前言

这篇笔记专注于Cisco网络OS基本操作和VLAN技术的基本概念。在此之前,我们需要使用Cisco网络的模拟器Cisco Packet Tracer,在官网可进行下载。


Cisco OS

Cisco将其操作系统称为Cisco IOS(互联网操作系统)。它是所有思科路由器的嵌入式软件架构。Cisco IOS将用户界面分为多种不同的模式。可以使用的命令取决于当前所处的模式。在系统提示符下输入问号 (?) 即可获取每个命令模式下可用的命令列表。

它们的关系如下:

我们用得最多的就是User EXEC(>)和Privileged EXEC(#)以及Global configuration((config)#),我们通过enabledisableexit命令在User EXEC和Privileged EXEC之间切换,如图:

在Privileged EXEC下,可以通过configure terminal命令进入Global configuration模式。同时也可以用exit命令退出。当按下CTRL + Z后,将直接返回到Privileged EXEC.

例如,我有一个路由器、一台电脑和一个交换机,这台电脑连接着路由器的console接口用于控制路由器,并连接着交换机,交换机连接路由器,如图所示。


主机命名

接下来,第一步就是我们需要给主机命名。我们点开PC,找到Desktop,找到terminal,我们发现已经连接上路由器。我们输入enableconfigure terminal命令进入Global configuration模式,然后修改主机名,例如Test。

操作完后,我们的主机名就已经成功修改为Test。


设置密码

接下来是设置登录密码,保护数据安全。我们连接的是路由器的Console接口 0,那么我们就给这个接口设置密码。使用如下命令:

line console 0
password test
login

第二行命令password设置密码为test,第三步激活该接口远程登录权限。最后可以看看是否设置成功,按下CTRL + Z返回到Privileged EXEC,并使用exit命令退出,再次按下Enter键,输入密码正确登录。注意,输入密码时不会显示出来,输入后按下Enter即可。


我们这个命令只是设置了console接口上的密码,除此之外我们还可以通过Telnet、SSH之类的方式登录服务器,同样也需要给他们设置密码。通常,Cisco允许5个虚拟终端,我们给他们全都设置密码。

line vty 0 4
# 进入虚拟终端(0到4)行配置模式
password test
login
^Z

同样地操作,设置密码除了在虚拟终端模式。

但是,我们的密码现在处于明文保存状态,只需要读取响应的配置文件,就可以轻松找到我们的密码。于是我们可以使用密码加密命令。

service password-encryption
show running-config

service password-encryption命令让密码加密,而show running-config命令则是展示当前运行配置文件。注意:这加密命令需要在Global configuration模式下输入,而展示命令则需要先返回后输入。如图:

接着往下找,我们可以发现配置中的密码已经加密。


配置以太网连接

交换机与路由器连接时,路由器连接的是接口GigabitEthernet 0/0,我们现在需要给它配置IP网段。

配置有如下三个步骤:

  1. 从全局配置模式进入接口模式(interface)。使用接口interface命令。
  2. 打开接口,因为默认情况下接口是关闭或禁用的。使用 no shutdown命令。
  3. 指定接口的 IP 地址和子网掩码。使用 ip address 命令。

例如,我要配置的IP为10.0.0.1,掩码为255.0.0.0,我们使用这样的命令:

interface GigabitEthernet 0/0
no shutdown
ip address 10.0.0.1 255.0.0.0
^Z
show interfaces GigabitEthernet 0/0

最后退出接口模式,展示一下配置是否成功。

如果是配置WAN连接,例如在宽带接入网络(例如DSL或电缆)中建立Internet连接时通常使用PPPoE协议,这个时候我们要让接口开启它,使用命令pppoe enable。其他协议同理。


保存配置

我们现在所有的配置都是在运行时有效的,但是当设备重启的时候,这些配置都会重置,因为它处于running-config中。我们要保存配置,需要将它们移动到startup-config

使用命令:

copy running-config startup-config

接下来还可以使用命令show startup-config 展示出来,此时它的内容就和running-config的一样了。


VLAN基础

在典型交换网络中,当某台主机发送一个广播帧或未知单播帧时,该数据帧会被泛洪,甚至传递到整个广播域(L2 Domain)。

当L2 Domain越大,产生的网络安全问题、垃圾流量问题,就越严重。

虚拟局域网(VLAN)技术可以隔离L2 Domain。只有同一VLAN内的设备才能直接进行二层通信。

为了区分不同的VLAN,协议要求在以太网数据帧(第二层)中,添加4 bytes(32 bits)的VLAN Tag用以区分不同的VLAN。在以太网802.1Q协议中,数据帧为:

至于VLAN的划分,我们可以基于接口、MAC地址、IP子网、协议(IPv4, IPv6)等方式划分。

实际网络部署中一般会将不同IP地址段划分到不同的VLAN。与VLAN相类似的是,子网也可以隔离主机间的通信。属于不同VLAN的主机之间不能直接通信,属于不同的子网的主机之间也不能直接通信。但二者没有必然的对应关系。


VLAN间通讯

同VLAN且同网段的PC之间可直接进行通信,无需借助三层转发设备,该通信方式被称为二层通信。而VLAN之间需要通过三层通信实现互访,三层通信需借助三层设备。

但由于不同厂商对VLAN接口类型的定义可能不同,这里就不展示具体的配置通讯过程。


后记

这一篇笔记记录了使用Cisco设备OS的简单操作和VLAN原理。

这里的一切都有始有终,却能容纳所有的不期而遇和久别重逢。
最后更新于 2023-10-05