雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 36034|回复: 5

[讨论/求助] [推荐]CISCO路由器调试

[复制链接]
发表于 2004-11-9 10:03:56 | 显示全部楼层 |阅读模式
chinamoon:近期大家又需要做实验了,看看这篇帖子吧。<br><br>————————————————————<br>一、基本设置方式<br>一般来说,可以用5种方式来设置路由器:<br>1.Console口接终端或运行终端仿真软件的微机;<br>2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连;<br>3.通过Ethernet上的TFTP服务器;<br>4.通过Ethernet上的TELNET程序;<br>通过Ethernet上的SNMP网管工作站。<br>5.通过Ethernet上的SNMP网管工作站。<br>但路由器的第一次设置必须通过第一种方式进行,一般用超级终端通过com口进行控制。此时终端的硬件设置如下:<br>波特率 :9600<br>数据位 :8<br>停止位 :1<br>奇偶校验: 无<br>二、命令操作<br>CISCO路由器所用的操作系统是IOS.共有以下几种状态:<br>1、router&gt; <br>在router&gt; 提示符下,路由器处于用户命令状态,这时用户可以看路由器的连接状态,访问其它网络和主机,但不能看到和更改路由器的设置内容。此时输入?并回车,可以查看到在此状态下可以用的命令。(IOS允许你在任何时候用这种方式查看在某种状态下可以用的命令)。在敲入enable并回车后,按照系统提示输入密码,(在新的路由器第一次进行调试的时候不需要输入密码,直接回车即可)进入#提示符,就可以对路由器进行各种操作了。<br><br>2、router#<br>路由器进入特权命令状态router#后,不但可以执行所有的用户命令,还可以看到和更改路由器的设置内容。此时就可以对路由器的名字、密码等进行设置。<br>3、router&#40;config&#41;#<br>在router#提示符下键入configure terminal,出现提示符router&#40;config&#41;#,此时路由器处于全局设置状态,这时可以设置路由器的全局参数。<br>4、router&#40;config-if&#41;#&amp;#59;<br>router&#40;config-line&#41;#&amp;#59;<br>router&#40;config-router&#41;#&amp;#59;…<br>路由器处于局部设置状态,这时可以设置路由器某个局部的参数。<br>5、&gt; <br>路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。在此状态下,可以进行口令恢复。<br><br>三、常用命令<br><br>1.帮助<br>在IOS操作中,无论任何状态和位置,都可以键入“?”得到系统的帮助。系统会显示此时可以使用的命令。<br>2.改变命令状态<br><br>任务命令<br>进入特权命令状态enable<br>退出特权命令状态disable<br>进入设置对话状态Setup<br>进入全局设置状态config terminal<br>退出全局设置状态End<br>进入端口设置状态interface type slot/number<br>进入子端口设置状态interface type number.subinterface [point-to-point | multipoint]<br>进入线路设置状态line type slot/number<br>进入路由设置状态router protocol<br>退出局部设置状态Exit<br><br>3.显示命令<br><br>任务命令<br>查看版本及引导信息show version<br>查看运行设置show running-config<br>查看开机设置show startup-config<br>显示端口信息show interface type slot/number<br>显示路由信息show ip router<br><br>4.拷贝命令<br>用于IOS及CONFIG的备份和升级<br><br><br>5.网络命令<br><br>任务命令<br>登录远程主机telnet hostname|IP address<br>网络侦测ping hostname|IP address<br>路由跟踪Trace hostname|IP address<br><br>6.基本设置命令<br><br>任务命令<br>全局设置config terminal<br>设置访问用户及密码username username password password<br>设置特权密码enable secret password<br>设置路由器名hostname name<br>设置静态路由ip route destination subnet-mask next-hop<br>启动IP路由ip routing<br>启动IPX路由Ipx routing<br>端口设置interface type slot/number<br>设置IP地址ip address address subnet-mask<br>设置IPX网络Ipx network network<br>激活端口no shutdown<br>物理线路设置line type number<br>启动登录进程login [local|tacacs server]<br>设置登录密码password password<br><br>四、总体设置<br>在router#特权命令状态下,可以用setup对路由器进行总体设计,利用这个设计过程可以省略手工设置的烦琐。但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。<br>进入设置对话过程后,路由器首先会显示一些提示信息:<br>&#45;&#45;- System Configuration Dialog &#45;&#45;-<br><br>At any point you may enter a question mark &#39;?&#39; for help.<br>Use ctrl-c to abort configuration dialog at any prompt.<br>Default settings are in square brackets &#39;[]&#39;.<br>这是告诉你在设置对话过程中的任何地方都可以键入“?”得到系统的帮助,按ctrl-c可以退出设置过程,缺省设置将显示在‘[]’中。然后路由器会问是否进入设置对话:<br>Would you like to enter the initial configuration dialog? [yes]:<br>如果按y或回车,路由器就会进入设置对话过程。首先你可以看到各端口当前的状况:<br>First, would you like to see the current interface summary? [yes]:<br><br>Any interface listed with OK? value &quot;NO&quot; does not have a valid configuration<br>InterfaceIP-AddressOK?MethodStatusProtocol<br>Ethernet0unassignedNOunsetupup<br>Serial0unassignedNOunsetupup<br>……………………………<br>然后,路由器就开始全局参数的设置:<br>Configuring global parameters:<br>1.设置路由器名:<br>Enter host name [Router]:<br>2.设置进入特权状态的密文&#40;secret&#41;,此密文在设置以后不会以明文方式显示:<br>The enable secret is a one-way cryptographic secret used<br>instead of the enable password when it exists.<br>Enter enable secret: cisco<br>3.设置进入特权状态的密码&#40;password&#41;,此密码只在没有密文时起作用,并且在设置以后会以明文方式显示:<br>The enable password is used when there is no enable secret<br>and when using older software and some boot images.<br>Enter enable password: pass<br>4.设置虚拟终端访问时的密码:<br>Enter virtual terminal password: cisco<br>5.询问是否要设置路由器支持的各种网络协议:<br>Configure SNMP Network Management? [yes]: <br>Configure DECnet? [no]:<br>Configure AppleTalk? [no]:<br>Configure IPX? [no]:<br>Configure IP? [yes]:<br>Configure IGRP routing? [yes]:<br>Configure RIP routing? [no]:<br>………<br>6.如果配置的是拨号访问服务器,系统还会设置异步口的参数:<br>Configure Async lines? [yes]:<br>1&#41;设置线路的最高速度:<br>Async line speed [9600]:<br>2&#41;是否使用硬件流控:<br>Configure for HW flow control? [yes]:<br>3&#41;是否设置modem:<br>Configure for modems? [yes/no]: yes<br>4&#41;是否使用默认的modem命令:<br>Configure for default chat script? [yes]:<br>5&#41;是否设置异步口的PPP参数:<br>Configure for Dial-in IP SLIP/PPP access? [no]: yes<br>6&#41;是否使用动态IP地址:<br>Configure for Dynamic IP addresses? [yes]:<br>7&#41;是否使用缺省IP地址:<br>Configure Default IP addresses? [no]: yes<br>8&#41;是否使用TCP头压缩:<br>Configure for TCP Header Compression? [yes]:<br>9&#41;是否在异步口上使用路由表更新:<br>Configure for routing updates on async links? [no]: y<br>10&#41;是否设置异步口上的其它协议。<br>接下来,系统会对每个接口进行参数的设置。<br>1.Configuring interface Ethernet0:<br>1&#41;是否使用此接口:<br>Is this interface in use? [yes]:<br>2&#41;是否设置此接口的IP参数:<br>Configure IP on this interface? [yes]:<br>3&#41;设置接口的IP地址:<br>IP address for this interface: 192.168.162.2<br>4&#41;设置接口的IP子网掩码:<br>Number of bits in subnet field [0]:<br>Class C network is 192.168.162.0, 0 subnet bits&amp;#59; mask is /24<br>在设置完所有接口的参数后,系统会把整个设置对话过程的结果显示出来:<br>The following configuration command script was created:<br><br>hostname Router<br>enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1<br>enable password pass<br>…………<br>请注意在enable secret后面显示的是乱码,而enable password后面显示的是设置的内容。就是说,secret密码的优先级比较高,在两个密码都设了的情况下,secret密码起作用。<br>显示结束后,系统会问是否使用这个设置:<br>Use this configuration? [yes/no]: yes<br>如果回答yes,系统就会把设置的结果存入路由器的NVRAM中,然后结束设置对话过程,使路由器开始正常的工作。<br><br>广域网协议设置<br>PPP<br>PPP&#40;Point-to-Point Protocol&#41;是SLIP&#40;Serial Line IP protocol&#41;的继承者,它提供了跨过同步和异步电路实现路由器到路由器&#40;router-to-router&#41;和主机到网络&#40;host-to-network&#41;的连接。<br><br>CHAP&#40;Challenge Handshake Authentication Protocol&#41;和PAP&#40;Password Authentication Protocol&#41; &#40;PAP&#41;通常被用于在PPP封装的串行线路上提供安全性认证。使用CHAP和PAP认证,每个路由器通过名字来识别,可以防止未经授权的访问。<br>任务命令<br>设置PPP封装encapsulation ppp1<br>设置认证方法ppp authentication {chap | chap pap | pap chap | pap} [if-needed] [list-name | default] [callin] <br>指定口令username name password secret<br>设置DCE端线路速度clockrate speed<br><br><br>举例<br>路由器Router1和Router2的S0口均封装PPP协议,采用CHAP做认证,在Router1中应建立一个用户,以对端路由器主机名作为用户名,即用户名应为router2。同时在Router2中应建立一个用户,以对端路由器主机名作为用户名,即用户名应为router1。所建的这两用户的password必须相同。<br><br><br><br>设置如下:<br>Router1:<br>hostname router1<br>username router2 password xxx<br>interface Serial0<br>ip address 192.200.10.1 255.255.255.0<br>clockrate 1000000<br>ppp authentication chap<br>!<br><br>Router2:<br>hostname router2<br>username router1 password xxx<br>interface Serial0<br>ip address 192.200.10.2 255.255.255.0<br>ppp authentication chap<br>!<br><br>ISDN<br>1.综合数字业务网(ISDN)<br>综合数字业务网(ISDN)由数字电话和数据传输服务两部分组成,一般由电话局提供这种服务。ISDN的基本速率接口(BRI)服务提供2个B信道和1个D信道(2B+D)。BRI的B信道速率为64Kbps,用于传输用户数据。D信道的速率为16Kbps,主要传输控制信号。在北美和日本,ISDN的主速率接口(PRI)提供23个B信道和1个D信道,总速率可达1.544Mbps,其中D信道速率为64Kbps。而在欧洲、澳大利亚等国家,ISDN的PRI提供30个B信道和1个64Kbps D信道,总速率可达2.048Mbps。我国电话局所提供ISDN PRI为30B+D。<br><br>2.基本命令<br><br>任务命令<br>设置ISDN交换类型isdn switch-type switch-type1<br>接口设置interface bri 0<br>设置PPP封装encapsulation ppp<br>设置协议地址与电话号码的映射dialer map protocol next-hop-address [name hostname] [broadcast] [dial-string]<br>启动PPP多连接ppp multilink<br>设置启动另一个B通道的阈值dialer load-threshold load<br>显示ISDN有关信息show isdn {active | history | memory | services | status [dsl | interface-type number] | timers}<br><br>注:1.交换机类型如下表,国内交换机一般为basic-net3。<br>按区域分关键字 交换机类型<br>Australia<br>basic-ts013 Australian TS013 switches<br>Europe<br>basic-1tr6 German 1TR6 ISDN switches <br>basic-nwnet3 Norway NET3 switches &#40;phase 1&#41; <br>basic-net3 NET3 ISDN switches &#40;UK, Denmark, and other nations&#41;&amp;#59; covers the Euro-ISDN E-DSS1 signalling system <br>primary-net5 NET5 switches &#40;UK and Europe&#41; <br>vn2 French VN2 ISDN switches <br>vn3 French VN3 ISDN switches<br>Japan<br>ntt Japanese NTT ISDN switches <br>primary-ntt Japanese ISDN PRI switches<br>North America<br>basic-5ess AT&amp;T basic rate switches <br>basic-dms100 NT DMS-100 basic rate switches <br>basic-ni1 National ISDN-1 switches <br>primary-4ess AT&amp;T 4ESS switch type for the U.S. &#40;ISDN PRI only&#41; <br>primary-5ess AT&amp;T 5ESS switch type for the U.S. &#40;ISDN PRI only&#41; <br>primary-dms100 NT DMS-100 switch type for the U.S. &#40;ISDN PRI only&#41;<br>New Zealand<br>basic-nznet3 New Zealand Net3 switches<br><br>3.ISDN实现DDR(dial-on-demand routing)实例:<br>设置如下:<br>Router1:<br>hostname router1<br>user router2 password cisco<br>!<br>isdn switch-type basic-net3<br>!<br>interface bri 0<br>ip address 192.200.10.1 255.255.255.0<br>encapsulation ppp<br>dialer map ip 192.200.10.2 name router2 572<br>dialer load-threshold 80<br>ppp multilink<br>dialer-group 1<br>ppp authentication chap<br>!<br>dialer-list 1 protocol ip permit<br>!<br>Router2:<br>hostname router2<br>user router1 password cisco<br>!<br>isdn switch-type basic-net3<br>!<br>interface bri 0<br>ip address 192.200.10.2 255.255.255.0<br>encapsulation ppp<br>dialer map ip 192.200.10.1 name router1 571<br>dialer load-threshold 80 <br>ppp multilink<br>dialer-group 1<br>ppp authentication chap<br>!<br>dialer-list 1 protocol ip permit<br>!<br><br><br>Cisco路由器同时支持回拨功能,我们将路由器Router1作为Callback Server,Router2作为Callback Client。<br><br>与回拨相关命令:<br>任务命令<br>映射协议地址和电话号码,并在接口上使用在全局模式下定义的PPP回拨的映射类别。dialer map protocol address name hostname class classname dial-string<br>设置接口支持PPP回拨ppp callback accept<br>在全局模式下为PPP回拨设置映射类别map-class dialer classname<br>通过查找注册在dialer map里的主机名来决定回拨. dialer callback-server [username]<br>设置接口要求PPP回拨ppp callback request <br><br>设置如下:<br>Router1:<br>hostname router1<br>user router2 password cisco<br>!<br>isdn switch-type basic-net3<br>!<br>interface bri 0<br>ip address 192.200.10.1 255.255.255.0<br>encapsulation ppp<br>dialer map ip 192.200.10.2 name router2 class s3 572<br>dialer load-threshold 80<br>ppp callback accept<br>ppp multilink<br>dialer-group 1<br>ppp authentication chap<br>!<br>map-class dialer s3<br>dialer callback-server username<br>dialer-list 1 protocol ip permit<br>!<br><br>Router2:<br>hostname router2<br>user router1 password cisco<br>!<br>isdn switch-type basic-net3<br>!<br>interface bri 0<br>ip address 192.200.10.2 255.255.255.0<br>encapsulation ppp<br>dialer map ip 192.200.10.1 name router1 571<br>dialer load-threshold 80<br>ppp callback request <br>ppp multilink<br>dialer-group 1<br>ppp authentication chap<br>!<br>dialer-list 1 protocol ip permit<br>!<br>相关调试命令:<br>debug dialer<br>debug isdn event<br>debug isdn q921<br>debug isdn q931<br>debug ppp authentication<br>debug ppp error<br>debug ppp negotiation<br>debug ppp packet<br>show dialer<br>show isdn status<br><br>举例:执行debug dialer命令观察router2呼叫router1,router1回拨router2的过程.<br>router1#debug dialer<br>router2#ping 192.200.10.1<br><br>router1#<br>00:03:50: &#37;LINK-3-UPDOWN: Interface BRI0:1, changed state to up<br>00:03:50: BRI0:1:PPP callback Callback server starting to router2 572<br>00:03:50: BRI0:1: disconnecting call<br>00:03:50: &#37;LINK-3-UPDOWN: Interface BRI0:1, changed state to down<br>00:03:50: BRI0:1: disconnecting call<br>00:03:50: BRI0:1: disconnecting call<br>00:03:51: &#37;LINK-3-UPDOWN: Interface BRI0:2, changed state to up<br>00:03:52: callback to router2 already started<br>00:03:52: BRI0:2: disconnecting call<br>00:03:52: &#37;LINK-3-UPDOWN: Interface BRI0:2, changed state to down<br>00:03:52: BRI0:2: disconnecting call<br>00:03:52: BRI0:2: disconnecting call<br>00:04:05: : Callback timer expired<br>00:04:05: BRI0:beginning callback to router2 572<br>00:04:05: BRI0: Attempting to dial 572<br>00:04:05: Freeing callback to router2 572<br>00:04:05: &#37;LINK-3-UPDOWN: Interface BRI0:1, changed state to up<br>00:04:05: BRI0:1: No callback negotiated<br>00:04:05: &#37;LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up<br>00:04:05: dialer Protocol up for Vi1<br>00:04:06: &#37;LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed state<br>to up<br>00:04:06: &#37;LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, chang<br>ed state to up<br>00:04:11: &#37;ISDN-6-CONNECT: Interface BRI0:1 is now connected to 572<br>#router1<br><br>4.ISDN访问首都在线263网实例:<br>本地局部网地址为10.0.0.0/24,属于保留地址,通过NAT地址翻译功能,局域网用户可以通过ISDN上263网访问Internet。263的ISDN电话号码为2633,用户为263,口令为263,所涉及的命令如下表:<br><br>任务命令<br>指定接口通过PPP/IPCP地址协商获得IP地址ip address negotiated<br>指定内部和外部端口ip nat {inside | outside}<br>使用ppp/pap作认证ppp authentication pap callin<br>指定接口属于拨号组1dialer-group 1<br>定义拨号组1允许所有IP协议dialer-list 1 protocol ip permit<br>设定拨号,号码为2633dialer string 2633 <br>设定登录263的用户名和口令ppp pap sent-username 263 password 263<br>设定默认路由ip route 0.0.0.0 0.0.0.0 bri 0<br>设定符合访问列表2的所有源地址被翻译为bri 0所拥有的地址ip nat inside source list 2 interface bri 0 overload<br>设定访问列表2,允许所有协议access-list 2 permit any<br><br>具体配置如下:<br>hostname Cisco2503<br>!<br>isdn switch-type basic-net3<br>!<br>ip subnet-zero<br>no ip domain-lookup<br>ip routing<br>!<br>interface Ethernet 0<br>ip address 10.0.0.1 255.255.255.0<br>ip nat inside<br>no shutdown<br>!<br>interface Serial 0<br>shutdown<br>no description<br>no ip address<br>!<br>interface Serial 1<br>shutdown<br>no description<br>no ip address<br>!<br>interface bri 0<br>ip address negotiated<br>ip nat outside<br>encapsulation ppp<br>ppp authentication pap callin<br>ppp multilink<br>dialer-group 1<br>dialer hold-queue 10<br>dialer string 2633 <br>dialer idle-timeout 120<br>ppp pap sent-username 263 password 263 <br>no cdp enable<br>no ip split-horizon<br>no shutdown<br>!<br>ip classless<br>!<br>! Static Routes<br>!<br>ip route 0.0.0.0 0.0.0.0 bri 0<br>!<br>! Access Control List 2<br>!<br>access-list 2 permit any<br>!<br>dialer-list 1 protocol ip permit<br>!<br>! Dynamic NAT<br>!<br>ip nat inside source list 2 interface bri 0 overload<br>snmp-server community public ro<br>!<br>line console 0<br>exec-timeout 0 0<br>!<br>line vty 0 4<br>!<br>end<br>路由协议配置<br><br>RIP协议<br>RIP&#40;Routing information Protocol&#41;是应用较早、使用较普遍的内部网关协议&#40;Interior Gateway Protocol,简称IGP&#41;,适用于小型同类网络,是典型的距离向量&#40;distance-vector&#41;协议。文档见RFC1058、RFC1723。<br><br>RIP通过广播UDP报文来交换路由信息,每30秒发送一次路由信息更新。RIP提供跳跃计数&#40;hop count&#41;作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器,但跳跃计数相同,则RIP认为两个路由是等距离的。RIP最多支持的跳数为15,即在源和目的网间所要经过的最多路由器的数目为15,跳数16表示不可达。<br><br>1.有关命令<br><br>任务命令<br>指定使用RIP协议router rip<br>指定RIP版本version {1|2}1<br>指定与该路由器相连的网络network network<br>注:1.Cisco的RIP版本2支持验证、密钥管理、路由汇总、无类域间路由&#40;CIDR&#41;和变长子网掩码&#40;VLSMs&#41;<br><br>2.举例<br>Router1:<br><br>router rip<br>version 2<br>network 192.200.10.0<br>network 192.20.10.0<br>!<br>相关调试命令:<br>show ip protocol<br>show ip route<br>IGRP协议<br>IGRP &#40;Interior Gateway Routing Protocol&#41;是一种动态距离向量路由协议,它由Cisco公司八十年代中期设计。使用组合用户配置尺度,包括延迟、带宽、可靠性和负载。<br><br>缺省情况下,IGRP每90秒发送一次路由更新广播,在3个更新周期内&#40;即270秒&#41;,没有从路由中的第一个路由器接收到更新,则宣布路由不可访问。在7个更新周期即630秒后,Cisco IOS 软件从路由表中清除路由。<br><br>1.有关命令<br><br>任务命令<br>指定使用igrp协议router igrp autonomous-system1<br>指定与该路由器相连的网络network network<br>指定与该路由器相邻的节点地址neighbor ip-address<br>注:1、autonomous-system可以随意建立,并非实际意义上的autonomous-system,但运行IGRP的路由器要想交换路由更新信息其autonomous-system需相同。<br><br>2.举例<br>Router1:<br>router igrp 200<br>network 192.200.10.0<br>network 192.20.10.0<br>!<br><br><br>虚拟局域网&#40;VLAN&#41;<br>当前在我们构造企业网络时所采用的主干网络技术一般都是基于交换和虚拟网络的。交换技术将共享介质改为独占介质,大大提高网络速度。虚拟网络技术打破了地理环境的制约,在不改动网络物理连接的情况下可以任意将工作站在工作组或子网之间移动,工作站组成逻辑工作组或虚拟子网,提高信息系统的运作性能,均衡网络数据流量,合理利用硬件及信息资源。同时,利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低网络维护费用。随着虚拟网络技术的应用,随之必然产生了在虚拟网间如何通讯的问题.<br><br>交换机间链路(ISL)协议<br>ISL&#40;Interior Switching Link&#41;协议用于实现交换机间的VLAN中继。它是一个信息包标记协议,在支持ISL接口上发送的帧由一个标准以太网帧及相关的VLAN信息组成。如下图所示,在支持ISL的接口上可以传送来自不同VLAN的数据。<br>虚拟局域网(VLAN)路由实例<br>3.1. 例一:<br>设备选用Catalyst5500交换机1台,安装WS-X5530-E3管理引擎,多块WS-X5225R及WS-X5302路由交换模块,WS-X5302被直接插入交换机,通过二个通道与系统背板上的VLAN 相连,从用户角度看认为它是1个1接口的模块,此接口支持ISL。在交换机内划有3个虚拟网,分别名为default、qbw、rgw,通过WS-X5302实现虚拟网间路由。<br>以下加重下横线部分,如set system name 5500C为需设置的命令。<br><br>设置如下:<br>Catalyst 5500配置:<br><br>begin<br>set password $1$FMFQ$HfZR5DUszVHIRhrz4h6V70<br>set enablepass $1$FMFQ$HfZR5DUszVHIRhrz4h6V70<br>set prompt Console&gt; <br>set length 24 default<br>set logout 20<br>set banner motd ^C^C<br>!<br>#system<br>set system baud 9600<br>set system modem disable<br>set system name 5500C<br>set system location <br>set system contact <br>!<br>#ip<br>set interface sc0 1 10.230.4.240 255.255.255.0 10.230.4.255<br><br>set interface sc0 up<br>set interface sl0 0.0.0.0 0.0.0.0<br>set interface sl0 up<br>set arp agingtime 1200<br>set ip redirect enable<br>set ip unreachable enable<br>set ip fragmentation enable<br>set ip route 0.0.0.0 10.230.4.15 1<br>set ip alias default 0.0.0.0<br>!<br>#Command alias<br>!<br>#vtp<br>set vtp domain hne<br>set vtp mode server<br>set vtp v2 disable<br>set vtp pruning disable<br>set vtp pruneeligible 2-1000<br>clear vtp pruneeligible 1001-1005<br>set vlan 1 name default type ethernet mtu 1500 said 100001 state active <br>set vlan 777 name rgw type ethernet mtu 1500 said 100777 state active <br>set vlan 888 name qbw type ethernet mtu 1500 said 100888 state active <br>set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active <br>set vlan 1004 name fddinet-default type fddinet mtu 1500 said 101004 state active bridge 0x0 stp ieee <br>set vlan 1005 name trnet-default type trbrf mtu 1500 said 101005 state active bridge 0x0 stp ibm <br>set vlan 1003 name token-ring-default type trcrf mtu 1500 said 101003 state active parent 0 ring 0x0 mode srb aremaxhop 7 stemaxhop 7 <br>!<br>#set boot command<br>set boot config-register 0x102<br>set boot system flash bootflash:cat5000-sup3.4-3-1a.bin<br>!<br>#module 1 : 2-port 1000BaseLX Supervisor<br>set module name 1 <br>set vlan 1 1/1-2<br>set port enable 1/1-2<br>!<br>#module 2 : empty<br>!<br>#module 3 : 24-port 10/100BaseTX Ethernet<br>set module name 3 <br>set module enable 3<br>set vlan 1 3/1-22<br>set vlan 777 3/23<br>set vlan 888 3/24<br>set trunk 3/1 on isl 1-1005<br>#module 4 empty<br>!<br>#module 5 empty<br>!<br>#module 6 : 1-port Route Switch<br>set module name 6 <br>set port level 6/1 normal<br>set port trap 6/1 disable<br>set port name 6/1<br>set cdp enable 6/1<br>set cdp interval 6/1 60<br>set trunk 6/1 on isl 1-1005<br>!<br>#module 7 : 24-port 10/100BaseTX Ethernet<br>set module name 7 <br>set module enable 7<br>set vlan 1 7/1-22<br>set vlan 888 7/23-24<br>set trunk 7/1 on isl 1-1005<br>set trunk 7/2 on isl 1-1005<br>!<br>#module 8 empty<br>!<br>#module 9 empty<br>!<br>#module 10 : 12-port 100BaseFX MM Ethernet<br>set module name 10 <br>set module enable 10<br>set vlan 1 10/1-12<br>set port channel 10/1-4 off<br>set port channel 10/5-8 off<br>set port channel 10/9-12 off<br>set port channel 10/1-2 on<br>set port channel 10/3-4 on<br>set port channel 10/5-6 on<br>set port channel 10/7-8 on<br>set port channel 10/9-10 on<br>set port channel 10/11-12 on<br>#module 11 empty<br>!<br>#module 12 empty<br>!<br>#module 13 empty<br>!<br>#switch port analyzer<br>!set span 1 1/1 both inpkts disable<br>set span disable<br>!<br>#cam<br>set cam agingtime 1-2,777,888,1003,1005 300<br>end<br>5500C&gt;  &#40;enable&#41; <br><br>WS-X5302路由模块设置:<br><br>Router#wri t<br>Building configuration...<br><br>Current configuration:<br>!<br>version 11.2<br>no service password-encryption<br>no service udp-small-servers<br>no service tcp-small-servers<br>!<br>hostname Router<br>!<br>enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6.<br>!<br>ip subnet-zero<br>!<br>interface Vlan1<br>ip address 10.230.2.56 255.255.255.0<br>!<br>interface Vlan777<br>ip address 10.230.3.56 255.255.255.0<br>!<br>interface Vlan888<br>ip address 10.230.4.56 255.255.255.0<br>!<br>no ip classless<br>!<br>line con 0<br>line aux 0<br>line vty 0 4<br>password router<br>login<br>!<br>end<br>Router#<br><br>3.1. 例二:<br>交换设备仍选用Catalyst5500交换机1台,安装WS-X5530-E3管理引擎,多块WS-X5225R在交换机内划有3个虚拟网,分别名为default、qbw、rgw,通过Cisco3640路由器实现虚拟网间路由。交换机设置与例一类似。<br>路由器Cisco3640,配有一块NM-1FE-TX模块,此模块带有一个快速以太网接口可以支持ISL。Cisco3640快速以太网接口与交换机上的某一支持ISL的端口实现连接,如交换机第3槽第1个接口(3/1口)。<br><br>Router#wri t<br>Building configuration...<br><br>Current configuration:<br>!<br>version 11.2<br>no service password-encryption<br>no service udp-small-servers<br>no service tcp-small-servers<br>!<br>hostname Router<br>!<br>enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6.<br>!<br>ip subnet-zero<br>!<br>interface FastEthernet1/0<br>!<br>interface FastEthernet1/0.1<br>encapsulation isl 1<br>ip address 10.230.2.56 255.255.255.0<br>!<br>interface FastEthernet1/0.2<br>encapsulation isl 777<br>ip address 10.230.3.56 255.255.255.0<br>!<br>interface FastEthernet1/0.3<br>encapsulation isl 888<br>ip address 10.230.4.56 255.255.255.0<br>!<br>no ip classless<br>!<br>line con 0<br>line aux 0<br>line vty 0 4<br>password router<br>login<br>!<br>end<br>Router#<br><br><br><br>安全性管理<br><br>对路由器的安全性管理主要包括:建立口令以保护访问路由器的安全,使用正确的访问表以管理通过路由器的可接受数据流等。<br>1、口令管理<br>下面显示了设置控制从终端进行访问的口令的命令。<br>命令 操作效果<br>Line console 0 为控制台终端建立一个口令<br>Line vty 0 4 telnet连接建立一个口令<br>Enable-password 为特权exec模式建立一个口令<br>Enable-secret 使用MD5加密方法建立密码口令<br>Service password-encryption 保护口令,避免其通过idsplay命令将口令显示出来<br>2、报文过滤<br>cisco的防火墙功能主要是通过报文的过滤实现的。<br>它可以实现对多种数据流的控制,如限制流入、以及流出等。通过对访问列表的编写,我们可以实现对特定网络或主机的数据流限制。<br>Accsess-list 的编号有特定的范围:<br><br>&lt; 1-99&gt;  IP standard access list<br>&lt; 100-199&gt;  IP extended access list<br>&lt; 1100-1199&gt;  Extended 48-bit MAC address access list<br>&lt; 200-299&gt;  Protocol type-code access list<br>&lt; 700-799&gt;  48-bit MAC address access list <br>例如我们可以定义如下的访问表来实现允许任何主机到主机160..10.2.101的报文:<br>Accsess-list 101 permit ip any host 160.10.2.101<br>而下面的语句允许使用客户源端口(小于1024的端口留给服务器用)方式的主机发往160.10.2.100的udp报文通过,且报文的目的端口必须为dns端口(53)。其中gt为great than。<br>Accsess-list 101 permit udp any gt 1023 host 160.10.2.100 eq 53<br>建立好访问列表以后,要想让它进行报文过滤,必须将它应用到端口上。在进入要控制的端口后,用如下的命令应用此访问表:<br>router&#40;config-if&#41;#ip access-group 101 in<br>其中的in表示对向里(针对此端口来说)的数据进行过滤。要注意的是,一个端口只能有一个向里和向外的列表,如果有几个,则只有第一个起作用。<br><br><br><br><br><br>参考:<br>Cisco路由器口令恢复<br>当Cisco路由器的口令被错误修改或忘记时,可以按如下步骤进行操作:<br>1.开机时按&lt; Ctrl+Break&gt; 使进入ROM监控状态<br>2.按o 命令读取配置寄存器的原始值<br>&gt;  o<br>3.作如下设置,使忽略NVRAM引导<br>&gt; o/r0x**4*Cisco2500系列命令<br>rommon 1 &gt; confreg 0x**4*Cisco2600、1600系列命令<br>一般正常值为0x2102<br>4.重新启动路由器<br>&gt; I<br>rommon 2 &gt; reset<br>5.在“Setup”模式,对所有问题回答No<br>6.进入特权模式<br>Router&gt; enable<br>7.下载NVRAM<br>Router&gt; configure memory<br>8.恢复原始配置寄存器值并激活所有端口<br>“hostname”#configure terminal<br>“hostname”&#40;config&#41;#config-register 0x“value”<br>“hostname”&#40;config&#41;#interface xx<br>“hostname”&#40;config&#41;#no shutdown<br>9.查询并记录丢失的口令<br>“hostname”#show configuration &#40;show startup-config&#41;<br>10.修改口令<br>“hostname”#configure terminal<br>“hostname”&#40;config&#41;line console 0<br>“hostname”&#40;config-line&#41;#login<br>“hostname”&#40;config-line&#41;#password xxxxxxxxx<br>“hostname”&#40;config-line&#41;#&lt; ctrl+z&gt; <br>“hostname”&#40;config-line&#41;#write memory&#40;copy running-config startup-config&#41;<br> <br> <br> <br>
发表于 2004-11-9 14:22:28 | 显示全部楼层
很详细,够消化好一阵子了!<br>顶一下老大先!
发表于 2004-11-9 17:49:21 | 显示全部楼层
COPY回去有空做个软件
发表于 2004-11-9 19:06:35 | 显示全部楼层
内容好多的说!<br>楼上的还会做软件,好强的说!<br>看样子,na的知识还真不少啊!<br>抓紧时间看完书就可以练习这些命令了!down下收藏![em2]
发表于 2004-11-9 19:22:31 | 显示全部楼层
老大你咋不早帖呢。。。
发表于 2005-10-19 03:10:58 | 显示全部楼层
老大,太强了,心悦诚服
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-12-22 18:36 , Processed in 0.092969 second(s), 19 queries , Gzip On.

快速回复 返回顶部 返回列表