本次针对华为网络和思科网络不同进行总结
华为网络思科网络
区别
ACL配置
这是我遇到的第一个问题Cisco中ACL默认语句:deny ip any any
华为中ACL默认语句:permit ip any any
ACL命令
常用的Cisco网络命令
- 路由器口令配置
router>enable
router#config terminal 进入全局配置模式
router(config)#hostname 设置交换机的主机名
router(config)#enable secret xxx 设置特权加密口令
router(config)#enable password xxb 设置特权非密口令
router(config)#line console 0 进入控制台口
router(config-line)#line vty 0 4 进入虚拟终端
router(config-line)#login 要求口令验证
router(config-line)#password xx 设置登录口令xx
router(config)#(Ctrl+z) 返回特权模式
router#exit 返回命令
- 路由器配置
router(config)#int s0/0 进入Serail接口
router(config-if)#no shutdown 激活当前接口
router(config-if)#clock rate 64000 设置同步时钟
router(config-if)#ip address 设置IP地址
router(config-if)#ip address second 设置第二个IP
router(config-if)#int f0/0.1 进入子接口
router(config-subif.1)#ip address 设置子接口IP
router(config-subif.1)#encapsulation dot1q 绑定vlan中继协议
router(config)#config-register 0x2142 跳过配置文件
router(config)#config-register 0x2102 正常使用配置文件
router#reload 重新引导
- 路由器文件操作
router#copy running-config startup-config 保存配置
router#copy running-config tftp 保存配置到tftp
router#copy startup-config tftp 开机配置存到tftp
router#copy tftp flash: 下传文件到flash
router#copy tftp startup-config 下载配置文件
ROM状态:
Ctrl+Break 进入ROM监控状态
rommon>confreg 0x2142 跳过配置文件
rommon>confreg 0x2102 恢复配置文件
rommon>reset 重新引导
rommon>copy xmodem: flash: 从console传输文件
rommon>IP_ADDRESS=10.65.1.2 设置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0 设置路由器掩码
rommon>TFTP_SERVER=10.65.1.1 指定TFTP服务器IP
rommon>TFTP_FILE=c2600.bin 指定下载的文件
rommon>tftpdnld 从tftp下载
rommon>dir flash: 查看闪存内容
rommon>boot 引导IOS
- 路由
ip route 命令格式
router(config)#ip route 2.0.0.0 255.0.0.0 1.1.1.2 静态路由举例
router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 默认路由举例
router(config)#ip routing 启动路由转发
router(config)#router rip 启动RIP路由协议。
router(config-router)#network 设置发布路由
router(config-router)#negihbor 点对点帧中继用。
- 帧中继命令
router(config)#frame-relay switching 使能帧中继交换
router(config-s0)#encapsulation frame-relay 使能帧中继
router(config-s0)#fram-relay lmi-type cisco 设置管理类型
router(config-s0)#frame-relay intf-type DCE 设置为DCE
router(config-s0)#frame-relay dlci 16
router(config-s0)#frame-relay local-dlci 20 设置虚电路号
router(config-s0)#frame-relay interface-dlci 16
router(config)#log-adjacency-changes 记录邻接变化
router(config)#int s0/0.1 point-to-point 设置子接口点对点
router#show frame pvc 显示永久虚电路
router#show frame map 显示映射
- 访问控制列表ACL
router(config)#access-list permit|deny
router(config)#interface ;default:deny any
router(config-if)#ip access-group in|out ;defaultut
例1
router(config)#access-list 1 deny host 10.65.1.1
router(config)#access-list 1 permit any
router(config)#int f0/0
router(config-if)#ip access-group 4 in
例2
router(config)#access-list 4 permit 10.8.1.1
router(config)#access-list 4 deny 10.8.1.0 0.0.0.255
router(config)#access-list 4 permit 10.8.0.0 0.0.255.255
router(config)#access-list 4 deny 10.0.0.0 0.255.255.255
router(config)#access-list 4 permit any
router(config)#int f0/1
router(config-if)#ip access-group 4 in
access-list permit|deny icmp [type]
access-list permit|deny tcp [port]
例1
router(config)#access-list 101 deny icmp any 10.64.0.2 0.0.0.0 echo
router(config)#access-list 101 permit ip any any
router(config)#int s0/0
router(config-if)#ip access-group 101 in
例2
router(config)#access-list 102 deny tcp any 10.65.0.2 0.0.0.0 eq 80
router(config)#access-list 102 permit ip any any
router(config)#interface s0/1
router(config-if)#ip access-group 102 out
删除访问控制例表
router(config)#no access-list 102
router(config-if)#no ip access-group 101 in
- 路由器的NAT配置
Router(config-if)#ip nat inside 当前接口指定为内部接口
Router(config-if)#ip nat outside 当前接口指定为外部接口
Router(config)#ip nat inside source static [p] <私有IP><公网IP> [port]
Router(config)#ip nat inside source static 10.65.1.2 60.1.1.1
Router(config)#ip nat inside source static tcp 10.65.1.3 80 60.1.1.1 80
Router(config)#ip nat pool p1 60.1.1.1 60.1.1.20 255.255.255.0
Router(config)#ip nat inside source list 1 pool p1
Router(config)#ip nat inside destination list 2 pool p2
Router(config)#ip nat inside source list 2 interface s0/0 overload
Router(config)#ip nat pool p2 10.65.1.2 10.65.1.4 255.255.255.0 type rotary
Router#show ip nat translation
rotary 参数是轮流的意思,地址池中的IP轮流与NAT分配的地址匹配。
overload参数用于PAT 将内部IP映射到一个公网IP不同的端口上。
- 外部网关协议配置
routerA(config)#router bgp 100
routerA(config-router)#network 19.0.0.0
routerA(config-router)#neighbor 8.1.1.2 remote-as 200
- 常用查询
show ip route ;查看路由表
show vlan 查看vlan配置信息
show interface 查看端口信息
show running-config ;查看当前设备配置
show access-list ;查看访问控制列表配置及匹配数据包数量
show vtp status 查看vtp配置信息
show running-config 查看当前配置信息
show int f0/0 查看指定端口信息
dir flash: 查看闪存
show version 查看当前版本信息
show cdp cisco 设备发现协议(可以查看聆接设备)
show cdp traffic 查看接收和发送的cdp包统计信息
show interface f0/1 switchport 查看有关switchport的配置
show cdp neighbors 查看与该设备相邻的cisco设备
show interface stats ;查看交换机所有接口当前接口流量
show version ;查看IOS版本信息及设备正常运行时间
show clock ;查看设备时钟信息
show vtp status ;查看交换机vtp配置模式
show vtp password ;查看交换机vtp配置口令
show env all ;查看设备温度,电源和风扇运转参数及是否报警
show inventory ;调取设备内部板卡出厂模块型号及序列号
show spanning-tree root ;查看交换机生成树根位置
show cdp neighbors ;查看邻接cisco设备基本信息
show cdp neighbors detail ;查看邻接cisco设备详细信息
show interface status ;查看交换机接口状态是否存在errordisable接口disable接口
show interface summary` ;查看交换机所有接口当前接口流量
show interface | i errors|FastEthernet|GigabitEthernet ;查看接口是否存在大量input或output errors包错误
show processes cpu ;查看设备cpu负载
show processes mem ;查看设备mem负载
show logging ;查看本机内部日志记录情况
show firewall ;检查防火墙的工作模式
show conn count ;检查防火墙并发数
show xlate count ;检查防火墙nat工作状态
Cisco常用命令Cisco常用命令1
常用的华为网络命令
- 用户视图
指令 | 含义 |
display ip interface brief | 查看端口IP信息 |
display arp | 查看ARP表 |
rebot | 重启设备 |
reset saved-configuration | 重置设备配置 |
system-view | 进入系统视图 |
save | 保存设备信息 |
- 系统视图
指令 | 含义 |
aaa | 进入3A视图 |
acl [数字] | 创建并进入acl规则视图,acl数字从2000开始为基础的规则,从3000开始为扩展规则 |
capwap source interface vlanif [VLAN编号] | 建立capwap隧道 |
clear configuration interface [接口] | 清除指定接口上的配置 |
dhcp enable | 开启设备的DHCP(动态主机配置协议)功能 |
dhcp select global | 开启基于地址池分配IP的功能 |
dhcp server excluded-ip-address [IP地址] | 将指定的IP地址排除出IP地址池之外 |
dhcp snooping enable | 开启DHCP的snooping功能 |
dhcp snooping enable vlan [数字] | 在指定的VLAN中开启DHCP功能,属于该VLAN的DHCP功能将被允许 |
dhcp relay server-ip [IP地址] | 设置DHCP服务器的端口地址 |
display acl all | 显示当前所有的ACL规则 |
display ap all | 查看所有AP设备的上线情况 |
display bridge mac-address | 显示路由交换机的MAC地址 |
display current-configuration interface [端口信息] | 显示防火墙的指定端口配置信息 |
display firewall session aging-time | 查看防火墙会话表的老化时间 |
display firewall session table | 查看防火墙会话表简要信息 |
display firewall session table verbose | 查看防火墙会话表详细信息 |
display hrp state | 显示hrp状态信息 |
display ip interface brief | 显示防火墙接口配置信息 |
display ip routing-table | 显示路由表 |
display mac-address | 查看MAC表 |
display mac-address aging-time | 查看MAC表老化时间 |
display saved-configuration | 查看当前已保存配置 |
display this | 显示当前配置 |
display vrrp | 显示vrrp信息 |
display vrrp brief | 查看当前vrrp备份组信息 |
firewall zone trust | 进入防火墙的信任区视图 |
firewall zone untrust | 进入防火墙的非信任区视图 |
hrp enable | 开启HRP备份功能 |
hrp interface [接口名] [端口] remote [IP地址] | 为vrrp设备指定心跳口,IP地址为端口的地址 |
interface [接口名] [端口] | 进入某接口的视图 |
interface vlanif [网段] | 进入指定VLAN的SVI虚拟接口 |
ip pool [名称] | 创建并进入IP地址池 |
ip route-static [下一跳网段] [掩码] [下一跳IP地址] | 设置静态路由,IP地址为下一跳路由器端口地址 |
ip route-static 0.0.0.0 0 [下一跳IP地址] | 设置默认路由,IP地址为下一跳路由器端口地址。注意第四个0和第五个0中间是空格不是小数点,第五个0也可以写成0.0.0.0表示完全匹配 |
mac-address aging-time [时间] | 设置MAC地址表老化时间,默认老化时间为300秒 |
mac-address static [MAC地址] [端口]vlan 1 | 将MAC地址绑定到指定端口,交换机中所有的接口默认vlan 1 |
port-group group-member [端口1] to [端口2] | 将多个端口创建成临时的端口组,并进入该端口组 |
quit | 返回上一级视图,即用户视图 |
return | 返回上一级视图,即用户视图 |
rsa local-key-pair create | 创建本地密钥对 |
security-policy | 进入防火墙安全策略 |
stelnet server enable | 开启SSH服务 |
sysname [名称] | 修改设备名称 |
telnet server enable | 开启telnet服务 |
undo info-center enable | 关闭信息中心日志 |
undo mac-address | 清空MAC表 |
user-bind static ip-address [IP地址] mac-address [MAC地址] interface [接口信息] vlan [数字] | 创建用户绑定表,绑定IP、MAC、端口和VLAN |
user-interface console 0 | 进入console接口 |
user-interface vty 0 4 | 进入VTY接口,VTY即虚拟终端 |
vlan [网段] | 创建并进入VLAN视图 |
vlan batch [网段1] [网段2] [网段3] … | 创建多个VLAN |
wlan | 进入wlan视图 |
- 接口视图
指令 | 含义 |
action permit | 在安全策略规则视图下,将已设置的规则提交 |
active | 在vrrp视图下,将设备加入到active的VGMP管理组 |
add interface [接口信息] | 在信任区/非信任区视图下,将该接口划入信任区/非信任区 |
ap auth-mode mac-auth | 在wlan视图下,设置AP设备的认证模式为MAC认证 |
ap-id [编号] | 创建并进入指定的AP视图 |
ap-mac [MAC地址] | 在ap视图下,配置ap设备的物理/MAC地址 |
ap-name [名称] | 在ap视图下,设置ap视图的名称 |
ap-group [ap组名称] | 在ap视图下,将当前的ap模板添加到ap组中 |
ap-group name [模板名称] | 在wlan视图下,创建ap组,进入ap组视图 |
authentication-mode aaa | 在VTY接口视图下,设置3A模式 |
authentication-mode password | 在cosole接口下,当指令输入完毕,提示设置本地设备密码 |
bind manager-user [用户名] role system-admin | 在3a视图下,绑定指定用户为系统管理员 |
country-code [国家码] | 在domain视图下,设置国家码,中国的国家码为cn |
destination-zone [trust untrust] | 在安全策略规则视图下,设置规则的目的为信任区域/非信任区 |
dhcp select relay | 在端口视图下,开启端口的DHCP中继功能 |
dhcp snooping trusted | 在端口视图下,将该接口设置为信任模式 |
display this | 在端口视图下,显示当前配置 |
dns-list [IP地址] | 在IP地址池视图下,设置地址池默认的DNS服务器 |
excluded-ip-address [IP地址a] [IP地址b] | 在IP地址池视图下,将IP地址范围a到b的地址排除在IP地址池外 |
forward-mode [转发方式] | 在vap视图下,转发方式为tunnel表示隧道转发,direct-forward表示直接转发 |
gateway-list [IP地址] | 在IP地址池视图下,设置默认网关地址 |
idle-timeout [分钟] [秒] | 在console0视图下,设置用户连接的超时时长,如果不填参数的话默认的时长为10分钟,如果设置成idle-timeout 0表示经过任何时长用户都不会退出登录。 |
ip address [IP地址] [掩码] | 在接口视图下,设置接口的IP地址 |
level [数字] | 在3a模式的用户视图下,设置用户等级 |
mac-address learning disable action [discard forward] | 在接口视图下,关闭接口的自动学习功能,若不填写action及后面的参数discard时默认为forward。discard表示不学习也不转发报文,设置为forward时不会自动学习但会转发报文。 |
mac-vlan mac-address [MAC地址] | 在VLAN视图下,将MAC地址与该VLAN进行绑定 |
manager-user [用户名] | 在aaa视图下,创建并进入指定用户视图 |
net work [IP地址] mask [掩码] | 在IP地址池视图下,设置地址池可分配的IP地址范围 |
password | 在3a模式的用户视图下,设置指定用户的密码 |
port default vlan [网段] | 在接口视图下,为接口分配VLAN |
port hybrid pvid vlan [网段] | 在接口视图下,设置接口的VLAN |
port hybrid [ tagged untagged ] vlan [网段1] [网段2] … | 在端口视图下,设置经过该端口的网段报文将会被添加tag或去除tag |
port link-type [access or trunk or hybrid] | 设置接口的VLAN类型,access类型用于主机和交换机间,trunk类型用于交换机和交换机之间, hybrid是华为交换机特有的接口类型兼容了access和trunk |
port-security enable | 在接口视图下,开启接口的安全功能 |
port-security mac-address sticky | 在接口视图下,设置安全功能,当第一次学习到MAC地址就会绑定对应的端口 |
port-security max-mac-num [个数] | 在端口视图下,设置端口安全功能的MAC地址最大学习数 |
port-security protect-action [protect restrict shutdown] | 在端口视图下,设置端口安全功能中学习到MAC超过限制或出现静态MAC地址漂移时的保护动作,shutdown为关闭端口可用于泛洪攻击的防御手段。 |
port trunk allow-pass vlan [网段1] [网段2] [网段3] … | 在接口视图下,设置trunk口允许通过的VLAN网段 |
preempt-mode timer delay [时长] | 在vrrp视图下,设置抢占延迟时间,单位为秒 |
priority [优先级] | 在vrrp视图下,设置对应的优先级,不填写优先级时默认100,数字越大优先级越高 |
protocol [inbound | outbound] [协议类型] 在VTY接口视图下,允许指定协议类型的报文通过,all表示所有协议类型 |
quit | 在接口视图下,返回上一级视图,即系统视图 |
regulatory-domain-profile [domain模板名称] | 在ap组视图下,绑定domain模板 |
regulatory-domain-profile name [模板名称] | 在wlan视图下,创建域管理模板,进入domain视图 |
rule name [规则] | 在安全策略视图下,创建并进入安全策略规则视图 |
rule deny ip 在 | acl规则视图下,禁止所有的IP报文通过端口,禁止范围不包括acl规则允许的IP地址。 |
rule deny source [IP地址段] 0.0.0.255 | 在acl规则视图下,设置只禁止来自目标IP地址段的报文通过,目标IP地址段末尾为0 |
rule [deny permit] tcp source [IP地址] 0 destination-port eq [协议类型] | 在acl规则视图下,permit表示允许源IP地址可以使用指定的协议服务访问目标IP地址,deny表示拒绝源IP地址使用指定的协议服务访问目标IP地址。eq表示两个等于号,0表示完全匹配。 |
rule [deny permit] source [IP地址段] 0.0.0.0.255 | 在acl规则视图下,permit表示只允许来自目标IP地址段的报文通过,deny表示只禁止来自目标IP地址段的报文通过,目标IP地址段末尾为0 |
security [安全策略] [接入认证方式] pass-phrase [wifi密码] [加密方式] | 在sec视图下,设置wifi的信息,安全策略常用wpa-wpa2,接入认证方式采用psk,加密方式采用aes |
security-profile [sec模板名称] | 在vap视图下,绑定sec模板 |
security-profile name [模板名称] | 在wlan视图下,创建sec模板,进入sec视图 |
service-manage [协议类型] permit | 在接口视图下,允许指定协议类型的报文通过。如果需要使用网页登录防火墙时,可设置https类型报文通过。如果需要使用telnet登录防火墙时,就允许telnet类型报文通过。all类型表示所有协议 |
service-type [协议类型] | 在3a模式的用户视图下,允许指定协议报文通过 |
source-zone [trust untrust] | 在安全策略规则视图下,设置规则的来源为信任区域/非信任区 |
ssid [wifi名称] | 在ssid视图下,设置wifi的名称 |
ssid-profile [ssid模板名称] | 在vap视图下,绑定ssid模板 |
ssid-profile name [模板名称] | 在wlan视图下,创建模板ssid,进入ssid视图 |
traffic-filter [inbound outbound] acl [数字] | 在端口视图下,使用指定的ACL规则,inbound表示应用在进入端口的报文,outbound表示应用在从端口出去的报文 |
user privilege level [数字] | 在VTY接口视图下,设置用户的权限等级 |
vap-profile name [模板名称] | 在wlan视图下,创建vap模板,进入vap视图 |
vap-profile [vap模板名称] wlan [wlan编号] radio [射频参数] | 在ap视图或ap组视图下,绑定vap模板,设置wlan,设置射频参数,参数为0表示2.4G赫兹,参数为1表示5G赫兹 |
virtual-ip [IP地址] | 在vrrp视图下,配置虚拟IP地址 |
<br/ vrrp vrid [编号] | 在接口视图下,创建并进入指定编号的vrrp备份组,若已存在则直接进入对应的vrrp视图 |
- 常用查询命令
指令 | 含义 |
display ip int brief | 查看接口ip地址 |
display interface brief | 查看接口的简要信息 |
display current-configuration | 显示当前配置文件 |
display current-configuration | 关键词(查看关键词的配置) |
display saved-configuration | 显示保存的配置文件 |
display ip routing-table | 查看路由表 |
display ospf peer | 查看ospf邻居关系 |
display ospf lsdb | 查看转发表 |
display fib | 查看系统当前时间 |
display this | 查看当前模式下的配置,比如在接口上敲这条命令就可以看到当前接口下的信息 |
display vlan | 查看VLAN |
display arp | 查看ARP表 |
display mac-address | 查看MAC地址表 |
display bridge mac-address | 查看本机MAC地址 |
华为常用命令参考 | |
华为常用查询命令参考 |
流策略与简化流策略
这两个是Cisco网络所没有的,