1. IP地址与子网划分/路由汇总
1.1 IP地址分类
共分为A.B.C.D.E五类:
类别 | 地址范围 | 二进制表示范围 |
单个子网可用 的主机数 (除0网段地址 和1广播之外) |
A |
1-126 (1.0.0.1-126.255.255.254可用)
127.0.0.1属于环回地址,保留用于测试,不能被分配使用 10.0.0.0-10.255.255.255是私网地址 |
00000001-01111110 |
2**24-2= 16777214 |
B |
128-191 (128.0.0.1-191.255.255.254可用)
172.16.0.0-172.31.255.255是私网地址 169.254.X.X保留用于找不到可用DHCP服务器时分配使用 |
10000000-10111111 |
2**16-2= 65534 |
C |
192-223 (192.0.0.1-223.255.255.254可用)
192.168.0.0-192.168.255.255是私网地址 |
11000000-11011111 |
2**8-2= 254 |
D | 224-239 (224.0.0.1-239.255.255.254)组播 | 11100000-11101111 | |
E | 240-255 (240.0.0.1-255.255.255.254)保留 | 11110000-11111111 |
1.2 十进制数与二进制数之间的转换示例记忆
1.3 等长子网划分FLSM
方法:
1)确定子网掩码
2) 确定网段中的第一个可用ip地址及网段最后一个可用地址
3)如果一个子网段是原来网络的1/2,则子网掩码往后移1位;如果一个子网段是原来网络的1/4,则子网掩码往后移2位;如果一个子网段是原来网络的1/8,则子网掩码往后移3位,以此类推.
实例演示记忆:
1.4 变长子网划分VLSM示例记忆
1.5 路由汇总示例记忆
注意:如果某一个网段的子网掩码比默认的子网掩码长,就是其下属的子网;如果该子网的子网掩码比默认的子网掩码要短,则是超网supernet.
路由汇总的实质是将子网进行与运算,得到相同的网络部位.可以使用以下示例记忆:
2. TCP/IP协议栈重要知识点
共分4层:应用层-----传输层-----Internet网络层-----网络接口层
2.1 传输层协议首部内容
2.2 网络层协议首部内容
3. 华为数通产品基本配置
3.1 命令视图分类
用户视图:查看运行状态及其他信息等.
系统视图:配置设备的系统参数及全局相关参数.
接口视图:配置接口相关参数.
协议视图:配置路由协议相关.
3.2 设置路由器时间和名称
<Huawei>system-view #进入系统视图命令 [Huawei]sysname R1 #sysname更改路由器的名字 [R1] <R1>display version #显示操作系统版本 <R1>? #查看可用命令 <R1>display clock #显示时间 <R1>clock timezone BJ add 08:00 #更改时区 <R1>clock datetime 22:36:54 2019-10-17 #设置时间 <R1>display clock 2019-10-17 22:36:58 Thursday Time Zone(BJ) : UTC+08:00 # 设置设备当前日期和时间为2012年1月1日0时0分0秒。格式如下 <Huawei> clock datetime 0:0:0 2012-01-01 # 设置时区 <Huawei> clock timezone BJ add 08:00:00
3.3 配置路由接口IP地址
注意:路由器上的交换模块接口,默认都属于vlanif1,且交换模块不可配置直接配置IP地址,需把接口加入vlanif_ID.
AR路由器上路由和交换模块的逻辑图如下:
配置命令示例:
[R1]interface Vlanif 1 [R1-Vlanif1]ip address 192.168.1.254 24 [R1-Vlanif1]ip address 192.168.2.254 24 sub #配置第二个ip地址,注意要不同网段 [R1-Vlanif1]undo ip address 192.168.2.254 24 sub #删除IP地址 [R1-Vlanif1]undo shutdown [R1]interface Ethernet 0/0/0 [R1-Ethernet0/0/0]port link-type access #指定以太网接口是接计算机的
3.4 华为数通产品命令分级及用户等级说明
3.5 配置用户通过console口和telnet接入
配置console口:
[R1]user-interface console 0 [R1-ui-console0]authentication-mode password Please configure the login password (maximum length 16):123456 #输入密码即是登陆密码 [R1-ui-console0]idle-timeout 5 #设置超时时间为5分钟 [R1-ui-console0]display this #显示单个接口的具体配置信息 [V200R003C00] # user-interface con 0 authentication-mode password set authentication password cipher %$%$8hQgDg@_5</g\!.Y28kT,$!_:={c8ZQ_P**B;s0o m@tR$!b,%$%$ user-interface vty 0 4 user-interface vty 16 20 # return #########重设console口的密码 Password: <R1>system-view Enter system view, return user view with Ctrl+Z. [R1]user-interface console 0 [R1-ui-console0]set authentication password cipher 123 #重设为123 [R1-ui-console0]undo authentication-mode #不设置密码,清空密码认证
配置telnet(非加密端口,传输层协议tcp+23):
<R1>system-view Enter system view, return user view with Ctrl+Z. [R1]telnet server enable #使能Telnet服务器功能 [R1]telnet server port 23 #配置Telnet服务器端口号 [R1]user-interface vty 0 4 [R1-ui-vty0-4]user privilege level 4 [R1-ui-vty0-4]undo user privilege level #还原缺省值级别命令 [R1]user-interface ? INTEGER<0,129-149> The first user terminal interface to be configured console Primary user terminal interface #超级终端 current The current user terminal interface maximum-vty The maximum number of VTY users, the default value is 5 tty The asynchronous serial user terminal interface vty The virtual user terminal interface #虚拟接口 [R1]user-interface vty 0 4 #0 4意思是最大允许同时0,1,2,3,4共5个人telnet链接 [R1-ui-vty0-4]authentication-mode password #注意这是单单console口的密码 Please configure the login password (maximum length 16):123456 [R1-ui-vty0-4]idle-timeout 2 #设置超时时间 [R1-ui-vty0-4]user privilege level 15 #设置telnet登录进来的等级 [R1-ui-vty0-4]undo user privilege level 15 #取消等级 [R1-ui-vty0-4]set authentication password cipher 123 #重设密码为123 <R1>display users #查看链接到路由器的用户,或下面也是一样的 <R1>display user-interface
3.6 配置AAA验证
配置用户名和密码验证(即 AAA ,authentication身份验证,authorization授权验证,accounting账户记账)步骤:
1)进入aaa模式创建用户名和密码.
2)指定此用户进行哪一种服务的aaa验证(默认admin存在).
3)进入接口模式(console或telnet虚拟接口),指定验证模式为aaa.
<R1>system-view Enter system view, return user view with Ctrl+Z. [R1]aaa [R1-aaa]local-user test password cipher 123456 #增加用户和设置加密的密码 Info: Add a new user. [R1-aaa]local-user test privilege level 15 #设置test用户级别 [R1-aaa]local-user test service-type ? #查看用户可用的验证类型接入方式 8021x 802.1x user bind Bind authentication user ftp FTP user http Http user ppp PPP user ssh SSH user sslvpn Sslvpn user telnet Telnet user terminal Terminal user web Web authentication user x25-pad X25-pad user [R1-aaa]local-user test service-type telnet #指定用户可以使用telnet和console,取消都是使用undo [R1-aaa]local-user test service-type terminal #注意,同时配置console和telnet使用aaa验证,可能只有一个生效 [R1-aaa]display local-user ---------------------------------------------------------------------------- User-name State AuthMask AdminLevel ---------------------------------------------------------------------------- test A M 15 admin A H - #<===缺省已经存在一个admin用户允许进行aaa验证 ---------------------------------------------------------------------------- Total 2 user(s)
3.7 配置用户通过web方式登录管理华为数通设备
<Huawei> system-view [Huawei] interface gigabitethernet 0/0/0 [Huawei-GigabitEthernet0/0/0] ip address 10.0.0.1 24 [Huawei-GigabitEthernet0/0/0] quit [Huawei] aaa #配置aaa认证 [Huawei-aaa] local-user admin password irreversible-cipher 123456 [Huawei-aaa] local-user admin privilege level 15 [Huawei-aaa] local-user admin service-type http [Huawei-aaa] quit [Huawei] http server enable #使能http网管功能 [Huawei] quit #输入接口IP地址即可登录,如https://10.0.0.1 <Huawei> display http server #查看信息
4. 静态路由
网络畅通的条件:数据包有去有回.
路由器上2张重要的表: 路由表 和 转发表.
[Huawei]display ip routing-table #显示所有路由表 [Huawei]display fib #显示FIB表信息
4.1 华为路由器静态路由常用配置命令
使用静态路由协议,路由器需要知道除自己直连的网段的路由外的所有路由表怎么走,才能让数据包有去有回.没有直连的网段,需手工添加静态路由表.
# 配置路由器使用IP地址作为下一跳地址静态路由 [Huawei]ip route-static 192.168.6.0 255.255.255.0 192.168.4.1 #下一跳地址是192.168.4.1 [Huawei]display ip routing-table #显示所有路由表 [Huawei]display ip routing-table protocol static #仅仅显示静态路由表 [Huawei]undo ip route-static 192.168.4.1 #删除路由表不用加下一跳地址 # 使用路由器的出接口地址接口号作为路由器下一跳的地址(串口/广域网接口最好使用接口编号作为下一条地址,以太网最好使用IP地址作为下一跳,节省查询路由表的开销),serial串口/广域网接口是点到点链路,使用ppp封装. [Huawei]ip route-static 172.16.1.0 24 serial 2/0/0 #指定路由器的出接口为下一跳地址 [Huawei]display ip routing-table #显示所有路由表
配置主机路由:主机路由指定的特定的主机地址,子网掩码是全1,即255.255.255.255
[Huawei]ip route-static 192.168.2.1 32 172.168.2.1 [Huawei]display fib [Huawei]display ip routing-table
4.2 静态路由之默认路由
注意:默认路由的优先级是最低的,子网掩码为1的位越多,优先级越高.
4.3 静态路由之等价路由及浮动路由
等价路由,转发数据时按照1:1转发.
[Huawei]ip route-static 192.168.3.0 24 192.168.0.2 [Huawei]ip route-static 192.168.3.0 24 192.168.1.2 [Huawei]display ip routing-table protocol static
浮动路由:即主备关系,主线断,备线顶上.(值越小,优先级越高)
[Huawei]ip route-static 192.168.6.0 24 172.16.0.2 ? description Add or delete description of unicast static route inherit-cost Inherit the cost of the iterated route permanent Specifies route permanent preference Specifies route preference tag Specifies route tag track Specify track object <cr> Please press ENTER to execute command [Huawei]ip route-static 192.168.6.0 24 172.16.0.2 pre [Huawei]ip route-static 192.168.6.0 24 172.16.0.2 preference ? INTEGER<1-255> Preference value range [Huawei]ip route-static 192.168.6.0 24 172.16.0.2 preference 120 #设置备用路由线路优先级为120 [Huawei]display ip routing-table protocol static #直连路由优先级最高,备用路由在主路由表失效时失效
5. 动态路由
5.1 动态路由协议RIP
RIP协议版本的区别:
1)RIPv1:通过广播方式255.255.255.255 FF-FF-FF-FF-FF-FF发现邻居和通告路由表信息;不带子网掩码,支持等长子网,不支持变长子网,不支持路由手动汇总;不支持认证.
2)RIPv2:通过多播地址224.0.0.9发现邻居和更新路由表信息;带子网掩码,支持等长和变长子网,支持手动路由汇总;支持认证,有明文和MD5两种认证方式 ;
RIP协议几个计时器:
1)每隔30秒发送更新路由表信息给对方.
2)失效计时器是180秒,跳数超过16跳不可达.
3)垃圾搜集计时器:失效的路由,过了120秒,从路由表彻底删除.
常用配置命令:
[Huawei]rip 1 #1代表进程ID [Huawei-rip-1]network 10.0.0.0 #通告本网段路由信息 [Huawei-rip-1]network 192.168.1.0 [Huawei-rip-1]version ? INTEGER<1-2> Version of RIP process [Huawei-rip-1]version 2 #使用版本2可以使路由表带有更为精确的子网掩码信息 [Huawei-rip-1]summary always #默认总是自动汇总(接口如果启用了水平分割和毒性逆转需同时执行此命令才会自动汇总) [Huawei-rip-1]undo summary #关闭自动汇总,可支持不连续子网 [Huawei]interface GigabitEthernet 0/0/0 #在接口视图下进行手工汇总 [Huawei-GigabitEthernet0/0/0]rip summary-address 192.168.10.0 255.255.255.128 <Huawei>display rip 1 route #显示此进程的路由信息 <Huawei>display rip 1 database #显示rip 1进程数据信息 <Huawei>display ip routing-table protocol rip #查看rip协议学到的路由信息 <Huawei>display rip 1 interface #查看正在运行rip协议的接口的相关信息 <Huawei>terminal monitor #查看rip协议活动信息 <Huawei>terminal debugging <Huawei>debugging rip 1 packet <Huawei>debugging rip 1 packet GigabiEthernet 0/0/0 #查看接口发送和接收的rip数据包 <Huawei>undo debugging all #关闭诊断
5.2 配置RIP认证
<Huawei> system-view [Huawei] interface gigabitethernet 1/0/0 [Huawei-GigabitEthernet1/0/0] rip authentication-mode ? #查看rip协议支持的认证方式 [Huawei-GigabitEthernet1/0/0] rip authentication-mode hmac-sha256 cipher admin@huawei 255
6. 动态路由
6.1 动态路由OSPF
ospf:开放式最短优先动态路由协议,针对ipv4使用的是ospf VERSION2;针对ospf ipv6使用的是ospf VERSION3;ospf支持区域.
ospf协议的5种报文:
1)问候数据包(hello包),发现并建立邻居关系.
2)数据库描述数据包(database description),向邻居给出自己的链路状态数据库中的所有链路状态的摘要信息.
3)链路状态请求数据包(Link State Request,即LSR).
4)链路状态更新数据包(Link State Update,即LSU),使用泛洪的方法对全网更新链路状态.此种数据包的信息最复杂,也是ospf最核心的部分.路由器使用这种数据包将其链路状态信息通告给邻居路由器.在ospf中,只有LSU需要显示确认信息.
5)链路状态确认数据包(Link State Acknonwledegement,LSAck),对LSU进行确认.
6.2 ospf配置示例
来源:华为官方文档.
#####RouterA的配置文件 # sysname RouterA # router id 1.1.1.1 #<===router id一般使用路由器的环回地址,且全网唯一(一般需先配置环回接口IP地址) # interface GigabitEthernet1/0/0 ip address 192.168.0.1 255.255.255.0 # interface GigabitEthernet2/0/0 #<===接口的网络类型须一致(接口视图下查看网络类型ospf network-type ?) ip address 192.168.1.1 255.255.255.0 # ospf 1 #<===ospf的进程号 area 0.0.0.0 #<===配置区域id,链路两端的ospf区域id须一致 network 192.168.0.0 0.0.0.255 area 0.0.0.1 network 192.168.1.0 0.0.0.255 # return ######RouterB的配置文件 # sysname RouterB # router id 2.2.2.2 # interface GigabitEthernet1/0/0 ip address 192.168.0.2 255.255.255.0 # interface GigabitEthernet2/0/0 ip address 192.168.2.1 255.255.255.0 # ospf 1 area 0.0.0.0 network 192.168.0.0 0.0.0.255 area 0.0.0.2 network 192.168.2.0 0.0.0.255 # return ######RouterC的配置文件 # sysname RouterC # router id 3.3.3.3 # interface GigabitEthernet1/0/0 ip address 192.168.1.2 255.255.255.0 # interface GigabitEthernet2/0/0 ip address 172.16.1.1 255.255.255.0 # ospf 1 area 0.0.0.1 network 192.168.1.0 0.0.0.255 network 172.16.1.0 0.0.0.255 # return ######RouterD的配置文件 # sysname RouterD # router id 4.4.4.4 # interface GigabitEthernet1/0/0 ip address 192.168.2.2 255.255.255.0 # interface GigabitEthernet2/0/0 ip address 172.17.1.1 255.255.255.0 # ospf 1 area 0.0.0.2 network 192.168.2.0 0.0.0.255 network 172.17.1.0 0.0.0.255 # return ######RouterE的配置文件 # sysname RouterE # router id 5.5.5.5 # interface GigabitEthernet2/0/0 ip address 172.16.1.2 255.255.255.0 # ospf 1 area 0.0.0.1 network 172.16.1.0 0.0.0.255 # return ######RouterF的配置文件 # sysname RouterF # router id 6.6.6.6 # interface GigabitEthernet2/0/0 ip address 172.17.1.2 255.255.255.0 # ospf 1 area 0.0.0.2 network 172.17.1.0 0.0.0.255 # return
常用的查看配置和诊断命令:
[RouterA] display ospf peer #显示邻居ospf信息 [RouterA] display ospf routing #显示本机的ospf路由信息 [RouterA] display ospf lsdb #显示本机链路状态ospf lsdb数据库信息 [RouterA] display ip routing-table #显示所有路由表信息 [RouterA] display ospf interface #查看运行ospf协议的接口 [RouterA] display ospf 1 routing #显示ospf学到的路由信息 [RouterA] display router id #显示本机router id
6.3 router id配置及说明
[Huawei]interface LoopBack ? <0-1023> LoopBack interface number [Huawei]interface LoopBack 0 [Huawei-LoopBack0]ip address 1.1.1.1 24 #<===一般使用环回接口的IP地址作为router id,此id号全网唯一 [Huawei]router id 1.1.1.1 #<===如果router id改变,则各个协议需运行reset命令才会使新的router id生效 Info: Router ID has been modified, please reset the relative protocols manually to update the Router ID. [Huawei]display router id RouterID:1.1.1.1
6.4 hello时间和ospf协议接口开销
#####hello包时间 [Huawei]ospf 1 [Huawei-ospf-1]undo silent-interface all #取消所有的被动接口 [Huawei]interface Vlanif 1 [Huawei-Vlanif1]ospf timer hello 60 [Huawei-Vlanif1]ospf timer dead 80 [Huawei-Vlanif1]display ospf interface vlanif 1 #查看接口hello包信息 #####设置接口开销 [Huawei]interface GigabitEthernet 0/0/ Huawei-GigabitEthernet0/0/0]ospf cost 500 [Huawei]display ip routing-table protocol ospf
6.5 更改ospf协议的优先级
[Huawei]ospf 1 [Huawei-ospf-1]preference ? INTEGER<1-255> Preference value ase AS external link states route-policy Route policy [Huawei-ospf-1]preference 70 [Huawei-ospf-1]display ip routing-table
6.6 ospf协议的DR和BDR
在接口视图下配置DR的优先级,值越大,优先级越高,被选为DR的可能性就越大.
<Huawei> system-view [Huawei] interface gigabitethernet 1/0/0 [Huawei-GigabitEthernet1/0/0] ospf dr-priority 8
7. 交换机组网
注意:
1)交换机及路由器上的所有交换模块的接口缺省默认都属于vlanif1网段,且只有vlanif1可以配置管理IP地址,其他物理端口不可配置IP地址,三层交换机只有虚拟接口vlanif可以配置ip地址.
2)vlanif1属于全局管理地址及多播包,如BPDU报文传送使用到的vlan,所以,vlan1一般不对外使用,只用来管理交换机和交换机自身发送和接收其他交换机的数据包.
3)交换机通过构建mac地址表,利用mac地址转发数据帧.
7.1 交换机安全相关配置
<Huawei>system-view Enter system view, return user view with Ctrl+Z. [Huawei-Vlanif1]ip address 192.168.1.254 24 [Huawei-Vlanif1]display ip interface brief #显示接口信息 <Huawei>display mac-address #查看mac地址缓存信息 ######配置交换机端口安全(1.只允许一个mac地址访问,限制交换机连接计算机的数量;2.指定允许访问的mac地址) <Huawei>system-view Enter system view, return user view with Ctrl+Z. [Huawei]interface Ethernet 0/0/1 [Huawei-Ethernet0/0/1]port-security enable #使能端口安全 [Huawei-Ethernet0/0/1]port-security protect-action ? protect Discard packets restrict Discard packets and warning shutdown Shutdown [Huawei-Ethernet0/0/1]port-security protect-action shutdown #端口保护触发时为关闭端口(恢复需手动undo shutdown) [Huawei-Ethernet0/0/1]port-security ? aging-time Aging time enable Enable port security mac-address Mac address #绑定mac max-mac-num Maximum mac address can learn #限制数量 protect-action Action if beyond the limit [Huawei-Ethernet0/0/1]port-security max-mac-num 1 #限制端口最大连接数量 [Huawei-Ethernet0/0/1]display this # interface Ethernet0/0/1 port-security enable port-security protect-action shutdown # return ######指定交换机绑定计算机的mac地址进行链接(在上面基础上,限制接口数量除外) [Huawei-Ethernet0/0/1]port-security mac-address sticky [Huawei-Ethernet0/0/1]port-security mac-address sticky 5489-9892-156A vlan 1 #注意使用问号查看mac书写格式 [Huawei-Ethernet0/0/1]display mac-address [Huawei-Ethernet0/0/1]display this ######清空交换机某个接口的所有配置(清空后接口是shutdown了) [Huawei]clear configuration interface Ethernet 0/0/1 Warning: All configurations of the interface will be cleared, and its state will be shutdown. Continue? [Y/N] :y [Huawei]interface Ethernet 0/0/1 [Huawei-Ethernet0/0/1]display this # interface Ethernet0/0/1 shutdown # return ######批量绑定交换机接口和mac地址(创建定义端口组) [Huawei]port-group vlanport #定义端口组名称(名称随意给) [Huawei-port-group-vlanport]group-member Ethernet 0/0/1 to Ethernet 0/0/6 #把端口加入端口组 [Huawei-port-group-vlanport]port-security enable #开启交换机端口安全 [Huawei-port-group-vlanport]port-security protect-action shutdown [Huawei-port-group-vlanport]port-security mac-address sticky #绑定mac地址(sticky是静态绑定,不是动态) [Huawei-port-group-vlanport]display mac-address
7.2 生成树协议STP
缺省情况下,所有华为交换机都开启了生成树stp协议,查看生成树协议相关信息使用以下命令.
[Huawei]display stp brief MSTID Port Role STP State Protection 0 Ethernet0/0/1 DESI FORWARDING NONE [Huawei]stp disable #关闭生成树协议 Warning: The global STP state will be changed. Continue? [Y/N]y Info: This operation may take a few seconds. Please wait for a moment...done. [Huawei]stp enable #开启生成树协议 Warning: The global STP state will be changed. Continue? [Y/N]y
7.4 生成树算法的几个步骤及配置优先级命令
1)选择根网桥root bridge:依据网桥bridgeID最低优先(网桥优先级默认32768+mac地址大小),网桥的bridageID可更改.
2)在每一个非根桥选择一个到根网桥最近的端口最为根端口root ports(根桥与非根桥通信的端口):依据1.根路径成本cost最低 2.直连网桥的bridgeID最小 3.直连网桥的端口ID最小.
3)在每一个网段选择一个指定端口designated ports:根桥上的所有端口都是指定端口;非根桥上的指定端口依据:根路径成本最低;端口所在网桥的bridgeID最小;直连网桥的端口ID最小.
4)剩下的就是阻塞端口.
#####查看交换机mac(每个交换机对应一个基本的mac地址,然后每个端口独有一个mac地址) [Huawei]display bridge mac-address System bridge MAC address: 4c1f-cc50-2baa [Huawei]display stp #查看全局设置 #####设置网桥ID优先级 [Huawei]stp priority ? INTEGER<0-61440> Bridge priority, in steps of 4096 #4096的倍数 [Huawei]stp priority 0 #网桥ID最小的为根交换机 #####或 [Huawei]stp root ? primary Primary root switch #根交换机 secondary Secondary root switch #备用 [Huawei]stp root primary #这条命令也可以设置交换机为根交换机 ######更改端口开销,重新选择根端口命令(在离根最近的交换机上更改) [Huawei]interface Ethernet 0/0/2 [Huawei-Ethernet0/0/2]stp cost ? INTEGER<1-200000000> Port path cost [Huawei-Ethernet0/0/2]stp cost 2000 #取消使用undo ######如果开销一样,就比较网桥的briageID或mac地址 ######更改交换机的PID,重新选举根端口(接口模式下配置,在上游交换机更改) [Huawei-Ethernet0/0/2]stp port priority ? INTEGER<0-240> Port priority, in steps of 16 [Huawei-Ethernet0/0/2]stp port priority 192
7.4 交换机端口的5种状态
生成树经历的5种状态:
1.禁用disable
2.阻塞blocking(只接收BPDU)
3.侦听listening(构建拓扑,选举根桥 根端口 指定端口)
4.学习learning(构建mac地址表)
5.转发forwarding发送和接收数据
7.5 vlan虚拟局域网及端口组配置
######vlan配置 [Huawei]display vlan #默认所有接口都属于vlan1中 [Huawei]vlan batch 2 3 #连续创建多个vlan [Huawei-Ethernet0/0/1]display this # interface Ethernet0/0/1 port link-type access port default vlan 2 [Huawei-Ethernet0/0/2]display this # interface Ethernet0/0/2 port link-type access port default vlan 3 [Huawei-Vlanif2]display this # interface Vlanif2 ip address 192.168.1.254 255.255.255.0 [Huawei-Vlanif3]display this # interface Vlanif3 ip address 192.168.2.254 255.255.255.0 ######创建端口组,将多个端口同时加入到端口组,然后指定属于某个vlan [Huawei]port-group vlan2_ports #组名随意定 [Huawei-port-group-vlan2_ports]group-member Ethernet 0/0/3 to Ethernet 0/0/10 #将端口加入端口组 [Huawei-port-group-vlan2_ports]display this [Huawei-port-group-vlan2_ports]port link-type access [Huawei-port-group-vlan2_ports]port default vlan 2 #统一指定接口属于某vlan
7.6 干道链路trunk
[Huawei]interface Ethernet 0/0/11 [Huawei-Ethernet0/0/11]port link-type trunk [Huawei-Ethernet0/0/11]port trunk allow-pass vlan 2 3 #允许某vlan通过 [Huawei-Ethernet0/0/11]port trunk allow-pass vlan all #允许所有vlan通过
7.7 配置GVRP同步交换机之间的vlan信息
如下图:华为交换机需在两端交换机配置,即在LSW5和LSW8开启GVRP功能,并创建相同的vlan,即可实现vlan间的注册和注销.
以下命令在LSW5和LSW8同时配置即可.
# 使能全局GVRP功能。 <Huawei> system-view [Huawei] gvrp # 使能接口Ethernet2/0/0的GVRP功能。 <Huawei> system-view [Huawei] interface ethernet 2/0/0 [Huawei-Ethernet2/0/0] port link-type trunk [Huawei-Ethernet2/0/0] gvrp
7.8 华为路由器之单臂路由实现vlan间通信
######交换机配置 [Huawei]interface Ethernet 0/0/3 [Huawei-Ethernet0/0/3]port link-type trunk [Huawei-Ethernet0/0/3]port trunk allow-pass vlan all ######路由器配置 [Huawei]interface GigabitEthernet 0/0/3 [Huawei-GigabitEthernet0/0/1]ip address 192.168.0.1 24 [Huawei]interface GigabitEthernet 0/0/1.1 #子接口名称随意给 [Huawei-GigabitEthernet0/0/1.1]dot1q termination vid 2 #将子接口和vlan2绑定 [Huawei-GigabitEthernet0/0/1.1]ip address 192.168.1.254 24 #配置ip地址 [Huawei-GigabitEthernet0/0/1.1]arp broadcast enable #启用arp广播支持 [Huawei-GigabitEthernet0/0/1.1]undo shutdown
7.9 三层交换机实现vlan间通信
华为三层交换机默认开启三层转发,只需配置好IP地址和干道链路trunk即可实现vlan之间的通信.
[Huawei]vlan batch 21 22 [Huawei]interface Vlanif 21 [Huawei-Vlanif21]ip address 192.168.2.254 24 [Huawei]interface vlanif 22 [Huawei-Vlanif22]ip address 192.168.1.254 24 [Huawei]interface Ethernet 0/0/22 [Huawei-Ethernet0/0/22]port link-type access [Huawei-Ethernet0/0/22]port default vlan 22 [Huawei]interface Ethernet 0/0/21 [Huawei-Ethernet0/0/21]port link-type access [Huawei-Ethernet0/0/21]port default vlan 21
8. 访问控制列表acl
acl分类:
1)标准acl:基于源地址控制;基于时间控制;默认允许所有规则(隐藏的;而思科隐藏的acl规则是拒绝所有).
2)高级acl:基于源IP地址和目标IP地址进行过滤;基于端口和协议过滤;基于时间.
acl使用步骤:
1)定义acl编号及对应的过滤规则.
2)将acl编号绑定到接口应用.
[Huawei]acl ? INTEGER<2000-2999> Basic access-list(add to current using rules) #标准acl INTEGER<3000-3999> Advanced access-list(add to current using rules) #高级扩展acl INTEGER<4000-4999> Specify a L2 acl group #数据链路层的访问控制列表 INTEGER<5000-5999> User defined access-list ipv6 ACL IPv6 name Specify a named ACL number Specify a numbered ACL
8.1 华为路由器标准访问控制列表
注意:acl的规则rule步长编号为5,即最小为5,然后10,一次类推;同一方向的acl规则只允许绑定一个编号.
######配置基于源地址的acl的 [Huawei-acl-basic-2000]rule 10 permit source 192.168.2.0 0.0.0.255 #10是编号顺序,生效规则是从小到大 ######配置生效时间段 [Huawei]time-range test 12:00 to 20:00 daily #定义时间段,test是这个时间段的名字 [Huawei-acl-basic-2000]rule 20 permit source 192.168.3.0 0.0.0.255 time-range test #调用生效时间段 [Huawei-acl-basic-2000]rule 30 deny source any #最后拒绝所有,后面还隐藏一条允许所有 [Huawei-acl-basic-2000]display this #查看配置信息 # acl number 2000 rule 10 permit source 192.168.2.0 0.0.0.255 rule 20 permit source 192.168.3.0 0.0.0.255 time-range test rule 30 deny <Huawei>display acl all ######将acl规则绑定到接口,数据出去/进来时候检查 [Huawei]interface GigabitEthernet 0/0/1 [Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 #出去的时候检查 ######测试的时候有可能需要更改时间为现在时间 <Huawei>clock datetime 12:00:00 2019-01-01 ######在acl中插入/删除规则(注意编号决定生效顺序),删除使用undo [Huawei]acl 2000 [Huawei-acl-basic-2000]rule 5 deny source 192.168.2.3 0.0.0.0
8.2 华为路由器高级/扩展的acl
注意:高级acl在书写之前需考虑acl的生效位置,在哪个接口哪个方向过滤;还要注意高级acl的数量.
高级acl书写格式:
[R1-acl-adv-3001] rule 10 deny ip destination 192.168.1.0 0.0.0.255 source 192.168.2.0 0.0.0.255 [R1-acl-adv-3001] rule 20 permit udp destination any destination-port eq 53 source 192.168.1.0 0.0.0.255 [R1-acl-adv-3001] rule 30 40 deny ip destination any source any [R1-acl-adv-3001] rule 40 permit icmp source 192.168.2.0 0.0.0.255 destination any [R1-acl-adv-3001] rule 50 permit ip destination 192.168.0.0 0.0.255.255 source 192.168.3.0 0.0.0.255 [R1-acl-adv-3001] rule deny ip
8.3 华为交换机acl配置
注意:华为交换机acl规则和华为路由器acl规则有区别.
华为交换机acl规则配置步骤:
1) 定义acl
2)定义流分流
3) 定义流行为
4) 创建流策略,绑定流分流和流行为
5) 在vlanif接口,流量入方向应用流策略
######定义acl [Huawei-acl-adv-3001] display this acl number 3001 rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.255.255 rule 20 permit ip ######定义流分类(流分类名称随意给,一般和vlan编号对应),并且将流分类和acl对应编号绑定 [Huawai] traffic classifier class1 [Huawai-classifier-class1] if-match acl 3001 [Huawai-classifier-class1] quit ######定义流行为(流行为的名称一般和vlan号对应) [Huawai] traffic behavior behavior1 [Huawai-behavior-behavior1] permit [Huawai-behavior-behavior1] quit ######创建流策略(流策略的编号一般和vlan号对应),将流分类和流行为绑定 [Huawai] traffic policy policy1 [Huawai-trafficpolicy-policy1] classifier class1 behavior behavior1 [Huawai-trafficpolicy-policy1] quit ######将流策略编号绑定到vlanif接口应用 [Huawai] interface vlanif 1 [Huawai-vlan1] traffic-policy policy1 inbound
9. 网络地址转换和端口映射
9.1 静态nat
静态nat指的是将公网IP地址与私网IP地址一对一转换.
[R1] interface GagabitEthernet 0/0/0 [R1-GagabitEthernet 0/0/0] nat global 137.1.1.3 inside 192.168.1.2 netmask 255.255.255.255 <R1>display nat static
9.2 动态nat
动态nat指的是将私网地址对应公网IP地址池随机转换.(已被使用的公网IP不能再重复被其他内网IP转换使用)
######定义公网地址池 [R1] nat address-group 1 122.2.2.2 122.2.2.10 ######定义acl规则 [R1] acl 2000 [R1-acl-basic-2000] rule 10 permit source 192.168.2.0 0.0.0.255 [R1-acl-basic-2000] rule 20 permit source 192.168.1.0 0.0.0.255 ######在外网接口应用NAPT [R1] interface GigabitEthernet 0/0/0 [R1-GigabitEthernet 0/0/0] nat outbound 2000 address-group 1 (no-pat) #no-pat是指端口不转换,视情况添加
9.3 easy nat
easy nat指的是PAT,将一个公网地址对应多个私网地址,进行地址和端口转换,也是现在用到的.
######定义acl规则 [R1] acl 2000 [R1-acl-basic-2000] rule 10 permit source 192.168.2.0 0.0.0.255 [R1-acl-basic-2000] rule 20 permit source 192.168.1.0 0.0.0.255 ######在外网接口应用PAT [R1] interface GigabitEthernet 0/0/0 [R1-GigabitEthernet 0/0/0] nat outbound 2000
9.4 端口映射
作用:将公网IP地址某个端口映射到内网IP地址及其某个端口.
注意:公网接口需配置nat server.
[R1-GigabitEthernet 0/0/0] nat server protocol tcp global 12.2.2.2 80 inside 192.168.1.2 www [R1-GigabitEthernet 0/0/0] nat server protocol tcp global current-interface www inside 192.168.1.2 www #current-interface指的是当前接口
10 将路由器作为DHCP服务器
10.1 全局DHCP服务器配置参考命令
不同的vlan,配置不同的地址池即可.
[Router] dhcp enable [Router] ip pool pool1 [Router-ip-pool-pool1] network 10.1.1.0 mask 255.255.255.0 #dhcp服务器所在子网 [Router-ip-pool-pool1] dns-list 10.1.1.2 #dns [Router-ip-pool-pool1] gateway-list 10.1.1.1 #网关 [Router-ip-pool-pool1] excluded-ip-address 10.1.1.2 10.1.1.3 #排除分配的IP地址 [Router-ip-pool-pool1] lease unlimited #租期不受限制 [Router-ip-pool-pool1] static-bind ip-address 10.1.1.4 mac-address dcd2-fc96-e4c0 #静态分配 [Router-ip-pool-pool1] quit [Router] interface gigabitethernet 1/0/0 [Router-GigabitEthernet1/0/0] dhcp select global #接口模式使能dhcp服务器功能 [Router-GigabitEthernet1/0/0] quit [Router] display ip pool name pool1 #显示地址池信息
10.2 接口地址池dhcp服务器配置参考
[Router] interface vlanif 10 [Router-Vlanif10] dhcp select interface [Router-Vlanif10] dhcp server lease day 30 [Router-Vlanif10] dhcp server domain-name huawei.com [Router-Vlanif10] dhcp server dns-list 10.1.1.2 [Router-Vlanif10] dhcp server excluded-ip-address 10.1.1.2 [Router-Vlanif10] dhcp server static-bind ip-address 10.1.1.100 mac-address 286e-d488-b684 [Router-Vlanif10] quit [Router] display ip pool interface vlanif10
10.3 配置dhcp中继命令参考
[RouterA] dhcp enable [RouterA] interface vlanif 100 [RouterA-Vlanif100] ip address 10.20.20.1 24 [RouterA-Vlanif100] dhcp select relay [RouterA-Vlanif100] dhcp relay server-ip 10.10.20.2 [RouterA-Vlanif100] quit [RouterA] display dhcp relay interface vlanif 100