首页 > 代码库 > CCIE学习笔记之特性集

CCIE学习笔记之特性集

etherchannel loadbalance  dst –mac

以太网隧道负载方式基于目标MAC

MST

(config)# spanning -tree mode mst 

(config)# spanning -tree mst configuration

(config-mst )#  name CCIE

(config-mst )#  instance 1 vlan 20,40,60

spanning -tree mst 3 root primary

spanning -tree mst 1,2 root secondary

VLAN ACL

(config)# vlan access-map Deny_VIP 10 

(config)# match mac address VIP

(config)# action drop

(config)# vlan access-map Deny_VIP  20

(config)# vlan filter Deny_VIP vlan -list 50

frame-relay

interface serial 0/0 

 frame -relay broadcast -queue 120 260000 240   // FR broadcast queue to 120 , 260Kbytesrate per seconds,  240  packet per second

 

 

damping

interface serial 0/0 

   dampening                           // Turn on dampening to avoid

excessive routing updates

 

广播转单播

ip forward -protocol udp snmptrap

 

interface G0/0/1.70

  iphelper-address 150.2.Y.254

 

利用PBR做标记

route -map PBR

 match ip address 100 

  setip precedence 3

  setip next-hop YY.YY.11.4

 

interface G0/0/1  (12.0/24)

  ippolicy route -map PBR

RPF校验

ip cef

interface serial 0/0 

  ipverify unicast source reachable-via any 10 

 

access-list 10 deny any log   //记录日志

tcp intercept

ip tcp intercept mode watch    //模式watch,路由器监控客户和服务器的TCP回话建立过程

ip tcp intercept watch -timeout 15   //若客户15秒还没和服务器建立TCP三次握手则路由器向服务器发送RST复位)消息,防止拒绝服务攻击

ip tcp intercept list 100           

access-list 100 permit tcp any 150.1.YY.00.0.0.255

access-list 100 permit tcp any host150.1.Y.254

 

ip tcp intercept mode intercept    //路由器代替服务器和客户建立三次握手

ip tcp intercept conncect -timeout 150    //在非主动模式下tcp会话在idle150s后,超时断开(默认TCP连接是永远不超时的)

ip access-list extended DOS
permit tcp any host 1.1.1.1
ip tcp intercept list DOS    //服务器为1.1.1.1,那么监控所有访问这台服务器的TCP流量

ip tcp intercept max-incomplete high 1000
ip tcp intercept max-incomplete low 800
//所有半开连接数达到1000后,进入主动模式,主动模式会将所有的超时时间

减半,比如上面配置的connection-timeout会由1800s变成900s。当连接数低

800时,再恢复正常。
ip tcp intercept one-minute high 500
ip tcp intercept one-minute high 400
//一分钟内新增的半开连接数达到500时,进入主动模式。低于400时,再恢复

正常。

ip tcp intercept drop-mode random/oldest (修改丢弃连接的方式)
默认为oldest

 

storm -contro

(config)# interface f0/10 

(config-if)# storm -control unicast level55  //把入站单播的流量限制到接口带宽*55%

block unknown traffic

(config)# interface f0/5

(config-if)# switchport block multicast  //阻止未知组播(即MAC地址表没有的)

  Exception Handling

(config)# ip ftp source -interface G0/0/0

(config)# ip ftp username ccie

(config)# ip ftp password cisco

 

(config)# exception core-file RA-CORE   //core-file起名,core-file用于设备异常故障检测

(config)# exception dump 150.1.12.254   //core-file传输到150.1.12.254

(config)# exception protocol ftp         //传输协议用FTP

(config)# exception region-size 65535

DHCP

(config)# service dhcp            //开启DHCP服务

(config)#  no ipdhcp conflit logging      //不记录冲突地址(如果记录则冲突过的地址一直分配不出去)

(config)# no ip dhcp excluded-address YY.YY.55.57

 

(config)# ip dhcp pool DHCP

(dhcp-config)# network YY.YY.55.0 /24

(dhcp-config)# dns -server YY.YY.55.60YY.YY.55.57 

(dhcp-config)# domain-name cisco.com

(dhcp-config)# default-router YY.YY.55.254

(dhcp-config)# lease 10 

(dhcp-config)# update arp      //联动接口ARP表的更新

 

(config)# interface G0/0/0

(config-if)#  arp authorized  // DHCP服务器没有记录的MAC不放入ARP

跟踪攻击源

(config)# ip source-track 150.1.YY.254      //指定被攻击的设备

(config)# ip source-track address -limit 1    //跟踪设别限制为1

(config)# ip source-track syslog-interval 1440 //1440分钟(一天)发送一次报告系统日志

防止碎片攻击

access-list extended Defragment

 deny ip any host 10.1.Y.5 fragments  //拒绝碎片报文

 permit ip any any

interface G0/0

  ipaccess-group Defragment in

802.1x

802.1xhost mode:

1. Single-Host Mode:交换机接口下只能有一台主机,否则违规

2. Multiple-Hosts Mode:交换机接口下可以有多台主机,但只要有一台认证即可

3.Multidomain Authentication Mode:可接一个IP电话和连在IP电话后的一台主机,所以每个端口允许两个MAC地址

4.Multiauthentication Mode:交换机接口下可以有多台主机,每台主机都要认证

 

Switch(config)# dot1x system-auth-control   //在交换机上开启802.1x

Switch(config)# aaa new-model            //开启AAA

Switch(config)# aaaauthentication dot1x default group radius  //dot1x认证方法default的认证方式为radius

Switch(config)#  aaa authorization network {default} groupradius  //radius服务器进行网络相关的请求,如依据认证通过与否等进行vlan的划分

Switch(config)#  radius-server host 172.l20.39.46 auth-port1645 acct-port 1646 test username

randomuser idle-time 1 key mykey  //radius服务器地址

Switch(config)#  ip radius source-interface g3/2

Switch(config)#  radius-server vsa  send authentication //multi-domain模式时用,接入设备根据AAAserver发出的VSAs判别语音和数据

Switch(config)#  dot1x guest-vlan supplicant    //全局开启客户vlan(隐藏命令)

Switch(config)#  radius  dead-criteria time 5  tries 2 //radius服务器不响应两次,每次5s就判定radius死亡(可选)

Switch(config)#  radius deadtime 10                  //每个10分钟检测一次downradius服务器起来了没有(可选)

Switch(config)# authenticationcritical recovery delay msec //radius服务器重新可用后初始化认证端口(到服务器进行认证)的速度,如果为100ms则每秒初始化10个端口(可选)

Switch(config)#  interface fastethernet2/1

Switch(config-if)# switchportmode access                 //认证接口要是接入接口

Switch(config-if)# switchportaccess vlan 12

Switch(config-if)# switchportvoice vlan 10

Switch(config-if)# authenticationhost-mode single-host | multi-host | multi-domain | multi-auth

//认证的host mode

Switch(config-if)# dot1x paeauthenticator             //用默认参数在端口下启用802.1x

Switch(config-if)# authenticationport-control auto    //开启端口认证,模式为自动,早期命令:dot1x port-control auto

Switch(config-if)# mab [eap]        // 开启MABmac authentication   bypass),允许不支持802.1x的设备(如语音设备、打印机)接入用MAC地址认证,早期为dot1x mac-auth-bypass [eap]

Switch(config-if)# authenticationviolation [restrict  | shutdown ]  //认证违规(如single-host模式发现两个MAC)处理方式,默认shutdownrestrict模式则不会关闭接口

Switch(config-if)# authenticationevent no-response action authorize vlan 50 //客户机不支持802.1x(不响应认证请求)把端口划入vlan 50(guest vlan),早版本的命令为dot1x guest-vlan 50

Switch(config-if)# authenticationevent server dead action authorize vlan 17 //开启InaccessibleAuthentication Bypass特性,即如果没有可用的radius服务器则把端口入vlan 17,如果此时有可用的radius则可让端口初始化,默认不初始化

Switch(config-if)#authenticationevent server alive action reinitialize //如果radius服务器再次可用则端口初始化,默认不初始化

Switch(config-if)# authenticationevent fail retry 5 action authorize vlan 40 //尝试5次认证失败则划入vlan 40,早期命令为:dot1xauth-fail vlan 40dot1x auth-failmax-attempts 3

Switch(config-if)#  authentication periodic       //开启定期的重认证,默认关闭,早期命令:dot1x reauthenticator

Switch(config-if)# authenticationtimer reauthenticate 4000 //设置重认证时间间隔,默认3600s,早期命令:Switch(config-if)# dot1x timeout reauth-period 4000

Switch(config-if)# dot1x timeoutquiet-period 30   //不能认证客户(如认证失败则等待30秒再认证),缩短可以加快对用户的响应

Switch(config-if)# switchportmode private-vlan host   // PVLAN hostport

 

用宏创建vlan

macro name VLAN

vlan 30

 name VLAN_30

vlan 31

 name VLAN_31

@

macro global apply VLAN

RSPAN

vlan 500 

   remote-span

monitor session 1 source interface f0/10rx  //只监控接收流量

monitor session 1 destination remote vlan500 reflect -port f0/18  //3550要反射端口

 

monitor session 1 source remote vlan500 

monitor session 1 destination interfacef0/18

端口映射

ip nat inside source static tcp Y.Y.3.3 23Y.Y.6.254 23

interface G0/0  

  ipnat outside

interface S0/0

  ipnat inside

 

accounting

interface G0/0

  ip accountingoutput -packets

 

Router(config-if)#ip accountingaccess-violations
启动针对访问控制列表的IP统计

 

ip accounting -list Y.Y.6.254 0.0.0.0  

NTP

——ntp access-group: 该全局命令用于路由器N T P服务的访问控制。
——ntp authenticate:
是一个全局命令,它启用N T P身份验证。
——ntp authentication-key:
该全局命令用于定义N T P身份验证的键值。
——ntp broadcast:
是一个接口命令,用于指定一特定接口来发送N T P广播包。
——ntp broadcast client:
是一个接口命令,使路由器通过特定接口来接收N T P广播包。
——ntp broadcast delay:
是一个全局命令,它用于设定数据包在路由器和N T P服务器之间一个回程所需时间的估计值。
——ntp clock-period:
这条全局命令不必输入,当使用N T P进行系统时钟同步时,路由器将自动产生这条命令。
——ntp disable:
这条接口命令使特定接口不接收N T P包。
——ntp master:
这条全局命令用来配置路由器为N T P主时钟,只有当没有可用的外部N T P源或者为测试用途才使用该命令。
——ntp peer:
该全局命令使路由器的系统时钟与其对等体的时钟同步(或对对等体的时钟进行同步)。
——ntp server:
该全局命令使路由器的系统时钟由时间服务器进行同步。
——ntp source:
该全局命令强制路由器在其N T P包中使用特定的源地址。
——ntp trusted-key:
该全局命令用于确认路由器的特定身份验证键值。
——ntp update-calendar:
该全局命令使N T P周期性地更新Cisco7XXX 系列路由器的日历。
——show ntp status:
是一执行模式命令,用于显示路由器的N T P信息,它可以表明该路由器是通过N T P对等体进行时钟同步还是通过N T P服务器进行同步。
——show ntp association[detail]:
这条执行模式命令显示与N T P有关的信息,如*询周期等。

 

Router(config)#ntp max-associations 30   //限制路由器可以接受的NTP Peers的数目

Router(config)#ntp access-group peer 88
Router(config)#ntp access-group serve-only 99

//只允许内部时钟从ACL88定义的服务器中获得同步,同时只有ACL99定义的两个网段的客户端可以从本设备请求时间信息

query-only:允许从列出的IP地址发出NTP控制查询。控制查询用在监视NTP进程的SNMP网络管理工作站。
serve-only
:允许访问控制列表上的IP地址请求事件,路由器不向远程系统同步时间。
serve
:允许时间请求和控制查询,路由器同样不向远程系统同步时间。
peer
:允许时请求和控制查询,并且允许路由器从远程系统同步时间。

Router2(config)#ntp logging   //记录重要的NTP事件

Router2#show logging | include NTP

 

clock timezone PST -8

clock summer-time PST recuring 2 Sun Mar 2:00 1 Sun Nov 2:00   //夏令时的时间是从3月第二个周日的200AM11月第一个周日的200AM( 使用太平洋时区)

 

 

R3* 

ntp authentication -key 1 md5 cisco 

ntp authenticate

ntp master 2   //指明自己是服务器

ntp soure-interface loopback 0 

 

R4* 

ntp authentication-key 1 md5 cisco 

ntp authenticate

ntp trust-key 1     //只有客户端要信任

ntp server Y.Y.3.3 key 1 source loopback 0   //请求NTP服务器在更新中携带密码

端口安全

interface range f0/11 -15

 switchport mode access

 switchport access vlan 44 

  switchportport -security mac-address sticky

 switchport port -security maximum 2 

 switchport port -security violation restrict

 switchport port –security

SSH 

username rackYY privilege 15 passwordcisco 

 

access-list 10 permit host Y.Y.2.2

 

line vty 0 x

 transport input ssh

 login local

 access-class 10 in

 

ip domain name ccie.cisco.com

 

crypto key generate rsa

STP

spanning -tree vlan 56 forward -time 6   //配置VLAN 56ports from upto forward 的时间为6

spanning -tree uplinkfast

spanning -tree vlan 11,13,15,201,203,801root primary 

spanning -tree portfast bpduguard default

banner

banner motd @ 

Enter TEXT message. End with thecharacter  “@”

SWITCH IS UNDER CONFIGURATION

PLEASE CONTACT  HELP-DESK FOR ANY ASSISTANCT.

@

DRPDirectorResponse Protocol

用户在请求服务器数据的时候,可能无法定位与自己最近的服务器,那么这个时候可能需要在网络里放置导向器,导向器的功能就是将用户的请求信息重新定位(重定向)到与之最近的服务器。所以导向器要能够查讯网络里路由器上的BGPIGP路由信息,这就需要路由器提供支持,如果路由器能够完全提供这种路由信息的支持,就必须配置成DRP Server AgentDRP服务器代理)。

路由器要成为服务器代理,必须满足以下要求:

1.必须在拓朴上和导向器是邻近的且路由上是可达的。

2.应该具有全网的路由信息,IGPBGP都不能少,须保证自己全网可达。

3.保证能够访问所有导向器。

1.DRP agent.

r1(config)#ip drp server

2.ACL允许哪些能访问

1)定义ACL

r1(config)#access-list 10 permit10.1.1.1

2)加上ACL:

r1(config)#ip drp access-group 10         //只允许10.1.1.1使用DRP 代理

3.使用认证以提供安全:

1)定义Key Chain

r1(config)#key chain ccie

r1(config-keychain)#key 1

r1(config-keychain-key)#key-stringcisco

r1(config-keychain-key)#exit

r1(config-keychain)#exit

(2)使用认证

r1(config)#ip drp authenticationkey-chain ccie

4.查看结果:

r1#sh ip drp

 

 

 

WCCP

WCCP的工作原理为每当用户访问一个页面时,WCCP就将这些页面进行缓存保留,当用户下次请求网页数据时,路由器将用户的请求发到引擎,如果缓存中有相同网页的备份,则直接从缓存中发给用户,提高速度;但是如果没有,就自己重新请求远程网页,然后再发给用户。

1.开启WCCP

1)启用WCCP

Router(config)# ip wccp web-cache

ip wccp web-cache group-address 224.1.1.100 passwordalaska1

2)开启WCCP ver2

(共两个版本,默认为ver2)

router(config)#ip wccp version 2

3)在接口上启用:

Router(config)# interface f0/0

Router(config-if)# ip wccpweb-cache redirect out

注:在f0/0接口的out方向启用,表明用户接在f0/0上,路由器只将从网站服务器发回的数

据从f0/0发给用户时,才会缓存。

4)限制WCCP缓存哪些WEB服务器过来的数据包(可选配置):

例:比如只接收服务器10.1.1.1(即ACL10过来的数据)发来的数据:

router(config)# access-list 10permit host 10.1.1.1

router(config)# ip wccp web-cachegroup-list 10 

//notify the router which IP addresses are validaddresses for a cache engine attempting to regi ster with the current router

5)限制到哪些主机或哪些服务器的不被缓存(可选配置):

例:从服务器发回到目标主机192.168.196.51的不缓存,其它全部缓存

Router(config)# access-list 100deny ip any host 192.168.196.51

Router(config)# access-list 100permit ip any any

Router(config)# ip wccp web-cache redirect-list100

 

SNMP

(config) # snmp-server community cisco

(config) # snmp-server host 150.1.YY.252cisco tty

(config) # snmp-server enable traps tty            // trap TCP

Router(config)#  snmp-server system-shutdown  // Enables system shutdown using the SNMPmessage  reload feature

Time Ranged ACL

(config) # time-range WorkTime

(config-time-range)# periodic weekdays 8:00to 18:00

 

(config) # ip access-list extended HTTP

(config-ex) # deny tcp Y.Y.56.0 0.0.0.255any eq www time -range WorkTime

(config-ex) # permit ip any any

 

(config)# interface G0/0/1

(config-p-map)# ip access-group HTTP  in

CAR

(config)# ip cef        * With CAR, CEF should be enabled  

 

(config)# access-list 100 permit icmp anyany echo

(config)# access-list 100 permit icmp anyany echo-reply 

 

(config)# interface s0/0/0

(config-if) # rate-limit input access-group 100 256000 8000 8000

conform-action transmit exceed-action drop

IP SLA

ip sla monitor 1       //新版命令没有monitor

 type tcpconnect dest -addr Y.Y.1.1 dest-port 23 source-ipaddrY.Y.254.4 

     frequency 3600

 

ip sla monitor schedule 1 start-time nowlife forever

 

R1* 

ip sla monitor responder

acl匹配IP优先级

access-list 100 permit ip any anyprecedence routine  //ip优先级0

Access Levels

enable secret level 5 cisco5 

 

privilege exec level 5 undebug all 

privilege exec level 5 ping

privilege exec level 5 write memory 

privilege exec level 5 configure terminal

privilege configure level 5 interface

privilege interface levle 5 ip address 

 

privilege exec level 1 show run

privilege exec level 1 write terminal

 

SYSLOG

logging on 

logging trap  critical 

logging host 150.2.Y.254

logging facility local6   // The SYSLOG daemon is expecting you to usethe LOCAL6 facility

Dynamic Access

username ccie pass cisco

username ccie autocommand access-enable host time2  //如果2分钟没有动作,就会中断会话,autocommand,就是执行完,立刻中断telnet

username joe autocommand show ip bgp summary   //telnet上去看到show ip bgp summary后断开

 

line vty 0 x

 login local

 

access-list 100 permit tcp Y.Y.13.00.0.0.255 host Y.Y.13.4 eq telnet

 

access-list 100 dynamic T timeout 10  permit tcp Y.Y.13.0 0.0.0.255 Y.Y.0.0

0.0.255.255 eq telnet     //如果telnet到这台设备成功自动生成此条ACL,绝对有效时间10分钟 ,但如果2分钟没有流量则条目消失

 

access-list 100 deny tcp Y.Y.13.0 0.0.0.255Y.Y.0.0 0.0.255.255 eq telnet

icmp

(config)# ip icmp rate-limit unreachable1000   //限制发送ICMP不可达消息的时间间隔

traffic-shape

(config)# access-list 100 permit tcp eq wwwany Y.Y.20.0 0.0.0.255  

 

(config)# interface F0/1        (22.2 /24) 

(config-if)# traffic-shapegroup 100 10000000   //限制最大流量10M

 

Control Plane Policy

对来自源Y.Y.2.2, Y.Y.5.5telnet数据包没有控制, 要求其他telnet数据包police 60Kbps以内, 超过的就丢弃:

(config)# access-list 110 deny tcp hostY.Y.2.2 any eq telnet 

(config)# access-list 110 deny tcp hostY.Y.5.5 any eq telnet 

(config)# access-list 110 permit tcp anyany eq telnet

 

(config)# class -map match-all Telnet 

(config-cmap)# match access-group 110

 

(config)# policy-map PT

(config-pmap)# class Telnet

(config-cmap-class )# police 60000 confirm-action transmit exceed-action

drop

(config)# control-plance

(config-cp)# service-policy input PT

IRDP(ICMP Router DiscoveryProtocol)

R5*

interface G0/0

  ipirdp

  ipirdp precedence -2147483648 

 

R6*

interface G0/0

  ipirdp  

  ipirdp precedence 2147483647

 

SLB(Server Load Balancing)

可以看作HSRP(热备份路由器协议)的扩展,实现多个服务器之间的负载均衡。

客户端向虚拟服务器发起连接时,通过某种负载均衡算法,转发到某真实服务器。
  负载均衡算法有两种:
Weightedround robin(WRR)Weighted least connections(WLC),
WRR使用加权轮询算法分配连接,WLC通过一定的权值,将下一个连接分配给活动连接数少的服务器

配置分为两部分,
  第一部分是使用slbserverfarm serverfarm_name命令定义SLB选项,包括指定真实服务器地址;
  第二部分是使用ipslb vserver virtual_server-name来指定虚拟服务器地址。
router#configt
router(config)#ipslb serverfarm http(名称)
router(config-slb-sfarm)#real192.168.1.1
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#real192.168.1.2
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#exit
router(config)#ipslb vserver vserver1
router(config-slb-vserver)#vitual10.1.1.1 TCP(协议) 80 (端口)
router(config-slb-vserver)#serverfarmhttp(名称)
router(config-slb-vserver)#inservice

IOS防火墙(基于状态)

规则:

默认情况不同安全区域的不能互相访问,在安全区域中的主机也不能访问不在任何安全区域的主机,都不在任何安全区域中的主机之间可以互相访问

配置:

1.      分类:

class-map typeinspect telnet     //定义流量类别,注意比QOS多了type inspect

  match protocol telnet

  match access-group 100

  match class-map a

parameter-maptype inspect tcp-parameter   //定义参数类别

  tcp idle-time 30             //超时30s断开

2.      定义策略:

policy-may typeinspect in_to_out_policy

  class type inspect telnet

inspect tcp-parameter       //class-map telnet类别的行为是inspect,除此之外还有passdrop,同时应用parameter-maptcp-parameter,即TCP超时时间为30s

3.      定义区域:zonesecurity in

          zone security out

4.      把接口划入区域:

int f1/0

zone-membersecurity in

int f1/1

zone-membersecurity out

5.      定义区域对并应用策略:

zone-pairsecurity in_to_out  source in destinationout

   service-policy type inspect in_to_out_policy

6.      验证:

showpolicy-map/class-map type inspect

debug policy-maptype inspect

IP Traffic Export (Router上类似于SWSPAN的技术)

限制:

1.接收数据的设备必须和router的导出流量的outbound口处于同一vlan或直连网段

2.导出流量的outbound接口必须是以太网口

优点:

1.能够使用ACL拷贝数据包

2.可以取样拷贝数据包(比如10个包取1个)

3.可以配置双向数据都导出(默认入数据导出)

简单配置:

(config)#ip traffic-export profile test

(config-rite)#bidirectional          //抓取入方向和出方向的包(没有这条命令默认入方向)

(config-rite)#incoming access-list income_acl  //抓取入方向感兴趣的流量

(config-rite)#outgoing access-list outgoing _acl   //抓取出方向感兴趣的流量

(config-rite)# incoming sample one-in-every 2   //取样,进入的流量每两个取一个

(config-rite)# incoming sample one-in-every 2   //取样,出方向的流量每两个取一个
(config-rite)#interface FastEthernet1/0     //
配置流量导出的接口(不用IPno shut即可)
(config-rite)#mac-address 0200.4c4f.4f50      //
配置要导出到的接收设备的MAC地址

int f0/0                              //要抓取流量的地址

ip traffic-export apply test               //应用traffic-export,默认入方向

 

查看:

show ip traffice-export

 

FTPserver

配置:

ftp-server enable       //开启ftp服务器

ftp-server topdir 路径  //允许客户读取什么文件

TFTP server

tftp-server路径

HTTPS

hostname cisco

ip domain-name cisco.com

crypto key generate rsa

ip http secure-server    //开启https

ip http secure-port     //修改https端口号


本文出自 “flyclc” 博客,请务必保留此出处http://flyclc.blog.51cto.com/1385758/1539403