神州数码设备命令大全
目录
组网小知识
1、网线制作
2、交换机、路由器设备管理(配置管理、文件管理及密码管理等)
3、时间设定
4、网络子网VLAN划分及应用(跨交换机相同VLAN间通信、私有VLAN、多层交换机VLAN的划分和VLAN间路由、公用端口等)
5、交换机端口配置(注:要进到端口中才能配置)
交换机端口安全
流量控制
镜像端口
端口流控制
6、交换机端口、链路汇聚
7、交换机生成树协议(STP、RSTP、MSTP等)
8、单臂路由
9、交换机、路由器的路由协议应用(静态路由、RIP、OSPF、策略路由等)
ip route 流程
rip 流程
ospf 流程
用OSPF进行MD5验证
(OSPF)
默认路由
(策略路由)(绑定在源数据包进入路由器的接口)
10、交换机、路由器的标准和扩展型ACL应用
与ACL相关的配置
11、交换机、路由器的DHCP应用
12、交换机、路由器的组播协议
13、热备份(hsrp 和 vrrp)
14、交换机、路由器的QOS应用
15、路由器的NAT应用(网络地址转换NAT)
16、路由器的VPN应用
17、路由器的广域网应用
18、路由器的PPP验证
__
组网小知识
1.设备连接
不同种类型设备的连接用:直通线
同种或是跨层设备的连接用:交叉线(路由与PC)
2.注意设备的叠放次序
3.IP地址要先理顺,以便加快速度。先完成基本配置,全网连通后,继续其它。
交换机还原配置文件:特权模式下:set default /write/ 后重启reload
被加入密码后,起动过程,ctrl+b/ delete startup-config/ 后重启reload
操作系统nos.img
PC,Ip 交换机IP
路由还原配置文件:特权模式下:delete startup.config /后重启reboot
4.每个步骤都要测试成功。切记!!!
1、网线制作
TIA/EIA-568B: 1、白橙,2、橙,3、白绿,4、蓝,5、白蓝,6、绿,7、白棕,8、棕
TIA/EIA-568A: 1、白绿,2、绿,3、白橙,4、蓝,5、白蓝,6、橙,7、白棕,8、棕
如何判断用直通线或交叉线:
设备口相同:交叉线;设备口不同:直通线.
2、交换机、路由器设备管理(配置管理、文件管理及密码管理等)
Switch
配置设备名称:
DCRS-5650-28(config)#hostname swx
特权用户密码:
DCRS-5650-28(config)#enable password shenzhou (明文方式)
DCRS-5650-28(config)#enable password 8 shenzhou (密文方式)
Telnet登陆管理:
DCRS-5650-28(config)#telnet-user shenzhou password 0 digital
Router
配置设备名称:
Router_config#hostname Rx
特权用户密码:
Rx_config#enable password 0 shenzhou level 15(设置最高级别的明文密码)
Rx_config#enable password 7 shenzhou level 15(设置最高级别的密文密码)
Rx_config#aaa authentication enable default enable(设置aaa验证)
Telnet登陆管理:
Rx_config#username client password shenzhou(设置Telnet用户名和密码)
Rx_config#aaa authentication login default local(设置本地用户信息进行验证)
Rx_config#aaa authentication enable default none(设置特权用户信息进行验证)
(line命令可以不用)
Rx_config#line vty 0 4(最多允许4个用户登陆)
Rx_config_line#login authentication default(Telnet使用默认认证列表)
经过测试,配置路由器时,设置telnet时,需同时设置login,enable验证,否则会出现“验证错误”
经过测试,配置交换机时,用户的建立注意设置级别,否则用户在telnet,web管理登录时,不能进入特权模式或提示用户权限不足。
3、时间设定
clock set 00:00:00 2010.10.16
#date
4、网络子网VLAN划分及应用(跨交换机相同VLAN间通信、私有VLAN、多层交换机VLAN的划分和VLAN间路由、公用端口等)
VLAN的划分:
DCRS-5650-28(config)#vlan 100(创建VLAN)
DCRS-5650-28(config-vlan100)#switchport interface e0/0/1-3(把E1-3端口加入VLAN)(EXIT/INTERFACE rang F0/1-3/SWITCHPORT access vlan 100)
DCRS-5650-28(config-vlan100)#switchport interface e0/0/4;6(把E4、E6端口加入VLAN)
DCRS-5650-28(config)#int vlan 100 (设置VLAN)
DCRS-5650-28(config-if-vlan100)#ip address 1.1.1.1 255.255.255.0(设置VLAN的IP)
相同VLAN间的通信:
DCRS-5650-28(config-if-vlan100)#int e0/0/1
DCRS-5650-28(config-if-ethernet0/0/1)#switchport trunk encapsulation dot1q(封装)
DCRS-5650-28(config-if-ethernet0/0/1)#switchport mode trunk(设置接口为中继模式)
DCRS-5650-28(config-if-ethernet0/0/1)#switchport trunk allowed vlan all
(设置允许通过该端口的所有VLAN)
经测试,在设置跨交换机的vlan间通信时,两交换机所连的端口都需设置中继
私有VLAN:
(用于vlan间的互访,进到vlan中配置)
private-vlan [ primary | community | isolated | association ] (主| 团体| 隔扇| 联合 )
switch(Config)#vlan 100
switch(Config-Vlan100)#private-vlan primary (设置主vlan)
switch(Config)#vlan 200
switch(Config-Vlan200)#private-vlan community (设置群体vlan)
switch(Config)#vlan 300
switch(Config-Vlan300)#private-vlan community (设置群体vlan)
switch(Config)#vlan 400
switch(Config-Vlan400)#private-vlan isolated (设置隔离vlan)
switch(Config)#vlan 100
switch(Config-Vlan100)#private-vlan association 200;300;400 (vlan 之间的关联)
switch(Config-Vlan100)#switchport interface ethernet 0/0/1-4
switch(Config-Vlan100)#vlan 200
switch(Config-Vlan200)#switchport interface ethernet 0/0/7-12
switch(Config-Vlan200)#vlan 300
switch(Config-Vlan300)#switchport interface ethernet 0/0/13-18
switch(Config-Vlan300)#vlan 400
switch(Config-Vlan400)#switchport interface ethernet 0/0/19-24
创建私有 vlan 的时候,先做关联,再添加端口。因为关联时,会自动把原vlan 的
端口移除。
相关命令:
Vlan
Name
Switchport access vlan
Switchpor interface
Switchport mode {trunk|access} //设置交换机的端口access或trunk模式;
Switchport trunk allowed VLAN ALL //设置trunk端口允许通过所有VLAN;
Switchport trunk native vlan
Vlan ingress disable //关闭端口的VLAN入口规则。
5、交换机端口配置(注:要进到端口中才能配置)
出入带宽限制 bandwidth control * [both | transmit | receive ]
限制广播数据包 rate-suppression broadcast *
镜像 (监控,在全局下) 源:monitor session 1 source inter 0/0/1 [both| rx | tx ]
目的:monitor session 1 destination inter 0/0/2
双工模式 speed-duplex force[10/100-half/full | auto ]
MAC绑定 switch port-security
switch port-security maximum *(地址最大数)
switch port-security mac-address 00-00-00-00-00-00
swi port lock (锁定端口)
swi port violation shutdown /protect 超出就shutdown
流控 flow control
端口配置网线模式 mdi [across | normal | auto ]
设置trunk 模式
用于二层与三层,或三层与三层间的传输。
在端口模式下设置:
int e0/0/1
switch mode trunk 干道模式
switch trunk allow vlan all 跨交换机之间相同的VLAN能够互通
交换机端口安全
1、绑定MAC地址与端口绑定:
DCRS-5650-28(config)#int e0/0/2
DCRS-5650-28(config-if-ethernet0/0/2)#switchport port-security(启动端口安全模式)
DCRS-5650-28(config-if-ethernet0/0/2)#switchport port-security mac-address 00-00-00-00-00-01 (绑定端口连接的网卡mac地址)
DCRS-5650-28(config-if-ethernet0/0/2)#switchport port-security lock(锁定安全端口)
2、配置MAC 地址表实现绑定和过滤:
DCRS-5650-28A(config)#mac-address-table static address 00-25-11-8b-7c-6d vlan 1 interface ethernet 0/0/1 (绑定MAC和端口)
DCRS-5650-28A(config)#mac-address-table static address 00-25-11-8b-81-cd vlan 1 interface ethernet 0/0/2 (绑定MAC和端口)
3、交换机MAC 与IP 的绑定: am enable;am mac_ip-pool<mac_address><ip_address>
注:5650-28没有此命令,5650-28C有此命令
DCRS-5650-28A(config)#am enable
DCRS-5650-28A(config)#int e0/0/1
DCRS-5650-28A(config)#am port
DCRS-5650-28A(config-if-ethernet0/0/1)#am mac-ip-pool 00-25-11-8b-81-cd 192.168.1.101
查看配置:
DCRS-5650-28A(config)#show am
解锁:
DCRS-5650-28A(config-if-ethernet0/0/1)#no am port
相关命令:
am ip-pool<start_ip_address>[num]// 创建一个IP地址段,放到地址池中。
Am port //打开或关闭物理接口上的AM功能
No am all //删除全部用户配置的MAC-IP地址池或者IP地址池。
Show am //查看当前交换机配置的地址项。
流量控制
DCRS-5650-28(config-if-port-range)#bandwidth control 5000 transmit
(端口带宽出口为5Mbps)
DCRS-5650-28(config-if-port-range)#bandwidth control 2000 receive
(端口带宽入口为2Mbps)
镜像端口
SW1(config)#monitor session 1 source interface ethernet 0/0/11-12(E11-12为端口源镜像)
SW1(config)#monitor session 1 destination interface ethernet 0/0/10(E10为镜像目的端口)
端口流控制
SW2(config-if-ethernet0/0/6)#name SW1-F6-FLOW
SW2(config-if-ethernet0/0/6)#flow control
6、交换机端口、链路汇聚
用于交换机之间的互连,连接线两条以上,增大带宽
流程:
port-group 1 创建汇聚组
inter e0/0/1 进入端口下配置
port-group 1 mode on | active | passive
inter port-channel 1 进入汇聚组下进行配置
switch mode trunk 配置干道模式(根据实际情况设置)
SW1(config)#port-group 1 (创建port-group)
SW1(config)#int e0/0/22-23 (进入端口22,23)
SW1(config-if-port-range)#port-group 1 mode on (强制端口加入port-channel,不启动LACP协议)
SW1(config-if-port-range)#interface port-channel 1 (进入聚合端口)
SW1(config-if-port-channel1)#switchport mode trunk (设置聚合端口为骨干端口)
SW2(config)#port-group 1 (创建port-group)
SW2(config)#int e0/0/22-23 (进入端口22,23)
SW2(config-if-port-range)#port-group 1 mode on (强制端口加入port-channel,不启动LACP协议)
SW2(config-if-port-range)#interface port-channel 1 (进入聚合端口)
SW2(config-if-port-channel1)#switchport mode trunk (设置聚合端口为骨干端口)
7、交换机生成树协议(STP、RSTP、MSTP等)
- . 用于交换机之间的互连,连接线两条以上,体现冗余作用,防止广播风暴
模式mode 根据需求设定 - . 设置交换机优先级priority ( 值越小,越优先),根交换机即优先级为0(4096倍数)
. 设置端口优先级,到端口中设置port-priority ( 值越小,越优先),根端口即优先级为0
. 设置VLAN到instance 的映射
spanning-tree 启用
spanning-tree config进入树配置模型下
instance 1 vlan 1 创建 instance ,1为具体的序号,根据需求设置
e) 设置树根和备份根
28C没有:spanning-tree mst 1 root [ primary | secondary ]
DCRS-5650-28(config)#spanning-tree(启动生成树)(默认开启MSTP 协议)
DCRS-5650-28(Config)#spanning-tree mode stp(运行STP模式)
阻断15S,学习15S,转发20S
设置spanning-tree的mode时需先启动生成树协议
Switch(Config)#spanning-tree priority 0(设置交换机为根网桥)
MSTP典型配置:
SW(Config)#vlan 20
SW(Config-Vlan20)#exit
SW(Config)#vlan 30
SW(Config-Vlan30)#exit
SW(Config)#vlan 40
SW(Config-Vlan40)#exit
SW(Config)#vlan 50
SW(Config-Vlan50)#exit
SW(Config)#spanning-tree mst configuration (进入MSTP域配置模式)
SW(Config-Mstp-Region)#name mstp (配置MSTP域的名字)
SW(Config-Mstp-Region)#instance 3 vlan 20;30
(创建Instance及配置VLAN与Instance的映射关系)
SW(Config-Mstp-Region)#instance 4 vlan 40;50
SW(Config-Mstp-Region)#exit
SW(Config)#interface e0/0/1-7
SW(Config-Port-Range)#switchport mode trunk
SW(Config-Port-Range)#exit
SW(Config)#spanning-tree
SW(Config)#spanning-tree mst 4 priority 0
(配置交换机为实例4的根网桥;配置实例4对应的网桥优先级为0)
多层交换机VLAN的划分和VLAN间路由
划分VLAN
增加端口(端口不连续用“,”)
对VLAN端口设置IP
SW(Config)#interface vlan 100
SW(Config- if-vlan 100)#ip address 192.168.1.1 255.255.255.0
SW(Config- if-vlan 100)#no shut
SW(Config- if-vlan 100)#exit
SW(Config)#interface vlan 200
SW(Config- if-vlan200)#ip address 192.168.2.1 255.255.255.0
SW(Config- if-vlan 200)#no shut
SW(Config- if-vlan 200)#exit
SW(Config)#sh ip route //查看路由配置
相关命令:
8、单臂路由
路由器只需要一个以太网接口和交换机连接,交换机的这个接口设置为Trunk 接口和应用802.1q(dot1q)。在路由器上创建多个子接口和不同的VLAN 连接,子接口是路由器物理接口上的逻辑接口。
在S1 上划分VLAN与端口
vlan1----switch inter f0/5
vlan2----switch inter f0/6
将连接路由的接口设置为TRUNK与802.1q
switch trunk encap dot1q
switch mode trunk
在路由器的物理以太网接口下创建子接口,并定义封装类型
inter f0/0
no shutdown
inter f0/0.1
encapture dot1q 1 native 交换机上的默认VLAN1 ,已设置的vlan
ip add 172.16.1.254 255.255.255.0
inter f0/0.2
encapture dot1q 2 VLAN2
ip add 172.16.2.254 255.255.255.0
9、交换机、路由器的路由协议应用(静态路由、RIP、OSPF、策略路由等)
注意事项:
1.进行完基础配置之后,就开始接通网络(保证能通),达到各网络能够互访
- rip/ospf 所配置的子网是属于直连的网络,先用show ip route 查找
- ip route 所配置的子网是非直连的网络,清楚源地址指向目的地址
注意交换机与路由配置的不同点。
5.当出现多动态路由的时候,一个网段只声明一次,要注意重发布redistribute 的使用
具体配置如下:
ip route 流程
ip route 10.1.1.0 0.0.0.255 192.168.0.1 ( 先目的IP网络,后边是下一跳入端口ip或是本地端口)
rip 流程
router rip 开启rip
version [ 1 |2 ] 选择版本
no auto-summary 在路由下起用关闭自动汇总
network 192.168.0.0 声明直连网段
default-information originate 宣告默认路由
(注:同时使用ospf、静态路由时,要在rip下,重发布ospf 、静态路由static、直连网络connected )
ospf 流程
router ospf 1 开启ospf
network 192.168.0.0 0.0.0.255 area 0 声明直连网段与反码,后边是区域
(注: 同时使用rip、静态路由时,要在ospf下,重发布rip 、静态路由static、直连网络connected )
用OSPF进行MD5验证
( 先启动后设置,再到端口上应用)
router ospf 1
network 192.168.0.0 0.0.0.255 area 0
area 0 authen message-digest 设置区域0启动MD5验证协议
到端口上:
int f0/0
ip ospf authen message-degest 设置端口以MD5方式验证
ip ospf m-d-key 120 md5 test 设置端口的认证ID和密钥
distance 1 设置OSPF 的管理距离为1
(OSPF)
R1_config#router ospf 1
R1_config_ospf_1#network 10.2.1.4/30
R1_config_ospf_1#network 10.2.1.4 255.255.255.252 area 0
R1_config_ospf_1#network 10.43.5.0 255.255.255.252 area 0
R1_config_ospf_1#network 172.16.1.0 255.255.255.0 area 0
R2_config#router ospf 1
R2_config_ospf_1#network 10.43.5.0 255.255.255.252 area 0
R2_config_ospf_1#network 202.192.36.0 255.255.255.0 area 0
R2_config_ospf_1#network 202.192.36.0 255.255.255.0 area 0
SW1(config)#router ospf 1
SW1(config-router)#network 192.168.2.64/26 area 0
SW1(config-router)#network 202.192.36.0/24 area 0
SW2(config)#router ospf 1
SW2(config-router)#network 202.192.37.0/24 area 0
SW2(config-router)#network 192.168.2.128/26 area 0
默认路由
ip route 0.0.0.0 0.0.0.0 [ f0/0] 后边是指下一跳端口
(策略路由)(绑定在源数据包进入路由器的接口)
配置特定的路径,让某个网络发出的数据包只能转发到某个特定的接口。
同一个路由设置多个策略时,只要更改序号,还是用同个名称,再用到端口。
流程:
先允许某个网络通过:用ACL
R1_config#ip access-list standard pbr (定义ACL)
R1_config_std_nacl#permit 10.2.1.5 255.255.255.255 (设置需要进行策略路由的源地址)
创建策略路由
R1_config#route-map pbr 10 permit (定义Route-map)(配置策略路由的名称和序号)
R1_config_route_map#match ip address pbr (设定源地址)(应用ACL)
R1_config_route_map#set ip next-hop 172.16.1.254 (设定下一跳)(下一跳入端口的IP)
应用到端口上
R1_config_route_map#int f0/0 (进入源地址的路由器接口)
R1_config_f0/0#ip policy route-map pbr (绑定Route-map)
10、交换机、路由器的标准和扩展型ACL应用
ACL包括:标准(standard)和扩展(extended),扩展方式可以指定更加细致过滤信息。
标准(standard):基于源地址;扩展(extended):可以基于源,IP,协议,端口号,时间列表(time-range)
等条件过滤;
访问控制列表都含有隐含的拒绝;按照顺序检测。
time-range
参数: absolute 配置绝对时间范围
absolute-periodic 配置周期性绝对时间段
periodic 配置周期时间段
absolute start 9:0:0 2009.3.13 end 18:0:0 2010.3.13 //2009年3月13日至2010年3月13日
absolute-periodic Tuesday 9:15:30 to Saturday 12:30:00 //在Tuesday到Saturday内的9:15:30到12:30:00时间段
periodic Monday Wednesday Friday Sunday 14:30:00 to 16:45:00 //Monday、Wednesday、Friday和Sunday四天内的14:30:00到16:45:00
交换机:(必须开启firewall)
SW1(config)#ip access-list extended ddb (定义名为ddb的ACL)
SW1(config-ip-ext-nacl-ddb)#deny tcp any-source any-destination d-port 445 (关闭445端口)
SW1(config-ip-ext-nacl-ddb)#permit ip any-source any-destination (允许通过所有IP数据包)
SW1(config)#firewall enable (配置ACL功能开启)
SW1(config)#firewall default permit (默认动作为全部允许通过)
SW1(config)#interface e0/0/1-24 (进入接口模式)
SW1(config-if-port-range)#ip access-group ddb in (绑定ACL)
路由器:(注意隐含的DENY)
R1_config#ip access-list extended denyvlan20
R1_config_ext_nacl#deny ip 192.168.2.128 255.255.255.192 any
R1_config_ext_nacl#permit ip any any
R1_config#interface f0/0
R1_config_f0/0#ip access-group denyvlan20 out
与ACL相关的配置- 与NAT:在动态NAT中,要用到ACL来与POOL地址池的转换
ip nat inside source list ACL实例 pool 地址池 - 与qos: 在qos优先权排队时,要用到ACL应用到排队中。
priority-list 3 protocol ip high list ACL实例 - 与qos: 在用qos分类表时,允许某IP网络访问的ACL,应用到分类表中
match access-group ACL实例 - 与策略路由(PBR):允许某IP网络访问的ACL,应用到策略路由当中。 match ip address ACL实例
- 与VPN:在isakmp协议下,应用ACL到映射表中。
match address ACL实例 - 设定输入带宽限制为80kbps并捆绑ACL
rate-limit input access-group 实例名 8000
11、交换机、路由器的DHCP应用
交换机DHCP中继问题:启动 DHCP 服务器和中继代理服务(神州数码S&R综合实验3)
路由器需开启DHCP服务(ip dhcpd enable);交换机也需开启DHCP 服务器和中继代理服务(service dhcp),以及配置DHCP中继转发DHCP广播报文(ip forward-protocol udp bootps),设定中继的DHCP服务器地址(ip helper-address IP(DHCP服务器端口地址))
R2_config#ip dhcpd enable (启动DHCP服务)
R2_config#ip dhcpd pool vlan10 (定义地址池)
R2_config_dhcp#network 192.168.2.64 255.255.255.192 (定义网络号)
R2_config_dhcp#default-router 192.168.2.126 (定义默认网关)
R2_config_dhcp#dns-server 172.16.1.2 (定义DNS)
R2_config_dhcp#range 192.168.2.65 192.168.2.125 (定义地址池范围)
R2_config_dhcp#lease 3 (定义地址租期为3天)
R2_config#ip dhcpd enable (启动DHCP服务)
R2_config#ip dhcpd pool vlan20 (定义地址池)
R2_config_dhcp#network 192.168.2.128 255.255.255.192 (定义网络号)
R2_config_dhcp#default-router 192.168.2.190 (定义默认网关)
R2_config_dhcp#dns-server 172.16.1.2 (定义DNS)
R2_config_dhcp#range 192.168.2.129 192.168.2.189 (定义地址池范围)
R2_config_dhcp#lease 3 (定义地址租期为3天)
lease infinite 永久租期
DHCP中继转发:先设定转发指定UDP端口,再指定VLAN端口,再中继到服务器
ip dhcp relay information policy drop中继时,配置中继的转发政策为不转发DHCP报文
SW1(config)#ip forward-protocol udp bootps (配置DHCP中继转发DHCP广播报文)
SW1(config)#int vlan 10
SW1(config-if-vlan10)# ip helper-address 202.192.36.2 (设置中继的DHCP服务器地址)
SW1(config)#service DHCP (启动DHCP服务或中继代理)
SW2(config)#ip forward-protocol udp bootps (配置DHCP中继转发DHCP广播报文)
SW2(config)#int vlan 20
SW2(config-if-vlan20)# ip helper-address 202.192.37.2 (设置中继的DHCP服务器地址)
SW2(config)#service DHCP (启动DHCP服务或中继代理)
12、交换机、路由器的组播协议
Switch A(Config)#ip pim multicast-routing (启用PIM-DM协议)
SwitchA (Config)#interface vlan 1 (进入VLAN1接口)
SwitchA(Config-if-Vlan1)# ip address 10.1.1.1 255.255.255.0 (设置VLAN1的IP地址)
SwitchA(Config-if-Vlan1)# ip pim dense-mode (在VLAN1上开启PIM-DM协议)
SwitchA(Config-if-Vlan1)#exit
Switch A(Config)#interface vlan2
SwitchA(Config-if-Vlan2)# ip address 12.1.1.1 255.255.255.0
SwitchA(Config-if-Vlan2)# ip pim dense-mode
Switch B(Config)#ip pim multicast-routing
Switch B(Config)#interface vlan 1
SwitchB(Config-if-Vlan1)# ip address 12.1.1.2 255.255.255.0
SwitchB(Config-if-Vlan1)# ip pim dense-mode
SwitchB(Config-if-Vlan1)#exit
Switch B(Config)#interface vlan 2
SwitchB(Config-if-Vlan2)# ip address 20.1.1.1 255.255.255.0
SwitchB(Config-if-Vlan2)# ip pim dense-mode
13、热备份(hsrp 和 vrrp)
提高网络的可靠性,实现冗余。将局域网中的一组设备(包括一个master即活动设备,和若干个backup即备份设备)组成一个虚拟路由器,称为一个备份组。
要有两台以上的设备。设备共用一个虚拟IP,做为局域网内的网关
注意:交换机的认证字段是DCN,路由器的认证字段是Route(交换机与路由器进行备份时,应注意其认证字段:standby [group] authentication
HSRP
R1_config#int f0/0
R1_config_f0/0#ip address 171.16.6.5 255.255.255.0
R1_config_f0/0#standby 1 preempt (设置抢占模式)
R1_config_f0/0#standby 1 ip 171.16.6.100 255.255.255.0 (设置standby ip)
R1_config_f0/0#standby 1 trackl s0/1 (跟踪s0/1端口数据)
R2_config#int f0/0
R2_config_f0/0#ip address 171.16.6.6 255.255.255.0
R2_config_f0/0#standby 1 preempt
R2_config_f0/0#standby 1 ip 171.16.6.100 255.255.255.0
R2_config_f0/0#standby 1 trackl s0/1
R2_config_f0/0#standby 1 priority 95 (设置standby优先级)
VRRP
(Router)
interface Ethernet1/1.1
encapsulation dot1Q 2
ip address 100.1.1.5 255.255.255.0
vrrp 3 associate 100.1.1.30 255.255.255.0 //配置VRRP 组的虚拟IP
vrrp 3 priority 120 //设置在VRRP路由器中使用的热备份优先级
vrrp 3 description line1-master //配置VRRP的描述字符串
vrrp 3 authentication line1pwd //选择一个认证字符串,在备份协议报文交换时用于认证其他同组的路由器。
vrrp 3 preempt //设置抢占方式
vrrp 3 timers advertise dsec 15 //设置VRRP的时间参数
interface Ethernet1/1.2
encapsulation dot1Q 3
ip address 200.1.1.5 255.255.255.0
vrrp 6 associate 200.1.1.30 255.255.255.0
vrrp 6 priority 110
vrrp 6 description line2-backup
vrrp 6 authentication line2pwd
vrrp 6 preempt
vrrp 6 timers advertise dsec 15
(Switch)
SW1 (config)#int vlan 1
SW1 (Config-if-Vlan1)# ip address 10.1.1.1 255.255.255.0
SW1 (config)#router vrrp 1 (创建虚拟路由)
SW1 (config-router)# virtual-ip 10.1.1.5 (设置虚拟ip)
SW1 (config-router)# int vlan 1 (配置VRRP接口)
SW1 (config-router)# enable (启动该虚拟路由器)
SW2 (config)#int vlan 1
SW2 (Config-if-Vlan1)# ip address 10.1.1.7 255.255.255.0
SW2 (config)#router vrrp 1
SW2 (config-router)# virtual-ip 10.1.1.5
SW2 (config-router)# int vlan 1
SW2 (config-router)#priority 95 (设置优先级)
SW2 (config-router)# enable
14、交换机、路由器的QOS应用
在网络中通过运用传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等设置来提高服务质量。
总结后,分为三类:QOS表、自定义队列、优先级队列.
- 优先级队列
(设置某个网络通过有优先权)
先设置允许某个网络通过:用ACL
ip access-list extended 101
permit ip 10.1.1.1 255.255.255.0 10.1.2.1 255.255.255.0
启用QOS的自定义队列
priority-list 1 protocol ip high list 101 优先级有4种:high,middle,normal,low
应用到端口
int s0/1
priority-group 1 - 自定义队列
分为:interface、protocol、queue等,在其子项中还有选项,打“?”查寻。
queue-list 1 interface f0/0 2 创建自定义排队列表1,来自F0/0的包指定优先级后,放入队列2
queue-list 1 protocol arp 3 lt 100 用列表1,使用arp类型,将小于100长度的包放入队列3
queue-list 1 queue 3 byte-count 400 limit 50 用列表1,用queue时,队列3的上限为50,发送数400
应用到端口上
int f0/0
custom-queue-list 1 QOS表的应用
(Router)
路由下:建立分类表,建立策略表,将分类表放入策略表,应用到端口
class-map 分类表名 match [ int f0/0 | access-group ACL实例] 设置入端口或是ACL
policy-map 策略表名 创建策略表
class 分类表名 [priority | bandwidth ] 400 配置 严格优先级队列或带宽
应用到端口
int f0/0
fair-queue 应用策略前要先在接口开启公平队列,否则该应用不能生效
service-policy [input | output] 策略表名 应用策略表端口下的配置:
mls qos cos 5 配置端口COS默认值为5
priority-queue out 设定端口为PRIORITY-QUEUE方式
wrr-queue bandwidth 1 1 2 2 4 4 8 8 设定端口的权重
R1_config#ip access-list standard Qos (定义名为Qos的ACL)
R1_config_std_nacl#permit 172.16.1.2 255.255.255.255
R1_config_std_nacl#exit
R1_config#class-map server match access-group Qos (定义名为server的类型匹配列表Qos)
R1_config#policy-map tang (定义名为tang的,设定带宽为1Mbps)
R1_config_pmap#class server bandwidth 1024 (定义名为tang的,设定带宽为1Mbps)
R1_config#int f0/3
R1_config_f0/3#fair-queue (开启公平队列)
R1_config_f0/3#service-policy tang (将策略表绑定)
(Switch)
交换机下:启动QOS,建立分类表,建立策略表,将分类表放入策略表,应用到端口(此处只是列出部分)
具体如下:
mls qos 启动QOS
class-map 分类表名 建立分类表
match [access-group ACL实例 | ip dscp 值 | ip precedence 优先值 ] 分类表下的配置
policy-map 策略表名 建立策略表
class 分类表名 将分类表放入策略表中
set ip [ dscp | precedence | nexthop ] 再次配置DSCP、优先级、下一跳地址
police 1024 500 exceed-action [ policed-dscp-tran | drop] 配置带宽1M,突发值0.5M,超过降档或丢弃
应用到端口
int e0/0/1
service-policy input 策略表名 在端口中应用策略表
SW1(config)#mls qos (启动Qos)
SW1(config)#ip access-list standard Qos-02 (创建ACL,名称为Qos-02)
SW1(config-ip-std-nacl-qos-02)#permit 10.2.4.0 0.0.0.255 (允许10.2.4.0/24中的数据)
SW1(config)#ip access-list standard Qos-01 (创建ACL,名称为Qos-01)
SW1(config-ip-std-nacl-qos-01)#permit 10.2.3.0 0.0.0.255 (允许10.2.3.0/24中的数据)
SW1(config)#class-map map-02 (创建分类表map-02)
SW1(config-classmap-map-02)#match access-group Qos-02 (绑定ACL,Qo-02)
SW1(config)#class-map map-01 (创建分类表map-01)
SW1(config-classmap-map-01)#match access-group Qos-01 (绑定ACL,Qo-01)
SW1(config)#policy-map PMSW1F12 (创建策略表PMSW1F12)
SW1(config-policymap-pmsw1f12)#class map-01 (使用分类表map-01)
SW1(config-policymap-pmsw1f12-class-map-01)#set ip dscp 19 (将DSCP值改为19)
SW1(config-policymap-pmsw1f12-class-map-01)#policy 80000 9000 exceed-action drop
(带宽为80Mbps,突发值为9M字节,超过丢弃)
SW1(config-if-ethernet0/0/13)#service-policy input PMSW1F12
(绑定PMSW1F12到E13端口)
SW1(config-if-ethernet0/0/13)#mls qos cos 5 (设定E3端口COS默认值为5)
15、路由器的NAT应用(网络地址转换NAT)
3种实现方式:静态转换、动态转换、端口多路复用- 静态NAT多用于映射端口转换,和单个地址/网段的转换
- 动态NAT用于多地址转换
- 动态NAT要先设置好ACL和POOL,再转换
- 要很清楚哪个是源地址,那个是目的地址
- NAT是应用在端口上的 (inside/outside视具体情况而定)
具体如下:
静态NAT的使用
1.在内部本地地址和内部全局地址间建立静态地址转换
ip nat inside source static 10.1.1.1 61.159.62.1 内指向外部地址
int f0/0 应用到端口上
ip nat inside
2.将某IP的端口(例:80)映射到另一个IP上
ip nat inside source static tcp 10.1.1.1 80 61.159.62.1 80
ip nat inside source static tcp 192.168.1.1 80 interface f0/0
int s0/0
ip nat outside
动态NAT的使用
先配置好ACL
ip access-list standard 1 标准控制列表
permit 10.1.1.1 255.255.255.0
再配置POOL地址池
ip nat pool 池名 3.1.1.1 3.1.1.10 255.255.255.0 地址池范围
允许通过的IP网络ACL,与 pool 转换
ip nat inside source list 1 pool 池名 overload 支持地址复用
用到端口上
int f0/0
ip nat outside
NAT的负载均衡应用
只能路由上做,动态NAT转换, 它是一种反向NAT转换,是对目的的地址的转换,对于使用一个外部全局地址访问多个内部本地址的NAT转换中,需要转换数据包中的目的地址。所用命令是"ip nat inside destination"。
ip nat pool name start-ip end-ip netmask rotary 创建一个动态NAT地址池,循环使用地址
ip access-list standard 1 是内部本地地址
permit source [source-wildcard] 创建限制外部网络用户使用NAT的标准ACL
ip nat inside destination list 1 pool name 动态NAT转换,转换的是目标地址,而不是源地址
ip nat inside
ip nat outside 接口配置命令指定NAT接口类型
实例:定义一个虚拟地址作为内部全局地址,用来代表内部网络中多个真实主机地址,实现内部网络多主机TCP负载均衡,与内部网络真实主机地址进行转换.
ip nat pool test 192.168.15.2 192.168.15.15 255.255.255.240 rotary 内部本地
Ip access-list standard test
permti 192.168.5.1 虚拟内部全局
ip nat inside destination list test pool test NAT转换
int s0/1 端口应用
ip nat outside
Int f0/0
Ip nat inside
16、路由器的VPN应用
VPN(IPSec)
(1)设置ACL。
R1_config#ip access-list extended vpn (设置访问控制列表)
R1_config_ext_nacl#permit ip 172.16.1.0 255.255.255.0 192.168.2.0 255.255.255.0
(2)开启VPN,建立通道;
R1_config#crypto isakmp policy 10 (设置IKE策略,优先级为10)
(3)然后发布共享密钥,并配置验证或加密算法;
authen pre-share 在本地发布共享密钥
encryption [des | 3des | aes ] 加密算法
hash [md5 | sha ] 验证算法
R1_config_isakmp#authentication pre-share (设置认证方式)
R1_config_isakmp#hash md5 (设置完整性算法)
R1_config_isakmp#exit
(4)发布给对端,设置KEY与对端IP
R1_config#crypto isakmp key digital 10.43.5.2 (设置共享密钥digital,对端地址)
(5)设置变换集,用以交换
R1_config#crypto ipsec transform-set one (设置变换集合)
R1_config_crypto_trans#transform-type ah-md5-hmac esp-3des (设置交换类型)
R1_config_crypto_trans#exit
(6)配置映射表,指定使用的交换集合和IPSec对端,并为映射表指定ACL控制列表
R1_config#crypto map my 10 ipsec-isakmp (设置ipsec-isakmp加密映射表,名为my,序号为10)
R1_config_crypto_map#set transform-set one (指定变换集合)
R1_config_crypto_map#set peer 10.43.5.2 (允许加密的对端地址)
R1_config_crypto_map#match address vpn (制定访问控制列表)
R1_config_crypto_map#exit
(7)进入接口中,应用上边的映射表。
R1_config#int s0/1
R1_config_s0/1#crypto map my (应用加密映射表)
vpn(PPTP)的配置
ip local pool text 192.168.2.2 192.168.2.20 定义获取VPN的地址池,
interface Virtual-Template 1 进入虚接口1
ppp authentication pap 配置认证方式
ip unnumbered FastEthernet 1/0 继承接口IP
peer default ip address pool pptp 关联地址池
进入全局模式
vpdn enable 开启VPN
vpdn-group PPTP 定义组名称
accept-dialin 允许拨入访问,设本组为NS
protocol pptp 允许拨入访问得协议
virtual-template 1 关联虚接口,拨入时候分配给用户得虚接口。
vpn(L2TP)的配置
A到B的数据传输实例
ROUTER-A的配置(LNS端)
username L2TP password L2TP
Int virtual-tunnel 0 创建虚拟接口模板
Ip add 172.16.1.2 255.255.255.0 接口IP
ppp authen chap
Ppp chap host L2TP 发送chap验证名
Ppp chap password [密码]
//退回配置模式(config)
Vpdn enable 开启vpn
Vpdn-group 0 创建VPN组
accept-dialin 允许拨入访问, 设本组为NS
Protocol 12tp 隧道协议是l2tp
ROUTER-B的配置(LAC端)
username L2TP password L2TP
Int virtual-tunnel 0 创建虚拟接口模板
ip add negotiated IP从LNS端获取
ppp authen chap
Ppp chap host L2TP 发送chap验证名
Ppp chap password [密码]
//退回配置模式(config)
Vpdn enable 开启vpn
Vpdn-group 0 创建VPN组
Request-dialin 允许拨入访问,设本组为NAC
Initiate-to ip 192.168.1.2 priority 1 设定关联远端NS的IP
Protocol 12tp 隧道协议是l2tp
//退回配置模式(config)
Ip route 192.168.2.0 255.255.255.0 virtual-tunel 0
17、路由器的广域网应用
18、路由器的PPP验证
PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。
CHAP方式:chap是三次握手,认证首先由主认证方发起认证请求,向被认证方发送“挑战”字符串(一些经过摘要算法加工过的随机序列)。
R1_config#aaa authentication ppp shenzhou local
(定义名为shenzhou,本地数据验证的aaa验证方法)
R1_config#username R2 password 0 shenzhou(设置账号密码)
R1_config#int s0/1
R1_config_s0/1#ip add 192.168.1.1 255.255.255.252
R1_config_s0/1#physical-layer speed 2048000
R1_config_s0/1#encapsulation ppp(封装PPP协议)
R1_config_s0/1#ppp authentication chap shenzhou(设置验证方式)
R1_config_s0/1#ppp chap hostname R1(设置发送给对方验证的账号)
R2_config#aaa authentication ppp shenzhou local
(定义名为shenzhou,本地数据验证的aaa验证方法)
R2_config#username R1 password 0 shenzhou(设置账号密码)
R2_config#int s0/1
R2_config_s0/1#ip add 192.168.1.1 255.255.255.252
R2_config_s0/1#encapsulation ppp(封装PPP协议)
R2_config_s0/1#ppp authentication chap shenzhou(设置验证方式)
R2_config_s0/1#ppp chap hostname R2(设置发送给对方验证的账号)
PAP方式:两次握手,认证首先由被认证方发起认证请求,将自己的用户名和密码以明文的方式发送给主认证方。
R1_config#aaa authentication ppp shenzhou local
(定义名为shenzhou,本地数据验证的aaa验证方法)
R1_config#username R2 password 0 shenzhou(设置账号密码)
R1_config#int s0/1
R1_config_s0/1#ip add 192.168.1.1 255.255.255.252
R1_config_s0/1#physical-layer speed 2048000
R1_config_s0/1#encapsulation ppp(封装PPP协议)
R1_config_s0/1#ppp authentication pap shenzhou(设置验证方式)
R1_config_s0/1#ppp pap sent-username R1 password shenzhou
(设置发送给对方验证的账号)
R2_config#aaa authentication ppp shenzhou local
(定义名为shenzhou,本地数据验证的aaa验证方法)
R2_config#username R1 password 0 shenzhou(设置账号密码)
R2_config#int s0/1
R2_config_s0/1#ip add 192.168.1.1 255.255.255.252
R2_config_s0/1#encapsulation ppp(封装PPP协议)
R2_config_s0/1#ppp authentication pap shenzhou(设置验证方式)
R2_config_s0/1# ppp pap sent-username R2 password shenzhou
(设置发送给对方验证的账号)
SNMP配置
snmp-server community
命令:snmp-server community {ro|rw}
功能:设置交换机的团体字符串
添加读写权限的团体字符串private。
Switch(config)#snmp-server community rw private
添加只读权限的团体字符串public。
Switch(config)#snmp-server community ro public
snmp-server enable //打开交换机作为SNMP 代理服务器功能
snmp-server enable traps //设置允许设备发送Trap 消息
snmp-server host //设置接受Trap的管理端
功能:对v1/v2c 版本来说,设置接收SNMP 的Trap 消息的网络管理站IP 地址及Trap 团
体字符串,对v3 版本来说,设置接收SNMP 的Trap 消息的网络管理站IP 地址及
Trap 用户名和安全级别;
实例:
snmp-server enable //打开交换机作为SNMP 代理服务器功能
snmp-server host 10.2.1.2 v2c ruijie //设置接受Trap的管理端
snmp-server community ro ruijie //设置交换机的团体字符串,名为ruijie的制度权限认证名
snmp-server enable traps //设置允许设备发送Trap 消息
rmon enable //打开RMON
真棒!