从AC上面导出配置文件应该使用Upload File,不是使用Download File,Download File是传文件到AC(Download File to Controller),使用Upload File就能解决您的问题,望采纳。
如果是思科的Packet Tracer,直接在服务器上配置--DNS--输入IP和域名新增即可。如果是命令行,服务器段配置:
switch(config)#ip domain-nane ciscocom
switch(config)#ip name-server 1011209 1011210
switch(config)#ip domain-lookup
客户端:(config)#ip name-server 1011209思科Cisco交换机、路由器设置命令
Lzshihj_tz2f_3550
交换机口令设置:
switch>enable ;进入特权模式
switch#config terminal ;进入全局配置模式
switch(config)#hostname <hostname> ;设置交换机的主机名
switch(config)#enable secret xxx ;设置特权加密口令为 xxx
switch(config)#enable password xxx ;设置特权非密口令为 xxx
switch(config)#line console 0 ;进控制台口(Rs232)初始化
switch(config-line)#line vty 0 4 ;进入虚拟终端virtual tty
switch(config-line)#login ;允许登录
switch(config-line)#password xx ;设置登录口令xx
switch#exit ;返回命令
交换机VLAN设置:
switch#vlan database ;进入VLAN设置
switch(vlan)#vlan 2 ;建VLAN 2
switch(vlan)#no vlan 2 ;删vlan 2
switch(config)#int f0/1 ;进入端口1
switch(config-if)#switchport access vlan 2 ;当前端口1加入VLAN 2
switch(config-if)#switchport mode trunk ;设置为干线
switch(config-if)#switchport trunk allowed vlan 1,2;设置允许的vlan
switch(config-if)#switchport trunk encap dot1q ;设置vlan中继
switch(config)#vtp domain <name> ;设置发vtp域名
switch(config)#vtp password <word>
switch(config)#vtp mode server
switch(config)#vtp mode client
交换机设置IP地址:
switch(config)#interface vlan 1 ;进入vlan 1
switch(config-if)#ip address <IP> <mask> ;添加远程登录IP
switch(config)#ip default-gateway <IP> ;添加默认网关
switch#dir flash: ;查看内存
交换机显示命令:
switch#write ;写入保存
switch#show vtp
switch#show run ;查看当前配置信息
switch#show vlan ;看VLAN
switch#show interface ;显示所有端口信息
switch#show int f0/0 ;显示端口0的信息
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
路由器显示命令:
router#show run ;显示接口
router#show interface ;显示接口
router#show ip route ;显示路由
router#show cdp nei ;看邻居
router#reload ;重新起动
设置口令:
router>enable ;进入特权模式
router#config terminal ;进入全局配置模式
router(config)#hostname <hostname> ;设置交换机的主机名
router(config)#enable secret xxx ;设置特权加密口令为 xxx
router(config)#enable password xxx ;设置特权非密口令为 xxx
router(config)#line console 0 ;进控制台口(Rs232)初始化
router(config-line)#line vty 0 4 ;进入虚拟终端virtual tty
router(config-line)#login ;允许登录
router(config-line)#password xx ;设置登录口令xx
router(config)# (Ctrl+z) ;返回特权模式
router#exit ;返回命令
配置IP地址:
router(config)#int s0/0 ;进行串Serail接口
router(config-if)#no shutdown ;起动接口
router(config-if)#clock rate 64000 ;设置时钟
router(config-if)#ip address 10111 25525500 ;设置IP地址和子网掩码
router(config-if)#ip add 10112 25525500 second;
router(config-if)#int f0/01 ;进入子接口
router(config-subif1)#ip address <ip><netmask> ;
router(config-subif1)#encapsulation dot1q <n> ;
router(config)#config-register 0x2142 ;跳过配置文件
router(config)#config-register 0x2102 ;正常使用配置文件
router#reload ;重新引导
复制 *** 作:
router#copy running-config startup-config ;存配置
router#copy running-config tftp ;上载
router#copy startup-config tftp
router#copy tftp flash: ;特权模式下升级IOS
router#copy tftp startup-config ;下载配置文件到nvram
ROM状态:
Ctrl+Break ;进入ROM监控状态
rommon>confreg 0x2142 ;跳过配置,26 36 45xx
rommon>confreg 0x2102 ;使用配置,恢复工作状态
rommon>reset ;重新引导,等效于重开机
rommon>copy xmodem:<sname> flash:<dname> ;从console升级IOS
rommon>IP_ADDRESS=106512 ;设置路由器IP
rommon>IP_SUBNET_MASK=25525500 ;设置路由器掩码
rommon>TFTP_SERVER=106511 ;指定TFTP服务器IP
rommon>TFTP_FILE=c2600bin ;所要下载的文件
rommon>tftpdnld ;ROM监控状态下升级IOS
rommon>dir flash: ;查看闪存中的内容
rommon>boot ;引导IOS
静态路由:
ip route <ip-address> <subnet-mask> <gateway> 例:
router(config)#ip route 10100 25525500 10211
router(config)#ip route 0000 0000 1112
动态路由:
router(config)#ip routing ;启动路由
router(config)#router rip ;启动RIP路由协议。
router(config-router)#network <netid> ;配置范围,有的支持all。
router(config-router)#negihbor <ip-address> ;点对点 帧中继用。
帧中继命令:
router(config)# frame-relay switching ;使能帧中继交换
router(config-s0)# encapsulation frame-relay ;使能帧中继
router(config-s0)# frame-relay intf-type DCE ;DCE端(需要配虚电路)
router(config-s0)# frame-relay local-dlci 20 ;配置虚电路号
基本访问控制列表:
router(config)#access-list <number> permit|deny <source ip> <wild|any>
router(config)#interface <interface> ;default: deny any
router(config-if)#ip access-group <number> in|out ;default: out
例:
RB(config)#access-list 4 permit 10811
RB(config)#access-list 4 deny 10810 000255
RB(config)#access-list 4 permit 10800 00255255
RB(config)#access-list 4 deny 10000 0255255255
RB(config)#access-list 4 permit any
RB(config)#int f0/0
RB(config-if)#ip access-group 4 in
扩展访问控制列表:
access-list <number> permit|deny icmp <SourceIP wild> <destinationIP
wild>[type]
access-list <number> permit|deny tcp <SourceIP wild> <destinationIP
wild>[port]
例1:
router(config)#access-list 101 deny icmp any 106402 0000 echo
router(config)#access-list 101 permit ip any any
router(config)#int s0/0
router(config-if)#ip access-group 101 in
例2:
router(config)#access-list 102 deny tcp any 106502 0000 eq 80
router(config)#access-list 102 permit ip any any
router(config)#interface s0/1
router(config-if)#ip access-group 102 out
router(config)#no access-list 102
router(config-if)#no ip access-group 101 in
在路由器上设置 SNMP Community Strings
router(config) # snmp-server community read-community-string ro
router(config) # snmp-server community write-community-string rw
在交换机上设置 SNMP Community Strings
switch(config) # snmp-server community read-community-string ro
switch(config) # snmp-server community write-community-string rw
在路由器上配置日志信息(Syslog Message Logging)
router(config) # logging on
router(config) # logging server-ip-address
router(config) # logging trap severity-level
路由器恢复出厂设置
erase start-config
或write erase
或erase NVROM
思科提供了许多处理连接性的 方法 ,这使得排除的故障和解决问题成为一个并不轻松的问题。从包括在某些思科路由器中的性能到PIX防火墙所提供的服务,再到思科的 Concentrator,其中的每一个都有其自身的特点。考虑到选项的复杂性,本文所讨论的这些技巧并不一定适用于所有的思科配置。不过,下面我将会为您解决类似的问题提供一个很好的起点,欢迎大家参考和学习。
问题一:某个运行互联网连接共享的用户不能安装思科3000 客户端。
这个问题易于解决。用户需要在安装客户端之前在其机器上禁用ICS。笔者建议用户用一个支持防火墙的路由器代替ICS。注意,如果机器只是通过另外一个使用ICS的机器进行连接的话,这样做就不必要了。要禁用ICS,可以单击“开始(Start)”/“控制面板(Control Panel)”/“管理工具(Administrative Tools)”/“服务(Services)”/“Internet连接共享(Internet Connection Sharing)”,并禁用“在启动时加载(Load On Startup)”选项。
此外,还要保证用户们知道客户端禁用了XP的欢迎屏幕和快速用户切换,这些通常用在多用户的家用电脑中。组合键[Ctrl]+[Alt]+[Delete]仍适用,而且用户需要键入其用户名和口令。(注意:快速用户切换可以通过禁用客户端的‘登录前开始’特性禁用。不过,这也有其自身的问题,因此,除非你确实需要快速用户切换,笔者并不推荐这样做。)
关于客户端安装的另外一个问题:思科并不推荐在同一的PC上安装多个客户端。如果对此你有任何问题,并且需要支持,可以先卸载 其它 的客户端,然后再打电话寻求支持。
问题二:日志指示一个密钥问题
如果与预共享密钥有关的日志中存在着错误,你就可能在连接的任何一端上错配密钥。这种情况下,你的日志会指明客户端与服务器之间的交换很好地切合IKE的首要模式安全性。在这种交换之后,日志会指明一个密钥问题。要解决之,可以在集中器上找到“配置(Configuration)”/“系统(System)”/“隧道协议(Tunneling Protocol)”/“IPSec局域网到局域网(IPSec LAN-to-LAN)”选项,并选择你的IPSec配置。在预共享密钥(Preshared Key)字段中,输入你的预共享密钥。在一个用于与集中器关联的思科PIX防火墙上,应使用命令:
sakmp key password address xxxxxxxx netmask 255255255255
在这里的口令即是你的预共享密钥。用于你的集中器中的密钥和PIX防火墙上的密钥应当正确地匹配。
问题三:在试图连接到时,运行防火墙软件的用户 报告 错误
在防火墙软件中,有一些端口需要打开,如BlackIce(BlackIce也存在着与思科的客户端相关的其它问题。你可以参考它的发布注释寻求更多的信息。),Zone Alarm,Symantec,还有Windows平台的其它互联网安全程序,以及Linux系统上的ipchains 和 iptables。总体而言,如果用户在其软件中打开了下面的端口,你就该看到一些抱怨的终结:
UDP 端口: 500, 1000 和 10000
IP 协议 50 (ESP)
为IPSec/TCP而配置的TCP 端口
NAT-T 端口 4500
问题四:家庭用户抱怨说,在连接建立后,他们不能访问其家用网络上的其它资源。
一般而言,这种问题是由于禁用了隧道分离造成的。虽然隧道分离会引起安全风险,可以通过采取强健的、增强的安全策略而将这些风险减轻到某个程度,并自动地扩展到客户端连接(例如,一个策略可能要求安装最新的反病毒软件或安装一个防火墙)。在一个PIX上,可以使用这个命令来启用隧道分离:
group groupname split-tunnel split_tunnel_acl
你应当用对应的访问列表命令来定义哪些内容可以通过加密的通道,哪些通信可以以明文的形式发送出去。例如:
access-list split_tunnel_acl permit ip 10000 25525500 any
或者任何你指定的IP地址范围。
在一个思科Cisco Series 3000 Concentrator 上,你需要告诉设备哪些网络应通过加密通道通信。可以通过如下步骤进行:转到“配置(Configuration)”/“用户管理(User Management)”/“基群(Base Group)”,并且从“客户配置(Client Config)”选项卡中,选择“Only Tunnel Networks In The List(仅列表中的隧道网络)”选项,并在你应该由保护的站点上创建一个网络列表,而且要在“Split Tunneling Network List(分离隧道网络列表)”下拉列表框中选择这个网络列表。
问题五:一个远程用户的网络正在使用与服务器的本地网络相同的IP地址范围(采用支持虚拟适配器的Client 46,环境:Windows 2000/XP)
对这些特定的 *** 作系统 来说,这可能有点儿特别,不过诊断Cisco 46的这些IP地址冲突可能会使人灰心丧气。在这些情况下,由于冲突的存在,那些假定通过隧道的通信仍保留在本地。
在受到影响的客户端上,单击“开始(Start)”/“控制面板(Control Panel)”/“网络和拨号连接(Network And Dialup Connections)”/“本地适配器(local adapter)”,在适配器上右击,并选择“属性(Properties)”。在“属性(Properties)”页上,选择TCP/IP,然后单击“属性(Properties)”按钮。下一步,单击“高级(Advanced)”选项,找到“Interface Metric”选项,将其值增加1。这就有效地告诉了你的计算机第二次使用本地适配器。适配器将可能拥有metric值1,这使它成为一个通信目地的首要选择。
问题六:某些路由器/固件组合引起了客户端的连接问题
思科的客户端在一些较老的(有时是较新的)家用路由器中会产生问题,通常是针对特定的固件版本。如果你的用户存在着一致的连接问题,就需要让它们升级其路由器的固件,特别是在他们拥有一个较老的设备单元时。在众多的路由器中,已知会产生思科客户端问题的有:
固件版本低于144的Linksys BEFW11S4
固件版本低于215的Asante FR3004 Cable/DSL 路由器
Nexland Cable/DSL 路由器型号 ISB2LAN
如果所有其它的 措施 都失效,可以将一个空闲的路由器给用户使用,帮助它们限制潜在的问题范围。最终有问题的路由器可能需要替换。
问题七:用户报告说,在他们试图建立连接时,其客户端连接会终结
在这种情况下,用户会看到一个错误消息,类似于“ Connection terminated locally by the Client Reason 403: Unable to contact the security gateway”( 连接被客户端终结。原因403:不能联系到安全网关。)这种错误可能是由多种原因造成的:
用户可能输入了不正确的组口令
用户可能并没有为远程端点键入恰当的名称或IP地址
用户可能存在着其它的互联网连接问题
基本而言,由于某种原因,IKE协商会失效。你可以检查客户端的日志,(单击log/enable),设法找到使哈希认证无法进一步缩小问题范围的错误。
问题八:从NAT设备后建立一个连接时,发生故障;或者建立一个到NAT设备后的服务器的连接时,发生故障。
在允许传输期间对数据包的头部进行修改之前,这个问题是固有的,所以这个问题出现在所有的思科硬件中。要纠正这个问题,就要在你的硬件上启用NAT-Traversal (NAT-T),并允许UDP端口4500通过防火墙。
如果你正将一个PIX防火墙既用作防火墙又用作端点,就要在你的配置中用命令nat-traversal 20启用NAT-T,并打开4500端口。这里的20是NAT的保持活动的时间周期。如果你拥有一个独立的防火墙和一个思科集中器,就要在拥有集中器目标地址的防火墙上打开UDP端口4500。然后,在集中器上,转到“Configuration(配置)/ Tunneling And Security(隧道和安全性)/IPSec /NAT Transparency(NAT 透明度)”,并选择“IPSec Over NAT-T”选项。而且,还要保障任何在用户端点上使用的客户端都支持NAT-T。
问题九:用户成功地建立了一个链接,不过却周期性的掉线。
同样,为了明确问题,你还要检查多个地方。首先,确认用户的计算机并没有进入Standby Mode (待命模式)、休眠模式,也没有启动屏幕保护程序。在客户期望到达一个服务器的持续连接时,待命模式、休眠模式能够中断你的网络连接。为了节省电力,你的用户还有可能配置其计算机使其在一段时间之后关闭一个网络适配器(网卡)。
如果使用了无线技术,你的用户有可能漫游到一个无线信号很弱(或不存在)的地方,那么有可能因此断开。还有,你的用户的网络电缆可能有问题,也有可能是路由器或互联网连接的问题,或者是其它的物理连接问题。
还有这样一些报告指出,如果一个端点(PIX或3000集中器)耗尽其IP地址池中的资源,也会导致在客户端上导致这种错误。
问题十:某用户报告说,计算机在本地网络上不再可“见”,即使客户端被禁用。
其它症状还可能包括用户网络上的其它许多计算机不能Ping通计算机,即使这台计算机能够看到网络上的其它计算机。出现这种情况,这个用户有可能启用了客户端上的内置防火墙。如果防火墙被启用,它就会保持运行状态,甚至在客户端不运行时仍然如此。要解决问题,就要打开客户端,并从选项(options)页上,取消选择“stateful firewall”选项的复选框。
以上介绍的仅是思科中的十个比较常见的问题及其解决方法,不过,可以看作是抛砖引玉。
Cisco备份路由器配置在路由器主控终端上执行copy running-config tftp命令,并按系统提示逐步输入有关信息,具体 *** 作步骤如下:1执行命令:route#copy running-config tftp (把路由器当时运行的配置文件写到TFTP Server上)。2系统提示:Remote host []输入:11668188 (TFTP Server的IP地址或主机名)。3系统提示:Name of configuration file to write [route-config]输入:ciscoconf (备份用户配置文件的文件名,此处也可直接回车,即使用缺省的route-config作为用户配置的文件名)。4系统提示:Write file conf-ciscoconf on host 11668188 [confirm] (让用户确认主机名或主机的IP地址是否正确)如显示信息正确则直接回车,这时系统开始备份用户配置文件并显示如下信息:Building configurationWriting route-config !!! [OK]。此处需要强调的是,在执行备份的过程中,认真观察路由器的备份过程,必须保证每个包都成功保存,即Writing route-config与[OK]之间必须都是“!”号,否则最好重写一次。另外,在备份结束后,最好用文本编辑软件打开备份文件,确认备份是否成功。配置恢复的方法与备份的方法基本相同,只是恢复的命令不同,配置恢复的命令如下:route#copy tftp startup-config。思科命令大全Access-enable 允许路由器在动态访问列表中创建临时访问列表入口Access-group 把访问控制列表(ACL)应用到接口上
Access-list 定义一个标准的IP ACL
Access-template 在连接的路由器上手动替换临时访问列表入口
Appn 向APPN子系统发送命令
Atmsig 执行ATM信令命令
B 手动引导 *** 作系统
Bandwidth 设置接口的带宽
Banner motd 指定日期信息标语
Bfe 设置突发事件手册模式
Boot system 指定路由器启动时加载的系统映像
Calendar 设置硬件日历
Cd 更改路径
Cdp enable 允许接口运行CDP协议
Clear 复位功能
Clear counters 清除接口计数器
Clear interface 重新启动接口上的件逻辑
Clockrate 设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率
Cmt 开启/关闭FDDI连接管理功能
Config-register 修改配置寄存器设置
Configure 允许进入存在的配置模式,在中心站点上维护并保存配置信息
Configure memory 从NVRAM加载配置信息
Configure terminal 从终端进行手动配置
Connect 打开一个终端连接
Copy 复制配置或映像数据
Copy flash tftp 备份系统映像文件到TFTP服务器
Copy running-config startup-config 将RAM中的当前配置存储到NVRAM
Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上
Copy tftp flash 从TFTP服务器上下载新映像到Flash
Copy tftp running-config 从TFTP服务器上下载配置文件
Debug 使用调试功能
Debug dialer 显示接口在拨什么号及诸如此类的信息
Debug ip rip 显示RIP路由选择更新数据
Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息
Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息
Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程
Debug ppp 显示在实施PPP中发生的业务和交换信息
Delete 删除文件
Deny 为一个已命名的IP ACL设置条件
Dialer idle-timeout 规定线路断开前的空闲时间的长度
Dialer map 设置一个串行接口来呼叫一个或多个地点
Dialer wait-for-carrier-time 规定花多长时间等待一个载体
Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制
Dialer-list protocol 定义一个数字数据接受器(DDR)拨号表以通过协议或ACL与协议的组合来控制控制拨号
Dir 显示给定设备上的文件
Disable 关闭特许模式
Disconnect 断开已建立的连接
Enable 打开特许模式
Enable password 确定一个密码以防止对路由器非授权的访问
Enable password 设置本地口令控制不同特权级别的访问
Enable secret 为enable password命令定义额外一层安全性(强制安全,密码非明文显示)
Encapsulation frame-relay 启动帧中继封装
Encapsulation novell-ether 规定在网络段上使用的Novell独一无二的格式
Encapsulation PPP 把PPP设置为由串口或ISDN接口使用的封装方法
Encapsulation sap 规定在网络段上使用的以太网8022格式Cisco的密码是sap
End 退出配置模式
Erase 删除闪存或配置缓存
Erase startup-config 删除NVRAM中的内容
Exec-timeout 配置EXEC命令解释器在检测到用户输入前所等待的时间
Exit 退出所有配置模式或者关闭一个激活的终端会话和终止一个EXEC
Exit 终止任何配置模式或关闭一个活动的对话和结束EXEC
format 格式化设备
Frame-relay local-dlci 为使用帧中继封装的串行线路启动本地管理接口(LMI)
Help 获得交互式帮助系统
History 查看历史记录
Hostname 使用一个主机名来配置路由器,该主机名以提示符或者缺省文件名的方式使用
Interface 设置接口类型并且输入接口配置模式
Interface 配置接口类型和进入接口配置模式
Interface serial 选择接口并且输入接口配置模式
Ip access-group 控制对一个接口的访问
Ip address 设定接口的网络逻辑地址
Ip address 设置一个接口地址和子网掩码并开始IP处理
Ip default-network 建立一条缺省路由
Ip domain-lookup 允许路由器缺省使用DNS
Ip host 定义静态主机名到IP地址映射
Ip name-server 指定至多6个进行名字-地址解析的服务器地址
Ip route 建立一条静态路由
Ip unnumbered 在为给一个接口分配一个明确的IP地址情况下,在串口上启动互联网协议(IP)的处理过程
Ipx delay 设置点计数
Ipx ipxwan 在串口上启动IPXWAN协议
Ipx maximum-paths 当转发数据包时设置Cisco IOS软件使用的等价路径数量
Ipx network 在一个特定接口上启动互联网数据包交换(IPX)的路由选择并且选择封装的类型(用帧封装)
Ipx router 规定使用的路由选择协议
Ipx routing 启动IPX路由选择
Ipx sap-interval 在较慢的链路上设置较不频繁的SAP(业务广告协议)更新
Ipx type-20-input-checks 限制对IPX20类数据包广播的传播的接受
Isdn spid1 在路由器上规定已经由ISDN业务供应商为B1信道分配的业务简介号(SPID)
Isdn spid2 在路由器上规定已经由ISDN业务供应商为B2信道分配的业务简介号(SPID)
Isdntch-type 规定了在ISDN接口上的中央办公区的交换机的类型
Keeplive 为使用帧中继封装的串行线路LMI(本地管理接口)机制
Lat 打开LAT连接
Line 确定一个特定的线路和开始线路配置
Line concole 设置控制台端口线路
Line vty 为远程控制台访问规定了一个虚拟终端
Lock 锁住终端控制台
Login 在终端会话登录过程中启动了密码检查
Login 以某用户身份登录,登录时允许口令验证
Logout 退出EXEC模式
Mbranch 向下跟踪组播地址路由至终端
Media-type 定义介质类型
Metric holddown 把新的IGRP路由选择信息与正在使用的IGRP路由选择信息隔离一段时间
Mrbranch 向上解析组播地址路由至枝端
Mrinfo 从组播路由器上获取邻居和版本信息
Mstat 对组播地址多次路由跟踪后显示统计数字
Mtrace 由源向目标跟踪解析组播地址路径
Name-connection 命名已存在的网络连接
Ncia 开启/关闭NCIA服务器
Network 把一个基于NIC的地址分配给一个与它直接相连的路由器把网络与一个IGRP的路由选择的过程联系起来在IPX路由器配置模式下,在网络上启动加强的IGRP
Network 指定一个和路由器直接相连的网络地址段
Network-number 对一个直接连接的网络进行规定
No shutdown 打开一个关闭的接口
Pad 开启一个X29 PAD连接
Permit 为一个已命名的IP ACL设置条件
Ping 把ICMP响应请求的数据包发送网络上的另一个节点检查主机的可达性和网络的连通性对网络的基本连通性进行诊断
Ping 发送回声请求,诊断基本的网络连通性
Ppp 开始IETF点到点协议
Ppp authentication 启动Challenge握手鉴权协议(CHAP)或者密码验证协议(PAP)或者将两者都启动,并且对在接口上选择的CHAP和PAP验证的顺序进行规定
Ppp chap hostname 当用CHAP进行身份验证时,创建一批好像是同一台主机的拨号路由器
Ppp chap password 设置一个密码,该密码被发送到对路由器进行身份验证的主机命令对进入路由器的用户名/密码的数量进行了限制
Ppp pap sent-username 对一个接口启动远程PAP支持,并且在PAP对同等层请求数据包验证过程中使用sent-username和password
Protocol 对一个IP路由选择协议进行定义,该协议可以是RIP,内部网关路由选择协议(IGRP),开放最短路径优先(OSPF),还可以是加强的IGRP
Pwd 显示当前设备名
Reload 关闭并执行冷启动;重启 *** 作系统
Rlogin 打开一个活动的网络连接
Router 由第一项定义的IP路由协议作为路由进程,例如:router rip 选择RIP作为路由协议
Router igrp 启动一个IGRP的路由选择过程
Router rip 选择RIP作为路由选择协议
Rsh 执行一个远程命令
Sdlc 发送SDLC测试帧
Send 在tty线路上发送消息
Service password-encryption 对口令进行加密
Setup 运行Setup命令
Show 显示运行系统信息
Show access-lists 显示当前所有ACL的内容
Show buffers 显示缓存器统计信息
Show cdp entry 显示CDP表中所列相邻设备的信息
Show cdp interface 显示打开的CDP接口信息
Show cdp neighbors 显示CDP查找进程的结果
Show dialer 显示为DDR(数字数据接受器)设置的串行接口的一般诊断信息
Show flash 显示闪存的布局和内容信息
Show frame-relay lmi 显示关于本地管理接口(LMI)的统计信息
Show frame-relay map 显示关于连接的当前映射入口和信息
Show frame-relay pvc 显示关于帧中继接口的永久虚电路(pvc)的统计信息
Show hosts 显示主机名和地址的缓存列表
Show interfaces 显示设置在路由器和访问服务器上所有接口的统计信息
Show interfaces 显示路由器上配置的所有接口的状态
Show interfaces serial 显示关于一个串口的信息
Show ip interface 列出一个接口的IP信息和状态的小结
Show ip interface 列出接口的状态和全局参数
Show ip protocols 显示活动路由协议进程的参数和当前状态
Show ip route 显示路由选择表的当前状态
Show ip router 显示IP路由表信息
Show ipx interface 显示Cisco IOS软件设置的IPX接口的状态以及每个接口中的参数
Show ipx route 显示IPX路由选择表的内容
Show ipx servers 显示IPX服务器列表
Show ipx traffic 显示数据包的数量和类型
Show isdn active 显示当前呼叫的信息,包括被叫号码、建立连接前所花费的时间、在呼叫期间使用的自动化 *** 作控制(AOC)收费单元以及是否在呼叫期间和呼叫结束时提供AOC信息
Show isdn ststus 显示所有isdn接口的状态、或者一个特定的数字信号链路(DSL)的状态或者一个特定isdn接口的状态
Show memory 显示路由器内存的大小,包括空闲内存的大小
Show processes 显示路由器的进程
Show protocols 显示设置的协议
Show protocols 显示配置的协议。这条命令显示任何配置了的第3层协议的状态
Show running-config 显示RAM中的当前配置信息
Show spantree 显示关于虚拟局域网(VLAN)的生成树信息
Show stacks 监控和中断程序对堆栈的使用,并显示系统上一次重启的原因
Show startup-config 显示NVRAM中的启动配置文件
Show ststus 显示ISDN线路和两个B信道的当前状态
Show version 显示系统硬件的配置,软件的版本,配置文件的名称和来源及引导映像
Shutdown 关闭一个接口
Telnet 开启一个telect连接
Term ip 指定当前会话的网络掩码的格式
Term ip netmask-format 规定了在show命令输出中网络掩码显示的格式
Timers basic 控制着IGRP以多少时间间隔发送更新信息
Trace 跟踪IP路由
Username password 规定了在CHAP和PAP呼叫者身份验证过程中使用的密码
Verify 检验flash文件
Where 显示活动连接
Which-route OSI路由表查找和显示结果
Write 运行的配置信息写入内存,网络或终端
Write erase 现在由copy startup-config命令替换
X3 在PAD上设置X3参数
Xremote 进入XRemote模式Cisco
ACS支持Windows
Active
Directory,
Novell
NDS等目录服务器,下面以Cisco
ACS与Windows
2000
的Active
Directory集成为例,介绍一下配置步骤:
1.
配置Cisco
5350,和其他Router成为
ACS的AAA
Client
Network
Configuration----输入5350
ip
address;
Key:
Cisco;
Authenticate
Using
:
Tacacs+(Cisco
IOS)
2
配置用户名/口令数据库
Exterternal
User
Databases-----〉Unknown
User
Policy--->Check
the
following
external
user
database--->Select
Windows
NT/2000---->Sumit
External
User
Database----〉database
configuration
----->
windows
NT/2000
----->
Dial
permission
,check
grant
dialin
permission--->
sumit
3.配置ACS
group
mapping,
以配置授权
由于使用Windows
Active
directory的用户名作为认证,因此配置此用户的授权由ACS的组完成,然后将此group与Windows
Active
directory的组映射。
External
User
Database----〉database
configuration-----
windows
2000-----〉configure-----〉add
config
domain-list
,local----->sumit
External
User
Database----〉database
group
mapping-----〉windows
nt/2000---domain
,local-
Add
mapping----Windows
users
group,
Cisco
acs
group
group1-----
sumit
4.Cisco
5350和Router的配置
对于Router,配置ACS认证,授权。
配置一个本地的用户名/口令,防止在ACS认证失败后,使用此用户名/口令。
Router#username
localusr
pass
usrpass
Router#config
terminal
配置ACS认证
Router(config)#aaa
new-model
Router(config)#aaa
authentication
login
vty-login
group
tacacs
local
配置ACS授权
Router(config)#aaa
authorization
exec
exec-vty
group
tacacs
指定ACS
Server地址
Router(config)#tacacs
host
acsipaddress
key
Cisco
应用到VTY上
Router(config)#
line
vty
0
4
Router(config-line)#login
authentication
vty-login
Router(config-line)#authorization
exec
exec-vty
对于Cisco
5350
访问服务器,除了上述步骤外,还需增加如下步骤 Router#aaa
authentication
ppp
default
group
tacacs
local
在交换机或路由器上配置管理IP地址,配置同网段的IP地址到TFTP服务器所在的电脑,并将其连接到TFTP服务器所在的电脑,使用PING命令验证他们之间能够通信;
在TFTP服务器所在的电脑打开思科的TFTP软件,运行TFTP服务器;
在路由器或交换机的特权模式下使用命令copy run tftp,在对话框中输入TFTP服务器的IP地址就可以把配置文件的上传到TFTP服务器了;
同理, 在路由器或交换机的特权模式下使用命令copy tftp run可以把备份到服务器的配置信息恢复到交换机或路由器;
最后在路由器或交换机的特权模式下输入wri保存配置。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)