设置密码:

  密码有五种:控制台密码,辅助端口密码,Telent/SSH(VTY)密码,启用密码(enable password)和启用加密密码(enable  secret)。启用密码和启用加密密码用于控制用户进入特权模式,在执行enable命令时要求他提供密码。

1.启用密码: #  enable  secret  密码    或 # enable  password  密码

2.控制台端口密码:进入config模式: # line  console 0 (选择控制台端口号,一般只有一个控制台端口,故选0)  #  password  密码    # login

#exec-timeout 0 0  将控制台EXEC回话超时时间设置为0,即永不超时,默认为10分钟。

3.Telnet密码: 进入config模式:# line  vty 0 4   # password  密码  # login

如果没哟设置telnet密码,则用telnet连接,会被拒绝,可用命令 # line vty 0 4  # no login  设置,让在没有设置telnet密码的情况下连接不被拒绝;

4.辅助端口密码:# config terminal  进入config模式,# line aux 0  # login  # password 密码   

5.设置secure  shell。 telnet程序使用非加密数据交流,ssh使用加密秘钥来发送数据,避免了以明文方式发送用户名和密码。

设置ssh的步骤:

1)设置主机名: #  hostname  主机名

2)设置域名:# ip  domain-name  域名

3)将用户名设置成支持ssh客户端接入:  #  username  主机名   password   密码

4)生成用于回话的加密秘钥: #  crypto  key  generate  rsa

5)在设备上启用ssh的第二版。并非必须,最好是配置下;  #  ip  ssh  version 2

6) 进入交换机或路由器VTY线路配置模式:  #  line  vty 0 15

7) 让线路使用本地数据库来存储密码:  #  login   local

8)配置接入协议:  # transport   input  ?  选则协议;不要用# transport input all,会产生安全风险;

使用ssh来保护vty线路   #  tansport  input  ssh telnet

6.加密码加密。?


设置接口描述: #  int  fa0/1   #  description   描述语言

#show  running-config  查看接口描述;或  #  show  interface   

#show   ip  interface  brief   列出所有接口信息


禁用接口;  # shutdown    启用接口: # no  shutdown

给接口配置ip: # interface f0/1   # ip address 192.168.0.1 255.255.255.0  不要给2层交换机接口配置ip地址! 

给接口配置辅助地址,使用参数secondary:  #  ip address 192.168.3.1 255.255.255.0   #ip  address 192.168.3.2 255.255.255.0  secondary


管道符 |  :# ip route | include 192.168.3.1  查找包含192.168.3.1的路由表


设置接口时钟频率: #  clock  rate 1000000


dram储存数据,掉电后数据全部消失了,而NVRAM即使掉电后,储存的数据依然不会消失。

手动将DRAM(简称RAM)中的配置文件复制到NVRAM中 # copy running-config  startup-config   简写为: #  copy  run start:

命令:# show  startup-config (简写 sh  start)用于查看路由器下次重启时将使用的配置;

删除启动配置: # erase startup-config     ( 简写:#erase start )

设置环回口:# interface   loopback  0  # ip address 192.168.3.1 255.255.255.0

Loopback是路由器里面的一个逻辑接口。逻辑接口是指能够实现数据交换功能,但是物理上不存在、需要通过配置建立的接口。Loopback接口一旦被创建,其 物理状态和链路协议状态永远是Up,即使该接口上没有配置IP地址。正是因为这个特性,Loopback 接口具有 特殊的用途

统计端口信息: # clear  counters ?  # clear counters  s0/0/0

配置dhcp:

​#ip  dhcp excluded-address  192.168.10.1 192.168.10.10    设置dhcp的保留IP,不动态分配;

#ip  dhcp pool  Sales_Wireless      设置名称为Sales_Wireless的dhcp地址池名称

#network 192.168.10.0  255.255.255.0   设置dhcp地址池网络ID;

#default-router  192.168.10.1    设置默认网关;

#dns-server 114.114.114.114    设置dns服务器地址;

#lease 3 2 15    设置地址租期为3天2小时15分

#option 66 ascii  tftp.lammle.com  设置option66向dhcp客户端发送tftp服务器的地址;


#show  ip dhcp binding   列出当前已租给客户端的每个IP地址的状态信息;

#show ip dhcp pool  [poolname]   列出配置的IP地址范围等信息;

#show ip dhcp server statistics   列出有关dhcp服务器的统计信息

#show ip dhcp conflict   列出有用静态ip而使用的dhcp地址池的地址;


系统日志:


#show logging   查看缓冲区的内容

#no logging console   禁用控制台日志消息

#no logging buffered   禁用缓冲区消息


#logging 192.168.3.200  将日志消息发送给服务器;

#logging informational


#service timestamps log datetime msec 系统日志服务器保存控制台消息的副本,加上它们的时间戳;

#ntp server 172.16.10.1 version4  从ntp服务器172.16.10.1获取时间信息


#ntp master 将网络设备设置成NTP服务器

#show ntp status   查看客户端ntp信息


思科发现协议: CDP ,是2层协议;动态链路发现协议LLDP;

#show cdp   查看设备cdp全局参数信息;

#cdp holdtime  20  设置保存来自邻居的分组信息为20秒

#cdp timer  20     设置cdp保留时间为20秒;

#no cdp run   关闭cdp协议;

#cdp  run   开启cdp协议;

#show cdp neighbors 查看直连设备有关的信息;

#show  cdp  neighbors detail  提供邻居详细信息;

 

#no lldp run  禁用lldp协议;

#lldp run   启用lldp协议;

  

#no lldp transmit  禁用接口lldp

#no lldp receive


#lldp  transmit  启用接口lldp发送;

#lldp receive    启用接口lldp接收;


#show users  查看设备当前所有活动控制台端口和vty端口;


创建主机表:

#ip host  sw-2 10.0.1.1

#ip host sw-3   10.0.1.3

#show  hosts 查看设备主机表;

#no ip host sw-2   删除主机表中sw-2主机名;

#show sessions  查看主机表详细信息;


#no ip domain-lookup  关闭域名查找功能;

#ip domain-lookup  启用域名查找功能;

#ip name-server 114.114.114.114  指定域名服务器地址,最多可指定6个;

#ip domain-name   baidu.com   指定域名的主机名



#show processes   查看cpu等进程信息;


RIP 、RIPv2、EIGRP、OSPF是最常见的路由选择协议;

​#show ip route   查看路由表;

C 表示网络是直连的。L表示本地主机路由;R表示路由是RIP路由选择协议动态添加的。

MAC地址只能用于LAN内部通信,而不能用于穿越路由器进行通信;


配置默认路由: # ip route 0.0.0.0 0.0.0.0 192.168.3.1


路由选择协议分为两类:内部网关协议(IGP)和外部网关协议(EGP)。IGP用于在位于同一个自主系统(autonomous system,AS)的路由器之间交换路由选择信息。AS是统一管理的单个网络或一系列网络,即路由选择表信息相同的所有路由器都属于一个AS。EGP用于在AS之间通信,边界网关协议(BGP)就是一种EGP。


管理距离(Administrative distance,AD)用于判断从邻接路由器收到的路由选择信息的可信度,它是一个0~255的整数,0表示可信度最高。

  路由来源                               默认AD

  直连接口                                 0

  静态路由                                  1

  外部BGP                                  20

 EIGRP                                       90

    OSPF                                     110

    RIP                                        120

外部EIGRP                                 170

内部BGP                                  200

未知                                          255


rip路由配置:

#​router  rip

#network  10.0.0.0

#network   172.16.0.0

#version  2

#no auto-summary


命令:# passive-interface FastEthernet0/1  禁止从接口Fa0/1向外发送RIP更新,但该接口依然能够接收RIP更新。


设置ip路由管理距离: # ip  route 10.0.0.0 255.255.255.0  172.16.1.1  150

删除某条路由:# no  ip route 10.0.0.0 255.255.255.0  172.16.1.1


查看交换机MAC地址表: # show mac address-table


设置端口模式为access:# switchport mode access

设置端口安全模式:# switchport   port-security

设置端口只有1台主机访问:# switchport  port-security  maximum 1

绑定端口和mac地址:# switchport  port-security  mac-address MAC地址

关闭端口安全限制:#switchport port-security  violation shutdown  (即不是限定的mac地址,也不会让该端口关闭)

 要启用端口安全,端口必须处于access或trunk模式。要在端口上启用端口安全,必须在接口级执行命令:# swithport  port-security


给vlan1配置ip地址:# int vlan1  # ip address 192.168.3.1 255.255.255.0 #no shutdown


#mac  address-table  static mac地址  vlan1  int  fa0/7  把mac地址关联到接口fa0/7,并将该接口分配给vlan 1;


#show  port-security  int  f0/3  查看默认端口安全设置;



配置vlan:

#vlan 2      #name sales

#show vlan   查看vlan信息


不能修改、删除或重命名vlan 1,因为它是默认vlan.它还是所有交换机的默认本机vlan,思科建议将其作为管理vlan。


DTP : 动态中继协议;


#show  interfaces trunk 

查看端口信息: # show  interfaces  fastEthernet 0/15  switchport

把端口加入到某个vlan:# int fa0/3   # switchport  mode access  # switchport  access  vlan 3  # switchport  voice vlan 5


查看端口的详细信息: # show  interfaces  fa0/3  switchport


配置中继端口:

#int  range f0/15-18

#switchport  trunk  encapsulation  dot1q

#switchport  mode  trunk



#switchport mode dynamic auto 这种模式让接口能够将链路转换为中继链路。


#switchport  nonegotiate   禁止接口生成DTP帧。


配置允许通过trunk口的vlan:# switchport  trunk  allowed  vlan  4,6,7,12,15

#switchport trunk  allowed  vlan  remove 4-8   将4-8端口排除,不许通过trunk口。

#switchport trunk allowed vlan  all 


#switchport  trunk native  vlan 4 将本机vlan从vlan 1改为vlan 4.

#no  switchport  trunk native vlan  将当前端口的本机vlan恢复到默认设置;


中继链路两端的本机vlan必须相同,否则将导致严重的问题;

创建中继链路时,默认情况下所有vlan都可通过它传输数据。

访问控制列表可以很好地控制流量在网络中的传输,从而极大地改善网络的运行效率。因新增的语句将放在访问控制列表的末尾,因此强烈要求使用文本编辑器来编辑访问控制列表。


#access-list  10 deny host  192.168.2.1  拒绝任何来自192.168.2.1的分组。

#access-list 10 deny 172.168.10.0 0.0.0.255


应用访问控制列表到端口:# int fa0/1  #ip access-group 10 out


控制vty(telnet/ssh)访问,只允许主机172.16.10.3远程登录到路由器:# access-list 50 permit host 172.16.10.3  # line vty 0 4 #access-class  50 in


对于扩展访问控制列表,应使用编号100~199,而编号2000~2699也可用于扩展访问控制列表。

例:拒绝所有目标IP地址为172.16.30.2的分组,而不管其源IP地址是什么:

#access-list 110 deny tcp any host 172.16.30.2 eq 23 log

每个访问控制列表末尾都有一条隐式的deny all语句。因此必须在该访问控制列表中添加下面的语句:# access-list 110 permit ip 0.0.0.0 255.255.255.255  把该访问控制列表应用到接口: # ip access-group 110 in  或 # ip access-group 110 out


#access-list  110  permit  ip any any


命名acl:# ip  access-list  standard  Nlocksales   #deny  172.16.40.0  0.0.0.253

#permit any  



#show  access-list  查看访问控制列表信息

#show access-list 110 显示访问控制列表110的参数。

#show  ip access-list   只显示路由器上配置的Ip访问控制列表;

#show  ip interface   显示应用于指定接口的访问控制列表


注释:remark   # access-list 110 remark  Permit Bob from Sales Only To Finance


网络地址转换NAT、动态NAT和端口地址转换PAT,PAT也叫NAT重载。


网络地址转换的三种类型:静态NAT(一对一)、动态NAT(多对多)、NAT重载(一对多)


配置静态NAT:

#ip nat inside source static 10.1.1.1 170.46.2.2  指定对哪些ip地址进行转换。将内部ip地址10.1.1.1 映射到内部全局IP地址170.26.2.2.

#interface Ethernet 0

#ip address 10.1.1.10 255.255.255.0 

#ip nat inside   将接口指定为内部接口

#interface Serial10

#ip address 170.46.2.1 255.255.255.0

#ip nat outside  将接口指定为外部接口



配置动态NAT:

要使用动态NAT,需要有一个地址池,用于给内部用户提供公有IP地址。动态NAT不适用端口号,因此对于同时视图访问外部网络的每位用户,都需要一个公有IP地址。


#ip nat pool  todd 170.168.2.3  170.168.2.254  netmask 255.255.255.0

#interface Ethernet0

#ip address 10.1.1.10 255.255.255.0

#ip nat inside

#interface Serial0

#ip address 170.168.2.1  255.255.255.0

#ip nat inside

#access-list 1 permit 10.1.1.0  0.0.0.255


配置PAT:

#ip nat pool globalnet 170.168.2.1  170.2.1  netmask  255.255.255.0

#ip nat inside  source list 1 pool  globalnet  overload

#interface Ethernet0/0

#ip address 10.1.1.10 255.255.255.0

#ip nat inside

#inerface Serial0/0

#ip address 170.168.2.1 255.255.255.0

#ip nat outside

#access-list 1 permit 10.1.1.0  0.0.0.255



查看ip nat的条目转换: # show ip nat translations  或 # debug ip nat

使用命令#clear ip nat translation清除nat表中的转换条目,要清除所有nat表中的所有转换条目:# clear ip nat translation *


在思科路由器中,转换条目超时时间默认为86400秒(24小时),可以使用命令#ip nat translation timeout修改它。


VTP:vlan trunk protocol  vlan中继协议

查看中继端口: # show interfaces trunk


将交换机端口分配给vlan :# int fa0/3   #switch port mode access # switchport  access vlan 3


将端口fa0/15~fa0/18配置成中继端口:#int range  f0/15-18   # switchport  trunk encapsulation dot1q  # switchport  mode trunk


修改中继端口的本机vlan: #int f0/15   #switchport trunk  native vlan 4


中继链路两端的本机vlan必须相同!

两台交换机要交换vlan信息,必须满足一下四项要求:

​1.设置的vtp版本相同

2.其中一台交换机被配置为vtp服务器

3.两台交换机的vtp管理域名必须相同

4.vtp密码相同

配置vtp:

​#vtp mode server

#vtp domain  Lammle

#vtp password  todd


#show vtp password    #show  vtp status


在vtp客户端模式下不能创建、删除或修改vlan.


stp:生成树协议

​根网桥: 根网桥是网桥ID最小(最佳)的网桥。



#show spanning-tree   查看生成树信息

#show  spanning-tree vlan 1

#spanning-tree valn 2 priority 16384   修改生成树优先级


#spanning-tree  vlan 3 root primary   设置交换机为主根网桥

#spanning-tree  vlan 3 root secondary    设置交换机为辅助根网桥


#show spanning-tree  smumary



EtherChannel端口信号化(即链路聚合)

配置一个端口信号化的示例:

配置端口信号化之前,先进行接口的中继设置

#int  range g0/1 -2

#switchport trunk  encapsulation dot1q

#switchport mode trunk

被捆绑的所有端口的配置必须相同,因此在链路两端使用相同的中继配置。

#channel-group  1 mode active

#int  port-channel 1

#switchport  trunk  encapsulation  dot1q

#switchport mode trunk

#switchport  trunk  allowed vlan 1,2,3


对于链路聚合控制协议LACP,在信道两端要么使用active/active,要么使用active/passive,而不能使用passive/passive。


#show etherchannel  port-channel

#show  etherchannel  summary



RADIUS和TACACS+是两种最流行的AAA服务器。

远程用户拨号身份验证  RADIUS。

RADIUS采用客户端/服务器架构,其中客户端通常为路由器、交换机或AP,而服务器通常为运行RADIUS软件的Windows或Unix设备。

在网络设备上启用AAA服务: # aaa  new-model

定义本地用户和密码:#  username Todd  password Lammle


配置一个RADIUS服务器,可使用任何名称,但必须使用在指定服务器上配置的秘钥(key):# radius   server  SecureLogin

#address ipv4  10.10.10.254

#key  MyRadiusPassword

将新创建的RADIUS服务器加入一个AAA编组,该AAA编组的名称可以随便指定:

#aaa  group  server  radius  MyRadiusGroup

#server name SecureLogin

指定使用刚创建的编组来进行AAA登录身份验证,同时指定在RADIUS服务器出现故障时,退而使用本地身份验证。

#aaa  authentication  login  default  group  MyRadiusGroup  local


终端访问控制器访问控制系统: TACACS+

启用AAA服务:# aaa  new-model

#username   Todd  password  Lammle    创建一个本地用户

配置一个TACACS+服务器:

#radius  server  SecureLoginTACACCS+

#address  ipv4  10.10.10.254

#key  MyTACACS+Password

将创建的RADIUS服务器加入一个AAA编组,该AAA编组的名称可以随便指定。

#aaa  group server  radius MyTACACACS+Group

#server  name   SecureLoginTACACS+


简单网络管理协议: SNMP,是一种应用层协议,指定了一种消息格式。


路由器配置SNMP:

#snmp-server  host 1.2.3.4

#snmp-server  comunity Todd  rw

#snmp-server  location Boulder

#snmp-server  contact Todd  Lammle

#ip  access-list  standard  Protect_NMS_Station

#permit   host 192.168.10.254


第一跳冗余协议: FHRP

热备用路由器协议: HSRP

虚拟路由器冗余协议: VRRP

网关负载均衡协议: GLBP


HSRP定时器包括hello定时器、保持定时器、活动定时器、备用定时器。


配置和验证HSRP1:int  fa0/0   #standby  1  ip 10.1.1.10   配置虚拟ip,该地址由HSRP组中的所有路由器共享。

#standby  1  name HSRP_Test   定义组号为1,在承担HSRP职责的所有路由器上,组号都必须相同。

 #standby  1 priority  110   将HSRP的优先级设置为110


配置HSRP2:

#int  fa0/0

#standby  1 ip  10.1.1.10

#standby  1 name HSRP-Test


查看HSRP配置:# show   standby     #show  standby  brief

#debug   standby


增强内部网关路由协议(EIGRP),用于思科路由器和一些思科交换机。


配置增强内部网关路由协议EIGRP

#router  eigrp  20

#network  172.16.0.0

#network  10.0.0.0

也可使用下面的配置:

#router  eigrp 20

#network  10.10.11.0  0.0.0.255

#network   172.16.10.0   0.0.0.3

#network   172.16.10.4  0.0.0.3


EIGRP使用AS号指定一组共享路由信息的路由器,只有AS号相同的路由器才会共享路由。AS号可设置为1~65535之间的任何值。除指定数字外,也可指定AS号为文本。

#router  eigrp  Todd

#no  auto-summary   关闭自动汇总

禁用端口eigrp:#passive-interface  g0/0


EIGRP邻居使用组播来交换路由选择更新,可让路由器只使用单播给邻居发送路由更新,方法是将特定路由器指定为邻居:#router  eigrp 20  #neighbor  172.16.10.2   #neighbor  172.16.10.6


OSPF:开放最短路径优先

​#ip  ospf cost  1   设置ospf度量值,度量值范围1~65535,默认值为1


配置ospf:

1.#router  ospf   1  启用ospf,ospf进程ID用一个1~65535的数字标识。

2.启动ospf进程后,要在指定的接口ospf通信,并指定每个接口所属的区域。

#router  ospf 1

3.#network  10.0.0.0  0.255.255.255  area 0

配置环回接口: #int  loopback 0   #ip  address 172.31.1.1  255.255.255.255


#show  ip ospf    显示路由器上运行的一个或全部ospf进程的信息

#show  ip ospf  database   显示拓扑数据库的信息

#show  ip  ospf  interface   显示所有与接口相关的ospf信息。

#show  ip ospf  neighbor   显示有关邻居和邻接关系状态的摘要信息

#show  ip protocols  显示当前所有路由协议的运行情况


OSPF是一种链路状态协议,支持VLSM和无类路由选择;RIPv1是一种距离矢量协议,只支持分类路由选择,而不支持VLSM。


配置多区域OSPF时,必须将一个区域命名为区域0,该区域称为主干区域。

高级数据链路控制HDLC、点到点协议PPP。MPLS多协议标签交换。


配置GRE隧道:

​1.给物理接口分配IP地址。

2.创建逻辑隧道接口。

3.在隧道接口配置模式下,指定要使用GRE隧道模式(这一步是可选的,因为隧道模式默认设置)

4.指定隧道的源IP地址和目标IP地址。

5.给隧道接口配置IP地址。

#interface s0/0/0

#ip address 63.1.1.1  255.255.255.252

#int  tunnel  0   

#tunnel mode gre  ip   配置逻辑接口传输协议

配置在隧道内部使用的ip地址: # ip address 192.168.10.1 255.255.255.0

#tunnel  source  63.1.1.1  配置隧道的源地址

#tunnel  destination  63.1.1.2   配置隧道的目标地址


#show  run  interface  tunnel 0


配置串行链路的另一端,将隧道激活

#int  s0/0/0

#ip  address 63.1.1.2  255.255.252

#int  tunnel 0

#ip address 192.168.10.2 255.255.255.0

#tunnel  source  63.1.1.2

#tunnel  destination  63.1.1.1


配置BGP的主要步骤:

1.定义BGP进程

2.建立一个或多个邻居关系

3.将本地网络通告给BGP

要在路由器上启动BGP进程,可使用命令router  bgp AS 

#router  bgp 1    AS号的取值范围:1~65535

建立一个或多个邻居关系,BGP不能像其他路由选择协议那样自动发现邻居,因此必须使用命令neighbor  peer-ip-address  remote-as  peer-as-number显式地配置邻居关系。

#neighbor  192.168.1.2  remote-as  100

#neighbor  192.168.2.2   remote-as 200

将本地网络通告给BGP

#network  10.0.0.0   mask  255.255.255.0

配置邻接路由器:

#router bgp 100

#neighbor  192.168.1.1  remote-as  1

#network  10.0.1.0  mask 255.255.255.0


#show  ip  bgp  summary

#show ip bgp