思科路由交换部分命令大全。

交换机部分命令

1、交换机模式切换

Swith>enable //切换到特权

Swith#config t //切换到全局配置模式

Swith(config)# interface f0/1 //进入接口f0/0

Swith(config)# interface vlan 1 //进入VLAN 1中

Swith(config-if)#ip address 192.168.1.1 255.255.255.0 //对VLAN1设置IP地址和子网掩码

Swith(config-if)#no shutdown //激活VLAN1

2、设置交换机的密码

一、用户到特权的密码

Swith(config)#enable password 123 (优先级低)

Swith(config)#enable secret 456 (优先级高) //若是两个都设置则456生效

二、控制台console密码设置

Swith(config)# line con 0

Swith(config-line)#login

Swith(config-line)#password console123 //设置console密码为telnet123

三、启用telnet密码

Swith(config)#line vty 0 15 //最多有0~15人能够telnet访问swith，合计16人

Swith(config-line)#login

Swith(config-line)#password telnet123 //设置telnet密码为telnet123

注：要想真正生效telnet还要设置特权密码

3、交换机命名hostname BENETSW01

Swith(config)#hostname BENETSW01 //使用hostname命名交换机的名字

4、show命令集

Swith#show version //显示IOS版本信息

Swith#show int vlan 1 brief //简单的显示VLAN1的信息

Swith#show running-config //显示正在运行的配置文件

Swith#show startup-config //显示己经保存的配置文件

Swith#show mac-address-table //显示MAC地址表

Swith#show mac-address-table //显示MAC地址表更新的间隔，默认为5分钟

Swith#show neighbor detail //显示邻居详细信息

Swith#show traffic //显示CDP流量

Swith#show version //显示自身MAC地址

5、设置交换机的网关和DNS名称服务器的IP地址

Swith(config)# ip default-gateway 192.168.10.8 //交换机的网关设置为192.168.10.8

Swith(config)#ip domain -name server 202.106.0.20 //设置DNS名称服务器地址

Swith(config)# no ip domain-lookup //交换机名称服务器的域名查询

6、建立、删除、查看VLAN

禁用 DTP协商 Switch(config-if)# switchport nonegotiate
Switch#vlan database //进入vlan数据库配置模式

Switch(vlan)#vlan 2 //建立VLAN2自动命名为vlan0002，同vlan2 name sales

VLAN 2 added:

Name: VLAN0002

Switch(vlan)#exit //退出时应用生效

Swith(vlan)#no vlan 2 //删除vlan2

Switch(config)# interface f0/1
Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan 2 //将端口加入vlan 2中

Switch(config-if)# no switchport access vlan 2 //将端口从vlan2中删除

Switch(config)# interface range f0/1 – 10 // 进行F0/1到10端口范围

Switch(config-if-range)# switchport access vlan 2 //将f0/1到f0/10之间的全部端口加入vlan 2

Switch# show vlan brief //查看全部VLAN的摘要信息

Switch# show vlan id (vlan-id ) //查看指定VLAN的信息

7、开启并查看trunk端

Swith(config)#interface f0/24

Swith(config-if)#swith mode trunk //将f0/24端口设置为trunk

Switch#show interface f0/24 switchport //查看f0/24的接口状态

8、从Trunk中添加、删除Vlan

Switch (config-if )# switchport trunk allowed vlan remove 3 //从trunk端口删除v lan3经过

Switch (config-if)# switchport trunk native vlan a3 //从trunk端口添本征Vlan

Switch # show interface interface-id switchport //检查中继端口容许VLAN的列表

9、单臂路由配置

Router(config)# interface f0/0.1

Router(config-subif)# encapsolution dot1q 1 //子接口封装dot1q 针对的是VLAN1

Router(config-subif)# ip address 192.168.1.1 255.255.255.0 //设置VLAN的网关地址

Router(config)# interface f0/0.2

Router(config-subif)# encapsolution dot1q 2 //子接口封装dot1q针对的是vlan2

Router(config-subif)# ip address 192.168.2.1 255.255.255.0 //设置vlan2的网关的地址

10、配置VTP服务器

S1#vlan database //进入vlan配置模式

S1(vlan)#vtp server //设置该交换机为VTP服务器模式，考试时选默认是透明模式，但思科是默认为服务器模式。

S1(vlan)#vtp domain domain-name //设置VTP管理域名称

S1(vlan)#vtp pruning //启用VTP修剪功能

S1(vlan)#exit

S1#show vtp status //显示VTP状态信息

11、配置VTP客户端

S2#vlan database

S2(vlan)#vtp client //设置该交换机为VTP客户端模式

S2(vlan)#vtp domain domain-name //这里域名必须和上面的vtp服务器设置的domain名称同样

S2(vlan)#exit

12、交换机基本配置---mac地址配置

Switch(config)#mac-address-table aging-time 100 //设置学习的MAC地址的超时时间，默认300s

Switch(config)#mac-address-table permanent 0050.8DCB.FBD1 f0/3 //添加永久地址

Switch(config)#mac-address-table resticted static 0050.8DCB.FBD2 f0/6 f0/7 //加入限制性静态地址，它是在设置永久性地址的基础上，同时限制了源端口，它只容许所static配置的接口（f0/6）与指定的端口（f0/7）通讯，提升安全性。

Switch(config)#end

Switch#show mac-address-table （查看MAC地址表）

Switch#clear mac-address-table dynamic （清除动态学习的MAC地址表项）

Switch#clear mac-address-table resticted static (清除配置的限制性MAC地址表项)

十3、生成树快速端口(PortFast)配置

STP PortFast是一个Catalyst的一个特性。在STP中，只有forwarding状态，port才能发送用户数据。若是一个port一开始是没有接pc，一旦pc接上，就会经历blocking(20s)->listening(15s)->learing(15s)->forwarding状态的变化。这样从pc接上网线，到能发送用户数据，缺省的配置下须要等50秒的时间，但若是设置了portfast，就使得该端口再也不应用STP算法，一旦该端口物理上能工做，就当即将其置为“转发”状态。在基于IOS交换机上，PortFast只能用于链接到终端设备的接入层交换机端口上。

开启PortFast命令：

Switch(config)#interface f0/1

Switch(config-if)#spanning-tree portfast

若是把批次开启能够用：

Switch(config)#interface range f0/1 – 3

Switch(config-if-range)#spanning-tree portfast //注：只有在确认不会产生环路的端口上开启快速端口。

在交换机上配置 BPDU 防御
Switch(config)#interface f0/1

Switch(config-if)#spanning-tree bpduguard enable
————————————————————————————————
配置生成树 PVST+ 负载均衡。
主根
Switch(config)#spanning-tree vlan 10 root primary

次根
Switch(config)#spanning-tree vlan 10 root secondary
——————————————————————————————————————
配置 STP 模式
使用 spanning-tree mode 命令将交换机配置为以 STP 模式使用 PVST

Switch(config)#spanning-tree mode pvst

十4、STP的负载均衡配置

一、使用STP端口权值（优先级）实现负载均衡

当交换机的两个口造成环路时，STP端口优先级用来决定那个口是转发状态，那个处于阻塞的。能够经过修改Vlan对应端口的优先级来决定该VLAN的流量走两对Trunk链路中那一条。

如上图，咱们用端口F0/23作Trunk1，用f0/24作Trunk2。具体配置以下：

<1>、配置VTP、VLAN及Trunk（和上面VLAN配置过程同样，咱们把S1设成服务器模式，S2设为客户端模式）

（配置vtp----在S一、S2上）

S1#vlan database //进入VLAN配置子模式

S1(vlan)#vtp server

S1(vlan)#vtp domain vtpserver //这三步也要在S2上执行，只是把第二步的Vtp server 换成vtp client

（配置Trunk----在S一、S2上）

S1(config)#interface f0/23

S1(config-if)#switchport mode trunk

S1(config-if)#exit

S1(config)#interface f0/24

S1(config-if)#switchport mode trunk //在S2上执行一样的这几步操做。

（配置VLAN----只在S1上）

S1#vlan database

S1(vlan)#vlan 2 name vlan2

S1(vlan)#vlan 3 name vlan3

… //依次建立2-5 vlan。

S1(vlan)#exit

<2>、配置STP优先级----在vtp服务器S1上配置

S1(config)#interface f0/23 //进入f0/23端口配置模式，Trunk1

S1(config-if)#spanning-tree vlan 1 port-priority 10 //将vlan 1的端口优先级设为10（值越小，优先级越高！）

S1(config-if)#spanning-tree vlan 2 port-priority 10 //将vlan 2的设为10，vlan3-5在该端口上是默认的128

S1(config-if)#exit

S1(config)#interface f0/24 //进入f0/24，Trunk2

S1(config-if)#spanning-tree vlan 3 port-priority 10

S1(config-if)#spanning-tree vlan 4 port-priority 10

S1(config-if)#spanning-tree vlan 5 port-priority 10 //同上，将vlan3-5的端口优先级设为10

因为咱们分别设置了不一样Trunk上不一样VLAN的优先级。而默认是128，这样，STP协议就能够根据这个优先级的大小来使Trunk1发送接收vlan1-2的数据；Trunk2发接vlan3-5的数据，从而实现负载均衡。

二、使用STP路径值实现负载均衡

如图示：Trunk1走VLAN1-2的数据，而Trunk2走VLAN3-5的数据。

其中vtp、vlan、和trunk端口的配置都和上面同样，再也不列出。各项都配置好后，在服务器模式的交换机S1上执行路径值的配置（路径值也叫端口开销，IEEE802.1d规定默认值：10Gbps=2；1Gbps=4；100Mbps=19；10Mbps=100）

S1(config)#interface f0/23

S1(config-if)#spanning-tree vlan 3 cost 30

S1(config-if)#spanning-tree vlan 4 cost 30

S1(config-if)#spanning-tree vlan 5 cost 30 //分别设置vlan 3-5生成树路径值为30

S1(config-if)#exit

S1(config)#interface f0/24

S1(config-if)#spanning-tree vlan 1 cost 30

S1(config-if)#spanning-tree vlan 2 cost 30

这样，经过将但愿阻断的VLAN的生成树路径设大，stp协议就会阻断该VLAN从该Trunk上经过。

5、EtherChannel

EtherChannel有两个版本，Cisco的称为端口聚合协议PAgP(Port Aggregation Protocol)，IEEE的802.3ad标准称为链路汇聚控制协议LACP(Link Aggregation Control Protocol)，他们的配置有些不一样。

为避免有冗余链路的网络环境里出现环路，咱们采用STP技术，但Spanning Tree冗余链接的工做方式是：除了一条链路工做外，其他链路其实是处于待机(Stand By)状态。那么能不能把这些冗余的链路利用起来以增长带宽呢？又如何让两条或多条链路同时工做呢？这就是在网络工程中经常使用的EtherChannel技术。Etherchannel特性在交换机到交换机、交换机到路由器、交换机到服务器之间提供冗余的、高速的链接方式，简单说就是将两个设备间多条FE或GE物理链路捆在一块儿组成一条设备间逻辑链路，从而达到增长带宽，提供冗余的目的。该技术容错能力好, 实体线路中断能够在数秒内切换至别条线路使用。

以太channel在交换机间或者交换机和主机间提供最多800Mbps（fast etherchnnel）或者最多8Gbps（Gigabit etherchannel）的全双工带宽。一个以太channel 最多由八个配置正确的端口构成。全部在同一个以太channel 中的接口必须具备相同的特性(如双工模式、速度、同为FE或GE端口、native VLAN,、VLAN range,、and trunking status and type.等)，而且都要同时配置成二层接口或者三层接口。

设定范例:

S1(config)#interface range f0/1 - 2

S1(config-if-range)#channel-group 1 mode passive

//表示将Fa0/1,Fa0/2设成同一个group, 使用LACP的被动模式!

S2(config)#interface range f0/1 - 2

S2(config-if-range)#channel-group 1 mode active

//将另外一边的端口也以一样方式设定, 但mode设成active便可, 交换机会本身新增一个虚拟端口: Port-channel1(Po1), 它和实体接口同样使用,其成本为12。

检查其状态，可用命令:

show etherchannel detail;

show etherchannel load-balance;

show etherchannel port

show etherchannel port-channel;

show etherchannel protocol;

show etherchannel summary

路由部分命令

1、路由器的模式

v 用户模式：Router> //用户模式

v 特权模式：Router# //特权模式

v 全局配置模式：Router(config)# //配置模式

v 接口配置模式：Router(config-if)# //接口模式

v 子接口配置模式：Router(config)#interface fa0/0.1 //进入子接口

Router(config-subif)# //子接口状态

v Line模式：Router(config-line)# //进行线模式

v 路由模式：Router(config-router)# //路由配置模式

2、配置静态路由条目

Router(config)#ip route 192.168.10.0 255.255.255.0 192.168.9.2 //到达192.168.10.0网段及掩码须要通过相邻路由器的接口的IP地址

3、配置默认路由

Router B(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2 //因此外出的数据包若是找不到路由表目均找192.168.2.2接口

4、密码配置

v 配置控制台密码

teacher(config)#line console 0

teacher((config_line)#login

teacher((config_line)#password cisco

teacher(config)#enable password cisco //配置特权模式密码

teacher(config)#enable secret 1234 //配置加密保存的密码

teacher(config)#service password-encryption //对全部密码加密

5、配置路由器的banner信息

teacher(config)#banner motd $This is Aptech company’s Router! Please don’t change the

configuration without permission! $

6、配置路由器接口的描述信息

teacher(config)#interface fastethernet 0/0

teacher(config_if)#description connecting the company’s intranet!

7、配置控制台

v 配置控制台会话时间

teacher(config)#line console 0

teacher(config_line)#exec-timeout 0 0

v 配置控制台输出日志同步

teacher(config)#line console 0

teacher(config_line)#logging synchronous

8、动态路由相关命令

Router(config)# router rip //启动RIP进程

Router(config-router#version 2 //指定启动rip v2版本

Router(config-router)# network network-number //宣告主网络号

Router# show ip route //查看路由表

Router#show ip route static //仅显示静态路由信息

Router# show ip protocols //查看路由协议配置

Rouetr# debug ip rip //打开RIP协议调试命令

9、动态路由配置

RouterA(config)#interface f0/0

RouterA(config-if)#ip address 192.168.1.1 255.255.255.0

RouterA(config-if)#no shutdown

RouterA(config)#interface f0/1

RouterA(config-if)#ip address 10.0.0.2 255.0.0.0

RouterA(config-if)#no shutdown

RouterA(config)#router rip

RouterA(config-router)#network 10.0.0.0

RouterA(config-router)#network 192.168.1.0

10、路由器密码恢复

进入ROM Monitor模式

修改配置寄存器的值，启动时绕过startup-config文件：

rommon1>confreg 0×2142

rommon2>reset

用startup-config覆盖running-config：

Router#copy startup-config running-config

修改密码：

Router(config)#enable password cisco

修改配置寄存器的值：

Router(config)#config-register 0×2102

⊙该文章转自[大赛人网站(技能大赛技术资源网)-DaisaiRen.com] 原文连接：

11、×××配置

环境：接口地址都已经配置完，路由也配置了，双方能够互相通讯.

密钥认证的算法2种：md5和sha1

加密算法2种： des和3des

IPsec传输模式3种：

AH验证参数:ah-md5-hmac(md5验证)、ah-sha-hmac(sha1验证)

ESP加密参数：esp-des(des加密)、esp-3des(3des加密)、esp-null（不对数据进行加密）

ESP验证参数：esp-md5-hmac(md5验证)、esp-sha-hmac(采用sha1验证)

1 启用IKE协商

路由器A

routerA(config）#crypto isakmp policy 1 //创建IKE协商策略（1是策略编号1-1000，号越小，优先级越高）

routerA(config-isakmap)#hash md5 //选用md5密钥认证的算法

routerA(config-isakmap)#authentication pre-share //告诉路由使用预先共享的密钥

routerA(config)#crypto isakmp key 12345 address 20.20.20.22 //12345是设置的共享密钥,20.20.20.22是对端的IP

路由器B

routerB(config)#crypto isakmp policy 1

routerB(config-isakmap)#hash md5

routerB(config-isakmap)#authentication pre-share

routerB(config)#crypto isakmp key 12345 address 20.20.20.21 //路由B和A的配置除了这里的对端IP地址，其它都要同样的）。

2 配置IPSec相关参数

路由器A

routerA(config)#crypto ipsec transform-set test ah-md5-hamc esp-des

//test传输模式的名称。ah-md5-hamc esp-des表示传输模式中采用的验证参数和加密参数。

routerA(config)#acess-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

//定义哪些地址的报文加密或是不加密。

路由器B

routerB(config)#crypto ipsec transform-set test ah-md5-hamc esp-des

routerB(config)#acess-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

//路由器B和A的配置除了这里的源和目的IP地址变了，其它都同样。

3 设置crypto map （把IKE的协商信息和IPSec的参数，整合到一块儿，起一个名字）

路由器A

routerA(config)#crypto map testmap 1 ipsec-isakmp

//testmap:给crypto map起的名字。1：优先级。ipsec-isakmp:表示此IPSec连接采用IKE自动协商

routerA(config-crypto-map)#set peer 20.20.20.22 //指定此×××链路，对端的IP地址

routerA(config-crypto-map)#set transform-set test //IPSec传输模式的名字。

routerA(config-crypto-map)#match address 101 //上面定义的ACL列表号

路由器B

routerB(config)#crypto map testmap 1 ipsec-isakmp

routerB(config-crypto-map)#set peer 20.20.20.21 （和A路由的配置只有这里的对端IP不同）

routerB(config-crypto-map)#set transform-set test

routerB(config-crypto-map)#match address 101

4 把crypto map 的名字应用到端口

routerA(config)#inter s0/0 (进入应用×××的接口）

routerA(config-if)#crypto map testmap （testmap：crypto map的名字）

B路由器和A设置彻底同样。

5 查看×××的配置

Router#show crypto ipsec sa //查看安全联盟（SA）

router#show crypto map //显示crypto map 内的全部配置

router#show crypto isakmp policy //查看优先级

12、RIP 协议的配置

RIP配置：

R(config)# router rip

R(config)# network 10.0.0.0（一个有类网络号，要声明全部链接到该路由器接口上的有类网络）

RIPv2配置：

R(config)# version 2

RIP抑制（被动接口）：

R(config)# passive-interface s0/0(表示s0/0接口只接受RIP路由更新而再也不发送更新)

十3、终端服务器的配置

能够经过配置终端服务器（Terminal server）来实现用一台PC机同时访问多个网络设备（如路由器或交换机），减小配置管理的负担。终端服务器是路由器的一种功能，如今大多路由器均可以经过加装异步/同步网络模块用做终端服务器。

如上图：PC机与终端服务器之间经过Console线缆直接相连；终端服务器经过1拖8与两台路由器相连，线号为1和2。

终端服务器的配置清单以下：

hostname Term_Server

!

interface loopback0 //增长一个loopback接口，用于逆向Telnet

ip address 10.1.1.1 255.255.255.255 //最节省地址空间的方法设置一个ip给环回接口。

!

ip host router1 2001 10.1.1.1 //配置主机表，使得router1与2001，router2与2002联系起来，方便访问其余路由器

ip host router2 2002 10.1.1.1 //咱们访问它们时就不用telnet 10.1.1.1 2001，而直接用主机名：router1

!

line 1 8

no exec //在line1-8上配置no exec禁止这8条异步线路上产生EXEC进程，而只容许从终端服务器到其余路由器的链接。

transport input all //指明在这8条线路的输入方向上容许全部的协议。

配置好后，首先登陆到终端服务器：

Term_Server#

Term_Server#router1

Trying router1 (10.1.1.1,2001) …Open

Router1>

这时能够用会话切换命令Ctrl+Shift+6 而后按X，切换回终端服务器：

Term_Server#

Term_Server#router2

Trying router1 (10.1.1.1,2002) …Open

Router2>

< Ctrl+Shift+6，x>

Term_Server#show sessions

Term_Server#disconnect 2 //断开会话2

Term_Server#show line 1 //查看线路1状态

Term_Server#clear line 2 //清除线路2

十4、单区域/多区域OSPF 协议的配置

路由器R1

Interface e0

ip address 192.1.0.129 255.255.255.192

Interface s0

ip address 192.200.10.5 255.255.255.252

router ospf 100

network 192.200.10.1 0.0.0.3 area 0

network 192.1.0.128 0.0.0.63 area 1

路由器R2

Interface e0

ip address 192.1.0.65 255.255.255.192

Interface s0

ip address 192.200.10.6 255.255.255.252

router ospf 200

network 192.200.10.4 0.0.0.3 area 0

network 192.1.0.64 0.0.0.63 area 2

路由器R3

Interface e0

ip address 192.1.0.130 255.255.255.192

router ospf 300

network 192.1.0.128  0.0.0.63  area 1

路由器R4

Interface e0

ip address 192.1.0.66 255.255.255.192

router ospf 400

network 192.1.0.64  0.0.0.63  area 2

注：实际配置通配符掩码时，记住其值就等于：块大小-1；/28块大小是16，通配符就用15

广域网配置

1、ISDN配置

ISDN(综合业务数字网)，提供两种类型的访问接口，即基本速率接口BRI和主要速率接口PRI。ISDN BRI提供2B64+D16

PRI提供30B+D(均为64Kb/s)。下面经过一个实例来讲明两台路由器经过ISDN线路链接时最基本的配置。

R1配置

R1(config)#isdn switch-type basic.net3 //设置交换机类型为basic-net3，这取决于所链接的ISDN类型，中国用的这个

R1(config)#interface bri 0 //进入BRI接口配置模式

R1(config-if)#ip address 192.168.1.1 255.255.255.0 //设置接口IP地址

R1(config-if)#encapsulation ppp //设置封装协议为PPP

R1(config-if)#dialer string 80000002 //设置拨号串，为对方的ISDN号

R1(config-if)#dialer-group 1 //在该接口应用拨号列表1的设置

R1(config-if)#no shutdown //激活端口

R1(config-if)#exit

R1(config)#dialer-list 1 protocol ip permit //设置拨号列表1，即当IP包须要在该拨号链路上传输时引发拨号

R2配置

R2(config)#isdn switch-type basic.net3

R2(config)#interface bri 0

R2(config-if)#ip address 192.168.1.2 255.255.255.0 //设置接口IP地址

R2(config-if)#encapsulation ppp

R2(config-if)#dialer string 80000001 //设置拨号串，为对方(R1)的ISDN号

R2(config-if)#dialer-group 1

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#dialer-list 1 protocol ip permit //R2和R1配置基本相同

2、PPP配置

PPP(点对点协议)，DDR是按需拨号路由，通常在实际应用中，ISDN、PPP、DDR常常综合应用

下面结合实例说明基本的配置命令：

R1

R1(config)#username R2 password 0 ciso //定义用户名和口令，注意用户名设为对方，口令双方设置一致。

因为是在ISDN线路进行PPP封装，对ISDN和端口的基本配置都和上面ISDN的配置相同，下面只列出配置清单。

isdn switch-type basic.net3

Interface E0

ip address 10.1.1.1 255.25.255.0

Interface BRI0

ip address 192.168.1.1 255.255.255.0

encapsulation ppp

dialer idle-timeout 300

//设置拨号空闲时间，若是超时没有IP数据包从该接口发送，就断开链接。默认120s

dialer map ip 192.168.1.2 name R2 broadcast 80000002 (注：设置的IP、name、isdn号都是对方的)

//设置拨号映射，当有列表定义的数据包传输时就使用这个定义的映射发起拨号链接并进行认证操做。

ppp multilink //启用PPP多链路的功能特性

dialer load-threshold 128

//设置启用多链路的条件，即：当实际负载占一个B信道带宽的（128/256）%=50%时，就启用第二个B信道，设为1时为无条件启用2个B信道。

dialer-group 1

no cdp enable //一般在拨号链路上都禁用CDP发现协议

ppp authentication chap //设置PPP认证方式为CHAP，或设为：pap (口令认证方式)。或设为：chap pap(混合模式)。

ip route 10.1.2.0 255.255.255.0 192.168.1.2

dialer-list 1 protocol ip permit

R2配置基本和R1相同，只有下面几个地方需注意配置正确的参数：

username R1 password 0 ciso

ip address 10.1.2.1 255.25.255.0

ip address 192.168.1.2 255.255.255.0

dialer map ip 192.168.1.1 name R1 broadcast 80000001

ip route 10.1.1.0 255.255.255.0 192.168.1.1

3、帧中继配置

帧中继是X.25的简化版本。帧中继广域网设备分为DTE和DCE，路由做为DTE设备。帧中继提供面向链接的数据链路层通讯。

经过帧中继虚电路为每一个链路分配一个链路识别码（DLCI）.

一、 配置帧中继交换机：

就是配置一个帧中继的环境，为下面的基本帧中继配置作准备，现以一个具备3个串行接口的路由器为例，经过下面配置来实现全网状的帧中继环境。（全网状是指在这个帧中继环境中任何两个结点间都存在一条虚电路）

每一个接口上的DLCI都标在图上，虚线箭头表示两结点间的虚电路。下面是配置清单：

Interface serial1

no ip address

encapsulation frame-relay

clockrate 64000

frame-relay lmi-type cisco

frame-relay lmi-type dce

frame-relay route 102 interface serial2 201

frame-relay route 103 interface serial3 301

!

Interface serial2

no ip address

encapsulation frame-relay

clockrate 64000

frame-relay lmi-type cisco

frame-relay lmi-type dce

frame-relay route 201 interface serial1 102

frame-relay route 203 interface serial3 303

!

Interface serial3

no ip address

encapsulation frame-relay

clockrate 64000

frame-relay lmi-type cisco

frame-relay lmi-type dce

frame-relay route 301 interface serial1 103

frame-relay route 303 interface serial2 203

配置完成，用show frame route显示完整路由信息

二、 基本帧中继配置

上面的帧中继环境已经配置好，如今在该环境中接入两个路由器，以实现端到端的连通性。

1、配置基本的帧中继链接

这里忽略E0口的IP配置和no shutdown激活配置

路由器R1

R1(config)#interface s0

R1(config-if)#ip address 19.168.1.1 255.255.255.0

R1(config-if)#encap frame-relay

//该接口使用帧中继封装

R1(config-if)#no frame-relay inverse-arp //关闭帧中继逆向ARP

R1(config-if)#frame map ip 192.168.1.2 cisco

R1(config-if)#no shutdown

R1(config-if)#end

路由器R2

R2(config)#interface s0

R2(config-if)#ip address 19.168.1.2 255.255.255.0

R2(config-if)#encap frame-relay

//该接口使用帧中继封装

R2(config-if)#no frame-relay inverse-arp //关闭帧中继逆向ARP，防止多个DLCI之间的映射产生混乱。

R2(config-if)#frame map ip 192.168.1.1 cisco

R2(config-if)#no shutdown

R2(config-if)#end

2、配置静态路由并测试连通性。静态路由配置方法上面已经学习，再也不详述。而后可使用下列命令查看配置状态信息。

Show frame pvc； Show frame map； Show frame traffic； Show frame lmi

4、 L2TP配置与测试

第二层通道协议（Layer 2 Tunneling Protocol）是一普遍使用的隧道技术，应用L2TP，方便远程用户随时经过Internet安全的接入公司局域网。L2TP有两种报文：

控制报文：创建、维护和释放隧道。

数据报文：包装经过隧道传输的PPP帧。L2TP配置实例：

Vpdn-group 1 //建立vpdn组1，并记入VPDN组1配置模式。

Accept-dialin protocol l2tp virtual-template 1 terminate-from hostname as8010

//接受L2TP通道链接请求，并根据Virtual-template 1建立Virtual-access接口。

Local name keith //设置Tunnel本端名称为Keith

Lcp renegotiation always //LCP再次协商

No l2tp tunnel authentication //设置不验证通道对端。

PIX防火墻配置

PIX配置专题 六个基本命令

PIX是CISCO公司开发的防火墙系列设备，主要起到策略过滤，隔离内外网，根据用户实际需求设置DMZ（停火区）。它和通常硬件防火墙同样具备转发数据包速度快，可设定的规则种类多，配置灵活的特色。配置PIX防火墙有六个基本命令：nameif，interface，ip address，nat，global，route。

咱们先掌握这六个基本命令，而后再学习更高级的配置语句。

一、nameif配置防火墙接口的名字，并指定安全级别：

Pix525(config)#nameif ethernet0 outside security0 //命名e0为outside,安全级别为0。该名称在后面使用

Pix525(config)#nameif ethernet1 inside security100 //命名e1为inside，安全级别为100。安全系数最高

Pix525(config)#nameif dmz security50 //设置DMZ接口为停火区，安全级别50。安全系数居中。

在该配置中，e0被命名为外部接口（outside），安全级别是0；以e1被命名为内部接口（inside），安全级别是100。安全级别取值范围为1到99，数字越大安全级别越高。

二、配置以太口参数（interface）：

Pix525(config)#interface ethernet0 auto //设置e0为AUTO模式，auto选项代表系统网卡速度工做模式等为自动适应，这样该接口会自动在10M/100M，单工/半双工/全双工直接切换。

Pix525(config)#interface ethernet1 100 full //强制设置以太接口1为100Mbit/s全双工通讯。

Pix525(config)#shutdown //关闭端口

小提示：在节假日须要关闭停火区的服务器的服务时能够在PIX设备上使用interface dmz 100full shutdown,这样DMZ区会关闭对外服务。

三、配置内外网卡的IP地址（ip address）

Pix525(config)#ip address outside 61.144.51.42 255.255.255.248 //设置外网接口为61.144.51.42，子网掩码为255.255.255.248

Pix525(config)#ip address inside 192.168.0.1 255.255.255.0 //设置内网接口IP地址、子网掩码。

你可能会问为何用的是outside和inside而没有使用ethernet1，ethernet0呢？其实这样写是为了方便咱们配置，不容易出错误。只要咱们经过nameif设置了各个接口的安全级别和接口类别，接口类别就表明了相应的端口，也就是说outside=ethernet0，inside=ethernet1。

四、指定要进行转换的内部地址（nat）

NAT的做用是将内网的私有ip转换为外网的公有ip，Nat命令老是与global命令一块儿使用，这是由于nat命令能够指定一台主机或一段范围的主机访问外网，访问外网时须要利用global所指定的地址池进行对外访问。

nat命令配置语法：nat (if_name) nat_id local_ip [netmark]

其中（if_name）表示内网接口名字，如inside，Nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网全部主机能够对外访问。[netmark]表示内网ip地址的子网掩码。示例语句以下：

Pix525(config)#nat (inside) 1 0.0.0.0 0.0.0.0 //启用nat,内网的全部主机均可以访问外网，能够用0表明0.0.0.0

Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0 //设置只有172.16.5.0这个网段内的主机能够访问外网。

五、指定外部地址范围（global）

global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。

Global命令的配置语法：global (if_name) nat_id ip_address-ip_address [netmark global_mask]

其中（if_name）表示外网接口名字，如outside；Nat_id用来标识全局地址池，使它与其相应的nat命令相匹配；ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围；[netmark global_mask]表示全局ip地址的网络掩码。示例语句以下：

Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48 //设置内网的主机经过pix防火墙要访问外网时，pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。

Pix525(config)#global (outside) 1 61.144.51.42 //设置内网要访问外网时，pix防火墙将为访问外网的全部主机统一使用61.144.51.42这个单一ip地址。

Pix525(config)#no global (outside) 1 61.144.51.42 //删除global中对61.144.51.42的宣告，也就是说数据包经过NAT向外传送时将不使用该IP，这个全局表项被删除。

六、设置指向内网和外网的静态路由（route）

route命令定义一条静态路由。

route命令配置语法：route (if_name) 0 0 gateway_ip [metric]

其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。一般缺省是1。示例语句以下：

Pix525(config)#route outside 0 0 61.144.51.168 1 //设置一条指向边界路由器（ip地址61.144.51.168）的缺省路由。

Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1 //设置一条指向内部的路由。

Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1 //设置另外一条指向内部的路由。

总结：目前咱们已经掌握了设置PIX的六大基本命令，经过这六个命令咱们已经可让PIX为咱们的网络服务了。不过让网络运行还远远不够，咱们要有效的利用网络，合理的管理网络，这时候就须要一些高级命令了。

PIX防火墙高级配置命令

一、配置静态IP地址翻译（static）：

若是从外网发起一个会话，会话目的地址是一个内网的ip地址，static就把内部地址翻译成一个指定的全局地址，容许这个会话创建。

static命令配置语法：static (internal_if_name，external_if_name) outside_ipaddress inside ip_address

其中internal_if_name表示内部网络接口，安全级别较高。如inside.。external_if_name为外部网络接口，安全级别较低，如outside等。outside_ipaddress为正在访问的较低安全级别的接口上的ip地址。inside ip_address为内部网络的本地ip地址。 示例语句以下：

Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8 //ip地址为192.168.0.8的主机，对于经过pix防火墙创建的每一个会话，都被翻译成61.144.51.62这个全局地址，也能够理解成static命令建立了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。PIX将把192.168.0.8映射为61.144.51.62以便NAT更好的工做。

小提示：使用static命令可让咱们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就可以为具备较低安全级别的指定接口建立一个入口，使它们能够进入到具备较高安全级别的指定接口。

二、管道命令（conduit）：

使用static命令能够在一个本地ip地址和一个全局ip地址之间建立了一个静态映射，但从外部到内部接口的链接仍然会被pix防火墙的自适应安全算法(ASA)阻挡，conduit命令用来容许数据流从具备较低安全级别的接口流向具备较高安全级别的接口，例如容许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的链接，static和conduit命令将一块儿使用，来指定会话的创建。说得通俗一点管道命令（conduit）就至关于以往CISCO设备的访问控制列表（ACL）。

conduit命令配置语法：conduit permit|deny global_ip port[-port] protocol foreign_ip [netmask]

其中permit|deny为容许|拒绝访问，global_ip指的是先前由global或static命令定义的全局ip地址，若是global_ip为0，就用any代替0；若是global_ip是一台主机，就用host命令参数。port指的是服务所做用的端口，例如www使用80，smtp使用25等等，咱们能够经过服务名称或端口数字来指定端口。protocol指的是链接协议，好比：TCP、UDP、ICMP等。foreign_ip表示可访问global_ip的外部ip。对于任意主机能够用any表示。若是foreign_ip是一台主机，就用host命令参数。

示例语句以下：

Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any //表示容许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来容许或拒绝对这个端口的访问。Eq ftp就是指容许或拒绝只对ftp的访问。

Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89 //设置不容许外部主机61.144.51.89对任何全局地址进行ftp访问。

Pix525(config)#conduit permit icmp any any //设置容许icmp消息向内部和外部经过。

Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3

Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any

这两句是将static和conduit语句结合而生效的，192.168.0.3在内网是一台web服务器，如今但愿外网的用户可以经过pix防火墙获得web服务。因此先作static静态映射把内部IP192.168.0.3转换为全局IP61.144.51.62，而后利用conduit命令容许任何外部主机对全局地址61.144.51.62进行http访问。

小提示：对于上面的状况不使用conduit语句设置允许访问规则是不能够的，由于默认状况下PIX不允许数据包主动从低安全级别的端口流向高安全级别的端口。 

三、配置fixup协议：

fixup命令做用是启用，禁止，改变一个服务或协议经过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。示例例子以下：

Pix525(config)#fixup protocol ftp 21 //启用ftp协议，并指定ftp的端口号为21

Pix525(config)#fixup protocol http 80

Pix525(config)#fixup protocol http 1080 //为http协议指定80和1080两个端口。

Pix525(config)#no fixup protocol smtp 80 //禁用smtp协议。

四、设置telnet：

在pix5.0以前只能从内部网络上的主机经过telnet访问pix。在pix 5.0及后续版本中，能够在全部的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时，telnet数据流须要用ipsec提供保护，也就是说用户必须配置pix来创建一条到另一台pix，路由器或***客户端的ipsec隧道。另外就是在PIX上配置SSH，而后用SSH client从外部telnet到PIX防火墙。

咱们可使用telnet语句管理登陆PIX的权限。

telnet配置语法：telnet local_ip [netmask]

local_ip 表示被受权经过telnet访问到pix的ip地址。若是不设此项，pix的配置方式只能由console进行。也就是说默认状况下只有经过console口才能配置PIX防火墙。

小提示：因为管理PIX具备必定的危险性，须要的安全级别很是高，因此不建议你们开放提供外网IP的telnet管理PIX的功能。若是实际状况必定要经过外网IP管理PIX则使用SSH加密手段来完成。

ACL命令和过滤规则

访问控制列表(ACL)是应用在路由器接口上的指令列表。这些指令列表用来告诉路由器哪些数据包能够收、哪些数据包须要拒绝。至于数据包是被接收仍是拒绝，能够由相似于源地址、目的地址、端口号等的特定指示条件来判断决定。

将数据包和访问列表进行比较时应遵循的重要规则：

1. 数据包到来，则按顺序比较访问列表的每一行。

2. 按顺序比较访问列表的各行，直到找到匹配的一行，一旦数据包和某行匹配，执行该行规则，再也不进行后续比较。

3. 最后一行隐含“deny”的意义。若是数据包与访问列表中的全部行都不匹配，将被丢弃。

4. IP访问控制列表会发送一个ICMP主机不可达的消息到数据包的发送者，而后丢弃数据包。

5. 若是某个列表挂接在实际接口上，删除列表后，默认的deny any 规则会阻断那个接口的全部数据流量。

有两种类型的ACL：标准的访问列表和扩展的访问列表

标准访问控制列表控制基于过滤源地址的信息流。编号范围1-99，举例：

router(config)#access-list 10 permit 172.16.0.0 0.0.255.255

router(config)#access-list 20 deny 192.168.1.0 0.0.0.255

router(config)#access-list 20 permit any //注意这个编号20的ACL的顺序，若是调换顺序，就不起任何做用。

router(config)#access-list 30 deny host 192.168.1.1 //host表精确匹配，默认掩码码为0.0.0.0，指定单个主机。

注意：在访问列表的最后默认定义了一条deny any any 语句。

扩展访问控制列表比标准访问控制列表具备更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、IP优先级等。编号范围是从100到199，格式通常为：

access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]

access-list 100 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255

access-list 101 deny tcp any host 192.168.1.1 eq www //这句命令是将全部主机访问192.168.1.1上网页服务（WWW）TCP链接的数据包丢弃。

access-list 101 permit tcp any host 198.78.46.8 eq smtp //容许来自任何主机的TCP报文到达特定主机198.78.46.8的smtp服务端口(25)

注意：这里eq 就是等于的意思。端口号的指定能够用几种不一样的方法。能够用数字或一个可识别的助记符。可使用80或http或www来指定Web的超文本传输协议。对于使用数字的端口号，还能够用"<"、">"、"="以及不等于来进行设置。 

命名访问列表只是建立标准或扩展访问列表的另外一种方法而已。所谓命名是以列表名代替列表编号来定义IP访问控制列表的。举例以下：

Router(config)#ip access-list extended http-not

Router(config-ext-nacl)#deny tcp 172.16.10.0 0.0.0.255 host 172.16.1.2 eq 23

Router(config-ext-nacl)# permit ip any any

Router(config-ext-nacl)#exit

入口访问列表和出口访问列表：经过上面方法建立的访问列表，要应用到路由器的一个要进行过滤的接口上，而且指定将它应用到哪个方向的流量上时，才真正的被激活而起做用。

访问列表的调用：在接口下使用：

router(config)#interface s0/1

router(config-if)# ip access-group 10 in

router(config-if)# ip access-group 20 out

ACL可在VTY下调用，但只能用标准列表：

R1(config)#access-list 10 permit 192.168.1.1

R1(config)#line vty 0 4

R1(config-line)#access-class 10 in

下面是通用的ACL配置规则：

1. 每一个接口、每一个协议或每一个方向上只能够应用一个访问列表。（由于ACL末尾都隐含拒绝的语句，通过第一个ACL的过滤，不符合的包都被丢弃，也就不会留下任何包和第二个ACL比较）。

2. 除非在ACL末尾有permit any命令，不然全部和列表条件不符的包都将丢弃，因此每一个ACL至少要有一个运行语句，以避免其拒绝全部流量。

3. 要先建立ACL，再将其应用到一个接口上，才会生效。

4. ACL过滤经过路由器的流量，但不过滤该路由器产生的流量。

5. IP标准访问列表尽量的应用在靠近目的地的接口上，由于他是基于源地址过滤的，放在源端没有意义。

6. IP扩展访问列表尽量的应用在靠近源地址的接口上，由于它能够基于目的地址、协议等过滤，放在源端过滤，省得须要过滤的数据包还被路由到目的端才被过滤，以节省带宽。

附.VTY线路的启用/关闭(虚拟终端链接)

  VTY线路的启用只能按顺序进行，你不可能启用line vty 10，而不启用line vty 9。若是想启用line vty 9，那么你能够在全局模式（或line模式）下输入命令line vty 9 ，如： (config)#line vty 9 这样系统会自动启用前面的0-8线路。固然也能够直接输入line vty 0 9直接启用10条线路。

  若是不想开启这么多条线路供用户使用，那么只须在全局模式下使用no line vty m [n]命令就能够关闭第m后的线路，此时n这个数值无关紧要，由于系统只容许开启连续的线路号，取消第m号线路会自动取消其后的全部线路。