Взято полностью с сайта
http://nusdsmhs.ss4.sharpschool.com/UserFiles/Servers/Server_41705/Image/CCNA%20IOS%20Commands%20Summary%2010-1-14.pdf
Устранение неполадок, редактирование, номера портов
show ip interface brief
(отображение обозначений интерфейсов, IP-адресов и статуса)
show ip route
(отображение таблицы маршрутизации)
show vlan brief
(на коммутаторе — отображение существующих VLAN, имен, назначенных портов)
show controllers serial x/x/x
(проверка подключения DCE или DTE и наличия тактовой частоты)
show interface trunk
(какие порты являются магистральными, native vlan, разрешенные vlan)
show running-config
(отображение рабочей конфигурации — активной)
show startup-config
(отобразить конфигурацию запуска)
show ip protocol
(какой протокол маршрутизации, какие сети, пассивные интерфейсы, соседи)
show cdp neighbors
(проверить напрямую подключенные устройства Cisco)
show cdp neighbors detail
(включает IP-адрес на другом конце)
show cdp interface
(какие интерфейсы используют CDP)
show interface serial x/x/x
(какая инкапсуляция, IP-адрес, счетчики)
show interface fastethernet x/x switchport
(настроенный режим и режим работы)
show version
(какая версия IOS, возможности, память, регистр конфигурации)
show run | begin interface
(начнет перечисление с первого экземпляра «interface»)
show ip route connected
(показать записи таблицы маршрутизации для напрямую подключенных сетей)
show ip route static
(показать записи таблицы маршрутизации для статических маршрутов)
show ip route ospf
(показать записи таблицы маршрутизации, полученные через OSPF)
show ip route eigrp
(показать записи таблицы маршрутизации, полученные через EIGRP)
show mac-address-table
или
show mac address-table
(зависит от версии IOS)
show flash
(отображение имен файлов и каталогов в флэш-памяти)
show clock
(текущая дата/время в этом устройстве)
show ipv6 ???
(выполняет IPv6-версию многих команд IPv4)
show processes
(отображение активных процессов, запущенных на маршрутизаторе)
show process cpu
(отображает статистику процессора)
show memory
(отображение распределения памяти)
show users
(показывает, кто подключен к этому устройству по telnet)
show standby
(проверяет, активен ли HSRP)
ping X.X.X.X
(попытка установить соединение с хостом назначения по адресу X.X.X.X)
trace X.X.X.X
(показать путь, пройденный для достижения хоста назначения по адресу X.X.X.X)
R1(config)#
do show ???
(выполнить команды show из режима конфигурации)
debug ???
(отчеты в реальном времени о процессах, связанных практически с любой функцией)
debug all
(очень опасно, так как маршрутизатор может быть перегружен отчетами обо всем)
undebug all
(отключить все команды отладки — удобно, если это загруженный маршрутизатор)
Команды редактирования строки
ctrl-a
(переход к началу текущей строки)
ctrl-e
(переход к концу текущей строки)
ctrl-p или стрелка вверх
(повторить до 10 предыдущих команд в текущем режиме)
ctrl-n или стрелка вниз
(если вы вернулись в историю команд, это перемещает вас вперед)
клавиша Backspace
(удалить символ слева от текущего положения курсора)
ctrl-z
или
end
(переход в привилегированный режим)
exit
(переход на один уровень назад в иерархической структуре команд)
ctrl-c
(отмена текущей команды или выход из режима настройки, если вы случайно в него попали)
ctrl-shift-6
(остановить ping или трассировку)
длина терминала 0
[ноль] (отключить разбиение на страницы — вывод без разрывов)
длина терминала 24
(нормальные разрывы страниц в выводе)
wr
(сокращение для «copy running-config startup-config»)
Общие номера портов и протоколы
Протокол передачи файлов (
FTP
)
Управление FTP = TCP-порт 21
Данные FTP = TCP порт 20
Безопасная оболочка (
SSH
) — TCP-порт 22
Telnet
— TCP-порт 23
Простой протокол передачи почты (
SMTP
) — TCP-порт 25
Система доменных имен (
DNS
) — TCP/UDP порт 53
Протокол динамической конфигурации хоста (
DHCP
)
BOOTPS=UDP-порт 67 (запрос DHCP от клиента к серверу)
BOOTPC=UDP-порт 68 (ответ DHCP от сервера к клиенту)
Протокол передачи гипертекста (
HTTP
) — TCP-порт 80
Протокол почтового отделения — входящая почта (
POP
) — TCP-порт 110
Протокол сетевого времени (
NTP
) — UDP-порт 123
Простой протокол управления сетью (
SNMP
) — UDP-порт 161
Безопасный протокол передачи гипертекста (
HTTPS
) — TCP-порт 443
Базовая настройка маршрутизатора/коммутатора
Восстановление конфигурации коммутатора или маршрутизатора по умолчанию
S1#
delete vlan.dat
(нажмите «Enter» для принятия настроек по умолчанию) [Примечание: выполняйте эту операцию только на коммутаторе]
S1#
erase startup-config
(нажмите «Enter», чтобы принять настройки по умолчанию [маршрутизатор или коммутатор])
S1#
reload
(ответьте «no», если будет предложено сохранить текущую конфигурацию [маршрутизатор или коммутатор])
Базовая настройка маршрутизатора/коммутатора
R1#
configure terminal
(войдите в режим глобальной конфигурации)
R1(config)#
hostname NAME
(настройте ИМЯ маршрутизатора или коммутатора)
R1(config)#
security passwords min-length 5
(установить минимальную длину пароля)
R1(config)#
service password-encryption
(зашифровать все пароли, кроме секретного)
R1(config)#
login block-for 60 attempts 3 within 30
(подождать 1 минуту, если за 30 секунд было 3 неудачных попытки)
R1(config)#
enable secret PASSWORD
(установить пароль привилегированного уровня «PASSWORD»)
R1(config)#
no ip domain-lookup
(подавлять попытку DNS при неправильном вводе команды)
R1(config)#
banner motd MESSAGE
(создать MESSAGE, которое будет отображаться при входе в систему)
R1(config)#
line console 0
[ноль] (войдите в режим настройки подключения к консоли)
R1(config-line)#
password PASSWORD
(установить пароль уровня пользователя «PASSWORD»)
R1(config-line)#
login
(указать маршрутизатору, что необходимо проверять пароль)
R1(config-line)#
logging synchronous
(помогает поддерживать порядок ввода команд)
R1(config-line)#
exec-timeout 0 0
[ноль] (без таймаута при настройке маршрутизатора)
R1(config)#
line vty 0 4
[ноль 4] (настройте те же параметры, что и для консоли выше)
S1(config)#
line vty 0 15
[ноль 15] (настройка тех же параметров в коммутаторе)
R1#
copy running-config startup-config
(сохранение конфигурации в NVRAM)
R1#
wr
(устаревшая команда — то же самое, что copy running-configuration startup-configuration)
R1(config)#! (примечание — не вносит изменений в конфигурацию)
Для настройки интерфейса управления коммутатором
S1(config)#
interface vlan 1
(создать виртуальный хост на коммутаторе)
S1(config-if)#
description Интерфейс управления для этого коммутатора
(опциональное описание)
S1(config-if)#
ip address 192.168.100.50 255.255.255.0
(назначить IP-адрес)
S1(config-if)#
no shut
(необходимо включить)
S1(config-if)#
exit
(выйти из конфигурации интерфейса и вернуться к глобальной конфигурации)
S1(config)#
ip default-gateway 192.168.100.1
(должен находиться в той же подсети, что и интерфейс управления)
S1(config)#
enable secret class
(должен быть пароль для удаленной конфигурации)
S1(config)#
line vty 0 15
(коммутаторы могут иметь 16 VTY-соединений одновременно)
S1(config-line)#
password cisco
(необходимо установить пароль для входа в систему, чтобы telnet работал)
S1(config-line)#
login
(указать портам VTY запрашивать пароль у удаленного пользователя)
S1(config-line)#
transport input telnet
(разрешает только telnet для удаленной конфигурации — по умолчанию)
Настройка интерфейса маршрутизатора IPv4
R1(config)#
interface INTERFACE-TYPE
(перейти в режим настройки интерфейса)
R1(config-if)#
ip address ADDRESS SNM
(назначить IP-адрес и маску подсети)
R1(config-if)#
description WORDS
(документируйте, для чего используется этот интерфейс)
R1(config-if)#
clock rate CLOCK
(на последовательных интерфейсах DCE установите скорость соединения)
R1(config-if)#
bandwidth VALUE
(используется протоколом маршрутизации для скорости соединения)
R1(config-if)#
no shutdown
(включить интерфейс)
R1(config-if)#
shutdown
(выключить интерфейс)
Настройка интерфейса маршрутизатора IPv6
R1(config)#
ipv6 unicast-routing
(активировать маршрутизацию IPv6 — по умолчанию выключено)
R1(config)#
interface Gi1/1
R1(config-if)#
ipv6 enable
(включить ipv6 в этом интерфейсе)
R1(config-if)#
ipv6 address 3ffe:b00:c18:1::3 /64
(ввести полный адрес вручную)
-или-
R1(config-if)#
ipv6 address 3ffe:b00:c18:1:: /64 eui-64
(автоматическая настройка части хоста)
R1(config-if)#
ipv6 address fe80::4 link-local
(настройка локального адреса)
Команды коммутатора уровня 3
S1(config)#
ip routing
(активировать маршрутизацию IPv4 в коммутаторе)
S1(config)#
ipv6 routing
(активировать маршрутизацию IPv6 в коммутаторе)
S1(config-if)#
no switchport
(используется для обозначения, что это порт маршрутизатора, а не порт коммутатора)
S1(config-if)#
switchport trunk encapsulation dot1q
(для настройки транкинга для dot1Q)
VLAN, магистрали, Router-on-a-Stick, VTP
Создание VLAN и назначение портов
S1(config)#
vlan 10
(создать VLAN 10 в базе данных VLAN.DAT)
S1(config-vlan)#
name Management
(по желанию присвойте имя VLAN)
S1(config)#
interface fa0/12
(выбрать порт на коммутаторе) --или--
S1(config)#
interface range fa0/12 – 20
(выбрать диапазон портов, которые будут настроены одинаково)
S1(config-if)#
switchport mode access
(установить порт в режим доступа)
S1(config-if)#
switchport access vlan 10
(назначьте этот порт (порты) VLAN 10)
Создание магистрали
S1(config)#
interface gi1/1
(выберите порт для магистрали)
S1(config-if)#
switchport trunk encapsulation dot1q
(ПРИМЕЧАНИЕ: только на коммутаторе уровня 3)
S1(config-if)#
switchport mode trunk
(установить порт в режим магистрали)
S1(config-if)#
switchport trunk native vlan 99
(установить VLAN 99 для передачи нативного трафика)
S1(config-if)#
switchport trunk allowed vlan 1,10,20,99
(необязательно, не забудьте включить VLAN 1 и нативный VLAN)
Конфигурация маршрутизатора на палочке
R1(config)#
interface Fa0/0
(выбрать основной интерфейс)
R1(config-if)#
no ip address
(на основном интерфейсе не должно быть никакого IP-адреса)
R1(config-if)#
interface Fa0/0.10
(создайте подинтерфейс — номер может быть любым)
R1(config-if)#
encapsulation dot1q 10
(используйте 802.1Q trunking; присвойте этому VLAN #)
R1(config-if)#
ip address 172.16.10.1 255.255.255.255
(определите IP-адрес шлюза по умолчанию)
R1(config-if)#
interface Fa0/0.99
(создать еще один подинтерфейс — этот для нативного трафика)
R1(config-if)#
encapsulation dot1q 99 native
(802.1Q trunking; VLAN #; и native)
(ПРИМЕЧАНИЕ: IP-адрес не нужен, если в этой VLAN нет рабочих станций или интерфейсов управления)
R1(config)#
ip classless
(бесклассовая маршрутизация — по умолчанию в IOS 11.3+)
R1(config)#
no ip classless
(классическая маршрутизация)
Настройка протокола VLAN Trunking Protocol (VTP)
S1(config)#
vtp mode server
(настройте этот коммутатор в режиме сервера) --или--
S1(config)#
vtp mode client
(настройте этот коммутатор в режиме клиента) ---или--
S1(config)#
vtp mode transparent
(настройте этот коммутатор в прозрачном режиме — рекомендуется)
S1(config)#
vtp domain NAME
(изменить доменное имя VTP этого коммутатора на NAME)
S1(config)#
vtp password PASSWORD
(изменить пароль VTP для этого коммутатора)
S1(config)#
vtp pruning
(активировать VTP-обрезку — не поддерживается в Packet Tracer)
S1(config)#
vtp version 2
(изменить версию VTP на 2)
S1#
show vtp status
(просмотреть режим VTP, ревизию, версию, имя домена, режим обрезки и т. д.)
S1#
show vtp password
(единственный способ увидеть пароль VTP — не отображается в статусе)
Etherchannel (PortChannel)
Чтобы настроить Etherchannel уровня 2 (транкинг):
S1(config)#
interface range fa0/1 – 4
(группа физических интерфейсов)
S1(config-if)#
switchport trunk encapsulation dot1q
(ПРИМЕЧАНИЕ: только на коммутаторе уровня 3)
S1(config-if)#
switchport mode trunk
(установить в режим магистрали)
S1(config-if)#
switchport trunk native vlan 777
(установить native VLAN)
S1(config-if)#
channel-protocol lacp
(установить для этого интерфейса LACP portchannel) -или--
S1(config-if)#
channel-protocol pagp
(установить для этого интерфейса PAgP portchannel)
S1(config-if)#in
channel-group 3 mode
[см. варианты ниже]
passive
(включить LACP только в случае обнаружения устройства LACP)
active
(безусловно включить LACP)
auto
(включить PAgP только при обнаружении устройства PAgP)
desirable
(безусловно включить PAgP)
on
(включить Etherchannel)
S1(config)#
interface port-channel 3
(настройте виртуальный интерфейс от 1 до 6)
S1(config-if)#
switchport mode trunk
(установить режим trunk)
S1(config-if)#
switchport trunk native vlan 777
(установить native VLAN таким же, как физический)
S1(config-if)#
no shutdown
(включить виртуальный интерфейс)
Чтобы настроить Etherchannel уровня 3:
SW1(config)#
interface range fa0/1 –
2
SW1(config-if)#
no
switchport
SW1(config-if)#
channel-group 1 mode {active, passive, on}
SW1(config)#
interface port-channel
1
SW
1
(config-if)#
no
switchport
SW1(config-if)#
ip address x.x.x.x m.m.m.m
(Другой конец настраивается аналогично)
EtherChannel использует алгоритм балансировки нагрузки на основе выбранного типа или критериев:
Источник IP-адрес (src-ip)
IP-адрес назначения (dst-ip)
IP-адреса источника и назначения (src-dst-ip) – тип L3 по умолчанию
MAC-адрес источника (src-mac) — тип L2 по умолчанию
MAC-адрес назначения (dst-mac)
MAC-адрес источника и назначения (src-dst-mac)
Номер порта TCP/UDP источника (src-port)
Номер порта TCP/UDP назначения (dst-port)
Номер порта источника и назначения (src-dst-port)
SW1(config)#
port-channel load-balance TYPE
Протокол связующего дерева (STP), HSRP
Связующее дерево
S1(config)#
spanning-tree mode pvst
(настройка для PVST – по умолчанию)
S1(config)#
spanning-tree mode rapid-pvst
(настройте этот коммутатор для быстрого PVST)
S1(config)#
spanning-tree vlan 10,20 root primary
(создать корневой мост для этих VLAN)
S1(config)#
spanning-tree vlan 10 root secondary
(создать вторичный корневой мост для VLAN)
S1(config)#
spanning-tree vlan 10 priority 8192
(установить приоритет BID на 8192 в этой VLAN)
S1(config)#
spanning-tree portfast default
(Portfast по умолчанию на всех интерфейсах в этом коммутаторе)
S1(config)#
interface range fa0/10 – 20
(должно быть настроено как порты доступа для Portfast)
S1(config-if)#
spanning-tree portfast
(установить интерфейсы для Portfast)
S1(config-if)#
spanning-tree bpduguard enable
(отключает интерфейс, если он получает BPDU)
S1(config)#
interface fa0/1
(выбрать порт для установки приоритета порта STP)
S1(config-if)#
spanning-tree vlan 10 port-priority 16
(установить приоритет порта на 16; по умолчанию — 128)
S1#
show spanning-tree
(просмотр состояния spanning-tree по каждой VLAN)
S1#
show spanning-tree vlan 10
(просмотреть подробную информацию о spanning-tree для VLAN 10)
S1#
show spanning-tree summary
(среди прочего, посмотрите, является ли это корневым мостом)
S1#
show spanning-tree blockedports
(просмотреть, какие порты находятся в состоянии блокировки STP)
S1#
show spanning-tree root
(просмотреть, какой BID является корневым для каждой VLAN)
Протокол маршрутизации Hot Standby (HSRP) для IPv4
R1(config)#
interface fastethernet 0/1
R1(config)#
standby version 2
(используйте одну и ту же версию на каждом конце)
R1(config-if)#
standby
[optional
group#
]
ip
[optional
IP-ADDRESS
] [optional
secondary
]
(Другой конец настраивается аналогично)
R1(config-if)#
standby
[опционально
group#
]
priority NUMBER
[опционально
preempt
]
Установите более высокий приоритет (по умолчанию 100), чтобы сделать этот маршрутизатор основным в HSRP
Preempt сделает этот маршрутизатор активным, если он был отключен и снова включился
Протокол маршрутизации в режиме горячего резервирования (HSRP) для IPv6
R1(config)#
interface fastethernet 0/1
R1(config-if)#
standby version 2
(используйте одну и ту же версию на каждом конце)
R1(config-if)#
standby GROUP#ipv6 autoconfig
(создайте виртуальный IPv6-адрес Link-Local)
R1(config-if)#
standby GROUP#ipv6 2001:CAFE:ACAD:4::1/64
(установите виртуальный общий IP)
(Другой конец настроен аналогично)
R1(config-if)#
standby GROUP# priority NUMBER
[optional
preempt
]
Установите более высокий приоритет (по умолчанию 100), чтобы сделать этот маршрутизатор основным в HSRP
Preempt сделает этот маршрутизатор активным, если он был отключен и снова заработал
R1#
show standby
(проверьте конфигурацию)
Меры безопасности
R1(config)#
service password-encryption
(зашифровать все пароли (кроме «secret»)
R1(config)#
security password min-length 8
(установить минимальную длину пароля 8 символов)
R1(config)#
login block-for 120 attempts 3 within 60
(блокировка на 2 минуты, если за 60 секунд было более 3 неудачных попыток входа)
Конфигурация SSH
Router(config)#
hostname R1
(необходимо изменить имя устройства по умолчанию)
R1(config)#
username Bob password Let-me-in!
(настроить локального пользователя и пароль)
R1(config)#
ip domain-name ANYTHING.COM
(необходимо установить для генерации криптографического ключа)
R1(config)#
crypto key generate rsa
(создать ключ шифрования — выбрать 1024 бита)
R1(config)#
ip ssh version 2
(настройте для SSH версии 2)
R1(config)#
line vty 0 15
(изменить параметры для удаленного доступа)
R1(config-line)#
login local
(выбрать для аутентификации по именам пользователей в этом устройстве)
R1(config-line)#
transport input ssh
(разрешить только SSH для удаленного управления)
Настройка безопасности портов на коммутаторе
S1(config)#
interface fa0/1
или
interface range fa0/1 – 15, gi1/1
S1(config-if)#
switchport mode access
(необходимо изменить режим с динамического на режим доступа)
S1(config-if)#
switchport port-security
(необходимо для активации безопасности порта)
S1(config-if)#
switchport port-security maximum 25
(разрешить 25 MAC-адресов)
S1(config-if)#
switchport port-security mac-address sticky
(запоминание MAC-адресов)
S1(config-if)#
switchport port-security violation restrict
(отправить сообщение SNMP) --или--
S1(config-if)#
switchport port-security violation protect
(только остановить избыточные MAC-адреса) –или--
S1(config-if)#
switchport port-security violation shutdown
(отключить интерфейс — по умолчанию)
S1(config-if)#
switchport protected
(не разрешает трафик к/от других защищенных портов)
S1(config-if)#
spanning-tree bpduguard enable
(отключает интерфейс, если он получает BPDU)
S1(config-if)#
shutdown
then
no shutdown
(восстановление отдельного интерфейса, если он был отключен)
S1#
errdisable recovery cause psecure_violation
(восстановление отключенных интерфейсов через 5 минут)
S1#
show port-security interface fa0/12
(показать конфигурацию безопасности для интерфейса)
Включение/отключение протокола Cisco Discovery Protocol (CDP)
R1(config)#
cdp run
(активировать CDP глобально в маршрутизаторе — включено по умолчанию)
R1(config)#
no cdp run
(отключить CDP во всем маршрутизаторе)
R1(config-if)#
no cdp enable
(остановить обновления CDP, выходящие через этот конкретный интерфейс)
IP DHCP Snooping
R1(config)#
ip dhcp snooping
(глобально включить DHCP-сниффинг)
R1(config-if)#
ip dhcp snooping trust
(интерфейс с DHCP-сервером)
Маршрутизация (статическая, RIP, EIGRP, OSPF)
Настройка статических маршрутов
R1(config)#
ip route 0.0.0.0 0.0.0.0 serial0/0
(маршрут по умолчанию выходит через serial 0/0)
R1(config)#
ip route 0.0.0.0 0.0.0.0 50.77.4.13
(маршрут по умолчанию идет на следующий узел 50.77.4.13)
R1(config)#
ip route 0.0.0.0 0.0.0.0 serial0/0 150
(маршрут по умолчанию выходит через serial 0/0. Добавлен дополнительный параметр для установки административного расстояния равным 150)
R1(config)#
ip route 47.151.2.0 255.255.255.0 172.24.2.11
(для перехода к сети 47.151.2.0/24 перейдите к адресу следующего прыжка 172.24.2.11)
R1(config)#
ip route 47.151.2.0 255.255.255.0 serial0/1
(для перехода в сеть 47.151.2.0/24, выйдите из serial 0/1)
R1(config)#
ip route 47.151.2.0 255.255.255.0 192.168.12.2 fastethernet0/0
(для перехода в сеть 47.151.2.0/24, перейти к следующему прыжку 192.168.12.2 через Fastethernet0/0; в Ethernet оба необходимы)
Настройка RIP (IPv4)
R1(config)#
no router rip
(удалить все конфигурации RIP и записи таблицы маршрутизации)
R1(config)#
router rip
(введите команды конфигурации rip)
R1(config-router)#
network 192.168.10.0
(определите, какие напрямую подключенные сети включить в процессы обновления RIP. Без маски подсети — всегда с классом)
R1(config-router)#
passive-interface fastethernet0/0
(предотвратить широковещательную передачу обновлений RIP через этот интерфейс)
R1(config-router)#
default-information originate
(настройте RIP для включения маршрутов по умолчанию в обновления для других маршрутизаторов. По умолчанию эта функция отключена. Только на маршрутизаторе с маршрутом по умолчанию)
R1(config-router)#
redistribute static
(настройте RIP для включения статических маршрутов с классом в обновления для других маршрутизаторов. По умолчанию эта функция отключена. Необходима только при наличии статических маршрутов)
R1#
debug ip rip
(проверка обновлений RIP в режиме реального времени)
Дополнительные команды для настройки RIP версии 2
R1(config-router)#
version 2
(настройка RIP для RIPv2)
R1(config-router)#
no auto-summary
(отключить автоматическое суммирование классов — рекомендуется)
Настройка RIPng (для IPv6)
R1(config)#
ipv6 route ::/0 S0/0/1
(маршрут по умолчанию выходит через S0/0/1)
R1(config)#
ipv6 router rip NAME
(запуск экземпляра RIPng)
R1(config)#
interface fa0/1
R1(config-if)#
ipv6 rip NAME enable
(включить этот интерфейс и подсеть в маршрутизацию)
R1(config-if)#
ipv6 rip NAME default-information originate
(отправить маршрут по умолчанию
Настройка IPv4 EIGRP
R1(config)#
no router eigrp 100
(полностью удалить этот экземпляр EIGRP в этом маршрутизаторе)
R1(config)#
router eigrp 100
(100=идентификатор процесса в этой сети — Cisco называет это автономной системой)
R1(config)#
eigrp router-id 5.5.5.5
(используйте этот идентификатор при идентификации соседей EIGRP)
R1(config-router)#
no auto-summary
(по умолчанию выполняется суммирование до границ классов)
R1(config-router)#
network 172.16.0.0
(при классовом адресации подсеть или маска с подстановочным символом не требуются)
R1(config-router)#
network 172.16.25.0 0.0.0.255
(маска с подстановочным знаком – это обратное значение /24)
R1(config-router)#
passive-interface default
(обновления маршрутизации не выходят за пределы интерфейса)
R1(config-router)#
no passive-interface fastethernet 0/1
(разрешить определенные интерфейсы)
R1(config-router)#
passive-interface fastethernet 0/0
(без обновлений маршрутизации из Fa0/0)
R1(config-router)#
redistribute static
(одно утверждение перераспределяет статические маршруты, включая маршрут по умолчанию)
R1(config-if)#
maximum paths 2
(пути балансировки нагрузки: по умолчанию = 4, без балансировки нагрузки = 1)
R1(config-router)#
metric weights 0 k1 k2 k3 k4 k5
(используется для изменения множителей метрики)
R1(config-if)#
bandwidth 768
(указать скорость последовательной линии для протокола маршрутизации — в этом примере 768 К)
R1(config-if)#
ip summary-address eigrp 100 172.16.24.0 255.255.252.0
(ручное обобщение сетевого заявления, настроенное на исходящем интерфейсе)
R1(config-if)#
ip bandwidth-percent eigrp 100 40
(например, ограничение обновлений EIGRP AS=100 до максимально 40 % пропускной способности канала)
R1(config-if)#
ip hello-interval eigrp 100 30
(например, установка интервалов приветствия на этом интерфейсе на 30 с для EIGRP AS=100)
R1(config-if)#
ip hold-time eigrp 100 90
(в этом примере установите время удержания на этом интерфейсе на 90 секунд для EIGRP AS=100)
R1(config)#
key chain MYCHAIN
(назовите цепочку ключей — выполняется в глобальной конфигурации)
R1(config-keychain)#
key 1
(необходимо присвоить номер — одинаковый на обоих концах канала)
R1(config-keychain-key)#
key-string securetraffic
(«securetraffic» — это парольная фраза)
R1(config)#
interface serial 0/1
(интерфейс к другому маршрутизатору EIGRP)
R1(config-subif)#
ip authentication mode eigrp 10 md5
(включить аутентификацию)
R1(config-subif)#
ip authentication key-chain eigrp 10 MYCHAIN
(использовать этот ключ)
R1#
show ip eigrp neighbors
(просмотр соседних устройств)
R1#
show ip eigrp topology
(просмотреть таблицу топологии EIGRP)
R1#
debug eigrp fsm
(просмотреть, что делает DUAL при удалении маршрута из таблицы маршрутизации)
Настройка IPv4 OSPF(v2)
R1(config)#
interface loopback 10
(по желанию создайте виртуальный интерфейс для OSPF router ID)
R1(config)#
router ospf 1
(настройте процесс маршрутизации OSPF)
R1(config-router)#
router-id 2.2.2.2
(опционально настройте идентификатор маршрутизатора OSPF — рекомендуется)
R1(config-router)#
network 172.16.45.0 0.0.0.255 area 0
(включить напрямую подключенные сети, которые соответствуют этому параметру)
R1(config-router)#
default-information originate
(распространять маршрут по умолчанию quad-0)
R1(config-router)#
redistribute static
(распространять статические маршруты с классом, настроенные на этом маршрутизаторе, на другие маршрутизаторы OSPF)
R1(config-router)#
redistribute static subnets
(распространять статические маршруты без классов, настроенные на этом маршрутизаторе, на другие маршрутизаторы OSPF)
R1(config-router)#
passive-interface default
(без обновлений маршрутизации через любой интерфейс)
R1(config-router)#
no passive-interface fastethernet 0/1
(разрешить определенные интерфейсы)
R1(config-router)#
passive-interface fastethernet 0/1
(не отправлять обновления маршрутизации OSPF через этот интерфейс)
R1(config-router)#
area 7 range 172.16.8.0 255.255.248.0
(на ABR обобщить адреса)
R1(config-router)#
summary address 172.16.8.0 255.255.248.0
(На ASBR – для суммирования маршрутов, не относящихся к OSPF, импортированных в OSPF)
R1(config-router)#
auto-cost reference-bandwidth ?
(опционально изменить ref bw - Mbits/s 1-4294967; должно быть одинаковым на всех маршрутизаторах)
R1(config-router)#
area AREA-ID authentication message-digest
(глобально активировать аутентификацию MD-5 в зоне OSPF)
R1(config-router)#
ip ospf message-digest-key 1 md5 PASSWORD
(ключ аутентификации)
R1(config-if)#
ip ospf message-digest-key 1 md5 PASSWORD
(на этом интерфейсе настройте ключ аутентификации OSPF — аутентификация не будет активирована)
R1(config-if)#
ip ospf authentication message-digest
(активировать аутентификацию OSPF)
R1(config-if)#
ip ospf cost 1562
(опционально настройте абсолютную стоимость OSPF для канала — в этом примере она равна пропускной способности 64)
R1(config-if)#
ip ospf hello-interval seconds
(изменить таймер приветствия с 10 секунд по умолчанию)
R1(config-if)#
ip ospf dead-interval seconds
(изменить таймер dead с значения по умолчанию 40 секунд)
R1(config-if)#
ip ospf priority {0 - 255}
(для выбора OSPF DR/BDR, по умолчанию = 1, не подходящий = 0)
R1#
show ip ospf neighbor
(отображение соседних устройств OSPF — состояние должно быть «FULL» или «2WAY»)
R1#
show ip protocols
(включает OSPF Router ID этого маршрутизатора)
R1#
clear ip ospf process
(пересчитать идентификатор маршрутизатора OSPF на основе текущих параметров)
R1#
show ip ospf
(отображение процесса OSPF и идентификаторов маршрутизаторов, а также информации об области)
R1#
show ip ospf interface serial 0/0/0
(просмотр информации DR/BDR, интервалов hello и dead)
Настройка IPv6 OSPF(v3)
R1(config)#
ipv6 unicast-routing
(включить маршрутизацию ipv6)
R1(config)#
no ipv6 router ospf 55
(удалить этот экземпляр OSPF в этом маршрутизаторе)
R1(config)#
ipv6 router ospf 100
(создать процесс OSPF в этом маршрутизаторе)
R1(config-rtr)#
router-id 5.5.5.5
(должен иметь идентификатор маршрутизатора)
R1(config-rtr)#
default-information originate
(перераспределить маршрут по умолчанию другим маршрутизаторам)
R1(config-rtr)#
redistribute static
(перераспределить статические маршруты с классом, включая маршрут по умолчанию)
R1(config-rtr)#
redistribute static subnets
(перераспределить статические маршруты без классов)
R1(config-rtr)#
passive-interface default
(без обновлений маршрутизации на любом интерфейсе)
R1(config-rtr)#
no passive-interface gi 1/0
(разрешить обновления через этот интерфейс)
R1(config-rtr)#
passive-interface gi 1/1
(без обновлений маршрутизации через gi 1/1)
R1(config-rtr)#
no shutdown
(включить)
R1(config)#
interface gi 1/1
(сети назначаются через интерфейс)
R1(config-if)#
ipv6 enable
(разрешить IPv6 на этом интерфейсе)
R1(config-if)#
ipv6 ospf 100 area 0
(связать этот интерфейс с IPv6 OSPF 55, область 0)
Настройка IPv6 EIGRP
R1(config)#
ipv6 unicast-routing
(включить маршрутизацию ipv6)
R1(config)#
no ipv6 router eigrp 100
(удалить этот экземпляр EIGRP в этом маршрутизаторе)
R1(config)#
ipv6 router eigrp 100
(создать процесс EIGRP)
R1(config-rtr)#
eigrp router-id 5.5.5.5
(необходимо иметь идентификатор маршрутизатора)
R1(config-rtr)#
redistribute static
(перераспределить статические и маршруты по умолчанию другим маршрутизаторам)
R1(config-rtr)#
passive-interface default
(без обновлений маршрутизации через любой интерфейс)
R1(config-rtr)#
no passive-interface gi 1/0
(разрешить обновления через этот интерфейс)
R1(config-rtr)#
passive-interface gi 1/1
(без обновлений маршрутизации через gi 1/1)
R1(config-rtr)#
no shutdown
(необходимо включить EIGRP в этом маршрутизаторе)
R1(config)#
interface gi 1/1
(сети назначаются через интерфейс)
R1(config-if)#
ipv6 enable
(разрешить IPv6 на этом интерфейсе)
R1(config-if)#
ipv6 eigrp 100
(связать этот интерфейс с процессом IPv6 EIGRP 100)
R1(config-if)#
ipv6 summary-address eigrp 100 2001:123A:AAA0::/60
(суммарный адрес EIGRP)
R1(config-if)#
ipv6 bandwidth-percent eigrp 100 40
(в этом примере ограничить обновления EIGRP AS=100 до максимально 40% пропускной способности канала)
R1(config)#
key chain MYCHAIN
(назовите цепочку ключей — выполняется в глобальной конфигурации)
R1(config-keychain)#
key 1
(необходимо присвоить номер — одинаковый на обоих концах канала)
R1(config-keychain-key)#
key-string securetraffic
(«securetraffic» — это парольная фраза)
R1(config)#
interface serial 0/1
(интерфейс к другому маршрутизатору EIGRP)
R1(config-subif)#
ipv6 authentication mode eigrp 10 md5
(включить аутентификацию)
R1(config-subif)#
ipv6 authentication key-chain eigrp 10 MYCHAIN
(использовать этот ключ)
PPP и Frame-Relay
Настройка PPP с аутентификацией
R1(config)#
username R-2 password PASSWORD
(настройка для PAP / CHAP)
В случае
PAP
имя пользователя и пароль должны совпадать с именем пользователя и паролем, отправленными с другого маршрутизатора.
Если
CHAP
, имя пользователя должно быть именем хоста другого маршрутизатора, а пароли должны быть одинаковыми в конфигурации имени пользователя каждого маршрутизатора.
R1(config)#
interface serial 0/0/0
(выберите интерфейс для настройки ppp)
R1(config-if)#
encapsulation ppp
(установить интерфейс на PPP)
R1(config-if)#
compress [predictor / stac]
(опционально — настройка сжатия данных)
R1(config-if)#
ppp quality [процент]
(опционально — установить порог пропускной способности, при котором соединение ppp будет сброшено)
R1(config-if)#
ppp authentication pap
(опционально — настройка для аутентификации PAP)
R1(config-if)#
ppp pap sent-username R-1 password PASSWORD
(если используется PAP, это необходимо настроить)
R1(config-if)#
ppp authentication chap
(опционально — настройка для аутентификации CHAP)
R1(config-if)#
ppp multilink
(опционально — объединение нескольких PPP-соединений для увеличения пропускной способности)
R1(config-if)#
encapsulation hdlc
(сброс интерфейса до значения HDLC по умолчанию)
Команды Frame-Relay
-Существует два основных типа конфигурации Frame-Relay: Point-to-Point и Multi-Point.
-Соединение «точка-точка» включает в себя одну IP-подсеть и один DLCI. Оно может быть настроено непосредственно на физическом интерфейсе или в качестве подинтерфейса.
**FR Point-to-Point без подинтерфейса; Пример конфигурации 1:
R1(config)#
interface serial 0/0/0
R1(config-if)#
ip address 192.168.5.1 255.255.255.252
(обычно /30)
R1(config-if)#
encapsulation frame-relay [ietf, cisco]
PVC=IEFT является опциональным, cisco=по умолчанию)
R1(config-if)#
frame-relay lmi-type [ansi, q933a, cisco]
(опционально, cisco=по умолчанию)
R1(config-if)#
frame-relay map ip 192.168.5.1 752
(для разрешения локального пинга — 192.168.5.1 является IP-адресом локального интерфейса, DLCI=752 является действительным DLCI для этого интерфейса)
R1(config-if)#
frame-relay map ip 192.168.5.2 752 broadcast
[
ietf, cisco]
(192.168.5.2 — следующий прыжок, DLCI=752, широковещательная передача — опционально, PVC=IEFT — опционально, cisco — по умолчанию)
**FR Point-to-Point с подинтерфейсом; Пример конфигурации 2:
R1(config)#
interface serial 0/0/0
R1(config-if)#
no ip address
(нет IP-адреса на основном интерфейсе)
R1(config-if)#
encapsulation frame-relay[ietf, cisco]
PVC=IEFT является опциональным, cisco=по умолчанию)
R1(config-if)#
frame-relay lmi-type [ansi, q933a, cisco]
(необязательно, cisco=по умолчанию)
R1(config-if)#
interface serial 0/0/0.752 point-to-point
(sub-int # обычно является DLCI #)
R1(config-subif)#
ip address 192.168.5.1 255.255.255.252
(обычно /30)
R1(config-subif)#
frame-relay interface-dlci 752
(DLCI=752, следующий прыжок и широковещательная передача назначаются динамически)
-Многоточечные конфигурации используются, когда имеется одна IP-подсеть с несколькими подключениями (DLCI). Они могут быть настроены непосредственно на физическом интерфейсе или в качестве подинтерфейса.
**Многоточечная конфигурация без подинтерфейса; Пример конфигурации 3:
R1(config)#
interface serial 0/0/0
R1(config-if)#
ip address 192.168.5.1 255.255.255.248
(не /30)
R1(config-if)#
encapsulation frame-relay
R1(config-if)#
frame-relay lmi-type [ansi, q933a, cisco]
(опционально, cisco=по умолчанию)
R1(config-if)#
frame-relay map ip 192.168.5.1 752
(для разрешения локального пинга — 192.168.5.1 является IP-адресом локального интерфейса, DLCI=752 является действительным DLCI для этого интерфейса)
R1(config-if)#
frame-relay map ip 192.168.5.2 752 broadcast
[
ietf, cisco]
(192.168.5.2 — следующий прыжок, DLCI=752, широковещательная передача — опционально, PVC=IEFT — опционально, cisco — по умолчанию)
R1(config-if)#
frame-relay map ip 192.168.5.3 339 broadcast
[
ietf, cisco]
(192.168.5.3 — следующий прыжок, DLCI=339, широковещательная передача — опционально, PVC=IEFT — опционально, cisco — по умолчанию)
**Многоточечная связь с подинтерфейсом; Пример конфигурации 4:
R1(config)#
interface serial 0/0/0
R1(config-if)#
no ip address
(нет IP-адреса на основном интерфейсе)
R1(config-if)#
encapsulation frame-relay
(не настроено на подинтерфейсе)
R1(config-if)#
frame-relay lmi-type [ansi, q933a, cisco]
(необязательно, cisco=по умолчанию)
R1(config-if)#
interface serial 0/0/0.752 multipoint
(номер подинтерфейса обычно соответствует номеру DLCI)
R1(config-subif)#
ip address 192.168.5.1 255.255.255.248
(не /30)
R1(config-subif)#
frame-relay map ip 192.168.5.1 752
(для разрешения локального пинга — 192.168.5.1 является IP-адресом локального интерфейса, DLCI=752 является действительным DLCI для этого интерфейса)
R1(config-subif)#
frame-relay map ip 192.168.5.2 752 broadcast
[
ietf, cisco]
(192.168.5.2 — следующий прыжок, DLCI=752, широковещательная передача — опционально, PVC=IEFT — опционально, cisco — по умолчанию)
R1(config-subif)#
frame-relay map ip 192.168.5.3 339 broadcast
[
ietf, cisco]
(192.168.5.3 — следующий прыжок, DLCI=339, широковещательная передача является опциональной, PVC=IEFT является опциональным — cisco является значением по умолчанию)
R1#
show frame-relay map
(отображение сопоставления IP-адресов и DLCI)
Статический: запись карты была взята из оператора «frame-relay map».
Динамическая: запись карты была создана с помощью обратного ARP.
R1#
show frame-relay lmi
(просмотр состояния локального соединения с облаком Frame-Relay)
R1#
show frame-relay pvc
(просмотр, какие соединения фактически работают от начала до конца)
Активный: PVC полностью подключен и функционирует.
Неактивный: подключен к коммутатору FR, но другая сторона не видна.
Удалить: Не взаимодействует с коммутатором FR.
Списки контроля доступа
Стандартные списки доступа
-Стандартные списки доступа оценивают только поле IP-адреса источника. Они могут использовать ключевые слова «host» и «any» или применять маски с подстановочными знаками. Они не используют номера портов.
**Именованный стандартный список доступа:
R-1(config)#
ip access-list standard NAME
(назовите список)
R-1(config-std-nacl)#
deny host 192.168.20.5log
(запретить определенный хост / совпадения журнала)
R-1(config-std-nacl)#
permit 192.168.20.0 0.0.0.255
(разрешить подсеть 192.168.20.0)
R-1(config-std-nacl)#
deny any
(запретить все остальные IP-адреса)
**Пронумерованный стандартный список доступа IP:
R-1(config)#
access-list 25 deny host 192.168.20.5
(запретить конкретный хост)
R-1(config)#
access-list 25 permit 192.168.20.0 0.0.0.255
(разрешить всю подсеть)
R-1(config)#
access-list 25deny any
(запретить все остальные IP-адреса)
Расширенные списки доступа
Действие
(требуется)
Протокол
(обязательно)
Источник IP (обязательно)
Сравнить (необязательно)
Порт/протокол
(необязательно)
IP-адрес назначения (обязательно)
Сравнение (необязательно)
Порт/протокол
(необязательно)
Разрешить
IP
IP-адрес и
Маска подстановки
eq
23 – telnet
IP-адрес и
Маска подстановки
eq
23 – telnet
запретить
TCP
gt
80 – http
gt
80 – http
примечание
UDP
любой
lt
443 – https
любой
lt
443 – https
ICMP
хост X.X.X.X
neq
echo (ping)
хост X.X.X.X
neq
echo (ping)
OSPF
диапазон
echo-reply
диапазон
echo-reply
EIGRP
И т. д.
В конце большинства операторов могут быть дополнительные опциональные команды (log, time-of-day, established и т. д.). Поле протокола должно соответствовать порту/протоколу назначения, если оно используется (например: TCP=Telnet, ICMP=Ping, UDP=DNS).
**Именованный расширенный список доступа:
R-1(config)#
ip access-list extended NAME
(назовите список)
Пример: запретить отдельному хосту доступ к всей подсети для Telnet, а также регистрировать совпадения:
R-1(config-ext-nacl)#
deny tcp host 192.168.20.10 172.16.0.0 0.0.255.255 eq 23 log
Пример: разрешить всей подсети доступ в любом направлении:
R-1(config-ext-nacl)#
permit ip 192.168.20.0 0.0.0.255 any
Пример: запретить все:
R-1(config-ext-nacl)#
deny ip any any
(это применяется по умолчанию, если не настроено)
Применение списков доступа
R-1(config)#
interface fastethernet 0/0
R-1(config-if)#
ip access-group NAME in
(оценка пакетов, поступающих на маршрутизатор)
R-1(config-if)#
ip access-group NAME out
(оценка пакетов, покидающих маршрутизатор)
R-1(config)#
line vty 0 4
R-1(config-line)#
access-class NAME in
(оценка пакетов для telnet или SSH)
Динамический список доступа (Stateful-Firewall)
R1(config)#
ip access-list extended OUTBOUND-TRAFFIC
R1(config-ext-nacl)#
permit tcp any any reflect TCP-TRAFFIC
R1(config-ext-nacl)#
permit udp any any reflect UDP-TRAFFIC
R1(config-ext-nacl)#
permit icmp any any reflect ICMP-TRAFFIC
R1(config-ext-nacl)#
deny ip any any
R1(config)#
ip access-list extended EVALUATE-INBOUND
R1(config-ext-nacl)#
evaluate TCP-TRAFFIC
R1(config-ext-nacl)#
evaluate UDP-TRAFFIC
R1(config-ext-nacl)#
evaluate ICMP-TRAFFIC
R1(config)#
интерфейс последовательный 0/0/0
R1(config-if)#
ip access-group OUTBOUND-TRAFFIC out
R1(config-if)#
ip access-group EVALUATE-INBOUND in
ACL на основе времени
R-1(config)#
time-range MON-WED-FRI
R-1(config-time-range)#
periodic Monday Wednesday Friday 8:00 to 17:00
R-1(config)#
access-list 133 permit tcp 192.168.20.0 0.0.0.255 any eq telnet time-rangeMON-WED-FRI
R-1#
show access-list
(просмотреть списки доступа на этом маршрутизаторе и количество «совпадений» в каждой строке)
R-1#
show access-list NAME
(просмотреть конкретный список доступа и количество «совпадений» в каждой строке)
DHCP и NAT
Настройка DHCP для IPv4
R-1(config)#
ip dhcp excluded 172.16.2.1 172.16.2.7
(исключенный диапазон IP-адресов)
R-1(config)#
ip dhcp pool LAN-2
(назовите этот пул DHCP)
R-1(dhcp-config)#
network 172.16.2.0 255.255.255.128
(весь диапазон сети)
R-1(dhcp-config)#
default-router 172.16.2.1
(адрес на порту маршрутизатора)
R-1(dhcp-config)#
dns-server 140.198.8.14
(DNS-сервер — может быть до 4)
R-1(dhcp-config)#
domain-name MCC.COM
(дополнительное доменное имя)
R-1(dhcp-config)#
lease-time 5
(необязательно — изменение на 5-дневную аренду, по умолчанию — 1 день)
!
R-3(config)#
interface fastethernet 0/1
(интерфейс для сети с DHCP-клиентами)
R-3(config-if)#
ip helper-address 192.168.15.2
(адрес, по которому находится DHCP-сервер)
!
R-1#
show ip dhcp binding
(просмотреть, какие IP-адреса назначены и MAC-адреса)
DOS-PROMPT>
ipconfig /release
(удалить динамически назначенную IP-информацию на ПК)
DOS-PROMPT>
ipconfig /renew
(получить новый IP-адрес от DHCP-сервера)
Настройка DHCP для автоматической настройки адресов IPv6 без состояния (SLAAC)
R1(config)#
ipv6 unicast routing
(убедитесь, что IPv6 активирован)
R1(config)#
ipv6 dhcp pool LAN-10-STATELESS
(создать пул для адресов и DNS)
R1(dhcpv6-config)#
dns-server 2001:345:ACAD:F::5
(адрес DNS-сервера IPv6)
R1(dhcpv6-config)#
domain-name cisco.com
(дополнительное доменное имя)
R1(config)#
interface g1/1
R1(config-if)#
ipv6 address 2001:A1B5:C13:10::1/64
(настройка IPv6-адреса)
R1(config-if)#
ipv6 dhcp server LAN-10-STATELESS
(обратиться к этому пулу DHCP)
R1(config-if)#
ipv6 nd other-config-flag
(включить обнаружение соседей IPv6)
Настройка DHCP для автоматической настройки адресов IPv6 с отслеживанием состояния
R1(config)#
ipv6 unicast routing
(убедитесь, что IPv6 активирован)
R1(config)#
ipv6 dhcp pool LAN-10-STATEFUL
(создать пул для адресов и DNS)
R1(dhcpv6-config)#
address prefix 2001:D7B:CAFÉ:10::/64 lifetime infinite infinite
R1(dhcpv6-config)#
dns-server 2001:345:ACAD:F::5
(адрес DNS-сервера IPv6)
R1(dhcpv6-config)#
domain-name cisco.com
(дополнительное доменное имя)
R1(config)#
интерфейс g1/1
R1(config-if)#
ipv6 address 2001:D7B:CAFE:10::1/64
(настройка адреса IPv6)
R1(config-if)#
ipv6 dhcp server LAN-10-STATEFUL
(обратиться к этому пулу DHCP)
R1(config-if)#
ipv6 nd managed-config-flag
(включить обнаружение соседей IPv6)
R-3(config)#
interface fastethernet 0/1
(интерфейс для сети с DHCP-клиентами)
R-3(config-if)#
ip dhcp relay destination 2001:A123:7CA1::15
(адрес сервера IPv6 DHCP)
R1#
show ipv6 dhcp pool
R1#
show ipv6 dhcp binding
Настройка NAT для IPv4
-Для статического и динамического NAT обозначьте интерфейсы как внутренние или внешние:
R-1(config)#
interface fa0/0
(обычно обозначайте все интерфейсы, кроме внешнего)
R-1(config-if)#
ip nat inside
(обозначьте это как внутренний интерфейс)
R-1(config)#
interface serial 0/0/0
(обычно есть только один внешний интерфейс)
R-1(config-if)#
ip nat outside
(обозначьте его как внешний интерфейс)
!
-Статический NAT требует только одного оператора. IP-адреса являются внутренними/внешними:
R-1(config)#
ip nat inside source static 192.168.10.22
73.2.34.137
!
-Динамический NAT может использовать пул «внешних адресов». Если вы не используете пул, вам придется использовать адрес на внешнем интерфейсе. Вы можете использовать «сетевую маску»:
R-1(config)#
ip nat pool POOL-NAME 73.2.34.138 73.2.34.143 netmask 255.255.255.248
-или- Вы можете выбрать использование «длины префикса»:
R-1(config)#
ip nat pool POOL-NAME 73.2.34.138 73.2.34.143 prefix-length 29
!
-Динамический NAT требует ACL для определения, какие внутренние адреса могут быть подвергнуты NAT:
R-1(config)#
ip access-list standard NAT-ELIGIBLE
R-1(config-std-nacl)#
permit 192.168.10.0 0.0.0.255
(включить все подсети)
R-1(config-std-nacl)#
deny any
!
-Динамический NAT может использовать пул для внешних адресов:
R-1(config)#
ip nat inside source list NAT-ELIGIBLE pool POOL-NAME
-или- Динамический NAT может использовать пул с перегрузкой для совместного использования внешних адресов:
R-1(config)#
ip nat inside source list NAT-ELIGIBLE pool POOL-NAME overload
-или- Динамический NAT может использовать выходной интерфейс – почти всегда будет использовать перегрузку:
R-1(config)#
ip nat inside source list NAT-ELIGIBLE interface serial 0/0/0 overload
R-1#
show ip nat translations
(текущие преобразования — динамические и статические)
R-1#
show ip nat statistics
(см. количество активных преобразований, роль интерфейсов и т. д.)