思科网络设备配置易错笔记

  1. 配置vty之前需给交换机配置特权模式密码,否则终端设备将无法进入特权模式。

  2. 若配置了控制台线路密码,则交换机开机后会要求输入密码以进入用户模式。

  3. 两个交换机同属于一个域内并且工作模式都为server时,将会互相同步各自的VLAN信息给对方。

  4. 只有路由器才支持创建和配置虚拟子接口,而三层交换机即使开启了三层路由功能(no switchport)也无法创建。

  5. 在配置虚拟子接口时,对应的物理接口可以不配置IP地址。虚拟子接口本身是独立的逻辑接口,可以独立于物理接口进行配置和通信。

  6. 连接终端设备的交换机端口无须参与生成树运算,但在默认情况下这些端口仍然会按照生成树协议的规则进行操作,导致终端设备在连接到端口后需要近50s的时间才能接入网络。为了改变这一情况,可以将交换机的端口设置为Portfast端口( spanning-tree portfast ),使其在设备接入后直接从阻塞状态转到转发状态,大大提高了终端设备接入网络的速度。(每次配置后都会有警告信息提示:Portfast 应仅在连接到单个主机的端口上启用,不应连接到集线器、集中器、交换机、桥接器等设备上,以避免桥接环路;Portfast 只在接口设置为非干道(trunk)模式时生效。)

  7. 聚合端口虽然是逻辑端口,但和物理端口一样可以配置基本的端口属性,例如配置Trunk模式( switchport mode trunk )。对于三层交换机,还可配置封装协议( switchport trunk encapsulation dot1q )。

  8. 端口加入聚合组之后,不要再在该端口上进行任何配置,否则可能会导致与其他成员端口之间的配置不一致从而影响聚合组的功能。

  9. 广域网接口一般为串行接口(Serial)。串行线由两端组成,分别是DCE(Data Circuit-terminating Equipment)端、DTE(Data Terminal Equipment)端。对于 DCE(Data Terminal Equipment)的接口,通常需要配置时钟频率( clock rate 64000 )。时钟频率用于控制数据的传输速率,确保发送方和接收方设备能够以相同的速率进行通信。

  10. 任何发送到黑洞路由( ip route <目的网络地址> <子网掩码> null 0 )的数据包都将被路由器丢弃,从而实现黑洞效果。

  11. 路由器可以配置静态路由的度量值(Metric),这是一个衡量路由质量的指标。较小的度量值通常表示更优先的路由。

  12. RIP 协议默认会自动汇总相同类别的网络地址。然而,在使用 VLSM (RIP V2 才支持VLSM)进行网络划分时,自动汇总可能导致不必要的网络汇总,因此可以通过配置 no auto-summary 来禁用自动汇总,以便在 RIP 路由表中保留更多的网络详细信息。

  13. 为了让内部网络中的路由器能够接收到默认路由信息并进行正确的下一跳转发,边界或出口网关需要在自己的路由表中配置一条默认路由。即在本地配置一条默认路由,并使用 default-information originate 命令( OSPF 和 RIP 协议都支持此命令)将其发布给内部网络路由器,以便内部网络中的路由器能够了解到该默认路由信息并正确进行转发决策。

  14. RIP 和 OSPF 的路由更新也会从连接计算机的接口发送出去,而这些发送的路由更新对计算机没有任何意义,所以这些操作只会造成资源浪费。为了改变这种状况,可以配置被动接口( passive-interface <接口类型><接口编号> ),使接口只接收路由更新,但不发送路由更新。

  15. OSPF 宣告路由直连网络时使用的是反掩码通配符(Wildcard bits),通配符掩码中的二进制0表示必须精确匹配,二进制1表示此位可以不用匹配。

  16. 配置 ACL 的源/目的IP地址时使用的子网掩码也是反掩码通配符(Wildcard bits),通配符掩码中的二进制0表示必须精确匹配,二进制1表示此位可以不用匹配。

  17. OSPF 只有在广播网络和非广播的多路访问网络中才会进行DR和BDR的选举。

  18. redistribute static 可用于在路由协议配置模式下将静态路由表中的路由信息重新分发到动态路由协议中。

  19. 所有 ACL 的最后都默认隐含一条拒绝所有数据通过的语句,这意味着当语句均没有匹配时将自动拒绝数据通过,所以根据需求有效地设计控制语句是相当重要的。

  20. access-list 5 deny host 192.168.1.1access-list 5 deny 192.168.1.1 0.0.0.0 等价的,都表示拒绝目标地址为 192.168.1.1 的数据包。

  21. 使用标准访问控制列表时,列表放置的位置应该距离源IP地址越远越好,以避免其他有效数据被过滤;在使用扩展访问控制列表,列表放置的位置应该离源IP地址越近越好,以有效降低主干链路的链路使用率。

  22. 创建标号式 ACL : ip access-list <extended/standard>  <100-199>  ;创建命名式 ACL :ip access-list <extended/standard>  <WORD> (线路模式接口以及VLAN接口可使用命名式 ACL)。

  23. DNS 使用 UDP 端口 53; WWW 使用 TCP 端口80

  24. access-list 100 deny udp host 192.168.2.1 host 192.168.3.1 eq 53 表示拒绝来自源IP地址为192.168.2.1、目标IP地址为192.168.3.1、目标端口号为53的UDP数据包。

  25. NAT也可将内网专用地址转换为出口接口上的公网IP地址: ip nat inside source list <ACL编号> interface <接口类型><接口编号> overload,而无需创建IP地址池:  ip nat pool <pool-name> <start-ip> <end-ip> netmask <subnet-mask>

  26. ip domain-lookup 可为路由器或交换机启用域名解析功能,ip name-server <IP地址> 表示将DNS查询发送到某IP地址的DNS服务器。

  27. 路由器只有串行接口才可配置封装协议(frame-relay、hdlc、ppp)。

  28. 路由器串口配置PPP时,需注意串口的通信协议状态是否为up,若不是,就要考虑对等节点(另一端的设备)是否已开启PPP、是否正确配置了PPP的参数,包括用户名、密码、认证方式(例如PAP或CHAP)、IP地址分配方式(例如静态分配或动态分配)等。

  29. 在帧中继交换云(PT-Coud)上配置帧中继连接的 DLCI(Data Link Connection Identifier)编号的范围是 16 到 1007。

  30. 运营商的帧中继交换机(PT-Coud)和用户的 DTE 设备间的LMI(Local Management Interface)类型必须匹配。在CiscoIOS版本11.2以后,LMI类型可以由LMI信令自动感知,因此用户的DTE设备上可以不用配置LMI类型( frame-relay lmi-type cisco )。

  31. 路由器启动的60秒内,按下 Ctrl+ Pause(Break) 键可进入 ROM Monitor 模式,reset 命令退出(重启)。

  32. 在大多数情况下,在 ROM Monitor 模式将寄存器值修改为0x2142( comfreg 0x2142 )后,重新启动路由器,会使路由器加载默认配置而不加载保存在NVRAM中的配置文件,从而绕过密码验证。在路由器启动后,可以进入特权模式修改密码或重置配置,然后再将寄存器值改回默认值( config-register 0x2102 )。

  33. 生成 RSA 密钥对( crypto key generate rsa )时,需要先为路由器或交换机定义一个主机名( hostname <hostname> ),这是因为 RSA 密钥对的生成需要使用主机名作为标识。以及定义一个域名( ip domain-name example.com ),因为RSA密钥对生成过程中会使用到域名信息。

  34. 在生成RSA密钥对时,系统会询问密钥模数的位数(360 - 2048,默认512 )。位数越大,密钥的强度越高,但生成时间可能会更长。

  35. 创建的RSA密钥对( crypto key generate rsa general-keys modulus 1024 )至少要有768位大小才能启用SSH V2ip ssh version 2 )。