交换机路由器的配置

© 1999, Cisco Systems, Inc. 6-1

交换机路由器的配置

© 1999, Cisco Systems, Inc. www.cisco.com ICND—6-2

• 中央处理器(CPU,Motorola Orion ）

• 通讯芯片组• 内存• 接口• 控制台端口 (Console)• 辅助接口 (AUX)• 配置文件

交换机 / 路由器的基本组成


交换机 / 路由器内存的组成

只读内存 (ROM)

闪存 (FLASH)

随机存取内存 (RAM)

非易失性 RAM(NVRAM)


交换机 / 路由器的物理接口以太网 / 快速以太网 / 千兆以太网 / 万兆以太网令牌环网 (Token Ring)

光纤分布数据接口 (FDDI)

同步串口异步串口高速接口 (HSSI)

ISDN BRI(Basic Rate Interface)


交换机 / 路由器的逻辑接口

Loopback

通道接口拨号器空接口 (Null)


连接交换机 / 路由器的配置端口用设备自带的配置线 (Rollover)线来连接计算机的串口和设备的的 Console 口。运行计算机自带的超级终端程序软件，参数设成9600,8N1 ， hardware flow control 。


• 系统启动例程会初始化交换机• 初始启动利用缺省配置参数

1. 接入电源2. 观察启动顺序

– 面板上的指示灯 LEDs– Cisco IOS 输出到控制台上的内容

交换机的初始启动


检查交换机指示灯 (LEDs)


交换机自检期间的端口指示灯 1. 启动时，所有端口指示灯变绿 .

2. 每个端口自检完毕，对应的指示灯熄灭 .3. 如果端口自检失败 , 对应指示灯呈黄色 .4. 如果有任何自检失败情况，系统指示灯呈现黄色 .

5. 如果没有自检失败 , 自检过程完成 .6. 随着自检过程的完成 , 指示灯闪亮后熄灭 .


交换机路由器的命令模式

User EXEC 　 Switch>Privileged EXEC Switch#Global configuration Switch(config)# Interface configuration Switch(config-if)#


控制台

登入交换机并键入特权模式密码

>> enableEnter password:## disable> exit

用户模式提示特权模式提示


Switch#show interfaces

Switch#show version

显示交换机的状态

Switch#show running-config

显示交换机的各种运行状态


配置模式 :• 全局配置模式

– Switch# configure terminal– Switch(config)#

• 端口配置模式– Switch(config)# interface fa 0/1– Switch(config-if)#

配置交换机


帮助机制?

abbreviated-command-entry?

abbreviated-command-entry<Tab>

command ? command keyword ?


history

sh hisotry

<ctrl>+P <ctrl>+N

上下箭头键Switch#terminal history


配置交换机的主机名

为交换机设置主机名

交换机名(config)#hostname wh_edu


wh_edu# config twh_edu(config)#int vlan 1wh_edu(config_vlan)#ip add ipadd netmaskwh_edu(config_vlan)#no shutdownwh_edu(config)# ip default-gateway ip-address

配置交换机 IP 地址


配置文件show running-config

copy running-config startup-config show startup-config erase startup-config


wh_edu# config twh_edu(config)#enable password passwordwh_edu(config)# enable password [level level] {password | encryption-type encrypted-password} wh_edu(config)# enable secret [level level] {password | encryption-type encrypted-password}wh_edu(config)# service password-encryption

设置特权口令


设置 Telnet 口令

configure terminal

line vty 0 15

password password


设置 Console 口令

configure terminal

line console 0

password password


创建用户configure terminalusername name [privilege level] {password encryption-type password} line [console 0| vty 0 15]login local


wh_edu# clock set hh:mm:ss day month year

wh_edu(config)# show clock

设置系统时间


配置域名configure terminalip domain-name nameip name-server server-address1 [server-address2 ... server-address6]ip domain-lookup


wh_edu(config)#prompt stringwh_edu(config)# banner motd c message cwh_edu(config)# banner login c message c

配置交换机其它标识


wh_edu(config-if)#speed {10 | 100 | 1000 | auto}wh_edu(config-if)# duplex {full | half | auto}wh_edu(config-if)# flowcontrol {receive | send} {on | off | desired}

配置端口的速率、双工、流控


• 分段• 灵活性• 安全性

第三层

第二层

第一层销售部人力资源部工程部

一个 VLAN = 一个广播域 = 逻辑网段 ( 子网 )

VLAN 综述


交换的基本概念1 、共享式以太网：当一台主机发送数据的时候，其他主机只能接收此数据，此时其他网上主机都不能发送数据；2 ，冲突域：域内的不同设备同时发出的以太网帧会互相冲突；特点为：每台主机得到的可用带宽很低，网上冲突成倍增加，信息传输安全得不到保证。3 ，广播域：网络中的一组设备集合；当这些设备中的一个发出一个广播时，所有其他的设备都能接收到这个广播帧。


冲突域 & 广播域两者区别：连接在一个 HUB 上的所有设备构成一个冲突域，同时也构成一个广播域；连接在一个没有划分 VLAN 的交换机上的各个端口上的设备分别属于不同的冲突域，即每一个交换端口构成一个冲突域，但同属于一个广播域


4,VLAN: 每一个 VLAN 对应一个广播域；二层交换机之间没有路由功能，不能在 VLAN 之间转发帧，因而处于不同 VLAN 之间的主机不能进行通信；（三层交换机支持 VLAN 间的路由，可以实现 VLAN间的通信）5 ， VLAN trunk ：在交换机之间或交换机与路由器之间，互相连接的端口上配置中继模式，使得属于不同 VLAN 的数据帧都可以通过这条中继链路进行传输。帧的格式分为两种。


ISL ＆ IEEE802.1Q

ISL:Inter-switch link, 是 CISCO 交换机独有的协议IEEE802.1Q:是国际标准协议，被几乎所有的网络设备生产商所共同支持；


6 ， VTP ： VLAN 中继协议，用于维护全网的一致性；有三种工作模式，服务器模式，客户模式和透明模式。


VTP 模式

服务器模式

客户模式透明模式• 发送 / 转发信息宣告• 同步• 不会存贮于 NVRAM

• 创建 vlan•修改 vlan•删除 vlan• 发送 / 转发信息宣告• 同步• 存贮于 NVRAM

• 创建 vlan•修改 vlan•删除 vlan• 转发信息宣告• 不同步• 存贮于 NVRAM


VTP是如何工作的• VTP 信息宣告以多点传送的方式来进行• VTP服务器和客户模式下会同步最新版本的宣告信息• VTP 信息宣告每隔 5 分钟或者有变化时发生


• VTP 信息宣告以多点传送的方式来进行• VTP服务器和客户模式下会同步最新版本的宣告信息• VTP 信息宣告每隔 5 分钟或者有变化时发生（ 30s ）

1.新增 VLAN2.版本 3 -->版本 4

服务器

客户客户4.版本 3 -->版本 4 5. 同步新的 VLAN 信息

3 3

4.版本 3 -->版本 4 5. 同步新的 VLAN 信息

VTP是如何工作的


VLAN 的配置要点1, 2950至少支持 64 个 VLAN( 部分型号 250个 )2, VLAN 的标识在标准软件中 1 － 1005 ，在增加软件版本中 1 － 4094, 1002 to 1005 保留给Token Ring and FDDI. 3, VLAN1是厂家的缺省 VLAN ，不可删除。4, 只有一个管理 VLAN 可以被激活。5, 2950 不支持 ISL Trunk 。


• 启用 VTP• 启用主干功能 , 以支持 VLAN 间的路由功能• 创建 VLAN•将端口加入 VLAN

VLAN VTP 配置的步骤


vtp mode server|client|transparentvtp domain domain-name vtp pruning

wh-edu(config)#

创建 VTP 域


确认 VTP 配置wh_edu#show vtp status


创建一个 VLAN

vlan vlan-idname vlan-name

wh_edu(config)#


确认一个 VLAN

wh_edu#show vlan [vlan#]


分配交换机的端口到 VLAN 中

interface interface-idswitchport mode accessswitchport access vlan vlan-id

wh_edu(config-if)#


查看 VLAN 中的成员wh_edu#show vlan brief


删除一个 VLAN

wh_edu(config)#no vlan vlan-id


配置 Trunk

switchport trunk encapsulation dot1q switchport mode trunkswitchport trunk native vlan vlan-id

switchport trunk allowed vlan {add | except | none | remove} vlan-list

wh_edu(config-if)#


动态 VLAN简介


配置动态 VLAN

vmps server ipaddress primary

vmps server ipaddress

interface interface-id

switchport mode access

switchport access vlan dynamic

wh_edu(config)#


配置动态 VLAN

set vmps downloadmethod rcp | tftp [username]

set vmps downloadserver ip_addr [filename]

set vmps state enable|disable

Console> (enable)


配置 Vlan 间路由ip routinginterface Vlan Vlan-id ip address ip-address subnet-mask no shutdown

wh_edu(config)#


配置三层端口interface interface-id no switchportip address ip-address subnet-mask no shutdown

wh_edu(config)#


172.16.2.1

SO

静态路由

172.16.1.0

B172.16.2.2

Network A

在小型网络中适宜设置静态路由。

B

Stub Network


指定一条可以到达目标网络的路径

Router(config)#ip route network [mask] {address | interface}[distance] [permanent]

静态路由的配置


Stub Network

ip route 172.16.1.0 255.255.255.0 172.16.2.1

172.16.2.1

SO

静态路由的例子

172.16.1.0

B172.16.2.2

Network A B

这是一条单方向的路径，必须配置一条相反的路径。


Stub Network

ip route 0.0.0.0 0.0.0.0 172.16.2.2

缺省路由

172.16.2.1

SO172.16.1.0

B172.16.2.2

Network A B

使用缺省路由后， Stub Network 可以到达路由器 A 以外的网络。


动态路由简介RIP v1 v2 OSPFIS-ISIGRPEIGRPBGP

IGP( 内部网关协议 )

EGP(外部网关协议 )

距离失量路由链路状态路由


路由选择协议在 IGP 中， RIP是个广泛使用的协议。RIP也称向量距离协议，用信息包所经过的网关来做距离的单位，超过 15跳便无法到达。IGRP 是 CISCO专用的路由协议，可以服务于大型互连网络，不受限于 15跳的限制（ 100跳）


19.2 kbps

T1

T1 T1

• Hop 计算• 路由器每隔30秒更新• 最多支持相同hop数的6条路径，实现负载均衡

RIP 概述


•激活 RIP协议wh_edu(config)router rip

wh_edu(config-router)#network network-number

• 选择直接连接的网络• 必须是有效的网络

RIP 配置


2.3.0.0router ripnetwork 172.16.0.0network 10.0.0.0

RIP 配置举例

router ripnetwork 10.0.0.0

2.3.0.0router ripnetwork 192.168.1.0network 10.0.0.0

172.16.1.1S2E0 S3

192.168.1.110.1.1.1 10.2.2.210.1.1.2S2 S3

10.2.2.3172.16.1.0 A B C 192.168.1.0 E0


查看 RIP 信息

RouterA#sh ip protocolsRouting Protocol is "rip" Sending updates every 30 seconds, next due in 0 seconds Invalid after 180 seconds, hold down 180, flushed after 240 Outgoing update filter list for all interfaces is Incoming update filter list for all interfaces is Redistributing: rip Default version control: send version 1, receive any version Interface Send Recv Key-chain Ethernet0 1 1 2 Serial2 1 1 2 Routing for Networks: 10.0.0.0 172.16.0.0 Routing Information Sources: Gateway Distance Last Update 10.1.1.2 120 00:00:10 Distance: (default is 120)

172.16.1.1S2E0 S3

192.168.1.110.1.1.1 10.2.2.210.1.1.2S2 S3

10.2.2.3172.16.1.0 A B C 192.168.1.0 E0


查看路由表

RouterA#sh ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR T - traffic engineered route

Gateway of last resort is not set

172.16.0.0/24 is subnetted, 1 subnetsC 172.16.1.0 is directly connected, Ethernet0 10.0.0.0/24 is subnetted, 2 subnetsR 10.2.2.0 [120/1] via 10.1.1.2, 00:00:07, Serial2C 10.1.1.0 is directly connected, Serial2R 192.168.1.0/24 [120/2] via 10.1.1.2, 00:00:07, Serial2

172.16.1.1S2E0 S3

192.168.1.110.1.1.1 10.2.2.210.1.1.2S2 S3

10.2.2.3172.16.1.0 A B C 192.168.1.0 E0


OSPF协议概述OSPF是一种链路状态路由选择协议。所谓链路状态是指路由器接口的状态，如 UP， DOWN ， IP及网络类型等。链路状态信息通过链路状态公告 (LSA) 发布到网上的每台路由器。每台路由器通过 LSA 信息建立一个关于网络的拓扑数据库。


OSPF协议概述区域 (Area)

在 OSPF 中使用区域来为自治系统分段， OSPF是一种层次化的路由选择协议，区域 0是一个 OSPF 网络中必须具有的区域，也称为主干区域，其他所有区域要求通过区域 0互连到一起。


OSPF协议的优点OSPF是基于国际标准的协议，具有开放性强的特点，被众多网络设备厂商所支持。支持 VLSM ；使用触发的路由更新，快速反应网络变化，减小协议本身对网络流量的占用。支持大型网络，并能进行优化路由更新。


配置 OSPF协议

Can Assign Network or Interface Address.

Broadcast Network Point-to-Point Network E010.64.0.1

10.64.0.2E0

S010.2.1.2 10. 2.1.1

S1A B C

<Output Omitted>interface Ethernet0 ip address 10.64.0.1 255.255.255.0!<Output Omitted>router ospf 1 network 10.0.0.0 0.255.255.255 area 0

<Output Omitted>interface Ethernet0 ip address 10.64.0.2 255.255.255.0!interface Serial0 ip address 10.2.1.2 255.255.255.0<Output Omitted>router ospf 50 network 10.2.1.2 0.0.0.0 area 0 network 10.64.0.2 0.0.0.0 area 0


查看 OSPF协议状态Router#

show ip protocols

Router#

show ip route


管理 Mac 地址表show mac-address-table addressconfigure terminalmac-address-table aging-time [0 | 10-1000000] [vlan vlan-id]mac-address-table static mac-addr vlan vlan-id interface interface-id


Access Control List(ACL ，也称存取列表）主要作用有：1 ）拒绝或允许流入（或流出）的数据流通过特定的接口2）为 DDR 应用定入数据流3）过滤路由更新的内容4）控制虚拟终端线 (vty) 的访问5 ）提供流量控制等

访问控制表


访问列表类型IP 标准访问列表能够对源地址进行过滤，是一种简单，直接的数据控制手段。IP扩展访问列表除了基于数据包源地址的过滤以外，还能够对协议，目的地址，端口号进行网络流量过滤。当然，配置也更复杂。


Access List Numbers

Number Type 1-99 IP standard access list

100-199 IP extended access list

1300-1999 IP standard access list

2000-2699 IP extended access list


IP 标准访问列表的一般配置禁止来自网络 172.16.3.0 的流量 !!!

Router#configure terminal

Router(config)#

Router(config)#access-list 2 deny 172.16.3.0 0.0.0.255

Router(config)#access-list 2 permit any

Router(config)#int s0

Router(config-if)#ip access-group 2 out

Router(config-if)#


访问表位置

路由器路由器源

in out

路由器目的


IP 标准访问列表的配置（一）Router#


Router(config)#

Router(config)#access-list 1 deny host 192.168.2.1

Router(config)#access-list 1 permit any

上面配置的访问列表是拒绝特定主机 192.168.2.1 ，允许其它主机访问


访问列表应用到接口 ( 二 )

Router#


Router(config)#

Router(config)#interface Ethernet 0

Router(config-if)#

Router(config-if)#ip access-group 1 in( 输入 )

Router(config-if)#ip access-group 1 out( 输出 )


访问表位置扩展访问表尽量放在靠近过滤源的位置目的：不会影响其它接口上的上的数据标准访问表尽量放在靠近目的端口的位置


IP 标准访问列表的一般配置为什么我们禁止后，要加access-list 1 permit any ？在标准或扩展 IP 或 IPX 的每个访问表的末尾，总有一个隐含的 deny all 。也就是说报文与语句不匹配，则此隐含命令将禁止该报文


删除访问表Router#


Router(config)#

Router(config)#no access-list [number]


访问列表的查看：router#show ip access-lists 1Standard IP access list 1 permit any (2 matches) deny 202.1.1.0, wildcard bits 0.0.0.255

router#sh ip access-listsStandard IP access list 1 permit anyExtended IP access list 101 deny icmp 200.1.1.0 0.0.0.255 192.168.10.0 0.0.0.255 echo permit ip any any


扩展 ACL范例access-list list 109 deny tcp any any eq 135access-list list 109 deny tcp any any eq 136access-list list 109 deny tcp any any eq 137access-list list 109 deny tcp any any eq 138access-list list 109 deny tcp any any eq 139access-list list 109 deny tcp any any eq 389access-list list 109 deny tcp any any eq 445access-list list 109 deny tcp any any eq 3389access-list list 109 deny udp any any eq 135access-list list 109 deny udp any any eq 136access-list list 109 deny udp any any eq 137access-list list 109 deny udp any any eq 138access-list list 109 deny udp any any eq 139access-list list 109 deny udp any any eq 445access-list list 109 deny udp any any eq 3389access-list list 109 permit ip 172.17.1.0 0.0.0.255 any


配置标准 ACL

wh_edu(config)#

access-list access-list-number {deny | permit} source [source-wildcard] [log]


配置扩展 ACL

wh_edu(config)#access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard [fragments] [log] [log-input] [time-range time-range-name]

access-list access-list-number {deny | permit} tcp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [fragments] [log] [log-input][time-range time-range-name] [flag]

access-list access-list-number {deny | permit} udp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [fragments] [log] [log-input] [time-range time-range-name]]


配置扩展 ACL

wh_edu(config)#access-list access-list-number {deny | permit} icmp source source-wildcard destination destination-wildcard [icmp-type | [[icmp-type icmp-code] | [icmp-message]] [fragments] [log] [log-input] [time-range time-range-name]


配置命名的 ACL

wh_edu(config)#

ip access-list standard namedeny|permit {source [source-wildcard] | host source | any} [log]

ip access-list extended name deny | permit protocol {source [source-wildcard] | host source | any}{destination [destination-wildcard] | host destination | any} [established] [log] [time-range time-range-name]


配置基于时间的 ACL

wh_edu(config)#

time-range time-range-nameabsolute [start time date] [end time date] periodic day-of-the-week hh:mm to [day-of-the-week] hh:mm periodic {weekdays | weekend | daily} hh:mm to hh:mm

Switch(config)# time-range workhoursSwitch(config-time-range)# periodic weekdays 8:00 to 12:00 Switch(config-time-range)# periodic weekdays 13:00 to 17:00 Switch(config)# time-range new_year_day_2005 Switch(config-time-range)# absolute start 00:00 1 Jan 2005 end 23:59 1 Jan 2005Switch(config)# access-list 188 deny tcp any any time-range new_year_day_2005Switch(config)# access-list 188 permit tcp any any time-range workhours


基于 Mac 地址的 ACL

wh_edu(config)#

mac access-list extended name deny | permit {any | host source MAC address | source MAC address mask} {any | host destination MAC address | destination MAC address mask}interface interface-id mac access-group {name} {in}


用 ACL 对 telnet 进行限制 wh_edu(config)#

line vty line-number access-class access-list-number {in | out}


配置 EtherChannels

configure terminalinterface interface-idchannel-group channel-group-number mode {auto [non-silent] | desirable [non-silent] | on}exitport-channel load-balance {dst-mac | src-mac}


wh_edu# no cdp runwh_edu# cdp run wh_edu(config-if)#no cdp enable wh_edu#sh cdp neighbors

配置 CDP协议


STP协议简介生成树协议，在实现交换机之间的备份链路，避免网络环路的出现，实现网络的高可用性。

通过在交换机之间传递 BPDU(bridge protocol data unit, 桥接协议数据单元 )来互相告知诸如交换机的链路性质，根桥信息等，以便确定根桥，决定哪些端口处于转发状态，哪些端口处于阻止状态，以免引起网络环路。

工作方式

主要功能


配置生成树spanning-tree vlan vlan-id root primary spanning-tree vlan vlan-id root secondary spanning-tree vlan vlan-id priority priorityshow spanning-tree vlan vlan-idshow spanning-tree interface interface-id no spanning-tree vlan vlan-id思科建议在交换机上启动生成树 , 特别是在可能出现回环的链路上 .


RSTP 和 MSTP

spanning-tree mst configurationinstance instance-id vlan vlan-rangename namerevision versionexitspanning-tree mode mstspanning-tree mst instance-id root primary |secondary show spanning-tree mst configurationshow spanning-tree mst instance-idshow spanning-tree mst interface interface-id


配置 802.1x协议Radius Server


配置 802.1x协议configure terminalradius-server host {hostname | ip-address} auth-port port-number key stringaaa new-model aaa authentication dot1x default group radius interface interface-iddot1x port-control auto

show dot1x


配置镜像端口configure terminalmonitor session session_number source interface interface-id [, | -] [both | rx | tx]monitor session session_number destination interface interface-id

Switch(config)# monitor session 1 source interface gigabitethernet0/1 Switch(config)# monitor session 1 destination interface gigabitethernet0/2


配置 SNMP协议


配置 SNMP协议snmp-server community string [ro | rw] [access-list-number]access-list access-list-number {deny | permit} source [source-wildcard]snmp-server host host-addr {informs | traps } {version {1 | 2c}} community-string notification-typesnmp-server enable traps notification-typesno snmp-server

Switch(config)# snmp-server community public Switch(config)# snmp-server enable traps vtp Switch(config)# snmp-server host 192.180.1.27 public Switch(config)# snmp-server host 192.180.1.111 public


组播协议简介

IGMPIGMP SnoopingPIM


配置 PIM协议ip multicast-routinginterface interface-idip pim version [1 | 2]ip pim {dense-mode | sparse-mode | sparse-dense-mode}


配置 CGMP

interface interface-idip cgmp [proxy]


配置 IGMP Snooping

configure terminalip igmp snoopingip igmp snooping vlan vlan-idip igmp snooping vlan vlan-id mrouter learn {cgmp | pim-dvmrp}ip igmp snooping vlan vlan-id mrouter interface interface-idip igmp snooping vlan vlan-id static mac-address interface interface-id


配置 IGMP Snooping

service dhcpip dhcp relay information optioninterface vlan vlan-idip helper-address address


Qos


配置 Qos

interface range port-rangeflowcontrol receive offflowcontrol send offexitmls qosinterface interface-idmls qos trust {cos | dscp | ip-precedence}mls qos cos {default-cos | override }


配置 Qos

mls qos map dscp-mutation dscp-mutation-name in-dscp to out-dscpinterface interface-idmls qos trust dscpmls qos dscp-mutation dscp-mutation-name


配置 Qos

access-list access-list-number {deny | permit} source [source-wildcard]access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcardmac access-list extended namepermit | deny {host src-MAC-addr mask | any | host dst-MAC-addr | dst-MAC-addr mask} class-map class-map-name [match-all | match-any]match {access-group acl-index-or-name | ip dscp dscp-list | ip precedence ip-precedence-list}


配置 Qos

access-list access-list-number {deny | permit} source [source-wildcard]access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcardmac access-list extended namepermit | deny {host src-MAC-addr mask | any | host dst-MAC-addr | dst-MAC-addr mask} policy-map policy-map-nameclass class-map-name [access-group acl-index-or-name | dscp dscp-list | precedence ip-precedence-list]trust [cos | dscp | ip-precedence]set {ip dscp new-dscp | ip precedence new-precedence}police rate-bps burst-byte [exceed-action {drop | policed-dscp-transmit}]interface interface-idservice-policy {input policy-map-name | output policy-map-name}


配置 Qos

interface interface-idwrr-queue cos-map queue-id cos1 ... Cos8wrr-queue queue-limit weight1 weight2 weight3 weight4priority-queue outwrr-queue bandwidth weight1 weight2 weight3 weight4mls qos min-reserve min-reserve-level min-reserve-buffersizewrr-queue min-reserve queue-id min-reserve-level


配置 Qos

configure terminalaccess-list 1 permit 172.20.10.16class-map videoclassmatch access-group 1exitpolicy-map videopolicyclass videoclassset ip dscp 56police 5000000 2000000 exceed-action dropexitexitinterface gigabitethernet0/1service-policy input videopolicyexitinterface gigabitethernet0/2priority-queue outwrr-queue cos-map 4 6 7


NAT( 网络地址翻译 )

在内部网络中使用内部地址，通过 NAT把内部地址翻译成合法的 IP 地址，在 Internet 上使用。其具体的做法是把 IP包内的地址池（内部本地）用合法

的 IP 地址段（内部全局）来替换。


NAT 术语

Internet

Inside

10.1.1.1Inside Local IP

Address

10.1.1.210.1.1.1

Simple NAT tableInside Global IP Address

192.168.2.3192.168.2.2

10.1.1.2

Host B172.20.7.3

A

C

BA

B

D

SA10.1.1.1

DA10.1.1.1

SA192.168.2.2

DA192.168.2.2


内部本地地址 : 私有 IP ，不能直接用于互连网。内部全局地址：用来代替内部本地 IP 地址的，对外，或在互联网上是合法的的 IP 地址。


NAT 功能

Inside Local IP Address

10.1.1.110.1.1.2

NAT tableInside Global IP Address

192.168.2.2192.168.2.3

NAT 功能 :• 内部网络地址转换• 复用内部的全局地址• TCP 负载均衡• 解决网络地址重叠

Internet

Inside

10.1.1.1

10.1.1.2


复用内部的全局地址将一个内部全局地址用于同时代表多个内部局部地址。主要用 IP 地址和端口号的组合来唯一区分各个内部主机。目前应用很普遍。（如下图）


复用内部的全局地址

10.1.1.2:172310.1.1.1:1024

NAT table

192.168.2.2:1723192.168.2.2:1024

172.21.7.3:23172.20.7.3:23

TCPTCP

10.1.1.3:1723 192.168.2.2:1492 172.21.7.3:23TCP

Internet

Inside

10.1.1.1

Host B172.20.7.3

1

3

SA10.1.1.1

DA10.1.1.1

SA192.168.2.2

DA192.168.2.2

10.1.1.2

10.1.1.3

4

5

2Host C

172.21.7.3

DA192.168.2.2

4

Inside Global IP Address: Port

Outside Global IP Address: Port

Protocol Inside Local IP Address: Port10.1.1.1


NAT 三种类型NAT 有三种类型：静态 NAT （ staticNAT ）、 NAT池

（ pooledNAT ）和端口 NAT （ PAT ）。其中静态 NAT 设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。多用于服务器。而 NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。多用于网络中的工作站。PAT则是把内部地址映射到外部网络的一个 IP 地址的不同端口上。


Static NAT Configuration Example

ip nat inside source static 10.1.1.1 192.168.2.2!interface Ethernet0 ip address 10.1.1.10 255.255.255.0 ip nat inside!interface Serial0 ip address 172.16.2.1 255.255.255.0 ip nat outside!

Maps the inside local address to the inside global address.

This interface connected to the outside world.

This interface connected to the inside network.


NAT静态映射实例使用静态 NAT 实现没有路由可达性的内网

FTP服务器（ 172.16.1.3 ）和外网上的主机之间的双向连通。


interface Ethernet0ip address 172.16.1.1 255.255.255.0ip nat inside （指定内部接口）!interface Serial0 ip address 200.1.1.1 255.255.255.0 ip nat outside （指定外部接口）!ip nat inside source static 172.16.1.3 200.1.1.1( 建立两个 IP 地址之间的静态映射 )ip classlessip route 0.0.0.0 0.0.0.0 200.1.1.2


注意：从外网到内网建立静态映射后，外网能 PING通内部全局地址（ 200.1.1.1 ） , 如果使用真实地址，则访问失败，这是因为从外网没有到达内网的路由存在！Ping 172.16.1.3 ……

Ping 200.1.1.5 !!!!!


ip nat pool dyn-nat 192.168.2.1 192.168.2.254 netmask 255.255.255.0ip nat inside source list 1 pool dyn-nat!interface Ethernet0 ip address 10.1.1.10 255.255.255.0 ip nat inside!interface Serial0 ip address 172.16.2.1 255.255.255.0 ip nat outside! access-list 1 permit 10.1.1.0 0.0.0.255!

Dynamic NAT Configuration

Translate between inside hosts addressed from 10.1.1.0/24 to the globally unique 192.168.2.0/24 network.

This interface connected to the outside world.

This interface connected to the inside network.


Configuring Inside Global Address Overloading

ip nat pool ovrld-nat 192.168.2.1 192.168.2.2netmask 255.255.255.0

ip nat inside source list 1 pool ovrld-nat overload!interface Ethernet0/0 ip address 10.1.1.10 255.255.255.0 ip nat inside!interface Serial0/0 ip address 172.16.2.1 255.255.255.0 ip nat outside!access-list 1 permit 10.1.1.0 0.0.0.255


负载均衡负载均衡：用于将一台虚拟的主机映射到几台真实的主机上。 ( 如下图 )


TCP 负载均衡

NAT tableInside Global IP Address: Port 10.1.1.127:8010.1.1.127:8010.1.1.127:80

Outside Global IP Address: Port

172.20.7.3:3058172.21.7.3:4371172.20.7.3:3062

Protocol

TCPTCPTCP

Inside Local IP Address: Port

10.1.1.1:8010.1.1.2:8010.1.1.3:80

Internet

Inside

10.1.1.1

Host B172.20.7.34 5

SA10.1.1.1

DA10.1.1.1

SA10.1.1.127

DA10.1.1.127

10.1.1.2

10.1.1.1

13

2

Host C172.21.7.3

10.1.1.127

10.1.1.3

Virtualhost

Realhosts


配置负载均衡ip nat pool loadsharing 10.1.1.1 10.1.1.3 prefix-length 24

type rotary

accesslist 2 permit 10.1.1.127

ip nat inside destination list 2 pool loadsharing

Interface Ethernet 0

ip nat inside

Interface Serial 0

ip nat outside


解决网络地址重叠

Internet

10.1.1.1 DNS ser verx.x.x.x

Host C10.1.1.3

Inside Local IP Address

10.1.1.1

Inside Global IP Address192.2.2.2

Outside Global IP Address10.1.1.3

Outside Local IP Address

193.3.3.3

NAT table

DNS request for host C address

SA=192.2.2.2 DA=x.x.x.x

DNS response from x.x.x.x

10.1.1.1 message to host C

SA= x.x.x.x DA= 192.2.2.2 C= 10.1.1.3

SA= 192.2.2.2 DA= 10.1.1.3

10.1.1.1 message to host C

SA= 10.1.1.1 DA= 193.3.3.3

SA= x.x.x.x DA= 10.1.1.1 C= 193.3.3.3

DNS request for host C address

SA= 10.1.1.1 DA=x.x.x.x


解决网络地址重叠ip nat pool globalpool 192.2.2.2 192.2.2.2 prefix-length 24

access-list 1 permit 10.1.1.0 0.0.0.255

ip nat inside source list 1 pool globalpool overload

ip nat outside source static 10.1.1.1 193.3.3.3

Interface Ethernet 0

ip nat inside

Interface Serial 0

ip nat outside


Router#sh ip nat transPro Inside global Inside local Outside local Outside globaltcp 192.168.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.168.2.1:1067 10.1.1.1:1067 172.16.2.3:23 172.16.2.3:23

Verifying NAT

A translation for a Telnet is still active. Two different inside hosts appear on the outside with a single IP address.

Basic IP address translation

Unique TCP port numbers are used to distinguishbetween hosts.

Router#show ip nat transProInside global Inside local Outside local Outside global---192.2.2.1 10.1.1.1 --- --- ---192.2.2.2 10.1.1.2 --- ---

IP address translation with overloading


Clearing NAT Translation Entries

All entries are cleared.

192.168.2.2 is cleared.

Router#sh ip nat transPro Inside global Inside local Outside local Outside globaltcp 192.168.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.168.2.1:1067 10.1.1.1:1067 172.16.2.3:23 172.16.2.3:23router#clear ip nat trans *router#router#show ip nat trans

router#show ip nat transPro Inside global Inside local Outside local Outside globaludp 192.168.2.2:1220 10.1.1.2:1120 171.69.2.132:53 171.69.2.132:53 tcp 192.168.2.1:1100310.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.168.2.1:1067 10.1.1.1:1067 172.16.2.3:23 172.16.2.3:23router#clear ip nat trans udp inside 192.168.2.2 10.1.1.2 1220171.69.2.132 53 171.69.2.132 53 router#show ip nat transPro Inside global Inside local Outside local Outside globaltcp 192.168.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.168.2.1:1067 10.1.1.1:1067 172.16.2.3:23 172.16.2.3:23


基于策略的路由传统上路由器只根据目的地址进行报文的转发。策略路由不仅能够根据目的地址，还可以根据协议类型、报文大小、应用或 IP 源地址来选择转发路径。策略路由设置在报发接收端口而不是发送接口。如果没有匹配的策略，将根据路由表的中内容，按目的地址进行路由。


基于源 IP 地址的策略路由

ip [local] policy route-map lab1access-list 1 permit 192.1.1.1access-list 2 permit 192.1.1.2route-map lab1 permit 10match ip address 1set interface serial 0route-map lab1 permit 20match ip address 2set interface serial 1interface ethernet0ip policy route-map lab1

s0:150.1.1.1

s1:151.1.1.1

s0:150.1.1.2

s1:151.1.1.2

Loopback 152.1.1.1E0 192.1.1.1192.1.1.2192.1.1.3


基于报文大小的策略路由

ip [local] policy route-map lab1route-map lab1 permit 10match length 64 100set ip next-hop 150.1.1.2route-map lab1 permit 20match length 101 1000set ip next-hop 151.1.1.2interface ethernet0ip policy route-map lab1

s0:150.1.1.1

s1:151.1.1.1

s0:150.1.1.2

s1:151.1.1.2

Loopback 152.1.1.1E0 192.1.1.1


基于应用的策略路由

ip [local] policy route-map lab1access-list 101 permit tcp any any eq wwwaccess-list 102 permit tcp any any eq telnetroute-map lab1 permit 10match ip address 101set ip next-hop 150.1.1.2route-map lab1 permit 20match ip address 102set ip next-hop 151.1.1.2interface ethernet0ip policy route-map lab1

s0:150.1.1.1

s1:151.1.1.1

s0:150.1.1.2

s1:151.1.1.2

Loopback 152.1.1.1E0 192.1.1.1192.1.1.2192.1.1.3


缺省策略路由

ip [local] policy route-map lab1access-list 1 permit 192.1.1.11access-list 2 permit 192.1.1.12route-map lab1 permit 10match ip address 1set default interface serial 0route-map lab1 permit 20match ip address 2set ip default next-hop 151.1.1.1.2interface ethernet0ip policy route-map lab1

s0:150.1.1.1

s1:151.1.1.1

s0:150.1.1.2

s1:151.1.1.2 Loopback 152.1.1.1

E0 192.1.1.10

E0 192.1.1.11192.1.1.12


copy tftp startup_config

copy startup_config tftpwh_edu#

将配置文件发送到一个 TFTP服务器 :

wh_edu#

从一个 TFTP服务器下载配置文件 :

管理配置文件


copy tftp flashwh_edu#

升级 IOS


密码恢复

一般情况下，路由器启动时，首先运行 ROM 中的程序，进行系统自检及引导，然后运行 Flash 中的 IOS ，并在NVRAM 中寻找路由器配置，装入 DRAM 中。口令恢复的关键在于对配置寄存器的值 (Configuration Register Value) 进行修改，从而让路由器从不同方式进行启动。有效口令存放在 NVRAM 中，因此修改口令的实质是先让口令不起作用，从而可以进行直接启动，完成后再将配置寄存器的值恢复。


密码恢复（ 1 ）在启动的 60 s 内按下中断键 Ctrl+Break, ，使设备进入 rom monitor 状态，提示符号为“ rommon1> ” 。（ 2 ）在 rommon 中输入： conf reg 0x42 （ 3 ）输入 reset （ 4 ）当提示是否进入对话配置时回答“ no” （如误输入“ yes”, 立刻按 Ctrl+c 退出，出现“ press return to get started ！”按回车，进入 rom 模式 router> 。（ 5 ）键入 enable 命令进入 enable 状态，键入 router#show config 查看原路由器配置和未加密码口令，立刻做一文本备份文件，以免误操作将原路由器配置丢失。（ 6 ）下载 NVRAM ，将 NVRAM 模式中的参数表装入内存：　　 Router# configuration memory （ 7 ）更改密码，保存 Router# write memory


密码恢复（ 8 ）将第 3 步查到的登记码还原，一般为 0x2102 （即从闪存正常启动，并屏蔽中断），并激活所有端口（系统会将所有端口自动 shutdown ）：　　 Router#config register 0x2102 　　 Router(config)#interface xx 　　 Router(config if)#no shutdown 　　 Router(config if)#ctrl-z（ 9 ）重新启动路由器： Router# reload 。

交换机路由器的配置

Documents