计算机网络实验公式（(Session 1 - Basic）

1. PC 命令行 (CMD)

这部分命令在 PC (如 Lab 01 中的 PCA) 的 "Command Prompt" 中使用。

1.1. 网络配置查看

• ipconfig /all *

  • 作用: 显示 PC 的完整 IP 配置信息，包括 IP 地址、子网掩码、默认网关和 DHCP 服务器等。

1.2. 连通性测试

• ping (IP 地址) *

  • 作用: 测试本机到目标 IP 地址的网络连通性。

  • 例子: ping 192.168.0.1 (尝试连接到 IP 地址为 192.168.0.1 的设备，在 Lab 01 中可能是无线路由器的地址)

2. Cisco IOS 设备 (交换机/路由器)

这部分命令用于在 Cisco 交换机 (Lab 03) 和路由器 (Lab 04) 上进行配置。

2.1. 模式导航

• enable *

  • 作用: 从用户 EXEC 模式 (>) 进入特权 EXEC 模式 (#)。

• configure terminal *

  • 作用: 从特权 EXEC 模式 (#) 进入全局配置模式 ((config)#)。

  • 缩写: config t

• exit *

  • 作用: 从当前模式退回到上一级模式。

2.2. 基本配置 (全局配置模式)

• hostname (设备名) *

  • 作用: 为设备设置一个唯一的主机名。

  • 例子: hostname S1 (将设备名设置为 S1)

• banner motd "(横幅消息)" *

  • 作用: 设置“今日消息” (Message of the Day) 横幅，用户登录时会显示此消息。注意: 消息必须用分界符（如 "）包围。

  • 例子: banner motd "Authorized Access Only!"

2.3. 密码与安全配置

• enable password (明文密码) *

  • 作用: (全局配置模式) 设置一个明文的特权 EXEC 模式密码。

  • 例子: enable password c1$c0

  • 注意: 此密码会被 enable secret 覆盖。

• enable secret (加密密码) *

  • 作用: (全局配置模式) 设置一个加密的（使用 MD5）特权 EXEC 模式密码，安全性更高。

  • 例子: enable secret itsasecret

• service password-encryption *

  • 作用: (全局配置模式) 将配置中所有当前为明文的密码（如 enable password 和 line console 密码）进行弱加密。

• line (线路类型) (线路编号) *

  • 作用: (全局配置模式) 进入指定线路的配置模式（config-line）。

  • 例子 1: line console 0 (进入控制台线路配置)

  • 例子 2: line vty 0 15 (进入所有虚拟终端线路 (VTY) 配置，用于 Telnet/SSH)

• password (线路密码) *

  • 作用: (线路配置模式) 为当前线路设置登录密码。

  • 例子: password letmein

• login *

  • 作用: (线路配置模式) 启用登录检查，要求用户输入此线路设置的密码才能登录。

2.4. 配置查看 (特权 EXEC 模式)

• show running-config *

  • 作用: 查看当前正在内存 (RAM) 中运行的配置。

  • 缩写: show run

• show startup-config *

  • 作用: 查看存储在 NVRAM (非易失性 RAM) 中的启动配置。设备重启时会加载此配置。

• show flash (extra)

  • 作用: (Lab 04) 查看闪存 (Flash) 中的文件列表，通常 IOS 操作系统镜像存储在这里。

2.5. 配置保存 (特权 EXEC 模式)

• copy running-config startup-config *

  • 作用: 将当前运行的配置 (RAM 中) 保存到启动配置 (NVRAM 中)，防止设备重启后配置丢失。

  • 缩写: copy run start

• copy startup-config flash (extra)

  • 作用: (Lab 04) 将启动配置文件从 NVRAM 备份到闪存 (Flash) 中。

3. 网络地址格式

• IPv4 地址: x.x.x.x *

  • 作用: (Lab 01) 用于在网络中唯一标识设备。它由四组数字（0-255）组成，用点分隔。

  • 例子: 192.168.0.100

• IPv6 地址 (extra)

  • 作用: (Lab 01 提及) 新一代的 IP 地址格式，用于解决 IPv4 地址耗尽的问题。课件中未提供具体格式。
    

计算机网络实验公式 (Session 2 - Subnet, VLSM)

1. 子网划分 (Subnetting) - 公式与概念

这是本系列实验的核心。

1.1. 核心计算公式

• 子网数计算: $2^n$ *

  • 作用: 计算借用的 $n$ 位主机位可以创建多少个子网。

  • 例子: 从 /24 借 2 位主机位 (即 $n=2$)，可以得到 $2^2 = 4$ 个子网 (Lab 01)。

• 每子网主机数计算: $2^h - 2$ *

  • 作用: 计算剩余的 $h$ 位主机位可以为每个子网提供多少个可用的主机地址。

  • 注意: 减 2 是因为要去掉网络地址和广播地址。

  • 例子: 对于一个 /26 子网，主机位 $h = (32 - 26) = 6$。可用主机数为 $2^6 - 2 = 64 - 2 = 62$ 个。

1.2. 关键地址识别

• CIDR (无类别域间路由) *

  • 作用: 使用斜杠 (/) 后跟数字来表示子网掩码中“网络位”的数量。

  • 例子: 192.168.0.0/24 等同于子网掩码 255.255.255.0。

  • 例子: 192.168.0.0/26 等同于子网掩码 255.255.255.192 (Lab 01)。

• 子网地址 (Network Address) *

  • 作用: 标识一个子网的起始地址，主机位全为 0。不可分配给主机。

  • 例子: 在 192.168.0.0/26 方案中，第二个子网的地址是 192.168.0.64。

• 第一个可用主机地址 *

  • 作用: 子网中可以分配给主机的第一个 IP。

  • 公式: (子网地址) + 1

  • 例子: 对于 192.168.0.64/26 子网，第一个可用地址是 192.168.0.65 (Lab 01)。

• 广播地址 (Broadcast Address) *

  • 作用: 子网中的最后一个地址，主机位全为 1。用于向该子网所有设备发送消息。

  • 例子: 对于 192.168.0.64/26 子网，广播地址是 192.168.0.127。

• 最后一个可用主机地址 *

  • 作用: 子网中可以分配给主机的最后一个 IP。

  • 公式: (广播地址) - 1

  • 例子: 对于 192.168.0.64/26 子网，最后一个可用地址是 192.168.0.126 (Lab 01)。

1.3. 高级概念

• VLSM (可变长子网掩码) (extra)

  • 作用: (Lab 02, Lab 03) 一种高级子网划分技术，允许在同一网络中使用不同长度的子网掩码。

  • 原则: 始终从需求主机数最多的子网开始分配，以最有效地利用地址空间。

2. Cisco IOS 设备 (新命令)

这些命令用于在路由器和交换机上配置 IP 地址。

• interface (类型)(编号) *

  • 作用: (全局配置模式) 进入指定接口（物理或虚拟）的配置模式。

  • 例子 1: interface GigabitEthernet0/0 (进入 G0/0 物理接口)

  • 例子 2: interface Serial0/1/0 (进入 S0/1/0 串行接口)

  • 例子 3: interface Vlan1 (进入 VLAN 1 虚拟接口，用于配置交换机管理 IP)

• ip address (IP地址) (子网掩码) *

  • 作用: (接口配置模式) 为当前接口配置 IPv4 地址和子网掩码。

  • 例子: ip address 192.168.0.1 255.255.255.192 (Lab 01 Answer)

• no shutdown *

  • 作用: (接口配置模式) 启用（“打开”）当前接口。Cisco 路由器接口默认是关闭 (shutdown) 的。

  • 缩写: no shut

• ip default-gateway (IP地址) *

  • 作用: (全局配置模式) 仅用于交换机，为其设置默认网关地址，以便管理VLAN可以与网络外通信。

  • 例子: ip default-gateway 192.168.0.1 (Lab 01 Answer)

3. PC 端 (新概念)

• 静态 IP 配置 *

  • 作用: (Lab 01, Lab 03) 在 PC 的 "IP Configuration" 窗口中手动输入 IP 地址、子网掩码和默认网关，而不是像第一个实验 (Lab 01 - Env) 中那样通过 DHCP 自动获取。

计算机网络实验公式 (Session 3 - VLAN, Routing)

1. VLAN 与交换机端口

这部分命令用于在交换机上创建 VLAN 并配置端口。

1.1. VLAN 创建与查看

• show vlan brief *

  • 作用: (特权 EXEC 模式) 显示交换机上所有 VLAN 的简明信息，包括名称、状态和分配给该 VLAN 的端口。

  • 缩写: sh vlan br

• vlan (vlan-id) *

  • 作用: (全局配置模式) 创建一个 VLAN 或进入指定 VLAN 的配置模式 (config-vlan)。

  • 例子: vlan 10

• name (vlan-name) *

  • 作用: (VLAN 配置模式) 为当前 VLAN 命名。

  • 例子: name Faculty/Staff

1.2. 交换机端口模式配置

• switchport mode access *

  • 作用: (接口配置模式) 将当前接口设置为接入端口 (Access Port)。接入端口只能属于一个数据 VLAN。

• switchport access vlan (vlan-id) *

  • 作用: (接口配置模式) 将已设为接入模式的端口分配给指定的 VLAN。

  • 例子: switchport access vlan 10

• switchport mode trunk *

  • 作用: (接口配置模式) 将当前接口设置为中继端口 (Trunk Port)。中继端口可以承载多个 VLAN 的流量（通常用于连接交换机或路由器）。

• switchport voice vlan (vlan-id) (extra)

  • 作用: (接口配置模式) 为接入端口启用语音 VLAN，允许一个端口同时承载数据 VLAN 流量和语音 VLAN 流量（用于连接 IP 电话）。

  • 例子: switchport voice vlan 150

• mls qos trust cos (extra)

  • 作用: (接口配置模式) 启用服务质量 (QoS)，信任来自 IP 电话的 CoS (Class of Service) 标记，以优先处理语音流量。

• show interface trunk (extra)

  • 作用: (特权 EXEC 模式) 显示交换机上所有中继端口的状态和信息。

2. 路由 (Routing)

这部分命令用于在路由器上配置，使不同网络间能够通信。

2.1. VLAN 间路由 (Router-on-a-Stick)

• interface (类型)(编号).(子接口ID) *

  • 作用: (全局配置模式) 创建一个路由器的子接口，用于 VLAN 间路由。

  • 例子: interface g0/0.10

• encapsulation dot1q (vlan-id) *

  • 作用: (子接口配置模式) 在子接口上启用 802.1Q 封装，并将其与一个 VLAN ID 关联。

  • 例子: encapsulation dot1q 10

• show ip interface brief *

  • 作用: (特权 EXEC 模式) 显示所有接口的 IP 地址和状态（Up/Down）的简明摘要。

  • 缩写: sh ip int br

2.2. 静态路由 (Static Routing)

• ip route (目标网络) (子网掩码) (下一跳IP | 出口接口) *

  • 作用: (全局配置模式) 创建一条手动指定的静态路由。

  • 例子 (下一跳): ip route 172.18.0.0 255.255.0.0 172.17.1.2

  • 例子 (出口接口): ip route 172.18.0.0 255.255.0.0 fa0/1

• ip route 0.0.0.0 0.0.0.0 (下一跳IP | 出口接口) *

  • 作用: (全局配置模式) 创建一条默认路由 (Gateway of Last Resort)。所有没有特定路由的流量都将发往这里。

  • 例子: ip route 0.0.0.0 0.0.0.0 172.17.1.2

• no ip route (...) (extra)

  • 作用: (全局配置模式) 删除一条已配置的静态路由。

• ip route (...) (管理距离) (extra)

  • 作用: (全局配置模式) 创建一条浮动静态路由 (Floating Static Route)，通过设置一个高于常规路由的管理距离（如 250）来作为备份路由。

  • 例子: ip route 172.18.0.0 255.255.0.0 172.17.1.2 250

2.3. 动态路由 - RIP

• router rip *

  • 作用: (全局配置模式) 启用 RIP 路由进程并进入路由配置模式 (config-router)。

• version 2 *

  • 作用: (RIP 配置模式) 指定使用 RIP 版本 2，它支持 VLSM（与版本 1 不同）。

• network (有类网络地址) *

  • 作用: (RIP 配置模式) 宣告该路由器直连的有类 (Classful) 网络地址，RIP 将在这些网络上发送和接收更新。

  • 例子: network 192.168.10.0

2.4. 动态路由 - OSPF (extra)

• router ospf (进程ID) (extra)

  • 作用: (全局配置模式) 启用 OSPF 路由进程，进程 ID (1-65535) 仅在本地路由器上有意义。

  • 例子: router ospf 1

• network (网络地址) (通配符掩码) area (区域ID) (extra)

  • 作用: (OSPF 配置模式) 宣告网络，使其参与 OSPF 进程。OSPF 使用通配符掩码 (Wildcard Mask)。

  • 通配符掩码: 是子网掩码的反码 (0 变 255, 255 变 0)。例如 255.255.255.0 的通配符是 0.0.0.255。

  • 例子: network 192.168.10.0 0.0.0.255 area 20

计算机网络实验公式 (Session 4 - DHCP, AAA)

1. DHCP (动态主机配置协议)

这部分命令用于在路由器上配置 DHCP 服务。

1.1. DHCP 服务器配置

• ip dhcp excluded-address (起始IP) [结束IP] *

  • 作用: (全局配置模式) 从 DHCP 地址池中排除指定的 IP 地址（或范围），防止分配给动态客户端。这些地址通常静态分配给路由器、服务器等。

  • 例子: ip dhcp excluded-address 192.168.10.1 192.168.10.10

• ip dhcp pool (池名称) *

  • 作用: (全局配置模式) 创建一个 DHCP 地址池并进入 DHCP 配置模式 (dhcp-config)。

  • 例子: ip dhcp pool R1-LAN

• network (网络地址) (子网掩码) *

  • 作用: (DHCP 配置模式) 定义此 DHCP 池将分配 IP 地址的子网。

  • 例子: network 192.168.10.0 255.255.255.0

• default-router (IP地址) *

  • 作用: (DHCP 配置模式) 指定分配给客户端的默认网关地址。

  • 例子: default-router 192.168.10.1

• dns-server (IP地址) *

  • 作用: (DHCP 配置模式) 指定分配给客户端的 DNS 服务器地址。

  • 例子: dns-server 192.168.20.254

• show ip dhcp binding *

  • 作用: (特权 EXEC 模式) 查看 DHCP 服务器上当前的 IP 地址分配（绑定）列表。

1.2. DHCP 中继与客户端

• ip helper-address (DHCP服务器IP) *

  • 作用: (接口配置模式) 配置 DHCP 中继。将此命令应用在客户端所在的 LAN 接口上，它会将 DHCP 广播请求转发到位于不同子网的 DHCP 服务器。

  • 例子: ip helper-address 10.1.1.2

• ip address dhcp *

  • 作用: (接口配置模式) 使路由器接口成为DHCP 客户端，动态地从 ISP 或上游设备获取 IP 地址。

2. AAA (认证, 授权, 记账)

这部分命令用于配置本地和基于服务器的设备访问控制。

2.1. 本地 AAA 与 SSH

• aaa new-model *

  • 作用: (全局配置模式) 启用 AAA 安全框架。（启用后，必须正确配置 AAA，否则可能导致无法登录设备）

• username (用户名) secret (密码) *

  • 作用: (全局配置模式) 在路由器本地数据库中创建一个用户条目，并使用加密的密码。

  • 例子: username Admin1 secret admin1pa55

• aaa authentication login default local *

  • 作用: (全局配置模式) 配置默认的登录认证方法列表，使其使用本地 (local) 数据库进行用户验证。

• aaa authentication login (列表名) local (extra)

  • 作用: (全局配置模式) 创建一个命名的认证方法列表（例如，专用于 VTY），使其使用本地数据库。

  • 例子: aaa authentication login SSH-LOGIN local

• login authentication (列表名 | default) *

  • 作用: (线路配置模式, 如 line console 0 或 line vty 0 4) 将一个 AAA 认证方法列表（默认或命名的）应用到这条线路上。

  • 例子: login authentication SSH-LOGIN

• ip domain-name (域名) *

  • 作用: (全局配置模式) 为设备配置一个域名，这是生成 RSA 密钥（SSH 必需）的前提。

  • 例子: ip domain-name netsec.com

• crypto key generate rsa *

  • 作用: (全局配置模式) 生成用于 SSH 加密的 RSA 密钥对。

  • 注意: 会提示输入密钥位数（如 1024）。

• transport input ssh *

  • 作用: (线路配置模式, 仅 line vty) 限制 VTY 线路（如 Telnet/SSH）只接受 SSH 连接，禁用 Telnet。

2.2. PC 端 SSH 命令

• ssh -l (用户名) (目标IP) *

  • 作用: (PC 命令行) 从 PC 端发起一个 SSH 连接到目标设备。

  • 例子: ssh -l Admin1 192.168.1.1

2.3. 基于服务器的 AAA (TACACS+ / RADIUS) (extra)

• aaa authentication login default group (tacacs+ | radius) local (extra)

  • 作用: (全局配置模式) 配置默认登录认证，首先尝试使用 TACACS+ 或 RADIUS 服务器组，如果服务器无响应，则回退到本地 (local) 数据库。

• tacacs-server host (服务器IP) (extra)

  • 作用: (全局配置模式) 定义 TACACS+ 服务器的 IP 地址。

  • 例子: tacacs-server host 192.168.2.2

• tacacs-server key (共享密钥) (extra)

  • 作用: (全局配置模式) 设置与 TACACS+ 服务器通信时使用的共享密钥。

  • 例子: tacacs-server key tacacspa55

• radius-server host (服务器IP) (extra)

  • 作用: (全局配置模式) 定义 RADIUS 服务器的 IP 地址。

  • 例子: radius-server host 192.168.3.2

• radius-server key (共享密钥) (extra)

  • 作用: (全局配置模式) 设置与 RADIUS 服务器通信时使用的共享密钥。

  • 例子: radius-server key radiuspa55

计算机网络实验公式 (Session 5 - ACL, Firewall)

1. 访问控制列表 (ACL) 基础

• show access-lists *

  • 作用: (特权 EXEC 模式) 显示设备上配置的所有访问控制列表及其匹配统计（有多少数据包匹配了该规则）。

  • 缩写: sh access-list

• ip access-group (ACL编号 | ACL名称) (in | out) *

  • 作用: (接口配置模式) 将一个 ACL 应用到接口上，以控制入站 (in) 或出站 (out) 的流量。

• 通配符掩码 (Wildcard Mask) *

  • 作用: (ACL 配置) ACL 中用于匹配 IP 地址范围的掩码。

  • 计算: 通常是子网掩码的“反码”（例如，255.255.255.0 对应的通配符是 0.0.0.255）。

  • any 关键字: 等同于 0.0.0.0 255.255.255.255 (匹配所有 IP)。

  • host (IP) 关键字: 等同于 (IP) 0.0.0.0 (仅匹配该主机 IP)。

2. 标准 ACL (Standard ACLs)

标准 ACL (1-99 或命名) 只能基于源 IP 地址进行过滤。

• access-list (编号 1-99) (permit | deny) (源IP) [通配符掩码] *

  • 作用: (全局配置模式) 定义一条编号的标准 ACL 规则。

  • 例子: access-list 1 deny 192.168.11.0 0.0.0.255

  • 例子: access-list 1 permit any

• ip access-list standard (ACL名称) *

  • 作用: (全局配置模式) 创建一个命名的标准 ACL 并进入标准 ACL 配置模式 (config-std-nacl)。

  • 例子: ip access-list standard File_Server_Restrictions

• (permit | deny) (源IP) [通配符掩码] *

  • 作用: (标准 ACL 配置模式) 在命名 ACL 中定义规则。

  • 例子: permit host 192.168.20.4

  • 例子: deny any

3. 扩展 ACL (Extended ACLs) (extra)

扩展 ACL (100-199 或命名) 可以基于源/目的 IP、协议和端口号进行过滤。

• access-list (编号 100-199) (permit | deny) (协议) (源) [通配符] (目的) [通配符] [操作符] [端口] (extra)

  • 作用: (全局配置模式) 定义一条编号的扩展 ACL 规则。

  • 协议: ip, tcp, udp, icmp

  • 操作符/端口: eq (等于), gt (大于), lt (小于), neq (不等于)。端口可以是数字（如 80）或名称（如 www, ftp）。

  • 例子 (FTP): access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp

  • 例子 (ICMP/Ping): access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62

• ip access-list extended (ACL名称) (extra)

  • 作用: (全局配置模式) 创建一个命名的扩展 ACL 并进入扩展 ACL 配置模式 (config-ext-nacl)。

  • 例子: ip access-list extended HTTP_ONLY

• (permit | deny) (协议) (源) [通配符] (目的) [通配符] [操作符] [端口] (extra)

  • 作用: (扩展 ACL 配置模式) 在命名 ACL 中定义规则。

  • 例子: permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www

4. PC/服务器端防火墙 (Packet Tracer GUI)

这不是 IOS 命令，而是在 Packet Tracer 的服务器或 PC 的 Desktop > Firewall IPv4 选项卡中配置的。

• 服务器防火墙规则 (extra)

  • 作用: (Packet Tracer GUI) 在终端设备上（而不是路由器上）过滤流量。

  • 例子 (Deny ICMP): Action: Deny, Protocol: ICMP, Remote IP: 0.0.0.0, Remote Wildcard: 255.255.255.255

  • 例子 (Allow HTTP): Action: Allow, Protocol: TCP, Remote IP: 0.0.0.0, Remote Wildcard: 255.255.255.255, Local Port: 80

计算机网络实验公式 (Session 6 - ZPF, IPS)

1. ZPF (基于区域的策略防火墙) (extra)

ZPF 是一种高级防火墙配置，它依赖于将接口放入“区域”(Zone)，然后在“区域对”(Zone-Pair) 之间应用策略。

1.1. 激活安全许可证

• license boot module c1900 technology-package securityk9 (extra)

  • 作用: (全局配置模式) 在路由器上激活安全技术包。这在使用 ZPF 或 IPS 之前是必需的。

  • 注意: 执行后需要 reload (重启) 路由器。

1.2. ZPF 配置流程

ZPF 的配置遵循一个固定的多步骤流程：

步骤 1: 创建安全区域 (Security Zone)

• zone security (区域名称) *

  • 作用: (全局配置模式) 创建一个安全区域并进入区域配置模式 (config-sec-zone)。

  • 例子: zone security IN-ZONE

  • 例子: zone security OUT-ZONE

步骤 2: 定义感兴趣的流量 (Class-Map)

• class-map type inspect match-all (class-map名称) *

  • 作用: (全局配置模式) 创建一个 inspect 类型的 class-map，用于标识需要被策略处理的流量，并进入 class-map 配置模式 (config-cmap)。

  • 例子: class-map type inspect match-all IN-NET-CLASS-MAP

• match access-group (ACL编号) *

  • 作用: (Class-Map 配置模式) 使 class-map 匹配一个之前定义好的扩展 ACL。

  • 例子: match access-group 101

步骤 3: 定义防火墙策略 (Policy-Map)

• policy-map type inspect (policy-map名称) *

  • 作用: (全局配置模式) 创建一个 inspect 类型的 policy-map，用于定义如何处理被 class-map 识别的流量，并进入 policy-map 配置模式 (config-pmap)。

  • 例子: policy-map type inspect IN-2-OUT-PMAP

• class type inspect (class-map名称) *

  • 作用: (Policy-Map 配置模式) 将之前定义的 class-map 关联到此策略中，并进入 policy-map-class 配置模式 (config-pmap-c)。

  • 例子: class type inspect IN-NET-CLASS-MAP

• inspect *

  • 作用: (Policy-Map-Class 配置模式) 指定动作为状态化检测 (Stateful Inspection)。这将自动允许返回的流量。

  • 注意: 其他动作还有 drop (丢弃) 或 pass (通过而不检测)。

步骤 4: 应用策略到区域对 (Zone-Pair)

• zone-pair security (zone-pair名称) source (源区域) destination (目的区域) *

  • 作用: (全局配置模式) 创建一个连接两个区域的“区域对”，并进入 zone-pair 配置模式 (config-sec-zone-pair)。策略在这里被应用。

  • 例子: zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

• service-policy type inspect (policy-map名称) *

  • 作用: (Zone-Pair 配置模式) 将之前定义的 policy-map 应用到这个区域对上。

  • 例子: service-policy type inspect IN-2-OUT-PMAP

步骤 5: 将接口分配给区域

• zone-member security (区域名称) *

  • 作用: (接口配置模式) 将当前接口指定为某个安全区域的成员。

  • 例子: interface g0/1 -> zone-member security IN-ZONE

1.3. ZPF 验证

• show policy-map type inspect zone-pair sessions *

  • 作用: (特权 EXEC 模式) 显示 ZPF 正在跟踪的所有活动会话（例如 PING, SSH, HTTP）。

2. IOS IPS (入侵防御系统) (extra)

IPS 用于深度数据包检测，以发现并阻止已知的攻击特征码 (Signatures)。

2.1. IPS 基础配置

• mkdir (目录名) *

  • 作用: (特权 EXEC 模式) 在 flash 内存中创建一个目录，用于存放 IPS 配置文件。

  • 例子: mkdir ipsdir

• ip ips config location (flash:目录名) (extra)

  • 作用: (全局配置模式) 告诉 IPS 在哪里存储和查找其配置。

  • 例子: ip ips config location flash:ipsdir

• ip ips name (规则名称) *

  • 作用: (全局配置模式) 创建一个 IPS 规则集。

  • 例子: ip ips name iosips

• logging (Syslog服务器IP) (extra)

  • 作用: (全局配置模式) 将路由器的日志（包括 IPS 警报）发送到指定的 Syslog 服务器。

  • 例子: logging 192.168.1.50

• service timestamps log datetime (extra)

  • 作用: (全局配置模式) 确保所有发送的日志都包含日期和时间戳。

2.2. IPS 特征码管理

• ip ips signature-category (extra)

  • 作用: (全局配置模式) 进入特征码类别配置模式 (config-sig-category)。

• category (类别名称) (extra)

  • 作用: (特征码类别配置模式) 选择一个特征码类别（如 all 或 IOS_IPS Basic）并进入该类别的配置模式 (config-sig-category-cat)。

  • 例子: category all

• retired true / retired false (extra)

  • 作用: (特征码类别配置模式) true 禁用该类别中的所有特征码；false 启用该类别中的所有特征码。

• signature (特征码ID) (子ID) (extra)

  • 作用: (特征码类别配置模式) 选择一个特定的特征码进行修改，并进入该特征码的配置模式 (config-sig-sig)。

  • 例子: signature 2004 0 (选择 ICMP echo-request 特征码)

• event-action produce-alert / event-action drop-packet (extra)

  • 作用: (特征码配置模式下的 event-action 子模式) 修改特征码的动作。produce-alert (产生警报) 和 drop-packet(丢弃数据包)。

2.3. IPS 应用与验证

• ip ips (规则名称) (in | out) *

  • 作用: (接口配置模式) 将一个 IPS 规则集应用到接口的入站 (in) 或出站 (out) 方向。

  • 例子: interface g0/1 -> ip ips iosips out

• show ip ips all *

  • 作用: (特权 EXEC 模式) 显示 IPS 的配置和状态摘要。

🛡️ ZPF 与 ACL 配置查询（命令小文档）

1. 查看整体配置 (The Big Picture)

这是最直接但信息也最“杂乱”的方法。它会显示路由器上所有的配置。

Cisco CLI

show running-config

⭐ Pro-Tip (专业技巧): 使用 show run 配合管道 (|) 过滤你关心的部分，这比看全部配置要快得多。

• 只看 Class Map 部分: show running-config | section class-map

• 只看 Policy Map 部分: show running-config | section policy-map

• 只看 Zone 部分: show running-config | section zone

• 只看 ACL 部分: show running-config | section access-list

2. 查询 ACL (Access Control Lists)

这条命令专门用于查看你创建的所有访问控制列表（ACL）及其内容。

Cisco CLI

show access-lists

• 你会看到什么:

  • 你创建的每一个 ACL 的编号或名称 (例如 ACL-DHCP)。

  • ACL 内部的每一条 permit 或 deny 语句。

  • (最重要) 每一条规则被命中（Match）了多少次。这个“命中计数”是排错的黄金标准，如果数字一直是 0，说明流量根本没到你这里。

Shell

! 示例输出 R1# show access-lists Extended IP access list ACL-DHCP 10 permit udp any any eq bootps (6 matches) 20 permit udp any any eq bootpc (4 matches)

3. 查询 ZPF 防火墙组件 (The "Maps")

ZPF 是由 4 个组件构成的，你需要按顺序检查它们。

3a. class-map (查询“积木”)

查看你定义了哪些“流量积木”（例如 CMAP-WEB, CMAP-ICMP）。

show class-map type inspect

• 你会看到什么:

  • 所有 inspect 类型的 class-map 列表。

  • 每个 class-map 匹配的协议（例如 match protocol http）。

  • 它是 match-any 还是 match-all。

3b. policy-map (查询“规则手册”)

查看你如何将“积木”组合成“策略”（例如 PMAP-TO-INTERNET）。

show policy-map type inspect

• 你会看到什么:

  • 所有 inspect 类型的 policy-map 列表。

  • 每个 policy-map 包含了哪些 class-map。

  • 对每个 class-map 采取的动作（例如 inspect 或 drop）。

3c. zone (查询“区域”)

查看你的路由器接口被划分到了哪些区域。

show zone security

• 你会看到什么:

  • 你创建的所有安全区域列表（例如 ZONE-DESIGN, ZONE-PM）。

  • (最重要) 每一个区域包含了哪些路由器接口（例如 GigabitEthernet0/0/1）。

  • 如果一个接口不在这里，它就不受 ZPF 保护（或阻挡）。

3d. zone-pair (查询“通行证”)

这是 ZPF 排错的核心！ 它告诉你哪个区域被允许访问哪个区域，以及它们使用了哪套“规则手册”。

show zone-pair security

configure terminal ! 1. 进入你想修改的 class-map class-map type inspect match-any CMAP-WEB ! 2. 在规则前加上 no 来删除它 no match protocol http exit end

示例 2： 从 PMAP-TO-INTERNET 策略中移除对 CMAP-ICMP (Ping) 的检查

configure terminal ! 1. 进入你想修改的 policy-map policy-map type inspect PMAP-TO-INTERNET ! 2. 在规则前加上 no 来删除它 no class type inspect CMAP-ICMP exit end

B. 如何 彻底删除 整个 Map

你可以使用 no 命令 + 你创建它时的命令，来彻底删除一个 map。

configure terminal

! 删除一个 Class-Map no class-map type inspect CMAP-WEB

! 删除一个 Policy-Map no policy-map type inspect PMAP-TO-INTERNET

! 删除一个 ACL no ip access-list extended ACL-DHCP

🧠 Cisco Packet Tracer 命令速查表 (Cisco Packet Tracer Command Cheat Sheet)

🧩 一、基础命令结构 (Basic CLI Structure)

Cisco IOS（Internetwork Operating System）命令层级：

⚙️ 二、Router（路由器）配置命令 (Router Configuration Commands)

1️⃣ 设置主机名与密码 (Hostname & Passwords)

Router> enable
Router# configure terminal
Router(config)# hostname CustomerRouter
CustomerRouter(config)# enable secret Class123
CustomerRouter(config)# line console 0
CustomerRouter(config-line)# password Cisco123
CustomerRouter(config-line)# login
CustomerRouter(config-line)# exit
CustomerRouter(config)# service password-encryption
CustomerRouter(config)# banner motd #Unauthorized access is prohibited!#

📘 说明：

• enable secret：设置特权模式密码（加密保存）

• line console 0：设置控制台访问密码

• banner motd：设置登录提示信息

2️⃣ 配置接口 IP 地址 (Interface IP Configuration)

CustomerRouter(config)# interface g0/0
CustomerRouter(config-if)# ip address 192.168.0.1 255.255.255.192
CustomerRouter(config-if)# no shutdown
CustomerRouter(config-if)# exit

CustomerRouter(config)# interface g0/1
CustomerRouter(config-if)# ip address 192.168.0.65 255.255.255.192
CustomerRouter(config-if)# no shutdown
CustomerRouter(config-if)# exit

📘 说明：

• no shutdown：启用接口（默认关闭）

• ip address <addr> <mask>：设置接口 IP

3️⃣ 保存配置 (Save Configuration)

CustomerRouter# copy running-config startup-config

或简写：

wr

📘 说明：

• running-config：当前运行配置

• startup-config：开机加载配置

🖧 三、Switch（交换机）配置命令 (Switch Configuration Commands)

1️⃣ 设置 VLAN 1 管理 IP (Set VLAN 1 IP)

Switch> enable
Switch# configure terminal
Switch(config)# interface vlan 1
Switch(config-if)# ip address 192.168.0.2 255.255.255.192
Switch(config-if)# no shutdown
Switch(config-if)# exit
Switch(config)# ip default-gateway 192.168.0.1
Switch(config)# end
Switch# wr

📘 说明：

• interface vlan 1：虚拟管理接口

• ip default-gateway：设置交换机管理流量网关

2️⃣ 查看交换机信息 (View Switch Info)

Switch# show ip interface brief
Switch# show vlan brief
Switch# show running-config

💻 四、PC（终端）配置命令 (PC Configuration)

在 Packet Tracer PC 的 Desktop → IP Configuration 页面中输入：

🔍 五、测试与验证命令 (Testing & Verification)

1️⃣ 查看接口状态

Router# show ip interface brief

2️⃣ 查看路由表

Router# show ip

🧭 Cisco Packet Tracer VLAN Configuration Command Dictionary

思科 VLAN 配置指令词典（Cisco VLAN Configuration Command Dictionary）

🧩 一、VLAN 基础命令（VLAN Basic Commands）

🧩 二、接口模式配置（Interface Mode Configuration）

🧩 三、语音 VLAN 配置（Voice VLAN Configuration）

🧩 四、Trunk 配置（Trunk Configuration）

🧩 五、三层交换机 VLAN 间路由（Inter-VLAN Routing on Layer 3 Switch）

若不同 VLAN 间需要互通（Ping 成功），需配置三层接口（SVI, Switched Virtual Interface）。

示例：

interface vlan 10
 ip address 172.17.10.1 255.255.255.0
 no shutdown
interface vlan 20
 ip address 172.17.20.1 255.255.255.0
 no shutdown
ip routing