eNSP 网络基础配置命令总结 |
您所在的位置:网站首页 › ensp安装时要的三个软件顺序 › eNSP 网络基础配置命令总结 |
目录 一、eNSP配置命令 二、静态路由配置命令 三、DHCP配置命令 四、RIP协议配置命令 五、OSPF配置命令 六、vlan配置命令 七、ACL配置命令 八、NAT配置命令 一、eNSP配置命令不同模式具有不同权限 第一级模式 该模式可查看所有设备参数 system-view 键入系统命令 [Huawei] 第二级模式 该模式用于管理设备 第三级模式为各种专用配置模式: [Huawei---???] [Huawei]interface GigabitEthernet 0/0/0 进入某个特定的接口配置IP地址 在配置IP地址时, 子网掩码可以使用简写 [Huawei-GigabitEthernet0/0/0]ip address 192.168.1.10 24 [Huawei-GigabitEthernet0/0/0]ip address 192.168.1.10 255.255.255.0 注:这里的子网掩码俩种都可以使用 [Huawei]display ip interface brief 查看接口摘要 save ...... y 保存命令 帮助系统: ?查看该模式或该单词后面可以配置的命令及注解 tab键 自动补全一个单词 二、静态路由配置命令display ip routing-table 查看路由器路由表的指令 [r1] ip route-static 192.168.3.0 24 192.168.2.2 目标网段 下一跳 [r1] display ip routing-table protocol static 查看路由表中通过静态写的路由 [r1] undo ip route-static 192.168.3.0 255.255.255.0 192.168.2.2 —删除静态路由指令 拓展配置: 1、环回接口:测试 ,逻辑接口,并不真实存在 作用:模拟一个网段 [r1] interface LoopBack ? LoopBack interface number 2.缺省路由 缺省和黑洞相遇100%成环 [r1] ip route-static 0.0.0.0 0 12.0.0.2 —代表所有IP 访问互联网 3.空接口:NULL 0 [r1] ip route-static 192.168.0.0 22 NULL 0—做法,在黑洞路由器上配置一条去往汇总网段的 三、DHCP配置命令将路由器配置为DHCP服务器的命令 [Huawei]dhcp enable 首先设备整体开启dhcp 服务 [Huawei]ip pool wangcai 创建名为wangci的dhcp池塘,名字自取;但一台设备上可以创建多个池塘,不过一个池塘只能为一个广播域服务; [Huawei-ip-pool-wangcai]network 192 168.1.0 mask24 关联接口;定义地址范围 [Huawei-ip-pool-wangcai]gateway-list192.168.1.1 该网段网关ip地址 [Huawei-ip-pool-wangcai]dns-list192.168.2.10 该网络的dns服务器地址 [Huawei-ip-pool-wangcai]quit 退出 切记:华为设备在配置完池塘后,必须到路由器分配ip地址的接口上再开启对应的服务 [Huawei]interface g 0/0/0 [Huawei-GigabitEthernet0/0/0]dhcp select global PC>ipconfig display current-configuration —查看设备所做的所有 四、RIP协议配置命令1、RIPV1的配置 [r1]rip 1 启动,启动时可以定义进程号,进程号仅具有本地意义;若不定义默认为1 [r1-rip-1]version 1 选择版本1; 宣告:RIP只能宣告主类网段号 [r1-rip-1]network 1.0.0.0 [r1-rip-1]network 12.0.0.0 2、RIP的扩展配置 2.1、RIPV2的手工汇总 在更新源路由器上,所有更新发出的接口上进行汇总配置即可 [r1]int g 0/0/0 [r1-GigabitEthernet0/0/0]rip summary-address 1.1.0.0 255.255.252.0 2.2、RIPV2的认证 在邻居间进行身份的核实,已经路由器信息加密;用于保障邻居间共享信息的安全性 [r2]int g 0/0/1 [r2-GigabitEthernet0/0/1]ip authentication-more md5 usual cipher 123456 2.3、沉默接口 [r1]rip [r1-rip-1]silent-interface GigabitEtherne0/0/2 该接口是这台路由器上连接PC终端的接口 2.4、加快收敛; [r1]rip [r1-rip-1]timers rip 15 90 150 更新 失效 刷新 注:若进行了计时器修改,全网所有运行 RIP 协议的路由器建议修改的一致; 2.5、缺省路由 [r3]rip [r3-rip-1]default-route originate 缺省路由源头 注:此时边界路由器上自身没有缺省路由,若需要生成指向ISP 的缺省路由,需要手工静态编写; 五、OSPF配置命令[r1]ospf 1 router-id 1.1.1.1 进程号,默认为1 手工配置 配置共三步 1) 划分区域 2) 激活接口 3) 共享接口信息 [r1-ospf-1]area 0 0 为区域号 [r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 [r1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255 OSPF 在宣告时,需要使用反掩码来进行范围的选定: [r3-ospf-1]area 1 [r3-ospf-1-area-0.0.0.1]network 23.1.1.2 0.0.0.0 [r2]display ospf peer 查看邻居表 [r2]display ospf peer brief 查看邻居表摘要 [r2]display ospf lsdb 查看OSPF本地数据库目录 [r3]display ip routing-table protocol ospf 查看路由表中关于 odpf协议的路由 [r1]ospf 1 [r1-ospf-1]bandwidth-reference ? INTEGER The reference bandwidth (Mbits/s) [r1-ospf-1]bandwidth-reference 1000 修改设备的参考带宽,若修改全网的所有设备均修改为一致 ospf的拓展配置 1) DR/BDR选举--ospf 邻居间是否可以建立成为邻接关系 选举规则: 1、先比较参选接口的优先级,默认为 1;取值范围 0-255,越大越优2、若优先级相同,比较 RID, 数值大优 [r1]int g0/0/2 [r1-GigabitEthernet0/0/2]ospf dr-priority 3 进人参选接口修改优先级 2、DR 选举非抢占,故修改优先级后,必须重启所有参选设备的 ospf 协议才能重新选择: reset ospf process Warning: The OSPF process will be reset. Continue? Y/NJ:y 3、若将接口优先级修改为 0,将自动放弃选举,即便现在为 DR 也会放角色 [r1-GigabitEthernet0/0/2]ospf dr-priority 0 不参选 2) 手工认证 --直连的邻居或邻接关系间,进行安全加密 [r1]interface GigabitEthernet 0/0/0 [r1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456 邻居间认证,模式,秘钥编号,密码必须一致 3) 手工汇总 由 OSPF 协议在同一区城内邻居间相互传递的是拓扑物理信息,该信息不可被修改,故 ospf 协议不支持接口汇总;仅能在 ABR 交互区城间计算所有路由条目时进行区域间汇总; [r2]ospf 1 [r2-ospf-1]area 0 路由条目的源头区城- [ospf-1-area-0.0.0.0]abr-summary 1.1.0.0 255.255.252.0 只能在 ABR上进行配置 4) 沉默接口 用于连接 PC 用户的接口,仅接收不发送 OSPF 信息,千万不能用于连接邻居的接口,否则邻居间将无法沟通 [R1]ospf 1 [r1-ospf-1]silent-interface GigabitEthernet 0/0/2 5) 缺省路由 边界路由器上配置后将向内部所有运行 OSPF 协议的路由发送缺省路由使得内部所有运行 OSPF 的路由器生成缺省路由指向边界路由器;若边界路由器本地需要指向 isp 的缺省路由,必须管理员手配静态缺省 [r3]ospf 1 [r3-ospf-1]default-route-advertise always 六、vlan配置命令1、创建 vlanVLAN 编号 0-4095 其中 1-4094 可用 默认存在 van1,且默认所有接口屈于 vlan1 [sw1]vlan 2 [sw1-vlan2]q [sw1]vlan batch 4 to 100 批量创建 [sw1]undo vlan batch 2 to 100 2、接口划分到VLAN中 [sw1]interface GigabitEthernet 0/0/1 [sw1-GigabitEthernet0/0/1]port link-type access 先将接口修改为接入模式 [sw1-port-group-default]port default vlan 2 在将接口划分到VLAN2中 批量划分 [sw1]port-group group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/4 [sw1-port-group]port link-type access [sw1-port-group]port default vlan 3 3、trunk 干道 [sw1]int g 0/0/5 [sw1-GigabitEthernet0/0/5]port link-type trunk 先将接口改为trunk模式 [sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3 在定义trunk干道可以识别的流量有哪些,默认仅允许VLAN1 [sw2-port-group-link-flap]port trunk allow-pass vlan all 允许所有VLAN通过该trunk干道 4、VLAN间路由--路由子接口--单臂路由 [router]int g 0/0/0.1 创建子接口 默认子接口为开启ARP功能 [router-GigabitEthernet0/0/0.1]dot1q termination vid 2 定义其负责的vlan [router-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24 网关VLAN [router-GigabitEthernet0/0/0.1]arp broadcast enable 手动开启ARP功能 [router-GigabitEthernet0/0/0.1]q 七、ACL配置命令[r2]acl2000 启动ACL ; 2000-2999 范围为标准列表使用, permit允许 deny拒绝 [r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0 [r2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255 [r2-acl-basic-2000]rule permit source 192.168.3.0 0.255.0.255 [r2-acl-basic-2000]rule deny source any [r2]display acl 2000 查看表中记录 Basic ACL 2000,4 rulesAcl's step is 5 rule 5 deny source 192.168.1.3 0 rule 10 deny source 192.168.2.0 0.0.0.255 rule 15 deny rule 20 permit source 192.0.3.0 0.255.0.255自动以5为步调增加序列号;便于删除和插入 [r2-acl-basic-2000]undo rule 10 删除 [r2-acl-basic-2000]rule 3 permit source 192.168.1.2 0 加入 调用: 注意: ACL 在编写完成后,必须在路由器接口上实际调用方可生效,切记一个接口的单一方向只能调用一张表 [r2-GigabitEthernet0/0/1]traffic-filter ? inbound Apply ACL to the inbound direction of the interface outbound Apply ACL to the outbound direction of the interface [r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001 二、扩展 ACL的配置 由于扩展 ACL 回精确的匹配目标 IP地址,故不存在误删流量的情况,调用时尽量靠近源头,避免对资源的占用; 1) 仅关注源、目标ip 地址的扩展 ACL [R1]acI 3000 3000-3999 扩展配置 [R1-acl-adv-3000]rule deny ip source 192.168.1.3 0 destination 192.168.3.3 0 源IP 目标IP 源、目IP地址处,均可使用通配符来匹配范围或具体IP,或使用any [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 接口调用 2)关注源、目标p 地址以及目标端口 Ping-->ICMP internet 控制管理协议 Telnet -- 远程登录 基于TCP的23号端口工作,可用于终端设备服务设备的远程登录管理 远程的条件: 1、终端与服务端间可达 2、服务端开启远程登录功能 [R1]aaa [R1-aaa]local-user panxi privilege level 15(超级管理员) password cipher 123456 账号 权限 密码 [R1-aaa]local-user panxi service-type telnet 账号 功能 之后在管理接口上调用认证模式为 aaa 审计 [R1]user-interface vty 0 4(虚拟管理接口)(5个账号可以同时尽量) [R1-ui-vty0-4]authentication-mode aaa 基于目标端口号的ACL配置命令 [R1-acl-adv-3001]rule deny tcp source 192.168.1.5 0 destination 192.168.1.1 0 destination-port eq 23 协议 TCP 源IP 目标IP 目标端口 以上命令的意义,在于拒绝了源 192.168.1.5 对目标 192.168.1.1 的 tcp下目标端口23 访问,及拒 telnet登录; [R1-acl-adv-3002]rule deny icmp source 192.168.1.5 0 destination 192.168.1.1 0 协议 源ip 目标IP 以上命令意义,为拒绝源 192.168.1.5 对目标 192.168.1.1 的cmp 访问,及拒绝了 ping 不用写端口号 八、NAT配置命令所有的nat配置地点为边界路由器外侧接口 (1)一对一配置:静态nat在边界路由器上固定的将一个IP地址与另一个IP地址绑定转换; 注:华为设备配置一对一时,不能使用边间路由器外侧接口实际配置的IP地址,而是需要重新申请公有IP,在nat配置过程中,实现漂浮地址 [r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.2 公有 私有 (2)一对多配置:最常见的nat一种,也被华为系称为最简单的nat,将多个i盘地址转换为同一个IP地址,为了实现多个IP地址同时转换以个IP地址,需要基于数据包中的端口号进行区分,故一对多又被称为pat-端口地址转换 先使用 ACL 定义感兴趣流量,及可以被实现转换的私有 ip 地址范围; [r2]acI 2000 [r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255 [r2-ac-basic-2000]q 再在边界路由器连接外侧的接口上调用 nat 中关联 ACL 即可 [r2]int g0/0/2 [r2-GigabitEthernet0/0/2]nat outbound 2000 (3) 端口映射:将公有IP的某一个端口固定分配给内部的某一个私有IP地址的端口号 [r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.2 80 将配置命令所在接口的IP地址的80端口与内部私有的192.168.1.2的80端口号进行绑定映射 Warning:The port 80 is well-known port. lf you continue it may cause function failureAre you sure to continue?Y/N]:y [R2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8888 i nside 192.168.1.3 80 将该命令所在的接口公有IP地址8888端口固定映射给192.168.1.3的80端口--外部访12.1.1.1的8888端口时被转换为192.168.1.3的80端口 (4)多对多:将多个IP地址与多个公有IP地址进行映射绑定 先采用ACL定义可以被转换的私有IP地址 [R1]acl 2000 [R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 在定义可以被被转换的公有IP地址范围 [R1]nat address-group 1 12.1.1.3 12.1.1.10 12.1.1.3 至12.1.1.10 一共有8个IP地址 最后在边界路由器上链接外侧接口进行nat配置 [R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat 增加一个no-pat指令 直接回车确认 切记: 若不配置 no-pat,那么 192.168.1.0/24 范围的所有 p 与12.1.1.3 到 121.1.10 的公有地址之间为一对多规则: 若配置了 no-pat,那么最新出来 8 个私有 ip 地址与2.1.1.3 到 12.1.1.10 逐一形成一对一的静态关系 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |