网络工程师-中级

Chapter 1 ENSP Configuration Commands

# 进入系统视图
<Huawei>system-view

# 保存配置设置，y是确认保存
<Huawei>save        ...Y

# 开启中文提示
<Huawei>language-mode Chinese        ...Y

# 关闭信息中心
[Huawei]undo info-center enable

# 修改设备名称
[Huawei]sysname R1

# 关闭提示的命令
[Huawei] undo terminal monitor

进入接口，配置IP和子网掩码
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address <ip-address> <mask>
GigabitEthernet表示千兆以太网

# 显示 IP 接口简要信息
[Huawei]display ip interface brief

# 查看路由表
[Huawei]display ip routing-table

# 检查当前设备的所有配置信息
[huawei]display current-configuration

# 查看设备上所有接口的 IP、物理和链路层状态
[huawei]display ip interface brief

# 配置以太网端口GE0/0/1在自协商模式下协商速率为100Mb
[Switch]interface GigabitEthernet0/0/1
[Switch-GigabitEthernet0/0/1]negotiation auto
[Switch-GigabitEthernet0/0/1]auto speed 100

# 配置以太网端口GE0/0/1自协商模式下双工模式为全双工/半双工
[Switch-GigabitEthernet0/0/1]duplex <full / half>

# 注意：需要先关闭auto自适应模式才能配置 全双工/半双工 模式
[Switch-GigabitEthernet0/0/1]undo negotiation auto

Chapter 2 Static and Default Routes

静态路由 static route 

缺省路由 default route

# 查看路由表中的静态路由信息
[Huawei]display ip routing-table protocol static

# 配置静态路由
[Huawei]ip route-static <destination-address> <subnet-mask> <next-hop-address>

# 配置缺省路由
[huawei]ip route-static 0.0.0.0 0.0.0.0 <next-hop-address>

Chapter 3 Networking Technology

3.1 Switching technology

3.1.1 Switching Technology Overview

Layer 2 Switching Technology

Layer 3 Switching Technology

3.1.2 VLAN

1. 系统视图
2. 创建VLAN（配置完以后，路由器从3开始，交换机从5开始）
3. 进入VLAN接口
4. 添加ip地址/网关
5. 进入端口（GE0/0/1）
6. 配置端口类型（ACCESS/TRUNK）
7. 绑定端口（ACCESS）/允许VLAN通过（TRUNK） 

VLAN segmentation method

• 基于端口的静态划分
• 基于子网的动态划分
• 基于匹配策略的动态划分
• 基于MAC地址的动态划分
• 基于网络层协议的动态划分

基于MAC地址划分VLAN Steps：

1. 创建VLAN
2. 将PC的mac地址与vlan <vlan-id>关联
3. 配置端口为混合模式
4. 配置端口抹除VLAN <vlan-id>标记
5. 启动基于MAC地址的VLAN

Intra-VLAN and Inter-VLAN Communication

不同VLAN间通讯

A 抹除VLAN标记进行通讯（该操作在交换机上执行）

1. 在交换机上创建VLAN
2. 进入接口端口
3. 端口配置hybrid混合模式
4. 端口配置缺省VLAN
5. 端口抹除双方的VLAN标记

Configuration Commands

# 查看vlan接口
[huawei]display vlan

# 创建VLAN
[huawei]vlan <number>

# 删除VLAN
[huawei]undo vlan <number>

# 进入VLAN
[huawei]int vlan <number>

# 创建多个连续的VLAN
[huawei]vlan batch 2 to 10

# 批量添加VLAM
[huawei]vlan batch 2 5 8  
[huawei]vlan batch 3 6 9 10 to 20

# 删除端口VLAN
[huawei-GigabitEthernet0/0/1]undo port default vlan 2

# 配置端口类型
# 访问类型
[Switch-GigabitEthernet0/0/1]port link-type access

# 端口绑定VLAN
[Switch-GigabitEthernet0/0/1]port default vlan <vlan-id>

# 中继类型
[Switch-GigabitEthernet0/0/1]port link-type trunk

# 允许通过的VLAN：
[Switch-GigabitEthernet0/0/1]port trunk allow-pass vlan <all 或 <vlan-id>>

# 混合类型
[Switch-GigabitEthernet0/0/1]port link-type hybird

# 绑定缺省VLAN（对内）
[Switch-GigabitEthernet0/0/1]port hybird pvid vlan <vlan-id>

# 抹除VLAN标记（对外）
[Switch-GigabitEthernet0/0/1]port hybird untaggedvlan <vlan-id>

# 打开端口
[huawei-GigabitEthernet0/0/1] undo shutdown

# 关闭端口
[huawei-GigabitEthernet0/0/1] shutdown

# 将PC的mac地址与vlan <vlan-id>关联
[Switch-vlan<vlan-id>]mac-vlan mac-address <1234-5678-ABCD>
注意：mac-address正常格式12-34-56-78-AB-CD

# 配置端口抹除VLAN <vlan-id>标记
[Switch-GigabitEthernet0/0/1]port hybrid untagged vlan <vlan-id>

# 启动基于MAC地址的VLAN：
[Switch-GigabitEthernet0/0/1]mac-vlan enable

GARP

通用属性协议注册协议

主要建立一种属性传递扩散的机制，以保证协议实体能够注册和注销该属性

简单的说：简化网络配置VLAN操作，通过GVRP的VLAN自动注册功能将设备上的VLAN信息快速复制到整个交换网，达到减少手工配置量，以及保证VLAN配置正确的目的

GARP提供802.1Q兼容的VLAN裁剪【VLAN pruning】功能和802.1Q中继端口【trunk port】上建立动态VLAN的功能。

交换机的初始状态是工作在透明模式，默认VLAN1，所有端口都属于VLAN1

normal模式：允许该端口动态注册VLAN或注销；传播动态或者静态VLAN

flex模式：禁止该端口动态注册或注销VLAN；值传播静态VLAN信息，不传播动态VLAN

forbidden模式：禁止该端口动态VLAN注册或者注销；不传播VLAN1以外的VLAN

common：手动创建的VLAN

dynamic：动态学习的VLAN

注意：动态学习的VLAN在设备上是不能进行配置的，需要创建静态VLAN才能使用，动态VLAN的作用就是传递信息。

Steps：

1. 进入系统视图
2. 开启gvrp
3. 进入接口
4. 开启接口gvrp
5. 配置gvrp模式

# 启动 GVRP
# 接口中启动 GVRP
# 配置 GVRP 模式

[Switch]gvrp
[Switch-Ethernet0/0/1]gvrp
[Switch-Ethernet0/0/1]gvrp registration <normal / fixe / forbidden>

Port-isolate

端口隔离组别（端口隔离功能）：[Switch-Ethernet0/0/1]port-isolate enable group 1 

port-isolate enable：开启命令

group 1 所属组别，有1-64可选

开启ARP代理功能：[Switch-Vlanif<vlan-id>]arp-proxy (inner/inter)-sub-vlan-proxy enable

这样的作用是：即使是同一个网关的设备，也需要经过一次网关，这样就是三层通讯

ARP代理功能

同一个VLAN打开代理功能:

arp-proxy inner-sub-vlan-proxy

在多个VLAN（VLANS）之间打开代理功能:

arp-proxy inter-sub-vlan-proxy

接着下面Steps的第6步：如果不开启ARP，同一VLAN下隔离的设备将不能互相间ping通，但是仍然能和没有隔离的设备互通。就如同二层三层均隔离的状况一样。

二层三层的隔离，隔离组中的设备间不能互通，但是能和未隔离的设备互通。

两种模式：

all模式：全部隔离

l2模式：二层隔离三层互通

注：二层通信：没有网关的情况通信

Working Principle：

二层隔离三层互通：隔离同一VLAN内的广播，但不同端口下的用户仍可进行三层通信

二层三层隔离：同一VLAN不同端口下的用户完全无法通信

3.2 Route Technology

The Role and Composition of the Router

The Role of the Router

Router Composition

Routing Table

Composition of the RoutingTable

Classification of routing

3.3 Routing Protocol

Basic Concept

3.3.1 IGP

内部网关路由协议，自治系统【AS】:执行统一策略的一组网络设别的组合

3.3.1.1 RIP

距离矢量路由协议

RIP向邻居发送整张路由表，并且以【跳数】作为唯一的度量值，根据【跳数】的多少选择最佳路由。其中，最大跳数为15跳，16为不可达状态。

经过一系列路由更新，直至完成完整的路由表的过程，称为收敛。

三种计时器

• 周期更新计时器【update time】

每30秒向RIP协议的接口发出路由更新信息。

• 路由老化计时器【age time】

一条链路若180秒没有收到更新，那么将标记为16（即：不可达状态）。

• 垃圾收集计时器【grabage collection time】

标记16的链路，若120秒没有收到更新，那么这条链路则被删除。

Two Versions

RIPv1

路由更新【不携带】子网掩码，属于有类路由协议【Classful】。

发送路由更新时，目标广播地址为广播地址：255.255.255.255

RIPv2

路由更新【携带】子网掩码，属于无类路由协议【Classless】。

发送路由更新时，目标广播地址为组播地址：224.0.0.9

报文封装在UDP中数据报中发送，占用端口号520

Distinctions：

1. RIPv1采用广播更新，RIPv2采用组播更新，并且v2采用触发更新机制来加速收敛，即路由变化立即更新，不像v1需要等待更新周期。
2. RIPv2支持可变长子网掩码【VLSM】和无类别域间路由【CIDR】，使网络的设计更具伸缩性。
3. RIPv2支持认证，使用经过散列的口令来限制路由更新信息的传播【RIPv2支持明文认证和MD5密文认证】。

Commonality：

1. 跳步计数来度量路由费用。
2. 允许的最大跳步数为15。
3. 优先值：华为100，Cisco120

防环问题

解决环路问题

水平分割【Split Horizon】：一条路由信息不会发送给该信息的来源。默认打开。

反向下毒：也称毒性逆转；华为设备默认关闭，需要手动打开；水平分割会被方向下毒替代。

触发更新

路由下毒

保持时间

最大度量值

配置RIP进程号：[Route]rip <number 1- 65535>

配置RIP版本：[Route-rip-<number>]version 2

宣告直连网段：[Route-rip-<number>]network <网段>

关闭自动汇总：[Route-rip-<number>]undo summary

关闭RIP功能(split-horizon)：[Route-GigabitEthernet0/0/1]undo rip split-horizon

打开毒性反转功能：[Route-GigabitEthernet0/0/1]rip poison-reverse

向其他路由器广播默认路由：[Route-rip-1]default-route originate

Steps：

1. 进入系统视图
2. 配置好各个端口ip地址
3. 配置rip进程号，同一进程号
4. 配置RIP版本
5. 宣告网段
6. 关闭自动汇总

Test

把后台运行的信息展现在前端，用完必须关闭，一直开启将占满CPU。

选择测试的RIP进程：<route>debugging rip <number>

显示信息：<route>terminal debugging

关闭所有的debugging信息：<route>undo debugging all

与BFD联动

BFD：双向转发检测

对RIPv1来说是一个辅助协议，它快速感知路由链路之间的故障，切换备用线路，能够快速地进行收敛，减少由于拓扑变化导致的流量丢失。

配置路由器接口的BDF特性

1. [Route]bfd
2. [Route]rip <number>
3. [Route-rip-<number>]bfd all-interfaces enable

配置BFD消息接收间隔（默认1000ms）、消息发送间隔和本地检测倍数（默认3倍）

[Route-rip-<number>]bfd all-interfaces min-rx-interval 1500 min-tx-interval 1500 detect-multiplier 6

3.3.1.2 OSPF

名称：链路状态路由协议

1） Working Principle：直连路由之间建立邻接关系，互相【交流】链路信息。来【画】出完整的网络结构。

2） Advantages and Disadvantages

Characteristic：

1. 开放式最短路径优先。
2. 为了相应大型网络，OSPF可以在AS内部划分多个区域。
3. 为了完整的链路状态信息，每个OSPF路由器只维护所在区域。
4. 采用目标地址224.0.0.5代表所有OSPF路由器。
5. 点到点网络每 10秒 发送一次保活信息，在NBMA网络中每 30秒 发送一次。
6. 使用组播共享路由信息，并且发布的是增量式的更新消息。
7. 使用分层网络结构，减少LSA的传播范围。同时，减少了网络拓扑变化时影响所有路由器的可能性。
8. 支持无类别域间路由和路由汇总功能，可以使用VLSM和CIDR技术。
9. 使用SPF算法不会在路由表中出现环路，这是距离矢量协议难以解决的问题。

Disadvantages：

1. 比距离矢量路由协议对CPU和存储器的要求更高。
2. 若在链路状态网络中出现了一条连续翻转（Flapping）的路由，特别时以10-15s的周期进行连续翻转时，这种情况会导致许多路由器的CPU不堪重负而崩溃。

3）Ingredient

3.1）Route Type

内部路由器：OSPF区域内的路由器。

ABR区域边界路由器：连接OSPF多个区域，起到区域连接和路由汇总的作用。

ASBR自治系统边界路由器：位于不同自治系统之间。

3.2）Area Type

骨干区域（Backbone Area）：Area 0标识，是OSPF的核心区域，所有其他区域都必须与骨干区域直接相连。

非骨干区域：

1. 标准区域（Standard Area）：除了骨干区域以外的所有区域。学习域内/间路由，也会学习外部引入的路由。<LSA1-5>
2. 末节区域（Stub Area）：也称末梢区域，不允许外部路由通告的区域。只学习域内/间路由。<LSA1-4>
3. 完全末节区域（Totally Stub Area）：也称完全末梢区域，不仅不允许外部路由的通告，还不接收区域间路由通告。只学习域内路由。<LSA1-2>
4. 非纯末节区域（Not-So-Stubby Area，NSSA）：也称非纯末梢区域，允许引入外部路由的末梢区域。学习域内/间路由，也学习本区域引入的外部路由。<LSA1-3、7>
5. 非纯完全末节区域：只学习域内路由和本区域引入的外部路由。

3.3）ROUTE ID

为什么要有？作用是什么

        route-id 是唯一的，用于标识路由器，并且用于识别信息来源。

[huawei]interface loopback 0
[huawei-LoopBack0]ip address 10.1.1.1 255.255.255.255

OSPF 中没有设置 ROUTE-ID的话 | Rules：

1. 选取 Loopback 接口中数值最高的 IP 地址
2. 没有 Loopback 接口，选取物理端口中数值最高的 IP 地址

Expanding Knowledge（LoopBack）：

1. 环回地址，用于测试使用。
2. 环回接口一经开启，会保持一直可用状态。
3. 可创建数量：<0-1023>一共1024个。

3.4）Database Type

1. 邻接关系表：列出路由器中 已经建立邻接关系 的邻居路由器信息。
2. 链路状态数据库：列出网络中其他的路由器信息，由此显示了全网的网络拓扑。
3. 路由表：通过SPF算法计算出每个相连网络的最佳路径。

3.5）建立邻接关系的过程

通过Hello报文建立

1. Down
2. Init【初始化】：互传hello=“”
3. 2way【双向状态】：互传hello=“<name>”。
4. Exstart【准启动状态】：协商路由器id大小，大主小从，互传DBD(Seq)数据库描述请求报文。
5. Exchange【准交换状态】：互传DBD数据库报文，数据是直连网段的汇总信息。
6. Loading【加载学习状态】：互传LSR链路状态请求报文，对方回复会LSU链路状态更新报文，收到以后会回复LSACK确认。
7. full【全毗邻状态】：双方都熟悉对方。

Warnings：

3.6）链路状态数据库

组成

每个路由器都创建了 由每个接口、对应的相邻节点和接口速度 组成的数据库。

链路状态数据库中的每个条目称为LSA【链路状态通告】

Categorization：

1. Type 1：路由器LSA，由区域内的路由器发出。
2. Type 2：网络LSA，由区域内的DR发出。
3. Type 3：网络汇总LSA，由ARP发出，其他区域的汇总链路通告。
4. Type 4：ASBR汇总LSA，由ABR发出，用于通告ASBR信息。
5. Type 5：AS外部LSA，由ASBR发出，用于通告外部路由。
6. Type 7：NSSA外部LSA，由NSSA中ASBR发出，用于通告本区域连接的外部路由。

4）Configuration

4.1）OSPFv2

# 进入 OSPFv4 进程 1 配置模式 并 配置设备路由标识符（Route ID）
# VLAN 10 设置为静默接口

# 进入 OSPFv4 区域 0.0.0.0
# 宣告网段（地址与通配符掩码）

#
ospf 1 router-id 9.9.9.101
silent-interface Vlanif10
silent-interface Vlanif20

area 0.0.0.0
network 9.9.9.101 0.0.0.0
network 10.0.10.252 0.0.0.0
network 10.0.20.252 0.0.0.0
network 10.0.100.2 0.0.0.0
#

4.2）OSPFv3

# 启动 IPv6 功能

#
ipv6
#

# 进入 OSPFv3 进程 1 配置模式
# 配置该设备路由标识符（Route ID）

#
ospfv3 1
router-id 9.9.9.101
#

# 进入 VLAN 的配置模式
# 启动 IPv6 功能
# 配置 IPv6 地址
# 将 VLAN 接口关联 OSPFv3 进程 1 区域 0

#
interface Vlanif1001
ipv6 enable
ipv6 address 2024::1/64
ospfv3 1 area 0.0.0.0
#

# 查看OSPF接口（开销、状态、类型、优先级）
[huawei]display ospf interface

# 查看出错命令
[huawei]display ospf error

# 查看邻居信息
[huawei]display ospf [process-id] peer

# 查看路由表信息
[huawei]display ospf [process-id] routing

# 查看LSDB信息
[huawei]display ospf [process-id] lsdb

# 向其他路由器广播默认路由
[Route-ospf-1]default-route-advertise always

3.3.1.3 IS-IS

3.3.2 EGP

3.3.2.1 BGP

3.4 Network Redundancy Technology

3.4.1 Protocol

3.4.1.1 STP

# 查看生成树
[Switch]:display stp

# 查看生成树端口
[Switch]:display stp brief

# 切换模式
① stp
② rstp
③ mstp
[Switch]:stp mode stp
[Switch]:stp mode rstp
[Switch]:stp mode mstp

设置根网桥

修改优先级：[Switch]stp priority 4096

直接设置:[Switch]:stp root primary

primary：优先级直接为0

修改生成树计算路径

[Switch]stp pathcost-standard <dot1d-1998 / dot1t / legacy>

dot1d-1998：IEEE 802.1D-1998

dot1t：IEEE 802.1T

legacy：华为私有方法

华为有自己的计算路径的方法，但是业界的标准更加通用（dot1d-1998）

华为交换机默认开启生成树，并且采用的是MSTP多生成树模式。

# 开启 BPDU 保护 | 注意：对着 PC 设置
stp bpdu-protection

# 配置根桥
# 设置<实例1>主根桥
# 设置<实例2>次根桥

stp <instance 1> root primary
stp <instance 2> root secondary

# 配置 MSTP
# 进入 MSTP 配置模式
# 配置区域名称
# 将实例（1）与 VLAN（10） 关联
# 激活区域配置

stp region-configuration
region-name Huawei
instance 1 vlan 10
instance 2 vlan 20
active region-configuration

# 配置边缘端口
# 进入接口
# 设置接口模式为 access
# 启动 stp edged-port

stp edged-port enable

高级弹性

边缘端口与BPDU过滤

设置边缘端口：[Switch-Ethernet0/0/1]stp edged-port enable

边缘端口：该端口不再参与STP的计算和选举，直接变成转发状态

注意：边缘端口只能连接PC，若是连接了交换机B，交换机A会顺着链路持续发送BPDU到交换机B，交换机A会产生瞬时环路。

解决方法两种：（设置边缘端口最好同步开启）

保护功能：[Switch]stp bpdu-protection enable

如果收到BPDU，则直接把接口转为down状态

过滤：[Switch-Ethernet0/0/1]stp bpdu-filter enable

交换机A端口直接不发送BPDU

Steps：

1. 设置边缘端口
2. 配置边缘端口的保护状态（一般采用过滤）

根保护

开启根保护功能：[Switch-Ethernet0/0/1]stp root-protection

tipes：推荐把不用生成树的端口都开启根保护功能，防止外来的设备抢占根服务。

拓扑保护

[Switch]stp tc-protection

解决tc-bpdu恶意攻击问题

3.3.1.2 VRRP

简述：通过虚拟路由器实现网关冗余，当主路由器故障时，备份路由器接管。

# 进入 Vlanif10 接口的配置模式
# 为 Vlanif10 接口配置 IP 地址
# 配置实例 10 的虚拟 IP 地址
# 配置实例 10 的优先级为 150
# 跟踪 GE0/0/1 接口为 down 状态时，实例 10 的优先级降低 50

interface Vlanif10
ip address 172.0.10.252 255.255.255.0
vrrp vrid 10 virtual-ip 172.0.10.254
vrrp vrid 10 priority 150
vrrp vrid 10 track interface GigabitEthernet0/0/1 reduced 50

3.4.2 Link Aggregation Technology

# 创建 Eth-Trunk 1 接口
# 配置接口模式为 trunk
# 允许 vlan 10 20 1001 通过

interface Eth-Trunk 1
port link-type trunk
port trunk allow-pass vlan 10 20 1001

3.4.3 堆叠技术

Chapter 4 Internet

4.1 IPv4

4.2 IPv6

Chapter 5 Wireless LAN

5.1

5.2

5.3

5.4

5.5

5.6

Chapter 6 Build Web Services

6.1 Web Services Overview

6.1.1 DHCP

Steps:

1.进入系统视图

2.开启DHCP服务

3.配置地址池

4.进入接口视图并全局配置

Configuration

# 启用 DHCP 服务
[Route]dhcp enable

# 创建 DHCP 地址池
ip pool <pool_name>

# 指定地址池的网段
network <network_address> mask <subnet_mask>

# 指定默认网关
gateway-list <gateway_address>

# 指定 DNS 服务器地址
dns-list <dns_server_address>

# 设置租约时间
lease day <day_value> hour <hour_value> minute <minute_value>

# 排除特定的 IP 地址
excluded-ip-address <excluded_address>

# 进入接口配置模式
interface interface_name

# 在接口上应用全局 DHCP 配置
dhcp select global

6.1.2 Telnet

远程登录协议

提示：在交换机上同一vlan，接口间能ping通

# Telnet在默认关闭，需要手动打开
[Switch]telnet server enable

# 配置虚拟终端VTY接口（最大15个，根据业务需求选择个数，一般0 4）
[Switch]user-interface vty 0 14

# 配置Telnet协议
[Switch-ui-vty0-4]protocal inbound telnet

# 配置认证方式为AAA
[Switch-ui-cty0-4]authentication-mode aaa

# 配置AAA协议的用户名与密码
[Switch]aaa
[Switch-aaa]local-user admin password simple aaa
# 注：simple是明文        cipher是密文

# 配置AAA协议用户的权限
[Switch-aaa]local-user admin privilege level 15

# 用户、权限、密码可以一并配置
[Switch-aaa]local-user admin privilege level 15 password simple aaa

Expanding Konwledge：AAA

AAA认证：1A认证，2A授权，3A审计

没有AAA服务器，配置mode AAA是在本地做认证，只是用了AAA的模式

遇到报错：

ERROR：Local authentication is rejected.

在配置aaa时，加入以下指令

[Switch-aaa]local-user admin service-type telnet

Chapter 7 Internet Interconnection

7.1 VPN

7.1.1 Basics

Working Principle

Functions

1. 建立加密隧道
2. 控制访问
3. 身份验证

Characteristics

1. 隐藏IP
2. 远程连接
3. 加密通讯

Configuration Commands

7.2 NAT

NAT网络地址转换是一种将私有网络地址转换为公共网络地址的技术，它的主要作用是缓解了IPv4地址短缺的问题，同时它还提供了一定的网络安全与隐私保护。

7.2.1 Working Pinciple

1. 内部网络设备想要与外部网络通信时，需要将数据包先发送到NAT设备（一般指路由器）
2. NAT设备会检查数据包的源地址，并将源地址转换成公共网路地址。这个转换过程也称地址映射。
3. NAT设备会在转换后的数据包中添加一个新的源地址字段，并将原始的源地址保存到端口映射中。
4. 转换后的数据包会发往外部网络的目的地。
5. 当外部网络响应数据包返回时，NAT设备会根据端口映射表将目的地址转换成内部网络的源地址，并将数据包返回内部网络设备。

7.2.2 地址映射

内部本地地址（Inside Local）——本地私网地址
 
内部全局地址（Inside Global）——私网转换成的公网地址
 
外部本地地址（Outside Local）——公网转换成的私网地址
 
外部全局地址（Outside Global）——外部公网地址

 7.2.3 Common Types

静态NAT	私网地址一对一映射公网地址。缺点将内部服务器暴露给外部网络。
动态NAT	为了避免地址浪费，创建地址池，当私网需要访问外网时，从地址池中选取一个地址与私网地址进行一对一映射。
NAT Server	也分动、静，常与防火墙一起使用。实现内网服务器被外网用户正常访问，将私网地址与外网地址进行端口映射。
NAPT	网络地址端口转换，也称PAT，它不仅转换IP地址，同时也转换端口号，通过端口号进行映射。多个设备可以共享一个端口号，提高了IP地址的利用率。
EASY IP	将私网地址转换成公网随机端口的IP地址，不需要地址池来分配IP地址，不适用于固定公网IP地址的场景。而这也是属于一种特殊的NAPT。

7.2.3.1 Static NAT

Step：

1. Access to External Interface
2. 配置静态NAT转换关系
3. nat static enable

Configure commands：

# 进入对外接口
[Route]interface <external interface>

#配置静态NAT
[Route-<external interface>]nat static global <grobal-address> inside <host-address> netmask 255.255.255.255

# 开启静态NAT服务
[Route-<external interface>]nat static enable

7.2.3.2 Dynamic NAT

Step：

1. System View
2. 创建地址池
3. 创建ACL匹配列表
4. Access to external interface
5. 配置动态NAT

Configure commands：

# 创建地址池0
[Route]nat address-group 0 <192.168.10.10> <192.168.10.20>

# 创建匹配列表，当识别为内网<intranet>主机时才能进行NAT转换
[Route]acl 2000
[Route-acl-basic-2000]rule permit sourse <intranet-address> <wildcard-mask>

#配置动态NAT，设置匹配列表，设置地址池，no-pat。注意：no-pat的意思是不进行端口转换，否则就是NAPT模式了。
[Route]interface <出口接口>
[Route-出口接口]nat outbound 2000 address-group 0 no-pat

7.2.3.3 NAT Server

Step：

1. Access to External Interface
2. 配置NAT Server

Configure commands：

# 端口映射，将当前端口<current-interface>的端口 与 需要<host-address>的端口建立联系。
# 如需访问<host-address>的端口，则可以通过访问<current-interface>的端口实现
# www默认是 80 端口
[Route-<external interface>]nat server protocol tcp global current-interface <port> inside <host-address> www

7.2.3.4 NAPT

Step：

1. 系统视图
2. 创建地址池
3. 创建ACL匹配列表
4. 进入出口接口
5. 配置NAPT

Configure commands：

# 创建地址池0
# 创建匹配列表，当识别为内网<intranet>主机时才能进行NAT转换
# 配置动态NAT，设置匹配列表，设置地址池。注意：NAPT是没有no-pat，加上则是动态NAT。

[Route]nat address-group 0 <192.168.10.10> <192.168.10.20>
[Route]acl 2000
[Route-acl-basic-2000]rule permit sourse <intranet-address> <wildcard-mask>
[Route]interface <external interface>
[Route-<external interface>]nat outbound 2000 address-group 0

7.2.3.5 EASY IP 

Step：

1. 系统视图下配置acl
2. 配置acl规则
3. Access to External Interface
4. 应用acl出口规则

Configure commands：

Chapter 8 Local Area Networ(LAN) security technology

8.1 Network Security Overview

8.2 Switch Port Security

8.3 Access Control Lists(ACL)

Access Control List 访问控制列表

8.3.1 Basic Concept

主要作用：

1. 限制路由更新。

2. 限制网络访问。

定义准测：

• 一切未被允许的就是禁止的。
• 路由器默认所有的信息通过。
• 防火墙默认封锁所有的信息流，对希望通过的服务逐项开放。
• 按规则来匹配：使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配。
• 使用从头到尾、至顶向下的匹配方式。
• 匹配成功马上停止检查。
• 立即使用该规则的“允许、拒绝”等。

进站：inbound

入站：outbound

基本ACL编号范围：2000-2999

高级ACL编号范围：3000-3999

8.3.2 BASIC ACL

基本ACL匹配的数据不精准，基本ACL是调用在距离目标设备比较近的接口上。

Configuration Commands

# 创建基本ACL，并进入基本ACL视图
# 基本ACL编号取值在（2000-2999）
# 编号型基础ACL
[huawei]acl <number>
# 命名型基础ACL
[huawei]acl name <name>

# 配置基本ACL规则
# 拒绝/允许源设备通过
[huawei-acl-basic-2000]rule <number> {deny | permit} sourse [<host-address> <wildcard-mask>]
# 拒绝/允许所有源设备通过
[huawei-acl-basic-2000]rule <number> {deny | permit} sourse any

# 流量过滤
# 假设接口GE0/0/1能进入设备，所以在接口GE0/0/1的方向配置流量过滤
[huawei]interface GigabitEthernet 0/0/1
[huawei-GigabitEthernet0/0/1]traffice-filter inbound acl 2000
[huawei-GigabitEthernet0/0/1]quit

8.3.3 Advanced ACL

高级ACL在距离设备近的接口上，可以提前将不符合的规则数据过滤掉。

高级ACL可以根据协议过滤。

Configuration Commands

# 创建高级ACL，并进入高级ACL视图
# 高级ACL编号范围（3000-3999）
# 编号型高级ACL
[huawei]acl <number>
# 命名型高级ACL
[huawei]acl name <name>

过滤协议类型

当参数protocol为IP协议时

# 当参数protocol为IP协议时
[huawei-acl-adv-3000]rule <number> {deny | permit} ip scource [<host-address> <wildcard-mask>] destination [<destination-address> <wildcard-mask>]

# 流量过滤
[huawei]interface GE0/0/1
[huawei-GigabitEthernet0/0/1]traffic-filter {inbound / outbound} acl 3000
[huawei-GigabitEthernet0/0/1]quit

当参数protocol为TCP协议时

# 当参数Protocol为TCP协议时
[huawei-acl-adv-3000]rule <number> {deny | permit} tcp scource [<host-address> <wildcard-mask>] destination [<destination-address> <wildcard-mask>] [**]

# 流量过滤
[huawei]interface GE0/0/1
[huawei-GigabitEthernet0/0/1]traffic-filter {inbound / outbound} acl 3000
[huawei-GigabitEthernet0/0/1]quit

# 以下是[**]内容，也是高级ACL提供的常见的过滤规则：

# 1.指定流量的目的地端口
destination-port eq <port-id>    //eq 80，允许HTTP端口
destination-port neq <port-id>    //neq 22，拒绝SSH流量
destination-port gt <port-id>    //gt 21 大于21协议号才能用，像ftp=20|21 就不能通过
destination-port lt <port-id>    //lt 22 小于22协议号才能用，像ftp=20|21 能通过
destination-port range <port-id>    //range 20 25 则只能20-25之间的能通过
destination-port any    //所有端口的流量

# 2.source-port
# 3.tcp-flag
# 4.time-range
# 5. **

当参数protocol为UDP协议时 ******

[Route]acl <2000-2999>
[Route-acl-basic-<2000-2999>]rule <num> permit source <host-address> <wildcard mask>
[Route-<external interface>]nat outbound <2000-2999>

8.4 Firewalls

8.4.1 Basics Concept

8.4.1.1 Working Principle

通过设定的规则、监控网络流量并过滤数据包，以确保只有符合规定的流量通过。

Functions

1. 保护易受攻击的服务。
2. 访问控制。
3. 集中的安全管理。
4. 过滤非法用户，对网络访问进行记录和统计。

Characteristic

1. 防火墙工作的层次越高，工作效率越低，安全性越高。

8.4.1.2 Classification of Firewall

从构成上主要分为三种：软件防火墙、硬件防火墙、软硬结合防火墙。

Technology

1. 包过滤型
2. 监测型
3. 代理型
4. NAT
5. VPN
6. 入侵检测/防御（IDS/IPS）
7. 内容过滤
8. 流量控制
9. 日志记录和审计

从实现的功能和构成部件来划分

1. 过滤路由器

2. 双宿主网关

3. 过滤式主机网关

4. 过滤式子网（Included：DMZ）

DMA俗称非军事区，可以理解为不同于内外网的特殊区域，通常存放不含机密信息的公共服务器，比如 Web、E-Mail、FTP等。

配置策略：

a 内网可以访问外网

b 外网不能访问内网

c 内网能访问DMZ

d 外网能访问DMZ

e DMZ不能访问内网

f DMZ不能访问外网（但是这也有例外的时候，在DMZ服务器中放置邮件服务器时就需要连接外网，否则它就不能正常工作。）

5. 悬挂式结构

8.4.1.3 Operating modes

一般是两种：透明模式（Transparent mode）和路由模式（Routing mode）

还有一种是混合模式，结合了上述两种模式的特点。

Function

路由模式：一般传统防火墙都工作于路由模式，除了完成包过滤的功能之外，它本身还承担了路由器的工作，防火墙的内外接口都分别连接了不同的网段。也就是说处于路由模式的防火墙可以让处于不同网段的计算机通过路由转发的方式进行通讯。

透明模式：透明模式可以接在IP地址同属一个子网的两个物理子网之间，就像是一个网桥，不改变数据包的源地址和目的地址。

Area

1. Local
2. Trust
3. Untrust
4. Dmz（隔离）

Steps:

1. System view
2. 接口配置IP地址/网关
3. 配置静态路由（外网网段正常与内网网段不一样）
4. 配置策略
5. 配置nat地址组
6. 配置nat策略
7. 添加nat地址组
8. 配置安全/非安全区域

Configuration Command

# 添加安全/非安全区域
[SRG]filewall zone trust
[SRG-zone-trust]add interface <intranet-address>
[SRG]filewall zone untrust
[SRG-zone-untrust]add interface <extranet-address>
# 区域放行
[SRG]policy interzone trust untrust outbound
[SRG-policy-interzone-trust-untrust-outbound]policy 1
[SRG-policy-interzone-trust-untrust-outbound-1]action permit

# 防火墙NAT配置
[SRG]nat
[SRG]nat address-group 1 <extranet-address> <extranet-address>
[SRG]nat prolicy interzone trust untrust outbound
[SRG-nat policy inster trust unstrust outbound]policy 1
[SRG-nat-policy-interzone-trust-unstrust-outbound-1]action source-nat
[SRG-nat-policy-interzone-trust-unstrust-outbound-1]policy sourse <intranet-address> <wildcard-mask>
[SRG-nat-policy-interzone-trust-untrust-outbound-1]address-group 1

Chapter 9 Network Management and Maintenance Technology

9.1 Network Management Technology

9.1.1 SNMP

9.2 Network Maintenance Technology

9.2.1 Network Maintenance Overview

9.2.2 Common Network Troubles

9.2.3 Network Troubleshooting Ideas

9.2.4 Common Test Commands

1. ping

ping测试网络的连通性。若ping不成功，则可能有以下问题：网线没有连通、网络适配器配置不正确、IP地址不可用等。

-t —— 向当前主机不断向目的主机发送数据包。

-n ——指定连通的次数。

-I size —— 指定发送数据包的大小。

-w timeout —— 指定超时的时间间隔。（单位为ms，default为1000ms）

Commonly Uesd：-t，-n，-w

2. ipconfig

ipconfig用于显示/修改IP协议的配置信息。

/all —— 显示所有配置信息。

/release —— 释放指定适配器的IP。

/renew —— 更新指定适配器的IP。

3. Tracert

tracert用于跟踪路径，可记录从本地到目的地址所经过的路径，以及到达时间。利用它，可以确切的知道从本地地址到目的地址中，哪一个环节出现故障。

-d —— 不解析主机名。

-w timeout —— 设置超时时间（Units：ms）。

4. netstat

netstat程序帮助用户了解网络的整体使用情况。

-a —— 显示主机的所有连接和监听端口信息。

-e —— 显示以太网统计信息。

-n —— 以数据表格显示地址端口。

-p proto —— 显示特定协议的具体使用信息。

-r —— 显示本机路由表的内容。

-s —— 显示每个协议的使用状态（Included：TCP、UDP和IP）。

interval ——刷新显示的时间间隔（Units：ms）。

12 BFD And NQA

12.1 BFD

双向转发检测

12.2 NQA

网络质量分析

13 恢复的Telnet、Console与BootROM/BootLoad的密码

Telnet：远程登录协议

console：计算机与其他设备（本文为交换机）连接的物理接口

BootROM/BootLoad：计算机启动的关键组件

Telnet忘记密码可以通过console口进入交换机内部重新设置密码，新密码会覆盖旧密码

console添加密码

[huawei]user-interface console 0

[huawei-console0]authetication-mode password

[huawei-console0]set authetication password simple aaa

交换机的BootROM/BootLoad提供了重置Console密码的功能，可以在交换机启动过程中修改BootROM/BootLoad密码，然后保存配置。

通过BootROM/BootLoad重置Console密码，请按以下步骤进行配置：

1. 通过Console线连接交换机。
2. 重启交换机：待出现“Press Ctrl+B or Ctrl+E to enter BootROM/BootLoad Menu... ”，按下组合键‘Ctrl+B or Ctrl+E’，并输入BootROM密码（默认密码：Admin@huawei.com 或 9300），进入BootROM主菜单。
3. 在BootROM主菜单中选择“Clear password for console user”清除Console口登陆密码。
4. 根据交换机的提示，在BootROM主菜单下选择“Boot with default mode”启动设备，不要选择“Reboot”，否则此次清除密码操作将被撤销。
5. 重启机器后，再通过Console口登陆时就不再需要密码认证。

交换机的BootROM/BootLoad提供了重置BootROM/BootLoad密码的功能，需要登录以后修改BootROM/BootLoad密码，然后保存配置。（这都忘记了只能400求救了）

通过BootROM/BootLoad重置BootROM/BootLoad密码，请按以下步骤进行配置：

1. 通过Console线连接交换机。
2. 重启交换机：待出现“Press Ctrl+B or Ctrl+E to enter BootROM/BootLoad Menu... ”，按下组合键‘Ctrl+B or Ctrl+E’，并输入BootROM密码（默认密码：Admin@huawei.com 或 9300），进入BootROM主菜单。
3. 在BootROM主菜单中选择“Enter password submenu”，进入子菜单。

• 当要重置或修改BootROM密码时，请根据交换机的提示，在密码子菜单下选择“Reset BootROM password”或者“Modify BootROM password”，对BootROM密码进行修改。
• 当要重置或修改BootLoad密码时，请根据交换机的提示，在密码子菜单下选择“Reset bootload password”或者“Modify bootload password”，对BootLoad密码进行修改。

完成配置后记得 save命令 保存

数据来源：恢复BootROM/BootLoad密码 - S7700 V200R019C10 配置指南-基础配置 - 华为 (huawei.com)https://support.huawei.com/enterprise/zh/doc/EDOC1100127160/2202e58