Archive of the categories: 网络设备

h3c交换机(S5048PV-EI)APP丢失处理

1、开机串口显示 BOOTWARE app丢失,找不到文件:
======================================================
|<1> Boot System |
|<2> Enter Serial SubMenu |
|<3> Enter Ethernet SubMenu |
|<4> File Control |
|<5> Modify BootWare Password |
|<6> Skip Current System Configuration |
|<7> BootWare Operation Menu |
|<8> Clear Super Password |
|<9> Storage Device Operation |
|<0> Reboot
2、确认文件没有后,去h3c官网下载bin;
3、通过终端工具:
先选择:
|<2> Enter Serial SubMenu
再选:
|<1> Download Application Program To SDRAM And Run
4、通过终端工具,通过xmoden发送bin,12MB文件,发送1小时。

PS:也可以通过tftp通过|<3> Enter Ethernet SubMenu配置进行访问。

H3C S1526如何配置TRUNK?

H3C S1526为全WEB管理,管理功能非常简单,但是很多习惯命令配置的无法适应WEB管理,其中TRUNK概念在S1526里面基本没有。如何实现TRUNK呢?
1、配置VLAN,创建VLAN的时候需要叫入端口。平常我们说的ACCESS口要配置为U口,允许VLAN标签通过的口为T口(即TRUNK或HYBRID),
2、修改端口PVID,S1526在创建VLAN后。PVID并不会随之改变,需将相应的口配置为相应的PVID。TRUNK的默认PVID为1,
实例:
创建VLAN10 端口为1-10 创建VLAN 20端口为1-20 ,26号口为TRUNK。
1、创建VLAN10,将1-10设为U口,26设为T口,创建VLAN20 将11-20设为U口,26号口设为T口。
2、配置PVID,将1-10PVID设置为10,将11-20PVID设置为20。 26口号PVID为1 保持不变。
保存

关闭路由器不需要的服务

Router(config)# no cdp run//关闭CDP协议,CDP使用多播地址,能够发现对端路由器的Hostname,硬件设备类型,IOS版本,三层接口地址,发送CDP多播的地址

Router(config)# no service tcp-small-servers
Router(config)# no service udp-small-servers//关闭TCP和UDP的一些无用的小服务,这些小服务的端口小于19,通常用在以前的UNIX环境中,如chargen,daytime等

Router(config)# no service finger//finger通常用在UNIX中,用来确定谁登陆到设备上:telnet 192.168.1.254 finger
Router(config)# no ip finger//关闭对于finger查询的应答
Router(config)# no ip identd//关闭用户认证服务,一个设备发送一个请求到Ident接口(TCP 113), 目标会回答一个身份识别,如host名称或者设备名称
Router(config)# no ip source-route//关闭IP源路由,通过源路由,能够在IP包头中指定数据包实际要经过的路径
Router(config)# no ftp-server enable//关闭FTP服务
Router(config)# no ip http server//关闭HTTP路由器登陆服务
Router(config)# no ip http secure-server//关闭HTTPS路由器登陆服务

Router(config)# no snmp-server community public RO
Router(config)# no snmp-server community private RW
Router(config)# no snmp-server enable traps
Router(config)# no snmp-server system-shutdown
Router(config)# no snmp-server trap-auth
Router(config)# no snmp-server//关闭SNMP服务

Router(config)# no ip domain-lookup//关闭DNS域名查找
Router(config)# no ip bootp server//bootp服务通常用在无盘站中,为主机申请IP地址
Router(config)# no service dhcp//关闭DHCP服务
Router(config)# no service pad//pad服务一般用在X.25网络中为远端站点提供可靠连接
Router(config)# no boot network//关闭路由器通过TFTP加载IOS启动
Router(config)# no service config//关闭路由器加载IOS成功后通过TFTP加载配置文件

Router(config)# interface ethernet 0
Router(config -if)# no ip proxy-arp//关闭代理ARP服务
Router(config -if)# no ip directed-broadcast//关闭直连广播,因为直连广播是能够被路由的

Router(config -if)# no ip unreachable
Router(config -if)# no ip redirect
Router(config -if)# no ip mask-reply//关闭三种不可靠的ICMP消息
Router(config -if)# exit
注意:使用show ip interface查看接口启用的服务

Router(config)# interface ethernet 0
Router(config -if)# shutdown//手动关闭没有使用的接口
Router(config -if)# exit

Router(config)# service tcp-keepalives -in
Router(config)# service tcp-keepalives -out
//对活动的tcp连接进行监视,及时关闭已经空闲超时的tcp连接,通常和telnet,ssh一起使用

Router(config)# username admin1 privilege 15 secret geekboy
Router(config)# hostname jwy
Bullmastiff(config)# ip domain-name godupgod.com
Bullmastiff(config)# crypto key generate rsa
Bullmastiff(config)# line vty 0 4
Bullmastiff(config -line)# login local
Bullmastiff(config -line)# transport input ssh
Bullmastiff(config -line)# transport output ssh
//只允许其他设备通过SSH登陆到路由器

基于L2TP VPN 配置

http://ltyluck.blog.51cto.com/170459/211372

L2TP隧道(L2TP Tunnel)是指在第二层隧道协议(L2TP)端点之间的逻辑链接:LAC(L2TP接入聚合器)和LNS(L2TP网络服务器)。当LNS是服务器时,LAC是隧道的发起人,它等待新的隧道。一旦一个隧道被确立,在这个点之间的新通信将是双向的。为了对网络有用,高层协议例如点对点协议(PPP)然后通过L2TP隧道。
今天刚好在学Juniper防火墙的时候,刚好学到L2TP VPN的配置,那么今天我们来看看使用Juniper防火墙来做L2TP VPN。
第一步:点击:Objects>IP Pools我们添加一个IP地址池,这个地址池主要用来给我们通过L2TP VPN拨号进来的用户分配的内网的IP 地址。

如上图:IP Pool Name就是给我们地址池起上一个名字,以便我们以后好调用。
Start IP:我们地址池起始的IP地址
End IP:我们地址池结束的IP地址
输入好以后点击OK就行了。

当我们建立好之后,它自动会返回到我们一个地址池汇总的地方,在这里我们可以看见我们刚才建立的那一个地址池。
当我们地址池建立以后进入“Objects>Users>Local”里面去建立我们的用户。如下图点击右上角的“New”来新建我们的用户。

如下图:User Name:输入用户名
Status: Enable
User Password:输入密码
Confirm Password:输入确认密码
将L2TP User选中,因为我们这个用户将用来给通过L2TP拨号进来的用户登录使用的。

按照上面图的步骤,我们再建立一个cisco用户名。当我们建立好之后,就会看见如下图显示两个用户名。

当我们建立好用户以后,我们还要建立一个用户组,将我们的用户加入该组里面。

在Group Name后面输入我们的组名,我这里输入的是“aa”,而在我们“Available Members”这里面显示的是我们刚才建立好的用户名,但是下图应该还有一个cisco用户才对。而“Group Members”这里面就是我们的组成员,我们选中“Available Members”下面的用户,点击“<<”这个按钮加入到左边的“Group Members”里面,这样在“Group Members”里面就会显示我们加入过来的成员了。

当我们设置好以后点击“OK”,返回到我们的"Local Groups"页面,我们在下面就会看见我们刚才建立的“aa”组了。还有组的类型,组成员这些。

下面进入缺省L2TP设置“VPNs>L2TP>Default Settings”里面,我们要修改的有几项,第一项“IP Pool Name”在这里选择我们刚才建立的那个地址池“L2TP-Pool”,第二项就是“PPP Authentication”这里我们使用“CHAP”来进行认证。下面一个就是“DNS”其实这个设置与不设置效果一样。只不过在后面我们给通过L2TP拨号上来的用户分配DNS而已。
当设置好以后点击“Apply”应用就行了。

下面我们要建立L2TP遂道。我们可以从下图看见,默认情况下是没有的。我们点击右上角的“New”来进行新建一个。

下图就是我们新建L2TP遂遂的一个例子。我们来看看,下面应该如何来设置呢?
Name:遂道的名称
Authentication Server: Local 认证我们使用本地认证。我们这里没有配置AAA所以就使用本地人证。
Dialup Group: Local Dialup Group – aa这里就是我们刚才建立的那个拨号组,里面有两个用户test、cisco,用于我们拨号使用

Outgoing Interface: untrust 我们出去通过那个接口,因为我这是一款低端的juniper防火墙,只有trust与untrust,因为我们外网接的是untrust,所以我就只能选择untrust。
其它默认就行,好了以后点击“OK”

而当我们建立成工以后,在“VPNs>L2TP>Tunnel”里面会显示我们刚才建立的条目。

下面我们来设置策略“Policy>Policis”在这下面有一个“From”后面选择“untrust”,“TO”后面选择“Trust”表示,我们现在要建立一条策略是从“Untrust”到“Trust”的,选择好以后点击后面的“New”来进行建立。

在这里面我们需要设置以下几项:
Source Address:
Address Book: Dial-Up VPN
Destination Address:
Address Book: Any
Service: ANY
Action: Tunnel
Tunnel L2TP: test_vpn 这里就是设置我们刚才建立的那个遂道名称
Position at Top:选择
其它默认设置,设置好以后,就点击“OK”

到此为止,我们Juniper防火墙上面的设置就已经完成了。那么我们再来我们的PC上面如何来设置呢?
其实现在的建立很简单了。就是建立一个VPN的拨号连接。
在我们的PC的桌面上,右击“网上邻居”选择“属性”。
在左边有一个“创建一个新的连接”
这时就会出现下面的一个“新建连接向导”的欢迎页面。

在这后面先择“连接到我的工作场所的网络”,我们也可以看见下面的说明“使用拨号或VPN”。因为我们这里使用的是L2TP VPN。

下面这里我们选择“虚拟专用网络连接”因为我们要使用的是VPN,如果我们使用的是ISDN的话我们就选择上面的“拨号连接”,但是现在ISDN基本上都没有用过了。

下面就是给我们的这个连接起上一个名称。我这里取的一个是“test”

下面这里就是填写我们“VPN服务器”的IP地址或者域名也行。

当我们把这些设置好了以后就会显示“正在完成新建连接向导”。我们点击“完成”就可以了。

当我们在“网络连接”里面就会多一个“虚拟专用网络”下面有一个“test”的连接。这表示我们这个VPN拨号已经建立成功了。

位是当我们建立好以后还不能直接拨号的,因为我们还要设置一些东西。
如下图,我们选择“高级(自定义设置)”以后,选择“设置”。

在“数据加密(D)”下面选择“可选加密(没有加密也可以连接)”,还有下面“允许这些协议”下面的“质询握手身份验证协议(CHAP)”,因为我们在Juniper防火墙上面的策略里面设置“PPP”的认证使用的是“CHAP”。其它的保持不变。

在“网络”里面,“VPN类型”我们将它改成“L2TP IPSec VPN”因为我们这里使用的是“L2TP VPN”,所以这里我们直接选择这个就行了。

但是现在设置好以后还拨号不行。对于我们XP来说,我们还需要修改一下注册表才行。那么下面我们来看看注册表如何修改呢?
打开“运行”输入“regedit”来打开“注册表”。

打开“注册表”找到以下这个表项:“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceRasManParameters”,在右边新填一个“DOWN值”。

将这个“DOWN值”改名成“ProhibitIpSec”。

将其值修改成“1”

好了,重启一下计算机,然后我们就可以进行拨号了。
重启之后我们打开我们前面建立的那个“test(虚拟专用网络连接)”,输入我们前面建立的“用户名及密码”点击连接。

下图就是我们连接到服务器“在核对用户名和密码”

当我们拨号成功以后,在“通知区域”会显示一个“网络连接”。

当我们点击这个网络连接查看详情。

从上图我们可以看出来服务器的IP地址,服务器给我们分配的IP地址。以及服务器类型,传输使用的是TCP/IP,身份验证使用的是MD5/CHAP。
其实上面这拨号这一步,很类

NAT技术学习

一、NAT网络地址转换的3种实现方式:

1、静态NAT(一对一)

2、动态NAT(多对多)

3、端口多路复用PAT(多对一)

1、静态配置

(1)配置外部接口IP地址

(2)配置内部接口IP 地址

(3)在内部局部和内部全局地址之间建立地址转换

router(config)#ip nat inside source static local-ip global-ip

(4)在内外部接口上启用NAT

router(config)#int s0/0

router(config-if)# ip nat outside

router(config)#int f0/0

router(config-if)# ip nat inside

2、动态NAT配置

(1)(2)与静态配置相同

(3)定义内部网络中允许访问外部网络的访问控制列表

router(config)#access-list access-list-number permit source source-wildcard

router(config)#access-list 1 permit 192.168.100.0 0.0.0.255

(4)定义合法的IP地址池

router(config)#ip nat pool pool-name start-ip end-ip {netmask netmask|prefix-length prefix-length } [type rotary]

netmask:表示子网掩码

prefix-length:表示网络前缀

type rotary (可选):地址池中的地址为循环使用

router(config)#ip nat pool test 61.159.62.130 61.159.62.132 netmask 255.255.255.192

(5)实现网络地址转换

router(config)#ip nat inside source list access-list-number pool pool-name

router(config)#ip nat inside source list 1 pool test

(6)在内外部接口上启用NAT

3、PAT端口多路复用,就是把多个内部地址转化为一个外部地址(通过端口来区别)。这个外部地址可以是定义的只包括一个地址的地址池;也可以是使用外部接口的ip地址。

方法一 :使用一个外部全局地址

(3)定义内部访问列表

router(config)#access-list 1 permit 10.1.1.0 0.0.0.255

(4)定义合法地址池
router(config)#ip nat pool onlyone 61.159.62.130 61.159.62.130 netmask 255.255.255.248

因为只有一个地址,所以地址池的起始地址与终止地址相同

(5)设置复用动态IP地址转换:

router(config)#ip nat inside source list access-list-number pool pool-name overload

router(config)#ip nat inside source list 1 pool onlyone overload

方法二:使用路由器外部接口地址

(5)设置复用动态IP地址转换:

router(config)#ip nat inside source list 1 interface s0/0 overload

VPN技术学习

待整理:

http://www.networkdictionary.cn/protocols/isakmp.php

8 12 16 24 32 bit
Initiator Cookie
Responder Cookie
Next Payload MjVer MnVer Exchange Type Flags
Message ID
Length

Initiator Cookie ― Initiator Cookie:启动 SA 建立、SA 通知或 SA 删除的实体 Cookie。
Responder Cookie ― Responder Cookie:响应 SA 建立、SA 通知或 SA 删除的实体 Cookie。
Next Payload ― 信息中的 Next Payload 字段类型。
Major Version ― 使用的 ISAKMP 协议的主要版本。
Minor Version ― 使用的 ISAKMP 协议的次要版本。
Exchange Type ― 正在使用的交换类型。
Flags ― 为 ISAKMP 交换设置的各种选项。
Message ID ― 唯一的信息标识符,用来识别第2阶段的协议状态。
Length ― 全部信息(头+有效载荷)长(八位)。

Juniper防火墙学习

一、常用命令:
基于Console登陆命令方式:

查看命令:

查看系统信息:get sys

查看配置信息:get config

查看会话信息:get session

查看VPN密匙:get ike coo

查看端口信息:get interface

查看路由信息:get route

查看策略信息:get proicy

清除命令:

清除当前会话:clear session

清除所有会话:clear session all

清除VPN密匙:clear ike coo

清除路由信息:clear route A.B.C.D/M interface ethernet<ID> gateway A.B.C.D

设置命令:

设置端口归属:set interface Ethernet<ID> zone <Trust、UNTrust、DMZ、HA>

设置端口地址:set interface Ethernet<ID> ip A.B.C.D/M

设置端口模式:set interface ethernet1 nat

设置路由信息:set route A.B.C.D/M interface ethernet1 gateway A.B.C.D

设置策略信息:set policy id <ID> from <source> to <des> any any any Permit 

Checkpoint防火墙技术学习

1、Checkpoint抓包

[Expert@TF-CP3070]# fw monitor -e 'accept src=192.168.1.1 and dport=80;'
monitor: getting filter (from command line)
monitor: compiling
monitorfilter:
Compiled OK.
monitor: loading
monitor: monitoring (control-C to stop)
Internal:i[764]: 192.168.1.1 -> 61.175.198.xxx (TCP) len=764 id=7697

2、常用命令
[Expert@TF-CP3070]#cpconfig

/var/log/messages
free /top/vmstat
cpinfor
sysconfig

3、VPN学习

4、安装
。。。

5、虚拟机测试
。。。

juniper启动与重置过程

Juniper Networks ISG 1000 BootROM V1.1.0 (Checksum: 044FEF59)
Copyright (c) 1997-2005 Juniper Networks, Inc.

Total physical memory: 1024MB
Test – Pass
Initialization…….. Done

Hit key 'X' and 'A' sequentially to update OS Loader….

Loading OS Loader from on-board flash memory… +++
Done!

Ignore image authentication!

Start loading…
…………………….
Done.

Juniper Networks ISG 1000 OS Loader Version 1.0.1

Initialize FBTL 0.. Done

Hit any key to load new firmware
Hit any key to load new firmware
Hit any key to load new firmware
Hit any key to load new firmware

Loading default system image from on-board flash disk…
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Done! (size = 12,406,231 bytes)

Ignore image authentication!

Start loading…
………………………………………………………..
………………………………………………………..
………………………………………………………..
………………………………………………………..
………………………………………………………..
………………………………………………………..
………………………………………………………..
………………………………………………………..
………………………………………………………..
………………………………………………………..
………………………………………………………..
………………………………………………………..
………………………………………………………
Done.

Juniper Networks, Inc
ISG 1000 System Software
Copyright, 1997-2006

Version 5.4.0r10.0
ScreenOS Initialization
……………………………………………………………………………………………………………………………………………………………………..Done
Load Manufacture Information … Done

Initialize FBTL 0.. Done

Initialize FBTL 1.. Done
Load NVRAM Information … (5.4.0)Done
Jupiter init successful!
Install module init vectors
Desirable hash segments 8, actual segments 8. Hash size per segment 524288.

configure kernspi(1) fpga ……………………………..Done
Install modules (01000000,024c0000) …
load dns table : dns table file does not exist.

Initializing DI 1.1.0-ns
System config (1752 bytes) loaded
.
Done.
Load System Configuration ………………………………………………………………………………………………………………………………………………Done
system init done..
login: ethernet1/1 interface change physical state to Up
ethernet1/4 interface change physical state to Up
System change state to Active(1)

login: 产品序列号
password: 产品序列号
!!! Lost Password Reset !!! You have initiated a command to reset the device to factory defaults, clearing all current configuration and settings. Would you like to continue? y/[n] Y

!! Reconfirm Lost Password Reset !! If you continue, the entire configuration of the device will be erased. In addition, a permanent counter will be incremented to signify that this device has been reset. This is your last chance to cancel this command. If you proceed, the device will return to factory default configuration, which is: System IP: 192.168.1.1; username: netscreen, password: netscreen. Would you like to continue? y/[n] Y
In reset …

CISCO端口镜像+实际案例 [转]

3750(config)#monitor session 1 source interface gi1/0/6 both
3750(config)#monitor session 1 source interface gi1/0/4 both
3750(config)#monitor session 1 destination interface gi1/0/12

——————————————————————————–
CISCO端口镜像+实际案例,绝对顶!
转帖:

方法一:HUB(方法太简单。。。略)
方法二:TAP (太专业了。。。。还要另外投资)
方法三:SPAN(就是大家常说得Port Mirror或者Port Monitor)
1。Cat2900XL/3500XL
2900XL(config)#interface fastethernet 0/24 //进入接口配置模式下
2900XL(config)#port monitor fastethernet 0/1 //配置f0/1为被监视得端口
2900XL(config)#port monitor fastethernet 0/2 //配置f0/2为被监视得端口

通过上面得配置就可以把进出f0/1和f0/2两个端口得流量镜像到f0/24

通过
show port monitor可以参看交换机得SPAN配置情况

2。Cat2950/3550/3750
3550(config)#monitor session 1 source interface f0/1 – 3 rx
//指定SPAN session组号为1,源端口为f0/1-f0/3,对进这三个端口的流量
//rx–>指明是进端口得流量,tx–>出端口得流量 both 进出得流量
3550(config)#monitor session 1 destination interface f0/4
//指定监视端口为f0/4

3。Cat4000/6500 with CatOS
set span命令
cat4k#set span 1/2 1/3
//把1/2得流量镜像到1/3

4。Cat4500/6500 with IOS
同2–Cat2950/3550/3750

方法四:VACL
VACL=VLAN ACL=Security ACL
只能在Cat6500上使用

CatOS:
c6509 (enable) set security acl ip MyCap permit tcp any any eq 443
c6509 (enable) set security acl ip MyCap permit tcp any eq 443 any
c6509 (enable) set security acl ip MyCap permit ip any any capture
//排除所有访问443端口的流量,其他流量都是感兴趣的
c6509 (enable) commit security acl MyCap
//定义一个security ACL的name
c6509 (enable) set security acl map MyCap 100,101
//把security ACL应用到vlan 100和101上
c6509 (enable) set security acl capture-ports 3/1
//把capture的流量镜像到3/1端口上

IOS:

c6509(config)# access-list 100 permit ip any any
c6509(config)# vlan access-map MyCap 10
c6509(config-access-map)# match ip address 100
c6509(config-access-map)# action forward capture
c6509(config)# vlan filter MyCap vlan-list 200 , 201
c6509(config)# interface gi3/1
c6509(config-if)# switchport capture