基于eNSP+软考中级各类组网技术/综合实验
前言简介
由于华为近几年在国内的市场越来越大,网络工程师中的组网技术的题目都由思科变为了华为,所以华为的设备还是有必要学习一下的了;由于本文章只提供,在设计过程中的关键技术与设计笔记(可根据以下所提供的设计与实现步骤一步一步自行实现(每一条命令都是关键的命令) **。
1、路由器静态路由配置
(1)实验一:
步骤一:配置路由器以R1为例,R2、R3同理
<Huawei>system-view
[Huawei]un in en
Info: Information center is disabled.
[Huawei]sysname R1
[R1]interface g0/0/1 //进入g0/0/1接口
[R1-GigabitEthernet0/0/1]ip address 10.1.1.1 24 //配置g0/0/1IP地址
[R1-GigabitEthernet0/0/1]quit
[R1]interface g0/0/2
[R1-GigabitEthernet0/0/2]ip address 10.1.4.1 30
[R1-GigabitEthernet0/0/2]quit
[R1]ip route-static 10.1.2.0 24 10.1.4.2 //配置静态路由
//目的网段 子网掩码 下一跳
[R1]ip route-static 10.1.3.0 24 10.1.4.2
[R1]quit
<R1>save
同理R2的静态路由:
//配置静态路由
[R2]ip route-static 10.1.1.0 24 10.1.4.1 //配置静态路由
//目的网段 子网掩码 下一跳
[R2]ip route-static 10.1.3.0 24 10.1.5.2
步骤二:配置PC机的ip和网关,以PC1为例,其他同理
IP地址:10.1.1.2
子网掩码:255.255.255.0
网关:10.1.1.1
步骤三:测试是否互通
用PC1去ping机子PC2和PC3,如果出现一下界面即可
(2)实验二:照葫芦画瓢
仿照着上一个实验配置
2、交换机基本配置命令
(1)命令解析、查看MAC
undo info-center enable //关闭域名解析
//可简写为un in en
<Switch1>display interface Vlanif 5
//显示vlanif 5接口的MAC地址
(2)配置名称、管理vlan、IP地址
<Huawei> //用户视图提示符
<Huawei>system-view //进入系统视图
[Huawei]undo info-center enable //关闭域名解析
Info: Information center is disabled.
[Huawei]sysname Switch1 //修改设备名称为Switch1
[Switch1]vlan 5 //创建交换机管理vlan5
[Switch1-vlan5]management-vlan //管理vlan
[Switch1-vlan5]quit
[Switch1]interface Vlanif 5 //创建交换机管理vlanif
[Switch1-Vlanif5]ip address 10.10.1.1 24 //配置vlanif接口IP地址
[Switch1-Vlanif5]quit
(3)远程登录Telnet
[Switch1]telnet server enable //打开telnet服务
Info: The Telnet server has been enabled.
[Switch1]user-interface vty 0 4 //开启vtp路线模式
[Switch1-ui-vty0-4]protocol inbound telnet //配置telnet协议
[Switch1-ui-vty0-4]authentication-mode aaa //配置认证方式
[Switch1-ui-vty0-4]quit
[Switch1]aaa
[Switch1-aaa]local-user admin password cipher huawei
//simple:明文密码 cipher:密文密码
//配置用户名和密码,用户名不区分大小写,密码区分大小写
[Switch1-aaa]local-user admin privilege level 15 //将admin账号设置为15
[Switch1-aaa]quit
[Switch1]quit
<Switch1>save //保存
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:
Now saving the current configuration to the slot 0.
Save the configuration successfully.
<Switch1>
(4)端口隔离
[Switch1]port-isolate mode l2 //配置端口隔离模式为二层隔离三层互通
[Switch1]interface g0/0/1
[Switch1-GigabitEthernet0/0/1]port-isolate enable group 1
[Switch1-GigabitEthernet0/0/1]quit
[Switch1]interface g0/0/2
[Switch1-GigabitEthernet0/0/2]port-isolate en
[Switch1-GigabitEthernet0/0/2]port-isolate enable group
[Switch1-GigabitEthernet0/0/2]port-isolate enable group 1
[Switch1-GigabitEthernet0/0/2]quit
[Switch1]quit
<Switch1>save
3、交换机VLAN实验
(1)实验一:基于gvrp划分vlan
配置第一步:交换机LSW1和LSW2的基本配置
LSW1:
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]sysname SwitchA
[SwitchA]gvrp
[SwitchA]vlan 2 //创建一个vlan2
[SwitchA-vlan2]quit
[SwitchA]int vlan2 //进入vlan2
[SwitchA-Vlanif2]ip address 192.168.1.254 24
LSW2:
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname SwitchB
[SwitchB]gvrp
[SwitchA]vlan 2 //创建一个vlan2
[SwitchA-Vlanif2]ip address 192.168.1.254 24
第二步:交换机LSW1和LSW2的端口配置
LSW1:
[SwitchA]int g0/0/1
[SwitchA-GigabitEthernet0/0/1]port link-type access //与连接PC1的端口链路类型设置为access
[SwitchA-GigabitEthernet0/0/1]port default vlan 2 //将端口G0/0/1加入vlan 2
[SwitchA-GigabitEthernet0/0/1]int g0/0/2
[SwitchA-GigabitEthernet0/0/2]port link-type trunk //将交换机互联的端口链路类型设置为trunk
[SwitchA-GigabitEthernet0/0/2]port trunk allow-pass vlan all //将端口G0/0/2加入vlan2
LSW2:
[SwitchB]int g0/0/1
[SwitchB-GigabitEthernet0/0/1]port link-type access //与连接PC1的端口链路类型设置为access
[SwitchB-GigabitEthernet0/0/1]port default vlan 2 //将端口G0/0/1加入vlan 2
[SwitchB-GigabitEthernet0/0/1]int g0/0/2
[SwitchB-GigabitEthernet0/0/2]port link-type trunk //将交换机互联的端口链路类型设置为trunk
[SwitchB-GigabitEthernet0/0/2]port trunk allow-pass vlan all //将端口G0/0/2加入vlan2
第三步:交换机LSW1和LSW2配置GVRP
LSW1:
[SwitchA]int g0/0/2
[SwitchA-GigabitEthernet0/0/2]gvrp //开启gvrp
LSW2:
[SwitchB]int g0/0/2
[SwitchB-GigabitEthernet0/0/2]gvrp
第四步:配置PC1和PC2的IP
PC1的IP地址:192.168.1.1
网关:192.168.1.254
子网掩码:255.255.255.0
PC2的IP地址:192.168.1.2
网关:192.168.1.254
子网掩码:255.255.255.0
PC1上:ping 192.168.1.2
PC2上:ping 192.168.1.1
最后测试能ping即可
(2)实验二:照葫芦画瓢
这个就比实验一简单的一点,就只用配置一个交换机即可
4、动态路由RIP实验
实验前必知:
(1)实验一:
配置:
步骤一:配置各接口:R1/R2/R3(都如此)
R1:
<Huawei>system-view
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 192.168.1.1 24
R2:
<Huawei>system-view
[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.2 24
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 10.10.0.1 24
步骤二:配置RIP协议
R1:
[Huawei]rip
[Huawei-rip-1]network 192.168.1.0
[Huawei-rip-1]return
<Huawei>save
R2:
[Huawei]rip
[Huawei-rip-1]network 192.168.1.0
[Huawei-rip-1]network 10.0.0.0
[Huawei-rip-1]return
<Huawei>save
R3:
[Huawei]rip
[Huawei-rip-1]network 10.0.0.0
[Huawei-rip-1]return
<Huawei>save
步骤三:display ip routing、ping
R1:
Destination/Mask Proto Pre Cost NextHop
10.0.0.0/8 RIP 100 1 192.168.1.2
//目标网段 RIP获取 管理距离 下一跳
(2)实验二:
这里就以R2为例了,其他路由器的配置都是照葫芦画瓢的,就不全部展示配置了,都是一样的
<Huawei>system-view
[Huawei]interface g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.2.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.3.1 24
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]rip 1
[Huawei-rip-1]version 2
[Huawei-rip-1]network 192.168.3.0
[Huawei-rip-1]network 192.168.2.0
[Huawei-rip-1]return
<Huawei>save
反正最后要像这样ping的通的
(3)实验三:照葫芦画瓢
5、动态路由OSPF实验
(1)实验一:
配置:
第一步:配置各个路由器的各个接口的IP地址,这里就不配置了,我想大家都知道,
第二步:开通OSPF
[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.200.10.4 0.0.0.3
// 网络号/网络地址 反掩码
[R1-ospf-1-area-0.0.0.0]area 1
[R1-ospf-1-area-0.0.0.1]network 192.1.0.128 0.0.0.63
R2:
[R2]ospf
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 192.200.10.4 0.0.0.3
[R2-ospf-1-area-0.0.0.0]area 2
[R2-ospf-1-area-0.0.0.2]network 192.1.0.64 0.0.0.63
[R2-ospf-1-area-0.0.0.2]qui
[R2-ospf-1]qui
[R2]qui
<R2>save
R3:
[R3]ospf
[R3-ospf-1-area-0.0.0.2]area 1
[R3-ospf-1-area-0.0.0.1]network 192.1.0.128 0.0.0.63
[R3-ospf-1-area-0.0.0.1]re
<R3>save
R4:
[R4]ospf
[R4-ospf-1]area 2
[R4-ospf-1-area-0.0.0.2]network 192.1.0.64 0.0.0.63
[R4-ospf-1-area-0.0.0.2]qui
[R4-ospf-1]qui
[R4]qui
<R4>save
第三步:验证ping、display ip routing、dis cu
最后用R3去ping路由器R4可以ping通即可,返过来也可以
6、动态路由IS-IS实验
(1)实验一:
第一步:配置IP地址(默认配置IP地址就都会了就略过了)
第二步:配置IS-IS:
R1:
[R1]isis //开启全局ISIS配置
[R1-isis-1]network-entity 10.0000.0000.0001.00
[R1-isis-1]quit
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]isis enable //开启这个端口的ISIS服务
[R1-GigabitEthernet0/0/0]quit
[R1]quit
<R1>save
R2:
[R2]isis //开启全局ISIS服务
[R2-isis-1]network-entity 10.0000.0000.0002.00
[R2-isis-1]quit
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]isis enable
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]isis enable //开启该端口的ISIS服务
[R2-GigabitEthernet0/0/1]quit
[R2]quit
<R2>save
R3和这个R1一样的配置就可以,这里就略过了
(2)实验二:照葫芦画瓢
因为这里我也没有现成的这个topo了,所以就找了一个来代替一下吧
以下是这个实验的配置,需要的话就参考一下吧:
7、路由DHCP实验
(1)实验一:
第一步:配置IP地址
<Huawei>system-view
[Huawei]un in en
[Huawei]sysname R1
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/0]quit
[R1]ip pool PC //创建地址池名字为PC//看看ip dhcp pool PC可否
Info:It's successful to create an IP address pool.
[R1-ip-pool-PC]gateway-list 192.168.1.254 //获取网关
[R1-ip-pool-PC]network 192.168.1.0 mask 24 //分配网段
[R1-ip-pool-PC]quit
第二步:开启DHCP配置:
[R1]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]dhcp select global //基于global分配
[R1-GigabitEthernet0/0/0]quit
<R1>save
2、基于interface接口配置
第一步:配置ip
[R3-GigabitEthernet0/0/0]ip address 192.168.2.254 24
第二步:开启DHCP
[R3]dhcp enable
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]dhcp select interface//用于该端口
最后测试:在PC机上使用DHCP获取IP地址模式
在命令行中输入ipconfig看是否能自动获取IP地址,如下图所示:
(2)实验二:照葫芦画瓢
8、访问控制列表ACL
(1)实验一:
要求:PC1和PC3不能通信
配置:
第一步:配置ip地址,就是按照图片中的配置IP地址
第二步:配置静态路由或RIP全网连通(此处以静态路由为例)
静态路由:
[R1]ip route-static 192.168.20.0 24 192.168.12.2
// 目的网段 网关 下一跳
[R2]ip route-static 192.168.10.0 24 192.168.12.1
// 目的网段 网关 下一跳
第三步:配置ACL、ACL规则,并应用
配置ACL禁止PC3与PC1之间的访问:
<R2>system-view
[R2]acl 3000
[R2-acl-adv-3000]rule 5 deny ip source 192.168.20.3 0.0.0.255 destination 192.168.10.1 0.0.0.255
//前是源网段 反掩码 后是目的网段 反掩码
//表示的是拒绝20.3这个网段访问10.1这个网段(整个网段)
//(还以表示为[R2-acl-adv-3000]rule 5 deny ip source 192.168.20.3 0 destination 192.168.10.1 0)此处的0表示的是主机数(阻止20.3的访问IP地址为10.1这个地址)
[R2-acl-adv-3000]quit
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R2-GigabitEthernet0/0/0]quit
第四步:验证ACL。display acl 3000、dis cu、 dis acl all、ping命令
如果使用ping命令的话用PC1去ping机子pc3不会通其他的都应该通才对
(2)实验二:照葫芦画瓢
这里就是随便画了一个topo图片,就不配置了,这里给大家一个类似的要求就是:PC1和PC4不能通信吧,这里就自己配置了哟
9、单臂路由实验
(1)实验一:
第一步:配置PC机IP地址
第二步:配置Switch交换机
SW1:
[SW1]vlan batch 10 20
[SW1]int e0/0/2
[SW1-Ethernet0/0/2]port link-type access//设置02端口为access口
[SW1-Ethernet0/0/2]port default vlan 10
[SW1-Ethernet0/0/2]int e0/0/3
[SW1-Ethernet0/0/3]port link-type access//设置03端口为access口
[SW1-Ethernet0/0/3]port default vlan 20
[SW1-Ethernet0/0/3]int e0/0/1
[SW1-Ethernet0/0/1]port link-type trunk
[SW1-Ethernet0/0/1]port trunk allow-pass vlan 10 20
[SW1-Ethernet0/0/1]int e0/0/4
[SW1-Ethernet0/0/4]port link-type trunk
[SW1-Ethernet0/0/4]port trunk allow-pass vlan 10 20
[SW1-Ethernet0/0/4]quit
SW2:
<Huawei>system-view
[Huawei]un in en
[Huawei]sysname SW2
[SW2]vlan batch 10 20 //批量创建vlan 10 和vlan20
[SW2]int e0/0/1
[SW2-Ethernet0/0/1]port link-type trunk //设置01口为trunk
[SW2-Ethernet0/0/1]port trunk allow-pass vlan 10 20 //允许10 20通过
[SW2-Ethernet0/0/1]int e0/0/2
[SW2-Ethernet0/0/2]port link-type access
[SW2-Ethernet0/0/2]port default vlan 10
[SW2-Ethernet0/0/2]int e0/0/3
[SW2-Ethernet0/0/3]port link-type access
[SW2-Ethernet0/0/3]port default vlan 20
[SW2-Ethernet0/0/3]quit
第三步:配置Router路由器
<Huawei>system-view
[Huawei]un in en
[Huawei]sysname R1
[R1]interface g0/0/0.1 //进入一个逻辑端口0.1
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 10
[R1-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24 //设置IP地址
[R1-GigabitEthernet0/0/0.1]arp broadcast enable //开启arp
[R1-GigabitEthernet0/0/0.1]quit
[R1]interface g0/0/0.2 //进入一个逻辑端口0.2
[R1-GigabitEthernet0/0/0.2]dot1q termination vid 20
[R1-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24
[R1-GigabitEthernet0/0/0.2]arp broadcast enable
第四步:在SW1和SW2上测试vlan
SW1:dis vlan
10 common UT:Eth0/0/2(U)
TG:Eth0/0/1(U) Eth0/0/4(U)
20 common UT:Eth0/0/3(U)
TG:Eth0/0/1(U) Eth0/0/4(U)
SW2:dis vlan
10 common UT:Eth0/0/2(U)
TG:Eth0/0/1(U)
20 common UT:Eth0/0/3(U)
TG:Eth0/0/1(U)
(2)实验二:照葫芦画瓢
10、地址转换NAT技术实验
(1)实验一:
转换的话分为静态NAT、动态NAT、NAPT配置、easy IP的转换,图都用同一个topo图进行实验模拟配置
1、静态的NAT转换
步骤一:配置PC机的IP地址、网关、子网掩码
PC1:192.168.1.1 255.255.255.0 192.168.1.254
PC2:192.168.1.2 255.255.255.0 192.168.1.254
PC3:192.168.2.1 255.255.255.0 192.168.2.254
步骤二:配置路由器R1、R2地址
R1:
[Huawei]sysname R1
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.10.1.1 24
R2:
[Huawei]sysname R2
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip address 10.10.1.2 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip address 192.168.2.254 24
步骤三:配置静态nat
<R1>system-view
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat static glo
[R1-GigabitEthernet0/0/1]nat static global 172.16.1.1 inside 192.168.1.1
//将192.168.1.1转换为172.16.1.1地址
2、动态NAT(PC机和路由器的IP地址不变)
R1:
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]undo nat static global 172.16.1.1 inside 192.168.1.1
//删除刚才的静态nat
[R1]nat address-group 1 172.16.1.1 172.16.1.5
//分配一个地址1.1-1.5
[R1]acl 2000 //创建一标准的ACL
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255//允许1.0网段通过
[R1-acl-basic-2000]quit
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat //运用在这个端口上
这个时候ping1.0网段不通:可以配置R2的静态路由,在ping的同时可以抓取R2中g0/0/0端口数据包查看
PC>ping 10.10.1.2
Ping 10.10.1.2: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
给R2配置静态路由:
<R2>system-view
[R2]ip route-static 172.16.1.0 24 10.10.1.1
//目的网段 子网掩码 下一跳
//这个时候在ping就可以通了
PC>ping 10.10.1.2
Ping 10.10.1.2: 32 data bytes, Press Ctrl_C to break
From 10.10.1.2: bytes=32 seq=1 ttl=254 time=47 ms
From 10.10.1.2: bytes=32 seq=2 ttl=254 time=93 ms
3、NAPT配置
也是需要ACL规则和地址池的,接上面的R2静态路由
R1:
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 no-pat
//删除刚才的动态nat
[R1]nat address-group 1 172.16.1.1 172.16.1.5
//分配一个地址1.1-1.5
[R1]acl 2000 //创建一标准的ACL
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255//允许1.0网段通过
[R1-acl-basic-2000]quit
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //运用在这个端口上
4、easy IP
也需要ACL规则但是不需要地址池
<R1>system-view
[R1]un in en
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000
(2)实验二:照葫芦画瓢
11、IPV6配置
(1)ipv6静态路由
配置:
R5:
<Huawei>sy
[Huawei]ipv6 //开启ipv6
[Huawei]interface g0/0/0 //进入端口
[Huawei-GigabitEthernet0/0/0]ipv6 enable //端口开启ipv6
[R1-GigabitEthernet0/0/0]ipv6 address 2000::1 64 //配置ipv6地址
[R1-GigabitEthernet0/0/0]quit
[R1]ping ipv6 2001::1 //这个时候是ping不同的,因为没有路由
[R1]dis ipv6 routing-table 2001::1 //检查路由信息
[R1]ipv6 route-static 2001:: 64 2000::2 //配置静态路由
// 相当于ipv4里的 网络地址 掩码 下一跳
[R1]ping ipv6 2001::1 //这个时候就可以ping通了
R6:
<Huawei>sys
[Huawei]sysname R2
[R2]ipv6
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ipv6 enable
[R2-GigabitEthernet0/0/0]ipv6 add 2000::2 64
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ipv6 enable
[R2-GigabitEthernet0/0/1]ipv6 add 2001::2 64
(2)ipv6动态路由配置(ospf)
配置:
R5:
[Huawei]ipv6 //开启ipv6
[Huawei]interface g0/0/0 //进入端口
[Huawei-GigabitEthernet0/0/0]ipv6 enable //端口开启ipv6
[R1-GigabitEthernet0/0/0]ipv6 address 2000::1 64 //配置ipv6地址
[R1-GigabitEthernet0/0/0]quit
[R1]ospfv3
[R1-ospfv3-1]router-id 1.1.1.1
[R1-ospfv3-1]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ospfv3 1 area 0 //进入这个接口划分区域
R6:
<Huawei>sy
[Huawei]syname R2
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ipv6 enable
[R2-GigabitEthernet0/0/0]ipv6 add 2000::2 64
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ipv6 enable
[R2-GigabitEthernet0/0/1]ipv6 add 2001::2 64
[R2-GigabitEthernet0/0/1]quit
[R2]ospfv3 //开启ospf
[R2-ospfv3-1]router-id 2.2.2.2
[R2-ospfv3-1]q
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ospfv3 1 area 0
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ospfv3
[R2-ospfv3-1]qu
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ospfv3 1 a
[R2-GigabitEthernet0/0/1]ospfv3 1 area 0
[R2-GigabitEthernet0/0/1]quit
[R2]display ospfv3 //查看ospf的配置
[R2]display ospfv3 peer //查看ospf的邻居关系
OSPFv3 Process (1)
OSPFv3 Area (0.0.0.0)
Neighbor ID Pri State Dead Time Interface Instance ID
1.1.1.1 1 Full/DR 00:00:32 GE0/0/0 0
[R2]display ipv6 routing-table protocol ospfv3 //查看这个ospf的学习情况
现在R5就可以ping通PC机了
12、eNSP中的虚拟设备与本机互通实验
实验前的回环网卡配置
步骤1:右键此电脑点击“管理”,点击“设备管理”
步骤2:点击网络适配器,点击“操作”后点击“添加过时硬件”
步骤3:点击下一步
步骤4:选择手动安装
步骤5:找到网路适配器后点击下一步
步骤6:选择微软的回环网卡
步骤7:点击下一步
步骤8:点击完成
在更改适配器中看到以下界面即可:
(1)实验一:
步骤一:配置回环网卡的IP地址
步骤二:云的配置
UDP选项中点击添加
添加回环网卡
选择回环网卡选择入口编号和出口编号分别为1,2,后点击增加即可
步骤二:配置PC1IP地址
步骤三:测试ensp中的PC1和本机是否互通:
这里如果PC1ping本机的话需要关闭本机的防火墙,不然本机可以pingPC1而ensp里面的PC1机不能ping同本机;或者有时需要重启一下这个电脑
如果双方都可以ping通就是这个样子的
(2)实验二:照葫芦画瓢
13、ensp使用web登录防火墙
(1)实验一:
步骤一:先拉出云,仿照以上实验进行配置云
步骤二:连接好线后进行配置防火墙的端口IP地址,如果在进行第一次配置防火墙的实验时需要一下组件对防火墙配置
Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:
Please enter new password:
Please confirm new password:
Info: Your password has been changed. Save the change to survive a reboot.
*************************************************************************
* Copyright (C) 2014-2018 Huawei Technologies Co., Ltd. *
* All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
*************************************************************************
<USG6000V1>sy
Enter system view, return user view with Ctrl+Z.
[USG6000V1]un in en
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.2.3 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
[USG6000V1-GigabitEthernet0/0/0]quit
[USG6000V1]quit
<USG6000V1>save
步骤三:本机的终端中ping防火墙看是否能ping通
步骤四:在浏览器中输入192.168.2.3(如果出现不可访问之类的,就点击高级,点击继续访问)出现以下界面,用户名:admin 密码是修改后的密码
用web管理相当于是进行一个可视化的配置和监管
(2)实验二:防火墙NAT简单转换
步骤一:配置PC和server服务器IP地址
PC:
IP地址:192.168.1.1 网关:192.168.1.254
server:
IP地址:200.1.1.1 网关:200.1.1.254
步骤二:防火墙和路由器的端口配置
FW:
<USG6000V>sys
[USG6000V]sysname FW1
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 192.168.1.254 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24
[FW1]ip route-static 0.0.0.0 0 10.1.1.2 //静态路由并指向下一跳
AR:
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 10.1.1.2 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 200.1.1.254 24
步骤三:防火墙的安全策略
[FW1]firewall zone trust //防火墙的信任区
[FW1-zone-trust]add int g1/0/0
[FW1]firewall zone untrust //防火墙的非信任区
[FW1-zone-untrust]add int g1/0/1
[FW1]security-policy
[FW1-policy-security]rule name t_u
[FW1-policy-security-rule-t_u]source-zone trust
[FW1-policy-security-rule-t_u]destination-zone untrust
[FW1-policy-security-rule-t_u]action permit //允许他们通信
步骤四:配置nat转换
[FW1]nat-policy
[FW1-policy-nat]rule name s //制定一个规则
[FW1-policy-nat-rule-s]source-address 192.168.1.0 24 //源网段
[FW1-policy-nat-rule-s]source-zone trust //源网段是信任区
[FW1-policy-nat-rule-s]destination-zone untrust //目的网段是不信任区
[FW1-policy-nat-rule-s]action source-nat easy-ip //进行nat转换
14、基于ensp组网技术的综合实验
(1)实验一:所有的主机互通(静态/RIP)
实验要求:要求所有的PC能够互通
可以基于静态路由的也可以是基于RIP等的方法,这里基于静态路由拉力完成该实验
配置PC机的IP地址这里就不配置了,直接进行路由器的配置
<Huawei>
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/0]
[R1-GigabitEthernet0/0/0]display this
[V200R003C00]
#
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
#
return
[R1-GigabitEthernet0/0/0]quit
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 172.16.0.1 24
[R1-GigabitEthernet0/0/2]ip address 172.16.1.1 24
[R1-GigabitEthernet0/0/2]quit
[R1]display current-configuration
[R1]display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 13 Routes : 13
Destination/Mask Proto Pre Cost Flags NextHop Interface
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
172.16.0.0/24 Direct 0 0 D 172.16.0.1 GigabitEthernet0/0/1
172.16.0.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1
172.16.0.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1
172.16.1.0/24 Direct 0 0 D 172.16.1.1 GigabitEthernet0/0/2
172.16.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2
172.16.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/2
192.168.1.0/24 Direct 0 0 D 192.168.1.254 GigabitEthernet0/0/0
192.168.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0
192.168.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
[R1]
接下来就是配置静态路由:
在R1、R2和R3中配置静态路由,使得PC1至PC3的流量从PC1->R1->R2->PC3,PC3至PC1的流量从PC3->R3->PC1.
R1中静态路由配置:
<R1>
<R1>system-view
Enter system view, return user view with Ctrl+Z.
[R1]ip route-static 192.168.2.0 255.255.255.0 172.16.0.2
[R1]ip route-static 192.168.3.0 255.255.255.0 172.16.1.3
R2中的静态路由配置:
<R2>
<R2>system-view
Enter system view, return user view with Ctrl+Z.
[R2]ip route-static 192.168.1.0 255.255.255.0 172.16.0.1
[R2]ip route-static 192.168.3.0 255.255.255.0 172.16.2.3
R3的静态路由配置:
<R3>
<R3>system-view
Enter system view, return user view with Ctrl+Z.
[R3]ip route-static 192.168.1.0 255.255.255.0 172.16.1.1
[R3]ip route-static 192.168.2.0 255.255.255.0 172.16.2.2
使用ping命令测试PC1和PC3能否互通,并用wireshark在R2胡g0/0/0和g0/0/2口抓包观察两个方向流量的去向,验证配置是否正确。
R2的g0/0/0口抓包结果:
R2的g0/0/2口抓包结果:
使用arp -a命令查看PC1,PC3ARP缓存,使用dispaly arp命令查看R1,R2,R3中的ARP缓存。
使用display ip routing table命令查看R1,R2,R3中的路由表。
使用display mac-address命令查看S1,S2,S3的mac地址表。
在R1、R2和R3中配置静态路由,使得PC1,PC3,PC5互通。
实验总结:分析拓扑工作原理,并通过仿真去验证分析过程。
(2)实验二:模拟钓鱼网站仿真(模拟百度)
此实验需要借助一个叫Cain的工具来完成,简单原理就是ARP欺骗
1、还是的选一下回环网卡,并配置回环网卡的IP地址,我的的是配置为192.168.2.2
2、配置PC、server和R的IP地址(PC1就可以访问web server)(这里就不做多的配置了,直接照着topo图的配置IP地址即可)(这个时候PC就可以访问我们的web server服务器了)
3、配置DNS的配置转发,域名是www.baidu.com,转发的地址是100.0.0.1,并启动
现在用PC就可以通过域名访问web server
4、启动cain进行ARP欺骗
4.1、如果出现这种情况就右键以管理员身份运行
打开就是这个样子的
4.2、配置选择我们的回环网卡
4.3、扫描MAC地址
这个时候我们就可以扫描到了我们在ensp中2.0这个网段的IP地址(包括PC、DNS server、钓鱼server的IP地址和MAC地址)
4.4、配置ARP
跳出来的地址左边选2.1,右边两个都选中后点击确定即可,如图
4.5、配置DNS,访问www.baidu.com时转发到2.200处
4.6、开启ARP欺骗,如果跳出对话框先不用管
如下图所示,直接点击确定即可:
4.7、回到PC中再次ping www.baidu.com看看效果
这个收我们发现ping baidu.com不是转发到100.0.0.1而是转发到了192.168.2.200去了
到此说明模拟实验成功
(3)实验三:防火墙综合实验
首先设置好每个接口的IP地址,g0/0/0
口除外,这是防火墙的本地口,默认设置192.168.0.1
并且划分到Trust
区域
Local->FW1:
Please configure the password:Admin@123
sys
un in en
sysname FW
int g1/0/0
ip address 192.168.1.1 24
int g1/0/1
ip address 177.7.7.1 24
int g1/0/2
dis ip int brief
接下来对接口地址进行区域划分
Local->FW1:
sys
firewall zone trust
add int g1/0/0
quit
firewall zone dmz
add int g1/0/2
quit
firewall zone untrust
add int g1/0/1
接下来配置第一个要求:Trust区域可以访问DMZ区域
,先需要在防火墙上建立一条Trust
区域到DMZ
区域的策略,后然在Trust
区域的R1上配置一条缺省路由即可
Local->FW1:
sys
security-policy
rule name trust_to_dmz
source-zone trust
destination-zone dmz
action permit
dis this
Trust->R1:
sys
ip route-static 0.0.0.0 0 192.168.1.1
dis ip routing-table
验证Trust
能否访问DMZ
区域
接下来看第二条要求,trust区域可以访问unstrust区域
首先需要一条trust到untrust的策略,其次因为untrust是外网,不会接受内网192.168.1.7
的包,需要做一个NAT源地址转换
Local->FW1:
sys
security-policy
rule name trsut_to_untrust
source-zone trust
destination-zone untrust
action permit
quit
quit
nat-policy
rule name trust_nat_untrsut
source-zone trust
destination-zone untrust
action source-nat easy-ip
dis this
验证Trust访问untrsut
第三条要求:unstrust区域可以访问DMZ区域
Local->FW1:
sys
security-policy
rule name untrust_to_dmz
source-zone untrust
destination-zone dmz
action permit
Untrust->R2:
sys
ip route-static 0.0.0.0 0 177.7.7.1
dis this
最后一个要求:trust区域可以访问防火墙,防火墙可以访问所有区域
,首先,要使得Trust
能访问防火墙,需要进入对应接口,允许对应服务,防火墙访问所有区域只需要一条策略允许即可
Local->FW1:
sys
int g1/0/0
service-manage ping permit
quit
security-policy
rule name local_to_any
source-zone local
destination-zone any
action permit
dis this
(4)实验三:基于eNSP的千人中型校园/企业网络规划
这里就直接看这里吧,基于ENSP的千人中型校园/企业网络规划+拓扑图+具体的配置和步骤
总的拓扑图是长这个样子的,如图所示: