模式切换:
- 思科 - Switch>enable //用户模式 - Switch#config terminal //特权模式 - Switch(config)# //配置模式 - Switch#write //保存配置 - 华为 - <Huawei>system-view //用户模式 -[Huawei] //配置模式/全局模式 -[Huawei]quit //推到上一级 -<Huawei>save //保存配置
设置:
- 思科 - Switch(config)#hostname name //修改名称 -Switch#show running-config //查看配置 - 华为 - [Huawei]sysname name //修改设备名称 -<Huawei>display current-configuration //查看配置
VLAN:
- 思科 - Switch(config)#vlan ‘ID’ //创建vlan - Switch(config)#no vlan ‘ID’ //删除vlan - Switch(config-VLAN)#name ‘name’ //重命名为name - Switch#show vlan //查看配置信息 - Switch(config)#interchport f0/1 //进入端口f0/1 - Switch(config-if)#switchport mode access/trunk - Switch(config-if)#switchport access vlan 10 //将接口划分给vlan10 - 三层交换机实现vlan间通信 - Switch(config)#ip routing - Switch(config)#interface vlan 10 //进入端口f0/1 - Switch(config-if)#ip address ip地址 子网掩码 - 华为 - [Huawei]vlan 10 - [Huawei]vlan batch 3 to 10 //批量创建vlan3-10 - [Huawei-GigabitEthernet0/0/1]port link-type access //修改 - [Huawei-GigabitEthernet0/0/1]port default vlan 10 //加入vlan10 - [Huawei]dis vlan //查看vlan
安全加固
思科设备配置 console口加密(密码组合) R1(config)#line console 0 //进入console口命令 R1(config-line)#password 123 //配置密码 R1(config-line)#login 进入特权模式密码 R1(config)#enable password 456 //明文 不推荐 R1(config)#no enable password //删除前面配置的密码 R1(config)#enable secret 456 //加密 设备远程登录配置: 1.Telnet远程登录(不推荐,且关闭23口,明文传输账号密码): //远程登录时 一定要配置进入特权模式的密码 否则无法进入特权模式 在同一个网段 R1(config)#line vty 0 4 //进入vty虚拟线路 R1(config-line)#password 123456 //设置密码 R1(config-line)#login R1(config-line)#transport input telnet //允许使用Telnet协议 2.ssh远程登录(密文 推荐) //需要修改设备默认名称和设置特权模式密码 同一个网段 R1(config)#ip domain-name admin.com //设置域名 R1(config)#crypto key generate rsa //设置加密为rsa R1(config)#username admin password 123456 //设置本地账户 R1(config)#line vty 0 4 //进入vty虚拟线路 R1(config-line)#transport input ssh //开启ssh R1(config-line)#login local //启用本地账户 华为设备配置 1.console加密 [R2]user-interface console 0 [R2-ui-console0]authentication-mode password/aaa认证 [R2]user-interface console 0 [R2-ui-console0]authentication-mode aaa [R2]aaa //进入aaa用户组 [R2-aaa]local-user admin password cipher 456 //创建账号密码 [R2-aaa]local-user admin service-type terminal //设置服务类型 [R2-aaa]local-user admin privilege level 15 //设置用户等级 2.设置Telnet远程登录 [R2] Telnet server enable //开启Telnet [R2]user-interface vty 0 4 [R2]authentication-mode password [R2]protpcol inbound telnet //允许使用Telnet协议远程登录 [R2]user privilege level 15 aaa认证进行配置 [R2] Telnet server enable //开启Telnet [R2]user-interface vty 0 4 [R2]authentication-mode aaa [R2]protpcol inbound telnet [R2]aaa //进入aaa用户组 [R2-aaa]local-user admin password cipher 456 //创建账号密码 [R2-aaa]local-user admin service-type terminal //设置服务类型 [R2-aaa]local-user admin privilege level 15 //设置用户等级 3.ssh远程登录配置: 服务端配置: [R3]stelnet server enable //开启ssh远程登录服务 [R2]user-interface vty 0 4 [R2]authentication-mode aaa [R2]protocol inbound ssh [R2]aaa //进入aaa用户组 [R2-aaa]local-user admin password cipher 456 //创建账号密码 [R2-aaa]local-user admin service-type ssh //设置服务类型 [R2-aaa]local-user admin privilege level 15 //设置用户等级 客户端: ssh client first-time enable stelnet IP地址
静态路由 路由表查看命令 思科 show ip route 华为 display ip routing-table 路由协议:静态路由协议和动态路由协议 路由分类: 1.直连路由,三层设备本身自己有的网段 2.静态路由,由管理员或者用户自己添加到三层设备上的路由信息 3.动态路由,由三层设备之间进行交换得到的路由信息 三层设备收到数据包后: 1.解封装数据包 2.查看该数据包中地址 3.查找三层设备的路由表 4.如果这个路由表中没有去往目标地址的相关信息,丢弃数据包 华为静态路由 ip route-static 目标网段 子网掩码 下一跳地址/出接口【preference】【num】 AD值 越低优先级越高 默认60 ip route-static protocol 路由协议 //选择查看指定路由协议表 华为使用出接口配置时,需要在下一个接口中开启ARP代理 //arp-proxy enable 特殊的静态路由:默认路由/缺省路由 环回口:测试接口/虚拟接口 int LoopBack 1 浮动路由:备份 主从关系 设置优先级
动态路由
动态路由-OSPF动态路由协议 根据路由所执行的算法分类:距离矢量路由协议(RIP,IGRP),链路状态路由协议(OSPF,IS-IS),混合型:EIGRP(早期思科私有,2013年公有化) OSPF(开放最短路径优先协议)是一个公有协议,属于链路状态路由协议;以组播地址的方式发送路由环境拓扑。 链路:指加入ospf接口相关信息 状态:指的是本台设备有哪些ospf邻居 优点:100%避免路由环路,收敛快,拓展性强,支持认证 OSPF区域:1.骨干区域(area) 2.常规区域(除area 0以外) 路由器ID:router ID(RID) 用来唯一标识某一台ospf路由器 RID选举 OSPF【五个报文】 hello:用于维持和建立邻居关系 DBD:链路状态数据库 LSR:链路状态请求报文 LSU:链路状态更新报文 LSAck:确认报文 【三张表】 1.邻居表:主要是与邻居发送链路状态的依据 display ospf peer brief show ip ospf in 2.拓扑表:存储本网络所有路由器的链路状态,更新时发送的就是链路状态数据库 display ospf lsdb ///show ip router data 3.路由表:对链路状态数据库使用最短优先路径算法形成到达所有网段的最短路径display ip routing-table 思科10s发送一次hello包,dead时间40s DR和BDR //display ospf interface DR:指定路由器 BDR:备份路由器 DRTHOR:其他路由器 DR和BDR的选择在同一个网段,且只有在广播多路访问环境下才有DR/BDR的概念 OSPF的拓扑类型: 1.以太网链路:广播多路访问环境 2.串行链路:点对点 DR选举 1.非抢占式() 2.优先级:以太网链路为1,串行线为0,0表示不参与 3.如果优先级相同,比较RID,大的优先 4.选举DR和BDR,先选举BDR。如果环境没有DR则升级为DR,然后再从剩下的路由器中选举BDR 华为ospf配置 ospf 110 //启用ospf进程号110 ospf 110 router-id 1.1.1.1 //启用ospf进程号并制定rid area 0 //进入骨干区 network 12.12.12.0 0.0.0.255 //宣告网段 ----- int g0/0/0 ospf enable 110 area 0 //接口级通告 reset ospf process //重启ospf.用户 int g0/0/1 ospf dr-priority 100 //修改优先级 思科ospf配置 router ospf 110 network 12.12.12.0 0.0.0.255 area 0 router-id 1.1.1.1 int g0/0 ip ospf 110 area 0 //接口级通告 clear ip ospf process //特权模式 ip ospf priority 100 //修改优先级
交换机
二层交换 交换机三大作用: 1.mac地址学习:泛洪学习 2.数据帧的转发和过滤:如果表上有mac地址,不会发送给其他人 3.放环:STP协议(生成树协议) 环路会产生广播风暴,会严重影响设备性能 设备收到多个相同的数据帧,因此进行多次回复 MAC地址表不稳定 VLAN(虚拟局域网):1-4094 vlan1:用于交换机远程管理 vlan1002-1005:其他用途(思科) 交换机接口两种模式 1.access模式(接入模式):独属于具体vlan 2.trunk模式(主干模式):承载任何vlan的流量,不属于具体vlan 华为 vlan 10 //创建vlan 10 vlan batch 10 20 //批量创建vlan 10 20 port link-type access //设置access模式 port default vlan 10 //允许vlan10流量通过 port link-type trunk //设置成trunk模式 port trunk allow-pass vlan all //允许所有流量通过 单臂路由和SVI 使用条件:不同局域网之间进行通信 路由器:用子接口 int g0/0/0.10//进入接口 ip address 192.168.1.254 24 //配置ip dot1q termination vid 10 //接收vlan10的数据 arp broadcast enable //开启arp 交换机:用SVI接口,交换机需打开路由功能 int vlanif 10 ip add 192.168.1.254 24
DHCP
动态主机配置协议 概念:将IP地址自动分配给客户端 四个报文: discover包:主机向本区域内发送的请求IP的一个报文广播 offer包:区域内的DHCP服务器收到请求后,给主机发送报文(IP地址,子网掩码,DNS服务地址) request包:主机给服务器发送正式请求 ACKnowledge包:对request包进行确认 #华为设备: dhcp enable DHCP地址池两种分配方式 1.本地地址池分配 ip pool vlan10 //创建名为vlan10的地址池 network 192.168.10.0 mask 24 //宣告分配网段 gateway-list 192.168.10.254 //网关 dhcp enable dhcp select global //在接口下选择本地DHCP服务 2.接口下直接分配 dhcp select interface //接口下,按照IP配置直接生成 #思科设备: ip dhcp pool vlan10 network 192.168.10.0 255.255.255.0 default-router 192.168.10.254
以太网通道技术/链路捆绑
概念:将多个物理接口捆绑成一个接口,聚合的链路带宽就是捆绑链路的总带宽和,提升传输效率。 LACP:链路聚合控制协议 协商模式: 成员接口和成员链路:组成eth-trunk接口的每个物理接口称成员接口,成员接口对应的链路称为成员链路 活动接口和活动链路:活动接口又叫做选中接口,是参与数据转发的成员接口,活动接口对应的链路称为活动链路 非活动接口和非活动链路 LACP优先级默认为32768,越小越优先,优先级一致,用MAC选择主动边,MAC越小越优先 #华为设备 int Eth-Trunk 0 mode lacp-static trunkpork g 0/0/1 0/0/2 0/0/3 //接口类型必须相同 trunkpork g 0/0/1 to 0/0/3 //链路捆绑 port link-type trunk port trunk allow-pass vlan all display eth-trunk 0 //查看链路捆绑状态 max active-linknumbet 2 //设置最大活动数为2 lacp priority 1000 //全局模式,修改lacp优先级 #思科配置 Switch(config)#int range f0/1-3 Switch(config-if-range)#switchport trunk encapsulation dot1q Switch(config-if-range)#switchport mode trunk Switch(config-if-range)#channel-group 1 mode active Switch(config)#int port-channel 1 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk
MAC地址泛洪攻击
利用MAC地址学习功能且每台交换机记录地址有限 往交换机发送无效数据,并且数据中源MAC地址一直改变,到达一定程度,前面合法mac地址溢出,导致记录表中都变成无效MAC地址 解决方案:交换机端口安全 #华为设备 1.进入端口-进行mac地址绑定 port-security enable port-security mac-address sticky port-security mac-address sticky ‘MAC地址’ vlan 100 port-security protect-action +protect //保护浏览,忽略非法浏量 +restrict //限制流量,忽略非法流量,并报警 +shutdown //遇见非法流量,直接shutdown 2.限制mac最多学习几条 port-security max-mac-num 20 #思科设备 1.进入端口 switchport port-security mac-address switchport port-security violation?三种模式 2.限制最大学习数 switchport port-security maximum 10 最大学习数
VRRP
虚拟路由器冗余协议 HSRP思科私有 三个状态 1.init---初始化状态 2.master---活跃状态,承当虚拟网关 3.backup---备份状态 选举为抢占式 默认情况下,看优先级,优先级相同,看IP地址 优先级高为master 优先级相同,IP地址大为master .. dis vrrp //查看vrrp int vlan 10 vrrp vrid 1 virtual-ip 192.168.10.252 //设置虚拟网关 vrrp vrid 2 priority
ACL:访问控制列表
ACL是由一系列的permit/deny语句组成的有序规则列表 ACL是一个匹配工具,能够对报文进行匹配和区分 ACL的应用: 匹配ip流量,在traffic-filert(流量视图)中调用 防火墙策略 路由策略 NAT中调用 ACL的分类与表示: 编号范围 基本ACL 2000-2999 针对报文的源IP 高级ACL 3000-3999 针对报文中的源ip,目的ip,ip协议类型,tcp/udp源端口和目的端口等 思科中高级ACL称为拓展ACL 二层ACL 4000-4999 使用报文的以太网帧头信息来定义规则(源mac、目的mac) 用户自定义ACL 5000-5999 用户ACL 6000-6999 基于ACL标识方式的分类: 数字ACL:传统的ACL标识方式,创建ACL时,指定一个唯一的数字标识该ACL 命名型ACL:通过名称来替代编号识别ACL ACL的匹配规则: 1.ACL匹配顺序是自上而下 2.一旦满足匹配条件,就会跳出查询 3.基本ACL放在离目的近的地方,高级ACL放在离源近的地方 4.访问控制ACL,最后有一条隐藏规则是默认放行或丢弃 5.ACL不能过滤路由器自己产生的数据 调用ACL是在接口中调用,这个接口可以是三层接口,也可以是二层接口。在思科SVI接口中,支持调用ACL,华为少量支持。 接口调用ACL时,涉及入站方向(inbound)和出站方向(outboard),一个方向只能调用一张ACL #华为 默认允许所有,思科中拒绝所有 acl 2000 #创建编号为2000的ACL rule 5 premit source 1.1.1.0 0.0.0.255 #5为步长 //中间留空方便增加规则 华为默认步长为5 source //源地址 1.1.1.0 //源网段 0.0.0.255 //通配符0严格匹配 1不匹配 int g0/0/0 //进入G0/0/0接口 teaffic-filter outbound acl 2000 //将表贴在出接口上 acl 3000 rule deny icmp source 12.12.12.1 0.0.0.0 destination 23.23.23.3 0.0.0.0.0 //禁止12主机ping23主机 单向通信 rule deny icmp icmp-type echo source 23.23.23.0 0.0.0.0 //禁用ping的发包 rule deny icmp icmp-type echo-reply source 12.12.12.0 0.0.0.0 //禁用ping的回包 #思科 标准ACL:1-99 拓展ACL:100-199 配置 access-list 表号 permit/deny 源ip或网段 通配符 access-lsit 表号 permit/deny 协议 源IP 通配符 目的IP 通配符 调用ACL ip access-group 表号 in/out