常用命名
系统界面
设备名称 sysname
欢迎提示信息 header
用户界面
IPV6
配置接口 自动生成链路本地地址
[] int g 0/0
[g0/0] ipv6 address anto link-local
配置全球单播地址
[] int g0/0sd
[g0/0] ipv5 add 3001::1/64
查看ipv6 端口
[] dis ipv6 int g 0/0 brief
查看路由器邻居信息
[] dis ipv5 neighbors all
Telnet
开启telnet
[] telnet server enable
用户界面 设置验证方式
vty界面一共支持5个用户同时
[] line vty 0[开始num] 4[结束num]
第一种 登录不验证
[line-vty-0-4] authentication-mode none
第二种 远程登录 密码验证
[line-vty-0-4] authentication-mode password
[line-vty-0-4] set authentication password simple 123
第三种 用户名+密码验证
[line-vty-0-4] authentication-mode scheme
[line-vty-0-4] user-role network-oprator
[line-vty-0-4] quit
[] local-user xxx
[luser-xxx] password simple 123
[luser-xxx] service-type telnet
[luser-xxx] authorization-attribute user-role network-operator
ssh
[] ssh server enable
[] line-vty 0 4
[line-vty-0-4] authentication-mode scheme
[line-vty-0-4] protocal inbound ssh
[line-vty-0-4] quit
[] local-user aaa
[luser-aaa] password simple 123
[luser-aaa] service-type ssh
[luser-aaa] authorization-attribute user-role network-opterator
创建公钥
[] public-key local create rsa
FTP
-
配置路由器为 FTP服务端
[H3C] ftp server enable [H3C] local-user abc [H3C-luser-manage-abc] password simple 123 [H3C-luser-manage-abc] service-type ftp //不加下边的 主机上连接时 用户名登录dir显示文件列表无果 [H3C-luser-manage-abc] authorization-attribute user-role network-admin
-
客户端
ftp登录 ls xxx 查看文件/目录 get xxx 下载 put localfile xxx 上传 bye 断开
生成树协议和链路聚合
-
生成树协议
开启stp [] stp global enable 关闭端口stp [g 0/0] undo stp enable 选择stp工作模式 [] stp mode {stp | rstp | pvst | mstp} 可选 配置优先级 [] stp priority 优先级(数字) 配置端口为边缘端口 [g 0/0] stp edged-port
-
链路聚合
-
静态聚合
创建聚合端口 [] int bridge-aggregation 聚合端口号 物理端口 添加到聚合端口中 [g 0/0] port link-aggregation group 聚合端口号
查看聚合端口信息 摘要 [] dis link-aggregation summary 具体 [] ................... verbose
-
动态聚合
-
ARP
查看时查看的是IP和MAC地址 (查看接口信息
-
ARP基本原理
-
ARP代理
[g 0/0] proxy-arp enable
-
查看ARP
[] dis arp all
路由
静态路由
掩码匹配 1匹配0不匹配
采用深度优先 包含主机小的优先匹配
默认路由 全0 包含主机最多 最后被考虑
[] ip route-static 目标网段 目标网段掩码 下一跳路由端口ip
最后有个了可选参数 preference 10[优先级]
优先级越高 越先匹配
默认路由
[] ip route-static 0.0.0.0 0 下一跳路由端口ip
黑洞路由
[] ip route-static 目标网段 目标掩码 null 0
VlAN 间路由
单臂路由
路由器+交换机 +不同网段pc
路由器负责 联通vlan
交换机负责 划分vlan
现有交换机有两端口分别属于 vlan10 vlan20
第三个端口接交换机 trunk类型 允许通过vlan10 vlan20
-
路由器
[g 0/0.1] ip配置 [g 0/0.1] vlan-type dot1q vid 10 [g 0/0.2] ip配置 [g 0/0.2] vlan-type dot1q vid 20
-
交换机
[] vlan10 [vlan10] port 端口1 [] vlan20 [vlan20] port 端口2 [端口3] port link-type trunk [端口3] port trunk permit vlan 10 20
-
配置PC
ip
网关 网关为路由器的ip
三层交换机
交换机 + 不同网段pc
交换机 划分vlan 配置vlan网关
现有 vlan10 vlan20 在交换机 配置vlan和vlan网关
-
交换机
配置vlan [] vlan 10 [vlan10] port 端口1 [] vlan 20 [vlan20] port 端口2 配置vlan网关 [] int vlan 10 [int-vlan10] ip add 网关 掩码 [] int vlan 20 [int-vlan20] ip add 网关 掩码
-
pc 配置ip 和网关
动态路由
路由协议与可路由协议
RIP
pc – 网段1 – 路由器A – 网段2 – 路由器B – 网段3
-
RIP1 默认
配置好端口信息和网关之后
两台路由器之间配置
-
路由器A
[] rip //创建RIP进程 并进入RIP视图 使直连接口的网段可以使用RIP [rip1] network 网段1 [rip1] network 网段2
-
路由器B
RIP配置同 路由器A
避免环路
接口视图下 [g 0/0] rip split-horizon //水平分割 [g 0/0] rip poison-reverse //毒性逆转
注意 要抑制与pc相连的端口 RIP报文
[rip1] silent-int g 0/0
-
-
RIP2
两台路由器
于RIP1 不同之处
-
关闭 自动路由聚合
-
手动切换 RIP2
-
配置明文认证
注意:两台路由器 密码要一致 才能学习到对端设备发来的路由
关闭 自动路路由聚合功能 [rip1] undo summary 开启RIP2 [rip1] version 2 连接另一路由器的接口 配置认证 [g 0/0]rip authentication-mode md5 rfc2453 plain 密码
-
OSPF
-
单区域OSPF
配置端口信息 配置路由器id 即DR [] router id 1.1.1.1 配置ospf [] ospf 1 [ospf1] area 0.0.0.0 配置 直连网段加入该区域 以建立邻居关系 [ospf1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 //0表示比较
如果需要配置loopBack [] int LoopBack 0 [loopback0] ip add 1.1.1.1 255.255.255.0 OSPF中该端口也要加入区域 [ospf1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
配置接口优先级 [g 0/0] ospf dr-priority 0 配置接口花费 [g 0/0] ospf cost 150 查看邻居信息 [] dis ospf peer 查看路由器OSPF路由表 [] dis ospf routing
-
多区域OSPF
配置 network DR和直连网段
中间连接两个区域的路由器 要把直连网段配置在对应的区域 比如
area 0.0.0.0 network 1.1.1.0 0.0.0.255 area 0.0.0.1 network 1.1.2.0 0.0.0.255
DHCP
-
服务器配置 //路由器
[] dhcp enable [] dhcp server forbidden-ip 1.1.1.1//不参与自动分配的ip [] dhcp server ip-pool poolname //创建地址池 [poolname] network 1.1.1.0 mask 255.255.255.0 //动态分配IP范围 [pookname] gateway-list 1.1.1.1 //为客户端分配的网关 [] dis current-configuration //查看dhcp禁止分配的ip [] dis dhcp server free-ip //查看可供分配的IP [] dis dhcp server ip-in-use //查看dhcp地址池绑定地址信息
-
中继器配置 //三层交换机 或 路由器
此处使用三层交换机
三层交换机需要配置vlan和vlan网关 中继器配置 [] dhcp enable 与客户端接口 [g 0/0] ip add ip [g 0/0] dhcp select relay [g 0/0] dhcp ralay server-address 服务器ip 与服务器接口 [g 0/1] ip add ip
-
查看 中继器 相关信息
查看中继服务器组信息 dis dhcp relay client-information 查看接口对应的DHCP中继服务器组信息 dis dhcp relay server-address int g 0/0 相关报文统计信息 dis dhcp relay statistics int g 0/0
ACL
默认过滤方式 permit
掩码 0匹配 1不匹配
改变默认方式
[] packet-filter dufault deny
尽可能在靠近数据源额路由器接口上配置ACL 减少不必要流量转发
基本ACL:过于靠近被过滤源的基本ACL可能会阻止该源访问合法目的
应该在不影响其他合法访问的前提下,尽可能使ACL靠近被过滤的源
高级ACL:靠近过滤源的接口上应用ACL
-
基本ACL
网关配置:如果是路由器充当pc 配静态网关
ip route-static 0.0.0.0 0 xxxx
接口添加过滤 启动包过滤功能 [g 0/0] packet-filter 2001 inbiund //出口是 outbound 创建 [] acl basic 2001 配置acl规则 [acl-basic-2001] rule 0 deny source 1.1.1.2 0 //第一个0是规则id 第二个0是生效时间段
-
高级ACL
接口添加过滤 配置acl规则 [] acl advanced 3001 [acl-advanced-3001] rule 0 deny tcp[协议] source xxxx destination xxxx 0.0.0.255 可以通过不同 rule id 添加多个规则 [acl-advanced-3001] rule 5 permit source xxxx xxxx destination xxxx xxxx
结合FTP配置n
-
ACL信息显示
查看acl信息 [] dis acl [acl-number 或者 all]
NAT
Basic、NATP、Easy IP 需要配置ACL
ACL允许的报文才会被转换
Basic和NAPT需要配公网地址池
-
Basic NAT
配置ACL [] acl basic 2000 [acl-basic-2000] rule 0 permit source xxxx xxxx 配置地址池 [acl-basic-2000] nat address-group 1 [address-group-1] address xxxx xxxx(地址范围) 地址池与ACL关联(接口中) [g 0/0] nat outbound 2000 address-group 1 no-pat no-pat:不做端口转换,同一进程只能使用同一IP
-
NAPT 多内网主机共用一个IP
配置ACL 配置地址池 地址池与ACl绑定 [] nat outbound 2000 address-group 1
-
Easy IP 多内网主机共用一个IP
配置ACl 关联ACl与NAT [] nat outbound 2000[acl-number]
-
NAT Server
接口处 指定协议类型、公网IP和端口、私网IP和端口
[g 0/0] nat server protocol tcp[协议名] global xxxx[公网ip] telnat[公网端口] inside xxxx[私网ip] telnat[私网端口]
-
查看NAT信息
[] dis nat session brief
广域网
默认协议是PPP
查看链路层连输协议
dis int g 0/0
下边 link layer protocol:PPP
HDLC
设置接口链路层协议为HDLC
[g 0/0] link-protocol hdlc
设置轮询时间 同一链路 两端接口轮询时间要相等
[g 0/0]timer-hold xxx
PPP
设置接口协议
[g 0/0] link-protocol ppp
配置接口 用户名、密码 加入本地用户列表 并设置用户服务类型服务类型
[] local-user 用户名 class network
[luser-network-name] password simple 密码
[luser-network-name] service-type ppp
设置验证类型
-
pap
A为主验证方 B为被验证方 被验证方发起请求
A 用户列表 有B的信息
A 配置验证方式为PAP
设置验证方式为PPP [g 0/0]ppp authentication-mode pap 添加B的信息 [] local-user 用户名 class network [luser-network-user] password simple 密码 [luser-network-user] service-type ppp
B 配置验证方式为PAP
B 配置发送验证的 用户名 密码
[g 0/0]ppp authentication-mode pap [g 0/0]ppp pap local-user 用户名 passwoed simple 密码
-
CHAP
主验证方和PAP相同 把协议 PAP 改为 CHAP
被验证方
[g 0/0] ppp chap user 用户名 [g 0/0] ppp chap passward {cipher| simple} 密码