設備的常用配置
<>用戶試圖:用來查看調試信息,無法做配置
Dis interfacebrief
Dis briefinterface
Display this(查看當前模式下的配置)
路由表(尋址轉發)
Dis iprouting-table
路由技術
靜態路由(靜態手工配置路由,放到路由表中)
配置靜態路由:
Ip route-static 目的網絡號目的網絡掩碼下一跳ip地址
配置遠程管理:
user-interface vty0 4
user privilege level 3
set authentication password simple h3c
配置本地用戶名密碼登入設備:
local-user admin
password simple h3c
service-type telnet
level 3
在vty下面增加一條:
authentication-modescheme
路由跟蹤:
Tracert 目的ip地址
優先級值(preference值):用來衡量路由優先級的參數,範圍0-255,0最優先,255爲不可達路由,越小越優先。(類似於思科的管理距離)
靜態路由pre值爲60
直連路由pre值爲0
Cost值(度量值):用來衡量路由優先級的參數,越小越優先,
靜態路由cost值爲0
(類似於思科的metric值)
Preference值優先於cost值
當路由的所有參數都一樣的情況下,則走等價負載均衡(根據百分率來平衡轉發)
路由選路原則:
1 掩碼越長越優先
2 優先級值越小越優先
3 cost值越小越優先
靜態明細路由
靜態默認路由:利用通配符來匹配目的網絡(0.0.0.0/0或0.0.0.0 0.0.0.0)
通過彙總得來
在邊界路由器或者末節設備或者到達目的地只有一個方向的設備上配置默認路由
動態路由
通過協議自動學習到路由(放到路由表中)
路由同步(路由表同步)
RIP
基於UDP 的協議,採用UDP端口520
動態路由的防環路機制:
1 水平分割(不向接收數據的方向發送相同的數據)
2 設置最大跳數
3 設置路由中毒,(將路由設置爲不可達)
Rip(一種距離矢量路由協議)
根據跳數來判斷距離(cost,從而判斷最短路徑的方向
最大支持15跳
Version 1:有類協議
Version 2:無類協議(發送的路由更新中包含掩碼),支持VLSM,不支持超網,支持自動彙總功能(按照類來彙總)
Rip配置:
全局下:
Rip (啓用rip協議)
Version 2 (把rip版本改爲2)
Undo summary (把自動彙總功能關閉)
Network192.168.1.0 (公告本地路由器的網絡號)
Network 10.1.1.0
Rip
Version 2
Undo summary
Rip定時器:
1 路由更新定時器30S(每個30s發送一次完整的路由表更新)
2 路由失效定時器180S(當180s之後還未收到一條路由的更新,則認爲此路由失效)
3 路由刷新定時器60S(60s之後還未收到此路由的更新,則刷掉此路由)
OSPF(開放最短路徑優先協議)
觸發更新(無定時器)
更新變化的路由
無環路(有spf算法,最短路徑樹算法)
支持任意類型的超網
OSPF劃分區域(0區域爲核心區域/骨幹區域/中轉區域,其它區域都是常規區域,核心區域和常規區域之間必須相連,否則區域之間無法通訊)
區域相當於地圖,相同區域內的數據庫同步,不同區域之間通過區域邊界路由器(abr)來中轉數據。
數據庫:保存了一個區域內的所有的合理路徑
路由表:數據庫裏的最優的一條路徑放到路由表中,進行數據轉發
Ospf的三張表:
1 鄰居表(display ospf peer)
2 拓撲表(數據庫表,dis ospf lsdb)
3 路由表
任意兩臺ospf路由器之間建立鄰居關係,之後相互同步數據庫,之後將數據庫中的最優路徑放到路由表中進行轉發
Ospf五種協議報文
1,hello報文
發現及維持鄰居關係,選舉DR,BDR
2,DD報文(database description數據庫描述)
本地LSDB的摘要
3,LSR報文(link state request)
向對端請求本端沒有或對端的更新的LSA
4,LSU報文(link state undate)
向對方發送其需要的LSA
5,LSAck報文
DR(指定路由器)、BDR(備份指定路由器)
在廣播型網絡和多路訪問網絡中,會選舉DR和BDR,用來更新拓撲變化
選舉DR、BDR:
1 優先級越大越優先,範圍:0-255,255最優先,0不參加DR、BDR選舉
默認優先級爲1
2 router-id 越大越優先
1.本地環回地址loopback越大越優先
2.本地接口地址越大越優先
選舉router-id
1 loopback口ip越大越優先
2 接口ip越大越優先
Ospf配置:
Ospf/ospfrouter-id 10.1.1.1 啓用ospf進程
Area 0 劃分區域
Network192.168.1.0 0.0.0.255
Network192.168.2.0 0.0.0.63
Quit
Area 1
Network 172.16.1.00.0.0.255
配置環回地址:
Int loopback 0
Ip add 10.1.1.1 32
Ospf中增加:
Ospf router-id10.1.1.1
Area 1
Network 10.1.1.10.0.0.0
ACL(訪問控制列表)
抓取流量
Acl的兩種行爲:允許(permit),拒絕(deny)
ACL基於端口來調用
兩個方向:inbound、outbound
Acl默認行爲爲permit any
配置基本的ACL:
Acl number 2000(創建一個基本的訪問控制列表2000)
Rule deny source192.168.30.0 0.0.0.255
Rule deny source192.168.40.2 0.0.0.0
Int g1/0/10
Packet-filter 2000inbound/outbound
先匹配的先執行,後匹配的不執行
高級的acl
可以基於源和目的網絡來過濾
可以基於單獨某個協議來過濾
建議都用高級acl來完成所有的策略(過濾或者抓取流量)
NAT(網絡地址轉換)
NAT基於路由可達
NAT類型:
動態NAT:多對多
PAT(端口轉換):多對一
靜態NAT:將一個私有IP轉換成一個公網ip(地址全映射,端口映射)
動態NAT:將多個地址轉換成多個地址(輪詢)
PAT:將不同的源ip地址轉換成不同的源端口
配置靜態NAT全映射:
全局下:nat static 22.22.22.22 (本地內網地址) 202.1.1.10(路由可達的出口公網地址)
int g0/1(外網出接口)
nat outboundstatic(將靜態nat轉換調用到出接口上)
端口映射:
Int g0/1(進入出接口)
nat serverprotocol tcp global 202.1.1.10 80 inside 192.168.22.10 80(當訪問202.1.1.10的tcp62233端口的時候映射到內部的192.168.22.10的tcp23端口)
配置動態nat:
全局下:nat address-group 150 202.1.1.1 202.1.1.5(定義公網地址池)
全局下:
acl number 3000
rule permit ipsource 192.168.0.0 0.0.255.255
rule permit ipsource 172.16.1.0 0.0.0.255(全局抓取數據流)
int g0/1(外網接口)
nat outbound 3000address-group 150
(將acl和nat地址池關聯起來)
配置PAT:
Nat address-group100 202.1.1.1 202.1.1.1(定義單個公網地址)
Acl number 3100
Rule permit ip source192.168.0.0 0.0.255.255
Int g0/1
Nat outbound 3100address-group 100
交換
交換原理:
1 交換機學習新的MAC地址,存放到mac地址表中,同時將mac地址和端口號綁定
2 轉發數據,如果沒有目的mac地址,則會進行泛洪查找,如有mac地址,則直接轉發。(泛洪:向除了源端口之外的所有的端口發送查詢)
VLAN(虛擬局域網)
基於接口來劃分的
優點:
終結廣播/隔絕廣播
一個vlan=一個廣播=一個子網/網段
配置VLAN:
全局下:
Vlan 10(創建vlan 10)
Name market(給vlan10起名字叫market)
Description “for-market”
Port g1/0/1 to g1/0/10 g1/0/15 to g1/0/20 g1/0/22
進入接口,劃分進vlan
Int g1/0/1
Port access vlan10(將g1/0/1劃分進vlan10)
交換機的批量端口配置:
Port-group manualabc(創建批量端口組abc)
Group-member g0/1to g0/10 g0/20(在端口組abc中添加端口)
Undo shutdown
Port access vlan 5
交換機默認有一個vlan1,所有接口都在vlan1中,vlan1是默認的本徵vlan,儘量不用vlan1來走業務,vlan1不能修改不能刪除
交換的三種接口類型:
1 access口(訪問口,是默認的接口類型,用來承載單個vlan流量的接口)
2 trunk口(中繼口,用來承載多個vlan之間流量的接口)
3 hybrid口(混雜口,既可以承載單個vlan也可以承載多個vlan的流量的接口,H3C私有接口)
(1)access口,必定是vlan口,即屬於某一個vlan的接口。通常連接終端設備
(2)中繼口必定不是vlan口,通常連接交換機路由器等網絡設備
配置接口類型:
配置access口,並且劃分到vlan中:
Int g0/1
Port link-typeaccess(將接口設置爲access口)
Port access vlan10(將接口劃分進VLAN10)
Vlan總共4096個
配置trunk口:
Int g0/1
Port link-type trunk(將接口設置爲trunk口)
Port trunk permitvlan all/或者
Port trunk permitvlan 10 20
(在turnk口上放行vlan數據)
單臂路由:
路由器用單根鏈路承載多個vlan之間的流量
單臂路由配置:
1 連接路由器的交換機口配置爲trunk口,並且放行vlan,使vlan能通過
2 路由器打開物理接口,並且創建子接口
3 將子接口封裝成爲能夠識別802.1q幀的接口,同時對應內部的vlan號
配置:
交換機接路由器接口:
Int g0/0
Port link-typetrunk
Port trunk permitvlan all
路由器:
Int g0/0
Undo shutdown(將連接交換機的物理口開啓)
Int g0/0.1
Vlan-type dot1q 10(配置子接口對應的vlan號爲10)
Ip add192.168.10.1 24
Int g0/0.2
Vlan-type dot1q 20
Ip add192.168.20.1 24