CCIE学习笔记之特性集

标签：cisco特征集 ccie学习笔记

etherchannel loadbalance  dst –mac

以太网隧道负载方式基于目标MAC

MST

(config)# spanning -tree mode mst 

(config)# spanning -tree mst configuration

(config-mst )#  name CCIE

(config-mst )#  instance 1 vlan 20,40,60

spanning -tree mst 3 root primary

spanning -tree mst 1,2 root secondary

VLAN ACL

(config)# vlan access-map Deny_VIP 10 

(config)# match mac address VIP

(config)# action drop

(config)# vlan access-map Deny_VIP  20

(config)# vlan filter Deny_VIP vlan -list 50

frame-relay

interface serial 0/0 

 frame -relay broadcast -queue 120 260000 240   // FR broadcast queue to 120 , 260Kbytesrate per seconds,  240  packet per second

damping

interface serial 0/0 

   dampening                           // Turn on dampening to avoid

excessive routing updates

广播转单播

ip forward -protocol udp snmptrap

interface G0/0/1.70

  iphelper-address 150.2.Y.254

利用PBR做标记

route -map PBR

 match ip address 100 

  setip precedence 3

  setip next-hop YY.YY.11.4

interface G0/0/1  (12.0/24)

  ippolicy route -map PBR

RPF校验

ip cef

interface serial 0/0 

  ipverify unicast source reachable-via any 10 

access-list 10 deny any log   //记录日志

tcp intercept

ip tcp intercept mode watch    //模式watch，路由器监控客户和服务器的TCP回话建立过程

ip tcp intercept watch -timeout 15   //若客户15秒还没和服务器建立TCP三次握手则路由器向服务器发送RST（复位）消息，防止拒绝服务攻击

ip tcp intercept list 100           

access-list 100 permit tcp any 150.1.YY.00.0.0.255

access-list 100 permit tcp any host150.1.Y.254

ip tcp intercept mode intercept    //路由器代替服务器和客户建立三次握手

ip tcp intercept conncect -timeout 150    //在非主动模式下tcp会话在idle150s后，超时断开（默认TCP连接是永远不超时的）

ip access-list extended DOS
permit tcp any host 1.1.1.1
ip tcp intercept list DOS    //服务器为1.1.1.1，那么监控所有访问这台服务器的TCP流量

ip tcp intercept max-incomplete high 1000
ip tcp intercept max-incomplete low 800
//所有半开连接数达到1000后，进入主动模式，主动模式会将所有的超时时间

减半，比如上面配置的connection-timeout会由1800s变成900s。当连接数低

于800时，再恢复正常。
ip tcp intercept one-minute high 500
ip tcp intercept one-minute high 400
//一分钟内新增的半开连接数达到500时，进入主动模式。低于400时，再恢复

正常。

ip tcp intercept drop-mode random/oldest （修改丢弃连接的方式)
默认为oldest

storm -contro

(config)# interface f0/10 

(config-if)# storm -control unicast level55  //把入站单播的流量限制到接口带宽*55%

block unknown traffic

(config)# interface f0/5

(config-if)# switchport block multicast  //阻止未知组播（即MAC地址表没有的）

  Exception Handling

(config)# ip ftp source -interface G0/0/0

(config)# ip ftp username ccie

(config)# ip ftp password cisco

(config)# exception core-file RA-CORE   //给core-file起名，core-file用于设备异常故障检测

(config)# exception dump 150.1.12.254   //把core-file传输到150.1.12.254

(config)# exception protocol ftp         //传输协议用FTP

(config)# exception region-size 65535

DHCP

(config)# service dhcp            //开启DHCP服务

(config)#  no ipdhcp conflit logging      //不记录冲突地址（如果记录则冲突过的地址一直分配不出去）

(config)# no ip dhcp excluded-address YY.YY.55.57

(config)# ip dhcp pool DHCP

(dhcp-config)# network YY.YY.55.0 /24

(dhcp-config)# dns -server YY.YY.55.60YY.YY.55.57 

(dhcp-config)# domain-name cisco.com

(dhcp-config)# default-router YY.YY.55.254

(dhcp-config)# lease 10 

(dhcp-config)# update arp      //联动接口ARP表的更新

(config)# interface G0/0/0

(config-if)#  arp authorized  // DHCP服务器没有记录的MAC不放入ARP表

跟踪攻击源

(config)# ip source-track 150.1.YY.254      //指定被攻击的设备

(config)# ip source-track address -limit 1    //跟踪设别限制为1

(config)# ip source-track syslog-interval 1440 //每1440分钟（一天）发送一次报告系统日志

防止碎片攻击

access-list extended Defragment

 deny ip any host 10.1.Y.5 fragments  //拒绝碎片报文

 permit ip any any

interface G0/0

  ipaccess-group Defragment in

802.1x

802.1xhost mode:

1. Single-Host Mode:交换机接口下只能有一台主机，否则违规

2. Multiple-Hosts Mode：交换机接口下可以有多台主机，但只要有一台认证即可

3.Multidomain Authentication Mode：可接一个IP电话和连在IP电话后的一台主机，所以每个端口允许两个MAC地址

4.Multiauthentication Mode：交换机接口下可以有多台主机，每台主机都要认证

Switch(config)# dot1x system-auth-control   //在交换机上开启802.1x

Switch(config)# aaa new-model            //开启AAA

Switch(config)# aaaauthentication dot1x default group radius  //dot1x认证方法default的认证方式为radius

Switch(config)#  aaa authorization network {default} groupradius  //用radius服务器进行网络相关的请求，如依据认证通过与否等进行vlan的划分

Switch(config)#  radius-server host 172.l20.39.46 auth-port1645 acct-port 1646 test username

randomuser idle-time 1 key mykey  //radius服务器地址

Switch(config)#  ip radius source-interface g3/2

Switch(config)#  radius-server vsa  send authentication //在multi-domain模式时用，接入设备根据AAAserver发出的VSAs判别语音和数据

Switch(config)#  dot1x guest-vlan supplicant    //全局开启客户vlan（隐藏命令）

Switch(config)#  radius  dead-criteria time 5  tries 2 //radius服务器不响应两次，每次5s就判定radius死亡（可选）

Switch(config)#  radius deadtime 10                  //每个10分钟检测一次down的radius服务器起来了没有（可选）

Switch(config)# authenticationcritical recovery delay msec //radius服务器重新可用后初始化认证端口（到服务器进行认证）的速度，如果为100ms则每秒初始化10个端口（可选）

Switch(config)#  interface fastethernet2/1

Switch(config-if)# switchportmode access                 //认证接口要是接入接口

Switch(config-if)# switchportaccess vlan 12

Switch(config-if)# switchportvoice vlan 10

Switch(config-if)# authenticationhost-mode single-host | multi-host | multi-domain | multi-auth

//认证的host mode

Switch(config-if)# dot1x paeauthenticator             //用默认参数在端口下启用802.1x

Switch(config-if)# authenticationport-control auto    //开启端口认证，模式为自动，早期命令：dot1x port-control auto

Switch(config-if)# mab [eap]        // 开启MAB（mac authentication   bypass），允许不支持802.1x的设备（如语音设备、打印机）接入用MAC地址认证，早期为dot1x mac-auth-bypass [eap]

Switch(config-if)# authenticationviolation [restrict  | shutdown ]  //认证违规（如single-host模式发现两个MAC）处理方式，默认shutdown，restrict模式则不会关闭接口

Switch(config-if)# authenticationevent no-response action authorize vlan 50 //客户机不支持802.1x(不响应认证请求)把端口划入vlan 50(即guest vlan),早版本的命令为dot1x guest-vlan 50

Switch(config-if)# authenticationevent server dead action authorize vlan 17 //开启InaccessibleAuthentication Bypass特性，即如果没有可用的radius服务器则把端口入vlan 17，如果此时有可用的radius则可让端口初始化，默认不初始化

Switch(config-if)#authenticationevent server alive action reinitialize //如果radius服务器再次可用则端口初始化，默认不初始化

Switch(config-if)# authenticationevent fail retry 5 action authorize vlan 40 //尝试5次认证失败则划入vlan 40,早期命令为：dot1xauth-fail vlan 40和dot1x auth-failmax-attempts 3

Switch(config-if)#  authentication periodic       //开启定期的重认证，默认关闭，早期命令：dot1x reauthenticator

Switch(config-if)# authenticationtimer reauthenticate 4000 //设置重认证时间间隔，默认3600s，早期命令：Switch(config-if)# dot1x timeout reauth-period 4000

Switch(config-if)# dot1x timeoutquiet-period 30   //不能认证客户（如认证失败则等待30秒再认证），缩短可以加快对用户的响应

Switch(config-if)# switchportmode private-vlan host   // PVLAN hostport

用宏创建vlan

macro name VLAN

vlan 30

 name VLAN_30

vlan 31

 name VLAN_31

@

macro global apply VLAN

RSPAN

vlan 500 

   remote-span

monitor session 1 source interface f0/10rx  //只监控接收流量

monitor session 1 destination remote vlan500 reflect -port f0/18  //3550要反射端口

monitor session 1 source remote vlan500 

monitor session 1 destination interfacef0/18

端口映射

ip nat inside source static tcp Y.Y.3.3 23Y.Y.6.254 23

interface G0/0  

  ipnat outside

interface S0/0

  ipnat inside

accounting

interface G0/0

  ip accountingoutput -packets

Router(config-if)#ip accountingaccess-violations
启动针对访问控制列表的IP统计

ip accounting -list Y.Y.6.254 0.0.0.0  

NTP

——ntp access-group: 该全局命令用于路由器N T P服务的访问控制。
——ntp authenticate: 是一个全局命令，它启用N T P身份验证。
——ntp authentication-key: 该全局命令用于定义N T P身份验证的键值。
——ntp broadcast: 是一个接口命令，用于指定一特定接口来发送N T P广播包。
——ntp broadcast client: 是一个接口命令，使路由器通过特定接口来接收N T P广播包。
——ntp broadcast delay: 是一个全局命令，它用于设定数据包在路由器和N T P服务器之间一个回程所需时间的估计值。
——ntp clock-period: 这条全局命令不必输入，当使用N T P进行系统时钟同步时，路由器将自动产生这条命令。
——ntp disable: 这条接口命令使特定接口不接收N T P包。
——ntp master: 这条全局命令用来配置路由器为N T P主时钟，只有当没有可用的外部N T P源或者为测试用途才使用该命令。
——ntp peer: 该全局命令使路由器的系统时钟与其对等体的时钟同步（或对对等体的时钟进行同步）。
——ntp server: 该全局命令使路由器的系统时钟由时间服务器进行同步。
——ntp source: 该全局命令强制路由器在其N T P包中使用特定的源地址。
——ntp trusted-key: 该全局命令用于确认路由器的特定身份验证键值。
——ntp update-calendar: 该全局命令使N T P周期性地更新Cisco7XXX 系列路由器的日历。
——show ntp status: 是一执行模式命令，用于显示路由器的N T P信息，它可以表明该路由器是通过N T P对等体进行时钟同步还是通过N T P服务器进行同步。
——show ntp association[detail]: 这条执行模式命令显示与N T P有关的信息，如*询周期等。

Router(config)#ntp max-associations 30   //限制路由器可以接受的NTP Peers的数目

Router(config)#ntp access-group peer 88
Router(config)#ntp access-group serve-only 99

//只允许内部时钟从ACL88定义的服务器中获得同步，同时只有ACL99定义的两个网段的客户端可以从本设备请求时间信息

query-only：允许从列出的IP地址发出NTP控制查询。控制查询用在监视NTP进程的SNMP网络管理工作站。
serve-only：允许访问控制列表上的IP地址请求事件，路由器不向远程系统同步时间。
serve：允许时间请求和控制查询，路由器同样不向远程系统同步时间。
peer：允许时请求和控制查询，并且允许路由器从远程系统同步时间。

Router2(config)#ntp logging   //记录重要的NTP事件

Router2#show logging | include NTP

clock timezone PST -8

clock summer-time PST recuring 2 Sun Mar 2:00 1 Sun Nov 2:00   //夏令时的时间是从3月第二个周日的2：00AM到11月第一个周日的2：00AM( 使用太平洋时区)

R3* 

ntp authentication -key 1 md5 cisco 

ntp authenticate

ntp master 2   //指明自己是服务器

ntp soure-interface loopback 0 

R4* 

ntp authentication-key 1 md5 cisco 

ntp authenticate

ntp trust-key 1     //只有客户端要信任

ntp server Y.Y.3.3 key 1 source loopback 0   //请求NTP服务器在更新中携带密码

端口安全

interface range f0/11 -15

 switchport mode access

 switchport access vlan 44 

  switchportport -security mac-address sticky

 switchport port -security maximum 2 

 switchport port -security violation restrict

 switchport port –security

SSH 

username rackYY privilege 15 passwordcisco 

access-list 10 permit host Y.Y.2.2

line vty 0 x

 transport input ssh

 login local

 access-class 10 in

ip domain name ccie.cisco.com

crypto key generate rsa

STP

spanning -tree vlan 56 forward -time 6   //配置VLAN 56的ports from upto forward 的时间为6秒

spanning -tree uplinkfast

spanning -tree vlan 11,13,15,201,203,801root primary 

spanning -tree portfast bpduguard default

banner

banner motd @ 

Enter TEXT message. End with thecharacter  “@”

SWITCH IS UNDER CONFIGURATION

PLEASE CONTACT  HELP-DESK FOR ANY ASSISTANCT.

@

DRP（DirectorResponse Protocol）

用户在请求服务器数据的时候，可能无法定位与自己最近的服务器，那么这个时候可能需要在网络里放置导向器,导向器的功能就是将用户的请求信息重新定位（重定向）到与之最近的服务器。所以导向器要能够查讯网络里路由器上的BGP和IGP路由信息，这就需要路由器提供支持，如果路由器能够完全提供这种路由信息的支持，就必须配置成DRP Server Agent（DRP服务器代理）。

路由器要成为服务器代理，必须满足以下要求：

1.必须在拓朴上和导向器是邻近的且路由上是可达的。

2.应该具有全网的路由信息，IGP和BGP都不能少，须保证自己全网可达。

3.保证能够访问所有导向器。

1.打DRP agent.

r1(config)#ip drp server

2.写ACL允许哪些能访问

（1）定义ACL

r1(config)#access-list 10 permit10.1.1.1

（2）加上ACL:

r1(config)#ip drp access-group 10         //只允许10.1.1.1使用DRP 代理

3.使用认证以提供安全：

（1）定义Key Chain

r1(config)#key chain ccie

r1(config-keychain)#key 1

r1(config-keychain-key)#key-stringcisco

r1(config-keychain-key)#exit

r1(config-keychain)#exit

(2)使用认证

r1(config)#ip drp authenticationkey-chain ccie

4.查看结果：

r1#sh ip drp

WCCP

WCCP的工作原理为每当用户访问一个页面时，WCCP就将这些页面进行缓存保留，当用户下次请求网页数据时，路由器将用户的请求发到引擎，如果缓存中有相同网页的备份，则直接从缓存中发给用户，提高速度；但是如果没有，就自己重新请求远程网页，然后再发给用户。

1．开启WCCP：

（1）启用WCCP：

Router(config)# ip wccp web-cache

ip wccp web-cache group-address 224.1.1.100 passwordalaska1

（2）开启WCCP ver2

(共两个版本，默认为ver2)

router(config)#ip wccp version 2

（3）在接口上启用：

Router(config)# interface f0/0

Router(config-if)# ip wccpweb-cache redirect out

注：在f0/0接口的out方向启用，表明用户接在f0/0上，路由器只将从网站服务器发回的数

据从f0/0发给用户时，才会缓存。

（4）限制WCCP缓存哪些WEB服务器过来的数据包（可选配置）：

例：比如只接收服务器10.1.1.1（即ACL10过来的数据）发来的数据：

router(config)# access-list 10permit host 10.1.1.1

router(config)# ip wccp web-cachegroup-list 10 

//notify the router which IP addresses are validaddresses for a cache engine attempting to regi ster with the current router

（5）限制到哪些主机或哪些服务器的不被缓存（可选配置）：

例：从服务器发回到目标主机192.168.196.51的不缓存，其它全部缓存

Router(config)# access-list 100deny ip any host 192.168.196.51

Router(config)# access-list 100permit ip any any

Router(config)# ip wccp web-cache redirect-list100

SNMP

(config) # snmp-server community cisco

(config) # snmp-server host 150.1.YY.252cisco tty

(config) # snmp-server enable traps tty            // trap TCP

Router(config)#  snmp-server system-shutdown  // Enables system shutdown using the SNMPmessage  reload feature

Time Ranged ACL

(config) # time-range WorkTime

(config-time-range)# periodic weekdays 8:00to 18:00

(config) # ip access-list extended HTTP

(config-ex) # deny tcp Y.Y.56.0 0.0.0.255any eq www time -range WorkTime

(config-ex) # permit ip any any

(config)# interface G0/0/1

(config-p-map)# ip access-group HTTP  in

CAR

(config)# ip cef        * With CAR, CEF should be enabled  

(config)# access-list 100 permit icmp anyany echo

(config)# access-list 100 permit icmp anyany echo-reply 

(config)# interface s0/0/0

(config-if) # rate-limit input access-group 100 256000 8000 8000

conform-action transmit exceed-action drop

IP SLA

ip sla monitor 1       //新版命令没有monitor

 type tcpconnect dest -addr Y.Y.1.1 dest-port 23 source-ipaddrY.Y.254.4 

     frequency 3600

ip sla monitor schedule 1 start-time nowlife forever

R1* 

ip sla monitor responder

acl匹配IP优先级

access-list 100 permit ip any anyprecedence routine  //ip优先级0

Access Levels

enable secret level 5 cisco5 

privilege exec level 5 undebug all 

privilege exec level 5 ping

privilege exec level 5 write memory 

privilege exec level 5 configure terminal

privilege configure level 5 interface

privilege interface levle 5 ip address 

privilege exec level 1 show run

privilege exec level 1 write terminal

SYSLOG

logging on 

logging trap  critical 

logging host 150.2.Y.254

logging facility local6   // The SYSLOG daemon is expecting you to usethe LOCAL6 facility

Dynamic Access

username ccie pass cisco

username ccie autocommand access-enable host time2  //如果2分钟没有动作，就会中断会话,autocommand，就是执行完，立刻中断telnet

username joe autocommand show ip bgp summary   //telnet上去看到show ip bgp summary后断开

line vty 0 x

 login local

access-list 100 permit tcp Y.Y.13.00.0.0.255 host Y.Y.13.4 eq telnet

access-list 100 dynamic T timeout 10  permit tcp Y.Y.13.0 0.0.0.255 Y.Y.0.0

0.0.255.255 eq telnet     //如果telnet到这台设备成功自动生成此条ACL，绝对有效时间10分钟 ，但如果2分钟没有流量则条目消失

access-list 100 deny tcp Y.Y.13.0 0.0.0.255Y.Y.0.0 0.0.255.255 eq telnet

icmp

(config)# ip icmp rate-limit unreachable1000   //限制发送ICMP不可达消息的时间间隔

traffic-shape

(config)# access-list 100 permit tcp eq wwwany Y.Y.20.0 0.0.0.255  

(config)# interface F0/1        (22.2 /24) 

(config-if)# traffic-shapegroup 100 10000000   //限制最大流量10M

Control Plane Policy

对来自源Y.Y.2.2, Y.Y.5.5的telnet数据包没有控制, 要求其他telnet数据包police 60Kbps以内, 超过的就丢弃:

(config)# access-list 110 deny tcp hostY.Y.2.2 any eq telnet 

(config)# access-list 110 deny tcp hostY.Y.5.5 any eq telnet 

(config)# access-list 110 permit tcp anyany eq telnet

(config)# class -map match-all Telnet 

(config-cmap)# match access-group 110

(config)# policy-map PT

(config-pmap)# class Telnet

(config-cmap-class )# police 60000 confirm-action transmit exceed-action

drop

(config)# control-plance

(config-cp)# service-policy input PT

IRDP(ICMP Router DiscoveryProtocol)

R5*

interface G0/0

  ipirdp

  ipirdp precedence -2147483648 

R6*

interface G0/0

  ipirdp  

  ipirdp precedence 2147483647

SLB(Server Load Balancing)

可以看作HSRP（热备份路由器协议）的扩展，实现多个服务器之间的负载均衡。

客户端向虚拟服务器发起连接时，通过某种负载均衡算法，转发到某真实服务器。
　　负载均衡算法有两种：
Weightedround robin(WRR)和Weighted least connections(WLC),
WRR使用加权轮询算法分配连接，WLC通过一定的权值，将下一个连接分配给活动连接数少的服务器

配置分为两部分，
　　第一部分是使用slbserverfarm serverfarm_name命令定义SLB选项，包括指定真实服务器地址；
　　第二部分是使用ipslb vserver virtual_server-name来指定虚拟服务器地址。
router#configt
router(config)#ipslb serverfarm http(名称)
router(config-slb-sfarm)#real192.168.1.1
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#real192.168.1.2
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#exit
router(config)#ipslb vserver vserver1
router(config-slb-vserver)#vitual10.1.1.1 TCP(协议) 80 (端口)
router(config-slb-vserver)#serverfarmhttp(名称)
router(config-slb-vserver)#inservice

IOS防火墙（基于状态）

规则：

默认情况不同安全区域的不能互相访问，在安全区域中的主机也不能访问不在任何安全区域的主机，都不在任何安全区域中的主机之间可以互相访问

配置：

1.      分类：

class-map typeinspect telnet     //定义流量类别,注意比QOS多了type inspect

  match protocol telnet

  match access-group 100

  match class-map a

parameter-maptype inspect tcp-parameter   //定义参数类别

  tcp idle-time 30             //超时30s断开

2.      定义策略：

policy-may typeinspect in_to_out_policy

  class type inspect telnet

inspect tcp-parameter       //对class-map telnet类别的行为是inspect，除此之外还有pass和drop，同时应用parameter-maptcp-parameter，即TCP超时时间为30s

3.      定义区域：zonesecurity in

          zone security out

4.      把接口划入区域：

int f1/0

zone-membersecurity in

int f1/1

zone-membersecurity out

5.      定义区域对并应用策略：

zone-pairsecurity in_to_out  source in destinationout

   service-policy type inspect in_to_out_policy

6.      验证：

showpolicy-map/class-map type inspect

debug policy-maptype inspect

IP Traffic Export (Router上类似于SW上SPAN的技术）

限制：

1.接收数据的设备必须和router的导出流量的outbound口处于同一vlan或直连网段

2.导出流量的outbound接口必须是以太网口

优点：

1.能够使用ACL拷贝数据包

2.可以取样拷贝数据包（比如10个包取1个）

3.可以配置双向数据都导出（默认入数据导出）

简单配置：

(config)#ip traffic-export profile test

(config-rite)#bidirectional          //抓取入方向和出方向的包（没有这条命令默认入方向）

(config-rite)#incoming access-list income_acl  //抓取入方向感兴趣的流量

(config-rite)#outgoing access-list outgoing _acl   //抓取出方向感兴趣的流量

(config-rite)# incoming sample one-in-every 2   //取样，进入的流量每两个取一个

(config-rite)# incoming sample one-in-every 2   //取样，出方向的流量每两个取一个
(config-rite)#interface FastEthernet1/0     //配置流量导出的接口（不用IP，no shut即可）
(config-rite)#mac-address 0200.4c4f.4f50      //配置要导出到的接收设备的MAC地址

int f0/0                              //要抓取流量的地址

ip traffic-export apply test               //应用traffic-export，默认入方向

查看：

show ip traffice-export

FTPserver

配置：

ftp-server enable       //开启ftp服务器

ftp-server topdir 路径  //允许客户读取什么文件

TFTP server

tftp-server路径

HTTPS

hostname cisco

ip domain-name cisco.com

crypto key generate rsa

ip http secure-server    //开启https

ip http secure-port     //修改https端口号

本文出自 “flyclc” 博客，请务必保留此出处http://flyclc.blog.51cto.com/1385758/1539403

CCIE学习笔记之特性集,布布扣,bubuko.com

CCIE学习笔记之特性集

标签：cisco特征集 ccie学习笔记

原文地址：http://flyclc.blog.51cto.com/1385758/1539403