交换路由配置命令.docx

1、交换路由配置命令交换路由配置命令Rip邻居认证第一步：在路由器Router1定义密钥链和密钥串Router1(config)# key chain ripkey ！定义一个密钥链ripkey，进入密钥链配置模式Router1(config- keychain)# key 1 ！定义密钥序号1，进入密钥配置模式Router1(config- keychain-key)# key-string keya ！定义密钥1的密钥内容为keyaRouter1(config- keychain-key)#accept-lifetime 00:00:00 oct 1 2004 infinite ！定义密钥1的

2、接收存活期从2004年10月1日至无限（infinite）Router1(config- keychain-key)#send-lifetime 00:00:00 oct 1 2004 infinite！定义密钥1的发送存活期为从2004年10月1日至无限第二步：在接口模式下定义认证模式，指定要引用的密钥链Router1(config)# interface serial 0Router1(config-if)#ip rip authentication mode md5 ! 定义认证模式为md5，若用text则表示明文认证，若不指明模式则缺省用明文认证Router1(config-if)#i

3、p rip authentication key-chain ripkey ！引用密钥链ripkeyOSPF邻居认证R1(config)#router os 1R1(config-router)#area 0 authentication message-digest ！配置区域间认证需要加密方式R1(config)#int s0R1(config-if)#ip ospf message-digest-key 1 md5 star ！ 配置加密认证密码R2(config)#router os 1R2(config-router)#area 0 authentication message-di

4、gestR2(config)#int s0R2(config-if)#ip ospf message-digest-key 1 md5 starFrame-relay交换机主机配置:FR(config)#frame-relay switching ! 路由器模拟成帧中继交换机FR(config)#interface serial 0 ！ 进入广域网接口serial 0FR(config-if)#encapsulation frame-relay ietf ! 封装帧中继并封装其格式为ietfFR(config-if)#frame-relay intf-type dce ！封装帧中继接口类型为d

5、ceFR(config-if)#frame-relay lmi-ty ansi ! 定义帧中继本地接口管理类型FR(config-if)#cloclk rate 64000 ！定义时钟速率FR(config-if)#fram route 20 interface serial 1 21！设定帧中继交换，指定两个同步口之间的dlci互换FR(config-if)#fram route 30 interface serial 3 31！设定帧中继交换，指定两个同步口之间的dlci互换FR(config-if)#no sh ！ 启用该接口FR(config-if)#end副机配置:R1(config

6、)#int s0R1(config-if)#ip add 192.168.123.1 255.255.255.0R1(config-if)#encapsulation frame-relay ietf ! 封装帧中继并封装其格式为ietfR1(config-if)#no frame-relay inverse-arp ！禁止帧中继特定的协议dlci使用反向ARP ！禁止动态学习地址和DLCI之间的映射R1(config-if)#frame-relay lmi-type ansi ! 定义帧中继本地接口管理类型,R1(config-if)#frame-relay map ip 192.168.1

7、23.2 20 ! 建立帧中继静态地址映射R1(config-if)#frame-relay map ip 192.168.123.3 30 ! 建立帧中继静态地址映射R1(config-if)# no sh基于时间的ACL定义时间段Router(config)#time-range freetimeRouter(config-time-range)#absolute start 8:00 1 jan 2006 end 18:00 30dec 2010 !定义绝对时间段Router(config-time-range)#periodic daily 0:00 to 9:00 !定义周期性时间段

8、Router(config-time-range)#periodic daily 17:00 to 23:59 !定义周期性时间段定义访问控制列表规则Router(config)#access-list 100 permit ip any host 160.16.1.1 !定义扩展访问控制列表，允许访问主机160.16.1.1Router(config)#access-list 100 permit ip any any time-range freetime ! 关联time-range接口t1，允许在规定时间段访问任何网络 注：访问控制列表的隐含规则是拒绝所有数据包。应用到端口上(conf

9、ig-if)#ip access-group 100 inRIP定时器Router1(config-router)#timers basic 60 360 360 480 ! 修改路由更新/无效/拒绝/清除时连接在同一网络中的各个路由器的RIP定时器设置应该一致。恢复定时器缺省值用命令no timers basic 。SSH配置命令username aaa password 0 123456 /创建用户aaa new-model /开启3A认证aaa authentication login default local /开启登陆验证enable service ssh-server /开启S

10、SH服务crypto key generate dsa /定义加密方式通过TELNET 方式来配置设备步骤一：配置VLAN1 的IP 地址S5750en -进入特权模式S5750#conf -进入全局配置模式S5750(config)#int vlan 1 -进入vlan 1 接口S5750(config-if)#ip address 192.168.0.230 255.255.255.0-为vlan 1 接口上设置管理ip(config-if)#exit -退回到全局配置模式步骤二：配置telnet 密码S5750(config)#line vty 0 4 -进入telnet 密码配置模式S

11、5750(config-line)#login -启用需输入密码才能telnet 成功S5750(config-line)#password rscstar -将telnet 密码设置为rscstarS5750(config-line)#exit -回到全局配置模式S5750(config)#enable secret 0 rscstar-配置进入特权模式的密码为rscstar步骤三：开启SSH 服务（可选操作）S5750(config)#enable service ssh-server -开启ssh 服务S5750(config)#ip ssh version 2 -启用ssh versi

12、on 2S5750(config)#exit -回到特权模式S5750#wri -保存配置 更改IOS 命令的特权等级S5750(config)#username dixy password dixy -设置dixy 用户名和密码S5750(config)#username dixy privilege 10 -dixy 帐户的权限为10S5750(config)#privilege exec level 10 show arp-权限10 可以使用show arp 命令S5750(config)#privilege config all level 10 arp-权限10 可以使用所有arp

13、打头的命令S5750(config)#line vty 0 4 -配置telnet 登陆用户S5750(config-line)#no passwordS5750(config-line)#login local注释：15 级密码为enable 特权密码，无法更改，0 级密码只能支持disable，enable，exit和help，1 级密码无法进行配置。 设备时钟设置S5750#clock set 12:45:55 11 25 2008-设置时间为2008 年11 月25 日12 点45 分55 秒S5750#clock update-calendar -设置日历更新S5750(config

14、)#clock timezone CN 8 22 -时间名字为中国，东8 区22 分Turnk 接口修剪配置Switch(config)#int fa 0/24Switch (config-if)#switch mode trunkSwitch (config-if)#switchport trunk allowed vlan remove 10,20,30-40-不允许VLAN10,20,30-40 通过Trunk 口PVLAN 配置如何实现几组用户之间的隔离，但同时又都能访问公用服务？步骤一：创建隔离VLANS2724G#confS2724G(config)#vlan 3 -创建VLAN3

15、S2724G(config-vlan)#private-vlan community -将VLAN3 设为隔离VLANS2724G(config)#vlan 4 -创建VLAN4S2724G(config-vlan)#private-vlan community -将VLAN4 设为隔离VLANS2724G(config-vlan)#exit -退回到特权模式步骤二：创建主VLANS2724G(config)#vlan 2 -进入VLAN2S2724G(config-vlan)#private-vlan primary -VLAN2 为主VLAN步骤三：将隔离VLAN 加到到主VLAN 中VL

16、ANS2724G(config-vlan)#private-vlan association add 3-4-将VLAN3 和VLAN4 加入到公用VLAN 中，VLAN3 和VLAN4 的用户可以访问公用接口步骤四：将实际的物理接口与VLAN 相对应S2724G(config)#interface GigabitEthernet 0/1-进入接口1，该接口连接服务器或者上联设备S2724G(config-if)#switchport mode private-vlan promiscuous-接口模式为混杂模式S2724G(config-if)#switchport private-vlan

17、 mapping 2 add 3-4-将VLAN3 和VLAN4 映射到VLAN2 上S2724G(config)#int gi 0/10 -进入接口10S2724G(config-if)#switchport mode private-vlan hostS2724G(config-if)#switchport private-vlan host-association 2 3-该接口划分入VLAN3S2724G(config)#int gi 0/20 -进入接口20S2724G(config-if)#switchport mode private-vlan hostS2724G(config

18、-if)#switchport private-vlan host-association 2 4-该接口划分入VLAN4步骤五：完成VLAN 的映射S2724G(config)#int vlan 2 -进入VLAN2 的SVI 接口S2724G(config-if)#ip address 192.168.2.1 255.255.255.0-配置VLAN2 的ip 地址S2724G(config-if)#private-vlan mapping add 3-4-将VLAN3 和VLAN4 加入到VLAN2 中注释：1. S20、S21 不支持私有VLAN，可以通过保护端口实现类似功能2. S3

19、250、S3750 和S5750 同时支持保护端口和私有VLAN3. S3760 不支持私有VLAN 和保护端口端口汇聚配置S5750#confS5750(config)#interface range gigabitEthernet 0/1 4 -同时进入1 到4 号接口S5750(config-if)#port-group 1 -设置为聚合口1S5750(config)#interface aggregateport 1 -进入聚合端口1注意：配置为AP 口的接口将丢失之前所有的属性，以后关于接口的操作只能在AP1 口上面端口镜像配置switch#conf tswitch#(config)

20、#switch (config)# monitor session 1 source interface gigabitEthernet 3/1 both-监控源口为g3/1switch (config)# monitor session 1 destination interface gigabitEthernet 3/8 switch-监控目的口为g3/8，并开启交换功能注意：S2026 交换机镜像目的端口无法当做普通接口使用交换机地址绑定（address-bind）功能S5750#confS5750(config)# address-bind 192.168.0.101 0016.d39

21、0.6cc5-绑定ip 地址为192.168.0.101 MAC 地址为0016.d390.6cc5 的主机让其使用网络S5750(config)# address-bind uplink GigabitEthernet 0/1-将g0/1 口设置为上联口，也就是交换机通过g0/1 的接口连接到路由器或是出口设备，如果接口选择错误会导致整网不通S5750(config)# address-bind install -使能address-bind 功能S5750(config)#end -退回特权模式S5750# wr -保存配置注释：1. 如果修改ip 或是MAC 地址该主机则无法使用网络，可

22、以按照此命令添加多条，添加的条数跟交换机的硬件资源有关2. S21 交换机的address-bind 功能是防止Ip 冲突，只有在交换机上绑定的才进行ip 和MAC 的匹配，如果下边用户设置的ip 地址在交换机中没绑定，交换机不对该数据包做控制，直接转发。交换机arp-check 功能如何防止错误的arp 信息在网络里传播？S5750#confS5750(config)# int g0/23-进入第23 接口，准备在该接口绑定用户的MAC 和ip 地址S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5ip-

23、address 192.168.0.101 -ip+mac 绑定信息S5750(config-if)# switchport port-security -开启端口安全功能S5750(config-if)# switchport port-security arp-check -开启端arp 检查功能S5750(config)#end -退会特权模式S5750# wr -保存配置注释：开启arp-check 功能后安全地址数减少一半，具体情况请查阅交换机配置指南交换机ARP 动态检测功能(DAI)如何在动态环境下防止ARP 欺骗？步骤一： 配置DHCP snoopingS3760#con tS

24、3760(config)#ip dhcp snooping -开启dhcp snoopingS3760(config)#int f 0/1S3760(config-if)#ip dhcp snooping trust -设置上连口为信任端口（注意：缺省所有端口都是不信任端口）,只有此接口连接的服务器发出的DHCP 响应报文才能够被转发.S3760(config-if)#exitS3760(config)#int f 0/2S3760(config-if)# ip dhcp snooping address-bind-配置DHCP snooping 的地址绑定功能S3760(config-if)

25、#exitS3760(config)#int f 0/3S3760(config-if)# ip dhcp snooping address-bind-配置DHCP snooping 的地址绑定功能步骤二： 配置DAIS3760(config)# ip arp inspection -启用全局的DAIS3760(config)# ip arp inspection vlan 2 -启用vlan2 的DAI 报文检查功能S3760(config)# ip arp inspection vlan 3 -启用vlan3 的DAI 报文检查功能扩展ACL 配置如何禁止用户访问单个网页服务器？步骤一：定

26、义ACLS5750#conf t -进入全局配置模式S5750(config)#ip access-list extended 100 -创建扩展ACLS5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www-禁止访问web 服务器S5750(config-ext-nacl)#deny tcp any any eq 135 -预防冲击波病毒S5750(config-ext-nacl)#deny tcp any any eq 445 -预防震荡波病毒S5750(config-ext-nacl)#permit ip any any

27、-允许访问其他任何资源S5750(config-ext-nacl)#exit -退出ACL配置模式步骤二：将ACL 应用到接口上S5750(config)#interface GigabitEthernet 0/1 -进入所需应用的端口S5750(config-if)#ip access-group 100 in -将扩展ACL 应用到端口下创建ACL，使vlan20 能访问vlan10，而vlan30 不能访问vlan10S5750(config)#ip access-list extended deny30S5750(config-ext-nacl)#deny ip 192.168.30.

28、0 0.0.0.255 192.168.10.0 0.0.0.255S5750(config-ext-nacl)#permit ip any anyS5750(config-ext-nacl)#exit将ACL 应用到vlan30 的SVI 口in 方向单向ACL 的配置如何实现主机A 可以访问主机B的FTP资源，但主机B无法访问主机A的FTP资源？步骤一：定义ACLS5750#conf t -进入全局配置模式S5750(config)#ip access-list extended 100 -定义扩展ACLS5750(config-ext-nacl)#deny tcp any host 19

29、2.168.1.254 match-all syn-禁止主动向A 主机发起TCP 连接S5750(config-ext-nacl)#permit ip any any -允许访问其他任何资源S5750(config-ext-nacl)#exit -退出扩展ACL配置模式步骤二：将ACL 应用到接口上S5750(config)#interface GigabitEthernet 0/1 -进入连接B 主机的端口S5750(config-if)#ip access-group 100 in -将扩展ACL 应用到端口下S5750(config-if)#end -退回特权模式S5750#wr -保存

30、注释：单向ACL 只能对应于TCP 协议，使用PING 无法对该功能进行检测。配置DHCP serverS3760 (config)#service dhcp -开启dhcp server 功能S3760 (config)#ip dhcp ping packets 1-在dhcp server 分配IP 时会先去检测将要分配的IP 地址是否已有人使用，如果没人使用则分配，若已有人使用则再分配下一个IPS3760 (config)#ip dhcp excluded-address 192.168.2.1 192.168.2.10-设置排斥地址为192.168.2.1 至192.168.2.10 的ip 地址不分配给客户端（可选配置）S3760 (config)#ip dhcp excluded-address 192.168.3.1 192.168.3.10-设置排斥地址为192.168.3.1 至192.168.3.10 的ip 地址不分配给客户端（可选配置）S3760 (config)#ip dhcp pool test2 -新建一个dhcp 地址池名为test2S3760 (