华为模拟器命令

system-view 进入全局模式（conf）
interface GigabitEthernet 0/0/1 进入g0/0/1端口（和思科一样）
quit 退出当前模式（exit）
interface 进入命令 如果有此设备或者配置表示进入此设备或者配置 没有则表示创建此设备或配置
display 查看（show）

interface Eth-Trunk 1 创建链路聚合 ID为1（全局模式下）
eth-trunk 1 加入链路聚合1（端口模式下）
链路聚合：1、手动均衡负载
(全部由管理员自行配置→绝对的负载均衡→具体端口配置明确)
2、LACP
（绝对的负载均衡→无论多大的流量一定会进行流量分割、传输、合并→在流量大的情况下是很好的选择，但流量小的情况下是浪费性能的行为→一根线就可以传输的流量没有分割合并的必要→要根据实际流量大小的情况进行判断，判断是否要进行分割和合并，如果流量足够大那么分割、合并，如果流量不是那么大能不分割就不分割）流量不稳定的情况下能提高性能的利用率，但是管理员无法得知端口具体的情况。

VLAN现实中我们一般基于需求划分（划分行为）或者基于部门划分(划分身份)
Aceess模式会过滤VLANID(标签)
trunk模式不会过滤VLANID（确定对端使用设备的情况）
Hybrid模式自动识别是否过滤VLANID（无法确定对端设备的情况）
在不同网络中相互访问数据需要使用网关。
port link-type access将端口模式更改为access模式
port default vlan 10 将vlan10绑定到此端口
port trunk allow-pass vlan 10 允许vlan10通过
display this 查看当前状态下配置的命令

我们通过创建vlan、将vlan绑定在端口的形式进行命令配置。需要一台一台进入设备进行配置，如果设备数量过多效率会很低 并且容易出现配置错误的情况。
GARP通用属性注册协议
GVRP（GARP的实现方法）协议，统一进行VLAN的配置（一条命令多个设备同时执行）保证VLAN配置的正确性。
GVRP模式：
Normal模式 允许自己的命令发送 允许别人的命令执行
Fixed模式：允许自己的命令发送 不允许别人的命令执行
Forbidden模式：不允许发送自己的命令 不允许执行别人的命令
gvrp 全局模式下开启gvrp
gvrp 端口模式下开启gvrp 注意要先改trunk链路并允许所有vlan通过
gvrp registration normal 更改端口模式为normal
开启GVRP默认是normal

端口trunk链路 默认阻止gvrp命令的发送 需要允许通过。
单臂路由的原理：
主机通过广播（ARP请求）的方式找到路由器端口（网关）
路由器端口收到ARP请求，转发数据到目的端口
目的端口将数据发送难道目的主机。
网关：是一个网络的出口或者边界，进行协议的转换。（一般网关地址就是所在网络路由端口的地址。）
网桥：实现数据跨越网络的功能。
华为路由器默认情况下屏蔽ARP请求
dot1q termination vid 10(在虚拟端口下)封装802.1q协议 给vid为10的网络使用此端口
ip address 192.168.1.1 255.255.255.0 配置IP地址（注意地址就是网关地址）
arp broadcast enable 打开端口ARP请求响应
undo info enable关闭日志（暂时）
display ip interface brief 查询端口IP地址

广域网具有传输距离远等特性 局域网中的以太网接口不能使用。（RJ45接口双绞线）
串行链路用于广域网长距离传输
两种常见协议（广域网）：1、HDLC高级数据链路控制
在端口（一定是串口链路S）模式下：link-protocol hdlc（华为模拟器默认串口链路下为PPP协议）
PPP协议是可以进行用户认证的（验证账号和密码如果符合则表示此用户为合法用户）
AAA认证服务
企业网络设备基本都有本地模式（只有用本地接口才能控制此设备）
PPP验证配置需要重启端口后才能生效
验证方：
既然要认证 那么首先要有可以认证的凭据（创建账号lzl和密码123）
local-user lzl password cipher 123
确认认证方式为PPP
local-user lzl service-type ppp
确认串口线路端口使用PPP 明文（pap）/密文（chap）验证模式
ppp authentication-mode pap /chap
CHAP验证（密文验证）被验证方
ppp chap user lzl
ppp chap password cipher 123

针对端口不常用或者端口地址不够的情况我们可以借用同设备另一个端口的地址使用。
ip add unnumbered interface GigabitEthernet 0/0/0 借用同设备的另一个端口G0/0/0的地址使用
通设备地址调用
优点：可以大大节约地址的使用 可以减少配置防止地址冲突
缺点：地址借用会导致数据转发效率较低

总结：一般地址借用使用在端口数据量较低且不常使用的端口上。
remote address 192.168.2.2 预留分配给对端的地址 地址号192.168.2.2
ip address ppp-negotiate请求对端分配地址
对端设备地址调用
优点：转发效率不会降低、不用担心网络不在同一网段
缺点：会占用大量地址。

PPP协议概括的说点到点传输。传输精度高 但是数据传输效率较低。一般用户流量监控和计费
FR协议（帧中继）分组交换协议。组成虚电路实现数据高速完整传输。一般用户广域网之间高效传输。

FR协议端口必须是DT E（客户端）对DCE（服务端）（有时钟图标）
华为串口默认为DTE
DLCI标示（虚电路名称）设备之间的DLCI是没有关联的
我们把虚电路建立的这个行为叫做映射。
动态映射：无须管理员配置，自主建立映射。
静态映射：需要管理员自行配置，建立虚电路。
服务端设置：
link-protocol fr 变为fr协议
fr interface-type dce 改变端口模式为DCE
fr map ip 192.168.2.1 100 broadcast 建立虚电路到192.168.2.2 路名（DLCI）为100 允许此虚电路广播
rip协议需要靠广播才能相互交换路由表信息
客户端配置：
link-protocol fr 变为fr协议
fr interface-type dte（默认dte）可选
dis fr pvc-info 查看虚电路状态 actvie表示虚电路以建立并启动
虚电路是串口传输协议 不是路由协议！
OSPF协议配置:
ospf 进入ospf 进程号默认为1
area0 创建0号区域（主干网络）
network 192.168.1.0 0.0.0.255 声明网段 以及反子网掩码
路由表的作用：为数据转发方向提供依据。
默认路由表只包含直连网段的数据。
回环地址：一个永远不会关闭并且任何端口都可访问的地址。
路由表直连网络毕竟是有限的，所以路由表上信息也是有限的，如果要发送不属于此路由器上的网络的数据，那么就需要告诉路由器这个数据该从哪里发出。
路由协议：告诉路由器如何处理不属于你的网络的数据。
路由器接受到的数据，如果路由表中没有关于目的地数据的处理方式，会直接丢弃此数据。
静态路由：通过管理员自身对于网络的了解，人工告诉路由器针对某个地址的数据改如何转发。
动态路由：每个路由器在网络中声明自身所含直连网络，供其他路由器学习。

pppoe配置
aaa认证（先创建用于认证的账号和密码以及认证方式为ppp）
local-user lzl password cipher 123
local-user lzl service-type ppp

配置地址池pool（地址池内的地址是用于分配给拨号端使用的地址） 动态地址分配
ip pool lzl
network 192.168.2.0 mask 255.255.255.0

创建拨号端口（虚拟端口）
interface Virtual-Template 1
分配公网IP地址给对端（拨号端） 可以直接将pool地址池用于分配使用
确定自身的IP地址 用于正常通讯、
确定PPP认证方式（pap还是chap）
remote address pool lzl 将地址池用于对端地址的分配
ppp authentication-mode chap
ip add unnumbered interface g0/0/0 借用物理端口0/0/0上的地址
将虚拟拨号端口 绑定到实际发送数据的物理端口上
pppoe-server bind virtual-template 1
ip add 192.168.2.1 24（给虚拟端口借用）
拨号端配置
确认拨号规则以及创建拨号端口
dialer-rule 进入拨号视图
dialer-rule 1 ip permit 创建规则 1 允许ipv4数据通过
interface Dialer 1创建拨号端口1（用于进行pppoe协议身份认证）
ppp chap user lzl
ppp chap password cipher 123 使用chap认证方式认证账号和密码
dialer user lzl创建拨号用户用于创建拨号组和拨号标签
dialer-group 1 创建拨号组（确认使用拨号方式认证）
dialer bundle 1创建拨号标签（用于物理端口进行绑定）
ip address ppp-negotiate 从对端端口获取地址
将拨号端口绑定在物理端口上
pppoe-client dial-bundle-number 1 在物理端口上将拨号端口以通过拨号标签1来进行绑定

NAT地址转换
为什么要使用NAT？ 因为IPV4地址不够，如果想要实现所有设备上网，就必然会有重复的地址出现在网络中而这是与IP协议相互冲突的。
我们通过将重复使用的地址与网络中的地址进行隔离让它们永远不能相互访问，这样就可以避免网络中地址重复的问题。
那个被隔离的地址也要访问网络啊，他被隔离了还怎么访问？
通过中间人（公网地址+NAT）实现隔离地址访问互联网。

1 2 3 4 6 7 8 9 （地址转换）5 ← 1 2 3 4 6 7 8 9 10 ←1 2 3 4 5 6 7 8 9
这个用于转换的地址会不会经常被占用啊？
我们在同时传输数据
静态NAT（一个地址对应一个转换地址）方便两个网络相互访问
动态NAT（多个地址对应一个转换地址）方便两端多个地址同时进行数据访问
使用端口号（传输层）是转换地址具有唯一性
在IP地址后面加上端口号 实现多个地址对应一个地址同时进行传输和地址转换。
easy IP 同一网段地址使用一个地址进行转换
acl 2000 创建访问控制列表2000
rule 5 permit source 192.168.1.0 0.0.0.255 在表中声明允许通过数据的地址网段
在端口模式下
nat outbound 2000 使用easy IP（多个私网地址使用一个公网地址）这种nat方式进行地址转换 表示将所有表2000内的地址转换为当前端口地址。
outbound 出流量转换
nat server 入流量转换
nat server protocol tcp global 10.1.12.1 80 inside 192.168.1.5 80
将发送给10.1.12.1:80端口的tcp协议数据转换成发送给192.168.1.5:80端口
默认路由
路由器不知道数据改如何处理 但是不想丢弃
直接交给下一个指定的路由器进行处理
ip route-static 0.0.0.0 0.0.0.0 10.1.12.253

动态NAT（多个私网地址使用多个公网地址）
nat address-group 1 10.1.12.1 10.1.12.2添加NAT地址转换地址池（规定转化后的公网地址从10.1.12.1开始到10.1.12.2结束）
nat outbound 2000 address-group 1 将ACL2000访问控制列表中允许通过的私网地址（192.168.1.0网段）
转换成NAT地址池中的地址发送（10.1.12.1到10.1.12.2）
静态NAT（一个私网地址对应一个公网地址）
nat static global 10.1.12.3 inside 192.168.1.5
将公网地址10.1.12.3转换成私网地址192.168.1.5

easy IP 多对一 优点和缺点：非常节约公网地址的数量，不需要额外购买其他公网地址，会占用大量公网地址的端口用于NAT转发，不利于经常使用特定端口转发数据的应用场景。
动态NAT 多对多 优点和缺点：地址充足 转换压力小灵活。需要额外花费去购买公网地址。
静态NAT 一对一 优点和缺点： 对路由器来说转换压力最小，转发速度快。只能针对一个地址进行转发数据。
ACL访问控制列表access list
ACL的作用：
配合某些协议使用 用于规定范围。
决定数据是否放行或者丢弃
ACL列表数的意义：
2000-2999 基础访问控制列（针对地址进行流量控制）
rule 1 deny source 192.168.1.5 255.255.255.255
禁止来自192.168.1.5的数据访问
3000-3999 高级访问控制列 （在基础访问控制列表的基础上可以针对特定端口或者协议进行放行或者丢弃）
rule deny tcp destination 192.168.2.2 0 destination-port eq 80 当数据是发送给192.168.2.2并且是目的地的80端口时并且是发送的tcp协议数据会被禁止。
80
eq=
gt>
lt<

number not found WEB服务器（404） 你所访问的页面不存在
403访问服务器出错
500+ 服务器内部代码错误
101 服务器连接错误
200 服务器正常访问
outbound 出流量 （指数据从这个端口发送到另一个端口）
inbound 入流量（指数据从另一个端口发送到这个端口）
基础访问控制列表 功能单一 但路由器工作量小，转发性能强
高级访问控制列表 功能强大 但路由器压力较大，转发性能相较于基础访问控制列表较弱。
对于多条访问控制列表命令来说是有优先级的 上一条的优先级大于下一条

子网掩码（32）数字位表示 255.255.255.0点分十进制
24=在32位子网掩码中前24位是1 后8位是0
11111111 11111111 11111111 00000000
255 255 255 0
24=255.255.255.0
27=在32位子网掩码中前27位是1 后5位是0
11111111 11111111 11111111 11100000
255.255.255.224

AAA认证
认证 授权 计费
RADIUS HWTACACS
本地认证和授权
AAA服务器认证授权
认证：确认访问者身份是否合法
授权：给予访问者一定的权限可以做某些事情
计费：对访问者使用网络的行为进行相关规则的费用计算。
如果只有路由器本身的话，路由器只支持认证和授权（简单的认证授权），如果需要完成复杂认证和授权的话还有计费则需要在路由器上连接一个AAA服务器。
连接服务器认证的方式称为远端认证 有两种配置方案（Radius或HWTACACS）
认证方式：
1、不认证
2、本地认证
3、远端认证
什么是域？
域是方便进行大量用户的管理，比如针对每一个用户都进行权限计费认证等配置操作太麻烦，将配置操作集中在一个域中，只需将你要配置的用户加入此域即可完成相关配置。
VPN：虚拟专用网络（虚拟加密网络）（加密数据保证数据安全）
通过将路由器设备的两端进行相关的协议配置 在设备间建立一条虚拟的专用网络通道，此通道只有建立配置的两个设备能够使用进行数据的传输。
节点：指进行数据加密和数据解密的网络设备 一般指配置VPN的路由器
手工方式建立IPSec安全联盟
1、定义需要保护的数据流。IPSec能够对不同的数据流进行安全保护。实际应用中，通过高级ACL定义需要IPSec保护的数据流，然后在安全策略中引用该ACL，从而起到保护该数据流的作用
2、配置安全提议。定义认证协议报文时所使用的安全协议、认证和加密算法以及协议报文的封装模式，以指定对协议报文实施何种保护。(创建后不配置表示使用默认，也可以进行配置手动修改参数)
3、配置安全联盟（SA）。定义安全联盟引用的安全提议、安全索引参数以及认证和加密密钥（手工方式配置需要规定好spi出端口和如端口的参数等 自动IKE方式则需要配置IKE对等体）
4、进入端口将安全联盟绑定在端口上。
如果认证方式是AH不是ESP的话 不要使用MD5进行认证 安全性极差
安全联盟（SA）可以配置多个可以绑定多个在物理端口上。
1、建立保护的数据流：
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255（规定当数据从192.168.1.0网段发出并且发送给192.168.2.0网段时此数据会被加密）
2、建立安全提议
ipsec proposal anquan（创建一个名为anquan的安全提议、默认情况下封装协议为Tunnel 、封装方式为esp、认证方式为md5、加密方式为des。上述配置均可手动更改但对端必须与之相同）
3、建立安全联盟（SA）
ipsec policy lianmeng 1 manual（创建一个名为liangmeng的安全联盟 优先级为1 手工配置）

security acl 3000（绑定保护数据流）
proposal anquantiyi（绑定安全提议）
tunnel local 1.1.1.1（指定自己作为节点的IP端口）
tunnel remote 2.2.2.1（指定对端作为节点的IP端口）
sa spi inbound esp 54321（创建入流量spi索引为54321与对端出流量对应）
sa string-key inbound esp simple huawei（创建入流量字符串加密方式的秘钥 明文显示可以被dis this查询到 内容为 华为）
sa spi outbound esp 12345（创建出流流量spi索引为12345与对端入流量对应）
sa string-key outbound esp simple huawei（创建出流量字符串加密方式的秘钥 明文显示可以被dis this查询到 内容为 华为）
4、绑定安全联盟SA到物理端口上
ipsec policy lianmeng 将lianmeng绑定在物理端口上

IKE自动协商 搭建IPSec
通过使用IKE，让设备自行完成相关加密认证参数的配置和匹配，从而实现ipsec加密数据传输 搭建VPN。
1、建立保护的数据流：
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255（规定当数据从192.168.1.0网段发出并且发送给192.168.2.0网段时此数据会被加密）
2、建立安全提议
ipsec proposal anquan（创建一个名为anquan的安全提议、默认情况下封装协议为Tunnel 、封装方式为esp、认证方式为md5、加密方式为des。上述配置均可手动更改但对端必须与之相同）
3、创建IKE安全提议
IKE安全提议与安全提议性质完全一致，只是针对的目标由IPSec变成了IKE协商协议本身。（通安全提议一样 IKE安全提议也有默认配置。）
4、创建IKE对等体（和SA安全联盟性质一样，不过只针对IKE相关配置进行集合。）
5、创建安全联盟SA
6、将安全联盟绑定在物理端口上
GRE协议（通用路由协议）
将一种协议的报文封装在另一种协议的报文中。一种隧道封装技术。
GRE协议是因为什么需求而诞生的？
在中文的外面套一个盒子 完成英文的相互交流 但本质我的思想或实质内容还是中文。
在复杂网络中 会同时存在多种路由协议，如何实现路由协议的正常传输和使用，通过GRE协议 在所有路由协议外统一套上一个外壳，这个外壳所有设备都可以匹配，匹配完成够每个设备在独立的脱去这个外壳进行相关内容的读取。
路由协议也好，gre协议也好只是传输核心数据的工具（路由表信息）。
封装GRE协议的设备叫隧道端口（虚拟端口）