设置密码:
密码有五种:控制台密码,辅助端口密码,Telent/SSH(VTY)密码,启用密码(enable password)和启用加密密码(enable secret)。启用密码和启用加密密码用于控制用户进入特权模式,在执行enable命令时要求他提供密码。
1.启用密码: # enable secret 密码 或 # enable password 密码
2.控制台端口密码:进入config模式: # line console 0 (选择控制台端口号,一般只有一个控制台端口,故选0) # password 密码 # login
#exec-timeout 0 0 将控制台EXEC回话超时时间设置为0,即永不超时,默认为10分钟。
3.Telnet密码: 进入config模式:# line vty 0 4 # password 密码 # login
如果没哟设置telnet密码,则用telnet连接,会被拒绝,可用命令 # line vty 0 4 # no login 设置,让在没有设置telnet密码的情况下连接不被拒绝;
4.辅助端口密码:# config terminal 进入config模式,# line aux 0 # login # password 密码
5.设置secure shell。 telnet程序使用非加密数据交流,ssh使用加密秘钥来发送数据,避免了以明文方式发送用户名和密码。
设置ssh的步骤:
1)设置主机名: # hostname 主机名
2)设置域名:# ip domain-name 域名
3)将用户名设置成支持ssh客户端接入: # username 主机名 password 密码
4)生成用于回话的加密秘钥: # crypto key generate rsa
5)在设备上启用ssh的第二版。并非必须,最好是配置下; # ip ssh version 2
6) 进入交换机或路由器VTY线路配置模式: # line vty 0 15
7) 让线路使用本地数据库来存储密码: # login local
8)配置接入协议: # transport input ? 选则协议;不要用# transport input all,会产生安全风险;
使用ssh来保护vty线路 # tansport input ssh telnet
6.加密码加密。?
设置接口描述: # int fa0/1 # description 描述语言
#show running-config 查看接口描述;或 # show interface
#show ip interface brief 列出所有接口信息
禁用接口; # shutdown 启用接口: # no shutdown
给接口配置ip: # interface f0/1 # ip address 192.168.0.1 255.255.255.0 不要给2层交换机接口配置ip地址!
给接口配置辅助地址,使用参数secondary: # ip address 192.168.3.1 255.255.255.0 #ip address 192.168.3.2 255.255.255.0 secondary
管道符 | :# ip route | include 192.168.3.1 查找包含192.168.3.1的路由表
设置接口时钟频率: # clock rate 1000000
dram储存数据,掉电后数据全部消失了,而NVRAM即使掉电后,储存的数据依然不会消失。
手动将DRAM(简称RAM)中的配置文件复制到NVRAM中 # copy running-config startup-config 简写为: # copy run start:
命令:# show startup-config (简写 sh start)用于查看路由器下次重启时将使用的配置;
删除启动配置: # erase startup-config ( 简写:#erase start )
设置环回口:# interface loopback 0 # ip address 192.168.3.1 255.255.255.0
Loopback是路由器里面的一个逻辑接口。逻辑接口是指能够实现数据交换功能,但是物理上不存在、需要通过配置建立的接口。Loopback接口一旦被创建,其 物理状态和链路协议状态永远是Up,即使该接口上没有配置IP地址。正是因为这个特性,Loopback 接口具有 特殊的用途
统计端口信息: # clear counters ? # clear counters s0/0/0
配置dhcp:
#ip dhcp excluded-address 192.168.10.1 192.168.10.10 设置dhcp的保留IP,不动态分配;
#ip dhcp pool Sales_Wireless 设置名称为Sales_Wireless的dhcp地址池名称
#network 192.168.10.0 255.255.255.0 设置dhcp地址池网络ID;
#default-router 192.168.10.1 设置默认网关;
#dns-server 114.114.114.114 设置dns服务器地址;
#lease 3 2 15 设置地址租期为3天2小时15分
#option 66 ascii tftp.lammle.com 设置option66向dhcp客户端发送tftp服务器的地址;
#show ip dhcp binding 列出当前已租给客户端的每个IP地址的状态信息;
#show ip dhcp pool [poolname] 列出配置的IP地址范围等信息;
#show ip dhcp server statistics 列出有关dhcp服务器的统计信息
#show ip dhcp conflict 列出有用静态ip而使用的dhcp地址池的地址;
系统日志:
#show logging 查看缓冲区的内容
#no logging console 禁用控制台日志消息
#no logging buffered 禁用缓冲区消息
#logging 192.168.3.200 将日志消息发送给服务器;
#logging informational
#service timestamps log datetime msec 系统日志服务器保存控制台消息的副本,加上它们的时间戳;
#ntp server 172.16.10.1 version4 从ntp服务器172.16.10.1获取时间信息
#ntp master 将网络设备设置成NTP服务器
#show ntp status 查看客户端ntp信息
思科发现协议: CDP ,是2层协议;动态链路发现协议LLDP;
#show cdp 查看设备cdp全局参数信息;
#cdp holdtime 20 设置保存来自邻居的分组信息为20秒
#cdp timer 20 设置cdp保留时间为20秒;
#no cdp run 关闭cdp协议;
#cdp run 开启cdp协议;
#show cdp neighbors 查看直连设备有关的信息;
#show cdp neighbors detail 提供邻居详细信息;
#no lldp run 禁用lldp协议;
#lldp run 启用lldp协议;
#no lldp transmit 禁用接口lldp
#no lldp receive
#lldp transmit 启用接口lldp发送;
#lldp receive 启用接口lldp接收;
#show users 查看设备当前所有活动控制台端口和vty端口;
创建主机表:
#ip host sw-2 10.0.1.1
#ip host sw-3 10.0.1.3
#show hosts 查看设备主机表;
#no ip host sw-2 删除主机表中sw-2主机名;
#show sessions 查看主机表详细信息;
#no ip domain-lookup 关闭域名查找功能;
#ip domain-lookup 启用域名查找功能;
#ip name-server 114.114.114.114 指定域名服务器地址,最多可指定6个;
#ip domain-name baidu.com 指定域名的主机名
#show processes 查看cpu等进程信息;
RIP 、RIPv2、EIGRP、OSPF是最常见的路由选择协议;
#show ip route 查看路由表;
C 表示网络是直连的。L表示本地主机路由;R表示路由是RIP路由选择协议动态添加的。
MAC地址只能用于LAN内部通信,而不能用于穿越路由器进行通信;
配置默认路由: # ip route 0.0.0.0 0.0.0.0 192.168.3.1
路由选择协议分为两类:内部网关协议(IGP)和外部网关协议(EGP)。IGP用于在位于同一个自主系统(autonomous system,AS)的路由器之间交换路由选择信息。AS是统一管理的单个网络或一系列网络,即路由选择表信息相同的所有路由器都属于一个AS。EGP用于在AS之间通信,边界网关协议(BGP)就是一种EGP。
管理距离(Administrative distance,AD)用于判断从邻接路由器收到的路由选择信息的可信度,它是一个0~255的整数,0表示可信度最高。
路由来源 默认AD
直连接口 0
静态路由 1
外部BGP 20
EIGRP 90
OSPF 110
RIP 120
外部EIGRP 170
内部BGP 200
未知 255
rip路由配置:
#router rip
#network 10.0.0.0
#network 172.16.0.0
#version 2
#no auto-summary
命令:# passive-interface FastEthernet0/1 禁止从接口Fa0/1向外发送RIP更新,但该接口依然能够接收RIP更新。
设置ip路由管理距离: # ip route 10.0.0.0 255.255.255.0 172.16.1.1 150
删除某条路由:# no ip route 10.0.0.0 255.255.255.0 172.16.1.1
查看交换机MAC地址表: # show mac address-table
设置端口模式为access:# switchport mode access
设置端口安全模式:# switchport port-security
设置端口只有1台主机访问:# switchport port-security maximum 1
绑定端口和mac地址:# switchport port-security mac-address MAC地址
关闭端口安全限制:#switchport port-security violation shutdown (即不是限定的mac地址,也不会让该端口关闭)
要启用端口安全,端口必须处于access或trunk模式。要在端口上启用端口安全,必须在接口级执行命令:# swithport port-security
给vlan1配置ip地址:# int vlan1 # ip address 192.168.3.1 255.255.255.0 #no shutdown
#mac address-table static mac地址 vlan1 int fa0/7 把mac地址关联到接口fa0/7,并将该接口分配给vlan 1;
#show port-security int f0/3 查看默认端口安全设置;
配置vlan:
#vlan 2 #name sales
#show vlan 查看vlan信息
不能修改、删除或重命名vlan 1,因为它是默认vlan.它还是所有交换机的默认本机vlan,思科建议将其作为管理vlan。
DTP : 动态中继协议;
#show interfaces trunk
查看端口信息: # show interfaces fastEthernet 0/15 switchport
把端口加入到某个vlan:# int fa0/3 # switchport mode access # switchport access vlan 3 # switchport voice vlan 5
查看端口的详细信息: # show interfaces fa0/3 switchport
配置中继端口:
#int range f0/15-18
#switchport trunk encapsulation dot1q
#switchport mode trunk
#switchport mode dynamic auto 这种模式让接口能够将链路转换为中继链路。
#switchport nonegotiate 禁止接口生成DTP帧。
配置允许通过trunk口的vlan:# switchport trunk allowed vlan 4,6,7,12,15
#switchport trunk allowed vlan remove 4-8 将4-8端口排除,不许通过trunk口。
#switchport trunk allowed vlan all
#switchport trunk native vlan 4 将本机vlan从vlan 1改为vlan 4.
#no switchport trunk native vlan 将当前端口的本机vlan恢复到默认设置;
中继链路两端的本机vlan必须相同,否则将导致严重的问题;
创建中继链路时,默认情况下所有vlan都可通过它传输数据。
访问控制列表可以很好地控制流量在网络中的传输,从而极大地改善网络的运行效率。因新增的语句将放在访问控制列表的末尾,因此强烈要求使用文本编辑器来编辑访问控制列表。
#access-list 10 deny host 192.168.2.1 拒绝任何来自192.168.2.1的分组。
#access-list 10 deny 172.168.10.0 0.0.0.255
应用访问控制列表到端口:# int fa0/1 #ip access-group 10 out
控制vty(telnet/ssh)访问,只允许主机172.16.10.3远程登录到路由器:# access-list 50 permit host 172.16.10.3 # line vty 0 4 #access-class 50 in
对于扩展访问控制列表,应使用编号100~199,而编号2000~2699也可用于扩展访问控制列表。
例:拒绝所有目标IP地址为172.16.30.2的分组,而不管其源IP地址是什么:
#access-list 110 deny tcp any host 172.16.30.2 eq 23 log
每个访问控制列表末尾都有一条隐式的deny all语句。因此必须在该访问控制列表中添加下面的语句:# access-list 110 permit ip 0.0.0.0 255.255.255.255 把该访问控制列表应用到接口: # ip access-group 110 in 或 # ip access-group 110 out
#access-list 110 permit ip any any
命名acl:# ip access-list standard Nlocksales #deny 172.16.40.0 0.0.0.253
#permit any
#show access-list 查看访问控制列表信息
#show access-list 110 显示访问控制列表110的参数。
#show ip access-list 只显示路由器上配置的Ip访问控制列表;
#show ip interface 显示应用于指定接口的访问控制列表
注释:remark # access-list 110 remark Permit Bob from Sales Only To Finance
网络地址转换NAT、动态NAT和端口地址转换PAT,PAT也叫NAT重载。
网络地址转换的三种类型:静态NAT(一对一)、动态NAT(多对多)、NAT重载(一对多)
配置静态NAT:
#ip nat inside source static 10.1.1.1 170.46.2.2 指定对哪些ip地址进行转换。将内部ip地址10.1.1.1 映射到内部全局IP地址170.26.2.2.
#interface Ethernet 0
#ip address 10.1.1.10 255.255.255.0
#ip nat inside 将接口指定为内部接口
#interface Serial10
#ip address 170.46.2.1 255.255.255.0
#ip nat outside 将接口指定为外部接口
配置动态NAT:
要使用动态NAT,需要有一个地址池,用于给内部用户提供公有IP地址。动态NAT不适用端口号,因此对于同时视图访问外部网络的每位用户,都需要一个公有IP地址。
#ip nat pool todd 170.168.2.3 170.168.2.254 netmask 255.255.255.0
#interface Ethernet0
#ip address 10.1.1.10 255.255.255.0
#ip nat inside
#interface Serial0
#ip address 170.168.2.1 255.255.255.0
#ip nat inside
#access-list 1 permit 10.1.1.0 0.0.0.255
配置PAT:
#ip nat pool globalnet 170.168.2.1 170.2.1 netmask 255.255.255.0
#ip nat inside source list 1 pool globalnet overload
#interface Ethernet0/0
#ip address 10.1.1.10 255.255.255.0
#ip nat inside
#inerface Serial0/0
#ip address 170.168.2.1 255.255.255.0
#ip nat outside
#access-list 1 permit 10.1.1.0 0.0.0.255
查看ip nat的条目转换: # show ip nat translations 或 # debug ip nat
使用命令#clear ip nat translation清除nat表中的转换条目,要清除所有nat表中的所有转换条目:# clear ip nat translation *
在思科路由器中,转换条目超时时间默认为86400秒(24小时),可以使用命令#ip nat translation timeout修改它。
VTP:vlan trunk protocol vlan中继协议
查看中继端口: # show interfaces trunk
将交换机端口分配给vlan :# int fa0/3 #switch port mode access # switchport access vlan 3
将端口fa0/15~fa0/18配置成中继端口:#int range f0/15-18 # switchport trunk encapsulation dot1q # switchport mode trunk
修改中继端口的本机vlan: #int f0/15 #switchport trunk native vlan 4
中继链路两端的本机vlan必须相同!
两台交换机要交换vlan信息,必须满足一下四项要求:
1.设置的vtp版本相同
2.其中一台交换机被配置为vtp服务器
3.两台交换机的vtp管理域名必须相同
4.vtp密码相同
配置vtp:
#vtp mode server
#vtp domain Lammle
#vtp password todd
#show vtp password #show vtp status
在vtp客户端模式下不能创建、删除或修改vlan.
stp:生成树协议
根网桥: 根网桥是网桥ID最小(最佳)的网桥。
#show spanning-tree 查看生成树信息
#show spanning-tree vlan 1
#spanning-tree valn 2 priority 16384 修改生成树优先级
#spanning-tree vlan 3 root primary 设置交换机为主根网桥
#spanning-tree vlan 3 root secondary 设置交换机为辅助根网桥
#show spanning-tree smumary
EtherChannel端口信号化(即链路聚合)
配置一个端口信号化的示例:
配置端口信号化之前,先进行接口的中继设置
#int range g0/1 -2
#switchport trunk encapsulation dot1q
#switchport mode trunk
被捆绑的所有端口的配置必须相同,因此在链路两端使用相同的中继配置。
#channel-group 1 mode active
#int port-channel 1
#switchport trunk encapsulation dot1q
#switchport mode trunk
#switchport trunk allowed vlan 1,2,3
对于链路聚合控制协议LACP,在信道两端要么使用active/active,要么使用active/passive,而不能使用passive/passive。
#show etherchannel port-channel
#show etherchannel summary
RADIUS和TACACS+是两种最流行的AAA服务器。
远程用户拨号身份验证 RADIUS。
RADIUS采用客户端/服务器架构,其中客户端通常为路由器、交换机或AP,而服务器通常为运行RADIUS软件的Windows或Unix设备。
在网络设备上启用AAA服务: # aaa new-model
定义本地用户和密码:# username Todd password Lammle
配置一个RADIUS服务器,可使用任何名称,但必须使用在指定服务器上配置的秘钥(key):# radius server SecureLogin
#address ipv4 10.10.10.254
#key MyRadiusPassword
将新创建的RADIUS服务器加入一个AAA编组,该AAA编组的名称可以随便指定:
#aaa group server radius MyRadiusGroup
#server name SecureLogin
指定使用刚创建的编组来进行AAA登录身份验证,同时指定在RADIUS服务器出现故障时,退而使用本地身份验证。
#aaa authentication login default group MyRadiusGroup local
终端访问控制器访问控制系统: TACACS+
启用AAA服务:# aaa new-model
#username Todd password Lammle 创建一个本地用户
配置一个TACACS+服务器:
#radius server SecureLoginTACACCS+
#address ipv4 10.10.10.254
#key MyTACACS+Password
将创建的RADIUS服务器加入一个AAA编组,该AAA编组的名称可以随便指定。
#aaa group server radius MyTACACACS+Group
#server name SecureLoginTACACS+
简单网络管理协议: SNMP,是一种应用层协议,指定了一种消息格式。
路由器配置SNMP:
#snmp-server host 1.2.3.4
#snmp-server comunity Todd rw
#snmp-server location Boulder
#snmp-server contact Todd Lammle
#ip access-list standard Protect_NMS_Station
#permit host 192.168.10.254
第一跳冗余协议: FHRP
热备用路由器协议: HSRP
虚拟路由器冗余协议: VRRP
网关负载均衡协议: GLBP
HSRP定时器包括hello定时器、保持定时器、活动定时器、备用定时器。
配置和验证HSRP1:int fa0/0 #standby 1 ip 10.1.1.10 配置虚拟ip,该地址由HSRP组中的所有路由器共享。
#standby 1 name HSRP_Test 定义组号为1,在承担HSRP职责的所有路由器上,组号都必须相同。
#standby 1 priority 110 将HSRP的优先级设置为110
配置HSRP2:
#int fa0/0
#standby 1 ip 10.1.1.10
#standby 1 name HSRP-Test
查看HSRP配置:# show standby #show standby brief
#debug standby
增强内部网关路由协议(EIGRP),用于思科路由器和一些思科交换机。
配置增强内部网关路由协议EIGRP
#router eigrp 20
#network 172.16.0.0
#network 10.0.0.0
也可使用下面的配置:
#router eigrp 20
#network 10.10.11.0 0.0.0.255
#network 172.16.10.0 0.0.0.3
#network 172.16.10.4 0.0.0.3
EIGRP使用AS号指定一组共享路由信息的路由器,只有AS号相同的路由器才会共享路由。AS号可设置为1~65535之间的任何值。除指定数字外,也可指定AS号为文本。
#router eigrp Todd
#no auto-summary 关闭自动汇总
禁用端口eigrp:#passive-interface g0/0
EIGRP邻居使用组播来交换路由选择更新,可让路由器只使用单播给邻居发送路由更新,方法是将特定路由器指定为邻居:#router eigrp 20 #neighbor 172.16.10.2 #neighbor 172.16.10.6
OSPF:开放最短路径优先
#ip ospf cost 1 设置ospf度量值,度量值范围1~65535,默认值为1
配置ospf:
1.#router ospf 1 启用ospf,ospf进程ID用一个1~65535的数字标识。
2.启动ospf进程后,要在指定的接口ospf通信,并指定每个接口所属的区域。
#router ospf 1
3.#network 10.0.0.0 0.255.255.255 area 0
配置环回接口: #int loopback 0 #ip address 172.31.1.1 255.255.255.255
#show ip ospf 显示路由器上运行的一个或全部ospf进程的信息
#show ip ospf database 显示拓扑数据库的信息
#show ip ospf interface 显示所有与接口相关的ospf信息。
#show ip ospf neighbor 显示有关邻居和邻接关系状态的摘要信息
#show ip protocols 显示当前所有路由协议的运行情况
OSPF是一种链路状态协议,支持VLSM和无类路由选择;RIPv1是一种距离矢量协议,只支持分类路由选择,而不支持VLSM。
配置多区域OSPF时,必须将一个区域命名为区域0,该区域称为主干区域。
高级数据链路控制HDLC、点到点协议PPP。MPLS多协议标签交换。
配置GRE隧道:
1.给物理接口分配IP地址。
2.创建逻辑隧道接口。
3.在隧道接口配置模式下,指定要使用GRE隧道模式(这一步是可选的,因为隧道模式默认设置)
4.指定隧道的源IP地址和目标IP地址。
5.给隧道接口配置IP地址。
#interface s0/0/0
#ip address 63.1.1.1 255.255.255.252
#int tunnel 0
#tunnel mode gre ip 配置逻辑接口传输协议
配置在隧道内部使用的ip地址: # ip address 192.168.10.1 255.255.255.0
#tunnel source 63.1.1.1 配置隧道的源地址
#tunnel destination 63.1.1.2 配置隧道的目标地址
#show run interface tunnel 0
配置串行链路的另一端,将隧道激活
#int s0/0/0
#ip address 63.1.1.2 255.255.252
#int tunnel 0
#ip address 192.168.10.2 255.255.255.0
#tunnel source 63.1.1.2
#tunnel destination 63.1.1.1
配置BGP的主要步骤:
1.定义BGP进程
2.建立一个或多个邻居关系
3.将本地网络通告给BGP
要在路由器上启动BGP进程,可使用命令router bgp AS
#router bgp 1 AS号的取值范围:1~65535
建立一个或多个邻居关系,BGP不能像其他路由选择协议那样自动发现邻居,因此必须使用命令neighbor peer-ip-address remote-as peer-as-number显式地配置邻居关系。
#neighbor 192.168.1.2 remote-as 100
#neighbor 192.168.2.2 remote-as 200
将本地网络通告给BGP
#network 10.0.0.0 mask 255.255.255.0
配置邻接路由器:
#router bgp 100
#neighbor 192.168.1.1 remote-as 1
#network 10.0.1.0 mask 255.255.255.0
#show ip bgp summary
#show ip bgp