計算機網絡配置和測試網絡

配置和測試網絡

概觀

在本章中，我們將學習如何配置各種網際網路設備，如路由器和交換機。我們還將根據要求正確連接網絡，並了解我們將在整個課程中使用的各種CISCO IOS - CISCO網際網路作業系統基礎知識。正如我們在課程開始時提到的，這將是一個面向實驗室的課程，因此，您需要有實驗室設備。如果您沒有物理設備，請不要擔心，因為我們將在本課程中討論可用於學習目的的替代方案。

完成本章後，您將能夠：

了解CISCO IOS的作用了解路由器和交換機上的配置文件了解IOS命令結構配置路由器或交換機的基本配置使用show命令驗證路由器上的配置。網絡作業系統

我相信你已經知道計算機有作業系統。作業系統允許計算機運行，並允許我們輸入和接收輸出。作業系統是我們與計算機內部組件之間的中介。同樣，路由器也有一個作業系統。

CISCO使用IOS（網際網路作業系統）允許我們使用路由器中的各種功能。

CISCO IOS允許我們執行以下功能：

路由網絡的安全性根據需求擴展網絡。但是，與您可能習慣使用的其他作業系統不同，可以使用CLI（命令行界面）訪問CISCO IOS。如果您使用過DOS等程序，那麼您熟悉CLI提示符。

訪問方法

可以使用以下方法之一訪問路由器上的CLI：

控制臺埠輔助埠虛擬終端線。我們可以使用幾個程序來訪問路由器上的CLI。

控制臺埠是用於配置路由器的主埠。當路由器是新的並且開箱即用時，這是用於配置路由器的接口。初始配置後，我們可以使用其他配置方法。控制臺埠還用於災難恢復，以防路由器無法使用或作為在其他連接方式不可用時對路由器進行故障排除的方法。我們可以配置路由器的第二種方法是使用輔助埠。輔助埠用於通過使用數據機配置路由器。這個埠很少使用，因此我們不會進一步討論它的使用。我們可以配置路由器的第三種方法是使用虛擬終端線。顧名思義，虛擬終端線路被配置為遠程訪問路由器的方式。管理員可以使用這些線路配置要從遠程位置訪問的路由器。

在本課程中，我們將學習如何通過telnet或更安全的SSL配置兩種類型的VTY線路。

注意：路由器的操作取決於我們在配置期間發出的命令以及IOS功能。

路由器上的配置文件

如前所述，路由器是一臺計算機，我們所做的配置決定了它的運行。路由器有兩種類型的內存; 易失性和非易失性存儲器。我們所做的配置存儲在這兩種類型的內存中的一種中，具體取決於我們發出的命令。

路由器上有兩種配置文件。

啟動配置文件（startup-config） - 這是在路由器啟動期間使用的文件。它存儲在稱為NVRAM的非易失性存儲器中。啟動配置包括我們發布並保存在路由器中的所有命令。路由器啟動後，此文件將從NVRAM加載到RAM，並將其用作運行配置文件。

運行配置路由器的運行由運行配置決定。我們在路由器上發出的任何命令都會立即執行並存儲在運行配置中。該文件存儲在RAM或易失性存儲器中。這意味著如果路由器斷電，此文件中任何未保存的更改都將丟失。保存運行配置後，它將存儲在NVRAM中並成為startup-config。

CISCO IOS模式

CISCO CLI是分層結構的。模式從上到下執行。每種模式都可以訪問可以發出的某些命令。下面的列表從上到下顯示了CISCO IOS模式。

用戶執行模式特權執行模式全局配置模式其他特定配置模式在獲得對路由器的訪問權限時，會出現各種提示，表示管理員所處的特定級別。但是，提示的開頭將是路由器的名稱。下面討論各種提示。

用戶執行模式這是可以在路由器上訪問的主要或第一種模式。它僅限於很少的驗證和故障排除命令。默認情況下，不需要身份驗證，但作為最佳實踐，我們將配置安全性以確保對路由器的保護。

在訪問路由器時，您會注意到路由器名稱後面帶有此符號「 > 」 的提示。默認情況下，路由器的名稱通常是「 路由器 」。此提示如下所示。

路由器>

在此模式下，我們可以使用「 show 」命令查看基本信息。

特權執行模式這是IOS CLI中的第二種模式。在此模式下，我們可以查看各種故障排除和驗證命令，例如「 show and debug 」。默認情況下，此模式也不受保護，因此最佳做法是使用密碼保護此模式。

此模式由HASH（＃）符號表示，前面是路由器名稱。要進入此模式，我們從用戶exec模式發出命令「 enable」。

路由器＃

注意：要從用戶執行模式切換到特權模式，應從用戶執行模式輸入命令 - 「enable」。

「disable」命令用於退出特權執行模式並返回用戶exec模式。

全局配置模式路由器的主要配置在此模式下執行。可以配置路由器名稱，IP域查找，橫幅等參數。在此模式下，我們還可以訪問其他特定配置參數，例如接口配置。

全局配置模式由提示符顯示：（config）＃，如下所示：

路由器（配置）＃

注意：要從特權執行模式進入此模式，我們輸入命令：「配置終端」

要退出我們的特權模式，我們輸入命令：「exit」

具體配置模式。路由器上還有其他特定的配置模式。它們以全局配置模式進入，用於配置路由器上的各種功能和選項，如接口，路由選項，控制臺線等。在整個課程中將逐步討論特定的配置模式命令。

命令格式

配置路由器時，我們需要了解配置中使用的格式。下圖顯示了IOS命令結構。

我們還可以在輸入我們在CISCO IOS中不確定的命令時獲得幫助。這是通過使用問號「？」後跟<enter>鍵來完成的。如下圖所示。

當我們不確定要使用的正確命令或我們發生了錯誤時，我們可以使用此命令。

我們還可以使用<tab>鍵自動完成命令。當命令太長並經常使用時，這可能很有用。但是，我們建議在我們開始學習IOS時，我們應該使用完整的命令直到稍後階段。

還有其他快捷鍵，如下所示。

Ctrl-R - 重新顯示一行Ctrl-Z - 退出配置模式並將用戶返回到用戶exec模式。向下和向上箭頭 - 這些用於滾動以前輸入的命令。Ctrl-Shift-6 - 此命令用於中斷已發出的命令。Ctrl-C - 此命令可用於中止配置行並返回特權模式。CISCO IOS中還有其他基礎知識，但是，我們將繼續學習本課程。

注意：您需要知道並記住本課程中用於考試的所有命令。在ICND 1，ICND 2和CCNA複合考試中，這些命令的使用頻繁，您無需參考。

考試指令

配置路由器時，可能需要對不同的配置進行故障排除。在這方面，使用檢查命令至關重要。檢查命令在特權執行模式下查看，並以提示中的「show」開頭。其中一些命令及其功能如下所示。

顯示版本 - 顯示有關在路由器或交換機上運行的CISCO IOS的信息。如版本，發布日期。show startup-config - 此命令顯示存儲在NVRAM中的配置文件。顯示running-config - 可以使用此命令查看路由器當前用於其操作的命令。此信息通常存儲在路由器的RAM中。使用包跟蹤器進行網絡仿真

如前所述，訪問物理網絡設備有時可能很困難，而且由於本課程主要基於我們需要訪問和配置這些設備的實驗室環境，因此我們需要一種替代方案。

您的教師應該能夠讓您訪問數據包跟蹤器。可用於在實驗室環境中模擬網絡的程序。該軟體可讓您訪問CCNA中所需的大多數（如果不是全部）命令和設備。在本課程中，我們將在配置中使用數據包跟蹤器和真實設備。

安裝後，包跟蹤器的主窗口如下圖所示。

熟悉軟體。在左下角，我們提供了可在網絡中使用的各種類型的設備。這些包括路由器，交換機和連接等。單擊其中任何一個圖標將顯示每個類別中的更多設備列表。

要使用設備，只需單擊其圖標並將其拖動到白色顯示的主工作區。

在右側，靠近底部，有兩個信封形狀的圖標。這些圖標用於捕獲數據包，您將在以後使用它們。當您繼續使用此軟體時，您將變得越來越有經驗，逐漸了解所有功能和功能。

場景

在本章中，我們將在數據包跟蹤器中配置2個路由器和1個主機PC。這將是基本配置，旨在向您展示IOS的主要功能，並使用數據包跟蹤器將您融入CISCO配置環境。

下面顯示的拓撲顯示了2個路由器和一臺PC。從PC到路由器R1的連接使用交叉電纜完成，而兩個路由器之間的互連使用串行電纜完成。

R1上的串行接口是DCE端，而路由器R2上的連接是DTE端。如果您使用的是物理設備，則應注意此布線。

在此拓撲中，我們有2個標記為R1和R2的路由器。我們之間有一個連接，R1上的S0 / 0/0 DCE和R2上的S0 / 0/0。

路由器R1通過2個接口連接到PC A. 一個是用於配置路由器的控制臺埠，另一個是通過R1上的Fa0 / 0連接PCA網卡的網絡埠。

在數據包跟蹤器中，下面顯示的圖表是製作此拓撲的指南。

步驟1：

將拓撲中顯示的將在配置中使用的設備拖放到主工作區中。在這種情況下，我們使用2 1841 CISCO ISR路由器。默認情況下，它們標記為Router0和Router1。同樣在最終設備部分拖放一個PC圖標，如圖所示。

第2步：

單擊router0圖標。打開一個新面板並詳細說明路由器的後面板。在頂部，有三個選項卡 - 物理，配置，CLI。在這種情況下，我們對物理感興趣。此路由器沒有WAN連接接口，如紅色箭頭突出顯示的部分所示。我們需要在兩臺路由器上安裝WAN接口模塊，以便我們可以使用串行鏈路互連它們。

為此，我們必須關閉路由器並在左側查找可用於串行WAN連接的相應模塊。要關閉路由器，您需要單擊上圖中藍色箭頭所示的開關按鈕。

第3步：

我們需要添加正確的WAN模塊。從左側到右側的面板，由上圖中的紅色箭頭突出顯示。在這種情況下和大多數其他場景中，我們將使用以紅色突出顯示的WIC-2T模塊。如上所示，將其拖放到空白處。

注意：切換電源按鈕時路由器會熄滅。安裝模塊後，您需要重新打開它。

第4步：

接下來，我們需要使用正確的電纜連接設備。從PC到Router0的連接使用交叉電纜，而兩個路由器之間的連接使用串行DCE電纜。在底部的連接選項卡中，確保使用正確的電纜。

要連接設備：

單擊選擇電纜。單擊要連接的設備選擇正確的接口號通過將電纜拖到相對設備並單擊正確的接口，在電纜的另一端重複此過程。這些步驟如下圖所示

顯示的連接用於router0和router1。

使用serial0 / 0/0連接上面顯示的Router0

Router1上使用serial0 / 0/0的連接有兩個從PC0到Router0的連接。黑色虛線所示的一個連接是PC0的fastethernet接口上的LAN接口，而藍色的是用於配置Router0的控制臺電纜，如下所示。

從上圖中可以看出，界面標籤是可見的。要啟用此功能，請轉到選項，然後單擊首選項，然後在首選項選項卡中選擇「始終顯示設備標籤」選項，如下所示，標有紅色箭頭。

控制臺電纜連接到PC上的RS 232埠和路由器上的控制臺埠。

現在我們已經連接了設備，我們需要從PC0訪問路由器上的CLI接口。

為此，我們需要點擊PC0的圖標。從而我們將收到此輸出。

如前所述，數據包跟蹤器模擬不同網絡設備的操作，在我們點擊桌面選項卡時，我們將看到與物理計算機相同的選項。

在此選項卡中，我們有幾個選項，例如IP位址配置，終端和命令提示符等。在這種情況下，我們將使用將我們連接到路由器CLI的提示。

單擊終端選項卡後，將配置選項保留為默認值，然後單擊確定。這將在幾個「＃」輸出所示的啟動過程中將您連接到路由器。

啟動過程完成後，您應該收到如下所示的命令提示符。輸入「 no 」並按Enter鍵。

在此提示之後，我們將進入用戶exec模式。如前所述，這是CISCO IOS CLI中的第一個接入點。

它由輸出表示：

路由器>

要進入特權配置模式，我們應輸入「 enable 」並輸入。這將把我們帶到由下面顯示的輸出表示的特權執行模式。

路由器＃

在這種模式下，我們可以執行各種故障排除命令，例如show和debug命令。

接下來，我們需要訪問全局配置模式，以便我們可以開始配置。為此，我們需要輸入：

「configure terminal」後跟ENTER。這將使我們進入全局配置模式，在提示輸出中顯示為：

路由器（配置）＃

注意：如果您使用的是真實設備，則所遵循的步驟應該相同，並且接收的輸出不應該不同。但是，如果您需要更多信息，請聯繫您的培訓師。

組態

在本節中，我們應該配置以下內容。

router0上的主機名限制訪問路由器配置橫幅禁用ip域查找配置接口驗證配置測試本地網絡連接記錄網絡使用的命令主要來自router0上的全局配置模式。我們不會配置Router1，但會使用相同的概念。記住這一點。

Router0上的主機名

在拓撲圖中，第一個路由器是R1而不是Router0，在命名路由器時，請記住僅使用字母數字符號和下劃線。名稱之間應該沒有空格，因為這將返回錯誤。

要更改路由器或交換機的主機名，全局配置模式中所需的命令為：

Router（config）#hostname < NAME_OF_ROUTER >

角括號中顯示的參數將是路由器或交換機上使用的名稱。

在這種情況下，在Router0的全局配置模式下，將此路由器的名稱從Router0更改為R1所需的命令將為：

Router（config）#hostname < R1 >

輸入此命令後，您應該能夠立即看到所反映的更改：

「Router（config）＃」改為「 R1（config）＃ 」

現在使用該命令，我們已成功更改路由器的名稱。

限制訪問路由器

我們接下來要做的是限制對路由器的訪問。我們需要這樣做以加強安全性。每個設備都應具有本地配置的密碼以限制訪問。

我們已經看到CISCO IOS是按層次結構組織的。這背後的原因之一是增強安全性。在這方面，我們需要在路由器上配置安全性。我們將配置的密碼是要求在我們的路由器上的各個點進行身份驗證。我們將配置的密碼是：

控制臺線路密碼 - 使用控制臺埠限制與路由器的連接啟用密碼 - 限制對特權執行模式的訪問啟用密碼 - 配置加密密碼以保護特權EXEC模式VTY線路密碼 - 保護通過telnet訪問路由器控制臺線我們首先需要保護控制臺線路。如前所述，控制臺線路允許通過路由器的控制臺埠訪問路由器的配置。為此，我們需要在全局配置模式下訪問控制臺行。

訪問控制臺行的命令是：

Router（config）＃< line console 0 >

如上所示，第一行通常為0。輸入此命令後，我們將進入控制臺行的特定配置模式，如下所示：

路由器（配置行）＃

在此模式下，我們需要輸入密碼以及在訪問控制臺行之前要求身份驗證的命令。執行此操作所需的命令是：

路由器（config-line）#password <cisco>

路由器（config-line）#login

第一行指定此路由器上控制臺的密碼為「 cisco」，第二行 - 「 login」指出任何人訪問此路由器時，您都需要輸入密碼才能使用控制臺埠訪問CLI。

要驗證此命令，下次有人在重新啟動後嘗試訪問此路由器時，將需要輸入此密碼。

在這種情況下，我們將使用密碼「 cisco123 」，R1上所需的命令將是

特權執行模式 - 啟用密碼特權執行模式允許我們訪問全局配置命令，因此，保護此模式以限制訪問非常重要。

為此，我們需要在路由器的全局配置模式下配置「 啟用密碼 」。這將需要使用密碼才能進入特權執行模式。

在全局配置模式下，輸入以下內容：

Router（config）#enable password cisco

以上命令指定為了能夠訪問特權訪問模式，用戶必須在用戶exec模式下輸入密碼cisco。

在R1上，我們使用以下命令為特權執行模式配置密碼「 cisco1 」。

R1（config）#enable密碼cisco1

要驗證此命令，請輸入命令「end」以返回特權執行模式，然後輸入命令「disable」以返回到用戶exec模式。

要在R1上登錄特權執行模式，您需要輸入密碼「cisco1」。

啟用秘密命令使用啟用密碼是不安全的，因為密碼以純文本形式存儲在快閃記憶體中，並且可以很容易地破解。要為特權執行模式啟用更安全的密碼，我們使用enable secret命令。

enable secret命令將創建加密密碼。

要在路由器上輸入此命令，請使用以下命令：

R1（config）#enable secret <cisco12>

這指定我們應該使用加密的密碼「 cisco12 」

如果我們在R1上使用此命令，它將覆蓋啟用密碼並將其替換為安全密碼。要在R1上執行此操作，請輸入以下命令。

R1（config）#enable secret cisco12

Vty線我們還需要限制對路由器的遠程訪問，vty線路允許通過Telnet訪問路由器。默認情況下，許多Cisco設備支持5條編號為0到4的VTY線路。需要為所有可用的vty線路設置密碼。

要為telnet行啟用密碼，我們需要為這些行輸入特定的配置模式。為此，我們輸入如下所示的命令：

R1（config）#line vty 0 4

以上命令指定我們要在此路由器上配置5個telnet行。輸入此命令後，我們將進入下面提示所示的vty線路配置模式。

R1（配置線）＃

在此模式下，我們可以配置密碼，並在用戶想要遠程訪問路由器時要求身份驗證。完成此任務所需的命令是：

R1（配置行）#password <telnet_password>

R1（config-line）#login

上面的命令指定應該使用密碼配置此路由器，並且應該要求使用所述密碼進行身份驗證以進行訪問。

在R1上，為了使用密碼cisco1234保護vty線路，完成此操作所需的命令將是：

加密密碼顯示我們用於配置密碼的命令是不安全的，因為密碼以純文本格式存儲。為了增強我們配置的密碼的安全性，我們使用命令「 service password-encryption 」。執行此命令時，將加密純文本密碼。這意味著他們無法從running-config中以純文本形式看到密碼。

要在路由器R1上進行配置，請在全局配置模式下輸入以下命令：

R1（config）#service 密碼加密

這將確保無法從正在運行的配置中查看密碼。

配置橫幅

配置密碼是保護路由器免受未授權訪問的好方法。但是，我們還需要警告將是攻擊者。

橫幅是我們通知未經授權的人員訪問路由器的一種方式。在某些情況下，未能應用橫幅廣告可能會導致攻擊者逃脫法律後果，因為他們可以辯稱沒有任何信息可以防止未經授權的訪問。

配置橫幅的一種方法是使用MOTD（當天的消息）。為此，我們需要在全局配置模式下輸入以下命令：

R1（config）#banner motd < ＃在此處插入消息＃>

banner motd命令中的＃表示要顯示的消息的開頭和結尾。

在R1上，配置一個標題為「 !!!! 警告，僅授權訪問!!!!「將使用下面顯示的命令。

R1（config）banner motd ＃!!!! 警告，授權訪問!!!! ＃

執行該命令後，橫幅將在所有後續嘗試訪問設備時顯示，直到刪除橫幅。

配置接口

在這種情況下，R1上有2個接口，PC0上有1個我們需要配置的接口。使用的尋址方案如下所示。

設備接口IP位址子網掩碼默認網關PC0快速乙太網192.168.1.2255.255.255.0192.168.1.1R1的FastEthernet0 / 0192.168.1.1255.255.255.0的Serial0 / 0/0192.168.12.1255.255.255.252

我們不會配置Router1。配置PC時，應採取以下步驟：

單擊PC0圖標單擊桌面選項卡單擊ip配置選項卡輸入上面顯示的值關閉ip配置選項卡在路由器上，我們需要配置接口並激活它們。預設情況下，路由器上的接口通常處於停用狀態。

要在路由器上配置接口，將使用以下命令。

Router（config）#interface <interface_name> <interface_number>

Router（config-if）#ip address <interface_ip_address> <subnet_mask>

路由器（config-if）#no shutdown

路由器（configu-IF）的出口

在上述配置中，第一行用於進入特定接口配置模式。這將允許我們輸入各種接口配置選項。第二行將根據規範分配IP位址和子網掩碼第三行將激活界面並使其可用。在這種情況下，我們在R1上有2個接口。要配置R1的FastEthernet0 / 0接口，將使用以下命令：

要配置串行接口，將使用以下命令。

您可以記住，我們使用串行DCE電纜連接路由器R1，這意味著此接口必須像使用CSU / DSU一樣模擬時鐘信號。命令：

時鐘速率64000以上，指定此接口是DCE側，其時鐘速率為64000。

在數據包跟蹤器中，配置接口並執行「 no shutdown 」命令後，從PC0到R1的快速乙太網鏈路上的端點應從紅色變為綠色，如下圖所示：

驗證配置

完成所有這些配置後，我們需要驗證它們是否已被執行，以及將配置從RAM保存到NVRAM。

要保存配置，我們需要退出特權執行模式並輸入以下命令：

Router＃copy <running-config> <startup config>

執行上面的命令會將運行配置保存到路由器的NVRAM中，這將使運行配置在下次啟動路由器時成為啟動配置。

在R1上，將運行配置保存到快閃記憶體所需的命令如下所示。

R1＃copy running-config startup-config

保存配置後，我們還需要驗證路由器的操作，以及檢查與主機PC的連接。

我們將使用的驗證命令也將在故障排除時使用。有關故障排除的更多信息將在後續章節中討論。

在本章中，我們將使用ping命令檢查接口配置，運行配置以及與PC的連接。

運行配置

配置路由器後，我們需要檢查所有使用的配置，為此我們需要檢查運行配置。我們前面提到的運行配置存儲在RAM中，因此，我們製作的任何其他命令都需要保存到啟動配置中。

運行配置將向我們顯示配置設備時使用的所有命令。

用於檢查運行配置的命令在特權執行模式下執行，如下所示。

router #show running config

執行時，此命令將向我們顯示路由器或交換機上使用的所有配置命令。

R1上show run-config的輸出如下圖所示：

驗證接口操作

在驗證路由器上的接口時，我們需要檢查它們是否可操作以及是否已為其分配了正確的IP位址。為此，我們將在特權執行模式下使用下面顯示的命令：

顯示ip界面簡介顯示接口<接口名稱> <接口編號>顯示ip界面簡介

此命令的輸出將顯示第1層和第2層接口的運行狀態。輸出顯示接口，分配的IP位址，狀態以及第2層連接協議的狀態。如果接口是可操作的，狀態和協議應該是up / up。

顯示接口<接口名稱> <接口編號>

此命令的輸出顯示特定接口的狀態，如下面的輸出FastEthernet 0/0接口所示。

從上面的輸出可以看出，界面顯示為on並且可以運行。這是我們可以驗證接口狀態的另一種方法。

摘要

在本章中，我們已經了解了CISCO IOS中的基本配置。我們根據實驗室的要求在數據包跟蹤器中配置了路由器。我們還研究了IOS的命令結構。在下一章中，我們將通過查看路由的工作原理和靜態路由的配置來開始路由。