亲测,两次考过。。。。。。。。。。。。。。。。。。。。。。
DHCP常用配置命令:
[r1] dhcp enable # 开启dhcp
# 创建dhcpOption模板
[r1] dhcp option template template1
[r1-option-template-template1]gateway-list 192.168.3.1 // 配置网关地址
[r1-option-template-template1] bootfile configuration.ini //获取配置文件
[r1-option-template-template1]next-server 10.10.10.1 //配置获取配置文件的地址
[r1-option-template-template1]quit
[r1] ip pool pool_name # 创建ip 池并命名为pool_name
[r1] network 10.0.20.0 mask 255.255.255.0 # IP网络段
[r1] gateway-list 10.0.20.1 # 设置网关地址
[r1] dns-list 10.10.1.2 # 设置dns
[r1] domain-name abc.com # 设置公司域名
[r1] lease day 3 hour 0 minute 0
[r1] lesae day 3 # 设置租期3天
[r1] excluded-ip-address 10.0.20.1 # 排除10.0.20.1 地址
[r1]static-bind ip-adress 192.168.3.2 mac-adress dc-23-23-23 option-template template1
[r1] interface vlanif 20 # 进入虚拟vlanif20
[r1] dhcp select gobal # 接口工作全局地址池模式
NAT常用配置:
[r1] nat address-group 0 200.100.1.3 200.100.1.6
[r1] acl number 2000
[r1] rule 5 permit source 10.10.1.0 0.0.0.255
[r1] interface GigabitEtherenet 0/0/3
[r1] nat outbound address-roup 0 no-pat
IPV6常用配置:
Ipv6 通过ipv4 传输
<R1>system-view
[ R1]sysname r1
[r1] ipv6 //开启IPv6报文转发功能
[r1] interface s0
[r1-s0] ip address 12.1.1.1 255.255.255.0
[r1-s0] quit
[r1] interface gigabitethernet 0/0/1
[r1-gigabitethernet 0/0/1] ipv6 address 2002::1/64
[r1-gigabitethernet 0/0/1] quit
# 隧道配置:
[r1] interface tunnel 0/0/1 //创建隧道接口
[r1-tunnel 0/0/1] tunnel-protocol ipv6-ipv4 auto-tunnel //指定Tunnel为自动隧道模式
[r1-tunnel 0/0/1] ipv6 enable //只是使能了接口的IPv6功能,路由器不能对IPv6报文进行转发;
[r1-tunnel 0/0/1] ipv6 address ::12.1.1.1/96 //设置Tunnel接口的IPv6 地址
[r1-tunnel 0/0/1] source S0 [接口]//指定Tunnel的源接口;
流策略常用配置
[s1] time-range satime 8:00 to 18:00 working-day(周一至周五)/daily(每天)/off-day(周六、日) /<0-6>(0周日)/Mon(周一)/Thu(周二)/Wed(周三)/Tue(周四)/Fri(周五)/Sat(周六)/Sun(周日)
[s1] acl 3000
[s1-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 time-range satime
[s1-acl-adv-3000] quit
[s1] acl 3001
[s1-acl-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255
[s1] traffic classifier c0 operator or
[s1-classifier-c0] if-match acl 3000 //将acl与流分类关联
[s1-classifier-c0] quit
[s1] traffic behavior b0 //创建流行为
[s1-behavior-b0] permit //配置流行为动作为允许报文通过
[s1-behavior-b0] deny //配置流行为动作为拒绝报文通过
[s1-behavior-b0] quit
s1] traffic behavior b1 //创建流行为
[s1-behavior-b1] redirect ip-nexthop 202.100.1.1 #在流行为中创建将报文重定向到单个下一跳IP地址的动作
[s1-behavior-b1] quit
[s1] traffic policy p1 //创建流行为
[s1-policy-p1] classifier c0 behavior b0
[s1-policy-p1] quit
[s1] interface gigabitEthernet 0/0/3
[s1-gigabitEthernet 0/0/3] traffic-policy p1 inbound # 引用流策略
[s1-gigabitEthernet 0/0/3] quit
RIP常用配置:
[r1] rip 1
[r1-rip-1] nework 10.0.0.0
[r1-rip-1] version 2
[r1-rip-1] undo summary # 取消自动聚合
BGP常用配置:
[R1] bgp 200
[R1-bgp] router-id 1.1.1.1
[R1-bpg] peer 10.20.0.2 as-number 100
#以上配置:配置bgp的对等体为10.20.0.2, AS号为200
[R1-bpg] peer 10.30.0.2 as-number 200
[R1-bpg] peer 10.40.0.2 as-number 300
# 配置发布路由
[R1-bpg] ipv4-family unicast
[R1-bpg-af-ipv4] undo synchronization //关闭BGP与IGP的同步功能
[R1-bpg-af-ipv4] perfernce 255 100 130
[R1-bpg-af-ipv4] peer 10.2.1.2 enable #命令用来在地址族视图下使能与指定对等体(组)之间交换相关的路由信息。
[R1] ospf 1
[R1-ospf-1] import-route direct //导入R2的直连路由
[R1-ospf-1] import-route bgp //导入bgp 的路由
[R1-ospf-1] area 0
[R1-ospf-1-area- 0.0.0.0] network 10.1.0.0 0.0.0.255
[R1-ospf-1-area- 0.0.0.0] network 10.30.0.0 0.0.0.255
#配置路由策略:
[R1] route-policy local-pre permit node 10
[R1-route-policy-local-pre-10] if-macth ip route-source acl 2000
[R1-route-policy-local-pre-10] apply local-preference 200 #设置本地优先级为200
防火墙基本配置:
[FW] firewall zone trust
[FW-zone -trust] add interface GE0/0/1
[FW-zone -trust] quit
[FW] firewall zone untrust
[FW-zone-untrust ] add interface GE0/0/2
[FW-zone -trust] quit
# 配置安全策略
[FW] security policy
[FW-security-policy] rule name policy_1
# 将局域网作为源信任区域,将互联网作为非信任区域
[FW-security-policy-rule-policy_1] source-zone trust
[FW-security-policy-rule-policy_1] destination-zone untrust
[FW-security-policy-rule-policy_1] source-adress 10.1.1.0 24 #指定局域网用户方位互联网
[FW-security-policy-rule-policy_1] action permit # 将安全策略设置为允许
#配置NAT地址池,配置时开自允许端口转换,实现公网地址复用;
[FW] nat address-group addressgroup1
[FW-address-group-addressgroup1]mode pat #一定要注意模式,一个是带端口pat转换,一个是不带端口no-pat转换
[FW-address-group-addressgroup1] section 0 100.1.1.0 100.1.1.15
#配置NAT策略,实现局域网指定网段,访问Internet时自动进行源地址转化
[FW] nat-policy
1.NAT NO-PAT 配置
NAT地址池配置:
nat address-group natgroup //配置NAT地址组,指定名称natgroup
section 0 200.0.0.1 200.0.0.1 //指定条件,转换为的公网地址为200.0.0.1
mode no-pat local //指定地址组模式为no-pat,即为NAT NO-PAT模式,local关键字表示对本区域有效
NAT策略配置:
nat-policy //配置nat策略
rule name natpolicy //配置名称为natpolicy的nat规则
source-address 192.168.1.0 24 //指定条件
source-zone trust0
destination-zone untrust
action nat address-group natgroup //指定条件,满足条件的数据包将依据地址组做转换
2.NAPT配置
NAT地址池配置:
nat address-group natgroup //配置NAT地址组,指定名称natgroup
section 0 200.0.0.1 200.0.0.1 //指定条件,转换为的公网地址为200.0.0.1
mode pat //配置为NAPT方式
NAT策略配置:
nat-policy //配置nat策略
rule name natpolicy //配置名称为natpolicy的nat规则
source-address 192.168.1.0 24 //指定条件
source-zone trust
destination-zone untrust
action nat address-group natgroup //指定条件,满足条件的数据包将依据地址组做转换
3.EASY-IP配置(直接配置NAT策略)
配置NAT策略:
nat-policy //配置nat策略
rule name natpolicy //配置名称为natpolicy的nat规则
source-address 192.168.1.0 24 //指定条件
source-zone trust
destination-zone untrust
action nat easy-ip //配置出接口方式
4.NAT Server
配置NAT Server:
nat server natserver_ftp protocol tcp global 200.0.0.1 21 inside 192.168.1.10 21
四.查看会话表
display firewall session table
网络质量分析NQA(Network Quality Analysis)简单配置:
[R1] nqa test-instance admin test //设置NQA的名字
[R1-nqa-admin-test] test-type icmp //让NQA模拟ICMP的流量进行探测
[R1-nqa-admin-test] destination-address ipv4 1.1.12.2 //ICMP的DIP为1.1.12.2
[R1-nqa-admin-test]frequency 10 //每隔10s发送一次ping包,如果1s中收不到回复就认为探测失败
[R1-nqa-admin-test] timeout 1 # 1秒超时
[R1-nqa-admin-test] probe-count 1 #配置NQA测试探针数目1
[R1-nqa-admin-test] start now //开启ICMP探测流量的开关
[R1] ip route-static 2.2.2.2 255.255.255.255 1.1.12.2 track nqa admin test //让静态路由与NQA做联动,如果NQA测试失败,则该静态路由失效,此时备用的静态路由就会浮动上来;
BFD基本配置:
[R1] bfd
[R1]bfd 1 bind peer-id 10.1.1.1 source-ip 10.2.2.2 auto # 指定源地址:source-ip
[R1-bfd-sessin-1] commit
[R1-bfd-sessin-1] quit
# 创建名称为atob的BFD会话,对从本端接口VLANIF100到对端IP地址为10.100.1.6的单跳链路进行检测。
[R1] bfd atob bind peer-ip 10.100.1.6 interface vlanif 100
# 创建名为atoc的BFD会话,检测到对端IP地址为10.10.20.2的多跳链路。
[R1]bfd atoc bind peer-ip 10.10.20.2
# 配置一个名为test的BFD会话,使用缺省组播地址对绑定本端GigabitEthernet0/0/1接口的单跳链路进行检测。
<R1> system-view
[R1] bfd test bind peer-ip default-ip interface gigabitethernet 0/0/1
[R1-bfd-session-test]
# 配置静态标识符自协商BFD会话。
<R1> system-view
[R1] bfd
[R1-bfd] quit
[R1] bfd atob bind peer-ip 10.1.1.2 interface vlanif 100 source-ip 10.1.1.1 auto
display bfd configuration命令用来查看BFD会话配置信息。
display bfd interface命令用来查看使能BFD的接口信息
display bfd session命令用来查看BFD会话信息
display bfd statistics命令用来查看BFD全局统计信息。
display bfd statistics session命令用来查看BFD会话的统计信息。
VRRP基本配置:
vrrp vrid 1 virtual-ip 10.1.1.111 //配置备份组1的虚拟网关地址
vrrp vrid 1 priority 120 //配置RouterA在备份组1中的优先级为120 数值越大,优先级越高
vrrp vrid 2 virtual-ip 10.1.1.112 //配置备份组2的虚拟网关地址
# 在接口VLANIF100上配置VRRP备份组1监视BFD会话,该BFD会话的本地标识符为1。
<R1> system-view
[R1] bfd
[R1-bfd] quit
[R1] bfd abc bind peer-ip 10.2.1.1 interface vlanif 100
[R1-bfd-session-abc] discriminator local 1 # 本端标志为1
[R1-bfd-session-abc] discriminator remote 2 # 对端标志为2
[R1-bfd-session-abc] quit
[R1] interface vlanif 100
[R1-Vlanif100] vrrp vrid 1 virtual-ip 10.2.1.12
[R1-Vlanif100] vrrp vrid 1 track bfd-session abc reduced 40
# 在接口VLANIF100上配置VRRP备份组1监视会话名为hello的BFD会话。
<R1> system-view
[R1] bfd
[R1-bfd] quit
[R1] bfd hello bind peer-ip 10.1.1.1 interface vlanif 100 source-ip 10.1.1.2 auto
[R1-bfd-session-hello] quit
[R1] interface vlanif 100
[R1-Vlanif100] vrrp vrid 1 virtual-ip 10.1.1.12
[R1-Vlanif100] vrrp vrid 1 track bfd-session session-name hello reduced 40 # 优先级降低40
[R1-Vlanif100] vrrp vrid 1 track bfd-session session-name hello increased40 # 优先级升40
# 命令用来配置从其它路由协议引入路由。
import-route { { static | direct | unr } | { rip | ospf } [ process-id ] } [ cost cost | route-policy route-policy-name ]
OSPF的常用配置:
[R1]ospf 1
[R1-ospf-1] router-id 1.1.1.1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0.0]network 192.168.0.0 255.255.0.0
[R1-ospf-1-area-0.0.0.0.0]authentication-mode simple ruankao
authentication-mode simple ruankao #加密方式显示口令
authentication-mode simple plain ruankao # 明文的方式显示口令
ospf认证方式有区域认证和接口认证;