写在前面:
经过了将近大半个学期的学习和实验,笔者对于计算机网路的理论知识及相关实验配置有了更深刻的理解,于是就有了这篇博客,算是对计算机网路实验的一个整理总结吧。当然啦,也希望这篇博客能帮到已经入坑或者即将入坑的各位!!
一、端口安全性配置
作用:将端口配置成安全端口,只允许特定设备与之相连。
注意:不能将端口安全性应用于中继端口,即承载多个VLAN信息的trunk口
1.设置端口模式
switch(config-if)#switchport mode access
//将端口配置为接入端口(连接用户设备的端口)
switch(config-if)#switchport port-security //启用端口安全性
2.配置端口安全性
switch(config-if)#switchport port-security maximum value
//规定最多有多少个地址可以连接到当前接口(value为1~132)
switch(config-if)#switchport port-security mac-address mac-address
//将MAC地址加入到安全端口地址列表中,第二个mac-address填入端口的硬件地址
3.设置地址违规措施
switch(config-if)#switchport port-security violation {protect|restrict|shutdown}
//地址违规时,对端口采取的措施(保护、限制、关闭)
地址违规时,对端口采取的措施:
- shutdown 手动激活或禁止端口安全性后方可使用
- protect 丢弃违规数据并发送警报
- restrict 丢弃违规数据不发送警报
二、VLAN配置
作用:划分不同的VLAN,VLAN内的主机间可以直接通信,而VLAN间不能直接互通
注意:
- vlan1被Cisco交换机设置为默认端口,vlan1002-1005保留用于FDDI、令牌环网,不能被修改或删除。
- 一个交换机的任何端口都必须属于且只能属于一个VLAN,默认情况下都属于vlan1(Cisco)。
- 同一个VLAN可以跨越多个交换机,只有F口可配置为主干端口即trunk口。
1.创建VLAN
Switch(config)#vlan {vlan-id} //创建VLAN,取值范围0001-4096
Switch(config-vlan)#name {vlan-name} //设置VLAN名称(根据需要选择是否配置)
2.为交换机端口分配VLAN
Switch(config)#interface {interface} //进入特定端口
Switch(config-if)#switchport mode access //设置为接入端口
Switch(config-if)#switchport access vlan {vlan-id} //为端口分配VLAN
3.设置Trunk口
Switch(config-if)#switchport trunk encapsulation {isl|dot1q|negotiate}
//封装协议,一般使用dot1q即802.1Q协议
Switch(config-if)#switchport mode {dynamic auto|dynamic desirable|trunk}
//配置中继端口模式
Router(config-if)# encapsulation dot1Q
//对于路由器则使用该命令指定中继端口
中继端口的三种模式:
- dynamic desirable: 主动协商,若邻居为trunk/desirable/auto之一,接口为trunk,否则为access模式。
- dynamic auto:被动模式,当邻居为trunk/desirable之一时,接口为trunk模式,否则为access模式。
- trunk: 强制接口成为trunk,并且主动诱使对方成为trunk模式。
三、VTP配置
作用:建立一个VTP管理域,在同一VTP管理域中的交换机共享vlan信息
注意:
- 在同一VLAN管理域的交换机的VTP域名必须相同,密码必须一致。
- VTP的配置并不是必不可少的,但是通过配置VTP能够大大减轻重复创建、配置VLAN的工作量,还可以减少多重配置和可能引起各种问题的配置冲突。
1、全局配置模式下,定义VTP模式:
Switch(config)#vtp mode {server|client|transparent}
2、定义VTP域名,该域名长度为1到32字符:
Switch(config)#vtp domain {domain-name}
3、设置VTP域的密码,密码长度为8到64字符(可选配置):
Switch(config)#vtp password {password}
VTP协议的三种工作模式:
- server服务器模式:创建/修改/删除VLAN、发送/转发宣告、同步、存贮NVRAM
- transparent透明模式:创建/修改/删除VLAN、转发宣告、不同步、存贮NVRAM
- client客户模式(2-1001):发送/转发宣告、同步、不存贮NVRAM
四、STP配置
STP生成树协议的作用:防止网桥网络中的冗余链路形成环路。
工作原理:将某些端口置于阻塞状态就能防止冗余结构的网络拓扑中产生环路。
执行过程:当网络的拓扑结构发生改变时,生成树协议重新计算,将被阻断的端口切换到转发状态,以确保连接性。在此期间,交换机不转发任何数据帧。当交换机的所有端口状态切换为转发或阻断状态时,表明重计算完毕。这一状态称为会聚(Convergence)。
(关键)根网桥的选取:
根桥 = 有最低桥识别码的桥(桥ID) 桥识别码 = 桥优先级 + 桥MAC地址
Switch(config)#spanning-tree vlan vlan-id
//为特定VLAN启用STP
Switch#show spanning-tree vlan vlan-id
//验证特定VLAN的STP配置
Switch(config-if)#spanning-tree portfast
//启用Port Fast快速端口
Switch(config)#spanning-tree vlan vlan-id priority value
//降低网桥的优先级,用于手动设置根桥,value建议为4096
PortFast特性:连接端工作站或服务器的端口无需经过监听和学习状态,直接从阻塞状态进入转发状态。
五、静态路由配置
作用:手动配置路由表条目。
特点:静态路由没有管理开销、没有带宽占用、安全性高,但配置繁琐、工作量大。
注意:静态路由为单方向路径,必须配置一条相反路径才能实现相互通信!!
Router(config)#(no)ip route network mask {address | interface}
// 禁用/启用静态路由
Router(config)#ip route 0.0.0.0 0.0.0.0 s0
// 一般用来设置默认路由,s0可用其他端口代替
举例说明,
ip route 172.16.1.0 255.255.255.0 172.16.2.1
//目的网路172.16.1.0经由172.16.2.1进行转发
ip route 172.16.1.0 255.255.255.0 f0/1
//目的网路172.16.1.0经由f0/1端口进行转发
六、RIP配置
RIP也称距离矢量协议,用信息包所经过的网关来做距离的单位,超过 15 跳便无法到达。
Router(config)# router rip //激活RIP协议,默认为RIPv1
Router(config-router)# version 2 //指定RIPv2
Router(config-router)# network network-number //指定网路
Router#show ip protocols //查看RIP配置信息
RIP V1与RIP V2的区别?
- 是否分类,是否支持变长子网掩码。
- RIP V2支持组播路由更新、纯文本或MD5认证、手动汇总、支持 VLSM(在更新过程中发送掩码)。
- RIP V1支持广播路由更新、不支持认证、不支持VLSM。
七、EIGRP配置
EIGRP即增强型的IGRP,也是Cisco专用的路由协议。
EIGRP是最典型的平衡混合路由选择协议,它融合了距离矢量和链路状态两种路由选择协议的优点,使用扩散更新算法(DUAL),能最快的达到网络收敛(convergence)。
1.EIGRP的配置
Router(config)#router eigrp {as-number} //激活EIGRP协议
Router(config-router)#network {network-number} [wildcard-mask]
//指定网路,wildcard-mask为反子网掩码
2.验证EIGRP
Router#show ip eigrp neighbors //显示EIGRP邻居
Router#show ip eigrp topology //显示EIGRP拓扑表
Router#show ip route eigrp //显示EIGRP路由表
Router#show ip eigrp traffic //显示EIGRP数据包
Router#show ip protocols //显示路由协议状态
3.关闭自动汇总特性(可选配置)
Router(config-router)# no auto-summary
自动汇总(默认开启):当路由更新经过主类网络边界的时候,它会自动向主类网络号进行汇总。自动汇总会导致不连续子网互相访问,若网路中存在不连续子网如172.10.10.0、172.10.11.0,会自动汇总为172.10.0.0,此时需要关闭自动汇总特性。
八、OSPF配置
开放式最短路径优先(Open Shortest Path First,OSPF)是广泛使用的一种动态路由协议,它属于链路状态路由协议,具有路由变化收敛速度快、无路由环路、支持变长子网掩码(VLSM)和汇总、层次区域划分等优点。
1.OSPF的配置
Router(config)# router ospf process-id
//激活OSPF协议,process-id取值范围1-65535
Router(config-router)#network address wildcard-mask area area-id
//指定网路,wildcard-mask为反子网掩码
2.验证OSPF
Router # show ip protocols //显示路由协议状态
Router # show ip route //显示路由表信息
Router # show ip ospf interface //显示OSPF端口
Router # show ip ospf neighbor //显示OSPF邻居
process-id只在路由器内部起作用,不同路由器的process-id可以不同。
九、ACL配置
作用:管理逐步增长的 IP 数据,当数据通过路由器时进行路由过滤。
①允许、拒绝数据包通过路由器
②允许、拒绝Telnet会话的建立
1.ACL的两种配置
Router(config)#access-list access-list-number {permit|deny} {test conditions }
//设置标准访问控制列表
Router(config)#access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [other parameters]
//设置扩展访问控制列表
2.在指定端口应用ACL
Router(config-if)#{protocol} access-group access-list-number {in|out}
//将访问控制列表应用到特定端口的进/出方向,缺省为出方向
3.查看ACL配置
Router# show access-lists {access-list number} //查看ACL
举例说明,拒绝子网172.16.4.0 的数据使用路由器E0口ftp到子网172.16.3.0,允许其他数据。
Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
Router(config)#access-list 101 permit ip any any
//隐含(implicit deny all)
Router(config-if)#interface ethernet 0
Router(config-if)#ip access-group 101 out
标准访问控制列表 1-99 1300-1999
扩展访问控制列表 100-199 2000-2699
区别:标准ACL只检查数据包的源地址; 扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。
十、NAT配置
作用:将内部地址映射为合法的外部IP地址。
优点:避免重复编址、节省全局地址的使用、增强安全性。
1.静态NAT配置
Router(config)#ip nat inside source static local-ip global-ip
Router(config-if)# ip nat inside/outside
Router#show ip nat trans
//举例说明,将内部地址10.1.1.2转换为166.1.1.1
Router(config)#ip nat inside source static 10.1.1.2 166.1.1.1
注意:从外网到内网建立静态映射后,外网能PING通内部全局地址,如果使用真实地址,则访问失败,这是因为从外网没有到达内网的路由存在!
2.动态NAT配置
Router(config)#ip nat pool 地址池名称 起始全局IP地址 结束全局IP地址 netmask 子网掩码
Router(config)#access-list 列表号 permit 源IP地址 通配符掩码
Router(config-if)#ip nat inside source list 列表号 pool 地址池名称
//举例说明,创建地址连接池202.128.62.34-202.128.62.50
Router(config)#ip nat pool aa 202.128.62.34 202.128.62.50 netmask 255.255.255.0
注意:若地址池只有一个地址,则既为起始地址又为结束地址。
十一、DHCP配置
作用:为TCP/IP主机动态分配IP地址。
私有地址范围:
A 类地址中:10.0.0.0 到 10.255.255.255
B 类地址中:172.16.0.0 到 172.31.255.255
C 类地址中:192.168.0.0 到 192.168.255.255
举例说明,在多层交换机上配置DHCP服务,为VLAN 10的主机自动分配IP地址
Switch(config)# service dhcp //开启DHCP服务,该服务默认是关闭的
Switch(config)# ip dhcp pool aa //创建DHCP地址池,名称为可以是任意字符
Switch(config-dhcp)# network 192.168.1.0 255.255.255.0 //指定可分配的网段
Switch(config-dhcp)# default-router 192.168.1.1 //指定分配的网关地址
Switch(config-dhcp)#dns-server 202.96.134.133 //配置DNS服务器
Switch(config-dhcp)# lease infinite //租期为永久
Switch(config-dhcp)# end
Switch(config)# ip dhcp excluded-address 192.168.1.1 //排除的地址
Switch(config)#int vlan 10 //进入指定VLAN
Switch(config-if)#ip add 192.168.1.1 255.255.255.0 //为vlan10的主机自动分配IP地址
如果DHCP客户机和服务器在不同的子网内,需要用到DHCP中继代理。
1.将路由器配置成DHCP中继代理。
Router(config)#interface f0/0
Router(config-if)#ip add 172.16.1.100 255.255.255.0
Router(config-if)#ip helper-address 172.16.2.1
Router(config-if)#ip helper-address 172.16.2.2
2.在多层交换环境中配置DHCP中继代理。
Switch(config)#interface vlan 1
Switch(config-if)#description DHCP Server VLAN //DHCP服务器
Switch(config-if)#ip add 10.1.1.1 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#interface vlan 2
Switch(config-if)#description DHCP clients //DHCP客户端
Switch(config-if)#ip add 10.1.2.1 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#ip helper-address 10.1.1.254
十二、PPP配置
作用:
①能够控制数据链路的建立;
②能够对广域网的IP地址进行分配和管理;
③允许同时采用多种网络层路由协议;
④能够配置和测试数据链路;
⑤能够有效进行错误检测;
Router(config-if)#encapsulation ppp //激活PPP协议
Router(config)#hostname name //路由器命名
Router(config)#username name password password
//提供需要验证的对方路由器的名称和密码
Router(config-if)#ppp authentication
{chap | chap pap | pap chap | pap}
//激活 PAP 或 CHAP 验证
十三、路由重分发配置
作用:实现多种路由协议的协同工作,进行路由分发。
Router(config-router)#redistribute static subnets //重分发静态路由
Router(config-router)#redistribute connected subnets //重分发直连网段
Router(config-router)#redistribute rip subnets //在ospf协议中重分发RIP
Router(config-router)#redistribute ospf 1 metric 3
//在RIP协议中重分发ospf,跳数为3
本篇博客为帅气的小白在CSDN的首发原创博客,转载请注明出处,如果喜欢的话可以收藏点赞哦,谢谢!!
