华为综合实验(笔记)
一、链路聚合
1、链路聚合的作用和特点
1)链路聚合的作用
加快传输速度
提供网络负载均衡
2)链路聚合的特点
将多条物理链路捆绑为一条逻辑链路
增强传输数据宽带和吞吐量
链路聚合成员故障自动切换其他链路转发数据
链路聚合将流量分散到不同成员链路进行转发降低拥塞
2、链路聚合的模式
1)手动模式
简称手工负载分担模式
手工模式所有的链路聚合所有端口都参与转发数据和分担流量
参与链路状态聚合的端口管理员手动添加
手动模式链路状态聚合不会发送LACP链路状态聚合协议,只能手工负载分担
支持居于源目标MAC和IP地址的负载均衡
2)静态LACP
运行链路状态聚合的设备都会发送LACP协议进行协商链路聚合参数
运行LACP协商选举活动端口和非活动端口
静态LACP模式也被称为M:N模式
M表示活动成员链路,N表示非活动链路冗余备份链路
活动成员链路故障自动切换到优先级高的非活动链路转发数据
3)手动模式和静态LACP模式的区别
手动负载模式中所有端口都属于转发状态
静态LACP模式一部分端口为转发状态,一部分为备份状态
3、负均衡模式
1)dst-ip
根据目标IP地址进行负载分担
2)dst-mac
根据目标MAC地址进行负载分担
3)src-ip
根据源IP地址进行负载分担
4)src-mac
根据源MAC地址进行负载分担
5)src-dst-ip
根据源目标IP地址进行负载分担
6)scr-dst-mac
根据源目标MAC地址进行负载分担
4、链路聚合加入成员的注意事项
删除链路聚合,链路聚合中不能包含成员链路
把接口加入链路聚合二层设备只能配置在交换机不能配置在三层交换机
一个链路聚合最多包含8跳链路
参与聚合链路的端口速率双工模式必须一致
一个接口只能属于一个链路聚合
链路聚合中不能进行嵌套链路聚合
可以将不同板卡的接口加入到当前设备的链路聚合中
加入到链路聚合中的端口后,链路聚合学习MAC地址链路聚合中的成员不可以在学习MAC地址
5、配置链路聚合设备的类型和配置链路聚合
1)配置链路聚合设备的类型
二层交换机配置链路聚合
三层交换机配置链路聚合
2)在二层交换机配置链路聚合
[SW2]interface Eth-Trunk 1
创建聚合链路编号为1,范围0~63
[SW2]interface Ethernet 0/0/1
进入到1接口
[SW2-Ethernet 0/0/1]Eth-Trunk 1
加入到聚合链路1中
[SW2]display Eth-Trunk 1
查看聚合链路接口状态
3)在三层交换机配置聚合链路
[R1]interface Eth-Trunk 1
创建聚合链路编号为1
[R1-Eth-Trunk1]undo portswitch
开启三层交换机路由功能
[R1-Eth-Trunk1]ip address 192.168.100.1 255.255.255.0
聚合链路配置IP地址
[R1]interface GigabitEthernet 0/0/0
进入到接口
[R1-GigabitEthernet 0/0/0]Eth-Trunk 1
接口加入聚合链路
[R2]display interface Eth-Trunk 1
查看聚合链路
4)将接口加入到vlan
[sw1]interface Ethernet 0/0/2
进入接口
[sw1-Ethernet0/0/2]port link-type access
设置为接入链路
[sw1-Ethernet0/0/2]port default vlan 10
加入到vlan10
2、配置trunk
1)接口配置trunk
[sw1]interface Ethernet 0/0/1
[sw1-Ethernet0/0/1]port link-type trunk
2)设置承载策略承载所有vlan
[sw1-Ethernet0/0/1]port trunk allow-pass vlan all
3、单臂路由
1)创建多个vlan
[sw1]vlan batch 2 3
2)配置子接口
[R1]interface GifabitEthernet 0/0/0.2
创建子接口
[R1-GifabitEthernet0/0/0.2]arp broadcast enable
开启子接口ARP广播
[R1-GifabitEthernet0/0/0.2]dot1q termination vid 2
子接口为vlan2服务
[R1-GifabitEthernet0/0/0.2]ip address 192.168.2.254 255.255.255.0
为子接口配置IP地址
[R1]display ip interface brief
查看端口状态
4、配置静态和默认路由浮动路由
1)配置静态路由
[R2]ip route-static 192.168.2.0 255.255.255.0 GifabitEthernet 0/0/1
192.168.4.1
2)配置默认路由
[R2]ip route-static 0.0.0.0 0.0.0.0 GifabitEthernet 0/0/1 192.168.4.2
3)配置浮动路由
[R2]ip route-static 192.168.2.0 255.255.255.0 GifabitEthernet 0/0/2 192.168.6.1 preference 70
4)查看路由表
[R2]display ip routing-table
三、RIP和OSPF
1、RIPv1的配置
1)启动rip进程号
[R1]rip 1
2)宣告直连网络
[R1-rip-1]network 192.168.1.0
3)查看RIP的路由表
[R3]display ip routing-table protocol rip
2、RIPv2的配置
1)启动rip进程号
[R1]rip 1
2)指定RIP版本
[R1]version 2
3)宣告直连网络
[R1-rip-1]network 192.168.1.0
3、RIP的身份认证和汇总
1)进入接口
[R1]interface GifabitEthernet 0/0/0
2)配置验证身份加密使用明文密码是pwd@123
[R1-GifabitEthernet 0/0/0]rip authentication-mode simple pwd@123
3)配置路由汇总
[R1]interface GifabitEthernet 0/0/0
[R1-GifabitEthernet 0/0/0]rip summary-address 172.16.0.0 255.255.0.0
4)RIP关闭路由汇总
[R1]rip 1
[R1-rip-1]undo summary
4、水平分割和毒性反转
1)水平分割和毒性反转
水平分割从一个接口学习路由条目不从学习接口发送减少广播链路带宽资源占用
毒性反转将学习的路由表标记为16跳目标主机不可达避免路由环路,快速更新路由表信息
2)配置水平分割
[R1]interface GifabitEthernet 0/0/0
[R1-GifabitEthernet 0/0/0]rip split-horizon
3)配置毒性反转
[R1]interface GifabitEthernet 0/0/0
[R1-GifabitEthernet 0/0/0]rip poison-reverse
4)查看毒性反转和水平分割
[R1]display rip 1 interface GifabitEthernet 0/0/0 verbose
5)重分发缺省路由
[R3]rip 1
[R3-rip-1]default-route originate cost 3
5、配置OSPf多区域
1)配置OSPF的Router-ID和指定区域
[R1]ospf route-id 1.1.1.1
配置router id
[R1-ospf-1]area 0
指定ospf区域
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
宣告直连网络写反码
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0
0.0.0.255
宣告直连网络写反码
[R1]display ospf brief
查看ospf摘要信息
[R1]display ospf peer
查看ospf的详细信息
[R1]display ospf peer brief
查看邻居关系
2)OSPF重分发直连路由
[R1]ospf1
[R1-ospf-1]import-route direct type 2
3)OSPF重分发缺省路由
[R1]ospf1
[R1-ospf-1]default-route-advertise type 2
4)OSPF重分发静态路由
[R1]ospf1
[R1-ospf-1]import-route static type 2
5)将RIP发布到ospf中
[R1]ospf1
[R1-ospf-1]import-route rip 1
6)将OSPF发布到RIP中
[R3]rip 1
[R3-rip-1]import-route ospf 1
7)OSPF汇总
[R1]ospf1
[R1-ospf-1]asbr-summary 172.16.0.0 255.255.0.0
四、NAT网络地址转换
1、常见NAT的类型
1)静态NATO
一对一转换
将一个IP地址映射到另一个IP地址
2)动态NAT
多对多的转换
将多个内部IP地址映射到多个全局IP地址
3)NAPT基于端口的地址转换
将多个IP地址映射到全局地址的端口上
4)Easy IP
将多个内部IP地址映射到外部接口上实现童泰地址转换,外部IP地址是动态获取
5)NAT服务器
将内部的服务器发布到公网使用
将一个IP地址和端口号映射到另一个IP地址和端口号
2、配置静态NAT
1)配置静态NAT
[R1]interface GifabitEthernet 0/0/1
进入外网接口
[R1-GifabitEthernet 0/0/1]nat static global
192.168.100.10 inside 192.168.10.1
将10.1映射到100.10
2)查看静态NAT的 配置
[R1]display nat static
3、动态NAT
1)创建ACL抓取需要走动态NAT的流量
[R1]acl 2000
ACL编号2000
[R1-acl-basic-2000]rule 5 permit source 192.168.10.0
0.0.0.255
允许192.168.10.0网络
2)创建动态全局地址池
[R1]nat address-group 1 192.168.100.10 192.168.100.20
3)将ACL和全局地址池进行关联
[R1]interface GifabitEthernet 0/0/1
[R1-GifabitEthernet 0/0/1]nat outbound 2000 address-group 1 no-pat
4)查看动态NAT
[R1]display nat address-group 1
查看动态地址池
[R1]display acl 2000
查看ACL
[R1]display nat outbound
查看ACL和地址池关联关系
[R1]display session all
查看转发情况
4、NAPT
1)创建ACL抓取需要走动态NAT的流量
[R1]acl 2000
ACL编号2000
[R1-acl-basic-2000]rule 5 permit source 192.168.10.0
0.0.0.255
允许192.168.10.0网络
2)创建动态全局地址池
[R1]nat address-group 1 192.168.100.10 192.168.100.10
3)ACL和地址池关联
[R1]interface GifabitEthernet 0/0/1
[R1-GifabitEthernet 0/0/1]nat outbound 2000 address-group 1
5、Easy IP
1)创建ACL抓取需要走动态NAT的流量
[R1]acl 2000
ACL编号2000
[R1-acl-basic-2000]rule 5 permit source 192.168.10.0
0.0.0.255
允许192.168.10.0网络
2)将ACL流量映射到获取动态IP地址的外部端口
[R1]interface GifabitEthernet 0/0/1
[R1-GifabitEthernet 0/0/1]nat outbound 2000
3)查看Easy IP的配置
[R1]display nat session all
6、配置NAT服务器
1)配置NAT服务器将内部192.168.10.1的23号端口映射到全局地址192.168.100.10的23号端口
[R1]interface GifabitEthernet 0/0/1
[R1-GifabitEthernet 0/0/1]nat server protocol tcp global 192.168.100.10 23
inside 192.168.10.1 23
2)查看NAT服务器端口映射
[R1]display nat server
五、ACL访问控制列表
1、访问控制列表
1)基本ACL
2000~2999编号
根据报文的源IP地址或者主机进行过滤数据包
2)高级ACL
3000~3999编号
根据报文的源目标IP地址协议端口号进行数据包过滤
3)二层ACL
4000~4999编号
根据报文的源MAC地址进行数据帧过滤
4)用户自定义ACL
5000~5999编号
根据用户需要自定义限制报文的偏移量
2、创建基本ACL
1)创建基本ACL
[R3]acl 2000
2)阻止主机访问目标
[R1-acl-basic-2000]rule 5 deny source 192.168.3.1 0
3)允许其他任何网络通过
[R1-acl-basic-2000]rule 10 permit source any
4)应用访问控制列表
[R3]interface GifabitEthernet 0/0/1
[R3-GifabitEthernet 0/0/1]traffic-filter inbound acl 2000
5)查看创建的ACL
[R3]display acl 2000
3、创建高级ACL
1)创建高级ACL
[R1]acl 3000
2)阻止源网络3.1主机访问目标网络1.0的目标端口Telnet
[R1-acl-adv-3000]rule 5 deny tcp source 192.168.3.1 0 destination 172.16.1.0 0.0.0.255 destination-port eq telnet
3)阻止源网络2.0访问目标网络1.0的目标端口23
[R1-acl-adv-3000]rule 10 deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 destination-port eq 23
4)放行其他任何流量
[R1-acl-adv-3000]rule 15 permit ip source any destination any
5)应用ACL
[R1]interface GifabitEthernet 0/0/0
[R1-GifabitEthernet 0/0/0]traffic-filter inbound acl 3000
6)查看所有的ACL
[R1]display acl all