华为hcna实验学习记录

 

显示接口、设备名

=====添加回环网卡

计算机管理-设备管理器-菜单 操作 添加过时硬件-手动查找

选择添加网络适配器 厂商microsoft 网络适配器loopback adapter，点下一步安装

=====基础配置

undo info enable #关闭交换机一些提示信息

display version =====显示设备版本号、型号、启动时间

dis current-configuration ===显示当前系统配置

system-view ====进入系统视图（相当于思科的全局配置模式）

[Huawei]sysname R1 ===配置主机名

[Huawei]return ===返回用户视图，使用ctrl+c也可以

[Huawei]quit ===返回上一层

[R1]header login information "Welcome to R" ====配置登录提示banner

[R1]header shell information "Welcome to HW" ====配置登录成功banner

[R1]user-interface console 0====进入 console 口，默认无密码

[R1-ui-console0]authentication-mode password

Please configure the login password (maximum length 16):verysafe ====设置密码

[R1-ui-console0]set authentication password cipher verysafe ====配置一个密文形式密码（在display查询时，密码加密。可以选择明文，命令为 simple）

[R1-ui-console0]idle-timeout 3 20 ====配置空闲超时时间 3 分 20 秒，默认 10 分钟

display clock ====显示系统时间

clock timezone GMT add 08:00:00 ====配置系统时区，中国为+8 区

clock datetime 22:59:00 2014-05-11 ====配置系统时间

[R1]super password cipher ccieh3c.taobao.com ====配置密文 super 密码，防止非法用户权限提升

[R1]display current-configuration | include super ====显示 super 密码配置

super password level 3 cipher %$%$$#q^6$-.B<#>7NFN%4"D,&Qs%$%$

2、配置接口地址与 telnet、SSH

[R1]display ip interface brief ====查看接口状态

[R1]display interface g0/0/0 ====查看接口详细信息

[R1]interface g0/0/0 ====进入接口模式（注：默认接口状态为 UP,可以使用命令 shutdown 关闭接口，用 restart 命令开启）

[R1-GigabitEthernet0/0/0]ip address 202.100.1.1 255.255.255.0

//telnet 配置【基于密码与用户名密码 2 种方式】

[R1]user-interface vty 0 4 ====进入线下模式

[R1-ui-vty0-4]set authentication password cipher cisco ====配置加密密码为 cisco

display telnet server status ====查看 telnet server 状态

display users ====查看 telnet 会话信息

//配置用户名+密码认证方式

[R1]user-interface vty 0 4

[R1-ui-vty0-4]authentication-mode aaa

[R1]aaa

[R1-aaa]local-user cisco password cipher cisco privilege level 15

[R1-aaa]local-user cisco service-type telnet

//SSH 配置

[R1]rsa local-key-pair create ====生成 RSA 密钥

[R1]display rsa local-key-pair public ====查看生成 RSA 密钥

[R1]user-interface vty 0 4

[R1-ui-vty0-4]authentication-mode aaa

[R1-ui-vty0-4]protocol inbound ssh

[R1]aaa

[R1-aaa]local-user sshuser password cipher cisco ====创建 SSH 登陆用户名与密码

[R1-aaa]local-user sshuser service-type ssh

[R1-aaa]local-user sshuser privilege level 15

[R1]stelnet server enable ====启用 Stelnet 功能

[R1]ssh user sshuser authentication-type password ====配置 SSH 登陆用户名服务类型

[R1]display ssh server status ====查看 SSH 服务状态

[R1]display ssh server session ====查看 SSH 连接会话

[R1]display ssh user-information ====查看 SSH 登陆用户状态

3、查看、保存、清空、重启路由器

[R1]display current-configuration ====查看路由器当前配置信息

save ====保存路由器当前配置信息

startup saved-configuration iascfg.zip ====配置下次启动加载配置文件

display startup ====查看下次启动加载配置文件

reset saved-configuration ====清空配置

reboot ====重启路由器

 

快捷键：ctrl+shift+c 复制，ctrl+shift+v 粘贴，ctrl+shift+a 全选

[Huawei]hotkey CTRL_G "dis cur" #设置ctrl+g组合键为输出当前系统配置命令

[Huawei]dis hotkey | include CTRL_G #查询ctrl+g组合键

display version =====显示设备版本号、型号、启动时间

dis current-configuration ===显示当前系统配置

system-view ====进入系统视图（相当于思科的全局配置模式）

[Huawei]sysname R1 ===配置主机名

[Huawei]return===返回用户视图，使用ctrl+c也可以

[Huawei]quit===返回上一层

[R1]header login information "Welcome to R" ====配置登录提示banner

[R1]header shell information "Welcome to HW" ====配置登录成功banner

====设置console密码

[R1]user-interface console 0====进入 console 口，默认无密码

[R1-ui-console0]authentication-mode password

Please configure the login password (maximum length 16):test ===设置密码

[R1-ui-console0]set authentication password cipher cisco ====配置一个密文形式密码（可以选择明文，命令为 simple）

[R1-ui-console0]idle-timeout 3 20 ====配置空闲超时时间 3 分 20 秒，默认 10 分钟

display clock ====显示系统时间

clock timezone GMT add 08:00:00 ====配置系统时区，中国为+8 区

clock datetime 22:59:00 2014-05-11 ====配置系统时间

[R1]super password cipher ccieh3c.taobao.com ====配置密文 super 密码，防止非法用户权限提升

[R1]display current-configuration | include super ====显示 super 密码配置

=====console/telnet/ssh/sftp配置

aaa

local-user sshu password cipher test #新建ssh账号

local-user sshu privilege level 3 #设置用户等级，3为管理级，默认0级

local-user sshu service-type ssh #设置此用户可使用服务

local-user admin password cipher test #默认账号

local-user admin service-type http #默认配置

local-user sftpu password cipher test #新建sftp账号

local-user sftpu privilege level 3

local-user sftpu ftp-directory flash: #设置sftp的访问目录，不设置无法登录sftp

local-user sftpu service-type ssh

local-user telnetu password cipher test #设置telnet账号

local-user telnetu privilege level 3

local-user telnetu service-type telnet

sftp server enable #开启sftp服务，默认不开启。telnet服务默认开启

stelnet server enable #开启ssh服务，默认不开启

user-interface con 0 #console配置

authentication-mode password #开启密码认证

user-interface vty 0 4 #进入系统访问界面

authentication-mode aaa #开启aaa认证

protocol inbound ssh #只允许ssh服务访问

user-interface vty 16 20

dis ssh server status

dis ssh user-information sshu

dis ssh server session

===ssh client首次连接前，需要开启首次认证，如

ssh client first-time enable

stelnet 10.1.1.3

 

=====ftp

 

user-interface vty 0 4

authentication-mode aaa

aaa

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user ftpu password cipher %$%$GCA2Qv.;$Lr-Y}~QOqc+96hf%$%$

local-user ftpu privilege level 3

local-user ftpu ftp-directory flash:

local-user ftpu service-type ftp

local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$

local-user admin service-type http

interface GigabitEthernet0/0/0

ip address 10.1.1.2 255.255.255.0

interface GigabitEthernet0/0/1

ip address 20.1.1.2 255.255.255.0

二、

=====静态路由

配置静态路由两种方式 二者区别?

ip route-static 1.1.1.0 24 g0/0/1 指定出接口

ip route-static 1.1.1.0 24 2.1.1.1 指定下一跳?

[R1-GigabitEthernet0/0/1]int lo 0 =====创建环回接口

[R1-LoopBack0]ip add 1.1.1.1 255.255.255.255

[R1]display current-configuration interface =====显示接口信息

[R1]display ip routing-table ====查看路由表=====Static 代表静态路由，静态路由默认优先级为60

[R1]ip route-static 3.3.3.3 255.255.255.255 202.100.2.3 ===添加静态路由

[R1]ip route-static 202.100.3.0 24 202.100.1.2 preference 80 =====添加静态路由及设置优先级

[R2]ip route-static 0.0.0.0 0.0.0.0 202.100.3.3 ====添加默认路由

[R2]ip route-static 0.0.0.0 0.0.0.0 202.100.1.1 preference 80 ====添加默认路由及设置优先级

 

华为不同路由优先级

 

路由协议	优先级
direct	0
ospf	10
is-is	15
static	60
rip	100
ospf ase	150
bgp	255

 

=====rip

rip通过跳数衡量网络间的距离。每经过一个路由器，距离加1，允许的最大跳数为15,16为不可达，适用于小型网络

[R1]rip 1 ===启用 RIP 进程 ，默认rip version1

[R1-rip-1]network 10.0.0.0 ===宣告网络到 RIP 进程

[R1]display ip routing-table protocol rip ====查看路由表中 RIP 路由

debugging rip 1 ====开启 RIP 调试信息，必须在用户视图开启

terminal debugging #开启调试

terminal monitor #输出到终端

display debugging rip ====查看开启 debug 功能

undo debug rip 1 ====关闭 RIP debug 功能

undo debug all ====关闭所有 debug 功能

[R1]rip 1

[R1-rip-1]version 2 =====配置 RIPv2 协议

debugging rip 1 event

debugging rip 1 packet

undo debugging all

=====RIP 中重分布静态路由

[R2]ip route-static 172.16.3.0 24 10.0.23.3=====r2添加到r3的静态路由

[R2]rip 1

[R2-rip-1]import-route static ====RIP 进程中重分布静态路由

display ip routing-table protocol rip | in 172

=====配置手工路由汇总

[R2]int s1/0/0=====出接口

[R2-Serial1/0/0]rip summary-address 172.16.0.0 255.255.0.0

=====配置明文与 MD5 认证

interface Serial1/0/0 =====相连路由器配置需一致

rip authentication-mode simple cisco

interface Serial2/0/0

rip authentication-mode md5 usual cisco

=====rip路由汇总

ripv1有类别路由协议，不支持路由聚合

ripv2无类别路由协议，报文中携带掩码信息，支持手动路由汇总和自动汇总

基于rip进程自动汇总：按类汇总，汇总为自然网段。自动汇总默认关闭

基于接口的手动汇总：

dis default-parameter rip #查看rip默认配置信息

ripv2默认汇总生效方法：

1、rip视图下:summary always #不论水平分割是否启用，ripv2的自动汇总都生效

2、接口下：undo rip split-horizon #关闭相应接口的水平分割功能

ripv2手动汇总：

1、接口下：rip summary-address 3.3.0.0 255.255.252.0 #3.3.(0-2).0/24网段汇总

=====rip版本兼容：

rip1可以接收rip1和rip2报文，rip2只能接受和发送rip2

接口下：rip version 2 broadcast #rip设置版本1，但此接口能够以广播方式发送ripv2报文

接口下：rip version 2 muticast #rip设置版本1，但此接口能够以组播方式发送ripv2报文

=====调整rip优先级

rip视图下：perference 90 #调整rip优先级为90，默认100

=====调整rip定时器

rip视图下：timers rip 20 120 60 #调整更新报文间隔20s，超时时间120s，垃圾收集时间60s。

dis rip database #rip所有激活路由

=====rip抑制接口

rip支持抑制接口的配置，配置后禁止接口发送更新报文，但此借口所在网段的路由可以发布出去。实现方法两种,使其只接收报文，但不能发送报文。silent-interface优先级大于undo rip output。默认情况为不抑制状态

1、rip视图下silent-interface，配置之后，再指定单播更新地址有效

2、接口下undo rip output，配置之后，再指定单播更新地址也无效

单播更新是指rip使用单播发送rip报文。

ripv1和ripv2对抑制接口和单播更新特点一样

R1:

rip 1

version 2

peer 20.1.1.2 #手动添加路由，单播方式发送rip报文

peer 10.1.1.2 #手动添加路由，单播方式发送rip报文

network 30.0.0.0

silent-interface GigabitEthernet0/0/0 #抑制此接口

R3:

rip 1

version 2

peer 30.1.1.3 #此处添加路由，也不起作用

peer 30.1.1.42

network 20.0.0.0

network 30.0.0.0

interface GigabitEthernet0/0/1

ip address 30.1.1.4 255.255.255.0

undo rip output #抑制rip发送报文

undo rip input #抑制rip接收报文

=====rip与不连续子网

连续子网是指所相连的子网属于同一主网；不连续子网是指相同主网下的子网被另一主网分隔

ripv1解决办法：添加连续子网。无法关闭自动汇总

R6:

interface GigabitEthernet0/0/0

ip address 20.1.1.1 255.255.255.0

ip address 10.3.1.1 255.255.255.0 sub #同一个接下添加子网

interface GigabitEthernet0/0/1

ip address 30.1.1.1 255.255.255.0

ip address 10.4.1.1 255.255.255.0 sub

rip 1

network 20.0.0.0

network 30.0.0.0

network 10.0.0.0

ripv2解决办法：关闭自动汇总

R6:

interface GigabitEthernet0/0/0

ip address 20.1.1.1 255.255.255.0

interface GigabitEthernet0/0/1

ip address 30.1.1.1 255.255.255.0

 

rip 1

undo summary #关闭自动汇总

version 2

network 20.0.0.0

network 30.0.0.0

network 10.0.0.0

=====rip水平分割等

水平分割：rip从某个接口接受到的路由信息后，不会从该接口再发回给邻居设别。可以防止路由环路。默认开启

触发更新：当路由信息变化时，运行rip的设备会立即向邻居设备发送更新报文。无法关闭。非直连的设备断开，rip设备无法立刻感知，需要等待rip老化时间180s后，才删除路由条目

毒性逆转：rip从某个接口接受到的路由信息后，将该路由开销设置为16（即不可达），并从原借口发回邻居设备。默认不开启。在水平分割和毒性逆转同时开下，毒性逆转生效

ripv1和ripv2都支持这些功能

debug rip 1 send g0/0/1 #开启调试

terminal monitor

terminal debugging

undo rip split-horizon #关闭水平分割

rip poison-reverse #开启毒性逆转

=====rip路由附加度量值

路由附加度量值是在rip路由原来度量值基础上所增加或减少的度量值（跳数）

rip metricin用于在接收到路由后，给其增加一个附加度量值。影响本地设备和其他设备的路由选择

rip metricout命令用于自身路由的发布，发布时增加一个附加的度量值，但本地路由表

的度量值不会发横变化。不影响本地设备的路由选择，影响其他设备

=====路由引入

rip视图下：

import-route direct #直态路由引入。在路由器连终端一侧，不使用network通过网段，可以使用引入直连路由

import-route static #静态路由引入。不同路由协议直接可以使用

=====ospf基础

基于链路状态路由协议，具有收敛快、路由无环、拓展性好特点

ospf支持区域划分，区域从逻辑上讲路由器分为不同的组，每个组用区域areaid来标识。一个网段只能属于一个区域。区域0为骨干区域，骨干区域负责在非骨干区域之间发布区域间的路由信息。在一个ospf区域中有且只有一个骨干区域

ospf 1 #进入ospf，1为进程号

area 0 #进入区域0

network 10.1.1.0 0.0.0.255 #配置网段，带反向掩码

network 20.1.1.0 0.0.0.255

dis ospf interface #查看ospf接口信息

dis ospf peer #查看ospf邻居

dis ip routing-table protocol ospf #查看ospf路由

=====ospf多区域配置

链路状态信息只在区域内部泛洪，区域之间传递的只是路由条目非链路状态信息。当一台路由器属于不同区域时，称它为区域边界路由器（ABR），负责传递区域间路由信息

dis ospf lsdb #查看ospf链路状态数据库信息

=====ospf认证

ospf支持区域认证和链路认证。

区域认证：一个区域中所有路由器在该区域下的认证方式和认证密码一致，

链路认证：可针对某个邻居设置单独的认证方式和密码。同时开启区域认证和链路认证时，优先链路认证

每种认证方式分为简单模式、MD5验证模式和key chain验证模式

简单模式：认证密钥和密钥id都是明文传输

MD5验证模式：密钥经过MD5加密传输

key chain验证模式：可以同时配置多个密钥，不同密钥可单独设置生效周期等

区域认证：

ospf 1

area 0

authentication-mode simple plain test1 #简单模式，密码为test1

authentication-mode simple cipher test1 #同上，plain和cipher区别为管理员查看配置时，plain明文显示，cipher密文显示

authentication-mode md5 1 plain test1 #md5模式，标识符为1

链路认证：

接口下：ospf authentication-mode simple cipher test2 #对端接口配置需一致

 

=====ospf被动接口

ospf被动接口也称为抑制接口，成为被动接口后，讲不会接收和发送ospf报文。被动接口所在直连网段路由条目如果已经在ospf中通告，那么也会被其他ospf邻居路由器接收到

ospf 1

silent-interface g0/0/0 #讲g0/0/0接口设置为抑制接口

当路由器上多个接口要设置抑制接口，只有g0/0/0接口保持活动，可以使用一下配置

ospf 1

silent-interface all

undo silent-interface g0/0/0

 

=====ospf router-id

动态协议使用router-id作为路由器身份标识。如果在启动协议时，没有指定id，则默认使用路由器全局下的路由id

全局router-id选举：配置了回环接口，则选择最大的回环地址；没有配置回环接口，则选择最大的普通接口地址。不考虑接口的停启状态。

仅当被选举的接口ip删除活修改，才会触发router-id的重新选举。

router-id改变之后，各协议需要通过手工执行reset命令重新选取新的id

dis router-id #显示当前路由器id，默认为0.0.0.0

router-id 1.1.1.1 #手动指定router-id

reset ospf process #重置ospf进程，使router-id更新

ospf 1 router-id 1.1.1.1 #配置ospf协议的router-id。可以和全局id不一样，重启进程，优先使用ospf下配置的id

ospf协议的router-id在整个路由选择域内需保持唯一

=====ospf的DR与BDR

ospf协议定义了指定路由器DR，即所有其他路由器都只将各自的链路状态信息发送给DR，再由DR以租播放那个事发送至所有路由器

当DR路由器失效，必须重新选举DR。ospf还定义了BDR，DR路由器的备份。其他非DR/BDR路由器称为DR other路由器

DR选举：先比较DR优先级，优先级高的为DR，次高为BDR。优先级相等，则比较Router-ID，数值高的为DR，次高为BDR。如果路由器的优先级为0，则不参与选举。DR选举是在接口下设置的。故路由器不同接口可能是DR、BDR等

DR与BDR选举是非抢占的，人为更新其他接口优先级高于已选举的，新接口不会抢占

ospf在点到多、点到点网络不选举dr/bdr。

接口下：

ospf network-type p2mp #修改接口网络类型为点到多点

ospf network-type broadcast #修改接口类型为默认的广播网络

ospf dr-priority 100 #修改接口的dr优先级为100

=====ospf开销值、协议优先级

路由器上运行多种动态路由协议时，每种路由协议有默认优先级，只有优先级高的路由被选用

ospf接口开销值计算公式：接口开销=带宽参考值/接口带宽，向上取整

ospf常见计时器有hello timer和dead timer，分别决定了ospf发送hello报文的间隔和保持邻居关系的计时器。

ospf 1

preference 110 #修改ospf协议优先值，默认为10

int g0/0/1

ospf cost 1000 #修改接口g0/0/1下运行ospf协议所需开销值

#int g0/0/1

ospf timer hello 20 #修改hello计时器

ospf timer dead 80 #修改dead计时器

dis ospf peer #查看ospf邻居

=ospf的dead计时器时长默认为什么保持是hello计时器的4倍？

=====rip与ospf网络连接

不同路由协议之间不能共享各自的路由信息，需要依靠配置路由引入来实现

获得路由信息途径：直连网段、静态配置和路由协议。

不同路由协议计算路由开销依据不同，在互相引入时注意。如当引入ospf到rip时，不指定cost值，开销值讲默认设置为1

ospf 1

import-route rip 1 #ospf下引入rip

rip 1

import-route ospf 1 cost 3 #rip下引入ospf，并设置开销值为3

=====rip、ospf发布默认路由

默认路由是指目的地址和子网掩码都是0的路由条目

rip和ospf都可以通过配置使路由器对协议邻居发布默认路由，并且可以设置路由的度量值

rip 1

default-route originate #发布rip默认路由

ospf 1

defualt-route-advertise always #发布ospf默认路由

发布ospf默认路由末尾不加always，会出现什么情况？

======OSPF 邻居建立必要条件

1.router-id 不能相同

2.hello and dead 必须相同

3.区域 ID 必须相同

4.认证 key-id 及密码必须相同

5.特殊区域标记相同

6.三层 MTU 必须相同

7.子网掩码必须相同（在一个需要 DR|BDR 环境中）

8.最小范围内的双向互通

 

=====OSPF 直连路由重分布

[R3]ospf 1

[R3-ospf-1]import-route direct ====重分布直连

注：O_ASE 表示 OSPF 外部路由

R1>display ospf lsdb ==== 查看 LSA 数据库

display ospf lsdb summary 10.0.3.3 =====查看 TYPE 3 LSA

display ospf lsdb asbr ====查看 TYPE 4 LSA

display ospf lsdb ase 172.16.0.0 ====查看 TYPE 5 LSA

 

=====链路聚合

将多个物理接口捆绑成一个逻辑接口，优点有增加带宽、提高可靠性、负载分担

聚合接口下的每一个物理接口参数需相同，如双工方式等

手工负载分担方式

[S1]interface Eth-Trunk 1 ====创建 Eth-Trunk，编号1

mode manual load-balance

[S1-Eth-Trunk1]quit

[S1]int g0/0/9

[S1-GigabitEthernet0/0/9]eth-trunk 1 ====接口加入 Eth-Trunk

[S1]int g0/0/10

[S1-GigabitEthernet0/0/10]eth-trunk 1

[S1]display interface Eth 1 ====查看 eth-truk 信息

静态lacp方式

[Huawei-Eth-Trunk1]dis th

interface Eth-Trunk1

mode lacp-static #设置聚合接口方式为lacp

max active-linknumber 2 #设置活动接口数量为2，假如共三条链路，2条负载均衡，1条备份链路

[Huawei]lacp priority 100 #设置系统优先级

[Huawei-GigabitEthernet0/0/2]dis th

interface GigabitEthernet0/0/2

eth-trunk 1 #加入聚合接口

lacp priority 100 设置接口优先级，

 

 

 

 

======vrrp 虚拟路由器冗余协议

interface GigabitEthernet0/0/0

ip address 30.1.1.3 255.255.255.0

vrrp vrid 1 virtual-ip 30.1.1.254 #设置虚ip

vrrp vrid 1 priority 120 #设置优先级

vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30 #监控上行接口，断路时优先级减少30，默认减少10

vrrp vrid 1 authentication-mode md5 %$%$"ffCObR3fO-,Cj&!kJp-(j!#%$%$ #md5认证

vrrp vrid 2 virtual-ip 30.1.1.253 #第二个备份组

vrrp vrid 2 priority 140

vrrp vrid 1 preempt-mode disable #设置非抢占模式

vrrp vrid 1 preempt-mode timer delay 0 #设置抢占模式，默认0s

dis vrrp brief #显示备份组信息。其他帮助信息自查

==vrrp的优先级取值范围中，255留给ip地址所有者使用，0也是特殊值

==如果接口是虚拟ip拥有者，即使不开启抢占模式，也会抢占未master

==如果监控上行链路中，非直接链路故障，vrrp能否感知？

=====acl 访问控制列表

基本访问控制列表 规则id范围 2000-2999

扩展访问控制列表 规则id范围 3000-3999

规则id默认步长为5，即0、5、10、15

=====基础acl

acl 2000 创建acl，编号2000

rule 5 permit source 1.1.1.1 0 允许原地址为1.1.1.1报文通过，反掩码为全0，精确匹配

rule 10 deny source any 拒绝其他

user-interface vty 0 4 acl在vty中调佣

acl 2000 inbound 在设备的数据入方向上调用

display acl all

=====扩展acl

acl 3000

rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0

user-interface vty 0 4 acl在vty中调佣

acl 3000 inbound 在设备的数据入方向上调用

=====前缀列表

[Huawei-rip-1]dis th

rip 1

version 2

network 10.0.0.0

network 20.0.0.0

network 30.0.0.0

filter-policy ip-prefix 1 import #此处调用前缀列表，而调用acl方式无法实现：filter-policy 2000 import

[Huawei]dis th

ip ip-prefix 1 index 10 deny 1.1.1.0 25 greater-equal 25 less-equal 25

ip ip-prefix 1 index 20 permit 0.0.0.0 0 less-equal 32

[Huawei-acl-basic-2000]dis th

acl number 2000

rule 5 deny source 0.0.0.0 255.255.255.0

rule 10 permit

=====dhcp

dhcp enable =====开启dhcp

=====基于接口dhcp

int g0/0/0

dhcp select interface #选择接口下dhcp

dhcp server lease day 2 #租借期2天

dhcp server dns-list 8.8.8.8 #dns配置

dhcp server excluded-ip-address 192.169.1.1 192.169.1.10 #排除地址

display ip pool

=====基于地址池

ip pool huawei1 #新建地址池，名为huawei1

gateway-list 30.1.1.1 #网关为终端连接的路由接口ip，dhcp接口与终端在同一网段

network 30.1.1.0 mask 255.255.255.0

excluded-ip-address 30.1.1.200 30.1.1.254

lease day 2 hour 0 minute 0

dns-list 8.8.8.8

int g0/0/0

dhcp select global #选择全局dhcp

=====dhcp中继

1、

dhcp enable

int g0/0/0

dhcp select relay

dhcp relay server-ip 100.1.1.1

2、

dhcp server group dhcp-group01

dhcp-server 100.1.1.1

int g0/0/0

dhcp select relay

dhcp relay server-select dhcp-group01

=====gvrp功能

gvrp generice attribute registration protocol 用于注册和注销vlan属性

=手工配置的vlan称为静态，使用gvrp创建的vlan称为动态vlan

=3种注册模式。normal：允许该接口动态注册注销、传播动态、静态vlan，默认方式

fixed：禁止该接口动态注册注销，只传播静态vlan

forbidden：禁止该接口动态注册注销，不传播除vlan1外的任务vlan信息

[SW1]gvrp

[SW1]display gvrp status

[SW1]interface GigabitEthernet 0/0/10

[SW1-GigabitEthernet0/0/10]gvrp

[SW1-GigabitEthernet0/0/10]gvrp registration fixed

[SW1-GigabitEthernet0/0/10]gvrp registration normal

[SW1-GigabitEthernet0/0/10]bpdu enable

 

=====smartlink与monitorlink

smartlink解决存在有两个上行链路下，一条连通，一条阻塞。当主链路发生故障时，迅速切换到备用链路，保证数据正常转发。但无法不能跨设备，需要monitorlink

monitorlink监控上游设备的上行链路，达到上行链路故障迅速传达下游设备，下游设备通过smartlink去切换正常链路

[Huawei-smlk-group1]dis th #smlk配置

smart-link group 1 #新建smlk组1

restore enable #开启回切，默认没开启，主链路恢复后，主备链路不会切换

smart-link enable

port GigabitEthernet0/0/1 master #设置接口1为主

port GigabitEthernet0/0/2 slave #设置接口2为备

timer wtr 30 #设置回切时间30s，默认60

[Huawei-GigabitEthernet0/0/1]dis th #接口启用smlk，需要关闭stp

interface GigabitEthernet0/0/1

stp disable

[Huawei-GigabitEthernet0/0/2]dis th #接口启用smlk，需要关闭stp

interface GigabitEthernet0/0/2

stp disable

[Huawei-mtlk-group1]dis th

monitor-link group 1 #新建mtlk组1

port GigabitEthernet0/0/1 uplink #设置上行接口

port GigabitEthernet0/0/2 downlink 1 #设置下行接口，可以添加多个下行接口

timer recover-time 10 #设置回切时间10s，默认3s

=====NAT

network address translation

三种nat：静态nat、动态nat及网络地址端口转换NAT，nat转换设备维护着地址转换表，有转换的报文，通过该表做相应的转换

acl number 2001

rule 5 permit source 20.1.1.0 0.0.0.255 #acl调用

nat address-group 1 30.1.1.10 30.1.1.20 #nat地址池调用

ip route-static 0.0.0.0 0.0.0.0 30.1.1.2

interface GigabitEthernet0/0/0

ip address 10.1.1.3 255.255.255.0

interface GigabitEthernet0/0/1

ip address 20.1.1.3 255.255.255.0

interface GigabitEthernet2/0/0

ip address 30.1.1.1 255.255.255.0

nat static global 30.1.1.3 inside 10.1.1.1 netmask 255.255.255.255 #配置静态nat

nat server protocol tcp global 30.1.1.4 ftp inside 10.1.1.2 ftp #配置nat server

nat outbound 2001 #配置nat easy-ip，直接使用路由器接口+路由器不同端口

或

nat outbound 2001 address-group 1 no-pat #配置nat outbount

什么情况下使用nat的双向转换？

=====实现ensp与真实pc桥接

 

 

=====snmp

可以监控远程设备运行状态，如内存、cpu、接口情况

组成部分：网络管理站nms、代理进程agent（被管理设备上的一个代理进程）、被管理设备

三个版本：v1、v2c、v3，一般使用v3，适用于大规模网络，可以配置认证和加密

acl number 2000 #配置acl，用于snmp访问控制

rule 5 permit source 10.1.1.0 0.0.0.255

rule 10 deny source 10.1.1.0 0.0.0.255

snmp-agent #开启agent

snmp-agent sys-info contact call admin 111 #配置联系信息

snmp-agent sys-info location beijing #配置联系地址

snmp-agent sys-info version v3 #设置版本v3，默认all

snmp-agent target-host trap-hostname adminNMS2 address 10.1.1.2 udp-port 9991 trap-paramsname trapNMS2

snmp-agent usm-user v3 user group acl 2000 #新建用户组group，用户名user，用户使用acl2000

snmp-agent trap enable #开启设备告警开关，开启后agent才会向网管发送消息

snmp-agent trap queue-size 200 #设置队列长度200

snmp-agent trap life 240 #设置报文消息保存时间240s

dis snmp-agent target-host #网管信息

dis snmp-agent sys-info #系统信息

=====GRE

通用路由封装协议，将一种协议的报文封装在另一种协议报文中，使报文可以在异网传输，而异种报文传输通道称为tunel隧道

gre也可作为vpn的第三层隧道，为vpn数据提供透明传输通道

gre应采用何种方式实现组播数据跨互利网的加密传输？

R1

interface GigabitEthernet0/0/0

ip address 10.1.1.2 255.255.255.0

interface GigabitEthernet0/0/1

ip address 30.1.1.1 255.255.255.0

interface Tunnel0/0/0 #设置隧道

ip address 50.1.1.1 255.255.255.0 #设置隧道接口ip，与对端需同网段

tunnel-protocol gre #设置gre

source 30.1.1.1 #本端ip

destination 40.1.1.1 #对端ip

dis int tunel #查看隧道接口状态

rip 1

version 2

network 10.0.0.0

network 50.0.0.0

ip route-static 0.0.0.0 0.0.0.0 30.1.1.2

R3

interface GigabitEthernet0/0/0

ip address 20.1.1.2 255.255.255.0

interface GigabitEthernet0/0/1

ip address 40.1.1.1 255.255.255.0

 

interface Tunnel0/0/0

ip address 50.1.1.2 255.255.255.0

tunnel-protocol gre

source 40.1.1.1

destination 30.1.1.1

rip 1

version 2

network 50.0.0.0

network 20.0.0.0

ip route-static 0.0.0.0 0.0.0.0 40.1.1.2

R2

interface GigabitEthernet0/0/0

ip address 30.1.1.2 255.255.255.0

interface GigabitEthernet0/0/1

ip address 40.1.1.2 255.255.255.0

=====vlan

vlan id范围：0~4095，可配置的值为1~4094，默认为1

=在没有定义vlna及接口类型前，默认下，交换机所有接口都是hybrid类型，接口的pvid是vlan1，即所有接口收到没有标签的二层数据帧，都被转发到vlan1中，并继续以untagged的方式把帧发送至同为vlan1的其他接口。所以，即使未做任何配置，主机之间默认仍然可以互相通信

 

S1

interface Ethernet0/0/1

port hybrid pvid vlan 10

port hybrid untagged vlan 10 30

interface Ethernet0/0/2

port hybrid pvid vlan 20

port hybrid untagged vlan 20 30

interface Ethernet0/0/3

port hybrid tagged vlan 10 20 30

interface Ethernet0/0/4

port hybrid pvid vlan 30

port hybrid untagged vlan 10 20 30

S2

interface Ethernet0/0/1

port hybrid tagged vlan 10 20 30

interface Ethernet0/0/2

port hybrid pvid vlan 10

port hybrid untagged vlan 10 30

interface Ethernet0/0/3

port hybrid pvid vlan 20

port hybrid untagged vlan 20 30

=====单臂路由实现vlan间路由

通过一台路由器，使vlan间互通数据通过路由器进行三层转发。路由器接口有限，通过配置子接口来实现以一当多

vlan间通信可通过单臂路由方式实现，那么利用单臂路由实现数据转发会存在哪些潜在问题？如何解决 存在带宽、转发效率等问题

S1、S2、S3的vlan access、trunk配置略

R1

interface GigabitEthernet0/0/0.1

dot1q termination vid 10

ip address 10.1.1.2 255.255.255.0

arp broadcast enable

interface GigabitEthernet0/0/0.2

dot1q termination vid 20

ip address 20.1.1.2 255.255.255.0

arp broadcast enable

interface GigabitEthernet0/0/0.3

dot1q termination vid 30

ip address 30.1.1.2 255.255.255.0

arp broadcast enable

=====三层交换机实现vlan间路由

vlan将一个物理的lan在逻辑上划分成多个广播域。vlan内的主机间可以直接通信，而vlan间不能直接互通

vlanif接口是基于网络层的接口，可以配置ip地址。借助vlanif接口，三层交换机就能实现路由转发功能

 

interface Vlanif10

ip address 10.1.1.3 255.255.255.0

interface Vlanif20

ip address 20.1.1.2 255.255.255.0

interface MEth0/0/1

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

interface GigabitEthernet0/0/2

port link-type access

port default vlan 10

=====接口工作模式

interface Ethernet0/0/1

undo negotiation auto #关闭自协商，更改接口速率等需要先关闭自协商

speed 10 #修改接口速率为10

duplex half #修改双工模式为半双工

interface Ethernet0/0/2

negotiation auto #开启自协商

=====arp及arp-proxy

arp，地址解析协议，将ip地址解析为mac地址，分为动态和静态两种类型

proxy arp，代理arp，当主机没有配置默认网管时，发送广播arp请求，使具有代理arp功能的路由器接收到请求，会使用自身的mac地址作为该arp请求的回应，使不同网段的主机可以通信

静态arp优先级高于动态，静态arp可以防止arp欺骗

配置arp代理，广播对网络影响增大，路由器用来分割广播，所以这种做法会影响网络，临时使用

开启arp代理，当ping 不存在的主机时，icmp echo报文在pc上丢掉还是路由器上

dis arp all #查看当前arp

arp static 10.1.1.1 5489-9876-1e51 #配置静态arp

interface GigabitEthernet0/0/1 #接口下配置arp代理

ip address 20.1.1.2 255.255.255.0

arp-proxy enable

=====stp

简单生成树协议，避免数据链路层出现环路

根交换机选举：比较交换机id，id由交换机优先级和mac地址组成，首先比较优先级，数值最低的为根交换机。其次比较mac地址，同样的，数值最低的为根交换机

根端口选举：根交换机接口都为指定端口。确定根交换机后，在每台非根交换机上选举根端口。选举时，首先比较该交换机上每个端口到达根交换机的根路径开销，路径开销最小的端口为根端口。如果跟路径开销值相同，则比较每个端口所在链路上的上行交换机id，如果该交换机id也相同，则比较每个端口所在链路上的上行端口id。每台交换机上只能拥有一个根端口

指定端口选举：每台非根交换机选举根端口之后，将在每个网段上选举指定端口，选举的比较规则和选举根端口类似。

在什么场景下，选举根端口、指定端口时会比较到端口id

undo info-center enable #关闭交换提示信息

stp enable #开启stp，华为交换机默认开启mstp

stp mode stp #改为普通stp模式

interface Ethernet0/0/4

stp edged-port enable #边缘端口配置，连接主机的不进行stp计算

dis stp brief #查看接口的stp摘要信息

dis stp #查看生成树详细信息

stp priority 0 #修改优先级为0，为主根交换机

stp root primary #同上

stp priority 4096 #修改优先级为4096，为备根交换机

stp root primary #同上

stp cost 10 #手动设置开销值10

=====mstp

mstp把一个交换网络划分为多个域，每个域内形成多课生成树，生成树之间彼此独立

mstp网络由一个或多个mst域组成，每个mst域中可以包含一个或多个msti，即mst实例。

mst域中含有一张vlan映射表，描述了vlan与msti之间的映射关系

默认情况下所有vlan都映射到msti 0中。msti之间彼此独立

华为交换机默认开启stp，且为mstp

 

s1配置

vlan batch 10 20

stp instance 2 root primary #配置s1的实例2为根交换机

stp region-configuration #进入mst视图

region-name huawei #配置mst域名为huawei

revision-level 1 #配置修订级别为1

instance 1 vlan 10 #指定vlan10映射到msti 1，

instance 2 vlan 20 #vlan20映射到msti 2

active region-configuration #激活mst域名

补充：在s2、s3做同样配置。在同一mst域中，必须具有相同的级别、域名、vlan到msti的映射关系

interface Ethernet0/0/1

port link-type trunk

port trunk allow-pass vlan 2 to 4094

interface Ethernet0/0/2

port link-type trunk

port trunk allow-pass vlan 2 to 4094

interface Ethernet0/0/3

port link-type access

port default vlan 10

dis stp brief #stp所有简要信息

dis stp instance 1 brief #stp实例1简要信息

dis stp region-configuration #stp区域配置信息

 

=====rstp

stp五种状态：discarding、blocking、listening、learning、forwarding，

rstp简化为三种状态：discarding、earning、forwarding，

stp端口类型：根端口、指定端口

rstp新增端口类型：alternate、backup

rstp快速收敛机制分三种：

1、proposal/agreement机制：当一个端口被选举成为指定端口之后。stp中，此端口至少要等待一个forward delay（learning）时间才会迁移到forwarding状态。而在rstp， 此端口状态变化discarding到forwarding，此机制必须在点到点全双工链路上使用

2、跟端口快速切换机制：如果网络中一个根端口失效，那么最优的alternate端口将成为根端口，进入forwarding

3、边缘端口的引入：在rstp中，如果一个指定端口不与其他交换设备连接，而是与终端设备直连，那么这个端口就是边缘端口。边缘端口不接收处理配置bpdu，不参与rstp运算，可以由disable直接转换到forwarding状态，不经历时延。。。

stp mode rstp #切换rstp

interface Ethernet0/0/1

stp edged-port enable #边缘端口配置

 

=====stp配置

[S2]display stp brief ====查看 STP 状态

[S1]stp mode stp

[S1]stp root secondary

display stp interface g0/0/9 ====查看 STP 接口状态

=====根桥选举

[S2]display stp ====查看当前根桥信息

[S1]undo stp root

[S1]stp priority 4096 ===修改桥优先级，越小越高

=====根端口选举

[S1]interface g0/0/9

[S1-GigabitEthernet0/0/9]stp port priority 32 ====更改端口优先级，默认为 128，数值越大越优

=====边缘端口配置

[S3-Ethernet0/0/13]stp edged-port enable ====无需经历 STP 计算，快速进入转发状态，主要针对于接服务器或主机

=====vlan

[S1-Eth-Trunk1]port link-type trunk ====启用 trunk,默认接口为 Hybird

[S1-Eth-Trunk1]port trunk allow-pass vlan all ====该 trunk 链路上允许所有 VLAN，默认禁用所有 VLAN 穿越

[S1]interface g0/0/1

[S1-GigabitEthernet0/0/1]port link-type access

[S1]vlan 3 ====创建 VLAN

[S1-vlan3]port g0/0/13 ====接口划入 VLAN

[S2]vlan batch 3 to 5 ====连续创建三个 VLAN

[S2]int g0/0/24

[S2-GigabitEthernet0/0/24]port link-type access

[S2-GigabitEthernet0/0/24]port default vlan 5

=====vlanif地址

[S3]interface Vlanif 1

[S3-Vlanif1]ip add 10.0.3.3 24