第一章 VTP协议
Switch(config)#vtp domain (name)设置VTP域名
Switch(config)#vtp mode server/transparent/client设置VTP模式,服务/透明/客户/
Switch(config)#vtp password 123 设置VTP密码
Switch(cofnig)#vtp pruning 设置VTP修剪
Switch#show vtp status 查看VTP状态信息
Switch#show vlan brief 查看VLAN信息
==========================================================================================
------------------------------------------------------------------------------------------
第二章 STP协议
Switch(cofnig)#spanning-tree vlan 1 启用生成树
Switch(config)#spanning-tree vlan 2 root primary / secondary 配置交换机为根网桥、主要的/次要的
Switch(config)#spanning-tree vlan 2 priority 8192 修改交换机的优先级
Switch(config-if)#spanning-tree vlan 2 cost 100/19/4/2 修改端口路径成本
Switch(config-if)#spanning-tree vlan 2 port-priority 50 修改端口路径优先级(端口十进制取值0~255,默认值事128)
Switch(config)#spanning-tree uplinkfast 配置上行速链路
Switch(config)#interface range f0/1 - 20 (为除TRUNK链路外的接口配速端口)
Switch(config-if)#spanning-tree portfast 配置速端口
Switch#show spanning-tree 查看生成树信息 (在小凡模拟器上show spanning-tree br)
以太网通道配置
Switch(config)#interface range fasteternet 0/1 - 2 (为1、2端口配置以太网端口
Switch(config-if-range)#channel-group 1 mode on (把绑在一起成为组1
Switch#show etherchannel 1 summary 查看以太网通道的配置是否正确
==========================================================================================
------------------------------------------------------------------------------------------
第三章 三层交换机的配置
1、在3层交换机上启动路由,否则3层交换不具有路由功能
switch(config)#ip routing
2、配置VLAN的IP地址
switch(config)#interface vlan 1 因为3层交换机支持各VLAN间的路由,因此每个VLAN都可以配置IP地址
switch(config-if)#ip address 192.168.1.1 255.255.255.0
switch(config-if)#no shutdown
3、查看FIB表
switch #show ip cef
4、查看邻接关系表
switch#show adjacency detail
5、在3层交换机上配置路由接口
switch(config-if)#no switchport (配置接口为3层模式, 意思就是取消switch的接口)
6、在3层交换机上配置静态路由或动态路由
与在ROUTE上配置路由方法都是相同的
7、配置DHCP中继转发
switch(cofig)#interface vlan 2
switch(config-if)#ip helper-address 192.168.2.100
---------------------------------------------------
解决实例;
下面的配置命令,可以配置路由器为DHCP服务器,用以给DHCP客户端动态分配ip地址。
Router1#configure terminal
Router1(config)#service dhcp //开启 DHCP 服务
Router1(config)#ip dhcp pool 172.25.1.0/24 //定义DHCP地址池
Router1(dhcp-config)#network 172.25.1.0 255.255.255.0 // 用network 命令来定义网络地址的范围
Router1(dhcp-config)#default-router 172.25.1.1 //定义要分配的网关地址
Router1(dhcp-config)#dns-server 192.168.1.1 配置DNS服务器
Router1(dhcp-config)#exit
Router1(config)#ip dhcp excluded-address 172.25.1.1 172.25.1.50 //该范围内的ip地址不能分配给客户端
Router1(config)#ip dhcp excluded-address 172.25.1.200 172.25.1.255 //该范围内的ip地址不能分配给客户端
Router1(config)#end
Router1#
============================================================================================
--------------------------------------------------------------------------------------------
第六章 PPP协议
配置PAP认证
PPP认证为PAP和CHAP两种
1、主认证端DCE 的PAP配置 ; 在主认证端添加被认证用户的用户名和密码
R1(config)#username R1 password 0 123 (password 参数后面的0表示密码是为文明保存的
R1(config)#interface s0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0 (配置S0/0的接口IP)
R1(config-if)#encapsulation ppp (把S0/0封装PPP协议)
R1(config-if)#ppp authentication pap (启动认证PAP协议)
R1(config-if)#clock rate 64000 (配置DCE接口的时钟)
R1(config-if)#no shutdown
2,被认证端DTE 的PAP配置
R2(config)#interface s0/0
R2(config-if)#ip address 192.168.1.2 255.255.255.0 (配置IP地址)
R2(config-if)#encapsulation ppp (SO/0封装PPP协议)
R2(config-if)#ppp pap sent-username R1 password 0 123 (发起用户密码认证;在被认证端配置的用户名和密码必须和与在主认证端配置的用户名和密码相同)
R2(config-if)#no shutdown
-------------------------------------------
配置CHAP认证
服务器配置R1
R1(config)#username R2 password 0 123 配置用户名和密码(用户名为对方的用户名,也可以随便一个不同的名,必须是唯一的,密码必须和被认证方的是一样的密码)
R1(config)#interface s0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0 (配置接口IP地址)
R1(config-if)#encapsulation ppp (封装PPP协议在S0/0接口)
R1(config-if)#clock rate 64000 (DCE接口方配置时钟,只能在DCE方配置,其他方不可以)
R1(config-if)#ppp authentication chap (启动CHAP协议,直接翻译为PPP认证CHAP协议)
R1(config-if)#no shutdown
客服端R2
R2(config)#username R1 password 0 123 (配置用户名和密码,用户名为对方的或随便一个不同的名必须是唯一,密码必须和服务器端一样的)
R2(config)#interface s0/0
R2(config-if)#ip addres 192.168.1.2 255.255.255.0 (配置S0/0接口的IP地址)
R2(config-if)#encapsulation ppp (封装PPP协议在S0/0接口)
R2(config-if)#ppp authentication chap(启动CHAP协议,双方必须都启动CHAP协议)
R2(config-if)#no shutdown
R2#ping 192.168.1.1
---------------
查看PPP的配置
router#show interface serial 0/1
internet address will be negotiated using IPCP:接口的IP地址是通过IPCP协议协商的
LCP Open:LCP协议的状态为Open,协议工作正常
Open:IPCP,CDPCP状态为Open,协议工作正常
调试命令
router#debug PPP packet
=====================================================================================================
-----------------------------------------------------------------------------------------------------
第八章 OSPF 基本概念及单区域配置实验
RA:
1.配置loopback接口地址
Router(config)#interface loopback 0
Router(config-if)#ip address 10.0.0.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
2.配置f0/0 、s0/0接口ip
Router(config)#interface f0/0
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config-if)#no shutdown
Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp
Router(config-if)#ip address 192.168.1.2 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#clock rate 128000
3.启动OSPF路由进程
Router(config)#router ospf 1
4.指定OSPF协议运行的接口和所在的区域
Router(config-router)#network 192.168.1.2 0.0.0.0 area 0
Router(config-router)#network 192.168.2.1 0.0.0.0 area 0
Router(config-router)#network 10.0.0.2 0.0.0.0 area 0
RB:
1.配置loopback接口地址
Router(config)#interface loopback 0
Router(config-if)#ip address 10.0.0.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
2.配置s0/0接口ip
Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp
Router(config-if)#ip address 192.168.1.2 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#clock rate 128000
3.启动OSPF路由进程
Router(config)#router ospf 1
4.指定OSPF协议运行的接口和所在的区域
Router(config-router)#network 192.168.1.1 0.0.0.0 area 0
Router(config-router)#network 10.0.0.1 0.0.0.0 area 0
RC:
1.配置loopback接口地址
Router(config)#interface loopback 0
Router(config-if)#ip address 10.0.0.3 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
2.配置F0/0接口ip
Router(config)#interface f0/0
Router(config-if)#ip address 192.168.2.2 255.255.255.0
Router(config-if)#no shutdown
3.启动OSPF路由进程
Router(config)#router ospf 1
4.指定OSPF协议运行的接口和所在的区域
Router(config-router)#network 192.168.2.2 0.0.0.0 area 0
Router(config-router)#network 10.0.0.3 0.0.0.0 area 0
第九章 OSPF的多区域配置(实验)
配置sh路由步骤
1.配置loopback接口ip
2.配置f0/0接口ip
3.启用OSPf 路由进程
4.指定OSPF 协议运行的接口和所在的区域
配置bj的路由步骤
1.配置loopback接口ip
2.配置f0/0 s0/0接口ip
3.启用OSPf 路由进程
4.指定OSPF 协议运行的接口和所在的区域
配置gz路由步骤
1.配置s0/0接口ip
2.启用OSPf 路由进程
3.指定OSPF 协议运行的接口和所在的区域
注:如果要配置末梢区域需要在gz和bj的路由器上配置相同的命令
Router(config-router)#area 51 stub
51:表示所属的区域号
完全末梢区域(只在区域边界路由器上配置即可)
Router(config-router)#area 51 stub no-summary
Switch(config)#vtp domain (name)设置VTP域名
Switch(config)#vtp mode server/transparent/client设置VTP模式,服务/透明/客户/
Switch(config)#vtp password 123 设置VTP密码
Switch(cofnig)#vtp pruning 设置VTP修剪
Switch#show vtp status 查看VTP状态信息
Switch#show vlan brief 查看VLAN信息
==========================================================================================
------------------------------------------------------------------------------------------
第二章 STP协议
Switch(cofnig)#spanning-tree vlan 1 启用生成树
Switch(config)#spanning-tree vlan 2 root primary / secondary 配置交换机为根网桥、主要的/次要的
Switch(config)#spanning-tree vlan 2 priority 8192 修改交换机的优先级
Switch(config-if)#spanning-tree vlan 2 cost 100/19/4/2 修改端口路径成本
Switch(config-if)#spanning-tree vlan 2 port-priority 50 修改端口路径优先级(端口十进制取值0~255,默认值事128)
Switch(config)#spanning-tree uplinkfast 配置上行速链路
Switch(config)#interface range f0/1 - 20 (为除TRUNK链路外的接口配速端口)
Switch(config-if)#spanning-tree portfast 配置速端口
Switch#show spanning-tree 查看生成树信息 (在小凡模拟器上show spanning-tree br)
以太网通道配置
Switch(config)#interface range fasteternet 0/1 - 2 (为1、2端口配置以太网端口
Switch(config-if-range)#channel-group 1 mode on (把绑在一起成为组1
Switch#show etherchannel 1 summary 查看以太网通道的配置是否正确
==========================================================================================
------------------------------------------------------------------------------------------
第三章 三层交换机的配置
1、在3层交换机上启动路由,否则3层交换不具有路由功能
switch(config)#ip routing
2、配置VLAN的IP地址
switch(config)#interface vlan 1 因为3层交换机支持各VLAN间的路由,因此每个VLAN都可以配置IP地址
switch(config-if)#ip address 192.168.1.1 255.255.255.0
switch(config-if)#no shutdown
3、查看FIB表
switch #show ip cef
4、查看邻接关系表
switch#show adjacency detail
5、在3层交换机上配置路由接口
switch(config-if)#no switchport (配置接口为3层模式, 意思就是取消switch的接口)
6、在3层交换机上配置静态路由或动态路由
与在ROUTE上配置路由方法都是相同的
7、配置DHCP中继转发
switch(cofig)#interface vlan 2
switch(config-if)#ip helper-address 192.168.2.100
---------------------------------------------------
解决实例;
下面的配置命令,可以配置路由器为DHCP服务器,用以给DHCP客户端动态分配ip地址。
Router1#configure terminal
Router1(config)#service dhcp //开启 DHCP 服务
Router1(config)#ip dhcp pool 172.25.1.0/24 //定义DHCP地址池
Router1(dhcp-config)#network 172.25.1.0 255.255.255.0 // 用network 命令来定义网络地址的范围
Router1(dhcp-config)#default-router 172.25.1.1 //定义要分配的网关地址
Router1(dhcp-config)#dns-server 192.168.1.1 配置DNS服务器
Router1(dhcp-config)#exit
Router1(config)#ip dhcp excluded-address 172.25.1.1 172.25.1.50 //该范围内的ip地址不能分配给客户端
Router1(config)#ip dhcp excluded-address 172.25.1.200 172.25.1.255 //该范围内的ip地址不能分配给客户端
Router1(config)#end
Router1#
============================================================================================
--------------------------------------------------------------------------------------------
第六章 PPP协议
配置PAP认证
PPP认证为PAP和CHAP两种
1、主认证端DCE 的PAP配置 ; 在主认证端添加被认证用户的用户名和密码
R1(config)#username R1 password 0 123 (password 参数后面的0表示密码是为文明保存的
R1(config)#interface s0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0 (配置S0/0的接口IP)
R1(config-if)#encapsulation ppp (把S0/0封装PPP协议)
R1(config-if)#ppp authentication pap (启动认证PAP协议)
R1(config-if)#clock rate 64000 (配置DCE接口的时钟)
R1(config-if)#no shutdown
2,被认证端DTE 的PAP配置
R2(config)#interface s0/0
R2(config-if)#ip address 192.168.1.2 255.255.255.0 (配置IP地址)
R2(config-if)#encapsulation ppp (SO/0封装PPP协议)
R2(config-if)#ppp pap sent-username R1 password 0 123 (发起用户密码认证;在被认证端配置的用户名和密码必须和与在主认证端配置的用户名和密码相同)
R2(config-if)#no shutdown
-------------------------------------------
配置CHAP认证
服务器配置R1
R1(config)#username R2 password 0 123 配置用户名和密码(用户名为对方的用户名,也可以随便一个不同的名,必须是唯一的,密码必须和被认证方的是一样的密码)
R1(config)#interface s0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0 (配置接口IP地址)
R1(config-if)#encapsulation ppp (封装PPP协议在S0/0接口)
R1(config-if)#clock rate 64000 (DCE接口方配置时钟,只能在DCE方配置,其他方不可以)
R1(config-if)#ppp authentication chap (启动CHAP协议,直接翻译为PPP认证CHAP协议)
R1(config-if)#no shutdown
客服端R2
R2(config)#username R1 password 0 123 (配置用户名和密码,用户名为对方的或随便一个不同的名必须是唯一,密码必须和服务器端一样的)
R2(config)#interface s0/0
R2(config-if)#ip addres 192.168.1.2 255.255.255.0 (配置S0/0接口的IP地址)
R2(config-if)#encapsulation ppp (封装PPP协议在S0/0接口)
R2(config-if)#ppp authentication chap(启动CHAP协议,双方必须都启动CHAP协议)
R2(config-if)#no shutdown
R2#ping 192.168.1.1
---------------
查看PPP的配置
router#show interface serial 0/1
internet address will be negotiated using IPCP:接口的IP地址是通过IPCP协议协商的
LCP Open:LCP协议的状态为Open,协议工作正常
Open:IPCP,CDPCP状态为Open,协议工作正常
调试命令
router#debug PPP packet
=====================================================================================================
-----------------------------------------------------------------------------------------------------
第八章 OSPF 基本概念及单区域配置实验
RA:
1.配置loopback接口地址
Router(config)#interface loopback 0
Router(config-if)#ip address 10.0.0.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
2.配置f0/0 、s0/0接口ip
Router(config)#interface f0/0
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config-if)#no shutdown
Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp
Router(config-if)#ip address 192.168.1.2 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#clock rate 128000
3.启动OSPF路由进程
Router(config)#router ospf 1
4.指定OSPF协议运行的接口和所在的区域
Router(config-router)#network 192.168.1.2 0.0.0.0 area 0
Router(config-router)#network 192.168.2.1 0.0.0.0 area 0
Router(config-router)#network 10.0.0.2 0.0.0.0 area 0
RB:
1.配置loopback接口地址
Router(config)#interface loopback 0
Router(config-if)#ip address 10.0.0.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
2.配置s0/0接口ip
Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp
Router(config-if)#ip address 192.168.1.2 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#clock rate 128000
3.启动OSPF路由进程
Router(config)#router ospf 1
4.指定OSPF协议运行的接口和所在的区域
Router(config-router)#network 192.168.1.1 0.0.0.0 area 0
Router(config-router)#network 10.0.0.1 0.0.0.0 area 0
RC:
1.配置loopback接口地址
Router(config)#interface loopback 0
Router(config-if)#ip address 10.0.0.3 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
2.配置F0/0接口ip
Router(config)#interface f0/0
Router(config-if)#ip address 192.168.2.2 255.255.255.0
Router(config-if)#no shutdown
3.启动OSPF路由进程
Router(config)#router ospf 1
4.指定OSPF协议运行的接口和所在的区域
Router(config-router)#network 192.168.2.2 0.0.0.0 area 0
Router(config-router)#network 10.0.0.3 0.0.0.0 area 0
第九章 OSPF的多区域配置(实验)
配置sh路由步骤
1.配置loopback接口ip
2.配置f0/0接口ip
3.启用OSPf 路由进程
4.指定OSPF 协议运行的接口和所在的区域
配置bj的路由步骤
1.配置loopback接口ip
2.配置f0/0 s0/0接口ip
3.启用OSPf 路由进程
4.指定OSPF 协议运行的接口和所在的区域
配置gz路由步骤
1.配置s0/0接口ip
2.启用OSPf 路由进程
3.指定OSPF 协议运行的接口和所在的区域
注:如果要配置末梢区域需要在gz和bj的路由器上配置相同的命令
Router(config-router)#area 51 stub
51:表示所属的区域号
完全末梢区域(只在区域边界路由器上配置即可)
Router(config-router)#area 51 stub no-summary
第十一章 热备份路由协议HSRP(Hot Standby Router Rrotocol)(CISCO专有的协议)
通过使用同一个虚拟IP地址和虚拟MAC地址,为IP网络提供容错和增强的路由选择功能。
终端设备发现可用路由器有下面几中方式:
默认网关(Default Gateway),代理ARP(Proxy ARP),ICMP路由器发现协议(ICMP Router Discovery Protocol ,IRDP)。
--各路由的作用:
--活跃路由器的功能是转发发送到虚拟路由器的数据包。
--备份路由器的功能是监视HSRP组的运行状态。
--虚拟路由器(即该LAN上的网关)的功能是向最终用户代表一台可以连续工作的路由器。
HSRP备份组可以包含其他路由器,这些路由器监视Hello消息,但不做应答,这些路由器转发任何经由它们的数据包。
HSRP的6种状态,0初始,1学习,2监听,4发言,8备份,16活跃
----* HSRP的基本配置
1,将路由器配置为HSRP的成员
routerA(config)#interface f0/1
routerA(config-if)#standby (group-number) ip (virtual-ip-address)
变量group-number(任选)--指示该端口所属的HSRP组。默认组为0,可选0~255.
变量virtual-ip-address(任选)---指虚拟HSRP路由器的IP地址
2从HSRP组中取消一个端口
routerA(config)#interface fastethernet 0/1
routerA(config-if)#no standby group ip 那么路由A的F0/1端口就脱离了备份组
关闭端口重定向功能,
router(config-if)#no ip redirects
3,配置HSRP的优先级
router(config-if)#standby (group-number) priority (priority-value)
优先级可选0~255,默认为100
4,配置HSRP的占先权
要想原来的活跃路由能够从优先级较低的新活跃路由器那里重新取回转发权:
router(config-if)#standby (group-number) preempt(一般两台路由器都配置)
5,配置Hello消息的计时器
router(config-if)#standby (group-number) times (helltime)(holdtime)
Hello间隔时间默认为3s,可选1~255。 保持时间最少是Hello时间的3倍,默认为10s
6,配置端口跟踪
router(config-if)#standby group-number track type-number interface-priority
group-number为组号,type说明了将跟踪端口的端口类型(serial/fastethernet)
number说明跟踪的端口编号,interface-priority(任选)说明当跟踪的端口失效时路由器的热备份优先级将降低的数值。
当端口变为可用时,路由器的优先级将加上该数值。默认为10
router(config-if)#no standby track (关闭端口跟踪
7,检查HSRP的状态
router#show standby (rype-number) (group) brief
type-number(任选)说明要显示的目标端口类型和序号
group(任选)说明了要显示端口的某个具体HSRP组
router#show standby
8,启动调测功能
router#debug standby (该命令可能会将该路由器系统资源耗尽,实际使用中应该特别小心。
------------------------------------------------------------------------------------------------
===============================================================================================
第十二章 访问控制列表ACL(access control list)
.........................................
标准访问控制列表配置命令
1,标准访问控制列表根据包的源IP地址来允许(permit)或拒绝(deny)数据包
R1(config)#access-list (access-list-number) permit / deny (source-address) [log]
例:R1(config)#access-list 1 permit 172.16.2.0 0.0.0.255
access-list-number是访问控制列表表号,(标准ACL是1~99)
source-address 为源IP地址例:192.168.1.10 0.0.0.255
LOG为可选项,-----生成日志信息(我一般不写)
2,access-group命令:ACL与进、出站接口联系起来
R1(config)#interface serial 0/0
R1(config-if)#ip access-group (access-list-number) in / out
例:R1(config)#ip access-group 1 out
把access-list-number-------为ACL表号,这里是指出这一接口链接到那ACL表号
in/out 把这ACL表号应用到这接口的in或out方向
扩展访问控制列表
1,扩展访问控制列表通过启用基于源和目的地址、传输层协议和应用层端口号的过滤来提供更高程度的控制
2,扩展访问控制列表行中的每一个条件都必须匹配才认为该行被匹配,才会施加允许或拒绝条件。
R2(config)#access-list (access-list-number) permit / deny (protocol) (source ip-address)
(destination ip-address) (operator operan) [log]
例:R2(config)#access-list 110 deny TCP 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255 ed 80
(access-list-number )扩展ACL的表号,100~199数字标识扩展ACL
(protocol)用来指定协议类型如IP、TCP、UDP、ICMP、GRE、以及IGRP
(source ip-address)源IP地址192.168.1.0 0.0.0.255 (反码)
(destination ip-address)目标IP地址172.16.0.0 0.0.255.255(反码)
(operator operan)---lt(小于),gt(大于),eq(等于) ,neq(不等于) 和一个端口号
ACL的通配符
1,通配符any
例:ACL允许访问任何目的地址:
router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
可以改写成:
router(config)#access-list 1 permit any
2,通配符host
例:ACL拒绝特定的主机地址
router(config)#access-list 1 permit 172.16.1.10 0.0.0.0
可以改写成:
router(config)#access-list 1 permit host 172.16.1.10
查看ACL列表
显示IP接口信息
router# show ip interface fastethernet 0/0
显示所有ACL的内容
router#show access-list
**基本类型的访问控制列表**
标准访问控制列表
扩展访问控制列表
**其他种类的访问控制列表**
基于MAC地址的访问控制列表
基于时间的访问控制列表
----------------------------------------------------------------------------------------------------
====================================================================================================
第十三章 网络地址转换(network address translation NAT)
通过将内部私网的IP地址翻译成全球唯一的公网IP地址
NAT的实现方式:
#静态转换(static translation)
#动态转换(dynamic translatin)
#端口多路复用(port address translation ,PAT)
静态NAT的配置:
静态转换就是将内部网络的私有IP地址转换为公有合法IP地址。IP地址的对应关系是一对一的,即某个私有IP只转换成某个固定的公有合法IP地址。
1,在路由配置私有网关全局内部IP
R1(config)# interface serial f0/0
R1(config-if)#ip address 61.159.62.129 255.255.255.248
配置全局内部IP
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.100.1 255.255.255.0
2,在内部局部和内部全局地址之间建立静态地址转换
R1(config)#ip nat inside source static (local-ip global-ip)
例:
R1(config)#ip nat inside source static 192.168.100.2 61.159.62.130
R1(config)#ip nat inside source static 192.168.100.3 61.159.62.131
R1(config)#ip nat inside source static 192.168.100.4 61.159.62.132
3,在内部和外部接口上启用NAT
R1(config)#interface serial 0/0
R1(config-if)#ip nat outside
R1(config)#interface f0/0
R1(config-if)#ip nat inside
动态NAT配置:
动态转换是指将内部网络的私有地址转换为公有合法地址时,对应关系是不确定的,是随机的。
1,在内部和外部端口配置私有IP跟合法IP
R2(config-if)#ip address 61.159.62.129 255.255.255.192
R2(config-if)#ip address 172.16.100.1 255.255.255.0
2,定义内部网络中允许访问外部网络的访问控制列表
R2(config)#access-list (access-list-number)permit (source ip-address)
access-list-number为1~99之间数字
R2(config)#access-list 1 permit 172.16.100.0 0.0.0.255
3,定义合法地址池
R2(config)#ip nat pool (pooname) (star-ip end-ip) netmask (netmask) prefix-leng 24 type rotary
pool poolname地址池名字
star-ip eng-ip 地址池内起始和终止IP地址
netmask netmask :填子网掩码
prefix-length 24 :子网掩码,以掩码中1的数量表示。两种掩码表示方式,任意使用一种
R2(config)#ip nat pool test0 61.159.62.130 61.159.62.192 netmask 255.255.255.192
4,实现网络地址转换
R2(config)#ip nat inside source list 1 pool test0
把list 1 转换成 test0
5.在接口上启用NAT
R2(config)#interface serial 0/0
R2(config-if)#ip nat outside
R2(config)#interface f0/0
R2(config-if)#ip nat inside
-----------------------
PAT的配置
端口多路复用是改变外出数据包的源IP地址和源端口并进行端口转换,即端口地址转换采用端口多路复用方式
1,配置内外部的端口IP地址:
...........不写
2,定义内部标准访问控制列表
R3(config)#access-list 1 permit 10.10.10.0 0.0.0.255
R3(config)#access-list 2 permit 20.20.20.0 0.0.0.255
R3(config)#access-list 3 permit 30.30.30.0 0.0.0.255
有多个网段要访问外网
3,定义合法IP地址池
R3(config)#ip nat pool poolname 202.96.128.166 202.96.128.166 netmask 255.255.255.128
由于只有一个地址,开始地址和终止地址都是相同的
4,设置复用动态IP地址转换
R3(config)#ip nat inside source list 1 pool poolname overload
R3(config)#ip nat inside source list 2 pool poolname overload
R3(config)#ip nat inside source list 3 pool poolname overload
以为多个网段要访问外网,所以就必须把几个允许的网段都配上
5,在端口上启用NAT
R3(config)#interface serial 0/0
R3(config-if)#ip nat outside
R3(config)#interface f0/0
R3(config-if)#ip nat inside
通过使用同一个虚拟IP地址和虚拟MAC地址,为IP网络提供容错和增强的路由选择功能。
终端设备发现可用路由器有下面几中方式:
默认网关(Default Gateway),代理ARP(Proxy ARP),ICMP路由器发现协议(ICMP Router Discovery Protocol ,IRDP)。
--各路由的作用:
--活跃路由器的功能是转发发送到虚拟路由器的数据包。
--备份路由器的功能是监视HSRP组的运行状态。
--虚拟路由器(即该LAN上的网关)的功能是向最终用户代表一台可以连续工作的路由器。
HSRP备份组可以包含其他路由器,这些路由器监视Hello消息,但不做应答,这些路由器转发任何经由它们的数据包。
HSRP的6种状态,0初始,1学习,2监听,4发言,8备份,16活跃
----* HSRP的基本配置
1,将路由器配置为HSRP的成员
routerA(config)#interface f0/1
routerA(config-if)#standby (group-number) ip (virtual-ip-address)
变量group-number(任选)--指示该端口所属的HSRP组。默认组为0,可选0~255.
变量virtual-ip-address(任选)---指虚拟HSRP路由器的IP地址
2从HSRP组中取消一个端口
routerA(config)#interface fastethernet 0/1
routerA(config-if)#no standby group ip 那么路由A的F0/1端口就脱离了备份组
关闭端口重定向功能,
router(config-if)#no ip redirects
3,配置HSRP的优先级
router(config-if)#standby (group-number) priority (priority-value)
优先级可选0~255,默认为100
4,配置HSRP的占先权
要想原来的活跃路由能够从优先级较低的新活跃路由器那里重新取回转发权:
router(config-if)#standby (group-number) preempt(一般两台路由器都配置)
5,配置Hello消息的计时器
router(config-if)#standby (group-number) times (helltime)(holdtime)
Hello间隔时间默认为3s,可选1~255。 保持时间最少是Hello时间的3倍,默认为10s
6,配置端口跟踪
router(config-if)#standby group-number track type-number interface-priority
group-number为组号,type说明了将跟踪端口的端口类型(serial/fastethernet)
number说明跟踪的端口编号,interface-priority(任选)说明当跟踪的端口失效时路由器的热备份优先级将降低的数值。
当端口变为可用时,路由器的优先级将加上该数值。默认为10
router(config-if)#no standby track (关闭端口跟踪
7,检查HSRP的状态
router#show standby (rype-number) (group) brief
type-number(任选)说明要显示的目标端口类型和序号
group(任选)说明了要显示端口的某个具体HSRP组
router#show standby
8,启动调测功能
router#debug standby (该命令可能会将该路由器系统资源耗尽,实际使用中应该特别小心。
------------------------------------------------------------------------------------------------
===============================================================================================
第十二章 访问控制列表ACL(access control list)
.........................................
标准访问控制列表配置命令
1,标准访问控制列表根据包的源IP地址来允许(permit)或拒绝(deny)数据包
R1(config)#access-list (access-list-number) permit / deny (source-address) [log]
例:R1(config)#access-list 1 permit 172.16.2.0 0.0.0.255
access-list-number是访问控制列表表号,(标准ACL是1~99)
source-address 为源IP地址例:192.168.1.10 0.0.0.255
LOG为可选项,-----生成日志信息(我一般不写)
2,access-group命令:ACL与进、出站接口联系起来
R1(config)#interface serial 0/0
R1(config-if)#ip access-group (access-list-number) in / out
例:R1(config)#ip access-group 1 out
把access-list-number-------为ACL表号,这里是指出这一接口链接到那ACL表号
in/out 把这ACL表号应用到这接口的in或out方向
扩展访问控制列表
1,扩展访问控制列表通过启用基于源和目的地址、传输层协议和应用层端口号的过滤来提供更高程度的控制
2,扩展访问控制列表行中的每一个条件都必须匹配才认为该行被匹配,才会施加允许或拒绝条件。
R2(config)#access-list (access-list-number) permit / deny (protocol) (source ip-address)
(destination ip-address) (operator operan) [log]
例:R2(config)#access-list 110 deny TCP 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255 ed 80
(access-list-number )扩展ACL的表号,100~199数字标识扩展ACL
(protocol)用来指定协议类型如IP、TCP、UDP、ICMP、GRE、以及IGRP
(source ip-address)源IP地址192.168.1.0 0.0.0.255 (反码)
(destination ip-address)目标IP地址172.16.0.0 0.0.255.255(反码)
(operator operan)---lt(小于),gt(大于),eq(等于) ,neq(不等于) 和一个端口号
ACL的通配符
1,通配符any
例:ACL允许访问任何目的地址:
router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
可以改写成:
router(config)#access-list 1 permit any
2,通配符host
例:ACL拒绝特定的主机地址
router(config)#access-list 1 permit 172.16.1.10 0.0.0.0
可以改写成:
router(config)#access-list 1 permit host 172.16.1.10
查看ACL列表
显示IP接口信息
router# show ip interface fastethernet 0/0
显示所有ACL的内容
router#show access-list
**基本类型的访问控制列表**
标准访问控制列表
扩展访问控制列表
**其他种类的访问控制列表**
基于MAC地址的访问控制列表
基于时间的访问控制列表
----------------------------------------------------------------------------------------------------
====================================================================================================
第十三章 网络地址转换(network address translation NAT)
通过将内部私网的IP地址翻译成全球唯一的公网IP地址
NAT的实现方式:
#静态转换(static translation)
#动态转换(dynamic translatin)
#端口多路复用(port address translation ,PAT)
静态NAT的配置:
静态转换就是将内部网络的私有IP地址转换为公有合法IP地址。IP地址的对应关系是一对一的,即某个私有IP只转换成某个固定的公有合法IP地址。
1,在路由配置私有网关全局内部IP
R1(config)# interface serial f0/0
R1(config-if)#ip address 61.159.62.129 255.255.255.248
配置全局内部IP
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.100.1 255.255.255.0
2,在内部局部和内部全局地址之间建立静态地址转换
R1(config)#ip nat inside source static (local-ip global-ip)
例:
R1(config)#ip nat inside source static 192.168.100.2 61.159.62.130
R1(config)#ip nat inside source static 192.168.100.3 61.159.62.131
R1(config)#ip nat inside source static 192.168.100.4 61.159.62.132
3,在内部和外部接口上启用NAT
R1(config)#interface serial 0/0
R1(config-if)#ip nat outside
R1(config)#interface f0/0
R1(config-if)#ip nat inside
动态NAT配置:
动态转换是指将内部网络的私有地址转换为公有合法地址时,对应关系是不确定的,是随机的。
1,在内部和外部端口配置私有IP跟合法IP
R2(config-if)#ip address 61.159.62.129 255.255.255.192
R2(config-if)#ip address 172.16.100.1 255.255.255.0
2,定义内部网络中允许访问外部网络的访问控制列表
R2(config)#access-list (access-list-number)permit (source ip-address)
access-list-number为1~99之间数字
R2(config)#access-list 1 permit 172.16.100.0 0.0.0.255
3,定义合法地址池
R2(config)#ip nat pool (pooname) (star-ip end-ip) netmask (netmask) prefix-leng 24 type rotary
pool poolname地址池名字
star-ip eng-ip 地址池内起始和终止IP地址
netmask netmask :填子网掩码
prefix-length 24 :子网掩码,以掩码中1的数量表示。两种掩码表示方式,任意使用一种
R2(config)#ip nat pool test0 61.159.62.130 61.159.62.192 netmask 255.255.255.192
4,实现网络地址转换
R2(config)#ip nat inside source list 1 pool test0
把list 1 转换成 test0
5.在接口上启用NAT
R2(config)#interface serial 0/0
R2(config-if)#ip nat outside
R2(config)#interface f0/0
R2(config-if)#ip nat inside
-----------------------
PAT的配置
端口多路复用是改变外出数据包的源IP地址和源端口并进行端口转换,即端口地址转换采用端口多路复用方式
1,配置内外部的端口IP地址:
...........不写
2,定义内部标准访问控制列表
R3(config)#access-list 1 permit 10.10.10.0 0.0.0.255
R3(config)#access-list 2 permit 20.20.20.0 0.0.0.255
R3(config)#access-list 3 permit 30.30.30.0 0.0.0.255
有多个网段要访问外网
3,定义合法IP地址池
R3(config)#ip nat pool poolname 202.96.128.166 202.96.128.166 netmask 255.255.255.128
由于只有一个地址,开始地址和终止地址都是相同的
4,设置复用动态IP地址转换
R3(config)#ip nat inside source list 1 pool poolname overload
R3(config)#ip nat inside source list 2 pool poolname overload
R3(config)#ip nat inside source list 3 pool poolname overload
以为多个网段要访问外网,所以就必须把几个允许的网段都配上
5,在端口上启用NAT
R3(config)#interface serial 0/0
R3(config-if)#ip nat outside
R3(config)#interface f0/0
R3(config-if)#ip nat inside
1.2,复用路由外部接哭地址
1,设置内外部接口IP地址
..........不写(同上)
2,定义内部访问控制列表
.............不写(同上)
3,定义合法IP地址池
.....由于是直接使用外部接口地址,所以不用再定义IP地址池
4,设置复用动态IP地址转换
R3(config)#ip nat inside source list 1 interface s0/0 overload
5,在接口上启用NAT
.0........不写(同上)
TCP负载均衡配置
1,设置内外部端口的IP地址
.........同上,不写
2,为虚拟主机定义一个NAT地址集
R3(config)#access-list 2 permit 10.10.10.200
3,给真实主机定义一个NAT地址集
R3(config)#ip nat pool real-host 10.10.10.1 10.10.10.3 prefis-length 24 type rotary
真实主机地址为10.10.10.1~10.10.10.3 ,网络前缀长度为24位,该地址集为循环(rotary)型
4,设置访问控制列表与NAT地址集之间的映射
R3(config)#ip nat inside destination list 2 pool real-lost
表示在访问控制列表2所允许的虚拟主机地址和真实主机地址集之间建立映射
5,在内部和外部端口上启用NAT
..........不写同上
NAT的检查与排错
router#show ip nat transltions
显示当前存在的转换
router#show ip nat statistics 查看NAT的统计信息
调试NAT转换
router#debug ip nat
1,设置内外部接口IP地址
..........不写(同上)
2,定义内部访问控制列表
.............不写(同上)
3,定义合法IP地址池
.....由于是直接使用外部接口地址,所以不用再定义IP地址池
4,设置复用动态IP地址转换
R3(config)#ip nat inside source list 1 interface s0/0 overload
5,在接口上启用NAT
.0........不写(同上)
TCP负载均衡配置
1,设置内外部端口的IP地址
.........同上,不写
2,为虚拟主机定义一个NAT地址集
R3(config)#access-list 2 permit 10.10.10.200
3,给真实主机定义一个NAT地址集
R3(config)#ip nat pool real-host 10.10.10.1 10.10.10.3 prefis-length 24 type rotary
真实主机地址为10.10.10.1~10.10.10.3 ,网络前缀长度为24位,该地址集为循环(rotary)型
4,设置访问控制列表与NAT地址集之间的映射
R3(config)#ip nat inside destination list 2 pool real-lost
表示在访问控制列表2所允许的虚拟主机地址和真实主机地址集之间建立映射
5,在内部和外部端口上启用NAT
..........不写同上
NAT的检查与排错
router#show ip nat transltions
显示当前存在的转换
router#show ip nat statistics 查看NAT的统计信息
调试NAT转换
router#debug ip nat
====================================================================================================
-----------------------------------------------------------------------------------------------------
第十四章 IPSec ×××的配置
SA(Security Associations,安全联盟)的概念是IPSec的核心.SA定义了各种类型的安全措施
(包含:*提供的服务, *算法, *密钥)
例子:f0/0(50.50.50.50/24接内网)A-router s0/0(20.20.20.21/24接出口)《--------------》s0/0(20.20.20.20/24接出口)B-router f0/0(60.60.60.60/24,接内网)
------------------------------
配置IKE协商:
1,启用IKE
router(config)#crypto isakmp enable 默认Cisco IOS中是激活的
2,建立IKE协商策略
router(config)#crypto isakmp policy 1 (1是IKE策略的编号,取值1~10000,策略编号越低,优先级就越高。
3,配置IKE协商参数
router(config-isakmp)#hash {md5或sha1} (hash命令被用来设置密钥认证所用的算法,有MD5和SHA-1两种
router(config-isakmp)#encryption des或3des (encryption命令被用来设置加密所有的算法,3DES 比DES算法更强
router(config-isakmp)authentication pre-share
authentication pre-share 命令告诉路由要使用预先共享的密钥,此密码是手工指定的
router(config-isakmp)lifetme (seconds)
lifetime指定SA的生存时间,超时后,SA将被重新协商(默认为86440)
4,设置共享密钥和对端地址
router(config)#crypto isakmp key password123 address 20.20.20.20
SA是单向的,要此命令设置预先共享的密码和对端的IP地址。(password123为密码)在设置密码时,×××链路两端的密码必须是相同的。IP 地址必须是对端的接口IP
----------------------------------------
配置IPSec相关参数
1,指定Crypto访问列表
Crypto访问控制列表必须是互为镜像的,如:A加密了所有流向B的TCP流量,则B必须加密流回A的所有TCP的流量 (记得必须要在两端的路由都要配
route(config)#access-list 101 {deny或permit} ip host 20.20.20.21 host 20.20.20.20
101为access-list的列表编号, 命令access-list 101 ip host 20.20.20.21 host 20.20.20.20,将所有从20.20.20.21发往20.20.20.20的报文全部加密,另一种配法:
router(config)#access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255
2,配置IPSec传输模式
传输模式设置定义用于××× 隧道的认证类型、完整性、和负载加密。
router(config)#crypto ipsec transform-set transform-name ah-md5-hmac esp-3des esp-md5-hma
3030
transform-name是传输模式的名字,
传输模式可选择的参数有:
---*AH验证参数:ah-md5-hmac、 ah-sha-hmac
---*ESP加密参数:esp-des、esp-3des、 esp-null
---*ESP验证参数:esp-md5-hma、 esp-sha-hmac
---------------------------------------------
配置端口的应用
1,设置Crypto Map
上面又了所有构造×××隧道需要的信息,下面需要把它整合在一起,应用到一个接口上去。
--*保护的流量(Crypto访问列表)
--*使用的IPSec转换设置
--*使用的IPSec转换设置
--*手工或IKE交换密钥的使用等(在Crypto Map类型中声明)
1,创建Crypto Map
router(config)#crypto map (map-name) 1 ipsec-isakmp
map-name为map的名字,1为map的优先级,取值为1~65535,值小,优先级最高。参数ipsec-isakmp表明此
IPSec连接将采用IKE自动协商。
配置Crypto Map:
router(config-crypto-map)#match address (access-list-number)
match address 指定此Crypto Map使用的访问控制列表,参数access-list-number必须同前面配置的Crypto访问控制列表的编号相同
router(config_crypto-map)#set peer 20.20.20.21
set peer 指定了此Crypto Map所对应×××链路对端的IP地址,参数ip-address必须同前面在IKE 中配置的对端IP地址相同。
router(config-crypto-map)#set transform-set (transform-name)
set transform-set 指定此Crypto Map所用的传输模式,此模式应该在之前配置IPSec时已经定义,即此传输模式名称是之前用命令Crypto ipsec transform-set配置的名称
2,应用Crypto Map到端口
下面只需要将上面配置好的Crypto应用到对应的接口上,×××就可以生效。
router(config)#interface s0/0
router(config-if)#crypto map (map-name)
---------------------------------------
IPSec ×××配置的检查
显示所有尝试协商的策略以及最后的默认策略设置
router#show crypto isakmp policy
显示在路由上设置的transform-set
router#show crypto ipsec transform-set
显示当前安全联盟使用的设置
router#show crypto ipsec sa
显示所有配置在路由上的Crypto Map
router#show crypto map
========================================================================================
OSPF路由协议和端口限速命令还没写上;这个要以后再补上
第十六章 IPv6配置
1.配置接口的ipv6的地址
Router(config)#interface f0/0
Router(config-if)#ipv6 address fec0:0:0:1001::1/64
2.在路由器上启用ipv6的流量转发
Router(config)#ipv6 unicast-routing
3.在路由器上启用ipv6的rip路由协议
Router(config)#ipv6 routet rip cisco
4.在接口上应用ipv6的rip协议
Router(config)#interface f0/0
Router(config-if)#ipv6 rip cisco enable
-----------------------------------------------------------------------------------------------------
第十四章 IPSec ×××的配置
SA(Security Associations,安全联盟)的概念是IPSec的核心.SA定义了各种类型的安全措施
(包含:*提供的服务, *算法, *密钥)
例子:f0/0(50.50.50.50/24接内网)A-router s0/0(20.20.20.21/24接出口)《--------------》s0/0(20.20.20.20/24接出口)B-router f0/0(60.60.60.60/24,接内网)
------------------------------
配置IKE协商:
1,启用IKE
router(config)#crypto isakmp enable 默认Cisco IOS中是激活的
2,建立IKE协商策略
router(config)#crypto isakmp policy 1 (1是IKE策略的编号,取值1~10000,策略编号越低,优先级就越高。
3,配置IKE协商参数
router(config-isakmp)#hash {md5或sha1} (hash命令被用来设置密钥认证所用的算法,有MD5和SHA-1两种
router(config-isakmp)#encryption des或3des (encryption命令被用来设置加密所有的算法,3DES 比DES算法更强
router(config-isakmp)authentication pre-share
authentication pre-share 命令告诉路由要使用预先共享的密钥,此密码是手工指定的
router(config-isakmp)lifetme (seconds)
lifetime指定SA的生存时间,超时后,SA将被重新协商(默认为86440)
4,设置共享密钥和对端地址
router(config)#crypto isakmp key password123 address 20.20.20.20
SA是单向的,要此命令设置预先共享的密码和对端的IP地址。(password123为密码)在设置密码时,×××链路两端的密码必须是相同的。IP 地址必须是对端的接口IP
----------------------------------------
配置IPSec相关参数
1,指定Crypto访问列表
Crypto访问控制列表必须是互为镜像的,如:A加密了所有流向B的TCP流量,则B必须加密流回A的所有TCP的流量 (记得必须要在两端的路由都要配
route(config)#access-list 101 {deny或permit} ip host 20.20.20.21 host 20.20.20.20
101为access-list的列表编号, 命令access-list 101 ip host 20.20.20.21 host 20.20.20.20,将所有从20.20.20.21发往20.20.20.20的报文全部加密,另一种配法:
router(config)#access-list 101 permit ip 60.60.60.0 0.0.0.255 50.50.50.0 0.0.0.255
2,配置IPSec传输模式
传输模式设置定义用于××× 隧道的认证类型、完整性、和负载加密。
router(config)#crypto ipsec transform-set transform-name ah-md5-hmac esp-3des esp-md5-hma
3030
transform-name是传输模式的名字,
传输模式可选择的参数有:
---*AH验证参数:ah-md5-hmac、 ah-sha-hmac
---*ESP加密参数:esp-des、esp-3des、 esp-null
---*ESP验证参数:esp-md5-hma、 esp-sha-hmac
---------------------------------------------
配置端口的应用
1,设置Crypto Map
上面又了所有构造×××隧道需要的信息,下面需要把它整合在一起,应用到一个接口上去。
--*保护的流量(Crypto访问列表)
--*使用的IPSec转换设置
--*使用的IPSec转换设置
--*手工或IKE交换密钥的使用等(在Crypto Map类型中声明)
1,创建Crypto Map
router(config)#crypto map (map-name) 1 ipsec-isakmp
map-name为map的名字,1为map的优先级,取值为1~65535,值小,优先级最高。参数ipsec-isakmp表明此
IPSec连接将采用IKE自动协商。
配置Crypto Map:
router(config-crypto-map)#match address (access-list-number)
match address 指定此Crypto Map使用的访问控制列表,参数access-list-number必须同前面配置的Crypto访问控制列表的编号相同
router(config_crypto-map)#set peer 20.20.20.21
set peer 指定了此Crypto Map所对应×××链路对端的IP地址,参数ip-address必须同前面在IKE 中配置的对端IP地址相同。
router(config-crypto-map)#set transform-set (transform-name)
set transform-set 指定此Crypto Map所用的传输模式,此模式应该在之前配置IPSec时已经定义,即此传输模式名称是之前用命令Crypto ipsec transform-set配置的名称
2,应用Crypto Map到端口
下面只需要将上面配置好的Crypto应用到对应的接口上,×××就可以生效。
router(config)#interface s0/0
router(config-if)#crypto map (map-name)
---------------------------------------
IPSec ×××配置的检查
显示所有尝试协商的策略以及最后的默认策略设置
router#show crypto isakmp policy
显示在路由上设置的transform-set
router#show crypto ipsec transform-set
显示当前安全联盟使用的设置
router#show crypto ipsec sa
显示所有配置在路由上的Crypto Map
router#show crypto map
========================================================================================
OSPF路由协议和端口限速命令还没写上;这个要以后再补上
第十六章 IPv6配置
1.配置接口的ipv6的地址
Router(config)#interface f0/0
Router(config-if)#ipv6 address fec0:0:0:1001::1/64
2.在路由器上启用ipv6的流量转发
Router(config)#ipv6 unicast-routing
3.在路由器上启用ipv6的rip路由协议
Router(config)#ipv6 routet rip cisco
4.在接口上应用ipv6的rip协议
Router(config)#interface f0/0
Router(config-if)#ipv6 rip cisco enable
ATEN命令汇总(北大青鸟ATEN课程总结)
一、交换机部分
1、创立、删除VLAN
注意:在配置状态(config)下进行配置。
创建vlan:
switch(config)#vlan vlan-id
命名vlan:
switch(config-vlan)#name vlan-name
或者在database状态下创建并且命名vlan:
switch#vlan database
switch(vlan)#vlan vlan-id name vlan-name
删除vlan:
switch(config-vlan):no vlan vlan-id
switch(vlan)#no vlan vlan-id
查看vlan:
switch#show vlan
switch#show vlan brief
保存设置:
switch#copy running-config startup-config
2.在VLAN中添加、删除端口
注意:进入要分配的端口,在端口状态下。
定义二层端口:
switch(config-if)#swtichport mode access
把端口分配给VLAN:
switch(config-if)#switchport access vlan vlan-id
查看端口的VLAN配置情况:
switch#show interface interface-id switchport
3.在交换机上配置Trunk
注意:在接口状态下进行配置。
自动协商是否成为中继端口:
switch(config-if)#switchport mode dynamic auto
把端口设置为中继端口并进行主动协商:
switch(config-if)#switchport mode dynamic desirable
把端口设置为强制中继端口:
switch(config-if)#switchport mode dynamic trunk
将端口设定为永久中继模式,但关闭协商机制:
switch(config-if)#switchport nonegotiate
查看有关switchport的设置:
switch#show interface interface-id switchport
4.从Trunk中添加、删除VLAN
注意:在端口配置状态下进行配置,并且端口是中继状态。
将端口配置为中继端口:
switch(config-if)#switchport mode trunk
在Trunk中删除一个VLAN:
switch(config-if)#switchport trunk allowed vlan remove vlan-id
在Trunk中添加一个VLAN:
switch(config-if)#switchport trunk allowed vlan add vlan-id
5.在交换机上配置Channel(以太通道):
注意:在接口模式下配置,并且配置Channel的接口必须是相连的,通道两边要在同一个组中。
如果使用PAgP协议:
选择需要配置Channel的端口,进入虚拟接口配置:
switch(config)#interface range fasternet0/1 - 2
被动协商配置channel:
switch(config-if)#channel-group channel-group-number mode auto
主动协商配置Channel:
switch(config-if)#channel-group channel-group-number mode desirable
将端口总是捆绑为一个以太通道,不发生协商:
switch(config-if)#channel-group channel-group-number mode on
如果使用LACP协议,配置如下:
被动协商配置channel:
switch(config-if)#channel-group channel-group-number mode passive
主动协商配置Channel:
switch(config-if)#channel-group channel-group-number mode active
查看Channel配置:
switch#show etherchannel channel-group-number summary
6.指定在组成Channel的链路之间实现负载均衡技术:
注意:dst-mac、src-mac参数用来指定基于目的mac还是源mac实现负载均衡。
在已经组成的Channel中实现基于目的地址的负载均衡:
switch(config-if)#port-channel load-balance dst-mac
在已经组成的Channel中实现基于源地址的负载均衡:
switch(config-if)#port-channel load-balance src-mac
查看负载均衡的配置:
switch#show etherchannel load-balance
查看PAgP的状态信息:
switch#show pagp channelgroup-number counters
7.创建VTP域和配置命令:
注意:在配置状态下。
创建一个VTP域:
swtich(config)#vtp domain domain-name
配置VTP服务器模式:
switch(config)#vtp mode server
配置VTP客户端模式:
switch(config)#vtp mode client
配置VTP透明模式:
switch(config)#vtp mode transparent
配置VTP域口令:
switch(config)#vtp password mypassword
在整个域内启动VTP修剪:
switch(config)#vtp pruning
从可修剪列表中去除VLAN:
switch(config)#switchport trunk pruning vlan remove vlan-id
查看VTP的修剪配置:
switch#show vtp status
switch#show interface interface-id switchport
VTP版本的配置(默认情况下使用的是version 1):
switch(config)#vtp version 2
8.Spanning-tree的配置:
注意:在配置模式下操作。
在VLAN上启用生成树:
switch(config)#spanning-tree vlan vlan-id
查看Spanning-tree配置:
switch#show spanning-tree summary
查看Spanning-tree的详细状态信息:
switch#show spanning-tree vlan vlan-id detail
使用命令建立根网桥:
switch(config)#spanning-tree vlan vlan-id root primary
使用命令建立备用根网桥(当根桥故障的时候,自动成为根桥):
switch(config)#spanning-tree vlan vlan-id root secondary
使用命令修改优先级配置根网桥(取值范围0-65535):
switch(config)#spanning-tree vlan vlan-id priority bridge-priority
在接口模式下使用命令修改端口成本(取值范围0-200000000,如果不指定VLAN则修改所有VLAN的端口成本):
switch(config-if)#spanning-tree vlan vlan-id cost cost
在接口模式下使用命令修改端口优先级(取值范围0-255):
switch(config-if)#spanning-tree vlan vlan-id port-priority priority
查看配置:
switch#show spanning-tree interface interface-id detail
9.修改Spanning-tree计时器:
注意:在配置模式下修改。
修改HELLO时间(缺省2秒,最大10秒):
switch(config)#spanning-tree vlan vlan-id hello-time seconds
修改转发延迟计时器(缺省15秒,取值范围4-30):
switch(config)#spanning-tree vlan vlan-id forward-time seconds
修改最大老化时间(缺省20秒,取值范围6-40):
switch(config)#spanning-tree vlan vlan-id max-age seconds
查看配置:
switch#show spanning-tree vlan vlan-id
10.速端口和上行速链路的配置:
注意:速端口在接口模式下配置,上行速链路在配置模式下配置。
启用速端口(配置在连接到终端PC机的接口):
switch(config-if)#spanning-tree portfast
上行速链路的配置(已经配置了网桥优先级的VLAN不能配置上行速链路):
恢复VLAN的缺省值:
switch(config)#no spanning-tree vlan vlan-id priority
配置上行速链路(pkts-per-second缺省150,取值范围0-32000):
switch(config)#spanning-tree uplinkfast max-updata-rate pkts-seconds
查看上行速链路的配置:
switch#show spanning-tree summary
二、路由器部分
1.静态路由的配置:
注意:在配置模式下。
普通静态路由的配置:
router(config)#ip route 目的地址目的地址的掩码下一条地址
浮动静态路由的配置(在普通静态路由命令的最后加上管理距离,通常与普通静态路由的配置一起使用,当普通静态路由出现故障,浮动静态路由便开始工作):
router(config)#ip route 目的地址目的地址的掩码下一条地址 50
等价路由(不写管理距离,写两条普通静态路由,当其中一条通静态路由出现故障,另一条静态路由便开始工作):
router(config)#ip route 目的地址目的地址的掩码下一条地址
2.动态路由RIP-v1的配置:
注意:在配置模式下配置,RIP-v1是有类路由,不能携带子网掩码,因此如果被打断,需要使用辅助地址。
启动RIP进程:
router(config)#router rip
指定每一个需要运行rip协议的主网络:
router(config-router)#network 每一条直连地址
3.配置Passive端口(指定一条链路不启用RIP协议):
router(config-router)#passive-interface-id
4.单播更新的配置(对相连的一条串行链路进行有选择的RIP协议配置):
首先将端口配置为Passive:
router(config-router)#passive-interface-id
然后选择要进行rip协议的邻居设备:
router(config-router)#neighbor 与邻居的直连地址
5.不连续的子网:
注意:不连续的子网,指以最两边的地址为正常IP段被中间的另一IP段打断,需要在中间的另一IP段配置与原IP段相符的辅助地址,并且network也要做辅助地址的rip。
在接口模式中配置辅助地址(要与被打断的IP段相符):
router(config-if)#ip address IP地址子网掩码 secondary
6.RIP不同版本的配置:
注意:RIP-v2是无类路由,在传送过程中携带子网掩码,不存在被打断的问题,也不需要辅助地址,并且使用组播方式通告消息到目的地址224.0.0.9。
RIP-v1的配置(缺省version 1):
router(config-)#router rip
RIP-v2的配置:
router(config-)#router rip
router(config-router)#version 2
7.RIP-v2与RIP-v1相结合(使用send version和receive
version命令指定发送和接受的时候所使用的版本):
注意:在接口模式下配置,并且两端相连的端口收发标准要相符。
使用version 1收发:
router(config-if)#ip rip send version 1
router(config-if)#ip rip receive version 1
使用version 2收发:
router(config-if)#ip rip send version 2
router(config-if)#ip rip receive version 2
同时使用version 1 2收发:
router(config-if)#ip rip send version 1 2
router(config-if)#ip rip receive version 1 2
8.关闭水平分割:
注意:在接口模式下操作,水平分隔在RIP协议用来防止路由环。
router(config-if)#no ip split-horizon
9.不连续的子网和无类路由如何使被通告的子网通过主网络边界(RIP-v1与RIP-v2一样,缺省行为要在主网络边界上进行路由汇总,因此要关闭路由汇总功能以便允许被通告的子网通过主网络边界):
router(config-router)#no auto-summary
10.OSPF的配置:
注意:在配置模式下,注意配置的直连主网络段所在的area(区域)。
启动OSPF进程:
router(config)#router ospf 进程号
配置主网络和区域:
router(config)#network 主机地址 0.0.0.0 area area-id
router(config)#network 网段反子网掩码 area area-id
查看OSPF配置DNS实现routerID到名称的映射:
router#show ip ospf neighbor
11.OSPF的辅助地址:
12.特殊的OSPF配置:
注意:由于各种特殊情况的出现,需要及时调整所受到影响的区域设备或者是边界设备配置。
配置STUB区域(一个区域内都要做配置):
router(config)#area area-id stub
修改ABR的代价值(只有当不止一个ABR并且一台ABR故障的时候才有意义):
router(config)#area area-id default-cost cost
配置TOTALLY STUB(直在ABR做配置,其他同区域设备只做STUB):
router(config)#area area-id stub no-summary
13.配置NSSA区域:
注意:连接外部AS的时候才会用到,也就是说连接一个不是OSPF的区域,那么需要配置静态路由或者RIP。
重注入(在ASBR上操作):
router(config)#redistribute rip metric 10
配置NSSA区域(区域内都要配置):
router(config)#area area-id nssa
配置TOTALLY NSSA区域(只当一个设备同时成为ABR与ASBR的时候,才需要做这样的配置,只在该设备所配置即可,其它同区域设备为普通NSSA):
router(config)#area area-id nssa no-summary
14.解决去除了no-summary之后,ABR不在发送LSA类型3的缺省路由,因此外部网络无法从NSS区域内部到达的问题:
注意:其中(no-redistribution表示没有重注入),(default-information-originate表示通告一条缺省路由到NSSA区域,此时LSA3457类型都NO掉)。
router(config)#area area-id nssa no-redistribution
default-information-originate
15.地址汇总:
注意:在OSPF上配置地址汇总时,最好在ABR上增加一条指向null0口的默认路由,防止路由回环。
router(config)#area area-id range 汇总的地址段和掩码
router(config)#ip route 汇总的地址段和掩码 Null0
16.虚链路:
注意:虚链路总是建立在ABR路由器之间的,至少它们之中有一个ABR路尤其是必须和区域0相连的,并且虚链路的两端,都必须做指向对方的虚链路配置。
routerA(config)#area area-id virtual-link B地址
routerB(config)#area area-id virtual-link A地址
17.HSRP(热备份路由)的配置:
注意:在接口模式下配置,HSRP需要产生一个虚拟路由,并且一个组内,只能产生一个虚拟路由。
将路由器配置为HSRP的成员(一个组内的路由要指定同一个虚拟路由地址):
router(config-if)#standby group-number 虚拟路由地址
配置HSRP的优先级(缺省100,取值范围:0-255):
router(config-if)#standby group-number priority 优先级
配置HSRP的占先权(当路由恢复工作的时候,依靠占先权重新得到活跃路由的身份):
router(config-if)#standby group-number preempt
配置HSRP中HELLO消息的计时器(缺省3秒,取值范围1-255,hello-interval表示保持时间,holdtime表示老化时间):
router(config-if)#standby group-number times hello-interval holdtime
配置HSRP的端口跟踪(在入口跟踪出口,并需要配置一旦发现出口故障时需要降低的优先级,缺省降低10):
router(config-if)#standby group-number track 要跟踪的端口 interface-priority
关闭端口跟踪:
router(config-if)#no standby group-number track
查看HSRP的详细信息:
router#show standby
查看HSRP的状态(type-number指要显示的端口类型或者端口号,group指配置的HSRP组):
router#show standby type-number group brief
18.标准ACL(访问控制列表)的配置(越是要求严谨的越要放在前面,命令从上到下执行):
注意:在配置模式下操作,配置结束后,一定要在出口或者入口执行ACL,标准访问控制列表的表号为1-99,只能根据源地址进行控制。
配置允许的标准ACL(source为源地址,可以是主机地址,也可以是一个网段):
router(config)#access-list access-list-number permit source
配置拒绝的标准ACL:
router(config)#access-list access-list-number deny source
查看ACL中的内容:
router#show access-list
在入口应用ACL(在接口模式):
router(config-if)#ip access-group group-number in
在出口应用ACL(在接口模式):
router(config-if)#ip access-group group-number out
19.扩展ACL的应用(扩展访问列表的表号为100-199,扩展访问列表可以根据源和目标以及协议和端口进行配置):
注意:在配置模式下操作(source & destination指源地址和目的地址,operator
port指大于或小于或等于或不等于一个端口号,log指生成日志)。
router(config)#access-list access-list-number [permit/deny] protocol [source
source-wildcard destination destination-wildcard] [operator port] [established]
[log]
应用扩展ACL:
在入口应用ACL(在接口模式):
router(config-if)#ip access-group group-number in
在出口应用ACL(在接口模式):
router(config-if)#ip access-group group-number out
命名ACL(standard标准;extended扩展):
router(config)#ip access-list [standard/extended] name
举例:创建拒绝来自172.16.4.0去往172.16.3.0的FTP流量的ACL,并且应用到街口的出方向。
router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0
0.0.0.255 eq 21
router(config)#access-list 101 permit ip any any
router(config)#ip access-group 101 out
20.NAT/PAT(网络地址转换)的配置:
静态NAT的配置(在配置模式下操作,在内部局部地址内部全局地址之间建立静态地址转换):
router(config)#ip nat inside source static 内部局部地址内部全局地址
在内部和外部端口上启用NAT(依据实际情况选择入口和出口):
router(config-if)#ip nat outside
router(config-if)#ip nat inside
查看NAT配置:
router#show ip nat translations
21.动态NAT配置(需要结合使用ACL,允许一个段访问地址池):
定义合法IP地址池:
router(config)#ip nat pool 地址池名称起始地址中止地址 netmask 子网掩码
实现网络地址转换(在配置模式中,将由access-list制定的内部局部地址与指定的内部全局地址池进行地址转换):
router(config)#ip nat inside source list 访问列表标号 pool 内部全局地址池名字
在内部和外部端口上启用NAT(依据实际情况选择入口和出口):
router(config-if)#ip nat outside
router(config-if)#ip nat inside
22.PAT的配置(需要结合使用ACL,允许一个段访问地址):
设置复用动态IP地址转换:
router(config)#ip nat inside source list 访问列表标号 pool 内部全局地址池名字 overload
以端口复用方式,将访问控制列表1中的局部地址转换为onlyone地址池中定义的全局IP地址:
router(config)#ip nat inside source list 1 pool onlyone overload
在全局配置模式中,设置在内部的本地地址与内部合法地址IP地址之间建立动态地址转换:
router(config)#ip nat inside source list 1 interface interface-id
overload
23.TCP负载均衡配置:
举例:
假定有3个服务器10.1.1.1、10.1.1.2和10.1.1.3,使用一个虚拟主机10.1.1.127来代表这个服务器组。要求利用NAT技术在三个服务器之间实现负载平衡。
设置外部端口的IP地址:
router(config-if)#ip address 172.20.7.1 255.255.255.224
设置内部端口:
router(config-if)#ip address 10.1.1.254 255.255.255.0
为虚拟主机定义一个标准的IP访问列表:
router(config)#access-list 2 permit 10.1.1.127
给真实主机定义一个NAT地址集:
router(config)#ip nat pool real-host 10.1.1.1 10.1.1.3 prefix-length 24 type
rotary
此命令表示:真实主机地址从10.1.1.1到10.1.1.3,网络前缀长度为24,且该地址集为循环型。
设置访问控制列表与NAT地址集之间的映射:
router(config)#ip nat inside destination list 2 pool real-host
在内部和外部端口上启用NAT:
router(config-if)#ip nat outside
router(config-if)#ip nat inside
该步骤完成后,对要求与虚拟主机连接的请求,NAT将让真实主机组中的主机轮流响应。
24.用NAT解决地址交叉的问题
使用DNS+动态NAT处理地址交叉的配置
举例:
假设内部和外部局域网使用的IP地址范围同为10.1.1.1-10.1.1.254,路由器内部局域网端口(默认网关)的IP地址是10.1.1.254,子网掩码为255.255.255.0。网络分配的内部全局IP地址范围为192.2.2.1-192.2.2.254,外部局部IP地址范围为193.3.3.1到193.3.3.254。路由器在广域网的地址是172.69.232.182,子网掩码是255.255.255.240。
要配置交叉地址空间转换,需要完成下列步骤:
设置外部端口的IP地址:
router(config-if)#ip address 172.69.232.182 255.255.255.240
设置内部端口的IP地址:
router(config-if)#ip address 10.1.1.254 255.255.255.0
定义网络中允许访问外部网络的地址段:
router(config)#access-list 1 permit 10.1.1.0 0.0.0.255
这个命令定义了需要进行地址转换的网段。
若想允许多个地址段访问外部网络,只需反复使用上面命令定义即可。
定义合法IP地址池:
router(config)#ip nat pool net-2 192.2.2.1 192.2.2.254 prefix-length 24
router(config)#ip nat pool net-10 192.3.3.1 192.3.3.254 prefix-length 24
第一条命令定义了内部全局地址集,第二条命令定义了外部局部地址集。
指定网络地址转换映射:
router(config)#ip nat inside source list 1 pool net-2
router(config)#ip nat outside source list 1 pool net-10
第一条语句定义把内部局部地址转换到内部全局地址,这个转换使用地址池net-2。
第二条语句定义了把外部全局地址转换成外部局部地址,这个转换使用地址池net-10。
在内部和外部端口上启用NAT:
在内部和外部端口上启用NAT:
router(config-if)#ip nat outside
router(config-if)#ip nat inside
当内部主机向外部主机发送了一个IP包后,就可以使用show ip nat translations查看连接。
router(config)#interface loopback 0 配置loopback还回接口
router(config-if)#ip address 10.0.0.1 255.255.255.0 配置loopback还回地址
-------------------------------
cisco交换机:
用户模式:
switch>
特权模式:
switch>enable
switch#
全局模式:
switch#config terminal
switch(config)#
接口配置模式:
switch(config)#interface f0/1
switch(config-if)#
line模式:
switch(config)#line console 0
switch(config-line)#
----------------------------------------------------------------
配置主机名和密码:
switch(config)#hostname 123
123(config)#
查看交换机的配置:
123(config)#show running-config
使能口令:
123(config)#enable password 123456
加密口令:
123(config)enable secret 654321
配置console密码:
123(config)#line console 0
123(config-line)#password 321456
123(config-line)#login(激活密码)
123(config-line)#no password (删除密码)
-----------------------------------------------------------------
配置IP地址:
123(config)#interface vlan 1
123(config-if)#ip address 192.168.1.2 255.255.255.0
123(config-if)#no shutdown (激活)
删IP地址:123(config-if)#no ip address
配置交换机网关
123(config)#ip default-gateway 192.168.1.1
查看交换机的MAC地址表
123#show mac-address-table
-----------------------------------------------------------------
Cisco发现协议(CDP)
show cdp命令中主要包括以下几个可以使用的命令
switch#show cdp
switch#show cdp interface f0/24
switch#show cdp neighbors
switch#show cdp neighbors detaill
switch#show cdp traffic
switch#show cdp entry *
----------------------------------------------------------------
保存交换机的配置和恢复原厂设置
123#copy running-config startup-config或
123#write两条命令的效果都是一样的
恢复交换机出厂值
123#erase startup-config(为檫除清空startup-config)
123#reload(重新载入)
---------------------------------------------------------------
交换机密码恢复
(1)拔下交换机的电源线
(2)用手按在交换机的MODE按键上,插上电源线
(3)看到控制台出现,交换机启动系统
(4)在switch:后执行flash_init命令
switch:flash_init
Initializing flash.....(启动中
(5)查看flash中的文件:
switch:dir flash:
(6)把config.text文件改名为config.old文件
switch:rename flash :config.text flash:config.old
(7)执行boot命令,启动交换机:
switch:boot
(8)进入特权模式查看flash里的文件
switch#dir flash:
(9)把文件config.old改为 config.text文件
switch#rename flash:config.old flash:config.text
(10)把config.text复制为系统的running-config:
switch#copy flash:config.text running-config
(11)进入配置模式重新设置密码并存盘,密码恢复完成
-----------------------------------------------------------------
虚拟局域网VLAN
建立VLAN
switch#config terminal
switch(config)#vlan 100
switch(config-vlan)name 321(改名字)
switch(config)#no vlan 100 (删除vlan 100)
或在VLAN数据库里也可建立VLAN
switch#vlan database
switch(vlan)#vlan 100 name v100 (建立并改名为V100)
查看VLAN信息的命令:
switch#show vlan brief
查看某个VLAN的信息:
switch#show vlan 100
在VLAN中添加,删除端口
switch#interface terminal
switch(config)#interface f0/24
switch(config-if)#switchport mode access(接入链路)
switch(config-if)#switchport access vlan 2(加入VLAN 2)
switch(config)#interface range f0/1 - 20
switch(config-if-range)#switchport access vlan 2
(把f0/1到f0/10端口全部加到vlan2)
switch(config-if)#no switch access vlan 2(从VLAN 2中删除)
switch(config-if)end(退出
switch(config)#default interface fastethernet0/2(还原接口都默认配置状态)
---------------------------------------------------------------------------
配置VLAN Trunk
配置与查看命令
switch(config)#interface f0/24
switch(config-if)switchport mode trunk(配置F0/24为中继链路)
switch(config-if)switch mode assess (可以从TRUNK改为普通链路)
配置接口为动态协商模式的命令:
switch(config)#interface f0/23
switch(config-if)#switch mode dynamic desirable或auto
可以配置接口为TRUNK动态协商模式,为desirable或auto
使用show命令验证接口模式:
switch#show interface f0/24 switchport
如果不需要Trunk传送某个VLAN的数据,可以从Trunk中移除这VLAN
switch(config)#interface f0/24(因为这是TrunK链路)
switch(config-if)switch trunk allowed vlan remove 100(这写VLAN几)
同样,也可以在TRUNK上添加某个VLAN
switch(config)#interface f0/24
switch(config-if)switch trunk allowed vlan add 100
查看接口是否成了trunk链路
switch#show interface f0/24 switchport
--------------------------------------------------------------------------
ARP协议:
在Windows主机上:
c:\>arp -a 可以查看IP地址和MAC地址的对应关系
也可以手动删除ARP表条目
c:\>arp -d 192.168.1.1
在路由器上显示ARP缓存表
router#show ip arp
---------------------------------------------------------------------------
静态路由与配置
其用户模式跟交换机是一样用的,进路由器问YES/NO,选择NO,自己手动配置
1.配置默认路由:
注::默认路由一般用末梢网络
router(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 (8个0代表所有网段,192.168.1.1
代表下一跳地址,也就下一个router的IP地址
2.配置静态路由
router(config)#ip route 192.168.1.0 255.255.255.0(目标网段的IP) 接下一跳地址172.16.1.1
配置路由器A的Fastethernet f0/0接口的IP地址:
R1#config ter
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no shutdown
查看R1 F0/0接口状态
R1#show interface f0/0
查看router的路由表:
R1#show ip route
---------------------------------------------
配置控制台密码:
R1(config_line)#line console 0
R1(config_line)#password 321456
R1(config_line)#login
配置特权模式密码:
R1(config)#enable password 1230
对所有密码加密:
R1(config)#service password-encryption
配置console的其他参数
(1)配置超时(timeout)
R1(config)#line console 0
R1(config_line)#exec-timeout 0 0
命令中的0 0 代表着永不超时,第1个0代表分钟,第2个0代表秒,
(2)显示同步
R1(config)#line console 0
R1(config_line)logging synchronous
(3)配置禁用DNS
R1(config)#no ip domain-lookup
查看路由器的版本信息
R1#show version
-----------------------------------------------------------------------
路由器的密码恢复(照书抄,没用过)
(1)重新启动路由器,在启动60秒内按下Ctrl+Break键,使路由器进入ROM Monitor模式
(2)在提示符下输入命令修改配置寄存器的值,然后重新启动路由器,
rommon1>confreg 0x2142
rommon2>reset
(3)重启动router后进入SETUP模式,选择NO退回到EXEC模式,这时路由器原有的配置
仍然保存在startup-config中,为使路由器恢复密码后配置不变,应把startup-config
中的配置保存到running-config中,然后重新设置enable密码,并把配置寄存器的值改回
0x2102(否则以后每次重启路由器进入setup模式).命令如下
Router>enable
Router#copy startup-config running-config
Router#config terminal
Router(config)#enable password 123
Router(config)#config-regiser 0x2102
(4)保存当前配置到startup_config,然后重新启动路由器.命令如下
router#copy running-config startup-config
Router#reload
--------------------------------------------------------------------------
配置单臂路由
router(config)#interface f0/0
router(config-if)#no shutdown(先激活f0/0接口也可以,后面激活也可以)
router(config)#interface f0/0.1(为F0/0的子接口模式)
router(config-subif)#encapsulation dot1q 1(后面1为VLAN1,也就是把这子
接口封装VLAN1里)
router(config-subif)#ip address 192.168.1.1 255.255.255.0(这IP就是VLAN1的网关地址)
router(config-subif)#no shutdown
查看:特权模式下:show ip route或show run或show interface f0/0
----------------------------------------------------------------------
配置时间:
Router#clock set 小时:分钟:秒 日 月 年
查看:router#show clock
配置RIP动态路由
启动RIP进程的命令(RIP是动态路由的一中协议)
router(config)#router rip
router(config-router)#version 2(设置为RIP的版本2)
router(config-router)#no auto-summary(使用RIP2时,配置不自动汇总)
router(config-router)#network 192.168.1.0(宣告直连路由的IP网段)
router#show ip route(查看路由表)
router#show ip protocol (查看路由协议配置)
router#debug ip rip(开启调试命令)
----------------------------------------------------------------
想要用TELNET管理cisco设备,需要进行如下配置
switch(config)#interface vlan 1 (要先配IP地址)
switch(config-if)#ip address 192.168.1.1 255.255.255.0
switch(config-if)#no shutdown
switch(config)#line vty 0 5 (后面的5是同时允许几个用登陆)
switch(config-line)#passwor 133
switch(config-line)#login(激活)
switch(config)#enable password 123
switch(config)#service password-encryption(给所有加密,可以选)
在PC机命令提示符下
c:\>telnet 192.168.1.1
进入后password: 自己写的密码
---------------------------------------------------------------
备份IOS或startup-config
1,确认PC和交换机能PING通
2,打开Cisco TFTP Server的工具
3,上传或下载交换机的IOS或配置文件
switch#copy flash tftp(从FLASH到TFTP)
switch#copy tftp flash(从TFTP到FLASH)
switch#copy nvram:starup-config tftp:
switch#copy tftp:starup-config nvram(上传配置文件到交换机)
---------------------------------------------------------------
(1)配置超时(timeout)
R1(config)#line console 0
R1(config_line)#exec-timeout 0 0
命令中的0 0 代表着永不超时,第1个0代表分钟,第2个0代表秒,
(2)显示同步
R1(config)#line console 0
R1(config_line)logging synchronous
(3)配置禁用DNS
R1(config)#no ip domain-lookup
查看路由器的版本信息
R1#show version
-----------------------------------------------------------------------
路由器的密码恢复(照书抄,没用过)
(1)重新启动路由器,在启动60秒内按下Ctrl+Break键,使路由器进入ROM Monitor模式
(2)在提示符下输入命令修改配置寄存器的值,然后重新启动路由器,
rommon1>confreg 0x2142
rommon2>reset
(3)重启动router后进入SETUP模式,选择NO退回到EXEC模式,这时路由器原有的配置
仍然保存在startup-config中,为使路由器恢复密码后配置不变,应把startup-config
中的配置保存到running-config中,然后重新设置enable密码,并把配置寄存器的值改回
0x2102(否则以后每次重启路由器进入setup模式).命令如下
Router>enable
Router#copy startup-config running-config
Router#config terminal
Router(config)#enable password 123
Router(config)#config-regiser 0x2102
(4)保存当前配置到startup_config,然后重新启动路由器.命令如下
router#copy running-config startup-config
Router#reload
--------------------------------------------------------------------------
配置单臂路由
router(config)#interface f0/0
router(config-if)#no shutdown(先激活f0/0接口也可以,后面激活也可以)
router(config)#interface f0/0.1(为F0/0的子接口模式)
router(config-subif)#encapsulation dot1q 1(后面1为VLAN1,也就是把这子
接口封装VLAN1里)
router(config-subif)#ip address 192.168.1.1 255.255.255.0(这IP就是VLAN1的网关地址)
router(config-subif)#no shutdown
查看:特权模式下:show ip route或show run或show interface f0/0
----------------------------------------------------------------------
配置时间:
Router#clock set 小时:分钟:秒 日 月 年
查看:router#show clock
配置RIP动态路由
启动RIP进程的命令(RIP是动态路由的一中协议)
router(config)#router rip
router(config-router)#version 2(设置为RIP的版本2)
router(config-router)#no auto-summary(使用RIP2时,配置不自动汇总)
router(config-router)#network 192.168.1.0(宣告直连路由的IP网段)
router#show ip route(查看路由表)
router#show ip protocol (查看路由协议配置)
router#debug ip rip(开启调试命令)
----------------------------------------------------------------
想要用TELNET管理cisco设备,需要进行如下配置
switch(config)#interface vlan 1 (要先配IP地址)
switch(config-if)#ip address 192.168.1.1 255.255.255.0
switch(config-if)#no shutdown
switch(config)#line vty 0 5 (后面的5是同时允许几个用登陆)
switch(config-line)#passwor 133
switch(config-line)#login(激活)
switch(config)#enable password 123
switch(config)#service password-encryption(给所有加密,可以选)
在PC机命令提示符下
c:\>telnet 192.168.1.1
进入后password: 自己写的密码
---------------------------------------------------------------
备份IOS或startup-config
1,确认PC和交换机能PING通
2,打开Cisco TFTP Server的工具
3,上传或下载交换机的IOS或配置文件
switch#copy flash tftp(从FLASH到TFTP)
switch#copy tftp flash(从TFTP到FLASH)
switch#copy nvram:starup-config tftp:
switch#copy tftp:starup-config nvram(上传配置文件到交换机)
---------------------------------------------------------------
<PIXTEL_MMI_EBOOK_2005>1 </PIXTEL_MMI_EBOOK_2005>
转载于:https://blog.51cto.com/lixing541/302205
118
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
