Cisco Switch 設定

Switch (交換器)介紹：

原理

Switch 為 IOS L2 的設備，其運作原理如下：

Switch 擁有一張 Switch Table 用來為記錄連線裝置MAC位置，

當有線上的裝置有封包要傳送出去時，Switch 會做以下動作：

1.檢查將其需求傳送給紀錄表中含有相對應的MAC的Port；
2.如果為不認識的MAC裝置，則送往裝置預設的路由；
3.若無預設路由，則丟棄封包。

因此是若非廣播封包，Switch是不會傳送給其他的Port，可避免網路壅塞。

但若是在同連接在Switch的某裝置大量的發送廣播封包
則會造成其他同網段的裝置為處理其封包造成網路延遲，
為了避免此問題，設計了VLAN(虛擬網域)。

Vlan用於切割成不同的網域避免過多的廣播封包。

Switch功能：

1. 位址(MAC)學習：
2. 轉送或過濾決策：
3. 避免迴圈：

其Switch構成大多如下：

CONSOLE Port：用於管理用的線路

Trunk Port：可運載多個VLAN的資訊。

Access Port: 用於存取資料，每個Access Port只能有一個Vlan，如果加上VLAN資訊只能在Trunk Port轉送。

Switch具有針對各Port做MAC管理。

以下依Port管理、VLAN設置、Vlan的IP繞送做介紹。

※Switch除了L2外，也有具備的L3功能的Switch，有路由與IP繞送的功能，相對價格昂貴。

Cisco firewall

一、架構環境

三向式

一般(單層式)

背對背


二、阻擋方式

白名單
permit 只允許特定的IP 與特定的協定通過

黑名單
deny   除了名單上的IP與特定的協定其餘皆可通過



名單(Access-List) 分類
1.標準型(Standard)

IP

2.延伸型(Extended)

封包類型：



3.混合型

數字型：IP (number)

Standard:1~99
Extended:100~199

缺點：無法修改單一條件式(要改就整張重打)
※其實在新版的數字型也可以逐項修改了，不過考試裡就...
R0(config)#access-list 100 permit tcp 192.168.0.0 0.0.252.255 any eq 25


名稱型：

優點：可修改設定中條件式
缺點：無法由名稱判斷功能(Standard or Extended)

R0(config)#[協定] access-list [類型] [名稱(編號)]
R0(config)#ip access-list extendend  BLOCKSALE

R0(config)#permit tcp 192.168.1.0 0.0.0.255 any
R0(config)#permit tcp 192.168.1.0 0.0.0.255 any eq80 //0.0.0.255 whlie card

R0(config)#ip access-list ?


※重新排序 resequence (在模擬器上無法使用)

Cisco NAT 設定

NAT(Network Address Translation)
(目的：由內部private IP → 外部public IP)


NAT 功能是為了處理IPv4 IP不足的問題，原理如下：
NAT內有張NAT table，會記錄內部IP與外部IP的對應

當內部IP有封包需發送至INTERNET的IP時，
會先將封包送經Route 的NAT機制，將其內部IP轉換為對外的IP發送出去

當對方將封包回傳回至Router時，NAT會將封包IP轉換為內部的IP回傳至來源IP。

NAT的運作方式：

一、State Mapping (永久有效)(手動設定)
　　適用於架設伺服器設定
　　1. L3: 1 public IP→ 1 private IP(等量IP)

　　2. L4: 多 public IP +多 public port  → 1 private IP +多 public port

二、Dynamic Mapping (暫時有效)(動態分配)
　　適用於一般裝置
　　1. L3: 多 public IP→ 少 private IP(等量IP)
　　※當IP不足時只能等待NAT釋放其他空閒的IP


　　2. L4: 多 public IP +多 public port  → 1 private IP +多 public port
　　※簡稱PAT()，為目前NAT大多採用的方式，能使用IP多餘的port傳輸封包。CISCO稱為overloading。

題外話：NAT的威力有多大呢?大到IPv6難產，因為它減少了大量IP的需求。說是這樣說，部過在亞太地區的IP也已經供不應求，預計於2018內更換為IPv6，不過本人也看這口號看了十多年了，跳票也不意外。

NAT 欄位

內部區域(Inside Local)
　

外部區域(Outside Local)



外部全域(Outside Global)

內部全域(Inside Global)


NAT設定

一、State Mapping (永久有效)(手動設定)
　　1. L3: 1 public IP→ 1 private IP(等量IP)
定義IP

R0(config)#ip nat inside source state 192.168.1.1 140.116.86.125
//設定192.168.1.1連外為140.116.86.125，型態為state


設定介面
內部
R0(config)#int f0/0
R0(config-if)#ip nat inside

外部
R0(config)#int s0/0/0
R0(config-if)#ip nat outside




　　2. L4: 多 public IP +多 public port  → 1 private IP +多 public port
R0(config)#ip nat inside source state tcp 192.168.1.1 23 140.116.86.125 23000
//設定192.168.1.1 23 port連外為140.116.86.125 23000，型態為state

設定介面(同上)


二、Dynamic Mapping (暫時有效)(動態分配)
　
　　1. L3: 多 public IP→ 少 private IP(等量IP)
定義外部IP

R0(config)#ip nat pool CarSale 192.168.4.10 192.168.4.32 netmask 255.255.255.0
//CarSale Pool變數名稱
定義內部IP:Stadard Access-List
R0(config)#access-list 5 permit 192.168.1.0  0.0.0.255 //whlie card
R0(config)#ip nat inside source list 5 pool CarSale

設定介面(同上)



　　2. L4: 多 public IP +多 public port  → 1 private IP +多 public port
R0(config)#ip nat pool CarSale 192.168.4.10 192.168.4.10 netmask 255.255.255.0

定義內部IP:Stadard Access-List
R0(config)#access-list 5 permit 192.168.1.1  0.0.0.255 //whlie card
R0(config)#ip nat inside source list 5 pool CarSale overload
※pool也不一定要使用，可以改為介面的方式如：
R0(config)#ip nat inside source list 5 interface serial 0/0/0 overload
　　
設定介面(同上)

Cisco 動態路由

Routing Protocal

分類：
(一)管理單位 AS. (Autonomous System)

1. IGP：RIP、EIGRP、OSPF、IS-IS
2. EGP：BGP

(二)演算法

1. Distance Vector：RIP、EIGRP
2. Link-State：OSPF、IS-IS
3. Path Vector：BGP

(三)IP定址

1. Classful：RIPvl , IGRP
   (有級別)　路徑資訊無SubnetMask
2. classless：RIPv2 , EIGRP , IS-IS
   (無級別)　路徑資訊含SubnetMask

當Router到相同目的時有多重路徑時，會以AD與Metric兩值做比較，

使用時機：
不同路由協定，以AD(administrative distance，AD)值為準則；
相同協定時，以Metric為準則。

※因狀況需求，也可手動設定AD值使其選擇路徑優先於相同協定。

AD(administrative distance，AD)表(待補)

Router負載平衡：待補



Distance Vector 演算法
　1.Route Table
　2.Neighbor Router
　3.30 Sec (定期更新)
　4.HopCount

計時器
1.更新:30sec
2.無效:180sec
3.鎖定:180sec
4.刪除:240sec

問題：Routing Loop
解決方式：

1. metric 最大 16 (0~15 Router ) 0:自己
2. Split Horizon
3. 路徑毒藥
4. Holddown timer
5. 觸發更新

Router運作原理
1.設定網段傳送給其他Router

2.該網段包含網路介面 收/發路由資訊

檢視指令

R0#show ip router

R0#show ip proctocol

R0#debug ip rip

※隨協定不同而更改

R0#no debug all

※debug 是個相當實用的指令，當想監視封包是否送達時，相對的若不想被大量的洗頻記得要 no掉。

----------------------------------------------------------------------

啟動路由協定

R0(config)#router 協定名稱 [參數]

指定RIP 協定：

R0(config)#router rip

指定RIP版本(預設為v1)：

R0(config-router)#version 2 

※v1與v2，並不相通，故若設置RIP需所有Router 全都更改。

R0(config-router)#no auto-summary

※v2才具有的功能，v1不能提用。
※停止不連續的為停用並不相通，故若設置RIP需所有Router 全都更改。

指定路由網段與介面：

R0(config-router)#network 網段編號(classful) 

R0(config-router)#network 192.168.3.0

-----------------------------------------------------------------------

RIP v1 介紹：

1. Classful:無 SubnetMask
2. Broadcast: 255.255.255.255
3. Split Horuzon: 

----------------------------------------------------------------------

RIP v2 介紹：

1. Classless:有SubnetMask
2. Multicast:244.0.0.9

------------------------------


預設路由 宣傳
通常ROUTER需設定從ISP(外網)，將不認識的IP全部指向其路由


R0(config)#ip route 0.0.0.0 0.0.0.0 介面

0.0.0.0  所有IP 
0.0.0.0  所有的MASK
介面 經由ROUTER的介面

R0(config)#ip route 0.0.0.0 0.0.0.0  S 0/1/0

R0(config)#router rip

R0(config-router)#default-information originate

originate:為來源的意思，意謂其他的router也會以此router之預設設定為主


※理論上，若是ISP業者提供的IP至此便可以連接到網際網路(Internet)，但通常會遇到的接是無實體IP的裝置，故需要設置NAT(Network Address Translation)對應，這一段至後面再討論。

-----------------------------

清除路由表

R0#clear ip route *

※ * 為清除表內所有內容，也可單獨指定網段清除

Cisco Router IOS操作

前言：


CISCO Router / Switch 皆是使用 IOS，這IOS並不適我們熟知的IOS(笑)

要設定Router如果沒有實體可以操作也可以下載Cisco 的模擬器來學習

名稱：Cisco Packet Tracer 6.2

在撰寫此文時出到6.2版

在進入時，善用你的TAB鍵，可以幫助你完善你的指令


首先進入IOS介面，隨著你進入的機器不同會有不同的指令集

Router>

Switch>

================================================
一、權限階層

IOS的使用者權限是線性進入的 一開始為使用者模式

階層為

使用者模式  Router>
　特權模式　  Router#
　　設定模式　  Router(config)#
　　　├特定設定模式　  Router(config-if)#
　　　└裝配模式　  Router(config-line)

===
一開始會在使用者模式，隨著權限需求須進入其他模式

Router> enable                       //使用者>特權
Router# configure terminal    //特權>設定

Router(config)#                  

//設定能進入的為兩層，為介面設定(Interface)與線路(line)，根據你要設定的線路與介面不同而需不同的指令可由[line ?]與[interface ?] 查詢



Router(config)# interface fastEthernet 0/0      //舉例為要進入 fastEthernet 0 port 0 的 介面設定
└ Router(config-if)#

Router(config)#ine vty  0 4   //舉例為要能設定可進入vty線路 0-4 (共5)的連線
└ Router(config-line)#





二、enable 密碼設定

1.
Config# enable password "明碼" //可以用
Config# enable Secret "暗碼"
Config# service password-encryption　← telnet 密碼加密

※使用明碼可於running-config中查詢enable密碼
而Secret則不行，須用另外的方式進入洗掉。


2.Config


※如果使用Console port管理一直跳出系統提示訊息，而不希望被打斷
進入
Router(config)# line console 0
Router(config-line)#logging synchronous

三、Router 網路設定

網路設定的方式根據需求而不同，以下情況假設為須給予 interface fastEthernet 0/0 IP與MASK

Router(config)# interface fastEthernet 0/0      //進入 fastEthernet 0 port 0 的 介面設定
└ Router(config-if)#ip address 192.168.1.254 255.255.255.0

//後者為子網路遮罩，注意中間有空格

在Router中預設所有裝置的PORT都是"關閉"的，原因是這些都須設定才能使用，
故預設開啟本身是件無意義的舉動，故需開啟裝置。

Router(config-if)#no shutdown  //開啟裝置



檢查網路設定

Router# show ip interface brief  //查看網路設定

Router# show ip route //查看網域路由




四、SSH 加密設定

要設置SSH須先了解為何須設定的原理，這邊推薦可以看鳥哥的私房菜的說明
網址連結如下：鳥哥的私房菜 SSH

==============
SSH設定的前置動作為需要有自己的主機名稱與網域名稱作為公鑰與私鑰，故須先設定：

Router(config)# hostname R0 //設定主機名稱 "R0"為Router主機名稱，也會改變指令前的名稱從Router(config)#為R0(config)#。

R0(config)# ip domain-name test.net //設定網域名稱 "test.net"為Router主機名稱

設定使用者名稱與密碼讓SSH客戶端能存取
R0(config)# username edwin password 123 //設一組帳號edwin  密碼123 

R0(config)# crypto key generate rsa    //產生SSH所需的加密金鑰

輸入加密的位元值：1024  //512~1024


R0(config)#ip ssh version 2    //設定SSH版本為 2

==============
進入vty 設定連線選項

R0(config)#line vty  0 15

R0(config-line)#transport input ssh //使telnet只能以SSH登入

R0(config-line)#login.loacl //登入vty  線路的使用者需對照本機設定的帳號密碼



※進入後如果並未執行此動作 enable 會以 vty 設定的密碼登入操作，雖然你有設不同的帳戶密碼，但密碼都會共用vty的密碼。
※進入後如果並未替 enable 密碼設定，會無法進入enable模式繼續操作。

==============
IOS備份還原