Telnet远程Shell管理
?设置交换机IP地址
–Switch(config)#interface vlan 1
–Switch(config-If-Vlan1)#ip address 10.1.1.1 255.255.255.0
–Switch(config-If-Vlan1)#no shutdown
?交换机设置Telnet授权用户和口令;若交换机没有设置授权Telnet用户,则任何用户都无法进入交换机的CLI配置界面。
–Switch(config)#telnet-user test password 0 test
HTTP远程图形管理
?设置交换机IP地址
–Switch(config)#interface vlan 1
–Switch(config-If-Vlan1)#ip address 10.1.1.1 255.255.255.0
–Switch(config-If-Vlan1)#no shutdown
?交换机启动HTTP Server功能
–Switch(config)#ip http server
?交换机设置Web授权用户和口令;若交换机没有设置授权Web用户,则任何用户都无法进入交换机的Web配置界面。
–Switch(config)#web-user test password 0 test
SSH配置
?Switch(Config)#ssh-user test password 0 test
?Switch(Config)#ssh-server enable
VLAN的基本配置
?划分VLAN 100和VLAN 200,并加入端口;
–Switch(Config)#vlan 100
–Switch(Config-Vlan100)#switchport interface e0/0/1-5
–Switch(Config)#vlan 200
–Switch(Config-Vlan200)#switchport interface e0/0/6-10
?配置0/0/24端口为级联端口
–Switch(Config)#interface ethernet 0/0/24
–Switch(Config-ethernet0/0/24)#switchport mode trunk
–switchport trunk allowed vlan 100;200
–/#Trunk端口缺省允许通过所有VLAN;用户可以通过上述命令设置哪些VLAN 的流量可以通过Trunk口,没有包含的VLAN流量则被禁止。
?察看配置:show vlan
利用三层交换机实现VLAN间路由
?为VLAN接口设置IP地址;
–Switch(Config)#interface vlan 100
–Switch(Config-If-Vlan100)#ip address 192.168.1.1 255.255.255.0
–Switch(Config)#interface vlan 200
–Switch(Config-If-Vlan200)#ip address 192.168.2.1 255.255.255.0
Switch-1的配置
?hostname Switch-1
?interface ethernet 0/0/1-2
–port-group 1 mode on
?vlan 100
–switchport interface ethernet 0/0/16-20 ?vlan 200
–switchport interface ethernet 0/0/6-10 ?vlan 300
–switchport interface ethernet 0/0/11-15 ?interface port-channel 1
–switchport mode trunk
–switchport trunk allowed vlan 100;200;300 Switch-2的配置
?hostname Switch-2
?interface ethernet 0/0/1-2
–port-group 2 mode on
?vlan 100
–switchport interface ethernet 0/0/16-20 ?vlan 200
–switchport interface ethernet 0/0/6-10 ?vlan 400
–switchport interface ethernet 0/0/11-15 ?interface port-channel 2
–switchport mode trunk
–switchport trunk allowed vlan 100;200;400 Switch的二层配置
?interface ethernet 0/0/1-2
–port-group 1 mode on
?interface ethernet 0/0/3-4
–port-group 2 mode on
?vlan 100
?vlan 200
?vlan 300
?vlan 400
?vlan 500
–switchport interface ethernet 0/0/11-15
?interface port-channel 1
–switchport mode trunk
–switchport trunk allowed vlan 100;200;300
?interface port-channel 2
–switchport mode trunk
–switchport trunk allowed vlan 100;200;400
Switch 三层配置
?interface vlan 100
–ip address 192.168.10.1 255.255.255.0
?interface vlan 200
–ip address 192.168.20.1 255.255.255.0
?interface vlan 300
–ip address 192.168.30.1 255.255.255.0
?interface vlan 400
–ip address 192.168.40.1 255.255.255.0
?interface vlan 500
–ip address 192.168.50.1 255.255.255.0
三层交换机中三层接口的创建
要将某一个端口设定为三层端口,需要将它加入到某一个VLAN中,然后为该VLAN设置IP 地址
Vlan 100
Int f0/4
Switchport access vlan 100
Int vlan 100
Ip address 11.1.1.1 255.255.255.0
No shutdown
DHCP的配置
Switch(Config)#Service dhcp 启动/关闭DHCP服务
Switch(Config)#ip dhcp pool A
Switch(dhcp-A-config)#network 10.16.1.0 24
Switch(dhcp-A-config)#lease 3 10 32
Switch(dhcp-A-config)#default-route 10.16.1.200 10.16.1.201
Switch(dhcp-A-config)#dns-server 10.16.1.202
Switch(dhcp-A-config)#exit
Switch(Config)#ip dhcp excluded-address 10.16.1.200 10.16.1.201 二层交换机端口安全配置
设置静态一一映射:
Mac-adderess-table static address 22-22-22-22-22-22-22 vlan 10 int f0/3 设置安全端口地址:
Int f0/3
Switchport port-security
Switchport port-security mac-address 22-22-22-22-22-22
神州数码路由器配置命令
端口基本配置
?interface serial 1/0
–encapsulation hdlc
–ip address 192.168.10.1 255.255.255.252
–physical-layer speed 2048000
–!
PAP认证配置(双向认证)
?DCR-1配置:
?interface s0/1
–encapsulate ppp
–ip add 192.168.10.1 255.255.0.0
–ppp authentication pap
–ppp pap user routerA aaa
–physical-layer speed 2048000
?username routerB password bbb
?DCR-2配置:
?username routerA password aaa
?interface s0/1
–encapsulate ppp
–ip add 192.168.10.2 255.255.0.0
–ppp authentication pap
–ppp pap user routerB bbb
CHAP协议配置
?DCR-1配置:
?username digitalchina2 password legend
?interface Serial1/0
–encapsulation ppp
–ppp authentication chap
–ppp chap hostname digitalchina1
–PPP chap password legend
–ip address 192.168.10.1 255.255.255.252
–physical-layer speed 2048000
?DCR-2配置:
?username digitalchina1 password legend
?interface Serial1/0 encapsulation ppp
–ppp authentication chap
–ppp chap hostname digitalchina2
–PPP chap password legend
–ip address 192.168.10.2 255.255.255.252
RIP协议配置
?DCR-1(config)#router rip
–DCR-1(router-rip)#network 192.200.10.4 255.255.255.252
–DCR-1(router-rip)#version 2
–DCR-1(router-rip)#redistribute connect
OSPF协议配置
?router ospf 1
–network 192.200.10.4 255.255.255.252 area 0
–redistribute connect
NAT配置
如上图所示,公司申请了一个合法的IP地址,公司局域网用户使用一个IP地址连接入internet
?interface fastethernet 0/0
–ip address 192.168.1.1 255.255.255.0
–ip nat inside
?interface serial 1/0
–encapsulation ppp
–ip address 61.1.1.1 255.255.255.252
–ppp pap sent-username 169 169
–ip nat outside
?ip access-list standard test1
–permit any
?ip nat inside source list test1 interface serial 1/0
?ip route default serial 1/0
IPSEC的配置
crypto ipsec transform-set test1 -------------------------------------------设置变换集合
transform-type ah-md5-hmac esp-des
ip access-list extended ipsec -------------------------------------------设置要保护的数据permit ip 3.3.3.0 255.255.255.0 2.2.2.0 255.255.255.0
set transform-set test1 ----------------- ----------------- -------- ---------------运用变换集合test1
match address ipsec -------------------------指定所要保护的IP数据
配置SSH Server,允许可以通过SSH远程管理设备,并使用AAA本地验证。SSH配置
?Router (Config)#ssh-user test password 0 test
?Router (Config)#ssh-server enable
使用AAA配置本地登录验证
Router (Config)#aaa authentication login default local
Router (Config)#line vty 0 4
Router (Config-line)#login auth default
Router (Config)#username test pass test 设置本地验证的用户名和密码
访问控制功能的设置
Router (Config)#Time-range aaa
Router (Config)#Periodic weekdays 9 to 18
Access-list 100 permit tcp 192.168.11.0 0.0.0.255 any time-range aaa Access-list 100 permit tcp 192.168.12.0 0.0.0.255 any time-range aaa Access-list 100 permit tcp 192.168.13.0 0.0.0.255 any time-range aaa Access-list 100 permit tcp 192.168.14.0 0.0.0.255 any
Int f0/0
Ip access-group 100 in
神州数码交换机路由器命令汇总(部分) 2016年3月23日星期三修改_________________________________________________________________________ 注:本文档命令为最简命令,如不懂请在机器上实验 注:交换机版本信息: DCRS-5650-28(R4) Device, Compiled on Aug 12 10:58:26 2013 sysLocation China CPU Mac 00:03:0f:24:a2:a7 Vlan MAC 00:03:0f:24:a2:a6 SoftWare Version 7.0.3.1(B0043.0003) BootRom Version 7.1.103 HardWare Version 2.0.1 CPLD Version N/A Serial No.:1 Copyright (C) 2001-2013 by Digital China Networks Limited. All rights reserved Last reboot is warm reset. Uptime is 0 weeks, 0 days, 1 hours, 42 minutes 路由器版本信息: Digital China Networks Limited Internetwork Operating System Software DCR-2659 Series Software, Version 1.3.3H (MIDDLE), RELEASE SOFTWARE Copyright 2012 by Digital China Networks(BeiJing) Limited Compiled: 2012-06-07 11:58:07 by system, Image text-base: 0x6004 ROM: System Bootstrap, Version 0.4.2 Serial num:8IRTJ610CA15000001, ID num:201404 System image file is "DCR-2659_1.3.3H.bin" Digital China-DCR-2659 (PowerPC) Processor 65536K bytes of memory,16384K bytes of flash Router uptime is 0:00:44:44, The current time: 2002-01-01 00:44:44 Slot 0: SCC Slot Port 0: 10/100Mbps full-duplex Ethernet Port 1: 2M full-duplex Serial Port 2: 2M full-duplex Serial Port 3: 1000Mbps full-duplex Ethernet Port 4: 1000Mbps full-duplex Ethernet Port 5: 1000Mbps full-duplex Ethernet Port 6: 1000Mbps full-duplex Ethernet
齐头并进堵源治本高校校园网ARP攻击防御解决方案 DIGTIAL CHINA DIGITAL CAMPUS 神州数码网络有限公司 2008-07
前言 自2006年以来,基于病毒的arp攻击愈演愈烈,几乎所有的校园网都有遭遇过。地址转换协议ARP(Address Resolution Protocol)是个链路层协议,它工作在OSI参考模型的第二层即数据链路层,与下层物理层之间通过硬件接口进行联系,同时为上层网络层提供服务。ARP攻击原理虽然简单,易于分析,但是网络攻击往往是越简单越易于散布,造成的危害越大。对于网络协议,可以说只要没有验证机制,那么就可以存在欺骗攻击,可以被非法利用。下面我们介绍几种常见ARP攻击典型的症状: ?上网的时候经常会弹出一些广告,有弹出窗口形式的,也有嵌入网页形式的。下载的软件不是原本要下载的,而是其它非法程序。 ?网关设备ARP表项存在大量虚假信息,上网时断时续;网页打开速度让使用者无法接受。 ?终端不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。 对于ARP攻击,可以简单分为两类: 一、ARP欺骗攻击,又分为ARP仿冒网关攻击和ARP仿冒主机攻击。 二、ARP泛洪(Flood)攻击,也可以称为ARP扫描攻击。 对于这两类攻击,攻击程序都是通过构造非法的ARP报文,修改报文中的源IP地址与(或)源MAC地址,不同之处在于前者用自己的MAC地址进行欺骗,后者则大量发送虚假的ARP报文,拥塞网络。 图一 ARP仿冒网关攻击示例
神州数码网络秉承“IT服务随需而动”的理念,对于困扰高教各位老师已久的ARP 攻击问题,结合各个学校网络现状,推出业内最全、适用面最广、最彻底的ARP整体解决方案。 神州数码网络公司从客户端程序、接入交换机、汇聚交换机,最后到网关设备,都研发了ARP攻击防护功能,高校老师可以通过根据自己学校的网络特点,选取相关的网络设备和方案进行实施。
神州数码交换机“生成树”配置 SwitchA配置: SwitchA(config)#spanning-tree(开启生成树)SwitchA(config)#spanning-tree mode mstp (选择生成树模式) SwitchA(config)#spanning-tree mst configuration (进入生成树实例配置) SwitchA(config-mstp-region)#name MSTP (设置MSTP域名为MSTP) SwitchA(config-mstp-region)#revision-level 2 (设置MSTP修正级别) SwitchA(config-mstp-region)#instance 0 vlan 10 (创建实例0将Vlan10划分进去) SwitchA(config-mstp-region)#instance 1 vlan 20 (创建实例1将Vlan20划分进去) SwitchA(config)#spanning mst 0 priority 0
(配置实例0的优先级为0,也是交换机的优先级,根交换机) SwitchA(config)#spanning mst 1 priority 4096 注:这儿的优先级越低越优先,优先级默认为32768,只能为4096的倍数。 SwitchB配置: SwitchB(config)#spanning-tree(开启生成树)SwitchB(config)#spanning-tree mode mstp (选择生成树模式) SwitchB(config)#spanning-tree mst configuration (进入生成树实例配置) SwitchB(config-mstp-region)#name MSTP (设置MSTP域名为MSTP) SwitchB(config-mstp-region)#revision-level 2 (设置MSTP修正级别) SwitchB(config-mstp-region)#instance 0 vlan 10 (创建实例0将Vlan10划分进去) SwitchB(config-mstp-region)#instance 1 vlan 20 (创建实例1将Vlan20划分进去) SwitchA(config)#spanning mst 0 priority 4096 SwitchA(config)#spanning mst 1 priority 0
第7章综合实训 7.1 综合实训一 1.背景介绍 下图为园区网络的拓扑图,网络中使用了两台三层交换机DCRS-5526A和DCRS-5526B 提供内部网络的互联,网络边缘采用了一台路由器DCR-1702用于连接到internet,DCR-2611用于模拟Internet中的路由器。 DCRS-5526A上连接一台PC,PC处于Vlan100中。DCRS-5526B连接一台FTP服务器和一台打印服务器,两台服务器处于VLAN200中,DCRS-5526A与DCRS-5526B之间使用交换机间链路相连。DCRS-5526A与DCRS-5526B使用具有三层特性的物理端口与DCR-1702相连。在internet上有一台与DCR-2611相连的外部Web服务器。 说明:本实验采用的设备均为神州数码公司网络产品。其中DCRS-5526为三层交换机。 综合实训实验图如图7.1所示。 图7.1 综合实训1实验图 为了实现网络资源的共享,需要PC机能够访问内部网络中的FTP服务器,以实现文件的上传和下载,并且PC机需要连接到打印服务器以进行远程的打印操作,PC机需要能够通过园区网络连接到internet的Web服务器,并能够进行Web网页的浏览。 其中各计算机的IP地址及网关配置说明 计算机IP 子网掩码网关 PC机192.168.100.100 255.255.255.0 192.168.100.1 FTP服务器192.168.200.10 255.255.255.0 192.168.200.1 打印服务器192.168.200.20 255.255.255.0 192.168.200.1 Web服务器100.1.1.2 255.255.255.0 100.1.1.1
神州数码交换机基本配置 恢复交换机的出厂设置 命令:set default 功能:恢复交换机的出厂设置。 命令模式:特权用户配置模式。 使用指南:恢复交换机的出厂设置,即用户对交换机做的所有配置都消失,用户重新启动交换机后,出现的提示与交换机首次上电一样。 注意:配置本命令后,必须执行write 命令,进行配置保留后重启交换机即可使交换机恢复到出厂设置。 举例: Switch#set default Are you sure? [Y/N] = y Switch#write Switch#reload 进入交换机的Setup配置模式 命令:setup 功能:进入交换机的Setup配置模式。 命令模式:特权用户配置模式。 使用指南:在Setup配置模式下用户可进行IP地址、Web 服务等的配置。 举例: Switch#setup Setup Configuration ---System Configuration Dialog--- At any point you may enter Ctrl+C to exit. Default settings are in square brackets [ ]. If you don't want to change the default settings, you can input enter. Continue with configuration dialog? [y/n]:y Please select language [0]:English [1]:中文 Selection(0|1) [0]:0 Configure menu [0]:Config hostname [1]:Config interface-Vlan1 [2]:Config telnet-server [3]:Config web-server [4]:Config SNMP [5]:Exit setup configuration without saving [6]:Exit setup configuration after saving
1.下列应用使用TCP连接的有(本题3项正确) A.Telnet B.BGP C.FTP D.TFTP 2.TCP和UDP协议的相似之处是 A.传输层协议 B.面向连接的协议 C.面向非连接的协议 D.其它三项均不对 3.下列应用使用UDP连接的有(本题3项正确) A.TFTP B.Syslog C.SNMP D.HTTP 4.第一个八位组以二进1110开头的IP地址是()地址 A.Class A B.Class B C.Class C D.Class D 5.下面哪些不是ICMP提供的信息 A.目的地不可达 B.目标重定向 C.回声应答 D.源逆制 6.C类地址最大可能子网位数是 A.6 B.8 C.12 D.14 7.()协议是一种基于广播的协议,主机通过它可以动态的发现对应于一个IP地址的MAC地址 A.ARP B.DNS C.ICMP D.RARP 8.IP地址为子网掩码为的地址,可以划分多少个子网位,多少个主机位 A.2,32 B.4,30 C.254,254 D.2,30 9.关于IPX的描述正确的是(本题3项正确) A.IPX地址总长度为80位,其中网络地址占48位,节点地址占32位 B.IPX地址总长度为80位,其中网络地址占32位,节点地址占48位
C.IPX是一个对应于OSI参考模型的第三层的可路由的协议 D.NCP属于应用层的协议,主要在工作站和服务器间建立连接,并在服务器和客户 机间传送请求和响应 10.在无盘工作站向服务器申请IP地址时,使用的是()协议 A.ARP B.RARP C.BOOTP D.ICMP 11.以太网交换机的数据转发方式可以被设置为(本题2项正确) A.自动协商方式 B.存储转发方式 C.迂回方式 D.直通方式 12.当交换机检测到一个数据包携带的目的地址与源地址属于同一个端口时,交换机会怎样处理? A.把数据转发到网络上的其他端口 B.不再把数据转发到其他端口 C.在两个端口间传送数据 D.在工作在不同协议的网络间传送数据 13.下面哪个标准描述了生成树协议 A. B. C. D. 14.下列有关端口隔离的描述正确的是:(本题2项正确) A.DCS-3726B出厂时即是端口隔离状态,所有端口都可以与第一个端口通信,但之 间不可以互通 B.DCS-3726S可以通过配置实现与3726B一样的端口隔离功能,但出厂默认不时隔 离状态 C.可以通过配置私有VLAN功能实现端口隔离 D.可以通过配置公用端口实现端口隔离 15.下列关于静态配置链路聚合和动态配置链路聚合的理解正确的是: A.静态配置链路聚合需要在聚合组的每个聚合端口中进行配置 B.动态配置链路聚合只需要在主端口中配置一次,在全局模式中配置启用lacp协 议即可 C.静态配置链路聚合不能进行负载均衡 D.动态配置链路聚合不需要配置聚合组号,交换机会根据目前聚合组的情况自动 指定 16.网络接口卡(NIC)可以做什么? A.建立、管理、终止应用之间的会话,管理表示层实体之间的数据交换 B.在计算机之间建立网络通信机制 C.为应用进程提供服务 D.提供建立、维护、终止应用之间的会话,管理表示层实体之间的数据交换17.以下关于以太网交换机的说法哪些是正确的?
神州数码交换机路由器知识要点 https://www.doczj.com/doc/4c8290638.html, 2010年02月27日来源:本站原创作者:佚名收藏本文交换机 1. 交换机恢复出厂设置及其基本配置. 1) //进入特权模式 2) del config.text 2. Telnet方式管理交换机. 1) //进入全局配置模式 2) enable password 0 [密码] 3) Line 0 4 4) Password 0 [密码] 5) Login 3. 交换机文件备份、升级、还原。 1) rgnos.bin系统文件 2) config.text配置文件 4. Enable密码丢失的解决办法 1) 重启 2) CTRL+C 3) 选择 4 (file) 4) 1 (移除) 5) Config.text 6) Laod (重启) 5. 交换机Vlan的划分
1)Vlan 10 2) In vlan 10 3) Ip add [IP] [子网掩码] 6. 交换机端口与Mac绑定和过滤 1) //进入串口 2) sw mode trunk sw port-security 3) sw port-security mac-address [MAC] mac-address-table static address [MAC] vlan-ID interface ethernet [要绑定的端口] 7. 生成树实验 1) spanning-tree 8. 交换机链路聚合 1) Int aggregateport 1 2) sw mode trunk 3) //进入串口 4) port-group 1 9. 交换机端口镜像 1) monitor session 1 source interface fastEthernet 0/2 both //被镜像的 2) monitor session 1 destination interface fastEthernet 0/3 //镜像端口 10. 多层交换机静态路由实验 1) ip route [存在的IP段] [子网掩码] [下一跳IP] 11. RIP动态路由 1) router rip
选择题(每题2分)共40题 1. 如下图所示,某学校在市中心有三栋楼,楼之间的距离都是200米,要求楼宇之间使用千兆互连,综合楼中网管工作室有三台服务器,要求全部使用千兆连接,则综合楼里的核心交换机上应该安装多少个千兆端口: A、 4个 B、 5个 C、 6个 D、 7个 2. 下面的说法正确的是: A、企业级服务器应该放置在核心层 B、企业级服务器应该放置在汇聚层 C、工作组级服务器应该放置在汇聚层 D、工作组级服务器应该放置在接入层 3. 集线器目前一般处于分层的局域网的哪个层次 A、接入层 B、核心层 C、传输层 D、汇聚层 4. 三层架构中,核心层的中心任务是: A、提供足够的端口密度 B、高速数据交换 C、提供全面的路由策略 D、远程站点的接入 5. 以下几种网络的拓扑结构中,可靠性最高的结构是: A、星型网络 B、环形网络 C、网状网络 D、树型网络 6. 可扩展交换局域网络(2-2-3)的缺点是: A、投资最大
B、会聚层有较大的延迟 C、如果不划分VLAN,网络只有有限的广播域 D、低成本,易安装,可划分VLAN 7. 下面哪一个协议不使用广播进行通信: A、 RIP B、 IGRP C、 DHCP D、 OSPF 8. 下面哪些设备可以有效的隔离广播域 A、二层交换机 B、网桥 C、路由器 D、中继器 E、集线器 9. 如下图所示, 某学校在市中心有三栋楼,楼之间的距离都是200米,要求楼宇之间使用千兆互连,如果服务器可以采用百兆的连接,那么综合楼以下的设计中,哪一个是最佳方案: A、使用一台DCS-3950S,最多可以提供2个GBIC接口,同时提供52个百兆端口 B、使用一台DCS-3950S和一台DCS-3926S,可以提供2个GBIC接口,同时提供72个百兆端口 C、使用一台DCS-3950S和一台DCS-3926S,可以提供2个GBIC接口,同时提供78个百兆端口 D、使用一台DCS-3950S和一台DCS-3926S,可以提供2个GBIC接口,同时提供74个百兆端口 10. 目前端口扩展的主要技术有: A、堆叠 B、聚合 C、生成树 D、级联 E、冗余
1. 基本配置: 开启SSH服务:debug ssh-server 设置特权模式密码:enable password [8]
神州数码交换机配置基本命令 交换机基本状态: hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态 交换机口令设置: switch>enable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname ;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口令 switch(config)#enable password xxa ;设置特权非密口令 switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令 交换机VLAN设置: switch#vlan database ;进入VLAN设置 switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#no vlan 2 ;删vlan 2 switch(config)#int f0/1 ;进入端口1 switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为干线 switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain ;设置发vtp域名 switch(config)#vtp password ;设置发vtp密码 switch(config)#vtp mode server ;设置发vtp模式 switch(config)#vtp mode client ;设置发vtp模式 交换机设置IP地址: switch(config)#interface vlan 1 ;进入vlan 1 switch(config-if)#ip address ;设置IP地址 switch(config)#ip default-gateway ;设置默认网关 switch#dir Flash: ;查看闪存 交换机显示命令: switch#write ;保存配置信息 switch#show vtp ;查看vtp配置信息 switch#show run ;查看当前配置信息 switch#show vlan ;查看vlan配置信息 switch#show interface ;查看端口信息 switch#show int f0/0 ;查看指定端口信息 完了最最要的一步。要记得保存设置俄,
神州数码大型企业网络防火墙解决方案 神州数码大型企业网络防火墙整体解决方案,在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求,在各分支机构和分公司采用神州数码DCFW-1800S 防火墙在满足需要的基础上为用户节约投资成本。另一方面,神州数码DCFW-1800系列防火墙还内置了VPN 功能,可以实现利用Internet构建企业的虚拟专用网络。 返回页首 防火墙VPN解决方案 作为增值模块,神州数码DCFW-1800防火墙内置了VPN模块支持,既可以利用因特网(Internet)IPSEC 通道为用户提供具有保密性,安全性,低成本,配置简单等特性的虚拟专网服务,也可以为移动的用户提供一个安全访问公司内部资源的途径,通过对PPTP协议的支持,用户可以从外部虚拟拨号,从而进入公司内部网络。神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性: - 标准的IPSEC,IKE与PPTP协议 - 支持Gateway-to-Gateway网关至网关模式虚拟专网 - 支持VPN的星形(star)连接方式
- VPN隧道的NAT穿越 - 支持IP与非IP协议通过VPN - 支持手工密钥,预共享密钥与X.509 V3数字证书,PKI体系支持 - IPSEC安全策略的灵活启用:管理员可以根据自己的实际需要,手工禁止和启用单条IPSEC安全策略,也为用户提供了更大的方便。 - 支持密钥生存周期可定制 - 支持完美前项保密 - 支持多种加密与认证算法: - 加密算法:DES, 3DES,AES,CAST,BLF,PAP,CHAP - 认证算法:SHA, MD5, Rmd160 - 支持Client-to-Gateway移动用户模式虚拟专网 - 支持PPTP定制:管理员可以根据自己的实际需要,手工禁止和启用PPTP。 返回页首
配置Telnet方式登录 一、组网需求 1. PC通过Telnet登录交换机并对其进行管理。 2. 分别应用本地认证和Radius+本地认证方式对用户名密码进行验证。 3. 只允许192.168.1.2/24这个IP或只允许192.168.1.0/24这个IP地址段的PC进行Telnet 登录。 二、组网图 PC机和交换机之间保证路由可达,PC机可以Ping通交换机的管理地址。 三、配置步骤 1. 登录到交换机,配置本地的用户名密码 switch>enable switch#config terminal switch(config)#username test privilege15password0 test 2. 配置Telnet用户登录时的验证方式(本地验证或 Radius+本地验证) 本地验证 switch(config)#authentication line vty login local Radius + 本地验证 switch(config)#authentication line vty login radius local 注:开启Radius + 本地验证,需要根据现场情况配置Radius-Server参数,具体配置见本手册“安全认证功能配置”部分的描述。 3. 配置允许Telnet管理交换机的地址限制(单独IP 或 IP地址段) 限制单个IP允许Telnet登录交换机 switch(config)#authentication securityip192.168.1.2 限制允许IP地址段Telnet登录交换机 switch(config)#access-list1permit192.168.1.0 0.0.0.255 switch(config)#authentication ip access-class 1 in 四、配置关键点 1. 对于三层交换机,可以有多个三层虚接口,它的管理Vlan可以是任意一个具有三层接口
10级网络设备常规实训【router】文档 -2011-2012学年第一学期- 实训老师:沈广东刘海涛 编辑:蒋立彪沈广东 目录 一、路由器基本配置-------------------------------------------03 二、使用访问控制列表(ACL)过滤网络数据包-------06 三、路由器的NAT功能--------------------------------------08 四、路由器DHCP 配置--------------------------------------10 五、本地局域网互联(路由协议配置)------------------14 六、使用DCVG-204实现VOIP ---------------------------19 七、跨路由使用DCVG-204---------------------------------22
一、路由器基本配置 一、试验目的: 1.掌握路由器本地设置的方法。 2.掌握路由器设置命令。(设置端口IP) 3.掌握路由器远程设置的方法。(telnet 服务) 二、试验设备 1.DCR-1700路由器1台 2.Console 线、直通双绞线 3.DCRS-3926S交换机1台 三、试验拓扑结构 :192.168.1.2/24 192.168.1.254 线 //思考1:如果路由器要直接和PC连接,是用直通线?还是交叉线? 三、实验任务及步骤 1.Console 口连接 2.任务模式:enable 特权配置模式 Config 全局配置模式 3.测试计算机与路由器的连通性 PC机配置: Route 配置: Router#delete this file will be erased,are you sure?(y/n)y no such file Router#reboot Do you want to reboot the router(y/n)? //恢复出厂设置并重启 Router_config#hostname RouterA RouterA _config# //修改主机名 RouterA _config#interface fastEthernet 0/0 (//进入100M端口,) //思考2:若想进入10M口如何? // RouterA _config#interface ethernet 0/1 进入10M口
神州数码系列交换机升级指南 1 适用机型 本文档描述DCN 交换机软件版本升级步骤及注意事项。当以下型号的交换机升级1.3.X.X 版本及更高版本时适用: DCS-3600-26C DCS-3600-52C DCS-3950-26C DCS-3950-28C DCS-3950-52C DCS-3950-28CT DCS-3950-52CT DCRS-5200-28 DCRS-5200-52 2 交换机系统文件介绍 交换机系统文件包括两类文件:引导文件与系统映像文件。 引导文件是指引导交换机初始化等的文件,即我们通常说的ROM文件。在上述机型中,该文件有两份,保存在flash中,固定文件名为mini.rom和boot.rom。对于mini.rom,其主要功能为: (1)负责引导img; (2)某些特殊情况下(比如,错误地升级了nos_release.rom和img,或者升级过程中断电,导致系统的img/bootrom无法启动)升级用户boot.rom和img;mini.rom模式下前面板的网络端口不可用,只能用xmodem升级,速度很慢,因此除非必须,否则不建议使用这个升级。 对于boot.rom,其主要功能为: (1)提供rom的前面板网口升级功能; (2)研发调试。 引导文件一般不强制要求升级,是否升级请参见对应的版本发布说明。 系统映像文件是指交换机硬件驱动和软件支持程序等的压缩文件,即我们通常说的IMG 文件。交换机系统映像文件保存在flash中,文件名缺省为nos.img。 3 软件升级准备工作 在交换机系统文件升级之前需要做一些准备工作,我们推荐以下操作步骤: (1) 查询系统当前运行的Bootrom版本和IMG软件版本; (2) 备份当前运行的引导文件、系统映像文件,便于升级失败时能够进行版本回退; (3) 备份当前系统的startup-config配置文件,便于在不同版本命令行存在差异时能够及时恢复原有的配置。 4 Shell模式下软件升级 4.1 升级说明
神州数码交换机DCRS-5650-28和路由器DCR-2626命令总结 神州数码交换机DCRS-5650-28命令总结 1. 交换机恢复出厂设置及其基本配置. 1) //进入特权模式 2) del config.text 2. Telnet方式管理交换机. 1) //进入全局配置模式 2) enable password 0 [密码] 3) Line 0 4 4) Password 0 [密码] 5) Login 3. 交换机文件备份、升级、还原。 1) rgnos.bin系统文件 2) config.text配置文件 4. Enable密码丢失的解决办法 1) 重启 2) CTRL+C 3) 选择 4 (file) 4) 1 (移除) 5) Config.text 6) Laod (重启) 5. 交换机Vlan的划分 1) Vlan 10 2) In vlan 10 3) Ip add [IP] [子网掩码] 6. 交换机端口与Mac绑定和过滤 1) //进入串口 2) sw mode trunk 3) sw port-security mac-address [MAC] IP-address [IP 7. 生成树实验 1) spanning-tree 8. 交换机链路聚合 1) Int aggregateport 1 2) sw mode trunk 3) //进入串口 4) port-group 1 9. 交换机端口镜像 1) monitor session 1 source interface fastEthernet 0/2 both //被镜像的 2) monitor session 1 destination interface fastEthernet 0/3 //镜像端口10. 多层交换机静态路由实验 1) ip route [存在的IP段] [子网掩码] [下一跳IP] 11. RIP动态路由
VLAN配置命令 8.2.2.1 vlan 命令:vlan [vlan-id] no vlan [vlan-id] 功能:创建vlan 并且进入vlan 配置模式,在vlan 模式中,用户可以配置vlan 名称和为该vlan 分配交换机端口;本命令的no 操作为删除指定的vlan。 参数:[vlan-id]为要创建/删除的vlan 的vid,取值范围为1~4094。 命令模式:全局配置模式 缺省情况:交换机缺省只有vlan1。 使用指南:vlan1 为交换机的缺省vlan,用户不能配置和删除vlan1。允许配置vlan的总共数量为4094 个。另需要提醒的是不能使用本命令删除通过gvrp 学习到的动态vlan。 举例:创建vlan100,并且进入vlan100 的配置模式。 switch (config)#vlan 100 switch (config-vlan100)# 8.2.2.2 name 命令:name [vlan-name] no name 功能:为vlan 指定名称,vlan 的名称是对该vlan 一个描述性字符串;本命令的no 操作为删除vlan 的名称。 参数:[vlan-name]为指定的vlan 名称字符串。 命令模式:vlan 配置模式 缺省情况:vlan 缺省名称为vlanxxx,其中xxx 为vid。 使用指南:交换机提供为不同的vlan 指定名称的功能,有助于用户记忆vlan,方便管理。 举例:为vlan100 指定名称为testvlan。
switch (config-vlan100)#name testvlan 8.2.2.3 switchport access vlan 命令:switchport access vlan [vlan-id] no switchport access vlan 功能:将当前access 端口加入到指定vlan;本命令no 操作为将当前端口从vlan 里删除。 参数:[vlan-id]为当前端口要加入的vlan vid,取值范围为1~4094。 命令模式:接口配置模式 缺省情况:所有端口默认属于vlan1。 使用指南:只有属于access mode 的端口才能加入到指定的vlan 中,并且access 端口同时只能加入到一个vlan 里去。 举例:设置某access 端口加入vlan100。 switch (config)#interface ethernet 0/0/8 switch (config-ethernet0/0/8)#switchport mode access switch (config-ethernet0/0/8)#switchport access vlan 100 switch (config-ethernet0/0/8)#exit 8.2.2.4 switchport interface 命令:switchport interface [interface-list] no switchport interface [interface-list] 功能:给vlan 分配以太网端口的命令;本命令的no 操作为删除指定vlan 内的一个或一组端口。 参数:[interface-list] 要添加或者删除的端口的列表,支持”;””-”,如:ethernet 0/0/1;2;5或ethernet 0/0/ 1-6;8。 命令模式:vlan 配置模式 缺省情况:新建立的vlan 缺省不包含任何端口。 使用指南:access 端口为普通端口,可以加入vlan,但同时只允许加入一个vlan。
神州数码 DC-FW v3.1高性能防火墙 技术白皮书 北京神州数码有限公司 2007年8月
目录 一、序言 (2) 二、神码安全DC-FW v3.1高性能防火墙概述 (3) 三、神码安全DC-FW v3.1高性能防火墙技术特色 (3) 3.1 专用安全操作系统 (3) 3.2 纯硬件架构 (3) 3.3 状态检测技术、核检测技术以及入侵模式匹配监测 (3) 3.4 深度的内容检测、强大的P2P拦截功能 (3) 3.5 严格的访问控制策略 (4) 3.6 危险网站阻隔 (4) 3.7 敏感数据拦截 (5) 3.8 强大的QOS、丰富的日志报表功能 (5) 3.9 访问跟踪、审计 (5) 3.10 防止DOS攻击 (5) 3.11 强大的VPN功能 (6) 3.12 支持VOIP (6) 3.13 桥式防火墙 (7) 3.14 强大的审计功能 (7) 四、DC-FW v3.1 技术参数指标 (7)
一、序言 随着网络的发展和Internet的广泛应用,当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。回顾2004年,以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒,加上利用网络协议及应用漏洞进行攻击与入侵行为,给全球企业造成了巨大的损失。据统计,仅2004年,病毒等恶意程序就给全球造成了1690亿美元的经济损失。 此时,传统的防火墙已经显得无能为力。例如针对Windows系统和Oracle/SQL Server 等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容,所以无法检测出此类攻击。基于网络传播的病毒及间谍软件给互联网用户造成了巨大的损失,层出不穷的即时消息和P2P应用(例如MSN、QQ、BT等)给企业带来许多安全威胁并降低员工的工作效率。传统的防火墙设备在面对这些复合型的安全威胁时,已经不能满足客户的安全需求。 防火墙设备包括防火墙,VPN,IPS等多种功能。已经成为网络安全产品的一个发展方向。 面对着这些日益严重的复合型安全威胁时,企业往往为了完整的保护内部IT资源,需要投资购买大量的设备,包括VPN,防火墙,IDS,网络监控设备等多种设备。神码安全高性能防火墙集所有这些安全功能于一身,一台设备就能提供完整的安全解决方案,省去了购买众多冗余设备的成本与维护成本。 神码安全高性能防火墙内置神码安全的领先VPN技术,拥有神码安全高性能防火墙VPN的所有强大功能。除此之外,神码安全高性能防火墙防火墙拥有高效的IPS(入侵防御系统)功能,能有效识别和抵御多种攻击,更大范围的保护了企业连接到Internet的安全。 为保证企业合理使用Internet资源,防止企业信息资产泄漏,神码安全高性能防火墙提供了完善的访问控制功能。通过合理设置访问权限,杜绝了对不良网站和危险资源的访问,防止了P2P软件对企业网络带来的安全风险。通过带宽管理和访问跟踪技术,能有效防止对Internet资源的滥用。神码安全高性能防火墙安全审计功能更为防止保密信息泄漏提供了最有效的保证。