1、一 CISCO 交换机和路由器基本配置交换机的配置1 用户模式switch 2 进入特权模式switch enable 3 进入全局配置模式,全局模式的配置对整个交换机生效.switch # config terminal switch (config)#4 进入接口模式,配置只对当前的接口生效switch(config) # interface f0/1 switch(config-if) #进入 line 模式,这个模式主要用来对控制台做相应的配置5 switch(config) # line console 0 switch(config-line)6 配置主机名switch(confi
2、g) #hostname 主机名7 配置使能口令switch(config) # enable password 密码8 配置加密使能口令switch(config) # enable secret 密码9 配置 ip地址switch(config) # interface vlan 1switch(config) # ip add ip地址 子网掩码switch(config) # no shutdown10 配置交换机的网关switch(config) # ip default-gateway ip地址11 保存配置switch # copy runing-config startup-c
3、onfigswitch # write12 清空配置switch # erase startup-config13 清空接口配置switch (config) # interface f0/1switch (config-if) # default interface f0/114 清空交换机密码(1) 关闭电源.(2) 开启电源, 并且按住交换机的 mode键,当交换机进入flash_initload_helperbootswitch:(3) 在 switch 后执行 flash_init 命令switch: flash-init(4) 在查看 flash中的文件switch: dir fl
4、ash:/(5) 把 config.text文件后缀名改了就可以,并且重新启动.(交换机重启后不会在读取配置文件了)switch:rename flash:config.text config.oldswitch:boot(6) 启动后进入特权模式查看 flash里面的文件,并且把 config.text文件改回来.并且把 flash里面的文件复制到内存中switch # rename flash:config.old flash:config.textswitch # copy startup-config running-config15 创建 vlan 2switch (config)
5、# vlan 216 删除 vlan 2switch (config) # no vlan 217 把端口 f0/5 到 10 添加到 vlan 2switch (config) # interface range f0/5 - 10switch (config) # switchport access vlan 218 将 f0/1设置成中 trunkswitch (config) # interface f0/1switch (config) # switchport mode trunk19 将 f0/1 设置成期望型或自动型switch (config) # switchport dy
6、namic desirable / auto20 如果不需要 trunk 传送 vlan 2的数据,可以将 vlan 2 从 trunk中删除.switch (config) # interface f*/* (trunk接口)switch (cofnig-if) # switchprot trunk allowed vlan remove vlan 2 21 也可以添加 vlan 2switch (config) # interface f*/* (trunk接口)switch (config) # switchprot trunk allowed vlan add vlan 2二 交换机的
7、查看命令switch # show mac-address-table 查看本机的 mac地址表switch # show cdp neighbors 列出与本设备相连的 cisco设备switch # show running-config 查看交换机的配置switch # show vlan brief 查看 vlan的详细信息switch # show Internet trunk 可以查看生成树协议三 路由器配置命令1 配置默认路由route (config) # ip route 0.0.0.0 0.0.0.0 下一跳2 配置静态路由route (config) # ip route
8、 目的 ip 子网掩码 下一跳3 对所有密码进行加密route (config) # enable password-encryption4 如果要使 enable密码也以加密的形式保存在 running-config中,中需运行route (config) # service password-encryption5 接口route (config-if) # speed 10/100/auto (配置速率)route (config-if) # duplex auto/full/half (工作模式,自动/半双工/全双工)route (config-if) # description 文本
9、 (接口模式为当前接口列出希望跟踪的信息文本)6 对接口进行标识route (config) # interface f0/1route (config) # description 内容7 配置超时route (route) # line console 0route (route_line) #exec-timeout 0 0 (第一个 0代表分钟,第二个 0代表秒)8 配置 telnetroute (route) # line vty 05 (配置同时登陆的个数)route (route) # password 密码 (配置 telnet密码)route (route) # login
10、9 配置 sshroute (route) # line vty 05route (route-line) # transport ipput telnet ssh (同时接受telnet和 ssh登陆) route (route) # username 用户名 password 密码 (配置用户名和密码)route (route) # ip domain-name 域名 (配置一个 dns域名)route (route) # crypto key generate RSA (配置交换机生成一对匹配的公钥和私钥,以及一个共享的加密密钥) route # show crypto key mypu
11、bkey rsa (查看 ssh密钥的副本)route # show running-config | begin line vty (查看当前运行的配置,从包含第一个 line bty开始)10显示同步route (config) # line ocnsole 0route (config_line) # logging synchronous11 配置禁用 dnsroute (config) # no ip domain-lookup12 路由器的密码恢复(1) 重新启动路由器,在启动的 60 s内按下 ctrl + break 使路由器进入 rom monitor模式(2) 在提示符下输
12、入命令修改配置寄存器的值,然后程序启动rommon 1confreg 0x2142rommon 2resetroute enableroute #copy startup-config running-config (然后修改密码在保存)route #config-register 0x2102 (上系统在启动时读取配置文件)route # write13 路由器和交换机的单臂路由route (config) # interface 接口类型 槽位/接口序号.子接口route (config-subif) # ip add ip地址 子网掩码route (config-subif) # enc
13、apsolation dot1q vlan-id14 rip路由协议的配置rip v2的配置route (config) # route riproute (config-route) # version 2route (config-route) # no uato -summaryroute (config-route) # network 主网络 宣告主网络号四 路由器查看命令route # show interface 接口 查看接口的状态route # show ip int b 查看接口起用状态route # show ip route 查看路由表route # show vers
14、ion 查看路由器的版本信息route # show clock 查看路由器当前的时间route # show ip protocol 查看路由协议配置route # show protocols 显示配置的协议route # show debug ip rip 开启调试命令route # Trace ip地址 跟踪 ip 路由五 备份 los和上传 losroute # copy startup-config tftp 备份 losroute # copy tftp startup-config 上传 losroute # copy running-config tftp 备份配置文件rou
15、te # copy tftp running-config 下载配置文件六 组合键ctrl + shift + 6 中止解析ctrl + z 取消上一次操作七 vtp 协议1 vtp 协议慨述vtp 是 vlan.中继协议,vtp 协议是 cisco的专用协议,做作用如下:(1) 保持 vlan配置的一致性(2) 提供从一个交换机在正规管理域增加虚拟局域网的方法2 vtp的工作原理要使用 vtp,就必须为每台交换机指定 vtp域名一台交换机只能属于一个 vtp域,不同域中的交换机不能共享 vtp信息.vtp 服务器上进行了 vlan配置变更后,所做的 vtp域内的所有交换机上.vtp 消息通过
16、所有的中继连接进行传播.域内的交换机都必须使用相同的 vtp域名,不论是同配置实现,还是由交换机自动学到.交换机必须是相邻的,在交换机之间,必须启用中继.3 vtp的运行模式(1) 服务器模式每个域中至少有一个服务器,服务器可以创建,修改,删除 vlan信息,向外提供vtp通告.并且会监听学习域名相同的 vtp通告.(2) 客户机模式每个域中至少有一个客户机,客户机不可以创建,修改,删除 vlan信息.但向外发送 vtp请求.并且会监听学习域名相同的 vtp通告.(3) 透明模式能转发 vtp消息.可以创建和删除本地的 vlan信息.4 vtp 的通告来自客户机的通告请求-服务器以汇总和子集通
17、告作为回应.汇总通告-在 vlan1上,每隔 300秒进行一次,每当拓扑发生改变时,也会发出该通告,包含了变化的配置修订号,配置发生改变和超时以后.都会发送汇总通告子集通告-包含与 vlan有关的详细信息5 vtp的配置switch (config) # vtp domain 域名switch (config) # vtp mode server | client | transparentswitch (config) # vtp vtp password 密码switch (config) # vtp pruning vtp修剪switch (config) # vtp version 2
18、 运行版本 2switch (config) # shutdown vlan 2 在该交换机上禁用 vlan 2switch (config) # switchport trunk encapsulation dotlq | isl | negotiate 定义中继使用类型,假定中继已配置或经过协商的接口子命令.switch (config) # switchport voice vlan 定义来自 cisco ip 电话以及用于发生帧的 vlan接口子命令6 vtp 查看命令switch # show vtp status 查看 vtp配置switch # show vtp password
19、 查看 vtp密码switch (config) # do show 查看交换机或路由器配置八 stp 协议1 stp慨述stp生成树协议. 一方面保证网络的可靠性 ,另一方面还可以防止广播风暴的产生.2 stp工作原理通过发送 BPDU选择根网桥,根端口,指定端口.再阻塞剩下的端口,达到 stp收敛的效果.BPDU 有两种通告,一种是配置 BPDU,用于生成树计算另一种是拓扑变更 BPDU用于通告网络拓扑的变化3 stp 配置switch (config) # spanning-tree vlan vlan-id “启用生成树协议“switch (config) # spanning-tre
20、e vlan vlan-id root primary | secondary “配置交换机为根网桥“switch (config) # spanning-tree vlan vlan-id priority 优先级 “修改交换机的优先级“switch (config-if) # spanning-tree vlan vlan-id cost 路径成本 “修改端口的路径成本“switch (config-if) # spanning-tree vlan vlan-id port-priority 优先级“修改端口的优先级“switch (config) # spanning-tree upli
21、nkfast “配置上行链路“switch (config-if) # spanning-tree portfast “配置速端口“switch (config) # spanning-tree mode mst | rapidpvst | pvst “启用pvst+ 和 802.1q(pvst)“.pvrst和 802.1w(rapid-pvst) ,或 IEEE802.1s(多生成树)和 802.1w(mst)“4 以太通道配置switch (config) # Internet range fastethernet 0/1 - 2switch (config-if-range) # ch
22、annel-group 1 mode on | auto | desirable5 交换机查看命令switch # show spanning-treeswitch # show spanning-tree vlan vlan-id 查看特定的 vlan 的 stp信息switch # show spanning-tree vlan vlan-id root 查看特定的 vlan的根信息switch # show spanning-tree events 上交换机提供关于 stp拓扑结构变化的信息消息switch # show etherchannel 以太编号 brief | detail
23、| port | port-channel | summary 查看交换机上以太通道的状态信息.九 ppp 协议(1) 工作过程:链路不可用状态链路建立状态认证阶段网络层协议阶段链路终止阶段在以上的建立过程中任何阶段建立失败都会返回到链路不可用状态.(2) pap认证过程由被认证方发起认证请求,发送用户名和口令到主认证方。主认证根据本端用户查看用户表是否有此用户以及口令是否正确,然后返回用户通过或不通过。router(config-if)# encapsulation ppp 在接口上启用 ppp协议 router(config-if)# ppp authentiction pap 在接口上启
24、用 pap认证(主认证方)router(config-if)# username 被认证用户名 password 密码(主认证方)router(config-if)#ppp pap sent-username 用户名 password 密码(3) chap 认证过程由主认证方发起认证挑战,发送随机报文并且将自己的用户名同时发送给被认证方。被认证方接到主认证方的认证请求后,被认证方根据次报文中的用户名查找用户密码,(如果找到密码认证失败)然后把密码和随机报文进行 MD5计算,将升成的密文和自己的用户名发给主认证主认证接到该报文后,根据报文中被认证的用户名,在自己的本地数据库中查找被认证的用户名对
25、应的被认证的密码,利用随机报文 ID ,该密码和MD5算法对原随机报文进行加密,然后将加密的结果进行比较。router(config-if)# encapsulation ppp 启用 ppp协议router(config-if)# ppp authentication chap 启用 chap认证功能(主认证方)router(config-if)# ppp chap hostname/password 用户名/密码更改 chap认证用户名/密码(4) 配置 ip 地址协商router(config-if)# peer default ip address 为客户端分配的 ip地址(服务端配置
26、)router(config-if)# ip ddress negotiated 本端 ip由对端分配(客户端)十 ospf 协议ospf是开发式最短路径优先协议工作过程:通过 hello报文发现邻居和建立邻接关系,形成邻居列表.通过 LSA同步数据库.然后通过 spf算法算出最优路径.形成路由表. ospf五种报文七种状态 downhello报文:建立和维护同邻居路由器的邻接关系 - initDBD:描述链路状态内容(数据库描述包)- 2-wayLSR:请求链路状态数据库的部分内容(链路状态请求包) - ExStartLSU:发送链路状态 LSA给邻居路由器(链路状态更新包) - ExCha
27、ngeLSack:确认邻居发过来的 LSA已收到(链路状态确认包) - losdingFull通告 1-路由器 LSA:每台路由器都会产生的.作用是指明他们的状态和每条链路方向出站的代价.只在本区域泛洪.show ip ospf detabese route 可以查看所有的路由器 LAS通告 2-网络 LSA:在多址网络 DR中都会产生的.作用是描述多址网络中与之相连的所有路由器.也只在本区域泛洪.show ip ospf datebase network 可以查看网络 LAS通告通告 3-网络汇总 LAS :是由 ABR发起的.作用是 ABR路由器从一个区域发生LSA到另一个区域告诉在自己所
28、属的区域内的内部路由器它所能到达的目的地址的一种方法.区域间泛洪,但是只在标准区域.show ip ospf datebase summary 可以查看 网卡汇总 LSA通告通告 4-ASBR汇总 LSA:也是由 ABR发出的,但是它通告的只是一个 ASBR路由器而不是一个网络,其它的和网络汇总一样.show ip ospf database asbr-summary 可以查看 ABSR汇总 LSA.通告 5-自治系统外部 LSA:是 ASBR路由器发出的用来通告到达 ospf自治系统外部的目的地.或者是到达 ospf自治系统外部的默认路由的 LSA通告 7-NSSA外部 LSA:是 ASBR
29、发出.指在非纯末梢区域内.通告 ospf自治系统外部路由.show ip ospf nssa-extermal可以查看 nssa外部 LSA.1 配置命令router(config)# router ospf 进程号 启动 ospf 路由进程router(config-router)# network 网络号 反向掩码 area 区域号 指定 ospf协议运行的接口和所在的区域router(config-if)# ip ospf cost cost 值 更改 cost值router(config-if)# ip ospf hello-interval 时间 更改 hello计数器router(
30、config-if)# ip ospf dead-interval 时间 更改 dead计数器router(config-router)# area 区域 id stub 配置末梢区域router(config-router)# area 区域 id stub no -summary 配置完全末梢区域router(config-router)# area 区域 id nssa no -summary 配置非纯末梢区域router(config-router)# area 区域 id range ip地址 掩码 区间路由汇总router(config-router)# summary-addre
31、ss ip 地址 掩码 外部路由汇总router(config-router)# redistribute protocol metric 度量值 metric-type 类型 subnets 路由重分发router(config-router)# area 传送区域 id virtual-link 对端的route id 虚链路配置router(config-router)# Area area-id nssa default-infromation-originate 把一个缺省路由广播到 nssa区域中router(config-router)# Area area-id default
32、-cost cost 设置stub区域的缺省成本 默认为 1router(config-router)# Default-information originate 产生缺省路由router(config-router)# Default-information originate always 无条件的广播缺省路由到 OSPF域内router(config-router)# Default-information originate metric-type type Default-information originate always metric-type type 修改外部路由的类型
33、router(config-router)# Default-metric cost 为再分布的协议设置缺省的度量router(config-router)# Distance administrative-distance 调整管理距离来影响路由的选路router(config-router)# Maximum-paths number-of-paths 在负载均衡的情况下,允许使用几条链路.默认 4条.可以配置为 1-6条router(config-router)# Passive-interface interface-name interface-number 使用被动接口减少协议流量
34、router(config-router)# set protocols ospf area 0 interface xx metric 0-65535 修改接口的 metric值router(config-router)# set protocols ospf reference-bandwidth 修改参考带宽2 ospf 常用检查命令router # show ip route 查看路由表信息router # show ip route ospf 只查看 ospf 学习到的路由router # show ip protocol 查看 ospf 协议配置信息router # show ip
35、 ospf 查看路由器上 ospf 是如何配置的和 ABRrouter # show ip ospf database 查 LSDB内的所有 LSA 数据信息router # show ip ospf database summary 查看网络汇总router # show ip ospf database external 查看外部路由router # show ip ospf interface 查看 ospf配置的信息router # show ip ospf neighbor detail 查看 ospf邻居的详细信息router # show ip ospf adj 查看路由器的邻接
36、的整个过程router # show ip ospf pacet 查看每个 ospf数据包的信息router # clear ip route 清空路由表十一 HSRP(热备份路由协议)作用是备份网关工作原理:在 LAN网段上一组路由器一起工作.并作为一个虚拟路由器或默认网关呈现给 LAN上的所有主机.当网络上的数据发到虚拟路由器时,由 HSRP组中的活跃路由器转发这些数据,备份路由器就是监听 HSRP组.当活跃路由器不能工作时,并且保持时间已到.备份路由器就变成活跃路由器,接替它的工作.一个 HSRP组中只能有一个活跃路由器和备份路由器.虚拟 mac地址的计算: 厂商编码 虚拟 mac地址
37、组号转换十六进制(47)0000.0c(cisco编号) 07.ac 2f1 HSRP 基本配置router(config-if)#standby 组号 ip 虚拟 ip地址router(config-if)#no ip redirects (关闭端口重定向,防止主机发现路由器的真实 mac地址)router(config-if)#standby 组号 priority 优先级 (修改优先级)router(config-if)#standby 组号 preempt (启用抢占)router(config-if)#standby 组号 track 要跟踪的端口 端口失效时优先级降低的数值 (跟踪
38、端口)router(config-if)#standby 组号 times hello 时间 和 hold 时间 (修改默认时间)router(config-if)#show standby (验证配置)十二 ACL (访问控制列表)控制访问可以控制通信流量,标准的访问控制列表只能检查原地址,扩展访问控制列表可以检查原目,的地址协议和端口.工作原理:当接口收到一个数据包时查看接口有没有 ACL,如果没有数据包就按照常规处理,如果有 ACL,则从第一条依次向下匹配.直到有任一语句匹配.则不继续向下判断了.再根据应用条件判断是转发还是拒绝.如果没有任一一条匹配的话,最终会匹配隐含拒绝.并且返回一个
39、目的地址不可达给发送端.标准的列表是 1-99扩展的列表是 100-199通配符 any代表所有的主机通配符 host代表指定的那台主机1 配置步骤:(1) 定义列表(2) 将列表应用到接口上,并且定义是出站接口还是进站接口2 配置命令router(config)#access-list 列表号 应用条件 源地址 (配置标准的访问列表) router(config)#access-list 列表号 应用条件 协议 源地址 端口 目的地址 端口 (配置扩展访问控制列表)router(config)#ip access-list standard / extended 名字 (配置命名扩展访问列表
40、)router(config-ext-nacl)#编号 应用条件 协议 源地址 端口 目的地址端口 (定义列表条目,方便修改)router#show ip int 接口编号 (查看接口是否启用了 ACL)router#show access-list 查看 ACL的内容 十三 NAT (网络地址转换)1 优点:(1) 将内网地址转换成外网地址 ,节省公网地址(2) 能够处理地址重叠问题(3) 增强安全性2 缺点(1) 增加了网络延时.(2) 增加了网络的配置和排错的复杂性(3) 有些端到端的协议不支持静态 nat工作原理:人为的配一个和外网 ip一个一对一的关系.当外网主机回应时,路由器会查找
41、 nat表,找到相对应的 ip地址,再将外网 ip转换成内网 ip动态 nat工作原理:当内网主机访问外网时,路由器从地址池中拿一个外网 ip临时的建立一个一对一的关系.当外网主机回应时.路由器会查找 nat表,找到相对应的 ip地址,再将外网 ip转换成内网 ip.通信结束后就把 ip地址归还到地址池pat工作原理:当内网主机访问外网时,路由器从地址池中拿出一个 ip地址与之建立.并且进行端口的转换. 当外网主机回应时.路由器会查找 nat表,找到相对应的 ip地址和端口.再将外网 ip转换成内网 ip.通信结束后就把 ip地址和端口归还到地址池3 动态配置步骤(1) 定义访问列表(2) 定
42、义地址池(3) 设置动态 ip地址转换(4) 在端口上启用 nat4 配置命令router(config)#access-list 列表号 应用条件.源地址 (标准列表)router(config)#ip nat pool 名字 起始地址 终止地址 netmask 掩码 (定义地址池) router(config)#ip nat inside source list 列表号 pool 地址池名字 overload (设置地址转换,加了 overload就是配置了端口复用) router(config-if)#ip nat inside / outside (在接口上启用 nat)router#
43、show ip nat translations 查看 nat 表十四 vpn (虚拟专网)1 优点:(1) 利用公共网络,通过资源配置而成的虚拟网络,成本低(2) 结构灵活,方便组建和扩充分支结构和远程办公室和移动用户.(3) 更加简单了网络管理(4) 是网络结构简单明了2 工作原理明文-访问控制-报文加密-报文认证-ip 封装-internet(vpn)-ip解封-报文认证-报文解密-访问控制-明文3 vpn关键部分(1) 安全隧道技术二层隧道是建立在 ppp的基础上,利用 ppp支持多协议的特性,先把 ip协议封装到 ppp中,再把整个数据帧封装到隧道中.协议有 ppptp. L2P L
44、2TP三层隧道是直接将网络层的协议装入隧道中,依靠三层进行传输.它在可扩展性,安全性,可靠性优于二层.协议有 ssl vpnMPLS vpn GRE ipsec vpn (2) 信息加密技术对称加密算法:加密和解密使用同一个密钥,加密算法有 DES (数据加密标准) AES (高级加密标准)非对称加密算法:加密和解密不是同一个密钥,用一个密钥加密,只能用另一个密钥解密,加密算法,RSA(3) 用户认证技术散列算法是从明文到密文不可逆的算法了,有 MD5,SHA-1(4) 访问控制技术4 ipsec vpn配置步骤(1) 定义 acl(2) 配置 ike 协商(3) 配置 ipsec安全策略(4
45、) 定义 map 关联 acl ipsec 策略(5) 将 map应用到出口5 配置 ipsecrouter(config)#access-list 列表号 应用条件 协议 源地址 端口 目的地址 端口router(config)#crypto isakmp enable (启用 isakmp)router(config)#crypto isakmp policy 优先级 (建立 isakmp协商)router(config-isakmp)# hash md5 / sha1 (配置 isakmp 认证算法)router(config-isakmp)# encryption des/3des (
46、配置 isakmp加密算法)router(config-isakmp)#authentication pre-share (使用预先共享密钥)router(config)#crypto isakmp key 共享密码 address 对端 ip地址 (设置共享密钥和对端 ip地址)router(config)#crypto ipsec transform-set ipsec名字 认证算法 加密算法 (定义 ipsec传输模式)router(config)#crypto map map名字 优先级 ipsec-isakmp (定义 map并且使用 ike进行协商)router(config-crypto-map)#match address 访问列表 (关联列表)router(config-crypto-map)#set peer 对端 ip地址 (vpn 链路对端地址)router(config-crypto-map)#set transform-set ipsec名字 (指定 crypto map 使用的传输模式)router(config-if)#crypto map map名字router# show ip crypto isakmp policy (查看 isadmp策略设置)router# show ip crypto ipsec sa (查看 ipsec的安全联盟)
