路由器
路由器的主机名配置
Router > enable
Router # config terminal
Router (config) # hostname Router2500
Router2500 (config) # exit
Router2500 #
路由器工作时间的配置
Router #clock set hh:mm:ss date month year或 Router #clock set hh:mm:ss month date year
路由器以太口IP的配置
Router2500 >enable
Router 2500# config terminal
Router 2500(config) # interface ethernet 0
Router2500(config-if) # ip address 192.168.0.1 255.255.255.0
Router2500(config-if) # ip address 192.168.0.2 255.255.255.0 secondary
Router2500(config-if) # no shutdown
Router2500(config-if) # end
Router2500 # show interface e0 (show interface ethernet 0)
Router2500 # ping 192.168.0.1
路由器串口IP的配置
DTC串口配置命令序列:
Router2500 >enable
Router 2500# config terminal
Router 2500(config) # interface serial 0
Router2500(config-if) # ip address 172.16.0.1 255.255.0.0
Router2500(config-if) # no shutdown
Router2500(config-if) # end
Router2500 # show interface s0
Router2500 # ping 172.16.0.1
DCE串口配置命令序列:
Router2500 >enable
Router 2500# config terminal
Router 2500(config) # interface serial 0
Router2500(config-if) # ip address 172.16.0.1 255.255.0.0
Router2500(config-if) #clock rate 64000
Router2500(config-if) # no shutdown
Router2500(config-if) # end
Router2500 # show interface s0
Router2500 # ping 172.16.0.1
路由器口令设置
设置控制台访问口令
Router2500 >enable
Router2500 # config terminal
Router2500 (config) # line console 0
Router2500 (config-line) # login
Router2500 (config-line) # password cisco
Router2500 (config-line) # end
Router2500 # exit
设置远程主机Telnet访问口令
RouterB >enable
RouterB # config terminal
RouterB (config) # line vty 0 4
RouterB (config-line) # login
RouterB (config-line) # password cisco
RouterB (config-line) # end
RouterB # exit
设置特权模式访问口令
Router2500 >enable
Router2500 # config terminal
Router2500 (config) # enable password cisco (密码明文显示)
Router2500 (config) # end
Router2500 # show running-config
Router2500 # config terminal
Router2500 # no enable password
Router2500 (config) # enable secret cisco
Router2500 # show running-config
Router2500 (config) # no enable secret
保存路由器配置
将RAM中的当前配置信息(运行的配置)存放到NVRAM中作为下一次的启动配置.
Router2500 # copy running-config startup-config
Router2500 # write memory
Router2500 # show running-config ( 显示当前配置)
Router2500 # show startup-config ( 显示启动配置)
清除NVRAM中的内容
Router2500 # erase startup-config
对于非直连路由,下一跳为相邻路由器的IP地址
a. 2621A Configuration
Router>en
Router#config t
Router (config)#hostname 2621A
2621A(Config)#interface fa0/0
2621A(Config-if)#ip address 172.16.10.1 255.255.255.0
2621A(Config-if)#no shut
b. 2501A Configuration
Router>en
Router#config t
Router(config) # hostname 2501A
2501A(config)# int e0
2501A(config-if)# ip address 172.16.10.2 255.255.255.0
2501A(config-if)# no shut
2501A(config-if)# int s0
2501A(config-if)# ip address 172.16.20.1 255.255.255.0
2501A(config-if)# no shut
c. 2501B Configuration
Router>en
Router#config t
Router(config)#hostname 2501B
2501B(config)#int e0
2501B(config-if)#ip address 172.16.30.1 255.255.255.0
2501B(config-if)#no shut
2501B(config-if)#int s0
2501B(config-if)#ip address 172.16.20.2 255.255.255.0
2501B(config-if)#clock rate 64000
2501B(config-if)#no shut
2501B(config-if)#int s1
2501B(config-if)#ip address 172.16.40.1 255.255.255.0
2501B(config-if)#clock rate 64000
2501B(config-if)#no shut
d. 2501C Configuration
Router>en
Router#config t
Router(config)# hostname 2501C
2501C(config)# int e0
2501C(config-if)# ip address 172.16.50.1 255.255.255.0
2501C(config-if)# no shut
2501C(config-if)# int s0
2501C(config-if)# ip address 172.16.40.2 255.255.255.0
2501C(config-if)# no shut
设置静态路由
a. 2621A
The following networks must be configured in the routing table:
172.16.20.0
172.16.30.0
172.16.40.0
172.16.50.0
2621A(Config)# ip route 172.16.20.0 255.255.255.0 172.16.10.2
2621A(Config)# ip route 172.16.30.0 255.255.255.0 172.16.10.2
2621A(Config)# ip route 172.16.40.0 255.255.255.0 172.16.10.2
2621A(Config)# ip route 172.16.50.0 255.255.255.0 172.16.10.2
b. 2501A
The following static routes must be configured on the 2501A router:
172.16.30.0
172.16.40.0
172.16.50.0
2501A(Config)# ip route 172.16.30.0 255.255.255.0 172.16.20.2
2501A(Config)# ip route 172.16.40.0 255.255.255.0 172.16.20.2
2501A(Config)# ip route 172.16.50.0 255.255.255.0 172.16.20.2
c. 2501B
Only two routers need to be added:
172.16.10.0
172.16.50.0.
2501B(Config)#ip route 172.16.10.0 255.255.255.0 172.16.20.1
2501B(Config)#ip route 172.16.50.0 255.255.255.0 172.16.40.2
d. 2501C
The routing table needs to know about networks
172.16.10.0
172.16.20.0
172.16.30.0
2501C(Config)# ip route 172.16.10.0 255.255.255.0 172.16.40.1
2501C(Config)# ip route 172.16.20.0 255.255.255.0 172.16.40.1
2501C(Config)# ip route 172.16.30.0 255.255.255.0 172.16.40.1
RIP协议的配置
a. 2621A
2621A# config t
2621A(config)# no ip route 172.16.20.0 255.255.255.0 172.16.10.2
2621A(config)# no ip route 172.16.30.0 255.255.255.0 172.16.10.2
2621A(config)# no ip route 172.16.40.0 255.255.255.0 172.16.10.2
2621A(config)# no ip route 172.16.50.0 255.255.255.0 172.16.10.2
2621A(config)# router rip
2621A(config-router)# network 172.16.0.0
2621A(config-router)#^Z
2621A#
b. 2501A
2501A# config t
2501A(config)# no ip route 172.16.30.0 255.255.255.0 172.16.20.2
2501A(config)# no ip route 172.16.40.0 255.255.255.0 172.16.20.2
2501A(config)# no ip route 172.16.50.0 255.255.255.0 172.16.20.2
2501A(config)# router rip
2501A(config-router)# network 172.16.0.0
2501A(config-router)#^Z
2501A#
c. 2501B
2501B# config t
2501B(config)# no ip route 172.16.10.0 255.255.255.0 172.16.20.1
2501B(config)# no ip route 172.16.50.0 255.255.255.0 172.16.40.2
2501B(config)# router rip
2501B(config-router)# network 172.16.0.0
2501B(config-router)# ^Z
2501B#
d. 2501C
RouterC# config t
RouterC(config)# no ip route 0.0.0.0 0.0.0.0 172.16.40.1
RouterC(config)# router rip
RouterC(config-router)# network 172.16.0.0
RouterC(config-router)# ^Z
RouterC#
IGRP协议的配置
a.2621A
2621A# config t
2621A(config)# router igrp 10
2621A(config-router)#network 172.16.0.0
2621A(config-router)#^Z
2621A#
b. 2501A
2501A# config t
2501A(config)# router igrp 10
2501A(config-router)# netw 172.16.0.0
2501A(config-router)# ^Z
2501A#
c.2501B
2501B#config t
2501B(config)# router igrp 10
2501B(config-router)# netw 172.16.0.0
2501B(config-router)#^Z
2501B#
d. 2501C
2501C# config t
2501C(config)# router igrp 10
2501C(config-router)# netw 172.16.0.0
2501C(config-router)#^Z
RouterC#
功能:拒绝来自于172.16.40子网的所有主机访问Server
Router # config t
Router(config) # access-list 10 deny 172.16.40.0 0.0.0.255
Router(config) # access-list 10 permit any
( or Router(config) # access-list 10 permit 0.0.0.0 255.255.255.255)
Router(config) # interface ethernet 0
Router(config-if) # ip access-group 10 out
功能:通过标准ACL限制主机172.16.10.3对路由器的Telnet访问
RouterA(config)# access-list 50 permit host 172.16.10.3
RouterA(config)#line vty 0 4
RouterA(config-line)#access-class 50 in
功能:在R2上用扩展列表禁止R3 telnet、FTP到R1
R2 # config t
R2(config) # access-list 120 deny tcp 10.2.23.0 0.0.0.255 host 10.1.12.1 eq 23
R2(config) # access-list 120 deny tcp 10.2.23.0 0.0.0.255 172.16.1.0 0.0.0.255 eq 23
R2(config) # access-list 120 deny tcp 10.2.23.0 0.0.0.255 host 10.1.12.1 eq 21
R2(config) #access-list 120 permit ip any any
R2(config) # interface serial 0
R2(config-if) # ip access-group 120 out
1)限制主机192.168.0.222到网络131.107.0.0/16的ICMP流量
RB(config)#access 101 deny icmp host 192.168.0.222 131.107.0.0 0.0.255.255
RB(config)#access 101 permit ip any any
RB(config)#int e0
RB(config-if)#ip access-group 101 in
RB(config-if)#no ip access-group 101 in
2)限制网络192.168.0.0/24到所有网络的ICMP流量
RB(config)#access 102 deny icmp 192.168.0.0 0.0.0.255 any
RB(config)#access 102 permit ip any any
RB(config)#int e0
RB(config-if)#ip access-group 102 in
RB(config-if)#no ip access-group 102 in
3)只允许主机192.168.0.99通过Telnet访问131.107.0.0/16网段
RB(config)#access 103 permit tcp host 192.168.0.99 131.107.0.0 0.0.255.255 eq 23
RB(config)#int e0
RB(config-if)#ip access-group 103 in
RB(config-if)#no ip access-group 103 in
4)使所有其他网段只能访问192.168.0.0/24的WWW、FTP、TELNET服务
RB(config)#access 104 permit tcp any 192.168.0.0 0.0.0.255 eq www
RB(config)#access 104 permit tcp any 192.168.0.0 0.0.0.255 eq ftp
RB(config)#access 104 permit tcp any 192.168.0.0 0.0.0.255 eq telnet
交换机
交换机的主机名配置
Switch (config) # hostname hostname
工作在第二层的交换机IP地址配置
可以在全局配置模式下执行如下的命令,为管理VLAN(默认情况下是VLAN1分配IP地址。
Switch (config) # interface vlan vlan-id
Switch (config-if) # ip address ip-address netmask
Switch (config-if) # ip default-gateway ip-address
Switch (config-if) # no shutdown
第3层端口的配置
Switch(config)# interface type mod/num
Switch(config-if)# no switchport
Switch(config-if)# ip address ip-address mask [secondary]
SVI端口的配置
Switch(config)# interface vlan vlan-id
Switch(config-if)# ip address ip-address mask [secondary]
交换机的口令安全性配置
Switch (config)# line con 0
Switch (config-line)# password password
Switch (config-line)# login
Switch (config-l)# line vty 0 15
Switch (config-line)# password password
Switch (config-line)# login
配置VTP模式
Switch (config)# vtp mode {server | client | transparent }
Switch (config)# vtp password password
配置VTP版本
Switch (config)# vtp version {1 | 2 }
端口安全性的配置
端口上激活保护功能
Switch (config- if )# switchport port-sercurity
接口配置命令
Switch (config- if )# switchport port-sercurity maximum max-address
端口安全性的配置
Switch (config- if )# switchport port-sercurity maximum max-address
必须确定使用端口保护的接口
Switch (config- if )# switchport port-sercurity violation {shutdown | restrict | protect }
查看MAC地址表
Switch # show mac-address-table
设置永久地址
Switch(config)#mac-address-table permanent [MAC Address] [type slot/port]
设置限制性静态地址
Switch(config)#mac-address-table restricted static [mac address] [type slot/port] [source interface list]
删除表项
Switch#clear mac-address-table [dynamic|permanent|restricted]
认证端口
Switch (config-if)# description description-string
使用接口配置命令“no description”移除一个描述。
端口速度
Switch (config-if)# speed {10 | 100 | auto}
端口模式
Switch (config-if)# duplex {auto | full | half }
改变交换机转发类型
查看
Switch # show port system
改变
Switch (config) # switching-mode {fragment-free|store-and-forward}
网络安全
步骤1:保证系统安全。实现对设备和/或系统的安全防护,目的是防止对网络系统的非授权访问:
a> “身份认证系统”,比如一次口令,允许经过认证和授权的用户进行访问;
b> “加密”可以对数据流进行隐蔽;
c> “防火墙”可以允许或拒绝特定的数据流,从而只允许合法的数据流和服务;
d> “给漏洞打补丁”是指采用一些修复手段或措施来防止攻击者利用已知的漏洞;
e> “物理安全”是非常重要的,但是在保护系统安全中经常被忽略。
步骤2:监视网络,防止对公司安全策略的违背行为和攻击。
步骤3:测试当前所采用的安全防卫措施的有效性。
步骤4: 不断地完善公司的安全策略。收集并分析来自监视和测试阶段的信息,不断进行安全改进。
实验
实验一:VLAN的配置和实现
基本命令
Switch>enable //由用户模式进入特权模式
Switch# //特权模式提示符
Switch# configure terminal //进入全局配置模式
Switch(config)# //全局配置模式提示符
Switch(config)#interface e0/1 //进入接口配置模式, e0/1用于识别交换机的端口,其表示形式为端口类型 模块/端口
Switch(config-if)# //接口配置模式提示符
Switch(config-if)# ctrl+z //直接返回到特权模式
创建VLAN
Switch(config)#vlan 10 name VLAN10 //建立VLAN,vlan ID=10
将端口划入相应VLAN
Switch (config-if)#interface e0/1 //进入交换机1号端口的配置模式
Switch (config-if)#vlan-membership static 10 //将端口1划入VLAN10
Switch (config-if)#interface e0/2 //进入交换机2号端口的配置模式
Switch (config-if)#vlan-membership static 20 //将端口2划入VLAN20
实验五、动态路由协议RIP和IGRP的配置
基本配置命令
hostname
int s0
no shutdown
ip address
clockrate 64000 //设置时钟频率
RIP 相关命令
router rip //进入RIP协议的配置模式
network xxx.xxx.xxx.xxx //设定要启用RIP协议的网络号
查看命令
show ip route //检查路由表
clear ip route //清除路由表
debug ip rip //显示路由器发送和连接的RIP更新信息
IGRP 相关命令
Router igrp 24 //进入IGRP协议的配置模式,IGRP网络的自治系统号为24
network xxx.xxx.xxx.xxx //设定要启用IGRP协议的网络号
variance 5 //设置负载均衡
bandwidth 256 //设置带宽为256Kb/s (也可以为其他数字,但相连端口之间必须相同)
查看命令
ping xxx.xxx.xxx.xxx //其中ip地址为网段号
show ip route
how ip protocols //查看定时器
debug ip routing //开启ip路由的debug命令
实验六、开放最短路径优先协议OSPF的配置
回路配置
int loopback 0 //进入回环接口的配置方式
ip addres xxxx xxxx //配置回环接口的ip地址,子网掩码要指向这个唯一的ip地址
启动OSPF
router ospf 1 //进入ospf协议配置模式,设定osfp进程号
network xxxx xxxx //指定osfp协议网络号和区域号
查看OSPF运行状态
show ip protocols
show ip ospf
show ip ospf nei
show ip ospf neigh detail
show ip ospf int fa0/0
debug ip ospf events //查看其邻居发生了什么
改变hello时间参数
int fa0/0
ip ospf hello-interval 5 //将hello更新时间设为5s
ip ospf dead-interval 20 //将dead间隔设为20s
系统配置保存
copy run start
实验七、访问控制列表ACL的实现
access-list access-list-number //定义访问列表
ip access-group access-list-number in/out //定义访问表作用于接口上的方向
ip access-list standard TEST
//将其命名为TEST其中在进行扩展ACL列表的定义时可以有protocol、source port等
本文来源:https://www.2haoxitong.net/k/doc/9c514a6958fafab069dc0253.html
文档为doc格式