ccna命令_cisco基本配置命令

『壹』【實戰演練】Packet Tracer玩轉CCNA實驗07-配置鏈路捆綁

上次講到，使用STP生成樹協議進行了二層環路的阻斷，阻斷後上行鏈路就剩下一條了。那麼如果這條上行鏈路帶寬不銷舉夠，那麼則么辦呢？方法有兩個：

1、更換更高帶寬的埠對接，例如100Mbps的網口不夠就上1000Mbps的光口，還不夠就上10Gbps的光口，目前市面上已經有100Gbps的光介面了。

2、使用鏈路捆綁技術，將多條低帶寬的鏈路，捆綁成一條邏輯鏈路，進行帶寬疊加。

實驗1：設備成對配置Port-Channel

1.1網路拓撲

網路拓撲在上一篇的基礎上進行了一些調整，主要是對接的埠號修改了。

1.2配置命令

步驟1：先配置vlan、trunk、vtp

L3SW：

SW1與SW2：

步驟2：手工設置生成樹的優先順序，強制修改L3SW為根橋

SW2:

等待生成樹收斂，最後會發現L3SW上面有3個埠都被block掉了，剩下一個埠是通的。

步驟3：配置port-channel

為L3SW配置port-channel

為SW1配置port-channel

為SW2配置port-channel

生成樹自動計算重謹跡新收斂後，block掉了SW1上面的埠。系統將兩條捆綁的鏈路當作一條鏈路來看待（即不會只block兩條捆綁的鏈路中的一條的埠）。

查看port-channel狀態

實驗2：跨設備配置Port-Channel

上面的實驗，我們採用的是SW1與L3SW，SW2與L3SW成對的2台設備之間進行鏈路捆綁，但是我們想達交換機到上行鏈路，能夠兩條都利用起來。

那麼有沒有辦法進行跨3台設備的鏈路捆綁呢？然後將SW上行到L3SW1與L3SW2的兩條鏈路，聚合成為一條邏輯鏈路，那麼邏輯上就相當於1台L3SW與1台SW相連，所以兩條上行鏈路都能利用呢？

我們按照拓撲嘗試一下。

2.1網路拓撲

2.2配置命令

2.2.1預配置

L3SW1：

L3SW2：

SW：

STP會自動計算，將SW的其中一條上行鏈路阻斷。

我們修改SW的優先順序，讓兩條鏈路都方通。

2.2.2配置port-channel

L3SW1&L3SW2：

SW：

等待生成樹收斂完成，從圖祥斗並示看貌似是可以SW配置port-channel 1，然後L3SW1、L3SW2都配置port-channel 1，然後將兩條上行鏈路進行捆綁為一條的。

其實不是，只是示意圖看起來像而已，實際上port-channel是不能跨超過2台設備做的，只能做2台設備之間的鏈路捆綁。

為了測試，我們在3台交換機分別接入一台PC，都配置192.168.10.x/24的IP地址，然後在3台交換機上面都將介面access到vlan10。

我們查看一下生成樹的詳情，印證一下我們的想法。

可以看到其實L3SW1的fa0/24還是block掉了，所以SW跨L3SW1L3SW2的鏈路捆綁根本就沒有實際作用，最後生成樹還是生效了。

要做這種跨了設備的鏈路捆綁，要用vPC（vitual port-channel）跨機箱鏈路捆綁技術，這種就要用到Cisco Nexus 2K/5K/7K的設備了。這就超過CCNA與packet tracer的能力范圍了，這里就不多作介紹了。

『貳』什麼是CCNA

CCNA:全稱是Cisco Certified Network Associate。思科認證最基礎的一門。思科認證好比是金字塔，CCNA就是塔基，之後是ccnp，塔頂是CCIE。

CCNA CCNA：思科認證網路支持工程師(Cisco Certified Network Associate)
[編輯本段]CCNA認證培訓介紹
CCNA認證（CCNA－思科網路安裝和支持工程師）(Cisco Certified Network Associate)是整個Cisco認證體系中最初級的認證，同時它也是獲得CCNP認證、CCDP認證和CCSP認證的必要條件（CCIP認證、CCIE認證不強制要求），而且許多Cisco專業認證（Cisco Qualified Specialist）也要求考生首先得CCNA認證。
一、CCNA認證培訓
CCNA認證屬於Cisco售後工程師認證體系得入門認證，通過CCNA可以證明你已掌握網路的基本知識，並能初步安裝、配置和操作Cisco路由器、交換機及簡單的LAN和WAN。CCNA認證表示經過認證的人員具有為小型辦公室/庭辦公室（SOHO）市場聯網的基本技術和相關知識。通過CCNA認證的專業人員可以在小型網路（100或100以下個節點）中安裝、配置和運行LAN、WAN和撥號訪問業務。他們可以使用的協議包括（但不限於）IP、IGRP、OSPF、EIGRP、IPX、Serial、Apple、Talk、Frame Relay、IP RIP、VLAN RIP、Ethernet、Access Lists。
二、培訓技能
安裝、配置和操作簡單的路由區域網、路由廣域網，定義"簡單"網路的內容，如IP、IGRP、IPX、串列、Apple、Talk、幀中繼、IP RIP、IPX RIP、VLAN、乙太網和訪問到表等。
三、CCNA能夠根據培訓和現實世界的經驗提供解決方案：
1、安裝和/或配置一個網路；
2、通過利用訪問目錄過慮；
3、按需的帶寬（BOD）和按需撥號路由（DDR）等特性減少帶寬和降低廣域網成本的Internet訪問解決方案，優化廣域網。
4、通過集成撥號連接和傳統的遠程區域網到區域網訪問以及支持Internet電子商務和多媒體等新應用所需的最高水平的性能，提供遠程訪問。
四、獲得CCNA認證的先決條件
不需要考生持有任何證書即可報考CCNA，同時對考生的年齡、學歷、外語水平均沒有硬性規定，但需要2個有效證件如身份證和信用卡、駕駛鉛森旦證、學生證、護照等。
五、CCNA認證的考試
CCNA升級為640-802且Cisco推出新認證CENNT（2007年8月1日起實行）
新版CCNA考試640-802的簡介
考試編號：640-802
考試時間：110分鍾（英語國家為90分鍾）
考題數目：44-55題
及格分數：825
考試題型：模擬題；實驗題、拖拽題、選擇題
新版的認證內容包括：
WAN的連接；網路安全實施；網路類型；網路介質；路由和交換原理；TCP/IP和OSI參考模型等舊版CCNA網路基礎知識的內容，此外，還新增加了關於無線區域網的基礎知識。
除此之外，新版CCNA還可以通過以下兩春扮個途徑的任意一個來通過認證：
一、通過640-822 ICND1 （CCENT ）新課程和640-816 ICND2課程
二、直接通過640-802綜合認證課程
新版CCNA 640-802考試主要考點：
1.描述網路工作的原理
◆ 清楚主要網路設備的用途和功能
◆ 可以根據網路規格需求選擇組件
◆ 用OSI和TCP/IP模型以及相關的協議來解釋數據是如何在網路中傳輸的
◆ 描述常見的網路應用程序包括網頁應用程序
◆ 描述OSI和TCP模型下協議的用途和基本操作
◆ 描述基於網路的應用程序（IP音頻和IP視頻）的效果
◆ 解釋網路拓撲圖
◆ 決定跨越網路的兩個主機間的網路路徑
◆ 描述網路和互聯通信的結構
◆ 用分層模型的方法識別和改正位於1、2、3和七層的常見網路故障
◆ 區分廣域網和區域網的作用和特徵
2.配置、檢驗和檢修VLAN和處於交換通信環境的交換機
◆ 選擇適當的介質、線纜、埠和連接頭來連接交換機跟主槐擾機或者其他網路設備
◆ 解釋乙太網技術和介質訪問控制方法
◆ 解釋網路分段和基礎流量管理的概念
◆ 解釋基礎交換的概念和思科交換機的作用
◆ 完成並檢驗最初的交換配置任務包括遠程訪問控制
◆ 用基本的程序（包括：ping，traceroute，telnet.SSH，arp，ipconfig）和SHOW&DEBUG命令檢驗網路和交換機的工作狀態
◆ 識別、指定和解決常見交換網路的介質問題、配置問題、自動協商和交換硬體故障
◆ 描述高級的交換技術（包括：VTP，RSTP，VLAN，PVSTP，802.1q）
◆ 描述VLANs如何創建邏輯隔離網路和它們之間需要路由的必要性
◆ 配置、檢驗和檢修VLANs
◆ 配置、檢驗和檢修思科交換機的trunking
◆ 配置、檢驗和檢修VLAN間路由
◆ 配置、檢驗和檢修VTP
◆ 配置、檢驗和檢修RSTP功能
◆ 通過解釋各種情況下SHOW和DEBUG命令的輸出來確定思科交換網路的工作狀態
◆ 實施基本的交換機安全策略（包括：埠安全、聚合訪問、除VLAN1之外的其他VLAN的管理等等）
3.在中等規模的公司分支辦公室網路中實現滿足網路需求的IP地址規劃及IP服務
◆ 描述使用私有IP和公有IP的作用和好處
◆ 解釋DHCP和DNS的作用和優點
◆ 在路由器上配置、檢驗和排錯DHCP和DNS操作（包括命令行方式和SDM方式）
◆ 為區域網環境的主機實施靜態和動態IP地址服務
◆ 在支持VLSM（變長子網掩碼）的網路中計算並應用IP地址規劃
◆ 使用VLSM和地址匯總決定合適的無類地址規劃，以滿足不同區域網/廣域網的地址規劃要求
◆ 描述在與IPv4網路共存情況下實施IPv6的技術要求（包括協議放式，雙棧方式，隧道方式）
◆ 描述IPv6地址
◆ 鑒定並糾正普通的IP地址和主機配置問題
4.基本的路由器操作和思科設備路由的配置，檢查和排錯
◆ 描述路由的基本改概念（包括IP數據包轉發，路由查詢）
◆ 描述思科路由器的運作過程（包括路由器初起過程，POST加電自檢，路由器的物理組成）
◆ 選擇適當的介質、線纜、埠和連接器將路由器連接到其他的網路設備和主機
◆ RIPv2的配置，檢查和排錯
◆ 訪問路由器並配置基本的參數（包括命令行方式和SDM方式）
◆ 連接，配置並檢查設備介面的工作狀態
◆ 檢查設備的配置並使用ping，traceroute，telnet，SSH等命令檢驗網路連接性
◆ 在給定的路由需求下實施並檢驗靜態路由和默認路由的配置
◆ 管理IOS配置文件（包括保存，修改，更新和恢復）
◆ 管理思科IOS
◆ 比較不同的路由實現方法和路由協議
◆ OSPF配置，檢查和排錯
◆ EIGRP配置，檢查和排錯
◆ 檢查網路連接性（包括使用ping，traceroute，telnet，SSH等命令）
◆ 路由故障排錯
◆ 使用show和debug命令檢查路由器的硬體及軟體運作狀態
◆ 實施靜態路由器安全
5.解釋並選擇適當的可管理無線區域網（WLAN）任務
◆ 描述跟無線有關的標准（包括IEEE，WIFI聯盟，ITU/FCC）
◆ 識別和描述小型無限網路組成結構的用途（包括：SSID，BSS，ESS）
◆ 確定無線網路設備的基本配置以保證它連接到正確的介入點
◆ 比較不同無線安全協議的特性及性能（包括：開放，WPA，WEP-1/2）
◆ 認識在無線區域網實施過程中的常見問題（包括介面，配置錯誤）
6.識別網路安全威脅和描述減輕這些威脅的一般方法
◆ 描述當前的網路安全威脅並解釋實施全面的安全策略以降低安全威脅的必要性
◆ 解釋降低網路設備、主機和應用所遭受安全威脅的一般方法
◆ 描述安全設備和應用軟體的功能
◆ 描述安全操作規程建議（包括網路設備的的初起安全配置）
7.在中小型企業分支辦公網路中實施、檢驗和檢修NAT和ACLs
◆ 描述ACLs的作用和類型
◆ 配置和應用基於網路過濾要求的ALCs（包括命令行方式和SDM方式）
◆ 配置和應用ALCs以限制對路由器的telnet和SSH訪問（包括命令行方式和SDM方式）
◆ 檢查和監控網路環境中的ACLs
◆ ACL排錯
◆ 描述NAT基本運作原理
◆ 配置基於給定網路需求的NAT（包括命令行方式和SDM方式）
◆ NAT排錯
8.實施和校驗WAN連接
◆ 描述連接到廣域網的不同方式
◆ 配置並檢查基本的廣域網串列鏈接
◆ 在思科路由器上配置並檢查幀中繼
◆ 廣域網實施故障排錯
◆ 描述VPN（虛擬專用網）技術（包括重要性，優點，影響，組成）
◆ 在思科路由器間配置並檢查PPP鏈接
或者通過640-822 ICND1 （CCENT 新課程）和640-816 ICND2
六、CCNA認證的有效期
CCNA證書的有效期為三年，如想持續有效，需要在過期前參加重認證（Recertification）的考試，如果你再三年年內考取了更高級別的Cisco認證，則CCNA認證的有效期自動更新。
七、CCNA的再認證考試 (可以完成一科NP的科目）
有效期滿之前必須參加642－825的考試，或者參加任何一個CCNP、CCIP、CCSP的考試，再或者參加Cisco專業認證（Cisco Qualified Specialist）中任何一顆前綴為642－XXX的考試。或參加646-XXX一些科目。也可以參加CCNA安全，CCNA VOICE或CCDA的科目。
CCNA培訓目標
學完此課程後，學員將達到如下目標：
使用可用的配置工具完成設備初始化配置；
根據新需求，能夠通過增刪改等方式實現新功能；
使用命令行界面確定網路性能和狀態；
根據給定的需求，實現接入層交換機配置；
使用命令行，實現VLAN、VTP、IEEEE802.1Q、ISL配置；
敘述靜態和動態路由協議（RIP、OSPF、IGRP、EIGRP）的功能和操作；
使用SHOW、DEBUG命令確定路由協議的異常；
能夠配置標准和擴展的訪問列表；
[1][2][3]使用命令行介面配置串列介面（PPP、HDLC、RS-232）。

CCNA認證的組成部分

CCNA內容涉及三大方面
1.區域網部分：網路互聯基礎知識和網路參考模型，思科路由器和交換機介紹，靜態和動態路由協議（包括RIP、EIGRP、OSPF）原理及配置，VLAN和VLAN間路由的實現，CDP、VTP和STP協議的使用，無線網路互聯和IPv6等。
2.廣域網部分：廣域網接入技術，PPP和幀中繼的使用，DHCP和NAT等。
3.網路安全部分：網路安全介紹，訪問控制列表的使用和安全遠程辦公的實現等。

通過CCNA認證的價值

網路系統工程師認證培訓結束後，便於進入知名的外企擔任系統工程師，CCNA認證當作求職背景，不但找工作的門檻降低了，工作機會也跟著增加，而且實質薪資方面也有較滿意調整。同時，經過考試認證前的專業技能的培訓，能更徹底了解了Cisco的技術新知，具備Cisco網路基礎設備的使用與維護能力。

MCSE與CCNA比較

雖然MCSE和CCNA是兩個方向的認證，沒有直接的可比較性，兩者更多的是知識的互補性，但是應該將兩者之間的問題整理歸納一下。
1.從基礎要求來看：CCNA學習時間短
就一般人而言，CCNA涉及了基礎的網路知識和設備，還需要CISCO設備的支持，學習周期大約在1-3個月左右
MCSE日常應用多易上手，而且單機就可以實現其大部分認證考試要求，7門科目的學習周期至少為3-6個月左右。
2.從學習成本來看：CCNA成本低
CCNA只涉及1門考試，考試費用在2250元，如果自學的話，再加上書本教材資料費用不會超過2500元；
而MCSE則有7門考試，光考試費用就為450×7＝3150元。
3.從就業方向來看：CCNA專業性強
CCNA就業方向有系統集成、網路調試安裝維護等。
MCSE適宜職位有系統管理員、網路管理員等。
4.從工作內容來看：CCNA要求動手能力
CCNA則是簡單的CISCO設備調試和基礎的網路知識；
MCSE是面向Windows環境下的網路、系統的管理、配置、維護。
[編輯本段][1]通過CCNA認證必須掌握
Cisco網路基礎及常用的網路協議
Cisco路由器的基本連接及基本組成
Cisco的常用配置及介面的設置
靜態路由的學習及實例配置
動態路由的實現及實例配置
ISDN的配置及使用
交換機的認識及系統配置
虛擬區域網的組建及路由交換的綜合使用
虛擬網路的建設和綜合利用

『叄』 cisco 配置命令

思科CCNA實驗常用的命令
路由器實驗：

router>
enable從用戶模式進入特權模式

router#
disable
or
exit
從特權模式退出到用戶模式

router#
show
sessions
查看本機上的TELNET會話

router#
disconnect關閉所有的TELNET會話

router#
show
users查看本機上的用戶

router#
erase
startup-config刪除NVRAM中的配置

router#
reload重啟路由器

router#
config
terminal
從用戶模式進入特權模式

router(config)#
hostname
rl
配置用戶名為rl

router(config)#
#banner
welcome#
配置開機話語

router#
show
controllers
serial0查看串口0的物理層信息（主要是查看DTE/DCE）

router#
show
ip
interface
查看埠的IP配置信息

router#
show
hosts查看主機表

end
or
ctrl+z
從各種配置模式退到特權模式

rl(config)#
no
ip
domain-lookup關閉動態域名解析

rl(config)#
ip
domain-lookup打開動態域名解析

rl(config)#
ip
name-server
202.106.0.20打開動態域名解析之後便可以指定DNS服務

rl(config)#
interface
serial
0進入serial
0的介面配置模式

rl(config-if)#
no
shutdown路由器出廠默認所有埠關閉，使用此命令使它們打開

rl(config-if)#
encapsulation
ppp
封裝ppp

rl(config-if)#
clockrate
64000
如果是DCE使需要設置時鍾速率，如果是DTE使不必
設置

rl(config-if)#
bandwidth
64
設置埠帶寬為64K

rl(config-if)#
ctrl+c
或者ctrl+z快捷鍵退出到特權模式

rl#
show
interface
serial
0查看s0信息，如果看到serial和
line
protocol都顯

示up，說明鏈路兩端都設置成功

注意：如果出現serial
down,
line
down
可能對方的埠沒有打no
shutdown或者電纜沒有插好；如果出現serial
up,
line
down
可能是DCE端沒有設置clock
rate,
也可能是封裝格式不對

rl#
show
cdp
neighbors查看CDP鄰居信息

rl#
show
cdp
entry
*

rl(config-if)#
ip
add
10.0.0.1
255.0.0.0進入相應的介面，配置相應的IP地址
rl#
ping
10.0.0.2
使用ping命令查看鄰居的連通性

rl#
show
ip
route查看路由表，可以看到以C打頭的路由
信息,這是直連的路由信息；
可以看到
R開頭的路由信息，是從rip學來的路由
信息；可看到以
I開頭的路由信息取代
了以R開頭的路由信息，這是因為igrp
的管
理距離是100，小於rip的120

rl(config-if)#
router
rip
啟動RIP路由協議

rl(config-router)#
network
10.0.0.0發布網段（注意network後面是接的網路號而
不是IP地址）

rl#
show
ip
protocol查看配置的路由協議

rl(config)#
router
igrp
300一定要注意在IGRP後面加自治系統號,考試的時候題目
會告訴你AS
NUMBER，
照敲就是

rl(config-router)#
network
10.0.0.0

rl(config)#
line
vty0
4進入虛擬線程配置模式，在此模式可對telnet功能進行配置

rl(config-line)#
login

rl(config-line)#
password
cisco配置telnet密碼，默認的網路設備
telnet的
功能
是關閉的，配了密碼之後會自動打開

rl(config)#
enable
password
cisco配置進入enable模式的密碼，區分大小寫

rl(config)#
enable
secret
ciscocisco配置進入enable模式的密碼，是加密的密碼，
show
run是看不見的

rl(config)#
line
console
0

rl(config-line)#
login

rl(config-line)#
password
cisco
配置進入用戶模式的密碼

rl(config-line)#
logging
synchronous
輸入同步

rl(config-line)#
exec-timeout
0
0禁止因為一段時間沒有輸入而跳出

rl#

running-config
startup-config
保存配置，考試的時候注意題目的要求，
如果題目里要求你保存配置就一定不能少
了這一項

r1#

tftp
startup-config

r1#

running-config
tftp

r1#

tftp
flash

『肆』 [CCNA圖文筆記]-9-靜態路由與默認路由

0×1.交換機互連與路由器互連的區別
a.交換機互連網路
交換機工作在OSI參考模型的第二層，完成數據幀（Frame）的轉發，幀中的地址為MAC地址，交換機可以將多個相同類型的網路（擁有相似的幀結構）互連起來，但是對於幀結構不同的網路無能為力。
交換機存在以下幾點不足：
1）廣播風暴。當網路的規模較大時，可能引起廣播風暴，網路中廣播信息量巨大，導致網路擁塞，或癱瘓；2）不同網段互連。普通的二層交換機無法滿足不同網段間的通信；3）網路安全。無法進行不同網段間互相通信，就意味著，需要通信時，要將不同網段合並成一個，這增加了安全風險；
b.路由器互連網路
路由器工作在OSI參考模型的第三層網路層，利用網路層定義的"邏輯地址"（IP地址）來區別不同網路，它不轉發廣播消息，並將廣播消息限制在每個網路內部；發往其他網段的數據根據路由表轉發。
目前在Internet網路中採用子網掩碼來確定IP地址中的網路號和主機號；並規定，子網掩碼（二進制形式）中數字"1"對應的IP地址中的部分為網路號，子網掩碼中數字"0"所對應的IP地址中的部分為主機號，相同網路號的主機可以直接通信，不同網路號的主機需要通過網路中某個路由（網關）使他們能夠通信。
路由上不同埠對應不同IP子網，不同埠的網路號必須不同。
0×2.路由原理
路由器的工作就是接收信息分組，根據路由表將分組發送出去，這是路由器的兩個基本功能，定址和轉發。
路由器也被稱作轉存設備，因為它在內存中儲存接收到的信息分組，直到它被傳送出去；路由的轉發是基於目標的網路地址的，而不是目標的IP地址。
當一台主機將信息發送給處於同一子網的另外一台主機時（它們也許是連接在同一台交換機上），不需要經過路由器，只需要交換機中轉數據；但是，如果這台主機想要給不同子網的一台主機發信息，就必須通過路由器中轉數據，而一般主機商都配置有默認網關（default gateway），這個默認網關就是出口路由連接這個網段的介面的IP地址。
下圖是Windows系統配置了默認網關(192.168.1.1)後的路由表：

Ps：在這里不得不說一下，Windows系統根據自身路由表轉發數據，如果存在一個惡意進程，直接使用下面的命令刪除了默認路由，效果就是發往其他網段的數據全部丟棄，也就是上不了網了；
1

/ 執行後查看
route
print可以看到默認路由消失了，並且在本地網卡裡面的默認路由設置也被清空了 /

2

C:\Users\Administrator>
route
delete 0.0.0.0

3

操作完成!

不僅僅操作系統中存在默認路由這個概念，路由器本身也有默認路由，路由器將不知道往哪發的IP分組發給默認路由。
0×3.路由協議
路由協議分類如下圖所示：

註：EIGRP是一個高級距離矢量協議，同時具有距離矢量和鏈路狀態路由協議的特徵，Cisco私有協議之一。
下面通過一個實例來演示直連路由協議、靜態路由協議以及默認路由，實驗在GNS3中進行，使用的路由IOS為c3640，設備連接以及IP分配如下圖所示，R1、R2、R3互相連接，他們上面分別開啟了一個回環介面，注意R1和R3之間使用了乙太網介面：

Router>
en

2

Router#
conf
t

3

Router(config)#
host
R1 / 請根據不同路由設置名稱 /

4

/ 關閉CDP協議，不然R1和R3的乙太網介面會一直出現雙工不匹配的提示，以後的實驗，只要涉及到乙太網介面，就關閉CDP /

5

R1(config)#
no
cdp
run

6

R1(config)#line co 0

7

R1(config-line)#
logg
syn

8

R1(config-line)#
exec-t
0 0

9

R1(config-line)#
exit

R1配置:
01

R1(config)#
int
s 0/0

02

R1(config-if)#
ip
add
12.1.1.1 255.255.255.0

03

R1(config-if)#
no
shut

04

R1(config-if)#
int
fa 1/0

05

R1(config-if)#
ip
add
13.1.1.1 255.255.255.0

06

R1(config-if)#
no
shut

07

R1(config-if)#
int
lo
0

08

R1(config-if)#
ip
add
1.1.1.1 255.255.255.0

09

R1(config-if)#
no
shut

10

/ 配置了一個沒有連線的介面，並且開啟它，後面會講到 /

11

R1(config-if)#
int
s0/3

12

R1(config-if)#
ip
add
8.8.8.8 255.255.255.0

13

R1(config-if)#
no
shut

14

R1(config-if)#
end

15

R1#

R2配置:
01

R2(config)#
int
s 0/1

02

R2(config-if)#
ip
add
12.1.1.2 255.255.255.0

03

R2(config-if)#
no
shut

04

R2(config-if)#
int
s 0/0

05

R2(config-if)#
ip
add
23.1.1.2 255.255.255.0

06

R2(config-if)#
no
shut

07

R2(config-if)#
int
lo
0

08

R2(config-if)#
ip
add
2.2.2.2 255.255.255.0

09

R2(config-if)#
no
shut

10

R2(config-if)#
end

11

R2#

R3配置:
01

R3(config)#
int
s 0/1

02

R3(config-if)#
ip
add
23.1.1.3 255.255.255.0

03

R3(config-if)#
no
shut

04

R3(config-if)#
int
fa 1/0

05

R3(config-if)#
ip
add
13.1.1.3 255.255.255.0

06

R3(config-if)#
no
shut

07

R3(config-if)#
int
lo
0

08

R3(config-if)#
ip
add
3.3.3.3 255.255.255.0

09

R3(config-if)#
no
shut

10

R3(config-if)#
end

11

R3#

配置完成後，在R1上查看當前路由表：
01

R1#
show
ip
route

02

03

1.0.0.0/24 is subnetted, 1 subnets

04

C 1.1.1.0 is directly connected, Loopback0

05

12.0.0.0/24 is subnetted, 1 subnets

06

C 12.1.1.0 is directly connected, Serial0/0

07

13.0.0.0/24 is subnetted, 1 subnets

08

C 13.1.1.0 is directly connected, FastEthernet1/0

09

10

/*

11

12

13

14

15

16

17

*/

下面是R2和R3的路由表：
01

/ 顯示R2路由表 /

02

R2#
show
ip
route

03

04

2.0.0.0/24 is subnetted, 1 subnets

05

C 2.2.2.0 is directly connected, Loopback0

06

23.0.0.0/24 is subnetted, 1 subnets

07

C 23.1.1.0 is directly connected, Serial0/0

08

12.0.0.0/24 is subnetted, 1 subnets

09

C 12.1.1.0 is directly connected, Serial0/1

10

11

/ 顯示R3路由表 /

12

R3#
show
ip
route

13

14

3.0.0.0/24 is subnetted, 1 subnets

15

C 3.3.3.0 is directly connected, Loopback0

16

23.0.0.0/24 is subnetted, 1 subnets

17

C 23.1.1.0 is directly connected, Serial0/1

18

13.0.0.0/24 is subnetted, 1 subnets

19

C 13.1.1.0 is directly connected, FastEthernet1/0

測試網路連通性：
01

/ 在R1上測試Ping所有直連路由介面，全部成功 /

02

R1#
ping
12.1.1.2

03

!!!!! / 成功 /

04

05

R1#
ping
13.1.1.3

06

.!!!! / 成功 /

07

08

/ 但是
ping
非直連的介面IP，失敗 /

09

R1#
ping
2.2.2.2

10

..... / 失敗 /

11

12

/ 在R1、R2、R3上均可以
ping
通直連介面，但是非直連介面全部
ping
失敗 /

為什麼所有直連能夠ping通，但是非直連IP全部ping失敗呢？這要從路由器中數據的流動來分析，當路由器從區域網中收到一個幀時，在進入RAM之前，首先檢查它的二層幀頭，如果是發往本路由，則去掉二層幀頭；在RAM里，路由檢測第三層報頭信息，同時搜索路由表匹配包頭信息中的地址應該怎麼轉發。
當R1上ping 12.1.1.2時，R1檢查自己的路由表，發現有一條匹配的直連路由告訴它，應該將數據從s0/0發出(12.1.1.0 is directly connected, Serial0/0)，R1和R2之間是串列點對點線路，R2收到這個ping（Echo request）包後，知道是12.1.1.1發來的，同時查詢自己的路由表，也找到了直連的路由條目，所以它將ping的應答包從自己的s0/1介面發回去，這樣R1 ping R2成功。
而當R1 ping 2.2.2.2時，R1查詢自己的路由表，發現裡面根本沒有去往2.2.2.2的路由條目，所以R1丟棄ping包，ping失敗。
b.靜態路由
可以通過手動添加靜態路由的方法讓R1、R2、R3相互之間能夠ping通非直連網段；分別在R1、R2、R3上添加下面的靜態路由條目：
01

/*

02

03

ip
route
目標網路子網掩碼下一跳路由器直連介面IP或本路由外出介面 administrative_distance permanent

04

05

06

07

*/

08

09

/ 第一種方法，使用下一跳路由直連介面IP作為靜態路由目的地址 /

10

11

/*

12

13

14

15

16

*/

17

R1(config)#
ip
route
2.2.2.0 255.255.255.0 12.1.1.2

18

R1(config)#
ip
route
3.3.3.0 255.255.255.0 13.1.1.3

19

R1(config)#
ip
route
23.1.1.0 255.255.255.0 13.1.1.3

20

21

/ R2配置靜態路由 /

22

R2(config)#
ip
route
1.1.1.0 255.255.255.0 12.1.1.1

23

R2(config)#
ip
route
13.1.1.0 255.255.255.0 12.1.1.1

24

R2(config)#
ip
route
3.3.3.0 255.255.255.0 23.1.1.3

25

26

/ R3配置靜態路由 /

27

R3(config)#
ip
route
1.1.1.0 255.255.255.0 13.1.1.1

28

R3(config)#
ip
route
12.1.1.0 255.255.255.0 13.1.1.1

29

R3(config)#
ip
route
2.2.2.0 255.255.255.0 23.1.1.2

30

31

/ 這樣配置完後，任何一台路由上都能
ping
通網路中的任意埠IP /

32

33

/ 第二種方法，使用本地路由外出介面 /

34

R1(config)#
ip
route
2.2.2.0 255.255.255.0 s0/0

35

R1(config)#
ip
route
3.3.3.0 255.255.255.0 fa1/0

36

R1(config)#
ip
route
23.1.1.0 255.255.255.0 fa1/0

37

38

R2(config)#
ip
route
1.1.1.0 255.255.255.0 s0/1

39

R2(config)#
ip
route
13.1.1.0 255.255.255.0 s0/1

40

R2(config)#
ip
route
3.3.3.0 255.255.255.0 s0/0

41

42

R3(config)#
ip
route
1.1.1.0 255.255.255.0 fa1/0

43

R3(config)#
ip
route
12.1.1.0 255.255.255.0 fa1/0

44

R3(config)#
ip
route
2.2.2.0 255.255.255.0 s0/1

45

46

/ 這樣配置後全網也能互相通信，只是稍微有一點不一樣，R1和R3是使用乙太網埠相連的，乙太網不同於點對點埠，乙太網的封裝是需要MAC地址的，在通信前需要先ARP獲取目的MAC地址才能封裝幀，下面解釋乙太網使用外出介面會遇到什麼問題 /

/ 可以使用
no
ip
route
刪除已經存在的靜態路由，然後重新配置使用外出介面的靜態路由 /

02

R1#
conf
t

03

R1(config)#
no
ip
route
3.3.3.0 255.255.255.0

04

R1(config)#
no
ip
route
23.1.1.0 255.255.255.0

05

R1(config)#
ip
route
3.3.3.0 255.255.255.0 fa1/0

06

R1(config)#
ip
route
23.1.1.0 255.255.255.0 fa 1/0

07

R1(config)#
end

08

09

/ 現在R1的路由表中去往R3的3.3.3.0/24以及23.1.1.0/24都是直接指定的R1自己的外出介面 /

10

R1#
show
ip
route

11

12

1.0.0.0/24 is subnetted, 1 subnets

13

C 1.1.1.0 is directly connected, Loopback0

14

2.0.0.0/24 is subnetted, 1 subnets

15

S 2.2.2.0 [1/0] via 12.1.1.2

16

3.0.0.0/24 is subnetted, 1 subnets

17

S 3.3.3.0 is directly connected, FastEthernet1/0

18

23.0.0.0/24 is subnetted, 1 subnets

19

S 23.1.1.0 is directly connected, FastEthernet1/0

20

12.0.0.0/24 is subnetted, 1 subnets

21

C 12.1.1.0 is directly connected, Serial0/0

22

13.0.0.0/24 is subnetted, 1 subnets

23

C 13.1.1.0 is directly connected, FastEthernet1/0

24

25

/ 在使用外出介面添加靜態路由條目後，使用R1分別
ping
一下R3全部介面以及R2和R3直連的串口，之後，R1的ARP緩存如下 /

26

R1#
show
arp

27

Protocol Address Age (min) Hardware Addr Type Interface

28

Internet 3.3.3.3 0 cc02.0ab4.0010 ARPA FastEthernet1/0

29

Internet 13.1.1.1 - cc00.0ab4.0010 ARPA FastEthernet1/0

30

Internet 13.1.1.3 83 cc02.0ab4.0010 ARPA FastEthernet1/0

31

Internet 23.1.1.3 0 cc02.0ab4.0010 ARPA FastEthernet1/0

32

Internet 23.1.1.2 0 cc02.0ab4.0010 ARPA FastEthernet1/0

33

34

/ 關閉R3 fa1/0介面的ARP代理功能 /

35

R3(config)#
int
fa 1/0

36

R3(config-if)#
no
ip
proxy-arp

37

38

/ 清空R1 ARP緩存 /

39

R1#clear arp

40

41

/ 此時再去
ping
3.3.3.3以及任何23.1.1.0/24網段IP，都
ping
不通了，原因上面已經分析過了 /

c.靜態路由總匯
在R2上面有三個回環介面，IP如下圖所示，如果使用靜態路由配置，在R1上需要設置三條靜態路由分別指向這三個回環介面，但為了減小路由表大小，可以使用一條路由匯總來代替：

1

/ 不使用匯總，需要在R1上添加三條靜態路由 /

2

R1(config)#
ip
route
192.168.1.0 255.255.255.0 12.1.1.2

3

R1(config)#
ip
route
192.168.2.0 255.255.255.0 12.1.1.2

4

R1(config)#
ip
route
192.168.3.0 255.255.255.0 12.1.1.2

5

6

/ 使用靜態路由匯總，只需要一條靜態路由 /

7

R1(config)#
ip
route
192.168.0.0 255.255.252.0 12.1.1.2

關於路由匯總的基礎知識在[ [CCNA圖文筆記]-4-IP地址詳解 ]第二節實例四中已經介紹過，這里不再贅述。
d.默認路由
使用no ip route命令刪除R1、R2、R3上面的所有靜態路由條目，使用默認路由代替它們：
01

/ R1 刪除靜態路由，使用默認路由，所有未知數據包發往12.1.1.2 /

02

R1(config)#
no
ip
route
2.2.2.0 255.255.255.0

03

R1(config)#
no
ip
route
3.3.3.0 255.255.255.0

04

R1(config)#
no
ip
route
23.1.1.0 255.255.255.0

05

R1(config)#
ip
route
0.0.0.0 0.0.0.0 12.1.1.2

06

07

/ R2 所有未知數據包發往23.1.1.3 /

08

R2(config)#
no
ip
route
1.1.1.0 255.255.255.0 12.1.1.1

09

R2(config)#
no
ip
route
3.3.3.0 255.255.255.0 23.1.1.3

10

R2(config)#
no
ip
route
13.1.1.0 255.255.255.0 23.1.1.3

11

R2(config)#
ip
route
0.0.0.0 0.0.0.0 23.1.1.3

12

13

/ R3 所有未知數據包發往13.1.1.1 /

14

R3(config)#
no
ip
route
1.1.1.0 255.255.255.0 13.1.1.1

15

R3(config)#
no
ip
route
2.2.2.0 255.255.255.0 23.1.1.2

16

R3(config)#
no
ip
route
12.1.1.0 255.255.255.0 12.1.1.1

17

R3(config)#
ip
route
0.0.0.0 0.0.0.0 13.1.1.1

18

19

/*

20

21

22

23

24

*/

25

26

/*

27

28

29

30

31

32

33

*/

34

R1#traceroute 6.6.6.6

35

1 12.1.1.2 72 msec 104 msec 32 msec

36

2 23.1.1.3 76 msec 92 msec 68 msec

37

3 13.1.1.1 72 msec 72 msec 80 msec

38

4 12.1.1.2 92 msec 128 msec 88 msec

39

5 23.1.1.3 112 msec 212 msec 80 msec

40

........

41

30 13.1.1.1 73 msec 71 msec 112 msec

下面用高級ping命令來看看數據是走的什麼路徑達到的目的地：
01

/ 下面沒有輸入值的全部默認回車 /

02

R1#
ping

03

/ 使用默認IP協議，直接回車 /

04

Protocol [
ip
]:

05

/ 目的IP是R3上的回環介面 /

06

Target IP
address
: 3.3.3.3

07

Repeat count [5]: 1 /*
ping
一次*/

08

Datagram size [100]:

09

Timeout in seconds [2]:

10

Extended commands [n]: y

11

/*用本地的1.1.1.1介面去
ping
*/

12

Source
address
or
interface
: 1.1.1.1

13

Type of service [0]:

14

Set DF bit in IP header? [
no
]:

15

Validate reply data? [
no
]:

16

Data pattern [0xABCD]:

17

/ 記錄每一台設備發起的IP地址，輸入r，後面全部默認回車 /

18

Loose, Strict, Record, Timestamp, Verbose[none]: r

19

Number of hops [ 9 ]:

20

Loose, Strict, Record, Timestamp, Verbose[RV]:

21

Sweep range of sizes [n]:

22

23

Reply to request 0 (56 ms). Received packet has options

24

Total option bytes= 40, padded length=40

25

Record
route
:

26

(12.1.1.1) / 數據首先從本地s0/0發出 /

27

(23.1.1.2) / 再從R2的s0/1發出 /

28

(3.3.3.3) / 到達R3的回環介面 /

29

(13.1.1.3) / R3再從fa1/0發回 /

30

(1.1.1.1) < > / 回到R1*/

31

(0.0.0.0)

32

(0.0.0.0)

33

(0.0.0.0)

34

(0.0.0.0)

35

End of list

Ps：不知道大家發現了沒有traceroute命令記錄的是數據流動方向，接收設備接收這個數據時的接收介面IP；而ping命令記錄的是數據流動方向上，發送設備發送這個數據時的發送介面IP。

『伍』 CCNA考點精析——訪問控制列表

訪問控制列表使用目的：

1、限制網路流量、提高網路性能。例如隊列技術，不僅限制了網路流量，而且減少了擁塞

2、提供對通信流量的控制手段。例如可以用其控制通過某台路由器的某個網路的流量

3、提供了網路訪問的一種基本安全手段。例如在公司中，允許財務部的員工計算機可以訪問財務伺服器而拒絕其他部門訪問財務伺服器

4、在路由器介面上，決定某些流量允許或拒絕被轉發。例如，可以允許FTP的通信流量，而拒絕TELNET的通信流量。

工作原理：

ACL中規定了兩種操作，所有的應用都是圍繞這兩種操作來完成的：允許、拒絕

注意：ACL是CISCO IOS中的一段程序，對於管理員輸入的指令，有其自己的執行順序，它執行指令的順序是從上至下，一行行的執行，尋找匹配，一旦匹配則停止繼續查找，如果到末尾還未找到匹配項，則執行一段隱含代碼——丟棄DENY.所以在寫ACL時，一孫檔定要注意先後順序。

例如：要拒絕來自172.16.1.0/24的流量，把ACL寫成如下形式

允許172.16.0.0/18

拒絕172.16.1.0/24

允許192.168.1.1/24

拒絕172.16.3.0/24

那麼結果將於預期背道而馳，把表一和表二調換過來之後，再看一下有沒有問題：

拒絕172.16.1.0/24

允許172.16.0.0/18

允許192.168.1.1/24

拒絕172.16.3.0/24

發現172.16.3.0/24和剛才的情況一樣，這個表項並未起到作用，因為執行到表二就發現匹配，於是路由器將會允許，和我們的需求完全相反，那麼還需要把表項四的位置移到前面

最後變成這樣：

拒絕172.16.1.0/24

拒絕172.16.3.0/24

允許172.16.0.0/18

允許192.168.1.1/24

可以發現，在ACL的配置中的一個規律：越精確的表項越靠前，而越籠統的表項越靠後放置
ACL是一組判斷語句的集合，它主要用於對如下數據進行控制：

1、入站數據；

2、出站數據；

3、被路由器中繼的數據

工作過程

1、無論在路由器上有無ACL，接到數據包的處理方法都是一樣的：當數據進入某個入站口時，路由器首先對其進行檢查，看其是否可路由，如果不可路由那麼就丟棄，反之通過查路由選擇表發現該路由的詳細信息——包括AD，METRIC……及對應的出介面；

2、這時，我們假定該數據是可路由的，並且已經順利完成了第一步，找出了要將其送出站的介面，此時路由器檢查該出站口有沒有被編入ACL，如果沒有ACL 的話，則直接從該口送出。如果該介面編入了ACL，那塵穗么就比較麻煩。第一種情況——路由器將按照從上到下的順序依次把該數據和ACL進行匹配，從上往下，逐條執行，當發現其中某條ACL匹配，則根據該ACL指定的操作對數據進行相應處理派凱卜（允許或拒絕），並停止繼續查詢匹配；當查到ACL的最末尾，依然未找到匹配，則調用ACL最末尾的一條隱含語句deny any來將該數據包丟棄。

對於ACL，從工作原理上來看，可以分成兩種類型：

1、入站ACL

2、出站ACL

上面的工作過程的解釋是針對出站ACL的。它是在數據包進入路由器，並進行了路由選擇找到了出介面後進行的匹配操作；而入站ACL是指當數據剛進入路由器介面時進行的匹配操作，減少了查表過程

並不能說入站表省略了路由過程就認為它較之出站表更好，依照實際情況而定：

如圖所示，採用基本的ACL——針對源的訪問控制

要求如下：

1、拒絕1.1.1.2訪問3.1.1.2但允許訪問5.1.1.2

2、拒絕3.1.1.2訪問1.1.1.2但允許訪問5.1.1.2

採用基本的ACL來對其進行控制

R1(config)#access-list 1 deny 1.1.1.2 0.0.0.255
R1(config)#access-list 1 permit any
R1(config)#int e0
R1(config-if)#access-group 1 in
R2(config)#access-list 1 deny 3.1.1.2 0.0.0.255
R2(config)#access-list 1 permit any
R2(config)#int e0
R2(config-if)#access-group 1 in

從命令上來看，配置似乎可以滿足條件。
假定從1.1.1.2有數據包要發往3.1.1.2，進入路由器介面E0後，這里採用的是入站表，則不需查找路由表，直接匹配ACL，發現有語句 access-list 1 deny 1.1.1.2 0.0.0.255拒絕該數據包，丟棄；假定從3.1.1.2有數據包要發往1.1.1.2，同上。

當1.1.1.2要和5.1.1.2通信，數據包同樣會被拒絕掉

當3.1.1.2要和5.1.1.2通信，數據包也會被拒絕掉

該ACL只能針對源進行控制，所以無論目的是何處，只要滿足源的匹配，則執行操作。

如何解決此問題？

1、把源放到離目標最近的地方，使用出站控制；

2、使ACL可以針對目的地址進行控制。

第一項很好理解，因為標準的ACL只能針對源進行控制，如果把它放在離源最近的地方，那麼就會造成不必要的數據包丟失的情況，一般將標准ACL放在離目標最近的位置！

第二種辦法，要針對目標地址進行控制。因為標准ACL只針對源，所以，這里不能採用標准ACL，而要採用擴展ACL.但是它也有它的劣勢，對數據的查找項目多，雖然控制很精確，但是速度卻相對慢些。

簡單比較以下標准和擴展ACL

標准ACL僅僅只針對源進行控制

擴展ACL可以針對某種協議、源、目標、埠號來進行控制

從命令行就可看出

標准：

Router（config）#access-list list-number

擴展：

Router（config）#access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]

Protocol—用來指定協議類型，如IP、TCP、UDP、ICMP以及IGRP等

Source and destination—源和目的，分別用來標示源地址及目的地址

Source-mask and destination-mask—源和目的的通配符掩碼

Operator operand—It，gt，eq，neq（分別是小於、大於、等於、不等於）和一個埠號

Established—如果數據包使用一個已建連接（例如，具有ACK位組），就允許TCP信息通過

為了避免過多的查表，所以擴展ACL一般放置在離源最近的地方
看完上面的內容後，那麼大家可以看以下幾道關於CISCO訪問控制列表的例題：

1、What are two reasons that a network administrator would use access lists？（Choose two.）

A：to control vty access into a router

B：to control broadcast traffic through a router

C：to filter traffic as it passes through a router

D：to filter traffic that originates from the router

E：to replace passwords as a line of defense against security incursions

Answers： A， C

註：該題主要考察CISCO考生對ACL作用的理解：網路管理員在網路中使用ACL的兩個理由？

A選項指出了CISCO 訪問列表的一個用法：通過VTY線路來訪問路由器的訪問控制；

ACL不能對穿越路由器的廣播流量作出有效控制。

選項C也指明了ACL的另一個作用，那就是過濾穿越路由器的流量。這里要注意了，是「穿越」路由器的流量才能被ACL來作用，但是路由器本身產生的流量，比如路由更新報文等，ACL是不會對它起任何作用的：因為ACL不能過濾由路由器本身產生的流量，那麼D也是錯誤的；

2、For security reasons， the network administrator needs to prevent pings into the corporate networks from hosts outside the internetwork. Which protocol should be blocked with access control lists？

A： IP

B： ICMP

C： TCP

D： UDP

Answers： B

安全起見，網路管理員想要阻止來自Internet上的外部主機PING企業內部網路，哪種協議必須在訪問列表中被阻塞掉？PING使用的是ICMP協議，在ACL中，我們可以自己來定義需要被允許或者拒絕某些協議的流量。該題選B

3、Refer to the exhibit. The access list has been configured on the S0/0 interface of router RTB in the outbound direction. Which two packets， if routed to the interface， will be denied？（Choose two.）

access-list 101 deny tcp 192.168.15.32 0.0.0.15 any eq telnet

access-list 101 permit ip any any

訪問控制列表

A：source ip address： 192.168.15.5； destination port： 21

B：source ip address：， 192.168.15.37 destination port： 21

C：source ip address：， 192.168.15.41 destination port： 21

D：source ip address：， 192.168.15.36 destination port： 23

E：source ip address： 192.168.15.46； destination port： 23

Correct Answers： B， E

如圖，在RTB上配置了訪問列表，控制從S0/0口出去向外部的由192.168.15.32/29網段發起的telnet流量，其它流量允許通過。telnet使用23號埠，由此可以排除掉ABC三個選項。該題選擇D，E.

『陸』 4、輕松劃分子網——CCNA

進行子網劃分的好處有：

# ip subnet-zero ，這個命令讓你能夠在網路設計中使用第一個子網和最後一個子網（Cisco12.x以上版本默認啟用）；
例如：
C類地址192.168.10.6，子網掩碼255.255.255.192提供了子網64和128，配置命令 ip subnet-zero 後，將可使用子網0、64、128和192。這讓每個子網掩碼提供的子網多了兩個。

要創建子網，我們可借用IP地址中的主機位，將其用於定義子網地址。這意味著主機位更少了， 因此子網越多，可用於定義主機的位越少 。

要創建子網，可採取如下步驟：

子網掩碼是一個長32位的值，讓IP分組的接收方能夠將IP地址的網路ID部分和主機ID部分區分開來。
並非所有網路都需要子網，這意味著網路可使用默認子網掩碼。

默認的子網掩碼：
A類：255.0.0.0
B類：255.255.0.0
C類：255.255.255.0

CIDR （Classless Inter-Domain Routing，無類域間路由選擇），它是 ISP （Internet Service Provider，網際網路服務提供商）用來將大量地址分配給客戶的一種方法。ISP以特定大小的塊提供地址。
從ISP那裡獲得的地址塊類似於192.168.10.32/28，這指出了子網掩碼。

最大的子網掩碼為/30（不管是哪類地址），因為至少需要將兩位用作主機位。

CIDR值：

其中/8 ~ /15隻能用於A類網路，/16 ~ /23可用於A類和B類網路，而/24 ~ /30可用於A類、B類和C類網路。

在C類網路中，只有8位用於定義主機。子漏掘網位從左向右延伸，中間不能留空。
例如：
二進制十進制 CIDR
00000000 = 0 /24
10000000 = 128 /25
11000000 = 192 /26
11100000 = 224 /27
11110000 = 240 /28
11111000 = 248 /29
11111100 = 252 /30

給網路選擇子網掩碼後，需要計算該子網掩碼提供的子網數以及每個子網的合法主機地址和廣播地址。

解決下面5個問題即可明白如何劃分：

示例1 #C：255.255.255.128（/25）
128的二進製表示為10000000 ，只有一位用於定義子網，餘下7位用於定義主機。這里將對C類網路192.168.10.0進行子網劃分。
網路地址 = 192.168.10.0
子網掩碼 = 255.255.255.128
子網數：在128（10000000）中，取值為1的位數為1，因此子網數為2^1 = 2；
主機數：有7個主機位取值為0（10000000），因此主機數為2^7 – 2 = 126；
合法的子網：合法的子網為 256 – 128 = 128，即0和128；
每個子網的廣播地址：廣播地址總是下一個子網前面的返罩核數。對於子網0，悶數下一個子網為128，因此其廣播地址為 127。子網128的廣播地址為255；
每個子網包含的主機地址：合法的主機地址位於子網和廣播地址之間。子網 0 的合法主機地址為：1 ~ 126，子網 128 的合法主機為：129~254；

示例2 #C：255.255.255.192（/26）
這里將使用子網掩碼255.255.255.192對網路192.168.10.0進行子網劃分。
網路地址 = 192.168.10.0
子網掩碼 = 255.255.255.192
子網數：在192（11000000）中，取值為1的位數為2，因此子網數為2^2 = 4；
主機數：有6個主機位取值為0（11000000），因此主機數為2^6 – 2 = 62；
合法的子網：合法的子網為 256 – 192 = 64，即0、64、128和192；
每個子網的廣播地址：對於子網0，下一個子網為64，因此其廣播地址為 63；
每個子網包含的主機地址：子網0的合法主機地址為：1~ 62；子網64的合法主機地址：65 ~ 126；子網128的合法主機為：129 ~190；子網192的合法主機地址為：193 ~254；

Example：
192.168.10.0/27
子網數為：2^3 = 8；每個子網的主機數：2^5 -2 = 30；合法的子網：256 – 224 = 32（塊大小），即0、32、64、96、128、160、192和224；

255.255.0.0（/16）
255.255.128.0（/17）
255.255.192.0（/18）
255.255.224.0（/19）
255.255.240.0（/20）
255.255.248.0（/21）
255.255.255.252.0（/22）
255.255.255.254.0（/23）
255.255.255.255.0（/24）
255.255.255.128.0（/25）
255.255.255.192.0（/26）
255.255.255.224（/27）
255.255.255.240（/28）
255.255.255.248（/29）
255.255.255.254（/30）

在B類網路中，有16位可用於主機地址（最多可將其中14位用於子網劃分）！

示例1 #B：255.255.128.0（/17）
網路地址=172.16.0.0
子網掩碼=255.255.128.0
子網數：2^1 = 2（與C類網路相同）
每個子網的主機數：2^15 - 2 = 32766
合法的子網：256 – 128 = 128，即0.0和128.0（從第三個位元組劃分）
每個子網的廣播地址：子網0.0的廣播地址為127.255，子網128.0的廣播地址為255.255；
合法的主機地址：子網0.0的主機地址為0.1 ~ 127.254，子網128.0的主機地址為128.1~255.254；

示例2 #B：255.255.192.0（/18）
網路地址=172.16.0.0
子網掩碼=255.255.192.0
子網數：2^2 = 4
每個子網的主機數：2^14 - 2 = 16384
合法的子網：256 – 192 = 64，即0.0、64.0、128.0和192.0；
每個子網的廣播地址：子網0.0的廣播地址為 63.255，子網 64.0 的廣播地址為127.255，子網128.0的廣播地址為191.255，子網192.0的廣播地址為255.255
合法的主機地址：子網0.0的主機地址為0.1 ~ 63.254，子網64.0的主機地址為64.1 ~ 127.254，子網128.0的主機地址為128.1 ~ 191.254，子網192.0的主機地址為192.1~255.254；

示例3 #B：255.255.255.0（/24）
將子網掩碼255.255.255.0用於B類網路時，並不將其稱為C類子網掩碼！！！
網路地址=172.16.0.0
子網掩碼=255.255.255.0
子網數：2^8 = 256
每個子網的主機數：2^8 - 2 = 254
合法的子網：256 – 255 = 1，即0.0、1.0、2.0、3.0、……、255.0。
每個子網的廣播地址：子網0.0的廣播地址為0.255，子網1.0的廣播地址為1.255，子網2.0的廣播地址為2.255，……子網255.0的廣播地址為255.255；
合法的主機地址：子網0.0的主機地址為0.1~ 0.254，子網1.0的主機地址為1.1~ 1.254，子網2.0的主機地址為2.1~ 2.254，子網255.0的主機地址為255.1~255.254；

示例4 #B：255.255.255.128（/25）（適合生產環境使用）
網路地址=172.16.0.0
子網掩碼=255.255.255.128
子網數：2^9 = 512
每個子網的主機數：2^7 - 2 = 126
合法的子網：256 – 128 = 128，即0.0、0.128、1.0、1.128…255.0、255.128。
每個子網的廣播地址：子網0.0的廣播地址為0.127，子網0.128的廣播地址為0.255，子網1.0的廣播地址為1.127，……子網255.128的廣播地址為255.255；
合法的主機地址：子網0.0的主機地址為0.1~ 0.126，子網0.128的主機地址為0.129~ 0.254，子網255.0的主機地址為255.1~ 255.254，子網255.128的主機地址為255.129~255.254；

255.0.0.0 （/8）
255.128.0.0 （/9）
…………………………………
255.255.255.252（/30）

在A類網路中，有24位可用於主機地址（最多可將其中22位用於子網劃分）！

示例1 #A：255.255.0.0（/16）
子網數：2^8 = 256
每個子網的主機數：2^16 = 65534
合法的子網：10.0.0.0、10.1.0.0、10.2.0.0…10.255.0.0；
每個子網的廣播地址：10.0.255.255、10.1.255.255…10.255.255.255
每個子網的主機地址：10.0.0.1~ 10.0.255.254…10.255.255.1~10.255.255.254

示例2 #A：255.255.240.0（/20）
子網數：2^12 = 4096
每個子網的主機數：2^12 – 2 = 4094
合法的子網：0、16、32…（第三個位元組，即10.0.0.0、10.0.16.0、10.0.32.0…）

1. 計運算元網數則將所借的1位的次數加到2的次方上；
2. 計算每個子網的主機數則將剩餘的0加到2的次方上再減去2；
3. 計算有哪些子網時使用256減去子網掩碼，得出塊大小，然後從0開始不斷的相加所得的塊大小，每相加一次所得的值即是合法的子網！
4. ip subnet-zero //使用所有子網； show ip route //查看路由表； show running-config //查看運行配置；

『柒』【CCNA】這兩個命令有什麼區別

switchport trunk allowed vlan 10 是允和差許Vlan 10通過trunk
switchport trunk allowed add vlan 10 是添加vlan 10
add 是和remove相對的。

如：
Switch(config)# interface fa0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan remove 101-499
Switch(config-if)# switchport trunk allowed vlan add 250
Switch(config-if)# end
Switch# show interface fa0/搜棚扮世灶1 switchport allowed-vlan
－－－－－－－"1-100,250,500-1005"

『捌』 cisco基本配置命令

Cisco 的交換機產品以「Catalyst 」為商標，包含1900 、2800 、2900 、3500 、4000 、5000 、5500 、6000 、8500 等十多個系列。

基本配置命令如下：

1、Switch>enable 進入特權模式

2、Switch #config terminal 進入全局配置模式

3、Switch(config)#hostname 設置交換機的主機名

4、Switch(config)#enable password 進入特權模式的密碼（明文形式保存）

5、Switch(config)#enablesecret 加密密碼（加密形式保存）（優先）

6、Switch(config)#ipdefault-gateway 配置交換機網關

7、Switch(config)#showmac-address-table 查看MAC地址

8、Switch(config)loggingsynchronous 阻止控制台信息覆蓋命令行上的輸入

9、Switch(config)no ipdomain-lookup 關閉DNS查找功能

10、Switch(config)exec-timeout 00 阻止會話退出

(8)ccna命令擴展閱讀：

cisco常用配置命令：

一、使用Telnet遠程式管理

1、Switch(config)#line vty 0 4 進入虛擬終端

2、Switch (config-line)# password 設置登錄口令

3、Switch(config-line)# login 要求口令驗證

二、控制台口令

1、switch(config)#lineconsole 0 進入控制台口

2、switch(config-line)# password xx

3、switch(config-line)#設置登錄口令login 允許登錄

三、恢復出廠配置

Switch(config)#erasestartup-config

Switch(config)delete vlan.dat

『玖』 ccna命令的簡寫

那可多了～

Cisco路由配置語句匯總
啟動介面，分配IP地址：

router>

router> enable

router#

router# configure terminal

router（config）#

router（config）# interface Type Port

router（config-if）# no shutdown

router（config-if）# ip address IP-Address Subnet-Mask

router（config-if）# ＾z

配置RIP路由協議：30秒更新一次

router（config）# router rip

router（config-if）# network Network-Number <——通告標准A，B，C類網——>

router（config-if）# ＾z

配置IGRP路由協議：90秒更新一次

router（config）# router igrp AS-Number <—— AS-Number范圍1～65535——>

router（config-if）# network Network-Number <——通告標准A，B，C類網——>

router（config-if）# ＾z

配置Novell IPX路由協議：Novell RIP 60秒更新一次

router（config）# ipx routing [node address]

router（config）# ipx maximum-paths Paths <——設置負載平衡，范圍1～512——>

router（config）# interface Type Port

router（config-if）# ipx network Network-Number [encapsulation encapsulation-type] [secondary] <——通告標准A，B，C類網——>

router（config-if）# ＾z

配置DDR：

router（config）# dialer-list Group-Number protocol Protocol-Type permit [list ACL-Number]

router（config）# interface bri 0

router（config-if）# dialer-group Group-Number

router（config-if）# dialer map Protocol-Type Next-Hop-Address name Hostname Telphone-Number

router（config-if）# ＾z

配置ISDN：

router（config）# isdnth-typeth-Type <——配置ISDN交換機類型，中國使用basic-net3——>

router（config-if）# ＾z

配置Frame Relay：

router（config-if）# encapsulation frame-relay [cisco | ietf ]

router（config-if）# frame-relay lmi-type [ansi | cisco | q933a ]

router（config-if）# bandwidth kilobits

router（config-if）# frame-relay invers-arp [ Protocol ] [dlci ]

<——配置靜態Invers ARP表：

router（config）# frame-relay Protocol Protocol-Address DLCI [ Broadcast ] [ ietf | cisco ] [ payload-compress | packet-by-packet ]

——>

<——設置Keepalive間隔：

router（config-if）# keepalive Number

——>

<——為本地介面指定DLCI：

router（config-if）# frame-lelay local-dlci Number

——>

<——子介面配置：

router（config-if）# interface Type Port.Subininterface-Number [ multipoint | point-to-point ]

router（config-subif）# ip unnumbered Interface

router（config-subif）# frame-lelay local-dlci Number

——>

router（config-if）# ＾z

配置標准ACL：

router（config）# access-list Access-List-Number [ permit | deny ] source [ source-mask ] <—— Access-List-Number 范圍：1～99標准ACL；100～199擴展ACL；800～899標准IPX ACL；900～999擴展IPX ACL；1000~1099 IPX SAP ACL；600～699Apple Talk ACL——>

router（config）# interface Type Port

router（config-if）# ip access-group Access-List-Number [ in | out ]

router（config-if）# ＾z

配置擴展ACL：

router（config）# access-list Access-List-Number [ permit | deny ] [ Protocol | Protocol-Number ] source source-wildcard [ Source-Port ] destination destination-wildcard [ Destination-Port ] [ established ]

router（config）# interface Type Port

router（config-if）# ip access-group Access-List-Number [ in | out ]

router（config-if）# ＾z

配置命名ACL：

router（config）# ip access-list [ standard | extended ] ACL-Name

router（config [ std- | ext- ] nacl）# [ permit | deny ] [ IP-Access-List-Test-Conditions ]

router（config [ std- | ext- ] nacl）# no [ permit | deny ] [ IP-Access-List-Test-Conditions ]

router（config [ std- | ext- ] nacl）# ＾z

router（config）# interface Type Port

router（config-if）# ip access-group [ACL-Name | 1~199 ] [ in | out ]

router（config-if）# ＾zywELinux聯盟
配置DCE時鍾：

router# show controllers Type Port <——確定DCE介面——>

router（confin-if）# clock rate 64000 <——進入DCE介面設置時鍾速率——>

router（config-if）# ＾z

配置PPP協議：

router（config）# username Name password Set-Password-Here <——驗證方建立資料庫——>

router（config）# interface Type Port

router（config-if）# encapsulation ppp <——啟動PPP協議——>

router（config-if）# ppp outhentication [ chap | chap pap | pap chap | pap ] <——選擇PPP認證——>

router（config-if）# ppp pap sent-username Name password Password <——發送驗證信息——>

router（config-if）# ＾z

PAP單向認證配置實例：

驗證方：

router-server（config）# username Client password 12345 <——驗證方建立資料庫——>

router-server（config）# interface serial 0

router-server（config-if）# encapsulation ppp

router-server（config-if）# ppp authentication pap <——選擇使用PAP實現PPP認證——>

router-server（config-if）# ＾z

被驗證方：

router-client（config-if）# encapsulation ppp

router-client（config-if）# ppp pap sent-username Client password 12345 <——發送驗證信息——>

router-client（config-if）# ＾zywELinux聯盟
PAP雙向認證配置實例：

路由器 A：

routerA（config）# username B password 12345

routerA（config）# interface serial 0

routerA（config-if）# encapsulation ppp

routerA（config-if）# ppp authentication pap

routerA（config-if）# ppp pap sent-username A password 54321

routerA（config-if）# ＾z

路由器 B：

routerB（config）# username A password 54321

routerB（config）# interface serial 1

routerB（config-if）# encapsulation ppp

routerB（config-if）# ppp authentication pap

routerB（config-if）# ppp pap sent-username B password 12345

routerB（config-if）# ＾z

CHAP單向認證配置實例：

驗證方：

router-server（config）# username router-client password 12345

router-server（config）# interface serial 0

router-server（config-if）# encapsulation ppp

router-server（config-if）# ppp authentication chap

router-server（config-if）# ＾z

被驗證方：

router-client（config-if）# encapsulation ppp

router-client（config-if）# ppp authentication chap

router-client（config-if）# ppp chap hostname router-client

router-client（config-if）# ppp chap password 12345

router-client（config-if）# ＾z CHAP雙向認證配置實例：

路由器 A：

routerA（config）# username routerB password 12345

routerA（config）# interface serial 0

routerA（config-if）# encapsulation ppp

routerA（config-if）# ppp authentication chap

routerA（config-if）# ppp chap hostname routerA

routerA（config-if）# ppp chap password 54321

routerA（config-if）# ＾z

路由器 B：

routerB（config）# username routerA password 54321

routerB（config）# interface serial 1

routerB（config-if）# encapsulation ppp

routerB（config-if）# ppp authentication chap

routerB（config-if）# ppp chap hostname routerB

routerB（config-if）# ppp chap password 12345

routerB（config-if）# ＾zywELinux聯盟
Telnet使用：

routerA# terminal monitor <——可以傳回在遠端主機執行Debug命令的結果——>

routerA# telnet IP-Address [ Router-Name ] <——Telnet到指定的地址或名字的主機——>

routerB# [ exit | logout ] <——退出Telnet——>

routerB# ++<6>再按 <——掛起Telnet——>

routerA# show sessions <——顯示當前所有Telnet的信息，包括Connect-Number ——>

routerA# Connect-Number <——返回指定的Telnet連接——>

routerA# disconnect IP-Address [ Router-Name ] <——斷開指定地址或名字的主機的連接——>

routerA# show user <——顯示Telnet到本機的連接信息——>

routerA# clear line [ 0 | 1 | 2 | 3 | 4 ] <——斷開指定Telnet到本機的連接——>

禁止任何Telnet到本機：

router（config）# line vty 0 4

router（config-line）# access-class ACL-Number

router（config）# ＾z

設置主機名：

router（config）# hostname Set-Hostname

router（config）# ＾z

router（config）# ＾z

設置用戶模式密碼：

router（config）# line console 0

router（config-line）# login

router（config-line）# password Set-Password

router（config-line）# ＾zywELinux聯盟
設置Telnet密碼：

router（config）# line vty 0 4

router（config-line）# login

router（config-line）# password Set-Password

router（config-line）# ＾z

設置特權模式密碼：

router（config）# enable password Set-Password <——不加密的密碼，明碼——>

router（config）# enable secret Set-Password <——經過加密的密碼——>

router（config）# ＾z

給所有密碼加密：

router（config）# service password-ancryption Set-Password-Here

router（config）# no service password-ancryption <——取消加密——>

router（config）# ＾z

設置登錄Banner：

router（config）# banner motd 分隔符 Set-Banner-InFORMation-Here 分隔符 <——前後分隔符一定要一致——>

設置介面的描述信息：

router（config-if）# description Set-Port-InFORMation-Here

router（config）# ＾z

CDP的控制：

router（config-if）# cdp enable <——在指定埠啟用CDP，預設——>

router（config-if）# no cdp enable <——在指定埠關閉CDP——>

router（config）# cdp run <——使所有埠啟用CDP——>

router（config）# no cdp run <——使所有埠關閉CDP——>

Ping的使用：

router# ping IP-Address

router# ping <——擴展Ping命令——>

Protocol [ip]：[ Protocol-Type ] <——選擇協議類型——>

Target IP address：IP-Address <——輸入測試地址——>

Repeat count [5]： <——選擇發送的ICMP包數量——>

Datagram size [100]： <——選擇每個包的大小——>

Timeout in seconds [2]： <——設置每個包的超時時間——>

Extended commands [n]：y <——使用擴展Ping命令——>

Sweep range of sizes [n]：ywELinux聯盟
Tracke的使用：

router# trace IP-Address [ Host-Name ]

為Cisco 4000路由器指定媒體類型：

router（config-if）# media-type 10baset <——使AUI（默認）失效，改為使用RJ-45——>

router（config-if）# ＾z

更改路由器啟動順序：

router（config）# boot system flash IOS-FileName

router（config）# boot system tftp IOS-FileName TFTP-IP-Address

router（config）# boot system rom

router（config）# ＾z

修改寄存器數值：

router（config）# config-register value <——Cisco出廠默認value＝0x2102，value范圍：0x2100（進入ROM監視器），0x2101（使系統從ROM啟動），0x2102～0x210F（使系統從NVRAM啟動）。0x1＝0x2101，從最小位開始改變——>

在ROM監視器中更改寄存器數值：

> o/r value

路由器密碼的恢復：

冷關機，然後再開機並在60秒內按< Ctrl>+進入ROM監視器模式

> o/r 0x2142 <--25xx型路由器--> 或 > confreg 0x2142 <--16xx型路由器-->

router> I

router> n

router> enable

router# startup-config running-config

router# configure terminal

router（config）# enable secret New-Password

router（config）# config-register 0x2102

router（config）# ＾z

router# running-config startup-config

router# reloadywELinux聯盟
配置名稱－主機入口：

router（config）# ip host Set-Name [ TCP-Port-Number ] IP-Address [ IP-Address 2 ].。。

router（config）# ＾z

定義DNS主機：

router（config）# ip name-server Server-Address [ Server-Address 2 ].。。

router（config）# ＾z

禁用DNS：

router（config）# no ip domain-lookup

router（config）# ＾z配置水平分割：

router（config-if）# ip split-horizon

router（config-if）# no ip split-horizon

router（config-if）# ＾z

配置靜態路由：

router（config）# ip route IP-Address Subnet-Mask [ Next-Hop-Address | Local-Out-Port ] [Distace ]

<——Distance范圍：1～255，相當於優先權，越小越好。RIP=120；DSPF=110；IGRP=100；EIGRP=90——>

router（config）# ＾zywELinux聯盟
配置預設路由：

router（config）# ip defoult-network IP-Address <——動態預設路由——>

router（config）# ip route 0.0.0.0 0.0.0.0 [ Next-Hop-Address | Local-Out-Port ] [Distace ] <——靜態預設路由——>

router（config）# ＾z

其它命令：

router# show version

router# show running-config

router# show startup-config

router# show flash

router# show interface [ Type Port ]

router# show buffers

router# show protocol

router# show mem

router# show stacks

router# show processes

router# show cdp entry [ Device-Name ] <——顯示指定鄰居三層信息——>

router# show cdp neighbors

router# show cdp neighbors detail <——顯示所有鄰居三層信息->

router# show ip router

router# show ipx router

router# show host

router# show ip protocol

router# show ip interface Type Port

router# show ipx interface Type Port

router# show ipx servers

router# show ipx traffic

router# show access-lists [ ACL-Number ]

router# show isdn status

router# show dialer <——查看ISDN撥號信息——>

router# show isdn active

router# show frame-relay pvc

router# show frame-relay map

router# show frame-relay lmi

router# erase startup-config

router# reload

router# setup

router# running-config startup-config

router# startup-config running-config

router# tftp running-config

router# running-config tftp

router# debug ipx routing activity

router# debug ipx sap

router# debug isdn q921

router# debug isdn q931

router# debug dialer

router# debug ip rip

router# clear interface bri

『拾』解釋一行網路ccna命令英文的意思，不多，一行。

R 10.5.5.0 [120/1] via 10.1.1.2, 00:00:03, Serial1/1

120RIP路由協議的管理距離，
1是度量值，
10.1.1.2是通往目的地經過的下一ROUTER的介面地址，NEXT HOP。
Serial1/1連接NEXT HOP的本機介面，

導航:首頁 > 程序命令 > ccna命令

ccna命令

與ccna命令相關的資料