神州数码设备

三层交换机CS6200端口选COM1，波特率选115200

二层交换机S4600、无线交换机DCWS-6028、路由器DCR-2855、防火墙DCFW-1800E端口选COM1，波特率选9600。

还有路由器和防火墙缺省登陆用户名：admin，密码：admin。

*最后在**SecureCRT**超级终端下输入**CLI**命令恢复出厂设置：*

三层交换机CS6200、二层交换机S4600、无线交换机DCWS-6028恢复出厂设置命令：

特权模式下：

Switch#set default

Switch#write

Switch#reload

2.路由器DCR-2855恢复出厂设置命令：

特权模式下：Router#delete startup-config

Router#reboot

3.防火墙DCFW-1800E恢复出厂设置命令：

特权模式下：DCFW-1800#unset all

交换机

1）进boot 启动时按ctr+b进入boot

2）恢复密码 Boot startup-config null

Telnet

1	Switch(Config)#telnet-server enable 开启telnet服务

1	Switch(config)#authentication line vty login local #打开本地验证方式，其中pr

1	Switch(config)#username test privilege 15 password 0 test #为交换机设置Telnet授权用户和口令并使用命令

1	Switch(Config)#banner login WRANING！！！！！设置登录警告语

配置允许Telnet管理交换机的地址限制（单独IP或IP地址段）

限制单个IP允许Telnet登录交换机

1	switch(config)#authentication security ip 192.168.1.2

限制允许IP地址段Telnet登录交换机

1 2	switch(config)#access-list 1 permit 192.168.1.0 0.0.0.255 switch(config)#authentication ip access-class 1 in

保存配置

1	Switch#write

SSH

switch(config)#ssh-server enable 打开交换机的SSH服务器功能
switch(config)#username DCN privilege 15 password DCN  配置SSH客户端软件登录到交换机的用户名和密码
switch(config)#ssh-server timeout 120  设置SSH认证超时时间
switch(config)#ssh-server authentication-retries 5  设置SSH认证重试次数

SNMP{网管系统相关}

snmp-server enable       //开启SNMP代理服务器功能  使用no关闭
Snmp-server enable traps  #交换机若要通过网管软件进行配置管理，必须使用该命令
snmp-server community ro DCN   //设置交换机的只读团体字符串
snmp-server community rw DCN  //设置交换机的读写团体字符串

snmp-server enable traps mac-notification  # mac变化就发送trap
snmp-server securityip 1.1.1.1   #设置允许访问本交换机的网管的安全IP地址
Snmp-server host 172.16.100.21 v2c DCN2011   #交换机SNMP的traps的网管IPv4地址
mac-address-table violation-trap-interval 35  #操作发送trap信息的时间间隔
Snmp-server engineid   #配置当前引擎号

指定登录配置模式的密码：

Enable password level {visitor|admin}

配置交换机的用户名密码：

username admin privilege 15 password 0 xxx密码

配置enable密码为xxx：

enable password 0 xxx （level 15）可选

配置登录时认证：

authentication line vty login local

OSPF MD5

需要注意在 OSPF 协议中声明发送 MD5 ==消息 key 验证==

关于 FW 的 OSPF 操作要注意先声明 router-id

1
2
3

ip vrouter trust-vr    FW进⼊路由配置模式
ip ospf authentication message-digest    操作 OSPF 认证模式为消息
ip ospf message-digest-key 1 md5 xxxx（密钥）   操作 OSPF 认证模式为 MD5 Hash admin

FW(config)# ip vrouter trust-vr
FW(config-vrouter)# router ospf
FW(config-router)# router-id 1.1.1.1
FW(config-router)# network 9.0.0.1/30 area 0
FW(config-router)# network 10.0.0.1/30 area 0
FW(config-router)# area 0 authentication message-digest

FW(config)# int aggregate1
FW(config-if-agg1)# ip ospf authentication message-digest
FW(config-if-agg1)# ip ospf message-digest-key 1 md5 admin
FW(config)# int aggregate1
FW(config-if-agg1)# ip ospf authentication message-digest
FW(config-if-agg1)# ip ospf message-digest-key 1 md5 admin

CS6200-28X-EI(config)#router ospf 1
CS6200-28X-EI(config-router)#network 192.168.100.0/24 area 0    宣告直连网段
CS6200-28X-EI(config-router)#area 0 authentication message-digest
CS6200-28X-EI(config)#int vlan 100
CS6200-28X-EI(config-if-vlan100)#ip ospf authentication message-digest
CS6200-28X-EI(config-if-vlan100)#ip ospf message-digest-key 1 md5 admin
CS6200-28X-EI(config-if-vlan100)#exit

WS(config)#router ospf 1
WS(config-router)#network 10.0.0.0/30 area 0
CS6200-28X-EI(config-router)#area 0 authentication message-digest
WS(config-router)#exit
WS(config)#int vlan 9
WS(config-if-vlan9)#ip ospf authentication message-digest
WS(config-if-vlan9)#ip ospf message-digest-key 1 md5 admin
WS(config-if-vlan9)#exit
WS(config)#int vlan 100
WS(config-if-vlan100)#ip ospf authentication message-digest
WS(config-if-vlan100)#ip ospf message-digest-key 1 md5 admin
WS(config-if-vlan100)#exit

show ip ospf neighbor

修改链路{Trunk}模式

（1）进入相应端口：Switch(config)#interface Ethernet 0/1

（2）修改模式： Switch(config-if)#switchport mode trunk

注意：如果是三层交换机，在修改模式先封装802.1协议：

Switch(config-if)#switchport trunk encapsulation dot1q

端口安全配置

1、启用和禁用端口安全功能：

启用：Switch(config-if)# switchport port-security

禁用：Switch(config-if)# no switchport port-security

2、设置接口上安全地址的最大个数（1~128）

Switch(config-if)#switchport port-security maximum 1

3、设置处理违例的方式

Switch(config-if)#switchport port-security violation shutdown

4、手工配置接口上的安全地址

Switch(config-if)#switchport port-security mac-address 00d0.d373.B060

5、查看安全配置：

Switch#show port-security

防ARP扫描

分为基于端口和基于IP

Trust port、supertrust-port、 trust ip

启用trust port的端口则取消对该端口进行基于端口方式anti-arp的防护，

启用trust ip 则禁用对该ip的基于IP方式的anti-arp防护

启用supertrust-port的端口则取消该端口的所有anti-arp防护

举例

1	SwitchB(config)#anti-arpscan enable 开启防ARP扫描

设置信任端口或超级信任端口，信任端口ARP不对此进行限制

1
2
3

SwitchB(Config-If-Ethernet1/1 )#anti-arpscan trust port  

SwitchB(Config-If-Ethernet1/1 )#anti-arpscan trust IP

启动自动恢复功能，被禁端口或ip超过一段时间自动恢复正常

1	SwitchB(config)#Anti-arpscan recovery enable

配置自动恢复时间，

1	SwitchB(config)#Anti-arpscan recovery time

如：

Anti-arpscan recovery time 3600

启用防ARP扫描日志功能

1	SwitchB(config)#Anti-arpscan log enable

启动防ARP扫描的SNMP TRAP功能，网关软件可以收到

1	SwitchB(config)#Anti-arpscan trap enable

查看配置

1	SwitchB(config)#Show anti-arpscan trust port

端口隔离

1 2	SwitchB(config)# isolate-port group xxx SwitchB(config)# isolate-port group xxx switchport interface e1/0/4-8

启用端口隔离

1	SwitchB(config)# isolate-port apply L2/L3/all (l2表示隔离二层流量 L3表示隔离3层流量 all表示隔离所有流量)

环路检测

启用环路检测并设置环路检测时间间隔

1	RS(config)#loopback-detection interval-time 10 10

绑定vlan40

1	RS(config-if-ethernet1/0/4)#loopback-detection specified-vlan 40

发现环路后关闭端口

1	RS(config-if-ethernet1/0/4)#loopback-detection control shutdown

端口关闭后的恢复时间 30分钟

1	RS(config)#loopback-detection control-recovery timeout 1800

端口聚合-加大带宽

命令：

1 2	Port-group 1~128 mode {active\|passive\|on} lcap n

1~128为Port Channel的组号，范围为1～128；

active启动端口的LACP协议，并设置为Active模式；

passive启动端口的LACP协议，并且设置为Passive模式；

on强制端口加入Port Channel，不启动LACP协议

举例：加大RS与FW之间的带宽 RS通过e1/0/1-2口与FW连接对应vlan49；50

RS(config)# port-group 1~128 随便一个数
RS(config-e1/0/1-2)#switchport mode trunk
RS(config-e1/0/1-2)#switchport trunk allowed vlan49；50
RS(config-e1/0/1-2)#port-group 1 mode active

FW操作

FW(config)#int aggregate1
FW(config-if-aggregate1)#IP add 0.0.0.0/0

FW(config)#int aggregate1.49
FW(config-if-aggregate1.49)#zone trust
FW(config-if-aggregate1.49)#ip add 10.0.0.1/30

FW(config)#int aggragate1.50
FW(config-if-aggregate1.50)#zone untrust
FW(config-if-aggregate1.50)#ip add 218.5.18.1/27

FW(config)#int e0/1
FW(config-if-e0/1)#aggregate aggregate1
FW(config-if-e0/1)#int e0/2
FW(config-if-e0/2)#aggregate aggregate1

DHCP SNOOPING配置

网络中已存在指定的DHCP Server，但在用户端，还是有用户==私自架设的DHCP Server==，为了不影响其他用户的地址获得。在Switch上运行DHCP Snooping功能，防止用户端的DHCP Server影响其他用户

将交换机的接口划分为==TRUST==和==UNTRUST==两个角色。当某一个接口被设置为trust接口时，那么该接口的dhcp offer报文会被放行，反之，接口为untrust时，被拒绝。

开启DHCP SNOOPING功能

1	RS(config)#IP dhcp snooping enable

设置DHCP Snooping功能将作用于哪些 VLAN

1	RS(config)#ip dhcp snooping vlan 10

将该端口设置为信任端口 一般是trunk口

1	RS(config-e1/0/20)#ip dhcp snooping trust

开启DHCP监听捆绑功能

1	RS(config)#ip dhcp snooping binding enable

防止ARP欺骗

1	RS(config)#ip dhcp snooping binding arp

启动DHCP Snooping绑定user功能、操作所属 VLNA 40 业务的流量

1	RS(config-e1/0/4-8)#ip dhcp snooping binding user-control

一旦发现私设DHCP服务器则关闭端口

1	RS(config-e1/0/4)#ip dhcp snooping action shutdown

限制吞吐量-收包速率大小

举例： 设置交换机1/0/8-10号端口（千兆）的报文违背速率为10000pps，端口恢复时间为1200s

两种方法

1	RS(config-e1/0/8-10)#rate-violation all 10000 recovery 1200

1	RS(config-e1/0/8-10)#rate-violation control shutdown recovery 1200

每隔一段时间统计

举例：统计端口速率统计时间为20秒每隔20秒

1	Switch(config)#port-rate-statistics interval 20

指定数据包大小

举例：数据包大小为1600字节

1	Switch(config)#mtu 1600

ACL

一般是勒索病毒 阻止相应端口流量

1-99：标准ACL
100-199：扩展ACL
ACl配置过程中一定要用反掩码！！！

1	access-list access-list-number permit/deny protocol +源地址+反码 +目标地址+反码+operan(It小于，gt大于，eq等于，neq不等于.)+端口号

eg:

1	access-list 101 deny tcp any host 192.168.1.1 eq www

将所有主机访问192.168.1.1这个地址网页服务（WWW）TCP连接的数据包丢弃。

==考试例题：==

2017年勒索蠕虫病毒席卷全球，爆发了堪称史上最大规模的网络攻击，通过对总部核心交换机DCRS所有业务VLAN下配置访问控制策略实现双向安全防护

DCRS-6028(config)#ip access-list extended dyan01

DCRS-6028(config-ip-ext-nacl-dyan01)#deny tcp any-source any-destination d-port 135

DCRS-6028(config-ip-ext-nacl-dyan01)#deny udp any-source any-destination d-port 135

DCRS-6028(config-ip-ext-nacl-dyan01)#deny tcp any-source any-destination d-port 137-139

DCRS-6028(config-ip-ext-nacl-dyan01)#deny udp any-source any-destination d-port 137-139

DCRS-6028(config-ip-ext-nacl-dyan01)#deny tcp any-source any-destination d-port 445 

DCRS-6028(config-ip-ext-nacl-dyan01)#deny udp any-source any-destination d-port 445

DCRS-6028(config-ip-ext-nacl-dyan01)#permit tcp any-source any-destination

免费ARP

IP gratutions-arp

设置免费ARP报文的发送时间间隔

举例：为减少内部ARP广播询问VLAN网关地址，在全局下配置CS每隔300S发送免费ARP

1	Switch(config)#IP gratutions-arp 300

显示免费arp发送功能的配置信息

1	Switch(config)#show IP gratutions-arp

生成树协议

不知道 直接上例题

例题：总部启用MSTP协议，name为DCN2011、 Revision-level 1，实例1中包括VLAN10；实例2中包括VLAN20、要求两条链路负载分担,其中VLAN10业务数据在E1/0/4进行数据转发，要求VLAN20业务数据在E1/0/5进行数据转发，通过在DCWS两个端口设置COST值 2000000实现==;==配置DCRS连接终端接口立即进入转发模式且在收到BPDU时自动关闭端口==;==防止从DCWS方向的根桥抢占攻击;

DCRS(config)#spanning-tree

DCRS(config)#spanning-tree mode mstp

DCRS (config)#spanning-tree mst configuration //进入mst配置模式

DCRS (config-mstp-region)#name DCN2011

DCRS (config-mstp-region)#revision-level 1

DCRS (config-mstp-region)#instance 1 vlan 10

DCRS (config-mstp-region)#instance 2 vlan 20

DCRS-6028(config)#interface ethernet 1/0/4-5

DCRS-6028(config-if-port-range)#spanning-tree mst 1 rootguard

DCRS-6028(config-if-port-range)#spanning-tree mst 2 rootguard

DCRS-6028(config)#interface ethernet 1/0/7-12

DCRS-6028(config-if-port-range)#spanning-tree portfast bpduguard

AC:

DCWS-6028(config)#interface ethernet 1/0/4 

DCWS-6028(config-if-ethernet1/0/4)#spanning-tree mst 1 cost 2000000

DCWS-6028(config)#interface ethernet 1/0/5

DCWS-6028(config-if-ethernet1/0/5)#spanning-tree mst 2 cost 2000000

VRF {路由隔离}

1 2	IP vrf {vrfname} 先创建一个实例 IP vrf forwarding {vrfname} 在相应的vlan里调用实例再配置地址

1	Show IP vrf {vrfname}

例题：总部核心交换机DCRS既是内网核心交换机又模拟外网交换机，其上使用某种技术，将内网路由和internet路由隔离

show ip vrf internet
interface Vlan2022
ip vrf forwarding internet
ip add 221.1.19.2 255.255.255.224

interface Vlan2023
ip vrf forwarding internet
ip add 221.1.19.3 255.255.255.224

Show命令{部分}

SNMP部分：

show snmp status snmp服务相关

show mac-notification summary 设置mac地址监听

端口隔离部分：

show isolate-port group 端口隔离

show loopback-detection 环路检测

show ip dhcp snooping 监控dhcp 防止私设dhcp服务器