思科基础命令
今天把之前学习的一些基础的思科命令整理一下。
路由添加远程连接
telnet:
configure terminal //进入全局配置模式
username abc privileg 15 secret abc123 //设置远程登陆账号和密码
end //退出到特权模式
configure terminal //进入全局配置模式
line vty 0 4 //设置远程连接数5
login local //这个登录要进行身份验证
end
电脑登录:telnet 192.168.10.1 //telnet连接
no ip domain-lookup //关闭解析
路由器基本配置命令:
路由接口添加IP地址:
int g0/0 //进入接口
ip add 192.168.1.2 255.255.255.0 //添加接口ip地址
no shut //打开接口
int g0/1
ip add 192.168.1.3 255.255.255.0
no shut //打开接口
int g0/2
ip add 192.168.1.4 255.255.255.0
no shut //打开接口
路由默认配置:
ip route 0.0.0.0 0.0.0.0 192.168.1.1
ip route 目标网段 子网掩码 下一条IP地址
路由静态配置:
ip route 192.168.1.0 255.255.255.0 192.168.1.254
ip route 目标网段 子网掩码 下一条IP地址
show ip route //查看路由配置
浮动路由:在静态路由或默认路由后面加空格+数字,数越大优先级越小
show ip in brief //查看接口状态
show ip route //查看路由表
show run //查看所有配置命令
路由动态配置:
router rip //开启rip协议
version 2 //选择协议版本
no auto-summary //关闭自动汇总
network 192.168.1.0 //设置直连IP
exit
show ip protocols //查看路由协议
单臂路由配置:
int f0/0.1 //创建子接口,是虚拟接口
encapsulation dot1q 10 //封802.1q协议,加标签为vlan10
ip add 10.10.10.2 255.255.255.0 //添加ip地址
no shut //开启接口
int f0/0.2 //
encapsulation dot1q 20 封802.1q协议,加标签为vlan20
ip add 10.10.10.2 255.255.255.0
no shut //
**交换机基本配置命令:**
hostname sw0 //更改交换机名字
enable secret 123 //添加特权模式加密密码
ip dhcp snooping //开启dhcp监听
int range f0/1 - 48 //一次进入多个接口,进入1到48这48个接口
vlan 10 //创建vlan 10
int f0/1 //进入接口
switchport mode access //强制接口成为access接口
switchport access vlan 10 //端口绑定vlan10
no vlan 10 //删除vlan10
int vlan 10 //进入vlan10
ip add 192.168.10.1 255.255.255.0 //给vlan10添加ip地址
exit //退出
show vlan //查看vlan详细配置
show vlan brief //查看vlan配置
ip routing //启用三层路由功能,让不同vlan之间通信
ip route 0.0.0.0 0.0.0.0 1921.168.40.2
int f0/1
switchport trunk encapsulation dot1q //二层端口封装802.1q协议
switchport mode trunk //把接口改为trunk模式
switchport trunk all vlan all //在接口int f0/1,允许所有vlan通过
trunk模式是在两个交换机连接设置的模式,它解决是跨交换机相同vlan之间通信,路由解决的是不同vlan之间的通信。
int f0/3
no switchport //交换机二层端口变三层端口,相当变成路由器上的接口。
ip address 192.168.10.1 255.255.255.0 //给这个接口添加ip地址
静态NAT:
ip nat inside source static 192.168.10.1 12.12.12.4
ip nat inside source static tcp 192.168.30.1 80 12.12.12.3 80
int g0/0
ip nat inside
int g0/1
ip nat outside
show ip nat translations //查看IP转换表
PAT:
access-list 1 permit 192.168.10.0 0.0.0.255
//定义内网网段
ip nat pool tpm 76.12.16.139 76.12.16.140 netmask 255.255.255.0
//定义公网地址池
ip nat inside source list 1 pool tpm overload
//内外网绑定,加overload是启用端口,不加是动态NAT
int g0/0
ip nat inside //需要把规则绑定在进端口上,因为NAT是双向的
int g0/1
ip nat outside //需要把规则绑定在出端口上,因为NAT是双向的
debug ip nat //可以查看ip地址转换
**********************************************
标准ACL:(靠近目的地址)
access-list 表号 permit/deny 源ip地址 反子网掩码
反子网掩码:将正子网掩码0和1倒置。用来匹配,与0对应的需要严格匹配,与1对应的忽略。
标准ACL表号为1-99
例:
access-list 1 permit host 192.168.10.100 //允许192.168.10.100这个主机流量通过
access-list 1 deny host 192.168.10.1 //不允许192.168.10.1这个主机通过
access-list 1 permit any any //允许所有通过
将ACL表应用到接口:
int g0/0
ip access-group 表号 out/in
no access-list 表号 //删除ACL表
show access-lists //查看ACL表
扩展ACL:(靠近源地址)
access-list 表号 permit/deny 协议 源ip地址/网段 反子网掩码 目标ip地址/网段 反子网掩码 【eq 端口号】
扩展ACL表号100-1999
例:
access-list 111 deny icmp host 192.168.10.1 host 72.12.32.1
//拒绝主机192.168.10.1 ping通 主机72.12.32.1
access-list 111 permit ip host 192.168.10.1 host 72.12.32.1
//允许主机192.168.10.1访问主机72.12.32.1
access-list 111 permit ip any any
//允许所有通过
int g0/0
ip access-group 表号 in/out //把ACL应用到接口上才能生效
access-list 111 deny icmp 192.168.10.1 0.0.0.255 host 72.12.32.1
access-list 111 deny tcp 192.168.10.1 0.0.0.255 72.12.32.1 0.0.0.255 eq 80//eq是指定端口的意思
access-list 111 deny 192.168.10.1 0.0.0.255 72.12.32.1 0.0.0.255
命名ACL:
ip access-list standard/extended 111 //创建表名为111的标准或扩展ACL表
do show ip access-list //查看acl表
no 数字 //删除组中单一ACL语句
do show ip access-list
数字 deny tcp host 192.168.20.1 host 72.12.32.1 //添加ACL策略
exit