HCTE 笔记.docx

HCTE 笔记.docx

《HCTE 笔记.docx》由会员分享，可在线阅读，更多相关《HCTE 笔记.docx（45页珍藏版）》请在冰豆网上搜索。

HCTE笔记

HCTE笔记

Ospfpeer记得配！

！

ISP回RTD的路由要配！

！

L2tp若采用域名方式，应配成:

startl2tpipip-addressdomaindomain-name

再加上:

l2tpdomainsuffix-separator@

一．路由器基本操作

displayprocessescpu

displayversion

二．系统管理

1．Bootrom与VRP的升级

启动AAA服务器aaa-enable

打开计费选择开关aaaaccounting-schemeoptional

设置对login采用本地验证aaaauthentication-schemelogindefaultlocal

2．VRP提供ftpserver服务，同时实行aaa验证，但不计费，同上面的配置。

另外添加一个ftp用户即可：

localftptestservftppasssimpleftptest

启动ftp：

ftpenableftpserver默认没有安装，需自行安装

3．Ping[ip][–ccount][–ttimeout][–spackatsize]ip-address

显示各调试开关的状态displaydebugging

三．接口配置

设置统计接口流量的时间间隔flow-intervalminutes缺省情况下，minutes的值为5分钟

接口的配置过程，应从底层到高层进行相关的配置：

如果该接口是物理接口，需要明确其连接情况、接口工作方式及相关工

作参数。

如果该接口是广域网接口，则需要配置和相连的对端接口约定好链路层

协议以及工作参数等。

配置该接口的网络协议（如IP协议）地址。

配置通过该接口能达到的目的网络的静态路由，或者配置动态路由协议

在该接口上的工作参数。

如果该接口支持拨号，则需要配置DCC工作参数以及对Modem的管理

等。

如果该接口在备份中心作为主接口或备用接口，则需要配置有关的备份

中心工作参数。

如果需要在该接口上建立防火墙，则需要进行相关的报文过滤或地址转

换等参数配置。

显示接口当前运行状态和统计信息

displayinterfaces[typenumber]

displayinterfacesbrief

清除接口统计信息（系统视图下）resetcountersinterface[typenumber]

关闭接口（接口视图下）shutdown

重启接口（接口视图下）undoshutdown

以太接口：

考虑接口速率不匹配的问题，特别是强制速率造成不匹配，观察错误报率

Ethernet0:

Warning--thelinkpartnerdonotsupport100Mmode

Ethernet0:

Warning--thelinkpartnermaynotsupport10Mmode

两条信息都是在用户执行速率选择命令或连接网线时输出在控制台上的，mtu和封装格式必须一致！

！

设置MTUmtusize

设置发送报文的帧格式send-frame-type{ethernet_ii|ethernet_snap

缺省的发送报文的帧格式为Ethernet_II。

允许接口自环loopback有些接口故障就是这个，注意，默认不设。

禁止接口自环undoloopback

广域网接口配置：

1.异步串口配置:

设置同/异步串口工作在异步方式physical-modeasync

设置异步串口工作在拨号方式modem[in|out]对于异步串口，可以用modem命令来使能拨号

设置异步串口的链路层协议link-protocol{slip|ppp}

设置异步串口的波特率baudratebaudrate缺省值为9600bps

当异步串口作专线使用时，波特率的设置必须与对端设备相同。

Modem下可以不同，因为速率由modem协商获得。

设置异步串口采用协议方式建立链路asyncmodeprotocol

设置异步串口采用流方式建立链路asyncmodeflow

设置异步串口采用哑终端接入方式建立链路asyncmodetty

系统缺省选择协议方式建立链路。

Mtusize

Loopback

2.同步串口配置

可以工作在DTE和DCE两种方式，一般情况下，同步串口作为DTE设备，接受DCE设备提供的时钟。

设置链路层协议link-protocol{fr|hdlc|lapb|ppp|sdlc|x25}

使用NRZI编码格式codenrzi默认不使用，使用nrz编码。

设置同步串口的波特率baudratebaudrate

两个同步串口相连时，线路上的波特率由DCE侧决定，因此当同步串口工作

在DCE方式下，需要设置波特率；如果作为DTE设备使用，则不需要配置

波特率。

同步串口的缺省波特率为64000bps。

选择工作时钟

选择DCE侧同步串口时钟clockdceclk

选择DTE侧同步串口时钟clock{dteclk1|dteclk2|dteclk3|dteclk4}

DCE侧同步串口缺省时钟选择为dceclk，DTE侧同步串口缺省时钟选择为

dteclk3

允许翻转DTE侧同步串口的发送时钟信号inverttransmit-clock

设置同步串口工作在半双工模式reverse-rts

loopback

设置keepalive报文发送周期timerholdseconds

当串口使用HDLC链路层协议时，链路两端设备设置的keepalive周期必须相等。

ISDN接口配置：

3．逻辑接口配置

dialer接口

mfr接口

loopback接口

创建Loopback接口并进入Loopback接口视图interfaceloopbacknumber

在Loopback接口上可以配置32位的子网掩码，即子网掩码可以为255.255.255.255。

而且这个带有32位子网掩码的IP地址可以通过路由协议向外发布。

在配置Loopback接口的IP地址时，最好配置32位掩码的主机地址，这样既可以节约地址，也可以满足其它接口借用地址的需求。

子接口

以太网，帧中继，x.25可以有自己的子接口

帧中继:

4-5

创建并进入广域网子接口interfaceserialnumber.sub-number[multipoint|point-to-point]

虚拟接口：

virtual-template用于VPN和MP中。

四．链路层协议配置

ppp/mp配置

ppp的配置过程;

配置接口的链路层协议为PPP

配置PPP验证方式及用户名、用户口令

配置PPP的AAA验证及计费参数

配置接口的链路层协议为PPP

link-protocolppp

配置PPP验证方式及用户名、用户口令

分为pap，chap两种方式：

配置PAP验证

验证端

pppauthentication-modepap

local-userpppuserservice-typeppppasswordsimplepppuserpass

被验证端：

ppppaplocal-userpppuserpasswordsimplepppuserpass

若要双向认证，两边同时进行这种配置。

配置CHAP验证：

验证端:

pppauthentication-modechap

pppchapuseryanzhen

local-userbeiyanzhenservice-typeppppasswordsimple1111

被验证端：

pppchapuserbenyanzhen

local-useryazhenservice-typeppppasswordsimple1111

配置PPP的AAA验证及计费参数

使能AAAaaa-enable

配置AAA的PPP验证方法aaaauthentication-schemeppp{default|list-name}[method1|method2|......]

配置AAA的本地优先验证aaaauthentication-schemelocal-first

在接口上设置AAA对PPP的验证方法pppauthentication-mode{chap|pap}[default|list-name

mp配置步骤：

mp用户绑定方式必须双向认证！

！

创建虚模板接口并配置虚模板接口工作参数

配置物理接口工作在MP方式并将将物理接口捆绑至虚模板接口

配置MP协议参数

创建并进入MP虚模板接口interfacevirtual-templatenumber然后进行一般接口配置。

物理接口;配置接口的链路层协议为PPPlink-protocolppp

配置接口工作在MP方式pppmp

将物理接口绑定到虚模板接口pppmpinterfacevirtual-templateinterface-number

根据用户名或终端标识符捆绑

根据验证的用户名进行捆绑pppmpbinding-modeauthentication

将PPP用户和虚模板接口相关联pppmpuseruser-namebindvirtual-templatenumber

其中user－name为对端发送过来的用户名。

Ppp/mp配置实例：

采用用户名绑定方式，这种情况两个物理接口的验证方式必须一致，若采用接口直接绑定（有可能是用户绑定中两种验证发送的用户名不同，其中只有chap的方式通过pap没有通过，也就是只有chap的那一条正常工作，正说明这一点），即在物理接口中:

pppmpinterfacevirtual1此时验证方式可以是不同的，试验的结果。

路由器a：

[a]discur

Nowcreateconfiguration...

Currentconfiguration

!

version1.74

local-userbservice-typeppppasswordsimpletestchap时两端密码必须一致！

！

pppmpuserbbindVirtual-Template1/*此处user为对端发送user*/

firewallenable

sysnamea

!

interfaceSerial0

link-protocolppp

pppauthentication-modechap

pppmp

pppchapusera

!

interfaceSerial1

link-protocolppp

pppauthentication-modechap

pppmp

pppchapusera

!

interfaceVirtual-Template1

link-protocolppp

ipaddress10.1.1.1255.255.255.0

!

return

路由器b;

version1.74

local-useraservice-typeppppasswordsimpletest

pppmpuserabindVirtual-Template1

firewallenable

sysnameb

!

interfaceSerial0

clockDTECLK1

link-protocolppp

pppauthentication-modechap

pppmp

pppchapuserb

!

interfaceSerial1

clockDTECLK1

link-protocolppp

pppauthentication-modechap

pppmp

pppchapuserb

!

return

帧中继配置

DLCI为表示虚链路的局部标识，DLCI与协议地址的映射。

DLCI16－1007，所以可认为本地DLCI就是对端设备的“帧中继地址”。

不同物理接口上相同的DLCI并不表示是同一个虚连接。

必须在同步方式下工作。

帧中继的配置包括：

配置接口的链路层协议为帧中继

配置帧中继接口的终端类型

配置帧中继LMI协议类型

配置帧中继LMI协议相关参数

配置帧中继地址映射

配置帧中继本地虚电路号

配置帧中继子接口

配置帧中继PVC交换

配置多链路帧中继（FRF.16）

看手册更好！

实例：

DCE端：

version1.74

firewallenable

sysnamea

frswitching/*要设置DCE必须使能frswitching*/

!

interfaceSerial0

link-protocolfr

ipaddress10.1.1.1255.255.255.0

frinterface-typeDCE

frmapip10.1.1.1dlci20

frdlci20

quit

!

return

DTE端：

version1.74

firewallenable

sysnameb

!

interfaceSerial0

clockDTECLK1

link-protocolfr

ipaddress10.1.1.2255.255.255.0

!

return

注意：

fr中，常要用到静态路由，fr只是作为一种连接两个串口的方式，应将自己的路由指向对端地址，两端地址必须在同一子网中。

如两个router中各有另外的网段，这时候就加上静态路由，以使网段间通信。

五．网络协议

DHCP配置：

DHCP服务器可根据不同需求提供三种IP地址分配策略：

手工分配：

特定server自动分配：

永久拥有动态分配：

租借方式

可设置dhcp中继方式让远端使用本地dhcp服务。

步骤：

启动/关闭DHCP服务

创建DHCP地址池

配置DHCP地址池的地址范围

配置DHCP地址池中不参与自动分配的IP地址

配置DHCP客户端的出口网关路由器的IP地址

◎Ducpenable

创建DHCP地址池或进入DHCP地址池视图dhcpserverip-poolpool-name

DHCP服务器中的地址池以“树”状结构进行组织。

树根是自然网段的地址，每个分支是该网段的子网地址，叶节点是手工绑定的客户机地址。

◎配置静态绑定的IP地址static-bindip-addressip-address[masknetmask]

◎配置静态绑定的客户端MAC地址static-bindmac-addressmac-address

命令static-bindip-address、static-bindmac-address必须配合使用，并且都不具备叠加功能，即最新配置会覆盖旧配置。

◎配置动态分配的IP地址范围networkip-address[masknetmask]

◎dhcpserverforbidden-iplow-ipaddress[high-ipaddress]不参与dhcp的IP即手工配置了的如server

MAC绑定的优先级比禁用的高

◎配置DHCP客户端的出口网关地址gateway-listip-address1[ip-address2…ip-address8]

当指定多个出口网关地址时，需要在gateway-list命令中连续配置两个以上的地址，而不是多次使用该命令，因为新出口网关地址会覆盖旧地址，而不是地址叠加。

DHCP中继

所有经过的3层设备都要加入中继命令。

IP辅助地址就是指DHCP服务器的地址

增加接口IP辅助地址iprelay-addressip-address

DHCP服务器必须有同一网段的地址池，并且有到这一网段的路由。

NAT配置

私有，公有地址转变，实现<私有地址+端口号>与<公有地址+端口号>之间的一个转换过程。

地址转换的配置包括：

配置地址池

配置访问控制列表和地址池的关联

配置访问控制列表和接口的关联（EASYIP特性）

配置内部服务器

配置地址转换的有效时间

定义一个地址池nataddress-groupstart-addrend-addrpool-name

每个地址池中的地址必须是连续的，每个地址池内最多可定义64个地址

配置访问控制列表和地址池关联

定义访问控制列表aclnumber用于定义内部地址范围

下面的在出口接口上配置：

增加访问控制列表和地址池关联natoutboundacl-numberaddress-grouppool-name

增加访问控制列表和接口关联natoutboundacl-numberinterface

它是指在地址转换的过程中直接使用接口的IP地址作为转换后的源地址

增加一个内部服务器：

natserverglobalglobal-addr{global-port|any|domain|

ftp|pop2|pop3|smtp|telnet|www}insideinside-addr

{inside-port|any|domain|ftp|pop2|pop3|smtp|

telnet|www}{protocol-number|ip|icmp|tcp|udp}

例：

natserverglobal202.38.160.101inside10.110.10.1ftptcp

配置地址转换的有效时间nataging-time{tcp|udp|icmp}seconds

六路由协议

Rip协议

16跳限制

RIP基本配置包括：

启动RIPrip

在指定网络上使能RIPnetworkIp-address只在指定工作段工作，所以必须加入

配置邻居路由器peeripaddress工作于非广播网时必须指定。

指定接口的RIP版本ripvirtion默认1，只接受1，2广播报文，不接受2的组播报文rip版本不对也有错误

指定接口工作：

ripwork加上！

！

！

缺省是有的，但有时最好是加上。

禁用RIP-2自动聚合路由功能undosummary！

！

Rip2支持验证

配置RIP-2的明文认证字ripauthentication-modesimplepassword

配置RIP-2MD5认证的认证字ripauthentication-modemd5key-stringstring

配置RIP-2MD5认证的报文类型ripauthentication-modemd5type

{nonstandard-compatible|usual}

OSPF协议

Routerid

Ospfenable

ospfenableareaarea-id指定接口所在的区域

ospfnetwork-type{broadcast|nbma|p2mp|p2p}配置OSPF接口的网络类型

ospfpeerip-address指定NBMA接口的邻居以及隧道邻居也需要，同时Hello-timer，deadtimer

区域号，链路类型必须一致。

设置接口在选举“指定路由器”时的优先级ospfdr-priorityvalue默认1，大的值当选。

创建并配置虚连接

vlinkpeer-idrouter-idtransit-areaarea-id[hello-timer

seconds][retransmit-timerseconds][transit-delay

seconds][dead-timerseconds]

displayospfase

ospfase和ospf的路由信息是分开的。

displayospfpeer！

！

displayospfrouting

displayospfvlink

BGP配置

Bgp需引入路由才能工作。

Bgpas-number

networkip-address[maskaddress-mask][route-policypolicy-name]配置本地BGP发送网络

peerpeer-addressas-numberas-number配置指定对等体的AS号

peerpeer-addressnext-hop-local配置对等体发布路由时将自身地址作为下一跳

importprotocol

更多如路由过虑等等看手册.

七组播

八安全

aaa认证

使能AAAaaa-enable

aaaauthentication-schemeloginefaultlocal

aaaauthentication-schemelocal-first

aaaaccounting-scheme-schemeptional即使无法实施计费，也不会挂断用户一定要！

！

Ippoolpool-numberlow-ip-address[high-ip-address]配置本地IP地址池0-99

为PPP用户分配IP地址remoteaddress{ip-address|pool[pool-number]}

配置用户及口令local-useruser-name[password{simple|cipher}password]

ftp用户？

？

看手册！

！

ACL

建立并控制列表的匹配顺序aclacl-number[match-orderconfig|auto]

rule{normal|special}{permit|deny}[sourcesource-addrsource-wildcard|any]

rule{normal|special}{permit|deny}pro-number[sourcesource-addr

source-wildcard|any][source-portoperatorport1[port2]][destination

dest-addrde