软考中级网络工程师——配置
预备知识
TAB 补齐
?帮助
system-view 进入系统视图
quit 返回上一级
user 用户
interface 界面
display 显示
g 进...端口
address 地址
undo 取消
brief 简明的
sysname 配置设备的名称
information 信息
vty 虚拟终端
authentication-mode 身份验证模式
password 密码
add 添加
shutdown 停止
header login 用户登陆前显示的标题信息
header shell 用户登陆后显示的标题信息
clock timezone 时区 add 08:00:00 设置所在时区
clock datetime 时间 年-月-日 设置时间和日期
ping 192.168.10.1 -t 不间断发送ping文件
user-interface vty 0 4
authentication-mode password
telnet 12.1.1.1
local-user admin123 privilege level 0 password cipher admin123 创建0级用户admin123
local-user admin123 service-type telnet 用作telnet
命令等级
网络管理常用命令
基础配置
二层VLAN配置
基于端口(固定办公):
VLAN 10 创建VLAN 10
dispaly VLAN 查看VLAN
VLAN batch 10 20 创建VLAN10和20
VLAN batch 10to20 创建VLAN10到20的VALN
port link-type access 选择access端口
port default vlan 10 配置缺省端口为vlan 10
undo shutdown 开启(取消关闭)
dispaly this
port link-type trunk 选择trunk端口
port trunk allow-pass vlan 10 允许通过vlan 10
port trunk allow-pass vlan all 允许全部vlan通过
基于MAC(移动办公):
MAC-vlan MAC-address H-H-H MAC地址绑定vlan
port link hybrid 选择hybrid接口
port hybrid untagged valn 10 不打标签的方式通过vlan 10
mac-vlan enable 打开mac-vlan功能
UT不带标签
单臂路由实现不同VLAN互通
接口.10 "10"就是子接口,对应vlan10
interface g0/0/0.10 进入子接口模式
dot1q termination vid 10 封装
ip address 192.168.10.254 24 配置网关
arp broadcast enable 开启ARP广播功能
用三层交换机实现不同VLAN互通
port link access 划分接入层vlan
port default vlan 10 配置缺省端口为vlan10
interface VLANIF 30 三层虚拟接口
ip address 192.168.30.254 24 配置网关
STP与RSTP
dispaly stp brief 查看STP视图
DESI 指定端口(DP)
ROOT 根端口(RP)
ALTE 非指定端口
stp enable 打开stp
stp mode stp stp模式为stp[两端都需要更改]
rstp(快速生成树) mstp(多生成树) stp(生成树)
手动控制STP根桥
stp enable 打开STP
stp root primary 将本交换机设为“主要交换机”
stp root secondary 将交换机设为"0-4096-8192-12288"倍数增加的优先级
stp priority(优先级) 8192 将此交换机优先级改为"8192"
dis stp interface g0/0/1 查看此端口的stp界面
stp port priority 16/32/48/64 将此端口的stp优先级改为16的倍数
stp cost(config-digest) 210000 将端口开销改为"21W"
stp root-protection 根保护(在根交换机上启用根保护)
总结:
通过修改交换机的优先级由32768改为0,4096等进行根交换机的选举
通过修改交换机端口的优先级由128改为16的步长(倍数)以此来干扰根端口的选举
手动聚合与LACP
interface Eth-trunk 1 链路聚合1界面
mode lacp-static(静态)/manual 选择模式lacp/手动
mode manual load-balance 模式为手动的负载均衡
第一种:创建完链路聚合组,然后打开端口进行划分
interface e0/0/1 进入端口
eth-trunk 1 划入到eth-trunk 1中
第二种:创建完链路聚合组,直接开始配置划分
trunkport e0/0/1 将端口e0/0/1划入
mode lacp-static 选择模式为lacp
trunkport e0/0/1 将端口e0/0/1划入
max active-linknumber 3 设置链路最大连接数为3
east active-linknumber 2 设置链路最小连接数为2
dis eth-trunk 1 查看聚合链路1
dis lacp statistics eth-trunk 查看lacp
lacp priority 0-65535 lacp的优先级为0-65535
最多可支持8根加入链路聚合组
相当于把4根变成一根,在进行设备间trunk配置
最大活动连接数:手动模式没有最大连接数,只有在iacp里可以设置,并两端一致
最小活动连接数:两端可不一致,且手动和lacp均支持最小活动接口数
最大链路=当前链路n-1,剩一个做备用链路
链路聚合组只能“相同速率”加入
直连路由-静态路由-默认路由-浮动路由
int loopback 0 进入到回环0
ip address 1.1.1.1 32 配置回环地址
undo shutdown 开启
dis current-configuration 查看当前配置
dis cu 查看当前配置
dis ip routing-table 查看路由表
ip router-static 4.4.4.4 32 30.1.1.2 配置静态路由为 路由回环地址-下一跳地址
等价路由:来源相同,开销相同,负载分担
浮动路由:主备路由
ip router-static ipv4 - ipv4 preference 70修改此路由段的优先级为70
以AR2220和AR2240考核为主
优先级值越小,优先级越大
RIP和OSPF
rip 1 rip1进程
summary/undo summary 自动汇总/关闭自动汇总
net 20.0.0.0 宣告网段
version 2 ripv2版本
ospf 1 router-id 环回地址 标识路由
area 0 骨干区域(普通区域不能互访,只能通过area)
net 7.7.7.7 0.0.0.0(反掩码)
import-router rip 引入路由【路由重发布】
RIPv1不支持可变长掩码,默认子网
RIPv2可以识别子网掩码
通过路由引入访问外部路由
基本ALC(访问控制列表)和高级ALC的配置
基本acl:
ip router-static 0.0.0.0 0 下一跳地址 所有主机均可访问外部
acl 2000 基本ACL(acl-basic)
rule deny source 192.168.1.0 0.0.0.255 过滤1.0网段数据包
rule permit source 192.168.1.0 0.0.0.255 允许源地址数据包通信
进入端口配置acl
traffic-filter inbound acl 2000 部署acl
save 保存
高级acl:
acl 3000 高级ACL(acl-adv)
rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 第一个网段不能访问第二个网段
traffic-filter inbound acl 3000 部署acl
限制是相互的
静态NAT(网络地址转换)和动态NAT
静态NAT:
在网络出口处配置
nat stasic global 122.1.2.100 inside 192.168.1.1 192.168.1.1地址转换为122.1.2.100(静态NAT)
缺点:大量占用公网IP
动态NAT:
nat address-group 1 122.1.2.100 122.1.2.109 一号地址池可用范围2.100-2.109
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
进入端口配置acl
nat outbound 2000 address-group 1 no-pat 配置向外的规则和1号地址池转换地址
用端口号(napt)进行配置:
nat address-group 1 122.1.2.100 122.1.2.100 一号地址池可用范围2.100-2.100
进入端口配置acl
nat outbound 2000 address-group 1
特定:地址池里哪个地址有空余就可以出去
WLAN综合实验
【S1】
port link-type trunk
port trunk allow-pass vlan 100
port trunk pvid vlan 100 将vlan 100绑定到端口
【S2】
vlan batch 100 101 100用于AP连接 101用于R1及STA业务
[g0/0/1]
port link-type trunk
port trunk allow-pass vlan 100
[g0/0/2]
port link-type trunk
port trunk allow-pass vlan 100 101
【AC】
vlan batch 100 101
port link-type trunk
port trunk allow-pass vlan 100 101
[S2也来一边]
dhcp enable 打开DHCP(动态主机配置)
interface vlanif 100(101) 虚拟接口100界面
ip address ipv4 掩码 配置地址
dhcp select interface 选择为接口方式
[创建AP组]
wlan 进入wlan视图
ap-group name ap-group1 创建AP组的名称为ap-group1
q
regulatory-domain-profile name default 域管理名字为默认
country-code cn 设置国家码为中国
q
ap-group name ap-group1 名称绑定
regulatory-domain-profile default 域模板作引用【y】
q
capwap source interface vlanif 100 给源端口配置一个虚拟接口100
wlan
ap auth-mode mac-auth 以MAC地址的方式离线导入到AC中
ap-id 0 ap-mac (mac-address) 将id为0的AP更换成MAC为MAC-address的AP
ap-group ap-group1
dis ap all
【AP上线】
[业务参数]
【安全模板】
security-profile name wlan-net 创建安全模板名字为wlan-net
security wpa-wpa2 psk pass-phrase a1234567 设置安全策略配置安全方式为“wpa-wpa2”,密码为a1234567
【SSID(无线网络标识符)模板】
ssid-profile name wlan-net 模板名称
ssid wlan-net ssid名称
【VAP(虚拟访问点)模板】
vap-profile name wlan-net 模板名称
forword-mode tunnel 转发模式为隧道转发
service-vlan vlan-id 101 业务服务vlan为101
***
security-profile wlan-net 将安全模板绑定
ssid-profile wlan-net 将SSID模式绑定
q
ap-group name ap-group1
VAP-profile wlan-net wlan 1 radio 0 将VAP模板绑定进入到wlan 1的radio射频信号
***
AP 无线接入点【AP2050】
AC 无线接入服务器
AC给AP配置ip
三层交换机给终端配置ip
将AC和三层交换机配置为DHCP
进入AC
高级配置
IS-IS
第一步:每一个路由设置环回口地址
第二部:配置接口地址
第三步:配置IS-IS协议
isis 1
is-level level-1
network-entity 49.0001.0000.0000.0001.00
interface loopback
isis enable
interface port
isis enable
第四步:配置接口MD5安全认证
isis authentication-mode md5 name
第五步:看看邻居
dis isis peer
dis isis router
isis dis-name priority 优先级
第六步:引入外部路由
import-router direct
第七步:通过cost和路由渗透进行选路控制
isis cost 15
import-router isis level-2 into level-1
BGP(边境网关协议)-IBGP-EBGP配置
第一步:配置环回口地址和接口地址,r1和r5 loopback0/1
第二步:OSPF的1号路由编号地址为IPV4
进入骨干区域
宣告直连
第三步:路由配置邻居(64512):
bgp 64512
router-id 10.0.2.2
peer 10.0.3.3 as-number 64512
peer 10.0.3.3 connect-interface loopback 0
peer 10.0.4.4 as-number 64512
peer 10.0.4.4 connect-interface loopback 0
完成第五步后
peer 10.0.1.1 as-number 64513
peer 10.0.1.1 ebgp-max-hop 2
peer 10.0.1.1 connect-interface loopback 0
检查状态
dis bgp peer
第四步:r2于r1/r4与r5 添加静态路由,让两个环回路由跳出来
ping -a r1环回口访问r2环回口
第五步:路由配置邻居(64513):
router-id 10.0.1.1
peer 10.0.2.2 as-number 64512
peer 10.0.2.2 ebgp-max-hop 2 最大跳数为2
peer 10.0.2.2 connect-interface loopback 0
第六步:路由配置邻居(64514):
第七步:r4
peer 10.0.5.5 as-number 64514
peer 10.0.5.5 ebgp-max-hop 2
peer 10.0.5.5 connect-interface loopback 0
第八步:r1和r5
bgp 64513
network 10.1.1.1 24
bgp 64514
network 10.1.5.5 24
中间64512不可达
第九步:
【r2】
bgp 64512
peer 10.0.3.3 next-hop-local
peer 10.0.4.4 next-hop-local
【r4】
bgp 64512
peer 10.0.2.2 next-hop-local
peer 10.0.3.3 next-hop-local
BFD(双向转发侦测)与Router-Static联动
【R1】【R2】【R3】
第一步:配置环回口
配置接口地址
第二步:配置bfd【R1】【R2】
bfd 1 bind peer 10.1.1.12.2 source-ip 10.1.12.1 auto BFD1绑定邻居10.1.12.2的源地址10.1.12.1并自动协商
dis bfd session all 查看bfd
第三步:配置R2和R3去R1的router-static
第四步:
配置R1去R2的router-static track bfd-session 1
配置R1去R3的router-static 的preference(优先级)比去R2优先级低的
dis ip routing-table 0.0.0.0 0 verbose 查看详细路由表
ping -a(指定) ipv4(访问)ipv4
ping -c 200(发200个包) ipv4
BFD与OSPF联动
第一步:【R4】【R5】
配置环回口和接口地址
第二步:【R4】【R5】配置OSPF
ospf 1
area 0
network 10.1.12.0 0.0.0.255 宣告网络
dis ospf peer brief 查看ospf的邻居关系
第三步:【R4】【R5】启动BFD
ospf 1
bfd all-interfaces enable 打开所有bfd接口
dis bfd session all 查看BFD
dis ospf bfd session all
debugging ospf bfd
BFD与VRRP(虚拟路由器冗余协议)联动
第一步:配置环回口和接口地址
第二步:配置交换机VLAN接入
第三步:配置OSPF,骨干区域,先宣告环回口,在宣告直连,并设置cost值
dis ip routing-table protocol ospf 查看ip路由表(只显示ospf协议)
第四步:配置router-static
第五步:配置VRRP
第六步:配置bfd【R1】<->【R2】【R1】<->【R3】
BFD
bfd 1 bind peer-ip vrrp虚拟地址 source-ip 源地址 auto
commit 执行
vrrp vrid 1 track interface g0/0/0 reduced 20 监控上行接口,如果出现问题优先级降20
VRRP配置(基于网关备份)
VRRP默认值为100
第一种:主备备份方式
第一步:配置接口IP
第二步:配置VRRP[R1][R2]
vrrp vrid 1 virtual-ip 192.168.1.254 创建了一个vrid1并给了一个虚拟地址
vrrp vrid 1 priority 200 设置了优先级为200
vrrp vrid 1 preempt-mode timer delay 10 抢占延时为10秒
vrrp vrid 1 track interface g0/0/0 reduced 20 监控上行接口,如果出现问题优先级降20
dis vrrp 查看VRRP
第二种:负载分担方式
第一步:配置接口IP
第二步:配置VRRP[R1][R2]
VRRP VRID 1 & 2(你中有我,我中有你)
FW基础配置
第一步:配置FW的接口ip-address
第二步:配置switch VLAN
创建VLAN10和20
description DMZ 说明此vlan10是DMZ区域,vlan20是Untrust区域
配置接口连接类型为access
第三步:【R1】【R2】
配置接口IP
ip router-stasic 0.0.0.0 0 FWg1/0/1地址 使所有地址均可通信
第四步:配置FW router-stasic
ip router-stasic 0.0.0.0 0 10.0.12.2
int g1/0/1 / g1/0/2
service-manage ping permit 管理服务“ping”可以发送
firewall zone DMZ FW的区域为DMZ
description DMZ 区域为DMZ
add interface g1/0/1 将g1/0/1加入
firewall zone Untrust FW的区域为Untrust
description Untrust 区域为Untrust
add interface g1/0/2 将g1/0/2加入
第五步:配置安全策略
security-policy 进入安全策略
rule name local 规则名字为local
source-zone local 源区域为local
action permit 授权全部打开
第六步:配置NAT
nat address-group 1 创建一个nat地址组1
mode pat
section 0 ipv4 ipv4
nat-policy
rule name 1
source-zone DMZ 源区域为DMZ
destination-zone Untrust 目标区域为Untrust
source-address ipv4 掩码
action source-nat address-group 1 授权源nat使用地址组1
nat Server name protocol tcp global 10.0.12.1 ftp inside 10.0.11.11
firewall zone DMZ/Untrust/interzone dmz Untrust
detect ftp 发现为ftp
第七步:配置安全策略,限制untrst,dmz之间的访问
security-policy
【dmz to untrust】
fule name dmztountrust
source-zone dmz
destination-zone untrust
source address 10.0.11.0 24
action permit
【untrust to dmz】
fule name untrusttodmz
source-zone untrust
destinaton-zone dmz
destination address 10.0.11.11 24
service ftp 提供服务是ftp
action permit 授权允许
第八步:查看会话表项
dispaly firewall session table verbose destination global 10.0.12.2
第九步:在R1上开启ftp服务,R2访问R1的FTP服务。通过dir命令进行ftp传输,并查看表项
aaa
local-user ftp service-type ftp 创建一个用户为ftp,服务类型为ftp
local-user ftp password cipher xxxxxxxx
local-user ftp privilege level 15 设置用户特权为15
local-user ftp ftp-directory flash: 访问的根目录为flash
ftp Server enable 打开ftp
mkdir name 创建ftp目录
【R2】
ftp 10.0.12.1 通过接口nat-Server映射访问的ftp
dir
【FW】
dispaly firewall session table verbose protocol tcp destination-port 21
dispaly firewall Server-map 查看防火墙的服务器映射
第一次配置FW输入用户名及密码
acl基于简单包过滤,FW基于状态包过滤具有应用层防范
DMZ授权区(内网),Untrust非授权区(外网)
防火墙本身是local区域
内网无限制访问外部网路,外部网络限制访问内部网络
local区域(本地区域):级别为100 DMZ区域(内网区域):级别为50 Untrust区域(外网区域):级别为5
no-pat 内网外网1对1 pat 端口绑定的ip
FW高级配置-负载分担的防火墙双机热备
第一步:【FW】配置接口IP
第二步:配置安全区域
【FW_A】
firewall zone name isp1 防火墙区域名字为“isp1”
set priority 10 设置优先级为10
add interface g1/0/1 加入端口
firewall zone name isp2 防火墙区域名字为“isp2”
set priority 15 设置优先级为15
add interface g1/0/2 加入端口
firewall zone name trust 防火墙区域名字为“安全区域(内网)”
add interface g1/0/3 加入端口
firewall zone name DMZ 防火墙区域名字为“DMZ”
add interface g1/0/6 加入端口
【FW_B】
firewall zone name isp1
set priority 10
add interface g1/0/1
firewall zone name isp2
set priority 15
add interface g1/0/2
firewall zone name trust
add interface g1/0/3
firewall zone name DMZ
add interface g1/0/6
第三步:配置策略路由
【FW_A】
policy-based-router
rule name <ISP1>
source-zone trust
source-address range 10.3.0.51 10.3.0.100
action pbr next-hop 1.1.1.254 出口网关为1.1.1.254
rule name <ISP2>
source-zone trust
source-address range 10.3.0.101 10.3.0.150
action pbr next-hop 2.2.2.254
【FW_B】
policy-based-router
rule name <ISP1>
source-zone trust
source-address range 10.3.0.51 10.3.0.100
action pbr next-hop 1.1.1.254
rule name <ISP2>
source-zone trust
source-address range 10.3.0.101 10.3.0.150
action pbr next-hop 2.2.2.254
第四步:VRRP配置(你中有我,我中有你)
【FW_A】
interface g1/0/1
vrrp vrid 1 virtual-ip 1.1.1.3 active(主)
interface g1/0/2
vrrp vrid 2 virtual-ip 2.2.2.3 standby(从)
interface g1/0/3
vrrp vrid 3 virtual-ip 10.3.0.3 active(主)
vrrp vrid 4 virtual-ip 10.3.0.4 standby(从)
hrp mirror session enable 监控
hrp interface g1/0/6 remote 10.10.0.2
hrp enable
【FW_B】
interface g1/0/1
vrrp vrid 1 virtual-ip 1.1.1.3 standby(从)
interface g1/0/2
vrrp vrid 1 virtual-ip 2.2.2.3 active(主)
interface g1/0/3
vrrp vrid 3 virtual-ip 10.3.0.3 standby(从)
vrrp vrid 4 virtual-ip 10.3.0.4 active(主)
hrp interface g1/0/6 remote 10.10.0.1
hrp enable
第五步:配置安全策略
security-policy
rule name xxxxxxxx
source-zone trust
destination-zone isp1 isp2
action permit 授权允许
第六步:配置NAT
nat address-group 1
section 0 1.1.1.3 1.1.1.3
nat address-group 2
section 0 2.2.2.3 2.2.2.3
nat-policy
rule name xxxxxxxx
source-zone trust
destination-zone isp1
action source-nat address-group 1 授权源nat使用地址组1
rule name xxxxxxxx
source-zone trust
destination-zone isp2
action source-nat address-group 2 授权源nat使用地址组2
优先级值越小优先级越大
DHCP(动态IP)
第一步:配置VLAN
第二步:配置接口,设备用trunk,user用access,并配置vlanif(逻辑接口),为转发及服务交换机的逻辑接口配置ip-address
第三步:打开DHCP
【DHCP Client】
dhcp enable
ip pool vlan10/20/30 创建地址池的名字为vlan10
gateway-list ip-address 网关列表为ip-address
network ip-address mask 掩码
dns-list ip-address 域名列表为ip-address
dispaly interface vlanif
【DHCP Server】
ip pool vlan30
stasic-bind ip-address ipv4 mac-address vlanif的mac-address 绑定静态地址和MAC
dhcp select global 接口状态下使能
dis ip pool name vlan10 查看ip名字为“vlan10”地址池
第四步:配置router-stasic
【DHCP Server】
IP router-stasic 10.0. 10/20/30 .3 10.0.40.3 使三个网段可以跳出40网段
第五步:配置dhcp的转发
【DHCP relay】
dhcp enable
interface vlanif 10/20/30
dhcp select relay 用接口地址转发
dhcp relay sever-ip 10.0.40.1
dhcp relay all
第六步:配置dhcp的客户端
【DHCP Client】
dhcp enable
interface vlanif 10/20/30
ip address dhcp-alloc 分配dhcp的ip地址
debugging dhcp relay info
路由策略
第一步:配置环回口地址和接口地址
第二步:【R1】【R2】【R3】配置OSPF,宣告直连
第三步:查看ospf的邻居关系
第四步:【R3】【R4】配置IS
第五步:
ip ip-prefix 1/2 index 10 permit ip-address 掩码 greater-equal 24 less-equal 24
创建ip的前缀列表1,编号为10,业务1/2
router-policy name permit node 10 创建了一个路由策略,名称是,打上了一个路由标记node 10
if-match ip-prefix 1
apply tag 10 应用标记10
router-policy name permit node 20
if-match ip-prefix 2
apply tag 20
第六步:引入OSPF直连路由,调用路由策略
import-router direct router-policy name
dis ospf lsdb 查看ospf状态数据库
dis ospf lsdb ase ip-address
第七步:配置过滤路由【R2】
acl number 2000
rule 5 deny source ip-address 掩码
rule 10 permit
filter-policy 2000 import 过滤策略 2000 接口
第八步:在is配置过滤路由
router-policy name permit node 10
if-match ip-prefix 1
apply tag 10
isis 1
import-router ospf 1 level-1 router-policy name
原文地址:https://blog.csdn.net/m0_72222015/article/details/143075874
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!