思科交換機路由基本配置命令

下面資料是本人在網(wǎng)上所轉(zhuǎn)，希望能給你學(xué)習帶來幫助?同時也感謝創(chuàng)作者!二、命令狀態(tài)router>路由器處于用戶命令狀態(tài)，這時用戶可以看路由器的連接狀態(tài)，訪問其它網(wǎng)絡(luò)和主機，但不能看到和更改路由器的設(shè)置內(nèi)容。router#在router>提示符下鍵入enable,路由器進入特權(quán)命令狀態(tài)router#，這時不但可以執(zhí)行所有的用戶命令，還可以看到和更改路由器的設(shè)置內(nèi)容。router(config)#在router#提示符下鍵入configureterminal,出現(xiàn)提示符router(config)#，此時路由器處于全局設(shè)置狀態(tài)，這時可以設(shè)置路由器的全局參數(shù)。router(config-if)#;router(config-line)#;router(config-router)#;…路由器處于局部設(shè)置狀態(tài)，這時可以設(shè)置路由器某個局部的參數(shù)。>路由器處于RXBOOT狀態(tài)，在開機后60秒內(nèi)按ctrl-break可進入此狀態(tài)，這時路由器不能完成正常的功能，只能進行軟件升級和手工引導(dǎo)。設(shè)置對話狀態(tài)這是一臺新路由器開機時自動進入的狀態(tài)，在特權(quán)命令狀態(tài)使用SETUP命令也可進入此狀態(tài)，這時可通過對話方式對路由器進行設(shè)置。返回目錄三、設(shè)置對話過程顯示提示信息全局參數(shù)的設(shè)置接口參數(shù)的設(shè)置顯示結(jié)果利用設(shè)置對話過程可以避免手工輸入命令的煩瑣，但它還不能完全代替手工設(shè)置，一些特殊的設(shè)置還必須通過手工輸入的方式完成。進入設(shè)置對話過程后，路由器首先會顯示一些提示信息：SystemConfigurationDialogAtanypointyoumayenteraquestionmark'?'forhelp.Usectrl-ctoabortconfigurationdialogatanyprompt.Defaultsettingsareinsquarebrackets'[]'.這是告訴你在設(shè)置對話過程中的任何地方都可以鍵入“？”得到系統(tǒng)的幫助，按ctrl-c可以退出設(shè)置過程，缺省設(shè)置將顯示在‘[]’中。然后路由器會問是否進入設(shè)置對話：Wouldyouliketoentertheinitialconfigurationdialog?[yes]:如果按y或回車，路由器就會進入設(shè)置對話過程。首先你可以看到各端口當前的狀況：First,wouldyouliketoseethecurrentinterfacesummary?[yes]:AnyinterfacelistedwithOK?value"NO"doesnothaveavalidconfigurationInterfaceIP-AddressOK?MethodStatusProtocolEthernet0unassignedNOunsetupupSerial0unassignedNOunsetupup然后，路由器就開始全局參數(shù)的設(shè)置：Configuringglobalparameters:設(shè)置路由器名：Enterhostname[Router]:設(shè)置進入特權(quán)狀態(tài)的密文（secret），此密文在設(shè)置以后不會以明文方式顯示：Theenablesecretisaone-waycryptographicsecretusedinsteadoftheenablepasswordwhenitexists.Enterenablesecret:cisco設(shè)置進入特權(quán)狀態(tài)的密碼（password），此密碼只在沒有密文時起作用，并且在設(shè)置以后會以明文方式顯示：Theenablepasswordisusedwhenthereisnoenablesecretandwhenusingoldersoftwareandsomebootimages.Enterenablepassword:pass設(shè)置虛擬終端訪問時的密碼：Entervirtualterminalpassword:cisco詢問是否要設(shè)置路由器支持的各種網(wǎng)絡(luò)協(xié)議：ConfigureSNMPNetworkManagement?[yes]:ConfigureDECnet?[no]:ConfigureAppleTalk?[no]:ConfigureIPX?[no]:ConfigureIP?[yes]:ConfigureIGRProuting?[yes]:ConfigureRIProuting?[no]:如果配置的是撥號訪問服務(wù)器，系統(tǒng)還會設(shè)置異步口的參數(shù):ConfigureAsynclines?[yes]:1）設(shè)置線路的最高速度：Asynclinespeed[9600]:2）是否使用硬件流控：ConfigureforHWflowcontrol?[yes]:3）是否設(shè)置modem：Configureformodems?[yes/no]:yes4）是否使用默認的modem命令：Configurefordefaultchatscript?[yes]:5）是否設(shè)置異步口的PPP參數(shù)：ConfigureforDial-inIPSLIP/PPPaccess?[no]:yes6）是否使用動態(tài)IP地址：ConfigureforDynamicIPaddresses?[yes]:7）是否使用缺省IP地址：ConfigureDefaultIPaddresses?[no]:yes8）是否使用TCP頭壓縮：ConfigureforTCPHeaderCompression?[yes]:9）是否在異步口上使用路由表更新：Configureforroutingupdatesonasynclinks?[no]:y10）是否設(shè)置異步口上的其它協(xié)議。接下來，系統(tǒng)會對每個接口進行參數(shù)的設(shè)置。ConfiguringinterfaceEthernet0:1）是否使用此接口：Isthisinterfaceinuse?[yes]:2）是否設(shè)置此接口的IP參數(shù)：ConfigureIPonthisinterface?[yes]:3）設(shè)置接口的IP地址：IPaddressforthisinterface:4）設(shè)置接口的IP子網(wǎng)掩碼：Numberofbitsinsubnetfield[0]:ClassCnetworkis,0subnetbits;maskis/24在設(shè)置完所有接口的參數(shù)后，系統(tǒng)會把整個設(shè)置對話過程的結(jié)果顯示出來：Thefollowingconfigurationcommandscriptwascreated:hostnameRouterenablesecret5$1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1enablepasswordpass請注意在enablesecret后面顯示的是亂碼，而enablepassword后面顯示的是設(shè)置的內(nèi)容。顯示結(jié)束后，系統(tǒng)會問是否使用這個設(shè)置：Usethisconfiguration?[yes/no]:yes如果回答yes，系統(tǒng)就會把設(shè)置的結(jié)果存入路由器的NVRAM中，然后結(jié)束設(shè)置對話過程，使路由器開始正常的工作。返回目錄四、常用命令幫助在IOS操作中，無論任何狀態(tài)和位置，都可以鍵入“？”得到系統(tǒng)的幫助。改變命令狀態(tài)任務(wù)命令進入特權(quán)命令狀態(tài)enable退出特權(quán)命令狀態(tài)disable進入設(shè)置對話狀態(tài)setup進入全局設(shè)置狀態(tài)configterminal退出全局設(shè)置狀態(tài)end進入端口設(shè)置狀態(tài)interfacetypeslot/number進入子端口設(shè)置狀態(tài)interfacetypenumber.subinterface[point-to-point|multipoint]進入線路設(shè)置狀態(tài)linetypeslot/number進入路由設(shè)置狀態(tài)routerprotocol退出局部設(shè)置狀態(tài)exit顯示命令任務(wù)命令查看版本及引導(dǎo)信息showversion查看運行設(shè)置showrunning-config查看開機設(shè)置showstartup-config顯示端口信息、showinterfacetypeslot/number顯示路由信息showiprouter拷貝命令用于IOS及CONFIG的備份和升級網(wǎng)絡(luò)命令任務(wù)命令登錄遠程主機telnethostname|IPaddress網(wǎng)絡(luò)偵測pinghostname|IPaddress路由跟蹤tracehostname|IPaddress基本設(shè)置命令任務(wù)命令全局設(shè)置configterminal設(shè)置訪問用戶及密碼usernameusernamepasswordpassword設(shè)置特權(quán)密碼enablesecretpassword設(shè)置路由器名hostnamename設(shè)置靜態(tài)路由iproutedestinationsubnet-masknext-hop啟動IP路由iprouting啟動IPX路由ipxrouting端口設(shè)置interfacetypeslot/number設(shè)置IP地址ipaddressaddresssubnet-mask設(shè)置IPX網(wǎng)絡(luò)ipxnetworknetwork激活端口noshutdown物理線路設(shè)置linetypenumber啟動登錄進程login[local|tacacsserver]設(shè)置登錄密碼passwordpassword五、配置IP尋址IP地址分類IP地址分為網(wǎng)絡(luò)地址和主機地址二個部分，A類地址前8位為網(wǎng)絡(luò)地址，后24位為主機地址，B類地址16位為網(wǎng)絡(luò)地址，后16位為主機地址，C類地址前24位為網(wǎng)絡(luò)地址，后8位為主機地址，網(wǎng)絡(luò)地址范圍如下表所示：種類網(wǎng)絡(luò)地址范圍A到有效和保留B到有效和保留C到有效和保留D到55用于多點廣播E到54保留55用于廣播分配接口IP地址任務(wù)命令接口設(shè)置interfacetypeslot/number為接口設(shè)置IP地址ipaddressip-addressmask掩瑪(mask)用于識別IP地址中的網(wǎng)絡(luò)地址位數(shù)，IP地址(ip-address)和掩碼(mask)相與即得到網(wǎng)絡(luò)地址。使用可變長的子網(wǎng)掩碼通過使用可變長的子網(wǎng)掩碼可以讓位于不同接口的同一網(wǎng)絡(luò)編號的網(wǎng)絡(luò)使用不同的掩碼，這樣可以節(jié)省IP地址，充分利用有效的IP地址空間。如下圖所示：Router1和Router2的E0端口均使用了C類地址作為網(wǎng)絡(luò)地址，Router1的E0的網(wǎng)絡(luò)地址為28,掩碼為92,Router2的E0的網(wǎng)絡(luò)地址為4,掩碼為92,這樣就將一個C類網(wǎng)絡(luò)地址分配給了二個網(wǎng)，既劃分了二個子網(wǎng)，起到了節(jié)約地址的作用。使用網(wǎng)絡(luò)地址翻譯(NAT)NAT(NetworkAddressTranslation)起到將內(nèi)部私有地址翻譯成外部合法的全局地址的功能，它使得不具有合法IP地址的用戶可以通過NAT訪問到外部Internet.當建立內(nèi)部網(wǎng)的時候，建議使用以下地址組用于主機,這些地址是由NetworkWorkingGroup(RFC1918)保留用于私有網(wǎng)絡(luò)地址分配的.ClassA:to54ClassB:to54lClassC:to54命令描述如下：任務(wù)命令定義一個標準訪問列表access-listaccess-list-numberpermitsource[source-wildcard]定義一個全局地址池ipnatpoolnamestart-ipend-ip(netmasknetmask|prefix-lengthprefix-length}[typerotary]建立動態(tài)地址翻譯ipnatinsidesource(list(access-list-number|name}poolname[overload]|staticlocal-ipglobal-ip}指定內(nèi)部和外部端口ipnat(inside|outside}如下圖所示，路由器的Ethernet0端口為inside端口，即此端口連接內(nèi)部網(wǎng)絡(luò)，并且此端口所連接的網(wǎng)絡(luò)應(yīng)該被翻譯，Serial0端口為outside端口，其擁有合法IP地址(由NIC或服務(wù)提供商所分配的合法的IP地址)，來自網(wǎng)絡(luò)/24的主機將從IP地址池c2501中選擇一個地址作為自己的合法地址，經(jīng)由Serial0口訪問Internet。命令ipnatinsidesourcelist2poolc2501overload中的參數(shù)overload，將允許多個內(nèi)部地址使用相同的全局地址(一個合法IP地址，它是由NIC或服務(wù)提供商所分配的地址)。命令ipnatpoolc25012netmask92定義了全局地址的范圍。設(shè)置如下：ipnatpoolc25012netmask92interfaceEthernet0ipaddressipnatinsideinterfaceSerial0ipaddress52ipnatoutside!iprouteSerial0access-list2permit55!DynamicNAT!ipnatinsidesourcelist2poolc2501overloadlineconsole0exec-timeout00!linevty04end六、配置靜態(tài)路由通過配置靜態(tài)路由，用戶可以人為地指定對某一網(wǎng)絡(luò)訪問時所要經(jīng)過的路徑，在網(wǎng)絡(luò)結(jié)構(gòu)比較簡單，且一般到達某一網(wǎng)絡(luò)所經(jīng)過的路徑唯一的情況下采用靜態(tài)路由。任務(wù)命令建立靜態(tài)路由iprouteprefixmask（address|interface}[distance][tagtag][permanent]Prefix:所要到達的目的網(wǎng)絡(luò)mask:子網(wǎng)掩碼address:下一個跳的IP地址，即相鄰路由器的端口地址。interface:本地網(wǎng)絡(luò)接口distance:管理距離（可選）tagtag:tag值（可選）permanent:指定此路由即使該端口關(guān)掉也不被移掉。以下在Router1上設(shè)置了訪問4/26這個網(wǎng)下一跳地址為,即當有目的地址屬于4/26的網(wǎng)絡(luò)范圍的數(shù)據(jù)報，應(yīng)將其路由到地址為的相鄰路由器。在Router3上設(shè)置了訪問28/26及/30這二個網(wǎng)下一跳地址為5。由于在Router1上端口Serial0地址為，/30這個網(wǎng)屬于直連的網(wǎng)，已經(jīng)存在訪問/30的路徑，所以不需要在Router1上添加靜態(tài)路由。Router1:iproute492Router3:iproute28925iproute525同時由于路由器Router3除了與路由器Router2相連外，不再與其他路由器相連，所以也可以為它賦予一條默認路由以代替以上的二條靜態(tài)路由，iproute5即只要沒有在路由表里找到去特定目的地址的路徑，則數(shù)據(jù)均被路由到地址為5的相鄰路由器。返回目錄一、HDLCHDLC是CISCO路由器使用的缺省協(xié)議，一臺新路由器在未指定封裝協(xié)議時默認使用HDLC封裝。有關(guān)命令端口設(shè)置任務(wù)命令設(shè)置HDLC封裝encapsulationhdlc設(shè)置DCE端線路速度clockratespeed復(fù)位一個硬件接口clearinterfaceserialunit顯示接口狀態(tài)showinterfacesserial[unit]1注：1.以下給出一個顯示Cisco同步串口狀態(tài)的例子.Router#showinterfaceserial0Serial0isup,lineprotocolisupHardwareisMCISerialInternetaddressis03,subnetmaskisMTU1500bytes,BW1544Kbit,DLY20000usec,rely255/255,load1/255EncapsulationHDLC,loopbacknotset,keepaliveset(10sec)Lastinput0:00:07,output0:00:00,outputhangneverOutputqueue0/40,0drops;inputqueue0/75,0dropsFiveminuteinputrate0bits/sec,0packets/secFiveminuteoutputrate0bits/sec,0packets/sec16263packetsinput,1347238bytes,0nobufferReceived13983broadcasts,0runts,0giantsinputerrors,0CRC,0frame,0overrun,0ignored,2abort22146packetsoutput,2383680bytes,0underruns0outputerrors,0collisions,2interfaceresets,0restarts1carriertransitions舉例設(shè)置如下:Routerl:interfaceSerial0ipaddressclockrate1000000Router2:interfaceSerial0ipaddress!舉例使用E1線路實現(xiàn)多個64K專線連接.相關(guān)命令：任務(wù)命令進入controller配置模式controller(t1|e1}number選擇幀類型framing(crc4|no-crc4}選擇line-code類型linecode(ami|b8zs|hdb3}建立邏輯通道組與時隙的映射channel-groupnumbertimeslotsrange1顯示controllers接口狀態(tài)showcontrollerse1[slot/port]2注：1.當鏈路為T1時,channel-group編號為0-23,Timeslot范圍1-24;當鏈路為E1時，channel-group編號為0-30,Timeslot范圍1-31.使用showcontrollerse1觀察controller狀態(tài)，以下為幀類型為crc4時controllers正常的狀態(tài).Router#showcontrollerse1e10/0isup.AppliquetypeisChannelizedE1-unbalancedFramingisCRC4,LineCodeisHDB3Noalarmsdetected.Dataincurrentinterval(725secondselapsed):0LineCodeViolations,0PathCodeViolations0SlipSecs,0FrLossSecs,0LineErrSecs,0DegradedMins0ErroredSecs,0BurstyErrSecs,0SeverelyErrSecs,0UnavailSecsTotalData(last24hours)0LineCodeViolations,0PathCodeViolations,0SlipSecs,0FrLossSecs,0LineErrSecs,0DegradedMins,0ErroredSecs,0BurstyErrSecs,0SeverelyErrSecs,0UnavailSecs以下例子為E1連接3條64K專線，幀類型為NO-CRC4,非平衡鏈路，路由器具體設(shè)置如下：shanxi#writBuildingconfiguration...Currentconfiguration:version11.2noserviceudp-small-serversnoservicetcp-small-servershostnameshanxi!enablesecret5$1$XN08$Ttr8nfLoP9.2RgZhcBzkk/enablepasswordshanxi!!ipsubnet-zero!controllerE10framingNO-CRC4channel-group0timeslots1channel-group1timeslots2channel-group2timeslots3!interfaceEthernet0ipaddressmedia-type10BaseT!interfaceEthernet1noipaddressshutdown!interfaceSerial0:0ipaddress52noipmroute-cache!interfaceSerial0:1ipaddress52noipmroute-cache!interfaceSerial0:2ipaddress52noipmroute-cache!noipclasslessiprouteSerial0:0iprouteSerial0:1iprouteSerial0:2!linecon0lineaux0linevty04passwordshanxiloginend路由協(xié)議：一、RIP協(xié)議RIP(RoutinginformationProtocol)是應(yīng)用較早、使用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol，簡稱IGP),適用于小型同類網(wǎng)絡(luò)，是典型的距離向量(distance-vector)協(xié)議。文檔見RFC1058、RFC1723。RIP通過廣播UDP報文來交換路由信息，每30秒發(fā)送一次路由信息更新。RIP提供跳躍計數(shù)(hopcount)作為尺度來衡量路由距離，跳躍計數(shù)是一個包到達目標所必須經(jīng)過的路由器的數(shù)目。如果到相同目標有二個不等速或不同帶寬的路由器，但跳躍計數(shù)相同，則RIP認為兩個路由是等距離的。RIP最多支持的跳數(shù)為15,即在源和目的網(wǎng)間所要經(jīng)過的最多路由器的數(shù)目為15，跳數(shù)16表示不可達。有關(guān)命令任務(wù)命令指定使用RIP協(xié)議routerrip指定RIP版本version{1|2}1指定與該路由器相連的網(wǎng)絡(luò)networknetwork注：1.Cisco的RIP版本2支持驗證、密鑰管理、路由匯總、無類域間路由(CIDR)和變長子網(wǎng)掩碼(VLSMs)舉例Router1:routerripversion2networknetwork！相關(guān)調(diào)試命令：showipprotocolshowiproute返回目錄二、IGRP協(xié)議IGRP(InteriorGatewayRoutingProtocol)是一種動態(tài)距離向量路由協(xié)議，它由Cisco公司八十年代中期設(shè)計。使用組合用戶配置尺度，包括延遲、帶寬、可靠性和負載。缺省情況下，IGRP每90秒發(fā)送一次路由更新廣播，在3個更新周期內(nèi)(即270秒)，沒有從路由中的第一個路由器接收到更新，則宣布路由不可訪問。在7個更新周期即630秒后，CiscoIOS軟件從路由表中清除路由。有關(guān)命令任務(wù)命令指定使用RIP協(xié)議routerigrpautonomous-systeml指定與該路由器相連的網(wǎng)絡(luò)networknetwork指定與該路由器相鄰的節(jié)點地址neighborip-address注：1、autonomous-system可以隨意建立，并非實際意義上的autonomous-system,但運行IGRP的路由器要想交換路由更新信息其autonomous-system需相同。舉例Router1:routerigrp200networknetwork三、OSPF協(xié)議OSPF(OpenShortestPathFirst)是一個內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol,簡稱IGP),用于在單一自治系統(tǒng)(autonomoussystem,AS)內(nèi)決策路由。與RIP相對，OSPF是鏈路狀態(tài)路有協(xié)議，而RIP是距離向量路由協(xié)議。鏈路是路由器接口的另一種說法，因此OSPF也稱為接口狀態(tài)路由協(xié)議。OSPF通過路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫，生成最短路徑樹，每個OSPF路由器使用這些最短路徑構(gòu)造路由表。文檔見RFC2178。有關(guān)命令全局設(shè)置任務(wù)命令指定使用OSPF協(xié)議routerospfprocess-id1指定與該路由器相連的網(wǎng)絡(luò)networkaddresswildcard-maskareaarea-id2指定與該路由器相鄰的節(jié)點地址neighborip-address注：1、OSPF路由進程process-id必須指定范圍在1-65535，多個OSPF進程可以在同一個路由器上配置，但最好不這樣做。多個OSPF進程需要多個OSPF數(shù)據(jù)庫的副本，必須運行多個最短路徑算法的副本。process-id只在路由器內(nèi)部起作用，不同路由器的process-id可以不同。2、wildcard-mask是子網(wǎng)掩碼的反碼，網(wǎng)絡(luò)區(qū)域IDarea-id在0-4294967295內(nèi)的十進制數(shù)，也可以是帶有IP地址格式的x.x.x.x。當網(wǎng)絡(luò)區(qū)域ID為0或時為主干域。不同網(wǎng)絡(luò)區(qū)域的路由器通過主干域?qū)W習路由信息?；九渲门e例：Router1:interfaceethernet0ipaddress2992interfaceserial0ipaddress52routerospf100networkarea0network23area1!Router2:interfaceethernet0ipaddress592!interfaceserial0ipaddress52!routerospf200networkarea0network3area2!Router3:interfaceethernet0ipaddress3092!routerospf300network23area1!Router4:interfaceethernet0ipaddress692!routerospf400network3area1!相關(guān)調(diào)試命令：debugipospfeventsdebugipospfpacketshowipospfshowipospfdatabaseshowipospfinterfaceshowipospfneighborshowiproute使用身份驗證為了安全的原因，我們可以在相同OSPF區(qū)域的路由器上啟用身份驗證的功能，只有經(jīng)過身份驗證的同一區(qū)域的路由器才能互相通告路由信息。在默認情況下OSPF不使用區(qū)域驗證。通過兩種方法可啟用身份驗證功能，純文本身份驗證和消息摘要(md5)身份驗證。純文本身份驗證傳送的身份驗證口令為純文本，它會被網(wǎng)絡(luò)探測器確定，所以不安全，不建議使用。而消息摘要(md5)身份驗證在傳輸身份驗證口令前，要對口令進行加密，所以一般建議使用此種方法進行身份驗證。使用身份驗證時，區(qū)域內(nèi)所有的路由器接口必須使用相同的身份驗證方法。為起用身份驗證，必須在路由器接口配置模式下，為區(qū)域的每個路由器接口配置口令。任務(wù)命令指定身份驗證areaarea-idauthentication[message-digest]使用純文本身份驗證ipospfauthentication-keypassword使用消息摘要(md5)身份驗證ipospfmessage-digest-keykeyidmd5key以下列舉兩種驗證設(shè)置的示例，示例的網(wǎng)絡(luò)分布及地址分配環(huán)境與以上基本配置舉例相同，只是在Router1和Router2的區(qū)域0上使用了身份驗證的功能。：例1.使用純文本身份驗證Router1：interfaceethernet0ipaddress2992!interfaceserial0ipaddress52ipospfauthentication-keycisco!routerospf100networkarea0network23area1area0authentication!Router2：interfaceethernet0ipaddress592!interfaceserial0ipaddress52ipospfauthentication-keycisco!routerospf200networkarea0network3area2area0authentication!例2.消息摘要(md5)身份驗證：Router1：interfaceethernet0ipaddress2992interfaceserial0ipaddress52ipospfmessage-digest-key1md5ciscorouterospf100networkarea0network23area1area0authenticationmessage-digest!Router2:interfaceethernet0ipaddress592!interfaceserial0ipaddress52ipospfmessage-digest-key1md5cisco!routerospf200networkarea0network3area2area0authenticationmessage-digest!相關(guān)調(diào)試命令：debugipospfadjdebugipospfevents返回目錄四、重新分配路由在實際工作中，我們會遇到使用多個IP路由協(xié)議的網(wǎng)絡(luò)。為了使整個網(wǎng)絡(luò)正常地工作，必須在多個路由協(xié)議之間進行成功的路由再分配。以下列舉了OSPF與RIP之間重新分配路由的設(shè)置范例：Router1的Serial0端口和Router2的Serial0端口運行OSPF，在Router1的Ethernet0端口運行RIP2,Router3運行RIP2,Router2有指向Router4的/24網(wǎng)的靜態(tài)路由，Router4使用默認靜態(tài)路由。需要在Router1和Router3之間重新分配OSPF和RIP路由，在Router2上重新分配靜態(tài)路由和直連的路由。范例所涉及的命令任務(wù)命令重新分配直連的路由redistributeconnected重新分配靜態(tài)路由redistributestatic重新分配ospf路由redistributeospfprocess-idmetricmetric-value重新分配rip路由redistributeripmetricmetric-valueRouter1:interfaceethernet0ipaddressrouterospf100redistributeripmetric10networkarea0!routerripversion2redistributeospf100metric1network!Router2:interfaceloopback1ipaddress!interfaceethernet0ipaddress!interfaceserial0ipaddress52!routerospf200redistributeconnectedsubnetredistributestaticsubnetnetworkarea0!iproute!Router3:interfaceethernet0ipaddress!routerripversion2network!Router4:interfaceethernet0ipaddressinterfaceethernet1ipaddressiproute五、IPX協(xié)議設(shè)置IPX協(xié)議與IP協(xié)議是兩種不同的網(wǎng)絡(luò)層協(xié)議，它們的路由協(xié)議也不一樣，IPX的路由協(xié)議不象IP的路由協(xié)議那樣豐富，所以設(shè)置起來比較簡單。但IPX協(xié)議在以太網(wǎng)上運行時必須指定封裝形式。有關(guān)命令啟動IPX路由ipxrouting設(shè)置IPX網(wǎng)絡(luò)及以太網(wǎng)封裝形式ipxnetworknetwork[encapsulationencapsulation-type]1指定路由協(xié)議，默認為RIPipxrouter{eigrpautonomous-system-number|nlsp[tag]|rip}注：1.network范圍是1到FFFFFFFD.IPX封裝類型列表接口類型封裝類型IPX幀類型Ethernetnovell-ether（默認）arpasapsnapEthernet_802.3Ethernet_IIEthernet_802.2Ethernet_SnapTokenRingsap（默認）snapToken-RingToken-Ring_SnapFDDIsnap（默認）sapnovell-fddiFddi_SnapFddi_802.2Fddi_Raw舉例：在此例中，WAN的IPX網(wǎng)絡(luò)為3a00,Router1所連接的局域網(wǎng)IPX網(wǎng)絡(luò)號為2a00,在此局域網(wǎng)有一臺Novell服務(wù)器，IPX網(wǎng)絡(luò)號也是2a00,路由器接口的IPX網(wǎng)絡(luò)號必須與在同一網(wǎng)絡(luò)的Novell服務(wù)器上設(shè)置的IPX網(wǎng)絡(luò)號相同。路由器通過監(jiān)聽SAP來建立已知的服務(wù)及自己的網(wǎng)絡(luò)地址表，并每60秒發(fā)送一次自己的SAP表。Router1:ipxroutinginterfaceethernet0ipxnetwork2a00encapsulationsap!interfaceserial0ipxnetwork3a00!ipxroutereigrp10network3a00network2a00!Router2:ipxroutinginterfaceethernet0ipxnetwork2b00encapsulationsapinterfaceserial0ipxnetwork3a00ipxroutereigrp10network2b00network3a00!相關(guān)調(diào)試命令：debugipxpacketdebugipxroutingdebugipxsapdebugipxspoofdebugipxspxshowipxeigrpinterfacesshowipxeigrpneighborsshowipxeigrptopologyshowipxinterfaceshowipxrouteshowipxserversshowipxspx-spoof五、IPX協(xié)議設(shè)置IPX協(xié)議與IP協(xié)議是兩種不同的網(wǎng)絡(luò)層協(xié)議，它們的路由協(xié)議也不一樣，IPX的路由協(xié)議不象IP的路由協(xié)議那樣豐富，所以設(shè)置起來比較簡單。但IPX協(xié)議在以太網(wǎng)上運行時必須指定封裝形式。有關(guān)命令啟動IPX路由ipxrouting設(shè)置IPX網(wǎng)絡(luò)及以太網(wǎng)封裝形式ipxnetworknetwork[encapsulationencapsulation-type]1指定路由協(xié)議，默認為RIPipxrouter{eigrpautonomous-system-number|nlsp[tag]|rip}注：1.network范圍是1到FFFFFFFD.IPX封裝類型列表接口類型封裝類型IPX幀類型Ethernetnovell-ether（默認）arpasapsnapEthernet_802.3Ethernet_IIEthernet_802.2Ethernet_SnapTokenRingsap（默認）snapToken-RingToken-Ring_SnapFDDIsnap（默認）sapnovell-fddiFddi_SnapFddi_802.2Fddi_Raw舉例：在此例中，WAN的IPX網(wǎng)絡(luò)為3a00,Router1所連接的局域網(wǎng)IPX網(wǎng)絡(luò)號為2a00,在此局域網(wǎng)有一臺Novell服務(wù)器，IPX網(wǎng)絡(luò)號也是2a00,路由器接口的IPX網(wǎng)絡(luò)號必須與在同一網(wǎng)絡(luò)的Novell服務(wù)器上設(shè)置的IPX網(wǎng)絡(luò)號相同。路由器通過監(jiān)聽SAP來建立已知的服務(wù)及自己的網(wǎng)絡(luò)地址表，并每60秒發(fā)送一次自己的SAP表。Routerl:ipxroutinginterfaceethernet0ipxnetwork2a00encapsulationsap!interfaceserial0ipxnetwork3a00!ipxroutereigrp10network3a00network2a00!Router2:ipxroutinginterfaceethernet0ipxnetwork2b00encapsulationsap!interfaceserial0ipxnetwork3a00!ipxroutereigrp10network2b00network3a00!相關(guān)調(diào)試命令：debugipxpacketdebugipxroutingdebugipxsapdebugipxspoofdebugipxspxshowipxeigrpinterfacesshowipxeigrpneighborsshowipxeigrptopologyshowipxinterfaceshowipxrouteshowipxserversshowipxspx-spoof4、、、章服務(wù)質(zhì)量及訪問控制1、Cisco路由器口令恢復(fù)當Cisco路由器的口令被錯誤修改或忘記時，可以按如下步驟進行操作:開機時按<Ctrl+Break>使進入ROM監(jiān)控狀態(tài)按o命令讀取配置寄存器的原始值>o一般值為0x2102作如下設(shè)置，使忽略NVRAM引導(dǎo)>o/r0x**4*Cisco2500系列命令rommon1>confreg0x**4*Cisco2600、1600系列命令一般正常值為0x2102重新啟動路由器>Irommon2>reset在“Setup”模式，對所有問題回答No進入特權(quán)模式Router>enable下載NVRAMRouter>configurememory恢復(fù)原始配置寄存器值并激活所有端口“hostname"#configureterminal“hostname”(config)#config-register0x“value”“hostname”(config)#interfacexx“hostname”(config)#noshutdown查詢并記錄丟失的口令“hostname"#showconfiguration(showstartup-config)修改口令“hostname"#configureterminal“hostname”(config)lineconsole0“hostname”(config-line)#login“hostname”(config-line)#passwordxxxxxxxxx“hostname”(config-line)#<ctrl+z>“hostname”(config-line)#writememory(copyrunning-configstartup-config)2、IP地址分配地址類網(wǎng)絡(luò)主機網(wǎng)絡(luò)地址范圍標準二進制掩碼AN.H.H.H1-12611111111000000000000000000000000BN.N.H.H128-19111111111111111110000000000000000CN.N.N.H192-22311111111111111111111111100000000子網(wǎng)位個數(shù)子網(wǎng)掩碼子網(wǎng)數(shù)主機數(shù)B類地址2163826819814489430284662182212651825425428518126921822622428463040489414488198652163822C類地址92262246304014144830652622NAT的實現(xiàn)方案多種多樣，本文以思科2611路由器為平臺，通過一個實例描述了NAT的應(yīng)用。思科路由器上NAT通常有3種應(yīng)用方式，分別適用于不同的需求：靜態(tài)地址轉(zhuǎn)換：適用于企業(yè)內(nèi)部服務(wù)器向企業(yè)網(wǎng)外部提供服務(wù)（如WEB，F(xiàn)TP等），需要建立服務(wù)器內(nèi)部地址到固定合法地址的靜態(tài)映射。動態(tài)地址轉(zhuǎn)換：建立一種內(nèi)外部地址的動態(tài)轉(zhuǎn)換機制，常適用于租用的地址數(shù)量較多的情況;企業(yè)可以根據(jù)訪問需求，建立多個地址池，綁定到不同的部門。這樣既增強了管理的粒度，又簡化了排錯的過程。端口地址復(fù)用：適用于地址數(shù)很少，多個用戶需要同時訪問互聯(lián)網(wǎng)的情況。如上圖所示，企業(yè)從ISP獲得6個有效IP地址（28~35,掩碼為48，128和135為網(wǎng)絡(luò)地址和廣播地址，不可用），通過一臺2611路由器接入互聯(lián)網(wǎng)。內(nèi)部網(wǎng)絡(luò)根據(jù)職能分成若干子網(wǎng)，并期望服務(wù)器子網(wǎng)對外提供WEB服務(wù)，財務(wù)部門使用獨立的地址池接入互聯(lián)網(wǎng)，其它部門共用剩余的地址池。具體配置步驟如下：選擇E0作為內(nèi)部接口，S0作為外部接口interfacee0ipaddressipnatinside/*配置e0為內(nèi)部接口*/ipaddress2948ipnatoutside/*配置s0為外部接口*/為各部門配置地址池（finance—財務(wù)部門；other—其它部門）：ipnatpoolfinance3131netmask48ipnatpoolother3234netmask48用訪問控制列表檢查數(shù)據(jù)包的源地址并映射到不同的地址池ipnatinsidesourcelist1poolfinanceoverload/*overload—啟用端口復(fù)用*/ipnatinsidesourcelist2poolother/*動態(tài)地址轉(zhuǎn)換*/定義訪問控制列表access-list1permit55access-list2permit55建立靜態(tài)地址轉(zhuǎn)換，并開放WEB端口（TCP80）ipnatinsidesourcestatictcp803080設(shè)置缺省路由iproutes0經(jīng)過上述配置后，互聯(lián)網(wǎng)上的主機可以通過30:80訪問到企業(yè)內(nèi)部WEB服務(wù)器；財務(wù)部門的接入請求將映射到31；其它部門的接入請求被映射到31~134地址段。至此，一個企業(yè)NAT互聯(lián)網(wǎng)接入方案就完成了。典型以太網(wǎng)絡(luò)建立多個VLAN實例：典型以太網(wǎng)絡(luò)建立多個VLAN所謂典型局域網(wǎng)就是指由一臺具備三層交換功能的核心交換機接幾臺分支交換機（不一定具備三層交換能力）。我們假設(shè)核心交換機名稱為：com；分支交換機分別為：par1、par2、par3,分別通過port1的光線模塊與核心交換機相連；并且假設(shè)vlan名稱分別為counter>market、managing需要做的工作：1、設(shè)置vtpdomain（核心、分支交換機上都設(shè)置）2、配置中繼（核心、分支交換機上都設(shè)置）3、創(chuàng)建vlan(在server上設(shè)置)4、將交換機端口劃入vlan5、配置三層交換1、設(shè)置vtpdomainovtpdomain稱為管理域。交換vtp更新信息的所有交換機必須配置為相同的管理域。如果所有的交換機都以中繼線相連，那么只要在核心交換機上設(shè)置一個管理域，網(wǎng)絡(luò)上所有的交換機都加入該域，這樣管理域里所有的交換機就能夠了解彼此的vlan列表。com#vlandatabase進入vlan配置模式com(vlan)#vtpdomaincom設(shè)置vtp管理域名稱comcom(vlan)#vtpserver設(shè)置交換機為服務(wù)器模式par1#vlandatabase進入vlan配置模式par1(vlan)#vtpdomaincom設(shè)置vtp管理域名稱compar1(vlan)#vtpclient設(shè)置交換機為客戶端模式par2#vlandatabase進入vlan配置模式par2(vlan)#vtpdomaincom設(shè)置vtp管理域名稱compar2(vlan)#vtpclient設(shè)置交換機為客戶端模式par3#vlandatabase進入vlan配置模式par3(vlan)#vtpdomaincom設(shè)置vtp管理域名稱compar3(vlan)#vtpclient設(shè)置交換機為客戶端模式注意：這里設(shè)置核心交換機為server模式是指允許在該交換機上創(chuàng)建、修改、刪除vlan及其他一些對整個vtp域的配置參數(shù)，同步本vtp域中其他交換機傳遞來的最新的vlan信息；client模式是指本交換機不能創(chuàng)建、刪除、修改vlan配置，也不能在nvram中存儲vlan配置，但可同步由本vtp域中其他交換機傳遞來的vlan信息。2、配置中繼為了保證管理域能夠覆蓋所有的分支交換機，必須配置中繼。cisco交換機能夠支持任何介質(zhì)作為中繼線，為了實現(xiàn)中繼可使用其特有的isl標簽°isl(inter—switchlink)是一個在交換機之間、交換機與路由器之間及交換機與服務(wù)器之間傳遞多個vlan信息及vlan數(shù)據(jù)流的協(xié)議，通過在交換機直接相連的端口配置isl封裝，即可跨越交換機進行整個網(wǎng)絡(luò)的vlan分配和進行配置。在核心交換機端配置如下：com(config)#interfacegigabitethernet2/1com(config-if)#switchportcom(config-if)#switchporttrunkencapsulationisl配置中繼協(xié)議com(config-if)#switchportmodetrunkcom(config)#interfacegigabitethernet2/2com(config-if)#switchportcom(config-if)#switchporttrunkencapsulationisl配置中繼協(xié)議com(config-if)#switchportmodetrunkcom(config)#interfacegigabitethernet2/3com(config-if)#switchportcom(config-if)#switchporttrunkencapsulationisl配置中繼協(xié)議com(config-if)#switchportmodetrunk在分支交換機端配置如下：par1(config)#interfacegigabitethernet0/1par1(config-if)#switchportmodetrunkpar2(config)#interfacegigabitethernet0/1par2(config-if)#switchportmodetrunkpar3(config)#interfacegigabitethernet0/1par3(config-if)#switchportmodetrunk此時，管理域算是設(shè)置完畢了。3、創(chuàng)建vlan一旦建立了管理域，就可以創(chuàng)建vlan了。com(vlan)#vlan10namecounter創(chuàng)建了一個編號為10名字為counter的vlancom(vlan)#vlan11namemarket創(chuàng)建了一個編號為11名字為market的vlancom(vlan)#vlan12namemanaging創(chuàng)建了一個編號為12名字為managing的vlan注意，這里的vlan是在核心交換機上建立的，其實，只要是在管理域中的任何一臺vtp屬性為server的交換機上建立vlan，它就會通過vtp通告整個管理域中的所有的交換機。但如果要將具體的交換機端口劃入某個vlan，就必須在該端口所屬的交換機上進行設(shè)置。4、將交換機端口劃入vlan例如，要將par1、par2、par3分支交換機的端口1劃入countervlan，端口2劃入marketvlan，端口3劃入managingvlanpar1(config)#interfacefastethernet0/1配置端口1par1(config-if)#switchportaccessvlan10歸屬countervlanpar1(config)#interfacefastethernet0/2配置端口2par1(config-if)#switchportaccessvlan11歸屬marketvlanpar1(config)#interfacefastethernet0/3配置端口3par1(config-if)#switchportaccessvlan12歸屬managingvlanpar2(config)#interfacefastethernet0/1配置端口1par2(config-if)#switchportaccessvlan10歸屬countervlanpar2(config)#interfacefastethernet0/2配置端口2par2(config-if)#switchportaccessvlan11歸屬marketvlanpar2(config)#interfacefastethernet0/3配置端口3par2(config-if)#switchportaccessvlan12歸屬managingvlanpar3(config)#interfacefastethernet0/1配置端口1par3(config-if)#switchportaccessvlan10歸屬countervlanpar3(config)#interfacefastethernet0/2配置端口2par3(config-if)#switchportaccessvlan11歸屬marketvlanpar3(config)#interfacefastethernet0/3配置端口3par3(config-if)#switchportaccessvlan12歸屬managingvlan5、配置三層交換到這里，vlan已經(jīng)基本劃分完畢。但是，vlan間如何實現(xiàn)三層(網(wǎng)絡(luò)層)交換呢？這時就要給各vlan分配網(wǎng)絡(luò)(ip)地址了。給vlan分配ip地址分兩種情況，其一，給vlan所有的節(jié)點分配靜態(tài)ip地址；其二，給vlan所有的節(jié)點分配動態(tài)ip地址。下面就這兩種情況分別介紹。假設(shè)給vlancounter分配的接口ip地址為/24，網(wǎng)絡(luò)地址為：，vlanmarket分配的接口ip地址為/24，網(wǎng)絡(luò)地址為：，vlanmanaging分配接口ip地址為/24，網(wǎng)絡(luò)地址為如果動態(tài)分配ip地址，則設(shè)網(wǎng)絡(luò)上的dhcp服務(wù)器ip地址為1。給vlan所有的節(jié)點分配靜態(tài)ip地址。首先在核心交換機上分別設(shè)置各vlan的接口ip地址。核心交換機將vlan做為一種接口對待，就象路由器上的一樣，如下所示：com(config)#interfacevlan10com(config-if)#ipaddressvlan10接口ipcom(config)#interfacevlan11com(config-if)#ipaddressvlan11接口ipcom(config-if)#ipaddressvlan12接口ip再在各接入vlan的計算機上設(shè)置與所屬vlan的網(wǎng)絡(luò)地址一致的ip地址，并且把默認網(wǎng)關(guān)設(shè)置為該vlan的接口地址。這樣，所有的vlan也可以互訪了。給vlan所有的節(jié)點分配動態(tài)ip地址。首先在核心交換機上分別設(shè)置各vlan的接口ip地址和同樣的dhcp服務(wù)器的ip地址，如下所示：com(config)#interfacevlan10com(config-if)#ipaddressvlan10接口ipcom(config-if)#iphelper-address1dhcpserveripcom(config)#interfacevlan11com(config-if)#ipaddressvlan11接口ipcom(config-if)#iphelper-address1dhcpserveripcom(config)#interfacevlan12com(config-if)#ipaddressvlan12接口ipcom(config-if)#iphelper-address1dhcpserverip再在dhcp服務(wù)器上設(shè)置網(wǎng)絡(luò)地址分別為，，的作用域，并將這些作用域的“路由器”選項設(shè)置為對應(yīng)vlan的接口ip地址。這樣，可以保證所有的vlan也可以互訪了。最后在各接入vlan的計算機進行網(wǎng)絡(luò)設(shè)置，將ip地址選項設(shè)置為自動獲得ip地址即可。VPN實例配置方案一中文注解Router:sam-i-am(VPNServer)Currentconfiguration:version12.2servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!hostnamesam-i-am!ipsubnet-zero!---IKE配置sam-i-am(config)#cryptoisakmppolicy1//定義策略為1sam-i-am(isakmp)#hashmd5//定義MD5散列算法sam-i-am(isakmp)#authenticationpre-share//定義為預(yù)共享密鑰認證方式sam-i-am(config)#cryptoisakmpkeycisco123address!---配置預(yù)共享密鑰為cisco123,對等端為所有IP!---IPSec協(xié)議配置sam-i-am(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac!創(chuàng)建變換集esp-desesp-md5-hmacsam-i-am(config)#cryptodynamic-maprtpmap10//創(chuàng)建動態(tài)保密圖rtpmap10san-i-am(crypto-map)#settransform-setrtpset//使用上面的定義的變換集rtpsetsan-i-am(crypto-map)#matchaddress115//援引訪問列表確定受保護的流量sam-i-am(config)#cryptomaprtptrans10ipsec-isakmpdynamicrtpmap!---將動態(tài)保密圖集加入到正規(guī)的圖集中!interfaceEthernet0ipaddressnoipdirected-broadcastipnatinsidenomopenabledinterfaceSerial0ipaddressnoipdirected-broadcastipnatoutsidecryptomaprtptrans//將保密映射應(yīng)用到S0接口上ipnatinsidesourceroute-mapnonatinterfaceSerial0overload!---這個NAT配置啟用了路由策略，內(nèi)容為到的訪問不進行地址翻譯!---到其他網(wǎng)絡(luò)的訪問都翻譯成SO接口的IP地址ipclasslessiprouteSerial0//配置靜態(tài)路由協(xié)議noiphttpserver!access-list115permitip5555access-list115denyip55any!access-list120denyip5555access-list120permitip55any!sam-i-am(config)#route-mapnonatpermit10//使用路由策略sam-i-am(router-map)#matchipaddress120!linecon0transportinputnonelineaux0linevty04passwordwwlogin!endRouter:dr_whoovie(VPNClient)Currentconfiguration:!version12.2servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!hostnamedr_whoovieipsubnet-zerodr_whoovie(config)#cryptoisakmppolicy1//定義策略為1dr_whoovie(isakmp)#hashmd5//定義MD5散列算法dr_whoovie(isakmp)#authenticationpre-share//定義為預(yù)共享密鑰認證方式dr_whoovie(config)#cryptoisakmpkeycisco123address!---配置預(yù)共享密鑰為cisco123,對等端為服務(wù)器端IP!---IPSec協(xié)議配置dr_whoovie(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac!創(chuàng)建變換集esp-desesp-md5-hmacdr_whoovie(config)#cryptomaprtp1ipsec-isakmp!---使用IKE創(chuàng)建保密圖rtp1dr_whoovie(crypto-map)#setpeer//確定遠程對等端dr_whoovie(crypto-map)#settransform-setrtpset//使用上面的定義的變換集rtpsetdr_whoovie(crypto-map)#matchaddress115//援引訪問列表確定受保護的流量!interfaceEthernet0ipaddressnoipdirected-broadcastipnatinsidenomopenabled!interfaceSerial0ipaddressnegotiated//IP地址自動獲取noipdirected-broadcastipnatoutsideencapsulationppp//S0接口封裝ppp協(xié)議noipmroute-cachenoiproute-cachecryptomaprtp//將保密映射應(yīng)用到S0接口上ipnatinsidesourceroute-mapnonatinterfaceSerial0overload!---這個NAT配置啟用了路由策略，內(nèi)容為到的訪問不進行地址翻譯!---到其他網(wǎng)絡(luò)的訪問都翻譯成SO接口的IP地址ipclasslessiprouteSerial0//配置靜態(tài)路由協(xié)議noiphttpserver!access-list115permitip5555access-list115denyip55anyaccess-list120denyip5555access-list120permitip55any!dialer-list1protocolippermitdialer-list1protocolipxpermitroute-mapnonatpermit10//使用路由策略matchipaddress120!linecon0transportinputnonelineaux0linevty04passwordwwlogin!endIPSecVPN對等端為了建立信任關(guān)系，必須交換某種形式的認證密鑰。Internet密鑰交換(InternetKeyExchange，IKE)是一種為IPSec管理和交換密鑰的標準方法。一旦兩個對等端之間的IKE協(xié)商取得成功，那么IKE就創(chuàng)建到遠程對等端的安全關(guān)聯(lián)(securityassociation，SA)。SA是單向的；在兩個對等端之間存在兩個SA。IKE使用UDP端口500進行協(xié)商，確保端口500不被阻塞。配置1、(可選)啟用或者禁用IKE(global)cryptoisakmpenable或者(global)nocryptoisakmpenable默認在所有接口上啟動IKE2、創(chuàng)建IKE策略定義策略(global)cryptoisakmppolicypriority注釋：policy1表示策略1,假如想多配幾個VPN，可以寫成policy2、policy3?(可選)定義加密算法(isakmp)encryption{des|3des}加密模式可以為56位的DES-CBC(des，默認值)或者168位的3DES(3des)(可選)定義散列算法(isamkp)hash{sha|md5}默認sha(可選)定義認證方式(isamkp)authentication{rsa-sig|rsa-encr|pre-share}rsa-sig要求使用CA并且提供防止抵賴功能；默認值rsa-encr不需要CA，提供防止抵賴功能pre-share通過手工配置預(yù)共享密鑰(可選)定義Diffie-Hellman標識符(isakmp)group{1|2}注釋：除非購買高端路由器，或是VPN通信比較少，否則最好使用group1長度的密鑰，group命令有兩個參數(shù)值：1和2。參數(shù)值1表示密鑰使用768位密鑰，參數(shù)值2表示密鑰使用1024位密鑰，顯然后一種密鑰安全性高，但消耗更多的CPU時間。(可選)定義安全關(guān)聯(lián)的生命期(isakmp)lifetimeseconds注釋：對生成新SA的周期進行調(diào)整。這個值以秒為單位，默認值為86400，也就是一天。值得注意的是兩端的路由器都要設(shè)置相同的SA周期，否則VPN在正常初始化之后，將會在較短的一個SA周期到達中斷。3、(rsa-sig)使用證書授權(quán)(CA)確保路由器有主機名和域名(global)hostnamehostname(global)ipdomain-namedomain產(chǎn)生RSA密鑰(global)cryptokeygeneratersa使用向IPSec對等端發(fā)布證書的CA設(shè)定CA的主機名(global)cryptocaidentityname一一設(shè)定聯(lián)絡(luò)CA所使用的URL(ca-identity)enrollmenturlurlURL應(yīng)該采用http://ca-domain-nameort/cgi-bin-location。5%場％一一(可選)使用RA模式(ca-identity)enrollmentmodera(ca-identity)queryurlurl――(可選)設(shè)定注冊重試參數(shù)(ca-identity)enrollmentretryperiodminutes(ca-identity)enrollmentretrycountnumberminutes(1到60；默認為1)number(1到100；默認為0,代表無窮次)一一(可選)可選的證書作廢列表(ca-identity)crloptional(可選)使用可信的根CA確定可信的根CA(global)cryptocatrusted-rootname一一(可選)從可信的根請求CRL(ca-root)crlqueryurl一一定義注冊的方法(ca-root)root(CEPurl|TFTPserverfile|PROXYurl}認證CA(global)cryptocaauthenticatename⑹用CA注冊路由器(global)cryptocaenrollname4、(rsa-encr)手工配置RSA密鑰(不使用CA)⑴產(chǎn)生RSA密鑰(global)cryptokeygeneratersa指定對等端的ISAKMP標識(global)cryptoisakmpidentity(address|hostname}指定其他所有對等端的RSA密鑰一一配置公共密鑰鏈(global)cryptokeypubkey-chainrsa用名字或地址確定密鑰(pubkey-chain)named-keykey-name[encryption|signature](pubkey-chain)addressed-keykey-name[encryption|signature]一一(可選)手工配置遠程對等端的IP地址(pubkey-key)addressip-addr一一指定遠程對等端的公開密鑰(pubkey-key)key-stringkey-string5、(preshare)配置預(yù)共享密鑰(global)cryptoisakmpkeykey-string(addrss|hostname}(peer-address|peer-hostname}注釋：返回到全局設(shè)置模式確定要使用的預(yù)先共享密鑰和指歸VPN另一端路由器IP地址，即目的路由器IP地址。相應(yīng)地在另一端路由器配置也和以上命令類似6、(可選)使用IKE模式定義要分發(fā)的“內(nèi)部”或者受保護IP地址庫(global)iplocalpoolpool-namestart-addressend-address啟動IKE模式協(xié)商(global)cryptoisakmpclientconfigurationaddress-poollocalpool-nameIPSec配置IPSec使用加密、數(shù)據(jù)完整性、源發(fā)鑒別以及拒絕重演分組來保護和認證網(wǎng)絡(luò)層對等端之間的IP分組IPSec對于構(gòu)建內(nèi)因網(wǎng)、外因網(wǎng)以及遠程用戶接入VPN來說非常有用處IPSec支持以下標準--Internet協(xié)議的安全體系結(jié)構(gòu)--IKE(Internet密鑰交換)--DES(數(shù)據(jù)加密標準)--MD5--SHA--AH(AuthenticationHeader，認證首部)數(shù)據(jù)認證和反重演(anti-reply)服務(wù)--ESP(EncapsulationSecurityPayload，封裝安全凈荷)數(shù)據(jù)隱私、數(shù)據(jù)驗證以及反重演(anti-reply)服務(wù)敏感流量由訪問列表所定義，并且通過cryptomap(保密圖)集被應(yīng)用到接口上。配置1、為密鑰管理配置IKE2、(可選)定義SA的全局生命期(global)cryptoipsecsecurity-associationlifetimesecondsseconds(global)cryptoipsecsecurity-associationlifetimekillobyteskilobytes3、定義保密訪問列表來定義受保護的流量(global)access-listaccess-list-number....或者(global)ipaccess-listextendedname擴展的訪問列表必須定義由IPSec保護哪種IP流量。保密圖(cryptomap)援引這個訪問列表來確定在接口上要保護的流量。4、定義IPSec交換集⑴創(chuàng)建變換集(global)cryptoipsectransform-setname[transforml|transform2|transforms]可以在一個保密圖(cryptomap)中定義多個變換集。如果沒有使用IKE,那么只