目录

一、eNSP配置命令

二、静态路由配置命令

三、DHCP配置命令

四、RIP协议配置命令

五、OSPF配置命令

六、vlan配置命令

七、ACL配置命令

八、NAT配置命令

 不同模式具有不同权限

 第一级模式  该模式可查看所有设备参数

system-view 键入系统命令

[Huawei]  第二级模式  该模式用于管理设备

第三级模式为各种专用配置模式: [Huawei---？？？]

[Huawei]interface GigabitEthernet 0/0/0  进入某个特定的接口配置IP地址  在配置IP地址时， 子网掩码可以使用简写

[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.10 24

[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.10 255.255.255.0

注：这里的子网掩码俩种都可以使用

[Huawei]display ip interface brief   查看接口摘要

save   

       ...... y    保存命令

帮助系统：

？查看该模式或该单词后面可以配置的命令及注解

 tab键  自动补全一个单词

display ip routing-table    查看路由器路由表的指令 [r1] ip route-static 192.168.3.0 24 192.168.2.2    目标网段 下一跳 [r1] display ip routing-table protocol static     查看路由表中通过静态写的路由 [r1] undo ip route-static 192.168.3.0 255.255.255.0 192.168.2.2 —删除静态路由指令 拓展配置： 1、环回接口：测试 ，逻辑接口，并不真实存在 作用：模拟一个网段 [r1] interface LoopBack ? LoopBack interface number 2.缺省路由 缺省和黑洞相遇100%成环 [r1] ip route-static 0.0.0.0 0 12.0.0.2 —代表所有IP 访问互联网 3.空接口：NULL 0 [r1] ip route-static 192.168.0.0 22 NULL 0—做法，在黑洞路由器上配置一条去往汇总网段的

将路由器配置为DHCP服务器的命令

[Huawei]dhcp enable 首先设备整体开启dhcp 服务

[Huawei]ip pool wangcai 创建名为wangci的dhcp池塘，名字自取;但一台设备上可以创建多个池塘，不过一个池塘只能为一个广播域服务;

[Huawei-ip-pool-wangcai]network 192 168.1.0 mask24 关联接口;定义地址范围

[Huawei-ip-pool-wangcai]gateway-list192.168.1.1 该网段网关ip地址

[Huawei-ip-pool-wangcai]dns-list192.168.2.10 该网络的dns服务器地址

[Huawei-ip-pool-wangcai]quit 退出

切记:华为设备在配置完池塘后，必须到路由器分配ip地址的接口上再开启对应的服务

[Huawei]interface g 0/0/0

[Huawei-GigabitEthernet0/0/0]dhcp select global

PC>ipconfig

display current-configuration —查看设备所做的所有

1、RIPV1的配置

[r1]rip 1     启动，启动时可以定义进程号，进程号仅具有本地意义；若不定义默认为1

[r1-rip-1]version 1    选择版本1；

宣告：RIP只能宣告主类网段号

[r1-rip-1]network 1.0.0.0

[r1-rip-1]network 12.0.0.0

2、RIP的扩展配置

2.1、RIPV2的手工汇总

在更新源路由器上，所有更新发出的接口上进行汇总配置即可

[r1]int g 0/0/0

[r1-GigabitEthernet0/0/0]rip summary-address 1.1.0.0 255.255.252.0

2.2、RIPV2的认证

在邻居间进行身份的核实，已经路由器信息加密；用于保障邻居间共享信息的安全性

[r2]int g 0/0/1

[r2-GigabitEthernet0/0/1]ip authentication-more md5 usual cipher 123456

2.3、沉默接口

[r1]rip

[r1-rip-1]silent-interface GigabitEtherne0/0/2 该接口是这台路由器上连接PC终端的接口

2.4、加快收敛;

[r1]rip

[r1-rip-1]timers rip 15    90     150

                            更新  失效  刷新

注:若进行了计时器修改，全网所有运行 RIP 协议的路由器建议修改的一致;

2.5、缺省路由

[r3]rip

[r3-rip-1]default-route originate 缺省路由源头

注:此时边界路由器上自身没有缺省路由，若需要生成指向ISP 的缺省路由，需要手工静态编写;

[r1]ospf 1 router-id 1.1.1.1 

  进程号，默认为1 手工配置

配置共三步

1) 划分区域     2) 激活接口     3) 共享接口信息

[r1-ospf-1]area 0  0 为区域号

[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0

[r1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255

OSPF 在宣告时，需要使用反掩码来进行范围的选定:

[r3-ospf-1]area 1        

[r3-ospf-1-area-0.0.0.1]network 23.1.1.2 0.0.0.0

[r2]display ospf peer  查看邻居表

[r2]display ospf peer brief  查看邻居表摘要

[r2]display ospf lsdb 查看OSPF本地数据库目录

[r3]display ip routing-table protocol ospf  查看路由表中关于 odpf协议的路由

[r1]ospf 1                

[r1-ospf-1]bandwidth-reference ?

  INTEGER  The reference bandwidth (Mbits/s)

[r1-ospf-1]bandwidth-reference 1000  修改设备的参考带宽，若修改全网的所有设备均修改为一致

ospf的拓展配置

1) DR/BDR选举--ospf 邻居间是否可以建立成为邻接关系

选举规则:

1、先比较参选接口的优先级，默认为 1;取值范围 0-255，越大越优2、若优先级相同，比较 RID， 数值大优

[r1]int g0/0/2

[r1-GigabitEthernet0/0/2]ospf dr-priority 3 进人参选接口修改优先级

2、DR 选举非抢占，故修改优先级后，必须重启所有参选设备的 ospf 协议才能重新选择:

reset ospf process

Warning: The OSPF process will be reset. Continue? Y/NJ:y

3、若将接口优先级修改为 0，将自动放弃选举，即便现在为 DR 也会放角色

[r1-GigabitEthernet0/0/2]ospf dr-priority 0  不参选

2) 手工认证 --直连的邻居或邻接关系间，进行安全加密

[r1]interface GigabitEthernet 0/0/0

[r1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456

邻居间认证，模式，秘钥编号，密码必须一致

3) 手工汇总

由 OSPF 协议在同一区城内邻居间相互传递的是拓扑物理信息，该信息不可被修改，故 ospf 协议不支持接口汇总;仅能在 ABR 交互区城间计算所有路由条目时进行区域间汇总;

[r2]ospf 1

[r2-ospf-1]area 0 路由条目的源头区城-

[ospf-1-area-0.0.0.0]abr-summary 1.1.0.0 255.255.252.0

只能在 ABR上进行配置

4) 沉默接口

 用于连接 PC 用户的接口，仅接收不发送 OSPF 信息，千万不能用于连接邻居的接口，否则邻居间将无法沟通

[R1]ospf 1

[r1-ospf-1]silent-interface GigabitEthernet 0/0/2

5)  缺省路由

 边界路由器上配置后将向内部所有运行 OSPF 协议的路由发送缺省路由使得内部所有运行 OSPF 的路由器生成缺省路由指向边界路由器;若边界路由器本地需要指向 isp 的缺省路由，必须管理员手配静态缺省

[r3]ospf 1

[r3-ospf-1]default-route-advertise always

1、创建 vlanVLAN 编号 0-4095 其中 1-4094 可用 默认存在 van1，且默认所有接口屈于 vlan1

[sw1]vlan 2

[sw1-vlan2]q

[sw1]vlan batch 4 to 100  批量创建

[sw1]undo vlan batch 2 to 100

2、接口划分到VLAN中        

[sw1]interface GigabitEthernet 0/0/1

[sw1-GigabitEthernet0/0/1]port link-type  access 先将接口修改为接入模式

[sw1-port-group-default]port default vlan 2  在将接口划分到VLAN2中

批量划分

[sw1]port-group group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/4

[sw1-port-group]port link-type access

[sw1-port-group]port default vlan 3

3、trunk 干道 

[sw1]int g 0/0/5

[sw1-GigabitEthernet0/0/5]port link-type trunk  先将接口改为trunk模式

[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3  在定义trunk干道可以识别的流量有哪些，默认仅允许VLAN1

[sw2-port-group-link-flap]port trunk allow-pass vlan all  允许所有VLAN通过该trunk干道

4、VLAN间路由--路由子接口--单臂路由

[router]int g 0/0/0.1 创建子接口 默认子接口为开启ARP功能

[router-GigabitEthernet0/0/0.1]dot1q termination vid 2 定义其负责的vlan

[router-GigabitEthernet0/0/0.1]ip address  192.168.1.254 24  网关VLAN

[router-GigabitEthernet0/0/0.1]arp broadcast enable  手动开启ARP功能

[router-GigabitEthernet0/0/0.1]q

[r2]acl2000    启动ACL ; 2000-2999 范围为标准列表使用，

permit允许    deny拒绝

[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0

[r2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255

[r2-acl-basic-2000]rule permit source 192.168.3.0 0.255.0.255

[r2-acl-basic-2000]rule deny source any  

[r2]display acl 2000   查看表中记录

Basic ACL 2000,4 rulesAcl's step is 5

  rule 5 deny source 192.168.1.3 0

  rule 10 deny source 192.168.2.0 0.0.0.255

  rule 15 deny

  rule 20 permit source 192.0.3.0 0.255.0.255自动以5为步调增加序列号;便于删除和插入

[r2-acl-basic-2000]undo rule 10   删除

[r2-acl-basic-2000]rule 3 permit source 192.168.1.2 0  加入

调用:

注意： ACL 在编写完成后，必须在路由器接口上实际调用方可生效，切记一个接口的单一方向只能调用一张表

[r2-GigabitEthernet0/0/1]traffic-filter ?

    inbound     Apply ACL to the inbound direction of the interface

    outbound     Apply ACL to the outbound direction of the interface

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001

二、扩展 ACL的配置 由于扩展 ACL 回精确的匹配目标 IP地址，故不存在误删流量的情况，调用时尽量靠近源头，避免对资源的占用;

1) 仅关注源、目标ip 地址的扩展 ACL

[R1]acI 3000       3000-3999 扩展配置

[R1-acl-adv-3000]rule deny ip source 192.168.1.3 0 destination 192.168.3.3 0

                                                             源IP                                  目标IP

源、目IP地址处，均可使用通配符来匹配范围或具体IP，或使用any

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 接口调用

2)关注源、目标p 地址以及目标端口

Ping-->ICMP   internet 控制管理协议

Telnet -- 远程登录   基于TCP的23号端口工作，可用于终端设备服务设备的远程登录管理

远程的条件:

1、终端与服务端间可达

2、服务端开启远程登录功能

[R1]aaa

[R1-aaa]local-user panxi privilege level 15（超级管理员） password cipher 123456

                              账号                         权限                                                   密码

[R1-aaa]local-user panxi service-type telnet

                               账号                      功能

之后在管理接口上调用认证模式为 aaa 审计

[R1]user-interface vty 0 4(虚拟管理接口)（5个账号可以同时尽量）

[R1-ui-vty0-4]authentication-mode aaa

基于目标端口号的ACL配置命令

[R1-acl-adv-3001]rule deny tcp source 192.168.1.5 0 destination 192.168.1.1 0 destination-port eq 23                   协议 TCP             源IP                                  目标IP

            目标端口

以上命令的意义，在于拒绝了源 192.168.1.5 对目标 192.168.1.1 的 tcp下目标端口23 访问，及拒 telnet登录;

[R1-acl-adv-3002]rule deny icmp source 192.168.1.5 0 destination 192.168.1.1 0

                                            协议              源ip                                    目标IP                            

以上命令意义，为拒绝源 192.168.1.5 对目标 192.168.1.1 的cmp 访问，及拒绝了 ping

不用写端口号

所有的nat配置地点为边界路由器外侧接口

（1）一对一配置：静态nat在边界路由器上固定的将一个IP地址与另一个IP地址绑定转换；

注：华为设备配置一对一时，不能使用边间路由器外侧接口实际配置的IP地址，而是需要重新申请公有IP，在nat配置过程中，实现漂浮地址

[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.2

                                                                  公有                 私有

（2）一对多配置：最常见的nat一种，也被华为系称为最简单的nat，将多个i盘地址转换为同一个IP地址，为了实现多个IP地址同时转换以个IP地址，需要基于数据包中的端口号进行区分，故一对多又被称为pat-端口地址转换

先使用 ACL 定义感兴趣流量，及可以被实现转换的私有 ip 地址范围;

[r2]acI 2000

[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

[r2-ac-basic-2000]q

再在边界路由器连接外侧的接口上调用 nat 中关联 ACL 即可

[r2]int g0/0/2

[r2-GigabitEthernet0/0/2]nat outbound 2000

（3） 端口映射:将公有IP的某一个端口固定分配给内部的某一个私有IP地址的端口号

[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.2 80

将配置命令所在接口的IP地址的80端口与内部私有的192.168.1.2的80端口号进行绑定映射

Warning:The port 80 is well-known port. lf you continue it may cause function failureAre you sure to continue?Y/N]:y

[R2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8888 i

nside 192.168.1.3 80

将该命令所在的接口公有IP地址8888端口固定映射给192.168.1.3的80端口--外部访12.1.1.1的8888端口时被转换为192.168.1.3的80端口

（4）多对多：将多个IP地址与多个公有IP地址进行映射绑定

先采用ACL定义可以被转换的私有IP地址

[R1]acl 2000

[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

在定义可以被被转换的公有IP地址范围

[R1]nat address-group 1 12.1.1.3 12.1.1.10

12.1.1.3 至12.1.1.10 一共有8个IP地址

最后在边界路由器上链接外侧接口进行nat配置

[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

no-pat 增加一个no-pat指令

直接回车确认

切记: 若不配置 no-pat，那么 192.168.1.0/24 范围的所有 p 与12.1.1.3 到 121.1.10 的公有地址之间为一对多规则:

若配置了 no-pat，那么最新出来 8 个私有 ip 地址与2.1.1.3 到 12.1.1.10 逐一形成一对一的静态关系