网络技术入门笔记,用于Ctrl+F查询
Cisco
简介:Cisco的网际操作系统(IOS:Internetwork operating system),IOS配置通常是通过基于文本的命令行接口进行的。
路由器基本操作
操作模式
| 模式名称 | 进入 | 退出 | 说明 |
|---|---|---|---|
| 用户模式 | - | exit或logout |
通常查看统计信息,登录后既是用户模式 |
| 特权模式 | enable |
exit或disable |
从用户模式进入,用于查看和修改路由器配置 |
| 全局配置模式 | configure terminal |
exit或Ctrl+Z |
从特权模式进去,在全局配置模式中,一旦作了修改,就会影响到整个路由器 |
| 接口模式 | interface fastEthernet 1/0 |
exit或Ctrl+Z |
从全局配置模式进入,用于接口配置 |
总结:用户模式> — 特权模式# — 全局配置模式(config)# — 接口模式(config-if)#
基本命令
1、时间设置命令 - clock
router#clock set 10:49:40 20 may 2020
显示时间
router#show clock
2、支持的快捷键
- Ctrl+u:从光标所在位置删除到行首
- Ctrl+a:光标移到行首
- Ctrl+e:光标移到行尾
4、历史命令
查看终端配置与历史命令保存数:
router>show terminal
查看历史命令:
router>show history
修改历史命令的保存条数:
router>terminal history size <0-256>
5、查看路由器基本信息:
router>show version
主机和密码管理
1、设置主机名:
router(config)#hostname 2、设置日期信息:
router(config)#banner motd <定义定界符>
<输入想输入的内容>
<输入定义的定界符完成输入>
3、设置登录信息:
router(config)#banner login <定义定界符>
<输入想输入的内容>
<输入定义的定界符完成输入>
4、特权模式密码
- 登录后,执行
enable需要使用,特权模式密码:
在特权模式下可以使用show running-config看到的明文密码设置:
router(config)#enable password 在特权模式下可以使用show running-config看不到的明文密码设置:
router(config)#enable secret 取消密码:
router(config)#no enable secret
router(config)#no enable password
注意:明文、密文密码同时存在时,仅密文的有效。
5、接口密码
- 只要一登录,就必须使用接口密码:console口密码、aux接口密码、虚拟接口vty密码(Telnet密码、ssh密码)、终端接口密码
使用line命令查看可定义的接口密码:
router(config)#line ?
<0-16> First Line number
console Primary terminal line
vty Virtual terminal
配置console口密码,并使用login密码检查:
router(config)#line console 0
router(config-line)#password 配置虚拟接口vty密码,0-15个虚拟端口都配置,并使用login密码检查:
router(config)#line vty ?
<0-15> First Line number
router(config)#line vty 0 15
router(config-line)#password 注意:由于接口密码在在特权模式下可以使用show running-config可以看到的明文密码,所以可以用以下命令加密所有密码:
router(config)#service password-encryption
路由器接口操作
1、查看接口
router#show running-config
2、进入接口
router(config)#interface ?
Dialer Dialer interface
Dot11Radio Dot11 interface
Ethernet IEEE 802.3
FastEthernet FastEthernet IEEE 802.3
GigabitEthernet GigabitEthernet IEEE 802.3z
Loopback Loopback interface
Port-channel Ethernet Channel of interfaces
Serial Serial
Tunnel Tunnel interface
Virtual-Template Virtual Template interface
Vlan Catalyst Vlans
range interface range command
router(config)#interface fastEthernet 1/0
3、接口注释
router(config-if)#description 4、do命令
可以由do命令让命令在其他模式运行:
router(config-if)#do show running-config
5、激活接口
接口默认是关闭的,可以使用show interfaces fastEthernet 0/1查看,需要激活:
router(config-if)#no shutdown
6、给接口配置IP地址
router(config-if)#ip address
router(config-if)#no shutdown
注意:不要忘记激活接口。
7、时钟频率
可以使用串口线将交换机连接起来,使网络连通,DCE接口交换机:
router(config)#interface serial 1/0/0
router(config-if)#ip address
router(config-if)#clock rate 64000
router(config-if)#no shutdown
非DCE接口交换机不需要配置时钟频率:
router(config)#interface serial 1/0/0
router(config-if)#ip address
router(config-if)#no shutdown
注意:两台交换机串口线连好后需先用show controllers serial 1/0/0区分两台交换机的串口是DCE、DTE,只有DCE口的串口需要配置时钟频率。
保存与删除
1、保存配置
将DRAM中的数据保存在NVRAM中,永久生效。
router#copy running-config startup-config
或者:
router#write
2、删除配置
router#erase startup-config
3、重启路由器
router#reload
查看与验证配置
1、ping
2、traceroute域名或IP
3、telnet 或域名 端口
4、查看接口参数与配置show interfaces
5、清空接口计数器clear counters f0/0
6、查看所有接口的ip地址和状态show ip interface brief
IOS高级操作
1、修复密码
连接交换机console口,开机过程按Ctrl+break进入rom monitor模式(若被屏蔽,则需要找其他方法),屏蔽startup-config配置并重启,执行指令:
rommon 1 > confreg 0x2142
rommon 2 > reset
开机后直接可进入特权模式,载入startup-config,进入全局配置模式,修改2个密码,加密密码,修复寄存器启动项,写入配置即可:
router#copy startup-config running-config
router#configure terminal
router(config)#enable secret 2、Cisco发现协议(CDP)
可以收集相邻设备的硬件信息和协议信息,用于故障诊断、网络判断、线路不明、施工图丢失等。
- 收集邻居信息
router#show cdp neighbors - 邻居详细信息
router#show cdp entry * - 连接设备的IP地址
router#show cdp entry * protocol - 连接设备的IOS版本
router#show cdp entry * version
3、配置DNS
开启域名查询,指定DNS服务器:
router(config)#ip domain-lookup
router(config)#ip name-server 202.106.0.20
注意:若不开启DNS,可配成禁止把错误命令进行DNS解析:
router(config)#no ip domain-lookup
4、查看路由器进程
router#show processes
5、路由器备份与恢复
router#copy running-config tftp:
router#copy tftp: running-config
注意:提前准备TFTP服务器。
高级路由管理
- 默认路由就是网关,只在根路由上配置,一般路由器不配网关,通过路由学习或配置静态路由获得下一跳地址。
- 一旦静态路由进行了修改,其他所有的路由器都要修改,默认路由也属于静态路由。
距离管理AD:用来表示路由器的优先级,范围0-255,若一台路由器同时配置了静态、动态路由,AD越小优先级越高,AD一致则检查其他度量值(跳数、链路带宽等)。
| 路由源 | 默认AD |
|---|---|
| 直连接口 | 0 |
| 静态路由 | 1 |
| EIGRP | 90 |
| IGRP | 100(淘汰) |
| OSPF | 110 |
| RIP | 120 |
| 外部EIGRP | 170 |
| 未知 | 255(这个路由不会被使用) |
查看路由表信息:
router#show ip route
1、配置默认路由
若未开启默认路由功能使用ip classless开启。
router(config)#ip route 0.0.0.0 0.0.0.0 <上一级路由器的入口IP,也就是下一跳地址>
2、配置静态路由
连接方式:
配置方式1,使用默认路由:
路由器A:
routeA(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
路由器B:
routeB(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
配置方式2,使用静态路由:
路由器A:
router(config)#ip route 172.22.1.0 255.255.255.0 192.168.1.2
router(config)#ip route 172.22.2.0 255.255.255.0 192.168.1.2
路由器B:
router(config)#ip route 172.22.1.0 255.255.255.0 192.168.1.1
router(config)#ip route 172.22.2.0 255.255.255.0 192.168.1.1
也可指定端口配置静态路由协议:
router(config)#ip route
3、配置动态路由
| 特性 | OSPF | RIPv2 | RIPv1 |
|---|---|---|---|
| 协议类型 | 链路状态 | 距离矢量 | 距离矢量 |
| 无IP类型支持 | 是 | 是 | 否 |
| VLSM支持 | 是 | 是 | 否 |
| 自动汇总 | 否 | 是 | 是 |
| 手动汇总 | 是 | 是 | 否 |
| 不连续支持 | 是 | 是 | 否 |
| 路由传播 | 可变化的组播 | 周期性组播 | 周期性组播 |
| 路径度量 | 带宽 | 跳 | 跳 |
| 跳计数限制 | 无 | 15 | 15 |
| 会聚 | 快 | 慢 | 慢 |
| 对等认证 | 是 | 是 | 否 |
| 分层网络需求 | 是(使用区域) | 否(只是平面) | 否(只是平面) |
| 更新 | 事件触发 | 路由表更新 | 路由表更新 |
| 路由计算 | Dijkstra | Bellman-Ford | Bellman-Ford |
- RIP路由信息协议
1、属于距离矢量路由协议;
2、RIP v1有类协议,不支持变长子网掩码,只使用默认子网掩码,必须是标准的A、B、C类IP网络地址。RIP v2是无类协议,发送路由更新时,携带子网掩码;
3、最大支持15跳路由,16跳为不可到达,适合局域网内使用,不适合大型网络环境;
4、依靠跳数作为度量值选择最佳路由,不考虑带宽等其他因素;
5、每隔30秒向邻居发送完整路由表,180秒没收到更新信息,会将该路由的跳数标记为16,标记为16后又过60秒未收到更新,则会将该条路由删除;
6、建立邻居表时发送hello包组播信息,组播地址:224.0.0.9;
使用RIP v1:
router(config)#router rip
router(config-router)#network <网络地址,如10.0.0.0>
使用RIP v2,不使用默认子网掩码:
router(config)#router rip
router(config-router)#version 2
router(config-router)#no auto-summary
router(config-router)#network <直连的网络地址,如10.0.0.0>
注意:一旦一个路由器配置了no auto-summary,其他路由器就需要配置使用可变长子网掩码。
清除掉自主学习的动态路由:
router#clear ip route *
关闭RIP动态路由协议:
router(config)#no router rip
- EIGRP增强内部网关路由协议
1、是一个组合型动态路由协议,有距离矢量路由协议特征,也有链路状态路由协议特征(邻居表、拓扑表、路由表);
2、是无类路由协议,可以使用可変长子网掩码;
3、发送hello包、AS号要和邻居一致、度量值K值(与带宽、延迟有关)要匹配(决定数据包从哪条路由走),通过K值计算FD与AD;
3、使用通告距离AD(比FD少第一个节点)与可行距离FD来确定继任者和可行的继任者;
4、建立邻居表时发送hello包组播信息,组播地址:224.0.0.10;
5、只有变长子网掩码的路由器需要关闭自动汇总,对于使用标准子网掩码的路由器可以开启自动汇总,以节省路由表空间;
6、负载均衡机制:当有两条路由都能到达目的,且最优FD * variance > 备用FD,EIGRP会根据FD按比例进行负载均衡;
连接方式:
使用EIGRP,且不使用默认子网掩码:
路由器A:
router(config)#router eigrp 100
router(config-router)#no auto-summary
router(config-router)#network 172.22.1.0
router(config-router)#network 192.168.1.0
路由器B:
router(config)#router eigrp 100
router(config-router)#no auto-summary
router(config-router)#network 172.22.2.0
router(config-router)#network 192.168.1.0
查看EIGRP拓扑、查看FD/AD值:
router#show ip eigrp topology
EIGRP负载均衡:
当有两条路由都能到达目的,且最优FD * variance > 备用FD,EIGRP会根据FD按比例进行负载均衡。用户使用show ip eigrp topology拓扑查看各链路FD,自行选择variance值。
router(config)#router eigrp 100
router(config-router)#variance ?
<1-128> Metric variance Multiplier
清除邻居表,重建邻居与路由信息:
router#clear ip eigrp neighbors
- OSPF开放最短路径优先协议
1、属于链路状态路由协议(更先进,邻居表、拓扑表、路由表);
2、OSPF必须有一个区域0为骨干区域,其他区域都需要通过区域间路由连接到这个区域,OSPF也有一个进程号,只对本地路由器有用,标志在同一台路由器中不同的OSPF进程,不用和其他路由器一致;
3、在区域中指定路由器DR和备份指定路由器BDR避免重复通告浪费网络资源,选择IP地址作为路由器ID,IP数值最大的路由器作为DR,次大的作为BDR(有loopback IP的优先选择loopback IP比较);
4、DR和BDR仅在广播型网络(以太网)中产生,串口连接的网络不是广播型网络;
5、利用SPF算法算出最优路由保存在路由表中,使用带宽作为度量值:度量值 = 100^8 / 带宽 = 100M / 带宽,一条路径的所有度量值相加,取最小值的路径;
6、OSPF默认不自动会聚;
7、建立邻居表时发送hello包组播信息,组播地址:224.0.0.5;
命令格式:
network <网络地址> <反掩码> area <区域号>
连接方式:
使用OSPF,且使用反掩码:
路由器A:
router(config)#router ospf 10
router(config-router)#network 172.22.1.0 0.0.0.255 area 0
router(config-router)#network 192.168.1.0 0.0.0.255 area 0
路由器B:
router(config)#router ospf 10
router(config-router)#network 172.22.2.0 0.0.0.255 area 0
router(config-router)#network 192.168.1.0 0.0.0.255 area 0
若路由器A上还有其他172.22.*.0,可以在其他路由器上手动汇总,降低路由表空间(不建议,存在其他路由器有该网络地址的风险):
router(config)#router ospf 10
router(config-router)#area 0 range 172.22.0.0 255.255.0.0
查看OSPF邻居信息,可用来查看DR、BDR:
router#show ip ospf neighbor
想让某一路由器变为DR,可以使用loopback 0端口配置更高的IP,也可把其他路由器ID的对应端口IP优先级设置为0(默认为1)不让其参与DR选举,如:
router(config)#interface fastEthernet 1/0
router(config-if)#ip ospf priority ?
<0-255> Priority
router(config-if)#ip ospf priority 0
交换机基本操作
生成树协议
交换机在MAC地址表里寻找信息的目的MAC地址时,若没有会进行泛洪,泛洪是对除发送端接口进行广播,收到泛洪信息的主机反馈自己的MAC地址,交换机就会记录到自己的MAC地址表里,所有的交换机相互学习MAC地址。
STP生成树算法:
1、选举根网桥(所有环路交换机选一台,其所有接口都会有用,排序方式:order by 网桥优先级, vlan1 MAC地址 desc)
2、选举根端口(所有非根交换机 中选一个端口,某一端口到达根桥所有路径成本之和小的,带宽越大路径成本越小,若带宽一直,则选端口ID最小的,端口ID = 端口优先级(0-255,默认128) + 端口编号)
3、选举指定端口(在每个线段中,根路径成本越小优先级越高)
4、剩余的非指定端口就是会被逻辑阻塞的端口
在STP中,值越小的优先级越高。
交换机之间使用BPDU来交互STP信息,默认2秒一次,使用组播地址01-80-C2-00-00-00发送BPDU。
修改网桥优先级(默认32768),使之成为根网桥:
switch(config)#spanning-tree vlan 1 priority 4096
关闭生成树协议:
switch(config)#no spanning-tree mode pvst
VLAN
1、默认交换机的所有接口都在VLAN1里;
2、若两个VLAN需要通信,那么两个VLAN不能使用同一网段;
3、删除VLAN时,需要先将该VLAN里的端口移出到其他VLAN后,再删除VLAN,否则该端口就无法通信;
4、了解:VTP协议,交换机之间自动学习VLAN配置;
trunk口中继模式:
| 状态 | 命令 | 描述 |
|---|---|---|
| 开启(on) | switchport mode turnk |
将端口设置为永久中继模式 |
| 关闭(off) | switchport mode access |
将端口设置为永久非中继模式 |
| 期望(desirable) | switchport mode dynamic desirable |
让端口主动试图将链路转变成中继链路 |
| 自动(auto) | switchport mode dynamic auto |
让端口愿意将链路变为中继链路,默认为这种模式 |
- 交换机VLAN划分
switch(config)#vlan 2
switch(config)#interface fastEthernet 0/1
switch(config-if)#switchport access vlan 2
switch(config-if)#switchport mode access
- 交换机trunk口划分
并只允许VLAN1和VLAN51通过(若不设置最后一句,则所有VLAN都可通过):
switch(config)#interface gigabitEthernet 0/1
switch(config-if)#switchport mode trunk
switch(config-if)#switchport trunk allowed vlan 1,51
- VLAN间路由
方法一:使用路由器的虚拟端口实现(注意:交换机连接路由器的口必须是trunk口):
交换机上连接路由器的接口配置:
switch(config)#interface fastEthernet 0/1
switch(config-if)#switchport trunk allowed vlan all
路由器上配置三个VLAN ID的VLAN间路由(注意:dot1Q后面跟VLAN号):
router(config)#interface fastEthernet 1/0.1
router(config-subif)#encapsulation dot1Q 1
router(config-subif)#ip address 172.22.1.254 255.255.255.0
router(config-subif)#interface fastEthernet 1/0.51
router(config-subif)#encapsulation dot1Q 51
router(config-subif)#ip address 172.16.51.254 255.255.255.0
router(config-subif)#interface fastEthernet 1/0.82
router(config-subif)#encapsulation dot1Q 82
router(config-subif)#ip address 172.16.82.254 255.255.255.0
方法二:使用三层交换机的VLAN间路由功能实现VLAN间通信,在核心交换机上给每一个VLAN划分IP地址,最后打开路由功能:
switch(config)#interface vlan 1
switch(config-if)#ip address 172.22.1.254 255.255.255.0
switch(config-if)#no shutdown
switch(config-if)#interface vlan 51
switch(config-if)#ip address 172.16.51.254 255.255.255.0
switch(config-if)#no shutdown
switch(config-if)#interface vlan 82
switch(config-if)#ip address 172.16.82.254 255.255.255.0
switch(config-if)#no shutdown
switch(config-if)#exit
switch(config)#ip routing
- 汇聚层交换机管理地址
一般交换机管理地址都给每个交换机的VLAN1配置IP地址,除核心以外,都需要添加默认网关(即核心交换机VLAN1的IP地址),否则无法连接:
switch(config)#interface vlan 1
switch(config-if)#ip address 172.22.1.1 255.255.255.0
one_switch(config-if)#no shutdown
one_switch(config-if)#exit
one_switch(config)#ip default-gateway 172.22.1.254
交换机MAC地址绑定
只允许指定的MAC地址网卡接入交换机的指定接口,由于维护成本高,一般不会使用该功能。
手工绑定,先设置为access口,开启端口安全模式,绑定MAC地址,只允许一个MAC地址接入,若接入其他MAC则关闭端口,需要no shutdown打开:
switch(config)#interface fastEthernet 0/1
switch(config-if)#switchport mode access
switch(config-if)#switchport port-security
switch(config-if)#switchport port-security mac-address 0010.1183.C928
Found duplicate mac-address 0010.1183.c928.
switch(config-if)#switchport port-security maximum 1
switch(config-if)#switchport port-security violation shutdown
动态绑定,绑定最先接入的两台设备MAC地址,如果有第三台接入,则关闭端口:
switch(config)#interface fastEthernet 0/1
switch(config-if)#switchport mode access
switch(config-if)#switchport port-security
switch(config-if)#switchport port-security mac-address sticky
switch(config-if)#switchport port-security maximum 2
switch(config-if)#switchport port-security violation shutdown
访问控制列表ACL
其实是防火墙,类似于Windows的ISA,Linux的IPtables(可以做NAT转换),但功能不如两者强大,只能做基于IP、端口号的过滤。规则默认拒绝所有,手动添加允许的规则,Windows则是拒绝单个,允许所有。
访问控制列表分类:标准访问控制列表表号1-99,只基于源IP决定数据包是否可以通过,不能区分数据类型;扩展访问控制列表表号100-199,可以依靠源IP、目的IP、协议类型、端口号来控制数据包。
-
配置方式:生效范围越大的规则放在下面,生效范围越小的规则放在上面。
-
第一步:创建访问控制列表
定义访问控制列表1,拒绝某个IP访问,允许剩余IP地址访问,使用反掩码。因为ACL默认拒绝所有数据包,所以在一张访问控制列表中必须有允许条目,否则会全部拒绝。可以使用host和any(代表:0.0.0.0 255.255.255.255)关键字简化输入。
| 操作符 | 说明 |
|---|---|
| eq | 等于端口号 |
| gt | 大于端口号 |
| lt | 小于端口号 |
| neq | 不等于端口号 |
标准访问控制列表:
router(config)#access-list 1 deny 192.168.10.100 0.0.0.0
router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
扩展访问控制列表:
router(config)#access-list 101 deny tcp 172.16.4.0 0.255.255.255 172.16.3.0 0.0.0.255 eq 21
- 第二步:在接口模式下
把列表应用于接口的入(出)站方向。
router(config-if)#ip access-group <访问列表号> 查看列表规则:router#show access-lists
NAT转换
静态转换、动态转换、端口多路复用(PAT),前两个基本没用。
创建方式:路由器上配置NAT需要指定内网(inside)、外网接口(outside),建立NAT地址池,定义访问控制列表,允许访问控制列表中地址使用NAT地址池转换为公网IP。
- 第一步:配置内、外网接口(若VLAN间路由由路由器虚拟端口实现,则在虚拟端口上加如下命令)
router(config)#interface fastEthernet 0/0
router(config-if)#ip nat inside
router(config)#interface fastEthernet 0/1
router(config-if)#ip nat outside
- 第二步:定义访问控制列表(多VLAN)
router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
router(config)#access-list 1 permit 192.168.2.0 0.0.0.255
router(config)#access-list 1 permit 192.168.3.0 0.0.0.255
router(config)#access-list 1 deny any
或者直接手动聚合:
router(config)#access-list 2 permit 192.168.0.0 0.0.255.255
router(config)#access-list 2 deny any
- 第三步:建立NAT地址池
router(config)#ip nat pool mynat 61.1.1.2 61.1.1.2 netmask 255.255.255.0
- 第四步:允许列表中的所有IP使用地址池转为公网IP
router(config)#ip nat inside source list 1 pool mynat overload
或者直接使用接口:
router(config)#ip nat inside source list 1 interface fastEthernet 0/0 overload
- 取消NAT功能:按顺序清除所有NAT表、NAT转换、地址池、访问控制列表等:
router#clear ip nat translation *
router(config)#no ip nat inside source list 1 pool mynat overload
router(config)#no ip nat pool mynat 61.1.1.2 61.1.1.2 netmask 255.255.255.0
router(config)#no access-list 1
注意:
1、以上用来配置PAT,若要使用NAT动态转换,建立NAT地址池时使用IP地址范围,且第四步不使用overload关键字;
2、一般使用NAT后,需要在路由器上添加几条静态进出路由,允许数据进出。核心交换机上也需要添加到路由器的默认路由;
3、第四步中,不管用地址池还是端口转换方式,路由器出端口必须配置IP,NAT地址池既可以使用路由器出端口IP,也可以使用出端口IP同网段IP(前提必须是ISP允许使用的IP);
整理
-
基本配置备忘
1、配特权密码enable secret、虚拟接口密码line vty,加密所有密码service password-encryption;
2、改设备主机名;
3、禁止把错误命令进行DNS解析no ip domain-lookup
4、禁止弹出对话信息logging synchronous,端口中报错则在报错端口中添加no cdp enable -
核心交换机:
1、新建VLAN;
2、各个VLAN IP指定;
3、端口VLAN与trunk划分;
4、VLAN间路由开启;
5、默认路由; -
汇聚交换机:
1、新建VLAN;
2、指定远程管理IP地址,如VLAN 1地址;
3、端口VLAN与trunk划分;
4、默认网关; -
本地路由器:
1、端口IP;
2、NAT进出口端口指定;
3、访问控制列表;
4、NAT地址池;
5、NAT转换;
6、静态路由; -
公网路由器:
1、端口IP;
2、动态路由配置; -
反掩码的使用规律
| 正掩码 | 反掩码 |
|---|---|
| 给接口配置IP地址 | OSPF动态路由协议 |
| 使用静态路由配置 | 访问控制列表 |
| 建立NAT地址池 |
- 调试命令
router#debug ip 取消调试
router#no debug all
自己设计一个网络场景
场景:获得ISP供应商的公网IP:1.80.1.1,搭建一个本地局域网,要求本地路由器NAT转换、静态路由配置,核心交换机VLAN划分与VLAN间路由,广域网路由器OSPF动态路由配置。
核心层交换机master_switch配置(其中,配置密码部分在其他例子中不再浪费篇幅):
master_switch(config)#enable secret 123
master_switch(config)#line vty
master_switch(config)#line vty ?
<0-15> First Line number
master_switch(config)#line vty 0 15
master_switch(config-line)#password 123
master_switch(config-line)#login
master_switch(config-line)#exit
master_switch(config)#service password-encryption
master_switch(config)#no ip domain-lookup
master_switch(config)#interface vlan 1
master_switch(config-if)#ip address 172.22.1.254 255.255.255.0
master_switch(config-if)#no shutdown
master_switch(config-if)#exit
master_switch(config)#vlan 51
master_switch(config-vlan)#exit
master_switch(config)#interface vlan 51
master_switch(config-if)#ip address 172.16.51.254 255.255.255.0
master_switch(config-if)#no shutdown
master_switch(config-if)#exit
master_switch(config)#vlan 82
master_switch(config-vlan)#exit
master_switch(config)#interface vlan 82
master_switch(config-if)#ip address 172.16.82.254 255.255.255.0
master_switch(config-if)#no shutdown
master_switch(config-if)#exit
master_switch(config)#ip routing
master_switch(config)#interface range gigabitEthernet 0/1-2
master_switch(config-if-range)#switchport trunk encapsulation dot1q
master_switch(config-if-range)#switchport mode trunk
master_switch(config-if-range)#switchport trunk allowed vlan 1,51,82
master_switch(config-if-range)#no shutdown
master_switch(config-if-range)#interface range fastEthernet 0/1-8
master_switch(config-if-range)#switchport mode access
master_switch(config-if-range)#switchport access vlan 1
master_switch(config-if-range)#no shutdown
master_switch(config-if-range)#interface range fastEthernet 0/9-16
master_switch(config-if-range)#switchport mode access
master_switch(config-if-range)#switchport access vlan 51
master_switch(config-if-range)#no shutdown
master_switch(config-if-range)#interface range fastEthernet 0/17-24
master_switch(config-if-range)#switchport mode access
master_switch(config-if-range)#switchport access vlan 82
master_switch(config-if-range)#no shutdown
master_switch(config-if-range)#exit
master_switch(config)#ip route 0.0.0.0 0.0.0.0 172.22.1.253
master_switch(config)#exit
master_switch#copy running-config startup-config
汇聚层交换机one_switch配置(two_switch配置与其类似):
one_switch(config)#no ip domain-lookup
one_switch(config)#interface vlan 1
one_switch(config-if)#ip address 172.22.1.1 255.255.255.0
one_switch(config-if)#no shutdown
one_switch(config-if)#exit
one_switch(config)#ip default-gateway 172.22.1.254
one_switch(config)#vlan 51
one_switch(config-vlan)#exit
one_switch(config)#vlan 82
one_switch(config-vlan)#exit
one_switch(config)#interface gigabitEthernet 0/2
one_switch(config-if)#switchport mode trunk
one_switch(config-if)#switchport trunk allowed vlan 1,51,82
one_switch(config-if)#no shutdown
one_switch(config-if)#interface fastEthernet 0/1
one_switch(config-if)#switchport mode access
one_switch(config-if)#switchport access vlan 51
one_switch(config-if)#no shutdown
one_switch(config-if)#interface fastEthernet 0/2
one_switch(config-if)#switchport mode access
one_switch(config-if)#switchport access vlan 82
one_switch(config-if)#no shutdown
one_switch(config-if)#exit
one_switch(config)#exit
one_switch#copy running-config startup-config
接入层交换机switch1配置(其他接入层与其类似):
Switch(config)#no ip domain-lookup
Switch(config)#vlan 51
Switch(config-vlan)#exit
Switch(config)#interface range fastEthernet 0/1-24
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 51
Switch(config-if-range)#no shutdown
Switch(config-if-range)#exit
Switch(config)#exit
Switch#copy running-config startup-config
本地路由器master_router配置:
master_router(config)#no ip domain-lookup
master_router(config)#interface fastEthernet 1/0
master_router(config-if)#ip address 172.22.1.253 255.255.255.0
master_router(config-if)#ip nat inside
master_router(config-if)#no shutdown
master_router(config-if)#interface fastEthernet 0/0
master_router(config-if)#ip address 172.22.2.254 255.255.255.0
master_router(config-if)#ip nat inside
master_router(config-if)#no shutdown
master_router(config-if)#interface serial 1/0/0
master_router(config-if)#ip address 1.80.1.1 255.255.255.0
master_router(config-if)#ip nat outside
master_router(config-if)#no shutdown
master_router(config-if)#exit
master_router(config)#access-list 1 permit 172.22.1.0 0.0.0.255
master_router(config)#access-list 1 permit 172.22.2.0 0.0.0.255
master_router(config)#access-list 1 permit 172.16.51.0 0.0.0.255
master_router(config)#access-list 1 permit 172.16.82.0 0.0.0.255
master_router(config)#access-list 1 deny any
master_router(config)#ip nat pool mynat 1.80.1.1 1.80.1.1 netmask 255.255.255.0
master_router(config)#ip nat inside source list 1 pool mynat overload
master_router(config)#ip route 0.0.0.0 0.0.0.0 1.80.1.2
master_router(config)#ip route 172.22.1.0 255.255.255.0 172.22.1.254
master_router(config)#ip route 172.16.51.0 255.255.255.0 172.22.1.254
master_router(config)#ip route 172.16.82.0 255.255.255.0 172.22.1.254
master_router(config)#exit
master_router#copy running-config startup-config
公网路由器internet1配置:
internet1(config)#no ip domain-lookup
internet1(config)#interface serial 1/0/0
internet1(config-if)#ip address 1.80.1.2 255.255.255.0
internet1(config-if)#clock rate 64000
internet1(config-if)#no shutdown
internet1(config-if)#interface serial 1/1/0
internet1(config-if)#ip address 1.80.2.1 255.255.255.0
internet1(config-if)#no shutdown
internet1(config-if)#interface fastEthernet 1/0
internet1(config-if)#ip address 180.101.49.254 255.255.255.0
internet1(config-if)#no shutdown
internet1(config-if)#interface fastEthernet 0/0
internet1(config-if)#ip address 1.80.4.1 255.255.255.0
internet1(config-if)#no shutdown
internet1(config-if)#exit
internet1(config)#route ospf 10
internet1(config-router)#network 1.80.1.0 0.0.0.255 area 0
internet1(config-router)#network 1.80.2.0 0.0.0.255 area 0
internet1(config-router)#network 1.80.4.0 0.0.0.255 area 0
internet1(config-router)#network 180.101.49.0 0.0.0.255 area 0
internet1(config-router)#exit
internet1(config)#exit
internet1#copy running-config startup-config
公网路由器internet2配置:
Router(config)#no ip domain-lookup
Router(config)#interface serial 1/0/0
Router(config-if)#ip address 1.80.2.2 255.255.255.0
Router(config-if)#clock rate 64000
Router(config-if)#no shutdown
Router(config-if)#interface serial 1/1/0
Router(config-if)#ip address 1.80.3.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#interface fastEthernet 1/0
Router(config-if)#ip address 111.32.151.254 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#route ospf 10
Router(config-router)#network 1.80.2.0 0.0.0.255 area 0
Router(config-router)#network 1.80.3.0 0.0.0.255 area 0
Router(config-router)#network 111.32.151.0 0.0.0.255 area 0
Router(config-router)#exit
Router(config)#exit
Router#copy running-config startup-config
公网路由器internet3配置:
internet3(config)#no ip domain-lookup
internet3(config)#interface serial 1/0/0
internet3(config-if)#ip address 1.80.3.2 255.255.255.0
internet3(config-if)#clock rate 64000
internet3(config-if)#no shutdown
internet3(config-if)#interface fastEthernet 0/0
internet3(config-if)#ip address 1.80.4.2 255.255.255.0
internet3(config-if)#no shutdown
internet3(config-if)#interface fastEthernet 1/0
internet3(config-if)#ip address 140.249.5.254 255.255.255.0
internet3(config-if)#no shutdown
internet3(config-if)#exit
internet3(config)#route ospf 10
internet3(config-router)#network 1.80.3.0 0.0.0.255 area 0
internet3(config-router)#network 1.80.4.0 0.0.0.255 area 0
internet3(config-router)#network 140.249.5.0 0.0.0.255 area 0
internet3(config-router)#exit
internet3(config)#exit
internet3#copy running-config startup-config
实现结果:
1、终端电脑可以访问外网服务器、内网服务器、内网跨VLAN电脑。
2、内网服务器可以访问外网服务器、内网终端。
3、外网服务器可以相互访问、不能访问局域网服务器、局域网电脑。
H3C & Huawei
基本操作
操作模式
| 模式名称 | 进入 | 退出 | 说明 |
|---|---|---|---|
| 用户视图 | - | quit |
可以完成查看运行状态和统计信息等功能 |
| 系统视图 | system-view |
quti或Ctrl+Z |
类似于Cisco的全局配置模式,配置系统全局通用参数的视图,可以键入不同的命令进入相应的功能视图(进入接口、VLAN等视图) |
| 用户界面视图 | user-interface <接口> |
quit |
类似于Cisco的line console、vty等,配置登录设备的各个用户属性的视图 |
| 接口视图 | interface fastEthernet 1/0 |
quit |
从系统视图进入,用于接口配置 |
总结:
用户视图[H3C] — 用户界面视图[H3C-ui-vty0-4] — 接口视图[H3C-Ethernet1/0/1]
用户界面视图配置的登录用户级别权限如下:
| 用户级别 | 允许使用的命令级别 |
|---|---|
| 0 | 访问级 |
| 1 | 监控级 |
| 2 | 系统级 |
| 3 | 管理级 |
高级别兼容低级别权限。
基本命令
1、配置远程登录:
注意:scheme表示使用用户名密码(华为交换机中叫aaa),password表示使用终端密码登录。
- 使用终端密码登录
<H3C>system-view
[H3C]telnet server enable
[H3C]user-interface vty 0 4
[H3C-ui-vty0-4]authentication-mode ?
none Login without checking
password Use terminal interface password
scheme Use RADIUS scheme
[H3C-ui-vty0-4]authentication-mode password
[H3C-ui-vty0-4]set authentication password ?
cipher Display the current password with cipher text
simple Display the current password with plain text
[H3C-ui-vty0-4]set authentication password simple 123
[H3C-ui-vty0-4]user-role level-15
<Huawei>system-view
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode ?
aaa AAA authentication
password Authentication through the password of a user terminal interface
[Huawei-ui-vty0-4]authentication-mode password
[Huawei-ui-vty0-4]set authentication password cipher 123
[Huawei-ui-vty0-4]user privilege level 3
- 使用用户名密码登录
<H3C>system-view
[H3C]local-user admin
New local user added.
[H3C-luser-manage-admin]password ?
cipher Display password with cipher text
simple Display password with plain text
[H3C-luser-manage-admin]password simple 123
[H3C-luser-manage-admin]service-type telnet terminal
[H3C-luser-manage-admin]authorization-attribute user-role level-15
[H3C-luser-manage-admin]quit
[H3C]telnet server enable
[H3C]user-interface vty 0 4
[H3C-ui-vty0-4]authentication-mode ?
none Login without checking
password Use terminal interface password
scheme Use RADIUS scheme
[H3C-ui-vty0-4]authentication-mode scheme
<Huawei>system-view
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode aaa
[Huawei-ui-vty0-4]quit
[Huawei]aaa
[Huawei-aaa]local-user admin password cipher 123
[Huawei-aaa]local-user admin service-type telnet
[Huawei-aaa]quit
保存与删除
1、保存配置
将DRAM中的数据保存在NVRAM中,永久生效。
[H3C]save
注意:保存时会提示输入配置文件名(H3C默认run.cfg,华为默认vrpcfg.zip),若忘记可使用dis startup命令查看开机启动调用的配置文件名来确定。这个文件名会在TFTP备份中用到。
2、路由器备份与恢复
注意:使用dis startup命令查看开机启动调用的配置文件名,使用dir /all查看flash中的所有文件。提前准备TFTP服务器。
- 备份
<H3C>tftp 192.168.1.2 put run.cfg backup.cfg
File will be transferred in binary mode.
Sending file to remote tftp server. Please wait... |
TFTP: 1139 bytes sent in 0 second(s).
File uploaded successfully.
- 恢复
<H3C>tftp 192.168.1.2 get backup.cfg
File will be transferred in binary mode.
Downloading file from remote tftp server, please wait.....
TFTP: 1139 bytes received in 0 second(s).
File downloaded successfully.
3、删除配置
<H3C>reset saved-configuration
交换机基本操作
1、VLAN
- 交换机VLAN划分
[H3C]vlan 2
[H3C-vlan2]quit
[H3C]interface Ethernet 1/0/1
[H3C-Ethernet1/0/1]port link-type ?
access Access link-type
hybrid Hybrid VLAN link-type
trunk VLAN trunk link-type
[H3C-Ethernet1/0/1]port link-type access
[H3C-Ethernet1/0/1]port access vlan 2
[H3C-Ethernet1/0/1]undo shutdown
- 交换机trunk口划分
[H3C]interface Ethernet 1/0/1
[H3C-Ethernet1/0/1]port link-type trunk
[H3C-Ethernet1/0/1]port trunk permit vlan ?
INTEGER<1-4094> VLAN ID
all All the VLANs
[H3C-Ethernet1/0/1]port trunk permit vlan all
[H3C-Ethernet1/0/1]undo shutdown
- 默认网关
[H3C]ip route-static 0.0.0.0 0.0.0.0 *.*.*.*
- VLAN间路由
一般H3C设备VLAN间路由都是三层设备自动支持,不需要配置。