telnet server enable //开启telnet功能
user-interface vty 0 4 //开启登录端口0-4
protocol inbound telnet //通过telnet协议登录
authentication-mode aaa //认证方式为aaa
aaa //启用aaa
local-user admin123 password admin123 //配置用户名和密码
local-user admin123 service-type telnet //用户用于telnet
local-user admin123 privilege level 15 //用户等级为15
dhcp enable //启用dhcp服务
ip pool 1 //创建IP地址池1
network +网络地址 mask +掩码 //配置地址池范围
dns-list +dns的IP地址
gateway-list +ip地址 //配置网关
excluded-ip-address +ip地址 //保留IP地址
lesae+ 数字 //配置租用时间
domian-name+名字 //域名
配置vlanif10接口下的客户端从全局地址池ip pool 1 中获取IP地址
interface valnif10
ip address +ip地址 +子网掩码 //配置vlan网关
dhcp select global/interface //全局或接口用dhcp服务
ACL访问控制列表
time-range workday +时间 to 时间 workding-day //配置时间段,周一到周五的什么时间到什么时间
acl 2000 //启用编号为2000的acl
rule permit source +ip地址 +反掩码 time-range workday //只允许ip可访问
rule deny //拒绝
interface +接口 //进入接口
acl 2000 inbound //在接口上应用acl
高级ACL
[Router]acl 3000 //创建高级ACL
[Router-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 19
2.168.3.100 0 //写拒绝条目
[Router]int g0/0/2 //在接口上应用ACL
[Router-GigabitEthernet0/0/2]traffic-filter outbound acl 3000
NAT地址转换
nat address-group 1 2.2.2.100 2.2.2.200 //配置NAT地址池1
nat address-group 2 2.2.2.80 2.2.2.83 //配置NAT地址池2
acl 2000
rule 5 permit source 192.168.20.0 0.0.0.255 //设置acl2000编号为5的规则,允许上述源地址通过
acl 2001
rule 5 permit source 10.0.0.0 0.0.0.255 //设置acl2000编号为5的规则,允许上述源地址通过
interface +接口 //进入接口
nat outbound 2000 address-group 1 no-pat //将设置acl2000匹配的源地址,转换为地址池1的地址,并不开启端口NAT
nat outbound 2001 address-group 2 //将设置acl2001匹配的源地址,转换为地址池2的地址
静态NAT
nat static global 122.1.2.2 inside 192.168.1.2 //一对一的地址映射 122是外部 192.是内部 外在前内在后
nat static enable //进入接口,应用在接口上
ip route-static 0.0.0.0 0 13.1.1.2
NAT Server
在路由器上配置NAT Server将内网服务器192.168.1.10的80端口 映射的公网地址122.1.2.1的80端口
nat server protocol tcp global 122.1.2.1 www inside 192.168.1.10 80
配置步骤
- interface +接口
2.ip address +外网ip地址 +子网掩码
3. nat server protocol tcp global 外网ip地址 +80 inside 内网ip地址+80 //将外网的ip地址的80端口映射到内网ip地址的80端口
动态NAT配置步骤
1.配置公网地址池
nat address-group 1 12.1.1.2 12.1.1.10 //第一个1,是名字
2.创建ACL
acl 2000
rule 10 permit source 192.168.1.0 0.0.0.255
3.去应用到接口上去
nat outbound 2000 address-group 1 no-pat //将acl2000与address-group 1 进行匹配转换,no-pat 表示不进行端口转换
端口NAT
[AR1]nat address-group 1 12.1.1.2 12.1.1.2 //只配置了一个地址
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
注意没有加no-pat
Easy IP
interface +接口
nat outbound 2000 //直接在端口上配置,将acl2000 上的直接转换为端口上的IP地址
配置VRRP
1.创建VRRP备份组配置虚拟ip地址
coresw1上配置
[coresw1]interface vlanif 10
[coresw1-Vlanif10]
[coresw1-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254 //配置虚拟ip地址
[coresw1-Vlanif10]vrrp vrid 10 priority 120 //优先级越大越优,最大255
[coresw1-Vlanif10]vrrp vrid 10 preempt-mode timer delay 20 //抢占延时(0表示立即抢占)
[coresw1-Vlanif10]q
vrrp vrid 10 preempt-mode timer disable //非抢占模式
vrrp master设备周期性向backup设备发送 224.0.0.18的保活报文
[AR1]load-balance src-ip //基于源IP的负载均衡 ,它不是基于单个包去做的负载均衡
[AR1]ip route-static 0.0.0.0 0 13.1.1.2 preference 100 //调动优先级,优先级越小越优
BFD应用
bfd //开启BFD
quit //退出
配置R1与R2之间的BFD session
R1上:
bfd bfd R2 bind peer-ip +R2的ip地址 source-ip +R1的ip地址 //R2上的配置地址与之相反
discriminator local 11 //创建本地标识符
discriminator remote 22 //创建远端标识符
commit //使用commit关键字是BFD生效
quit //退出
ip route-static +2.2.2.0 24 12.1.1.2 track bfd-session bfd R1 R2 //配置静态路由且跟踪bfd R1 R2,即当12.1.1.1与12.1.1.2通信失败时,配置的这条静态路由会从路由表中删除
display bfd session all //查看BFD状态
使用单臂回声方式实现BFD,只在R1配置BFD检测即可,R2不用做配置
步骤:
bfd //全局下开启bfd
q //退出全局
bfd 123 bind peer-ip 12.1.1.2 source-ip 12.1.1.1 one-arm-echo //创建bfd单臂回声会话
discriminator local 123 //本地会话号(类似于本地AS号)可以一样也可以不一样
/bfd session-name bind peer-ip peer-ip[ vpn-instance vpn-instance-name ] interface interface-type interface-number [ source-ip ip-address ] one-arm-echo,创建单臂回声功能的BFD会话。
缺省情况下,未创建单臂回声功能的BFD会话/
总结:
[AR1]
[AR1]bfd 1 //命名 为1
[AR1]
[AR1]bfd 1 bind
[AR1]bfd 1 bind peer-ip 12.1.1.2 source-ip 12.1.1.1 auto //检测对端的设备IP 自己的设备IP
auto是自动协商
[AR1-bfd-session-1]commit //BFD生效命令
[DX]bfd 1 bind peer-ip 12.1.1.1 source-ip 12.1.1.2 auto //这个两边都要写
[AR1]ip route-static 0.0.0.0 0 12.1.1.2 track bfd-session 1 //跟踪PFD,当此条pfd不通是,这条路由就删掉
配置RIP协议
rip 1
version 2
network +网络地址 //将本地路由器连接的网络宣告到rip 1进程中,只能宣告主类网络
配置OSPF协议
ospf 1
area 0 //主要区域0
network +网络地址 +反掩码 //将本地路由器连接的网络宣告到ospf 1进程中
display ospf peer brief //查看邻居建立的关系
filter-policy +acl的编号 import //通过指定访问控制列表ACL来对要加入到路由表的信息进行过滤
例如:
ospf 1
filter-policy 2000 import
import-route direct //将直连路由引入到OSPF网络中
filter-policy 2000 export rip 1 //通过指定访问控制列表ACL2000来对引入OSPF的RIP路由信息进行过滤
场景1:
通过配置R3的OSPF路由发布策略,仅发布生产网段和办公室网段,不发布财务专网,以防止公司总部其他网段或分公司对财务专网的访问
配置地址前缀列表3to2(R3上)
ip ip-prefix 3 to 2 index 10 permit 10.1.0.0 24 //办公室网段
ip ip-prefix 3 to 2 index 20 permit 10.5.0.0 24 //生产网段
配置发布策略,引用地址前缀列表3to2进行过滤(R3上)
ospf 1
area 0
network 192.168.23.0 0.0.0.255
filter-policy ip-prefix 3to2 export static
配置BGP
[R3]bgp 100
[R3-bgp]peer 34.1.1.2 as-number 200
[R4]bgp 200
[R4-bgp]peer 34.1.1.1 as-number 100
[R4-bgp]peer 45.1.1.2 as-number 200
[R5]bgp 200
[R5-bgp]peer 45.1.1.1 as-number 200
[R4]display bgp peer //查看通过bgp是否学到路由
在bgp内要手动导入路由(手动宣告)
[R5-bgp]ipv4-family unicast //表示ipv4单播路由
[R5-bgp-af-ipv4]network 200.1.1.0 24 //网段+掩码
将网段宣告到bgp200的进程里,这样R4就可以通过ibgp学到路由
将bgp的路由引入ospf内
[R3]ospf 1
[R3-ospf-1]import-route bgp //在R3上敲命令,引入bgp路由
还可以引入:
bgp Border Gateway Protocol (BGP) routes
direct Connected routes
isis Intermediate System to Intermediate System (IS-IS) routes
limit Limit the number of routes imported into OSPF
ospf Open Shortest Path First (OSPF) routes
rip Routing Information Protocol (RIP) routes
static Static routes
unr User Network Routes
2.现在要将ospf的路由引入bgp内(将去100.1.1.0网段的路由引入R5)
[R3]bgp 100 //在bgp100内引入了ospf进程1的路由
[R3-bgp]import-route ospf 1
2.在R4上
[R4]bgp 200
[R4-bgp]peer 45.1.1.2 next-hop-local //将下一跳设置成自己,是将所有的下一跳改成自己
next-hop-invariable Send original next hop for routes advertised to the peer
next-hop-local Specify local address as the next hop of routes
advertised to the peer
IPSec VPN配置步骤:
1.配置网络可达
2.配置ACL识别兴趣流
3.创建安全提议----IPSec 安全提议
4.创建安全策略
5.应用安全策略
第一步略
[R1]acl 2000 //配置ACL
[R1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255
[R1-GigabitEthernet0/0/2]int g0/0/2 //将ACL应用到出接口
[R1-GigabitEthernet0/0/2]nat outbound 2000
acl 3000
[R1-acl-adv-3000]rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192
.168.20.0 0.0.0.255 //第一个是源, 第二个是目的
[R2]acl 3000 //对端也配置ACL3000
[R2-acl-adv-3000]rule 10 permit ip source 192.168.20.0 0.0.0.255 destination192.
168.10.0 0.0.0.255
创建安全提议:
[R1]ipsec proposal cd //命名为cd,ipsec proposal:IPSec提议
[R1-ipsec-proposal-cd]esp authentication-algorithm md5 //配置加密算法为md5
还有其他加密:
md5 Use HMAC-MD5-96 algorithm
sha1 Use HMAC-SHA1-96 algorithm
sha2-256 Use SHA2-256 algorithm
sha2-384 Use SHA2-384 algorithm
sha2-512 Use SHA2-512 algorithm
sm3 Use SM3 algorithm
[R1-ipsec-proposal-cd]esp encryption-algorithm des //配置认证算法为des
数据加密一般用对称加密算法
[R1]display ipsec proposal //查看命令
3des Use 3DES //对称加密算法
aes-128 Use AES-128
aes-192 Use AES-192
aes-256 Use AES-256
des Use DES
sm1 Use SM1
<cr> Please press ENTER to execute command
R2上也要配置IPSec proposal
[R2]ipsec proposal bj
[R2-ipsec-proposal-bj]esp authentication-algorithm md5
[R2-ipsec-proposal-bj]esp encryption-algorithm des
[R2-ipsec-proposal-bj]q
手动方式配置安全策略
手工配置
[R1]ipsec policy chengdu 10 manual //配置IPSEC策略chengdu,方式为手动
[R1-ipsec-policy-manual-chengdu-10]security acl 3000 //包含acl3000的流量
[R1-ipsec-policy-manual-chengdu-10]proposal cd //采用ipsec提议cd
[R1-ipsec-policy-manual-chengdu-10]tunnel local 100.1.1.1 //配置隧道本地地址
[R1-ipsec-policy-manual-chengdu-10]tunnel remote 200.1.1.1 //配置隧道远端地址
[R1-ipsec-policy-manual-chengdu-10]sa spi inbound esp 54321 //配置入方向SA编号为54321
[R1-ipsec-policy-manual-chengdu-10]sa string-key inbound esp cipher TQY //配置入方向SA的认证密钥 为TQY
[R1-ipsec-policy-manual-chengdu-10]sa spi outbound esp 12345 //配置出方向SA编号为54321
[R1-ipsec-policy-manual-chengdu-10]sa string-key outbound esp cipher TQY /配置入方向SA的认证密钥 为TQY
在接口上应用IPSec策略:
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]ipsec policy chengdu //在出接口上应用
配置VRRP实现网关冗余与切换
交换机Master VRRP配置
interface vlanif 10
vrrp vrid 10 virtual-ip 192.168.10.254 //配置vrrp虚拟路由器10,虚拟网关IP地址192.168.10.254
vrrp vrid 10 priority 120 //虚拟路由器10的优先级设置为120 默认优先级100
vrrp vrid 10 preempt-mode time delay 20 //抢占延时设置为20秒
交换机Backup VRRP配置
interface vlanif 10
vrrp vrid 10 viryual-ip 192.168.10.254 //配置vrrp虚拟路由器10,虚拟网关IP地址192.168.10
display vrrp brief //查看vrrp状态
配置策略路由(数据分流):
Step1:配置ACL,匹配流量
acl number 2010
rule 10 permit source 192.168.10.0 0.0.0.255
acl number 2020
rule 10 permit source 192.168.20.0 0.0.0.255
Step2: 流分类 (将acl要匹配的流量分类,例如哪个网段走电信,哪个网段走联通先分好类)
traffic classifier +名字
if-match acl 2010
traffic classifier +名字
if-math acl 2020
Step3:流行为(将分好类的流,定义行为,就是要往哪个接口走,或是拒绝流,或是允许流)
traffic behavior +名字
redirct ip-nexthop +ip地址 //一般这个ip地址自身设备的ip地址
deny //拒绝
permit //允许
Step4:流策略(将流分类和流行为连在一起)
traffic policy +名字 //名字是自己取得
classifier +流分类名 behavior +流行为名
Step5:在入接口应用策略路由
interface +接口
traffic-policy +流分类名 inbound
配置Eth-Trunk :
interface Eth-trunk 1
mode lacp-static
max active-linknumber 2 //最大激活链路数量为2
trunkport g0/0/ //把物理接口g0/0/1加入逻辑接口组eth-trunk 1
配置多生成树:
stp enable
stp mode mstp
stp region-configuration //进入配置模板
region-name 1 //域名为1的域
instance 10 vlan 10 //创建实例MSTI1和实例MSTI2
instance 20 vlan 20
active region-configuration // MSTP instance 用来区分VLAN用的 不同的实例可以设置不同的优先级 来实现根桥负载的功能
stp instance 10 root primary //成为Master
stp instance 20 root secondary //成为B
stp pathcost-standard legacy //端口路径开销计算方法为华为计算方法
stp instance 2 cost 20000 // GE1/0/2在实例MSTI2中的路径开销值配置为20000。
stp edged-port enable //GE1/0/1为边缘端口
stp bpdu-protection //配置BPDU保护
stp root-protection //启动根保护
配置NQA:
场景:电信 12.1.1.1 联通 23.1.1.2
nqa test-instance root icmp //定期发送ICMP检测网络出口是否正常
test-type icmp
frequency 10
probe-coint 2
destination-address ipv4 12.1.1.1
start now
ip route-static 0.0.0.0 23.1.1.2
ip route-static 0.0.0.0 12.1.1.1 preference 10 track nqa root icmp //配置两条默认路由,分别指向电信和联通,用户主要通过电信出口访问互联网,如果电信挂了,切换到联通出口
无线认证配置:
1.配置ATM接口
interface atm +接口编号
pvc voip 1/35 //创建PVC(ATM虚电路)
map ppp virtual-template 10 //配置PVC上的pppoA映射
quit //退出
standby interface celluar+接口 //创建虚拟接口
配置APN与网络的连接方式
apn profile 3gprofile
apn wcdma
quit
interface celluar +接口
mode wcdma wcdma-only //配置3G modem
dialer enable-circular //使用轮询DCC功能
apn -profile 3gprofile //配置3G Cellular接口绑定APN模板
敏捷分布式组网:
1.创建AP组,用于将配置相同的AP都加入同一AP组
wlan
ap-group name ap-group1 //这里以ap-group1为例子
quit
2.创建域管理模板,在域管理模板下配置AC的国家代码并在AP组下引用域管理模板
regulatory-domain-profile name defult
country-code CN //AC的国家代码为中国
quit
ap-group name ap-group1
regulatory-domain-profile name defult
quit
quit
capwap source interface +源接口
在AC上离线导入中心AP和RU,并将其加入AP组“ap-group1”中。假设中心AP的MAC地址为68a8-2845-62fd,命名为central_AP,RU的MAC地址为fcb6-9897-c520和fcb6-9897-ca40,分别命名为ru_1和ru_2
[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 68a8-2845-62fd
[AC-wlan-ap-0] ap-name central_AP
Warning: This operation may cause AP reset. Continue? [Y/N]:y
ap-group ap-group1
quit
[AC-wlan-view] ap-id 1 ap-mac fcb6-9897-c520
[AC-wlan-ap-1] ap-name ru_1
Warning: This operation may cause AP reset. Continue? [Y/N]:y
[AC-wlan-ap-1] ap-group ap-group1
quit
将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线。
display ap all
- 创建名为“wlan-net”的安全模板,并配置安全策略。
举例中以配置WPA-WPA2+PSK+AES的安全策略为例,密码为“a1234567”,实际配置中请根据实际情况,配置符合实际要求的安全策略。
[AC-wlan-view] security-profile name wlan-net
[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase a1234567 aes
quit
创建名为“wlan-net”的SSID模板,并配置SSID名称为“wlan-net”
[AC-wlan-view] ssid-profile name wlan-net
[AC-wlan-ssid-prof-wlan-net] ssid wlan-net //这里是设置SSID名称的
[AC-wlan-ssid-prof-wlan-net] quit
创建名为“wlan-net”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板和SSID模板
vap-profile name wlan-net
[AC-wlan-vap-prof-wlan-net] forward-mode tunnel
[AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 101
[AC-wlan-vap-prof-wlan-net] security-profile wlan-net //应用安全模板
[AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net //应用SSID模板
[AC-wlan-vap-prof-wlan-net] quit
配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板“wlan-net”的配置。
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1
[AC-wlan-ap-group-ap-group1] quit
display vap ssid wlan-net //
display station ssid wlan-net //可以查看到用户已经接入到无线网络“wlan-net”中
知识点:
场景1. 无线WLAN需要覆盖的区域分为:室外操场/广场、学术报告厅、学生宿舍、中小型办公室
为确保覆盖效果最佳,应选用哪些AP 室外AP 、 高密AP、 分布式AP、 墙面AP
实现用户无线漫游,要配置:AC或无线控制器
为了满足《网络安全法》,用户上网及NAT日志信息至少保存
个月,应当部署:日志审计
场景2. 校总部与分校通过IPSec VPN互联,IKE密钥协商阶段一般通过______协议进行安全密钥交换
IPSec封装有___和_____两种模式,其中____模式需要封装新的IP头
AH 、传输 、 隧道 隧道
IPSec协议 功能 代表协议
AH 数据完整性和源认证 MD5、SHA
ESP 数据加密 DES、 3DES、AES
IKE 密钥生成和分发 DH
原始报文: | 原来的IP头| TCP | 数据 |
传输模式: | 原来的IP头| AH | TCP | 数据 |
隧道模式: | 新的IP头 | AH | 原来的IP头 | TCP | 数据 |
存储系统可以通过RAID技术来提升____和_____ //数据读写性能/性能、数据安全性
简述存储系统1和存储系统2的区别,各有什么优劣势,一般用你于什么场景或业务
答:
存储系统1:FC-SAN
存储系统2:IP-SAN
FC-SAN成本更高,小块数据吞吐能力更强, 一般用于数据业务
IP-SAN成本更低, 支持的带宽较大,一般用于音视频等数据量大,对带宽要求高的业务
场景3:
如果DHCP服务器跟客户机不在同一网段,客户机不能获取IP地址,原因是_____,要解决这个问题可以使用___
答: DHCP discover是广播报文,广播不能跨网段通信,DHCP服务器不能收到客户机的报文,故不呢个正常分配IP地址
DHCP中继技术
公司部分用户反馈不能正常上网,经排查发现,192网段地址的用户能正常上网,不能正常上网的用户获取的IP地址为10网段的,但DHCP服务器没有配置10网段的地址池,出现这个问题发原因是?入口解决?
答: 网络中私接路由器,且开启了DHCP功能,部分用户从私接路由器获得了IP地址
交换机开启DHCP S,将连接用户的接口设置为untrust
场景4:
大二层组网
(1)校园网采用大二层组网结构,信息中心计划对核心交换机采用堆叠技术,请简述堆叠技术的优点和缺点
优点:逻辑上变为一台设备,简化网络管理
提升系统可靠性,避免单点故障
配合链路聚合等技术,防止接口被生成树阻塞,提升链路利用率
缺点: 堆叠技术是私有协议,不支持跨厂商设备堆叠
系统升级会造成业务中断
多台设备堆叠,只有一个主控处于工作状态,存在资源浪费
(2)网络试运行一段时间后,在二层网络中发现了大量的广播报文,影响网络的性能。网络管理员在接入层交换机做了如下配置解决了问题:
int g0/0/3
broadcast-suppression 80
quit
问题:简述以上配置的功能
答: 默认情况下,不对广播流量进行抑制。当广播流量所占该端口传输能力的80%时,系统将会丢弃超出限制的报文,从而使广播流量所占的流量比例降低到限定的范围,保证网络业务的正常运行
场景5:
从算法原则、适用范围、功能特性三个方面简述RIP和OSPF的区别
答:(1)RIP使用距离矢量算法,通过学习其他路由器发布的路由表信息,生成路由表。
OSPF首先获取全网的拓扑信息,然后利用SPF最短路径优先算法,生成路由表
(2)RIP一般适用于中小型网络
OSPF适用于中大型网络
(3)RIP和OSPF都是动态路由协议,可以根据拓扑变化更新路由表。
RIP配置简单,功能也相对简单,收敛速度慢,易形成环路
OSPF支持层次化组网,网络优化、等价负载均衡、报文加密等功能
版权归原作者 ,放慢心跳 所有, 如有侵权,请联系我们删除。