copy modem:文件名.bin.flash:
copy xmodem flash: 文件名
加载IOS
CISCO IOS提供了网络服务和网络化的应用程序。
配置网络设备的步骤:
1、需求分析决定配置的内容;
2、配置基本协议IP地址和网络参数;
3、其他可选项。
Catalyst交换机在出厂时有缺省配置;
CISCO路由器出厂时没有缺省配置,需要执行初始化工作。
配置CISCO设备的方法:
1、带内配置:通过console、AUX(辅助端口)方式配置
2、带外管理:telnet、WEB页面配置、TFTP server下发配置;SNMP协议来进行配置(网管软件)
IOS的用户接口:
IOS的用户接口是CLI(命令行接口)
每个设备都有不同的配置方式;
你可以使用复制黏贴的方式进行配置;
使用回车键来执行一条命令;
CLI有两个主要的EXEC(命令执行模式):用户模式和特权模式;不同的模式有不同的提示符信息。
用户模式的提示符是>,在用户模式下,只能执行少量的命令;在用户模式下打入enable命令进入特权模式。
特权模式的提示符信息是#,在特权下可以执行一些管理性的配置,例如复制、删除等。
命令行帮助工具:1、语法帮助工具,? 2、错误信息提示; 3、命令历史缓存;
全局模式:要对设备进行配置,首先要进入全局模式;在这个模式下可以对设备做一些全局性的配置;例如主机名等。在特权下,输入configure terminal命令,提示符
hostname(config)#
配置主机名:在全局模式下hostname sw1
配置一个管理性的IP地址
在接口模式 在vlan1的接口下(是一个软件接口)
在全局模式下interface vlan 1
接口模式的提示符信息是(config-if)#
ip address 192.168.1.1 255.255.255.0
no shutdown(启用这个端口)
配置缺省网关:在全局模式下ip default-gateway 192.168.1.254
show version:查看设备的软件和硬件信息;包括软件版本、设备型号、接口的类型和数目、配置注册项的值;
配置注册项:它决定了路由器加载IOS和配置文件的顺序;
常见的配置注册项:1、0x2102(缺省的)代表了从flash中正常引导IOS和配置文件;2、0x0 代表进入ROMMON模式(这个模式用于故障诊断和密码恢复);3、0x1代表进入MINI IOS模式;4、0x2142代表了忽略启动配置文件,这个用于密码恢复的。
路由器的内部组件:1、CPU;2、内存;3、flash卡(compact flash 用于保存IOS文件)4、NVRAM(非易失性内存,用于保存启动配置文件和配置注册项的值);5、接口;6、ROM(只读内存,保存了bootstrap程序、POST(加电自检)、ROMMON程序、MINI IOS)
配置文件:运行配置文件和启动配置文件
show running-config (用来查看内存中的运行配置文件)
show startup-config(用于查看NVRAM中的启动配置文件)
保存配置文件:copyrun start/write
删除启动配置文件:erasestartup-config
重启路由器:reload
路由器的模式:1、用户模式(>)-->(enable)2、特权(#)-->(config terminal)3、全局模式(config)#-->4、接口模式、子接口模式、路由模式、线路模式、控制器模式
路由器的基本配置:
1、配置主机名:全局下 Hostname r1
2、配置登陆提示信息:全局下banner motd #welcome to openlab;this is a secured system, authorized access only!#
3、关闭域名解析 no ip domain-lookup
4、信息同步 line console 0
logging syn
5、接口描述信息:在接口模式下 description lan-to-engineeroffice;
6、配置路由器的密码:
1)配置特权密码;在全局下 enable passwordcisco/enable secret cisco;
2)配置远程登陆密码:line vty 0 4(15)
password cisco
login
3)console口的密码:line console 0
password cisco
login
7、配置接口IP地址,show ip interface brief(查看路由器上有哪些接口以及接口的状态、IP地址等信息)
8、加密所有密码:全局下service password-encryption
9、执行超时时间:
10、配置DCE: show controller serial 0/1/0查看它是DCE还是DTE 在DCE端配置clock rate64000
11、配置接口带宽:在接口模式下 bandwidth 2000(KBPS)
发现网络邻居
CDP协议(cisco Discovery protocol):是一个私有的2层协议,用于发现与之直连的CISCO设备;
CDP可以发现邻居设备的主机名、设备型号、设备的类型、对方的端口、本地连接的端口、IOS版本、邻居的IP地址;
show cdp neighbor
show cdp neighbor detail
show cdp entry *
关闭CDP 在全局下 no cdp run 在接口模式下 no cdp enable
创建网络拓扑图:1、主机名;2、设备型号;3、接口;4、IP地址;5、线路类型
获取远程设备信息:使用telnet或者SSH协议登陆到远程设备,
show session:查看目前有几个远程会话
show user:查看登录到这个设备上的用户
挂起一个会话:ctrl+shift+6x
中断会话:disconnectsession-number
清除会话:clearline line-number
ping用于测试目标网络的连通性;
traceroute:用于查询到达一个特定目标所经过所以网关;
寻找IOS的过程:1、先检查配置注册项的值;0x0(代表进入ROMMON模式,0x1进入mini IOS;0x2从flash中引导IOS);2
、执行NVRAM中启动配置文件中的boot system命令;3、缺省情况下是从flash中引导IOS文件;4、尝试从网络中引导IOS系统;5、RXBOOT模式;6、ROMMON。
修改配置注册项的值:在全局模式下 config-register 0x2102
路由器密码恢复的步骤:
1、电脑用console线连接到路由器的console口;
2、重启路由器;
3、打开超级终端,在路由器重启的30秒内按住ctrl+break键,进入ROMMON模式;
4、confreg 0x2142; (25路由器的配置 o/r0x2142)
5、重启路由器reset (25路由器重启的命令是i)
6、进入特权模式,copy start run
7、修改密码在全局下enable secret cisco
8、保存配置;
9、把配置注册项的值恢复到0x2102;config-register0x2102
交换机的密码恢复:
1、电脑用console线连接到路由器的console口;
2、重启交换机;
3、打开超级终端,在交换机重启的时候按住MODE按钮;进入ROMMON;它的提示符是switch:
4、打入flash_init命令
5、dir flash:查看flash中的文件(有一个config.text)
6、rename flash:config.text flash:old.text
7、reset重启交换机
8、进入特权模式,copy flash:old.text run
9、修改密码;
10、保存配置;
11、在特权模式下删除老的配置文件 delete old.text
备份、恢复和升级IOS文件
copy flash tftp(备份IOS文件)
copy tftp flash(升级或者恢复IOS)
boot systemflash:c2800nm-advipservicesk9-mz.124-15.T1.bin
备份、恢复配置文件
copy run tftp(备份运行配置文件)
copy start tftp(备份启动配置文件)
copy tftp start(恢复启动配置文件)
copy tftp run(不是一个覆盖的过程,而是一个合并的过程)
show 查看路由器状态的静态结果;占用系统资源少;
DEBUG 查看路由器运行的动态过程;占用系统资源多。
show process cpu(查看CPU的利用率)
2层交换机和网桥的功能:1、学习MAC地址;2、转发并过滤数据帧;3、避免环路。
交换机转发数据帧的3种方式:1、直通式它只看数据帧头中的目标MAC地址,然后立即转发;2、存储转发式 它会等所有的数据报文全部到达之后并检验错误,然后再转发;3、无碎片转发(free-fragment) 它检查数据帧的前64个字节,然后立即转发数据。
show mac-address-table 查看交换机的MAC地址表;
2层的冗余拓扑:它解决了单点失效而导致网络中断的问题。
冗余拓扑存在的问题:1、导致广播风暴;2、多帧复制;3、MAC地址表不稳定。
生成树协议(spanning-treeprotocol):为冗余拓扑提供一个无环路的环境。通过软件阻塞其中一个端口来实现无环路的冗余拓扑。
STP(802.1d协议)的运作原理:1、每个网络只有一个根网桥;2、每个非根网桥只有一个根端口;3、每一个段只有一个指定端口;4、根网桥上所有的端口都是指定端口;5、非指定端口被阻塞。
根端口:非根网桥上的距离根网桥最近的端口;
段:交换机与交换机之间的每一条链路都是一个段;
指定端口:用于转发数据的端口
根网桥的选举:交换机之间每2秒钟会相互发送一个BPDU(桥接协议数据单元);BPDU包含了两个字段:root bridge(代表了根网桥)bridge-id(网桥优先级和MAC地址);首先比较优先级,值越小越优先成为根网桥,优先级数值是0-65535,缺省值为32768;如果优先级一致的话,选择最小的MAC地址的交换机成为根网桥。
STP的端口状态:1、block(阻塞状态)--->(maxage timer 20秒)2、侦听状态(listening)--->(forwarding delay timer 15秒)3、学习状态--->(forwarding delay timer 15秒)4、转发状态
根端口的选择:1、最小的path cost; 10M(100)、100M(19)、1G(4)、10G(2) 2、发送者的接口优先级 3、最小的port-id;
指定端口:最小的bridge-id。
STP进行汇聚的情形:1、端口状态发生改变;2、网络拓扑状态改变的时候;
VLAN:每一个VLAN就是一个广播域,它是由软件逻辑划分而成,每一个VLAN就相当于一个物理网桥。它提供更好的安全性,实现了灵活的分段。VLAN可以跨越多个交换机。
当VLAN需要跨越多个交换机的时候,交换机之间需要使用trunk(主干)链路来传送多个VLAN的流量。trunk使用特殊的封装来区分不同vlan间的流量。
VLAN成员关系模式:1、静态VLAN 基于交换机端口划分而成;
2、动态vlan 基于MAC地址或者用户名口令划分而成的。
Trunk的封装协议:1、802.1Q 这个协议是一个国际标准协议;
2、ISL 这是一个CISCO私有的协议。
802.1q:在源MAC地址和以太类型字段之间加入了一个4个字节的TAG,其中包含了4个字段:1、以太类型(0x8100 代表了802.1q数据帧);2、优先级字段,一共3个比特位;3、令牌环标记位;4、VLAN-ID,一共12个比特位,所以vlan一共有4096个(0-4095)。cisco交换机使用软件形式来进行封装802.1q数据帧。
802.1q支持native vlan,native vlan是指不加标签的vlan,交换机的trunk链路上只能同时支持一个native vlan。交换机的两端的native vlan要一致。
ISL:在原始数据帧加上了一个26个字节的数据头和4个字节的CRC的尾;CISCO交换机会使用专用硬件芯片来封装ISL数据帧,它不支持native vlan,它只适合用于交换机和交换机之间,交换机和路由器之间,对于终端设备而言,是完全透明的。
cisco29系列和45系列不支持ISL,只支持dot1.q。
PVST(per vlan spanning-tree):每个VLAN会运行自己的生成树实例,为了实现二层的流量负载均衡。cisco支持的是PVST+。
VTP(vlan trunk protocol):它是一个消息协议,用于通告一个管理域中vlan的配置信息;它会保证在同一管理域内vlan配置信息的一致性,这个消息只在trunk端口上发送。它可以进行集中化的VLAN配置和管理。
VTP会将交换机分成3个角色:server、client、transparent(透明)
VTP server模式:它可以创建、修改、删除VLAN;它可以发送和同步VLAN信息;它的配置信息会保存在nvram中(其实在flash中,vlan.dat的文件)。
VTP client模式:它不能创建、修改、删除vlan,它只能和server进行同步vlan信息;它会转发VLAN通告,配置不会保存在nvram中(在flash中也有一个vlan.dat的文件)。
VTP的透明模式:它可以创建、修改、删除VLAN,但是它不会跟其他设备进行vlan信息的同步;它可以转发通告,它不会发送通告;
配置信息会保存在nvram中。
VTP的运行过程:VTP会每5分钟或者当VLAN信息数据库有改变的时候会发送组播通告;VTP通告只能发送给同一域内的交换机;客户端会以修订号的版本来进行同步,修订号越高代表了VLAN信息数据库越新。
VTP的修剪:可以减少不必要的广播流量,这个功能仅限于trunk端口。
VLAN的配置:1、选择一个接口作为trunk端口;
2、指定trunk端口的封装协议(29系列和45系列不需要指定)
3、配置VTP协议;
4、在VTP server上创建VLAN;
5、在每一个交换机上将端口划分到vlan中。
语法:1、在接口模式下:
switchport trunk encapsulation dot1q|isl
switchport mode trunk
show interface f0/1 switchport
2、在全局模式下配置VTP
vtp domain name(ccna.com)
vtp mode server| client|transparent(缺省模式是server)
vtp password password(cisco)
show vtp status
show vtp password
3、在全局下创建VLAN;
vlan vlan-id(0-4095) 0和4095是系统保留使用的,1,1002-1005也是系统自带的,缺省情况下,所有端口属于vlan1,VLAN1也是缺省的native vlan;1002-1005是保留给token-ring和FDDI;这些VLAN不能修改、删除、重命名;1-1001是属于正常范围值的VLAN;VTP server模式只支持正常范围内的vlan;从1006-4094都属于扩展范围的vlan,只有透明模式支持。
每个交换机所支持的vlan数目是不一样的;
在vlan模式下:name ccna
show vlan
show vlan brief
4、在接口模式下:
switchport mode access(缺省的工作模式是dynamic desirable)这个模式用于接入终端设备;
switchport access vlan vlan-id
show vlan
show vlan brief
trunk端口可以访问所有的VLAN,它不属于某个具体的VLAN;
VLAN配置常见的错误:1、trunk两端的封装协议不匹配;
2、VTP的域名不一致;
3、VTP的password不一致;
4、端口不在同一vlan中。
5、VTP的工作模式是否合适。
单臂路由:使用子接口(subinterface)来路由多个vlan的流量;子接口是由物理接口通过软件逻辑划分而成;每个子接口可以有跟物理接口一样的配置;
1、在全局下启用物理接口
interface f0/0
no shutdown
2、在全局下创建子接口
interface f0/0.1
encapsulation dot1q vlan-id (10)
ip address 10.1.1.1255.255.255.0
单臂路由的缺点:单点失效;流量阻塞;
在配置单臂路由的时候,交换机上的端口也需要配置trunk。
交换机的端口安全:
1、在接口模式下将端口作为access模式;
interface f0/1
switchport mode access
2、在接口模式下启用端口安全
interface f0/1
switchport port-security(启用端口安全)
switchport port-security maximum 1
switchport port-security mac-address 000c.1111.1111
switchport port-security violation shutdown|protect|restrict
show port-security
show port-security address
show port-security interface f0/10
routing(路由选择)
router(路由器)
route(路由):到达一个特定目标的路径。
routing protocol(路由协议)
routed protocol(被路由的协议,比如IP协议)
为了获得一个路由,首先必须知道目标地址
1、确定可以知道这个路径的所有源设备;
2、发现尽可能多的路径;
3、选择一个最佳的路径;
4、维护和验证路由信息。
这个过程称之为路由选择(routing)
获得路由的方式:一种是静态路由,管理员手工指定;优点:原理简单、配置简单;缺点:不能够自适应网络拓扑变化;第二种是动态路由,它是通过路由协议来动态学习到的;它能够自适应网络拓扑变化;但是原理配置相对比较复杂。
静态路由的配置:在全局模式下:ip route network [mask]{address | interface}[distance] [permanent]
network:代表了目标网络;mask是目标网段的子网掩码;
address:下一跳路由器的IP地址;
interface是指本地路由器的出口;一般不推荐使用这个,只适合于点到点的链路;点到点的链路通常指使用HDLC、PPP协议封装的线路、帧中继和ATM的点到点子接口;
distance:管理距离;permanent:永久的。
default route(默认|缺省路由):当目标网络不明确的时候。
ip route 0.0.0.00.0.0.0 下一跳路由器的IP地址
路由协议:用在路由器与路由器之间,用于学习、维护路由表的规则;一当确定一个路径之后,路由器就可以路由IP协议了。
自治系统:(AutonomousSystems)一个相同管理域内的所有网络的集合。自治系统号(1-65535);
一个路由协议工作在同一个自治系统内的,这种路由协议称之为IGP(内部网关协议);
一个路由协议工作在不同的自治系统之间,这种路由协议称之为EGP(外部网关协议)。
常见的IGP:RIP、eigrp、ospf、ISIS
常见的EGP:BGP
管理距离:每一个路由协议都有一个默认的管理距离值;代表了这个路由协议的可信度;管理距离值是0-255之间;值越小越可信。
常见的路由协议的AD值:直连的路由(0)、静态的(1)、汇总的EIGRP路由(5)、EBGP(20)、内部的EIGRP(90)、IGRP(100)、OSPF(110)、ISIS(115)、RIP(120)、外部的EIGRP(170)、IBGP(200)、未知的协议(255)
有类的路由协议:在路由通告的时候,不包含子网掩码;它假定在相同的网络内子网掩码是一致的;在网络的边缘处,会产生自动汇总,只能汇总成主类网段。rip v1、igrp属于有类路由协议。
路由汇总:将多个小的网络聚合成一个大的网络;前提条件是之前这些小的网络是通过VLSM划分而成的。目的:减少路由表的条目,节约路由器的内存。汇总的原则:比较最高的相同比特位,要精确汇总。
无类路由协议:在路由通告的时候包含了子网掩码;支持VLSM和手工汇总。RIPV2、EIGRP、OSPF、ISIS、BGP都属于无类的路由协议。
路由协议的算法进行分类:距离矢量型(RIPV2)、链路状态型(OSPF、ISIS)、混合型(EIGRP)
距离矢量型路由协议:它会周期性将自己的路由表通告给邻居,并且附上路由的距离矢量。
选择一个最佳路径:路由协议会根据自己的metric(度量值)来选择到达一个特定目标的最佳路径。
RIP的metric是以HOP(跳数)作为它选择最佳路径的标准。最小的跳数为最佳路径。
EIGRP的metric是以一个复合的度量值来选择最佳路径的;它有5个参数:带宽(bandwidth)、延迟(delay)、可靠性(reliablity)、负载(load)、MTU(最大传输单元);缺省EIGRP只使用带宽和延迟作为它的度量值。metric=[10^7/bandwidth(kbps)+delay/10]*256
维护路由信息:它是按照逐跳的方式来处理路由更新。
避免距离矢量型协议的路由环路问题:1、定义一个最大的度量值来防止metric值变成无穷大;2、水平分割,从一个接口上收到的路由更新不会再从这个接口上更新出去;3、路由中毒 当发现一个路由down掉之后,会发送一个更新,更新中路由的metric为最大的metric来申明这个路由失效了;4、毒性逆转 当路由器收到一个路由中毒消息之后会立即给发送方反馈一个路由中毒的消息,以加以确认这个路由已经中毒。5、抑制计时器 在收到一个路由中毒消息之后,路由器会立即启用一个计时器,在这个计时器内,它不会相信任何关于中毒路由的更新;6、触发更新 在发现路由down之后,不需要等到下一个更新周期,立即发送路由更新。
链路状态协议:1、路由器之间会相互发送hello包,来发现邻居,并建立邻接关系;形成了邻居表;2、路由器会将自己的链路状态信息(LSA链路状态通告)通告给所有的邻居;路由器会收集所有邻居发送的LSA,形成一个拓扑表;拓扑表中包含了到达所有目标的所有路径;3、路由器会使用SPF(shortest path first最短路径优先)算法计算出到达一个特定目标的最短路径,形成路由表。
链路状态协议通常会采用分层的机制来进行设计;目的:简化路由表,使拓扑改变的影响最小化。通常会将一个AS分成多个AREA(区域),其中包括一个主干区域(backbone area)和其他常规区域;所有常规区域必须直连到主干区域。
链路状态协议的算法:它采用SPF,以自己为原根,将所有路径的cost值相加,拥有最小的COST值的路径作为最佳路径。
链路状态协议的优点:1、没有环路,因为它拥有所有的拓扑信息;2、快速的汇聚(收敛);3、如果采用了分层设计,它能够优化资源的利用率。
链路状态协议使用的注意事项:1、要有足够的内存和CPU资源;因为它需要维护3张表;所有路由都是自己计算的。2、需要分层设计;3、如果网络设计比较复杂,可能会导致配置比较复杂;4、故障诊断要比距离矢量协议容易一点。
链路状态协议的缺点:内存和CPU利用率较高;初始化的时候流量会非常大。
更新采用增量更新。
混合型协议:它具有链路状态协议的特征,又具有距离矢量协议的特征。
RIP(routing information protocol):它是一个距离矢量型协议;目前我们使用V2版本;它属于无类路由协议;它是一个IGP协议;它每30秒把自己的路由表更新给邻居;使用跳数作为它的度量值;支持VLSM;支持自动汇总和手工汇总,自动汇总默认打开的;支持最大6条等价路径,默认是4条。
RIP的计时器:hello计时器是30秒;holdtime(抑制计时器)是180秒;invalid(失效计时器)是180秒;flush(置空计时器)是240秒。clear ip route *(立即清空路由表来重新学习)
RIP的配置:
1、在全局模式下 router rip(进入路由模式)
2、version 2(指定版本)
3、no auto-summary(关闭自动汇总)
4、network network-number(发布直连的网段,网段号只需要配置主类的网段号)
检查RIP的命令:show ip route(查看路由表)
show ip protocols(查看目前运行的路由协议以及这个协议的相关参数)
debug ip rip(可以查看RIP更新的详细信息) ripv2是以组播方式来发送更新的,目标地址是224.0.0.9.
undebug all|no debug all关闭所有debug信息
EIGRP协议的配置
EIGRP:(高级内部网关路由协议)它是CISCO私有协议,它属于混合型协议,也是一个IGP协议;支持VLSM,支持手工汇总和自动汇总,默认自动汇总打开;它使用带宽、延迟、可靠性、负载和MTU作为它的度量值;缺省只考虑带宽和延迟;支持最大六条等价路径,默认4条;它也支持不等价路径的负载均衡。它支持多个网络层的协议(ip协议、IPX协议等网络层协议)。它采用组播地址224.0.0.10来发送更新,采用增量更新;能够提供快速的路由汇聚。
1、EIGRP路由器之间会相互发送hello包,来发现邻居,形成邻居表;邻居表包含了邻居的IP地址以及本地的接口。
show ip eigrp neighbor
2、相互更新路由表,通过收集所有邻居的路由表,形成一个完整的网络拓扑表;采用扩散更新算法(DUAL)计算出一个无环的最佳路径;最佳路径称之为successor(继承者);EIGRP也会计算出一个fessiblesuccessor(可行的继承者)来作为successor的备份;
AD(通告的距离):邻居路由器到达目标的距离
FD(可行的距离):本路由器到达目标的距离
FD最小的路径作为最佳路径。
成为可行继承者的条件:可行继承者的AD值一定要小于继承者的FD值。
3、将继承者注入到路由表中。可行的继承者仍然放在拓扑表中。
EIGRP的配置步骤
1、在全局模式下
router eigrp as-number(100)
no auto-summary
2、在路由模式下发布直连网段
network network-number wildcard(通配符)
通配符:0代表精确匹配一个数值;1代表忽略一个数值。
检验EIGRP的配置:
show ip route eigrp (查看EIGRP的路由表)
show ip eigrp neighbor(查看EIGRP的邻居)
show ip eigrp topology(查看EIGRP的拓扑表)
show ip protocol(查看目前运行的路由协议和协议的相关参数)
debug ip eigrp packets
debug ip eigrp events
OSPF协议
它是一个链路状态协议,是一个开放的标准路由协议,所有厂家都支持这个协议,采用了SPF(最短路径优先算法);OSPF路由器相互之间通告的是LSA(链路状态通告)而不是路由表;
link(链路)=路由器的接口
state(状态)= 对路由器接口的描述(接口的类型、接口的IP地址和掩码、接口的状态等信息)以及邻居之间的关系;
LSA会泛洪到区域(area)中的所有OSPF路由器上。通过收集区域中的所有LSA信息形成拓扑表;
通过SPF算法计算出到达所有目标的最佳路径。(最短路径树或者路由表)
OSPF COST的计算公式 cost=10^8/bandwidth(bps) 这个公式仅适合于100M以及100M以下带宽的链路。
OSPF支持等价负载均衡,最大6条,默认4条。
OSPF只有在链路发生变化时才发生更新;或者每半个小时泛洪一次(将整个链路状态数据库(LSDB)发送给邻居)。
OSPF的配置步骤:
1、在全局模式下 router ospf process-id(1)
邻居之间的进程号可以不一致,也可以在一个路由器启用OSPF的多个进程,但是多个进程之间会独自产生自己的数据库,因此不推荐启用多个进程。
2、在路由模式下发布直连网段
network network-number wildcard area area-id(0) OSPF的backbone区域就是AREA0.
检查OSPF的配置
show ip route ospf(查看OSPF的路由)
show ip ospf neighbor(查看OSPF的邻居)
show ip ospf database(查看OSPF的拓扑表)
show ip protocol(查看OSPF协议的相关参数)
show ip ospf interface(查看OSPF的接口相关参数)
router-id:在OSPF中,要建立邻居关系,需要每个路由器提供一个身份标识;身份标识通常是路由器上的一个接口IP地址;缺省情况下,最大的物理接口地址成为router-id;如果路由器上存在loopback(回环)接口,那最大的loopback接口地址作为router-id;
loopback接口是一个软件接口,它具有很好的稳定性,不会受到物理接口影响;一般企业用这个接口地址作为路由器的管理地址。
debug ip ospf packets
debug ip ospf events
创建loopback接口:在全局下 interface loopback number(0)
不要忘记将loopback接口放入到路由协议中。
router-id在选举的时候没有强制性;一旦选举完毕,即使你添加了loopback接口,loopback接口也不会立即成为router-id;一定要等到下次选举的时候(下次重新建立邻居关系的时候);
通过ACL(访问控制列表)来管理IP流量
ACL:就是流量进出的管理规则;
ACL常见的应用:1、允许或者拒绝通过路由器的数据包;
2、允许或拒绝vty线路的访问。
其他的应用:1、NAT(网络地址转换);2、队列技术;3、按需拨号;4、IPSEC VPN等。
ACL的类型:1、标准的ACL,它只检查源地址,只过滤整个IP协议族;不能够允许或拒绝某个特定的流量;2、扩展的ACL,它会检查源和目标地址,可以允许或拒绝某个特定的应用程序。
标明一个ACL:1、数字化的ACL 1-99代表了标准的IP ACL;100-199代表了扩展的IP ACL;1300-1999也是表示标准ACL;2000-2699也用于表述扩展的ACL。2、命名的ACL;
ipaccess-list standard ccna
ipaccess-list extended ccna
ACL使用通配符来匹配IP地址;
特殊的通配符:1、匹配一个主机 0.0.0.0= host
实例:access-list10 permit 172.16.1.1 0.0.0.0
access-list 10 permit host 172.16.1.1
2、匹配任意一个主机 0.0.0.0 255.255.255.255=any
实例:access-list10 permit 0.0.0.0 255.255.255.255
access-list 10 permit any
3、匹配连续的网段 172.16.16.0-172.16.23.0/24
access-list 10 per 172.16.16.0 0.0.7.255
ACL的配置规则:
1、ACL的名称或者数字标明了什么样的协议将被过滤;
2、每一个接口、每一个协议、每一个方向只能使用一个ACL;
3、ACL是按照语句的顺序来进行测试;
4、最严格的语句要放在ACL的最上面;(先配置的就在上面,后配置的在下面)
5、ACL的最后有一个隐含的DENY ANY语句,因此ACL至少应该有一个permit语句;
6、在应用ACL到接口之前,首先应该先创建ACL;
7、ACL只能过滤通过路由器的流量,不能过滤路由器自身产生的流量;
8、ACL不能插入或删除某一条语句,除了命名的ACL可以删除一条语句,但是仍然不能插入一条语句。
标准ACL的配置
step1:在全局模式下创建ACL
access-list acl-number permit|denynetwork-number wildcard
实例:access-list 10 permit 172.16.1.0 0.0.0.255
step2: 将ACL应用到接口上
interface f0/1
ip access-group acl-number in|out
实例:ip access-group 10 in
扩展ACL的配置
step1:在全局下创建ACL;
access-list access-list-number {permit | deny} protocol(协议) source source-wildcard [operatorport] destination destination-wildcard [operator port] [established] [log]
protocol:IP、TCP、UDP、ICMP、OSPF、EIGRP等
operator:EQ(等于)、NEQ(不等于)、GT(大于)、LT(小于)、range(范围)
port(端口号)
established:只用于TCP流量,只匹配已经完成3次握手的流量;(防范TCP SYN攻击)
log:产生日志消息。
实例:access-list 100 permit tcp 192.168.1.0 0.0.0.255any eq www
access-list 100 permit udp 192.168.2.0 0.0.0.255any range 21000 35000
step2:在接口上应用ACL;
interface f0/1
ipaccess-group acl-number in|out
实例:ipaccess-group 100 in
命名的ACL配置:
step1:在全局下配置命名的ACL;
ipaccess-list standard|extended name
实例:ip access-list extended ccna
step2:在ACL的子模式下配置规则:
1)如果是标准的,
permit|deny network-number wildcard
2)如果是扩展的;
{permit | deny} protocol(协议) source source-wildcard [operator port] destinationdestination-wildcard [operator port] [established] [log]
access-list 100 per tcp host 192.168.1.1 any eq 80
ipaccess-list extended ccna
permit tcp host 192.168.1.1 any eq 80
对ACL做一个描述
实例:access-list 10 remarktest-for-ccna
限制VTY线路的访问:
我们需要在所有的VTY线路上应用ACL;
实例:access-list 10 per host172.16.1.1
line vty 0 4
access-class acl-number in
实例;access-class 10 in
检查ACL:
show access-list show ipaccess-list
show ip int f0/1
NAT(网络地址转换):为了解决公网地址匮乏的问题;提供了一定的安全性。
NAT的术语:1、inside local(内部本地地址)用于公司内部通讯的地址,通常是私有地址;2、inside global(内部全局地址)公司出去访问公网时使用的地址,通常是ISP分配给公司的公网地址;3、outside local(外部本地地址) 外部用户访问公司内部资源使用的地址;通常这个地址是公网地址,有些特殊情况是公司特定分配的私有地址。4、outsideglobal(外部全局地址):通常是公网地址,公司访问的外部服务器的公网地址。
PAT(端口地址转换):它允许将多个内部本地地址转换成一个内部全局地址。
配置NAT的方法:1、静态NAT配置,管理员手工指定,适合于转换内部对外提供服务的服务器;2、动态的NAT配置,一般适合于内部员工去访问外部公网服务器的时候;
静态NAT配置的方法:
1、在全局下 ip nat inside source static inside_local_addressinside_global_address
ipnat inside source static 172.16.1.3 202.1.1.3
2、指定内部接口和外部接口
interface f0/0
ipnat inside(连接内网的接口)
intf0/1
ipnat outside(连接外网的接口)
动态NAT的配置
1、定义一个ACL来确定哪些内部流量需要被转换出去;
access-list access-list-number permit protocol source source-wildcarddestination destination-wildcard
实例:access-list 10 per 172.16.1.0 0.0.0.255
2、定义一个地址池用于转化内部地址
ipnat pool pool-name start-ip end-ip netmask mask/prefix-length length
实例:ip local pool ccna 202.1.1.2202.1.1.6 netmask 255.255.255.248/prefix-length 29
3、将ACL和地址池关联
ipnat inside source list acl-number pool pool-name [overload]
实例: ip nat inside source list 10pool ccna overload
4、指定内部接口和外部接口
interface f0/0
ip nat inside
interface f0/1
ip nat outside
PAT的配置步骤
1、定义一个ACL来确定哪些内部流量需要被转换出去;
access-list access-list-number permit protocol source source-wildcarddestination destination-wildcard
实例:access-list 10 per 172.16.1.0 0.0.0.255
2、进行端口转换
ipnat inside source list acl-number interface interface-name overload
实例:ip nat inside source list 10interface f0/1 overload
3、指定内部接口和外部接口
interface f0/0
ip nat inside
interface f0/1
ip nat outside
内部对外提供服务的服务器使用静态的NAT,内部员工出去访问Internet时,通常用PAT技术。
检查NAT的配置
show ip nat translation(查看NAT转化的信息表,包括静态的和动态的转换)
show ip nat statistics(查看NAT的配置信息和统计信息)
debug ip nat(查看NAT转换的动态过程)
clear ip nat translation *(清除所有的动态NAT转换)
WAN(广域网):用于连接远程站点的线路,通常是指专线网络;选择广域网连接方式的时候要考虑用户的需求、费用和高可用性。
WAN常见的连接方式(物理层):专线(DDN、SDH等);电路交换网络(ISDN);包交换网络(fram-relay、ATM);
WAN2层常见的使用协议:HDLC、PPP、frame-relay、ATM(异步传输模式)。
点到点的连接线路:1、HDLC,是串口的默认封装协议;2、PPP协议:它分为了两层;一层是LCP,用于控制2层链路的建立;一层是NCP,用于将网络层的数据包封装成帧;
LCP的可选项配置:认证、多链路捆绑、压缩、错误探测等功能;
PPP的认证包括两种协议:PAP(pppauthentication protocol)和CHAP(挑战握手认证协议);PAP在认证的时候是以明文密码认证的;CHAP在认证的时候密码是加密的;
PPP CHAP的配置步骤:
1、在全局下配置主机名;
hostname name
2、在全局下配置用户名和口令
username name(对方的主机名) password password(密码)
username r2 password cisco
3、在接口模式下
interface serail 0/0
encapsulation ppp
ppp authentication chap
debug ppp authentication(验证PPP认证是否成功)
帧中继(frame-relay)
帧中继是一个面向连接的2层封装协议,它使用VC(虚电路)提供连接;
VC(虚电路):它是由软件通过统计复用技术将一个物理线路逻辑划分而成的,一个物理线路可以最多划分成1024个VC;
local loop(本地环路):CPE(客户端的路由器)和ISP帧中继交换机之间的链路;在这个本地环路上,ISP会给用户提供一个或者多个VC;
VC可以分为PVC(永久虚电路)和SVC(交换虚电路);现在一般用PVC;我们使用DLCI(数据链路控制标识符)去标明某一个具体的VC;DLCI值存在于本地环路上,只有本地意义。
LMI(本地管理接口):用于跟中心局交换机通讯的协议,它可以知道当前本地环路有哪些VC,以及这些VC的状态(active、inactive、deleted);LMI的标准:1、CISCO;2、Q.933标准(国际标准);3、ANSI(美国标准)。
CIR(承诺信息速率):电信服务商保障的带宽;
bc(承诺超出速率):在线路不是很忙的情况下,允许的超出的速率;
BC=CIR*TC(125ms)
BE(突发超出速率):在线路非常空闲的情况下,突发的速率。
MINCIR(最小承诺信息速率):在线路满负荷的情况下,最低的带宽保障值。
帧中继的拓扑类型:全网状的、部分网状的、星型的。
帧中继的地址映射:使用INVERSE-ARP(反向ARP)解析DLCI号对应的IP地址;使用本地的DLCI号解析远程对端的IP地址。
帧中继映射的配置
1、在物理接口下封装帧中继
interface s1/0
encapsulation frame-relay
ip address
frame-relay map ip 对方的ip地址 本地的DLCI号 broadcast
实例:frame map ip 10.1.12.2 102 broadcast
2、帧中继的子接口分为两种:一种是点到点子接口;一种是多点子接口;只有点到点子接口才能解决水平分割的问题;
1、在物理接口下封装帧中继;
interface s1/0
encapsulation frame-relay
no shut
2、在全局下创建点到点子接口
interface s1/0.1 point-to-point
ip address 10.1.12.1255.255.255.0
frame-relay interface-dlci 本地的DLCI号
实例:frame-relay interface-dlci 102
在这种接口下只支持这个映射的命令。
3、在创建多点子接口:
interface s1/0.2 multipoint
ip address 10.1.13.1255.255.255.0
frame-relay map ip 对方的ip地址 本地的DLCI号 broadcast
多点子接口连接多个远程站点,需要每一个远程站点做一个映射。
本文出自 “将来是高手” 博客,请务必保留此出处http://jlsgs.blog.51cto.com/7966754/1677001
原文地址:http://jlsgs.blog.51cto.com/7966754/1677001