思科3560 配置命令

一、配置交换机vlan模式；有两种方式

第一种：

config#vlan ID    这里的ID是需要你个人给要划分的vlan起的编号

config-if#name 名字       

switch#show vlan brief   查看vlan 用来检验是否配置成功

第二种：

switch#vlan database    交换机的vlan配置状态

switch(vlan)#vlan ID name 名字    配置vlan 并且分配相应的名字

二、3560上开启路由功能配置

switch(config)#ip routing 

switch(config)#ip route ipaddress net-hop   配置路由（静态）

switch(config)#ip default-gateway ipaddress  配置网关

三、开启聚合链路配置

      #conf t

      SW(config)#interface range f1/1 - 2

      SW(config-if)#channel-group 1 mode desirable/on

      SW(config-if)#swithport

      SW(config-if)#switchport mode trunk

      SW(config-if)#switchport trunk encap dot1q

四、启动telnet管理模式

switch(config)#line vty 0 4

switch(config-line)#password 密码 

switch(config-line)#login

 五、开启cisco日志功能

switch(config)#logging on

switch(config)#logging trap 信息

switch(config)#logging host 你的IP地址

switch(config)#logging facility 你选着的信息

配置3550作为dhcp服务器

六、配置cisco启动dhcp功能

配置地址池

switch(config)ip dhcp pool 名字

switch(config-pool)network mask

switch(config-pool)dns-server 

switch(config-pool)default-router 网关

设置dhcp保留不分配的地址

switch(config)ip dhcp excluded-address 地址 地址

第一步；从起交换机

第二步；配置

1）按下MODE键后给3560加电。

2）在出现的菜单中选择第一项

system software:

    flash_init

    load_helper

    boot

switch:flash_init

switch:load_helper

3）重命名flash:config.text文件。

switch: ren flash:config.text flash:config.old 

4）重启交换机

switch: boot

5）当出现问你是否进行配置时，选择NO（因为它找不到配置文件config.text文件了）

Would you like to enter the initial configuration dialog? [yes/no]:no

6）从用户模式登录模式，无需密码。

Switch>en

Switch#

7）恢复刚才重命令的配置文件名.

Switch#ren flash:config.old flash:config.text

Destination filename [config.text]?直接回车

8）用老的配置文件替换当前的配置文件。

Switch#copy flash:config.text system:running-config

Destination filename [running-config]?直接回车

9）修改使用密码。

Switch#conf t

10) 保存密码

switch(config)#enable password song

switch#wr  or  copy running-config starting-config

OK到这里我们的密码就改好了。

一、交换机五种模式

Swith>                                    （用户模式）

Swith#                                     (模式)

Swith(config)#                           (全局配置模式)

Swith(config-if)#                            (接口模式)

Swith(config-line)#                        (线模式)

二、交换机模式切换

Swith>enable                              //切换到

Swith#config t                             //切换到全局配置模式

Swith(config)# interface f0/1                 //进入接口f0/0

Swith(config)# interface vlan 1               //进入VLAN 1中

Swith(config-if)#ip address 192.168.1.1 255.255.255.0 //对VLAN1设置IP地址和子网掩码

Swith(config-if)#no shutdown                 //激活VLAN1

三、设置交换机的密码

1、用户到的密码

Swith(config)#enable password 123  (优先级低)

Swith(config)#enable secret 456     (优先级高) //如果两个都设置则456生效

2、控制台console密码设置

Swith(config)# line con 0

Swith(config-line)#login

Swith(config-line)#password console123   //设置console密码为telnet123

3、启用telnet密码

Swith(config)#line vty 0 15   //最多有0~15人可以telnet访问swith，合计16人

Swith(config-line)#login

Swith(config-line)#password telnet123 //设置telnet密码为telnet123

注：要想真正生效telnet还要设置密码

①交换机命名hostname BENETSW01

Swith(config)#hostname BENETSW01          //使用hostname命名交换机的名字

四、show命令集

Swith#show version//显示IOS版本信息

Swith#show vlan id 10//简单的显示VLAN10的信息

Swith#show running-config//显示正在运行的配置文件

Swith#show startup-config//显示己经保存的配置文件

Swith#show mac-address-table//显示MAC地址表

Swith#show mac-address-table//显示MAC地址表更新的间隔，默认为5分钟

Swith#show neighbor detail//显示邻居详细信息

Swith#show traffic//显示CDP流量

Swith#show 

五、设置交换机的网关和DNS名称服务器的IP地址

Swith(config)# ip default-gateway 192.168.10.8//交换机的网关设置为192.168.10.8

Swith(config)#ip domain -name server 202.106.0.20 //设置DNS名称服务器地址

Swith(config)# no ip domain-lookup   //交换机名称服务器的域名查询

六、创建、删除、查看VLAN

Switch#vlan database       //进入vlan数据库配置模式

Switch(vlan)#vlan 2        //创建VLAN2命名为vlan0002，也可以使用vlan2 name sales

VLAN 2 added:

Name: VLAN0002

Switch(vlan)#exit                 //退出时应用生效

Swith(vlan)#no vlan 2               //删除vlan2

Switch(config)# interface f0/1

Switch(config-if)# switchport access vlan 2      //将端口加入vlan 2中

Switch(config-if)# no switchport access vlan 2      //将端口从vlan2中删除

Switch(config)# interface range f0/1 – 10            // 进行F0/1到10端口范围

Switch(config-if-range)# switchport access vlan 2  //将f0/1到f0/10之间的所有端口加入vlan 2

Switch# show vlan brief        //查看所有VLAN的摘要信息

Switch# show vlan id vlan-id        //查看指定VLAN的信息

七、开启并查看trunk端

Swith(config)#interface f0/24

Swith(config-if)#swith mode trunk //将f0/24端口设置为trunk

Switch#show interfacef0/24   switchport //查看f0/24的接口状态

八、从Trunk中添加、删除Vlan

Switch (config-if )# switchport trunk allowed vlan remove 3   //从trunk端口删除v lan3通过

Switch (config-if)# switchport trunk allowed vlan add 3      //从trunk端口添加vlan3通过

Switch # show interface interface-id switchport           //检查中继端口允许VLAN的列表

九、单臂路由配置

Router(config)# interface f0/0.1

Router(config-subif)# encapsolution dot1q 1 //子接口封装dot1q 针对的是VLAN1

Router(config-subif)# ip address  192.168.1.1 255.255.255.0 //设置VLAN的网关地址

Router(config)# interface f0/0.2

Router(config-subif)# encapsolution dot1q 2//子接口封装dot1q针对的是vlan2

Router(config-subif)# ip address192.168.2.1 255.255.255.0//设置vlan2的网关的地址

第一章：VTP

配置思路：

1>设置VTP域名

2>设置VTP模式

3>创建VLAN

4>配置其它VTP参数

vtp domian [domian name]      //设置vtp域名

vtp mode [server|client|transparent]  //设置vtp模式

vtp password [passdord]      //设置vtp口令

vtp pruning         //配置vtp修剪

vtp version 2         //运行vtp版本2

show vtp status        //查看vtp配置信息

第二章：STP

配置思路：

1> 启用STP协议

2> 设置根网桥

3> 配置以太通道

4> 配置上行链路、速端口

spanning-tree vlan [vlan-list]    //启用生成树协议

spanning-tree vlan [vlan-list] root [primary|secondary]    //配置跟网桥

spanning-tree vlan [vlan-list] priority [bridge-priority]   //修改网桥优先级

spanning-tree vlan [vlan-list] cost [cost]       //修改端口成本

spanning-tree vlan [vlan-list] port-priority [priority]    //修改端口优先级

spanning-tree uplinkfast      //配置上行链路

spanning-tree portfasr      //配置速端口

interface range f0/1 – 2     //进入1-2快速以太接口

channel-group 1 mode on      //配置以太通道

show spanning-tree       //查看生成树配置

show spanning-tree vlan [vlan-id] detail        //查看某个vlan的生成树详细信息

show etherchannel 1 summary     //查看以太通道1信息

第三章:三成交换

配置思路：

1> 开启三层交换路由功能

2> 配置VLAN IP地址

3> 关闭路由接口二层交换功能

ip routing          //开启路由功能

interface vlan [vlan-id]      //进入指定vlan

ip address [ip-address subnet-mask]       //配置vlan IP地址和子网掩码

no switchport         //配置接口为三层模式

ip helper-address [address]     //中继转发DHCP地址

show ip route         //查看路由表信息

show ip ecf         //查看FIB表信息

show adjacency detail      //查看邻接关系表信息

第五章:帧中继(Frame Relay)

配置思路：

1> 将路由器交换机转换成帧中继交换机

2> 设置帧中继交换机接口的带宽

3> 将接口IP地址关闭

4> 设置接口封装模式为帧中继

5> 设置接口DCE时钟频率

6> 配置接口封装协议

7> 配置接口成为DCE

8> 配置DLCI映射关系

9> 将接口开启

帧中继

frame-relay switching      //开启帧中继协议

bandwidth [值]        //设置接口带宽,反转ARP

no ip address         //将接口IP禁用

encapsulation frame-relay     //将接口封装模式为帧中继

clock rate [time]        //设置接口DCE时钟频率

frame-relay lmi-type [cisco|ansi]   //配置接口封装帧中继协议

frame-relay intf-typr [dce|dte]    //配置接口成为DCE或DTE

frame-relay route [值] interface [接口] [值]    //配置端口帧中继DLCI映射关系

no ip mroute-cache       //关闭路由高级缓存

本地帧中继

interface s0/0        //进入同步串行接口

encapsulation frame-relay     //配置接口封装方式为帧中继

frame-relay interface-hdlc [值]    //将的DLCI对应到帧中继接口上

frame-relay lmi-type [cisco|ansi]   //配置接口封装的类型

frame-relay map ip [ip address] broadcast     //配置DTE静态帧中继映射

第六章:PPP

配置思路：

1> 进入接口将接口封装为PPP协议

2> 配置配置接口IP地址

3> 配置主认证方PAP或者CHAP认证

4> 配置被认证方PAP或者CHAP认证

5> 配置IP地址协商

6> 配置PPP压缩

PAP

encapsulation ppp        //配置接口封装方式为PPP协议

ip address [ip address ip mask]    //配置接口IP地址和子网掩码

shutdown          //将接口关闭

no shutdown         //将端口开启

username [username] password 0 [password] //配置验证用户名和密码 "不带0是加密密码

ppp authentication [pap|chap]        //配置接口认证方式

ppp pap sent-username [username] password 0 [password] //配置被认证方用户密码 "PAP模式下需要填写的是主认证方的用户名和密码

CHAP

主认证方

username [username] password 0 [password] //配置主认证端用户名和密码

ppp encapsulation chap      //将端口封装成CHAP认证方式

被认证方

username [username] password 0 [password] //配置主认证方发送过来的用户名和被认证放自己的密码

ppp chap password 0 [password]    //在接口配置这条命令也可以达到相同的效果

IP协商

peer default ip address [ip address]  //在PPP服务器要分配给对方的IP地址

ip address negotiated      //在PPP客户端要获取服务器的IP地址

PPP压缩

compress [presictor|stac]     //在接口启用PPP压缩 " Predictor会消耗大量的内存，Stac会占用大部分的CPU资源

ip tcp header-compression     // 配置TCP头压缩

debug ppp packet        //启用调试模式来查看PPP连接状态和协商过程

第八章：OSPF单域

配置思路：

1> 开启OSPF路由协议

2> 发布接口所在区域

3> 修改OSPF其它参数

interface loopback 0       //进入路由器回环接口

ip address [ip address]      //配置回环接口IP地址多位路由器的RouterID

router ospf [进程号]       //启动OSPF路由协议，设置进程号

network [网段地址] [反码掩码] area [区域号]    //指定OSPF协议接口所运行的区域

ip ospf cost [值]        //修改接口Cost值

ip ospf hello-interval [时间]    //修改OSPF Hello值时间默认时间10秒

ip ospf dead-interval [时间]    //修改OSPF Dead(失效间隔)时间，默认是Hello的4倍

show ip ospf neighbor      //查看邻居列表

show ip ospf detabase      //查看链路状态数据库

show ip ospf         //查看OSPF配置

show ip ospf interface [接口]    //查看OSPF接口状态

show ip ospf proce-id      //显示指定进程信息

第九章：OSPF多域

配置思想：

1> 启用OSPF路由协议

2> 发布接口所在区域

area [area id] stub       //将指定区域设置成末梢区域

area [area id] stub no-summary    //将指定区域设置成完全末梢区域

debug ip ospf adj        //查看路由器临界的整个过程

clear ip router        //清空路由表

第十章：OSPF高级配置

配置思想：

1> 启用OSPF路由协议

2> 发布接口所在区域

3> 配置OSPF辅助地址

4> 配置路由重分发

5> 配置地址汇总

6> 配置徐链路

area [area id] nssa       //将路由器配置成非纯末梢区域

area [area id] nssa no-summary    //将在ASBR路由器设置为非纯末梢并不进行路由汇总

ip address [ip address] [netmask] secondary   //配置接口辅助地址

area [area id] range [ip address] [mask] //在区域间路由器进行路由汇总

summary-address [ip address] [mask]  //在ASBR路由器进行路由汇总

no summary-address       //删除路由汇总

ip route [ip address] [mask] null0   //汇总后的地址当实际地址不存在时候将不会再走默认路由而是丢弃该数据包

redistribute [protocol] [protocol id] metric [metric跳数] metric-type [metric-tpye值] |subnets

//路由重分发  如：

router rip          //启用RIP路由协议

redistribute ospf 2 metric 1    //将OSPF路由协议信息注入到RIP路由协议中 "OSPF的进程号是2 到达RIP路由协议路由器的跳数为1

redistribute rip metric 1 metric-tpye [1|2] subnets //将RIP路由协议信息注入到OSPF路由协议中 "其中metric 1 是给定一个OSPF代价，metric-tpye 1|2   1是计算整个路径的成本，2是不计算到达ASBR的路径成本，subnets 是网络汇总

passive-inerface [接口]      //在路由模式下，不管什么协议，只进行接收不发送

area [area id] virtual-link [对端IP地址] //设置与同个区域内的路由器建立虚链路 ”虚链路的地址为对端路由器的IP地址

default-information originate    //开启FSPF的默认动态路由，告诉下面其他路由学习它的默认路由

第十一章：HSRP

配置思想：

1> 配置HSRP组号虚拟地址

2> 配置HSRP优先级

3> 配置HSRP占先权

4> 配置HSRP端口跟踪

5> 配置HSRP其它参数

ip irdp multicast        //在路由器中进行IRDP广播，要让Solaris操作系统兼容需要用此命令

ip irdp preference [number]     //设置路由器IRDP优先级 "默认是0，值越大优先级越高

stanbdy [group number] ip [hsrp ip address]   //设置热备的组号和热备IP地址

no standby group ip       //取消一个端口用的热备IP地址

no ip redirects        //关闭活跃路由器地址，"防止主机知道路由器真是MAC地址

stanbfy [group number] priority [值]  //配置接口HSRP优先级

stanbdy [group number] preempt [值]  //设置接口HSRP占先权

stanbdy [group number] times [hellotime|holdtime] //配置HSRP HELLO之间和HSRP保持时间，默认HELLO时间是3秒，保持时间是10秒，保持时间最少应该是HELLO时间的3倍

stanbdy [group number] track [接口] [值] //配置跟踪端口 "接口是路由有要跟踪的端口，值是当接口链路不可用时热备接口优先级自动降低指定数值

no stanbey group track      //关闭端口跟踪

show stanbdy         //查看路由所有热备信息

show stanbdy brief       //查看路由热备状态

debug stanbdy         //启用热备调式模式

no debug all         //关闭所有调试模式

第十二章：ACL

配置思想：

1> 创建ACL规则列表

2> 将ACL规则应用到接口上

标准访问控制列表

access-list [list number] [deny|permit] [ip address] [mask]  //创建标准ACL规则如:

access-list 1 deny 192.168.1.20 0.0.0.0  //建立ACL 1的规则并拒绝源地址为192.168.1.20的IP地址访问网络

access-list 1 permit 192.168.1.0 0.0.0.255 //在列表1的ACL中追加一条允许192.168.1.0网段的IP地址允许访问网络

access-lias 1 permit 0.0.0.0 255.255.255.255 //在列表1的ACL中追加一条允许所有IP允许访问网络

access-list 1 permit any       //使用ANY通配符也可以达到允许所有地址访问网络的效果

access-list 1 permit host 192.168.1.10   //使用HOST通配符可以达到允许某个指定主机访问网络

ip access-group [access list number] in|out //在接口模式把某个ACL联系起来，指明ACL流量是应用于入口还是出口

扩展访问控制列表

access-list [access list number] [deny|permit] [protocol] [源地址] [目的地址] [lt|gt|eq|neq] [established      //创建ACL规则

[access list number]   //创建的ACL表号

  [deny|permit]     //允许或拒绝 

  [protocol]      //协议协议 

  [lt|gt|eq|neq]     //协议的端口 lt小于 gt大于 eq等于 neq不等于

  [established]     //如果数据包已建立链接ACK为1时，便可以允许数据的通过

如：

access-list 100 deny tcp 172.16.0.10 0.0.255.255 any eq 21  //拒绝172.16.0.0的网段访问所有目的地址TCP协议的21端口

命名访问控制列表

ip access-list [standard|extended] [name]  //命名一条标准或者扩展的ACL如：

ip access-list extended weetzhen

deny tcp host 172.16.0.10 any eq 80   //拒绝主机为172.16.0.10 TCP协议的80端口通过

permit ip any amy         //允许所有主机IP协议通过

ip access-group weetzhen out     //在接口上应用weetzhen的ACL列表

no ip access-group [list number]    //在接口模式删除指定ACL列表

no access-list [list number]     //在全局模式删除指定ACL列表

show ip interface [interface]     //查看接口详细信息

show access-list         //查看路由器所有ACL信息

show access-list [list name]     //查看路由器指定名字的详细信息

第十三章：NAT

配置思想:

1> 创建ACL规则

2> 将内网要和的IP地址做NAT映射

3> 配置要转换的公网IP地址池

4> 配置负载均衡

5> 启动接口NAT是出口还是入口

静态NAT

ip nat inside source static [目标ip] [转换外部ip]  //将内部局部地址转换为内部全局地址

ip nat [inside|outside]       //在接口模式启用NAT，并表明是入口还是出口

动态NAT

access-list [list number] permit [源IP] [反码]   //配置ACL规则

ip nat pool [pool name] [star ip] [end ip] [netmask]  //配置IP地址池如：

ip nat pool GWIP 61.134.2.100 61.134.2.150 255.255.255.0 type rotary

GWIP     //地址池的名称

61.134.2.100   //要映射分配地址池公网IP的起始地址

61.134.2.150   //要映射分配地址池公网IP的终止地址

255.255.255.0   //要映射分配地址池公网IP的子网掩码

type rotary   //地址池中的地址为循环使用

ip nat inside source list [list number] pool [pool name]  //将ACL列表中的地址转换为公网地址池的地址如：

ip nat inside source list 1 pool GWIP   //将ACL列表1的规则对应到地址池为GWIP中，也就是说在ACL列表1的内网IP地址在访问公网时将被转换成公网IP为：

61.134.2.10～61.134.2.150的IP地址

ip nat translation timeout [time]    //动态NAT地址失效的时间，默认是24小时

ip nat [inside|outside]       //在接口模式启用NAT，并表明是入口还是出口

PAT NAT

使用外部全局地址

同样要定义ACL规则

ip nat pool onlyone 61.134.2.100 61.134.2.100 netmask 255.255.255.248  //定义公网IP地址池，onlyone 为名称 由于只有一个IP地址，所以起始地址和终止地址都是相同的，子网掩码为255.255.255.248

ip ant inside source list [list unmber] pool [pool number] overload  //将ACL列表的IP地址与公网地址池的IP地址建立映射关系 "注意：在使用PAT时必须在后面加上overload否者只能有一台主机IP地址被映射到公网上如：

ip nat inside source list 1 pool PATNAT overload     //将ACL列表1的IP地址都映射为PATNAT的公网地址访问网络

同样也要在接口中启动、指明那个接口是出口和入口

使用服用路由外部接口地址

同样要定义ACL规则

由于只有一个公网IP地址，所以不需要定义IP地址池了

ip nat inside source list 

interface [interface] overload   //将ACL列表的地址与接口建立映射关系如：

ip nat inside source list 1 interface s0/0 overload    //将ACL列表为1的内部IP地址映射到S0/0接口上，所有ACL列表1的IP地址都使用S0/0接口的IP地址做NAT转换

ip nat [inside|outside]       //在接口模式启用NAT，并表明是入口还是出口

set ip next-hop [ip address]     //指定数据包的出口下一条IP地址（用于策略路由）

set default interface [interface]    //指定数据包默认走的接口

set ip tos [max-reliability|min-delty|max-thtoughput|min-monerytary-cost|normal] 

//指定数据包类型

max-reliability         //最大可靠性

min-delty           //最小延时

max-thtoughput         //最大通过率

min-monerytary-cost        //最小开销货币

TCP负载均衡

interface s1/0         //进入S0/0接口

ip address 61.134.2.100 255.255.255.224  //配置IP地址

interface f0/0         //进入F0/0接口

ip address 192.168.1.1 255.255.255.0   //配置IP

access-list 1 permit 192.168.1.254    //创建ACL规则列表1并允许192.168.1.254的虚拟IP访问网络

ip nat pool real-hoat 192.168.1.1 192.168.1.3 prefix-length 24 type rotary

//配置一个名为real-host的地址池IP为：192.168.1.1～192.168.1.3的地址子网掩码长度为24位rotary表示轮循池

ip nat inside destination list 1 pool real-host     //将ACL列表1的IP

（192.168.1.254）虚拟IP地址和地址池（real-host）的真是主机建立映射

ip nat [inside|outside]       //在接口模式启用NAT，并表明是入口还是出口

show ip nat translations       //查看NAT转换表

show ip nat statistics       //查看NAT配置信息

第十四章：VPN

配置思想：

IKE部分: 1>IKE协商策略配置使用的认证算法

2>配置告诉对端路由预先贡献分的密钥

3>设置共享密钥和对端IP地址

      IPSec部分：1>配置IPSec传输模式名字、AH认证、ESP加密、ESP加密

        2>配置VPN的ACL规则

端口部分：1>创建Crypto Map

   2>设定VPN链路对端IP地

   3>设置Crypto Map使用的传输模式

   4>指定Crypto Map使用的ACL规则列表

   5>在接口上使用Crypto Map

IKE协商

crypto isakmp policy [1～10000]     //建立IKE协商策略、优先级

hash [md5|sha1]         //使用认证的算法

authentication pre-share       //告诉对端路由预先共享的密钥

crypto isakmp key [key name] address [ip address]    //设置共享密钥与对端要建立VPN的IP地址

IPSec协商

crypto ipsec transform-set [set name] [ah-md5-hmac|ah-sha-hmac] [esp-des|esp-3des|esp-null] [esp-dm5-hmac|esp-sha-hmac]   //配置IPSec传输模式如：

crypto ipsec transform-set weetzhen ah-md5-hmac esp-des esp-md5-hmac

weetzhen           //IPSec的名字

ah-md5-hmac          //AH所使用的认证方法

esp-des           //ESP所使用的加密方法

esp-md5-hmac          //ESP所使用的认证方法

access-list [list unmber] permit ip [源IP] [netmask] [目的IP] [netmask]

//创建ACL规则列表，这里是允许私网到私网的地址

端口应用

crypto map [map name] [1～65535] ipsec-isakmp //创建Crypto map的名字、优先级、声明IKE是自动协商的

set peer [对端IP]        //设定对端VPN链路的IP地址

set transform-set [map name]     //设定Crypto map使用的传输模式，名字是上面创建的Map name

match address [access-list]      //指定Crypto Map使用的ACL规则

interface [interface]       //进入接口

crypto map [map name]       //在接口用启用Crypto Map，Map的名字为

show crypto isakmp policy      //查看所有尝试协商的策略

show crypto ipsec transform-set     //查看路由上设置的transform-set

show crypto ipsec sa        //查看当前使用的安全联盟

show crypto map         //查看路由器上的Crypto Map

第十五章：VoIP

配置思想：

1> 配置接口IP地址

2> 配置默认或者静态路由

3> 配置开启语音电话进程号

4> 指明本机VoIP电话号码

5> 将VoIP电话号码绑定到语音接口上

6> 指明VoIP的配置进程号

7> 配置要打的电话号码

8> 将要打的电话号码映射到路由接口的IP地址上

interface [interface]       //进入接口

ip address [ip address] [netmask]    //配置IP地址和子网掩码

ip route [目标IP] [目标掩码] [下一条IP]  //配置静态或者默认路由

dial-peer voice [1～21474837] pots   //为语音单口配置，端口号，1是配置的进程号

destination-pattern [号码]      //设置接口的VoIP电话号码

port [interface]         //将号码绑定在指定接口上

dial-peer voice [1～21474837] voip   //指明是要设置的VoIP配置，进程号

destination-pattern [对方号码]     //致命对方的VoIP号码

session targe ipv4:[ip address]     //将号码映射到本路由器的出口上

第十六章：IPv6

配置思想：

1> 启用路由转发IPv6协议

2> 定义启用IPv6 RIP协议及名字

3> 配置接口IPv6地址

4> 在接口上启用IPv6 RIP协议

interface [interface]       //进入接口

ipv6 address [ipv6 address]      //配置接口的IPv6地址

no shutdown          //将接口开启

ipv6 unicast-routing        //开启路由IPv6转发功能

ipv6 router rip [rip name]      //配置路由ipv6 RIP协议，为RIP协议命名

ipv6 rip [rip name] enable      //在接口上启用IPv6 RIP协议

show ipv6 route         //查看IPv6路由表

附：策略路由

基于源路由策略

配置思想：

1>网络管理员手动干涩数据包在路由器转发的路径

2>让数据包的流向可以随着网络管理员的配置

3>从而达到能控制数据包流向的过程

access-list 100 permit ip 192.168.200.0 0.0.0.255 61.134.1.20 0.0.0.255

//创建ACL规则列表为100 允许源地址为192.168.200.0网段的IP协议数据包访问目的地址为：61.134.1.20的流量

access-list 110 permit ip any 61.134.1.20 0.0.0.255

//创建ACL规则列表为110 允许所有地址IP协议数据包访问目的地址为：61.134.1.20的流量

route-map Policy1 permit 10

//建立侧裂路由，定义策略路由名字为：Policy1 优先级为：10

match ip address 100

//定义这条策略路由所引用的ACL规则条目为：100

set default interface [interface]

//指定如果符合定义ACL规则的条目的数据包将默认走指定的接口

route map Policy1 permit 20

//在原先的策略路由中再追加一条策略路由，名字还是：Policy1优先级为：20

match-map ip address 110

//定义这条策略路由所引用的ACL规则条目为：110

set default interface [interface]

//指定如果符合定义ACL规则的条目的数据包将默认走指定的接口

interface [interface]

//进入指定接口

ip policy route-map Policy1

//在接口中应用Policy1的策略路由

基于通信量策略

配置细想：

1>通过管理员干涩将指定的数据流量能按照管理员的意思选择路径

access-list 100 permit tcp any any eq smtp

//创建一条名为100的扩展ACL，允许所有网络地址访问所有目的地址TCP协议的SMTP端口

route-map TrafficPolicy1 permit 10

//建立一个策略路由名为：TrafficPolicy1优先级为：10

match ip address 100

//定义这条策略路由引用ACL为100的列表规则

set ip next-hop [next ip address]

//设置这条策略路由的下一跳地址（如果符合ACL列表为100的网络地址访问是TCP协议SMTP端口的数据包，将被发送到下一跳接口上）

route-map TrafficPolocy1 permit 20

//在原先的策略路由中再追加一条策略路由优先级为：20

set ip next-hop [next ip address]

//设置这条策略路由的下一跳地址

interface [interface]

//进入接口

ip policy route-map TrafficPolocy1

//在接口中应用名为：TrafficPolocy1的路由策略

服务类型策略

配置思想：

      1>让路由器发送过来的数据包做TOS优先级处理

      2>达到Qos服务质量处理过程

假设：R2路由器内的网络是服务于银行系统，需要安全性较高的网络质量，R3路由器内的网络服务于语音业务系统，对延时较为敏感，R5路由器内为骨干网络，R6为.....

我们就考虑于不同类型的数据包该如何去处理

可以给R2网络发送过来的数据包设置为最大可靠性，R3网络发过来的数据包设置为最小延时，R5网络发送过来的数据包设置成最大通过率，R6当然以一样了！！！就假定R6为最小货币开销

根据网络类型来设置路由策略，主要配置在R1和R4路由器上

R1：

access-list 1 permit 192.168.1.0 0.0.0.255

//创建ACL规则列表为1允许192.168.1.0网段数据包流量通过

access-list 2 permit 192.168.10.0 0.0.0.255

//创建ACL规则列表为2允许192.168.10.0网段数据包流量通过

route-map TosPolicy1 permit 10

//创建一条策略路由名为为：TosPolicy1优先级为10

match ip address 1

//将这条策略路由引用ACL列表1的规则

set ip tos max-reliability

//设置这条策略路由的Tos为:max-reliability（最大可靠性）

route-map TosPolicy1 permit 20

//在原先的策略路由中追加一条策略路由，优先级为20

match ip address 2

//将这条策略路由引用ACL列表2的规则

set ip tos min-delty

//设置正如条测录入路由的Tos为:min-delty(最小延时)

route-map TosPolicy1 permit 30

//在原先的策略路由中追加一条策略路由，优先级为30

set ip tos normal

//设置这条策略路由的Tos为normal（正常）

interface s1/0

//进入接口S1/0

ip policy route-map Tospolicy1

//在接口中应用名为Tospolicy1的路由策略

interface s1/1

//进入接口S1/1

uo policy route-map TosPolicy1

//在接口中应用名为Tospolicy1的路由策略

R4：

配置基本和R1一样，只是在设置Tos类型中盖面而已

set ip tos max-thtoughput

//设置路由的Tos为max-thtoughput（最大通过率）

set ip tos min-monerytary-cost

//设置路由的Tos为min-monerytary-cost（最小货币开销)

然后将策略路由应用到接口上

多ISP internet介入

为路由配置接口IP地址：

内网

interface f0/0

ip address 192.168.0.1 255.255.255.0

ip nat inside

interface f0/1

ip address 168.168.18.158 255.255.255.252

ip nat outside

interface s1/0

ip address 68.18.18.2 255.255.255.248

ip nat outside

ip nat pool Isp1_Pool 168.168.18.159 168.168.18.165 netmask 255.255.255.224

//创建一个公网IP地址池名为：Isp1_Pool，地址池起始IP为：168.168.18.159终止IP为：168.168.18.165子网掩码为：255.255.255.224（也就是为第一个ISP的地址池）

ip nat pool Isp2_Pool 68.18.18.3 68.18.18.10 netmask 255.255.255.248

//与上条命令一样，为第二个ISP的ISP地址池

access-list 100 permit ip 192.168.0.0 0.0.0.255 any

//创建一条名为100的ACL规则允许192.168.0.0网段的IP数据包流量通过

route-map Isp1 permit 10

//建立一个策略路由名为：Isp1优先级为：10

match ip address 100

//将这条策略路由引用ACL为100的规则

match interface f0/1

//将这条策略路由应用到F0/1接口上

ip nat inside source route-map Isp1 pool Isp1_Pool

//将Isp1引用的ACL规则地址与定义的Isp1_Pool地址池的地址做NAT转换

route-map Isp2 permit 20

match ip address 100

match interface s1/0

ip nat inside source route-map Isp2 pool Isp2_Pool

//同上

ip route 0.0.0.0 0.0.0.0 168.168.18.158

ip route 0.0.0.0 0.0.0.0 68.18.18.2

//发布2条默认路由的下一条浮动地址

端口多路复用：

同PAT一样为接口配置好IP，启用NAT，指定接口为入口或者出口

access-list 1 permit 192.168.18.0 0.0.0.255

//创建一个标准的ACL名为1的列表允许192.168.18.0网段地址数据包流量通过

注：由于直接使用外部接口地址，所以不再定义IP地址

route-map Isp1 permit 10

match ip address 1

match ip interface f0/1

//建立一个策略路由名为Isp1优先级为10

将这条策略路由引用ACL列表为1的规则

将这条策略路由应用到F0/1接口上

ip nat inside source route-map Isp1 interface f0/1 overload

ip nat inside source route-map Isp2 interface s1/0 overload

//将Isp1和Isp2应用的ACL规则地址与F0/1个S1/0接口硬扯NAT

ip route 0.0.0.0 0.0.0.0 168.168.18.158

ip route 0.0.0.0 0.0.0.0 68.18.18.1

//设置浮动默认路由

在“7.1.2 VLAN的实现原理”部分看到，要传输多个VLAN的通信，就需要用专门的协议封装或者加上标记（tag），以便接收设备能区分数据所属的VLAN。VLAN标识从逻辑上定义了，数据包使用哪种协议进行封装。而最常用到的是IEEE 802.1Q和CISCO私有的ISL协议。

除IEEE 802.1Q、ISL协议外还有两种封装技术：IEEE 802.10和ATM LAN仿真（LANE）。IEEE 802.10常用于光纤分布接口（FDDI）帧内传达VLAN的信息。而LANE则用于异步传输模式（ATM）网络中传输VLAN。下面介绍IEEE 802.1Q和ISL协议，以替代ISL的动态中继协议。

1．ISL（交换机间链路）

是一种CISCO专用的协议，用于连接多个CISCO交换机。使用ISL后，每个数据帧头部都会被附加26字节的“ISL包头（ISL Header）”，并且在帧尾携带上包括ISL包头在内的整个数据帧进行计算后得到的4字节CRC值。换而言之，就是总共增加了30字节的信息，如图 7-5所示。在使用ISL的环境下，当数据帧离开汇聚链路时，只要简单地去除ISL包头和新CRC就可以了。由于原先的数据帧及其CRC都被完整保留，因 此无须重新计算CRC。ISL有如用ISL包头和新CRC将原数据帧整个包裹起来，因此也被称为“封装型VLAN（Encapsulated VLAN）”。图7-8中显示了ISL的数据帧。

2．IEEE 802.1Q（虚拟桥接局域网标准）

IEEE 802.1Q，俗称“Dot One Q”，正式名称是虚拟桥接局域网标准，用在不同的产家生产的交换机之间。一个IEEE 802.1Q干道端口同时支持加标签和未加标签的流量。一个802.1Q干道端口被指派了一个默认的端口Vlan ID（PVID），并且所有的未加标签的流量在该端口的默认PVID上传输。一个带有和外出端口的默认PVID相等的Vlan ID的包发送时不被加标签。所有其他的流量发送是被加上Vlan标签的。

IEEE 802.1Q所附加的VLAN识别信息，位于数据帧中“发送源MAC地址”与“类别域（Type Field）”之间。具体内容为2字节的TPID和2字节的TCI，共计4字节。在数据帧中添加了4字节的内容，那么CRC值自然也会有所变化。这时数据 帧上的CRC是插入TPID、TCI后，对包括它们在内的整个数据帧重新计算后所得的值。

而当数据帧离开汇聚链路时，TPID和TCI会被去除，这时还会进行一次CRC的重新计算。TPID的值，固定为0x8100。交换机通过TPID， 来确定数据帧内附加了基于IEEE 802.1Q的VLAN信息。基于IEEE 802.1Q附加的VLAN信息，就像在传递物品时附加的标签。因此，它也被称作“标签型VLAN（Tagging VLAN）”。图7-9中显示了IEEE 802.1Q的数据包。

不论是IEEE 802.1Q的“Tagging VLAN”，还是ISL的“Encapsulated VLAN”，都不是很严密的称谓。不同的书籍与参考资料中，上述词语有可能被混合使用，因此需要大家在学习时格外注意。

3．动态中继协议

动态中继协议DTP，是 VLAN 组中思科的私有协议，主要用于协商两台设备间链路上的中继过程及中继封装 802.1Q 类型。DTP的用途是取代动态ISL（Dynamic ISL，DISL）。

下列是DTP可以配置的几种不同的状态：

    * Access：使某个接口无条件进入Access模式，无DTP功能。

    * Trunk：使某个接口无条件进入trunk模式并进行trunk链路协商，无论其邻居接口处于何种模式。

    * Nonegotiate：指定DTP协商报文不允许在二层接口上发送。非协商状态，使接口成为永久的中继接口。由于接口不使用DTP信息帧进行通信，因此 不会有协商发生。如果与非交换机设备相连的交换机接口存在DTP问题，那么在使用trunk之后可以使用nonegotiate，使得接口可以继续中继， 但不会发送任何DTP信息。

    * Dynamic desirable：使某个接口既主动发送DTP报文，也允许对DTP报文进行响应，这是以太网接口的默认状态。如果邻居接口是中继接口，并且被设置为 on，desirable或auto，那么希望desirable状态下的这个接口成为中继接口。

    * Dynamic auto：使某个接口可以响应DTP报文，但不允许主动发送DTP报文。只有在相邻接口要求该接口成为中继接口时才会成为中继接口。这是所有交换机接口的 默认配置。auto接口不会主动要求对方，如果两个接口都被配置成auto状态，那么这两个接口都不会成为中继端。

    * On：无论对端配置如何，该接口始终为中继接口。使用on状态时，必须指明帧的标记方式，因为此状态下接口不与对端进行协商。

    * Off：该拉口永远是非中继接口。

隧道技术的用途

在前面已经出现了很多次Trunk这个词汇，但并没有详细的进行解答。我们知道交换机的接口可以运行在接入模式（Access Mode）或者干道模式（Trunk Mode）。交换机接口所连接的链路也被相应地称为接入链路和trunk链路。在接入模式下，接口属于且仅属于一个VLAN。

而Trunk（干道）是一种封装技术，它是一条点到点的链路，主要功能就是仅通过一条链路就可以连接多个交换机从而扩展已配置的多个VLAN，如图 7-10所示。

同时trunk链路可以连接一台交换机或者路由器或者服务器（特殊网卡），还可以采用通过trunk技术和上级交换机级联的方式来扩展接口的数量，可以达到近似堆叠的功能，节省 了网络硬件的成本。

　　提示：trunk链路不属于任何一个VLAN，它只是在网络中起到了管道的作用。Trunk承载 的VLAN范围，默认下是1～1005，可以修改，但必须有1个Trunk协议。使用Trunk时，两台交换机连接接口上的协议要一致。配置为Trunk 链路的接口，通常都是交换机上支持最大带宽的带宽口。

表7-6列出了和Trunk操作有关的命令。

    表7-6 在基于IOS的交换机上配置trunk

Switch(config-if)# switchport trunk allowed vlan {add | all | except | remove} vlan-list要trunk传送的VLAN，从允许的VLAN 列表中去除某些VLAN。如执行Switch2（config-if）#switchport trunk allowed vlan remove 10 之后，VLAN 10的将不被传递。

配置Trunk上允许的VLAN列表。使用add（添加）、all（所有）、except（除外）和remove（移除）关键字，可以定义允许在 Trunk上传输的VLAN。VLAN列表既可以是一个VLAN，也可以是一个VLAN组。当同时指定若干VLAN时，不要在“,”或“-”间使用空格。

利用Trunk解决问题

当多台交换机同时被划分为两个或两个以上VLAN时，需要创建Trunk，使不同交换机之间的VLAN能够借助于一链路进行通信，否则，VLAN将被 在交换机内，无法与其他交换机进行通信。默认状态下，第二层接口自动处于动态的Switchport模式，当相邻接口（即借助于双绞线或光纤连接在一 起的两个接口）支持Trunk，并且配置为Trunk或动态匹配模式，该链接将作为Trunk。

1．建立Trunk隧道

工程师在排除问题的过程中，对Switch1的fastEthernet 0/2和Switch2的fastEthernet 0/1接口分别设置为Trunk，并在每一个接口都采用dot1q协议进行干道封装。

下面是Switch2的配置：

Switch2(config)# interface fastEthernet 0/1

Switch2(config-if)#Switchport mode trunk    //设置接口为Trunk模式

Switch2(config-if)#Switchport trunk encapsulation dot1q //设置封装的类型

对于Switch1上的fastEthernet 0/2接口，请和上面的Switch2交换机配置相同的封装协议，这样可以避免很多Trunk不匹配的问题。

需要注意的是，Trunk 端口默认情况下会传送所有的VLAN的通信。要查看Trunk接口的信息和允许通过此接口的VLAN，可以使用命令：show interfas interface-id switchport输出结果：

Name: Fa0/1

Switchport: Enabled

Administrative Mode: trunk

Operational Mode: trunk

Administrative Trunking Encapsulation: dot1q

Operational Trunking Encapsulation: dot1q

Negotiation of Trunking: On

Access Mode VLAN: 1 （default）

Trunking Native Mode VLAN: 1 （default）

Trunking VLANs Enabled: ALL

Pruning VLANs Enabled: 2-1001

Protected: false

Unknown unicast blocked: disabled

Unknown multicast blocked: disabled

Voice VLAN: none （Inactive）

Appliance trust: none

2．测试连通性

工程师在调试完两边的Trunk封装之后，在Switch2交换机VLAN2中有一台主机Host A将IP地址设置为：192.168.0.1/24，在Switch1交换机的VLAN2中也有一台主机Host B其IP地址设置为：192.168.0.2/24，如果在连接Host A可以Ping通，对Host B的话，就可以证明隧道配置没有问题，并已经起到了作用。

但是如果在这两台交换机之中，两个工作站分别在不同的VLAN之中，则相互Ping对方的话，是不能通信的。

从而说明：不同交换机之间的工作站通过Trunk相连接，只有这些工作站在同一个VLAN之中才可以相互通信，而不同VLAN中的工作站是不能通过 Trunk来通信的。VLAN技术将一个大的局域网划分为若干个小的虚拟子网，从而使每一个子网都成为一个单独的广播域，子网之间进行通信必须通过三层设 备。当VLAN在交换机上划分后，不同VLAN间的设备就如同是被物理地分割。也就是说，连接到同一交换机、然而处于不同VLAN的设备，就如同被物理地 连接到两个位于不同网段的交换机上一样，彼此之间的通信一定要经过路由设备；否则，他们之间将无法得知对方的存在，将无法进行任何通信。

做单臂路由

interface f0/0

no shut

interface f0/0.1

enca do 1

ip address 192.168.1.1 255.255.255.0

no shut

exit

in f0/0.2

enc do2

ip address 192.168.2.1 255.255.255.0

no shut

exit

Router>enable

　　Router#config 

　　Configuring from terminal, memory, or network [terminal]? 

　　Enter configuration commands, one per line. End with CNTL/Z. .................进入全局配置模式 

　　Router(config)#interface fa0/0 ................进入和交换机连接的那个接口 

　　Router(config-if)#no shutdown ................激活该端口 

　　Router(config-if)#interface fa0/0.1 ...........配置 子接口 这是配置单臂路由的关键，这个接口是个 逻辑接口，并不是实际存在的物理接口，但是功能却和物理接口是一样的。 

　　Router(config-subif)#ip address 192.168.2.1 255.255.255.0 .........为该接口划分ip地址。 

　　Router(config-subif)#encapsulation dot1q 2 .......为这个接口配置802.1Q协议，最后面的 2 是vlan 号，这也是关键部分 

　　Router(config-subif)#exit 

　　Router(config)#interface fa0/0.2 .....同样，进入第2个子接口，进行配置 

　　Router(config-subif)#ip address 192.168.3.1 255.255.255.0 ......划分ip地址和子网掩码 

　　Router(config-subif)#encapsulation dot1q 3 .........配置802.1Q协议 

　　Router(config-subif)#end 

　　%SYS-5-CONFIG_I: Configured from console by console ..........完成配置 

　　下面是测试结果： 

　　经过分别对两台机子互相ping的测试，可以发现能够ping通，说明实验成功。