一、配置说明
主要用于一些路由协议(如OSPF路由协议)计算路由量度和RSVP计算保留带宽。
二、配置限制与指导
接口的带宽命令只是路由参数,不会影响物理链路的接口的真正带宽。
三、 配置步骤
(1) 进入特权模式。
enable
(2) 进入全局配置模式。
configure terminal
(3) 进入接口配置模式。
interface interface-type interface-number
(4) 配置接口带宽。
bandwidth bandwidth-value
缺省情况下,未配置接口带宽。
一、配置说明
MTU是指帧中有效数据段的长度,不包括以太网封装的开销。接口收到或者转发的帧,如果长度超过设置的MTU将被丢弃。
当接口进行大吞吐量数据交换时,可能会遇到大于以太网标准帧长度的帧,这种帧被称为Jumbo帧。如果需要设备正常接收处理Jumbo帧,则应当为设备配置大于Jumbo帧长度的MTU。
二、配置限制与指导
● 配置系统MTU会更新系统全部以太网口(包括聚合接口)的MTU生效值,但如果接口自身有配置MTU,则生效接口自身配置的MTU。
●可以通过设置接口的MTU来控制该接口允许收发的最大帧长。
三、 配置步骤
(1) 进入特权模式。
enable
(2) 进入全局配置模式。
configure terminal
(3) 配置MTU。请至少选择其中一项进行配置。
√ 配置系统MTU。
system mtu mtu-value
缺省情况下,未配置系统MTU。
√ 配置接口的MTU。请依次执行以下命令。
interface interface-type interface-number
mtu mtu-value
缺省情况下,接口MTU通常为1500,在不同接口类型上存在差异,请以具体接口的实际情况为准。
一、配置说明
可以进入接口模式对接口进行关闭和打开管理。接口的管理状态有两种:Up和Down。当接口被关闭时,接口的管理状态为Down,否则为Up。在某些情况下,可能需要禁用某个接口。此时可以通过设置接口的管理状态来直接关闭一个接口。如果关闭一个接口,则这个接口上将不会接收和发送任何帧,并丧失对应的所有功能。可以通过设置管理状态来重新打开一个已经关闭的接口。
二、配置限制与指导
当接口违例时,可以通过shutdown或no shutdown命令来恢复,为了防止频繁的shutdown/no shutdown命令操作引起系统不必要的链路震荡,对一个接口的两次shutdown/no shutdown配置前后,要间隔一定时间(需要大于该接口的载波时延carry-delay)。
三、 配置步骤
(1) 进入特权模式。
enable
(2) 进入全局配置模式。
configure terminal
(3) 进入接口配置模式。
interface interface-type interface-number
(4) 配置接口的管理状态为关闭。
shutdown
缺省情况下,接口处于开启状态。
一、配置说明
在三层设备上,可以把物理接口和聚合接口设置为路由接口,作为三层交换的网关接口。路由接口不具备二层交换的功能。可通过no switchport命令将一个交换接口转变为路由接口,然后给路由接口分配IP地址来建立路由。配置switchport命令则可以将路由接口转变为交换接口。
二、配置限制与指导
● 当使用no switchport接口配置命令时,将删除该接口的所有二层特性。
● 当聚合接口中含有成员口时,不允许将二层聚合接口配置为三层聚合接口,反之,也不允许将带有成员口的三层聚合接口转变为二层聚合接口。
● 当一个接口是二层聚合接口的成员接口或者是未认证成功的DOT1X认证口时,不允许使用switchport或者no switchport命令切换接口模式。
三、 配置步骤
(1) 进入特权模式。
enable
(2) 进入全局配置模式。
configure terminal
(3) 进入接口配置模式。
interface interface-type interface-number
(4) 配置接口为路由或交换接口。请至少选择其中一项进行配置。
√配置接口为交换接口。
switchport
√ 配置接口为路由接口。
no switchport
缺省情况下,所有的接口为交换接口。
一、配置说明
可以为一个接口起一个专门的名字来标识这个接口,有助于记住一个接口的功能。例如想要将GigabitEthernet0/1分配给用户A专门使用,就可以将这个接口的描述设置为“Port for User A”。
二、 配置步骤
(1) 进入特权模式。
enable
(2) 进入全局配置模式。
configure terminal
(3) 进入接口配置模式。
interface interface-type interface-number
(4) 配置接口的描述符。
description interface-name
缺省情况下,未配置接口名称。
一、配置说明
对于物理接口或已创建的逻辑接口,可直接进入指定范围接口的批量配置模式。对于未创建的逻辑接口,系统将批量创建指定接口并进入指定范围接口的批量配置模式。当进入接口批量配置模式时,此时配置的属性适用于所选范围内的所有接口。
interface range命令可以指定若干范围段,每个范围段可以使用“,”隔开,同一条命令中的所有范围段中的接口必须属于相同类型。macro参数可以使用范围段的宏定义。使用interface range命令中的macro关键字之前,必须先在全局配置模式下使用define interface-range命令定义这些宏。在全局配置模式下使用no define
interface-range macro-name命令来删除设置的宏定义。
当使用interface range命令时,不同接口类型对应的参数格式有差异,常见的有效的接口范围格式如下:
●FastEthernet device/slot/{ start-port } ~ { end-port }
● GigabitEthernet device/slot/{ start-port } ~ { end-port }
● TenGigabitEthernet device/slot/{ start-port } ~ { end-port }
●FortyGigabitEthernet device/slot/{ start-port } ~ { end-port }
●AggregatePort { start-port } ~ { end-port },取值范围为1~设备支持的最大聚合接口数量。
●vlan VLAN-start-ID~VLAN-end-ID,VLAN ID取值范围为1~4094。
● Loopback loopback-start-ID-loopback-end-ID,取值围为1~2147483647。
●Tunnel tunnel-start-ID-tunnel-end-ID,取值范围为0~设备支持的最大Tunnel接口数量减一。
二、配置限制与指导
● 对于逻辑接口,可以使用no interface range命令将指定范围接口的批量删除,但不可以使用no interface range命令批量删除指定范围的物理接口。
●可以使用default interface range命令将指定范围的接口在接口模式下的相关配置恢复到缺省配置。
三、配置步骤
(1) 进入特权模式。
enable
(2) 进入全局配置模式。
configure terminal
(3) (可选)配置批量接口的宏名称。
define interface-range macro-name interface-type interface-range-string
缺省情况下,未配置批量接口的宏名称。
(4) 进入接口批量配置模式。
interface range { interface-type interface-range-string | macro macro-name }
缺省情况下,未配置接口范围。
一、 组网需求
Device A和Device B使用RIP路由协议互联,为提高安全性,Device A和Device B之间配置使用MD5加密算法来对RIP报文进行加密。
Device B与172.168.1.1/24通过静态路由访问。
二、组网图
三、 配置要点
● 在所有路由设备上配置密钥。
● 在所有路由设备上配置RIP。
● 在所有路由设备上启用RIP认证。
四、 配置步骤
(1) 配置接口IP。
# Device A的配置。
Device A> enable
Device A# configure terminal
Device A(config)# interface gigabitEthernet 0/1
Device A(config-if)# ip address 192.168.27.1 255.255.255.0
Device A(config-if)# exit
# Device B的配置。
Device B> enable
Device B# configure terminal
Device B(config)# interface gigabitEthernet 0/1
Device B(config-if-GigabitEthernet 0/1)# ip address 192.168.27.2 255.255.255.0
Device B(config-if-GigabitEthernet 0/1)# exit
(2) 配置密钥和密钥生存时间。
# Device A的配置。
Device A# configure terminal
Device A(config)# key chain ripchain
Device A(config-keychain)# key 1
Device A(config-keychain-key)# key-string Hello
Device A(config-keychain-key)# accept-lifetime 16:30:00 Oct 1 2013 duration 43200
Device A(config-keychain-key)# send-lifetime 16:30:00 Oct 1 2013 duration 43200
Device A(config-keychain-key)# exit
Device A(config-keychain)# key 2
Device A(config-keychain-key)# key-string World
Device A(config-keychain-key)# accept-lifetime 04:00:00 Oct 2 2013 infinite
Device A(config-keychain-key)# send-lifetime 04:00:00 Oct 2 2013 infinite
Device A(config-keychain-key)# exit
# Device B的配置。
Device B# configure terminal
Device B(config)# key chain ripchain
Device B(config-keychain)# key 1
Device B(config-keychain-key)# key-string Hello
Device B(config-keychain-key)# accept-lifetime 16:30:00 Oct 1 2013 duration 43200
Device B(config-keychain-key)# send-lifetime 16:30:00 Oct 1 2013 duration 43200
Device B(config-keychain-key)# exit
Device B(config-keychain)# key 2
Device B(config-keychain-key)# key-string World
Device B(config-keychain-key)# accept-lifetime 04:00:00 Oct 2 2013 infinite
Device B(config-keychain-key)# send-lifetime 04:00:00 Oct 2 2013 infinite
Device B(config-keychain-key)# exit
(3) RIP基础配置。
# Device A的配置。
Device A(config)# router rip
Device A(config-router)# version 2
Device A(config-router)# network 192.168.27.0
Device A(config-router)# exit
# Device B的配置。
Device B(config)# router rip
Device B(config-router)# version 2
Device B(config-router)# network 192.168.27.0
Device B(config-router)# redistribute static
Device B(config-router)# exit
(4) 接口配置认证模式为MD5,指定认证密钥链。
# Device A的配置。
Device A(config)# interface gigabitEthernet 0/1
Device A(config-if-GigabitEthernet 0/1)# ip rip authentication key-chain ripchain
Device A(config-if)# ip rip authentication mode md5
# Device B的配置。
Device B(config)# interface gigabitEthernet 0/1
Device B(config-if-GigabitEthernet 0/1)# ip address 192.168.27.2 255.255.255.0
Device B(config-if-GigabitEthernet 0/1)# ip rip authentication key-chain ripchain
Device B(config-if-GigabitEthernet 0/1)# ip rip authentication mode md5
五、验证配置结果
# 检查Device A是否能收到Router B发出的路由。
Device A# show ip route rip
R 172.168.0.0/16 [120/1] via 192.168.27.2, 00:05:16, GigabitEthernet 0/1
六、 配置文件
● Device A的配置文件。
!
key chain ripchain
key 1
key-string Hello
accept-lifetime 16:30:00 Oct 1 2013 duration 43200
send-lifetime 16:30:00 Oct 1 2013 duration 43200
key 2
key-string World
accept-lifetime 04:00:00 Oct 2 2013 infinite
send-lifetime 04:00:00 Oct 2 2013 infinite
!
interface gigabitEthernet 0/1
ip address 192.168.27.1 255.255.255.0
ip rip authentication key-chain ripchain
ip rip authentication mode md5
!
router rip
version 2
network 192.168.27.0
!
● DeviceB的配置文件。
!
key chain ripchain
key 1
key-string Hello
accept-lifetime 16:30:00 Oct 1 2013 duration 43200
send-lifetime 16:30:00 Oct 1 2013 duration 43200
key 2
key-string World
accept-lifetime 04:00:00 Oct 2 2013 infinite
send-lifetime 04:00:00 Oct 2 2013 infinite
!
interface gigabitEthernet 0/1
ip address 192.168.27.2 255.255.255.0
ip rip authentication key-chain ripchain
ip rip authentication mode md5
!
router rip
version 2
network 192.168.27.0
redistribute static
!
七、常见错误
● 密钥未正确关联到路由协议,导致认证不生效。
● 多台设备上配置的密钥不一致,导致认证失败。
一、 组网需求
该局域网有两个出口连接到因特网,要求:
● 来自Host A的访问因特网的数据流走GE 0/1。
●来自Host B的访问因特网的数据流走GE 0/2。
●如果GigabitEthernet 0/1链路断开,则将GigabitEthernet 0/1上的数据流切换到GigabitEthernet 0/2上。反之亦然。
二、组网图
三、 配置要点
● 设置源地址策略,针对来自接口GigabitEthernet 0/3的Host A的报文,设置下一跳GigabitEthernet 0/1、GigabitEthernet 0/2(注意配置顺序)。
● 设置源地址策略,针对来自接口GigabitEthernet 0/3子网2的报文,设置下一跳GigabitEthernet 0/2、GigabitEthernet0/1(注意配置顺序)。
● 设置策略路由在多个下一跳之间冗余备份。(缺省即为冗余备份) 。
四、 配置步骤
(1) 完成接口IP等基础网络配置。
(2) 根据报文源地址选择出口链路。
Device> enable
Device# configure terminal
Device (config)# ip policy-source in-interface gigabitEthernet 0/3 1 200.24.16.0/24 next-hop 200.24.18.1 200.24.19.1
Device (config)# ip policy-source in-interface gigabitEthernet 0/3 2 200.24.17.0/24 next-hop 200.24.19.1 200.24.18.1
Device (config)# ip policy redundance
五、验证配置结果
# 检查IPv4源地址策略路由的配置信息。
Device # show ip pbr source-route
六、 配置文件
Device的配置文件。
!
ip policy-source in-interface gigabitEthernet 0/3 1 200.24.16.0/24 next-hop 200.24.18.1 200.24.19.1
ip policy-source in-interface gigabitEthernet 0/3 2 200.24.17.0/24 next-hop 200.24.19.1 200.24.18.1
ip policy redundance
!
一、 组网需求
在设备Device上配置策略路由,实现如下目的:
● 来自Host A(200.24.16.2/24)的报文,优先从GigabitEthernet 0/1接口发出。
● 来自Host B(200.24.17.2/24)的报文,优先从GigabitEthernet 0/2接口发出。
两条出口链路互为备份,配置与Track联动,故障时能够快速切换备份链路。
二、组网图
三、 配置要点
● 配置两个不同的ACL,分别用来匹配Host A网段和Host B网段。
● 配置路由图RM_FOR_PBR:策略10实现“来自Host A网段的报文,优先从GigabitEthernet 0/1接口发出”;策略20实现“来自Host B网段的报文,优先从GigabitEthernet 0/2接口发出”。
●设置策略路由在多个下一跳之间实现冗余备份。
● 设置Track规则,并与策略路由联动。
● 配置策略路由,对GigabitEthernet 0/3接口收到的报文应用路由图RM_FOR_PBR。
四、 配置步骤
(1) 配置接口IP,实现网络互通。(略)
(2) 配置ACL规则,分别匹配网段200.24.16.0/24和200.24.17.0/24。
Device> enable
Device# configure terminal
Device(config)# access-list 1 permit 200.24.16.0 0.0.0.255
Device(config)# access-list 2 permit 200.24.17.0 0.0.0.255
(3) 配置track规则。
Device(config)# ip rns 1
Device(config-ip-rns)# icmp-echo 200.24.18.1
Device(config-ip-rns)# exit
Device(config)# ip rns schedule 1 start-time now life forever
Device(config)# track 1 rns 1
Device(config)# ip rns 2
Device(config-ip-rns)# icmp-echo 200.24.19.1
Device(config-ip-rns)# exit
Device(config)# ip rns schedule 2 start-time now life forever
Device(config)# track 2 rns 2
(4) 配置路由策略RM_FOR_PBR,200.24.16.0的下一跳为200.24.18.1,备份下一跳为200.24.19.1;200.24.17.0的
下一跳为200.24.19.1,备份下一跳为200.24.18.1。
Device(config)# route-map RM_FOR_PBR 10
Device(config-route-map)# match ip address 1
Device(config-route-map)# set ip next-hop verify-availability 200.24.18.1 track 1
Device(config-route-map)# set ip next-hop verify-availability 200.24.19.1 track 2
Device(config-route-map)# exit
Device(config)# route-map RM_FOR_PBR 20
Device(config-route-map)# match ip address 2
Device(config-route-map)# set ip next-hop verify-availability 200.24.19.1 track 2
Device(config-route-map)# set ip next-hop verify-availability 200.24.18.1 track 1
Device(config-route-map)# exit
(5) 接口0/3上生效路由图RM_FOR_PBR,并开启负载均衡选路。
Device(config)# interface GigabitEthernet 0/3
Device(config-if-GigabitEthernet 0/3)# ip policy route-map RM_FOR_PBR
Device(config-if-GigabitEthernet 0/3)# exit
Device(config)# ip policy redundance
五、验证配置结果
# 检查策略路由配置信息,确认接口上应用了路由图。
Device# show ip policy
# 检查路由图配置信息,确认策略规则。
Device# show route-map
# 检查ACL配置信息,确认报文过滤规则。
Device# show access-lists
# 检查Track的跟踪对象是否Up。
Device# show track
六、 配置文件
Device的配置文件。
!
ip policy redundance
!
access-list 1 permit 200.24.16.0 0.0.0.255
access-list 2 permit 200.24.17.0 0.0.0.255
!
route-map RM_FOR_PBR 10
match ip address 1
set ip next-hop verify-availability 200.24.18.1 track 1
set ip next-hop verify-availability 200.24.19.1 track 2
!
route-map RM_FOR_PBR 20
match ip address 2
set ip next-hop verify-availability 200.24.19.1 track 2
set ip next-hop verify-availability 200.24.18.1 track 1
!
ip rns 1
icmp-echo 200.24.18.1
!
ip rns 2
icmp-echo 200.24.19.1
!
ip rns schedule 1 start-time now life forever
ip rns schedule 2 start-time now life forever
!
track 1 rns 1
!
track 2 rns 2
!
interface GigabitEthernet 0/3
ip policy route-map RM_FOR_PBR
!
七、常见错误
● 配置match匹配ACL、前缀列表等策略后,没有定义相应的ACL、前缀列表。
一、 组网需求
某学校为了满足正常的教学业务需要,要求满足以下四点需求:
● 限制学校访问Internet的流量为100Mbps,丢弃超出限制的报文。
● 限制宿舍楼的出口流量为50Mbps,丢弃超出限制的报文。
● 限制实验楼发出DSCP优先级为7的报文的速率为20Mbps,丢弃超出限制的报文。
●限制教学楼的出口流量为30Mbps,丢弃超出限制的报文。
注:某学校通过Device A的G0/24上联Internet,Device A的G0/1、G0/2和G0/3分别下联的教学楼(192.168.194.2~253/24)、实验楼(192.168.195.2~253/24)和宿舍楼(192.168.196.2~253/24)。
二、组网图
三、 配置要点
(1) 对于出口访问Internet,在Device A接口G0/24上配置接口的出口流量限制,带宽限制每秒102400KBits,猝发流量限制每秒256Kbytes。
(2) 对于宿舍楼,在Device A接口G0/3上配置接口的入口流量限制,带宽限制每秒51200KBits,猝发流量限制每秒256Kbytes。
(3) 对于教学楼,在Device A接口G0/1上配置接口的入口流量限制,带宽限制每秒30720KBits,猝发流量限制每秒256Kbytes。
(4) 对于实验楼,创建类cmap_dscp7匹配DSCP优先级7,创建策略pmap_shiyan,关联cmap_dscp7,绑定流行为,将速度超过20M的报文的DSCP值改为16;将pmap_shiyan应用在接口G0/2上,并配置接口信任DSCP。
四、 配置步骤
(1) 配置接口IP地址(略)。
(2) 配置接口限速。
# 对于出口访问Internet,在接口G0/24上配置接口的出口流量限制。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# interface gigabitethernet 0/24
DeviceA(config-if-GigabitEthernet 0/24# rate-limit output 102400 256
DeviceA(config-if-GigabitEthernet 0/24)# exit
# 对于宿舍楼,在接口G0/3上配置接口的入口流量限制。
DeviceA(config)# interface gigabitethernet 0/3
DeviceA(config-if-GigabitEthernet 0/3# rate-limit input 51200 256
DeviceA(config-if-GigabitEthernet 0/3)# exit
# 对于教学楼,在接口G0/1上配置接口的入口流量限制。
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1# rate-limit input 30720 256
DeviceA(config-if-GigabitEthernet 0/1)# exit
(3) 配置流分类。
# 对于实验楼,配置类,流行为和策略。
DeviceA(config)# class-map cmap_dscp7
DeviceA(config-cmap)# match ip dscp 7
DeviceA(config-cmap)# exit
DeviceA(config)# policy-map pmap_shiyan
DeviceA(config-pmap)# class cmap_dscp7
DeviceA(config-pmap-c)# police 20480 128 exceed-action drop
DeviceA(config-pmap-c)# exit
DeviceA(config-pmap)# exit
# 将策略应用到接口,并配置接口信任DSCP。
DeviceA(config)# interface gigabitethernet 0/2
DeviceA(config-if-GigabitEthernet 0/2# service-policy input pmap_shiyan
DeviceA(config-if-GigabitEthernet 0/2)# mls qos trust dscp
DeviceA(config-if-GigabitEthernet 0/2)# exit
五、验证配置结果
# 检查接口限速配置是否成功。
DeviceA# show mls qos rate-limit
Interface: GigabitEthernet 0/1
rate limit input Kbps = 30720 burst = 256
Interface: GigabitEthernet 0/3
rate limit input Kbps = 51200 burst = 256
Interface: GigabitEthernet 0/24
rate limit output Kbps = 102400 burst = 256
# 检查类是否创建成功。
DeviceA# show class-map cmap_dscp7
Class Map cmap_dscp7
Match ip dscp 7
# 检查策略是否创建成功。
DeviceA# show policy-map pmap_shiyan
Policy Map pmap_shiyan
Class cmap_dscp7
police 20480 128 exceed-action drop
# 检查策略是否成功应用在接口上。
DeviceA# show mls qos interface gigabitethernet 0/2
Interface: GigabitEthernet 0/2
Ratelimit input:
Ratelimit output:
Attached input policy-map: pmap_shiyan
Attached output policy-map:
Default trust: dscp
Default cos: 0
六、配置文件
Device A的配置文件
hostname DeviceA
!
class-map cmap_dscp7
match ip dscp 7
!
policy-map pmap_shiyan
class cmap_dscp7
police 20480 128 exceed-action drop
!
interface GigabitEthernet 0/1
ip add 192.168.194.1 255.255.255.0
rate-limit input 30720 256
!
interface GigabitEthernet 0/2
ip add 192.168.195.1 255.255.255.0
service-policy input pmap_shiyan
mls qos trust dscp
!
interface GigabitEthernet 0/3
ip add 192.168.196.1 255.255.255.0
rate-limit input 51200 256
!
interface GigabitEthernet 0/24
rate-limit output 102400 256
!