基础命令

display version                             查看版本

display current-configuration              查看当前设备配置信息(与思科show run类似)

undo shutdown                               开启接口

spend 1000                                  配置接口速率

duplex                                      配置接口双工模式

description                                 配置端口描述信息

display interface brief                     查看接口简略信息

display mac-address                         查看MAC地址表

display users                               查看登录设备的用户

kill user-interface vty                     编号  踢除登录的用户

display this                                查看当前模式下的配置

save                                        保存当前配置


1、视图切换

在用户视图,敲sys进入到系统视图

在系统视图,敲int g 0/0/0(接口编号)进入接口视图

在系统视图,敲协议名进入协议视图,例如敲rip进入rip协议视图

退出当前视图,敲quit则可以返回上一视图模式。


2、查看命令

display命令,相当于Cisco中的show命令,使用命令第dis  this可以查看当前接口或模式下的配置。


3、链路捆绑(手动捆绑)

ps:在实际生产环境中,最好先把链路捆绑到一起再连接网线,否则容易出现错误

[Huawei]interface  eth-trunk  1                                      创建一个捆绑的链路1(注意两端都要一样)

[Huawei-Eth-Trunk1]mode  manual  load-balance                        定义为手动捆绑

[Huawei-Eth-Trunk1]trunkport GigabitEthernet  0/0/1  0/0/2           选择要捆绑的接口

[Huawei-Eth-Trunk1] port link-type trunk                             把链路类型更改为trunk链路

[Huawei-Eth-Trunk1]port trunk allow-pass vlan 2 to 5  10             允许在该链路上通过vlan2vlan5,和 vlan10to代表2,3,4,5,空格代表不连续vlan,比如510

[ Huawei ] display  eth-trunk  1                                     查看一下接口是否加入成功


4、启用DHCP服务分发地址

1)、使用全局DHCP地址池分发

[Huawei] dhcp enable                                             启用DHCP服务

[Huawei] ip pool vlan10                                          定义一个地址池的名字最好是有意义的名字比如按部门caiwubu起名

[Huawei-ip-pool-vlan10] gateway-list 192.168.10.254           分发的网关地址,(建议在模拟器中先配置网关后配置分发网段否则容易报错

[Huawei-ip-pool-vlan10] network 192.168.10.0 mask 255.255.255.0   分发的网段

[Huawei-ip-pool-vlan10] dns-list 114.114.114.114        定义分发的dns定义完地址池之后,在需要分发的vlan中启用全局地址池。

[Huawei]interface  vlanif  10                           进入需要vlan 10

[Huawei-Vlanif10]dhcp select global                   启用dhcp全局地址池,(它会自动挑选和自己vlan接口同一网段的地址池分发

2)、采用接口直接分发地址

[Huawei] dhcp enable                                  启用DHCP服务

[Huawei]int g0/0/0                                   进入接口

[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 24   接口地址

[Huawei-GigabitEthernet0/0/0]dhcp select interface   用该接口地址网段作为地址池给dhcp客户机分发并且分发的网关就是该接口的地址

 

5、创建三层交换机的SVI接口做VLAN间的路由

1)、创建vlan

[Huawei] vlan batch 10 20                      创建多个vlan时加batch

2、要有属于vlan的接口是激活状态

3)、进入vlan 创建SVI接口,并配置相应的IP地址。

[Huawei] interface vlan 10

[Huawei-Vlanif10] ip add 192.168.10.254 24    配置IP地址为192.168.10.254,子网掩码为/24

4)、激活三层路由器的路由转发功能。

[Huawei]ip routing                            打开路由功能(默认为开启状态)

 

6、在交换机上给pc机划分vlan

[Huawei]interface  g 0/0/1                           进入连接PC机的接口

[Huawei-GigabitEthernet0/0/1] port link-type access  定义接口为接入接口

[Huawei-GigabitEthernet0/0/1] port default vlan 10   划分到vlan10

 

7、配置登录华为设备的各种方式

console口配置:

user-interface con 0

authentication-mode password                              密码验证方式

set authentication password cipher cisco123               登录密码cipher(密文)/simple(明文)

user privilege level 15                                   用户登录后的级别

Telnetaaa中用户验证登录)

[Quidway] aaa                                                                                           进入aaa

[Quidway-aaa] local-user huawei password cipher hello                        用户名huawei密码hello(密文)

[Quidway-aaa] local-user huawei service-type telnet                             登录方式Telnet

[Quidway-aaa] local-user huawei privilege level 3                                  登录后权限为3

[Quidway-aaa] quit      

[Quidway] user-interface vty 0 4                                                          进入虚拟终端

[Quidway-ui-vty0-4] authentication-mode aaa                                      AAA验证登录

 

SSH登录aaa中用户验证登录)

 

只允许SSH登录:

1[Huawei]user-interface vty 0 4                                            进入虚拟终端

[Huawei-ui-vty0-4]authentication-mode aaa                                 AAA验证方式

protocol inbound ssh                                   允许连接的协议为ssh

2[Huawei-aaa]local-user test password cipher cisco123                      用户test和密码cisco

                local-user test service-type telnet ssh                      用户test登录的方式为ssh

                local-user test privilege level 15                用户登录后的权限为15级别

3[Huawei]stelnet server enable                                   开启ssh服务

              ssh user zhangsan authentication-type password            ssh用户的登录方式为密码验证

              ssh user zhangsan service-type stelnet

8、路由

1、静态路由和默认路由

ip route-static  0.0.0.0  0.0.0.0  192.168.1.1       配置默认路由

ip route-static  192.168.2.0  24  192.168.1.1                            

 

2、动态路由RIP(路由消息协议)

动态路由分为两种:距离矢量路由协议、链路状态路由协议

RIP属于距离矢量路由,是应用层协议,依靠UDP传输,使用的是UDP520端口号。

有两个版本,V1:协议报文使用广播,协议报文中不携带子网掩码,属于有类路由。

                            V2:协议报文使用组播224.0.0.9,协议报文中携带子网掩码,属于无类路由。

工作原理:定期的,周期性的把自己的路由表更新并发给邻居路由器,rip更新是30秒一次。

度量值:跳数,跳数越少,路由条目越优秀,最大跳数为15跳,16跳为不可达。

触发更新:路由条目变化后,马上更新,不等更新计时器到时。

配置:1、启动RIP进程

[Huawei]rip 1

[Huawei-rip-1]version 2                          开启版本2

[Huawei-rip-1]undo summary                       关闭路由自动汇总

[Huawei-rip-1]default-route originate            宣告默认路由分发默认路由

[Huawei-rip-1]network 10.0.0.0                   宣告网段(宣告是直连的并且是主类网)

[Huawei-rip-1]silent-interface Vlanif100         配置被动接口接收路由更新但是不发送路由更新的接口

 

 

 

 

9ACL

    华为的ACL分为三类:2000~2999为基本访问控制列表,只能对源IP进行限制

3000~3999为高级访问控制列表,能对源IP/目的IP/源端口/目的端口/协议,进行控制

4000~4999为二层访问控制列表,能对源Mac和目的Mac限制

ACL的遵循匹配即停止,先看优先级小的策略,如果匹配则不再继续向下查看,如果所有策略都不匹配,华为默认是允许数据包通过。

 

1)、基本acl编写

[Huawei]acl 2000                              在系统模式下写ACL

[Huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255

序号为10,允许源IP192.168.1.0/24的地址通过,注意是反码。

 

2)、高级ACL编写

[Huawei]acl 3000                              在系统模式下写ACL

[Huawei-acl-adv-3000]rule 10 permit icmp source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255            允许从源IP192.168.1.0到目的IP192.168.2.0ICMP协议ping

 

3)、接口调用acl

[Huawei]int g0/0/0                            在接口下调用acl

[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 以这个接口为入口应用ACL2000

 

4)、虚拟终端调用acl

[Huawei]user-interface vty 0 4                在虚拟终端下调用acl

[Huawei-ui-vty0-4]acl 2000 inbound            只允许符合Acl2000的数据可以进入vty线路

 

10NAT网络地址转换(network address translations

在路由器上做完NAT别忘了做默认路由指向公网ISP

 

1)、静态NAT一个IP对一个IP,双向通信,一般用于内部服务器发布到公网。

[Huawei]int g0/0/1                               进入接外网的接口

[Huawei-GigabitEthernet0/0/1]nat static enable   启用静态nat

[Huawei-GigabitEthernet0/0/1]nat static global 100.1.1.10 inside 192.168.1.254                                      把公网100.1.1.10,转成内网192.168.1.254golbal参数用于配置外部公网地址,inside参数用于配置内部私有地址(这个公网IP不能是路由器公网接口的IP,虚拟一个同网段的IP即可)

 

2)、动态NAT多个IP对应多个IP,单项通信,只能内部访问外部。(不常用)

nat  outbount 命令用来将一个访问控制列表ACL和一个地址池关联起来

nat  address-group 命令用来配置nat地址池。

[Huawei]acl 2000                                 定义一个acl

[Huawei-acl-basic-2000]rule 2 permit source 192.168.1.0 0.0.0.255允许192.168.1.0/24网段

[Huawei-acl-basic-2000]rule 2 deny source any     拒绝所有

[Huawei]nat address-group 1 100.1.1.10 100.1.1.20 定义一个nat地址池编号为1,地址范围为1.10-1.20

[Huawei]int g0/0/1

[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat

acl2000中的地址上网时转换为nat地址池1中的地址上网(随机挑选),参数no-pat说明没有进行端口地址转换

 

3)、Easy IPPAT):多个内网IP对应一个公网IP,只能内访问外(常用)

先定义允许上网的Acl,然后引用到接口就ok

跳过定义acl的步骤

[Huawei]int g0/0/1                               进入外网接口

[Huawei-GigabitEthernet0/0/1]nat outbound 2000    内部访问外部的时候,都使用同一个外网接口的IP地址不同的端口号去上网

 

4)、NAT server把同一个外网地址不同的端口号转向不同的内网地址或端口号,用于一个公网IP发布多种不同端口的服务器。

格式:

nat server [ protocol {protocol-number | icmp | tcp | udp} global {global-address | current-interface global-port} inside {host-address host-port } ***-instance ***-instance-name acl acl-number description description description-port]

※参数protocol指定一个需要转换的协议;

※参数global-address指定需要转换的公网地址,如果直接填地址则这个地址不能是路由器的接口地址,可以虚拟一个同网段的地址。

※参数current-interface代表将这个接口的地址作为公网的地址使用。如果使用一个公网地址(路由器接口地址)实现内网访问外网,并且外网访问内防服务器或远程管理,必加current-interface参数。

※参数inside指定内网服务器的地址。

例举:

[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 100.1.1.10 2200 inside 192.168.1.1 22                把访问外网100.1.1.102200端口的请求转到内网192.168.1.122端口,注意100.1.1.10不能是路由器接口的地址,否则会报地址冲突。

[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.1.1 80 把访问路由器外网接口地址80端口的请求转到192.168.1.1 80端口。

 

11STP(生成树协议)

华为XP系列交换机支持三种生成树协议模式。

MSTPSTP(传统生成树)、RSTP(快速生成树),默认情况下,华为X7系列交换机工作在MSTP模式。下边均为MSTP的配置负载均衡。

举例:配置三层交换机Huaweivlan2-10的根网桥,vlan11-20的备份根网桥:

1)、创建实例

[Huawei]stp mode mstp                            配置交换机的生成树协议(默认为mstp可以省略这一步)

[Huawei]stp region-configuration                 进入创建实例模式

[Huawei-mst-region]region-name benet             配置统一的域名

[Huawei-mst-region]revision-level 1              配置一致的修订级别

[Huawei-mst-region]instance 1 vlan 1 to 10       配置实例1,将vlan 2-10映射到实例1

[Huawei-mst-region]instance 2 vlan 11 to 20       配置实例2,将vlan 11-20映射到实例2

[Huawei-mst-region]active region-configuration   提交配置

[Huawei-mst-region]quit

2)、配置根网桥和备份根网桥

[Huawei]stp instance 1 root primary              指定为实例1 的根网桥

[Huawei]stp instance 2 root secondary            指定为实例2 的根网桥

3)、其他开链路trunk、允许vlan在链路上通行的命令参考前边,这里不再重复。

 

12VRRP(虚拟网关冗余协议)

VRRP和思科的HSRP(热备份路由协议)实现的功能是一样的,命令类似。

VRRP:默认启动抢占(占先权)

 

vlan100根网桥配置:

[Huawei]interface Vlanif100                      进入vlan100

[Huawei-Vlanif100]ip address 192.168.100.2 255.255.255.0    配置vlan100网关的的真实ip

[Huawei-Vlanif100]vrrp vrid 100 virtual-ip 192.168.100.254  启动VRRP 100组(推荐组号和vlan序号取值一样),并配置虚拟地址为192.168.100.254(和前边真实IP必须同网段,在华为设备也可以设置成和真实IP一样的地址)。

[Huawei-Vlanif100]vrrp vrid 100 priority 150     配置优先级(根网桥优先级要大于备份网桥)

[Huawei-Vlanif100]vrrp vrid 100 track interface GigabitEthernet0/0/1 reduced 100                                    配置VRRP追踪(端口跟踪),随着端口的改变而自动调整优先级(端口关闭优先级降100,如果端口恢复优先级也会上涨100)。

 

vlan100备份网桥:

[Huawei]interface Vlanif100

[Huawei-Vlanif100]ip address 192.168.100.2 255.255.255.0

[Huawei-Vlanif100]vrrp vrid 100 virtual-ip 192.168.100.254

这里一般不需要配置优先级,默认为100

 

 


13×××技术

(跨互联网)需要经过公网IP地址,价格低廉,稳定性取决于上网稳定性,不需要经过运营商,设备支持即可。

二层×××技术:L2fPPTPL2TPMPLS

三层×××技术:GREIPsec

应用层×××sslssh https

1GRE通用路由封装,对数据不支持加密,存在安全性问题属于隧道技术 协议号47

首先要保证两边的路由器设备外部公网接口要能通信。

总公司在接公网的路由器上配置

1)、创建隧道接口

[Huawei]interface Tunnel0/0/1                           创建隧道接口

[Huawei-Tunnel0/0/1]ip address 10.1.1.1 255.255.255.0   配置隧道IP地址,使用私有IP,而且要和对端的隧道IP地址同网段。

[Huawei-Tunnel0/0/1]tunnel-protocol gre                 隧道的协议采用GRE

[Huawei-Tunnel0/0/1]source 100.0.0.2                    隧道的源(自己的公网地址)

[Huawei-Tunnel0/0/1]destination 200.1.1.2               隧道的目的(对方的公网IP

2)、配置路由

[Huawei]ip route-static 10.0.0.0 255.255.255.0 Tunnel 0/0/1 配置去隧道IP网段10.1.1.0Tunnel 0/0/1

例举OSPF

[Huawei]ospf 1

[Huawei-ospf-1]area 1   

[Huawei-ospf-1-area-0.0.0.1]network 10.1.1.0 0.0.0.255  宣告隧道IP网段

 

分公司:在接公网的路由器上配置

1)、创建隧道接口

[Huawei]interface Tunnel0/0/1                           创建隧道接口

[Huawei-Tunnel0/0/1]ip address 10.1.1.2 255.255.255.0   配置隧道IP地址,使用私有IP,而且要和对端的隧道IP地址同网段。

[Huawei-Tunnel0/0/1]tunnel-protocol gre                 隧道的协议采用GRE

[Huawei-Tunnel0/0/1]source  200.1.1.2                隧道的源(自己的公网地址)

[Huawei-Tunnel0/0/1] destination 100.0.0.1                  隧道的目的(对方的公网IP

2)、配置路由

[Huawei]ip route-static 10.0.0.0 255.255.255.0 Tunnel 0/0/1 配置去隧道IP网段10.1.1.0Tunnel 0/0/1

例举OSPF

[Huawei]ospf 1

[Huawei-ospf-1]area 1   

[Huawei-ospf-1-area-0.0.0.1]network 10.1.1.0 0.0.0.255  宣告隧道IP网段

[Huawei-ospf-1-area-0.0.0.1]network 172.16.0.0 0.0.255.255  宣告自己的其他直连网段

*:这里如果配置完毕之后不同,检查是否把隧道的目的地址命令打错,是destination,而不是description

2IPsec

主要的分装协议有两种:AHESP,只支持IP单播,支持加密技术。

传输模式有两种:隧道模式和传输模式。

实验拓扑:

ysf.png

基本的IP配置和默认路由这里就不说了,配置IPsec前的工作要保证的是在路由器zong上可以ping200.0.0.2,在路由器fen上可以ping100.0.0.2

IPsec配置:

路由器ZONG:

[zong]acl number 3000                            编写ACL(这里必需使用高级ACL,编号要为3000~3999内)

[zong-acl-adv-3000]rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255                  定义感兴趣的数据流(就是需要通过IPsec加密的数据)

[zong-acl-adv-3000]quit

配置第一阶段:

[zong]ike proposal 2                                 给第一阶段的策略定一个编号

[ZONG-ike-proposal-2]authentication-algorithm md5    确定双方认证完整性使用是什么算法

[ZONG-ike-proposal-2]authentication-method pre-share 设备验证的方法,采用预共享对称秘钥的方法(默认就为预共享对称秘钥)

[zong-ike-proposal-2]encryption-algorithm 3des-cbc   定义第一阶段采用什么算法

[zong-ike-proposal-2]dh group5                       DH秘钥组使用5

[zong-ike-proposal-2]sa duration 10000               第一阶段SA的周期

[zong-ike-proposal-2]quit

[zong]ike peer fen v1                                定义对等体信息zong(随便起个名字)使用v1的版本

[zong-ike-peer-fen]pre-shared-key simple houliangjin 定义一个共享密码做设备验证,在两台建立***的路由器上,这个密码都要一致。

[zong-ike-peer-fen]remote-address 200.0.0.2          对端的IP地址

第一阶段配置完毕

[zong-ike-peer-fen]quit

配置第二阶段:

[zong]ipsec proposal to-fen                             定义第二阶段安全策略,给一个编号或名字。

[zong-ipsec-proposal-to-fen]esp encryption-algorithm aes-128   定义第二阶段采用什么算法

[zong-ipsec-proposal-to-fen]encapsulation-mode tunnel   定义传输模式(tunnel是隧道模式是默认值,transport传输模式)

[zong-ipsec-proposal-to-fen]quit

[zong]ipsec policy my-policy 20 isakmp              定义使用ike来协商IPsec这里的my-policy是策略名可以随便起

[zong-ipsec-policy-isakmp-my-policy-20]security acl 3000    调用ACL

[zong-ipsec-policy-isakmp-my-policy-20]ike-peer fen         调用对等体

[zong-ipsec-policy-isakmp-my-policy-20]proposal to-fen      调用第二阶段策略

[zong-ipsec-policy-isakmp-my-policy-20]quit

最后把策略应用到外网接口

[zong]int g0/0/1

[zong-GigabitEthernet0/0/1]ipsec policy my-policy

 

路由器fen上:

如果上边的配置是按照文档中的一模一样配置的话可以把下边分支的命令直接复制到fen路由器上,这里有几个点要改一下我都用红字标出来了。

acl number 3000

rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255                                        

quit

ike proposal 2

authentication-algorithm md5

authentication-method pre-share

encryption-algorithm 3des-cbc

dh group5

sa duration 10000

quit

ike peer zong v1                                

pre-shared-key simple houliangjin

remote-address 100.0.0.2                        

quit

ipsec proposal to-zong

encapsulation-mode tunnel

esp encryption-algorithm aes-128

quit

ipsec policy my-policy 20 isakmp

security acl 3000

ike-peer zong                                   

proposal to-zong

quit

int g0/0/0                                      

ipsec policy my-policy

quit