思科配置命令 - 夏羽轻记

ACL配置命令#

1.ACL简介信息#

（1）标准ACL#

标准ACL最简单，是根据源IP地址允许或拒绝流量，表号范围” 1-99 “或” 1300-1999 “，总共_800_个。

①ACL不能对本地始发的流量做过滤，只能对穿越本地路由器的流量做过滤。

②在某个接口的某个特定方向（in、out），针对某种协议，只能应用一个ACL。

（2）扩展ACL#

扩展ACL功能更加强大和细化，可针对包括协议类型、源地址、目的地址、源端口、目的端口、TCP连接建立等进行过滤，表号范围” 100-199 “或” 2000-2699 “,总共_800_个。

（3）命名ACL#

除了使用数字定义ACL外，也可以使用命名的方式定义ACL，即“命名ACL”。当然命名ACL也包括标准（standard）和扩展（extended）两种。

①创建的每一个ACL序号会以加10的方式递增。

②插入ACL只需要在前面加上”序号”即可。

2.ACL配置命令#

（1）配置标准ACL#

1
Router(config)#access-list 表号 {permit | deny} 源IP地址 反掩码

例：

1
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255  //允许192.168.1.0网段的访问
2
Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255    //拒绝192.168.2.0网段的访问
3
Router(config)#access-list 1 deny 192.168.3.1 0.0.0.0    //拒绝192.168.3.1主机的访问
4
Router(config)#access-list 1 permit any        //接受除以上拒绝访问的所有访问

其中” 0.0.0.0 “可以用” host “代替使用，例：

1
Router(config)#access-list 1 deny host 192.168.3.1    //拒绝192.168.3.1主机的访问

在写完要拒绝访问的流量是一定不要忘记允许除拒绝的访问，即” permit any “。因为在ACL里面有一个”隐式拒绝“，如果所有的拒绝信息和允许信息都没有匹配到那么该流量将执行隐式拒绝给拒绝掉。

使用：

1
Router(config-if)#ip access-group 1 in|out    //应用接口进或出访问流量

（2）配置扩展ACL#

1
Router(config)#access-list 表号 {permit | deny} 协议类型 源IP地址 反掩码 目的IP地址 反掩码  关系 端口号

关系：it(小于),gt(大于),eq(等于),neq(不等于)等端口号之间的对应关系。

例：

1
Router(config)#access-list 100 deny tcp host 192.168.1.1 host 192.168.2.2 eq telnet
2
               //拒绝192.168.1.1到192.168.2.2 tcp服务的telnet流量
3

4
Router(config)#access-list 100 deny tcp host 192.168.3.3 host 192.168.4.4 eq 20
5
                //拒绝192.168.3.3到192.168.3.3 tcp端口为20的ftp流量
6

7
Router(config)#access-list 100 deny tcp host 192.168.3.3 host 192.168.4.4 eq 21
8
                //拒绝192.168.3.3到192.168.3.3 tcp端口为21的ftp流量
9

10
Router(config)#access-list 100 permit ip any any
11
        //接受除以上拒绝访问的所有访问ip包括tcp和udp服务

使用：

1
Router(config-if)#ip access-group 1 in|out      //应用接口进或出访问流量

（3）配置命名ACL#

1
Router(config)#ip access-list {standard/extended} 表名
2
standard：标准
3
{permit | deny} 源IP 通配符掩码
4
extended：扩展
5
{permit | deny} 协议类型 源IP地址 反掩码 目的IP地址 反掩码 eq.. 端口号

例：

1
Router(config)#ip access-list standard s    //创建名为" s "的标准ACL
2
Router(config-std-nacl)#permit host 192.168.1.2    //允许192.168.1.2的访问
3
Router(config-std-nacl)#exit
4
Router(config)#ip access-list extended e    //创建名为" e "的扩展ACL
5
Router(config-ext-nacl)#permit tcp host 192.168.2.2 host 192.168.3.3 eq 23
6
                      //允许192.168.2.2到192.168.3.3 tcp端口为23的telnet流量

使用：

1
Router(config-if)#ip access-group 表名 in|out    //应用接口进或出访问流量

DHCP配置命令#

1.DHCP简介信息#

动态主机配置协议（Dynamic Host Configuration Protocl,DHCP），DHCP基于UDP（服务端口号为67）以客户端/服务器（C/S）模式工作。DHCP具有可伸缩性，相对容易管理。针对客户端的不同需求，DHCP通常提供三种IP地址分配策略。

①手动分配 ②自动分配 ③动态分配

（1）DHCP工作的个阶段#

发现阶段提供阶段选择阶段确认阶段

（2）IP地址的租约更新#

DHCP客户端启动时间为租约期限_50%_时，DHCP客户端会自动想DHCP服务器发送更新其IP租约的消息。如果DHCP服务器应答，则租用延期；如果DHCP服务器始终没有应答，则在有效期的87.5%，客户端会与任何一个其他DHCP服务器，并请求更新它的配置信息。客户端可以通过CMD命令行（ipconfig /release）主动向服务器发送DHCPRELEASE消息，释放当前的IP地址。

（3）DHCP中继代理#

广播消息是不能跨子网的，路由器的接口会分割广播域。一种解决方案就是使用DHCP中继代理，该方案使路由器能够将客户端的DHCP广播转发给DHCP服务器。当路由器转发DHCP请求时，它充当的就是DHCP中继代理的角色。

2.DHCP配置命令#

（1）路由器的DHCP服务#

配置路由器的DHCP服务#

1
Router(config)#service dhcp    //DHCP服务默认是开启的
2
Router(config)#ip dhcp pool pool_name    //创建DHCP地址池
3
Router(dhcp-config)#network 网络地址 子网掩码   //配置DHCP服务器要分配的网络和掩码
4
Router(dhcp-config)#default-router address    //配置分配给客户端的默认网关
5
Router(dhcp-config)#dns-server address    //配置分配给客户端的DNS服务器

配置DHCP排除的地址#

1
Router(config)#ip dhcp excluded-address 主机地址      //排除单个地址
2
Router(config)#ip dhcp excluded-address 地址1 地址2      //排除的地址范围

配置DHCP中继地址#

1
Router(config-if)#ip helper-address address      //配置到DHCP服务器的ip

（2）交换机的侦听服务#

1
Switch(config)# ip dhcp snooping    //启用DHCP侦听功能
2
Switch(config-if)# ip dhcp snooping vlan vlan_id    //对特定VLAN启用DHCP侦听
3
Switch(config-if)# ip dhcp snooping trust    //配置DHCP侦听可信端口
4
Switch(config-if)# ip dhcp snooping limit rate 时间    //配置信任端口请求速率
5
Switch(config)# ip arp inspection vlan vlan_id    //启用DAI(动态ARP检测)
6
Switch(config-if)# ip arp inspection trust    //配置DAI信任接口
7
Switch(config-if)# ip arp inspection limit 时间    //配置接口ARP数据包发送速率
8
Switch(config-if)# ip arp inspection src-mac dst-mac ip     //匹配DHCP Snooping绑定表的一致性

端口安全配置命令#

1.MAC泛洪和端口安全#

（1）MAC泛洪攻击#

CAM表的大小是有限的，MAC地址泛洪正是利用这一限制，使用攻击工具以大量无效的源MAC地址发送给交换机，直到交换机CAM表被添满，这种使得交换机CAM表溢出的攻击称为MAC泛洪攻击。

（2）端口安全#

配置交换机端口安全特性可以防止MAC泛洪攻击。端口安全性限制交换机端口上所有允许的有效MAC地址的数量或者特定的MAC地址。配置端口安全主要又如下三种方式：

静态动态粘滞

三种惩罚模式：

保护（Protect）限制（Restrict）关闭（Shutdown）

交换机端口安全违规惩罚模式比较

惩罚模式	Protect	Restrict	Shutdown
转发违规设备流量	否	否	否
发出警告	否	是	是
增加违规计数	否	是	是
关闭接口	否	否	是

2.端口安全配置命令#

（1）配置VTY登录要通过本地数据库验证#

1
Switch(config)#line vty 0 4
2
Switch(config-line)#password 0 4
3
Switch(config-line)#login local    //本地数据库验证

（2）配置和验证交换机端口安全#

1
Switch(config-if)#switch mode access      //设置端口为访问模式
2
Switch(config-if)#switch port-security      //开启交换机的端口安全功能
3
Switch(config-if)#switch port-security maximum 数量
4
                          //配置交换机端口下的MAC条目最大数量
5
Switch(config-if)#switch port-security mac-address sticky  //配置端口为自动粘滞终端MAC地址
6
Switch(config-if)#switch port-security violation { protect | shutdown | restrict }
7
                    //配置交换机端口安全惩罚模式
8
Switch(config-if)#switch port-security aging { static | time 时间 | type { absolute | inactivity }}
9
                              //配置交换机端口MAC地址的老化时间，默认为动态
10
                     //absolute：固定的时间    inactivity：可续时间的模式

（3）端口安全查看命令#

1
Switch#show port-security [ interface 具体端口 ]    //查看交换机或指定接口的端口安全性设置
2
Switch#show mac address-table    //查看交换机CAM表

VTP生成树协议#

1
Switch(config-if)#spanning-tree portfast default    //全局配置portfast加速接口收敛
2
Switch(config-if)#spanning-tree bpduguard enable     //配置bpduguard，缓解STP攻击风险

路由器的重分发#

1.什么是路由器的重分发#

重分发是指连接到不同路由域(自治系统)的边界路由器在它们之间交换和通告路由选择信息的能力。重分发总是向外的,执行重分发的路由器不会修改其路由表。路由必须位于路由表中才能被重分发。

2.理解路由器的重分发#

一个单一IP路由协议是管理网络中IP路由的首选方案 Cisco IOS能执行多个路由协议，每一个路由协议和该路由协议所服务的网络属于同- -个自治系统 Cisco IOS使用路由重分发特性以交换由不同协议创建的路由信息口路由

3.重分发的考虑#

度量值管理距离：优先级

4.路由重分发配置命令#

1
Router(config)#redisterbute 协议（ospf、eigrp、rip等） 协议进程号 metric 跳数或度量值 [subnet]
2
            //subnet：不配置该参数只会学习主类网络不会学习到子网的网络

5.重分发配置实例#

OSPF重分发进RIP的度量值为1跳

1
Router(config)#router rip
2
Router(config)#redistribute ospf 100 metric 1

RIP重分发进OSPF的度量值为30

1
Router(config)#router ospf 100
2
Router(config)#redistribute rip metric 30 subnets

OSPF重分发进EIGRP的度量值为100000 100 255 1 1500

1
Router(config)#router eigrp 100
2
Router(config)#redistribute ospf 100 metric 100000 100 255 1 1500

EIGRP重分发进OSPF的度量值为10

1
Router(config)#router ospf 100
2
Router(config)#redistribute eigrp 100 metric 10 subnets

通过上面的例题我们可以观察到，【1】协议重分发进【2】协议，只需要进入到【2】协议内配置重分发，重分发的类型就是【1】协议的类型。

6.路由策略#

（1）被动接口配置#

将某个接口改为被动接口

1
Router(config-router)#passivve-interface 接口名

将所有接口配置为被动接口，并手动激活特定接口

1
Router(config-router)#passivve-interface default    //配置所有接口为被动接口
2
Router(config-router)#no passivve-interface 接口名    //取消某个接口为被动接口

（2）调整路由协议的管理距离（AD）#

RoutingProtocols	直连接口	静态路由	外部BGP	内部EIGRP	IGRP	OSPF	RIPv1、v2	外部EIGRP	内部BGP
AD	0	1	20	90	90	100	120	170	200