雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 9772|回复: 33

FZ-BOOTCAMP48班-课堂笔记

  [复制链接]
发表于 2011-8-13 21:41:02 | 显示全部楼层 |阅读模式
本帖最后由 Cecily 于 2011-10-16 17:00 编辑

                                    FZ-BOOTCAMP48  第一、二堂课笔记
一.路由
  1.等价负载
    静态负载均衡最多 8条
    动态负载均衡最多 4-6条
  2.选路三原则
   
最长掩码匹配,AD值,Metric值
  3.不连续子网:相同主网的不同子网分布在不同路由器上
二.静态路由
  1.浮动静态路由(利用修改AD值的选路原则)
    R1(config)#ip route x.x.x.x x.x.x.x n//静态路由默认为1
  2.SLA(服务等级检测)
     R1(config)#ip routex.x.x.x x.x.x.x track 1
     R1(config)#track 1 rtr 1
     R1(config-track)#ip sla monitor 1
     R1(config-track-monitor)#type echo protocol ipIcmpEcho x.x.x.x source-ipaddress x.x.x.x
     R1(config-track-monitor)#frequency 10
     R1(config-track-monitor)#timeout 100
     R1(config-track-monitor)#exit
     R1(config)#ip sla monitor schedule 1 life forever start-time now//开启追踪
  3.Keepalive 技术
  4.MSTP传输(广域网技术-传输速度上调)
三.RIP
  1.RIP优化
     被动接口:
      R1(config-router)#passive-intface 接口
     单播更新:
      R1(config-router)#neighbor
     控制度量值:
      R1(config-router)#offset-list x in num
  2.主播地址:224.0.0.9
四.Frame-relay(非广播)
  1.FR的配置:
    R1(config)#frame-relay switching
    R1(config-if)#encapsulation frame-relay
    R1(config)#frame-relay intf-type dce
    R1(config)#frame-relay route n int x n
  静态:R1(config)#frame-relay map ipx.x.x.x broadcast
  2.FR是NBMA的类型
     措施:手动DR选择,和指定邻居
        或 修改类型为PTMP
五.OSPF
  1.四种网络类型
     BMA//广播多路访问
     NBMA//非广播多路访问
     PTP//点对点
     PTMP//点对多点
  2.NBMA
    广播:
需要形成邻居
    多路:
选择DR
  3.OSPF的优化
     修改网络类型:R1(config-router)#ip ospf network point-to-point
     修改带宽:  R1(config-router)#auto-cost reference-bandwidth 10000
     指定RID:R1(config-router)#router-id IP
  4.R-ID的选择:(稳定性原则)
     手动配置
     自动选择:loopback地址存在高的,或活动物理地址IP高的   
  5.汇总
     区域间路由汇总: (config-router)#area x range 子网  掩码
     域外路由汇总:  (config-router)#summary-address  IP
  6.路由器类型:
     内部路由器 BR:只属于单一区域的路由器
     区域边界路由器ABR:属于多个区域的路由
     自制系统边界路由器ASBR:连接不同自制系统的路由器
  7.主播地址:224.0.0.5 224.0.0.6
  8.修改cost的两种方法:
     *.在所有路由器上修改全局参考带宽:
       router ospf 1
          auto-cost reference-bandwidth x
           exit
       注意单位是Mb。
     *.在接口下手动修改cost值:
       int f0/0
          ip ospf cost x
          exit
六.
路由重分布
  1.直连路由重分布R1(config-router)#redistribute connected subnets
  2.静态路由重分布R1(config-router)#redistribute static subnets
  3.路由协议重分布R1(config-router)#redistribute 协议 subnets metric-type
  4.默认路由的传递R1(config-router)#default-information originate
七.小知识
  <1>模拟器的三个BUG
     1.无法检测直连效果
     2.串口线不需要时钟频率
     3.轮询不成功概率大
  <2>CISCO的一些私有协议
     1.CDF
     2.EIGRP
     3.ISL
     4.VTP
     5.PVST
  <3>.外部EIGRP AD值:170
      内部EIGRP AD值:90
      手动汇总 AD值: 5
      RIP AD值:120
      OSPF AD值:110
      IS—IS  AD值:115
      外部BGP AD值:20
      内部BGP AD值:200  

           …………………………………我是华丽的分割线…………………………………………………………   
  ………………………………………                                 ……………………………………………………                                       
                                    
FZ-BOOTCAMP48 第三次课堂笔记
                                                                                                                            ——路由版块
一.不连续区域配置:
  1.virtual-link(ABR对称配置)
    R1(config)#router ospf  1
     R1(config-router)# area num virtual-link R-ID
  2.tunnel
     R1(config)# int tunnel 0
     R1(config-if)# ip add x.x.x.x
     R1(config-if)#tunnel source  x.x.x.x
     R1(config-if)#tunnel destination x.x.x.x
     R1(config)#router ospf 1
     R1(config-router)#network x.x.x.x //tunnel口下发布ospf
  注:tunnel口的带宽是9Kbit     
二.路由过滤策略(路由策略)
  1.直连路由全分布时
    R1(config)# access-list 1 permit x.x.x.x  x.x.x.x
    R1(config)#router-map name
    R(config-route-map)match ip address 1
    R1(config)#router ospf 1
    R1(config-router)#redistribute connected subnet metric-type 1 subnets router-map name
  2.前缀列表(严格匹配)
     R1(config)# ip prefix-list name permit x.x.x.x/x
    或R1(config)#ip prefix-list name seq n permit x.x.x.x/x
  3.prefix-list默认是deny any的  
三.策略路由(PBR)
  R1(config)#int intface *//在网关接口上配置
  R1(config-if)#ip policy route-map name
  R1(config)#route-map name
  R1(config-route-map)#match ip address x
  R1(config-route-map)#set ip nex-hop x.x.x.x//下一跳IP
  R1(config-route-map)#set ip next-hop verify-availability <next-hop表号码> x track <num>//在策略路由下加入跟踪
  策略路由下的SLA:
  R1(config)#track 1 rtr 1 reachability
  R1(config-track)#ip sla monitor 1
  R1(config-sla-monitor)#type echo protocol ipIcmpEcho x.x.x.x(下一跳IP) source-ipaddr x.x.x.x(源)
  R1(config-sla-monitor)# timeout 300(单位ms)
  R1(config-sla-monitor)#frequency 10(单位s)
  R1(config-sla-monitor)#exit
  R1(config)#ip sla monitor schedule 1 life forever start-time now
  R1(config)#access-list 10 permit  x.x.x.x<允许网络号> x.x.x.x<反掩码>
四.轮询NAT(F5,Radware厂商)
R1(config)#ip nat inside destination list n pool server
R1(config)#ip nat pool server x.x.x.x  x.x.x.x netmask x.x.x.x  type rotary
R1(config)#access-list 2 permit host x.x.x.x
五.ACL(针对路由条目和流量控制)
  单向ACL(使用拓展ACL)
   R1(config)#access-list 100 permit tcp x.x.x.x  x.x.x.x x.x.x.x x.x.x.x eq 23
estaished
  不要忘记应用到接口下
  R1(config)#int intface *
   R1(config-if)#ip access-group 100 in/out  
六.小技巧
  1. debug ip packet//查看设备发送和接收的数据包
  2.telnet技巧;
    ctrl+shift+6+x 在telnet下返回主设备
    disconnect num 退出telne
    show sessions 查看主设备登陆的设备
    who 查看
    no ip cef//cisco快速转发
  3.OSPF的四种O OIA OE1 OE2
  4.修改O E1,O E2:
     在路由进程下:
       R1(config-router)#redistribute  connect subnet metric-type 1//改成O E1
  5.loopback口由32位学成24位
    R1(config)#int loopback 0
    R1(config-router)#ip ospf network point-to-point

………………………………………………华丽的分割线…………………………
                               FZ-BOOTCAMP48 第四次课堂笔记
                                                                                 —交换版块
一.VLAN的创建
  1.R1(config)#vlan database
     R1(config-vlan)#vlan x
  2.VLAN号码有0—4095,其中1002-1005是自动创建的,不能删除
  3.vlan internal allocation policy ex
  4.两种封装协议:
     ISL(Cisco私有):1024个VLAN
     802.1q:4096个VLAN(Cisco二层只支持802.1q)
  5.VLAN的信息不存放在start-config而存放在flash
     删除VLAN:delete flash:vlan.data
     删除开机配置:erase start config
     删除某个VLAN:no vlan x
  6.创建本地VLAN:switchport trunk native vlan x
  7. VLAN终结在三层设备上,VLAN只有本地意义
二.Trunk&Access
    Trunk:主干,承载vlan之间的信息
    Access:PC机连接某个vlan
三.VTP
  1.VTP modes: Server,Client,Transparent,Off
      注:多个Server存在时,信息的更新听最后一个Server的命令
  2.配置命令:Switch# configure terminal
      Switch(config)# vtp mode [ server | client | transparent ]
      Switch(config)# vtp domain domain-name
      Switch(config)# vtp password password
      Switch(config)# vtp pruning
      Switch(config)# end
    查看vtp 配置命令 SwitchX# show vtp status
四.2层交换机的远程管理
  1.SVI的配置,enable密码的配置,telnet密码的配置
  2.管理IP的用途:管理交换机;2层网络连通性测试
五.多层交换
  1.2层交换
  2.多层交换
    ip routing
    IP:SVI口;RP口(Router-Port):在接口下配置no switchport
    路由
    ACL,无NAT功能
六.路由器与多层交换机的区别
   使用场合:路由器工作在WAN和Internet;交换机工作在LAN
   功能不一样:路由器强大的选路能力;交换机快速交换
   接口类型:两兆线,语言接口;交换机以太网接口
   NAT功能:路由器有NAT功能;交换机无NAT功能
七.冗余
  1.生成树
  2.EC(protocol:PAgP和LACP)
    2层:int f0/x-x
         channel-group x mode on
         int port-channel x
         switchport mode trunk
         注:配置时候端口先shutdown再写配置,最后在no shutdown
    3层:int range f0/x ,f0/x
         no switchport
         channel-group x mode on
         int port-channel x
         no swichport
         ip add x.x.x.x x.x.x.x
  3.生成树工作过程
    根桥的选举
    根端口的选举
    Block口的选举
   Blocking maxage20s (BLK)->Listening 15s(LSN)->Learning 15s(LRN) ->Forwarding (FWD)
八.排错知识
  1.由近及远,逐跳排查
  2.U.U.U表示不可达或有路由但被ACL过滤
  3......表示超时
  4.路由默认是ip unreachable的,no ip unreachable开启则会把U.U.U改为...但是并不是超时
…………………………………………………华丽的分割线…………………………
                                            FZ-BOOTCAMP48 第五次课堂笔记
.STP(802.1d)
  <1>.STP选举的过程
    每个广播域选择一个根桥;
    每个非根桥选择一个根端口
    每个段选择一个指定端口
    选择一个非指定端口
  <2>.选举的原则
    最小的COST值,最小B-ID,最小P-ID
  <3>.生成树的三种类型
        1.PVST(Cisco私有)
      改COST值:R1(config)#int fx/x
                                     R1(config)#spanning-tree vlan 10 cost x
        2.RPVST(Cisco私有)
              R1(config)#spanning-tree mode rapid-pvst
        3.RSTP(公有,8022.1w)
        4.MSTP(802.1s)
             默认实例为0
             负载均衡
             快速收敛
                             STP例子少
          命令:spanning-tree mode mst
                        spanning-tree mst config
                                    instance x vlan x
                                    name  x
                                    show pending
                                    spanning-tree mst 1 priority 0//选实例1为根桥
                COSTspanning-tree mst 0 cost x
            注:多实例生成树要全局一致
.网关冗余
  1.冗余的高级功能:出口检测,冗余具有抢占功能
  2.两种协议:HSRP(私有),VRRP(公有)
  3.HSRP
          R1(config-if)#ip add 10.10.10.253 255.255.255.0         
          R1 (config-if)#standby 1 ip 10.10.10.254                                
          R1 (config-if)#standby 1 priority 150                                       
          R1 (config-if)#standby 1 track 1 decrement 50                    
          R1 (config-if)#standby 1 preempt                                                               
  4.VRRP
          R1 (config-if)#ip add 10.10.10.253 255.255.255.0         
          R1 (config-if)#vrrp 1 ip 10.10.10.254                                 
          R1 (config-if)#vrrp 1 priority 150                          
          R1 (config-if)#vrrp 1 track 1 decrement 50
          R1(config-if)#track 1 int fx/x ip routing            
.交换安全
  <1.>MAC攻击(端口安全限制)
              Int  fx/x
                  Switchport port-security maxinum 1
                  Switchport port-security x.x.x.x或者sticky
                  Switchport port-security vidation protect/restrict/shutdown
  <2.>IP ARP攻击
      网关欺骗(后来者优先),软件有P2P终结者,聚生网管
      解决方法:PC机绑定MAC地址与IP地址;交换机上设置端口限制
  <3.> DHCP伪装
             DHCP嗅探
                Ip dhcp snooping
                Int fx/x
                Ip dhcp snooping trust
  <4.>DAI(动态ARP检测)
                DHCP固化:开启嗅探
                 Ip arp inspection valiolate ipdat-mac
                 Ip arp inspection vlan10
           DHCP的启用,PC机的接口下:ip  add  dhcp
            Arp access-list spoto
           Permit  ip x.x.x.x  x.x.x.x  host  x.x.x.x
<5.>端口认证
            AAA(认证,授权,记账)
           telnet 认证上;PPPoE的拨号;端口认证 802.1x
           AAA serverclientuser
…………………………………………华丽的分割线………………………………
                                            FZ-BOOTCAMP48  第六次课堂笔记
一.   Telnet
1.       aaa new-model
tacacs-server host x.x.x.x
tacacs-server key x
应用AAAaaa authentication login default group tacacs local none//在所有的线路认证
aaa accounting exec default start-stop group tacacs+
aaa authentication login spoto group tacacs none//防止在Console口进行认证
aaa authentication login bootcamp none
line console 0
  login authentication bootcamp
test aaa group tacacs+ bootcamp spoto new-code//测试
2.       telnet的三种形式:
no login
login password x
login local//本地验证
.802.1x(端口认证)
1.NASR (config)#aaa new-model//开启AAA
       R (config)#radius-server host x.x.x.x
       R(config)# radius-server key x
       R(config)#aaa authentication dot1x default group radius
       R (config)#dot1x system-auth-control//全局启用dot1x
       R (config)#int range fx/x fx/x
       R (config-if)# dot1x port-control auto//接口下启用dot1x
                          test aaa  group radius  x  x  new-code//测试服务器配置

………………………………………………华丽的分割线…………………………………………
                                     FZ-BOOTCAMP48 第七次课堂笔记
一.端口应用安全
1.日志服务:syslog
配置命令R(config)#loggin  host x.x.x.x
或者R(config)# loggin  x.x.x.x
R(config)#loggin  buffered x//日志等级
2.端口安全两种方式:MAC绑定
限定能够学习的MAC
配置命令:R(config)#switchport port-securitymaximum x violation protect
二.SPAN流量控制镜像
R(config)#monitor session x source int fx/x //设定SPAN的受控端口
R(config)#monitor session x destination int fx/x//设定SPAN的监控端口
三.防火墙
1.PIXASA(自适应安全算法)
查看:R(config)#show int ip brief
删除配置:R(config)#write  erase
配置命令:R(config-if)#nameif inside
R(config-if)#security-level  x//安全等级默认100
R(config)#natinside1  0  0
R(config)#globaloutsidex interface
R(config)#route outside 0 0 x.x.x.x
开发防火墙的Ping功能:
R(config)#access-list x permit icmp any any
R(config)#access-list x interface outside
查看NATR(config)#show xlate
静态NATstatic insideoutsidex.x.x.x//公网IP
Access-list x permit tcp any any eq 23//允许外网telnet进来
端口映射:static insideoutsidetcp interface 23 x.x.x.x  23
防火墙对内服务与对外服务分开:
配置命令:R(config-if)#nameif DMZ(非军事化区域)
R(config-if)#Security-level 50
                 FZ-BOOTCAMP48第八次课堂笔记
一. VPN(虚拟专用网)
1.GRE VPN 通用路由封装
GRE 二次封装  明文
2.配置:Int tunnel 0
Ip add x.x.x.x  x.x.x.x
Tunnel source x.x.x.x  公网
Tunnel destination x.x.x.x 目的公网IP
Exit
Ip route x.x.x.x 目的私网网络号 掩码 tunnel 0
注:tunnel 口BW为9Kbit
3.VPN配置:基础配置(IP,NAT,路由)
        tunnel
        路由(静态,动态)
Router ospf 1
  Network tunnel口IP的网络 反掩码 area x
  Network 本地私网网络号反掩码 area x
4.PPTP VPN  二层
端口映射1723
L2TP VPN
5.VPN安全
  加密:DES(64),3DES(3*64),AES(128)
  验证完整性:mds;Hash
6.MPLS VPN(多协议标签交换) 二点五层  ISP建设
               FZ-BOOTCAMP48第九次课堂笔记
一.IPSec VPN
1.Ip http server//开HTTP服务
Ip http authentication local//启用HTTP本地认证
Username spoto privilege 15 password spoto// 设置安全等级15的用户
2.SDM(安全设备管理器)登入路由器时的基本配置
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization network sdm_vpn_group_ml_1 local
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec profile SDM_Profile1
      set transform-set ESP-3DES-SHA
set isakmp-profile sdm-ike-profile-1
crypto isakmp profile sdm-ike-profile-1
      match identity group spoto
      client authentication list sdm_vpn_xauth_ml_1
      isakmp authorization list sdm_vpn_group_ml_1
      client configuration address respond
      virtual-template 1
crypto isakmp client configuration group spoto
crypto isakmp policy 1
      encr 3des
      authentication pre-share
group 2
3.ACL推送技术
4.SSL VPN 安全
5.ASA配置
Nameif inside//配置内网接口
      Nameif outside//配置外网接口
Nat (inside) 1 0 0//配置PAT,复用出接口
6.SSL VPN
Ciscoasa(congfig)#webvpn
Ciscoasa(congfig-webvpn)#Enable outside//外网口开启webvpn
Ciscoasa(congfig-webvpn)#svc image disk0:/ssiclient-win-1.1.4.179-anyconnect.pkg//交换虚链路提供的镜像文件位置及其名字
Ciscoasa(congfig-webvpn)#svc enable//开启交换虚链路功能
Ciscoasa(congfig-webvpn)#ip local pool ssl-user x.x.x.x-x.x.x.x//创建本地地址池,ssl-user为池的名字,池为VPN用户提供IP地址
7.SSL VPN策略组与隧道组配置
Ciscoasa(congfig)#group-policy mysslvpn-group-policy internal//创建并指定组的内部组策略
Ciscoasa(congfig)#group-policy mysslvpn-group-policy attributes//进入组策略的命令模式
Ciscoasa(congfig-group-policy)#vpn-tunnel-protocol webvpn //VPN隧道协议使用webvpn
Ciscoasa(congfig-group-policy)#webvpn //进入webvpn配置模式
Ciscoasa(congfig-group-webvpn)#svc enable //webvpn中使用SSL VPN
Ciscoasa(congfig-group-username)#vpn-group-policy mysslvpn-group-policy//将配置的VPN组策略应用
Ciscoasa(congfig)#tunnel-group mysslvpn-group type webvpn //隧道组使用webvpn
Ciscoasa(congfig)#tunnel-group mysslvpn-group general-attributes//进入隧道组mysslvpn的一般属性配置模式
Ciscoasa(congfig-tunnel-general)#address-pool ssl-user//配置使用的地址池用ssl-user
Ciscoasa(congfig)#tunnel-group mysslvpn-group webvpn-attributes//进入mysslvpn隧道组的webvpn属性配置模式配置隧道分离
Ciscoasa(congfig)#webvpn
Ciscoasa(congfig-webvpn)#tunnel-group-list enable //启用隧道组列表
Ciscoasa(congfig)#access-list split-ssl extended permit ip x.x.x.x x.x.x.x any
Ciscoasa(congfig)#access-list split-ssl extended permit ip x.x.x.x x.x.x.x any
//配置隧道分离时使用的访问列表
Ciscoasa(congfig)#group-policy mysslvpn-group-policy attributes//进入组策略属性配置
Ciscoasa(congfig-group-policy)#split-tunnel-policy tunnelspecified//隧道分离的策略为特殊隧道
Ciscoasa(congfig-group-policy)#split-tunnel-network-list valuesplit-ssl//隧道分离使用的列表
8.防火墙管理:内网管理 telnet 0 0 inside nameif
                    Password x
                    Enable password x
            外网管理 SSH 0 0 outside
                     SSH version x
测试:telnet x.x.x.x 22
9.配置防火墙:
<config>#username xxx password xxxxxx encrypted privilege 15
<config>#aaa authentication enable console LOCAL
<config>#aaa authentication telnet console LOCAL
<config>#aaa authentication http console LOCAL
<config>#aaa authentication ssh console LOCAL
<config>#aaa autoentication command LOCAL
<config>#http server enable
<config>#http 192.168.1.0 255.255.255.0 inside
<config>#telnet 192.168.1.0 255.255.255.0 inside
<config>#ssh 192.168.1.0 255.255.255.0 inside
<config>#crypto key generate rsa(
打开SSH服务)
//允许内部接口192.168.1.0网段telnet防火墙

发表于 2011-8-13 21:44:05 | 显示全部楼层
沙发,

知识的管理(筛选、整理、归档、沉淀、呈现、分享)能够最大化知识的价值,

感谢楼主的分享。
 楼主| 发表于 2011-8-13 21:51:17 | 显示全部楼层
看不出来么?
发表于 2011-8-13 21:55:09 | 显示全部楼层
真的看出不出。。。。。。。
发表于 2011-8-13 23:02:07 | 显示全部楼层
呵呵,看出来了!
做得不错,简练而不简单!
坚持下去!回头把前面的也补充下。
发表于 2011-8-13 23:36:09 | 显示全部楼层
嘿嘿,好像我看得懂一些命令呀~
发表于 2011-8-13 23:40:43 | 显示全部楼层
选择,坚持。知行合一。
发表于 2011-8-14 10:29:34 | 显示全部楼层
不错字体可以再大一些看着更舒服,还有格式想想改个让人看着更明了的
发表于 2011-8-14 16:52:52 | 显示全部楼层
笔记总结 是很好的复习方式
发表于 2011-8-14 17:02:27 | 显示全部楼层
挺不错的呀
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-11-22 06:54 , Processed in 0.085690 second(s), 18 queries , Gzip On.

快速回复 返回顶部 返回列表