神州数码笔记

老黄编

1、设备改名

#hostname  (名字)

2、远程管理配置

路由telnet：

#aaa authentication login default local  AAA认证登录违约的地方

#aaa authentication enable default enable  AAA认证使违约enable

#user admin password admin  用户管理密码

#enable password admin  启用密码admin

交换机telnet：

#telnet-server enable  Telnet服务器启用

#telnet-user admin password  Telnet用户admin密码

拓展：#telnet-server security  ip 192.168.10.1设置可连接的IP地址

3、VLAN技术

添加端口进入vlan

#vlan 20

vlan20)#switchport interface ethernet 0/0/5-10

进入vlan配置端口

switch(config)#interface  ethernet 0/0/1

switch(config-if)#exit

switch(config)#interface  vlan 10

switch(config-if)exit

私有Vlan

Config）#vlan 10                          创建主vlan

Config）#private-vlan primary

Config）#vlan 20                          创建团体vlan

Config）#private-vlan community

Config）#vlan 30                         创建隔离vlan

Config）#private-vlan isolated

Config）#vlan 10

Config）#private-vlan  association 20 30      把隔离vlan与团体，主vlan关联

团体vlan能与任何vlan通讯，除了隔离vlan。

隔离vlan只能与主vlan通讯！所以主vlan一般设置在出口

4、Trunk技术

(config)#interface Ethernet 0/0/24

(config-if)#switchport mode trunk

5、链路聚合

静态链路聚合

#port-group *开启链路聚合口，*为链路编号

#interface Ethernet 0/0

#port-group  *  mode on

动态链路聚合

#port-group *

#Interface Ethernet 0/0

#port-group * mode   active/passive 主动/被动ps：两边设置一边为主动

一边为被动

6、MSTP多生成树

#spanning-tree

#spanning-tree mode mstp

#spanning-tree mst  configuration

（config-mstp-R）#name  *改名 *为名字

（config-mstp-R）#instance 1 valn 10 创建实例与vlan关联

   #spanning-tree mst 1 priority 4096  修改实例1的优先级为4096 默认32768

7、HSRP、VRRP配置

路由器VRRP：

config-if）#vrrp associate  IP地址子网掩码

config-if）#vrrp preempt   抢占模式开启

config-if）#vrrp priority <1-254>配置优先级

config-if）#vrrp preempt delay  ×抢占延迟时间

交换机VRRP：

Config）#router vrrp× -vrrp编号需相同×为编号

Config-if）#virtual-ip  IP地址配置虚拟网关

Config-if）#preempt-mode false/true 关闭/开启抢占

Config-if）#priority <1-254>设置优先级

Config-if）#interface vlan×进入vrrp会话接口

Config-if）#enable                 启动进程

HSRP：

Config-if）#interface <端口或vlan>

Config-if）#standby ip IP地址子网掩码配置虚拟网关

Config-if）#priority <1-254>优先级

Config-if）#preempt                      开启抢占

Config-if）#preempt delay ×抢占时间

8、SVI技术，实现vlan之间的路由

Config-if）#interface vlan×进入vlan配置

Config-if）#ip address IP地址子网掩码配置IP地址

Config-if）#no shutdown                 激活

9、静态路由、默认路由

Config-if）#ip route 未知网段未知网段子网掩码下一跳IP地址静态路由

Config-if）#iproute default 下一跳IP地址默认路由

10、RIP动态路由

config#router rip

config_rip#network未知网段子网掩码

config_rip#network vlan ×（个别设备只能识别vlan不能识别网段宣告自身连接的网段）

config_rip#version 2      选择版本号

config_rip#no auto-summary关闭自动汇总

11、OSPF动态路由

Config）#router ospf×OSPF编号需一致

Config-if）network 未知网段未知子网掩码 area 区域号

例子：Config-if# network  网段  反子网掩码

PS：所有区域需跟 0 区接触。

OSPF虚链接一般在区域边缘做虚链接

R1_config#router ospf 1

R1_config_ospf_1#area 1 virtual-link   Router-ID在对端也要做相同操作

此处使用的不是IP地址，是Router-ID，Router-ID可以手动配置。如果没有配置Router-ID的话就根据接口的IP地址大小形成一个Router-ID，IP地址越大就会形成Router-ID。指向的是邻居的Router-ID

OSPFMD5认证

R1_config#interface fastEthernet 0/0

R1_config_f0/0#ip ospf authentication message-digest  选择MD5认证

R1_config_f0/0#ip ospf message-digest-key 10 md5 123456 

配置认证口令ID，选择MD5认证，最后输入秘钥在对端需要做相同配置

OSPF明文认证

R1_config#interface fastEthernet 0/0

R1_config_f0/0#ip ospf authentication simple      选择明文认证

R1_config_f0/0#ip ospf password 123456         发送密钥在对端需要做相同配置

12、路由重分发

Config）#router ospf/rip 

Config）#redistribate static/connotcted静态/直连

Config）#redistribate rip/ospf

13、DHCP

(config)#vlan 10

(config-vlan10)#switchport interface Ethernet 0/0/1     把端口划分进vlan

(config)#interface vlan 10

(config-if-vlan10)#ip address 192.168.1.254 255.255.255.0  

配置IP地址，DHCP会根据网段发布地址

(config)#service dhcp开启DHCP服务

(config)#ipdhcp pool vlan10   创建一个DHCP地址池

(dhcp-vlan10-config)#network-address 网段设置发布的网段和子网掩码

(dhcp-vlan10-config)#default-router 网关地址设置发布的网关

(config)#ipdhcp excluded-address IP地址 IP地址配置禁止发布地址范围

14、端口安全

端口限速

Sw1(config)#interface Ethernet 0/0/1

Sw1(config-if)#bandwidth control <1-1000>M

设置识别线

Sw1(config-if)#mdi across/auto/normal    交叉线/自动识别/直通线

速度双工

Sw1（config-if)speed-duplex  x  参数选择请自行help

广播风暴抑制功能

Sw1(config)#broadcast-suppression  设置交换机每秒全部接口通过的数据包

端口镜像

Sw1(config)#monitor

15、nat配置

静态nat一般用于在发布内网服务器

Config）#interface fa0/x 

Config）#ipnat inside/outside 定义内！必须先定义

Config）#ipnat inside soure static 服务器地址地址这里的地址指的是连接内网的IP 也就是离内网最近的IP地址

Config）#ip route default 需要设置一条默认路由，让内网学习到ip

动态nat一般用于内网连接

Config）#interface fa0/x 进入端口

Config）#ipnat inside/outside 内网/一定是第一步！

Config）#ipaccess-list standard neiwang创建内网地址池

Config）#permit 内网网段子网掩码

Config）#ipnat pool waiwang创建地址池

Config）#ipnat inside source list neiwang pool waiwang overload 关联内地址池

16、背对背线缆相关配置

PPP无认证

Config）#interface serial 0/x

Config）#ip address IP地址子网掩码

Config）#no shutdown

Config）#encapsulation ppp转换模式为PPP

Config）#aaa authentication ppp default local 3a认证

PPP pap认证

Config）#interface serial 0/x

Config）#ip address IP地址子网掩码

Config）#no shutdown

Config）#physical-layer speed   x  设置时钟频率

Config）#encapsulation ppp转换模式为PPP

Config）#ppp authentication pap 设置pap模式

Config）#username x password x

Config）#aaa authentication ppp default local   3a认证

对端：

Config）#interface serial 0/x

Config）#ip address IP地址子网掩码

Config）#no shutdown

Config）#encapsulation ppp

Config）#ppp pap sent-username x password x 客户端发送账号密码

PPP chap认证

Config）#interface serial 0/x

Config）#ip address IP地址子网掩码

Config）#no shutdown

Config）#physical-layer speed   x  设置时钟频率

Config）#encapsulation ppp设置模式为ppp

Config）#ppp authentication chap 设置chap认证

Config）#ppp chap hostname x 发送主机名

Config）#username x password x

Config）#aaa authentication ppp default local   3a认证

对端：

Config）#interface serial 0/x

Config）#ip address IP地址子网掩码

Config）#no shutdown

Config）#encapsulation ppp设置模式为ppp

Config）#ppp authentication chap

Config）#ppp chap hostname x 

Config）#username x password x

Config）#aaa authentication ppp default local   3a认证

17、策略路由

1.创建一个控制列表

Config）#ip access-list standard  x x为名字

Config）#permit 想要控制的IP地址子网掩码

2.创建路由图

Config）#route-map  x  10  10为条目

Config）#match ip address 控制列表ID        关联访问控制列表

Config）#set ip next-hop  下一跳的IP地址配置下一跳地址

   3.应用在接口上

Config）#interface fa 0/x

Config）#ippoliey route-map x              关联路由图ID

18、VPN

L2TP配置

LAC：

Config）#username  x password 0 123         创建用户账号密码

Config）#interface virtual-tunnel 0             创建虚拟接口

Config）#request-dialin关键步骤！决定主端和被端

Config）#protocol l2tp                       设置l2tp协议

Config）#initiate-to ip下一跳LNS端IP priority 1 只用在LAC配置确定LNS端IP地址

Config）#ip route LNS端IP地址子网掩码 virtual-tunnel 0 发送静态路由过虚拟隧道

LNS

Config）#username x password x                与LAC端一样创建账号密码

Config）#aaa authentication pppdefault local        开启3a认证

Config）#interface  virtual-teplate x               进入虚拟接口模板

Config）#ppp chap hostname x           

Config）#ip address IP地址子网掩码

Config）#vpdn enable

Config）#vpdn-group l2tp

Config）#accept-dinlin

Config）#port  virtual-template  x                克隆配置源接口

Config）#protocol   l2tp

Config）#ip route 192.168.1.0 255.255.255.0 200.1.1.1 做一条静态路由

在三层交换机上访问控制列表要开启防火墙模式

Config）#firewall enable

PPTP配置与L2tp配置相同，将l2tp协议修改为pptp协议即可

IPsec配置

IPsec没有区分LAC和LNS 两边都为对端

Config）#crypto isakmp policy x                    进入算法列表，编号为 x

Config）#authentication pre-share   配置预共享密钥

Config）#encapsution  x                         认证算法

Config）#hash x                                 哈希算法

Config）#lifetime x                              数据存活时间

Config）#group x                                通道

Config）#ip access-list extdard x                    创建保护列表

Config）#permit  IP地址子网掩码添加需要通过的IP地址

Config）#crypto ipsec transform-set x                创建变换集

Config）#transform-type  x                       设置变换内容

Config）#mode  tunnel                          设置隧道模式

Config）#crypto  map x 10 ipsec-isakmp创建映射表

Config）#match address x                         关联保护列表

Config）#set transform  x                         关联变换集

Config）#set peer IP地址指定对端地址

Config）#interface serial 0/1

Config）#crypto map x                             将映射表关联至端口

在对端需要做相同配置

LAC配置

LAC/Client_config#username admin password 0 123

LAC/Client_config#aaa authentication ppp default local  

<跟传统的配置PPP协议一样，开启3a>

LAC/Client_config#interface virtual-tunnel 0     

<创建虚拟接口0，使Client/LAC端并入而创建的接口>

LAC/Client_config_vn0#ppp chap hostname admin 

<虚拟隧道接口默认都是PPP协议开启的。选择用CHAP发送账号>

LAC/Client_config_vn0#ip address 200.1.1.1 255.255.255.0 

LAC/Client_config_vn0#no shutdown

LAC/Client_config#vpdn enable <开启VPDN>

LAC/Client_config_vpdn#vpdn-group l2tp <创建VPDN组，并命名>

LAC/Client_config_vpdn#request-dialin     

<设置为请求拨入！决定LNS还是LAC的重要步骤>

LAC/Client_config_vpdn#protocol L2TP <设置为L2TP的协议>

LAC/Client_config_vpdn#initiate-to ip 20.1.1.2 priority 1    

<只用在LAC端配置，来确定远端NS的地址，并设为优先级1>

LAC/Client_config#ip route 192.168.2.0 255.255.255.0 virtual-tunnel 0    

<发送静态路由过虚拟隧道接口0>

_______________________________________________________

LNS配置

LNS_config#username admin password 0 123

LNS_config#aaa authentication ppp defual local

LNS_config#interface virtual-template 0       

<注意，进入的接口是虚拟接口模板，不是刚才的虚拟隧道接口>

LNS_config_vt0#ppp chap hostname admin

LNS_config_vt0#ip address 200.1.1.2 255.255.255.0 

LNS_config#vpdn enable             

LNS_config_#vpdn-group l2tp       

LNS_config_vpdn_0#accept-dialin

LNS_config_vpdn_0#port virtual-template 0 <克隆配置源端口>

LNS_config_vpdn_0#protocol L2TP     

LNS_config#ip route 192.168.1.0 255.255.255.0 200.1.1.1

LNS、LAC的解释说明：

从图中我们可以看到，LAC连着Client端，也连着LNS。其中client端就是指客户端。LAC相当于一个L2TP的集线器，相当于客户端集中拨号器，总而言之就是把客户端集中在LAC端（大致意思）。

LNS就是L2TP网络服务器。

1、LAC

LAC表示L2TP访问集中器（L2TP Access Concentrator），是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。LAC一般是一个网络接入服务器NAS，主要用于通过PSTN/ISDN网络为用户提供接入服务。LAC位于LNS和远端系统（远地用户和远地分支机构）之间，用于在LNS和远端系统之间传递信息包，把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS，将从LNS收到的信息包进行解封装并送往远端系统。LAC与远端系统之间可以采用本地连接或PPP链路，VPDN应用中通常为PPP链路。

2、LNS

LNS表示L2TP网络服务器（L2TP Network Server），是PPP端系统上用于处理L2TP协议服务器端部分的设备。它作为L2TP隧道的另一侧端点，是LAC的对端设备，是被LAC进行隧道传输的PPP会话的逻辑终止端点。

用户――（ISDN/PSTN）――LAC――（L2TP协议）――LNS―――企业内部网络

路由器支持一种Virtual-tunnel端口（简称VN端口），当该端口配置在作为PAC的路由器上时，可以代替客户端的作用，从而使Client端和NAC合二为一。