無論在國內(nèi)市場還是國際市場，CISCO交換機(jī)、路由器在網(wǎng)絡(luò)設(shè)備領(lǐng)域都占據(jù)了主導(dǎo)地位。本文主要總結(jié)交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備相關(guān)的概念以及CISCO設(shè)備常用配置命令，以便記錄和學(xué)習(xí)。

文章目錄

• • 一、基礎(chǔ)概念
  • • (一) 交換機(jī)與集線器
    • (二) VLAN標(biāo)簽
    • (三) 管理方式
    • (四) 工作模式
    • (五) 加密級別
  • 二、配置命令
  • • (一) 基本配置
    • (二) 配置DHCP
    • (三) 劃分VLAN
    • (四) 配置VTP
    • (五) 配置ACL
    • (六) 端口鏡像
    • (七) GRE隧道
    • (八) NAT配置

一、基礎(chǔ)概念

(一) 交換機(jī)與集線器

交換機(jī)工作在鏈路層或網(wǎng)絡(luò)層，這和工作在物理層的集線器有本質(zhì)上的區(qū)別：

• 集線器 (Hub)：內(nèi)部本質(zhì)是總線型拓?fù)?#xff0c;數(shù)據(jù)轉(zhuǎn)發(fā)只能通過廣播的形式，端口之間通道為半雙工通信，所有端口存在于同一個沖突域
• 二層交換機(jī) (Switch)：通過自學(xué)習(xí)建立“MAC-端口”對應(yīng)表，從而可以實現(xiàn)單播，端口之間為全雙工通信，這樣得以將每個端口沖突域相隔離
• 三層交換機(jī) (Router)：具有路由功能的交換機(jī)，可以簡單理解為在二層交換機(jī)的基礎(chǔ)上添加了路由模塊

盡管交換機(jī)有“MAC-端口”對應(yīng)表，而且端口間為全雙工通信，但這只是隔離了沖突域，并不能隔離廣播域，對于ARP、DHCP等廣播包一樣會廣播到所有端口，所以當(dāng)鏈路復(fù)雜時一樣容易產(chǎn)生廣播風(fēng)暴，對此有效的解決方法就是配置VLAN，每個VLAN都是一個獨立的廣播域，可以有效避免廣播風(fēng)暴。

(二) VLAN標(biāo)簽

要使交換機(jī)能夠分辨不同的VLAN報文，需要在報文中添加標(biāo)識VLAN信息的字段，即VLAN標(biāo)簽 (VLAN Tag) ，這個過程需要使用IEEE 802.1Q協(xié)議封裝幀頭，只能由交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備實現(xiàn)。協(xié)議規(guī)定在以太網(wǎng)數(shù)據(jù)幀的目的MAC地址和源MAC地址字段之后、協(xié)議類型字段之前加入4個字節(jié)的VLAN Tag，用以標(biāo)識VLAN信息，如下圖所示：

主機(jī)、集線器收發(fā)的數(shù)據(jù)包中無VLAN Tag，交換機(jī)、路由器等設(shè)備收發(fā)的數(shù)據(jù)包中可以有，也可以沒有VLAN Tag。VLAN Tag是二層的概念，如果需要三層設(shè)備處理VLAN Tag，就需要配置其二層功能，否則收到攜帶VLAN Tag的數(shù)據(jù)包無法正常識別和處理，例如路由器的三層接口如果不配置虛擬子接口，或者在三層交換機(jī)上關(guān)閉接口二層、開啟三層功能，這些情況下接口都無法正常處理攜帶VLAN Tag的數(shù)據(jù)包。

CISCO交換機(jī)不同類型的接口 (鏈路) 在收發(fā)Tag/Untag報文時處理方式不同：

• Access接口：一般用于和不能識別Tag的用戶終端（如用戶主機(jī)、服務(wù)器等）相連，只能收發(fā)Untag幀，且只能為Untag幀添加唯一VLAN的Tag
• Trunk端口：一般用于連接交換機(jī)、路由器等可同時收發(fā)Tag和Untag報文的設(shè)備，可以允許多個VLAN的報文攜帶Tag通過

(三) 管理方式

對于交換機(jī)、路由器等CISCO設(shè)備，很多配置命令都是通用的，這兩類網(wǎng)絡(luò)設(shè)備管理的模式也是相同的：

• Console接口：設(shè)備的控制臺接入端口，一般為RJ45接口，管理員通過“Console轉(zhuǎn)串口”或“Console轉(zhuǎn)USB”數(shù)據(jù)線，一端接交換機(jī)另一端接PC控制端，在本地進(jìn)行管理
• AUX接口：輔助接口，用于遠(yuǎn)程配置，很少使用
• 虛擬終端 (vty)：通過Telnet、SSH等遠(yuǎn)程連接交換機(jī)時分配，需要先通過Console接口配置才能使用
• WEB界面：通過WEB界面管理設(shè)備，需要先通過Console接口或其他方式將WEB服務(wù)啟用

(四) 工作模式

CISCO設(shè)備四種基本的工作模式，分別如下：

• 用戶模式 >：低權(quán)限用戶接入交換機(jī)的初始工作模式
• 特權(quán)模式 #：用戶模式下輸入命令 enable 進(jìn)入特權(quán)模式
• 全局配置模式 (config)#：特權(quán)模式下輸入命令 configuration terminal 進(jìn)入全局配置模式
• 接口配置模式 (config-if)#：全局配置模式下選擇具體接口進(jìn)入接口配置模式，如：int f0/1-4

CISCO設(shè)備特權(quán)級別范圍 0-15，級別≥3時，用戶登入交換機(jī)即特權(quán)模式，不用輸入enable命令和特權(quán)模式的密碼。當(dāng)用戶處于較低權(quán)限級別，通過enable命令默認(rèn)進(jìn)入15級最高權(quán)限。

(五) 加密級別

不同系列的設(shè)備支持的加密方式不同，常見如下：

• 0：不加密，顯示密碼本身
• 5：MD5哈希加密
• 7：CISCO加密，可以逆轉(zhuǎn)破解，安全性低
• 8：PBKDF2哈希加密
• 9：SCRYPT哈希加密

二、配置命令

(一) 基本配置

[<command>] ? —> 幫助命令，常用于查看子命令
no <command> —> 取消command相應(yīng)的配置
include —> 結(jié)合管道符|使用，提取信息
exit —> 退出當(dāng)前模式

SW> enable <level> // 提升權(quán)限至level，默認(rèn)進(jìn)入15級特權(quán)模式SW# show users // 查看當(dāng)前登陸用戶，主要包括console和vty// 有*標(biāo)注的代表自己當(dāng)前登錄用的模式 SW# show privilege // 顯示當(dāng)前用戶權(quán)限等級SW# show running-config // 顯示當(dāng)前設(shè)備所有配置SW# show version // 顯示設(shè)備版本、系統(tǒng)等信息SW# show vlan brief // 簡潔顯示所有VLAN狀態(tài)、名稱SW# show ip interface brief // 簡潔顯示所有接口(包括虛擬接口)分配IP和激活狀態(tài)SW# show ip route // 查看路由表(三層設(shè)備)SW# show ip protocols // 查看IP路由協(xié)議配置參數(shù)和運行情況SW# show arp // 查看“ARP-IP-Interface”對應(yīng)表(三層設(shè)備)SW# show access-lists // 查看ACL規(guī)則(三層設(shè)備)SW# show vtp status // 查看VTP狀態(tài)信息SW# show monitor // 查看端口鏡像配置(交換機(jī))SW# show mac address-table // 查看交換機(jī)“MAC-接口”對應(yīng)表// 可以以此判斷接口下接主機(jī)情況，但注意轉(zhuǎn)換表有過期時間，信息可能不完整SW# show cdp neighbors detail // CDP(Cisco Discovery Protocol)是CISCO專有協(xié)議，用于查看相鄰設(shè)備的配置信息// 查看與交換機(jī)連接設(shè)備的主機(jī)名、型號、接口、IP等詳細(xì)信息SW# config terminal // 進(jìn)入全局配置模式SW# write // 保存配置信息// 配置信息保存在運行配置中，而重啟后是按照啟動配置運行的，所以配置后要保存SW# debug // 進(jìn)入debug調(diào)試模式，可以查看通過設(shè)備的相關(guān)數(shù)據(jù)包的收發(fā)情況SW(config)# hostname <hostname> // 配置設(shè)備名稱SW(config)# service password-encryption // 開啟加密服務(wù)，采用CISCO私有算法加密存儲密碼SW(config)# username <name> privilege <level> {secret|password} <num> <pass> //配置設(shè)備名稱// privilege有16個等級：0-15，等級越高權(quán)限越大// secret代表加密，<num>代表不同的加密算法// password代表不加密，在show run時直接可見密碼明文// 如果開啟password-encryption服務(wù)，則password設(shè)置的密碼會被加密// secret命令優(yōu)先級大于password，若同時設(shè)置則secret命令生效SW(config)# enable {secret|password} <num> <pass> // 設(shè)置低權(quán)限用戶進(jìn)入特權(quán)模式的密碼SW(config)# line console 0 // line表示接入交換機(jī)的線路，通常包括console和vty// 對控制臺接口進(jìn)行配置，0代表console端口號// 命令執(zhí)行后進(jìn)入SW(config-if)#配置模式SW(config)# line vty 0 4 // 對虛擬終端進(jìn)行配置，0-4代表5個虛擬終端 // 命令執(zhí)行后進(jìn)入SW(config-if)#配置模式 SW(config-line)# password <pass> // 配置進(jìn)入當(dāng)前模式(console/vty)需要的密碼SW(config-line)# login // 登錄時啟用密碼檢查，只需要輸入密碼SW(config-line)# login local // 登錄時啟用密碼檢查，需要輸入用戶名和密碼SW(config-line)# no login // 當(dāng)前l(fā)ine不允許登錄SW(config)# interface <interface> // 進(jìn)入接口配置模式 SW(config-if)#// <interface>可以是VLAN、物理接口、虛擬子接口SW(config-if)# no shutdown // 激活端口SW(config-if)# ip address <addr> <mask> // 為接口(SVI、物理接口、虛擬子接口)配置靜態(tài)IPSW(config-if)# ip address dhcp // 為接口(SVI、物理接口、虛擬子接口)配置DHCPSW(config-if)# no switchport // 關(guān)閉三層交換機(jī)物理接口的二層功能，啟用三層功能// 這樣就可以為三層交換機(jī)物理接口配置IP地址SW(config)# ip route <dst_addr> <mask> <gw_addr> // 配置靜態(tài)路由(三層設(shè)備)SW(config)# router <protocol> // 進(jìn)入動態(tài)路由協(xié)議配置(三層設(shè)備)，包括rip/ospf/eigrp/bgpSW(config-router)# default-information originate // 配置默認(rèn)路由(三層設(shè)備) // 使默認(rèn)路由配置可以在動態(tài)路由協(xié)議域內(nèi)所有路由器上傳播

注意：配置命令支持縮略表示，如：username root privi 15 pass asdf、show run

(二) 配置DHCP

在二層或三層設(shè)備上配置DHCP服務(wù)，為使VLAN間可以正常路由，三層設(shè)備上為VLAN實現(xiàn)路由的IP地址 (路由器物理接口或虛擬子接口的IP / 三層交換機(jī)SVI的IP) 必須和DCHP服務(wù)分配的默認(rèn)網(wǎng)關(guān)地址一致。

Router(config)# service dhcp // 開啟DCHP服務(wù)Router(config)# ip dhcp pool <name> // 進(jìn)人dhcp地址池進(jìn)行配置Router(dhcp-config)# network <addr> <mask> // 配置dhcp地址池Router(dhcp-config)# default-router <addr> // 配置網(wǎng)關(guān)地址Router(dhcp-config)# dns-server <addr> // 配置dns服務(wù)器地址Router(dhcp-config)# exitRouter(config)# ip dhcp excluded-address <addr> // dhcp不分配的地址Router(config)# exitRouter# show ip dhcp binding // 查看dhcp地址分配情況

(三) 劃分VLAN

1.創(chuàng)建VLAN

在VLAN數(shù)據(jù)庫模式和全局模式下都可以實現(xiàn)對VLAN信息進(jìn)行配置，但推薦在全局模式下進(jìn)行配置，因為VLAN數(shù)據(jù)庫模式正在被棄用，下面對VLAN的配置統(tǒng)一在全局模式下進(jìn)行。

SW(config)# vlan <id> // 創(chuàng)建vlan并對其進(jìn)行配置SW(config-vlan)# name <name> // 為vlan命名name

2.配置端口

SW(config)# interface <interface_phy> // 進(jìn)入物理接口進(jìn)行配置，如fa0/1、gi0/1、gi0/0/1// 可以一次配置多個接口，如 interface range fa0/1-2// fa代表Fast百兆以太網(wǎng)接口// gi代表Gigabit千兆以太網(wǎng)接口// 接口代碼的完整表示為x/y/z，代表第x臺設(shè)備，第y個插槽板卡，第z個端口SW(config-if)# switchport mode access // 配置接口為access模式，只允許指定vlan數(shù)據(jù)包通過SW(config-if)# switchport access vlan <id> // 配置交換機(jī)接口，將其分配給vlan id，且只允許vlan id數(shù)據(jù)包通過// 只有交換機(jī)設(shè)備有此命令SW(config-if)# switchport trunk encapsulation dot1q // 配置接口封裝為dot1q，不然可能會出現(xiàn)報錯:"An interface whose trunk encapsulation is 'Auto' can not be configured to 'trunk' mode"SW(config-if)# switchport mode trunk // 配置接口為trunk模式，可以允許多個vlan數(shù)據(jù)包通過SW(config-if)# switchport trunk allowed vlan all // 允許所有vlan數(shù)據(jù)包通過

注意：交換機(jī)默認(rèn)存在VLAN 1(本征VLAN)，所有端口初始都劃分在VLAN 1中。

3.配置SVI

交換機(jī)虛擬接口 (Switch Virtual Interface, SVI) 是VLAN的虛擬接口，為SVI配置IP，通常作用如下：

• 實現(xiàn)對設(shè)備進(jìn)行遠(yuǎn)程管理
• 作為網(wǎng)關(guān)實現(xiàn)不同VLAN間路由

不同設(shè)備 (交換機(jī)) 如果需要通過同一個VLAN進(jìn)行管理，需要為VLAN在不同設(shè)備上的SVI配置不同的IP，例如：在SW1和SW2上都配置有VLAN10的信息，想要通過VLAN10對這兩個設(shè)備進(jìn)行管理，可以在SW1上配置VLAN10的IP為10.1.1.1，在SW2上配置VLAN10的IP為10.1.1.2。

SW(config)# interface vlan <id> // 針對Vlan的SVI進(jìn)行配置SW(config-if)# descryption demo test // 對SVI添加描述SW(config-if)# ip address <address> <mask> // 為SVI分配IP

4.配置路由

在成功劃分VLAN后，要使VLAN間可以正常路由需要在三層設(shè)備上配置，一般有三種方式：

(1) 多臂路由：即普通路由，為每個Vlan分配一個物理端口，每個物理端口配置為相應(yīng)Vlan的網(wǎng)關(guān)，但是這種方式需要耗費大量路由器端口，在實際實施中基本行不通。

Router(config)# interface <interface_phy> // 進(jìn)入物理接口配置，如fa0/1Router(config-if)# no shutdown // 激活端口Router(config-if)# ip address 192.168.100.1 255.255.255.0 // 分配IPRouter(config-if)# exit

(2) 單臂路由：在一個物理端口上劃分多個虛擬子接口，每個虛擬子接口分配一個VLAN，并作為VLAN的網(wǎng)關(guān)，這樣解決了路由器物理端口需求量過大的問題，但由于所有VLAN數(shù)據(jù)包都通過一條鏈路，所以性能上限會受到單鏈路的局限。

交換機(jī)和路由器之間鏈路是中繼鏈路，交換機(jī)連接路由器的接口配置為trunk口，允許多個VLAN的數(shù)據(jù)幀通過，默認(rèn)封裝格式為802.1Q，只有路由器接口同樣封裝為802.1Q，才能保證打上VLAN標(biāo)簽的數(shù)據(jù)幀能夠被交換機(jī)區(qū)分，從而實現(xiàn)跨越VLAN通信，所以交換機(jī)在配置虛擬子接口時要封裝802.1Q協(xié)議。

Router(config)# interface <interface_phy> // 進(jìn)入物理接口配置，如fa0/1Router(config-if)# no shutdown // 激活接口Router(config-if)# exit Router(config)# interface <sub_interface> // 進(jìn)入虛擬子接口配置，如fa0/0.1 // 虛擬子接口并不是實際存在的物理接口，但是功能和物理接口相同Router(config-subif)# encapsulation dot1q <vlan_id> // 接口配置802.1Q協(xié)議(vlan封裝方式)Router(config-subif)# ip address 192.168.100.1 255.255.255.0 // 為該接口劃分網(wǎng)關(guān)地址，針對虛擬接口設(shè)置ip是為了分配網(wǎng)關(guān)Router(config-subif)# exit

(3) 三層交換機(jī)：在二層交換機(jī)的基礎(chǔ)上添加路由模塊，為每個VLAN分配一個物理接口，每個物理接口配置為相應(yīng)的Vlan的網(wǎng)關(guān)，解決了物理端口需求量大和鏈路局限的問題，是解決VLAN間路由的首選。三層交換機(jī)默認(rèn)只開啟了二層功能，如果需要使用三層功能需要手動開啟。

在交換機(jī)接口上配置VLAN間路由有兩種思路，第一種是利用交換機(jī)接口二層功能+路由：

SW(config)# vlan <id> // 和連接的二層交換機(jī)配置相同的vlan信息SW(config-vlan)# name <name> // 為vlan命名SW(config-vlan)# exitSW(config)# interface <interface_phy> // 進(jìn)入物理接口配置，如fa0/1，配置三層功能 SW(config-if)# no shutdown // 激活接口SW(config-if)# switchport mode access // 允許單個VLAN通過配置接口為access模式// 允許多個VLAN通過配置接口為trunk模式SW(config-if)# switchport access vlan <id> // 配置允許通過的vlan idSW(config-if)# exitSW(config)# interface vlan <id> // 進(jìn)入SVI配置SW(config-if)# ip address <addr> <mac> // 為SVI配置IP，與網(wǎng)關(guān)IP一致SW(config-if)# exitSW(config)# ip routing // 開啟IP路由功能

第二種是利用交換機(jī)接口三層功能+路由：

SW(config)# vlan <id> // 和連接的二層交換機(jī)配置相同的vlan信息SW(config-vlan)# name <name> // 為vlan命名SW(config-vlan)# exitSW(config)# interface <interface_phy> // 進(jìn)入物理接口配置，如fa0/1，配置二層功能 SW(config-if)# no shutdown // 激活接口SW(config-if)# no switchport // 關(guān)閉接口二層功能，開啟三層功能// 三層功能接口配置方法和路由器接口相同，但是不能配置虛擬子接口SW(config-if)# ip address <addr> <mac> // 配置接口IP，與網(wǎng)關(guān)IP一致SW(config-if)# exitSW(config)# ip routing // 開啟IP路由功能

注意：
① 路由器自動開啟路由功能，而三層交換機(jī)默認(rèn)沒有開啟，需要ip routing命令
② 對三層交換機(jī)物理接口配置IP需要先使用no switchport命令關(guān)閉接口二層功能，開啟三層功能
③ 出現(xiàn)Native VLAN mismatch discovered...警告信息，可以關(guān)閉VTP來解決，在全局配置模式輸入命令 no cdp run，或者在相應(yīng)接口關(guān)閉VTP no cdp enable

(四) 配置VTP

VTP (Vlan Trunk Protocol) 是CISCO私有的VLAN中繼協(xié)議，通過同步交換機(jī)上VLAN的配置信息簡化和統(tǒng)一網(wǎng)絡(luò)管理。在VTP域中建立VTP Server和VTP Client，在一臺VTP Server上配置VLAN時，VLAN信息將自動通過域中所有VTP Server/Client進(jìn)行分發(fā)。

VTP中交換機(jī)有Server、Client、Transparent三種模式：

• Server：維護(hù)VTP域中所有VLAN 信息，可以建立、刪除或修改VLAN，可以同步VLAN配置，并把配置保存在NVRAM存儲器中
• Client：從VTP Server學(xué)習(xí)VLAN配置信息，不能建立、刪除或修改VLAN，但可以同步VLAN配置，不保存配置到NVRAM存儲器中
• Transparent：獨立于VTP域的交換機(jī)，僅維護(hù)本機(jī)上的VLAN信息，不參與VTP的信息同步和自學(xué)習(xí)機(jī)制，可以建立、刪除和修改本機(jī)上的VLAN信息，并把配置保存在NVRAM存儲器中

通常一個VTP域內(nèi)的設(shè)置一個VTP Server和多個VTP Client，交換機(jī)之間必須要用中繼鏈路Trunk模式，具體配置如下：

1.VTP Server

SW(config)# vtp mode server // 配置交換機(jī)為VTP ServerSW(config)# vtp version <ver> // 配置vtp版本SW(config)# vtp domain <name> // 配置VTP域SW(config)# vtp password <pass> // 配置VTP密碼SW(config)# interface <interface_phy> // 配置交換機(jī)相連的物理接口為trunk模式 SW(config-if)# switchport mode trunk SW(config-if)# switchport trunk allowed vlan all SW(config-if)# exit

2.VTP Client

SW(config))# vtp mode client // 配置交換機(jī)為VTP ClientSW(config)# vtp version <ver> // 配置vtp版本，必須與VTP Server一致SW(config)# vtp domain <name> // 配置VTP域，必須與VTP Server一致SW(config)# vtp password <pass> // 配置VTP密碼，必須與VTP Server一致SW(config)# interface <interface_phy> // 配置交換機(jī)相連的物理接口為trunk模式 SW(config-if)# switchport mode trunk SW(config-if)# switchport trunk allowed vlan all SW(config-if)# exit

(五) 配置ACL

訪問控制列表 (Access Control Lists, ACL) 可以根據(jù)在三、四層設(shè)定的條件 (源IP、目的IP、源端口、目的端口等) 對接口上的數(shù)據(jù)包進(jìn)行過濾，允許其通過或丟棄，從而限制網(wǎng)段、VLAN間互訪。ACL需要在三層設(shè)備上進(jìn)行配置，所有規(guī)則都是基于出/入兩個方向：

• 出：表示已經(jīng)由設(shè)備處理完畢，正離開設(shè)備接口的數(shù)據(jù)包
• 入：表示已經(jīng)到達(dá)設(shè)備接口的數(shù)據(jù)包，將要被設(shè)備處理

ACL按照優(yōu)先生效的原則，數(shù)據(jù)包先匹配到的規(guī)則直接生效，不會繼續(xù)向下尋找匹配。CISCO默認(rèn)在ACL規(guī)則結(jié)尾添加deny any規(guī)則，即默認(rèn)丟棄所有沒有匹配到規(guī)則的數(shù)據(jù)包，因此如果要正常轉(zhuǎn)發(fā)數(shù)據(jù)包，需要手動添加permit any規(guī)則。

分為標(biāo)準(zhǔn)ACL、擴(kuò)展ACL和命名ACL三類：

1.標(biāo)準(zhǔn)ACL

對三層數(shù)據(jù)包中的源IP地址進(jìn)行過濾，使用訪問控制列表號1-99來創(chuàng)建相應(yīng)的ACL，命令為：

SW(config)# access-list <num> {permit|deny} <addr> <r_mask> // 標(biāo)準(zhǔn)ACL --> num: 1-99 // CISCO規(guī)定ACL中用反向掩碼表示子網(wǎng)掩碼，比如：192.168.1.1 0.0.0.255 表示192.168.1.1/24 // <addr> <r_mask>替換成any，相當(dāng)于 0.0.0.0 255.255.255.255 // <addr> <r_mask>替換成host <addr>，如：host 192.168.1.1，相當(dāng)于：192.168.1.1 0.0.0.0SW(config)# access-list <num> permit any // CISCO的ACL默認(rèn)在規(guī)則結(jié)尾添加deny any的命令，即丟棄所有不符合匹配規(guī)則的數(shù)據(jù)包 // 因此在配置完限制規(guī)則后要加上這一句，否則匹配不到的規(guī)則包默認(rèn)被丟棄SW(config)# ip access-list standard <num>SW(config-std-nacl)# <seq_num> {deny|permit} <addr> <r_mask> // 可以指定添加ACL中具體規(guī)則的序號，如果不指定，默認(rèn)序號按照10,20,30...遞增SW(config-std-nacl)# no <seq_num> // 只刪除ACL中序號為seq_num的規(guī)則SW(config)# exitSW(config)# interface <interface>SW(config-if)# ip access-group <num> {in|out} // 接口類型可以是物理端口、SVI和虛擬子接口 // 針對接口入/出端口應(yīng)用ACL規(guī)則SW(config)# no access-list <num> // 刪除ACL規(guī)則

2.擴(kuò)展ACL

對三層、四層數(shù)據(jù)包的源IP地址、端口以及目的IP地址、端口信息進(jìn)行過濾，使用訪問控制列表號100-199來創(chuàng)建相應(yīng)的ACL，命令為：

SW(config)# access-list <num> {permit|deny} <protocol> <src_addr> <r_mask> <dst_addr> <r_mask> <operator> <service|port> // 擴(kuò)展ACL --> num: 100-199 // operator具體包括：It小于，gt大于，eq等于，neq不等于 // 如：access-list 1 deny tcp any host 192.168.1.1 eq www --> 將所有主機(jī)訪問192.168.1.1的www(80)服務(wù)的tcp數(shù)據(jù)包丟棄SW(config)# no access-list <num> // 刪除整個ACL規(guī)則SW(config)# ip access-list extend <num>SW(config-std-nacl)# <seq_num> {deny|permit} <addr> <r_mask> // 可以指定添加ACL中具體規(guī)則的序號，如果不指定，默認(rèn)序號按照10,20,30...遞增SW(config-std-nacl)# no <seq_num> // 只刪除ACL中序號為seq_num的規(guī)則SW(config)# exitSW(config)# interface <interface>SW(config-if)# ip access-group <num> {in|out}

3.命名ACL

基于名稱建立標(biāo)準(zhǔn)/擴(kuò)展ACL規(guī)則，或是選擇相應(yīng)的規(guī)則對其進(jìn)行編輯，序號可以當(dāng)成是一種特殊的名稱，所以也可以針對序號規(guī)則進(jìn)行編輯，命令為：

SW(config)# ip access-list {standard|extended} <name> // 建立一個名為name的標(biāo)準(zhǔn)/擴(kuò)展ACLSW(config-std-nacl)# <seq_num> {deny|permit} <addr> <r_mask> // 可以指定ACL中具體規(guī)則的序號，如果不指定，默認(rèn)序號按照10,20,30...遞增SW(config-std-nacl)# no <seq_num> // 只刪除ACL中序號為seq_num的規(guī)則SW(config-std-nacl)# exitSW(config)# no ip access-list standard <name> // 刪除整個ACL規(guī)則SW(config)# interface <interface>SW(config-if)# ip access-group <name> {in|out}

注意：CISCO規(guī)定ACL中用反向掩碼表示子網(wǎng)掩碼，比如用 192.168.1.1 0.0.0.255 表示 192.168.1.1/24

(六) 端口鏡像

端口鏡像即把交換機(jī)源端口 (一個或多個) 的流量完全拷貝一份，然后從目的端口 (一個或多個) 發(fā)出，目的端口通常接IDS、Sniffer PC等流量分析設(shè)備，以便網(wǎng)絡(luò)流量監(jiān)控和故障診斷。在CISCO設(shè)備上通過SPAN (Switched Port ANalyzer) 和RSPAN (Remote Switched Port ANalyzer) 技術(shù)做端口鏡像。

1.SPAN

本地設(shè)備端口監(jiān)控，所有被監(jiān)聽的源端口與鏡像目的端口同處于一臺交換機(jī)上：

SW(config)# monitor session <id> source <interface> {tx|rx|both} // 配置span鏡像源接口 // interface既可以是物理接口，如fa0/1，也可以是SVI，如vlan 100 // tx: 接口發(fā)送流量，rx: 接口接收流量，both: 接口收發(fā)流量 (默認(rèn))SW(config)# monitor session <id> destination <interface_phy> // 配置span鏡像目的接口 // interface_phy是連接流量分析設(shè)備的物理接口

鏡像目的接口配置后，只能接收鏡像流量，無法收發(fā)正常流量。

2.RSPAN

遠(yuǎn)端設(shè)備端口監(jiān)控，被監(jiān)聽的源端口與鏡像目的端口不在同一臺交換機(jī)上，這時要在中間經(jīng)過所有的交換機(jī)上配置相同的RSPAN VLAN用于傳遞鏡像流量，交換機(jī)之間為Trunk連接。

(1) 在源端口交換機(jī)上配置，使鏡像端口流量 interface —> rspan vlan：

SW(config)# vlan <id> // vlan id不能和已配置正常vlan相同SW(config-vlan)# name <name> SW(config-vlan)# remote-span // 配置RSPAN模式，專用于傳遞鏡像流量SW(config-vlan)# exitSW(config)# monitor session <id> source <interface> {tx|rx|both} // 配置rspan鏡像源接口 // interface既可以是物理接口，如fa0/1，也可以是SVI，如vlan 100SW(config)# monitor session <id> destination remote vlan <id> reflector-port <interface> // 鏡像目的端口配置為rspan vlan // 反射端口(reflector-port)負(fù)責(zé)將鏡像流量轉(zhuǎn)發(fā)到rspan vlan

(2) 在中間交換機(jī)上配置 (如果存在的話) RSPAN VLAN，使鏡像端口流量 rspan vlan —> interface：

SW(config)# vlan <id> // vlan id要與鏡像源端口所在交換機(jī)的vlan一致SW(config-vlan)# name <name> SW(config-vlan)# remote-span // 配置RSPAN模式，專用于傳遞鏡像流量SW(config-vlan)# exitSW(config)# monitor session <id> source remote vlan <id> // 鏡像源端口配置為rspan vlanSW(config)# monitor session <id> destination <interface_phy> // 配置rspan鏡像目的端口的流量 // session id不需要和源交換機(jī)一致 // interface_phy是連接下一個交換機(jī)的物理接口

(3) 在目的端口交換機(jī)上配置，使鏡像端口流量 rspan vlan —> interface：

SW(config)# vlan <id> // vlan id要與鏡像源端口所在交換機(jī)的vlan一致SW(config-vlan)# name <name> SW(config-vlan)# remote-span // 配置RSPAN模式，專用于傳遞鏡像流量SW(config-vlan)# exitSW(config)# monitor session <id> source remote vlan <id> // 鏡像源端口配置為rspan vlanSW(config)# monitor session <id> destination <interface_phy> // 配置rspan鏡像目的端口的流量 // interface_phy是連接流量分析設(shè)備的物理接口

(七) GRE隧道

通用路由封裝 (General Routing Encapsulation, GRE) 通過對三層數(shù)據(jù)報文進(jìn)行封裝，使被封裝的報文可以在另一種三層網(wǎng)絡(luò)協(xié)議中傳輸，從而連接兩個不同的網(wǎng)絡(luò)，為數(shù)據(jù)傳輸提供一個透明的隧道。在路由器R1和R2之間建立一條GRE (IP-over-IP) 隧道，R1、R2兩路由器配置命令相似，基本過程為：

• 創(chuàng)建隧道，配置IP，作為隧道源IP地址
• 指定隧道源接口和目的接口IP，建立隧道
• 為隧道配置路由 (目的地址是隧道對端可以訪問的網(wǎng)段，路由地址是隧道對端IP)

以R1為例：

R1(config)# interface <interface> // 配置接口，作為隧道源接口，如fa0/1R1(config-if)# ip address <addr> <mask> // 配置接口IPR1(config-if)# exitR1(config)# interface tunnel <id> // 創(chuàng)建隧道R1(config-if)# tunnel mode gre ip // 在IP協(xié)議上封裝GRER1(config-if)# ip address <addr> <mask> // 配置隧道IP，隧道IP是虛擬IPR1(config-if)# tunnel source <interface> // 配置隧道源接口，如fa0/1R1(config-if)# tunnel destination <addr> // 配置隧道目的接口IP，注意與隧道IP (虛擬IP) 相區(qū)分// 如果源接口IP和目的接口IP之間能正常通信，通道開啟R1(config-if)# exitR1(config)# ip route <dst_addr> <mask> <forward_ip> // forward_ip 是隧道對端IP// 通過指定隧道IP的方式，路由通向某一網(wǎng)段的流量// 注意參數(shù) dst_addr 應(yīng)是網(wǎng)絡(luò)號 (IP地址與掩碼相與的結(jié)果，如 192.168.1.0)，否則會報錯 "%Inconsistent address and mask"

理解隧道兩端為什么除了接口IP還需要隧道IP，因為通過GRE隧道的包外層協(xié)議IP地址是接口IP，而內(nèi)層協(xié)議IP地址是隧道IP。

GRE具有配置簡單、便于維護(hù)、包頭小、效率高的優(yōu)勢，但不對數(shù)據(jù)進(jìn)行加密，通常可結(jié)合IPSec協(xié)議以保證通信安全性。

(八) NAT配置

網(wǎng)絡(luò)地址轉(zhuǎn)換 (Network Address Translation, NAT) 提供了一種將內(nèi)網(wǎng)地址轉(zhuǎn)換成外網(wǎng)地址的方法，讓內(nèi)網(wǎng)計算機(jī)通過有限的外網(wǎng)IP訪問外網(wǎng)資源，從而節(jié)省了IP資源。內(nèi)網(wǎng)的私有IP如果想訪問外網(wǎng)資源，在邊界路由器上就必須配置NAT，因為外網(wǎng)主機(jī)無法對私有IP進(jìn)行路由。

NAT常見三種類型：

• 靜態(tài)地址轉(zhuǎn)換：將內(nèi)網(wǎng)IP一對一地轉(zhuǎn)換為外網(wǎng)IP，內(nèi)網(wǎng)IP地址對應(yīng)唯一的外網(wǎng)地址
• 動態(tài)地址轉(zhuǎn)換：將內(nèi)網(wǎng)IP隨機(jī)地轉(zhuǎn)換為合法外網(wǎng)IP池中的地址，內(nèi)網(wǎng)IP地址對應(yīng)多個外網(wǎng)地址
• 端口地址轉(zhuǎn)換：即PAT (Port Address Translation)，內(nèi)網(wǎng)所有主機(jī)均可共享一個合法外網(wǎng)IP，采用端口多路復(fù)用，改變出網(wǎng)數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，從而可以最大限度地節(jié)約IP地址資源，目前使用的NAT技術(shù)一般都是PAT

NAT一般是針對邊界路由設(shè)備進(jìn)行配置，分為三類：

1.靜態(tài)地址轉(zhuǎn)換

Router(config)# interface <interface_inside> // 配置連接內(nèi)網(wǎng)的接口，如fa0/1 Router(config-if)# ip address <addr> <mask> Router(config-if)# ip nat inside // 配置內(nèi)網(wǎng)NAT接口，啟用NAT Router(config-if)# exitRouter(config)# interface <interface_outside> // 配置連接外網(wǎng)的接口，如fa0/1 Router(config-if)# ip address <addr> <mask> Router(config-if)# ip nat outside // 配置外網(wǎng)NAT接口，啟用NAT Router(config-if)# exitRouter(config)# ip route <dst_addr> <mask> <forward_ip> // 配置路由Router(config)# ip nat inside source static <in_addr> <out_addr> // 配置內(nèi)網(wǎng)IP與外網(wǎng)IP的靜態(tài)NAT // 外網(wǎng)IP是ISP分配的合法IP

2.動態(tài)地址轉(zhuǎn)換

動態(tài)NAT配置需要定義ACL和NAT地址池，然后將ACL映射到NAT地址池：

Router(config)# interface <interface_inside> // 配置連接內(nèi)網(wǎng)的接口，如fa0/1 Router(config-if)# ip address <addr> <mask> Router(config-if)# ip nat inside // 配置內(nèi)網(wǎng)NAT接口，啟用NAT Router(config-if)# exitRouter(config)# interface <interface_outside> // 配置連接外網(wǎng)的接口，如fa0/1 Router(config-if)# ip address <addr> <mask> Router(config-if)# ip nat outside // 配置外網(wǎng)NAT接口，啟用NAT Router(config-if)# exitRouter(config)# access-list <num> {permit|deny} <addr> <r_mask> // 創(chuàng)建ACLRouter(config)# ip nat pool <name> <start_addr> <end_addr> netmask <mask> // 創(chuàng)建NAT地址池 // 地址池中地址為ISP分配的合法IPRouter(config)# ip route <dst_addr> <mask> <forward_ip> // 配置路由Router(config)# ip nat inside source list <number> pool <name> // 將NAT地址池中地址和ACL規(guī)則相關(guān)聯(lián)

3.端口地址轉(zhuǎn)換

PAT是動態(tài)的，配置也需要定義ACL，如果想要所有內(nèi)網(wǎng)IP在出網(wǎng)時映射到單一IP地址做PAT，則ACL規(guī)則關(guān)聯(lián)出網(wǎng)接口，如果想要所有內(nèi)網(wǎng)IP在出網(wǎng)時映射到多個IP地址做PAT，則需要建立NAT地址池，ACL規(guī)則關(guān)聯(lián)NAT地址池：

Router(config)# interface <interface_inside> // 配置連接內(nèi)網(wǎng)的接口，如fa0/1 Router(config-if)# ip address <addr> <mask> Router(config-if)# ip nat inside // 配置內(nèi)網(wǎng)NAT接口，啟用NAT Router(config-if)# exitRouter(config)# interface <interface_outside> // 配置連接外網(wǎng)的接口，如fa0/1 Router(config-if)# ip address <addr> <mask> Router(config-if)# ip nat outside // 配置外網(wǎng)NAT接口，啟用NAT Router(config-if)# exitRouter(config)# access-list <num> {permit|deny} <addr> <r_mask> // 創(chuàng)建ACLRouter(config)# ip nat pool <name> <start_addr> <end_addr> netmask <mask> // 創(chuàng)建NAT地址池 // 地址池中地址為ISP分配的合法IPRouter(config)# ip route <dst_addr> <mask> <forward_ip> // 配置路由Router(config)# ip nat inside source list <number> interface <interface_outside> overload // 將外網(wǎng)接口和ACL規(guī)則相關(guān)聯(lián) // 除了將外網(wǎng)接口和ACL規(guī)則相關(guān)聯(lián)外，也可以將NAT地址池中地址和ACL規(guī)則相關(guān)聯(lián) // 這樣內(nèi)網(wǎng)IP出網(wǎng)時就可以轉(zhuǎn)換為NAT地址池中的多個IP，在多個IP上做PAT Router(config)# ip nat inside source list <number> pool <name> overload

總結(jié)

以上是生活随笔為你收集整理的CISCO常用配置命令的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。