思科3560 配置命令

1、switch 命令行模式；config#特權(quán)模式 switch(config)#logging host 你的 IP 地址一、 配置交換機(jī)vlan模式；有兩種方式switch(config)#logging facility你選著的信息第一種: 配置3550作為dhcp服務(wù)器config#vlan ID這里的ID是需要你個(gè)人給要?jiǎng)澐值膙lan起的編號(hào) 六、配置cisco啟動(dòng)dhcp功能 config-if#name名字配置地址池switch#show vlan brief 查看 vlan 用來檢驗(yàn)是否配置成功 switch(config)ip dhcp pool 名字 第二種：switch(c

2、onfig-pool)network mask switch#vlan database 交換機(jī)的 vlan 配置狀 態(tài) switch(config-pool)dns-server switch(vlan)#vlan ID name 名字 配置 vlan 并且分配相 應(yīng)的名字switch(config-pool)default-router網(wǎng)關(guān)二、3560上開啟路由功能配置設(shè)置 dhcp 保留不分配的地址 switch(config)#ip routing switch(config)ip dhcp excluded-address 地址地址 switch(config)#ip route i

3、paddress net-hop 配置路由(靜態(tài))第一步；從起 交換機(jī)switch(config)#ip default-gateway ipaddress配置網(wǎng)關(guān)第二步；配置三、開啟聚 合鏈路配置1)按下MODE鍵后給3560加電。 #conf t 2)在出現(xiàn)的菜單中選擇第 一項(xiàng) SW(config)#interface range f1/1 - 2 system software:SW(config-if)#channel-group 1 mode desirable/on flash_init SW(config-if)#swithport load_helper SW(config-i

4、f)#switchport mode trunk boot SW(config-if)#switchport trunk encap dot1q switch:flash_init 四、啟動(dòng) telnet 管理模式 switch:load_helper switch(config)#line vty 0 4 3)重命名 flash:config.text 文件。 switch(config-line)#password 密碼 switch: ren flash:config.text flash:config.old switch(config-line)#login 4)重啟交換機(jī)五、開啟c

5、isco日志功能switch: boot switch(config)#logging on 5)當(dāng)出現(xiàn)問你是否進(jìn)行配置時(shí)， 選擇NO (因?yàn)樗也坏脚渲梦募onfig.text文件了)switch(config)#logging trap信息Would you like to enter the initial configuration dialog? yes/no:no 16)從用戶模式登錄特權(quán)模式，無需密碼。Swith(config-if)#no shutdown /激 活VLAN1 Switchen三、設(shè)置交換機(jī)的密碼Switch# 1、用戶到特權(quán)的密碼7)恢復(fù) 剛才重命令的配置文

6、件名.Swith(config)#enable password 123 (優(yōu)先級(jí)低)Switch#renflash:config.old flash:config.text Swith(config)#enable secret 456 (優(yōu)先級(jí)高)/如果兩個(gè) 都設(shè)置則456生效Destination filename config.text?直接回車2、控制臺(tái)console密碼設(shè) 置8)用老的配置文件替換當(dāng)前的配置文件。Swith(config)# line con 0 Switch#copy flash:config.text system:running-config Swith(co

7、nfig-line)#login Destination filename running-config?直接回車 Swith(config-line)#password console123 /設(shè)置 console 密碼為 telnet123 9)修改使用密碼。3、啟用 telnet 密碼 Switch#conf t Swith(config)#line vty 0 15最多有015人可以telnet訪問swith，合計(jì)16人 10)保存密碼Swith(config-line)#login switch(config)#enable password song Swith(config-li

8、ne)#password telnet123 / 設(shè)置 telnet 密碼為 telnet123 switch#wr or copy running-config starting-config 注：要想 真正生效telnet還要設(shè)置特權(quán)密碼OK到這里我們的密碼就改好了。交換機(jī)命名 hostname BENETSW01 一、交換機(jī)五種模式 Swith(config)#hostname BENETSW01 / 使用hostname命名交換機(jī)的名字Swith(用戶模式)四、show命令集Swith#(特權(quán)模式)Swith#show version/顯示IOS版本信息Swith(config)#(全

9、局配置模式)Swith#show vlan id 10/簡單的顯示 VLAN10的信息 Swith(config-if)#(接口模式)Swith#show running-config/ 顯示正在運(yùn)行的配置文件 Swith(config-line)#(線模式)Swith#show startup-config/顯示己經(jīng)保存的配置文件二、交換機(jī)模式切換Swith#show mac-address-table/顯示MAC 地址表 Swithenable/ 切換到特權(quán) Swith#show mac-address-table/顯示MAC地址表更新的間隔，默認(rèn)為5分鐘Swith#config t/切換

10、到全局配 置模式 Swith#show neighbor detail/顯示鄰居詳細(xì)信息 Swith(config)# interface f0/1 進(jìn)入接口 f0/0 Swith#show traffic/顯示 CDP 流量 Swith(config)# interface vlan 1 /進(jìn)入 VLAN 1 中 Swith#show Swith(config-if)#ip address 192.168.1.1 255.255.255.0 對VLAN1設(shè)置IP地址和子網(wǎng)掩碼五、設(shè)置交換機(jī)的網(wǎng)關(guān)和DNS名稱服務(wù)器的IP地址2Swith(config)# ip default-gateway

11、192.168.10.8/交換機(jī)的網(wǎng)關(guān)設(shè)置為192.168.10.8Router(config-subif)# encapsolution dot1q 1 /子接口封裝 dot1q 針對的是 VLAN1 Swith(config)#ip domain -name server 202.106.0.20 /設(shè)置 DNS 名 稱服務(wù)器地址 Router(config-subif)# ip address 192.168.1.1 255.255.255.0 /設(shè)置 VLAN 的網(wǎng)關(guān)地址 Swith(config)# no ip domain-lookup交換機(jī)名稱服務(wù)器的域名查詢 Router(co

12、nfig)#interface f0/0.2 六、創(chuàng)建、刪除、查看 VLAN Router(config-subif)# encapsolution dot1q 2/子接口封裝dot1q針對的是vlan2 Switch#vlan database /進(jìn)入vlan數(shù)據(jù)庫配置 模式 Router(config-subif)# ip address192.168.2.1 255.255.255.0/設(shè)置 vlan2 的網(wǎng)關(guān)的地址 Switch(vlan)#vlan 2/ 創(chuàng)建 VLAN2 命名為 vlan0002，也可以使用 vlan2 name sales 第一章：VTP VLAN 2 added

13、:配置思路：Name: VLAN0002 1設(shè)置 VTP 域名Switch(vlan)#exit /退出時(shí)應(yīng)用生效 2設(shè)置 VTP 模式 Swith(vlan)#no vlan 2/刪除 vlan2 3創(chuàng)建 VLAN Switch(config)# interface f0/1 4配置其它 VTP 參數(shù) Switch(config-if)# switchport access vlan 2/ 將端口加入 vlan 2 中 vtp domian domianname / 設(shè)置 vtp 域名 Switch(config-if)# no switchport access vlan 2/ 將端口從v

14、lan2 中刪除 vtp mode server|client|transparent /設(shè)置 vtp 模式 Switch(config)# interface range f0/1 - 10/ 進(jìn)行 F0/1 到 10 端口范圍 vtp password passdord /設(shè)置 vtp 口令 Switch(config-if-range)# switchport access vlan 2 /將 f0/1 到 f0/10 之間的 所有端口加入 vlan 2 vtp pruning / 配置 vtp 修剪 Switch# show vlan brief / 查看 所有 VLAN 的摘要信息

15、vtp version 2/ 運(yùn)行 vtp 版本 2 Switch# show vlan id vlan-id查看指定VLAN的信息show vtp status /查看vtp配置信息七、開啟并查看trunk 端第二章：STP Swith(config)#interface f0/24 配置思路：Swith(config-if)#swith mode trunk 將 f0/24 端口設(shè)置為 trunk 1 啟用 STP 協(xié)議 Switch#show interfacef0/24 switchport /查看f0/24的接口狀態(tài)2設(shè)置根網(wǎng)橋 八、從Trunk中添加、刪除Vlan 3 配置以太通道

16、 Switch (config-if )# switchport trunk allowed vlan remove 3 / 從 trunk 端 口刪除 v lan3 通過 4 配置上行鏈路、速端口 Switch (config-if)# switchport trunk allowed vlan add 3/從 trunk 端 口添加 vlan3 通過 spanning-tree vlan vlan-list /啟用生成樹協(xié)議 Switch # show interface interface-id switchport /檢查中繼端口允許VLAN 的列表 spanning-tree vla

17、n vlan-list root primary|secondary / 配置跟網(wǎng)橋 九、 單臂路由配置 spanning-tree vlan vlan-list priority bridge-priority修改網(wǎng)橋優(yōu)先級(jí)Router(config)# interface f0/0.1 spanning-tree vlan vlan-list cost cost / 修改端口成本3spanning-tree vlan vlan-list port-priority priority /修改端口優(yōu)先級(jí) 5 設(shè)置接口 DCE時(shí)鐘頻率 spanning-tree uplinkfast 配置上行鏈

18、路6配置接口封裝協(xié)議 spanning-tree portfasr / 配置速端口 7 配置接 口成為 DCE interface range f0/1 - 2 /進(jìn)入1-2快速以太接口 8配置DLCI映射關(guān)系channel-group 1 mode on /配置以 太通道9將接口開啟show spanning-tree /查看生成樹配置外網(wǎng)幀中繼show spanning-tree vlan vlan-id detail查看某個(gè) vlan 的生成樹詳細(xì)信息 frame-relayswitching /開啟幀中繼協(xié)議 show etherchannel 1 summary /查看以太通道1信息

19、bandwidth 值/設(shè)置接口帶寬，反轉(zhuǎn)ARP第三章:三成交換no ip address /將接 口 IP禁用配置思路：encapsulation frame-relay /將接口封裝模式為幀中繼1開啟 三層交換路由功能clock rate time /設(shè)置接口 DCE時(shí)鐘頻率2配置VLAN IP地址 frame-relay lmi-type cisco|ansi /配置接口封裝幀中繼協(xié)議3關(guān)閉路由接口二層交 換功能 frame-relay intf-typr dce|dte /配置接口成為 DCE 或 DTE ip routing / 開 啟路由功能frame-relay route tt

20、 interface 接口值配置端口幀中繼DLCI映射關(guān)系 interface vlan vlan-id /進(jìn)入指定 vlan no ip mroute-cache /關(guān)閉路由高級(jí)緩存 ip address ip-address subnet-mask/配置vlan IP地址和子網(wǎng)掩碼本地幀中繼 noswitchport/配置接口為三層模式interface s0/0 /進(jìn)入同步串行接口 ip helperaddress address /中繼轉(zhuǎn)發(fā) DHCP 地址 encapsulation frame-relay 配置接口封裝方 式為幀中繼show ip route/查看路由表信息frame

21、-relay interface-hdlc值/將外網(wǎng)的DLCI對應(yīng)到幀中繼接口上show ip ecf /查看FIB表信息frame-relay lmi-type cisco|ansi /配置接口封裝的類型show adjacency detail /查看鄰接關(guān)系表信息 frame-relay map ip ip address broadcast /配置DTE靜態(tài)幀中繼映射第五章:幀中繼 (Frame Relay)第六章:PPP配置思路：配置思路：1將路由器交換機(jī)轉(zhuǎn)換成幀中繼交 換機(jī)1進(jìn)入接口將接口封裝為PPP協(xié)議2設(shè)置幀中繼交換機(jī)接口的帶寬2配置配 置接口 IP地址3將接口 IP地址關(guān)閉3

22、配置主認(rèn)證方PAP或者CHAP認(rèn)證4設(shè)置接口封裝模式為幀中繼4配置被認(rèn)證方PAP或者CHAP認(rèn)證45配置IP地址協(xié)商配置思路：6配置PPP壓縮1開啟OSPF路由協(xié)議PAP 2 發(fā)布接口所在區(qū)域 encapsulation ppp配置接口封裝方式為PPP協(xié)議3修改OSPF 其它參數(shù) ip address ip address ip mask / 配置接口 IP 地址和子網(wǎng)掩碼 interface loopback 0進(jìn)入路由器回環(huán)接口 shutdown將接口關(guān)閉ip address ipaddress /配置回環(huán)接口 IP地址多位路由器的RouterID no shutdown /將端口 開啟r

23、outer ospf 進(jìn)程號(hào)/啟動(dòng)OSPF路由協(xié)議，設(shè)置進(jìn)程號(hào)username username password 0 password /配置驗(yàn)證用戶名和密碼不帶0是加密密碼network 網(wǎng)段地址 反碼掩碼area 區(qū)域號(hào)/指定OSPF協(xié)議接口所運(yùn)行的區(qū)域 ppp authentication pap|chap /配置接口認(rèn)證方式 ip ospf cost 值 /修改接口 Cost 值 ppp pap sent- username username password 0 password 配置被認(rèn)證方用戶密碼PAP模式下需要 填寫的是ip ospf hello-interval 時(shí)間/修改

24、OSPF Hello值時(shí)間默認(rèn)時(shí)間10秒 主認(rèn)證 方的用戶名和密碼ip ospf dead-interval 時(shí)間/修改OSPF Dead(失效間隔)時(shí)間，默認(rèn) 是Hello的4倍 CHAP show ip ospf neighbor / 查看鄰居列表主認(rèn)證方show ip ospf detabase / 查看鏈路狀態(tài)數(shù)據(jù)庫 username username password 0 password /配 置主認(rèn)證端用戶名和密碼show ip ospf /查看OSPF配置ppp encapsulation chap 將端口封裝成CHAP認(rèn)證方式show ip ospf interface 接口

25、 /查看OSPF接口狀態(tài)被 認(rèn)證方 show ip ospf proce-id / 顯示指定進(jìn)程信息 username username password 0 password 配置主認(rèn)證方發(fā)送過來的用戶名和被認(rèn)證放自己的密碼第九章：OSPF多 域ppp chap password 0 password /在接口配置這條命令也可以達(dá)到相同的效果配 置思想：IP 協(xié)商 1 啟用 OSPF 路由協(xié)議 peer default ip address ip address / 在 PPP 服務(wù)器要分配給對方的IP地址2發(fā)布接口所在區(qū)域ip address negotiated /在 PPP客戶端要獲取

26、服務(wù)器的IP地址area area id stub /將指定區(qū)域設(shè)置成末梢區(qū)域 PPP壓縮 area area id stub no-summary將指定區(qū)域設(shè)置成完全末梢區(qū)域compress presictor|stac / 在接口啟用 PPP 壓縮Predictor 會(huì)消耗大量的內(nèi)存，Stac 會(huì)占用大部分的CPU debug ip ospf adj /查看路由器臨界的整個(gè)過程資源clear ip router /清空路由表 ip tcp header-compression / 配置 TCP 頭壓縮第十章：OSPF 高級(jí)配置debug ppp packet /啟用調(diào)試模式來查看PPP連接

27、狀態(tài)和協(xié)商過程配置 思想：第八章：OSPF單域1啟用OSPF路由協(xié)議52發(fā)布接口所在區(qū)域1配置HSRP組號(hào)虛擬地址3配置OSPF輔助地址2配置 HSRP優(yōu)先級(jí)4配置路由重分發(fā)3配置HSRP占先權(quán)5配置地址匯總4配置HSRP 端口跟蹤6配置徐鏈路5配置HSRP其它參數(shù)area area id nssa /將路由器配 置成非純末梢區(qū)域ip irdp multicast /在路由器中進(jìn)行IRDP廣播，要讓Solaris操作 系統(tǒng)兼容需要用此命令area area id nssa no-summary /將在ASBR路由器設(shè)置為非 純末梢并不進(jìn)行路由匯總ip irdp preference numbe

28、r /設(shè)置路由器IRDP優(yōu)先級(jí)默認(rèn) 是 0，值越大優(yōu)先級(jí)越高 ip address ip address netmask secondary / 配置接 口輔助 地址 stanbdy group number ip hsrp ip address / 設(shè)置熱備的組號(hào)和熱備 IP 地址 area area id range ip address mask 在區(qū)域間路由器進(jìn)行路由匯總 no standby group ip 取消一個(gè)端口用的熱備 IP 地址 summary-address ip address mask / 在 ASBR 路由 器進(jìn)行路由匯總no ip redirects/關(guān)閉活躍

29、路由器地址，防止主機(jī)知道路由器真是MAC 地址 no summary-address / 刪除路由匯總 stanbfy group number priority 值 配置接口 HSRP優(yōu)先級(jí)ip route ip address mask null0 /匯總后的地址當(dāng)實(shí)際地址 不存在時(shí)候?qū)⒉粫?huì)再走默認(rèn)路由而是丟棄該數(shù)stanbdy group number preempt 值/ 設(shè)置接口 HSRP 占先權(quán)據(jù)包 stanbdy group number times hellotime|holdtime /配置 HSRP HELLO 之間和 HSRP 保持時(shí)間，默認(rèn) HELLOredistrib

30、ute protocol protocol id metric metric 跳數(shù)metric-type metric-tpye 值|subnets 時(shí)間是 3 秒，保持時(shí)間是 10 秒，保持時(shí)間最少應(yīng)該是HELLO時(shí)間的3倍路由重分發(fā)如：stanbdy group number track 接口 值配置跟蹤端口 接口是路由有要跟蹤的端口，值是當(dāng)接口鏈路不可用 時(shí)熱備接口優(yōu)先級(jí)自動(dòng)降低指定數(shù)值router rip /啟用RIP路由協(xié)議no stanbey group track / 關(guān)閉端 口跟蹤 redistribute ospf 2 metric 1 將 OSPF 路由協(xié)議信息注 入到RI

31、P路由協(xié)議中OSPF的進(jìn)程號(hào)是2到達(dá)RIP路由協(xié)議路由器的跳數(shù)為1 show stanbdy/ 查看路由所有熱備信息 redistribute rip metric 1 metric-tpye 1|2 subnets /將RIP路由協(xié)議信息注入到OSPF路由協(xié)議中”其中metric 1 show stanbdy brief /查 看路由熱備狀態(tài)是給定一個(gè)OSPF代價(jià)，metric-tpye 1|2 1是計(jì)算整個(gè)路徑的成本，2 是不計(jì)算到達(dá)ASBR的路徑成本，subnets debug stanbdy啟用熱備調(diào)式模式是網(wǎng)絡(luò)匯總no debug all /關(guān)閉所有調(diào)試模式passive-inerf

32、ace 接口/在路由模式下，不管什么協(xié)議，只進(jìn)行接收不發(fā)送第十二章：ACL area area id virtual-link 對端IP地 址設(shè)置與同個(gè)區(qū)域內(nèi)的路由器建立虛鏈路”虛鏈路的地址為對端路由配置思想：器 的IP地址 1創(chuàng)建ACL規(guī)則列表 default-information originate /開啟FSPF的默認(rèn)動(dòng) 態(tài)路由，告訴下面其他路由學(xué)習(xí)它的默認(rèn)路由2將ACL規(guī)則應(yīng)用到接口上第十一章: HSRP 標(biāo)準(zhǔn)訪問控制列表配置思想：access-list list number deny|permit ip addressmask 創(chuàng)建標(biāo)準(zhǔn)ACL規(guī)則如：6access-list 1

33、deny 192.168.1.20 0.0.0.0 /建立 ACL 1 的規(guī)則并拒絕源地址為 192.168.1.20的IP地址訪問網(wǎng)絡(luò)show ip interface interface查看接口詳細(xì)信息access-list 1 permit 192.168.1.0 0.0.0.255 /在列表 1 的 ACL 中追加一條允許 192.168.1.0 網(wǎng)段的IP地址允許訪show access-list/查看路由器所有ACL信息問網(wǎng)絡(luò)showaccess-list list name查看路由器指定名字的詳細(xì)信息 access-lias 1 permit 0.0.0.0255.255.255

34、.255 /在列表1的ACL中追加一條允許所有IP允許訪問網(wǎng)絡(luò)第十三章： NAT access-list 1 permit any /使用ANY通配符也可以達(dá)到允許所有地址訪問網(wǎng)絡(luò)的 效果配置思想：access-list 1 permit host 192.168.1.10 /使用HOST通配符可以達(dá)到允許某個(gè)指定主機(jī)訪問網(wǎng)絡(luò)1創(chuàng)建ACL規(guī)則ip access-group access list number in|out 在接口模式把某個(gè)ACL聯(lián)系起來，指明ACL流量是應(yīng)用于入口還2將內(nèi)網(wǎng)要和外網(wǎng) 的IP地址做NAT映射是出口 3配置要轉(zhuǎn)換的公網(wǎng)IP地址池?cái)U(kuò)展訪問控制列表4 配置負(fù)載均衡 a

35、ccess-list access list number deny|permit protocol源地址目的地址 lt|gt|eq|neq established /倉U 5啟動(dòng)接口 NAT是出口還是入口建ACL規(guī)則靜態(tài) NAT access list number / 創(chuàng)建的 ACL 表號(hào) ip nat inside source static 目標(biāo) ip轉(zhuǎn)換外 部ip /將內(nèi)部局部地址轉(zhuǎn)換為內(nèi)部全局地址deny|permit /允許或拒絕ip nat inside|outside/在接口模式啟用NAT，并表明是入口還是出口protocol /協(xié)議協(xié)議 動(dòng)態(tài)NAT lt|gt|eq|neq

36、 /協(xié)議的端口 lt小于gt大于eq等于neq不等于 access-list list number permit 源 IP反碼/配置 ACL 規(guī)則 established / 如果數(shù) 據(jù)包已建立鏈接ACK為1時(shí)，便可以允許數(shù)據(jù)的通過ip nat pool pool name star ip end ip netmask /配置 IP 地址池如： 如： ip nat pool GWIP 61.134.2.100 61.134.2.150 255.255.255.0 type rotary access-list 100 deny tcp 172.16.0.10 0.0.255.255 any

37、eq 21 /拒絕172.16.0.0的網(wǎng)段訪問所有目的地址TCP協(xié)GWIP /地址池的名稱 議的21端口 61.134.2.100 要映射分配地址池公網(wǎng)IP的起始地址命名訪問控制列表 61.134.2.150 要映射分配地址池公網(wǎng) IP 的終止地址 ip access-list standard|extended name /命名一條標(biāo)準(zhǔn)或者擴(kuò)展的ACL如：255.255.255.0 /要映射分配地址池公網(wǎng) IP的子網(wǎng)掩碼ip access-list extended weetzhen type rotary /地址池中的地址為循環(huán) 使用 deny tcp host 172.16.0.10

38、any eq 80 拒絕主機(jī)為 172.16.0.10 TCP 協(xié)議的 80 端口 通過 ip nat inside source list list number pool pool name / 將 ACL 列表中的地址轉(zhuǎn)換 為公網(wǎng)地址池的地址如：permit ip any amy /允許所有主機(jī)IP協(xié)議通過ip nat inside source list 1 pool GWIP /將ACL列表1的規(guī)則對應(yīng)到地址池為GWIP中，也就是 說在 ACL 列 ip access-group weetzhen out / 在接口 上應(yīng)用 weetzhen 的 ACL 列表表 1 的內(nèi)網(wǎng)IP地址在

39、訪問公網(wǎng)時(shí)將被轉(zhuǎn)換成公網(wǎng)IP為： no ip access-group list number 在接口模式刪除指定 ACL 列表 61.134.2.1061.134.2.150 的 IP 地址 no access-list list number / 在全局模式刪除指定 ACL 列表 ip nat translation timeout time / 動(dòng)態(tài) NAT地址失效的時(shí)間，默認(rèn)是24小時(shí)7ip nat inside|outside在接口模式啟用NAT，并表明是入口還是出口 min-monerytary-cost/最小開銷貨幣PAT NAT TCP負(fù)載均衡使用外部全局地址interface

40、s1/0/ 進(jìn)入 S0/0 接口 同樣要定義 ACL 規(guī)則 ip address 61.134.2.100 255.255.255.224/配置 IP 地址 ip nat pool onlyone 61.134.2.100 61.134.2.100 netmask 255.255.255.248 定義公網(wǎng)IP地址池，onlyone為名稱interface f0/0進(jìn)入F0/0接口由于只有一個(gè)IP地址，所以起始地址和終止地址都是相同的，子網(wǎng)掩碼為255.255.255.248 ipaddress 192.168.1.1 255.255.255.0 / 配置 IP ip ant inside so

41、urce list list unmber pool pool number overload 將 ACL 列表的 IP 地址與公網(wǎng)地址池的 IP access-list 1 permit 192.168.1.254 /創(chuàng)建ACL規(guī)則列表1并允許192.168.1.254的虛擬IP訪問網(wǎng)絡(luò)地址建 立映射關(guān)系”注意：在使用PAT時(shí)必須在后面加上overload否者只能有一臺(tái)主機(jī)IP地 址被映射到公網(wǎng)上 ip nat pool real-hoat 192.168.1.1 192.168.1.3 prefix-length 24 type rotary如： 配置一個(gè)名為real-host的地址池IP

42、為：192.168.1.1192.168.1.3的地址 子網(wǎng)掩碼長度為 24 位 rotary 表示輪 ip nat inside source list 1 pool PATNAT overload / 將ACL列表1的IP地址都映射為PATNAT的公網(wǎng)地址循池訪問網(wǎng)絡(luò) ip nat inside destination list 1 pool real-host /將ACL列表1的IP同樣也要在接口中啟動(dòng)、指明那 個(gè)接口是出口和入口 (192.168.1.254)虛擬IP地址和地址池(real-host)的真是主機(jī) 建立映射使用服用路由外部接口地址ip nat inside|outside

43、 /在接口模式啟用NAT，并表明是入口還是出口同樣要定義ACL規(guī)則show ip nat translations /查看NAT轉(zhuǎn) 換表 由于只有一個(gè)公網(wǎng)IP地址，所以不需要定義IP地址池了 show ip nat statistics /查看 NAT配置信息 ip nat inside source list 第十四章：VPN interface interface overload /將ACL列表的地址與接口建立映射關(guān)系如：配置思想： ip nat inside source list 1 interface s0/0 overload / 將 ACL 列表為 1 的內(nèi)部 IP 地址映射到

44、 S0/0 接口 上，所IKE部分：1IKE協(xié)商策略配置使用的認(rèn)證算法有ACL列表1的IP地址都使用 S0/0接口的IP地址做NAT轉(zhuǎn)換2配置告訴對端路由預(yù)先貢獻(xiàn)分的密鑰ip natinside|outside /在接口模式啟用NAT，并表明是入口還是出口 3設(shè)置共享密鑰和 對端IP地址set ip next-hop ip address /指定數(shù)據(jù)包的出口下一條IP地址（用于策 略路由）IPSec部分：1配置IPSec傳輸模式名字、AH認(rèn)證、ESP加密、ESP加密set default interface interface /指定數(shù)據(jù)包默認(rèn)走的接口2配置VPN的ACL規(guī)則U set ip

45、tos max-reliability|min-delty|max-thtoughput|min-monerytary-cost|normal 端 口部分：1創(chuàng)建Crypto Map/指定數(shù)據(jù)包類型2設(shè)定VPN鏈路對端IP地 maxreliability最大可靠性 3設(shè)置Crypto Map使用的傳輸模式min-delty /最小延時(shí) 4指定Crypto Map使用的ACL規(guī)則列表 max-thtoughput /最大通過率5在接口上使用Crypto Map 8IKE協(xié)商配置思想：crypto isakmp policy 110000 /建立IKE協(xié)商策略、優(yōu)先級(jí)1 配置接口 IP地址hash

46、 md5|sha1 /使用認(rèn)證的算法2配置默認(rèn)或者靜態(tài)路由 authentication pre-share /告訴對端路由預(yù)先共享的密鑰3配置開啟語音電話進(jìn)程 號(hào) crypto isakmp key key name address ip address設(shè)置共享密鑰與對端要建立VPN的IP地址4指明本機(jī)VoIP電話號(hào)碼IPSec協(xié)商5將VoIP電話號(hào)碼綁定到語音接 口上 crypto ipsec transform-set set name ah-md5-hmac|ah-sha-hmac esp-des|esp- 3des|esp-null 6 指明 VoIP 的配置進(jìn)程號(hào)esp-dm5-h

47、mac|esp-sha-hmac /配置 IPSec 傳輸模式如：7 配置要打的電話號(hào)碼 crypto ipsec transform-set weetzhen ah-md5-hmac esp-des esp-md5-hmac 8將要打的電話號(hào)碼映射到路由接口的IP地址上 weetzhen /IPSec 的名字 interface interface進(jìn)入接口ah-md5-hmac/AH所使用的認(rèn)證方法ip address ip address netmask / 配置IP地址和子網(wǎng)掩碼 esp-des /ESP所使用的加密方法ip route 目標(biāo)IP目標(biāo)掩碼下一條IP /配置靜 態(tài)或者默認(rèn)路

48、由esp-md5-hmac /ESP所使用的認(rèn)證方法dial-peer voice 12147483647 pots 為語音單口配置，端口號(hào)，1是配置的進(jìn)程號(hào)access-list list unmber permit ip 源 IP netmask目的 IP netmask destination-pattern 號(hào)碼/ 設(shè) 置接口的VoIP電話號(hào)碼/創(chuàng)建ACL規(guī)則列表，這里是允許私網(wǎng)到私網(wǎng)的地址portinterface將號(hào)碼綁定在指定接口上端口應(yīng)用dial-peer voice 12147483647voip指明是要設(shè)置的 VoIP 配置，進(jìn)程號(hào) crypto map map name

49、1 65535 ipsec-isakmp /創(chuàng)建Crypto map的名字、優(yōu)先級(jí)、聲明IKE是自動(dòng)協(xié)商的destination-pattern 對方號(hào)碼/致命對方的VoIP號(hào)碼set peer 對端IP/設(shè)定對端VPN鏈路的IP地址 session targe ipv4:ip address / 將號(hào)碼映射到本路由器的出口上 set transformset map name /設(shè)定Crypto map使用的傳輸模式，名字是上面創(chuàng)建的Map name第 十六章：IPv6 match address access-list / 指定 Crypto Map 使用的 ACL 規(guī)則配置思 想：int

50、erface interface進(jìn)入接口 1 啟用路由轉(zhuǎn)發(fā) IPv6 協(xié)議 crypto map mapname /在接口用啟用Crypto Map，Map的名字為2定義啟用IPv6 RIP協(xié)議及名 字show crypto isakmp policy / 查看所有嘗試協(xié)商的策略3配置接口 IPv6地址 show crypto ipsec transform-set / 查看路由上設(shè)置的 transform-set 4 在接口上啟用IPv6 RIP 協(xié)議 show crypto ipsec sa / 查看當(dāng)前使用的安全聯(lián)盟 interface interface 進(jìn)入接口 show crypt

51、o map / 查看路由器上的 Crypto Map ipv6 address ipv6 address /配置接口的IPv6地址第十五章：VoIP no shutdown將接口開啟 9ipv6 unicast-routing /開啟路由 IPv6 轉(zhuǎn)發(fā)功能 interface interface ipv6 router rip rip name /配置路由ipv6 RIP協(xié)議，為RIP協(xié)議命名/進(jìn)入指定接口 ipv6 rip rip name enable /在接口上啟用 IPv6 RIP 協(xié)議 ip policy route-map Policy1 show ipv6 route /查看I

52、Pv6路由表/在接口中應(yīng)用Policy1的策略路由附：策略路由基于通 信量策略基于源路由策略配置細(xì)想：配置思想：1通過管理員干澀將指定的數(shù)據(jù)流 量能按照管理員的意思選擇路徑1網(wǎng)絡(luò)管理員手動(dòng)干澀數(shù)據(jù)包在路由器轉(zhuǎn)發(fā)的路徑 access-list 100 permit tcp any any eq smtp 2讓數(shù)據(jù)包的流向可以隨著網(wǎng)絡(luò)管理員的配置 /創(chuàng)建一條名為100的擴(kuò)展ACL，允許所有網(wǎng)絡(luò)地址訪問所有目的地址TCP協(xié)議的 SMTP端口 3從而達(dá)到能控制數(shù)據(jù)包流向的過程 route-map TrafficPolicy1 permit 10 access-list 100 permit ip 19

53、2.168.200.0 0.0.0.255 61.134.1.20 0.0.0.255 / 建立一個(gè)策略路 由名為：TrafficPolicy1優(yōu)先級(jí)為：10 /創(chuàng)建ACL規(guī)則列表為100允許源地址為 192.168.200.0網(wǎng)段的IP協(xié)議數(shù)據(jù)包訪問目的地址為：61.134.1.20match ip address 100 的流量/定義這條策略路由引用ACL為100的列表規(guī)則access-list 110 permit ip any61.134.1.20 0.0.0.255 set ip next-hop next ip address / 創(chuàng)建 ACL 規(guī)則列表為 110 允許 所有地址I

54、P協(xié)議數(shù)據(jù)包訪問目的地址為：61.134.1.20的流量設(shè)置這條策略路由的下 一跳地址（如果符合ACL列表為100的網(wǎng)絡(luò)地址訪問是TCP協(xié)議SMTP端口的數(shù) route-map Policy1 permit 10據(jù)包，將被發(fā)送到下一跳接口上）建立側(cè)裂路由，定義 策略路由名字為：Policy1 優(yōu)先級(jí)為：10 route-map TrafficPolocy1 permit 20 match ip address 100 在原先的策略路由中再追加一條策略路由優(yōu)先級(jí)為：20 定義這條策略 路由所引用的 ACL 規(guī)則條目為：100 set ip next-hop next ip address set

55、 default interface interface /設(shè)置這條策略路由的下一跳地址指定如果符合定義ACL規(guī)則的 條目的數(shù)據(jù)包將默認(rèn)走指定的接口 interface interface route map Policy1 permit 20 進(jìn) 入接口 在原先的策略路由中再追加一條策略路由，名字還是：Policy1優(yōu)先級(jí)為：20 ip policy route-map TrafficPolocy1 match-map ip address 110 /在接口中應(yīng)用名為： TrafficPolocy1的路由策略/定義這條策略路由所引用的ACL規(guī)則條目為：110服務(wù)類型 策略set defaul

56、t interface interface配置思想：指定如果符合定義ACL規(guī)則的條目的 數(shù)據(jù)包將默認(rèn)走指定的接口1讓路由器發(fā)送過來的數(shù)據(jù)包做TOS優(yōu)先級(jí)處理102達(dá)到Qos服務(wù)質(zhì)量處理過程設(shè)置這條策略路由的Tos為normal （正常）假 設(shè)：R2路由器內(nèi)的網(wǎng)絡(luò)是服務(wù)于銀行系統(tǒng)，需要安全性較高的網(wǎng)絡(luò)質(zhì)量，R3路由器內(nèi) 的網(wǎng)絡(luò)服務(wù)于語音interface s1/0業(yè)務(wù)系統(tǒng)，對延時(shí)較為敏感，R5路由器內(nèi)為骨干網(wǎng)絡(luò)， R6為.進(jìn)入接口 S1/0我們就考慮于不同類型的數(shù)據(jù)包該如何去處理ip policyroute-map Tospolicy1可以給R2網(wǎng)絡(luò)發(fā)送過來的數(shù)據(jù)包設(shè)置為最大可靠性，R3網(wǎng)絡(luò)發(fā)

57、過來的數(shù)據(jù)包設(shè)置為最小延時(shí)，R5網(wǎng)絡(luò)發(fā)在接口中應(yīng)用名為Tospolicy1的路由策略 送過來的數(shù)據(jù)包設(shè)置成最大通過率，R6當(dāng)然以一樣了 ！ ！就假定R6為最小貨幣開銷 interface s1/1根據(jù)網(wǎng)絡(luò)類型來設(shè)置路由策略，主要配置在R1和R4路由器上進(jìn)入接 口 S1/1 R1： uo policy route-map TosPolicy1 access-list 1 permit 192.168.1.0 0.0.0.255 / 在接口中應(yīng)用名為Tospolicy1的路由策略/創(chuàng)建ACL規(guī)則列表為1允許192.168.1.0網(wǎng) 段數(shù)據(jù)包流量通過 R4: access-list 2 permit

58、 192.168.10.0 0.0.0.255 配置基本和 R1 一樣， 只是在設(shè)置Tos類型中蓋面而已/創(chuàng)建ACL規(guī)則列表為2允許192.168.10.0網(wǎng)段數(shù)據(jù)包 流量通過 set ip tos max-thtoughput route-map TosPolicy1 permit 10 / 設(shè)置路由的 Tos 為max-thtoughput（最大通過率）創(chuàng)建一條策略路由名為為：TosPolicy1優(yōu)先級(jí)為10set ip tos min-monerytary-cost match ip address 1 / 設(shè)置路由的 Tos 為 min-monerytary- cost （最小貨幣開銷

59、）將這條策略路由引用ACL列表1的規(guī)則然后將策略路由應(yīng)用到 接口上 set ip tos max-reliability 多 ISP internet 介入 /設(shè)置這條策略路由的 Tos :max- reliability （最大可靠性）為路由配置接口 IP 地址：route-map TosPolicy1 permit 20 內(nèi) 網(wǎng)在原先的策略路由中追加一條策略路由，優(yōu)先級(jí)為20 interface f0/0 match ip address 2 ip address 192.168.0.1 255.255.255.0 / 將這條策略路由引用 ACL 列表 2 的規(guī) 則 ip nat insi

60、de set ip tos min-delty外網(wǎng)設(shè)置正如條測錄入路由的Tos為:min- delty（最小延時(shí)）interface f0/1 route-map TosPolicy1 permit 30 ip address168.168.18.158 255.255.255.252 /在原先的策略路由中追加一條策略路由，優(yōu)先級(jí)為30 ip nat outside set ip tos normal interface s1/0 11ip address 68.18.18.2 255.255.255.248 access-list 1 permit 192.168.18.0 0.0.0.25