精华内容
下载资源
问答
  • 如何在思科路由器屏蔽指定的IP地址,有需要的可以学习下。
  • H3C交换机DHCP环境禁止手动修改IP

    千次阅读 2020-03-10 15:51:50
    H3C交换机DHCP环境禁止手动修改IP 1、DHCP环境 在某些网络环境下禁止手动修改IP,防止地址冲突。为此禁止手动修改IP也可以在交换机上实现。具体参考如下: #开启DHCP Snooping并且添加信任接口 [H3C]dhcp snooping ...

    H3C交换机DHCP环境禁止手动修改IP

    1、DHCP环境

    在某些网络环境下禁止手动修改IP,防止地址冲突。为此禁止手动修改IP也可以在交换机上实现。具体参考如下:
    #开启DHCP Snooping并且添加信任接口
    [H3C]dhcp snooping enable
    [H3C]interface GigabitEthernet 1/0/8
    [H3C-GigabitEthernet1/0/8]dhcp snooping trust
    [H3C-GigabitEthernet1/0/8]quit

    #将连接终端的物理接口开启dhcp snooping表绑定记录功能并检查ip与mac绑定关系。
    [H3C]interface GigabitEthernet 1/0/5
    [H3C-GigabitEthernet1/0/5]dhcp snooping binding record
    [H3C-GigabitEthernet1/0/5]ip verify source ip-address mac-address
    [H3C-GigabitEthernet1/0/5]quit

    #查看dhcp snooping绑定关系
    [H3C]display ip source binding dhcp-snooping
    Total entries found: 1
    IP Address MAC Address Interface VLAN Type
    192.168.1.103 b00c-d16b-c771 GE1/0/5 1 DHCP snooping

    2、DHCP中继环境

    #配置中继
    [H3C]dhcp enable
    [H3C-Vlan-interface10]ip address 192.168.10.252 24
    [H3C-Vlan-interface10]dhcp select relay
    [H3C-Vlan-interface10]dhcp relay server-address 192.168.10.254
    [H3C-Vlan-interface10]quit

    #配置记录和开启验证
    [H3C]dhcp relay client-information record #记录dhcp中继表项
    [H3C]interface Vlan-interface 10
    [H3C-Vlan-interface10]ip verify source ip-address mac-address #启动绑定关系
    [H3C-Vlan-interface10]quit

    #验证配置
    [H3C]display ip source binding dhcp-relay
    Total entries found: 1
    IP Address MAC Address Interface VLAN Type
    192.168.10.1 b00c-d16b-c771 Vlan10 10 DHCP relay



    展开全文
  • IPSG是一种基于二层接口的源IP地址过滤技术,它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLAN ID和接口组成,包括静态和动态两种。静态绑定表是用户手工创建的,动态绑定表即DHCP Snooping...

    IPSG简介
    IPSG是一种基于二层接口的源IP地址过滤技术,它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLAN ID和接口组成,包括静态和动态两种。静态绑定表是用户手工创建的,动态绑定表即DHCP Snooping绑定表,它是在主机动态获取IP地址时,交换机根据DHCP回复报文自动生成的。绑定表生成后,在使能IPSG的接口收到报文后,交换机会将报文中的信息和绑定表匹配,匹配成功则允许报文通过,匹配失败则丢弃报文。匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意组合,例如可以只匹配IP地址,或者只匹配IP地址和MAC地址,或者IP地址、MAC地址、VLAN ID和接口都匹配等。

    因此,IPSG能够防止恶意主机盗用合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或者攻击网络。

    例如:在主机是DHCP服务器动态分配IP地址的环境下,主机只能使用服务器动态分配的IP地址,私自配置静态IP地址将无法访问网络,除非管理员为主机创建静态绑定表项。

    组网需求
    Host通过ACC接入网络,Core作为DHCP Server为Host动态分配IP地址,打印机使用静态IP地址,Gateway为企业出口网关。管理员希望Host不能私自配置静态IP地址,私自配置IP地址后将无法访问网络。

    配置思路
    采用如下的思路配置IPSG功能,实现上述需求。

    在Core上配置DHCP Server功能,为Host动态分配IP地址。
    在ACC上配置DHCP Snooping功能,保证Host从合法的DHCP Server获取IP地址,同时生成DHCP Snooping动态绑定表,记录Host的IP地址、MAC地址、VLAN、接口的绑定关系。
    在ACC上为打印机创建静态绑定表,保证打印机的安全接入。
    在ACC连接用户的VLAN上使能IPSG功能,防止Host通过私自配置IP地址的方式访问网络。

    设备
    华为S5720-28p-LI-AC
    VRP ® software, Version 5.170 (S5720 V200R011C10SPC600

    操作步骤

    在Core上配置DHCP Server功能
    system-view
    [HUAWEI] sysname Core
    [Core] vlan batch 10
    [Core] interface gigabitethernet 0/0/1
    [Core-GigabitEthernet0/0/1] port link-type trunk
    [Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
    [Core-GigabitEthernet0/0/1] quit
    [Core] interface vlanif 10
    [Core-Vlanif10] ip address 10.1.1.1 255.255.255.0
    [Core-Vlanif10] dhcp select interface
    [Core-Vlanif10] dhcp server lease day 0 hour 6 minute 0
    [Core-Vlanif10]dhcp server dns-list 114.114.114.114

    在ACC上配置DHCP Snooping功能

    #配置各接口所属VLAN。

    system-view
    [HUAWEI] sysname ACC
    [ACC] vlan batch 10
    [ACC] interface gigabitethernet 0/0/1
    [ACC-GigabitEthernet0/0/1] port link-type access
    [ACC-GigabitEthernet0/0/1] port default vlan 10
    [ACC-GigabitEthernet0/0/1] quit
    [ACC] interface gigabitethernet 0/0/2
    [ACC-GigabitEthernet0/0/2] port link-type access
    [ACC-GigabitEthernet0/0/2] port default vlan 10
    [ACC-GigabitEthernet0/0/2] quit
    [ACC] interface gigabitethernet 0/0/3
    [ACC-GigabitEthernet0/0/3] port link-type access
    [ACC-GigabitEthernet0/0/3] port default vlan 10
    [ACC-GigabitEthernet0/0/3] quit
    [ACC] interface gigabitethernet 0/0/4
    [ACC-GigabitEthernet0/0/4] port link-type trunk
    [ACC-GigabitEthernet0/0/4] port trunk allow-pass vlan 10
    [ACC-GigabitEthernet0/0/4] quit

    #使能DHCP Snooping功能,并将连接DHCP Server的GE0/0/4接口配置为信任接口。

    [ACC] dhcp enable //使能DHCP功能
    [ACC] dhcp snooping enable //使能全局DHCP Snooping功能
    #dhcp snooping enable ipv4 //只对ipv4使能DHCP Snooping功能
    [ACC] vlan 10
    [ACC-vlan10] dhcp snooping enable //使能VLAN 10下的DHCP Snooping功能
    [ACC-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/4 //配置信任接口
    [ACC-vlan10] quit
    创建打印机的静态绑定表项
    [ACC] user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 interface gigabitethernet 0/0/3 vlan 10
    #[ACC] user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 vlan 10 //用于接入下挂傻瓜交换机没有具体端口
    在ACC的VLAN10上使能IPSG功能
    [ACC] vlan 10
    [ACC-vlan10] ip source check user-bind enable //使能IPSG功能
    [ACC-vlan10] quit
    验证配置结果
    Host上线后,在ACC上执行display dhcp snooping user-bind all命令,可以查看Host的动态绑定表信息。

    [ACC] display dhcp snooping user-bind all
    DHCP Dynamic Bind-table:
    Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping

    IP Address MAC Address VSI/VLAN(O/I/P) Interface Lease

    10.1.1.254 0001-0001-0001 10 /-- /-- GE0/0/1 2014.08.17-07:31
    10.1.1.253 0002-0002-0002 10 /-- /-- GE0/0/2 2014.08.17-07:34

    Print count: 2 Total count: 2
    在ACC上执行display dhcp static user-bind all命令,可以查看打印机的静态绑定表信息。

    [ACC] display dhcp static user-bind all

    DHCP static Bind-table:
    Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
    IP Address MAC Address VSI/VLAN(O/I/P) Interface

    10.1.1.2 0003-0003-0003 10 /-- /-- GE0/0/3

    Print count: 1 Total count: 1
    Host使用DHCP服务器动态分配的IP地址可以正常访问网络,将Host更改为与动态获得的IP地址不一样的静态IP地址后无法访问网络。

    展开全文
  • 工作中常需要对某些网段的用户进行管理,需要对部分ip地址进行保护,只有开放了权限的用户才能访问受保护的ip

    限制某网段IP访问

    有时工作需要,需要限制某些网段的IP访问。

    以下操作在telnet上进行,基于hc交换机。

    1. 需要被限制范文的设备是连接在203.2.1.1的交换机上,首先需要连接交换机,
      telnet 连接 203.2.1.1 或者 203.1.1.1 密码 xxxxxx

      Password:
      <L3>
      <L3>system-view
      System View: return to User View with Ctrl+Z.
      [L3]
      
    2. 查看ACL,当前测试使用的是203.1.2网段,对应的acl规则号是3512

      [L3]acl number 3512
      [L3-acl-adv-3512]
      
    3. 查看3512下的所有rule规则

      [L3-acl-adv-3512]di this
      #
      acl number 3512
       rule 1 permit ip source 203.2.1.66 0
       rule 2 permit ip source 203.2.1.48 0
       rule 3 permit ip source 203.2.1.18 0
       rule 4 permit ip source 203.2.1.36 0
       rule 5 permit ip source 203.2.1.46 0
       rule 6 permit ip source 203.2.1.50 0
       rule 7 permit ip source 203.2.1.47 0
       rule 100 deny ip source 209.0.0.0 0.255.255.255
       rule 101 deny ip source 203.2.0.0 0.0.255.255
       rule 102 deny ip source 203.1.1.0 0.0.0.255
       rule 103 deny ip source 203.1.7.0 0.0.0.255
      

      rule后面的数字表示优先级,数字越小优先级越高。所以如果需要在某被限制的网段中添加白名单,需要将白名单IP的rule优先级,设置地比当前限制网段的rule优先级高。

      rule 1 permit ip source 203.2.1.66 0 来看,这里的IP地址后面的0是通配符掩码,0代表,0.0.0.0,意味着这只允许一个IP地址 203.2.1.66 访问,换成其他如 203.2.1.67 就不可以了;假如需要1-254 都可以访问,那么后面的通配符就要变成,0.0.0.255,即比如 rule 1 permit ip source 203.2.1.47 0.0.0.255,0代表精确匹配,255代表模糊匹配。

    4. 退出当前状态

      [L3-acl-adv-3501]qu
      [L3]qu
      <L3>
      
    5. 添加限制规则

      rule 100 deny ip source 209.0.0.0 0.255.255.255  # 限制209网段的所有设备访问203.2.1.x 
      rule 101 deny ip source 203.2.0.0 0.0.255.255  # 限制203.2.x.x网段设备访问203.2.1.x 
      rule 102 deny ip source 203.1.1.0 0.0.0.255  # 限制203.1.1.x网段设备访问203.2.1.x 
      
    6. 添加白名单

       rule 1 permit ip source 203.2.1.66 0  # 允许203.2.1.66地址访问203.2.1.x 
      
    7. 删除规则

      undo rule 1 # 删除规则1
      undo rule 100 # 删除规则100
      

      使用 undo rule n 来删除配置的规则,n为优先级数字。


      以下操作很少用:

    8. 查看当前交换机中wlan的所有acl: di cur

      [L3]di cur
      #
       version 5.20, Release 1211P03
      #
       sysname L3
      #
       clock timezone GTS-8 add 08:00:00
      #
       ftp server enable
      #
       irf mac-address persistent timer
       irf auto-update enable
       undo irf link-delay
      #
       domain default enable system
      #
       ipv6
       ipv6 unreachables enable
      #
       telnet server enable
      #
       acl logging frequence 1440
      #
       multicast routing-enable
      #               
      acl number 2501   # 这些就是想要查看的acl number
      #
      acl number 3000   
      acl number 3001
      acl number 3014
      acl number 3015
      acl number 3500
       description For_Vlan3011
       rule 1 permit ip source 203.2.1.101 0
       rule 2 permit ip source 203.5.1.239 0
       rule 3 permit ip source 203.2.1.245 0
      
    9. 配置acl

      # 接着上一步,选取di cur后的打印信息中的部分
      interface Vlan-interface3014
       description PktFlt outb for Filtering packets from outside Vlan3014
       ipv6 address 2001:0:0:104::1/64
       ip address 203.1.4.1 255.255.255.0
       igmp enable
       pim sm
       packet-filter 3501 outbound   # 可以看到这个网段已经配置了acl规则,number为3501
      #
      interface Vlan-interface3015
       ip address 203.1.5.1 255.255.255.0  # 可以看到这个网段没有配置acl规则 
       pim sm
      #            
                      
      # 准备给 203.1.5.1 255.255.255.0 配置acl      
      [L3]interface Vlan-interface3015
      [L3-Vlan-interface3015]packet-filter 3515 outbound  # 选择一个不存在的acl数字,这里面number=3515
      [L3-Vlan-interface3015]di this
      #
      interface Vlan-interface3015
       ip address 203.1.5.1 255.255.255.0
       pim sm
       packet-filter 3515 outbound
      #
      return
      [L3-Vlan-interface3015]
      
    展开全文
  • 我模拟测试7.6禁止访问172.168.0.0,允许7.6访问7.1(网关),他能正常访问111.111.111.111吗?如果不能那该怎么配置ACL 以下是模拟器测试的配置, <p><Huawei>dis cu...
  • 锐捷交换机配置命令

    千次阅读 2019-09-24 16:41:37
    锐捷交换机配置命令 交换机基本操作 1.进入特权模式 Switch>enable Switch# 2.返回用户模式 Switch#exit Press RETURN to get started! Switch> 配置模式: 全局配置模式[主机名(config)#]:配置交换机的整体...

    锐捷交换机配置命令

    交换机基本操作
    1.进入特权模式
    Switch>enable
    Switch#
    2.返回用户模式
    Switch#exit
    Press RETURN to get started!
    Switch>
    配置模式:
    全局配置模式[主机名(config)#]:配置交换机的整体参数
    子模式:
    1.线路配置模式[主机名(config-line)#]:配置交换机的线路参数
    2.接口配置模式[主机名(config-if)#]:配置交换机的接口参数

    1.进入全局配置模式下
    Switch#configure terminal
    Switch(config)#exit
    Switch#
    2.进入线路配置模式
    Switch(config)#line console 0
    Switch(config-line)#exit
    Switch(config)#
    3.进入接口配置模式
    Switch(config)#interface fastEthernet 0/1
    Switch(config-if)#exit
    Switch(config)#

    从子模式下直接返回特权模式
    Switch(config-if)#end
    Switch#

    交换机操作帮助特点:
    1.支持命令简写(按TAB键将命令补充完整)
    2.在每种操作模式下直接输入“?”显示该模式下所有的命令
    3.命令空格 “?”显示命令参数并对其解释说明
    4.字符“?”显示以该字符开头的命令
    5.命令历史缓存: (Ctrl+P)显示上一条命令,(Ctrl+N)显示下一条命令
    6.错误提示信息

    交换机显示命令:
    显示交换机硬件及软件的信息 Switch#show version
    显示当前运行的配置参数 Switch#show running-config
    显示保存的配置参数 Switch#show configure

    常用交换机EXEC命令
    将当前运行的配置参数复制到flash:Switch#write memory
    Building configuration…
    [OK]
    Switch#
    清空flash中的配置参数:Switch#delete flash:config.text
    Switch#
    交换机重新启动:Switch#reload
    System configuration has been modified. Save? [yes/no]:n
    Proceed with reload? [confirm]

    配置交换机主机名:Switch(config)#hostname S2126G
    S2126G(config)#

    配置交换机口令:
    1、 配置交换机的登陆密码
    S2126G(config)#enable secret level 1 0 star
    “0”表示输入的是明文形式的口令
    2、 配置交换机的特权密码
    S2126G(config)#enable secret level 15 0 Star
    “0”表示输入的是明文形式的口令

    常用交换机配置命令:
    1、为交换机分配管理IP地址
    S2126G(config)#interface vlan 1
    S2126G(config-if)#ip address {IP address} {IP subnetmask}[secondary]
    2、将接口启用
    S2126G(config-if)#no shutdown
    3、将接口关闭
    S2126G(config-if)#shutdown
    4、配置接口速率
    S2126G(config-if)#speed [10|100|auto]
    5、配置接口双工模式
    S2126G(config-if)#duplex [auto|full|half

    显示接口状态:S2126G#show interfaces
    测定目的端的可达性:S2126G>ping {IP address}
    从TFTP服务器下载配置参数:S2126G#copy tftp startup-config
    管理交换机MAC地址表:
    1、查看MAC地址表
    S2126G#show mac-address-table
    2、配置MAC地址表记录的生存时间(缺省为300秒)
    S2126G(config)#mac-address-table aging-time <10-1000000>
    3、查看MAC地址表记录的生存时间
    S2126G#show mac-address-table aging-time

    VLAN的配置:
    1.添加一个VLAN
    S2126G(config)#vlan <1-4094>
    S2126G(config-vlan)#
    2.为VLAN命名(可选)
    S2126G(config-vlan)#name
    将交换机端口分配到VLAN
    1.配置Port VLAN
    Switch(config-if)#switchport access vlan <1-4094>
    2.配置Tag VLAN
    Switch(config-if)#switchport mode trunk
    1).配置本地(native)VLAN
    Switch(config-if)#switchport trunk native vlan <1-4094>
    2).从主干链路中清除VLAN
    Switch(config-if)#switchport trunk allowed vlan except
    注:VLAN1不可被清除
    VLAN的验证:
    1.显示全部的VLAN:Switch#show vlan
    2.显示单独的VLAN :Switch#show vlan id <1-4094>

    将VLAN信息保存到flash中:Switch#write memory
    从flash中清除VLAN信息:Switch#delete flash:vlan.dat
    RSTP的配置:
    1.启用生成树:S2126G(config)#spanning-tree
    2.配置交换机优先级:S2126G(config)#spanning-tree priority <0-61440>
    “0”或“4096”的倍数(RSTP BPDU该值后12bit全0)
    3.配置交换机端口优先级:S2126G(config-if)#spanning-tree port-priority <0-240>
    “0”或“16”的倍数(RSTP BPDU该值后4bit全0)
    4、生成树hello时间的配置(由Root决定):S2126G(config)#spanning-tree hello-time <1-10>
    5、生成树的验证:Switch#show spanning-tree
    Switch#show spanning-tree interface <接口名称> <接口编号>
    以上用于锐捷交换机的。

    交换机配置命令集

    >Enable 进入特权模式
      #ExIT 返回上一级操作模式
      #End 返回到特权模式
      #write memory 或copy running-config startup-config 保存配置文件
      #del flash:config.text 删除配置文件(交换机及1700系列路由器)
      #erase startup-config 删除配置文件(2500系列路由器)
      #del flash:vlan.dat 删除Vlan配置信息(交换机)
      #Configure terminal 进入全局配置模式
      (config)# hostname switchA 配置设备名称为switchA
      (config)#banner motd & 配置每日提示信息 &为终止符
      (config)#enable secret level 1 0 star 配置远程登陆密码为star
      (config)#enable secret level 15 0 star 配置特权密码为star
      Level 1为普通用户级别,可选为1~15,15为最高权限级别;0表示密码不加密
      (config)#enable services web-server 开启交换机WEB管理功能
      Services 可选以下:web-server(WEB管理)、telnet-server(远程登陆)等

    查看信息
      #show running-config 查看当前生效的配置信息
      #show interface fastethernet 0/3 查看F0/3端口信息
      #show interface serial 1/2 查看S1/2端口信息
      #show interface 查看所有端口信息
      #show ip interface brief 以简洁方式汇总查看所有端口信息
      #show ip interface 查看所有端口信息
      #show version 查看版本信息
      #show mac-address-table 查看交换机当前MAC地址表信息
      #show running-config 查看当前生效的配置信息
      #show vlan 查看所有VLAN信息
      #show vlan id 10 查看某一VLAN (如VLAN10)的信息
      #show interface fastethernet 0/1 switchport 查看某一端口模式(如F 0/1)
      #show aggregateport 1 summary 查看聚合端口AG1的信息
      #show spanning-tree 查看生成树配置信息
      #show spanning-tree interface fastethernet 0/1 查看该端口的生成树状态
      #show port-security 查看交换机的端口安全配置信息
      #show port-security address 查看地址安全绑定配置信息
      #show ip access-lists listname 查看名为listname的列表的配置信息
      #show access-lists

    端口的基本配置
      (config)#Interface fastethernet 0/3 进入F0/3的端口配置模式
      (config)#interface range fa 0/1-2,0/5,0/7-9 进入F0/1、F0/2、F0/5、F0/7、F0/8、F0/9的端口配置模式
      (config-if)#speed 10 配置端口速率为10M,可选10,100,auto
      (config-if)#duplex full 配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应)
      (config-if)#no shutdown 开启该端口
      (config-if)#switchport access vlan 10 将该端口划入VLAN10中,用于VLAN
      (config-if)#switchport mode trunk 将该端口设为trunk模式,用于Tag vlan
      可选模式为access , trunk
      (config-if)#port-group 1 将该端口划入聚合端口AG1中,用于聚合端口

    聚合端口的创建
      (config)# interface aggregateport 1 创建聚合接口AG1
      (config-if)# switchport mode trunk 配置并保证AG1为 trunk 模式
      (config)#int f0/23-24
      (config-if-range)#port-group 1 将端口(端口组)划入聚合端口AG1中

    生成树
      (config)#spanning-tree 开启生成树协议
      (config)#spanning-tree mode stp 指定生成树类型为stp
      可选模式stp , rstp , mstp
      (config)#spanning-tree priority 4096 设置交换机的优先级为4096 , 优先级值小为高。优先级可选值为0,4096,8192,……,为4096的倍数。交换机默认值为32768

    VLAN的基本配置
      (config)#vlan 10 创建VLAN10
      (config-vlan)#name vlanname 命名VLAN为vlanname
      (config-if)#switchport access vlan 10 将该端口划入VLAN10中
      某端口的接口配置模式下进行
      (config)#interface vlan 10 进入VLAN 10的虚拟端口配置模式
      (config-if)# ip address 192.168.1.1 255.255.255.0 为VLAN10的虚拟端口配置IP及掩码,二层交换机只能配置一个IP,此IP是作为管理IP使用,例如,使用Telnet的方式登录的IP地址
      (config-if)# no shutdown 启用该端口

    端口安全
      (config)# interface fastethernet 0/1 进入一个端口
      (config-if)# switchport port-security 开启该端口的安全功能
      1.配置最大连接数限制
      (config-if)# switchport port-secruity maxmum 1 配置端口的最大连接数为1,最大连接数为128
      (config-if)# switchport port-secruity violation shutdown
      配置安全违例的处理方式为shutdown,可选为protect (当安全地址数满后,将未知名地址丢弃)、restrict(当违例时,发送一个Trap通知)、shutdown(当违例时将端口关闭,并发送Trap通知,可在全局模式下用errdisable recovery来恢复)
      2.IP和MAC地址绑定
      (config-if)#switchport port-security mac-address xxxx.xxxx.xxxx ip-address 172.16.1.1
      接口配置模式下配置MAC地址xxxx.xxxx.xxxx和IP172.16.1.1进行绑定(MAC地址注意用小写)

    三层路由功能(针对三层交换机)
      (config)# ip routing 开启三层交换机的路由功能
      (config)# interface fastethernet 0/1
      (config-if)# no switchport 开启端口的三层路由功能(这样就可以为某一端口配置IP)
      (config-if)# ip address 192.168.1.1 255.255.255.0
      (config-if)# no shutdown
      三层交换机路由协议
      (config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 配置静态路由
      注:172.16.1.0 255.255.255.0 为目标网络的网络号及子网掩码
      172.16.2.1 为下一跳的地址,也可用接口表示,如ip route 172.16.1.0 255.255.255.0 serial 1/2(172.16.2.0所接的端口)
      (config)# router rip 开启RIP协议进程
      (config-router)# network 172.16.1.0 申明本设备的直连网段信息
      (config-router)# version 2 开启RIP V2,可选为version 1(RIPV1)、version 2(RIPV2)
      (config-router)# no auto-summary 关闭路由信息的自动汇总功能(只有在RIPV2支持)

    (config)# router ospf 开启OSPF路由协议进程(针对1762,无需使用进程ID)
      (config)# router ospf 1 开启OSPF路由协议进程(针对2501,需要加OSPF进程ID)
      (config-router)# network 192.168.1.0 0.0.0.255 area 0
      申明直连网段信息,并分配区域号(area0为骨干区域)

    IP ACL:
      交换机采用命名的访问控制列表;分标准(stand)和扩展(extended)两种
      1.标准ACL
      (config)#ip access-list stand listname 定义命名标准列表,命名为listname,stand为标准列表
      (config-std-nacl)#deny 192.168.30.0 0.0.0.255 拒绝来自192.168.30.0网段的IP流量通过
      注:deny:拒绝通过;可选:deny(拒绝通过)、permit(允许通过)
      192.168.30.0 0.0.0.255:源地址及源地址通配符;可使用any表示任何IP
      (config-std-nacl)#permit any
      (config-std-nacl)#end 返回
      2.扩展ACL
      (config)#ip access-list extended listname
      定义命名扩展列表,命名为listname,extended为扩展
      (config-ext-nacl)#deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq www 拒绝源地址为192.168.30.0网段的IP访问目的地址为192.168.10.0网段的WWW服务
      注:deny:拒绝通过,可选:deny(拒绝通过)、permit(允许通过)
      tcp: 协议名称,协议可以是udp, ip,eigrp, gre, icmp, igmp, igrp等等。
      192.168.10.0 0.0.0.255:源地址及源地址通配符
      192.168.30.0 0.0.0.255:目的地址及目的地址通配符
      eq:操作符(lt-小于,eq-等于,gt-大于,neg-不等于,range-包含)
      www:端口号,可使用名称或具体编号
      可以使用的协议名称(或编号)和端口名称(或编号)请打?查询。
      (config-ext-nacl)#permit ip any any 允许其它通过
      (config-ext-nacl)#end 返回
      (config)#interface vlan 10 进入端口配置模式
      (config-if)# ip access-group listname in 访问控制列表在端口下in方向应用;可选:in(入栈)、out(出栈)
      (config-if)#end 返回
      注:配置ACL时,若只想对其中部分IP进行限制访问时,必须配置允许其流量通过,否则设备只会对限制IP进行处理,不会对非限制IP进行允许通过处理。

    锐捷网络交换机的配置命令集

    交换机

    >Enable 进入特权模式
      #Exit 返回上一级操作模式
      #End 返回到特权模式
      #write memory 或copy running-config startup-config 保存配置文件
      #del flash:config.text 删除配置文件(交换机及1700系列路由器)
      #erase startup-config 删除配置文件(2500系列路由器)
      #del flash:vlan.dat 删除Vlan配置信息(交换机)
      #Configure terminal 进入全局配置模式
      (config)# hostname switchA 配置设备名称为switchA
      (config)#banner motd & 配置每日提示信息 &为终止符
      (config)#enable secret level 1 0 star 配置远程登陆密码为star
      (config)#enable secret level 15 0 star 配置特权密码为star
      Level 1为普通用户级别,可选为1~15,15为最高权限级别;0表示密码不加密
      (config)#enable services web-server 开启交换机WEB管理功能
      Services 可选以下:web-server(WEB管理)、telnet-server(远程登陆)等

    查看信息
      #show running-config 查看当前生效的配置信息
      #show interface fastethernet 0/3 查看F0/3端口信息
      #show interface serial 1/2 查看S1/2端口信息
      #show interface 查看所有端口信息
      #show ip interface brief 以简洁方式汇总查看所有端口信息
      #show ip interface 查看所有端口信息
      #show version 查看版本信息
      #show mac-address-table 查看交换机当前MAC地址表信息
      #show running-config 查看当前生效的配置信息
      #show vlan 查看所有VLAN信息
      #show vlan id 10 查看某一VLAN (如VLAN10)的信息
      #show interface fastethernet 0/1 switchport 查看某一端口模式(如F 0/1)
      #show aggregateport 1 summary 查看聚合端口AG1的信息
      #show spanning-tree 查看生成树配置信息
      #show spanning-tree interface fastethernet 0/1 查看该端口的生成树状态
      #show port-security 查看交换机的端口安全配置信息
      #show port-security address 查看地址安全绑定配置信息
      #show ip access-lists listname 查看名为listname的列表的配置信息
      #show access-lists

    端口的基本配置
      (config)#Interface fastethernet 0/3 进入F0/3的端口配置模式
      (config)#interface range fa 0/1-2,0/5,0/7-9 进入F0/1、F0/2、F0/5、F0/7、F0/8、F0/9的端口配置模式
      (config-if)#speed 10 配置端口速率为10M,可选10,100,auto
      (config-if)#duplex full 配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应)
      (config-if)#no shutdown 开启该端口
      (config-if)#switchport access vlan 10 将该端口划入VLAN10中,用于VLAN
      (config-if)#switchport mode trunk 将该端口设为trunk模式,用于Tag vlan
      可选模式为access , trunk
      (config-if)#port-group 1 将该端口划入聚合端口AG1中,用于聚合端口

    聚合端口的创建
      (config)# interface aggregateport 1 创建聚合接口AG1
      (config-if)# switchport mode trunk 配置并保证AG1为 trunk 模式
      (config)#int f0/23-24
      (config-if-range)#port-group 1 将端口(端口组)划入聚合端口AG1中

    生成树
      (config)#spanning-tree 开启生成树协议
      (config)#spanning-tree mode stp 指定生成树类型为stp
      可选模式stp , rstp , mstp
      (config)#spanning-tree priority 4096 设置交换机的优先级为4096 , 优先级值小为高。优先级可选值为0,4096,8192,……,为4096的倍数。交换机默认值为32768

    VLAN的基本配置
      (config)#vlan 10 创建VLAN10
      (config-vlan)#name vlanname 命名VLAN为vlanname
      (config-if)#switchport access vlan 10 将该端口划入VLAN10中
      某端口的接口配置模式下进行
      (config)#interface vlan 10 进入VLAN 10的虚拟端口配置模式
      (config-if)# ip address 192.168.1.1 255.255.255.0 为VLAN10的虚拟端口配置IP及掩码,二层交换机只能配置一个IP,此IP是作为管理IP使用,例如,使用Telnet的方式登录的IP地址
      (config-if)# no shutdown 启用该端口

    端口安全
      (config)# interface fastethernet 0/1 进入一个端口
      (config-if)# switchport port-security 开启该端口的安全功能
      1.配置最大连接数限制
      (config-if)# switchport port-secruity maxmum 1 配置端口的最大连接数为1,最大连接数为128
      (config-if)# switchport port-secruity violation shutdown
      配置安全违例的处理方式为shutdown,可选为protect (当安全地址数满后,将未知名地址丢弃)、restrict(当违例时,发送一个Trap通知)、shutdown(当违例时将端口关闭,并发送Trap通知,可在全局模式下用errdisable recovery来恢复)
      2.IP和MAC地址绑定
      (config-if)#switchport port-security mac-address xxxx.xxxx.xxxx ip-address 172.16.1.1
      接口配置模式下配置MAC地址xxxx.xxxx.xxxx和IP172.16.1.1进行绑定(MAC地址注意用小写)

    三层路由功能(针对三层交换机)
      (config)# ip routing 开启三层交换机的路由功能
      (config)# interface fastethernet 0/1
      (config-if)# no switchport 开启端口的三层路由功能(这样就可以为某一端口配置IP)
      (config-if)# ip address 192.168.1.1 255.255.255.0
      (config-if)# no shutdown
      三层交换机路由协议
      (config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 配置静态路由
      注:172.16.1.0 255.255.255.0 为目标网络的网络号及子网掩码
      172.16.2.1 为下一跳的地址,也可用接口表示,如ip route 172.16.1.0 255.255.255.0 serial 1/2(172.16.2.0所接的端口)
      (config)# router rip 开启RIP协议进程
      (config-router)# network 172.16.1.0 申明本设备的直连网段信息
      (config-router)# version 2 开启RIP V2,可选为version 1(RIPV1)、version 2(RIPV2)
      (config-router)# no auto-summary 关闭路由信息的自动汇总功能(只有在RIPV2支持)

    (config)# router ospf 开启OSPF路由协议进程(针对1762,无需使用进程ID)
      (config)# router ospf 1 开启OSPF路由协议进程(针对2501,需要加OSPF进程ID)
      (config-router)# network 192.168.1.0 0.0.0.255 area 0
      申明直连网段信息,并分配区域号(area0为骨干区域)

    IP ACL:
      交换机采用命名的访问控制列表;分标准(stand)和扩展(extended)两种
      1.标准ACL
      (config)#ip access-list stand listname 定义命名标准列表,命名为listname,stand为标准列表
      (config-std-nacl)#deny 192.168.30.0 0.0.0.255 拒绝来自192.168.30.0网段的IP流量通过
      注:deny:拒绝通过;可选:deny(拒绝通过)、permit(允许通过)
      192.168.30.0 0.0.0.255:源地址及源地址通配符;可使用any表示任何IP
      (config-std-nacl)#permit any
      (config-std-nacl)#end 返回
      2.扩展ACL
      (config)#ip access-list extended listname
      定义命名扩展列表,命名为listname,extended为扩展
      (config-ext-nacl)#deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq www 拒绝源地址为192.168.30.0网段的IP访问目的地址为192.168.10.0网段的WWW服务
      注:deny:拒绝通过,可选:deny(拒绝通过)、permit(允许通过)
      tcp: 协议名称,协议可以是udp, ip,eigrp, gre, icmp, igmp, igrp等等。
      192.168.10.0 0.0.0.255:源地址及源地址通配符
      192.168.30.0 0.0.0.255:目的地址及目的地址通配符
      eq:操作符(lt-小于,eq-等于,gt-大于,neg-不等于,range-包含)
      www:端口号,可使用名称或具体编号
      可以使用的协议名称(或编号)和端口名称(或编号)请打?查询。
      (config-ext-nacl)#permit ip any any 允许其它通过
      (config-ext-nacl)#end 返回
      (config)#interface vlan 10 进入端口配置模式
      (config-if)# ip access-group listname in 访问控制列表在端口下in方向应用;可选:in(入栈)、out(出栈)
      (config-if)#end 返回
      注:配置ACL时,若只想对其中部分IP进行限制访问时,必须配置允许其流量通过,否则设备只会对限制IP进行处理,不会对非限制IP进行允许通过处理。

    在锐捷交换机上配置vrrp、arp和mstp

    交换机

    密码
    1234(config)#enable secret level 1 0 100
    1234(config)#enable secret level 15 0 100
    远程登入密码
    1234(config)#line vty 0 4
    1234(config-line)#password 100
    1234(config-line)#end
    交换机管理IP
    1234(config)#interface vlan 1
    1234(config-if)#ip address 192.168.1.10 255.255.255.0
    1234(config-if)#no shutdown
    修改交换机老化时间
    1234(config)#mac-address-table aging-time 20
    1234(config)#end
    添删vlan
    1234(config)#vlan 888
    1234(config-vlan)#name a888
    1234(config)#no vlan 888
    添加access口
    1234(config)#interface gigabitEthernet 0/10
    1234(config-if)#switchport mode access
    1234(config-if)#switchport access vlan 10
    切换assess trunk
    1234(config-if)#switchport mode access
    1234(config-if)#switchport mode trunk
    指定特定一个native vlan
    1234(config-if)#switchport trunk native vlan 10
    配置trunk口的许可vlan列表
    1234(config-if)#switchport trunk allowed vlan ?
    add Add VLANs to the current list
    all All VLANs
    except All VLANs except the following
    remove Remove VLANs from the current list
    速成树协议
    1234(config)#spanning-tree
    1234(config)#spanning-tree mode rstp/stp
    配置网关:
    switch(config)#ip default-gateway 192.168.1.254
    交换机基本配置-常见查看命令
    查看CPU利用率
    show cpu
    查看交换机时钟
    show clock
    查看交换机日志
    show logging
    查看交换机动态学习到的MAC地址表
    show mac-address-table dynamic
    查看当前交换机运行的配置文件
    show running-config
    查看交换机硬件、软件信息
    show version
    查看交换机的arp表
    show arp
    显示接口详细信息的命令
    show interfaces gigabitEthernet 4/1 counters
    接口配置
    Switch(config)#interface gigabitethernet 0/1
    把接口工作模式改为光口。
    Switch(config-if)#medium-type fiber
    把接口工作模式改为电口。
    Switch(config-if)#medium-type copper
    速度/双工配置
    进入接口配置模式。
    Switch(config)#interface interface-id
    设置接口的速率参数,或者设置为auto。
    Switch(config-if)#speed {10 | 100 | 1000 | auto }
    设置接口的双工模式。
    Switch(config-if)#duplex {auto | full | half}
    例子
    Switch(config)#interface gigabitethernet 0/1
    Switch(config-if)#speed 1000
    Switch(config-if)#duplex full
    光口不能修改速度和双工配置,只能auto。
    在故障处理的时候,如果遇到规律性的时断时续或掉包,在排除其他原因后,可以考虑是否和对端设备的速率和双工模式不匹配,尤其是两端设备为不同厂商的时候。
    VLAN
    建立VLAN 100
    Switch (config)#vlan 100
    该VLAN名称为ruijie
    Switch (config)#name ruijie
    将交换机接口划入VLAN 中:
    range表示选取了系列端口1-48,这个对多个端口进行相同配置时非常有用。
    Switch (config)#interface range f 0/1-48
    将接口划到VLAN 100中。
    Switch (config-if-range)#switchport access vlan 100
    将接口划回到默认VLAN 1中,即端口初始配置。
    Switch (config-if-range)#no switchport access vlan
    Switch(config)#interface fastEthernet 0/1
    该端口工作在access模式下
    Switch(config-if)#switchport mode access
    该端口工作在trunk模式下
    Switch(config-if)#switchport mode trunk
    Switch(config)#interface fastEthernet 0/2
    设定VLAN要修剪的VLAN。
    Switch(config-if)#switchport trunk allowed vlan remove 2-9,11-19,21-4094
    取消端口下的VLAN修剪。
    Switch(config-if)#no switchport trunk allowed vlan
    生成树
    开启生成树协议。
    Switch(config)#spanning-tree
    禁止生成树协议。
    Switch(config)#no spanning-tree
    配置生成树优先级:
    配置设备优先级为4096。
    Switch(config)#spanning-tree priority 4096
    数值越低,优先级别越高。
    端口镜像
    配置G0/2为镜像端口。
    Switch (config)# monitor session 1 destination interface G 0/2
    配置G0/1为被镜像端口,且出入双向数据均被镜像。
    Switch (config)# monitor session 1 source interface G 0/1 both
    去掉镜像1。
    Switch (config)# no monitor session 1
    端口聚合
    Switch(config)#interface fastEthernet 0/1
    把端口f0/1加入到聚合组1中。
    Switch (config-if)#port-group 1
    把端口f0/1从聚合组1中去掉
    Switch (config-if)#no port-group 1
    建立ACL:
    建立ACL访问控制列表名为ruijie,extend表示建立的是扩展访
    Switch(config)# Ip access-list exten ruijie
    问控制列表。
    添加ACL的规则:
    禁止PING IP地址为192.168.1.1的设备。
    Switch (config-ext-nacl)#deny icmp any 192.168.1.1 255.255.255.0
    禁止端口号为135的应用。
    Switch (config-ext-nacl)# deny tcp any any eq 135
    禁止协议为www的应用。
    Switch (config-ext-nacl)#deny udp any any eq www
    允许所有行为。
    Switch(config-ext-nacl)# permit ip any any
    将ACL应用到具体的接口上:
    Switch (config)#interface range f 0/1
    把名为ruijie的ACL应用到端口f 0/1上。
    Switch (config-if)#ip access-group ruijie in
    从接口去除ACL。
    Switch (config-if)#no ip access-group ruijie in
    删除ACL:
    删除名为ruijie的ACL。
    Switch(config)#no Ip access-list exten ruijie
    增加ACE项后,是增加到ACL最后,不可以中间插入,如果要调整ACE的顺序,必须整个删除ACL后再重新配置。
    端口安全
    Switch (config)#interface range f 0/1
    开启端口安全。
    Switch(config-if)# switchport port-security
    关闭端口安全。
    Switch(config-if)# no switchport port-security
    设置端口能包含的最大安全地址数为8。
    Switch(config-if)# switchport port-security maximum 8
    在接口fastethernet0/1配置一个安全地址00d0.f800.073c,并为其绑定一个IP地址192.168.1.1
    Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1
    删除接口上配置的安全地址。
    Switch(config-if)#no switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1
    防ARP攻击
    IP和MAC地址的绑定
    Switch(config)#arp ip-address hardware-address [type] interface-id
    Switch(config)#arp 192.168.12.111 00d0.f800.073c arpa g 0/1
    绑定网关
    进入指定端口进行配置。
    Switch(config)#Interface interface-id
    配置防止ip-address的ARP欺骗。
    Switch(config-if)#Anti-ARP-Spoofing ip ip-address
    防STP攻击
    进入端口Fa0/1。
    Switch(config)# inter fastEthernet 0/1
    打开该端口的的BPDU guard功能。
    Switch(config-if)# spanning-tree bpduguard enable
    关闭该端口的的BPDU guard功能。
    Switch(config-if)# spanning-tree bpduguard diaable
    端口关闭后只能shutdown然后再no shutdown
    或者重新启动交换机才能恢复!
    防DOS/DDOS攻击
    进入端口Fa0/1。
    Switch(config)# inter fastEthernet 0/1
    预防伪造源IP的DOS攻击的入口过滤功能。
    Switch(config-if)#ip deny spoofing-source
    关闭入口过滤功能只能在三层接口上配置。
    Switch(config-if)#no ip deny spoofing-source
    和ACL不能同时存在。
    端口关闭后只能shutdown然后再no shutdown
    或者重新启动交换机才能恢复!
    防IP扫描攻击配置:
    打开系统保护。
    Switch(config)#system-guard enable
    关闭系统保护功能。
    Switch(config)#no system-guard
    DHCP配置
    打开DHCP Relay Agent:
    Switch(config)#service dhcp
    配置DHCP Server的IP地址:
    Switch(config)#ip helper-address address
    VRRP配置
    Switch(config)#Interface interface-id
    Switch(config-if)#Standby [group-number] ip ip-address
    设置虚拟机的优先级。
    standby [group-number] priority priority
    三层交换机配置
    SVI:
    把VLAN 10配置成SVI。
    switch (config)#interface vlan 10
    给该SVI接口配置一个IP地址
    switch (config-if)#ip address 192.168.1.1 255.255.255.0
    Routed Port:
    switch (config)#interface fa 0/1
    把f 0/1变成路由口。
    switch (config-if)#no switch
    路由配置:
    添加一条路由。
    switch (config)#ip route 目的地址 掩码 下一跳
    switch (config)#ip route 210.10.10.0 255.255.255.0 218.8.8.8

    配置多生成树协议:
    switch(config)#spanning-tree //开启生成树协议
    switch(config)#spanning-tree mst configuration //建立多生成树协议
    switch(config-mst)#name ruijie //命名为ruijie
    switch(config-mst)#revision 1 //设定校订本为1
    switch(config-mst)#instance 0 vlan 10,20 //建立实例0
    switch(config-mst)#instance 1 vlan 30,40 //建立实例1
    switch(config)#spanning-tree mst 0 priority 4096 //设置优先级为4096
    switch(config)#spanning-tree mst 1 priority 8192 //设置优先级为8192
    switch(config)#interface vlan 10
    switch(config-if)#vrrp 1 ip 192.168.10.1 //此为vlan 10的IP地址
    switch(config)#interface vlan 20
    switch(config-if)#vrrp 1 ip 192.168.20.1 //此为vlan 20的IP地址
    switch(config)#interface vlan 30
    switch(config-if)#vrrp 2 ip 192.168.30.1 //此为vlan 30的IP地址(另一三层交换机)
    switch(config)#interface vlan 40
    switch(config-if)#vrrp 2 ip 192.168.40.1 //此为vlan 40的IP地址(另一三层交换机)

    此配置需在两个三层交换机和二层交换机上进行配置!在二层交换机上不用配置VRRP!

    冗余链路

    在骨干网设备连接中,单一链路的连接很容易实现,但一个简单的故障就会造成网络的中断.因此在实际网络组建的过程中,为了保持网络的稳定性,在多台交换机组成的网络环境中,通常都使用一些备份连接,以提高网络的健壮性、稳定性.
      这里的备份连接也称为备份链路或者冗余链路.备份链路之间的交换机经常互相连接,形成一个环路,通过环路可以在一定程度上实现冗余.
      链路的冗余备份能为网络带来健壮性、稳定性和可靠性等好处,但是备份链路也会使网络存在环路,环路问题是备份链路所面临的最为严重的问题,交换机之间的环路将导致网络新问题的发生:
      广播风暴
      多帧复制
      地址表的不稳定
      解决方法:
      生成树协议避免环路
      每个LAN都会选择一台设备为指定交换机,通过该设备的端口连接到根,该端口为指定端口( Designated port )
      将交换网络中所有设备的根端口(RP)和指定端口(DP)设为转发状态(Forwarding),将其他端口设为阻塞状态(Blocking)
      生成树经过一段时间(默认值是50秒左右)稳定之后,所有端口要么进入转发状态,要么进入阻塞状态。
      IEEE 802.1w—快速生成树协议
      快速生成树协议概述
      快速生成树协议RSTP(Rapid Spannning Tree Protocol) IEEE 802.1w
      RSTP协议在STP协议基础上做了改进,使得收敛速度快得多(最快1秒以内)
      生成树协议的配置
      开启生成树协议
      Switch(config)#Spanning-tree
      关闭生成树协议
      Switch(config)#no Spanning-tree
      配置生成树协议的类型
      Switch(config)#Spanning-tree mode stp/rstp
      锐捷全系列交换机默认使用MSTP协议
      配置交换机优先级
      Switch(config)#spanning-tree priority <0-61440>
      (“0”或“4096”的倍数、共16个、缺省32768)
      恢复到缺省值
      Switch(config)# no spanning-tree priority
      配置交换机端口的优先级
      Switch(config)#interface interface-type interface-number
      Switch(config-if)#spanning-tree port-priority number
      显示生成树状态
      Switch#show spanning-tree
      显示端口生成树协议的状态
      Switch#show spanning-tree interface fastethernet <0-2/1-24>
      生成树协议概述
      生成树协议(spanning-tree protocol)由IEEE 802.1d标准定义
      生成树协议的作用是为了提供冗余链路,解决网络环路问题
      生成树协议通过SPA(生成树算法)生成一个没有环路的网络,当主要链路出现故障时,能够自动切换到备份链路,保证网络的正常通信

    公众号:工程师江湖
    获取更多信息。

    展开全文
  • 1、限制某个特定IP允许访问Web 2、默认修改80端口访问 那么针对上面的设置可以有效杜绝而已Web密码暴力破解,增强交换机安全等。 实现: 1、限制特定IP登录Web,实现原理是使用ACL进行控制 [Huawei] acl 2000...
  • acl number 3212rule 1 permit ip source 192.168.212.0 0.0.1.255 destination 192.168.70.166 0rule 2 permit ip source 192.168.212.0 0.0.1.255 destination 192.168.100.18 0rule 69 deny ip sour...
  • 5.配置交换机,使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty的aaa身份验证方式,首先使用...
  • 只允许192.168.1.2可以通过HTTP/SSH访问交换机,其他IP不能访问 配置命令 system-view [LTG] acl 2001 [LTG-acl-basic-2001] rule 1 permit source 192.168.1.2 0 [LTG-acl-basic-2001] quit [LTG] ssh server a
  • 配置IPSG禁止使用静态IP接入 禁止用户配置静态IP,仅允许DHCP上网
  • 交换机的标准访问控制

    千次阅读 2018-05-07 10:57:04
    项目目标:(1)了解IP标准访问控制列表的功能及用途(2)掌握交换机IP标准访问控制列表配置技能工作任务:你是公司网络管理员,公司的技术部、业务部和财务部分属不同的3个网段,三个部门之间通过三层交换机进行...
  • 锐捷网络交换机配置命令集

    千次阅读 2018-07-08 09:50:15
    Enable 进入特权模式 #Exit 返回上一级操作模式 #End 返回到特权模式 #write memory 或copy running-config startup-config 保存配置文件 #del flash:config.text 删除配置文件(交换机及1700系列路由器) #...
  • DHCP中继配置命令 dhcp relay address-check enable 命令用来使能DHCP 中继的地址匹配检查功能。 undo dhcp relay address-check enable 命令用来禁止DHCP 中继的地址匹配检查功能。 {常用命令汇总:1、dis cu ...
  • 锐捷交换机配置手册完整

    万次阅读 多人点赞 2017-06-01 10:55:13
    一:交换机的几种配置方法 本部分包括以下内容: 控制台 远程登录 其它配置方法 本部分内容适用于交换机、路由器等网络设备。   控制台 用一台计算机作为控制台和网络...
  • 拓扑图示 这是一个简单的三层拓扑图示,如上图示,我们需要划分两个VLAN 10 20并且他们之间是可以通信的。 那面我们就说一说简单的配置命令吧: ...进入VLAN10接口配置IP地址,也是内网网关 记得要激
  • H3C交换机典型(ACL)访问控制列表配置实例

    万次阅读 多人点赞 2018-01-16 22:21:15
    H3C交换机典型(ACL)访问控制列表配置实例 一、组网需求:  1.通过配置基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤; 2.要求配置高级访问控制列表,禁止研发部门与...
  • 交换机SNMP V3版本配置

    千次阅读 2019-06-13 20:01:04
    SNMPV3版本安全性和远端配置强化,目前公司已经禁止SNMPV3以下版本(H3C交换机),配置步骤如下 1、开启SNMP协议 snmp-agent 2、设置使用的SNMP版本 snmp-agent sys-info version v3 3、创建MIB视图,名称为zgr,...
  • ACL 访问控制列表是构建安全规范的网络不可缺少的,但在三层交换机配置ACL 却不为一些刚进企业的初级网络管理维护人员所知。在这里我介绍一下在三层交换机配置 ACL 的试验过程。 如图所示分别配置四台pc机的ip...
  • 华为交换机端口hybird端口属性配置

    万次阅读 2018-06-02 13:32:08
    华为交换机的端口hybrid端口属性配置交换机端口链路类型介绍交换机以太网端口共有三种链路类型:Access、Trunk和Hybrid。l Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;l Trunk类型的端口可以...
  • H3C交换机常用配置命令

    万次阅读 多人点赞 2018-04-21 09:28:25
    用户配置:&lt;H3C&gt;system-view[H3C]super password H3C 设置用户分级密码[H3C]undo super password 删除用户分级密码[H3C]localuser bigheap 123456 1 Web网管用户设置,1(缺省)为管理级用户,缺省...
  • 华为交换机acl的配置

    万次阅读 多人点赞 2019-01-16 09:19:12
    1、华为交换机的ACL规则没变,但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classifier,流行为traffic behavior; 3、流分类traffic classifier用于绑定相应的ACL规则,流行为...
  • 公司可能为了安全考虑,只允许IT管理员的IP地址登录到此交换机。那么该怎么实现呢? 实现步骤 1:设置ACL 2:在虚拟接口telnet下调用基本ACL。 ACL可以这样写。 #acl 2000//2000基本ACL,匹配源地址 #step 5 ...
  • 常见企业拓扑Cisco配置:三层交换机互联、DHCP配置、路由器交换机配置、NAT静态地址转换、DMZ区域的ACL配置网络拓扑及要求任务一:建立三层交换机互联拓扑,A楼静态,B楼DHCP任务二:拓扑添加路由器、服务器、云,...
  • 比如说先的场景:Vlan 1: 10.99.11.0/255.255.255.0Vlan 99: 10.99.99.0/255.255.255.0需求是 让 vlan 99的用户不能访问 vlan1中的某一个IP :以前用了下面所有的代码:=========================================...
  • H3C交换机配置ACL禁止vlan间互访

    千次阅读 2017-09-20 11:07:00
    1、先把基础工作做好,就是配置VLAN,配置Trunk,确定10个VLAN和相应的端口都正确。假设10个VLAN的地址分别是192.168.10.X,192.168.20.X。。。。。。192.168.100.X,与VLAN号对应。2、为第一个VLAN 10创建一个ACL,...
  • 华为交换机Vlan间访问控制配置案例

    千次阅读 2014-04-05 18:19:21
    华为交换机Vlan间访问控制配置案例 华为交换机ACL/QOS调用ACL配置案例 1 ACL概述 随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。 通过对报文进行过滤,可以有效防止非法...
  • Cisco三层交换机实现vlan间路由的配置拓扑图: 一、配置要求如下: 本次测试使用cisco Packet Tracer7.0模拟器进行,请按照实验操作文件(pka)的要求完成配置任务。pka文件中的拓扑和设备命名均不许修改,终端和...
  • 交换机的基本配置

    万次阅读 2018-01-05 14:54:09
    VLAN划分 三层交换机设置路由 端口聚合 访问控制 骨干道路设置   VLAN划分:  Switch>en //进入特权模式 Switch#config t //进入全局配置模式 Enter configuration commands, one per line. End w

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 8,445
精华内容 3,378
关键字:

交换机禁止访问ip配置