首页 > 代码库 > CCIE学习笔记之特性集
CCIE学习笔记之特性集
etherchannel loadbalance dst –mac
以太网隧道负载方式基于目标MAC
MST
(config)# spanning -tree mode mst
(config)# spanning -tree mst configuration
(config-mst )# name CCIE
(config-mst )# instance 1 vlan 20,40,60
spanning -tree mst 3 root primary
spanning -tree mst 1,2 root secondary
VLAN ACL
(config)# vlan access-map Deny_VIP 10
(config)# match mac address VIP
(config)# action drop
(config)# vlan access-map Deny_VIP 20
(config)# vlan filter Deny_VIP vlan -list 50
frame-relay
interface serial 0/0
frame -relay broadcast -queue 120 260000 240 // FR broadcast queue to 120 , 260Kbytesrate per seconds, 240 packet per second
damping
interface serial 0/0
dampening // Turn on dampening to avoid
excessive routing updates
广播转单播
ip forward -protocol udp snmptrap
interface G0/0/1.70
iphelper-address 150.2.Y.254
利用PBR做标记
route -map PBR
match ip address 100
setip precedence 3
setip next-hop YY.YY.11.4
interface G0/0/1 (12.0/24)
ippolicy route -map PBR
RPF校验
ip cef
interface serial 0/0
ipverify unicast source reachable-via any 10
access-list 10 deny any log //记录日志
tcp intercept
ip tcp intercept mode watch //模式watch,路由器监控客户和服务器的TCP回话建立过程
ip tcp intercept watch -timeout 15 //若客户15秒还没和服务器建立TCP三次握手则路由器向服务器发送RST(复位)消息,防止拒绝服务攻击
ip tcp intercept list 100
access-list 100 permit tcp any 150.1.YY.00.0.0.255
access-list 100 permit tcp any host150.1.Y.254
ip tcp intercept mode intercept //路由器代替服务器和客户建立三次握手
ip tcp intercept conncect -timeout 150 //在非主动模式下tcp会话在idle150s后,超时断开(默认TCP连接是永远不超时的)
ip access-list extended DOS
permit tcp any host 1.1.1.1
ip tcp intercept list DOS //服务器为1.1.1.1,那么监控所有访问这台服务器的TCP流量
ip tcp intercept max-incomplete high 1000
ip tcp intercept max-incomplete low 800
//所有半开连接数达到1000后,进入主动模式,主动模式会将所有的超时时间
减半,比如上面配置的connection-timeout会由1800s变成900s。当连接数低
于800时,再恢复正常。
ip tcp intercept one-minute high 500
ip tcp intercept one-minute high 400
//一分钟内新增的半开连接数达到500时,进入主动模式。低于400时,再恢复
正常。
ip tcp intercept drop-mode random/oldest (修改丢弃连接的方式)
默认为oldest
storm -contro
(config)# interface f0/10
(config-if)# storm -control unicast level55 //把入站单播的流量限制到接口带宽*55%
block unknown traffic
(config)# interface f0/5
(config-if)# switchport block multicast //阻止未知组播(即MAC地址表没有的)
Exception Handling
(config)# ip ftp source -interface G0/0/0
(config)# ip ftp username ccie
(config)# ip ftp password cisco
(config)# exception core-file RA-CORE //给core-file起名,core-file用于设备异常故障检测
(config)# exception dump 150.1.12.254 //把core-file传输到150.1.12.254
(config)# exception protocol ftp //传输协议用FTP
(config)# exception region-size 65535
DHCP
(config)# service dhcp //开启DHCP服务
(config)# no ipdhcp conflit logging //不记录冲突地址(如果记录则冲突过的地址一直分配不出去)
(config)# no ip dhcp excluded-address YY.YY.55.57
(config)# ip dhcp pool DHCP
(dhcp-config)# network YY.YY.55.0 /24
(dhcp-config)# dns -server YY.YY.55.60YY.YY.55.57
(dhcp-config)# domain-name cisco.com
(dhcp-config)# default-router YY.YY.55.254
(dhcp-config)# lease 10
(dhcp-config)# update arp //联动接口ARP表的更新
(config)# interface G0/0/0
(config-if)# arp authorized // DHCP服务器没有记录的MAC不放入ARP表
跟踪攻击源
(config)# ip source-track 150.1.YY.254 //指定被攻击的设备
(config)# ip source-track address -limit 1 //跟踪设别限制为1
(config)# ip source-track syslog-interval 1440 //每1440分钟(一天)发送一次报告系统日志
防止碎片攻击
access-list extended Defragment
deny ip any host 10.1.Y.5 fragments //拒绝碎片报文
permit ip any any
interface G0/0
ipaccess-group Defragment in
802.1x
802.1xhost mode:
1. Single-Host Mode:交换机接口下只能有一台主机,否则违规
2. Multiple-Hosts Mode:交换机接口下可以有多台主机,但只要有一台认证即可
3.Multidomain Authentication Mode:可接一个IP电话和连在IP电话后的一台主机,所以每个端口允许两个MAC地址
4.Multiauthentication Mode:交换机接口下可以有多台主机,每台主机都要认证
Switch(config)# dot1x system-auth-control //在交换机上开启802.1x
Switch(config)# aaa new-model //开启AAA
Switch(config)# aaaauthentication dot1x default group radius //dot1x认证方法default的认证方式为radius
Switch(config)# aaa authorization network {default} groupradius //用radius服务器进行网络相关的请求,如依据认证通过与否等进行vlan的划分
Switch(config)# radius-server host 172.l20.39.46 auth-port1645 acct-port 1646 test username
randomuser idle-time 1 key mykey //radius服务器地址
Switch(config)# ip radius source-interface g3/2
Switch(config)# radius-server vsa send authentication //在multi-domain模式时用,接入设备根据AAAserver发出的VSAs判别语音和数据
Switch(config)# dot1x guest-vlan supplicant //全局开启客户vlan(隐藏命令)
Switch(config)# radius dead-criteria time 5 tries 2 //radius服务器不响应两次,每次5s就判定radius死亡(可选)
Switch(config)# radius deadtime 10 //每个10分钟检测一次down的radius服务器起来了没有(可选)
Switch(config)# authenticationcritical recovery delay msec //radius服务器重新可用后初始化认证端口(到服务器进行认证)的速度,如果为100ms则每秒初始化10个端口(可选)
Switch(config)# interface fastethernet2/1
Switch(config-if)# switchportmode access //认证接口要是接入接口
Switch(config-if)# switchportaccess vlan 12
Switch(config-if)# switchportvoice vlan 10
Switch(config-if)# authenticationhost-mode single-host | multi-host | multi-domain | multi-auth
//认证的host mode
Switch(config-if)# dot1x paeauthenticator //用默认参数在端口下启用802.1x
Switch(config-if)# authenticationport-control auto //开启端口认证,模式为自动,早期命令:dot1x port-control auto
Switch(config-if)# mab [eap] // 开启MAB(mac authentication bypass),允许不支持802.1x的设备(如语音设备、打印机)接入用MAC地址认证,早期为dot1x mac-auth-bypass [eap]
Switch(config-if)# authenticationviolation [restrict | shutdown ] //认证违规(如single-host模式发现两个MAC)处理方式,默认shutdown,restrict模式则不会关闭接口
Switch(config-if)# authenticationevent no-response action authorize vlan 50 //客户机不支持802.1x(不响应认证请求)把端口划入vlan 50(即guest vlan),早版本的命令为dot1x guest-vlan 50
Switch(config-if)# authenticationevent server dead action authorize vlan 17 //开启InaccessibleAuthentication Bypass特性,即如果没有可用的radius服务器则把端口入vlan 17,如果此时有可用的radius则可让端口初始化,默认不初始化
Switch(config-if)#authenticationevent server alive action reinitialize //如果radius服务器再次可用则端口初始化,默认不初始化
Switch(config-if)# authenticationevent fail retry 5 action authorize vlan 40 //尝试5次认证失败则划入vlan 40,早期命令为:dot1xauth-fail vlan 40和dot1x auth-failmax-attempts 3
Switch(config-if)# authentication periodic //开启定期的重认证,默认关闭,早期命令:dot1x reauthenticator
Switch(config-if)# authenticationtimer reauthenticate 4000 //设置重认证时间间隔,默认3600s,早期命令:Switch(config-if)# dot1x timeout reauth-period 4000
Switch(config-if)# dot1x timeoutquiet-period 30 //不能认证客户(如认证失败则等待30秒再认证),缩短可以加快对用户的响应
Switch(config-if)# switchportmode private-vlan host // PVLAN hostport
用宏创建vlan
macro name VLAN
vlan 30
name VLAN_30
vlan 31
name VLAN_31
@
macro global apply VLAN
RSPAN
vlan 500
remote-span
monitor session 1 source interface f0/10rx //只监控接收流量
monitor session 1 destination remote vlan500 reflect -port f0/18 //3550要反射端口
monitor session 1 source remote vlan500
monitor session 1 destination interfacef0/18
端口映射
ip nat inside source static tcp Y.Y.3.3 23Y.Y.6.254 23
interface G0/0
ipnat outside
interface S0/0
ipnat inside
accounting
interface G0/0
ip accountingoutput -packets
Router(config-if)#ip accountingaccess-violations
启动针对访问控制列表的IP统计
ip accounting -list Y.Y.6.254 0.0.0.0
NTP
——ntp access-group: 该全局命令用于路由器N T P服务的访问控制。
——ntp authenticate: 是一个全局命令,它启用N T P身份验证。
——ntp authentication-key: 该全局命令用于定义N T P身份验证的键值。
——ntp broadcast: 是一个接口命令,用于指定一特定接口来发送N T P广播包。
——ntp broadcast client: 是一个接口命令,使路由器通过特定接口来接收N T P广播包。
——ntp broadcast delay: 是一个全局命令,它用于设定数据包在路由器和N T P服务器之间一个回程所需时间的估计值。
——ntp clock-period: 这条全局命令不必输入,当使用N T P进行系统时钟同步时,路由器将自动产生这条命令。
——ntp disable: 这条接口命令使特定接口不接收N T P包。
——ntp master: 这条全局命令用来配置路由器为N T P主时钟,只有当没有可用的外部N T P源或者为测试用途才使用该命令。
——ntp peer: 该全局命令使路由器的系统时钟与其对等体的时钟同步(或对对等体的时钟进行同步)。
——ntp server: 该全局命令使路由器的系统时钟由时间服务器进行同步。
——ntp source: 该全局命令强制路由器在其N T P包中使用特定的源地址。
——ntp trusted-key: 该全局命令用于确认路由器的特定身份验证键值。
——ntp update-calendar: 该全局命令使N T P周期性地更新Cisco7XXX 系列路由器的日历。
——show ntp status: 是一执行模式命令,用于显示路由器的N T P信息,它可以表明该路由器是通过N T P对等体进行时钟同步还是通过N T P服务器进行同步。
——show ntp association[detail]: 这条执行模式命令显示与N T P有关的信息,如*询周期等。
Router(config)#ntp max-associations 30 //限制路由器可以接受的NTP Peers的数目
Router(config)#ntp access-group peer 88
Router(config)#ntp access-group serve-only 99
//只允许内部时钟从ACL88定义的服务器中获得同步,同时只有ACL99定义的两个网段的客户端可以从本设备请求时间信息
query-only:允许从列出的IP地址发出NTP控制查询。控制查询用在监视NTP进程的SNMP网络管理工作站。
serve-only:允许访问控制列表上的IP地址请求事件,路由器不向远程系统同步时间。
serve:允许时间请求和控制查询,路由器同样不向远程系统同步时间。
peer:允许时请求和控制查询,并且允许路由器从远程系统同步时间。
Router2(config)#ntp logging //记录重要的NTP事件
Router2#show logging | include NTP
clock timezone PST -8
clock summer-time PST recuring 2 Sun Mar 2:00 1 Sun Nov 2:00 //夏令时的时间是从3月第二个周日的2:00AM到11月第一个周日的2:00AM( 使用太平洋时区)
R3*
ntp authentication -key 1 md5 cisco
ntp authenticate
ntp master 2 //指明自己是服务器
ntp soure-interface loopback 0
R4*
ntp authentication-key 1 md5 cisco
ntp authenticate
ntp trust-key 1 //只有客户端要信任
ntp server Y.Y.3.3 key 1 source loopback 0 //请求NTP服务器在更新中携带密码
端口安全
interface range f0/11 -15
switchport mode access
switchport access vlan 44
switchportport -security mac-address sticky
switchport port -security maximum 2
switchport port -security violation restrict
switchport port –security
SSH
username rackYY privilege 15 passwordcisco
access-list 10 permit host Y.Y.2.2
line vty 0 x
transport input ssh
login local
access-class 10 in
ip domain name ccie.cisco.com
crypto key generate rsa
STP
spanning -tree vlan 56 forward -time 6 //配置VLAN 56的ports from upto forward 的时间为6秒
spanning -tree uplinkfast
spanning -tree vlan 11,13,15,201,203,801root primary
spanning -tree portfast bpduguard default
banner
banner motd @
Enter TEXT message. End with thecharacter “@”
SWITCH IS UNDER CONFIGURATION
PLEASE CONTACT HELP-DESK FOR ANY ASSISTANCT.
@
DRP(DirectorResponse Protocol)
用户在请求服务器数据的时候,可能无法定位与自己最近的服务器,那么这个时候可能需要在网络里放置导向器,导向器的功能就是将用户的请求信息重新定位(重定向)到与之最近的服务器。所以导向器要能够查讯网络里路由器上的BGP和IGP路由信息,这就需要路由器提供支持,如果路由器能够完全提供这种路由信息的支持,就必须配置成DRP Server Agent(DRP服务器代理)。
路由器要成为服务器代理,必须满足以下要求:
1.必须在拓朴上和导向器是邻近的且路由上是可达的。
2.应该具有全网的路由信息,IGP和BGP都不能少,须保证自己全网可达。
3.保证能够访问所有导向器。
1.打DRP agent.
r1(config)#ip drp server
2.写ACL允许哪些能访问
(1)定义ACL
r1(config)#access-list 10 permit10.1.1.1
(2)加上ACL:
r1(config)#ip drp access-group 10 //只允许10.1.1.1使用DRP 代理
3.使用认证以提供安全:
(1)定义Key Chain
r1(config)#key chain ccie
r1(config-keychain)#key 1
r1(config-keychain-key)#key-stringcisco
r1(config-keychain-key)#exit
r1(config-keychain)#exit
(2)使用认证
r1(config)#ip drp authenticationkey-chain ccie
4.查看结果:
r1#sh ip drp
WCCP
WCCP的工作原理为每当用户访问一个页面时,WCCP就将这些页面进行缓存保留,当用户下次请求网页数据时,路由器将用户的请求发到引擎,如果缓存中有相同网页的备份,则直接从缓存中发给用户,提高速度;但是如果没有,就自己重新请求远程网页,然后再发给用户。
1.开启WCCP:
(1)启用WCCP:
Router(config)# ip wccp web-cache
ip wccp web-cache group-address 224.1.1.100 passwordalaska1
(2)开启WCCP ver2
(共两个版本,默认为ver2)
router(config)#ip wccp version 2
(3)在接口上启用:
Router(config)# interface f0/0
Router(config-if)# ip wccpweb-cache redirect out
注:在f0/0接口的out方向启用,表明用户接在f0/0上,路由器只将从网站服务器发回的数
据从f0/0发给用户时,才会缓存。
(4)限制WCCP缓存哪些WEB服务器过来的数据包(可选配置):
例:比如只接收服务器10.1.1.1(即ACL10过来的数据)发来的数据:
router(config)# access-list 10permit host 10.1.1.1
router(config)# ip wccp web-cachegroup-list 10
//notify the router which IP addresses are validaddresses for a cache engine attempting to regi ster with the current router
(5)限制到哪些主机或哪些服务器的不被缓存(可选配置):
例:从服务器发回到目标主机192.168.196.51的不缓存,其它全部缓存
Router(config)# access-list 100deny ip any host 192.168.196.51
Router(config)# access-list 100permit ip any any
Router(config)# ip wccp web-cache redirect-list100
SNMP
(config) # snmp-server community cisco
(config) # snmp-server host 150.1.YY.252cisco tty
(config) # snmp-server enable traps tty // trap TCP
Router(config)# snmp-server system-shutdown // Enables system shutdown using the SNMPmessage reload feature
Time Ranged ACL
(config) # time-range WorkTime
(config-time-range)# periodic weekdays 8:00to 18:00
(config) # ip access-list extended HTTP
(config-ex) # deny tcp Y.Y.56.0 0.0.0.255any eq www time -range WorkTime
(config-ex) # permit ip any any
(config)# interface G0/0/1
(config-p-map)# ip access-group HTTP in
CAR
(config)# ip cef * With CAR, CEF should be enabled
(config)# access-list 100 permit icmp anyany echo
(config)# access-list 100 permit icmp anyany echo-reply
(config)# interface s0/0/0
(config-if) # rate-limit input access-group 100 256000 8000 8000
conform-action transmit exceed-action drop
IP SLA
ip sla monitor 1 //新版命令没有monitor
type tcpconnect dest -addr Y.Y.1.1 dest-port 23 source-ipaddrY.Y.254.4
frequency 3600
ip sla monitor schedule 1 start-time nowlife forever
R1*
ip sla monitor responder
acl匹配IP优先级
access-list 100 permit ip any anyprecedence routine //ip优先级0
Access Levels
enable secret level 5 cisco5
privilege exec level 5 undebug all
privilege exec level 5 ping
privilege exec level 5 write memory
privilege exec level 5 configure terminal
privilege configure level 5 interface
privilege interface levle 5 ip address
privilege exec level 1 show run
privilege exec level 1 write terminal
SYSLOG
logging on
logging trap critical
logging host 150.2.Y.254
logging facility local6 // The SYSLOG daemon is expecting you to usethe LOCAL6 facility
Dynamic Access
username ccie pass cisco
username ccie autocommand access-enable host time2 //如果2分钟没有动作,就会中断会话,autocommand,就是执行完,立刻中断telnet
username joe autocommand show ip bgp summary //telnet上去看到show ip bgp summary后断开
line vty 0 x
login local
access-list 100 permit tcp Y.Y.13.00.0.0.255 host Y.Y.13.4 eq telnet
access-list 100 dynamic T timeout 10 permit tcp Y.Y.13.0 0.0.0.255 Y.Y.0.0
0.0.255.255 eq telnet //如果telnet到这台设备成功自动生成此条ACL,绝对有效时间10分钟 ,但如果2分钟没有流量则条目消失
access-list 100 deny tcp Y.Y.13.0 0.0.0.255Y.Y.0.0 0.0.255.255 eq telnet
icmp
(config)# ip icmp rate-limit unreachable1000 //限制发送ICMP不可达消息的时间间隔
traffic-shape
(config)# access-list 100 permit tcp eq wwwany Y.Y.20.0 0.0.0.255
(config)# interface F0/1 (22.2 /24)
(config-if)# traffic-shapegroup 100 10000000 //限制最大流量10M
Control Plane Policy
对来自源Y.Y.2.2, Y.Y.5.5的telnet数据包没有控制, 要求其他telnet数据包police 60Kbps以内, 超过的就丢弃:
(config)# access-list 110 deny tcp hostY.Y.2.2 any eq telnet
(config)# access-list 110 deny tcp hostY.Y.5.5 any eq telnet
(config)# access-list 110 permit tcp anyany eq telnet
(config)# class -map match-all Telnet
(config-cmap)# match access-group 110
(config)# policy-map PT
(config-pmap)# class Telnet
(config-cmap-class )# police 60000 confirm-action transmit exceed-action
drop
(config)# control-plance
(config-cp)# service-policy input PT
IRDP(ICMP Router DiscoveryProtocol)
R5*
interface G0/0
ipirdp
ipirdp precedence -2147483648
R6*
interface G0/0
ipirdp
ipirdp precedence 2147483647
SLB(Server Load Balancing)
可以看作HSRP(热备份路由器协议)的扩展,实现多个服务器之间的负载均衡。
客户端向虚拟服务器发起连接时,通过某种负载均衡算法,转发到某真实服务器。
负载均衡算法有两种:
Weightedround robin(WRR)和Weighted least connections(WLC),
WRR使用加权轮询算法分配连接,WLC通过一定的权值,将下一个连接分配给活动连接数少的服务器
配置分为两部分,
第一部分是使用slbserverfarm serverfarm_name命令定义SLB选项,包括指定真实服务器地址;
第二部分是使用ipslb vserver virtual_server-name来指定虚拟服务器地址。
router#configt
router(config)#ipslb serverfarm http(名称)
router(config-slb-sfarm)#real192.168.1.1
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#real192.168.1.2
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#exit
router(config)#ipslb vserver vserver1
router(config-slb-vserver)#vitual10.1.1.1 TCP(协议) 80 (端口)
router(config-slb-vserver)#serverfarmhttp(名称)
router(config-slb-vserver)#inservice
IOS防火墙(基于状态)
规则:
默认情况不同安全区域的不能互相访问,在安全区域中的主机也不能访问不在任何安全区域的主机,都不在任何安全区域中的主机之间可以互相访问
配置:
1. 分类:
class-map typeinspect telnet //定义流量类别,注意比QOS多了type inspect
match protocol telnet
match access-group 100
match class-map a
parameter-maptype inspect tcp-parameter //定义参数类别
tcp idle-time 30 //超时30s断开
2. 定义策略:
policy-may typeinspect in_to_out_policy
class type inspect telnet
inspect tcp-parameter //对class-map telnet类别的行为是inspect,除此之外还有pass和drop,同时应用parameter-maptcp-parameter,即TCP超时时间为30s
3. 定义区域:zonesecurity in
zone security out
4. 把接口划入区域:
int f1/0
zone-membersecurity in
int f1/1
zone-membersecurity out
5. 定义区域对并应用策略:
zone-pairsecurity in_to_out source in destinationout
service-policy type inspect in_to_out_policy
6. 验证:
showpolicy-map/class-map type inspect
debug policy-maptype inspect
IP Traffic Export (Router上类似于SW上SPAN的技术)
限制:
1.接收数据的设备必须和router的导出流量的outbound口处于同一vlan或直连网段
2.导出流量的outbound接口必须是以太网口
优点:
1.能够使用ACL拷贝数据包
2.可以取样拷贝数据包(比如10个包取1个)
3.可以配置双向数据都导出(默认入数据导出)
简单配置:
(config)#ip traffic-export profile test
(config-rite)#bidirectional //抓取入方向和出方向的包(没有这条命令默认入方向)
(config-rite)#incoming access-list income_acl //抓取入方向感兴趣的流量
(config-rite)#outgoing access-list outgoing _acl //抓取出方向感兴趣的流量
(config-rite)# incoming sample one-in-every 2 //取样,进入的流量每两个取一个
(config-rite)# incoming sample one-in-every 2 //取样,出方向的流量每两个取一个
(config-rite)#interface FastEthernet1/0 //配置流量导出的接口(不用IP,no shut即可)
(config-rite)#mac-address 0200.4c4f.4f50 //配置要导出到的接收设备的MAC地址
int f0/0 //要抓取流量的地址
ip traffic-export apply test //应用traffic-export,默认入方向
查看:
show ip traffice-export
FTPserver
配置:
ftp-server enable //开启ftp服务器
ftp-server topdir 路径 //允许客户读取什么文件
TFTP server
tftp-server路径
HTTPS
hostname cisco
ip domain-name cisco.com
crypto key generate rsa
ip http secure-server //开启https
ip http secure-port //修改https端口号
本文出自 “flyclc” 博客,请务必保留此出处http://flyclc.blog.51cto.com/1385758/1539403