網(wǎng)絡(luò)的設(shè)備配置

網(wǎng)絡(luò)的設(shè)備配置基本配置設(shè)備管理方式：帶外管理和帶內(nèi)管理1、帶外管理

設(shè)備首次使用時，必須采用的一種方式。通過PC串口與設(shè)備的console口用console線連接，使用超級終端進(jìn)行配置。2、帶內(nèi)管理（telnet管理方式）

經(jīng)過適當(dāng)配置后，用網(wǎng)絡(luò)線路進(jìn)行連接，通過操作系統(tǒng)自帶的telnet工具登錄進(jìn)行配置。帶外管理console口PC機(jī)串口console線操作方法1、連接設(shè)備。2、配置超級終端交換機(jī)或路由器配置模式1、一般用戶配置模式提示符：“>”在此模式下，能使用的命令較少，無法對交換機(jī)進(jìn)行配置，如：showversion2、特權(quán)用戶配置模式提示符：“#”在一般用戶模式下，使用命令“enable”進(jìn)入特權(quán)用戶模式。在此模式下，用戶可以查詢交換機(jī)的配置信息、端口連接情況、保存配置等。3、全局配置模式提示符：“switch(Config)#”在特權(quán)用戶配置模式下使用命令“configterminal”進(jìn)入。在此模式下，可以對交換機(jī)進(jìn)行全局性的配置。如：創(chuàng)建VLAN等。4、接口配置模式和VLAN配置模式等使用相關(guān)的配置命令進(jìn)入各種其它配置模式，提示符也跟著相應(yīng)變換。如：進(jìn)入VLAN1接口，命令：intvlan1，提示符：switch(Config-If-Vlan1)#注：使用命令“exit”返上一層模式。使用“Ctrl+Z”組合鍵直接返回特權(quán)用戶模式命令語法cmdtxt<variable>{enum1|enum2}[option]語法說明：1、cmdtxt：命令關(guān)鍵字2、<variable>：參數(shù)為變量，由用戶輸入相關(guān)值3、{enum1|enum2}：必須選擇其中之一4、[option]：可選參數(shù)在實(shí)際命令中，經(jīng)常是以上4種情形的組合使用幫助功能1、“？”命令的使用⑴模糊查詢命令⑵查詢命令參數(shù)2、不完全匹配命令及參數(shù)可使用縮寫，只要省略后的關(guān)鍵字不會引起歧義。如：#showrunning-config

#shrun以上兩條命令是等效的。3、Tab鍵的使用

僅輸入命令詞開頭的字符，在命令沒有錯誤時，可用TAB鍵補(bǔ)全命令。4、否定命令“no”大部分命令可在其命令行前加上“no”關(guān)鍵字，結(jié)果為取反或改為默認(rèn)值例如：創(chuàng)建VLAN10命令：#vlan10，刪除VLAN10則使用：novlan105、歷史命令可以通過使用上下光標(biāo)健，來選擇已經(jīng)輸入過的命令，以節(jié)省時間恢復(fù)出產(chǎn)配置交換機(jī)：特權(quán)用戶模式：#setdefault//恢復(fù)#write//保存#reload//重啟路由器：特權(quán)用戶模式：#deletestartup-config//刪除啟動文件#reboot//重啟配置文件：running-config//運(yùn)行時的配置文件startup-config//啟動時的配置文件帶內(nèi)管理(telnet)console口PC機(jī)串口console線交換機(jī)交換機(jī)接口PC機(jī)網(wǎng)卡交換機(jī)配置步驟1、進(jìn)入管理接口VLAN1命令：intvlan1模式：全局配置模式2、設(shè)置管理IP地址命令：模式：接口配置模式3、創(chuàng)建telnet登錄的用戶名和密碼命令：telnet-useradminpassword0admin模式：全局配置模式4、設(shè)置PC機(jī)IP與交換機(jī)管理IP在相同網(wǎng)段雙絞線PC機(jī)帶內(nèi)管理(telnet)console口PC機(jī)串口console線路由器路由器接口PC機(jī)網(wǎng)卡路由器配置步驟1、進(jìn)入接口命令：intf0/0模式：全局配置模式2、設(shè)置接口IP地址命令：模式：線路接口配置模式3、創(chuàng)建認(rèn)證用戶名和密碼命令：usernameadminpassword0adminaaaauthenticationlogintelnetlocallinevty04模式：全局配置模式

loginauthenticationtelnet模式：線路接口配置模式4、設(shè)置PC機(jī)IP與路由器端口IP在相同網(wǎng)段交叉雙絞線PC機(jī)創(chuàng)建VLAN1、創(chuàng)建VLAN命令格式：vlan<vlan-id>配置模式：全局配置模式2、將端口添加到VLAN，命令格式：switchinterface<interface-type><interface-number>配置模式：VLAN配置模式DCS-3926S(Config)#vlan10DCS-3926S(Config-Vlan10)#swiinte0/0/1-10DCS-3926S(Config-Vlan10)#exitDCS-3926S(Config)#跨交換機(jī)實(shí)現(xiàn)VLAN互通配置步驟：1、創(chuàng)建VLAN(略)2、進(jìn)入VLAN接口命令格式：interfacevlan<vlan-id>配置模式：全局配置模式3、配置接口地址：

命令格式：ipaddress<A.B.C.D><submask>

配置模式：接口配置模式4、將連接交換機(jī)的線路配置為trunk模式命令格式：switchmodetrunk配置模式：接口配置模式e0/0/23-24e0/0/23-24VLAN100/0/1-10VLAN200/0/11-20PC1PC2DCS-3926SDCRS-5526S配置VLAN地址：DCRS-5526S(Config)#intvlan10DCRS-5526S(Config-If-Vlan10)#DCRS-5526S(Config-If-Vlan10)#exit配置trunk：DCRS-5526S(Config)#inte0/0/23-24DCRS-5526S(Config-Port-Range)#swimodetrunk單臂路由PC1PC2f0/0配置步驟：1、進(jìn)入子接口命令格式：interface<interface-type><subinterface-number>配置模式：全局配置模式2、配置子接口地址：

命令格式：ipaddress<A.B.C.D><submask>

配置模式：接口配置模式3、封裝802.1Q協(xié)議命令格式：encapsulationdot1q<vlan-id>配置模式：接口配置模式配置單臂路由：ROUTERB_config#intf0/0.1ROUTERB_config_f0/0.1#ROUTERB_config_f0/0.1#encdot1q10ROUTERB_config_f0/0.1#exitROUTERB路由配置二、動態(tài)路由(RIP)配置序列：1、啟用RIP動態(tài)路由命令格式：routerrip配置模式：全局配置模式2、配置RIP版本命令格式：version{1|2}配置模式：路由配置模式3、設(shè)置自動會聚命令格式：auto-summaryno

auto-summary//取消自動會聚配置模式：路由配置模式4、配置運(yùn)行RIP的網(wǎng)段命令格式：network<A.B.C.D/M|ifname>配置模式：路由配置模式路由配置三、動態(tài)路由(OSPF)配置序列：1、啟用OSPF動態(tài)路由命令格式：routerospf[process<id>]配置模式：全局配置模式2.1、配置運(yùn)行OSPF的網(wǎng)段命令格式：network<A.B.C.D><mask>area<area_id>配置模式：路由配置模式2.2、配置運(yùn)行OSPF的網(wǎng)段命令格式：ipospfenablearea<area_id>配置模式：接口配置模式路由配置一、靜態(tài)路由命令格式：iproute<ip-address><mask><next-hop>配置模式：全局配置模式相關(guān)命令：showiproute//查看設(shè)備路由表配置模式：特權(quán)用戶配置模式特例:默認(rèn)路由：iproute0.0.0.00.0.0.0<next-hop>配置：DCR-2626_config#DCRS-5526S_config#訪問控制列表(AccessControlLists)ACL是實(shí)現(xiàn)數(shù)據(jù)包過濾的一種機(jī)制，通過允許或拒絕特定的數(shù)據(jù)包進(jìn)出網(wǎng)絡(luò)，可以對網(wǎng)絡(luò)訪問進(jìn)行控制，有效保證網(wǎng)絡(luò)的安全運(yùn)行。用戶可以基于報文中的特定信息，制定一組規(guī)則，每條規(guī)則都描述了對匹配的數(shù)據(jù)包所采取的動作：允許通過(permit)或者拒絕(deny)。用戶可以把這些規(guī)則應(yīng)用到端口的入口或出口方向上，限制某個IP地址或網(wǎng)段的上網(wǎng)活動，用于網(wǎng)絡(luò)管理。ACL主要由標(biāo)準(zhǔn)ACL和擴(kuò)展ACL組成。它們的區(qū)別在于，標(biāo)準(zhǔn)ACL基于源地址的判斷，擴(kuò)展ACL不僅可以基于源地址的判斷，還可以針對目的地址、端口、服務(wù)時間、服務(wù)類型等判斷。配置序列：1、配置訪問控制列表規(guī)則組2、啟用包過濾功能(僅交換機(jī))3、將ACL應(yīng)用到特定端口的進(jìn)或出方向上。標(biāo)準(zhǔn)IP訪問列表配置模式：全局配置模式命令格式一：access-list<num>{deny|permit}{any-source}其中：<num>為1-99的數(shù)字命令格式二：ipaccess-liststandard<name>{deny|permit}{any-source}注：系統(tǒng)默認(rèn)在整個規(guī)則組最后會增加一條拒絕所有的例如:禁止VLAN10用戶(192.168.10.0)訪問的Server(192.168.30.30)DCRS-5526S(config)#

DCRS-5526S(config)#access-list1permitanyDCRS-5526S(config)#access-list1denyany//此條目默認(rèn)自動添加擴(kuò)展IP訪問列表配置模式：全局配置模式命令格式一：access-list<num>{deny|permit}Protocol{any-source}{any-dest}[time-rang]其中：<num>為100-199的數(shù)字命令格式二：ipaccess-listextended<name>{deny|permit}Protocol{any-source}{any-dest}[time-rang]注：系統(tǒng)默認(rèn)在整個規(guī)則組最后會增加一條拒絕所有的例如:禁止VLAN10用戶(192.168.10.0)訪問的Server(192.168.30.30)的網(wǎng)頁服務(wù)DCS-3926S(config)#access-list101denytcp192.168.10.00.0.0.25580host

192.168.30.3080DCS-3926S(config)#access-list101permitipanyanyDCS-3926S(config)#access-list101denyipanyany//此條目默認(rèn)自動添加啟用包過濾功能此配置僅交換機(jī)需要，路由器無此要求1、啟用防火墻功能(默認(rèn)關(guān)閉)命令格式：firewall{enable|disable}配置模式：全局配置模式2、設(shè)置防火墻默認(rèn)動作(默認(rèn)允許)命令格式：firewalldefault{permit|deny}配置模式：全局配置模式啟用防火墻DCS-3926S(config)#firewallenableACL應(yīng)用到端口命令格式：ipaccess-group<name>{in|out}配置模式：接口配置模式例如:禁止PC1用戶(192.168.10.5)訪問的Server(192.168.30.30)的網(wǎng)頁服務(wù)創(chuàng)建ACL規(guī)則組DCS-3926S(config)#access-list101denytcphost192.168.10.580host

192.168.30.3080DCS-3926S(config)#access-list101permitipanyanyDCS-3926S(config)#access-list101denyipanyany//此條目默認(rèn)自動添加啟用防火墻DCS-3926S(config)#firewallenable將ACL綁定到相應(yīng)端口上DCS-3926S(config)#inte0/0/1DCS-3926S(config-ethernet0/0/1)#ipaccess-group101in時間相關(guān)ACL一、創(chuàng)建時間范圍名命令格式：time-rang<時間范圍名>配置模式：全局配置模式二、添加時間范圍

periodicweekdays08:00to18:00

周期性時間每天時間段三、ACL匹配時間在創(chuàng)建ACL條目時，再添加時間參數(shù)即可。如：time-rangtime10……ipaccess-listextendednat10

permitip192.168.10.00.0.0.255anytime-rangetime10

網(wǎng)絡(luò)地址翻譯(NetworkAddressTranslations)一、靜態(tài)地址翻譯簡單的一對一地址翻譯。1、主機(jī)IP到IP地址2、主機(jī)端口到IP地址端口二、動態(tài)地址翻譯1、內(nèi)部網(wǎng)多個地址翻譯到一個IP地址。2、內(nèi)部網(wǎng)多個地址翻譯到地址池中的多個IP地址。配置序列：靜態(tài)NAT1、指定內(nèi)網(wǎng)口和外網(wǎng)口2、定義轉(zhuǎn)換規(guī)則動態(tài)NAT1、定義訪問列表2、定義地址池（可用外網(wǎng)接口地址代替）3、指定內(nèi)網(wǎng)口和外網(wǎng)口4、定義轉(zhuǎn)換規(guī)則靜態(tài)NAT1、指定內(nèi)網(wǎng)口和外網(wǎng)口命令格式：ipnat{inside|outside}配置模式：接口配置模式2、定義轉(zhuǎn)換規(guī)則命令格式：ipnatinsidesourcestatic內(nèi)部本地地址內(nèi)部全局地址配置模式：全局配置模式例如：內(nèi)網(wǎng)的WEB服務(wù)器啟用的web服務(wù)對外公開(園區(qū)網(wǎng))ROUTERB_config#intf0/0ROUTERB_config_f0/0#ipnatinside//設(shè)置為內(nèi)網(wǎng)口ROUTERB_config#ints0/2ROUTERB_config_f0/0#ipnatinside//設(shè)置為內(nèi)網(wǎng)口ROUTERB_config#inte0/1ROUTERB_config_f0/0#ipnatoutside//設(shè)置為外網(wǎng)口ROUTERB_config#ipnatinsidesourcestatic192.168.10.280219.229.11.180//轉(zhuǎn)換規(guī)則動態(tài)NAT一

（多對一）1、定義訪問列表2、指定內(nèi)網(wǎng)口和外網(wǎng)口(略)3、指定外網(wǎng)接口地址4、定義轉(zhuǎn)換規(guī)則命令格式：ipnatinsidesourcelist列表名int接口名配置模式：全局配置模式例如：WEB服務(wù)器、PC2和PC3通過地址轉(zhuǎn)換（轉(zhuǎn)換成219.229.11.1）(園區(qū)網(wǎng))ROUTERB_config#ROUTERB_config#ROUTERB_config#ROUTERB_config#ipnatinsidesourcelist1inte0/1//轉(zhuǎn)換規(guī)則動態(tài)NAT二（多對多）1、定義訪問列表2、指定內(nèi)網(wǎng)口和外網(wǎng)口(略)3、定義地址池命令格式：ipnatpool

地址池名起始IP結(jié)束IP子網(wǎng)掩碼配置模式：全局配置模式4、定義轉(zhuǎn)換規(guī)則命令格式：ipnatinsidesourcelist列表名pool池名overload配置模式：全局配置模式例如：配置NAT，使內(nèi)網(wǎng)可以訪問互聯(lián)網(wǎng)，要求VLAN10通過211.80.1.3(企業(yè)網(wǎng))ROUTERB_config#ROUTERB_config#ipnatpool//定義地址池ROUTERB_config#ipnatinsidesourcelist10poolpool10overload//轉(zhuǎn)換規(guī)則服務(wù)質(zhì)量(Qos)配置配置序列：1、創(chuàng)建訪問控制列表(略)2、啟動Qos功能在全局配置模式下啟用：mlsqos3、配置分類表(classmap)建立分類規(guī)則：class-map<分類名>匹配訪問控制列表：matchaccess-group<訪問控制列表名>4、配置策略表配置策略：policy-map<策略名>匹配分類：class<分類名>制定規(guī)則：police<帶寬><突發(fā)值>exceed-actiondrop5、將Qos應(yīng)用到端口進(jìn)入接口：interfaceethernet0/0/2將策略應(yīng)用到接口：service-policyinput<策略名>例：設(shè)置web服務(wù)器所屬的網(wǎng)段192.168.10.0/24內(nèi)的報文帶寬限制為10Mbit/S，突發(fā)值設(shè)置為4K，超過帶寬的該網(wǎng)段的報文一律丟棄Qos配置switch#configswitch(config)#access-list1permit192.168.10.00.0.0.255//定義ACLswitch(config)#mlsqos//啟用qosswitch(config)#class-mapc1//創(chuàng)建分類c1switch(config-classmap)#matchaccess-group1//匹配ACLswitch(config-classmap)#exitswitch(config)#policy-mapp1//創(chuàng)建策略規(guī)則p1switch(config-policymap)#classc1//匹配分類switch(config--policy-class)#police100000004000exceed-actiondrop//規(guī)則switch(config--policy-class)#exit//帶寬

突發(fā)處理方式丟棄switch(config-policymap)#exitswitch(config)#interfaceethernet0/0/2switch(config-ethernet0/0/2)#service-policyinputp1//應(yīng)用到端口高速同步口封裝PPP協(xié)議同步口(serial)封裝協(xié)議在DCE設(shè)備上設(shè)置時鐘信號命令格式：physical-layerspeed<頻率值>配置模式：接口配置模式同步口上封裝協(xié)議(默認(rèn)情況已經(jīng)封裝了HDLC協(xié)議)命令格式：encapsulationppp配置模式：接口配置模式例：串口只能封裝PPP協(xié)議，DCR1702為DTE設(shè)備，DCR2626為DCE設(shè)備，時鐘設(shè)置為64000bpsDCR-2626_config#ints0/1//進(jìn)入設(shè)置端口DCR-2626_config_s0/1#phsp64000//設(shè)置同步頻率DCR-2626_config_s0/1#encppp//封裝PPP協(xié)議PPP協(xié)議認(rèn)證(CHAP)例：啟用CHAP雙向驗(yàn)證，用戶名密碼都為adminDCR-2626_config#usernameadminpassword0admin//創(chuàng)建本地用戶DCR-2626_config#aaaauthenticationpppdefaultlocal//啟用ppp本地認(rèn)證DCR-2626_config#ints0/1DCR-2626_config_s0/1#pppauthenticationchap//啟用chap認(rèn)證DCR-2626_config_s0/1#pppchaphostnameadmin//對端用戶名注：CHAP認(rèn)證時，認(rèn)證雙方創(chuàng)建的密碼須相同相關(guān)命令：DCR-2626#showints0/1//通過命令查看端口狀態(tài)PPP協(xié)議認(rèn)證(PAP)例：啟用PAP雙向驗(yàn)證，用戶名密碼都為np2010DCR-2626_config#usernamenp2010password0np2010//創(chuàng)建本地用戶DCR-2626_config#aaaauthenticationpppdefaultlocal//啟用ppp本地認(rèn)證DCR-2626_config#ints0/1DCR-2626_config_s0/1#pppauthenticationpap//啟用pap認(rèn)證DCR-2626_config_s0/1#ppppapsentnp2010password0np2010//均為對端用戶名和密碼相關(guān)命令：DCR-2626#showints0/1//通過命令查看端口狀態(tài)鏈路聚合例：在DCS-5526S和DCS-3926S上配置e0/0/23-24為鏈路聚合口解決環(huán)路問題DCRS-5526S(Config)#port-group1//創(chuàng)建聚合組DCRS-5526S(Config)#inte0/0/23-24//進(jìn)入需要加入聚合組的端口DCRS-5526S(Config-Port-Range)#port-group1modeon//靜態(tài)聚合DCRS-5526S(Config-Port-Range)#port-group1modeactive//動態(tài)聚合鏈路聚合分為動態(tài)聚合和靜態(tài)聚合兩種方式MAC地址綁定MAC地址綁定分為動態(tài)綁定和靜態(tài)綁定兩種方式例：PC3所連接的端口進(jìn)行MAC綁定SWITCHB(Config)#interfaceethernet0/0/6//進(jìn)入需要綁定的端口SWITCHB(Config-Ethernet0/0/6)#switchportport-security//開啟端口安全屬性動態(tài)綁定SWITCHB(Config-Ethernet0/0/6)#switchportport-securitylock//鎖定端口學(xué)習(xí)功能SWITCHB(Config-Ethernet0/0/6)#switchportport-securityconvert//轉(zhuǎn)換為安全MAC靜態(tài)綁定SWITCHB(Config-Ethernet0/0/6)#switchportport-securitymac-addressXX-XX……端口鏡像例：內(nèi)部網(wǎng)絡(luò)主機(jī)PC3必須時時監(jiān)控服務(wù)器端的收發(fā)數(shù)據(jù)設(shè)置目的端口(即監(jiān)控方，此例中即為連接PC3的端口)SWITCHB(Config)#monitorsession1destinationinterfacee0/0/6設(shè)置源端口，可多個(即被監(jiān)控方，此例中即連接服務(wù)器的端口)SWITCHB