hcna笔记数通方向.docx
《hcna笔记数通方向.docx》由会员分享,可在线阅读,更多相关《hcna笔记数通方向.docx(17页珍藏版)》请在冰豆网上搜索。
hcna笔记数通方向
第一章 VRP操作基础?
1VRP基础
MiniUsb串口连接交换机的方法
2eNSP入门
3命令行基础
(1)?
eNSP中路由开启后(记住port)---第三方软件连接该路由方法:
用户视图(文件)—–系统视图(系统sys)——接口视图(接口interfaceGigabitEthernet0/0/0)——协议视图(路由)
displayhotkey显示功能键?
displayclock显示时间?
clocktimezoneCSTadd8设置时区(先设时区再设时间)?
clockdatetime设置时间
headerlogininformation#?
内容
登录前信息
headershellinformation登录后信息(格式同上)Ctrl+]能够退出查看该信息
用户权限15命令权限3?
为console口配置password:
?
user-interfaceconsole0。
进入到相应口?
authentication-modepassword;认证模式为passwork?
setauthenticationpasswordcipherhuawei;设置password(路由器不须要)
为vty(telnet)设置password?
user-interfacevty04?
其他同上?
userprivilegelevel3;用户命令等级3(管理员)PS:
console不用
dishistory-command;显示历史命令
为接口配置2个IP地址(限路由)?
system-view?
[Huawei]interfacegigabitethernet0/0/0?
[Huawei-GigabitEthernet0/0/0]interfaceloopback0。
环回接口(逻辑接口)?
管理网口配置:
?
注意:
华为交换机有单独的管理网口,不占用机器配置表中的网口?
interfaceMEth0/0/1令行基础
(2)
云配置:
udp(入口)1---绑定vmware仅主机网卡(出口)2?
要做port映射?
1-2双向2-1双向
displayversion?
查看路由器基本信息?
displayinterfaceGigabitEthernet0/0/0?
查看接口状态信息?
displayipinterfacebrief?
查看全部接口的IP简要信息。
含IP地址?
displayiprouting-table?
查看路由表?
displaycurrent-configuration?
查看当前的配置(内存中)?
displaysaved-configuration?
查看保存的配置(Flash中)?
dirflash:
?
查看Flash中的文件?
save?
保存配置文件?
reboot?
重新启动设备
telnet实验(参照上面命令)?
3A认证(不同用户不同password)?
user-interfacevty04?
authentication-modeaaa;差别password?
userprivilegelevel15?
aaa?
local-useradminpasswordcipherhuawei;建用户并给password?
local-useradminprivilegelevel15?
local-useradminservice-typetelnet;类型
telnet登录后使用disusers可查看当前登录用户
抓包能够分析出telnet的password“FollowTCPStream”
文件系统基础
cd改变文件夹
more查看文件内容
copy复制copyflash:
/(拷贝根文件夹“需加flash”下的配置文件到当前文件夹)
move移动
delete删除
rename改名
undelete恢复回收站的文件
pwd显示路径
mkdir创建文件夹
rmdir删除文件夹
format格式化
fixdisk修复文件系统
save生成
displaysaved显示保存配置
displaycur显示当前配置
resetsaved删除保存配置+reboot第一次N ========== 设备复位
compareconfiguration比较配置文件差别
删除/永久删除文件?
delete/unreserved(dir/all可查看回收站的文件)?
恢复删除的文件?
undelete?
彻底删除回收站中的文件?
resetrecycle-bin
载入不同的配置文件?
disstartup。
查看开机信息,当中有载入配置文件的路径?
startupsaved-configurationflash:
/;更改启动配置文件
比较当前配置与下次启动的配置?
compareconfiguration
系统管理
(1)
路由器做为client:
ftp(FTPserver地址)
get下载文件到ftp?
put上传文件到ftp
TFTP相关?
(get)
系统管理
(2)
第二章 静态路由?
路由原理、静态路由基本配置
路由的来源:
?
直连路由:
链路层发现的路由(direct)?
管理员手工增加:
静态路由(static)?
路由器协议学到的路由:
动态路由(ospfrip)
静态路由特点:
?
优:
实现简单,精确控制,不占资源?
缺:
不适用大型网络,网络变更须要手动改
disiprouting-table;查看路由表,直连11条
目的经过(本路由出口)下一跳(下一路由入口)
9.静态路由深入分析?
优先级pre:
直连最大0----OSPF---静态?
度量值cost:
同一路由下。
选择最小开销(多因素)的路径
以上参数。
值越小,优先级越高
匹配原则:
目的地址和路由表的掩码做与。
再比较路由中的“目的地址”---优先挑掩码大的做匹配
下一跳写法:
?
点对点:
能够省略下一跳;?
以太网:
能够省略出接口;
disfib;终于采纳的路由表
递归查询(带R标志):
经过中间多次查询。
终于到达目的地址
缺省路由:
网关;目的和子网掩码都为0的路由,上互联网都有这条
10.负载分担、路由备份?
双线路负载(2条线路同一时候工作):
平时2条静态方向不同的路由表,能够达到负载的作用;
浮动路由(路由备份,平时仅仅有一条线路工作):
通过当中一条设置成低优先级(增加路由时加preference)的路由,变成浮动(路由表中看不到),出问题才出现
;查看某一目的路由的具体信息
第三章 RIP
11.动态路由协议基础
常见的动态路由协议有:
?
RIP:
RoutingInformationProtocol。
路由信息协议。
?
OSPF:
OpenShortestPathFirst。
开放式最短路径优先。
ISIS:
IntermediateSystemtoIntermediateSystem,中间系统到中间系统。
BGP:
BorderGatewayProtocol,边界网关协议。
分类:
?
自治系统内部的路由协议——IGP:
RIPv1/v2、OSPF、ISIS?
自治系统之间的路由协议——EGP:
BGP
单播,组播
不同路由协议不能直接互相学习,但能够通过路由引入来导入不同的协议
简介及基本配置
度量值:
跳;最多不能够超过15跳
2个路由学习时,更新是一个方向。
学回后的路由指向是相反方向
:
UDP:
520port工作在应用层
RIP基本配置?
rip?
仅仅支持主类网络必须写成
rip1;进入相关进程?
silent-interfaceGigabitEthernet0/0/0。
静默(关闭)某接口发送
第四章 OSPF
基本原理及基本配置
开放式最短路径优先(OSPF)?
链路状态路由协议?
无环路?
收敛快?
扩展性好?
支持认证
OSPF报文封装在IP报文中,协议号为89。
OSPF工作原理:
路由通过LSA泛洪---收集到路由数据库(LSDB)---通过SPF算法---依据自身算出最短路由(交换的不是路由表,而是数据库)
hello报文建立邻居关系---邻接(同步数据库,full状态)
OSPF区域:
分区域为了减小数据大小
配置方法:
?
ospf?
area0。
进入到0区域?
(代表网段);把该路由器上地址为网段的接口应用ospf,有2个方向就要有2个network
同等同等
disospfpeerbrief;查看ospf邻居信息
第七章 访问控制列表
35.基本ACL介绍?
ACL是用来实现流识别功能的。
ACL(AccessControlList,访问控制列表)是定义好的一组规则的集合,通经常使用于:
?
标识感兴趣网络流量?
过滤经过路由器的数据包
分类:
?
基本ACL:
2000~2999报文的源IP地址?
高级ACL:
3000~3999报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性等三、四层信息
配置ACL的过程:
实际上就是告诉路由器同意或者拒绝某些数据包
ACL难点:
通配符、语句顺序、方向性
单台:
?
同意来自主机的IP数据包通过?
拒绝自主机的IP数据包通过
多台:
?
同意来自IP地址为10.×.×.×(即IP地址的第一个字节为10)的主机的数据包通过。
样例:
同意来自的IP数据包通过?
;掩码位反过来(简单的0和25。
复杂)?
复杂写的话主是相应机器数32-1=31
特殊的通配符掩码?
0关心位255不关心位X?
sourceany?
=permit?
某一具体主机?
ACL顺序匹配:
一但匹配成功,后面的列表将不再检查(比较苛刻的放前面)?
未命中规则(一条都不匹配):
不同模块处理不一样。
假设是转发模块。
则转发数据包;假设是telnet模块,则不同意;假设是路由过滤,不同意路由通过。
禁止-思路
?
PS:
最后一条,96应该是100
样例:
?
acl2000?
rule………………..?
intgi0/0/0;进入相关接口?
traffic-filterinboundacl2000;应用到相关接口
disacl2000。
查看?
distraffic-filterapplied-record;查看接口(方向)应用了哪个列表
36.基本ACL应用案例
禁止telnet:
?
user-interfacevty04;进到vty?
acl2999inbound。
应用到该接口,和物理接口有差别
ruleprimit;ACL中加这名是由于,ACL匹配未成功后。
telnet模块。
不同意通过数据包
。
-a参数。
以指定IP源telnet
时间控制:
?
time-rangework-time9:
0to18:
00working-day6。
定义“work-time”星期一到六?
acl2001?
ruledenytime-rangeworktime;上班时间不同意上网?
rulepermit
禁止学习某路由表;?
rip1。
进到相关rip?
filter-policy(过滤策略)2000export;2000为定义的acl。
export代表向外公布;import代表我要学习
自己主动让匹配宽松的放前面,苛刻的放后面?
acl2200match-orderauto
37.高级ACL?
aclnumber3000;高级?
;同意全部机器TCP访问目标机器的www服务?
;拒绝全部的IP协议(包括icmp)访问
traffic-filterinboundacl3000;进入port。
并应用
ACL放置位置
基本ACL尽可能靠近目的?
高级ACL尽可能靠近源
内能够ping外,外不能够ping内(ping分析:
去类型为:
echo回类型为:
echo-reply)?
aclnumber3000?
rule5denyicmpicmp-typeecho?
rule10permitip?
traffic-filterinboundacl3000
内能够telnet外,外不能够telnet内(tcp三次握手,第一个包不带ack位)?
rule8permittcptcp-flagack;放行带ack的?
rule9denytcp;拒绝不带ack的
第八章 网络地址转换
38.静态NAT、动态NAT
静态nat和外网地址一一相应,n–n不能降低公网地址;
环回口配置?
intlookback1?
。
要上网的路由需加的路由表
静态nat配置?
intgi0/0/1;进入外网接口?
(公网IP,不一定是接口IP)
特点:
发包源IP地址转换收包目的IP地址转换?
disnatstatic;查看静态nat
动态nat配置?
intgi0/0/1;进入外网接口?
acl2000;定义acl编号?
;地址范围内网?
;外网地址范围?
natoutbound2000address-group1no-pat。
先内后外no-pat不做port转换?
特点:
100对50仅仅能节省部分地址?
disnatsessionall;显示nat转换情况
、NATserver
NAPTorPAT(port地址转换)?
:
动态port转换?
设置同动态NAT?
natoutbound2000address-group1;先内后外与动态NAT差别:
no-pat
EasyIP配置?
(家庭使用,没有固定IP)?
natoutbound2000;仅仅指定源IP
port映射?
第一十一章 交换基础、VLAN
原理和配置?
简单vlan配置?
vlan10。
创建valn?
disvlan?
disportvlan;接口vlan状态?
inteth0/0/0?
porttype-linkaccess;接口类型?
portdefaultvlan10;配置
Accessport在收到数据后会增加VLANTag。
VLANID和port的PVID同样。
?
Accessport在转发数据前会移除VLANTag。
当Trunkport收到帧时,假设该帧不包括Tag,将打上port的PVID;假设该帧包括Tag,则不改变。
?
当Trunkport发送帧时。
该帧的VLANID在Trunk的同意发送列表中:
若与port的PVID(trunk2端pvid必须同样,默认是1)同样时。
则剥离Tag发送;若与port的PVID不同一时候,则直接发送。
vlanbatch102030;批量10to30(10,11。
12.…………30)
配置Trunk?
intgi0/0/1?
portlink-typetrunk?
porttrunkallow-passvlanall;同意通过的vlan?
porttrunkpvidvlan1;改变pvid,默认是1
disportvlanactive;查看trunk接口是否打标记,TorU
PS:
取消Trunk?
undoporttrunkallow-passvlanall?
porttrunkallow-passvlan1?
portlink-typeaccess
接口
访port能够连不论什么设备
第一十三章 VLAN间路由、VRRP
58.单臂路由实现VLAN间路由
每一个vlan一个物理连接(一条线)?
交换机与路由2根线(有几个VLAN就有几根线)PS:
缺点?
交换机端:
该端配置和“客户port”同样?
路由端:
仅仅需配IP(网关)
单臂路由
将交换机和路由器之间的链路配置为Trunk链路。
而且在路由器上创建子接口以支持VLAN路由。
交换机端:
配置trunk?
路由器端:
?
[RTA]interfaceGigabitEthernet0/0/;定义子接口?
[RTA-GigabitEthernet0/0/]dot1qterminationvid2。
分配VLAN?
;配置网关?
[RTA-GigabitEthernet0/0/]arpbroadcastenable。
开启ARP广播
59.三层交换实现VLAN间路由
2层+路由器路由配虚拟portvlan和网关?
[SWA]interfacevlanif2;2同相关VLAN号?
;网关PS:
该地址不能在其他VLAN网段中出现
复杂模式:
三层接二层(带管理)?
中间设置成trunk,三层也要建和二层相关VLAN。
intvlanif放在三层上。
第一十四章 交换机port技术?
63链路聚合(手工模式)
[SWA]interfaceEth-Trunk1?
[SWA-Eth-Trunk1]interfaceGigabitEthernet0/0/1?
[SWA-GigabitEthernet0/0/1]eth-trunk1?
[SWA-GigabitEthernet0/0/1]interfaceGigabitEthernet0/0/2?
[SWA-GigabitEthernet0/0/2]eth-trunk1
diseth-trunk1;查看链路
PS:
trunkport下做链路聚合方法:
先做链路聚合,然后在inteth-trunk数字下做Trunk
72.防火墙技术
依照防火墙实现的方式。
一般把防火墙分为例如以下几类:
?
包过滤防火墙:
简单。
每一个包都要检查。
缺乏灵活性。
策略多影响性能?
代理型防火墙:
安全,但不方便,针对性强(http代理)。
不通用?
状态检测防火墙:
基于连接状态,结合以上2种防火墙的长处
仅仅防网络层和传输层。
不防应用层(比方站点漏洞)。
?
防外不防内;
防火墙的安全区域:
Local(100网网)----Trust(85外网)?
-----DMZ(50WEBserver)?
高能够访问低,低不能够访问高
配置思路?
配置安全区域和安全域间。
将接口增加安全区域。
?
配置ACL。
?
在安全域间配置基于ACL的包过滤。
1.在AR2200上配置安全区域和安全域间?
system-view?
[Huawei]firewallzonetrust?
[Huawei-zone-trust]priority15?
[Huawei-zone-trust]quit?
[Huawei]firewallzoneuntrust?
[Huawei-zone-untrust]priority1?
[Huawei-zone-untrust]quit?
[Huawei]firewallinterzonetrustuntrust。
配置(进入)域间?
[Huawei-interzone-trust-untrust]firewallenable。
开启该域间的防火墙?
[Huawei-interzone-trust-untrust]quit
2.在AR2200上将接口增加安全区域?
intgi0/0/1?
zoneOUTSIDE;相关接口增加到相关区域(华为防火墙:
假设不增加的话。
与之相连的PC不能访问该port,和路由有差别)
PS:
以上另外等价方法?
firewallzonetrust;进入相关区域?
addintgi0/0/1。
增加相关port
PS:
disfirewallsessionall;查看防火墙的全部会话信息
3.在AR2200上配置ACL?
(同意外网能够telnet内网)?
acl3001?
;同意telnet?
firewallinterzoneINSIDEOUTSIDE。
进入相关域间?
packet-filter3001inbound;应用相关acl
FTP的主动(FTP本身),被动(client)模式
内网访问外网FTP。
FTP主动模式(PORT)不能传数据(经常外网FTPserver访问不了,FTP下载软件要改成被动模式),但被动模式(PASV)能够访问
ASPF配置工作在应用层,检测http、FTP等,能够为这些协议打开放行通道?
firewallinterzoneINSIDEOUTSIDE;进入到相关区域?
detectaspfall;开启检测
升级会员 