2009-2016年历年网络工程师中级软考路由交换部分全部都是思科设备,从2017年开始,开始有华为设备出现。但从历年考试内容可以看出一些考点,主要涉及ACL、NAT、DHCP、VPN(IPSec是重点)

标准与扩展ACL

Switch-core#config terminal
Switch-core(config)#access-list 1 permit host 10.1.6.66
Switch-core(config)#line vty 0 4
Switch-core(config-line)# access-class 1 in
...
Switch-core(config)#ip access-listextend server-project
Switch-core(config–ext-nacl)# permit tcp host 10.1.6.33 host 10.1.2.21 eq 1521  //host无需指定源码
Switch-core(config–ext-nacl)# deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521  //tcp使用网络号和反掩码
Switch-core(config–ext-nacl)# permit tcp 10.1.0.0.0.0.255.255 host 10.1.2.21 eq 1521
Switch-core(config–ext-nacl)# permit tcp 10.1.0.0.0.0.255.255 host 10.1.2.20 eq www
Switch-core(config–ext-nacl)# permit tcp 10.1.0.0.0.0.255.255 host 10.1.2.22 eq ftp
...

定义时间范围

定义时间范围又分为两个步骤:

  1. 使用全局Time-range命令来正确地指定时间范围。格式:time-rangetime-range-name

  2. 使用Absolute(绝对时间)或者一个或多个Periodic(循环时间)语句来定义时间范围,每个时间范围只能有一个Absolute语句,但它可以有多个Periodic语句。

Switch-core(config)#time-range TR1
Switch-core(config-time-range)# absolutestart 00:00 1 June 2015 end 00:00 3 June 2015
Switch-core(config-time-range)#periodic weekdays start 9:00 to 18:00
Switch-core(config-time-range)#exit
...
Switch-core(config)#ip access-listextend internet_limit
Switch-core(config-ext-nacl)# deny tcp 10.1.0.0 0.0.255.255 any eq 80 time-range TR1
Switch-core(config-ext-nacl)# deny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TR1 //禁止10.1.0.0/16的主机在上班时间通过443端口访问Web服务器
Switch-core(config-ext-nacl)# deny tcp 10.1.0.0 0.0.255.255 any eq 3128 time-range TR1
Switch-core(config-ext-nacl)# permit ip any any
Switch-core(config-ext-nacl)# exit
Switch-core(config) #int vlan 3
Switch-core(config-if)#ip access-group internrt_limit out
...
Switch-core(config)#ip access-listextend fi-main
Switch-core(config-ext-nacl)#permit tcp any 10.1.0.0 0.0.255.255 reflect r-main timeout 120
Switch-core(config-ext-nacl)#permit udp any 10.1.0.0 0.0.255.255 reflect r-main timeout 200
Switch-core(config-ext-nacl)#permit icmp any 10.1.0.0 0.0.255.255 reflect r-main timeout 10
Switch-core(config-ext-nacl)#permit ip any any
Switch-core(config-ext-nacl)#exit
Switch-core(config-ext-nacl)#int vlan 4
Switch-core(config-if)#ip access-group fi-main in …
Switch-core(config)#ip access-listextend fi-access-limit
Switch-core(config-ext-nacl)#evaluater-main
Switch-core(config-ext-nacl)#deny ip any 10.1.4.0 0.0.0.255
Switch-core(config-ext-nacl)#permit ip any any
Switch-core(config-ext-nacl)#exit
Switch-core(config)#int vlan 5
Switch-core(config-if)#ip access-group fi-access-limit in
Switch-core(config-if)#int vlan 6
Switch-core(config-if)#ip access-group fi-access-limit in


Switch#config terminal//进入全局配置模式
Switch(config)#hostname S1 //将交换机命名为S1
S1(config-if)#switchport mode trunk //将端口封装为trunk模式
S1(config-if)#interface vlan 10//进入VLAN10
S1(config-if)#ip helper-address 192.168.1.249//指定DHCP服务器的地址,表示通过Ethernet0向该服务器发送DHCP请求包
S1(config-if)#exit//退出接口子模式
S1(config)#routerip//开启RIP
S1(config-router)#version 2//指定版本为2,支持可变长子网掩码
S1(config-router)#end//退出到特权模式,注意和exit是退出到上一级
S1#
……

配置RIP2动态路由

注意,使用network进行路由配置时,无需指定掩码信息

S1(config)#router rip
S1(config-router)#version 2
S1(config-router)#network 192.168.1.192
S1(config-router)#network 192.168.1.208
S1(config-router)#network 192.168.1.224
S1(config-router)#end 
S1#

主备交换机抢占模式

Switch1(config)#interface vlan 20
Switch1(corifig-if)#ip address 192.168.20.253 255.255.255.0
Switch1(config-if)#standby 2 ip 192.168.20.250   //配置备份组2的虚拟IP
Switch1(config-if)#standby 2 preempt  //设置preempt的含义是设置抢占模式
Switch1(config-if)#exit  //VLAN20standby默认优先级的值是100,取值范围为0-255,值越大,优先级越高。

端口描述、静态路由、DNS、DHCP snooping等

Switch-core(config)#interface gigabitEthemet 0/2
Switch-core(config-if)#description wgsw-g0/1 // 配置端口描述
Switch-core(config-if)#no switchport // 设置为路由(三层)接口
Switch-core(config-if)#ip address 192.168.101.1 255.255.255.0
Switch-core(config-if)#no shutdown
Switch-core(config)#ip route 192.168.10.0 255.255.255.0 192.168.101.2

Switchl(config)#no ip domain lookup // 禁止DNS查询
Switchl(config-if)#description core-g0/2

Switchl(config)#interface range f0/2-20   //配置多个相连端口
Switchl(config-if-range)#switchport mode access //设置端口模为 access模式
Switchl(config-if-range)#switchport access vlan 10 //设置端口所属的VLAN

Switch-core(config)#interface port-channel 10 // 进入编号为10的以太网通道接口
Switch4(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.2.1 //配置默认路由
Switch4(config)# ip routing //开启该交换机的三层路由功能

Switch2(config)#ip dhcp snooping //开启dhcp监听
Switch2(config)#ip dhcp snooping vlan 20
Switch2(config)#interface gigabitEthemetl/l
Switch2(config-if)#ip dhcp snooping trust //设置端口为信任端口

ACL与PAT转换

可以注意下,这里和最上面的ACL不同之处,最上面是先定一个acl名称,到相应名称下再进行配置,这里是直接使用access-list命令加上对的IP直接上策略。

Route-Switch(config)#access-list 100 permit ip any 61.192.93.0 0.0.0.255
Route-Switch(config)#access-list 101 deny ip any 61.192.93.0 0.0.0.255
Route-Switch(config)#access-list 101 permit ip any any

定义两个运营商提供的NAT池可用地址
Route-Switch(config)#ip nat pool ISP-A 61.192.93.100 61 192.93.102 netmask 255.255.255.0
Route-Switch(config)#ip nat pool ISP-B 202.102.100.100 202.102.100.102 netmask 255.255.255.0

配置PAT转换,实现共享上网
Route-Switch(config)#ip nat inside source list 100 pool ISP-A overload
Route-Switch(confg)#ip nat inside source list 101 pool ISA-B overload

为内网web静态NAT端口转换
Route-Switch(config)# ip nat inside source static tcp 192.168.1.100 80 61.192.93.100 80 extendable
Route-Switch(config)# ip nat inside source static tcp 192.168.1.100 80 202.102.100.100 80 extendable

在内部和外部接口上启用NAT
Route-Switch(config)#int s0
Route-Switch(config)# ip nat outside  //指定NAT的外部转换接口
Route-Switch(config)#int s1
Route-Switch(config)# ip nat outside  //指定NAT的外部转换接口
Route-Switch(config)#int f0/1
Route-Switch(config)#ip nat inside   //指定NAT的内部转换接口

配置静态路由,实现对内网访问外网路由的控制
Route-Switch(config)# ip route 61.192.93.0 255.255.255.0 S0 //配置到达ISP-A的流量从s0口转发
Route-Switch(config)# ip route 0.0.0.0 0.0.0.0 S1 //配置默认路由指定从s1口转发
Route-Switch(config)#ip route 0.0.0.0 0.0.0.0 s0 120 //配置浮动默认路由

VTP配置

通过配置VTP,实现单台交换机上配置VLAN后,其他主机都能正常学习到

S1 >enable
S1 #configure terminal
S1 (config)vtp mode server
S1 (config)#vtp domain shx
S1 (config)#vtp password shx
S1 (config)#vlan 10
S1 (config-vlar)#exit
S1 (config)#vlan 20
S1 (config-vku)#exit
S1 (config)#interface vlan l0
S1 (config-if)#ip address 192.168.10.254 255.255.255.0
S1 (config-vlar)#exit
S1 (config)#interface vlan 20
S1 (config-if)#ip address 192.168.20.254 255.255-255.0
S1 (config-if)#exit
S1 (config)#interface range fastethernet 0/22-23
S1 (config-if-range)#switchport mode access
S1 (config-if-range)#switchport mode trunk

S1 (config-if-range)#exit
S1 (config)#interface fastEthernet 0/1
S1 (config-if)# no switchport //关闭二层功能

S1 (config-if)#ip add 192.168.40.254 255.255.255.0
S1 (config-if)#exit
…
S1 (config)# ip routing //开启路由功能
S1 (corffig)#

S2 >enable
S2 #configurc terminal
S2 (config)#vtp mode client
S2 (config)#vtp domain shx 
S2 (config)#vtp password shx
S2 (config)#intererce fastethernet 0/24
S2 (config-if)#switchport mode trunk //设定接口模式
S2 (config-if)#end
S2 #

路由器NAT上网(单ISP)
R1>enable
R1#config terminal
R1(config)#access-list 1 permit 192.168.10.0 255.255.255.0
…
R1 (config)#interface serial 0/0/0
R1 (config-if)#ip address 202.165.200.1 255.255.255.248
R1 (config-if)#no shutdown
R1 (config-if)#clock rate 4000000
R1 (config-if)#interface fastethernet 0/0
R1 (config-if)#ip address 192.168.50.254 255.255.255.0
R1 (config-if)#no shutdown
R1 (config-if)#exit
R1 (config)#ip nat inside source list 1 interface s0/0/0 0verload

…..
R1 (config)#ip nat inside source static 192.168.40.1 202.165.200.3
R1 (config)#intcrface fastethernet 0/0
R1 (config-if)#ip nat inside
R1 (config-if)#interface serial 0/0/0
R1(config-if)#ip nat outside
R1 (config-if)#end
R1#

NAT与VPN

密码配置
RouterA >enable
RouterA#configure terminal
RouterA(config)#interface f0/0  //进入 F0/0 的接口配置子模式
RouterA(config-if)#ip addr 192.168.1.1 255.255.255.0  //为 F0/0 接口配置 IP 地址
RouterA(config-if)#no shut // 激活 F0/0接口,默认所有路由器的接口都为down状态 
RouterA(config-if)#inter loopback 0 //进入 loopback 0 的接口配置子模式
RouterA(config-if)#ip addr 192.168.1.20 255.255.255.255 // 为 loopback0 接口配置 IP 地址
RouterA(config)#line vty 0 4  //进入虚拟接口 0-4的配置子模式
RouterA(config-line)#password abc001 //配置vty口令为”abc001“
RouterA(config)#enable password abc001 //配置全局配置模式的明文密码为“abc001”  
RouterA(config)#enable secret abc001 //配置全局配置模式的密文密码为“abc001”

nat配置
RouterA(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
//拒绝来自192.168.1.0/24去往172.16.1.0/24网络的流量
RouterA(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 any
//定义需要被 NAT 的数据流
RouterA(config)#ip nat inside source list 101 interface S0 overload
//定义 NAT 转换关系(匹配ACL101的数据流都翻译成S0接口的公网IP地址,此为地址伪装)
RouterA(config)#int F0/0
RouterA(config-if)#ip nat inside //定义NAT的内部接口
RouterA(config)#int S0
RouterA(config-if)#ip nat outside //定义 NAT 的外部接口

IPSec VPN配置
RouterB(config)# access-list 102 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
//定义需要通过 VPN 加密传输的数据流
RouterB(config)#crypto isakmp enable //启用 ISAKMP(IKE)
RouterB(config)#crypto isakmp policy 10 //建立IKE协商策略
RouterB(config-isakmp)#authentication pre-share //使用预定义密钥
RouterB(config-isakmp)#encryption des //加密算法
RouterB(config-isakmp)#hash md5 //HASH算法
RouterB (config-isakmp)#group 2 //设置1024位Diffie-Hellman非对称加密算法
RouterB(config)#crypto isakmp identity address
//指定ISAKMP与分部路由器进行身份认证时使用IP地址作为标志。
RouterB(config)#crypto isakmp key abc001 address 202.102.100.1 //指定共享密钥和对端设备地址
RouterB (config)#crypto ipsec transform-set ccie esp-des esp-md5-hmac //配置ipsec交换集模式
RouterB (cfg-crypto-trans)#model tunnel //配置隧道模式
RouterB(config)#crypto map abc00l 10 ipsec-isakmp // 配置加密图
…….
RouterB(config)#int S0
RouterB(config)-if)#crypto map abc001 // 在外部接口上应用加密图
…….

又一VPN配置,与上面印证
R2#config t
R2 (config)#interface seria1 0/0
R2 (config-if)#ip address(192.168.10.2)(255.255.255.0)
R2 (config-if)#no shutdown
R2 (config-if)#exit
R2 (config)#ip routing
R2 (config)#router(RIP) (进入RIP协议配置子模式)
R2 (config-router)#network(192.168.10.0)
R2 (config-router)#network(192.168.30.0)
R2 (config-router)#version 2(设置RIP协议版本2)
R2 (config-router)#exit

Rl (config)# interface seria1 0/0
Rl (config-if)# ip address(212.34.17.9)(255.255.255.224)
Rl (config-if)# no shutdown
Rl (config)#ip route 192.168.100.0 255.255.255.0 202.100.2.3  //配置静态路由(指向VPN的对端)
Rl (config)#crypto isakmp policy 1
Rl (config-isakmp)#authentication pre-share  定义预共享密钥
Rl (config-isakmp)#encryption 3des 加密使用3DES算法
Rl (config-isakmp)#hash md5 定义MD5算法
Rl (config)#crypto isakmp key test123 address(202.100.2.3) 设置密钥为test123和对端地址
Rl (config)#crypto isakmp transform-set link ah-md5-h esp-3des 指定VPN的加密和认证算法。
Rl (config)#accress-list 300 permit ip 192.168.100.0 0.0.0.255 配置ACL
Rl (config)#crypto map vpntest 1 ipsec-isakmp 创建crypto map名字为vpntest
Rl (config-crypto-map)#set peer 202.100.2.3 指定链路对端lP地址
Rl (config-crypto-map)#set transfrom-set link 指定传输模式link,上面示例中使用的tunnel模式,和这里有点区别
Rl (config-crypto-map)#match address 300 指定应用访控列表
Rl (config)# interface seria10/0
Rl (config)#crypto map(vpntest) 应用到接口

DHCP配置

R1#config t
R1(config)#interface FastEthernet0/1 //进入接口模式
R1(config-if)#ip address 192.168.1.1 255.255.255.0 //配置接口F0/1的IP地址
R1(config-if)#no shutdown //激活接口
R1(config-if)#exit
R1(config)#ip dhcp pool vlan 3 //添加地址池vlan3
R1(dhcp-config)#network 192.168.3.0 255.255.255.0 //指定地址池范围
R1(dhcp-config)#default-router 192.168.3.254 255.255.255.0 //指定地址池vlan 3中网关地址
R1(dhcp-config)#dns-server 192.168.2.1 //指定地址池vlan 3中DNS服务器地址
R1(dhcp-config)#lease 0 8 0 //指定地址池vlan 3地址租约时间为8小时(格式:lease days hours minites) 
R1(dhcp-config)#exit
R1(config)#ip dhcp pool vlan 4
R1(dhcp-config)#network 192.168.4.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.4.254 255.255.255.0
R1(dhcp-config)#dns-server 192.168.2.1
R1(dhcp-config)#lease 0 8 0
R1(dhcp-config)#exit //地址池vlan4相关命令的解析与vlan3的解析类似,此处不赘述
R1(config)#ip dhcp excluded-address 192.168.3.1 192.168.3.10
R1(config)#ip dhcp excluded-address 192.168.3.254 // 排除掉不能分配的IP地址
R1(config)#ip dhcp excluded-address 192.168.4.254
R1(config)#ip route 192.168.3.0 255.255.255.0 FastEthernet0/1 //在以太网接口和VLAN3间建立一条静态路由

S1(config-if)#ip helper-address 192.168.1.1 //指定DHCP服务器IP地址
S1(config-if)#switchport mode trunk //开启端口模式为trunk
S1(config-if)#switchport trunk allowed vlan all //trunk链路允许所有vlan 流量通过
S1(config)#interface f1/2
S1(config-if)#switchport mode access //指定接口为接入(access)模式
S1(config-if)#switchport access vlan 2 //指定接口隶属于vlan2

又一DHCP配置,与上面互相印证
Router (config) #ip dhcp excluded-address 192.168.2.1 192.168.2.2 //不用于动态地址分配的地址
route(config)# ip dhcp pool pool_name //配置一个根地址池,pool_name是指地址池的名称,可以采用有意义的字符串来表示
Router (dhcp-config) #network 192.168.0.0 255.255.0.0 //为所有客户机动态分配的地址段
Router (dhcp-config) #domain-name csai.com //为客户机配置域后缀
Router (dhcp-config) #dns-server 192.168.1.1 //为客户机配置DNS服务器
Router (dhcp-config) #netbios-name-server 192.168.1.1 //为客户机配置wins服务器,没有可以不用配置
Router (dhcp-config) #lease 10 //地址租用期为10天,10天后地址被收回
Router (dhcp-config)#default-router 192.168.1.2 //为客户机配置默认的网关地址

ACL之时间参数

Route-Switch(config)#time-range telnettime //定义时间范围
Route-Switch(config-time-range)#periodic weekday 08:00 to 18:00
//定制周期性执行时间为工作日的08:00~18:00
Route-Switch(config-time-range)#periodic weekend 08:00 to 12:00
//定制周期性执行时间为周末的08:00~12:00
Route-Switch(config-time-range)#exit
Route-Switch(config)#access-list 104 deny ip 192.168.3.0 0.0.0.255 any
//禁止财务部访问互联网或则禁止财务部访问任何网络
Route-Switch(config)#access-list 104 permit ip any any time-range telnettime
//应用访问控制时间,定义流量筛选条件
Route-Switch(config)#int f0/6
Route-Switch(config-if)# ip access-group 104 out 
//在接口F0/6的出方向应用acl 104规则

PIX防火墙配置

PIX(config)#interface ethernet 0 auto //设置e0口自适应方式
PIX(config)#interface ethernetl 100full //设置e1口全双工方式
PIX(config)#interface ethernet2 100full //设置e1口全双工方式
PIX(config)#ip address outside 224.4.5.1 255.255.255.248 //设置外网接口IP
PIX(config)#ip address inside 192.168.0.2 255.255.255.0 //设置内网接口IP
PIX(config)#ip address dmz 10.10.10.2 255.255.255.248//设置DMZ接口IP
PIX(config)#global (outside)1 224.4.5.1-224.4.5.6 //指定公网地址范围,定义地址池
PIX(config)# nat (inside)1 0.0.0.0 0.0.0.0 //表示内网的所有主机都可以访问外网
PIX(config)#route outside 0 0 224.4.5.2 //设置默认路由

IPv4与IPv6之间的转换NAT-PT

Rl#configure terminal;进入全局配置模式
Rl(config)# interface ethernet0:进入端口配置模式
Rl(confg-if)# ip address(192.17.5.1)(255.255.255.0);配置端口lP地址
Rl(config-if)# ipv6 nat;(在接口上启用NAT-PT)
Rl(config-if)#interface ethernetl
Rl(config-if)# ipv6 address(2001:aaaa::1)/64
Rl(config-if)# ipv6 nat
Rl(config)#ipv6 access-list ipv6 permit 2001:aaaa::l/64 any;(指定IPv6网络中允许被转换的IPv6地址范围)
Rl(config)#ipv6 nat prefix(2001:aaaa:0:0:0:1::/96)
Rl(confg)#ipv6 nat v6v4 pool ipv4-pool(16.23.31.10)(16.23.31.20)prefix-length 24
Rl(config)#ipv6 nat v6v4 source list ipv6 pool ipv4-pool
Rl(config)#exit

IPSec隧道模式

IPsec分传输模式和隧道模式,上面的案例是传输模式(不需要两地路由器上配置),这里是隧道模式(需要在路由器上配置)。

router-a(config)#ip route 0.0.0.0 0.0.0.0 (203.25.25.254)  //指定本路由器默认出口
router-b(config)#ip route 0.0.0.0 0.0.0.0 (201.18.8.254)   

在路由器router-a中配置IPSec隧道 
router-a(config)# crypto tunnel tun1 (设置IPSec隧道名称为tunl)
router-a(config-tunnel)# peer address (201.18.8.1) (设置隧道对端IP地址)
router-a(config-tunnel)#local address (203.25.25.1) (设置隧道本端IP地址)
router-a(config-tunnel)# set auto-up (设置为自动协商)
router-a(config-tunnel)# exit (退出隧道设置) 

router-a与router-b之间采用预共享密钥“12345678”建立IPSec关联
router-a(config)# cryptike key 12345678 address
router-a(config)#crypt ike key 12345678 address (201.18.8.1)
router-b(config)# crypt ike key 12345678 address (203.25.25.1)

router-a(config)# crypto policy pl 
//从192.168.8.0/24子网到192.168.9.0/24子网的所有lP报文经由IPSec隧道tunl到达。
router-a(config-policy)# flow 192.168.8.0 255.255.255.0 192.168.9.0 255.255.255.0 ip tunnel tunl
router-a(config-policy)#exit

router-a(config)# crypto ipsec proposal secpl
router-a(config-ipsec-prop)# esp 3des sha1 采用3des加密,使用sha1认证
router-a(config-ipsecprop)#exit 

IPv6-over-IPv4 GRE隧道

Router(config)# ipv6 unicast-routing (开启IPv6单播路由)
R1(config)# interface Serial 1/0
R1(config-if)# ip address 200.100.1.1 255.255.255.0 (设置串口地址)
R1(config-if)#no shutdown (开启串口)
R1(config)#interface FastEthernet0/0
R1(config-if)# IPv6 address 2000:2fcc::1/64 (设置以太口地址)
R1(config-if)#exit

……
R2(config)#interface tunnel 0 (启用tunnel 0)
R2(config-if)#tunnel source s1/0 (指定隧道(tunnel)的源为S0)
R2(config-if)#tunnel destination 200.100.1.1 (指定隧道(tunnel)的目标地址)
R2(config-if)#ipv6 address 2000:2fcc::2/64 (为tunnel配置IPv6地址)
R2(config-if)#tunnel mode gre ipv6 (tunnel模式为IPv6的GRE隧道)

ISATAP隧道

ISATAP隧道实现,将IPv6数据包封装在IPv4数据包中进行传输

R1(config)# interface Serial 1/0
R1(config-if)# ip address (192.1.1.1) 255.255.255.0 (设置串口地址)
R1(config-if)#no shutdown (开启地址)
R1(config)#interface FastEthernet 0/0
Rl(config-if)#ip address (192.0.0.1) 255.255.255.0 (设置以太口地址)
R1(config-if)#exit
R1(config)#router ospf 1
R1(config-router)#network 192.0.0.1 (0.0.0.255) area 0
Rl(config-router)#network 192.1.1.1 (0.0.0.255) area 0

R3(config)#interface tunnel 0 (启用tunnel 0)
R3(config-if)# ipv6 address 2001:DA8:8000:3::/64 eui-64 为tunnel配置IPV6地址
R3(config-if)# no ipv6 nd suppress-ra 启用了隧道口的路由器广播
R3(config-if)#tunnel source s1/0 (指定tunnel的源地址为s0)
R3(config-if)#tunnel mode ipv6 ip isatap (tunnel的模式为ISATAP隧道)

donation