交换机、路由器命令
“
1、普通模式
开机直接进入普通模式,在该模式下我们只能查询交换机的一些基础信息,如版本号(show version)等。
2、特权模式
在普通用户模式下输入enable命令即可进入特权用户模式,在该模式下我们可以查看交换机的配置信息和调试信息等等。
3、全局配置模式
在特权模式下输入conf t 命令即可进入全局配置模式,在该模式下主要完成全局参数的配置
4、接口配置模式
在全局配置模式下输入interface interface-list即可进入接口配置模式,在该模式下主要完成接口参数的配置
5、vlan配置模式
在全局配置模式下输入vlan vlan-number 即可进入vlan 配置模式,在该配置模式可以完成vlan的一些相关配置。
6、恢复交换机的缺省配置
在实验开始时,为了不让实验受交换机以前的配置影响,常常需要先恢复交换机的缺省配置。在特权用户模式下顺序使用erase, restet命令即可恢复交换机的缺省配置。
”
给路由器配置IP地址
Router#:conf t 进入全局模式
Router(config)#int f 端口 进入端口模式
Router(config-if)#:ip address ip+子网掩码 配置IP和子网掩码
Router(config-if)#:no shutdown 开启端口
给交换机配置虚拟端口IP地址
Switch#:conf t 进入全局模式
Switch(config)# interface vlan 1 进入虚拟端口
Switch(config-if)# ip address IP+子网掩码 配置IP和子网掩码
Switch(config-if)# no shutdown 开启端口
Switch(config)#ip default-gateway 默认网关 给交换机配置默认网关
Switch# show int f(端口) 查看端口状态
Switch(config)# hostname 名称 更改主机名称
Switch# show version 查看交换机系统及版本信息
Switch# show mac-address-table 查看MAC地址表
Switch(config-if)# duplex {full(全双工) half(半双工)auto(自动协商)} 配置接口模式
Switch(config-if)# speed 10/100/1000 auto 配置接口速率
Switch# show arp 查看ARP缓存表
Switch# clear arp-cache 清除ARP缓存表
Switch(config)#:arp ip地址 mac地址 arpa 绑定ARP条目
Router(config)#:ip route 目的网段 子网掩码 下一跳路由器的接口IP 配置静态路由
Router(config)#:ip route 0.0.0.0 0.0.0.0 下一跳路由器的接口IP 配置默认路由
{ 代表任何网络 }
Router#:show ip route 查看路由表
#:show running-config 简写 sh run 查看路由(交换)机当前配置信息
#:show startup-config 简写 sh star 查看路由(交换)机已保存配置信息
#:copy running-config startup-config 等效命令 write (wr) 保存当前配置信息
#:erase nvram 等效命令:delete {nvram/startup-config} 删除已保存的配置
配置Console口密码
(config)#line console 0 进入console 0 端口配置
(config-line)#password 密码 配置密码
(config-line)#login 保存配置
配置进特权密码
(config)#:enable password 密码 配置明文密码
(config)#:enable secret 密码 配置密文密码
(config)#:service password-encryption 将所有明文密码更改成密文密码
配置远程管理密码(必须有特权密码)
(config)#:line vty o ?(?可以是具体数) 进入终端配置
(config-line)#password 密码 配置密码
(config-line)#login 保存配置
扩展知识:(config)#:username 设备用户名 password 设备密码
(config)#:line vty 0 4
(config-line)#:login local (使用设备用户名和密码)
telnet IP 远程登陆路由(交换)机
TFTP备份路由器镜像
Router#copy flash tftp
Source filename []? 填写源IOS镜像文件名
address or name of remote host[] ? 填写FTP服务器IP地址
Destination filename [源IOS文件名]? 填写目标文件名
TFTP升级或还原路由器镜像
Router#copy tftp flash
address or name of remote host[] ? 写FTP服务器的IP地址
Source filename[]? 填写FTP服务器上路由镜像
Destination filename (IOS文件名) 确认回车
FTP备份路由器镜像
Router(config)#:ip ftp username 用户名 在路由器上配置ftp的用户名
Router(config)#:ip ftp passwore 密码 在路由器上配置ftp的用密码
Router#copy flash ftp 备份IOS
Source filename []? 填写源IOS镜像文件名
address or name of remote host[] ? 填写FTP服务器IP地址
Destination filename [c2600-i-mz.122-28.bin]? 填写目标文件名
FTP升级或还原路由器镜像
Router(config)#:ip ftp username 用户名 在路由器上配置ftp的用户名
Router(config)#:ip ftp passwore 密码 在路由器上配置ftp的用密码
Router#copy ftp flash 升级或还原路由器IOS
address or name of remote host[] ? 写FTP服务器的IP地址
Source filename[]? 填写FTP服务器上路由镜像
Destination filename (IOS文件名) 确认回车
VLAN基本配置
VLAN数据库配置模式下创建VLAN
Switch#:vlan database 进入vlan数据库模式
Switch(vlan)#: vlan (vlan-id) name vlan名称 创建vlanID 和vlan名称
Switch(vlan)#:exit 退出和保存
全局模式下创建VLAN
Switch(config)#:vlan vlan-id 创建vlanID
Switch(config-vlan)#:name 名字 设置vlan名称
Switch(config)#:no vlan vlan-id 删除vlan
Switch(config-if)#:switchport mode access 定义端口模式
Switch(config-if)#:switchport access vlan-id 将端口分配到VLAN中
Switch(config)#:default 端口号 将接口还原到默认配置状态
Switch#:show vlan brief 查看VLAN信息
Switch#:show vlan id vlan-id 查看某个vlan信息
Trunk配置
Switch(config)#:interface {FastEthernet GigabitEthernet} slot/port 进入端口
Switch(config-if)#:switchport trunk encapsulation {isl dot1q negotiate} 选择封装类型
Switch(config-if)#:switchport mode {dynamic{desirable / auto} trunk} 将接口配置为Trunk
Switch(config-if)#:switchport trunk native vlan vlan-id 指定本真VLAN
Switch(config-if)#:switchport trunk allowed vlan remove vlan-id Trunk中删除VLAN
Switch(config-if)#:switchport trunk allowed vlan add vlan-id Trunk中添加VLAN
Switch#:show interface interface-id switchport 验证接口模式
以太网通道的配置
Switch(config)#:interface range fastEthernet 0/1-2 进入端口
Switch(config-if-range)#: channel-group 1 mode on 捆绑通道
Switch#:show etherchannel 1 summary 查看以太网配置
单臂路由的配置 : 将交换机连接路由器的端口配置成Trunk模式
Router(config)#:inter f0/0.1 进入路由器子端口
Router(config-subif)#:encapsulation dot1q vlan-id 给子端口封装VLAN标签
Router(config-subif)#:ip add ip+子网掩码 给子端口配置IP
路由器配置DHCP
Router(config)#:ip dhcp pool pool-name 定义地址池 和地址池名称
Router(dhcp-config)#: network IP地址段+子网掩码 动态分配IP地址段
Router(dhcp-config)#: default-router 网管IP 设定网关地址
Router(dhcp-config)#: dns-server DNS地址 为客户端配置DNS地址
Router(dhcp-config)#: lease 天数 设定地址的租期(单位“天”)
Router(config)#:ip dhcp excluded-address IP IP 预留静态分配的IP地址段或者IP地址
VTP配置
Switch(config)#:vtp domain 名字 创建VTP域
Switch(config)#:vtp mode { server(服务器模式) client(客户机模式) transparent(透明模式)} 配置交换机VTP模式
Switch(config)#:vtp password 密码 配置VTP密码
Switch(config)#:vtp pruning 配置VTP修剪
Switch(config)#:vtp version 2 配置VTP版本号
Switch#:show vtp password 查看VTP密码
Switch#:show vtp status 查看其他VTP信息
三层交换
3L-Switch(config) # ip routing 开启路由功能
3L-Switch# vlan database 进入vlan数据库模式
3L-Switch#(vlan)#vlan (vlan-id) name vlan名称 创建vlanID 和vlan名称
3L-Switch#(vlan)#exit 退出和保存
3L-Switch(config) #int vlan 2 进入VLAN
3L-Switch(config-if)# ip add 192.168.1.1 255.255.255.0 给VLAN添加IP地址
3L-Switch(config) #int range f0/23 -24 进入和二层交换机连接的端口
3L-Switch(config-if-range) #switchport trunk encapsulation dot1q 指定借口封装方式为802.1q
3L-Switch(config-if-range) #switchport mode trunk 指定借口的模式为Trunk
三层交换配置DHCP中继 1、进入到VLAN中 配置命令如下
3L-Switch(config-if)#ip helper-address DHCP服务器的IP
有几个VLAN就配置几个VLAN
STP生成树协议 只能在交换机上配置
配置PVST+的命令
Switch(config) #spanning-tree vlan 1 开启生成树命令
Switch(config) #spanning-tree vlan 1 priority 4096 配置VLAN的网桥优先级
Switch(config) #spanning-tree vlan 1 root primary 指定交换机为VLAN1的根网桥
Switch(config) #spanning-tree vlan 2 root secondary 指定交换机为VLAN2的备网桥
进入端口模式
Switch(config-if) #spanning-tree vlan 1 cost 2-100 更改该端口的端口成本
Switch(config-if) #spanning-tree vlan 1 port-priority 0-128 更改该端口的端口优先级
Switch(config-if) #spanning-tree portfast 将该端口配置成速端口(不参加选举根端口和指定端口)
HSRP 热备份路由协议 (在三层交换上要基于VLAN配置,在路由器上要基于路由器端口配置)
1、进入VLAN虚接口端口配置模式下
Switch(config-if) # standby 2 ip 192.168.1.1 (2:组号 192.168.1.1是虚拟路由器的IP地址)
2、配置HSRP的优先级
Switch(config-if) # standby 2 priority 200 (数字越大优先级越高,默认是100)
3、配置HSRP的占先权
Switch(config-if) # standby 2 preempt
4、配置Hello消息的计时器
Switch(config-if) # standby 2 timers 2 8 (默认数字是 3 10) 这条命令可以不用配置
5、配置HSRP的端口跟踪
Switch(config-if) # standby 2 track f0/1 100 (该端口是连接外网路由器的端口,后面的数字是当端口失效时,路由器的热备份优先级将降低该数值)
标准ACL配置命令:
(允许)(拒绝)
router(config)# access-list 列表号 { permit deny } 源ip或网段 + 反子网掩码
(代替反子网掩码)
router(config)# access-list 1 permit host 192.168.2.2
(代替所有网络)
router(config)# access-list 1 deny any
router(config)# no access-list 1 删除标准ACL
将ACL应用于接口
(进) (出)
router(config-if)# ip access-group 列表号 { in out}
扩展ACL
(表号) (允许) (拒绝)
Router(config)# access-list "100-199"{ permit | deny }
(协议) (如果是具体IP可以用host+具体IP不用加子网掩码)
protocol 源IP 反子网掩码 目标IP 反子网掩码
(小于)(大于)(等于)(不等于)
lt gt eq neq 加端口号或者服务
Router(config)# access-list 100 deny any any (拒绝所有)
示例:Router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255
192.168.2.0 0.0.0.255
删除ACL:Router(config)# no access-list 100 (入口)出口)
将ACL应用到端口 Router(config-if)# ip access-list 100 { in | out }
命名ACL
(标准) (扩展)
Router(config)# ip access-list {standard|extended} 名字
标准命名ACL
Router(config-std-nacl)# { permit | deny }源IP或网段
扩展命名ACL
Router(config-std-nacl)#{permit|deny}{协议}源地址 目标地址 端口号
NAT(网络地址转换)
Router# show ip nat translations 查看当前存在的转换条目
Router# show ip nat statistics 查看NAT的统计信息
静态NAT (内部端口)(源地址)(静态转换)
Router(config)# ip nat inside source static 内部局部地址 内部全局地址
(外部端口)(内部端口)
Router(config-if)# ip nat { outside | inside }
如果要做NAT端口映射 要在内部局部地址前加协议名称,在后面加端口号 并在整个命名后面
加“ extendable ”
动态NAT
1、在内部和外部端口启用NAT
2、定义内部网络中允许访问外部网络的ACL
命令:Router(config)# access-list 1 permit 源IP网段 反子网掩码
3、定义合法内部全局IP地址池
命令:Router(config)# ip nat pool one 起始IP 结束IP netmask 子网掩码
4、实现网络地址转换
命令:Router(config)# ip nat inside source list 1 pool one
PAT(端口多路复用)
1、在内部和外部端口启用NAT
2、定义内部网络中允许访问外部网络的ACL
命令:Router(config)# access-list 1 permit 源IP网段 反子网掩码
3、定义合法内部全局IP地址池 (起始IP和结束IP相同)
命令:Router(config)# ip nat pool one 起始IP 结束IP netmask 子网掩码
4、实现网络地址转换
命令:Router(config)# ip nat inside source list 1 pool one overload
RIP 动态路由协议(距离矢量)
版本1和版本2的区别:V1版本时广播 ,宣告路由信息时不携带网络掩码
V2版本时组播,宣告路由信息时携带网络掩码(可以用于不规则ip地址)
router# show ip rout 查询路由表
router# show ip protocols 查看路由协议
RIP v1版本
router(config)# router rip
router(config-router)network + 端口网段
RIP v2版本
router(config)# router rip
router(config-router) version 2 启动RIP v2版本
router(config-router) no auto-summary 关闭路由汇总功能
router(config-router) network + 端口网段
OSPF 动态路由协议(链路状态)
router# show ip route ospf 只查看OSPF学习到的路由
router# show ip protocol 查看OSPF配置信息
router# show ip ospf 查看OSPF的配置
router# show ip ospf database 查看LSA数据信息
router# show ip ospf interface 查看接口上OSPF配置信息
router# show ip ospf neighbor 查看邻居列表及状态
router# show ip ospf virtual-link 查看虚链路状态
router(config)# router ospf 1
router(config-router)# rouer-id 配置可以手动选举DR和BDR (区域号)
router(config-router)# network + 端口网段 +反子网掩码 area 0 (代表骨干区域)
区域边界路由器(ABR) 自治系统边界路由器(ASBR)
LSA通告 :LSA1(路由器LSA:Router Link States)
LSA2(网络LSA:Net Link States)
LSA3(网络汇总LSA:Summary Net Link States)
LSA4(ASBR汇总LSA:Summary ASB Link States)
LSA5(自治系统外部LSA:Type-5 AS External Link States)
LSA7(NSSA外部LSA:Type-7 AS External Link States)
配置末梢区域和完全末梢区域
router(config-router)# area 1 stub(当配置完全末梢区域时在ABR路由器上后面加:{no-summary})
NSSA 区域配置 : NSSA区域内的所有路由器都需要配置NSSA
router(config-router)# area 1 nssa(当配置NSSA区域时在ABR路由器上后面加:{no-summary})
路由注入配置 (就是配置ASBR路由器)
RIP 和OSPF 之间进行注入命令的示例:
命令是在ASBR路由器上配置
router(config)# router ospf 1
router(config-router)# redistribute rip metric 200 subneta
router(config)# router rip
router(config-router)# redistribute ospf 1 metric 10
在ASBR路由器上注入静态路由、默认路由、直连路由:
router(config)# router ospf 1
router(config-router)# default-information originate 注入默认路由
router(config-router)# redistribute static subnets 注入静态路由
router(config-router)# redistribute connected subnets 注入直连路由
OSPF路由协议地址汇总
区域间路由汇总:
router(config-router)# area 1 range 网段+子网
外部路由汇总:
router(config-router)# summary-address 网段+子网
虚链路配置 :在将要穿过的区域中的ABR路由器上互相指定对方路由器的loopbac0 配置的IP地址
R1(config-router)# area 1 virtual-link 2.2.2.2
R2(config-router)# area 1 virtual-link 1.1.1.1
使用小凡桥接到VMware 虚拟网卡
1、用真实机 cmd 中输入“getmac” 查看网卡的信息 并把“TCPIP” 更改成NPF
ASA状态化防火墙基本配置
ciscoasa# show conn detail 查看Conn表
ciscoasa# show route 查看路由表
ciscoasa# write memory 保存配置
ciscoasa# clear configure all 清除未保存的配置
ciscoasa# clear configure access-list 清除所有ACL
ciscoasa# clear configure access-list 命名 清除单条命名ACL
ciscoasa# write erase 清除已保存的配置
ciscoasa# show xlate detail 查看NAT转换表
ciscoasa# conf t
ciscoasa(config)# hostname ASA 更改主机名
ciscoasa(config)# enable password 111.com 配置特权密码
ciscoasa(config)# password 222.com 配置远程登录密码
接口的安全级别
inside (连接内网的端口,安全级别高:100)
outside(连接外网的端口,安全级别低: 0 )
dmz (一般用于服务器发布,安全级别低于100,高于0)
接口配置命令
ciscoasa(config-if)# nameif {inside/outside/dmz} 要先定义端口的方向
ciscoasa(config-if)# security-level 1-99 配置端口的安全级别
在ASA上配置ACL:1、允许入内网连接 2、控制访问外网连接的流量 :ASA默认规则禁止入站连接
命名ACL
ciscoasa(config)# access-list 命名 { permit/deny } ip host IP host ip 配置ACL
ciscoasa(config)# access-list 命名 { permit/deny } ip ip地址 子网掩码 any :禁止子网流量出站
ciscoasa(config)# access-group 命名 in int { inside/outside } 将ACL调用到端口
ASA上配置静态路由
ciscoasa(config)# route outside ip网段 子网掩码 下一跳IP地址
远程管理ASA
配置Telnet 接入 :默认禁止从外部端口使用,只允许内网使用
ciscoasa(config)# telnet ip地址或网段+子网掩码 inside
ciscoasa(config)# telnet timeout +分钟 配置连接空闲超时时间
配置SSH接入
ciscoasa(config)# domain-name 域名 配置ASA的域名
ciscoasa(config)# crypto key generate rsa modulus 1024 生成RAS密钥
ciscoasa(config)# ssh ip网段 +子网掩码 inside 允许一个网段接入
ciscoasa(config)# ssh 0 0 inside 允许所有IP接入
ciscoasa(config)# ssh version 2 配置SSH版本为2
PC1# ssh -v 2 -L pix ip地址
ASA应用NAT
动态NAT配置:多地址转换成多地址
ciscoasa(config)# nat (inside) 1 IP网段+子网掩码
ciscoasa(config)# global (outside) 1 全局地址池
ciscoasa(config)# nat (inside) 100 inside区域内所有网段实施动态NAT
动态PAT: 多地址转换成一个地址
ciscoasa(config)# nat (inside) 1 IP网段+子网掩码
ciscoasa(config)# global (outside) 1 { IP地址 或者 interface }