CTO下载-思科交换机路由器的配置.ppt

1999, Cisco Systems, Inc. 6-1 交换机路由器的配置 1999, Cisco Systems, Inc. ICND6-2 中央处理器 (CPU,Motorola Orion ） 通讯芯片组 内存 接口 控制台端口 (Console) 辅助接口(AUX) 配置文件 交换机/路由器的基本组成 1999, Cisco Systems, Inc. ICND6-3 交换机/路由器内存的组成 只读内存(ROM) 闪存(FLASH) 随机存取内存(RAM) 非易失性RAM(NVRAM) 1999, Cisco Systems, Inc. ICND6-4 交换机/路由器的物理接口 以太网/快速以太网/千兆以太网/万兆以太网 令牌环网(Token Ring) 光纤分布数据接口(FDDI) 同步串口 异步串口 高速接口(HSSI) ISDN BRI(Basic Rate Interface) 1999, Cisco Systems, Inc. ICND6-5 交换机/路由器的逻辑接口 Loopback 通道接口 拨号器 空接口(Null) 1999, Cisco Systems, Inc. ICND6-6 连接交换机/路由器的配置端口 用设备自带的配置线 (Rollover)线来连接计算机的 串口和设备的的Console口。 运行计算机自带的超级终端程 序软件，参数设成9600,8N1， hardware flow control 。 1999, Cisco Systems, Inc. ICND6-7 系统启动例程会初始化交 换机 初始启动利用缺省配置参 数 1. 接入电源 2. 观察启动顺序 面板上的指示灯LEDs Cisco IOS输出到控制台上的内容 交换机的初始启动 1999, Cisco Systems, Inc. ICND6-8 检查交换机指示灯(LEDs) 1999, Cisco Systems, Inc. ICND6-9 交换机自检期间的端口指示灯 1. 启动时，所有端口指示灯变绿. 2. 每个端口自检完毕，对应的指示灯熄灭. 3. 如果端口自检失败, 对应指示灯呈黄色. 4. 如果有任何自检失败情况，系统指示灯 呈现黄色. 5. 如果没有自检失败, 自检过程完成. 6. 随着自检过程的完成, 指示灯闪亮后熄灭 . 1999, Cisco Systems, Inc. ICND6-10 交换机路由器的命令模式 User EXEC Switch Privileged EXEC Switch# Global configuration Switch(config)# Interface configuration Switch(config-if)# 1999, Cisco Systems, Inc. ICND6-11 控制台 登入交换机并键入特权模式密码 enable Enter password: # # disable exit 用户模式提示 特权模式提示 1999, Cisco Systems, Inc. ICND6-12 Switch#show interfaces Switch#show version 显示交换机的状态 Switch#show running-config 显示交换机的各种运行状态 1999, Cisco Systems, Inc. ICND6-13 配置模式: 全局配置模式 Switch# configure terminal Switch(config)# 端口配置模式 Switch(config)# interface fa 0/1 Switch(config-if)# 配置交换机 1999, Cisco Systems, Inc. ICND6-14 帮助机制 ? abbreviated-command-entry? abbreviated-command- entry command ? command keyword ? 1999, Cisco Systems, Inc. ICND6-15 history sh hisotry +P +N 上下箭头键 Switch#terminal history 1999, Cisco Systems, Inc. ICND6-16 配置交换机的主机名 为交换机设置主机名 交换机名 (config)#hostname wh_edu 1999, Cisco Systems, Inc. ICND6-17 wh_edu# config t wh_edu(config)#int vlan 1 wh_edu(config_vlan)#ip add ipadd netmask wh_edu(config_vlan)#no shutdown wh_edu(config)# ip default-gateway ip-address 配置交换机IP地址 1999, Cisco Systems, Inc. ICND6-18 配置文件 show running-config copy running-config startup- config show startup-config erase startup-config 1999, Cisco Systems, Inc. ICND6-19 wh_edu# config t wh_edu(config)#enable password password wh_edu(config)# enable password level level password | encryption-type encrypted-password wh_edu(config)# enable secret level level password | encryption-type encrypted-password wh_edu(config)# service password-encryption 设置特权口令 1999, Cisco Systems, Inc. ICND6-20 设置Telnet口令 configure terminal line vty 0 15 password password 1999, Cisco Systems, Inc. ICND6-21 设置Console口令 configure terminal line console 0 password password 1999, Cisco Systems, Inc. ICND6-22 创建用户 configure terminal username name privilege level password encryption-type password line console 0| vty 0 15 login local 1999, Cisco Systems, Inc. ICND6-23 wh_edu# clock set hh:mm:ss day month year wh_edu(config)# show clock 设置系统时间 1999, Cisco Systems, Inc. ICND6-24 配置域名 configure terminal ip domain-name name ip name-server server-address1 server-address2 . server-address6 ip domain-lookup 1999, Cisco Systems, Inc. ICND6-25 wh_edu(config)#prompt string wh_edu(config)# banner motd c message c wh_edu(config)# banner login c message c 配置交换机其它标识 1999, Cisco Systems, Inc. ICND6-26 wh_edu(config-if)#speed 10 | 100 | 1000 | auto wh_edu(config-if)# duplex full | half | auto wh_edu(config-if)# flowcontrol receive | send on | off | desired 配置端口的速率、双工、流控 1999, Cisco Systems, Inc. ICND6-27 分段 灵活性 安全性 第三层 第二层 第一层 销售部 人力资源部 工程部 一个VLAN =一个广播域 = 逻辑网段 (子网) VLAN综述 1999, Cisco Systems, Inc. ICND6-28 交换的基本概念 1、共享式以太网：当一台主机发送数据的时候， 其他主机只能接收此数据，此时其他网上主机都 不能发送数据； 2，冲突域：域内的不同设备同时发出的以太网帧 会互相冲突；特点为：每台主机得到的可用带宽 很低，网上冲突成倍增加，信息传输安全得不到 保证。 3，广播域：网络中的一组设备集合；当这些设备 中的一个发出一个广播时，所有其他的设备都能 接收到这个广播帧。 1999, Cisco Systems, Inc. ICND6-29 冲突域&广播域 两者区别： 连接在一个HUB上的所有设备构成一个冲突 域 ，同时也构成一个广播域； 连接在一个没有划分VLAN的交换机上的各个 端口上的设备分别属于不同的冲突域，即每 一个交换端口构成一个冲突域，但同属于一 个广播域 1999, Cisco Systems, Inc. ICND6-30 4,VLAN:每一个VLAN对应一个广播域；二层交换 机之间没有路由功能，不能在VLAN之间转发帧， 因而处于不同VLAN之间的主机不能进行通信；（ 三层交换机支持VLAN间的路由，可以实现VLAN 间的通信） 5，VLAN trunk：在交换机之间或交换机与路由 器之间，互相连接的端口上配置中继模式，使得 属于不同VLAN的数据帧都可以通过这条中继链路 进行传输。帧的格式分为两种。 1999, Cisco Systems, Inc. ICND6-31 ISLIEEE802.1Q ISL:Inter-switch link,是CISCO交换机独有 的协议 IEEE802.1Q:是国际标准协议，被几乎所有 的网络设备生产商所共同支持； 1999, Cisco Systems, Inc. ICND6-32 6，VTP：VLAN中继协议，用于维护全网 的一致性；有三种工作模式，服务器模式， 客户模式和透明模式。 1999, Cisco Systems, Inc. ICND6-33 VTP模式 服务器模式 客户模式 透明模式 发送/转发 信息宣告 同步 不会存贮于NVRAM 创建vlan 修改vlan 删除vlan 发送/转发 信息宣告 同步 存贮于NVRAM 创建vlan 修改vlan 删除vlan 转发 信息宣告 不同步 存贮于NVRAM 1999, Cisco Systems, Inc. ICND6-34 VTP是如何工作的 VTP信息宣告以多点传送的方式来进行 VTP服务器和客户模式下会同步最新版本的宣告信息 VTP信息宣告每隔5分钟或者有变化时发生 1999, Cisco Systems, Inc. ICND6-35 VTP信息宣告以多点传送的方式来进行 VTP服务器和客户模式下会同步最新版本的宣告信息 VTP信息宣告每隔5分钟或者有变化时发生（30s） 1.新增VLAN 2.版本3 版本4 服务器 客户客户 4.版本3 版本4 5.同步新的VLAN信息 33 4.版本3 版本4 5.同步新的VLAN信息 VTP是如何工作的 1999, Cisco Systems, Inc. ICND6-36 VLAN的配置要点 1, 2950至少支持64个VLAN(部分型号250 个) 2, VLAN的标识在标准软件中11005，在 增加软件版本中14094, 1002 to 1005 保 留 给Token Ring and FDDI. 3, VLAN1是厂家的缺省VLAN，不可删除。 4, 只有一个管理VLAN可以被激活。 5, 2950不支持ISL Trunk。 1999, Cisco Systems, Inc. ICND6-37 启用VTP 启用主干功能,以支持VLAN间的路由 功能 创建VLAN 将端口加入VLAN VLAN VTP配置的步骤 1999, Cisco Systems, Inc. ICND6-38 vtp mode server|client|transparent vtp domain domain-name vtp pruning wh-edu(config)# 创建VTP域 1999, Cisco Systems, Inc. ICND6-39 确认VTP配置 wh_edu#show vtp status 1999, Cisco Systems, Inc. ICND6-40 创建一个VLAN vlan vlan-id name vlan-name wh_edu(config)# 1999, Cisco Systems, Inc. ICND6-41 确认一个VLAN wh_edu#show vlan vlan# 1999, Cisco Systems, Inc. ICND6-42 分配交换机的端口到VLAN中 interface interface-id switchport mode access switchport access vlan vlan-id wh_edu(config-if)# 1999, Cisco Systems, Inc. ICND6-43 查看VLAN中的成员 wh_edu#show vlan brief 1999, Cisco Systems, Inc. ICND6-44 删除一个VLAN wh_edu(config)#no vlan vlan-id 1999, Cisco Systems, Inc. ICND6-45 配置Trunk switchport trunk encapsulation dot1q switchport mode trunk switchport trunk native vlan vlan-id switchport trunk allowed vlan add | except | none | remove vlan-list wh_edu(config-if)# 1999, Cisco Systems, Inc. ICND6-46 动态VLAN简介 1999, Cisco Systems, Inc. ICND6-47 配置动态VLAN vmps server ipaddress primary vmps server ipaddress interface interface-id switchport mode access switchport access vlan dynamic wh_edu(config)# 1999, Cisco Systems, Inc. ICND6-48 配置动态VLAN set vmps downloadmethod rcp | tftp username set vmps downloadserver ip_addr filename set vmps state enable|disable Console (enable) 1999, Cisco Systems, Inc. ICND6-49 配置Vlan间路由 ip routing interface Vlan Vlan-id ip address ip-address subnet-mask no shutdown wh_edu(config)# 1999, Cisco Systems, Inc. ICND6-50 配置三层端口 interface interface-id no switchport ip address ip-address subnet-mask no shutdown wh_edu(config)# 1999, Cisco Systems, Inc. ICND6-51 SO 静态路由 B Network A 在小型网络中适宜设置静态路由。 B Stub Network 1999, Cisco Systems, Inc. ICND6-52 指定一条可以到达目标网络的路径 Router(config)#ip route network mask address | interfacedistance permanent 静态路由的配置 1999, Cisco Systems, Inc. ICND6-53 Stub Network ip route SO 静态路由的例子 B Network AB 这是一条单方向的路径，必须配置一条相反的路径。 1999, Cisco Systems, Inc. ICND6-54 Stub Network ip route 缺省路由 SO B Network AB 使用缺省路由后，Stub Network可以到达路由器A以外的网络。 1999, Cisco Systems, Inc. ICND6-55 动态路由简介 RIP v1 v2 OSPF IS-IS IGRP EIGRP BGP IGP(内部网关协议) EGP(外部网关协议) 距离失量路由 链路状态路由 1999, Cisco Systems, Inc. ICND6-56 路由选择协议 在IGP中，RIP是个广泛使用的协议。 RIP也称向量距离协议，用信息包所经过的 网关来做距离的单位，超过15跳便无法到达 。 IGRP是CISCO专用的路由协议，可以服务 于大型互连网络，不受限于15跳的限制（ 100跳） 1999, Cisco Systems, Inc. ICND6-57 19.2 kbps T1 T1T1 Hop 计算 路由器每隔30秒更新 最多支持相同hop数的6条路径，实现负载均衡 RIP 概 述 1999, Cisco Systems, Inc. ICND6-58 激活RIP协议 wh_edu(config)router rip wh_edu(config-router)#network network-number 选择直接连接的网络 必须是有效的网络 RIP 配 置 1999, Cisco Systems, Inc. ICND6-59 router rip network network RIP 配置举例 router rip network router rip network network S2E0S3 S2S3 A BC E0 1999, Cisco Systems, Inc. ICND6-60 查看RIP信息 RouterA#sh ip protocols Routing Protocol is “rip“ Sending updates every 30 seconds, next due in 0 seconds Invalid after 180 seconds, hold down 180, flushed after 240 Outgoing update filter list for all interfaces is Incoming update filter list for all interfaces is Redistributing: rip Default version control: send version 1, receive any version Interface Send Recv Key-chain Ethernet0 1 1 2 Serial2 1 1 2 Routing for Networks: Routing Information Sources: Gateway Distance Last Update 120 00:00:10 Distance: (default is 120) S2E0S3 S2S3 A BC E0 1999, Cisco Systems, Inc. ICND6-61 查看路由表 RouterA#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR T - traffic engineered route Gateway of last resort is not set /24 is subnetted, 1 subnets C is directly connected, Ethernet0 /24 is subnetted, 2 subnets R 120/1 via , 00:00:07, Serial2 C is directly connected, Serial2 R /24 120/2 via , 00:00:07, Serial2 S2E0S3 S2S3 A BC E0 1999, Cisco Systems, Inc. ICND6-62 OSPF协议概述 OSPF是一种链路状态路由选择协议。 所谓链路状态是指路由器接口的状态，如 UP，DOWN，IP及网络类型等。 链路状态信息通过链路状态公告(LSA)发布 到网上的每台路由器。 每台路由器通过LSA信息建立一个关于网络 的拓扑数据库。 1999, Cisco Systems, Inc. ICND6-63 OSPF协议概述 区域(Area) 在OSPF中使用区域来为自治系统分段， OSPF是一种层次化的路由选择协议，区域 0是一个OSPF网络中必须具有的区域，也 称为主干区域，其他所有区域要求通过区域 0互连到一起。 1999, Cisco Systems, Inc. ICND6-64 OSPF协议的优点 OSPF是基于国际标准的协议，具有开放性强的特 点，被众多网络设备厂商所支持。 支持VLSM； 使用触发的路由更新，快速反应网络变化，减小 协议本身对网络流量的占用。 支持大型网络，并能进行优化路由更新。 1999, Cisco Systems, Inc. ICND6-65 配置OSPF协议 Can Assign Network or Interface Address. Broadcast NetworkPoint-to-Point Network E0 E0 S0 10. 2.1.1 S1 A B C interface Ethernet0 ip address ! router ospf 1 network 55 area 0 interface Ethernet0 ip address ! interface Serial0 ip address router ospf 50 network area 0 network area 0 1999, Cisco Systems, Inc. ICND6-66 查看OSPF协议状态 Router# show ip protocols Router# show ip route 1999, Cisco Systems, Inc. ICND6-67 管理Mac地址表 show mac-address-table address configure terminal mac-address-table aging-time 0 | 10-1000000 vlan vlan-id mac-address-table static mac-addr vlan vlan-id interface interface-id 1999, Cisco Systems, Inc. ICND6-68 Access Control List(ACL，也称存取列表） 主要作用有： 1）拒绝或允许流入（或流出）的数据流通过特定 的接口 2）为DDR应用定入数据流 3）过滤路由更新的内容 4）控制虚拟终端线(vty)的访问 5）提供流量控制等 访问控制表 1999, Cisco Systems, Inc. ICND6-69 访问列表类型 IP标准访问列表 能够对源地址进行过滤，是一种简单，直接 的数据控制手段。 IP扩展访问列表 除了基于数据包源地址的过滤以外，还能够 对协议，目的地址，端口号进行网络流量过 滤。当然，配置也更复杂。 1999, Cisco Systems, Inc. ICND6-70 1999, Cisco Systems, Inc. ICND6-71 Access List Numbers Number Type 1-99IP standard access list 100-199IP extended access list 1300-1999IP standard access list 2000-2699IP extended access list 1999, Cisco Systems, Inc. ICND6-72 IP标准访问列表的一般配置 禁止来自网络的流量! Router#configure terminal Router(config)# Router(config)#access-list 2 deny 55 Router(config)#access-list 2 permit any Router(config)#int s0 Router(config-if)#ip access-group 2 out Router(config-if)# 1999, Cisco Systems, Inc. ICND6-73 访问表位置 路由器路由器 源 inout 路由器 目的 1999, Cisco Systems, Inc. ICND6-74 IP标准访问列表的配置（一） Router# Router#configure terminal Router(config)# Router(config)#access-list 1 deny host Router(config)#access-list 1 permit any 上面配置的访问列表是拒绝特定主机，允许其 它主机访问 1999, Cisco Systems, Inc. ICND6-75 访问列表应用到接口(二) Router# Router#configure terminal Router(config)# Router(config)#interface Ethernet 0 Router(config-if)# Router(config-if)#ip access-group 1 in(输入) Router(config-if)#ip access-group 1 out(输出) 1999, Cisco Systems, Inc. ICND6-76 访问表位置 扩展访问表尽量放在靠近过滤源的位置 目的：不会影响其它接口上的上的数据 标准访问表尽量放在靠近目的端口的位置 1999, Cisco Systems, Inc. ICND6-77 IP标准访问列表的一般配置 为什么我们禁止后，要加 access-list 1 permit any ？ 在标准或扩展IP或IPX的每个访问表的末 尾，总有一个隐含的deny all。也就是说报 文与语句不匹配，则此隐含命令将禁止该报 文 1999, Cisco Systems, Inc. ICND6-78 删除访问表 Router# Router#configure terminal Router(config)# Router(config)#no access-list number 1999, Cisco Systems, Inc. ICND6-79 访问列表的查看： router#show ip access-lists 1 Standard IP access list 1 permit any (2 matches) deny , wildcard bits 55 router#sh ip access-lists Standard IP access list 1 permit any Extended IP access list 101 deny icmp 55 55 echo permit ip any any 1999, Cisco Systems, Inc. ICND6-80 扩展ACL范例 access-list list 109 deny tcp any any eq 135 access-list list 109 deny tcp any any eq 136 access-list list 109 deny tcp any any eq 137 access-list list 109 deny tcp any any eq 138 access-list list 109 deny tcp any any eq 139 access-list list 109 deny tcp any any eq 389 access-list list 109 deny tcp any any eq 445 access-list list 109 deny tcp any any eq 3389 access-list list 109 deny udp any any eq 135 access-list list 109 deny udp any any eq 136 access-list list 109 deny udp any any eq 137 access-list list 109 deny udp any any eq 138 access-list list 109 deny udp any any eq 139 access-list list 109 deny udp any any eq 445 access-list list 109 deny udp any any eq 3389 access-list list 109 permit ip 55 any 1999, Cisco Systems, Inc. ICND6-81 配置标准ACL wh_edu(config)# access-list access-list-number deny | permit source source-wildcard log 1999, Cisco Systems, Inc. ICND6-82 配置扩展ACL wh_edu(config)# access-list access-list-number deny | permit protocol source source- wildcard destination destination-wildcard fragments log log-input time- range time-range-name access-list access-list-number deny | permit tcp source source-wildcard operator port destination destination-wildcard operator port established fragments log log-input time-range time-range-name flag access-list access-list-number deny | permit udp source source-wildcard operator port destination destination-wildcard operator port fragments log log-input time-range time-range-name 1999, Cisco Systems, Inc. ICND6-83 配置扩展ACL wh_edu(config)# access-list access-list-number deny | permit icmp source source- wildcard destination destination-wildcard icmp-type | icmp-type icmp- code | icmp-message fragments log log-input time-range time- range-name 1999, Cisco Systems, Inc. ICND6-84 配置命名的ACL wh_edu(config)# ip access-list standard name deny|permit source source-wildcard | host source | any log ip access-list extended name deny | permit protocol source source-wildcard | host source | any destination destination-wildcard | host destination | any established log time-range time-range-name 1999, Cisco Systems, Inc. ICND6-85 配置基于时间的ACL wh_edu(config)# time-range time-range-name absolute start time date end time date periodic day-of-the-week hh:mm to day-of-the-week hh:mm periodic weekdays | weekend | daily hh:mm to hh:mm Switch(config)# time-range workhours Switch(config-time-range)# periodic weekdays 8:00 to 12:00 Switch(config-time-range)# periodic weekdays 13:00 to 17:00 Switch(config)# time-range new_year_day_2005 Switch(config-time-range)# absolute start 00:00 1 Jan 2005 end 23:59 1 Jan 2005 Switch(config)# access-list 188 deny tcp any any time-range new_year_day_2005 Switch(config)# access-list 188 permit tcp any any time-range workhours 1999, Cisco Systems, Inc. ICND6-86 基于Mac地址的ACL wh_edu(config)# mac access-list extended name deny | permit any | host source MAC address | source MAC address mask any | host destination MAC address | destination MAC address mask interface interface-id mac access-group name in 1999, Cisco Systems, Inc. ICND6-87 用ACL对telnet进行限制 wh_edu(config)# line vty line-number access-class access-list-number in | out 1999, Cisco Systems, Inc.