網(wǎng)絡(luò)設(shè)備基本配置概述

1、基本配置基本配置設(shè)備管理方式：帶外管理和帶內(nèi)管理1、帶外管理 設(shè)備首次使用時，必須采用的一種方式。通過設(shè)備首次使用時，必須采用的一種方式。通過PC串口與設(shè)備的串口與設(shè)備的console口用口用console線連接，使用超級終端進(jìn)行配置。線連接，使用超級終端進(jìn)行配置。2、帶內(nèi)管理（telnet 管理方式） 經(jīng)過適當(dāng)配置后，用網(wǎng)絡(luò)線路進(jìn)行連接，通過操作系統(tǒng)自帶的經(jīng)過適當(dāng)配置后，用網(wǎng)絡(luò)線路進(jìn)行連接，通過操作系統(tǒng)自帶的telnet工具登錄進(jìn)行配置。工具登錄進(jìn)行配置。帶外管理console口PC機(jī)串口console線操作方法1、連接設(shè)備。2、配置超級終端交換機(jī)或路由器配置模式1、一般用戶配置模式提示符：

2、“”在此模式下，能使用的命令較少，無法對交換機(jī)進(jìn)行配置，如：show version2、特權(quán)用戶配置模式提示符：“#”在一般用戶模式下，使用命令“enable”進(jìn)入特權(quán)用戶模式。在此模式下，用戶可以查詢交換機(jī)的配置信息、端口連接情況、保存配置等。3、全局配置模式提示符：“switch(Config)#”在特權(quán)用戶配置模式下使用命令“config terminal”進(jìn)入。在此模式下，可以對交換機(jī)進(jìn)行全局性的配置。如：創(chuàng)建VLAN等。4、接口配置模式和VLAN配置模式等使用相關(guān)的配置命令進(jìn)入各種其它配置模式，提示符也跟著相應(yīng)變換。如：進(jìn)入VLAN 1接口，命令：int vlan 1，提示符：swi

3、tch (Config-If-Vlan1)#注：使用命令“exit”返上一層模式。使用“Ctrl+ Z”組合鍵直接返回特權(quán)用戶模式命令語法cmdtxt enum1|enum2 option語法說明：1、cmdtxt：命令關(guān)鍵字2、 ：參數(shù)為變量，由用戶輸入相關(guān)值3、enum1|enum2 ：必須選擇其中之一4、option：可選參數(shù)在實際命令中，經(jīng)常是以上4種情形的組合使用幫助功能1、“？”命令的使用 模糊查詢命令 查詢命令參數(shù)2、不完全匹配 命令及參數(shù)可使用縮寫，只要省略后的關(guān)鍵字不會引起歧義。 如：#show running-config #sh run 以上兩條命令是等效的。3、Tab鍵

4、的使用 僅輸入命令詞開頭的字符，在命令沒有錯誤時，可用TAB鍵補全命令。4、否定命令“no” 大部分命令可在其命令行前加上“no”關(guān)鍵字，結(jié)果為取反或改為默認(rèn)值 例如：創(chuàng)建VLAN 10 命令：#vlan 10，刪除VLAN 10則使用：no vlan 105、歷史命令 可以通過使用上下光標(biāo)健，來選擇已經(jīng)輸入過的命令，以節(jié)省時間恢復(fù)出產(chǎn)配置交換機(jī)：特權(quán)用戶模式：#set default /恢復(fù)#write /保存#reload /重啟路由器：特權(quán)用戶模式：#delete startup-config /刪除啟動文件#reboot /重啟配置文件：running-config /運行時的配置文件

5、startup-config /啟動時的配置文件帶內(nèi)管理(telnet)console口PC機(jī)串口console線交換機(jī)交換機(jī)接口PC機(jī)網(wǎng)卡交換機(jī)配置步驟1、進(jìn)入管理接口VLAN 1命令：int vlan 1模式：全局配置模式2、設(shè)置管理IP地址命令：ip add 192.168.1.2 255.255.255.0模式：接口配置模式3、創(chuàng)建telnet登錄的用戶名和密碼命令：telnet-user admin password 0 admin模式：全局配置模式4、設(shè)置PC機(jī)IP與交換機(jī)管理IP在相同網(wǎng)段雙絞線PC機(jī)帶內(nèi)管理(telnet)console口PC機(jī)串口console線路由器路由器接

6、口PC機(jī)網(wǎng)卡路由器配置步驟1、進(jìn)入接口命令：int f 0/0模式：全局配置模式2、設(shè)置接口IP地址命令：ip add 172.168.0.1 255.255.255.252模式：線路接口配置模式3、創(chuàng)建認(rèn)證用戶名和密碼命令：username admin password 0 admin aaa authentication login telnet local line vty 0 4模式：全局配置模式 login authentication telnet模式：線路接口配置模式4、設(shè)置PC機(jī)IP與路由器端口IP在相同網(wǎng)段交叉雙絞線PC機(jī)創(chuàng)建VLAN1、創(chuàng)建VLAN 命令格式：vlan 配置

7、模式：全局配置模式2、將端口添加到VLAN， 命令格式：switch interface 配置模式：VLAN配置模式DCS-3926S(Config)#vlan 10DCS-3926S(Config-Vlan10)#swi int e 0/0/1-10DCS-3926S(Config-Vlan10)#exitDCS-3926S(Config)#跨交換機(jī)實現(xiàn)VLAN互通配置步驟：1、創(chuàng)建VLAN(略)2、進(jìn)入VLAN接口 命令格式：interface vlan 配置模式：全局配置模式3、配置接口地址： 命令格式：ip address 配置模式：接口配置模式4、將連接交換機(jī)的線路配置為trunk模

8、式 命令格式：switch mode trunk 配置模式：接口配置模式e0/0/23-24e0/0/23-24VLAN10 0/0/1-10VLAN20 0/0/11-20PC1PC2DCS-3926SDCRS-5526S配置VLAN地址：DCRS-5526S(Config)#int vlan 10DCRS-5526S(Config-If-Vlan10)#ip add 192.168.10.1 255.255.255.0DCRS-5526S(Config-If-Vlan10)#exit配置trunk：DCRS-5526S(Config)#int e 0/0/23-24DCRS-5526S(C

9、onfig-Port-Range)#swi mode trunk單臂路由PC1PC2f0/0配置步驟：1、進(jìn)入子接口 命令格式：interface 配置模式：全局配置模式2、配置子接口地址： 命令格式：ip address 配置模式：接口配置模式3、封裝802.1Q協(xié)議 命令格式：encapsulation dot1q 配置模式：接口配置模式配置單臂路由：ROUTERB_config#int f0/0.1ROUTERB_config_f0/0.1#ip add 192.168.30.1 255.255.255.0ROUTERB_config_f0/0.1#enc dot1q 10ROUTERB

10、_config_f0/0.1#exitROUTERB路由配置二、動態(tài)路由(RIP)配置序列：1、啟用RIP動態(tài)路由命令格式：router rip配置模式：全局配置模式2、配置RIP版本命令格式：version 1 | 2配置模式：路由配置模式3、設(shè)置自動會聚命令格式：auto-summary no auto-summary /取消自動會聚配置模式：路由配置模式4、配置運行RIP的網(wǎng)段命令格式：network 配置模式：路由配置模式路由配置三、動態(tài)路由(OSPF)配置序列：1、啟用OSPF動態(tài)路由命令格式：router ospf process 配置模式：全局配置模式2.1、配置運行OSPF的網(wǎng)

11、段命令格式：network area 配置模式：路由配置模式2.2、配置運行OSPF的網(wǎng)段命令格式：ip ospf enable area 配置模式：接口配置模式路由配置一、靜態(tài)路由命令格式：ip route 配置模式：全局配置模式相關(guān)命令：show ip route /查看設(shè)備路由表配置模式：特權(quán)用戶配置模式特例:默認(rèn)路由：ip route 0.0.0.0 0.0.0.0 配置：DCR-2626_config#ip route 0.0.0.0 0.0.0.0 211.80.1.1DCRS-5526S_config#ip route 0.0.0.0 0.0.0.0 172.168.0.1訪問控

12、制列表(Access Control Lists) ACL是實現(xiàn)數(shù)據(jù)包過濾的一種機(jī)制，通過允許或拒絕特定的數(shù)據(jù)包進(jìn)出網(wǎng)絡(luò)，可以對網(wǎng)絡(luò)訪問進(jìn)行控制，有效保證網(wǎng)絡(luò)的安全運行。用戶可以基于報文中的特定信息，制定一組規(guī)則，每條規(guī)則都描述了對匹配的數(shù)據(jù)包所采取的動作：允許通過(permit)或者拒絕(deny)。用戶可以把這些規(guī)則應(yīng)用到端口的入口或出口方向上，限制某個IP地址或網(wǎng)段的上網(wǎng)活動，用于網(wǎng)絡(luò)管理。 ACL主要由標(biāo)準(zhǔn)ACL和擴(kuò)展ACL組成。它們的區(qū)別在于，標(biāo)準(zhǔn)ACL基于源地址的判斷，擴(kuò)展ACL不僅可以基于源地址的判斷，還可以針對目的地址、端口、服務(wù)時間、服務(wù)類型等判斷。配置序列：1、配置訪問控制

13、列表規(guī)則組2、啟用包過濾功能(僅交換機(jī))3、將ACL應(yīng)用到特定端口的進(jìn)或出方向上。標(biāo)準(zhǔn)IP訪問列表配置模式：全局配置模式命令格式一：access-list deny | permit any-source 其中： 為1-99的數(shù)字命令格式二：ip access-list standard deny | permit any-source 注：系統(tǒng)默認(rèn)在整個規(guī)則組最后會增加一條拒絕所有的例如:禁止VLAN10用戶(192.168.10.0)訪問的Server(192.168.30.30)DCRS-5526S(config)#access-list 1 deny 192.168.10.0 0.0.

14、0.255 DCRS-5526S(config)#access-list 1 permit anyDCRS-5526S(config)#access-list 1 deny any /此條目默認(rèn)自動添加擴(kuò)展IP訪問列表配置模式：全局配置模式命令格式一：access-list deny | permit Protocol any-source any-dest time-rang其中： 為100-199的數(shù)字命令格式二：ip access-list extended deny | permit Protocol any-source any-dest time-rang注：系統(tǒng)默認(rèn)在整個規(guī)則組最

15、后會增加一條拒絕所有的例如:禁止VLAN10用戶(192.168.10.0)訪問的Server(192.168.30.30)的網(wǎng)頁服務(wù)DCS-3926S(config)#access-list 101 deny tcp 192.168.10.0 0.0.0.255 80 host 192.168.30.30 80DCS-3926S(config)#access-list 101 permit ip any anyDCS-3926S(config)#access-list 101 deny ip any any /此條目默認(rèn)自動添加啟用包過濾功能此配置僅交換機(jī)需要，路由器無此要求1、啟用防火墻功

16、能(默認(rèn)關(guān)閉)命令格式：firewall enable | disable配置模式：全局配置模式2、設(shè)置防火墻默認(rèn)動作(默認(rèn)允許)命令格式：firewall default permit | deny配置模式：全局配置模式啟用防火墻DCS-3926S(config)#firewall enableACL應(yīng)用到端口命令格式：ip access-group in | out 配置模式：接口配置模式例如:禁止PC1用戶(192.168.10.5)訪問的Server(192.168.30.30)的網(wǎng)頁服務(wù)創(chuàng)建ACL規(guī)則組DCS-3926S(config)#access-list 101 deny tc

17、p host 192.168.10.5 80 host 192.168.30.30 80DCS-3926S(config)#access-list 101 permit ip any anyDCS-3926S(config)#access-list 101 deny ip any any /此條目默認(rèn)自動添加啟用防火墻DCS-3926S(config)#firewall enable將ACL綁定到相應(yīng)端口上DCS-3926S(config)#int e 0/0/1DCS-3926S(config-ethernet0/0/1)#ip access-group 101 in時間相關(guān)ACL一、創(chuàng)建時

18、間范圍名命令格式：time-rang 配置模式：全局配置模式二、添加時間范圍 periodic weekdays 08:00 to 18:00 周期性時間 每天 時間段三、ACL匹配時間在創(chuàng)建ACL條目時，再添加時間參數(shù)即可。如：time-rang time10ip access-list extended nat10 permit ip 192.168.10.0 0.0.0.255 any time-range time10 網(wǎng)絡(luò)地址翻譯(Network Address Translations)一、靜態(tài)地址翻譯簡單的一對一地址翻譯。1、主機(jī)IP到IP地址2、主機(jī)端口到IP地址端口二、動態(tài)地

19、址翻譯1、內(nèi)部網(wǎng)多個地址翻譯到一個IP地址。2、內(nèi)部網(wǎng)多個地址翻譯到地址池中的多個IP地址。配置序列：配置序列：靜態(tài)靜態(tài)NATNAT 1、指定內(nèi)網(wǎng)口和外網(wǎng)口 2、定義轉(zhuǎn)換規(guī)則動態(tài)NAT 1、定義訪問列表 2、定義地址池（可用外網(wǎng)接口地址代替） 3、指定內(nèi)網(wǎng)口和外網(wǎng)口 4、定義轉(zhuǎn)換規(guī)則靜態(tài)NAT1、指定內(nèi)網(wǎng)口和外網(wǎng)口命令格式：ip nat inside | outside配置模式：接口配置模式2、定義轉(zhuǎn)換規(guī)則命令格式：ip nat inside source static 內(nèi)部本地地址內(nèi)部本地地址 內(nèi)部全局地址內(nèi)部全局地址配置模式：全局配置模式例如：內(nèi)網(wǎng)的WEB服務(wù)器啟用的web服務(wù)對外公開(園

20、區(qū)網(wǎng))ROUTERB_config#int f 0/0ROUTERB_config_f0/0#ip nat inside /設(shè)置為內(nèi)網(wǎng)口ROUTERB_config#int s 0/2ROUTERB_config_f0/0#ip nat inside /設(shè)置為內(nèi)網(wǎng)口ROUTERB_config#int e 0/1ROUTERB_config_f0/0# ip nat outside /設(shè)置為外網(wǎng)口ROUTERB_config#ip nat inside source static 192.168.10.2 80 219.229.11.1 80 /轉(zhuǎn)換規(guī)則動態(tài)NAT一 （多對一）1、定義訪問列表

21、2、指定內(nèi)網(wǎng)口和外網(wǎng)口(略)3、指定外網(wǎng)接口地址4、定義轉(zhuǎn)換規(guī)則命令格式：ip nat inside source list 列表名 int 接口名配置模式：全局配置模式例如：WEB服務(wù)器、PC2和PC3通過地址轉(zhuǎn)換（轉(zhuǎn)換成219.229.11.1） (園區(qū)網(wǎng))ROUTERB_config#access-list 1 permit 192.168.10.0 255.255.255.0ROUTERB_config#access-list 1 permit 192.168.20.0 255.255.255.0ROUTERB_config#access-list 1 permit 192.168.3

22、0.0 255.255.255.0ROUTERB_config#ip nat inside source list 1 int e 0/1/轉(zhuǎn)換規(guī)則動態(tài)NAT二（多對多）1、定義訪問列表2、指定內(nèi)網(wǎng)口和外網(wǎng)口(略)3、定義地址池命令格式：ip nat pool 地址池名 起始IP 結(jié)束IP 子網(wǎng)掩碼配置模式：全局配置模式4、定義轉(zhuǎn)換規(guī)則命令格式：ip nat inside source list 列表名 pool 池名 overload配置模式：全局配置模式例如：配置NAT，使內(nèi)網(wǎng)可以訪問互聯(lián)網(wǎng)，要求VLAN10通過211.80.1.3 (企業(yè)網(wǎng))ROUTERB_config#access-l

23、ist 10 permit 192.168.10.0 255.255.255.0ROUTERB_config#ip nat pool pool10 211.80.1.3 211.80.1.3 255.255.255.248/定義地址池ROUTERB_config#ip nat inside source list 10 pool pool10 overload/轉(zhuǎn)換規(guī)則服務(wù)質(zhì)量(Qos)配置配置序列：1、創(chuàng)建訪問控制列表(略)2、啟動Qos功能 在全局配置模式下啟用：mls qos3、配置分類表(classmap) 建立分類規(guī)則：class-map 匹配訪問控制列表：match access-

24、group 4、配置策略表 配置策略：policy-map 匹配分類：class 制定規(guī)則：police exceed-action drop5、將Qos應(yīng)用到端口 進(jìn)入接口：interface ethernet 0/0/2 將策略應(yīng)用到接口：service-policy input 例：設(shè)置web服務(wù)器所屬的網(wǎng)段192.168.10.0/24內(nèi)的報文帶寬限制為10Mbit/S，突發(fā)值設(shè)置為4K，超過帶寬的該網(wǎng)段的報文一律丟棄 Qos配置switch#configswitch(config)#access-list 1 permit 192.168.10.0 0.0.0.255 /定義ACLs

25、witch(config)#mls qos /啟用qosswitch(config)#class-map c1 /創(chuàng)建分類c1switch(config-classmap)#match access-group 1 /匹配ACLswitch(config-classmap)#exitswitch(config)#policy-map p1 /創(chuàng)建策略規(guī)則p1switch(config-policymap)#class c1 /匹配分類switch(config-policy-class)#police 10000000 4000 exceed-action drop /規(guī)則switch(con

26、fig-policy-class)#exit /帶寬 突發(fā) 處理方式 丟棄switch(config-policymap)#exitswitch(config)#interface ethernet 0/0/2switch(config-ethernet0/0/2)#service-policy input p1 /應(yīng)用到端口高速同步口封裝PPP協(xié)議同步口(serial)封裝協(xié)議在DCE設(shè)備上設(shè)置時鐘信號命令格式：physical-layer speed 配置模式：接口配置模式同步口上封裝協(xié)議(默認(rèn)情況已經(jīng)封裝了HDLC協(xié)議)命令格式：encapsulation ppp配置模式：接口配置模式例

27、：串口只能封裝PPP協(xié)議，DCR1702為DTE設(shè)備，DCR2626為DCE設(shè)備，時鐘設(shè)置為64000bpsDCR-2626_config#int s 0/1 /進(jìn)入設(shè)置端口DCR-2626_config_s0/1#ph sp 64000 /設(shè)置同步頻率DCR-2626_config_s0/1#enc ppp /封裝PPP協(xié)議PPP協(xié)議認(rèn)證(CHAP)例：啟用CHAP雙向驗證，用戶名密碼都為adminDCR-2626_config#username admin password 0 admin /創(chuàng)建本地用戶DCR-2626_config#aaa authentication ppp defa

28、ult local /啟用ppp本地認(rèn)證DCR-2626_config#int s 0/1DCR-2626_config_s0/1#ppp authentication chap /啟用chap認(rèn)證DCR-2626_config_s0/1#ppp chap hostname admin /對端用戶名注：CHAP認(rèn)證時，認(rèn)證雙方創(chuàng)建的密碼須相同相關(guān)命令：DCR-2626#show int s 0/1 /通過命令查看端口狀態(tài)PPP協(xié)議認(rèn)證(PAP)例：啟用PAP雙向驗證，用戶名密碼都為np2010DCR-2626_config#username np2010 password 0 np2010 /

29、創(chuàng)建本地用戶DCR-2626_config#aaa authentication ppp default local /啟用ppp本地認(rèn)證DCR-2626_config#int s 0/1DCR-2626_config_s0/1#ppp authentication pap /啟用pap認(rèn)證DCR-2626_config_s0/1#ppp pap sent np2010 password 0 np2010 /均為對端用戶名和密碼相關(guān)命令：DCR-2626#show int s 0/1 /通過命令查看端口狀態(tài)鏈路聚合例：在DCS-5526S和DCS-3926S上配置e0/0/23-24為鏈路聚合

30、口解決環(huán)路問題DCRS-5526S(Config)#port-group 1 /創(chuàng)建聚合組DCRS-5526S(Config)#int e 0/0/23-24 /進(jìn)入需要加入聚合組的端口DCRS-5526S(Config-Port-Range)#port-group 1 mode on /靜態(tài)聚合DCRS-5526S(Config-Port-Range)#port-group 1 mode active /動態(tài)聚合鏈路聚合分為動態(tài)聚合和靜態(tài)聚合兩種方式MAC地址綁定MAC地址綁定分為動態(tài)綁定和靜態(tài)綁定兩種方式例：PC3所連接的端口進(jìn)行MAC綁定SWITCHB(Config)#interface

31、 ethernet 0/0/6 /進(jìn)入需要綁定的端口SWITCHB(Config-Ethernet0/0/6)#switchport port-security /開啟端口安全屬性動態(tài)綁定SWITCHB(Config-Ethernet0/0/6)#switchport port-security lock /鎖定端口學(xué)習(xí)功能SWITCHB(Config-Ethernet0/0/6)#switchport port-security convert /轉(zhuǎn)換為安全MAC靜態(tài)綁定SWITCHB(Config-Ethernet0/0/6)#switchport port-security mac-address XX-XX端口鏡像例：內(nèi)部網(wǎng)絡(luò)主機(jī)PC3 必須時時監(jiān)控服務(wù)器端的收發(fā)數(shù)據(jù)設(shè)置目的端口(即監(jiān)控方，此例中即為連接PC3的端口)SWITCHB(Config)#monitor