一、 交換機、路由器的幾種配置模式及模式轉(zhuǎn)換

（1）用戶模式：登錄到交換機（路由器）時會自動進入用戶模式，提示符為 switchname>。在該模式下只能夠查看相關(guān)信息， 對 IOS的運行不產(chǎn)生任何影響。

（2）特權(quán)模式： 用戶模式下， 鍵入“enable”即可進入特權(quán)模式，提示符為 switchname#。在該模式下可以完成任何操作，包括檢查配置文件、重啟交換機等，它是命令集在用戶模式下的超集。

（3）全局配置模式：在特權(quán)模式下鍵入“ config terminal”命令進入全局配置模式，提示符為“ switchname（config）#”。

（4）局部 (子)配置模式：在全局模式下鍵入特定配置命令（如interface ethernet0/1 等），即可進入以太網(wǎng)端口等局部配置模式，提示符為“ switchname（config-xx ）”。該模式用于單獨對組件、端口、進程等進行配置。

二、 基本配置

（1） 口令與主機名

在全局配置模式下：

hostname

hostname :設置設備名稱

usernaeme

usernamepassword password : 設置訪問用戶及密碼（明文）

password password : 設置登錄密碼

enable secret

secret : 配置超級用戶加密口令

（2） IP 地址與網(wǎng)關(guān)設置

在接口配置子模式下：

ip address

ip_address mask: 設置端口

ip default-gateway ip_address : 設置默認網(wǎng)關(guān)

（3） 端口配置參數(shù)

Speed 10|100|auto :

設置端口速率， 10Mb/s、100Mb/s、自適應

Duplex auto|full|half : 設置端口通信方式，有自適應、全雙工、半雙工三種

三、VLAN 的基本配置 （劃分方式、 配置步驟和基本配置命令）

VLAN 即虛擬局域網(wǎng)， 是網(wǎng)絡設備上連接的不收物理位置限制的用戶的一個邏輯組。 VLAN 創(chuàng)建了不限于物理段的單一廣播域， 并可以像一個子網(wǎng)一樣對待該廣播域。

VLAN 的劃分方式：基于端口（靜態(tài)劃分），基于 MAC，基于網(wǎng)絡協(xié)議，基于 IP 組播，按策略劃分，非用戶定義或非用戶授權(quán)劃分。

四、 VTP 協(xié)議與 STP 協(xié)議概念及配置命令

1、VLAN 中繼協(xié)議（VLAN Trunking Protocol,VTP）是指在同一域的交換機與交換機 （或者交換機與路由器） 之間的物理鏈路上傳輸多個 VLAN 信息的技術(shù)， 通過VTP可以保證整個網(wǎng)絡 VLAN 信息的一致。

VTP有三種工作模式：服務模式（ server）、客戶模式 (client)和透明模式（ transparent）。交換機默認工作在 VTP 服務模式。

Trunk：在路由與交換領(lǐng)域，Trunk 是指 VLAN 的端口聚合，用來在不同交換機之間進行連接， 以保證在跨越多個交換機上建立的同一個 VLAN 的成員能夠互相通信。

2、生成樹協(xié)議（ STP）是一個數(shù)據(jù)鏈路層的協(xié)議，其主要功能是允許有多條交換或橋接的路徑， 而不會對網(wǎng)絡造成產(chǎn)生環(huán)路延時的影響。通常交換機默認的 STP 優(yōu)先級為 32768。

五、 路由選擇協(xié)議的相關(guān)概念及配置命令

路由器可以用兩種方式進行路由選擇， 即靜態(tài)和動態(tài)。 動態(tài)選擇協(xié)議又有距離矢量（ RIP、IGMP）、鏈路狀態(tài)路由（ OSPF）和混合路由（ EIGRP）三種類型。

路由器的設置方式：

Console 端口是虛擬操作臺端口，通過該端口可直接實施配置操作。

AUX 端口是用于遠程調(diào)試的端口，一般連接在 MODEM 上，設備安裝維護人員通過遠程撥號進行設備連接，實施設備的配置。

TTY 端口是異步端口，僅用于訪問服務器的異步接口。

VTY 端口接虛擬終端線，通過路由器的同步端口接入 Telnet 等

連接。

靜態(tài)路由設置命令：

ip route 目的網(wǎng)絡地址 子網(wǎng)掩碼 下一跳地址 |接口 [管理距離 ] [tag

tag] [permanent]（注： permanent 指定此路由即使該端口關(guān)閉也不被移除）

六、 路由器網(wǎng)絡地址轉(zhuǎn)換 NAT 的配置命令

網(wǎng)絡地址轉(zhuǎn)換 (NAT) 具有將內(nèi)部私有地址轉(zhuǎn)換為外部合法的全局地址的功能，可以分為靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換和復用地址三種。

靜態(tài)地址轉(zhuǎn)換是將本地地址與合法地址一對一的轉(zhuǎn)換， 且需要制定和哪個合法地址進行轉(zhuǎn)換。

動態(tài)地址轉(zhuǎn)換也是將本地地址與合法地址一對一的轉(zhuǎn)換， 但是動態(tài)地址轉(zhuǎn)換是從合法地址池中動態(tài)的選擇一個未使用的地址進行轉(zhuǎn)換。

復用地址轉(zhuǎn)換也是一種動態(tài)地址轉(zhuǎn)換， 它允許多個本地地址共用一個合法地址，指申請少量的 IP 地址，但經(jīng)常擁有多個合法地址。

七、 路由訪問控制列表的配置（標準 ACL/ 擴散ACL、ACL 的應用）

是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。Access-list 用于創(chuàng)建訪問規(guī)則。

八、 PSTN

公共電話交換網(wǎng)絡（ public switched telephone network），其應用可分為兩種類型，一種是同等級別機構(gòu)之間以按需撥號（DDR）的方式實現(xiàn)互聯(lián)；另一種是 ISP 以撥號上網(wǎng)的方式為用戶提供遠程訪問服務的功能。

全局設置命令：

基本接口設置命令：

DDR(dial-on-demand routing)，（xxx）

九、 ISDN

綜合數(shù)字業(yè)務網(wǎng)（ ISDN）由數(shù)字電話和傳輸服務兩部分組成，一般由電話局提供這種服務，基本速率接口提供（ 2B+D）信道，主速率接口（ PRI）提供（23B+D）。

十、 X.25

X.25 定義了數(shù)據(jù)通信的電話網(wǎng)絡，每個分配給用戶的 X.25 端口

都有一個 X.121 地址。

十一、 PPP

PPP 提供了跨過同步和異步電路實現(xiàn)路由器到路由器和主機到網(wǎng)絡的連接； CHAP(Challenge Handsome authentication protocol) 和PAP (password authentication protocol)通常被用于在 PPP封裝的串行線路上提供安全性認證。

設置 DCE 端線路速度： clockrate speed

十二、 FR(幀中繼 )

一種用于統(tǒng)計復用分組交換數(shù)據(jù)通信的接口協(xié)議，分組長度可變，沒有流量控制也沒有糾錯。

十三、 VPN

VPN 是通過公用網(wǎng)絡 internet 將分布在不同地點的終端連接而成的專用網(wǎng)絡。

十四、 防火墻

防火墻是一項協(xié)助確保信息安全的設備， 會依照特定的規(guī)則， 允許或是限制傳輸?shù)臄?shù)據(jù)通過。 防火墻可以是一臺專屬的硬件也可以是架設在一般硬件上的一套軟件

用戶模式： pixfirewall>

特權(quán)模式：鍵入 enable后， pixfirewall#

配置模式：鍵入 config terminal 后， pixfirewall(config)#

監(jiān)視模式： PIX 防火墻在開機或重啟過程中， 按住 escape鍵或發(fā)送一個“ break”字符，進入監(jiān)視模式，這里可以更新 OS 映像和口令恢復， monitor>。

firewall(config)#firewall enable | disable: 啟動或關(guān)閉防火墻

1、常規(guī)配置

(1) 配置防火墻的名字，并指定安全級別（ nameif）

Firewall(config)# nameif ethernet0 outside security0

Firewall(config)# nameif ethernet0 inside security100

Firewall(config)# nameif ethernet0 dmz security50

外部接口安全級別是 0，內(nèi)部接口安全級別是 100。安全級別取值范圍 1-99，數(shù)字越大安全級別越高。添加新的接口：

Firewall(config)# nameif pix/intf3 security40

(2) 配置以太網(wǎng)端口參數(shù) (interface)

Firewall(config)# interface ethernet0 auto #自適應網(wǎng)卡類型

Firewall(config)# interface ethernet0 100full #100M/bs 全雙工通信

Firewall(config)# interface ethernet0 100full shutdown#關(guān)閉此端口

(3) 配置內(nèi)外網(wǎng)卡的 IP 地址

Firewall(config)# ip address outside 61.144.51.42 255.255.255.248

Firewall(config)# ip address inside 192.168.1.1 255.255.255.0

2、網(wǎng)絡地址轉(zhuǎn)換

(1) 指定要進行轉(zhuǎn)換的內(nèi)部地址 (nat)

nat (if-name) nat-id local-ip [netmask]

if-name:表示內(nèi)網(wǎng)接口的名字，如 inside

nat-id:表示全局地址池，使它與其相應的 global 命令匹配

local-ip: 表示內(nèi)網(wǎng)主機的 IP 地址，如 0.0.0.0 表示內(nèi)網(wǎng)所有主機可以對外訪問

(2)指定外部地址范圍（ global）

Global (if-name) nat-id ip_addr-ip_addr [netmask global_mask]

(3)設置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由（ route）

Route (if-name) 0 0 gateway_ip [metric]

Metric: 表示到 gateway的跳數(shù)，通常缺省值是 1

(4)配置靜態(tài) IP 地址翻譯（ static）

Static (internal_if_name , external_if_name) outside_ip_addr inside_ip_addr

3、訪問控制技術(shù)

(1) firewall default 命令

firewall default {permit | deny}: 表示缺省過濾屬性設置為 “允許”、“禁止”

(2) ip access-group 命令

[no] ip access-group listnumber {in | out}

listnumber 為規(guī)則序號， 1-199

in 表示規(guī)則用于過濾從接口上接收來的報文

out 表示規(guī)則用于過濾從接口上轉(zhuǎn)發(fā)的報文

no 可以刪除相應的設置和與之相關(guān)的命令

(4) settr 命令

Settr begin-time end-time #用于設定或取消特殊時間段

例如設置時間段為 8:30-12:00, 14:00-17:00,則

Firewall(config)# settr 8:30 1200 14:00 17:00

(4) show access-list 命令

show access-list [all | listnumber | interface interface-name] #顯示指定的規(guī)則，同時可查看規(guī)則過濾報文的情況

(5) show firewall 命令

show firewall #顯示防火墻狀態(tài)

(6) conduit 管道命令

conduit 命令用來允許數(shù)據(jù)流從具有較低安全級別的接口流向具有較高安全級別的接口。

conduit permit|deny global_ip port[-port] protocol foreign_ip

[netmask]

global_ip: 指的是先前由 global 或 static 定義的全局ip地址

foreign_ip: 表示可訪問 global_ip 的外部 ip。

port:服務所用的端口，如 www 使用 80，smtp 使用 25 等。

例如：

Firewall(config)# conduit permit icmp any any # 允許 icmp 消息向內(nèi)部和外部通過

(7) 配置 fixup 協(xié)議

Fixup 是啟用、禁止或改變一個服務或協(xié)議通過 pix 防火墻。例如：[no] fixup protocol ftp 21 #啟用ftp協(xié)議，并指定 ftp 的端口號為 21.

(8) 設置 Telnet

telnet local-ip [netmask]

local-ip 是被授權(quán)通過 telnet 訪問到 pix 的 ip 地址，如果不設置此項，則 pix 的配置方式只能由 console進行。