华为路由配置命令
display ip int brief 查看接口ip地址
display interface brief 查看接口的简要信息
display current-configuration 显示当前配置文件
display current-configuration 关键词(查看关键词当前的配置)
display saved-configuration 显示保存的配置文件
display ip routing-table 查看路由表
display ospf peer 查看ospf邻居关系
display ospf lsdb 查看链路关系数据库
display clock 查看系统当前时间
display this 查看当前模式下的配置,比如在接口上敲这条命令就可以看到当前接口下的信息
————————————————
路由配置
display current-configuration | include ip route 显示当前配置|包含ip路由
undo ip route-static 撤消ip路由静态
ip route-static (+目地IP地址和子网+下跳地址) ip路由静态
注意:常用格式是目地IP最后一位是O,0表示所有 如果只指定一台机那就是目地地址+32子网
display ip interface brief 显示ip接口简介
DHCP配置
串口配置:
dhcp enable dhcp启用
int g0/0/0 进入0/0/0接
Dhcp select interface Dhcp选择接口
Dhcp server dns-list (+DNS) Dhcp服务器dns列表
Dhcp server excluded-ip-address(+IP地址) Dhcp保留地址
(一般需要保留DNS关联地址)
Dhcp server lease day() dhcp租期时间()天
全局地址池配置
Ip pool (+name) 创建ip pool地址池(+名字)
Network(+网段)mask (+子网) 网络网段+子网
Gateway-list(+网关地址) 网关
Lease day 租期时间
Dhcp select global(注意要进入接口关联) Dhcp选择全局
display ip pool 显示IP池(查看配置验证)
FTP配置 (控制连接是21号端口,数据连接是20号端口)
(服务端)
ftp server enablc 开启FTP服务
Set default ftp-directory flash:/ 设置默认ftp目录为flash:/
进行aaa认证 aaa
Local-user xxx password cipher(密文) xxx 指定账号和密码
Local-user xxx service-type ftp 指定接入类型是FTP
Local-user xxx ftp-directory flash:/ 指定用户访问的目录flash:/
Local-user xxx access-limit(+数字)? 用户访问最大连接数多少
Local-user xxx idle-timeout(+0 0可修改)? 用户超时时间
Local-user xxx privilege level(+数字) 指定用户等级
(注意3-15级是管理级)
(访问端)
ftp+服务端地址(注意前提访问题与目标端网络是通的)
用dir 查看文件
Get vrp.cc下载文件
Telnet配置(端口23)
服务端配置
User-interface maximus-vty(0-15) 更改VTY访问数
Intcrface ethernet(+接口) 进入接口
Ip address(+ip 子网) 配置IP
User-interface vty 0 4 配置VTY访问数
Authentication-mode password 身份验证模式密码
Set authentication password cipher 设置身份验证密码密码
客户端
Telnet(+端口接口IP)
HDLC基本配置
Interface serial (+接口) 进入串口
Link-protocol hdlc 改变接口类型为HDLC
Ip address (+IP地址+子网) 配置IP
HDLC接口地址借用
Interface serial (+接口) 进入串口
Link-protocol hdlc 改变接口类型为HDLC
Ip address unnumbered interface loopback (+X) 将接口替代为环回口、
Ip route-static (+ip地址+子网)serial (+接口) 指定环回口地址为静态路由串口地址(主要用于节省地址,一般不用,因为既然不用环回口,就可以直接配置HDLC)
Display ip interface brief 显示ip接口简介
PPP基本配置
Interface serial (+接口) 进入串口
Link-protocol ppp (华为串口默认为PPP) 改变接口类型为ppp
Ip address (+IP地址+子网) 配置IP
Pap认证
认证方
Aaa 三A认证
Local-user (+用户名)password cipher (+密码) 创建用户和密文密码
Local-user (+用户名)service-type PPP 用户服务类型为PPP
Interface serial (+接口) 进入串口
Link-protocol ppp (华为串口默认为PPP) 改变接口类型为ppp
Ppp authentication-mode pap 配置服务类型为PAP
Ip address (+IP地址+子网) 配置IP
被认证方
Interface serial (+接口) 进入串口
Link-protocol ppp (华为串口默认为PPP) 改变接口类型为ppp
Ppp pap local-user (+用户)password cipher (+密码) 配置PAP认证的用户和密码
(注意所有的被认证方配置的用户和密码必须要与认证方的一致)
Ip address (+IP地址+子网) 配置IP
Debugging ppp pap all 配置验证
chap认证(比PAP认证更安全)
认证方
Aaa 三A认证
Local-user (+用户名)password cipher (+密码) 创建用户和密文密码
Local-user (+用户名)service-type PPP 用户服务类型为PPP
Interface serial (+接口) 进入串口
Link-protocol ppp (华为串口默认为PPP) 改变接口类型为ppp
Ppp authentication-mode chap 配置服务类型为chAP
Undo Ppp authentication-mode (+协议) 删除认证协议
被认证方
Interface serial (+接口) 进入串口
Link-protocol ppp (华为串口默认为PPP) 改变接口类型为ppp
Ppp pap local-user (+用户)password cipher (+密码) 配置PAP认证的用户和密码
(注意所有的被认证方配置的用户和密码必须要与认证方的一致)
Debugging ppp chap all 配置验证
Undo Ppp pap local-user 删除认证协议用户
PPPOE配置
Dialer-rule 进入拨号规则
Dialer-rule (+1)ip permit 拨号规则(1)允许IP拨号
Interface dialer (+1) 进入拨号规则1
Dialer user enterprise 拨号用户(组名)
Dialer bundle 1 用来绑定物理接口
Ppp chap user enterprise@(+PPP用户) 配置关联PPP用户
Ppp chap password cipher (+ 密码) 配置PPP 密码
Ip address ppp-negotiate IP采用的是PPP协商
Interface g(+ 接口) 进入接口
Pppoe-client dial-bundle-number 1 on-demand(按需分配) 将dialer 1绑定物理接口
Quit 退出
Ip route-static 0.0.0.0 0 dialer 1 路由表中所有IP都可以通过拨号会话
Display interface dialer 1 配置验证
Display Pppoe-client session summary 显示Pppoe客户端会话在什么阶段
ACL:access list 访问控制列表 (交换机也可使用)
acl 三种:
基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。
三层ACL(4000-4999):可以匹配源MAC地址、目的MAC地址、以太帧协议类型
NAT实例根据命令行中的ACL匹配情况,将用户报文分配到不同的NAT地址池中进行NAT地址转换。只有匹配ACL规则的报文,并且该规则定义的动作是允许(permit),才可以使用对应的NAT地址池中地址进行NAT转换。)
基本ACL配置
Acl 2000 建立ACL2000
Rule(+5、10、15) deny source 192.168.1.0 0.0.0.255(通配符“0表示不可变,1表示可变”) 步长为(X)拒绝源IP地址192.168.1.0 到192.168.1.255
Interface g0/0/0 进入接口
Traffic-filter outbound acl 2000 接口处引入流量筛选ACL2000
Display acl 2000 查看ACL2000定议的规则
Display traffic-filter applied-record 查看交通过滤器应用记录
高级ACL配置 (源ip、目标ip、源端口、目标端口、协议(tcp/udp))
Acl3000
Rule deny(拒绝) tcp source (+ip+子网)destination (+ip+子网)destination-port eq (+端口号) 步长为(X)拒绝源IP地址到目地IP和端口号的TCP报文
Rule permit(允许) ip 允许所有的IP报文
Traffic-filter outbound acl 3000 接口出口应用acl3000
Display acl 3000 查看ACL3000定议的规则
Display traffic-filter applied-record 查看交通过滤器应用记录
扩展访问控制列表操作符的含义
No. item note
1 eq equal port number 等于
2 gt greater-than port number 大于
3 lt less-than port number 小于
4 neq not-equal port number 不等
5 range range port number1 por tnumber2 区域间
inbound:进入方向 站在路由器的角度考虑 数据包进入路由器“肚子”里面的时候
outbound:出方向 站在路由器的角度考虑 数据包从路由器的?肚子"向外发出时
四个注意事项:
注1:一个接口的同一个方向,只能调用一个acl
注2:一个acl里面可以有多个rule 规则,从上往下依次执行
注3:数据包一旦被某rule匹配,就不再继续向下匹配
注4: 用来做数据包访问控制时,默认隐含放过所有(华为 华三设备)
思科 锐捷 acl不管是用在什么地方,默认动作都是拒绝
注5: 在不影响实际效果的前提下,把包过滤尽量配置在离源地址最近的接口的入方向
NAT(地址转换)配置
静态NAT配置
Interface g(+接口) 进入接口
Ip address (192.168.1.254 24) (IP段) 配置IP地址
Interface serial(l/0/0) 进入串口
Ip address 200.10.10.2.24 (映射地址段) 配置IP地址
Nat static global 202.10.10.1 inside 192.168.1.1 配置NAT公网对应私网的地址
Nat static global 202.10.10.2 inside 192.168.1.2 配置NAT公网对应私网的地址
Display nat static 配置验证
动态NAT配置
Nat address-group 1 (200.10.10.1 200.10.10.200) 建Nat地址组1(+地址池)
Acl 2000 ACL2000
Rule 5 permit source 192.168.1.0 0.0.0.255 规则5许可证来源(+ip段)
Quit 退出
Interface serial(1/0/0) 进入串口
Nat outbound 2000 address-group 1 no-pat(不进行端口转换,不加此语句,就是NAPT转换) Acl2000允许NAT组1的行动
Display nat address-group 1 配置验证
Easy ip 配置
Acl 2000 ACL2000
Rule 5 permit source 192.168.1.0 0.0.0.255 规则5许可证来源(+ip段)
Quit 退出
Interface serial(1/0/0) 进入串口
Nat outbound 2000 将ACL 2000匹配的流量转换成该接口的IP地址作为源地址。
Display nat outbound 配置验证
Nat服务器配置
Interface g0/0/1 进入接口
Ip address 192.168.1.254 24 配置IP
Interface serial1/0/0 进入串口
Ip daaress 200.10.10.2 24 配置IP
Nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080
指定公网地址与私有地址的映射关系
Display nat server 配置验证
Napt 配置
Nat address-group 配置NAT地址池
Nat outbound acl编号 address-guoup 编号 在出接口关联一个ACL和一个NAT地址池
AAA认证(Authentication认证,Authorization授权,Accounting计费)
AAA配置
Aaa
Authentication-scheme auth1 身份验证方案auth1
Authentication-mode local 本地身份验证模式
Quit 退出
Authentication-acheme auth2 身份验证方案auth2
Authentication-mode local 本地身份验证模式
Quit 退出
Domain huawei huawei域
Authentication-scheme auth1 身份验证方案auth1
Authentication-scheme auth2 身份验证方案auth2
Quit 退出
Local-user huawei@huawei password cipher huawei123 配置huawei域的用户和密码
Local-user huawei@huawei service-type telnet 配置type服务类型为telnet
Local-user huawei@huawei privilege level 0 配置用户等级
Quit 退出
User-interface vty 0 4 进入VTY 0 4接口
Authentication-mode aaa 应用AAA
Display domain name huawei 配置验证
Ipsec vpn配置(VPN是在以太网内走隧道技术)ipsec vpn对等体配置的安全提议参数必须一致
Ip route-static (+目地IP子网+下一跳地址) 配置静态路由
Acl number 3000 创建ACL3000
Rule 5 permit ip source (+源网段和通配符)destination (+目的网段和通配符)
配置步长为5的允许IP源到目的网段的IP报文
Ipsec proposal tran1 配置IPsec的提议为(tran1)
Esp authentication-algorithm sha1 配置ESP协议认证算法
Display ipsec proposal 配置验证
Ipsec policy (+名字+序号)manual 创建ipsec的策略名字序号,为手动模式
Security acl 3000 对流量加密使用的是符合ACL3000的
Proposal tran1 提议为tran1
Tunnel remote (+对端IP) 配置tunnel的对端IP
Tunnel local (+本地IP) 配置tunnel的本端IP
Sa spi outbound esp 54321 安全联盟的ESP认证在出方向参数是54321
(在出方向是54321,那么进方向就是12345)
Sa spi inbound esp 12345 安全联盟的ESP认证在入方向参数是12345
Sa string-key outbound esp simple huawei 配置安全联盟密钥出方向是huawei (密钥出方向和入方向要一致)
Sa string-key inbound esp simple huawei 配置安全联盟密钥入方向是huawei
Interface g(+接口) 进入接口
Ipsec policp (+名字) 应用策略
Quit 退出
Display ipsec policy 配置验证
GRE配置
Interface tunnel 0/0/1 创建tunnel接口
Ip address 40.1.1.1 24 为tunnelr接口配IP
(一般为公网地址,是虚拟地址,对端接口必须在同一网段)
Tunnel-protocol gre 配置tunnel协议为GRE
Source (+ip) 配置源IP
Destination (+IP) 配置目地IP
Quit 退出
Ip route-static (+目地IP网段和子网)tunnel 0/0/1 指定静态路由
(注意下一跳设置为创建的tunnel接口)
Display interface tunnel 0/0/1 显示0/0/1接口隧道
Display ip routing-bable 显示ip路由协议
配置keepalive检测(用于检测隧道对端是否可达)
Interface tunnel 0/0/1 进入tunnel接口
Keepalive period 3 keepalive检测3次(默认的次数是3,时间是5秒一次)
Keepalive key 123 创建密钥是123(对端必须也一致,也可以不创建)
Quit 退出
SNMP配置(简单网理管理协议)
Snmp-agent 使能agent代理
Snmp-agent sys-info version v2c 使能代理版本号
(版本号有snmpv1 snmpv2c snmpv3 华为默认的是所有版本)
Snmp-agent trap enable 开启SNMP告警
(是使用UDP发送告警,端口号是162)
Snmp-agent trap source gigabitethernet0/0/1 SNMP告警源接口为0/0/1
Display Snmp-agent sys-info 配置验证
IPV6
OSPFV3配置
Ipv6(全局下) 开启IPV6
Ospfv3 进入OSPFV3 1
Router-iD 1.1.1.1 配置router ID 1.1.1.1
Ipv6 enable (进入物理接口下) 开启IPV6
Ipv6 address fe80::1 link-local 配置IPV6链路本地地址
IPV6 address auto link-local (也可以自动生成IPV6地址)
Ospfv3 1 area 0.0.0.0 加入区域0.0.0.0中
Loopback0环回接口配置
Ipv6 enable 开启IPV6
Ipv6 address 2001:1::1/64 配置IPV6地址
Ospfv3 1 area 0.0.0.0 加入区域0.0.0.0中
Display ospfv3 配置验证
Router-id是标识一台路由器的唯一参识
Dhcpv6配置
Dhcpv6 duid 11 (可以为默认的) 创建DHCPV6的DUID为11
Dhcpv6 pool 1 创建DHCPV6地址池1
Address prefix 3000::/60 配置前缀地址池为3000::/64
Excluded-address 3000::1 配置保留地址为3000::1
Dns-server 4000::1 配置DNS为4000::1
Dns-domain name huawei.com Dns域名huawei.com
Ipv6 配置IPV6
Int g0/0/0 进入接口
Ipv6 enable 开启IPV6
Ipv6 address 3000::1/64 配置IPV6地址
Ipv6 nd autoconfig managed-address-1 配置IPV6的M字位为1
Ipv6 nd autoconfig other-flag 配置IPV6的O字位为1
Dhcpv6 server 1 启用DHCPV6地址池1服务
Display dhcpv6 pool 查看DHCPV6地址池
在做配置的过程中,设备系统一般都会出现一些提示或者告警之类的东西,从而影响配置时的视觉。所以我们通过百undo info-center enable这个命令关闭信息中心功能,这样做配置的过程中,就不会再出现那种告警信息了。
配置完成之后可以通问过info-center enable开启。
当然不开启也不会影响任何使用
Reset seved-configuration 清空当前配置
扫一扫
6608
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
