eNSP 网络基础配置命令总结
目录
一、eNSP配置命令
<Huawei> 不同模式具有不同权限
<Huawei> 第一级模式 该模式可查看所有设备参数
<Huawei> system-view 键入系统命令
[Huawei] 第二级模式 该模式用于管理设备
第三级模式为各种专用配置模式: [Huawei---???]
[Huawei]interface GigabitEthernet 0/0/0 进入某个特定的接口配置IP地址 在配置IP地址时, 子网掩码可以使用简写
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.10 24
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.10 255.255.255.0
注:这里的子网掩码俩种都可以使用
[Huawei]display ip interface brief 查看接口摘要
<r1>save
...... y 保存命令
帮助系统:
?查看该模式或该单词后面可以配置的命令及注解
tab键 自动补全一个单词
二、静态路由配置命令
<r1> display ip routing-table 查看路由器路由表的指令[r1] ip route-static 192.168.3.0 24 192.168.2.2 目标网段 下一跳[r1] display ip routing-table protocol static 查看路由表中通过静态写的路由[r1] undo ip route-static 192.168.3.0 255.255.255.0 192.168.2.2 —删除静态路由指令拓展配置:1、环回接口:测试 ,逻辑接口,并不真实存在作用:模拟一个网段[r1] interface LoopBack ?<0-1023> LoopBack interface number2.缺省路由缺省和黑洞相遇100%成环[r1] ip route-static 0.0.0.0 0 12.0.0.2 —代表所有IP访问互联网3.空接口:NULL 0[r1] ip route-static 192.168.0.0 22 NULL 0 —做法,在黑洞路由器上配置一条去往汇总网段的
三、DHCP配置命令
将路由器配置为DHCP服务器的命令
[Huawei]dhcp enable 首先设备整体开启dhcp 服务
[Huawei]ip pool wangcai 创建名为wangci的dhcp池塘,名字自取;但一台设备上可以创建多个池塘,不过一个池塘只能为一个广播域服务;
[Huawei-ip-pool-wangcai]network 192 168.1.0 mask24 关联接口;定义地址范围
[Huawei-ip-pool-wangcai]gateway-list192.168.1.1 该网段网关ip地址
[Huawei-ip-pool-wangcai]dns-list192.168.2.10 该网络的dns服务器地址
[Huawei-ip-pool-wangcai]quit 退出
切记:华为设备在配置完池塘后,必须到路由器分配ip地址的接口上再开启对应的服务
[Huawei]interface g 0/0/0
[Huawei-GigabitEthernet0/0/0]dhcp select global
PC>ipconfig
<R1>display current-configuration —查看设备所做的所有
四、RIP协议配置命令
1、RIPV1的配置
[r1]rip 1 启动,启动时可以定义进程号,进程号仅具有本地意义;若不定义默认为1
[r1-rip-1]version 1 选择版本1;
宣告:RIP只能宣告主类网段号
[r1-rip-1]network 1.0.0.0
[r1-rip-1]network 12.0.0.0
2、RIP的扩展配置
2.1、RIPV2的手工汇总
在更新源路由器上,所有更新发出的接口上进行汇总配置即可
[r1]int g 0/0/0
[r1-GigabitEthernet0/0/0]rip summary-address 1.1.0.0 255.255.252.0
2.2、RIPV2的认证
在邻居间进行身份的核实,已经路由器信息加密;用于保障邻居间共享信息的安全性
[r2]int g 0/0/1
[r2-GigabitEthernet0/0/1]ip authentication-more md5 usual cipher 123456
2.3、沉默接口
[r1]rip
[r1-rip-1]silent-interface GigabitEtherne0/0/2 该接口是这台路由器上连接PC终端的接口
2.4、加快收敛;
[r1]rip
[r1-rip-1]timers rip 15 90 150
更新 失效 刷新
注:若进行了计时器修改,全网所有运行 RIP 协议的路由器建议修改的一致;
2.5、缺省路由
[r3]rip
[r3-rip-1]default-route originate 缺省路由源头
注:此时边界路由器上自身没有缺省路由,若需要生成指向ISP 的缺省路由,需要手工静态编写;
五、OSPF配置命令
[r1]ospf 1 router-id 1.1.1.1
进程号,默认为1 手工配置
配置共三步
1) 划分区域 2) 激活接口 3) 共享接口信息
[r1-ospf-1]area 0 0 为区域号
[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[r1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255
OSPF 在宣告时,需要使用反掩码来进行范围的选定:
[r3-ospf-1]area 1
[r3-ospf-1-area-0.0.0.1]network 23.1.1.2 0.0.0.0
[r2]display ospf peer 查看邻居表
[r2]display ospf peer brief 查看邻居表摘要
[r2]display ospf lsdb 查看OSPF本地数据库目录
[r3]display ip routing-table protocol ospf 查看路由表中关于 odpf协议的路由
[r1]ospf 1
[r1-ospf-1]bandwidth-reference ?
INTEGER<1-2147483648> The reference bandwidth (Mbits/s)
[r1-ospf-1]bandwidth-reference 1000 修改设备的参考带宽,若修改全网的所有设备均修改为一致
ospf的拓展配置
1) DR/BDR选举--ospf 邻居间是否可以建立成为邻接关系
选举规则:
1、先比较参选接口的优先级,默认为 1;取值范围 0-255,越大越优2、若优先级相同,比较 RID, 数值大优
[r1]int g0/0/2
[r1-GigabitEthernet0/0/2]ospf dr-priority 3 进人参选接口修改优先级
2、DR 选举非抢占,故修改优先级后,必须重启所有参选设备的 ospf 协议才能重新选择:
<r1>reset ospf process
Warning: The OSPF process will be reset. Continue? Y/NJ:y
3、若将接口优先级修改为 0,将自动放弃选举,即便现在为 DR 也会放角色
[r1-GigabitEthernet0/0/2]ospf dr-priority 0 不参选
2) 手工认证 --直连的邻居或邻接关系间,进行安全加密
[r1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456
邻居间认证,模式,秘钥编号,密码必须一致
3) 手工汇总
由 OSPF 协议在同一区城内邻居间相互传递的是拓扑物理信息,该信息不可被修改,故 ospf 协议不支持接口汇总;仅能在 ABR 交互区城间计算所有路由条目时进行区域间汇总;
[r2]ospf 1
[r2-ospf-1]area 0 路由条目的源头区城-
[ospf-1-area-0.0.0.0]abr-summary 1.1.0.0 255.255.252.0
只能在 ABR上进行配置
4) 沉默接口
用于连接 PC 用户的接口,仅接收不发送 OSPF 信息,千万不能用于连接邻居的接口,否则邻居间将无法沟通
[R1]ospf 1
[r1-ospf-1]silent-interface GigabitEthernet 0/0/2
5) 缺省路由
边界路由器上配置后将向内部所有运行 OSPF 协议的路由发送缺省路由使得内部所有运行 OSPF 的路由器生成缺省路由指向边界路由器;若边界路由器本地需要指向 isp 的缺省路由,必须管理员手配静态缺省
[r3]ospf 1
[r3-ospf-1]default-route-advertise always
六、vlan配置命令
1、创建 vlanVLAN 编号 0-4095 其中 1-4094 可用 默认存在 van1,且默认所有接口屈于 vlan1
[sw1]vlan 2
[sw1-vlan2]q
[sw1]vlan batch 4 to 100 批量创建
[sw1]undo vlan batch 2 to 100
2、接口划分到VLAN中
[sw1]interface GigabitEthernet 0/0/1
[sw1-GigabitEthernet0/0/1]port link-type access 先将接口修改为接入模式
[sw1-port-group-default]port default vlan 2 在将接口划分到VLAN2中
批量划分
[sw1]port-group group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/4
[sw1-port-group]port link-type access
[sw1-port-group]port default vlan 3
3、trunk 干道
[sw1]int g 0/0/5
[sw1-GigabitEthernet0/0/5]port link-type trunk 先将接口改为trunk模式
[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3 在定义trunk干道可以识别的流量有哪些,默认仅允许VLAN1
[sw2-port-group-link-flap]port trunk allow-pass vlan all 允许所有VLAN通过该trunk干道
4、VLAN间路由--路由子接口--单臂路由
[router]int g 0/0/0.1 创建子接口 默认子接口为开启ARP功能
[router-GigabitEthernet0/0/0.1]dot1q termination vid 2 定义其负责的vlan
[router-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24 网关VLAN
[router-GigabitEthernet0/0/0.1]arp broadcast enable 手动开启ARP功能
[router-GigabitEthernet0/0/0.1]q
七、ACL配置命令
[r2]acl2000 启动ACL ; 2000-2999 范围为标准列表使用,
permit允许 deny拒绝
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0
[r2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255
[r2-acl-basic-2000]rule permit source 192.168.3.0 0.255.0.255
[r2-acl-basic-2000]rule deny source any
[r2]display acl 2000 查看表中记录
Basic ACL 2000,4 rulesAcl's step is 5
rule 5 deny source 192.168.1.3 0
rule 10 deny source 192.168.2.0 0.0.0.255
rule 15 deny
rule 20 permit source 192.0.3.0 0.255.0.255自动以5为步调增加序列号;便于删除和插入
[r2-acl-basic-2000]undo rule 10 删除
[r2-acl-basic-2000]rule 3 permit source 192.168.1.2 0 加入
调用:
注意: ACL 在编写完成后,必须在路由器接口上实际调用方可生效,切记一个接口的单一方向只能调用一张表
[r2-GigabitEthernet0/0/1]traffic-filter ?
inbound Apply ACL to the inbound direction of the interface
outbound Apply ACL to the outbound direction of the interface
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001
二、扩展 ACL的配置 由于扩展 ACL 回精确的匹配目标 IP地址,故不存在误删流量的情况,调用时尽量靠近源头,避免对资源的占用;
1) 仅关注源、目标ip 地址的扩展 ACL
[R1]acI 3000 3000-3999 扩展配置
[R1-acl-adv-3000]rule deny ip source 192.168.1.3 0 destination 192.168.3.3 0
源IP 目标IP
源、目IP地址处,均可使用通配符来匹配范围或具体IP,或使用any
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 接口调用
2)关注源、目标p 地址以及目标端口
Ping-->ICMP internet 控制管理协议
Telnet -- 远程登录 基于TCP的23号端口工作,可用于终端设备服务设备的远程登录管理
远程的条件:
1、终端与服务端间可达
2、服务端开启远程登录功能
[R1]aaa
[R1-aaa]local-user panxi privilege level 15(超级管理员) password cipher 123456
账号 权限 密码
[R1-aaa]local-user panxi service-type telnet
账号 功能
之后在管理接口上调用认证模式为 aaa 审计
[R1]user-interface vty 0 4(虚拟管理接口)(5个账号可以同时尽量)
[R1-ui-vty0-4]authentication-mode aaa
基于目标端口号的ACL配置命令
[R1-acl-adv-3001]rule deny tcp source 192.168.1.5 0 destination 192.168.1.1 0 destination-port eq 23 协议 TCP 源IP 目标IP
目标端口
以上命令的意义,在于拒绝了源 192.168.1.5 对目标 192.168.1.1 的 tcp下目标端口23 访问,及拒 telnet登录;
[R1-acl-adv-3002]rule deny icmp source 192.168.1.5 0 destination 192.168.1.1 0
协议 源ip 目标IP
以上命令意义,为拒绝源 192.168.1.5 对目标 192.168.1.1 的cmp 访问,及拒绝了 ping
不用写端口号
八、NAT配置命令
所有的nat配置地点为边界路由器外侧接口
(1)一对一配置:静态nat在边界路由器上固定的将一个IP地址与另一个IP地址绑定转换;
注:华为设备配置一对一时,不能使用边间路由器外侧接口实际配置的IP地址,而是需要重新申请公有IP,在nat配置过程中,实现漂浮地址
[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.2
公有 私有
(2)一对多配置:最常见的nat一种,也被华为系称为最简单的nat,将多个i盘地址转换为同一个IP地址,为了实现多个IP地址同时转换以个IP地址,需要基于数据包中的端口号进行区分,故一对多又被称为pat-端口地址转换
先使用 ACL 定义感兴趣流量,及可以被实现转换的私有 ip 地址范围;
[r2]acI 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[r2-ac-basic-2000]q
再在边界路由器连接外侧的接口上调用 nat 中关联 ACL 即可
[r2]int g0/0/2
[r2-GigabitEthernet0/0/2]nat outbound 2000
(3) 端口映射:将公有IP的某一个端口固定分配给内部的某一个私有IP地址的端口号
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.2 80
将配置命令所在接口的IP地址的80端口与内部私有的192.168.1.2的80端口号进行绑定映射
Warning:The port 80 is well-known port. lf you continue it may cause function failureAre you sure to continue?Y/N]:y
[R2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8888 i
nside 192.168.1.3 80
将该命令所在的接口公有IP地址8888端口固定映射给192.168.1.3的80端口--外部访12.1.1.1的8888端口时被转换为192.168.1.3的80端口
(4)多对多:将多个IP地址与多个公有IP地址进行映射绑定
先采用ACL定义可以被转换的私有IP地址
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
在定义可以被被转换的公有IP地址范围
[R1]nat address-group 1 12.1.1.3 12.1.1.10
12.1.1.3 至12.1.1.10 一共有8个IP地址
最后在边界路由器上链接外侧接口进行nat配置
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
no-pat 增加一个no-pat指令
直接回车确认
切记: 若不配置 no-pat,那么 192.168.1.0/24 范围的所有 p 与12.1.1.3 到 121.1.10 的公有地址之间为一对多规则:
若配置了 no-pat,那么最新出来 8 个私有 ip 地址与2.1.1.3 到 12.1.1.10 逐一形成一对一的静态关系