網絡的設備配置

網絡的設備配置基本配置設備管理方式：帶外管理和帶內管理1、帶外管理

設備首次使用時，必須采用的一種方式。通過PC串口與設備的console口用console線連接，使用超級終端進行配置。2、帶內管理（telnet管理方式）

經過適當配置后，用網絡線路進行連接，通過操作系統(tǒng)自帶的telnet工具登錄進行配置。帶外管理console口PC機串口console線操作方法1、連接設備。2、配置超級終端交換機或路由器配置模式1、一般用戶配置模式提示符：“>”在此模式下，能使用的命令較少，無法對交換機進行配置，如：showversion2、特權用戶配置模式提示符：“#”在一般用戶模式下，使用命令“enable”進入特權用戶模式。在此模式下，用戶可以查詢交換機的配置信息、端口連接情況、保存配置等。3、全局配置模式提示符：“switch(Config)#”在特權用戶配置模式下使用命令“configterminal”進入。在此模式下，可以對交換機進行全局性的配置。如：創(chuàng)建VLAN等。4、接口配置模式和VLAN配置模式等使用相關的配置命令進入各種其它配置模式，提示符也跟著相應變換。如：進入VLAN1接口，命令：intvlan1，提示符：switch(Config-If-Vlan1)#注：使用命令“exit”返上一層模式。使用“Ctrl+Z”組合鍵直接返回特權用戶模式命令語法cmdtxt<variable>{enum1|enum2}[option]語法說明：1、cmdtxt：命令關鍵字2、<variable>：參數為變量，由用戶輸入相關值3、{enum1|enum2}：必須選擇其中之一4、[option]：可選參數在實際命令中，經常是以上4種情形的組合使用幫助功能1、“？”命令的使用⑴模糊查詢命令⑵查詢命令參數2、不完全匹配命令及參數可使用縮寫，只要省略后的關鍵字不會引起歧義。如：#showrunning-config

#shrun以上兩條命令是等效的。3、Tab鍵的使用

僅輸入命令詞開頭的字符，在命令沒有錯誤時，可用TAB鍵補全命令。4、否定命令“no”大部分命令可在其命令行前加上“no”關鍵字，結果為取反或改為默認值例如：創(chuàng)建VLAN10命令：#vlan10，刪除VLAN10則使用：novlan105、歷史命令可以通過使用上下光標健，來選擇已經輸入過的命令，以節(jié)省時間恢復出產配置交換機：特權用戶模式：#setdefault//恢復#write//保存#reload//重啟路由器：特權用戶模式：#deletestartup-config//刪除啟動文件#reboot//重啟配置文件：running-config//運行時的配置文件startup-config//啟動時的配置文件帶內管理(telnet)console口PC機串口console線交換機交換機接口PC機網卡交換機配置步驟1、進入管理接口VLAN1命令：intvlan1模式：全局配置模式2、設置管理IP地址命令：模式：接口配置模式3、創(chuàng)建telnet登錄的用戶名和密碼命令：telnet-useradminpassword0admin模式：全局配置模式4、設置PC機IP與交換機管理IP在相同網段雙絞線PC機帶內管理(telnet)console口PC機串口console線路由器路由器接口PC機網卡路由器配置步驟1、進入接口命令：intf0/0模式：全局配置模式2、設置接口IP地址命令：模式：線路接口配置模式3、創(chuàng)建認證用戶名和密碼命令：usernameadminpassword0adminaaaauthenticationlogintelnetlocallinevty04模式：全局配置模式

loginauthenticationtelnet模式：線路接口配置模式4、設置PC機IP與路由器端口IP在相同網段交叉雙絞線PC機創(chuàng)建VLAN1、創(chuàng)建VLAN命令格式：vlan<vlan-id>配置模式：全局配置模式2、將端口添加到VLAN，命令格式：switchinterface<interface-type><interface-number>配置模式：VLAN配置模式DCS-3926S(Config)#vlan10DCS-3926S(Config-Vlan10)#swiinte0/0/1-10DCS-3926S(Config-Vlan10)#exitDCS-3926S(Config)#跨交換機實現VLAN互通配置步驟：1、創(chuàng)建VLAN(略)2、進入VLAN接口命令格式：interfacevlan<vlan-id>配置模式：全局配置模式3、配置接口地址：

命令格式：ipaddress<A.B.C.D><submask>

配置模式：接口配置模式4、將連接交換機的線路配置為trunk模式命令格式：switchmodetrunk配置模式：接口配置模式e0/0/23-24e0/0/23-24VLAN100/0/1-10VLAN200/0/11-20PC1PC2DCS-3926SDCRS-5526S配置VLAN地址：DCRS-5526S(Config)#intvlan10DCRS-5526S(Config-If-Vlan10)#DCRS-5526S(Config-If-Vlan10)#exit配置trunk：DCRS-5526S(Config)#inte0/0/23-24DCRS-5526S(Config-Port-Range)#swimodetrunk單臂路由PC1PC2f0/0配置步驟：1、進入子接口命令格式：interface<interface-type><subinterface-number>配置模式：全局配置模式2、配置子接口地址：

命令格式：ipaddress<A.B.C.D><submask>

配置模式：接口配置模式3、封裝802.1Q協議命令格式：encapsulationdot1q<vlan-id>配置模式：接口配置模式配置單臂路由：ROUTERB_config#intf0/0.1ROUTERB_config_f0/0.1#ROUTERB_config_f0/0.1#encdot1q10ROUTERB_config_f0/0.1#exitROUTERB路由配置二、動態(tài)路由(RIP)配置序列：1、啟用RIP動態(tài)路由命令格式：routerrip配置模式：全局配置模式2、配置RIP版本命令格式：version{1|2}配置模式：路由配置模式3、設置自動會聚命令格式：auto-summaryno

auto-summary//取消自動會聚配置模式：路由配置模式4、配置運行RIP的網段命令格式：network<A.B.C.D/M|ifname>配置模式：路由配置模式路由配置三、動態(tài)路由(OSPF)配置序列：1、啟用OSPF動態(tài)路由命令格式：routerospf[process<id>]配置模式：全局配置模式2.1、配置運行OSPF的網段命令格式：network<A.B.C.D><mask>area<area_id>配置模式：路由配置模式2.2、配置運行OSPF的網段命令格式：ipospfenablearea<area_id>配置模式：接口配置模式路由配置一、靜態(tài)路由命令格式：iproute<ip-address><mask><next-hop>配置模式：全局配置模式相關命令：showiproute//查看設備路由表配置模式：特權用戶配置模式特例:默認路由：iproute0.0.0.00.0.0.0<next-hop>配置：DCR-2626_config#DCRS-5526S_config#訪問控制列表(AccessControlLists)ACL是實現數據包過濾的一種機制，通過允許或拒絕特定的數據包進出網絡，可以對網絡訪問進行控制，有效保證網絡的安全運行。用戶可以基于報文中的特定信息，制定一組規(guī)則，每條規(guī)則都描述了對匹配的數據包所采取的動作：允許通過(permit)或者拒絕(deny)。用戶可以把這些規(guī)則應用到端口的入口或出口方向上，限制某個IP地址或網段的上網活動，用于網絡管理。ACL主要由標準ACL和擴展ACL組成。它們的區(qū)別在于，標準ACL基于源地址的判斷，擴展ACL不僅可以基于源地址的判斷，還可以針對目的地址、端口、服務時間、服務類型等判斷。配置序列：1、配置訪問控制列表規(guī)則組2、啟用包過濾功能(僅交換機)3、將ACL應用到特定端口的進或出方向上。標準IP訪問列表配置模式：全局配置模式命令格式一：access-list<num>{deny|permit}{any-source}其中：<num>為1-99的數字命令格式二：ipaccess-liststandard<name>{deny|permit}{any-source}注：系統(tǒng)默認在整個規(guī)則組最后會增加一條拒絕所有的例如:禁止VLAN10用戶(192.168.10.0)訪問的Server(192.168.30.30)DCRS-5526S(config)#

DCRS-5526S(config)#access-list1permitanyDCRS-5526S(config)#access-list1denyany//此條目默認自動添加擴展IP訪問列表配置模式：全局配置模式命令格式一：access-list<num>{deny|permit}Protocol{any-source}{any-dest}[time-rang]其中：<num>為100-199的數字命令格式二：ipaccess-listextended<name>{deny|permit}Protocol{any-source}{any-dest}[time-rang]注：系統(tǒng)默認在整個規(guī)則組最后會增加一條拒絕所有的例如:禁止VLAN10用戶(192.168.10.0)訪問的Server(192.168.30.30)的網頁服務DCS-3926S(config)#access-list101denytcp192.168.10.00.0.0.25580host

192.168.30.3080DCS-3926S(config)#access-list101permitipanyanyDCS-3926S(config)#access-list101denyipanyany//此條目默認自動添加啟用包過濾功能此配置僅交換機需要，路由器無此要求1、啟用防火墻功能(默認關閉)命令格式：firewall{enable|disable}配置模式：全局配置模式2、設置防火墻默認動作(默認允許)命令格式：firewalldefault{permit|deny}配置模式：全局配置模式啟用防火墻DCS-3926S(config)#firewallenableACL應用到端口命令格式：ipaccess-group<name>{in|out}配置模式：接口配置模式例如:禁止PC1用戶(192.168.10.5)訪問的Server(192.168.30.30)的網頁服務創(chuàng)建ACL規(guī)則組DCS-3926S(config)#access-list101denytcphost192.168.10.580host

192.168.30.3080DCS-3926S(config)#access-list101permitipanyanyDCS-3926S(config)#access-list101denyipanyany//此條目默認自動添加啟用防火墻DCS-3926S(config)#firewallenable將ACL綁定到相應端口上DCS-3926S(config)#inte0/0/1DCS-3926S(config-ethernet0/0/1)#ipaccess-group101in時間相關ACL一、創(chuàng)建時間范圍名命令格式：time-rang<時間范圍名>配置模式：全局配置模式二、添加時間范圍

periodicweekdays08:00to18:00

周期性時間每天時間段三、ACL匹配時間在創(chuàng)建ACL條目時，再添加時間參數即可。如：time-rangtime10……ipaccess-listextendednat10

permitip192.168.10.00.0.0.255anytime-rangetime10

網絡地址翻譯(NetworkAddressTranslations)一、靜態(tài)地址翻譯簡單的一對一地址翻譯。1、主機IP到IP地址2、主機端口到IP地址端口二、動態(tài)地址翻譯1、內部網多個地址翻譯到一個IP地址。2、內部網多個地址翻譯到地址池中的多個IP地址。配置序列：靜態(tài)NAT1、指定內網口和外網口2、定義轉換規(guī)則動態(tài)NAT1、定義訪問列表2、定義地址池（可用外網接口地址代替）3、指定內網口和外網口4、定義轉換規(guī)則靜態(tài)NAT1、指定內網口和外網口命令格式：ipnat{inside|outside}配置模式：接口配置模式2、定義轉換規(guī)則命令格式：ipnatinsidesourcestatic內部本地地址內部全局地址配置模式：全局配置模式例如：內網的WEB服務器啟用的web服務對外公開(園區(qū)網)ROUTERB_config#intf0/0ROUTERB_config_f0/0#ipnatinside//設置為內網口ROUTERB_config#ints0/2ROUTERB_config_f0/0#ipnatinside//設置為內網口ROUTERB_config#inte0/1ROUTERB_config_f0/0#ipnatoutside//設置為外網口ROUTERB_config#ipnatinsidesourcestatic192.168.10.280219.229.11.180//轉換規(guī)則動態(tài)NAT一

（多對一）1、定義訪問列表2、指定內網口和外網口(略)3、指定外網接口地址4、定義轉換規(guī)則命令格式：ipnatinsidesourcelist列表名int接口名配置模式：全局配置模式例如：WEB服務器、PC2和PC3通過地址轉換（轉換成219.229.11.1）(園區(qū)網)ROUTERB_config#ROUTERB_config#ROUTERB_config#ROUTERB_config#ipnatinsidesourcelist1inte0/1//轉換規(guī)則動態(tài)NAT二（多對多）1、定義訪問列表2、指定內網口和外網口(略)3、定義地址池命令格式：ipnatpool

地址池名起始IP結束IP子網掩碼配置模式：全局配置模式4、定義轉換規(guī)則命令格式：ipnatinsidesourcelist列表名pool池名overload配置模式：全局配置模式例如：配置NAT，使內網可以訪問互聯網，要求VLAN10通過211.80.1.3(企業(yè)網)ROUTERB_config#ROUTERB_config#ipnatpool//定義地址池ROUTERB_config#ipnatinsidesourcelist10poolpool10overload//轉換規(guī)則服務質量(Qos)配置配置序列：1、創(chuàng)建訪問控制列表(略)2、啟動Qos功能在全局配置模式下啟用：mlsqos3、配置分類表(classmap)建立分類規(guī)則：class-map<分類名>匹配訪問控制列表：matchaccess-group<訪問控制列表名>4、配置策略表配置策略：policy-map<策略名>匹配分類：class<分類名>制定規(guī)則：police<帶寬><突發(fā)值>exceed-actiondrop5、將Qos應用到端口進入接口：interfaceethernet0/0/2將策略應用到接口：service-policyinput<策略名>例：設置web服務器所屬的網段192.168.10.0/24內的報文帶寬限制為10Mbit/S，突發(fā)值設置為4K，超過帶寬的該網段的報文一律丟棄Qos配置switch#configswitch(config)#access-list1permit192.168.10.00.0.0.255//定義ACLswitch(config)#mlsqos//啟用qosswitch(config)#class-mapc1//創(chuàng)建分類c1switch(config-classmap)#matchaccess-group1//匹配ACLswitch(config-classmap)#exitswitch(config)#policy-mapp1//創(chuàng)建策略規(guī)則p1switch(config-policymap)#classc1//匹配分類switch(config--policy-class)#police100000004000exceed-actiondrop//規(guī)則switch(config--policy-class)#exit//帶寬

突發(fā)處理方式丟棄switch(config-policymap)#exitswitch(config)#interfaceethernet0/0/2switch(config-ethernet0/0/2)#service-policyinputp1//應用到端口高速同步口封裝PPP協議同步口(serial)封裝協議在DCE設備上設置時鐘信號命令格式：physical-layerspeed<頻率值>配置模式：接口配置模式同步口上封裝協議(默認情況已經封裝了HDLC協議)命令格式：encapsulationppp配置模式：接口配置模式例：串口只能封裝PPP協議，DCR1702為DTE設備，DCR2626為DCE設備，時鐘設置為64000bpsDCR-2626_config#ints0/1//進入設置端口DCR-2626_config_s0/1#phsp64000//設置同步頻率DCR-2626_config_s0/1#encppp//封裝PPP協議PPP協議認證(CHAP)例：啟用CHAP雙向驗證，用戶名密碼都為adminDCR-2626_config#usernameadminpassword0admin//創(chuàng)建本地用戶DCR-2626_config#aaaauthenticationpppdefaultlocal//啟用ppp本地認證DCR-2626_config#ints0/1DCR-2626_config_s0/1#pppauthenticationchap//啟用chap認證DCR-2626_config_s0/1#pppchaphostnameadmin//對端用戶名注：CHAP認證時，認證雙方創(chuàng)建的密碼須相同相關命令：DCR-2626#showints0/1//通過命令查看端口狀態(tài)PPP協議認證(PAP)例：啟用PAP雙向驗證，用戶名密碼都為np2010DCR-2626_config#usernamenp2010password0np2010//創(chuàng)建本地用戶DCR-2626_config#aaaauthenticationpppdefaultlocal//啟用ppp本地認證DCR-2626_config#ints0/1DCR-2626_config_s0/1#pppauthenticationpap//啟用pap認證DCR-2626_config_s0/1#ppppapsentnp2010password0np2010//均為對端用戶名和密碼相關命令：DCR-2626#showints0/1//通過命令查看端口狀態(tài)鏈路聚合例：在DCS-5526S和DCS-3926S上配置e0/0/23-24為鏈路聚合口解決環(huán)路問題DCRS-5526S(Config)#port-group1//創(chuàng)建聚合組DCRS-5526S(Config)#inte0/0/23-24//進入需要加入聚合組的端口DCRS-5526S(Config-Port-Range)#port-group1modeon//靜態(tài)聚合DCRS-5526S(Config-Port-Range)#port-group1modeactive//動態(tài)聚合鏈路聚合分為動態(tài)聚合和靜態(tài)聚合兩種方式MAC地址綁定MAC地址綁定分為動態(tài)綁定和靜態(tài)綁定兩種方式例：PC3所連接的端口進行MAC綁定SWITCHB(Config)#interfaceethernet0/0/6//進入需要綁定的端口SWITCHB(Config-Ethernet0/0/6)#switchportport-security//開啟端口安全屬性動態(tài)綁定SWITCHB(Config-Ethernet0/0/6)#switchportport-securitylock//鎖定端口學習功能SWITCHB(Config-Ethernet0/0/6)#switchportport-securityconvert//轉換為安全MAC靜態(tài)綁定SWITCHB(Config-Ethernet0/0/6)#switchportport-securitymac-addressXX-XX……端口鏡像例：內部網絡主機PC3必須時時監(jiān)控服務器端的收發(fā)數據設置目的端口(即監(jiān)控方，此例中即為連接PC3的端口)SWITCHB(Config)#monitorsession1destinationinterfacee0/0/6設置源端口，可多個(即被監(jiān)控方，此例中即連接服務器的端口)SWITCHB