文章目录
登陆配置
1.console
认证方式配置
//进入console用户界面
<Huawei>user-interface console 0
//选择认证方式,password为只需输入密码
[Huawei-ui-console0]authentication-mode password
(输入密码...)
//若需要重设,可执行下面语句
[Huawei-ui-console0]set authentication password cipher (新密码)
//设置console登录用户权限为3
[Huawei-ui-console0]user privilege level 3
//通过下面命令查看配置
<Huawei>display current-configuration section user-interface
2.telnet
<Huawei>system-view
//配置VTY用户(即telnet登录用户)数为15(最大值)
[Huawei]user-interface maximum-vty 15
//进入VTY 用户界面视图(此处用户编号为0到13)
[Huawei]user-interface vty 0 14
//配置用户级别为2
[Huawei-ui-vty0-14]user-privilege level 2
//配置用户认证方式为aaa
[Huawei-ui-vty0-14]authentication-mode aaa
//进入aaa视图,配置telnet方式的用户名与密码
[Huawei-ui-vty0-14]quit
[Huawei]aaa
[Huawei-aaa]local-user (用户名) password cipher (密码)
[Huawei-aaa]local-user (用户名) service-type telnet
基本配置
1.设置设备名称
<Huawei>system-view --进入系统视图
[Huawei]sysname (设备名称)
[Huawei-新名称]
2.更改系统时钟
//设置时区为中国标准时,也可写作BJ。若该时区相对于UTC(世界协调时)有正向漂移,则写入add 偏移时间;若是反向偏移,则写入minus 偏移时间。
<Huawei>clock timezone China-Standard-Time add 8:00:00
//手动设置当前日期和时间,日期格式为HH:MM:SS YYYY-MM-DD
<Huawei>clock datetime 20:13:00 2023-11-7
//查看设备时区、日期和时间
<Huawei>display clock
3.给接口设置IP地址
//给设备Huawei的Ethernet 0/0/0接口配置IP地址192.168.43.1,子网掩码为255.255.255.0
<Huawei>sys
[Huawei]interface Ethernet 0/0/0
[Huawei-Ethernet0/0/0]ip address 192.168.43.1 255.255.255.0 --子网掩码也可写作24
[Huawei-Ethernet0/0/0]undo shutdown --启用接口,关闭为shutdown
//可给接口添加第二个IP地址
[Huawei-Ethernet0/0/0]ip address 192.168.43.2 24 sub
[Huawei-Ethernet0/0/0]display this --显示当前接口ip配置
//在用户视图下查看所有ip配置
[Huawei-Ethernet0/0/0]return
<Huawei>display ip interface brief
管理配置文件
1.手动保存当前配置
//在下面操作中,当前配置会被保存为vrpcfg.zip
<Huawei>save
(进行确认)
//指定配置文件名称
<Huawei>save (新名称).zip
(进行确认)
//查看闪存内文件
<Huawei>dir
2.自动保存当前配置
//周期性自动保存
<Huawei>autosave interval on --打开周期性保存功能
<Huawei>autosave interval 180 --设置自动保存间隔时间为180min
//定时自动保存
<Huawei>autosave interval off --只能有一种自动保存方式开启
<Huawei>autosave time on
<Huawei>autosave time 13:00:00 --自动保存时间更改为下午1点
3.设置下一次启动加载的配置文件
<Huawei>startup saved-configuration (配置文件名)
<Huawei>display startup --查看配置信息
配置静态路由
1.配置到目的网络的静态路由
<Huawei>sys
[Huawei]ip route-static (目的网络地址) (子网掩码) (下一跳地址或者是连接下一跳路由器的接口) preference (数字,表示优先级)
//删除到某个网络的静态路由
[Huawei]undo ip route-static (目的网络)
//查看当前静态路由表
[Huawei]display ip routing-table protocol static
配置VRRP
/*
假设某一局域网10.108.10.0/24通过两台路由器连接互联网,R1,R2的g0/0/0口与同一台交换机相连,g0/0/1口连接网段192.168.80.0/24。现在两个路由器的g0/0/0口上配置VRRP,R1优先级大于R2,在R1的g0/0/1口发生故障时,分组经过R2转发。
在R1恢复后,再切换回R1转发。
各接口IP地址如下:
R1 g0/0/0:10.108.10.252/24
R1 g0/0/1:192.168.80.99/24
R2 g0/0/0:10.108.10.253/24
R2 g0/0/1:192.168.80.199/24
virtual-ip:10.108.10.254/24
*/
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 10.108.10.254 --设置id组号和虚拟地址
[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 120 --优先级为120
[R1-GigabitEthernet0/0/0]vrrp vrid 1 preempt-mode timer delay 60 --设置抢占虚拟地址的方式,若本设备的优先级大于另一设备的优先级(通过VRRP包发送),则在60秒的延迟后发出ARP广播,宣布虚拟地址对应MAC地址为本设备硬件地址。
[R1-GigabitEthernet0/0/0]vrrp vrid 1 track interface g0/0/1 reduced 30 --跟踪g0/0/1口,若发生故障设备VRRP优先级减少30
[R2]interface g0/0/0
[R2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 10.108.10.254 --虚拟分组id需一致
[R2-GigabitEthernet0/0/0]vrrp vrid 1 priority 100
[R2-GigabitEthernet0/0/0]vrrp vrid 1 preempt-mode timer delay 60
[R2-GigabitEthernet0/0/0]vrrp vrid 1 track interface g0/0/1 reduced 30
//显示VRRP设置
[R1]display vrrp
[R2]display vrrp
OSPF配置
1.查看相关信息
--查看邻居表
[Huawei]display ospf peer
--查看链路状态数据库
[Huawei]display ospf lsdb
--查看ospf路由表
[Huawei]display ospf routing
[Huawei]display ip routing-table protocol ospf
--查看路由器ID
[Huawei]display router id
2.基本配置
--启用ospf进程,并指明使用的Router-id
[Huawei]ospf (进程号) router-id (Router-id)
--若不指明所用Router-id,会自动使用Router-ID,更改方式如下
[Huawei]router id (新Router-id)
--进入一个区域
[Huawei-ospf-1]area (区域地址)
--指定启用ospf的网段。路由器会根据指定的网段以及接口的IP地址,自动判断哪些接口需要开启ospf协议。最后的反掩码(wildcard mask)即为掩码(mask)每位取反。
[Huawei-ospf-1-area-0.0.0.0]network (可填入网段或IP地址) (反掩码)
--进行路由聚合并指定开销
[Huawei-ospf-1-area-0.0.0.0]abr-summary (聚合后的网段) (子网掩码) cost (开销值)
RIP配置
[AR1]rip 1 --创建rip进程1
[AR3-rip-1]version 2 --选择rip版本
[AR3-rip-1]undo summary --关闭路由汇总
[AR3-rip-1]network (网段) --在指定网段开启,必须是分类IP
[AR3-rip-1]interface g0/0/0
[AR3-GigabitEthernet0/0/0]rip authentication-mode simple cipher --配置认证方式
交换机组网
1.基础操作
1关闭信息中心
[SW]undo info-center enable
2查看MAC转发表
<SW>display mac-address
--查看老化时间
<SW>display mac-address aging-time
3配置管理地址
--在虚拟接口(Vlanif)1下,配置IP地址。默认情况下,所有接口都属于此接口。
[LSW]interface Vlanif 1
[LSW-Vlanif1]ip address (管理地址) (子网掩码)
--console口配置为密码模式
[LSW1]user-interface console 0
[LSW1-ui-console0]authentication-mode password
[LSW1-ui-console0]set authentication password cipher (密码)
[LSW1-ui-console0]user privilege level (权限级别)
[LSW1-ui-console0]idle-timeout 5 30 --设置未操作5分30秒后断开连接
--telnet配置为用户名密码(aaa)模式
[LSW1]user-interface vty 0 4
[LSW1-ui-vty0-4]authentication-mode aaa
[LSW1-ui-vty0-4]user privilege level (权限级别)
[LSW1-ui-vty0-4]idle-timeout 5 30 --设置未操作5分30秒后断开连接
[LSW1-ui-vty0-4]quit
[LSW1]aaa
[LSW1-aaa]local-user (用户名) password cipher (密码)
[LSW1-aaa]local-user (用户名) service-type telnet
2.交换机端口安全
1配置交换机端口安全
为交换机LSW1配置端口安全,令Ethernet 0/0/1 ~ Ethernet 0/0/3的每个端口只允许连接一个MAC地址,并通过stricky方式绑定端口与MAC地址。设置Ethernet 0/0/4口最多允许连接两个MAC地址,并且人工连接PC4和PC5两个MAC地址。
[LSW1]port-group 1to3 --定义端口组1to3,可在端口组中添加端口,并能对所有已添加的端口同时操作。
[LSW1-port-group-1to3]group-member e 0/0/1 to e 0/0/3 --添加成员
[LSW1-port-group-1to3]port-security enable --开启端口安全
[LSW1-port-group-1to3]port-security protect-action shutdown --若违反安全规定就关闭端口
[LSW1-port-group-1to3]port-security mac-address sticky --将mac地址表中的mac地址与其对应端口绑定起来
[LSW1-port-group-1to3]quit
[LSW1]interface Ethernet 0/0/4
[LSW1-Ethernet0/0/4]port-security enable
[LSW1-Ethernet0/0/4]port-security protect-action restrict --若违反规定,就丢掉相应的包,并发出警告
[LSW1-Ethernet0/0/4]port-security max-mac-num 2 --设置最大的MAC地址数量
[LSW1-Ethernet0/0/4]port-security mac-address sticky
[LSW1-Ethernet0/0/4]port-security mac-address sticky 5489-9849-1663 vlan (端口号)
[LSW1-Ethernet0/0/4]port-security mac-address sticky 5489-9849-0b2c vlan (端口号)
[LSW1-port-group-1to3]quit
[LSW1]clear configuration interface Ethernet 0/0/4 --执行命令后,可清除端口e4的全部配置
2镜像端口监控网络流量
利用路由器模拟交换机配置镜像端口,使PC3上的抓包软件可以监控AR1GE0/0/0口的流量。
[AR1]observe-port interface g2/0/0 --指定监控端口
[AR1]interface g0/0/0
[AR1-GigabitEthernet0/0/0]mirror to observe-port both --监控出入端口的流量,并发送至监控端口
[AR1-GigabitEthernet0/0/0]undo mirror both --取消镜像
[AR1-GigabitEthernet0/0/0]quit
[AR1]undo observe-port --取消监控端口
3启动二层端口隔离
将交换机LSW1的Ethernet 0/0/1 ~ 0/0/3端口添加到一个隔离组,从而使这几个端口之间无法相互通信。
[LSW1]port-isolate mode l2 --启用2层隔离
[LSW1]port-group isolateGroup1
[LSW1-port-group-isolateGroup1]group-member e0/0/1 e0/0/2 e0/0/3
[LSW1-port-group-isolateGroup1]port link-type access
[LSW1-port-group-isolateGroup1]port default vlan 1
[LSW1-port-group-isolateGroup1]port-isolate enable group 1 --配置隔离组编号为1
VLAN
1.配置基于接口的VLAN
创建VLAN
[LSW1]vlan 2 --创建编号为2的单个VLAN
[LSW1]vlan batch 4 5 6 --批量创建VLAN4,5,6
[]LSW1]vlan batch 10 to 20 --批量创建VLAN10~20共11个VLAN
[LSW1]undo vlan batch 4 5 6 --批量删除VLAN4,5,6
[LSW1]display vlan summary --显示VLAN摘要信息
配置access口
[LSW1]port-group vlanPort --建立端口组
[LSW1-port-group-vlanPort]group-member e 0/0/1 to e0/0/5 --添加端口成员
[LSW1-port-group-vlanPort]port link-type access --配置端口类型
[LSW1-port-group-vlanPort]port default vlan 1 --指定其VID
[LSW1-port-group-vlanPort]quit
配置trunk口
[LSW1]interface g0/0/1 --进入端口界面
[LSW1]port link-type trunk --配置端口类型
[LSW1]port trunk allow-pass vlan 1 2 3 --指定允许通过的VLAN ID为1,2,3
[LSW1]port trunk pvid vlan 2 --更改该端口PVID为VLAN 2
2.配置单臂路由实现VLAN间路由
假设某局域网中包含VLAN1~3,并且所有主机都连接到交换机LSW1上。现配置一台路由器AR1,使其与LSW1的trunk口相连,并通过划分子接口的方式实现VLAN间路由。
//配置交换机g0/0/1口作为trunk口,pvid默认为1
[LSW1]interface GigabitEthernet 0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port allow-pass vlan 1 2 3
//由于vlan1的帧会被去掉tag标签,于是AR1物理接口作为vlan1的网关
[AR1]interface GigabitEthernet 0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.1.1 24
[AR1-GigabitEthernet0/0/1]quit
//配置两个子接口
[AR1]interface GigabitEthernet 0/0/1.2
[AR1-GigabitEthernet0/0/1.2]ip address 192.168.2.1 24
[AR1-GigabitEthernet0/0/1.2]dot1q termination vid 2 --指定子接口对应VLAN ID
[AR1-GigabitEthernet0/0/1.2]arp broadcast enable --开启ARP广播
[AR1-GigabitEthernet0/0/1.2]quit
[AR1]interface GigabitEthernet 0/0/1.3
[AR1-GigabitEthernet0/0/1.3]ip address 192.168.3.1 24
[AR1-GigabitEthernet0/0/1.3]dot1q termination vid 3
[AR1-GigabitEthernet0/0/1.3]arp broadcast enable
[AR1-GigabitEthernet0/0/1.3]quit
3.使用三层交换机实现VLAN间路由
配置交换机LSW3的虚拟接口,使VLAN1与VLAN2的主机可以相互通信
//创建VLAN
[LSW3]vlan batch 1 2
//接口配置
[LSW3]interface g0/0/2
[LSW3-GigabitEthernet0/0/2]port link-type access
[LSW3-GigabitEthernet0/0/2]port default vlan 1
[LSW3-GigabitEthernet0/0/2]int g0/0/1
[LSW3-GigabitEthernet0/0/1]port link-type access
[LSW3-GigabitEthernet0/0/2]port default vlan 2
//虚拟接口配置
[LSW3]interface vlanif 1
[LSW3-Vlanif1]ip address 10.0.0.1 24
[LSW3-Vlanif1]int vlanif 2
[LSW3-Vlanif2]ip address 10.0.1.1 24
配置STP
//stp开启
[S1]stp enable
//stp关闭
[S1]stp disable
//stp模式选择
[S1]stp mode ?
//交换机优先级更改
[S1]stp priority ?
[S1]stp root ?
//显示stp运行状态
[S1]display stp
//显示stp接口状态
[S1]display stp brief
配置链路聚合
//创建Eth-Trunk接口
[LSW1]interface Eth-Trunk 1
//模式选择
[LSW1-Eth-Trunk1]mode manual load-balance --手动配置
[LSW1-Eth-Trunk1]mode lacp-static --协议配置,此模式通过协议协商以确保对端是同一个设备,同一个Eth-Trunk接口成员
//添加端口
[LSW1-Eth-Trunk1]trunkport g ?
//负载分担方式
[LSW1-Eth-Trunk1]load-balance ?
ACL
基本介绍
ACL有不同的类型,对应着不同范围的编号
基本ACL 2000~2999
高级ACL 3000~3999
二层ACL 4000~4999
用户自定义ACL 5000~5999
一个ACL中的每一条规则都有一相应的编号,默认情况下,报文按照编号从小到大的顺序与规则进行匹配。设备在创建ACL规则时可自动按照步长分配编号,如步长为10,则编号顺序为10,20,30…
基本ACL配置
//创建ACL
[AR1]acl (acl编号)
//规则设置
[AR1-acl-basic-2000]rule (可指定规则编号,若无则按步长自动设置) deny source (IP地址或any) (通配符) --拒绝指定源ip地址
[AR1-acl-basic-2000]rule (可指定规则编号,若无则按步长自动设置) permit source (IP地址或any) (通配符) --允许指定源ip地址
//步长设置
[AR1-acl-basic-2000]step (长度)
//删除acl规则
[AR1-acl-basic-2000]undo rule (acl规则编号或者all)
//查看acl配置
[AR1]display acl (acl编号或者all)
//绑定acl到指定接口,以g0/0/1为例
[AR1]interface GigabitEthernet 0/0/1
[AR-GigabitEthernet0/0/1]traffic-filter inbound acl (acl编号) --入向
[AR-GigabitEthernet0/0/1]traffic-filter outbound acl (acl编号) --出向
//解除绑定
[AR-GigabitEthernet0/0/1]undo traffic-filter (inbound或者outbound)
//将acl规则应用到telnet登录上
[AR1]user-interface vty 0 4
[AR1-ui-vty0-4]acl (acl编号) (inbound或者outbound)
//解除应用
[AR1-ui-vty0-4]undo acl (inbound或者outbound)
高级ACL配置
基本操作与基本ACL一致,只是在规则的设定上更加丰富,可通过?查看。
AAA
身份认证(Authentication) 通过输入用户名和密码来验证身份
授权(Authorization) 授予不同的用户不同的权限
计费(Accounting) 记录用户登录后对系统资源的访问和更改
在中大型的网络中,常采用AAA服务器为网络设备集中提供AAA服务,并使用RADIUS(Remote Authentication Dial In User Service)
1.在默认配置下,设置telnet用户名和密码
[AR1]aaa
[AR1-aaa]local-user (username) password cipher (ciphertext)
[AR1-aaa]local-user (username) service-type telnet
[AR1-aaa]local-user (username) level (访问级别)
NAT网络地址转换
1.配置静态NAT
假设可用公网ip地址为12.2.2.2,需进行nat转换的私网地址为192.168.0.2,并通过路由器AR1的g0/0/1接口与互联网相连
[AR1]interface GigabitEthernet 0/0/1
[AR1-GigabitEthernet0/0/1]nat static global 12.2.2.2 inside 192.168.0.2
[AR1-GigabitEthernet0/0/1]nat static enable --启用
[AR1-GigabitEthernet0/0/1]undo nat static global 12.2.2.2 inside 192.168.0.2 --删除
[AR1-GigabitEthernet0/0/1]undo nat static enable --禁用
2.配置NAPT
假设可用公网ip地址段为12.2.2.1~12.2.2.3,通过路由器AR1的g0/0/1接口与互联网相连
[AR1]acl 2000 --配置acl规则
[AR1-acl-basic-2000]rule permit
[AR1]nat address-group 1 12.2.2.1 12.2.2.3 --配置公网地址池
[AR1]interface GigabitEthernet0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 --应用acl规则和公网地址池,在最后加上no-pat时启用动态NAT
3.EASY IP
easy将接口上的公网地址做地址转换
[AR1]acl 2000 --配置acl规则
[AR1-acl-basic-2000]rule permit
[AR1]interface GigabitEthernet0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 --不使用地址池
4.配置NAT服务
NAPT和EASY IP都只允许私网地址经过转换后访问互联网,但无法反向访问。通过开启NAT服务,路由器会根据NAT映射表,将公网地址转换为对应的私网地址。
现假设某公司有1web服务器和1PC,地址分别为192.168.0.2 和 192.168.0.3。另有公网地址12.2.2.8,将该地址的TCP的80端口映射到web服务器http服务进程上,3389端口映射到PC3远程桌面连接进程上。
[AR1]interface GigabitEthernet0/0/1
[AR1-GigabitEthernet0/0/1]nat server protocol tcp global 12.2.2.8 www inside 192.168.0.2 www
[AR1-GigabitEthernet0/0/1]nat server protocol tcp global 12.2.2.8 3389 inside 192.168.0.3 3389
<AR1>display nat server interface GigabitEthernet0/0/1
将路由器配置为DHCP服务器
使用全局地址池分配地址
假设某企业通过DHCP服务器分配IP地址。现有可用网段192.168.1.0/24,其中192.168.1.2 ~ 192.168.1.10已被占用,网关设为192.168.1.1。DNS服务器地址为88.88.88.88和111.111.111.111,地址租约设置为8小时。
[AR1]dhcp enable
[AR1]ip pool one
[AR1-ip -pool-one]network 192.168.1.0 mask 24
[AR1-ip -pool-one]gateway-list 192.168.1.1
[AR1-ip -pool-one]dns-list 88.88.88.88 111.111.111.111
[AR1-ip -pool-one]lease day 0 hour 8 minute 0
[AR1-ip -pool-one]excluded-ip-address 192.168.1.2 192.168.1.10
//在接口选择dhcp地址池的来源
[AR1]interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]dhcp select global
//查看地址池使用情况
[AR1]display ip pool ?
为直连网段分配地址
某企业局域网中一台路由器AR1为其直连网段192.168.1.0/24分配地址,其中192.168.1.50 ~ 192.168.1.100已被分配,DNS服务器为1.1.1.1,地址租约设为2小时。(现假设AR1的g0/0/0接口已经配好IP地址192.168.1.1/24)
[AR1]dhcp enable
[AR1]interface GigabitEthernet 0/0/0
[AR1-GigabitEthernet0/0/0]dhcp select interface
[AR1-GigabitEthernet0/0/0]dhcp server dns-list 1.1.1.1
[AR1-GigabitEthernet0/0/0]dhcp server excluded-ip-address 192.168.1.50 192.168.1.100
[AR1-GigabitEthernet0/0/0]dhcp server lease day 0 hour 2 minute 0
跨网段分配IP地址
某企业使用网段172.16.1.0/24,并采用DNS服务器分配IP地址。但其局域网内没有DNS服务器。必须通过路由器AR2转发DHCP请求包,才能在另一网段10.2.2.0/24中找到DHCP服务器。在AR2的g0/0/1口上启用DHCP中继功能,以实现跨网段分配。
[AR2]dhcp enable
[AR2]interface GigabitEthernet 0/0/1
[AR2-GigabitEthernet0/0/1]dhcp select relay
[AR2-GigabitEthernet0/0/1]dhcp relay server-ip 10.2.2.1 --指定dhcp服务器地址
windows命令行相关指令
1.操作网络路由表
route ?
2.连通性测试
ping (域名,ipv4或ipv6地址)
3.路由跟踪
tracert (域名,ipv4或ipv6地址)
4.telnet远程连接
telnet (域名,ipv4或ipv6地址)
5.查看主机,虚拟机ip,dhcp等信息
ipconfig ?
6.查看端口相关信息
netstat ?
9329
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
