HCIA学习日志-eNSP学习小记
eNSP配置
一、配置视图
配置视图大概可以分四类(不是):用户视图、系统视图、接口视图、路由视图
用户视图:
<Huawei>: #用户视图
系统视图:
<Huawei>:system-view/sys #用户视图进系统视图
[Huawei]: #系统视图
接口视图:
<Huawei>:system-view/sys #用户视图进系统视图
[Huawei]:interface/int Ethernet0/0/1 #系统视图进接口视图
[Huawei-Ethernet0/0/1]: #接口视图
路由协议视图:
<Huawei>:system-view/sys #用户视图进系统视图
[Huawei]:isis #系统视图进路由协议视图
[Huawei-isis-1] #路由协议视图
二、常用基本命令
- 1、
quit命令,或者直接输入q,返回上一级视图 - 2、
return命令,直接返回 - 3、
save命令,在 - 4、
reboot命令,重启设备 - 5、
shutdown命令,关闭端口/undo shutdown命令,激活端口 - 6、关闭泛洪信息
undo ter mon - 7、设置设备名称:
<Huawei> system-view
[Huawei] sysname Switch 更改设备名称
[Switch]
- 8、undo 命令,有以下:
(1)用于恢复缺省情况(例如设置设备的名称)
<Huawei> system-view
[Huawei] sysname Switch
[Switch] undo sysname 恢复缺省情况
[Huawei]
(2)用于禁用某个功能(例如ftp)
<Huawei> system-view
[Huawei] ftp server enable
[Huawei] undo ftp server 禁用设备的ftp功能
(3)用于删除某项设置
undo后跟某项命令的设置信息即可删除相关的某项配置
- 9、批量端口配置
方法一:配置临时端口组
[S1]port-group group-member e0/0/1 to e0/0/3
[S1-port-group]shutdown
注:如果交换机上大量接口上的配置只有一部分是一样的,用该方法很好。当我们退出了端口组模式的时候,这个时候咱们之前创建的端口组就不在存在。但是在之前创建的端口组中做的相关配置依然生效。其实该命令等同于执行命令
interface range e0/0/1 to e0/0/3
方法二:配置永久端口组
[S1]port-group lfy1
[S1-port-group-lfy1]group-member e0/0/1 to e0/0/3
[S1-port-group-lfy1]shutdown
注:如果未来还需要多次使用这个端口组,那么你就可以创建永久端口组。如何知道永久端口组中的成员接口呢?执行命令
display port-group [ all | port - group - name ],就可以查看永久端口组的成员接口信息。
三、交换机
1、登录配置
(一)设置Console接口密码
[Huawei]user-interface console 0 进入控制台接口
[Huawei-ui-console0]authentication-mode password 设置认证方式为密码认证
[Huawei-ui-console0]set authentication password cipher/simple 密码
配置密文/明文密码
[Huawei-ui-console0]user privilege level 级别 配置用户级别,级别可为0-15
(二)设置Telnet接口密码
[Huawei]user-interface vty 0 4 进入VTY接口,最多允许5个用户同时登陆
[Huawei-ui-vty0-4]authentication-mode aaa 认证方式为aaa模式
[Huawei]aaa 进入aaa配置
[Huawei-aaa]local-user 用户名 password cipher/simple 密码
设置用户的密码
[Huawei-aaa]local-user 用户名 service-type telnet
设置用户的服务类型协议为telnet,也可以为其它协议,比如http即使用Web界面
[Huawei-aaa]local-user 用户名 privilege level 级别 配置用户级别
2、VLAN配置
(一)单独和批次创建VLAN
<Huawei>system-view
[Huawei]vlan 10 创建或进入VLAN10
[Huawei]vlan batch 10 to 20 创建VLAN10到VLAN20,共创建11个VLAN
batch to表示创建连续的VLAN,若省略to则创建或进入指定号码的VLAN
(二)进入VLAN视图
[Huawei]vlan 10 若已创建vlan,则进入该VLAN视图;若没有则创建VLAN10
[Huawei-vlan10]name huawei 配置vlan10的名称为huawei
[Huawei]vlan vlan-name huawei 通过更改的VLAN名称进入VLAN视图
(三)将端口指定到VLAN
1.单一端口指定VLAN
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet 0/0/1]port link-type access
#配置接口类型为access
[Huawei-GigabitEthernet 0/0/1]port default vlan ID号
#配置端口的缺省的VLAN并将接口加入到指定vlan
2.多个端口指定VLAN
[Huawei]vlan 10 进入相关VLAN的视图,这里表示进入vlan10
[Huawei-vlan10]port GigabitEthernet 0/0/1 to 0/0/10 将多个端口一并设置为相关VLAN,这里是将1~10号接口全部设置为VLAN10
(四)查看配置情况
[Huawei]dislay vlan ID号
[Huawei]display current-configuration 显示当前配置
3、端口工作模式
(一)Access模式(接入模式)
Access端口只属于单个VLAN,一般用于连接计算机的端口,即只运行设置一个VLAN,丢弃其它VLAN。
[Huawei]interface GigabitEthernet 0/0/1 #进入接口视图
[Huawei-GigabitEthernet 0/0/1]port link-type access #设置端口工作模式为access
[Huawei-GigabitEthernet 0/0/1]port default vlan ID号 #配置端口的缺省的VLAN并将接口加入到指定vlan
(二)Trunk模式
Trunk端口允许多个VLAN通过,可以接收和发送多个VLAN报文,一般用于交换机之间端口,只允许默认VLAN报文发送时不打标签,带有标签的数据被转发至另一个交换机Trunk端口。
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet 0/0/1]port link-type trunk #设置端口工作模式为trunk
[Huawei-GigabitEthernet 0/0/1]port trunk pvid vlan ID号 #指定端口的PVID值
[Huawei-GigabitEthernet 0/0/1]port trunk allow-pass vlan all/ID号
#允许所有或部分VLAN通过trunk口
(三)Hybrid模式
Hybrid端口和Trunk端口一样,不过它既能用于交换机也能用于计算机,允许多个VLAN报文发送时不打标签。
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet 0/0/1]port link-type hybrid #设置端口工作模式为hybrid
[Huawei-GigabitEthernet 0/0/1]port hybrid pvid vlan ID号 #指定端口的PVID值
[Huawei-GigabitEthernet 0/0/1]port hybrid tagged vlan ID号
#指定相关VLAN的数据发送时添加Tag
[Huawei-GigabitEthernet 0/0/1]port hybrid tagged(untagged) vlan all/ID号
#允许hybrid端口对所有或部分VLAN添加(不添加)Tag
4、STP(生成树协议)
生成树协议是一种链路管理协议,为网络提供路径冗余,同时防止产生环路。
<Huawei>system-view
[Huawei]stp enable #启动生成树协议
[Huawei]stp root primary #配置本桥为根桥
[Huawei]display stp brief #在交换机上查看端口状态和端口的保护类型
四、路由器
1、设置设备接口的ip地址和子网掩码
[Huawei] interface 接口 #进入接口视图
[Huawei- Ethernet0/0/1]ip address ip地址 子网掩码 #配置ip地址和子网掩码
[Huawei- Ethernet0/0/1]undo shutdown #启动接口
[Huawei- Ethernet0/0/1]display interface 接口 #查看接口状态
2、路由配置
(1)显示路由器的路由
<Huawei>display ip routing-table #显示路由器的路由
<Huawei>display ip routing-table verbos #显示路由表的详细信息
<Huawei>display ip routing-table ACL 编号值 #显示通过ACL编号为某值过滤的激活路由的概要信息
<Huawei>display ip routing-table 目标网络的网络地址 子网掩码 网关 #根据下一跳显示某目的地址的路由
(2)静态路由、默认路由的配置
静态路由指定某一网络访问所需要经过的路径,而默认路由是一种特殊的静态路由,当路由表中与包的目的地址之间没有匹配的表项时,路由器做出选择。
<Huawei>system-view
[Huawei]ip routing-static 0.0.0.0 0.0.0.0 默认网关地址 #配置默认路由,从而简化配置,提高网络性能
[Huawei]ip routing-static 目标网络的网络地址 子网掩码 网关 #配置静态路由,其中网关处的IP地址说明了路由下一站
(3)向当前路由表中添加一条新的路由表条目
[Huawei]route add 210.43.230.33 mask 255.255.255.224 202.103.123.7 metric 5
#设定一个到目的网络210.43.230.33的路由,中间经过5个路由器网段,首先经过本地网络上的一个路由器IP为202.103.123.7,子网掩码为255.255.255.224
3、静态路由的扩展配置
4、DHCP(动态主机配置协议)
动态主机配置协议是基于BOOTP上的改进所来的主机配置协议,通过该协议,DHCP服务器为DHCP客户端进行动态IP地址分配,即不必指明DHCP服务器的IP地址就能获得DHCP服务。
<Huawei>system-view
[Huawei]dhcp option template template1 #设置分配的分配的启动配置文件
[Huawei-dhcp-option-template-template1]gateway-list 网关地址 #配置网关地址
[Huawei-dhcp-option-template-template1]bootfile configuration.ini #获取配置文件
[Huawei-dhcp-option-template-template1]next-server 配置文件地址 #配置获取配置文件地址
一些相关配置:
#更改IP地址的租用时间。(一般不改)
[Huawei-ip-pool-aa]lease day 0 hour 20
#通过地址绑定的方式实现:固定IP。
[Huawei-ip-pool-aa]static-bind ip-address 10.1.1.100 mac-address 5489-986E-7237
#查看DHCP地址池分配IP地址的记录。
[Huawei]dis ip pool name aa used
PC>ipconfig / release:释放IP地址。
PC>ipconfig / renew :重新获取IP地址
#将部分IP地址排出地址池,用于静态IP配置
[Huawei-ip-pool-aa]excluded-ip-address 10.1.1.120 10.1.1.200
#重置分配IP:
reset ip pool name aa used.
#查看:
dis ip pool name aa
(一)全局模式的DHCP命令
[Huawei]dhcp enable
[Huawei]ip pool HUAWEI #创建全局地址池,pool后跟名称,这里是HUAWEI
[Huawei-ip-pool-HUAWEI]network ip地址 mask 子网掩码 #设置全局地址池的范围
[Huawei-ip-pool-HUAWEI]gateway-list 网关地址 #设置分配的网关地址
[Huawei-ip-pool-HUAWEI]excluded-ip-address ip地址 ip地址 #设置不参与动态分配的地址,可以是一个范围
[Huawei-ip-pool-HUAWEI]dhcp server dns-list 主要DNS 备用DNS #设置DNS
[Huawei-ip-pool-HUAWEI]lease day 天 hour 时 minute 分 #设置地址池ip租用有效期
[Huawei-ip-pool-HUAWEI]lease unlimited #租期无限制
[Huawei-ip-pool-HUAWEI]static-bind ip-address ip地址 mac-address MAC地址 option- template template1 #对某个MAC地址进行绑定,给该MAC地址分配固定的IP地址
[Huawei]int g0/0/1 #进入相关接口
[Huawei-GigabitEthernet0/0/1]dhcp select global #指定该接口采用全局地址池为客户端分配ip地址
<Huawei>dis ip pool name 全局地址池名称 all #查看全局地址池的分配信息
(二)接口模式的DHCP命令
[Huawei]dhcp enable #开启DHCP配置功能
[Huawei]int g0/0/1 #进入相关接口进行接口模式的DHCP配置
[Huawei-GigabitEthernet0/0/1]ip address ip地址 子网掩码
[Huawei-GigabitEthernet0/0/1]dhcp select interface #开启接口的DHCP功能
[Huawei-GigabitEthernet0/0/1]dhcp server excluded-ip-address #单个要排除的ip地址或两个ip地址即范围
[Huawei-GigabitEthernet0/0/1]dhcp server lease day 天 hour 时 minute 分 #设置地址池ip租用有效期
[Huawei- GigabitEthernet0/0/1]lease unlimited #租期无限制
[Huawei-GigabitEthernet0/0/1]dhcp server dns-list 主要DNS 备用DNS #设置DNS
[Huawei-GigabitEthernet0/0/1]dhcp select interface #开启接口的DHCP功能使其从接口地址池分配地址
接口模式配置DHCP不需要配置IP地址池(即IP pool),否则会提示端口的IP地址已被全局地址池分配出错
5、单臂路由(实现vlan互通)
[Huawei]int g0/0/0.1 #将某一端口分为子端口
[Huawei-GigabitEthernet0/0/0.1]:ip address IP地址 子网掩码 #为子端口分配IP
[Huawei-GigabitEthernet0/0/0.1]:dotlq termination vid 2 #将其打为vlan2的包
[Huawei-GigabitEthernet0/0/0.1]:arp broadcast enable #开启子接口的ARP 广播功能
6、动态路由
动态路由协议: 在所有路由器上允许相同的一种动态协议算法,然后路由器间协商沟通计算到达所有未知网段的最佳路径,然后将这些路由加载于本地的路由表中;实现完全可达,当拓扑结构发生变化后,路由器间将继续沟通计算生成新的路由表来实现实施的收敛;
动态协议的缺点:
1、路由器间沟通,协商,本地计算均需要消耗硬件资源
2、攻击者可以利用动态协议算法,发起网络攻击来威胁整个网络的安全
3、路由条目是由协议计算生成,在特定环境中可能出现计算错误,严重将导致网络瘫痪
实际工作中,简单的小型网络建议使用静态路由;较复杂的中大型网络建议使用动态;
动态路由协议:RIP OSPF ISIS BGP EBGP EIGRP IGPRP…
基于AS进行分类: AS-自治系统 0-65535 其中1-64511公有 64512-65535私有
IGP:内部网关路由协议
EGP:外部网关路由协议
IGP协议的分类:
1)基于更新时是否携带子网掩码
有类别 — 更新时不携带子网掩码,按主类别掩码进行匹配
无类别 — 更新时携带具体的子网掩码
2)根据工作特点进行分类
DV–距离矢量—RIP EIGRP
LS–链路状态— OSPF ISIS
RIP(路由信息协议)
标准的距离矢量型IGP协议;使用跳数作为度量,默认优先级为100;
V1有类别版本、V2无类别版本 基于UDP520端口 周期更新+触发更新;
在rip协议中周期更新的作用 — 保活(周期与邻居打招呼)、无确认机制
V1和V2的区别:
1、V1不携带子网掩码–不支持子网划分、子网汇总
V2携带子网掩码–支持子网划分、子网汇总
2、V1广播更新–255.255.255.255 V2组播更新 --224.0.0.9
3、V2支持手工认证 – 保障更新安全
RIP的破环机制:
1、水平分割 – 从此口入不从此口出 可避免重复更新,直连拓扑防环
2、触发更新—毒性逆转水平分割
3、最大跳数 – 15跳 16跳不可达
4、抑制计时器
基础配置:
[r1]rip 1 #启动时,可以定义进程号;仅具有本地意义;默认为进程1;
[r1-rip-1]
[r1-rip-1]version 2 #选择版本,此处选择版本2;
#宣告:RIP必须宣告主类 1、激活--可选中接口可以收发RIP的信息 2、路由-被选中接口的网段信息可以共享给本地的其他邻居
[r1-rip-1]network 1.0.0.0
[r1-rip-1]network 12.0.0.0
#注:整个网络所有设备需要选择相同的版本号;
扩展配置:
1、RIPV2手工认证
- 在邻居间设计身份核实的秘钥,以及对传输的路由信息进行加密
保障了更新的安全性
在与邻居直连的接口上配置即可
[r1]interface g0/0/1
[r1-GigabitEthernet0/0/1]rip authentication-mode md5 usual 123456
#切记:邻居的间秘钥必须完整一致;
2、RIPV2手工汇总
- 在更新源路由器上,所有更新发出的接口上配置汇总即可
[r2]interface g0/0/1
[r2-GigabitEthernet0/0/1]rip summary-address 2.2.2.0 255.255.254.0
3、沉默接口
- 用于路由器被宣告在rip中的,连接终端的接口;被沉默后将不再周期发送rip信息;切记不能配置于连接其他邻居的骨干接口;
[r1] rip
[r1-rip-1]silent-interface GigabitEthernet 0/0/0
4、加快收敛
- RIP 计时器 30s更新时间 180s失效时间 180s抑制时间 300s刷新
通告改小设备的计时器可以适当的加快协议收敛速度;修改时建议维持原有的倍数关系;且不易修改的过小;
[r1]rip
[r1-rip-1]timers rip 15 90 150 注:一旦修改全网设备需要一致;
5、缺省路由
- 边界路由器(连接ISP的路由器)上定义缺省源头信息后,将自动向内网发布通告,使得内部所有路由器自动产生缺省路由指向边界路由器;若边界路由器需要缺省路由指向ISP,只能静态手工添加;
[r3]rip
[r3-rip-1]default-route originate
7、OSPF(开放最短路径优先)
Open Shortest Path First,开放最短路径优先
特点:
- 无路由自环
- 使用带宽作为测量值
- 收敛速度快
- 通过分区实现高效网络管理
[Huawei]router id 1.1.1.1 # 设置路由器身份编号(设为环回接口的ip)
[Huawei]reset ospf process #需要重启OSPF才会重新选举Router-ID
[Huawei]ospf 1 # 设置ospf进程号为1
[Huawei-ospf-1]area 0 # 设置ospf的区域0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network IP地址 反掩码
[Huawei]int g0/0/0 #进入区域中的端口
[Huawei -GigabitEthernet0/0/0]ospf dr-priority 100 #级别越高越优先为DR
[Huawei]reset ospf process #重启OSPF
(1)OSPF的数据包
hello包 — 周期收发,来确定hello存活 – keeplive保活 携带router-id
DBD -数据库描述 --本地的LS数据库所有信息的目录
LSR链路状态请求 – 用于向对端询问
LSU -链路状态更新 – 携带LSA 具体的信息
LSack–链路状态确认
(2)OSPF的状态机
Down 一旦接收到对端的hello包,进入下一个状态机
Init 初始化 接收到对端的hello,且该包中存在本端的RID,进入下个状态
2way 双向通讯 邻居关系建立的标志
条件:
Exstart 预启动 使用不携带数据库目标信息的DBD包进行主从关系的选举,RID数值大为主,优先进入下一个状态机
Exchange 准交换 使用携带数据库目录的DBD包进行目录共享
Loading 加载 查看完对端的DBD目录后,基于本地未知的LSA;使用LSR向对端查询,对端使用LSU来进行LSA内容的共享应答;本端收到LSA后,需要使用LSack来进行确认;
Full 转发 邻接(毗邻)关系建立的标志
(3)OSPF的工作过程
ospf协议启动配置完成后,邻居间收发hello包认识对端,建立邻居关系,生成邻居表;
邻居关系建立后,将进行条件匹配;匹配失败将维持邻居关系,仅hello包周期保活即可;
条件匹配的邻居将进一步发展为邻接关系;过程中使用DBD交互数据库目录,使用LSR/LSU/LSack来获取本地未知的LSA信息;完成数据库表的同步;
之后本地基于本地完整的数据库,生成有向图,再将有向图转换为最短路径树,之后以本地为起点计算到达所有未知网段的最短路径,然后将其加载本地的路由表中;
收敛完成;之后每10s,邻居或邻接间周期使用hello包保活即可;每30min邻接关系周期比对一次数据库目录,查漏补缺;
拓扑结构突变:
1、新增网段
2、断开网段
3、无法沟通
(4)OSPF的基础配置
[r1]ospf 1 router-id 1.1.1.1 启动时,可以定义进程号,默认为1;仅具有本地意义;还可以定义RID;
[r1-ospf-1]
RID:使用IPV4作为,全网需要唯一;手工配置–环回接口ip地址数值最大–物理接口数值最大
宣告:1、激活 2、共享该接口信息 3、区域划分
[r1-ospf-1]area 0
[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[r1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255
区域划分规则:
1、星型结构 — 中心骨干区域为编号0,大于0为非骨干区域,所有非骨干必须连接到骨干
2、必须存在ABR – 区域边界路由器
8、ACL(访问控制列表)
ACL是一种基于网络层的安全技术,用于控制网络中的数据流,实现网络资源的安全管理。
ACL两种作用:
- 用来对数据包做访问控制(丢弃或者放行)
- 结合其他协议,用来匹配范围
- 读取第三层、第四层包头信息
- 根据预先定义好的规则对包进行过滤
(1)访问控制列表利用这4个元素定义的规则
-
IP报头:源地址、目的地址
-
TCP报头:源端口、目的端口
-
ACL工作原理:当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理。
(2)ACL种类:
-
基本ACL(2000-2999):只能匹配源ip地址
-
高级ACL(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。
-
二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则。
(3)ACL的应用规则
基本ACL,尽量用在靠近目的点
高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
应用规则:
- 一个接口的同一个方向,只能调用一个ACL
- 一个ACL里面可以用多个rule规则,按照规则ID从小到大排序,从上往下依次执行
- 数据包一旦被某rule匹配,就不再继续向下匹配
- 用来做数据包访问控制时,默认隐含放过所有(华为设备)
[HUAWEI] ACL number 2000 #创建ACL2000列表
[HUAWEI-ACL-basic-2000] rule 5 deny source 192.168.1.1 0 #拒绝源地址为192.168.1.1的流量,0代表仅此一台为反子网掩码,5是这条规则的序号(可不加)
[HUAWEI] interface GigabitEtherent 0/0/1
[Huawei-GigabitEtherent0/0/1] ip address 192.168.2.254 24
[Huawei-GigabitEtherent0/0/1]] traffic-filter outbound ACL 2000 #接口出方向调用ACL 2000,outbound代表出方向,inbound代表进入方向
[Huawei-GigabitEtherent0/0/1]] undo sh
[HUAWEI] ACL number 2001 #进入ACL 1001列表
[HUAWEI-ACL-basic-2001] rule permit source 192.168.1.0 0.0.0.255 #permit代表允许,source代表来源,掩码部分为反掩码
[HUAWEI-ACL-basic-3001] rule deny source any #拒绝所有访问,any代表所有0.0.0.0 255.255.255.255 或者rule deny
[Huawei] interface GigabitEtherent 0/0/1 #进入出口接口
[Huawei-GigabitEtherent0/0/1] ip address 192.168.2.254 24
[Huawei-GigabitEtherent0/0/1] traffic-filter outbound ACL 2001
[HUAWEI] ACL number 3000 #拒绝tcp为高级控制,所以3000起
[Huawei-ACL-adv-3000] rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1.0 #拒绝ping
[Huawei-ACL-adv-3000] rule permit source 192.168.1.3 0 destination 192.168.3.1 0 destination -port eq 80
(4)Telnet 远程登录
基于TCP的23号端口进行访问; 要求登录与被动设备可达,其次被登录设备开启了远程登录的服务
在被登录设备上预设登录的账号及密码
[R1]aaa
[R1-aaa]local-user panxi privilege level 15 password cipher 123456
[R1-aaa]local-user panxi service-type telnet
[R1]user-interface vty 0 4 虚拟登录接口调用
[R1-ui-vty0-4]authentication-mode aaa
8、NAT(网络地址转换)
NAT是一种将私有地址转换为公有地址的技术,是一种解决IP地址不足的技术。
分类:
1、静态 动态
2、一对一 一对多 多对多 端口映射
配置命令: 在边界路由器上,连接外部的接口上配置;
一对多
将多个私有ip地址转换为同一个公有ip地址,基于端口号进行区分;故又被成为PAT-端口地址转换;属于一种动态的nat;
缺点:
1)1ms内最多同时进行65535个数据包的地址转换,超过该数据包量需要排队增加延时;
2)由于一对多是内部多个ip地址与外部的一个ip产生临时的映射关系,故只能内部向外进行数据请求后,产生映射记录,才能让外部服务端基于该记录进行应答–内部的服务器无法为外部的设备提供服务
[r2]acl 2000 先使用acl定义可被转换的私有ip地址范围
[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[r2-acl-basic-2000]q
[r2]interface g0/0/2 再在边界路由器连接外部的接口上配置一多对
[r2-GigabitEthernet0/0/2]nat outbound 2000 acl表格2000中关联ip流量,在通过该接口转出时修改其源ip地址为该物理接口(g0/0/2)的ip地址,并产生临时的映射列表,用于数据包的回复;
一多一
标准的一种静态nat,固定将一个ip地址转换为另一个ip地址
在边界路由器上连接外部的接口进行配置,华为要求一多一的公有ip地址,不能为外部接口上实际配置的ip地址;
[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.2
公有ip地址12.1.1.3与私有ip地址192.168.1.2 进行静态转换
端口映射
属于静态nat;仅用于一个ip地址的一个固定端口与另一个ip地址的一个固定端口进行地址转换
当外部访问本地G0/0/2的ip地址,且目标端口号为80时,将目标ip地址转换为192.168.1.2的80端口;
[r2-GigabitEthernet0/0/2]nat static protocol tcp global current-interface 80 inside 192.168.1.2 80
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
[r2-GigabitEthernet0/0/2]nat static protocol tcp global current-interface 8888 inside 192.168.1.3 80
当外部设备访问g0/0/2的接口ip地址时,且目标端口号8888,那么将被转换为192.168.1.3的80端口;
多对多
将多个私有ip地址转换为多个公有ip地址
先使用ACL定义私有ip地址范围
[r2]acl 2005
[r2-acl-basic-2005]rule permit source 172.16.0.0 0.0.255.255
[r2-acl-basic-2005]q
再设定公有ip地址范围
[r2]nat address-group 1 12.1.1.3 12.1.1.10 从12.1.1.3到10
最后到边界路由器上,连接外网的接口上进行多对多的配置;
[r2-GigabitEthernet0/0/2]nat outbound 2005 address-group 1
注:以上的配置命令,实现的效果为,172.16.0.0 0.0.255.255范围内所有的私有ip地址进入边界路由器,向外部访问时,将以65535个端口为批次循环使用12.1.1.3到12.1.1.10的所有公有ip地址;
实则为同时多个一对多;
若在命令的尾部添加no-pat指令,多对多将从动态nat变成静态nat
[r2-GigabitEthernet0/0/2]nat outbound 2005 address-group 1 no-pat
增加no-pat后,最先来的边界的路由器的ip地址,将逐一与边界的公有ip地址进行一对一的绑定;当所有公有ip被绑定完后,其他私有地址将无法再被转发;
附:路由+Vlan的DHCP配置
- 首先看情况分配各设备IP,如果用三层交换机的vlan作网关的话还需要在vlan配置IP
- 做好ip pool的全局配置,有几个vlan就做几个ip pool
(1)三层交换机vlan配IP作网关
交换机:
vlan batch 10 20 100 #生成VLAN并配置端口类型 access trunk
interface Vlanif100
ip address 10.10.100.1 255.255.255.0 #添加IP
dhcp enable #打开DHCP
interface Vlanif10 #进入vlanif 10
ip address 10.10.10.2 255.255.255.0 #添加IP
dhcp select relay #选择relay(中继)模式
dhcp relay server-ip 10.10.100.2 #添加路由器的IP地址
interface Vlanif20 #进入vlanif 20
ip address 10.10.20.2 255.255.255.0 #添加IP
dhcp select relay #选选择relay(中继)模式
dhcp relay server-ip 10.10.100.2 #添加路由器的IP地址
路由器:
[Huawei]dhcp enable #在路由器上,开启DHCP功能。
[Huawei]int g0/0/0 ip address 10.10.100.2 #进入与设备相连的接口添加物理IP
[Huawei]ip pool 10 #在路由器上创建IP地址池。
[Huawei-ip-pool-10]network 10.10.100.1 mask 24 #给IP地址池添加IP地址网段。
[Huawei-ip-pool-10]gateway-list 10.10.100.0 #给IP地址池配置网关。
[Huawei-ip-pool-10]dns-list 1.1.1.1 #配置DNS。
[Huawei-GigabitEthernet0/0/0]dhcp select global #选择DHCP配置方式。
[Huawei]ip pool 20 #在路由器上创建IP地址池。
[Huawei-ip-pool-20]network 10.10.20.0 mask 24 #给IP地址池添加IP地址网段。
[Huawei-ip-pool-20]gateway-list 10.10.20.1 #给IP地址池配置网关。
[Huawei-ip-pool-20]dns-list 1.1.1.1 #配置DNS。
[Huawei-GigabitEthernet0/0/0]dhcp select global #选择DHCP配置方式。
(2)路由器配单臂路由,子接口作网关
- 在基础的单臂路由配置完成后,在路由器上做好ip pool的全局配置,有几个vlan就做几个ip pool
- 再在虚拟子接口中启用全局DHCP功能
- 结束