Cisco设备基础配置
目录
一、思科设备开局配置
二、思科设备vlan及单臂路由
三、思科三层设备实现vlan间路由
四、思科设备静态、默认及浮动路由
五、思科设备NAT
六、思科设备链路捆绑
七、思科设备VRRP、HSRP
八、思科设备ACL
正文
一、思科设备开局配置
1、新设备上架需要进行初始化配置,配置管理IP,能够远程管理设备
配置方法如下:
通过console线连接设备
switch>enable ;进入特权模式
switch#config terminal ;进入全局配置模式
switch(config)#hostname csico ;设置交换机的主机名
switch(config)#interface vlan 1 ;进入vlan 1
switch(config-if)#ip address 192.168.1.1 255.255.255.0 ;设置IP地址
switch(config)#enable secret csico1 ;设置特权加密口令
switch(config)#enable password csico8 ;设置特权非密口令
switch(config)#line console 0 ;进入控制台口
switch(config-line)#line vty 0 4 ;进入虚拟终端
switch(config-line)#login ;虚拟终端允许登录
switch(config-line)#password csico6 ;设置虚拟终端登录口令csico6
switch#exit ;返回命令
switch#write ;保存配置信息
二、思科设备vlan及单臂路由
switch#vlan database ;进入VLAN设置
switch(vlan)#vlan 2 ;建VLAN 2
switch(vlan)#vlan 3 name vlan3 ;建VLAN 3并命名为vlan3
switch(vlan)#no vlan 2 ;删vlan 2
switch(config)#int f0/1 ;进入端口1
switch(config)#speed ? 查看speed命令的子命令
switch(config)#speed 100 设置该端口速率为100mb/s (10/auto)
switch(config)#duplex ? 查看duplex的子命令
switch(config)#duplex full 设置该端口为全双工(auto/half)
switch(config)#description TO_PC1 这是该端口描述为TO_PC1
switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2
switch(config-if)#switchport mode trunk ;设置为trunk模式(access模式)
switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan
switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继
单臂路由,即在路由器上设置多个逻辑子接口,每个子接口对应一个vlan。在每个子接口的数据在物理链路上传递都要标记封装。Cisco设备支持ISL和802.1q(dot1Q)协议
Router>enable
Router#configure terminal
Router(config)#int fastEthernet 0/0.1 (进入子接口)
Router(config-subif)#encapsulation dot1Q 30 (封装dot1Q协议,建立与vlan30的关联)
Router(config-subif)#ip add 172.16.3.254 255.255.255.0
Router(config-subif)#int f 0/0.2
Router(config-subif)#encapsulation dot1Q 40 (封装dot1Q协议,建立与vlan40的关联)
Router(config-subif)#ip add 172.16.4.254 255.255.255.0
Router(config-subif)#int f 0/0
Router(config-if)#no shutdown (启动f0/0的接口,包括所有子接口)
三、思科三层设备实现vlan间路由
PC0和PC1分属于不同的vlan,它们间数据的通信首先要经由trunk链路传输给三层交换机,然后再由三层交换机转发到不同的vlan。
Switch#conf t
Switch(config)#int vlan 10
Switch(config-if)#ip address 192.168.1.254 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#int vlan 20
Switch(config-if)#ip address 192.168.2.254 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#ip routing
创建和下层同编号vlan,在每个vlan中配置各自的IP作为该vlan的网关,三层交换起路由功能
四、思科设备静态、默认及浮动路由
路由器及三层交换机,经常会遇到需要设置路由的时候,所有的网络之间,都是通过路由来互通的。
静态路由:静态路由允许对路由的行为进行精准的控制,管理员必须手动配置静态路由,静态路由是单向的,所以通信双方必须配置双向的静态路由
配置命令:ip route 目的网络 子网掩码 下一跳地址
默认路由:当路由表中没有与包的目的地址匹配的表项时,路由器会做出的选择,如果没有默认路由,路由器会选择丢弃数据包,只有单出口的网络才能配置默认路由
配置命令:ip route 0.0.0.0 0.0.0.0 下一跳地址
浮动路由:浮动静态路由主要应用场景是链路冗余的时候,优先级最高的路由起作用,当优先级最高的路由失效是,次高的会被启用,保证网络可达
配置命令:ip route 目的网络 子网掩码 下一跳地址 优先级
五、思科设备NAT
静态NAT:静态NAT无法做到节省IP,一般用在内部服务器要在外网访问时,即把一个内部IP映射到公网IP
配置命令:ip nat inside source static local-ip global-ip
动态NAT:动态NAT即划分一个动态地址池,供内部IP转换使用,没一个内部IP会占用一个外网IP,也无法起到节省IP的作用,但是适用于有多个外网IP
配置命令:1、定义一个用于动态NAT的内部地址池 ip nat pool name start-ip end-ip netmask
2、定义ACL,定义那些IP可以匹配地址池 access-list access-list-number permit source
3、配置转换关系 ip nat inside source list pool name
地址端口转换NAPT:只有一个公网IP,内部网络通过不同的端口映射出外网
1、定义一个用于动态NAT的内部地址池 ip nat pool name start-ip end-ip netmask
2、定义ACL,access-list access-list-number permit source
3、配置转换关系 ip nat inside source list pool name overload
六、思科设备链路捆绑
链路捆绑,又名链路聚合,主要应用场景就是大客户需要大带宽的,而且链路聚合可以可以做到冗余的效果,链路聚合后带宽会叠加到一起,当链路中有一条故障时,不会影响整个网络的正常运行。
配置命令:
Switch1#config
Switch1(Config)#interface range eth0/0/1-3
Switch1(Config-Port-Range)#port-group 1 mode active
Switch1(Config-Port-Range)#exit
Switch1(Config)#interfaceport-channel1
Switch1(Config-If-Port-Channel1)#
两边的交换机配置一样,在配置端口聚合的时候有几种模式可以选择,on模式为自动模式,active为主动模式,passive为被动模式,两边可以都为on、active模式,但两边都为被动模式时,则不行
链路刚接好,不进行链路聚合配置时,链路是有一条阻塞的,是有STP生成树协议防止环路。
链路聚合配置完成后可以通过show etherchannel summary命令查看链路端口状态,
Group Port-channel Protocol Ports
------+-------------+-----------+----------------------------------------------
1 Po1(SU) - Fa0/1(P) Fa0/2(P)
当端口状态都为P时,两条链路都工作,当有一条为D时,该链路故障,
链路聚合可以使用在不同设备之间
七、思科设备VRRP、HSRP
VRRP是通用协议,所有设备通用,HSRP是思科私有协议
配置方法:
1、进入下行端口,vrrp 1 ip 虚拟网关
2、设置优先级,vrrp 1 priority 120(默认100)
3、配置抢占,vrrp 1 perrmpt
4、配置上行口的监控,首先建立监控端口,track 1 int f1/0 line-protocol,vrrp 1 track 1 decrement
另一台一样配置
VRRP中有一个重要的配置就是优先级,要设置好主备之间的优先级抢占,
HSRP把多台路由器组成一个“热备份组”,形成一个虚拟路由器。这个组内只有一个路由器是Active(活动)的,并由它来转发数据包,如果活动路由器发生了故障,备份路由器将成为活动路由器
配置命令:
R1(config-if)#standby1 ip 192.168.13.254
//启用HSRP功能,创建standby组1,并设置虚拟网关IP地址
R1(config-if)#standbypriority 120
//设置HSRP的优先级,该值大的会抢占成Active路由器,默认为100
R1(config-if)#standby1 preempt
//设置允许在该路由器优先级是最高时抢占为活动路由器
R1(config-if)#standby1 timers 3 10
//设置Hellotime为3秒,Holdtime为10秒,默认即为该值
R1(config-if)#standby1 authentication md5 key-string cisco //配置认证密码
R1(config-if)#standby1 track s0/0 30 //配置端口跟踪
两边配置一样,三层交换机上也可以做HSRP
八、思科设备ACL
ACL,全名访问控制列表,是用来控制Internet的通信流量,当我们要想阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查数据包的源地址,从而允许或拒绝基于网络、子网或主机IP地址的所有通信流量通过交换机的出口。
ACL标准配置语句:
Switch#access-list access-list-number(1~99) {permit|deny}{anyA|source[source-wildcard-mask]}{any|destination[destination-mask]}
例1:允许192.168.3.0网络上的主机进行访问:
Switch#access-list 1 permit 192.168.3.0 0.0.0.255
例2:禁止172.10.0.0网络上的主机访问:
Switch#access-list 2 deny 172.10.0.0 0.0.255.255
扩展ACL:
扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其它协议的流量通过,可灵活多变的设计ACL的测试条件。
ACL扩展配置语句:
Switch#access-list access-list-number(100~199) {permit|deny} protocol{any|source[source-mask]}{any|destination[destination-mask]}[port-number]
例1:拒绝交换机所连的子网192.168.3.0 ping通另一子网192.168.4.0:
Switch#access-list 100 deny icmp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
例2:阻止子网192.168.5.0 访问Internet(www服务)而允许其它子网访问:
Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any www
基于端口和vlan的ACL访问控制
标准访问控制列表和扩展访问控制列表的访问控制规则都是基于交换机的,如果仅对交换机的某一端口进行控制,则可把这个端口加入到上述规则中。
配置语句为:
Switch# acess-list port
例:对交换机的端口4,拒绝来自192.168.3.0网段上的信息,配置如下:
Switch# acess-list 1 deny 192.168.3.0 0.0.0.255
Switch# acess-list port 4 1 // 把端口4 加入到规则1中。
基于VLAN的访问控制列表是基于VLAN设置简单的访问规则,也设置流量控制,来允许(permit)或拒绝(deny)交换机转发一个VLAN的数据包。
配置语句:
Switch#acess-list vlan [deny|permit]
例:拒绝转发vlan2中的数据:
Switch# access-list vlan2 deny
cisco配置基础知识,原创。