交换路由配置命令.docx
《交换路由配置命令.docx》由会员分享,可在线阅读,更多相关《交换路由配置命令.docx(23页珍藏版)》请在冰豆网上搜索。
交换路由配置命令
交换路由配置命令
Rip邻居认证
第一步:
在路由器Router1定义密钥链和密钥串
Router1(config)#keychainripkey!
定义一个密钥链ripkey,进入密钥链配置模式
Router1(config-keychain)#key1!
定义密钥序号1,进入密钥配置模式
Router1(config-keychain-key)#key-stringkeya!
定义密钥1的密钥内容为keya
Router1(config-keychain-key)#accept-lifetime00:
00:
00oct12004infinite
!
定义密钥1的接收存活期从2004年10月1日至无限(infinite)
Router1(config-keychain-key)#send-lifetime00:
00:
00oct12004infinite
!
定义密钥1的发送存活期为从2004年10月1日至无限
第二步:
在接口模式下定义认证模式,指定要引用的密钥链
Router1(config)#interfaceserial0
Router1(config-if)#ipripauthenticationmodemd5!
定义认证模式为md5,若用text则表示明文认证,若不指明模式则缺省用明文认证
Router1(config-if)#ipripauthenticationkey-chainripkey!
引用密钥链ripkey
OSPF邻居认证
R1(config)#routeros1
R1(config-router)#area0authenticationmessage-digest!
配置区域间认证需要加密方式
R1(config)#ints0
R1(config-if)#ipospfmessage-digest-key1md5star!
配置加密认证密码
R2(config)#routeros1
R2(config-router)#area0authenticationmessage-digest
R2(config)#ints0
R2(config-if)#ipospfmessage-digest-key1md5star
Frame-relay交换机
主机配置:
FR(config)#frame-relayswitching!
路由器模拟成帧中继交换机
FR(config)#interfaceserial0!
进入广域网接口serial0
FR(config-if)#encapsulationframe-relayietf!
封装帧中继并封装其格式为ietf
FR(config-if)#frame-relayintf-typedce!
封装帧中继接口类型为dce
FR(config-if)#frame-relaylmi-tyansi!
定义帧中继本地接口管理类型
FR(config-if)#cloclkrate64000!
定义时钟速率
FR(config-if)#framroute20interfaceserial121!
设定帧中继交换,指定两个同步口之间的dlci互换
FR(config-if)#framroute30interfaceserial331!
设定帧中继交换,指定两个同步口之间的dlci互换
FR(config-if)#nosh!
启用该接口
FR(config-if)#end
副机配置:
R1(config)#ints0
R1(config-if)#ipadd192.168.123.1255.255.255.0
R1(config-if)#encapsulationframe-relayietf!
封装帧中继并封装其格式为ietf
R1(config-if)#noframe-relayinverse-arp!
禁止帧中继特定的协议dlci使用反向ARP!
禁止动态学习地址和DLCI之间的映射
R1(config-if)#frame-relaylmi-typeansi!
定义帧中继本地接口管理类型,
R1(config-if)#frame-relaymapip192.168.123.220!
建立帧中继静态地址映射
R1(config-if)#frame-relaymapip192.168.123.330!
建立帧中继静态地址映射
R1(config-if)#nosh
基于时间的ACL
定义时间段
Router(config)#time-rangefreetime
Router(config-time-range)#absolutestart8:
001jan2006end18:
0030
dec2010!
定义绝对时间段
Router(config-time-range)#periodicdaily0:
00to9:
00!
定义周期性时间段
Router(config-time-range)#periodicdaily17:
00to23:
59
!
定义周期性时间段
定义访问控制列表规则
Router(config)#access-list100permitipanyhost160.16.1.1
!
定义扩展访问控制列表,允许访问主机160.16.1.1
Router(config)#access-list100permitipanyanytime-rangefreetime
!
关联time-range接口t1,允许在规定时间段访问任何网络
注:
访问控制列表的隐含规则是拒绝所有数据包。
应用到端口上
(config-if)#ipaccess-group100in
RIP定时器
Router1(config-router)#timersbasic60360360480!
修改路由更新/无效/拒绝/清除时
连接在同一网络中的各个路由器的RIP定时器设置应该一致。
恢复定时器缺省值用命令notimersbasic。
SSH配置命令
usernameaaapassword0123456//创建用户
aaanew-model//开启3A认证
aaaauthenticationlogindefaultlocal//开启登陆验证
enableservicessh-server//开启SSH服务
cryptokeygeneratedsa//定义加密方式
通过TELNET方式来配置设备
步骤一:
配置VLAN1的IP地址
S5750>en----进入特权模式
S5750#conf----进入全局配置模式
S5750(config)#intvlan1----进入vlan1接口
S5750(config-if)#ipaddress192.168.0.230255.255.255.0
----为vlan1接口上设置管理ip
(config-if)#exit----退回到全局配置模式
步骤二:
配置telnet密码
S5750(config)#linevty04----进入telnet密码配置模式
S5750(config-line)#login---启用需输入密码才能telnet成功
S5750(config-line)#passwordrscstar----将telnet密码设置为rscstar
S5750(config-line)#exit----回到全局配置模式
S5750(config)#enablesecret0rscstar
----配置进入特权模式的密码为rscstar
步骤三:
开启SSH服务(可选操作)
S5750(config)#enableservicessh-server---开启ssh服务
S5750(config)#ipsshversion2----启用sshversion2
S5750(config)#exit----回到特权模式
S5750#wri----保存配置
更改IOS命令的特权等级
S5750(config)#usernamedixypassworddixy----设置dixy用户名和密码
S5750(config)#usernamedixyprivilege10----dixy帐户的权限为10
S5750(config)#privilegeexeclevel10showarp
----权限10可以使用showarp命令
S5750(config)#privilegeconfigalllevel10arp
----权限10可以使用所有arp打头的命令
S5750(config)#linevty04----配置telnet登陆用户
S5750(config-line)#nopassword
S5750(config-line)#loginlocal
注释:
15级密码为enable特权密码,无法更改,0级密码只能支持disable,enable,exit
和help,1级密码无法进行配置。
设备时钟设置
S5750#clockset12:
45:
5511252008
----设置时间为2008年11月25日12点45分55秒
S5750#clockupdate-calendar----设置日历更新
S5750(config)#clocktimezoneCN822----时间名字为中国,东8区22分
Turnk接口修剪配置
Switch(config)#intfa0/24
Switch(config-if)#switchmodetrunk
Switch(config-if)#switchporttrunkallowedvlanremove10,20,30-40
----不允许VLAN10,20,30-40通过Trunk口
PVLAN配置
如何实现几组用户之间的隔离,但同时又都能访问公用服务?
步骤一:
创建隔离VLAN
S2724G#conf
S2724G(config)#vlan3----创建VLAN3
S2724G(config-vlan)#private-vlancommunity----将VLAN3设为隔离VLAN
S2724G(config)#vlan4----创建VLAN4
S2724G(config-vlan)#private-vlancommunity----将VLAN4设为隔离VLAN
S2724G(config-vlan)#exit----退回到特权模式
步骤二:
创建主VLAN
S2724G(config)#vlan2----进入VLAN2
S2724G(config-vlan)#private-vlanprimary----VLAN2为主VLAN
步骤三:
将隔离VLAN加到到主VLAN中
VLANS2724G(config-vlan)#private-vlanassociationadd3-4
----将VLAN3和VLAN4加入到公用VLAN中,VLAN3和VLAN4的用户可以访问公用接
口
步骤四:
将实际的物理接口与VLAN相对应
S2724G(config)#interfaceGigabitEthernet0/1
----进入接口1,该接口连接服务器或者上联设备
S2724G(config-if)#switchportmodeprivate-vlanpromiscuous
----接口模式为混杂模式
S2724G(config-if)#switchportprivate-vlanmapping2add3-4
----将VLAN3和VLAN4映射到VLAN2上
S2724G(config)#intgi0/10----进入接口10
S2724G(config-if)#switchportmodeprivate-vlanhost
S2724G(config-if)#switchportprivate-vlanhost-association23
----该接口划分入VLAN3
S2724G(config)#intgi0/20----进入接口20
S2724G(config-if)#switchportmodeprivate-vlanhost
S2724G(config-if)#switchportprivate-vlanhost-association24
----该接口划分入VLAN4
步骤五:
完成VLAN的映射
S2724G(config)#intvlan2----进入VLAN2的SVI接口
S2724G(config-if)#ipaddress192.168.2.1255.255.255.0
----配置VLAN2的ip地址
S2724G(config-if)#private-vlanmappingadd3-4
----将VLAN3和VLAN4加入到VLAN2中
注释:
1.S20、S21不支持私有VLAN,可以通过保护端口实现类似功能
2.S3250、S3750和S5750同时支持保护端口和私有VLAN
3.S3760不支持私有VLAN和保护端口
端口汇聚配置
S5750#conf
S5750(config)#interfacerangegigabitEthernet0/1–4----同时进入1到4号接口
S5750(config-if)#port-group1----设置为聚合口1
S5750(config)#interfaceaggregateport1----进入聚合端口1
注意:
配置为AP口的接口将丢失之前所有的属性,以后关于接口的操作只能在AP1口上面
端口镜像配置
switch#conft
switch#(config)#
switch(config)#monitorsession1sourceinterfacegigabitEthernet3/1both
---监控源口为g3/1
switch(config)#monitorsession1destinationinterfacegigabitEthernet3/8switch
---监控目的口为g3/8,并开启交换功能
注意:
S2026交换机镜像目的端口无法当做普通接口使用
交换机地址绑定(address-bind)功能
S5750#conf
S5750(config)#address-bind192.168.0.1010016.d390.6cc5
----绑定ip地址为192.168.0.101MAC地址为0016.d390.6cc5的主机让其使用网络
S5750(config)#address-binduplinkGigabitEthernet0/1
----将g0/1口设置为上联口,也就是交换机通过g0/1的接口连接到路由器或是出口设备,
如果接口选择错误会导致整网不通
S5750(config)#address-bindinstall----使能address-bind功能
S5750(config)#end----退回特权模式
S5750#wr----保存配置
注释:
1.如果修改ip或是MAC地址该主机则无法使用网络,可以按照此命令添加多条,添加的
条数跟交换机的硬件资源有关
2.S21交换机的address-bind功能是防止Ip冲突,只有在交换机上绑定的才进行ip和
MAC的匹配,如果下边用户设置的ip地址在交换机中没绑定,交换机不对该数据包做控制,
直接转发。
交换机arp-check功能
如何防止错误的arp信息在网络里传播?
S5750#conf
S5750(config)#intg0/23
----进入第23接口,准备在该接口绑定用户的MAC和ip地址
S5750(config-if)#switchportport-securitymac-address0016.d390.6cc5
ip-address192.168.0.101----ip+mac绑定信息
S5750(config-if)#switchportport-security----开启端口安全功能
S5750(config-if)#switchportport-securityarp-check----开启端arp检查功能
S5750(config)#end----退会特权模式
S5750#wr----保存配置
注释:
开启arp-check功能后安全地址数减少一半,具体情况请查阅交换机配置指南
交换机ARP动态检测功能(DAI)
如何在动态环境下防止ARP欺骗?
步骤一:
配置DHCPsnooping
S3760#cont
S3760(config)#ipdhcpsnooping----开启dhcpsnooping
S3760(config)#intf0/1
S3760(config-if)#ipdhcpsnoopingtrust----设置上连口为信任端口(注意:
缺省所有端口都是不信任端口),只有此接口连接的服务器发出的DHCP响应报文才能够被
转发.
S3760(config-if)#exit
S3760(config)#intf0/2
S3760(config-if)#ipdhcpsnoopingaddress-bind
----配置DHCPsnooping的地址绑定功能
S3760(config-if)#exit
S3760(config)#intf0/3
S3760(config-if)#ipdhcpsnoopingaddress-bind
----配置DHCPsnooping的地址绑定功能
步骤二:
配置DAI
S3760(config)#iparpinspection----启用全局的DAI
S3760(config)#iparpinspectionvlan2----启用vlan2的DAI报文检查功能
S3760(config)#iparpinspectionvlan3----启用vlan3的DAI报文检查功能
扩展ACL配置
如何禁止用户访问单个网页服务器?
步骤一:
定义ACL
S5750#conft----进入全局配置模式
S5750(config)#ipaccess-listextended100----创建扩展ACL
S5750(config-ext-nacl)#denytcpanyhost192.168.1.254eqwww
----禁止访问web服务器
S5750(config-ext-nacl)#denytcpanyanyeq135----预防冲击波病毒
S5750(config-ext-nacl)#denytcpanyanyeq445----预防震荡波病毒
S5750(config-ext-nacl)#permitipanyany----允许访问其他任何资源
S5750(config-ext-nacl)#exit----退出ACL配置模式
步骤二:
将ACL应用到接口上
S5750(config)#interfaceGigabitEthernet0/1----进入所需应用的端口
S5750(config-if)#ipaccess-group100in----将扩展ACL应用到端口下
创建ACL,使vlan20能访问vlan10,而vlan30不能访问vlan10
S5750(config)#ipaccess-listextendeddeny30
S5750(config-ext-nacl)#denyip192.168.30.00.0.0.255192.168.10.00.0.0.255
S5750(config-ext-nacl)#permitipanyany
S5750(config-ext-nacl)#exit
将ACL应用到vlan30的SVI口in方向
单向ACL的配置
如何实现主机A可以访问主机B的FTP资源,但主机B无法访问主机A的FTP资源?
步骤一:
定义ACL
S5750#conft----进入全局配置模式
S5750(config)#ipaccess-listextended100----定义扩展ACL
S5750(config-ext-nacl)#denytcpanyhost192.168.1.254match-allsyn
----禁止主动向A主机发起TCP连接
S5750(config-ext-nacl)#permitipanyany----允许访问其他任何资源
S5750(config-ext-nacl)#exit----退出扩展ACL配置模式
步骤二:
将ACL应用到接口上
S5750(config)#interfaceGigabitEthernet0/1----进入连接B主机的端口
S5750(config-if)#ipaccess-group100in----将扩展ACL应用到端口下
S5750(config-if)#end----退回特权模式
S5750#wr----保存
注释:
单向ACL只能对应于TCP协议,使用PING无法对该功能进行检测。
配置DHCPserver
S3760(config)#servicedhcp----开启dhcpserver功能
S3760(config)#ipdhcppingpackets1
----在dhcpserver分配IP时会先去检测将要分配的IP地址是否已有人使用,如果没人
使用则分配,若已有人使用则再分配下一个IP
S3760(config)#ipdhcpexcluded-address192.168.2.1192.168.2.10
----设置排斥地址为192.168.2.1至192.168.2.10的ip地址不分配给客户端(可选配置)
S3760(config)#ipdhcpexcluded-address192.168.3.1192.168.3.10
----设置排斥地址为192.168.3.1至192.168.3.10的ip地址不分配给客户端(可选配置)
S3760(config)#ipdhcppooltest2----新建一个dhcp地址池名为test2
S3760(