MM:
SS>
7、设置退出特权用户配置模式超时时间
exectimeout//单位为分钟,取值范围为0~300
8、保存配置:
write
9、显示系统当前的时钟:
Switch#showclock
10、指定登录用户的身份是管理级还是访问级
Enable[level{visitor|admin}[<密码>]]
11、指定登录配置模式的密码:
Enablepasswordlevel{visitor|admin}
12、配置交换机的用户名密码:
usernameadminprivilege15password0admin000
13、配置enable密码为ddd:
enablepassword0dddlevel15
14、配置登录时认证:
authenticationlinevtyloginlocal
15、设置端口的速率和双工模式(接口配置模式下)
命令:
speed-duplex{auto|force10-half|force10-full|force100-half|force100-full|
{{force1g-half|force1g-full}[nonegotiate[master|slave]]}}
nospeed-duplex
二、单交换机VLAN划分
1、VLAN基本配置
(1)新建VLAN:
vlan
(2)命名VLAN:
name
(3)为VLAN分配交换机端口
Switch(Config-If-Vlan1)#switchportinterfaceEthernet0/2
(4)设置Trunk端口允许通过VLAN:
Switch(Config-ethernet0/0/5)#switchporttrunkallowedvlan1;3;5-20
2、划分VLAN:
(1)进入相应端口:
Switch(config)#interfaceEthernet0/2
(2)修改模式:
Switch(Config-ethernet0/0/5)switchportmodeaccess
(3)划分VLAN:
Switch(Config-ethernet0/0/5)#switchportaccessvlan4
三、跨交换机VLAN划分(两台交换机作相同操作)
1、新建VLAN
2、划分VLAN
3、修改链路模式
(1)进入相应端口:
Switch(config)#interfaceEthernet0/1
(2)修改模式:
Switch(config-if)#switchportmodetrunk
四、VLAN间主机的通信
1、新建VLAN
2、划分VLAN
3、修改链路模式
(1)进入相应端口:
Switch(config)#interfaceEthernet0/1
(2)修改模式:
Switch(config-if)#switchportmodetrunk
注意:
如果是三层交换机,在修改模式先封装802.1协议:
Switch(config-if)#switchporttrunkencapsulationdot1q
4、建立VLAN子接口
(1)、进入VLAN接口模式:
Switch(config)#interfacevlan2
(2)、设置VLAN子接口地址:
Switch(config-if)#ipaddress192.168.0.1255.255.255.0
(3)、打开端口:
Switch(config-if)#noshutdown
5、设置各主机IP地址、子网掩码、网关
注意:
(1)各主机IP地址应与其所在的VLAN在同一网段。
(2)192.168.0.1/24中的“24”表示子网掩码为3个255。
(3)主机所在的VLAN的子接口地址就是主机的网关。
五、端口安全配置
1、启用和禁用端口安全功能:
启用:
Switch(config-if)#switchportport-security
禁用:
Switch(config-if)#noswitchportport-security
2、设置接口上安全地址的最大个数(1~128)
Switch(config-if)#switchportport-securitymaximum1
3、设置处理违例的方式
Switch(config-if)#switchportport-securityviolationshutdown
4、手工配置接口上的安全地址
Switch(config-if)#switchportport-securitymac-address00d0.d373.B060
5、查看安全配置:
Switch#showport-security
六、设置广播风暴抑制功能
Switch(Config)#broadcast-suppression
参数:
代表每秒钟允许通过的广播数据报的个数,取值范围为1~262143。
七、端口聚合
1、创建portgroup:
Switch(Config)#port-group1//数字范围1-16
2、把物理端口加入组:
Switch(Config-Ethernet0/0/1)#port-group1modeon
3、进入port-channel配置模式:
Switch(Config)#interfaceport-channel1
4、修改链路模式:
switchportmodetrunk
第二部分路由器配置
一、路由器基本配置
1、进入特权模式:
Router>en
2、进入全局配置模式:
Router#config
3、定义路由器的名字为DCR:
Router(Config)#hostnameDCR
4、特权用户的口令:
DCR(Config)#enablepassword123456
5、启动远程服务功能:
DCR(Config)#telnet-serverenable
6、配置远程用户的口令:
DCR(Config)#telnetadminpassword7admin
7、配置时钟频率:
Router(Config-Serial2/0)#physical-layerspeed64000
8、配置用户登录路由器时认证:
aaaauthenticationlogindefaultlocallineenable
9、配置进入特权模式时认证:
aaaauthenticationenabledefaultenable
10、配置路由器的用户名密码:
usernameadminpassword0admin000
11、配置进入特权模式密码:
enablepassword0admin000level15
二、静态路由配置
1、命令:
iproute<目的IP><子网掩码>{<接口名称>|<下一跳IP地址>}[<路由优先级>]
为路由优先级,取值范围为1~255,preference的值越小优先级越高。
Router(config)#iproute1.1.1.0255.255.255.02.1.1.1
2、默认路由
iproute0.0.0.00.0.0.0{<接口名称>|<下一跳IP地址>}[<路由优先级>]
三、单臂路由
1、打开端口:
2、进入子接口配置IP地址,并封装dot1q协议到对应的VLAN。
Router_config#interfacef0/0.1
Router(config_f0/0.1)#ipaddress192.168.100.1255.255.255.0
Router(config_f0/0.1)#encapsulationdot1Q100//封装dot1Q到VLAN100
Route(config_f0/0.1)#exit
Router_config#interfacef0/0.2
Router(config_f0/0.2)#ipaddress192.168.200.1255.255.255.0
Router(config_f0/0.2)#encapsulationdot1Q200//封装dot1Q到VLAN200
Router(config_f0/0.2)#exit
四、动态路由协义配置
1、RIP协议
在DCR路由器上运行RIP路由协议的基本配置很简单,通常只需打开RIP开关、使能发送和接收RIP数据报,即按RIP缺省配置发送和接收RIP数据报(DCR路由器缺省发送RIP-II接收RIP-I和RIP-II)
(1)启动RIP协议:
Router(config)#routerrip
(2)配置RIP协义版本:
Router(config-router-rip)#version2
(3)配置接口使能发送/接收RIP数据报
Router(config-serial2/0)#ipripwork
(4)配置引入路由(缺省路由权值、配置RIP中引入其它协议的路由)
❶缺省路由权值:
Router(config-router-rip)#default-metric3//权值可设1-16
❷路由重分发:
redistribute{static|ospf}[metric]
缺省情况下,路由器不引入其它路由。
值指定以多大的路由权值引入路由,不指定则按缺省路由权值(default-metric)引入,取值范围1~16。
Router(config-router-rip)#redistributeospfmetric5
2、OSPF协议
(1)启动OSPF协议(必须)
Router(Config)#routerospf
(2)配置运行OSPF路由器的ID号(可选)
routerid
为路由器ID号,以IP地址表示,点分十进制格式。
缺省情况下,不配置路由器ID号,OSPF运行时从各接口的IP地址中选一个作为路由器ID号。
Router(config)#routerid1.1.1.1
(3)配置运行OSPF的网络范围(可选)
network<直连网络><反掩码>area<区域号>
Router(Config-Router-Ospf)#network10.0.0.00.0.0.255area1
(4)配置接口所属的域(必须)
ipospfenablearea
要在某一个接口上运行OSPF协议,必须首先指定该接口属于一个区域。
此命令用来在接口配置所属域。
为该接口所属区域的区域号。
缺省情况下,接口不配置成属于某个区域。
Router(Config-Serial2/0)#ipospfenablearea1
(5)配置OSPF引入路由参数
❶配置引入外部路由的缺省参数(缺省类型、缺省标记值、缺省代价值、缺省时间间隔和缺省数量上限)
缺省类型:
defaultredistributetype{1|2}
Router(Config-Router-Ospf)#defaultredistributetype1
缺省标记值:
defaultredistributetag//范围1~2147483647
Router(Config-Router-Ospf)#defaultredistributetag0x80000001
缺省代价值:
defaultredistributecost//范围1~65535
Router(Config-Router-Ospf)#defaultredistributecost10
缺省时间间隔:
defaultredistributeinterval
Router(Config-Router-Ospf)#defaultredistributeinterval3
缺省数量上限:
defaultredistributelimit//范围1~65535
Router(Config-Router-Ospf)#defaultredistributelimit100
❷配置在OSPF中引入其它协议的路由(路由重分发)
redistributeospfase{connected|static|rip}[type{1|2}][tag][metric]
connected表示引入直连路由作为外部路由信息,static表示引入静态路由作为外部路由信息,rip表示引入RIP协议发现路由作为外部路由信息;type指定路由的代价类型,1和2分别表示第一类外部路由和第二类外部路由;tag指定路由的标记,为路由的标记值,取值范围1~2147483648;metric指定路由的代价,为路由的代价值,取值范围1~16777215。
缺省情况下,OSPF不引入外部路由。
Router(Config-Router-Ospf)#redistributeospfaseriptype1tag3metric20
3、策略路由
❶新建源网络访问控制列表
Router(config)#ipaccess-listnet1
Router(config)#permit10.1.1.00.0.0.255
❷设置路由表
Router(config)#route-mappbr//建立路由表,名字为PBR
Router(config-route-map)#Matchipaddressnet1//配置匹配该路由表的网络
Router(config-route-map)#Matchlength1501500//设置报文的长度范围
Router(config-route-map)#Setipnext-hop192.168.50.1//下一跳地址
❸应用到接口
Router(config)#intg0/4
Router(config)#ippolicyroute-mappbr
五、网络地址转换
1.设置指定接口作为网络地址转换的限定接口:
ipnat{inside|outside}
Router#config
Router(config)#interfaceethernet0
Router(config-ethernet0)#ipnatinside
2.配置静态NAT/NAPT映射
NAT:
ipnatinsidesourcestatic<内部本地地址><内部全局地址>
Router(config)#ipnatinsidestaticsource10.1.1.11.1.1.1
NAPT:
Router(config)#ipnatinsidesourcestatictcp192.168.1.71024200.8.7.31024
Router(config)#ipnatinsidesourcestaticudp192.168.1.71024200.8.7.31024
3.配置动态NAT/NAPT映射
(1)配置允许进行地址转换的内部私有地址;
Router(config)#access-list1permit10.1.1.00.0.0.255
(2)配置动态NAT地址转换使用的外部公有地址的地址池;
Router(config)#ipnatpoolpool-11.1.1.11.1.1.10netmask255.255.255.0
(3)建立内部私有地址与地址池或NAT外部接口的映射关系
Router(config)#ipnatinsidesourcelist1poolpool-1overload
六、PPP协议配置
PPP(Point-to-PointProtocol)协议是为在点到点链路上传输数据包而设计的,它是在点到点链路上承载网络层数据包的一种链路层协议。
PPP协议可以承载多种网络层协议数据包,如IP和IPX,并提供PAP、CHAP、MS-CHAP三种安全认证方式,以防止未经许可的非法用户访问。
PPP支持串口同步和异步两种模式。
PPP配置,需先在接口做好基础配置(接口IP,时钟频率等。
)
1、PAP:
验证方建立数据库,被验证方发送相同用户名密码。
(1)验证方:
建立用户名、密码:
Router(config)#userdcrpassword0aa
进入接口,封装PPP:
Router(config-serial2/0)#encapsulationppp
选择验证方式PAP:
Router(config-serial2/0)#pppauthenticationpap
(2)被验证方:
进入接口,封装PPP:
Router(config-serial2/0)#encapsulationppp
发送对方的用户名密码:
Router(config-serial2/0)#ppppapsent-usernamedcrpassword0aa
2、CHAP:
发送的用户名必须是对方主机名,双方发送的密码要一致。
(1)验证方:
建立用户名、密码:
Router(config)#userRBpasswordaa
进入接口,封装PPP:
Router(config-serial2/0)#encapsulationppp
选择验证方式CHAP:
Router(config-serial2/0)#pppauthenticationchap
(2)被验证方:
建立用户名密码:
Router(config)#userRApasswordaa
进入接口,封装PPP:
Router(config-serial2/0)#encapsulationppp
注意:
神州数码设备配置必须开启AAA本地认证。
Router(config)#aaaauthenticationpppdefaultlocal
第三部分其它配置
一、MSTP配置(MSTP是基于STP或RSTP的,因此在配置前应开启任一模式)
1、开启生成树
命令:
spanning-tree
2、设置交换机运行生成树的模式
命令:
spanning-treemode{mstp|stp}
3、进入MSTP域配置模式
命令:
spanning-treemstconfiguration
4、为域命名(域配置模式)
命令:
name
5、将实例应用到VLAN(域配置模式)
命令:
instancevlan
6、设置实例的优先级(在全局模式配置)
命令:
spanning-treemstpriority
7、设置当前端口指定实例的优先级值(端口配置模式下)
命令:
spanning-treemstport-priority
二、ACL配置
(一)、标准的ACL
access-list10{deny|permit}{{<源网络><反掩码>}|any-source|{host-source<源地址>}}
(二)、命名标准ACL
1、命名
ipaccess-liststandardacb
2、制定规则
{deny|permit}{{<源网络><反掩码>}|any-source|{host-source<源地址>}}
3、应用到接口
ipaccess-group名称in/o
升级会员 