ITPub博客

首页 > IT基础架构 > 网络安全 > 交换机配置命令说明

交换机配置命令说明

原创 网络安全 作者:liuyunfy 时间:2007-10-22 11:05:53 0 删除 编辑
交换机配置命令说明[@more@]

计算机命令:

# ifconfig eth0 netmask ;设置IP地址

# ifconfig eht0 netmask down ; 删除IP地址

# route add 0.0.0.0 gw

# route del 0.0.0.0 gw

# route add default gw ;设置网关

# route del default gw ;删除网关

# route ;显示网关

交换机基本状态:

switch: ROM状态, 路由器是

rommon>

hostname> ;用户模式

hostname# ;特权模式

hostname(config)# ;全局配置模式

hostname(config-if)# ; 接口状态

交换机口令设置:

switch>enable ;进入特权模式

switch#config terminal ;进入全局配置模式

switch(config)#hostname ;设置交换机的主机名

switch(config)#enable secret xxx ;设置特权加密口令为 xxx

switch(config)#enable password xxx ;设置特权非密口令为 xxx

switch(config)#line console 0 ;进控制台口(Rs232)初始化

switch(config-line)#line vty 0 4 ;进入虚拟终端virtual tty

switch(config-line)#login ;允许登录

switch(config-line)#password xx ;设置登录口令xx

switch#exit ;返回命令

交换机VLAN设置:

switch#vlan database ;进入VLAN设置

switch(vlan)#vlan 2 ;建VLAN 2

switch(vlan)#no vlan 2 ;删vlan 2

switch(config)#int f0/1 ;进入端口1

switch(config-if)#switchport access vlan 2 ;当前端口1加入VLAN 2

switch(config-if)#switchport mode trunk ;设置为干线

switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan

switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继

switch(config)#vtp domain ; 设置发vtp域名

switch(config)#vtp password

switch(config)#vtp mode server

switch(config)#vtp mode client

交换机设置IP地址:

switch(config)#interface vlan 1 ;进入vlan 1

switch(config-if)#ip address ;添加远程登录IP

switch(config)#ip default-gateway ;添加默认网关

switch#dir flash: ;查看内存

交换机显示命令:

switch#write ;写入保存

switch#show vtp

switch#show run ;查看当前配置信息

switch#show vlan ;看VLAN

switch#show interface ;显示所有端口信息

switch#show int f0/0 ;显示端口0的信息

路由器显示命令:

router#show run ;显示接口

router#show interface ;显示接口

router#show ip route ;显示路由

router#show cdp nei ;看邻居

router#reload     ;重新起动

设置口令:

router>enable ;进入特权模式

router#config terminal ;进入全局配置模式

router(config)#hostname ;设置交换机的主机名

router(config)#enable secret xxx ;设置特权加密口令为 xxx

router(config)#enable password xxx ;设置特权非密口令为 xxx

router(config)#line console 0 ;进控制台口(Rs232)初始化

router(config-line)#line vty 0 4 ;进入虚拟终端virtual tty

router(config-line)#login ;允许登录

router(config-line)#password xx ;设置登录口令xx

router(config)# (Ctrl+z) ; 返回特权模式

router#exit ;返回命令

配置IP地址:

router(config)#int s0/0 ;进行串Serail接口

router(config-if)#no shutdown ;起动接口

router(config-if)#clock rate 64000 ;设置时钟

router(config-if)#ip address 10.1.1.1 255.255.0.0 ;设置IP地址和子网掩码

router(config-if)#ip add 10.1.1.2 255.255.0.0 second

router(config-if)#int f0/0.1 ; 进入子接口

router(config-subif.1)#ip address

router(config-subif.1)#encapsulation dot1q

router(config)#config-register 0x2142 ;跳过配置文件

router(config)#config-register 0x2102 ;正常使用配置文件

router#reload ;重新引导

复制操作:

router#copy running-config startup-config ;存配置

router#copy running-config tftp ;上载

router#copy startup-config tftp

router#copy tftp flash: ;特权模式下升级IOS

router#copy tftp startup-config          ;下载配置文件到nvram

ROM状态:

Ctrl+Break ;进入ROM监控状态

rommon>confreg 0x2142 ;跳过配置,26 36 45xx

rommon>confreg 0x2102 ;使用配置,恢复工作状态

rommon>reset      ;重新引导,等效于重开机

rommon>copy xmodem: flash: ;从console升级IOS

rommon>IP_ADDRESS=10.65.1.2 ;设置路由器IP

rommon>IP_SUBNET_MASK=255.255.0.0 ;设置路由器掩码

rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP服务器IP

rommon>TFTP_FILE=c2600.bin ;所要下载的文件

rommon>tftpdnld ROM监控状态下升级IOS

rommon>dir flash: ;查看闪存中的内容

rommon>boot ;引导IOS

静态路由:

ip route 例:

router(config)#ip route 10.1.0.0 255.255.0.0 10.2.1.1

router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2

动态路由:

router(config)#ip routing ;启动路由

router(config)#router rip ;启动RIP路由协议。

router(config-router)#network ;配置范围,有的支持all

router(config-router)#negihbor ;点对点 帧中继用。

帧中继命令:

router(config)# frame-relay switching ;使能帧中继交换

router(config-s0)# encapsulation frame-relay ;使能帧中继

router(config-s0)# frame-relay intf-type DCE DCE(需要配虚电路)

router(config-s0)# frame-relay local-dlci 20 ;配置虚电路号

基本访问控制列表:

router(config)#access-list permit|deny

router(config)#interface default: deny any

router(config-if)#ip access-group in|out default: out

例:

RB(config)#access-list 4 permit 10.8.1.1

RB(config)#access-list 4 deny 10.8.1.0 0.0.0.255

RB(config)#access-list 4 permit 10.8.0.0 0.0.255.255

RB(config)#access-list 4 deny 10.0.0.0 0.255.255.255

RB(config)#access-list 4 permit any

RB(config)#int f0/0

RB(config-if)#ip access-group 4 in

扩展访问控制列表:

access-list permit|deny icmp

wild>[type]

access-list permit|deny tcp

wild>[port]

1

router(config)#access-list 101 deny icmp any 10.64.0.2 0.0.0.0 echo

router(config)#access-list 101 permit ip any any

router(config)#int s0/0

router(config-if)#ip access-group 101 in

2

router(config)#access-list 102 deny tcp any 10.65.0.2 0.0.0.0 eq 80

router(config)#access-list 102 permit ip any any

router(config)#interface s0/1

router(config-if)#ip access-group 102 out

router(config)#no access-list 102

router(config-if)#no ip access-group 101 in

三层交换机ip地址配置

1. ip地址分类

ip地址分为网络地址和主机地址二个部分,a类地址前8位为网络地址,后24位为主机地址,b类地址16位为网络地址,后16位为主机地址,c类地址前24位为网络地址,后8位为主机地址,网络地址范围如下表所示:

种类 网络地址范围

a  1.0.0.0 126.0.0.0有效 0.0.0.0 127.0.0.0保留

b 128.1.0.0191.254.0.0有效 128.0.0.0191.255.0.0保留

c 192.0.1.0 223.255.254.0有效 192.0.0.0223.255.255.0保留

d 224.0.0.0239.255.255.255用于多点广播

e 240.0.0.0255.255.255.254保留 255.255.255.255用于广播

2. 分配接口ip地址

任务 命令

接口设置 interface type slot/number

为接口设置ip地址 ip address ip-address mask

掩玛(mask)用于识别ip地址中的网络地址位数,ip地址(ip-address)和掩码(mask)相与即得到网络地址。

3. 使用可变长的子网掩码

通过使用可变长的子网掩码可以让位于不同接口的同一网络编号的网络使用不同的掩码,这样可以节省ip地址,充分利用有效的ip地址空间。

如下图所示:

router1router2e0端口均使用了c类地址192.1.0.0作为网络地址,router1e0的网络地址为192.1.0.128,掩码为255.255.255.192, router2e0的网络地址为192.1.0.64,掩码为255.255.255.192,这样就将一个c类网络地址分配给了二个网,既划分了二个子网,起到了节约地址的作用。

4. 使用网络地址翻译(nat

natnetwork address translation)起到将内部私有地址翻译成外部合法的全局地址的功能,它使得不具有合法ip地址的用户可以通过nat访问到外部internet.

当建立内部网的时候,建议使用以下地址组用于主机,这些地址是由network working group(rfc 1918)保留用于私有网络地址分配的.

l class a:10.1.1.1 to 10.254.254.254

l class b:172.16.1.1 to 172.31.254.254

l class c:192.168.1.1 to 192.168.254.254

命令描述如下:

任务 命令

定义一个标准访问列表 access-list access-list-number permit source [source-wildcard]

定义一个全局地址池 ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]

建立动态地址翻译 ip nat inside source {list {access-list-number | name} pool name [overload] | static local-ip global-ip}

指定内部和外部端口 ip nat {inside | outside}

路由器的ethernet 0端口为inside端口,即此端口连接内部网络,并且此端口所连接的网络应该被翻译,serial 0端口为outside端口,其拥有合法ip地址(由nic或服务提供商所分配的合法的ip地址),来自网络10.1.1.0/24的主机将从ip地址池c2501中选择一个地址作为自己的合法地址,经由serial 0口访问internet。命令ip nat inside source list 2 pool c2501 overload中的参数overload,将允许多个内部地址使用相同的全局地址(一个合法ip地址,它是由nic或服务提供商所分配的地址)。命令ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192定义了全局地址的范围。

设置如下:

ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192

interface ethernet 0

ip address 10.1.1.1 255.255.255.0

ip nat inside

!

interface serial 0

ip address 202.200.10.5 255.255.255.252

ip nat outside

!

ip route 0.0.0.0 0.0.0.0 serial 0

access-list 2 permit 10.0.0.0 0.0.0.255

! dynamic nat

!

ip nat inside source list 2 pool c2501 overload

line console 0

exec-timeout 0 0

!

line vty 0 4

end

三层交换机配置实例及说明

这个不像路由器那个,那个是show run出来的,这个就是自己直接写的了。,使用在汇聚层的三层交换机的配置。

Enable //进入私有模式

Configure terminal //进入全局模式

service password-encryption //对密码进行加密

hostname Catalyst 3550-12T1 //给三层交换机定义名称

enable password 123456. //enable密码

Enable secret 654321 //enable的加密密码(应该是乱码而不是654321这样)

Ip subnet-zero //允许使用全0子网(默认都是打开的)

Ip name-server 172.16.8.1 172.16.8.2 //三层交换机名字Catalyst 3550-12T1对应的IP地址是172.16.8.1

Service dhcp //提供DHCP服务

ip routing //启用三层交换机上的路由模块

Exit

Vtp mode server //定义VTP工作模式为sever模式

Vtp domain centervtp //定义VTP域的名称为centervtp

Vlan 2 name vlan2 //定义vlan并给vlan取名(如果不取名的话,vlan2的名字应该是vlan002

Vlan 3 name vlan3

Vlan 4 name vlan4

Vlan 5 name vlan5

Vlan 6 name vlan6

Vlan 7 name vlan7

Vlan 8 name vlan8

Vlan 9 name vlan9

Exit

interface Port-channel 1 //进入虚拟的以太通道组1

Interface gigabitethernet 0/1 //进入模块0上的吉比特以太口1

channel-group 1 mode on //把这个接口放到快速以太通道组1

Interface gigabitethernet 0/2 //同上

channel-group 1 mode on

port-channel load-balance src-dst-ip //定义快速以太通道组的负载均衡方式(依靠源和目的IP的方式)

interface gigabitethernet 0/3 //进入模块0上的吉比特以太口3< trunk trunk封装为802.1Q

< all >

interface gigabitethernet 0/4 //同上<>

interface gigbitethernet 0/5 //同上<>

interface gigbitethernet 0/6 //同上< trunk

interface gigbitethernet 0/7 //进入模块0上的吉比特以太口7

no shutdown

spanning-tree vlan 6-9 cost 1000 //在生成树中,vlan6-9的开销定义为10000

interface range gigabitethernet 0/8 – 10 //进入模块0上的吉比特以太口8,9,10

no shutdown

spanning-tree portfast //在这些接口上使用portfast(使用portfast以后,在生成树的时候不参加运算,直接成为转发状态)

interface gigabitethernet 0/11 //进入模块0上的吉比特以太口11< 给这个接口封装为802.1Q

interface gigabitethernet 0/12 //同上<>

interface vlan 1 //进入vlan1的逻辑接口(不是物理接口,用来给vlan做路由用)

ip address 172.16.1.7 255.255.255.0 //配置IP地址和子网掩码

no shutdown

standby 1 ip 172.16.1.9 //开启了冗余热备份(HSRP),冗余热备份组1,虚拟路由器的IP地址为172.16.1.9

standby 1 priority 110 preempt //定义这个三层交换机在冗余热备份组1中的优先级为110preempt是用来开启抢占模式

interface vlan 2 //同上

ip address 172.16.2.252 255.255.255.0

no shutdown

standby 2 ip 172.16.2.254

standby 2 priority 110 preempt

ip access-group 101 in //在入方向上使用扩展的访问控制列表101

interface vlan 3 //同上

ip address 172.16.3.252 255.255.255.0

no shutdown

standby 3 ip 172.16.3.254

standby 3 priority 110 preempt

ip access-group 101 in

interface vlan 4 //同上

ip address 172.16.4.252 255.255.255.0

no shutdown

standby 4 ip 172.16.4.254

standby 4 priority 110 preempt

ip access-group 101 in

interface vlan 5

ip address 172.16.5.252 255.255.255.0

no shutdown

standby 5 ip 172.16.5.254

standby 5 priority 110 preempt

ip access-group 101 in

interface vlan 6

ip address 172.16.6.252 255.255.255.0

no shutdown

standby 6 ip 172.1

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/225422/viewspace-978027/,如需转载,请注明出处,否则将追究法律责任。

上一篇: 没有了~
下一篇: 推荐一个网站
请登录后发表评论 登录
全部评论
  • 博文量
    2
  • 访问量
    321808