标签:授权 拨号 version 信息 阻塞 inter 地址 访问控制 抓取
1.配置ip地址:接口视图:ip address ip地址 子网掩码(长度或255.255.255.255)5.思科华为高可用配置:VRRP vs HSRP
1)华为三层交换机配置VRRP:
系统试图:int vlan 编号(或者物理接口、子接口等)
配置vip作为网关: vrrp vrid 10 virtual-ip 192.168.10.1
配置优先级: vrrp vrid 10 priority 110
配置占先权: vrrp vrid 10 preempt-mode timer delay 10
配置端口跟踪: vrrp vrid 10 track interface GigabitEthernet0/0/3 reduced 30
配置认证方式: vrrp vrid 10 authentication-mode simple 123
查看vrrp:dis vrrp brief
2)思科配置HSRP:
配置命令:
配置虚拟IP地址:接口模式:standby 组号 ip 虚拟ip地址
配置优先级:接口模式:standby 组号 priority 0-255
配置占先权:接口模式:standby 组号 preempt
配置端口跟踪:接口模式:standby 组号 track 接口
查看HSRP信息:特权模式:sh stan b
6.配置telnet管理设备:
1)了解华为设备的登录:
AAA是指:authentication(认证)、authorization(授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs(华为终端访问控制系统)服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而NAC方案是基于接入设备接口进行认证的,在实际应用中,可以使用AAA的一种或两种服务。
2)华为设备配置telnet:
用户试图进入系统试图:system-view
系统试图进入3A试图:aaa
创建(修改密码也使用该命令)用户并设置密码:local-user linuxfan password cipher 123123
配置用户使用服务类型为telnet:local-user linuxfan service-type telnet
配置用户权限级别为15(最高):local-user linuxfan privilege level 15
查看本地用户:dis local-user
quit
进入用户接口vty0-4:user-interface vty 0 4
指定认证模式为aaa:authentication-mode aaa
指定用户权限级别:user privilege level 15
quit
3)思科设备配置telnet:
设置远程登录的密码:
第一步:设置ip地址
第二步:设置vty(虚拟终端)的密码:全局配置模式:line vty 0 4-->password 密码-->login
第三步:配置特权模式密码(远程登录必须设置特权密码):全局配置模式:enable password 密码
第四步:客户端远程登录:telnet ip地址-->输入vty的密码-->en输入特权模式密码-->所有操作和本地一样-->exit退出。
7.配置DHCP:
1)思科:
路由器配置DHCP的命令:
创建dhcp地址池:全局配置模式:ip dhcp pool 池名
指定分配地址的网段:dhcp配置模式:network 网段 子网掩码
指定网关:dhcp配置模式:default-router 网关地址
指定DNS:dhcp配置模式:dns-server DNS服务器地址
验证:特权模式:sh run
2)华为:系统视图
dhcp enable
ip pool vlan10
net 192.168.10.0
gateway 192.168.10.1
dns 202.106.0.20 8.8.8.8 114.114.114.114
lease day 0 hour 2 minute 30
quit
int vlan 10
dhcp select global
quit
3)S端(路由器)处理DHCP广播的过程:C端广播-->S端接口接收-->接口IP-->计算网段-->dhcp匹配网段-->从该网段分配一个IP地址
8.路由器配置ACL:
1)华为:基本acl(2000-2999,条件为源网段或ip)、高级acl(3000-3999,条件为源、目标ip或网段,源、目标端口,协议)、二层acl(4000-4999,条件源、目标MAC地址、帧类型)
基本acl编写的语法:
acl 2000
拒绝规则:rule deny source ip地址或网段 通配符掩码(即反码)
允许规则:rule permit source ip地址或网段 通配符掩码(即反码)
匹配规则:顺序匹配、匹配即停止,无匹配默认允许。
高级ACL编写的语法:
acl 3000
拒绝规则:rule deny 协议(tcp/udp/icmp/ip) source IP地址或网段 反码 destination ip地址或网段 反码 destination-port eq 端口
允许规则:rule permit 协议(tcp/udp/icmp/ip) source IP地址或网段 反码 destination ip地址或网段 反码 destination-port eq 端口
ACL应用到接口:一个接口一个方向只能应用一个ACL
int 接口
traffic-filter outbound acl 编号
注意:华为acl修改时必须处于非应用状态,如果配置好acl后续维护时,先在接口视图“undo traffic-filter out acl 编号”,再修改acl。
2)思科:标准acl(1-99,条件源网段或ip)、扩展ACL(100-199,条件源、目标网段或ip,源、目的端口,协议)
配置标准ACL:
(1)创建acl-->将ACL应用到接口-->查看ACL
(2)创建acl:全局配置模式:access-list 列表号(1-99) {permit(允许)或deny(拒绝)} 源ip或源网段或host或any 反码
(3)将ACL应用到接口:接口模式:ip access-group acl的列表号 in(或out)
(4)查看ACL:特权模式:sh access-lists
配置扩展ACL:
(1)配置扩展ACL的流程:创建acl-->将acl应用到接口-->查看acl
(2)创建acl:access-list 列表号 {permit(允许)或deny(拒绝)} 协议 源网段或源ip 反码 目标网段或目的IP 反码 操作符 端口
(3)将acl应用到接口:接口模式:ip access-group acl的列表号 in(或out)
(4)查看acl:sh acc -->sh run(查看接口应用acl)
注意:acl思科默认拒绝、华为默认允许。
9.NAT地址转换:
1)华为:easy-ip:内网用户上网:
系统试图:进入基本acl配置模式:acl 2001
拒绝:rule deny source 内网网段或ip 反码
允许:rule permit source 内网网段 反码
查看规则:disp acl 2001
quit
int 公网接口
应用acl在出方向:nat outbound 2001
查看nat出方向:dis nat outbound
quit
2)华为:静态nat:发布内网服务:
int 公网接口
发布服务:nat server protocal tcp global 公网ip地址 端口 inside 内网服务器地址 端口
quit
查看验证:dis nat server
3)思科:PAT上网
配置PAT端口多路复用的命令:
配置PAT的流程:配置IP地址和默认路由-->创建acl(抓取内网流量包)-->关联acl和外网接口-->指定路由器接口的内网和外网
创建acl:全局配置模式:acc 1 permit any
关联acl和外网接口:全局配置模式:ip nat inside source list 1 int 外网接口号 overload
标签:授权 拨号 version 信息 阻塞 inter 地址 访问控制 抓取
原文地址:https://blog.51cto.com/14381205/2406351
