>system-view 进系统视图
]undo info-center enable 关闭信息中心
]quit 返回上一级
]interface GigabitEthernet 0/0/0 进入接口试图
]ip address 192.168.1.1 24 配置ip地址
]ip address 10.1.1.1 24 sub 配置接口的辅助IP地址
]display this 查看当前视图的配置信息
]display current-configuration interface 查看所有接口信息
]displau current-configuration 查看所有配置信息(看当前配置文件)
]display ip routing-table 查看路由信息
]display ip interface brief 查看接口ip状态
]shutdown 关闭接口
]undo shutdown 开启接口
]tracert 10.1.1.1 测试网络链路
]interface Logic-Channel 1 虚拟测试接口
]dis ospf lsdb 看ospf数据库
]dis mac-address 查看mac地址表项
]dis ospf lsdb asbr 查看四类lsa
ase 查看五列lsa
brief 简述
network 查看二类
nssa 查看七类
router 查看一类
summary 查看三类lsa
]dis ospf lsdb router 1.1.1.1 查看1.1.1.1的一类
]dis ospf routing 查看ospf计算出来的开销(协议路由表)
]dis bgp routing-table 查看bgp的协议路由表
]dis fib 查看数据包转发所需要的全部信息
]dis mpls lsp 查看mpls中路由的转发路径
]dis ip routing-table vpn-instance vpn1 查看vpn1实列中的路由表
>refresh bgp all export 重新发送bgp路由
>refresh bgp all import 重新接收bgp路由
DHCP:
]dhcp enable 开启DHCP
0/0/0]ip address 20.1.1.1 24 配置IP地址
0/0/0]dhcp select interface 配置DHCP为接口模式
0/0/0]dhcp server dns-list 8.8.8.8 配置dns地址
0/0/0]dhcp server excluded-ip-adderss 20.1.1.100 20.1.1.254 配置不可用地址(可以指定范围)
0/0/0]dhcp server lease day 1 hour 23 minute 59 分配地址的生存时间(默认为1天)
全局DHCP配置
]ip pool 1
pool-1]network 30.1.1.0 mask 24 宣告地址池里可分配地址网段
pool-1]gateway-list 30.1.1.1 配置网关(不写掩码)
pool-1]dns-list 8.8.8.8 dns配置
pool-1]excluded-ip-address 30.1.1.100 20.1.1.254 配置不可用地址(可以指定范围)
pool-1]lesase day 1 hour 23 minute 59 分配地址的生存时间(默认为1天)
pool-1]static-bind ip-address 30.1.1.2 mac-address 5698-2125-5987为设备绑定IP地址(永远不变的IP地址)
进接口开启全局DHCP
0/0/0]ip address 30.1.1.1 24 需和网关一致
0/0/0]dhcp select global 设置DHCP为全局模式
DHCP中继器配置
int g0/0/0
ip add 192.168.1.254 24
dhcp select relay 选择dhcp模式为中继器模式
dhcp relay server-ip 20.1.1.2 指定DHCP的IP地址为20.1.1.2
服务器配置(必须采用全局地址池模式)
ip pool 1 配置地址池
network 192.168.1.0 mask 255.255.255.0
gateway-list 192.168.1.254 和中继器ip一致
int g0/0/0
dhcp select global 开启全局模式
DHCP snooping配置(配置在交换机上)
]DHCP snooping enable 开启DHCP snooping功能
int g0/0/0
dhcp snooping check dhcp-chaddr enable 开启防dhcp饿死攻击
dhcp snooping trusted 端口应配置为Trusted(信任端口)(用于防止DHCP仿冒者攻击,只有配置了trusted端口的才能接收服务器的响应和ack报文)
undo dhcp snooping trusted 端口应配置为默认的Untrusted(非信任端口)
系统视图
arp dhcp-snooping-detect enable 开启防止DHCP中间人攻击
配置静态路由:
ip route-static 目标地址 子网掩码 下一跳地址
交换机
]undo negotiation auto 关闭自动协商
]speed 100 设置速率
]duplex full/half 设置全双工/半双工
单臂路由设置
int g0/0/0.20 进入子接口20(最好于vlan对应)
g0/0/0.20]dot1q termination vid 20 绑定子接口为vlan 20
g0/0/0.20]ip address 10.1.1.1 255.255.255.0 配网关ip地址
g0/0/0.20]arp broadcast enable 开启arp广播(下面可接着配dhcp)
交换机
intg0/0/1]restart 重启接口
]vlan batch 10 to 30 创建vlan10-30
g0/0/0]prot link-type access 设置接口为access
g0/0/0]prot diacard vlan 10 分配端口缺省vlan 10
g0/0/0]prot link-type trunk 设置接口为trunk
g0/0/1]prot trunk pvid vlan 10 分配端口缺省vlan 10
g0/0/1]port allow-pass vlan 10/10 to 30/all 设置允许通过vlan 10/10-30/全部
g0/0/2]prot link-type hybrid 设置接口为hybird
g0/0/2]port hybrid pvid vlan 10 分配端口缺省vlan 10
g0/0/2]port hybrid untagged/tagged vlan 10 to 30 (vlan10-30可以不带/必须带标签通过)
通过vlanif配置ip
int vlanif 10 进入vlanif 10(接口对应的vlan)
lanif10]ip add 192.168.1.24 给vlan 10 配置网关的IP地址(下面可配dhcp)
mux-vlan配置
int g0/0/0
port link-type access
port default vlan 40
vlan 40 配置主vlan为40
mux-vlan 开启mux-vlan功能
subordinate group 10 20 分别把10 20 设置成不同的组vlan
subordinate separate 30 把vlan 30 设置成隔离vlan
最重要的一步
int g0/0/1
port mux-vlan enable 在接口下开启mux-vlan功能(所有要加入mux-vlan的接口都得配置否则无效)
最后一步把所有pc设置成同一个网段
端口隔离
设置隔离端口(隔离端口必须和其他端口处于同一vlan才能通信)
int g0/0/0
port-isolate enable group 1 交换机上配置端口隔离技术 组1(范围1-64)
系统视图
port-isolated mode all 将模式改成二三层全部隔离
最后一步把所有pc设置成同一个网段
开启端口安全配置
int g0/0/1
port-security enable 开启端口安全功能(开启安全动态mac地址)
port-security enab protect-action shutdown/restrict/protect 配置保护动作shutdown/restrict/protect
port-security mac-address sticky 配置端口安全类型sticky(开启安全sticky mac地址)
port-security mac-address sticky 5489-9860-7701 vlan 10 配置安全静态的mac地址(开启安全静态 mac地址)
注意:华为设备amc地址前面六位写5489-98 不然配不了
rip命令
rip 1 进入rip进程1
rip 1]version 2 选择版本
]network 10.0.0.0 宣告网段
impor-route +要引入的协议(静态路由不需要引入别的协议)
impor-route static/ospf/direct 引入静态路由协议/ospf协议/直连协议
STP
]stp mode stp 配置为stp模式
]stp priority 0 配置stp优先级(越小越优)
]dis stp brief 查看stp端口类型
]dis stp 查看stp状态
Rstp
]stp mode rstp 修改生成树模式为rstp
通过在每个交换机上输入
dis stp brief 查看端口角色确认根桥的位置
使用命令更改根桥
stp priority 0 更改桥优先级(越小越优)
主机连接的接口配置成边缘端口
int g0/0/1
stp edged-port enable 把端口设置成边缘端口
配置边缘端口的保护功能
系统视图下
stp bpdu-protection 开启边缘端口bpdu保护
配置tc保护
系统视图下
stp tc-protection threshold 10 指定单位时间内处理10次tc-bpdu
在DP端口上,配置根保护技术(DP端口指的是连接主机的DP端口才有可能被黑客入侵)
stp root-protection 开启根保护技术(除了DP端口之外其他端口配上无效果,不能和边缘端口一起配置
因为bpdu保护和根保护冲突)
MSTP(每个交换机都得配置一样)
stp mode mstp 开启mstp命令
stp region-configuration
region-name RG1 配置域名称(mst域)
revision-level 12 修订级别(缺省情况下,MSTP域的MSTP修订级别为0)
instance 1 vlan 1 to 10 实例1绑定valn 1 到 9
instance 2 vlan 11 to 20 实例2绑定valn 11 到 20
active region-configuration 激活匹配( 必须写不然以上命令都不会生效)
系统视图下
stp instance 2 root primary 把交换机变成实例2的根桥
链路聚合
]interface eth-trunk 1 创建eth 1
g0/0/1]eth-trunk 1 加入trh 1
mode lacp-static 静态lacp模式
max active-linknumber 3 最大链路为3(需在主动端配置)
load-balance dst-ip 基于目的ip去负载分担
lacp preempt enable 开启抢占功能(需在主动端配置,默认是不开启的)
lacp preempt delay 50 开启抢占延时50s(需在主动端配置,默认30s)
mode manual load-balance 手工负载分担
trunkport g 0/0/2 0/0/1 接口加入eth-trunk
huawei] lacp priority 100 更该lacp路由优先级(让其成为主动端)
如果是路由器(无法配置ip),先做以下命令
undo portswtich //这个命令让eth-trunk从二层变成三层接口
ospf
]ospf 1 router-id 1.1.1.1 配置router-id
ospf]area 0.0.0.0 选择区域area0.0.0.0
area0.0.0.0]network 10.1.1.0 0.0.0.255 宣告网段
>reaset ospf 1 process 重启osfp进程
]dis ospf peer brief 查看ospf进程信息
]dis ospf routing 查看ospf路由表信息
g0/0/0]ospf cost 100 更改ospf开销
g0/0/0]ospf enable 1 are 0 把该接口加入到ospf进程1区域0 中(配置后不用宣告该网段)
area0.0.0.0]ospf authentication-mode md5 1 cipher huawei区域认证
g0/0/0]ospf authentication-mode md5 1 cipher huawei接口认证
g0/0/0]ospf timer hello 15 配置hello间隔(以秒为单位)
g0/0/0]ospf dr-priority 10 配置DR优先级
g0/0/0]ospf cost 10 更改开销
g0/0/0]default-route-advertise 发布配置的默认路由
g0/0/0]ospf network-type p2p/broacast/nbma/p2mp 更改网络类型如p2p
Ospf1]silent-interface g 0/0/0 配置g 0/0/0接口为 静默接口(特点 不发送任何报文 ,但是接口的链路状态信息路由器依然会描述在一类lsa里面)
创建vlink(虚连接)
ospf area 1]vlink-peer 5.5.5.5 对端的router-id
ospf 1]import-route static 引入路由
ospf 1]import-route static cost 100 将引入的五类lsa开销全部变成100
ospf 1]import-route static type 1 五类开销改成100外部路由类型改成1
ospf 1]import-route static tag 100 给五类lsa打上tag标记
ospf特殊区域配置
area 1]stub 配置特殊区域stub
area 1]stub no-summary 配置totally stub
area 1]nssa 配置特殊区域nssa
area 1]nssa no-summary 配置totally nssa
area 1]abr-summary 10.1.1.0 255.225.255.0 把区域1中10.1.1.1 10.11.2 10.1.1.3 聚合成10.1.1.0/24(配置在abr设备上)
ospf 1]asbr-summary 10.1.1.0 255.225.255.0 把引入外部路由中的10.1.1.1 10.11.2 10.1.1.3 聚合成10.1.1.0/24(只能配置在asbr设备上)
g0/0/0]ospf mtu-enable 开启接口mtu检查
ACL配置
permit 允许访问
g0/0/0]traffic-filter outbound acl 2000 出接口
inbound入接口
基本acl
]acl 2000
2000]rule deny source 192.168.1.1 0.0.0.0 拒绝192.168.1.1访问(拒绝网段24
g0/0/0]traffic-filter outbound acl 2000 出接口(inbound为入接口)
高级acl
]acl 3000
3000]rule deny ip source 192.168.1.1 0 destination 192.168.1.2 0 拒绝源地址192.168.1.1目的地址192.168.1.2的数据包通过
g0/0/0]traffic-filter outbound acl 3000 出接口(inbound为入接口)
前缀列表:ip-prefix
ip ip-prefix test index 10 permit 10.0.0.0 16 greater-equal 24 less-equal 28 匹配 10.0.0.0 掩码大于等于24小于等于28的所有路由信息
filter-policy import工具使用
Acl 2000
Rule 1 deny source 1.1.1.1 0 //使用acl匹配1.1.1.1 并拒绝1.1.1.1访问
Ospf 1
Filter-policy 2000 import //用filter-policy import调用acl 2000 拒绝1.1.1.1路由加表
ip ip-prefix 1 index 10 deny 1.1.1.1 32 //使用ip-prefix匹配
ospf
filter-policy ip-prefix 1 import //用filter-policy import调用ip-prefix 2000 拒绝1.1.1.1路由加表
filter-policy export 工具使用
Ip ip-prefix 2 index 10 deny 12.1.1.0 24 //拒绝12.1.1.0 访问
Ip ip-prefix 2 index 10000 permit 0.0.0.0 0 less-equal 32 //允许所有地址访问
Ospf 1
filter-policy ip-prefix 2 export //用filter-policy export工具拒绝外部路由器12.1.1.0/24引入
route-policy使用
ip ip-prefix 2 index 10 permit 10.10.10.0 24 //设置策略ip-prefix 2 允许10.10.10.0 24网段通过
route-policy huawei permit node 10 //设置node 10策略名字huawei
if-match ip-prefix 2 //if-match 用ip-prefix 2 策略
apply cost 10 //如果所有if-match配置成功了 路由开销就改为10
apply origin incomplete 更该起源属性为import(在bgp中使用)
apply origin igb 更该起源属性为network(在bgp中使用)
apply preferred-value 100(在bgp中修改权重值属性)
apply local-preference 110 (在bgp中修改本地优先级)
apply as-path 200 400 修改AS-path列表(在bgp中使用 ,不能复制到ensp上必须手写)
apply as-path 200 400 overwrite 覆盖原先的AS-path列表(在bgp中使用)
apply as-path 200 400 additive 在原先的AS-path后面添加(在bgp中使用)
apply cost 20 设置MED属性(在bgp中使用)
ospf部署route-policy
ospf
import-route direct route-policy huawei //在ospf引入的路由中执行route-policy 名字为huawei的策略
import-route direct route-policy huawei level -1 //并且把路由引入level-1路由器中
bgp里部署
bgp 100
peer 3.3.3.3 route-poilicy huawei import 针对从3.3.3.3收到的路由执行入方向的路由策略
peer 3.3.3.3 route-poilicy huawei export 针对要发送给3.3.3.3的路由执行出方向的路由策略
策略路由配置
流分类 (使用acl匹配目标流量)
Traffic classifier huawei
If-match ad 3000
流行为(强制指定出接口)
Traffic behavior huawei
Redirect ip-nexthop 35.1.1.5
流策略(把流分类和流行为做绑定)
Traffic-policy huawei
Classifier huawei behavior huawei
把流策略应用到接口上
g0/0/0
traffic-policy huawei inbound //针对接收的数据包执行的策略
NAT静态配置
nat static gopbal 公网地址 inside 私网地址
NAT动态配置
]nat address-group 1 10.1.1.10 10.1.1.20 可用地址池
acl]rule permit source 192.168.1.1 0 允许网段通过
0/0/1]nat outbound 2000 address-group 1 no-pat 配置动态nat
NATP配置
]nat address-group 1 10.1.1.10 10.1.1.20 可用地址池
acl]rule permit source 192.168.1.1 0 允许网段通过
0/0/1]nat outbound 2000 address-group 1 配置NATP
easy NAT配置
acl]rule permit source 192.168.1.1 0 允许网段通过
0/0/1]nat outbound 2000 配置easy NAT
NAT服务器
g0/0/0]nat server protocol icmp global 10.1.1.3 inside 1.1.1.1 把icmp协议的私网地址转换为公网地址(其他协议转换不了)
telnet AAA模式(不认证模式不设置三a认证就可以)
]aaa 进入三a模式
aaa]local-user admin password cipher 1235456 设置admin密码123456
aaa]local-user admin privilege level 3 设置权限3
aaa]local-user admin service-type telnet 设置登入类型
aaa]user-interface vty 0 4 虚拟接口 代表了路由器能同时登录的最大数量为5
vty0-4]authentication-mode aaa 设置三a认证
telnet password模式
]user-interface vty 0 4 虚拟接口 代表了路由器能同时登录的最大数量为5
0 4]authentication-mode password 设置为密码认证
0 4]user privilege level 3 设置权限3
>telnet 10.1.1.254 登入设备
ftp配置
ftp server enable //开启ftp服务器功能
set default ftp-directory flash:/ //设置下载目录
aaa
local-user huawei password cipher huawei
local-user huawei service-type ftp //设置用户名协议类型
local-user huawei ftp-directory flash:/ //设置用户下载的目录
local-user huawei access-limit 200 //设置最大连接数量
local-user huawei idle-timeout 0 0 //用户登录超时时间
local-user huawei privilege level 3 //用户登录级别
ppp认证模式p2p
s0/0/0]link-protocol ppp 配置ppp协议,华为默认就是ppp协议
s0/0/0]ip add 12.1.1.2 24 配置IP地址
aaa]local-user wl password cipher qwe123 :配置用户名wl,密码qwe123
aaa]local-user wl service-type ppp:将用户服务类型设为PPP
s0/0/0]ppp authentication-mode pap:开启认证模式为PAP,即明文密码传输,如果要改密文传输,将pap改为chap;
对端
s0/0/0]link-protocol ppp 配置ppp协议,默认就是ppp协议
s0/0/0]ppp pap local-user wl password cipher qwe123 对端pap认证 ,如果用CHAP认证,将pap改为chap
配置完成需重启(完成以下步骤)
shutdown
undo shutdown
pppoe服务器的配置
ip pool POOL_1
network 12.1.1.0 mask 255.255.255.0 //地址池创建
aaa
local-user HuaweiR1 password cipher R1 创建用户名和密码
local-user HuaweiR1 service-type ppp //配置用户为ppp类型
int Virtual-Template0 //创建虚拟模板
ppp authentication-mode pap //开启认证方式
remote address pool POOL_1 //使用地址池1分配地址
ip address 12.1.1.2 255.255.255.0
interface GigabitEthernet0/0/0
pppoe-server bind Virtual-Template 0 //将虚拟模板绑定到接口
pppoe客户机配置
interface Dialer 1 //创建拨号接口
link-protocol ppp
ppp pap local-user HuaweiR1 password cipher R1
ip address ppp-negotiate
dialer user HuaweiR1 //指定拨号用户为ppp协议
dialer bundle 1 //将拨号规则绑定到对应拨号接口
dialer-group 1
interface GigabitEthernet0/0/0
pppoe-client dial-bundle-number 1 //将拨号接口绑定到物理接口
dialer-rule
dialer-rule 1 ip permit
dis ip interface brief 查看各接口IP地址
配置snmp
1、使用window首先右键我的电脑打开设备,从里面找到管理器,
依次点击 操作->添加过时硬件->选择下一步(安装我手动从列表中选择的硬件)
下一步(选择网络适配器)下一步(厂商选择Microsoft型号选择Microsoft KM-TEST 环回适配器)
下一步开始安(完成后需重启电脑)
2、完成后进入网络,找到更改适配器选项,找到以太网新出现的图标属性更改ipv4地址
3、ensp模拟器中选择云进入绑定信息选择udp点击添加 选择新出现的以太网点击添加
端口映射入1出2勾选双向通道点击添加完成启动
路由器配置
int g0/0/0
ip add 12.1.1.2 24 必须为上面配置的ipv4处于同一网段
]snmp-agent sys-info version v1 设置snmp版本为v1 (需和软件保持一致)
]snmp-agent community read huawei 设置读 huawei(需和软件保持一致)
]snmp-agent community write h3c 设置写 h3c(需和软件(snmpB)保持一致)
vrrp
g0/0/0]vrrp vrid 10 virtual-ip 192.168.1.254 配置虚拟网关为192.168.1.254(vrid 10 为组编号)
tag
g0/0/0]vrrp vrid 10 track interface g0/0/2 监控端口g0/0/2的状态一旦端口故障 虚拟网关优先级默认-10
g0/0/0]vrrp vrid 10 track interface g0/0/2 increased(增加)/reduced(减少)100 通过配置来增加/减少 降低的值
g0/0/0]vrrp vrid 10 preempt-mode timer dalay 60 配置抢占延时(主备都要配置)
g0/0/0]vrrp vrid 10 authentication-mode md5 123 开启vrrp的MD5认证密码123
配置vrrp和bfd联动
配置bfd
bfd
bfd 1 bind peer-ip 3.3.3.3 source-ip 10.1.1.1 auto
绑定
进入接口
vrrp 1 vrid 10 track bfd-session session-name 1 reduced 90 配置vrrp和bfd 1联动如果发现故障就把vrrp优先级减少90
IS-IS
isis 1 开始isis进程1
isis 1]network-entity 49.0001.0100.0100.1001.00 配置net地址
isis 1]is-level level-1 配置路由器为level-1
isis 1]cost-style narrow(窄)/wide(宽) 配置isis的开销模式
isis 1]import-route isis level -2 into level -1 把L2的路由信息引入到L1里去
Import-route direct level-1 //把外部路由引入到level-1数据库中
BGP
配置EBGP邻居关系(配置先决条件必须保持路由可达)
BGP 100 配置路由器处在bgp , as100中
peer 7.7.7.7 as 200 配置连接对端ip地址和所处的as 号
peer 7.7.7.7 connect-interface LoopBack 0 配置本端的用来连接对端的地址
配置完成可以发现bgp邻居关系无法建立
原因 默认ebgp报文ttl为1
可以一下命令修改
peer 2.2.2.2 ebgp-max-hop 255 把ttl值改成255
配置IBGP邻居关系(配置先决条件必须保持路由可达)
bgp 100
peer 6.6.6.6 as 100 配置连接对端ip地址和所处的as 号
peer 6.6.6.6 connect-interface loopbac 0 配置本端的用来连接对端的地址
peer 3.3.3.3 next-hoplocal 更改传给ibgp邻接的下一跳为自己
default local-prefernece 100 修改本地优先级(Local_Preference值)
dis bgp routing-table peer 2.2.2.2 advertised-routes 查看2.2.2.2邻居的出方向路由表
dis bgp routing-table peer 2.2.2.2 received-routes 查看2.2.2.2邻居的入方向路由表
bgp手动聚合的方式
bgp 100
network 10.1.1.1 24
network 10.1.2.1 24
network 10.1.3.1 24 宣告要聚合的网段
aggregate 10.1.1.0 22 detail-suppressed 把上面的网段聚合成10.1.0.0 22 网段,并不向外通告明细路由
aggregate 10.1.1.0 22 detail-suppressed as-set //as-set携带明细路由的as号码
bgp打上团体属性值
acl 2000
rule 1 permit source 10.1.0.0 0.0.255.255
route-policy huawei permit node 10
if-match acl 2000 配置acl 2000规则
apply community 100:0 打上团体属性
bgp 100
peer 2.2.2.2 route-policy huawei export 配置路由出方向的路由策略
peer 2.2.2.2 advertise-community 打开通告community属性的能力
新的路由选择工具 团体属性过滤器
ip community-filter 1 permit 100:1
route-policy huawei permit node 10
if-match community-filter 配置团体属性过滤器1
镜像技术的配置
系统视图下
observe-port interface g 0/0/1 配置观察端口
int g0/0/0
mirror to observe-port both 把接收发送的数据送到观察端口
mirror to observe-port inbound 把接收到的数据发送到观察端口
mirror to observe-port outbound 把发送的数据发送到观察端口
BFD和其他协议联动(首先配置其他协议)
再配置BFD协议(两端都得配置)
bfd 开启bfd功能
退出回到系统视图
bfd 1 bind peer-ip 2.2.2.2 source-ip 1.1.1.1 auto 指定数据包目的ip地址(peer-ip)和源ip地址(source -ip) auto是指定标识符 系统自动分配
和静态路由联动
ip route-static 1.1.1.1 32 10.1.1.2 track bfd-session 1 把这条静态路由绑定到bfd会话1中去(对端同)
和ospf联动(首先配置ospf)
ospf
bfd all-interfaces enable 在ospf下开启所有接口和bfd的联动
和bgp联动(首先配置bgp)
首先系统视图下
bfd 开启bfd功能
bgp 100
peer 1.1.1.1 bfd enable 把bgp 100 的1.1.1.1邻居开启和bfd的联动
给数据包打标记
在路由上针对源 12.1.1.1 目的 10.1.1.2
第一步
acl 2000
rule 1 permit source 12.1.1.1 0
traffic classifier huawei
if-match acl
第二步
traffic behavior huawei
remark dscp 56
第四步
traffic policy huawei
classfier huawei behavior huawei
第五步
进入接口
traffic-policy huawei inbound
配置拥塞管理(注意低优先级队列不允许配置PQ队列)
qos queue-profile huawei 创建队列模板huawei
schedule pq 5 to 7 wfq 0 to 4 路由器共有0-7 八个队列其中0-4被设置成WFQ队列,5-7被设置成PQ队列
队列模板必须部署在发送数据的接口上
int g0/0/0
qos queue-profile huawei 把队列模板应用到接口上去
配置WRED
drop-profile manager 配置丢弃模板
wred dscp 配置WRED选择dscp优先级数据包丢弃
dscp 8 low-limit 50 high-limit 70 discard-percentage 10 配置低门限50 高门限70 丢弃最大概率10%
qos queue-profile qos-Huawei 创建队列模板qos-Huawei
queue 1 drop-profile manager 把模板绑定到队列上
interface g0/0/0
qos queue-profile qos-Huawei 把队列模板qos-Huawei应用到接口上
mpls-ldp配置
在mpls网络中 部署之前在每个设备上创建环回接口 并保证路由可达
路由做如下配置
]mpls lsr-id 1.1.1.1 传输地址(注意这个用环回接口的ip地址)
]mpls 开启mpls
]mpls ldp 开启mpsl ldp
int g0/0/0
mpls 接口上开启mpls
mpls ldp 接口上开启mpsl ldp
dis mpls lsp 查看设备的标签转发标签项
mpls
lsp-trigger all 为所有地址分配标签
route recursive-lookup tunnel 按照mpls的方式去下一跳
mpls vpn配置
ip vpn-instance vpn1 创建vpn实例vpn1(区分大小写)
route-distinguisher 100:1 配置vpn实例的RD值(在一个路由器上唯一标识一个vpn实例)
vpn-target 10:1 import-extcommunity 配置入方向的rt
vpn-target 20:1 export-extcommunity 配置出方向的rt
ospf 1 vpn-instance vpn1 把ospf 1和vpn1实例绑定(ospf 不能先创建否则报错)
int g0/0/0
ip binding vpn-instance vpn1 把vpn1实例和接口绑定
dis ip routing-table vpn-instance vpn1 查看vpn1实例的路由表
Dis bgp vpnv4 all routing-table 设备上查看收到的vpnv4路由
bgp
ipv4-family unicast //ipv4单播视图
undo peer 4.4.4.4 enable //关闭向4.4.4.4传播ipv4单播路由的能力
ipv4-family vpnv4 //vpnv4视图
peer 4.4.4.4 enable //打开向4.4.4.4传递 vpnv4路由的能力
ipv4-family vpn-instance vpn1
import-route ospf 1 //把vpn1中的 ospf 1的路由引入到bgp中
防火墙配置
]firewall zone trust 进入防火墙trust区域
add interface GigabitEthernet 1/0/0 将接口添加到trust区域里
]firewall zone untrust 进入防火墙untrust区域
add interface GigabitEthernet 1/0/1 将接口添加到untrust区域里
]firewall zone name User 创建区域User
set priority 10 设置区域优先级(配置新的区域需要设置优先级)
add interface GigabitEthernet 1/0/2 将接口添加到User区域里
配置全局安全策略
]security-policy 进入安全策略
default action permit 允许所有
rule name Trust_unTrust 创建规则并命名
source-zone trust 指定源区域trust
destination-zone untrust 指定目的区域untrust
source-address 192.168.1.1 32 指定源地址
destination-address 192.168.1.1 32 指定目的地址
service protocol 89 放行的协议号89(ospf协议)
action permit 执行策略允许通过
配置接口安全策略
int g1/0/0
service-manage ping permit 开启ping测试
service-manage telnet permit 开启远程登入
service-manage ssh permit 开启远程登入
service-manage http permit 开启web登入
service-manage https permit 开启web登入
service-manage netconf permit
service-manage snmp permit 开启网管协议
防火墙和路由器建立邻居关系状态停留在exstart通过
配置local区域和trust区域的双向通过策略解决
登入web界面(https://192.168.0.1:8443/)
dis firewall session table 查看防火墙的会话表
dis firewall session table verbose 查看防火墙的会话表的详细
dis firewall session server-map 查看server-map表
firewall session aging-time service-set telnet 100 更改telnet协议的老化时间
dis firewall session aging-time 查看所有协议对应的默认的会话表的老化时间
防火墙的NAT配置
地址池
nat address-group nat1 创建地址池nat1
mode no-pat global 选择不进行端口转换模式位全局
section 0 20.0.0.100 20.0.0.200 配置地址池的范围
配置动态nat
nat-policy 进入nat策略
rule name 1 创建策略
source-zone trust 指定源区域trust
destination-zone untrust 指定目的区域
source-address 192.168.1.0 24 指定源地址
action nat address-group nat1 执行动作匹配nat地址池
配置esay nat(不需要配置地址池)
nat-policy 创建策略
rule name 2 创建策略
source-zone trust 指定源区域
source-address 192.168.1.0 24 指定源地址
egress-interface GigabitEthernet1/0/1 指定出口(连接公网的接口)
action nat easy-ip 执行动作easy nat
注:ping通需要放行策略,内网需要路由(默认路由可在内网连接isp设备中的ospf宣告配置的默认路由,命令:ospf]default-route-advertise)
无线配置命令
需创建ap组,域模块,安全模块,ssid,vap模版
把域模块加入ap组,安全模块和ssid加入vap模板在将vap模板加入ap组
配置瘦模式(隧道转发)的13步(ac和ap直连)--->二层模式
1、创建DHCP地址池
dhcp enable
ip pool 1
network 192.168.1.0 mask 255.255.255.0 地址范围
gateway 192.168.1.1 网关
dns-list 8.8.8.8 配置dns地址
2、创建vlanif 接口
vlan batch 10
int vlanif 10
ip add 192.168.1.1 24 地址
dhcp select global 全局DHCP
3、将AC下连AP接口设置成trunk(下面有交换机可以设置成trunk)/access口
int g 0/0/01
port link-type access
port default vlan 10
4、进入wlan视图创建ap组
wlan
ap-group name wuxian 组名称
5、创建域模块
wlan
regulatory-domain-profile name wuxain 域模块名称
country-code CN 信道中国(由于每个国家信道使用范围不一样,所有要根据国家标准来调试)
6、将域绑定到ap组里
wlan
ap-group name wuxian
regulatory-domain-profile wuxian 绑定域模块
7、设置capwap源地址
系统视图
capwap source interface vlanif 10 设置源地址为vlanif 10接口 (也可以指定ip地址,指定ip为ac的ip地址)
8、设置ap的认证方式
wlan
ap auth-mode no-auth 设置认证方式为不认证
9、ap加入组
wlan
ap-id 0 进入ap(id为0,可使用dia ap all查看连接的ap ID)
ap-group wuxian 加ap入组
ap-name 3f-04 更改ap名称(使用dis ap all可查看是否更改成功)
10、设置SSID名称
wlan
ssid-profile name wuxian
ssid 123 设置SSID名称(SSID等同于wifi名称)
ssid-hide enable 开启wifi隐藏(可以通告手动输入wifi名称密码连接,注:模拟器上没有效果)
11、安全模块(可选,如果需要采用第三方认证,则安全模板不需要配置)
wlan
security-profile name wuxian
security wpa-wpa2 psk pass-phrase 123456789 aes 设置密码方式为wpa-wpa2 psk(等同于wifi密码)
12、创建VAP模板,将ssid于安全模板相关联
wlan
vap-profile name wuxian VAP模板名称
ssid-profile wuxian
security-profile wuxian
service-vlan vlan-id 10 服务vlan 10
forward-mode tunnel 模式为隧道转发
13、将vap模板绑定ap组
wlan
ap-group name wuxian
vap-profile wuxian wlan 1 radio all (radio all :使用全部信道 )
配置瘦模式(本地转发)的13步(ac和ap不直连)--->三层模式
1、创建DHCP地址池(为了合理利用ip地址,配置一个管理地址池和用户地址池)
dhcp enable
管理地址池(分配给ap设备)
ip pool guanli
network 10.0.0.0 mask 255.255.255.0 地址池
gateway-list 10.0.0.1 网关
option 43 sub- option 2 ip-addresss 30.0.0.2 配置option 43 配置的地址为ac的地址(用来告诉ap设备ac的ip地址)
用户地址
ip pool admin
network 192.168.1.0 mask 255.255.255.0
gateway-list 192.168.1.1
dns-list 8.8.8.8 DNS地址
2、创建vlanif 接口
vlan batch 10 20 100
int vlanif 10
ip add 20.0.0.1 24 需和地址池网关一致
dhcp select global
int vlanif 20
ip add 192.168.1.1 24
dhcp select global 需和地址池网关一致
使用vlanif 100和对端ac设备建立三层通信
int vlanif 100
ip add 30.0.0.1 24
ac的vlanif 100设置
vlan batch 100
int vlanif 100
ip add 30.0.0.2 24
3、配置交换机接口所有接口配置为trunk口,放行vlan
int g0/0/1
port link-type trunk
port trunk allow-pass vlan all
交换机连接ac的接口和ac连接交换机的接口配置
int g0/0/2
port link-type trunk
port trunk allow-pass vlan all
port trunk pvid vlan 100
交换机连接ap的接口
int g0/0/2
port link-type trunk
port trunk allow-pass vlan all
port trunk pvid vlan 20 (这里的vlna 20 为管理vlan ,就是给ap分配ip地址的vlan)
4、ap和ac之间建立capwap隧道
ac系统视图
capwap source interface Vlanif 100 地址源地址(源地址为ac地址接口地址)
5、设置ap的认证方式
wlan
ap auth-mode no-auth 设置认证方式为不认证
ac上配置去ap的静态
ip route-static 10.0.0.0 24 30.0.0.1
此时输入dis ap all 查看列表里有无ap信息(有进行下一步,没有查看可以通过抓取ap发给ac的capwap包查看原因)
6、进入wlan视图创建ap组
wlan
ap-group name wuxian 组名称
7、创建域模块
wlan
regulatory-domain-profile name wuxain 域模块名称
country-code CN 信道中国(由于每个国家信道使用范围不一样,所有要根据国家标准来调试)
8、将域绑定到ap组里
wlan
ap-group name wuxian
regulatory-domain-profile wuxian 绑定域模块
9、设置SSID名称
wlan
ssid-profile name wuxian
ssid 123 设置SSID名称(SSID等同于wifi名称)
ssid-hide enable 开启wifi隐藏(可以通告手动输入wifi名称密码连接,注:模拟器上没有效果)
10、安全模块(可选,如果需要采用第三方认证,则安全模板不需要配置)
wlan
security-profile name wuxian
security wpa-wpa2 psk pass-phrase 123456789 aes 设置密码方式为wpa-wpa2 psk(等同于wifi密码)
11、创建VAP模板,将ssid于安全模板相关联
wlan
vap-profile name wuxian VAP模板名称
ssid-profile wuxian
security-profile wuxian
service-vlan vlan-id 10 服务vlan 10
forward-mode tunnel 模式为隧道转发
12、将vap模板绑定ap组
wlan
ap-group name wuxian
vap-profile wuxian wlan 1 radio all (radio all :使用全部信道 )
13、ap加入组
wlan
ap-id 0 进入ap(id为0,可使用dia ap all查看连接的ap ID)
ap-group wuxian 加ap入组
ap-name 3f-04 更改ap名称(使用dis ap all可查看是否更改成功)