telnet server enable //Activer la fonction telnet
interface utilisateur vty 0 4 //Activer le port de connexion 0-4
protocol inbound telnet //Se connecter via le protocole telnet
authentication-mode aaa //Le mode d'authentification est aaa
aaa //Activer aaa
local-user admin123 password admin123 //Configurer le nom d'utilisateur et le mot de passe
local-user admin123 service-type telnet //L'utilisateur est utilisé pour telnet
local-user admin123 niveau de privilège 15 //Le niveau d'utilisateur est 15
dhcp enable //activer le service dhcp
ip pool 1 //créer le pool d'adresses IP 1
réseau +masque d'adresse réseau +masque //configurer la plage du pool d'
adresses dns-list +dns IP address
gateway-list +ip address //configurer la passerelle
exclue -ip -address +adresse IP//réserver l'adresse IP
lesae+ numéro //configurer la durée du bail
nom-domian+nom //nom de domaine
Configurez le client sous l'interface vlanif10 pour obtenir une adresse IP à partir du pool d'adresses globales ip pool 1
interface valnif10
adresse ip + adresse ip + masque de sous-réseau //configurer la passerelle vlan
dhcp sélectionner global/interface //global ou interface utiliser le service dhcp
ACL access control list
time-range workday + time to time working-day //Configurer la période, du lundi au vendredi de quelle heure à quelle heure
acl 2000 //Activer la
règle acl permit source avec le numéro 2000 +ip address+anti -masking Code time-range workday //Autoriser uniquement l'ip à être accessible
rule deny //Rejeter
interface + interface //entrer interface
acl 2000 inbound //appliquer acl sur l'interface
Advanced ACL
[Router]acl 3000 //créer une ACL avancée
[Router-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 19
2.168.3.100 0 //write deny entry
[Router]int g0/0 /2 //Appliquer l'ACL sur l'interface
[Router-GigabitEthernet0/0/2]traffic-filter outbound acl 3000
Traduction d'adresses NAT
nat address-group 1 2.2.2.100 2.2.2.200 //Configurer le pool d'adresses NAT 1
nat address-group 2 2.2.2.80 2.2.2.83 //Configurer le pool d'adresses NAT 2
acl 2000
rule 5 permit source 192.168.20.0 0.0. 0.255 // Définissez la règle acl2000 numérotée 5 pour permettre à l'adresse source ci-dessus de passer
acl 2001
rule 5 permit source 10.0.0.0 0.0.0.255 //Définissez la règle numérotée 5 dans acl2000 pour autoriser le passage de l'adresse source ci-dessus
interface + interface //Entrez l'interface
nat outbound 2000 address-group 1 no-pat //Définissez l'adresse source correspondant à acl2000, convertissez-la en adresse du pool d'adresses 1 et n'ouvrez pas le port NAT nat outbound 2001
address- group 2 //Set Définissez l'adresse source correspondant à acl2001 et convertissez-la en l'adresse du pool d'adresses 2
NAT statique
nat static global 122.1.2.2 inside 192.168.1.2 //Le mappage d'adresse un à un 122 est externe 192. Il est interne et externe avant et interne.nat
static enable //Entrez l'interface et appliquez-la sur l'interface
ip route-statique 0.0.0.0 0 13.1.1.2
Serveur NAT
Configurez le serveur NAT sur le routeur pour mapper le port 80 du serveur intranet 192.168.1.10 au port 80 de l'adresse réseau publique 122.1.2.1
nat server protocol tcp global 122.1.2.1 www inside 192.168.1.10 80
Étapes de configuration
1. interface + interface
2.adresse IP + adresse IP de réseau externe + masque de sous-réseau
3. protocole de serveur nat tcp adresse IP de réseau externe global +80 à l'intérieur de l'adresse IP de réseau interne +80 //Ajouter l'adresse IP de réseau externe Le port 80 est mappé au port 80 de l'adresse IP intranet
Étapes de configuration du NAT dynamique
1. Configurez le pool d'adresses de réseau public
nat address-group 1 12.1.1.2 12.1.1.10 //Le premier 1 est le nom
2. Créer ACL
acl 2000
règle 10 permis source 192.168.1.0 0.0.0.255
3. Accédez à l'interface et accédez à
nat outbound 2000 address-group 1 no-pat // Conversion de correspondance entre acl2000 et address-group 1, no-pat signifie aucune conversion de port
Port NAT
[AR1]nat address-group 1 12.1.1.2 12.1.1.2 //Une seule adresse est configurée
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
Notez que no-pat est ajouté
Interface IP facile
+ interface
nat outbound 2000 //Configurer directement sur le port, convertir l'acl2000 directement en adresse IP sur le port
Configurer VRRP
1. Créez un groupe de sauvegarde VRRP et configurez l'adresse IP virtuelle
sur coresw1. Configurez
[coresw1]interface vlanif 10
[coresw1-Vlanif10]
[coresw1-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254 //Configure the virtual ip address
[coresw1-Vlanif10 ]vrrp vrid 10 priority 120 //Plus la priorité est élevée, mieux c'est, le maximum est de 255
[coresw1-Vlanif10]vrrp vrid 10 preempt-mode timer delay 20 //Délai de préemption (0 signifie préemption immédiate)
[ coresw1-Vlanif10]q
vrrp vrid 10 temporisateur en mode préemption désactivé // Mode non préemptif
Le périphérique maître vrrp envoie périodiquement 224.0.0.18 paquets keep-alive au périphérique de sauvegarde
[AR1]load-balance src-ip //Basé sur l'équilibrage de charge IP source, il n'est pas basé sur un seul paquet pour faire l'équilibrage de charge
[AR1]ip route-static 0.0.0.0 0 13.1.1.2 preferences 100 //Mobilize priority , Plus la priorité est faible, mieux c'est
Application BFD
bfd //Activer
la sortie de BFD //Quitter
Configurer la session BFD entre R1 et R2
Sur R1 :
bfd bfd R2 bind peer-ip +R2's ip address source-ip +R1's ip address //L'adresse configurée sur R2 est opposée
discriminator local 11 //Créer un identifiant local
discriminator remote 22 //Créer un identifiant distant
commit //L'utilisation du mot-clé commit est efficace pour BFD
quit //Quitter
ip route-static +2.2.2.0 24 12.1.1.2 track bfd-session bfd R1 R2 //Configurer une route statique et suivre bfd R1 R2, c'est-à-dire que lorsque la communication entre 12.1.1.1 et 12.1.1.2 échoue, le statique configuré route sera supprimée de la table de routage
afficher toutes les sessions bfd //Afficher l'état de BFD
Utilisez la méthode d'écho à un bras pour réaliser BFD, configurez uniquement la détection BFD sur R1, et R2 n'a pas besoin d'être configuré
Étapes :
bfd //Activer bfd globalement
q //Quitter global
bfd 123 bind peer-ip 12.1.1.2 source- ip 12.1.1.1 one-arm-echo //Créer une session d'écho à un bras bfd
discriminator local 123 //Le numéro de session local (similaire au numéro AS local) peut être identique ou différent
/*bfd session-name bind peer-ip peer-ip[ vpn-instance vpn-instance-name ] interface interface-type interface-number [ source-ip ip-address ] one-arm-echo, créer une fonction d'écho à un bras Séance BDF.
Par défaut, aucune session BFD avec fonction d'écho à un bras n'est créée */
Résumé :
[AR1]
[AR1]bfd 1 //Nommez-le comme 1
[AR1]
[AR1]bfd 1 bind
[AR1]bfd 1 bind peer-ip 12.1.1.2 source-ip 12.1.1.1 auto //Détecter l'IP de l'appareil homologue Votre propre appareil L'IP
auto est en auto-négociation
[AR1-bfd-session-1]commit //Commande effective BFD
[DX]bfd 1 bind peer-ip 12.1.1.1 source-ip 12.1.1.2 auto //Ceci doit être écrit des deux côtés
[AR1]ip route-static 0.0.0.0 0 12.1.1.2 track bfd-session 1 //Track PFD, lorsque ce pfd échoue, cette route sera supprimée
Configurer le protocole RIP
rip 1
version 2
réseau + adresse réseau // déclarer le réseau connecté au routeur local au processus rip 1, seul le réseau de la classe principale peut être déclaré
Configurer le protocole OSPF
ospf 1
area 0 //main area 0
network + network address + anti-mask //déclarer le réseau connecté au routeur local au processus ospf 1
afficher ospf peer brief //Afficher la relation établie par les voisins
filter-policy +acl number import //Filtrez les informations à ajouter à la table de routage en spécifiant l'ACL de la liste de contrôle d'accès
Exemple :
ospf 1
filter-policy 2000 import
import-route direct //Importer des routes directes dans le réseau OSPF
filter-policy 2000 export rip 1 //Filtrer les informations de routage RIP importées dans OSPF en spécifiant la liste de contrôle d'accès ACL2000
Scénario 1 :
En configurant la politique de publication de route OSPF de R3, seuls le segment de réseau de production et le segment de réseau de bureau sont publiés, et le réseau privé financier n'est pas publié, afin d'empêcher d'autres segments de réseau du siège ou des succursales de l'entreprise d'accéder le réseau privé financier
Configurer la liste des préfixes d'adresses 3to2 (sur R3)
ip ip-prefix 3 to 2 index 10 permit 10.1.0.0 24 //office network segment
ip ip-prefix 3 to 2 index 20 permit 10.5.0.0 24 //production network segment
Configurez la politique de publication, reportez-vous à la liste des préfixes d'adresse 3to2 pour le filtrage (sur R3)
ospf 1
zone 0
réseau 192.168.23.0 0.0.0.255
filter-policy ip-prefix 3to2 export static
配置BGP
[R3]bgp 100
[R3-bgp]peer 34.1.1.2 as-number 200
[R4]bgp 200
[R4-bgp]peer 34.1.1.1 as-number 100
[R4-bgp]peer 45.1.1.2 as-number 200
[R5]bgp 200
[R5-bgp]pair 45.1.1.1 as-number 200
[R4]display bgp peer //Vérifier si la route est apprise via bgp
Importer manuellement les routes en bgp (déclaration manuelle)
[R5-bgp]ipv4-family unicast //Indique le routage ipv4 unicast
[R5-bgp-af-ipv4]network 200.1.1.0 24 //segment réseau +
masque Le segment est déclaré au processus bgp200, afin que R4 puisse apprendre la route via ibgp
Importer des routes bgp dans ospf
[R3]ospf 1
[R3-ospf-1]import-route bgp //Appuyez sur R3 pour importer des routes bgp
还可以引入:
bgp Border Gateway Protocol (BGP) routes
direct Connected routes
isis Intermediate System to Intermediate System (IS-IS) routes
limit Limiter le nombre de routes importées dans OSPF
ospf Open Shortest Path First (OSPF) routes
rip Routing Information Protocol ( RIP) routes
statiques Routes statiques
unr Routes réseau utilisateur
2. Importez maintenant la route ospf dans bgp (importez la route vers le segment de réseau 100.1.1.0 dans R5)
[R3]bgp 100 //Introduisez la route du processus ospf 1 dans bgp100
[R3-bgp]import-route ospf 1
2. Sur R4
[R4]bgp 200
[R4-bgp]peer 45.1.1.2 next-hop-local //Définissez le prochain saut pour vous-même, c'est-à-dire pour changer tous les prochains sauts pour vous-même
next-hop-invariable Envoie le saut suivant d'origine pour les routes annoncées au pair
next-hop-local Spécifie l'adresse locale comme prochain saut des routes
annoncées au pair
Étapes de configuration du VPN IPSec :
1. Configurer l'accessibilité du réseau
2. Configurer l'ACL pour identifier les flux d'intérêts
3. Créer une proposition de sécurité----Proposition de sécurité IPSec
4. Créer une politique de sécurité
5. Appliquer la politique de sécurité
La première étape est omise
[R1]acl 2000 //configure ACL
[R1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255
[R1-GigabitEthernet0/0/2]int g0/0/2 //Appliquer l'ACL à l'interface sortante
[R1-GigabitEthernet0/0/2]nat sortant 2000
acl 3000
[R1-acl-adv-3000]rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192
.168.20.0 0.0.0.255 //Le premier est la source, le second est la destination
[R2]acl 3000 //ACL3000 est également configuré sur l'extrémité homologue
[R2-acl-adv-3000]rule 10 permit ip source 192.168.20.0 0.0.0.255 destination192.168.10.0
0.0.0.255
Créez une proposition de sécurité :
[R1]ipsec proposition cd //Nommez-la comme cd, proposition ipsec : proposition IPSec
[R1-ipsec-proposal-cd]esp authentication-algorithm md5 //Configurez l'algorithme de chiffrement comme md5
还有其他加密:
md5 Utiliser l'algorithme HMAC-MD5-96
sha1 Utiliser l'algorithme HMAC-SHA1-96
sha2-256 Utiliser l'algorithme SHA2-256
sha2-384 Utiliser l'algorithme SHA2-384
sha2-512 Utiliser l'algorithme SHA2-512
sm3 Utiliser l'algorithme SM3
[R1-ipsec-proposal-cd]esp encryption-algorithm des //Configurer l'algorithme d'authentification comme des Le
chiffrement des données utilise généralement un algorithme de chiffrement symétrique
[R1]afficher la proposition ipsec //Afficher les commandes
3des Utiliser 3DES //对称加密算法
aes-128 Utiliser AES-128
aes-192 Utiliser AES-192
aes-256 Utiliser AES-256
des Utiliser DES
sm1 Utiliser SM1
<cr> Veuillez appuyer sur ENTER pour exécuter la commande
R2上也要配置Proposition IPSec
[R2]proposition ipsec bj
[R2-ipsec-proposal-bj]esp authentication-algorithm md5
[R2-ipsec-proposal-bj]esp cryptage-algorithm des
[R2-ipsec-proposal-bj] q
Configurer manuellement les politiques de sécurité
Configurer manuellement
[R1]ipsec policy chengdu 10 manual //Configurer manuellement la politique IPSEC chengdu
[R1-ipsec-policy-manual-chengdu-10]security acl 3000 //Inclure le trafic acl3000
[R1- ipsec-policy-manual -chengdu-10]proposal cd //Utiliser le cd de proposition ipsec
[R1-ipsec-policy-manual-chengdu-10]tunnel local 100.1.1.1 //Configurer l'adresse locale du tunnel
[R1-ipsec-policy-manual-chengdu-10]tunnel remote 200.1.1.1 //Configurer l'adresse distante du tunnel
[R1-ipsec-policy-manual-chengdu-10]sa spi inbound esp 54321 //Définir le numéro SA entrant sur 54321
[R1-ipsec-policy-manual-chengdu-10]sa string-key inbound esp cipher TQY //Configurez la clé d'authentification SA dans le sens entrant en tant que TQY
[R1-ipsec-policy-manual-chengdu-10]sa spi outbound esp 12345 //Configurer le numéro SA sortant comme 54321
[R1-ipsec-policy-manual-chengdu-10]sa string-key outbound esp cipher TQY / Configurez la clé d'authentification de SA dans le sens entrant en tant que TQY
Appliquer la politique IPSec sur l'interface :
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]ipsec policy chengdu //Apply on the outgoing interface
Configurez VRRP pour obtenir la redondance de la passerelle et la commutation
Switch Master VRRP configuration
interface vlanif 10
vrrp vrid 10 virtual-ip 192.168.10.254 //Configurer le routeur virtuel vrrp 10, l'adresse IP de la passerelle virtuelle 192.168.10.254
vrrp vrid 10 priority 120 //La priorité du routeur virtuel 10 est définie sur 120. La priorité par défaut est 100
vrrp vrid 10 preempt-mode time delay 20 //Définir le délai de préemption à 20 secondes
Commutez la configuration de secours de VRRP
interface vlanif 10
vrrp vrid 10 viryual-ip 192.168.10.254 //Configurer le routeur virtuel vrrp 10, l'adresse IP de la passerelle virtuelle 192.168.10
afficher vrrp brief //Vérifier l'état de vrrp
Configurer le routage de stratégie (déchargement des données) :
Étape 1 : Configurer l'ACL pour qu'elle corresponde
au numéro d'ACL de trafic 2010,
règle 10, source d'autorisation 192.168.10.0 0.0.0.255
numéro ACL 2020
règle 10 source de permis 192.168.20.0 0.0.0.255
Étape 2 : classification du trafic (classer le trafic à faire correspondre par acl, par exemple quel segment de réseau va à China Telecom et quel segment de réseau va à China Unicom pour le classer en premier) classificateur de trafic + nom if-match
acl
2010
classificateur de trafic +名字
if-math acl 2020
Étape 3 : comportement du trafic (trafic classé, comportement défini, c'est-à-dire vers quelle interface se rendre, ou refuser le trafic, ou autoriser le trafic)
comportement du trafic + nom
redirct ip-nexthop + adresse ip//généralement cette adresse ip elle-même L'adresse ip de l'appareil
refuse // rejette
l'autorisation // autorise
Étape 4 : Politique de trafic (connexion de la classification du trafic et du comportement du trafic)
politique de trafic + nom //Le nom est obtenu par lui-même
classificateur + comportement du nom de la classification du trafic + nom du comportement du trafic
Étape 5 : Appliquez
l'interface de routage de la politique +
la politique de trafic de l'interface + le nom de la classification du trafic entrant sur l'interface entrante
Configurez Eth-Trunk :
interface Eth-trunk 1
mode lacp-static
max active-linknumber 2 //Le nombre maximum de liens actifs est de 2
trunkport g0/0/ //Ajouter l'interface physique g0/0/1 au groupe d'interfaces logiques eth-trunk 1
Configurez plusieurs arbres couvrants :
stp enable
stp mode mstp
stp region-configuration //Entrez le modèle de configuration
region-name 1 //Nom de domaine 1
instance 10 vlan 10 //Créez l'instance MSTI1 et l'instance MSTI2 instance
20 vlan 20
active region-configuration // L'instance MSTP est utilisée pour distinguer les différentes instances utilisées par les VLAN. Différentes priorités peuvent être définies pour réaliser la fonction de chargement du pont racine.
stp instance 10 root primary //devenir maître
stp instance 20 root secondaire //devenir B
stp pathcost-standard legacy //la méthode de calcul du coût du chemin de port est la méthode de calcul Huawei
stp instance 2 cost 20000 // GE1/0/2 est dans l'instance MSTI2 La valeur du coût du chemin est configurée sur 20 000.
stp edged-port enable //GE1/0/1 est un port périphérique
stp bpdu-protection //Configurer la protection BPDU
stp root-protection //Activer la protection root
Configurer NQA :
Scénario : Telecom 12.1.1.1 China Unicom 23.1.1.2
nqa test-instance root icmp //Envoyer ICMP régulièrement pour vérifier si la sortie du réseau est normale
test-type icmp
fréquence 10
probe-coint 2
destination-address ipv4 12.1.1.1
commencez maintenant
ip route-static 0.0.0.0 23.1.1.2
ip route-static 0.0.0.0 12.1.1.1 preferences 10 track nqa root icmp //Configurer deux routes par défaut, pointant respectivement vers China Telecom et China Unicom Les utilisateurs accèdent principalement à Internet via la sortie de China Telecom Raccrochez, passez à la sortie de China Unicom
Configuration de l'authentification sans fil :
1. Configurer l'interface ATM
interface atm + numéro d'interface
pvc voip 1/35 //Créer PVC (circuit virtuel ATM)
map ppp virtual-template 10 //Configurer le mappage pppoA sur PVC
quit //Quitter
l'interface de veille celluar+ interface / /Créer une interface virtuelle
Configurer le mode de connexion entre APN et le réseau
apn profile 3gprofile
apn wcdma
quit
interface celluar + interface
mode wcdma wcdma-only //Configurer le numéroteur de modem 3G
enable-circular //Utiliser la fonction d'interrogation DCC
apn -profile 3gprofile //Configurer le profil APN de liaison de l'interface cellulaire 3G
Réseau distribué agile :
1. Créez un groupe de points d'accès pour ajouter des points d'accès avec la même configuration au même groupe de points d'accès
wlan
ap-group name ap-group1 //Prenez ap-group1 comme exemple
quit
2. Créez un modèle de gestion de domaine, configurez le code de pays de l'AC sous le modèle de gestion de domaine et référencez le modèle de gestion de domaine nom de profil de domaine réglementaire defult
country-code CN sous le groupe AP //Le code de pays de l'AC is China
quit
ap-group name ap-group1
Regulatory-domain-profile name defult
quit
quit
capwap source interface + Importer
l'AP central et le RU hors ligne sur l'AC et les ajouter au groupe AP "ap-group1". Supposons que l'adresse MAC de l'AP central est 68a8-2845-62fd, nommée central_AP, et que les adresses MAC des RU sont fcb6-9897-c520 et fcb6-9897-ca40, nommées respectivement ru_1 et ru_2
[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 68a8-2845-62fd
[AC-wlan-ap-0] ap-name central_AP
Avertissement : Cette opération peut entraîner la réinitialisation du point d'accès. Continuer? [O/N] :y
ap-group ap-group1
quit
[AC-wlan-view] ap-id 1 ap-mac fcb6-9897-c520
[AC-wlan-ap-1] ap-name ru_1
Avertissement : Cette opération peut entraîner la réinitialisation du point d'accès. Continuer ? [O/N] :y
[AC-wlan-ap-1] ap-group ap-group1
quit
# Set AP Après la mise sous tension, exécutez la commande display ap all pour vérifier que le champ State de l'AP est "nor", indiquant que l'AP est en ligne normalement.
afficher tout
3. Créez un modèle de sécurité nommé "wlan-net" et configurez les politiques de sécurité.
Dans l'exemple, la politique de sécurité de WPA-WPA2+PSK+AES est utilisée comme exemple, et le mot de passe est "a1234567". Dans la configuration réelle, veuillez configurer une politique de sécurité qui répond aux exigences réelles en fonction de la situation réelle.
[AC-wlan-view] nom du profil de sécurité wlan-net
[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase a1234567 aes
quit
# Créez un profil SSID nommé "wlan-net" et configurez le nom SSID comme "wlan-net"
[AC-wlan-view] ssid-profile name wlan-net
[AC-wlan-ssid-prof-wlan-net] ssid wlan-net //Voici
[AC-wlan-ssid-prof-wlan-net] quitter pour définir le nom SSID
Créez un profil VAP nommé "wlan-net", configurez le mode de transfert des données de service, le VLAN de service et référencez le profil de sécurité et le nom du profil vap du profil SSID wlan-net [AC-wlan-vap-prof-wlan-net
]
forward - mode tunnel
[AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 101
[AC-wlan-vap-prof-wlan-net] security-profile wlan-net //Appliquer le profil de sécurité
[AC- wlan -vap-prof-wlan-net] ssid-profile wlan-net //Appliquer le profil SSID
[AC-wlan-vap-prof-wlan-net] quitter
# Configurez le groupe AP pour référencer le profil VAP.La radio 0 et la radio 1 sur l'AP utilisent la configuration du profil VAP "wlan-net".
[AC-wlan-view] nom du groupe ap ap-group1
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1
[AC-wlan-ap-group-ap-group1] quitter
afficher vap ssid wlan-net //
display station ssid wlan-net //Vous pouvez voir que l'utilisateur s'est connecté au réseau sans fil "wlan-net"
Points de connaissance :
Scénario 1. Les zones que le WLAN sans fil doit couvrir sont divisées en : aire de jeux/place extérieure, amphithéâtre universitaire, dortoir d'étudiants et bureaux de petite et moyenne taille. Pour assurer la meilleure couverture, quels points d'accès doivent être sélectionnés
? Points d'accès extérieurs, points d'accès haute densité et points d'accès distribués, points d'accès muraux
Pour réaliser l'itinérance sans fil des utilisateurs, il est nécessaire de configurer : AC ou contrôleur sans fil
Afin de se conformer à la "loi sur la sécurité des réseaux", l'accès Internet de l'utilisateur et les informations du journal NAT doivent être conservés pendant au moins
un mois, et il doit être déployé : vérification des journaux
Scénario 2. Le siège de l'école et les campus secondaires sont interconnectés via un VPN IPSec. Lors de la phase de négociation de clé IKE, l'échange de clé sécurisé est généralement effectué via le protocole ______. L'encapsulation IPSec a deux modes : ___ et _____,
et le mode ____ nécessite pour encapsuler le nouvel en-tête IP
AH, Transport, Tunnel Tunnel
Protocole IPSec Protocole représentatif de la fonction
AH Intégrité des données et authentification de la source MD5, SHA
ESP Chiffrement des données DES, 3DES, AES
IKE Génération et distribution de clés DH
Paquet d'origine : | en-tête IP d'origine | TCP | données |
mode de transmission : | en-
tête IP d'origine | AH | TCP | données | mode tunnel : | nouvel en-tête IP | AH | en-tête IP d'origine | TCP | données |
Le système de stockage peut améliorer ____ et _____ grâce à la technologie RAID // Performances/performances de lecture et d'écriture des données, sécurité des données
Décrivez brièvement la différence entre le système de stockage 1 et le système de stockage 2, les avantages et les inconvénients de chacun, et quel scénario ou entreprise utilisez-vous généralement
Réponse :
Système de stockage 1 : FC-SAN
Système de stockage 2 : IP-SAN
FC-SAN a un coût plus élevé et un débit de données de petits blocs plus élevé, généralement utilisé pour les services de données
IP-SAN a un coût inférieur et prend en charge une plus grande bande passante, généralement Il est utilisé pour services avec un grand volume de données et des exigences élevées en bande passante tels que l'audio et la vidéo
Scénario 3 :
Si le serveur DHCP ne se trouve pas sur le même segment de réseau que l'ordinateur client, l'ordinateur client ne peut pas obtenir d'adresse IP. La raison est _____. Pour résoudre ce problème, vous pouvez utiliser ___
Réponse : La découverte DHCP est un message de diffusion, la diffusion ne peut pas communiquer entre les segments du réseau et le serveur DHCP ne peut pas recevoir le message du client, il ne peut donc pas attribuer une adresse IP normalement.
Certains utilisateurs de la
société de technologie de relais DHCP ont signalé qu'ils ne pouvaient pas accéder à Internet normalement. Après enquête, il a été constaté que les utilisateurs avec l'adresse du segment de réseau 192 pouvaient accéder à Internet normalement, et les utilisateurs qui ne pouvaient pas accéder à Internet normalement obtenu une adresse IP du segment de réseau 10, mais le serveur DHCP n'a pas configuré le segment de réseau 10. Pool d'adresses, quelle est la raison de ce problème ? Entrée résolue ?
Réponse : Le routeur est connecté en privé au réseau et la fonction DHCP est activée. Certains utilisateurs obtiennent des adresses IP du routeur connecté en privé. Le commutateur active
DHCP S et définit l'interface de connexion de l'utilisateur sur non fiable.
Scénario 4 :
Mise en réseau étendue de couche 2
(1) Le réseau du campus adopte une grande structure de réseau à deux couches. Le centre d'information prévoit d'adopter la technologie d'empilage pour le commutateur central. Veuillez décrire brièvement les avantages et les inconvénients de la technologie d'empilage. Avantages : devenir logiquement un seul appareil, simplifier la gestion du
réseau
et améliorer la fiabilité du système, éviter les points de défaillance uniques
et coopérer avec l'agrégation de liens et d'autres technologies pour empêcher les interfaces d'être bloquées par des arborescences étendues et améliorer l'utilisation des liens.Inconvénients : la technologie d'
empilement est un protocole propriétaire qui ne prend pas en charge l'empilement entre fournisseurs.Système
les mises à niveau entraîneront une interruption de service
Plusieurs dispositifs d'empilage n'en ont qu'un Le contrôle principal est en état de fonctionnement et il y a un gaspillage de ressources
(2) Après une période d'essai de fonctionnement du réseau, un grand nombre de paquets de diffusion ont été trouvés dans le réseau de couche 2, ce qui a affecté les performances du réseau. L'administrateur réseau a effectué les configurations suivantes sur le commutateur de couche d'accès pour résoudre le problème :
int g0/0/3
suppression de diffusion 80
quitter
Question : Décrivez brièvement les fonctions de la configuration ci-dessus.
Réponse : Par défaut, le trafic de diffusion n'est pas supprimé. Lorsque le trafic de diffusion représente 80 % de la capacité de transmission du port, le système rejettera les paquets dépassant la limite, de sorte que la proportion du trafic de diffusion sera réduite à une plage limitée, garantissant le fonctionnement normal des services réseau.
Scénario 5 :
Décrivez brièvement la différence entre RIP et OSPF du point de vue des principes d'algorithme, du champ d'application et des caractéristiques fonctionnelles
Réponse : (1) RIP utilise l'algorithme de vecteur de distance pour générer des tables de routage en apprenant les informations de table de routage publiées par d'autres routeurs.
OSPF obtient d'abord les informations de topologie de l'ensemble du réseau, puis utilise l'algorithme du chemin le plus court en premier SPF pour générer une table de routage
(2) RIP convient généralement aux réseaux de petite et moyenne taille
OSPF convient aux réseaux moyens et grands
(3) RIP et OSPF sont des protocoles de routage dynamique, qui peuvent mettre à jour les tables de routage en fonction des changements de topologie.
RIP est simple à configurer et ses fonctions sont relativement simples, mais sa vitesse de convergence est lente et il est facile de former des boucles.OSPF
prend en charge la mise en réseau hiérarchique, l'optimisation du réseau, l'équilibrage de charge équivalent et le chiffrement des paquets.