目录
扩展
交换机
路由器
路由器网关配置
DHCP服务器
Telnet :远程登录协议
静态路由配置
动态路由
OSPF
RIP
NAT—网络地址转换
ACL—访问控制列表
ACL的分类:
配置
配置基础ACL :
例一:
例二:
配置高级ACL :
例一:
例二:
扩展
<Huawei>save一保存配置
<Huawei>reset ospf process
Warning: The OSPF process will be reset. Continue? [Y/N]: 重启设备,重置OSPF
<R2>ping -a 1.1.1.1 192.168.3.1 指定源和目标
原IP 目标IP
[Huawei-GigabitEthernet0/0/1]display ip interface brief 查看接口配置信息
[Huawei]display this:查看该位置配置的一些指令
[Huawei]display current-configuration 查看设别所做的所有配置
[R1]display ip routing-table protocol static -查看路由表中通过静态写的路由
[r2]display ospf peer 查看邻居表
[r2]display ospf peer brief 查看邻居简表
[r3-ospf-1-area-0.0.0.1]display ospf lsdb 查看目录 (LSA)
[r3-ospf-1-area-0.0.0.1]display ospf lsdb router 2.2.2.2 查看某一个路由器的LSA信息
[r3-ospf-1]display ip routing-table protocol ospf 查看过滤路由器通过OSPF学到的路由
[r1-GigabitEthernet0/0/0]display acl 2000 查找创建ACL
<r2>display nataddress-group 查看那些地址可以被使用
交换机
1.创建VLAN
[SW1]vlan ?
INTEGER<1-4094> VLAN ID
batch Batch process batch 批量创建(batch 6 to 100 创建6~100)
[SW1]undo vlan batch 6 to 100 批量删除VLAN
查看VLAN:[SW1]display vlan
2.接口分配链路类型
[SW1-GigabitEthernet0/0/1]port link-type access 一规定Acess类型的链路传递的是不携带标签的流量
交换机和PC相连的接口类型都是Access
[SW1-GigabitEthernet0/0/2]port link-type ?
access Access port 不携带标签的流量
dot1q-tunnel QinQ port
hybrid Hybrid port
trunk Trunk port 从该接口出去 的流量携带标签
3.接口划分VLAN
[SW1-GigabitEthernet0/0/1]port default vlan 2
4.跨网段的通讯
配置命令使交换机之间的链路(交换机一与二的公共链路,或者是交换机与路由器单线连接)可以让VLAN1和VLAN2 的命令通过
[SW1-GigabitEthernet0/0/5]port link-type trunk
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3
跨网段的通讯:需要借助路由
交换机和路由器之间的链路类型配置Trunk(若这条链路承载多个VLAN的流量)
[r1]interface GigabitEthernet /0/0/0.1
因为一个物理接口不能同时服务多个广播域,所以设计了一个虚拟接口一子接口
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 2 让路由器的子接口服务某个VLAN
[r1-GigabitEthernet0/0/0.1]arp broadcast enable 一开启ARP广播功能
路由器
路由器网关配置
配置IP地址:为所有需要配置IP地址的节点配置IP Tab 自动补全 ?相当于help查看接下来可以输入的命令
<Huawei>system-view 进入系统(全局)视图
[Huawei]interface GigabitEthernet0/0/0 进入端口0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24(255.255.255.0) 给端口配置IP
[Huawei-GigabitEthernet0/0/0]quit (q)退回上一级
[Huawei]int g0/0/1 进入端口0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.1 24 给端口配置IP
[Huawei-GigabitEthernet0/0/1]display ip interface brief 查看接口配置信息
[Huawei]display this:查看该位置配置的一些指令
[Huawei-GigabitEthernet0/0/0]undo (想要删除的命令) 在原配置之前加一个undo可以删除该配置
[Huawei-GigabitEthernet0/0/0]undo ip address 删除IP地址
[Huawei]sysname 更改用户名
DHCP服务器
[R1]dhcp enable 启动DHCP服务
[R1lip pool aaa (池塘名字例如aaa) 创建名为aaa的DHCP池塘,
一台设备可以创建多个池塘,但一个池塘只能服务一个广播域
[R1-ip-pool-aaa]network 192.168.1.0 mask 24 绑定接口,可分配地址范围
[R1-ip-pool-aaa]gateway-list 192.168.1.1-下发网关
[R1-ip-pool-aaa]dns-list 8.8.8.8 114.114.114.114-下发DNS服务器信息
切记:路由器上各个DHCP工作接口也必须开启DHCP服务
[R1-GigabitEthernet0/0/0]dhcp select global-对应接口激活全局池塘的配置
[R1-GigabitEthernet0/0/0] quit 退出0/0/0接口
[R1lip pool bbb 创建名为bbb的DHCP池塘,
[R1-ip-pool-bbb]network 192.168.2.0 mask 24 绑定接口,可分配地址范围
[R1-ip-pool-bbb]gateway-list 192.168.2.1 下发网关
[R1-ip-pool-bbb]dns-list 8.8.8.8 114.114.114.114 下发DNS服务器信息
[R1-GigabitEthernet0/0/1]dhcp select global-对应接口激活全局池塘的配置
Telnet :远程登录协议
对第二台路由器进行配置使之成为,Telnet客户端,命令如下:
[Huawei]sysname R2 更改名字为
[R2]aaa一华为设备存储账号和密码的空间
[R2-aaa]local-user huaei password cipher 123456 创建登录账号和密码,华为默认密文存储
[R2-aaa]local-user huawei service-type telnet 让这个账号用作telnet (远程登录)
[R2-aaa]local-user huawei privilege level 15 设置登录权限,数值越大权限越高
[R2]user-interface vty 0 4 创建用于登录的接口,注意这里的接口是虚拟接口并不真实存在
[R2-ui-vty0-4]authentication-mode aaa 绑定aaa空间的账号和密码
最后使用R2远程登录R1并使其ping广播域内任何一台设备,命令如下:
<R2>telnet 192.168.3.1 访问与R1连接的接口192.168.3.1
Username:huawei 输入用户名:huawei
Password:123456 输入密码:123456(密码不会显示)
<R1>ping 192.168.1.2 ping路由器所连接的一个广播域内的设备进行验证
静态路由配置
配置
[R1]ip route-static 192.168.3.0 24 192.168.2.2
静态路由 目标路由网段 下一跳
(Destination/Mask) (NextHop)
[R1]display ip routing-table protocol static -查看路由表中通过静态写的路由
1.环回接口:
[R1]interface LoopBack ? (接口 环回)
<0-1023> LoopBackinterface number
配置接口:[R1]interface LoopBack 0 (接口号范围0~1023)
2.手工汇总:
当路由器去访问多个连续的子网,并且这些子网具备相同的下一跳,那么就可以进行汇
[R2]ip route-static 192.168.0.0 22 12.0.0.1
4.缺省路由
缺省和黑洞相遇必定成环
[R1]ip route-static 0.0.0.0 0 12.0.0.2
因为此时没有网络位,主机位全零 因此代表所有IP,相当于访问互联网
5.空接口
黑洞路由器
[R1]ip route-static 192.168.0.0 22 NULL 0 做法:在黑洞路由器上配置一条去往汇总网段的路由指向空接口 并且遵循 最长掩码匹配原则——路由表最优先的规则(若存在多条路由,只会匹配子网掩码最长的路由)
<R2>ping -a 1.1.1.1 192.168.3.1 指定源和目标
原IP 目标IP
6.浮动静态路由
pre:优先级
ip route-static 0.0.0.0 0 192.168.1.22 preference 61 更改路由优先级(数值范围0~255)
优先级数值越大,优先级的级别反而越大
undo shutdown 打开接口
shutdown 关闭接口
动态路由
OSPF
1.启动OSPF进程,配置RID
[r1]ospf ?
INTEGER<1-65535> ProcessID 配置进程ID
[r1]ospf 1 router-id 1.1.1.1 尽量手工指定
2.创建区域
[r1-ospf-1]area 0
3.宣告
[r1-ospf-1-area-0.0.0.0]network 1.1.1.0 0.0.0.255 范围宣告(相当于宣告了一个网段)
0.0.0.255:(反掩码)
0代表不可变1代表可变
32位二进制构成,连续的0或连续的1 构成,掩码唯一的部分是网络位,相当于不可变
[r1-ospf-1-area-0.0.0.0]network 12.0.0.1 0.0.0.0 精准宣告,相当于只宣告一个IP
扩展:
[r2]display ospf peer 查看邻居表
[r2]display ospf peer brief 查看邻居简表
[r3-ospf-1-area-0.0.0.1]display ospf lsdb 查看目录 (LSA)
[r3-ospf-1-area-0.0.0.1]display ospf lsdb router 2.2.2.2 查看某一个路由器的LSA信息
[r3-ospf-1]display ip routing-table protocol ospf 查看过滤路由器通过OSPF学到的路由
[r3-ospf-1]bandwidth-reference 10000-修改带宽
优先级改变
Priority:1 DR的优先级 数值大的成为DR
[r1-GigabitEthernet0/0/0]ospf dr-priority ?
INTEGER<0-255> Router priority value
干涉DR和BDR的选举,0代表不参选 [r1-GigabitEthernet0/0/0]ospf dr-priority 0
接口认证:
[R4-GigabitEthernet0/0/0]ospf authentication-mode md5 1 plain 123456
1:认证编号(锁的编号,一个设备可以同时拥有多把锁,增加安全性)
区域认证:本质依然是接口认证
[Huawei-ospf-1-area-0.0.0.0]authentication-mode md5 1 plain 123456
2.手工汇总
区域汇总:ABR上进行配置
[r4-ospf-1area 0 进入对应的区域(宣告在那个区域就在那个区域汇总)
[r4-ospf-1-area-0.0.0.0]abr-summary 172.16.0.0 255.254.0.0 汇总(掩码只能写点分十制)
3.沉默接口:
[r5-ospf-1]silent-interface GigabitEthernet 0/0/1 不给某接口下发OSPF,配置在某位置
4.加快收敛
[r4-GigabitEthernet0/0/1]ospf timer hello 5-只需要接口改变hello时间
死亡时间默认会根据4倍的关系,自动修改(或者[R4-GigabitEthernet0/0/0]ospf timer dead 20)
结论:所有接口都需要修改
5.缺省路由
[r5-ospf-1]default-route-advertise-配置位置,ospf进程中
必须给自身存在一条缺省,才能给其他设备下发缺省 [r5]ip route-static 0.0.0.0 0 NULL 0
[r5-ospf-1]default-route-advertise always -强制下发缺省
RIP
RIP基础配置:
[r1]rip ?
INTEGER<1-65535> Process ID 进程ID,不同的进程号,相当于不同的协议
[r1]rip 1 启动RIP进程
[r1-rip-1]version 2 选择版本
[r1-rip-1]network 1.0.0.0 宣告(只需要宣告自身直连网段)
RIP扩展:
1RIP的手工认证-RIPV2
[r1-GigabitEthernet0/0/0]rip authentication-mode simple cipher123456一 接口认证 采用simple转发过程中以明文的方式
[r2-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123456 采用MD5的方式进行加密 转发过程中以密文的方式 认证
simple:发送RIP的数据包中密码以明文方式进行转发 认证算法必须一致:Simple MD5(俩种)
cipher:本地密文的方式存储 cipher 与 plain(本地谁都可见) (俩种,不强求一致)
2.RIP的手工汇总
[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.252.0
配置位置RIP数据包发出接口,并且掩码只能写点分十进制,不能直接写数字
3.沉默接口
这个接口将只接收数据包,但不会发送RIP数据包
[r1-rip-1]silent-interface GigabitEthernet 0/0/1 配置位置RIP进程 silent-interface 沉默接口
4.RIP的加快收敛
更改RIP计时器
[r1-rip-1]timers rip 10 60 40
10 60 40
发送周期 生存时间 删除周期
5.RIP缺省路由
[r2-rip-1]default-route originate
NAT—网络地址转换
静态NAT
在边界路由器上的出接口,手工建立维护一张静态的NAT映射表(公网IP地址和私网IP地址之间的 对应关系并且这种关系是一 一对应的)
[r2-GigabitEthernet0/0/2]nat static global 23.0.0.1 inside 192.168.1.2
Error: The address conflicts with interface or ARP IP. global公网 inside 私网
[r2-GigabitEthernet0/0/2]nat static global 23.0.0.3 inside 192.168.1.2
23.0.0.3—漂浮地址(合法)——目前来说必须在公网网段范围内 (且没被设备使用)
[r2]display nat static—查看静态NAT的配置
动态NAT
动态NAT:多对多的NAT
1.创建公网地址组—这些公网地址必须连续。
[r2]nat address-group 0 23.0.0.3 23.0.0.5
开始地址 ~~结束地址 (公网地址必须连续。)
2.抓取流量 (抓取感兴趣流)
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
允许 感兴趣的网段
3.接口调用NAT
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0 no-pat 不按照端口转换的 原则执行
<r2>display nataddress-group 查看那些地址可以被使用
NAPT—easy IP
数据包还会附加端口号
1.抓取流量
[r2]display acl 2000
[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 (已经配置过)
[r2-acl-basic-2000]rule permit source 192.168.3.0 0.0.0.255
Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 permit source 192.168.1.0 0.0.0.255
rule 10 permit source 192.168.3.0 0.0.0.255
2.接口配置NAT
[r2-GigabitEthernet0/0/2]nat outbound 2000
多对多的NAPT
动态NAT:多对多的NAT
1.创建公网地址组—这些公网地址必须连续。
[r2]nat address-group 0 23.0.0.3 23.0.0.5
2.抓取流量
[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
3.接口调用NAT
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0
端口映射—高级用法
[r2-GigabitEthernet0/0/2]nat server protocol tcp global 23.0.0.1 80 inside 192. 168.1.100 80
Error: The address conflicts with interface or ARP IP.
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.100 80
current-interface—直接使用该接口(使用这个接口的IP地址)
ACL—访问控制列表
ACL的分类:
[r1]acl ?
INTEGER<2000-2999> Basic access-list(add to current using rules)
INTEGER<3000-3999> Advanced access-list(add to current using rules)
INTEGER<4000-4999> Specify a L2 acl group
基础的ACL:仅关注数据包中的源IP地址 2000-2999高级ACL:除了关注数据包中的源IP地址之外,还会关注数据包中的目标IP,端口号等等。 3000-3999
用户自定义的ACL:
配置
ACL的调用:路由器的接口,并且ACL的调用需要区分流量的流向(流入或者流出)
配置基础ACL :
例一:
1.创建
ACL [r1]acl 2000
2.给ACL列表写规则
[r1-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0—相当于拒绝192.168.1.3这一个IP
0.0.0.0—通配符(32位二进制构成):0代表不可变,1代表可变
192.168.1.3 0.255.0.255
192.X.1.X[r1-acl-basic-2000]rule ?
INTEGER<0-4294967294> ID of ACL rule
deny (拒绝) Specify matched packet deny
permit (允许) Specify matched packet permit
3.接口调用规则:
[r1-GigabitEthernet0/0/0]traffic-filter ? 需要注意流量的流向,IN—流入 OUT—— 流出
inbound (流入) Apply ACL to the inbound direction of the interface
outbound(流出) Apply ACL to the outbound direction of the interfa
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 接口调用ACL列表
[r1-GigabitEthernet0/0/0]display acl 2000 查找创建ACL
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 deny source 192.168.1.3 0
例二:
注意:基础ACL的配置位置,尽量靠近目标 尽量避免误伤
1.创建ACL
[r2]acl 2000
2.给ACL列表写规则
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0
3.接口调用—注意调用位置
[r2GigabitEthernet0/0/0]traffic-filter outbound acl 2000
<r1>display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 deny source 192.168.1.3 0
5—步长值(ACL列表默认步长为5)
另一方面,为了便于规则之间插入一些规则
ACL访问控制列表的匹配原则:自上而下(步长由小到大,由上而下排列),逐一匹配,
一旦匹配上则不在向下匹配
删除规则 : [r2-acl-basic-2000]undo rule 10
配置高级ACL :
例一:
高级ACL的调用位置尽量靠近源,避免资源的浪费(同时因为高级ACL,即关注源也关注目标,所以 不会造成误伤)
[R1-acl-adv-3000]rule deny tcp source 192.168.1.3 0 destination 192.168.3.2 0.0. 0.0
- 拒绝源1.3 访问3.2所以的TCP相关的服务 ping传输层使用的为TCP协议
- destination 目标 source 源
配置:
1.创建
[R1]acl 3000
2.写规则
[R1-acl-adv-3000]rule 10 deny icmp source 192.168.1.3 0 destination 192.168.3.2 0
拒绝源192.168.1.3ping目标 192.168.3.2的流量 更加准确 ping 使用的为协议icmp
3.接口调用规则
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
traffic-filter inbound acl 3000 注意一个接口的一个方向实际只能调用一张列表
[r2-GigabitEthernet0/0/1]undo traffic-filter outbound ---删除接口的调用
例二:
配置
1.创建
[R2]acl 3001
2.写规则
[R2-acl-adv-3001] rule 5 deny tcp source 192.168.2.1 0 destination 192.168.2.2 0 destination-port eq 23 (代表服务为Telent)
—拒绝源为192.168.2.1 目标为192.168.2.2 并且访问服务为Telent服务的流量
Telent使用的为tcp协议(访问目标端口 号为23的流量)
3.在接口调用规则
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
