Cisco-Packet-Tracer-使用技巧积累

Cisco 设备中的 enable 和 config t 的作用

在命令行中, enable 用于切换到特权 EXEC 模式 (相当于 Linux 切换到 root 吧), 此时可以执行更高级的命令.

Router> enable
Router#

config t (config terminal) 用于进入全局配置模式, 此时可以对设备进行配置, 如接口配置, 路由配置, 访问控制列表配置.

Router# config t
Router(config)# 

进入接口配置模式, 用 interface <接口名称>:

Router(config)# int FastEthernet0/0
Router(config-if)#

进入路由配置模式, 根据具体的路由协议而定, 如 router ospf <进程号>:

Router(config)# router ospf 100
Router(config-router)#

进入 VLAN 配置模式, 用 vlan <VLAN 号> 或者 interface vlan <VLAN 号>:

Switch(config)# vlan 10
Switch(config-vlan)#

ACL 相关配置

access-list 相关语法

标准 ACL:

Router(config)# access-list <ACL号> permit/deny <源地址> <源地址掩码>

扩展 ACL:

Router(config)# access-list <ACL号> permit/deny <协议> <源地址> <源地址掩码> <目的地址> <目的地址掩码> [eq <端口号>]

接口模式下的 ACL:

Router(config-if)# ip access-group <ACL号> {in | out}

这里的 {in | out} 用于指定 ACL 的应用方向。根据实际需求，可以选择将 ACL 应用于数据进入接口 inbound 或数据离开接口 outbound:

• in: ACL 作用于数据进入接口，即数据流进入设备的接口时进行匹配和控制。
• out: ACL 作用于数据离开接口，即数据流离开设备的接口时进行匹配和控制

access-group 相关语法

access-group <ACL号> <方向> <接口名称>

• <ACL号>：ACL的编号或名称。指定先前创建的ACL。
• <方向>：指定ACL应用的流量方向，可以是in（流入接口）或out（流出接口）。
• <接口名称>：要应用ACL的接口名称。

防火墙 ASA 配置

控制 inbound 和 outbound

Cisco 的 ASA firewall 有以下功能:

• stateful inspection
• packet filtering
• nat
• vpn
• dhcp
• routing

需要注意的一些不同

• ASA 不能与 Router 相连
• 一些命令在 ASA 中与 Switch 和 Router 中不同, 如 Switch 中的 show ip route 在 ASA 中为 show route
• ASA 中只能有两个具名的 VLAN.
• ASA 中的接口不能启用 trunk 模式, 且不能配置 IP

可能遇到的报错:

• ERROR: This license does not allow configuring more than 2 interfaces with nameif and without a "no forward" command on this interfaces or on 1 interfaces with nameif already configured
• ERROR: This command only be configured on VLAN interfaces
• ERROR: Trunk port is not supported with this license
• ERROR: Maximux number of interfaces already configured

ASA(config-if)# name inside2
ERROR: Maximux number of interfaces already configured

修改 hostname

ciscoasa(config)# hostname LAB-ASA

修改 domain name

LAB-ASA(config)# domain-name cisco.com

添加用户以及启动密码

LAB-ASA(config)# password supersecret123
LAB-ASA(config)# enable password supersecret123

查看当前规则

ciscoasa>en
ciscoasa#sh running-config

去掉一个规则

ciscoasa#config t
ciscoasa(config)# no ...

查看 security-level

ciscoasa# show run interface vlan <number>

查看 interface 的状态

ciscoasa# show interface

修改 interface 的名称

LAB-ASA(config)# interface vlan 1
LAB-ASA(config-if)# nameif inside

(这里将 VLAN 1 的名称改为 inside)

去除一个 vlan

LAB-ASA(config)# no interface vlan 1

给接口添加 ip

LAB-ASA(config)# interface vlan 1
LAB-ASA(config-if)# ip add 192.168.1.1 255.255.255.0

给接口添加 security-level

LAB-ASA(config-if)# security-level 100

配置 outside (也就是一个接口命名为 outside)

LAB-ASA(config-if)# exit
LAB-ASA(config)# interface vlan 2
LAB-ASA(config-if)# nameif outside
LAB-ASA(config-if)# ip add 209.165.200.226 255.255.255.248
LAB-ASA(config-if)# security-level 0
LAB-ASA(config-if)# show switch vlan

添加一个接口到 VLAN

LAB-ASA(config-if)# exit
LAB-ASA(config)# int e0/1
LAB-ASA(config-if)# switchport access vlan 1
LAB-ASA(config-if)# show switch vlan

查看接口的 ip 信息

LAB-ASA(config-if)# show int ip brief

查看路由表

LAB-ASA(config-if)# show route

设置静态路由

LAB-ASA(config-if)# route outside 0.0.0.0 0.0.0.0 209.165.200.225

outside 指从 outside 这个 VLAN 出发, 0.0.0.0 0.0.0.0 表示来自任意 IP 任意 IP mask. 209.165.200.225 表示下一跳的地址.

创建 object network 以及配置 NAT

object network 即网络对象(就是自己定义的一个网络), 用于简化配置.

LAB-ASA(config-if)# exit
LAB-ASA(config)# object network inside-net
LAB-ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
LAB-ASA(config-network-object)# nat (inside, outside) dynamic interface
LAB-ASA(config-network-object)# end
LAB-ASA#

inside-net 是随便取的名称.

subnet 192.168.1.0 255.255.255.0 配置 object network 中的一个子网.

查看 nat

LAB-ASA# show nat

配置 class-map, policy-map, service-policy

class-map 用于根据匹配条件将特定的流量分组到不同的类别中. 类别可用于后续使用

LAB-ASA(config)# class-map inspection_default
LAB-ASA(config-cmap)# match default-inspection-traffic
LAB-ASA(config-cmap)# exit

这里的 inspection_default 是自己取的名称, 而 default-inspection-traffic 是一个默认的匹配条件, 检查一些常见的协议包.

policy-map 用于对不同的流量进行操作:

LAB-ASA(config)# policy-map global_policy
LAB-ASA(config-pmap)# class inspection_default
LAB-ASA(config-pmap-c)# inspect icmp
LAB-ASA(config-pmap-c)# exit

service-policy 用于将 policy-map 应用到特定的接口或虚拟专用网络 (VPN) 上.

LAB-ASA(config)# service-policy global_policy global

这里将 global_policy 这个 policy-map 应用到全局.

开启 dhcpd 为网络下的主机分配 IP 和 配置 DNS

LAB-ASA(config)# dhcpd add 192.168.1.10-192.168.1.100 inside
LAB-ASA(config)# dhcpd dns 8.8.8.8 interface inside
LAB-ASA(config)# dhcpd enable inside

这里的 192.168.1.10-192.168.1.100 是要用于动态分配的 IP, inside 是其要作用的 interface

配置 AAA

LAB-ASA(config)# username test password hahaha11
LAB-ASA(config)# aaa authentication ssh console LOCAL
LAB-ASA(config)# username test password hahaha11
LAB-ASA(config)# ssh 192.168.1.0 255.255.255.0 inside
LAB-ASA(config)# ssh 172.16.3.3 255.255.255.255 outside

这里的几个参数:

• authentication：指定此命令用于配置AAA身份验证。
• ssh：指定此命令用于配置SSH连接的身份验证方式。
• console：指定此命令用于配置控制台（console）访问的身份验证方式。
• LOCAL：表示使用本地数据库进行身份验证。本地数据库是ASA防火墙上存储用户账户和密码的本地数据库。

配置 dmz

LAB-ASA(config)# interface vlan 3
LAB-ASA(config-if)# ip add 192.168.2.1 255.255.255.0
LAB-ASA(config-if)# no forward interface vlan 1
LAB-ASA(config-if)# nameif dmz
LAB-ASA(config-if)# security-level 70
LAB-ASA(config-if)# interface e0/2
LAB-ASA(config-if)# switchport access vlan 3
LAB-ASA(config-if)# show switch vlan
LAB-ASA(config-if)# object network dmz-server
LAB-ASA(config-network-object)# host 192.168.2.3
LAB-ASA(config-network-object)# nat (dmz, outside) static 209.165.200.227

配置 ACL

access-list 用于创建 ACL, 用于定义一系列规则来限制或允许网络流量通过.

access-group 用于将 ACL 应用到特定的接口.

LAB-ASA(config-network-object)# exit
LAB-ASA# config t
LAB-ASA(config)# access-list OUTSIDE_DMZ permit icmp any host 192.168.2.3
LAB-ASA(config)# access-list OUTSIDE_DMZ permit tcp any host 192.168.2.3 eq 80
LAB-ASA(config)# access-group OUTSIDE_DMZ in interface outside

这里的 any 代表任何源地址, host 192.168.2.3 eq 80 指定目的地址和端口.

查看已有的 access-list

LAB-ASA(config)# show access-list

启用日志

LAB-ASA(config)# logging enable
LAB-ASA(config)# logging buffered debugging
LAB-ASA(config)# logging trap infomational
LAB-ASA(config)# logging host management 10.0.3.4
LAB-ASA(config)# ntp server 10.0.2.1 management
LAB-ASA(config)# no snmp-server enable
LAB-ASA(config)# banner login unauthorized access is prohibited

• logging enable：启用ASA防火墙的日志功能。这将使防火墙开始记录事件和消息。

• logging buffered debugging：配置ASA防火墙将调试级别的日志消息缓存在防火墙内存中。调试级别的日志消息包含详细的调试信息，可以用于故障排除和问题分析。

• logging trap informational：设置ASA防火墙将发送信息级别（包括信息级别及以上）的日志消息到日志服务器或其他配置的日志接收器。这意味着防火墙将记录并发送信息级别及更高级别的日志消息。

• logging host management 10.0.3.4：配置ASA防火墙将日志消息发送到管理地址10.0.3.4的日志服务器。这将使防火墙将日志消息发送到指定的管理地址，以便集中存储和分析。

• ntp server 10.0.2.1 management：配置ASA防火墙使用地址10.0.2.1的NTP（Network Time Protocol）服务器进行时间同步。这将确保防火墙的时钟与NTP服务器同步，以便在日志和其他时间相关功能中使用准确的时间戳。

• no snmp-server enable：禁用ASA防火墙上的SNMP（Simple Network Management Protocol）。这将防止其他设备或管理系统通过SNMP访问和监控防火墙。

• banner login unauthorized access is prohibited：配置登录提示横幅，显示未经授权的访问是被禁止的消息。当用户尝试登录到防火墙时，将显示此横幅消息，以提醒他们未经授权访问的违规行为。

配置 DHCP

拓扑如:

路由表中的度量

如:

这里的 110/2, 前者表示可信程度(越小越好), 后者表示代价(越小越好).

Router 启用 RIP 协议

点击 Router 之后, 在 Config 下:

模拟端口故障

关闭交换机的一个端口

点击 Switch:

打开 config:

点击要关闭的端口:

取消掉 on 的勾选:

查看:

显示端口标签

Options -> Preference:

Router 的 CLI 指令

配置静态 NAT

Router> en
Router# config t
Router(config)# int fa 0/0
Router(config-if)# ip nat inside
Router(config-if)# int s 2/0
Router(config-if)# ip nat outside
Router(config-if)# exit
Router(config)# ip nat inside source static 192.168.1.2 222.0.1.3
Router(config)# exit
Router# show ip nat translations

配置 NAPT

NAPT 使用不同的端口来映射多个内网 IP 地址到一个指定的外网 IP 地址, 多对一.

需设置访问控制列表, 设置地址池, 指定哪个接口是内部网络, 哪一个是外部网络, 最后将访问控制列表映射到地址池中.

Router> en
Router# config t
Router(config)# int fa 0/0
Router(config-if)# ip nat inside
Router(config-if)# int s 2/0
Router(config-if)# ip nat outside
Router(config-if)# exit
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# ip nat pool poolname 200.1.1.3 200.1.1.3 netmask 255.255.255.0
Router(config)# ip nat inside source list 1 pool poolname overload
Router(config)# end
Router# show ip nat translations

查看路由表

Router> enable
Router# show ip route

启用 OSPF 协议

Router> enable
Router# config terminal
Router(config)# route ospf 100
Router(config-router)# network 30.0.0.0 0.255.255.255 area 0

100 为进程号.

0.255.255.255 为反地址掩码(原来的地址掩码取反).

area 指定区域 (OSPF 协议要划分区域)

停止 OSPF

Router(config)# no route ospf 100

启用 BGP 协议

先给路由器接口配置 IP 地址:

Router> enable
Router# config terminal
Router(config)# int g0/0
Router(config-if)# ip add 10.0.0.2  255.0.0.0 
Router(config-if)# no shut
Router(config-if)# int g0/1
Router(config-if)# ip add 20.0.0.2 255.0.0.0
Router(config-if)# no shut

no shut 用于开启接口.

启动 bgp 协议:

Router(config-if)# exit
Router(config)# router bgp 200

200 为定义该自治系统的编号.

添加邻居:

Router(config-router)# neighbor 10.0.0.1 remote-as 100
Router(config-router)# network 10.0.0.0 mask 255.0.0.0

这里的 remote-as 100 是指定邻居自治系统的编号.

在其他模式中使用特权模式下的命令

Router(config-if)# do ping xxxx

加上 do.

配置逻辑子接口

Router> enable
Router# config terminal
Router(config) interface g0/0.1

这样就创建了 g0/0.1 这个逻辑子接口.
ciscoasa(config)#int Gig1/1.1
^
% invalid input detected at ‘^’ marker

Router(config-subif)# encapsulation dotlq 10 

这是设置该逻辑子接口, 可以接收 vlan ID 为 10 的 802.1q 帧, 并且能将 IP 数据报封装成 vlan ID 为 10 的 802.1q 帧进行转发.

Router(config-subif)# ip address 192.168.1.254 255.255.255.0

用于设置该逻辑子接口的 IP 地址和子网掩码.

Router(config-subif)# interface g0/0
Router(config-if)# no shut

启用 g0/0 之下的子接口.

设置接口类型为 trunk

Switch> enable
Switch# config terminal
Switch(config)# interface f0/7 
Switch(config-if)# switchport mode trunk

Switch 的 CLI 指令

查看 MAC Address Table

Switch> EN
Switch# show mac-address-table

清除 MAC Address Table

Switch# clear mac-address-table

配置交换机生成树协议 STP

Switch# config terminal
Switch(config)#
Switch(config)# no spanning-tree vlan 1

创建 VLAN

分配 VLAN 号:

Switch(config)# vlan 3
Switch(config-vlan)#

给 VLAN 名称

Switch(config-vlan)# name VLAN3

查看 VLAN 情况

Switch# show vlan brief

添加端口到 VLAN

Switch# config terminal
Switch(config)# interface range fastethernet 0/4 - 6
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 3

三层交换机设置 VLAN 路由接口并开启路由功能

Switch>enable
Switch#config terminal
Switch(config)# interface vlan 10
Switch(config-if)# ip address 192.168.1.254 255.255.255.0 
Switch(config-if)# no shutdown
Switch(config-if)# exit
Switch(config)# ip routing

Switch-PT 中 Console 和 FastEthernet 接口的作用

通过连接 Console 接口, 以使用终端仿真程序通过串行连接访问交换机的命令行界面 (CLI).

FastEthernet 接口, 是 Switch-PT 上的以太网接口, 用于连接其他网络设备.

串行连接

数据以连续的位流的形式通过单个传输线（通常是串行电缆）进行传输，其中每个位依次传输.

Router-PT 中各接口的作用

有 4 中类型的接口:

• Auxiliary
• Console
• FastEthernet
• Serial

Auxiliary 接口是一种用于 远程管理 和配置路由器的串行接口. 通过连接到 Router-PT 的 Auxiliary 接口, 可以使用终端仿真程序通过串行连接远程访问路由器的命令行界面 (CLI).

Console 接口与在 Switch-PT 中相同，是一种用于 本地管理 和配置路由器的串行接口.

FastEthernet 接口用于连接其他网络设备.

Serial 接口是一种用于连接路由器与其他设备的串行接口, 通常用于远程通信和广域网连接. 可以使用串行线缆将路由器连接到其他路由器, 调制解调器或WAN连接设备.

Switch-PT 中的各模块的作用

Switch-PT 中的 PT 是 Packet Tracer 的含义.

有六个模块:

1. PT-SWITCH-NM-1CE：这个模块提供了一个千兆以太网接口（Gigabit Ethernet），用于连接其他设备或扩展网络的速度和容量。

2. PT-SWITCH-NM-1CFE：这个模块提供了一个百兆以太网接口（Fast Ethernet），用于连接其他设备或扩展网络的速度和容量。

3. PT-SWITCH-NM-1CGE：这个模块提供了一个千兆以太网接口（Gigabit Ethernet），用于连接其他设备或扩展网络的速度和容量。

4. PT-SWITCH-NM-1FFE：这个模块提供了一个百兆以太网接口（Fast Ethernet），用于连接其他设备或扩展网络的速度和容量。

5. PT-SWITCH-NM-1FGE：这个模块提供了一个千兆以太网接口（Gigabit Ethernet），用于连接其他设备或扩展网络的速度和容量。

6. PT-SWITCH-NM-COVER：这个模块是一个模块卡槽的保护盖，用于覆盖未使用的模块卡槽。

其中:

• NM：代表”Network Module”，即网络模块。
• CE：代表”Control Ethernet”，控制以太网接口。
• CFE：代表”Control Fast Ethernet”，控制百兆以太网接口。
• CGE：代表”Control Gigabit Ethernet”，控制千兆以太网接口。
• FFE：代表”Fast Ethernet”，百兆以太网接口。
• FGE：代表”Gigabit Ethernet”，千兆以太网接口。
• COVER：代表模块卡槽的保护盖。