神碼設(shè)備命令集.doc

神州數(shù)碼設(shè)備命令神州數(shù)碼設(shè)備命令目錄1. 網(wǎng)線制作12. 交換機(jī)、路由器設(shè)備管理（配置管理、文件管理及密碼管理等）13. 時(shí)間設(shè)定24. 網(wǎng)絡(luò)子網(wǎng)VLAN劃分及應(yīng)用（跨交換機(jī)相同VLAN間通信、私有VLAN、多層交換機(jī)VLAN的劃分和VLAN間路由、公用端口等）25. 交換機(jī)端口配置(設(shè)置trunk 模式、交換機(jī)端口安全、配置MAC 地址表實(shí)現(xiàn)綁定和過(guò)濾、流量控制、鏡像端口、端口流控制)36. 交換機(jī)端口、鏈路匯聚47. 交換機(jī)生成樹協(xié)議（STP、RSTP、MSTP等）58. 單臂路由69. 交換機(jī)、路由器的路由協(xié)議應(yīng)用（靜態(tài)路由、RIP、OSPF、策略路由等）610. 交換機(jī)、路由器的標(biāo)準(zhǔn)和擴(kuò)展型ACL應(yīng)用811. 交換機(jī)、路由器的DHCP應(yīng)用912. 交換機(jī)、路由器的組播協(xié)議1013. 熱備份(hsrp 和 vrrp)1014. 交換機(jī)、路由器的QOS應(yīng)用1215. 路由器的NAT應(yīng)用（靜態(tài)NAT、動(dòng)態(tài)NAT、NAT的負(fù)載均衡）1416. 路由器的VPN應(yīng)用1517. 路由器的廣域網(wǎng)應(yīng)用1718. 路由器的PPP驗(yàn)證1719. SNMP配置18組網(wǎng)小知識(shí)：1.設(shè)備連接：不同種類型設(shè)備的連接用：直通線同種或是跨層設(shè)備的連接用：交叉線（路由與PC）2.注意設(shè)備的疊放次序3.IP地址要先理順，以便加快速度。先完成基本配置，全網(wǎng)連通后，繼續(xù)其它。交換機(jī)還原配置文件：特權(quán)模式下：set default /write/ 后重啟reload被加入密碼后，起動(dòng)過(guò)程，ctrl+b/ delete startup-config/ 后重啟reload操作系統(tǒng)nos.imgPC，Ip 交換機(jī)IP路由還原配置文件：特權(quán)模式下：delete startup.config /后重啟reboot4.每個(gè)步驟都要測(cè)試成功。切記！1、 網(wǎng)線制作TIA/EIA-568B:1、白橙，2、橙，3、白綠，4、藍(lán)，5、白藍(lán)，6、綠，7、白棕，8、棕TIA/EIA-568A:1、白綠，2、綠，3、白橙，4、藍(lán)，5、白藍(lán)，6、橙，7、白棕，8、棕如何判斷用直通線或交叉線:設(shè)備口相同:交叉線；設(shè)備口不同:直通線.2、 交換機(jī)、路由器設(shè)備管理（配置管理、文件管理及密碼管理等）Switch配置設(shè)備名稱：DCRS-5650-28(config)#hostname swx特權(quán)用戶密碼：DCRS-5650-28(config)#enable password shenzhou (明文方式)DCRS-5650-28(config)#enable password 8 shenzhou (密文方式)Telnet登陸管理：DCRS-5650-28(config)#telnet-usershenzhou password 0 digitalRouter配置設(shè)備名稱：Router_config#hostname Rx特權(quán)用戶密碼：Rx_config#enable password 0 shenzhou level 15（設(shè)置最高級(jí)別的明文密碼）Rx_config#enable password 7 shenzhou level 15（設(shè)置最高級(jí)別的密文密碼）Rx_config#aaa authentication enable default enable（設(shè)置aaa驗(yàn)證）Telnet登陸管理：Rx_config#username client password shenzhou（設(shè)置Telnet用戶名和密碼）Rx_config#aaa authentication login default local（設(shè)置本地用戶信息進(jìn)行驗(yàn)證）Rx_config#aaa authentication enable default none（設(shè)置特權(quán)用戶信息進(jìn)行驗(yàn)證）（line命令可以不用）Rx_config#line vty 0 4（最多允許4個(gè)用戶登陸）Rx_config_line#login authentication default（Telnet使用默認(rèn)認(rèn)證列表）經(jīng)過(guò)測(cè)試，配置路由器時(shí)，設(shè)置telnet時(shí)，需同時(shí)設(shè)置login，enable驗(yàn)證，否則會(huì)出現(xiàn)“驗(yàn)證錯(cuò)誤”經(jīng)過(guò)測(cè)試，配置交換機(jī)時(shí)，用戶的建立注意設(shè)置級(jí)別，否則用戶在telnet，web管理登錄時(shí)，不能進(jìn)入特權(quán)模式或提示用戶權(quán)限不足。3、 時(shí)間設(shè)定sw#clock set 00:00:00 2010.10.16R #date4、 網(wǎng)絡(luò)子網(wǎng)VLAN劃分及應(yīng)用（跨交換機(jī)相同VLAN間通信、私有VLAN、多層交換機(jī)VLAN的劃分和VLAN間路由、公用端口等）VLAN的劃分：DCRS-5650-28(config)#vlan 100（創(chuàng)建VLAN）DCRS-5650-28(config-vlan100)#switchport interface e0/0/1-3（把E1-3端口加入VLAN）(EXIT/INTERFACE rang F0/1-3/SWITCHPORT access vlan 100)DCRS-5650-28(config-vlan100)#switchport interface e0/0/4;6（把E4、E6端口加入VLAN）DCRS-5650-28(config)#int vlan 100 （設(shè)置VLAN）DCRS-5650-28(config-if-vlan100)#ip address1.1.1.1 255.255.255.0（設(shè)置VLAN的IP）相同VLAN間的通信：DCRS-5650-28(config-if-vlan100)#int e0/0/1DCRS-5650-28(config-if-ethernet0/0/1)#switchport trunk encapsulationdot1q(封裝)DCRS-5650-28(config-if-ethernet0/0/1)#switchport mode trunk（設(shè)置接口為中繼模式）DCRS-5650-28(config-if-ethernet0/0/1)#switchport trunk allowed vlan all （設(shè)置允許通過(guò)該端口的所有VLAN）經(jīng)測(cè)試，在設(shè)置跨交換機(jī)的vlan間通信時(shí)，兩交換機(jī)所連的端口都需設(shè)置中繼私有VLAN：(用于vlan間的互訪，進(jìn)到vlan中配置)private-vlan primary | community | isolated | association (主| 團(tuán)體| 隔扇| 聯(lián)合 )switch(Config)#vlan 100switch(Config-Vlan100)#private-vlan primary（設(shè)置主vlan）switch(Config)#vlan 200switch(Config-Vlan200)#private-vlan community（設(shè)置群體vlan）switch(Config)#vlan 300switch(Config-Vlan300)#private-vlan community（設(shè)置群體vlan）switch(Config)#vlan 400switch(Config-Vlan400)#private-vlan isolated（設(shè)置隔離vlan）switch(Config)#vlan 100switch(Config-Vlan100)#private-vlan association 200;300;400（vlan 之間的關(guān)聯(lián)）switch(Config-Vlan100)#switchport interface ethernet 0/0/1-4switch(Config-Vlan100)#vlan 200switch(Config-Vlan200)#switchport interface ethernet 0/0/7-12switch(Config-Vlan200)#vlan 300switch(Config-Vlan300)#switchport interface ethernet 0/0/13-18switch(Config-Vlan300)#vlan 400switch(Config-Vlan400)#switchport interface ethernet 0/0/19-24創(chuàng)建私有 vlan 的時(shí)候，先做關(guān)聯(lián)，再添加端口。因?yàn)殛P(guān)聯(lián)時(shí)，會(huì)自動(dòng)把原vlan 的端口移除。相關(guān)命令:Vlan /創(chuàng)建VLAN，是VID號(hào)；Name /給VLAN命名；Switchport access vlan /處于某個(gè)access端口狀態(tài)，將當(dāng)前端口加入到指定的vlan中；Switchpor interface /進(jìn)入vlan狀態(tài)，將一個(gè)或多個(gè)端口添加到vlan中；Switchport mode trunk|access /設(shè)置交換機(jī)的端口access或trunk模式；Switchport trunk allowed VLAN ALL /設(shè)置trunk端口允許通過(guò)所有VLAN；Switchport trunk native vlan /設(shè)置trunk端口的PVID；Vlan ingress disable /關(guān)閉端口的VLAN入口規(guī)則。5、 交換機(jī)端口配置(注：要進(jìn)到端口中才能配置)出入帶寬限制bandwidth control * both | transmit | receive 限制廣播數(shù)據(jù)包rate-suppression broadcast *鏡像 （監(jiān)控,在全局下）源：monitor session 1 source inter 0/0/1 both| rx | tx 目的：monitor session 1 destination inter 0/0/2雙工模式speed-duplex force10/100-half/full | auto MAC綁定switch port-securityswitch port-security maximum *(地址最大數(shù))switch port-security mac-address 00-00-00-00-00-00swi port lock (鎖定端口)swi port violation shutdown /protect 超出就shutdown 流控flow control端口配置網(wǎng)線模式mdi across | normal | auto 設(shè)置trunk 模式用于二層與三層，或三層與三層間的傳輸。在端口模式下設(shè)置：int e0/0/1switch mode trunk干道模式switch trunk allow vlan all 跨交換機(jī)之間相同的VLAN能夠互通交換機(jī)端口安全1、綁定MAC地址與端口綁定：DCRS-5650-28(config)#int e0/0/2DCRS-5650-28(config-if-ethernet0/0/2)#switchport port-security（啟動(dòng)端口安全模式）DCRS-5650-28(config-if-ethernet0/0/2)#switchport port-securitymac-address 00-00-00-00-00-01（綁定端口連接的網(wǎng)卡mac地址）DCRS-5650-28(config-if-ethernet0/0/2)#switchport port-security lock（鎖定安全端口）2、配置MAC 地址表實(shí)現(xiàn)綁定和過(guò)濾：DCRS-5650-28A(config)#mac-address-table static address 00-25-11-8b-7c-6d vlan 1 interface ethernet 0/0/1（綁定MAC和端口）DCRS-5650-28A(config)#mac-address-table static address 00-25-11-8b-81-cd vlan 1 interface ethernet 0/0/2（綁定MAC和端口）3、交換機(jī)MAC 與IP 的綁定: am enable;am mac_ip-pool注：5650-28沒(méi)有此命令，5650-28C有此命令DCRS-5650-28A(config)#am enableDCRS-5650-28A(config)#int e0/0/1DCRS-5650-28A(config)#am portDCRS-5650-28A(config-if-ethernet0/0/1)#am mac-ip-pool 00-25-11-8b-81-cd 192.168.1.101查看配置:DCRS-5650-28A(config)#show am解鎖: DCRS-5650-28A(config-if-ethernet0/0/1)#no am port相關(guān)命令: am ip-poolnum/ 創(chuàng)建一個(gè)IP地址段，放到地址池中。Am port /打開(kāi)或關(guān)閉物理接口上的AM功能No am all /刪除全部用戶配置的MAC-IP地址池或者IP地址池。Show am /查看當(dāng)前交換機(jī)配置的地址項(xiàng)。流量控制：DCRS-5650-28(config-if-port-range)#bandwidth control 5000 transmit（端口帶寬出口為5Mbps）DCRS-5650-28(config-if-port-range)#bandwidth control 2000 receive（端口帶寬入口為2Mbps）鏡像端口：SW1(config)#monitor session 1 source interface ethernet 0/0/11-12（E11-12為端口源鏡像）SW1(config)#monitor session 1 destination interface ethernet 0/0/10（E10為鏡像目的端口）端口流控制：SW2(config-if-ethernet0/0/6)#name SW1-F6-FLOWSW2(config-if-ethernet0/0/6)#flow control6、 交換機(jī)端口、鏈路匯聚用于交換機(jī)之間的互連，連接線兩條以上，增大帶寬流程：port-group 1 創(chuàng)建匯聚組inter e0/0/1 進(jìn)入端口下配置port-group 1 mode on | active | passive (模式mode根據(jù)需求設(shè)定 )inter port-channel 1 進(jìn)入?yún)R聚組下進(jìn)行配置switch mode trunk 配置干道模式（根據(jù)實(shí)際情況設(shè)置）SW1(config)#port-group 1 （創(chuàng)建port-group）SW1(config)#int e0/0/22-23 （進(jìn)入端口22，23）SW1(config-if-port-range)#port-group 1 mode on （強(qiáng)制端口加入port-channel，不啟動(dòng)LACP協(xié)議）SW1(config-if-port-range)#interface port-channel 1 （進(jìn)入聚合端口）SW1(config-if-port-channel1)#switchport mode trunk （設(shè)置聚合端口為骨干端口）SW2(config)#port-group 1 （創(chuàng)建port-group）SW2(config)#int e0/0/22-23 （進(jìn)入端口22，23）SW2(config-if-port-range)#port-group 1 mode on （強(qiáng)制端口加入port-channel，不啟動(dòng)LACP協(xié)議）SW2(config-if-port-range)#interface port-channel 1 （進(jìn)入聚合端口）SW2(config-if-port-channel1)#switchport mode trunk （設(shè)置聚合端口為骨干端口）7、 交換機(jī)生成樹協(xié)議（STP、RSTP、MSTP等）a) 用于交換機(jī)之間的互連，連接線兩條以上，體現(xiàn)冗余作用，防止廣播風(fēng)暴模式mode 根據(jù)需求設(shè)定b) 設(shè)置交換機(jī)優(yōu)先級(jí)priority ( 值越小，越優(yōu)先)，根交換機(jī)即優(yōu)先級(jí)為0（4096倍數(shù)）c) 設(shè)置端口優(yōu)先級(jí)，到端口中設(shè)置port-priority ( 值越小，越優(yōu)先)，根端口即優(yōu)先級(jí)為0d) 設(shè)置VLAN到instance 的映射spanning-tree 啟用spanning-tree config進(jìn)入樹配置模型下instance 1 vlan 1 創(chuàng)建 instance ,1為具體的序號(hào)，根據(jù)需求設(shè)置e)設(shè)置樹根和備份根28C沒(méi)有：spanning-tree mst 1 root primary | secondary DCRS-5650-28(config)#spanning-tree（啟動(dòng)生成樹）（默認(rèn)開(kāi)啟MSTP協(xié)議）DCRS-5650-28(Config)#spanning-tree mode stp（運(yùn)行STP模式）阻斷15S，學(xué)習(xí)15S，轉(zhuǎn)發(fā)20S設(shè)置spanning-tree的mode時(shí)需先啟動(dòng)生成樹協(xié)議Switch(Config)#spanning-tree priority 0（設(shè)置交換機(jī)為根網(wǎng)橋）MSTP典型配置：SW(Config)#vlan 20SW(Config-Vlan20)#exitSW(Config)#vlan 30SW(Config-Vlan30)#exitSW(Config)#vlan 40SW(Config-Vlan40)#exitSW(Config)#vlan 50SW(Config-Vlan50)#exitSW(Config)#spanning-tree mst configuration（進(jìn)入MSTP域配置模式）SW(Config-Mstp-Region)#name mstp（配置MSTP域的名字）SW(Config-Mstp-Region)#instance 3 vlan 20;30（創(chuàng)建Instance及配置VLAN與Instance的映射關(guān)系）SW(Config-Mstp-Region)#instance 4 vlan 40;50SW(Config-Mstp-Region)#exitSW(Config)#interface e0/0/1-7SW(Config-Port-Range)#switchport mode trunkSW(Config-Port-Range)#exitSW(Config)#spanning-treeSW(Config)#spanning-tree mst 4 priority 0（配置交換機(jī)為實(shí)例4的根網(wǎng)橋；配置實(shí)例4對(duì)應(yīng)的網(wǎng)橋優(yōu)先級(jí)為0）多層交換機(jī)VLAN的劃分和VLAN間路由劃分VLAN增加端口（端口不連續(xù)用“，”）對(duì)VLAN端口設(shè)置IPSW(Config)#interface vlan 100SW(Config- if-vlan 100)#ip address 192.168.1.1 255.255.255.0SW(Config- if-vlan 100)#no shutSW(Config- if-vlan 100)#exitSW(Config)#interface vlan 200SW(Config- if-vlan200)#ip address 192.168.2.1 255.255.255.0SW(Config- if-vlan 200)#no shutSW(Config- if-vlan 200)#exitSW(Config)#sh ip route /查看路由配置相關(guān)命令:8、 單臂路由路由器只需要一個(gè)以太網(wǎng)接口和交換機(jī)連接，交換機(jī)的這個(gè)接口設(shè)置為Trunk 接口和應(yīng)用802.1q(dot1q)。在路由器上創(chuàng)建多個(gè)子接口和不同的VLAN 連接，子接口是路由器物理接口上的邏輯接口。實(shí)例：在S1 上劃分VLAN與端口vlan1-switch inter f0/5vlan2-switch inter f0/6將連接路由的接口設(shè)置為TRUNK與802.1qswitch trunk encap dot1qswitch mode trunk在路由器的物理以太網(wǎng)接口下創(chuàng)建子接口，并定義封裝類型inter f0/0no shutdowninter f0/0.1encapture dot1q 1 native 交換機(jī)上的默認(rèn)VLAN1 ，已設(shè)置的vlanip add 172.16.1.254 255.255.255.0inter f0/0.2encapture dot1q 2 VLAN2ip add 172.16.2.254 255.255.255.09、 交換機(jī)、路由器的路由協(xié)議應(yīng)用（靜態(tài)路由、RIP、OSPF、策略路由等）注意事項(xiàng)：1進(jìn)行完基礎(chǔ)配置之后，就開(kāi)始接通網(wǎng)絡(luò)（保證能通），達(dá)到各網(wǎng)絡(luò)能夠互訪2.rip/ospf 所配置的子網(wǎng)是屬于直連的網(wǎng)絡(luò),先用show ip route 查找3. ip route 所配置的子網(wǎng)是非直連的網(wǎng)絡(luò)，清楚源地址指向目的地址4. 注意交換機(jī)與路由配置的不同點(diǎn)。5當(dāng)出現(xiàn)多動(dòng)態(tài)路由的時(shí)候，一個(gè)網(wǎng)段只聲明一次，要注意重發(fā)布redistribute 的使用具體配置如下：ip route 流程ip route 10.1.1.0 0.0.0.255 192.168.0.1 ( 先目的IP網(wǎng)絡(luò)，后邊是下一跳入端口ip或是本地端口)rip 流程router rip 開(kāi)啟ripversion 1 |2 選擇版本no auto-summary 在路由下起用關(guān)閉自動(dòng)匯總network 192.168.0.0 聲明直連網(wǎng)段default-information originate 宣告默認(rèn)路由(注：同時(shí)使用ospf、靜態(tài)路由時(shí)，要在rip下，重發(fā)布o(jì)spf 、靜態(tài)路由static、直連網(wǎng)絡(luò)connected )ospf 流程router ospf 1 開(kāi)啟ospfnetwork 192.168.0.0 0.0.0.255 area 0 聲明直連網(wǎng)段與反碼，后邊是區(qū)域(注: 同時(shí)使用rip、靜態(tài)路由時(shí)，要在ospf下，重發(fā)布rip 、靜態(tài)路由static、直連網(wǎng)絡(luò)connected )用OSPF進(jìn)行MD5驗(yàn)證( 先啟動(dòng)后設(shè)置，再到端口上應(yīng)用)router ospf 1network 192.168.0.0 0.0.0.255 area 0area 0 authen message-digest 設(shè)置區(qū)域0啟動(dòng)MD5驗(yàn)證協(xié)議到端口上：int f0/0ip ospf authen message-degest 設(shè)置端口以MD5方式驗(yàn)證ip ospf m-d-key 120 md5 test 設(shè)置端口的認(rèn)證ID和密鑰distance 1 設(shè)置OSPF 的管理距離為1（OSPF）R1_config#router ospf 1R1_config_ospf_1#network 10.2.1.4/30R1_config_ospf_1#network 10.2.1.4 255.255.255.252 area 0R1_config_ospf_1#network 10.43.5.0 255.255.255.252 area 0R1_config_ospf_1#network 172.16.1.0 255.255.255.0 area 0R2_config#router ospf 1R2_config_ospf_1#network 10.43.5.0 255.255.255.252 area 0R2_config_ospf_1#network 202.192.36.0 255.255.255.0 area 0R2_config_ospf_1#network 202.192.36.0 255.255.255.0 area 0SW1(config)#router ospf 1SW1(config-router)#network 192.168.2.64/26 area 0SW1(config-router)#network 202.192.36.0/24 area 0SW2(config)#router ospf 1SW2(config-router)#network 202.192.37.0/24 area 0SW2(config-router)#network 192.168.2.128/26 area 0默認(rèn)路由ip route 0.0.0.0 0.0.0.0 f0/0 后邊是指下一跳端口(策略路由)（綁定在源數(shù)據(jù)包進(jìn)入路由器的接口）配置特定的路徑，讓某個(gè)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包只能轉(zhuǎn)發(fā)到某個(gè)特定的接口。同一個(gè)路由設(shè)置多個(gè)策略時(shí)，只要更改序號(hào)，還是用同個(gè)名稱，再用到端口。流程：先允許某個(gè)網(wǎng)絡(luò)通過(guò)：用ACLR1_config#ip access-list standard pbr （定義ACL）R1_config_std_nacl#permit 10.2.1.5 255.255.255.255 （設(shè)置需要進(jìn)行策略路由的源地址）創(chuàng)建策略路由R1_config#route-map pbr 10 permit （定義Route-map）（配置策略路由的名稱和序號(hào)）R1_config_route_map#match ip address pbr （設(shè)定源地址）（應(yīng)用ACL）R1_config_route_map#set ip next-hop 172.16.1.254 （設(shè)定下一跳）（下一跳入端口的IP）應(yīng)用到端口上R1_config_route_map#int f0/0 （進(jìn)入源地址的路由器接口）R1_config_f0/0#ip policy route-map pbr （綁定Route-map）10、 交換機(jī)、路由器的標(biāo)準(zhǔn)和擴(kuò)展型ACL應(yīng)用ACL包括：標(biāo)準(zhǔn)(standard)和擴(kuò)展(extended)，擴(kuò)展方式可以指定更加細(xì)致過(guò)濾信息。 標(biāo)準(zhǔn)(standard)：基于源地址； 擴(kuò)展(extended)：可以基于源，IP，協(xié)議，端口號(hào)，時(shí)間列表（time-range）等條件過(guò)濾；訪問(wèn)控制列表都含有隱含的拒絕；按照順序檢測(cè)。time-range參數(shù)：absolute 配置絕對(duì)時(shí)間范圍 absolute-periodic 配置周期性絕對(duì)時(shí)間段periodic 配置周期時(shí)間段absolute start 9:0:0 2009.3.13 end 18:0:0 2010.3.13/2009年3月13日至2010年3月13日absolute-periodic Tuesday 9:15:30 to Saturday 12:30:00 /在Tuesday到Saturday內(nèi)的9:15:30到12:30:00時(shí)間段periodic Monday Wednesday Friday Sunday 14:30:00 to 16:45:00 /Monday、Wednesday、Friday和Sunday四天內(nèi)的14:30:00到16:45:00交換機(jī)：（必須開(kāi)啟firewall）SW1(config)#ip access-list extended ddb （定義名為ddb的ACL）SW1(config-ip-ext-nacl-ddb)#deny tcp any-source any-destination d-port 445 （關(guān)閉445端口）SW1(config-ip-ext-nacl-ddb)#permit ip any-source any-destination （允許通過(guò)所有IP數(shù)據(jù)包）SW1(config)#firewall enable （配置ACL功能開(kāi)啟）SW1(config)#firewall default permit （默認(rèn)動(dòng)作為全部允許通過(guò)）SW1(config)#interface e0/0/1-24 （進(jìn)入接口模式）SW1(config-if-port-range)#ip access-group ddb in （綁定ACL）路由器：（注意隱含的DENY）R1_config#ip access-list extended denyvlan20R1_config_ext_nacl#deny ip 192.168.2.128 255.255.255.192 anyR1_config_ext_nacl#permit ip any anyR1_config#interface f0/0R1_config_f0/0#ip access-group denyvlan20 out與ACL相關(guān)的配置1. 與NAT：在動(dòng)態(tài)NAT中，要用到ACL來(lái)與POOL地址池的轉(zhuǎn)換ip nat inside source list ACL實(shí)例 pool 地址池2. 與qos： 在qos優(yōu)先權(quán)排隊(duì)時(shí)，要用到ACL應(yīng)用到排隊(duì)中。priority-list 3 protocol ip high list ACL實(shí)例3. 與qos: 在用qos分類表時(shí)，允許某IP網(wǎng)絡(luò)訪問(wèn)的ACL，應(yīng)用到分類表中match access-group ACL實(shí)例4.與策略路由（PBR）：允許某IP網(wǎng)絡(luò)訪問(wèn)的ACL，應(yīng)用到策略路由當(dāng)中。match ip address ACL實(shí)例5.與VPN：在isakmp協(xié)議下，應(yīng)用ACL到映射表中。match address ACL實(shí)例6.設(shè)定輸入帶寬限制為80kbps并捆綁ACLrate-limit input access-group 實(shí)例名 800011、 交換機(jī)、路由器的DHCP應(yīng)用交換機(jī)DHCP中繼問(wèn)題：?jiǎn)?dòng) DHCP 服務(wù)器和中繼代理服務(wù)（神州數(shù)碼S&R綜合實(shí)驗(yàn)3） 路由器需開(kāi)啟DHCP服務(wù)（ip dhcpd enable）；交換機(jī)也需開(kāi)啟DHCP 服務(wù)器和中繼代理服務(wù)（service dhcp），以及配置DHCP中繼轉(zhuǎn)發(fā)DHCP廣播報(bào)文（ip forward-protocol udp bootps）,設(shè)定中繼的DHCP服務(wù)器地址（ip helper-address IP(DHCP服務(wù)器端口地址)）R2_config#ip dhcpd enable （啟動(dòng)DHCP服務(wù)）R2_config#ip dhcpd pool vlan10 （定義地址池）R2_config_dhcp#network 192.168.2.64 255.255.255.192 （定義網(wǎng)絡(luò)號(hào)）R2_config_dhcp#default-router 192.168.2.126 （定義默認(rèn)網(wǎng)關(guān)）R2_config_dhcp#dns-server 172.16.1.2 （定義DNS）R2_config_dhcp#range 192.168.2.65 192.168.2.125 （定義地址池范圍）R2_config_dhcp#lease 3 （定義地址租期為3天）R2_config#ip dhcpd enable （啟動(dòng)DHCP服務(wù)）R2_config#ip dhcpd pool vlan20 （定義地址池）R2_config_dhcp#network 192.168.2.128 255.255.255.192 （定義網(wǎng)絡(luò)號(hào)）R2_config_dhcp#default-router 192.168.2.190 （定義默認(rèn)網(wǎng)關(guān)）R2_config_dhcp#dns-server 172.16.1.2 （定義DNS）R2_config_dhcp#range 192.168.2.129 192.168.2.189 （定義地址池范圍）R2_config_dhcp#lease 3 （定義地址租期為3天）lease infinite永久租期DHCP中繼轉(zhuǎn)發(fā)：先設(shè)定轉(zhuǎn)發(fā)指定UDP端口，再指定VLAN端口，再中繼到服務(wù)器ip dhcp relay information policy drop中繼時(shí)，配置中繼的轉(zhuǎn)發(fā)政策為不轉(zhuǎn)發(fā)DHCP報(bào)文SW1(config)#ip forward-protocol udp bootps （配置DHCP中繼轉(zhuǎn)發(fā)DHCP廣播報(bào)文）SW1(config)#int vlan 10SW1(config-if-vlan10)# ip helper-address 202.192.36.2 （設(shè)置中繼的DHCP服務(wù)器地址）SW1(config)#service DHCP （啟動(dòng)DHCP服務(wù)或中繼代理）SW2(config)#ip forward-protocol udp bootps （配置DHCP中繼轉(zhuǎn)發(fā)DHCP廣播報(bào)文）SW2(config)#int vlan 20SW2(config-if-vlan20)# ip helper-address 202.192.37.2 （設(shè)置中繼的DHCP服務(wù)器地址）SW2(config)#service DHCP （啟動(dòng)DHCP服務(wù)或中繼代理）12、 交換機(jī)、路由器的組播協(xié)議Switch A(Config)#ip pim multicast-routing（啟用PIM-DM協(xié)議）SwitchA (Config)#interface vlan 1（進(jìn)入VLAN1接口）SwitchA(Config-if-Vlan1)# ip address 10.1.1.1 255.255.255.0（設(shè)置VLAN1的IP地址）SwitchA(Config-if-Vlan1)# ip pim dense-mode（在VLAN1上開(kāi)啟PIM-DM協(xié)議）SwitchA(Config-if-Vlan1)#exitSwitch A(Config)#interface vlan2SwitchA(Config-if-Vlan2)# ip address 12.1.1.1 255.255.255.0SwitchA(Config-if-Vlan2)# ip pim dense-modeSwitch B(Config)#ip pim multicast-routingSwitch B(Config)#interface vlan 1SwitchB(Config-if-Vlan1)# ip address 12.1.1.2 255.255.255.0SwitchB(Config-if-Vlan1)# ip pim dense-modeSwitchB(Config-if-Vlan1)#exitSwitch B(Config)#interface vlan 2SwitchB(Config-if-Vlan2)# ip address 20.1.1.1 255.255.255.0SwitchB(Config-if-Vlan2)# ip pim dense-mode13、 熱備份(hsrp 和 vrrp)提高網(wǎng)絡(luò)的可靠性，實(shí)現(xiàn)冗余。將局域網(wǎng)中的一組設(shè)備（包括一個(gè)master即活動(dòng)設(shè)備，和若干個(gè)backup即備份設(shè)備）組成一個(gè)虛擬路由器，稱為一個(gè)備份組。要有兩臺(tái)以上的設(shè)備。設(shè)備共用一個(gè)虛擬IP，做為局域網(wǎng)內(nèi)的網(wǎng)關(guān)注意：交換機(jī)的認(rèn)證字段是DCN，路由器的認(rèn)證字段是Route（交換機(jī)與路由器進(jìn)行備份時(shí)，應(yīng)注意其認(rèn)證字段：standby group authentication ）HSRPR1_config#int f0/0 R1_config_f0/0#ip address 171.16.6.5 255.255.255.0 R1_config_f0/0#standby 1 preempt（設(shè)置搶占模式）R1_config_f0/0#standby 1 ip 171.16.6.100 255.255.255.0 （設(shè)置standby ip）R1_config_f0/0#standby 1 trackl s0/1 （跟蹤s0/1端口數(shù)據(jù)）R2_config#int f0/0 R2_config_f0/0#ip address 171.16.6.6 255.255.255.0 R2_config_f0/0#standby 1 preempt R2_config_f0/0#standby 1 ip 171.16.6.100 255.255.255.0 R2_config_f0/0#standby 1 trackl s0/1R2_config_f0/0#standby 1 priority 95 （設(shè)置standby優(yōu)先級(jí)）VRRP （Router）interface Ethernet1/1.1encapsulation dot1Q 2ip address 100.1.1.5 255.255.255.0vrrp 3 associate 100.1.1.30 255.255.255.0/配置VRRP 組的虛擬IPvrrp 3 priority 120/設(shè)置在VRRP路由器中使用的熱備份優(yōu)先級(jí)vrrp 3 description line1-master/配置VRRP的描述字符串vrrp 3 authentication line1pwd/選擇一個(gè)認(rèn)證字符串，在備份協(xié)議報(bào)文交換時(shí)用于認(rèn)證其他同組的路由器。vrrp 3 preempt/設(shè)置搶占方式vrrp 3 timers advertise dsec 15/設(shè)置VRRP的時(shí)間參數(shù)-interface Ethernet1/1.2encapsulation dot1Q 3ip address 200.1.1.5 255.255.255.0vrrp 6 associate 200.1.1.30 255.255.255.0vrrp 6 priority 110vrrp 6 description line2-backupvrrp 6 authentication line2pwdvrrp 6 preemptvrrp 6 timers advertise dsec 15（Switch）SW1 (config)#int vlan 1 SW1 (Config-if-Vlan1)# ip address 10.1.1.1 255.255.255.0 SW1 (config)#router vrrp 1（創(chuàng)建虛擬路由）SW1 (config-router)# virtual-ip 10.1.1.5 （設(shè)置虛擬ip）SW1 (config-router)# int vlan 1 （配置VRRP接口）SW1 (config-rou