config)#interface interface-id //int ra f0/1-10
将端口设置为接入模式
Switch(config-if)#switchport mode access -> sw mo ac
将端口分配给特定的VLAN
Switch(config-if)#switchport access vlan vlan-id -> sw ac vl 10
删除VLAN
Switch(config)# no vlan vlan-id --> no vl 2
配置管理VLAN
Switch(config)#interface vlan vlan-id -> int vl 10
配置管理接口的IP地址
Switch(config-if)#ip address ip-address mask -> ip add ip-address mask <----> (配置交换机管理vlan 1 的IP地址 interface vlan 1 -> ip address 192.168.0.254 255.255.255.0 -> no shut)
启动接口
Switch(config-if)#no shutdown ->no shut
查看VLAN
show vlan [brief | id vlan-id | name vlan-name | summary]
查看端口
show interfaces [interface-id | vlan vlan-id ] | switchport
VLAN中继的配置
-
通过特定交换机端口进入接口配置模式
- Switch(config)#interface interface-id – >
-
配置交换机的trunk模式 (如果交换机支持多种trunk模式,可以通过该命令配置trunk模式)
- Switch(config-if)#switchport trunk encapsulation [dot1q|isl]
-
强制连接交换机端口的链路成为中继链路
- Switch(config-if)#switchport mode trunk
-
配置本征VLAN
- Switch(config-if)#switchport trunk native vlan vlan-id --> sw tru na vl 10,20
-
配置中继链路上允许通过的VLAN
- Switch(config-if)#switchport trunk allowed vlan {all|[add|remove|except]} vlan-list
-
将中继上允许的VLAN和本征VLAN恢复为默认状态
- Switch(config-if)#no switchport trunk allowed vlan
- Switch(config-if)#no switchport trunk native vlan
-
配置中继自动模式
- Switch(config)#interface interface-id
- Switch(config-if)#switchport mode dynamic auto
-
配置中继期望模式
- Switch(config)#interface interface-id
Switch(config-if)#switchport mode dynamic desirable
- Switch(config)#interface interface-id
-
查看交换机端口的配置
- Switch#show interfaces interface-id switchport
VLAN间路由的配置
路由器-单臂路由
开启物理接口
Router(config)#interface interface-id --> int f0.0
Router(config-if)#no shutdown --> no shut
创建子接口
Router(config)#interface interface-id.subinterface-id --> int f0/0.10
封装dot1Q
Router(config-subif)#encapsulation dot1Q vlan-id --> enc dot 10
配置子接口的IP地址
Router(config-subif)#ip address ip-address mask --> ip add 192.168.0.254 255.255.255.0
三层交换机VLAN间路由
配置交换机的端口为三层口
Router(config)#interface interface-id
Router(config-if)#no switchport
开启三层交换机的路由功能
Router(config)#ip routing
创建VLAN的虚拟接口并配置IP地址
Switch(config)#interface vlan vlan-id --> int vl 10
Switch(config-if)#ip address ip-address mask --> ip add 192.168.0.254 255.255.255.0
Switch(config-if)# no shut
VTP配置
网络中的VTP域是一组VTP域名称相同并通过Trunk相互连接的交换机。
服务器
客户机 模式
透明
int f0/1
switchport mode trunk --> sw m t
exit
建立VTP域
Switch(config)#vtp domain name // 这里的name指的是自定义name --> vtp domain cisco
修改交换机vtp的模式
Switch(config)#vtp{client|server|transparent} --> vtp mode server -->vtp m s
配置vtp密码
Switch(config)#vtp password …… --> vtp pas ccna
配置VTP修剪
switch (config) # vtp pruning
.查看VTP运行状态
Switch#show vtp status -->sh vtp st
二层交换机链路聚合
Switch(config)#int port-channel 1
Switch(config-if)#switchport mode trunk
Switch(config-if)#ex
Switch(config)#int r f0/23-24
Switch(config-if-range)#channel-group 1 mode on
Switch(config-if-range)#channel-group 1 mode ?
active Enable LACP unconditionally
auto Enable PAgP only if a PAgP device is detected
desirable Enable PAgP unconditionally
on Enable Etherchannel only
passive Enable LACP only if a LACP device is detected
show etherchannel summary
部署ACL限制网络访问范围
标准ACL
:标准ACL根据源IP地址过滤数据包.数据包中包含的目的地址和端口号无关紧要。
默认是拒绝所有
host关键字 仅匹配一台主机。
any关键字 接受任何地址
配置标准编号ACL
Router(config)#access-list access-list-number {deny|permit|remark}source [source-wildcard ] [log] --> access-list 1 deny 192.168.2.0 0.0.0.255 / access-list 1 permit any
配置标准命名ACL
Router(config)#ip access-list standard name --> ip access-list standard denypc3
Router(config-std-nacl)#{deny|permit|remark} source [source-wildcard ][log] --> permit 192.168.2.2 0.0.0.0 deny 192.168.2.0 0.0.0.255 permit host 192.168.2.2 permit any
在接口应用ACL
Router(config)#interface type number --> interface f0/0 -->> int f0/0
Router (config-if)# ip access-group {access-list-number |name} {in|out} —> ip access-group 1 out —>> ip ac 1 o
ip access-group denypc3 out
查看ACL
Router#show access-lists
查看接口的配置
Router#show ip interface
清除ACL的统计信息
Router#clear access-list counters [access-list-number|name]
扩展ACL
:扩展ACL根据多种属性(如协议类型、源IP地址、目的IP地址、源TCP或UDP端口号及目的TCP或UDP端口号)过滤数据包,并可依据协议类型信息进行更为精确的控制。
默认是拒绝所有
TCP/UDP端口 | 端口号 | 服务和应用程序 |
---|---|---|
TCP端口 | 21 | FTP |
TCP端口 | 23 | Telnet |
TCP端口 | 25 | SMTP |
TCP端口 | 80 | HTTP |
TCP端口 | 143 | IMAP |
TCP端口 | 194 | Internet中继聊天(IRC) |
TCP端口 | 443 | HTTPs |
UDP端口 | 69 | TFTP |
UDP端口 | 520 | RIP |
TCP/UDP端口 | 53 | DNS |
TCP/UDP端口 | 161 | SNMP |
已注册端口(端口号:1024~49151)将分配给用户进程或应用程序。
动态(私有)端口(端口号:49152~65535)也称为临时端口,动态端口往往在开始连接时被动态分配给客户端应用程序
配置扩展编号ACL
Router(config)#access-list access-list-number {deny|permit|remark} protocol source [source-wildcard ] [operator operand ] [port port-number or name] destination [destination-wildcard ] [operator operand ] [port port-number or name] [established] --> access-list 100 permit tcp 192.168.0.0 0.0.0.255 host 192.168.1.1 eq www --> acc 100 p t 192.168.0.0
—> access-list 100 deny icmp 192.168.0.0 0.0.0.255 host 192.168.1.254
—> access-list 100 permit ip any any
配置扩展命名ACL
Router(config)#ip access-list extended name
Router(config-std-nacl)#{deny|permit|remark} protocol source [source-wildcard ] [operator operand ] [port port-number or name] destination [destination-wildcard ] [operator operand ] [port port-number or name] [time-range time-range-name] [established]
在接口应用ACL
Router(config)#interface type number
Router (config-if)# ip access-group {access-list-number |name} {in|out}
例子:
R1(config)#access-list 100 deny icmp 192.168.0.0 0.0.0.255 host 10.10.10.2
R1(config)#access-list 100 deny icmp 192.168.0.0 0.0.0.255 host 192.168.1.254
R1(config)#access-list 100 permit ip any any
R1(config)#int f0/0
R1(config-if)#ip access-group 100 in
DHCP配置
配置基本 DHCPv4 服务器
命 令 | 描 述 |
---|---|
network network-number [ mask | /prefix-length ] | 定义地址池 |
default-router address [address2…address8] | 定义默认路由器或网关 |
dns-server address [address2…address8] | (可选)定义DNS 服务器 |
domain-name domain | (可选)定义域名 |
lease { days [hours] [minutes] | infinite } | (可选)定义DHCP 租期 |
netbios-name-server address [address2…address8] | (可选)定义NetBIOS WINS 服务器的传统命令 |
DHCPv4 中继
接受 DHCP 请求广播的接口必须配置有 ip helper-address 命令。
例题:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mdUEjrir-1608170042223)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20201212215853459.png)]
Router0
ip dhcp excluded-address 192.168.30.1 192.168.30.9
ip dhcp excluded-address 192.168.30.254
ip dhcp pool lan-pool-1
network 192.168.30.0 255.255.255.0
default-router 192.168.30.1
dns-server 192.168.20.5
Router2
interface f0/0
ip helper-address 172.16.10.1
NAT的配置
地址分类 | 私有地址范围 |
---|---|
A类 | 10.0.0.0~10.255.255.255 |
B类 | 172.16.0.0~172.31.255.255 |
C类 | 192.168.0.0~192.168.255.255 |
配置静态NAT的转换条目
Router(config)#ip nat inside source static local-ip global-ip -->ip nat inside source static 192.168.0.1 165.0.0.3
指定内部(外部)接口
Router(config)#interface type number --> int f0/0 (1)
Router(config-if)#ip nat inside --> ip nat inside (outside)
端口转发的配置
Router(config)#ip nat inside source static {tcp|udp} local-ip local-port global-ip global-port [extendable] --> ip nat inside source static tcp 192.168.0.1 23 165.0.0.1 2301
查看转换表
Router#show ip nat translations
清除转换表
Router#clear ip nat translations
查看NAT的统计信息
Router#show ip nat statistics
清除转换统计信息
Router#clear ip nat statistics
动态NAT的配置
定义公有地址池
Router(config)#ip nat pool name start-ip end-ip {netmask netmask |prefix-length(前缀长度) prefix-length} -->ip nat pool pool1 209.165.0.10 209.165.0.159 netmask 255.255.255.0
定义一个标准ACL以允许待转换的地址通过
Router(config)#access-list access-list-number permit source [source-wildcard] --> access-list 1 permit 192.168.1.0 0.0.0.255
配置动态NAT的转换条目
Router(config)#ip nat inside source list access-list-number pool name --> ip nat inside source list 1 pool pool1
基于端口NAT的配置(NAT的过载)
定义一个标准ACL以允许待转换的地址通过
Router(config)#access-list access-list-number permit source [source-wildcard] --> access-list 1 permit 172.16.0.0 0.0.1.255
配置转换条目
Router(config)#ip nat inside source list access-list-number interface type number overload --> ip nat inside source list 1 interface s0/1/1 overload
指定内部接口 ----- 指定外部接口(此处省略前面有提过)