寫在前面:
經過了將近大半個學期的學習和實驗,筆者對於計算機網路的理論知識及相關實驗配置有了更深刻的理解,於是就有了這篇博客,算是對計算機網路實驗的一個整理總結吧。當然啦,也希望這篇博客能幫到已經入坑或者即將入坑的各位!!
一、端口安全性配置
作用:將端口配置成安全端口,只允許特定設備與之相連。
注意:不能將端口安全性應用於中繼端口,即承載多個VLAN信息的trunk口
1.設置端口模式
switch(config-if)#switchport mode access
//將端口配置爲接入端口(連接用戶設備的端口)
switch(config-if)#switchport port-security //啓用端口安全性
2.配置端口安全性
switch(config-if)#switchport port-security maximum value
//規定最多有多少個地址可以連接到當前接口(value爲1~132)
switch(config-if)#switchport port-security mac-address mac-address
//將MAC地址加入到安全端口地址列表中,第二個mac-address填入端口的硬件地址
3.設置地址違規措施
switch(config-if)#switchport port-security violation {protect|restrict|shutdown}
//地址違規時,對端口採取的措施(保護、限制、關閉)
地址違規時,對端口採取的措施:
- shutdown 手動激活或禁止端口安全性後方可使用
- protect 丟棄違規數據併發送警報
- restrict 丟棄違規數據不發送警報
二、VLAN配置
作用:劃分不同的VLAN,VLAN內的主機間可以直接通信,而VLAN間不能直接互通
注意:
- vlan1被Cisco交換機設置爲默認端口,vlan1002-1005保留用於FDDI、令牌環網,不能被修改或刪除。
- 一個交換機的任何端口都必須屬於且只能屬於一個VLAN,默認情況下都屬於vlan1(Cisco)。
- 同一個VLAN可以跨越多個交換機,只有F口可配置爲主幹端口即trunk口。
1.創建VLAN
Switch(config)#vlan {vlan-id} //創建VLAN,取值範圍0001-4096
Switch(config-vlan)#name {vlan-name} //設置VLAN名稱(根據需要選擇是否配置)
2.爲交換機端口分配VLAN
Switch(config)#interface {interface} //進入特定端口
Switch(config-if)#switchport mode access //設置爲接入端口
Switch(config-if)#switchport access vlan {vlan-id} //爲端口分配VLAN
3.設置Trunk口
Switch(config-if)#switchport trunk encapsulation {isl|dot1q|negotiate}
//封裝協議,一般使用dot1q即802.1Q協議
Switch(config-if)#switchport mode {dynamic auto|dynamic desirable|trunk}
//配置中繼端口模式
Router(config-if)# encapsulation dot1Q
//對於路由器則使用該命令指定中繼端口
中繼端口的三種模式:
- dynamic desirable: 主動協商,若鄰居爲trunk/desirable/auto之一,接口爲trunk,否則爲access模式。
- dynamic auto:被動模式,當鄰居爲trunk/desirable之一時,接口爲trunk模式,否則爲access模式。
- trunk: 強制接口成爲trunk,並且主動誘使對方成爲trunk模式。
三、VTP配置
作用:建立一個VTP管理域,在同一VTP管理域中的交換機共享vlan信息
注意:
- 在同一VLAN管理域的交換機的VTP域名必須相同,密碼必須一致。
- VTP的配置並不是必不可少的,但是通過配置VTP能夠大大減輕重複創建、配置VLAN的工作量,還可以減少多重配置和可能引起各種問題的配置衝突。
1、全局配置模式下,定義VTP模式:
Switch(config)#vtp mode {server|client|transparent}
2、定義VTP域名,該域名長度爲1到32字符:
Switch(config)#vtp domain {domain-name}
3、設置VTP域的密碼,密碼長度爲8到64字符(可選配置):
Switch(config)#vtp password {password}
VTP協議的三種工作模式:
- server服務器模式:創建/修改/刪除VLAN、發送/轉發宣告、同步、存貯NVRAM
- transparent透明模式:創建/修改/刪除VLAN、轉發宣告、不同步、存貯NVRAM
- client客戶模式(2-1001):發送/轉發宣告、同步、不存貯NVRAM
四、STP配置
STP生成樹協議的作用:防止網橋網絡中的冗餘鏈路形成環路。
工作原理:將某些端口置於阻塞狀態就能防止冗餘結構的網絡拓撲中產生環路。
執行過程:當網絡的拓撲結構發生改變時,生成樹協議重新計算,將被阻斷的端口切換到轉發狀態,以確保連接性。在此期間,交換機不轉發任何數據幀。當交換機的所有端口狀態切換爲轉發或阻斷狀態時,表明重計算完畢。這一狀態稱爲會聚(Convergence)。
(關鍵)根網橋的選取:
根橋 = 有最低橋識別碼的橋(橋ID) 橋識別碼 = 橋優先級 + 橋MAC地址
Switch(config)#spanning-tree vlan vlan-id
//爲特定VLAN啓用STP
Switch#show spanning-tree vlan vlan-id
//驗證特定VLAN的STP配置
Switch(config-if)#spanning-tree portfast
//啓用Port Fast快速端口
Switch(config)#spanning-tree vlan vlan-id priority value
//降低網橋的優先級,用於手動設置根橋,value建議爲4096
PortFast特性:連接端工作站或服務器的端口無需經過監聽和學習狀態,直接從阻塞狀態進入轉發狀態。
五、靜態路由配置
作用:手動配置路由表條目。
特點:靜態路由沒有管理開銷、沒有帶寬佔用、安全性高,但配置繁瑣、工作量大。
注意:靜態路由爲單方向路徑,必須配置一條相反路徑才能實現相互通信!!
Router(config)#(no)ip route network mask {address | interface}
// 禁用/啓用靜態路由
Router(config)#ip route 0.0.0.0 0.0.0.0 s0
// 一般用來設置默認路由,s0可用其他端口代替
舉例說明,
ip route 172.16.1.0 255.255.255.0 172.16.2.1
//目的網路172.16.1.0經由172.16.2.1進行轉發
ip route 172.16.1.0 255.255.255.0 f0/1
//目的網路172.16.1.0經由f0/1端口進行轉發
六、RIP配置
RIP也稱距離矢量協議,用信息包所經過的網關來做距離的單位,超過 15 跳便無法到達。
Router(config)# router rip //激活RIP協議,默認爲RIPv1
Router(config-router)# version 2 //指定RIPv2
Router(config-router)# network network-number //指定網路
Router#show ip protocols //查看RIP配置信息
RIP V1與RIP V2的區別?
- 是否分類,是否支持變長子網掩碼。
- RIP V2支持組播路由更新、純文本或MD5認證、手動彙總、支持 VLSM(在更新過程中發送掩碼)。
- RIP V1支持廣播路由更新、不支持認證、不支持VLSM。
七、EIGRP配置
EIGRP即增強型的IGRP,也是Cisco專用的路由協議。
EIGRP是最典型的平衡混合路由選擇協議,它融合了距離矢量和鏈路狀態兩種路由選擇協議的優點,使用擴散更新算法(DUAL),能最快的達到網絡收斂(convergence)。
1.EIGRP的配置
Router(config)#router eigrp {as-number} //激活EIGRP協議
Router(config-router)#network {network-number} [wildcard-mask]
//指定網路,wildcard-mask爲反子網掩碼
2.驗證EIGRP
Router#show ip eigrp neighbors //顯示EIGRP鄰居
Router#show ip eigrp topology //顯示EIGRP拓撲表
Router#show ip route eigrp //顯示EIGRP路由表
Router#show ip eigrp traffic //顯示EIGRP數據包
Router#show ip protocols //顯示路由協議狀態
3.關閉自動彙總特性(可選配置)
Router(config-router)# no auto-summary
自動彙總(默認開啓):當路由更新經過主類網絡邊界的時候,它會自動向主類網絡號進行彙總。自動彙總會導致不連續子網互相訪問,若網路中存在不連續子網如172.10.10.0、172.10.11.0,會自動彙總爲172.10.0.0,此時需要關閉自動彙總特性。
八、OSPF配置
開放式最短路徑優先(Open Shortest Path First,OSPF)是廣泛使用的一種動態路由協議,它屬於鏈路狀態路由協議,具有路由變化收斂速度快、無路由環路、支持變長子網掩碼(VLSM)和彙總、層次區域劃分等優點。
1.OSPF的配置
Router(config)# router ospf process-id
//激活OSPF協議,process-id取值範圍1-65535
Router(config-router)#network address wildcard-mask area area-id
//指定網路,wildcard-mask爲反子網掩碼
2.驗證OSPF
Router # show ip protocols //顯示路由協議狀態
Router # show ip route //顯示路由表信息
Router # show ip ospf interface //顯示OSPF端口
Router # show ip ospf neighbor //顯示OSPF鄰居
process-id只在路由器內部起作用,不同路由器的process-id可以不同。
九、ACL配置
作用:管理逐步增長的 IP 數據,當數據通過路由器時進行路由過濾。
①允許、拒絕數據包通過路由器
②允許、拒絕Telnet會話的建立
1.ACL的兩種配置
Router(config)#access-list access-list-number {permit|deny} {test conditions }
//設置標準訪問控制列表
Router(config)#access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [other parameters]
//設置擴展訪問控制列表
2.在指定端口應用ACL
Router(config-if)#{protocol} access-group access-list-number {in|out}
//將訪問控制列表應用到特定端口的進/出方向,缺省爲出方向
3.查看ACL配置
Router# show access-lists {access-list number} //查看ACL
舉例說明,拒絕子網172.16.4.0 的數據使用路由器E0口ftp到子網172.16.3.0,允許其他數據。
Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
Router(config)#access-list 101 permit ip any any
//隱含(implicit deny all)
Router(config-if)#interface ethernet 0
Router(config-if)#ip access-group 101 out
標準訪問控制列表 1-99 1300-1999
擴展訪問控制列表 100-199 2000-2699
區別:標準ACL只檢查數據包的源地址; 擴展ACL既檢查數據包的源地址,也檢查數據包的目的地址,同時還可以檢查數據包的特定協議類型、端口號等。
十、NAT配置
作用:將內部地址映射爲合法的外部IP地址。
優點:避免重複編址、節省全局地址的使用、增強安全性。
1.靜態NAT配置
Router(config)#ip nat inside source static local-ip global-ip
Router(config-if)# ip nat inside/outside
Router#show ip nat trans
//舉例說明,將內部地址10.1.1.2轉換爲166.1.1.1
Router(config)#ip nat inside source static 10.1.1.2 166.1.1.1
注意:從外網到內網建立靜態映射後,外網能PING通內部全局地址,如果使用真實地址,則訪問失敗,這是因爲從外網沒有到達內網的路由存在!
2.動態NAT配置
Router(config)#ip nat pool 地址池名稱 起始全局IP地址 結束全局IP地址 netmask 子網掩碼
Router(config)#access-list 列表號 permit 源IP地址 通配符掩碼
Router(config-if)#ip nat inside source list 列表號 pool 地址池名稱
//舉例說明,創建地址連接池202.128.62.34-202.128.62.50
Router(config)#ip nat pool aa 202.128.62.34 202.128.62.50 netmask 255.255.255.0
注意:若地址池只有一個地址,則既爲起始地址又爲結束地址。
十一、DHCP配置
作用:爲TCP/IP主機動態分配IP地址。
私有地址範圍:
A 類地址中:10.0.0.0 到 10.255.255.255
B 類地址中:172.16.0.0 到 172.31.255.255
C 類地址中:192.168.0.0 到 192.168.255.255
舉例說明,在多層交換機上配置DHCP服務,爲VLAN 10的主機自動分配IP地址
Switch(config)# service dhcp //開啓DHCP服務,該服務默認是關閉的
Switch(config)# ip dhcp pool aa //創建DHCP地址池,名稱爲可以是任意字符
Switch(config-dhcp)# network 192.168.1.0 255.255.255.0 //指定可分配的網段
Switch(config-dhcp)# default-router 192.168.1.1 //指定分配的網關地址
Switch(config-dhcp)#dns-server 202.96.134.133 //配置DNS服務器
Switch(config-dhcp)# lease infinite //租期爲永久
Switch(config-dhcp)# end
Switch(config)# ip dhcp excluded-address 192.168.1.1 //排除的地址
Switch(config)#int vlan 10 //進入指定VLAN
Switch(config-if)#ip add 192.168.1.1 255.255.255.0 //爲vlan10的主機自動分配IP地址
如果DHCP客戶機和服務器在不同的子網內,需要用到DHCP中繼代理。
1.將路由器配置成DHCP中繼代理。
Router(config)#interface f0/0
Router(config-if)#ip add 172.16.1.100 255.255.255.0
Router(config-if)#ip helper-address 172.16.2.1
Router(config-if)#ip helper-address 172.16.2.2
2.在多層交換環境中配置DHCP中繼代理。
Switch(config)#interface vlan 1
Switch(config-if)#description DHCP Server VLAN //DHCP服務器
Switch(config-if)#ip add 10.1.1.1 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#interface vlan 2
Switch(config-if)#description DHCP clients //DHCP客戶端
Switch(config-if)#ip add 10.1.2.1 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#ip helper-address 10.1.1.254
十二、PPP配置
作用:
①能夠控制數據鏈路的建立;
②能夠對廣域網的IP地址進行分配和管理;
③允許同時採用多種網絡層路由協議;
④能夠配置和測試數據鏈路;
⑤能夠有效進行錯誤檢測;
Router(config-if)#encapsulation ppp //激活PPP協議
Router(config)#hostname name //路由器命名
Router(config)#username name password password
//提供需要驗證的對方路由器的名稱和密碼
Router(config-if)#ppp authentication
{chap | chap pap | pap chap | pap}
//激活 PAP 或 CHAP 驗證
十三、路由重分發配置
作用:實現多種路由協議的協同工作,進行路由分發。
Router(config-router)#redistribute static subnets //重分發靜態路由
Router(config-router)#redistribute connected subnets //重分發直連網段
Router(config-router)#redistribute rip subnets //在ospf協議中重分發RIP
Router(config-router)#redistribute ospf 1 metric 3
//在RIP協議中重分發ospf,跳數爲3
本篇博客爲帥氣的小白在CSDN的首發原創博客,轉載請註明出處,如果喜歡的話可以收藏點贊哦,謝謝!!