第一章 VRP操作基礎
1VRP基礎
MiniUsb串口連接交換機的方法
2eNSP入門
3命令行基礎(1)
eNSP中路由開啓後(記住端口)---第三方軟件連接該路由方法:telnet 127.0.0.1 端口
用戶視圖(文件)—–系統視圖(系統sys)——接口視圖(接口 interface GigabitEthernet 0/0/0)——協議視圖(路由)
display hotkey 顯示功能鍵
display clock 顯示時間
clock timezone CST add 8 設置時區(先設時區再設時間)
clock datetime 設置時間
header login information #
內容
登錄前信息
header shell information 登錄後信息(格式同上)Ctrl+] 可以退出查看該信息
用戶權限15 命令權限3
爲console口配置密碼:
user-interface console 0 ;進入到相應口
authentication-mode password ;認證模式爲passwork
set authentication password cipher huawei ;設置密碼(路由器不需要)
爲vty(telnet)設置密碼
user-interface vty 0 4
其它同上
user privilege level 3;用戶命令等級3(管理員)PS:console不用
dis history-command;顯示歷史命令
爲接口配置2個IP地址(限路由)
system-view
[Huawei]interface gigabitethernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.0.12.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0]interface loopback 0 ;環回接口(邏輯接口)
[Huawei-LoopBack0]ip address 1.1.1.1 32
管理網口配置:
注意:華爲交換機有單獨的管理網口,不佔用機器配置表中的網口
interface MEth0/0/1 //標識有ETH的單獨的RJ45網口
ip address 192.168.5.250 24 //設置管理網口的ip地址和掩碼
匯聚交換機管理IP配置網關vlanif已在覈心交換機內
在匯聚交換機中新加和核心交換機中相同vlanif ,並分配IP(網段同網關)
4.命令行基礎(2)
雲配置:udp (入口)1---綁定vmware僅主機網卡(出口)2
要做端口映射
1-2 雙向 2-1 雙向
display version
查看路由器基本信息
display interface GigabitEthernet 0/0/0
查看接口狀態信息
display ip interface brief
查看全部接口的IP簡要信息,含IP地址
display ip routing-table
查看路由表
display current-configuration
查看當前的配置(內存中)
display saved-configuration
查看保存的配置(Flash中)
dir flash:
查看Flash中的文件
save
保存配置文件
reboot
重啓設備
telnet實驗(參照上面命令)
3A認證(不同用戶不同密碼)
user-interface vty 0 4
authentication-mode aaa ;區別password
user privilege level 15
aaa
local-user admin password cipher huawei ;建用戶並給密碼
local-user admin privilege level 15
local-user admin service-type telnet ;類型
telnet登錄後使用dis users 可查看當前登錄用戶
抓包可以分析出telnet的密碼“Follow TCP Stream”
5.VRP文件系統基礎
cd 改變目錄
more 查看文件內容
copy 複製 copy flash:/vrpcfg.zip vrpcfg.zip (拷貝根目錄“需加flash”下的配置文件到當前目錄)
move 移動
delete 刪除
rename 改名
undelete 恢復回收站的文件
pwd顯示路徑
mkdir 創建目錄
rmdir 刪除目錄
format 格式化
fixdisk 修復文件系統
save 生成cfg.zip
display saved顯示保存配置
display cur 顯示當前配置
reset saved 刪除保存配置 + reboot 第一次N ========== 設備復位
compare configuration 比較配置文件區別
刪除/永久刪除文件
delete /unreserved (dir /all 可查看回收站的文件)
恢復刪除的文件
undelete
徹底刪除回收站中的文件
reset recycle-bin
加載不同的配置文件
dis startup ;查看開機信息,其中有加載配置文件的路徑
startup saved-configuration flash:/a.zip ;更改啓動配置文件
比較當前配置與下次啓動的配置
compare configuration
6.VRP系統管理(1)
路由器做爲客戶端 :
ftp (FTP服務器地址)
get vrp.cc 下載文件到ftp
put vrp.zip 上傳文件到ftp
TFTP相關
tftp 10.0.1.184 put(get) vrpcfg.zip
7.VRP系統管理(2)
第二章 靜態路由
8.IP路由原理、靜態路由基本配置
路由的來源:
直連路由:鏈路層發現的路由(direct)
管理員手工添加:靜態路由 (static)
路由器協議學到的路由:動態路由 (ospf rip)
靜態路由特點:
優:實現簡單,精確控制,不佔資源
缺:不適用大型網絡,網絡變更需要手動改
dis ip routing-table ;查看路由表,直連11條
ip route-static 192.168.23.0 24 Serial 1/0/0 192.168.12.2
目的 經過(本路由出口) 下一跳(下一路由入口)
9.靜態路由深入分析
優先級pre:直連最大0 ----OSPF---靜態
度量值cost:同一路由下,選擇最小開銷(多因素)的路徑
以上參數,值越小,優先級越高
匹配原則:目的地址和路由表的掩碼做與,再比較路由中的“目的地址”---優先挑掩碼大的做匹配
下一跳寫法:
點對點:可以省略下一跳;
以太網:可以省略出接口;
dis fib ;最終採納的路由表
遞歸查詢(帶R標誌):經過中間多次查詢,最終到達目的地址
缺省路由:0.0.0.0 0.0.0.0 網關 ;目的和子網掩碼都爲0的路由,上互聯網都有這條
10.負載分擔、路由備份
雙線路負載(2條線路同時工作):平時2條靜態方向不同的路由表,可以達到負載的作用;
浮動路由(路由備份,平時只有一條線路工作):通過其中一條設置成低優先級(添加路由時加preference)的路由,變成浮動(路由表中看不到),出問題纔出現
dis ip routing-table 192.168.4.0 verbose ;查看某一目的路由的詳細信息
第三章 RIP
11.動態路由協議基礎
常見的動態路由協議有:
RIP:Routing Information Protocol,路由信息協議。
OSPF:Open Shortest Path First,開放式最短路徑優先。
ISIS: Intermediate System to Intermediate System,中間系統到中間系統。
BGP:Border Gateway Protocol,邊界網關協議。
分類:
自治系統內部的路由協議—— IGP:RIPv1/v2、OSPF、ISIS
自治系統之間的路由協議 —— EGP:BGP
單播,組播
不同路由協議不能直接互相學習,但可以通過路由引入來導入不同的協議
12.RIP簡單介紹及基本配置
度量值:跳;最多不可以超過15跳
2個路由學習時,更新是一個方向,學回後的路由指向是相反方向
RIP1.0 : UDP:520端口 工作在應用層
RIP 基本配置
rip
network 10.0.0.0 ;只支持主類網絡 10.0.1.254 必須寫成10.0.0.0
rip 1 ;進入相關進程
silent-interface GigabitEthernet0/0/0 ;靜默(關閉)某接口發送
第四章 OSPF
20.OSPF基本原理及基本配置
開放式最短路徑優先(OSPF)
鏈路狀態路由協議
無環路
收斂快
擴展性好
支持認證
OSPF報文封裝在IP報文中,協議號爲89。
OSPF工作原理:路由通過LSA泛洪---收集到路由數據庫(LSDB)---通過SPF算法---根據自身算出最短路由 (交換的不是路由表,而是數據庫)
hello報文建立鄰居關係---鄰接(同步數據庫,full狀態)
OSPF區域:分區域爲了減小數據大小
配置方法:
ospf
area 0;進入到0區域
network 10.1.1.0 0.0.0.255(代表10.1.1.0網段) ;把該路由器上地址爲10.1.1.X 網段的接口應用ospf,有2個方向就要有2個network
同等 10.1.0.0 0.0.255.255 同等 0.0.0.0 255.255.255.255
dis ospf peer brief ;查看ospf鄰居信息
第七章 訪問控制列表
35.基本ACL介紹
ACL是用來實現流識別功能的。
ACL(Access Control List,訪問控制列表)是定義好的一組規則的集合,通常用於:
標識感興趣網絡流量
過濾經過路由器的數據包
分類:
基本ACL:2000~2999 報文的源IP地址
高級ACL:3000~3999 報文的源IP地址、目的IP地址、報文優先級、IP承載的協議類型及特性等三、四層信息
配置ACL的過程:實際上就是告訴路由器允許或者拒絕某些數據包
ACL難點:通配符、語句順序、方向性
單臺:
rule 10 permit source 10.1.1.1 0.0.0.0
允許來自10.1.1.1主機的IP數據包通過
rule 10 deny source 10.1.1.2 0.0.0.0
拒絕自10.1.1.2主機的IP數據包通過
多臺:
rule 10 permit source 10.0.0.0 0.255.255.255
允許來自IP地址爲10.×.×.×(即IP地址的第一個字節爲10)的主機的數據包通過。
例子:
允許來自10.0.0.0/255.255.255.0的IP數據包通過
rule 5 permit source 10.0.0.0 0.0.0.255 ;掩碼位反過來(簡單的0和25,複雜)
複雜255.224.0.0 寫的話主是 0.31.255.255 224對應機器數32-1=31
特殊的通配符掩碼 0 關心位 255 不關心位X
1.permit source any
= permit source 0.0.0.0 255.255.255.255
= permit
2.permit source 172.30.16.29 0 某一具體主機
= permit source 172.30.16.29 0.0.0.0
ACL順序匹配:一但匹配成功,後面的列表將不再檢查(比較苛刻的放前面)
未命中規則(一條都不匹配):不同模塊處理不一樣。如果是轉發模塊,則轉發數據包;如果是telnet模塊,則不允許;如果是路由過濾,不允許路由通過。
禁止192.168.1.1-192.168.1.100思路
PS:最後一條,96應該是100
例子:
acl 2000
rule………………..
int gi0/0/0 ;進入相關接口
traffic-filter inbound acl 2000 ;應用到相關接口
dis acl 2000 ;查看
dis traffic-filter applied-record ;查看接口(方向)應用了哪個列表
36.基本ACL應用案例
禁止telnet :
user-interface vty 0 4 ;進到vty
acl 2999 inbound ;應用到該接口,和物理接口有區別
rule primit ; ACL中加這名是因爲,ACL匹配未成功後,telnet模塊,不允許通過數據包
telnet -a 10.2.2.1 192.168.12.1 ;-a參數,以指定IP源telnet
時間控制:
time-range work-time 9:0 to 18:00 working-day 6 ;定義“work-time” 星期一到六
acl 2001
rule deny time-range worktime ;上班時間不允許上網
rule permit
禁止學習某路由表;
rip 1 ; 進到相關rip
filter-policy(過濾策略) 2000 export ;2000爲定義的acl ,export 代表向外發佈;import代表我要學習
自動讓匹配寬鬆的放前面,苛刻的放後面
acl 2200 match-order auto
37.高級ACL
acl number 3000 ;高級
rule 5 permit tcp destination 172.2.0.250 0 destination-port eq www
;允許所有機器TCP訪問目標機器的www 服務
rule 10 deny ip destination 172.2.0.250 0 ;拒絕所有的IP協議(包括icmp)訪問
traffic-filter inbound acl 3000;進入端口,並應用
ACL放置位置
基本ACL儘可能靠近目的
高級ACL儘可能靠近源
內可以ping外,外不可以ping內(ping 分析: 去類型爲:echo 回類型爲:echo-reply)
acl number 3000
rule 5 deny icmp icmp-type echo
rule 10 permit ip
traffic-filter inbound acl 3000
內可以telnet外,外不可以telnet內(tcp三次握手,第一個包不帶ack位)
rule 8 permit tcp tcp-flag ack ;放行帶ack的
rule 9 deny tcp ;拒絕不帶ack的
第八章 網絡地址轉換
38.靜態NAT、動態NAT
靜態nat 和外網地址一一對應,n–n 不能減少公網地址;
環回口配置
int lookback 1
ip add 192.168.1.1
ip route-static 0.0.0.0 0 gi0/0/1 61.0.0.2 ;要上網的路由需加的路由表
靜態nat配置
int gi0/0/1 ;進入外網接口
nat static global 61.0.0.11(公網IP,不一定是接口IP) inside 192.168.1.1
特點:發包源IP地址轉換 收包目的IP地址轉換
dis nat static ;查看靜態nat
動態nat配置
int gi0/0/1 ;進入外網接口
acl 2000 ;定義acl編號
rule permit 192.168.1.0 0.0.0.255 ;地址範圍內網
nat address-group 1 61.0.0.11 61.0.0.20 ;外網地址範圍
nat outbound 2000 address-group 1 no-pat ;先內後外 no-pat 不做端口轉換
特點:100對50 只能節省部分地址
dis nat session all ;顯示 nat 轉換情況
39.PAT、NAT服務器
NAPT or PAT (端口地址轉換) :動態端口轉換
設置同動態NAT
nat outbound 2000 address-group 1 ;先內後外 與動態NAT區別:no-pat
Easy IP 配置 (家庭使用,沒有固定IP)
nat outbound 2000 ;只指定源IP
端口映射
nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080
第一十一章 交換基礎、VLAN
50.VLAN原理和配置
簡單vlan配置
vlan 10 ;創建 valn
dis vlan
dis port vlan ;接口vlan狀態
int eth0/0/0
port type-link access ;接口類型
port default vlan 10 ;配置
Access端口在收到數據後會添加VLAN Tag,VLAN ID和端口的PVID相同。
Access端口在轉發數據前會移除VLAN Tag。
當Trunk端口收到幀時,如果該幀不包含Tag,將打上端口的PVID;如果該幀包含Tag,則不改變。
當Trunk端口發送幀時,該幀的VLAN ID在Trunk的允許發送列表中:若與端口的PVID(trunk2端pvid必須相同,默認是1)相同時,則剝離Tag發送;若與端口的PVID不同時,則直接發送。
vlan batch 10 20 30 ; 批量10 to 30 (10,11,12.…………30)
配置Trunk
int gi0/0/1
port link-type trunk
port trunk allow-pass vlan all ;允許通過的vlan
port trunk pvid vlan 1 ;改變pvid ,默認是1
dis port vlan active ;查看trunk接口是否打標記,T or U
PS:取消Trunk
undo port trunk allow-pass vlan all
port trunk allow-pass vlan 1
port link-type access
51.Hybrid接口
訪端口可以連任何設備
第一十三章 VLAN間路由、VRRP
58.單臂路由實現VLAN間路由
每個vlan一個物理連接(一條線)
交換機與路由2根線(有幾個VLAN就有幾根線) PS:缺點
交換機端:該端配置和“客戶端口”相同
路由端:只需配IP(網關)
單臂路由
將交換機和路由器之間的鏈路配置爲Trunk鏈路,並且在路由器上創建子接口以支持VLAN路由。
交換機端:配置trunk
路由器端:
[RTA]interface GigabitEthernet0/0/1.1 ;定義子接口
[RTA-GigabitEthernet0/0/1.1]dot1q termination vid 2 ;分配VLAN
[RTA-GigabitEthernet0/0/1.1]ip address 192.168.2.254 24 ;配置網關
[RTA-GigabitEthernet0/0/1.1]arp broadcast enable ;開啓ARP廣播
59.三層交換實現VLAN間路由
2層+路由器 路由配虛擬端口vlan 和網關
[SWA]interface vlanif 2 ; 2同相關VLAN號
[SWA-Vlanif2]ip address 192.168.2.254 24 ;網關PS:該地址不能在其它VLAN網段中出現
複雜模式:三層接二層(帶管理)
中間設置成trunk,三層也要建和二層相關VLAN,int vlanif放在三層上。
第一十四章 交換機端口技術
63鏈路聚合(手工模式)
[SWA]interface Eth-Trunk 1
[SWA-Eth-Trunk1]interface GigabitEthernet0/0/1
[SWA-GigabitEthernet0/0/1]eth-trunk 1
[SWA-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2
[SWA-GigabitEthernet0/0/2]eth-trunk 1
dis eth-trunk 1 ;查看鏈路
PS: trunk端口下做鏈路聚合方法:先做鏈路聚合,然後在int eth-trunk 數字下做Trunk
72.防火牆技術
按照防火牆實現的方式,一般把防火牆分爲如下幾類:
包過濾防火牆:簡單,每個包都要檢查,缺乏靈活性,策略多影響性能
代理型防火牆:安全,但不方便,針對性強(http代理),不通用
狀態檢測防火牆:基於連接狀態,結合以上2種防火牆的優點
只防網絡層和傳輸層,不防應用層(比如網站漏洞);
防外不防內;
防火牆的安全區域:
Local(100網網)----Trust(85外網)
-----DMZ(50WEB服務器)
高可以訪問低,低不可以訪問高
配置思路
配置安全區域和安全域間。
將接口加入安全區域。
配置ACL。
在安全域間配置基於ACL的包過濾。
1.在AR2200上配置安全區域和安全域間
system-view
[Huawei] firewall zone trust
[Huawei-zone-trust] priority 15
[Huawei-zone-trust] quit
[Huawei] firewall zone untrust
[Huawei-zone-untrust] priority 1
[Huawei-zone-untrust] quit
[Huawei] firewall interzone trust untrust ;配置(進入)域間
[Huawei-interzone-trust-untrust] firewall enable ;開啓該域間的防火牆
[Huawei-interzone-trust-untrust] quit
2.在AR2200上將接口加入安全區域
int gi0/0/1
zone OUTSIDE ;相關接口加入到相關區域(華爲防火牆:如果不加入的話,與之相連的PC不能訪問該端口,和路由有區別)
PS:以上另外等價方法
firewall zone trust ;進入相關區域
add int gi0/0/1 ;加入相關端口
PS: dis firewall session all ;查看防火牆的所有會話信息
3.在AR2200上配置ACL (允許外網可以telnet內網)
acl 3001
rule permit tcp destination 192.168.1.100 0 destination-port eq 23 ;允許telnet
firewall interzone INSIDE OUTSIDE ;進入相關域間
packet-filter 3001 inbound;應用相關acl
FTP的主動(FTP本身),被動(客戶端)模式
內網訪問外網FTP,FTP主動模式(PORT)不能傳數據(經常外網FTP服務器訪問不了,FTP下載軟件要改成被動模式),但被動模式(PASV)可以訪問
ASPF配置工作在應用層,檢測http、FTP等,可以爲這些協議打開放行通道 firewall interzone INSIDE OUTSIDE;進入到相關區域 detect aspf all ;開啓檢測