神州數(shù)碼各實(shí)驗(yàn)配置注意文檔.doc

/重點(diǎn)：兩個(gè)三層交換機(jī)之間可以通過Vlan 1 進(jìn)行路由退出的命令的運(yùn)用在神州數(shù)碼的視圖下是沒有quit的命令的，但并不代表不能用quit，在大多數(shù)的視圖下，都可以用quit命令退回上一級(jí)視圖，當(dāng)然用exit也可以，看個(gè)人喜好，但有視圖也是例外的，例如：# spanning-tree mst configuration視圖下就要用它專用的退出命令：abrotNAT配置：1、 配置acl允許通過的網(wǎng)段；/一般用標(biāo)準(zhǔn)acl2、 配置地址池；ip nat pool+名字+起始IP+終止IP+子網(wǎng)掩碼3、 配置nat轉(zhuǎn)換那個(gè)網(wǎng)段；Ip nat inside source list +acl名字 pool +地址池名字4、 配置int接口和out接口；【接口試圖】ip nat inside【接口試圖】ip nat insideNAT server：# ip nat inside source static tcp + 服務(wù)的IP地址 + 服務(wù)端口 + 要轉(zhuǎn)換成公網(wǎng)的IP地址 + 端口號(hào)在發(fā)布FTP的時(shí)候最好把21和20的都發(fā)布出去DNS一定要使用UDP服務(wù)路由器enable用戶密碼和時(shí)間配置：1、 enable password 0/7（不驗(yàn)證和驗(yàn)證）+密碼 level+權(quán)限（默認(rèn)不配置的時(shí)候是15）2、 date（接下來按照指示配置就OK了）配置語言：1、路由器 Chinese2、交換機(jī) language ChineseOSPF路由協(xié)議的配置：1、 router id的配置，可以選擇配置，配置的時(shí)候，要指向路由器接入的端口上的IP地址2、 router ospf +數(shù)字（可以隨意）network +使能的網(wǎng)段 +子網(wǎng)掩碼 +area +區(qū)域號(hào)（ospf 分單區(qū)域和多區(qū)域兩種,單區(qū)域的配置 要注意每一個(gè)使能的網(wǎng)段后面的區(qū)域號(hào)都要一致，多區(qū)域配置兩個(gè)區(qū)域相交的那路由器使能網(wǎng)段的時(shí)候要配置和對(duì)端相對(duì)應(yīng)的區(qū)域號(hào)）3、 ospf的虛連接配置（ospf的虛連接是只多個(gè)不能直接相連接的區(qū)域通過建立邏輯的上虛擬連接，建立鄰居關(guān)系）：area +本網(wǎng)段的區(qū)域號(hào) + virtual-link + 相同區(qū)域?qū)Χ说穆酚善鞯膔outer id（虛連接鏈路的配置是運(yùn)用在至少3個(gè)不同區(qū)域的ospf上，而且其中兩個(gè)區(qū)域，分別和第三個(gè)區(qū)域連接）4、可以使用neighbor + 鄰接路由的IP地址Ping命令有趣使用：?jiǎn)栴}：ping 可以學(xué)成 ping 1.001 ，寫成1.1也能ping通因?yàn)閜ing 的協(xié)議的編寫時(shí)采用了IPV6的機(jī)制的，中間是出現(xiàn)連續(xù)兩個(gè)0的情況的話，可以合并，可以可以不寫。DHCP服務(wù)器在交換機(jī)（DCRS-5650）上的配置：1、 開啟DHCP服務(wù)器 service dhcp2、 定義DHCP的地址池和默認(rèn)網(wǎng)關(guān)，DNS和租用時(shí)間：ip dhcp pool +名字（最好用要轉(zhuǎn)換的vlan的vlan號(hào)） default-router +默認(rèn)網(wǎng)關(guān)（PC默認(rèn)網(wǎng)關(guān)可以選擇vlan的ip） dns-server + DNS服務(wù)器的IP地址 network-address +做DHCP的網(wǎng)址網(wǎng)段 lease infinite （永久租用，可以選擇時(shí)間）3、 定以地址池的范圍：使用ip dhcp ip dhcp excluded-address +不要的地址（剩下的是使用的地址）注意：當(dāng)要求要配置不同兩個(gè)虛擬局域網(wǎng)的DHCP時(shí)，一定要配置兩個(gè)地址池，按上面的制定，它會(huì)自動(dòng)識(shí)別，配置在同一個(gè)下會(huì)出現(xiàn)后面配置的覆蓋了前面配置的WINS服務(wù)器名字和域名指定： /出現(xiàn)幾率少netbios-name-server 0 /服務(wù)器IPdomain-name /服務(wù)器域名RIP路由協(xié)議的配置：1、 進(jìn)入RIP視圖下：Router rip2、 使能需要的網(wǎng)段：交換機(jī)：network +網(wǎng)段/子網(wǎng)掩碼位數(shù) Network +vlan +vlan號(hào) Network+接口號(hào)路由器：network+網(wǎng)段+子網(wǎng)掩碼/子網(wǎng)掩碼很重要，不加默認(rèn)為32，導(dǎo)致不能學(xué)習(xí)到預(yù)想的網(wǎng)段3、rip中的路由引入：Redistribute + 引入的路由協(xié)議 +協(xié)議號(hào)（有就要寫）/rip引入的時(shí)候，有時(shí)候要注意版本（不通可以換版本2）路由引入：不管在RIP引入ospf還是在OSPF引入rip ，都同樣的配置，視圖都是各自的配置視圖，要注意的是，一般要學(xué)習(xí)到直連的網(wǎng)段的路由，必需引入直連路由。ACL的配置：Acl的命名：Acl的命名重要的是簡(jiǎn)單明了，要能區(qū)分不用的acl，但交換機(jī)和路由器是有些不同的擴(kuò)展acl中：交換機(jī)不能以數(shù)字命名，例：ip access-list extended 32（不正確的）路由器可以使用數(shù)字ACL包括：標(biāo)準(zhǔn)ACL（standard）只能定義簡(jiǎn)單的網(wǎng)段，最好用在nat轉(zhuǎn)換上 擴(kuò)展ACL（extended）可以控制協(xié)議、端口、時(shí)間等，使用在高級(jí)控制中 數(shù)字ACL（交換機(jī)才有數(shù)字ACL，路由器沒有數(shù)字ACL）標(biāo)準(zhǔn)ACL在路由器和交換機(jī)的配置區(qū)別：交換機(jī)：#ip access-list standard +ACL名字 #permit/deny +IP地址網(wǎng)段+反子網(wǎng)掩碼路由器：#ip access-list standard +ACL名字 #permit/deny +IP地址網(wǎng)段+正子網(wǎng)掩碼/經(jīng)典配置例子：只允許Vlan 10（/24）在09：00-18:00的時(shí)間訪問FTP服務(wù)器（/24），配置如下：（1）創(chuàng)建時(shí)間表# time-range T1# periodic weekdays 09:00 to 18:00（2）建立acl 控制# ip access-list extended A1# permit tcp eq ftp time-range T1# deny tcp any eq ftp /這個(gè)很重要（3）運(yùn)用到接口上：（要用對(duì)接口，一般用在和服務(wù)器連接的接口，而且是出口，要看準(zhǔn)）# int vlan + 要運(yùn)用acl的接口# ip access-group A1/在配置允許某個(gè)網(wǎng)段只有在特定的時(shí)間才能上網(wǎng)的時(shí)候，也用time-range和acl 來控制要轉(zhuǎn)換的網(wǎng)段。配置拒絕vlan 10和vlan 20之間的通信的配置，使用擴(kuò)展acl ，配置在最近的端口上。鏡像端口配置：1、monitor session 1 sourc interface +源端口+進(jìn)入管理/出去管理/進(jìn)入出去管理/可以acl列表 （ 當(dāng)出現(xiàn)要求特定的數(shù)據(jù)包做鏡像的時(shí)候，就要用到acl）2、monitor session 1 destination intface + 目的端口注意：做了鏈路聚合之后不能相互鏡像，因?yàn)槭窃谕粋€(gè)組內(nèi)，發(fā)的數(shù)據(jù)相同，看做是一個(gè)接口端口帶寬限制和工作模式配置：端口視圖#bandwidth control +允許的速度（單位比特/秒）+ 指定進(jìn)出（進(jìn)、出、進(jìn)出）端口速度配置，在DCRS-5650的配置中，用的單位是M/s 端口視圖#speed-duplex + 工作模式和速率（例：speed-duplex force10-half 10兆半雙工）防ARP掃描功能配置：1、 開啟防ARP掃描功能：# anti-arpscan enable2、 進(jìn)入端口視圖配置信任端口： 端口視圖# anti-arpscan trust port（后面跟supertrust-port是設(shè)置為超級(jí)信任端口）3、 設(shè)置信任IP：#anti-arpscan trust ip + 信任的IP地址 + 子網(wǎng)掩碼端口的安全配置（端口綁定配置）：1、 在端口視圖下開啟端口安全：端口視圖# switchport port-security2、 配置最大連接數(shù)（設(shè)置MAC的最大連接數(shù)）：端口視圖#switchport port-security maximum + 連接最大數(shù)3、 配置安全違背模式（超過最大連接數(shù)執(zhí)行）：端口視圖#switchport port-security violation + 關(guān)閉/保護(hù)模式4、 配置靜態(tài)MCA地址與端口綁定：端口視圖#switchport port-security mac-address + 要綁定的端口5、 動(dòng)態(tài)實(shí)現(xiàn)配置MAC地址與端口綁定：（1） 啟動(dòng)端口安全功能：端口視圖#switchport port-（2） 鎖定端口，關(guān)閉MAC地址學(xué)習(xí)功能：端口視圖#switchport port-security lock（3） 動(dòng)態(tài)學(xué)習(xí)到的MAC地址轉(zhuǎn)換為靜態(tài)：端口視圖# switchport port-security convert（4） 啟動(dòng)定時(shí)器：端口視圖#switchport port-security timeout + 超時(shí)的時(shí)間/另一種配置的方法：DCS-3926(config)#mac-address static address 00-08-0d-be-d8-d8 vlan 1 interface ethernet 0/0/10DCS-3926(config)#interface ethernet 0/0/10DCS-3926(config-ethernet0/0/10)#switchport port-securityDCS-3926(config-ethernet0/0/10)#switchport port-security lockDCS-3926#show mac-address-table 6、 ip地址與端口與MAC地址綁定： /三層交換機(jī)沒有IP地址綁定功能（1） 啟動(dòng)am訪問控制功能：#am enable （2） 進(jìn)入接口視圖配置IP與MAC地址的綁定： 要綁定的接口視圖# am port （先使能要綁定的端口，才能配置）要綁定的接口視圖# am mac-ip-pool + 要綁定的MAC地址 + 要綁定的IP地址動(dòng)態(tài)MAC地址綁定：登錄MAC地址和端口綁定只有在配置的時(shí)候才能把動(dòng)態(tài)學(xué)習(xí)到的MAC地址綁定到端口上，之后的不能夠再動(dòng)態(tài)綁定，如果沒有綁定，則按照規(guī)定處理端口，例如關(guān)閉。最大連接數(shù)是只一個(gè)端口最大綁定多少個(gè)MAC地址；。注意：當(dāng)IP地址和端口和MAC地址綁定了的時(shí)候，這臺(tái)PC機(jī)就不能插在別的端口上使用了，就算插上去也會(huì)出現(xiàn)錯(cuò)誤，不能互通。13.mac地址表綁定mac-address-table static address mac地址 vlan 編號(hào) int e 0/0/編號(hào)/解釋: 讓mac地址只能在指定vlan中的指定端口中使用,其他的都不能使用(未測(cè)試)14.mac地址過濾mac-address-table blackhole address mac地址 vlan 編號(hào)/解釋: 讓mac地址在指定vlan中不能使用(未測(cè)試)QOS的配置：交換機(jī)基于ACL的QOS配置1、 啟動(dòng)QOS服務(wù)：#mls qos2、 定義ACL#ip access-list standard +ACL名字（例如：Q1）#permit/deny.3、 建立class-map，根據(jù)ACL分類：#class-map + 圖的名字（例如：Q2）#match access-group + 根據(jù)的分類的ACL名字（例如：Q1）4、 建立policy-map策略表，把class-map圖加入策略表中,定義動(dòng)作：#policy-map + 策略表名（例如：Q3）#class + class-map名字（例如：Q2） /兩種動(dòng)作如下：（1）#police + 【報(bào)文帶寬限制大?。ɡ纾?0M，單位bit/s）】+ 【突發(fā)最高值（例如：4M，單位bit/s）】 exceed-action + 【超速率動(dòng)作（例如：diop丟包）】（2）#set ip + 【控制參數(shù)類型（例如：改變dscp值為0 #set ip dscp 0）dcsp的值0-63，值越小，優(yōu)先級(jí)越大】5、把策略表運(yùn)用到接口上： #interface + 運(yùn)用到策略表的接口（一般進(jìn)接口） 接口視圖#service-policy input + 策略表的名字（例如：Q3）路由器基于ACL的QOS配置：注意：?jiǎn)?dòng)QOS服務(wù)：#mls qos 只有DCRS-5650中才用到這個(gè)指令，路由器中式?jīng)]有的，估計(jì)默認(rèn)QOS開啟1、 定義ACL#ip access-list standard +ACL名字（例如：Q1）#permit/deny.2、 建立class-map，根據(jù)ACL分類：#class-map +【 圖的名字（例如：Q2）】 match access-group + 【根據(jù)的分類的ACL名字（例如：Q1）】-和交換機(jī)的區(qū)別3、 建立policy-map策略表，把class-map圖加入策略表中,定義動(dòng)作：#policy-map + 策略表名（例如：Q3）#class + class-map名字（例如：Q2） /兩種動(dòng)作如下：police 8000 1 conform-action transmit（1）#police + 【報(bào)文帶寬限制大?。ɡ纾?0M，單位bit/s）】+ 【突發(fā)最高值（例如：4M，單位bit/s）】 conform-action transmit（遵循規(guī)則）-和交換機(jī)的區(qū)別（2）#set ip + 【控制參數(shù)類型（例如：改變dscp值為0 #set ip dscp 0）dcsp的值0-63，值越小，優(yōu)先級(jí)越大】注意：路由器允許的最低流量為8000bit/s4、把策略表運(yùn)用到接口上： #interface + 運(yùn)用到策略表的接口（一般進(jìn)接口） 接口視圖#service-policy input + 策略表的名字（例如：Q3）路由器接口的限制速度配置：接口視圖下# rate-limit input或output + 限制的源路由器PQ的QOS配置：（DCRS-5650交換機(jī)沒有PQ的QOS）1、 定義ACL：#ip access-list standard +ACL名字（例如：QO1）#permit/deny.2、 配置優(yōu)先級(jí)列表：#priority-list +（優(yōu)先級(jí)列表號(hào)1-16，例如：1） protocol ip +【等級(jí)（4種等級(jí)，例如high）】list + （要控制的ACL名字，例如QO1）3、 把優(yōu)先級(jí)列表運(yùn)用到接口上：#interface + 要運(yùn)用列表的接口（一般是進(jìn)入的接口）接口視圖#priority-group + （優(yōu)先級(jí)列表號(hào)，例如：1）例子如下：（配置vlan10 的優(yōu)先上傳服務(wù)器）/配置QOSDCR-2626B_config#mls qosDCR-2626B_config#ip access-list standard 1（acl名字）DCR-2626B_config_std_nacl#permit （vlan10網(wǎng)段）DCR-2626B_config_std_nacl#exitDCR-2626B_config#priority-list 1 （priority-list名字）protocol ip high list 1（acl名字）/把列表運(yùn)用到接口上（數(shù)據(jù)的進(jìn)入接口）DCR-2626B_config#interface fastEthernet 0/3DCR-2626B_config_f0/3#priority-group 1 （priority-list名字）DCR-2626B_config_f0/3#exitDCR-2626B_config#exit策略路由的配置:1、 建立ACL控制源地址：#ip access-list standard +ACL名字（例如：CL1）#permit/deny.2、 基于ACL建立route-map，并制定策略（例如：指定下一跳）：#route-map +【 map名字，例如：CL2】+ permit/deny#match ip address + 【ACL名字，控制的源地址，例如：CL1】 /可以制定多種策略：（下面與下一跳為例子） #set ip next-hop + 下一跳的IP地址3、 把route-map綁定到接口上：#interface + 要綁定的接口（一般為進(jìn)入源地址的接口）接口視圖#ip policy route-map +【 map的名字，例如：CL2】時(shí)間表的配置：（定義一張時(shí)間表）# time-range +【時(shí)間表的名字】#periodic + 星期日期（例如：weekdays）+開始時(shí)間（例如：09：00）to +結(jié)束時(shí)間（例如：18：00）時(shí)間表可以運(yùn)用到到ACL中，例子如下：（定義acl讓 在星期一到星期五09:0018:00期間可以訪問web服務(wù)器54）DCR-2626A_config# time-range vistweb（名字）DCR-2626A_config_time_range# periodic weekdays 09:00 to 18:00 DCR-2626A_config_time_range# exitDCR-2626A_config# ip access-list extended vistweb（ACL名字）DCR-2626A_config_ext_nacl# permit tcp 54 eq www time-range vistweb（time-range名字）DCR-2626A_config# interface fastEthernet 0/0DCR-2626A_config_f0/0# ip access-group vistweb （ACL名字）inVPN的配置：VPN的GRE類型的配置：1、 創(chuàng)建Tunnel接口，虛擬通道，并設(shè)置IP地址（兩端的IP地址一定要在同一網(wǎng)段）：Tunnel接口視圖# interface tunnel + 端口號(hào)（例如：0）Tunnel接口視圖# ip address + tunnel接口的IP地址 + 子網(wǎng)掩碼 2、 指定物理源端口與物理目的端口：Tunnel接口視圖# tunnel source +【 本段出外網(wǎng)的接口或IP地址】Tounel接口視圖# tunnel destination +【對(duì)端進(jìn)入內(nèi)網(wǎng)接口或IP地址】3、 設(shè)置tounel的密鑰（可選）： Tounel接口視圖# tunnel key + 【密鑰數(shù)字，例如：4】4、 發(fā)布要VPN保護(hù)數(shù)據(jù)的網(wǎng)段：用靜態(tài)路由把指向?qū)Χ说膬?nèi)網(wǎng)，下一跳為Tunnel口# ip route + 【保護(hù)數(shù)字網(wǎng)段】 + 【子網(wǎng)掩碼】 + 【下一跳tunnel接口（例如：tunnel 0）】（兩端的配置基本一樣，但要注意源端口和目的端口的互換，要注意在同一網(wǎng)段，和網(wǎng)段的發(fā)布）VPN的IPSec類型：1、自動(dòng)協(xié)商（1）定義要保護(hù)的數(shù)據(jù)源網(wǎng)段（使用擴(kuò)張acl） /要注意定義源地址和目的地址都是保護(hù)的網(wǎng)段，配置（略）（2）配置IKE策略# crypto isakmp policy + 【優(yōu)先級(jí)（例如：10）】Isakmp視圖# authentication pre-share /認(rèn)證方法Isakmp視圖# encryption des /加密方式Isakmp視圖# hash md5 /設(shè)置算法Isakmp視圖# group + 【DH號(hào)（1或2）】 /可選Isakmp視圖# lifetime + 【生存時(shí)間，例如：86400】 # crypto isakmp key + 【密碼（例如：u1）】 + 【指定對(duì)端公網(wǎng)口的IP地址】（3）創(chuàng)建變換集# crypto ipsec transform-set + 【變換集的名字，例如：T1】 /名字一定要記住后面要用# transform-type esp-des esp-md5-hmac （設(shè)置ESP加密和認(rèn)證，如果沒有指定，就配置上面兩個(gè)）#mode + 【模式（例如：tunnel）】 /默認(rèn)的情況下為tunnel（4）關(guān)聯(lián)變換集和創(chuàng)建對(duì)等體 # crypto map +【名字，例如：M1】 +【序列號(hào)，例如：1】+ ipsec-isakmp 協(xié)商模式 # set transform-set + 【變換集名字，例如：T1】 /關(guān)聯(lián)變換集 # set peer + 【對(duì)端公網(wǎng)口上的IP地址】 /要注意端口的IP不要指錯(cuò) # match address + 【ACL的名字，控制保護(hù)源網(wǎng)段的擴(kuò)展ACL的名字】（5）運(yùn)用到接口上 # interface + 要運(yùn)用的接口 接口視圖# crypto map + 【名字，例如：M1】（6）把對(duì)端保護(hù)的數(shù)據(jù)在本段網(wǎng)絡(luò)發(fā)布，并指定端口的下一跳：/可以使用靜態(tài)路由/要建立IPSec VPN一定要有一個(gè)建立連接的過程，需要兩端能互相的數(shù)據(jù)包能到運(yùn)用的接口上。2、手工配置 ？交換機(jī)的鏈路匯聚：靜態(tài)配置聚合組1、 建立匯聚組port-group：# port-group 匯聚組號(hào)（二層1-15，三層1-8，例如：1）2、 把接口加入到匯聚組中去：# interface + 要匯聚的接口 接口視圖# port-group +（組號(hào)，例如：1）mode + （模式，例如：on） 動(dòng)態(tài)配置聚合組：（只有三層和三層的交換機(jī)才能動(dòng)態(tài)聚合，二層和三層不能動(dòng)態(tài)聚合）SA：# port-group + 聚合組號(hào)# interface + 要聚合的端口號(hào)接口視圖下# port-group + 組號(hào) + mode +（active或passive）SB：# port-group + 聚合組號(hào)#interface + 要聚合的端口號(hào)接口視圖下# port-group + 組號(hào) + mode +（active或passive）/重點(diǎn)：SA和SB的模式一端要active，另一端要passive。使用：show port-group brief命令查看聚合組有沒有配置成功，當(dāng)Number of port-channels : 1 的值是“1”時(shí)，證明成功。文件管理（上傳和下載文件）：1、 配置IP地址：要讓設(shè)備的管理IP和TFTP/FTP的PCi的IP在同一網(wǎng)段2、 PC開啟配置TFTP/FTP服務(wù)器的目錄：主要配置服務(wù)器的下載文件的路勁3、 交換機(jī)/路由器啟動(dòng)TFTP/FTP服務(wù)：# tftp-server enable# ftp-server enable4、 配置文件上傳或下載：#copy + 源文件名（例如：startup-config）+ tftp/ftp：/服務(wù)器PC的IP地址/+保存的文件名（例如：startup1）私有vlan配置：Private vlan分三種：（1）Primary VLAN（主lan）：它內(nèi)部端口可以和關(guān)聯(lián)帶該P(yáng)rimary VLAN 的Isolated VLAN 和 Community VLAN中的端口相通，它之間的端口也可以進(jìn)行通信； （2）Isolated VLAN（隔離lan） 內(nèi)的端口之間不能通信，但可以和其關(guān)聯(lián)的Primary VLAN 內(nèi)的端口通信，而且不能和Community VLAN通信； （3）Community VLAN（群體vlan）內(nèi)的端口互相之間可以通信，但不同的群體VLAN間不能通信，也可以和其關(guān)聯(lián)的Primary VLAN 內(nèi)的端口通信，但不能和Isolated VLAN內(nèi)的端口進(jìn)行通信。1、 創(chuàng)建VLAN，指定VLAN的Private VLAN 類型：# vlan + VLAN ID（例如：100）Vlan視圖# private-vlan + 私有vlan的類型（例如：primary 、community 或 isolated）2、 建立關(guān)聯(lián)關(guān)系（把Isolated VLAN與Community VLAN關(guān)聯(lián)到Primary VLAN 中去）：主vlan視圖# private-vlan association + 【要關(guān)聯(lián)的VLAN ID，可以用分號(hào)隔開】（例如： #private-vlan association 200；300；400）3、 在相應(yīng)的VLAN中添加相應(yīng)的端口：Vlan視圖# switchport interface + 【添加的相應(yīng)端口】注意：1、創(chuàng)建私有vlan的時(shí)候，先做關(guān)聯(lián)，再添加端口。因?yàn)殛P(guān)聯(lián)時(shí)，會(huì)自動(dòng)把原vlan的端口移除。 2、隔離vlan中不顯示隔離端口，只顯示混雜端口。交換機(jī)、路由器組播協(xié)議配置：交換機(jī)VRRP的配置：1、 建立虛擬路由器：# router vrrp + 【虛擬組號(hào)，例如：1】2、 指定虛擬IP地址（虛擬網(wǎng)關(guān)地址）和 設(shè)置優(yōu)先級(jí)：虛擬組視圖# virtual-ip + 【虛擬IP地址】虛擬組視圖# priority +【優(yōu)先級(jí)（1-255），master=255，backup=100】（默認(rèn)為100）3、 在虛擬組中增加VLAN接口： 虛擬組視圖# interface + 【vlan接口，例如：vlan 2】4、 啟動(dòng)虛擬路由組： 虛擬組視圖# enableVRRP的邊角配置：（1）設(shè)置VRRP的搶占模式： VRRP視圖# preempt-mode + flase(關(guān)閉搶占模式) 或 true （使能搶占模式） /默認(rèn)是搶占模式（2）設(shè)置VRRP發(fā)送VRRP報(bào)文的時(shí)隔： VRRP視圖# advertisement-interval + 【時(shí)間，例如：3（單位：秒）】 注意：要兩邊的VRRP都同時(shí)設(shè)定相同的時(shí)間，才能交換VRRP報(bào)文，不然會(huì)出現(xiàn)，它們都認(rèn)為自己是master的情況，不能進(jìn)行主的選舉（3）配置VRRP的端口監(jiān)控： VRRP視圖# circuit-failover + 要監(jiān)測(cè)的端口 + 要降低的優(yōu)先級(jí) /注意要先關(guān)閉VRRP會(huì)話（disable），才能配置，只有在搶占模式下才能起作用注意：配置了端口監(jiān)測(cè)后，拔掉下層的線會(huì)比較會(huì)影響VRRP的延遲時(shí)間，可能會(huì)丟掉很多的包。注意：假如都配置成功后，但有一臺(tái)交換機(jī)的狀態(tài)沒有轉(zhuǎn)變，那重啟一次VRRP就能解決這個(gè)問題。HSRP協(xié)議的配置：交換機(jī)的配置：（HSRP和VRRP很類似，都是可以做網(wǎng)關(guān)冗余的，所以使用的環(huán)境也很相同）HSRP的工作狀態(tài)為：active 備份的狀態(tài)：standby# interface + 【要配置的vlan接口，例如：vlan 2】接口視圖# standby + 【組號(hào)（0-255），默認(rèn)為“0”】 + ip + 【要充當(dāng)組共同的IP地址】接口視圖# standby + 【要設(shè)置優(yōu)先級(jí)的組號(hào)】+ priority + 【優(yōu)先級(jí)（默認(rèn)為100，數(shù)值越大，優(yōu)先級(jí)越大），例如：要把該交換機(jī)設(shè)為主鏈路，寫成 120】接口視圖# standby + 【組號(hào)】+ authentication + 【驗(yàn)證字符（1-8個(gè)字節(jié)）】 （可選）接口視圖# standby + 【組號(hào)】+ preempt /啟動(dòng)搶占模式，只有搶占模式，才會(huì)在每次斷開時(shí)候重新選舉出優(yōu)先級(jí)高的交換機(jī)作為主交換機(jī)，默認(rèn)情況下是非搶占模式路由器的配置：（路由器的HSRP和交換機(jī)的很類似，它是配置到F接口上的，如果下面有多個(gè)vlan使用獨(dú)臂路由，創(chuàng)建子接口，配置到子接口上）# interface + 【要配置的接口，例如：F0/0】接口視圖# standby + 【組號(hào)（0-255），默認(rèn)為“0”】 + ip + 【要充當(dāng)組共同的IP地址】接口視圖# standby + 【要設(shè)置優(yōu)先級(jí)的組號(hào)】+ priority + 【優(yōu)先級(jí)（默認(rèn)為100，數(shù)值越大，優(yōu)先級(jí)越大），例如：要把該路由器設(shè)為主鏈路，寫成 120】接口視圖# standby + 【組號(hào)】+ authentication + 【驗(yàn)證字符（1-8個(gè)字節(jié)）】 /注意：在路由器上，必需配置，不然不通接口視圖# standby + 【組號(hào)】+ preempt /啟動(dòng)搶占模式，只有搶占模式，才會(huì)在每次斷開時(shí)候重新選舉出優(yōu)先級(jí)高的交換機(jī)作為主交換機(jī)，默認(rèn)情況下是非搶占模式接口視圖# standby + 【組號(hào)】+ track + interface + 【要監(jiān)測(cè)的端口，例如F0/3】路由器的鏈路協(xié)議配置（DHLC、FR和PPP等）：1、神州數(shù)碼本身要配置時(shí)鐘指定DCE串行端口才能正常通信。 串行接口視圖# physical-layer speed + 【速率，例如：6400】2、DHLC協(xié)議配置（神州數(shù)碼默認(rèn)為DHLC，H3C為無驗(yàn)證PPP）： 串行接口視圖# encapsulation dhlc （鏈路協(xié)議，要保持兩端一至才能正常通信，所以要等兩端都配置好才能通信）3、FR（幀中繼）協(xié)議配置： （1）串口上啟動(dòng)FR協(xié)議： 串行接口視圖# encapsulation frame-relay （2）建立虛擬鏈路號(hào)，及指定DCE或DTE，配置DCE的端口速率： 串行接口視圖# frame-relay local-dlci + 【鏈路號(hào)，例如：16】 串行接口視圖# frame-relay intf-type + DCE或DTE 串行接口視圖# physical-layer speed + 【速率，例如：6400】 （要一段指定DCE，另一端指定DTE，才能正常的通信，而且在DCE端配置時(shí)鐘速率） （3）配置虛擬鏈路（DLCI）與對(duì)端IP地址的映射： 串行接口視圖# frame-relay map + 對(duì)端的IP地址 pvc + 【本端的虛擬鏈路號(hào)，例如：16】broadcast 注意：本段的虛擬鏈路號(hào) + 對(duì)端的IP地址，可以確認(rèn)一條虛擬通道，一定要對(duì)應(yīng)，不然出錯(cuò)。4、PPP的無驗(yàn)證配置： 串行接口視圖# encapsulation ppp（和DHLC配置類似）5、PPP的PAP驗(yàn)證的配置： # username + 對(duì)方驗(yàn)證賬號(hào) + password + 對(duì)方驗(yàn)證密碼 # aaa authentication ppp default local /設(shè)置PPP本地用戶認(rèn)證，很重要，一定要配置接口視圖# encapsulation ppp接口視圖# ppp authentication pap /配置ppp的pap驗(yàn)證接口視圖# ppp pap sent-username + 對(duì)端建立的驗(yàn)證賬號(hào) + password +對(duì)端建立的驗(yàn)證密碼6、PPP的CHAP認(rèn)證的配置： # username + 對(duì)方驗(yàn)證賬號(hào) + password + 對(duì)方驗(yàn)證密碼 # aaa authentication ppp default local /設(shè)置PPP本地用戶認(rèn)證，很重要，一定要配置接口視圖# encapsulation ppp接口視圖# ppp authentication chap /配置ppp的pap驗(yàn)證/和pap不同的地方就是在配置用戶和密碼驗(yàn)證的時(shí)候，兩個(gè)都要指定，不然不通接口視圖# ppp chap hostname + 對(duì)端建立的驗(yàn)證賬號(hào)接口視圖# ppp chap password + 對(duì)端建立的驗(yàn)證密碼6、PPP的PAP的單向認(rèn)證： 這個(gè)實(shí)驗(yàn)中，給大家提醒要注意的幾點(diǎn)：1，做pap實(shí)驗(yàn)時(shí)，為了避免出錯(cuò)，一定要先做單向?qū)嶒?yàn)：也就是說在DCE端數(shù)據(jù)庫(kù)存儲(chǔ)一個(gè)用戶名密碼，讓DTE端發(fā)動(dòng)用戶名密碼來認(rèn)證。認(rèn)證通過則打開信道。作單向認(rèn)證時(shí)！要注意的問題?。悍?wù)段RA設(shè)置：# username RB password RB# aaa authen ppp defaule local接口視圖# enca ppp接口視圖# ppp authen pap接口視圖# phy speed 64000客戶端RB設(shè)置：enca pppppp pap sent-username RB password RB/注意點(diǎn)：千萬不要在客戶端輸入“ppp authen pap” 這個(gè)命令的意思是需要做pap的認(rèn)證。單向認(rèn)證時(shí)，是不需要客戶端輸入這個(gè)命令的/注意：(改變了端口認(rèn)證配置時(shí) 要重新啟動(dòng)端口，才能生效)不管是pap驗(yàn)證還是chap驗(yàn)證都必須按步驟來第一步，兩端都封裝PPP協(xié)議，并配上IP ，進(jìn)行聯(lián)通測(cè)試第二步，兩端都啟用pAP或chap驗(yàn)證，再測(cè)試才能成功！如果不行將S口shutdown 后再 開啟7、PPP的chap的單向認(rèn)證：RTA：# aaa authentication ppp + 【認(rèn)證方法的名字，例如：test】+ local /建立本地aaa認(rèn)證的方法，這個(gè)很重要# username + 【對(duì)端的用戶名】 password + 【密碼】# encapsulation ppp /啟動(dòng)PP認(rèn)證# ppp authentication chap + 【驗(yàn)證方法，例如：test】# physical-layer speed 64000RTB：# aaa authentication ppp default local# encapsulation ppp# ppp chap hostname +【本端發(fā)送的用戶名】# ppp chap password +【密碼】經(jīng)典例子（很重要）：Router-A_config#aaa authentication ppp bisai localRouter-A_config#username RDCE password digital1Router-A_config_s0/1#encapsulation pppRouter-A_config_s0/1#ppp authentication chap bisaiRouter-A_config_s0/1#physical-layer speed 9600Router-B_config#aaa authentication ppp default localRouter-B_config_s0/1#encapsulation pppRouter-B_config_s0/1#ppp chap hostname RDCERouter-B_config_s0/1#ppp chap password digital18、PPP的papa和chap 混合使用：（例如：先pap后chap）RTA:# username rb password rb# aaa authen ppp defaule local接口視圖# enca ppp接口視圖# ppp authen pap chap / 混合使用，先pap，后chap接口視圖# phy speed 64000接口視圖# ppp pap sent ra pass ra接口視圖# ppp chap hostname ra接口視圖# ppp chap password raRTB：# username ra password ra# aaa authen p