路由器配置文件
路由器配置(新手上路,比較全面,強烈推薦)
第一章 路由器配置基礎
一、基本設定方式
二、命令狀態
三、設定對話過程
[@more@]四、常用命令一、基本設定方式
二、命令狀態
三、設定對話過程
五、配置IP定址
六、配置靜態路由
第二章 廣域網協議設定
一、HDLC
二、PPP
三、X.25
四、Frame Relay
五、ISDN
六、PSTN
第三章 路由協議設定
一、RIP協議
二、IGRP協議
三、OSPF協議
四、重新分配路由
五、IPX協議設定
第四章 服務質量及訪問控制
一、協議優先順序設定
二、佇列定製
三、訪問控制
第五章 虛擬區域網(VLAN)路由
一、虛擬區域網(VLAN)
二、交換機間鏈路(ISL)協議
三、虛擬區域網(VLAN)路由例項
參考
第一章:路由器配置基礎
一、基本設定方式
一般來說,可以用5種方式來設定路由器:
1.Console口接終端或執行終端模擬軟體的微機;
2.AUX口接MODEM,透過電話線與遠方的終端或執行終端模擬軟體的微機相連;
3.透過Ethernet上的TFTP伺服器;
4.透過Ethernet上的TELNET程式;
5.透過Ethernet上的SNMP網管工作站。
但路由器的第一次設定必須透過第一種方式進行,此時終端的硬體設定如下:
波特率 :9600
資料位 :8
停止位 :1
奇偶校驗: 無
二、命令狀態
1. router>
路由器處於使用者命令狀態,這時使用者可以看路由器的連線狀態,訪問其它網路和主機,但不能看到和更改路由器的設定內容。
2. router#
在router>提示符下鍵入enable,路由器進入特權命令狀態router#,這時不但可以執行所有的使用者命令,還可以看到和更改路由器的設定內容。
3. router(config)#
在router#提示符下鍵入configure terminal,出現提示符router(config)#,此時路由器處於全域性設定狀態,這時可以設定路由器的全域性引數。
4. router(config-if)#; router(config-line)#; router(config-router)#;…
路由器處於區域性設定狀態,這時可以設定路由器某個區域性的引數。
5. >
路由器處於RXBOOT狀態,在開機後60秒內按ctrl-break可進入此狀態,這時路由器不能完成正常的功能,只能進行軟體升級和手工引導。
設定對話狀態
這是一臺新路由器開機時自動進入的狀態,在特權命令狀態使用SETUP命令也可進入此狀態,這時可透過對話方式對路由器進行設定。
三、設定對話過程
顯示提示資訊
全域性引數的設定
介面引數的設定
顯示結果
利用設定對話過程可以避免手工輸入命令的煩瑣,但它還不能完全代替手工設定,一些特殊的設定還必須透過手工輸入的方式完成。
進入設定對話過程後,路由器首先會顯示一些提示資訊:
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
這是告訴你在設定對話過程中的任何地方都可以鍵入“?”得到系統的幫助,按ctrl-c可以退出設定過程,預設設定將顯示在‘[]’中。然後路由器會問是否進入設定對話:
Would you like to enter the initial configuration dialog? [yes]:
如果按y或回車,路由器就會進入設定對話過程。首先你可以看到各埠當前的狀況:
First, would you like to see the current interface summary? [yes]:
Any interface listed with OK? value "NO" does not have a valid configuration
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned NO unset up up
Serial0 unassigned NO unset up up
……… ……… … …… … …
然後,路由器就開始全域性引數的設定:
Configuring global parameters:
1.設定路由器名:
Enter host name [Router]:
2.設定進入特權狀態的密文(secret),此密文在設定以後不會以明文方式顯示:
The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
Enter enable secret: cisco
3.設定進入特權狀態的密碼(password),此密碼只在沒有密文時起作用,並且在設定以後會以明文方式顯示:
The enable password is used when there is no enable secret
and when using older software and some boot images.
Enter enable password: pass
4.設定虛擬終端訪問時的密碼:
Enter virtual terminal password: cisco
5.詢問是否要設定路由器支援的各種網路協議:
Configure SNMP Network Management? [yes]:
Configure DECnet? [no]:
Configure AppleTalk? [no]:
Configure IPX? [no]:
Configure IP? [yes]:
Configure IGRP routing? [yes]:
Configure RIP routing? [no]:
………
6.如果配置的是撥號訪問伺服器,系統還會設定非同步口的引數:
Configure Async lines? [yes]:
1) 設定線路的最高速度:
Async line speed [9600]:
2) 是否使用硬體流控:
Configure for HW flow control? [yes]:
3) 是否設定modem:
Configure for modems? [yes/no]: yes
4) 是否使用預設的modem命令:
Configure for default chat s cript? [yes]:
5) 是
一、基本設定方式
一般來說,可以用5種方式來設定路由器:
1.Console口接終端或執行終端模擬軟體的微機;
2.AUX口接MODEM,透過電話線與遠方的終端或執行終端模擬軟體的微機相連;
3.透過Ethernet上的TFTP伺服器;
4.透過Ethernet上的TELNET程式;
5.透過Ethernet上的SNMP網管工作站。
但路由器的第一次設定必須透過第一種方式進行,此時終端的硬體設定如下:
波特率 :9600
資料位 :8
停止位 :1
奇偶校驗: 無
二、命令狀態
1. router>
路由器處於使用者命令狀態,這時使用者可以看路由器的連線狀態,訪問其它網路和主機,但不能看到和更改路由器的設定內容。
2. router#
在router>提示符下鍵入enable,路由器進入特權命令狀態router#,這時不但可以執行所有的使用者命令,還可以看到和更改路由器的設定內容。
3. router(config)#
在router#提示符下鍵入configure terminal,出現提示符router(config)#,此時路由器處於全域性設定狀態,這時可以設定路由器的全域性引數。
4. router(config-if)#; router(config-line)#; router(config-router)#;…
路由器處於區域性設定狀態,這時可以設定路由器某個區域性的引數。
5. >
路由器處於RXBOOT狀態,在開機後60秒內按ctrl-break可進入此狀態,這時路由器不能完成正常的功能,只能進行軟體升級和手工引導。
設定對話狀態
這是一臺新路由器開機時自動進入的狀態,在特權命令狀態使用SETUP命令也可進入此狀態,這時可透過對話方式對路由器進行設定。
三、設定對話過程
顯示提示資訊
全域性引數的設定
介面引數的設定
顯示結果
利用設定對話過程可以避免手工輸入命令的煩瑣,但它還不能完全代替手工設定,一些特殊的設定還必須透過手工輸入的方式完成。
進入設定對話過程後,路由器首先會顯示一些提示資訊:
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
這是告訴你在設定對話過程中的任何地方都可以鍵入“?”得到系統的幫助,按ctrl-c可以退出設定過程,預設設定將顯示在‘[]’中。然後路由器會問是否進入設定對話:
Would you like to enter the initial configuration dialog? [yes]:
如果按y或回車,路由器就會進入設定對話過程。首先你可以看到各埠當前的狀況:
First, would you like to see the current interface summary? [yes]:
Any interface listed with OK? value "NO" does not have a valid configuration
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned NO unset up up
Serial0 unassigned NO unset up up
……… ……… … …… … …
然後,路由器就開始全域性引數的設定:
Configuring global parameters:
1.設定路由器名:
Enter host name [Router]:
2.設定進入特權狀態的密文(secret),此密文在設定以後不會以明文方式顯示:
The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
Enter enable secret: cisco
3.設定進入特權狀態的密碼(password),此密碼只在沒有密文時起作用,並且在設定以後會以明文方式顯示:
The enable password is used when there is no enable secret
and when using older software and some boot images.
Enter enable password: pass
4.設定虛擬終端訪問時的密碼:
Enter virtual terminal password: cisco
5.詢問是否要設定路由器支援的各種網路協議:
Configure SNMP Network Management? [yes]:
Configure DECnet? [no]:
Configure AppleTalk? [no]:
Configure IPX? [no]:
Configure IP? [yes]:
Configure IGRP routing? [yes]:
Configure RIP routing? [no]:
………
6.如果配置的是撥號訪問伺服器,系統還會設定非同步口的引數:
Configure Async lines? [yes]:
1) 設定線路的最高速度:
Async line speed [9600]:
2) 是否使用硬體流控:
Configure for HW flow control? [yes]:
3) 是否設定modem:
Configure for modems? [yes/no]: yes
4) 是否使用預設的modem命令:
Configure for default chat s cript? [yes]:
5) 是
2004-1-10 21:15 aqbhc
六、配置靜態路由
透過配置靜態路由,使用者可以人為地指定對某一網路訪問時所要經過的路徑,在網路結構比較簡單,且一般到達某一網路所經過的路徑唯一的情況下采用靜態路由。
任務 命令
建立靜態路由 ip route prefix mask {address | interface} [distance] [tag tag] [permanent]
Prefix :所要到達的目的網路
mask :子網掩碼
address :下一個跳的IP地址,即相鄰路由器的埠地址。
interface :本地網路介面
distance :管理距離(可選)
tag tag :tag值(可選)
permanent :指定此路由即使該埠關掉也不被移掉。
六、配置靜態路由
透過配置靜態路由,使用者可以人為地指定對某一網路訪問時所要經過的路徑,在網路結構比較簡單,且一般到達某一網路所經過的路徑唯一的情況下采用靜態路由。
任務 命令
建立靜態路由 ip route prefix mask {address | interface} [distance] [tag tag] [permanent]
Prefix :所要到達的目的網路
mask :子網掩碼
address :下一個跳的IP地址,即相鄰路由器的埠地址。
interface :本地網路介面
distance :管理距離(可選)
tag tag :tag值(可選)
permanent :指定此路由即使該埠關掉也不被移掉。
以下在Router1上設定了訪問192.1.0.64/26這個網下一跳地址為192.200.10.6,即當有目的地址屬於 192.1.0.64/26的網路範圍的資料包,應將其路由到地址為192.200.10.6的相鄰路由器。在Router3上設定了訪問 192.1.0.128/26及192.200.10.4/30這二個網下一跳地址為192.1.0.65。由於在Router1上埠Serial 0地址為192.200.10.5,192.200.10.4/30這個網屬於直連的網,已經存在訪問192.200.10.4/30的路徑,所以不需要在Router1上新增靜態路由。
Router1:
ip route 192.1.0.64 255.255.255.192 192.200.10.6
Router3:
ip route 192.1.0.128 255.255.255.192 192.1.0.65
ip route 192.200.10.4 255.255.255.252 192.1.0.65
同時由於路由器Router3除了與路由器Router2相連外,不再與其他路由器相連,所以也可以為它賦予一條預設路由以代替以上的二條靜態路由,
ip route 0.0.0.0 0.0.0.0 192.1.0.65
即只要沒有在路由表裡找到去特定目的地址的路徑,則資料均被路由到地址為192.1.0.65的相鄰路由器。
第二章:廣域網協議設定
Router1:
ip route 192.1.0.64 255.255.255.192 192.200.10.6
Router3:
ip route 192.1.0.128 255.255.255.192 192.1.0.65
ip route 192.200.10.4 255.255.255.252 192.1.0.65
同時由於路由器Router3除了與路由器Router2相連外,不再與其他路由器相連,所以也可以為它賦予一條預設路由以代替以上的二條靜態路由,
ip route 0.0.0.0 0.0.0.0 192.1.0.65
即只要沒有在路由表裡找到去特定目的地址的路徑,則資料均被路由到地址為192.1.0.65的相鄰路由器。
第二章:廣域網協議設定
一、HDLC
HDLC是CISCO路由器使用的預設協議,一臺新路由器在未指定封裝協議時預設使用HDLC封裝。
1. 有關命令
埠設定
任務 命令
設定HDLC封裝 encapsulation hdlc
設定DCE端線路速度 clockrate speed
復位一個硬體介面 clear interface serial unit
顯示介面狀態 show interfaces serial [unit] 1
注:1.以下給出一個顯示Cisco同步串列埠狀態的例子.
Router#show interface serial 0
Serial 0 is up, line protocol is up
Hardware is MCI Serial
Internet address is 150.136.190.203, subnet mask is 255.255.255.0
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
Last input 0:00:07, output 0:00:00, output hang never
Output queue 0/40, 0 drops; input queue 0/75, 0 drops
Five minute input rate 0 bits/sec, 0 packets/sec
Five minute output rate 0 bits/sec, 0 packets/sec
16263 packets input, 1347238 bytes, 0 no buffer
Received 13983 broadcasts, 0 runts, 0 giants
2 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 2 abort
22146 packets output, 2383680 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets, 0 restarts
1 carrier transitions
2. 舉例
設定如下:
Router1:
interface Serial0
ip address 192.200.10.1 255.255.255.0
clockrate 1000000
Router2:
interface Serial0
ip address 192.200.10.2 255.255.255.0
!
3. 舉例使用E1線路實現多個64K專線連線.
相關命令:
任務 命令
進入controller配置模式 controller {t1 | e1} number
選擇幀型別 framing {crc4 | no-crc4}
選擇line-code型別 linecode {ami | b8zs | hdb3}
建立邏輯通道組與時隙的對映 channel-group number timeslots range1
顯示controllers介面狀態 show controllers e1 [slot/port]2
注: 1. 當鏈路為T1時,channel-group編號為0-23, Timeslot範圍1-24; 當鏈路為E1時, channel-group編號為0-30, Timeslot範圍1-31.
2.使用show controllers e1觀察controller狀態,以下為幀型別為crc4時controllers正常的狀態.
Router# show controllers e1
e1 0/0 is up.
Applique type is Channelized E1 - unbalanced
Framing is CRC4, Line Code is HDB3 No alarms detected.
Data in current interval (725 seconds elapsed):
0 Line Code Violations, 0 Path Code Violations
0 Slip Secs, 0 Fr Loss Secs, 0 Line Err Secs, 0 Degraded Mins
0 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 0 Unavail Secs
Total Data (last 24 hours) 0 Line Code Violations, 0 Path Code Violations,
0 Slip Secs, 0 Fr Loss Secs, 0 Line Err Secs, 0 Degraded Mins,
0 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 0 Unavail Secs
以下例子為E1連線3條64K專線, 幀型別為NO-CRC4,非平衡鏈路,路由器具體設定如下:
shanxi#wri t
Building configuration...
Current configuration:
!
version 11.2
no service udp-small-servers
no service tcp-small-se
2.使用show controllers e1觀察controller狀態,以下為幀型別為crc4時controllers正常的狀態.
Router# show controllers e1
e1 0/0 is up.
Applique type is Channelized E1 - unbalanced
Framing is CRC4, Line Code is HDB3 No alarms detected.
Data in current interval (725 seconds elapsed):
0 Line Code Violations, 0 Path Code Violations
0 Slip Secs, 0 Fr Loss Secs, 0 Line Err Secs, 0 Degraded Mins
0 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 0 Unavail Secs
Total Data (last 24 hours) 0 Line Code Violations, 0 Path Code Violations,
0 Slip Secs, 0 Fr Loss Secs, 0 Line Err Secs, 0 Degraded Mins,
0 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 0 Unavail Secs
以下例子為E1連線3條64K專線, 幀型別為NO-CRC4,非平衡鏈路,路由器具體設定如下:
shanxi#wri t
Building configuration...
Current configuration:
!
version 11.2
no service udp-small-servers
no service tcp-small-se
2004-1-10 21:16 aqbhc
三、x.25
1. X25技術
X.25規範對應OSI三層,X.25的第三層描述了分組的格式及分組交換的過程。X.25的第二層由LAPB(Link Access Procedure, Balanced)實現,它定義了用於DTE/DCE連線的幀格式。X.25的第一層定義了電氣和物理埠特性。
X.25網路裝置分為資料終端裝置(DTE)、資料電路終端裝置(DCE)及分組交換裝置(PSE)。DTE是X.25的末端系統,如終端、計算機或網路主機,一般位於使用者端,Cisco路由器就是DTE裝置。DCE裝置是專用通訊裝置,如調變解調器和分組交換機。PSE是公共網路的主幹交換機。
X.25定義了資料通訊的電話網路,每個分配給使用者的x.25 埠都具有一個x.121地址,當使用者申請到的是SVC(交換虛電路)時,x.25一端的使用者在訪問另一端的使用者時,首先將呼叫對方x.121地址,然後接收到呼叫的一端可以接受或拒絕,如果接受請求,於是連線建立實現資料傳輸,當沒有資料傳輸時結束通話連線,整個呼叫過程就類似我們撥打普通電話一樣,其不同的是x.25可以實現一點對多點的連線。其中x.121地址、htc均必須與x.25服務提供商分配的引數相同。X.25 PVC(永久虛電路),沒有呼叫的過程,類似DDN專線。
2. 有關命令:
任務 命令
設定X.25封裝 encapsulation x25 [dce]
設定X.121地址 x25 address x.121-address
設定遠方站點的地址對映 x25 map protocol address [protocol2 address2[...[protocol9 address9]]] x121-address [option]
設定最大的雙向虛電路數 x25 htc citcuit-number1
設定一次連線可同時建立的虛電路數 x25 nvc count2
設定x25在清除空閒虛電路前的等待週期 x25 idle minutes
重新啟動x25,或清一個svc,啟動一個pvc相關引數 clear x25 {serial number | cmns-interface mac-address} [vc-number] 3
清x25虛電路 clear x25-vc
顯示介面及x25相關資訊 show interfaces serial show x25 interface show x25 map show x25 vc
注:1、虛電路號從1到4095,Cisco路由器預設為1024,國內一般分配為16。
2、虛電路計數從1到8,預設為1。
3、在改變了x.25各層的相關引數後,應重新啟動x25(使用clear x25 {serial number | cmns-interface mac-address} [vc-number]或clear x25-vc命令),否則新設定的引數可能不能生效。同時應對照服務提供商對於x.25交換機埠的設定來配置路由器的相關引數,若出現引數不匹配則可能會導致連線失敗或其它意外情況。
3. 例項:
3.1. 在以下例項中每二個路由器間均透過svc實現連線。
三、x.25
1. X25技術
X.25規範對應OSI三層,X.25的第三層描述了分組的格式及分組交換的過程。X.25的第二層由LAPB(Link Access Procedure, Balanced)實現,它定義了用於DTE/DCE連線的幀格式。X.25的第一層定義了電氣和物理埠特性。
X.25網路裝置分為資料終端裝置(DTE)、資料電路終端裝置(DCE)及分組交換裝置(PSE)。DTE是X.25的末端系統,如終端、計算機或網路主機,一般位於使用者端,Cisco路由器就是DTE裝置。DCE裝置是專用通訊裝置,如調變解調器和分組交換機。PSE是公共網路的主幹交換機。
X.25定義了資料通訊的電話網路,每個分配給使用者的x.25 埠都具有一個x.121地址,當使用者申請到的是SVC(交換虛電路)時,x.25一端的使用者在訪問另一端的使用者時,首先將呼叫對方x.121地址,然後接收到呼叫的一端可以接受或拒絕,如果接受請求,於是連線建立實現資料傳輸,當沒有資料傳輸時結束通話連線,整個呼叫過程就類似我們撥打普通電話一樣,其不同的是x.25可以實現一點對多點的連線。其中x.121地址、htc均必須與x.25服務提供商分配的引數相同。X.25 PVC(永久虛電路),沒有呼叫的過程,類似DDN專線。
2. 有關命令:
任務 命令
設定X.25封裝 encapsulation x25 [dce]
設定X.121地址 x25 address x.121-address
設定遠方站點的地址對映 x25 map protocol address [protocol2 address2[...[protocol9 address9]]] x121-address [option]
設定最大的雙向虛電路數 x25 htc citcuit-number1
設定一次連線可同時建立的虛電路數 x25 nvc count2
設定x25在清除空閒虛電路前的等待週期 x25 idle minutes
重新啟動x25,或清一個svc,啟動一個pvc相關引數 clear x25 {serial number | cmns-interface mac-address} [vc-number] 3
清x25虛電路 clear x25-vc
顯示介面及x25相關資訊 show interfaces serial show x25 interface show x25 map show x25 vc
注:1、虛電路號從1到4095,Cisco路由器預設為1024,國內一般分配為16。
2、虛電路計數從1到8,預設為1。
3、在改變了x.25各層的相關引數後,應重新啟動x25(使用clear x25 {serial number | cmns-interface mac-address} [vc-number]或clear x25-vc命令),否則新設定的引數可能不能生效。同時應對照服務提供商對於x.25交換機埠的設定來配置路由器的相關引數,若出現引數不匹配則可能會導致連線失敗或其它意外情況。
3. 例項:
3.1. 在以下例項中每二個路由器間均透過svc實現連線。
路由器設定如下:
Router1:
interface Serial0
encapsulation x25
ip address 192.200.10.1 255.255.255.0
x25 address 110101
x25 htc 16
x25 nvc 2
x25 map ip 192.200.10.2 110102 broadcast
x25 map ip 192.200.10.3 110103 broadcast
!
Router2:
interface Serial0
encapsulation x25
ip address 192.200.10.2 255.255.255.0
x25 address 110102
x25 htc 16
x25 nvc 2
x25 map ip 192.200.10.1 110101 broadcast
x25 map ip 192.200.10.3 110103 broadcast
!
interface Serial0
encapsulation x25
ip address 192.200.10.2 255.255.255.0
x25 address 110102
x25 htc 16
x25 nvc 2
x25 map ip 192.200.10.1 110101 broadcast
x25 map ip 192.200.10.3 110103 broadcast
!
Router:
interface Serial0
encapsulation x25
ip address 192.200.10.3 255.255.255.0
x25 address 110103
x25 htc 16
x25 nvc 2
x25 map ip 192.200.10.1 110101 broadcast
x25 map ip 192.200.10.2 110102 broadcast
!
interface Serial0
encapsulation x25
ip address 192.200.10.3 255.255.255.0
x25 address 110103
x25 htc 16
x25 nvc 2
x25 map ip 192.200.10.1 110101 broadcast
x25 map ip 192.200.10.2 110102 broadcast
!
相關除錯命令:
clear x25-vc
show interfaces serial
show x25 map
show x25 route
show x25 vc
3.2. 在以下例項中路由器router1和router2均透過svc與router連線,但router1和router2不透過svc直接連線,此三個路由器的串列埠執行RIP路由協議,使用了子介面的概念。由於使用子介面,router1和router2均學習到了訪問對方區域網的路徑,若不使用子介面, router1和router2將學不到到對方區域網的路由。
clear x25-vc
show interfaces serial
show x25 map
show x25 route
show x25 vc
3.2. 在以下例項中路由器router1和router2均透過svc與router連線,但router1和router2不透過svc直接連線,此三個路由器的串列埠執行RIP路由協議,使用了子介面的概念。由於使用子介面,router1和router2均學習到了訪問對方區域網的路徑,若不使用子介面, router1和router2將學不到到對方區域網的路由。
子介面(Subinterface)是一個物理介面上的多個虛介面,可以用於在同一個物理介面上連線多個網。我們知道為了避免路由迴圈,路由器支援split horizon法則,它只允許路由更新被分配到路由器的其它介面,而不會再分配路由更新回到此路由被接收的介面。
無論如何,在廣域網環境使用基於連線的介面(象 X.25和Frame Relay),同一介面透過虛電路(vc)連線多臺遠端路由器時,從同一介面來的路由更新資訊不可以再被髮回到相同的介面,除非強制使用分開的物理介面連線不同的路由器。Cisco提供子介面(subinterface)作為分開的介面對待。你可以將路由器邏輯地連線到相同物理介面的不同子介面, 這樣來自不同子介面的路由更新就可以被分配到其他子介面,同時又滿足split horizon法則。
無論如何,在廣域網環境使用基於連線的介面(象 X.25和Frame Relay),同一介面透過虛電路(vc)連線多臺遠端路由器時,從同一介面來的路由更新資訊不可以再被髮回到相同的介面,除非強制使用分開的物理介面連線不同的路由器。Cisco提供子介面(subinterface)作為分開的介面對待。你可以將路由器邏輯地連線到相同物理介面的不同子介面, 這樣來自不同子介面的路由更新就可以被分配到其他子介面,同時又滿足split horizon法則。
Router1:
interface Serial0
encapsulation x25
ip address 192.200.10.1 255.255.255.0
x25 address 110101
x25 htc 16
x25 nvc 2
x25 map ip 192.200.10.3 110103 broadcast
!
router rip
network 192.200.10.0
!
interface Serial0
encapsulation x25
ip address 192.200.10.1 255.255.255.0
x25 address 110101
x25 htc 16
x25 nvc 2
x25 map ip 192.200.10.3 110103 broadcast
!
router rip
network 192.200.10.0
!
Router2:
interface Serial0
encapsulation x25
ip address 192.200.11.2 255.255.255.0
x25 address 110102
x25 htc 16
x25
interface Serial0
encapsulation x25
ip address 192.200.11.2 255.255.255.0
x25 address 110102
x25 htc 16
x25
2004-1-10 21:16 aqbhc
四、Frame Relay
1. 幀中繼技術
幀中繼是一種高效能的WAN協議,它執行在OSI參考模型的物理層和資料鏈路層。它是一種資料包交換技術,是X.25的簡化版本。它省略了X.25的一些強健功能,如提供視窗技術和資料重發技術,而是依靠高層協議提供糾錯功能,這是因為幀中繼工作在更好的WAN裝置上,這些裝置較之X.25的WAN裝置具有更可靠的連線服務和更高的可靠性,它嚴格地對應於OSI參考模型的最低二層,而X.25還提供第三層的服務,所以,幀中繼比X.25具有更高的效能和更有效的傳輸效率。
幀中繼廣域網的裝置分為資料終端裝置(DTE)和資料電路終端裝置(DCE),Cisco路由器作為 DTE裝置。
幀中繼技術提供面向連線的資料鏈路層的通訊,在每對裝置之間都存在一條定義好的通訊鏈路,且該鏈路有一個鏈路識別碼。這種服務透過幀中繼虛電路實現,每個幀中繼虛電路都以資料鏈路識別碼(DLCI)標識自己。DLCI的值一般由幀中繼服務提供商指定。幀中繼即支援PVC也支援SVC。
幀中繼本地管理介面(LMI)是對基本的幀中繼標準的擴充套件。它是路由器和幀中繼交換機之間信令標準,提供幀中繼管理機制。它提供了許多管理複雜網際網路絡的特性,其中包括全域性定址、虛電路狀態訊息和多目傳送等功能。
2. 有關命令:
埠設定
任務 命令
設定Frame Relay封裝 encapsulation frame-relay[ietf] 1
設定Frame Relay LMI型別 frame-relay lmi-type {ansi | cisco | q933a}2
設定子介面 interface interface-type interface-number.subinterface-number [multipoint|point-to-point]
對映協議地址與DLCI frame-relay map protocol protocol-address dlci [broadcast]3
設定FR DLCI編號 frame-relay interface-dlci dlci [broadcast]
注:1.若使Cisco路由器與其它廠家路由裝置相連,則使用Internet工程任務組(IETF)規定的幀中繼封裝格式。
2.從Cisco IOS版本11.2開始,軟體支援本地管理介面(LMI)“自動感覺”, “自動感覺”使介面能確定交換機支援的LMI型別,使用者可以不明確配置LMI介面型別。
3.broadcast選項允許在幀中繼網路上傳輸路由廣播資訊。
四、Frame Relay
1. 幀中繼技術
幀中繼是一種高效能的WAN協議,它執行在OSI參考模型的物理層和資料鏈路層。它是一種資料包交換技術,是X.25的簡化版本。它省略了X.25的一些強健功能,如提供視窗技術和資料重發技術,而是依靠高層協議提供糾錯功能,這是因為幀中繼工作在更好的WAN裝置上,這些裝置較之X.25的WAN裝置具有更可靠的連線服務和更高的可靠性,它嚴格地對應於OSI參考模型的最低二層,而X.25還提供第三層的服務,所以,幀中繼比X.25具有更高的效能和更有效的傳輸效率。
幀中繼廣域網的裝置分為資料終端裝置(DTE)和資料電路終端裝置(DCE),Cisco路由器作為 DTE裝置。
幀中繼技術提供面向連線的資料鏈路層的通訊,在每對裝置之間都存在一條定義好的通訊鏈路,且該鏈路有一個鏈路識別碼。這種服務透過幀中繼虛電路實現,每個幀中繼虛電路都以資料鏈路識別碼(DLCI)標識自己。DLCI的值一般由幀中繼服務提供商指定。幀中繼即支援PVC也支援SVC。
幀中繼本地管理介面(LMI)是對基本的幀中繼標準的擴充套件。它是路由器和幀中繼交換機之間信令標準,提供幀中繼管理機制。它提供了許多管理複雜網際網路絡的特性,其中包括全域性定址、虛電路狀態訊息和多目傳送等功能。
2. 有關命令:
埠設定
任務 命令
設定Frame Relay封裝 encapsulation frame-relay[ietf] 1
設定Frame Relay LMI型別 frame-relay lmi-type {ansi | cisco | q933a}2
設定子介面 interface interface-type interface-number.subinterface-number [multipoint|point-to-point]
對映協議地址與DLCI frame-relay map protocol protocol-address dlci [broadcast]3
設定FR DLCI編號 frame-relay interface-dlci dlci [broadcast]
注:1.若使Cisco路由器與其它廠家路由裝置相連,則使用Internet工程任務組(IETF)規定的幀中繼封裝格式。
2.從Cisco IOS版本11.2開始,軟體支援本地管理介面(LMI)“自動感覺”, “自動感覺”使介面能確定交換機支援的LMI型別,使用者可以不明確配置LMI介面型別。
3.broadcast選項允許在幀中繼網路上傳輸路由廣播資訊。
4. ISDN訪問首都線上263網例項:
本地區域性網地址為10.0.0.0/24,屬於保留地址,透過NAT地址翻譯功能,區域網使用者可以透過ISDN上263網訪問Internet。263的ISDN電話號碼為2633,使用者為263,口令為263,所涉及的命令如下表:
任務 命令
指定介面透過PPP/IPCP地址協商獲得IP地址 ip address negotiated
指定內部和外部埠 ip nat {inside | outside}
使用ppp/pap作認證 ppp authentication pap callin
指定介面屬於撥號組1 dialer-group 1
定義撥號組1允許所有IP協議 dialer-list 1 protocol ip permit
設定撥號,號碼為2633 dialer string 2633
設定登入263的使用者名稱和口令 ppp pap sent-username 263 password 263
設定預設路由 ip route 0.0.0.0 0.0.0.0 bri 0
設定符合訪問列表2的所有源地址被翻譯為bri 0所擁有的地址 ip nat inside source list 2 interface bri 0 overload
設定訪問列表2,允許所有協議 access-list 2 permit any
具體配置如下:
hostname Cisco2503
!
isdn switch-type basic-net3
!
ip subnet-zero
no ip domain-lookup
ip routing
!
interface Ethernet 0
ip address 10.0.0.1 255.255.255.0
ip nat inside
no shutdown
!
interface Serial 0
shutdown
no des cription
no ip address
!
interface Serial 1
shutdown
no des cription
no ip address
!
interface bri 0
ip address negotiated
ip nat outside
encapsulation ppp
ppp authentication pap callin
ppp multilink
dialer-group 1
dialer hold-queue 10
dialer string 2633
dialer idle-timeout 120
ppp pap sent-username 263 password 263
no cdp enable
no ip split-horizon
no shutdown
!
ip classless
!
! Static Routes
!
ip route 0.0.0.0 0.0.0.0 bri 0
!
! Access Control List 2
!
access-list 2 permit any
!
dialer-list 1 protocol ip permit
!
! Dynamic NAT
!
ip nat inside source list 2 interface bri 0 overload
snmp-server community public ro
!
line console 0
exec-timeout 0 0
!
line vty 0 4
!
end
5. Cisco765M透過ISDN撥號上263
由於Cisco765的設定命令與我們常用的Cisco路由器的命令不同,所以以下列舉了透過Cisco765上263訪問Internet的具體命令列設定步驟。
>set system c765
c765> set multidestination on
c765> set switch net3
c765> set ppp multilink on
c765> cd lan
c765:LAN> set ip routing on
c765:LAN> set ip address 10.0.0.1
c765:LAN> set ip netmask 255.0.0.0
c765:LAN> set briding off
c765:LAN>cd
c765> set user remotenet
New user remotenet being created
c765:remotenet> set ip routing on
c765:remotenet> set bri
2004-1-10 21:16 aqbhc
1.2. Access Server透過Tacacs伺服器實現安全認證:
使用一臺WINDOWS NT伺服器作為Tacacs伺服器,地址為10.111.4.2,執行Cisco2511隨機帶的Easy ACS 1.0軟體實現使用者認證功能.
相關設定:
任務 命令
啟用AAA訪問控制 aaa new-model
使用者登入時預設起用Tacacs+做AAA認證 aaa authentication login default tacacs+
列表名為no_tacacs使用ENABLE口令做認證 aaa authentication login no_tacacs enable
在執行PPP的序列線上採用Tacacs+做認證 aaa authentication ppp default tacacs+
由TACACS+伺服器授權執行EXEC aaa authorization exec tacacs+
由TACACS+伺服器授權與網路相關的服務請求。 aaa authorization network tacacs+
為EXEC會話執行記帳.程式開始和結束時發通告給TACACS+伺服器。 aaa accounting exec start-stop tacacs+
為與網路相關的服務需求執行記帳包括SLIP,PPP,PPP NCPs,ARAP等.在程式開始和結束時發通告給TACACS+伺服器。 aaa accounting network start-stop tacacs+
指定Tacacs伺服器地址 tacacs-server host 10.111.4.2
在Tacacs+伺服器和訪問伺服器設定共享的關鍵字,訪問伺服器和Tacacs+伺服器使用這個關鍵字去加密口令和響應資訊。這裡使用tac作為關鍵字。 tacacs-server key tac
訪問伺服器設定如下:
hostname router
!
aaa new-model
aaa authentication login default tacacs+
aaa authentication login no_tacacs enable
aaa authentication ppp default tacacs+
aaa authorization exec tacacs+
aaa authorization network tacacs+
aaa accounting exec start-stop tacacs+
aaa accounting network start-stop tacacs+
enable secret 5 $1$kN4g$CvS4d2.rJzWntCnn/0hvE0
!
interface Ethernet0
ip address 10.111.4.20 255.255.255.0
!
interface Serial0
no ip address
shutdown
interface Serial1
no ip address
shutdown
!
interface Group-Async1
ip unnumbered Ethernet0
encapsulation ppp
async mode interactive
peer default ip address pool Cisco2511-Group-142
no cdp enable
group-range 1 16
!
ip local pool Cisco2511-Group-142 10.111.4.21 10.111.4.36
tacacs-server host 10.111.4.2
tacacs-server key tac
!
line con 0
exec-timeout 0 0
password cisco
login authentication no_tacacs
line 1 16
login authentication tacacs
modem InOut
modem autoconfigure type usr_courier
autocommand ppp
transport input all
stopbits 1
rxspeed 115200
txspeed 115200
flowcontrol hardware
line aux 0
transport input all
line vty 0 4
password cisco
!
end
2. DDR(dial-on-demand routing)例項
此例透過Cisco 2500系列路由器的aux埠實現非同步撥號DDR連線。Router1撥號連線到Router2。其中採用PPP/CHAP做安全認證,在 Router1中應建立一個使用者,以對端路由器主機名作為使用者名稱,即使用者名稱應為Router2。同時在Router2中應建立一個使用者,以對端路由器主機名作為使用者名稱,即使用者名稱應為Router1。所建的這兩使用者的password必須相同。
相關命令如下:
任務 命令
設定路由器與modem的介面指令 chat-s cript s cript-name EXPECT SEND EXPECT SEND (etc.)
設定埠在結束通話前的等待時間 dialer idle-timeout seconds
設定協議地址與電話號碼的對映 dialer map protocol next-hop-address [name hostname] [broadcast] [modem-s cript modem-regexp] [system-s cript system-regexp] [dial-string]
設定電話號碼 dialer string dial-string
指定在特定線路下路由器預設 使用的chat-s cript s cript {dialer|reset} s cript-name
Router1:
hostname Router1
!
enable secret 5 $1$QKI7$wXjpFqC74vDAyKBUMallw/
!
username Router2 password cisco
chat-s cript cisco-default "" "AT" TIMEOUT 30 OK "ATDT T" TIMEOUT 30 CONNECT c
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
!
interface Async1
ip address 192.200.10.1 255.255.255.0
encapsulation ppp
async default routing
async mode dedicated
dialer in-band
dialer idle-timeout 60
dialer map ip 192.200.10.2 name Router2 modem-s cript cisco-default 573
dialer-group 1
ppp authentication chap
!
ip route 10.0.1.0 255.255.255.0 192.200.10.2
dialer-list 1 protocol ip permit
!
line con 0
line aux 0
modem InOut
modem autoconfigure discovery
flowcontrol hardware
1.2. Access Server透過Tacacs伺服器實現安全認證:
使用一臺WINDOWS NT伺服器作為Tacacs伺服器,地址為10.111.4.2,執行Cisco2511隨機帶的Easy ACS 1.0軟體實現使用者認證功能.
相關設定:
任務 命令
啟用AAA訪問控制 aaa new-model
使用者登入時預設起用Tacacs+做AAA認證 aaa authentication login default tacacs+
列表名為no_tacacs使用ENABLE口令做認證 aaa authentication login no_tacacs enable
在執行PPP的序列線上採用Tacacs+做認證 aaa authentication ppp default tacacs+
由TACACS+伺服器授權執行EXEC aaa authorization exec tacacs+
由TACACS+伺服器授權與網路相關的服務請求。 aaa authorization network tacacs+
為EXEC會話執行記帳.程式開始和結束時發通告給TACACS+伺服器。 aaa accounting exec start-stop tacacs+
為與網路相關的服務需求執行記帳包括SLIP,PPP,PPP NCPs,ARAP等.在程式開始和結束時發通告給TACACS+伺服器。 aaa accounting network start-stop tacacs+
指定Tacacs伺服器地址 tacacs-server host 10.111.4.2
在Tacacs+伺服器和訪問伺服器設定共享的關鍵字,訪問伺服器和Tacacs+伺服器使用這個關鍵字去加密口令和響應資訊。這裡使用tac作為關鍵字。 tacacs-server key tac
訪問伺服器設定如下:
hostname router
!
aaa new-model
aaa authentication login default tacacs+
aaa authentication login no_tacacs enable
aaa authentication ppp default tacacs+
aaa authorization exec tacacs+
aaa authorization network tacacs+
aaa accounting exec start-stop tacacs+
aaa accounting network start-stop tacacs+
enable secret 5 $1$kN4g$CvS4d2.rJzWntCnn/0hvE0
!
interface Ethernet0
ip address 10.111.4.20 255.255.255.0
!
interface Serial0
no ip address
shutdown
interface Serial1
no ip address
shutdown
!
interface Group-Async1
ip unnumbered Ethernet0
encapsulation ppp
async mode interactive
peer default ip address pool Cisco2511-Group-142
no cdp enable
group-range 1 16
!
ip local pool Cisco2511-Group-142 10.111.4.21 10.111.4.36
tacacs-server host 10.111.4.2
tacacs-server key tac
!
line con 0
exec-timeout 0 0
password cisco
login authentication no_tacacs
line 1 16
login authentication tacacs
modem InOut
modem autoconfigure type usr_courier
autocommand ppp
transport input all
stopbits 1
rxspeed 115200
txspeed 115200
flowcontrol hardware
line aux 0
transport input all
line vty 0 4
password cisco
!
end
2. DDR(dial-on-demand routing)例項
此例透過Cisco 2500系列路由器的aux埠實現非同步撥號DDR連線。Router1撥號連線到Router2。其中採用PPP/CHAP做安全認證,在 Router1中應建立一個使用者,以對端路由器主機名作為使用者名稱,即使用者名稱應為Router2。同時在Router2中應建立一個使用者,以對端路由器主機名作為使用者名稱,即使用者名稱應為Router1。所建的這兩使用者的password必須相同。
相關命令如下:
任務 命令
設定路由器與modem的介面指令 chat-s cript s cript-name EXPECT SEND EXPECT SEND (etc.)
設定埠在結束通話前的等待時間 dialer idle-timeout seconds
設定協議地址與電話號碼的對映 dialer map protocol next-hop-address [name hostname] [broadcast] [modem-s cript modem-regexp] [system-s cript system-regexp] [dial-string]
設定電話號碼 dialer string dial-string
指定在特定線路下路由器預設 使用的chat-s cript s cript {dialer|reset} s cript-name
Router1:
hostname Router1
!
enable secret 5 $1$QKI7$wXjpFqC74vDAyKBUMallw/
!
username Router2 password cisco
chat-s cript cisco-default "" "AT" TIMEOUT 30 OK "ATDT T" TIMEOUT 30 CONNECT c
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
!
interface Async1
ip address 192.200.10.1 255.255.255.0
encapsulation ppp
async default routing
async mode dedicated
dialer in-band
dialer idle-timeout 60
dialer map ip 192.200.10.2 name Router2 modem-s cript cisco-default 573
dialer-group 1
ppp authentication chap
!
ip route 10.0.1.0 255.255.255.0 192.200.10.2
dialer-list 1 protocol ip permit
!
line con 0
line aux 0
modem InOut
modem autoconfigure discovery
flowcontrol hardware
Router2:
hostname Router2
!
enable secret 5 $1$F6EV$5U8puzNt2/o9g.t56PXHo.
!
username Router1 password cisco
!
interface Ethernet0
ip address 10.0.1.1 255.255.255.0
!
interface Async1
ip address 192.200.10.2 255.255.255.0
encapsulation ppp
async default routing
asyn
2004-1-10 21:17 aqbhc
五、IPX協議設定
IPX協議與IP協議是兩種不同的網路層協議,它們的路由協議也不一樣,IPX的路由協議不象IP的路由協議那樣豐富,所以設定起來比較簡單。但IPX協議在乙太網上執行時必須指定封裝形式。
1. 有關命令
啟動IPX路由 ipx routing
設定IPX網路及乙太網封裝形式 ipx network network [encapsulation encapsulation-type]1
指定路由協議,預設為RIP ipx router {eigrp autonomous-system-number | nlsp [tag] | rip}
注:1.network 範圍是1 到FFFFFFFD.
IPX封裝型別列表
介面型別 封裝型別 IPX幀型別
Ethernet novell-ether (預設) arpa sap snap Ethernet_802.3 Ethernet_II Ethernet_802.2 Ethernet_Snap
Token Ring sap (預設) snap Token-Ring Token-Ring_Snap
FDDI snap (預設) sap novell-fddi Fddi_Snap Fddi_802.2 Fddi_Raw
舉例:
在此例中,WAN的IPX網路為3a00,Router1所連線的區域網IPX網路號為2a00,在此區域網有一臺Novell伺服器,IPX網路號也是 2a00, 路由器介面的IPX網路號必須與在同一網路的Novell伺服器上設定的IPX網路號相同。路由器透過監聽SAP來建立已知的服務及自己的網路地址表,並每60秒傳送一次自己的SAP表。
Router1:
ipx routing
interface ethernet 0
ipx network 2a00 encapsulation sap
!
interface serial 0
ipx network 3a00
!
ipx router eigrp 10
network 3a00
network 2a00
!
五、IPX協議設定
IPX協議與IP協議是兩種不同的網路層協議,它們的路由協議也不一樣,IPX的路由協議不象IP的路由協議那樣豐富,所以設定起來比較簡單。但IPX協議在乙太網上執行時必須指定封裝形式。
1. 有關命令
啟動IPX路由 ipx routing
設定IPX網路及乙太網封裝形式 ipx network network [encapsulation encapsulation-type]1
指定路由協議,預設為RIP ipx router {eigrp autonomous-system-number | nlsp [tag] | rip}
注:1.network 範圍是1 到FFFFFFFD.
IPX封裝型別列表
介面型別 封裝型別 IPX幀型別
Ethernet novell-ether (預設) arpa sap snap Ethernet_802.3 Ethernet_II Ethernet_802.2 Ethernet_Snap
Token Ring sap (預設) snap Token-Ring Token-Ring_Snap
FDDI snap (預設) sap novell-fddi Fddi_Snap Fddi_802.2 Fddi_Raw
舉例:
在此例中,WAN的IPX網路為3a00,Router1所連線的區域網IPX網路號為2a00,在此區域網有一臺Novell伺服器,IPX網路號也是 2a00, 路由器介面的IPX網路號必須與在同一網路的Novell伺服器上設定的IPX網路號相同。路由器透過監聽SAP來建立已知的服務及自己的網路地址表,並每60秒傳送一次自己的SAP表。
Router1:
ipx routing
interface ethernet 0
ipx network 2a00 encapsulation sap
!
interface serial 0
ipx network 3a00
!
ipx router eigrp 10
network 3a00
network 2a00
!
Router2:
ipx routing
interface ethernet 0
ipx network 2b00 encapsulation sap
!
interface serial 0
ipx network 3a00
!
ipx router eigrp 10
network 2b00
network 3a00
!
相關除錯命令:
debug ipx packet
debug ipx routing
debug ipx sap
debug ipx spoof
debug ipx spx
show ipx eigrp interfaces
show ipx eigrp neighbors
show ipx eigrp topology
show ipx interface
show ipx route
show ipx servers
show ipx spx-spoof
第四章 服務質量及訪問控制
一、協議優先順序設定
1.有關命令
任務 命令
設定優先順序表專案 priority-list list-number protocol protocol {high | medium | normal | low} queue-keyword keyword-value
使用指定的優先順序表 priority-group list-number
1.有關命令
任務 命令
設定優先順序表專案 priority-list list-number protocol protocol {high | medium | normal | low} queue-keyword keyword-value
使用指定的優先順序表 priority-group list-number
2.舉例
Router1:
priority-list 1 protocol ip high tcp telnet
priority-list 1 protocol ip low tcp ftp
priority-list 1 default normal
interface serial 0
Router1:
priority-list 1 protocol ip high tcp telnet
priority-list 1 protocol ip low tcp ftp
priority-list 1 default normal
interface serial 0
priority-group 1
二、佇列定製
1.有關命令
任務 命令
設定佇列表中包含協議 queue-list list-number protocol protocol-name queue-number queue-keyword keyword-value
設定佇列表中佇列的大小 queue-list list-number queue queue-number byte-count byte-count-number
使用指定的佇列表 custom-queue-list list
二、佇列定製
1.有關命令
任務 命令
設定佇列表中包含協議 queue-list list-number protocol protocol-name queue-number queue-keyword keyword-value
設定佇列表中佇列的大小 queue-list list-number queue queue-number byte-count byte-count-number
使用指定的佇列表 custom-queue-list list
2.舉例
Router1:
queue-list 1 protocol ip 0 tcp telnet
queue-list 1 protocol ip 1 tcp www
queue-list 1 protocol ip 2 tcp ftp
queue-list 1 queue 0 byte-count 300
queue-list 1 queue 1 byte-count 200
queue-list 1 queue 2 byte-count 100
interface serial 0
Router1:
queue-list 1 protocol ip 0 tcp telnet
queue-list 1 protocol ip 1 tcp www
queue-list 1 protocol ip 2 tcp ftp
queue-list 1 queue 0 byte-count 300
queue-list 1 queue 1 byte-count 200
queue-list 1 queue 2 byte-count 100
interface serial 0
custom-queue-list 1
三、訪問控制
1.有關命令
任務 命令
設定訪問表專案 access-list list {permit | deny} address mask
設定佇列表中佇列的大小 queue-list list-number queue queue-number byte-count byte-count-number
使用指定的訪問表 ip access-group list {in | out}
2.舉例
Router1:
access-list 1 deny 192.1.3.0 0.0.0.255
access-list 1 permit any
interface serial 0
三、訪問控制
1.有關命令
任務 命令
設定訪問表專案 access-list list {permit | deny} address mask
設定佇列表中佇列的大小 queue-list list-number queue queue-number byte-count byte-count-number
使用指定的訪問表 ip access-group list {in | out}
2.舉例
Router1:
access-list 1 deny 192.1.3.0 0.0.0.255
access-list 1 permit any
interface serial 0
ip access-group 1 in
第五章 虛擬區域網(VLAN)路由
一、虛擬區域網(VLAN)
當前在我們構造企業網路時所採用的主幹網路技術一般都是基於交換和虛擬網路的。交換技術將共享介質改為獨佔介質,大大提高網路速度。虛擬網路技術打破了地理環境的制約,在不改動網路物理連線的情況下可以任意將工作站在工作組或子網之間移動,工作站組成邏輯工作組或虛擬子網,提高資訊系統的運作效能,均衡網路資料流量,合理利用硬體及資訊資源。同時,利用虛擬網路技術,大大減輕了網路管理和維護工作的負擔,降低網路維護費用。隨著虛擬網路技術的應用,隨之必然產生了在虛擬網間如何通訊的問題.
二、交換機間鏈路(ISL)協議
ISL(Interior Switching Link)協議用於實現交換機間的VLAN中繼。它是一個資訊包標記協議,在支援ISL介面上傳送的幀由一個標準乙太網幀及相關的VLAN資訊組成。如下圖所示,在支援ISL的介面上可以傳送來自不同VLAN的資料。
第五章 虛擬區域網(VLAN)路由
一、虛擬區域網(VLAN)
當前在我們構造企業網路時所採用的主幹網路技術一般都是基於交換和虛擬網路的。交換技術將共享介質改為獨佔介質,大大提高網路速度。虛擬網路技術打破了地理環境的制約,在不改動網路物理連線的情況下可以任意將工作站在工作組或子網之間移動,工作站組成邏輯工作組或虛擬子網,提高資訊系統的運作效能,均衡網路資料流量,合理利用硬體及資訊資源。同時,利用虛擬網路技術,大大減輕了網路管理和維護工作的負擔,降低網路維護費用。隨著虛擬網路技術的應用,隨之必然產生了在虛擬網間如何通訊的問題.
二、交換機間鏈路(ISL)協議
ISL(Interior Switching Link)協議用於實現交換機間的VLAN中繼。它是一個資訊包標記協議,在支援ISL介面上傳送的幀由一個標準乙太網幀及相關的VLAN資訊組成。如下圖所示,在支援ISL的介面上可以傳送來自不同VLAN的資料。
三、虛擬區域網(VLAN)路由例項
3.1. 例一:
3.1. 例一:
裝置選用Catalyst5500交換機1臺,安裝WS-X5530-E3管理引擎,多塊WS-X5225R及WS-X5302路由交換模組,WS- X5302被直接插入交換機,透過二個通道與系統背板上的VLAN 相連,從使用者角度看認為它是1個1介面的模組,此介面支援ISL。在交換
2004-1-10 21:22 aqbhc
Cisco 路由配置語句彙總
Cisco 路由配置語句彙總
Cisco 路由配置語句彙總
啟動介面,分配IP地址:
router>
router> enable
router#
router# configure terminal
router(config)#
router(config)# interface Type Port
router(config-if)# no shutdown
router(config-if)# ip address IP-Address Subnet-Mask
router(config-if)# ^z
配置RIP路由協議:30秒更新一次
router(config)# router rip
router(config-if)# network Network-Number router(config-if)# ^z
啟動介面,分配IP地址:
router>
router> enable
router#
router# configure terminal
router(config)#
router(config)# interface Type Port
router(config-if)# no shutdown
router(config-if)# ip address IP-Address Subnet-Mask
router(config-if)# ^z
配置RIP路由協議:30秒更新一次
router(config)# router rip
router(config-if)# network Network-Number router(config-if)# ^z
配置IGRP路由協議:90秒更新一次
router(config)# router igrp AS-Number router(config-if)# network Network-Number router(config-if)# ^z
router(config)# router igrp AS-Number router(config-if)# network Network-Number router(config-if)# ^z
配置Novell IPX路由協議:Novell RIP 60秒更新一次
router(config)# ipx routing [node address]
router(config)# ipx maximum-paths Paths router(config)# interface Type Port
router(config-if)# ipx network Network-Number [encapsulation encapsulation-type] [secondary] router(config-if)# ^z
router(config)# ipx routing [node address]
router(config)# ipx maximum-paths Paths router(config)# interface Type Port
router(config-if)# ipx network Network-Number [encapsulation encapsulation-type] [secondary] router(config-if)# ^z
配置DDR:
router(config)# dialer-list Group-Number protocol Protocol-Type permit [list ACL-Number]
router(config)# interface bri 0
router(config-if)# dialer-group Group-Number
router(config-if)# dialer map Protocol-Type Next-Hop-Address name Hostname Telphone-Number
router(config-if)# ^z
router(config)# dialer-list Group-Number protocol Protocol-Type permit [list ACL-Number]
router(config)# interface bri 0
router(config-if)# dialer-group Group-Number
router(config-if)# dialer map Protocol-Type Next-Hop-Address name Hostname Telphone-Number
router(config-if)# ^z
配置ISDN:
router(config)# isdn swith-type Swith-Type router(config-if)# ^z
router(config)# isdn swith-type Swith-Type router(config-if)# ^z
__________________
配置Frame Relay:
router(config-if)# encapsulation frame-relay [cisco | ietf ]
router(config-if)# frame-relay lmi-type [ansi | cisco | q933a ]
router(config-if)# bandwidth kilobits
router(config-if)# frame-relay invers-arp [ Protocol ] [dlci ]
router(config)# frame-relay Protocol Protocol-Address DLCI [ Broadcast ] [ ietf | cisco ] [ payload-compress | packet-by-packet ]
-->
router(config-if)# keepalive Number
-->
router(config-if)# frame-lelay local-dlci Number
-->
router(config-if)# interface Type Port.Subininterface-Number [ multipoint | point-to-point ]
router(config-subif)# ip unnumbered Interface
router(config-subif)# frame-lelay local-dlci Number
-->
router(config-if)# ^z
router(config-if)# encapsulation frame-relay [cisco | ietf ]
router(config-if)# frame-relay lmi-type [ansi | cisco | q933a ]
router(config-if)# bandwidth kilobits
router(config-if)# frame-relay invers-arp [ Protocol ] [dlci ]
router(config)# frame-relay Protocol Protocol-Address DLCI [ Broadcast ] [ ietf | cisco ] [ payload-compress | packet-by-packet ]
-->
router(config-if)# keepalive Number
-->
router(config-if)# frame-lelay local-dlci Number
-->
router(config-if)# interface Type Port.Subininterface-Number [ multipoint | point-to-point ]
router(config-subif)# ip unnumbered Interface
router(config-subif)# frame-lelay local-dlci Number
-->
router(config-if)# ^z
配置標準ACL:
router(config)# access-list Access-List-Number [ permit | deny ] source [ source-mask ] router(config)# interface Type Port
router(config-if)# ip access-group Access-List-Number [ in | out ]
router(config-if)# ^z
router(config)# access-list Access-List-Number [ permit | deny ] source [ source-mask ] router(config)# interface Type Port
router(config-if)# ip access-group Access-List-Number [ in | out ]
router(config-if)# ^z
配置擴充套件ACL:
router(config)# access-list Access-List-Number [ permit | deny ] [ Protocol | Protocol-Number ] source source-wildcard [ Source-Port ] destination destination-wildcard [ Destination-Port ] [ established ]
router(config)# interface Type Port
router(config-if)# ip access-group Access-List-Number [ in | out ]
router(config-if)# ^z
router(config)# access-list Access-List-Number [ permit | deny ] [ Protocol | Protocol-Number ] source source-wildcard [ Source-Port ] destination destination-wildcard [ Destination-Port ] [ established ]
router(config)# interface Type Port
router(config-if)# ip access-group Access-List-Number [ in | out ]
router(config-if)# ^z
配置命名ACL:
router(config)# ip access-list [ standard | extended ] ACL-Name
router(config [ std- | ext- ] nacl)# [ permit | deny ] [ IP-Access-List-Test-Conditions ]
router(config [ std- | ext- ] nacl)# no [ permit | deny ] [ IP-Access-List-Test-Conditions ]
router(config [ std- | ext- ] nacl)# ^z
router(config)# interface Type Port
router(config-if)# ip access-group [ACL-Name | 1~199 ] [ in | out ]
router(config-if)# ^z
router(config)# ip access-list [ standard | extended ] ACL-Name
router(config [ std- | ext- ] nacl)# [ permit | deny ] [ IP-Access-List-Test-Conditions ]
router(config [ std- | ext- ] nacl)# no [ permit | deny ] [ IP-Access-List-Test-Conditions ]
router(config [ std- | ext- ] nacl)# ^z
router(config)# interface Type Port
router(config-if)# ip access-group [ACL-Name | 1~199 ] [ in | out ]
router(config-if)# ^z
配置DCE時鐘:
router# show controllers Type Port router(confin-if)# clock rate 64000 router(config-if)# ^z
router# show controllers Type Port router(confin-if)# clock rate 64000 router(config-if)# ^z
配置PPP協議:
router(config)# username Name password Set-Password-Here router(config)# interface Type Port
router(config-if)# encapsulation ppp router(config-if)# ppp outhentication [ chap | chap pap | pap chap | pap ] router(config-if)# ppp pap sent-username Name password Password router(config-if)# ^z
router(config)# username Name password Set-Password-Here router(config)# interface Type Port
router(config-if)# encapsulation ppp router(config-if)# ppp outhentication [ chap | chap pap | pap chap | pap ] router(config-if)# ppp pap sent-username Name password Password router(config-if)# ^z
PAP單向認證配置例項:
驗證方:
router-
驗證方:
router-
2004-1-10 21:23 aqbhc
CHAP雙向認證配置例項:
路由器 A:
routerA(config)# username routerB password 12345
routerA(config)# interface serial 0
routerA(config-if)# encapsulation ppp
routerA(config-if)# ppp authentication chap
routerA(config-if)# ppp chap hostname routerA
routerA(config-if)# ppp chap password 54321
routerA(config-if)# ^z
路由器 B:
routerB(config)# username routerA password 54321
routerB(config)# interface serial 1
routerB(config-if)# encapsulation ppp
routerB(config-if)# ppp authentication chap
routerB(config-if)# ppp chap hostname routerB
routerB(config-if)# ppp chap password 12345
routerB(config-if)# ^z
CHAP雙向認證配置例項:
路由器 A:
routerA(config)# username routerB password 12345
routerA(config)# interface serial 0
routerA(config-if)# encapsulation ppp
routerA(config-if)# ppp authentication chap
routerA(config-if)# ppp chap hostname routerA
routerA(config-if)# ppp chap password 54321
routerA(config-if)# ^z
路由器 B:
routerB(config)# username routerA password 54321
routerB(config)# interface serial 1
routerB(config-if)# encapsulation ppp
routerB(config-if)# ppp authentication chap
routerB(config-if)# ppp chap hostname routerB
routerB(config-if)# ppp chap password 12345
routerB(config-if)# ^z
Telnet使用:
routerA# terminal monitor routerA# telnet IP-Address [ Router-Name ] routerB# [ exit | logout ] routerB# ++<6>再按 routerA# show sessions routerA# Connect-Number routerA# disconnect IP-Address [ Router-Name ] routerA# show user routerA# clear line [ 0 | 1 | 2 | 3 | 4 ] 禁止任何Telnet到本機:
router(config)# line vty 0 4
router(config-line)# access-class ACL-Number
router(config)# ^z
routerA# terminal monitor routerA# telnet IP-Address [ Router-Name ] routerB# [ exit | logout ] routerB# ++<6>再按 routerA# show sessions routerA# Connect-Number routerA# disconnect IP-Address [ Router-Name ] routerA# show user routerA# clear line [ 0 | 1 | 2 | 3 | 4 ] 禁止任何Telnet到本機:
router(config)# line vty 0 4
router(config-line)# access-class ACL-Number
router(config)# ^z
設定主機名:
router(config)# hostname Set-Hostname
router(config)# ^z
router(config)# ^z
router(config)# hostname Set-Hostname
router(config)# ^z
router(config)# ^z
設定使用者模式密碼:
router(config)# line console 0
router(config-line)# login
router(config-line)# password Set-Password
router(config-line)# ^z
設定Telnet密碼:
router(config)# line vty 0 4
router(config-line)# login
router(config-line)# password Set-Password
router(config-line)# ^z
router(config)# line console 0
router(config-line)# login
router(config-line)# password Set-Password
router(config-line)# ^z
設定Telnet密碼:
router(config)# line vty 0 4
router(config-line)# login
router(config-line)# password Set-Password
router(config-line)# ^z
設定特權模式密碼:
router(config)# enable password Set-Password router(config)# enable secret Set-Password router(config)# ^z
router(config)# enable password Set-Password router(config)# enable secret Set-Password router(config)# ^z
給所有密碼加密:
router(config)# service password-ancryption Set-Password-Here
router(config)# no service password-ancryption router(config)# ^z
router(config)# service password-ancryption Set-Password-Here
router(config)# no service password-ancryption router(config)# ^z
設定登入Banner:
router(config)# banner motd 分隔符 Set-Banner-Information-Here 分隔符
router(config)# banner motd 分隔符 Set-Banner-Information-Here 分隔符
設定介面的描述資訊:
router(config-if)# description Set-Port-Information-Here
router(config)# ^z
router(config-if)# description Set-Port-Information-Here
router(config)# ^z
CDP的控制:
router(config-if)# cdp enable router(config-if)# no cdp enable router(config)# cdp run router(config)# no cdp run
__________________
router(config-if)# cdp enable router(config-if)# no cdp enable router(config)# cdp run router(config)# no cdp run
__________________
Ping的使用:
router# ping IP-Address
router# ping Protocol [ip]:[ Protocol-Type ] Target IP address:IP-Address Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]:y Sweep range of sizes [n]:
router# ping IP-Address
router# ping Protocol [ip]:[ Protocol-Type ] Target IP address:IP-Address Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]:y Sweep range of sizes [n]:
Tracke的使用:
router# trace IP-Address [ Host-Name ]
router# trace IP-Address [ Host-Name ]
為Cisco 4000路由器指定媒體型別:
router(config-if)# media-type 10baset router(config-if)# ^z
router(config-if)# media-type 10baset router(config-if)# ^z
更改路由器啟動順序:
router(config)# boot system flash IOS-FileName
router(config)# boot system tftp IOS-FileName TFTP-IP-Address
router(config)# boot system rom
router(config)# ^z
router(config)# boot system flash IOS-FileName
router(config)# boot system tftp IOS-FileName TFTP-IP-Address
router(config)# boot system rom
router(config)# ^z
修改暫存器數值:
router(config)# config-register value
在公司的南京辦事處與上海辦事處之間建立VPN聯接。
南京辦事處網路設定:
內網IP 10.1.1.0/24
外網IP 202.102.1.5/24
上海辦事處網路設定:
內網IP 10.1.2.0/24
外網IP 202.102.1.6/24
南京路由器配置
!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname nanjing
!
enable cisco
!
!
!------以下配置加密--------
crypto isakmp policy 1 生成iskamp policy number 1
encryption des 選擇用DES encryption也可用3DES指定三倍DES加密
hash sha 指定使用的雜湊演算法,也可以是md5(二端保持一致)
authentication pre-share
group 1 指定為Diffie-Hellman組,1表示768位,2表示1024位
lifetime 14400 指定安全關聯的有效期,不設就為預設值
------以下配置金鑰方法-----
crypto isakmp identity address 指定與遠端路由器通訊時使用isakmp標識
crypto isakmp key 654321 address 202.102.1.6 對遠端路由器埠202.102.1.6使用金鑰654321
crypto isakmp key 654321 address 192.168.1.2 對遠端路由器隧道埠192.168.1.2使用金鑰654321
!
------以下定義一個轉換集-----
crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定義一個或多個集
!
!
-------以下建立加密圖------
crypto map cmap1 local-address serial 0 定義加密圖cmap1並指定s0為本地地址
crypto map cmap1 1 ipsec-isakmp 用序號1設定加密圖
set peer 202.102.1.6 設定目標地址
set peer 192.168.1.2
set transform-set test1 指定轉換集
match address 111 指定加密訪問列表111中的地址
!
!
process-max-time 200
!
-------以下設定隧道埠------
interface Tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source 202.102.1.5
tunnel destination 202.102.1.6
crypto map cmap
!
-------以下設定內網口------
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
!
-------以下設定外網口------
interface serial0
ip address 202.102.1.5 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
!
ip classless
!
-------以下建立訪問列表111------
access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
end
!
在基於IOS的交換機上配置VTP版本:
×VTP版本1是預設配置
switch# vlan database
switch(vlan)# vtp v2-mode
在基於CLI的交換機上配置VTP版本:
switch(enable) set vtp v2 enable
2.建立Vlan
3.配置幹道鏈路
幹道是在兩臺catalyst交換機埠或catalyst交換機與路由器間的一條點對點
在基於IOS的交換機上配置幹道鏈路
switch(config)# interface interface mod/port
switch(config-if)# switchport mode trunk
switch(config-if)# switchport trunk encapsulation {isl|dotlq}
switch(config-if)# switchport trunk allowed vlan remove vlan-list
switch(config-if)# switchport trunk allowed vlan add vlan-list
在基於CLI的交換機上配置幹道鏈路:
switch(enable) set trunk module/port
2004-1-10 21:43 aqbhc
如何配置Cisco PIX防火牆 (轉載自無限矩陣 作者:verve)
router(config)# config-register value
在ROM監視器中更改暫存器數值:
> o/r value
> o/r value
路由器密碼的恢復:
冷關機,然後再開機並在60秒內按< Ctrl>+進入ROM監視器模式
> o/r 0x2142 confreg 0x2142 router> I
router> n
router> enable
router# copy startup-config running-config
router# configure terminal
router(config)# enable secret New-Password
router(config)# config-register 0x2102
router(config)# ^z
router# copy running-
冷關機,然後再開機並在60秒內按< Ctrl>+進入ROM監視器模式
> o/r 0x2142 confreg 0x2142 router> I
router> n
router> enable
router# copy startup-config running-config
router# configure terminal
router(config)# enable secret New-Password
router(config)# config-register 0x2102
router(config)# ^z
router# copy running-
2004-1-10 21:40 aqbhc
Cisco VPN連線配置例項
Cisco VPN連線配置例項
在公司的南京辦事處與上海辦事處之間建立VPN聯接。
南京辦事處網路設定:
內網IP 10.1.1.0/24
外網IP 202.102.1.5/24
上海辦事處網路設定:
內網IP 10.1.2.0/24
外網IP 202.102.1.6/24
南京路由器配置
!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname nanjing
!
enable cisco
!
!
!------以下配置加密--------
crypto isakmp policy 1 生成iskamp policy number 1
encryption des 選擇用DES encryption也可用3DES指定三倍DES加密
hash sha 指定使用的雜湊演算法,也可以是md5(二端保持一致)
authentication pre-share
group 1 指定為Diffie-Hellman組,1表示768位,2表示1024位
lifetime 14400 指定安全關聯的有效期,不設就為預設值
------以下配置金鑰方法-----
crypto isakmp identity address 指定與遠端路由器通訊時使用isakmp標識
crypto isakmp key 654321 address 202.102.1.6 對遠端路由器埠202.102.1.6使用金鑰654321
crypto isakmp key 654321 address 192.168.1.2 對遠端路由器隧道埠192.168.1.2使用金鑰654321
!
------以下定義一個轉換集-----
crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定義一個或多個集
!
!
-------以下建立加密圖------
crypto map cmap1 local-address serial 0 定義加密圖cmap1並指定s0為本地地址
crypto map cmap1 1 ipsec-isakmp 用序號1設定加密圖
set peer 202.102.1.6 設定目標地址
set peer 192.168.1.2
set transform-set test1 指定轉換集
match address 111 指定加密訪問列表111中的地址
!
!
process-max-time 200
!
-------以下設定隧道埠------
interface Tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source 202.102.1.5
tunnel destination 202.102.1.6
crypto map cmap
!
-------以下設定內網口------
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
!
-------以下設定外網口------
interface serial0
ip address 202.102.1.5 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
!
ip classless
!
-------以下建立訪問列表111------
access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
end
!
上海路由器配置
!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname shanghai
!
enable cisco
!
!
!------以下配置加密--------
crypto isakmp policy 1 生成iskamp policy number 1
encryption des 選擇用DES encryption也可用3DES指定三倍DES加密
hash sha 指定使用的雜湊演算法,也可以是md5(二端保持一致)
authentication pre-share
group 1 指定為Diffie-Hellman組,1表示768位,2表示1024位
lifetime 14400 指定安全關聯的有效期,不設就為預設值
------以下配置金鑰方法-----
crypto isakmp identity address 指定與遠端路由器通訊時使用isakmp標識
crypto isakmp key 654321 address 202.102.1.5 對遠端路由器埠202.102.1.6使用金鑰654321
crypto isakmp key 654321 address 202.102.1.6 對遠端路由器埠202.102.1.6使用金鑰654321
crypto isakmp key 654321 address 192.168.1.1 對遠端路由器隧道埠192.168.1.2使用金鑰654321
!
------以下定義一個轉換集-----
crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定義一個或多個集
!
!
-------以下建立加密圖------
crypto map cmap1 local-address serial 0 定義加密圖cmap1並指定s0為本地地址
crypto map cmap1 1 ipsec-isakmp 用序號1設定加密圖
set peer 202.102.1.5 設定目標地址
set peer 202.102.1.6
set peer 192.168.1.1
set transform-set test1 指定轉換集
match address 111 指定加密訪問列表111中的地址
!
!
process-max-time 200
!
-------以下設定隧道埠------
interface Tunnel0
ip address 192.168.1.2 255.255.255.0
tunnel source 202.102.1.6
tunnel destination 202.102.1.5
crypto map cmap
!
-------以下設定內網口------
interface Ethernet0
ip address 10.1.2.1 255.255.255.0
!
-------以下設定外網口------
interface serial0
ip address 202.102.1.6 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
!
ip classless
!
----
!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname shanghai
!
enable cisco
!
!
!------以下配置加密--------
crypto isakmp policy 1 生成iskamp policy number 1
encryption des 選擇用DES encryption也可用3DES指定三倍DES加密
hash sha 指定使用的雜湊演算法,也可以是md5(二端保持一致)
authentication pre-share
group 1 指定為Diffie-Hellman組,1表示768位,2表示1024位
lifetime 14400 指定安全關聯的有效期,不設就為預設值
------以下配置金鑰方法-----
crypto isakmp identity address 指定與遠端路由器通訊時使用isakmp標識
crypto isakmp key 654321 address 202.102.1.5 對遠端路由器埠202.102.1.6使用金鑰654321
crypto isakmp key 654321 address 202.102.1.6 對遠端路由器埠202.102.1.6使用金鑰654321
crypto isakmp key 654321 address 192.168.1.1 對遠端路由器隧道埠192.168.1.2使用金鑰654321
!
------以下定義一個轉換集-----
crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定義一個或多個集
!
!
-------以下建立加密圖------
crypto map cmap1 local-address serial 0 定義加密圖cmap1並指定s0為本地地址
crypto map cmap1 1 ipsec-isakmp 用序號1設定加密圖
set peer 202.102.1.5 設定目標地址
set peer 202.102.1.6
set peer 192.168.1.1
set transform-set test1 指定轉換集
match address 111 指定加密訪問列表111中的地址
!
!
process-max-time 200
!
-------以下設定隧道埠------
interface Tunnel0
ip address 192.168.1.2 255.255.255.0
tunnel source 202.102.1.6
tunnel destination 202.102.1.5
crypto map cmap
!
-------以下設定內網口------
interface Ethernet0
ip address 10.1.2.1 255.255.255.0
!
-------以下設定外網口------
interface serial0
ip address 202.102.1.6 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
!
ip classless
!
----
2004-1-10 21:42 aqbhc
vlan 配置思路
vlan 配置思路
在交換機上建立vlan
1.建立一個vtp管理域
×為了在交換機上建立vlan,必須首先建立一個vtp管理域以使它能夠核驗網路
1.建立一個vtp管理域
×為了在交換機上建立vlan,必須首先建立一個vtp管理域以使它能夠核驗網路
上當前的vlan
×Catalyst 4000 系列交換機模組只支援802.1q。
×判斷硬體是否支援幹道,及硬體所支援的幹道封裝使用:show port
×Catalyst 4000 系列交換機模組只支援802.1q。
×判斷硬體是否支援幹道,及硬體所支援的幹道封裝使用:show port
capabilities
首先執行 clear config all
vtp command:
在基於IOS的交換機上配置VTP管理域或加入一個管理域:
switch# vlan database
switch(vlan)# vtp domain domain-name
在基於CLI的交換機上配置VTP管理域:
switch(enable) set vtp [domain domain-name] passwd password
在基於IOS的交換機上配置VTP管理域或加入一個管理域:
switch# vlan database
switch(vlan)# vtp domain domain-name
在基於CLI的交換機上配置VTP管理域:
switch(enable) set vtp [domain domain-name] passwd password
在基於IOS的交換機上配置VTP 模式:
switch# vlan database
switch(vlan)# vtp domain domain-name
switch(vlan)# vtp {sever|cilent|transparent}
switch(vlan)# vtp password password
在基於CLI的交換機上配置VTP 模式:
switch(enable) set vtp [domain domain-name] [mode{
switch# vlan database
switch(vlan)# vtp domain domain-name
switch(vlan)# vtp {sever|cilent|transparent}
switch(vlan)# vtp password password
在基於CLI的交換機上配置VTP 模式:
switch(enable) set vtp [domain domain-name] [mode{
sever|cilent|transparent }][password password]
核驗vtp的配置:
show vtp domain
show vtp statistics
show vtp domain
show vtp statistics
在基於IOS的交換機上配置VTP版本:
×VTP版本1是預設配置
switch# vlan database
switch(vlan)# vtp v2-mode
在基於CLI的交換機上配置VTP版本:
switch(enable) set vtp v2 enable
在基於IOS的交換機上啟動VTP剪裁:
switch# vlan database
switch(vlan)# vtp pruning
在基於CLI 的交換機上啟動VTP剪裁:
switch(enable) set vtp pruning enable
(set vtp pruneeligible vlan-range)
不起用vtp修剪:
clear vtp pruneeligible vlan-range
switch# vlan database
switch(vlan)# vtp pruning
在基於CLI 的交換機上啟動VTP剪裁:
switch(enable) set vtp pruning enable
(set vtp pruneeligible vlan-range)
不起用vtp修剪:
clear vtp pruneeligible vlan-range
核驗vtp修剪的配置:
show trunk
show trunk
2.建立Vlan
在基於IOS的交換機上配置靜態VLAN:
switch# vlan database
switch(vlan)# vlan vlan-num name vlan-name
switch(vlan)# exit
switch# configure teriminal
switch(config)# interface interface module/number
switch(config-if)# switchport mode access
switch(config-if)# switchport access vlan vlan-num
switch(config-if)# end
在基於CLI的交換機上配置靜態VLAN:
switch(enable) set vlan vlan-num [name name]
switch(enable) set vlan vlan-num mod-num/port-list
switch# vlan database
switch(vlan)# vlan vlan-num name vlan-name
switch(vlan)# exit
switch# configure teriminal
switch(config)# interface interface module/number
switch(config-if)# switchport mode access
switch(config-if)# switchport access vlan vlan-num
switch(config-if)# end
在基於CLI的交換機上配置靜態VLAN:
switch(enable) set vlan vlan-num [name name]
switch(enable) set vlan vlan-num mod-num/port-list
核驗配置:show vlan
3.配置幹道鏈路
幹道是在兩臺catalyst交換機埠或catalyst交換機與路由器間的一條點對點
鏈路。
幹道鏈路可以承載多個vlan。
幹道鏈路可以承載多個vlan。
在基於IOS的交換機上配置幹道鏈路
switch(config)# interface interface mod/port
switch(config-if)# switchport mode trunk
switch(config-if)# switchport trunk encapsulation {isl|dotlq}
switch(config-if)# switchport trunk allowed vlan remove vlan-list
switch(config-if)# switchport trunk allowed vlan add vlan-list
在基於CLI的交換機上配置幹道鏈路:
switch(enable) set trunk module/port
[on|off|desirable|auto|nonegotiate]
Vlan-range
Vlan-range
[isl|dotlq|dotl0|lane|negotiate]
2004-1-10 21:43 aqbhc
如何配置Cisco PIX防火牆 (轉載自無限矩陣 作者:verve)
任何企業安全策略的一個主要部分都是實現和維護防火牆,因此防火牆在網路安全的實現當中扮演著重要的角色。防火牆通常位於企業網路的邊緣,這使得內部網路與Internet之間或者與其他外部網路互相隔離,並限制網路互訪從而保護企業內部網路。設定防火牆目的都是為了在內部網與外部網之間設立唯一的通道,簡化網路的安全管理。
在眾多的企業級主流防火牆中,Cisco PIX防火牆是所有同類產品效能最好的一種。Cisco PIX系列防火牆目前有5種型號PIX506,515,520,525,535。其中PIX535是PIX 500系列中最新,功能也是最強大的一款。它可以提供運營商級別的處理能力,適用於大型的ISP等服務提供商。但是PIX特有的OS作業系統,使得大多數管理是透過命令列來實現的,不象其他同類的防火牆透過Web管理介面來進行網路管理,這樣會給初學者帶來不便。本文將透過例項介紹如何配置Cisco PIX防火牆。
在眾多的企業級主流防火牆中,Cisco PIX防火牆是所有同類產品效能最好的一種。Cisco PIX系列防火牆目前有5種型號PIX506,515,520,525,535。其中PIX535是PIX 500系列中最新,功能也是最強大的一款。它可以提供運營商級別的處理能力,適用於大型的ISP等服務提供商。但是PIX特有的OS作業系統,使得大多數管理是透過命令列來實現的,不象其他同類的防火牆透過Web管理介面來進行網路管理,這樣會給初學者帶來不便。本文將透過例項介紹如何配置Cisco PIX防火牆。
在配置PIX防火牆之前,先來介紹一下防火牆的物理特性。防火牆通常具有至少3個介面,但許多早期的防火牆只具有2個介面;當使用具有3個介面的防火牆時,就至少產生了3個網路,描述如下:
Ø 內部區域(內網)。 內部區域通常就是指企業內部網路或者是企業內部網路的一部分。它是互連網路的信任區域,即受到了防火牆的保護。
Ø 外部區域(外網)。 外部區域通常指Internet或者非企業內部網路。它是互連網路中不被信任的區域,當外部區域想要訪問內部區域的主機和服務,透過防火牆,就可以實現有限制的訪問。
Ø 停火區(DMZ)。停火區是一個隔離的網路,或幾個網路。位於停火區中的主機或伺服器被稱為堡壘主機。一般在停火區內可以放置Web伺服器,Mail伺服器等。停火區對於外部使用者通常是可以訪問的,這種方式讓外部使用者可以訪問企業的公開資訊,但卻不允許他們訪問企業內部網路。注意:2個介面的防火牆是沒有停火區的。
Ø 內部區域(內網)。 內部區域通常就是指企業內部網路或者是企業內部網路的一部分。它是互連網路的信任區域,即受到了防火牆的保護。
Ø 外部區域(外網)。 外部區域通常指Internet或者非企業內部網路。它是互連網路中不被信任的區域,當外部區域想要訪問內部區域的主機和服務,透過防火牆,就可以實現有限制的訪問。
Ø 停火區(DMZ)。停火區是一個隔離的網路,或幾個網路。位於停火區中的主機或伺服器被稱為堡壘主機。一般在停火區內可以放置Web伺服器,Mail伺服器等。停火區對於外部使用者通常是可以訪問的,這種方式讓外部使用者可以訪問企業的公開資訊,但卻不允許他們訪問企業內部網路。注意:2個介面的防火牆是沒有停火區的。
由於PIX535在企業級別不具有普遍性,因此下面主要說明PIX525在企業網路中的應用。
PIX防火牆提供4種管理訪問模式:
² 非特權模式。 PIX防火牆開機自檢後,就是處於這種模式。系統顯示為pixfirewall>
² 特權模式。 輸入enable進入特權模式,可以改變當前配置。顯示為pixfirewall#
² 配置模式。 輸入configure terminal進入此模式,絕大部分的系統配置都在這裡進行。顯示為pixfirewall(config)#
² 監視模式。 PIX防火牆在開機或重啟過程中,按住Escape鍵或傳送一個“Break”字元,進入監視模式。這裡可以更新作業系統映象和口令恢復。顯示為monitor>
² 非特權模式。 PIX防火牆開機自檢後,就是處於這種模式。系統顯示為pixfirewall>
² 特權模式。 輸入enable進入特權模式,可以改變當前配置。顯示為pixfirewall#
² 配置模式。 輸入configure terminal進入此模式,絕大部分的系統配置都在這裡進行。顯示為pixfirewall(config)#
² 監視模式。 PIX防火牆在開機或重啟過程中,按住Escape鍵或傳送一個“Break”字元,進入監視模式。這裡可以更新作業系統映象和口令恢復。顯示為monitor>
配置PIX防火牆有6個基本命令:nameif,interface,ip address,nat,global,route.
這些命令在配置PIX是必須的。以下是配置的基本步驟:
1. 配置防火牆介面的名字,並指定安全級別(nameif)。
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
提示:在預設配置中,乙太網0被命名為外部介面(outside),安全級別是0;乙太網1被命名為內部介面(inside),安全級別是100.安全級別取值範圍為1~99,數字越大安全級別越高。若新增新的介面,語句可以這樣寫:
Pix525(config)#nameif pix/intf3 security40 (安全級別任取)
這些命令在配置PIX是必須的。以下是配置的基本步驟:
1. 配置防火牆介面的名字,並指定安全級別(nameif)。
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
提示:在預設配置中,乙太網0被命名為外部介面(outside),安全級別是0;乙太網1被命名為內部介面(inside),安全級別是100.安全級別取值範圍為1~99,數字越大安全級別越高。若新增新的介面,語句可以這樣寫:
Pix525(config)#nameif pix/intf3 security40 (安全級別任取)
2. 配置以太口引數(interface)
Pix525(config)#interface ethernet0 auto(auto選項表明系統自適應網路卡型別 )
Pix525(config)#interface ethernet1 100full(100full選項表示100Mbit/s乙太網全雙工通訊 )
Pix525(config)#interface ethernet1 100full shutdown (shutdown選項表示關閉這個介面,若啟用介面去掉shutdown )
Pix525(config)#interface ethernet0 auto(auto選項表明系統自適應網路卡型別 )
Pix525(config)#interface ethernet1 100full(100full選項表示100Mbit/s乙太網全雙工通訊 )
Pix525(config)#interface ethernet1 100full shutdown (shutdown選項表示關閉這個介面,若啟用介面去掉shutdown )
3. 配置內外網路卡的IP地址(ip address)
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明顯,Pix525防火牆在外網的ip地址是61.144.51.42,內網ip地址是192.168.0.1
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明顯,Pix525防火牆在外網的ip地址是61.144.51.42,內網ip地址是192.168.0.1
4. 指定要進行轉換的內部地址(nat)
網路地址翻譯(nat)作用是將內網的私有ip轉換為外網的公有ip.Nat命令總是與global命令一起使用,這是因為nat命令可以指定一臺主機或一段範圍的主機訪問外網,訪問外網時需要利用global所指定的地址池進行對外訪問。nat命令配置語法:nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示內網介面名字,例如inside. Nat_id用來標識全域性地址池,使它與其相應的global命令相匹配,local_ip表示內網被分配的ip地址。例如0.0.0.0表示內網所有主機可以對外訪問。[netmark]表示內網ip地址的子網掩碼。
例1.Pix525(config)#nat (inside) 1 0 0
表示啟用nat,內網的所有主機都可以訪問外網,用0可以代表0.0.0.0
例2.Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0這個網段內的主機可以訪問外網。
網路地址翻譯(nat)作用是將內網的私有ip轉換為外網的公有ip.Nat命令總是與global命令一起使用,這是因為nat命令可以指定一臺主機或一段範圍的主機訪問外網,訪問外網時需要利用global所指定的地址池進行對外訪問。nat命令配置語法:nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示內網介面名字,例如inside. Nat_id用來標識全域性地址池,使它與其相應的global命令相匹配,local_ip表示內網被分配的ip地址。例如0.0.0.0表示內網所有主機可以對外訪問。[netmark]表示內網ip地址的子網掩碼。
例1.Pix525(config)#nat (inside) 1 0 0
表示啟用nat,內網的所有主機都可以訪問外網,用0可以代表0.0.0.0
例2.Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0這個網段內的主機可以訪問外網。
5. 指定外部地址範圍(global)
global命令把內網的ip地址翻譯成外網的ip地址或一段地址範圍。Gl
global命令把內網的ip地址翻譯成外網的ip地址或一段地址範圍。Gl
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/262387/viewspace-1015917/,如需轉載,請註明出處,否則將追究法律責任。
下一篇:
靜態地址轉換+埠複用地址轉換
請登入後發表評論
登入
全部評論
相關文章
- zabbix 3.0 安裝配置文件
- JuniperSSG550MNSRP配置文件
- Android外掛DSL配置文件Android
- Weblogic資料來源配置文件Web
- LNMP環境中phpadmin配置文件LNMPPHP
- eclipse、IDEA配置文件註釋EclipseIdea
- nagios使用check_oracle_health配置文件iOSOracle
- GoldenGate 配置文件,裡面有引數說明Go
- centos7.3下 greenplum-db 安裝、配置文件CentOS
- 非常好實用的關於solaris ipmp配置文件
- 之前專案組要使用git倉庫來統一配置文件Git
- sqlserver2008_ogg單向複製配置文件SQLServer
- 路由器要再接個無線路由器路由器
- 路由器技術詳解--路由器POS接入路由器
- 從路由器出來的網線再接路由器路由器
- 怎樣利用路由器日誌排除路由器故障路由器
- SharePlex安裝配置、常用功能配置文件、常見故障處理文件
- 路由器用到壞才換?路由器你在乎哪些功能?路由器
- 修改路由器DNS路由器DNS
- 路由器工作原理路由器
- 路由器quagga路由器
- 軟體路由器路由器
- 多卡聚合路由器和普通路由器的區別路由器
- 小米路由器登入入口 小米路由器怎麼設定路由器
- 多卡聚合路由器和企業路由器的區別路由器
- 什麼是聚合路由器、聚合路由器有什麼用路由器
- 工業級聚合路由器與家用WiFi路由器的區別路由器WiFi
- 小米路由器4正式釋出 小米路由器4怎麼樣?路由器
- 指定路由器(DR/BDR)和非指定路由器(DROTHER)的區別路由器
- 小米路由器3怎麼樣?小米路由器3配置評測路由器
- 聚合路由器工作原理路由器
- 路由器功能簡介路由器
- 斐訊路由器如何路由器
- Cisco路由器VPN配置路由器
- 路由器埠查詢路由器
- 路由器改密碼路由器密碼
- BT的路由器限制路由器
- 路由器基礎(轉)路由器