Mục lục:
- Khi di chuyển trong Cisco IOS, bạn sẽ thấy nhiều nhắc nhở. Những thay đổi này sẽ nhắc bạn chuyển từ chế độ cấu hình này sang chế độ cấu hình khác. Dưới đây là tóm tắt các chế độ cấu hình chính:
- Đối với các giao diện router của bạn, ví dụ sau sẽ thiết lập tốc độ, duplex và thông tin cấu hình IP cho giao diện FastEthernet 0/0 (chú ý tham chiếu giao diện là slot / port). Trong trường hợp của bộ định tuyến, giao diện được kích hoạt bằng lệnh no shutdown trong bước cuối cùng; giao diện trên thiết bị chuyển mạch được bật theo mặc định.
- cho phép
- cho phép
- router eigrp 100
- Router2>
- Router1 (config) #
- Router1 (config) #
Video: Calling All Cars: Old Grad Returns / Injured Knee / In the Still of the Night / The Wired Wrists 2025
Edward Tetz
Để tạo và cấu hình một mạng Cisco, bạn cần biết về các bộ định tuyến và công tắc để phát triển và quản lý các hệ thống an toàn của Cisco. Trở nên làm quen với các thiết bị mạng của Cisco và danh sách mã; và tìm hiểu cách quản lý định tuyến tĩnh và xem thông tin định tuyến.
Mô hình OSI cho mạng Cisco
Mặc dù bạn không thể sử dụng mô hình OSI hàng ngày, bạn nên làm quen với nó, đặc biệt khi làm việc với các thiết bị chuyển mạch và bộ định tuyến của Cisco (hoạt động ở Layer 2 và Layer 3). Dưới đây là một số mục hoạt động ở mỗi cấp độ của mô hình OSI:
| Lớp | Mô tả | Ví dụ |
|---|---|---|
| 7. Ứng dụng | Chịu trách nhiệm khởi tạo hoặc cung cấp dịch vụ yêu cầu. | SMTP, DNS, HTTP và Telnet |
| 6. Trình bày | Định dạng thông tin để hệ thống nhận
được hiểu. |
Sự nén và mã hóa tùy thuộc vào việc thực hiện |
| 5. Phiên | Chịu trách nhiệm thiết lập, quản lý và chấm dứt phiên
. |
NetBIOS |
| 4. Giao thông vận tải | Chia thông tin thành các phân đoạn và chịu trách nhiệm cho việc kết nối và kết nối không kết nối
. |
TCP và UDP |
| 3. Mạng | Chịu trách nhiệm về địa chỉ và định tuyến hợp lý | IP, ICMP, ARP, RIP, IGRP và các bộ định tuyến |
| 2. Data Link | Chịu trách nhiệm về địa chỉ vật lý, sửa lỗi, và
chuẩn bị thông tin cho địa chỉ MAC của phương tiện truyền thông |
, CSMA / CD, thiết bị chuyển mạch và cầu |
| 1. Vật lý | Thỏa thuận với tín hiệu điện. | Cáp, đầu nối, hub và bộ lặp |
Khi di chuyển trong Cisco IOS, bạn sẽ thấy nhiều nhắc nhở. Những thay đổi này sẽ nhắc bạn chuyển từ chế độ cấu hình này sang chế độ cấu hình khác. Dưới đây là tóm tắt các chế độ cấu hình chính:
Chế độ EXEC của người dùng:Khi bạn kết nối với thiết bị Cisco, chế độ cấu hình mặc định là chế độ người dùng exec. Với chế độ người dùng exec, bạn có thể xem các cài đặt trên thiết bị nhưng không thực hiện bất kỳ thay đổi. Bạn biết bạn đang ở chế độ Người dùng EXEC vì lời nhắc IOS hiển thị một ">".
-
Chế độ EXEC ưu tiên: Để thực hiện thay đổi thiết bị, bạn phải điều hướng đến chế độ EXEC Ưu tiên ở đó bạn có thể phải nhập mật khẩu.Chế độ EXEC chế độ ưu tiên hiển thị với dấu "#" trong dấu nhắc.
-
Chế độ Cấu hình Toàn cầu: Chế độ Cấu hình Toàn cầu là nơi bạn thực hiện thay đổi toàn cầu cho bộ định tuyến như tên máy chủ. Để điều hướng đến chế độ Cấu hình Toàn cầu từ chế độ EXEC ưu tiên bạn nhập "configure terminal" hoặc "conf t", nơi bạn sẽ được đặt tại dấu nhắc "(config) #".
-
Sub Prompts: Có một số nhắc nhở phụ khác nhau từ chế độ Cấu hình Toàn cầu, bạn có thể điều hướng đến như giao diện nhắc nhở để sửa đổi cài đặt trên một giao diện cụ thể hoặc dòng nhắc nhở để sửa đổi các cổng khác nhau trên thiết bị.
-
Cấu hình một giao diện cho mạng Cisco Khi làm việc với các bộ định tuyến đặc biệt, nhưng cũng khi thực hiện giao diện quản lý trên các thiết bị chuyển mạch, bạn sẽ cần phải cấu hình các giao diện mạng tương thích với cổng giao diện vật lý hoặc các giao diện ảo dưới dạng giao diện LAN ảo (VLAN) (khi giao dịch với thiết bị chuyển mạch).
Đối với các giao diện router của bạn, ví dụ sau sẽ thiết lập tốc độ, duplex và thông tin cấu hình IP cho giao diện FastEthernet 0/0 (chú ý tham chiếu giao diện là slot / port). Trong trường hợp của bộ định tuyến, giao diện được kích hoạt bằng lệnh no shutdown trong bước cuối cùng; giao diện trên thiết bị chuyển mạch được bật theo mặc định.
Router1>
cho phép
Router1 # cấu hình thiết bị đầu cuối Router1 (config) # giao diện FastEthernet0 / 0 Router1 (config-if) # description Private LAN Router1 (config-if) # tốc độ 100 Router1 (config-if) # duplex đầy đủ Router1 (config-if) # địa chỉ IP 192. 168. 1 Router1 (config-if) # không shutdown Cấu hình giao diện quản lý switch cho mạng Cisco Đối với các switch của bạn, để cho phép một địa chỉ IP trong quản lý của bạn giao diện, bạn sẽ sử dụng một cái gì đó tương tự như ví dụ này. Trong ví dụ này, quản lý đang được thực hiện qua VLAN 1 - VLAN mặc định. Switch1>
cho phép
Switch1 #
cấu hình thiết bị đầu cuối Switch1 # Giao diện VLAN 1 Switch1 (config-if) # địa chỉ IP 192. 168. 1 241 255. 255. 255. 0 Cấu hình một giao diện sử dụng DHCP cho mạng Cisco Nếu bạn muốn cấu hình router hoặc switch để lấy thông tin cấu hình IP từ một DHCP Host Configuration Protocol (DHCP) máy chủ, sau đó bạn có thể lệnh như ví dụ sau đây. Router1>
cho phép
Router1 # cấu hình thiết bị đầu cuối
Router1 (config) # giao diện FastEthernet0 / 0 Router1 (config-if) # ip dhcp < Tạo VLAN cho Mạng Cisco Khi làm việc với mạng Cisco, bạn có thể muốn tách người dùng thành các tên miền phát sóng khác nhau để giảm an ninh hoặc lưu lượng truy cập. Bạn có thể thực hiện bằng cách triển khai VLAN. Ví dụ sau sẽ tạo ra VLAN (VLAN2) và đặt các cổng trên một switch (từ 1-12) vào VLAN2. Switch1> cho phép Switch1 #
cấu hình thiết bị đầu cuối
Switch1 (config) #
giao diện vlan 2 Mô tả Tài chính VLAN thoát Switch1 (config) # khoảng giao diện FastEthernet 0/1, FastEthernet 0/12 Switch1 (config-if-range) # Nếu bạn đang kết nối hai thiết bị chuyển mạch với nhau, thì bạn sẽ muốn cho phép tất cả các VLAN được cấu hình truyền giữa hai thiết bị chuyển mạch.Điều này được thực hiện bằng cách thực hiện một cổng trunk. Để cấu hình cổng 24 trên switch của bạn thành cổng trunk, bạn sẽ sử dụng mã sau: Switch1> enable Switch1 # cấu hình terminal Switch1 (config) # Giao diện Fast Ethernet 0/24 Switch1 (config-if-range) # Chế độ switchport
Sử dụng EtherChannel cho Cisco Networking
Đừng ngại sử dụng EtherChannel trên mạng Cisco của bạn. EtherChannel cho phép bạn đưa lên đến tám cổng mạng trên switch của bạn và coi chúng như một liên kết lớn hơn. Điều này có thể được sử dụng để kết nối các máy chủ với nhiều card mạng được liên kết (hoặc hợp tác) với một switch, hoặc để kết nối nhiều switch với nhau. Có hai giao thức đàm phán chính, Giao thức Cảng Aggregation (PAGP) là một giao thức Cisco độc quyền và Giao thức Kiểm soát Tổng hợp Liên kết (LACP) là một giao thức chuẩn mở. Để đặt EtherChannel sử dụng với các giao thức, bạn sẽ cấu hình nó để hỗ trợ một trong các chế độ sau. auto: Thiết lập giao diện để đáp ứng các gói tin đàm phán PAgP, nhưng giao diện sẽ bắt đầu các cuộc đàm phán riêng. mong muốn: Thiết lập giao diện để chủ động cố gắng đàm phán kết nối PAgP. on: Buộc kết nối để đưa tất cả các liên kết lên mà không sử dụng một giao thức để đàm phán kết nối. Chế độ này chỉ có thể kết nối với thiết bị khác mà cũng được đặt ở trên . Khi sử dụng chế độ này, chuyển đổi không đàm phán liên kết bằng PAgP hoặc LACP. active: Thiết lập giao diện để chủ động cố gắng đàm phán các kết nối với các thiết bị LACP khác.
thụ động: Thiết lập giao diện để đáp ứng với dữ liệu LACP nếu nó nhận được yêu cầu đàm phán từ các hệ thống khác.
Ví dụ sau sẽ cấu hình EtherChannel sử dụng nhóm cổng 11 và 12 trên switch với nhau bằng PAgP làm giao thức. Cùng một loại lệnh sẽ được sử dụng trên switch để Switch1 được kết nối.
Switch1>
-
cho phép
-
Switch1 #
-
cấu hình thiết bị đầu cuối Switch1 (config) # dải giao diện FastE
-
thernet0 / 1
-
1
-
1 2 Switch1 (config-if-range) # chế độ switchport truy cập Switch1 (config-if-range) # switchport truy cập vlan 10 Switch1 (config-if (STP) cho phép bạn tạo các vòng dự phòng trên mạng của Cisco để chống lại lỗi và ngăn ngừa vô ý các vòng lặp có thể được tạo ra trên mạng của bạn từ việc đưa mạng đến đầu gối của nó. Đoạn mã sau sẽ cho phép sử dụng giao thức Rapid Sparning Tree Protocol (PVST) độc quyền của Cisco đối với chuẩn mở rộng của giao thức Multan Spanning Tree (MSTP). Ngoài việc cấu hình STP trên switch, bạn cũng sẽ cấu hình cổng 2 trên switch cho portfast, cho phép cổng chuyển sang chế độ forwarding ngay lập tức. Switch1> cho phép Switch1 # cấu hình thiết bị đầu cuối Switch1 (config) # chế độ spanning-tree nhanh-pvst Switch1 (config) # giao diện FastEthernet 0/2 Switch1 (config-if) #
spanning-tree portfast
% Cảnh báo: Portfast chỉ nên bật trên các cổng kết nối với một máy chủ duy nhất.Kết nối các đầu nối, bộ tập trung, công tắc, cầu, vv … tới giao diện này khi bật cổng được, có thể gây ra các vòng nối tạm. Sử dụng với CAUTION Portfast sẽ được cấu hình trong 10 giao diện do lệnh range nhưng sẽ chỉ có hiệu lực khi các giao diện ở chế độ không trunking.
Quản lý định tuyến tĩnh cho Cisco Networking
Khi làm việc với các bộ định tuyến của bạn trên mạng Cisco, rất có thể bạn sẽ muốn các dữ liệu tuyến định tuyến của bạn định tuyến. Bước đầu tiên trong việc đưa router của bạn chuyển dữ liệu từ giao diện này sang một giao diện khác là cho phép định tuyến; chỉ cần sử dụng các lệnh này. 999 Router1> 999 Router1 # 999 cấu hình Terminal 999 Router1 (config) # ip routing Bạn có chọn sử dụng dynamic định tuyến, bạn có thể thêm các tuyến tĩnh vào router của bạn. Sau đây sẽ thêm một tuyến tĩnh vào Router1 để gửi dữ liệu đến 192. 168. 5. Mạng 0/24 sử dụng router với địa chỉ IP là 192. 168. 3. 2. Router1> enable < Router1 # cấu hình thiết bị đầu cuối Router1 (config) # Định tuyến IP Router1 (config) # ip route 192. 168. 5. 0 255. 255. 255. 0 192 168. 3. 2
Quản lý định tuyến thông tin định tuyến cho mạng Cisco
Router2 (config) # Router2 (config) # Router2 Router2 (config-router) # Router2 (config-router) # Router2 (config-router) # Router2 (config-router) # 5 999. 0 Router2 (config-router) #
neighbor 192. 168. 1. 1
Quản lý giao thức định tuyến cổng nội bộ nâng cao cho hệ thống mạng của Cisco Giao thức định tuyến nâng cao trong nội hạt nâng cao (EIGRP) là phiên bản cập nhật của IGRP. Mã sau sẽ cho phép EIGRP sử dụng một hệ thống tự trị (AS) là 100, phân phối hai mạng và vô hiệu hóa tự động tóm tắt. Router2> cho phép Router2 # cấu hình thiết bị đầu cuối Router2 (config) # Định tuyến IP Router2 (config) #
router eigrp 100
Router2 (config-router) # 192. 168. 1. 0Router2 (config-router) # 192. 168. 5. 0
Router2 (config-router) # > Không tự động tóm tắtQuản lý đường dẫn ngắn nhất trước tiên cho mạng Cisco Mở đường ngắn nhất Trước tiên (OSPF) là một giao thức trạng thái liên kết được sử dụng rộng rãi. OSPF sử dụng địa chỉ của giao diện loopback như là định danh OSPF, do đó ví dụ này sẽ thiết lập địa chỉ của giao diện loopback, sau đó cho phép OSPF với một ID tiến trình là 100 và phân phối một mạng 192. 168. 255. 254 và một mạng của 192. 168. 5. 0/24 Router2> cho phép Router2 # cấu hình thiết bị đầu cuối Router2 (config) # loopback giao diện <0> Router2 (config- if) # địa chỉ ip 192.168. 255. 254 255. 255. 255. 0 Router2 (config-if) # thoát Router2 (config) # router ospf 100 Router2 (config-router) # mạng 192. 168. 255. 254 0. 0. 0. 0 khu vực 0 Router2 (config-router) # mạng 192. 168. 5. 0 0. 0. 0. 255 khu vực 0 Xem thông tin định tuyến cho mạng Cisco Sau khi thiết lập bất kỳ giao thức định tuyến nào bạn muốn triển khai - RIP, OSPF hoặc EIGRP - bạn có thể xem tất cả thông tin định tuyến thông qua lệnh ip route. Sau đây là một ví dụ về đầu ra của lệnh này. Đầu ra bao gồm một huy hiệu hiển thị mã cho mỗi giao thức định tuyến, và các tuyến đường cụ thể được xác định bởi giao thức nguồn.
Router2>
cho phép
Mật khẩu: Router2 # Hiển thị đường dẫn IP Mã: C - kết nối, S - tĩnh, R - RIP, M - mobile, B - BGP D - EIGRP, EX-EIGRP bên ngoài, O-OSPF, IA-OSPF khu vực liên tiếp N1- OSPF NSSA bên ngoài loại 1, N2-OSPF NSSA loại bên ngoài 2 E1- OSPF loại bên ngoài 1, E2- OSPF loại bên ngoài 2 i- IS-IS, su- Tóm tắt IS-IS, L1 - IS-IS cấp 1, L2 - IS-IS mức 2 ia - IS-IS inter area, * - mặc định ứng viên, U-per-user static route o - ODR, P - Tuyến tĩnh Gateway của phương án cuối cùng không được thiết lập D 192. 168. 10. 0/24 [90/284160] thông qua 192. 168. 1. 1, 00: 04: 19, FastEthernet0 / 0 O 192. 168. 10. 0 / 24 [110/11] qua 192. 168. 1. 1, 00: 01: 01, FastEthernet0 / 0 R 192. 168. 10. 0/24 [120/1] qua 192. 168. 1. 1:00: 00: 07, FastEthernet0 / 0 C 192. 168. 5. 0/24 được kết nối trực tiếp, FastEthernet0 / 1 C 192. 168. 1. 0/24 được kết nối trực tiếp, FastEthernet0 / 0 S 192. 168. 3. 0 / 24 [1/0] qua 192. 168. 1. 1 Bảo mật mạng Cisco Bảo mật luôn là mối quan tâm, và mạng Cisco của bạn cần được bảo vệ đúng cách. Trong các phần sau, bạn sẽ thấy cách bảo vệ mạng Cisco bằng cách cấu hình NAT bằng cách cấu hình ACL và bằng cách áp dụng ACL đó. Bảo mật mạng Cisco của bạn bằng cách cấu hình NAT Các lệnh sau đây được sử dụng để cấu hình các dịch vụ NAT overload trên một router được gọi là Router1. Trong ví dụ này, một danh sách địa chỉ nguồn được tạo ra trong danh sách truy cập # 1, sau đó được sử dụng như là danh sách nguồn bên trong. Cổng FastEthernet 0/0 là cổng địa chỉ công cộng bị quá tải mà tất cả các địa chỉ bên trong được dịch sang. Router1> cho phép Router1 # cấu hình thiết bị đầu cuối Router1 (config) # access-list 1 permit 10. 0. 0. 0 0. 255. 255. 255 < Router1 (config) # ip nat bên trong danh sách nguồn 1 giao diện FastEthernet 0/0 quá tải
Router1 (config) #
giao diện FastEthernet0 / 0
Router1 (config-if) # ip nat bên ngoài Router1 (config-if) # Giao diện FastEthernet0 / 1 Router1 (config-if) # ip nat bên trong Bảo mật mạng Cisco của bạn bằng cách cấu hình danh sách điều khiển truy cập ACL) ACL được sử dụng để kiểm soát luồng giao thông. Chúng có thể được sử dụng cho phép hoặc từ chối lưu lượng truy cập. Hai loại ACL chính là: ACL chuẩn, có ít các tùy chọn để phân loại dữ liệu và kiểm soát luồng lưu lượng so với ACL mở rộng. Họ chỉ có thể quản lý lưu lượng truy cập dựa trên địa chỉ IP nguồn.Các ACL này được đánh số từ 1-99 và từ 1300-1999. ACL mở rộng, cung cấp khả năng lọc hoặc kiểm soát lưu lượng dựa trên nhiều tiêu chí như địa chỉ IP nguồn hoặc đích, cũng như loại giao thức như ICMP, TCP, UDP hoặc IP. Các ACL này được đánh số từ 100-199 và từ năm 2000-2699. Để tạo ACL tiêu chuẩn, bạn có thể sử dụng ví dụ sau để tạo ACL cho phép lưu lượng 192. 168. 8. Mạng 0/24. Switch1> cho phép Switch1 #
cấu hình thiết bị đầu cuối
Switch1 (config)
# access-list 50 permit 192. 168. 8. 0 0. 0. 0. 255 < Để tạo một ACL mở rộng, bạn có thể sử dụng ví dụ sau để tạo một ACL cho phép lưu lượng với các địa chỉ trong 192. 168. 8. Các cổng mạng và tcp 0/24 của 80 (http) hoặc 443 (https): Router1> cho phép Router1 # cấu hình thiết bị đầu cuối
Router1 (config) #
truy cập vào danh sách 101 nhận xét ACL này là để kiểm soát lưu lượng truy cập router ngoài.
Router1 (config) #
danh sách truy cập 101 cho phép tcp 192. 168. 8. 0 0. 0. 0. 255 bất kỳ eq 80
Router1 (config) # access-list 101 permit tcp 192. 168. 8. 0 0. 0. 0. 255 bất kỳ eq 443 Bảo mật mạng Cisco bằng cách áp dụng một danh sách điều khiển truy cập Sau khi bạn tạo một Access Control List (ACL), chẳng hạn như ACL 101 tạo ra ở trên, bạn có thể áp dụng ACL đó cho một giao diện. Trong ví dụ sau, ACL này được đặt để hạn chế lưu lượng đi ra trên FastEthernet0 / 1. Router1> cho phép Router1 # cấu hình thiết bị đầu cuối Router1 (config) # giao diện F astEthernet0 / 1 Router1 (config-if) # > nhóm truy cập ip 101 ra
