路由交换机配置命令笔记

最新推荐文章于 2023-09-15 10:56:34 发布

所谓生活。。

最新推荐文章于 2023-09-15 10:56:34 发布

阅读量422

点赞数

文章标签：网络

本文链接：https://blog.csdn.net/weixin_52108947/article/details/132149816

版权

### *交换机基本配置*
   串口com 连接console口 9600
   配置静态路由 V4 V6
   检查结果
1. 进入命令视图。
system-view
2. 创建管理VLAN
vlan5
management-vlan
3. 打开TELNET
telnet server enable
4. 进入VTY线路
int vty 0 4
5. 配置telnet协议通过
protocol inbound telnet
6. 配置认证模式
authentication-mode aaa
7. AAA中配置账户密码
aaa
local-user admin password irrversible-cipher hello@123
8. 设置账号权限最高
local-user admin privilege level 15
### 端口配置
- 配置端口双工模式
duplex (half full auto)
- 工作速率
speed (10 100 auto )
- 端口流控
flow-contrul
#### 批量加入
- 批量端口指定VLAN
vlan 2
port g 0/0/1 to g0/0/10
- 批量创建VLAN
vlan batch 10 20 33 to40
- 创建接口分组
Port-group 1
group-number g0/0/1 to g0/0/10
port link-type access
#### 端口镜像配置
- 基于端口镜像
定义本地观察端口
   observe-port 1 interface gigabitethernet 0/0/10
将接口的入方向绑定到索引为1 的观察端口上
   int g0/0/1
   port-mirroring to observr-port 1 inbound
- 基于流镜像
定义本地观察端口
   observe-port 1 interface g0/0/10 vlan 10
定义ACL 匹配TCP 端口号80
   acl 3000
   rule permit tcp destination-port eq www
应用流策略对报文镜像
   int g0/0/1
   traffic-mirror inbound acl 3000 to observe-port 1

### 端口隔离
- 配置2层隔离
port-isolate mode l2
- 把接口加入隔离1组
int 1/0/1
port-isolate enable group 1
- 设置接口协商模式为自动协商速率为100
negotication auto
auto speed 100
- 设置自协商模式下双工模式为全双工模式
negotication auto
### VLAN配置管理
- VLAN封装协议
Q INQ 802.1ad 运行商网桥协议
mac in mac 802.1ah 主干网桥协议
- 交换机命名
system-view
- 批量方式建立VLAN
vlan batch 100 200
- 进入接口视图配置接口类型
int 1/1/1
port link-type trunk access hybird
- 将接口接入VLAN2
port default vlan 2
- 配置上联接口类型
port link-type trunk
- 通过VLAN2
port trunk allow-pass vlan 2
- 基于MAC划分VLAN
port hybrid untagged vlan 2
- 配置MAC地址与VLAN2关联
mac-vlan mac-address 22-22-22
- 基于MAC地址启用接口在哪里，命令
mac-vlan enable
### 配置GARP
- 全局使能GARP
garp
- 配置接口为T 允许所有VLAN通过
port link-tyoe trunk
port trunk allow-pass vlan all
- 启用接口GARP功能并配置接口注册模式
garp
garp registration normal
- 查看状态
display garp statics
### 配置生成树
- 作用
1. 逻辑断开环路防止广播风暴
2. 故障时断开的接口被激活，备份
3. 形成一个最佳属性拓扑
- 时间
阻塞--20S--监听--15s--学习--15s--转发
- 配置模式 mode
stp mode stp
- 配置根桥和备份根桥
stp root primary stp instance 1 root primary
stp root secondary
- 配置开销算法为华为算法
stp pathcost-standard legacy
- 配置路径开销
stp cost 2000
- 配置PC连接的端口为边缘端口并启用报文过滤功能
stp edged-port enable
stp bpdu-filter enable
- 设置根保护
stp root-protection
- 设备全局启用
stp enable
### 路由器配置
- 端口
高速同步串口
ISDN BRI
异步串口
AUX端口
E1/T1端口
路由聚合
   summary
引入直连路由
   import-route direct
- 设置系统日期、时间和时区
clock timezone BJ add 09:00:00
clock datetime 20:00:00 2013-03-22
- 设置TELNET用户级别和认证方式
telnet server enable
user-interface vty 0 4
user privilege level 15
authentication-mode aaa
aaa
local-user admin password irreversible-cipher Hello@123
local-user admin privilege level 15
local-user admin service-type telnet
### 批量配置技术
1. 配置SFTP服务器
stp server enable
2. 配置SSH用户界面认证模式AAA 进入流量用户级别
user-interface 0 4
authentication-mode aaa
protical inbound all
user privilege level 15
4. 在AAA中配置SSH用户
   - 账号
   aaa
   local-user admin password
   - 密码
   - 特权等级
   local-user admin privilege level 15
   - 类型
   local-user admin service-type ssh
   - 文件
   local-user admin ftp-directory flash:autoconfig
   quit
   ssh user admin authentication-type password
5. 配置DHCP服务器
   - 创建VLAN10
   vlan 10
   - 在VLAN10中使能DHCP全局模式
   dhcp select global
   - 配置IP池自动配置
   1. 进入自动配置接口
   ip pool auto-config
   2. 配IP掩码
   network ......mask ...
   3. 配网关
   gateway-list....
   4. 文件用户密码地址等项目
   option 67 文件名
   option 141 用户名
   option 142 密码
   option 143 ip
   option 145
6. 查看配置结果
display startup
### 配置RIP
- 基于地址
基于UDP 224.0.0.9 端口号 520
- 路由收敛
1. 水平分割
学习到的，不反方向传回 rip split-borizon
2. 路由中毒
不立即删除度量设置无穷大
3. 反向度化
学习到无穷大返回路由不可达
- 使能
rip 1
- 版本
version 2
- 网络
network 10.10.10.0
- 与BFD联动
- 全局启用
bfd
- 接口启用
bfd all-interfaces enable
- 配置最小发送、时间间隔、检测时间
bfd all-interfaces min-rx-interval 100 min-tx-interval 100 detect-multiplier 10
- 查看会话信息
display rip 1 bfd session all
- 查看路由表
display routing-table
### 配置ISIS
- 创建并进入视图
isis 1
- 版本
is-level level-1
- 网络实体名称
network-entity 10.0000.0000.0001.00
- 接口启用
isis enable 1
- 查看配置
   1. 是否同步
   display isis isdb
   2. 显示信息
   display isis route
- 思考区域和数据
### 配置OSPF
- 以什么承载
IP 协议协议号89 地址224.0.0.5
- 报文时间
HELLO报文 10秒 40秒不存在
- 配置基本功能
1. id
route id 1.1.1.1
2. 使能
ospf
3. 区域
area 0

4. 查看配置
   display ospf routing
5. 查看邻居
   display ospf peer
### 配置BGP
- 报文类型
open
update
notificaton
keepalive
route-refresh
- 工作过程
自身不能发现路由需要从其他协议引入路由表
   import方式把其他协议路由表注入
   network方式逐条精确引入。优先级高
- 哪层，
TCP 端口号 179
- 配置IBGP连接
   1. 编号
   bgp 65509
   2. ID
   router-id 2.2.2.2
   3. 对等体
   peer 9.1.3.1 as-number 65009
- 查看对等体连接
display bgp peer
- 配置R1发布路由 172.16.60.0/24
ipv4-family unicast (进入地址簇视图)
preference 255 100 130 设置优先级顺序外部路由优先级内部路由优先级本地路由优先级
- 查看路由表信息
display bgp routing-table
- 配置引入直连路由
import-route direct
### 配置PPP
- 思考认证协议两种
PAP 口令认证协议 CHAP挑战握手协议
1. 创建并配置多链路
interface mp-group 0/0/1
2. 配置物理接口加入多链路
   - AAA中配置添加认证所需要的账号密码
   aaa
   local-user admin password
   - 账户服务类型
   local-user admin service-type ppp
   - 本地认证模式
   authentication-mode local
   - 进入域中设置认证方案
   domian system
   authentication-scheme system_a
   - 进入接口
   interface serial 1/0/0
   - 配置PPP认证模式、用户、密码和加入组
   ppp authentication-mode chap domain system
   ppp chap user admin
   ppp chap password cipher ad@123
   ppp mp mp-group 0/0/1
   - 重启接口
   restart
   - 查看结果
   display ppp mp interface Mp-group 0/1/1
   - 查看绑定结果
   display interface Mp-group
### 配置帧中继
- 进入接口
interface serial 1/0/0
- 配置封装为帧中继
link-protocol fr
- 设置接口类型(哪种设备)
fr interface-type dte
- 配置静态地址映射
   1. 虚电路号
   fr dlci 70
   quit
   2. 配置IP
   ip addredd 10.10.10.9 30
   3. 配置对端
   fr map ip 10.10.10.10 70
### 配置ISDN
1. 配置拨号控制列表
- dialer-rule
- dialer-rule 1 ip permit
2. 配置帧中继地址映射
- int dialer 0
- link-protocol fr
- ip address 10.10.10.9 30
- fr dlci 70
- quit
- fr map ip 10.10.10.10 70
3. 配置控制列表关联接口
- dialer-group 1
4. 使能轮询DCC
dialer enable-circular
5. 发起呼叫
dialer number 800011
6. 配置物理接口并加入拨号循环组
int bri 1/0/0
link-protocol fr
dialer circular-group 0
7. 查看配置
display insd call-info
### 配置IPSEC
- 多条数据流需保护的情况下
IP address-set sou1 type object -- 添加成组--
rule permit ip source address-set sou1
- 配置保护数据流
acl 3001
rule permit ip source 10.10.10.0 0.0.0.255 destination 10****
- 配置IPSEC安全提议
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
- IKE安全提议
ike proposal 5
encryption-algorithm aes-128
authentication-algorithm sha2-256
dh group14
- 配置IKE对等体配置预共享密钥和对端ID
ike peer spub
undo version 2
ike proposal 5
pre-shared-key cipher huawei
remote-address 167.1.1.1
- 创建安全策略
- 配置IKE动态协商方式安全策略
   ipsec policy map1 10 isakmp
   ike-peer spub
   proposal tran1
   security acl 3001 quit
- 在接口应用安全策略组
- int g1/0/0
- ipsec policy map1
- 查看配置结果
### ipv6
- 两种策略
1. 双栈策略
2. 隧道策略
- ipv6 over ipv4 gre隧道配置
在IPV4中封装IPV6
interface tunnel 接口
tunnel-protocal gre
ipv6 enable
ipv6 address fc02::1 64
source 10.1.1.1
destination 10.1.2.2
- ISATAP隧道配置 (站内自动隧道寻址协议)
点到点 IPV4在IPV6里
地址形式 0:5efe:ipv4add
- 配置
   1. 创建隧道
   interface tunnel 1/0/0
   2. 修改隧道协议为ISATAP
   tunnel-protocol ipv6-ipv4 isatap
   3. 配置接口全球单播地址 EUI64
   ipv6 address 2001::/64
   4. 配置TUNNEL源地址或源接口
   source g2/0/2
   5. 使能系统发布RA报文功能
   undo ipv6 nd ra halt (nd Neighbor Discovery邻居发现 ra 通告 halt 禁止)
   6. 主机配置用户端添加静态路由
   netsh interface ipv6 isatap set router 2.1.1.1
   - 查看配置结果
   display ipv6 interface tunnel 0/0/2
### 访问控制列表
- 两种模式
1. config模式
2. auto模式
- acl number 3001 match-order auto
- 深度优先
- 删除ACL
undo acl
- 调整步长
step
- 查看和清除信息
reset acl counter
display acl resource
- 配置基于时间ACL规则
time-range working-time 8:00 to 18:00 working-day
acl name work-acl basic
rule deny source 172.16.10.0 0.0.0.255 time-range working-time
- 描述信息
- 配置禁止172.16.10.3 访问WEB网页端口号是80
rule deny tcp destination-port eq 80 source 172.16.10.3
#### 综合配置ACL
- 配置接口加入VLAN
port link-type trunk
port trunk allow-pass vlan 10
- 配置时间段（8点到晚6点，工作时间）
time-range satime 08:00 to 18:00 working-day
- 配置ACL规则
acl 3001 rule deny ip source 192......destination 192.168.10.10 0.0.0.255 time-range satime
- 配置流分类
traffic classifier xxx
if-match acl 3001
- 流行为
fraffic behavior aaaa
deny
配置重定向
   redirect ip-nexthop 100.120.111.10
- 流策略
traffic policy p_xs
classifier xxx behavior b_xs
- 在接口应用
interface ethernet2/0/1
traffic policy p_xs inbound
- 查看配置结果
display acl all
### 配置链路聚合
- 华为协议
- 协议名
lacp 基于802.3 ad
- 两种模式
手工和协议 lacp
- 创建并进入聚合组
interface Eth-Trunk 1
- 将接口加入组
   1. trunkport e1/0/1 to 1/0/3
   2. int e1/0/1
   Eth-Trunk1
- 允许VLAN
- LACP模式
mode lacp-static
- 优先级
- 手工模式
mode manual load-balance
- 最少最大激活链路数量
least active-linknumber
max active-linknumber
- 负载分担方式
load-balance
- 优先级
lacp priority
### VRRP协议
- 心跳线，相互监视对方状态，虚拟路由冗余协议
- 作用
路由备份，负载分担，主备切换解决静态网关出现单点故障
组播地址 224.0.0.18 封装在IP里
- 配置
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid1 priority 128
### 配置BFD
- 作用
快速检测、监控网络故障提高可靠性 hello报文
- 组播地址
224.0.0.184
- 配置
bfd 会话名 bind peer-ip 地址（VPN名） interface 接口
本地标识符
   discriminator local xxx
远端标识符
   discriminator remote xx
### 防火墙配置
- 三种技术
包过滤防火墙
   通过ACL 检查源目地址、协议
代理服务器式防火墙
   对4-7层数据检查更高开销工作变慢
基于状态检测的防火墙
   检测每个TCP、UDT类的会话连接
   工作于基于数据包、连接会话和一个基于状态的会话流表
   性能比前两个高
- 区域结构
trust untrust DMZ local
- 方向
进方向 inbound 优先级低到高
出方向 outbound 优先级从高到低
- 配置
1. 创建并进入安全区域视图
   firewall zone [name] zone-name
2. 创建安全区域优先级
   set priority security-priority 创建安全区域优先级
3. 将接口加入安全区域
   add ingerface interface-type interface-number 将接口加入安全区域
4. 创建域间安全策略
   security-policy
   rule name policy 1
   source zone trust
   source-address 10.1.3.0 mask 24
   destination-address 10.1.1.0 mask 24
   action permit
5. 进入安全域间视图
   interzone zone-name1 zone-name2
   - dmz区域配置
   firewall interzone dmz untrust
   detect ftp 配置域间NTY ALG功能，使服务器可以对外正常提供FTP
6. 配置内部地址映射到外网地址
   net server policyweb protocol tcp global 10.1.1.100 80 inside 10.1.1.2 80 no-reverse
   net server policyftp protocol tcp global 10.1.1.100 21 inside 10.1.1.3 21 no-reverse

所谓生活。。

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
路由交换机配置命令笔记

add ingerface interface-type interface-number 将接口加入安全区域。preference 255 100 130 设置优先级顺序外部路由优先级内部路由优先级本地路由优先级。IP address-set sou1 type object -- 添加成组--3. 配置接口全球单播地址 EUI64。阻塞--20S--监听--15s--学习--15s--转发。- ISATAP隧道配置 (站内自动隧道寻址协议)- ipv6 over ipv4 gre隧道配置。
复制链接

扫一扫