cisco中文配置文檔連載（3）

2019-11-05 00:05:07

字體：大中小

來源：轉載

供稿：網友

　　網絡協議配置向導
　　 =================
　　
　　配置ip
　　
　　這一章我們主要介紹怎樣配置IP(InetnetPRotocol)協議.IP協議是目前應用最為普及的網絡層協議,由于Internet的不斷發展,TCP/IP協議也成為一種通用標準,并且在許多平臺上,如各種Unix,Windows 95/NT,OS/2,MVS,VM等大型機,小型機和微機的操作系統上均能支持.
　　
　　在一系列IP相關的配置中,最基本和必需的是指定端口的IP地址,只有配了IP地址之后,才能使各個端口用IP協議與其它主機互相通信.
　　指定一個網絡接口的IP地址
　　指定一個端口的主IP 地址和網絡掩碼
　　在一個端口上指定多個IP 地址
　　在串口上指定IP處理
　　地址解析協議
　　設置ARP打包
　　配主機名和IP地址
　　過濾IP包
　　配置IP通過廣域網
　　監控和維護IP網絡
　　 IP配置實例
　　注重:以上的工作表并不是每一項都是必須的,請按照你的環境需要加以選擇.
　　
　　指定一個網絡接口的IP 地址
　　
　　一個IP標識了一個定位,使得IP數據包能被送出去.一些IP地址是預留的,它們不能作為主機,掩碼或網絡地址.表 1 列出了IP地址的范圍,可以看出那些能被使用,那些是保留的.
　　
　　包括以下內容:
　　
　　指定一個端口的主IP 地址和網絡掩碼
　　在一個端口上指定多個IP 地址
　　在串口上指定IP處理
　　表一: 預留的和有效的IP地址
　　
　　----------------------------------------------
　　類別地址或范圍　狀態
　　
　　A
　　0.0.0.0 保留
　　1.0.0.0 到 126.0.0.0 有效
　　127.0.0.0 　保留
　　------------
　　B
　　128.0.0.0 保留
　　128.1.0.0 到 191.254.0.0 有效
　　191.255.0.0 　保留
　　------------
　　C
　　192.0.0.0 保留
　　192.0.1.0 到 223.255.254.0 有效
　　223.255.255.0 　保留
　　------------
　　D 224.0.0.0 到 239.255.255.255 　多目地址
　　------------
　　E
　　240.0.0.0 到 255.255.255.254 保留
　　255.255.255.255 　廣播
　　-----------------------------------------------
　　
　　一個端口有一個主IP地址.指定一個端口的主IP 地址和網絡掩碼,在端口配置模式中完成:
　　
　　------------
　　功能
　　命令
　　-----
　　給一個端口指定一個Primary IP地址
　　ip address ip-address mask
　　---------------------------------
　　
　　在一個端口上指定多個IP 地址
　　
　　通過軟件可以支持多個IP地址在每一個端口上.你可以無限制的指定多個seconda
　　
　　ry地址, Secondary IP地址可以用在各種環境下.
　　
　　在端口配置模式下,指定多個地址:
　　
　　給一個端口指定多個Secondary IP地址
　　ip address ip-address mask secondary
　　
　　有關secondary IP 地址配置,請看"Creating a Network from Separates Subne
　　
　　ts Example" 的舉例說明.
　　
　　在串口上指定IP處理
　　
　　你可能希望在串口(serial)或者是作IP 隧道技術的端口上,不用指定一個IP地址
　　而能在上面跑IP協議.這可以由IP unnumbered Address來實現.限制如下:
　　串口使用HDLC,PPP,SLIP,LAPB,Frame Relay和tunnel interface打包方式.當
　　
　　串口用FR打包時,必須是點對點的.在X.25和SMDS打包時,不能用此特性.
　　你不能用ping命令來探測端口是否是up,因為這個端口是沒有IP地址的.簡單網管協議(SNMP)遠程監控端口狀態.
　　你不能通過unnumbered端口遠程啟動系統.
　　在unnumbered端口上不支持IP安全選項.
　　
　　在端口配置模式下,實現unnumbered配置:
　　
　　在串口或作IP 隧道技術的端口上不指定額外的IP地址
　　ip unnumbered type number
　　
　　在指定unnumbered 端口時,另外的那個端口不能也是unnumbered端口,并且這個端
　　
　　口必須是up的.(也就是說,該端口是工作正常的.)
　　
　　有關unnumbered IP 地址配置,請看"Serial Interfaces Configuration Example" 的舉例說明.
　　
　　地址解析協議
　　
　　一個設備在IP環境中有兩種地址,一個是本身地址,也就是鏈路層地址(即MAC 地址),另一個是網絡層地址(即IP地址).
　　
　　例如,以太網的設備互連,Cisco IOS軟件首先要先確定48位的MAC地址.那么從IP地址到MAC地址的轉換過程叫做地址解析(address resolution),而從MAC地址到IP地址的轉換過程就叫反向地址解析(reverse address resolution).軟件支持三種形式的地址解析: ARP,proxy ARP和Probe(類似ARP),反向地址解析: RARP.ARP,proxy ARP和RARP協議在RFC 826,1027和903分別作了定義,Probe是HP公司開發的用在
　　
　　IEEE-802.3網絡中.
　　
　　設置ARP 打包
　　
　　默認的,在端口上是標準的以太網ARP打包方式.你可以根據你的網絡需要改成SNAP或HP Probe方式.
　　
　　指定ARP打包方式,需完成:
　　
　　在指定端口上選擇三種ARP打包方式
　　arp {arpa probe snap }
　　
　　匹配主機名和IP 地址
　　
　　Cisco IOS 軟件保持一張主機名和相應地址的表,叫做 host name-to-address m
　　
　　apping.高層協議如 Telnet,都是用主機名來標識設備的.因此,路由器和其它網絡
　　
　　設備也需要了解它們.
　　
　　手工指定如下:
　　
　　靜態指定主機名和IP地對應
　　ip host name address1 [adress2...address8]
　　
　　配置IP 過濾表
　　
　　IP過濾表能夠幫助控制網上包的傳輸.主要用在以下幾個方面:
　　
　　控制一個端口的包傳輸
　　控制虛擬終端訪問數量
　　限制路由更新的內容
　　軟件支持下面幾種形式的IP過濾表:
　　
　　標準IP過濾表用源地址過濾
　　擴展IP過濾表用源地址和目的地址過濾,并且可以過濾高層協議如Telnet,FTP等等
　　
　　在Global配置模式下,定義標準的IP過濾表:
　　
　　定義標準的IP過濾表
　　 access-list access-list-number {deny permit } source [source-wildcar
　　
　　d]
　　用any來定義標準的IP過濾表
　　access-list access-list-number {deny permit } any
　　
　　標準的IP過濾表的表號 1-99.
　　
　　在Global配置模式下,定義擴展的IP過濾表:
　　
　　功能命令
　　定義擴展的IP過濾表
　　access-list access-list-number {deny permit } {protocol protocol-k
　　
　　eyWord } {source source-wildcard any } {destination destination-wild
　　
　　card any } [precedence precedence ] [tos tos]
　　
　　
　　擴展的IP過濾表的表號 100-199.
　　協議要害字有icmp,igmp,tcp,udp.
　　
　　在端口配置模式下,把某個IP過濾表加到端口上:
　　
　　把某個IP過濾表加到端口上
　　ip access-list access-list-number {in out }
　　
　　有關IP過濾表配置,請看"IP Access List Configuration Example" 的舉例說明
　　配置IP通過廣域網
　　
　　你可以配置IP通過X.25,SMDS,Frame Relay和DDR網絡.具體內容請參閱廣域網配置向導.
　　
　　監控和維護IP 網絡
　　
　　監控和維護你的網絡,請完成以下工作:
　　
　　清除緩存,表單和數據庫
　　
　　在 EXEC模式下:
　　
　　清除IP ARP緩存和快速交換緩存 clear arp-cache
　　在主機和地址緩存中去掉一個或所有實體 clear host {name * }
　　清除一個活動端口累計通過的包數 clear ip accouting [checkpoint]
　　在路由表中去掉一個或多個路由信息 clear ip route {network [mask] * }
　　顯示系統和網絡的狀態
　　
　　在 EXEC模式下:
　　
　　顯示ARP表 show arp
　　顯示名字緩存 show hosts
　　顯示當前IP過濾表的內容 show ip access-list [access-list-number name
　　
　　]
　　顯示當前活動端口累計通過的包數 show ip accouting [checkpoint]
　　顯示IP ARP表 show ip arp
　　顯示某一個端口狀態 show ip interface [type number ]
　　顯示目前的路由表 show ip route [address [mask]protocol ]
　　測試網絡是否通 ping [protocol]{host address}
　　
　　IP 配置實例
　　
　　Creat a Network from Separates Subnets Example
　　Serial Interface Configuration Example
　　IP Access List Configuration Example
　　標準IP過濾表配置實例
　　限定虛擬終端訪問實例
　　擴展IP過濾表配置實例
　　Ping Command Example
　　Creat a Network from Separates Subnets Example
　　
　　在下面例子中,subnet 1和subnet 2被主干網分開.
　　Configuration for Router B
　　
　　interface ethernet 2
　　ip address 192.5.10.1 255.255.255.0
　　ip address 131.108.3.1 255.255.255.0 secondary
　　Configuration for Router C
　　
　　interface ethernet 1
　　ip address 192.5.10.2 255.255.255.0
　　ip address 131.108.3.2 255.255.255.0 secondary
　　
　　Serial Interface Configuration Example
　　
　　在下面的例子中,把Ethernet 0的地址賦予Serial 1. Serial 1是unnumbered.
　　
　　interface ethernet 0
　　ip address 145.22.4.67 255.255.255.0
　　interface serial 1
　　ip unnumbered ethernet 0
　　IP Access List Configuration Example
　　
　　標準IP過濾表配置實例:
　　
　　該例表明在36.48.0.0這個網段上只答應B機(36.48.0.3)與A機通信,其它的36.0.
　　
　　0.0的網段如36.51.0.0可以與A機通信,而其它的如Internet用戶均被過濾掉了.
　　Configuration for Router A
　　
　　access-list 2 permit 36.48.0.3
　　access-list 2 deny 36.48.0.0 0.0.255.255
　　access-list 2 permit 36.0.0.0 0.255.255.255
　　!
(Note:all other access denied)
　　interface ethernet 0
　　ip access-group 2 in
　　
　　
　　限定虛擬終端訪問實例:
　　
　　該例只答應在192.89.55.0這個網段上的主機訪問路由器.
　　
　　Configuration for Router
　　
　　access-list12 permit 192.89.55.0 0.0.0.255
　　!
　　line vty 0 4
　　access-class 12 in
　　
　　擴展IP過濾表配置實例:
　　
　　該例答應內部網的所有主機都能登錄上Internet,并且A機作smtp-server,B機作Web Server,C機作域名服務器,FTP服務器和郵件服務器.
　　
　　Configuration for Router
　　
　　!Allow existing TCP connection
　　access-list 105 permit tcp any any established
　　!Allow ICMP messages
　　access-list 105 permit icmp any any
　　!Allow SMTP to one host
　　access-list 105 permit tcp any host 201.236.15.14 eq smtp
　　!Allow WWW to server (other services may be required)
　　access-list 105 permit tcp any host 201.222.11.5 eq www
　　!Allow DNS,FTP command and data,and smtpto another host
　　access-list 105 permit any host 201.222.11.7 eq domain
　　access-list 105 permit any host 201.222.11.7 eq 42
　　access-list 105 permit any host 201.222.11.7 eq ftp
　　access-list 105 permit any host 201.222.11.7 eq ftp-data
　　access-list 105 permit any host 201.222.11.7 eq smtp
　　!
　　interface serial 0
　　ip access-group 105 in
　　
　　
　　Ping Command Example
　　
　　在例子中,目的地址是131.108.1.111.源地址是131.108.105.62.
　　
　　Sandbox# ping
　　Protocol [ip]:
　　Target IP address: 131.108.1.111
　　Repeat count [5]:10
　　Datagram size [100]:64
　　Timeout in seconds [2]:
　　Extended commands [n]:
　　Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 131.10
　　
　　8.1.111, timeout is 2 seconds:
　　!!!!!!!!!!
　　SUCcess rate is 100 percent, round-trip min/avg/max = 4/4/4 ms
　　
　　----------------------------------------------
　　類別地址或范圍　狀態
　　
　　A
　　0.0.0.0 保留
　　1.0.0.0 到 126.0.0.0 有效
　　127.0.0.0 　保留
　　------------
　　B
　　128.0.0.0 保留
　　128.1.0.0 到 191.254.0.0 有效
　　191.255.0.0 　保留
　　------------
　　C
　　192.0.0.0 保留
　　192.0.1.0 到 223.255.254.0 有效
　　223.255.255.0 　保留
　　------------
　　D 224.0.0.0 到 239.255.255.255 　多目地址
　　------------
　　E
　　240.0.0.0 到 255.255.255.254 保留
　　255.255.255.255 　廣播
　　-----------------------------------------------
　　
　　一個端口有一個主IP地址.指定一個端口的主IP 地址和網絡掩碼,在端口配置模式
　　中完成:
　　
　　------------
　　功能
　　命令
　　-----
　　給一個端口指定一個Primary IP地址
　　ip address ip-address mask
　　---------------------------------
　　
　　在一個端口上指定多個IP 地址
　　
　　通過軟件可以支持多個IP地址在每一個端口上.你可以無限制的指定多個seconda
　　ry地址, Secondary IP地址可以用在各種環境下.
　　
　　在端口配置模式下,指定多個地址:
　　
　　給一個端口指定多個Secondary IP地址
　　ip address ip-address mask secondary
　　
　　有關secondary IP 地址配置,請看"Creating a Network from Separates Subne
　　ts Example" 的舉例說明.
　　
　　在串口上指定IP處理
　　
　　你可能希望在串口(serial)或者是作IP 隧道技術的端口上,不用指定一個IP地址
　　而能在上面跑IP協議.這可以由IP unnumbered Address來實現.限制如下:
　　
　　串口使用HDLC,PPP,SLIP,LAPB,Frame Relay和tunnel interface打包方式.當
　　串口用FR打包時,必須是點對點的.在X.25和SMDS打包時,不能用此特性.
　　你不能用ping命令來探測端口是否是up,因為這個端口是沒有IP地址的.簡單網
　　管協議(SNMP)遠程監控端口狀態.
　　你不能通過unnumbered端口遠程啟動系統.
　　在unnumbered端口上不支持IP安全選項.
　　
　　在端口配置模式下,實現unnumbered配置:
　　
　　在串口或作IP 隧道技術的端口上不指定額外的IP地址
　　ip unnumbered type number
　　
　　在指定unnumbered 端口時,另外的那個端口不能也是unnumbered端口,并且這個端
　　口必須是up的.(也就是說,該端口是工作正常的.)
　　
　　有關unnumbered IP 地址配置,請看"Serial Interfaces Configuration Exampl
　　e" 的舉例說明.
　　
　　　
　　地址解析協議
　　
　　一個設備在IP環境中有兩種地址,一個是本身地址,也就是鏈路層地址(即MAC 地址
　　),另一個是網絡層地址(即IP地址).
　　
　　例如,以太網的設備互連,Cisco IOS軟件首先要先確定48位的MAC地址.那么從IP地
　　址到MAC地址的轉換過程叫做地址解析(address resolution),而從MAC地址到IP地
　　址的轉換過程就叫反向地址解析(reverse address resolution).軟件支持三種形
　　式的地址解析: ARP,proxy ARP和Probe(類似ARP),反向地址解析: RARP.ARP,pro
　　xy ARP和RARP協議在RFC 826,1027和903分別作了定義,Probe是HP公司開發的用在
　　IEEE-802.3網絡中.
　　
　　設置ARP 打包
　　
　　默認的,在端口上是標準的以太網ARP打包方式.你可以根據你的網絡需要改成SNA
　　P或HP Probe方式.
　　
　　指定ARP打包方式,需完成:
　　
　　在指定端口上選擇三種ARP打包方式
　　arp {arpa probe snap }
　　
　　匹配主機名和IP 地址
　　
　　Cisco IOS 軟件保持一張主機名和相應地址的表,叫做 host name-to-address m
　　apping.高層協議如 Telnet,都是用主機名來標識設備的.因此,路由器和其它網絡
　　設備也需要了解它們.
　　
　　手工指定如下:
　　
　　靜態指定主機名和IP地對應
　　ip host name address1 [adress2...address8]
　　
　　配置IP 過濾表
　　
　　IP過濾表能夠幫助控制網上包的傳輸.主要用在以下幾個方面:
　　
　　控制一個端口的包傳輸
　　控制虛擬終端訪問數量
　　限制路由更新的內容
　　軟件支持下面幾種形式的IP過濾表:
　　
　　標準IP過濾表用源地址過濾
　　擴展IP過濾表用源地址和目的地址過濾,并且可以過濾高層協議如Telnet,FTP等等
　　.
　　在Global配置模式下,定義標準的IP過濾表:
　　
　　定義標準的IP過濾表
　　access-list access-list-number {deny permit } source [source-wildcar
　　d]
　　用any來定義標準的IP過濾表
　　access-list access-list-number {deny permit } any
　　
　　標準的IP過濾表的表號 1-99.
　　
　　在Global配置模式下,定義擴展的IP過濾表:
　　
　　功能命令
　　定義擴展的IP過濾表
　　access-list access-list-number {deny permit } {protocol protocol-k
　　eyword } {source source-wildcard any } {destination destination-wild
　　card any } [precedence precedence ] [tos tos]
　　
　　
　　擴展的IP過濾表的表號 100-199.
　　協議要害字有icmp,igmp,tcp,udp.
　　
　　在端口配置模式下,把某個IP過濾表加到端口上:
　　
　　把某個IP過濾表加到端口上
　　ip access-list access-list-number {in out }
　　
　　有關IP過濾表配置,請看"IP Access List Configuration Example" 的舉例說明
　　.
　　
　　　
　　
　　
　　----------------------------------------------------------------------
　　----------
　　
　　配置IP通過廣域網
　　
　　你可以配置IP通過X.25,SMDS,Frame Relay和DDR網絡.具體內容請參閱廣域網配置
　　向導.
　　
　　　
　　
　　
　　----------------------------------------------------------------------
　　----------
　　
　　監控和維護IP 網絡
　　
　　監控和維護你的網絡,請完成以下工作:
　　
　　清除緩存,表單和數據庫
　　
　　在 EXEC模式下:
　　
　　清除IP ARP緩存和快速交換緩存 clear arp-cache
　　在主機和地址緩存中去掉一個或所有實體 clear host {name * }
　　清除一個活動端口累計通過的包數 clear ip accouting [checkpoint]
　　在路由表中去掉一個或多個路由信息 clear ip route {network [mask] * }
　　
　　
　　顯示系統和網絡的狀態
　　
　　在 EXEC模式下:
　　
　　顯示ARP表 show arp
　　顯示名字緩存 show hosts
　　顯示當前IP過濾表的內容 show ip access-list [access-list-number name
　　]
　　顯示當前活動端口累計通過的包數 show ip accouting [checkpoint]
　　顯示IP ARP表 show ip arp
　　顯示某一個端口狀態 show ip interface [type number ]
　　顯示目前的路由表 show ip route [address [mask]protocol ]
　　測試網絡是否通 ping [protocol]{host address}
　　
　　IP 配置實例
　　
　　Creat a Network from Separates Subnets Example
　　Serial Interface Configuration Example
　　IP Access List Configuration Example
　　標準IP過濾表配置實例
　　限定虛擬終端訪問實例
　　擴展IP過濾表配置實例
　　Ping Command Example
　　Creat a Network from Separates Subnets Example
　　
　　在下面例子中,subnet 1和subnet 2被主干網分開.
　　Configuration for Router B
　　
　　interface ethernet 2
　　ip address 192.5.10.1 255.255.255.0
　　ip address 131.108.3.1 255.255.255.0 secondary
　　Configuration for Router C
　　
　　interface ethernet 1
　　ip address 192.5.10.2 255.255.255.0
　　ip address 131.108.3.2 255.255.255.0 secondary
　　
　　Serial Interface Configuration Example
　　
　　在下面的例子中,把Ethernet 0的地址賦予Serial 1. Serial 1是unnumbered.
　　
　　interface ethernet 0
　　ip address 145.22.4.67 255.255.255.0
　　interface serial 1
　　ip unnumbered ethernet 0
　　IP Access List Configuration Example
　　
　　標準IP過濾表配置實例:
　　
　　該例表明在36.48.0.0這個網段上只答應B機(36.48.0.3)與A機通信,其它的36.0.
　　0.0的網段如36.51.0.0可以與A機通信,而其它的如Internet用戶均被過濾掉了.
　　
　　
　　
　　
　　Configuration for Router A
　　
　　access-list 2 permit 36.48.0.3
　　access-list 2 deny 36.48.0.0 0.0.255.255
　　access-list 2 permit 36.0.0.0 0.255.255.255
　　!
(Note:all other access denied)
　　interface ethernet 0
　　ip access-group 2 in
　　
　　
　　限定虛擬終端訪問實例:
　　
　　該例只答應在192.89.55.0這個網段上的主機訪問路由器.
　　
　　Configuration for Router
　　
　　access-list12 permit 192.89.55.0 0.0.0.255
　　!
　　line vty 0 4
　　access-class 12 in
　　
　　擴展IP過濾表配置實例:
　　
　　該例答應內部網的所有主機都能登錄上Internet,并且A機作smtp-server,B機作Web Server,C機作域名服務器,FTP服務器和郵件服務器.
　　
　　Configuration for Router
　　
　　!Allow existing TCP connection
　　access-list 105 permit tcp any any established
　　!Allow ICMP messages
　　access-list 105 permit icmp any any !Allow SMTP to one host access-list 105 permit tcp any host 201.236.15.14 eq smtp !Allow WWW to server (other services may be required)
　　access-list 105 permit tcp any host 201.222.11.5 eq www
　　!Allow DNS,FTP command and data,and smtpto another host
　　access-list 105 permit any host 201.222.11.7 eq domain
　　access-list 105 permit any host 201.222.11.7 eq 42
　　access-list 105 permit any host 201.222.11.7 eq ftp
　　access-list 105 permit any host 201.222.11.7 eq ftp-data
　　access-list 105 permit any host 201.222.11.7 eq smtp
　　!
　　interface serial 0
　　ip access-group 105 in
　　
　　
　　Ping Command Example
　　
　　在例子中,目的地址是131.108.1.111.源地址是131.108.105.62.
　　
　　Sandbox# ping
　　Protocol [ip]:
　　Target IP address: 131.108.1.111
　　Repeat count [5]:10
　　Datagram size [100]:64
　　Timeout in seconds [2]:
　　Extended commands [n]:
　　Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 131.10
　　8.1.111, timeout is 2 seconds:
　　!!!!!!!!!!
　　Success rate is 100 percent, round-trip min/avg/max = 4/4/4 ms

上一篇：CISCO實驗模擬器完全攻略

下一篇：cisco中文配置文檔連載（2）