窥天地之奥 达造化之极
全部博文(105)
分类: 系统运维
2006-09-19 21:05:48
网工路由交换相关配置
思科2950交换机相关配置
基本操作
2950(config)#int vlan1
2950(config-if)#ip address 192.168.1.100 255.255.255.0 (VLAN1里面设置IP地址)
2950(config)#ip default-gateway 192.168.1.1 (设置默认网关)
2950(config)#ip name-server 192.168.1.1 (设置域名服务器)
2950(config)#ip domain-name wqs.com (设置域名)
端口配置
2950(config)#int f0/1 (进入接口)
2950(config-if)#speed 100 (设置该接口速率为100Mb/s)
2950(config-if)#duplex ?
auto Enable AUTO duplex configuration
full Force full duplex operation
half Force half-duplex operation2950(config-if)#description to_router1
2950(config-if)#description to_router1 (设置端口描述)
2950#show interfaces fastethernet1 [status] (查看端口配置结果和状态)
MAC地址表相关命令
2950(config)#mac-address-table aging-time 100 (设置超时时间为100S)
2950(config)#mac-address-table permanent 000.0c01.bbcc f0/3 (加入永久地址)
2950(config)#mac-address-table restricted static 0000.0c02.bbcc f0/6 f0/7 (加入静态地址)
2950#show mac-address-table (查看整个MAC地址表)
2950#clear mac-address-table restricted static (清除限制性MAC址表)
VTP的配置
2950#vlan database (进入VLAN配置模式)
2950(vlan)#vtp ? (查看VTP的子命令)
domain Set the name of the VTP administrative domain.
client Set the device to client mode.
server Set the device to server mode.
transparent Set the device to transparent mode.
password Set the password for the VTP administrative domain.
2950(vlan)#vtp domain server (设置本交换机为SEVER模式)
2950(vlan)#vtp domain wqs (设置域名)
2950(vlan)#vtp pruning (启动修剪模式)
2950#show vtp status (查看VTP设置信息)
配置VLAN TRUNK端口
2950(config)#int f0/11 (进入F端口)
2950(config-if)#switchport mode trunk (设置该端口为TRUNK模式)
2950(config-if)#switchport trunk encapsulation {dot1q | isl | negotiate }(设置TRUNK封装)
创建VLAN
2950#vlan database (进入VLAN配置模式)
2950(vlan)#vlan 2 (创建VLAN 2)
VLAN 2 added:
Name:VLAN0002 (系统默认名)
2950(vlan)#vlan 3 name wg_bisheng (创建VLAN 3,名为网工必胜)
VLAN 3 added:
Name:wg_bisheng
2950(config)#int f0/9 (进入接口配置模式)
2950(config-if)#switchport mode access (设置该接口为ACCESS模式)
2950(config-if)#switchport access vlan 2 (把端口9分配给VLAN2)
2950(config-if)#int f0/8
2950(config-if)#switchport mode access
2950(config-if)#switchport access vlan 3
2950(config-if)#
生成树协议的配置
生成树负载均衡实现方法(感谢黑客天使提醒)
1, 使用STP端口权值实现。
2, 使用STP路径值实现
2950(config)#int f0/11
2950(config-if)#spanning-tree vlan 2 port-priority 10 (将VLAN2的端口权值设为10)
2950(config-if)#spanning-tree vlan 2 cost 30 (设置VLAN2生成树路径值为30)
路由器的一些设置
静态路由:
Router(config)#ip route destination-network network-mask {next-hop-ip | interface } [distance]
Router(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1
其中:192。168。1。0代表目标网络。
255.255.255.0代表目标网络的子网掩码;
10.1.1.1代表下一跳地址。
next-hop-ip:到达目的网络所经由的下一跳路由器接口的IP地址。
Interface:到达目标网络的本机接口(仅限P2P线路)
Distance:为该路由人工指定管理距离
默认路由:
Router(config)#ip route 0.0.0.0 0.0.0.0 {next-hop-ip | interface } [distance]
Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1
其中:0。0。0。0 0。0。0。0代表任意地址和任意掩码,即所有网络,其它参数同静态路由。
选择性通告路由:
如在RIP设置中,让S0端口只收不发RIP通告。
Router(config)#router rip
Router(config-router)#passive-interface serial 0
常见路由协议的管理距离:
TABLE 5 . 2 Default Administrative Distances
Route Source Default AD
Connected interface 0
Static route 1
EIGRP 90
IGRP 100
OSPF 110
RIP 120
External EIGRP 170
Unknown 255 (this route will never be used)
ISDN(DDR,PRI,BRI,PPP)
相关命令
r1(config)#isdn switch-type ? (设置ISDN交换类型)
basic-1tr6 1TR6 switch type for Germany
basic-5ess AT&T 5ESS switch type for the U.S.
basic-dms100 Northern DMS-100 switch type
basic-net3 NET3 switch type for UK and Europe
basic-ni National ISDN switch type
basic-ts013 TS013 switch type for Australia
ntt NTT switch type for Japan
vn3 VN3 and VN4 switch types for France
primary-5ess
basic-ni1 Basic-Ni1
r1(config)#username name password secret (指定口令)
r1(config)#interface bri0 (接口BRI设置)
r1(config-if)#encapsulation ppp (设置PPP封装)
r1(config-if)#ppp authentication {chap|chap pap |pap chap|pap}[callin](设置认证方式)
r1(config-if)# dialer map ip 200.10.1.1 name router1 broadcast 7782001 (设置协议地址与电话号码的映射)
r1(config-if)#ppp multilink (启动PPP多连接)
r1(config-if)#dialer load-threshold load(设置启动另一个B通道的阈值)
r1(config-if)#clock rate speed (设置DCE端的线速度)
r1#sh isdn ? (查看ISDN相关信息)
active ISDN active calls
history ISDN call history
memory ISDN memory information
status ISDN Line Status
timers ISDN Timer values
一般需要配置的信息有ISDN交换机类型,IP地址,封装类型,拨号串,拨号组,拨号列表等信息。
r2(config)#isdn switch-type basic-net3 (设置ISDN交换类型)
r2(config)#int bri0 (进入BRI接口配置模式)
r2(config-if)#ip address 192.168.1.2 255.255.255.0(设置接口IP地址)
r2(config-if)#encapsulation ppp (封装协议为PPP)
r2(config-if)#dialer string 88888888 (设置拨号串,R1的ISDN号码)
r2(config-if)#dialer-group 1 (设置拨号组号码为1,把BRI0接口与拨号列表1相关联)
r2(config-if)#no sh (激活接口)
%LINK-3-UPDOWN: Interface Bri0, changed state to up
r2(config-if)#exit
r2(config)#dialer-list 1 protocol ip permit (设置拨号列表1)
r1(config-if)#dialer idle-timeout 30
r1(config-if)#dilaer load-threshold 128
r1(config-if)#ppp authentication chap
r1(config)#dialer-list 1 protocol ip permit
上面整理得有点乱,详细实例见以下三个实验,建议大家用模拟器实践以强化记忆。
LAB 17 – ISDN BRI-BRI using Legacy DDR
Router IP Address Mask SPID1 Local Tel# ISDN Switch
router1 200.10.1.1 /24 32177820010100 7782001 basic-ni
router2 200.10.1.2 /24 32177820020100 7782002 basic-ni
router1(config)# isdn switch-type basic-ni
router1(config)# dialer-list 1 protocol ip permit
router1(config)# username router2 password cisco
router1(config)# interface bri0
router1(config-if)# encap ppp
router1(config-if)# ip address 200.10.1.1 255.255.255.0
router1(config-if)# isdn spid1 32177820010100
router1(config-if)# dialer-group 1
router1(config-if)# dialer map ip 200.10.1.2 name router2 broadcast 7782002
router1(config-if)# ppp authentication chap
router1(config-if)# no shut
router2(config)# isdn switch-type basic-ni
router2(config)# dialer-list 1 protocol ip permit
router2(config)# username router1 password cisco
router2(config)# interface bri0/0
router2(config-if)# encap ppp
router2(config-if)# ip address 200.10.1.2 255.255.255.0
router2(config-if)# isdn spid1 32177820020100
router2(config-if)# dialer-group 1
router2(config-if)# dialer map ip 200.10.1.1 name router1 broadcast 7782001
router2(config-if)# ppp authentication chap
router2(config-if)# no shut
LAB 18 – ISDN BRI-BRI using Dialer Profiles
Router IP Address Mask SPID1 Local Tel# ISDN Switch
router1 200.10.1.1 /24 32177820010100 7782001 basic-ni
router2 200.10.1.2 /24 32177820020100 7782002 basic-ni
router1(config)# isdn switch-type basic-ni
router1(config)# dialer-list 1 protocol ip permit
router1(config)# username router2 password cisco
router1(config)# interface bri0
router1(config-if)# encap ppp
router1(config-if)# ppp authentication chap
router1(config-if)# isdn spid1 32177820010100
router1(config-if)# dialer pool-member 1
router1(config-if)# no shut
router1(config-if)# interface dialer 1
router1(config-if)# no shut
router1(config-if)# ip address 200.10.1.1 255.255.255.0
router1(config-if)# encap ppp
router1(config-if)# dialer-group 1
router1(config-if)# dialer pool 1
router1(config-if)# dialer remote-name router2
router1(config-if)# dialer string 7782002
router1(config-if)# ppp authentication chap
router2(config)# isdn switch-type basic-ni
router2(config)# dialer-list 1 protocol ip permit
router2(config)# username router1 password cisco
router2(config)# interface bri0/0
router2(config-if)# encap ppp
router2(config-if)# ppp authentication chap
router2(config-if)# isdn spid1 32177820020100
router2(config-if)# dialer pool-member 1
router2(config-if)# no shut
router2(config-if)# interface dialer 1
router2(config-if)# no shut
router2(config-if)# ip address 200.10.1.2 255.255.255.0
router2(config-if)# encap ppp
router2(config-if)# dialer-group 1
router2(config-if)# dialer pool 1
router2(config-if)# dialer remote-name router1
router2(config-if)# dialer string 7782001
router2(config-if)# ppp authentication chap
LAB 19 – ISDN PRI using Dialer Profiles
Router IP Address Mask SPID1 Local Tel# ISDN Switch
router1 201.10.1.1 /24 32177820010100 7782001 basic-ni
router2 201.10.1.2 /24 ----- 7782002 primary-5ess
router1(config)# isdn switch-type basic-ni
router1(config)# dialer-list 1 protocol ip permit
router1(config)# username router2 password cisco
router1(config)# interface bri0/0
router1(config-if)# encap ppp
router1(config-if)# ppp authentication chap
router1(config-if)# isdn spid1 32177820010100
router1(config-if)# dialer pool-member 1
router1(config-if)# no shut
router1(config-if)# interface dialer 2
router1(config-if)# no shut
router1(config-if)# ip address 201.10.1.1 255.255.255.0
router1(config-if)# encap ppp
router1(config-if)# dialer-group 1
router1(config-if)# dialer pool 1
router1(config-if)# dialer remote-name router2
router1(config-if)# dialer string 7782002
router1(config-if)# ppp authentication chap
router2(config)# isdn switch-type primary-5esss
router2(config)# dialer-list 1 protocol ip permit
router2(config)# username router1 password cisco
router2(config)# controller t1 0/0
router2(config-controller)# framing esf
router2(config-controller)# linecode b8zs
router2(config-controller)# pri-group timeslots 1-24
router2(config-controller)# exit
router2(config)# interface serial0/0:23
router2(config-if)# encapsulation ppp
router2(config-if)# ppp authentication chap
router2(config-if)# dialer pool-member 2
router2(config-if)# no shut
router2(config-if)# interface dialer 2
router2(config-if)# ip address 201.10.1.2 255.255.255.0
router2(config-if)# encapsulation ppp
router2(config-if)# dialer-group 1
router2(config-if)# dialer pool 2
router2(config-if)# dialer remote-name router1
router2(config-if)# dialer string 7782001
router2(config-if)# ppp authentication chap
router2(config-if)# no shut
FR的配置
Router(config-if)#encapsulation frame-relay [ietf|cisco] (在相关接口上封装FR)
Router(config-if)#frame-relay lmi-type ? (设置LMI类型)
cisco
ansi
q933a
Router(config-if)#frame-relay interface-dlci 100 (设置FR DLCL编号)
Router(config-if)#frame-relay map ip 1.1.1.1 100 [broadcast](映射协议地址与DLCL)
Router(config)#interface serial 0/0.1 {point-to-point | multipoint }(设置子接口)
Router#sh frame-relay ? (查看FR状态)
map Frame-Relay map table
pvc show frame relay pvc statistics
lmi show frame relay lmi statistics
route show frame relay route
svc show frame relay SVC stuff
traffic Frame-Relay protocol statistics
LAB 20 – FRAME RELAY
Router Interface IP Address Local DLCI
router1 serial 1 215.10.1.1 /24 105
router5 serial 0 215.10.1.2 /24 501
router1(config)# interface serial1
router1(config-if)# encapsulation frame-relay
router1(config-if)# ip address 215.10.1.1 255.255.255.0
router1(config-if)# frame-relay map ip 215.10.1.2 105 broadcast
router1(config-if)# frame-relay lmi-type ansi
router1(config-if)# no shut
router5(config)# interface serial0
router5(config-if)# encapsulation frame-relay
router5(config-if)# ip address 215.10.1.2 255.255.255.0
router5(config-if)# frame-relay map ip 215.10.1.1 501 broadcast
router5(config-if)# frame-relay lmi-type ansi
router5(config-if)# no shut
router1(config)# interface serial1
router1(config-if)# no ip address 215.10.1.1 255.255.255.0
router1(config-if)# no frame map ip 215.10.1.2 105 broadcast
router1(config-if)# interface serial1.1 point-to-point
router1(config-subif)# ip address 215.10.1.1 255.255.255.0
router1(config-subif)# frame-relay interface-dlci 105
router5(config)# interface serial0
router5(config-if)# no ip address 215.10.1.2 255.255.255.0
router5(config-if)# no frame map ip 215.10.1.1 501 broadcast
router5(config-if)# interface serial0.1 point-to-point
router5(config-subif)# ip address 215.10.1.2 255.255.255.0
router5(config-subif)# frame-relay interface-dlci 501
配置NAT
静态NAT:
Router(config-if)#ip nat { outside | inside } 定义外部接口和内部接口。
Router(config)#ip nat {inside | outside }source static source_address translate_address
定义源地址翻译。
router1(config)# ip nat inside source static 160.10.1.2 169.10.1.2
router1(config)# interface ethernet0
router1(config-if)# ip address 160.10.1.1 255.255.255.0
router1(config-if)# ip nat inside
router1(config-if)# interface serial0
router1(config-if)# ip address 175.10.1.1 255.255.255.0
router1(config-if)# ip nat outside
router1(config-if)# no shut
动态NAT
Router(config)#ip nat pool
router1(config)# no ip nat inside source static 160.10.1.2 169.10.1.2
router1(config)# ip nat pool pool1 169.10.1.50 169.10.1.100 netmask 255.255.255.0
router1(config)# ip nat inside source list 1 pool pool1
router1(config)# access-list 1 permit 160.10.1.0 0.0.0.255
OVERLOAD:
router1(config)# ip nat inside source list 1 interface serial0 overload
router1(config)# interface Ethernet 0
router1(config-if)# ip address 160.10.1.1 255.255.255.0
router1(config-if)# ip nat inside
router1(config-if)# interface serial 0
router1(config-if)# ip address 175.10.1.1 255.255.255.0
router1(config-if)# ip nat outside
router1(config-if)# exit
router1(config)# access-list 1 permit 160.10.1.0 0.0.0.255
VPN的基本配置
作者:yc_liang
2003-4-24
VPN的基本配置
工作原理:
一边服务器的网络子网为192.168.1.0/24
路由器为100.10.15.1
另一边的服务器为192.168.10.0/24
路由器为200.20.25.1。
执行下列步骤:
1. 确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)
2. 为SA协商过程配置IKE。
3. 配置IPSec。
配置IKE:
Shelby(config)#crypto isakmp policy 1
注释:policy 1表示策略1,假如想多配几个VPN,可以写成policy 2、policy3┅
Shelby(config-isakmp)#group 1
注释:除非购买高端路由器,或是VPN通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
Shelby(config-isakmp)#authentication pre-share
注释:告诉路由器要使用预先共享的密码。
Shelby(config-isakmp)#lifetime 3600
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期到达中断。
Shelby(config)#crypto isakmp key noIP4u address 200.20.25.1
注释:返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似,只不过把IP地址改成100.10.15.1。
配置IPSec
Shelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255
注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识VPN规则。
Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac
注释:这里在两端路由器唯一不同的参数是vpn1,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义DES作为保密密码钥加密算法。
Shelby(config)#crypto map shortsec 60 ipsec-isakmp
注释:以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如,每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。
Shelby(config-crypto-map)#set peer 200.20.25.1
注释:这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是100.10.15.1。
Shelby(config-crypto-map)#set transform-set vpn1
Shelby(config-crypto-map)#match address 130
注释:这两个命令分别标识用于这个连接的传输设置和访问列表。
Shelby(config)#interface s0
Shelby(config-if)#crypto map shortsec
注释:将刚才定义的密码图应用到路由器的外部接口。
现在剩下的部分是测试这个VPN的连接,并且确保通信是按照预期规划进行的。
最后一步是不要忘记保存运行配置,否则所作的功劳白费了。
附:参照网络安全范围,VPN硬件设备应放置以下四个地点:
● 在DMZ的防火墙之外
● 连接到防火墙的第三个网卡(服务网络)
● 在防火墙保护的范围之内
● 与防火墙集成
