精华内容
下载资源
问答
  • 思科删除配置命令
    千次阅读
    2021-09-24 10:55:45

    DHCP配置

    ip dhcp pool VLAN10                 //定义DHCP地址池VLAN10为vlan id

    network 172.16.2.0 255.255.255.0              //配置地址池的网络和掩码

    default-router 172.16.2.254                //配置默认网关

    domain-name cisco.com                   //域名,可选配置

    dns-server 172.16.1.100              //dns服务地址,可配置多个

    //可选配置

    分配WINS服务器地址netbios-name-server 172.16.2.30

    分配TFTP服务器地址option 150 ip 172.16.2.10

    ip dhcp excluded-address 172.16.2.200            //排除地址

    lease infinite                 //租期为无限长

    DHCP侦听(交换机上配置)

    ip dhcp snooping         //开启DHCP侦听功能

    ip dhcp snooping vlan 2-5         //配置侦听vlan2-5上的的DHCP数据包

    ip dhcp snooping information option       

    //开启交换机option 82功能,开启DHCP后该功能默认开启

    ip dhcp snooping database flash:dhcp_snooping_s2.db        

    //将DHCP监听绑定表保存在Flash中,文件名为dhcp_snooping_s2.db,目的是防止断电后,记录丢失。如果记录过多可以把文件保存到TFTP或者FTP服务器中

    ip dhcp snooping database write-delay 15

    //指监听绑定表发生更新后,等待15S,再写入文件,默认为300S,可选范围为15-86 400S

    ip dhcp snooping database timeout 15

    //指DHCP监听绑定表尝试写入操作失败后,重新尝试写入操作,直到15S后停止尝试。默认300S,可选范围为0-86400S。

    ip dhcp snooping information option allow-untrusted

    //配置交换机,如果从非信任端口接收到的DHCP数据包中带有option 82 选项,也接收该DHCP数据包,默认是不接收。

    interface port-channel 1

    ip dhcp snooping trust        //配置信任端口,默认所有端口都是非信任端口

    其他配置

    Interface range fastEthernet 0/1-20

    ip dhcp snooping limit rate 5             //限制接口每秒钟能接收DHCP数据包数量为5个

    Interface range fastEthernet 0/21-22

    ip dhcp snooping trust        //配置f0/21,f0/22为信任接口

    配置DAI(交换机上配置)

    ip arp inspection vlan 2-5           //在vlan2-5启用DAI

    ip arp inspection validate src-mac dst-mac ip

    //配置DAI要检查ARP数据包(包括请求和相应)中的源mac地址、目的mac地址、源ip地址和DHCP snooping绑定中的信息是否一致

    interface range fastEthernet 0/21-22

    ip arp inspection trust         //配置DAI信任接口

    interface range fastEthernet 0/1-20

    ip arp inspection limit rate 5              //限制接口每秒钟能接收DHCP数据包数量为5个

    DHCP中继

    Interface range vlan 2-5

    ip helper-address 172.16.2.1             //配置帮助地址,用于完成DHCP中继(在与中继设备链接的三层接口配置)

    show ip interface   vlan id                  //查看vlan信息 其中Helper address is是帮助地址

    show命令

    show ip dhcp pool              //查看地址池信息

    show ip dhcp binding          //查看已分配的地址

    show ip dhcp server statistics             //查看统计信息

    show ip dhcp snooping                    //查看侦听情况

    show ip dhcp snooping binding               //查看绑定表内信息

    show ip dhcp snooping database              //查看绑定表配置信息

    show ip arp inspection                      //查看arp配置信息

    show ip arp inspection interfaces              //查看arp可信接口

    文章笔记,如有侵权请联系删除!

    更多相关内容
  • CISCO常用配置命令

    千次阅读 2021-09-20 22:28:29
    无论在国内市场还是国际市场,CISCO交换机、路由器在网络设备领域都占据了主导地位,因此了解基础的CISCO设备配置命令,能够看懂设备配置信息,对内网渗透过程帮助很大。本文首先介绍CISCO设备基本命令,然后利用...

    无论在国内市场还是国际市场,CISCO交换机、路由器在网络设备领域都占据了主导地位。本文主要总结交换机、路由器等网络设备相关的概念以及CISCO设备常用配置命令,以便记录和学习。

    一、基础概念

    (一) 交换机与集线器

    交换机工作在链路层或网络层,这和工作在物理层的集线器有本质上的区别:

    • 集线器 (Hub):内部本质是总线型拓扑,数据转发只能通过广播的形式,端口之间通道为半双工通信,所有端口存在于同一个冲突域
    • 二层交换机 (Switch):通过自学习建立“MAC-端口”对应表,从而可以实现单播,端口之间为全双工通信,这样得以将每个端口冲突域相隔离
    • 三层交换机 (Router):具有路由功能的交换机,可以简单理解为在二层交换机的基础上添加了路由模块

    尽管交换机有“MAC-端口”对应表,而且端口间为全双工通信,但这只是隔离了冲突域,并不能隔离广播域,对于ARP、DHCP等广播包一样会广播到所有端口,所以当链路复杂时一样容易产生广播风暴,对此有效的解决方法就是配置VLAN,每个VLAN都是一个独立的广播域,可以有效避免广播风暴。

    (二) VLAN标签

    要使交换机能够分辨不同的VLAN报文,需要在报文中添加标识VLAN信息的字段,即VLAN标签 (VLAN Tag) ,这个过程需要使用IEEE 802.1Q协议封装帧头,只能由交换机、路由器等网络设备实现。协议规定在以太网数据帧的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN Tag,用以标识VLAN信息,如下图所示:
    在这里插入图片描述
    主机、集线器收发的数据包中无VLAN Tag,交换机、路由器等设备收发的数据包中可以有,也可以没有VLAN Tag。VLAN Tag是二层的概念,如果需要三层设备处理VLAN Tag,就需要配置其二层功能,否则收到携带VLAN Tag的数据包无法正常识别和处理,例如路由器的三层接口如果不配置虚拟子接口,或者在三层交换机上关闭接口二层、开启三层功能,这些情况下接口都无法正常处理携带VLAN Tag的数据包。

    CISCO交换机不同类型的接口 (链路) 在收发Tag/Untag报文时处理方式不同:

    • Access接口:一般用于和不能识别Tag的用户终端(如用户主机、服务器等)相连,只能收发Untag帧,且只能为Untag帧添加唯一VLAN的Tag
    • Trunk端口:一般用于连接交换机、路由器等可同时收发Tag和Untag报文的设备,可以允许多个VLAN的报文携带Tag通过

    在这里插入图片描述

    (三) 管理方式

    对于交换机、路由器等CISCO设备,很多配置命令都是通用的,这两类网络设备管理的模式也是相同的:

    • Console接口:设备的控制台接入端口,一般为RJ45接口,管理员通过“Console转串口”或“Console转USB”数据线,一端接交换机另一端接PC控制端,在本地进行管理
    • AUX接口:辅助接口,用于远程配置,很少使用
    • 虚拟终端 (vty):通过Telnet、SSH等远程连接交换机时分配,需要先通过Console接口配置才能使用
    • WEB界面:通过WEB界面管理设备,需要先通过Console接口或其他方式将WEB服务启用

    (四) 工作模式

    CISCO设备四种基本的工作模式,分别如下:

    • 用户模式 >:低权限用户接入交换机的初始工作模式
    • 特权模式 #:用户模式下输入命令 enable 进入特权模式
    • 全局配置模式 (config)#:特权模式下输入命令 configuration terminal 进入全局配置模式
    • 接口配置模式 (config-if)#:全局配置模式下选择具体接口进入接口配置模式,如:int f0/1-4

    CISCO设备特权级别范围 0-15,级别≥3时,用户登入交换机即特权模式,不用输入enable命令和特权模式的密码。当用户处于较低权限级别,通过enable命令默认进入15级最高权限。

    (五) 加密级别

    不同系列的设备支持的加密方式不同,常见如下:

    • 0:不加密,显示密码本身
    • 5:MD5哈希加密
    • 7:CISCO加密,可以逆转破解,安全性低
    • 8:PBKDF2哈希加密
    • 9:SCRYPT哈希加密

    二、配置命令

    (一) 基本配置

    [<command>] ? —> 帮助命令,常用于查看子命令
    no <command> —> 取消command相应的配置
    include —> 结合管道符|使用,提取信息
    exit —> 退出当前模式

    SW> enable <level>                // 提升权限至level,默认进入15级特权模式
    
    SW# show users                    // 查看当前登陆用户,主要包括console和vty
                                      // 有*标注的代表自己当前登录用的模式 
                                      
    SW# show privilege                // 显示当前用户权限等级
    
    SW# show running-config           // 显示当前设备所有配置
    
    SW# show version                  // 显示设备版本、系统等信息
    
    SW# show vlan brief               // 简洁显示所有VLAN状态、名称
    
    SW# show ip interface brief       // 简洁显示所有接口(包括虚拟接口)分配IP和激活状态
    
    SW# show ip route                 // 查看路由表(三层设备)
    
    SW# show ip protocols             // 查看IP路由协议配置参数和运行情况
    
    SW# show arp                      // 查看“ARP-IP-Interface”对应表(三层设备)
    
    SW# show access-lists             // 查看ACL规则(三层设备)
    
    SW# show vtp status               // 查看VTP状态信息
    
    SW# show monitor                  // 查看端口镜像配置(交换机)
    
    SW# show mac address-table        // 查看交换机“MAC-接口”对应表
                                      // 可以以此判断接口下接主机情况,但注意转换表有过期时间,信息可能不完整
    
    SW# show cdp neighbors detail     // CDP(Cisco Discovery Protocol)是CISCO专有协议,用于查看相邻设备的配置信息
                                      // 查看与交换机连接设备的主机名、型号、接口、IP等详细信息
    
    SW# config terminal               // 进入全局配置模式
    
    SW# write                         // 保存配置信息
                                      // 配置信息保存在运行配置中,而重启后是按照启动配置运行的,所以配置后要保存
    
    SW# debug                         // 进入debug调试模式,可以查看通过设备的相关数据包的收发情况
    
    SW(config)# hostname <hostname>   // 配置设备名称
    
    SW(config)# service password-encryption // 开启加密服务,采用CISCO私有算法加密存储密码
    
    SW(config)# username <name> privilege <level> {secret|password} <num> <pass> //配置设备名称
                                      // privilege有16个等级:0-15,等级越高权限越大
                                      // secret代表加密,<num>代表不同的加密算法
                                      // password代表不加密,在show run时直接可见密码明文
                                      // 如果开启password-encryption服务,则password设置的密码会被加密
                                      // secret命令优先级大于password,若同时设置则secret命令生效
    
    SW(config)# enable {secret|password} <num> <pass> // 设置低权限用户进入特权模式的密码
    
    SW(config)# line console 0        // line表示接入交换机的线路,通常包括console和vty
                                      // 对控制台接口进行配置,0代表console端口号
                                      // 命令执行后进入SW(config-if)#配置模式
    
    SW(config)# line vty 0 4          // 对虚拟终端进行配置,0-4代表5个虚拟终端     
                                      // 命令执行后进入SW(config-if)#配置模式      
    
    SW(config-line)# password <pass>  // 配置进入当前模式(console/vty)需要的密码
    
    SW(config-line)# login            // 登录时启用密码检查,只需要输入密码
     
    SW(config-line)# login local      // 登录时启用密码检查,需要输入用户名和密码
    
    SW(config-line)# no login         // 当前line不允许登录
    
    SW(config)# interface <interface> // 进入接口配置模式 SW(config-if)#
                                      // <interface>可以是VLAN、物理接口、虚拟子接口
    
    SW(config-if)# no shutdown        // 激活端口
    
    SW(config-if)# ip address <addr> <mask> // 为接口(SVI、物理接口、虚拟子接口)配置静态IP
    
    SW(config-if)# ip address dhcp    // 为接口(SVI、物理接口、虚拟子接口)配置DHCP
    
    SW(config-if)# no switchport      // 关闭三层交换机物理接口的二层功能,启用三层功能
                                      // 这样就可以为三层交换机物理接口配置IP地址
    
    SW(config)# ip route <dst_addr> <mask> <gw_addr> // 配置静态路由(三层设备)
    
    SW(config)# router <protocol>     // 进入动态路由协议配置(三层设备),包括rip/ospf/eigrp/bgp
    
    SW(config-router)# default-information originate  // 配置默认路由(三层设备) 
                                                      // 使默认路由配置可以在动态路由协议域内所有路由器上传播
    

    注意:配置命令支持缩略表示,如:username root privi 15 pass asdfshow run

    (二) 配置DHCP

    在二层或三层设备上配置DHCP服务,为使VLAN间可以正常路由,三层设备上为VLAN实现路由的IP地址 (路由器物理接口或虚拟子接口的IP / 三层交换机SVI的IP) 必须和DCHP服务分配的默认网关地址一致。

    Router(config)# service dhcp               // 开启DCHP服务
    
    Router(config)# ip dhcp pool <name>        // 进人dhcp地址池进行配置
    
    Router(dhcp-config)# network <addr> <mask> // 配置dhcp地址池
    
    Router(dhcp-config)# default-router <addr> // 配置网关地址
    
    Router(dhcp-config)# dns-server <addr>     // 配置dns服务器地址
    
    Router(dhcp-config)# exit
    
    Router(config)# ip dhcp excluded-address <addr> // dhcp不分配的地址
    
    Router(config)# exit
    
    Router# show ip dhcp binding              // 查看dhcp地址分配情况
    

    (三) 划分VLAN

    1.创建VLAN

    VLAN数据库模式全局模式下都可以实现对VLAN信息进行配置,但推荐在全局模式下进行配置,因为VLAN数据库模式正在被弃用,下面对VLAN的配置统一在全局模式下进行。

    SW(config)# vlan <id>                // 创建vlan并对其进行配置
           
    SW(config-vlan)# name <name>         // 为vlan命名name
    

    2.配置端口

    SW(config)# interface <interface_phy>        // 进入物理接口进行配置,如fa0/1、gi0/1、gi0/0/1
                                                 // 可以一次配置多个接口,如 interface range fa0/1-2
                                                 // fa代表Fast百兆以太网接口
                                                 // gi代表Gigabit千兆以太网接口
                                                 // 接口代码的完整表示为x/y/z,代表第x台设备,第y个插槽板卡,第z个端口
    
    SW(config-if)# switchport mode access        // 配置接口为access模式,只允许指定vlan数据包通过
                                                   
    SW(config-if)# switchport access vlan <id>   // 配置交换机接口,将其分配给vlan id,且只允许vlan id数据包通过
                                                 // 只有交换机设备有此命令
    
    SW(config-if)# switchport trunk encapsulation dot1q  
    // 配置接口封装为dot1q,不然可能会出现报错:"An interface whose trunk encapsulation is 'Auto' can not be configured to 'trunk' mode"
    
    SW(config-if)# switchport mode trunk         // 配置接口为trunk模式,可以允许多个vlan数据包通过
    
    SW(config-if)# switchport trunk allowed vlan all // 允许所有vlan数据包通过
    

    注意:交换机默认存在VLAN 1(本征VLAN),所有端口初始都划分在VLAN 1中。

    3.配置SVI

    交换机虚拟接口 (Switch Virtual Interface, SVI) 是VLAN的虚拟接口,为SVI配置IP,通常作用如下:

    • 实现对设备进行远程管理
    • 作为网关实现不同VLAN间路由

    不同设备 (交换机) 如果需要通过同一个VLAN进行管理,需要为VLAN在不同设备上的SVI配置不同的IP,例如:在SW1和SW2上都配置有VLAN10的信息,想要通过VLAN10对这两个设备进行管理,可以在SW1上配置VLAN10的IP为10.1.1.1,在SW2上配置VLAN10的IP为10.1.1.2。

    SW(config)# interface vlan <id>                // 针对Vlan的SVI进行配置
    
    SW(config-if)# descryption demo test           // 对SVI添加描述
    
    SW(config-if)# ip address <address> <mask>     // 为SVI分配IP
    

    4.配置路由

    在成功划分VLAN后,要使VLAN间可以正常路由需要在三层设备上配置,一般有三种方式:

    (1) 多臂路由:即普通路由,为每个Vlan分配一个物理端口,每个物理端口配置为相应Vlan的网关,但是这种方式需要耗费大量路由器端口,在实际实施中基本行不通。

    Router(config)# interface <interface_phy> // 进入物理接口配置,如fa0/1
    
    Router(config-if)# no shutdown            // 激活端口
    
    Router(config-if)# ip address 192.168.100.1 255.255.255.0 // 分配IP
    
    Router(config-if)# exit
    

    (2) 单臂路由:在一个物理端口上划分多个虚拟子接口,每个虚拟子接口分配一个VLAN,并作为VLAN的网关,这样解决了路由器物理端口需求量过大的问题,但由于所有VLAN数据包都通过一条链路,所以性能上限会受到单链路的局限。

    交换机和路由器之间链路是中继链路,交换机连接路由器的接口配置为trunk口,允许多个VLAN的数据帧通过,默认封装格式为802.1Q,只有路由器接口同样封装为802.1Q,才能保证打上VLAN标签的数据帧能够被交换机区分,从而实现跨越VLAN通信,所以交换机在配置虚拟子接口时要封装802.1Q协议。

    Router(config)# interface <interface_phy>  // 进入物理接口配置,如fa0/1
        
    Router(config-if)# no shutdown             // 激活接口
         
    Router(config-if)# exit 
    
    Router(config)# interface <sub_interface> // 进入虚拟子接口配置,如fa0/0.1 
                                              // 虚拟子接口并不是实际存在的物理接口,但是功能和物理接口相同
                                          
    Router(config-subif)# encapsulation dot1q <vlan_id>          // 接口配置802.1Q协议(vlan封装方式)
    
    Router(config-subif)# ip address 192.168.100.1 255.255.255.0 // 为该接口划分网关地址,针对虚拟接口设置ip是为了分配网关
    
    Router(config-subif)# exit
    

    (3) 三层交换机:在二层交换机的基础上添加路由模块,为每个VLAN分配一个物理接口,每个物理接口配置为相应的Vlan的网关,解决了物理端口需求量大和链路局限的问题,是解决VLAN间路由的首选。三层交换机默认只开启了二层功能,如果需要使用三层功能需要手动开启。

    在交换机接口上配置VLAN间路由有两种思路,第一种是利用交换机接口二层功能+路由

    SW(config)# vlan <id>                  // 和连接的二层交换机配置相同的vlan信息
           
    SW(config-vlan)# name <name>           // 为vlan命名
    
    SW(config-vlan)# exit
    
    SW(config)# interface <interface_phy>  // 进入物理接口配置,如fa0/1,配置三层功能      
    
    SW(config-if)# no shutdown             // 激活接口
    
    SW(config-if)# switchport mode access  // 允许单个VLAN通过配置接口为access模式
                                           // 允许多个VLAN通过配置接口为trunk模式
    
    SW(config-if)# switchport access vlan <id>  // 配置允许通过的vlan id
    
    SW(config-if)# exit
    
    SW(config)# interface vlan <id>        // 进入SVI配置
    
    SW(config-if)# ip address <addr> <mac> // 为SVI配置IP,与网关IP一致
    
    SW(config-if)# exit
    
    SW(config)# ip routing                 // 开启IP路由功能
    

    第二种是利用交换机接口三层功能+路由

    SW(config)# vlan <id>                  // 和连接的二层交换机配置相同的vlan信息
           
    SW(config-vlan)# name <name>           // 为vlan命名
    
    SW(config-vlan)# exit
    
    SW(config)# interface <interface_phy>  // 进入物理接口配置,如fa0/1,配置二层功能      
    
    SW(config-if)# no shutdown             // 激活接口
    
    SW(config-if)# no switchport           // 关闭接口二层功能,开启三层功能
                                           // 三层功能接口配置方法和路由器接口相同,但是不能配置虚拟子接口
                                    
    SW(config-if)# ip address <addr> <mac> // 配置接口IP,与网关IP一致
    
    SW(config-if)# exit
    
    SW(config)# ip routing                 // 开启IP路由功能
    

    注意:
    ① 路由器自动开启路由功能,而三层交换机默认没有开启,需要ip routing命令
    ② 对三层交换机物理接口配置IP需要先使用no switchport命令关闭接口二层功能,开启三层功能
    ③ 出现Native VLAN mismatch discovered...警告信息,可以关闭VTP来解决,在全局配置模式输入命令 no cdp run,或者在相应接口关闭VTP no cdp enable

    (四) 配置VTP

    VTP (Vlan Trunk Protocol) 是CISCO私有的VLAN中继协议,通过同步交换机上VLAN的配置信息简化和统一网络管理。在VTP域中建立VTP Server和VTP Client,在一台VTP Server上配置VLAN时,VLAN信息将自动通过域中所有VTP Server/Client进行分发。

    VTP中交换机有Server、Client、Transparent三种模式:

    • Server:维护VTP域中所有VLAN 信息,可以建立、删除或修改VLAN,可以同步VLAN配置,并把配置保存在NVRAM存储器中
    • Client:从VTP Server学习VLAN配置信息,不能建立、删除或修改VLAN,但可以同步VLAN配置,不保存配置到NVRAM存储器中
    • Transparent:独立于VTP域的交换机,仅维护本机上的VLAN信息,不参与VTP的信息同步和自学习机制,可以建立、删除和修改本机上的VLAN信息,并把配置保存在NVRAM存储器中

    通常一个VTP域内的设置一个VTP Server和多个VTP Client,交换机之间必须要用中继链路Trunk模式,具体配置如下:

    1.VTP Server

    SW(config)# vtp mode server       // 配置交换机为VTP Server
    
    SW(config)# vtp version <ver>     // 配置vtp版本
    
    SW(config)# vtp domain <name>     // 配置VTP域
    
    SW(config)# vtp password <pass>   // 配置VTP密码
    
    SW(config)# interface <interface_phy>   // 配置交换机相连的物理接口为trunk模式
    SW(config-if)# switchport mode trunk
    SW(config-if)# switchport trunk allowed vlan all
    SW(config-if)# exit
    

    2.VTP Client

    SW(config))# vtp mode client      // 配置交换机为VTP Client
    
    SW(config)# vtp version <ver>     // 配置vtp版本,必须与VTP Server一致
    
    SW(config)# vtp domain <name>     // 配置VTP域,必须与VTP Server一致
    
    SW(config)# vtp password <pass>   // 配置VTP密码,必须与VTP Server一致
    
    SW(config)# interface <interface_phy>   // 配置交换机相连的物理接口为trunk模式
    SW(config-if)# switchport mode trunk
    SW(config-if)# switchport trunk allowed vlan all
    SW(config-if)# exit
    

    (五) 配置ACL

    访问控制列表 (Access Control Lists, ACL) 可以根据在三、四层设定的条件 (源IP、目的IP、源端口、目的端口等) 对接口上的数据包进行过滤,允许其通过或丢弃,从而限制网段、VLAN间互访。ACL需要在三层设备上进行配置,所有规则都是基于出/入两个方向:

    • 出:表示已经由设备处理完毕,正离开设备接口的数据包
    • 入:表示已经到达设备接口的数据包,将要被设备处理

    ACL按照优先生效的原则,数据包先匹配到的规则直接生效,不会继续向下寻找匹配。CISCO默认在ACL规则结尾添加deny any规则,即默认丢弃所有没有匹配到规则的数据包,因此如果要正常转发数据包,需要手动添加permit any规则。

    分为标准ACL、扩展ACL和命名ACL三类:

    1.标准ACL

    对三层数据包中的源IP地址进行过滤,使用访问控制列表号1-99来创建相应的ACL,命令为:

    SW(config)# access-list <num> {permit|deny} <addr> <r_mask>
    // 标准ACL --> num: 1-99
    // CISCO规定ACL中用反向掩码表示子网掩码,比如:192.168.1.1 0.0.0.255 表示192.168.1.1/24
    // <addr> <r_mask>替换成any,相当于 0.0.0.0 255.255.255.255
    // <addr> <r_mask>替换成host <addr>,如:host 192.168.1.1,相当于:192.168.1.1 0.0.0.0
    
    SW(config)# access-list <num> permit any
    // CISCO的ACL默认在规则结尾添加deny any的命令,即丢弃所有不符合匹配规则的数据包
    // 因此在配置完限制规则后要加上这一句,否则匹配不到的规则包默认被丢弃
    
    SW(config)# ip access-list standard <num>
    
    SW(config-std-nacl)# <seq_num> {deny|permit} <addr> <r_mask>
    // 可以指定添加ACL中具体规则的序号,如果不指定,默认序号按照10,20,30...递增
    
    SW(config-std-nacl)# no <seq_num>
    // 只删除ACL中序号为seq_num的规则
    
    SW(config)# exit
    
    SW(config)# interface <interface>
    
    SW(config-if)# ip access-group <num> {in|out}
    // 接口类型可以是物理端口、SVI和虚拟子接口
    // 针对接口入/出端口应用ACL规则
    
    SW(config)# no access-list <num>
    // 删除ACL规则
    

    2.扩展ACL

    对三层、四层数据包的源IP地址、端口以及目的IP地址、端口信息进行过滤,使用访问控制列表号100-199来创建相应的ACL,命令为:

    SW(config)# access-list <num> {permit|deny} <protocol> <src_addr> <r_mask> <dst_addr> <r_mask> <operator> <service|port>
    // 扩展ACL --> num: 100-199
    // operator具体包括:It小于,gt大于,eq等于,neq不等于
    // 如:access-list 1 deny tcp any host 192.168.1.1 eq www --> 将所有主机访问192.168.1.1的www(80)服务的tcp数据包丢弃
    
    SW(config)# no access-list <num>
    // 删除整个ACL规则
    
    SW(config)# ip access-list extend <num>
    
    SW(config-std-nacl)# <seq_num> {deny|permit} <addr> <r_mask>
    // 可以指定添加ACL中具体规则的序号,如果不指定,默认序号按照10,20,30...递增
    
    SW(config-std-nacl)# no <seq_num>
    // 只删除ACL中序号为seq_num的规则
    
    SW(config)# exit
    
    SW(config)# interface <interface>
    
    SW(config-if)# ip access-group <num> {in|out}
    

    3.命名ACL

    基于名称建立标准/扩展ACL规则,或是选择相应的规则对其进行编辑,序号可以当成是一种特殊的名称,所以也可以针对序号规则进行编辑,命令为:

    SW(config)# ip access-list {standard|extended} <name>
    // 建立一个名为name的标准/扩展ACL
    
    SW(config-std-nacl)# <seq_num> {deny|permit} <addr> <r_mask>
    // 可以指定ACL中具体规则的序号,如果不指定,默认序号按照10,20,30...递增
    
    SW(config-std-nacl)# no <seq_num>
    // 只删除ACL中序号为seq_num的规则
    
    SW(config-std-nacl)# exit
    
    SW(config)# no ip access-list standard <name>
    // 删除整个ACL规则
    
    SW(config)# interface <interface>
    
    SW(config-if)# ip access-group <name> {in|out}
    

    注意:CISCO规定ACL中用反向掩码表示子网掩码,比如用 192.168.1.1 0.0.0.255 表示 192.168.1.1/24

    (六) 端口镜像

    端口镜像即把交换机源端口 (一个或多个) 的流量完全拷贝一份,然后从目的端口 (一个或多个) 发出,目的端口通常接IDS、Sniffer PC等流量分析设备,以便网络流量监控和故障诊断。在CISCO设备上通过SPAN (Switched Port ANalyzer) 和RSPAN (Remote Switched Port ANalyzer) 技术做端口镜像。

    1.SPAN

    本地设备端口监控,所有被监听的源端口与镜像目的端口同处于一台交换机上:

    SW(config)# monitor session <id> source <interface> {tx|rx|both} 
    // 配置span镜像源接口
    // interface既可以是物理接口,如fa0/1,也可以是SVI,如vlan 100
    // tx: 接口发送流量,rx: 接口接收流量,both: 接口收发流量 (默认)
      
    SW(config)# monitor session <id> destination <interface_phy> 
    // 配置span镜像目的接口
    // interface_phy是连接流量分析设备的物理接口
    

    镜像目的接口配置后,只能接收镜像流量,无法收发正常流量。

    2.RSPAN

    远端设备端口监控,被监听的源端口与镜像目的端口不在同一台交换机上,这时要在中间经过所有的交换机上配置相同的RSPAN VLAN用于传递镜像流量,交换机之间为Trunk连接。

    (1) 在源端口交换机上配置,使镜像端口流量 interface —> rspan vlan

    SW(config)# vlan <id>          // vlan id不能和已配置正常vlan相同
    
    SW(config-vlan)# name <name>   
    
    SW(config-vlan)# remote-span   // 配置RSPAN模式,专用于传递镜像流量
        
    SW(config-vlan)# exit
    
    SW(config)# monitor session <id> source <interface> {tx|rx|both}    
    // 配置rspan镜像源接口
    // interface既可以是物理接口,如fa0/1,也可以是SVI,如vlan 100
    
    SW(config)# monitor session <id> destination remote vlan <id> reflector-port <interface> 
    // 镜像目的端口配置为rspan vlan
    // 反射端口(reflector-port)负责将镜像流量转发到rspan vlan
    

    (2) 在中间交换机上配置 (如果存在的话) RSPAN VLAN,使镜像端口流量 rspan vlan —> interface

    SW(config)# vlan <id>          // vlan id要与镜像源端口所在交换机的vlan一致
    
    SW(config-vlan)# name <name>      
    
    SW(config-vlan)# remote-span   // 配置RSPAN模式,专用于传递镜像流量
    
    SW(config-vlan)# exit
    
    SW(config)# monitor session <id> source remote vlan <id>   
    // 镜像源端口配置为rspan vlan
    
    SW(config)# monitor session <id> destination <interface_phy>    
    // 配置rspan镜像目的端口的流量
    // session id不需要和源交换机一致
    // interface_phy是连接下一个交换机的物理接口
    

    (3) 在目的端口交换机上配置,使镜像端口流量 rspan vlan —> interface

    SW(config)# vlan <id>          // vlan id要与镜像源端口所在交换机的vlan一致
    
    SW(config-vlan)# name <name>      
    
    SW(config-vlan)# remote-span   // 配置RSPAN模式,专用于传递镜像流量
    
    SW(config-vlan)# exit
    
    SW(config)# monitor session <id> source remote vlan <id>   
    // 镜像源端口配置为rspan vlan
    
    SW(config)# monitor session <id> destination <interface_phy>    
    // 配置rspan镜像目的端口的流量
    // interface_phy是连接流量分析设备的物理接口
    

    (七) GRE隧道

    通用路由封装 (General Routing Encapsulation, GRE) 通过对三层数据报文进行封装,使被封装的报文可以在另一种三层网络协议中传输,从而连接两个不同的网络,为数据传输提供一个透明的隧道。在路由器R1和R2之间建立一条GRE (IP-over-IP) 隧道,R1、R2两路由器配置命令相似,基本过程为:

    • 创建隧道,配置IP,作为隧道源IP地址
    • 指定隧道源接口和目的接口IP,建立隧道
    • 为隧道配置路由 (目的地址是隧道对端可以访问的网段,路由地址是隧道对端IP)

    以R1为例:

    R1(config)# interface <interface>        // 配置接口,作为隧道源接口,如fa0/1
    
    R1(config-if)# ip address <addr> <mask>  // 配置接口IP
    
    R1(config-if)# exit
    
    R1(config)# interface tunnel <id>	   	 // 创建隧道
    
    R1(config-if)# tunnel mode gre ip        // 在IP协议上封装GRE
    
    R1(config-if)# ip address <addr> <mask>  // 配置隧道IP,隧道IP是虚拟IP
    
    R1(config-if)# tunnel source <interface> // 配置隧道源接口,如fa0/1
    
    R1(config-if)# tunnel destination <addr> // 配置隧道目的接口IP,注意与隧道IP (虚拟IP) 相区分
                                             // 如果源接口IP和目的接口IP之间能正常通信,通道开启
    
    R1(config-if)# exit
    
    R1(config)# ip route <dst_addr> <mask> <forward_ip>   // forward_ip 是隧道对端IP
                                                          // 通过指定隧道IP的方式,路由通向某一网段的流量
                                                          // 注意参数 dst_addr 应是网络号 (IP地址与掩码相与的结果,如 192.168.1.0),否则会报错 "%Inconsistent address and mask"                                             
    

    理解隧道两端为什么除了接口IP还需要隧道IP,因为通过GRE隧道的包外层协议IP地址是接口IP,而内层协议IP地址是隧道IP。

    GRE具有配置简单、便于维护、包头小、效率高的优势,但不对数据进行加密,通常可结合IPSec协议以保证通信安全性。

    (八) NAT配置

    网络地址转换 (Network Address Translation, NAT) 提供了一种将内网地址转换成外网地址的方法,让内网计算机通过有限的外网IP访问外网资源,从而节省了IP资源。内网的私有IP如果想访问外网资源,在边界路由器上就必须配置NAT,因为外网主机无法对私有IP进行路由。

    NAT常见三种类型:

    • 静态地址转换:将内网IP一对一地转换为外网IP,内网IP地址对应唯一的外网地址
    • 动态地址转换:将内网IP随机地转换为合法外网IP池中的地址,内网IP地址对应多个外网地址
    • 端口地址转换:即PAT (Port Address Translation),内网所有主机均可共享一个合法外网IP,采用端口多路复用,改变出网数据包的源端口并进行端口转换,从而可以最大限度地节约IP地址资源,目前使用的NAT技术一般都是PAT

    NAT一般是针对边界路由设备进行配置,分为三类:

    1.静态地址转换

    Router(config)# interface <interface_inside>  // 配置连接内网的接口,如fa0/1
    Router(config-if)# ip address <addr> <mask>  
    Router(config-if)# ip nat inside              // 配置内网NAT接口,启用NAT
    Router(config-if)# exit
    
    Router(config)# interface <interface_outside> // 配置连接外网的接口,如fa0/1
    Router(config-if)# ip address <addr> <mask>  
    Router(config-if)# ip nat outside             // 配置外网NAT接口,启用NAT   
    Router(config-if)# exit
    
    Router(config)# ip route <dst_addr> <mask> <forward_ip> // 配置路由
    
    Router(config)# ip nat inside source static <in_addr> <out_addr> // 配置内网IP与外网IP的静态NAT                                                                                      
                                                                     // 外网IP是ISP分配的合法IP                                    
    

    2.动态地址转换

    动态NAT配置需要定义ACL和NAT地址池,然后将ACL映射到NAT地址池:

    Router(config)# interface <interface_inside>  // 配置连接内网的接口,如fa0/1
    Router(config-if)# ip address <addr> <mask>  
    Router(config-if)# ip nat inside              // 配置内网NAT接口,启用NAT
    Router(config-if)# exit
    
    Router(config)# interface <interface_outside> // 配置连接外网的接口,如fa0/1
    Router(config-if)# ip address <addr> <mask>  
    Router(config-if)# ip nat outside             // 配置外网NAT接口,启用NAT   
    Router(config-if)# exit
    
    Router(config)# access-list <num> {permit|deny} <addr> <r_mask>   // 创建ACL
    
    Router(config)# ip nat pool <name> <start_addr> <end_addr> netmask <mask> // 创建NAT地址池
    // 地址池中地址为ISP分配的合法IP
    
    Router(config)# ip route <dst_addr> <mask> <forward_ip>           // 配置路由
    
    Router(config)# ip nat inside source list <number> pool <name>    // 将NAT地址池中地址和ACL规则相关联                              
    

    3.端口地址转换

    PAT是动态的,配置也需要定义ACL,如果想要所有内网IP在出网时映射到单一IP地址做PAT,则ACL规则关联出网接口,如果想要所有内网IP在出网时映射到多个IP地址做PAT,则需要建立NAT地址池,ACL规则关联NAT地址池:

    Router(config)# interface <interface_inside>  // 配置连接内网的接口,如fa0/1
    Router(config-if)# ip address <addr> <mask>  
    Router(config-if)# ip nat inside              // 配置内网NAT接口,启用NAT
    Router(config-if)# exit
    
    Router(config)# interface <interface_outside> // 配置连接外网的接口,如fa0/1
    Router(config-if)# ip address <addr> <mask>  
    Router(config-if)# ip nat outside             // 配置外网NAT接口,启用NAT   
    Router(config-if)# exit
    
    Router(config)# access-list <num> {permit|deny} <addr> <r_mask>  // 创建ACL
    
    Router(config)# ip nat pool <name> <start_addr> <end_addr> netmask <mask> // 创建NAT地址池
    // 地址池中地址为ISP分配的合法IP
    
    Router(config)# ip route <dst_addr> <mask> <forward_ip>          // 配置路由
    
    Router(config)# ip nat inside source list <number> interface <interface_outside> overload // 将外网接口和ACL规则相关联 
    
    // 除了将外网接口和ACL规则相关联外,也可以将NAT地址池中地址和ACL规则相关联
    // 这样内网IP出网时就可以转换为NAT地址池中的多个IP,在多个IP上做PAT
    Router(config)# ip nat inside source list <number> pool <name> overload 
    
    展开全文
  • 思科防火墙配置命令(详细命令总结归纳)

    万次阅读 多人点赞 2021-10-08 07:01:58
    防火墙的实施是每个网络基础设施必要且不可分割的组成部分,传统的防火墙功能已经从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能,下面介绍一下思科防火墙的详细配置方法...

    目录

    前言

    一、防火墙介绍

    二、防火墙配置

    1、防火墙的基本配置

    2、配置特权密码

    3、配置远程登录密码(在使用Telnet或SSH时需要输入的密码)

    4、配置接口名称和接口安全级别

    5、配置ACL

    (1)允许入站连接

    (2)控制出站连接的流量

    (3)ACL其他配置

    6、配置静态路由

    7、配置命令补充

    8、远程管理ASA

    (1)Telnet配置实例

    (2)配置SSH接入

    9、ASA防火墙配置NAT

    (1)动态PAT转换配置

    (2)静态NAT转换配置

    (3)静态PAT转换配置方法

    (4)NAT豁免配置方法

    结语


    前言


         防火墙的实施是每个网络基础设施必要且不可分割的组成部分,传统的防火墙功能已经从最初保护网络免于未授权外部访问的攻击得到了进一步的发展,现在的防火墙通常具备多种功能,下面介绍一下思科防火墙的详细配置方法


    一、防火墙介绍


         防火墙用于维护一个关于用户信息的连接表,称为Conn表,表中信息有:源ip地址、目的ip地址、ip协议(如http、ftp等)、ip协议信息(协议端口号等),防火墙能够基于特定的网络、主机和服务(TCP/UDP端口号)控制网络访问


    二、防火墙配置


    1、防火墙的基本配置

    ciscoasa> en
    Password:默认特权密码为空,直接回车即可
    ciscoasa# conf t
    ciscoasa(config)# hostname 防火墙名称

    2、配置特权密码

    asa(config)# enable password 密码

    3、配置远程登录密码(在使用Telnet或SSH时需要输入的密码)

    asa(config)# passwd 密码

    4、配置接口名称和接口安全级别

    asa(config)# in e0/0
    asa(config-if)# nameif 接口名称
    asa(config-if)# security-level 安全级别{0~100}
    如果ASA的型号是5505,则不支持在物理接口上直接进行以上配置,必须通过VLAN虚接口来配置
    asa(config)#int vlan 1
    asa(config-if)# nameif inside
    asa(config-if)# security-level 100
    asa(config-if)#ip add 10.1.1.254 255.255.255.0
    asa(config-if)# no shut
    查看conn表
    asa#show conn detail

    5、配置ACL

    (1)允许入站连接

    asa(config)# access-list out_to_in permit ip host 172.16.1.5 host 10.1.1.7允许外网主机172.16.1.5访问内网主机10.1.1.7,out_to_in为ACL组名
    asa(config)# access-group out_to_in in int outside将组名为out_to_in的ACL应用在outside接口

    (2)控制出站连接的流量

    asa(config)# access-list in_to_out deny ip 10.0.0.0 255.0.0.0 any拒绝内网10.0.0.0网段 访问外网所有网段
    asa(config)# access-list in_to_out permit ip any any允许其他所有流量通行,因为ACL有隐含的拒绝语句,所以配置ACL时,一般都需要允许所有流量
    asa(config)# access-group in_to_out in int inside应用在内网接口

    (3)ACL其他配置

    ICMP协议
    默认情况下,禁止ICMP报文穿越ASA是基于安全性的考虑,有时候为了方便调试,可以配置暂时允许ICMP应答报文穿越ASA

    ciscoasa(config)# access-list 111 permit icmp any any定义ACL
    ciscoasa(config)# access-group 111 in int outside应用到outside接口

    6、配置静态路由

    asa(config)# route outside 172.16.0.0 255.255.0.0 10.0.0.1去往外网172.16.0.0网段的流量下一跳为10.0.0.1
    asa(config)# route inside 192.168.1.0 255.255.255.0 192.168.2.1去往内网192.168.1.0网段的流量下一跳为192.168.2.1

    7、配置命令补充

    no在前面,当配置错一条命令后,可以在原先的配置命令前加no即可删除配置错的那条命令

    ciscoasa# write memory保存running configuration配置到startup configuration
    ciscoasa# copy running-config startup-config保存running configuration配置到startup configuration
    ciscoasa(config)# clear configure all清除running configuration的所有配置
    ciscoasa(config)# clear configure access-list清除所有acces-list命令的配置
    ciscoasa(config)# clear configure access-list in_to_out只清除access-list in_to_out 的配置
    ciscoasa# write erase删除startup-config配置文件

    8、远程管理ASA

    ASA支持三种主要的远程管理接入方式:Telnet 、ssh和ASDM

    (1)Telnet配置实例

    由于使用Telnet远程管理是不安全的,所以一般禁止从外部接口使用Telnet接入,而只允许在内网使用Telnet

    配置允许从inside区域内的192.168.0.0/24网段使用telnet接入
    ciscoasa(config-if)# telnet 192.168.0.0 255.255.255.0 inside(接口名字)
    或者允许单个主机Telnet防火墙(两者根据需要二选一即可)
    ciscoasa(config)# telnet 192.168.0.1 255.255.255.255 inside(接口名字)
    配置空闲超时时间为30分钟
    ciscoasa(config)# telnet timeout 30(1~1440min,默认5min)

    (2)配置SSH接入

    配置主机名和域名,因为在生成RSA密钥对的过程中需要用到主机名和域名
    ciscoasa(config-if)# host 主机名配置主机名
    aaa(config)# domain-name 域名{.com}配置域名
    aaa(config)# crypto key generate rsa modulus 1024指定modulus的大小为1024位,大小可以为512位,768位,1024位或2048位,表示生成的RSA密钥的长度
    aaa(config)# ssh 192.168.1.0 255.255.255.0 inside允许内网1.0的网段SSH接入
    aaa(config)# ssh 0 0 outside允许外网任何主机SSH接入
    aaa(config)# ssh timeout 30配置超时时间为30分钟
    aaa(config)# ssh version 2启用SSH的版本2,该命令为可选

    版本1和版本2,区别是安全机制不一样,配置SSH接入完成后,可以在outside区域内的主机上使用SecureCRT或putty等工具登录ASA的outside接口,注意ASA默认使用用户名为pix,密码为使用password命令设置的密码

    9、ASA防火墙配置NAT

    (1)动态PAT转换配置

    把内部全局地址10.1.1.2转换为30.1.1.100
    ASA(config)# nat (×××ide){名称,outside或inside} nat名称 10.1.1.0 255.255.255.0声明内部地址
    ASA(config)# global (outside) nat名称 30.1.1.100-30.1.1.200声明全局地址,nat名称与内部nat名称要相同
    ASA(config)# show xlate detai查看NAT地址转换表
    转换为outside接口的地址
    ASA(config)# nat (×××ide){名称,outside或inside} nat名称 10.1.1.0 255.255.255.0声明内部地址,nat-id为1
    ASA(config)# global (outside) 1 interface声明内部地址全部转换为outside区域接口地址

    (2)静态NAT转换配置

    dmz区域的20.1.1.2 映射成公网地址100.1.1.1访问
    ASA(config)# static (dmz,outside) 100.1.1.1 20.1.1.2第一个IP地址是公网IP地址,第二地址是dmz区域服务器的真实IP地址
    ASA(config)# access-list 100 permit ip host 30.1.1.2 host 100.1.1.1
    ASA(config)# access-group 100 in int outside设置ACL允许outside区域访问dmz区域,但是访问的是映射后的地址

    (3)静态PAT转换配置方法

    将内部的服务器映射到公网同一个IP,不同端口号
    ASA(config)# static (dmz,outside) tcp 100.1.1.1 http 20.1.1.2 http
    ASA(config)# static (dmz,outside) tcp 100.1.1.1 smtp 20.1.1.3 smtp将内部服务器地址映射到同一个公网地址不同端口号
    ASA(config)# access-list out_to_dmz permit ip host 30.1.1.2 host 100.1.1.1
    ASA(config)# access-group out_to_dmz in int outside设置ACL允许outside区域访问dmz区域,但是访问的是映射后的地址

    (4)NAT豁免配置方法

    ASA(config)# nat-control表示通过ASA防火墙的数据包都必须使用NAT地址转换技术
    ASA(config)# access-list ACL组名 extended permit ip 10.1.1.0 255.255.255.0 30.1.1.0 255.255.255.0
    ASA(config)# nat (×××ide) 0 access-list ACL组名×××ide接口应用ACL,注意nat名称为0 表示使用NAT豁免,优先级最高,就是ACL中的地址经过ASA防火墙时,不需要进行地址转换

    结语


         在互联网上防火墙是一种非常有效的网络安全防范设备,通过它可以隔离风险区域 (即Internet或有一定风险的网络)与安全区域 (局域网)的连接 ,所以它一般连接在核心交换机与外网之间,在内部网络与外网之间起到一个把关的作用

    展开全文
  • 思科交换机配置命令大全

    千次阅读 2021-06-30 19:10:32
    思科交换机配置命令(陆小马公众号) 简写命令 完整命令 1 用户模式: 用户模式: switch> switch> 2 ...

    思科交换机配置命令(陆小马公众号)

    简写命令

    完整命令

    1

    用户模式:

    用户模式:

    switch>

    switch>

    2

    特权模式:

    特权模式:

    switch>en

    switch>enable

    switch# 

    switch# 

    3

    全局配置模式

    全局配置模式

    switch#conf t

    switch#config terminal

    switch(config)#

    switch(config)#

    4

    接口配置模式

    接口配置模式

    switch(config)#in f0/1

    switch(config)#interface f0/1

    switch(config-if)#

    switch(config-if)#

    5

    line模式:

    line模式:

    switch(config)#lin c 0

    switch(config)#line console 0

    switch(config-line)#

    switch(config-line)#

    6

    更改交换机主机名

    更改交换机主机名

    switch(config)#ho benet

    switch(config)#hostname benet

    benet(config)#

    benet(config)#

    7

    配置进入特权模式的明文口令

    配置进入特权模式的明文口令

    switch(config)#en pass 123

    switch(config)#enable password 123

    8

    删除进入特权模式的明文口令

    删除进入特权模式的明文口令

    switch(config)#no ena pass

    switch(config)#no enable password

    9

    配置进入特权模式的加密口令

    配置进入特权模式的加密口令

    switch(config)#en se 456

    switch(config)#enable secret 456

    10

    删除进入特权模式的加密口令

    删除进入特权模式的加密口令

    switch(config)#no ena se

    switch(config)#no enable secret

    11

    查看交换机配置

    查看交换机配置

    switch#sh run

    switch#show running-config

    12

    配置console口令

    配置console口令

    switch(config)#lin cons 0

    switch(config)#line console 0

    switch(config-line)#pass 123

    switch(config-line)#password 123

    switch(config-line)#logi

    switch(config-line)#login

    13

    配置交换机IP地址

    配置交换机IP地址

    switch(config)#in vl 1

    switch(config)#interface vlan 1

    switch(config-if)#ip ad 192.168.0.2 255.255.255.0

    switch(config-if)#ip address 192.168.0.2 255.255.255.0

    switch(config-if)#no sh

    switch(config-if)#no shutdown

    14

    删除交换机接口IP地址

    删除交换机接口IP地址

    switch(config-if)#no ip ad

    switch(config-if)#no ip address

    15

    配置交换机默认网关

    配置交换机默认网关

    switch(config)#ip default-g 192.168.0.1

    switch(config)#ip default-gateway 192.168.0.1

    16

    查看交换机的MAC地址表

    查看交换机的MAC地址表

    switch#sh mac-a

    switch#show mac-address-table

    17

    查看思科交换机相邻设备的详细信息

    查看思科交换机相邻设备的详细信息

    switch#sh cdp nei de

    switch#show cdp neighbors detail

    18

    保存交换机配置

    保存交换机配置

    1:switch#cop run st

    1:switch#copy running-config startup-config

    2:switch#wr

    2:switch#write

    19

    恢复交换机出厂配置

    恢复交换机出厂配置

    switch#er st

    switch#erase startup-config

    switch#relo

    switch#reload

    20

    创建VLAN

    创建VLAN

    switch#vl da

    switch#vlan database

    switch(vlan)#vl 30

    switch(vlan)#vlan 30

    switch(vlan)#exit

    switch(vlan)#exit

    21

    VLAN重命名

    VLAN重命名

    switch(vlan)#vl 20 n benet

    switch(vlan)#vlan 20 name benet

    VLAN 20 modified:

    VLAN 20 modified:

        Name: benet

        Name: benet

    22

    删除VLAN

    删除VLAN

    switch(vlan)#n vl 20

    switch(vlan)#no vlan 20

    Deleting VLAN 2...

    Deleting VLAN 2...

    switch(vlan)#e

    switch(vlan)#exit

     

    简写命令

    完整命令

    23

    将端口加入到VLAN

    将端口加入到VLAN

    switch(config)#in f0/2

    switch(config)#interface f0/2

    switch(config-if)#sw a v 30

    switch(config-if)#switchport access vlan 30

    24

    验证VLAN配置信息

    验证VLAN配置信息

    switch#sh vlan b

    switch#show vlan brief

    switch#sh vlan-s

    switch#show vlan-switch

    25

    删除VLAN中的端口

    删除VLAN中的端口

    1:switch(config-if)#no sw a v 3

    1:switch(config-if)#no switchport access vlan 3

      switch(config-if)#end

      switch(config-if)#end

    2:switch(config-if)#def interface f0/2

    2:switch(config-if)#default interface f0/2

      Building configuration...

      Building configuration...

      Interface FastEthernet0/2 set to default configuration

      Interface FastEthernet0/2 set to default configuration

      switch(config)#end

      switch(config)#end

    26

    同时将多个端口加入VLAN并验证

    同时将多个端口加入VLAN并验证

    switch(config)#in r f0/3 - 10

    switch(config)#interface range f0/3 - 10 

    switch(config-if-range)#sw a v 3

    switch(config-if-range)#switchport access vlan 3

    switch(config)#end

    switch(config)#end

    switch#sh vlan-s

    switch#show vlan-switch

    27

    配置VLAN TRUHK 并添加协议

    配置VLAN TRUHK  并添加协议

    switch(config)#in f0/15

    switch(config)#interface f0/15

    switch(config-if)#sw m t

    switch(config-if)#switchport mode trunk

    Switch(config-if)#sw tr en do

    Switch9config-if)#switchport trunk encapsulatinon dotlq

    28

    从TRUNK中添加某个VLAN

    从TRUNK中添加某个VLAN

    switch(config)#in f0/15

    switch(config)#interface f0/15

    switch(config-if)#sw t a v ad 3

    switch(config-if)#switchport trunk allowed vlan add 3      

    switch(config-if)#end

    switch(config-if)#end

    29

    从TRUNK中删除某个VLAN

    从TRUNK中删除某个VLAN

    switch(config)#in f0/15

    switch(config)#interface f0/15

    switch(config-if)#sw t a v r 3

    switch(config-if)#switchport trunk allowed vlan remove 3 

    switch(config-if)#end

    switch(config-if)#end

    30

    验证接口模式(检查中断端口允许的VLAN列表)

    验证接口模式(检查中断端口允许的VLAN列表)

    switch#sh int f0/15 switchp

    switch#show interface f0/15 switchport

    31

    查看用过的命令

    查看用过的命令

    switch#sh hi

    switch#show history

    展开全文
  • 思科交换机配置命令(详细命令总结归纳)

    万次阅读 多人点赞 2021-09-30 11:48:39
    (1)添加,删除 vlan (2)命名vlan (3)将端口加入vlan 6、交换机设置VLAN IP地址 7、Trunk的配置 8、以太网通道配置(二层口) 9、以太网通道配ip地址(三层口) 10、VTP的配置 11、三层交换机配置 (1)...
  • 思科路由器配置命令(详细命令总结归纳)

    万次阅读 多人点赞 2021-10-04 19:22:29
    3、防止配置命令被打断(启用显示同步) 4、禁用DNS查找 5、配置arp 6、静态路由,默认路由 7、telenet远程登录设置 8、配置DHCP服务 9、配置标准acl 10、配置标准命名和扩展命名ACL (1)创建扩展ACL (2...
  • Cisco配置命令ACL

    千次阅读 2021-11-16 18:27:04
    文章目录路由器配置命令:扩展acl:上述配可以浏览网页,但是不能ping通是因为:ACL书写注意:自定义ACL:ACL要应用到出入口上:自定义的扩展ACL中一条写错了怎么改?想在自定义扩展ACL中增加一个条目:例如11 ...
  • 思科交换机基本配置命令

    千次阅读 2021-06-30 11:20:18
    思科交换机基本配置命令 switch>enable 进入特权模式 switch#config terminal 进入全局模式 switch(config)#hostname+xxx 设置主机名 switch(config)#enable password 明文密码 switch(config)#enable ...
  • cisco 思科三层交换机配置命令

    千次阅读 2020-09-29 10:25:28
    1.交换机支持的命令 交换机基本状态: hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态 交换机口令设置: switch>enable ;进入特权模式 ...
  • 三、配置命令 做完项目要记得保存,养成习惯 两种保存配置方法 特权模式下 1、R1#write (复制更新文件覆盖启动文件) 2、R1#copy running-config startup-config 两种文件的查看方法 1、查看当前设备配置(查看...
  • cisco交换机常用配置命令

    千次阅读 2021-09-27 21:56:07
    cisco交换机常用配置命令 思科交换机的基本配置 一、基本配置 switch>enable //进入特权模式 switch#config terminal //进入全局配置模式 switch(config)#hostname //设置交换机的主机名 switch(config)#enable ...
  • Default-information originate 默认路由下发 Redistribute static 静态路由重分布 2 EIgrp (cisco 私有): Router eigrp 1 同区域同 AS 号 Network x.x.x.x x.x.x.x (反掩码)宣告网段 No auto-summary ...
  • Cisco清除配置使用:erase startup-config(删除NVRAM中的内容),然后重启路由器 reload;华为清除配置使用:reset saved-configuration,重启路由器 reboot;Cisco路由器、交换机口令恢复专题:选择性通告路由:如...
  • 1、↑/↓键:调出上/下一条命令。Tab 键:补全命令。...3、no:取消某配置例如“no ip add 192.168.1.2255.255.255.0”,或命令的反义例如“noshutdown”。Switch (vlan)# no vlan 2 删除编号为2的VLAN Swi...
  • Cisco和华为交换机常用配置命令

    千次阅读 2020-06-29 17:14:38
    Switch#show run 显示所有配置命令 Switch#show ip inter brief 显示所有接口状态 Switch#show vlan brief 显示所有VLAN的信息 Switch#show version 显示版本信息 华为: [Quidway]dis cur 显示所有配置命令 ...
  • Cisco 思科模拟器命令

    千次阅读 多人点赞 2021-10-15 12:35:32
    文章目录基本配置**文件操作****启动配置****接口配置****路由****EIGRP****OSPF****ACL****DHCP****HDLC****PPP****FR****ARP(默认启用)****ISDN****IS-IS****BGP****路由优化****异步连接****QoS** 基本配置 R&...
  • addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] " icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal " special } { all " ...
  • Cisco和华为交换机常用配置命令总结 一、调试命令 思科: Switch#show run 显示所有配置命令 Switch#show ip inter brief 显示所有接口状态 Switch#show vlan brief 显示所有VLAN的信息 Switch#show version ...
  • NAT等等各大网络公司对网络工程师的必备要求就是:会配置主要型号的交换机和路由器,不熟悉的设备能够独立查资料配置。 然而,在学习这件事上,是没有捷径的。想要完全吃透一个交换机的功能配置,需要花费很多时间...
  • 华为/思科清除路由器及交换机命令

    千次阅读 2021-08-18 21:56:24
    一、reset saved-configuration //重置保存配置 输入命令后会出现: This will delete the configuration in the flash memory. The device configuratio ns will be erased to reconfigure. Are you sure? (y/...
  • cisco路由器的配置命令 先使用一台pc和Cisco路由器,使用线缆中的"console"线缆,将两者连接(一端连在pc的RS232上,另一端连在路由器的console上 点击pc的desktop中的terminal,点击ok,弹出一个窗口输入no再按下...
  • 华为、H3C、锐捷、思科四大厂商交换机配置命令,网工人不得不知
  • 思科(Cisco)路由器常用命令总结

    千次阅读 多人点赞 2019-04-24 16:55:03
    思科(Cisco)路由器常用命令总结 思科路由器常用命令总结: 1,路由器口令设置: router>enable 进入特权模式 router#config terminal 进入全局配置模式 router(config)#hostname 设置交换机的主机名 router(config...
  • 思科交换机配置命令

    2020-12-31 10:07:41
    思科交换机配置命令简写命令完整命令1用户模式:用户模式:switch>switch>2特权模式:特权模式:switch>enswitch>enableswitch#switch#3全局配置模式全局配置模式switch#conftswitch#configterminalswitch...
  • 思科交换机清空配置

    2022-06-28 11:23:13
    思科交换机清空配置文件
  • CISCO交换机配置VLAN的具体命令

    千次阅读 2020-12-21 23:02:54
    展开全部交换32313133353236313431303231363533e4b893e5b19e31333365643662机支持的命令:交换机基本状态:switch: ;ROM状态, 路由器是rommon>hostname> ;用户模式hostname# ;特权模式hostname(config)# ...
  • ciscoAP配置

    2022-08-11 13:00:45
    ciscoAP的配置,一些实践。
  • 特权模式一-全局配置模式,使用命令”ontfg" 全局配置模式--接口模式,使用命令"interface接口类型#接口号” 全局配置模--线控模式,使用命令“line+接口类型+接口号” 注: 用户模式:查看初始化的信息. 特权...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 12,088
精华内容 4,835
关键字:

思科删除配置命令

友情链接: TCP_Client.zip