思科路由交換部分命令大全。

交換機部分命令

1、交換機模式切換

Swith>enable //切換到特權

Swith#config t //切換到全局配置模式

Swith(config)# interface f0/1 //進入接口f0/0

Swith(config)# interface vlan 1 //進入VLAN 1中

Swith(config-if)#ip address 192.168.1.1 255.255.255.0 //對VLAN1設置IP地址和子網掩碼

Swith(config-if)#no shutdown //激活VLAN1

2、設置交換機的密碼

一、用戶到特權的密碼

Swith(config)#enable password 123 (優先級低)

Swith(config)#enable secret 456 (優先級高) //若是兩個都設置則456生效

二、控制檯console密碼設置

Swith(config)# line con 0

Swith(config-line)#login

Swith(config-line)#password console123 //設置console密碼爲telnet123

三、啓用telnet密碼

Swith(config)#line vty 0 15 //最多有0~15人能夠telnet訪問swith，合計16人

Swith(config-line)#login

Swith(config-line)#password telnet123 //設置telnet密碼爲telnet123

注：要想真正生效telnet還要設置特權密碼

3、交換機命名hostname BENETSW01

Swith(config)#hostname BENETSW01 //使用hostname命名交換機的名字

4、show命令集

Swith#show version //顯示IOS版本信息

Swith#show int vlan 1 brief //簡單的顯示VLAN1的信息

Swith#show running-config //顯示正在運行的配置文件

Swith#show startup-config //顯示己經保存的配置文件

Swith#show mac-address-table //顯示MAC地址表

Swith#show mac-address-table //顯示MAC地址表更新的間隔，默認爲5分鐘

Swith#show neighbor detail //顯示鄰居詳細信息

Swith#show traffic //顯示CDP流量

Swith#show version //顯示自身MAC地址

5、設置交換機的網關和DNS名稱服務器的IP地址

Swith(config)# ip default-gateway 192.168.10.8 //交換機的網關設置爲192.168.10.8

Swith(config)#ip domain -name server 202.106.0.20 //設置DNS名稱服務器地址

Swith(config)# no ip domain-lookup //交換機名稱服務器的域名查詢

6、建立、刪除、查看VLAN

禁用 DTP協商 Switch(config-if)# switchport nonegotiate
Switch#vlan database //進入vlan數據庫配置模式

Switch(vlan)#vlan 2 //建立VLAN2自動命名爲vlan0002，同vlan2 name sales

VLAN 2 added:

Name: VLAN0002

Switch(vlan)#exit //退出時應用生效

Swith(vlan)#no vlan 2 //刪除vlan2

Switch(config)# interface f0/1
Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan 2 //將端口加入vlan 2中

Switch(config-if)# no switchport access vlan 2 //將端口從vlan2中刪除

Switch(config)# interface range f0/1 – 10 // 進行F0/1到10端口範圍

Switch(config-if-range)# switchport access vlan 2 //將f0/1到f0/10之間的全部端口加入vlan 2

Switch# show vlan brief //查看全部VLAN的摘要信息

Switch# show vlan id (vlan-id ) //查看指定VLAN的信息

7、開啓並查看trunk端

Swith(config)#interface f0/24

Swith(config-if)#swith mode trunk //將f0/24端口設置爲trunk

Switch#show interface f0/24 switchport //查看f0/24的接口狀態

8、從Trunk中添加、刪除Vlan

Switch (config-if )# switchport trunk allowed vlan remove 3 //從trunk端口刪除v lan3經過

Switch (config-if)# switchport trunk native vlan a3 //從trunk端口添本徵Vlan

Switch # show interface interface-id switchport //檢查中繼端口容許VLAN的列表

9、單臂路由配置

Router(config)# interface f0/0.1

Router(config-subif)# encapsolution dot1q 1 //子接口封裝dot1q 針對的是VLAN1

Router(config-subif)# ip address 192.168.1.1 255.255.255.0 //設置VLAN的網關地址

Router(config)# interface f0/0.2

Router(config-subif)# encapsolution dot1q 2 //子接口封裝dot1q針對的是vlan2

Router(config-subif)# ip address 192.168.2.1 255.255.255.0 //設置vlan2的網關的地址

10、配置VTP服務器

S1#vlan database //進入vlan配置模式

S1(vlan)#vtp server //設置該交換機爲VTP服務器模式，考試時選默認是透明模式，但思科是默認爲服務器模式。

S1(vlan)#vtp domain domain-name //設置VTP管理域名稱

S1(vlan)#vtp pruning //啓用VTP修剪功能

S1(vlan)#exit

S1#show vtp status //顯示VTP狀態信息

11、配置VTP客戶端

S2#vlan database

S2(vlan)#vtp client //設置該交換機爲VTP客戶端模式

S2(vlan)#vtp domain domain-name //這裏域名必須和上面的vtp服務器設置的domain名稱同樣

S2(vlan)#exit

12、交換機基本配置---mac地址配置

Switch(config)#mac-address-table aging-time 100 //設置學習的MAC地址的超時時間，默認300s

Switch(config)#mac-address-table permanent 0050.8DCB.FBD1 f0/3 //添加永久地址

Switch(config)#mac-address-table resticted static 0050.8DCB.FBD2 f0/6 f0/7 //加入限制性靜態地址，它是在設置永久性地址的基礎上，同時限制了源端口，它只容許所static配置的接口（f0/6）與指定的端口（f0/7）通訊，提升安全性。

Switch(config)#end

Switch#show mac-address-table （查看MAC地址表）

Switch#clear mac-address-table dynamic （清除動態學習的MAC地址表項）

Switch#clear mac-address-table resticted static (清除配置的限制性MAC地址表項)

十3、生成樹快速端口(PortFast)配置

STP PortFast是一個Catalyst的一個特性。在STP中，只有forwarding狀態，port才能發送用戶數據。若是一個port一開始是沒有接pc，一旦pc接上，就會經歷blocking(20s)->listening(15s)->learing(15s)->forwarding狀態的變化。這樣從pc接上網線，到能發送用戶數據，缺省的配置下須要等50秒的時間，但若是設置了portfast，就使得該端口再也不應用STP算法，一旦該端口物理上能工做，就當即將其置爲「轉發」狀態。在基於IOS交換機上，PortFast只能用於鏈接到終端設備的接入層交換機端口上。

開啓PortFast命令：

Switch(config)#interface f0/1

Switch(config-if)#spanning-tree portfast

若是把批次開啓能夠用：

Switch(config)#interface range f0/1 – 3

Switch(config-if-range)#spanning-tree portfast //注：只有在確認不會產生環路的端口上開啓快速端口。

在交換機上配置 BPDU 防禦
Switch(config)#interface f0/1

Switch(config-if)#spanning-tree bpduguard enable
————————————————————————————————
配置生成樹 PVST+ 負載均衡。
主根
Switch(config)#spanning-tree vlan 10 root primary

次根
Switch(config)#spanning-tree vlan 10 root secondary
——————————————————————————————————————
配置 STP 模式
使用 spanning-tree mode 命令將交換機配置爲以 STP 模式使用 PVST

Switch(config)#spanning-tree mode pvst

十4、STP的負載均衡配置

一、使用STP端口權值（優先級）實現負載均衡

當交換機的兩個口造成環路時，STP端口優先級用來決定那個口是轉發狀態，那個處於阻塞的。能夠經過修改Vlan對應端口的優先級來決定該VLAN的流量走兩對Trunk鏈路中那一條。

如上圖，咱們用端口F0/23作Trunk1，用f0/24作Trunk2。具體配置以下：

<1>、配置VTP、VLAN及Trunk（和上面VLAN配置過程同樣，咱們把S1設成服務器模式，S2設爲客戶端模式）

（配置vtp----在S一、S2上）

S1#vlan database //進入VLAN配置子模式

S1(vlan)#vtp server

S1(vlan)#vtp domain vtpserver //這三步也要在S2上執行，只是把第二步的Vtp server 換成vtp client

（配置Trunk----在S一、S2上）

S1(config)#interface f0/23

S1(config-if)#switchport mode trunk

S1(config-if)#exit

S1(config)#interface f0/24

S1(config-if)#switchport mode trunk //在S2上執行一樣的這幾步操做。

（配置VLAN----只在S1上）

S1#vlan database

S1(vlan)#vlan 2 name vlan2

S1(vlan)#vlan 3 name vlan3

… //依次建立2-5 vlan。

S1(vlan)#exit

<2>、配置STP優先級----在vtp服務器S1上配置

S1(config)#interface f0/23 //進入f0/23端口配置模式，Trunk1

S1(config-if)#spanning-tree vlan 1 port-priority 10 //將vlan 1的端口優先級設爲10（值越小，優先級越高！）

S1(config-if)#spanning-tree vlan 2 port-priority 10 //將vlan 2的設爲10，vlan3-5在該端口上是默認的128

S1(config-if)#exit

S1(config)#interface f0/24 //進入f0/24，Trunk2

S1(config-if)#spanning-tree vlan 3 port-priority 10

S1(config-if)#spanning-tree vlan 4 port-priority 10

S1(config-if)#spanning-tree vlan 5 port-priority 10 //同上，將vlan3-5的端口優先級設爲10

因爲咱們分別設置了不一樣Trunk上不一樣VLAN的優先級。而默認是128，這樣，STP協議就能夠根據這個優先級的大小來使Trunk1發送接收vlan1-2的數據；Trunk2發接vlan3-5的數據，從而實現負載均衡。

二、使用STP路徑值實現負載均衡

如圖示：Trunk1走VLAN1-2的數據，而Trunk2走VLAN3-5的數據。

其中vtp、vlan、和trunk端口的配置都和上面同樣，再也不列出。各項都配置好後，在服務器模式的交換機S1上執行路徑值的配置（路徑值也叫端口開銷，IEEE802.1d規定默認值：10Gbps=2；1Gbps=4；100Mbps=19；10Mbps=100）

S1(config)#interface f0/23

S1(config-if)#spanning-tree vlan 3 cost 30

S1(config-if)#spanning-tree vlan 4 cost 30

S1(config-if)#spanning-tree vlan 5 cost 30 //分別設置vlan 3-5生成樹路徑值爲30

S1(config-if)#exit

S1(config)#interface f0/24

S1(config-if)#spanning-tree vlan 1 cost 30

S1(config-if)#spanning-tree vlan 2 cost 30

這樣，經過將但願阻斷的VLAN的生成樹路徑設大，stp協議就會阻斷該VLAN從該Trunk上經過。

5、EtherChannel

EtherChannel有兩個版本，Cisco的稱爲端口聚合協議PAgP(Port Aggregation Protocol)，IEEE的802.3ad標準稱爲鏈路匯聚控制協議LACP(Link Aggregation Control Protocol)，他們的配置有些不一樣。

爲避免有冗餘鏈路的網絡環境裏出現環路，咱們採用STP技術，但Spanning Tree冗餘鏈接的工做方式是：除了一條鏈路工做外，其他鏈路其實是處於待機(Stand By)狀態。那麼能不能把這些冗餘的鏈路利用起來以增長帶寬呢？又如何讓兩條或多條鏈路同時工做呢？這就是在網絡工程中經常使用的EtherChannel技術。Etherchannel特性在交換機到交換機、交換機到路由器、交換機到服務器之間提供冗餘的、高速的鏈接方式，簡單說就是將兩個設備間多條FE或GE物理鏈路捆在一塊兒組成一條設備間邏輯鏈路，從而達到增長帶寬，提供冗餘的目的。該技術容錯能力好, 實體線路中斷能夠在數秒內切換至別條線路使用。

以太channel在交換機間或者交換機和主機間提供最多800Mbps（fast etherchnnel）或者最多8Gbps（Gigabit etherchannel）的全雙工帶寬。一個以太channel 最多由八個配置正確的端口構成。全部在同一個以太channel 中的接口必須具備相同的特性(如雙工模式、速度、同爲FE或GE端口、native VLAN,、VLAN range,、and trunking status and type.等)，而且都要同時配置成二層接口或者三層接口。

設定範例:

S1(config)#interface range f0/1 - 2

S1(config-if-range)#channel-group 1 mode passive

//表示將Fa0/1,Fa0/2設成同一個group, 使用LACP的被動模式!

S2(config)#interface range f0/1 - 2

S2(config-if-range)#channel-group 1 mode active

//將另外一邊的端口也以一樣方式設定, 但mode設成active便可, 交換機會本身新增一個虛擬端口: Port-channel1(Po1), 它和實體接口同樣使用,其成本爲12。

檢查其狀態，可用命令:

show etherchannel detail;

show etherchannel load-balance;

show etherchannel port

show etherchannel port-channel;

show etherchannel protocol;

show etherchannel summary

路由部分命令

1、路由器的模式

v 用戶模式：Router> //用戶模式

v 特權模式：Router# //特權模式

v 全局配置模式：Router(config)# //配置模式

v 接口配置模式：Router(config-if)# //接口模式

v 子接口配置模式：Router(config)#interface fa0/0.1 //進入子接口

Router(config-subif)# //子接口狀態

v Line模式：Router(config-line)# //進行線模式

v 路由模式：Router(config-router)# //路由配置模式

2、配置靜態路由條目

Router(config)#ip route 192.168.10.0 255.255.255.0 192.168.9.2 //到達192.168.10.0網段及掩碼須要通過相鄰路由器的接口的IP地址

3、配置默認路由

Router B(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2 //因此外出的數據包若是找不到路由表目均找192.168.2.2接口

4、密碼配置

v 配置控制檯密碼

teacher(config)#line console 0

teacher((config_line)#login

teacher((config_line)#password cisco

teacher(config)#enable password cisco //配置特權模式密碼

teacher(config)#enable secret 1234 //配置加密保存的密碼

teacher(config)#service password-encryption //對全部密碼加密

5、配置路由器的banner信息

teacher(config)#banner motd $This is Aptech company’s Router! Please don’t change the

configuration without permission! $

6、配置路由器接口的描述信息

teacher(config)#interface fastethernet 0/0

teacher(config_if)#description connecting the company’s intranet!

7、配置控制檯

v 配置控制檯會話時間

teacher(config)#line console 0

teacher(config_line)#exec-timeout 0 0

v 配置控制檯輸出日誌同步

teacher(config)#line console 0

teacher(config_line)#logging synchronous

8、動態路由相關命令

Router(config)# router rip //啓動RIP進程

Router(config-router#version 2 //指定啓動rip v2版本

Router(config-router)# network network-number //宣告主網絡號

Router# show ip route //查看路由表

Router#show ip route static //僅顯示靜態路由信息

Router# show ip protocols //查看路由協議配置

Rouetr# debug ip rip //打開RIP協議調試命令

9、動態路由配置

RouterA(config)#interface f0/0

RouterA(config-if)#ip address 192.168.1.1 255.255.255.0

RouterA(config-if)#no shutdown

RouterA(config)#interface f0/1

RouterA(config-if)#ip address 10.0.0.2 255.0.0.0

RouterA(config-if)#no shutdown

RouterA(config)#router rip

RouterA(config-router)#network 10.0.0.0

RouterA(config-router)#network 192.168.1.0

10、路由器密碼恢復

進入ROM Monitor模式

修改配置寄存器的值，啓動時繞過startup-config文件：

rommon1>confreg 0×2142

rommon2>reset

用startup-config覆蓋running-config：

Router#copy startup-config running-config

修改密碼：

Router(config)#enable password cisco

修改配置寄存器的值：

Router(config)#config-register 0×2102

⊙該文章轉自[大賽人網站(技能大賽技術資源網)-DaisaiRen.com] 原文連接：

11、×××配置

環境：接口地址都已經配置完，路由也配置了，雙方能夠互相通訊.

密鑰認證的算法2種：md5和sha1

加密算法2種： des和3des

IPsec傳輸模式3種：

AH驗證參數:ah-md5-hmac(md5驗證)、ah-sha-hmac(sha1驗證)

ESP加密參數：esp-des(des加密)、esp-3des(3des加密)、esp-null（不對數據進行加密）

ESP驗證參數：esp-md5-hmac(md5驗證)、esp-sha-hmac(採用sha1驗證)

1 啓用IKE協商

路由器A

routerA(config）#crypto isakmp policy 1 //創建IKE協商策略（1是策略編號1-1000，號越小，優先級越高）

routerA(config-isakmap)#hash md5 //選用md5密鑰認證的算法

routerA(config-isakmap)#authentication pre-share //告訴路由使用預先共享的密鑰

routerA(config)#crypto isakmp key 12345 address 20.20.20.22 //12345是設置的共享密鑰,20.20.20.22是對端的IP

路由器B

routerB(config)#crypto isakmp policy 1

routerB(config-isakmap)#hash md5

routerB(config-isakmap)#authentication pre-share

routerB(config)#crypto isakmp key 12345 address 20.20.20.21 //路由B和A的配置除了這裏的對端IP地址，其它都要同樣的）。

2 配置IPSec相關參數

路由器A

routerA(config)#crypto ipsec transform-set test ah-md5-hamc esp-des

//test傳輸模式的名稱。ah-md5-hamc esp-des表示傳輸模式中採用的驗證參數和加密參數。

routerA(config)#acess-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

//定義哪些地址的報文加密或是不加密。

路由器B

routerB(config)#crypto ipsec transform-set test ah-md5-hamc esp-des

routerB(config)#acess-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

//路由器B和A的配置除了這裏的源和目的IP地址變了，其它都同樣。

3 設置crypto map （把IKE的協商信息和IPSec的參數，整合到一塊兒，起一個名字）

路由器A

routerA(config)#crypto map testmap 1 ipsec-isakmp

//testmap:給crypto map起的名字。1：優先級。ipsec-isakmp:表示此IPSec連接採用IKE自動協商

routerA(config-crypto-map)#set peer 20.20.20.22 //指定此×××鏈路，對端的IP地址

routerA(config-crypto-map)#set transform-set test //IPSec傳輸模式的名字。

routerA(config-crypto-map)#match address 101 //上面定義的ACL列表號

路由器B

routerB(config)#crypto map testmap 1 ipsec-isakmp

routerB(config-crypto-map)#set peer 20.20.20.21 （和A路由的配置只有這裏的對端IP不同）

routerB(config-crypto-map)#set transform-set test

routerB(config-crypto-map)#match address 101

4 把crypto map 的名字應用到端口

routerA(config)#inter s0/0 (進入應用×××的接口）

routerA(config-if)#crypto map testmap （testmap：crypto map的名字）

B路由器和A設置徹底同樣。

5 查看×××的配置

Router#show crypto ipsec sa //查看安全聯盟（SA）

router#show crypto map //顯示crypto map 內的全部配置

router#show crypto isakmp policy //查看優先級

12、RIP 協議的配置

RIP配置：

R(config)# router rip

R(config)# network 10.0.0.0（一個有類網絡號，要聲明全部鏈接到該路由器接口上的有類網絡）

RIPv2配置：

R(config)# version 2

RIP抑制（被動接口）：

R(config)# passive-interface s0/0(表示s0/0接口只接受RIP路由更新而再也不發送更新)

十3、終端服務器的配置

能夠經過配置終端服務器（Terminal server）來實現用一臺PC機同時訪問多個網絡設備（如路由器或交換機），減小配置管理的負擔。終端服務器是路由器的一種功能，如今大多路由器均可以經過加裝異步/同步網絡模塊用做終端服務器。

如上圖：PC機與終端服務器之間經過Console線纜直接相連；終端服務器經過1拖8與兩臺路由器相連，線號爲1和2。

終端服務器的配置清單以下：

hostname Term_Server

!

interface loopback0 //增長一個loopback接口，用於逆向Telnet

ip address 10.1.1.1 255.255.255.255 //最節省地址空間的方法設置一個ip給環回接口。

!

ip host router1 2001 10.1.1.1 //配置主機表，使得router1與2001，router2與2002聯繫起來，方便訪問其餘路由器

ip host router2 2002 10.1.1.1 //咱們訪問它們時就不用telnet 10.1.1.1 2001，而直接用主機名：router1

!

line 1 8

no exec //在line1-8上配置no exec禁止這8條異步線路上產生EXEC進程，而只容許從終端服務器到其餘路由器的鏈接。

transport input all //指明在這8條線路的輸入方向上容許全部的協議。

配置好後，首先登陸到終端服務器：

Term_Server#

Term_Server#router1

Trying router1 (10.1.1.1,2001) …Open

Router1>

這時能夠用會話切換命令Ctrl+Shift+6 而後按X，切換回終端服務器：

Term_Server#

Term_Server#router2

Trying router1 (10.1.1.1,2002) …Open

Router2>

< Ctrl+Shift+6，x>

Term_Server#show sessions

Term_Server#disconnect 2 //斷開會話2

Term_Server#show line 1 //查看線路1狀態

Term_Server#clear line 2 //清除線路2

十4、單區域/多區域OSPF 協議的配置

路由器R1

Interface e0

ip address 192.1.0.129 255.255.255.192

Interface s0

ip address 192.200.10.5 255.255.255.252

router ospf 100

network 192.200.10.1 0.0.0.3 area 0

network 192.1.0.128 0.0.0.63 area 1

路由器R2

Interface e0

ip address 192.1.0.65 255.255.255.192

Interface s0

ip address 192.200.10.6 255.255.255.252

router ospf 200

network 192.200.10.4 0.0.0.3 area 0

network 192.1.0.64 0.0.0.63 area 2

路由器R3

Interface e0

ip address 192.1.0.130 255.255.255.192

router ospf 300

network 192.1.0.128  0.0.0.63  area 1

路由器R4

Interface e0

ip address 192.1.0.66 255.255.255.192

router ospf 400

network 192.1.0.64  0.0.0.63  area 2

注：實際配置通配符掩碼時，記住其值就等於：塊大小-1；/28塊大小是16，通配符就用15

廣域網配置

1、ISDN配置

ISDN(綜合業務數字網)，提供兩種類型的訪問接口，即基本速率接口BRI和主要速率接口PRI。ISDN BRI提供2B64+D16

PRI提供30B+D(均爲64Kb/s)。下面經過一個實例來講明兩臺路由器經過ISDN線路鏈接時最基本的配置。

R1配置

R1(config)#isdn switch-type basic.net3 //設置交換機類型爲basic-net3，這取決於所鏈接的ISDN類型，中國用的這個

R1(config)#interface bri 0 //進入BRI接口配置模式

R1(config-if)#ip address 192.168.1.1 255.255.255.0 //設置接口IP地址

R1(config-if)#encapsulation ppp //設置封裝協議爲PPP

R1(config-if)#dialer string 80000002 //設置撥號串，爲對方的ISDN號

R1(config-if)#dialer-group 1 //在該接口應用撥號列表1的設置

R1(config-if)#no shutdown //激活端口

R1(config-if)#exit

R1(config)#dialer-list 1 protocol ip permit //設置撥號列表1，即當IP包須要在該撥號鏈路上傳輸時引發撥號

R2配置

R2(config)#isdn switch-type basic.net3

R2(config)#interface bri 0

R2(config-if)#ip address 192.168.1.2 255.255.255.0 //設置接口IP地址

R2(config-if)#encapsulation ppp

R2(config-if)#dialer string 80000001 //設置撥號串，爲對方(R1)的ISDN號

R2(config-if)#dialer-group 1

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#dialer-list 1 protocol ip permit //R2和R1配置基本相同

2、PPP配置

PPP(點對點協議)，DDR是按需撥號路由，通常在實際應用中，ISDN、PPP、DDR常常綜合應用

下面結合實例說明基本的配置命令：

R1

R1(config)#username R2 password 0 ciso //定義用戶名和口令，注意用戶名設爲對方，口令雙方設置一致。

因爲是在ISDN線路進行PPP封裝，對ISDN和端口的基本配置都和上面ISDN的配置相同，下面只列出配置清單。

isdn switch-type basic.net3

Interface E0

ip address 10.1.1.1 255.25.255.0

Interface BRI0

ip address 192.168.1.1 255.255.255.0

encapsulation ppp

dialer idle-timeout 300

//設置撥號空閒時間，若是超時沒有IP數據包從該接口發送，就斷開鏈接。默認120s

dialer map ip 192.168.1.2 name R2 broadcast 80000002 (注：設置的IP、name、isdn號都是對方的)

//設置撥號映射，當有列表定義的數據包傳輸時就使用這個定義的映射發起撥號鏈接並進行認證操做。

ppp multilink //啓用PPP多鏈路的功能特性

dialer load-threshold 128

//設置啓用多鏈路的條件，即：當實際負載佔一個B信道帶寬的（128/256）%=50%時，就啓用第二個B信道，設爲1時爲無條件啓用2個B信道。

dialer-group 1

no cdp enable //一般在撥號鏈路上都禁用CDP發現協議

ppp authentication chap //設置PPP認證方式爲CHAP，或設爲：pap (口令認證方式)。或設爲：chap pap(混合模式)。

ip route 10.1.2.0 255.255.255.0 192.168.1.2

dialer-list 1 protocol ip permit

R2配置基本和R1相同，只有下面幾個地方需注意配置正確的參數：

username R1 password 0 ciso

ip address 10.1.2.1 255.25.255.0

ip address 192.168.1.2 255.255.255.0

dialer map ip 192.168.1.1 name R1 broadcast 80000001

ip route 10.1.1.0 255.255.255.0 192.168.1.1

3、幀中繼配置

幀中繼是X.25的簡化版本。幀中繼廣域網設備分爲DTE和DCE，路由做爲DTE設備。幀中繼提供面向鏈接的數據鏈路層通訊。

經過幀中繼虛電路爲每一個鏈路分配一個鏈路識別碼（DLCI）.

一、 配置幀中繼交換機：

就是配置一個幀中繼的環境，爲下面的基本幀中繼配置作準備，現以一個具備3個串行接口的路由器爲例，經過下面配置來實現全網狀的幀中繼環境。（全網狀是指在這個幀中繼環境中任何兩個結點間都存在一條虛電路）

每一個接口上的DLCI都標在圖上，虛線箭頭表示兩結點間的虛電路。下面是配置清單：

Interface serial1

no ip address

encapsulation frame-relay

clockrate 64000

frame-relay lmi-type cisco

frame-relay lmi-type dce

frame-relay route 102 interface serial2 201

frame-relay route 103 interface serial3 301

!

Interface serial2

no ip address

encapsulation frame-relay

clockrate 64000

frame-relay lmi-type cisco

frame-relay lmi-type dce

frame-relay route 201 interface serial1 102

frame-relay route 203 interface serial3 303

!

Interface serial3

no ip address

encapsulation frame-relay

clockrate 64000

frame-relay lmi-type cisco

frame-relay lmi-type dce

frame-relay route 301 interface serial1 103

frame-relay route 303 interface serial2 203

配置完成，用show frame route顯示完整路由信息

二、 基本幀中繼配置

上面的幀中繼環境已經配置好，如今在該環境中接入兩個路由器，以實現端到端的連通性。

1、配置基本的幀中繼鏈接

這裏忽略E0口的IP配置和no shutdown激活配置

路由器R1

R1(config)#interface s0

R1(config-if)#ip address 19.168.1.1 255.255.255.0

R1(config-if)#encap frame-relay

//該接口使用幀中繼封裝

R1(config-if)#no frame-relay inverse-arp //關閉幀中繼逆向ARP

R1(config-if)#frame map ip 192.168.1.2 cisco

R1(config-if)#no shutdown

R1(config-if)#end

路由器R2

R2(config)#interface s0

R2(config-if)#ip address 19.168.1.2 255.255.255.0

R2(config-if)#encap frame-relay

//該接口使用幀中繼封裝

R2(config-if)#no frame-relay inverse-arp //關閉幀中繼逆向ARP，防止多個DLCI之間的映射產生混亂。

R2(config-if)#frame map ip 192.168.1.1 cisco

R2(config-if)#no shutdown

R2(config-if)#end

2、配置靜態路由並測試連通性。靜態路由配置方法上面已經學習，再也不詳述。而後可使用下列命令查看配置狀態信息。

Show frame pvc； Show frame map； Show frame traffic； Show frame lmi

4、 L2TP配置與測試

第二層通道協議（Layer 2 Tunneling Protocol）是一普遍使用的隧道技術，應用L2TP，方便遠程用戶隨時經過Internet安全的接入公司局域網。L2TP有兩種報文：

控制報文：創建、維護和釋放隧道。

數據報文：包裝經過隧道傳輸的PPP幀。L2TP配置實例：

Vpdn-group 1 //建立vpdn組1，並記入VPDN組1配置模式。

Accept-dialin protocol l2tp virtual-template 1 terminate-from hostname as8010

//接受L2TP通道鏈接請求，並根據Virtual-template 1建立Virtual-access接口。

Local name keith //設置Tunnel本端名稱爲Keith

Lcp renegotiation always //LCP再次協商

No l2tp tunnel authentication //設置不驗證通道對端。

PIX防火墻配置

PIX配置專題 六個基本命令

PIX是CISCO公司開發的防火牆系列設備，主要起到策略過濾，隔離內外網，根據用戶實際需求設置DMZ（停火區）。它和通常硬件防火牆同樣具備轉發數據包速度快，可設定的規則種類多，配置靈活的特色。配置PIX防火牆有六個基本命令：nameif，interface，ip address，nat，global，route。

咱們先掌握這六個基本命令，而後再學習更高級的配置語句。

一、nameif配置防火牆接口的名字，並指定安全級別：

Pix525(config)#nameif ethernet0 outside security0 //命名e0爲outside,安全級別爲0。該名稱在後面使用

Pix525(config)#nameif ethernet1 inside security100 //命名e1爲inside，安全級別爲100。安全係數最高

Pix525(config)#nameif dmz security50 //設置DMZ接口爲停火區，安全級別50。安全係數居中。

在該配置中，e0被命名爲外部接口（outside），安全級別是0；以e1被命名爲內部接口（inside），安全級別是100。安全級別取值範圍爲1到99，數字越大安全級別越高。

二、配置以太口參數（interface）：

Pix525(config)#interface ethernet0 auto //設置e0爲AUTO模式，auto選項代表系統網卡速度工做模式等爲自動適應，這樣該接口會自動在10M/100M，單工/半雙工/全雙工直接切換。

Pix525(config)#interface ethernet1 100 full //強制設置以太接口1爲100Mbit/s全雙工通訊。

Pix525(config)#shutdown //關閉端口

小提示：在節假日須要關閉停火區的服務器的服務時能夠在PIX設備上使用interface dmz 100full shutdown,這樣DMZ區會關閉對外服務。

三、配置內外網卡的IP地址（ip address）

Pix525(config)#ip address outside 61.144.51.42 255.255.255.248 //設置外網接口爲61.144.51.42，子網掩碼爲255.255.255.248

Pix525(config)#ip address inside 192.168.0.1 255.255.255.0 //設置內網接口IP地址、子網掩碼。

你可能會問爲何用的是outside和inside而沒有使用ethernet1，ethernet0呢？其實這樣寫是爲了方便咱們配置，不容易出錯誤。只要咱們經過nameif設置了各個接口的安全級別和接口類別，接口類別就表明了相應的端口，也就是說outside=ethernet0，inside=ethernet1。

四、指定要進行轉換的內部地址（nat）

NAT的做用是將內網的私有ip轉換爲外網的公有ip，Nat命令老是與global命令一塊兒使用，這是由於nat命令能夠指定一臺主機或一段範圍的主機訪問外網，訪問外網時須要利用global所指定的地址池進行對外訪問。

nat命令配置語法：nat (if_name) nat_id local_ip [netmark]

其中（if_name）表示內網接口名字，如inside，Nat_id用來標識全局地址池，使它與其相應的global命令相匹配，local_ip表示內網被分配的ip地址。例如0.0.0.0表示內網全部主機能夠對外訪問。[netmark]表示內網ip地址的子網掩碼。示例語句以下：

Pix525(config)#nat (inside) 1 0.0.0.0 0.0.0.0 //啓用nat,內網的全部主機均可以訪問外網，能夠用0表明0.0.0.0

Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0 //設置只有172.16.5.0這個網段內的主機能夠訪問外網。

五、指定外部地址範圍（global）

global命令把內網的ip地址翻譯成外網的ip地址或一段地址範圍。

Global命令的配置語法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中（if_name）表示外網接口名字，如outside；Nat_id用來標識全局地址池，使它與其相應的nat命令相匹配；ip_address-ip_address表示翻譯後的單個ip地址或一段ip地址範圍；[netmark global_mask]表示全局ip地址的網絡掩碼。示例語句以下：

Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48 //設置內網的主機經過pix防火牆要訪問外網時，pix防火牆將使用61.144.51.42-61.144.51.48這段ip地址池爲要訪問外網的主機分配一個全局ip地址。

Pix525(config)#global (outside) 1 61.144.51.42 //設置內網要訪問外網時，pix防火牆將爲訪問外網的全部主機統一使用61.144.51.42這個單一ip地址。

Pix525(config)#no global (outside) 1 61.144.51.42 //刪除global中對61.144.51.42的宣告，也就是說數據包經過NAT向外傳送時將不使用該IP，這個全局表項被刪除。

六、設置指向內網和外網的靜態路由（route）

route命令定義一條靜態路由。

route命令配置語法：route (if_name) 0 0 gateway_ip [metric]

其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示網關路由器的ip地址。[metric]表示到gateway_ip的跳數。一般缺省是1。示例語句以下：

Pix525(config)#route outside 0 0 61.144.51.168 1 //設置一條指向邊界路由器（ip地址61.144.51.168）的缺省路由。

Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1 //設置一條指向內部的路由。

Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1 //設置另外一條指向內部的路由。

總結：目前咱們已經掌握了設置PIX的六大基本命令，經過這六個命令咱們已經可讓PIX爲咱們的網絡服務了。不過讓網絡運行還遠遠不夠，咱們要有效的利用網絡，合理的管理網絡，這時候就須要一些高級命令了。

PIX防火牆高級配置命令

一、配置靜態IP地址翻譯（static）：

若是從外網發起一個會話，會話目的地址是一個內網的ip地址，static就把內部地址翻譯成一個指定的全局地址，容許這個會話創建。

static命令配置語法：static (internal_if_name，external_if_name) outside_ipaddress inside ip_address

其中internal_if_name表示內部網絡接口，安全級別較高。如inside.。external_if_name爲外部網絡接口，安全級別較低，如outside等。outside_ipaddress爲正在訪問的較低安全級別的接口上的ip地址。inside ip_address爲內部網絡的本地ip地址。 示例語句以下：

Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8 //ip地址爲192.168.0.8的主機，對於經過pix防火牆創建的每一個會話，都被翻譯成61.144.51.62這個全局地址，也能夠理解成static命令建立了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。PIX將把192.168.0.8映射爲61.144.51.62以便NAT更好的工做。

小提示：使用static命令可讓咱們爲一個特定的內部ip地址設置一個永久的全局ip地址。這樣就可以爲具備較低安全級別的指定接口建立一個入口，使它們能夠進入到具備較高安全級別的指定接口。

二、管道命令（conduit）：

使用static命令能夠在一個本地ip地址和一個全局ip地址之間建立了一個靜態映射，但從外部到內部接口的鏈接仍然會被pix防火牆的自適應安全算法(ASA)阻擋，conduit命令用來容許數據流從具備較低安全級別的接口流向具備較高安全級別的接口，例如容許從外部到DMZ或內部接口的入方向的會話。對於向內部接口的鏈接，static和conduit命令將一塊兒使用，來指定會話的創建。說得通俗一點管道命令（conduit）就至關於以往CISCO設備的訪問控制列表（ACL）。

conduit命令配置語法：conduit permit|deny global_ip port[-port] protocol foreign_ip [netmask]

其中permit|deny爲容許|拒絕訪問，global_ip指的是先前由global或static命令定義的全局ip地址，若是global_ip爲0，就用any代替0；若是global_ip是一臺主機，就用host命令參數。port指的是服務所做用的端口，例如www使用80，smtp使用25等等，咱們能夠經過服務名稱或端口數字來指定端口。protocol指的是鏈接協議，好比：TCP、UDP、ICMP等。foreign_ip表示可訪問global_ip的外部ip。對於任意主機能夠用any表示。若是foreign_ip是一臺主機，就用host命令參數。

示例語句以下：

Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any //表示容許任何外部主機對全局地址192.168.0.8的這臺主機進行http訪問。其中使用eq和一個端口來容許或拒絕對這個端口的訪問。Eq ftp就是指容許或拒絕只對ftp的訪問。

Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89 //設置不容許外部主機61.144.51.89對任何全局地址進行ftp訪問。

Pix525(config)#conduit permit icmp any any //設置容許icmp消息向內部和外部經過。

Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3

Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any

這兩句是將static和conduit語句結合而生效的，192.168.0.3在內網是一臺web服務器，如今但願外網的用戶可以經過pix防火牆獲得web服務。因此先作static靜態映射把內部IP192.168.0.3轉換爲全局IP61.144.51.62，而後利用conduit命令容許任何外部主機對全局地址61.144.51.62進行http訪問。

小提示：對於上面的狀況不使用conduit語句設置允許訪問規則是不能夠的，由於默認狀況下PIX不允許數據包主動從低安全級別的端口流向高安全級別的端口。 

三、配置fixup協議：

fixup命令做用是啓用，禁止，改變一個服務或協議經過pix防火牆，由fixup命令指定的端口是pix防火牆要偵聽的服務。示例例子以下：

Pix525(config)#fixup protocol ftp 21 //啓用ftp協議，並指定ftp的端口號爲21

Pix525(config)#fixup protocol http 80

Pix525(config)#fixup protocol http 1080 //爲http協議指定80和1080兩個端口。

Pix525(config)#no fixup protocol smtp 80 //禁用smtp協議。

四、設置telnet：

在pix5.0以前只能從內部網絡上的主機經過telnet訪問pix。在pix 5.0及後續版本中，能夠在全部的接口上啓用telnet到pix的訪問。當從外部接口要telnet到pix防火牆時，telnet數據流須要用ipsec提供保護，也就是說用戶必須配置pix來創建一條到另一臺pix，路由器或***客戶端的ipsec隧道。另外就是在PIX上配置SSH，而後用SSH client從外部telnet到PIX防火牆。

咱們可使用telnet語句管理登陸PIX的權限。

telnet配置語法：telnet local_ip [netmask]

local_ip 表示被受權經過telnet訪問到pix的ip地址。若是不設此項，pix的配置方式只能由console進行。也就是說默認狀況下只有經過console口才能配置PIX防火牆。

小提示：因爲管理PIX具備必定的危險性，須要的安全級別很是高，因此不建議你們開放提供外網IP的telnet管理PIX的功能。若是實際狀況必定要經過外網IP管理PIX則使用SSH加密手段來完成。

ACL命令和過濾規則

訪問控制列表(ACL)是應用在路由器接口上的指令列表。這些指令列表用來告訴路由器哪些數據包能夠收、哪些數據包須要拒絕。至於數據包是被接收仍是拒絕，能夠由相似於源地址、目的地址、端口號等的特定指示條件來判斷決定。

將數據包和訪問列表進行比較時應遵循的重要規則：

1. 數據包到來，則按順序比較訪問列表的每一行。

2. 按順序比較訪問列表的各行，直到找到匹配的一行，一旦數據包和某行匹配，執行該行規則，再也不進行後續比較。

3. 最後一行隱含「deny」的意義。若是數據包與訪問列表中的全部行都不匹配，將被丟棄。

4. IP訪問控制列表會發送一個ICMP主機不可達的消息到數據包的發送者，而後丟棄數據包。

5. 若是某個列表掛接在實際接口上，刪除列表後，默認的deny any 規則會阻斷那個接口的全部數據流量。

有兩種類型的ACL：標準的訪問列表和擴展的訪問列表

標準訪問控制列表控制基於過濾源地址的信息流。編號範圍1-99，舉例：

router(config)#access-list 10 permit 172.16.0.0 0.0.255.255

router(config)#access-list 20 deny 192.168.1.0 0.0.0.255

router(config)#access-list 20 permit any //注意這個編號20的ACL的順序，若是調換順序，就不起任何做用。

router(config)#access-list 30 deny host 192.168.1.1 //host表精確匹配，默認掩碼碼爲0.0.0.0，指定單個主機。

注意：在訪問列表的最後默認定義了一條deny any any 語句。

擴展訪問控制列表比標準訪問控制列表具備更多的匹配項，包括協議類型、源地址、目的地址、源端口、目的端口、IP優先級等。編號範圍是從100到199，格式通常爲：

access-list ACL號 [permit|deny] [協議] [定義過濾源主機範圍] [定義過濾源端口] [定義過濾目的主機訪問] [定義過濾目的端口]

access-list 100 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255

access-list 101 deny tcp any host 192.168.1.1 eq www //這句命令是將全部主機訪問192.168.1.1上網頁服務（WWW）TCP鏈接的數據包丟棄。

access-list 101 permit tcp any host 198.78.46.8 eq smtp //容許來自任何主機的TCP報文到達特定主機198.78.46.8的smtp服務端口(25)

注意：這裏eq 就是等於的意思。端口號的指定能夠用幾種不一樣的方法。能夠用數字或一個可識別的助記符。可使用80或http或www來指定Web的超文本傳輸協議。對於使用數字的端口號，還能夠用"<"、">"、"="以及不等於來進行設置。 

命名訪問列表只是建立標準或擴展訪問列表的另外一種方法而已。所謂命名是以列表名代替列表編號來定義IP訪問控制列表的。舉例以下：

Router(config)#ip access-list extended http-not

Router(config-ext-nacl)#deny tcp 172.16.10.0 0.0.0.255 host 172.16.1.2 eq 23

Router(config-ext-nacl)# permit ip any any

Router(config-ext-nacl)#exit

入口訪問列表和出口訪問列表：經過上面方法建立的訪問列表，要應用到路由器的一個要進行過濾的接口上，而且指定將它應用到哪個方向的流量上時，才真正的被激活而起做用。

訪問列表的調用：在接口下使用：

router(config)#interface s0/1

router(config-if)# ip access-group 10 in

router(config-if)# ip access-group 20 out

ACL可在VTY下調用，但只能用標準列表：

R1(config)#access-list 10 permit 192.168.1.1

R1(config)#line vty 0 4

R1(config-line)#access-class 10 in

下面是通用的ACL配置規則：

1. 每一個接口、每一個協議或每一個方向上只能夠應用一個訪問列表。（由於ACL末尾都隱含拒絕的語句，通過第一個ACL的過濾，不符合的包都被丟棄，也就不會留下任何包和第二個ACL比較）。

2. 除非在ACL末尾有permit any命令，不然全部和列表條件不符的包都將丟棄，因此每一個ACL至少要有一個運行語句，以避免其拒絕全部流量。

3. 要先建立ACL，再將其應用到一個接口上，纔會生效。

4. ACL過濾經過路由器的流量，但不過濾該路由器產生的流量。

5. IP標準訪問列表儘量的應用在靠近目的地的接口上，由於他是基於源地址過濾的，放在源端沒有意義。

6. IP擴展訪問列表儘量的應用在靠近源地址的接口上，由於它能夠基於目的地址、協議等過濾，放在源端過濾，省得須要過濾的數據包還被路由到目的端才被過濾，以節省帶寬。

附.VTY線路的啓用/關閉(虛擬終端鏈接)

  VTY線路的啓用只能按順序進行，你不可能啓用line vty 10，而不啓用line vty 9。若是想啓用line vty 9，那麼你能夠在全局模式（或line模式）下輸入命令line vty 9 ，如： (config)#line vty 9 這樣系統會自動啓用前面的0-8線路。固然也能夠直接輸入line vty 0 9直接啓用10條線路。

  若是不想開啓這麼多條線路供用戶使用，那麼只須在全局模式下使用no line vty m [n]命令就能夠關閉第m後的線路，此時n這個數值無關緊要，由於系統只容許開啓連續的線路號，取消第m號線路會自動取消其後的全部線路。