华为hcna实验学习记录

 
显示接口、设备名

=====添加回环网卡

计算机管理-设备管理器-菜单 操作 添加过时硬件-手动查找
选择添加网络适配器 厂商microsoft 网络适配器loopback adapter,点下一步安装

=====基础配置

undo info enable #关闭交换机一些提示信息
display version =====显示设备版本号、型号、启动时间
dis current-configuration ===显示当前系统配置
system-view ====进入系统视图(相当于思科的全局配置模式)
[Huawei]sysname R1 ===配置主机名
[Huawei]return ===返回用户视图,使用ctrl+c也可以
[Huawei]quit ===返回上一层
[R1]header login information "Welcome to R" ====配置登录提示banner
[R1]header shell information "Welcome to HW" ====配置登录成功banner
[R1]user-interface console 0====进入 console 口,默认无密码
[R1-ui-console0]authentication-mode password
Please configure the login password (maximum length 16):verysafe ====设置密码
[R1-ui-console0]set authentication password cipher verysafe ====配置一个密文形式密码(在display查询时,密码加密。可以选择明文,命令为 simple)
[R1-ui-console0]idle-timeout 3 20 ====配置空闲超时时间 3 分 20 秒,默认 10 分钟
display clock ====显示系统时间
clock timezone GMT add 08:00:00 ====配置系统时区,中国为+8 区
clock datetime 22:59:00 2014-05-11 ====配置系统时间
[R1]super password cipher ccieh3c.taobao.com ====配置密文 super 密码,防止非法用户权限提升
[R1]display current-configuration | include super ====显示 super 密码配置
super password level 3 cipher %$%$$#q^6$-.B<#>7NFN%4"D,&Qs%$%$
2、配置接口地址与 telnet、SSH
[R1]display ip interface brief ====查看接口状态
[R1]display interface g0/0/0 ====查看接口详细信息
[R1]interface g0/0/0 ====进入接口模式(注:默认接口状态为 UP,可以使用命令 shutdown 关闭接口,用 restart 命令开启)
[R1-GigabitEthernet0/0/0]ip address 202.100.1.1 255.255.255.0
//telnet 配置【基于密码与用户名密码 2 种方式】
[R1]user-interface vty 0 4 ====进入线下模式
[R1-ui-vty0-4]set authentication password cipher cisco ====配置加密密码为 cisco
display telnet server status ====查看 telnet server 状态
display users ====查看 telnet 会话信息
//配置用户名+密码认证方式
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa
[R1]aaa
[R1-aaa]local-user cisco password cipher cisco privilege level 15
[R1-aaa]local-user cisco service-type telnet
//SSH 配置
[R1]rsa local-key-pair create ====生成 RSA 密钥
[R1]display rsa local-key-pair public ====查看生成 RSA 密钥
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa
[R1-ui-vty0-4]protocol inbound ssh
[R1]aaa
[R1-aaa]local-user sshuser password cipher cisco ====创建 SSH 登陆用户名与密码
[R1-aaa]local-user sshuser service-type ssh
[R1-aaa]local-user sshuser privilege level 15
[R1]stelnet server enable ====启用 Stelnet 功能
[R1]ssh user sshuser authentication-type password ====配置 SSH 登陆用户名服务类型
[R1]display ssh server status ====查看 SSH 服务状态
[R1]display ssh server session ====查看 SSH 连接会话
[R1]display ssh user-information ====查看 SSH 登陆用户状态
3、查看、保存、清空、重启路由器
[R1]display current-configuration ====查看路由器当前配置信息
save ====保存路由器当前配置信息
startup saved-configuration iascfg.zip ====配置下次启动加载配置文件
display startup ====查看下次启动加载配置文件
reset saved-configuration ====清空配置
reboot ====重启路由器
 
快捷键:ctrl+shift+c 复制,ctrl+shift+v 粘贴,ctrl+shift+a 全选
[Huawei]hotkey CTRL_G "dis cur" #设置ctrl+g组合键为输出当前系统配置命令
[Huawei]dis hotkey | include CTRL_G #查询ctrl+g组合键
display version =====显示设备版本号、型号、启动时间
dis current-configuration ===显示当前系统配置
system-view ====进入系统视图(相当于思科的全局配置模式)
[Huawei]sysname R1 ===配置主机名
[Huawei]return===返回用户视图,使用ctrl+c也可以
[Huawei]quit===返回上一层
[R1]header login information "Welcome to R" ====配置登录提示banner
[R1]header shell information "Welcome to HW" ====配置登录成功banner
====设置console密码
[R1]user-interface console 0====进入 console 口,默认无密码
[R1-ui-console0]authentication-mode password
Please configure the login password (maximum length 16):test ===设置密码
[R1-ui-console0]set authentication password cipher cisco ====配置一个密文形式密码(可以选择明文,命令为 simple)
[R1-ui-console0]idle-timeout 3 20 ====配置空闲超时时间 3 分 20 秒,默认 10 分钟
display clock ====显示系统时间
clock timezone GMT add 08:00:00 ====配置系统时区,中国为+8 区
clock datetime 22:59:00 2014-05-11 ====配置系统时间
[R1]super password cipher ccieh3c.taobao.com ====配置密文 super 密码,防止非法用户权限提升
[R1]display current-configuration | include super ====显示 super 密码配置

=====console/telnet/ssh/sftp配置

aaa
local-user sshu password cipher test #新建ssh账号
local-user sshu privilege level 3 #设置用户等级,3为管理级,默认0级
local-user sshu service-type ssh #设置此用户可使用服务
local-user admin password cipher test #默认账号
local-user admin service-type http #默认配置
local-user sftpu password cipher test #新建sftp账号
local-user sftpu privilege level 3
local-user sftpu ftp-directory flash: #设置sftp的访问目录,不设置无法登录sftp
local-user sftpu service-type ssh
local-user telnetu password cipher test #设置telnet账号
local-user telnetu privilege level 3
local-user telnetu service-type telnet
sftp server enable #开启sftp服务,默认不开启。telnet服务默认开启
stelnet server enable #开启ssh服务,默认不开启
user-interface con 0 #console配置
authentication-mode password #开启密码认证
user-interface vty 0 4 #进入系统访问界面
authentication-mode aaa #开启aaa认证
protocol inbound ssh #只允许ssh服务访问
user-interface vty 16 20
dis ssh server status
dis ssh user-information sshu
dis ssh server session
===ssh client首次连接前,需要开启首次认证,如
ssh client first-time enable
stelnet 10.1.1.3
 

=====ftp

 
0
user-interface vty 0 4
authentication-mode aaa
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user ftpu password cipher %$%$GCA2Qv.;$Lr-Y}~QOqc+96hf%$%$
local-user ftpu privilege level 3
local-user ftpu ftp-directory flash:
local-user ftpu service-type ftp
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
local-user admin service-type http
interface GigabitEthernet0/0/0
ip address 10.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 20.1.1.2 255.255.255.0

二、

=====静态路由

配置静态路由两种方式 二者区别?
ip route-static 1.1.1.0 24 g0/0/1 指定出接口
ip route-static 1.1.1.0 24 2.1.1.1 指定下一跳?
[R1-GigabitEthernet0/0/1]int lo 0 =====创建环回接口
[R1-LoopBack0]ip add 1.1.1.1 255.255.255.255
[R1]display current-configuration interface =====显示接口信息
[R1]display ip routing-table ====查看路由表=====Static 代表静态路由,静态路由默认优先级为60
[R1]ip route-static 3.3.3.3 255.255.255.255 202.100.2.3 ===添加静态路由
[R1]ip route-static 202.100.3.0 24 202.100.1.2 preference 80 =====添加静态路由及设置优先级
[R2]ip route-static 0.0.0.0 0.0.0.0 202.100.3.3 ====添加默认路由
[R2]ip route-static 0.0.0.0 0.0.0.0 202.100.1.1 preference 80 ====添加默认路由及设置优先级
 
华为不同路由优先级
 
路由协议
优先级
direct
0
ospf
10
is-is
15
static
60
rip
100
ospf ase
150
bgp
255
 

=====rip

rip通过跳数衡量网络间的距离。每经过一个路由器,距离加1,允许的最大跳数为15,16为不可达,适用于小型网络
[R1]rip 1 ===启用 RIP 进程 ,默认rip version1
[R1-rip-1]network 10.0.0.0 ===宣告网络到 RIP 进程
[R1]display ip routing-table protocol rip ====查看路由表中 RIP 路由
debugging rip 1 ====开启 RIP 调试信息,必须在用户视图开启
terminal debugging #开启调试
terminal monitor #输出到终端
display debugging rip ====查看开启 debug 功能
undo debug rip 1 ====关闭 RIP debug 功能
undo debug all ====关闭所有 debug 功能
[R1]rip 1
[R1-rip-1]version 2 =====配置 RIPv2 协议
debugging rip 1 event
debugging rip 1 packet
undo debugging all

=====RIP 中重分布静态路由

[R2]ip route-static 172.16.3.0 24 10.0.23.3=====r2添加到r3的静态路由
[R2]rip 1
[R2-rip-1]import-route static ====RIP 进程中重分布静态路由
display ip routing-table protocol rip | in 172

=====配置手工路由汇总

[R2]int s1/0/0=====出接口
[R2-Serial1/0/0]rip summary-address 172.16.0.0 255.255.0.0

=====配置明文与 MD5 认证

interface Serial1/0/0 =====相连路由器配置需一致
rip authentication-mode simple cisco
interface Serial2/0/0
rip authentication-mode md5 usual cisco

=====rip路由汇总

ripv1有类别路由协议,不支持路由聚合
ripv2无类别路由协议,报文中携带掩码信息,支持手动路由汇总和自动汇总
基于rip进程自动汇总:按类汇总,汇总为自然网段。自动汇总默认关闭
基于接口的手动汇总:
dis default-parameter rip #查看rip默认配置信息
ripv2默认汇总生效方法:
1、rip视图下:summary always #不论水平分割是否启用,ripv2的自动汇总都生效
2、接口下:undo rip split-horizon #关闭相应接口的水平分割功能
ripv2手动汇总:
1、接口下:rip summary-address 3.3.0.0 255.255.252.0 #3.3.(0-2).0/24网段汇总

=====rip版本兼容:

rip1可以接收rip1和rip2报文,rip2只能接受和发送rip2
接口下:rip version 2 broadcast #rip设置版本1,但此接口能够以广播方式发送ripv2报文
接口下:rip version 2 muticast #rip设置版本1,但此接口能够以组播方式发送ripv2报文

=====调整rip优先级

rip视图下:perference 90 #调整rip优先级为90,默认100

=====调整rip定时器

rip视图下:timers rip 20 120 60 #调整更新报文间隔20s,超时时间120s,垃圾收集时间60s。
dis rip database #rip所有激活路由

=====rip抑制接口

0
rip支持抑制接口的配置,配置后禁止接口发送更新报文,但此借口所在网段的路由可以发布出去。实现方法两种,使其只接收报文,但不能发送报文。silent-interface优先级大于undo rip output。默认情况为不抑制状态
1、rip视图下silent-interface,配置之后,再指定单播更新地址有效
2、接口下undo rip output,配置之后,再指定单播更新地址也无效
单播更新是指rip使用单播发送rip报文。
ripv1和ripv2对抑制接口和单播更新特点一样
R1:
rip 1
version 2
peer 20.1.1.2 #手动添加路由,单播方式发送rip报文
peer 10.1.1.2 #手动添加路由,单播方式发送rip报文
network 30.0.0.0
silent-interface GigabitEthernet0/0/0 #抑制此接口
R3:
rip 1
version 2
peer 30.1.1.3 #此处添加路由,也不起作用
peer 30.1.1.42
network 20.0.0.0
network 30.0.0.0
interface GigabitEthernet0/0/1
ip address 30.1.1.4 255.255.255.0
undo rip output #抑制rip发送报文
undo rip input #抑制rip接收报文

=====rip与不连续子网

0
连续子网是指所相连的子网属于同一主网;不连续子网是指相同主网下的子网被另一主网分隔
ripv1解决办法:添加连续子网。无法关闭自动汇总
R6:
interface GigabitEthernet0/0/0
ip address 20.1.1.1 255.255.255.0
ip address 10.3.1.1 255.255.255.0 sub #同一个接下添加子网
interface GigabitEthernet0/0/1
ip address 30.1.1.1 255.255.255.0
ip address 10.4.1.1 255.255.255.0 sub
rip 1
network 20.0.0.0
network 30.0.0.0
network 10.0.0.0
ripv2解决办法:关闭自动汇总
R6:
interface GigabitEthernet0/0/0
ip address 20.1.1.1 255.255.255.0
interface GigabitEthernet0/0/1
ip address 30.1.1.1 255.255.255.0
 
rip 1
undo summary #关闭自动汇总
version 2
network 20.0.0.0
network 30.0.0.0
network 10.0.0.0

=====rip水平分割等

水平分割:rip从某个接口接受到的路由信息后,不会从该接口再发回给邻居设别。可以防止路由环路。默认开启
触发更新:当路由信息变化时,运行rip的设备会立即向邻居设备发送更新报文。无法关闭。非直连的设备断开,rip设备无法立刻感知,需要等待rip老化时间180s后,才删除路由条目
毒性逆转:rip从某个接口接受到的路由信息后,将该路由开销设置为16(即不可达),并从原借口发回邻居设备。默认不开启。在水平分割和毒性逆转同时开下,毒性逆转生效
ripv1和ripv2都支持这些功能
debug rip 1 send g0/0/1 #开启调试
terminal monitor
terminal debugging
undo rip split-horizon #关闭水平分割
rip poison-reverse #开启毒性逆转

=====rip路由附加度量值

路由附加度量值是在rip路由原来度量值基础上所增加或减少的度量值(跳数)
rip metricin用于在接收到路由后,给其增加一个附加度量值。影响本地设备和其他设备的路由选择
rip metricout命令用于自身路由的发布,发布时增加一个附加的度量值,但本地路由表
的度量值不会发横变化。不影响本地设备的路由选择,影响其他设备

=====路由引入

rip视图下:
import-route direct #直态路由引入。在路由器连终端一侧,不使用network通过网段,可以使用引入直连路由
import-route static #静态路由引入。不同路由协议直接可以使用

=====ospf基础

基于链路状态路由协议,具有收敛快、路由无环、拓展性好特点
ospf支持区域划分,区域从逻辑上讲路由器分为不同的组,每个组用区域areaid来标识。一个网段只能属于一个区域。区域0为骨干区域,骨干区域负责在非骨干区域之间发布区域间的路由信息。在一个ospf区域中有且只有一个骨干区域
ospf 1 #进入ospf,1为进程号
area 0 #进入区域0
network 10.1.1.0 0.0.0.255 #配置网段,带反向掩码
network 20.1.1.0 0.0.0.255
dis ospf interface #查看ospf接口信息
dis ospf peer #查看ospf邻居
dis ip routing-table protocol ospf #查看ospf路由

=====ospf多区域配置

链路状态信息只在区域内部泛洪,区域之间传递的只是路由条目非链路状态信息。当一台路由器属于不同区域时,称它为区域边界路由器(ABR),负责传递区域间路由信息
dis ospf lsdb #查看ospf链路状态数据库信息

=====ospf认证

ospf支持区域认证和链路认证。
区域认证:一个区域中所有路由器在该区域下的认证方式和认证密码一致,
链路认证:可针对某个邻居设置单独的认证方式和密码。同时开启区域认证和链路认证时,优先链路认证
每种认证方式分为简单模式、MD5验证模式和key chain验证模式
简单模式:认证密钥和密钥id都是明文传输
MD5验证模式:密钥经过MD5加密传输
key chain验证模式:可以同时配置多个密钥,不同密钥可单独设置生效周期等
区域认证:
ospf 1
area 0
authentication-mode simple plain test1 #简单模式,密码为test1
authentication-mode simple cipher test1 #同上,plain和cipher区别为管理员查看配置时,plain明文显示,cipher密文显示
authentication-mode md5 1 plain test1 #md5模式,标识符为1
链路认证:
接口下:ospf authentication-mode simple cipher test2 #对端接口配置需一致
 

=====ospf被动接口

ospf被动接口也称为抑制接口,成为被动接口后,讲不会接收和发送ospf报文。被动接口所在直连网段路由条目如果已经在ospf中通告,那么也会被其他ospf邻居路由器接收到
ospf 1
silent-interface g0/0/0 #讲g0/0/0接口设置为抑制接口
当路由器上多个接口要设置抑制接口,只有g0/0/0接口保持活动,可以使用一下配置
ospf 1
silent-interface all
undo silent-interface g0/0/0
 

=====ospf router-id

动态协议使用router-id作为路由器身份标识。如果在启动协议时,没有指定id,则默认使用路由器全局下的路由id
全局router-id选举:配置了回环接口,则选择最大的回环地址;没有配置回环接口,则选择最大的普通接口地址。不考虑接口的停启状态。
仅当被选举的接口ip删除活修改,才会触发router-id的重新选举。
router-id改变之后,各协议需要通过手工执行reset命令重新选取新的id
dis router-id #显示当前路由器id,默认为0.0.0.0
router-id 1.1.1.1 #手动指定router-id
reset ospf process #重置ospf进程,使router-id更新
ospf 1 router-id 1.1.1.1 #配置ospf协议的router-id。可以和全局id不一样,重启进程,优先使用ospf下配置的id
ospf协议的router-id在整个路由选择域内需保持唯一

=====ospf的DR与BDR

ospf协议定义了指定路由器DR,即所有其他路由器都只将各自的链路状态信息发送给DR,再由DR以租播放那个事发送至所有路由器
当DR路由器失效,必须重新选举DR。ospf还定义了BDR,DR路由器的备份。其他非DR/BDR路由器称为DR other路由器
DR选举:先比较DR优先级,优先级高的为DR,次高为BDR。优先级相等,则比较Router-ID,数值高的为DR,次高为BDR。如果路由器的优先级为0,则不参与选举。DR选举是在接口下设置的。故路由器不同接口可能是DR、BDR等
DR与BDR选举是非抢占的,人为更新其他接口优先级高于已选举的,新接口不会抢占
ospf在点到多、点到点网络不选举dr/bdr。
接口下:
ospf network-type p2mp #修改接口网络类型为点到多点
ospf network-type broadcast #修改接口类型为默认的广播网络
ospf dr-priority 100 #修改接口的dr优先级为100

=====ospf开销值、协议优先级

路由器上运行多种动态路由协议时,每种路由协议有默认优先级,只有优先级高的路由被选用
ospf接口开销值计算公式:接口开销=带宽参考值/接口带宽,向上取整
ospf常见计时器有hello timer和dead timer,分别决定了ospf发送hello报文的间隔和保持邻居关系的计时器。
ospf 1
preference 110 #修改ospf协议优先值,默认为10
int g0/0/1
ospf cost 1000 #修改接口g0/0/1下运行ospf协议所需开销值
#int g0/0/1
ospf timer hello 20 #修改hello计时器
ospf timer dead 80 #修改dead计时器
dis ospf peer #查看ospf邻居
=ospf的dead计时器时长默认为什么保持是hello计时器的4倍?

=====rip与ospf网络连接

0
不同路由协议之间不能共享各自的路由信息,需要依靠配置路由引入来实现
获得路由信息途径:直连网段、静态配置和路由协议。
不同路由协议计算路由开销依据不同,在互相引入时注意。如当引入ospf到rip时,不指定cost值,开销值讲默认设置为1
ospf 1
import-route rip 1 #ospf下引入rip
rip 1
import-route ospf 1 cost 3 #rip下引入ospf,并设置开销值为3

=====rip、ospf发布默认路由

默认路由是指目的地址和子网掩码都是0的路由条目
rip和ospf都可以通过配置使路由器对协议邻居发布默认路由,并且可以设置路由的度量值
rip 1
default-route originate #发布rip默认路由
ospf 1
defualt-route-advertise always #发布ospf默认路由
发布ospf默认路由末尾不加always,会出现什么情况?

======OSPF 邻居建立必要条件

1.router-id 不能相同
2.hello and dead 必须相同
3.区域 ID 必须相同
4.认证 key-id 及密码必须相同
5.特殊区域标记相同
6.三层 MTU 必须相同
7.子网掩码必须相同(在一个需要 DR|BDR 环境中)
8.最小范围内的双向互通
 

=====OSPF 直连路由重分布

[R3]ospf 1
[R3-ospf-1]import-route direct ====重分布直连
注:O_ASE 表示 OSPF 外部路由
R1>display ospf lsdb ==== 查看 LSA 数据库
display ospf lsdb summary 10.0.3.3 =====查看 TYPE 3 LSA
display ospf lsdb asbr ====查看 TYPE 4 LSA
display ospf lsdb ase 172.16.0.0 ====查看 TYPE 5 LSA
 

=====链路聚合

将多个物理接口捆绑成一个逻辑接口,优点有增加带宽、提高可靠性、负载分担
聚合接口下的每一个物理接口参数需相同,如双工方式等
手工负载分担方式
[S1]interface Eth-Trunk 1 ====创建 Eth-Trunk,编号1
mode manual load-balance
[S1-Eth-Trunk1]quit
[S1]int g0/0/9
[S1-GigabitEthernet0/0/9]eth-trunk 1 ====接口加入 Eth-Trunk
[S1]int g0/0/10
[S1-GigabitEthernet0/0/10]eth-trunk 1
[S1]display interface Eth 1 ====查看 eth-truk 信息

静态lacp方式

[Huawei-Eth-Trunk1]dis th
interface Eth-Trunk1
mode lacp-static #设置聚合接口方式为lacp
max active-linknumber 2 #设置活动接口数量为2,假如共三条链路,2条负载均衡,1条备份链路
[Huawei]lacp priority 100 #设置系统优先级
[Huawei-GigabitEthernet0/0/2]dis th
interface GigabitEthernet0/0/2
eth-trunk 1 #加入聚合接口
lacp priority 100 设置接口优先级,
 
 
 
 

======vrrp 虚拟路由器冗余协议

interface GigabitEthernet0/0/0
ip address 30.1.1.3 255.255.255.0
vrrp vrid 1 virtual-ip 30.1.1.254 #设置虚ip
vrrp vrid 1 priority 120 #设置优先级
vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30 #监控上行接口,断路时优先级减少30,默认减少10
vrrp vrid 1 authentication-mode md5 %$%$"ffCObR3fO-,Cj&!kJp-(j!#%$%$ #md5认证
vrrp vrid 2 virtual-ip 30.1.1.253 #第二个备份组
vrrp vrid 2 priority 140
vrrp vrid 1 preempt-mode disable #设置非抢占模式
vrrp vrid 1 preempt-mode timer delay 0 #设置抢占模式,默认0s
dis vrrp brief #显示备份组信息。其他帮助信息自查
==vrrp的优先级取值范围中,255留给ip地址所有者使用,0也是特殊值
==如果接口是虚拟ip拥有者,即使不开启抢占模式,也会抢占未master
==如果监控上行链路中,非直接链路故障,vrrp能否感知?

=====acl 访问控制列表

基本访问控制列表 规则id范围 2000-2999
扩展访问控制列表 规则id范围 3000-3999
规则id默认步长为5,即0、5、10、15

=====基础acl

acl 2000 创建acl,编号2000
rule 5 permit source 1.1.1.1 0 允许原地址为1.1.1.1报文通过,反掩码为全0,精确匹配
rule 10 deny source any 拒绝其他
user-interface vty 0 4 acl在vty中调佣
acl 2000 inbound 在设备的数据入方向上调用
display acl all

=====扩展acl

acl 3000
rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0
user-interface vty 0 4 acl在vty中调佣
acl 3000 inbound 在设备的数据入方向上调用

=====前缀列表

[Huawei-rip-1]dis th
rip 1
version 2
network 10.0.0.0
network 20.0.0.0
network 30.0.0.0
filter-policy ip-prefix 1 import #此处调用前缀列表,而调用acl方式无法实现:filter-policy 2000 import
[Huawei]dis th
ip ip-prefix 1 index 10 deny 1.1.1.0 25 greater-equal 25 less-equal 25
ip ip-prefix 1 index 20 permit 0.0.0.0 0 less-equal 32
[Huawei-acl-basic-2000]dis th
acl number 2000
rule 5 deny source 0.0.0.0 255.255.255.0
rule 10 permit

=====dhcp

dhcp enable =====开启dhcp

=====基于接口dhcp

int g0/0/0
dhcp select interface #选择接口下dhcp
dhcp server lease day 2 #租借期2天
dhcp server dns-list 8.8.8.8 #dns配置
dhcp server excluded-ip-address 192.169.1.1 192.169.1.10 #排除地址
display ip pool

=====基于地址池

ip pool huawei1 #新建地址池,名为huawei1
gateway-list 30.1.1.1 #网关为终端连接的路由接口ip,dhcp接口与终端在同一网段
network 30.1.1.0 mask 255.255.255.0
excluded-ip-address 30.1.1.200 30.1.1.254
lease day 2 hour 0 minute 0
dns-list 8.8.8.8
int g0/0/0
dhcp select global #选择全局dhcp

=====dhcp中继

1、
dhcp enable
int g0/0/0
dhcp select relay
dhcp relay server-ip 100.1.1.1
2、
dhcp server group dhcp-group01
dhcp-server 100.1.1.1
int g0/0/0
dhcp select relay
dhcp relay server-select dhcp-group01

=====gvrp功能

gvrp generice attribute registration protocol 用于注册和注销vlan属性
=手工配置的vlan称为静态,使用gvrp创建的vlan称为动态vlan
=3种注册模式。normal:允许该接口动态注册注销、传播动态、静态vlan,默认方式
fixed:禁止该接口动态注册注销,只传播静态vlan
forbidden:禁止该接口动态注册注销,不传播除vlan1外的任务vlan信息
[SW1]gvrp
[SW1]display gvrp status
[SW1]interface GigabitEthernet 0/0/10
[SW1-GigabitEthernet0/0/10]gvrp
[SW1-GigabitEthernet0/0/10]gvrp registration fixed
[SW1-GigabitEthernet0/0/10]gvrp registration normal
[SW1-GigabitEthernet0/0/10]bpdu enable
 

=====smartlink与monitorlink

0
smartlink解决存在有两个上行链路下,一条连通,一条阻塞。当主链路发生故障时,迅速切换到备用链路,保证数据正常转发。但无法不能跨设备,需要monitorlink
monitorlink监控上游设备的上行链路,达到上行链路故障迅速传达下游设备,下游设备通过smartlink去切换正常链路
[Huawei-smlk-group1]dis th #smlk配置
smart-link group 1 #新建smlk组1
restore enable #开启回切,默认没开启,主链路恢复后,主备链路不会切换
smart-link enable
port GigabitEthernet0/0/1 master #设置接口1为主
port GigabitEthernet0/0/2 slave #设置接口2为备
timer wtr 30 #设置回切时间30s,默认60
[Huawei-GigabitEthernet0/0/1]dis th #接口启用smlk,需要关闭stp
interface GigabitEthernet0/0/1
stp disable
[Huawei-GigabitEthernet0/0/2]dis th #接口启用smlk,需要关闭stp
interface GigabitEthernet0/0/2
stp disable
[Huawei-mtlk-group1]dis th
monitor-link group 1 #新建mtlk组1
port GigabitEthernet0/0/1 uplink #设置上行接口
port GigabitEthernet0/0/2 downlink 1 #设置下行接口,可以添加多个下行接口
timer recover-time 10 #设置回切时间10s,默认3s

=====NAT

0
network address translation
三种nat:静态nat、动态nat及网络地址端口转换NAT,nat转换设备维护着地址转换表,有转换的报文,通过该表做相应的转换
acl number 2001
rule 5 permit source 20.1.1.0 0.0.0.255 #acl调用
nat address-group 1 30.1.1.10 30.1.1.20 #nat地址池调用
ip route-static 0.0.0.0 0.0.0.0 30.1.1.2
interface GigabitEthernet0/0/0
ip address 10.1.1.3 255.255.255.0
interface GigabitEthernet0/0/1
ip address 20.1.1.3 255.255.255.0
interface GigabitEthernet2/0/0
ip address 30.1.1.1 255.255.255.0
nat static global 30.1.1.3 inside 10.1.1.1 netmask 255.255.255.255 #配置静态nat
nat server protocol tcp global 30.1.1.4 ftp inside 10.1.1.2 ftp #配置nat server
nat outbound 2001 #配置nat easy-ip,直接使用路由器接口+路由器不同端口
nat outbound 2001 address-group 1 no-pat #配置nat outbount
什么情况下使用nat的双向转换?

=====实现ensp与真实pc桥接

 
0
 
0

=====snmp

可以监控远程设备运行状态,如内存、cpu、接口情况
组成部分:网络管理站nms、代理进程agent(被管理设备上的一个代理进程)、被管理设备
三个版本:v1、v2c、v3,一般使用v3,适用于大规模网络,可以配置认证和加密
acl number 2000 #配置acl,用于snmp访问控制
rule 5 permit source 10.1.1.0 0.0.0.255
rule 10 deny source 10.1.1.0 0.0.0.255
snmp-agent #开启agent
snmp-agent sys-info contact call admin 111 #配置联系信息
snmp-agent sys-info location beijing #配置联系地址
snmp-agent sys-info version v3 #设置版本v3,默认all
snmp-agent target-host trap-hostname adminNMS2 address 10.1.1.2 udp-port 9991 trap-paramsname trapNMS2
snmp-agent usm-user v3 user group acl 2000 #新建用户组group,用户名user,用户使用acl2000
snmp-agent trap enable #开启设备告警开关,开启后agent才会向网管发送消息
snmp-agent trap queue-size 200 #设置队列长度200
snmp-agent trap life 240 #设置报文消息保存时间240s
dis snmp-agent target-host #网管信息
dis snmp-agent sys-info #系统信息

=====GRE

通用路由封装协议,将一种协议的报文封装在另一种协议报文中,使报文可以在异网传输,而异种报文传输通道称为tunel隧道
gre也可作为vpn的第三层隧道,为vpn数据提供透明传输通道
gre应采用何种方式实现组播数据跨互利网的加密传输?
0
R1
interface GigabitEthernet0/0/0
ip address 10.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 30.1.1.1 255.255.255.0
interface Tunnel0/0/0 #设置隧道
ip address 50.1.1.1 255.255.255.0 #设置隧道接口ip,与对端需同网段
tunnel-protocol gre #设置gre
source 30.1.1.1 #本端ip
destination 40.1.1.1 #对端ip
dis int tunel #查看隧道接口状态
rip 1
version 2
network 10.0.0.0
network 50.0.0.0
ip route-static 0.0.0.0 0.0.0.0 30.1.1.2
R3
interface GigabitEthernet0/0/0
ip address 20.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 40.1.1.1 255.255.255.0
 
interface Tunnel0/0/0
ip address 50.1.1.2 255.255.255.0
tunnel-protocol gre
source 40.1.1.1
destination 30.1.1.1
rip 1
version 2
network 50.0.0.0
network 20.0.0.0
ip route-static 0.0.0.0 0.0.0.0 40.1.1.2
R2
interface GigabitEthernet0/0/0
ip address 30.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 40.1.1.2 255.255.255.0

=====vlan

vlan id范围:0~4095,可配置的值为1~4094,默认为1
=在没有定义vlna及接口类型前,默认下,交换机所有接口都是hybrid类型,接口的pvid是vlan1,即所有接口收到没有标签的二层数据帧,都被转发到vlan1中,并继续以untagged的方式把帧发送至同为vlan1的其他接口。所以,即使未做任何配置,主机之间默认仍然可以互相通信
 
0
S1
interface Ethernet0/0/1
port hybrid pvid vlan 10
port hybrid untagged vlan 10 30
interface Ethernet0/0/2
port hybrid pvid vlan 20
port hybrid untagged vlan 20 30
interface Ethernet0/0/3
port hybrid tagged vlan 10 20 30
interface Ethernet0/0/4
port hybrid pvid vlan 30
port hybrid untagged vlan 10 20 30
S2
interface Ethernet0/0/1
port hybrid tagged vlan 10 20 30
interface Ethernet0/0/2
port hybrid pvid vlan 10
port hybrid untagged vlan 10 30
interface Ethernet0/0/3
port hybrid pvid vlan 20
port hybrid untagged vlan 20 30

=====单臂路由实现vlan间路由

通过一台路由器,使vlan间互通数据通过路由器进行三层转发。路由器接口有限,通过配置子接口来实现以一当多
vlan间通信可通过单臂路由方式实现,那么利用单臂路由实现数据转发会存在哪些潜在问题?如何解决 存在带宽、转发效率等问题
0
S1、S2、S3的vlan access、trunk配置略
R1
interface GigabitEthernet0/0/0.1
dot1q termination vid 10
ip address 10.1.1.2 255.255.255.0
arp broadcast enable
interface GigabitEthernet0/0/0.2
dot1q termination vid 20
ip address 20.1.1.2 255.255.255.0
arp broadcast enable
interface GigabitEthernet0/0/0.3
dot1q termination vid 30
ip address 30.1.1.2 255.255.255.0
arp broadcast enable

=====三层交换机实现vlan间路由

vlan将一个物理的lan在逻辑上划分成多个广播域。vlan内的主机间可以直接通信,而vlan间不能直接互通
vlanif接口是基于网络层的接口,可以配置ip地址。借助vlanif接口,三层交换机就能实现路由转发功能
0
 
interface Vlanif10
ip address 10.1.1.3 255.255.255.0
interface Vlanif20
ip address 20.1.1.2 255.255.255.0
interface MEth0/0/1
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10

=====接口工作模式

interface Ethernet0/0/1
undo negotiation auto #关闭自协商,更改接口速率等需要先关闭自协商
speed 10 #修改接口速率为10
duplex half #修改双工模式为半双工
interface Ethernet0/0/2
negotiation auto #开启自协商

=====arp及arp-proxy

arp,地址解析协议,将ip地址解析为mac地址,分为动态和静态两种类型
proxy arp,代理arp,当主机没有配置默认网管时,发送广播arp请求,使具有代理arp功能的路由器接收到请求,会使用自身的mac地址作为该arp请求的回应,使不同网段的主机可以通信
静态arp优先级高于动态,静态arp可以防止arp欺骗
配置arp代理,广播对网络影响增大,路由器用来分割广播,所以这种做法会影响网络,临时使用
开启arp代理,当ping 不存在的主机时,icmp echo报文在pc上丢掉还是路由器上
dis arp all #查看当前arp
arp static 10.1.1.1 5489-9876-1e51 #配置静态arp
interface GigabitEthernet0/0/1 #接口下配置arp代理
ip address 20.1.1.2 255.255.255.0
arp-proxy enable

=====stp

简单生成树协议,避免数据链路层出现环路
根交换机选举:比较交换机id,id由交换机优先级和mac地址组成,首先比较优先级,数值最低的为根交换机。其次比较mac地址,同样的,数值最低的为根交换机
根端口选举:根交换机接口都为指定端口。确定根交换机后,在每台非根交换机上选举根端口。选举时,首先比较该交换机上每个端口到达根交换机的根路径开销,路径开销最小的端口为根端口。如果跟路径开销值相同,则比较每个端口所在链路上的上行交换机id,如果该交换机id也相同,则比较每个端口所在链路上的上行端口id。每台交换机上只能拥有一个根端口
指定端口选举:每台非根交换机选举根端口之后,将在每个网段上选举指定端口,选举的比较规则和选举根端口类似。
在什么场景下,选举根端口、指定端口时会比较到端口id
undo info-center enable #关闭交换提示信息
stp enable #开启stp,华为交换机默认开启mstp
stp mode stp #改为普通stp模式
interface Ethernet0/0/4
stp edged-port enable #边缘端口配置,连接主机的不进行stp计算
dis stp brief #查看接口的stp摘要信息
dis stp #查看生成树详细信息
stp priority 0 #修改优先级为0,为主根交换机
stp root primary #同上
stp priority 4096 #修改优先级为4096,为备根交换机
stp root primary #同上
stp cost 10 #手动设置开销值10

=====mstp

mstp把一个交换网络划分为多个域,每个域内形成多课生成树,生成树之间彼此独立
mstp网络由一个或多个mst域组成,每个mst域中可以包含一个或多个msti,即mst实例。
mst域中含有一张vlan映射表,描述了vlan与msti之间的映射关系
默认情况下所有vlan都映射到msti 0中。msti之间彼此独立
华为交换机默认开启stp,且为mstp
 
0
s1配置
vlan batch 10 20
stp instance 2 root primary #配置s1的实例2为根交换机
stp region-configuration #进入mst视图
region-name huawei #配置mst域名为huawei
revision-level 1 #配置修订级别为1
instance 1 vlan 10 #指定vlan10映射到msti 1,
instance 2 vlan 20 #vlan20映射到msti 2
active region-configuration #激活mst域名
补充:在s2、s3做同样配置。在同一mst域中,必须具有相同的级别、域名、vlan到msti的映射关系
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface Ethernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface Ethernet0/0/3
port link-type access
port default vlan 10
dis stp brief #stp所有简要信息
dis stp instance 1 brief #stp实例1简要信息
dis stp region-configuration #stp区域配置信息
 

=====rstp

0
stp五种状态:discarding、blocking、listening、learning、forwarding,
rstp简化为三种状态:discarding、earning、forwarding,
stp端口类型:根端口、指定端口
rstp新增端口类型:alternate、backup
rstp快速收敛机制分三种:
1、proposal/agreement机制:当一个端口被选举成为指定端口之后。stp中,此端口至少要等待一个forward delay(learning)时间才会迁移到forwarding状态。而在rstp, 此端口状态变化discarding到forwarding,此机制必须在点到点全双工链路上使用
2、跟端口快速切换机制:如果网络中一个根端口失效,那么最优的alternate端口将成为根端口,进入forwarding
3、边缘端口的引入:在rstp中,如果一个指定端口不与其他交换设备连接,而是与终端设备直连,那么这个端口就是边缘端口。边缘端口不接收处理配置bpdu,不参与rstp运算,可以由disable直接转换到forwarding状态,不经历时延。。。
stp mode rstp #切换rstp
interface Ethernet0/0/1
stp edged-port enable #边缘端口配置
 

=====stp配置

[S2]display stp brief ====查看 STP 状态
[S1]stp mode stp
[S1]stp root secondary
display stp interface g0/0/9 ====查看 STP 接口状态

=====根桥选举

[S2]display stp ====查看当前根桥信息
[S1]undo stp root
[S1]stp priority 4096 ===修改桥优先级,越小越高

=====根端口选举

[S1]interface g0/0/9
[S1-GigabitEthernet0/0/9]stp port priority 32 ====更改端口优先级,默认为 128,数值越大越优

=====边缘端口配置

[S3-Ethernet0/0/13]stp edged-port enable ====无需经历 STP 计算,快速进入转发状态,主要针对于接服务器或主机
=====vlan
[S1-Eth-Trunk1]port link-type trunk ====启用 trunk,默认接口为 Hybird
[S1-Eth-Trunk1]port trunk allow-pass vlan all ====该 trunk 链路上允许所有 VLAN,默认禁用所有 VLAN 穿越
[S1]interface g0/0/1
[S1-GigabitEthernet0/0/1]port link-type access
[S1]vlan 3 ====创建 VLAN
[S1-vlan3]port g0/0/13 ====接口划入 VLAN
[S2]vlan batch 3 to 5 ====连续创建三个 VLAN
[S2]int g0/0/24
[S2-GigabitEthernet0/0/24]port link-type access
[S2-GigabitEthernet0/0/24]port default vlan 5

=====vlanif地址

[S3]interface Vlanif 1
[S3-Vlanif1]ip add 10.0.3.3 24
 
 
 

 

posted @ 2023-01-05 16:32  gpysir  阅读(360)  评论(0编辑  收藏  举报