本帖最后由 Cecily 于 2011-10-16 17:00 编辑
FZ-BOOTCAMP48 第一、二堂课笔记
一.路由
1.等价负载
静态负载均衡最多 8条
动态负载均衡最多 4-6条
2.选路三原则
最长掩码匹配,AD值,Metric值
3.不连续子网:相同主网的不同子网分布在不同路由器上
二.静态路由
1.浮动静态路由(利用修改AD值的选路原则)
R1(config)#ip route x.x.x.x x.x.x.x n//静态路由默认为1
2.SLA(服务等级检测)
R1(config)#ip routex.x.x.x x.x.x.x track 1
R1(config)#track 1 rtr 1
R1(config-track)#ip sla monitor 1
R1(config-track-monitor)#type echo protocol ipIcmpEcho x.x.x.x source-ipaddress x.x.x.x
R1(config-track-monitor)#frequency 10
R1(config-track-monitor)#timeout 100
R1(config-track-monitor)#exit
R1(config)#ip sla monitor schedule 1 life forever start-time now//开启追踪
3.Keepalive 技术
4.MSTP传输(广域网技术-传输速度上调)
三.RIP
1.RIP优化
被动接口:
R1(config-router)#passive-intface 接口
单播更新:
R1(config-router)#neighbor
控制度量值:
R1(config-router)#offset-list x in num
2.主播地址:224.0.0.9
四.Frame-relay(非广播)
1.FR的配置:
R1(config)#frame-relay switching
R1(config-if)#encapsulation frame-relay
R1(config)#frame-relay intf-type dce
R1(config)#frame-relay route n int x n
静态:R1(config)#frame-relay map ipx.x.x.x broadcast
2.FR是NBMA的类型
措施:手动DR选择,和指定邻居
或 修改类型为PTMP
五.OSPF
1.四种网络类型
BMA//广播多路访问
NBMA//非广播多路访问
PTP//点对点
PTMP//点对多点
2.NBMA
广播:需要形成邻居
多路:选择DR
3.OSPF的优化
修改网络类型:R1(config-router)#ip ospf network point-to-point
修改带宽: R1(config-router)#auto-cost reference-bandwidth 10000
指定RID:R1(config-router)#router-id IP
4.R-ID的选择:(稳定性原则)
手动配置
自动选择:loopback地址存在高的,或活动物理地址IP高的
5.汇总:
区域间路由汇总: (config-router)#area x range 子网 掩码
域外路由汇总: (config-router)#summary-address IP
6.路由器类型:
内部路由器 BR:只属于单一区域的路由器
区域边界路由器ABR:属于多个区域的路由
自制系统边界路由器ASBR:连接不同自制系统的路由器
7.主播地址:224.0.0.5 224.0.0.6
8.修改cost的两种方法:
*.在所有路由器上修改全局参考带宽:
router ospf 1
auto-cost reference-bandwidth x
exit
注意单位是Mb。
*.在接口下手动修改cost值:
int f0/0
ip ospf cost x
exit
六.路由重分布
1.直连路由重分布R1(config-router)#redistribute connected subnets
2.静态路由重分布R1(config-router)#redistribute static subnets
3.路由协议重分布R1(config-router)#redistribute 协议 subnets metric-type
4.默认路由的传递R1(config-router)#default-information originate
七.小知识
<1>模拟器的三个BUG
1.无法检测直连效果
2.串口线不需要时钟频率
3.轮询不成功概率大
<2>CISCO的一些私有协议
1.CDF
2.EIGRP
3.ISL
4.VTP
5.PVST
<3>.外部EIGRP AD值:170
内部EIGRP AD值:90
手动汇总 AD值: 5
RIP AD值:120
OSPF AD值:110
IS—IS AD值:115
外部BGP AD值:20
内部BGP AD值:200
…………………………………我是华丽的分割线…………………………………………………………
……………………………………… ……………………………………………………
FZ-BOOTCAMP48 第三次课堂笔记
——路由版块
一.不连续区域配置:
1.virtual-link(ABR对称配置)
R1(config)#router ospf 1
R1(config-router)# area num virtual-link R-ID
2.tunnel
R1(config)# int tunnel 0
R1(config-if)# ip add x.x.x.x
R1(config-if)#tunnel source x.x.x.x
R1(config-if)#tunnel destination x.x.x.x
R1(config)#router ospf 1
R1(config-router)#network x.x.x.x //tunnel口下发布ospf
注:tunnel口的带宽是9Kbit
二.路由过滤策略(路由策略)
1.直连路由全分布时
R1(config)# access-list 1 permit x.x.x.x x.x.x.x
R1(config)#router-map name
R(config-route-map)match ip address 1
R1(config)#router ospf 1
R1(config-router)#redistribute connected subnet metric-type 1 subnets router-map name
2.前缀列表(严格匹配)
R1(config)# ip prefix-list name permit x.x.x.x/x
或R1(config)#ip prefix-list name seq n permit x.x.x.x/x
3.prefix-list默认是deny any的
三.策略路由(PBR)
R1(config)#int intface *//在网关接口上配置
R1(config-if)#ip policy route-map name
R1(config)#route-map name
R1(config-route-map)#match ip address x
R1(config-route-map)#set ip nex-hop x.x.x.x//下一跳IP
R1(config-route-map)#set ip next-hop verify-availability <next-hop表号码> x track <num>//在策略路由下加入跟踪
策略路由下的SLA:
R1(config)#track 1 rtr 1 reachability
R1(config-track)#ip sla monitor 1
R1(config-sla-monitor)#type echo protocol ipIcmpEcho x.x.x.x(下一跳IP) source-ipaddr x.x.x.x(源)
R1(config-sla-monitor)# timeout 300(单位ms)
R1(config-sla-monitor)#frequency 10(单位s)
R1(config-sla-monitor)#exit
R1(config)#ip sla monitor schedule 1 life forever start-time now
R1(config)#access-list 10 permit x.x.x.x<允许网络号> x.x.x.x<反掩码>
四.轮询NAT(F5,Radware厂商)
R1(config)#ip nat inside destination list n pool server
R1(config)#ip nat pool server x.x.x.x x.x.x.x netmask x.x.x.x type rotary
R1(config)#access-list 2 permit host x.x.x.x
五.ACL(针对路由条目和流量控制)
单向ACL(使用拓展ACL)
R1(config)#access-list 100 permit tcp x.x.x.x x.x.x.x x.x.x.x x.x.x.x eq 23 estaished
不要忘记应用到接口下
R1(config)#int intface *
R1(config-if)#ip access-group 100 in/out
六.小技巧
1. debug ip packet//查看设备发送和接收的数据包
2.telnet技巧;
ctrl+shift+6+x 在telnet下返回主设备
disconnect num 退出telne
show sessions 查看主设备登陆的设备
who 查看
no ip cef//cisco快速转发
3.OSPF的四种O OIA OE1 OE2
4.修改O E1,O E2:
在路由进程下:
R1(config-router)#redistribute connect subnet metric-type 1//改成O E1
5.loopback口由32位学成24位
R1(config)#int loopback 0
R1(config-router)#ip ospf network point-to-point
………………………………………………华丽的分割线…………………………
FZ-BOOTCAMP48 第四次课堂笔记
—交换版块
一.VLAN的创建
1.R1(config)#vlan database
R1(config-vlan)#vlan x
2.VLAN号码有0—4095,其中1002-1005是自动创建的,不能删除
3.vlan internal allocation policy ex
4.两种封装协议:
ISL(Cisco私有):1024个VLAN
802.1q:4096个VLAN(Cisco二层只支持802.1q)
5.VLAN的信息不存放在start-config而存放在flash
删除VLAN:delete flash:vlan.data
删除开机配置:erase start config
删除某个VLAN:no vlan x
6.创建本地VLAN:switchport trunk native vlan x
7. VLAN终结在三层设备上,VLAN只有本地意义
二.Trunk&Access
Trunk:主干,承载vlan之间的信息
Access:PC机连接某个vlan
三.VTP
1.VTP modes: Server,Client,Transparent,Off
注:多个Server存在时,信息的更新听最后一个Server的命令
2.配置命令:Switch# configure terminal
Switch(config)# vtp mode [ server | client | transparent ]
Switch(config)# vtp domain domain-name
Switch(config)# vtp password password
Switch(config)# vtp pruning
Switch(config)# end
查看vtp 配置命令 SwitchX# show vtp status
四.2层交换机的远程管理
1.SVI的配置,enable密码的配置,telnet密码的配置
2.管理IP的用途:管理交换机;2层网络连通性测试
五.多层交换
1.2层交换
2.多层交换
ip routing
IP:SVI口;RP口(Router-Port):在接口下配置no switchport
路由
ACL,无NAT功能
六.路由器与多层交换机的区别
使用场合:路由器工作在WAN和Internet;交换机工作在LAN
功能不一样:路由器强大的选路能力;交换机快速交换
接口类型:两兆线,语言接口;交换机以太网接口
NAT功能:路由器有NAT功能;交换机无NAT功能
七.冗余
1.生成树
2.EC(protocol:PAgP和LACP)
2层:int f0/x-x
channel-group x mode on
int port-channel x
switchport mode trunk
注:配置时候端口先shutdown再写配置,最后在no shutdown
3层:int range f0/x ,f0/x
no switchport
channel-group x mode on
int port-channel x
no swichport
ip add x.x.x.x x.x.x.x
3.生成树工作过程
根桥的选举
根端口的选举
Block口的选举
Blocking maxage20s (BLK)->Listening 15s(LSN)->Learning 15s(LRN) ->Forwarding (FWD)
八.排错知识
1.由近及远,逐跳排查
2.U.U.U表示不可达或有路由但被ACL过滤
3......表示超时
4.路由默认是ip unreachable的,no ip unreachable开启则会把U.U.U改为...但是并不是超时
…………………………………………………华丽的分割线…………………………
FZ-BOOTCAMP48 第五次课堂笔记 一.STP(802.1d) <1>.STP选举的过程 每个广播域选择一个根桥; 每个非根桥选择一个根端口 每个段选择一个指定端口 选择一个非指定端口 <2>.选举的原则 最小的COST值,最小B-ID,最小P-ID <3>.生成树的三种类型 1.PVST(Cisco私有) 改COST值:R1(config)#int fx/x R1(config)#spanning-tree vlan 10 cost x 2.RPVST(Cisco私有) R1(config)#spanning-tree mode rapid-pvst 3.RSTP(公有,8022.1w) 4.MSTP(802.1s) 默认实例为0 负载均衡 快速收敛 STP例子少 命令:spanning-tree mode mst spanning-tree mst config instance x vlan x name x show pending spanning-tree mst 1 priority 0//选实例1为根桥 改COST:spanning-tree mst 0 cost x 注:多实例生成树要全局一致 二.网关冗余 1.冗余的高级功能:出口检测,冗余具有抢占功能 2.两种协议:HSRP(私有),VRRP(公有) 3.HSRP R1(config-if)#ip add 10.10.10.253 255.255.255.0 R1 (config-if)#standby 1 ip 10.10.10.254 R1 (config-if)#standby 1 priority 150 R1 (config-if)#standby 1 track 1 decrement 50 R1 (config-if)#standby 1 preempt 4.VRRP R1 (config-if)#ip add 10.10.10.253 255.255.255.0 R1 (config-if)#vrrp 1 ip 10.10.10.254 R1 (config-if)#vrrp 1 priority 150 R1 (config-if)#vrrp 1 track 1 decrement 50 R1(config-if)#track 1 int fx/x ip routing 三.交换安全 <1.>MAC攻击(端口安全限制) Int fx/x Switchport port-security maxinum 1 Switchport port-security x.x.x.x或者sticky Switchport port-security vidation protect/restrict/shutdown <2.>IP ARP攻击 网关欺骗(后来者优先),软件有P2P终结者,聚生网管 解决方法:PC机绑定MAC地址与IP地址;交换机上设置端口限制 <3.> DHCP伪装 DHCP嗅探 Ip dhcp snooping Int fx/x Ip dhcp snooping trust <4.>DAI(动态ARP检测) DHCP固化:开启嗅探 Ip arp inspection valiolate ipdat-mac Ip arp inspection vlan10 DHCP的启用,PC机的接口下:ip add dhcp Arp access-list spoto Permit ip x.x.x.x x.x.x.x host x.x.x.x <5.>端口认证 AAA(认证,授权,记账) telnet 认证上;PPPoE的拨号;端口认证 802.1x AAA server,client,user …………………………………………华丽的分割线……………………………… FZ-BOOTCAMP48 第六次课堂笔记 一. Telnet 1. aaa new-model tacacs-server host x.x.x.x tacacs-server key x 应用AAA:aaa authentication login default group tacacs local none//在所有的线路认证 aaa accounting exec default start-stop group tacacs+ aaa authentication login spoto group tacacs none//防止在Console口进行认证 aaa authentication login bootcamp none line console 0 login authentication bootcamp test aaa group tacacs+ bootcamp spoto new-code//测试 2. telnet的三种形式: no login login password x login local//本地验证 二.802.1x(端口认证) 1.NAS:R (config)#aaa new-model//开启AAA R (config)#radius-server host x.x.x.x R(config)# radius-server key x R(config)#aaa authentication dot1x default group radius R (config)#dot1x system-auth-control//全局启用dot1x R (config)#int range fx/x fx/x R (config-if)# dot1x port-control auto//接口下启用dot1x test aaa group radius x x new-code//测试服务器配置
………………………………………………华丽的分割线…………………………………………
FZ-BOOTCAMP48 第七次课堂笔记
一.端口应用安全 1.日志服务:syslog 配置命令R(config)#loggin host x.x.x.x 或者R(config)# loggin x.x.x.x R(config)#loggin buffered x//日志等级 2.端口安全两种方式:MAC绑定 限定能够学习的MAC数 配置命令:R(config)#switchport port-securitymaximum x violation protect 二.SPAN流量控制镜像 R(config)#monitor session x source int fx/x //设定SPAN的受控端口 R(config)#monitor session x destination int fx/x//设定SPAN的监控端口 三.防火墙 1.PIX和ASA(自适应安全算法) 查看:R(config)#show int ip brief 删除配置:R(config)#write erase 配置命令:R(config-if)#nameif inside R(config-if)#security-level x//安全等级默认100 R(config)#nat(inside)1 0 0 R(config)#global(outside)x interface R(config)#route outside 0 0 x.x.x.x 开发防火墙的Ping功能: R(config)#access-list x permit icmp any any R(config)#access-list x interface outside 查看NAT:R(config)#show xlate 静态NAT:static (inside,outside)x.x.x.x//公网IP Access-list x permit tcp any any eq 23//允许外网telnet进来 端口映射:static (inside,outside)tcp interface 23 x.x.x.x 23 防火墙对内服务与对外服务分开: 配置命令:R(config-if)#nameif DMZ(非军事化区域) R(config-if)#Security-level 50 FZ-BOOTCAMP48第八次课堂笔记 一. VPN(虚拟专用网) 1.GRE VPN 通用路由封装 GRE 二次封装 明文 2.配置:Int tunnel 0 Ip add x.x.x.x x.x.x.x Tunnel source x.x.x.x 公网 Tunnel destination x.x.x.x 目的公网IP Exit Ip route x.x.x.x 目的私网网络号 掩码 tunnel 0 注:tunnel 口BW为9Kbit 3.VPN配置:基础配置(IP,NAT,路由) tunnel 路由(静态,动态) Router ospf 1 Network tunnel口IP的网络 反掩码 area x Network 本地私网网络号反掩码 area x 4.PPTP VPN 二层 端口映射1723 L2TP VPN 5.VPN安全 加密:DES(64),3DES(3*64),AES(128) 验证完整性:mds;Hash 6.MPLS VPN(多协议标签交换) 二点五层 ISP建设 FZ-BOOTCAMP48第九次课堂笔记 一.IPSec VPN 1.Ip http server//开HTTP服务 Ip http authentication local//启用HTTP本地认证 Username spoto privilege 15 password spoto// 设置安全等级15的用户 2.SDM(安全设备管理器)登入路由器时的基本配置 aaa authentication login sdm_vpn_xauth_ml_1 local aaa authorization network sdm_vpn_group_ml_1 local crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec profile SDM_Profile1 set transform-set ESP-3DES-SHA set isakmp-profile sdm-ike-profile-1 crypto isakmp profile sdm-ike-profile-1 match identity group spoto client authentication list sdm_vpn_xauth_ml_1 isakmp authorization list sdm_vpn_group_ml_1 client configuration address respond virtual-template 1 crypto isakmp client configuration group spoto crypto isakmp policy 1 encr 3des authentication pre-share group 2 3.ACL推送技术 4.SSL VPN 安全 5.ASA配置 Nameif inside//配置内网接口 Nameif outside//配置外网接口 Nat (inside) 1 0 0//配置PAT,复用出接口 6.SSL VPN Ciscoasa(congfig)#webvpn Ciscoasa(congfig-webvpn)#Enable outside//外网口开启webvpn Ciscoasa(congfig-webvpn)#svc image disk0:/ssiclient-win-1.1.4.179-anyconnect.pkg//交换虚链路提供的镜像文件位置及其名字 Ciscoasa(congfig-webvpn)#svc enable//开启交换虚链路功能 Ciscoasa(congfig-webvpn)#ip local pool ssl-user x.x.x.x-x.x.x.x//创建本地地址池,ssl-user为池的名字,池为VPN用户提供IP地址 7.SSL VPN策略组与隧道组配置 Ciscoasa(congfig)#group-policy mysslvpn-group-policy internal//创建并指定组的内部组策略 Ciscoasa(congfig)#group-policy mysslvpn-group-policy attributes//进入组策略的命令模式 Ciscoasa(congfig-group-policy)#vpn-tunnel-protocol webvpn //VPN隧道协议使用webvpn Ciscoasa(congfig-group-policy)#webvpn //进入webvpn配置模式 Ciscoasa(congfig-group-webvpn)#svc enable //webvpn中使用SSL VPN Ciscoasa(congfig-group-username)#vpn-group-policy mysslvpn-group-policy//将配置的VPN组策略应用 Ciscoasa(congfig)#tunnel-group mysslvpn-group type webvpn //隧道组使用webvpn Ciscoasa(congfig)#tunnel-group mysslvpn-group general-attributes//进入隧道组mysslvpn的一般属性配置模式 Ciscoasa(congfig-tunnel-general)#address-pool ssl-user//配置使用的地址池用ssl-user Ciscoasa(congfig)#tunnel-group mysslvpn-group webvpn-attributes//进入mysslvpn隧道组的webvpn属性配置模式配置隧道分离 Ciscoasa(congfig)#webvpn Ciscoasa(congfig-webvpn)#tunnel-group-list enable //启用隧道组列表 Ciscoasa(congfig)#access-list split-ssl extended permit ip x.x.x.x x.x.x.x any Ciscoasa(congfig)#access-list split-ssl extended permit ip x.x.x.x x.x.x.x any //配置隧道分离时使用的访问列表 Ciscoasa(congfig)#group-policy mysslvpn-group-policy attributes//进入组策略属性配置 Ciscoasa(congfig-group-policy)#split-tunnel-policy tunnelspecified//隧道分离的策略为特殊隧道 Ciscoasa(congfig-group-policy)#split-tunnel-network-list valuesplit-ssl//隧道分离使用的列表 8.防火墙管理:内网管理 telnet 0 0 inside nameif Password x Enable password x 外网管理 SSH 0 0 outside SSH version x 测试:telnet x.x.x.x 22 9.配置防火墙:
<config>#username xxx password xxxxxx encrypted privilege 15
<config>#aaa authentication enable console LOCAL
<config>#aaa authentication telnet console LOCAL
<config>#aaa authentication http console LOCAL
<config>#aaa authentication ssh console LOCAL
<config>#aaa autoentication command LOCAL
<config>#http server enable
<config>#http 192.168.1.0 255.255.255.0 inside
<config>#telnet 192.168.1.0 255.255.255.0 inside
<config>#ssh 192.168.1.0 255.255.255.0 inside
<config>#crypto key generate rsa(打开SSH服务)
//允许内部接口192.168.1.0网段telnet防火墙
|