本次针对华为网络和思科网络不同进行总结
区别
ACL配置
这是我遇到的第一个问题 Cisco中ACL默认语句:deny ip any any
华为中ACL默认语句:permit ip any any
ACL命令
常用的Cisco网络命令
路由器口令配置
router>enable
router#config terminal 进入全局配置模式
router(config)#hostname 设置交换机的主机名
router(config)#enable secret xxx 设置特权加密口令
router(config)#enable password xxb 设置特权非密口令
router(config)#line console 0 进入控制台口
router(config-line)#line vty 0 4 进入虚拟终端
router(config-line)#login 要求口令验证
router(config-line)#password xx 设置登录口令xx
router(config)#(Ctrl+z) 返回特权模式
router#exit 返回命令
路由器配置
router(config)#int s0/0 进入Serail接口
router(config-if)#no shutdown 激活当前接口
router(config-if)#clock rate 64000 设置同步时钟
router(config-if)#ip address 设置IP地址
router(config-if)#ip address second 设置第二个IP
router(config-if)#int f0/0.1 进入子接口
router(config-subif.1)#ip address 设置子接口IP
router(config-subif.1)#encapsulation dot1q 绑定vlan中继协议
router(config)#config-register 0x2142 跳过配置文件
router(config)#config-register 0x2102 正常使用配置文件
router#reload 重新引导
路由器文件操作
router#copy running-config startup-config 保存配置
router#copy running-config tftp 保存配置到tftp
router#copy startup-config tftp 开机配置存到tftp
router#copy tftp flash: 下传文件到flash
router#copy tftp startup-config 下载配置文件
ROM状态:
Ctrl+Break 进入ROM监控状态
rommon>confreg 0x2142 跳过配置文件
rommon>confreg 0x2102 恢复配置文件
rommon>reset 重新引导
rommon>copy xmodem: flash: 从console传输文件
rommon>IP_ADDRESS=10.65.1.2 设置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0 设置路由器掩码
rommon>TFTP_SERVER=10.65.1.1 指定TFTP服务器IP
rommon>TFTP_FILE=c2600.bin 指定下载的文件
rommon>tftpdnld 从tftp下载
rommon>dir flash: 查看闪存内容
rommon>boot 引导IOS
路由
ip route 命令格式
router(config)#ip route 2.0.0.0 255.0.0.0 1.1.1.2 静态路由举例
router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 默认路由举例
router(config)#ip routing 启动路由转发
router(config)#router rip 启动RIP路由协议。
router(config-router)#network 设置发布路由
router(config-router)#negihbor 点对点帧中继用。
帧中继命令
router(config)#frame-relay switching 使能帧中继交换
router(config-s0)#encapsulation frame-relay 使能帧中继
router(config-s0)#fram-relay lmi-type cisco 设置管理类型
router(config-s0)#frame-relay intf-type DCE 设置为DCE
router(config-s0)#frame-relay dlci 16
router(config-s0)#frame-relay local-dlci 20 设置虚电路号
router(config-s0)#frame-relay interface-dlci 16
router(config)#log-adjacency-changes 记录邻接变化
router(config)#int s0/0.1 point-to-point 设置子接口点对点
router#show frame pvc 显示永久虚电路
router#show frame map 显示映射
访问控制列表ACL
router(config)#access-list permit|deny
router(config)#interface ;default:deny any
router(config-if)#ip access-group in|out ;defaultut
例1
router(config)#access-list 1 deny host 10.65.1.1
router(config)#access-list 1 permit any
router(config)#int f0/0
router(config-if)#ip access-group 4 in
例2
router(config)#access-list 4 permit 10.8.1.1
router(config)#access-list 4 deny 10.8.1.0 0.0.0.255
router(config)#access-list 4 permit 10.8.0.0 0.0.255.255
router(config)#access-list 4 deny 10.0.0.0 0.255.255.255
router(config)#access-list 4 permit any
router(config)#int f0/1
router(config-if)#ip access-group 4 in
access-list permit|deny icmp [type]
access-list permit|deny tcp [port]
例1
router(config)#access-list 101 deny icmp any 10.64.0.2 0.0.0.0 echo
router(config)#access-list 101 permit ip any any
router(config)#int s0/0
router(config-if)#ip access-group 101 in
例2
router(config)#access-list 102 deny tcp any 10.65.0.2 0.0.0.0 eq 80
router(config)#access-list 102 permit ip any any
router(config)#interface s0/1
router(config-if)#ip access-group 102 out
删除访问控制例表
router(config)#no access-list 102
router(config-if)#no ip access-group 101 in
路由器的NAT配置
Router(config-if)#ip nat inside 当前接口指定为内部接口
Router(config-if)#ip nat outside 当前接口指定为外部接口
Router(config)#ip nat inside source static [p] <私有IP><公网IP> [port]
Router(config)#ip nat inside source static 10.65.1.2 60.1.1.1
Router(config)#ip nat inside source static tcp 10.65.1.3 80 60.1.1.1 80
Router(config)#ip nat pool p1 60.1.1.1 60.1.1.20 255.255.255.0
Router(config)#ip nat inside source list 1 pool p1
Router(config)#ip nat inside destination list 2 pool p2
Router(config)#ip nat inside source list 2 interface s0/0 overload
Router(config)#ip nat pool p2 10.65.1.2 10.65.1.4 255.255.255.0 type rotary
Router#show ip nat translation
rotary 参数是轮流的意思,地址池中的IP轮流与NAT分配的地址匹配。
overload参数用于PAT 将内部IP映射到一个公网IP不同的端口上。
外部网关协议配置
routerA(config)#router bgp 100
routerA(config-router)#network 19.0.0.0
routerA(config-router)#neighbor 8.1.1.2 remote-as 200
常用查询
show ip route ;查看路由表
show vlan 查看vlan配置信息
show interface 查看端口信息
show running-config ;查看当前设备配置
show access-list ;查看访问控制列表配置及匹配数据包数量
show vtp status 查看vtp配置信息
show running-config 查看当前配置信息
show int f0/0 查看指定端口信息
dir flash: 查看闪存
show version 查看当前版本信息
show cdp cisco 设备发现协议(可以查看聆接设备)
show cdp traffic 查看接收和发送的cdp包统计信息
show interface f0/1 switchport 查看有关switchport的配置
show cdp neighbors 查看与该设备相邻的cisco设备
show interface stats ;查看交换机所有接口当前接口流量
show version ;查看IOS版本信息及设备正常运行时间
show clock ;查看设备时钟信息
show vtp status ;查看交换机vtp配置模式
show vtp password ;查看交换机vtp配置口令
show env all ;查看设备温度,电源和风扇运转参数及是否报警
show inventory ;调取设备内部板卡出厂模块型号及序列号
show spanning-tree root ;查看交换机生成树根位置
show cdp neighbors ;查看邻接cisco设备基本信息
show cdp neighbors detail ;查看邻接cisco设备详细信息
show interface status ;查看交换机接口状态是否存在errordisable接口disable接口
show interface summary` ;查看交换机所有接口当前接口流量
show interface | i errors|FastEthernet|GigabitEthernet ;查看接口是否存在大量input或output errors包错误
show processes cpu ;查看设备cpu负载
show processes mem ;查看设备mem负载
show logging ;查看本机内部日志记录情况
show firewall ;检查防火墙的工作模式
show conn count ;检查防火墙并发数
show xlate count ;检查防火墙nat工作状态
Cisco常用命令 Cisco常用命令1
常用的华为网络命令
用户视图
指令 含义 display ip interface brief 查看端口IP信息 display arp 查看ARP表 rebot 重启设备 reset saved-configuration 重置设备配置 system-view 进入系统视图 save 保存设备信息
系统视图
指令 含义 aaa 进入3A视图 acl [数字] 创建并进入acl规则视图,acl数字从2000开始为基础的规则,从3000开始为扩展规则 capwap source interface vlanif [VLAN编号] 建立capwap隧道 clear configuration interface [接口] 清除指定接口上的配置 dhcp enable 开启设备的DHCP(动态主机配置协议)功能 dhcp select global 开启基于地址池分配IP的功能 dhcp server excluded-ip-address [IP地址] 将指定的IP地址排除出IP地址池之外 dhcp snooping enable 开启DHCP的snooping功能 dhcp snooping enable vlan [数字] 在指定的VLAN中开启DHCP功能,属于该VLAN的DHCP功能将被允许 dhcp relay server-ip [IP地址] 设置DHCP服务器的端口地址 display acl all 显示当前所有的ACL规则 display ap all 查看所有AP设备的上线情况 display bridge mac-address 显示路由交换机的MAC地址 display current-configuration interface [端口信息] 显示防火墙的指定端口配置信息 display firewall session aging-time 查看防火墙会话表的老化时间 display firewall session table 查看防火墙会话表简要信息 display firewall session table verbose 查看防火墙会话表详细信息 display hrp state 显示hrp状态信息 display ip interface brief 显示防火墙接口配置信息 display ip routing-table 显示路由表 display mac-address 查看MAC表 display mac-address aging-time 查看MAC表老化时间 display saved-configuration 查看当前已保存配置 display this 显示当前配置 display vrrp 显示vrrp信息 display vrrp brief 查看当前vrrp备份组信息 firewall zone trust 进入防火墙的信任区视图 firewall zone untrust 进入防火墙的非信任区视图 hrp enable 开启HRP备份功能 hrp interface [接口名] [端口] remote [IP地址] 为vrrp设备指定心跳口,IP地址为端口的地址 interface [接口名] [端口] 进入某接口的视图 interface vlanif [网段] 进入指定VLAN的SVI虚拟接口 ip pool [名称] 创建并进入IP地址池 ip route-static [下一跳网段] [掩码] [下一跳IP地址] 设置静态路由,IP地址为下一跳路由器端口地址 ip route-static 0.0.0.0 0 [下一跳IP地址] 设置默认路由,IP地址为下一跳路由器端口地址。注意第四个0和第五个0中间是空格不是小数点,第五个0也可以写成0.0.0.0表示完全匹配 mac-address aging-time [时间] 设置MAC地址表老化时间,默认老化时间为300秒 mac-address static [MAC地址] [端口]vlan 1 将MAC地址绑定到指定端口,交换机中所有的接口默认vlan 1 port-group group-member [端口1] to [端口2] 将多个端口创建成临时的端口组,并进入该端口组 quit 返回上一级视图,即用户视图 return 返回上一级视图,即用户视图 rsa local-key-pair create 创建本地密钥对 security-policy 进入防火墙安全策略 stelnet server enable 开启SSH服务 sysname [名称] 修改设备名称 telnet server enable 开启telnet服务 undo info-center enable 关闭信息中心日志 undo mac-address 清空MAC表 user-bind static ip-address [IP地址] mac-address [MAC地址] interface [接口信息] vlan [数字] 创建用户绑定表,绑定IP、MAC、端口和VLAN user-interface console 0 进入console接口 user-interface vty 0 4 进入VTY接口,VTY即虚拟终端 vlan [网段] 创建并进入VLAN视图 vlan batch [网段1] [网段2] [网段3] … 创建多个VLAN wlan 进入wlan视图
接口视图
指令 含义 action permit 在安全策略规则视图下,将已设置的规则提交 active 在vrrp视图下,将设备加入到active的VGMP管理组 add interface [接口信息] 在信任区/非信任区视图下,将该接口划入信任区/非信任区 ap auth-mode mac-auth 在wlan视图下,设置AP设备的认证模式为MAC认证 ap-id [编号] 创建并进入指定的AP视图 ap-mac [MAC地址] 在ap视图下,配置ap设备的物理/MAC地址 ap-name [名称] 在ap视图下,设置ap视图的名称 ap-group [ap组名称] 在ap视图下,将当前的ap模板添加到ap组中 ap-group name [模板名称] 在wlan视图下,创建ap组,进入ap组视图 authentication-mode aaa 在VTY接口视图下,设置3A模式 authentication-mode password 在cosole接口下,当指令输入完毕,提示设置本地设备密码 bind manager-user [用户名] role system-admin 在3a视图下,绑定指定用户为系统管理员 country-code [国家码] 在domain视图下,设置国家码,中国的国家码为cn destination-zone [trust untrust] 在安全策略规则视图下,设置规则的目的为信任区域/非信任区 dhcp select relay 在端口视图下,开启端口的DHCP中继功能 dhcp snooping trusted 在端口视图下,将该接口设置为信任模式 display this 在端口视图下,显示当前配置 dns-list [IP地址] 在IP地址池视图下,设置地址池默认的DNS服务器 excluded-ip-address [IP地址a] [IP地址b] 在IP地址池视图下,将IP地址范围a到b的地址排除在IP地址池外 forward-mode [转发方式] 在vap视图下,转发方式为tunnel表示隧道转发,direct-forward表示直接转发 gateway-list [IP地址] 在IP地址池视图下,设置默认网关地址 idle-timeout [分钟] [秒] 在console0视图下,设置用户连接的超时时长,如果不填参数的话默认的时长为10分钟,如果设置成idle-timeout 0表示经过任何时长用户都不会退出登录。 ip address [IP地址] [掩码] 在接口视图下,设置接口的IP地址 level [数字] 在3a模式的用户视图下,设置用户等级 mac-address learning disable action [discard forward] 在接口视图下,关闭接口的自动学习功能,若不填写action及后面的参数discard时默认为forward。discard表示不学习也不转发报文,设置为forward时不会自动学习但会转发报文。 mac-vlan mac-address [MAC地址] 在VLAN视图下,将MAC地址与该VLAN进行绑定 manager-user [用户名] 在aaa视图下,创建并进入指定用户视图 net work [IP地址] mask [掩码] 在IP地址池视图下,设置地址池可分配的IP地址范围 password 在3a模式的用户视图下,设置指定用户的密码 port default vlan [网段] 在接口视图下,为接口分配VLAN port hybrid pvid vlan [网段] 在接口视图下,设置接口的VLAN port hybrid [ tagged untagged ] vlan [网段1] [网段2] … 在端口视图下,设置经过该端口的网段报文将会被添加tag或去除tag port link-type [access or trunk or hybrid] 设置接口的VLAN类型,access类型用于主机和交换机间,trunk类型用于交换机和交换机之间, hybrid是华为交换机特有的接口类型兼容了access和trunk port-security enable 在接口视图下,开启接口的安全功能 port-security mac-address sticky 在接口视图下,设置安全功能,当第一次学习到MAC地址就会绑定对应的端口 port-security max-mac-num [个数] 在端口视图下,设置端口安全功能的MAC地址最大学习数 port-security protect-action [protect restrict shutdown] 在端口视图下,设置端口安全功能中学习到MAC超过限制或出现静态MAC地址漂移时的保护动作,shutdown为关闭端口可用于泛洪攻击的防御手段。 port trunk allow-pass vlan [网段1] [网段2] [网段3] … 在接口视图下,设置trunk口允许通过的VLAN网段 preempt-mode timer delay [时长] 在vrrp视图下,设置抢占延迟时间,单位为秒 priority [优先级] 在vrrp视图下,设置对应的优先级,不填写优先级时默认100,数字越大优先级越高 protocol [inbound outbound] [协议类型] 在VTY接口视图下,允许指定协议类型的报文通过,all表示所有协议类型 quit 在接口视图下,返回上一级视图,即系统视图 regulatory-domain-profile [domain模板名称] 在ap组视图下,绑定domain模板 regulatory-domain-profile name [模板名称] 在wlan视图下,创建域管理模板,进入domain视图 rule name [规则] 在安全策略视图下,创建并进入安全策略规则视图 rule deny ip 在 acl规则视图下,禁止所有的IP报文通过端口,禁止范围不包括acl规则允许的IP地址。 rule deny source [IP地址段] 0.0.0.255 在acl规则视图下,设置只禁止来自目标IP地址段的报文通过,目标IP地址段末尾为0 rule [deny permit] tcp source [IP地址] 0 destination-port eq [协议类型] 在acl规则视图下,permit表示允许源IP地址可以使用指定的协议服务访问目标IP地址,deny表示拒绝源IP地址使用指定的协议服务访问目标IP地址。eq表示两个等于号,0表示完全匹配。 rule [deny permit] source [IP地址段] 0.0.0.0.255 在acl规则视图下,permit表示只允许来自目标IP地址段的报文通过,deny表示只禁止来自目标IP地址段的报文通过,目标IP地址段末尾为0 security [安全策略] [接入认证方式] pass-phrase [wifi密码] [加密方式] 在sec视图下,设置wifi的信息,安全策略常用wpa-wpa2,接入认证方式采用psk,加密方式采用aes security-profile [sec模板名称] 在vap视图下,绑定sec模板 security-profile name [模板名称] 在wlan视图下,创建sec模板,进入sec视图 service-manage [协议类型] permit 在接口视图下,允许指定协议类型的报文通过。如果需要使用网页登录防火墙时,可设置https类型报文通过。如果需要使用telnet登录防火墙时,就允许telnet类型报文通过。all类型表示所有协议 service-type [协议类型] 在3a模式的用户视图下,允许指定协议报文通过 source-zone [trust untrust] 在安全策略规则视图下,设置规则的来源为信任区域/非信任区 ssid [wifi名称] 在ssid视图下,设置wifi的名称 ssid-profile [ssid模板名称] 在vap视图下,绑定ssid模板 ssid-profile name [模板名称] 在wlan视图下,创建模板ssid,进入ssid视图 traffic-filter [inbound outbound] acl [数字] 在端口视图下,使用指定的ACL规则,inbound表示应用在进入端口的报文,outbound表示应用在从端口出去的报文 user privilege level [数字] 在VTY接口视图下,设置用户的权限等级 vap-profile name [模板名称] 在wlan视图下,创建vap模板,进入vap视图 vap-profile [vap模板名称] wlan [wlan编号] radio [射频参数] 在ap视图或ap组视图下,绑定vap模板,设置wlan,设置射频参数,参数为0表示2.4G赫兹,参数为1表示5G赫兹 virtual-ip [IP地址] 在vrrp视图下,配置虚拟IP地址 <br/ vrrp vrid [编号] 在接口视图下,创建并进入指定编号的vrrp备份组,若已存在则直接进入对应的vrrp视图
常用查询命令
指令 含义 display ip int brief 查看接口ip地址 display interface brief 查看接口的简要信息 display current-configuration 显示当前配置文件 display current-configuration 关键词(查看关键词的配置) display saved-configuration 显示保存的配置文件 display ip routing-table 查看路由表 display ospf peer 查看ospf邻居关系 display ospf lsdb 查看转发表 display fib 查看系统当前时间 display this 查看当前模式下的配置,比如在接口上敲这条命令就可以看到当前接口下的信息 display vlan 查看VLAN display arp 查看ARP表 display mac-address 查看MAC地址表 display bridge mac-address 查看本机MAC地址 华为常用命令参考 华为常用查询命令参考
流策略与简化流策略
这两个是Cisco网络所没有的,