没有合适的资源?快使用搜索试试~ 我知道了~
软考网工下午-华为配置等
需积分: 5 1 下载量 181 浏览量
2022-09-28
17:25:10
上传
评论
收藏 482KB PDF 举报
温馨提示
试读
1页
软考网工下午-华为配置等
资源详情
资源评论
类似
对应
两端需一致,正常不限制
默认即可
默认即可
D N S
D H C P
O SPF三张表
必要配置
三选一
华为配置
华为配置
V R R P
验证及说明
验证 d isp lay vrrp 9 查看vrid 9的详细信息
[co re-V lan if9]vrrp vrid 9 virtu al-ip 10.1.9.1
[co re-V lan if9]vrrp vrid 9 p rio rity 120
[co re-V lan if9]ip ad d ress 10.1.9.2 24
m aster配置
in vlan 9创建vlanif
两端vrid、 ip 必须相同
< 1-254>, 默认100,越大越优先
默认参数
vrrp 优先级 100
抢占方式
通告报文间隔
免费A R P间隔 120秒
1秒
立即抢占
[co re-V lan if9]vrrp vrid 9 p reem p t-m o d e tim er d elay 30 建议:m aster延迟抢占30秒,backu p 立即抢占
[co re-V lan if9]vrrp vrid 9 tim er ad vertise 10 通告报文间隔10秒
[co re-V lan if9]vrrp vrid 9 track ? red uced 40
?
interface
nq a
b fd
线路故障后减40优先级,只需在m aster配置
联动端口状态
接口IP
配置虚IP
优先级
链路侦测
报文间隔
A C L
A C L分类
基本A C L:2000-2999
基本原理
命中即停止向下匹配
三种结果:不匹配、命中规则允许、命中规则拒绝
高级A C L:3000-3999
二层A C L:4000-4999
用户A C L:6000-6031
仅用源地址、分片信息、时间段来定义规则
使用源地址、目的地址、协议类型、端口号、时间段定义规则
使用以太网帧头中的源M A C、 目的M A C、 二层协议类型、V LA N、 时间段定义规则
使用源地址、目的地址、协议类型、端口号、时间段定义规则
IP V 6 A C L 基本A C L6:2000-2999、高级A C L6:3000-3999
两种匹配顺序
配置顺序
自动排序
1.V PN 实例规则优先
2.地址范围、协议范围越精确越优先
3.上述相同,编号越小越优先
编号越小越优先,默认
注:自动排序模式下,不允许指定编号
流过滤
时间段 [co re]tim e-rang e w o rk 8:30 to 17:30 ?创建名"w o rk"
A C L配置
A C L应用
[co re]traffic-filter in b o und acl 3000
[co re]acl 3000
[co re-acl-ad v-3000]d escrip tio n ? 描述信息
[co re-acl-ad v-3000]ru le p erm it ? 支持ip、 tcp、 ud p、 协议等
M Q C 流策略
配置流程
配置流分类
配置流行为
配置流策略
应用流策略
[co re]traffic classifier xxx
[co re]traffic b ehavio r xxx
[co re]traffic p o licy xxx
说明及验证
说明
流策略中的A C L配置可随时修改,即使此A C L已被引用
[co re-classifier-xxx]if-m atch ?
绑定acl,参考A C L配置
行为规则
[co re-traffic-p o licy-xxx]classifier xxx b ehavio r xxx
当A C L的ru le为p erm it时,执行流行为中的动作
当A C L的ru le为d en y时,直接丢弃,忽略流行为的动作
说明
配置更为简洁,不需要创建流分类、流行为或流策略
filter仅基于A C L规则匹配报文,只适合做简单的流过滤
每次A C L需取消引用,匹配规则没有流策略丰富
接口同时配置traffic-filter、p o licy时,filter先生效
acl 3000
流分类、流行为可被多条流策略引用
an y 匹配所有报文
so urce-m ac
vlan-id 5 匹配vlan 5的报文
报文过滤 d eny/p erm it
匹配规则
使用通配符掩码
与反掩码类似,0表示“匹配”,1代表“不关心”
常用掩码 128= 0.0.0.127;64= 0.0.0.63
用于全局
指定vlan
指定端口
[co re]traffic-filter vlan 9 inb o und acl 3000
D H C P Sn oo p ing
配置
应用到vlan
vlan 1
d hcp sno o p ing enab le
d hcp sno o p ing trusted interface G 0/0/1
此vlan下的所有端口只向trusted 转发D H C P相关报文
只能从G 1口获取D H C P服务
应用到端口
interface g 0/0/2
interface g 0/0/1
d hcp sno o p ing enab le 必须启用,否则仍向此端口转发D H C P 相关报文
d hcp sno o p ing trusted
验证及说明
如接入层不支持sno o p in g 可在核心配置,使核心不转发非法D H C P 报文,将影响控制在接入交换机
在接入层
非信任端口
上连核心端口
只向此端口转发D H C P相关报文
启用
d hcp enab le
d hcp sno o p ing enab le
必配
必配
应用到端口
interface g 0/0/1
d hcp sno o p ing enab le启用
在核心层
下连接入层端口
核心层连接其他D H C P服务器,参考接入层配置方式
启用D H C P服务
启用
启用
d hcp enab le
d hcp sno o p ing enab le
必配
必配
启用D H C P服务
启用sno o p in g
查看sno o p in g d isp lay d hcp sno o p in g ?
查看策略配置 d isp lay traffic ?
p o licy g lo b al
p o licy interface
b ehavio r u ser-d efin ed 流行为
classifier u ser-d efined 流分类
接口引用策略
全局引用策略
重要说明 acl规则中
p erm it 允许,使流量匹配流分类,由流行为
d eny 禁止,流量被直接丢弃,无法匹配流分类
匹配源M A C
red irect ? ip-nexth op X.X.X.X 指定下一跳,常用于策略路由
m irro rin g to o b serve-p o rt 1流镜像
用于端口
用于vlan
用于全局 [co re]traffic-p o licy xxx g lo b al inb o und
[co re-vlan4]traffic-p olicy xxx inb o und
[co re-G 0/0/1]traffic-p olicy xxx inb o und
M STP
[co re]stp m o d e m stp
[co re]stp reg io n-co nfig uratio n
[co re-m st-reg io n]reg io n-n am e xxx
[co re-m st-reg io n]in stance 2 vlan 20
[co re-m st-reg io n]in stance 1 vlan 10
[co re-m st-reg io n]active reg io n-co nfig uratio n
[co re-m st-reg io n]check reg io n-co nfig uratio n
激活区域配置 每次修改都需激活配置
[co re]stp in stan ce 1 p rio rity 0
华为默认M stp
区域名xxx,两端必须一致
配置实例1与vlan映射关系
验证
d isp lay stp b rief查看端口状态
M STP 配置
STP 模式
链路聚合
[co re]lacp p rio rity 100 默认:32768,越小越优先
[co re]interface Eth-Tru n k 1
[co re-Eth-Trun k1]tru nkp o rt G i 0/0/1 to 0/0/2
略...与普通端口配置一样
验证及说明
d isp lay eth-trun k 查看eth信息
每30秒相互发送lacp 报文,超时时间90秒
说明 逐流
逐包
LA C P
汇聚口视图
添加端口
汇聚模式 [co re-Eth-Trun k1]m o d e ?
分担方式 [co re-Eth-Trun k1]lo ad-b alance ?
lacp
m anual lo ad-b alance 默认:手工模式
端口配置
src-ip (源IP)
抢占 [co re-Eth-Trun k1]lacp p reem p t enab le 默认:不启用
src-d st-ip (源目IP) 默认,适用任意
端口视图
interface g 0/0/1
[co re-G 0/0/1]eth-tru nk 1
selected: 活动端口
unselect:非活动端口
两端必须均支持LA C P
抢占延迟 [co re-Eth-Trun k1]lacp p reem p t d elay 60 默认:30秒
限制最大活动链路 [co re-Eth-Trun k1]m ax active-linknum b er 2 多余链路变备用
V LA N
注意
默认允许vlan1通过,报文无TA G, 报文随接收端口TA G 变化
Trun k
V LA N 收发规则
A ccess
H yb rid
“收”是端口接收对端发来的数据,非设备内部另外端口发来的数据
“发”是端口向对端发送数据
收
发
有TA G
无TA G
发
untag g ed
tag g ed
去掉TA G, 发送此帧
接收此帧,并打上此端口的TA G
PV ID 相同
PV ID 不同
接收此帧
丢弃此帧
收
有TA G
无TA G 接收此帧,并打上接收端口的TA G
PV ID 相同
PV ID 不同
只发送允许vlan,报文去掉TA G, 并非变vlan1,而是无TA G
只发送允许vlan,报文保留TA G, 支持端口P V ID 和vlan 1保留TA G
发
端口PV ID
非端口PV ID
收
有TA G
无TA G 接收此帧,并打上接收端口的TA G
PV ID 相同
PV ID 不同
在允许V LA N 表,接收此帧
在允许V LA N 表,接收此帧,否则丢弃
只发送允许vlan,报文保留TA G
在允许V LA N 表,接收此帧
在允许V LA N 表,接收此帧,否则丢弃
只发送允许vlan,报文去掉TA G, 并非变vlan1,而是无TA G
通用配置
交换机
路由器
防火墙
防火墙基于包过滤,所以支持单向通信(如本端能p ing 通对端,但对端无法p ing 通)
N A T
服务器映射
配置
N A T
策略按从上到下依次匹配,或从序号“1”向下匹配策略,规则匹配后不再继续匹配其他
nat server w eb p ro to co l tcp g lo b al 100.1.1.1 8888 in sid e 10.1.1.1 80
no-reverse
reverse
规则名“w eb”, 协议“tcp”,公网IP“1 00.1.1.1” 端口 8888,内网IP"1 0.1.1.1" 端口 80
查看N A T映射表 d isp lay firew all server-m ap
ip 10.1.1.1 查看指定地址
直接回车 查看所有
查看服务器映射 d isp lay nat server
安全策略
配置
进入安全策略视图 [FW] secu rity-p o licy
指定规则 rule nam e ?
源安全域 so urce-zo ne trust
目的安全域 d estin atio n-zo n e lo cal
动作 actio n ?
放行匹配规则的流量
防火墙默认禁止域内、域间互通
说明
trust2tru st(域内策略)
trust2d m z(域间策略_去)
配置
进入N A T策略视图
源安全域 so urce-zo ne ?
目的接口 eg ress-interface G i 1/0/1
转换动作 actio n ?
源地址
目的地址
服务
时间段
配置V LA N
access
hyb rid
trunk
端口类型 p o rt link-typ e trun k
端口PV ID
允许V LA N
p o rt tru n k p vid vlan 5
端口类型 p o rt link-typ e hyb rid
端口PV ID
允许V LA N
p o rt hyb rid p vid vlan 5
端口类型 p o rt link-typ e access
端口PV ID
允许V LA N
p o tr d efau lt vlan 5
创建vlan vlan b atch 2 to 9
划分vlan
根桥配置
stp 优先级
实例0优先级 [co re]stp p rio rity 0
指定实例
未绑定实例的V LA N 都是实例0
备根设备
[co re]stp m o d e m stp
[co re]stp in stan ce 1 p rio rity 4096
配置模式为M stp 华为默认M stp
使此设备为实例2的根桥
STP 模式
stp 优先级
实例0优先级 [co re]stp p rio rity 4096
指定实例
使本交换为备根桥
进入M STP
区域名称
实例2映射关系
实例1映射关系
激活配置
检查配置 未激活时,d isp lay this无法看到M STP配置
[co re]stp reg io n-co nfig uratio n
[co re-m st-reg io n]reg io n-n am e xxx
[co re-m st-reg io n]in stance 2 vlan 20
[co re-m st-reg io n]active reg io n-co nfig uratio n
[co re-m st-reg io n]check reg io n-co nfig uratio n
激活区域配置 每次修改都需激活配置
区域名xxx,两端必须一致
配置实例1与vlan映射关系
M STP 配置
进入M STP
区域名称
实例2映射关系
激活配置
检查配置 未激活时,d isp lay this无法看到M STP配置
默认逐流
创建vlan [co re]vlan 9
V R R P配置
抢占时间
端口配置
指定根端口
interface g 0/0/5
修改端口优先级 [co re.b-G 0/0/5]stp p ort p rio rity 96 默认128,需16倍数,需计算上游沿途开销
修改开销 [co re.b-G 0/0/5]stp co st ? 会影响下游设备co st的计算
边缘端口 [co re.b-G 0/0/5]stp ed g ed-p o rt enab le
[co re-m st-reg io n]in stance 1 vlan 10 实例1映射关系
[co re]stp in stan ce 2 p rio rity 4096
[co re]stp in stan ce 2 p rio rity 0
使此设备为实例1的根桥
查看实例配置 d isp lay stp reg io n
查看实例信息 d isp lay stp instance 2
基于端口
默认hyb rid
p o rt hyb rid tag g ed vlan 5携带TA G
去掉TA G p o rt hyb rid u n tag g ed vlan 2 to 4
只允许PV ID 的vlan
p o rt tru n k allo w- p ass vlan 2 to 5 发送时2-4携带TA G, 5去掉TA G
基于M A C
[co re-vlan2]m ac-vlan m ac-ad d ress xxxx-xxxx-xxxx
vlan 2指定V lan
绑定M A C
下连此M A C 接口
interface g 0/0/5
配置V lan
启用M A C-vlan [co re-g 0/0/5]m ac-vlan enab le 必要配置
[co re-g 0/0/5] p o rt hyb rid untag g ed vlan 2 必须去掉V lanTA G, 否则无法通信
基于子网
绑定IP
vlan2
[co re-vlan2]ip-sub net-vlan 1 ip 10.1.2.5 32 绑定主机或网段,最多12个
[co re]interface g 0/0/5
[co re-g 0/0/5] ip-sub net-vlan en ab le 必要配置
下连此IP 接口 [co re-g 0/0/5] p o rt hyb rid untag g ed vlan 2 必须去掉vlan 2 TA G, 否则无法通信
进入端口视图
指定vlan
说明
交换机接收无TA G, 发送携带TA G, 如果不去掉TA G
1、下游接口未允许此vlan通过,直接丢弃
2、下游接口允许此vlan通过,但主机接口未允许
应用场景 主机位置不固定,但需要访问固定vlan的服务器
access、tru n k仅支持同端口p vid 的m ac-vlan
说明
交换机接收无TA G, 发送携带TA G, 如果不去掉TA G
1、下游接口未允许此vlan通过,直接丢弃
2、下游接口允许此vlan通过,但主机接口未允许
应用场景 主机位置不固定,但需要访问固定vlan的服务器
access、tru n k仅支持同端口p vid 的ip-vlan
发送时去掉TA G
hyb rid 支持端口PV ID 携带或去掉TA G
发送去掉TA G
配置V LA N IF
功能 三层逻辑口(SV I),实现vlan间三层通信
配置
创建vlanif interface vlanif 9 必须已创建vlan
创建vlan vlan 9
配置IP [co re-V lanif9]ip ad d ress 10.1.9.1 24
D H C P地址池 参考D H C P配置
sup er vlan
vlan 9
[co re-vlan9]ag g reg ate-vlan
[co re-vlan9]access-vlan 2 to 3
配置为sup er vlan
sup er-vlan 不能加入任何端口
sub 不能创建vlanif
in vlan 9
[co re-V lan if9]ip ad d ress 10.1.9.1 25 所有sub-vlan都能使用sup er-vlanif作为网关
[co re-V lan if9]d hcp select in terface su b-vlan 获取10.1.9.0网段
[co re-V lan if9]arp-p roxy in ter-sub-vlan-p ro xy enab le 默认不同su b 间无法通信,需开启vlan代理
vlan b atch 2 3 9创建vlan
in g i0/0/2
[co re-G i0/0/2]p o rt link-typ e access
[co re-G i0/0/2]p o rt d efault vlan 2
说明
能与sup er-vlan if通信,等同能与su b-vlan下的设备通信
应用场景 多台主机间隔离,汇聚通过sup er-vlan 与网关连接
创建vlanif 9
vlanif
A R P代理
IP 地址
vlan
配置从vlan
进入vlan
D H C P配置
端口视图
D H C P
[co re]d h cp enab le
[co re]ip p o o l 1
[co re-ip-p o o l-1]n etw o rk 10.1.1.0 m ask 24
[co re-ip-p o o l-1]g atew ay-list 10.1.1.1
[co re-ip-p o o l-1]lease d ay 0 hou r 12 m in u te 0
[co re-ip-p o o l-1]exclu d ed-ip-ad d ress 10.1.1.2 10.1.1.10 保留10.1.1.2-9范围内的地址
可任意,前提作为分配网段的路由
[co re-ip-p o o l-1]d ns-list 223.5.5.5
全局D H C P
接口D H C P
[co re]interface vlan 1
[co re-vlanif1]d hcp select g lo b al 从全局地址池获取地址
[co re-vlanif1]ip ad d ress 10.1.1.1 24 必须与地址池同网段
做D H C P客户端
d isp lay ip p o o l nam e 1 used
查看分配主机M A C 和配置信息
其他 co nflict
exp ired
all 所有细节
冲突地址信息
过期地址信息
[co re-ip-p o o l-1]static-b ind ip-ad d ress 10.1.1.5 m ac-ad d ress xxxx-xxxx-xxxx
验证
[co re]d h cp enab le
[co re]interface vlan 2
[co re-V lan if2]ip ad d ress 10.1.2.1 25 也是此网段的默认网关
[co re-V lan if2]d hcp select in terface 使用此接口地址池,地址范围同接口IP的掩码
启用d hcp 服务
[co re-V lan if2]d hcp server exclud ed-ip-ad d ress 10.1.2.1 10.1.2.9 保留10.1.2.1-9范围内的地址
d isp lay ip p o o l interface vlanif2 used 查看分配主机M A C 和配置信息
[co re-V lan if2]d hcp server d ns-list 223.5.5.5
[co re-V lan if2]d hcp server lease d ay 3
[co re-V lan if2] ip ad d ress d hcp-allo c
查询分配地址 d isp lay d hcp client
验证
d isp lay ip p o o l interface vlanif3接口D H C P used 已分配IP
启用D H C P服务
创建地址池
清空已分配 < co re> reset ip p o o l n am e 3 all用户视图
地址池信息
D H C P报文信息 d isplay d hcp server statistics
地址池使用信息
d isp lay ip p o o l
接口配置
地址池配置
接口IP
选择地址池
vlanif/三层接口
进入接口
接口IP
选择地址池
D N S服务器
D H C P租期
保留地址
默认d ay 1
进入三层接口
名称任意
分配网段
默认网关
租期
保留地址
D N S服务器 可配置多个
固定分配
启用D H C P服务 d h cp enab le
接口IP 自动获取
信任端口
启用
启用
信任端口
应用
配置信任端口
端口视图方式
vlan视图方式
适用于端口下有多个vlan
适用于端口在相同vlan
vlan 1进入vlan
进入vlan
核心作为D H C P服务器 在所有端口启用不影响核心D H C P分配IP优先在接入层配置
co nfig 各接口配置
user-b ind all 分配的IP
系统管理
W ind o w s
常用命令
ip co nfig /all
ip co nfig /renew 向D H C P重新请求IP
ip co nfig /d isp layd ns 本机缓存已解析的域名
ip co nfig
ip co nfig /flushd ns 清除本机缓存已解析的域名
ip co nfig /release 释放已获取的IP
查看网卡详细信息
tracert
路由跟踪,查看流量到达目的经过的路由功能
使用 tracert 目的IP/域名
p in g
功能
使用
p in g -t 目的IP/域名 持续p ing, 直至手动停止
p in g -l 1500 目的IP/域名 指定包大小为1500,默认32字节
netstat
功能 查看网络连接
常用
netstat -nb 查看程序名和端口
按端口显示所有链接netstat -an
netstat -r 查看本机路由表,类似rou te p rin t
参数
-a 显示所有连接
-b 显示侦听软件
-n 以数字显示地址和端口号
ro u te
nslo o kup
活动目录
Linux
IIS服务
FTP服务器
W EB 服务器
系统配置
D N S
D N S服务器
D H C P D H C P服务器
D H C P服务器
安全策略
接入交换
下连终端
过滤B P D U [co re.b-G 0/0/5]stp b p d u-filter en ab le 不转发B P D U 报文
V PN
用户管理
userad d
默认规则
管理员
U ID: 0 默认用户名:ro o t
可重置所有用户的信息和密码
系统用户
U ID 1-999
尽量每个服务绑定一个用户,避免因泄露单个用户信息,造成更大的安全隐患
普通用户 U ID: 1000-无限
-u
-d 指定用户家目录,默认/ho m e/xian
指定该用户U ID
-g
指定该用户基本组,组必须已存在
默认规则 创建格式:userad d 参数 xian;U ID 按顺序使用
默认自动创建同名的基本用户组,家目录名
-e 用户到期时间,格式YYYY-M M- D D
用户
组 一个用户只能有一个基本组,但可有多个扩展用户组
-G 指定一个或多个扩展用户组
-s 指定该用户Shell,默认b ash
g ro up ad d
p assw d
userd el
ro o t用户下 p assw d xzf,输入新的密码
例
userd el -r xian 删除该用户及目录
权限
4 r-read (读)
-rw x-r--r--
2 w- w rite(写)
1 x-execute(执行)
文件所有者 1-3
文件所属组 4-6
其他用户 7-9
规则
修改权限 chm o d 权限 文件 修改该文件权限
目录及文件
/etc
/etc/shad o w
权限---------,只有管理员能查看
记录系统用户密码信息,使用M D 5加密,每次变化,暂无破解方法
userm o d
-e 强制用户下次登录修改密码
-S 显示用户密码是否被锁定,及密码加密算法
首位,代表文件类型
- 普通文件
d 目录
l 链接文件
b 块设备文件
c 字符设备文件
p 管道文件
其他命令
查看指定用户 U ID G ID
su xian
用户信息存储在 /etc/passw d, 密码加密存储在/etc/shad o w
cat /etc/p assw d
/etc/p assw d
记录系统用户信息
权限 -rw- r--r--
userad d -u 1111 xian
ro o t用户下执行
该用户下 p assw d, 输入旧密码,输入新密码
目录分类
/h o m e 用户数据目录
/var
/var/lo g 系统日志
/var/lib 包文件
/ro o t
/tm p
/d ev 设备文件
/b in
目录管理
关机重启
shutd ow n -r 5 五分钟后 C trl+c 取消
shutd ow n -h 5 五分钟后 C trl+c 取消
cho w n 实例:ch o w n 用户 [文件名]
chg rp 实例:chg rp 用户 [文件名]
创建目录
文件管理
tou ch
拷贝目录、文件
cat
当前目录名
切换目录
cd 切到家目录
cd - 切到上次目录
facl 访问控制策略
setfacl 设置acl
g etfacl 查看acl
setfacl -R m u:xzf:rw x /files
g etfacl /files
m o unt:挂载设备
um o unt:卸载设备
网络配置 网络配置
ifco nfig
网卡状态
系统管理
查看目录
详细信息
绿色:可执行文件
id xian
g ro up ad d g n am e
userad d -g g nam e unam e
系统属性
时间配置 d ate -s "20191010 10:10:10"
reb o o t
m kd ir x
-p 保留原始文件属性
-r 复制目录
-i 覆盖时询问
例
cp 源 目的
剪切目录、文件
当前生效
进入配置文件路径
1.
cd /etc/sysco nfig/n etw o rk-scrip ts
ls
配置文件说明
IP 获取方式
D EV IC E
开机启动
B O O TP R O TO
网卡名称 修改后会网络服务会报错,待深入学习
O N B O O T
yes
cd .. 切到上级目录
m o re
tar
-c 创建压缩文件
-x 解压文件
重启网络 system ctl restart netw o rk
仅用作测试,重启网络服务、重启系统都会失效
配置网络
永久生效
关机
重启
init 0
立即
延时
shutd ow n -h no w
立即
延时
shutd ow n -r no w
创建文件
find查找文件
格式 find 文件路径 -nam e 文件名
实例 find /tm p -n am e *.txt 查找tm p 内txt文件
修改密码
直接修改 ech o 'xian@ 123' | p assw d --std in xian
/
cd
ls
p w d
m kd ir
目录安全
chm o d
其他说明 蓝色:目录
绝对路径
cd /etc
相对路径
输入完整路径进入指定目录,可跨越当前目录
输入当前目录下已存在的目录,不能跨越当前目录
例 cd etc 切换到当前目录下etc
例 从任意目录切换到etc
其他
查看当前目录
查看指定目录
参数
ls
ls /etc
ls -l 目录名
全部文件 ls -a 目录名 .表示隐藏文件
包括:权限、所有者、所有组、文件大小、修改日期、文件名
查看权限 ls -l (别名:ll)
权限说明
执行文件 ./ 例 ./test.sh
解压缩
M 显示大小 ls -lh 目录名 默认以字节显示文件大小
~
单个
多个 m kd ir x y z
多级 m kd ir x/y/z
cp
参数
删除目录、文件 rm
复制文件
复制并重命名 cp x /tm p/xx 如果tm p 已存在xx目录,会变为复制xx目录下
当前目录信息 ls -ld 目录名 默认仅查看目录下的文件信息
文本操作
查看纯文本内容(适合内容较少)
查看纯文本内容(适合内容较多)
参数 -n 添加行号,方便定位
head
参数 -5 查看前5行
tail
-5 查看后5行
查看后10行,常用于查看日志
查看前10行
参数
-f 实时显示增量
复制目录 cp -r files /tm p/
参数
主机名
查看 ho stn am e
修改
ho stn am e 新名称
黑色:文本
格式
查看
hd a:第一块ID E设备
sd a:第一块SC SI设备
hd b: 第二块ID E设备
sd b: 第二块SC SI设备
hd: 表示ID E设备
sd: 表示SC SI设备
递归显示 ls -R 显示指定目录下的所有目录
no
ip ad d r ad d 10.1.1.9/24 d ev en s32
显示路由 ip ro u te list
PR EFIX 前缀 24
路由配置
删除路由 ip ro u te d el d efau lt
添加路由 ip ro u te ad d d efault via 10.1.1.1 d ev ens32
策略路由 ip ro u te ad d 100.1.1.0/24 via 10.1.2.1 d ev ens32
IP 配置
添加IP
删除IP ip ad d r d el 10.1.1.9/24 d ev ens32
查看网络状态
修改参数后,必须重启网络生效
查看网络配置文件
2.
编辑网络配置
3.
vi ifcfg-?
co nso le:控制台终端
tty:虚拟终端
修改后,重新登陆后显示新名称
支持字母、数字、横线组合,不支持_下划线,不能以.点开头,数字结尾
关机提示 shutd ow n - h 17:00 'guan ji le'
cen to s7中删除没有影响
N ETM A SK 子网掩码 255.255.255.0
IPA D D R IP地址
G A TW A Y 默认网关
其他参数
D N S1 D N S服务器
当前生效
永久生效 vi /etc/ho stn am e 重启后生效
m o unt /d ev/d isk /u sr/d o w n lo ad 子主题
存放lin ux内核/b o o t 引导文件
普通用户目录
/lib 动态链接库 类似w ind o w s中的D LL
/m ed ia 多媒体目录 U 盘、光驱识别后,挂载在此目录下
/m n t 临时挂载区 也可把光驱挂载的此目录下
/o p t 软件安装目录
/p ro c 进程信息
管理员用户目录
根目录
命令目录
临时文件目录,重启后可能被清除
可增长目录,重启可保留
配置文件
/u sr 当前用户操作信息
默认别名:ll
删除目录 rm d ir rm d ir 目录 必须是空目录
m v 例
移动文件 m v 源 目的
重命名 m v 源 源
创建用户
修改用户
创建组
删除用户
查看用户信息
切换到该用户
查看指定用户
N A M E 必须与D EV IC E一致
修改所有者
修改所属组
last
显示系统时间
显示硬件时间clo ck
此为隐藏文件vi ~/.b ashrc
不推荐,每人习惯不同vi /etc/b ashrc所有用户生效
仅此用户有效
永久
临时
别名优先于系统命令执行
alias xx='A 命令';'B命令'
单个命令
连续命令
unlias x
alias x='ls -l'
查看
撤销
创建
查看指定用户ID-u 用户名
查看当前用户U ID G ID
查看当前用户登陆信息w ho am i
查看当前tty
lscp u查看C PU
例:w hich lsw hich查看命令路径
M 字节显示内存信息
查看系统时间、启动时间、用户、系统负载信息(1分钟、5分钟、15分钟)up tim e
查看Linux版本、内核等信息unam e -a
命令选项
查看系统信息
查看用户信息
查看当前系统登陆用户信息w ho
alias
alias 别名命令
tty
!序号 执行该序号命令
-c 清空历史记录
histo ry 查看历史记录
p s au x
free -h
d f全写 d isk freed f -h M 字节显示磁盘空间
查看登录记录
id
查看各类信息
d ate
维护命令
查看内存状态
查看分区
查看时间
创建acl
任意,说明作用
规则
缺点
优点
[co re-G 0/0/5]traffic-filter inb o und acl 3000
创建流行为
重定向
创建流分类
引用流量
创建流策略
绑定分类与行为 可重复、叠加引用
优点
二层
三层
安全
参考路由器配置
创建
端口需空配置
src-d st-m ac(源目M A C) 适用局域网
d st-m ac
d st-ip (目的IP)
适用局域网
指定端口
加入汇聚 与汇聚口视图效果一样
H ash arithm etic: 负担方式
B W: 接口带宽
LA C P
Status:
LA C P 优先级
手工模式 Status:
U P (正常)
D o w n (故障)
Partn et(对端)
acto rp o rtn am e(对端端口)
sysp ri 对端优先级
system p rio rity 本端优先级
端口优先级 [co re-G 0/0/1]lacp p rio rity 100 默认32768,限制活动链接后,小的为活动链路
安全提议
vp n策略
创建 ip sec p ro p o sal xxx
镜像端口的流量除正常转发外,再复制一份到观察口
验证及说明
镜像
查看镜像配置 d isp lay p o rt-m irro rin g
端口镜像
功能
流镜像
观察口
[co re]o b serve-p o rt 1 in terface g 0/0/2 创建观察口
关闭生成树
进入观察口 interface g 0/0/2
[co re-G 0/0/2]stp d isab le
M Q C
acl 参考A C L
流分类
流行为
流策略
引用
m irro rin g to o b serve-p o rt 1 对应观察口编号
参考A C L
参考A C L
参考A C L
V LA N 镜像
镜像vlan
观察口 参考端口镜像配置
指定vlan vlan 1
配置镜像 [co re-vlan1]m irro ring to o b serve-p o rt 1 inb o und
ip ro u te 联动路由条目状态
[co re-V lan if9]vrrp vrid 9 virtual-ip 10.1.9.1
[co re-V lan if9]ip ad d ress 10.1.9.3 24
b ackup 配置 in vlan 9创建vlanif
两端vrid、 ip 必须相同
接口IP
配置虚IP
创建vlan [co re]vlan 9
V R R P配置
查看系统进程
共享服务
相关理论--> O SI模型--> 高层
验证命令
启动配置 d isp lay startu p
设备文件列表 d ir
查看版本 d isp lay versio n
流量方向
经当前端口从外部进入设备的流量inb o und
o utb o und
从当前接口发送到外部
从其他接口进入设备,但由当前接口发出的流量
时间段 [co re-acl-ad v-3000]ru le d eny ?tim e-rang e w o rk
w o rkin g-d ay 工作日
d aily 每天
略
IP Sec
vp n
加密地址
acl 3099
rule 5 p erm it ip so urce 本端内网IP d estin atio n 对端内网IP 必须指定对端IP, 否则表示指定IP 发送流量都经过V PN规则
认证算法 [AR-ip sec-p ro p o sal-xxx]esp authen ticatio n-alg o rith m ?
加密算法
m d 5 默认
[AR-ip sec-p ro p o sal-xxx]esp esp en cryp tio n-alg o rith m ? d es 默认
创建 ip sec p o licy 99 99 isakm p
加密流
IK E安全提议
创建 ike p ro p o sal 99
认证算法
加密算法
[AR-ike-p ro p osal-99]authenticatio n-alg o rithm ?
[AR-ike-p ro p osal-99]encryp tio n-alg o rith m ?
默认A ES-256
默认A ES-256
IK E对等体
[AR-ike-p eer-99]rem o te-ad d ress 100.1.2.2对端地址
IK E安全提议 [AR-ike-p eer-99]ike-p rop o sal 99
预共享密钥 [AR-ike-p eer-99]p re-sh ared-key cip her xian @ 123
创建 ike p eer 99 v2
[AR-ip sec-p o licy-isakm p-99-99]secu rity acl 3099
引用IK E [AR-ip sec-p olicy-isakm p-99-99]ike-p eer 99
名称任意
编号1-99
名称任意
验证 查看acl配置 d isp lay acl all
总部
其他配置
分支
其他配置参考总部
V PN
验证
d isp lay ike
d isp lay ip sec sa
N A T
A C L 3000
rule 5 p erm it d eny ip so urce 本端内网IP d estin atio n 对端内网IP 如果做nat,无法匹配vp n 策略
rule 99 perm it ip
路由配置
下连内网接口
上连外网接口
接口配置
外网路由
内网路由
允许N A T
禁止N A T
应用到上连外网接口
IK E对等体
[AR-ike-p eer-99]rem o te-ad d ress 100.1.1.2对端地址
IK E安全提议 [AR-ike-p eer-99]ike-p rop o sal 99
预共享密钥 [AR-ike-p eer-99]p re-sh ared-key cip her xian @ 123
创建 ike p eer 99 v2 名称任意
本端名称 [AR-ike-p eer-99]lo cal-nam e 100.1.1.2
G 0/0/1
G 0/0/2
100.1.1.2
10.1.2.1
下连内网接口
上连外网接口
接口配置
G 0/0/1
G 0/0/2
100.1.2.2
172.16.1.1
W EB 服务器
SM TP 服务器
N TP 服务器
功能 Linux下W EB 服务器,应用程序:A p ache
进程名称 http d
文件路径
配置文件 /etc/http d/co nf/h ttp d.co nf
根目录 /etc/http d
文档根目录 /var/w w w/ h ttm l
访问日志 /etc/in it.d/http d
错误日志 /var/lo g/http d/erro r_lo g
进程名称 d hcp d
文件路径 /etc/d hcp d.co nf配置文件
Linux下D N S服务器,应用程序:B ind功能
进程名称 nam ed
文件路径
配置文件 /etc/nam ed.con f
正向区域
反向区域
客户端配置文件
/var/n am ed/w l.co m. b d
/var/n am ed/192.168.100.b d
/etc/reso lve.co n f
服务管理 service nam ed
start 启动
stop 停止
restart 重启
服务管理 service d hcp d
start 启动
stop 停止
restart 重启
服务管理 service http d
start 启动
stop 停止
restart 重启
功能 Linux下文件和打印机共享服务,应用程序:San b a
进程名称 sm b d
文件路径 配置文件 /etc/sam b a/sm b d.co nf
服务管理 service sm b d
start 启动
stop 停止
restart 重启
功能 Linux下D H C P服务器,应用程序:D H C P
相关服务
arp
查看arp 表 arp -a
静态绑定 arp -s 10.1.1.1 aa-aa-aa-aa-aa-aa
测试网络连通性,基于IC M P协议
域名结构 FQ D N (完全限定域名)
域名级别从低到高排列,不区分大小写
根域
顶级域名
子域名
主机名(随意自定 )
.
co m
jd
w w w、 d iy
A C
so urce-ad d ress ?
规则名任意
rang e 10.1.1.1 10.1.1.99 指定IP 范围:1-99
service ?
tim e-ran g e ?
d estin atio n-ad d ress ?
p erm it
d eny 拒绝匹配规则的流量
[FW] nat-p o licy
指定规则 [FW- p o licy-nat]rule n am e ? 规则名任意
内网一般在“trust”
any
trust
d m z
所有安全域,不推荐
服务器一般在“d m z”
防火墙与公网相连的接口
no-n at 不转换
so urce-nat ?
easy-ip 转换为接口IP
ad d ress-g rou p ? 转换为地址池IP
目的安全域 d estin atio n-zo n e ?
untru st 公网接口一般在“untru st”
d m z 服务器一般在“d m z”
配置说明
配置命令
此IP 无须N A T及能访问公网
此IP 需匹配N A T,否则不能访问公网
公网通过访问 100.1.1.1:8888,访问内网服务器IP 10.1.1.1提供的W EB 服务
查看N A T策略 d isp lay nat-p o licy rule n am e ?
规则状态
en ab le 启用
d isab le 禁用
默认启用
禁用后不再生效
ad d ress-set ? 指定地址组,需已存在
10.1.1.0 24 指定主机或网段
参考源地址
http s,直接输入服务名
p ro toco l
tcp
ud p
so urce-po rt
d estin atio n-p o rt
源端口
目的端口
参考tcp
查看策略 d isp lay secu rity-p o licy rule n am e ? 指定规则配置
互通必须有“去”“回”安全策略
同安全域
不同安全域
d m z2tru st(域间策略_回)
安全区域
接口必须已加入安全域,否则丢弃此接口所有报文
配置安全域
[FW] firew all zo ne ?
[FW- zone-isp]ad d interface
进入安全域
3、添加接口
1、创建安全域 [FW] firew all zo ne n am e isp
[FW- zone-isp]set p rio rity 202、配置域优先级
任意,但必须唯一
优先级必须唯一,范围1-100
G I ?
vlanif ?已存在虚拟口
物理口
vlanif
创建vlan [FW] vlan 9
指定vlanif [FW] interface vlan if 9
配置IP [FW- V lan if9]ip ad d ress 10.1.9.1 30
配置管理协议
[FW- V lan if9]service-m anag e h ttp s p erm it
[FW- V lan if9]service-m anag e enab le
子接口
interface g 0/0/1.2
vlan-typ e d o t1q 2
创建子接口
接口vlan
接口
物理端口
进入端口 interface g 0/0/1
路由模式
交换模式
配置IP
转为交换 [FW- G 1/0/0] p o rtsw itch
[FW- G 1/0/0]ip ad d ress 100.1.1.2 30
默认网关 [FW- G 1/0/0]g atew ay 100.1.1.1
其他配置参考交换机
"."+子接口编号(任意)
建议与子接口相同,便于记忆
启用管理
允许协议 无需安全策略允许
管理
A 记录
名称
xian.co m正向查找区域
运行--d n sm g m t.m sc打开D N S管理器
IP 地址
区域 主区域
FQ D N 主区域名(域名)
对应服务器的IP
w w w、 m ail.等
反向查找区域 10.1.1 PTR
主机IP 地址
主机名 对应主机+域 名
验证
nslo o kup xian.co m查找IP
查找域名 nslo o kup 10.1.1.1
cnam e
别名 任意
FQ D N
目标主机 绑定主机域名
用户安全
账号策略
打开本地组策略 运行--g p ed it.m sc
密码策略
密码长度 0-14个字符 0表示允许空密码
复杂度要求
已禁用
已启用 密码最少六位,必须包含其中三类字符
英文大写
英文小写
数字
特殊字符
密码最长使用期限 默认:42天,到期后要求更改密码
密码历史 不允许修改前几次的密码
账号锁定策略 锁定时间
锁定阈值
登陆失败超过次数后锁定账号,防止暴力破解
允许登陆失败次数
锁定计数器 记住未超过锁定阈值内次数,超过此设定时间后,重新统计次数
单位:分钟,0表示永久锁定
选择计算机配置--W in d o w s设置--安全设置
本地策略
审核策略
用户权限分配
安全选项
不显示上次登录用户 默认:已禁用
拒绝从网络访问此计算机 添加本机管理员 默认:G u est
默认:无审核
重命名管理员
N A T
N A T映射
N A T
做N A T的地址
acl 3000创建A C L
规则 [AR-acl-ad v-3000]rule p erm it ip
对外接口
应用N A T
所有IP
interface g 0/0/1
应用N A T [AR-G 0/0/1]nat o utb o und 3000 所有匹配acl 3000的IP 都做n at
本端外网IP ip ad d ress 100.1.1.2 30 100.1.1.2/30表示电信给的IP 和掩码
对外缺省路由 [AR]ip rou te-static 0.0.0.0 0.0.0.0 G ig ab itEthern et0/0/1 100.1.1.1 100.1.1.1表示电信给的默认网关
Easy IP
N A PT
创建外网地址池
做N A T的地址
acl 3000创建A C L
规则 [AR-acl-ad v-3000]rule p erm it ip
对外接口
应用N A T
所有IP
interface g 0/0/1
应用N A T [AR-G 0/0/1]nat o utb o und 3000 ad d ress-g ro up 1 所有匹配acl 3000的IP都做nat
[R1]nat ad d ress-g ro up 1 100.1.1.1 100.1.1.10
动态N A T
[AR-G 0/0/1]nat o utb o und 3000 ad d ress-gro up 1 no-p at 不转换端口
创建外网地址池
做N A T的地址
acl 3000创建A C L
规则 [AR-acl-ad v-3000]rule p erm it ip 所有IP
[R1]nat ad d ress-g ro up 1 100.1.1.1 100.1.1.10
支持单个或多个
验证 会话表 d isp lay nat sessio n
路由配置
静态路由
ip ro u te-static 目的网段 掩码 出接口 下一跳 其他
下一跳接口
下一跳地址
目的网段/掩码
动态路由
如 10.1.1.0 24,对端必须有去往此网段的路由
哪个出口发送,本端必须能其互通
对端哪个IP 接收该报文,本端必须能其互通
验证
ro u te flag s(标识)
R
D
表示:该路由条目为中继路由
原因 配置静态路由未指定出接口,路由器要根据下一跳IP 获取出接口
表示:该路由条目已下发的FIB 表
查看路由表 d isp lay ip ro u ting-tab le
路由器其实是依据FIB 表转发报文
p ro to(获取路由协议)
p re(优先级)
nexth op (下一跳)
interface(出接口)
d estin atio n/m ask(目的网段)
co st(开销)
特殊路由
黑洞路由 ip ro u te-static 目的网段 null 0 将发往该网段的报文丢弃
直连路由 由设备接口IP 自动生成,只能通过修改接口IP改变
等价路由
去往“目的设备”存在多条相同路由优先级的路由,这几条等价路由间负载分担
浮动路由(主备)
转发规则
五元组相同 使用上次相同的路径转发
五元组不同 使用相对空闲的路径转发
O SPF
配置流程
o sp f ro u te-id 9.9.9.9
[AR-o sp f-1]area 0
创建o sp f进程“1”并配置R ID
对外地址 [AR-o sp f-1-area-0.0.0.0]n etw o rk 10.1.9.1 0.0.0.0 对外接口IP 必须发布,否则无法建立o sp f
内网网段 [AR-o sp f-1-area-0.0.0.0]n etw o rk 192.168.1.0 0.0.0.255
O SPF配置
验证
查看LSD B 表 d isp lay o sp f lsd b
查看邻居表 d isp lay o sp f p eer
报文时间
interface g 0/0/1
配置hello [AR-G 0/0/1]o sp f tim er hello 5 默认10秒
配置d ead [AR-G 0/0/1]o sp f tem er d ead 20
两端必须相同,否则无法建立邻居
默认40秒,自动修改成h ello 的4倍
0为主干同区域才能建立邻居
指定接口
配置认证 [AR-o sp f-1-area-0.0.0.0]au th enticatio n-m o d e m d 5 1 cip her 123
查看o sp f信息 d isp lay o sp f b rief
接口开销 [AR-G 0/0/1]o sp f co st ?
使用反掩码
接口视图
重启o sp f进程 < A R > reset o sp f p ro cess ?
接口优先级 [AR-G 0/0/1]o sp f d r-p rio rity ? 默认1,越大越优先,0不参与选举
查看接口的o sp f信息 d isp lay o sp f in terface
本区域下所有接口都需认证
接口认证 [AR-G 0/0/1]o sp f authen ticatio n-m o d e m d 5 1 cip her 123 本接口下所有区域都需认证
范围1-65535,缺省1,会影响下游设备开销计算
R oute ID
指定区域
重启进程后重新选举
查看o sp f路由表 d isp lay o sp f ro uting
优缺点
优点 配置简单、开销小
缺点
变动路由表时,只需在此路由器宣告对应路由,其他路由器通过o sp f自动学习到路由
每次变动路由表,都需要重新配置所有路由器,不适合复杂网络
查看o sp f错误信息 d isp lay o sp f erro r
静默端口 [AR-o sp f-1]silent-interface g 0/0/1
禁止从此接口发送本设备产生的o sp f报文
链路类型 [AR-G 0/0/1]o sp f netw o rk-typ e ?
两端必须相同,否则无法建立邻居
宣告缺省路由 [AR-o sp f-1]d efault-ro u te-ad vertise 其他路由器自动添加默认路由,默认路由在发布路由中必须为激活状态
ip ro u te-static 0.0.0.0 0 G 0/0/2 100.1.2.1 p reference 70
去往“目的设备”存在多条路由,通过调整优先级控制谁主谁备
配置
主路由
备路由
ip ro u te-static 0.0.0.0 0 G 0/0/2 100.1.1.1
其他
链路A
链路B
ip ro u te-static 0.0.0.0 0 G 0/0/2 100.1.1.1
ip ro u te-static 0.0.0.0 0 G 0/0/2 100.1.2.1
正常所有流量通过主路由转发,路由闲置
配置
转发规则
多条链路分担转发流量
主路由故障 备路由自动启用
主路由恢复 备路由自动闲置
仅影响本端,不影响对端通过备路由进入本端
缺省路由
表示所有目的网段
ip ro u te-static 0.0.0.0 0 上连外网接口 默认网关
继续转发其他设备发出的o sp f报文
宣告网络
O SPF没有抢占功能,先启动的选举成为D R 后,后加入的优先级再高也无法成为D R, 除非重新选举
本端立即结束此接口下的邻居关系
IP 地址 [AR-G 0/0/1]ip ad d ress 10.1.9.1 29 两端掩码必须相同
直连路由:0
静态路由:60
O SPF内部路由:10
R IP: 100
O SPF外部路由:150
说明
反掩码 0= 匹配,1= 任意,与掩码相反
d is fib 查看激活的路由表
进入进程 o sp f ? 默认 1,O SP F支持多进程,仅本端有效
开销参考值 [AR-o sp f-1]b an d w id th-reference 10000 仅本端有效,单位M bit/s,默认100,无法区分100M 以上的带宽
不代表已添加到路由表
对端经过d ead 时间结束邻居关系
查看转发表 d isp lay fib
R IP
创建R IP rip
参数
p 2p
b ro ad cast
可加快收敛,推荐在单链网络使用
默认,需40秒选举D R
登陆协议
Telnet Telnet server enab le启用Telnet服务
[co re]u ser-in terface co n so le 0
co nso le
STelnet(SSH)
steln et server en ab le启用SSH 服务
用户配置
[co re]ssh user xian auth enticatio n-typ e ?
默认关闭
默认关闭
密码
必须在A A A 配置相同的用户,在A A A 配置ssh密码
[co re-ui-con sole0]id le-tim eo ut 30 默认:10分钟
进入co nso le
断开连接 < co re> free u ser-in terface ?
验证
查看登录用户 d isp lay users
查看用户信息 d isp lay lo cal-user
端口号配置 ssh server p o rt ?
co nso le 0
U ser-Intf
vty
验证 d isp lay ssh server status
服务类型 [co re]ssh user xian service-typ e ?
认证类型 p assw o rd
steln et
登陆超时
默认22
认证类型 [co re-ui-con sole0]auth enticatio n-m o d e ?
p assw o rd
aaa
配置密码 [co re-ui-con sole0]set au th enticatio n passw o rd cip her ? 认证类型“p assw o rd”时 生效
< co re> u ser-in terface vty 0 4
[co re-ui-vty0]au th enticatio n-m o d e ?
[co re-ui-vty0]p ro to co l inb o und ?
进入虚接口
A A A 认证
[co re-ui-vty0]id le-tim eo ut 60 默认10分钟
[co re-ui-vty0]acl 2000 in b o und 配置后,只允许A C L2000列表中IP登录
V TY 配置
[co re-aaa]lo cal-user xian p assw o rd cip her xian @ 123
aaa
[co re-aaa]lo cal-user xian service-typ e ?
[co re-aaa]lo cal-user xian p rivileg e level 15
配置A A A
配置本地用户“xian”,密码"xian@ 123"
ssh
A A A 配置
配置本地用户“xian”权 限等级15
登陆超时
表示同时支持5个
认证模式
允许协议
限制主机
服务类型
配置密码
用户权限
term in al co nso le口
teln et
aaa
p assw o rd 密码认证
配置密码 [co re-ui-vty0]set authenticatio n p assw o rd cip her xian @ 123 V TY认证模式为p assw o rd 时生效
http W EB 管理
设备命名 [co re]sysn am e ?
基础操作
退出当前视图 q uit
撤销命令 und o
退出到用户视图 return
und o 原命令
und o 去掉原命令的参数
补全命令 TA B 键 关键字必须有对应命名
命令帮助 ?
根据已输入关键词获取后续命令提示
获取当前视图下的全部命令提示
名称任意
进入系统视图 < co re> system- view
路由配置
查看登录用户 d isp lay users
d isp lay curren t-co nfig uratio n
查看已保存配置 d isp lay saved-co nfig uratio n
查看当前配置
IP V 6
开启IP V 6转发
指定接口
开启IP V 6
全球单播
本地链路地址
任播地址
验证
手动
自动 [AR-G 0/0/1]ip v6 ad d ress auto link-lo cal
[AR-G 0/0/1]ip v6 ad d ress fe80::1 link-lo cal
[AR-G 0/0/1]ip v6 ad d ress 2004::1 64
默认,按EU I-64规则自动生成
[AR-G 0/0/1]ip v6 ad d ress auto anycast
d isp lay ip v6 interface b rief
d isp lay ip v6 interface g 0/0/1 指定接口
本设备
[AR-G 0/0/1]ip v6 en ab le
[AR]ip v6
网络规划
网络设备
路由器
工作在网络层
作用 协议转换、路由选择、流量控制、数据包分片与重组、网络管理
FW (防火墙)
ID S(入侵检测系统)
首包检测通过,生成会话表,后续包直接放行
状态检测防火墙
防火墙分类
下一代防火墙
IP S(入侵防御系统)
W A F(W EB 应用防火墙)
流量清洗(an ti-d d o s)
基于五元组
源地址
目的地址
源端口
目的端口
协议
转发规则
交换机
工作在数据链路层
堡垒机
蜜罐
A C (无线控制器)
A P无线设备
基于数据流
攻击防范
蠕虫、木马、病毒等
主动防御,可实时阻断攻击
防护 检测攻击后告警,不能阻断攻击
网络扫描
工作在网络层、传输层
W EB 类攻击、SQ L注入、跨站脚本等
各种协议攻击、D O S/D D O S等
利用漏洞的攻击
作用
访问控制
有限的攻击防范
作用
基于七元组
源地址
目的地址
源端口
目的端口
协议
用户
应用
攻击处理
PO E
作用 W EB 防护
部署位置 W EB 服务器前面
部署 与内网主机、其他交换机相连
网络隔离
部署 旁挂
部署
旁挂
串连
只能检测,无法阻断攻击
部署 旁挂
上网行为管理
运维审计设备作用
部署 旁挂
作用
部署 旁挂
作用 管理、配置A P,对无线网络统一管理
作用 对A P设备接入和供电
部署 A P的前面
作用
用户行为审计
用户行为控制
阻止违规上网行为
部署
旁挂
串连
边界防护
常见技术
漏洞扫描设备
作用 子主题
部署 旁挂
指定端口 interface G ig ab itEth ernet 0/0/1 进入端口视图
进入端口视图
配置V lan
启用子网-V LA N
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0
最新资源