CCNA認證 IP路由
IP路由
○配置路由器
*接口配置
en
config t
hostname Lab_B
enable secret lenovo
//設置fa0/0接口
int fa0/0
ip address 192.168.30.1 255.255.255.0
description Lab_B LAN Connection
no shut
//設置s0/0接口,接口為DCE,要設置clock rate
int s0/0
ip address 192.168.20.2 255.255.255.0
description WAN Connection to Lab_A
clock rate 64000
no shut
//設置s0/1接口,接口為DCE,要設置clock rate
int s0/1
ip address 192.168.40.1 255.255.255.0
description WAN Connection to Lab_C
clock rate 64000
no shut
exit
//設置控制臺密碼
line console 0
password lenovo
login
//設置輔助密碼
line aux 0
password lenovo
login
//設置遠程登錄密碼
line vty 0 4
password lenovo
login
exit
//設置日期信息標誌區
banner motd #
This is the Lab_B router#
^Z
//將DRAM中配置存入NVRAM
copy run start
sh ip route //顯示各個接口路由配置
*靜態路由表配置
Lab_A(config)#ip route 192.168.30.0 255.255.255.0 192.168.20.2
Lab_A(config)#ip route 192.168.40.0 255.255.255.0 192.168.20.2
Lab_A(config)#ip route 192.168.50.0 255.255.255.0 192.168.20.2
*默認路由
ip route 0.0.0.0 0.0.0.0 217.124.6.1
或ip route 0.0.0.0 0.0.0.0 s0/0
或ip default-network 217.124.6.0
上面三個命令都可以達到同樣的目的,即配置最終網關。但使用已有接口優先級要比其他兩種高,因為它 的AD是0。而對於ip default-network命令,當路由器上配置了IGP時,這個IGP會通告這個默認網關的信息。
○路由選擇協議基礎
*管理距離
管理距離(AD)是用來衡量接受來自相鄰路由器上的路由選擇信息的可信度的。
*距離矢量路由協議
又稱作傳言路由
路由環路問題(不壹致更新)又叫無窮大計數,解決方式有
1.最大跳計數:RIP為15
2.水平分割:限制路由器不能將信息發送
回接受信息的方向
3.路由中毒:是指在路由信息在路由表中失效時,先將度量值變為無窮大,而不是馬上從路由表中刪掉這條路由信息。(這句話要理解,如RIP協議中,其度量值變為16,意味著路由不可達)再將其信息發布出去,這樣相鄰的路由器就得知這條路由己無效了)
毒性反轉與路由中毒概念是不壹樣的,它是指收到路由中毒消息的路由器,不遵守水平分割原則將中毒消息轉發給所有的相鄰路由器,也包括發送中毒信息的源路由器,也就是通告相鄰路由器這條路由信息己失效了。。主要目的是達到快速收斂的目的。
4.保持關閉:設置允許定時器,避免過於頻繁的路由修改
○路由信息協議(RIP)
*RIP
RIPv1只使用有類路由選擇,設備必須使用相同的子網掩碼。
RIPv2提供了被稱為前綴路由選擇的信息,並利用路由更新來傳遞子網掩碼信息。
*RIP定時器
路由更新定時器
路由失效定時器
保持失效定時器
路由刷新定時器
*配置RIP路由
在配置RIP路由前,要先刪除靜態路由和默認路由,因為其默認管理距離較小。
no ip route 192.168.30.0 255.255.255.0 192.168.20.2
no ip route 0.0.0.0 0.0.0.0 192.168.40.1
router rip
network 192.168.40.0
//network命令告訴路由協議要通告的是那個網絡,壹般是與路由器直連的網絡
*抑制RIP傳播
passive-interface s0/0
這個命令阻止RIP更新從s0/0口傳播出去,但並不阻止s0/0繼續接受RIP更新。
當壹部分老式網絡使用RIP,而其他不使用時,我們可以阻止RIP路由被發送到整個網絡。
○RIPv2
*配置RIPv2
盡量不使用RIP協議,無論哪個版本。
router rip
network 192.168.10.0
version 2
○內部網關路由協議(IGRP)
可以被使用於大型的自治系統
在配置中要使用自治系統號
每90s發送路由表更新
最大跳數為255
管理距離100
使用帶寬和線路延時作為度量
*IGRP定時器
更新定時器
失效定時器
保持關閉定時器 3倍於更新間隔+10s
刷新定時器 7倍於更新間隔
*配置IGRP路由
config t
router igrp 10(AS號)
network 192.168.10.0
IGRP使用有類路由選擇,即子網掩碼信息不會隨路由選擇協議的更新信息壹同發送。
假如妳使用了172.16.0.0/24網絡,如果妳鍵入172.16.10.0,路由器會接收它,並修改配置為有類的表項172.16.0.0,但是考試中確不行。
sh ip route中[100/16036],100表示管理距離,16036表示組合的度量值,越低,說明路由越好。
如果同時在網絡中啟動了RIP和IGRP,那麽會浪費帶寬和CPU,但路由表中只會出現IGRP,因為它的管理距離小。
○驗證配置命令
sh protocol 顯示IP,TPX等協議
sh ip protocol 顯示了路由選擇協議
debug ip rip 顯示當路由器發送和接收路由更新時的信息 undebug all 關閉
debug ip events 顯示該網絡上的IGRP路由選擇信息 un all
debug ip transactions 顯示來自相鄰路由器的更新要求,和由妳的路由器發給相鄰路由器的廣播信息
*路由被刪除過程
失效定時器設為270s(3倍更新定時器)。如果某個路由在三倍更新時間內還沒有接受到更新信息,則被認為無效路由。保持關閉定時器設為280s,為路由被抑制並等待受到更新的秒數。如果某個更新在保持關閉定時器到期前沒有收到,則刷新定時器將啟動。當這個刷新定時器過期後,這條路由將被從表中刪除。
○補充
*15跳的限制
R 10.0.0.0/8 [120/15] via 192.168.40.1, 00:00:07,Serial0
從中可以看出,網絡10.0.0.0不能被放在下壹個路由器的路由表中,因為它已是15跳了。
*為什麽不能訪問172.16.20.0
debug ip route的輸出
07:12:56: RIP: received v1 update from 172.16.100.2 on Serial0/0
07:12:56: 172.16.10.0 in 1 hops
07:12:56: 172.16.20.0 in 1 hops
07:12:56: 172.16.30.0 in 1 hops
sh ip route的輸出
C 172.16.150.0 is directly connected,FastEthernet0/0
S 172.16.20.0 [120/2] via 172.16.150.15
CCNA認證 安全設備管理器SDM
Cisco IOS路由器支持的許多特性(包括安全特性)都需要復雜的配置。為協助完成這些配置任務,Cisco引入了Cisco安全設備管理器(SDM,Security Device Manager)界面。本節將介紹SDM,並討論如何配置和啟動SDM,以及如何駕馭SDM向導。
SDM介紹
Cisco SDM為在IOS路由器上配置各種特性提供了圖形用戶界面(GUI,Graphical User Interface)。SDM不僅提供了多個”智能向導”,還提供了壹些配置指南。盡管SDM代表安全設備安全器,但通過SDM也可以配置壹些不安全特性,如路由選擇和服務質量(QoS,Quality-of-Service)特性。
壹些較新的路由器已預設SDM,需要在其他支持平臺安裝SDM。可訪問http://www. cisco.com/pcgi-bin/tablebuild.pl/sdm下載SDM的當前版本和版本說明。Cisco SDM有以下優點。對於各種配置情形,SDM智能向導使用Cisco TAC最佳實踐建議。SDM根據學習到的路由器配置(如路由器的接口、NAT配置和現有安全配置)智能地確定適當的安全配置。SDM支持多項安全特性,如基於向導的VPN配置、路由器安全審計和壹步鎖閉配置。Cisco IOS 12.2(11)T6和後續版本支持SDM,它不會影響路由器的DRAM或CPU。
本站提供: Cisco路由器及安全設備管理器SDM
CCNA認證–管理Cisco互聯網絡
學習重點:
1. 備份和恢復Cisco IOS
2. 備份和恢復Cisco配置
3. 通過CDP和Telnet收集相鄰設備的相關信息
4. 解析主機名
5. 使用ping和traceroute命令測試網絡連接
Cisco路由器的內部組件
1. bootstrap
2. post
3. ROM
4. 小型IOS
5. RAM
6. ROM
7. NVRAM
8. Configuration register
路由器啟動順序
啟動順序包括下列步驟
1. 路由器執行POST。
2. Bootstrap查找並加載Cisco IOS軟件。
3. IOS軟件在NVRAM中查找有效的配置文件。
4. 如果NVRAM中有startup-config文件,路由器將加載並運行此文件。
管理配置寄存器
所有Cisco路由器都具有壹個位於NVRAM中的16位軟件寄存器。默認情況下,配置寄存器設置為從閃存加載startup-config文件。
理解配置寄存器位
配置寄存器的16位從左到右是從15讀到0。Cisco路由器默認的配置設置時0×2102。
軟件配置意義
位 十六進制 解釋
0-3 0×0000-0×000f 啟動字段
6 0×0040 忽略NVRAM內容
7 0×0080 啟用OEM位
8 0×101 禁用中斷
10 0×0400 IP廣播全為零
5、11-12 0×0800-0×1000 控制臺線路速率
13 0×2000 如果網絡啟動實效則啟動默認ROM軟件
14 0×4000 IP廣播包含網絡號
15 0×8000 啟用診斷信息並忽略NVRAM內容
位於配置寄存器0位-3位的啟動字段控制路由器的啟動順序。
檢查當前配置寄存器值
使用show version命令可以查看配置寄存器的當前值。
Cisco Internetwork Operating System Software
IOS ™ 2500 Software (C2500-JS56I-L), Version 12.1(5)T12, RELEASE SOFTWARE (fc1)
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2002 by cisco Systems, Inc.
(略)
Configuration register is 0×2142
命令最後給出的信息就是配置寄存器的值。
修改配置寄存器的值
可以通過修改配置寄存器的值來修改路由器如何啟動和運行。
下面是修改配置寄存器的可能原因:
1. 強制系統進入ROM監控模式
2. 選擇啟動來源和默認的啟動文件名
3. 啟用或禁用Break(中斷)功能
4. 控制廣播地址
5. 設置控制臺中斷波特率
6. 從ROM加載操作軟件
7. 啟用從TFTP啟動服務器
使用config-register命令修改配置寄存器。
下面命令告訴路由器忽略NVRAM內容:
Router(config)#config-register 0×2142
Router(config)#^Z
Router#sh ver
(略)
Configuration register is 0×2142
恢復口令
如果忘記了口令,可以通過修改寄存器的值來進行恢復。
默認的配置寄存器值是0×2102,在默認情況下,路由器會查找並加載存儲在NVRAM中的路由器配置。現在我們要更改值,讓路由器忽略NVRAM的內容。
這裏是口令恢復的主要步驟:
1. 啟動路由器並通過執行壹個中斷來中斷啟動順序
2. 修改配置寄存器開啟第6位(值為0×2142)
3. 重載路由器
4. 進入特權模式。
5. 將startup-config文件復制為running-config文件
6. 修改口令
7. 將配置寄存器重設為默認值
8. 保存路由器的配置
9. 重載路由器。
下面是詳細步驟:
中斷路由器啟動順序
做法是,當路由器第壹次啟動時同時按下CTRL+BREAK組和鍵來執行壹個中斷。
修改配置寄存器
2600系列命令
Rommon 1> confreg 0×2142
2500系列命令
>o/r 0×2142
從載路由器進入特權模式
再此情況下,需要像下面這樣從蛇路由器:
2600系列上,輸入reset
2500系列上,輸入I(初始化)
查看並修改配置
將startup-config文件復制到running-config文件
Copy startup-config running-config
縮寫 copy start run
但是不能查看secret設置的口令。要修改口令,這樣做
Config t
Enable secret 12345
重設配置寄存器並重載路由器
使用config-register命令將配置寄存器設置回默認值:
Config t
Config-register 0×2102
最後使用Copy run start 命令保存配置並重載路由器。
備份和恢復Cisco IOS
在省級或恢復Cisco IOS之前,應當將已有文件復制到TFTP主機作為備份,以防止新的影響文件不能正常運行。
在將IOS映像文件備份到網絡服務器之前,完成下列操作:
1. 確定可以訪問網絡服務器。
2. 確保網絡服務器對於影響文件具有足夠的空間。
3. 驗證所需的文件名以及路徑。
驗證閃存
當場是在路由器上用心的IOS文件升級Cisco IOS之前,應當驗證閃存具有充足的空間來保存新的映像文件。可以使用sh flash命令驗證閃存的容量和姚存儲到閃存中文件的大小:
Router#sh flash
System flash directory:
File Length Name/status
1 16082856 c2500-js56i-l.121-5.T12.bin
[16082920 bytes used, 694296 available, 16777216 total]
16384K bytes of processor board System flash (Read ONLY)
這裏文件名是c2500-js56i-l.121-5.T12.bin。這個文件名稱具有平臺特性,名稱來源如下:
1. C2500是指平臺類型
2. J指示此文件時壹個企業級映像文件
3. S指示文件包含擴展性能
4. L指示在需要時可以從閃存中刪除此文件,並且此文件時不可壓縮文件
5. T12是版本號
6. .bin指示Cisco IOS是二進制可執行文件
備份Cisco IOS
若要將Cisco IOS備份到TFTP服務器,使用copy flash tftp命令
恢復或升級Cisco路由器IOS
可以使用copy tftp flash命令將文件從TFTP服務器下載到閃存中。此命令需要TFTP服務器的IP地址以及要下載到閃存中的文件名。
在開始操作之前,要確保欲放置到閃存中的文件在服務器默認的TFTP目錄下。
備份和恢復Cisco配置
對於路由器配置進行的任何修改存儲在running-config文件中。在修改了running-config後沒有執行copy run start命令,那麽路由器重載或掉電後修改的內容會丟失。
備份Cisco路由器配置
要把路由器的配置文件從路由器復制到TFTP服務器,可以使用copy running-config tftp或copy startup-config tftp。其中壹個備份當前正在DRAM中運行的路由器配置,壹個備份存儲在NVRAM中的路由器配置。
驗證當前配置
可以使用sh running-config命令
Router>en
Router#sh run
Building configuration…
Current configuration : 547 bytes
!
version 12.1
當前信息表明路由器運行的是IOS 12.1版本
驗證存儲的配置
下面,應當檢查NVRAM中存儲的配置。要察看此配置,使用sh start命令:
Router#sh start
Using 547 out of 32762 bytes
!
version 12.1
將當前配置復制到NVRAM
將running-config復制到NVRAM作為備份,可以確信路由器重載時總是重載Running-config文件。
Router#copy run start
Destination filename [startup-config]? [Enter]
Building configuration…
[OK]
Router#
將配置復制到TFTP服務器
使用copy run tftp命令
恢復Cisco路由器配置
使用copy tftp run命令
刪除配置
使用erase startup-config命令
Router#erase startup-config
Erasing the nvram filesystem will remove all files! Continue? [confirm][Enter]
[OK]
Erase of nvram: complete
Router#
使用Cisco發現協議
Cisco發現協議(CDP)是Cisco私有,幫助用來管理員收集本地相連和遠程設備的信息.
獲取CDP定時器和保持時間信息
之前提到過CDP的壹些介紹,show cdp命令提供2個信息給妳:
1.CDP timer:CDP包傳給每個活躍接口的時間間隔,默認是60秒
2.CDP holdtime:某設備從相鄰設備收到的包的保持時間,默認是180秒
如下:
Router#sh cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
Router#
可以修改默認的時間,分別在全局配置模式下使用cdp timer和cdp holdtime命令,如下:
Router#conf t
Router(config)#cdp timer 90
Router(config)#cdp holdtime 240
在所有接口上關閉CDP,在全局配置模式下使用no cdp run命令;關閉某個接口的CDP使用no cdp enable命令.再次打開分別使用cdp run和ccdp enable命令.如下:
Router(config)#no cdp run
Router(config)#int fa0/1
Router(config-if)#no cdp enable
收集鄰居信息
使用show cdp neighbour可以顯示直接相連的設備的信息,如下:
Router#sh cdp nei
Capability Codes: R ? Router, T ? Trans Bridge,
B ? Source Route Bridge, S ? Switch, H ? Host,
I ? IGMP, r ? Repeater
Device ID Local Intrfce Holdtime Capability Platform Port ID
1900Switch Eth 0 238 T S 1900 2
2500B Ser 0 138 R 2500 Ser 0
Router#
壹些選項的解釋如下:
1.Device ID:直接相連的設備的主機名
2.Local Interface:接收CDP包的接口
3.Holdtime:某設備從相鄰設備收到的包的保持時間,如果過了這個時間仍然沒收到新的CDP包,就將被丟棄
4.Capability:見輸出最頂部信息
5.Platform:Cisco設備的類型
6.Port ID:相連設備的接受CDP包信息的接口
要查看更為詳細的CDP信息可以使用show cdp neighbor detail或show cdp entry *命令
收集借口流量信息
使用show cdp traffic命令顯示接口CDP包流量信息,如下:
Router#sh cdp traffic
CDP counters:
Packets output: 13, Input: 8
Hdr syntax: 0, Chksum error: 0, Encaps failed: 0
No memory: 0, Invalid packet: 0, Fragmented: 0
Router#
收集端口和接口信息
使用show cdp interface命令顯示接口的CDP狀態信息
使用Telnet
在特權模式下使用telnet [IP地址]的命令進行telnet,如下:
Router#telnet 172.16.10.2
Trying 172.16.10.2 … Open
Password required, but none set
[Connection to 172.16.10.2 closed by foreign host]
Router#
由上面提示可以看出,VTY沒有密碼配置的話是不允許妳telnet的(除非妳使用了no login命令,但是安全性幾乎為0).所以在telnet前,記得先給目標設備的VTY線路配置密碼
同時Telnet到多個設備
當妳telnet到遠程設備的時候,可以在任何情況下使用exit命令來終止連接.但是假如妳想保持這個連接,同時又對另外1個設備進行telnet的時候,使用Ctrl+Shift+6,再按下X鍵,就可以回到本地console,再對另外1設備進行telnet.如下:
2500#telnet 172.16.10.2
Trying 172.16.10.2 … Open
User Access Verification
Password:
2600>[Ctrl+Shift+6,X]
2500#telnet 192.168.0.32
(略)
檢查Telnet連接
查看從本地到遠程的連接會話,使用show sessions命令,如下:
2500#sh sessions
Conn Host Address Byte Idle Conn Name
1 172.16.10.2 172.16.10.2 0 0 172.16.10.2
*2 192.168.0.32 192.168.0.32 0 0 192.168.0.32
2500#
註意*所在的會話代表妳的最後1個會話,可以直接敲2下Enter鍵回到*號會話,也可以輸入前面的數字,再敲2下Enter鍵回到相應會話
檢查Telnet用戶
使用show users命令列舉本地所有活動console和VTY端口,如下:
2500#sh users
Line User Host(s) Idle Location
* 0 con 0 172.16.10.2 00:07:52
192.168.0.32 00:07:18
註意上面輸出的con代表本地console,這個例子可以看到從本地console連接了遠程的2個設備.接下來在我們遠程設備上使用這個命令,如下:
2600>sh users
Line User Host(s) Idle Location
0 con 0 idle 9
*2 vty 0
這個輸出內容可以看出console是活動的,而且VTY端口2被使用
關閉Telnet會話
之前說過,要終止telnet會話,在遠程(被telnet)設備上使用exit命令.但是要從本地設備終止會話的話,就需要在本地使用disconnect命令,如下:
2500#disconnect ?
<1-2> The number of an active network connection
WORD The name of an active network connection
<cr>
2500#disconnect 1
Closing connection to 172.16.10.2 [confirm]
2500#
驗證如下:
2600#sh users
Line User Host(s) Idle Location
*0 con 0 idle 0
1 aux 0 idle 0
2 vty 0 idle 172.16.10.1
清除連接,使用clear line命令,並驗證,如下:
2600#clear line 2
[confirm]
[OK]
2600#sh users
Line User Host(s) Idle Location
*0 con 0 idle 0
1 aux 0 idle 1
2600#
解析主機名
2種解析主機名到IP地址的辦法:
1.在每個router上建立主機表(host table)
2.建立DNS服務器(Domain Name System server),這個類似動態主機表
建立主機表
主機表只提供包含其中的解析,建立主機表的命令是ip host [主機名] [TCP端口號] [IP地址],默認TCP端口號為23.1個主機可以對應最多8個IP地址.如下:
2500(config)#ip host 2501B 172.16.10.2
2500(config)#ip host 1900S 192.168.0.32
2500(config)#^Z
使用show hosts命令驗證新建的主機表,如下:
2500#sh hosts
Default domain is not set
Name/address lookup uses domain service
Name servers are 255.255.255.255
Host Flags Age Type Address(es)
2501B (perm, OK) 0 IP 172.16.10.2
1900S (perm, OK) 0 IP 192.168.0.32
2500#
註意Flags選項的perm,代表是手動輸入的,如果這項是temp的話,表明是由DNS解析的
使用DNS解析名稱
假如妳在CLI下輸入了1個Cisco設備不能識別的命令,它會默認通過DNS來進行解析(它認為是主機名).這個不好的地方是要花費額外的時間等待DNS解析完.可以在全局配置模式下使用no ip domain-lookup命令關閉它
假如妳在妳的網絡裏有DNS服務器,可以使用1些命令使DNS解析開始工作:
1.第壹條命令是:ip domain-lookup,這個命令默認是打開了的.如果妳之前使用了no ip domain-lookup的話,就要用這條命令打開它
2.第二條命令是:ip name-server.設置DNS服務器的IP地址,可以使1個IP地址對應多達6個服務器
3.最後條命令是:ip domain-name.雖然這個命令是可選的,但是最好還是設置1下
實例如下:
2500(config)#ip domain-lookup
2500(config)#ip name-server 192.168.0.23
2500(config)#ip domain-name noko.com
2500(config)#^Z
2500#
可以使用ping命令來嚴正下,如下:
2500#ping 1900S
Translating “1900S”…domain server (192.168.0.23) [OK]
(略)
使用show hosts命令驗證下,如下:
2500#sh hosts
Default domain is noko.com
Name/address lookup uses domain service
Name servers are 192.168.023
Host Flags Age Type Address(es)
2501B (perm, OK) 0 IP 172.16.10.2
1900S.noko.com (temp, OK) 0 IP 192.168.0.32
2500#
檢查網絡連接
使用ping命令和Traceroute命令
Cisco認證 Cisco的互聯網絡操作系統(IOS)
Cisco路由器IOS:Cisco的IOS是一个可以提供路由、交换、网络互连以及远程通信功能的专有内核。
Cisco路由器IOS软件负责的工作包括:
1.加载网络协议和功能。
2.在设备间连接高速流量。
3.在控制访问中添加安全性,防止未授权的网络使用。
4.为简化网络的增长和冗余备份提供可缩放性。
5.为连接到网络中的资源提供网络的可靠性。
连接到Cisco路由器:
可以通过连接到Cisco路由器来进行路由器的设置、配置验证及统计数据审核。要做到这一点可以有不同的方式:
1.通过控制台端口进行连接。(注:控制台端口一般是一个RJ-45的连接器(8针的模块),它位与路由器的背面,在默认时,连接到这个端口可能有也可能没有口令要求.而新型的ISR路由器在默认时使用cisco作为用户名和口令)
2.通过辅助端口进行连接。(注:在使用辅助端口前,必须配置好相关的MODEM命令,这样,MODEM才可以与同此路由器相互通信,这个功能允许通过连接到它的辅助端口,远程拨号到这个out-of-band(即:脱离网络)的路由器上)
3.in-band,即通过应用程序Telnet(“in-band”是指可以通过网络来配置路由器,它是与out-of-band相对应的).
启动路由器:
初次启动一台Cisco路由器时,它将运行开机自检(POST)过程.如果通过了,它将从闪存中查找Cisco IOS,如果有IOS文件存在,则执行装载操作(闪存是一个可电子擦写、可编程的只读存储器—EEPROM).然后,IOS将继续加载并查找一个合法的配置文件(启动文件),它默认时存储在非易失RAM(或NVRAM)中的.
CLI提示符:
Interface:用于修改接口配置,在全局配置模式下。
Line:用于配置用户模式口令。(line console 0命令被认为是一个重要的命令(也称为全局命令),而所有在(config-line)提示符下键入的命令都称为子命令。)
用户模式:被限定于基本的监视操作命令。
特权模式:提供对所有路由器命令的访问。
全局配置模式:提供可以影响整个系统运行的命令。
特定配置模式。只提供可以影响接口/进程运行的命令。
设置模式:提供可交互的配置对话方式。
用户进入特权模式→enable
特权返回用户模式→disable
特权进入全局配置模式→config t
特权进入设置模式→setup
退回上一级→exit
用户模式退回控制台→logout
路由器命令历史
Ctrl+P或↑上次输入过的命令
Ctrl+N或↓显示前面输入过的命令
Show history 默认时显示最近输入过的10条命令
Show terminal 显示终端配置和命令历史缓存空间的大小
Terminal history size 修改缓存空间的大小(最大为256)
Terminal history size命令用于在特权模式下改变历史缓存空间的大小。
Show terminal命令用来验证这一修改。
Show version命令将提供系统硬件的基本配置显示,它还包括软件的版本号以及引导映象。
增强的编辑命令
Ctrl+A 移动光标到本行的开始处
Ctrl+B 移动光标到本行的结尾处
Crrl+R 重新显示一行
Ctrl+U 删除一行
Ctrl+Z 结束配置模式并返回执行(EXEC)模式
Tab 帮你输入一条命令
路由器和交换机的管理配置:
主机名设置:
config t (进入全局配置模式)
hostname ? (?为主机名,这里随意输入)
标志区设置
config t (进入全局配置模式)
banner ? (exec banner(执行标志区)当某个EXEC过程(如线路激活或输入,连接到VTY线路)被建立时,可以配置显示一个线路激活(可执行)标志区。通过从控制台端口简单启动一个用户可执行会话,你将可以激活这个可执行标志区。
incoming banner(输入标志区)可以配置一个显示在连接到逆向Telnet线路终端上的标志区。这个标志区用于给使用这个逆向telnet的用户提供一些指导。
Login banner(登陆标志区)可以配置一个显示在所有终端上的登陆标志区。这个标志区是显示在MODO标志区之后却在登陆提示符之前的。这个登陆标志区不能被单独显示,因此,通常会禁用这个登陆标志区,必须使用no banner login命令来删除它。
日期信息标志区(MOTD)是最被广泛应用的标志区。它对每个拨号进入或者通过Telnet、辅助端口,甚至通过控制台端口连接到路由器的操作者也会给出一个信息。)
banner motd ?
banner motd #
???????????????????(注:这些问号就是你要输入的文本内容,输入完后按回车键以#结束,然后再次按回车键。)
#
口令设置:
有5个口令分别是:控制台口令、辅助口令、远程登录口令(VTY)、启用口令和启用加密口令.启用加密口令和启用口令用于设置保护特权模式的口令.在使用enable命令时,它会提示用户输入一个口令.其他3个是用于配置通过控制台端口、辅助端口或通过Telnet访问用户模式的口令.
启用口令和加密口令设置
config t (进入全局配置模式)
enable ? (last-resort:如果设置了要通过TACACS服务器的认证,而当此服务器没有工作时,你仍然可以进入到路由器中.但是,当这个TACACS服务器工作时,你将不可以进入到路由器中.
pssword:在老的路由器(10.3以前的系统)上设置启用口令,如果启用加密口令被设置了,它就不能再被使用了.
Secret:这是一个较新的设置,这个加密的口令如果被设置,它将越过启用口令的设置.
use-tacacs:这个设置要告诉路由器,通过使用TACACS服务器来进行身份认证.如果你有十几或更多的路由器.这将会十分方便,因为我想你不会喜欢在所有路由器上逐个去修改口令设置.明智的做法是通过TACACS服务器进行管理,这样,你将只需要修改一次口令配置就完成全部工作.)
enable password ?(?为密码)
enable secret ?(?为密码,这是加密口令设置)
(注:在全局配置模式下输入no enable secret ?,问号就是你所输入的密码,输入前面这个命令可以删除密码,也就是说不需要在用户模式下输入密码进入特权模式。)
使用line命令可以指定用户模式口令
Aux为辅助端口设置用户模式口令。它通常用于在路由器上配置一个MODEN,但它也可以被当作控制台来使用。
config t (进入全局配置模式)
line aux 0 (由于只有一个接口,只能选线路0)
login (这个命令及辅助接口不提示认证)
password ? (?随意输入,为密码)
login
Console设置控制台的用户模式口令。
Config t
Line console 0
login
Password ?(?为密码,当密码被设定后,要想删除的话,在此输入no password ?,就行了)
对于控制台端口,这里有一些其他的重要命令需要了解。
Exec-timeout 0 0命令,它设置了控制台EXEC会话超时值为零,即决不允许超时。默认的超时值为10分钟
Line con 0
Exec-timeout 0 0
Logging synchronous是一个很有用的命令,它应该是一个默认的命令配置,但是它不是。它可以阻止由于不稳定而产生的烦人的控制台信息,中断你所尝试进行的输入,并使你的输入信息显得更为简单易读。
Vty设置路由器上的telnet口令。
如果这个口令没有被设置,那么默认时telnet是不可用
Telnrt口令设置
Config t
Line ?
Line vty ?
line vty 0 ?
line vty 0 4
password ?
login
设置完全外壳(SSH)
要替代Telnet,可以使用完全外壳,与使用不加密数据流的telnet应用相比,SSH可以创建一个更加完全的会话.安全外壳(SSH)使用加密密钥发送数据,这样你的用户名和口令就不再会以明文的形式被发送出去。
下面是设置SSH的例子步骤:
1.设置你的用户名:
Router(config)#hostname Todd
2.设置域名(在生成加密密码时需要用到用户名和域名):
Todd(config)#ip domain-name Lammle.com
3.为加密会话产生加密密钥:
Todd(config)#crypto key generate rsa general-keys modulus ?
Todd(config)#crypto key generate rsa general-keys modulus 1024
4.为SSH会话设置最大空闲定时器:
Todd(config)#ip ssh time-out ?
Todd(config)#ip ssh time-out 60
5.为SSH连接设计最大失败尝试值:
Todd(config)#ip ssh authentication-retries ?
Todd(config)#ip ssh authentication-retries 2
6.连接到路由器的VTY线路上:
Todd(config)#line vty 0 1180
7.最后,配置SSH并将Telnet作为访问协议:
Todd(config)#transport input ssh telnet
在特权模式下使用show running-config命令时,将可以看到除启用加密口令之外的所有口令。
要手工加密你的口令,可以在全局配置模式下使用service password-encryption命令。
激活接口
使用接口命令shutdown可以关闭一个接口,使用no shutdown命令可以打开一个接口。
在接口上配置IP地址
config t
Int f0/0
ip address 192.168.1.1 255.255.255.0
(注:在接口配置模式下使用ip address命令,可以配置接口上的IP地址)
如果想为接口增加第二个子网地址,需要使用secondary命令,如果输入了另一个IP地址并按了回车键,将会替代已存在的IP地址和掩码。显然这是Cisco IOS最为出色的功能。
例子:
config t
Int f0/0
ip address 192.168.1.1 255.255.255.0
ip address 192.168.1.1 255.255.255.0 ?
ip address 192.168.1.1 255.255.255.0 secondary
串行接口命令
配置一个DCE串行接口可使用clock rate命令:
clock命令的单位是位每秒。除了查看电缆端头,检查是否有DCE或DTE的标签之外,使用show controllers int命令,你可以了解到路由器的串行接口是否连接有DCE电缆。
下一个需要了解的命令是bandwidth命令。
与clock rate命令不同,配置bandwidth命令时使用的单位是千位。
查看、保存并擦除配置
如果配置是通过setup模式完成的,你将会被问及是否想要应用刚刚创建的配置,如果回答yes,那么路由器将复制DRAM中运行的配置(即所谓当前运行配置running-config)到NVRAM中,并命名为启动配置(startup-config)文件。
可以通过使用copy running-config startup-config命令将配置从DRAM中手工保存到NVRAM中(当然也可以使用其快捷命令copy run start)
删除配置及重新加载路由器
可以使用命令erase startup-config,将启动配置文件删除:
enable
erase startup-config
在特权模式使用show startup-config可以验证启动配置文件是否删除。
(注:如果使用了erase startup-config命令之后重新加载路由器,将会进入到设置模式,因为在NVRAM中没有配置文件被保存。可以在任一时刻通过按Ctrl+C组合键来退出设置模式(reload命令只可以从特权模式中调用,这个命令能将startup-config文件整个替换running-config文件))
特权模式下使用clear counters命令可以来清除接口上的计数器:
特权模式下使用show ip interface命令进行验证
特权模式下使用show ip interface brief命令,这个命令提供了包含有逻辑地址和状态的路由器接口的快速汇总。
特权模式下使用show protocols命令,可以查看每个接口上第一层和第二层的状态以及使用IP地址。
特权模式下使用show controllers命令,可显示关于物理接口的自身信息。
ccna認證 子網劃分、VLSM和TCP/IP排錯
關于子網劃分,子網俺碼我在前麵都以經有所介紹,那麼這一篇算得上是一個總結前麵,而介紹IP排錯的問題.
一,子网划分的好处:
1,缩减网络流量。
2,优化网络性能。
3,简化管理。
4,可以更为灵活地形成大覆盖范围的网络。
二,IP零子网:输入ip subnet-zero后,在网络设计中可以使用第一个和最后一个子网,CISCO已经从其IOS的12.x版本开始将此命令改变为默认设置。
三,创建子网:创建子网,意味着主机位减少,所以子网越多,可用于定义主机的位越少。
1,确认所需要的网络数。
2,确认每个子网中所需要的主机数。
3,基于以上要求,创建以下内容:
(1)为整个网络设定一个子网掩码
(2)为每个物理网段设定一个不同的子网ID
(3)为每个子网确定主机的合法地址范围
四,子网划分公式:
1,子网数=2x(x是掩码位数)
2,每个子网中主机数=2y-2(y是非掩码位的位数)
3,合法的子网:256-子网掩码=块大小,即增量值,以块大小来划分子网。
4,广播地址总是紧邻下个子网的地址。
5,合法的主机号:合法主机号是那些介于各个子网之间的取值,并要减去全0和全1的主机号。
五,可变长度子网掩码(VLSM):使用不同长度的子网掩码来了解一个网络或创建多个网络,这被称为VLSM网络。
1,有类路由协议(rip,igrp):不通告子网信息,所有的主机和路由器接口都有相同的子网掩码。
2,无类路由协议(ripv2 ,eigrp,ospf):支持子网信息的通告,使用VLSM我们可能为不同的路由器接口使用不同的子网掩码。
六,汇总:也称为路由聚集,它允许路由选择协议将多个网络用一个地址来进行通告。
七,IP寻址排错
1,ping 127.0.0.1
2,ping本地ip地址
3,ping默认网关
4,ping远端服务器
八,判断IP地址是否有问题
