1. 思科IPSec基本命令
思科IPSec基本命令汇总
“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。那么思科怎么配置IPSec呢?配置命令如何?下面跟我一起来看看吧!
一、IPSec一些基本命令。
R1(config)#crypto ?
dynamic-map Specify a dynamic crypto map template
//创建或修改一个动态加密映射表
ipsec Configure IPSEC policy
//创建IPSec安全策略
isakmp Configure ISAKMP policy
//创建IKE策略
key Long term key operations
//为路由器的SSH加密会话产生加密密钥。后面接数值,是key molus size,单位为bit
map Enter a crypto map
//创建或修改一个普通加密映射表
Router(config)#crypto dynamic-map ?
WORD Dynamic crypto map template tag
//WORD为动态加密映射表名
Router(config)#crypto ipsec ?
security-association Security association parameters
// ipsec安全关联存活期,也可不配置,在map里指定即可
transform-set Define transform and settings
//定义一个ipsec变换集合(安全协议和算法的一个可行组合)
Router(config)#crypto isakmp ?
client Set client configuration policy
//建立地址池
enable Enable ISAKMP
//启动IKE策略,默认是启动的
key Set pre-shared key for remote peer
//设置密钥
policy Set policy for an ISAKMP protection suite
//设置IKE策略的优先级
Router(config)#crypto key ?
generate Generate new keys
//生成新的密钥
zeroize Remove keys
//移除密钥
Router(config)#crypto map ?
WORD Crypto map tag
//WORD为map表名
二、一些重要命令。
Router(config)#crypto isakmp policy ?
<1-10000> Priority of protection suite
//设置IKE策略,policy后面跟1-10000的数字,这些数字代表策略的优先级。
Router(config)#crypto isakmp policy 100//进入IKE策略配置模式,以便做下面的配置
Router(config-isakmp)#encryption ?//设置采用的加密方式,有以下三种
3des Three key triple DES
aes AES - Advanced Encryption Standard
des DES - Data Encryption Standard (56 bit keys).
Router(config-isakmp)#hash ? //采用的散列算法,MD5为160位,sha为128位。
md5 Message Digest 5
sha Secure Hash Standard
Router(config-isakmp)#authentication pre-share//采用预共享密钥的认证方式
Router(config-isakmp)#group ?//指定密钥的位数,越往下安全性越高,但加密速度越慢
1 Diffie-Hellman group 1
2 Diffie-Hellman group 2
5 Diffie-Hellman group 5
Router(config-isakmp)#lifetime ? //指定安全关联生存期,为60-86400秒
<60-86400> lifetime in seconds
Router(config)#crypto isakmp key *** address XXX.XXX.XXX.XXX
//设置IKE交换的密钥,***表示密钥组成,XXX.XXX.XXX.XXX表示对方的IP地址
Router(config)#crypto ipsec transform-set zx ?
//设置IPsec交换集,设置加密方式和认证方式,zx是交换集名称,可以自己设置,两端的名字也可不一样,但其他参数要一致。
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-aes ESP transform using AES cipher
esp-des ESP transform using DES cipher (56 bits)
esp-md5-hmac ESP transform using HMAC-MD5 auth
esp-sha-hmac ESP transform using HMAC-SHA auth
例:Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac
Router(config)#crypto map map_zx 100 ipsec-isakmp
//建立加密映射表,zx为表名,可以自己定义,100为优先级(可选范围1-65535),如果有多个表,数字越小的越优先工作。
Router(config-crypto-map)#match address ?//用ACL来定义加密的通信
<100-199> IP access-list number
WORD Access-list name
Router(config-crypto-map)#set ?
peer Allowed Encryption/Decryption peer.//标识对方路由器IP地址
pfs Specify pfs settings//指定上面定义的密钥长度,即group
security-association Security association parameters//指定安全关联的生存期
transform-set Specify list of transform sets in priority order
//指定加密图使用的IPSEC交换集
router(config-if)# crypto map zx
//进入路由器的指定接口,应用加密图到接口,zx为加密图名。
三、一个配置实验。
实验拓扑图:
1.R1上的配置。
Router>enable
Router#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R1
//配置IKE策略
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp policy 100
R1(config-isakmp)#encryption des
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 1
R1(config-isakmp)#lifetime 86400
R1(config-isakmp)#exit
//配置IKE密钥
R1(config)#crypto isakmp key 123456 address 10.1.1.2
//创建IPSec交换集
R1(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac
//创建映射加密图
R1(config)#crypto map zx_map 100 ipsec-isakmp
R1(config-crypto-map)#match address 111
R1(config-crypto-map)#set peer 10.1.1.2
R1(config-crypto-map)#set transform-set zx
R1(config-crypto-map)#set security-association lifetime seconds 86400
R1(config-crypto-map)#set pfs group1
R1(config-crypto-map)#exit
//配置ACL
R1(config)#access-list 111 permit ip 192.168.1.10 0.0.0.255 192.168.2.10 0.0.0.255
//应用加密图到接口
R1(config)#interface s1/0
R1(config-if)#crypto map zx_map
2.R2上的`配置。
与R1的配置基本相同,只需要更改下面几条命令:
R1(config)#crypto isakmp key 123456 address 10.1.1.1
R1(config-crypto-map)#set peer 10.1.1.1
R1(config)#access-list 111 permit ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255
3.实验调试。
在R1和R2上分别使用下面的命令,查看配置信息。
R1#show crypto ipsec ?
sa IPSEC SA table
transform-set Crypto transform sets
R1#show crypto isakmp ?
policy Show ISAKMP protection suite policy
sa Show ISAKMP Security Associations
四、相关知识点。
对称加密或私有密钥加密:加密解密使用相同的私钥
DES--数据加密标准 data encryption standard
3DES--3倍数据加密标准 triple data encryption standard
AES--高级加密标准 advanced encryption standard
一些技术提供验证:
MAC--消息验证码 message authentication code
HMAC--散列消息验证码 hash-based message authentication code
MD5和SHA是提供验证的散列函数
对称加密被用于大容量数据,因为非对称加密站用大量cpu资源
非对称或公共密钥加密:
RSA rivest-shamir-adelman
用公钥加密,私钥解密。公钥是公开的,但只有私钥的拥有者才能解密
两个散列常用算法:
HMAC-MD5 使用128位的共享私有密钥
HMAC-SHA-I 使用160位的私有密钥
ESP协议:用来提供机密性,数据源验证,无连接完整性和反重放服务,并且通过防止流量分析来限制流量的机密性,这些服务以来于SA建立和实现时的选择。
加密是有DES或3DES算法完成。可选的验证和数据完整性由HMAC,keyed SHA-I或MD5提供
IKE--internet密钥交换:他提供IPSEC对等体验证,协商IPSEC密钥和协商IPSEC安全关联
实现IKE的组件
1:des,3des 用来加密的方式
2:Diffie-Hellman 基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥,在IKE中被用来建立会话密钥。group 1表示768位,group 2表示1024位
3:MD5,SHA--验证数据包的散列算法。RAS签名--基于公钥加密系统
;2. CISCO基本命令
Ipx delay 设置点计数
Ipx ipxwan 在串口上启动IPXWAN协议
Ipx maximum-paths 当转发数据包时设置Cisco IOS软件使用的等价路径数量
Ipx network 在一个特定接口上启动互联网数据包交换(IPX)的路由选择并且选择封装的类型(用帧封装)
Ipx router 规定使用的路由选择协议
Ipx routing 启动IPX路由选择
Ipx sap-interval 在较慢的链路上设置较不频繁的SAP(业务广告协议)更新
Ipx type-20-input-checks 限制对IPX20类数据包广播的传播的接受
Isdn spid1 在路由器上规定已经由ISDN业务供应商为B1信道分配的业务简介号(SPID)
Isdn spid2 在路由器上规定已经由ISDN业务供应商为B2信道分配的业务简介号(SPID)
Isdntch-type 规定了在ISDN接口上的中央办公区的交换机的类型
Keeplive 为使用帧中继封装的串行线路LMI(本地管理接口)机制
Lat 打开LAT连接
Line 确定一个特定的线路和开始线路配置
Line concole 设置控制台端口线路
Line vty 为远程控制台访问规定了一个虚拟终端
Lock 锁住终端控制台
Login 在终端会话登录过程中启动了密码检查
Login 以某用户身份登录,登录时允许口令验证
Logout 退出EXEC模式
Mbranch 向下跟踪组播地址路由至终端
Media-type 定义介质类型
Metric holddown 把新的IGRP路由选择信息与正在使用的IGRP路由选择信息隔离一段时间
Mrbranch 向上解析组播地址路由至枝端
Mrinfo 从组播路由器上获取邻居和版本信息
Mstat 对组播地址多次路由跟踪后显示统计数字
Mtrace 由源向目标跟踪解析组播地址路径
Name-connection 命名已存在的网络连接
Ncia 开启/关闭NCIA服务器
Network 把一个基于NIC的地址分配给一个与它直接相连的路由器把网络与一个IGRP的路由选择的过程联系起来在IPX路由器配置模式
下,在网络上启动加强的IGRP
Network 指定一个和路由器直接相连的网络地址段
Network-number 对一个直接连接的网络进行规定
No shutdown 打开一个关闭的接口
Pad 开启一个X.29 PAD连接
Permit 为一个已命名的IP ACL设置条件
Ping 把ICMP响应请求的数据包发送网络上的另一个节点检查主机的可达性和网络的连通性对网络的基本连通性进行诊断
Ping 发送回声请求,诊断基本的网络连通性
Ppp 开始IETF点到点协议
Ppp authentication 启动Challenge握手鉴权协议(CHAP)或者密码验证协议(PAP)或者将两者都启动,并且对在接口上选择的CHAP
和PAP验证的顺序进行规定
Ppp chap hostname 当用CHAP进行身份验证时,创建一批好像是同一台主机的拨号路由器
Ppp chap password 设置一个密码,该密码被发送到对路由器进行身份验证的主机命令对进入路由器的用户名/密码的数量进行了限制
Ppp pap sent-username 对一个接口启动远程PAP支持,并且在PAP对同等层请求数据包验证过程中使用sent-username和password
Protocol 对一个IP路由选择协议进行定义,该协议可以是RIP,内部网关路由选择协议(IGRP),开放最短路径优先(OSPF),还可
以是加强的IGRP
Pwd 显示当前设备名
Reload 关闭并执行冷启动;重启操作系统
Rlogin 打开一个活动的网络连接
Router 由第一项定义的IP路由协议作为路由进程,例如:router rip 选择RIP作为路由协议
Router igrp 启动一个IGRP的路由选择过程
Router rip 选择RIP作为路由选择协议
Rsh 执行一个远程命令
Sdlc 发送SDLC测试帧
Send 在tty线路上发送消息
Service password-encryption 对口令进行加密
Setup 运行Setup命令
Show 显示运行系统信息
Show access-lists 显示当前所有ACL的内容
Show buffers 显示缓存器统计信息
Show cdp entry 显示CDP表中所列相邻设备的信息
Show cdp interface 显示打开的CDP接口信息
Show cdp neighbors 显示CDP查找进程的结果
Show dialer 显示为DDR(数字数据接受器)设置的串行接口的一般诊断信息
Show flash 显示闪存的布局和内容信息
Show frame-relay lmi 显示关于本地管理接口(LMI)的统计信息
Show frame-relay map 显示关于连接的当前映射入口和信息
Show frame-relay pvc 显示关于帧中继接口的永久虚电路(pvc)的统计信息
Show hosts 显示主机名和地址的缓存列表
Show interfaces 显示设置在路由器和访问服务器上所有接口的统计信息
Show interfaces 显示路由器上配置的所有接口的状态
Show interfaces serial 显示关于一个串口的信息
Show ip interface 列出一个接口的IP信息和状态的小结
Show ip interface 列出接口的状态和全局参数
Show ip protocols 显示活动路由协议进程的参数和当前状态
Show ip route 显示路由选择表的当前状态
Show ip router 显示IP路由表信息
Show ipx interface 显示Cisco IOS软件设置的IPX接口的状态以及每个接口中的参数
Show ipx route 显示IPX路由选择表的内容
Show ipx servers 显示IPX服务器列表
Show ipx traffic 显示数据包的数量和类型
Show isdn active 显示当前呼叫的信息,包括被叫号码、建立连接前所花费的时间、在呼叫期间使用的自动化操作控制(AOC)收费
单元以及是否在呼叫期间和呼叫结束时提供AOC信息
Show isdn ststus 显示所有isdn接口的状态、或者一个特定的数字信号链路(DSL)的状态或者一个特定isdn接口的状态
Show memory 显示路由器内存的大小,包括空闲内存的大小
Show processes 显示路由器的进程
Show protocols 显示设置的协议
Show protocols 显示配置的协议。这条命令显示任何配置了的第3层协议的状态
Show running-config 显示RAM中的当前配置信息
Show spantree 显示关于虚拟局域网(VLAN)的生成树信息
Show stacks 监控和中断程序对堆栈的使用,并显示系统上一次重启的原因
Show startup-config 显示NVRAM中的启动配置文件
Show ststus 显示ISDN线路和两个B信道的当前状态
Show version 显示系统硬件的配置,软件的版本,配置文件的名称和来源及引导映像
Shutdown 关闭一个接口
Telnet 开启一个telect连接
Term ip 指定当前会话的网络掩码的格式
Term ip netmask-format 规定了在show命令输出中网络掩码显示的格式
Timers basic 控制着IGRP以多少时间间隔发送更新信息
Trace 跟踪IP路由
Username password 规定了在CHAP和PAP呼叫者身份验证过程中使用的密码
Verify 检验flash文件
Where 显示活动连接
Which-route OSI路由表查找和显示结果
Write 运行的配置信息写入内存,网络或终端
Write erase 现在由 startup-config命令替换
X3 在PAD上设置X.3参数
Xremote 进入XRemote模式
这些不知道您能否看懂,实际的命令多比这多,祝您成功!
3. Cisco常用的路由器交换机配置命令
cisco制造的路由器设备、交换机和其他设备承载了全世界80%的互联网通信,成为硅谷中新经济的传奇,那么你了解Cisco常用的路由器交换机配置命令吗?下面是我整理的一些关于Cisco常用的路由器交换机配置命令的相关资料,供你参考。
Cisco常用的路由器支持的命令:
路由器显示命令:
router#show run ;显示配置信息
router#show interface ;显示接口信息
router#show ip route ;显示路由信息
router#show cdp nei ;显示邻居信息
router#reload ;重新起动
路由器口令设置:
router>enable ;进入特权模式
router#config terminal ;进入全局配置模式
router(config)#hostname ;设置交换机的主机名
router(config)#enable secret xxx ;设置特权加密口令
router(config)#enable password xxb ;设置特权非密口令
router(config)#line console 0 ;进入控制台口
router(config-line)#line vty 0 4 ;进入虚拟终端
router(config-line)#login ;要求口令验证
router(config-line)#password xx ;设置登录口令xx
router(config)#(Ctrl+z) ; 返回特权模式
router#exit ;返回命令
路由器配置:
router(config)#int s0/0 ;进入Serail接口
router(config-if)#no shutdown ;激活当前接口
router(config-if)#clock rate 64000 ;设置同步时钟
router(config-if)#ip address ;设置IP地址
router(config-if)#ip address second ;设置第二个IP
router(config-if)#int f0/0.1 ;进入子接口
router(config-subif.1)#ip address ;设置子接口IP
router(config-subif.1)#encapsulation dot1q ;绑定vlan中继协议
router(config)#config-register 0x2142 ;跳过配置文件
router(config)#config-register 0x2102 ;正常使用配置文件
router#reload ;重新引导
路由器文件操作:
router# running-config startup-config ;保存配置
router# running-config tftp ;保存配置到tftp
router# startup-config tftp ;开机配置存到tftp
router# tftp flash: ;下传文件到flash
router# tftp startup-config ;下载配置文件
ROM状态:
Ctrl+Break ;进入ROM监控状态
rommon>confreg 0x2142 ;跳过配置文件
rommon>confreg 0x2102 ;恢复配置文件
rommon>reset ;重新引导
rommon> xmodem: flash: ;从console传输文件
rommon>IP_ADDRESS=10.65.1.2 ;设置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0 ;设置路由器掩码
rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP服务器IP
rommon>TFTP_FILE=c2600.bin ;指定下载的文件
rommon>tftpdnld ;从tftp下载
rommon>dir flash: ;查看闪存内容
rommon>boot ;引导IOS
静态路由:
ip route ;命令格式
router(config)#ip route 2.0.0.0 255.0.0.0 1.1.1.2 ;静态路由举例
router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 ;默认路由举例
动态路由:
router(config)#ip routing ;启动路由转发
router(config)#router rip ;启动RIP路由协议。
router(config-router)#network ;设置发布路由
router(config-router)#negihbor ;点对点帧中继用。
帧中继命令:
router(config)#frame-relay switching ;使能帧中继交换
router(config-s0)#encapsulation frame-relay ;使能帧中继
router(config-s0)#fram-relay lmi-type cisco ;设置管理类型
router(config-s0)#frame-relay intf-type DCE ;设置为DCE
router(config-s0)#frame-relay dlci 16 ;
router(config-s0)#frame-relay local-dlci 20 ;设置虚电路号
router(config-s0)#frame-relay interface-dlci 16 ;
router(config)#log-adjacency-changes ;记录邻接变化
router(config)#int s0/0.1 point-to-point ;设置子接口点对点
router#show frame pvc ;显示永久虚电路
router#show frame map ;显示映射
基本访问控制列表:
router(config)#access-list permit|deny
router(config)#interface ;default:deny any
router(config-if)#ip access-group in|out ;defaultut
例1:
router(config)#access-list 4 permit 10.8.1.1
router(config)#access-list 4 deny 10.8.1.0 0.0.0.255
router(config)#access-list 4 permit 10.8.0.0 0.0.255.255
router(config)#access-list 4 deny 10.0.0.0 0.255.255.255
router(config)#access-list 4 permit any
router(config)#int f0/0
router(config-if)#ip access-group 4 in
扩展访问控制列表:
access-list permit|deny icmp [type]
access-list permit|deny tcp [port]
例3:
router(config)#access-list 101 deny icmp any 10.64.0.2 0.0.0.0 echo
router(config)#access-list 101 permit ip any any
router(config)#int s0/0
router(config-if)#ip access-group 101 in
例3:
router(config)#access-list 102 deny tcp any 10.65.0.2 0.0.0.0 eq 80
router(config)#access-list 102 permit ip any any
router(config)#interface s0/1
router(config-if)#ip access-group 102 out
删除访问控制例表:
router(config)#no access-list 102
router(config-if)#no ip access-group 101 in
路由器的nat配置
Router(config-if)#ip nat inside ;当前接口指定为内部接口
Router(config-if)#ip nat outside ;当前接口指定为外部接口
Router(config)#ip nat inside source static [p] [port]
Router(config)#ip nat inside source static 10.65.1.2 60.1.1.1
Router(config)#ip nat inside source static tcp 10.65.1.3 80 60.1.1.1 80
Router(config)#ip nat pool p1 60.1.1.1 60.1.1.20 255.255.255.0
Router(config)#ip nat inside source list 1 pool p1
Router(config)#ip nat inside destination list 2 pool p2
Router(config)#ip nat inside source list 2 interface s0/0 overload
Router(config)#ip nat pool p2 10.65.1.2 10.65.1.4 255.255.255.0 type rotary
Router#show ip nat translation
rotary 参数是轮流的意思,地址池中的IP轮流与NAT分配的地址匹配。
overload参数用于PAT 将内部IP映射到一个公网IP不同的端口上。
外部网关协议配置
routerA(config)#router bgp 100
routerA(config-router)#network 19.0.0.0
routerA(config-router)#neighbor 8.1.1.2 remote-as 200
配置PPP验证:
RouterA(config)#username password
RouterA(config)#int s0
RouterA(config-if)#ppp authentication {chap|pap}
3.PIX防火墙命令
Pix525(config)#nameif ethernet0 outside security0 ;命名接口和级别
Pix525(config)#interface ethernet0 auto ;设置接口方式
Pix525(config)#interface ethernet1 100full ;设置接口方式
Pix525(config)#interface ethernet1 100full shutdown
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
Pix525(config)#ip address outside 133.0.0.1 255.255.255.252
Pix525(config)#global (if_name) natid ip-ip ;定义公网IP区间
Pix525(config)#global (outside) 1 7.0.0.1-7.0.0.15 ;例句
Pix525(config)#global (outside) 1 133.0.0.1 ;例句
Pix525(config)#no global (outside) 1 133.0.0.1 ;去掉设置
Pix525(config)#nat (if_name) nat_id local_ip [netmark]
Pix525(config)#nat (inside) 1 0 0
内网所有主机(0代表0.0.0.0)可以访问global 1指定的外网。
Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
内网172.16.5.0/16网段的主机可以访问global 1指定的外网。
Pix525(config)#route if_name 0 0 gateway_ip [metric] ;命令格式
Pix525(config)#route outside 0 0 133.0.0.1 1 ;例句
Pix525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1 ;例句
Pix525(config)#static (inside, outside) 133.0.0.1 192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址。
Pix525(config)#static (dmz, outside) 133.0.0.1 172.16.0.8
中间区域ip地址172.16.0.8,访问外部时被翻译成133.0.0.1全局地址。
Cisco常用的交换机支持的命令:
交换机基本状态:
switch: ;ROM状态, 路由器是rommon>
hostname> ;用户模式
hostname# ;特权模式
hostname(config)# ;全局配置模式
hostname(config-if)# ;接口状态
交换机口令设置:
switch>enable ;进入特权模式
switch#config terminal ;进入全局配置模式
switch(config)#hostname ;设置交换机的主机名
switch(config)#enable secret xxx ;设置特权加密口令
switch(config)#enable password xxa ;设置特权非密口令
switch(config)#line console 0 ;进入控制台口
switch(config-line)#line vty 0 4 ;进入虚拟终端
switch(config-line)#login ;允许登录
switch(config-line)#password xx ;设置登录口令xx
switch#exit ;返回命令
交换机VLAN设置:
switch#vlan database ;进入VLAN设置
switch(vlan)#vlan 2 ;建VLAN 2
switch(vlan)#no vlan 2 ;删vlan 2
switch(config)#int f0/1 ;进入端口1
switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2
switch(config-if)#switchport mode trunk ;设置为干线
switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan
switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继
switch(config)#vtp domain ;设置发vtp域名
switch(config)#vtp password ;设置发vtp密码
switch(config)#vtp mode server ;设置发vtp模式
switch(config)#vtp mode client ;设置发vtp模式
交换机设置IP地址:
switch(config)#interface vlan 1 ;进入vlan 1
switch(config-if)#ip address ;设置IP地址
switch(config)#ip default-gateway ;设置默认网关
switch#dir flash: ;查看闪存
交换机显示命令:
switch#write ;保存配置信息
switch#show vtp ;查看vtp配置信息
switch#show run ;查看当前配置信息
switch#show vlan ;查看vlan配置信息
switch#show interface ;查看端口信息
switch#show int f0/0 ;查看指定端口信息
4. 思科最技术命令
思科最实用的技术命令大全
本文为大家分享的是CISCO Trouble Shooting的实用命令,希望能帮助到大家!
一、故障处理命令
1、show命令:
1) 全局命令:
show version ;显示系统硬件和软件版本、DRAM、Flash
show startup-config ;显示写入NVRAM中的配置内容
show running-config ;显示当前运行的配置内容
show buffers ;详细输出buffer的名称和尺寸
show stacks ;提供路由器进程和处理器利用率信息, 用stack decode
show tech-support ;显示几个show命令的输出
show access-lists ;查看访问列表配置
show memory ;用于测试内存问题
2) 接口相关命令
show queueing [fair|priority|custom]
show queue e0/1 ;查看接口上队列的设置和操作
show interface e0/1 ;Cisco缺省的Ethernet封装方法是ARPA
show ip interface e0/1 ;显示指定接口的TCP/IP配置信息
3) 进程相关命令
show processes cpu ;显示路由器CPU的使用率和当前的进程
show processes memory ;显示路由器当前进程的内存使用情况
4) TCP/IP协议相关命令
Show ip access-list ;显示IP访问列表(1-199)
Show ip arp ;显示路由器的ARP缓存(IP、MAC、封装类型、接口)
Show ip protocols ;显示运行在路由器上的IP路由协议的信息
Show ip route ;显示IP路由表中的信息
Show ip traffic ;显示IP流量统计信息
2、debug命令
DEBUG不应在CPU使用率超过50%的路由器上运行。
1) 限制debug输出
在使用DEBUG获得所需数据后,要关闭Debug
使路由器对所有消息都配置使用时间戳:
Router#service timestamps debug datetime msec localtime
Router#service timestamp log datetime msec localtime
缺省,error和debug信息仅发送到console,telnet到路由器上看不到debug和log的信息。想在telnet中看到debug和log信息:
Router#terminal monitor
Router#terminal monitor ;关闭信息输出
Router#undebug all ;关闭debug进程及所有相关信息的输出
可以应用ACL到debug以限定仅输出要求的debug信息。
如仅查看从10.0.1.1到10.1.1.1的ICMP包:
Router(config)#access-list 101 permit icmp host 10.0.1.1 host 10.1.1.1
Router#debug ip packet detail 101
2) 全局debug命令:
3) 接口debug
4) 协议debug
5) IP debug
debug ip packets
3、logging命令
输出error和其它信息到console、terminal、路由器内部buffer或一台syslog服务器:
Router>show logging
Cisco路由器有8种可能的logging级:0-7
Logging级别 名称 描述
1 Emergencies 系统不能用的信息
2 Alerts 直接行动
3 Critical 紧急情形
4 Errors 错误信息
5 Warnings 警告信息
6 Notifications 正常但重要的情形
7 Informational 信息
8 Debugging 调试
缺省地,console、monitor、buffer的logging被设置为debugging级,而trap(syslog)服务器的logging被设置为informational。
4、执行路由核心复制
core mp包含一份当前系统内存中信息的精确拷贝。捕捉包含在内存中信息的方法有:
1) 配置路由器在崩溃时执行Core Dump,存储到TFTP、FTP、RCP服务器:
对TFTP协议,只需指定TFTP服务器IP,不需要任何附加的配置:
Router(config)#exception mp 192.168.1.1 ;TFTP服务器的IP地址
对FTP协议的配置:
Router(config)#exception mp 192.168.1.1 ;FTP服务器的IP地址
Router(config)#ip ftp username Kevin
Router(config)#ip ftp password aloha
Router(config)#ip ftp source-interface e0
Router(config)#exception protocol ftp
对RCP协议的配置:
Router(config)#exception protocol rcp
Router(config)#exception mp 192.168.1.1 ;RCP服务器的IP地址
Router(config)#ip rcmd remote-username Kevin
Router(config)#ip rcmd rcp-enable
Router(config)#ip rcmd rsh-enable
Router(config)#ip rcmd remote-host Kevin 192.168.1.1 kevin ;
2) 在系统没有崩溃的情况下,执行Core Dump命令。
Router#write core
Core Dump仅在Cisco工程师测试和解决路由器问题时有用。
5、ping命令
ping用于测试整个网络可达性和连通性。可在用户EXEC模式和特权EXEC模式下使用。
IP的ping使用ICMP协议提供连通性和可能性信息,缺省只发送5个echo信息。
扩展Ping的选项有:源IP地址;服务类型;数据;包头选项。
Ping的响应字符集
字符 解释 字符 解释
! Received an echo-reply message Q Source quench
. Timeout M Unable to fragment
U/H Destination unreachable A Administratively denied
N Network unreachable ? Unknown packet-type
P Protocol unreachable
6、traceroute命令
traceroute用于显示到达目标的包路径。可在用户模式和特权模式下使用。
Traceroute的响应:
字符 解释 字符 解释
Xx msec The RTT for each packet * Timeout
H Host unreachable U Port unreachable
N Network unreachable P Protocol unreachable
A Administratively denied Q Source quench
? Unknown packet type
二、LAN连接问题
1、获得IP地址
主机可以动态或静态获得IP地址。
1) DHCP:DHCP比BootP多了地址池和租期。
2) BootP:
3) Helper Addresses:指定集中放置的DHCP服务器的IP地址
Ip helperaddress ip-address ;
No ip forward-protocol udp 137 ;
4) 路由器上的DHCP服务:配置路由器为一台DHCP服务器
5) DHCP和BootP故障处理
Show dhcp server ;
Show dhcp lease ;
2、ARP
ARP映射第2层MAC地址到第3层地址。
Show arp ;显示路由器的ARP表
Debug arp ;
1) ARP代理:缺省Cisco路由器的ARP代理是启用的
在下列情况下,CISCO路由器将用自身的MAC地址响应ARP请求:
? 接收到ARP的接口上的Proxy ARP是启用的;
? ARP请求的地址不在本地子网;
? 路由器的路由表中包含ARP请求地址的子网;
3、TCP连接示例
三、IP访问列表
1、标准ACL:基于IP包的源IP地址允许或禁用
2、扩展ACL:提供源地址、目标地址、端口号、会话层协议进行过滤。
3、命名ACL:可以是标准ACL,也可以是扩展ACL。
命名ACL与编号ACL的区别:命名ACL有一个逻辑名,可以删除命名ACL中单独一行。
Ip access-list extended Example-Named-ACL
Deny tcp any any eq echo
Deny tcp any any eq 37
Permit udp host 172.16.10.2 any eq snmp
Permit tcp any any
第6章 TCP/IP路由协议故障处理
一、缺省网关
当包的目的地址不在路由器的路由表中,如路由器配置了缺省网关,则转发到缺省网关,否则就丢弃。
Show ip route ;查看Cisco路由器的缺省网关
二、静态和动态路由
三、处理k_protocal/04937.htm" target="_blank">RIP故障
RIP是距离矢量路由协议,度量值是跳数。RIP最大跳数为15,如果到目标的跳数超过15,则为不可达。
RIP V1是有类别路由协议,RIP V2是非分类路由协议,支持CIDR、路由归纳、VLSM,使用多播(224.0.0.9)发送路由更新。
RIP相关的show命令:
Show ip route rip ;仅显示RIP路由表
Show ip route ;显示所有IP路由表
Show ip interface ;显示IP接口配置
Show running-config
Debug ip rip events ;
常见的RIP故障:RIP版本不一致、RIP使用UDP广播更新
四、处理IGRP故障
IGRP是Cisco专用路由协议,距离矢量协议。IGRP的度量值可以基于五个要素:带宽、延时、负载、可靠性、MTU,缺省只使用带宽和延时。
IGRP相关的show命令:
Show ip route igrp ;显示IGRP路由表
Debug ip igrp events ;
Debug ip igrp transactions ;
常见的IGRP故障:访问列表、不正确的.配置、到相邻路由器的line down
五、处理EIGRP故障
EIGRP是链路状态协议和距离矢量混合协议,是CISCO专用路由协议。EIGRP使用多播地址224.0.0.10发送路由更新,使用DUAL算法计算路由。EIGRP的度量值可以基于带宽、延时、负载、可靠性、MTU,缺省仅使用带宽和延时。
EIGRP使用3种数据库:路由数据库、拓扑数据库、相邻路由器数据库。
EIGRP相关的show命令:
Show running-config
Show ip route
Show ip route eigrp ;仅显示EIGRP路由
Show ip eigrp interface ;显示该接口的对等体信息
Show ip eigrp neighbors ;显示所有的EIGRP邻居及其信息
Show ip eigrp topology ;显示EIGRP拓扑结构表的内容
Show ip eigrp traffic ;显示EIGRP路由统计的归纳
Show ip eigrp events ;显示最近的EIGRP协议事件记录
EIGRP相关的debug命令:
Debug ip eigrp as号
Debug ip eigrp neighbor
Debug ip eigrp notifications
Debug ip eigrp summary
Debug ip eigrp
常见的EIGRP故障:相邻关系、缺省网关等的丢失、老版本IOS的路由、stuck in active。
处理EIGRP故障时,先用show ip eigrp neighbors查看所有相邻路由器,然后再用show ip route gigrp查看路由器的路由表,再用show ip eigrp topology查看路由器的拓扑结构表,也可用show ip eigrp traffic查看路由更新是否被发送。
六、处理OSPF故障
OSPF是链路状态协议,维护3个数据库:相邻数据库、拓扑结构数据库、路由表。
OSPF相关的show命令:
Show running-config
Show ip route
Show ip route ospf ;仅显示OSPF路由
Show ip ospf process-id ;显示与特定进程ID相关的信息
Show ip ospf ;显示OSPF相关信息
Show ip ospf border-routers ;显示边界路由器
Show ip ospf database ;显示OSPF的归纳数据库
5. 思科路由器基础配置命令
基础配置命令如下
一、1.router(config)#router rip 启动rip进程
2.router(conifg-router)#network 172.17.0.0指定rip协议的主网络
3.router(config-router)#passive-interface f0/1把f0/1配置成passive端口
4.router(config-router)#neighbor 172.17.12.67 以单波方式通告rip更新给路由器
5.router(config-if)#ip address 192.168.83.244 255.255.255.0 主ip地址
router(config-if)#ip address 10.33.55.1 255.255.255.0 secondary辅助ip地址
二、1.router(config-router)#version 2将rip配置成版本2
2.router(config-ip)#ip rip send version 1只发rip 1数据包
router(config-ip)#ip rip receive version 2只接收rip 2数据包
3.router(config-router)#no auto-summary 关闭汇总功能
4.router(config-if)#no ip split-horizon关闭水平分割
5.router#show ip ospf database router 192.168.30.10显示路由器LSA通告
router#show ip ospf database network 192.168.17.18显示网络LSA通告
router#show ip ospf database summary 172.16.121.0显示网络汇总LSA通告
router#show ip ospf database asbr-summary显示ASBR汇总LSA通告
router#show ip ospf database external 10.83.10.0显示自主系统外部LSA通告
router#show ip ospf database nssa-external显示NSSA外部LSA通告
三、1.router(config)#router ospf 10配置ospf进程id
2.router(config)#interface loopback0
router(config-if)#ip address 192.168.10.1 255.255.255.0配置loopback0接口
3.router(config-router)#area 1 stub 配置stub区域
4.router(config-router)#area 1 stub no-summary配置totally stubby区域
5.router(config-router)#area 1 nssa配置nssa区域
6.router(config-router)#area 25 range 172.16.0.0 255.240.0.0 配置地址汇总
7.router(config-router)#area 100 virtual-link 192.168.100.33 配置虚链路
四、1.router(config)#standby 172 ip 172.16.10.254加入备份组172 指定虚拟IP 地址
2.router(config-if)#standby 47 priority 150配置HSRP的优先级150
3.router(config-if)#standby 47 preempt 配置HSRP的占先权
4.router(config-if)#standby 47 ip time 2 9 2表示HELLO时间,9表示保持时间
5.router(config)#interface s0
6.router(config-if)#standby 47 track s0 100配置跟踪端口s0并在端口down时减少100
7.router#show standby brief 查看HSRP的状态
8.router#no debuge all关闭调试功能
五、1.router(config-if)#ip access-group 1 in 访问列表的入
router(config-if)#ip access-group 1 out访问列表的出
2.router(config)#access-list 1 premit 192.168.10.0 0.0.0.255 允许192.168.10.0的网段通过
router(config)#access-list 1 deny 192.168.10.0 2.0.0.255 拒绝192.168.10.2的主机通过
3.router(config)#access-list 1 premit any ;any表示0.0.0.0 255.255.255.255
router(config)#access-list 1 premit host 172.30.16.29 ;host表示0.0.0.0
4.router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21拒绝来自172.16.4.0去往172.16.3.0的FTP流量
5.router(config)#ip access-list extended cisco创建名为cisco的命名访问控制列表
六、静态地址转换1.配置外部端口的IP地址
Router(config)#interface s0
Router(config-if)#ip address 61.159.62.129 255.255.255.248
2.配置内部端口的IP地址
Router(config)#interface e0
Router(config-if)#ip address 192.168.100.1 255.255.255.0
3.静态地址转换
Router(config)#ip nat inside source static 192.168.100.2 61.159.62.130
4.在内部和外部端口上启用NAT
Router(config)#interafce s0
Router(config-if)#ip nat outside
Router(config)#interafce e0
Router(config-if)#ip nat inside
七、动态NAT配置1.配置外部端口的IP地址
Router(config)#interface s0
Router(config-if)#ip address 61.159.62.129 255.255.255.248
2.配置内部端口的IP地址
Router(config)#interface e0
Router(config-if)#ip address 192.168.100.1 255.255.255.0
3.定义内部网络允许访问外部网络
Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255
4.定义合法的IP地址池
Router(config)#ip nat pool chen 61.159.62.129 61.159.62.190 netmask 255.255.255.248
5.实现网络地址转换
Router(config)#ip nat inside source list 1 pool chen
6.在内部和外部端口上启用NAT
Router(config)#interafce s0
Router(config-if)#ip nat outside
Router(config)#interafce e0
Router(config-if)#ip nat inside
八、PAT的配置1.配置外部端口的IP地址
Router(config)#interface s0
Router(config-if)#ip address 61.159.62.129 255.255.255.248
2.配置内部端口的IP地址
Router(config)#interface e0
Router(config-if)#ip address 192.168.100.1 255.255.255.0
3.定义内部网络允许访问外部网络
Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255
4.定义合法的IP地址池
Router(config)#ip nat pool chen 61.159.62.129 61.159.62.190 netmask 255.255.255.248
5.实现复用IP地址转换
Router(config)#ip nat inside source list 1 pool chen overload
6.在内部和外部端口上启用NAT
Router(config)#interafce s0
Router(config-if)#ip nat outside
Router(config)#interafce e0
Router(config-if)#ip nat inside
6. 思科交换机常用的100个命令
思科交换机常用的100个命令
在思科交换机上的命令有哪些?哪些命令最实用,你知道吗?下面我为大家分享最常用的思科交换机基本命令,希望能帮助到大家!
1:进入特权模式enable
switch> enable
switch#
2:进入全局配置模式configure terminal
switch> enable
switch#c onfigure terminal
switch(conf)#
3:交换机命名hostname aptech2950 以aptech2950 为例
switch> enable
switch#c onfigure terminal
switch(conf)#hostname aptch-2950
aptech2950(conf)#
4:配置使能口令enable password cisco 以cisco 为例
switch> enable
switch#c onfigure terminal
switch(conf)#hostname aptch2950
aptech2950(conf)# enable password cisco
5:配置使能密码enable secret ciscolab 以cicsolab 为例
switch> enable
switch#c onfigure terminal
switch(conf)#hostname aptch2950
aptech2950(conf)# enable secret ciscolab
6:设置虚拟局域网vlan 1 interface vlan 1
switch> enable
switch#c onfigure terminal
switch(conf)#hostname aptch2950
aptech2950(conf)# interface vlan 1
aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip 和子网掩
码
aptech2950(conf-if)#no shut 是配置处于运行中
aptech2950(conf-if)#exit
aptech2950(conf)#ip default-gateway 192.168.254 设置网关地址
7:进入交换机某一端口interface fastehernet 0/17 以17 端口为例
switch> enable
switch#c onfigure terminal
switch(conf)#hostname aptch2950
aptech2950(conf)# interface fastehernet 0/17
aptech2950(conf-if)#
8:查看命令show
switch> enable
switch# show version 察看系统中的所有版本信息
show interface vlan 1 查看交换机有关ip 协议的配置信息
show running-configure 查看交换机当前起作用的配置信息
show interface fastethernet 0/1 察看交换机1 接口具体配置和统计信息
show mac-address-table 查看mac 地址表
show mac-address-table aging-time 查看mac 地址表自动老化时间
9:交换机恢复出厂默认恢复命令
switch> enable
switch# erase startup-configure
switch# reload
10:双工模式设置
switch> enable
switch#c onfigure terminal
switch2950(conf)#hostname aptch-2950
aptech2950(conf)# interface fastehernet 0/17 以17 端口为例
aptech2950(conf-if)#plex full/half/auto 有full , half, auto 三个可选
项
11:cdp 相关命令
switch> enable
switch# show cdp 查看设备的cdp 全局配置信息
show cdp interface fastethernet 0/17 查看17 端口的cdp 配置信息
show cdp traffic 查看有关cdp 包的统计信息
show cdp nerghbors 列出与设备相连的cisco 设备
12:csico2950 的密码恢复
拔下交换机电源线。
用手按着交换机的MODE 键,插上电源线
在switch:后执行flash_ini 命令:switch: flash_ini
查看flash 中的文件: switch: dir flash:
把“config.text”文件改名为“config.old”: switch: rename flash: config.text flash: config.old
执行boot: switch: boot
交换机进入是否进入配置的对话,执行no :
进入特权模式察看flash 里的文件: show flash :
把“config.old”文件改名为“config.text”: switch: rename flash: config.old flash: config.text
把“ config.text ” 拷入系统的“ running-configure ”: flash: config.text system :
running-configure
把配置模式重新设置密码存盘,密码恢复成功。
13:交换机telnet 远程登录设置:
switch>en
switch#c onfigure terminal
switch(conf)#hostname aptech-2950
aptech2950(conf)#enable password cisco 以cisco 为特权模式密码
aptech2950(conf)#interface fastethernet 0/1 以17 端口为telnet 远程登录端口
aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0
aptech2950(conf-if)#no shut
aptech2950(conf-if)#exit
aptech2950(conf)line vty 0 4 设置0-4 个用户可以telnet 远程登陆
aptech2950(conf-line)#login
aptech2950(conf-line)#password edge 以edge 为远程登录的用户密码
主机设置:
ip 192.168.1.2 主机的ip 必须和交换机端口的地址在同一网络
段
netmask 255.255.255.0
gate-way 192.168.1.1 网关地址是交换机端口地址
运行:
telnet 192.168.1.1
进入telnet 远程登录界面
password : edge
aptech2950>en
password: cisco
aptech#
14:交换机配置的重新载入和保存
设置完成交换机的配置后:
aptech2950(conf)#reload
是否保存(y/n) y: 保存设置信息n:不保存设置信息
1.在基于IOS 的.交换机上设置主机名/系统名:
switch(config)# hostname hostname
在基于CLI 的交换机上设置主机名/系统名:
switch(enable) set system name name-string
2.在基于IOS 的交换机上设置登录口令:
switch(config)# enable password level 1 password
在基于CLI 的交换机上设置登录口令:
switch(enable) set password
switch(enable) set enalbepass
3.在基于IOS 的交换机上设置远程访问:
switch(config)# interface vlan 1
switch(config-if)# ip address ip-address netmask
switch(config-if)# ip default-gateway ip-address
在基于CLI 的交换机上设置远程访问:
switch(enable) set interface sc0 ip-address netmask broadcast-address
switch(enable) set interface sc0 vlan
switch(enable) set ip route default gateway
4.在基于IOS 的交换机上启用和浏览CDP 信息:
switch(config-if)# cdp enable
switch(config-if)# no cdp enable
为了查看Cisco 邻接设备的CDP 通告信息:
switch# show cdp interface [type modle/port]
switch# show cdp neighbors [type mole/port] [detail]
在基于CLI 的交换机上启用和浏览CDP 信息:
switch(enable) set cdp {enable|disable} mole/port
为了查看Cisco 邻接设备的CDP 通告信息:
switch(enable) show cdp neighbors[mole/port] [vlan|plex|capabilities|detail]
5.基于IOS 的交换机的端口描述:
switch(config-if)# description description-string
基于CLI 的交换机的端口描述:
switch(enable)set port name mole/number description-string
6.在基于IOS 的交换机上设置端口速度:
7. Cisco基础配置命令#注释
R1(config)#banner motd # 提示信息,#(分界符)
设置console密码
R1(config)#line console 0 进入console 0
R1(config-line)#login 允许登陆
R1(config-line)#password cisco 设置密码
R1(config-line)#logging synchronous 使光标还原到原来的位置,重新显示被覆盖的命令里
R1(config-line)#exec-timeout 0 0 阻止会话退出(前1个0单位是“分钟”,后1个0单位是“秒”)
设置特权密码
#enable password cisco 设置明文密码cisco(进特权模式密码)
#service password-encryption 加密上面的明文密码
#enable secret cisco1 设置密文密码cisco1(进特权模式密码)
当明文密码和密文密码同时存在时,密码密码的优先级要高于明文密码
R1(config)#line vty 0 4 设置虚拟终端 允许0~4共5个用户同时登陆
R1(config-line)#password cisco 设置明文密码cisco
R1(config-line)#login local 登陆采用本地密码验证
R1(config)# running-config startup-config 保存配置
R1#show startup-config 查看NVRAM里面的配置
R1#reload 重新启动
R1(config)#interface ethernet 0 进入接口模式
R1(config-if)#description Telecom 提示信息
R1(config-if)#ip add 10.10.10.1 255.255.255.0
R1#show interfaces serial 1 查看接口状态,如果封装协议不同会显示一端接口up,另一端接口down
R1#show interfaces serial 0
R1#show controller serial 0 查看哪一端是DCE或DTE
R1(config)#interface serial 0 进入子接口
R1(config-if)#clock rate 64000 必须在DCE端配置,两个路由器之间通讯必须配置时钟同步
R1(config-if)#no shutdown 开启端口
R1#show cdp 思科专有发现协议CDP,发现直接相邻的设备
entry 详细信息 show cdp entry *
interface 接口
neighbors 邻居
traffic 接口数据包情况汇总
R1(config)#no cdp run 所有接口取消CDP
R1(config)#interface serial 0 假如我想只关掉serial 0接口的CDP协议,进入接口
R1(config-if)#no cdp enable 关闭这个接口CDP
Router>en 进特权模式
Router#conf t 进全局模式
Router(config)#line con 0 进console口
Router(config-line)#logg sy 光标跟随不覆盖命令
Router(config-line)#exec-t 0 0 会话永不超时
Router(config-line)#exi 退回上层
Router(config)#no ip domain-lo 取消域名解析
Router(config)#host R1 重命名路由器名称
创建VLAN
SW#vlan database 进入vlan模式
SW(vlan)#vlan 2 name cisco 创建vlan2并命名为cisco
SW(config)#int fa 0/2 在全局模式下进入快速以太网接口2
SW(config-if)#switchport mode access 定义端口为访问接口模式(接口模式分为"trunk"主干接口和访问接口)
SW(config-if)#switchport access vlan 2 将端口2加入到vlan2中
SW(config-if)#no shutdown
Trunk配置
SW#vlan database
SW#conf t
SW(config)#int fa 0/1
SW(config-if)#switchport mode trunk 定义端口为主干接口模式
SW(config-if)#switchport trunk encapsulation dot1q 封装dot1q协议
SW(config-if)#no shutdown
Telnet相关命令
Router#show session 查看连接的是哪台设备
Router#show user 查看登录的用户
RouterB# X 先按Ctrl+Shift+6然后再按X就切换到路由A上面
RouterA#show session
RouterA#resume 1 返回到路由器B上面
RouterB# disconnect 断开连接
RouterA#clear line 0 清除远端设备建立的会话
show version ! 检查配置寄存器的值
show flash ! 检查Flash中的ISO
show startup-config ! 检查NVRAM中的启动配置文件
show running-config ! 检查RAM中的文件
Router#erase startup-config 删除NVRAM中的配置文件
Router(config)#config-register 0x2101 修改寄存器的值(0x2102 正常的值,0x2142 跳过配置文件,0x2101 进入迷你ios)
Router# running-config startup-config 保存配置文件
Router#write 保存配置文件(全程保存配置)
cisco2600、3600等新系列路由器密码破解
1.启动路由器,60秒内按下CTRL+break键
2.rommon>confreg 0x2142 配置启动时不引导配置文件
3.rommon>reset 重启
4.router# startup-config running-config 将NVRAM里面的配置文件拷贝到内存中(进特权模式操作)
5.router(config)#no enable secrect 取消特权密码
6.router(config-line)#no password 取消vty密码
7.router# running-config startup 保存
8.router(config)#config-register 0x2102
配置VTP
SW#vlan database
SW(vlan)#vtp server VTP服务器端,另一台交换机设置为client客户端
SW(vlan)#vtp domain cisco 设置VTP域名为cisco ,客户端同样设置
SW(vlan)#vtp password cisco 设置密码为cisco ,客户端同样设置
8. cisco常用命令
cisco常用命令大全
为帮助大家更好通过思科认证。我为大家分想的是思科认证基本命令,欢迎参考阅读!
路由器的几个基本命令:
Router>enable 进入特权模式
Router#disable 从特权模式返回到用户模式
Router#configure terminal 进入到全局配置模式
Router(config)#interface ethernet 1 进入到路由器编号为1的以太网口
exit 返回上层模式
end 直接返回到特权模式
========================================================
注意:
1、CISCO CATALYST(交换机),如果在初始化时没有发现“用户配置”文件,就会自动载入Default Settings(默认配置)文件,进行交换机初始化,以确保交换机正常工作。
2、CISCO Router(路由器)在初始化时,如果没有发现“用户配置”文件,系统会自动进入到“初始化配置模式”(系统配置对话模式,SETUP模式, STEP BY STEP CONFIG模式),不能正常工作!
========================================================
1、CONSOLE PORT(管理控制台接口):距离上限制,独占的方式。刚开始配置的时候一般使用这个。
2、AUX port(辅助管理接口):可以挂接MODEM实现远程管理,独占的方式。
3、Telnet:多人远程管理(决定于性能,VTY线路数量)不安全。后期维护,远程管理登陆。
========================================================
注意:
交换机、路由器配置命令都是回车后立即执行,立即生效的。在运行中的机器上修改命令的时候要特别注意。
========================================================
Router(config)#hostname ?
WORD This system's network name
在配置模式下修改当前主机的本地标识,例:
------------------
Router(config)#hostname r11
r11(config)#
------------------
r11(config-if)#ip address ?
A.B.C.D IP address
为当前端口设置IP地址,使用前先进入需要配置的端口,例:
------------------
r11(config)#interface ethernet 1
r11(config-if)#ip address 172.16.1.1 255.255.255.0
------------------
r11>show version
r11#show version 观察IOS版本,设备工作时间,相关接口列表
r11#show running-config 查看当前生效的配置,此配置文件存储在RAM
r11#show interfaces ethernet 1 查看以太网接口的状态,工作状态等等等...
========================================================
r11#reload 重新加载Router(重启)
r11#setup 手工进入setup配置模式
r11#show history 查看历史命令(最近刚用过的命令)
r11#terminal history size <0-256> 设置命令缓冲区大小,0 : 代表不缓存
r11# running-config startup-config 保存当前配置
注意概念:
nvram:非易失性内存,断电信息不会丢失 <-- 用户配置 <-- 保存着startup-config
ram:随机存储器,断电信息全部丢失 <-- 当前生效配置 <-- 保存着running-config
startup-config:在每次路由器或是交换机启动时候,会主动加载(默认情况)
========================================================
设置说明和密码的几个命令:
r11(config)#banner motd [char c] 同时要以[char c]另起一行结束,描述机器登陆时的说明
r11(config-if)#description 描述接口注释,需要在端口配置模式下
配置console口密码:
------------------
r11(config)#line console 0 进入到consolo 0
r11(config-line)#password eliuzd 设置一个密码为“eliuzd”
r11(config-line)#login 设置login(登陆)时使用密码
------------------
配置enable密码:
------------------
r11(config)#enable password cisco 设置明文的enable密码
r11(config)#enable secret eliuzd 设置暗文的enable密码(优先于明文被使用)
r11(config)#service password-encryption 加密系统所有明文密码(功能较弱)
------------------
配置Telnet密码:
------------------
r11(config)#line vty 0
r11(config-line)#password cisco
r11(config-line)#login
------------------
========================================================
配置虚拟回环接口:(回环接口默认为UP状态)
(config)# 下,虚拟一个端口
------------------
r11(config)#interface loopback 0 创建一个回环接口loopback 0
r11(config-if)#ip address 192.168.1.1 255.255.255.0 配置它的IP地址
no * 做配置的反向操作(删除配置)
------------------
=========================================================
路由器 DCE/DTE 仅存在广域网中r11#show controllers serial 0 用于查看DCE与DTE的属性,serial 0路由器广域网端口
DCE的Router需要配置时钟频率
r11(config-if)#clock rate ? 配置DCE接口的时钟频率(系统指定频率)
一般实际情况下,这个不需要自己配置,因为DCE设备都在运营商那。
=========================================================
r11#show interfaces serial 1
查看端口状态,第一行提示说明
Serial1 is administratively down, Line protocol is down
没有使用no shutdown命令激活端口
Serial1 is down, Line protocol is down
1、对方没有no shutdown激活端口
2、线路损坏,接口没有任何连接线缆
Serial1 is up, line protocol is down
1、对方没有配置相同的二层协议,Serial接口default encapsulation: HDLC
2、可能没有配置时钟频率
3、可能没有正确的配置三层地址(可能)
Serial1 is up,line protocol is up
接口工作正常
========================================================
查看CDP信息的几个命令:
r11#show cdp neighbors 查看CDP的邻居(不含IP)
r11#show cdp neighbors detail 查看CDP的邻居(包含三层的IP地址)
r11#show cdp entry * 查看CDP的邻居(包含三层的IP地址)老命令
r1(config)#no cdp run 在全局配置模式关闭CDP协议(影响所有的接口)
r1(config-if)#no cdp enable 在接口下关闭CDP协议(仅仅影响指定的接口)
r11#clear cdp table 清除CDP邻居表
r11#show cdp interface serial 1 查看接口的CDP信息
注意两个提示:
Sending CDP packets every 60 seconds(每60秒发送cdp数据包)
HoldTime 180 seconds(每个cdp数据包保持180秒)
========================================================
r11(config)#ip host 设置静态的主机名映射
r11#show sessions 查看设置过的映射主机名
========================================================
Telnet *.*.*.* 被telnet的设备,需要设置line vty的密码,如果需要进入特权模式需要配置enable密码
例:
------------------
Router#telnet 192.168.1.1
------------------
Router#show users 查看登录到本地的用户
Router#show sessions 查看从本地telnet外出的会话
Router#clear line * 强制中断“telnet到本地”的会话
Router#disconnect * 强制中断“telnet外出”的会话
========================================================
以下只是在实验时连接交换机上切换登陆路由器的命令,可以跳过。
>show hosts 显示当前的主机名配置
>show sessions 显示当前的外出TELNET会话
>clear line XXX 清除线路
+ 直接返回到特权模式
++<6> + x
========================================================
Access-enable允许路由器在动态访问列表中创建临时访问列表入口
Access-group把访问控制列表(ACL)应用到接口上
Access-list定义一个标准的IP ACL
Access-template在连接的路由器上手动替换临时访问列表入口
Appn向APPN子系统发送命令
Atmsig 执行ATM信令命令
B 手动引导操作系统
Bandwidth 设置接口的带宽
Banner motd 指定日期信息标语
Bfe 设置突发事件手册模式
Boot system 指定路由器启动时加载的系统映像
Calendar 设置硬件日历
Cd 更改路径
Cdp enable 允许接口运行CDP协议
Clear 复位功能
Clear counters 清除接口计数器
Clear interface 重新启动接口上的件逻辑
Clockrate 设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率
Cmt 开启/关闭FDDI连接管理功能
Config-register 修改配置寄存器设置
Configure 允许进入存在的配置模式,在中心站点上维护并保存配置信息
Configure memory 从NVRAM加载配置信息
Configure terminal 从终端进行手动配置
Connect 打开一个终端连接
Copy 复制配置或映像数据
Copy flash tftp 备份系统映像文件到TFTP服务器
Copy running-config startup-config 将RAM中的当前配置存储到NVRAM
Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上
Copy tftp flash 从TFTP服务器上下载新映像到Flash
Copy tftp running-config 从TFTP服务器上下载配置文件
Debug 使用调试功能
Debug dialer 显示接口在拨什么号及诸如此类的信息
Debug ip rip 显示RIP路由选择更新数据
Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息
Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息
Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程
Debug ppp 显示在实施PPP中发生的业务和交换信息
Delete 删除文件
Deny 为一个已命名的IP ACL设置条件
Dialer idle-timeout 规定线路断开前的空闲时间的长度
9. 思科路由器设置方法和常见配置命令
思科路由器设置方法和常见配置命令
思科路由器怎么设置,是我们经常遇到的问题,下面我准备了关于思科路由器设置方法和常见配置命令,欢迎大家参考学习!
一、基本设置方式
一般来说,可以用5种方式来设置Cisco思科路由器:
1.Console口接终端或运行终端仿真软件的微机;
2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连;
3.通过Ethernet上的TFTP服务器;
4.通过Ethernet上的TELNET程序;
5.通过Ethernet上的SNMP网管工作站。
但Cisco思科路由器的第一次设置必须通过第一种方式进行,一般用超级终端通过com口进行控制。此时终端的硬件设置如下:
波特率 :9600
数据位 :8
停止位 :1
奇偶校验: 无
二、命令操作
Cisco思科路由器所用的操作系统是IOS.共有以下几种状态:
1、router>
在router>提示符下,Cisco思科路由器处于用户命令状态,这时用户可以看Cisco思科路由器的连接状态,访问其它网络和主机,但不能看到和更改Cisco思科路由器的设置内容。此时输入?并回车,可以查看到在此状态下可以用的命令。(IOS允许你在任何时候用这种方式查看在某种状态下可以用的命令)。在敲入enable并回车后,按照系统提示输入密码,(在新的Cisco思科路由器第一次进行调试的时候不需要输入密码,直接回车即可)进入#提示符,就可以对Cisco思科路由器进行各种操作了。
2、router#
Cisco思科路由器进入特权命令状态router#后,不但可以执行所有的用户命令,还可以看到和更改Cisco思科路由器的设置内容。此时就可以对Cisco思科路由器的名字、密码等进行设置。
3、router(config)#
在router#提示符下键入configure terminal,出现提示符router(config)#,此时Cisco思科路由器处于全局设置状态,这时可以设置Cisco思科路由器的全局参数。
4、router(config-if)#;
router(config-line)#;
router(config-router)#;…
Cisco思科路由器处于局部设置状态,这时可以设置Cisco思科路由器某个局部的参数。
5、Cisco思科路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时Cisco思科路由器不能完成正常的功能,只能进行软件升级和手工引导。在此状态下,可以进行口令恢复。
三、常用命令
1.帮助
在IOS操作中,无论任何状态和位置,都可以键入“?”得到系统的帮助。系统会显示此时可以使用的命令。
2.改变命令状态
任务命令
进入特权命令状态enable
退出特权命令状态disable
进入设置对话状态Setup
进入全局设置状态config terminal
退出全局设置状态End
进入端口设置状态interface type slot/number
进入子端口设置状态interface type number.subinterface [point-to-point | multipoint]
进入线路设置状态line type slot/number
进入路由设置状态router protocol
退出局部设置状态Exit
3.显示命令
任务命令
查看版本及引导信息show version
查看运行设置show running-config
查看开机设置show startup-config
显示端口信息show interface type slot/number
显示路由信息show ip router
4.拷贝命令
用于IOS及CONFIG的备份和升级
5.网络命令
任务命令
登录远程主机telnet hostname|IP address
网络侦测ping hostname|IP address
路由跟踪Trace hostname|IP address
6.基本设置命令
任务命令
全局设置config terminal
设置访问用户及密码username username password password
设置特权密码enable secret password
设置Cisco思科路由器名hostname name
设置静态路由ip route destination subnet-mask next-hop
启动IP路由ip routing
启动IPX路由Ipx routing
端口设置interface type slot/number
设置IP地址ip address address subnet-mask
设置IPX网络Ipx network network
激活端口no shutdown
物理线路设置line type number
启动登录进程login [local|tacacs server]
设置登录密码password password
本文描述了如何进行思科路由器的基本设置,基本的命令操作以及常用命令进行操作和总体的.设置,并讲述了一些基本的服务设置。
四、总体设置
在router#特权命令状态下,可以用setup对Cisco思科路由器进行总体设计,利用这个设计过程可以省略手工设置的烦琐。但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。
进入设置对话过程后,Cisco思科路由器首先会显示一些提示信息:
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
这是告诉你在设置对话过程中的任何地方都可以键入“?”得到系统的帮助,按ctrl-c可以退出设置过程,缺省设置将显示在‘[]’中。然后Cisco思科路由器会问是否进入设置对话:
Would you like to enter the initial configuration dialog? [yes]:
如果按y或回车,Cisco思科路由器就会进入设置对话过程。首先你可以看到各端口当前的状况:
First, would you like to see the current interface summary? [yes]:
Any interface listed with OK? value "NO" does not have a valid configuration
InterfaceIP-AddressOK?MethodStatusProtocol
Serial0unassignedNOunsetupup
……………………………
然后,Cisco思科路由器就开始全局参数的设置:
Configuring global parameters:
1.设置Cisco思科路由器名:
Enter host name [Router]:
2.设置进入特权状态的密文(secret),此密文在设置以后不会以明文方式显示:
The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
Enter enable secret: cisco
3.设置进入特权状态的密码(password),此密码只在没有密文时起作用,并且在设置以后会以明文方式显示:
The enable password is used when there is no enable secret
and when using older software and some boot images.
Enter enable password: pass
4.设置虚拟终端访问时的密码:
Enter virtual terminal password: cisco
5.询问是否要设置Cisco思科路由器支持的各种网络协议:
Configure SNMP Network Management? [yes]:
Configure DECnet? [no]:
Configure AppleTalk? [no]:
Configure IPX? [no]:
Configure IP? [yes]:
Configure IGRP routing? [yes]:
Configure RIP routing? [no]:
………
6.如果配置的是拨号访问服务器,系统还会设置异步口的参数:
Configure Async lines? [yes]:]
1)设置线路的最高速度:
Async line speed [9600]:
2)是否使用硬件流控:
Configure for HW flow control? [yes]:
3)是否设置modem:
Configure for modems? [yes/no]: yes
4)是否使用默认的modem命令:
Configure for default chat script? [yes]:
5)是否设置异步口的PPP参数:
Configure for Dial-in IP SLIP/PPP access? [no]: yes
6)是否使用动态IP地址:
Configure for Dynamic IP addresses? [yes]:
7)是否使用缺省IP地址:
Configure Default IP addresses? [no]: yes
是否使用TCP头压缩:
Configure for TCP Header Compression? [yes]:
9)是否在异步口上使用路由表更新:
Configure for routing updates on async links? [no]: y
10)是否设置异步口上的其它协议。接下来,系统会对每个接口进行参数的设置。
1.Configuring interface Ethernet0:
1)是否使用此接口:
Is this interface in use? [yes]:
2)是否设置此接口的IP参数:
Configure IP on this interface? [yes]:
3)设置接口的IP地址:
IP address for this interface: 192.168.162.2
4)设置接口的IP子网掩码:
Number of bits in subnet field [0]:
Class C network is 192.168.162.0, 0 subnet bits; mask is /24
在设置完所有接口的参数后,系统会把整个设置对话过程的结果显示出来:
The following configuration command script was created:
hostname Router
enable secret 5 $W5Oh$p6J7tIgRMBOIKVXVG53Uh1
enable password pass
…………
请注意在enable secret后面显示的是乱码,而enable password后面显示的是设置的内容。就是说,secret密码的优先级比较高,在两个密码都设了的情况下,secret密码起作用。
显示结束后,系统会问是否使用这个设置:
Use this configuration? [yes/no]: yes
如果回答yes,系统就会把设置的结果存入Cisco思科路由器的NVRAM中,然后结束设置对话过程,使Cisco思科路由器开始正常的工作。
五、广域网协议设置
PPP
PPP(Point-to-Point Protocol)是SLIP(Serial Line IP protocol)的继承者,它提供了跨过同步和异步电路实现Cisco思科路由器到Cisco思科路由器(router-to-router)和主机到网络(host-to-network)的连接。
CHAP(Challenge Handshake Authentication Protocol)和PAP(Password Authentication Protocol) (PAP)通常被用于在PPP封装的串行线路上提供安全性认证。使用CHAP和PAP认证,每个Cisco思科路由器通过名字来识别,可以防止未经授权的访问。
任务命令
设置PPP封装encapsulation ppp1
设置认证方法ppp authentication {chap | chap pap | pap chap | pap} [if-needed] [list-name | default] [callin]
指定口令username name password secret
设置DCE端线路速度clockrate speed
;10. 思科配置命令详细介绍
思科配置命令详细介绍
对于刚想学计算机网络技术的朋友,首先接触的就是思科路由器,下面是我给大家带来的最详细的CISCO路由器配置命令及方法:
目 录 :
第一章 路由器配置基础
一、基本设置方式
二、命令状态
三、设置对话过程
四、常用命令
五、配置IP寻址
六、配置静态路由
第二章 广域网协议设置
一、HDLC
二、PPP
三、X.25
四、Frame Relay
五、ISDN
六、PSTN
第三章 路由协议设置
一、RIP协议
二、IGRP协议
三、OSPF协议
四、重新分配路由
五、IPX协议设置
第四章 服务质量及访问控制
一、协议优先级设置
二、队列定制
三、访问控制
第五章 虚拟局域网(VLAN)路由
一、虚拟局域网(VLAN)
二、交换机间链路(ISL)协议
三、虚拟局域网(VLAN)路由实例
第一章:路由器配置基础
一、基本设置方式
一般来说,可以用5种方式来设置路由器:
1.Console口接终端或运行终端仿真软件的微机;
2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连;
3.通过Ethernet上的TFTP服务器;
4.通过Ethernet上的TELNET程序;
5.通过Ethernet上的SNMP网管工作站。
但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下:
波特率 :9600
数据位 :8
停止位 :1
奇偶校验: 无
二、命令状态
1. router>
路由器处于用户命令状态,这时用户可以看路由器的连接状态,访问其它网络和主机,但不能看到和更改路由器的设置内容。
2. router#
在router>提示符下键入enable,路由器进入特权命令状态router#,这时不但可以执行所有的用户命令,还可以看到和更改路由器的设置内容。
3. router(config)#
在router#提示符下键入configure terminal,出现提示符router(config)#,此时路由器处于全局设置状态,这时可以设置路由器的全局参数。
4. router(config-if)#; router(config-line)#; router(config-router)#;…
路由器处于局部设置状态,这时可以设置路由器某个局部的参数。
5. >
路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。
设置对话状态
这是一台新路由器开机时自动进入的状态,在特权命令状态使用SETUP命令也可进入此状态,这时可通过对话方式对路由器进行设置。
三、设置对话过程
显示提示信息
全局参数的设置
接口参数的设置
显示结果
利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。
进入设置对话过程后,路由器首先会显示一些提示信息:
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
这是告诉你在设置对话过程中的任何地方都可以键入“?”得到系统的帮助,按ctrl-c可以退出设置过程,缺省设置将显示在‘[]’中。然后路由器会问是否进入设置对话:
Would you like to enter the initial configuration dialog? [yes]:
如果按y或回车,路由器就会进入设置对话过程。首先你可以看到各端口当前的状况:
First, would you like to see the current interface summary? [yes]:
Any interface listed with OK? value "NO" does not have a valid configuration
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned NO unset up up
Serial0 unassigned NO unset up up
……… ……… … …… … …
然后,路由器就开始全局参数的设置:
Configuring global parameters:
1.设置路由器名:
Enter host name [Router]:
2.设置进入特权状态的密文(secret),此密文在设置以后不会以明文方式显示:
The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
Enter enable secret: cisco
3.设置进入特权状态的密码(password),此密码只在没有密文时起作用,并且在设置以后会以明文方式显示:
The enable password is used when there is no enable secret
and when using older software and some boot images.
Enter enable password: pass
4.设置虚拟终端访问时的密码:
Enter virtual terminal password: cisco
5.询问是否要设置路由器支持的各种网络协议:
Configure SNMP Network Management? [yes]:
Configure DECnet? [no]:
Configure AppleTalk? [no]:
Configure IPX? [no]:
Configure IP? [yes]:
Configure IGRP routing? [yes]:
Configure RIP routing? [no]:
………
6.如果配置的是拨号访问服务器,系统还会设置异步口的参数:
Configure Async lines? [yes]:
1) 设置线路的最高速度:
Async line speed [9600]:
2) 是否使用硬件流控:
Configure for HW flow control? [yes]:
3) 是否设置modem:
Configure for modems? [yes/no]: yes
4) 是否使用默认的modem命令:
Configure for default chat s cript? [yes]:
5) 是否设置异步口的PPP参数:
Configure for Dial-in IP SLIP/PPP access? [no]: yes
6) 是否使用动态IP地址:
Configure for Dynamic IP addresses? [yes]:
7) 是否使用缺省IP地址:
Configure Default IP addresses? [no]: yes
8) 是否使用TCP头压缩:
Configure for TCP Header Compression? [yes]:
9) 是否在异步口上使用路由表更新:
Configure for routing updates on async links? [no]: y
10) 是否设置异步口上的其它协议。
接下来,系统会对每个接口进行参数的设置。
1.Configuring interface Ethernet0:
1) 是否使用此接口:
Is this interface in use? [yes]:
2) 是否设置此接口的IP参数:
Configure IP on this interface? [yes]:
3) 设置接口的IP地址:
IP address for this interface: 192.168.162.2
4) 设置接口的IP子网掩码:
Number of bits in subnet field [0]:
Class C network is 192.168.162.0, 0 subnet bits; mask is /24
在设置完所有接口的参数后,系统会把整个设置对话过程的结果显示出来:
The following configuration command s cript was created:
hostname Router
enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1
enable password pass
…………
请注意在enable secret后面显示的是乱码,而enable password后面显示的是设置的内容。
显示结束后,系统会问是否使用这个设置:
Use this configuration? [yes/no]: yes
如果回答yes,系统就会把设置的结果存入路由器的NVRAM中,然后结束设置对话过程,使路由器开始正常的工作。
四、常用命令
1. 帮助
在IOS操作中,无论任何状态和位置,都可以键入“?”得到系统的帮助。
2. 改变命令状态
任务 命令
进入特权命令状态 enable
退出特权命令状态 disable
进入设置对话状态 setup
进入全局设置状态 config terminal
退出全局设置状态 end
进入端口设置状态 interface type slot/number
进入子端口设置状态 interface type number.subinterface [point-to-point | multipoint]
进入线路设置状态 line type slot/number
进入路由设置状态 router protocol
退出局部设置状态 exit
3. 显示命令
任务 命令
查看版本及引导信息 show version
查看运行设置 show running-config
查看开机设置 show startup-config
显示端口信息 show interface type slot/number
显示路由信息 show ip router
4. 拷贝命令
用于IOS及CONFIG的备份和升级
5. 网络命令
任务 命令
登录远程主机 telnet hostname|IP address
网络侦测 ping hostname|IP address
路由跟踪 trace hostname|IP address
6. 基本设置命令
任务 命令
全局设置 config terminal
设置访问用户及密码 username username password password
设置特权密码 enable secret password
设置路由器名 hostname name
设置静态路由 ip route destination subnet-mask next-hop
启动IP路由 ip routing
启动IPX路由 ipx routing
端口设置 interface type slot/number
设置IP地址 ip address address subnet-mask
设置IPX网络 ipx network network
激活端口 no shutdown
物理线路设置 line type number
启动登录进程 login [local|tacacs server]
设置登录密码 password password
五、配置IP寻址
1. IP地址分类
IP地址分为网络地址和主机地址二个部分,A类地址前8位为网络地址,后24位为主机地址,B类地址16位为网络地址,后16位为主机地址,C类地址前24位为网络地址,后8位为主机地址,网络地址范围如下表所示:
种类 网络地址范围
A 1.0.0.0 到126.0.0.0有效 0.0.0.0 和127.0.0.0保留
B 128.1.0.0到191.254.0.0有效 128.0.0.0和191.255.0.0保留
C 192.0.1.0 到223.255.254.0有效 192.0.0.0和223.255.255.0保留
D 224.0.0.0到239.255.255.255用于多点广播
E 240.0.0.0到255.255.255.254保留 255.255.255.255用于广播
2. 分配接口IP地址
任务 命令
接口设置 interface type slot/number
为接口设置IP地址 ip address ip-address mask
掩玛(mask)用于识别IP地址中的网络地址位数,IP地址(ip-address)和掩码(mask)相与即得到网络地址。
3. 使用可变长的子网掩码
通过使用可变长的子网掩码可以让位于不同接口的同一网络编号的网络使用不同的掩码,这样可以节省IP地址,充分利用有效的IP地址空间。
如下图所示:
Router1和Router2的E0端口均使用了C类地址192.1.0.0作为网络地址,Router1的E0的网络地址为192.1.0.128, 掩码为255.255.255.192, Router2的E0的网络地址为192.1.0.64,掩码为255.255.255.192,这样就将一个C类网络地址分配给了二个网,既划分了二个子网,起到了节约地址的作用。
4. 使用网络地址翻译(NAT)
NAT(Network Address Translation)起到将内部私有地址翻译成外部合法的全局地址的功能,它使得不具有合法IP地址的用户可以通过NAT访问到外部Internet.
当建立内部网的时候,建议使用以下地址组用于主机,这些地址是由Network Working Group(RFC 1918)保留用于私有网络地址分配的`.
?; Class A:10.1.1.1 to 10.254.254.254
?; Class B:172.16.1.1 to 172.31.254.254
?; Class C:192.168.1.1 to 192.168.254.254
命令描述如下:
任务 命令
定义一个标准访问列表 access-list access-list-number permit source [source-wildcard]
定义一个全局地址池 ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]
建立动态地址翻译 ip nat inside source {list {access-list-number | name} pool name [overload] | static local-ip global-ip}
指定内部和外部端口 ip nat {inside | outside}
如下图所示,
路由器的Ethernet 0端口为inside端口,即此端口连接内部网络,并且此端口所连接的网络应该被翻译,Serial 0端口为outside端口,其拥有合法IP地址(由NIC或服务提供商所分配的合法的IP地址),来自网络10.1.1.0/24的主机将从IP地址池 c2501中选择一个地址作为自己的合法地址,经由Serial 0口访问Internet。命令ip nat inside source list 2 pool c2501 overload中的参数overload,将允许多个内部地址使用相同的全局地址(一个合法IP地址,它是由NIC或服务提供商所分配的地址)。命令 ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192定义了全局地址的范围。
设置如下:
ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192
interface Ethernet 0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface Serial 0
ip address 202.200.10.5 255.255.255.252
ip nat outside
!
ip route 0.0.0.0 0.0.0.0 Serial 0
access-list 2 permit 10.0.0.0 0.0.0.255
! Dynamic NAT
!
ip nat inside source list 2 pool c2501 overload
line console 0
exec-timeout 0 0
!
line vty 0 4
end
六、配置静态路由
通过配置静态路由,用户可以人为地指定对某一网络访问时所要经过的路径,在网络结构比较简单,且一般到达某一网络所经过的路径唯一的情况下采用静态路由。
任务 命令
建立静态路由 ip route prefix mask {address | interface} [distance] [tag tag] [permanent]
Prefix :所要到达的目的网络
mask :子网掩码
address :下一个跳的IP地址,即相邻路由器的端口地址。
interface :本地网络接口
distance :管理距离(可选)
tag tag :tag值(可选)
permanent :指定此路由即使该端口关掉也不被移掉。
以下在Router1上设置了访问192.1.0.64/26这个网下一跳地址为192.200.10.6,即当有目的地址属于 192.1.0.64/26的网络范围的数据报,应将其路由到地址为192.200.10.6的相邻路由器。在Router3上设置了访问 192.1.0.128/26及192.200.10.4/30这二个网下一跳地址为192.1.0.65。由于在Router1上端口Serial 0地址为192.200.10.5,192.200.10.4/30这个网属于直连的网,已经存在访问192.200.10.4/30的路径,所以不需要在Router1上添加静态路由。
Router1:
ip route 192.1.0.64 255.255.255.192 192.200.10.6
Router3:
ip route 192.1.0.128 255.255.255.192 192.1.0.65
ip route 192.200.10.4 255.255.255.252 192.1.0.65
同时由于路由器Router3除了与路由器Router2相连外,不再与其他路由器相连,所以也可以为它赋予一条默认路由以代替以上的二条静态路由,
ip route 0.0.0.0 0.0.0.0 192.1.0.65
即只要没有在路由表里找到去特定目的地址的路径,则数据均被路由到地址为192.1.0.65的相邻路由器。
;