当前位置:   article > 正文

计算机网络命令_建立到交换机的控制台连接 配置主机名和 vlan99 配置时钟 修改历史记录缓存

建立到交换机的控制台连接 配置主机名和 vlan99 配置时钟 修改历史记录缓存

变更到 VLAN 99 的接口配置模式。

MySwitch(Config)#vlan 99

MySwitch(Config-Vlan99)#interface vlan 99

步骤 8. 用 IP 地址 172.17.A.B/24 配置 VLAN99 并激活接口。

MySwitch(Config-If-Vlan99)#ip address 192.168.A.B 255.255.255.0

MySwitch(Config-If-Vlan99)#no shut

变更到 ethernet 0/0/20 的接口配置模式,将端口模式设置为 access。

MySwitch(Config)#interface ethernet 0/0/20

MySwitch(Config-Ethernet0/0/20)#switchport mode access

步骤 11. 将 VLAN 99 分配给端口,退出接口配置模式。

MySwitch(Config-Ethernet0/0/20)#switchport access vlan 99

进入到 ethernet 0/0/20 的接口配置模式,将接口的带宽设置为 10Mbps 和全双工。

MySwitch(Config-If-Ethernet0/0/20)#speed-duplex force10-full

MySwitch(Config-If-Ethernet0/0/20)#no shutdown

在特权模式下使用write命令保存设置。

MySwitch#write

保存运行配置文件:

Switch#copy running-config startup-config

配置 S1 的默认网关。

Switch(config)# ip default-gateway 172.17.99.1

任务 4:修改历史记录缓存

步骤 1. 将控制台线路的历史记录缓存设置为 50

Switch(config)#line console 0

Switch(config-line)#history size 50

任务 5:配置口令和控制台/Telnet 访问

步骤 3. 加密口令。

Switch(config)#service password-encryption

任务 6:配置登录标语

Switch(config)#banner motd #Authorized Access Only#

任务 8:配置启动顺序

步骤 2. 配置 S1 使用所列的第二个映像启动。

Switch(config)#boot system flash:c2960-lanbase-mz.122-25.SEE1.bin

switch(Config)#vlan 100 !进入vlan 100

switch(Config-Vlan100)#switchport interface ethernet 0/0/1-8

!给vlan100 加入端口1-8

switch(Config)#vlan 200 !进入vlan 200

switch(Config-Vlan200)#switchport interface ethernet 0/0/9-16

!给vlan200 加入端口9-16

将端口5 设置为trunk 模式,端口8 设置为access 模式。

Switch(Config)#interface ethernet 0/0/5

Switch(Config-ethernet0/0/5)#switchport mode trunk

Switch(Config-ethernet0/0/5)#exit

Switch(Config)#interface ethernet 0/0/8

Switch(Config-ethernet0/0/8)#switchport mode access

 

设置交换机trunk 端口

交换机A:

switchA(Config)#interface ethernet 0/0/24

switchA(Config-Ethernet0/0/24)#switchport mode trunk

Set the port Ethernet0/0/24 mode TRUNK successfully

switchA(Config-Ethernet0/0/24)#switchport trunk allowed vlan all

set the port Ethernet0/0/24 allowed vlan successfully

switchA(Config-Ethernet0/0/24)#exit

:设置Trunk 端口允许通过VLAN135-20 的流量。

Switch(Config)#interface ethernet 0/0/5

Switch(Config-ethernet0/0/5)#switchport mode trunk

Switch(Config-ethernet0/0/5)#switchport trunk allowed vlan 1;3;5-20

设置某Trunk 端口的native vlan 100

Switch(Config)#interface ethernet 0/0/5

Switch(Config-ethernet0/0/5)#switchport mode trunk

Switch(Config-ethernet0/0/5)#switchport trunk native vlan 100

新建一个port group,并且采用默认的流量分担方式

Switch(Config)#port-group 1

删除一个port group

Switch(Config)#no port-group 1

Ethernet0/0/1 端口模式下,将本端口以active 模式加入port-group 1

Switch(Config-Ethernet0/0/1)#port-group 1 mode active

使能端口的MAC地址绑定功能

switch(Config)#interface ethernet 0/0/1

switch(Config-Ethernet0/0/1)#switchport port-security

设置镜像源端口为0/0/1-4 的发出流量。

Switch(Config)#monitor session 1 source interface ethernet 0/0/1-4 tx

设置镜像目的端口为0/0/7

Switch(Config)#monitor session 1 destination interface ethernet 0/0/7

显示当前MAC 地址表中的过滤表项。

Switch#show mac-address-table blackhole

Router>enable                                            !进入特权模式

Router#show running-config                                !查看当前配置

Router#delete                                             !删除配置文件

Router#reboot                                            !重新启动

设置接口IP 地址、DCE 的时钟频率以及验证

Router>enable                                            !进入特权模式

Router #config                                            !进入全局配置模式

Router _config#hostname Router-A                          !修改机器名

Router-A_config#interface s0/3                              !进入接口模式

Router-A_config_s0/3#ip address 192.168.1.1 255.255.255.0      !配置IP 地址

Router-A_config_s0/3#physical-layer speed 64000              !配置DCE 时钟频率

Router-A_config_s0/3#no shutdown

Router-A_config_s0/3#^Z                               !按ctrl + z 进入特权模式

Router-A#show interface s0/3                           !查看接口状态

Serial0/3 is up, line protocol is down                 !对端没有配置,所以协议是DOWN

Mode=Sync DCE Speed=64000                      查看DCE

DTR=UP,DSR=UP,RTS=UP,CTS=DOWN,DCD=UP

Interface address is 192.168.1.1/24                    !查看IP 地址

MTU 1500 bytes, BW 64 kbit, DLY 2000 usec

Encapsulation prototol HDLC, link check interval is 10 sec        !查看封装协

设置特权模式密码

Router-A_config#enable password 0 digitalchina               !0 表示明文

Router-A_config#aaa authentication enable default enable      !启用认证

Router-A#write                                           !保存配置

使用show interface 全局配置命令配置接口状态。

show interface

show interface type interface-number

show interface type slot/port (用于带有非信道化E1 的物理接口的路由器)

show interface serial slot/port:channel-group(用于显示非信道化E1 的物理接口)

show interface serial slot/port.subinterface-number(用于显示子接口)

Router-A#copy flash:startup-config tftp:                             !上传配置文件作为备份

Router-A_config_s0/3#encapsulation hdlc              !封装HDLC 协议

Router-A_config_s0/3#physical-layer speed 64000       !配置DCE 时钟频率

Router-A_config_s0/3#encapsulation PPP                      !封装PPP 协议

Router-A_config_s0/3#physical-layer speed 64000          !配置DCE 时钟频率

DHCP 客户机的配置

Router-C#conf

Router-C_config#int f0/0

Router-C_config_f0/0#ip address dhcp                           !配置DHCP 客户端

配置静态路由,

Router-A_config #ip route 192.168.2.0 255.255.255.0 192.168.1.2

Router-A_config #show ip route

配置访问控制列表禁止 PC-A所在的网段对 PC-B的访问

Router-B#conf

 Router-B_config#ip access-list standard 1           !定义标准的访问控制列表

 Router-B_config_std_nacl#deny 192.168.3.0 255.255.255.0         !基于源地址

 Router-B_config_std_nacl#permit any              !因为有隐含的 DENY ANY

在 ROUTER-A上设置访问列表

Router-A#conf

Router-A_config# ip access-list extended 192 !定义扩展访问列表

Router-A_config_std_nacl# deny tcp 192.168.3.0 255.255.255.0 192.168.2.2 255.255.255.255 eq 23  !设置扩展访问列表,拒绝 Telnet

 

①进入特权模式

DCRS-5650-28>enable

②进入配置模式

DCRS-5650-28#config

③设置交换机名

DCRS-5650-28#hostname Switch

④进入管理VLAN配置模式

Switch(config)#interface vlan 1

⑤设置管理ip地址

Switch(config-If-Vlan1)#ip address 192.168.A.B 255.255.255.0

⑥启用vlan1

Switch(config-If-Vlan1)#no shutdown

Switch(config-If-Vlan1)#exit

交换机设置授权telnet用户

①启用telnet服务

Switch(config)#telnet-server enable

②设置telnet用户及密码

5650及除一号、八号实验台的3950配置方式为:

Switch(config)#telnet-user <用户名> password 0 <密码>

一号、八号实验台3950配置方式为:

Switch(config)#username <用户名> privilege 15 password 0 <密码>

Enable密码配置

5650及一号、八号实验台3950配置方式为:

Switch(config)#enable password <密码>

除一号、八号实验台的3950配置方式为:

Switch(config)#enable password level admin

变更到 ethernet 0/0/20 的接口配置模式,将端口模式设置为 access。

l        MySwitch(Config)#interface ethernet 0/0/20

l        MySwitch(Config-Ethernet0/0/20)#switchport mode access

步骤 11. 将 VLAN 99 分配给端口,退出接口配置模式。

l        MySwitch(Config-Ethernet0/0/20)#switchport access vlan 99

步骤8. 进入到 ethernet 0/0/20 的接口配置模式,将接口的带宽设置为 10Mbps 和全双工。

l        MySwitch(Config-If-Ethernet0/0/20)#speed-duplex force10-full

l        MySwitch(Config-If-Ethernet0/0/20)#no shutdown

步骤9. 在计算机的命令提示符中输入“Ping 192.168.A.B”命令,查看是否能Ping通。

步骤10. 进入到 ethernet 0/0/20 的接口配置模式,将接口的带宽设置为 100Mbps 和全双工。

l        MySwitch(Config-If-Ethernet0/0/20)#speed-duplex force100-full

l        MySwitch(Config-If-Ethernet0/0/20)#no shutdown

步骤15. 在特权模式下使用write命令保存设置。

l        MySwitch#write

1)储存FLASH 内的映像到 TFTP 服务器10.1.1.1

Switch#copy nos.img tftp:// 10.1.1.1/ nos.img

2)从TFTP 服务器10.1.1.1 上得到系统文件nos.img

Switch#copy tftp://10.1.1.1/nos.img nos.img

3)从TFTP 服务器10.1.1.1 上得到系统文件nos.img,对堆叠模式下的slave 交换机进行整体升级:

Switch#copy tftp://10.1.1.1/nos.img stacking/nos.img

4)保存运行配置文件:

Switch#copy running-config startup-config

相关命令:write

配置主机名和 VLAN 99

步骤 3. 配置 S1 的默认网关。

Switch(config)# ip default-gateway 172.17.99.1

任务 4:修改历史记录缓存

步骤 1. 将控制台线路的历史记录缓存设置为 50

Switch(config)#line console 0

Switch(config-line)#history size 50

任务 5:配置口令和控制台/Telnet 访问

步骤 3. 加密口令。

Switch(config)#service password-encryption

任务 6:配置登录标语

Switch(config)#banner motd #Authorized Access Only#

任务 8:配置启动顺序

步骤 2. 配置 S1 使用所列的第二个映像启动。

Switch(config)#boot system flash:c2960-lanbase-mz.122-25.SEE1.bin

任务 12:保护未使用端口的安全

步骤 1. 禁用 S1 上的所有未使用端口。

进入端口配置模式,然后使用shutdown命令

S1#configure terminal
S1(config)#line console 0 
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#line vty 0 15
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#exit
S1(config)#

为什么需要登录命令?

步骤 3. 设置命令模式口令。

将使能加密口令设置为 class

S1(config)#enable secret class
步骤 4. 配置交换机的第 3 层地址。

在内部虚拟接口 VLAN 99 上将交换机的 IP 地址设置为 172.17.99.11,子网掩码为 255.255.255.0。首先必须在交换机上创建 VLAN,然后才能分配地址。

S1(config)#vlan 99
S1(config-vlan)#exit
S1(config)#interface vlan99
S1(config-if)#ip address 172.17.99.11 255.255.255.0
S1(config-if)#no shutdown
S1(config-if)#exit
步骤 5. 为交换机 VLAN 分配端口。

Fastethernet 0/10/8 0/18 端口分配给 VLAN 99

S1(config)#interface fa0/1
S1(config-if)#switchport access vlan 99
S1(config-if)#exit
步骤 6. 设置交换机默认网关。
S1(config)#ip default-gateway 172.17.99.1
S1(config)#exit
步骤 10. 配置快速以太网接口的端口速率和双工设置。

配置 FastEthernet 0/18 的双工和速率设置。完成后使用 end 命令返回特权执行模式。

S1#configure terminal
S1(config)#interface fastethernet 0/18
S1(config-if)#speed 100 
S1(config-if)#duplex full
S1(config-if)#end
定交换机已学习的 MAC 地址。

在特权执行模式下使用 show mac-address-table 命令显示 MAC 地址。如果没有显示 MAC 地址,请从 PC1 ping S1,然后再次检查。

S1#show mac-address-table
步骤 3. 清除 MAC 地址表。

要删除现有 MAC 地址,请在特权执行模式下使用 clear mac-address-table dynamic 命令。

S1#clear mac-address-table dynamic
步骤 4. 确认结果。

确认 MAC 地址表已清除。

S1#show mac-address-table
.设置静态 MAC 地址
S1(config)#mac-address-table static 0002.16E8.C285 vlan 99 interface fastethernet 0/18

检查 MAC 地址表条目。

S1#show mac-address-table
步骤 8. 删除静态 MAC 条目。

进入配置模式,在命令串前加上 no 以删除静态 MAC

S1(config)#no mac-address-table static 0002.16E8.C285 vlan 99 interface fastethernet 0/18

使用 show mac-address-table static 命令确认静态 MAC 地址已被清除。

步骤 4. 列出端口安全选项。

研究用于在快速以太网接口 0/18 上设置端口安全的选项。

S1# configure terminal
S1(config)#interface fastethernet 0/18
S1(config-if)#switchport port-security ?
  mac-address  Secure mac address
  maximum      Max secure addresses
  violation    Security violation mode
  <cr>
步骤 5. 在接入端口上配置端口安全性。

配置交换机端口 FastEthernet 0/18 仅接受两台设备,动态学习这些设备的 MAC 地址,并在发生安全违规事件时关闭端口。

S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security maximum 2
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#switchport port-security violation shutdown
S1(config-if)#exit
步骤 6. 确认结果。

使用 show port-security interface fa0/18 命令显示端口安全设置。

步骤 8. 在端口上修改端口安全设置。

在快速以太网接口 0/18 上,将端口安全最大 MAC 地址计数更改为 1

S1(config-if)#switchport port-security maximum 1
步骤 9. 确认结果。

使用 show port-security interface fa0/18 命令显示端口安全设置

重新激活端口。

S1#configure terminal
S1(config)#interface fastethernet 0/18
S1(config-if)#no shutdown
S1(config-if)#exit
 

举例:设置某Access 端口加入VLAN100。

Switch(Config)#interface ethernet 0/0/8

Switch(Config-ethernet0/0/8)#switchport mode access

Switch(Config-ethernet0/0/8)#switchport access vlan 100

Switch(Config-ethernet0/0/8)#exit

举例:将端口5 设置为trunk 模式,端口8 设置为access 模式。

Switch(Config)#interface ethernet 0/0/5

Switch(Config-ethernet0/0/5)#switchport mode trunk

Switch(Config-ethernet0/0/5)#exit

Switch(Config)#interface ethernet 0/0/8

Switch(Config-ethernet0/0/8)#switchport mode access

Switch(Config-ethernet0/0/8)#exit

 

举例:设置Trunk 端口允许通过VLAN135-20 的流量。

Switch(Config)#interface ethernet 0/0/5

Switch(Config-ethernet0/0/5)#switchport mode trunk

Switch(Config-ethernet0/0/5)#switchport trunk allowed vlan 1;3;5-20

Switch(Config-ethernet0/0/5)#exit

举例:设置某Trunk 端口的native vlan 100

Switch(Config)#interface ethernet 0/0/5

Switch(Config-ethernet0/0/5)#switchport mode trunk

Switch(Config-ethernet0/0/5)#switchport trunk native vlan 100

Switch(Config-ethernet0/0/5)#exit

 

命令:switchport port-security

no switchport port-security

功能:使能端口MAC 地址绑定功能;本命令的no 操作为关闭端口MAC 地址绑定功能。

命令模式:端口配置模式

缺省情况:交换机端口不打开MAC 地址绑定功能。

使用指南:MAC 地址绑定功能与802.1xSpanning Tree、端口汇聚功能存在互斥关系,因

此如果要打开端口的MAC 地址绑定功能,就必须关闭端口上的802.1xSpanning Tree、端

口汇聚功能,且打开MAC 地址绑定功能的端口不能是Trunk 口。

举例:使能端口1 MAC 地址绑定功能。

Switch(Config)#interface Ethernet 0/0/1

Switch(Config-Ethernet0/0/1)#switchport port-security

命令:switchport port-security convert

功能:将端口学习到的动态MAC 地址转化为静态安全MAC 地址。

命令模式:端口配置模式

使用指南:必须在安全端口锁定之后才能执行端口动态MAC 地址转化命令。执行此命令之

后,端口学习到的动态MAC 地址将转化为静态安全MAC 地址。该命令没有配置保留。

举例:将端口1 MAC 地址转化为静态安全MAC 地址。

Switch(Config)#interface Ethernet 0/0/1

Switch(Config-Ethernet0/0/1)#switchport port-security convert

switchport port-security lock

命令:switchport port-security lock

no switchport port-security lock

功能:锁定端口。端口被锁定之后,端口的MAC地址学习功能将被关闭;本命令的no操作

为恢复端口的MAC地址学习功能。

命令模式:端口配置模式

缺省情况:端口未锁定

使用指南:端口必须使能MAC 地址绑定功能之后才能执行端口锁定命令。执行端口锁定命

令之后,端口将关闭动态MAC 学习功能。

举例:锁定端口1

Switch(Config)#interface Ethernet 0/0/1

Switch(Config-Ethernet0/0/1)#switchport port-security lock

switchport port-security timeout

命令:switchport port-security timeout <value>

no switchport port-security timeout

功能:设置端口锁定的定时器;本命令的no 操作为恢复缺省值

参数:<value> 锁定时器时间间隔,取值范围为0~300s

命令模式:端口配置模式

缺省情况:端口未打开端口锁定的定时器。

使用指南:端口锁定定时器功能是一种动态MAC 地址锁定功能,锁定定时器超时就执行

MAC 地址锁定操作及将动态MAC 转换为安全MAC 地址的操作。端口必须先开启MAC 地址绑定功能后才能使用此命令。

举例:设置端口1 的锁定时器为30 秒。

Switch(Config)#interface Ethernet 0/0/1

Switch(Config-Ethernet0/0/1)# switchport port-security timeout 30

switchport port-security mac-address

命令:switchport port-security mac-address <mac-address>

no switchport port-security mac-address <mac-address>

功能:添加静态安全MAC 地址;本命令的no 操作为删除静态安全MAC 地址。

命令模式:端口配置模式

参数:<mac-address>为添加/删除的MAC 地址。

使用指南:端口必须使能MAC 地址绑定功能之后才能添加端口静态安全MAC 地址。

举例:添加MAC 00-03-0F-FE-2E-D3 到端口1

Switch(Config)#interface Ethernet 0/0/1

Switch(Config-Ethernet0/0/1)#switchport port-security mac-address 00-03-0F-FE-2E-D3

clear port-security dynamic

命令:clear port-security dynamic [address <mac-addr> | interface <interface-id> ]

功能:清除指定端口的动态MAC 地址。

命令模式:特权配置模式

参数:<mac-addr>MAC 地址;<interface-id>为指定的端口号。

使用指南:必须在安全端口锁定之后之后才能执行指定端口的动态MAC 清除操作。如果不

指定端口、MAC 地址,则清除所有锁定的安全端口的动态MAC;如果仅指定端口,不指

MAC 地址,则清除指定端口的所有动态MAC 地址。

举例:删除端口1 动态MAC

Switch#clear port-security dynamic interface Ethernet 0/0/1

switchport port-security maximum

命令:switchport port-security maximum <value>

no switchport port-security maximum

功能:设置端口最大安全MAC 地址数;本命令的no 操作为恢复最大安全地址数为1

命令模式:端口配置模式

参数:<value> 端口静态安全MAC 地址上限,取值范围1~128

缺省情况:端口最大安全MAC 地址数为1

使用指南:端口必须使能MAC 地址绑定功能之后才能设置端口安全MAC 地址上限。如果

端口静态安全MAC 地址数大于设置的最大安全MAC 地址数,则设置失败;必须删除端口

的静态安全MAC 地址,直到端口静态安全MAC 地址数不大于设置的最大安全MAC 地址

数,设置才会成功。

举例:设置端口1 安全MAC 地址上限为4

Switch(Config)#interface Ethernet 0/0/1

Switch(Config-Ethernet0/0/1)#switchport port-security maximum 4

switchport port-security violation

命令:switchport port-security violation {protect | shutdown}

no switchport port-security violation

功能:设置端口违背模式;本命令的no 操作为恢复违背模式为protect

命令模式:端口配置模式

参数:protect 为保护模式;shutdown 为关闭模式。

缺省情况:端口违背模式为缺省为protect

使用指南:端口必须使能MAC 地址绑定功能之后才能设置端口违背模式。如果端口违背模

式设置为protect,那么当端口安全MAC 地址超过设置的端口安全MAC 上限的时候,端口

仅仅关闭动态MAC 地址学习功能;如果端口违背模式设置为shutdown,那么当端口安全

MAC地址超过设置的端口安全MAC上限的时候,端口将被关闭,用户可以通过no shutdown

命令手工打开该端口。

举例:设置端口1 的违背模式为shutdown

Switch(Config)#interface Ethernet 0/0/1

Switch(Config-Ethernet0/0/1)#switchport port-security violation shutdown

show port-security

命令:show port-security

功能:显示全局安全端口配置情况。

命令模式:特权配置模式

缺省情况:交换机不显示安全端口配置情况。

使用指南:本命令显示交换机当前已经配置为安全端口的端口信息。

举例:

Switch#show port-security

Security Port MaxSecurityAddr CurrentAddr Security Action

(count) (count)

-----------------------------------------------------------------

Ethernet0/0/3 1 1 Protect

Ethernet0/0/4 10 1 Protect

Ethernet0/0/5 1 0 Protect

-----------------------------------------------------------------

Total Addresses in System :2

Max Addresses limit in System :128

显示信息解释

Security Port 配置为安全端口的端口名

MaxSecurityAddr 安全端口设置的最大安全MAC 地址数

CurrentAddr 安全端口当前安全MAC 地址数

Security Action 端口设置的违背模式

Total Addresses in System 系统中当前安全MAC 地址数

Max Addresses limit in System 系统中最大安全MAC 地址数

show port-security interface

命令:show port-security interface <interface-id>

功能:显示安全端口配置情况。

命令模式:特权配置模式

参数:<interface-id> 指定的显示端口。

缺省情况:交换机不显示安全端口配置情况。

使用指南:本命令显示交换机安全端口的详细配置信息。

举例:

Switch#show port-security interface ethernet 0/0/1

Port Security :Enabled

Port status :Security Up

Violation mode :Protect

Maximum MAC Addresses :1

Total MAC Addresses :1

Configured MAC Addresses :1

Lock Timer is ShutDown

Mac-Learning function is : Opened

显示信息解释

Port Security : 端口是否使能为安全端口

Port status : 端口安全状态

Violation mode : 端口设置的违背模式

Maximum MAC Addresses : 端口设置的安全MAC 地址上限

Total MAC Addresses : 端口当前安全MAC 地址数

Configured MAC Addresses : 端口静态配置的安全MAC 地址数

Lock Timer 端口是否开启锁定的定时器(定时器时间)

Mac-Learning function 端口MAC 地址学习功能是否打开

show port-security address

命令:show port-security address [interface <interface-id>]

功能:显示端口安全MAC 地址。

命令模式:特权配置模式

参数:<interface-id> 指定的显示端口。

使用指南:本命令显示端口安全MAC 地址信息,如果不指定端口则显示所有端口安全MAC

地址。显示内容举例如下:

Switch#show port-security address interface ethernet 0/0/1

Security Mac Address Table

------------------------------------------------------------------------

Vlan Mac Address Type Ports

1 0000.0000.1111 SecureConfigured Ethernet0/0/3

------------------------------------------------------------------------

Total Addresses :1

显示信息解释

Vlan 安全MAC 地址的VLAN ID

Mac Address 安全MAC 地址

Type 安全MAC 地址类型

Ports 安全MAC 地址所属端口

Total Addresses 系统中当前安全MAC 地址数

monitor session source interface

命令:monitor session <session> source interface <interface-list> {rx| tx| both}

no monitor session <session> source interface <interface-list>

功能:指定镜像源端口;本命令的no 操作为删除镜像源端口。

参数:<session>为镜像session 值,取值范围1~100;但根据堆叠组的数目,目前最多只能

支持9 session(在全部为local 的情况下);从session 取值中无法辨别global 方式,还是

local 方式,两种方式采用session 号统一编号。<interface-list>为镜像源端口列表,支持 “-”“;”

等特殊字符;rx 为镜像源端口接收的流量;tx 为镜像从源端口发出的流量;both 为镜像源

端口入和出的流量。

命令模式:全局配置模式

使用指南:本命令设置镜像的源端口,DCS-3926S 对镜像源端口没有限制,可以是一个端

口,也可以是多个端口,不仅能镜像源端口的发出和接收双向的流量,还能单独镜像源端口

的发出流量及接收流量。如果不指定[rx|tx|both]关键字,缺省为both

说明:互相配对的源和目的端口的session 值必须是相同的。

举例:设置镜像源端口为0/0/1-4 的发出流量。

Switch(Config)#monitor session 1 source interface ethernet 0/0/1-4 tx

monitor session destination interface

命令:monitor session <session> destination interface <interface-number>

no monitor session <session> destination interface <interface-number>

功能:指定镜像目的端口;本命令的no 操作为删除镜像目的端口。

参数:<session>为镜像session 值,取值范围1~100;但根据堆叠组的数目,目前最多只能

支持9 session(在全部为local 的情况下);从session 取值中无法辨别global 方式,还是

local 方式,两种方式采用session 号统一编号。<interface-number>为镜像目的端口。

命令模式:全局配置模式

使用指南:DCS-3926S 目前仅支持一个镜像目标端口。需要注意的是,作为镜像目标端口

不能是端口聚合组的成员,并且端口吞吐量最好大于或等于它所镜像的所有源端口的吞吐量

的总和。

说明:互相配对的源和目的端口的session 值必须是相同的。

举例:设置镜像目的端口为0/0/7

Switch(Config)#monitor session 1 destination interface ethernet 0/0/7

show monitor

命令:show monitor

功能:显示镜像源、目的端口的信息。

命令模式:特权模式

使用指南:通过本命令可以显示当前设置的镜像源端口及目的端口。

举例:

Switch#show monitor

debug mirror

命令:debug mirror

no debug mirror

功能:打开mirror 的调试信息;本命令的no 操作为关闭mirror 的调试信息。

命令模式:特权用户配置模式

使用指南:MASTER 分发配置参数至SLAVE 交换机时,会显示相应的配置mirror 的信息,

使用户明白是否已经配置上相应的镜像。

十二

 

private-vlan

命令:private-vlan {primary|isolated|community}

no private-vlan

功能:将当前VLAN 设置为Private VLAN,该命令的no 操作为取消Private VLAN 设置。

参数:primary 将当前 VLAN 设置为Primary VLANisolated 将当前VLAN 设置为Isolated

VLANcommunity 将当前VLAN 设置为Community VLAN

命令模式:VLAN 配置模式

缺省情况:缺省没有Private VLAN 配置。

使用指南:Private VLAN 分为三种:Primary VLAN,在Primary VLAN 内的端口可以和关

联到该Primary VLAN Isolated VLAN Community VLAN 中的端口进行通信;Isolated

VLAN,在Isolated VLAN 内的端口之间是隔绝的,它们只可以和其相关联的Primary VLAN

内的端口通信;Community VLAN,在Community VLAN 内的端口相互之间可以通信,也

也可以和其相关联的Primary VLAN 内的端口通信;在Isolated VLAN 内的端口和在

Community VLAN 内的端口之间不能通信。

只有不包含任何以太网端口的VLAN才能被设置为Private VLAN;只有设置了关联关系的

Private VLAN才能Access类型的以太网端口设置为成员端口;普通VLAN若被设置成Private

VLAN后,会自动将所属以太网端口清空。

另外注意 GVRP 不传播Private VLAN 的信息。

举例:将VLAN100200300设置为private vlan,类型分别为primaryIsolatedCommunity

Switch(Config)#vlan 100

Switch(Config-Vlan100)#private-vlan primary

Switch(Config-Vlan100)#exit

Switch(Config)#vlan 200

Switch(Config-Vlan200)#private-vlan isolated

Switch(Config-Vlan200)#exit

Switch(Config)#vlan 300

Switch(Config-Vlan300)#private-vlan community

Switch(Config-Vlan300)#exit

private-vlan association

命令:private-vlan association <secondary-vlan-list>

no private-vlan association

功能:设置Private VLAN 的绑定操作,该命令的no 操作为取消Private VLAN 绑定。

参数: <secondary-vlan-list> 为与指定Primary VLAN 相关关联的Secondary VLAN 列表,

Secondary VLAN 包括Isolated VLAN Community VLAN 两种,支持“;”连接多个Secondary

VLAN

命令模式:VLAN 配置模式

缺省情况:缺省没有Private VLAN 绑定。

使用指南:只有Primary类型的VLAN才能设置Private VLAN关联关系;被关联到Primary

VLAN上的Secondary VLANs内的各个端口可以和关联的Primary VLAN内的各个端口进行

通信。

在设置 Private VLAN 关联前,三种类型的Private VLAN 都没有以太网端口的成员端口;存

Private VLAN 关联关系的Primary VLAN 不能被删除;被解除关联关系的Private VLANs

会自动将所属成员端口清空。

举例:将Isolated VLAN200Community VLAN300关联到Primary VLAN100上。

Switch(Config-Vlan100)#private-vlan association 200;300

 

S1(config)#vlan 99
S1(config-vlan)#name Management&Native
S1(config-vlan)#exit
S1(config)#vlan 10
S1(config-vlan)#name Faculty/Staff
S1(config-vlan)#exit
S1(config)#vlan 20
S1(config-vlan)#name Students
S1(config-vlan)#exit
S1(config)#vlan 30
S1(config-vlan)#name Guest(Default)
S1(config-vlan)#exit
 
S2(config)#interface fastEthernet0/6
S2(config-if)#switchport access vlan 30
S2(config-if)#interface fastEthernet0/11
S2(config-if)#switchport access vlan 10
S2(config-if)#interface fastEthernet0/18
S2(config-if)#switchport access vlan 20
S2(config-if)#end

 

S1(config)#interface fa0/1
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan 99
S1(config-if)#interface fa0/2
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan 99
S1(config-if)#end
 
S2(config)#interface fa0/1
S2(config-if)#switchport mode trunk   
S2(config-if)#switchport trunk native vlan 99
S2(config-if)#end
 
S3(config)#interface fa0/2
S3(config-if)#switchport mode trunk     
S3(config-if)#switchport trunk native vlan 99
S3(config-if)#end

 

S2(config)#interface fastethernet 0/11
S2(config-if)#switchport access vlan 20
S2(config-if)#end
 
 
 
 
 
 
 
 
 
 

任务 1:配置基本交换机管理

步骤 1. PC1 建立到 S1 的控制台连接。

·                  单击 PC1,然后单击 Desktop(桌面)选项卡,选择其中的 Terminal(终端)。

·                  保留终端配置的下列默认设置不变,然后单击 OK(确定):

·                           Bits Per Second(每秒位数)= 9600

·                           Data Bits(数据位)= 8

·                           Parity(奇偶校验)= None(无)

·                           Stop Bits(停止位)= 1

·                           Flow Control(流量控制)= None(无)

·                  现在已建立到 S1 的控制台连接。按 Enter 进入交换机提示符。

步骤 2. 变更到特权执行模式。

要使用特权执行模式,键入 enable 命令。提示符从 变为 #

S1>enable S1#

注意您是如何能够不提供口令而进入特权执行模式的。为什么缺少特权执行模式口令是一个安全威胁?

步骤 3. 变更到全局配置模式配置特权执行模式口令。

·                  在特权执行模式下,您可以使用 configure terminal 命令访问全局配置模式。

·                  使用 enable secret 命令设置口令。对于本练习,请将口令设置为 class

S1#configure terminal 
Enter configuration commands, one per line. End with CNTL/Z. 
S1(config)#enable secret class 
S1(config)#

注:PT 不会给 enable secret 命令评分。

步骤 4. 配置虚拟终端和控制台的口令并要求用户通过口令登录。

访问控制台线路应当需要口令。即使最基本的用户执行模式也能给恶意用户提供重要信息。另外,vty 线路必须有口令,用户从远程访问交换机时必须先输入口令。

·                  使用 line console 0 命令进入控制台提示符。

·                  使用 password 命令将控制台和 vty 线路的口令配置为 cisco。注:这种情况下,PT 不会给 password cisco 命令评分。

·                  然后输入 login 命令,它要求用户先输入口令,然后才能进入用户执行模式。

·                  vty 线路重复上述过程。使用 line vty 0 15 命令进入正确的提示符。

·                  键入 exit 命令,返回全局配置提示符。

S1(config)#line console 0 
S1(config-line)#password cisco 
S1(config-line)#login 
S1(config-line)#line vty 0 15 
S1(config-line)#password cisco 
S1(config-line)#login 
S1(config-line)#exit
S1(config)#
步骤 5. 配置口令加密。

特权执行口令已经加密。要对刚才配置的线路口令加密,请在全局配置模式下输入 service password-encryption 命令。

S1(config)#service password-encryption 
S1(config)#
步骤 6. 配置并测试 MOTD 标语。

配置当天消息 (MOTD),文本使用 Authorized Access Only(仅限授权访问)。标语文本区分大小写。请勿在标语文本前后添加空格。在标语文本前后使用定界符指示文本从何处开始,到何处结束。下例中使用的定界符为 &,但是您可以使用标语文本中未使用的任何字符。配置完 MOTD 后,从交换机注销,然后再次登录,检查是否显示了上述标语。

S1(config)#banner motd &Authorized Access Only& 
S1(config)#end [or exit] 
S1#exit 
S1 con0 is now available Press RETURN to get started. [Enter] 
Authorized Access Only User Access Verification Password:

·                  现在口令提示符要求输入口令才能进入用户执行模式。输入口令 cisco

·                  使用口令 class 进入特权执行模式,然后使用 configure terminal 命令返回全局配置模式。

Password: [cisco] !注:键入口令时,口令将会自动隐藏。 
S1>enable 
Password: [class] !注:键入口令时,口令不显示。 
S1#configure terminal 
Enter configuration commands, one per line. End with CNTL/Z. 
S1(config)#
步骤 7. 检查结果。

完成百分比应当为 40%。如果不是,请单击 Check Results(检查结果),查看哪些需要的组件尚未完成。

任务 2:配置动态端口安全性

步骤 1. 启用 VLAN99

Packet Tracer 打开时,VLAN 99 接口处在关闭状态,实际的交换机并不是这样运作。必须使用no shutdown 命令启用 VLAN 99,然后该接口在 Packet Tracer 中才变为活动。

S1(config)#interface vlan 99 
S1(config-if)#no shutdown
步骤 2. 进入 FastEthernet 0/18 的接口配置模式并启用端口安全性。

首先必须启用端口安全性,方能在接口上使用其它端口安全性命令。

S1(config-if)#interface fa0/18 
S1(config-if)#switchport port-security

请注意,无需退回到全局配置模式便可进入 fa0/18 的接口配置模式。

步骤 3. 配置 MAC 地址的最大数量。

要配置端口使其只允许学习一个 MAC 地址,请将 maximum 设置为 1

S1(config-if)#switchport port-security maximum 1

注:PT 不会给 switchport port-security maximum 1 命令评分,但此命令对配置端口安全性非常重要。

步骤 4. 配置端口将 MAC 地址添加到运行配置中。

可以把端口学习的 MAC 地址添加(粘滞)到端口的运行配置中。

S1(config-if)#switchport port-security mac-address sticky

注:PT 不会给 switchport port-security mac-address sticky 命令评分,但此命令对配置端口安全性非常重要。

步骤 5. 配置端口在发生端口安全违规事件时自动关闭。

如果不配置以下命令,则 S1 只会将违规事件登记在端口安全性统计信息中,而不会关闭端口。

S1(config-if)#switchport port-security violation shutdown

注:PT 不会给 switchport port-security violation shutdown 命令评分,但此命令对配置端口安全性非常重要。

步骤 6. 确认 S1 已学习到 PC1 MAC 地址。

PC1 ping S1

确认 S1 现在的 MAC 表中有 PC1 的静态 MAC 地址:

S1#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 99 0060.5c5b.cd23 STATIC Fa0/18

MAC 地址现已粘滞到运行配置。

S1#show running-config 
<省略部分输出> 
interface FastEthernet0/18 
switchport access vlan 99 
switchport mode access 
switchport port-security 
switchport port-security mac-address sticky 
switchport port-security mac-address sticky 0060.5C5B.CD23 
<省略部分输出> 
S1#
步骤 7. 检查结果。

完成百分比应当为 70%。如果不是,请单击 Check Results(检查结果),查看哪些需要的组件尚未完成。

任务 3:测试动态端口安全性

步骤 1. 拆除 PC1 S1 之间的连接,将 PC2 S1 相连。

·                  要测试端口安全性,请拆除 PC1 S1 之间的以太网连接。如果不小心拆除了控制台电缆连接,只需重新连上。

·                  PC2 连接到 S1 上的 Fa0/18。等待琥珀色链路指示灯变绿,然后从 PC2 ping S1。端口应当自动关闭。

步骤 2. 确认端口安全事件是端口关闭的原因。

要确认端口关闭的原因与端口安全性有关,请输入命令 show interface fa0/18

S1#show interface fa0/18 
FastEthernet0/18 is down, line protocol is down (err-disabled) Hardware is Lance, address is 0090.213e.5712 (bia 0090.213e.5712) 
<省略部分输出>

由于交换机端口从不同于已学习到的 MAC 地址接收到帧而发生错误 (err),致使线路协议关闭,因而 Cisco IOS 软件关闭了 (disabled) 该端口。

也可以使用 show port-security interface fa0/18 命令检验安全违规事件。

S1#show port-security interface fa0/18 
Port Security : Enabled Port 
Status : Secure-shutdown 
Violation Mode : Shutdown 
Aging Time : 0 mins 
Aging Type : Absolute SecureStatic 
Address Aging : Disabled Maximum
 MAC Addresses : 1 
Total MAC Addresses : 1 
Configured MAC Addresses : 1 
Sticky MAC Addresses : 0 
Last Source Address:Vlan : 00E0.F7B0.086E:99 
Security Violation Count : 1

请注意端口状态是 secure-shutdown(安全关闭),而且安全违规事件计数是 1

步骤 3. 恢复 PC1 S1 之间的连接并重置端口安全性。

拆除 PC2 S1 之间的连接。将 PC1 重新连接到 S1 上的 Fa0/18 端口。

请注意,尽管您已重新连上端口允许的 PC,但是端口仍处在关闭状态。对于发生安全违规事件的端口,必须手动将其激活。关闭端口,然后使用 no shutdown 命令激活端口。

S1#config t 
Enter configuration commands, one per line. End with CNTL/Z. 
S1(config)#interface fa0/18 
S1(config-if)#shutdown 
%LINK-5-CHANGED: Interface FastEthernet0/18, changed state to administratively down 
S1(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet0/18, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/18, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up 
S1(config-if)#exit 
S1(config)#
步骤 4. PC1 ping S1,测试其间的连通性。

PC1 应当能成功 ping S1

此任务结束时,完成百分比仍应是 70%

任务 4:保护未使用端口的安全

为了防止未经授权访问网络,许多管理员使用的一个简单方法是禁用网络交换机上的所有未使用端口。

步骤 1. 禁用 S1 上的接口 Fa0/17

进入 FastEthernet 0/17 的接口配置模式,关闭该端口。

S1(config)#interface fa0/17 
S1(config-if)#shutdown
步骤 2. PC2 连接到 S1 上的 Fa0/17,测试该端口。

·                  PC2 连接到 S1 上的 Fa0/17 接口。请注意链路指示灯为红色。PC2 无权访问网络。

 
 

任务 1:使用 Easy IP 配置路由器

步骤 1. 配置 R1 R3 的排除地址。

服务器、路由器和打印机等设备需要静态地址,定义一个保留给这些主机使用的地址集。可供分配给 DHCP 客户端的地址池中不包括这些地址。对于 R1 R3,排除 DHCP 池中的前九个地址。

R1(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.9 
R1(config)#
R3(config)#ip dhcp excluded-address 192.168.30.1 192.168.30.9 
R3(config)#
步骤 2. 配置 R1 的地址池。

定义地址池, DHCP 将把该地址池中的地址分配给 R1 LAN 上的 DHCP 客户端。可用地址为 192.168.10.0 网络上除步骤 1 排除地址以外的所有地址。

R1 上,将地址池命名为 R1LAN。为请求 DHCP 服务的客户端设备指定地址池、默认网关和 DNS 服务器。

R1(config)#ip dhcp pool R1LAN 
R1(dhcp-config)#network 192.168.10.0 255.255.255.0 
R1(dhcp-config)#default-router 192.168.10.1 
R1(dhcp-config)#dns-server 192.168.20.254
步骤 3. 配置 R3 的地址池。

R3 上,将地址池命名为 R3LAN。为请求 DHCP 服务的客户端设备指定地址池、默认网关和 DNS 服务器。

R3(config)#ip dhcp pool R3LAN 
R3(dhcp-config)#network 192.168.30.0 255.255.255.0 
R3(dhcp-config)#default-router 192.168.30.1 
R3(dhcp-config)#dns-server 192.168.20.254
步骤 4. 检查结果。

完成比例应为 43%。如果不是,请单击 Check Results(检查结果),查看哪些需要的组件尚未完成。

任务 2:检验 PC 已自动配置

步骤 1. 配置 PC1 PC3 DHCP 配置。

在每台 PC  Desktop(桌面)选项卡上,单击 IP ConfigurationIP 配置),然后选择 DHCPIP 配置信息应会立即更新。

步骤 2. 检查路由器的 DHCP 运行情况。

要检验路由器的 DHCP 运行情况,请发出 show ip dhcp binding 命令。结果应显示每台路由器上都绑定了一个 IP 地址。

步骤 3. 检查结果。

完成比例应为 86%。如果不是,请单击 Check Results(检查结果),查看哪些需要的组件尚未完成。

任务 3:利用 DNS 条目配置 DNS Server

步骤 1. 配置 DNS Server

要在 DNS Server 上配置 DNS,请单击 Config(配置)选项卡上的 DNS 按钮。

确保 DNS 已启动,输入以下 DNS 条目:

·                  www.cisco.com 209.165.201.30

·                  www.publicsite.com 209.165.202.158

 
 
 

简介

扩展 ACL 是一种路由器配置脚本,根据源地址、目的地址,以及协议或端口来控制路由器应该允许还是应该拒绝数据包。扩展 ACL 比标准 ACL 更加灵活而且精度更高。本练习的主要内容是定义过滤标准、配置扩展 ACL、将 ACL 应用于路由器接口并检验和测试 ACL 实施。路由器已经过配置,包括 IP 地址和 EIGRP 路由。用户执行口令是cisco,特权执行口令是 class

任务 1:检查当前的网络配置

步骤 1. 查看路由器的运行配置。

逐一在三台路由器的特权执行模式下使用 show running-config 命令查看运行配置。请注意,接口和路由已配置完整。将 IP 地址配置与上面的地址表相比较。此时,路由器上应该尚未配置任何 ACL

本练习不需要配置 ISP 路由器。假设 ISP 路由器不属于您的管理范畴,而是由 ISP 管理员配置和维护。

步骤 2. 确认所有设备均可访问所有其它位置。

将任何 ACL 应用于网络中之前,都必须确认网络完全连通。如果应用 ACL 之前不测试网络连通性,排查故障会非常困难。

要确保整个网络连通,请在不同的网络设备之间使用 ping 命令和 tracert 命令检验连接。

任务 2:评估网络策略并规划 ACL 实施

步骤 1. 评估 R1 LAN 的策略。

·                  对于 192.168.10.0/24 网络,阻止 telnet 访问所有位置,并且阻止通过 TFTP 访问地址为 192.168.20.254 的企业 Web/TFTP Server。允许所有其它访问。

·                  对于 192.168.11.0/24 网络,允许通过 TFTP Web 访问地址为 192.168.20.254 的企业 Web/TFTP Server。阻止从 192.168.11.0/24 网络发往 192.168.20.0/24 网络的所有其它流量。允许所有其它访问。

步骤 2. R1 LAN 规划 ACL 实施。

·                  用两个 ACL 可完全实施 R1 LAN 的安全策略。

·                  第一个 ACL 支持策略的第一部分,配置在 R1 上并应用于 Fast Ethernet 0/0 接口的入站流量。

·                  第二个 ACL 支持策略的第二部分,配置在 R1 上并应用于 Fast Ethernet 0/1 接口的入站流量。

步骤 3. 评估 R3 LAN 的策略。

·                  阻止 192.168.30.0/24 网络的所有 IP 地址访问 192.168.20.0/24 网络的所有 IP 地址。

·                  允许 192.168.30.0/24 的前一半地址访问所有其它目的地址。

·                  允许 192.168.30.0/24 的后一半地址访问 192.168.10.0/24 网络和 192.168.11.0/24 网络。

·                  允许 192.168.30.0/24 的后一半地址通过 Web 访问和 ICMP 访问所有其余目的地址。

·                  隐含拒绝所有其它访问。

步骤 4. R3 LAN 规划 ACL 实施。

本步骤需要在 R3 上配置一个 ACL 并应用于 FastEthernet 0/0 接口的入站流量。

步骤 5. 评估通过 ISP 进入的 Internet 流量的策略。

·                  仅允许 Outside Host 通过端口 80 与内部 Web Server 建立 Web 会话。

·                  仅允许已建立 TCP 会话进入。

·                  仅允许 ping 应答通过 R2

步骤 6. 为通过 ISP 进入的 Internet 流量规划 ACL 实施。

本步骤需要在 R2 上配置一个 ACL 并应用于 Serial 0/1/0 接口的入站流量。

任务 3:配置采用数字编号的扩展 ACL

步骤 1. 确定通配符掩码。

R1 上实施访问控制策略需要两个 ACL。这两个 ACL 将用于拒绝整个 C 类网络。您需要配置一个通配符掩码,匹配这些 C 类网络中每个网络的所有主机。

例如,要匹配整个 192.168.10.0/24 子网,通配符掩码就应为 0.0.0.255。此掩码可以理解为检查、检查、检查、忽略,实质上能匹配整个 192.168.10.0/24 网络。

步骤 2. R1 配置第一个扩展 ACL

在全局配置模式下,使用编号 110 配置第一个 ACL。首先需要阻止 192.168.10.0/24 网络中的所有 IP 地址 telnet 至任何位置。

编写语句时,请确定您目前处于全局配置模式下。

R1(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet

接下来要阻止 192.168.10.0/24 网络中的所有 IP 地址通过 TFTP 访问地址为 192.168.20.254 的主机。

R1(config)#access-list 110 deny udp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq tftp

最后要允许所有其它流量。

R1(config)#access-list 110 permit ip any any
步骤 3. R1 配置第二个扩展 ACL

用编号 111 配置第二个 ACL。允许 192.168.11.0/24 网络中的任何 IP 地址通过 WWW 访问地址为 192.168.20.254 的主机。

R1(config)#access-list 111 permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq www

然后,允许 192.168.11.0/24 网络中的任何 IP 地址通过 TFTP 访问地址为 192.168.20.254 的主机。

R1(config)#access-list 111 permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp

阻止从 192.168.11.0/24 网络发往 192.168.20.0/24 网络的所有其它流量。

R1(config)#access-list 111 deny ip 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255

最后,允许任何其它流量。此语句用于确保不会阻止来自其它网络的流量。

R1(config)#access-list 111 permit ip any any
步骤 4. 检验 ACL 配置。

R1 上发出 show access-lists 命令,确认您的配置。输出应类似下例:

R1#show access-lists 
Extended IP access list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet deny udp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq tftp permit ip any any Extended IP access list 111 permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq www permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp deny ip 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255 permit ip any any
步骤 5. 将语句应用到接口。

要将 ACL 应用到某个接口,请进入该接口的接口配置模式。配置 ip access-group access-list-number {in | out}命令,将相应 ACL 应用于该接口

每个 ACL 都用于过滤入站流量。将 ACL 110 应用于 FastEthernet 0/0 接口,ACL 111 应用于 FastEthernet 0/1 接口。

R1(config)#interface fa0/0 
R1(config-if)#ip access-group 110 in 
R1(config-if)#interface fa0/1 
R1(config-if)#ip access-group 111 in

确认这两个 ACL 显示于 R1 的运行配置中而且已应用到正确的接口。

步骤 6. 测试 R1 上配置的 ACL

配置和应用 ACL 后,必须测试是否能按照预期阻止或允许流量。

·                  尝试从 PC1 telnet 访问任何设备。此流量应该阻止。

·                  尝试从 PC1 通过 HTTP 访问企业 Web/TFTP Server。此流量应该允许。

·                  尝试从 PC2 通过 HTTP 访问 Web/TFTP Server。此流量应该允许。

·                  尝试从 PC2 通过 HTTP 访问外部 Web Server。此流量应该允许。

根据您掌握的 ACL 知识,尝试从 PC1 PC2 执行一些其它的连通性测试。

步骤 7. 检查结果。

Packet Tracer 不支持测试 TFTP 访问,因此您无法检验该策略。不过,完成比例应为 50%。如果并非如此,请单击 Check Results(检查结果)查看尚未完成哪些必要部分。

任务 4:为 R3 配置命名扩展 ACL

步骤 1. 确定通配符掩码

192.168.30.0/24 网络中前一半 IP 地址的访问策略有如下要求:

·                  拒绝其访问 192.168.20.0/24 网络

·                  允许其访问所有其它目的地址

192.168.30.0/24 网络中的后一半 IP 地址有如下限制:

·                  允许其访问 192.168.10.0 192.168.11.0

·                  拒绝其访问 192.168.20.0

·                  允许其对所有其它位置的 Web 访问和 ICMP 访问

要确定通配符掩码,应考虑 ACL 在匹配 IP 地址 0–127(前一半)或 128–255(后一半)时需要检查哪些位。

我们学过,确定通配符掩码的方法之一是从 255.255.255.255 中减去标准网络掩码。对 C 类地址而言,IP 地址 0–127 128–255 的标准掩码是 255.255.255.128。用减法可得出正确的通配符掩码:

255.255.255.255 – 
255.255.255.128 ------------------ 
0. 0. 0.127
步骤 2. R3 上配置扩展 ACL

R3 上,进入全局配置模式并以 130 作为访问列表编号配置 ACL

第一条语句用于阻止 192.168.30.0/24 访问 192.168.30.0/24 网络中的所有地址。

R3(config)#access-list 130 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

第二条语句用于允许 192.168.30.0/24 网络的前一半地址访问任何其它目的地址。

R3(config)#access-list 130 permit ip 192.168.30.0 0.0.0.127 any

其余的语句则明确允许 192.168.30.0/24 网络的后一半地址访问网络策略允许的网络和服务。

R3(config)#access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.10.0 0.0.0.255
R3(config)#access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.11.0 0.0.0.255
R3(config)#access-list 130 permit tcp 192.168.30.128 0.0.0.127 any eq www
R3(config)#access-list 130 permit icmp 192.168.30.128 0.0.0.127 any 
R3(config)#access-list 130 deny ip any any
步骤 3. 将语句应用到接口。

要将 ACL 应用到某个接口,请进入该接口的接口配置模式。配置 ip access-group access-list-number {in | out}命令,将相应 ACL 应用于该接口。

R3(config)#interface fa0/0 R3(config-if)#ip access-group 130 in
步骤 4. 检验和测试 ACL

配置和应用 ACL 后,必须测试是否能按照预期阻止或允许流量。

·                  PC3 ping Web/TFTP Server。此流量应该阻止。

·                  PC3 ping 任何其它设备。此流量应该允许。

·                  PC4 ping Web/TFTP Server。此流量应该阻止。

·                  PC4 通过 192.168.10.1 192.168.11.1 接口 telnet R1。此流量应该允许。

·                  PC4 ping PC1 PC2。此流量应该允许。

·                  PC4 通过 10.2.2.2 接口 telnet R2。此流量应该阻止。

经过测试并得出正确结果后,在 R3 上使用 show access-lists 特权执行命令检查 ACL 语句是否存在匹配。

根据您掌握的 ACL 知识执行其它测试,检查每条语句匹配的流量是否正确。

步骤 5. 检查结果。

完成比例应为 75%。如果并非如此,请单击 Check Results(检查结果)查看尚未完成哪些必要部分。

任务 5:配置命名扩展 ACL

步骤 1. R2 上配置命名扩展 ACL

前面讲过,R2 上配置的策略将用于过滤 Internet 流量。由于 R2 连接到 ISP ,因此它是配置 ACL 的最佳位置

R2 上使用 ip access-list extendedname 命令配置名为 FIREWALL 的命名 ACL。此命令使路由器进入扩展命名 ACL 配置模式。请留意路由器提示符已更改。

R2(config)#ip access-list extended FIREWALL R2(config-ext-nacl)#

ACL 配置模式下添加语句,按照策略中所述的要求过滤流量:

·                  仅允许 Outside Host 通过端口 80 与内部 Web Server 建立 Web 会话。

·                  仅允许已建立 TCP 会话进入。

·                  允许 ping 应答通过 R2

R2(config-ext-nacl)#permit tcp any host 192.168.20.254 eq www 
R2(config-ext-nacl)#permit tcp any any established 
R2(config-ext-nacl)#permit icmp any any echo-reply 
R2(config-ext-nacl)#deny ip any any

R2 上配置了 ACL 后,使用 show access-lists 命令确认该 ACL 语句正确。

步骤 2. ACL 应用到接口。

使用 ip access-group name {in | out} 命令,将 ACL 应用于 ISP 的入站流量,面向 R2 的接口。

R3(config)#interface s0/1/0 
R3(config-if)#ip access-group FIREWALL in
步骤 3. 检验和测试 ACL

执行下列测试,确保 ACL 能达到预期效果:

·                  Outside Host 打开内部 Web/TFTP Server中的网页。此流量应该允许。

·                  Outside Host ping 内部 Web/TFTP Server。此流量应该阻止。

·                  Outside Host ping PC1。此流量应该阻止。

·                  PC1 ping 地址为 209.165.201.30 的外部 Web Server。此流量应该允许。

·                  PC1 打开外部 Web Server 中的网页。此流量应该允许。

经过测试并得出正确结果后,在 R2 上使用 show access-lists 特权执行命令检查 ACL 语句是否存在匹配。

根据您掌握的 ACL 知识执行其它测试,检查每条语句匹配的流量是否正确。

 
 

步骤 1. 评估 R1 LAN 的策略。

·                  允许 192.168.10.0/24 网络访问除 192.168.11.0/24 网络外的所有位置。

·                  允许 192.168.11.0/24 网络访问所有目的地址,连接到 ISP 的所有网络除外。

步骤 2. R1 LAN 规划 ACL 实施。

·                  用两个 ACL 可完全实施 R1 LAN 的安全策略。

·                  R1 上配置第一个 ACL,拒绝从 192.168.10.0/24 网络发往 192.168.11.0/24 网络的流量,但允许所有其它流量。

·                  ACL 应用于 R1 Fa0/1 接口的出站流量,监控发往 192.168.11.0 网络的所有流量。

·                  R2 上配置第二个 ACL,拒绝 192.168.11.0/24 网络访问 ISP,但允许所有其它流量。

·                  控制 R2 S0/1/0 接口的出站流量。

·                  ACL 语句的顺序应该从最具体到最概括。拒绝网络流量访问其它网络的语句应在允许所有其它流量的语句之前。

步骤 3. 评估 R3 LAN 的策略。

·                  允许 192.168.30.0/10 网络访问所有目的地址。

·                  拒绝主机 192.168.30.128 访问 LAN 以外的地址。

步骤 4. R3 LAN 规划 ACL 实施。

·                  一个 ACL 即可完全实施 R3 LAN 的安全策略。

·                  R3 上配置该 ACL,拒绝 192.168.30.128 主机访问 LAN 以外的地址,但允许 LAN 中的所有其它主机发出的流量。

·                  ACL 将应用于 Fa0/0 接口的入站流量,监控尝试离开 192.168.30.0/10 网络的所有流量。

·                  ACL 语句的顺序应该从最具体到最概括。拒绝 192.168.30.128 主机访问的语句应在允许所有其它流量的语句之前。

任务 3:配置采用数字编号的标准 ACL

步骤 1. 确定通配符掩码。

ACL 语句中的通配符掩码用于确定要检查的 IP 源地址或 IP 目的地址的数量。若某个位为 0,则表示匹配地址中该位的值,若为 1 则忽略地址中该位的值。请记住,标准 ACL 仅检查源地址。

·                  由于 R1 上的 ACL 拒绝所有 192.168.10.0/24 网络的流量,因此以 192.168.10 开头的任何源 IP 地址都应拒绝。鉴于 IP 地址的最后一组二进制八位数可以忽略,所以正确的通配符掩码应为 0.0.0.255。此掩码中的每组二进制八位数可以理解为检查、检查、检查、忽略

·                  R2 上的 ACL 还要拒绝 192.168.11.0/24 网络流量。可以使用同样的通配符掩码 0.0.0.255

步骤 2. 确定语句。

·                  应在全局配置模式下配置 ACL

·                  标准 ACL 使用介于 1 99 之间的编号。R1 上的此列表使用编号 10 ,有助于记住此 ACL 监控的是 192.168.10.0 网络。

·                  R2 上,访问列表 11 将拒绝从 192.168.11.0 网络发往任何 ISP 网络的流量,因此使用网络192.168.11.0和通配符掩码 0.0.0.255 设置 deny 选项。

·                  由于 ACL 末尾有隐式 "deny any" 语句,因此必须用 permit 选项允许所有其它流量。any 选项用于指定任何源主机。

R1 上执行下列配置:

R1(config)#access-list 10 deny 192.168.10.0 0.0.0.255
R1(config)#access-list 10 permit any

注:ACL 配置只有按正确顺序输入所有语句后,才会获得 Packet Tracer 的评分。

现在,请在 R2 上创建拒绝 192.168.11.0 网络并允许所有其它网络的 ACL。此 ACL 使用编号 11。在 R2 上执行下列配置:

R2(config)#access-list 11 deny 192.168.11.0 0.0.0.255 
R2(config)#access-list 11 permit any
步骤 3. 将语句应用到接口。

R1 上,进入 Fa0/1 接口的配置模式。

发出 ip access-group 10 out 命令,将标准 ACL 应用于该接口的出站流量。

R1(config)#interface fa0/1 
R1(config-if)#ip access-group 10 out

R2 上,进入 S0/1/0 接口的配置模式。

发出 ip access-group 11 out 命令,将标准 ACL 应用于该接口的出站流量。

R2(config)#interface s0/1/0 
R2(config-if)#ip access-group 11 out
步骤 4. 检验和测试 ACL

配置并应用 ACL 后,PC1 (192.168.10.10) 应该无法 ping PC2 (192.168.11.10),因为 ACL 10 R1 上应用于 Fa0/1 的出站流量。

PC2 (192.168.11.10) 应该无法 ping Web Server (209.165.201.30) Outside Host (209.165.202.158),但应能 ping 通其它所有位置,因为 ACL 11 R2 上应用于 S0/1/0 的出站流量。但 PC2 无法 ping PC1,因为 R1 上的 ACL 10 会阻止 PC1 PC2 发送的应答。

步骤 5. 检查结果。

完成比例应为 67%。如果并非如此,请单击 Check Results(检查结果)查看尚未完成哪些必要部分。

任务 4:配置命名标准 ACL

步骤 1. 确定通配符掩码。

·                  R3 的访问策略规定,应该拒绝 192.168.30.128 主机访问本地 LAN 以外的任何地址。允许 192.168.30.0 网络中的所有其它主机访问所有其它位置。

·                  要检查一台主机,就需要检查完整的 IP 地址,可使用关键字 host 来实现。

·                  不匹配 host 语句的所有数据包都应允许。

步骤 2. 确定语句。

·                  R3 上进入全局配置模式。

·                  发出 ip access-list standard NO_ACCESS 命令,创建名为 NO_ACCESS 的命名 ACL。您将进入 ACL 配置模式。所有 permit deny 语句都在此配置模式下配置。

·                  使用 host 选项拒绝来自 192.168.30.128 主机的流量。

·                  使用 permit any 允许所有其它流量。

R3 上配置以下命名 ACL

R3(config)#ip access-list standard NO_ACCESS 
R3(config-std-nacl)#deny host 192.168.30.128
R3(config-std-nacl)#permit any
步骤 3. 将语句应用到正确的接口。

发出 ip access-group NO_ACCESS in 命令,将命名 ACL 应用于该接口的入站流量。

应用之后,即会根据该 ACL 检查从 192.168.30.0/24 LAN 进入 Fa0/0 接口的所有流量。

R3(config)#interface fa0/0 
R3(config-if)#ip access-group NO_ACCESS in
 
 

任务 1:配置帧中继

步骤 1. R1 Serial 0/0/0 接口上配置帧中继封装。
R1(config)#interface serial0/0/0 
R1(config-if)#encapsulation frame-relay 
R1(config-if)#no shutdown
步骤 1. R1R2 R3 上配置静态映射。

每台路由器需要两个静态映射来访问另两台路由器。用于访问这些路由器的 DLCI 如下:

路由器 R1

·                  要访问路由器 R2,应使用位于 IP 地址 10.10.10.2 DLCI 102  ip为目的地ipDLCI为本地的

·                  要访问路由器 R3,应使用位于 IP 地址 10.10.10.3 DLCI 103

路由器还必须支持 RIP;因此需要使用关键字 broadcast。在路由器 R1 上,如下配置静态帧中继映射:

 

R1(config-if)#frame-relay map ip 10.10.10.2 102 broadcast 
R1(config-if)#frame-relay map ip 10.10.10.3 103 broadcast

 

使用上面提供的信息配置路由器 R2 R3

ANSI 配置为 R1R2 R3 上的 LMI 类型。

对每台路由器的串行接口输入下列命令。

R1(config-if)#interface s0/0/0 
R1(config-if)#frame-relay lmi-type ansi
 
 
 
 

R1 配置为与 R2 之间使用 PPP 封装。

R1(config)#interface serial0/0/0 

R1(config-if)#encapsulation ppp

使用 HDLC 封装

ISP(config)#interface serial0/0/0 

ISP(config-if)#encapsulation hdlc 

ISP(config-if)#no shutdown

PPP 封装支持两种不同类型的身份验证:PAP(口令验证协议)和 CHAP(挑战握手验证协议)。PAP 使用明文口令,而 CHAP 则调用安全性高于 PAP 的单向哈希。本练习将配置 PAP CHAP 两种验证,同时还要复习 OSPF 路由配置。


任务 1:配置 OSPF 路由

步骤 1. R1 上启用 OSPF

 1 作为 process-ID,使用 router ospf 1 命令启用 OSPF 路由。

步骤 2. R1 上配置 network 语句。

在路由器的配置模式下,使用 network 命令添加连接到 R1 的所有网络。在本拓扑结构中,所有 network 语句的 OSPF area-id 参数均为 0

R1(config-router)#network 192.168.10.0 0.0.0.255 area 0 R1(config-router)#network 10.1.1.0 0.0.0.3 area 0

步骤 3. R2 R3 上配置 network 语句。


对路由器 R2 和 R3 重复步骤 1 和步骤 2。使用地址表确定正确的语句。在 R2 上,不要通告 209.165.202.224/30 网络。下一步将配置默认路由。

步骤 4. 建立并重分布 OSPF 默认路由。

·                  R2 上,使用命令 ip route 0.0.0.0 0.0.0.0 s0/1/0 创建指向 ISP 的静态默认路由。

·                  在路由器提示符后发出 default-information originate 命令,将该静态路由包括在从 R2 发出的 OSPF 更新中。

步骤 5. 检验端到端连通性。


此时在您的配置中,所有设备均应能够 ping 通所有位置。
单击 Check Results(检查结果),然后单击 Connectivity Tests(连通性测试)。两项测试的 Status(状态)均应为“Correct(正确)R1R2 R3 的路由表均应完整。R1 R3 应该有默认路由,与下例 R1 的路由表所示相同:

R1#show ip route

任务 2:配置 PAP 身份验证

步骤 1. R1 配置为使用 PAP 验证 R2 的身份。

·                  R1 的全局配置模式下,键入命令 username R2 password cisco123。此命令允许远程路由器 R2 使用口令 cisco123连接到 R1

·                  使用 encapsulation ppp 命令将 R1 s0/0/0 接口上的封装类型更改为 PPP

·                  在该串行接口的接口配置模式下,使用 ppp authentication pap 命令配置 PAP 身份验证。

·                  使用 ppp pap sent-username R1 password cisco123 命令配置要向 R2 发送的用户名和口令。虽然 Packet Tracer 不对 ppp pap sent-username R1 password cisco123 命令评分,但配置 PAP 身份验证时需要使用此命令才能成功。

·                  返回到特权执行模式,然后使用 show ip interface brief 命令观察 R1 R2 之间的链路是否已断开。

R1(config)#username

R2 password cisco123 

R1(config)#interface s0/0/0 

R1(config-if)#encapsulation ppp 

R1(config-if)#ppp authentication pap 

R1(config-if)#ppp pap sent-username R1 password cisco123 

R1(config-if)#end 

%SYS-5-CONFIG_I:Configured from console by console

R1#show ip interface brief 

Interface IP-Address OK? Method Status Protocol FastEthernet0/0 192.168.10.1 YES manual up up FastEthernet0/1 unassigned YES manual administratively down down Serial0/0/0 10.1.1.1 YES manual up down Serial0/0/1 unassigned YES manual administratively down down Vlan1 unassigned YES manual administratively down down

步骤 2. R2 配置为使用 PAP 验证 R1 的身份。


对 R2 重复步骤 1,使用与 R1 之间的串行链路。
请记住,命令 usernamename password password 中使用的名称始终是远程路由器的名称,但在 ppp pap sent-usernamename password password 命令中,该名称应该是始发路由器的名称。
注:虽然 Packet Tracer 会开通链路,但在实际设备上,您却需要首先对接口发出 shutdown 命令,然后再发出 no shutdown 命令,促使 PAP 重新验证身份。当然,您也可以重新启动路由器。

步骤 3. 测试 PC1 Web Server 之间的连通性。


使用 show ip interface brief 命令观察 R1 R2 之间的链路现在是否已启用。现在,从 R1 Web Server 的连接应该已恢复。从 PC1 Web Server 发送 ping 命令来测试。

R2#show ip interface brief

任务 3:配置 CHAP 身份验证

步骤 1. R3 配置为使用 CHAP 验证 R2 的身份。

·                  R3 的全局配置模式下,键入 username R2 password cisco123

·                  s0/0/1 接口发出 encapsulation ppp 命令和 ppp authentication chap 命令,启用 PPP 封装和 CHAP 身份验证。

·                  使用 show ip interface brief 命令观察 R2 R3 之间的链路是否已断开。

R3(config)#username R2 password cisco123 

R3(config)#interface s0/0/1 

R3(config-if)#encapsulation ppp 

R3(config-if)#ppp authentication chap

 
 

VTP通告:相互通告版本号等。

模式:服务器:NVRAM(会存储),客户端:RAM(不会存储),透明

修订版本号:配置多少vlan,就有多少修订版本号

启动vtp修剪命令:vtp pruning

配置vtp

show vtp status 命令的输出确认了该交换机默认为 VTP 服务器。因为尚未配置任何 VLAN,所以修订版号仍然设置为 0,并且该交换机不属于任何 VTP 域。

如果交换机尚未配置为 VTP 服务器,可以使用 vtp mode {server} 命令进行配置。

使用 vtp domaindomain-name 命令配置域名。在图中,交换机 S1 已将域名配置为 cisco1。确保域名都一致。

出于安全原因,可以使用 vtp password password 命令配置口令。

大多数交换机可支持 VTP 1 版和第 2 版。但是,Catalyst 2960 交换机默认设置为第 1 版。当在交换机上输入 vtp version 1 命令时,它会通知我们该交换机已经配置为运行第 1 版。

客户端不用配置vlan

服务器:确认将要配置的所有交换机都已设置为默认设置,务必重置配置版本号。

 

S1#show vlan


步骤 3:使用 shutdown 命令禁用所有端口。
S1(config)#interface range fa0/1-24

S1(config-if-range)#shutdown
S1(config-if-range)#interface range gi0/1-2
S1(config-if-range)#shutdown


步骤 4:重新启用 S2 S3 上的用户端口。
将用户端口配置为接入模式。请参阅拓扑图来确定哪些端口连接到最终用户设备。
S2(config)#interface fa0/6
S2(config-if)#switchport mode access
S2(config-if)#no shutdown


任务 2:执行基本交换机配置
根据以下原则配置交换机 S1S2 S3 并保存配置:
按照拓扑所示配置交换机主机名。
禁用 DNS 查找。
将执行模式口令配置为class
为控制台连接配置口令cisco
vty 连接配置口令cisco
S1 显示的输出)
Switch>enable
Switch#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname S1
S1(config)#enable secret class
S1(config)#no ip domain-lookup
S1(config)#line console 0
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#line vty 0 15
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#end
S1#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
任务 3:配置主机 PC 上的以太网接口
使用本实验开头部分地址表中的 IP 地址和默认网关配置PC1PC2PC3PC4PC5 PC6 的以太网接口。
确保 PC1 ping PC4PC2 ping PC5PC3 ping PC6
任务 4:在交换机上配置 VTP
VTP
可让网络管理员通过创建 VTP 域来控制网络上的 VLAN 实例。在每个 VTP 域中,

可以将一台或多台
交换机配置为 VTP 服务器。然后可以在 VTP 服务器上创建 VLAN,并将这些 VLAN

送给域中的其它交换机。常见的 VTP 配置任务是设置工作模式、域和口令。在本实验中,您将使用 S1 作为 VTP 服务器,S2 S3 则配置为 VTP 客户端或 VTP 透明模式。
步骤 1:检查三台交换机上的当前 VTP 设置。
S1#show vtp status
请注意,三台交换机均处于服务器模式。服务器模式是大多数 Catalyst 交换机的默认 VTP 模式。
步骤 2:在所有三台交换机上配置工作模式、域名和 VTP 口令。
在三台交换机上,全部将 VTP 域名设置为Lab4VTP 口令设置为cisco。将 S1 配置为服务器模式,S2配置为客户端模式,S3 配置为透明模式。
S1(config)#vtp mode server

S1(config)#vtp domain Lab4
S1(config)#vtp password cisco
S1(config)#end


S2(config)#vtp mode client

S2(config)#vtp domain Lab4
S2(config)#vtp password cisco
S2(config)#end


S3(config)#vtp mode transparent

S3(config)#vtp domain Lab4
S3(config)#vtp password cisco
S3(config)#end
注意:客户端交换机可从服务器交换机处获知 VTP 域名,但前提是客户端交换机的域为空。如果客户端交换机已设置有域名,则不会获知新的域名。因此,最好是在所有交换机上手动配置域名,以确保域名配置正确。位于不同 VTP 域中的交换机不会交换 VLAN 信息。
步骤 3:为所有三台交换机上的中继端口配置中继和本征 VLAN
在全局配置模式下使用interface-range 命令来简化此项任务。
S1(config)#interface range fa0/1-5

S1(config-if-range)#switchport mode trunk
S1(config-if-range)#switchport trunk native vlan 99
S1(config-if-range)#no shutdown
S1(config-if-range)#end
步骤 4:在 S2 S3 接入层交换机上配置端口安全功能。配置端口 fa0/6fa0/11 fa0/18,使它们只支持一台主机,并且动态获知该主机的 MAC 地址。
S2(config)#interface fa0/6

S2(config-if)#switchport port-security
S2(config-if)#switchport port-security maximum 1
S2(config-if)#switchport port-security mac-address sticky
步骤 5:在 VTP 服务器上配置 VLAN
本实验还需要四个 VLAN
• VLAN 99 (management)
• VLAN 10 (faculty/staff)
• VLAN 20 (students)
• VLAN 30 (guest)
VTP 服务器上配置这些 VLAN
S1(config)#vlan 99

S1(config-vlan)#name management
S1(config-vlan)#exit


使用 show vlan brief 命令检验 S1 上是否创建了这些 VLAN
步骤 7:在交换机 2 3 上创建新的 VLAN
S3(config)#vlan 88

S3(config)#no vlan 88
步骤 8:手动配置 VLAN
此时您能体会到 VTP 的一项优点。手动配置费时又容易出错,并且此处所犯的任何错误都可能阻碍 VLAN内的通信。此外,此类错误也难以排查。
步骤 9:在所有三台交换机上配置管理接口地址。
S1(config)#interface vlan 99

S1(config-if)#ip address 172.17.99.11 255.255.255.0
S1(config-if)#no shutdown
在交换机之间执行 ping 操作,检查这些交换机是否都已得到正确配置。从 S1 ping S2 S3 的管理接口。从 S2 ping S3 的管理接口。
ping
是否成功?___________________________________________
若不成功,则排除交换机配置故障,然后重试。
步骤 10:将交换机端口分配给 VLAN
请参阅本实验开头的端口分配表,将端口分配给 VLAN。使用interface range 命令可简化此任务。端口分配不是通过 VTP 完成的。必须在每台交换机上以手动方式或使用 VMPS 服务器动态执行端口分配。下面只显示了 S3 上的端口分配命令,但是交换机 S2 S1 的配置方法相似。完成后保存配置。
S3(config)#interface range fa0/6-10

S3(config-if-range)#switchport access vlan 30
S3#copy running-config startup-config
Destination filename [startup-config]? [enter]
Building configuration...

任务 5:在交换机上配置 VTP 修剪
VTP
修剪功能可让 VTP 服务器针对特定 VLAN 限制 IP 广播流量,当交换机没有任何端口位于对应 VLAN中时,广播流量便不会到达该交换机。默认情况下,VLAN 中的所有未知单播和广播流量会泛洪到整个VLAN 中。网络中的所有交换机都会收到所有广播,即使只有极少数用户连接到该 VLAN 的情况下也是如此。VTP 修剪功能可消除这种不必要的流量。由于不会将广播发送给不需要的交换机,因此修剪功能可节省 LAN 带宽。修剪功能是在服务器交换机的全局配置模式下使用vtp pruning 命令配置的。这一配置也会发送到客户端交换机。但是由于 S3 处于透明模式,因此必须在 S3 上以本地方式配置 VTP 修剪。
使用 show vtp status 命令确认每台交换机上的 VTP 修剪配置。每台交换机上都应该已启用 VTP 修剪模式。
S1#show vtp status
VTP Version : 2
Configuration Revision : 17
Maximum VLANs supported locally : 255
Number of existing VLANs : 9
VTP Operating Mode : Server
VTP Domain Name : Lab4
VTP Pruning Mode : Enabled

本例中,在全局配置模式下输入 interface f0/0.10 命令,创建路由器子接口。子接口的语法始终为物理接口(在本例中为 f0/0)加上一个点号再加上子接口编号。子接口编号可配置,但通常设置为 VLAN 的编号。本例中,使用 10 30 作为子接口编号,以便记住相关联的 VLAN。由于路由器可能有多个接口,且各接口可配置为支持多个子接口,所以需指定物理接口。

IP 地址分配给子接口之前,需要使用 encapsulation dot1q vlan id 命令配置子接口,使之在特定 VLAN 上运行。本例中,子接口 Fa0/0.10 被分配给 VLAN10。分配 VLAN 后,使用 ip address 172.17.10.1 255.255.255.0 命令将相应的 IP 地址分配给该 VLAN 中的子接口。

与常规的物理接口不同,子接口不能通过 Cisco IOS 软件子接口配置模式下的 no shutdown 命令启用。当物理接口通过 no shutdown 命令启用后,配置的所有子接口都会被启用。同理,如果物理接口被禁用,所有子接口都会被禁用。

 

任务 1:测试不使用 VLAN 间路由时的连通性

步骤 1. PC1 PC3 之间执行 Ping 操作。

等待交换机收敛。在连接到 PC1 PC3 的交换机上,链路灯从琥珀色变为绿色。当链路灯呈绿色时,在 PC1 PC3之间执行 ping 操作。由于两台计算机位于不同网络中而且尚未配置路由器,因此它们无法相互通信,ping 操作会失败。

步骤 2. 切换到模拟模式监控 ping 操作。

·                  单击 Simulation(模拟) 选项卡或按 Shift+S,切换到模拟模式。

·                  单击 Capture/Forward(捕获/转发),观看 ping 操作在 PC1 PC3 之间采取的步骤。

·                  请留意,ping 甚至无法通过交换机。

完成比例应为 0%

任务 2:添加 VLAN

步骤 1. S1 上创建 VLAN

S1 上创建两个 VLAN,分别对应 PC1 PC3。其中 PC1 属于 VLAN 10PC3 属于 VLAN 30。要创建 VLAN,请在全局配置模式下发出命令 vlan 10  vlan 30

S1#configure terminal S1(config)#vlan 10 S1(config-vlan)#vlan 30

要检查是否已创建 VLAN,请在特权执行提示符后发出 show vlan brief 命令。

S1#show vlan brief 
VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2 10 VLAN0010 active 30 VLAN0030 active 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active
步骤 2. 为端口分配 VLAN

将交换机上的每个端口分配到 VLAN 以实现 VLAN 间通信。

交换机端口的分配方式如下:

·                  Fa0/8 Fa0/11 接口分配到 VLAN 10

·                  Fa0/5 Fa0/6 接口分配到 VLAN 30

要为端口分配 VLAN,需进入接口配置模式。Fa0/8 的命令是 interface fa0/8switchport mode access 命令可将该端口设置为接入模式。switchport access vlan 10 命令可将 VLAN 10 分配给该端口。

S1(config)#interface fa0/8 
S1(config-if)#switchport mode access 
S1(config-if)#switchport access vlan 10

Fa0/5Fa0/6 Fa0/11 重复上述步骤,为每个接口分配正确的 VLAN

步骤 3. 测试 PC1 PC3之间的连通性。

现在,请在 PC1 PC3之间发出 ping 命令。ping 仍应失败。

步骤 4. 检查结果。

完成比例应为 45%。如果并非如此,请单击 Check Results(检查结果)查看尚未完成哪些必要部分。

任务 3:配置 IP 地址

步骤 1. R1 上配置 IP 地址。

使用 IP 地址 172.17.10.1 和子网掩码 255.255.255.0 配置 R1 Fa0/0 接口。

使用 IP 地址 172.17.30.1 和子网掩码 255.255.255.0 配置 Fa0/1 接口。

对两个接口发出 no shutdown 命令,启用这些接口。

R1(config)#interface fa0/0 
R1(config-if)#ip address 172.17.10.1 255.255.255.0 
R1(config-if)#no shutdown 
R1(config-if)#interface fa0/1 
R1(config-if)#ip address 172.17.30.1 255.255.255.0 
R1(config-if)#no shutdown
步骤 2. 检查结果。

完成比例应为 100%。如果并非如此,请单击 Check Results(检查结果)查看尚未完成哪些必要部分。

任务 4:再次测试连通性

步骤 1. PC1 PC3 之间执行 Ping 操作。

等待 STP 收敛。然后,从 PC1 ping PC3ping 应该会成功。

步骤 2. 切换到模拟模式监控 ping 操作。

·                  单击 Simulation(模拟) 选项卡或按 Shift+S,切换到模拟模式。

·                  单击 Capture/Forward(捕获/转发),观看 ping 操作在 PC1 PC3 之间采取的步骤。

·                  观察 ping 如何从 PC1 S1,然后到 R1,再返回 S1,最终返回 PC3

总结:

interface range fa0/6-10
switchport mode trunk

switchport access vlan 30

 

interface range fa0/11-17
switchport mode trunk

switchport access vlan 10

 

interface range fa0/18-24
switchport mode trunk

switchport access vlan 20

 

vtp mode transparent
vtp domain Lab4_3

vtp password cisco
end

 

conf t
int vlan 99

ip addr 172.17.99.13 255.255.255.0
no shut

 

dymitic domain 什么的
interface f0/2

switchport mode trunk
switchport trunk native vlan 99

 

步骤 2:清除交换机上的所有现有配置,将所有端口置于关闭状态。如果需要,请参考实验 2.5.1 的附录 1,以了解清除交换机配置的方法。要禁用交换机上未使用的端口,较好的办法是将这些端口设置为 shutdown。禁用交换机上的所有端口。
Switch#config term
Switch(config)#interface range fa0/1-24
Switch(config-if-range)#shutdown
Switch(config-if-range)#interface range gi0/1-2
Switch(config-if-range)#shutdown


步骤 2:启用 S2 S3 上的用户端口。
S2(config)#interface range fa0/6, fa0/11, fa0/18
S2(config-if-range)#switchport mode access
S2(config-if-range)#no shutdown
CCNA Exploration
LAN
交换和无线:VLAN 实验 3.5.1:基本 VLAN 配置


S3(config)#interface range fa0/6, fa0/11, fa0/18
S3(config-if-range)#switchport mode access
S3(config-if-range)#no shutdown
任务 3:配置并激活以太网接口
步骤 1:配置 PC
执行本实验可以只使用两台 PC,只要根据要执行的测试相应地更改这两台 PC IP 地址即可。例如,如果您要测试 PC1 PC2 之间的连通性,那么根据本实验开头部分的地址表为这两台 PC 配置 IP 地址。或者您也可以为所有六台 PC 配置 IP 地址和默认网关。任务 4:在交换机上配置 VLAN
步骤 1:在交换机 S1 上创建 VLAN
在全局配置模式下使用vlan vlan-id 命令将 VLAN 添加到交换机 S1。本实验需要配置四个 VLANVLAN10 (faculty/staff)VLAN 20 (students)VLAN 30 (guest) VLAN 99 (management)。创建 VLAN 之后,您将处于 vlan 配置模式,在该模式下可以使用name vlan name 命令为 VLAN 指定名称。
S1(config)#vlan 10
S1(config-vlan)#name faculty/staff
S1(config-vlan)#vlan 20
S1(config-vlan)#name students
S1(config-vlan)#vlan 30
S1(config-vlan)#name guest
S1(config-vlan)#vlan 99
S1(config-vlan)#name management
S1(config-vlan)#end
S1#
LAN
交换和无线:VLAN 实验 3.5.1:基本 VLAN 配置

S3(config)#interface range fa0/6-10
S3(config-if-range)#switchport access vlan 30
S3(config-if-range)#interface range fa0/11-17
S3(config-if-range)#switchport access vlan 10
S3(config-if-range)#interface range fa0/18-24
S3(config-if-range)#switchport access vlan 20
S3(config-if-range)#end
S3#copy running-config startup-config
Destination filename [startup-config]? [enter]
Building configuration...
[OK]
步骤 5:确定已添加的端口。
S2 上使用show vlan id vlan-number 命令查看哪些端口已分配给 VLAN 10
哪些端口已分配给 VLAN 10_______________________________________________________
注意:show vlan id vlan-name 可显示相同的输出。您也可以使用show interfaces interface switchport 命令查看 VLAN 分配信息。
步骤 6:分配管理 VLAN
管理 VLAN 是您配置用于访问交换机管理功能的 VLAN。如果您没有特别指明使用其它 VLAN,那么VLAN 1 将作为管理 VLAN。您需要为管理 VLAN 分配 IP 地址和子网掩码。交换机可通过 HTTPTelnetSSH SNMP 进行管理。因为 Cisco 交换机的出厂配置将 VLAN 1 作为默认 VLAN,所以将VLAN 1 用作管理 VLAN 不是明智的选择。您肯定不愿意连接到交换机的任何用户都默认连接到管理VLAN。在本实验前面的部分中,我们已经将管理 VLAN 配置为 VLAN 99。在接口配置模式下,使用ip address 命令为交换机分配管理 IP 地址。
S1(config)#interface vlan 99
S1(config-if)#ip address 172.17.99.11 255.255.255.0
S1(config-if)#no shutdown
S2(config)#interface vlan 99
S2(config-if)#ip address 172.17.99.12 255.255.255.0
S2(config-if)#no shutdown
S3(config)#interface vlan 99
S3(config-if)#ip address 172.17.99.13 255.255.255.0
S3(config-if)#no shutdown
CCNA Exploration
LAN
交换和无线:VLAN 实验 3.5.1:基本 VLAN 配置
分配管理地址后,交换机之间便可通过 IP 通信。此外,任何主机只要连接到已分配给 VLAN 99 的端口,这些主机便能连接到交换机。因为 VLAN 99 配置为管理 VLAN,所以任何分配到该 VLAN 的端口都应视为管理端口,并且应该对这些端口实施安全保护,控制可以连接到这些端口的设备。
步骤 7:为所有交换机上的中继端口配置中继和本征 VLAN
中继是交换机之间的连接,它允许交换机交换所有 VLAN 的信息。默认情况下,中继端口属于所有VLAN,而接入端口则仅属于一个 VLAN。如果交换机同时支持 ISL 802.1Q VLAN 封装,则中继必须指
定使用哪种方法。因为 2960 交换机仅支持 802.1Q 中继,所以在本实验中无需指定使用何种方法。本征 VLAN 分配给 802.1Q 中继端口。在拓扑中,本征 VLAN VLAN 99802.1Q 中继端口支持来自多
VLAN 的流量(已标记流量),也支持来源不是 VLAN 的流量(无标记流量)。802.1Q 中继端口会将无标记流量发送到本征 VLAN。产生无标记流量的计算机连接到配置有本征 VLAN 的交换机端口。在有关
本征 VLAN IEEE 802.1Q 规范中,其中一项的作用便是维护无标记流量的向下兼容性,这种流量在传统LAN 方案中十分常见。对于本练习而言,本征 VLAN 的作用是充当中继链路两端的通用标识符。最佳做法是使用 VLAN 1 以外的 VLAN 作为本征 VLAN。在全局配置模式下使用interface range 命令可简化配置中继的操作。
S1(config)#interface range fa0/1-5
S1(config-if-range)#switchport mode trunk
S1(config-if-range)#switchport trunk native vlan 99
S1(config-if-range)#no shutdown
S1(config-if-range)#end
S2(config)# interface range fa0/1-5
S2(config-if-range)#switchport mode trunk
S2(config-if-range)#switchport trunk native vlan 99
S2(config-if-range)#no shutdown
S2(config-if-range)#end
S3(config)# interface range fa0/1-5
S3(config-if-range)#switchport mode trunk
S3(config-if-range)#switchport trunk native vlan 99
S3(config-if-range)#no shutdown
S3(config-if-range)#end
使用 show interface trunk 命令检验中继的配置情况。

 

链路状态协议包括OSPF协议,IS-IS协议等。

链路是路由器上的一个接口,链路状态时有关各条链路的状态的信息。

链路状态包含的信息:

·                  网络地址(非接口地址)

·                  接口IP地址

·                  网络类型(以太网,点到点,广播多路访问,广播非多路访问等)

·                  链路开销:(带宽)每个OSPF路由器不一样

·                  邻居:邻居路由器

路由器使用Hello协议来发现其链路上的所有邻居。两台链路状态路由器获悉邻居后,形成相邻关系。每隔一定时间发送LSPLink State Packet链路状态数据包),想邻居发送LSP,知道泛洪(不管从哪里来的数据包,立即发送给邻居)完成后,用SPFDijsktra)算法计算最短路。所以非常消耗CPU。所以要分成很多个区域。

LSP只需要在路由器开启的时候和拓扑改变的时候发送,所以收敛速度比RIP快得多。

将通过其他协议得知的信息通过OSPF协议散布

default-information originate

ip ospf priority 200 定义优先级

network 网络号通配符 area 0

其中为了使得局域网可以收到信息,但是不能发布信息,可用passive-int f0/0

EIGRPcisco的协议,也就是说他的算法是不公开的。

我们主要学习的是内部网关协议,包括距离矢量路由协议(EIGRPRIP)和链路状态协议(OSPF)。

EIGRP信息分为

外部路由信息:从其他协议,包括静态路由信息什么的得到的信息   170管理距离

内部路由信息:EIGRP自己的协议获得的信息。    90管理距离  eigrp总结路由的管理距离是5

组播地址:224.0.0.100

数据包类型分为:

hello:用于发现邻居并建立邻接关系,由于不可靠,因此无需接收方答复

update:更新路由信息

ACK:使用可靠传输时发送。realiable tcp protocol(RTP)

查询(Query)和应答(Reply):使用DUAL算法,所以在路由表中,最开头的字母是DRIP协议是R

部分更新和限定更新。。。。使得EIGRP的效率增加。

相关命令:

 

router eigrp 1

1代表自制区域,实际上是参与更新,起进程的ID作用,只有ID号一样的时候才可以相互接收信息。所以是自制区域。。autonomous-system

 

network 网络号        (有类的)

network 网络号通配符(子网掩码的反码)  (无类的)

这里代表着网络号的那个接口启动,并且那个网络号所在的网络可以收到EIGRP的信息。配置的时候可以是有类的和无类的。

EIGRP的路由路径长度的度量:K1  K2  K3 K4 K5  五个度量  默认只有k1(带宽)和k3(延迟)的值为1,其他为0.计算方法(10,000,000/带宽kbps*256 + 延迟/10*256 得出的值就是管理距离后面的那个值了。这里有个常识,就是要是路由路径上的带宽都不一样的时候,当然取最小的瓶颈带宽;路由路径上延迟当然都是相加起来的总延迟。

第二种度量类型有前缀长度,代表着EIGRP是支持子网掩码的。

 

null0作为一个虚拟接口存在,是将一些数据包丢弃的。EIGRP支持自动的路由总结。默认是开启的。只要子网中有一个或者一个以上的通过EIGRP获得的子网,就会进行自动总结。

根据路由表的查找方式,我们知道,RIP版本1是支持有类的,也就是说,当查找复路由满足条件,找子路由不满足条件的时候,不管有没有默认路由,都是将数据包丢弃的。而版本二是无类查找,这样有默认路由便会从默认路由走。

但是EIGRP开启自动总结的情况下,会将数据包直接送往null0丢弃。所以我们要关闭自动总结。

   no auto-summary

 

在端口下,可以改变带宽 bandwidth 64 ,单位是kb,但是这里的改变带宽是将用于计算(度量)的带宽改变,并不是真正改变物理的带宽。相比之下,clock rate 64000是改变物理的带宽(单位是bit),而非计算的带宽。

 

路由表要求简洁明了,这样可以提高路由器的计算效率。所以我们可以将其手动总结出来。在端口下:

ip summary-address eigrp 1 192.168.0.0 255.255.252.0 (ID号,网络号,子网掩码)

 

DUAL算法:

找最佳路径的同时,找一条备份路径。一定要对方到终点的距离比自身到终点的距离小的时候才作为备份。这样可以防止回路。

show ip eigrp topology 查看备份信息

show ip eigrp nerghbors

首先,需要用

conf t

router rip

version 2

no auto-summary   否则RIPv2会和第一个版本一样,会自动总结。

 

RIPV1用广播来更新,RIPV2用组播来更新,用D类地址,224.0.0.9地址。。。更新

VLSM变长子网掩码。

network +ip地址来说明更新的网络

 

最长匹配原则。  有关复路由和子路由(2级路由)

路由表搜索方式:分为有类和无类两种。有类是非常老的类型。通常在版本一中。

第二个版本比第一个版本多了子网掩码的发送。

第一个版本是不支持无类的地址划分的。也就是不支持子网掩码,所以容易出错。

 

ip route 192.168.0.0 255.255.0.0 null0表示发送给虚拟的空接口,空接口将作为静态路由的送出接口,所以会将这个网络的ip包丢弃。

 

redistribute static

将静态路由重新分布,否则其他路由将不会知道这个静态路由信息

 
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/AllinToyou/article/detail/412397
推荐阅读
相关标签
  

闽ICP备14008679号