命令汇总
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
NAT
网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
一.静态地址转换的实现
1.定义内外网接口
#interface fastethernet 1/0
#ip nat outside
#interface fastethernet 1/1
#ip nat inside
2.建立静态地址映射关系
内转外:
#ip nat inside soure static [内网地址(可以是单个ip,也可是网段如:1.1.1.0)] [公网ip]
外转内:
#ip nat outside source static [公网ip] [内网地址(可以是单个ip,也可是网段如:1.1.1.0)]
2).动态地址转换的实现
1.定义内外网接口
2.定义内部访问列表
#access-list 10(标准ACL号) permit [192.168.1.0 0.0.0.255(允许转换的内部地址范围)|192.168.1.1 192.168.1.10 也可设设置一个ip段|或允许所有 any )
3.定义合法ip地址转换
Ip nat pool onlyone 192.168.1.20(外部起始地址) 192.168.1.20(外部结束地址) netmask 255.255.255.0
注 :onlyone为地址池的名称,可以自己定义
4.设置复用ip地址转换建立映射关系
Ip nat inside source list 1(上面的标准ACL号) pool onlyone(地址池名称) [overload(过载) 可写可不写]
建立服务转换:
ip nat inside soure stantic tcp 内网地址 UDP或TCP的服务端口号 公网地址 UDP或TCP的服务端口号
例:将192.168.12.1的ftp发布到公网202.100.96.68
ip nat inside soure stantic tcp 192.168.12.1 21 202.100.96.68 21
PPP 点对点协议
公私合作关系(PPP,public-private partnership)是公共基础设施项目(如新的电信系统、机场和电厂)的一个资助模式。PPP具有处理错误检测、支持多个协议、允许在连接时刻协商IP地址、允许身份认证等功能。适合于调制解调器、HDLC位序列线路、SONET和其它的物理层上使用。它支持错误检测、选项协商、头部压缩以及使用HDLC类型帧格式(可选)的可靠传输。
PPP PAP认证:
RouterA:
# interface Serial 1/0
#配置 IP 地址
#ip address 1.1.1.2 255.255.255.0
#封装 PPP 协议
# encapsulation ppp
#设置 PAP 认证的用户名和密码
# ppp pap sent-username [Ruijie(设置用户名为Ruijie)] password 0(明文) [Router(设置密码为Router)]
RouterB:
Ruijie# config terminal
Ruijie(config)# username Ruijie(在A中设的用户名) password 0 Router(A中设的密码)
Ruijie(config)# interface Serial 1/0
#配置 IP 地址
Ruijie(config-if)# ip address 1.1.1.1 255.255.255.0
#封装 PPP 协议
Ruijie(config-if)# encapsulation ppp
#设定 PPP 的认证方式
Ruijie(config-if)# ppp authentic
ation pap
CHAP认证:
主认证方和被认证方都需要配置,但是两端的配置是不同的
主认证方配置启用认证和认证用户名
被认证方配置认证用户名和密码
RouterA:
# interface Serial 1/0
#配置 IP 地址
#ip address 1.1.1.2 255.255.255.0
#封装 PPP 协议
# encapsulation chap
步骤2:配置R1为CHAP验证方
R1(config)# username r2 password star!设置用户数据库,用户名:r2;加密类型:缺省(明文);口令:star
R1(config)# interface serial 1/2
R1(config-if)# ppp authentication chap !配置R1为CHAP验证方
可以看到系统会有如下提示:
%LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to DOWN
步骤3:配置R2的ip 封装PPP协议 配置验证方式chap
步骤4:配置R2为CHAP被验证方
R2(config)# interface serial 1/2
R2(config-if)# ppp chap hostname r2 !CHAP被验证方,发送主机名:r2;
R2(config-if)# ppp chap password star !CHAP被验证方,发送口令:star;
VRRP 虚拟路由器冗余协议
虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。
1.创建VRRP组1,虚拟网关为192.168.100.1
#interface fastethernet0/1 进入端口
#VRRP 1 ip 192.168.100.1 这个ip可以是虚拟的一个ip,也可以用实际ip
2.设置优先级
#VRRP 1 priovity 120(1-255,默认的为100)
配置实例 RA为活跃 AB为备份
RA#interface fastethernat 0/1
RA#VRRP 1 ip 192.168.100.1
RA#VRRP 1 priovity 120
RB#interface fastethernet 0/1
RB#VRRP 1 ip 192.168.100.1
RB#VRRP 1 priovity [level] 这句可以不用,优先级默认值为100
MSTP
MSTP(Multi-Service Transfer Platform)(基于SDH 的多业务传送平台)是指基于SDH 平台同时实现TDM、ATM、以太网等业务的接入、处理和传送,提供统一网管的多业务节点。
#spanning-tree 开启生成树
#spanning-tree mode mstp 配置生成树模式为MSTP
#spanning-tree mst config 进入mstp配置模式
建立vlan 10 20 30 40,
(config-mst)#instance 1 vlan 10,20 配置实例1关联vlan 10,20
(config-mst)#instance 2 vlan 30,40 配置实例2关联vlan 30,40
设置优先级
#spanning-tree mst 1 priority 4096 配置交换机在instance 1中的优先级为4096
#spanning-tree mst 2 priority 8192 配置交换机在instance 2中的优先
级为8192
注:优先级默认为32768,值越小优先级越高,优先级为4096的整倍数据
router rip
rip 1 属于有类路由协议。不支持变长子网掩码.(如果网络里面没有涉及到变长子网掩码可以使用rip 1)
命令:S3760(config)#router rip !开启RIP 协议进程
S33760(config-router)#network 跟网段 申明本设备的直连网段
'
S33760(config-router)#network 跟网段 申明本设备的直连网段
rip 2 属于无类路由协议。支持变长子网掩码.(如果网络里面涉及到变长子网掩码使用rip 2)
命令:3760(config)#router rip !开启RIP 协议进程
S33760(config-router)#network 跟网段 申明本设备的直连网段
S33760(config-router)#network 跟网段 申明本设备的直连网段
S33760(config-router)#version 2 !指明为版本2
S33760(config-router)# no suto-summary !关闭它的自动汇总
ACL
访问控制列表分为:标准访问控制列表(standard)和扩展访问控制列表(extended)
标准访问控制列表(standard)
标准ACL 配置
提问:如何只允许端口下的用户只能访问特定的服务器网段?
回答:
步骤一:定义ACL
S3750#config ----进入全局配置模式
S3750(config)#ip access-list standard 1 (<1-99>选已任意数看自己的喜好,这里也可以使用字母进行命名,建议使用字母进行命名后你修改了一部分配置后它对acl没有啥影响,如果使用数字还要在对ACL进行修改) ----定义标准ACL
S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255----允许访问服务器资源的ip网段 (如果允许所以网段permit 后面加 any 然后退出标准ACL 配置模式)
S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源
S5750(config-std-nacl)#exit ----退出标准ACL 配置模式
步骤二:将ACL 应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口
S5750(config-if)#ip access-group 1 in ----将标准ACL 应用到端口in 方向
扩展访问控制列表(extended) 常见的几种访问配置
扩展ACL 配置
提问:如何禁止用户访问单个网页服务器?
回答:
步骤一:定义ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list extended 100 (<100-199>或<2000-2699>这两个的范围里选择任意数,这里也可以使用字母进行命名,建议使用字母进行命名后你修改了一部分配置后它对acl没有啥影响,如果使用数字还要在对ACL进行修改----创建扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www----禁止访问web 服务器
S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源
S5750(config-ext-nacl)#
exit ----退出ACL配置模式
步骤二:将ACL 应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口
S5750(config-if)#ip access-group 100 in ----将扩展ACL 应用到端口下
VLAN 之间的ACL 配置
提问:如何禁止VLAN 间互相访问?
回答:
步骤一:创建vlan10、vlan20、vlan30
锐捷RGNOS CookBook
14
S5750#conf ----进入全局配置模式
S5750(config)#vlan 10 ----创建VLAN10
S5750(config-vlan)#exit ----退出VLAN 配置模式
S5750(config)#vlan 20 ----创建VLAN20
S5750(config-vlan)#exit ----退出VLAN 配置模式
S5750(config)#vlan 30 ----创建VLAN30
S5750(config-vlan)#exit ----退出VLAN 配置模式
步骤二:将端口加入各自vlan
S5750(config)# interface range gigabitEthernet 0/1-5----进入gigabitEthernet 0/1-5 号端口
S5750(config-if-range)#switchport access vlan 10----将端口加划分进vlan10
S5750(config-if-range)#exit ----退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/6-10----进入gigabitEthernet 0/6-10 号端口
S5750(config-if-range)#switchport access vlan 20----将端口加划分进vlan20
S5750(config-if-range)#exit ----退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/11-15----进入gigabitEthernet 0/11-15 号端口
S5750(config-if-range)#switchport access vlan 30----将端口加划分进vlan30
S5750(config-if-range)#exit ----退出端口配置模式
步骤三:配置vlan10、vlan20、vlan30 的网关IP 地址
S5750(config)#interface vlan 10 ----创建vlan10 的SVI 接口
S5750(config-if)#ip address 192.168.10.1 255.255.255.0\----配置VLAN10 的网关
S5750(config-if)#exit ----退出端口配置模式
S5750(config)#interface vlan 20 ----创建vlan10 的SVI 接口
S5750(config-if)#ip address 192.168.20.1 255.255.255.0
锐捷RGNOS CookBook
15
----配置VLAN10 的网关
S5750(config-if)#exit ----退出端口配置模式
S5750(config)#interface vlan 30 ----创建vlan10 的SVI 接口
S5750(config-if)#ip address 192.168.30.1 255.255.255.0----配置VLAN10 的网关
S5750(config-if)#exit ----退出端口配置模式
步骤四:创建ACL,使vlan20 能访问vlan10,而vlan30 不能访问vlan10
S5750(config)#ip access-list extended deny30 ----定义扩展ACL
S5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255----拒绝vlan30 的用户访问vlan10 资源
S5750(config-ext-nacl)#permit ip any any----允许vlan30 的用户访问其他任何资源
S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式
步骤五:将ACL 应用到vlan30 的SVI 口in 方向
S5750(config)#interface vlan 30 ----创建vlan30 的SVI 接口
S5750(config-if)#ip access-group deny30 in ----将扩展ACL 应用到vlan30 的SVI 接口下
单向ACL 的配置
提问:如何实现主机A 可以访问主机B 的FTP 资源,但主机B 无法访问主机A 的FTP 资
源??
回答:
步骤一:定义ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list extended 100 ----定义扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn----禁止主动向A 主机发起TCP 连接
S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源
S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式
锐捷RGNOS CookBook
16
步骤二:将ACL 应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入连接B 主机的端口
S5750(config-if)#ip access-group 100 in ----将扩展ACL 应用到端口下
S5750(config-if)#end ----退回特权模式
S
5750#wr ----保存
注释:单向ACL 只能对应于TCP 协议,使用PING 无法对该功能进行检测。
单臂路由
Router(config)#interface fa0/0 ................进入和交换机连接的那个接口
Router(config-if)#no shutdown ................激活该端口
Router(config-if)#interface fa0/0.1 ...........配置 子接口 这是配置单臂路由的关键,这个接口是个 逻辑接口,并不是实际存在的物理接口,但是功能却和物理接口是一样的。
Router(config-subif)#encapsulation dot1q 2 .......为这个接口配置802.1Q协议,最后面的 2 是vlan 号,这也是关键部分
Router(config-subif)#ip address 192.168.2.1 255.255.255.0 .........为该接口划分ip地址。
Router(config-subif)#exit Router(config)#interface fa0/0.2 .....同样,进入第2个子接口,进行配置 Router(config-subif)#encapsulation dot1q 3 .........配置802.1Q协议
Router(config-subif)#ip address 192.168.3.1 255.255.255.0 ......划分ip地址和子网掩码
Router(config-subif)#end
OSPF
Ruijie(config)#router ospf 启动OSPF路由协议进程并进入OSPF配置模式。若进程已经启动,则该命令的作用就是进入OSPF配置模式。
Ruijie(config-router)#network 网段 (下一跳的网段) 子网掩码 area (0-4294967295) 之间的一个任意的数
配置安全端口
安全违例产生于以下情况:
如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数
如果该端口收到一个源地址不属于端口上的安全地址的包
当安全违例产生时,你可以选择多种方式来处理违例:
Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包
Restrict:当违例产生时,将发送一个Trap通知
Shutdown:当违例产生时,将关闭端口并发送一个Trap通知
配置安全端口
端口安全最大连接数配置
switchport port-security !打开该接口的端口安全功能
switchport port-security maximum value !设置接口上
安全地址的最大个数,范围是1-128,缺省值为128
switchport port-security violation{protect|restrict |shutdown}!设置处理违例的方式
注意:
1、端口安全功能只能在access端口上进行配置。
2、当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。
端口的安全地址绑定
switchport port-security !打开该接口的端口安全功能
switchport port-security mac-address mac-address ip-address ip-address !手工配置接口上的安全地址
注意:
1、端口安全功能只能在access端口上进行配置
2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP
案例(一)
下面的例子是配置接口gigabitethernet1/3上的端口安全功能,设置最大地址个数为8,设置违例方式为protect
Switch# configure terminal
Switch(config)# interface gigabitethernet 1/3
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 8
Switch(config-if)# switchport port-security violation protect
Switch(config-if)# end
案例(二)
下面的例子是配置接口fastethernet0/3上的端口安全功能,配置端口绑定地址,主机MAC为00d0.f800.073c,IP为192.168.12.202
Switch# configure terminal
Switch(config)# interface fastethernet 0/3
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.12.202
Switch(config-if)# end
telnet
配置过程
S3750(config)#vlan 2 !创建一个vlan
S3750(config)#int vlan 2
S3750(config-if-VLAN 2)#ip address 192.168.1.1 255.255.255.0 !配置Ip地址
S3750(config-if-VLAN 2)#no shutdown !打开端口
S3750(config-if-VLAN 2)#exit
S3750(config)#
S3750(config)#enable password 密码 ! 配置enable特权模式密码
S3750(config)#line vty 0 4 ----进入telnet密码配置模式
S3750(config-line)#password 跟密码
S3750(config-line)#exit 退出
配置远程登录的用户名和密码
S3750(config)#line vty 0 4 ----进入telnet密码配置模式
S3750(config-line)#login local ---启用需输入本地用户名、密码才能telnet成功
S3750(config-line)#exit ----回到全局配置模式
S3750(config)#username 用户名 password 0 密码 ------ 配置用户名密码
S3750(config)#enable password 密码 ! 配置enable特权模式密码
交换机链路聚合的配置命令
(config)#int aggregateport 1 范围(1-31)
(config-if)#switchport mode trunk
(config-if)#no shutdown
(config-if)#exit
(config)#int
rang f0/23-24 (输入端口范围)
(config-if)#port-group 1 (输入组号,范围1-31)
开启路由口(交换机/路由器)的配置命令
(config)#int f0/1
(config-if)#no switchport
(config-if)#ip address 192.168.2.1 255.255.255.0
(config-if)#no shutdown
(config)#ip routing
no switchport 与 ip routing 区别是
no switchport 在端口模式下(config-if)输入才能打开路由口
ip routing 在全局模式下(config)输入才能打开路由口
动静态路由的配置命令(交换机/路由器)
1.动态路由(ospf 的配置)
(config)#vlan 10
(config)#vlan 20
(config)#int f0/1
(config-if)#switchport mode access
(config-if)#switchport access vlan 10
(config-if)#no shutdown
(config-if)#exit
(config)#int f0/10
(config-if)#switchport mode access
(config-if)#switchport access vlan 20
(config-if)#no shutdown
(config-if)#exit
(config)#int vlan 10
(config-if-VLAN 10)#ip address 192.168.1.1 255.255.255.0
(config-if-VLAN 10)#no shutdown
(config-if-VLAN 10)#exit
(config)#int vlan 20
(config-if-VLAN 20)#ip address 192.168.2.1 255.255.255.0
(config-if-VLAN 20)#no shutdown
(config-if-VLAN 20)#exit
(config)#route ospf 1 (范围为1-65535)
(config-router)#network 192.168.1.0 255.255.255.0 area 0 (范围为0-4294967295,随题目的要求去改变area号)
(config-router)#network 192.168.2.0 255.255.255.0 area 0
2.静态路由的配置命令(ip route)
(config)#ip route (目标地址)(子网掩码)(下一条地址或输入端口号)
路由重分发
1.配置静态路由ip route和rip 重分发(路由器)
(config)#ip route (目标地址)(子网掩码)(下一条地址或输入端口号)
(config)#route rip
(config-router)#version 2
(config-router)#redistribute static (把静态路由重分发进rip路由)
(config-router)#network 192.168.2.0 (宣告网段)
(config-router)#no auto-summary (关闭自动汇总)