交换机部分命令

一、交换机模式切换

Swith>enable //切换到特权

Swith#config t //切换到全局配置模式

Swith(config)# interface f0/1 //进入接口f0/0

Swith(config)# interface vlan 1 //进入VLAN 1中

Swith(config-if)#ip address 192.168.1.1 255.255.255.0 //对VLAN1设置IP地址和子网掩码

Swith(config-if)#no shutdown //激活VLAN1

二、设置交换机的密码

1、用户到特权的密码

Swith(config)#enable password 123 (优先级低)

Swith(config)#enable secret 456 (优先级高) //如果两个都设置则456生效

2、控制台console密码设置

Swith(config)# line con 0

Swith(config-line)#login

Swith(config-line)#password console123 //设置console密码为telnet123

3、启用telnet密码

Swith(config)#line vty 0 15 //最多有0~15人可以telnet访问swith,合计16人

Swith(config-line)#login

Swith(config-line)#password telnet123 //设置telnet密码为telnet123

注:要想真正生效telnet还要设置特权密码

三、交换机命名hostname BENETSW01

Swith(config)#hostname BENETSW01 //使用hostname命名交换机的名字

四、show命令集

Swith#show version //显示IOS版本信息

Swith#show int vlan 1 brief //简单的显示VLAN1的信息

Swith#show running-config //显示正在运行的配置文件

Swith#show startup-config //显示己经保存的配置文件

Swith#show mac-address-table //显示MAC地址表

Swith#show mac-address-table //显示MAC地址表更新的间隔,默认为5分钟

Swith#show neighbor detail //显示邻居详细信息

Swith#show traffic //显示CDP流量

Swith#show version //显示自身MAC地址

五、设置交换机的网关和DNS名称服务器的IP地址

Swith(config)# ip default-gateway 192.168.10.8 //交换机的网关设置为192.168.10.8

Swith(config)#ip domain -name server 202.106.0.20 //设置DNS名称服务器地址

Swith(config)# no ip domain-lookup //交换机名称服务器的域名查询

六、创建、删除、查看VLAN

禁用 DTP协商 Switch(config-if)# switchport nonegotiate Switch#vlan database //进入vlan数据库配置模式

Switch(vlan)#vlan 2 //创建VLAN2自动命名为vlan0002,同vlan2 name sales

VLAN 2 added:

Name: VLAN0002

Switch(vlan)#exit //退出时应用生效

Swith(vlan)#no vlan 2 //删除vlan2

Switch(config)# interface f0/1 Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan 2 //将端口加入vlan 2中

Switch(config-if)# no switchport access vlan 2 //将端口从vlan2中删除

Switch(config)# interface range f0/1 – 10 // 进行F0/1到10端口范围

Switch(config-if-range)# switchport access vlan 2 //将f0/1到f0/10之间的所有端口加入vlan 2

Switch# show vlan brief //查看所有VLAN的摘要信息

Switch# show vlan id (vlan-id ) //查看指定VLAN的信息

七、开启并查看trunk端

Swith(config)#interface f0/24

Swith(config-if)#swith mode trunk //将f0/24端口设置为trunk

Switch#show interface f0/24 switchport //查看f0/24的接口状态

八、从Trunk中添加、删除Vlan

Switch (config-if )# switchport trunk allowed vlan remove 3 //从trunk端口删除v lan3通过

Switch (config-if)# switchport trunk native vlan a3 //从trunk端口添本征Vlan

Switch # show interface interface-id switchport //检查中继端口允许VLAN的列表

九、单臂路由配置

Router(config)# interface f0/0.1

Router(config-subif)# encapsolution dot1q 1 //子接口封装dot1q 针对的是VLAN1

Router(config-subif)# ip address 192.168.1.1 255.255.255.0 //设置VLAN的网关地址

Router(config)# interface f0/0.2

Router(config-subif)# encapsolution dot1q 2 //子接口封装dot1q针对的是vlan2

Router(config-subif)# ip address 192.168.2.1 255.255.255.0 //设置vlan2的网关的地址

十、配置VTP服务器

S1#vlan database //进入vlan配置模式

S1(vlan)#vtp server //设置该交换机为VTP服务器模式,考试时选默认是透明模式,但思科是默认为服务器模式。

S1(vlan)#vtp domain domain-name //设置VTP管理域名称

S1(vlan)#vtp pruning //启用VTP修剪功能

S1(vlan)#exit

S1#show vtp status //显示VTP状态信息

十一、配置VTP客户端

S2#vlan database

S2(vlan)#vtp client //设置该交换机为VTP客户端模式

S2(vlan)#vtp domain domain-name //这里域名必须和上面的vtp服务器设置的domain名称一样

S2(vlan)#exit

十二、交换机基本配置---mac地址配置

Switch(config)#mac-address-table aging-time 100 //设置学习的MAC地址的超时时间,默认300s

Switch(config)#mac-address-table permanent 0050.8DCB.FBD1 f0/3 //添加永久地址

Switch(config)#mac-address-table resticted static 0050.8DCB.FBD2 f0/6 f0/7 //加入限制性静态地址,它是在设置永久性地址的基础上,同时限制了源端口,它只允许所static配置的接口(f0/6)与指定的端口(f0/7)通信,提高安全性。

Switch(config)#end

Switch#show mac-address-table (查看MAC地址表)

Switch#clear mac-address-table dynamic (清除动态学习的MAC地址表项)

Switch#clear mac-address-table resticted static (清除配置的限制性MAC地址表项)

十三、生成树快速端口(PortFast)配置

STP PortFast是一个Catalyst的一个特性。在STP中,只有forwarding状态,port才能发送用户数据。如果一个port一开始是没有接pc,一旦pc接上,就会经历blocking(20s)->listening(15s)->learing(15s)->forwarding状态的变化。这样从pc接上网线,到能发送用户数据,缺省的配置下需要等50秒的时间,但如果设置了portfast,就使得该端口不再应用STP算法,一旦该端口物理上能工作,就立即将其置为“转发”状态。在基于IOS交换机上,PortFast只能用于连接到终端设备的接入层交换机端口上。

开启PortFast命令:

Switch(config)#interface f0/1

Switch(config-if)#spanning-tree portfast

如果把批次开启可以用:

Switch(config)#interface range f0/1 – 3

Switch(config-if-range)#spanning-tree portfast //注:只有在确认不会产生环路的端口上开启快速端口。

在交换机上配置 BPDU 防护 Switch(config)#interface f0/1

Switch(config-if)#spanning-tree bpduguard enable ———————————————————————————————— 配置生成树 PVST+ 负载均衡。 主根 Switch(config)#spanning-tree vlan 10 root primary

次根 Switch(config)#spanning-tree vlan 10 root secondary —————————————————————————————————————— 配置 STP 模式 使用 spanning-tree mode 命令将交换机配置为以 STP 模式使用 PVST

Switch(config)#spanning-tree mode pvst

十四、STP的负载均衡配置

1、使用STP端口权值(优先级)实现负载均衡

当交换机的两个口形成环路时,STP端口优先级用来决定那个口是转发状态,那个处于阻塞的。可以通过修改Vlan对应端口的优先级来决定该VLAN的流量走两对Trunk链路中那一条。

如上图,我们用端口F0/23做Trunk1,用f0/24做Trunk2。具体配置如下:

<1>、配置VTP、VLAN及Trunk(和上面VLAN配置过程一样,我们把S1设成服务器模式,S2设为客户端模式)

(配置vtp----在S1、S2上)

S1#vlan database //进入VLAN配置子模式

S1(vlan)#vtp server

S1(vlan)#vtp domain vtpserver //这三步也要在S2上执行,只是把第二步的Vtp server 换成vtp client

(配置Trunk----在S1、S2上)

S1(config)#interface f0/23

S1(config-if)#switchport mode trunk

S1(config-if)#exit

S1(config)#interface f0/24

S1(config-if)#switchport mode trunk //在S2上执行同样的这几步操作。

(配置VLAN----只在S1上)

S1#vlan database

S1(vlan)#vlan 2 name vlan2

S1(vlan)#vlan 3 name vlan3

… //依次创建2-5 vlan。

S1(vlan)#exit

<2>、配置STP优先级----在vtp服务器S1上配置

S1(config)#interface f0/23 //进入f0/23端口配置模式,Trunk1

S1(config-if)#spanning-tree vlan 1 port-priority 10 //将vlan 1的端口优先级设为10(值越小,优先级越高!)

S1(config-if)#spanning-tree vlan 2 port-priority 10 //将vlan 2的设为10,vlan3-5在该端口上是默认的128

S1(config-if)#exit

S1(config)#interface f0/24 //进入f0/24,Trunk2

S1(config-if)#spanning-tree vlan 3 port-priority 10

S1(config-if)#spanning-tree vlan 4 port-priority 10

S1(config-if)#spanning-tree vlan 5 port-priority 10 //同上,将vlan3-5的端口优先级设为10

由于我们分别设置了不同Trunk上不同VLAN的优先级。而默认是128,这样,STP协议就可以根据这个优先级的大小来使Trunk1发送接收vlan1-2的数据;Trunk2发接vlan3-5的数据,从而实现负载均衡。

2、使用STP路径值实现负载均衡

如图示:Trunk1走VLAN1-2的数据,而Trunk2走VLAN3-5的数据。

其中vtp、vlan、和trunk端口的配置都和上面一样,不再列出。各项都配置好后,在服务器模式的交换机S1上执行路径值的配置(路径值也叫端口开销,IEEE802.1d规定默认值:10Gbps=2;1Gbps=4;100Mbps=19;10Mbps=100)

S1(config)#interface f0/23

S1(config-if)#spanning-tree vlan 3 cost 30

S1(config-if)#spanning-tree vlan 4 cost 30

S1(config-if)#spanning-tree vlan 5 cost 30 //分别设置vlan 3-5生成树路径值为30

S1(config-if)#exit

S1(config)#interface f0/24

S1(config-if)#spanning-tree vlan 1 cost 30

S1(config-if)#spanning-tree vlan 2 cost 30

这样,通过将希望阻断的VLAN的生成树路径设大,stp协议就会阻断该VLAN从该Trunk上通过。

五、EtherChannel

EtherChannel有两个版本,Cisco的称为端口聚合协议PAgP(Port Aggregation Protocol),IEEE的802.3ad标准称为链路汇聚控制协议LACP(Link Aggregation Control Protocol),他们的配置有些不同。

为避免有冗余链路的网络环境里出现环路,我们采用STP技术,但Spanning Tree冗余连接的工作方式是:除了一条链路工作外,其余链路实际上是处于待机(Stand By)状态。那么能不能把这些冗余的链路利用起来以增加带宽呢?又如何让两条或多条链路同时工作呢?这就是在网络工程中常用的EtherChannel技术。Etherchannel特性在交换机到交换机、交换机到路由器、交换机到服务器之间提供冗余的、高速的连接方式,简单说就是将两个设备间多条FE或GE物理链路捆在一起组成一条设备间逻辑链路,从而达到增加带宽,提供冗余的目的。该技术容错能力好, 实体线路中断可以在数秒内切换至别条线路使用。

以太channel在交换机间或者交换机和主机间提供最多800Mbps(fast etherchnnel)或者最多8Gbps(Gigabit etherchannel)的全双工带宽。一个以太channel 最多由八个配置正确的端口构成。所有在同一个以太channel 中的接口必须具有相同的特性(如双工模式、速度、同为FE或GE端口、native VLAN,、VLAN range,、and trunking status and type.等),并且都要同时配置成二层接口或者三层接口。

设定范例:

S1(config)#interface range f0/1 - 2

S1(config-if-range)#channel-group 1 mode passive

//表示将Fa0/1,Fa0/2设成同一个group, 使用LACP的被动模式!

S2(config)#interface range f0/1 - 2

S2(config-if-range)#channel-group 1 mode active

//将另一边的端口也以同样方式设定, 但mode设成active即可, 交换机会自己新增一个虚拟端口: Port-channel1(Po1), 它和实体接口一样使用,其成本为12。

检查其状态,可用命令:

show etherchannel detail;

show etherchannel load-balance;

show etherchannel port

show etherchannel port-channel;

show etherchannel protocol;

show etherchannel summary

路由部分命令

一、路由器的模式

v 用户模式:Router> //用户模式

v 特权模式:Router# //特权模式

v 全局配置模式:Router(config)# //配置模式

v 接口配置模式:Router(config-if)# //接口模式

v 子接口配置模式:Router(config)#interface fa0/0.1 //进入子接口

Router(config-subif)# //子接口状态

v Line模式:Router(config-line)# //进行线模式

v 路由模式:Router(config-router)# //路由配置模式

二、配置静态路由条目

Router(config)#ip route 192.168.10.0 255.255.255.0 192.168.9.2 //到达192.168.10.0网段及掩码需要经过相邻路由器的接口的IP地址

三、配置默认路由

Router B(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2 //所以外出的数据包如果找不到路由表目均找192.168.2.2接口

四、密码配置

v 配置控制台密码

teacher(config)#line console 0

teacher((config_line)#login

teacher((config_line)#password cisco

teacher(config)#enable password cisco //配置特权模式密码

teacher(config)#enable secret 1234 //配置加密保存的密码

teacher(config)#service password-encryption //对所有密码加密

五、配置路由器的banner信息

teacher(config)#banner motd $This is Aptech company’s Router! Please don’t change the

configuration without permission! $

六、配置路由器接口的描述信息

teacher(config)#interface fastethernet 0/0

teacher(config_if)#description connecting the company’s intranet!

七、配置控制台

v 配置控制台会话时间

teacher(config)#line console 0

teacher(config_line)#exec-timeout 0 0

v 配置控制台输出日志同步

teacher(config)#line console 0

teacher(config_line)#logging synchronous

八、动态路由相关命令

Router(config)# router rip //启动RIP进程

Router(config-router#version 2 //指定启动rip v2版本

Router(config-router)# network network-number //宣告主网络号

Router# show ip route //查看路由表

Router#show ip route static //仅显示静态路由信息

Router# show ip protocols //查看路由协议配置

Rouetr# debug ip rip //打开RIP协议调试命令

九、动态路由配置

RouterA(config)#interface f0/0

RouterA(config-if)#ip address 192.168.1.1 255.255.255.0

RouterA(config-if)#no shutdown

RouterA(config)#interface f0/1

RouterA(config-if)#ip address 10.0.0.2 255.0.0.0

RouterA(config-if)#no shutdown

RouterA(config)#router rip

RouterA(config-router)#network 10.0.0.0

RouterA(config-router)#network 192.168.1.0

十、路由器密码恢复

进入ROM Monitor模式

修改配置寄存器的值,启动时绕过startup-config文件:

rommon1>confreg 0×2142

rommon2>reset

用startup-config覆盖running-config:

Router#copy startup-config running-config

修改密码:

Router(config)#enable password cisco

修改配置寄存器的值:

Router(config)#config-register 0×2102

⊙该文章转自[大赛人网站(技能大赛技术资源网)-DaisaiRen.com] 原文链接:

十一、×××配置

环境:接口地址都已经配置完,路由也配置了,双方可以互相通信.

密钥认证的算法2种:md5和sha1

加密算法2种: des和3des

IPsec传输模式3种:

AH验证参数:ah-md5-hmac(md5验证)、ah-sha-hmac(sha1验证)

ESP加密参数:esp-des(des加密)、esp-3des(3des加密)、esp-null(不对数据进行加密)

ESP验证参数:esp-md5-hmac(md5验证)、esp-sha-hmac(采用sha1验证)

1 启用IKE协商

路由器A

routerA(config)#crypto isakmp policy 1 //建立IKE协商策略(1是策略编号1-1000,号越小,优先级越高)

routerA(config-isakmap)#hash md5 //选用md5密钥认证的算法

routerA(config-isakmap)#authentication pre-share //告诉路由使用预先共享的密钥

routerA(config)#crypto isakmp key 12345 address 20.20.20.22 //12345是设置的共享密钥,20.20.20.22是对端的IP

路由器B

routerB(config)#crypto isakmp policy 1

routerB(config-isakmap)#hash md5

routerB(config-isakmap)#authentication pre-share

routerB(config)#crypto isakmp key 12345 address 20.20.20.21 //路由B和A的配置除了这里的对端IP地址,其它都要一样的)。

2 配置IPSec相关参数

路由器A

routerA(config)#crypto ipsec transform-set test ah-md5-hamc esp-des

//test传输模式的名称。ah-md5-hamc esp-des表示传输模式中采用的验证参数和加密参数。

routerA(config)#acess-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

//定义哪些地址的报文加密或是不加密。

路由器B

routerB(config)#crypto ipsec transform-set test ah-md5-hamc esp-des

routerB(config)#acess-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

//路由器B和A的配置除了这里的源和目的IP地址变了,其它都一样。

3 设置crypto map (把IKE的协商信息和IPSec的参数,整合到一起,起一个名字)

路由器A

routerA(config)#crypto map testmap 1 ipsec-isakmp

//testmap:给crypto map起的名字。1:优先级。ipsec-isakmp:表示此IPSec链接采用IKE自动协商

routerA(config-crypto-map)#set peer 20.20.20.22 //指定此×××链路,对端的IP地址

routerA(config-crypto-map)#set transform-set test //IPSec传输模式的名字。

routerA(config-crypto-map)#match address 101 //上面定义的ACL列表号

路由器B

routerB(config)#crypto map testmap 1 ipsec-isakmp

routerB(config-crypto-map)#set peer 20.20.20.21 (和A路由的配置只有这里的对端IP不一样)

routerB(config-crypto-map)#set transform-set test

routerB(config-crypto-map)#match address 101

4 把crypto map 的名字应用到端口

routerA(config)#inter s0/0 (进入应用×××的接口)

routerA(config-if)#crypto map testmap (testmap:crypto map的名字)

B路由器和A设置完全一样。

5 查看×××的配置

Router#show crypto ipsec sa //查看安全联盟(SA)

router#show crypto map //显示crypto map 内的所有配置

router#show crypto isakmp policy //查看优先级

十二、RIP 协议的配置

RIP配置:

R(config)# router rip

R(config)# network 10.0.0.0(一个有类网络号,要声明所有连接到该路由器接口上的有类网络)

RIPv2配置:

R(config)# version 2

RIP抑制(被动接口):

R(config)# passive-interface s0/0(表示s0/0接口只接受RIP路由更新而不再发送更新)

十三、终端服务器的配置

可以通过配置终端服务器(Terminal server)来实现用一台PC机同时访问多个网络设备(如路由器或交换机),减少配置管理的负担。终端服务器是路由器的一种功能,现在大多路由器都可以通过加装异步/同步网络模块用作终端服务器。

如上图:PC机与终端服务器之间通过Console线缆直接相连;终端服务器通过1拖8与两台路由器相连,线号为1和2。

终端服务器的配置清单如下:

hostname Term_Server

!

interface loopback0 //增加一个loopback接口,用于逆向Telnet

ip address 10.1.1.1 255.255.255.255 //最节省地址空间的方法设置一个ip给环回接口。

!

ip host router1 2001 10.1.1.1 //配置主机表,使得router1与2001,router2与2002联系起来,方便访问其他路由器

ip host router2 2002 10.1.1.1 //我们访问它们时就不用telnet 10.1.1.1 2001,而直接用主机名:router1

!

line 1 8

no exec //在line1-8上配置no exec禁止这8条异步线路上产生EXEC进程,而只允许从终端服务器到其他路由器的连接。

transport input all //指明在这8条线路的输入方向上允许所有的协议。

配置好后,首先登录到终端服务器:

Term_Server#

Term_Server#router1

Trying router1 (10.1.1.1,2001) …Open

Router1>

这时可以用会话切换命令Ctrl+Shift+6 然后按X,切换回终端服务器:

Term_Server#

Term_Server#router2

Trying router1 (10.1.1.1,2002) …Open

Router2>

< Ctrl+Shift+6,x>

Term_Server#show sessions

Term_Server#disconnect 2 //断开会话2

Term_Server#show line 1 //查看线路1状态

Term_Server#clear line 2 //清除线路2

十四、单区域/多区域OSPF 协议的配置

路由器R1

Interface e0

ip address 192.1.0.129 255.255.255.192

Interface s0

ip address 192.200.10.5 255.255.255.252

router ospf 100

network 192.200.10.1 0.0.0.3 area 0

network 192.1.0.128 0.0.0.63 area 1

路由器R2

Interface e0

ip address 192.1.0.65 255.255.255.192

Interface s0

ip address 192.200.10.6 255.255.255.252

router ospf 200

network 192.200.10.4 0.0.0.3 area 0

network 192.1.0.64 0.0.0.63 area 2

路由器R3

Interface e0

ip address 192.1.0.130 255.255.255.192

router ospf 300

network 192.1.0.128  0.0.0.63  area 1

路由器R4

Interface e0

ip address 192.1.0.66 255.255.255.192

router ospf 400

network 192.1.0.64  0.0.0.63  area 2

注:实际配置通配符掩码时,记住其值就等于:块大小-1;/28块大小是16,通配符就用15

广域网配置

一、ISDN配置

ISDN(综合业务数字网),提供两种类型的访问接口,即基本速率接口BRI和主要速率接口PRI。ISDN BRI提供2B64+D16

PRI提供30B+D(均为64Kb/s)。下面通过一个实例来说明两台路由器通过ISDN线路连接时最基本的配置。

R1配置

R1(config)#isdn switch-type basic.net3 //设置交换机类型为basic-net3,这取决于所连接的ISDN类型,中国用的这个

R1(config)#interface bri 0 //进入BRI接口配置模式

R1(config-if)#ip address 192.168.1.1 255.255.255.0 //设置接口IP地址

R1(config-if)#encapsulation ppp //设置封装协议为PPP

R1(config-if)#dialer string 80000002 //设置拨号串,为对方的ISDN号

R1(config-if)#dialer-group 1 //在该接口应用拨号列表1的设置

R1(config-if)#no shutdown //激活端口

R1(config-if)#exit

R1(config)#dialer-list 1 protocol ip permit //设置拨号列表1,即当IP包需要在该拨号链路上传输时引起拨号

R2配置

R2(config)#isdn switch-type basic.net3

R2(config)#interface bri 0

R2(config-if)#ip address 192.168.1.2 255.255.255.0 //设置接口IP地址

R2(config-if)#encapsulation ppp

R2(config-if)#dialer string 80000001 //设置拨号串,为对方(R1)的ISDN号

R2(config-if)#dialer-group 1

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#dialer-list 1 protocol ip permit //R2和R1配置基本相同

二、PPP配置

PPP(点对点协议),DDR是按需拨号路由,一般在实际应用中,ISDN、PPP、DDR经常综合应用

下面结合实例说明基本的配置命令:

R1

R1(config)#username R2 password 0 ciso //定义用户名和口令,注意用户名设为对方,口令双方设置一致。

由于是在ISDN线路进行PPP封装,对ISDN和端口的基本配置都和上面ISDN的配置相同,下面只列出配置清单。

isdn switch-type basic.net3

Interface E0

ip address 10.1.1.1 255.25.255.0

Interface BRI0

ip address 192.168.1.1 255.255.255.0

encapsulation ppp

dialer idle-timeout 300

//设置拨号空闲时间,如果超时没有IP数据包从该接口发送,就断开连接。默认120s

dialer map ip 192.168.1.2 name R2 broadcast 80000002 (注:设置的IP、name、isdn号都是对方的)

//设置拨号映射,当有列表定义的数据包传输时就使用这个定义的映射发起拨号连接并进行认证操作。

ppp multilink //启用PPP多链路的功能特性

dialer load-threshold 128

//设置启用多链路的条件,即:当实际负载占一个B信道带宽的(128/256)%=50%时,就启用第二个B信道,设为1时为无条件启用2个B信道。

dialer-group 1

no cdp enable //通常在拨号链路上都禁用CDP发现协议

ppp authentication chap //设置PPP认证方式为CHAP,或设为:pap (口令认证方式)。或设为:chap pap(混合模式)。

ip route 10.1.2.0 255.255.255.0 192.168.1.2

dialer-list 1 protocol ip permit

R2配置基本和R1相同,只有下面几个地方需注意配置正确的参数:

username R1 password 0 ciso

ip address 10.1.2.1 255.25.255.0

ip address 192.168.1.2 255.255.255.0

dialer map ip 192.168.1.1 name R1 broadcast 80000001

ip route 10.1.1.0 255.255.255.0 192.168.1.1

三、帧中继配置

帧中继是X.25的简化版本。帧中继广域网设备分为DTE和DCE,路由作为DTE设备。帧中继提供面向连接的数据链路层通信。

通过帧中继虚电路为每个链路分配一个链路识别码(DLCI).

1、 配置帧中继交换机:

就是配置一个帧中继的环境,为下面的基本帧中继配置做准备,现以一个具有3个串行接口的路由器为例,通过下面配置来实现全网状的帧中继环境。(全网状是指在这个帧中继环境中任何两个结点间都存在一条虚电路)

每个接口上的DLCI都标在图上,虚线箭头表示两结点间的虚电路。下面是配置清单:

Interface serial1

no ip address

encapsulation frame-relay

clockrate 64000

frame-relay lmi-type cisco

frame-relay lmi-type dce

frame-relay route 102 interface serial2 201

frame-relay route 103 interface serial3 301

!

Interface serial2

no ip address

encapsulation frame-relay

clockrate 64000

frame-relay lmi-type cisco

frame-relay lmi-type dce

frame-relay route 201 interface serial1 102

frame-relay route 203 interface serial3 303

!

Interface serial3

no ip address

encapsulation frame-relay

clockrate 64000

frame-relay lmi-type cisco

frame-relay lmi-type dce

frame-relay route 301 interface serial1 103

frame-relay route 303 interface serial2 203

配置完成,用show frame route显示完整路由信息

2、 基本帧中继配置

上面的帧中继环境已经配置好,现在在该环境中接入两个路由器,以实现端到端的连通性。

一、配置基本的帧中继连接

这里忽略E0口的IP配置和no shutdown激活配置

路由器R1

R1(config)#interface s0

R1(config-if)#ip address 19.168.1.1 255.255.255.0

R1(config-if)#encap frame-relay

//该接口使用帧中继封装

R1(config-if)#no frame-relay inverse-arp //关闭帧中继逆向ARP

R1(config-if)#frame map ip 192.168.1.2 cisco

R1(config-if)#no shutdown

R1(config-if)#end

路由器R2

R2(config)#interface s0

R2(config-if)#ip address 19.168.1.2 255.255.255.0

R2(config-if)#encap frame-relay

//该接口使用帧中继封装

R2(config-if)#no frame-relay inverse-arp //关闭帧中继逆向ARP,防止多个DLCI之间的映射产生混乱。

R2(config-if)#frame map ip 192.168.1.1 cisco

R2(config-if)#no shutdown

R2(config-if)#end

二、配置静态路由并测试连通性。静态路由配置方法上面已经学习,不再详述。然后可以使用下列命令查看配置状态信息。

Show frame pvc; Show frame map; Show frame traffic; Show frame lmi

四、 L2TP配置与测试

第二层通道协议(Layer 2 Tunneling Protocol)是一广泛使用的隧道技术,应用L2TP,方便远程用户随时通过Internet安全的接入公司局域网。L2TP有两种报文:

控制报文:建立、维护和释放隧道。

数据报文:包装通过隧道传输的PPP帧。L2TP配置实例:

Vpdn-group 1 //创建vpdn组1,并记入VPDN组1配置模式。

Accept-dialin protocol l2tp virtual-template 1 terminate-from hostname as8010

//接受L2TP通道连接请求,并根据Virtual-template 1创建Virtual-access接口。

Local name keith //设置Tunnel本端名称为Keith

Lcp renegotiation always //LCP再次协商

No l2tp tunnel authentication //设置不验证通道对端。

PIX防火墻配置

PIX配置专题 六个基本命令

PIX是CISCO公司开发的防火墙系列设备,主要起到策略过滤,隔离内外网,根据用户实际需求设置DMZ(停火区)。它和一般硬件防火墙一样具有转发数据包速度快,可设定的规则种类多,配置灵活的特点。配置PIX防火墙有六个基本命令:nameif,interface,ip address,nat,global,route。

我们先掌握这六个基本命令,然后再学习更高级的配置语句。

1、nameif配置防火墙接口的名字,并指定安全级别:

Pix525(config)#nameif ethernet0 outside security0 //命名e0为outside,安全级别为0。该名称在后面使用

Pix525(config)#nameif ethernet1 inside security100 //命名e1为inside,安全级别为100。安全系数最高

Pix525(config)#nameif dmz security50 //设置DMZ接口为停火区,安全级别50。安全系数居中。

在该配置中,e0被命名为外部接口(outside),安全级别是0;以e1被命名为内部接口(inside),安全级别是100。安全级别取值范围为1到99,数字越大安全级别越高。

2、配置以太口参数(interface):

Pix525(config)#interface ethernet0 auto //设置e0为AUTO模式,auto选项表明系统网卡速度工作模式等为自动适应,这样该接口会自动在10M/100M,单工/半双工/全双工直接切换。

Pix525(config)#interface ethernet1 100 full //强制设置以太接口1为100Mbit/s全双工通信。

Pix525(config)#shutdown //关闭端口

小提示:在节假日需要关闭停火区的服务器的服务时可以在PIX设备上使用interface dmz 100full shutdown,这样DMZ区会关闭对外服务。

3、配置内外网卡的IP地址(ip address)

Pix525(config)#ip address outside 61.144.51.42 255.255.255.248 //设置外网接口为61.144.51.42,子网掩码为255.255.255.248

Pix525(config)#ip address inside 192.168.0.1 255.255.255.0 //设置内网接口IP地址、子网掩码。

你可能会问为什么用的是outside和inside而没有使用ethernet1,ethernet0呢?其实这样写是为了方便我们配置,不容易出错误。只要我们通过nameif设置了各个接口的安全级别和接口类别,接口类别就代表了相应的端口,也就是说outside=ethernet0,inside=ethernet1。

4、指定要进行转换的内部地址(nat)

NAT的作用是将内网的私有ip转换为外网的公有ip,Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。

nat命令配置语法:nat (if_name) nat_id local_ip [netmark]

其中(if_name)表示内网接口名字,如inside,Nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。示例语句如下:

Pix525(config)#nat (inside) 1 0.0.0.0 0.0.0.0 //启用nat,内网的所有主机都可以访问外网,可以用0代表0.0.0.0

Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0 //设置只有172.16.5.0这个网段内的主机可以访问外网。

5、指定外部地址范围(global)

global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。

Global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中(if_name)表示外网接口名字,如outside;Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配;ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围;[netmark global_mask]表示全局ip地址的网络掩码。示例语句如下:

Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48 //设置内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。

Pix525(config)#global (outside) 1 61.144.51.42 //设置内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。

Pix525(config)#no global (outside) 1 61.144.51.42 //删除global中对61.144.51.42的宣告,也就是说数据包通过NAT向外传送时将不使用该IP,这个全局表项被删除。

6、设置指向内网和外网的静态路由(route)

route命令定义一条静态路由。

route命令配置语法:route (if_name) 0 0 gateway_ip [metric]

其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。示例语句如下:

Pix525(config)#route outside 0 0 61.144.51.168 1 //设置一条指向边界路由器(ip地址61.144.51.168)的缺省路由。

Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1 //设置一条指向内部的路由。

Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1 //设置另一条指向内部的路由。

总结:目前我们已经掌握了设置PIX的六大基本命令,通过这六个命令我们已经可以让PIX为我们的网络服务了。不过让网络运行还远远不够,我们要有效的利用网络,合理的管理网络,这时候就需要一些高级命令了。

PIX防火墙高级配置命令

1、配置静态IP地址翻译(static):

如果从外网发起一个会话,会话目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。

static命令配置语法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address

其中internal_if_name表示内部网络接口,安全级别较高。如inside.。external_if_name为外部网络接口,安全级别较低,如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。 示例语句如下:

Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8 //ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。PIX将把192.168.0.8映射为61.144.51.62以便NAT更好的工作。

小提示:使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。

2、管道命令(conduit):

使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。说得通俗一点管道命令(conduit)就相当于以往CISCO设备的访问控制列表(ACL)。

conduit命令配置语法:conduit permit|deny global_ip port[-port] protocol foreign_ip [netmask]

其中permit|deny为允许|拒绝访问,global_ip指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。port指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。protocol指的是连接协议,比如:TCP、UDP、ICMP等。foreign_ip表示可访问global_ip的外部ip。对于任意主机可以用any表示。如果foreign_ip是一台主机,就用host命令参数。

示例语句如下:

Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any //表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp就是指允许或拒绝只对ftp的访问。

Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89 //设置不允许外部主机61.144.51.89对任何全局地址进行ftp访问。

Pix525(config)#conduit permit icmp any any //设置允许icmp消息向内部和外部通过。

Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3

Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any

这两句是将static和conduit语句结合而生效的,192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射把内部IP192.168.0.3转换为全局IP61.144.51.62,然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。

小提示:对于上面的情况不使用conduit语句设置容许访问规则是不可以的,因为默认情况下PIX不容许数据包主动从低安全级别的端口流向高安全级别的端口。 

3、配置fixup协议:

fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。示例例子如下:

Pix525(config)#fixup protocol ftp 21 //启用ftp协议,并指定ftp的端口号为21

Pix525(config)#fixup protocol http 80

Pix525(config)#fixup protocol http 1080 //为http协议指定80和1080两个端口。

Pix525(config)#no fixup protocol smtp 80 //禁用smtp协议。

4、设置telnet:

在pix5.0之前只能从内部网络上的主机通过telnet访问pix。在pix 5.0及后续版本中,可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH,然后用SSH client从外部telnet到PIX防火墙。

我们可以使用telnet语句管理登录PIX的权限。

telnet配置语法:telnet local_ip [netmask]

local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。也就是说默认情况下只有通过console口才能配置PIX防火墙。

小提示:由于管理PIX具有一定的危险性,需要的安全级别非常高,所以不建议大家开放提供外网IP的telnet管理PIX的功能。如果实际情况一定要通过外网IP管理PIX则使用SSH加密手段来完成。

ACL命令和过滤规则

访问控制列表(ACL)是应用在路由器接口上的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来判断决定。

将数据包和访问列表进行比较时应遵循的重要规则:

  1. 数据包到来,则按顺序比较访问列表的每一行。

  2. 按顺序比较访问列表的各行,直到找到匹配的一行,一旦数据包和某行匹配,执行该行规则,不再进行后续比较。

  3. 最后一行隐含“deny”的意义。如果数据包与访问列表中的所有行都不匹配,将被丢弃。

  4. IP访问控制列表会发送一个ICMP主机不可达的消息到数据包的发送者,然后丢弃数据包。

  5. 如果某个列表挂接在实际接口上,删除列表后,默认的deny any 规则会阻断那个接口的所有数据流量。

有两种类型的ACL:标准的访问列表和扩展的访问列表

标准访问控制列表控制基于过滤源地址的信息流。编号范围1-99,举例:

router(config)#access-list 10 permit 172.16.0.0 0.0.255.255

router(config)#access-list 20 deny 192.168.1.0 0.0.0.255

router(config)#access-list 20 permit any //注意这个编号20的ACL的顺序,如果调换顺序,就不起任何作用。

router(config)#access-list 30 deny host 192.168.1.1 //host表精确匹配,默认掩码码为0.0.0.0,指定单个主机。

注意:在访问列表的最后默认定义了一条deny any any 语句。

扩展访问控制列表比标准访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、IP优先级等。编号范围是从100到199,格式一般为:

access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]

access-list 100 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255

access-list 101 deny tcp any host 192.168.1.1 eq www //这句命令是将所有主机访问192.168.1.1上网页服务(WWW)TCP连接的数据包丢弃。

access-list 101 permit tcp any host 198.78.46.8 eq smtp //允许来自任何主机的TCP报文到达特定主机198.78.46.8的smtp服务端口(25)

注意:这里eq 就是等于的意思。端口号的指定可以用几种不同的方法。可以用数字或一个可识别的助记符。可以使用80或http或www来指定Web的超文本传输协议。对于使用数字的端口号,还可以用"<"、">"、"="以及不等于来进行设置。 

命名访问列表只是创建标准或扩展访问列表的另一种方法而已。所谓命名是以列表名代替列表编号来定义IP访问控制列表的。举例如下:

Router(config)#ip access-list extended http-not

Router(config-ext-nacl)#deny tcp 172.16.10.0 0.0.0.255 host 172.16.1.2 eq 23

Router(config-ext-nacl)# permit ip any any

Router(config-ext-nacl)#exit

入口访问列表和出口访问列表:通过上面方法创建的访问列表,要应用到路由器的一个要进行过滤的接口上,并且指定将它应用到哪一个方向的流量上时,才真正的被激活而起作用。

访问列表的调用:在接口下使用:

router(config)#interface s0/1

router(config-if)# ip access-group 10 in

router(config-if)# ip access-group 20 out

ACL可在VTY下调用,但只能用标准列表:

R1(config)#access-list 10 permit 192.168.1.1

R1(config)#line vty 0 4

R1(config-line)#access-class 10 in

下面是通用的ACL配置规则:

  1. 每个接口、每个协议或每个方向上只可以应用一个访问列表。(因为ACL末尾都隐含拒绝的语句,经过第一个ACL的过滤,不符合的包都被丢弃,也就不会留下任何包和第二个ACL比较)。

  2. 除非在ACL末尾有permit any命令,否则所有和列表条件不符的包都将丢弃,所以每个ACL至少要有一个运行语句,以免其拒绝所有流量。

  3. 要先创建ACL,再将其应用到一个接口上,才会生效。

  4. ACL过滤通过路由器的流量,但不过滤该路由器产生的流量。

  5. IP标准访问列表尽可能的应用在靠近目的地的接口上,因为他是基于源地址过滤的,放在源端没有意义。

  6. IP扩展访问列表尽可能的应用在靠近源地址的接口上,因为它可以基于目的地址、协议等过滤,放在源端过滤,免得需要过滤的数据包还被路由到目的端才被过滤,以节省带宽。

附.VTY线路的启用/关闭(虚拟终端连接)

  VTY线路的启用只能按顺序进行,你不可能启用line vty 10,而不启用line vty 9。如果想启用line vty 9,那么你可以在全局模式(或line模式)下输入命令line vty 9 ,如: (config)#line vty 9 这样系统会自动启用前面的0-8线路。当然也可以直接输入line vty 0 9直接启用10条线路。

  如果不想开启这么多条线路供用户使用,那么只须在全局模式下使用no line vty m [n]命令就可以关闭第m后的线路,此时n这个数值可有可无,因为系统只允许开启连续的线路号,取消第m号线路会自动取消其后的所有线路。