前面给大家讲解了迈普设备的常见配置,下面我再给大家讲讲迈普设备的可靠性配置、攻击检测配置、QoS配置以及网络管理配置。
一、可靠性配置
Hostname#hotswap lpu 1 in#通过命令对接口卡进行热插处理
Hostname#debug ham all#打开HA所有调试信息开关
Hostname(config)#ulfd aggressive#使能全局ULFD功能,并配置为加强工作模式
Hostname(config)#ulfd message time 30#配置ULFD检测报文的发送周期为30秒
Hostname(config)#ulfd pass-through#配置使能ULFD透传模式
Hostname#ulfd reset#重置被ULFD关闭的所有以太接口
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#ulfd port#配置以太接口使能ULFD功能并配置为普通工作模式
#配置EIPS备份主节点
Hostname(config)#eips ring 1 transit
Hostname(config-eips)#backup master
#配置EIPS环1的主节点控制VLAN为2。
Hostname(config)#eips ring 1 master
Hostname(config-eips)#control vlan 2
#配置EIPS环1的主节点域ID为1。
Hostname(config)#eips ring 1 master
Hostname(config-eips)#domain id 1
#配置EIPS环2的边缘节点的边缘端口为gigabitethernet0/1。
Hostname(config)#eips ring 2 edge
Hostname(config-eips)#edge interface gigabitethernet0/1
#配置EIPS环2的边缘节点的汇聚组为1。
Hostname(config)#eips ring 2 edge
Hostname(config-eips)#edge link-aggregation 1
#配置EIPS环ID为1并指定节点类型为主节点。
Hostname(config)#eips ring 1 master
#EIPS环1的主节点上启动EIPS协议。
Hostname(config)#eips ring 1 master
Hostname(config-eips)#eips start
#使能端口gigabitethernet0/1的单通检测功能,配置其检测周期为300毫秒。
Hostname(config)#interface gigabitethernet0/1
Hostname(config-if-gigabitethernet0/1)#eips udld interval 300
#配置EIPS传输节点的数据实例为1。
Hostname(config)#eips ring 2 transit
Hostname(config-eips)#instance 1
#配置EIPS环2的级别为1。
Hostname(config)#eips ring 2 transit
Hostname(config-eips)#level 1
#配置EIPS环1的主节点的主端口为gigabitethernet0/1。
Hostname(config)#eips ring 1 master
Hostname(config-eips)#primary interface gigabitethernet0/1
#配置EIPS环1的主节点的主汇聚组为1。
Hostname(config)#eips ring 1 master
Hostname(config-eips)#primary link-aggregation 1
#配置EIPS环1的主节点的副端口为gigabitethernet0/2。
Hostname(config)#eips ring 1 master
Hostname(config-eips)#secondary interface gigabitethernet0/2
#配置EIPS环1的主节点的副汇聚组为2。
Hostname(config)#eips ring 1 master
Hostname(config-eips)#secondary link-aggregation 2
#配置EIPS环1的层次段的段号为1。
Hostname(config)#eips ring 1 transit segment
Hostname(config-eips)#segment 1
#配置EIPS环1主节点的hello定时器的超时值为2秒。
Hostname(config)# eips ring 1 master
Hostname(config-eips)#timer hello 2
#将边缘控制节点2关联到传输节点1。
Hostname(config)#eips ring 2 edge
Hostname(config-eips)#transit ring 1
ULPP和Monitor Link配置
Hostname(config)#ulpp-group 1
Hostname(config-ulpp-1)#enable#配置使能ULPP组
Hostname(config-ulpp-1)#instance group 10 master#配置ULPP组主端口上承载的实例
ame(config-ulpp-1)#instance group 20 slave#配置ULPP组备端口上承载的实例
Hostname(config-ulpp-1)#master interface gigabitethernet 0/1#配置端口gigabitethernet0/1为ULPP组的主端口
Hostname(config-ulpp-1)#slave interface gigabitethernet 0/1#配置端口gigabitethernet0/1为ULPP组的备端口
Hostname(config-ulpp-1)#mode load-balance#配置ULPP组的工作模式为负载分担模式
Hostname(config-ulpp-1)#flush enable#配置使能ULPP组的FLUSH报文发送功能
Hostname(config-ulpp-1)#compatible flexlink#配置ULPP组兼容flexlink
Hostname(config-ulpp-1)#control-vlan 100#配置ULPP组的控制VLAN为VLAN100
Hostname(config-ulpp-1)#preemption mode role#配置ULPP组为角色抢占模式
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#ulpp compatible flexlink#配置ULPP上行端口兼容flexlink
Hostname(config-if-gigabitethernet0/1)#ulpp flush control-vlan 100,200#配置ULPP上行端口控制VLAN为VLAN100和VLAN200
Hostname(config-mtlk-1)#uplink interface gigabitethernet 0/1#配置端口gigabitethernet0/1为Monitor Link组的上联端口
Hostname(config-mtlk-1)#downlink interface gigabitethernet 0/1#配置端口gigabitethernet0/1为Monitor Link组的下联端口
Hostname(config)#mtlk-group 1#配置创建Monitor Link组,并进入Monitor Link组配置模式
VRRP配置
#配置VRRP简单文本认证功能。其中认证密码为:12345678。
Hostname(config)#interface vlan 1
Hostname(config-if-vlan1)# vrrp 1 ip 10.0.0.1
Hostname(config-if-vlan1)# vrrp 1 authentication text 12345678
Hostname(config-if-vlan1)# vrrp 1 preempt#配置VRRP组1启用抢占模式
Hostname(config-if-vlan1)# vrrp 1 priority 150#配置VRRP组1的优先级为150
Hostname(config-if-vlan1)# vrrp 1 timers advertise 2#配置VRRP报文发送周期为2秒
Hostname(config-if-vlan1)#vrrp 1 track vlan 2 20#配置VRRP与Track联动关联上行接口状态,优先级减少量设为20
Hostname(config-if-vlan1)#vrrp 1 track 1 switchover#配置VRRP与Track组联动,利用对象track1的bfd来检测
Hostname(config-if-vlan1)#no vrrp 1 use-bia#配置VRRP使用实MAC地址
Hostname(config)#vrrp linkgroup 1 interval 100#配置联动组1,报文发送周期为100ms
Hostname(config)#interface vlan 1
Hostname(config-if-vlan1)#vrrp 1 linkgroup 1 active#配置VRRP组1以active方式加入到联动组1中。
Hostname(config-if-vlan1)#vrrp 2 linkgroup 1#配置VRRP组2以非active方式加入到联动组1中。
Hostname(config-if-vlan1)#vrrp 1 switchover low-pri-master#在VRRP组1的Backup上启用该功能
VBRP配置
Hostname(config)#interface vlan 1
Hostname(config-if-vlan1)#standby 1 ip 11.0.0.1
Hostname(config-if-vlan1)#standby 1 authentication md5 key-id 2 key-string 456789#配置VBRP MD5认证功能。其中认证密码为:12345678。
Hostname(config-if-vlan1)#standby 1 timers 10 30#配置VBRP hello-time:10秒,hold-time:30秒
Hostname(config-if-vlan1)#standby 1 track vlan 2 20#配置VBRP与Track联动关联上联接口,优先级减少量设为20
Hostname(config-if-vlan1)#standby 1 use-bia#配置VBRP使用实MAC地址
Track配置
Hostname(config)#track 1
Hostname(config-track)# bfd interface vlan1 remote-ip 10.0.0.2 local-ip 10.0.0.1#配置Track组1监控BFD会话,BFD会话接口为vlan1,对端IP地址为10.0.0.2,本端IP地址为10.0.0.1。
Hostname(config-track)#interface vlan1 ip-routing#配置Track组1监控接口vlan1直连路由
Hostname(config-track)#interface vlan1 line-protocol#配置Track组1监控接口vlan1网络层协议状态
Hostname(config-track)#ip-route 10.1.1.0 255.255.255.0#配置Track组1监控到网络10.1.1.0 255.255.255.0的路由可达性
Hostname(config-track)#logic operator OR#配置Track组1逻辑为“或”。
Hostname(config-track)#rtr 1#配置Track组1监控RTR组1
Hostname(config-track)#switchport fastethernet 0/0#配置Track组1监控二层以太接口fastethernet 0/0状态
Hostname(config-track)# link-aggregation 1#配置Track组1监控汇聚组1状态
BFD配置
Hostname(config)#interface vlan2
Hostname(config-if-vlan2)#bfd min-receive-interval 100#配置接口vlan2的BFD控制报文的最小接收时间间隔为100毫秒
Hostname(config-if-vlan2)#bfd min-transmit-interval 100#配置接口vlan2的BFD控制报文的最小发送时间间隔为100毫秒
Hostname(config-if-vlan2)#bfd multiplier 3#配置接口vlan2的BFD会话的检测超时倍数为3
二、攻击检测配置
#配置拦截针对10.0.0.0/24子网内主机的Fraggle攻击报文。
Hostname(config)#ip access-list standard 1
Hostname(config-std-nacl)#permit 10.0.0.0 0.0.0.255
Hostname(config-std-nacl)#exit
Hostname(config)#ip fraggle intercept list 1
Hostname(config)#ip smurf intercept list 1#配置拦截针对10.0.0.0/24子网内主机的Smurf攻击报文
Hostname(config)#ip icmp intercept list 1 maxcount 200#配置拦截针对目的IP为10.0.0.0/24子网内主机的ICMP洪水攻击,一秒内到该子网内同一主机的ICMP报文超过阀值200时,则丢弃超过阀值的报文
Hostname(config)#ip icmp intercept bad#配置拦截非法的ICMP报文
Hostname(config)#ip tcp intercept list 1 maxcount 200#配置拦截针对目的IP为10.0.0.0/24子网内主机的TCP SYN洪水攻击,一秒内到该子网内同一主机的TCP SYN报文超过阀值200时,则丢弃超过阀值的报文。
Hostname(config)#ip intercept fragment max-off 512#配置拦截片偏移加上自身载荷超过512字节的分片报文
Hostname(config)#ip intercept ipeq#配置拦截源、目的IP相同的IP报文
Hostname(config)#ip intercept log#开启软件攻击检测日志记录
Hostname(config)#ip intercept small-packet 24#配置拦截IP长度小于24字节的报文
Hostname(config)#ip mac intercept bad#配置拦截源、目的MAC相同的报文
Hostname(config)#ip tcp intercept bad#配置拦截非法的TCP报文
Hostname(config)#ip tcp intercept land#配置拦截Land攻击报文
Hostname(config)#ip tcp intercept porteq#配置拦截源、目的端口相同的TCP报文
Hostname(config)#ip tcp intercept sport-limit#配置拦截源端口小于1024的TCP SYN报文
Hostname(config)#ip udp intercept porteq#配置拦截源、目的端口相同的UDP报文
三、QoS配置
#配置名称为count的L3动作组中的计数器为计数所有报文。
Hostname(config)#l3-action-group count
Hostname(config-action-group)#count all-colors
#配置名称为match的VFP动作组,动作为匹配内层VLAN Tag的VLAN编号为2的报文。
Hostname(config)#vfp-action-group match
Hostname(config-vfpact-group)#double-tag match-invlan 2
#配置名称为action的VFP动作组,动作为替换外层VLAN Tag的VLAN编号为2。
Hostname(config)#vfp-action-group action
Hostname(config-vfpact-group)#double-tag ovlan-act replace-ovlan 2
#配置端口gigabitethernet0/1上队列0的丢弃模式为WRED模式,当队列0的平均队列深度超过80%时,按照20%的概率随机丢弃TCP报文。
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#drop-mode 0 wred drop-start 80 drop-rate 20 only-tcp
Hostname(config)#egr-action-group egress#配置名称为egress的出方向动作组。
Hostname(config)#l2-action-group action#配置名称为action的L2动作组
Hostname(config)#l3-action-group action#配置名称为action的L3动作组
#配置在出端口gigabitethernet0/1屏蔽广播报文。
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#flood-control bcast
#在入端口gigabitethernet0/1配置入方向报文的DSCP值2映射到本地优先级(LP)3。
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#map-table dscp-lp 2 to 3
#在出端口gigabitethernet0/2配置本地优先级(LP)4映射到出方向报文的DSCP值5。
Hostname(config)#interface gigabitethernet 0/2
Hostname(config-if-gigabitethernet0/2)#map-table lp-dscp 4 to 5
#在入端口gigabitethernet0/1配置入方向报文的DSCP值缺省映射到本地优先级(LP)4。
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#map-table default dscp-lp 4
#在出端口gigabitethernet0/2配置本地优先级(LP)缺省映射到出方向报文的DSCP值5。
Hostname(config)#interface gigabitethernet 0/2
Hostname(config-if-gigabitethernet0/2)#map-table default lp-dscp 5
Hostname(config)#map-table lp-cosq 2 to 6#全局配置本地优先级2映射到报文转发的队列6。
#在名称为meter的L3动作组中绑定名字为data-stream的计量器。
Hostname(config)#l3-action-group meter
Hostname(config-action-group)#meter data-stream
#配置名称为meter的计量器,动作为丢弃红色报文并标记黄色报文的DSCP值为10。
Hostname(config)#traffic-meter meter
Hostname(config-meter)#meter action red drop
Hostname(config-meter)#meter action yellow transmit remark-dscp 10
#配置名称为meter的计量器,模式为单速率三色模式,承诺信息速率为1000kbps,承诺突发大小为4096byte,超出突发大小为4096byte。
Hostname(config)#traffic-meter meter
Hostname(config-meter)#meter mode srtcm 1000 4096 4096
#配置名称为mirror的L3动作组,将匹配的报文镜像到端口gigabitethernet0/1。
Hostname(config)#l3-action-group mirror
Hostname(config-action-group)#mirror interface gigabitethernet 0/1
#配置名称为action的VFP动作组,动作为匹配VLAN Tag中VLAN编号为2的报文。
Hostname(config)#vfp-action-group action
Hostname(config-vfpact-group)#one-tag match-vlan 2
#配置名称为action的VFP动作组,动作为替换VLAN Tag中的VLAN编号为2。
Hostname(config)#vfp-action-group action
Hostname(config-vfpact-group)#one-tag ovlan-act replace-vlan 2
#配置端口gigabitethernet0/1的调度策略为WRR调度,队列0~7的权重比例为1:2:3:4:5:6:7:8。
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#queue-schedule wrr 1 2 3 4 5 6 7 8
#配置端口gigabitethernet0/1接收的流量不超过1000kbps,突发流量大小为4096byte。
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#rate-limit default 1000 4096
#在名称为redirect的L2动作组中配置报文重定向到gigabitethernet0/1。
Hostname(config)#l2-action-group redirect
Hostname(config-action2-group)#redirect interface gigabitethernet 0/1
#在名称为remark的L2动作组中配置重标记802.1p优先级为7。
Hostname(config)#l2-action-group remark
Hostname(config-action-group)#remark l2-priority dot1p 7
#在名称为remark的L3动作组中配置标记TOS字段中的优先级值为4。
Hostname(config)#l3-action-group remark
Hostname(config-action3-group)# remark l3-priority precedence 4
#配置端口gigabitethernet0/1转发的流量不超过1000kbps,突发流量大小为4096byte。
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#traffic-shape 1000 4096
#在端口gigabitethernet0/1的队列0上,配置承诺信息速率为1000kbps,承诺突发大小为4096byte,峰值信息速率为1000kbps,峰值突发性大小为4096byte的流量整形。
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#traffic-shape queue 0 1000 4096 1000 4096
#配置名称为action的VFP动作,动作为添加VLAN编号为2的内层VLAN Tag。
Hostname(config)#vfp-action-group action
Hostname(config-vfpact-group)# untag invlan-act add-invlan 2
Hostname(config)#vfp-action-group vfp#配置名称为vfp的VFP动作组。
#配置名称为vrf的动作组,动作为绑定名称为internal-vrf的VRF。
Hostname(config)#vfp-action-group vrf
Hostname(config-vfpact-group)#vrfset internal-vrf
四、网络管理配置
Hostname#groupping 1.1.1.1 -g 8 -n 6#检测IP地址为1.1.1.1的设备是否可达,发送8组,每组6个ICMP请求报文。
网关保活
#配置接口vlan2启用网关保活功能,保活网关为1.1.1.1,保活报文发送间隔3秒,重试5次。
Hostname(config)#interface vlan 2
Hostname(config-if-vlan2)#keepalive gateway 1.1.1.1 3 5
#配置接口vlan2启用网关保活功能,保活网关为1.1.1.1,保活报文发送间隔300毫秒,重试5次。
Hostname(config)#interface vlan 2
Hostname(config-if-vlan2)#keepalive gateway 1.1.1.1 msec 300 5
#配置网关保活暂停发送网关保活报文的时间为200毫秒。
Hostname(config)#keepalive gateway disperse pause-time 200
#配置保活报文的最大发送速率为200pps。
Hostname(config)#keepalive gateway disperse pkt-rate 200
NTP配置
#配置NTP采用访问控制列表1限制1.1.1.0/24的访问。
Hostname(config)#access-list 1 deny 1.1.1.0 0.0.0.255
Hostname(config)#ntp access-group peer 1
Hostname(config)#ntp authenticate#启用NTP客户端的认证功能。
Hostname(config)#ntp authentication-key 1 md5 admin#配置认证密钥编号为1,密钥内容为admin。
Hostname(config)#ntp master 3#配置NTP服务器,指定时钟层数为3。
Hostname(config)#ntp server 1.1.1.1#启用NTP客户端,服务器的IP地址为1.1.1.1。
Hostname(config)#ntp source vlan2#配置VLAN2作为NTP报文的源接口
#启用客户端认证功能后,配置密钥编号为1,配置密钥内容为admin,再将密钥1配置为受信密钥。
Hostname(config)#ntp authenticate
Hostname(config)#ntp authentication-key 1 md5 admin
Hostname(config)#ntp trusted-key 1
端口镜像
#配置本地SPAN会话1,开启端口gigabitethernet0/1,gigabitethernet0/2的镜像功能,镜像监控端口收到的报文,指定镜像报文的转发端口为gigabitethernet0/3。
Hostname(config)#monitor session 1 source interface gigabitethernet 0/1,0/2 rx
Hostname(config)#monitor session 1 destination interface gigabitethernet 0/3
#配置RSPAN源会话2,开启端口gigabitethernet0/4的镜像功能,镜像端口收到和转发的报文,指定端口gigabitethernet0/5为镜像的转发端口,镜像报文为穿越二层网络而携带VLAN标记为2。
Hostname(config)#monitor session 2 source interface gigabitethernet 0/4 both
Hostname(config)#monitor session 2 destination remote vlan 2 interface gigabitethernet 0/5
#配置RSPAN目的会话3,指定镜像报文判断标识为VLAN 2,设备上所有端口收到的所携带VLAN标记为2的报文被当作镜像报文通过端口gigabitethernet0/6转发。
Hostname(config)#monitor session 3 source remote vlan 2
Hostname(config)#monitor session 3 destination interface gigabitethernet 0/6
#配置ERSPAN源会话4,开启端口gigabitethernet0/7的镜像功能,镜像端口收到的报文,指定用于封转IP头部的源IP地址为192.168.1.1,目的IP地址为192.168.2.1。
Hostname(config)#monitor session 4 source interface gigabitethernet 0/7 rx
Hostname(config)#monitor session 4 destination type erspan-source source-ip 192.168.1.1 destination-ip 192.168.2.1
#配置VLAN2为RSPAN VLAN。
Hostname(config)#vlan 2
Hostname(config-vlan2)#remote-span
SNMP配置
Hostname(config)#snmp-server AddressParam mp-param v3 re-user authpriv#配置一个地址参数名为mp-param,安全模型为v3,安全级别为:认证与加密。
Hostname(config)#snmp-server community private rw#配置SNMP代理的团体名private,权限为读写
Hostname(config)#snmp-server contact contactor#配置设备管理者的联系方式
Hostname(config)#snmp-server enable traps snmp authentication#配置SNMP认证失败时会发送trap报文
Hostname(config)#snmp-server enable keep-alive sync-config 1.1.1.1 1234#使能SNMP配置同步保活功能
Hostname(config)#snmp-server engineGroup group1 user1 noauth#配置一个引擎组group1,用户名user1,安全级别是不认证不加密
Hostname(config)#snmp-server engineID remote 1.1.1.1 161 111 engineg#配置SNMPv3的远程引擎标识
Hostname(config)#snmp-server port 1668#配置SNMP代理监听的端口
Hostname(config)#snmp-server ip-source 1.1.1.1#配置SNMPv3通告的源地址
Hostname(config)#snmp-server notify notify name tag1 inform#配置一个名叫name的通告,标记列表名为tag1,信息类型为inform。
stname(config)#snmp-server proxy prox1 read fff paddress t1 mp1#配置一个名叫prox1的代理转发,操作权限为读取,指定远程引擎标识为fff,使用地址参数为paddress,目的地址名称为t1,上下文环境名为mp1
Hostname(config)#snmp-server start#使能SNMP服务。
Hostname(config)#snmp-server TargetAddress mp-traget 1.1.1.1 1 mp-param tag1 10 3#配置一个目的地址名称为:mp-target,目的地址为1.1.1.1,UDP目的端口号为1,对应的地址参数为mp-param,超时重传间隔为10秒,重传次数为3次
Hostname(config)#snmp-server trap-source 1.1.1.1#配置发送trap报文的源IP地址为1.1.1.1
Hostname(config)#snmp-server user user1 group v3 auth md5 123456 encrypt des 123456#配置一个用户名为user1,所属组为group,安全模型为v3,认证算法为md5,密码为123456,加密算法为des,密码为123456。
Hostname(config)#snmp-server view internet 1.3.6.1 include#配置一个视图名为:internet,视图的OID为1.3.6.1,视图的属性为include