神州数码配置命令归纳(已更新)
第一部分交换机配置
一、基础配置
1、模式进入
Switch>
Switch>en
Switch#config
Switch(Config)#interface ethernet 0/2
2、配置交换机主机名
命令:hostname <主机名>
3、配置交换机IP地址
Switch(Config)#interface vlan 1
Switch(Config-If-Vlan1)#ip address 10.1.128.251 255.255.255.0
Switch(Config-If-Vlan1)#no shut
4、为交换机设置Telnet授权用户和口令:
登录到Telnet的配置界面,需要输入正确的用户名和口令,否则交换机将拒绝该Telnet用户的访问。该项措施是为了保护交换机免受非授权用户的非法操作。若交换机没有设置授权Telnet用户,则任何用户都无法进入交换机的Telnet配置界面。因此在允许Telnet方式配置管理交换机时,必须在Console的全局配置模式下使用命令username
例:Switch>enable
Switch#config
Switch(config)#username test privilege 15 password 0 test
Switch(config)#authentication line vty login local
Switch(Config)#telnet-user test password 0 test
Switch (Config)#telnet-server enable://启动远程服务功能
5、配置允许Telnet管理交换机的地址限制(单独IP或IP地址段)
(1)限制单个IP允许Telnet登录交换机
switch(config)#authentication security ip 192.168.1.2
(2)限制允许IP地址段Telnet登录交换机
switch(config)#access-list 1 permit 192.168.1.0 0.0.0.255
switch(config)#authentication ip access-class 1 in
5、为交换机设置Web授权用户和口令:web-user <用户名>password {0|7} <密码>
例:Switch(Config)#web-user admin password 0 digital
6、设置系统日期和时钟:clock set
7、设置退出特权用户配置模式超时时间
exec timeout
8、保存配置:write
9、显示系统当前的时钟:Switch#show clock
10、指定登录用户的身份是管理级还是访问级
Enable [level {visitor|admin} [<密码>]]
11、指定登录配置模式的密码:Enable password level {visitor|admin}
12、配置交换机的用户名密码:username admin privilege 15 password 0 admin000
13、配置enable密码为ddd:enable password 0 ddd level 15
14、配置登录时认证:authentication line vty login local
15、设置端口的速率和双工模式(接口配置模式下)
命令:speed-duplex {auto | force10-half | force10-full | force100-half | force100-full | {{force1g-half | force1g-full} [nonegotiate [master | slave]] } }
no speed-duplex
二、单交换机VLAN划分
1、VLAN基本配置
(1)新建VLAN:vlan
(2)命名VLAN:name
(3)为VLAN 分配交换机端口
Switch(Config-If-Vlan1)#switchport interface Ethernet 0/2
(4)设置Trunk 端口允许通过VLAN:
Switch(Config-ethernet0/0/5)#switchport trunk allowed vlan 1;3;5-20
2、划分VLAN:
(1)进入相应端口:Switch(config)#interface Ethernet 0/2
(2)修改模式:Switch(Config-ethernet0/0/5)switchport mode access
(3)划分VLAN:Switch(Config-ethernet0/0/5)#switchport access vlan 4
三、跨交换机VLAN划分(两台交换机作相同操作)
1、新建VLAN
2、划分VLAN
3、修改链路模式
(1)进入相应端口:Switch(config)#interface Ethernet 0/1
(2)修改模式:Switch(config-if)#switchport mode trunk
四、VLAN间主机的通信
1、新建VLAN
2、划分VLAN
3、修改链路模式
(1)进入相应端口:Switch(config)#interface Ethernet 0/1
(2)修改模式:Switch(config-if)#switchport mode trunk
注意:如果是三层交换机,在修改模式先封装802.1协议:
Switch(config-if)#switchport trunk encapsulation dot1q
4、建立VLAN子接口
(1)、进入VLAN接口模式:Switch(config)#interface vlan 2
(2)、设置VLAN子接口地址:Switch(config-if)#ip address 192.168.0.1 255.255.255.0 (3)、打开端口:Switch(config-if)#no shutdown
5、设置各主机IP地址、子网掩码、网关
注意:(1)各主机IP地址应与其所在的VLAN在同一网段。
(2)192.168.0.1/24中的“24”表示子网掩码为3个255。
(3)主机所在的VLAN的子接口地址就是主机的网关。
五、端口安全配置
1、启用和禁用端口安全功能:
启用:Switch(config-if)# switchport port-security
禁用:Switch(config-if)# no switchport port-security
2、设置接口上安全地址的最大个数(1~128)
Switch(config-if)#switchport port-security maximum 1
3、设置处理违例的方式
Switch(config-if)#switchport port-security violation shutdown
4、手工配置接口上的安全地址
Switch(config-if)#switchport port-security mac-address 00d0.d373.B060
5、查看安全配置:
Switch#show port-security
六、设置广播风暴抑制功能
Switch(Config)#broadcast-suppression
参数:
七、端口聚合
1、创建port group:Switch(Config)#port-group 1 //数字范围1-16
2、把物理端口加入组:Switch(Config-Ethernet0/0/1)#port-group 1 mode on
3、进入port-channel 配置模式:Switch(Config)#interface port-channel 1
4、修改链路模式:switchport mode trunk
第二部分路由器配置
一、路由器基本配置
1、进入特权模式:Router>en
2、进入全局配置模式:Router#config
3、定义路由器的名字为DCR :Router(Config)#hostname DCR
4、特权用户的口令:DCR (Config)#enable password 123456
5、启动远程服务功能:DCR (Config)#telnet-server enable
6、配置远程用户的口令:DCR (Config)#telnet admin password 7 admin
7、配置时钟频率:Router(Config-Serial2/0)#physical-layer speed 64000
8、配置用户登录路由器时认证:aaa authentication login default local line enable
9、配置进入特权模式时认证:aaa authentication enable default enable
10、配置路由器的用户名密码:username admin password 0 admin000
11、配置进入特权模式密码:enable password 0 admin000 level 15
二、静态路由配置
1、命令:ip route <目的IP> <子网掩码> {<接口名称>|<下一跳IP地址>} [<路由优先级>]
Router(config)#ip route 1.1.1.0 255.255.255.0 2.1.1.1
2、默认路由
ip route 0.0.0.0 0.0.0.0{<接口名称>|<下一跳IP地址>} [<路由优先级>]
三、单臂路由
1、打开端口:
2、进入子接口配置IP地址,并封装dot1q协议到对应的VLAN。
Router_config#interface f0/0.1
Router(config_f0/0.1)#ip address 192.168.100.1 255.255.255.0
Router(config_f0/0.1)#encapsulation dot1Q 100 //封装dot1Q到VLAN 100
Route(config_f0/0.1)#exit
Router_config#interface f0/0.2
Router(config_f0/0.2)#ip address 192.168.200.1 255.255.255.0
Router(config_f0/0.2)#encapsulation dot1Q 200 //封装dot1Q到VLAN 200
Router(config_f0/0.2)#exit
四、动态路由协义配置
1、RIP协议
在DCR路由器上运行RIP路由协议的基本配置很简单,通常只需打开RIP开关、使能发送和接收RIP 数据报,即按RIP缺省配置发送和接收RIP数据报(DCR路由器缺省发送RIP-II接收RIP-I和RIP-II)(1)启动RIP协议:Router(config)#router rip
(2)配置RIP协义版本:Router(config-router-rip)#version 2
(3)配置接口使能发送/接收RIP数据报
Router(config-serial2/0)#ip rip work
(4)配置引入路由(缺省路由权值、配置RIP中引入其它协议的路由)
?缺省路由权值:Router(config-router-rip)#default-metric 3 //权值可设1-16
?路由重分发:redistribute { static | ospf } [ metric
缺省情况下,路由器不引入其它路由。
Router(config-router-rip)#redistribute ospf metric 5
2、OSPF协议
(1)启动OSPF协议(必须)
Router(Config)#router ospf
(2)配置运行OSPF路由器的ID号(可选)
router id
Router(config)#router id 1.1.1.1
(3)配置运行OSPF的网络范围(可选)
network <直连网络> <反掩码> area <区域号>
Router(Config-Router-Ospf)#network 10.0.0.0 0.0.0.255 area 1
(4)配置接口所属的域(必须)
ip ospf enable area
要在某一个接口上运行OSPF协议,必须首先指定该接口属于一个区域。此命令用来在接口配置所属域。
Router(Config-Serial2/0)#ip ospf enable area 1
(5)配置OSPF引入路由参数
?配置引入外部路由的缺省参数(缺省类型、缺省标记值、缺省代价值、缺省时间间隔和缺省数量上限)
缺省类型:default redistribute type { 1 | 2 }
Router(Config-Router-Ospf)# default redistribute type 1
缺省标记值:default redistribute tag
Router(Config-Router-Ospf)# default redistribute tag 0x80000001
缺省代价值:default redistribute cost
Router(Config-Router-Ospf)# default redistribute cost 10
缺省时间间隔:default redistribute interval
Router(Config-Router-Ospf)# default redistribute interval 3
缺省数量上限:default redistribute limit
Router(Config-Router-Ospf)# default redistribute limit 100
?配置在OSPF中引入其它协议的路由(路由重分发)
redistribute ospfase { connected | static | rip } [ type { 1 | 2 } ] [ tag
connected表示引入直连路由作为外部路由信息,static表示引入静态路由作为外部路由信息,rip 表示引入RIP协议发现路由作为外部路由信息;type指定路由的代价类型,1和2分别表示第一类外部路由和第二类外部路由;tag指定路由的标记,
Router(Config-Router-Ospf)#redistribute ospfase rip type 1 tag 3 metric 20
3、策略路由
?新建源网络访问控制列表
Router(config)#ip access-list net1
Router(config)# permit 10.1.1.0 0.0.0.255
?设置路由表
Router(config)#route-map pbr //建立路由表,名字为PBR
Router(config-route-map)#Match ip address net1 //配置匹配该路由表的网络
Router(config-route-map)#Match length 150 1500 //设置报文的长度范围
Router(config-route-map)#Set ip next-hop 192.168.50.1 //下一跳地址?应用到接口
Router(config)#int g0/4
Router(config)#ip policy route-map pbr
五、网络地址转换
1. 设置指定接口作为网络地址转换的限定接口:ip nat {inside|outside}
Router#config
Router(config)#interface ethernet 0
Router(config-ethernet0)#ip nat inside
2. 配置静态NAT/NAPT映射
NAT:ip nat inside source static <内部本地地址> <内部全局地址>
Router(config)#ip nat inside static source 10.1.1.1 1.1.1.1
NAPT:Router(config)#ip nat inside source static tcp 192.168.1.7 1024 200.8.7.3 1024 Router(config)#ip nat inside source static udp 192.168.1.7 1024 200.8.7.3 1024 3. 配置动态NAT/NAPT映射
(1)配置允许进行地址转换的内部私有地址;
Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255
(2)配置动态NAT地址转换使用的外部公有地址的地址池;
Router(config)#ip nat pool pool-1 1.1.1.1 1.1.1.10 netmask 255.255.255.0
(3)建立内部私有地址与地址池或NAT外部接口的映射关系
Router(config)#ip nat inside source list 1 pool pool-1 overload
六、PPP协议配置
PPP(Point-to-Point Protocol)协议是为在点到点链路上传输数据包而设计的,它是在点到点链路上承载网络层数据包的一种链路层协议。PPP协议可以承载多种网络层协议数据包,如IP和IPX,并提供
PAP、CHAP、MS-CHAP三种安全认证方式,以防止未经许可的非法用户访问。PPP支持串口同步和异步两种模式。PPP配置,需先在接口做好基础配置(接口IP,时钟频率等。)
1、PAP:验证方建立数据库,被验证方发送相同用户名密码。
(1)验证方:
①建立用户名、密码:Router(config)#user dcr password 0 aa
②进入接口,封装PPP:Router(config-serial2/0)#encapsulation ppp
③选择验证方式PAP:Router(config-serial2/0)#ppp authentication pap
(2)被验证方:
①进入接口,封装PPP:Router(config-serial2/0)#encapsulation ppp
②发送对方的用户名密码:Router(config-serial2/0)#ppp pap sent-username dcr password
0 aa
2、CHAP:发送的用户名必须是对方主机名,双方发送的密码要一致。
(1)验证方:
①建立用户名、密码:Router(config)#user RB password aa
②进入接口,封装PPP:Router(config-serial2/0)#encapsulation ppp
③选择验证方式CHAP:Router(config-serial2/0)#ppp authentication chap
(2)被验证方:
①建立用户名密码:Router(config)#user RA password aa
②进入接口,封装PPP:Router(config-serial2/0)#encapsulation ppp
注意:神州数码设备配置必须开启AAA本地认证。
Router(config)# aaa authentication ppp default local
第三部分其它配置
一、MSTP配置(MSTP是基于STP或RSTP的,因此在配置前应开启任一模式)
1、开启生成树
命令:spanning-tree
2、设置交换机运行生成树的模式
命令:spanning-tree mode {mstp|stp}
3、进入MSTP域配置模式
命令:spanning-tree mst configuration
4、为域命名(域配置模式)
命令:name
5、将实例应用到VLAN(域配置模式)
命令:instance
6、设置实例的优先级(在全局模式配置)
命令:spanning-tree mst
7、设置当前端口指定实例的优先级值(端口配置模式下)
命令:spanning-tree mst
二、ACL配置
(一)、标准的ACL
access-list 10 {deny | permit} {{<源网络> <反掩码>} | any-source | {host-source <源地址>}}
(二)、命名标准ACL
1、命名
ip access-list standard acb
2、制定规则
{deny | permit} {{<源网络> <反掩码>} | any-source | {host-source <源地址>}}
3、应用到接口
ip access-group 名称in/out
(三)、扩展的ACL
access-list 102 {deny | permit} 协议类型{{<源网络> <反掩码>} | any-source | {host-source<源地址>}} {{<目标网络> <反掩码>} | any-destination | {host-destination <目标主机地址>}} [precedence <优先级值(0-7)>] [tos<服务级类型(1-15)>][time-range<时间范围名称>] (四)、命名扩展ACL
1、命名
ip access-list extended acb
2、制定规则
[no] {deny | permit} 协议类型{{<源网络> <反掩码>} | any-source | {host-source <源地址>}} {{<目标网络> <反掩码>} | any-destination | {host-destination <目标主机地址>}} [precedence <优先级值(0-7)>] [tos<服务级类型(1-15)>][time-range<时间范围名称>]
3、应用到接口
(五)、MAC命名扩展ACL
1、命名:mac-ip-access-list extended
2、制定规则
{deny|permit}{any-source-mac|{host-source-mac
mac-ip-access-list extended aaa
deny host-source-mac 00-FF-51-FD-AE-15 host-destination-mac
E0-94-67-05-5D-84
3、应用到接口
ip access-group 名称in/out
(六)、制定时间范围
1、命名
[no] time-range
2、一周之内的循环时间
[no] absolute-periodic{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday| Sunday}<开始时间>to{Monday|Tuesday|Wednesday|Thursday|Friday|Saturday|
Sunday} <结束时间>
或
[no]periodic{{Monday+Tuesday+Wednesday+Thursday+Friday+Saturday+Sunday}| daily| weekdays | weekend} <开始时间> to <结束时间>
3、绝对时间范围
[no]absolute start <开始时间> <开始日期> [end <结束时间> <结束日期>]
三、DHCP 配置
1、创建地址池
命令:ip dhcp pool
2、配置地址可分配的范围及其它参数
(1)配置地址可分配范围
命令:network-address
命令:lease { [
(3)配置DHCP客户机的缺省网关
命令:default-router
命令:dns-server
(5)配置WINS服务器的地址
命令:netbios-name-server
命令:netbios-node-type {b-node|h-node|m-node|p-node|
命令:option {ascii
命令:ip dhcp excluded-address
命令:domain-name
(10) 打开DHCP服务器Ping方式检测地址冲突的功能
命令:ip dhcp conflict ping-detection enable
3、启用DHCP服务
命令:service dhcp
4、DHCP手工分配
(1)、创建地址池命令:ip dhcp pool
(2)、绑定IP与MAC
A.命令:host
[B.命令:hardware-address
5、DHCP Snooping
(1)、开启DHCP Snooping
命令:ip dhcp snooping enable
(2)、设置信任端口
(1)进入端口
(2)设置信任端口
命令:ip dhcp snooping trust
(3)、设置自动防御动作
命令:ip dhcp snooping action {shutdown|blackhole} [recovery
四、ARP配置
1、配置静态ARP 表项
Switch(Config-Vlan1)#arp 1.1.1.1 00-03-0f-f0-12-34
2、ARP GUARD
添加ARP GUARD 地址: arp-guard ip
3、防ARP 扫描
1) 启动防ARP 扫描功能
SwitchA(config)#anti-arpscan enable
2)配置信任/超级信任端口
SwitchA (Config-If-Ethernet0/0/2)#anti-arpscan trust port //信任端口
SwitchA (Config-If-Ethernet0/0/19)#anti-arpscan trust supertrust-port //超级信任3)配置信任IP
SwitchA(config)#anti-arpscan trust ip 192.168.1.100 255.255.255.0
4) 配置自动恢复时间
Switch(Config)#anti-arpscan recovery enable //先在交换机上启动自动恢复功能
SwitchA(config)#anti-arpscan recovery time 3600
4、设置基于端口的防ARP 扫描的接收ARP 报文的阈值
Switch(Config)#anti-arpscan port-based threshold 20
5、设置基于IP 的防ARP 扫描的接收ARP 报文的阈值
Switch(Config)#anti-arpscan port-based threshold 6
6、显示ARP 映射表:Switch#sh arp
五VRRP配置
(一)在三层交换机上配置VRRP
1、进入要配置的接口(端口或虚拟子接口)
2、进入VRRP协义配置模式(两个设备的编号要一致)
DG5950(config)# router vrrp 1
3、配置虚拟网关
DG5950(config-router)#virtual-ip 192.168.100.254 //虚拟网关,两边必须一致
4、设置优先级
DG5950 (config-router)#priority 200
5、配置抢占模式(可选)
DG5950(config-router)# preempt-mode true
6、启动VRRP
DG5950(config-router)#enable
7、查看VRRP
Ruijie# show vrrp brief
(二)在路由器上配置VRRP
1、进入要配置的子接口并配置虚拟子接口IP,封装到指定VLAN。(单臂)
RB_config#interface GigaEthernet0/3.10
RB_config-if#ip address 192.168.10.254 255.255.255.0
RB_config-if#encapsulation dot1Q 10
2、配置置虚拟网关
RB_config-if#vrrp 10 associate 192.168.10.250 255.255.255.0
3、配置优先级
RB_config-if#vrrp 10 priority 150
4、配置抢占模式(可选)
RB_config-if#vrrp 10 preempt
5、配置要监听的上行端口
RB_config-if#vrrp 10 track interface GigaEthernet0/4 30
六802.1X
Switch(Config)#interface vlan 1?//创建VLAN
Switch(Config-if-vlan1)#ip address 10.1.1.2 255.255.255.0?//配置IP地址
Switch(Config-if-vlan1)#exit?
Switch(Config)#radius-server authentication host 10.1.1.3//配置认证服务器地址
Switch(Config)#radius-server accounting host 10.1.1.3?//配置计费服务器地址
Switch(Config)#radius-server key test?//配置RADIUS 认证密钥
Switch(Config)#aaa enable?//开启交换机的aaa认证功能
Switch(Config)#aaa-accounting enable?//开启交换机的计费功能
Switch(Config)#dot1x enable?//打开交换机全局的802.1x 功能
Switch(Config)#interface ethernet 0/0/2?//进入端口
Switch(Config-Ethernet0/0/1)#dot1x enable?//打开交换机端口的802.1x 功能
Switch(Config-Ethernet0/0/1)#dot1x port-method macbased?//接口的接入方式为macbased
Switch(Config-Ethernet0/0/1)#dot1x port-control auto?//接口的控制方式为auto
Switch(Config-Ethernet0/0/1)#exit
七NTP配置
例:客服端
Switch(config)#ntp enable //开启NTP功能
Switch(config)#ntp server 192.168.1.11 //配置时间服务器地址
Switch(config)#ntp server 192.168.2.11 //配置时间服务器地址
八端口镜像设置
1、指定镜像源端口:
Switch(Config)#monitor session
2、指定镜像目的端口;
Switch(Config)#monitor session
S4600-28P-SI(config)#monitor session 1 source interface e1/0/1
S4600-28P-SI(config)#monitor session 1 destination interface e1/0/3
九Qos
(一)路由器的Qos
网络组件处理接收通信量溢出的一个方法是:使用队列算法对通信按照优先次序排在输出链接上。一般有:FIFO,PQ(Priority Queuing),CQ(Custom Queuing),SFQ(Fair Queuing)以及WFQ(Weighted Fair Queuing)。
1.PQ(Priority Queuing)配置任务序列
1) 定义特定的访问控制列表(如果要用到它们的话)
2) 创建优先级列表
priority-list
神码网络设备防ARP
齐头并进堵源治本高校校园网ARP攻击防御解决方案 DIGTIAL CHINA DIGITAL CAMPUS 神州数码网络有限公司 2008-07
前言 自2006年以来,基于病毒的arp攻击愈演愈烈,几乎所有的校园网都有遭遇过。地址转换协议ARP(Address Resolution Protocol)是个链路层协议,它工作在OSI参考模型的第二层即数据链路层,与下层物理层之间通过硬件接口进行联系,同时为上层网络层提供服务。ARP攻击原理虽然简单,易于分析,但是网络攻击往往是越简单越易于散布,造成的危害越大。对于网络协议,可以说只要没有验证机制,那么就可以存在欺骗攻击,可以被非法利用。下面我们介绍几种常见ARP攻击典型的症状: ?上网的时候经常会弹出一些广告,有弹出窗口形式的,也有嵌入网页形式的。下载的软件不是原本要下载的,而是其它非法程序。 ?网关设备ARP表项存在大量虚假信息,上网时断时续;网页打开速度让使用者无法接受。 ?终端不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。 对于ARP攻击,可以简单分为两类: 一、ARP欺骗攻击,又分为ARP仿冒网关攻击和ARP仿冒主机攻击。 二、ARP泛洪(Flood)攻击,也可以称为ARP扫描攻击。 对于这两类攻击,攻击程序都是通过构造非法的ARP报文,修改报文中的源IP地址与(或)源MAC地址,不同之处在于前者用自己的MAC地址进行欺骗,后者则大量发送虚假的ARP报文,拥塞网络。 图一 ARP仿冒网关攻击示例
神州数码网络秉承“IT服务随需而动”的理念,对于困扰高教各位老师已久的ARP 攻击问题,结合各个学校网络现状,推出业内最全、适用面最广、最彻底的ARP整体解决方案。 神州数码网络公司从客户端程序、接入交换机、汇聚交换机,最后到网关设备,都研发了ARP攻击防护功能,高校老师可以通过根据自己学校的网络特点,选取相关的网络设备和方案进行实施。
华为配置命令总结
华为路由器和防火墙配置命令总结 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 log [可选] 表示如果报文符合条件,需要做日志。 listnumber 为删除的规则序号,是1~199之间的一个数值。 subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。 【缺省情况】 系统缺省不配置任何访问规则。 【命令模式】 全局配置模式 【使用指南】
神州数码交换机路由器命令汇总(最简输入版)
神州数码交换机路由器命令汇总(部分) 2016年3月23日星期三修改_________________________________________________________________________ 注:本文档命令为最简命令,如不懂请在机器上实验 注:交换机版本信息: DCRS-5650-28(R4) Device, Compiled on Aug 12 10:58:26 2013 sysLocation China CPU Mac 00:03:0f:24:a2:a7 Vlan MAC 00:03:0f:24:a2:a6 SoftWare Version 7.0.3.1(B0043.0003) BootRom Version 7.1.103 HardWare Version 2.0.1 CPLD Version N/A Serial No.:1 Copyright (C) 2001-2013 by Digital China Networks Limited. All rights reserved Last reboot is warm reset. Uptime is 0 weeks, 0 days, 1 hours, 42 minutes 路由器版本信息: Digital China Networks Limited Internetwork Operating System Software DCR-2659 Series Software, Version 1.3.3H (MIDDLE), RELEASE SOFTWARE Copyright 2012 by Digital China Networks(BeiJing) Limited Compiled: 2012-06-07 11:58:07 by system, Image text-base: 0x6004 ROM: System Bootstrap, Version 0.4.2 Serial num:8IRTJ610CA15000001, ID num:201404 System image file is "DCR-2659_1.3.3H.bin" Digital China-DCR-2659 (PowerPC) Processor 65536K bytes of memory,16384K bytes of flash Router uptime is 0:00:44:44, The current time: 2002-01-01 00:44:44 Slot 0: SCC Slot Port 0: 10/100Mbps full-duplex Ethernet Port 1: 2M full-duplex Serial Port 2: 2M full-duplex Serial Port 3: 1000Mbps full-duplex Ethernet Port 4: 1000Mbps full-duplex Ethernet Port 5: 1000Mbps full-duplex Ethernet Port 6: 1000Mbps full-duplex Ethernet
华为s基础配置命令
华为s基础配置命令 The latest revision on November 22, 2020
华为S5700基础配置命令 2012-11-12 12:30:25| 分类:计算机技术 |字号订阅 # 设置设备的名称为GSH-FZ-Front
神州数码路由交换配置命令(全)
路由 ssh aaa authentication login ssh local aaa authentication enable default enable enable password 0 123456 username admin password 0 123456 ip sshd enable ip sshd auth-method ssh ip sshd auth-retries 5 ip sshd timeout 60 TELNET R1_config#aaa authentication login default local R1_config#aaa authentication enable default enable R1_config#enable password 0 ruijie R1_config#line vty 0 4 R1_config_line#login authentication default R1_config_line#password 0 cisco 方法2,不需要经过3A认证 R1_config#aaa authentication login default none R1_config#aaa authentication enable default enable R1_config#enable password 0 cisco R1_config#line vty 0 4 R1_config_line#login authentication default CHAP认证单向认证,密码可以不一致 R2_config#aaa authentication ppp test local R2_config#username R2 password 0 123456 R2_config_s0/2#enc ppp R2_config_s0/2#ppp authentication chap test R2_config_s0/2#ppp chap hostname R1 R1_config#aaa authentication ppp test local R1_config#username R1 password 0 123456 R1_config_s0/1#enc ppp R1_config_s0/1#ppp authentication chap test R1_config_s0/1#ppp chap hostname R2
华为交换机基本配置命令详细讲解
华为交换机基本配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件,即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接
神州数码模拟试题
1.下列应用使用TCP连接的有(本题3项正确) A.Telnet B.BGP C.FTP D.TFTP 2.TCP和UDP协议的相似之处是 A.传输层协议 B.面向连接的协议 C.面向非连接的协议 D.其它三项均不对 3.下列应用使用UDP连接的有(本题3项正确) A.TFTP B.Syslog C.SNMP D.HTTP 4.第一个八位组以二进1110开头的IP地址是()地址 A.Class A B.Class B C.Class C D.Class D 5.下面哪些不是ICMP提供的信息 A.目的地不可达 B.目标重定向 C.回声应答 D.源逆制 6.C类地址最大可能子网位数是 A.6 B.8 C.12 D.14 7.()协议是一种基于广播的协议,主机通过它可以动态的发现对应于一个IP地址的MAC地址 A.ARP B.DNS C.ICMP D.RARP 8.IP地址为子网掩码为的地址,可以划分多少个子网位,多少个主机位 A.2,32 B.4,30 C.254,254 D.2,30 9.关于IPX的描述正确的是(本题3项正确) A.IPX地址总长度为80位,其中网络地址占48位,节点地址占32位 B.IPX地址总长度为80位,其中网络地址占32位,节点地址占48位
C.IPX是一个对应于OSI参考模型的第三层的可路由的协议 D.NCP属于应用层的协议,主要在工作站和服务器间建立连接,并在服务器和客户 机间传送请求和响应 10.在无盘工作站向服务器申请IP地址时,使用的是()协议 A.ARP B.RARP C.BOOTP D.ICMP 11.以太网交换机的数据转发方式可以被设置为(本题2项正确) A.自动协商方式 B.存储转发方式 C.迂回方式 D.直通方式 12.当交换机检测到一个数据包携带的目的地址与源地址属于同一个端口时,交换机会怎样处理? A.把数据转发到网络上的其他端口 B.不再把数据转发到其他端口 C.在两个端口间传送数据 D.在工作在不同协议的网络间传送数据 13.下面哪个标准描述了生成树协议 A. B. C. D. 14.下列有关端口隔离的描述正确的是:(本题2项正确) A.DCS-3726B出厂时即是端口隔离状态,所有端口都可以与第一个端口通信,但之 间不可以互通 B.DCS-3726S可以通过配置实现与3726B一样的端口隔离功能,但出厂默认不时隔 离状态 C.可以通过配置私有VLAN功能实现端口隔离 D.可以通过配置公用端口实现端口隔离 15.下列关于静态配置链路聚合和动态配置链路聚合的理解正确的是: A.静态配置链路聚合需要在聚合组的每个聚合端口中进行配置 B.动态配置链路聚合只需要在主端口中配置一次,在全局模式中配置启用lacp协 议即可 C.静态配置链路聚合不能进行负载均衡 D.动态配置链路聚合不需要配置聚合组号,交换机会根据目前聚合组的情况自动 指定 16.网络接口卡(NIC)可以做什么? A.建立、管理、终止应用之间的会话,管理表示层实体之间的数据交换 B.在计算机之间建立网络通信机制 C.为应用进程提供服务 D.提供建立、维护、终止应用之间的会话,管理表示层实体之间的数据交换17.以下关于以太网交换机的说法哪些是正确的?
神州数码路由器实训手册
10级网络设备常规实训【router】文档 -2011-2012学年第一学期- 实训老师:沈广东刘海涛 编辑:蒋立彪沈广东 目录 一、路由器基本配置-------------------------------------------03 二、使用访问控制列表(ACL)过滤网络数据包-------06 三、路由器的NAT功能--------------------------------------08 四、路由器DHCP 配置--------------------------------------10 五、本地局域网互联(路由协议配置)------------------14 六、使用DCVG-204实现VOIP ---------------------------19 七、跨路由使用DCVG-204---------------------------------22
一、路由器基本配置 一、试验目的: 1.掌握路由器本地设置的方法。 2.掌握路由器设置命令。(设置端口IP) 3.掌握路由器远程设置的方法。(telnet 服务) 二、试验设备 1.DCR-1700路由器1台 2.Console 线、直通双绞线 3.DCRS-3926S交换机1台 三、试验拓扑结构 :192.168.1.2/24 192.168.1.254 线 //思考1:如果路由器要直接和PC连接,是用直通线?还是交叉线? 三、实验任务及步骤 1.Console 口连接 2.任务模式:enable 特权配置模式 Config 全局配置模式 3.测试计算机与路由器的连通性 PC机配置: Route 配置: Router#delete this file will be erased,are you sure?(y/n)y no such file Router#reboot Do you want to reboot the router(y/n)? //恢复出厂设置并重启 Router_config#hostname RouterA RouterA _config# //修改主机名 RouterA _config#interface fastEthernet 0/0 (//进入100M端口,) //思考2:若想进入10M口如何? // RouterA _config#interface ethernet 0/1 进入10M口
神州数码认证网络工程师(DCDE)考题
选择题(每题2分)共40题 1. 如下图所示,某学校在市中心有三栋楼,楼之间的距离都是200米,要求楼宇之间使用千兆互连,综合楼中网管工作室有三台服务器,要求全部使用千兆连接,则综合楼里的核心交换机上应该安装多少个千兆端口: A、 4个 B、 5个 C、 6个 D、 7个 2. 下面的说法正确的是: A、企业级服务器应该放置在核心层 B、企业级服务器应该放置在汇聚层 C、工作组级服务器应该放置在汇聚层 D、工作组级服务器应该放置在接入层 3. 集线器目前一般处于分层的局域网的哪个层次 A、接入层 B、核心层 C、传输层 D、汇聚层 4. 三层架构中,核心层的中心任务是: A、提供足够的端口密度 B、高速数据交换 C、提供全面的路由策略 D、远程站点的接入 5. 以下几种网络的拓扑结构中,可靠性最高的结构是: A、星型网络 B、环形网络 C、网状网络 D、树型网络 6. 可扩展交换局域网络(2-2-3)的缺点是: A、投资最大
B、会聚层有较大的延迟 C、如果不划分VLAN,网络只有有限的广播域 D、低成本,易安装,可划分VLAN 7. 下面哪一个协议不使用广播进行通信: A、 RIP B、 IGRP C、 DHCP D、 OSPF 8. 下面哪些设备可以有效的隔离广播域 A、二层交换机 B、网桥 C、路由器 D、中继器 E、集线器 9. 如下图所示, 某学校在市中心有三栋楼,楼之间的距离都是200米,要求楼宇之间使用千兆互连,如果服务器可以采用百兆的连接,那么综合楼以下的设计中,哪一个是最佳方案: A、使用一台DCS-3950S,最多可以提供2个GBIC接口,同时提供52个百兆端口 B、使用一台DCS-3950S和一台DCS-3926S,可以提供2个GBIC接口,同时提供72个百兆端口 C、使用一台DCS-3950S和一台DCS-3926S,可以提供2个GBIC接口,同时提供78个百兆端口 D、使用一台DCS-3950S和一台DCS-3926S,可以提供2个GBIC接口,同时提供74个百兆端口 10. 目前端口扩展的主要技术有: A、堆叠 B、聚合 C、生成树 D、级联 E、冗余
神州数码大型企业网络防火墙解决方案
神州数码大型企业网络防火墙解决方案 神州数码大型企业网络防火墙整体解决方案,在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求,在各分支机构和分公司采用神州数码DCFW-1800S 防火墙在满足需要的基础上为用户节约投资成本。另一方面,神州数码DCFW-1800系列防火墙还内置了VPN 功能,可以实现利用Internet构建企业的虚拟专用网络。 返回页首 防火墙VPN解决方案 作为增值模块,神州数码DCFW-1800防火墙内置了VPN模块支持,既可以利用因特网(Internet)IPSEC 通道为用户提供具有保密性,安全性,低成本,配置简单等特性的虚拟专网服务,也可以为移动的用户提供一个安全访问公司内部资源的途径,通过对PPTP协议的支持,用户可以从外部虚拟拨号,从而进入公司内部网络。神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性: - 标准的IPSEC,IKE与PPTP协议 - 支持Gateway-to-Gateway网关至网关模式虚拟专网 - 支持VPN的星形(star)连接方式
- VPN隧道的NAT穿越 - 支持IP与非IP协议通过VPN - 支持手工密钥,预共享密钥与X.509 V3数字证书,PKI体系支持 - IPSEC安全策略的灵活启用:管理员可以根据自己的实际需要,手工禁止和启用单条IPSEC安全策略,也为用户提供了更大的方便。 - 支持密钥生存周期可定制 - 支持完美前项保密 - 支持多种加密与认证算法: - 加密算法:DES, 3DES,AES,CAST,BLF,PAP,CHAP - 认证算法:SHA, MD5, Rmd160 - 支持Client-to-Gateway移动用户模式虚拟专网 - 支持PPTP定制:管理员可以根据自己的实际需要,手工禁止和启用PPTP。 返回页首
DCN配置命令
1. 基本配置: 开启SSH服务:debug ssh-server 设置特权模式密码:enable password [8]
华为基础命令总结
华为基础命令总结 目录 1.镜像口配置 (2) 2.设备改名字 (2) 3.配置保存 (2) 4查看路由表 (2) 5.telnet密码、特权密码 (2) 6.用户远程登录从用户模式变成特权模式 (2) 7.交换接口配置(vlan、access、trunk) (3) 8.接口物理配置 (3) 9.DHCP分配 (3) 10.VRRP配置 (4) 11.静态路由 (4) 12.RIP协议 (4) 13.OSPF协议 (5) 1.单区域 (5) 2.多区域 (5) 3.STUB (5) 4.完全STB (5) 5.点到点 (5) 6.改COST值 (6) 7.查看配置信息 (6) 14.端口聚合 (6) 1.二层端口聚合(华为又名E-trunk) (6) 2.三层端口聚合 (7) 15.MSTP (8) 1.配置 (8) 2.查看配置信息 (10) 16.ACL (10) 1. 标准列表 (11) 2.扩展列表 (11) 3.时间的配置(例子) (11) 4.查看配置信息 (12)
1.镜像口配置 [Quidway]monitor-port
华三华为交换机-路由器配置常用命令汇总
H3C交换机配置命令大全 1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、port link-type Access|Trunk|Hybrid 设置端口访问模式 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口 9、quit 退出当前视图模式 10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器配置命令大全 1、system-view 进入系统视图模式 2、sysname R1 为设备命名为R1 3、display ip routing-table 显示当前路由表 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 0/0 进入以太网端口视图 6、ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口
华为配置命令
交换机命令 ~~~~~~~~~~ [Quidway]dis cur ;显示当前配置[Quidway]display current-configuration ;显示当前配置[Quidway]display interfaces ;显示接口信息[Quidway]display vlan all ;显示路由信息[Quidway]display version ;显示版本信息 [Quidway]super password ;修改特权用户密码[Quidway]sysname ;交换机命名[Quidway]interface ethernet 0/1 ;进入接口视图[Quidway]interface vlan x ;进入接口视图 [Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;静态路由=网关[Quidway]rip ;三层交换支持[Quidway]local-user ftp [Quidway]user-interface vty 0 4 ;进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password ;设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令 [S3026-ui-vty0-4]user privilege level 3 ;用户级别 [Quidway]interface ethernet 0/1 ;进入端口模式[Quidway]int e0/1 ;进入端口模式[Quidway-Ethernet0/1]duplex {half|full|auto} ;配置端口工作状态[Quidway-Ethernet0/1]speed {10|100|auto} ;配置端口工作速率[Quidway-Ethernet0/1]flow-control ;配置端口流控[Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端口平接扭接[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;设置端口工作模式[Quidway-Ethernet0/1]port access vlan 3 ;当前端口加入到VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} ;设trunk允许的VLAN [Quidway-Ethernet0/3]port trunk pvid vlan 3 ;设置trunk端口的PVID [Quidway-Ethernet0/1]undo shutdown ;激活端口 [Quidway-Ethernet0/1]shutdown ;关闭端口[Quidway-Ethernet0/1]quit ;返回 [Quidway]vlan 3 ;创建VLAN [Quidway-vlan3]port ethernet 0/1 ;在VLAN中增加端口 [Quidway-vlan3]port e0/1 ;简写方式 [Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 ;在VLAN中增加端口[Quidway-vlan3]port e0/1 to e0/4 ;简写方式
神州数码路由器的基本管理方法
实验二、路由器的基本管理方法 一、实验目的 1、掌握带外的管理方法:通过console接口配置 2、掌握带内的管理方法:通过telnet方式配置 3、掌握带内的管理方法:通过web方式配置 二、应用环境 1、设备的初始配置一般都是通过console接口进行。远程管理通常通过带内的方 式。 2、给相应的接口配置了IP地址,开启了相应的服务以后,才能进行带内的管理。 三、实验设备 1、DCR-1702 一台 2、DCR-2611 一台 3、PC机一台 4、console线揽、网线各一条 四、实验拓扑 DCR-1702 F0/0 Console 网卡网线 串口RS-232线 PC 五、实验要求 DCR-1702 PC机 Console 串口
F0/0 192.168.2.1 网卡 192.168.2.2 六、实验步骤 带外管理方法:(本地管理) 第一步:将配置线的一端与路由器的Console口相连,另一端与PC的串口相连,如上图所示。 第二步:在PC上运行终端仿真程序。点击“开始”,找到“程序”,选择“附件” 下的“通讯”,运行“超级终端”程序,同时需要设置终端的硬件参数(包括串口号):波特率:9600 数据位:8 奇偶校验:无 停止位:1 流控:无 第三步:路由器加电,超级终端会显示路由器自检信息,自检结束后出现命令提示“Press RETURN to get started”。 System Bootstrap, Version 0.1.8 Serial num:8IRT01V11B01000054 ,ID num:000847 Copyright (c) 1996-2000 by China Digitalchina CO.LTD DCR-1700 Processor MPC860T @ 50Mhz
神州数码安全 DC-FW 高性能防火墙 技术白皮书
神州数码 DC-FW v3.1高性能防火墙 技术白皮书 北京神州数码有限公司 2007年8月
目录 一、序言 (2) 二、神码安全DC-FW v3.1高性能防火墙概述 (3) 三、神码安全DC-FW v3.1高性能防火墙技术特色 (3) 3.1 专用安全操作系统 (3) 3.2 纯硬件架构 (3) 3.3 状态检测技术、核检测技术以及入侵模式匹配监测 (3) 3.4 深度的内容检测、强大的P2P拦截功能 (3) 3.5 严格的访问控制策略 (4) 3.6 危险网站阻隔 (4) 3.7 敏感数据拦截 (5) 3.8 强大的QOS、丰富的日志报表功能 (5) 3.9 访问跟踪、审计 (5) 3.10 防止DOS攻击 (5) 3.11 强大的VPN功能 (6) 3.12 支持VOIP (6) 3.13 桥式防火墙 (7) 3.14 强大的审计功能 (7) 四、DC-FW v3.1 技术参数指标 (7)
一、序言 随着网络的发展和Internet的广泛应用,当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。回顾2004年,以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒,加上利用网络协议及应用漏洞进行攻击与入侵行为,给全球企业造成了巨大的损失。据统计,仅2004年,病毒等恶意程序就给全球造成了1690亿美元的经济损失。 此时,传统的防火墙已经显得无能为力。例如针对Windows系统和Oracle/SQL Server 等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容,所以无法检测出此类攻击。基于网络传播的病毒及间谍软件给互联网用户造成了巨大的损失,层出不穷的即时消息和P2P应用(例如MSN、QQ、BT等)给企业带来许多安全威胁并降低员工的工作效率。传统的防火墙设备在面对这些复合型的安全威胁时,已经不能满足客户的安全需求。 防火墙设备包括防火墙,VPN,IPS等多种功能。已经成为网络安全产品的一个发展方向。 面对着这些日益严重的复合型安全威胁时,企业往往为了完整的保护内部IT资源,需要投资购买大量的设备,包括VPN,防火墙,IDS,网络监控设备等多种设备。神码安全高性能防火墙集所有这些安全功能于一身,一台设备就能提供完整的安全解决方案,省去了购买众多冗余设备的成本与维护成本。 神码安全高性能防火墙内置神码安全的领先VPN技术,拥有神码安全高性能防火墙VPN的所有强大功能。除此之外,神码安全高性能防火墙防火墙拥有高效的IPS(入侵防御系统)功能,能有效识别和抵御多种攻击,更大范围的保护了企业连接到Internet的安全。 为保证企业合理使用Internet资源,防止企业信息资产泄漏,神码安全高性能防火墙提供了完善的访问控制功能。通过合理设置访问权限,杜绝了对不良网站和危险资源的访问,防止了P2P软件对企业网络带来的安全风险。通过带宽管理和访问跟踪技术,能有效防止对Internet资源的滥用。神码安全高性能防火墙安全审计功能更为防止保密信息泄漏提供了最有效的保证。
神码防火墙配置RIPv2和ospf 防火墙设置NAT转换
神码防火墙配置RIPv2和ospf ip vrouter trust-vr router ospf net 1.1.1.0/24 area0 route rip version 2 net 1.1.1.0 255.255.255.0 防火墙设置NAT转换 例如:内网地址为192.168.0.0/24;外网地址为A.A.A.A/29。第一步:将各接口分配安全域并配置IP 地址。 hostname# configure hostname(config)# interface ethernet0/1 hostname(config-if-eth0/1)# zone trust hostname(config-if-eth0/1)# ip address 192.168.0.1/24 hostname(config-if-eth0/1)# exit hostname(config)# interface ethernet0/2 hostname(config-if-eth0/2)# zone untrust hostname(config-if-eth0/2)# ip address A.A.A.A/29 hostname(config-if-eth0/2)# exit 第二步:配置地址条目。 hostname(config)# address addr1 hostname(config-addr)# ip 192.168.0.1/24 hostname(config-addr)# exit hostname(config)# address addr2 hostname(config-addr)#ip A.A.A.A/29 hostname(config-addr)# exit 第三步:配置安全策略规则。 hostname(config)# policy from trust to untrust hostname(config-policy)# rule from addr1 to any service any permit hostname(config-policy)# exit 第四步:配置NA T 规则。 hostname(config)# nat hostname(config-nat)# snatrule from addr1 to any eif ehternet0/2 hostname(config-nat)# exit ps:最后新建一条缺省路由,下一跳为e0/2