Cisco常用命令第一四学期总结Word文件下载.docx
《Cisco常用命令第一四学期总结Word文件下载.docx》由会员分享,可在线阅读,更多相关《Cisco常用命令第一四学期总结Word文件下载.docx(13页珍藏版)》请在冰点文库上搜索。
三,RIP(路由信息协议)配置(特别注意:
合理利用cleariproute*?
<
两面性>
清空路由表,以便显示更新信息企业中维护切勿使用该命令进行更新,否则会导致企业网瘫痪、BUG。
)
1,基本配置RIPv1/2(全局模式)
routerrip
Version(版本)1/2
noipdomain-lookup(IP域名解析)
noauto-summary(关闭自动总结)
network*172.31.0.0(RIP更新)
passive-interface*f0/0(被动接口)(禁用更新)
neighbor*172.16.1.3(配置单播更新)
2,静态路由重分布
routerip
redistributestatic
nonet*192.168.0.0
3,注入默认路由
ipdefaultnetwork*192.168.34.0
四,EIGRP(增强型内部网关路由协议)(全局模式)
1,基本配置
routeeigrp1(ID值)
(no)default-informationout(允许发送默认路由)
noauto-summary
network*172.31.0.0
network*192.168.10.128/240.0.0.255
2,注入默认路由
ipdefault-network*192.168.34.0
3,带宽
int*s0/0/0(一条链路两端需配置)
(no)bandwidth*64
4,时间间隔(一条链路两端需设置及路由器串口)
int*s0/0/0
iphello-intervaleigrp1*60
iphold-intervaleigrp1*180
5,手动总结
ipsummary-addresseigrp1*192.168.0.0255.255.252.0
int*s0/0/1
五,OSPF(开放最短链路优先)(全局模式)
1,基本配置
routeospf1
passive-interface*f0/0
routeid*1.1.1.1(最优先的OSPF制定routeID)
network*10.1.0.00.0.0.255area0
default-informationoriginate
2,修改开销(cost=10^8/bandswidth)(一条链路两端)
ipospfcost*1562
3,修改hello间隔,dead间隔(一条链路两端)
ipospfhello-interval*5
ipospfdead-interval*20
4,选举DR/BDR
Int*f0/0
Ipospfpriority1-255(0不参与选举,默认为1)
5,OSPF验证
,简单验证
area0authentication
ipospfauthentication-key*cisco123
配置OSPDMD5身份验证
area0authenticationmessage-digest
ipospfmessage-digest-key1md5*cisco123
6,使用TFTP服务器升级CiscoIOS映像
copytftpflash
Addressornameofremotehost[]?
*192.168.20.254
Sourcefilename[]?
*c1841-ipbasek9-mz.124-12.bin
7,配置bootsystem命令
bootsystemflash*c1841-ipbasek9-mz.124-12.bin
六,配置端口安全性(全局模式)
switchportport-security(启用端口安全性)
switchportport-securitymaxnum*15(最大数量)
switchportport-securityviolationshutdown(违规关闭)
mac-address-tablestaticMAC*vlan99int*f0/15(静态MAC地址,将端口-MAC地址绑定)
switchportport-securitymac-addresssticky(粘滞获取MAC地址)
七,显示历史记录(全局模式)
historysize*50(配置历史记录大小)
nohistorysize(默认10条命令行)
nohistory(禁用)
八,duplex和speed命令(全局模式)
intf0/0
duplex*auto
speed*auto
九,hdlc和ppp封装(全局模式)
1,hdlc、ppp封装
ints/0/0/0
encapsulationhdlc/ppp
2,PAP、CHAP验证(全局模式)
PPPPAP身份验证(串行链路间配置,另to另:
R1,R2)
R1#username*R1passwordcisco
encapsulationppp
pppauthenticationpap
ppppapsent-usernameR1passwordcisco
另:
R2#username*R1passwordcisco
encapsulationppp
pppauthenticationpap
PPPCHAP身份验证(串行链路间配置,另to另:
R1#usernameR2passwordcisco
ints0/0/1
pppauthenticationchap
R2#usernameR1passwordcisco
十,帧中继配置(全局模式)
1,配置帧中继
encapsulationframe-relay
2,配置静态帧中继映射
frame-relaymapip*10.10.10.2102broadcast
frame-relaymapip*10.10.10.3201broadcast
3,配置帧中继LMI类型
frame-relaylmi-type*ansi
十一,ACL基本配置(全局模式)
(1~99:
标准ACL;
100~199:
扩展ACL)
1,标准ACL配置
ipaccess-liststandard*std-1
deny*192.168.11.00.0.0.255
permitany
控制vty线路访问
linevty*015
access-class*std-1in/out
应用ACL
int*s/0/0/0
ipaccess-group*std-1in/out
2,扩展ACL配置
ipaccess-listextended*extend-1
denyip*host192.168.10.0host192.168.20.0
(192.168.10.00.0.0.255192.168.20.00.0.0.255)
(192.168.10.00.0.0.0192.168.20.00.0.0.0)
permitipanyany
ipaccess-group*extend-1in/out
3,数字编号的标准ACL
access-list*10deny*192.168.10.00.0.0.255
access-list10permitany
ipaccess-group10in/out
数字编号的扩展ACL
access-list*110deny*tcp*192.168.10.00.0.0.255anyeq*telnet
access-list*110deny*udp*host192.168.10.0host192.168.20.254eq*tftp
access-list*110permit*tcp*192.168.30.1280.0.0.127anyeq*www
access-list*110permit*icmp*192.168.30.1280.0.0.127any
access-list*110permitip*192.168.20.00.0.0.255192.168.10.00.0.0.255
Access-list*110permitipanyany
ipaccess-group110in/out
ACL特殊注意五类:
1.阻止*10.1.10.0网络访问*10.1.40.0网络。
允许对*10.1.40.0的所有其它访问。
在HQ上使用ACL编号10配置ACL。
使用标准ACL还是扩展ACL?
将ACL应用到哪个接口?
将ACL应用于哪个方向
access-list*10deny*10.1.10.00.0.0.255
access-list*10permitany
int*f0/1
ipaccess-group*10out
2.拒绝主机10.1.10.5访问主机10.1.50.7。
允许所有其它主机访问10.1.50.7。
在B1上使用ACL编号115配置ACL。
将ACL应用于哪个方向?
access-list*115denyip*host10.1.10.5host10.1.50.7
(access-list*115denyip*10.1.10.50.0.0.010.1.50.70.0.0.0)
access-list*115permitipany*host10.1.50.7
HQ:
int*f0/0
ipaccess-group*115in
B1:
access-list*115permitipanyany
ipaccess-group*115in
3.拒绝从10.1.50.1到10.1.50.63的主机通过Web访问地址为10.1.80.16的内部网服务器。
允许所有其它访问。
在适当的路由器上使用ACL编号101配置ACL。
00000001-001111111110.1.50.0/26255.255.255-192=63
在哪台路由器上配置该ACL?
access-list*101denytcp*10.1.50.00.0.0.63host10.1.80.16eqwww
access-list*101permitipanyany
ipaccess-group*101in
4.使用名称NO_FTP配置命名ACL,阻止10.1.70.0/24网络访问文件服务器(10.1.10.2)上的FTP服务(端口21)。
所有其它访问都应允许。
注意:
名称区分大小写。
ipaccess-listextended*NO_FTP
denytcp*10.1.70.00.0.0.255host10.1.10.2eqftp(21)
B2:
ipaccess-group*NO_FTPin
5.由于ISP代表与Internet之间的连通性,因此请按照下列顺序配置名为FIREWALL的命名ACL:
仅允许来自ISP和来自ISP之外任何源地址的入站ping应答。
仅允许来自ISP和来自ISP之外任何源地址的已建立TCP会话。
明确阻止来自ISP和来自ISP之外任何源地址的所有其它入站访问
ipaccess-listextended*FIREWALL
permiticmpanyany*echo-replay(ping应答)
permittcpanyany*established(TCP会话)
denyipanyany
int*s0/1/0
ipaccess-group*FIREWALLin
十二,基本DHCP与NAT配置(全局模式)
1,配置DHCP
,排除静态分配的地址
ipdhcpexcluded-address*192.168.10.1192.168.10.10
,配置地址池
ipdhcppool*R1Fa0
network*192.168.11.0255.255.255.0
dns-server*192.168.11.5
default-router*192.168.11.1
2,配置静态NAT
,静态映射公有IP地址到私有IP地址
ipnatinsidesourcestatic192.168.20.254209.165.200.254
,指定内部和外部NAT接口
ipnatinside/outside
3,利用地址池配置动态NAT
定义全局地址池
ipnatpool*MY-NAT-POOL*209.165.200.241209.165.200.246netmask*255.255.255.248
创建标准访问控制列表,以便确定需要转换的内部地址
ipaccess-listextended*NAT
permitip*192.168.10.00.0.0.255any
permitip*192.168.11.00.0.0.255any
,将地址池与访问控制列表绑定,建立动态源地址转换
ipnatinsidesourcelist*NATpool*MY-NAT-POOL
ints0/0/0
4,配置NAT过载
删除NAT地址池和映射语句
noipnatpool*MY-NAT-POOL*209.165.200.241209.165.200.246netmask*255.255.255.248
noipnatinsidesourcelist*NATpool*MY-NAT-POOL
使用serial0/0/1接口公有IP地址在路由器上配置PAT
ipnatinsidesourcelistNATinterfaceS0/0/1overload
十三,配置vtp
vtpdomain*cisco1(配置域名)
vtpversion1(配置版本)
vtppassword*cisco(配置口令)
vtpdomainserver/client(配置域名)
十四,STP配置
spanning-treevlan*20rootprimary(强制交换机成为主根桥)
spanning-treevlan*10rootsecondary(强制交换机成为次根桥)
spanning-treevlannpriority*4096(配置优先级)
升级会员 