网络设备配置技术

1、网络设备配置技术一、交换机、路由器的几种配置模式及模式转换1用户模式：登录到交换机路由器时会自动进入用户模 式提示符为switchname。在该模式下只能够查看相关信息，对IOS 的运行不产生任何影响。2特权模式：用户模式下，键入“enable即可进入特权模式， 提示符为switchname#。在该模式下可以完成任何操作，包括检查配 置文件、重启交换机等，它是命令集在用户模式下的超集。3全局配置模式：在特权模式下键入“config terminal 命令 进入全局配置模式，提示符为switchnameconfig#。4局部（子）配置模式：在全局模式下键入特定配置命令如 interface et

2、hernet0/1等，即可进入以太网端口等局部配置模式，提 示符为“switchnameconfig-xx。该模式用于单独对组件、端口、 进程等进展配置。闻户模式enabledisable图1几种配置模式的相互转换二、根本配置（1）口令与主机名在全局配置模式下：hostname hostname：设置设备名称usernaeme username password password :设置访问用户及密码明文password password:设置登录密码enable secret secret :配置超级用户加密口令（2）IP地址与网关设置在接口配置子模式下：ip address ip_addr

3、essmask 设置端口ip default-gateway ip_address:设置默认网关（3）端口配置参数Speed 10|100|auto :设置端口速率，10Mb/s、100Mb/s、自 适应Duplex auto|full|half :设置端口通信方式，有自适应、全双 工、半双工三种三、VLAN的根本配置划分方式、配置步骤和根本配置命令VLAN即虚拟局域网，是网络设备上连接的不收物理位置限制的 用户的一个逻辑组。VLAN创立了不限于物理段的单一播送域，并可 以像一个子网一样对待该播送域。VLAN的划分方式：基于端口静态划分，基于MAC，基于网络协议，基于IP组播，按策略划分，非用

4、户定义或非用户授权划分。四、VTP协议与STP协议概念及配置命令VLAN 中继协议VLAN Trunking Protocol,VTP是指在同一域 的交换机与交换机或者交换机与路由器之间的物理链路上传输多 个VLAN信息的技术，通过VTP可以保证整个网络VLAN信息的一致。VTP有三种工作模式：效劳模式server、客户模式(client)和透 明模式transparent。交换机默认工作在VTP效劳模式。Trunk :在路由与交换领域，Trunk是指VLAN的端口聚合，用来 在不同交换机之间进展连接，以保证在跨越多个交换机上建立的同一 个VLAN的成员能够互相通信。生成树协议STP是一个数据

5、链路层的协议，其主要功能是 允许有多条交换或桥接的路径，而不会对网络造成产生环路延时的影 响。通常交换机默认的STP优先级为32768。五、路由选择协议的相关概念及配置命令路由器可以用两种方式进展路由选择，即静态和动态。动态选择 协议又有距离矢量RIP、IGMP、链路状态路由OSPF和混合路 由EIGRP三种类型。路由器的设置方式：Console端口是虚拟操作台端口，通过该端口可直接实施配置操 作。AUX端口是用于远程调试的端口，一般连接在MODEM 上，设 备安装维护人员通过远程拨号进展设备连接，实施设备的配置。TTY端口是异步端口，仅用于访问效劳器的异步接口。VTY端口接虚拟终端线，通过路

6、由器的同步端口接入Telnet等连 接。静态路由设置命令：ip route目的网络地址子网掩码下一跳地址|接口 管理距离tag tag permanent注：permanent指定此路由即使该端口关闭也不 被移除六、路由器网络地址转换NAT的配置命令网络地址转换(NAT)具有将内部私有地址转换为外部合法的全局地址 的功能，可以分为静态地址转换、动态地址转换和复用地址三种。静态地址转换是将本地地址与合法地址一对一的转换，且需要制定和 哪个合法地址进展转换。动态地址转换也是将本地地址与合法地址一对一的转换，但是动态地 址转换是从合法地址池中动态的选择一个未使用的地址进展转换。复用地址转换也是一种动

7、态地址转换，它允许多个本地地址共用一个 合法地址，指申请少量的IP地址，但经常拥有多个合法地址。七、路由访问控制列表的配置标准ACL/扩散ACL、ACL的应 用是路由器和交换机接口的指令列表，用来控制端口进出的数据包。Access-list用于创立访问规那么。仓U立标准access-list normal | special listnumber1|2 (permit|denysource-addr source-mask访问normal、special:制定规那么参加普通时间段、特殊时间段控制listnumberl :是1-99之间的一个数值，表示规那么是标准列表访问列表listnumber

8、2是100-199之间的一个数值，表示规那么是扩展访问控制列表permit/deny:表示允许或制止满足条件的报文通过。仓U立access-list normal|special listnumber2 (permit|deny扩展protocol source-addr source-mask operator port1port2访问dest-addr dest-mask operator port1port2|icmp-type列表icmp-code logoperator:可选，寺于(eq)、大于(gt)、小于(lt)、不寺于(neq) 和介于(range),如果操作符为range,那

9、么后面需要跟两个端 口。icmp-type可选，在协议为ICMP时出现，可以是关键字预定 值(如echo-relay)或是0-255之间的一数值。icmp-code:在协议为ICMP且没有选择预定值时出现，代表 ICMP码，是0-255之间的一数值。log可选，表示如果报文符合条件，那么需要做日志。删除no access-list (normal|special (all|listnumber subitem访问listnumber为删除的规那么序号，是1-199之间的数。列表subitem可选，指定删除序号为listnumber的访问列表中规 那么的序号去除clear access-list

10、 counters listnumber统计listnumber为可选项，如不指定，怎删除所有规那么的统计信息信息|口心、八、PSTN公共交换网络public switched telephone network ,其应用可分为 两种类型，一种是同等级别机构之间以按需拨号DDR的方式实现 互联；另一种是ISP以拨号上网的方式为用户提供远程访问效劳的功全局设置命令:任务命令设置用户名和密码username username password password设置用户的IP地址池ip local pool (default | pool-name low-ip-addr high-ip-add指定

11、地址池的工作方式ip address-pool dhcp-proxy-client | local根本接口设置命令:任务命令启动异步口的路由功能async default routing启动异步口的PPP 工作async mode (dedicated | interactive设置用户的IP地址peer default ip address (ip-addr | dhcp | pool pool-name设置IP地址与ethernetO 一样ip unnumbered ethernetODDR(dial-on-demand routing), xxx九、ISDN综合数字业务网ISDN由数字和

12、传输效劳两局部组成，一般由局 提供这种效劳，根本速率接口提供2B+D信道，主速率接口PRI 提供23B+D，总速率可达1.544Mb/s。任务命令设置ISDN交换类型isdn switch-type switch-type接口设置Interface bri 0设置PPP封装Encapsulation ppp设置协议地址和的映 射dialer map protocol next-hop-addr name hostname broadcast dial-string启动PPP多连接Ppp multilink设置启动另一个B通道 的阀值Dialer load-threshold load显示ISD

13、N的有关信息Showisdn(active|history|memory|service|status ds1 | interface-type number |timers十、X.25X.25定义了数据通信的网络，每个分配给用户的X.25端口都有一个X.121地址。设置X.25封装encapsulation x25 dce设置X.121地址x25 address x.121-addr设置远方站点的地址映射x25 map protocol addr protocol2 addr2 x121-addr option设置最大的双向虚电路数x25 htc circuit-number去除x.25虚电

14、路clear x.25-vc显示接口及x.25的相关信息show interfaces serial; show x25 interface;show x25 map; show x25 vc十-一、PPPPPP提供了跨过同步和异步电路实现路由器到路由器和主机到 网络的连接；CHAP(Challenge Handsome authentication protocol)和 PAP (password authentication protocol)通常被用于在 PPP 封装的串 行线路上提供平安性认证。设置DCE端线路速度:clockrate speed十二、FR(帧中继)一种用于统计复用分组

15、交换数据通信的接口协议，分组长度可变，传 输速度为2.408Mb/s或更高，没有流量控制也没有纠错。任务命令设置frame-relay 封装Encapsulation frame-relay iteff设置 frame-relay lmi 类型frame-relay lmi-type (ansi |cisco |q933a)设置子接口interfaceinterface-typein-num.subint-nummultipoint|point-to-point映射协议地址与DLCIframe-relay map protocol protocol-addr dlci broadcast设置F

16、R DLCI编号frame-relay interface-dlci dlci broadcast十三、VPNVPN是通过公用网络internet将分布在不同地点的终端连接而成的专 用网络。十四、防火墙防火墙是一项协助确保信息平安的设备，会依照特定的规那么，允许 或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架 设在一般硬件上的一套软件用户模式：pixfirewall特权模式：键入enable后，pixfirewall#配置模式：键入 config terminal 后，pixfirewall(config)#监视模式：PIX防火墙在开机或重启过程中，按住escape键或发 送一个

17、“break字符，进入监视模式，这里可以更新OS映像和口令 恢复，monitor。firewall(config)#firewall enable | disable:启动或关闭防火墙常规配置(1)配置防火墙的名字，并指定平安级别nameifFirewall(config)# nameif ethernet0 outside security0Firewall(config)# nameif ethernet0 inside security100Firewall(config)# nameif ethernet0 dmz security50外部接口平安级别是0，内部接口平安级别是100。平

18、安级别取值范围1-99，数字越大平安级别越高。添加新的接口：Firewall(config)# nameif pix/intf3 security40配置以太网端口参数(interface)Firewall(config)# interface ethernet0 auto #自适应网卡类型Firewall(config)# interface ethernet0 100full #100M/bs 全双工通 信Firewall(config)# interface ethernet0 100full shutdown#关 闭此端 口配置内外网卡的IP地址Firewall(config)# ip

19、 address outside 248Firewall(config)# ip address inside 网络地址转换(1)指定要进展转换的内部地址(nat)nat (if-name) nat-id local-ip netmaskif-name:表示内网接口的名字，如insidenat-id:表示全局地址池，使它与其相应的global命令匹配local-ip:表示内网主机的IP地址，如表示内网所有主机可 以对外访问指定外部地址范围globalGlobal (if-name) nat-id ip_addr-ip_addr netmask global_mask设置指向内网和外网的静态路由

20、routeRoute (if-name) 0 0 gateway_ip metricMetric:表示到gateway的跳数，通常缺省值是1配置静态IP地址翻译staticStatic (internal_if_name , external_if_name) outside_ip_addr inside_ip_addr访问控制技术firewall default 命令firewall default (permit | deny):表示缺省过滤属性设置为“允许、“制止ip access-group 命令no ip access-group listnumber (in | out)listn

21、umber为规那么序号，1-199in表示规那么用于过滤从接口上接收来的报文out表示规那么用于过滤从接口上转发的报文no可以删除相应的设置和与之相关的命令(4) settr 命令Settr begin-time end-time #用于设定或取消特殊时间段例如设置时间段为8:30-12:00, 14:00-17:00,那么Firewall(config)# settr 8:30 1200 14:00 17:00(4) show access-list 命令show access-list all | listnumber | interface interface-name # 显 示指定的

22、规那么，同时可查看规那么过滤报文的情况 show firewall 命令show firewall #显示防火墙状态conduit管道命令conduit命令用来允许数据流从具有较低平安级别的接口流向具 有较高平安级别的接口。conduit permit|deny global_ip port-port protocol foreign_ip netmaskglobal_ip指的是先前由global或static定义的全局ip地址 foreign_ip:表示可访问global_ip的夕卜部ip。port:效劳所用的端口，如使用80, smtp使用25等。例如：Firewall(config)#

23、conduit permit icmp any any # 允许 icmp 消息 向内部和外部通过 配置fixup协议Fixup是启用、制止或改变一个效劳或协议通过pix防火墙。例 如:no fixup protocol ftp 21 #启用 ftp 协议，并指定 ftp 的端 口号为21.(8)设置 Telnettelnet local-ip netmasklocal-ip是被授权通过telnet访问到pix的ip地址，如果不设置此项，那么pix的配置方式只能由console进展。有关命令状态信息识别RIProuter rip :启用 RIP 协议version 1|2 :指定 RIP 版本networtk net