hcna笔记数通方向Word文件下载.docx
《hcna笔记数通方向Word文件下载.docx》由会员分享,可在线阅读,更多相关《hcna笔记数通方向Word文件下载.docx(14页珍藏版)》请在冰豆网上搜索。
云配置:
udp(入口)1---绑定vmware仅主机网卡(出口)2
要做port映射
1-2双向2-1双向
displayversion
查看路由器基本信息
displayinterfaceGigabitEthernet0/0/0
查看接口状态信息
displayipinterfacebrief
查看全部接口的IP简要信息。
含IP地址
displayiprouting-table
查看路由表
displaycurrent-configuration
查看当前的配置(内存中)
displaysaved-configuration
查看保存的配置(Flash中)
dirflash:
查看Flash中的文件
save
保存配置文件
reboot
重新启动设备
telnet实验(參照上面命令)
3A认证(不同用户不同password)
authentication-modeaaa;
差别password
userprivilegelevel15
aaa
local-useradminpasswordcipherhuawei;
建用户并给password
local-useradminprivilegelevel15
local-useradminservice-typetelnet;
类型
telnet登录后使用disusers可查看当前登录用户
抓包能够分析出telnet的password“FollowTCPStream”
5.VRP文件系统基础
cd改变文件夹
more查看文件内容
copy复制copyflash:
/vrpcfg.zipvrpcfg.zip(拷贝根文件夹“需加flash”下的配置文件到当前文件夹)
move移动
delete删除
rename改名
undelete恢复回收站的文件
pwd显示路径
mkdir创建文件夹
rmdir删除文件夹
format格式化
fixdisk修复文件系统
save生成cfg.zip
displaysaved显示保存配置
displaycur显示当前配置
resetsaved删除保存配置+reboot第一次N ========== 设备复位
compareconfiguration比較配置文件差别
删除/永久删除文件
delete/unreserved(dir/all可查看回收站的文件)
恢复删除的文件
undelete
彻底删除回收站中的文件
resetrecycle-bin
载入不同的配置文件
disstartup。
查看开机信息,当中有载入配置文件的路径
startupsaved-configurationflash:
/a.zip;
更改启动配置文件
比較当前配置与下次启动的配置
compareconfiguration
6.VRP系统管理
(1)
路由器做为client:
ftp(FTPserver地址)
getvrp.cc下载文件到ftp
putvrp.zip上传文件到ftp
TFTP相关
tftp10.0.1.184put(get)vrpcfg.zip
7.VRP系统管理
(2)
第二章 静态路由
8.IP路由原理、静态路由基本配置
路由的来源:
直连路由:
链路层发现的路由(direct)
管理员手工增加:
静态路由(static)
路由器协议学到的路由:
动态路由(ospfrip)
静态路由特点:
优:
实现简单,精确控制,不占资源
缺:
不适用大型网络,网络变更须要手动改
disiprouting-table;
查看路由表,直连11条
iproute-static192.168.23.024Serial1/0/0192.168.12.2
目的经过(本路由出口)下一跳(下一路由入口)
9.静态路由深入分析
优先级pre:
直连最大0----OSPF---静态
度量值cost:
同一路由下。
选择最小开销(多因素)的路径
以上參数。
值越小,优先级越高
匹配原则:
目的地址和路由表的掩码做与。
再比較路由中的“目的地址”---优先挑掩码大的做匹配
下一跳写法:
点对点:
能够省略下一跳;
以太网:
能够省略出接口;
disfib;
终于採纳的路由表
递归查询(带R标志):
经过中间多次查询。
终于到达目的地址
缺省路由:
0.0.0.00.0.0.0网关;
目的和子网掩码都为0的路由,上互联网都有这条
10.负载分担、路由备份
双线路负载(2条线路同一时候工作):
平时2条静态方向不同的路由表,能够达到负载的作用;
浮动路由(路由备份,平时仅仅有一条线路工作):
通过当中一条设置成低优先级(增加路由时加preference)的路由,变成浮动(路由表中看不到),出问题才出现
disiprouting-table192.168.4.0verbose;
查看某一目的路由的具体信息
第三章 RIP
11.动态路由协议基础
常见的动态路由协议有:
RIP:
RoutingInformationProtocol。
路由信息协议。
OSPF:
OpenShortestPathFirst。
开放式最短路径优先。
ISIS:
IntermediateSystemtoIntermediateSystem,中间系统到中间系统。
BGP:
BorderGatewayProtocol,边界网关协议。
分类:
自治系统内部的路由协议——IGP:
RIPv1/v2、OSPF、ISIS
自治系统之间的路由协议——EGP:
BGP
单播,组播
不同路由协议不能直接互相学习,但能够通过路由引入来导入不同的协议
12.RIP简介及基本配置
度量值:
跳;
最多不能够超过15跳
2个路由学习时,更新是一个方向。
学回后的路由指向是相反方向
RIP1.0:
UDP:
520port工作在应用层
RIP基本配置
rip
network10.0.0.0;
仅仅支持主类网络10.0.1.254必须写成10.0.0.0
rip1;
进入相关进程
silent-interfaceGigabitEthernet0/0/0。
静默(关闭)某接口发送
第四章 OSPF
20.OSPF基本原理及基本配置
开放式最短路径优先(OSPF)
链路状态路由协议
无环路
收敛快
扩展性好
支持认证
OSPF报文封装在IP报文中,协议号为89。
OSPF工作原理:
路由通过LSA泛洪---收集到路由数据库(LSDB)---通过SPF算法---依据自身算出最短路由(交换的不是路由表,而是数据库)
hello报文建立邻居关系---邻接(同步数据库,full状态)
OSPF区域:
分区域为了减小数据大小
配置方法:
ospf
area0。
进入到0区域
network10.1.1.00.0.0.255(代表10.1.1.0网段);
把该路由器上地址为10.1.1.X网段的接口应用ospf,有2个方向就要有2个network
同等10.1.0.00.0.255.255同等0.0.0.0255.255.255.255
disospfpeerbrief;
查看ospf邻居信息
第七章 訪问控制列表
35.基本ACL介绍
ACL是用来实现流识别功能的。
ACL(AccessControlList,訪问控制列表)是定义好的一组规则的集合,通经常使用于:
标识感兴趣网络流量
过滤经过路由器的数据包
基本ACL:
2000~2999报文的源IP地址
高级ACL:
3000~3999报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性等三、四层信息
配置ACL的过程:
实际上就是告诉路由器同意或者拒绝某些数据包
ACL难点:
通配符、语句顺序、方向性
单台:
rule10permitsource10.1.1.10.0.0.0
同意来自10.1.1.1主机的IP数据包通过
rule10denysource10.1.1.20.0.0.0
拒绝自10.1.1.2主机的IP数据包通过
多台:
rule10permitsource10.0.0.00.255.255.255
同意来自IP地址为10.×
.×
(即IP地址的第一个字节为10)的主机的数据包通过。
样例:
同意来自10.0.0.0/255.255.255.0的IP数据包通过
rule5permitsource10.0.0.00.0.0.255;
掩码位反过来(简单的0和25。
复杂)
复杂255.224.0.0写的话主是0.31.255.255224相应机器数32-1=31
特殊的通配符掩码
0关心位255不关心位X
1.permitsourceany
=permitsource0.0.0.0255.255.255.255
=permit
2.permitsource172.30.16.290某一具体主机
=permitsource172.30.16.290.0.0.0
ACL顺序匹配:
一但匹配成功,后面的列表将不再检查(比較苛刻的放前面)
未命中规则(一条都不匹配):
不同模块处理不一样。
假设是转发模块。
则转发数据包;
假设是telnet模块,则不同意;
假设是路由过滤,不同意路由通过。
禁止192.168.1.1-192.168.1.100思路
PS:
最后一条,96应该是100
acl2000
rule………………..
intgi0/0/0;
进入相关接口
traffic-filterinboundacl2000;
应用到相关接口
disacl2000。
查看
distraffic-filterapplied-record;
查看接口(方向)应用了哪个列表
36.基本ACL应用案例
禁止telnet:
user-interfacevty04;
进到vty
acl2999inbound。
应用到该接口,和物理接口有差别
ruleprimit;
ACL中加这名是由于,ACL匹配未成功后。
telnet模块。
不同意通过数据包
telnet-a10.2.2.1192.168.12.1。
-a參数。
以指定IP源telnet
时间控制:
time-rangework-time9:
0to18:
00working-day6。
定义“work-time”星期一到六
acl2001
ruledenytime-rangeworktime;
上班时间不同意上网
rulepermit
禁止学习某路由表;
rip1。
进到相关rip
filter-policy(过滤策略)2000export;
2000为定义的acl。
export代表向外公布;
import代表我要学习
自己主动让匹配宽松的放前面,苛刻的放后面
acl2200match-orderauto
37.高级ACL
aclnumber3000;
高级
rule5permittcpdestination172.2.0.2500destination-porteqwww
;
同意全部机器TCP訪问目标机器的www服务
rule10denyipdestination172.2.0.2500;
拒绝全部的IP协议(包括icmp)訪问
traffic-filterinboundacl3000;
进入port。
并应用
ACL放置位置
基本ACL尽可能靠近目的
高级ACL尽可能靠近源
内能够ping外,外不能够ping内(ping分析:
去类型为:
echo回类型为:
echo-reply)
aclnumber3000
rule5denyicmpicmp-typeecho
rule10permitip
traffic-filterinboundacl3000
内能够telnet外,外不能够telnet内(tcp三次握手,第一个包不带ack位)
rule8permittcptcp-flagack;
放行带ack的
rule9denytcp;
拒绝不带ack的
第八章 网络地址转换
38.静态NAT、动态NAT
静态nat和外网地址一一相应,n–n不能降低公网地址;
环回口配置
intlookback1
ipadd192.168.1.1
iproute-static0.0.0.00gi0/0/161.0.0.2。
要上网的路由需加的路由表
静态nat配置
intgi0/0/1;
进入外网接口
natstaticglobal61.0.0.11(公网IP,不一定是接口IP)inside192.168.1.1
特点:
发包源IP地址转换收包目的IP地址转换
disnatstatic;
查看静态nat
动态nat配置
acl2000;
定义acl编号
rulepermit192.168.1.00.0.0.255;
地址范围内网
nataddress-group161.0.0.1161.0.0.20;
外网地址范围
natoutbound2000address-group1no-pat。
先内后外no-pat不做port转换
100对50仅仅能节省部分地址
disnatsessionall;
显示nat转换情况
39.PAT、NATserver
NAPTorPAT(port地址转换)
:
动态port转换
设置同动态NAT
natoutbound2000address-group1;
先内后外与动态NAT差别:
no-pat
EasyIP配置
(家庭使用,没有固定IP)
natoutbound2000;
仅仅指定源IP
port映射
natserverprotocoltcpglobal202.10.10.1wwwinside192.168.1.18080
第一十一章 交换基础、VLAN
50.VLAN原理和配置
简单vlan配置
vlan10。
创建valn
disvlan
disportvlan;
接口vlan状态
inteth0/0/0
porttype-linkaccess;
接口类型
portdefaultvlan10;
配置
Accessport在收到数据后会增加VLANTag。
VLANID和port的PVID同样。
Accessport在转发数据前会移除VLANTag。
当Trunkport收到帧时,假设该帧不包括Tag,将打上port的PVID;
假设该帧包括Tag,则不改变。
当Trunkport发送帧时。
该帧的VLANID在Trunk的同意发送列表中:
若与port的PVID(trunk2端pvid必须同样,默认是1)同样时。
则剥离Tag发送;
若与port的PVID不同一时候,则直接发送。
vlanbatch102030;
批量10to30(10,11。
12.…………30)
配置Trunk
intgi0/0/1
portlink-typetrunk
porttrunkallow-passvlanall;
同意通过的vlan
porttrunkpvidvlan1;
改变pvid,默认是1
disportvlanactive;
查看trunk接口是否打标记,TorU
取消Trunk
undoporttrunkallow-passvlanall
porttrunkallow-passvlan1
portlink-typeaccess
51.Hybrid接口
訪port能够连不论什么设备
第一十三章 VLAN间路由、VRRP
58.单臂路由实现VLAN间路由
每一个vlan一个物理连接(一条线)
交换机与路由2根线(有几个VLAN就有几根线)PS:
缺点
交换机端:
该端配置和“客户port”同样
路由端:
仅仅需配IP(网关)
单臂路由
将交换机和路由器之间的链路配置为Trunk链路。
而且在路由器上创建子接口以支持VLAN路由。
配置trunk
路由器端:
[RTA]interfaceGigabitEthernet0/0/1.1;
定义子接口
[RTA-GigabitEthernet0/0/1.1]dot1qterminationvid2。
分配VLAN
[RTA-GigabitEthernet0/0/1.1]ipaddress192.168.2.25424;
配置网关
[RTA-GigabitEthernet0/0/1.1]arpbroadcastenable。
开启ARP广播
59.三层交换实现VLAN间路由
2层+路由器路由配虚拟portvlan和网关
[SWA]interfacevlanif2;
2同相关VLAN号
[SWA-Vlanif2]ipaddress192.168.2.25424;
网关PS:
该地址不能在其他VLAN网段中出现
复杂模式:
三层接二层(带管理)
中间设置成trunk,三层也要建和二层相关VLAN。
intvlanif放在三层上。
第一十四章 交换机port技术
63链路聚合(手工模式)
[SWA]interfaceEth-Trunk1
[SWA-Eth-Trunk1]interfaceGigabitEthernet0/0/1
[SWA-GigabitEthernet0/0/1]eth-trunk1
[SWA-GigabitEthernet0/0/1]interfaceGigabitEthernet0/0/2
[SWA-GigabitEthernet0/0/2]eth-trunk1
diseth-trunk1;
查看链路
PS:
trunkport下做链路聚合方法:
先做链路聚合,然后在inteth-trunk数字下做Trunk
72.防火墙技术
依照防火墙实现的方式。
一般把防火墙分为例如以下几类:
包过滤防火墙:
简单。
每一个包都要检查。
缺乏灵活性。
策略多影响性能
代理型防火墙:
安全,但不方便,针对性强(http代理)。
不通用
状态检測防火墙:
基于连接状态,结合以上2种防火墙的长处
仅仅防网络层和传输层。
不防应用层(比方站点漏洞)。
防外不防内;
防火墙的安全区域:
Local(100网网)----Trust(85外网)
-----DMZ(50WEBserver)
高能够訪问低,低不能够訪问高
配置思路
配置安全区域和安全域间。
将接口增加安全区域。
配置ACL。
在安全域间配置基于ACL的包过滤。
1.在AR2200上配置安全区域和安全域间
[Huawei]firewallzonetrust
[Huawei-zone-trust]priority15
[Huawei-zone-trust]quit
[Huawei]firewallzoneuntrust
[Huawei-zone-untrust]priority1
[Huawei-zone-untrust]quit
[Huawei]firewallinterzonetrustuntrust。
配置(进入)域间
[Huawei-interzone-trust-untrust]firewallenable。
开启该域间的防火墙
[Huawei-interzone-trust-untrust]quit
2.在AR2200上将接口增加安全区域
升级会员 