IPv6
c
R1(config-if-GigabitEthernet 0/0)#ipv6 ad 2001:10:3:1::1/64
R1(config-if-GigabitEthernet 0/0)#ipv6 enable
链路聚合
S1,S2的两条互联链路(G0/7,G0/8),启用二层聚合,采用LACP动态聚合模式
c
S1:
S2(config)#interface aggregatePort 1
S2(config-if-AggregatePort 1)#switchport mode trunk
S2(config-if-AggregatePort 1)#switchport trunk allowed vlan only 10,20,100
S2(config-if-AggregatePort 1)#int r g 0/7-8
S2(config-if-range)#port-group 1 mode active
S1:
S1(config)#interface aggregatePort 1
S1(config-if-AggregatePort 1)#switchport mode trunk
S1(config-if-AggregatePort 1)#switchport trunk allowed vlan only 10,20,100
S1(config-if-AggregatePort 1)#int r g 0/7-8
S1(config-if-range)#port-group 1 mode active
端口保护
局域网接入设备启用安全优化功能,控制局域网二层广播传播范围;限制接入层终端设备间广播交互
c
//端口保护适用于同一台交换机下需要进行用户二层隔离的场景,比如不允许同一个vlan内的用户互访,必须完全隔离,防止病毒扩散攻击等
c
S3:
S3(config)#int range g 0/2-20
S3(config-if-range)#switchport protected
S4:
S4(config)#int range g 0/2-20
S4(config-if-range)#switchport protected
环路保护
局域网接入设备启用环路功能优化,避免不同设备间,同一设备不同端口,同一设备单一端口下的多种环路现象;检测到环路后处理方式为Shutdown-port
c
S3:
S3(config)#rldp enable //开启rldp
S3(config)#int range g 0/1-20
S3(config-if-range)#spanning-tree portfast //设置边缘端口
S3(config-if-range)#spanning-tree bpduguard enable //开启bpdu保护,边缘端口收到bpdu后会被error-down但是边缘端口属性不变
S3(config-if-range)#rldp port loop-detect shutdown-port //开启环路保护,处理方式是shutdown-port
S3(config-if-range)#errdisable recovery interval 300 //当出现error-down状态后,300秒后自动恢复
S4:
S4(config)#rldp enable //开启rldp
S4(config)#int range g 0/1-20
S4(config-if-range)#spanning-tree portfast //设置边缘端口
S4(config-if-range)#spanning-tree bpduguard enable //开启bpdu保护,边缘端口收到bpdu后会被error-down但是边缘端口属性不变
S4(config-if-range)#rldp port loop-detect shutdown-port //开启环路保护,处理方式是shutdown-port
S4(config-if-range)#errdisable recovery interval 300 //当出现error-down状态后,300秒后自动恢复
VRRP
北京总部启用VRRP功能实现网关冗余备份的目的,其中S1为主设备,优先级为255;S2为备设备,优先级为100
c
S1:
S1(config)#interface vlan 10
S1(config-if-VLAN 10)#vrrp 10 ip 172.16.1.1
S1(config)#interface vlan 20
S1(config-if-VLAN 20)#vrrp 20 ip 172.16.1.254
S1(config-if-VLAN 20)#vrrp 20 ipv6 FE80::1 //ipv6 vrrp 第一个需要设置链路本地地址
S1(config-if-VLAN 20)#vrrp 20 ipv6 2002:1001:1001::254 //虚拟ip为自身,优先级255
S1(config)#interface vlan 100
S1(config-if-VLAN 100)#vrrp 100 ip 172.16.100.254 //设置为自身ip优先级会变为255
S2:
S2(config)#interface vlan 10
S2(config-if-VLAN 10)#vrrp 10 ip 172.16.1.1
S2(config)#interface vlan 20
S2(config-if-VLAN 20)#vrrp 20 ip 172.16.1.254
S1(config-if-VLAN 20)#vrrp 20 ipv6 FE80::1 //ipv6 vrrp 第一个需要设置链路本地地址
S1(config-if-VLAN 20)#vrrp 20 ipv6 2002:1001:1001::254
S2(config)#interface vlan 100
S2(config-if-VLAN 100)#vrrp 100 ip 172.16.100.254 //默认优先级就是100
DHCP
总部R1与分部R2,R3上启用DHCP,为局域网vlan10,vlan20终端自动分配地址
c
R1:
R1(config)#service dhcp
R1(config)#ip dhcp pool ap
R1(dhcp-config)#netw
R1(dhcp-config)#network 172.16.1.0 255.255.255.128
R1(dhcp-config)#option 138 ip 172.16.100.1 172.16.100.2
R1(dhcp-config)#default-rou 172.16.1.1
R1(config)#ip dhcp pool wx
R1(dhcp-config)#netw
R1(dhcp-config)#network 172.16.1.128 255.255.255.128
R1(dhcp-config)#default-router 172.16.1.254
R2:
R2(config)#service dhcp
R2(config)#ip dhcp pool ap
R2(dhcp-config)#netw
R2(dhcp-config)#network 172.16.2.0 255.255.255.128
R2(dhcp-config)#option 138 ip 172.16.100.1 172.16.100.2
R2(dhcp-config)#default-rou 172.16.2.1
R2(config)#ip dhcp pool wx
R2(dhcp-config)#netw
R2(dhcp-config)#network 172.16.2.128 255.255.255.128
R2(dhcp-config)#default-router 172.16.2.
R3:
R3(config)#service dhcp
R3(config)#ip dhcp pool ap
R3(dhcp-config)#netw
R3(dhcp-config)#network 172.16.3.0 255.255.255.128
R3(dhcp-config)#option 138 ip 172.16.100.1 172.16.100.2
R3(dhcp-config)#default-rou 172.16.3.1
R3(config)#ip dhcp pool wx
R3(dhcp-config)#netw
R3(dhcp-config)#network 172.16.3.128 255.255.255.128
R3(dhcp-config)#default-router 172.16.3.254
DHCP relay
c
S1:
S1(config)#service dhcp //开启DHCP服务
S1(config)#ip helper-address 10.10.10.10 //指定DHCP的中继地址为10.10.10.10,loopback口稳定
S2:
S2(config)#service dhcp //开启DHCP服务
S2(config)#ip helper-address 10.10.10.10 //指定DHCP的中继地址为10.10.10.10,loopback口稳定
DHCP安全防护
总部局域网内启用DHCP啊去防护机制,通过硬件IP/MAC表项项过滤匹配,保证动态环境下网络及终端主机安全
分部局域网内启用DHCP安全防护机制,避免动态环境下用户私设IP地址
c
//DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将用户DHCP获取到的,正确的IP与MAC信息记录到交换机的DHCP Snooping软件表;然后通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络
c
S4:
S4(config)#ip dhcp snooping //开启DHCP snooping功能,监听DHCP地址,还可以防止用户伪造DHCP服务器,避免用户获取错误的地址
S4(config)#interface range gigabitEthernet 0/23-24
S4(config-if-range)#ip dhcp snooping trust //开启DHCP snooping的交换机所有接口缺省为untrust口,交换机只转发trust口收到的DHCP响应报文(offer,ack)
S4(config)#interface range gigabitEthernet 0/1-20
S4(config-if-range)#ip verify source port-security //开启源IP+MAC的保温检测,将DHCP snooping形成的snooping表写入地址绑定数据库中
S4(config-if-range)#arp-check //开启后,对于接口收到的arp报文会检测ARP报文字段里面的源IP和源MAC,与地址库中的IP及MAC进行匹配,如果匹配将放行,否则丢弃ARP报文
S5:
S5(config)#ip dhcp snooping
S5(config)#interface range gigabitEthernet 0/23-24
S5(config-if-range)#ip dhcp snooping trust
S5(config)#interface range gigabitEthernet 0/1-20
S5(config-if-range)#ip verify source port-security
S5(config-if-range)#arp-check
R2:
R2(config)#ip dhcp snooping
R2(config)#interface range gigabitEthernet 1/1
R2(config-if-range)#ip verify source port-security
R3:
R3(config)#ip dhcp snooping
R3(config)#interface range gigabitEthernet 1/1
R3(config-if-range)#ip verify source port-security
运营商OSPF
联通运营商S5/S6/S7骨干网设备间启用OSPF路由协议,进程号10,区域号0
联通运营商只维护宽带业务与专线业务网段,对于客户私有网段不做转发
c
S5:
S5(config)#int tenGigabitEthernet 0/27
S5(config-if-TenGigabitEthernet 0/27)#ip ospf network point-to-point //网络类型为点对点链路
S5(config)#router ospf 10 //开启OSPF进程
S5(config-router)#router-id 10.10.10.5 //设置router-id
S5(config-router)#network 56.1.1.0 0.0.0.3 a 0
S5(config-router)#redistribute connected metric-type 1 subnets //重分布直连网段以type 1 的方式重分布
S7:
S7(config)#router ospf 10 //开启OSPF进程
S7(config-router)#router-id 10.10.10.7 //设置router-id
S7(config-router)#network 67.1.1.0 0.0.0.3 a 0
S7(config-router)#redistribute connected metric-type 1 subnets //重分布直连网段以type 1 的方式重分布
S6:
S6(config)#router ospf 10 //开启OSPF进程
S6(config-router)#router-id 10.10.10.6 //设置router-id
S6(config-router)#network 56.1.1.0 0.0.0.3 a 0
S6(config-router)#network 67.1.1.0 0.0.0.3 a 0
S6(config-router)#redistribute connected metric-type 1 subnets //重分布直连网段以type 1 的方式重分布
GRE
总部R1,与分部R2,R3上启用点对多点GRE隧道,隧道IP地址段为10.5.1.0/24
c
R1:
R1(config)#ip route 25.1.1.0 255.255.255.252 17.1.1.1
R1(config)#ip route 37.1.1.0 255.255.255.252 17.1.1.1
R1(config)#int tunnel 0
R1(config-if-Tunnel 0)#tunnel mode gre multipoint //将tunnel口设置为gre点对多点模式
R1(config-if-Tunnel 0)#tunnel source GigabitEthernet 0/2 //源为接口g0/2
R1(config-if-Tunnel 0)#ip nhrp network-id 100 //设置GRE子接口的NBMA网络识别符为100
R1(config-if-Tunnel 0)#ip nhrp map multicast dynamic //创建伪广播
R1(config-if-Tunnel 0)#ip ospf network broadcast //设置ospf网络类型为MA网络
R2:
R2(config)#ip route 17.1.1.0 255.255.255.252 25.1.1.1
R2(config)#int tunnel 0
R2(config-if-Tunnel 0)#ip ospf priority 0 //放弃DR选举
R2(config-if-Tunnel 0)#ip nhrp map multicast 17.1.1.2 //开启伪广播,让分支可以以组播或广播地址为目标
R2(config-if-Tunnel 0)#tunnel mode gre multipoint //将tunnel口设置为gre点对多点模式
R2(config-if-Tunnel 0)#tunnel source GigabitEthernet 0/2 //源为接口g0/2
R2(config-if-Tunnel 0)#ip nhrp nhs 10.5.1.1 //设置GRE子接口的下一跳服务器IP地址
R2(config-if-Tunnel 0)#ip nhrp network-id 100 //设置GRE子接口的NBMA网络识别符为100
R2(config-if-Tunnel 0)#ip nhrp map 10.5.1.1 17.1.1.2 //在子接口上绑定对端ip与公网ip
R2(config-if-Tunnel 0)#ip ospf network broadcast //设置ospf网络类型为MA网络
R3:
R3(config)#ip route 17.1.1.0 255.255.255.252 37.1.1.1
R3(config)#int tunnel 0
R3(config-if-Tunnel 0)#ip ospf priority 0 //放弃DR选举
R2(config-if-Tunnel 0)#ip nhrp map multicast 17.1.1.2 //开启伪广播,让分支可以以组播或广播地址为目标
R3(config-if-Tunnel 0)#tunnel mode gre multipoint //将tunnel口设置为gre点对多点模式
R3(config-if-Tunnel 0)#tunnel source GigabitEthernet 0/2 //源为接口g0/2
R3(config-if-Tunnel 0)#ip nhrp nhs 10.5.1.1 //设置GRE子接口的下一跳服务器IP地址
R3(config-if-Tunnel 0)#ip nhrp network-id 100 //设置GRE子接口的NBMA网络识别符为100
R3(config-if-Tunnel 0)#ip nhrp map 10.5.1.1 17.1.1.2 //在子接口上绑定对端ip与公网ip
R3(config-if-Tunnel 0)#ip ospf network broadcast //设置ospf网络类型为MA网络
OSPF
GRE隧道内运行OSPF协议,实现总部与分部,分部与分部间局域网互联互通。其中总部S1/S2/EG1/EG2/R1局域网内启用OSPF路由协议,进程号为11,区域为0;广州分部R2局域网内启用OSPF路由协议,进程号为12,区域0;上海分部R3局域网内启用OSPF路由协议,进程号13,区域0
c
S1:
S1(config)#router ospf 11
S1(config-router)#router-id 10.10.10.100
S1(config-router)#passive-interface VLAN 10
S1(config-router)#passive-interface VLAN 20
S1(config-router)#network 10.1.1.0 0.0.0.3 area 0
S1(config-router)#network 10.3.1.0 0.0.0.3 area 0
S1(config-router)#network 10.10.10.100 0.0.0.0 area 0
S1(config-router)#network 172.16.1.0 0.0.0.127 area 0
S1(config-router)#network 172.16.1.128 0.0.0.127 area 0
S1(config-router)#network 172.16.100.0 0.0.0.255 area 0
S2:
S2(config)#ip access-list standard 10 //写ACL匹配路由条目
S2(config-std-nacl)#10 permit 172.16.1.0 0.0.0.255
S2(config-std-nacl)#exit
S2(config)#router ospf 11
S2(config-router)#router-id 10.10.10.200
S2(config-router)#passive-interface VLAN 10
S2(config-router)#passive-interface VLAN 20
S2(config-router)#network 10.2.1.0 0.0.0.3 area 0
S2(config-router)#network 10.4.1.0 0.0.0.3 area 0
S2(config-router)#network 10.10.10.200 0.0.0.0 area 0
S2(config-router)#network 172.16.100.0 0.0.0.255 area 0
S2(config-router)#distribute-list 10 out connected //把直连路由重分布进ospf的时候做路由过滤
S2(config-router)#summary-address 172.16.1.0 255.255.255.0 //引入LSA5的路由汇总信息
S2(config-router)#redistribute connected metric-type 1 subnets //重分布直连网络type1的方式
EG2:
EG2(config)#ip access-list standard 10
EG2(config-std-nacl)#10 permit 20.10.10.0 0.0.0.255
EG2(config-std-nacl)#exit
EG2(config)#ip route 20.10.10.5 255.255.255.255 26.1.1.1
EG2(config)#ip route 20.10.10.6 255.255.255.255 26.1.1.1
EG2(config)#router ospf 11
EG2(config-router)#router-id 10.10.10.2
EG2(config-router)#network 10.2.1.0 0.0.0.3 area 0
EG2(config-router)#network 10.10.10.2 0.0.0.0 area 0
EG2(config-router)#distribute-list 10 out connected
EG2(config-router)#summary-address 20.10.10.0 255.255.255.0
EG2(config-router)#redistribute static metric-type 1 subnets
EG1:
EG1(config)#ip route 20.10.10.5 255.255.255.255 15.1.1.1
EG1(config)#ip route 20.10.10.6 255.255.255.255 15.1.1.1
EG1(config)#router ospf 11
EG1(config-router)#router-id 10.10.10.1
EG1(config-router)#network 10.1.1.0 0.0.0.3 area 0
EG1(config-router)#network 10.10.10.1 0.0.0.0 area 0
EG1(config-router)#redistribute static metric-type 1 subnets
R1:
R1(config)#router ospf 11
R1(config-router)#router-id 10.10.10.10
R1(config-router)#network 10.5.1.0 0.0.0.255 area 0
R1(config-router)#network 10.3.1.0 0.0.0.3 area 0
R1(config-router)#network 10.4.1.0 0.0.0.3 area 0
R1(config-router)#network 10.10.10.10 0.0.0.0 area 0
R2:
R2(config)#ip access-list standard 10 //写ACL匹配路由条目
R2(config-std-nacl)#10 permit 172.16.2.0 0.0.0.255
R2(config-std-nacl)#20 permit host 10.10.10.20
R2(config-std-nacl)#exit
R2(config)#router ospf 12
R2(config-router)#router-id 10.10.10.20
R2(config-router)#network 10.5.1.0 0.0.0.255 a 0
R2(config-router)#passive-interface VLAN 10
R2(config-router)#passive-interface VLAN 20
R2(config-router)#distribute-list 10 out connected //把直连路由重分布进ospf的时候做路由过滤
R2(config-router)#summary-address 172.16.2.0 255.255.255.0 //引入LSA5的路由汇总信息
R2(config-router)#redistribute connected metric-type 1 subnets //重分布直连网络type2的方式
//R3跟R2要拒绝172.16.1.0 172.16.1.128网段的5类LSA注入
R3:
R3(config)#ip access-list standard 10 //写ACL匹配路由条目
R3(config-std-nacl)#10 permit 172.16.3.0 0.0.0.255
R3(config-std-nacl)#20 permit host 10.10.10.30
R3(config-std-nacl)#exit
R3(config)#router ospf 13
R3(config-router)#router-id 10.10.10.30
R3(config-router)#network 10.5.1.0 0.0.0.255 a 0
R3(config-router)#passive-interface VLAN 10
R3(config-router)#passive-interface VLAN 20
R3(config-router)#distribute-list 10 out connected //把直连路由重分布进ospf的时候做路由过滤
R3(config-router)#summary-address 172.16.3.0 255.255.255.0 //引入LSA5的路由汇总信息
R3(config-router)#redistribute connected metric-type 1 subnets //重分布直连网络type2的方式
IPSEC VPN
启用ipsec vpn加密GRE隧道流量,对总部与分部,分部与分部间业务数据进行保护,规避报文分片导致的设备性能消耗,调整IPSEC隧道封装模式减小报文长度
c
R3:
R3(config)#crypto isakmp policy 1 //创建新的isakmp策略
R3(isakmp-policy)#encryption 3des //指定使用3des进行加密
R3(isakmp-policy)#authentication pre-share //指定认证方式为"预共享密钥",用的最多
R3(isakmp-policy)#hash md5 //认证hash算法采用md5认证
R3(isakmp-policy)#exit
R3(config)#crypto isakmp key 7 123456 address 0.0.0.0 0.0.0.0 //配置预共享密钥。指定peer任意的预共享密钥为"123456"该密钥与总部上指定该分支的密钥一致,如果使用数字证书/信封认证无需配置
R3(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac //配置ipsec加密转换集,名字为myset,没有指定就写R1一致的
R3(cfg-crypto-trans)#mode transport //指定隧道模式为传输模式
R3(config)#crypto isakmp keepalive 5 periodic //配置ipsec DPD探测功能,超过配置的时间后回主动发送DPD消息,最大重传5次
R3(config)#ip access-list extended 101
R3(config-ext-nacl)#permit ip 10 permit ip host 37.1.1.2 host 17.1.1.2
R3(config-ext-nacl)#permit ip 20 permit ip host 37.1.1.2 host 25.1.1.2 //需要访问ac不然,
R3(config-ext-nacl)#exit
R3(config)#crypto map mymap 10 ipsec-isakmp //新建名称为"mymap"的加密图
R3(config-crypto-map)#set peer 25.1.1.2 //指定peer地址
R3(config-crypto-map)#set peer 17.1.1.2 //指定peer地址
R3(config-crypto-map)#set transform-set myset //指定加密转换集"myset"
R3(config-crypto-map)#match address 101 //匹配感兴趣流ACL101
R3(config-crypto-map)#exit
R3(config)#int g 0/2
R3(config-if-gigabitethernet 0/2)#crypto map mymap //将加密图应用到接口
R1:
R1(config)#crypto isakmp policy 1 //创建新的isakmp策略
R1(isakmp-policy)#encryption 3des //指定使用3des进行加密
R1(isakmp-policy)#authentication pre-share //指定认证方式为"预共享密钥",用的最多
R1(isakmp-policy)#hash md5 //认证hash算法采用md5认证
R1(isakmp-policy)#exit
R1(config)#crypto isakmp key 7 123456 address 0.0.0.0 0.0.0.0 //配置预共享密钥。指定peer任意的预共享密钥为"123456"该密钥与总部上指定该分支的密钥一致,如果使用数字证书/信封认证无需配置
R1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac //配置ipsec加密转换集,名字为myset,没有指定就写R1一致的
R1(cfg-crypto-trans)#mode transport //指定隧道模式为传输模式
R1(config)#crypto isakmp keepalive 5 periodic //配置ipsec DPD探测功能,超过配置的时间后回主动发送DPD消息,最大重传5次
R1(config)#ip access-list extended 101
R1(config-ext-nacl)#permit ip 10 permit ip host 17.1.1.2 host 37.1.1.2
R1(config-ext-nacl)#permit ip 20 permit ip host 17.1.1.2 host 25.1.1.2 //需要访问ac不然,
R1(config-ext-nacl)#exit
R1(config)#crypto map mymap 10 ipsec-isakmp //新建名称为"mymap"的加密图
R1(config-crypto-map)#set peer 25.1.1.2 //指定peer地址
R1(config-crypto-map)#set peer 37.1.1.2 //指定peer地址
R1(config-crypto-map)#set transform-set myset //指定加密转换集"myset"
R1(config-crypto-map)#match address 101 //匹配感兴趣流ACL101
R1(config-crypto-map)#exit
R1(config)#int g 0/2
R1(config-if-gigabitethernet 0/2)#crypto map mymap //将加密图应用到接口
R2:
R2(config)#crypto isakmp policy 1 //创建新的isakmp策略
R2(isakmp-policy)#encryption 3des //指定使用3des进行加密
R2(isakmp-policy)#authentication pre-share //指定认证方式为"预共享密钥",用的最多
R2(isakmp-policy)#hash md5 //认证hash算法采用md5认证
R2(isakmp-policy)#exit
R2(config)#crypto isakmp key 7 123456 address 0.0.0.0 0.0.0.0 //配置预共享密钥。指定peer任意的预共享密钥为"123456"该密钥与总部上指定该分支的密钥一致,如果使用数字证书/信封认证无需配置
R2(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac //配置ipsec加密转换集,名字为myset,没有指定就写R1一致的
R2(cfg-crypto-trans)#mode transport //指定隧道模式为传输模式
R2(config)#crypto isakmp keepalive 5 periodic //配置ipsec DPD探测功能,超过配置的时间后回主动发送DPD消息,最大重传5次
R2(config)#ip access-list extended 101
R2(config-ext-nacl)#permit ip 10 permit ip host 25.1.1.2 host 37.1.1.2
R2(config-ext-nacl)#permit ip 20 permit ip host 25.1.1.2 host 17.1.1.2 //需要访问ac不然,
R2(config-ext-nacl)#exit
R2(config)#crypto map mymap 10 ipsec-isakmp //新建名称为"mymap"的加密图
R2(config-crypto-map)#set peer 17.1.1.2 //指定peer地址
R2(config-crypto-map)#set peer 37.1.1.2 //指定peer地址
R2(config-crypto-map)#set transform-set myset //指定加密转换集"myset"
R2(config-crypto-map)#match address 101 //匹配感兴趣流ACL101
R2(config-crypto-map)#exit
R2(config)#int g 0/2
R2(config-if-gigabitethernet 0/2)#crypto map mymap //将加密图应用到接口
IPv6
c
R3:
R3(config)#interface Tunnel 1
R3(config-if-Tunnel 0)#tunnel mode ipv6ip 6to4 //接口下指定隧道的类型为6to4隧道
R3(config-if-Tunnel 0)#tunnel source GigabitEthernet 0/2
R3(config-if-Tunnel 0)#ipv6 enable
R3(config)#ipv6 route 2002:1901:102::/64 Tunnel 1 //配置通往对端6to4网段的路由
R3(config)#ipv6 route 2002:1101:102::/64 Tunnel 1 //配置通往对端6to4网段的路由
R2:
R2(config)#interface Tunnel 1
R2(config-if-Tunnel 0)#tunnel mode ipv6ip 6to4 //接口下指定隧道的类型为6to4隧道
R2(config-if-Tunnel 0)#tunnel source GigabitEthernet 0/2
R2(config-if-Tunnel 0)#ipv6 enable
R2(config)#ipv6 route 2002:2501:102::/64 Tunnel 1 //配置通往对端6to4网段的路由
R2(config)#ipv6 route 2002:1101:102::/64 Tunnel 1 //配置通往对端6to4网段的路由
R1:
R1(config)#interface Tunnel 1
R1(config-if-Tunnel 0)#tunnel mode ipv6ip 6to4 //接口下指定隧道的类型为6to4隧道
R1(config-if-Tunnel 0)#tunnel source GigabitEthernet 0/2
R1(config-if-Tunnel 0)#ipv6 enable
R1(config)#ipv6 route 2002:2501:102::/64 Tunnel 1 //配置通往对端6to4网段的路由
R1(config)#ipv6 route 2002:1901:102::/64 Tunnel 1 //配置通往对端6to4网段的路由
R1(config)#ipv6 router ospf 1
R1(config-router)#router-id 10.10.10.10
R1(config-router)#redistribute static metric-type 1 //重分布静态路由以OE1的方式
R1(config)#interface G 0/1
R1(config-if-G 0/1)#ipv6 ospf cost 10
R1(config-if-G 0/1)#ipv6 ospf 1 area 0
R1(config)#interface G 0/0
R1(config-if-G 0/0)#ipv6 ospf 1 area 0
S1:
S1(config)#ipv6 router ospf 1
S1(config-router)#router-id 10.10.10.100
S1(config)#interface VLAN 20
R1(config-if-vlan 20)#ipv6 ospf 1 area 0
S1(config)#interface G 0/6
R1(config-if-G 6)#ipv6 ospf 1 area 0
S2:
S2(config)#ipv6 router ospf 1
S2(config-router)#router-id 10.10.10.200
S2(config)#interface VLAN 20
R2(config-if-vlan 20)#ipv6 ospf 1 area 0
S2(config)#interface G 0/6
R2(config-if-G 6)#ipv6 ospf 1 area 0
NAT
c
EG1:
EG1(config)#ip access-list extended 110 //扩展acl
EG1(config-ext-nacl)#permit ip 172.16.0.0 0.0.255.255 any
EG1(config-ext-nacl)#exit
EG1(config)#ip nat pool ruijie netmask 255.255.255.252 //配置一个名为ruijie的公网地址池
EG1(config-ipnat-pool)#address 15.1.1.2 15.1.1.2 //地址为接口地址
EG1(config)#ip nat inside source list 110 pool ruijie overload //设置napt 将acl 110匹配的流量,执行NAT转换,转换成g 0/3口的地址 overload参数是执行nat重载的含义,若不加overload是执行动态的ip一对一映射,不会执行端口转换,不能解决公网地址不够的问题。若是在网络出口执行NAT,是为了解决公网地址不够的问题,必须要加overload参数
EG1(config)#interface gigabitEthernet 0/2
EG1(config-gigabitethernet 0/3)#ip nat outside //配置nat的外网口
EG1(config)#interface gigabitEthernet 0/1
EG1(config-gigabitethernet 0/3)#ip nat inside //配置nat的内网口
EG2:
EG2(config)#ip access-list extended 110 //扩展acl
EG2(config-ext-nacl)#permit ip 172.16.0.0 0.0.255.255 any
//要先保证走ike隧道的数据不被nat,最后才允许内网nat访问公网资源
EG2(config-ext-nacl)#exit
EG2(config)#ip nat pool ruijie netmask 255.255.255.252 //配置一个名为ruijie的公网地址池
EG2(config-ipnat-pool)#address 26.1.1.2 26.1.1.2 //地址为接口地址
EG2(config)#ip nat inside source list 110 pool ruijie overload//设置napt 将acl 110匹配的流量,执行NAT转换,转换成g 0/3口的地址 overload参数是执行nat重载的含义,若不加overload是执行动态的ip一对一映射,不会执行端口转换,不能解决公网地址不够的问题。若是在网络出口执行NAT,是为了解决公网地址不够的问题,必须要加overload参数
EG2(config)#interface gigabitEthernet 0/2
EG2(config-gigabitethernet 0/3)#ip nat outside //配置nat的外网口
EG2(config)#interface gigabitEthernet 0/1
EG2(config-gigabitethernet 0/3)#ip nat inside //配置nat的内网口
WLAN
c
!
wlan-config 1 Test-GZ_chen
ssid-code utf-8
tunnel local
!
wlan-config 2 Test-sh_CHEN
ssid-code utf-8
wlan-based per-ap-limit down-streams average-data-rate 800 burst-data-rate 1600
tunnel local
!
wlan-config 3 Test-BJ_chen
ssid-code utf-8
tunnel local
!
ap-group BJ
interface-mapping 3 20 radio 1 ap-wlan-id 1
interface-mapping 3 20 radio 2 ap-wlan-id 1
!
ap-group GZ
interface-mapping 1 20 radio 1 ap-wlan-id 1
interface-mapping 1 20 radio 2 ap-wlan-id 1
!
ap-group SH
interface-mapping 2 20 radio 1 ap-wlan-id 1
interface-mapping 2 20 radio 2 ap-wlan-id 1
!
ap-group default
!
ap-config all
!
ac-controller
capwap ctrl-ip 172.16.100.2
country CN
802.11g network rate 1 disabled
802.11g network rate 2 disabled
802.11g network rate 5 disabled
802.11g network rate 6 supported
802.11g network rate 9 supported
802.11g network rate 11 mandatory
802.11g network rate 12 supported
802.11g network rate 18 supported
802.11g network rate 24 supported
802.11g network rate 36 supported
802.11g network rate 48 supported
802.11g network rate 54 supported
802.11b network rate 1 disabled
802.11b network rate 2 disabled
802.11b network rate 5 disabled
802.11b network rate 11 mandatory
802.11a network rate 6 disabled
802.11a network rate 9 disabled
802.11a network rate 12 mandatory
802.11a network rate 18 supported
802.11a network rate 24 mandatory
802.11a network rate 36 supported
802.11a network rate 48 supported
802.11a network rate 54 supported
!
spanning-tree mode rstp
spanning-tree
!
!
n
wlan hot-backup 172.16.100.1
!
context 10
ap-group BJ
ap-group GZ
ap-group SH
!
!
wlansec 1
security rsn enable
security rsn ciphers aes enable
security rsn akm psk enable
security rsn akm psk set-key ascii 123456789
!
wlansec 2
security rsn enable
security rsn ciphers aes enable
security rsn akm psk enable
security rsn akm psk set-key ascii 123456789
!
wlansec 3
security rsn enable
security rsn ciphers aes enable
security rsn akm psk enable
security rsn akm psk set-key ascii 123456789
!
ip route 0.0.0.0 0.0.0.0 172.16.100.254
IPV6
c
Ruijie(config-if-GigabitEthernet 1/1)#no ipv6 nd suppress-ra //开启路由通告功能
Ruijie(config-if-GigabitEthernet 1/1)#ipv6 nd other-config-flag //通告O位获取其他信息
Ruijie(config-if-GigabitEthernet 1/1)# ipv6 dhcp pool ruijie //在接口下调用地址池
SSH
所有交换机和无线控制器开启SSH服务,用户名密码分别为admin、admin1234;密码为明文类型,特权密码为admin
c
S7(config)#enable service ssh-server //开启SSH服务
S7(config)#enable password admin //配置enable密码admin
S7(config)#username admin password admin1234 //配置用户名为admin密码为admin1234
S7(config)#line vty 0 4 //进入虚拟用户线程
S7(config-line)#login local //对SSH登陆设备启用基于用户名和密码认证
S7(config-line)#exit
S7(config)#crypto key generate rsa //加密方式有两种:DSA和RSA,可以随意选择
SNMP
S7设备配置SNMP功能,向主机172.16.0.254发送Trap消息版本采用V2C,读写的Community为"Test",只读的Community为"public",开启Trap消息
c
S7(config)#snmp-server community public ro
S7(config)#snmp-server community Test rw
S7(config)#snmp-server host 172.16.0.254 version 2c Test
S7(config)#snmp-server host 172.16.0.254 version 2c public
S7(config)#snmp-server enable traps
Ruijie(config)#snmp-server group g1 v3 priv read default write default //default默认全部视图名称