软考网络规划师复习第三章：认识设备命令行

正文共：7654 字 51 图，预估阅读时间：9 分钟

目录

网络之路第一章：Windows系统中的网络

0、序言
1、Windows系统中的网络
 1.1、桌面中的网卡
 1.2、命令行中的网卡
 1.3、路由表
 1.4、家用路由器

网络之路第二章：认识企业设备

2、认识企业设备
 2.1、MSR810-W外观
 2.2、登录MSR810-W管理页面
 2.3、快速设置上网
 2.4、WLAN配置
 2.5、LTE模块配置
 2.6、MSR810-W高级设置

3、认识设备命令行

首先，我们先大概看一下MSR810-W这台设备可以支持哪些软件功能，可以通过以下链接进行查看。

https://www.h3c.com/cn/d_202301/1750183_30005_40.htm#_Toc123235443

可以看到，按业务类型大概可以分为局域网协议、广域网协议、IP服务、非IP服务、IP应用、IP路由、MPLS、SD-WAN特性、IPv6、AAA、防火墙、安全技术、可靠性、二层QoS、流量监管、拥塞管理、拥塞避免、流量整形、SIP、网络管理、本地管理、用户接入管理等等。

3.1、通过Console接口登录设备

我们先从最基础的部分开始，那就是登录设备的命令行。在这之前，我们要先给设备接好线。

在上图中，我们分别在设备的CONSOLE接口、WAN接口（GE0）和LAN接口（GE2）都插了线，这3个接口都是RJ-45类型的网线口，WAN接口和LAN接口（GE0-GE4）可以直接插网线，但是CONSOLE接口需要使用指定的Console线。

如上图所示，设备自带的Console线的一端是RJ-45网线口，另一端是RS-232的9针串口（DB9母口），需要电脑上带有串口（一般台式机会有，笔记本基本看不到了）；或者通过USB转串口线来转接使用，一般是下面这种转接线。

也就是说，对于笔记本电脑，一般要组合使用前面提到的这两种类型的线。当然，也可以一步到位，直接使用USB转RJ45的串口线，就是我现在用的这种。

有部分设备更新了使用Micro-USB的Console接口，可以使用扁口的USB线进行配置操作。

接好线之后，就可以通过软件登录设备了。出于版权的问题，现在已经不建议使用破解版的CRT和Xshell了，避免给公司惹祸上身。可以使用PuTTY或超级终端，也可以和我一样，使用MobaXterm软件，之前也介绍过（HCL与Pipe、Autoit和MobaXterm的组合使用）。

以使用Console接口为例，我们先点击“Sessions”菜单下面的“New Session”来新建一个会话，协议选择“Serial”，“Serial port”在驱动安装正常的情况下可以直接下拉选择，速率保持默认的9600，将“Flow control”流控选项修改为“None”，否则会无法交互。

如果使用其他软件，也请参考如上设置：Data bits/数据位，9；Stop Bits/停止位，1；Parity/奇偶校验，无；Flow control/流控，无。

远程登录一般指通过网络登录设备，只能在设备正常加载且运行正常的情况下才能使用，而使用Console除了接入位置受Console线长短的限制之外，功能是最完整的。比如可以看到完整的设备加载过程：

System is starting...
Press Ctrl+D to access BASIC-BOOTWARE MENU
Booting Normal Extended BootWare
Do you want to check SDRAM? [Y/N]
****************************************************************************
*                                                                          *
*                   H3C MSR810 BootWare, Version 1.50                      *
*                                                                          *
****************************************************************************
Copyright (c) 2004-2017 New H3C Technologies Co., Ltd.
Compiled Date       : Mar 20 2017
CPU ID              : 0xa
CPU L1 Cache        : 32KB
CPU L2 Cache        : 256KB
Memory Type         : DDR3 SDRAM
Memory Size         : 1024MB
Flash Size          : 256MB
PCB Version         : 2.0
BootWare Validating...
Press Ctrl+B to access EXTENDED-BOOTWARE MENU...
Loading the main image files...
Loading file flash:/msr810-cmw710-system-r0605p18.bin.......................
..................................Done.
Loading file flash:/msr810-cmw710-wifidog-r0605p18.bin...Done.
Loading file flash:/msr810-cmw710-wwd-r0605p18.bin...Done.
Loading file flash:/msr810-cmw710-security-r0605p18.bin....Done.
Loading file flash:/msr810-cmw710-voice-r0605p18.bin....Done.
Loading file flash:/msr810-cmw710-data-r0605p18.bin......Done.
Loading file flash:/msr810-cmw710-boot-r0605p18.bin.........Done.
Image file flash:/msr810-cmw710-boot-r0605p18.bin is self-decompressing.....
............................................................................
............................................................................
............................................................................
............................................................................
............................................................................
............................................................................
............................................................................
............Done.
System image is starting...
Cryptographic Algorithms Known-Answer Tests are running ...
CPU 0 of slot 0:
Starting Known-Answer tests in the user space.
Known-answer test for SHA1 passed.
Known-answer test for SHA224 passed.
Known-answer test for SHA256 passed.
Known-answer test for SHA384 passed.
Known-answer test for SHA512 passed.
Known-answer test for HMAC-SHA1 passed.
Known-answer test for HMAC-SHA224 passed.
Known-answer test for HMAC-SHA256 passed.
Known-answer test for HMAC-SHA384 passed.
Known-answer test for HMAC-SHA512 passed.
Known-answer test for AES passed.
Known-answer test for RSA(signature/verification) passed.
Known-answer test for RSA(encrypt/decrypt) passed.
Known-answer test for DSA(signature/verification) passed.
Known-answer test for random number generator passed.
Known-Answer tests in the user space passed.
Starting Known-Answer tests in the kernel.
Known-answer test for AES passed.
Known-answer test for HMAC-SHA1 passed.
Known-answer test for SHA1 passed.
Known-answer test for GCM passed.
Known-answer test for GMAC passed.
Known-answer test for random number generator passed.
Known-Answer tests in the kernel passed.
Starting Known-Answer tests in the engine.
Known-answer test for SHA1 passed.
Known-answer test for HMAC-SHA1 passed.
Known-answer test for AES passed.
Known-answer test for RSA(signature/verification) passed.
Known-answer test for RSA(encrypt/decrypt) passed.
Known-answer test for DSA(signature/verification) passed.
Known-answer test for random number generator passed.
Known-Answer tests in the engine passed.
Cryptographic Algorithms Known-Answer Tests passed.
Line con0 is available.
Press ENTER to get started.

比如说我们可以通过命令查看设备的版本信息，命令是display version，直译就是显示版本。

3.2、远程登录设备

我们前面已经掌握了如何登录设备的WEB页面（网络之路4：快速上手企业路由器MSR810-W），在WEB页面中的“系统工具”下面，选择“远程管理”，可以看到Telnet、SSH和HTTP/HTTPS这几种远程服务的管理配置。

一般比较常用的就是Telnet，我们在Telnet页签中，点击“Telnet服务”后面的按钮启用服务，端口使用默认的23即可。

因为Telnet是明文传输的（从报文交互看Telnet协议的安全系数），所以一般建议使用SSH（Secure Shell，安全外壳）来实现安全的远程访问以及文件传输。设备作为SSH服务器，可以提供Stelnet（Secure Telnet，安全的Telnet）、SFTP（SecureFTP，安全的FTP）和SCP（Secure Copy，安全的复制）功能。

HTTP/HTTPS服务主要是调整登录端口号，如果我们将HTTP登录端口修改为80以外的端口，我们再登录设备就要带端口号了，如http://172.16.113.1:8080。

设备开启了服务之后，我们就要配置对应的管理账户，从上图可以看到，目前admin账户可用的服务为Telnet和WEB（HTTP/HTTPS），我们点击后面的编辑按钮把SSH的权限也开一下。

配置完这些之后，我们就能远程登录设备了。

先用Telnet登陆一下，命令如下：

telnet 172.16.113.1

退出的命令就是quit，直译就是退出的意思。

再用SSH登陆一下，命令如下：

ssh admin@172.16.113.1

当我们开启了SCP服务之后，我们就能通过MobaXterm自带的SCP工具访问设备的文件目录了。

CLI是用户与设备之间的文本类指令交互界面。用户输入文本类命令，通过输入回车键提交设备执行相应命令，从而对设备进行配置和管理，并可以通过查看输出信息确认配置结果。

3.3、Comware系统的基本命令

H3C设备的操作系统普遍使用自研的Comware系统，该系统和华为的系统命令如出一辙，配置命令和配置结构高度相似。如果您希望通过命令行配置设备的相关功能，需要您有一定的设备或网络相关的英语词汇基础，大概比高中生的词汇量稍微丰富一点；如果是北京的学生，可能小学的词汇量就够了。

system-view

用户主要接触的命令视图分为两个大类：用户视图和系统视图。

用户登录设备后，直接进入用户视图，也就是命令行显示<H4C>的视图。用户视图下可执行的操作主要包括查看操作、调试操作、文件管理操作、设置系统时间、重启设备、FTP和Telnet操作等。

从用户视图可以通过system-view命令进入系统视图，直译就是“系统视图”。系统视图下能对设备运行参数以及设备功能进行配置，当然也可以通过特定命令切换到响应的功能视图下面，如接口视图、OSPF视图等等。

在任一视图下输入quit即可返回上一视图。

那如果在用户视图输入quit呢？

答案是退出命令行了。

？和TAB键

想要了解某命令视图下支持的命令情况，可以在该命令视图提示符后输入“？”。

如果忘记某一个命令的全称，可以输入命令的前几个字符，然后输入“？”，系统会自动匹配以这几个字符开头的所有命令。

如果熟悉命令的话，不需要将命令的全部字符输完，仅需要输入前几个字符，使用TAB键，系统会自动补齐该命令。如果有多个候选命令时，连续敲击TAB键，命令会自动切换。如果使用过kali系统（配置Kali通过MSTSC连接远程桌面），会对这个操作比较熟悉。

display current-configuration

使用display current-configuration命令，可以查看系统当前的运行配置，直译就是“显示当前配置”。如果对上一个命令有所熟悉，你会发现dis只能补全出display，后面的cu只能补全出current-configuration，这时仅仅使用dis cu即可实现同样的效果。

如果没显示完整，像这种有More的，按回车Enter键一次多显示一行，按空格键多显示一屏（约23行）。如果需要中止查看，可以按组合键Ctrl + C。

sysname

在系统视图下可以修改系统配置，命令众多，我们以最简单的sysname为例来简单示范一下，详细命令请参考《配置指导》和《命令参考》。

使用sysname后面加上1-64位长度的字符即可重新命名设备，直译就是“系统名称”，修改后的配置会写入到运行配置当中。

display saved-configuration

前面提到，dis cu查看的是运行中的配置，为什么特别指出是运行配置呢？因为他没有保存到系统文件中。如果设备异常重启或者不保存配置重启，变更的配置是会丢失的。

以演示环境为例，可以看到系统名称已经更改为H5C了，保存的配置文件还是H4C，那如果直接断电重启，系统名称就成了H4C了。

该命令直译为“显示保存的配置”，比查看运行配置要多敲一个字符，也就是dis sav。

save

既然运行配置未保存不安全，那怎么保存呢？很简单，就是save（保存）就可以了。

但是命令也不简单，输完save要输入y确认保存，按回车不改变配置名称，再输入y覆盖配置。那有没有简单一点的呢？

有，save force了解一下。

最简命令仅需要s f两个字母。

undo

如果要删除某条配置时，可以使用undo命令进行逐条删除。对于有默认值的配置，删除之后会恢复默认配置。

dir、pwd、cd

配置文件保存之后，保存在设备存储之中，一般是Flash，有时候也可能是cf。使用pwd（print working directory，打印工作目录）命令可以查看当前所在的目录位置，和Linux是一样的。使用dir命令可以显示当前路径下的所有文件列表。

通过cd（change directory）可以更改工作目录，和Linux也是一样的。

也可以使用dir直接查看文件夹下的文件。

reset saved-configuration

使用undo命令可以一条一条的删除配置，在部分视图下支持default命令，可以将当前视图的配置恢复默认配置。

如果整个设备配置都不要了，可以使用reset saved-configuration命令，直译为“重置保存的配置”，该命令可以删除已经保存的配置文件。

其实功能和delete是一样的。

注意清空配置之后需要不保存当前配置重启，这样重启之后就是默认配置了。

more

如果保存配置时，保存了多个名称的配置文件，该怎么查看配置内容呢？

这时候要用到more命令了，more加上文件名称即可显示文件内容。

通过对比，就可以看到配置差异了。当然了，基本上可以支持查看所有文本文件。

3.4、MSR810-W配置解读

可以看出，命令整体上都是由比较简单的英语词汇组成的。在对网络还不了解之前，我们能不能通过字面意思对设备的整体配置有一个大致的了解呢？

首先，我们使用“display current-configuration”命令，查看系统当前的运行配置，我会对配置进行简要介绍。

“#”的作用类似于程序中注释字符，在配置文件中用于将两段配置信息隔开，我们可以在“#”后面添加描述信息，在将配置刷入设备时，不影响设备运行，不写入设备配置。

#设备的版本号信息。

version 7.1.064, Release 0821P17

#系统名称是H3C。

sysname H3C

#WLAN的全局配置。

wlan global-configuration

#使能Telnet服务器。

telnet server enable

如果我们想批量写入配置，可以复制命令，然后把这些命令粘贴到设备命令行的系统视图下，如下所示：

可以看到，我们粘贴的“#+中文字符”并没有写入到运行配置中。

#安全域中的内部域默认允许，作用是允许同安全域之间的流量互访。

security-zone intra-zone default permit

#拨号组89的规则是允许IP协议。

dialer-group 89 rule ip permit

#IP协议的负载分担模式是逐流、源IP地址、全局有效。

ip load-sharing mode per-flow src-ip global

#DHCP使能，即启用DHCP服务器；DHCP服务器总是广播，用来开启DHCP服务器的广播回应报文功能。（配合DHCP实验讲解一下DHCP考题）

dhcp enable
dhcp server always-broadcast

#DNS代理使能，用来开启DNS代理功能。

dns proxy enable

#系统运行模式标准，密码恢复使能。

system-working-mode standard
password-recovery enable

#表示设备上存在VLAN 1。

vlan 1

#DHCP服务器IP池，名称是lan1，网关列表172.16.113.1，网络172.16.113.0，掩码255.255.255.0，地址范围172.16.113.100到172.16.113.254，DNS列表223.5.5.5，禁止IP地址范围172.16.113.1到172.16.113.1。

dhcp server ip-pool lan1
 gateway-list 172.16.113.1
 network 172.16.113.0 mask 255.255.255.0
 address range 172.16.113.100 172.16.113.254
 dns-list 223.5.5.5
 forbidden-ip-range 172.16.113.1 172.16.113.1

有缩进表示在配置时会进入到对应的配置模块，在实际操作时，方括号[]里面会增加显示对应的配置模块信息：

#APN（Access Point Name，接入点名称）配置profile69，APN动态。

apn-profile profile69
 apn dynamic

#WLAN服务模板h3c，SSID是h4c，AKM（Authentication and Key Management，身份认证与密钥管理）模式是PSK（Pre-Shared Key，预共享密钥），预共享密钥的密码词语是加密的一串字符，加密套件是CCMP（Counter mode with CBC-MAC Protocol，计数器模式搭配CBC-MAC协议）和TKIP（Temporal Key Integrity Protocol，临时密钥完整性协议），安全IE（Information Element，信息元素）是RSN（Robust Security Network，健壮安全网络，又称WPA2）和WPA（Wi-Fi Protected Access，Wi-Fi保护访问），服务模板使能。

wlan service-template h3c
 ssid h4c
 akm mode psk
 preshared-key pass-phrase cipher $c$3$yDQAmBvLfh7K4X6UuyMWQ9tn35m05PG5BMCNLw==
 cipher-suite ccmp
 cipher-suite tkip
 security-ie rsn
 security-ie wpa
 service-template enable

# WLAN服务模板h4c，SSID是h5c，AKM模式是PSK，预共享密钥的密码词语是加密的一串字符，加密套件是CCMP和TKIP，安全IE是WPA，服务模板使能。

wlan service-template h4c
 ssid h5c
 akm mode psk
 preshared-key pass-phrase cipher $c$3$B4RrjDDQQ856nj8fTPTPPksSUyMRQWsInCkP/Q==
 cipher-suite ccmp
 cipher-suite tkip
 security-ie wpa
 service-template enable

# WLAN服务模板h5c，SSID是h6c，AKM模式是PSK，预共享密钥的密码词语是加密的一串字符，加密套件是CCMP和TKIP，安全IE是RSN（也成WPA2），服务模板使能。

wlan service-template h5c
 ssid h6c
 akm mode psk
 preshared-key pass-phrase cipher $c$3$EGyZvhdMhEJlYDZ2tCVC617xk17Ojk1wdF7U4w==
 cipher-suite ccmp
 cipher-suite tkip
 security-ie rsn
 service-template enable

# WLAN服务模板h6c，SSID是h7c，服务模板使能。

wlan service-template h6c
 ssid h7c
 service-template enable

#控制器Cellular0/0，用于配置配置3G/4G Modem模块。（MSR810-LM快速配置通过LTE模块上网）

controller Cellular0/0

#控制器Cellular0/1。

controller Cellular0/1

#接口Dialer0，用于PPPoE拨号。（拨号有公网IP地址了，肯定要通过DDNS用起来啊！）

interface Dialer0

#接口Dialer1。

interface Dialer1

#接口Dialer2。

interface Dialer2

#接口Dialer3。

interface Dialer3

#接口Dialer4。

interface Dialer4

#接口Dialer5。

interface Dialer5

#接口Dialer6。

interface Dialer6

#接口Dialer7。

interface Dialer7

#接口Dialer8。

interface Dialer8

#接口Dialer1023。

interface Dialer1023

#接口NULL0。

interface NULL0

#接口VLAN（虚）接口1，描述是LAN-interface，IP地址172.16.113.1，掩码255.255.255.0，TCP MSS（Maximum Segment Size，最大段长度）是1280字节。（TCP 选项和最大分片大小 (MSS)）

interface Vlan-interface1
 description LAN-interface
 ip address 172.16.113.1 255.255.255.0
 tcp mss 1280

这里的VLAN虚接口没有具体的物理接口与之对应，用于终结VLAN 1的报文，因为二层交换接口的默认VLAN ID是1，此时对应Untagged终结，用来终结收到的不带VLAN Tag的报文，再将报文进行三层转发或交由其他业务处理。

#接口GigabitEthernet0/0（千兆以太网0/0），端口链路类型为路由模式，描述是Single_Line1，IP地址（通过）DHCP分配（allocated），TCP MSS是1280字节，（使能）NAT出方向，即出此接口的报文，匹配NAT地址转换。

interface GigabitEthernet0/0
 port link-mode route
 description Single_Line1
 ip address dhcp-alloc
 tcp mss 1280
 nat outbound

#接口GigabitEthernet0/5，端口链路类型为路由模式。

interface GigabitEthernet0/5
 port link-mode route

#接口GigabitEthernet0/1，端口链路类型为桥接模式。

interface GigabitEthernet0/1
 port link-mode bridge

#接口GigabitEthernet0/2，端口链路类型为桥接模式。

interface GigabitEthernet0/2
 port link-mode bridge

#接口GigabitEthernet0/3，端口链路类型为桥接模式。

interface GigabitEthernet0/3
 port link-mode bridge

#接口GigabitEthernet0/4，端口链路类型为桥接模式。

interface GigabitEthernet0/4
 port link-mode bridge

#接口WLAN射频0/0，绑定了服务模板h3c、h4c、h5c、h6c，信道带宽为40 MHz。

interface WLAN-Radio0/0
 service-template h3c
 service-template h4c
 service-template h5c
 service-template h6c
 channel band-width 40

#安全域名称Local。

security-zone name Local

#安全域名称Trust。

security-zone name Trust

#安全域名称DMZ。

security-zone name DMZ

#安全域名称Untrust。

security-zone name Untrust

#安全域名称Management。

security-zone name Management

#调度程序日志文件尺寸为16KB。

scheduler logfile size 16

#（用户）线类型console，指通过console接口登录的用户，用户角色为网络管理员。

line class console
 user-role network-admin

#（用户）线类型TTY（True Type Terminal，实体类型终端），用户角色为网络操作员。

line class tty
 user-role network-operator

#（用户）线类型USB，用户角色为网络管理员。

line class usb
 user-role network-admin

#（用户）线类型VTY（Virtual Type Terminal，虚拟类型终端），指通过Telnet或SSH登录的用户，用户角色为网络操作员。

line class vty
 user-role network-operator

#（用户）线接口console 0，用户角色为网络管理员。

line con 0
 user-role network-admin

#（用户）线接口VTY 0到63，认证模式为（用户名和密码）组合认证，用户角色为网络操作员。

line vty 0 63
 authentication-mode scheme
 user-role network-operator

#信息中心的日志主机为127.0.0.1，端口为3301；信息中心的源为CFGLOG模块，日志主机的级别为信息。

info-center loghost 127.0.0.1 port 3301
info-center source CFGLOG loghost level informational

#性能管理。

performance-management

#SSH服务器使能，SCP服务器使能。

ssh server enable
scp server enable

#取消密码控制的老化使能，取消密码控制的长度使能，取消密码控制的历史使能，密码控制的更新间隔0小时（无限制），密码控制的登录超时时间0天（无限制），取消密码控制复杂性用户名检查，取消密码控制修改密码第一次登录使能。这里面每一行都是一个检查项，取消使能表示不检查。

undo password-control aging enable
undo password-control length enable
undo password-control history enable
password-control update-interval 0
password-control login idle-time 0
undo password-control complexity user-name check
undo password-control change-password first-login enable

#域system。

domain system

#域默认使能system。

domain default enable system

#角色名称level-0，描述为预定义的level-0角色。结合RBAC（Role Based Access Control，基于角色的访问控制）使用。

role name level-0
 description Predefined level-0 role

#角色名称level-1，描述为预定义的level-1角色。

role name level-1
 description Predefined level-1 role

#角色名称level-2，描述为预定义的level-2角色。

role name level-2
 description Predefined level-2 role

#角色名称level-3，描述为预定义的level-3角色。

role name level-3
 description Predefined level-3 role

#角色名称level-4，描述为预定义的level-4角色。

role name level-4
 description Predefined level-4 role

#角色名称level-5，描述为预定义的level-5角色。

role name level-5
 description Predefined level-5 role

#角色名称level-6，描述为预定义的level-6角色。

role name level-6
 description Predefined level-6 role

#角色名称level-7，描述为预定义的level-7角色。

role name level-7
 description Predefined level-7 role

#角色名称level-8，描述为预定义的level-8角色。

role name level-8
 description Predefined level-8 role

#角色名称level-9，描述为预定义的level-9角色。

role name level-9
 description Predefined level-9 role

#角色名称level-10，描述为预定义的level-10角色。

role name level-10
 description Predefined level-10 role

#角色名称level-11，描述为预定义的level-11角色。

role name level-11
 description Predefined level-11 role

#角色名称level-12，描述为预定义的level-12角色。

role name level-12
 description Predefined level-12 role

#角色名称level-13，描述为预定义的level-13角色。

role name level-13
 description Predefined level-13 role

#角色名称level-14，描述为预定义的level-14角色。

role name level-14
 description Predefined level-14 role

#用户组system。

user-group system

#本地用户admin，类型为manage（管理员），密码是HASH加密之后的一串字符，服务类型包括SSH、Telnet、Terminal（Console）、HTTP、HTTPS，认证属性的用户角色是网络管理员。

local-user admin class manage
 password hash $h$6$d9Rxvh54Xv/7wPQz$jB9tvwF5jyLbpr9qfM2WLKOl8itedxTOASQLqsHubuPi4X0DKKmU/qDbAVQYTwIVM6roAQiHujHBDPzPvyTAAw==
 service-type ssh telnet terminal http https
 authorization-attribute user-role network-admin

#IP的HTTP服务器使能，WEB超时时间为60分钟，WEB使用新风格。

ip http enable
web idle-timeout 60
web new-style

#URL过滤策略是custom，严重级别为65535，意为最严重。

url-filter category custom severity 65535

因为命令行整体上都是由比较简单的英语词汇组成的，在我们不太熟悉的情况下，也可以参考命令手册完成设备的简单配置；而且，我们还可以使用复制粘贴的方式，将命令导入到设备中。

3.5、MSR810-W初始化配置

之前做技术支持的时候，经常有客户打电话问，“我这里新买了一台设备，应该怎么用啊？”这个时候往往客户的需求是比较简单的，只要用最简单的方法能配置上网就可以了。以我们手头的MSR810-W为例，一般的需求不外乎以下2点：

1、需要使用PPPOE拨号的方式连接到互联网；

2、需要开启DHCP功能，为终端动态分配IP地址。

如果有额外的需求，那可能会是以下配置：

3、需要使用设备的WLAN功能，连接一些无线用户，最好地址跟有线用户分开；

4、可能用户有两条线路，需要做主备链路或者负载分担。

那我们就以新设备为例，介绍一下上面4个需求怎么配置。

3.5.1、DHCP配置

比较友好的是，像MSR810-W这种低端设备，默认开启了DHCP功能，只要将电脑接入到LAN口下面，即可自动获取到192.168.0.1/23网段的地址。（网络之路4：快速上手企业路由器MSR810-W）

并且设备默认配置了一个admin账户，密码也是admin，可以直接通过Web浏览器远程登录设备。

首次登陆会提示修改密码。

登陆成功之后，可以在“网络设置→LAN配置”中的“LAN配置”调整内网网关、DHCP地址池等配置。点击接口后面的修改按钮。

根据自身需求进行修改即可。

如果是通过Console线登录设备命令行（网络之路7：登录设备命令行），可以使用如下配置：

#
dhcp enable
dhcp server always-broadcast
#
dns proxy enable
#
vlan 1
 tcp mss 1280
 ip address 172.16.113.1 255.255.255.0
#可以按需调整gateway-list、network、address range、dns-list等参数。
dhcp server ip-pool lan1
 gateway-list 172.16.113.1
 network 172.16.113.0 mask 255.255.255.0
 address range 172.16.113.100 172.16.113.254
 dns-list 223.5.5.5
 forbidden-ip-range 172.16.113.1 172.16.113.1
#可以修改ip address参数来变更接口IP地址。
interface Vlan-interface1
 description LAN-interface

3.5.2、PPPOE拨号配置

对于拨号，肯定是需要账号密码的，所以需要将以下命令中PPPOE拨号的账号密码进行替换。示例中的账号为17703180318，密码为770318。

#
dialer-group 10 rule ip permit
#
interface Dialer10
 ppp chap password simple 770318
 ppp chap user 17703180318
 ppp ipcp dns request
 ppp pap local-user 17703180318 password simple 770318
 dialer bundle enable
 dialer-group 10
 dialer timer idle 0
 dialer timer autodial 60
 ip address ppp-negotiate
 nat outbound
#
interface GigabitEthernet0/0
 pppoe-client dial-bundle-number 10
#
ip route-static 0.0.0.0 0 Dialer10

配置完成之后，可以通过以下命令查看Dialer拨号口的地址获取状况。

display interface brief

通过以下命令查看设备路由信息，有全0的这条路由就可以了。

或者可以直接测试访问公网是否正常。

可能Web的配置更简单一些，在“快速设置”中选择“单WAN场景”，点击下一步。

线路选择接线的“WAN0(GE0)”口，输入账号密码即可。

然后是LAN配置，保持默认或自定义修改。

确认配置。

一般来讲，到这里WAN口的配置就OK了。做完前两步，终端已经能够通过有线正常上网了。

3.5.3、开启设备WLAN功能

WLAN设备的几个关键参数就是SSID和PSK密钥，在以下配置中，SSID为H4C，PSK密钥为tiejunge，可以替换之后直接刷入。（网络之路5：MSR810配置WLAN和LTE）

之前介绍过一个无线速率最高只能协商到54M的问题（无线网络中的几个小操作），还记得吗？

使用TKIP以及WEP加密方式，无线速率最高只能协商到54M，而不加密或者使用CCMP方式，则可以协商到正常速率。

所以配置中加密套件cipher-suite使用ccmp，安全信息元素security-ie使用wpa和rsn（wpa2）。再将无线服务模板绑定到射频口下即可。

#
wlan service-template h4c
 ssid H4C
 vlan 10
 akm mode psk
 preshared-key pass-phrase simple tiejunge
 cipher-suite ccmp
 security-ie rsn
 security-ie wpa
 service-template enable
#
interface WLAN-Radio0/0
 service-template h4c
 channel band-width 40

最后的channel band-width 40是什么意思呢？是射频的带宽，默认是band-width 20，也就是20 M，此时无线速率最大到144 Mbps；如果配置为40 M，最大无线速率可以协商到300 Mbps。（【科普文】为什么无线速率分144M、300M、866M？怎么来的？）

上面的配置在WEB页面进行操作更方便一些，直接在“网络设置→WLAN配置”的“无线服务”中，点击“添加”，并填入关键信息即可。

这里使用了VLAN10，那对应的就要增加一个VLAN10的虚接口以及一个DHCP地址池。

#
interface Vlan-interface10
 ip address 172.16.192.1 255.255.255.0
#
dhcp server ip-pool wlan
 gateway-list 172.16.192.1
 network 172.16.192.0 mask 255.255.255.0
 dns-list 114.114.114.114

这样，有线用户就是192.168.0.0/23网段的地址，无线用户就是172.16.192.0/24网段的地址了。

3.5.4、双WAN配置

这台MSR810-W默认有两个三层口：GE0/0和GE0/5，但是GE0/5是光口，一般普通场景用到的可能性比较小。所以如果需要用双WAN口，那就得把1-4中的一个二层口切换为三层口。

因为GE0/4口挨着GE0/0口，那就拿他开刀吧。

#
interface GigabitEthernet0/4
 port link-mode route

我们假设接口GE0/4使用固定IP地址，地址为12.23.34.45/24，网关为12.23.34.1/24。因为固定IP地址带宽比较小，所以作为备用线路。

#
interface GigabitEthernet0/4
 port link-mode route
 ip address 12.23.34.45 255.255.255.0
 dns server 8.8.8.8
 dns server 114.114.114.114
 nat outbound
#
ip route-static 0.0.0.0 0 12.23.34.1 preference 100

因为设备不支持负载均衡，但是我们也可以使用策略路由实现负载分担（一条100M宽带 + 一条200M宽带 = 300M，怎么就有人不信呢？）。需要注意Dialer0和GE0/4两个接口工作在负载分担模式，默认会按照配置顺序逐包轮流选择有效的出接口转发，大流量时可能会增加设备负载，影响转发性能。

#
acl advanced 3402
 rule 0 permit ip
#
policy-based-route wan permit node 10
 if-match acl 3402
 apply loadshare output-interface
 apply output-interface Dialer10
 apply output-interface GigabitEthernet0/4
#
interface Vlan-interface1
 ip policy-based-route wan
#
interface Vlan-interface10
 ip policy-based-route wan

如果要完整的双WAN+WLAN的配置，那就是下面这样的。

#
dialer-group 10 rule ip permit
#
ip load-sharing mode per-flow src-ip global
#
dhcp enable
dhcp server always-broadcast
#
dns proxy enable
#
vlan 1
#
vlan 10
#
dhcp server ip-pool lan1
 gateway-list 192.168.0.1
 network 192.168.0.0 mask 255.255.254.0
 address range 192.168.1.2 192.168.1.254
 dns-list 192.168.0.1
#
dhcp server ip-pool wlan
 gateway-list 172.16.192.1
 network 172.16.192.0 mask 255.255.255.0
 dns-list 114.114.114.114
#
policy-based-route wan permit node 10
 if-match acl 3402
 apply loadshare output-interface
 apply output-interface GigabitEthernet0/4
 apply output-interface Dialer0
#
wlan service-template h4c
 ssid H4C
 vlan 10
 akm mode psk
 preshared-key pass-phrase simple tiejunge
 cipher-suite ccmp
 security-ie rsn
 security-ie wpa
 service-template enable
#
interface Dialer10
 ppp chap password simple 770318
 ppp chap user 17703180318
 ppp ipcp dns request
 ppp pap local-user 17703180318 password simple 770318
 dialer bundle enable
 dialer-group 10
 dialer timer idle 0
 dialer timer autodial 60
 ip address ppp-negotiate
 nat outbound
#
interface Vlan-interface1
 ip address 192.168.0.1 255.255.254.0
 ip policy-based-route wan
#
interface Vlan-interface10
 ip address 172.16.192.1 255.255.255.0
 ip policy-based-route wan
#
interface GigabitEthernet0/0
 port link-mode route
 pppoe-client dial-bundle-number 0
#
interface GigabitEthernet0/4
 port link-mode route
 ip address 12.23.34.45 255.255.255.0
 dns server 8.8.8.8
 dns server 114.114.114.114
 nat outbound
#
interface WLAN-Radio0/0
 service-template h4c
 channel band-width 40
#
ip route-static 0.0.0.0 0 Dialer0
ip route-static 0.0.0.0 0 12.23.34.1 preference 100
#
acl advanced 3402
 rule 0 permit ip

 后台回复“网络规划师”获取备考2022年网络规划师的复习资料。

长按二维码
关注我们吧

网络之路第一章：Windows系统中的网络

网络之路第二章：认识企业设备

为什么8.8.8.8从全球访问都很快?

DNS被劫持是什么意思？DNS被劫持有什么解决方案？

笔记本电脑安装CentOS系统

在笔记本上装完KVM，发现VirtIO的性能比E1000高出不少

VirtIO的转发性能竟然比E1000和VMXNET3都要好

CentOS和OpenEuler转发性能对比

CentOS 7.9遗忘了root密码怎么办？

Linux修改或移除GRUB密码

安装激活Office LTSC专业增强版2021

目前来看，通义千问好像勉强能喝ChatGPT-3.5打个平手！

快速部署VMware ESXi 8.0（图文版）