项目二设备到货验收与初始配置一、配置交换机路由器名字
(config)#hostname 名字
二、配置交换机管理地址
(config)#int vlan 1
(config-if)#ip address IP地址子网掩码(config-if)#no shutdown
(config-if)#exit
三、配置交换机缺省网关
(config)#ip default-gateway IP地址
四、配置交换机路由器特权密码(从用户模式进入特权模式时使用)
(config)#enable secret [level 数字(0-15)] 0或5 密码
五、配置交换机路由器远程登录密码(利用Telnet方式远程登录进入用户模式时使用)(config)#line vty 数字1 数字2
(config-line)#password 密码
(config-line)#login
(config-line)#exit
六、配置交换机路由器超级终端密码(config)#line con 0
(config-line)#password 密码
(config-line)#login
(config-line)#exit
七、配置路由器端口地址
(config)#int 端口类型/端口号
(config-if)#ip address IP地址子网掩码(config-if)#no shutdown
(config-if)#exit
八、配置路由器串口DCE端时钟频率(config)#int s模块号/端口号
(config-if)#clock rate 数字
(config-if)#no shutdown
(config-if)#exit
项目三构建小型局域网
一、配置单交换机VLAN
1、创建VLAN
(config)#vlan 号码(2-4094)
2、命名VLAN
(config-vlan)#name 名字
(config-vlan)#exit
3、进入端口
(1)进入一个端口
(config)#int f模块号/端口号
(2)进入一组端口
(config)#int range f模块号/端口号表4、设置端口模式
(config-if)#switchport mode access 5、将端口划入VLAN
(config-if)#switchport access vlan 号码(config-if)#exit
二、查看VLAN
#show vlan
三、查看当前配置
#show run
四、查看端口
#show interfaces
#show int 端口类型/端口号
五、配置跨交换机VLAN
1、在每一台交换机上创建命名VLAN(号码
和名称必须一致),将端口划入VLAN
2、进入交换机互联端口
(config)#int f模块号/端口号
3、设置端口模式
(config-if)#switchport mode trunk
4、设置Trunk端口允许VLAN列表
(config-if)#switchport trunk allowed vlan all|[add|remove|except] 号码(config-if)#exit
六、配置三层交换机虚拟端口
1、进入虚拟端口
(config)#int vlan 号码
2、设置虚拟端口IP地址
(config-if)#ip address IP地址子网掩码(config-if)#exit
3、开启IP路由转发功能
(config)#ip routing
4、将VLAN内主机的缺省网关设置为该虚拟端口地址
七、查看路由表
#show ip route
八、配置路由器单臂路由
1、进入主端口并开启
(config)#int f模块号/端口号
(config-if)#no shutdown
(config-if)#exit
2、进入子端口
(config)#int f模块号/端口号.子端口号3、封装802.1Q协议
(config-subif)#encapsulation dot1q vlan 号码4、设置子端口IP地址
(config-subif)#ip address IP地址子网掩码
5、开启子端口
(config-subif)#no shutdown
(config-subif)#exit
6、将VLAN内主机的缺省网关设置为该子端口地址
7、将交换机与路由器相连端口的端口模式设置为Trunk
项目四局域网冗余策略
一、配置生成树
1、设置交换机优先级
(config)#spanning-tree vlan 号码priority 数字
2、设置端口优先级
(config)#int f模块号/端口号
(config-if)#spanning-tree vlan 号码port-priority 数字
(config-if)#exit
3、查看生成树
#show spanning-tree
二、配置VTP
1、设置VTP模式
(config)#vtp mode server/client
2、设置VTP域名
(config)#vtp domain 域名
3、设置VTP密码
(config)#vtp password 密码
4、将交换机互联端口都设置为Trunk模式
5、在server上定义VLAN并将端口划入VLAN,在client上只需将端口划入VLAN。
6、查看VTP
#show vtp status
三、配置交换机聚合端口
1、进入要聚合的一组端口
(config)#int range f模块号/端口号表
2、设置聚合端口编号
(config-if-range)#channel-group 编号mode desirable或active
3、设置聚合端口聚合模式
(config-if-range)#channel-protocol pagp或lacp
(config-if-range)#exit
4、进入聚合后的端口
(config)#int port-channel 编号
5、设置聚合后的端口模式
(config-if)#switchport mode trunk (config-if)#exit
四、配置DHCP服务
1、设置DHCP排除地址范围
(config)#ip dhcp excluded-address 起始IP地址结束IP地址
2、设置DHCP地址池
(config)#ip dhcp pool 名字
3、设置地址池中的地址范围
(dhcp-config)#network IP地址网络号子网掩码
4、设置默认网关地址
(dhcp-config)#default-router 网关地址5、设置DNS服务器地址(dhcp-config)#dns-server DNS地址(dhcp-config)#exit
五、配置DHCP中继代理
1、进入连接客户端的端口
(config)#int f模块号/端口号
2、设置DHCP服务器IP地址
(config-if)#ip helper-address 服务器地址
(config-if)#exit
项目五构建中型局域网
一、配置三层交换机的端口为路由端口
1、SVI
(1)创建VLAN
(config)#vlan 号码
(config-vlan)#exit
(2)将端口划入该VLAN
(config)#int f模块号/端口号
(config-if)#switchport access vlan 号码(config-if)#exit
(3)设置SVI端口IP地址
(config)#int vlan号码
(config-if)#ip address IP地址子网掩码(config-if)#no shutdown
(config-if)#exit
2、物理路由端口
(1)进入该端口
(config)#int f模块号/端口号
(2)创建物理路由端口,将默认的二层交换端口切换为三层路由端口
(config-if)#no switchport
(3)设置三层端口IP地址
(config-if)#ip address IP地址子网掩码(config-if)#no shutdown
(config-if)#exit
二、配置静态路由
(config)#ip route 目的网络IP地址目的网络子网掩码下一跳地址或数据转发端口[管理距离]
三、配置缺省路由
(config)#ip route 0.0.0.0 0.0.0.0 下一跳地址
四、配置RIP动态路由协议
1、创建RIP路由进程
(config)#router rip
2、设置直连网络
(config-router)#network 直连网络号
3、设置RIP版本
(config-router)#version 1或2
4、关闭路由自动汇总
(config-router)#no auto-summary (config-router)#exit
五、配置OSPF动态路由协议
1、配置OSPF动态路由协议
(1)创建OSPF路由进程
(config)#router ospf 进程号
(2)设置直连网络
(config-router)#network 直连网络号通配符掩码 area 区域号
(config-router)#exit
2、配置OSPF端口花费
(1)进入端口(config)#int 端口类型/端口号
(2)设置端口花费
(config-if)#ip ospf cost 花费值
(config-if)#exit
3、配置OSPF动态路由简单密码认证
(1)进入要认证的端口
(config)#int 端口类型/端口号
(2)设置端口认证类型为简单密码认证(config-if)#ip ospf authentication (3)设置简单密码认证的密码
(config-if)#ip ospf authentication-key 密码
(config-if)#exit
4、配置OSPF动态路由MD5认证
(1)进入要认证的端口
(config)#int 端口类型/端口号
(2)设置端口认证类型为MD5认证
(config-if)#ip ospf authentication message-digest
(3)设置MD5认证的密码
(config-if)#ip ospf message-digest-key 密码
(config-if)#exit
项目六构建广域网
一、配置PPP封装
1、进入串行端口
(config)#int s模块号/端口号
2、封装PPP协议
(config-if)#encapsulation ppp
(config-if)#exit
二、配置PAP验证
1、被验证方
(config)#ppp pap sent-username 用户名password 0密码
2、验证方
(1)创建用户数据库
(config)#username 用户名 password 0或7 密码
(2)启动PAP验证
(config)#int s模块号/端口号
(config-if)#ppp authentication pap或pap chap
(config-if)#exit
三、配置CHAP验证
1、被验证方
创建数据库
(config)#username 验证方用户名password 0或7 密码
2、验证方
(1)创建用户数据库
(config)#username 被验证方用户名password 0或7 密码
(2)启动CHAP验证
(config)#int s模块号/端口号
(config-if)#ppp authentication chap或chap pap
(config-if)#exit
项目七局域网接入Internet
一、配置静态NAT
1、定义静态转换关系(config)#ip nat inside source static 内部本地地址内部全局地址
2、进入连接局域网的端口并定义为内部端口(config)#int 端口类型/端口号
(config-if)#ip nat inside
(config-if)#exit
3、进入连接广域网的端口并定义为外部端口(config)#int 端口类型/端口号
(config-if)#ip nat outside
(config-if)#exit
4、显示NAT转换记录
#show ip nat translations
二、配置动态NAT
1、定义全局地址池
(config)#ip nat pool 地址池名称起始地址结束地址 netmask 子网掩码
2、定义访问控制列表,表示允许哪些地址进行转换
(config)#access-list 访问控制列表编号permit或deny 网段地址通配符掩码
3、设置地址池与访问控制列表的对应关系(config)#ip nat inside source list 访问控制列表编号 pool 地址池名称
4、定义内部端口与外部端口
三、配置静态NAPT
1、定义静态NAPT转换关系
(config)#ip nat inside source static tcp 或udp 内部本地地址本地地址端口号内部全局地址全局地址端口号
2、定义内部端口与外部端口
四、配置动态NAPT
1、定义全局地址池
2、定义访问控制列表
3、设置地址池与访问控制列表的对应关系(config)#ip nat inside source list 访问控制列表编号 pool 地址池名称 overload
4、定义内部端口与外部端口
项目八局域网安全与管理
一、配置交换机安全端口
1、进入端口
(config)#int f模块号/端口号
2、启用端口安全功能
(config-if)#switchport port-security 3、设置端口安全地址
(config-if)#switchport port-security mac-address 安全MAC地址
4、设置端口最大连接数
(config-if)#switchport port-security maximum 数值
5、设置端口违例处理
(config-if)#switchport port-security violation protect或restrict或shutdown 6、设置风暴控制阀值
(config-if)#storm-control broadcast level 数值
7、显示端口的安全设置信息
#show port-security address或interface 端口类型/端口号
8、查看端口风暴控制情况
#show storm-control broadcast
二、配置交换机快速转发(PortFast)端口方法一:
1、设置交换机全部端口为PortFast端口(config)#spanning-tree portfast default
2、进入某端口,设置为非PortFast端口(config-if)#spanning-tree portfast disable
方法二:
进入某端口,设置为PortFast端口
(config-if)#spanning-tree portfast
查看PortFast端口配置情况
#show spanning-tree interface 端口类型/端口号 [portfast]
三、配置交换机PortFast端口的BPDU Guard 功能
(config-if)#spanning-tree bpduguard enable或disable
四、配置路由器编号标准访问控制列表
1、创建编号标准ACL
(config)#access-list 表号(1-99)permit 或deny 源网段地址通配符掩码
2、进入端口,应用编号标准ACL (config)#int 端口类型/端口号
(config-if)#ip access-group 表号或名字in或out
(config-if)#exit
3、查看ACL
#show access-list
五、配置路由器命名标准访问控制列表
1、创建命名标准ACL
(config)#ip access-list standard名字(config-std-nacl)# permit或deny 源网段
地址通配符掩码或host 主机地址或any (config-std-nacl)#exit
2、进入端口,应用命名标准ACL
六、配置路由器编号扩展访问控制列表
1、创建编号扩展ACL
(config)#access-list 表号(100-199)permit或deny 协议源网段地址通配符掩码或host 主机地址或any目的网段地址通配符掩码或host 主机地址或any [操作符端口号]
操作符:eq等于 gt大于等于 lt小于等于neq不等于
2、进入端口,应用编号扩展ACL
七、配置路由器命名扩展访问控制列表
1、创建命名扩展ACL
(config)#ip access-list extended 名字(config-ext-nacl)# permit或deny 协议源网段地址通配符掩码或host 主机地址或any目的网段地址通配符掩码或host 主机地址或any [操作符端口号]
(config-ext-nacl)#exit
2、进入端口,应用命名扩展ACL
项目八局域网安全与管理
一、构建GRE隧道
1、建立Tunnel
(config)#interface tunnel 隧道号码
2、设置Tunnel地址
(config-if)#ip address IP地址子网掩码3、设置Tunnel源端口
(config-if)#tunnel source 端口类型/端口号
4、设置Tunnel目的端口地址
(config-if)#tunnel destination 目的地址
5、查看Tunnel端口配置情况
#show interfaces tunnel 隧道号码
二、配置IPsec VPN
1、设置扩展访问控制列表,表示哪些数据要被加密保护
2、配置IKE安全联盟
(1)开放IKE
(config)#crypto isakmp enable
(2)设置IKE优先级
(config)#crypto isakmp policy 优先级号码
(3)设置加密算法
(config-isakmp)#encryption 3des或des 或aes
(4)设置HASH算法
(config-isakmp)#hash sha或md5
(5)设置验证方法
(config-isakmp)#authentication
pre-share或rsa-ring
(6)设置Diffie-Hellman组标志
(config-isakmp)#group 1或2
(7)设置生命周期
(config-isakmp)#lifetime 秒数
(config-isakmp)#exit
(8)设置预共享密钥
(config)#crypto isakmp key 密钥 address
远程对等体IP地址
3、配置IPSec安全联盟
(1)设置变换集
(config)#crypto ipsec transform-set 变换集名称算法名称
(2)设置加密映射条目
(config)#crypto map 加密映射条目名称加密映射条目号码 ipsec-isakmp
(3)关联访问控制列表
(config-crypto-map)#match address ACL 号码
(4)设置远程对等体地址
(config-crypto-map)#set peer 远程对等体IP地址
(5)关联变换集
(config-crypto-map)#set transform-set 变换集名称
(config-crypto-map)#exit
(6)将加密映射条目应用到端口上(config)#int 端口类型/端口号
(config-if)#crypto map加密映射条目名称(config-if)#exit
网络设备安全巡检命令参考 为了提高安全巡检工作效率,快速完成对网络设备交换机、路由器和防火墙的例行巡检,建议利用SecureCRT终端登录管理工具及拷贝粘贴批处理命令脚本快速完成网络设备巡检数据采集工作。 客户设备本地或远程登录统一采用SecureCRT工具,对所有巡检客户网络设备预先编辑好登录脚本,方便后期巡检和维护快速登录客户设备。 对要巡检的客户采用以下批处理执行命令快速完成数据采集任务。在执行以下批处理命令前先使用SecureCRT软件设置log session 到一个新建txt文件,然后选取全部以下命令拷贝粘贴到设备特权模式"#"下,以下命令所显示的信息会自动发送到新建的txt文件里。
目录 1CISCO网络设备例行巡检数据采集任务 (3) 1.1CISCO交换机 (3) 1.2CISCO 路由器 (3) 1.3CISCO 防火墙 (4) 1.4CISCO网络设备巡检命令解释 (5) 2华为网络设备例行巡检数据采集任务 (7) 2.1华为交换机 (7) 2.2华为路由器 (7) 2.3华为网络设备巡检命令解释 (7) 3H3C网络设备例行巡检数据采集任务 (7) 3.4H3C交换机 (7) 3.5H3C 路由器 (7) 3.6H3C网络设备巡检命令解释 (7) 4港湾网络设备例行巡检数据采集任务 (8) 4.7港湾交换机 (8) 4.8港湾路由器 (9) 4.9港湾网络设备巡检命令解释 (9) 5HP网络设备例行巡检数据采集任务 (9) 5.10HP交换机 (9) 5.11HP 路由器 (9) 5.12HP网络设备巡检命令解释 (9)
1CISCO网络设备例行巡检数据采集任务 1.1 CISCO交换机 ================================================================== terminal length 0 show runn show ver show ip socket show ip socket detail show tcp show clock show vtp status show vtp pass show env all show inventory show spanning root show spanning block show spanning show cdp nei show cdp nei det show arp show mac-address-table dir all- show inter status show inter summ show inter | i errors|FastEthernet|GigabitEthernet clear counters show proc cpu | ex 0.00% show proc mem show debug sh logging show ip route terminal length 45
某某石油管理局企业标准 网络设备使用、管理规定 1总则 为保证某某油田网络的正常运行,根据《中华人民共和国信息安全管理条例》等国家规定,制定某某油田管理局《网络设备使用管理规范》,本规范适用于某某油田管理局网络使用和管理人员。 2适用范围 本规范适用于某某油田管理局及下属单位配置的网络设备的购置、使用、维修、储存等方面。 3规范解释权 某某油田管理局信息安全管理中心对本规范拥有解释权。 4网络设备的管理 4.1设备的购置管理 4.1.1设备的选型 1)严禁使用未经国家质量认证的网络产品。 2)尽量采用我国自主开发研制的网络技术和设备。 3)涉及网络安全的网络产品(如:防火墙,路由器,交换机等等),必须 使用经过国家信息安全质量认证的产品。 4)严禁直接采用境外密码设备。 5)必须采用境外安全产品时,该产品必须经过国家信息安全测评机构的认 可。 6)对一般网络设备的选型须遵守以下注意事项: ?确保网络具有良好的可扩充性,系统易于升级; ?确保网络具有开放性,支持异种网络互联;
?确保所选的网管系统,具有数据流量分析、系统故障及运行状态检测和虚拟网络管理功能; ?确保网络的安全性和保密性 4.1.2设备监测 ?设备符合系统选型并获得批准后,方可购置。 ?凡购回的设备应在测试环境下经过连续72小时以上的单机运行和48小时的应用系统兼容性运行测试。 ?通过测试后,设备才能进入时运行阶段。时间长短根据需要自行确定。 ?通过试运行的设备,才能正式运行。 4.1.3设备登记 对所有设备必须建立项目齐全。管理严格的购置、移交、使用、维护、维修、报废等登记制度,并认真做好登记及检查工作,保证设备管理工作正规化。 4.2设备使用管理 4.2.1机房设备各种连接线较多,电源管理应科学、合理,保持电脑和 各种外设处于最佳状态。 4.2.2主服务器如Web、Mail、WWW、DNS等服务器,其中设置参数不得 随意再修改,如果不是特殊情况,不要随意关闭服务器。 4.2.3防火墙,交换机,HUB,路由器等按规定配置,一旦配置成功, 不得随意修改。 4.2.4机箱柜一定要加锁保护,并且远离电源,不宜加锁保护且对管理 人员造成危险的设备靠里间放置,并且一定要设置警告标志。 4.2.5设备的使用必须指定专人负责并建立详细的运行日志。 4.2.6由设备责任人负责设备的使用登记,登记内容应包括运行起止时 间,累计运行时数以及运行状况等。 4.2.7由责任人负责进行设备的日常清洗及定期保养维护,做好维护记 录,保证设备处于最佳状态。 4.2.8一旦设备出现故障,责任人应立即如实填写故障报告,并通知有 关人员处理。 4.2.9设备责任人应保证设备在安全环境(出厂标称的使用环境)下运 行。 4.2.10骨干网络设备所属权归油田管理局,由下级单位维护。 4.3设备维修管理 4.3.1设备必须有专人负责进行维修,并建立满足正常运行最低要求 的易损备件的备件库。
H3C交换机配置命令大全 1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、 language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、 port link-type Access|Trunk|Hybrid 设置端口访问模式 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口 9、 quit 退出当前视图模式 10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器 1、system-view 进入系统视图模式 2、sysname R1 为设备命名为R1 3、display ip routing-table 显示当前路由表
4、 language-mode Chinese|English 中英文切换 5、interface Ethernet 0/0 进入以太网端口视图 6、 ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口 9、 quit 退出当前视图模式 10、 ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由 11、 ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配 置默认的路由 H3C S3100 Switch H3C S3600 Switch H3C MSR 20-20 Router 1、调整超级终端的显示字号; 2、捕获超级终端操作命令行,以备日后查对; 3、 language-mode Chinese|English 中英文切换; 4、复制命令到超级终端命令行,粘贴到主机; 5、交换机清除配置 :
网络设备的基本配置 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
实验: 网络设备基本配置 拓扑图 学习目标 ?配置 Cisco 路由器的全局配置设置。 ?配置 Cisco 路由器的访问口令。 ?配置 Cisco 路由器的接口。 ?保存路由器配置文件。 ?配置 Cisco 交换机。 背景 常见配置任务包括设置主机名、访问口令和 MOTD 标语。 接口配置极其重要。除了分配第 3 层 IP 地址外,还要输入一段描述,说明与目的地的连接可节省故障排除时间。 配置更改会立即生效。 但必须将配置更改保存到 NVRAM 中才能保持到设备重新启动后。 场景 在本实验中,学生将配置 Cisco 路由器和 Cisco 交换机的常用设置。 指定 IP 地址为,为子网预留 4 位,请使用下列信息填写下表: (提示:填入子网编号,然后填入主机地址。如果先填入子网编号,将更容易计算地址信息) 子网的最大数量:_______16______
任务1:配置 Cisco 路由器的全局配置设置。 图 1. 实验的电缆连接。 步骤 1:实际连接设备。 请参阅图 1。将控制台电缆或全反电缆的一端连接至路由器的控制台端口,另一端通过 DB-9 或 DB-25 适配器连接到主机计算机的 COM 1 端口。在主机计算机的网卡 (NIC) 与路由器的接口 Fa0/0 之间连接交叉电缆。在路由器的接口 Fa0/1 与交换机的任意接口 (1-24) 之间连接直通电缆。 确保主机计算机、交换机和路由器均已通电。 步骤 2:通过超级终端将主机计算机连接到路由器。 从 Windows 的任务栏中单击“开始”|“程序”|“附件”|“通讯”|“超级终端”启动超级终端程序。使用正确的设置配置超级终端: 连接描述 名称:Lab 11_2_11 图标:自行选择 连接到 连接时使用:COM1(或适当的 COM 端口) COM1 属性 每秒位数:9600 数据位:8 奇偶校验:无 停止位:1 数据流控制:无 当超级终端会话窗口出现后,按Enter键直到路由器发出响应。 如果路由器终端处于配置模式,请通过键入NO退出。 Would you like to enter the initial configuration dialog[yes/no]:no Press RETURN to get started! Router> 当处于特权执行命令模式时,路由器会尝试将所有拼写错误或未能识别的命令解释为域名。因为未配置域服务器,所以当请求超时就会出现延迟现象。这可能会耗费几秒钟到几分钟时间。要停止等待,请同时按住
即用即查Linux命令行实例参考手册代码 第13章基本网络配置命令 配置或显示网络设备——ifconfig ifconfig命令语法: ifconfig [网络设备] [IP地址] [参数] 实例1:显示安装在本地主机的第一块以太网卡eth0的状态,执行命令: [root@localhost ~]# ifconfig eth0 实例2:配置本地主机回送接口。执行命令: [root@localhost ~]# ifconfig lo inet 127.0.0.1 up 实例3:显示本地主机上所有网络接口的信息,包括激活和非激活的,执行命令: [root@localhost ~]# ifconfig 实例4:配置eth0网络接口的IP为192.168.1.108。 在设置eth0网络接口之前,首先显示本地主机上所有网络接口的信息。执行命令:[root@localhost ~]# ifconfig 然后设置eth0网络接口,ip为192.168.1.108,netmask为255.255.255.0,broadcast为192.168.1.255。执行命令: [root@localhost ~]# ifconfig eth0 192.168.1.108 netmask 255.255.255.0 broadcast 192.168.1.255 实例5:启动/关闭eth0网络接口。 在eth0网络接口禁用之前,首先显示本地主机上所有网络接口的信息。执行命令:[root@localhost ~]# ifconfig 然后执行禁用eth0网络接口命令: [root@localhost ~]# ifconfig eth0 down [root@localhost ~]# ifconfig 再次显示本地主机上所有网络接口的信息,以便比较分析禁用eth0网络接口命令的作用。 为了进一步深入了解,可以测试ping该网络接口。执行命令: [root@localhost ~]# ping 192.168.1.108 此时应该ping不通主机192.168.1.108。接下来可以执行如下命令重新启动该网络接口。 [root@localhost ~]# ifconfig eth0 up 实例6:为eth0网络接口添加一个IPv6地址fe80::20c::29ff:fe5f:ba3f/64。 在为eth0网络接口添加IPv6地址之前,首先显示本地主机上所有网络接口的信息。执行命令: [root@localhost ~]# ifconfig 然后执行ping6命令检测未添加IPv6地址fe80::20c::29ff:fe5f:ba3f/64之前eth0网络接口的状况: [root@localhost ~]# ping6 –I eth0 –c 4 fe80::20c::29ff:fe5f:ba3f 接下来为eth0网络接口添加一个IPv6地址fe80::20c::29ff:fe5f:ba3f/64,执行命令:[root@localhost ~]# ifconfig eth0 add fe80::20c:29ff:fe5f:ba3f
附件 2: 《网络设备配置与管理》 课程标准 XXXX职业技术学院二〇一五 年 10 月
《网络设备配置与管理》课程标准 一、课程基本信息 课程名称:网络设备配置与管理 课程类别:专业核心课程 学时学分:108 学时, 6.5 学分 适用专业:适用三学制高职计算机网络技术专业 二、课程概述 《网络设备的配置与管理》是计算机网络技术专业的专业核心课程,让学生能够掌握网络基础知识和常用的网络通信协议,会配置常见的路由器和以太网交换机,并且掌 握如何利用这些技术去构建、维护中、小企业网络。 三、本课程与其他课程关系 来源于专业教学标准,具有针对性 序号前期课程名称为本课程支撑的主要能力 1计算机网络基础计算机网络体系结构的基本认识能力 2综合布线技术结构化布线系统的处理能力3计算机英语查阅英文资料的能力序号后期课程名称为本课程支撑的主要能力 1网络安全网络互联互通、网络协议应用等能力 四、工作任务和课程目标(一)工作任务及职业能力 表 1 工作任务与职业能力分析表工作领域工作任务职业能力学习项目 1、熟悉网络通信线缆 1、制作网线 组建局域网2、会制作水晶头 3、熟悉局域网拓扑结构2、通过交换机组建对等简单组网实训局域网 4、掌握交换机工作原理 1、交换机的基本配置配置与管理交 2、广播域与冲突域的概 念 换机3、 VLAN 的原理 4、 VLAN 的配制方法1、通过 VLAN隔离广播域 2、通过汇聚连接实现不 虚拟局域网实训同交换机间相同VLAN的 通信
配置与管理 路由器 配置与管理路 由 网络安全管理5、 Trunk 汇聚连接 6、 Vlan 间路由设置 1、路由器基本配置 2、掌握 PPP 协议原理 3、 PAP 验证配置 4、 CHAP 验证配置 1、了解 IP 地址分配 2、了解子网掩码 3、静态路由配置方法 4、熟悉路由表 5、掌握默认路由 1、熟悉 IP 地址分配 2、熟悉子网掩码 3、 RIP 路由配置方法 4、熟悉 RIP1 和 RIP2 协 议 5、掌握 RIP 路由协议原理 1、掌握地址分配 2、掌握 OSPF 协议原理 3、 OSPF 的分区域管理 4、熟悉 LSA 的类型 5、了解边缘区域的类型 1、熟悉子网划分 2、掌握包过滤的原理 3、会配置基本访问控制列 表 4、会配置基本访问控制列 表 5、用 ACL 实现对上层协议 的过滤 1、掌握私有地址 2、掌握 NAT 协议原理 3、掌握 EASY IP 配置 4、掌握 NAT SERVER 配 置 3、不同 VLAN件的通 信 1、路由器基本配置。 ConSole 口配置及 Telnet登录配置 2、 PPP协议验证配置 1、 IP 地址分配 2、掩码设置 3、静态路由设置实现网 络互通 1、 IP 地址分配 2、掩码设置 3、 RIP 路由设置 实现网络互通 1、 IP 地址分配 2、OSPF路由设置 实现网络互通 1、 IP 地址分配 2、基本访问控制列表配 置 3、高级访问控制列表配 置 1、 EASY IP 配置 2、 NAT SERVER配 置 广域网配置 静态路由 Rip 路由 OSPF路由 ACL包过滤 NAT防火墙 (二)课程目标 表2《网络设备配置与管理》教学目标知识目标能力目标素质目标
---------------------------------------交换机命令 ~~~~~~~~~~ [Quidway]dis cur ;显示当前配置[Quidway]display current-configuration ;显示当前配置[Quidway]display interfaces ;显示接口信息[Quidway]display vlan all ;显示路由信息[Quidway]display version ;显示版本信息 [Quidway]super password ;修改特权用户密码[Quidway]sysname ;交换机命名[Quidway]interface ethernet 0/1 ;进入接口视图[Quidway]interface vlan x ;进入接口视图[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;静态路由=网关[Quidway]rip ;三层交换支持[Quidway]local-user ftp [Quidway]user-interface vty 0 4 ;进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password ;设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令 [S3026-ui-vty0-4]user privilege level 3 ;用户级别 [Quidway]interface ethernet 0/1 ;进入端口模式[Quidway]int e0/1 ;进入端口模式[Quidway-Ethernet0/1]duplex {half|full|auto} ;配置端口工作状态[Quidway-Ethernet0/1]speed {10|100|auto} ;配置端口工作速率[Quidway-Ethernet0/1]flow-control ;配置端口流控[Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端口平接扭接[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;设置端口工作模式[Quidway-Ethernet0/1]port access vlan 3 ;当前端口加入到VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} ;设trunk允许的VLAN [Quidway-Ethernet0/3]port trunk pvid vlan 3 ;设置trunk端口的PVID [Quidway-Ethernet0/1]undo shutdown ;激活端口 [Quidway-Ethernet0/1]shutdown ;关闭端口[Quidway-Ethernet0/1]quit ;返回 [Quidway]vlan 3 ;创建VLAN [Quidway-vlan3]port ethernet 0/1 ;在VLAN中增加端口[Quidway-vlan3]port e0/1 ;简写方式[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 ;在VLAN中增加端口[Quidway-vlan3]port e0/1 to e0/4 ;简写方式
实验:网络设备基本配置 拓扑图 学习目标 ? 配置Cisco路由器的全局配置设置。 ?配置Cisco路由器的访问口令。 ? 配置Cisco路由器的接口。 ?保存路由器配置文件。 ? 配置Cisco交换机。 背景 1. 常见配置任务包括设置主机名、访问口令和MOTD标语。 接口配置极其重要。除了分配第3层IP地址外,还要输入一段描述,说明与目的地的连接可节省故障排除时间。 配置更改会立即生效。 但必须将配置更改保存到NVRAM中才能保持到设备重新启动后。 场景 在本实验中,学生将配置Cisco路由器和Cisco交换机的常用设置。 指定IP地址为,为子网预留4位,请使用下列信息填写下表: (提示:填入子网编号,然后填入主机地址。如果先填入子网编号,将更容易计算地址信息) 子网的最大数量: _________ 16 _________ 每个子网内可用主机的数量:—14 _______________________
任务1 :配置Cisco路由器的全局配置设置。 图1.实验的电缆连接。
步骤1:实际连接设备 请参阅图1。将控制台电缆或全反电缆的一端连接至路由器的控制台端口,另一端通过DB-9或DB-25适配 器连接到主机计算机的COM 1端口。在主机计算机的网卡(NIC)与路由器的接口FaO/O之间连接交叉电缆。 在路由器的接口FaO/1与交换机的任意接口(1-24)之间连接直通电缆。 确保主机计算机、交换机和路由器均已通电。 步骤2 :通过超级终端将主机计算机连接到路由器。 从Windows的任务栏中单击“开始”| “程序” | “附件” | “通讯” | “超级终端”启动超级终端程序。 使用正确的设置配置超级终端: 连接描述 名称:Lab 11_2_11 图标:自行选择 连接到 连接时使用:COM1 (或适当的COM端口) COM1属性 每秒位数:9600 数据位:8 奇偶校验:无 停止位: 1 数据流控制:无 当超级终端会话窗口岀现后,按Enter键直到路由器发岀响应。 如果路由器终端处于配置模式,请通过键入NO退岀。 Would you like to en ter the in itial con figurati on dialog?[yes/no]: no Press RETURN to get started! Router〉 当处于特权执行命令模式时,路由器会尝试将所有拼写错误或未能识别的命令解释为域名。因为未配置域服务器,所以当请求超时就会出现延迟现象。这可能会耗费几秒钟到几分钟时间。要停止等待,请同时按住
XX信息中心 网络设备巡检服务工作规范 (H3C设备网络) V1.0 信息中心 2011年8月 目录 1概述 (5)
2巡检工作流程 (5) 2.1巡检前期准备 (6) 2.2数据采集阶段 (7) 2.3数据分析和报告生成阶段 (7) 2.4汇报和满意度调查阶段 (7) 3网络巡检数据采集方法 (7) 3.1手工数据采集方法 (8) 3.2网络管理平台数据收集方法 (8) 3.3巡检工具数据采集方法 (8) 4网络巡检服务基准数据库的建立 (8) 5网络巡检工作内容 (9) 5.1巡检工作的主要内容 (9) 5.2网络巡检工作技术涵盖 (10) 6网络系统巡检基本判断标准 (10) 7设备相关信息收集 (12) 7.1软件版本及硬件信息分析 (12) 7.1.1当前设备硬件信息 (13) 7.1.2当前设备运行软件信息 (14) 7.2设备板卡硬件配置信息分析 (14) 7.3设备运行状况检查 (15) 7.3.1设备CPU工作状态检查 (16) 7.3.2设备CPU利用率分析 (16) 7.3.3设备MEMORY使用状态检查 (17) 7.3.4设备MEMORY利用率分析表 (18) 7.4设备运行状态检查 (18) 7.4.1电源的工作状态 (18) 7.4.2风扇的工作状态 (19) 7.4.3设备工作温度 (19) 8 端口的可用性、准确性检查 (19)
8.1端口状态检查 (19) 8.1.1基本网络接口状态分析 (22) 8.1.2接口半/全双工模式和链路类型 (23) 8.1.3接口稳定性统计信息 (23) 8.2端口状态检查表 (23) 9 设备端口负载及流量检查 (24) 9.1设备缓存信息检查 (24) 10 网络架构、配置信息分析 (24) 10.1网络结构检查 (24) 10.1.1检查内容 (24) 10.1.2检查方式 (24) 10.2网络配置信息检查 (27) 10.2.1检查内容 (27) 10.2.2检查方式 (27) 11 LOG信息检查 (30) 11.1标准的LOG格式 (30) 11.2LOG日志等级 (30) 11.3日志信息分析表 (30)
物理层设备 1.调制解调器 调制解调器的英文名称为modem,来源于Modulator/Demodulator,即调制器/解调器。 ⑴工作原理 调制解调器是由调制器与解调器组合而成的,故称为调制解调器。调制器的基本职能就是把从终端设备和计算机送出的数字信号转变成适合在电话线、有线电视线等模拟信道上传输的模拟信号;解调器的基本职能是将从模拟信道上接收到的模拟信号恢复成数字信号,交给终端计算机处理。 ⑵调制与解调方式 调制,有模拟调制和数字调制之分。模拟调制是对载波信号的参量进行连续地估值;而数字调制使用载波信号的某些离散状态来表征所传送的信息,在接收端对载波信号的离散参量进行检测。调制是指利用载波信号的一个或几个参数的变化来表示数字信号的一种过程。 调制方式相应的有:调幅、调频和调相三种基本方式。 调幅:振幅调制其载波信号将随着调制信号的振幅而变化。 调频:载波信号的频率随着调制信号而改变。 调相:相位调制有两相调制、四相调制和八相调制几种方式。 ⑶调制解调器的分类 按安装位置:调解解调器可以分为内置式和外置式 按传输速率分类:低速调制解调器,其传输速率在9600bps以下;中速调制解调器,其传输速率在9.6~19.2kbps之间;高速调制解调器,传输速率达到19.2~56kbps。 ⑷调制解调器的功能 ?差错控制功能:差错控制为了克服线路传输中出现的数据差错,实现调制解调器至远端调制解调器的无差错数据传送。 ?数据压缩功能:数据压缩功能是为了提高线路传输中的数据吞吐率,使数据更快地传送至对方。 ⑸调制解调器的安装 调制解调器的安装由两部分组成,线路的连接和驱动程序的安装。 线路连接: ?将电话线引线的一端插头插入调制解调器后面LINE端口。
网络安全设备配置规范 XXX 2011年1月
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp等, 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许HTTP到公网Web服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击? 5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –
交换机和路由器配置命令 Cisco 交换机的命令行模式: 1、用户模式 Switch> 2、特权模式 Switch>enable Switch# 3、全局配置模式 Switch#config terminal Switch(config)# 4、接口模式 Switch(config)#interface fastethernet 0/1 Switch(config-if)# Fastethernet表示百兆位以太网接口。 Ethernet表示十兆位以太网接口。 Gigabitethernet表示千兆位以太网接口。 Tengigabitethernet表示万兆位以太网接口。 如果从特权模式回到用户模式,需要输入disable命令,其他无论在那个模式,只要输入命令exit就能回到前一个模式,在全局模式或是接口模式,只要输入命令end都能回到特权模式,或者按下ctrl+z组合键等效于命令end。 (命令行帮助机制:1、“?”。2、Tab键。)
常用快捷组合键: Ctrl+A 光标移动到命令行的开始位置。 Ctrl+E 光标移动到命令行的结束位置。 一、常用命令介绍: 1、hostname 用于配置主机名,可简写为host. Switch(config)#host sw1 Sw1(config)# 2、show version 显示系统IOS名称以及版本信息,可简写为sh ver. 3、Show running-config 查看交换机当前配置信息,可简写为sh run. 4、Show startup-config 显示已保存的配置信息,可简写为sh star. 5、Copy running-config startup-config 保存当前配置信息,可简写 为copy run star。这个命令还等效于write(简写为wr)。 保存当前配置如下: Switch#wr 或者switch#copy run star 6、erase nvram 删除已保存的配置信息,这命令等效于erase startup-config.(擦除)。 7、reload 重新启动。 8、设置console口永不超时命令exec-timeout 0 0 (第一个0为分 钟,第二个0为秒钟)。 Switch(config)#line con 0
【第一部分】交换机支持的命令: 1.交换机基本状态: switch: ;ROM状态,路由器是rommon> hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态 2.交换机口令设置: switch>enable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口令 switch(config)#enable password xxa ;设置特权非密口令 switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令 3.交换机VLAN设置: switch#vlan database ;进入VLAN设置 switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#no vlan 2 ;删vlan 2 switch(config)#int f0/1 ;进入端口1 switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为干线 switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain;设置发vtp域名 switch(config)#vtp password;设置发vtp密码 switch(config)#vtp mode server ;设置发vtp模式 switch(config)#vtp mode client ;设置发vtp模式
在路由器启动的过程中,按住Ctrl+B路由器就进入BootROM监控模式。 BootROM 配置模式下的配置命令有以下几种: 1.? 命令格式:? 功能:显示BootROM配置模式下所有的命令。 2.setconfig 命令格式:setconfig 功能:修改BootROM模式下的路由器的网络地址、掩码;升级路由器时服务器的网络地址、掩码;以及升级方式等。 3.showconfig 命令格式:命令格式showconfig 功能:显示在BootROM模式下当前路由器的网络地址、掩码;升级路由器时服务器的网络地址、掩码;以及升级方式等。 4.load 命令格式:load
变通用户配置模式下的系统配置命令如下。 1.enable 功能:从普通用户配置模式进入特权用户配置模式。 2.exit 功能:退出Telnet连接或退出一种配置模式返回到上一级配置模式。 3.show clock 功能:显示系统当前日期和时钟。 4.show history 功能:显示当前用户最近输入的历史命令。 5.show version 功能:显示路由器的版本信息。 6.help 功能:输出有关命令解释器帮助系统的简单描述。 特权用户配置模式下的系统配置命令 从普通用户配置模式通过配置命令enable,或者从全局配置模式退出,都会进入特权用户配置模式。DCR系列路由器还为用户提供了快捷键Ctrl+Z,可从任何配置模式(除普通用户配置外)回到特权用户配置模式。 特权用户配置模式下的系统配置命令如下。 1.Clear counters 功能:清除接口的各种统计信息。 2.clock set 功能:设置系统日期和时钟。 Router#clock set 23:0:0 2001.6.1 3.configure [terminal] 功能:从特权用户配置模式进入全局配置模式。 4.exec timeout 功能:设置退出特权用户配置模式超时时间。 Router#exec timeout 5 5.exit 功能:退出特权用户配置模式,返回一般用户配置模式。 6.first-config 功能:恢复路由器首次配置标志。 Router#first-config Router#write
网络安全设备配置规范 2011年1月
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭、、、等,以及使用而不是远程 管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许到公网服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗攻击? 5.防火墙是否阻断下述欺骗、私有(1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(1918)地址(10.0.0.0 –10.255.255.255、172.16.0.0 – 172.31..255.255、192.168.0.0 – 192.168.255.255)
1、show命令: 1)全局命令: show version ;显示系统硬件和软件版本、DRAM、Flash show startup-config ;显示写入NVRAM中的配置内容 show running-config ;显示当前运行的配置内容 show buffers ;详细输出buffer 的名称和尺寸 show stacks ;提供路由器进程和处理器利用率信息,用stack decode show tech-support ;显示几个show命令的输出 show access-lists ;查看访问列表配置
show memory ;用于测试内存问题2)接口相关命令 show queueing [fair|priority|custom] show queue e0/1 ;查看接口上队列的设置和操作 show interface e0/1 ;Cisco缺省的Ethernet封装方法是ARPA show ip interface e0/1 ;显示指定接口的TCP/IP配置信息 3)进程相关命令 show processes cpu ;显示路由器CPU的使用率和当前的进程 show processes memory ;显示路由器当前进程的内存使用情况
4)TCP/IP协议相关命令 Show ip access-list ;显示IP访问列表(1-199) Show ip arp ;显示路由器的ARP 缓存(IP、MAC、封装类型、接口)Show ip protocols ;显示运行在路由器上的IP路由协议的信息 Show ip route ;显示IP路由表中的信息 Show ip traffic ;显示IP流量统计信息 2、debug命令 DEBUG不应在CPU使用率超过50%的路由器上运行。