思科交换机路由器的配置.ppt

交换机路由器的配置,中央处理器(CPU,Motorola Orion） 通讯芯片组 内存 接口 控制台端口(Console) 辅助接口(AUX) 配置文件,交换机/路由器的基本组成,交换机/路由器内存的组成,只读内存(ROM) 闪存(FLASH) 随机存取内存(RAM) 非易失性RAM(NVRAM),交换机/路由器的物理接口,以太网/快速以太网/千兆以太网/万兆以太网 令牌环网(Token Ring) 光纤分布数据接口(FDDI) 同步串口 异步串口 高速接口(HSSI) ISDN BRI(Basic Rate Interface),交换机/路由器的逻辑接口,Loopback 通道接口 拨号器 空接口(Null),连接交换机/路由器的配置端口,用设备自带的配置线(Rollover)线来连接计算机的串口和设备的的Console口。 运行计算机自带的超级终端程序软件，参数设成9600,8N1，hardware flow control 。,系统启动例程会初始化交换机 初始启动利用缺省配置参数,1. 接入电源 2. 观察启动顺序 面板上的指示灯LEDs Cisco IOS输出到控制台上的内容,交换机的初始启动,检查交换机指示灯(LEDs),交换机自检期间的端口指示灯,1. 启动时，所有端口指示灯变绿. 2. 每个端口自检完毕，对应的指示灯熄灭. 3. 如果端口自检失败, 对应指示灯呈黄色. 4. 如果有任何自检失败情况，系统指示灯呈现黄色. 5. 如果没有自检失败, 自检过程完成. 6. 随着自检过程的完成, 指示灯闪亮后熄灭.,交换机路由器的命令模式,User EXEC Switch Privileged EXEC Switch# Global configuration Switch(config)# Interface configuration Switch(config-if)#,控制台,登入交换机并键入特权模式密码, enable Enter password: # # disable exit,用户模式提示,特权模式提示,Switch#show interfaces,Switch#show version,显示交换机的状态,Switch#show running-config,显示交换机的各种运行状态,配置模式: 全局配置模式 Switch# configure terminal Switch(config)# 端口配置模式 Switch(config)# interface fa 0/1 Switch(config-if)#,配置交换机,帮助机制,? abbreviated-command-entry? abbreviated-command-entry command ? command keyword ?,history,sh hisotry +P +N 上下箭头键 Switch#terminal history,配置交换机的主机名,为交换机设置主机名,wh_edu# config t wh_edu(config)#int vlan 1 wh_edu(config_vlan)#ip add ipadd netmask wh_edu(config_vlan)#no shutdown wh_edu(config)# ip default-gateway ip-address,配置交换机IP地址,配置文件,show running-config copy running-config startup-config show startup-config erase startup-config,wh_edu# config t wh_edu(config)#enable password password wh_edu(config)# enable password level level password | encryption-type encrypted-password wh_edu(config)# enable secret level level password | encryption-type encrypted-password wh_edu(config)# service password-encryption,设置特权口令,设置Telnet口令,configure terminal line vty 0 15 password password,设置Console口令,configure terminal line console 0 password password,创建用户,configure terminal username name privilege level password encryption-type password line console 0| vty 0 15 login local,wh_edu# clock set hh:mm:ss day month year wh_edu(config)# show clock,设置系统时间,配置域名,configure terminal ip domain-name name ip name-server server-address1 server-address2 . server-address6 ip domain-lookup,wh_edu(config)#prompt string wh_edu(config)# banner motd c message c wh_edu(config)# banner login c message c,配置交换机其它标识,wh_edu(config-if)#speed 10 | 100 | 1000 | auto wh_edu(config-if)# duplex full | half | auto wh_edu(config-if)# flowcontrol receive | send on | off | desired,配置端口的速率、双工、流控,分段 灵活性 安全性,第三层,第二层,第一层,销售部,人力资源部,工程部,一个VLAN =一个广播域 = 逻辑网段 (子网),VLAN综述,交换的基本概念,1、共享式以太网：当一台主机发送数据的时候，其他主机只能接收此数据，此时其他网上主机都不能发送数据； 2，冲突域：域内的不同设备同时发出的以太网帧会互相冲突；特点为：每台主机得到的可用带宽很低，网上冲突成倍增加，信息传输安全得不到保证。 3，广播域：网络中的一组设备集合；当这些设备中的一个发出一个广播时，所有其他的设备都能接收到这个广播帧。,冲突域&广播域,两者区别： 连接在一个HUB上的所有设备构成一个冲突域 ，同时也构成一个广播域； 连接在一个没有划分VLAN的交换机上的各个端口上的设备分别属于不同的冲突域，即每一个交换端口构成一个冲突域，但同属于一个广播域,4,VLAN:每一个VLAN对应一个广播域；二层交换机之间没有路由功能，不能在VLAN之间转发帧，因而处于不同VLAN之间的主机不能进行通信；（三层交换机支持VLAN间的路由，可以实现VLAN间的通信） 5，VLAN trunk：在交换机之间或交换机与路由器之间，互相连接的端口上配置中继模式，使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。帧的格式分为两种。,ISLIEEE802.1Q,ISL:Inter-switch link,是CISCO交换机独有的协议 IEEE802.1Q:是国际标准协议，被几乎所有的网络设备生产商所共同支持；,6，VTP：VLAN中继协议，用于维护全网的一致性；有三种工作模式，服务器模式，客户模式和透明模式。,VTP模式,服务器模式,客户模式,透明模式,发送/转发 信息宣告 同步 不会存贮于NVRAM,创建vlan 修改vlan 删除vlan 发送/转发 信息宣告 同步 存贮于NVRAM,创建vlan 修改vlan 删除vlan 转发 信息宣告 不同步 存贮于NVRAM,VTP是如何工作的,VTP信息宣告以多点传送的方式来进行 VTP服务器和客户模式下会同步最新版本的宣告信息 VTP信息宣告每隔5分钟或者有变化时发生,VTP信息宣告以多点传送的方式来进行 VTP服务器和客户模式下会同步最新版本的宣告信息 VTP信息宣告每隔5分钟或者有变化时发生（30s）,1.新增VLAN 2.版本3 版本4,服务器,客户,客户,4.版本3 版本4 5.同步新的VLAN信息,3,3,4.版本3 版本4 5.同步新的VLAN信息,VTP是如何工作的,VLAN的配置要点,1, 2950至少支持64个VLAN(部分型号250个) 2, VLAN的标识在标准软件中11005，在增加软件版本中14094, 1002 to 1005 保留 给Token Ring and FDDI. 3, VLAN1是厂家的缺省VLAN，不可删除。 4, 只有一个管理VLAN可以被激活。 5, 2950不支持ISL Trunk。,启用VTP 启用主干功能,以支持VLAN间的路由功能 创建VLAN 将端口加入VLAN,VLAN VTP配置的步骤,vtp mode server|client|transparent vtp domain domain-name vtp pruning,wh-edu(config)#,创建VTP域,确认VTP配置,wh_edu#show vtp status,创建一个VLAN,vlan vlan-id name vlan-name,wh_edu(config)#,确认一个VLAN,wh_edu#show vlan vlan#,分配交换机的端口到VLAN中,interface interface-id switchport mode access switchport access vlan vlan-id,wh_edu(config-if)#,查看VLAN中的成员,wh_edu#show vlan brief,删除一个VLAN,wh_edu(config)#no vlan vlan-id,配置Trunk,switchport trunk encapsulation dot1q switchport mode trunk switchport trunk native vlan vlan-id switchport trunk allowed vlan add | except | none | remove vlan-list,wh_edu(config-if)#,动态VLAN简介,配置动态VLAN,vmps server ipaddress primary vmps server ipaddress interface interface-id switchport mode access switchport access vlan dynamic,wh_edu(config)#,配置动态VLAN,set vmps downloadmethod rcp | tftp username set vmps downloadserver ip_addr filename set vmps state enable|disable,Console (enable),配置Vlan间路由,ip routing interface Vlan Vlan-id ip address ip-address subnet-mask no shutdown,wh_edu(config)#,配置三层端口,interface interface-id no switchport ip address ip-address subnet-mask no shutdown,wh_edu(config)#,,SO,静态路由,,B,,Network,A,在小型网络中适宜设置静态路由。,B,Stub Network,指定一条可以到达目标网络的路径,Router(config)#ip route network mask address | interfacedistance permanent,静态路由的配置,Stub Network,ip route ,,SO,静态路由的例子,B,,Network,A,B,这是一条单方向的路径，必须配置一条相反的路径。,Stub Network,ip route ,缺省路由,,SO,,B,,Network,A,B,使用缺省路由后，Stub Network可以到达路由器A以外的网络。,动态路由简介,RIP v1 v2 OSPF IS-IS IGRP EIGRP BGP,IGP(内部网关协议) EGP(外部网关协议),距离失量路由 链路状态路由,路由选择协议,在IGP中，RIP是个广泛使用的协议。 RIP也称向量距离协议，用信息包所经过的网关来做距离的单位，超过15跳便无法到达。 IGRP是CISCO专用的路由协议，可以服务于大型互连网络，不受限于15跳的限制（100跳）,19.2 kbps,T1,T1,T1,Hop 计算 路由器每隔30秒更新 最多支持相同hop数的6条路径，实现负载均衡,RIP 概 述,激活RIP协议,wh_edu(config)router rip,wh_edu(config-router)#network network-number,选择直接连接的网络 必须是有效的网络,RIP 配 置,,RIP 配置举例,,,S2,E0,S3,,,,,S2,S3,,,A,B,C,,E0,查看RIP信息,RouterA#sh ip protocols Routing Protocol is “rip“ Sending updates every 30 seconds, next due in 0 seconds Invalid after 180 seconds, hold down 180, flushed after 240 Outgoing update filter list for all interfaces is Incoming update filter list for all interfaces is Redistributing: rip Default version control: send version 1, receive any version Interface Send Recv Key-chain Ethernet0 1 1 2 Serial2 1 1 2 Routing for Networks: Routing Information Sources: Gateway Distance Last Update 120 00:00:10 Distance: (default is 120),,S2,E0,S3,,,,,S2,S3,,,A,B,C,,E0,查看路由表,RouterA#sh ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR T - traffic engineered route Gateway of last resort is not set /24 is subnetted, 1 subnets C is directly connected, Ethernet0 /24 is subnetted, 2 subnets R 120/1 via , 00:00:07, Serial2 C is directly connected, Serial2 R /24 120/2 via , 00:00:07, Serial2,,S2,E0,S3,,,,,S2,S3,,,A,B,C,,E0,OSPF协议概述,OSPF是一种链路状态路由选择协议。 所谓链路状态是指路由器接口的状态，如UP，DOWN，IP及网络类型等。 链路状态信息通过链路状态公告(LSA)发布到网上的每台路由器。 每台路由器通过LSA信息建立一个关于网络的拓扑数据库。,OSPF协议概述,区域(Area) 在OSPF中使用区域来为自治系统分段，OSPF是一种层次化的路由选择协议，区域0是一个OSPF网络中必须具有的区域，也称为主干区域，其他所有区域要求通过区域0互连到一起。,OSPF协议的优点,OSPF是基于国际标准的协议，具有开放性强的特点，被众多网络设备厂商所支持。 支持VLSM； 使用触发的路由更新，快速反应网络变化，减小协议本身对网络流量的占用。 支持大型网络，并能进行优化路由更新。,配置OSPF协议,Can Assign Network or Interface Address.,Broadcast Network,Point-to-Point Network,E0 , E0,S0 ,10. 2.1.1 S1,A,B,C, interface Ethernet0 ip address ! router ospf 1 network 55 area 0, interface Ethernet0 ip address ! interface Serial0 ip address router ospf 50 network area 0 network area 0,查看OSPF协议状态,管理Mac地址表,show mac-address-table address configure terminal mac-address-table aging-time 0 | 10-1000000 vlan vlan-id mac-address-table static mac-addr vlan vlan-id interface interface-id,Access Control List(ACL，也称存取列表） 主要作用有： 1）拒绝或允许流入（或流出）的数据流通过特定 的接口 2）为DDR应用定入数据流 3）过滤路由更新的内容 4）控制虚拟终端线(vty)的访问 5）提供流量控制等,访问控制表,访问列表类型,IP标准访问列表 能够对源地址进行过滤，是一种简单，直接的数据控制手段。 IP扩展访问列表 除了基于数据包源地址的过滤以外，还能够对协议，目的地址，端口号进行网络流量过滤。当然，配置也更复杂。,Access List Numbers,IP标准访问列表的一般配置,禁止来自网络的流量! Router#configure terminal Router(config)# Router(config)#access-list 2 deny 55 Router(config)#access-list 2 permit any Router(config)#int s0 Router(config-if)#ip access-group 2 out Router(config-if)#,访问表位置,路由器,路由器,源,in,out,路由器,目的,IP标准访问列表的配置（一）,Router# Router#configure terminal Router(config)# Router(config)#access-list 1 deny host Router(config)#access-list 1 permit any 上面配置的访问列表是拒绝特定主机，允许其它主机访问,访问列表应用到接口(二),Router# Router#configure terminal Router(config)# Router(config)#interface Ethernet 0 Router(config-if)# Router(config-if)#ip access-group 1 in(输入) Router(config-if)#ip access-group 1 out(输出),访问表位置,扩展访问表尽量放在靠近过滤源的位置 目的：不会影响其它接口上的上的数据 标准访问表尽量放在靠近目的端口的位置,IP标准访问列表的一般配置,为什么我们禁止后，要加 access-list 1 permit any ？ 在标准或扩展IP或IPX的每个访问表的末尾，总有一个隐含的deny all。也就是说报文与语句不匹配，则此隐含命令将禁止该报文,删除访问表,Router# Router#configure terminal Router(config)# Router(config)#no access-list number,访问列表的查看：,router#show ip access-lists 1 Standard IP access list 1 permit any (2 matches) deny , wildcard bits 55 router#sh ip access-lists Standard IP access list 1 permit any Extended IP access list 101 deny icmp 55 55 echo permit ip any any,扩展ACL范例,access-list list 109 deny tcp any any eq 135 access-list list 109 deny tcp any any eq 136 access-list list 109 deny tcp any any eq 137 access-list list 109 deny tcp any any eq 138 access-list list 109 deny tcp any any eq 139 access-list list 109 deny tcp any any eq 389 access-list list 109 deny tcp any any eq 445 access-list list 109 deny tcp any any eq 3389 access-list list 109 deny udp any any eq 135 access-list list 109 deny udp any any eq 136 access-list list 109 deny udp any any eq 137 access-list list 109 deny udp any any eq 138 access-list list 109 deny udp any any eq 139 access-list list 109 deny udp any any eq 445 access-list list 109 deny udp any any eq 3389 access-list list 109 permit ip 55 any,配置标准ACL,wh_edu(config)#,access-list access-list-number deny | permit source source-wildcard log,配置扩展ACL,wh_edu(config)#,access-list access-list-number deny | permit protocol source source-wildcard destination destination-wildcard fragments log log-input time-range time-range-name,access-list access-list-number deny | permit tcp source source-wildcard operator port destination destination-wildcard operator port established fragments log log-input time-range time-range-name flag,access-list access-list-number deny | permit udp source source-wildcard operator port destination destination-wildcard operator port fragments log log-input time-range time-range-name,配置扩展ACL,wh_edu(config)#,access-list access-list-number deny | permit icmp source source-wildcard destination destination-wildcard icmp-type | icmp-type icmp-code | icmp-message fragments log log-input time-range time-range-name,配置命名的ACL,wh_edu(config)#,ip access-list standard name deny|permit source source-wildcard | host source | any log,ip access-list extended name deny | permit protocol source source-wildcard | host source | any destination destination-wildcard | host destination | any established log time-range time-range-name,配置基于时间的ACL,wh_edu(config)#,time-range time-range-name absolute start time date end time date periodic day-of-the-week hh:mm to day-of-the-week hh:mm periodic weekdays | weekend | daily hh:mm to hh:mm,Switch(config)# time-range workhours Switch(config-time-range)# periodic weekdays 8:00 to 12:00 Switch(config-time-range)# periodic weekdays 13:00 to 17:00 Switch(config)# time-range new_year_day_2005 Switch(config-time-range)# absolute start 00:00 1 Jan 2005 end 23:59 1 Jan 2005 Switch(config)# access-list 188 deny tcp any any time-range new_year_day_2005 Switch(config)# access-list 188 permit tcp any any time-range workhours,基于Mac地址的ACL,wh_edu(config)#,mac access-list extended name deny | permit any | host source MAC address | source MAC address mask any | host destination MAC address | destination MAC address mask interface interface-id mac access-group name in,用ACL对telnet进行限制,wh_edu(config)#,line vty line-number access-class access-list-number in | out,配置EtherChannels,configure terminal interface interface-id channel-group channel-group-number mode auto non-silent | desirable non-silent | on exit port-channel load-balance dst-mac | src-mac,wh_edu# no cdp run wh_edu# cdp run wh_edu(config-if)#no cdp enable wh_edu#sh cdp neighbors,配置CDP协议,STP协议简介,生成树协议，在实现交换机之间的备份链路，避免网络环路的出现，实现网络的高可用性。,通过在交换机之间传递BPDU(bridge protocol data unit,桥接协议数据单元) 来互相告知诸如交换机的链路性质，根桥信息等，以便确定根桥，决定哪 些端口处于转发状态，哪些端口处于阻止状态，以免引起网络环路。,工作方式,主要功能,配置生成树,spanning-tree vlan vlan-id root primary spanning-tree vlan vlan-id root secondary spanning-tree vlan vlan-id priority priority show spanning-tree vlan vlan-id show spanning-tree interface interface-id no spanning-tree vlan vlan-id 思科建议在交换机上启动生成树,特别是在可能出现回环的链路上.,RSTP和MSTP,spanning-tree mst configuration instance instance-id vlan vlan-range name name revision version exit spanning-tree mode mst spanning-tree mst instance-id root primary |secondary show spanning-tree mst configuration show spanning-tree mst instance-id show spanning-tree mst interface interface-id,配置802.1x协议,Radius Server,配置802.1x协议,configure terminal radius-server host hostname | ip-address auth-port port-number key string aaa new-model aaa authentication dot1x default group radius interface interface-id dot1x port-control auto show dot1x,配置镜像端口,configure terminal monitor session session_number source interface interface-id , | - both | rx | tx monitor session session_number destination interface interface-id,Switch(config)# monitor session 1 source interface gigabitethernet0/1 Switch(config)# monitor session 1 destination interface gigabitethernet0/2,配置SNMP协议,配置SNMP协议,snmp-server community string ro | rw access-list-number access-list access-list-number deny | permit source source-wildcard snmp-server host host-addr informs | traps version 1 | 2c community-string notification-type snmp-server enable traps notification-types no snmp-server,Switch(config)# snmp-server community public Switch(config)# snmp-server enable traps vtp Switch(config)# snmp-server host 7 public Switch(config)# snmp-server host 11 public,组播协议简介,IGMP IGMP Snooping PIM,配置PIM协议,ip multicast-routing interface interface-id ip pim version 1 | 2 ip pim dense-mode | sparse-mode | sparse-dense-mode,配置CGMP,interface interface-id ip cgmp proxy,配置IGMP Snooping,configure terminal ip igmp snooping ip igmp snooping vlan vlan-id ip igmp snooping vlan vlan-id mrouter learn cgmp | pim-dvmrp ip igmp snooping vlan vlan-id mrouter interface interface-id ip igmp snooping vlan vlan-id static mac-address interface interface-id,配置IGMP Snooping,service dhcp ip dhcp relay information option interface vlan vlan-id ip helper-address address,Qos,配置Qos,interface range port-range flowcontrol receive off flowcontrol send off exit mls qos interface interface-id mls qos trust cos | dscp | ip-precedence mls qos cos default-cos | override ,配置Qos,mls qos map dscp-mutation dscp-mutation-name in-dscp to out-dscp interface interface-id mls qos trust dscp mls qos dscp-mutation dscp-mutation-name,配置Qos,access-list access-list-number deny | permit source source-wildcard access-list access-list-number deny | permit protocol source source-wildcard destination destination-wildcard mac access-list extended name permit | deny host src-MAC-addr mask | any | host dst-MAC-addr | dst-MAC-addr mask class-map class-map-name match-all | match-any match access-group acl-index-or-name | ip dscp dscp-list | ip precedence ip-precedence-list,配置Qos,access-list access-list-number deny | permit source source-wildcard access-list access-list-number deny | permit protocol source source-wildcard destination destination-wildcard mac access-list extended name permit | deny host src-MAC-addr mask | any | host dst-MAC-addr | dst-MAC-addr mask policy-map policy-map-name class class-map-name access-group acl-index-or-name | dscp dscp-list | precedence ip-precedence-list trust cos | dscp | ip-precedence set ip dscp new-dscp | ip precedence new-precedence police rate-bps burst-byte exceed-action drop | policed-dscp-transmit interface interface-id service-policy input policy-map-name | output policy-map-name,配置Qos,interface interface-id wrr-queue cos-map queue-id cos1 . Cos8 wrr-queue queue-limit weight1 weight2 weight3 weight4 priority-queue out wrr-queue bandwidth weight1 weight2 weight3 weight4 mls qos min-reserve min-reserve-level min-reserve-buffersize wrr-queue min-reserve queue-id min-reserve-level,配置Qos,configure terminal access-list 1 permit 6 class-map videoclass match access-group 1 exit policy-map videopolicy class videoclass set ip dscp 56 police 5000000 2000000 exceed-action drop exit exit interface gigabitethernet0/1 service