网络设备配置技术.docx
《网络设备配置技术.docx》由会员分享,可在线阅读,更多相关《网络设备配置技术.docx(12页珍藏版)》请在冰豆网上搜索。
网络设备配置技术
网络设备配置技术
一、交换机、路由器的几种配置模式及模式转换
(1)用户模式:
登录到交换机(路由器)时会自动进入用户模式,提示符为switchname>。
在该模式下只能够查看相关信息,对IOS的运行不产生任何影响。
(2)特权模式:
用户模式下,键入“enable”即可进入特权模式,提示符为switchname#。
在该模式下可以完成任何操作,包括检查配置文件、重启交换机等,它是命令集在用户模式下的超集。
(3)全局配置模式:
在特权模式下键入“configterminal”命令进入全局配置模式,提示符为“switchname(config)#”。
(4)局部(子)配置模式:
在全局模式下键入特定配置命令(如interfaceethernet0/1等),即可进入以太网端口等局部配置模式,提示符为“switchname(config-xx)”。
该模式用于单独对组件、端口、进程等进行配置。
图1几种配置模式的相互转换
二、基本配置
(1)口令与主机名
在全局配置模式下:
hostnamehostname:
设置设备名称
usernaemeusernamepasswordpassword:
设置访问用户及密码(明文)
passwordpassword:
设置登录密码
enablesecretsecret:
配置超级用户加密口令
(2)IP地址与网关设置
在接口配置子模式下:
ipaddressip_addressmask:
设置端口
ipdefault-gatewayip_address:
设置默认网关
(3)端口配置参数
Speed10|100|auto:
设置端口速率,10Mb/s、100Mb/s、自适应
Duplexauto|full|half:
设置端口通信方式,有自适应、全双工、半双工三种
三、VLAN的基本配置(划分方式、配置步骤和基本配置命令)
VLAN即虚拟局域网,是网络设备上连接的不收物理位置限制的用户的一个逻辑组。
VLAN创建了不限于物理段的单一广播域,并可以像一个子网一样对待该广播域。
VLAN的划分方式:
基于端口(静态划分),基于MAC,基于网络协议,基于IP组播,按策略划分,非用户定义或非用户授权划分。
四、VTP协议与STP协议概念及配置命令
1.VLAN中继协议(VLANTrunkingProtocol,VTP)是指在同一域的交换机与交换机(或者交换机与路由器)之间的物理链路上传输多个VLAN信息的技术,通过VTP可以保证整个网络VLAN信息的一致。
VTP有三种工作模式:
服务模式(server)、客户模式(client)和透明模式(transparent)。
交换机默认工作在VTP服务模式。
Trunk:
在路由与交换领域,Trunk是指VLAN的端口聚合,用来在不同交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够互相通信。
2.生成树协议(STP)是一个数据链路层的协议,其主要功能是允许有多条交换或桥接的路径,而不会对网络造成产生环路延时的影响。
通常交换机默认的STP优先级为32768。
五、路由选择协议的相关概念及配置命令
路由器可以用两种方式进行路由选择,即静态和动态。
动态选择协议又有距离矢量(RIP、IGMP)、链路状态路由(OSPF)和混合路由(EIGRP)三种类型。
路由器的设置方式:
Console端口是虚拟操作台端口,通过该端口可直接实施配置操作。
AUX端口是用于远程调试的端口,一般连接在MODEM上,设备安装维护人员通过远程拨号进行设备连接,实施设备的配置。
TTY端口是异步端口,仅用于访问服务器的异步接口。
VTY端口接虚拟终端线,通过路由器的同步端口接入Telnet等连接。
静态路由设置命令:
iproute目的网络地址子网掩码下一跳地址|接口[管理距离][tagtag][permanent](注:
permanent指定此路由即使该端口关闭也不被移除)
六、路由器网络地址转换NAT的配置命令
网络地址转换(NAT)具有将内部私有地址转换为外部合法的全局地址的功能,可以分为静态地址转换、动态地址转换和复用地址三种。
静态地址转换是将本地地址与合法地址一对一的转换,且需要制定和哪个合法地址进行转换。
动态地址转换也是将本地地址与合法地址一对一的转换,但是动态地址转换是从合法地址池中动态的选择一个未使用的地址进行转换。
复用地址转换也是一种动态地址转换,它允许多个本地地址共用一个合法地址,指申请少量的IP地址,但经常拥有多个合法地址。
七、路由访问控制列表的配置(标准ACL/扩散ACL、ACL的应用)
是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
Access-list用于创建访问规则。
创建标准访问控制列表
access-list[normal|special]listnumber1|2{permit|deny}source-addr[source-mask]
normal、special:
制定规则加入普通时间段、特殊时间段
listnumber1:
是1-99之间的一个数值,表示规则是标准访问列表
listnumber2是100-199之间的一个数值,表示规则是扩展访问控制列表
permit/deny:
表示允许(或禁止)满足条件的报文通过。
创建扩展访问列表
access-list[normal|special]listnumber2{permit|deny}protocolsource-addrsource-mask[operatorport1[port2]]dest-addrdest-mask[operatorport1[port2]|icmp-type[icmp-code]][log]
operator:
可选,等于(eq)、大于(gt)、小于(lt)、不等于(neq)和介于(range),如果操作符为range,则后面需要跟两个端口。
icmp-type:
可选,在协议为ICMP时出现,可以是关键字预定值(如echo-relay)或是0-255之间的一数值。
icmp-code:
在协议为ICMP且没有选择预定值时出现,代表ICMP码,是0-255之间的一数值。
log可选,表示如果报文符合条件,则需要做日志。
删除访问列表
noaccess-list{normal|special}{all|listnumber[subitem]}
listnumber为删除的规则序号,是1-199之间的数。
subitem可选,指定删除序号为listnumber的访问列表中规则的序号
清除统计信息
clearaccess-listcounters[listnumber]
listnumber为可选项,如不指定,怎删除所有规则的统计信息
八、PSTN
公共电话交换网络(publicswitchedtelephonenetwork),其应用可分为两种类型,一种是同等级别机构之间以按需拨号(DDR)的方式实现互联;另一种是ISP以拨号上网的方式为用户提供远程访问服务的功能。
全局设置命令:
任务
命令
设置用户名和密码
usernameusernamepasswordpassword
设置用户的IP地址池
iplocalpool{default|pool-namelow-ip-addr[high-ip-add
指定地址池的工作方式
ipaddress-pool[dhcp-proxy-client|local]
基本接口设置命令:
任务
命令
启动异步口的路由功能
asyncdefaultrouting
启动异步口的PPP工作方式
asyncmode{dedicated|interactive}
设置用户的IP地址
peerdefaultipaddress{ip-addr|dhcp|pool[pool-name]}
设置IP地址与ethernet0相同
ipunnumberedethernet0
DDR(dial-on-demandrouting),(xxx)
九、ISDN
综合数字业务网(ISDN)由数字电话和传输服务两部分组成,一般由电话局提供这种服务,基本速率接口提供(2B+D)信道,主速率接口(PRI)提供(23B+D),总速率可达1.544Mb/s。
任务
命令
设置ISDN交换类型
isdnswitch-typeswitch-type
接口设置
Interfacebri0
设置PPP封装
Encapsulationppp
设置协议地址和电话号码的映射
dialermapprotocolnext-hop-addr[namehostname][broadcast][dial-string]
启动PPP多连接
Pppmultilink
设置启动另一个B通道的阀值
Dialerload-thresholdload
显示ISDN的有关信息
Showisdn{active|history|memory|service|status[ds1|interface-typenumber]|timers}
一十、X.25
X.25定义了数据通信的电话网络,每个分配给用户的X.25端口都有一个X.121地址。
设置X.25封装
encapsulationx25[dce]
设置X.121地址
x25addressx.121-addr
设置远方站点的地址映射
x25mapprotocoladdr[protocol2addr2[…]]x121-addr[option]
设置最大的双向虚电路数
x25htccircuit-number
清除x.25虚电路
clearx.25-vc
显示接口及x.25的相关信息
showinterfacesserial;showx25interface;showx25map;showx25vc
一十一、PPP
PPP提供了跨过同步和异步电路实现路由器到路由器和主机到网络的连接;CHAP(ChallengeHandsomeauthenticationprotocol)和PAP(passwordauthenticationprotocol)通常被用于在PPP封装的串行线路上提供安全性认证。
设置DCE端线路速度:
clockratespeed
一十二、FR(帧中继)
一种用于统计复用分组交换数据通信的接口协议,分组长度可变,传输速度为2.408Mb/s或更高,没有流量控制也没有纠错。
任务
命令
设置frame-relay封装
Encapsulationframe-relay[iteff]
设置frame-relaylmi类型
frame-relaylmi-type{ansi|cisco|q933a}
设置子接口
interfaceinterface-typein-num.subint-num[multipoint|point-to-point]
映射协议地址与DLCI
frame-relaymapprotocolprotocol-addrdlci[broadcast]
设置FRDLCI编号
frame-relayinterface-dlcidlci[broadcast]
一十三、VPN
VPN是通过公用网络internet将分布在不同地点的终端连接而成的专用网络。
一十四、防火墙
防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。
防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件
用户模式:
pixfirewall>
特权模式:
键入enable后,pixfirewall#
配置模式:
键入configterminal后,pixfirewall(config)#
监视模式:
PIX防火墙在开机或重启过程中,按住escape键或发送一个“break”字符,进入监视模式,这里可以更新OS映像和口令恢复,monitor>。
firewall(config)#firewallenable|disable:
启动或关闭防火墙
1.常规配置
(1)配置防火墙的名字,并指定安全级别(nameif)
Firewall(config)#nameifethernet0outsidesecurity0
Firewall(config)#nameifethernet0insidesecurity100
Firewall(config)#nameifethernet0dmzsecurity50
外部接口安全级别是0,内部接口安全级别是100。
安全级别取值范围1-99,数字越大安全级别越高。
添加新的接口:
Firewall(config)#nameifpix/intf3security40
(2)配置以太网端口参数(interface)
Firewall(config)#interfaceethernet0auto#自适应网卡类型
Firewall(config)#interfaceethernet0100full#100M/bs全双工通信
Firewall(config)#interfaceethernet0100fullshutdown#关闭此端口
(3)配置内外网卡的IP地址
Firewall(config)#ipaddressoutside61.144.51.42255.255.255.248
Firewall(config)#ipaddressinside192.168.1.1255.255.255.0
2.网络地址转换
(1)指定要进行转换的内部地址(nat)
nat(if-name)nat-idlocal-ip[netmask]
if-name:
表示内网接口的名字,如inside
nat-id:
表示全局地址池,使它与其相应的global命令匹配
local-ip:
表示内网主机的IP地址,如0.0.0.0表示内网所有主机可以对外访问
(2)指定外部地址范围(global)
Global(if-name)nat-idip_addr-ip_addr[netmaskglobal_mask]
(3)设置指向内网和外网的静态路由(route)
Route(if-name)00gateway_ip[metric]
Metric:
表示到gateway的跳数,通常缺省值是1
(4)配置静态IP地址翻译(static)
Static(internal_if_name,external_if_name)outside_ip_addrinside_ip_addr
3.访问控制技术
(1)firewalldefault命令
firewalldefault{permit|deny}:
表示缺省过滤属性设置为“允许”、“禁止”
(2)ipaccess-group命令
[no]ipaccess-grouplistnumber{in|out}
listnumber为规则序号,1-199
in表示规则用于过滤从接口上接收来的报文
out表示规则用于过滤从接口上转发的报文
no可以删除相应的设置和与之相关的命令
(4)settr命令
Settrbegin-timeend-time#用于设定或取消特殊时间段
例如设置时间段为8:
30-12:
00,14:
00-17:
00,则
Firewall(config)#settr8:
30120014:
0017:
00
(4)showaccess-list命令
showaccess-list[all|listnumber|interfaceinterface-name]#显示指定的规则,同时可查看规则过滤报文的情况
(5)showfirewall命令
showfirewall#显示防火墙状态
(6)conduit管道命令
conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口。
conduitpermit|denyglobal_ipport[-port]protocolforeign_ip[netmask]
global_ip:
指的是先前由global或static定义的全局ip地址
foreign_ip:
表示可访问global_ip的外部ip。
port:
服务所用的端口,如www使用80,smtp使用25等。
例如:
Firewall(config)#conduitpermiticmpanyany#允许icmp消息向内部和外部通过
(7)配置fixup协议
Fixup是启用、禁止或改变一个服务或协议通过pix防火墙。
例如:
[no]fixupprotocolftp21#启用ftp协议,并指定ftp的端口号为21.
(8)设置Telnet
telnetlocal-ip[netmask]
local-ip是被授权通过telnet访问到pix的ip地址,如果不设置此项,则pix的配置方式只能由console进行。
有关命令
状态信息识别
RIP
routerrip:
启用RIP协议
version1|2:
指定RIP版本
networtknetwork:
指定与该路由器相连的网络
使用showiproute命令查看Router1,看到路由信息表,最前面的C或R表示路由项的类别,C表示直连,R表示是由RIP协议生成。
有关命令
IGRP
routerigrpautonomous-system:
启用IGRP协议并指定自治系统号
networknetwork:
指定与该路由器相连的网络
neighborip-address:
指定与该路由器相邻的节点地址
有关命令
使用身份认证
OSPF
routerospfprocess-id:
启用ospf协议
networkaddresswildcard-maskareaarea-id:
指定与该路由器相连的网络
neighborip-address:
指定与该路由器相邻的节点地址
areaarea-idauthentication[message-digest]:
指定身份验证
ipospfauthentication-keypassword:
使用纯文本身份验证
ipospfmessage-digest-keykeyedmd5key:
使用消息摘要(md5)身份认证
相关命令
静态地址转换
ipnatinsidesourcestaticlocal-ipglobal-ip:
定义地址转换
ipnatinside:
指定内部端口
ipnatoutside:
指定外部端口
动态地址转换
access-listaccess-list-numberpermitsource[source-wildcard]:
ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}[typerotary]
复用地址转换