hcna笔记数通方向Word格式文档下载.docx
《hcna笔记数通方向Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《hcna笔记数通方向Word格式文档下载.docx(9页珍藏版)》请在冰豆网上搜索。
1-2双向2-1双向
displayversion查看路由器基本信息displayinterfaceGigabitEthernet0/0/0查看接口状态信息displayipinterfacebrief查看全部接口的IP简要信息。
含IP地址displayiprouting-table查看路由表displaycurrent-configuration查看当前的配置(内存中)displaysaved-configuration查看保存的配置(Flash中)dirflash:
查看Flash中的文件save保存配置文件reboot重新启动设备
telnet实验(参照上面命令)3A认证(不同用户不同password)user-interfacevty04authentication-modeaaa;
差别passworduserprivilegelevel15aaalocal-useradminpasswordcipherhuawei;
建用户并给passwordlocal-useradminprivilegelevel15local-useradminservice-typetelnet;
类型
telnet登录后使用disusers可查看当前登录用户
抓包能够分析出telnet的password“FollowTCPStream”
文件系统基础
cd改变文件夹
more查看文件内容
copy复制copyflash:
/(拷贝根文件夹“需加flash”下的配置文件到当前文件夹)
move移动
delete删除
rename改名
undelete恢复回收站的文件
pwd显示路径
mkdir创建文件夹
rmdir删除文件夹
format格式化
fixdisk修复文件系统
save生成
displaysaved显示保存配置
displaycur显示当前配置
resetsaved删除保存配置+reboot第一次N ========== 设备复位
compareconfiguration比较配置文件差别
删除/永久删除文件delete/unreserved(dir/all可查看回收站的文件)恢复删除的文件undelete彻底删除回收站中的文件resetrecycle-bin
载入不同的配置文件disstartup。
查看开机信息,当中有载入配置文件的路径startupsaved-configurationflash:
/;
更改启动配置文件
比较当前配置与下次启动的配置?
compareconfiguration
系统管理
(1)
路由器做为client:
ftp(FTPserver地址)
get下载文件到ftp?
put上传文件到ftp
系统管理
(2)
第二章 静态路由
路由原理、静态路由基本配置
路由的来源:
直连路由:
链路层发现的路由(direct)管理员手工增加:
静态路由(static)路由器协议学到的路由:
动态路由(ospfrip)
静态路由特点:
优:
实现简单,精确控制,不占资源
缺:
不适用大型网络,网络变更须要手动改
disiprouting-table;
查看路由表,直连11条
9.静态路由深入分析优先级pre:
直连最大0----OSPF---静态度量值cost:
同一路由下。
选择最小开销(多因素)的路径
以上参数。
值越小,优先级越高
匹配原则:
目的地址和路由表的掩码做与。
再比较路由中的“目的地址”---优先挑掩码大的做匹配
下一跳写法:
点对点:
能够省略下一跳;
以太网:
能够省略出接口;
disfib;
终于采纳的路由表
递归查询(带R标志):
经过中间多次查询。
终于到达目的地址
10.负载分担、路由备份
双线路负载(2条线路同一时候工作):
平时2条静态方向不同的路由表,能够达到负载的作用;
浮动路由(路由备份,平时仅仅有一条线路工作):
通过当中一条设置成低优先级(增加路由时加preference)的路由,变成浮动(路由表中看不到),出问题才出现
第三章 RIP
11.动态路由协议基础
常见的动态路由协议有:
RIP:
RoutingInformationProtocol。
路由信息协议。
OSPF:
OpenShortestPathFirst。
开放式最短路径优先。
ISIS:
IntermediateSystemtoIntermediateSystem,中间系统到中间系统。
BGP:
BorderGatewayProtocol,边界网关协议。
分类:
自治系统内部的路由协议——IGP:
RIPv1/v2、OSPF、ISIS
自治系统之间的路由协议——EGP:
BGP
单播,组播
不同路由协议不能直接互相学习,但能够通过路由引入来导入不同的协议
简介及基本配置
度量值:
跳;
最多不能够超过15跳
2个路由学习时,更新是一个方向。
学回后的路由指向是相反方向
:
UDP:
520port工作在应用层
RIP基本配置
rip1;
进入相关进程?
silent-interfaceGigabitEthernet0/0/0。
静默(关闭)某接口发送
第四章 OSPF
基本原理及基本配置
开放式最短路径优先(OSPF)链路状态路由协议无环路收敛快扩展性好支持认证
OSPF报文封装在IP报文中,协议号为89。
OSPF工作原理:
路由通过LSA泛洪---收集到路由数据库(LSDB)---通过SPF算法---依据自身算出最短路由(交换的不是路由表,而是数据库)
hello报文建立邻居关系---邻接(同步数据库,full状态)
OSPF区域:
分区域为了减小数据大小
disospfpeerbrief;
查看ospf邻居信息
第七章 访问控制列表
35.基本ACL介绍
ACL是用来实现流识别功能的。
ACL(AccessControlList,访问控制列表)是定义好的一组规则的集合,通经常使用于:
标识感兴趣网络流量
过滤经过路由器的数据包
基本ACL:
2000~2999报文的源IP地址高级ACL:
3000~3999报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性等三、四层信息
配置ACL的过程:
实际上就是告诉路由器同意或者拒绝某些数据包
ACL难点:
通配符、语句顺序、方向性
单台:
多台:
样例:
特殊的通配符掩码
ACL顺序匹配:
一但匹配成功,后面的列表将不再检查(比较苛刻的放前面)未命中规则(一条都不匹配):
不同模块处理不一样。
假设是转发模块。
则转发数据包;
假设是telnet模块,则不同意;
假设是路由过滤,不同意路由通过。
PS:
最后一条,96应该是100
acl2000rule………………..intgi0/0/0;
进入相关接口traffic-filterinboundacl2000;
应用到相关接口
disacl2000。
查看?
distraffic-filterapplied-record;
查看接口(方向)应用了哪个列表
36.基本ACL应用案例
禁止telnet:
user-interfacevty04;
进到vtyacl2999inbound。
应用到该接口,和物理接口有差别
ruleprimit;
ACL中加这名是由于,ACL匹配未成功后。
telnet模块。
不同意通过数据包
时间控制:
time-rangework-time9:
0to18:
00working-day6。
定义“work-time”星期一到六acl2001ruledenytime-rangeworktime;
上班时间不同意上网rulepermit
禁止学习某路由表;
rip1。
进到相关rip
filter-policy(过滤策略)2000export;
2000为定义的acl。
export代表向外公布;
import代表我要学习
自己主动让匹配宽松的放前面,苛刻的放后面?
acl2200match-orderauto
37.高级ACL
traffic-filterinboundacl3000;
进入port。
并应用
ACL放置位置
基本ACL尽可能靠近目的?
高级ACL尽可能靠近源
内能够ping外,外不能够ping内(ping分析:
去类型为:
echo回类型为:
echo-reply)aclnumber3000rule5denyicmpicmp-typeechorule10permitiptraffic-filterinboundacl3000
内能够telnet外,外不能够telnet内(tcp三次握手,第一个包不带ack位)rule8permittcptcp-flagack;
放行带ack的rule9denytcp;
拒绝不带ack的
第八章 网络地址转换
38.静态NAT、动态NAT
静态nat和外网地址一一相应,n–n不能降低公网地址;
环回口配置
静态nat配置
动态nat配置
、NATserver
NAPTorPAT(port地址转换):
动态port转换设置同动态NATnatoutbound2000address-group1;
先内后外与动态NAT差别:
no-pat
EasyIP配置(家庭使用,没有固定IP)natoutbound2000;
仅仅指定源IP
port映射
第一十一章 交换基础、VLAN
原理和配置简单vlan配置vlan10。
创建valndisvlandisportvlan;
接口vlan状态inteth0/0/0porttype-linkaccess;
接口类型portdefaultvlan10;
配置
Accessport在收到数据后会增加VLANTag。
VLANID和port的PVID同样。
Accessport在转发数据前会移除VLANTag。
当Trunkport收到帧时,假设该帧不包括Tag,将打上port的PVID;
假设该帧包括Tag,则不改变。
当Trunkport发送帧时。
该帧的VLANID在Trunk的同意发送列表中:
若与port的PVID(trunk2端pvid必须同样,默认是1)同样时。
则剥离Tag发送;
若与port的PVID不同一时候,则直接发送。
vlanbatch102030;
批量10to30(10,11。
12.…………30)
配置Trunkintgi0/0/1portlink-typetrunkporttrunkallow-passvlanall;
同意通过的vlanporttrunkpvidvlan1;
改变pvid,默认是1
disportvlanactive;
查看trunk接口是否打标记,TorU
取消Trunkundoporttrunkallow-passvlanallporttrunkallow-passvlan1portlink-typeaccess
接口
访port能够连不论什么设备
第一十三章 VLAN间路由、VRRP
58.单臂路由实现VLAN间路由
每一个vlan一个物理连接(一条线)交换机与路由2根线(有几个VLAN就有几根线)PS:
缺点交换机端:
该端配置和“客户port”同样路由端:
仅仅需配IP(网关)
单臂路由
将交换机和路由器之间的链路配置为Trunk链路。
而且在路由器上创建子接口以支持VLAN路由。
交换机端:
配置trunk?
59.三层交换实现VLAN间路由
复杂模式:
三层接二层(带管理)
中间设置成trunk,三层也要建和二层相关VLAN。
intvlanif放在三层上。
第一十四章 交换机port技术
63链路聚合(手工模式)
[SWA]interfaceEth-Trunk1[SWA-Eth-Trunk1]interfaceGigabitEthernet0/0/1[SWA-GigabitEthernet0/0/1]eth-trunk1[SWA-GigabitEthernet0/0/1]interfaceGigabitEthernet0/0/2[SWA-GigabitEthernet0/0/2]eth-trunk1
diseth-trunk1;
查看链路
PS:
trunkport下做链路聚合方法:
先做链路聚合,然后在inteth-trunk数字下做Trunk
72.防火墙技术
依照防火墙实现的方式。
一般把防火墙分为例如以下几类:
包过滤防火墙:
简单。
每一个包都要检查。
缺乏灵活性。
策略多影响性能代理型防火墙:
安全,但不方便,针对性强(http代理)。
不通用状态检测防火墙:
基于连接状态,结合以上2种防火墙的长处
仅仅防网络层和传输层。
不防应用层(比方站点漏洞)。
防外不防内;
防火墙的安全区域:
Local(100网网)----Trust(85外网)
-----DMZ(50WEBserver)
高能够访问低,低不能够访问高
配置思路
配置安全区域和安全域间。
将接口增加安全区域。
配置ACL。
在安全域间配置基于ACL的包过滤。
1.在AR2200上配置安全区域和安全域间system-view[Huawei]firewallzonetrust[Huawei-zone-trust]priority15[Huawei-zone-trust]quit[Huawei]firewallzoneuntrust[Huawei-zone-untrust]priority1[Huawei-zone-untrust]quit[Huawei]firewallinterzonetrustuntrust。
配置(进入)域间[Huawei-interzone-trust-untrust]firewallenable。
开启该域间的防火墙[Huawei-interzone-trust-untrust]quit
2.在AR2200上将接口增加安全区域intgi0/0/1zoneOUTSIDE;
相关接口增加到相关区域(华为防火墙:
假设不增加的话。
与之相连的PC不能访问该port,和路由有差别)
以上另外等价方法
firewallzonetrust;
进入相关区域
addintgi0/0/1。
增加相关port
disfirewallsessionall;
查看防火墙的全部会话信息
3.在AR2200上配置ACL
FTP的主动(FTP本身),被动(client)模式
内网访问外网FTP。
FTP主动模式(PORT)不能传数据(经常外网FTPserver访问不了,FTP下载软件要改成被动模式),但被动模式(PASV)能够访问
ASPF配置工作在应用层,检测http、FTP等,能够为这些协议打开放行通道firewallinterzoneINSIDEOUTSIDE;
进入到相关区域detectaspfall;
开启检测