交换机的配置
(1)交换机的模式:
switch> 用户模式,可以查看设备的部分内容
SW-3ceng>enable
SW-3ceng# 进入特权模式,可以查看更多的内容;
SW-3ceng#configure terminal
SW-3ceng(config)# 进入全局配置模式,可以对设备进行配置
SW-3ceng(config)#int g1/0/52
SW-3ceng(config-if)# 接口模式
exit 退出一级
end 直接退到特权模式(ctrl+z)
在特权模式可以使用的命令
show mac-address-table #查看mac地址表**
clock set 17:07:30 May 14 2019 #设置时间:时分秒,日月年
show ip interface brief #查看所有接口状态**
(说明:只有当Status和Protocol显示都是“up”时,才能正常通信)
show cdp neighbors #查看邻居和本地的连接情况**
how history #查看命令历史
show running-config #查看交换机当前配置,还没有保存(重启就失效;只是写入了“内存”)
write #保存配置
copy running-config startup-config #把running里的配置保存到开机启动配置文件里
show startup-config #交换机每次开机的时候会自动加载的配置(重启仍然有效;写到了“硬盘”中,做永久存储)
reload #重启
远程管理的步骤:
第一步:给交换机配置IP
SW1(config)#interface vlan 1
SW1(config-if)#ip address 192.168.1.100 255.255.255.0
SW1(config-if)#no sh
第二步:配置telnet
SW1(config)#line vty 0 4 #0表示第1个虚拟接口;4表示最多允许登录人数
SW1(config-line)#password 123456 #设置远程登录的密码
SW1(config-line)#login #激活
第三步:进入特权模式的密码
SW1(config)#enable password enable #password表示的明文密码
SW1(config)#enable secret enable2 #secret表示密文的密码;如果两个都存在,那么密文生效
给console口做安全配置
SW1(config)#line console 0
SW1(config-line)#exec-timeout 0 0 #设置超时时间,第一个0表示分钟;第二个0表示s;0 0 表示永不超时(仅限于实验环境)
SW1(config-line)#password console #设置console的登录密码
SW1(config-line)#logging synchronous #设置光标跟随
SW1(config-line)#login #激活
SW1(config)#no ip domain-lookup #关闭域名解析
SW1#erase startup-config #清空所有配置
ssh配置
conf t
username test password 密码
ip domain-name www.test.com //域名用来生成公钥和私钥
crypto key generate rsa //生成一对rsa算法的公钥和私钥
line vty 0 4
transport input ssh/all
login local
exit
ssh -l username 192.168.1.254 //在模拟PC上使用ssh连接设备
路由器的简单配置
Router(config)#int g0/0 #进入物理接口
Router(config-if)#ip address 192.168.1.254 255.255.255.0 #配置IP和子网掩码
Router(config-if)#no sh #开启接口——默认路由器的所有接口是down的状态
给路由器设置ssh
第一步:指定登录方式并激活
R1(config)#line vty 0 4
R1(config-line)#login local
R1(config-line)#transport input all
第二步:
R1(config)#username R1 password 123456 #设置本地用户名和密码
R1(config)#ip domain-name www.R1.com #设置本地的域名
R1(config)#crypto key generate rsa #生成秘钥
第三步:
R1(config)#enable password 123456 #设置进入特权模式的密码
SW2(config)#ip default-gateway 192.168.2.254 #如果交换机也想实现跨网段通信,必须要配置网关
路由器中S口的配置
interface Serial0/2/0
ip address 12.1.1.2 255.255.255.0
clock rate 1000000 #配置客户端的带宽
绑定mac地址:
> arp -s 157.55.85.212 00-aa-00-62-c6-09.... 添加静态项。 # 在PC上
Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0 #路由器上绑定,一般绑定“下联”设备的mac地址
Switch(config)#arp 10.0.0.12 90fb.a695.4445 arpa f0/2 #交换机上绑定
交换机里的“端口安全”,要在接口下开启端口安全
(1)在交换机的某个接口启用端口安全:
Int f0/1
交换机的端口安全(防止mac地址表泛洪):
Switch(config)#interface f0/1 //进入f0/1接口
Switch(config-if)#switchport mode access //更改交换机模式为access
Switch(config-if)#switchport port-security //启动端口安全保护机制
Switch(config-if)#switchport port-security maximum 1 //允许最大学习的mac地址为1
Switch(config-if)#switchport port-security violation shutdown/protect(保护:不学习mac但是也不关闭端口;)/restrict(发送日志,计数增加,但是不关闭端口)
//违反规则接口shutdown
Switch(config-if)#switchport port-security mac-address sticky
//粘滞MAC地址(手工绑定工作量大,所以进行自动学习并黏贴)
show port-security //查看安全配置
switchport port-security mac-address 00D0.9752.DB78 //给交换机的接口绑定mac地址;如果是非法的mac,直接接口处于error-dis状态
do show int f0/1 //查看端口状态
errdiasble recovery cause psecure-violation //300s以后接口恢复正常状态(非法流量仍然会触发接口关闭)
errdisable recovery interval 30 //设置恢复时间30s(手工只有先shut 再no shut才能开启)
show errdisable recovery //查看恢复状态
show port-security //哪些接口开启安全
show port-security int f0/4 //查看某个接口的安全
vlan相关命令
1)查看:
SW1(config)# do show vlan brief #查看vlan的简要信息
SW1(config)#no vlan 1
Default VLAN 1 may not be deleted. #默认vlan1不能被删除
(2)创建和删除vlan的命令
SW1(config)#vlan 20
SW1(config-vlan)#name xiaoshoubu
SW1(config)#no vlan 30
(3)把接口加入到vlan中
SW1(config)#int f0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 20
针对多个接口同时操作:
Switch(config)# interface range f0/1 – 10
Switch(config-if-range)# switchport access vlan 20
.Trunk链路
SW1(config)#int f0/5
SW1(config-if)#switchport mode trunk #把接口加入到trunk
SW1(config-if)#switchport trunk allowed vlan all #允许所有vlan通过
单臂路由
R1(config)#int f0/0
R1(config-if)#no sh #物理接口必须开启
R1(config)#int f0/0.3 #进入子接口
R1(config-subif)#encapsulation dot1Q 3 #设置封装格式为802.1q,对应的vlan是vlan3
R1(config-subif)#ip add 192.168.3.254 255.255.255.0 #给子接口设置Ip(网关)
VTP的server模式:
vtp mode server/client/transparent #设置为server模式,也是交换机的默认模式
vtp domain test #设置vtp域名为test
vtp password 123 #设置加入域的密码为123
vtp version 2 #设置vtp的版本号为2
在Server和Client模式下,VTP的配置信息和vlan信息没有在show run里,而是存到了Flash里。
Switch#delete flash:/vlan.dat
三层交换机的配置:
(1) 二层接口转换为三层接口:
第一步:创建vlan
3L-1(config)#vlan 10
3L-1(config-vlan)#vlan 30
3L-1(config-vlan)#vlan 20
3L-1(config-if)#int vlan 20
3L-1(config-if)#ip add 192.168.20.254 255.255.255.0
3L-1(config-if)#no sh
3L-1(config)#ip routing #开启路由功能
3L-2(config)#int f0/2
3L-2(config-if)#no switchport #转换为3层接口,直接配IP
3L-2(config-if)#ip add 192.168.40.254 255.255.255.0
3L-2(config-if)#no sh
STP的命令
SW1#show spanning-tree #显示所有vlan的生成树
SW1#show spanning-tree detail #查看vlan的详细信息
如果接口配置了Portfast,那么接口会立即(1-3s)进入转发状态。
Switch(config)#int f0/1
Switch(config-if)#swithport mode access
Switch(config-if)#spanning-tree portfast
3L-1(config)#spanning-tree vlan 10 root primary #配置本交换机为vlan10的主根桥,优先级会自动降低8192(在32768的基础)
3L-1(config)#spanning-tree vlan 20 root secondary #配置本交换机为vlan20的备份根桥,优先级会自动降低4096(在32768的基础)
以太通道
以太通道:EthernetChannel,增加了链路带宽,提高了容错能力,还有负载均衡的作用。
SW1(config)#int range f0/1 - 2 #进入物理接口
SW1(config-if-range)#channel-group 1 mode on #设置以太链路为组1,两边的组编号要一致。
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#switchport trunk allowed vlan all #设置为trunk模式,并允许所有vlan通过
SW2#show etherchannel summary #查看以太通道的结果
HSRP的配置
R1:是vlan10的主
interface FastEthernet0/0.10 #如果有多个vlan,在路由器上要使用单臂路由(子接口对应vlan信息)
encapsulation dot1Q 10
ip address 192.168.10.100 255.255.255.0 #配置子接口的IP
standby version 2 #HSRP的版本号
standby 10 ip 192.168.10.254 #设置HSRP的虚拟IP(PC的网关)
standby 10 priority 105 #设置优先级,让本地称为vlan10的Active
standby preempt #配置抢占模式,只要状态恢复,就要称为Active
standby 0 track FastEthernet0/1 #配置监控接口,如果接口down,就认为HSRP发生故障;就会切换HSRP的状态
standby 0 track FastEthernet0/0
R2:是vlan10的备份
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.200 255.255.255.0
standby version 2
standby 10 ip 192.168.10.254
standby 10 track FastEthernet0/0
standby 10 track FastEthernet0/1
show standby brief #查看HSRP的简要信息
三层交换机配置HSRP
配置以太通道:
interface FastEthernet0/3
channel-group 1 mode on
switchport trunk encapsulation dot1q
switchport mode trunk
配置HSRP时,看网关在物理接口还是SVI虚接口;网关在哪里,就在哪个接口配置HSRP。
ACL
使用ACL的步骤:
第一步:创建ACL
access-list 10 deny 192.168.1.1 0.0.0.0 // 192.168.1.1 0.0.0.0 代表主机192.168.1.1 === host 192.168.1.1
access-list 10 permit host 192.168.1.2
第二步:应用到接口
int f0/1
ip access-group 1 in/out ##尽量应用到流量的入接口
扩展ACL:实现基于源目IP、源目端口、基于协议来做数据的过滤;编号100——199
access-list 100 permit tcp host 192.168.1.1 host 192.168.30.1 eq www
access-list 100 permit ip host 192.168.1.1 192.168.20.0 0.0.0.255
access-list 100 deny icmp host 192.168.1.1 host 192.168.30.1
access-list 100 permit tcp host 192.168.1.1 host 192.168.30.1 eq telnet
access-list 100 permit udp host 192.168.1.1 host 192.168.30.1 eq domain
access-list 100 permit tcp host 192.168.1.1 host 192.168.30.1 eq domain
access-list 100 permit tcp host 192.168.1.1 host 192.168.30.1 eq ftp
access-list 100 permit tcp host 192.168.1.1 host 192.168.30.1 eq 20
access-list 100 permit tcp host 192.168.1.1 host 192.168.30.1 established
access-list 100 permit tcp host 192.168.1.1 host 192.168.30.1 range 1024 65535
、
DHCP配置
客户端和DHCP服务器在同一个网段:直接获取
R2#show run | section dhcp
ip dhcp excluded-address 192.168.10.254 #设置排除地址
ip dhcp pool vlan10 #创建地址池叫vlan10
network 192.168.10.0 255.255.255.0 #设置客户端的网段——作用域
default-router 192.168.10.254 #给客户端设置网关
dns-server 114.114.114.114 #给客户端设置DNS
DHCP命令:
ip dhcp pool vlan10
network 网段 子网
dns-server 114.114.114.114
default-router 192.168.10.254
exit
ip dhcp excluded-address 排除地址
NAT:Network Address Translation ,作用——把私网地址转换为公网地址;隐藏了真实的内网地址;节省了IPV4地址;把IPv4转化为IPv6。
静态转换:一对一,一个私网地址对应一个公网地址。
第一步:声明内外接口
int f0/0
ip nat inside
int f0/1
ip nat outside
第二步:设置NAT转换
ip nat inside source static 内网IP 外网IP
动态转换:多对多,多个私网IP对应多个公网IP
第一步:声明内外接口
int f0/0
ip nat inside
int f0/1
ip nat outside
第二步:定义上网的网段
access-list 10 permit 192.168.10.0 0.0.0.255
第三步:定义NAT转换
ip nat inside source list 10 interface f0/1 overload
4.实验步骤
第一步:
划分vlan和trunk链路
int f0/1
sw mode access
sw acc vlan 10
int f0/3
sw mode trunk
sw trunk allow vlan all
配置单臂路由:
int f0/0
no sh
int f0/0.10
encapsulation dot1q 10 #设置封装格式为dot1q,对应的vlan是vlan10
ip address 192.168.10.254 255.255.255.0 #给子接口配置IP
no sh
int f0/0.20
encapsulation dot1q 20
ip address 192.168.20.254 255.255.255.0
no sh
路由器模拟PC的命令
no ip routing #关闭路由功能
int f0/0
ip address 192.168.30.30 255.255.255.0
ip default-gateway 192.168.30.254
int f0/0
ip address dhcp #设置接口地址为dhcp
配置DHCP
ip dhcp pool vlan10
network 网段 子网
dns-server 114.114.114.114
default-router 192.168.10.254
exit
ip dhcp excluded-address 排除地址
DHCP中继代理
在客户端对应的网关上配置:
int f0/0.10
ip helper-address 192.168.30.30
int f0/0.20
ip helper-address 192.168.30.30
第二步:配置NAT
配置PAT:
int f0/0.10
ip nat inside
int f0/0.20
ip nat inside
int e1/0
ip nat outside
ip nat inside source list 10 interface Ethernet1/0 overload
配置Static
int f0/0.30
ip nat inside
ip nat inside source static 192.168.30.30 12.1.1.3
第三步:在右边的LAN中配置access/trunk链路
HSRP配置——解决了网关的冗余问题
R4#show run | s standby
standby 30 ip 192.168.30.254 #配置虚拟IP
standby 30 priority 105 #配置优先级为105,默认为100,谁大谁是主
standby 30 preempt #配置抢占模式
standby 30 track 1 decrement 10 #默认罚值为10,表示接口如果down,那么优先级在100的基础上,减去10
standby 30 track 2 decrement 10 #端口追踪
HSRP的备份路由器配置:
R5#show run | s standby
standby 30 ip 192.168.30.254
standby 30 track 1 decrement 10
standby 30 track 2 decrement 10
注意:内网的路由通信问题。
.RIp的配置
(1)S口模拟公网:‘
int s2/0
clock rate 1000000 #在串行链路中,分为DCE(服务端:运营商)和DTE(客户端);时钟频率就是服务端给客户端分配的带宽。
ip address 12.1.1.2
no sh
(2)RIP的配置:
router rip
network 11.1.1.0
(3)查看路由表:
show ip route
RIPv2的配置
router rip
version 2
network 11.1.1.0
no auto-summary #关闭自动汇总
RIpv2的认证
enable
conf t
key chain test //定义一个钥匙链,两端可以不一样
key 1 //定义钥匙链上的钥匙(key的ID值必须要要一样)
key-string cisco //设置钥匙密码
int f0/1
ip rip authentication key-chain test //接口使用钥匙链
ip rip authentication mode md5 //指定接口使用md5
ospf配置
基础配置:
router ospf 110 #110表示ospf的进程号,本地有效
network 12.1.1.0 0.0.0.255 area 0 #宣告网段,反掩码,区域编号为0;注意区域0是一个特殊区域叫做“骨干区域”,只有相同的区域之间才能通信。
debug ip ospf adj #查看ospf邻居建立过程
R3#show ip ospf neighbor #邻居关系表
VPN配置
配置IPsecPVPN
R1的配置
(1)配置第一阶段——秘钥安全性,设置密码
R1(config)#crypto isakmp policy 10 #设置第一阶段,策略编号为10
R1(config-isakmp)#encryption 3des #设置秘钥的加密方式为3des
R1(config-isakmp)#authentication pre-share #设置认证方式为预共享秘钥
R1(config-isakmp)#hash md5 #校验秘钥的完整性,使用md5
R1(config-isakmp)#group 2 #使用DH对秘钥交互做二次加密
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 cisco address 34.1.1.2 #定义秘钥为cisco;对端的公网Ip是34.1.1.2
(2)配置第二阶段——设置数据加密方式
R1(config)#crypto ipsec transform-set R1-R4 esp-3des esp-md5-hmac #设置数据的加密方式为3des;使用的协议是ESP;保证数据的完整性是md5
R1(cfg-crypto-trans)#mode tunnel #数据传输方式为隧道模式
R1(cfg-crypto-trans)#exit
R1(config)#
(3)配置ACL(针对那些数据进行加密——感兴趣流量)
R1(config)#access-list 100 permit ip host 192.168.10.1 host 192.168.20.1
(4)配置Map
R1(config)#crypto map Beijing-Shanghai 10 ipsec-isakmp #定义策略图map,名字叫做Beijing-Shanghai,编号是10
R1(config-crypto-map)#match address 100 #匹配感兴趣流量
R1(config-crypto-map)#set peer 34.1.1.2 #匹配对端的公网地址
R1(config-crypto-map)#set transform-set R1-R4 #关联转换集
(5)应用到接口
R1(config)#int e1/0
R1(config-if)#crypto map Beijing-Shanghai
R4的配置:
(1)配置第一阶段——秘钥安全性,设置密码
R4(config)#crypto isakmp policy 10
R4(config-isakmp)#encryption 3des
R4(config-isakmp)#hash md5
R4(config-isakmp)#authentication pre-share
R4(config-isakmp)#group 2
R4(config-isakmp)#exit
R4(config)#crypto isakmp key 0 cisco address 12.1.1.1
(2)配置第二阶段——设置数据加密方式
R4(config)#crypto ipsec transform-set R4-R1 esp-3des esp-md5-hmac
R4(cfg-crypto-trans)#mode tunnel
(3)配置ACL(针对那些数据进行加密——感兴趣流量)
R4(config)#access-list 100 permit ip host 192.168.20.1 host 192.168.10.1
(4)配置Map
R4(config)#crypto map Shanghai-Beijing 10 ipsec-isakmp
R4(config-crypto-map)#match add 100
R4(config-crypto-map)#set peer 12.1.1.1
R4(config-crypto-map)#set transform-set R4-R1
R4(config-crypto-map)#exit
(5)应用到接口
R4(config)#int e1/1
R4(config-if)#crypto map Shanghai-Beijing
R4(config-if)#exit
检查命令:
R2#show crypto isakmp policy #第一阶段
Global IKE policy
Protection suite of priority 10
encryption algorithm: Three key triple DES
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
R2#show crypto isakmp sa #第一阶段的协商状态,Active是协商成功
IPv4 Crypto ISAKMP SA
dst src state conn-id status
34.1.1.2 12.1.1.1 QM_IDLE 1001 ACTIVE
R2#show crypto ipsec transform-set #查看第二阶段的 转换集
Transform set default: { esp-aes esp-sha-hmac } #默认转换集
will negotiate = { Transport, },
Transform set BJ-TJ: { esp-3des esp-md5-hmac } #自定义的转换集
will negotiate = { Tunnel, },
R2#show crypto map #查看策略图
R2#show crypto engine connections active #查看加密和解密数据包的数量