网工路由交换相关配置

网工路由交换相关配置 网工路由交换相关配置 思科2950交换机相关配置 基本操作 2950(config)#int vlan1 2950(config-if)#ip address 192.168.1.100 255.255.255.0 （VLAN1里面设置IP地址） 2950(config)#ip default-gateway 192.168.1.1 (设置默认网关) 2950(config)#ip name-server 192.168.1.1 （设置域名服务器） 2950(config)#ip domain-name wqs.com （设置域名） 端口配置 2950(config)#int f0/1 (进入接口) 2950(config-if)#speed 100 （设置该接口速率为100Mb/s） 2950(config-if)#duplex ? auto Enable AUTO duplex configuration full Force full duplex operation half Force half-duplex operation2950(config-if)#description to_router1 2950(config-if)#description to_router1 （设置端口描述） 2950#show interfaces fastethernet1 [status] （查看端口配置结果和状态） MAC地址 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 相关命令 2950(config)#mac-address-table aging-time 100 (设置超时时间为100S) 2950(config)#mac-address-table permanent 000.0c01.bbcc f0/3 (加入永久地址) 2950(config)#mac-address-table restricted static 0000.0c02.bbcc f0/6 f0/7 (加入静态地址) 2950#show mac-address-table （查看整个MAC地址表） 2950#clear mac-address-table restricted static （清除限制性MAC址表） VTP的配置 2950#vlan database （进入VLAN配置模式） 2950(vlan)#vtp ? （查看VTP的子命令） domain Set the name of the VTP administrative domain. client Set the device to client mode. server Set the device to server mode. transparent Set the device to transparent mode. password Set the password for the VTP administrative domain. 2950(vlan)#vtp domain server （设置本交换机为SEVER模式） 2950(vlan)#vtp domain wqs （设置域名） 2950(vlan)#vtp pruning (启动修剪模式) 2950#show vtp status （查看VTP设置信息） 配置VLAN TRUNK端口 2950(config)#int f0/11 （进入F端口） 2950(config-if)#switchport mode trunk （设置该端口为TRUNK模式） 2950(config-if)#switchport trunk encapsulation {dot1q | isl | negotiate }（设置TRUNK封装） 创建VLAN 2950#vlan database （进入VLAN配置模式） 2950(vlan)#vlan 2 （创建VLAN 2） VLAN 2 added: Name:VLAN0002 （系统默认名） 2950(vlan)#vlan 3 name wg_bisheng （创建VLAN 3，名为网工必胜） VLAN 3 added: Name:wg_bisheng 2950(config)#int f0/9 （进入接口配置模式） 2950(config-if)#switchport mode access （设置该接口为ACCESS模式） 2950(config-if)#switchport access vlan 2 （把端口9分配给VLAN2） 2950(config-if)#int f0/8 2950(config-if)#switchport mode access 2950(config-if)#switchport access vlan 3 2950(config-if)# 生成树 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 的配置 生成树负载均衡实现方法（感谢黑客天使提醒） 1​ 使用STP端口权值实现。 2​ 使用STP路径值实现 2950(config)#int f0/11 2950(config-if)#spanning-tree vlan 2 port-priority 10 (将VLAN2的端口权值设为10) 2950(config-if)#spanning-tree vlan 2 cost 30 （设置VLAN2生成树路径值为30） 路由器的一些设置 静态路由： Router(config)#ip route destination-network network-mask {next-hop-ip | interface } [distance] Router(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1 其中：192。168。1。0代表目标网络。 255．255．255．0代表目标网络的子网掩码； 10．1．1．1代表下一跳地址。 next-hop-ip:到达目的网络所经由的下一跳路由器接口的IP地址。 Interface：到达目标网络的本机接口（仅限P2P线路） Distance：为该路由人工指定管理距离 默认路由： Router(config)#ip route 0.0.0.0 0.0.0.0 {next-hop-ip | interface } [distance] Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1 其中：0。0。0。0 0。0。0。0代表任意地址和任意掩码，即所有网络，其它参数同静态路由。 选择性通告路由： 如在RIP设置中，让S0端口只收不发RIP通告。 Router(config)#router rip Router(config-router)#passive-interface serial 0 常见路由协议的管理距离： TABLE 5 . 2 Default Administrative Distances Route Source Default AD Connected interface 0 Static route 1 EIGRP 90 IGRP 100 OSPF 110 RIP 120 External EIGRP 170 Unknown 255 (this route will never be used) ISDN（DDR，PRI，BRI，PPP） 相关命令 r1(config)#isdn switch-type ? (设置ISDN交换类型) basic-1tr6 1TR6 switch type for Germany basic-5ess AT&T 5ESS switch type for the U.S. basic-dms100 Northern DMS-100 switch type basic-net3 NET3 switch type for UK and Europe basic-ni National ISDN switch type basic-ts013 TS013 switch type for Australia ntt NTT switch type for Japan vn3 VN3 and VN4 switch types for France primary-5ess basic-ni1 Basic-Ni1 r1(config)#username name password secret (指定口令) r1(config)#interface bri0 （接口BRI设置） r1(config-if)#encapsulation ppp （设置PPP封装） r1(config-if)#ppp authentication {chap|chap pap |pap chap|pap}[callin]（设置认证方式） r1(config-if)# dialer map ip 200.10.1.1 name router1 broadcast 7782001 （设置协议地址与电话号码的映射） r1(config-if)#ppp multilink （启动PPP多连接） r1(config-if)#dialer load-threshold load（设置启动另一个B通道的阈值） r1(config-if)#clock rate speed (设置DCE端的线速度) r1#sh isdn ? (查看ISDN相关信息) active ISDN active calls history ISDN call history memory ISDN memory information status ISDN Line Status timers ISDN Timer values 一般需要配置的信息有ISDN交换机类型，IP地址，封装类型，拨号串，拨号组，拨号列表。 r2(config)#isdn switch-type basic-net3 (设置ISDN交换类型) r2(config)#int bri0 （进入BRI接口配置模式） r2(config-if)#ip address 192.168.1.2 255.255.255.0（设置接口IP地址） r2(config-if)#encapsulation ppp （封装协议为PPP） r2(config-if)#dialer string 88888888 （设置拨号串，R1的ISDN号码） r2(config-if)#dialer-group 1 （设置拨号组号码为1，把BRI0接口与拨号列表1相关联） r2(config-if)#no sh （激活接口） %LINK-3-UPDOWN: Interface Bri0, changed state to up r2(config-if)#exit r2(config)#dialer-list 1 protocol ip permit （设置拨号列表1） r1(config-if)#dialer idle-timeout 30 r1(config-if)#dilaer load-threshold 128 r1(config-if)#ppp authentication chap r1(config)#dialer-list 1 protocol ip permit 详细实例见以下三个实验，建议大家用模拟器实践以强化记忆。 LAB 17 – ISDN BRI-BRI using Legacy DDR Router IP Address Mask SPID1 Local Tel# ISDN Switch router1 200.10.1.1 /24 32177820010100 7782001 basic-ni router2 200.10.1.2 /24 32177820020100 7782002 basic-ni router1(config)# isdn switch-type basic-ni router1(config)# dialer-list 1 protocol ip permit router1(config)# username router2 password cisco router1(config)# interface bri0 router1(config-if)# encap ppp router1(config-if)# ip address 200.10.1.1 255.255.255.0 router1(config-if)# isdn spid1 32177820010100 router1(config-if)# dialer-group 1 router1(config-if)# dialer map ip 200.10.1.2 name router2 broadcast 7782002 router1(config-if)# ppp authentication chap router1(config-if)# no shut router2(config)# isdn switch-type basic-ni router2(config)# dialer-list 1 protocol ip permit router2(config)# username router1 password cisco router2(config)# interface bri0/0 router2(config-if)# encap ppp router2(config-if)# ip address 200.10.1.2 255.255.255.0 router2(config-if)# isdn spid1 32177820020100 router2(config-if)# dialer-group 1 router2(config-if)# dialer map ip 200.10.1.1 name router1 broadcast 7782001 router2(config-if)# ppp authentication chap router2(config-if)# no shut LAB 18 – ISDN BRI-BRI using Dialer Profiles Router IP Address Mask SPID1 Local Tel# ISDN Switch router1 200.10.1.1 /24 32177820010100 7782001 basic-ni router2 200.10.1.2 /24 32177820020100 7782002 basic-ni router1(config)# isdn switch-type basic-ni router1(config)# dialer-list 1 protocol ip permit router1(config)# username router2 password cisco router1(config)# interface bri0 router1(config-if)# encap ppp router1(config-if)# ppp authentication chap router1(config-if)# isdn spid1 32177820010100 router1(config-if)# dialer pool-member 1 router1(config-if)# no shut router1(config-if)# interface dialer 1 router1(config-if)# no shut router1(config-if)# ip address 200.10.1.1 255.255.255.0 router1(config-if)# encap ppp router1(config-if)# dialer-group 1 router1(config-if)# dialer pool 1 router1(config-if)# dialer remote-name router2 router1(config-if)# dialer string 7782002 router1(config-if)# ppp authentication chap router2(config)# isdn switch-type basic-ni router2(config)# dialer-list 1 protocol ip permit router2(config)# username router1 password cisco router2(config)# interface bri0/0 router2(config-if)# encap ppp router2(config-if)# ppp authentication chap router2(config-if)# isdn spid1 32177820020100 router2(config-if)# dialer pool-member 1 router2(config-if)# no shut router2(config-if)# interface dialer 1 router2(config-if)# no shut router2(config-if)# ip address 200.10.1.2 255.255.255.0 router2(config-if)# encap ppp router2(config-if)# dialer-group 1 router2(config-if)# dialer pool 1 router2(config-if)# dialer remote-name router1 router2(config-if)# dialer string 7782001 router2(config-if)# ppp authentication chap LAB 19 – ISDN PRI using Dialer Profiles Router IP Address Mask SPID1 Local Tel# ISDN Switch router1 201.10.1.1 /24 32177820010100 7782001 basic-ni router2 201.10.1.2 /24 ----- 7782002 primary-5ess router1(config)# isdn switch-type basic-ni router1(config)# dialer-list 1 protocol ip permit router1(config)# username router2 password cisco router1(config)# interface bri0/0 router1(config-if)# encap ppp router1(config-if)# ppp authentication chap router1(config-if)# isdn spid1 32177820010100 router1(config-if)# dialer pool-member 1 router1(config-if)# no shut router1(config-if)# interface dialer 2 router1(config-if)# no shut router1(config-if)# ip address 201.10.1.1 255.255.255.0 router1(config-if)# encap ppp router1(config-if)# dialer-group 1 router1(config-if)# dialer pool 1 router1(config-if)# dialer remote-name router2 router1(config-if)# dialer string 7782002 router1(config-if)# ppp authentication chap router2(config)# isdn switch-type primary-5esss router2(config)# dialer-list 1 protocol ip permit router2(config)# username router1 password cisco router2(config)# controller t1 0/0 router2(config-controller)# framing esf router2(config-controller)# linecode b8zs router2(config-controller)# pri-group timeslots 1-24 router2(config-controller)# exit router2(config)# interface serial0/0:23 router2(config-if)# encapsulation ppp router2(config-if)# ppp authentication chap router2(config-if)# dialer pool-member 2 router2(config-if)# no shut router2(config-if)# interface dialer 2 router2(config-if)# ip address 201.10.1.2 255.255.255.0 router2(config-if)# encapsulation ppp router2(config-if)# dialer-group 1 router2(config-if)# dialer pool 2 router2(config-if)# dialer remote-name router1 router2(config-if)# dialer string 7782001 router2(config-if)# ppp authentication chap router2(config-if)# no shut FR的配置 Router(config-if)#encapsulation frame-relay [ietf|cisco] (在相关接口上封装FR) Router(config-if)#frame-relay lmi-type ? （设置LMI类型） cisco ansi q933a Router(config-if)#frame-relay interface-dlci 100 （设置FR DLCL编号） Router(config-if)#frame-relay map ip 1.1.1.1 100 [broadcast]（映射协议地址与DLCL） Router(config)#interface serial 0/0.1 {point-to-point | multipoint }（设置子接口） Router#sh frame-relay ? （查看FR状态） map Frame-Relay map table pvc show frame relay pvc statistics lmi show frame relay lmi statistics route show frame relay route svc show frame relay SVC stuff traffic Frame-Relay protocol statistics LAB 20 – FRAME RELAY Router Interface IP Address Local DLCI router1 serial 1 215.10.1.1 /24 105 router5 serial 0 215.10.1.2 /24 501 router1(config)# interface serial1 router1(config-if)# encapsulation frame-relay router1(config-if)# ip address 215.10.1.1 255.255.255.0 router1(config-if)# frame-relay map ip 215.10.1.2 105 broadcast router1(config-if)# frame-relay lmi-type ansi router1(config-if)# no shut router5(config)# interface serial0 router5(config-if)# encapsulation frame-relay router5(config-if)# ip address 215.10.1.2 255.255.255.0 router5(config-if)# frame-relay map ip 215.10.1.1 501 broadcast router5(config-if)# frame-relay lmi-type ansi router5(config-if)# no shut router1(config)# interface serial1 router1(config-if)# no ip address 215.10.1.1 255.255.255.0 router1(config-if)# no frame map ip 215.10.1.2 105 broadcast router1(config-if)# interface serial1.1 point-to-point router1(config-subif)# ip address 215.10.1.1 255.255.255.0 router1(config-subif)# frame-relay interface-dlci 105 router5(config)# interface serial0 router5(config-if)# no ip address 215.10.1.2 255.255.255.0 router5(config-if)# no frame map ip 215.10.1.1 501 broadcast router5(config-if)# interface serial0.1 point-to-point router5(config-subif)# ip address 215.10.1.2 255.255.255.0 router5(config-subif)# frame-relay interface-dlci 501 配置NAT 静态NAT： Router(config-if)#ip nat { outside | inside } 定义外部接口和内部接口。 Router(config)#ip nat {inside | outside }source static source_address translate_address 定义源地址翻译。 router1(config)# ip nat inside source static 160.10.1.2 169.10.1.2 router1(config)# interface ethernet0 router1(config-if)# ip address 160.10.1.1 255.255.255.0 router1(config-if)# ip nat inside router1(config-if)# interface serial0 router1(config-if)# ip address 175.10.1.1 255.255.255.0 router1(config-if)# ip nat outside router1(config-if)# no shut 动态NAT Router(config)#ip nat pool {netmask | prefix-length < prefix-length> } router1(config)# no ip nat inside source static 160.10.1.2 169.10.1.2 router1(config)# ip nat pool pool1 169.10.1.50 169.10.1.100 netmask 255.255.255.0 router1(config)# ip nat inside source list 1 pool pool1 router1(config)# access-list 1 permit 160.10.1.0 0.0.0.255 OVERLOAD： router1(config)# ip nat inside source list 1 interface serial0 overload router1(config)# interface Ethernet 0 router1(config-if)# ip address 160.10.1.1 255.255.255.0 router1(config-if)# ip nat inside router1(config-if)# interface serial 0 router1(config-if)# ip address 175.10.1.1 255.255.255.0 router1(config-if)# ip nat outside router1(config-if)# exit router1(config)# access-list 1 permit 160.10.1.0 0.0.0.255 VPN的基本配置 VPN的基本配置 工作原理： 一边服务器的网络子网为192.168.1.0/24 路由器为100.10.15.1 另一边的服务器为192.168.10.0/24 路由器为200.20.25.1。 执行下列步骤： 1. 确定一个预先共享的密钥（保密密码）（以下例子保密密码假设为noIP4u） 2. 为SA协商过程配置IKE。 3. 配置IPSec。 配置IKE: Shelby(config)#crypto isakmp policy 1 注释：policy 1表示策略1，假如想多配几个VPN，可以写成policy 2、policy3┅ Shelby(config-isakmp)#group 1 注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。 Shelby(config-isakmp)#authentication pre-share 注释：告诉路由器要使用预先共享的密码。 Shelby(config-isakmp)#lifetime 3600 注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一个SA周期到达中断。 Shelby(config)#crypto isakmp key noIP4u address 200.20.25.1 注释：返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似，只不过把IP地址改成100.10.15.1。 配置IPSec Shelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255 注释：在这里使用的访问列表号不能与任何过滤访问列表相同，应该使用不同的访问列表号来标识VPN规则。 Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac 注释：这里在两端路由器唯一不同的参数是vpn1，这是为这种选项组合所定义的名称。在两端的路由器上，这个名称可以相同，也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性，要启动验证报头。由于两个网络都使用私有地址空间，需要通过隧道传输数据，因此还要使用安全封装协议。最后，还要定义DES作为保密密码钥加密算法。 Shelby(config)#crypto map shortsec 60 ipsec-isakmp 注释：以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥，他就能够解使用同一个密钥的所有通信。基于这个原因，我们要设置一个较短的密钥更新周期。比如，每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。 Shelby(config-crypto-map)#set peer 200.20.25.1 注释：这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令，只是对方路由器地址应该是100.10.15.1。 Shelby(config-crypto-map)#set transform-set vpn1 Shelby(config-crypto-map)#match address 130 注释：这两个命令分别标识用于这个连接的传输设置和访问列表。 Shelby(config)#interface s0 Shelby(config-if)#crypto map shortsec 注释：将刚才定义的密码图应用到路由器的外部接口。 现在剩下的部分是测试这个VPN的连接，并且确保通信是按照预期规划进行的。 最后一步是不要忘记保存运行配置，否则所作的功劳白费了。 附：参照网络安全范围，VPN硬件设备应放置以下四个地点： ● 在DMZ的防火墙之外 ● 连接到防火墙的第三个网卡（服务网络） ● 在防火墙保护的范围之内 ● 与防火墙集成 还有一个配置是L2TP的，请大家阅读教材P544，这里就不整理了。 ALL PASS！