1-5（思科）交换机配置实战需要注意的地方

配置ＶＬＡＮ：（针对路由器或者有路由器功能的三层交换机，做配置时需要，二层交换机不需要）

配置Vlan中继链路：vlan trunk时，需要先对trunk的链路协议指定，一般默认选择dot1q。

 

语法如下： interface range Fastethernet 0/1-2 

Switch trunk encapsulation dot1q

Switchport mode trunk

Exit

 

 

配置链路聚合LACP（将低速的多条链路聚合成一条高速的链路）时：

 

聚合链路两端的交换机分别配置ＬＡＣＰ时：

 

语法如下：interface Range fastEthernet 0/1-2　　　／／选中链路端口1和2

channel-protocol lacp ／／更改通道协议为ｌａｃｐ协议

channel-group 1 mode active ／／定义通道组１并激活，这里的1只是一个ＩＤ，可以是其他值

 

端口安全（例子）：

Interface　Fastethernet ０／２４

Ｓｗｉｔｃｈｐｏｒｔ　ｍｏｄｅ　ａｃｃｅｓｓ

Ｓｗｉｔｃｈ　ｐｏｒｔ－ｓｅｃｕｒｉｔｙ　　　　／／此处说明端口可是设置安全策略

Ｓｗｉｔｃｈｐｏｒｔ　ｐｏｒｔ－ｓｅｃｕｒｉｔｙ　ｍａｘｉｍｕｍ　３

配置HDLC，应注意：

实验环境中，路由器需要配置DCE（时钟）设备提供时钟频率；但是在实际环境中，则不需要。

际环境中，路由器一般作为DTE（接收）设备。

 

PPP协议的配置封装：

语法如下：interface serial 0/3/0

ip address 192.168.1.1 255.255.255.0

encapsulation ppp  //封装ppp协议

ppp authentication pap  //指定验证方式为pap

ppp pap sent-username a password 123     //pap方式发送对端的用户名和密码，用来登录验证，此处假设对端设备的用户名为ａ，密码为１２３。

Clock rate 64000   //指定时钟频率

No shutdown     //启用端口

Write   保存

 

添加默认路由：（一般用于指向所有的访问路径汇聚的点）

语法如下：

Ip route 0.0.0.0 0.0.0.0 192.168.1.1 //任何目标网段  任何子网掩码  汇聚点路由器

【注意：cisco试验中，需要添加串口的时钟频率，否则无法看到实际效果！！】

 

 

配置Rip2:

一般选用Rip2，不做自动汇总。

语法如下：

Router rip

Version 2

No auto-summary　　　　　／／默认是汇总的，这里取消汇总

Network 192.168.1.0   //通告所有已连接的网段（将使用Rip协议），此处假设共连接如下3个网段

Network 192.168.2.0

Network 192.168.3.0

 

 

配置ＯＳＰＦ协议：

router ospf 10　　　／／指定路由协议，其中１０是指定的ＩＤ号，主要作用是区分不同路由器，表示身份，可以是其他值。

network 192.168.1.0 0.0.0.255 area 1　　／／通告所有直连网段（使用的协议），注意语法。

network 192.168.2.0 0.0.0.255 area 1

network 192.168.3.0 0.0.0.255 area 1　　／／通告网段　主机掩码（网络位填０）area 1是指定的内部区域。

 

查看链路ｏｓｐｆ协议的运行情况：

show ip protocol 查看路由协议ospf的运行情况

show ip ospf neighbors 查看路由邻居表情况

show ip ospf database 查看ospf链路状态数据库内容

show ip ospf interfaces 查看ospf接口信息

 

路由重分发：

如图：A、B、C三台路由器，AB之间运行Rip协议，BC之间运行OSPF协议，路由器B需要将从A以Rip协议学到的路由表信息用OSPF形式传递给C；同时需要将从C以OSPF协议学到的路由表信息传递给A，这就是路由的充分发。

         核心配置：就是在B路由器的两个端口分别配置Rip协议和OSPF协议。

 

让路由器提供DHCP服务：

保留部分IP地址不使用（如）：ip dhcp excluded-address 192.168.1.1 192.168.1.10  //192.168.1.1——192.168.1.10保留，不划分给客户端。

创建地址池’a’：ip dhcp pool a

通告网段：network 192.168.1.0 255.255.255.0

设置默认网关：default-router 192.168.1.1

设置默认DNS：192.168.1.2

 

实验图：

ACL：（这是重点）【涉及内网安全】

访问控制列表的实现有两种方式：

l  采用编号的方式：其中标准ACL的编号为1-99，扩展的ACL的编号为100-199

 

语法如下：（假设编号为10）

access-list 10 permit 210.31.10.0 0.0.0.255  //允许210.31.10.0网段的所有IP访问

access-list 10 deny  210.31.20.0 0.0.0.255  //拒绝210.31.20.0网段的所有IP访问

ip access-group 10 out               //访问组号10，方向为出栈。

 

l  采用命名的方式：ip access-list standard name1  //此处name1是该访问控制列表acl的名字

                                     Permit 210.31.10.0 0.0.0.255    //划线处处为通配符掩码

                Deny 210.31.20.0 0.0.0.255  

                                     Ip accecc-group name1 out  //注意和编号方式的区别。

 

扩展ACL：

要求如下：

允许210.31.10.0/24和210.31.10.0访问外部web服务器（IP：200.200.200.2/24）

允许210.31.10.0/24使用icmp协议访问外部

拒绝210.31.20.0/24使用icmp协议访问外部

 

配置核心语句如下：（编号100-199）

Access-list 110 permit tcp 210.31.10.0 0.0.0.255 200.200.200.2 0.0.0.0 eq 80

Access-list 110 permit tcp 210.31.20.0 0.0.0.255 200.200.200.2 0.0.0.0 eq 80

Access-list 110 permit icmp 210.31.10.0 0.0.0.255 any

Access-list 110 deny icmp 210.31.20.0 0.0.0.255 any

//web服务器的默认端口为80

 

转载于:https://blog.51cto.com/6854290/2315383