VLAN间路由配置
单臂路由
配置交换机,主机
[sWA]vlan batch 2 3 //添加vlan 2 3
[SWA-GigabitEthernet0/0/1]port link-type trunk //进入go/o/1端口(干路),配置端口vlan为trunk模式
[SWA-GigabitEthernet0/0/1]port trunk allow-pass wlan 2 3 /干路端口,/设置端口允许vlan 2 3通过
[SWA-GigabitEthernet0/0/2]port link-type access //配置g0/0/2端口vlan为access模式
[SWA-GigabitEthernet0/0/2]port default vlan 2 //配置端口为vlan 2
[SWA-GigabitEthernet0/0/3]port link-type access //配置g0/0/3端口vlan为access模式
[SWA-GigabitEthernet0/0/3]port default vlan 3 //配置端口为vlan 3
配置路由
[RTAJinterface GigabitEthernet0/0/1.1 //进入端口g0/0/1.1虚拟接口
[RTA-GigabitEthernet0/0/1.l]dotlq termination vid 2 //配置该接口接收到带有vlan 2 tag标签的报文时,将剥离tag标签进行三层转发;该接口在发送报文时,会添加该子接口对应的vlan tag(此处vlan 2)到报文中
[RTA-GigabitEthernet0/0/1.1]ip address 192.168.2.254 24 //给该虚拟端口添加IP地址
[RTA-GigabitEthernet0/0/1.1]arp broadcast enable //设置子接口具有ARP广播功能
[RTAJinterface GigabitEthernet0/0/1.2 //进入g0/0/1.2虚拟端口
[RTA-GigabitEthernet0/0/1.2]dotlg termination vid 3 //配置该接口接收到带有vlan 3 tag标签的报文时,将剥离tag标签进行三层转发;该接口在发送报文时,会添加该子接口对应的vlan tag(此处vlan 3)到报文中
[RTA-GigabitEthernet0/0/1.2]ip address 192.168.3.254 24 //添加IP地址
[RTA-GigabitEthernet0/0/1.2]arp broadcast enable //配置该接口具有ARP广播功能
VALN路由-三层交换机配置
交换机-主机间配置
[SWA]vlan batch 2 3 //添加vlan 2 3
[SWA-GigabitEthernet0/0/1]port link-type access //配置端口为access模式
[SWA-GigabitEthernet0/0/1]port default vlan 2 //配置端口为vlan 2
[SWA-GigabitEthernet0/0/2]port link-type access //配置端口为access模式
[SWA-GigabitEthernet0/0/2]port default vlan 3 //配置端口为vlan 3
交换机配置
[SWA]interface vlanif 2 //进入vlanif 2接口
[SWA-Vlanif2]ip address 192.168.2.254 24 //添加IP地址,此地址为vlan 2主机所对应网关
[SWA-Vlanif2]quit
[SWA]interface vlanif 3 //进入vlanif 3接口
[SWA-Vlanif3]ip address 192.168.3.254 24 //添加IP地址,此地址为vlan 3主机所对应网关
[SWA-Vlanif3]quit
DHCP配置
-
DHCP接口地址池配置
[Huawei]dhcp enable //打开dhcp [Huaweilinterface GigabitEthernet0/0/0 //进入G0/0/0端口 [Huawei-GigabitEthernet0/0/0]dhcp selec interface //配置 [Huawei-GigabitEthernet0/0/0]dhcp server dns-list 10.1.1.2 //配置dns [Huawei-GigabitEthernet0/0/0]dhcp server excluded-ip-address 10.1.1.2 //设置保留地址 [Huawei-GigabitEthernet0/0/0]dhcp server lease day 3 //设置dhcp更新时间为3天
-
DHCP全局地址池配置
[Huaweildhcp enable //打开dhcp
[Huaweilip pool pool2 //进入全局地址池米更名为pool2
[Huawei-ip-pool-poo12]network 1.1.1.0 mask 24 //设置地址池为1.1.1.0 24网段
[Huawei-ip-pool-poo12]gateway-list 1.1.1.1 //设置网关
[Huawei-ip-pool-poo12]lease day 10 //设置过期时间
[Huawei-ip-pool-poo12]quit
[Huawei]interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1]dhcp select global //配置接口全局地址池
配置中继路由
dhcp enable //开启dhcp功能
interface 中继路由作为网关的接口IP地址 //接口号—进入接口 (需要几个网段就分别进入配置)
dhcp select relay //开启中继模式
dhcp relay server-ip DHCP服务器IP地址 //服务器物理ip—选择中继分配的接口
PPPoE配置
-
服务器
1配置地址池 [R2]ip pool pppdhcp //创建dhcp地址池,名称为Pppdhcp,用于分发地址 [R2-ip-pool-pppdhcplnetwork 100.1.1.0 mask 255.255.255.0 //华为设置从最高的地址开始分配,所以第一个分配的地址是100.1.1.254 [R2-ip-pool-pppdhep]gateway-list 100.1.1.1 //地址池网关 [R2-ip-pool-pppdhcpldns-list 8.8.8.8 //dns地址 [R2-ip-pool-pppdhcplquit //退出地址池配置模式
2设置模板 [R2]interface virtual-Template 1 //配置虚拟模板和调用模板 [R2-Virtual-Templatel]ppp authentication-mode chap //虚拟模板启用chap认证 [R2-Virtual-Templatel]remote address pool pppdhcp //对端地址关联dhcp名称 [R2-Virtual-Templatel]ip address 100.1.1.1 24 //配置IP地址和子网掩码 [R2-Virtual-Templatel]quit //退出虚拟模板和调用模板模式
3绑定到物理接口 [R2]int GigabitEthernet 0/0/0 //进入接口gi0/0/0中 [R2-GigabitEthernet0/0/0]pppoe-server bind virtual-template 1 //绑定虚拟模板接口 [R2-GigabitEthernet0/0/0]quit //退出接口配置模式 //退出虚拟模板和调用模板模式
4设置账号 [R2]aaa //进入aaa认证模式 [R2-aaa]local-user huawei password cipher huawei //创建huawei账户,加密密码huawei [R2-aaa]local-user huawei service-type ppp //允许此账号使用PPP协议登录 [R2-aaa]quit //退出aaa认证模式
5配置回环她址 [R2]int LoopBack 0 //创建回环地址0 [R2-LoopBackOlip address 1.1.1.1 32 //创建回环地址0 R2-LoopBack0]quit //退出配置模式 //退出aaa认证模式
-
客户端网关
[RTA]dialer-rule //常见拨号访问规则 [RTA-dialer-rule]dialer-rule l ip permit 定义用于触发pppoe会话建立的流量类型,一般是ip [RTA-dialer-rulel]quit [RTA]interface dialer 1 //创建拨号接口模板 [RTA-Dialerl]dialer user enterprise //改命令必须配置,否则不能配置后续命令(用户名任意) [RTA-Dialerl]dialer-group 1 //定义拨号访问规则 (匹配dialer-rule) [RTA-Dialerl]dialer bundle 1 //定义拨号接口捆绑编号,用于绑定到物理接口 [RTA-Dialerl]ppp chap user huawei //配置用于chap验证的用户名 [RTA-Dialerl]ppp chap password cipher huawei //配置用于chap验证的密码 [RTA-Dialerl]ip address ppp-negotiate //定义地址获取方式 [RTAJinterface GigabitEthernet 0/0/1 [RTA-GigabitEthernet0/0/1]pppoe-client dial-bundle-number 1 on-demand //将拨号接口绑定到物理接口(与dialer bundle 1 一致) [RTA-GigabitEthernet0/0/1]quit [RTAJip route-static 0.0.0.0 0 dialer 1 //默认路由 //配置验证 display interface dialer 1 display pppoe-client session summary
NAT配置
-
静态NAT配置
[RTAJinterface GigabitEthernet0/0/1 [RTA-GigabitEthernet0/0/1]ip address 192.168.1.254 24 [RTA-GigabitEthernet0/0/linterface Serial1/0/0 [RTA-Serial1/0/0]ip address 200.10.10.2 24 [RTA-Serial1/0/0]nat static global 202.10.10.1 inside 192.168.1.1 //将私网地址192.168.1.1转化为共有地址202.10.10.1 [RTA-Serial1/0/0]nat static global 202.10.10.2 inside 192.168.1.2 //将私网地址192.168.1.2转化为共有地址202.10.10.2 //转换地址不可与接口地址相同
-
端口NAT配置
//配置动态地址池 nat address-group 1 100.100.12.100 100.100.12.100 /*由于为端口nat,只用一个IP,使用该IP的粗通端口进行转发,一次实现多设备域internat通信 命令解释:创建编号为1的动态nat地址池,从100.100.12.100到100.100.12.110。 */ //配置ACL匹配 acl 2000 rule 5 permit source 192.168.0.0 0.0.0.255 /*命令解释: ACL是一个匹配工具, 第一句命令:创建一个编号为2000的ACL, 第二句命令:创建编号为5的规则(rule 5),允许源IP地址段为192.168.0.0 子网掩码为24的数据包通过(permit source 192.168.0.0 0.0.0.255) */ //配置NAT转换 int g0/0/1 nat outbound 2000 address-group 1 /*命令解释:将外出(outbound)且满足ACL2000的数据包的源地址转换为address-group 1中的公网地址*/
-
动态NAT配置
//配置动态地址池 nat address-group 1 100.100.12.100 100.100.12.110 //命令解释:创建编号为1的动态nat地址池,从100.100.12.100到100.100.12.110。 //配置ACL匹配 acl 2000 rule 5 permit source 192.168.0.0 0.0.0.255 /*命令解释: ACL是一个匹配工具, 第一句命令:创建一个编号为2000的ACL, 第二句命令:创建编号为5的规则(rule 5),允许源IP地址段为192.168.0.0 子网掩码为24的数据包通过(permit source 192.168.0.0 0.0.0.255) */ //配置动态NAT转换 int g0/0/1 nat outbound 2000 address-group 1 no-pat //命令解释:将外出(outbound)且满足ACL2000的数据包的源地址转换为address-group 1中的公网地址,要加最后的no-pat。
-
easy nat配置
acl 2000 rule 5 permit source 192.168.0.0 0.0.0.255 int g0/0/1 nat outbound 2000
ACL配置
-
ACL基本配置
[RTAJac1 2000 [RTA-acl-basic-2000]rule 5 deny source 192,168.1,0 0.0.0.255 //规则5拒绝源192.168.1.0网段访问 [RTAJinterface GigabitEthernet 0/0/0 [RTA-GigabitEthernet 0/0/0]traffic-filter outbound acl 2000 //将acl 2000的规则添加到接口 //配置确认 display acl 2000 display traffic-filter applied-record
-
ACL高级配置
[RTAlac1 3000 [RTA-acl-adv-3000]rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21 //源IP网段拒绝访问目标IP的tpc端口的21端口 [RTA-acl-adv-3000]rule 10 deny IP source 192.168.2.0 0.0.0.255 destination 172.16.10.2 0.0.0.0 //规则5拒绝源192.168.2.0网段访问目标172.16.10.2网段 /* rule 规则,deny 拒绝,tcp协议,destination 目标地址 */ [RTA-acl-adv-3000]rule permit ip [RTA-GigabitEthernet 0/0/0]traffic-filter outbound acl 3000 //将acl 3000添加到接口 //配置验证 display acl 3000 display traffic-filter applied-record
-
3
OSPF配置
- 区域认证和链路认证
- 区域认证:明文认证或密文认证
- 链路认证:只在端口上做ospf认证
-
基本配置
ospf 1 area 0 //进入area 0区域,进入骨干区域 ,(0为0.0.0.0,0为简写。Area 1为0.0.0.1与ip写法一样) network 10.1.1.0 0.0.0.255 //添加网关接口所在网段,宣告网络,并开启接口OSPF功能。
-
多区域配置
ospf 1
area 0 //进入area 0区域
network 10.1.1.0 0.0.0.255 //添加网关接口所在网段,宣告网络,并开启接口OSPF功能。
area 1 //进入area 1区域
network 192.168.1.0 0.0.0.255 //添加网关接口所在网段,宣告网络,并开启接口OSPF功能。
-
区域明文、密文配置
ospf 1 area 0 network 10.1.1.0 0.0.0.255 //添加网关接口所在网段,宣告网络,并开启接口OSPF功能。 authentication-mode simple plain 密码 //明文加密 authentication-mode simple 密码 //密文加密 //相同明文认证的网关才能互通 检查 display this
-
链路认证配置
authentication-mode mad5 1 密码 //链路端口加密