工程管理模板bootcamp笔记

ACL控制列 ospf度量值每段链路的度量值之和，每段的度量值为100M/当前带宽路由的产生：直连静态动态ospfo>OIAO静态路由当出现2（不会因为第二条输入时覆盖第一条路由）静态路由高级应用wanmstp传输2个网络,通过以太网（不同以前的低速链路）Router(config)#iprouteRouter(config)iproute BUGDOWN养成习惯在端口配置里使用DESR1-F0/0-TO-R2-F0/0（描述SHINTDES可以看到SLAmstp不可达（ios3640）Router(config)#iproutetrack1（目标不可达则删掉Router(config-track)#track1rtr1（rtr相应时间报告Router(config-ip-sla)#ipsla1Router(config-ip-sla)#icmp-echo（回显）source-ipRouter(config-ip-sla)#timeoutx（ms超时时间）Router(config-ip-sla)#frequency10（1秒内发包数）Router(config-ip-sla)#exitRouter(config)ipslaschedule1lifeforeverstart-timenow（2691命令）路由主目的地址能通中间不一定两两想通Router(config-router)#version2Router(config-router)#noauto-summaryRouter(config-router)#netx.x.x.x30RIP 与EIGRP的接口的区别ripv2(配置了接口后必须与一个路由更新则需要使用单播更新)在接口配置后 Router(config-router)#neighborx.x.x.xRouter(config-router)#offset-list1in/out0-Router(config)#access-list1permitospfasospfRouter 一般用上联口或者用32位loopback(lo口一直 OSPF 2、broadcast:以太 包发出去收 (中间介质支持组播包帧中继默认下不支持组播广播DR指定路由器(ospf1只要在以太网的广播网络在多路的情况下就要drp2ptrunkDR选取 2、routerid最ospfRouter(config)#int Router#shipospf# Router#clearipospfprocess 清理进程清空邻居表 Router(config)#intRouter(config-if)#ipospfcostOSPFospfabrir内部路由器Router(config-routerarea区域range汇总地址掩码)#<><:networkRouter(config)#routerospfRouter(config-router)#redistributeconnectedsubnetsOE2Router(config-router)#network 重发布后,.在发送前做汇总.度量值:20Router(config-router)#redistributeconnectedsubnetstype1/2(OE1/OE2)E2:metric不变的传递外部路由E2 IPROUTERX.X.X.XX.X.X.XNULL(空接口,Router(config)#routerospfospf不把默认路由当成静态路由,所以需要特殊 Router(config-router)#redistributeospf虚链路配置2种情况0被分割(02个部分)abr(区域边界路由)上Router(config)#routerospfRouter(config-router)#areaAvirtual-linkx.x.x.xabrRIDAreaA代表过度区域RID手动指定的重要性,RID上述条目会失效手动指定RID是为了防止其变化Area3Area2,Area0建立虚电路后,Area3Area0Area0AreaTUNNEL技术也可以实现虚链路的功能ospf的认证(认证类型包括:1、接口认证2、区域认证1、明文认证2、密文认证策略路由和路由策略)Router(config)#routerospfRouter(config)#route-map<name>Router(config-route-map)#matchipadd<num>Router(config-route-map)#exitRouter(config)#access-list<num>permitx.x.x.xACL的缺陷,例如ACCESS-LIST1PERMIT55粗条目能通过细条目,前缀列表:IPPREFIX-LIST<NAME>SEQ<序号>PERIMIT/8(X.X.X.X/X输入地址ACL是模糊匹配前缀列表是精确匹配Router(config-route-map)#matchipaddprefix-list,Router(config)#intRouter(config-if)#ipaddx.x.x.xx.x.x.x.xRouter(config-if)#iproute-map<name1>Router(config-if)#iproute-map<name2>Router(config-if)#exitRouter(config-route-map)#matchipadd<acl策略路由一般很少用路由前缀)#Router(config)#router-map<name2>permit<num2>Router(config-route-map)#matchipaddacl<aclnum2>Router(config-route-map)#setipnext-hopx.x.x.xRouter(config-route-map)#exitRouter(config)access-listaclnum1permithost(1.11转发Router(config)#access-list<aclnum2>permithost(1.2网段通过策略2转发)以上表达: ACL1中的IP向策略1的下一条端口转发,ACL2向2的转发.序号从数字小开始匹配,匹配完直接转发,不会再匹配以下其他条目.流量如果没有被匹配，则进行正常路由Router(config-if)#ipaddRouter(config-if)#ipaddRouter(config)#access-list1permitRouter(config)#access-list2permit以上也可以使用扩展ACLACL控制列 Router(config)#ipaccess-liststandardRouter(config)#ipaccess-listextendedRouter(config-std-nacl)#<num>perimit/denyx.x.x.xx.x.x.xx.x.x.xRouter#showaccess-acllist中具体单独一条条目路由表可以用CLEARIPROUTE*清理TCPestablished的扩展实现并且仅限单向TCP,属于三次握手应用 pc1pc2,pc2不能pc1 Router(config)#access-list100permittcphosthost//只允许通过"建立"的包-ack1Router(config)#intf0/0Router(configif)#ipaccess-group100in这种ACL能够实现PC1PC2的TCP服务允许,但PC2无法主动PC1的TCP服务注意这种ACL在应用的时候的方向性Router(config)#access-list101permitip<sourceip><wildcardbits><destinationip><wildcardbits>time-Router(config-time-range)#periodicdaily7:00to|日常|Router(config)#ipaccess-listextendedRouter(config-std-nacl)#permit/denyipA.B.C.DA.B.C.DA.B.C.DA.B.C.Dtime-rangeRouter(config-if)#ipaccess-groupname为了确保时间的准确性，一般会使用NTP网络时间协议时区是不能同步的，需要手动配置ntpRouter(configclocktimezonebeijing Router(config)#ntpRouter(config)ntpserver Router#clocksethh:mm:ss<day><month> pc1Router(config)ipaccess-listextended Router(config-ext-nacl)permiticmpanyanyreflect Router(config)#ipaccess-listextended Router(config-if)#ipaccess-groupoutbound Router(config-if)#ipaccess-groupinboundRouter(config)#ipnatinsidesourcestaticxxxxRouter(config)#ipnatinsidesourcestatictcp<localip><port><globalip>Router(config)#ipnatinsidesourcestatictcp<localip><port>interfacefastEthernet<num> Router#showipnatRouter(config-if)#ipnat Router(config-if)#ipnatRouter(config)#ipnatinsidesourcelist1intf0.1Router(config)#access-list1permitipnatinsidesourcestatictcpx.x.x.xx.x.x.x当x.x.x.x端口2时自动转到x.x.x.x的端口NATRouter(config)#ipnatinsidedestinationlist1pool#Router(config)#ipnatpoolspoto0091netmask 2IP,PAT一个用来轮询netctrl+shift+x保 ent退回Router#showRouterclearipnattranslation PPP多链路Router(config)#intRouter(config-if)#encapsulationpppRouter(config-if)#pppmultilinkgroup1Router(config-if)#noshutRouter(config)#intRouter(config-if)#encapsulationpppRouter(config-if)#pppmultilinkgroup1Router(config-if)#noshutRouter(config)#interface Router(config)#showinterfaceCHAProuter1(config)#usernamealicepassworkalicerouter1(config-if)#encapsulationppp router1(config-if)#pppauthenticationpaprouter2(config-if)#encapsulationrouter2(config-if)#ppppapsent-usernamealicepasswordrouter1(config-if)encapsulation router1(config-if)#pppauthenticationrouter3(config-if)#encapsulationppprouter3(config-if)#pppchaphostnamealicerouter3(config-if)#pppchappassword --sw1--sw2-- SWPCACCESSSWSW对端口配置成TRUNK会自适应改变成TRUNK口PC1PC1配置nativevlan10NATIVEVLAN是不打的VLAN就可以互通sw1(config-if)#switchporttrunknativevlansw2(config-if)#switchporttrunknativevlan 2个trunk口配置成accessvlan也可以实现互联pc1sw1sw2的vlan20的口上看成是一个整体,反之亦然vlan的配置vlanvlandatabase(VLAN数据库配置模式不推荐 2、vlan<vlannum>(全局配置模式Router(config)#intRouter(config-if)#switchportmodeaccessRouter(config-if)#switchportaccessvlanXRouter(config)#intRouter(config-if)#switchportmodeVLAN,SHRUN中端口还在VLAN中,SHVLAN-SWITCH中,VLAN已经不见了SHOWRUN也是无法直接察觉到，SHOWVLAN-trunk的封装类型 一台交换机配置TRUNK另外一台不可配置的时候无法互通因为TRUNK的帧超过MTU1500(最大传输单元)对于另一台交换机来说这是一个巨大帧2层交换机的管Router(config)#intvlan10Router(config-if)#ipaddA.B.C.DA.B.C.DRouter(config-if)#exitRouter(config)#ipdefault-gatewayRouter(config)#linevty04Router(config-line)#loginRouter(config-line)#passwordXRouter(config-line)#exitRouter(config)#enablepasswordXRouter(config-if)#switchporttrunkallowedvlan 把三层交换机的交换口当成路由口用(思科NOSWITCHPORT就可以成为路由口其他公司只能继续使用SVIrp口,IP,access口,SVIRP口,RPtrunk口,2vlansvisviRP只能一个网段 3、配置vlan多层交换上的动态路由协议和路由差不多Router(config)#ipRouter(config-if)#intvlan10Router(config-if)#ipaddA.B.C.DA.B.C.DRouter(config-if)#exitRouter(config)#intvlan20Router(config-if)#ipaddA.B.C.DA.B.C.DRouter(config-if)#exitSVICOSTRouteRouter(config)#intRouter(config-if)#noswitchportRouter(config-if)#ipaddA.B.C.DA.B.C.DRouter(config-if)#exit*多层交换机起路由配置和路由器一样。使用OSPF时建议将SVI接口模式改为Router(config)#intvlanRouter(config-if)#ipospfnetworkpoint-to-Router(config)#intf1/0Router(config-if)#noshutRouter(config-if)#intf1/0.10Router(config-if)#encapdot1q10Router(config-if)#ipaddA.B.C.DRouter(config-if)#exitRouter(config-if)#intf1/0.20Router(config-if)#encapdot1q20Router(config-if)#ipaddA.B.C.DRouter(config-if)#STP 基于IEEE802.1D标准的pvst+: 802.1d:插入网线要50秒才能使用,pvst+:每个vlan一棵生成树(只有思科IEEE802.1Wrapid-pvst快速生成树RSTPrapid-pvst(思科有,可以兼容30IEEE802.1Smstp多实例生成树:收敛时间很快根桥2秒发1次信息网络拓扑稳定MAC(COSTcost1000M=4100m=19block/MAC 根桥之外的交换机都是非根桥,BPDU的端口,指离根桥最“近"离根桥最“近"cost值之和,stplisteningMST默认模式是PVST(模拟器上只有PVST)spanning-treemode模式>spanning-treemstconfigrevion name> showpendingspanning-treemst<instance-id>rootInt spanning-treemstinstance-id>port-priority spanning-treemst<instance-id>cost Router#shspanning-tree DHCP服务 1、电脑windowsserver DHCP服务是开启的Router(config)#ipdhcppool<name1>Router(dhcp-config)#networkx.x.x.x/24Router(dhcp-config)#defaultrouterx.x.x.xRouter(dhcp-config)#dns-serverx.x.x.xRouter(dhcp-config)#exitRouter(config)#ipdhcppool<name2>Router(dhcp-config)#networkx.x.x.x/24Router(dhcp-config)#defaultrouterx.x.x.xRouter(dhcp-config)#dns-serverx.x.x.xRouter(dhcp-config)#exitDHCP客户端步骤Router(config)#intf0/0Router(config-if)#ipadddhcpRouter(config-if)#exitDHCP服务器部署Router(config)#intvlanRouter(config-if)#ipaddx.x.x.xDHCP地址排 Router(config)#ipdhcpexc-addressAAA系统组成：1、aaa服务器 2、aaa客户端(网络设备) 3、aaa用户端(电脑) a)1.1LCP认证 1.2NCP网络协商阶段 a)2.1无线 b)2.2端口认 2.3设备的登 acsRouter(config)#linevtp0Router(config-line)#login#((Router(config)#tacacs-serverhostkeyRouter(config)aaaauthenticationlogindefaultgrouptacacs+nonetacacsRouter(config)aaaaccountingconnectiondefaultstart-stopgrouptacacs+tacacsLOGINVTY和CON,控制口也要认证了Router(config)testaaagrouptacacs+usernamepassnew-codeacs上配置用户开启tacacs+802.1X只能用二层交换机要配管理IP和网关802.1X的需要开启服务:WIREDR2(config)#aaanew-R2(config)#radius-serverhostkeyR2(config)#aaaauthenticationlogindefaultgroupradiusR2(config)#aaaaccountingexecdefaultstart-stopgroupradiusR2(config)#enablepasswordspotoR2(config)#aaaauthenticationenabledefaultR2(config)#aaaauthenticationloginnopasswordR2(config)#lineconR2(config-line)#loginauthenticationR2(config-line)#R2(config)#intloopbackR2(config-if)#ipaddressR2(config-if)#R2(config)#ipradiussource-interfaceloopback0R2(config)#banner^ etoSPOTOAAATEST^R2(config)#endR2#testaaagroupradiusbootcamp123456new-SINGLEHOST如果要加入多台主机就要键入Router(config)#dot1xhost-modeRouter(config)#aaaauthenticationenabledefaultgroupR2(config)#ipradiussource-interfaceloopbackR2(config)#aaaaccountingexecdefaultstart-stopgroup//记录R2(config)#aaaauthenticationenabledefaultR2(config)#aaaauthenticationlogin<name>groupR2(config)#lineconR2(config-line)#loginVRRP默认优先级是100dr)VLAN生成树一个网关配2 VRRP会出现双活故障,2台网关都是活动的2路由器的那个交换机,就可以解决VRRPVLAN的生成树,让流量最优化Router(config)#intvlanhsrpRouter(config-if)#vrrp1priority<1-Router(config-if)#vrrp1track1decrement<1-255>Router(config-if)#track1interfacef0/0iprouting(出接口)Router(config-if)#vrrp1timersadvertisetime/msec >< Router(config)#show Router(config-if)#standby1Router(config-if)#standby1priority<0-Router(config)#showstandbyDEBUGVRRPALL看发出去的 O包镜像span/rspanRouter(config)#monitorsession1destinationint 网关ARP，电脑上常用ARP命令：arp-a查看当前ARP信息；arp-s静态IP到MAC绑端口安全，限制接入的MAC数量或指定只能某一MAC接入网络，违法操作时可以保护端口；保护端口并发syslogsyslog；syslogloggingA.B.C.D;syslog软件，如DHCP服务器安全（全局开启ipdhcpsnoo，配置为信任端口才能发送DHCP回应包，默认为不信任端DHCP服务的回应）IP及MAC（DAI技术，全局下开启iparpinspection，根据DHCP所学习到的IP与MAC的关系，将PC才能接入网络 的接口是不的端口的作用要表明安全等级来评定安全|不安全 ASA(config)#inte0/0ASA(config-if)#ipadd54ASA(config-if)#noshutASA(config-ifnameif ASA(config-if)#security-level //内网100ASA(config)#inte0/1 ASA(config-ifipaddASA(config-if)#nameifoutsideASA(config-if)#no内网之间没有禁默认情况 NET是内网可以,需要ASA(config)#net默认passwordspoto netenablepasswordspoto(enableASA(config)#nat(inside)1 //允许内网全部做inside //1是natidASA(config)#global(outside)1interface //序号1要对应括号里都是名字ASA(config)#routeoutside54默认内网是不能出ASA(config)#access-list1permiticmpanyASA(config)#access-group1ininterface //应用在in接默认有DENYANYANY有自反效果 排除NATID0时表示后面的NAT不进行操作ASA(config)#static(inside,outside)ASA(config)#static(inside,outside)tcpinterface80ASA(config)#access-list1permittcpanyanyeqdmzASA(config-if)#ipadd54ASA(config-if)#nameifdmzASA(config-if)#security-levelASA(config)#static(dmz,outside) SSHciscoasa(config)#cryptokeygeneratersamodulusciscoasa(config)#sshciscoasa(config)#sshversion2 ciscoasa(config)#aaaauthenticationsshconsoleLOCALciscoasa(config)#usernamespotopasswordspoto pptp gre 3、2.5 4、7 GRE ASA(config)inttunnel ASA(config-if)#ipaddASA(config-if)#tunnelsourceASA(config-if)#tunneldestinationASA(config-if)#exitASA(config)#iproutetunnelOSPFASA(config)#routerospfASA(config-routernetworkx.x.x.xx.x.x.xarea ASA(config-router)#networkx.x.x.xx.x.x.xarea TUNNEL建立邻居关系,适用内网经常变化,GRE可以移动办公remote-access路由器配了CHAP等要在电脑上设置属性成CHAP等,MS-PC Router(config)#usernamespotopasswordRouter(config)#vpdnenableRouter(config)#vpdn-groupspotoRouter(config-vpdn)#accept-dialinRouter(config-vpdn)#protocolpptpRouter(config-vpdn)#virtual-temte1Router(config-vpdn)#interfaceVirtual-Temte1Router(config-if)#ipunnumberedf0/1Router(config-if)#peerdefaultipaddresspoolspotoRouter(config-if)#pppencryptmppeautoRouter(config-if)#pppauthenticationpapchapms-Router(config-if)#iplocalpoolspoto0对称加密能被还原网络用DES3DES就算安全了MD5不等长输入,等长输 2、sha-1一般做完整性验DH1-sitetoremove iosk9failover类似vrrp技 2台连一起对外是1sdmsiteto ipsecremoveRouter(config)#usernamespotoprivilege15password一般用建ip配内ip名字配aclshxlate上看nat转换pptp2ipsec3 73 ASA(config)#access-list100permitipa.a.a.ab.b.b.bASA(config)#nat(inside)0access-listcryptokeygeneratersamodulus1024sshoutsideaaaauthenticationsshconsoleLOCALusernamespotopasswordspotonet22(22是ssh的端ssh2usernamespotopassword cryptoisakmp encryption hash cryptoipsectransform-setciscoesp-desesp-md5- cryptodynamic-mapspoto10settransform-setcisco//设置序号为10的动态图并cisco算法和cryptomapbootcamp10ipsec-isakmpdynamicspoto cryptomapbootcampinterfaceoutside //将加密策略bootcamp应用在端口cryptoisakmpidentity cryptoisakmpenable iplocalpoolccna50-00mask tunnel-groupccnptypeipsec- tunnel-groupccnpgeneral- address-poolccna a这个地址池authentication-server-groupLOCAL nat(inside0access-list group-ccnp group-ccnp split-tunnel-tunnelspecified split-tunnel-network-listvalue100 //隧道分离的网络为acl100指定的网络 default-group- enable svcimage svc iplocalpoolspoto- access-list permitip nat(inside)0access-listgo- //设置SSL group-ciscointernal //创建并指定cisco组的内部组策略group-ciscoattributes //进入web svcenable //在web 中启用SSLusernamespotopassword usernamespoto -group- tunnel-groupbootcamptypeweb //隧道群中的bootcamp组使用web tunnel-groupbootcampgeneral-attributes //进入bootcamp组普通属性配置模式address-poolspoto //bootcamp组spoto地址池tunnel-groupbootcamp group-aliasSPOTO access-listccnaextendedpermitip group-cisco s