H3CNE培训班周日班笔记（2013年10月）

设备的常用配置

<>用户试图：用来查看调试信息，无法做配置

Dis interfacebrief

Dis briefinterface

Display this（查看当前模式下的配置）

路由表（寻址转发）

Dis iprouting-table

路由技术

静态路由（静态手工配置路由，放到路由表中）

配置静态路由：

Ip route-static 目的网络号目的网络掩码下一跳ip地址

配置远程管理：

user-interface vty0 4

user privilege level 3

set authentication password simple h3c

配置本地用户名密码登入设备：

local-user admin

password simple h3c

service-type telnet

level 3

在vty下面增加一条：

authentication-modescheme

路由跟踪：

Tracert 目的ip地址

优先级值（preference值）：用来衡量路由优先级的参数，范围0-255,0最优先，255为不可达路由，越小越优先。（类似于思科的管理距离）

静态路由pre值为60

直连路由pre值为0

Cost值（度量值）：用来衡量路由优先级的参数，越小越优先，

静态路由cost值为0

（类似于思科的metric值）

Preference值优先于cost值

当路由的所有参数都一样的情况下，则走等价负载均衡（根据百分率来平衡转发）

路由选路原则：

1 掩码越长越优先

2  优先级值越小越优先

3  cost值越小越优先

静态明细路由

静态默认路由：利用通配符来匹配目的网络（0.0.0.0/0或0.0.0.0 0.0.0.0）

通过汇总得来

在边界路由器或者末节设备或者到达目的地只有一个方向的设备上配置默认路由

动态路由

通过协议自动学习到路由（放到路由表中）

路由同步（路由表同步）

RIP

基于UDP 的协议，采用UDP端口520

动态路由的防环路机制：

1 水平分割（不向接收数据的方向发送相同的数据）

2 设置最大跳数

3 设置路由中毒，（将路由设置为不可达）

Rip（一种距离矢量路由协议）

根据跳数来判断距离（cost，从而判断最短路径的方向

最大支持15跳

Version 1：有类协议

Version 2：无类协议（发送的路由更新中包含掩码），支持VLSM，不支持超网，支持自动汇总功能（按照类来汇总）

Rip配置：

全局下：

Rip     （启用rip协议）

Version 2  （把rip版本改为2）

Undo summary  （把自动汇总功能关闭）

Network192.168.1.0 （公告本地路由器的网络号）

Network 10.1.1.0

Rip

Version 2

Undo summary

Rip定时器：

1 路由更新定时器30S（每个30s发送一次完整的路由表更新）

2 路由失效定时器180S（当180s之后还未收到一条路由的更新，则认为此路由失效）

3 路由刷新定时器60S（60s之后还未收到此路由的更新，则刷掉此路由）

OSPF（开放最短路径优先协议）

触发更新（无定时器）

更新变化的路由

无环路（有spf算法，最短路径树算法）

支持任意类型的超网

OSPF划分区域（0区域为核心区域/骨干区域/中转区域，其它区域都是常规区域，核心区域和常规区域之间必须相连，否则区域之间无法通讯）

区域相当于地图，相同区域内的数据库同步，不同区域之间通过区域边界路由器（abr）来中转数据。

数据库：保存了一个区域内的所有的合理路径

路由表：数据库里的最优的一条路径放到路由表中，进行数据转发

Ospf的三张表：

1 邻居表（display ospf peer）

2 拓扑表（数据库表，dis ospf lsdb）

3 路由表

任意两台ospf路由器之间建立邻居关系，之后相互同步数据库，之后将数据库中的最优路径放到路由表中进行转发

Ospf五种协议报文

1，hello报文

发现及维持邻居关系，选举DR，BDR

2，DD报文（database  description数据库描述）

本地LSDB的摘要

3，LSR报文（link state request）

向对端请求本端没有或对端的更新的LSA

4，LSU报文（link state undate）

向对方发送其需要的LSA

5，LSAck报文

DR（指定路由器）、BDR（备份指定路由器）

在广播型网络和多路访问网络中，会选举DR和BDR，用来更新拓扑变化

选举DR、BDR：

1 优先级越大越优先，范围：0-255，255最优先，0不参加DR、BDR选举

默认优先级为1

2 router-id 越大越优先

1.本地环回地址loopback越大越优先

2.本地接口地址越大越优先

选举router-id

1 loopback口ip越大越优先

2 接口ip越大越优先

Ospf配置：

Ospf/ospfrouter-id 10.1.1.1    启用ospf进程

Area 0   划分区域

Network192.168.1.0  0.0.0.255

Network192.168.2.0  0.0.0.63

Quit

Area 1

Network 172.16.1.00.0.0.255

配置环回地址：

Int loopback 0

Ip add 10.1.1.1 32

Ospf中增加：

Ospf router-id10.1.1.1

Area 1

Network 10.1.1.10.0.0.0

ACL（访问控制列表）

抓取流量

Acl的两种行为：允许（permit），拒绝（deny）

ACL基于端口来调用

两个方向：inbound、outbound

Acl默认行为为permit any

配置基本的ACL：

Acl number 2000（创建一个基本的访问控制列表2000）

Rule deny source192.168.30.0 0.0.0.255

Rule deny source192.168.40.2 0.0.0.0

Int g1/0/10

Packet-filter 2000inbound/outbound

先匹配的先执行，后匹配的不执行

高级的acl

可以基于源和目的网络来过滤

可以基于单独某个协议来过滤

建议都用高级acl来完成所有的策略（过滤或者抓取流量）

NAT（网络地址转换）

NAT基于路由可达

NAT类型：

静态NAT：一对一

动态NAT：多对多

PAT（端口转换）：多对一

静态NAT：将一个私有IP转换成一个公网ip（地址全映射，端口映射）

动态NAT：将多个地址转换成多个地址（轮询）

PAT：将不同的源ip地址转换成不同的源端口

配置静态NAT全映射：

全局下：nat static 22.22.22.22 （本地内网地址） 202.1.1.10（路由可达的出口公网地址）

int  g0/1（外网出接口）

nat outboundstatic（将静态nat转换调用到出接口上）

端口映射：

Int  g0/1（进入出接口）

nat serverprotocol tcp global 202.1.1.10 80 inside 192.168.22.10 80（当访问202.1.1.10的tcp62233端口的时候映射到内部的192.168.22.10的tcp23端口）

配置动态nat：

全局下：nat address-group 150 202.1.1.1 202.1.1.5（定义公网地址池）

全局下：

acl number 3000

rule permit ipsource 192.168.0.0 0.0.255.255

rule permit ipsource 172.16.1.0 0.0.0.255（全局抓取数据流）

int g0/1（外网接口）

nat outbound 3000address-group 150

（将acl和nat地址池关联起来）

配置PAT：

Nat address-group100 202.1.1.1 202.1.1.1（定义单个公网地址）

Acl number 3100

Rule permit ip source192.168.0.0 0.0.255.255

Int g0/1

Nat outbound 3100address-group 100

交换

交换原理：

1 交换机学习新的MAC地址，存放到mac地址表中，同时将mac地址和端口号绑定

2 转发数据，如果没有目的mac地址，则会进行泛洪查找，如有mac地址，则直接转发。（泛洪：向除了源端口之外的所有的端口发送查询）

VLAN（虚拟局域网）

基于接口来划分的

优点：

终结广播/隔绝广播

一个vlan=一个广播=一个子网/网段

配置VLAN：

全局下：

Vlan 10（创建vlan 10）

Name market（给vlan10起名字叫market）

Description “for-market”

Port  g1/0/1 to g1/0/10  g1/0/15 to g1/0/20  g1/0/22

进入接口，划分进vlan

Int g1/0/1

Port access vlan10（将g1/0/1划分进vlan10）

交换机的批量端口配置：

Port-group manualabc（创建批量端口组abc）

Group-member g0/1to g0/10 g0/20（在端口组abc中添加端口）

Undo shutdown

Port access vlan 5

交换机默认有一个vlan1，所有接口都在vlan1中，vlan1是默认的本征vlan，尽量不用vlan1来走业务，vlan1不能修改不能删除

交换的三种接口类型：

1 access口（访问口，是默认的接口类型，用来承载单个vlan流量的接口）

2 trunk口（中继口，用来承载多个vlan之间流量的接口）

3 hybrid口（混杂口，既可以承载单个vlan也可以承载多个vlan的流量的接口，H3C私有接口）

（1）access口，必定是vlan口，即属于某一个vlan的接口。通常连接终端设备

（2）中继口必定不是vlan口，通常连接交换机路由器等网络设备

配置接口类型：

配置access口，并且划分到vlan中：

Int g0/1

Port link-typeaccess（将接口设置为access口）

Port access vlan10（将接口划分进VLAN10）

Vlan总共4096个

配置trunk口：

Int g0/1

Port link-type trunk（将接口设置为trunk口）

Port trunk permitvlan all/或者

Port trunk permitvlan 10 20

（在turnk口上放行vlan数据）

单臂路由：

路由器用单根链路承载多个vlan之间的流量

单臂路由配置：

1 连接路由器的交换机口配置为trunk口，并且放行vlan，使vlan能通过

2 路由器打开物理接口，并且创建子接口

3 将子接口封装成为能够识别802.1q帧的接口，同时对应内部的vlan号

配置：

交换机接路由器接口：

Int g0/0

Port link-typetrunk

Port trunk permitvlan all

路由器：

Int g0/0

Undo shutdown（将连接交换机的物理口开启）

Int g0/0.1

Vlan-type dot1q 10（配置子接口对应的vlan号为10）

Ip add192.168.10.1 24

Int g0/0.2

Vlan-type dot1q 20

Ip add192.168.20.1 24