基礎配置
1思科設備管理基礎命令
enable 從用戶模式進入特權模式
configure terminal 進入配置模式
interface g0/0 進入千兆以太網接口g0/0
ip address 172.16.0.1 255.255.0.0 配置接口的 ip 地址
no shutdown 開啟接口
line vty 0 4 進入虛擬終端 vty 0 - vty 4
password CISCO 配置認證密碼
login 用戶要進入路由器,需要先進行登錄
exit 退回到上一級模式
enable password CISCO 配置進入特權模式的密碼,密碼不加密
end 直接回到特權模式
show int g0/0 顯示 g0/0 接口的信息
hostname Terminal-Server 配置路由器的主機名
enable secret ccielab 配置進入特權模式的密碼,密碼加密
no ip domain-lookup 路由器不使用 DNS 服務器解析主機的 IP地址
logging synchronous 路由器上的提示信息進行同步,防止信息干擾我們輸入命令
no ip routing 關閉路由器的路由功能
ip default-gateway 10.1.14.254 配置路由器訪問其他網段時所需的網關
show line 顯示各線路的狀態
line 33 48 進入 33-48 線路模式
transport input all 允許所有協議進入線路
int loopback0 進入 loopback0 接口
ip host R1 2033 1.1.1.1 為 1.1.1.1 主機起一個主機名
alias exec cr1 clear line 33 為命令起一個別名
privilege exec level 0 clear line 把命令 clear line 的等級改為 0,在用戶模式下也可以執行它
banner motd 設置用戶登錄路由器時的提示信
show ip int brief 查看接口狀態
2VLAN相關命令
vlan X 創建VLAN X
name SPOTO 將VLAN X命名為SPOTO
exit 退出當前模式
interface e0/0 進入以太網接口e0/0
switchport mode access 將二層接口設置為接入模式
switchport access vlan X 將接口劃入vlan X
interface e0/1
switchport trunk encapsulation dot1q trunk鏈路封裝協議為 802.1q
switchport mode trunk 將二層接口配置模式為 trunk
switchport trunk allow vlan X trunk接口單獨放行某個 vlan。
Show vlan 查看設備vlan信息
3 VTP相關配置命令
vtp domain SPTO 配置VTP域名
vtp mode server 修改模式(默認為 server)
vtp pass SPOTO 配置密碼VTP密碼
vtp version 2 修改版本
vtp pruning 開啟VTP修剪功能
show vtp status 查看VTP信息
4Ethernetchannel相關配置命令
interface ran ge e0/0 -1 批量進入接口
channel-pro lacp 啟用 lacp 協議
channel-group 1 mode active 捆綁組 1 模式:主動
interface port-channel 1 進入邏輯鏈路
show etherchannel summary 查看捆綁組
5HSRP(Cisco 私有)/VRRP配置命令
spandby/vrrp 10 ip 192.168.1.254 設置虛擬網關
spandby/vrrp 10 priority110 修改優先級為 110(默認100)
spandby/vrrp 10 preempt 開啟搶占
track 10 interface e0/0 line_protocol 啟用鏈路檢測
standby/vrrp 10 track 10 decrement 20 如果斷開則自降優先級級 20
show hsrp/vrrp brief 查看 hsrp/vrrp 狀態
6STP配置命令
spanning-tree cost 10 修改接口開銷值
spanning-tree vlan x cost 10 針對一個 vlan 修改開銷值
spanning-tree vlan x priority 0 或 spanning-tree vlan x root priority 將設備設置為vlan x的主根橋
spanning-tree vlan x priority 4096 或 spanning-tree vlan x root secondary 將設備設置為vlan x的備份根橋
show spanning-tree brief 查看生成樹狀態
7MSTP配置命令
spanning-tree mode mst 修改生成樹模式為MSTP
spanning-tree mst conf 進入MSTP配置模式
instance 1 vlan 10,20 創建實例1并將vlan10、20納入實例1
instance 2 vlan 30,40 創建實例2并將vlan30、40納入實例2
spanning-tree mst 1 priority 0 配置實例 1 為根橋
spanning-tree mst 2 priority 4096 配置實例 2 為備根橋
show spanning-tree mst 1 查看實例
路由配置
一、靜態路由
Ip route x.x.x.x(網段) x.x.x.x( 子網掩碼) x.x.x.x/出接口(下一跳) (盡量用下一跳地址,出接口會產生 ARP 消息)
默認路由:
Ip route 0.0.0.0 0.0.0.0 x.x.x.x(下一跳)
黑洞路由:
IP route x.x.x.x x.x.x.x null 0 將不需要的流量丟棄到 null 0(黑洞接口)
Loopback 接口:
Interface loopback 0
Interface loopback 1
Interface loopback 2
BFD雙向轉發檢測:
Interface ethernet0/0
Bfd interval 50 min_rx 50 multiplier 3 接口開啟BFD檢測,50ms發送一次探測幀,3次超時
Ip route static bfd e0/0 x.x.x.x
Ip route 1.1.1.1 255.255.255.255 e0/0 x.x.x.x 靜態路由聯動BFD
Show bfd neighboor 查看BFD鄰居
二、動態路由
Rip:
Router rip 啟動 rip 進程
Version 2 指定版本 2
Network x.x.x.x 宣告網段
No auto-summary 關閉自動匯總 重點!!!
Default-information originate 默認路由下發
redistribute static 靜態路由重分布
EIgrp (cisco 私有):
Router eigrp 1 同區域同 AS 號
Network x.x.x.x x.x.x.x (反掩碼)宣告網段
No auto-summary 關閉自動匯總
Ospf :
Router-id x.x.x.x 設置 routeID
Router ospf 1 啟動 ospf 進程為 1
Network x.x.x.x x.x.x.x area 0 宣告網段,這里區域為 0
Ip ospf network x.x.x.x 接口下更改 ospf 網絡類型
Show ip ospf nei 查看 ospf 鄰居
Show ip ospf interface brief 查看接口關于 ospf 的信息
Show ip route ospf 查看 ospf 路由
Show ip ospf database 查看 ospf 鏈路狀態數據庫
Debug ip ospf adj 查看 ospf 鄰居關系建立過程
Debug ip ospf hello 查看 ospf hello 包
Debug ip ospf events 查看 ospf 相關事件
DHCP:
Service dhcp 開啟 dhcp (默認開啟)
IP dhcp pool name 設置地址池名稱
Network 192.168.1.0 255.255.255.0 指定可分配網段
Default-router 192.168.1.254 下發網關
Dns-server 8.8.8.8 下發 dns
ip dhcp excluded-address 192.168.1.254 排除這個地址不做分配
Pc端:interface e0/0
Ip add dhcp 地址通過DHCP方式獲取
DHCP 中繼:
Int vlan x
Ip add x.x.x.x x.x.x.x
Ip helper-address 192.168.1.254 (dhcp 服務器上的接口) 指向 dhcp 服務器
Show ip dhcp pool name 查看 dhcp 地址池
三、ACL 訪問控制列表
標準 ACL:1-99 “No access-list 一條”將會刪除整個 ACL 列表。
Access-list 1 deny x.x.x.x x.x.x.x 拒絕某網段通過
Access-list 1 permit any 允許所有通過
Inter e0/0
Ip access-group 1 in 進接口下調用
配置了 ACL 一定要在接口下調用,否則不生效,或者接口下調用了,全局下沒有這個 ACL 也不生效。
擴展 ACL:100-199 “No access-list 一條”將會刪除整個 ACL 列表。
Access-list(100-199) per/deny 協議(IP 代表所有 TCP/IP 協議)x.x.x.x(源地址) 反掩碼 端口號(選加) x.x.x.x(目的) 反掩碼(不加默認為 0.0.0.0)端口號(選加)
Access-list 100 deny(拒絕或允許) tcp(協議) any(源地址) host(精確主機,) x.x.x.x (不加反掩碼默認為 0.0.0.0)eq 23 或者 access-list 100 deny tcp any x.x.x.x 0.0.0.0 eq 23 拒絕所有的 TCP 協議訪問 x.x.x.x 的 23端口
Access-list 100 permit ip(所有 TCP/IP 協議) any(源) any(目的) 允許所有
Int e0/1 進入接口
Ip access-group 1 out 調用在出接口
Show ip access-list 編號 查看 ACL
Show ip access-list int vlan x
Show run | sec access-list 查看 ACL 配置
字符命名 ACL
Ip access-list standard(標準)/extended(擴展) name 創建命名 ACL,如果name 用數字命名,則會進入到數字 ACL 下,并不是字符命名 ACL。
數字 ACL 下刪除一條語句就會刪除整個 ACL,所以可以用字符命名的方式,name 用數字來命名,這樣就會進入對應的數字 ACL 里,然后 no 編號,就可以解決數字命名里無法逐一刪除語句了。
可以逐一刪除語句,只需進入 ACL:no 編號
Ip access-list stan ACL-A 創建命名 ACL-A 的標準 ACL
5 per x.x.x.x(網段) x.x.x.x(反掩碼)允許 x.x.x.x 語句 5 是語句編號
10 per x.x.x.x x.x.x.x 編號最好 0-5-10 中間有間隔,方便以后插入語句
15 deny any(不加也可以,ACL 最后隱藏了默認拒絕全部)
每個接口,每個方向,每種協議,只能有一個 ACL
ACL 做 telnet 限制時,需要去 VTY 線程下調用 ACL。
交換機二層接口只能調用 In 方向的 ALC,交換機 ACL 可以調用在 SVI,或者三層接口上。
NAT配置
一、NAT 網絡地址轉換
靜態 NAT
Ip nat inside source static(靜態) x.x.x.x(內網地址) x.x.x.x(映射的地址) 靜態映射一個內網地址為外網地址
Int e0/0(內網口)
Ip nat inside 配置接口為內網接口
Int e0/1(外網口)
Ip nat outside 配置接口為外網接口
出口路由上:Ip nat insede source static tcp x.x.x.x(管理地址) 23(端口號) x.x.x.x(外網地址) 2323(選個不常用的) 做內網映射端口到外網,使外網能夠遠程登陸到內網這臺主機。telnet x.x.x.x(外網地址)2323
動態 NAT
Ip nat pool xyp 10.10.10.1 10.10.10.20 netmask 255.255.255.0 定義NAT 地址池
Access-list 1 permit 10.10.9.1 0.0.0.255 定義訪問控制列表
IP nat inside source list 1 pool xyp 將 acl 和 nat 地址池關聯
進接口配置 inside 和 outside 即可PAT/端口復用
Access-list 1 permit x.x.x.x x.x.x.x
Ip nat inside source list 1 int e1/0 overload 將 ACL 與出接口匹配,并且是 PAT 方式。
進接口配置 inside 和 outside 即可Clear ip nat tran 清除 nat 表項
show ip nat translations 查看 NAT 表項
二、PPP
R1服務器是認證方,R2客戶端是被認證方
PAP:單向認證
R1:
username CCNA password CISCO@123
interface Serial1/0
clock rate 64000 //串行接口在 DCE 端配置時鐘,DCE 端一般為運營商
ip address 12.1.1.2 255.255.255.252
encapsulation ppp
ppp authentication pap
R2:
interface Serial1/0
ip address 12.1.1.1 255.255.255.252
encapsulation ppp
ppp pap sent-username CCNA password CISCO@123
PAP:雙向認證
即雙方都是認證方也都是被認證方
R1:
Username CCNA password CISCO
Int seria1/0
Ip add x.x.x.x x.x.x.x
Encapsulation ppp
Ppp authentication pap
Ppp pap sent-username CCNP password cisco@123
R2:
username CCNP password CISCO@123
interface Serial1/0
ip address 12.1.1.2 255.255.255.252
encapsulation ppp
ppp authentication pap
ppp pap sent-username CCNA password CISCO
CHAP 單項認證
CHAP 認證過程比較復雜,三次握手機制。
使用密文格式發送 CHAP 認證信息。
由認證方發起 CHAP 認證,也可以雙方都配置認證,有效避免暴力破解,
在鏈路建立成功后具有再次認證檢測機制。
目前在企業網的遠程接入環境中用的比較常見。
R1:
username CCNA password CISCO
interface Serial1/0
ip address 12.1.1.1 255.255.255.252
encapsulation ppp
ppp authentication chap
R2:
interface Serial1/0
ip address 12.1.1.2 255.255.255.252
ppp chap hostname CCNA
ppp chap password 0 CISCO
CHAP 雙向認證
R1:
username CCNP password CISCO@123 //雙方數據庫中用戶名可以不一樣,但密碼必須一樣
interface Serial1/0
ip address 12.1.1.1 255.255.255.252
encapsulation ppp
ppp authentication chap
ppp chap hostname CCNA
ppp chap password CISCO@123
R2:
username CCNA password CISCO@123 //雙方數據庫中用戶名可以不一樣,但密碼必須一樣
interface Serial1/0
ip address 12.1.1.2 255.255.255.252
encapsulation ppp
ppp authentication chap
ppp chap hostname CCNP
ppp chap password CISCO@123
三、GRE VPN
通用路由封裝協議 GRE 協議,它提供了將一種協議的報文封裝在另一種協議報文中的機制,使報文能夠在 tunnel(隧道)中傳輸。
優點:
• 支持多種協議和多播
• 能夠用來創建彈性的 VPN
• 支持多點隧道
缺點:
• 缺乏加密機制
• 沒有標準的控制協議來保持 GRE 隧道(通常使用協議和 keepalive)
• 隧道很消耗 CPU
• 出現問題要進行 DEBUG 很困難
• MTU 和 IP 分片是一個問題
隧道技術(Tunnel):
Tunnel 是一個虛擬的點對點的連接,提供了一條通路使封裝的數據報文能夠在這個通路上傳輸,并且在一個 Tunnel 的兩端分別對數據報進行封裝及解封裝。
interface Tunnel0
tunnel mode gre ip //默認封裝
ip address x.x.x.x x.x.x.x
tunnel source Ethernet0/0 //也可寫 IP
tunnel destination x.x.x.x
