访问控制远程连接CiscoConsole配置Enable password cisco:明码
enable secret cisco:加密密码
Telnet 配置Username aaa password aaa
line vty 0 4
login local
transport input telnet
SSH配置username aaa privilege 1 password aaa
ip domain name acme.org
hostname aaa
crypto key generate rsa
ip ssh maxstartups 5
ip ssh logging events
line vty 0 4
login local
transport input ssh
router#ssh –l aaa xx.xx.xx.xx(远程登录)
常见配置错误分析和排错1、 Telent 故障分析和排除登录失败
1、 查看VTY是否允许支持用户界面视图Telnet
2、 查看登录上限是否为:
3、 检查是否存在ACL
4、 查看VTY用户界面图是否设置登录密码
5、 如果用AAA验证方式,检查用户名密码是否正确
6、 检查网络是否连接
2、 SSH故障分析和排除登录失败
1、 查看VTY是否允许支持用户界面视图ssh
2.检查是否登录上限
检查是否存在ACL
5、如果用AAA验证方式,检查用户名密码是否正确
6.检查网络是否连接
7.检查服务是否开通
8.检查域名是否设置
9.检查认证是否打开
10.检查设备名称是否需要修改
华为Console配置交换机Console口初始密码
user-interface con 0
authentication-mode aaa
user privilege level 15
aaa
local-user aaa password cipher aaa
local-user aaa privilege level 15
Telnet 配置user-interface vty 0 4
authentication-mode aaa
user privilege level 15
history-command max-size 20 设置历史缓冲区
idle-timeout 20 0 设置用户超时间
screen-length 30 设置终端屏幕显示的行数
aaa
local-user aaa password cipher aaa
local-user aaa privilege level 15
local-user aaa service-type telnet terminal
STelnet配置Stelnet(secure telnet)是基于SSH的协议,客户端与服务端在传输过程中需要协商建立安全传输连接,确保登录和远程交换机配置和管理中的数据传输安全
R1:
user-interface vty 0 4
authentication-mode aaa
user privilege level 15
protocol inbound ssh
aaa
local-user aaa password cipher aaa
local-user aaa privilege level 15
local-user aaa service-type terminal ssh
quit
ssh user aaa authentication-type password 认证方式为PASSWORD
stelnet server enable 开启服务
R2:
ssh client first-time enable 第一次登录需要下载密钥
stelnet xx.xx.xx.xx
HTTPWeb网管登录常见配置错误分析和排错3、 Telent 故障分析和排除登录失败
查看VTY是否允许支持用户界面视图Telnet
查看登录上限是否为:display user-interface maximum-vty
检查是否存在ACL
查看VTY用户界面图是否设置登录密码
如果用AAA验证方式,检查用户名密码是否正确
检查网络是否连接
检查服务是否开放
4、 STelnet故障分析和排除登录失败
查看VTY是否允许支持用户界面视图ssh
查看登录上限是否为:display user-interface maximum-vty
检查是否存在ACL
查看VTY用户界面图是否设置登录密码
如果用AAA验证方式,检查用户名密码是否正确
检查网络是否连接
检查服务是否开放
企业网园结构核心层
分布层
接入层
配置和管理接口及以太网链路接口分类1、 管理接口(Console)
2、 物理接口(百兆以太网接口,千兆以太网接口…)
3、 逻辑接口(Loopback接口、Null接口、Tunnel接口…)
Cisco华为Set flow-stat interval 400 统计全局配置界面的流量时间间隔,取值范围为10---600
Description xxx 接口信息描述
Display interface brief 查看每个接口状态和配置的简要信息。
VlanVlan(virtual local area network )中文名称为虚拟局域网:它是一组逻辑设备和用户。在计算机网络中,一个二层设备可以分为多个不同的广播域IEEE802.1Q协议定义VLAN通过数据帧VID识别字段信息,VID它是一个12位的二进制字段信息,也就是说,最多可以识别2的12次valn,0和4095是协议保留的,其中1-1005vlan是普通valn,提供正常vlan1006-4094的功能valn是扩展vlan,提供部分valn功能,默认情况下,所有厂家的交换机都属于VLAN1.
Vxlan(virtual extensible lan)虚拟可扩展局域网,普通VLAN4096的数量远远不能满足大规模云计算数据中心的需求,这就是开发的原因VXLAN
VLAN 有以下优点:(1) 控制网络广播问题:每一个VLAN是广播域,一个VLAN上面的广播不会扩散到另一个VLAN;(2) 简化网络管理:当VLAN移动用户位置时,网络管理员只需设置几个命令;(3) 提高网络安全性:VLAN 控制广播;VLAN 不能直接通信。交换机的端口在哪里? VLAN 常用的方法有:(1) 基于端口的 VLAN :管理员指定交换机的某个端口 VLAN (2) 基于 MAC 地址的 VLAN :根据节点,交换机 MAC 地址,决定放在哪里 VLAN 中。
Catalyst交换机最多支持4096vlan。
VLAN划分方式根据端口划分:基于端口的VLAN
根据MAC划分: 基于MAC的VLAN
根据IP进行划分: 基于IP子网的VLAN
按协议划分: 基于协议的VLAN
根据组合的几种划分: 基于策略的VLAN
CiscoVlan
Name vlanx
Int vlan x
Ip add xx.xx.xx.xx xx.xx.xx.xx
Interface gig0/0
Sw moa cc
Sw acc vlan x
私用vlan定义:在某些情况下,管理员希望隔离位于交换机上VLAN终端设备之间的通信不希望将这些设备划分为不同的设备IP子网被划分为多个子网IP子网会使IP浪费地址。私有VLAN中间端口属于孤立端口(Lsolated)杂合端口(promiscuous)团体端口(community)
孤立端口:可与杂合端口通信
杂合端口:可与孤立、团体端口通信
群体端口:可与杂合、群体端口通信
辅助私用VLAN:每个辅助VLAN都是主VLAN的附庸VLAN,它们将被映射给主VLAN,每台设备都有辅助设备VLAN相连。
辅助VLAN的类型:
团体VLAN:可以与团体VLAN其他端口也可以与主通信VLAN杂合端口通信
孤立VLAN:孤立端口不能与孤立VLAN其它端口通信只能与杂合端口通信,每个PVLAN中间只有一个孤立VLAN
配置案例:
VLAN 200
Private-vlan isolated 设置为孤立VLAN
VLAN 201
Private-vlan community 设置为团体VLAN
VLAN 100
Private-vlan primary 设置为主VLAN
Private-vlan association 201 202 关联辅助VLAN
Interface fastethernet 0/24
Switchport mode private-vlan promiscuous 将二层端口设置为杂合端口
Switchport private-vlan mapping 100 200,200 将杂合端口映射到私人端口VLAN
Switchport mode private-vlan host 将二层端口设置为主机端口
Switchport private-vlan host-assciation 100 201
华为Vlan x
Interface vlanif x
Ip add xx.xx.xx.xx xx.xx.xx.xx
interface GigabitEthernet 0/0/1
port link-type access
port default vlan 1
Mux VLAN(multiplex vlan)基本原理定义:MUX VLAN 提供一种VLAN 二层流量隔离机制在端口间进行。
特点:
1、 主VLAN可以跟随任何人VLAN间直接二层tongxin
2、 任何不同的从VLAN(包括隔离型从VLAN和互通型从VLAN)不能直接二层通信
3、 互通型从 VL
