思科交換機路由基本配置命令

下面資料是本人在網上所轉,希望能給你學習帶來幫助.同時也感謝創(chuàng)作者!二、命令狀態(tài)

1.router>

路由器處于用戶命令狀態(tài)，這時用戶可以看路由器的連接狀態(tài)，訪問其它網絡和主機，但不能看到和更改路由器的設置內容。

2.router#

在router>提示符下鍵入enable,路由器進入特權命令狀態(tài)router#，這時不但可以執(zhí)行所有的用戶命令，還可以看到和更改路由器的設置內容。

3.router(config)#

在router#提示符下鍵入configureterminal,出現(xiàn)提示符router(config)#，此時路由器處于全局設置狀態(tài)，這時可以設置路由器的全局參數(shù)。

4.router(config-if)#;router(config-line)#;router(config-router)#;…

路由器處于局部設置狀態(tài)，這時可以設置路由器某個局部的參數(shù)。

5.>

路由器處于RXBOOT狀態(tài)，在開機后60秒內按ctrl-break可進入此狀態(tài)，這時路由器不能完成正常的功能，只能進行軟件升級和手工引導。

6.設置對話狀態(tài)

這是一臺新路由器開機時自動進入的狀態(tài)，在特權命令狀態(tài)使用SETUP命令也可進入此狀態(tài)，這時可通過對話方式對路由器進行設置。

返回目錄

三、設置對話過程

1.顯示提示信息

2.全局參數(shù)的設置

3.接口參數(shù)的設置

4.顯示結果

利用設置對話過程可以防止手工輸入命令的煩瑣，但它還不能完全代替手工設置，一些特殊的設置還必須通過手工輸入的方式完成。

進入設置對話過程后，路由器首先會顯示一些提示信息：

---SystemConfigurationDialog---

Atanypointyoumayenteraquestionmark'?'forhelp.

Usectrl-ctoabortconfigurationdialogatanyprompt.

Defaultsettingsareinsquarebrackets'[]'.

這是告訴你在設置對話過程中的任何地方都可以鍵入“？”得到系統(tǒng)的幫助，按ctrl-c可以退出設置過程，缺省設置將顯示在‘[]’中。然后路由器會問是否進入設置對話：

Wouldyouliketoentertheinitialconfigurationdialog?[yes]:

如果按y或回車，路由器就會進入設置對話過程。首先你可以看到各端口當前的狀況：

First,wouldyouliketoseethecurrentinterfacesummary?[yes]:

AnyinterfacelistedwithOK?value"NO"doesnothaveavalidconfiguration

InterfaceIP-AddressOK?MethodStatusProtocol

Ethernet0unassignedNOunsetupup

Serial0unassignedNOunsetupup

……………

然后，路由器就開始全局參數(shù)的設置：

Configuringglobalparameters:

1．設置路由器名：

Enterhostname[Router]:

2．設置進入特權狀態(tài)的密文(secret)，此密文在設置以后不會以明文方式顯示：

Theenablesecretisaone-waycryptographicsecretused

insteadoftheenablepasswordwhenitexists.

Enterenablesecret:cisco

3．設置進入特權狀態(tài)的密碼(password)，此密碼只在沒有密文時起作用，并且在設置以后會以明文方式顯示：

Theenablepasswordisusedwhenthereisnoenablesecret

andwhenusingoldersoftwareandsomebootimages.

Enterenablepassword:pass

4．設置虛擬終端訪問時的密碼：

Entervirtualterminalpassword:cisco

5．詢問是否要設置路由器支持的各種網絡協(xié)議：

ConfigureSNMPNetworkManagement?[yes]:

ConfigureDECnet?[no]:

ConfigureAppleTalk?[no]:

ConfigureIPX?[no]:

ConfigureIP?[yes]:

ConfigureIGRProuting?[yes]:

ConfigureRIProuting?[no]:

………

6．如果配置的是撥號訪問效勞器，系統(tǒng)還會設置異步口的參數(shù)：

ConfigureAsynclines?[yes]:

1)設置線路的最高速度：

Asynclinespeed[9600]:

2)是否使用硬件流控：

ConfigureforHWflowcontrol?[yes]:

3)是否設置modem：

Configureformodems?[yes/no]:yes

4)是否使用默認的modem命令：

Configurefordefaultchatscript?[yes]:

5)是否設置異步口的PPP參數(shù)：

ConfigureforDial-inIPSLIP/PPPaccess?[no]:yes

6)是否使用動態(tài)IP地址：

ConfigureforDynamicIPaddresses?[yes]:

7)是否使用缺省IP地址：

ConfigureDefaultIPaddresses?[no]:yes

8)是否使用TCP頭壓縮：

ConfigureforTCPHeaderCompression?[yes]:

9)是否在異步口上使用路由表更新：

Configureforroutingupdatesonasynclinks?[no]:y

10)是否設置異步口上的其它協(xié)議。

接下來，系統(tǒng)會對每個接口進行參數(shù)的設置。

1．ConfiguringinterfaceEthernet0:

1)是否使用此接口：

Isthisinterfaceinuse?[yes]:

2)是否設置此接口的IP參數(shù)：

ConfigureIPonthisinterface?[yes]:

3)設置接口的IP地址：

IPaddressforthisinterface:

4)設置接口的IP子網掩碼：

Numberofbitsinsubnetfield[0]:

ClassCnetworkis,0subnetbits;maskis/24

在設置完所有接口的參數(shù)后，系統(tǒng)會把整個設置對話過程的結果顯示出來：

Thefollowingconfigurationcommandscriptwascreated:

hostnameRouter

enablesecret5$1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1

enablepasswordpass

…………

請注意在enablesecret后面顯示的是亂碼，而enablepassword后面顯示的是設置的內容。

顯示結束后，系統(tǒng)會問是否使用這個設置：

Usethisconfiguration?[yes/no]:yes

如果答復yes，系統(tǒng)就會把設置的結果存入路由器的NVRAM中，然后結束設置對話過程，使路由器開始正常的工作。

返回目錄

四、常用命令

1.幫助

在IOS操作中，無論任何狀態(tài)和位置，都可以鍵入“？”得到系統(tǒng)的幫助。

2.改變命令狀態(tài)

任務命令

進入特權命令狀態(tài)enable

退出特權命令狀態(tài)disable

進入設置對話狀態(tài)setup

進入全局設置狀態(tài)configterminal

退出全局設置狀態(tài)end

進入端口設置狀態(tài)interfacetypeslot/number

進入子端口設置狀態(tài)interfacetypenumber.subinterface[point-to-point|multipoint]

進入線路設置狀態(tài)linetypeslot/number

進入路由設置狀態(tài)routerprotocol

退出局部設置狀態(tài)exit

3.顯示命令

任務命令

查看版本及引導信息showversion

查看運行設置showrunning-config

查看開機設置showstartup-config

顯示端口信息showinterfacetypeslot/number

顯示路由信息showiprouter

4.拷貝命令

用于IOS及CONFIG的備份和升級

5.網絡命令

任務命令

登錄遠程主機telnethostname|IPaddress

網絡偵測pinghostname|IPaddress

路由跟蹤tracehostname|IPaddress

6.根本設置命令

任務命令

全局設置configterminal

設置訪問用戶及密碼usernameusernamepasswordpassword

設置特權密碼enablesecretpassword

設置路由器名hostnamename

設置靜態(tài)路由iproutedestinationsubnet-masknext-hop

啟動IP路由iprouting

啟動IPX路由ipxrouting

端口設置interfacetypeslot/number

設置IP地址ipaddressaddresssubnet-mask

設置IPX網絡ipxnetworknetwork

激活端口noshutdown

物理線路設置linetypenumber

啟動登錄進程login[local|tacacsserver]

設置登錄密碼passwordpassword五、配置IP尋址

1.IP地址分類

IP地址分為網絡地址和主機地址二個局部，A類地址前8位為網絡地址，后24位為主機地址，B類地址16位為網絡地址，后16位為主機地址，C類地址前24位為網絡地址，后8位為主機地址，網絡地址范圍如下表所示：

種類網絡地址范圍

.0到有效和保存

B到有效和保存

C到有效和保存

D到55用于多點播送

E到54保存55用于播送

2.分配接口IP地址

任務命令

接口設置interfacetypeslot/number

為接口設置IP地址ipaddressip-addressmask

掩瑪〔mask〕用于識別IP地址中的網絡地址位數(shù)，IP地址〔ip-address〕和掩碼〔mask〕相與即得到網絡地址。

3.使用可變長的子網掩碼

通過使用可變長的子網掩碼可以讓位于不同接口的同一網絡編號的網絡使用不同的掩碼，這樣可以節(jié)省IP地址，充分利用有效的IP地址空間。

如以下圖所示：

Router1和Router2的E0端口均使用了C類地址作為網絡地址，Router1的E0的網絡地址為28,掩碼為92,Router2的E0的網絡地址為4,掩碼為92，這樣就將一個C類網絡地址分配給了二個網，既劃分了二個子網，起到了節(jié)約地址的作用。

4.使用網絡地址翻譯〔NAT〕

NAT〔NetworkAddressTranslation〕起到將內部私有地址翻譯成外部合法的全局地址的功能，它使得不具有合法IP地址的用戶可以通過NAT訪問到外部Internet.

當建立內部網的時候,建議使用以下地址組用于主機,這些地址是由NetworkWorkingGroup(RFC1918)保存用于私有網絡地址分配的.

lClassA:to54

lClassB:to54

lClassC:to54

命令描述如下：

任務命令

定義一個標準訪問列表access-listaccess-list-numberpermitsource[source-wildcard]

定義一個全局地址池ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}[typerotary]

建立動態(tài)地址翻譯ipnatinsidesource{list{access-list-number|name}poolname[overload]|staticlocal-ipglobal-ip}

指定內部和外部端口ipnat{inside|outside}

如以下圖所示，

路由器的Ethernet0端口為inside端口，即此端口連接內部網絡，并且此端口所連接的網絡應該被翻譯，Serial0端口為outside端口，其擁有合法IP地址〔由NIC或效勞提供商所分配的合法的IP地址〕,來自網絡/24的主機將從IP地址池c2501中選擇一個地址作為自己的合法地址，經由Serial0口訪問Internet。命令ipnatinsidesourcelist2poolc2501overload中的參數(shù)overload，將允許多個內部地址使用相同的全局地址〔一個合法IP地址，它是由NIC或效勞提供商所分配的地址〕。命令ipnatpoolc25012netmask92定義了全局地址的范圍。

設置如下：

ipnatpoolc25012netmask92

interfaceEthernet0

ipaddress

ipnatinside

!

interfaceSerial0

ipaddress52

ipnatoutside

!

iprouteSerial0

access-list2permit55

!DynamicNAT

!

ipnatinsidesourcelist2poolc2501overload

lineconsole0

exec-timeout00

!

linevty04

end六、配置靜態(tài)路由

通過配置靜態(tài)路由，用戶可以人為地指定對某一網絡訪問時所要經過的路徑,在網絡結構比擬簡單，且一般到達某一網絡所經過的路徑唯一的情況下采用靜態(tài)路由。

任務命令

建立靜態(tài)路由iprouteprefixmask{address|interface}[distance][tagtag][permanent]

Prefix:所要到達的目的網絡

mask:子網掩碼

address:下一個跳的IP地址，即相鄰路由器的端口地址。

interface:本地網絡接口

distance:管理距離〔可選〕

tagtag:tag值〔可選〕

permanent:指定此路由即使該端口關掉也不被移掉。

以下在Router1上設置了訪問4/26這個網下一跳地址為,即當有目的地址屬于4/26的網絡范圍的數(shù)據(jù)報，應將其路由到地址為的相鄰路由器。在Router3上設置了訪問28/26及/30這二個網下一跳地址為5。由于在Router1上端口Serial0地址為，/30這個網屬于直連的網，已經存在訪問/30的路徑，所以不需要在Router1上添加靜態(tài)路由。

Router1:

iproute492

Router3:

iproute28925

iproute525

同時由于路由器Router3除了與路由器Router2相連外，不再與其他路由器相連，所以也可以為它賦予一條默認路由以代替以上的二條靜態(tài)路由，

iproute.05

即只要沒有在路由表里找到去特定目的地址的路徑,那么數(shù)據(jù)均被路由到地址為5的相鄰路由器。

返回目錄

一、HDLC

HDLC是CISCO路由器使用的缺省協(xié)議，一臺新路由器在未指定封裝協(xié)議時默認使用HDLC封裝。

1.有關命令

端口設置

任務命令

設置HDLC封裝encapsulationhdlc

設置DCE端線路速度clockratespeed

復位一個硬件接口clearinterfaceserialunit

顯示接口狀態(tài)showinterfacesserial[unit]1

注:1.以下給出一個顯示Cisco同步串口狀態(tài)的例子.

Router#showinterfaceserial0

Serial0isup,lineprotocolisup

HardwareisMCISerial

Internetaddressis03,subnetmaskis

MTU1500bytes,BW1544Kbit,DLY20000usec,rely255/255,load1/255

EncapsulationHDLC,loopbacknotset,keepaliveset(10sec)

Lastinput0:00:07,output0:00:00,outputhangnever

Outputqueue0/40,0drops;inputqueue0/75,0drops

Fiveminuteinputrate0bits/sec,0packets/sec

Fiveminuteoutputrate0bits/sec,0packets/sec

16263packetsinput,1347238bytes,0nobuffer

Received13983broadcasts,0runts,0giants

2inputerrors,0CRC,0frame,0overrun,0ignored,2abort

22146packetsoutput,2383680bytes,0underruns

0outputerrors,0collisions,2interfaceresets,0restarts

1carriertransitions

2.舉例

設置如下：

Router1:

interfaceSerial0

ipaddress

clockrate1000000

Router2:

interfaceSerial0

ipaddress

!

3.舉例使用E1線路實現(xiàn)多個64K專線連接.

相關命令:

任務命令

進入controller配置模式controller{t1|e1}number

選擇幀類型framing{crc4|no-crc4}

選擇line-code類型linecode{ami|b8zs|hdb3}

建立邏輯通道組與時隙的映射channel-groupnumbertimeslotsrange1

顯示controllers接口狀態(tài)showcontrollerse1[slot/port]2

注:1.當鏈路為T1時,channel-group編號為0-23,Timeslot范圍1-24;當鏈路為E1時,channel-group編號為0-30,Timeslot范圍1-31.

2.使用showcontrollerse1觀察controller狀態(tài),以下為幀類型為crc4時controllers正常的狀態(tài).

Router#showcontrollerse1

e10/0isup.

AppliquetypeisChannelizedE1-unbalanced

FramingisCRC4,LineCodeisHDB3Noalarmsdetected.

Dataincurrentinterval(725secondselapsed):

0LineCodeViolations,0PathCodeViolations

0SlipSecs,0FrLossSecs,0LineErrSecs,0DegradedMins

0ErroredSecs,0BurstyErrSecs,0SeverelyErrSecs,0UnavailSecs

TotalData(last24hours)0LineCodeViolations,0PathCodeViolations,

0SlipSecs,0FrLossSecs,0LineErrSecs,0DegradedMins,

0ErroredSecs,0BurstyErrSecs,0SeverelyErrSecs,0UnavailSecs

以下例子為E1連接3條64K專線,幀類型為NO-CRC4,非平衡鏈路,路由器具體設置如下:

shanxi#writ

Buildingconfiguration...

Currentconfiguration:

!

version11.2

noserviceudp-small-servers

noservicetcp-small-servers

!

hostnameshanxi

!

enablesecret5$1$XN08$Ttr8nfLoP9.2RgZhcBzkk/

enablepasswordshanxi

!

!

ipsubnet-zero

!

controllerE10

framingNO-CRC4

channel-group0timeslots1

channel-group1timeslots2

channel-group2timeslots3

!

interfaceEthernet0

ipaddress

media-type10BaseT

!

interfaceEthernet1

noipaddress

shutdown

!

interfaceSerial0:0

ipaddress52

noipmroute-cache

!

interfaceSerial0:1

ipaddress52

noipmroute-cache

!

interfaceSerial0:2

ipaddress52

noipmroute-cache

!

noipclassless

iprouteSerial0:0

iprouteSerial0:1

iprouteSerial0:2

!

linecon0

lineaux0

linevty04

passwordshanxi

login

!

end路由協(xié)議：

一、RIP協(xié)議

RIP(RoutinginformationProtocol)是應用較早、使用較普遍的內部網關協(xié)議(InteriorGatewayProtocol,簡稱IGP)，適用于小型同類網絡，是典型的距離向量(distance-vector)協(xié)議。文檔見RFC1058、RFC1723。

RIP通過播送UDP報文來交換路由信息，每30秒發(fā)送一次路由信息更新。RIP提供跳躍計數(shù)(hopcount)作為尺度來衡量路由距離，跳躍計數(shù)是一個包到達目標所必須經過的路由器的數(shù)目。如果到相同目標有二個不等速或不同帶寬的路由器，但跳躍計數(shù)相同，那么RIP認為兩個路由是等距離的。RIP最多支持的跳數(shù)為15，即在源和目的網間所要經過的最多路由器的數(shù)目為15，跳數(shù)16表示不可達。

1.有關命令

任務命令

指定使用RIP協(xié)議routerrip

指定RIP版本version{1|2}1

指定與該路由器相連的網絡networknetwork

注：1.Cisco的RIP版本2支持驗證、密鑰管理、路由匯總、無類域間路由(CIDR)和變長子網掩碼(VLSMs)

2.舉例

Router1:

routerrip

version2

network

network

！

相關調試命令：

showipprotocol

showiproute

返回目錄

二、IGRP協(xié)議

IGRP(InteriorGatewayRoutingProtocol)是一種動態(tài)距離向量路由協(xié)議，它由Cisco公司八十年代中期設計。使用組合用戶配置尺度，包括延遲、帶寬、可靠性和負載。

缺省情況下，IGRP每90秒發(fā)送一次路由更新播送，在3個更新周期內(即270秒)，沒有從路由中的第一個路由器接收到更新，那么宣布路由不可訪問。在7個更新周期即630秒后，CiscoIOS軟件從路由表中去除路由。

1.有關命令

任務命令

指定使用RIP協(xié)議routerigrpautonomous-system1

指定與該路由器相連的網絡networknetwork

指定與該路由器相鄰的節(jié)點地址neighborip-address

注：1、autonomous-system可以隨意建立，并非實際意義上的autonomous-system,但運行IGRP的路由器要想交換路由更新信息其autonomous-system需相同。

2．舉例

Router1:

routerigrp200

network

network

!

三、OSPF協(xié)議

OSPF(OpenShortestPathFirst)是一個內部網關協(xié)議(InteriorGatewayProtocol,簡稱IGP)，用于在單一自治系統(tǒng)(autonomoussystem,AS)內決策路由。與RIP相對，OSPF是鏈路狀態(tài)路有協(xié)議，而RIP是距離向量路由協(xié)議。

鏈路是路由器接口的另一種說法，因此OSPF也稱為接口狀態(tài)路由協(xié)議。OSPF通過路由器之間通告網絡接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫，生成最短路徑樹，每個OSPF路由器使用這些最短路徑構造路由表。

文檔見RFC2178。

1．有關命令

全局設置

任務命令

指定使用OSPF協(xié)議routerospfprocess-id1

指定與該路由器相連的網絡networkaddresswildcard-maskareaarea-id2

指定與該路由器相鄰的節(jié)點地址neighborip-address

注：1、OSPF路由進程process-id必須指定范圍在1-65535，多個OSPF進程可以在同一個路由器上配置，但最好不這樣做。多個OSPF進程需要多個OSPF數(shù)據(jù)庫的副本，必須運行多個最短路徑算法的副本。process-id只在路由器內部起作用，不同路由器的process-id可以不同。

2、wildcard-mask是子網掩碼的反碼,網絡區(qū)域IDarea-id在0-4294967295內的十進制數(shù)，也可以是帶有IP地址格式的x.x.x.x。當網絡區(qū)域ID為0或.0時為主干域。不同網絡區(qū)域的路由器通過主干域學習路由信息。

2．根本配置舉例:

Router1:

interfaceethernet0

ipaddress2992

!

interfaceserial0

ipaddress52

!

routerospf100

networkarea0

network283area1

!

Router2:

interfaceethernet0

ipaddress592

!

interfaceserial0

ipaddress52

!

routerospf200

networkarea0

network43area2

!

Router3:

interfaceethernet0

ipaddress3092

!

routerospf300

network283area1

!

Router4:

interfaceethernet0

ipaddress692

!

routerospf400

network43area1

!

相關調試命令：

debugipospfevents

debugipospfpacket

showipospf

showipospfdatabase

showipospfinterface

showipospfneighbor

showiproute

3.使用身份驗證

為了平安的原因，我們可以在相同OSPF區(qū)域的路由器上啟用身份驗證的功能，只有經過身份驗證的同一區(qū)域的路由器才能互相通告路由信息。

在默認情況下OSPF不使用區(qū)域驗證。通過兩種方法可啟用身份驗證功能，純文本身份驗證和消息摘要(md5)身份驗證。純文本身份驗證傳送的身份驗證口令為純文本，它會被網絡探測器確定，所以不平安，不建議使用。而消息摘要(md5)身份驗證在傳輸身份驗證口令前，要對口令進行加密，所以一般建議使用此種方法進行身份驗證。

使用身份驗證時，區(qū)域內所有的路由器接口必須使用相同的身份驗證方法。為起用身份驗證，必須在路由器接口配置模式下，為區(qū)域的每個路由器接口配置口令。

任務命令

指定身份驗證areaarea-idauthentication[message-digest]

使用純文本身份驗證ipospfauthentication-keypassword

使用消息摘要(md5)身份驗證ipospfmessage-digest-keykeyidmd5key

以以下舉兩種驗證設置的例如，例如的網絡分布及地址分配環(huán)境與以上根本配置舉例相同，只是在Router1和Router2的區(qū)域0上使用了身份驗證的功能。:

例1.使用純文本身份驗證

Router1:

interfaceethernet0

ipaddress2992

!

interfaceserial0

ipaddress52

ipospfauthentication-keycisco

!

routerospf100

networkarea0

network283area1

area0authentication

!

Router2:

interfaceethernet0

ipaddress592

!

interfaceserial0

ipaddress52

ipospfauthentication-keycisco

!

routerospf200

networkarea0

network43area2

area0authentication

!

例2.消息摘要(md5)身份驗證：

Router1:

interfaceethernet0

ipaddress2992

!

interfaceserial0

ipaddress52

ipospfmessage-digest-key1md5cisco

!

routerospf100

networkarea0

network283area1

area0authenticationmessage-digest

!

Router2:

interfaceethernet0

ipaddress592

!

interfaceserial0

ipaddress52

ipospfmessage-digest-key1md5cisco

!

routerospf200

networkarea0

network43area2

area0authenticationmessage-digest

!

相關調試命令：

debugipospfadj

debugipospfevents

返回目錄

四、重新分配路由

在實際工作中，我們會遇到使用多個IP路由協(xié)議的網絡。為了使整個網絡正常地工作，必須在多個路由協(xié)議之間進行成功的路由再分配。

以以下舉了OSPF與RIP之間重新分配路由的設置范例：

Router1的Serial0端口和Router2的Serial0端口運行OSPF，在Router1的Ethernet0端口運行RIP2，Router3運行RIP2，Router2有指向Router4的/24網的靜態(tài)路由，Router4使用默認靜態(tài)路由。需要在Router1和Router3之間重新分配OSPF和RIP路由，在Router2上重新分配靜態(tài)路由和直連的路由。

范例所涉及的命令

任務命令

重新分配直連的路由redistributeconnected

重新分配靜態(tài)路由redistributestatic

重新分配ospf路由redistributeospfprocess-idmetricmetric-value

重新分配rip路由redistributeripmetricmetric-value

Router1:

interfaceethernet0

ipaddress

!

interfaceserial0

ipaddress52

!

routerospf100

redistributeripmetric10

networkarea0

!

routerrip

version2

redistributeospf100metric1

network

!

Router2:

interfaceloopback1

ipaddress

!

interfaceethernet0

ipaddress

!

interfaceserial0

ipaddress52

!

routerospf200

redistributeconnectedsubnet

redistributestaticsubnet

networkarea0

!

iproute

！

Router3:

interfaceethernet0

ipaddress

!

routerrip

version2

network

!

Router4:

interfaceethernet0

ipaddress

!

interfaceethernet1

ipaddress

!

iproute

!

五、IPX協(xié)議設置

IPX協(xié)議與IP協(xié)議是兩種不同的網絡層協(xié)議，它們的路由協(xié)議也不一樣，IPX的路由協(xié)議不象IP的路由協(xié)議那樣豐富，所以設置起來比擬簡單。但IPX協(xié)議在以太網上運行時必須指定封裝形式。

1．有關命令

啟動IPX路由ipxrouting

設置IPX網絡及以太網封裝形式ipxnetworknetwork[encapsulationencapsulation-type]1

指定路由協(xié)議，默認為RIPipxrouter{eigrpautonomous-system-number|nlsp[tag]|rip}

注：1.network范圍是1到FFFFFFFD.

IPX封裝類型列表

接口類型封裝類型IPX幀類型

Ethernetnovell-ether(默認)arpasapsnapEthernet_802.3Ethernet_IIEthernet_802.2Ethernet_Snap

TokenRingsap(默認)snapToken-RingToken-Ring_Snap

FDDIsnap(默認)sapnovell-fddiFddi_SnapFddi_802.2Fddi_Raw

舉例：

在此例中，WAN的IPX網絡為3a00,Router1所連接的局域網IPX網絡號為2a00,在此局域網有一臺Novell效勞器，IPX網絡號也是2a00,路由器接口的IPX網絡號必須與在同一網絡的Novell效勞器上設置的IPX網絡號相同。路由器通過監(jiān)聽SAP來建立的效勞及自己的網絡地址表，并每60秒發(fā)送一次自己的SAP表。

Router1:

ipxrouting

interfaceethernet0

ipxnetwork2a00encapsulationsap

!

interfaceserial0

ipxnetwork3a00

!

ipxroutereigrp10

network3a00

network2a00

!

Router2:

ipxrouting

interfaceethernet0

ipxnetwork2b00encapsulationsap

!

interfaceserial0

ipxnetwork3a00

!

ipxroutereigrp10

network2b00

network3a00

!

相關調試命令：

debugipxpacket

debugipxrouting

debugipxsap

debugipxspoof

debugipxspx

showipxeigrpinterfaces

showipxeigrpneighbors

showipxeigrptopology

showipxinterface

showipxroute

showipxservers

showipxspx-spoof

五、IPX協(xié)議設置

IPX協(xié)議與IP協(xié)議是兩種不同的網絡層協(xié)議，它們的路由協(xié)議也不一樣，IPX的路由協(xié)議不象IP的路由協(xié)議那樣豐富，所以設置起來比擬簡單。但IPX協(xié)議在以太網上運行時必須指定封裝形式。

1．有關命令

啟動IPX路由ipxrouting

設置IPX網絡及以太網封裝形式ipxnetworknetwork[encapsulationencapsulation-type]1

指定路由協(xié)議，默認為RIPipxrouter{eigrpautonomous-system-number|nlsp[tag]|rip}

注：1.network范圍是1到FFFFFFFD.

IPX封裝類型列表

接口類型封裝類型IPX幀類型

Ethernetnovell-ether(默認)arpasapsnapEthernet_802.3Ethernet_IIEthernet_802.2Ethernet_Snap

TokenRingsap(默認)snapToken-RingToken-Ring_Snap

FDDIsnap(默認)sapnovell-fddiFddi_SnapFddi_802.2Fddi_Raw

舉例：

在此例中，WAN的IPX網絡為3a00,Router1所連接的局域網IPX網絡號為2a00,在此局域網有一臺Novell效勞器，IPX網絡號也是2a00,路由器接口的IPX網絡號必須與在同一網絡的Novell效勞器上設置的IPX網絡號相同。路由器通過監(jiān)聽SAP來建立的效勞及自己的網絡地址表，并每60秒發(fā)送一次自己的SAP表。

Router1:

ipxrouting

interfaceethernet0

ipxnetwork2a00encapsulationsap

!

interfaceserial0

ipxnetwork3a00

!

ipxroutereigrp10

network3a00

network2a00

!

Router2:

ipxrouting

interfaceethernet0

ipxnetwork2b00encapsulationsap

!

interfaceserial0

ipxnetwork3a00

!

ipxroutereigrp10

network2b00

network3a00

!

相關調試命令：

debugipxpacket

debugipxrouting

debugipxsap

debugipxspoof

debugipxspx

showipxeigrpinterfaces

showipxeigrpneighbors

showipxeigrptopology

showipxinterface

showipxroute

showipxservers

showipxspx-spoof

4、、、章效勞質量及訪問控制1、Cisco路由器口令恢復

當Cisco路由器的口令被錯誤修改或忘記時，可以按如下步驟進行操作：

1.開機時按<Ctrl+Break>使進入ＲOM監(jiān)控狀態(tài)

2.按o命令讀取配置存放器的原始值

>o一般值為0x2102

3.作如下設置，使忽略NVRAM引導

>o/r0x**4*Cisco2500系列命令

rommon1>confreg0x**4*Cisco2600、1600系列命令

一般正常值為0x2102

4.重新啟動路由器

>I

rommon2>reset

5.在“Setup”模式，對所有問題答復No

6.進入特權模式

Router>enable

7.下載NVRAM

Router>configurememory

8.恢復原始配置存放器值并激活所有端口

“hostname”#configureterminal

“hostname”(config)#config-register0x“value”

“hostname”(config)#interfacexx

“hostname”(config)#noshutdown

9.查詢并記錄喪失的口令

“hostname”#showconfiguration(showstartup-config)

10.修改口令

“hostname”#configureterminal

“hostname”(config)lineconsole0

“hostname”(config-line)#login

“hostname”(config-line)#passwordxxxxxxxxx

“hostname”(config-line)#<ctrl+z>

“hostname”(config-line)#writememory(copyrunning-configstartup-config)

2、IP地址分配

地址類網絡主機網絡地址范圍標準二進制掩碼

ＡN.H.H.H1-12611111111000000000000000000000000

ＢN.N.H.H128-19111111111111111110000000000000000

ＣN.N.N.H192-22311111111111111111111111100000000

子網位個數(shù)子網掩碼子網數(shù)主機數(shù)

B類地址

2216382

368198

4144894

5302846

6621822

7126518

8254254

928518126

1092182262

1124284630

1240489414

134881986

1452163822

C類地址

292262

324630

4401414

548306

652622NAT的實現(xiàn)方案多種多樣，本文以思科2611路由器為平臺，通過一個實例描述了NAT的應用。

思科路由器上NAT通常有3種應用方式，分別適用于不同的需求：

1.靜態(tài)地址轉換：適用于企業(yè)內部效勞器向企業(yè)網外部提供效勞〔如WEB，F(xiàn)TP等〕，需要建立效勞器內部地址到固定合法地址的靜態(tài)映射。

2.動態(tài)地址轉換：建立一種內外部地址的動態(tài)轉換機制，常適用于租用的地址數(shù)量較多的情況；企業(yè)可以根據(jù)訪問需求，建立多個地址池，綁定到不同的部門。這樣既增強了管理的粒度，又簡化了排錯的過程。

3.端口地址復用：適用于地址數(shù)很少，多個用戶需要同時訪問互聯(lián)網的情況。

如上圖所示，企業(yè)從ISP獲得6個有效IP地址〔28~35,掩碼為48，128和135為網絡地址和播送地址，不可用〕，通過一臺2611路由器接入互聯(lián)網。內部網絡根據(jù)職能分成假設干子網，并期望效勞器子網對外提供WEB效勞，財務部門使用獨立的地址池接入互聯(lián)網，其它部門共用剩余的地址池。

具體配置步驟如下：

1.選擇E0作為內部接口，S0作為外部接口

interfacee0

ipaddress

ipnatinside/*配置e0為內部接口*/

interfaces0

ipaddress2948

ipnatoutside/*配置s0為外部接口*/

2.為各部門配置地址池〔finance－財務部門；other－其它部門〕：

ipnatpoolfinance3131netmask48

ipnatpoolother3234netmask48

3.用訪問控制列表檢查數(shù)據(jù)包的源地址并映射到不同的地址池

ipnatinsidesourcelist1poolfinanceoverload/*overload－啟用端口復用*/

ipnatinsidesourcelist2poolother/*動態(tài)地址轉換*/

4.定義訪問控制列表

access-list1permit.255

access-list2permit55

5.建立靜態(tài)地址轉換，并開放WEB端口(TCP80)

ipnatinsidesourcestatictcp803080

6.設置缺省路由

iproutes0

經過上述配置后，互聯(lián)網上的主機可以通過30:80訪問到企業(yè)內部WEB效勞器；財務部門的接入請求將映射到31；其它部門的接入請求被映射到31~134地址段。

至此，一個企業(yè)NAT互聯(lián)網接入方案就完成了。典型以太網絡建立多個VLAN實例：典型以太網絡建立多個VLAN

所謂典型局域網就是指由一臺具備三層交換功能的核心交換機接幾臺分支交換機〔不一定具備三層交換能力〕。我們假設核心交換機名稱為：com；分支交換機分別為：par1、par2、par3，分別通過port1的光線模塊與核心交換機相連；并且假設vlan名稱分別為counter、market、managing……需要做的工作：

1、設置vtpdomain〔核心、分支交換機上都設置〕

2、配置中繼〔核心、分支交換機上都設置〕

3、創(chuàng)立vlan〔在server上設置〕

4、將交換機端口劃入vlan

5、配置三層交換

1、設置vtpdomain。vtpdomain稱為管理域。交換vtp更新信息的所有交換機必須配置為相同的管理域。如果所有的交換機都以中繼線相連，那么只要在核心交換機上設置一個管理域，網絡上所有的交換機都參加該域，這樣管理域里所有的交換機就能夠了解彼此的vlan列表。

com#vlandatabase進入vlan配置模式

com(vlan)#vtpdomaincom設置vtp管理域名稱com

com(vlan)#vtpserver設置交換機為效勞器模式

par1#vlandatabase進入vlan配置模式

par1(vlan)#vtpdomaincom設置vtp管理域名稱com

par1(vlan)#vtpclient設置交換機為客戶端模式

par2#vlandatabase進入vlan配置模式

par2(vlan)#vtpdomaincom設置vtp管理域名稱com

par2(vlan)#vtpclient設置交換機為客戶端模式

par3#vlandatabase進入vlan配置模式

par3(vlan)#vtpdomaincom設置vtp管理域名稱com

par3(vlan)#vtpclient設置交換機為客戶端模式注意：這里設置核心交換機為server模式是指允許在該交換機上創(chuàng)立、修改、刪除vlan及其他一些對整個vtp域的配置參數(shù)，同步本vtp域中其他交換機傳遞來的最新的vlan信息；client模式是指本交換機不能創(chuàng)立、刪除、修改vlan配置，也不能在nvram中存儲vlan配置，但可同步由本vtp域中其他交換機傳遞來的vlan信息。

2、配置中繼為了保證管理域能夠覆蓋所有的分支交換機，必須配置中繼。cisco交換機能夠支持任何介質作為中繼線，為了實現(xiàn)中繼可使用其特有的isl標簽。isl〔inter－switchlink〕是一個在交換機之間、交換機與路由器之間及交換機與效勞器之間傳遞多個vlan信息及vlan數(shù)據(jù)流的協(xié)議，通過在交換機直接相連的端口配置isl封裝，即可跨越交換機進行整個網絡的vlan分配和進行配置。

在核心交換機端配置如下：

com(config)#interfacegigabitethernet2/1

com(config-if)#switchport

com(config-if)#switchporttrunkencapsulationisl配置中繼協(xié)議

com(config-if)#switchportmodetrunk

com(config)#interfacegigabitethernet2/2

com(config-if)#switchport

com(config-if)#switchporttrunkencapsulationisl配置中繼協(xié)議

com(config-if)#switchportmodetrunk

com(config)#interfacegigabitethernet2/3

com(config-if)#switchport

com(config-if)#switchporttrunkencapsulationisl配置中繼協(xié)議

com(config-if)#switchportmodetrunk

在分支交換機端配置如下：

par1(config)#interfacegigabitethernet0/1

par1(config-if)#switchportmodetrunk

par2(config)#interfacegigabitethernet0/1

par2(config-if)#switchportmodetrunk

par3(config)#interfacegigabitethernet0/1

par3(config-if)#switchportmodetrunk……此時，管理域算是設置完畢了。

3、創(chuàng)立vlan一旦建立了管理域，就可以創(chuàng)立vlan了。

com(vlan)#vlan10namecounter創(chuàng)立了一個編號為10名字為counter的vlan

com(vlan)#vlan11namemarket創(chuàng)立了一個編號為11名字為market的vlan

com(vlan)#vlan12namemanaging創(chuàng)立了一個編號為12名字為managing的vlan

注意，這里的vlan是在核心交換機上建立的，其實，只要是在管理域中的任何一臺vtp屬性為server的交換機上建立vlan，它就會通過vtp通告整個管理域中的所有的交換機。但如果要將具體的交換機端口劃入某個vlan，就必須在該端口所屬的交換機上進行設置。

4、將交換機端口劃入vlan

例如，要將par1、par2、par3……分支交換機的端口1劃入countervlan，端口2劃入marketvlan，端口3劃入managingvlan……

par1(config)#interfacefastethernet0/1配置端口1

par1(config-if)#switchportaccessvlan10歸屬countervlan

par1(config)#interfacefastethernet0/2配置端口2

par1(config-if)#switchportaccessvlan11歸屬marketvlan

par1(config)#interfacefastethernet0/3配置端口3

par1(config-if)#switchportaccessvlan12歸屬managingvlan

par2(config)#interfacefastethernet0/1配置端口1

par2(config-if)#switchportaccessvlan10歸屬countervlan

par2(config)#interfacefastethernet0/2配置端口2

par2(config-if)#switchportaccessvlan11歸屬marketvlan

par2(config)#interfacefastethernet0/3配置端口3

par2(config-if)#switchportaccessvlan12歸屬managingvlan

par3(config)#interfacefastethernet0/1配置端口1

par3(config-if)#switchportaccessvlan10歸屬countervlan

par3(config)#interfacefastethernet0/2配置端口2

par3(config-if)#switchportaccessvlan11歸屬marketvlan

par3(config)#interfacefastethernet0/3配置端口3

par3(config-if)#switchportaccessvlan12歸屬managingvlan

……

5、配置三層交換

到這里，vlan已經根本劃分完畢。但是，vlan間如何實現(xiàn)三層〔網絡層〕交換呢？這時就要給各vlan分配網絡〔ip〕地址了。給vlan分配ip地址分兩種情況，其一，給vlan所有的節(jié)點分配靜態(tài)ip地址；其二，給vlan所有的節(jié)點分配動態(tài)ip地址。下面就這兩種情況分別介紹。

假設給vlancounter分配的接口ip地址為/24，網絡地址為：，

vlanmarket分配的接口ip地址為/24，網絡地址為：，

vlanmanaging分配接口ip地址為/24，網絡地址為

……

如果動態(tài)分配ip地址，那么設網絡上的dhcp效勞器ip地址為1。

(1)給vlan所有的節(jié)點分配靜態(tài)ip地址。

首先在核心交換機上分別設置各vlan的接口ip地址。核心交換機將vlan做為一種接口對待，就象路由器上的一樣，如下所示：

com(config)#interfacevlan10

com(config-if)#ipaddressvlan10接口ip

com(config)#interfacevlan11

com(config-if)#ipaddressvlan11接口ip

com(config)#interfacevlan12

com(config-if)#ipaddressvlan12接口ip

……

再在各接入vlan的計算機上設置與所屬vlan的網絡地址一致的ip地址，并且把默認網關設置為該vlan的接口地址。這樣，所有的vlan也可以互訪了。

(2)給vlan所有的節(jié)點分配動態(tài)ip地址。

首先在核心交換機上分別設置各vlan的接口ip地址和同樣的dhcp效勞器的ip地址，如下所示：

com(config)#interfacevlan10

com(config-if)#ipaddressvlan10接口ip

com(config-if)#iphelper-address1dhcpserverip

com(config)#interfacevlan11

com(config-if)#ipaddressvlan11接口ip

com(config-if)#iphelper-address1dhcpserverip

com(config)#interfacevlan12

com(config-if)#ipaddressvlan12接口ip

com(config-if)#iphelper-address1dhcpserverip

……

再在dhcp效勞器上設置網絡地址分別為，，的作用域，并將這些作用域的“路由器”選項設置為對應vlan的接口ip地址。這樣，可以保證所有的vlan也可以互訪了。

最后在各接入vlan的計算機進行網絡設置，將ip地址選項設置為自動獲得ip地址即可。

VPN實例配置方案－中文注解

Router:sam-i-am(VPNServer)

Currentconfiguration:

!

version12.2

servicetimestampsdebuguptime

servicetimestampsloguptime

noservicepassword-encryption

!

hostnamesam-i-am

!

ipsubnet-zero

!---IKE配置

sam-i-am(config)#cryptoisakmppolicy1//定義策略為1

sam-i-am(isakmp)#hashmd5//定義MD5散列算法

sam-i-am(isakmp)#authenticationpre-share//定義為預共享密鑰認證方式

sam-i-am(config)#cryptoisakmpkeycisco123address

!---配置預共享密鑰為cisco123,對等端為所有IP

!---IPSec協(xié)議配置

sam-i-am(config)#cryptoipsectransform-setrtpsetesp-desesp-md5-hmac

!---創(chuàng)立變換集esp-desesp-md5-hmac

sam-i-am(config)#cryptodynamic-maprtpmap10//創(chuàng)立動態(tài)保密圖rtpmap10

san-i-am(crypto-map)#settransform-setrtpset//使用上面的定義的變換集rtpset

san-i-am(crypto-map)#matchaddress115//援引訪問列表確定受保護的流量

sam-i-am(config)#cryptomaprtptrans10ipsec-isakmpdynamicrtpmap

!---將動態(tài)保密圖集參加到正規(guī)的圖集中

!

interfaceEthernet0

noipdirected-broadcast

ipnatinside

nomopenabled

!

interfaceSerial0

noipdirected-broadcast

ipnatoutside

cryptomaprtptrans//將保密映射應用到S0接口上

!

ipnatinsidesourceroute-mapnonatinterfaceSerial0overload

!---這個NAT配置啟用了路由策略，內容為到的訪問不進行地址翻譯

!---到其他網絡的訪問都翻譯成SO接口的IP地址

ipclassless

iprouteSerial0//配置靜態(tài)路由協(xié)議

noipserver

!

access-list115permiti

access-list115denyi.055any

!

access-list120denyi

access-list120permiti.055any

!

sam-i-am(config)#route-mapnonatpermit10//使用路由策略

sam-i-am(router-map)#matchipaddress120

!

linecon0

transportinputnone

lineaux0

linevty04

passwordww

login

!

end

Router:dr_whoovie(VPNClient)

Currentconfiguration:

!

version12.2

servicetimestampsdebuguptime

servicetimestampsloguptime

noservicepassword-encryption

!

hostnamedr_whoovie

!

ipsubnet-zero

!

dr_whoovie(config)#cryptoisakmppolicy1//定義策略為1

dr_whoovie(isakmp)#hashmd5//定義MD5散列算法

dr_whoovie(isakmp)#authenticationpre-share//定義為預共享密鑰認證方式

dr_whoovie(config)#cryptoisakmpkeycisco123