CCNA認證 IP路由
IP路由
○配置路由器
*接口配置
en
config t
hostname Lab_B
enable secret lenovo
//設置fa0/0接口
int fa0/0
ip address 192.168.30.1 255.255.255.0
description Lab_B LAN Connection
no shut
//設置s0/0接口,接口為DCE,要設置clock rate
int s0/0
ip address 192.168.20.2 255.255.255.0
description WAN Connection to Lab_A
clock rate 64000
no shut
//設置s0/1接口,接口為DCE,要設置clock rate
int s0/1
ip address 192.168.40.1 255.255.255.0
description WAN Connection to Lab_C
clock rate 64000
no shut
exit
//設置控制臺密碼
line console 0
password lenovo
login
//設置輔助密碼
line aux 0
password lenovo
login
//設置遠程登錄密碼
line vty 0 4
password lenovo
login
exit
//設置日期信息標誌區
banner motd #
This is the Lab_B router#
^Z
//將DRAM中配置存入NVRAM
copy run start
sh ip route //顯示各個接口路由配置
*靜態路由表配置
Lab_A(config)#ip route 192.168.30.0 255.255.255.0 192.168.20.2
Lab_A(config)#ip route 192.168.40.0 255.255.255.0 192.168.20.2
Lab_A(config)#ip route 192.168.50.0 255.255.255.0 192.168.20.2
*默認路由
ip route 0.0.0.0 0.0.0.0 217.124.6.1
或ip route 0.0.0.0 0.0.0.0 s0/0
或ip default-network 217.124.6.0
上面三個命令都可以達到同樣的目的,即配置最終網關。但使用已有接口優先級要比其他兩種高,因為它 的AD是0。而對於ip default-network命令,當路由器上配置了IGP時,這個IGP會通告這個默認網關的信息。
○路由選擇協議基礎
*管理距離
管理距離(AD)是用來衡量接受來自相鄰路由器上的路由選擇信息的可信度的。
*距離矢量路由協議
又稱作傳言路由
路由環路問題(不壹致更新)又叫無窮大計數,解決方式有
1.最大跳計數:RIP為15
2.水平分割:限制路由器不能將信息發送
回接受信息的方向
3.路由中毒:是指在路由信息在路由表中失效時,先將度量值變為無窮大,而不是馬上從路由表中刪掉這條路由信息。(這句話要理解,如RIP協議中,其度量值變為16,意味著路由不可達)再將其信息發布出去,這樣相鄰的路由器就得知這條路由己無效了)
毒性反轉與路由中毒概念是不壹樣的,它是指收到路由中毒消息的路由器,不遵守水平分割原則將中毒消息轉發給所有的相鄰路由器,也包括發送中毒信息的源路由器,也就是通告相鄰路由器這條路由信息己失效了。。主要目的是達到快速收斂的目的。
4.保持關閉:設置允許定時器,避免過於頻繁的路由修改
○路由信息協議(RIP)
*RIP
RIPv1只使用有類路由選擇,設備必須使用相同的子網掩碼。
RIPv2提供了被稱為前綴路由選擇的信息,並利用路由更新來傳遞子網掩碼信息。
*RIP定時器
路由更新定時器
路由失效定時器
保持失效定時器
路由刷新定時器
*配置RIP路由
在配置RIP路由前,要先刪除靜態路由和默認路由,因為其默認管理距離較小。
no ip route 192.168.30.0 255.255.255.0 192.168.20.2
no ip route 0.0.0.0 0.0.0.0 192.168.40.1
router rip
network 192.168.40.0
//network命令告訴路由協議要通告的是那個網絡,壹般是與路由器直連的網絡
*抑制RIP傳播
passive-interface s0/0
這個命令阻止RIP更新從s0/0口傳播出去,但並不阻止s0/0繼續接受RIP更新。
當壹部分老式網絡使用RIP,而其他不使用時,我們可以阻止RIP路由被發送到整個網絡。
○RIPv2
*配置RIPv2
盡量不使用RIP協議,無論哪個版本。
router rip
network 192.168.10.0
version 2
○內部網關路由協議(IGRP)
可以被使用於大型的自治系統
在配置中要使用自治系統號
每90s發送路由表更新
最大跳數為255
管理距離100
使用帶寬和線路延時作為度量
*IGRP定時器
更新定時器
失效定時器
保持關閉定時器 3倍於更新間隔+10s
刷新定時器 7倍於更新間隔
*配置IGRP路由
config t
router igrp 10(AS號)
network 192.168.10.0
IGRP使用有類路由選擇,即子網掩碼信息不會隨路由選擇協議的更新信息壹同發送。
假如妳使用了172.16.0.0/24網絡,如果妳鍵入172.16.10.0,路由器會接收它,並修改配置為有類的表項172.16.0.0,但是考試中確不行。
sh ip route中[100/16036],100表示管理距離,16036表示組合的度量值,越低,說明路由越好。
如果同時在網絡中啟動了RIP和IGRP,那麽會浪費帶寬和CPU,但路由表中只會出現IGRP,因為它的管理距離小。
○驗證配置命令
sh protocol 顯示IP,TPX等協議
sh ip protocol 顯示了路由選擇協議
debug ip rip 顯示當路由器發送和接收路由更新時的信息 undebug all 關閉
debug ip events 顯示該網絡上的IGRP路由選擇信息 un all
debug ip transactions 顯示來自相鄰路由器的更新要求,和由妳的路由器發給相鄰路由器的廣播信息
*路由被刪除過程
失效定時器設為270s(3倍更新定時器)。如果某個路由在三倍更新時間內還沒有接受到更新信息,則被認為無效路由。保持關閉定時器設為280s,為路由被抑制並等待受到更新的秒數。如果某個更新在保持關閉定時器到期前沒有收到,則刷新定時器將啟動。當這個刷新定時器過期後,這條路由將被從表中刪除。
○補充
*15跳的限制
R 10.0.0.0/8 [120/15] via 192.168.40.1, 00:00:07,Serial0
從中可以看出,網絡10.0.0.0不能被放在下壹個路由器的路由表中,因為它已是15跳了。
*為什麽不能訪問172.16.20.0
debug ip route的輸出
07:12:56: RIP: received v1 update from 172.16.100.2 on Serial0/0
07:12:56: 172.16.10.0 in 1 hops
07:12:56: 172.16.20.0 in 1 hops
07:12:56: 172.16.30.0 in 1 hops
sh ip route的輸出
C 172.16.150.0 is directly connected,FastEthernet0/0
S 172.16.20.0 [120/2] via 172.16.150.15
CCNA認證 安全設備管理器SDM
Cisco IOS路由器支持的許多特性(包括安全特性)都需要復雜的配置。為協助完成這些配置任務,Cisco引入了Cisco安全設備管理器(SDM,Security Device Manager)界面。本節將介紹SDM,並討論如何配置和啟動SDM,以及如何駕馭SDM向導。
SDM介紹
Cisco SDM為在IOS路由器上配置各種特性提供了圖形用戶界面(GUI,Graphical User Interface)。SDM不僅提供了多個”智能向導”,還提供了壹些配置指南。盡管SDM代表安全設備安全器,但通過SDM也可以配置壹些不安全特性,如路由選擇和服務質量(QoS,Quality-of-Service)特性。
壹些較新的路由器已預設SDM,需要在其他支持平臺安裝SDM。可訪問http://www. cisco.com/pcgi-bin/tablebuild.pl/sdm下載SDM的當前版本和版本說明。Cisco SDM有以下優點。對於各種配置情形,SDM智能向導使用Cisco TAC最佳實踐建議。SDM根據學習到的路由器配置(如路由器的接口、NAT配置和現有安全配置)智能地確定適當的安全配置。SDM支持多項安全特性,如基於向導的VPN配置、路由器安全審計和壹步鎖閉配置。Cisco IOS 12.2(11)T6和後續版本支持SDM,它不會影響路由器的DRAM或CPU。
本站提供: Cisco路由器及安全設備管理器SDM
CCNA認證–管理Cisco互聯網絡
學習重點:
1. 備份和恢復Cisco IOS
2. 備份和恢復Cisco配置
3. 通過CDP和Telnet收集相鄰設備的相關信息
4. 解析主機名
5. 使用ping和traceroute命令測試網絡連接
Cisco路由器的內部組件
1. bootstrap
2. post
3. ROM
4. 小型IOS
5. RAM
6. ROM
7. NVRAM
8. Configuration register
路由器啟動順序
啟動順序包括下列步驟
1. 路由器執行POST。
2. Bootstrap查找並加載Cisco IOS軟件。
3. IOS軟件在NVRAM中查找有效的配置文件。
4. 如果NVRAM中有startup-config文件,路由器將加載並運行此文件。
管理配置寄存器
所有Cisco路由器都具有壹個位於NVRAM中的16位軟件寄存器。默認情況下,配置寄存器設置為從閃存加載startup-config文件。
理解配置寄存器位
配置寄存器的16位從左到右是從15讀到0。Cisco路由器默認的配置設置時0×2102。
軟件配置意義
位 十六進制 解釋
0-3 0×0000-0x000f 啟動字段
6 0×0040 忽略NVRAM內容
7 0×0080 啟用OEM位
8 0×101 禁用中斷
10 0×0400 IP廣播全為零
5、11-12 0×0800-0×1000 控制臺線路速率
13 0×2000 如果網絡啟動實效則啟動默認ROM軟件
14 0×4000 IP廣播包含網絡號
15 0×8000 啟用診斷信息並忽略NVRAM內容
位於配置寄存器0位-3位的啟動字段控制路由器的啟動順序。
檢查當前配置寄存器值
使用show version命令可以查看配置寄存器的當前值。
Cisco Internetwork Operating System Software
IOS ™ 2500 Software (C2500-JS56I-L), Version 12.1(5)T12, RELEASE SOFTWARE (fc1)
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2002 by cisco Systems, Inc.
(略)
Configuration register is 0×2142
命令最後給出的信息就是配置寄存器的值。
修改配置寄存器的值
可以通過修改配置寄存器的值來修改路由器如何啟動和運行。
下面是修改配置寄存器的可能原因:
1. 強制系統進入ROM監控模式
2. 選擇啟動來源和默認的啟動文件名
3. 啟用或禁用Break(中斷)功能
4. 控制廣播地址
5. 設置控制臺中斷波特率
6. 從ROM加載操作軟件
7. 啟用從TFTP啟動服務器
使用config-register命令修改配置寄存器。
下面命令告訴路由器忽略NVRAM內容:
Router(config)#config-register 0×2142
Router(config)#^Z
Router#sh ver
(略)
Configuration register is 0×2142
恢復口令
如果忘記了口令,可以通過修改寄存器的值來進行恢復。
默認的配置寄存器值是0×2102,在默認情況下,路由器會查找並加載存儲在NVRAM中的路由器配置。現在我們要更改值,讓路由器忽略NVRAM的內容。
這裏是口令恢復的主要步驟:
1. 啟動路由器並通過執行壹個中斷來中斷啟動順序
2. 修改配置寄存器開啟第6位(值為0×2142)
3. 重載路由器
4. 進入特權模式。
5. 將startup-config文件復制為running-config文件
6. 修改口令
7. 將配置寄存器重設為默認值
8. 保存路由器的配置
9. 重載路由器。
下面是詳細步驟:
中斷路由器啟動順序
做法是,當路由器第壹次啟動時同時按下CTRL+BREAK組和鍵來執行壹個中斷。
修改配置寄存器
2600系列命令
Rommon 1> confreg 0×2142
2500系列命令
>o/r 0×2142
從載路由器進入特權模式
再此情況下,需要像下面這樣從蛇路由器:
2600系列上,輸入reset
2500系列上,輸入I(初始化)
查看並修改配置
將startup-config文件復制到running-config文件
Copy startup-config running-config
縮寫 copy start run
但是不能查看secret設置的口令。要修改口令,這樣做
Config t
Enable secret 12345
重設配置寄存器並重載路由器
使用config-register命令將配置寄存器設置回默認值:
Config t
Config-register 0×2102
最後使用Copy run start 命令保存配置並重載路由器。
備份和恢復Cisco IOS
在省級或恢復Cisco IOS之前,應當將已有文件復制到TFTP主機作為備份,以防止新的影響文件不能正常運行。
在將IOS映像文件備份到網絡服務器之前,完成下列操作:
1. 確定可以訪問網絡服務器。
2. 確保網絡服務器對於影響文件具有足夠的空間。
3. 驗證所需的文件名以及路徑。
驗證閃存
當場是在路由器上用心的IOS文件升級Cisco IOS之前,應當驗證閃存具有充足的空間來保存新的映像文件。可以使用sh flash命令驗證閃存的容量和姚存儲到閃存中文件的大小:
Router#sh flash
System flash directory:
File Length Name/status
1 16082856 c2500-js56i-l.121-5.T12.bin
[16082920 bytes used, 694296 available, 16777216 total]
16384K bytes of processor board System flash (Read ONLY)
這裏文件名是c2500-js56i-l.121-5.T12.bin。這個文件名稱具有平臺特性,名稱來源如下:
1. C2500是指平臺類型
2. J指示此文件時壹個企業級映像文件
3. S指示文件包含擴展性能
4. L指示在需要時可以從閃存中刪除此文件,並且此文件時不可壓縮文件
5. T12是版本號
6. .bin指示Cisco IOS是二進制可執行文件
備份Cisco IOS
若要將Cisco IOS備份到TFTP服務器,使用copy flash tftp命令
恢復或升級Cisco路由器IOS
可以使用copy tftp flash命令將文件從TFTP服務器下載到閃存中。此命令需要TFTP服務器的IP地址以及要下載到閃存中的文件名。
在開始操作之前,要確保欲放置到閃存中的文件在服務器默認的TFTP目錄下。
備份和恢復Cisco配置
對於路由器配置進行的任何修改存儲在running-config文件中。在修改了running-config後沒有執行copy run start命令,那麽路由器重載或掉電後修改的內容會丟失。
備份Cisco路由器配置
要把路由器的配置文件從路由器復制到TFTP服務器,可以使用copy running-config tftp或copy startup-config tftp。其中壹個備份當前正在DRAM中運行的路由器配置,壹個備份存儲在NVRAM中的路由器配置。
驗證當前配置
可以使用sh running-config命令
Router>en
Router#sh run
Building configuration…
Current configuration : 547 bytes
!
version 12.1
當前信息表明路由器運行的是IOS 12.1版本
驗證存儲的配置
下面,應當檢查NVRAM中存儲的配置。要察看此配置,使用sh start命令:
Router#sh start
Using 547 out of 32762 bytes
!
version 12.1
將當前配置復制到NVRAM
將running-config復制到NVRAM作為備份,可以確信路由器重載時總是重載Running-config文件。
Router#copy run start
Destination filename [startup-config]? [Enter]
Building configuration…
[OK]
Router#
將配置復制到TFTP服務器
使用copy run tftp命令
恢復Cisco路由器配置
使用copy tftp run命令
刪除配置
使用erase startup-config命令
Router#erase startup-config
Erasing the nvram filesystem will remove all files! Continue? [confirm][Enter]
[OK]
Erase of nvram: complete
Router#
使用Cisco發現協議
Cisco發現協議(CDP)是Cisco私有,幫助用來管理員收集本地相連和遠程設備的信息.
獲取CDP定時器和保持時間信息
之前提到過CDP的壹些介紹,show cdp命令提供2個信息給妳:
1.CDP timer:CDP包傳給每個活躍接口的時間間隔,默認是60秒
2.CDP holdtime:某設備從相鄰設備收到的包的保持時間,默認是180秒
如下:
Router#sh cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
Router#
可以修改默認的時間,分別在全局配置模式下使用cdp timer和cdp holdtime命令,如下:
Router#conf t
Router(config)#cdp timer 90
Router(config)#cdp holdtime 240
在所有接口上關閉CDP,在全局配置模式下使用no cdp run命令;關閉某個接口的CDP使用no cdp enable命令.再次打開分別使用cdp run和ccdp enable命令.如下:
Router(config)#no cdp run
Router(config)#int fa0/1
Router(config-if)#no cdp enable
收集鄰居信息
使用show cdp neighbour可以顯示直接相連的設備的信息,如下:
Router#sh cdp nei
Capability Codes: R ? Router, T ? Trans Bridge,
B ? Source Route Bridge, S ? Switch, H ? Host,
I ? IGMP, r ? Repeater
Device ID Local Intrfce Holdtime Capability Platform Port ID
1900Switch Eth 0 238 T S 1900 2
2500B Ser 0 138 R 2500 Ser 0
Router#
壹些選項的解釋如下:
1.Device ID:直接相連的設備的主機名
2.Local Interface:接收CDP包的接口
3.Holdtime:某設備從相鄰設備收到的包的保持時間,如果過了這個時間仍然沒收到新的CDP包,就將被丟棄
4.Capability:見輸出最頂部信息
5.Platform:Cisco設備的類型
6.Port ID:相連設備的接受CDP包信息的接口
要查看更為詳細的CDP信息可以使用show cdp neighbor detail或show cdp entry *命令
收集借口流量信息
使用show cdp traffic命令顯示接口CDP包流量信息,如下:
Router#sh cdp traffic
CDP counters:
Packets output: 13, Input: 8
Hdr syntax: 0, Chksum error: 0, Encaps failed: 0
No memory: 0, Invalid packet: 0, Fragmented: 0
Router#
收集端口和接口信息
使用show cdp interface命令顯示接口的CDP狀態信息
使用Telnet
在特權模式下使用telnet [IP地址]的命令進行telnet,如下:
Router#telnet 172.16.10.2
Trying 172.16.10.2 … Open
Password required, but none set
[Connection to 172.16.10.2 closed by foreign host]
Router#
由上面提示可以看出,VTY沒有密碼配置的話是不允許妳telnet的(除非妳使用了no login命令,但是安全性幾乎為0).所以在telnet前,記得先給目標設備的VTY線路配置密碼
同時Telnet到多個設備
當妳telnet到遠程設備的時候,可以在任何情況下使用exit命令來終止連接.但是假如妳想保持這個連接,同時又對另外1個設備進行telnet的時候,使用Ctrl+Shift+6,再按下X鍵,就可以回到本地console,再對另外1設備進行telnet.如下:
2500#telnet 172.16.10.2
Trying 172.16.10.2 … Open
User Access Verification
Password:
2600>[Ctrl+Shift+6,X]
2500#telnet 192.168.0.32
(略)
檢查Telnet連接
查看從本地到遠程的連接會話,使用show sessions命令,如下:
2500#sh sessions
Conn Host Address Byte Idle Conn Name
1 172.16.10.2 172.16.10.2 0 0 172.16.10.2
*2 192.168.0.32 192.168.0.32 0 0 192.168.0.32
2500#
註意*所在的會話代表妳的最後1個會話,可以直接敲2下Enter鍵回到*號會話,也可以輸入前面的數字,再敲2下Enter鍵回到相應會話
檢查Telnet用戶
使用show users命令列舉本地所有活動console和VTY端口,如下:
2500#sh users
Line User Host(s) Idle Location
* 0 con 0 172.16.10.2 00:07:52
192.168.0.32 00:07:18
註意上面輸出的con代表本地console,這個例子可以看到從本地console連接了遠程的2個設備.接下來在我們遠程設備上使用這個命令,如下:
2600>sh users
Line User Host(s) Idle Location
0 con 0 idle 9
*2 vty 0
這個輸出內容可以看出console是活動的,而且VTY端口2被使用
關閉Telnet會話
之前說過,要終止telnet會話,在遠程(被telnet)設備上使用exit命令.但是要從本地設備終止會話的話,就需要在本地使用disconnect命令,如下:
2500#disconnect ?
<1-2> The number of an active network connection
WORD The name of an active network connection
<cr>
2500#disconnect 1
Closing connection to 172.16.10.2 [confirm]
2500#
驗證如下:
2600#sh users
Line User Host(s) Idle Location
*0 con 0 idle 0
1 aux 0 idle 0
2 vty 0 idle 172.16.10.1
清除連接,使用clear line命令,並驗證,如下:
2600#clear line 2
[confirm]
[OK]
2600#sh users
Line User Host(s) Idle Location
*0 con 0 idle 0
1 aux 0 idle 1
2600#
解析主機名
2種解析主機名到IP地址的辦法:
1.在每個router上建立主機表(host table)
2.建立DNS服務器(Domain Name System server),這個類似動態主機表
建立主機表
主機表只提供包含其中的解析,建立主機表的命令是ip host [主機名] [TCP端口號] [IP地址],默認TCP端口號為23.1個主機可以對應最多8個IP地址.如下:
2500(config)#ip host 2501B 172.16.10.2
2500(config)#ip host 1900S 192.168.0.32
2500(config)#^Z
使用show hosts命令驗證新建的主機表,如下:
2500#sh hosts
Default domain is not set
Name/address lookup uses domain service
Name servers are 255.255.255.255
Host Flags Age Type Address(es)
2501B (perm, OK) 0 IP 172.16.10.2
1900S (perm, OK) 0 IP 192.168.0.32
2500#
註意Flags選項的perm,代表是手動輸入的,如果這項是temp的話,表明是由DNS解析的
使用DNS解析名稱
假如妳在CLI下輸入了1個Cisco設備不能識別的命令,它會默認通過DNS來進行解析(它認為是主機名).這個不好的地方是要花費額外的時間等待DNS解析完.可以在全局配置模式下使用no ip domain-lookup命令關閉它
假如妳在妳的網絡裏有DNS服務器,可以使用1些命令使DNS解析開始工作:
1.第壹條命令是:ip domain-lookup,這個命令默認是打開了的.如果妳之前使用了no ip domain-lookup的話,就要用這條命令打開它
2.第二條命令是:ip name-server.設置DNS服務器的IP地址,可以使1個IP地址對應多達6個服務器
3.最後條命令是:ip domain-name.雖然這個命令是可選的,但是最好還是設置1下
實例如下:
2500(config)#ip domain-lookup
2500(config)#ip name-server 192.168.0.23
2500(config)#ip domain-name noko.com
2500(config)#^Z
2500#
可以使用ping命令來嚴正下,如下:
2500#ping 1900S
Translating “1900S”…domain server (192.168.0.23) [OK]
(略)
使用show hosts命令驗證下,如下:
2500#sh hosts
Default domain is noko.com
Name/address lookup uses domain service
Name servers are 192.168.023
Host Flags Age Type Address(es)
2501B (perm, OK) 0 IP 172.16.10.2
1900S.noko.com (temp, OK) 0 IP 192.168.0.32
2500#
檢查網絡連接
使用ping命令和Traceroute命令
Cisco認證 Cisco的互聯網絡操作系統(IOS)
Cisco路由器IOS:Cisco的IOS是一个可以提供路由、交换、网络互连以及远程通信功能的专有内核。
Cisco路由器IOS软件负责的工作包括:
1.加载网络协议和功能。
2.在设备间连接高速流量。
3.在控制访问中添加安全性,防止未授权的网络使用。
4.为简化网络的增长和冗余备份提供可缩放性。
5.为连接到网络中的资源提供网络的可靠性。
连接到Cisco路由器:
可以通过连接到Cisco路由器来进行路由器的设置、配置验证及统计数据审核。要做到这一点可以有不同的方式:
1.通过控制台端口进行连接。(注:控制台端口一般是一个RJ-45的连接器(8针的模块),它位与路由器的背面,在默认时,连接到这个端口可能有也可能没有口令要求.而新型的ISR路由器在默认时使用cisco作为用户名和口令)
2.通过辅助端口进行连接。(注:在使用辅助端口前,必须配置好相关的MODEM命令,这样,MODEM才可以与同此路由器相互通信,这个功能允许通过连接到它的辅助端口,远程拨号到这个out-of-band(即:脱离网络)的路由器上)
3.in-band,即通过应用程序Telnet(“in-band”是指可以通过网络来配置路由器,它是与out-of-band相对应的).
启动路由器:
初次启动一台Cisco路由器时,它将运行开机自检(POST)过程.如果通过了,它将从闪存中查找Cisco IOS,如果有IOS文件存在,则执行装载操作(闪存是一个可电子擦写、可编程的只读存储器—EEPROM).然后,IOS将继续加载并查找一个合法的配置文件(启动文件),它默认时存储在非易失RAM(或NVRAM)中的.
CLI提示符:
Interface:用于修改接口配置,在全局配置模式下。
Line:用于配置用户模式口令。(line console 0命令被认为是一个重要的命令(也称为全局命令),而所有在(config-line)提示符下键入的命令都称为子命令。)
用户模式:被限定于基本的监视操作命令。
特权模式:提供对所有路由器命令的访问。
全局配置模式:提供可以影响整个系统运行的命令。
特定配置模式。只提供可以影响接口/进程运行的命令。
设置模式:提供可交互的配置对话方式。
用户进入特权模式→enable
特权返回用户模式→disable
特权进入全局配置模式→config t
特权进入设置模式→setup
退回上一级→exit
用户模式退回控制台→logout
路由器命令历史
Ctrl+P或↑上次输入过的命令
Ctrl+N或↓显示前面输入过的命令
Show history 默认时显示最近输入过的10条命令
Show terminal 显示终端配置和命令历史缓存空间的大小
Terminal history size 修改缓存空间的大小(最大为256)
Terminal history size命令用于在特权模式下改变历史缓存空间的大小。
Show terminal命令用来验证这一修改。
Show version命令将提供系统硬件的基本配置显示,它还包括软件的版本号以及引导映象。
增强的编辑命令
Ctrl+A 移动光标到本行的开始处
Ctrl+B 移动光标到本行的结尾处
Crrl+R 重新显示一行
Ctrl+U 删除一行
Ctrl+Z 结束配置模式并返回执行(EXEC)模式
Tab 帮你输入一条命令
路由器和交换机的管理配置:
主机名设置:
config t (进入全局配置模式)
hostname ? (?为主机名,这里随意输入)
标志区设置
config t (进入全局配置模式)
banner ? (exec banner(执行标志区)当某个EXEC过程(如线路激活或输入,连接到VTY线路)被建立时,可以配置显示一个线路激活(可执行)标志区。通过从控制台端口简单启动一个用户可执行会话,你将可以激活这个可执行标志区。
incoming banner(输入标志区)可以配置一个显示在连接到逆向Telnet线路终端上的标志区。这个标志区用于给使用这个逆向telnet的用户提供一些指导。
Login banner(登陆标志区)可以配置一个显示在所有终端上的登陆标志区。这个标志区是显示在MODO标志区之后却在登陆提示符之前的。这个登陆标志区不能被单独显示,因此,通常会禁用这个登陆标志区,必须使用no banner login命令来删除它。
日期信息标志区(MOTD)是最被广泛应用的标志区。它对每个拨号进入或者通过Telnet、辅助端口,甚至通过控制台端口连接到路由器的操作者也会给出一个信息。)
banner motd ?
banner motd #
???????????????????(注:这些问号就是你要输入的文本内容,输入完后按回车键以#结束,然后再次按回车键。)
#
口令设置:
有5个口令分别是:控制台口令、辅助口令、远程登录口令(VTY)、启用口令和启用加密口令.启用加密口令和启用口令用于设置保护特权模式的口令.在使用enable命令时,它会提示用户输入一个口令.其他3个是用于配置通过控制台端口、辅助端口或通过Telnet访问用户模式的口令.
启用口令和加密口令设置
config t (进入全局配置模式)
enable ? (last-resort:如果设置了要通过TACACS服务器的认证,而当此服务器没有工作时,你仍然可以进入到路由器中.但是,当这个TACACS服务器工作时,你将不可以进入到路由器中.
pssword:在老的路由器(10.3以前的系统)上设置启用口令,如果启用加密口令被设置了,它就不能再被使用了.
Secret:这是一个较新的设置,这个加密的口令如果被设置,它将越过启用口令的设置.
use-tacacs:这个设置要告诉路由器,通过使用TACACS服务器来进行身份认证.如果你有十几或更多的路由器.这将会十分方便,因为我想你不会喜欢在所有路由器上逐个去修改口令设置.明智的做法是通过TACACS服务器进行管理,这样,你将只需要修改一次口令配置就完成全部工作.)
enable password ?(?为密码)
enable secret ?(?为密码,这是加密口令设置)
(注:在全局配置模式下输入no enable secret ?,问号就是你所输入的密码,输入前面这个命令可以删除密码,也就是说不需要在用户模式下输入密码进入特权模式。)
使用line命令可以指定用户模式口令
Aux为辅助端口设置用户模式口令。它通常用于在路由器上配置一个MODEN,但它也可以被当作控制台来使用。
config t (进入全局配置模式)
line aux 0 (由于只有一个接口,只能选线路0)
login (这个命令及辅助接口不提示认证)
password ? (?随意输入,为密码)
login
Console设置控制台的用户模式口令。
Config t
Line console 0
login
Password ?(?为密码,当密码被设定后,要想删除的话,在此输入no password ?,就行了)
对于控制台端口,这里有一些其他的重要命令需要了解。
Exec-timeout 0 0命令,它设置了控制台EXEC会话超时值为零,即决不允许超时。默认的超时值为10分钟
Line con 0
Exec-timeout 0 0
Logging synchronous是一个很有用的命令,它应该是一个默认的命令配置,但是它不是。它可以阻止由于不稳定而产生的烦人的控制台信息,中断你所尝试进行的输入,并使你的输入信息显得更为简单易读。
Vty设置路由器上的telnet口令。
如果这个口令没有被设置,那么默认时telnet是不可用
Telnrt口令设置
Config t
Line ?
Line vty ?
line vty 0 ?
line vty 0 4
password ?
login
设置完全外壳(SSH)
要替代Telnet,可以使用完全外壳,与使用不加密数据流的telnet应用相比,SSH可以创建一个更加完全的会话.安全外壳(SSH)使用加密密钥发送数据,这样你的用户名和口令就不再会以明文的形式被发送出去。
下面是设置SSH的例子步骤:
1.设置你的用户名:
Router(config)#hostname Todd
2.设置域名(在生成加密密码时需要用到用户名和域名):
Todd(config)#ip domain-name Lammle.com
3.为加密会话产生加密密钥:
Todd(config)#crypto key generate rsa general-keys modulus ?
Todd(config)#crypto key generate rsa general-keys modulus 1024
4.为SSH会话设置最大空闲定时器:
Todd(config)#ip ssh time-out ?
Todd(config)#ip ssh time-out 60
5.为SSH连接设计最大失败尝试值:
Todd(config)#ip ssh authentication-retries ?
Todd(config)#ip ssh authentication-retries 2
6.连接到路由器的VTY线路上:
Todd(config)#line vty 0 1180
7.最后,配置SSH并将Telnet作为访问协议:
Todd(config)#transport input ssh telnet
在特权模式下使用show running-config命令时,将可以看到除启用加密口令之外的所有口令。
要手工加密你的口令,可以在全局配置模式下使用service password-encryption命令。
激活接口
使用接口命令shutdown可以关闭一个接口,使用no shutdown命令可以打开一个接口。
在接口上配置IP地址
config t
Int f0/0
ip address 192.168.1.1 255.255.255.0
(注:在接口配置模式下使用ip address命令,可以配置接口上的IP地址)
如果想为接口增加第二个子网地址,需要使用secondary命令,如果输入了另一个IP地址并按了回车键,将会替代已存在的IP地址和掩码。显然这是Cisco IOS最为出色的功能。
例子:
config t
Int f0/0
ip address 192.168.1.1 255.255.255.0
ip address 192.168.1.1 255.255.255.0 ?
ip address 192.168.1.1 255.255.255.0 secondary
串行接口命令
配置一个DCE串行接口可使用clock rate命令:
clock命令的单位是位每秒。除了查看电缆端头,检查是否有DCE或DTE的标签之外,使用show controllers int命令,你可以了解到路由器的串行接口是否连接有DCE电缆。
下一个需要了解的命令是bandwidth命令。
与clock rate命令不同,配置bandwidth命令时使用的单位是千位。
查看、保存并擦除配置
如果配置是通过setup模式完成的,你将会被问及是否想要应用刚刚创建的配置,如果回答yes,那么路由器将复制DRAM中运行的配置(即所谓当前运行配置running-config)到NVRAM中,并命名为启动配置(startup-config)文件。
可以通过使用copy running-config startup-config命令将配置从DRAM中手工保存到NVRAM中(当然也可以使用其快捷命令copy run start)
删除配置及重新加载路由器
可以使用命令erase startup-config,将启动配置文件删除:
enable
erase startup-config
在特权模式使用show startup-config可以验证启动配置文件是否删除。
(注:如果使用了erase startup-config命令之后重新加载路由器,将会进入到设置模式,因为在NVRAM中没有配置文件被保存。可以在任一时刻通过按Ctrl+C组合键来退出设置模式(reload命令只可以从特权模式中调用,这个命令能将startup-config文件整个替换running-config文件))
特权模式下使用clear counters命令可以来清除接口上的计数器:
特权模式下使用show ip interface命令进行验证
特权模式下使用show ip interface brief命令,这个命令提供了包含有逻辑地址和状态的路由器接口的快速汇总。
特权模式下使用show protocols命令,可以查看每个接口上第一层和第二层的状态以及使用IP地址。
特权模式下使用show controllers命令,可显示关于物理接口的自身信息。
ccna認證 子網劃分、VLSM和TCP/IP排錯
關于子網劃分,子網俺碼我在前麵都以經有所介紹,那麼這一篇算得上是一個總結前麵,而介紹IP排錯的問題.
一,子网划分的好处:
1,缩减网络流量。
2,优化网络性能。
3,简化管理。
4,可以更为灵活地形成大覆盖范围的网络。
二,IP零子网:输入ip subnet-zero后,在网络设计中可以使用第一个和最后一个子网,CISCO已经从其IOS的12.x版本开始将此命令改变为默认设置。
三,创建子网:创建子网,意味着主机位减少,所以子网越多,可用于定义主机的位越少。
1,确认所需要的网络数。
2,确认每个子网中所需要的主机数。
3,基于以上要求,创建以下内容:
(1)为整个网络设定一个子网掩码
(2)为每个物理网段设定一个不同的子网ID
(3)为每个子网确定主机的合法地址范围
四,子网划分公式:
1,子网数=2x(x是掩码位数)
2,每个子网中主机数=2y-2(y是非掩码位的位数)
3,合法的子网:256-子网掩码=块大小,即增量值,以块大小来划分子网。
4,广播地址总是紧邻下个子网的地址。
5,合法的主机号:合法主机号是那些介于各个子网之间的取值,并要减去全0和全1的主机号。
五,可变长度子网掩码(VLSM):使用不同长度的子网掩码来了解一个网络或创建多个网络,这被称为VLSM网络。
1,有类路由协议(rip,igrp):不通告子网信息,所有的主机和路由器接口都有相同的子网掩码。
2,无类路由协议(ripv2 ,eigrp,ospf):支持子网信息的通告,使用VLSM我们可能为不同的路由器接口使用不同的子网掩码。
六,汇总:也称为路由聚集,它允许路由选择协议将多个网络用一个地址来进行通告。
七,IP寻址排错
1,ping 127.0.0.1
2,ping本地ip地址
3,ping默认网关
4,ping远端服务器
八,判断IP地址是否有问题
CCNA認證 子網劃分 子網掩碼(2)
子網劃分與掩碼的設置
子網劃分是通過借用IP地址的若幹位主機位來充當子網地址從而將原網絡劃分為若幹子網而實現的。劃分子網時,隨著子網地址借用主機位數的增多,子網的數目隨之增加,而每個子網中的可用主機數逐漸減少。以C類網絡為例,原有8位主機位,2的8次方即256個主機地址,默認子網掩碼255.255.255.0。借用1位主機位,產生2個子網,每個子網有126個主機地址;借用2位主機位,產生4個子網,每個子網有62個主機地址……每個網中,第壹個IP地址(即主機部分全部為0的IP)和最後壹個IP(即主機部分全部為1的IP)不能分配給主機使用,所以每個子網的可用IP地址數為總IP地址數量減2;根據子網ID借用的主機位數,我們可以計算出劃分的子網數、掩碼、每個子網主機數,列表如下:
壹 劃分子網數
二 子網位數
③ 子網掩碼(二進制)
四 子網掩碼(十進制)
伍 每個子網主機數
壹 1~2
二 1
③ 11111111.11111111.11111111.10000000
四 255.255.255.128
伍 126
壹 3~4
二 2
③ 11111111.11111111.11111111.11000000
四 255.255.255.192
伍 62
壹 5~8
二 3
③ 11111111.11111111.11111111.11100000
四 255.255.255.224
伍 30
壹 9~16
二 4
③ 11111111.11111111.11111111.11110000
四 255.255.255.240
伍 14
壹 17~32
二 5
③ 11111111.11111111.11111111.11111000
四 255.255.255.248
伍 6
壹 33~64
二 6
③ 11111111.11111111.11111111.11111100
四 255.255.255.252
伍 2
如上表所示的C類網絡中,若子網占用7位主機位時,主機位只剩壹位,無論設為0還是1,都意味著主機位是全0或全1。由於主機位全0表示本網絡,全1留作廣播地址,這時子網實際沒有可用主機地址,所以主機位至少應保留2位。
從上表可總結出子網劃分的步驟或者說子網掩碼的計算步驟:
2.1 確定要劃分的子網數目以及每個子網的主機數目。
2.2 求出子網數目對應二進制數的位數N及主機數目對應二進制數的位數M。
2.3 對該IP地址的原子網掩碼,將其主機地址部分的前N位置 1或後M位置0 即得出該IP地址劃分子網後的子網掩碼。
例如,對B類網絡135.41.0.0/16需要劃分為20個能容納200臺主機的網絡。因為16<20<32,即20<24<25,所以,子網位只須占用5位主機位就可劃分成32個子網,可以滿足劃分成20個子網的要求。B類網絡的默認子網掩碼是255.255.0.0,轉換為二進制為11111111.11111111.00000000.00000000。現在子網又占用了5位主機位,根據子網掩碼的定義,劃分子網後的子網掩碼應該為11111111.11111111.11111000.00000000,轉換為十進制應該為255.255.248.0。現在我們再來看壹看每個子網的主機數。子網中可用主機位還有11位,2的11次方=2048,去掉主機位全0和全1的情況,還有2046個主機ID可以分配,而子網能容納200臺主機就能滿足需求,按照上述方式劃分子網,每個子網能容納的子網數目遠大於需求的主機數目,造成了IP地址資源的浪費。為了更有效地利用資源,我們也可以根據子網所需主機數來劃分子網。還以上例來說,128<200<256,即2^7<200<2^8,也就是說,在B類網絡的16位主機位中,保留8位主機位,其它的16-8=8位當成子網位,可以將B類網絡138. 96.0.0劃分成256(2^8)個能容納256-1-1-1=253臺(去掉全0全1情況和留給路由器的地址)主機的子網。此時的子網掩碼為11111111.11111111.11111111.00000000,轉換為十進制為255.255.255.0。
在上例中,我們分別根據子網數和主機數劃分了子網,得到了兩種不同的結果,都能滿足要求,實際上,子網占用5~8位主機位時所得到的子網都能滿足上述要求,那麽,在實際工作中,應按照什麽原則來決定占用幾位主機位呢?
在劃分子網時,不僅要考慮目前需要,還應了解將來需要多少子網和主機。對子網掩碼使用比需要更多的主機位,可以得到更多的子網,節約了IP地址資源,若將來需要更多子網時,不用再重新分配IP地址,但每個子網的主機數量有限;反之,子網掩碼使用較少的主機位,每個子網的主機數量允許有更大的增長,但可用子網數量有限。壹般來說,壹個網絡中的節點數太多,網絡會因為廣播通信而飽和,所以,網絡中的主機數量的增長是有限的,也就是說,在條件允許的情況下,會將更多的主機位用於子網位。
綜上所述,子網掩碼的設置關系到子網的劃分。子網掩碼設置的不同,所得到的子網不同,每個子網能容納的主機數目不同。若設置錯誤,可能導致數據傳輸錯誤。
補充:
子網劃分(subnetting)的優點:
1.減少網絡流量
2.提高網絡性能
3.簡化管理
4.易於擴大地理範圍
How to Creat Subnets
如何劃分子網?首先要熟記2的冪:2的0次方到9次方的值分別為:1,2,4,8,16,32,64,128,256和512.還有要明白的是:子網劃分是借助於取走主機位,把這個取走的部分作為子網位.因此這個意味劃分越多的子網,主機將越少
Subnet Masks
子網掩碼用於辨別IP地址中哪部分為網絡地址,哪部分為主機地址,有1和0組成,長32位,全為1的位代表網絡號.不是所有的網絡都需要子網,因此就引入1個概念:默認子網掩碼(default subnet mask).A類IP地址的默認子網掩碼為255.0.0.0;B類的為255.255.0.0;C類的為255.255.255.0
Classless Inter-Domain Routing(CIDR)
CIDR叫做無類域間路由,ISP常用這樣的方法給客戶分配地址,ISP提供給客戶1個塊(block size),類似這樣:192.168.10.32/28,這排數字告訴妳妳的子網掩碼是多少,/28代表多少位為1,最大/32.但是妳必須知道的1點是:不管是A類還是B類還是其他類地址,最大可用的只能為30/,即保留2位給主機位
CIDR值:
1.掩碼255.0.0.0:/8(A類地址默認掩碼)
2.掩碼255.128.0.0:/9
3.掩碼255.192.0.0:/10
4.掩碼255.224.0.0:/11
5.掩碼255.240.0.0:/12
6.掩碼255.248.0.0:/13
7.掩碼255.252.0.0:/14
8.掩碼255.254.0.0:/15
9.掩碼255.255.0.0:/16(B類地址默認掩碼)
10.掩碼255.255.128.0:/17
11.掩碼255.255.192.0:/18
12.掩碼255.255.224.0:/19
13.掩碼255.255.240.0:/20
14.掩碼255.255.248.0:/21
15.掩碼255.255.252.0:/22
16.掩碼255.255.254.0:/23
17.掩碼255.255.255.0:/24(C類地址默認掩碼)
18.掩碼255.255.255.128:/25
19.掩碼255.255.255.192:/26
20.掩碼255.255.255.224:/27
21.掩碼255.255.255.240:/28
22.掩碼255.255.255.248:/29
23.掩碼255.255.255.252:/30
Subnetting Class A,B&C Address
劃分子網的幾個捷徑:
1.妳所選擇的子網掩碼將會產生多少個子網?:2的x次方-2(x代表掩碼位,即2進制為1的部分,現在的網絡中,已經不需要-2,已經可以全部使用,不過需要加上相應的配置命令,例如CISCO路由器需要加上ip subnet zero命令就可以全部使用了。)
2.每個子網能有多少主機?: 2的y次方-2(y代表主機位,即2進制為0的部分)
3.有效子網是?:有效子網號=256-10進制的子網掩碼(結果叫做block size或base number)
4.每個子網的廣播地址是?:廣播地址=下個子網號-1
5.每個子網的有效主機分別是?:忽略子網內全為0和全為1的地址剩下的就是有效主機地址.最後有效1個主機地址=下個子網號-2(即廣播地址-1)
根據上述捷徑劃分子網的具體實例:
C類地址例子:網絡地址192.168.10.0;子網掩碼255.255.255.192(/26)
1.子網數=2*2-2=2
2.主機數=2的6次方-2=62
3.有效子網?:block size=256-192=64;所以第壹個子網為192.168.10.64,第二個為192.168.10.128
4.廣播地址:下個子網-1.所以2個子網的廣播地址分別是192.168.10.127和192.168.10.191
5.有效主機範圍是:第壹個子網的主機地址是192.168.10.65到192.168.10.126;第二個是192.168.10.129到192.168.10.190
B類地址例子1:網絡地址:172.16.0.0;子網掩碼255.255.192.0(/18)
1.子網數=2*2-2=2
2.主機數=2的14次方-2=16382
3.有效子網?:block size=256-192=64;所以第壹個子網為172.16.64.0,最後1個為172.16.128.0
4.廣播地址:下個子網-1.所以2個子網的廣播地址分別是172.16.127.255和172.16.191.255
5.有效主機範圍是:第壹個子網的主機地址是172.16.64.1到172.16.127.254;第二個是172.16.128.1到172.16.191.254
B類地址例子2:網絡地址:172.16.0.0;子網掩碼255.255.255.224(/27)
1.子網數=2的11次方-2=2046(因為B類地址默認掩碼是255.255.0.0,所以網絡位為8+3=11)
2.主機數=2的5次方-2=30
3.有效子網?:block size=256-224=32;所以第壹個子網為172.16.0.32, 最後1個為172.16.255.192
4.廣播地址:下個子網-1.所以第壹個子網和最後1個子網的廣播地址分別是172.16.0.63和172.16.255.223
5.有效主機範圍是:第壹個子網的主機地址是172.16.0.33到172.16.0.62;最後1個是172.16.255.193到172.16.255.222
Variable Length Subnet Masks(VLSM)
可變長子網掩碼(VLSM)的作用:節約IP地址空間;減少路由表大小.使用VLSM時,所采用的路由協議必須能夠支持它,這些路由協議包括RIPv2,OSPF,EIGRP和BGP.