添加时间: 2008-1-3 5:06:02  作者: Cisco教程指导  阅读次数:20   来源: http://www.d9soft.com

       

    4 在通道两端都必须有通道两端的公网，私网的路由。特别是私网，必须指定。并且必须避免出现公网和私网路由混合显现。否则任何通路都错误。
    5 在为TUNNEL配置路由的时候最好指定IP ROUT 0.0.0.0 0.0.0.0 TUNNEL的对端tunnel地址。
    *****在为L2TP指定路由的时候 ip rout 0.0.0.0 0.0.0.0 在LAC+router侧的出接口，或者是对端的内网进IP。不能指定公网IP。
    6 在私网运行OSPF时候，必须指定PEER。否则路由无法传递。通过DIS OSPF PEER查看PEER是否已经建立。

 
    IPSEC
    1 通常在IPSEC建立的时候的参数由IKE建立联盟进行协商。（否则必须手动配置IPSEC的参数，包括加密算法和验证算法）
    2 在用IKE建立联盟时候，首先必须保证PRE-SHADE-KEY一致。REMOTE地址为对端公网地址。
    3 ****另外在创建ACL流的时候，IKE两端必须完全镜象。通常ACL使用扩展ACL。并且，如果在内网需要运行路由协议时候，千万避免ACL将路由的数据流过滤掉。通常在ACL末端需要DENY ANY。华为默认为DENY ANY。CISCO默认为PERMITER。
    4 创建 安全 提议时给的STRING，必须和创建策略时引入的STRING一致。
    5 在安全提议中可以配置IPSEC使用的传输方式，有TUNNEL和TRANSPORT方式，在IKE联盟时候，必须一直，否则IPSEC无法对数据进行解密。
    6 在安全提议中的ESP使用时候，IKE联盟的算法必须一直，通常在验证使用SHA1算法，在加密使用MD5算法。
    7 保证在安全策略中的ACL引入为所定义的ACL。通常由ACL101开始。
    8 指定安全策略中的REMOTE地址，在直接用IPSEC建立隧道时候，remote地址为对端公网IP，在IPSEC+GRE的时候为GRE创建的tunnel地址，（通常GRE创建的tunnel地址为1.1.1.1）。在IPSEC+L2TP的时候，即可以让IPSEC加密通道数据，也可以让IPSEC加密LAN数据，在加密通道数据时候IPSEC的remote地址为公网IP，在加密LAN数据时候，IPSEC的remote为LAN地址，并且为与LAC连接的ROUTER分配到的IP地址。（这个和L2TP的LNS的IP-ROUTING类似），通常IPSEC+L2TP加密LAN数据。
    9 IPSEC最后必须在所需要的接口上起用IPSEC的安全策略。在GRE+IPSEC的时候，必须在TUNNEL通道下起用，而不是直接在接口下。
    10 如果IPSEC的联盟建立不起来，也有可能是因为没有数据流的触发。使用扩展的PING命令，触发数据流。 ping -a 本端内网ip 对端内网IP。在建立IPSEC联盟之前，必须保证双方的外网直接可达。
    11 在直接用IPSEC建立通道的时候，其内网运行的OSPF和外网必须分开，并且必须指定邻居。

    命令：
    DIS IKE SA 显示IKE建立联盟的情况，如果1阶段没有成功为IKE的问题，如果2阶段没有成功为IPSEC的问题。
    DIS IPSEC SA ALL显示所有的IPSEC参数以及IPSEC建立的联盟。通常用于检测IPSEC的加密密钥和算法是否一直。

    L2TP用户拨号接入
    1 使用debug modem at命令查看MODEM的接入状态。如果反复出现“RING”命令，则为modem的应答问题。通常在华为为自动应答，但是有可能MODEM不支持。
    2 在router上必须有用户拨入时候的信息。
    3 dialer必须使用DCC循环拨入（dialer enable-circular）。
    在AUX口上必须配置的命令只有两条，1 流控制方式 2 允许拨入

    交换

PVLAN
1 在一个交换机上设置了一个HYBRID口之后，不能设置TUNK口。
2 HYBRID口最好配置为untegged所有VLAN，但是必须TEGGED 管理 VLAN。否则管理vlan无法通信。如果允许其下面的VLAN能穿透的话，必须配置为TEGGED。
3 在HYBID口上必须配置其PVID为PVLAN的ID。而且与HYBRID口相连接的交换机的口，必须配置为TUNK口，PVID同样为PVLAN的ID。
4 如果在本交换机上希望配置VLAN之间的访问，可以将接口配置为HYBRID，然后通过TEGGED标记来控制通信，而不需要借助ROUTE的路由传递。
5 交换机在与ROUTE接入的口，如果ROUTE不配置子接口，不实现VLAN路由的话，必须将交换机的接口改为ACCESS状态。
6 在用DHCP服务器分配IP的时候，必须配置DHCP-RELAY。（先建立DHCP-ser的相关参数，然后在***VLAN接口下配置，必须在每个VLAN下都要配置）在路由器上配置DHCP-RELAY的时候是在分发IP的接口上配置（ip-relay ……）注意是在分发IP的接口下配置，而不是在系统视图下

802.1X
1 通常会出现的错误为将上行端口配置了DOT1.X。因为上行端口连接的是route，绝对不能配置。
2 在华为设备中，在一个设备上配置了dot1.x，其他的交换机都必须配置本地验证。否则，其他交换机与他的直接连接将DOWN掉。

VRRP
1 在创建VRRP组的时候，必须为每个VLAN接口指定自己的IP ADD，并且还必须指定此vlan的VRRP组的IP ADD。

 

 

思科认证分类导航

• Cisco动态
• Cisco指导
• Cisco介绍
• Cisco试题

本类经典文章推荐

• CISCO认证增长60％新认证推陈出新
• 加快千兆网络普及以太网技术动向
• WinGate与Internet连接共享
• WinGate3.0安装指导
• 远程传输的两种技术优劣各异
• Cisco认证指导:基础中文命令集
• IOS软件结构读书笔记
• 路由器基础配置及传输协议
• 网络安全:IPv6安全威胁
• 路由技术:路由器远程管理实例

Cisco指导阅读排行

• Cisco路由器访问控制列表详解
• EPON与GPON的综合比较
• 我的CISCO认证学习笔记总结
• CCNA考试主要知识点指导
• Cisco指导:IOS命令大全（一）
• 使用IPSec阻止特定网络协议和端口
• Cisco路由器上配置pppoe拨号
• VPN实例配置方案:IPSec配置
• CCNA认证介绍（思科认证网络工程师...
• GSM数字移动通信无线网络规划设计...

思科认证阅读总排行

• Cisco路由器访问控制列表详解
• EPON与GPON的综合比较
• CCNA简介
• 我的CISCO认证学习笔记总结
• 思科考试认证（CISCO） CCNA考试就...
• Cisco经验介绍:CCNP培训日记(2)
• CCNA考试主要知识点指导
• Cisco指导:IOS命令大全（一）
• Cisco经验介绍:ping命令之解惑
• 使用IPSec阻止特定网络协议和端口

广告位置