思科路由器基础配置
实验总结
1.口令密码
------控制台线路登录口令:cisco
line console 0
password cisco
必须login
end 才能生效
------vty0–4 登录口令:cisco
line vty 0 4
password cisco
必须login
end 才能生效
------加密口令:class
enable secret class
------标语:AUTHORIZEDACCESS ONLY!
banner motd #AUTHORIZED ACCESS ONLY!#
2.时钟率
------DCE端配时钟,查看哪端是DCE
show controllers s0/0/0
------配时钟
clock rate 64000
3.封装和认证方式
------口令设置
username R2 password 0(0~7不同的加密等级) cisco123
------PPP封装,CHAP认证(接口模式下)
int s0/0/0
| encapsulation ppp |
|
华为命令:link-protocol ppp |
ppp authentication chap
4.OSPF
(通告与 R1 和 R3 相连的所有网络,但请勿将路由更新送出 LAN 接口以外。
在 R2 上,请勿通告 209.165.200.224 网络,并请勿将路由更新送出 Fa0/0或 Serial0/1/0 接口以外。)
------配置
router ospf 1
network 192.168.30.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.3 area 0
network 10.2.2.0 0.0.0.3 area 0
network 192.168.20.0 0.0.0.255 area 0
-------限制
passive-interface FastEthernet 0/0
passive-interface Serial0/1/0
-------默认路由注入
default-information originate【always】
5.DHCP
(配置 R1 充当 192.168.10.0 和 192.68.11.0 网络的 DHCP 服务器。)
-------配置
ip dhcp pool R1LAN1(创建地址池)
network 192.168.10.0 255.255.255.0(地址池范围--局域网)
default-router 192.168.10.1(该局域网的网关)
dns-server 192.168.20.254(该局域网的dns-server)
exit
ip dhcp excluded-address 192.168.10.1192.168.10.9(前九个地址不由dhcp进行分配)
ip dhcp excluded-address 192.168.11.1192.168.11.9(前九个地址不由dhcp进行分配)
-------细节
--在packetacer的service下打开dns功能,输入要添加的域名和地址
--pc端要打开dhcp获取地址网关等
6.ACL
-------标准访问控制列表
ip access-list standard R2NAT(数字或名称)
permit 192.168.10.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
(最后隐含deny any,若是deny. . . .,deny....则最后要加一条permit any将不满足的包放行)
--------查看ACL
show access-lists number/name
7.NAT
------静态NAT
ip nat inside source static 192.168.20.254(本地)209.165.202.131(全局)
------动态NAT
ip nat pool R2POOL 209.165.202.129(起始地址)209.165.202.130(尾部地址) netmask 255.255.255.252(子网掩码)----创建NAT地址池
ip nat inside source list R2NAT poolR2POOL-----将R2NAT(ACL)中所有ip地址转化为R2POOL中的接口地址
--在各个NAT接口上标记内外(千万别忘!)
interface Serial0/0/1
ip nat inside
interface Serial0/1/0
ip nat outside
------查看有效的NAT转换
show ip nat translations
8.vlan相关配置
1.首先创建相关vlan,将相关命名以便管理
2.不用的接口划分到不用的vlan下并将其关闭(安全考虑)
3.语音,数据,管理,默认vlan分开
管理vlan不用vlan1和使用的vlan,用switchport trunk native vlan xx设置其他vlan做管理vlan
4.本地vlan不用vtp
5.trunk封装使用IEEE 802.1Q并关闭DTP(动态协商协议)
6.手动配置trunk和access接口
--------大多数交换机上的默认自动中继配置功能使攻击者能够配置一个系统来欺骗交换机,从而取得网络访问权。通过交换机欺骗或 double tagging 攻击可以尝试进行 VLAN 跳跃攻击。
-------在交换机(VLAN 数据库中无此 VLAN)的 Fa0/18 端口上发出 switchportaccess vlan 20 会强制创建一个vlan
vlan TS
1.首先确定网络是否连接正常(iP地址,子网掩码和默认网关,接口是否打开等)
2.相关vlan是否创建
3.接口类型,以及划分到的vlan是否正确
4.trunk链路是否允许相关vlan流量通过
switchporttrunk allowed vlan xx,xx,xx
5.管理vlan是否划分了iP地址且打开
9.端口安全
switch(config)#int f0/0
switch(config-if)#switchport mode access /配置此接口为接入接口,不能是中继接口/
switch(config-if)#switchport port-security/启用端口安全/
switch(config-if)#switchport port-securitymac-address mac
/指定允许向这个接口内发送帧的mac地址。多次使用此命令,可定义多个mac地址/
其它命令:
---switch(config-if)#switchportport-security macaddress sticky
/与上面命令功能一样。利用粘贴学习,动态的获悉和配置当前已连接主机的mac地址/
---switch(config-if)#switchportport-security maxinum
/指定当前接口最多允许多少个mac地址,默认为一个/
switch(config-if)#switchport port-securityviolation {protect | restrict | shutdown}
/规定在接收到来自规定地址之外某个mac地址帧时应该采取的动作,默认是关闭该端口/
switch#show port-security int f0/0 /查看接口安全的状态/
思科 port security violation mode 三种模式的区别
1、protect 模式,当违规时,只丢弃违规的数据流量,不违规的正常转发,而且不会通知有流量违规,也就是不会发送SNMP trap ;
2、restrict ,当违规时,只丢弃违规的流量,不违规的正常转发,但它会产生流量违规通知,发送SNMP trap,并且会记录日志;
3、shutdown,这个是默认模式,当违规时,将接口变成error-disabled并shut down,并且接口LED灯会关闭,也会发SNMPtrap,并会记录syslog。当接口被error-disabled后,要恢复,可以在接口上使用命令:shutdown 后no shutdown
-------ip dhcp snooping trust一般只在交换机连接服务器的接口或TRUNK接口上配置
10.VTP配置
1.请注意,端口分配不是通过 VTP 配置的。所以在配置vtp或是排错时,一定要先划分接口到vlan下这样才能保证vtp域是通的。
(记住,保持一致性的是vlan,不包括划分到vlan的端口)
(vtp版本号,域名,密码,模式)
2.当服务器无法向客户端同步vlan信息时,看交换机间的trunk中继是否正常
(即vtp成功的前提是trunk正常)
3.在一个vtp域中,如果两边设置不同的域名的话,互相是不会干扰的
但是如果在服务端还未配域名,有了域名的新客户端加入等情况。一个无论是配置版本比server高还是低,client有域名,但是server没有的话,server会同步这个域名,但是VLAN信息还是根据配置版本高低来决定 client高的话,server同步client,client低的话,同步server的。(即配置版本号或叫修订号最新的决定整个域的配置)
11.STP理解
每个vlan有一个生成树实例,由于根桥优先级也就是优先级+vlan号,所以每个vlan的同一交换机优先级都不同(比如vlan20和vlan10的优先级差10),一般不影响根桥的选举,生成树的结构一致。
但如果不同vlan的生成树一致的情况有时会导致中继和根桥的负担太重,从而致使高峰时期网络延迟变大,这时候可以让每个vlan的根桥分开,比如原本S1为vlan10,20,30的根桥,通过更改优先级的方式让S1做vlan10的根桥,S2做vlan20的根桥,S3做vlan30的根桥从而流量均衡的流向相应的转发接口和中继链路减轻链路负担。
根据BPDUPRIORITY来选举根桥
优先级=优先级+vlan号
16位 =4位 +12位
2的12次方是4096所以优先级都是4096的倍数
(网桥ID来决定)
--根桥的所有接口都是指定接口designate port
--非根桥与根桥最近的接口是根接口(只有一个),如果接终端,即接每一个网段或每一个vlan一个指定接口,其他接口都是非指定接口;如果接交换机,则与相连交换机最近的接口是指定接口。
端口行为
1.禁用
2.阻塞blocking--接收BPDU
3.监听listening--发送和接收BPDU,15s监听结束若没收到消息就宣称自己为根桥
4.学习learning--发送和接收BPDU,获悉MAC地址
(在角色确定后,开始登记各个终端的MAC地址和接口号)
5.转发forwarding--发送接收BPDU,发送接收数据帧
根桥每2s发一次配置BPDU
开销看接口(接收BPDU接口的成本累加)
注意:
在ospf中通告网络时,网络号后接的不是子网掩码而是通配符掩码(反掩码)!!!
查看IP地址(二层交换机只能在vlan1上配置IP地址):show int vlan 1
查看特定VLAN的生成树:show spanning-tree vlan 11
根桥的指定:
全局下:spanning-treevlan 1 root primary (强制指定根桥)spanning-tree vlan 1 priority [4096的倍数]值越小,优先级越高,0是最高的优先级
帧中继封装
interfaceSerial0/0/0
ipaddress 10.1.1.1 255.255.255.252
encapsulationframe-relay
frame-relay map ip 10.1.1.2 201 broadcast //静态帧中继映射
禁止直连链路的telnet(使用ACL)
R2(config)#access-list101 deny tcp host 192.168.1.1 any eq 23
//101代表扩展ACL(100-1999),telnet属于tcp协议,hosting代表绝对匹配一个主机 telnet协议的端口号是23
如果发现网络不通,相应的路由条目却有,一定要看是不是有ACL拦截了流量(ACL配置错误||ACL方向错误||调用ACL时名字输错而每个ACL都默认一条deny any)