网络工程师 考试命令合集 交换机、路由器、ACL、NAT、防火墙等配置命令

交换机基本配置

display current-configuration      //显示当前配置

display saved-configuration       //保存的配置

auto speed 100           //接口在自协商模式下 速率为100mbps

negotiation auto           //自协商为全双工

display interface 端口   //查看该端口的状态

vlan x

management-vlan   //设置管理vlan

port-group 1        //进入接口组视图

group-member gigabitethernet0/0/1 to gigabitethernet0/0/10     //组成员为1-10接口  方便一次操作多个接口

telnet远程登录

telnet server enable                //启用远程登陆服务

user-interface vty 0 4                //开启VTY线路模式 0-4这5个用户

protocol inbound telnet              //配置VTY支持telnet协议

authentication-mode aaa|password|none   //配置认证方式

aaa               //进入aaa视图

local-user 用户名 password [cipher|simple] 密码   //添加登录用户名密码(明文或密文)

local-user 用户名 privilege level 3                 //设置用户权限 最大为15

return    //回到用户视图

save   //保存

console用户验证方式

user-interface console 0        //进入console控制台接口

authentication-mode aaa|password|none   //验证模式为密码认证

如果是password即

authentication-mode password

则需配置密码

set authentication password [cipher] 密码

端口隔离(同一组实现隔离 不同组不隔离)

port-isolate mode l2|all                   //配置全局端口隔离为二层或三层隔离

interface 端口

port-isolate enable group 1              //端口开启隔离 并加入group1

添加静态MAC地址表项

mac-address static 0001-0002-0003 ethernet 1/0/1 vlan 5   //目的地址为0001-0002-0003,vlan5的报文从接口1/0/1转发出去

display mac-address       //查看MAC地址表

vlan

基于端口划分

undo vlan 3 //撤销vlan

vlan batch 10 to 15  //vlan 10 11 12 13 14 15 批量创建vlan

vlan 3     

name huawei        //vlan3 设置名字为huawei 下次进入vlan3可用vlan vlan-name huawei

port link-type hybrid            //混合模式

port hybrid untagged|tagged vlan 5   //带不带标记,并加入vlan5

port default vlan id,  port trunk allow-pass vlan all|id to id  //其他两个模式

interface vlanif 1                 //进入交换机虚接口

ip address 192.168.1.1 24       //设置ip

基于mac地址划分

vlan 3

mac-vlan mac-address 0001-0002-0003                           //MAC地址和vlan3关联

interface ethernet 0/0/1

mac-vlan enable                                                           //在接口下使能MAC地址的划分

gvrp的配置

normal,fixed:禁止动态注册注销vlan,只传播静态vlan信息,forbidden:只传播vlan1的信息。

gvrp                 //全局使能GVRP

各接口设置为trunk 允许所有vlan信息

interface ethernet 0/0/1

gvrp

gvrp registration normal|fixed|forbidden    //注册模式

display gvrp statistics    //查看接口的GVRP统计信息

stp的配置

stp mode stp|rstp         //运行stp或rstp

stp root primary       //交换机指定为根桥

stp root secondary    //交换机指定为备份根桥

stp priority 优先级    //设置网桥的优先级 4096的倍数

stp pathcost-standard legacy    //华为的路径开销算法legacy

Ethernet0/0/1

stp cost 20000  //手动设置端口路径开销 20000为最大,一般把将阻塞的端口设为此

stp edged-port enable   //与PC相连的端口设为边缘端口

stp bpdu-filter enable    //启用bpdu报文过滤

stp enable |disable  //交换机启用或关闭stp功能

路由器配置          

dhcp服务器配置

dhcp enable     //全局使能DHCP功能

ip pool pool1   //创建地址池pool1

network 192.168.1.0  mask  255.255.255.0         //范围

gateway-list 192.168.1.254            //网关

dns-list ip1 ip 2              //dns地址

lease day 1 hour 10     //租约信息 1天10小时

static-bind ip-address 192.168.1.1 mac-address 0001-0002-0003 //静态绑定MAC地址和ip

excluded-ip-address 192.168.1.10   //不分配的IP地址

interface ethernet0/0/1

dhcp select global         //使能接口采用全局地址池的DHCP功能

dhcp relay server-ip 12.12.1.1   //dhcp中继代理的设置

静态路由设置

ip route-static  192.168.1.0  24  192.168.10.1

ip route-static  192.168.1.0  255.255.255.0  s0

ip route-static  0.0.0.0  0.0.0.0  10.0.0.1

display ip routing-table   // 查看路由表

ipv6静态路由

进入接口

ipv6 enable

ipv6 address 1::1 64

ipv6 route-static  : :  0  12::2 //下一跳都是转发给12::2(默认路由)

ipv6 route-static  1: :  64  12::1  //静态路由配置

display ipv6 routing-table

动态路由

优先级,直连路由:0,ospf:10,is-is:15,静态路由:60,rip:100,BGP:255

cost为度量值 ,度量值越小越好

rip(30s)   ripv1广播  v2组播224.0.0.9  ripng是ipv6的协议

rip 1

version 2

network 10.0.0.0

undo summary    //取消路由汇聚功能

peer 10.0.0.3    //说明邻接路由器

display rip route  //查看rip协议的路由信息

display rip interface //查看rip接口信息

bfd快速收敛与rip联动

bfd   //全局使能BFD

rip 1  //进入rip视图

bfd all-interfaces enable   //所有接口启动bfd功能

ospf

router id 1.1.1.1   //路由器标识

ospf 1           

area 0   //骨干网,area1 区域为0.0.0.1

network 192.168.2.0  0.0.0.255

display ospf routing  //查看ospf路由信息

display ospf peer  //查看邻居信息

ospf cost 开销值  //手动设定开销值

is-is中间系统到中间系统  类似ospf

isis 1

is-level level-1

network-entity net

isis enable

display isis route

display isis peer

路由重发布   (边界路由器)

rip 1      //进入rip视图

import-route  ospf  109  cost  10(不大于15)

ospf 1

import-route  rip 1  cost  200

import-route  static        //静态路由重发布

BGP协议

vrrp

vrrp vrid 1 virtual-ip 192.168.1.254   //虚拟网关ip为192.168.1.254

vrrp vrid 1 priority 120   //优先级

vrrp vrid 1 track interface gi0/0/2 reduced 100(如果gi0/0/2端口的状态变为down,则优先级降低100,变为20)

ACL

acl 编号   //基本acl为2000-2999(仅源time),高级acl为3000-3999,二层acl4000-4999

rule  permit  source  172.168.1.1 0.0.0.0

通配符掩码(反掩码)255.255.255.255表示主机

description  xxx  //只当做描述

[可选]

acl [number] 2000 [match-order:auto|config] //顺序规则config或者自动排序规则auto(深度优先原则)默认config

acl name xx [basic]

基本acl

rule [步长] deny|permit source ip+反掩码|any  time-range time-name

//步长默认为5,再默认以5增长,可自定义步长

//any=0.0.0.0 255.255.255.255

time-range 名称 8:00 to 18:00 working-day

//work-day表示周一到周五  off-day周六周日 daily 每天  0-6 表示每周几 0为星期天

rule deny source 172.16.0.0 0.0.255.255 time-range 名称  //指定时间拒绝

display acl resource

traffic-filter outbound acl name test  //接口直接应用ACl规则

高级acl

rule deny tcp destination-port eq|gt|lt|neg telnet|23 source 192.168.1.0 0 destination 172.16.200.0 0.0.0..255  //禁止源ip192.168.1.0目的ip172.16.200的 tcp端口号等于23 的数据包通过          souce-port

rule permit icmp source xx destination xx  允许ping

Qos策略

traffic classifier c1  operate and|or           //创建流分类

以下面两个流分类为例,对于tc1来说,报文必须同时匹配ACL2001(或ACL3001),802.1p优先级为5和三层协议类型为IP协议三个规则时才属于该类。

[switch] traffic classifier tc1 operator and
[switch-classifier-tc1] if-match acl 2001
[switch-classifier-tc1] if-match 8021p 5
[switch-classifier-tc1] if-match acl 3001
[switch-classifier-tc1] if-match protocol ip

对于tc2来说,报文匹配ACL3001或者报文802.1p优先级为6时都属于该类。

[switch] traffic classifier tc2 operator or
[switch-classifier-tc2] if-match acl 3001
[switch-classifier-tc2] if-match 8021p 6

网络工程师 考试命令合集 交换机、路由器、ACL、NAT、防火墙等配置命令_第1张图片

在一个流行为中可以定义一个或多个动作,如下流行为tb1表示对匹配分类的报文进行流量监管,限速为4096kbit/s,同时进行流量统计。

[switch]traffic behavior tb1                   //创建流行为

[switch-behavior-tb1] car cir 4096    //cir为每秒可通过的速率

[switch-behavior-tb1] statistic enable

流行为tb2表示将匹配分类的报文重定向到下一跳10.10.10.1

[switch] traffic behavior tb2

[switch-behavior-tb2] redirect ip-nexthop 10.10.10.1

以下面的配置为例,流策略tp1表示对匹配tc1规则的报文执行tb1的动作,对匹配tc2规则的报文执行tb2动作。

[switch] traffic policy tp1 match-order config                     //流策略

[switch-trafficpolicy-tp1] classifier tc1 behavior tb1

[switch-trafficpolicy-tp1] classifier tc2 behavior tb2

应用流策略

流策略配置完之后,需要选择该策略在设备上生效的范围。流策略可以应用在接口、VLAN和全局的出方向和入方向,其中接口包括物理接口、子接口、VLANIF接口和Eth-Trunk接口等。以接口为例,在指定接口入方向应用某个流策略,表示对进入该接口且匹配流分类规则的流量执行指定动作。如下所示:

[switch] interface GigabitEthernet 1/0/1

[switch-GigabitEthernet1/0/1] traffic-policy tp1 inbound

设备上还配置了一个流策略tp2,且应用在VLAN30

[switch-vlan30] traffic-policy tp2 inbound

二层acl(源地址 目的地址 802.1p优先级 二层协议类型等)

网络工程师 考试命令合集 交换机、路由器、ACL、NAT、防火墙等配置命令_第2张图片

rule deny cos 3  //禁止802.1p优先级为3的报文通过

rule deny destination-mac xx-xx-xx   //mac地址

ipv6-over-ipv4 GRE隧道

网络工程师 考试命令合集 交换机、路由器、ACL、NAT、防火墙等配置命令_第3张图片

interface tunnel0/0/1  //进入隧道口

tunnel-protocol  GRE    //GRE隧道协议

keepalive                     //开启keepalive

ipv6 enable

ipv6 address fc02::1  64        //给隧道口配置ipv6地址

source 10.1.1.1   //源ip地址

destination 10.1.2.2  //目的ip地址

gre key 123   //配置隧道的验证key123

路由器都配置完后,配置路由器的tunnel静态路由

R1::ipv6 route-static  fc03::1  64  tunnel0/0/1

R2:ipv6 route-static  fc01::1  64  tunnel0/0/1

ipv6  ISATAP隧道

网络工程师 考试命令合集 交换机、路由器、ACL、NAT、防火墙等配置命令_第4张图片

interface tunnel0/0/1

tunnel-protocol ipv6-ipv4 isatap  //isatap协议

ipv6 enable

ipv6 address 2001::  64      eui-64    //给隧道口配置ipv6地址

source gigabitethernet2/0/0   //tunnel源地址或源端口

undo ipv6 nd ra halt  //使能系统发布RA报文功能

NAT配置

静态NAT(一对一)

interface seriall0/0/1        //在外网接口下配置

nat static global 202.10.10.1 inside 192.168.1.1  //把公网global地址和inside内网地址绑定

动态NAT(多对多)

interface seriall0/0/1        //在外网接口下配置

nat address-group 1 202.10.1.20  202.10.1.50  //把20-50的地址分为一个组,供内网使用

acl 2000

rule 5 permit source  192.168.1.0  0.0.0.255  //给内网需要Nat转换的地址匹配acl允许

interface  seriall0/0/1        //在外网接口下配置

nat  outbound  2000  address-group  1  no-pat   //使用nat outbound命令将ACL 2000 与地址池相关联,,使得ACL中规定的地址,可以使用地址池,no-pat不可重用

display nat outbound  //在路由器上查看NAT bound信息

NAPT(一对多)pat

nat address-group 0 202.10.1.20 202.10.1.20  //只有一个ip的组

nat outbound 2000 address-group 0   //实现1对多

Easy-IP

nat outbound 2000      //直接使用接口的ip对应内网的ip, 不需要创建地址池,大大节省了地址空间,

display nat session protocol tcp|udp

配置NAT Server

nat server protocol tcp global 202.169.10.6 ftp inside 192.168.1.5 ftp

// nat server命令定义内部服务器的映射表,指定服务器通信协议类型为TCP,,配置服务器使用的公网IP地址为202.169.10.6,服务器内网通信地址为192.168.1.5,指定端口为21,该常用端口号可以直接使用关键字“ftp”代替。

防火墙配置

firewall zone inside  //定义一个区域名字叫inide

priority 15        //定义优先级为15

firewall zone outside  //定义一个区域名字叫outside

priority 5        //定义优先级为5

firewall interzone inside outside    //定义inside区域可以主动访问outside,outside不可主动访问inside ,必须先inside后outside

firewall enable        //开启功能

interface ethernet0/0/1             //进入接口

zone inside       //配置此接口为inside区域

interface ethernet0/0/1             //进入接口

zone inside       //配置此接口为inside区域

display firewall session [protocol  ]  //查看防火墙建立的会话,外网只有会话才能访问内网

如果想让外网能访问内网telnet服务器则

acl 3000

rule permit tcp desitination 192.168.1.100 destitation-port eq telnet //服务器ip192.168.1.100

firewall interzone inside outside 

packet-filter 3000 inbound  //包过滤

ipsec

还有个ipsec和BGP协议当时没有写上(考完就忘了),如果有小伙伴有的话可以私聊我加上去,谢谢了

你可能感兴趣的:(网络,网络)