华为HCNA实验典型实例.docx
《华为HCNA实验典型实例.docx》由会员分享,可在线阅读,更多相关《华为HCNA实验典型实例.docx(23页珍藏版)》请在冰豆网上搜索。
华为HCNA实验典型实例
华为HCNA实验典型实例
fi
一、静态路由的配置实例:
实验目的:
将拓扑图网络设备和节点,实现网络互通。
1、规划PC和路由器各接口IP地址;
2、配置路由器和PC的IP地址,并测试直连路由是否通过:
地址设置
[R1]displayiprouting-table//查询R1的路由表蓝色表示辅助指令
[R1]displayipinterfacebrief//查询路由器接口IP设置是否正确
注:
其他接口同理!
3、静态路由的配置(给路由器添加路由):
静态默认路由配置:
在R2路由添加网络,出接口是(R2的下一跳)
[R2]undo//删除指令
[R3]interfaceLoopBack0//进入环回接口环回接口:
模拟路由器上的其他网络号
设置环回接口IP地址
4、默认路由的配置:
默认路由:
不知道往哪里去的数据包都交给默认路由。
(不安全、应用在边界路由即连接外网的路由器)
实际环境中会有很多环回接口,若是都使用静态路由的话,那么配置的工作量会非常大,因此引用默认路由解决该问题。
或
0
问题:
1、为什么要在边界路由器上默认路由?
答:
因为企业员工要上网,运行默认路由的这台路由器,都会把不知道往哪里的数据包往互联网上扔!
save//保存路由器配置
Thecurrentconfigurationwillbewrittentothedevice.
Areyousuretocontinue?
(y/n)[n]:
y
Itwilltakeseveralminutestosaveconfigurationfile,pleasewait.......
Configurationfilehadbeensavedsuccessfully
Note:
Theconfigurationfilewilltakeeffectafterbeingactivated
静态路由的负载分担
如图:
静态路由负载分担拓扑图配置地址后,使用静态路由到达网络号。
达到自由选路功能
二、rip动态路由实例
实验目的:
通过rip动态路由协议配置,使下图设备全网互通
[R1]rip//启动rip进程
[R1-rip-1]
宣告直连的主类网络(因为是A类地址)
[R2]rip
[R2-rip-1]
[R3]rip
[R3-rip-1]
修改成版本RIPv2的方法:
[R3-rip-1]version2//注意要将网络中的所有运行rip路由器改成统一版本
工作原理:
运行rip的路由器,每过30秒会把自己完整的路由表发送给邻居(相邻的路由器),并且发出去的时候以跳数加+1发出去。
(收到邻居发来的路由表以后,先检查自己的路由表如果有就学习,没有就丢弃)
Rip路由协议通常使用在中小型网络,路由器限制15台以内.
问题:
解决路由环路的办法?
1、触发更新,用来避免环路
2、限制跳数
3、水平分割
4、路由中毒/毒性翻转/路由毒化
5、Rip计时器
(以上方法都是rip路由协议默认启用的)
虽然更改成版本2RIPv2可以解决不连续子网问题,但是会使路由表变大。
为了提高路由器性能需要进行路由手动汇总!
[R1-GigabitEthernet0/0/0]2.0(掩码需要进行换算)
前提是R1路由器有以下环回接口:
将这三个IP地址换算出子网掩码
RIP支持接口明文验证和密文验证
明文:
密码123
密文:
nonstandard国际标准加密算法。
Usual华为私有加密算法。
三、OSPF动态路由协议
[R1]ospf1//启动ospf进程,进程号为1,进程号只具有本地意义(即只区别当前R1路由器的进程号)
[R1-ospf-1]
在ospf进程后可以加router-id的参数
resetospfprocess//重启OSPF进程,(手动指定OSPF的router-id参数后,需要重启router-id)
[R1-ospf-1]area0//进入区域0,也叫主干区域
宣告直连网络(地址)进区域0
宣告直连网络进区域是反掩码(匹配IP地址的范围)
R2路由器同理
Router-id:
用来标识一台运行OSPF协议的路由器,并且该标识使用点分十进制来表示,且几乎所有的OSPF报文中都会携带router-id.
注意:
如果一开始启动OSPF进程,没有配置router-id,那么OSPF路由器会自己选举Router-id.
区域只针对接口
四、端口聚合技术实例
[SW1]interfaceEth-Trunk1//创建一个汇聚组
[SW1-Eth-Trunk1]
[SW1-GigabitEthernet0/0/1]eth-trunk1//将端口GE0/0/1添加进汇聚组eth-trunk1
[SW1-GigabitEthernet0/0/2]eth-trunk1//将端口GE0/0/2添加进汇聚组eth-trunk1
[SW1-GigabitEthernet0/0/3]eth-trunk1//将端口GE0/0/3添加进汇聚组eth-trunk1
SW2交换机配置同理
[SW2-GigabitEthernet0/0/3]displaycurrent-configuration//任意模式下检查配置是否成功
修改交换机接口速率
五、VLAN实验配置实例
1、单一VLAN
[SW1]vlan10
[SW1]vlan20//创建vlan10和vlan20
[SW1-GigabitEthernet0/0/2]portlink-typeaccess//设定该接口类型为access
[SW1-GigabitEthernet0/0/2]portdefaultvlan10//设定该接口只能通过vlan10标签的数据包
SW1-GigabitEthernet0/0/3]portlink-typeaccess//设定该接口类型为access
[SW1-GigabitEthernet0/0/3]portdefaultvlan20//设定该接口只能通过vlan20标签的数据包
[SW1-GigabitEthernet0/0/1]portlink-typetrunk//设定该接口类型为trunk
[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlan?
//
INTEGER<1-4094>VLANID//同行的vlan标签号
allAll//all表示所有的VLAN标签
[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlanall//该接口所有的VLAN数据包都通行
SW2交换机配置同理
2、VLAN间路由配置实例
(单臂路由)
[SW1]vlan10
[SW1]vlan20
[SW1-GigabitEthernet0/0/2]portlink-typeaccess
[SW1-GigabitEthernet0/0/2]portdefaultvlan10
[SW1-GigabitEthernet0/0/3]portlink-typeaccess
[SW1-GigabitEthernet0/0/3]portdefaultvlan20
[SW1-GigabitEthernet0/0/1]portlink-typetrunk//该接口类型为trunk
[SW1-GigabitEthernet0/0/1]porttrunkallow-passvlanall//允许所有VLAN数据包通过
[R1]interfaceGigabitEthernet0/0/0.?
//查询可以设置的子接口编号
<1-4096>GigabitEthernetinterfacesubinterfacenumber
[R1]interfaceGigabitEthernet0/0/0.1//进入路由器子接口
[R1-GigabitEthernet0/0/0.1]dot1qterminationvid10//该接口用来识别VLAN10
[R1-GigabitEthernet0/0/0.1]arpbroadcastenable//打开arp广播
设置子接口IP地址
[R1-GigabitEthernet0/0/0.2]dot1qterminationvid20
[R1-GigabitEthernet0/0/0.2]arpbroadcastenable
2、VLAN间路由配置实例
(三层交换机的VLAN间路由)
[SW1]vlan10
[SW1]vlan20//创建vlan10和vlan20
[SW1-GigabitEthernet0/0/1]portlink-typeaccess//设定该接口类型为access
[SW1-GigabitEthernet0/0/1]portdefaultvlan10//设定该接口只能通过vlan10标签的数据包
[SW1-GigabitEthernet0/0/2]portlink-typeaccess//设定该接口类型为access
[SW1-GigabitEthernet0/0/2]portdefaultvlan20//设定该接口只能通过vlan20标签的数据包
[SW1]interfaceVlanif10//进入SW1交换机的VLAN10接口
设定该VLAN接口IP地址
[SW1]interfaceVlanif20//进入SW1交换机的VLAN10接口
设定该VLAN接口IP地址
六、VRRP虚拟路由冗余协议(公有协议)
配置IP地址和执行OSPF路由协议之后:
虚拟网关
[R2-GigabitEthernet0/0/1]vrrpvrid1priority105//设置R2路由器该接口的的优先级为105
(使该路由器成为主路由,R3如果优先级低于R2.那么R3则成为从路由),vrrp路由器默认优先级为100。
配置虚拟网关1的地址
[R2]displayvrrp//查询VRRP虚拟路由情况
[R2-GigabitEthernet0/0/1]shutdown//关闭路由器接口
[R2-GigabitEthernet0/0/1]undoshutdown/打开路由器接口
[R2-GigabitEthernet0/0/1]vrrpvrid1trackinterfaceGigabitEthernet0/0/0//上行链路跟踪,
一旦接口GE0/0/0出现故障,则路由器优先级会降低10即150-10=95,这样R3就会变成主路由
****************************************************************************************
由于以上配置在正常情况下,会照成从路由器R3的资源浪费。
因此要配置出两个虚拟网关:
配置虚拟网关2的地址
[R3-GigabitEthernet0/0/1]vrrpvrid2priority105//设置优先级为105
[R3-GigabitEthernet0/0/1]vrrpvrid2trackinterfaceGigabitEthernet0/0/0//上行链路跟踪
在R2接口设置虚拟网关2地址。
默认优先级为100使R2成为从路由
六、网络安全管理-防火墙的基本配置
displaycurrent-configuration\\查询路由器、交换机或防火墙的设备配置信息
displayfirewallpacket-filterdefaultall\\查询防火墙的区域间规则
[FW1]displayfirewallsessiontable\\查看防火墙的会话表项(临时会话表项)
[FW1]firewallzonetrust\\进入trust区域(路由器信任区域)
[FW1-zone-trust]addinterfaceGigabitEthernet0/0/2\\将GE0/0/2接口加入trust区域
[FW1]firewallzonedmz
[FW1-zone-dmz]addinterfaceGigabitEthernet0/0/3\\将GE0/0/3接口加入dmz区域
[FW1]firewallzoneuntrust
[FW1-zone-untrust]addinterfaceGigabitEthernet0/0/1\\将GE0/0/1接口加入untrust区域
*************************************************************************
需求一:
允许用户区域可以访问企业服务器区域,而服务器区域不能访问用户区域:
[FW1]firewallpacket-filterdefaultpermitinterzonedmztrustdirectionoutbound
//更改DMZ与trust之间在outbound数据流中为permit
//outbound:
优先级高访问优先级低的数据流,permit:
允许
*****************************************************************************
需求二:
使用AR1路由器telnet到防火墙(由于模拟器的PC不支持telnet功能,因此使用路由器代替)
[FW1]firewallpacket-filterdefaultpermitinterzonelocaluntrustdirectioninb
ound
//更改local与trust之间在inbound数据流中为permit
[FW1]user-interfacevty04//开启telnet功能,并同时允许5个用户telnet到该防火墙中
[FW1-ui-vty0-4]authentication-mode?
aaaAuthenticationuseaaa//AAA认证登录
passwordAuthenticationusepasswordofuserterminalinterface//自定义输入密码来登录
[FW1-ui-vty0-4]authentication-modeaaa//使用AAA认证登录,默认账户和密码:
adminAdmin@123
按照以上方法已经可以通过路由器telnet到防火墙中,但企业中不提倡使用超级用户,现在需要
设定一个特定账户和密码进行telnet
[FW1-ui-vty0-4]aaa
[FW1-aaa]local-userlewis?
access-limitAccesslimit
acl-numberConfigureACLnumber
ftp-directorySetuserFTPdirectorypermitted
idle-cutConfigureidlecut
l2tp-ipConfigurebindingipofl2tpforuser
levelConfigureuserprivilege
passwordStringofplain-textpassword
service-typeServicetypesforauthorizedusers
stateActivate/blocktheuser(s)
valid-periodIndicateuservalidperiod
vpn-instanceSpecifyaVPN-Instance
[FW1-aaa]local-userlewispasswordcipher123//配置特定telnet账户和密码:
lewis123
域内互访过滤策略
要求:
不允许财务部和技术部门之间的PC互访
域内访问过滤策略
[FW1]policyzonetrust//进入trust区域
[FW1-policy-zone-trust]policy1//创建第一个策略
源地址source
控制网络之间的访问
目的地址destination
控制网络之间的访问
[FW1-policy-zone-trust-1]actiondeny//该动作策略不允许源地址(或网络)和目的地址(或网络)无法访问
[FW1-policy-zone-trust-1]actionpermit//该动作策略允许源地址和目的地址互访
Web管理登录账户和密码:
admin/Admin@123
域间互访过滤策略
要求:
互联网上的用户CLIENT1访问到企业服务器CLIENT1
非法理论解决思路:
1、通过防火墙配置允许untrust区域访问DMZ企业服务器;
2、因为AR1路由器没有网络的的路由表,因此需要在AR1设置默认路由;
3、因为防火墙FW1没有网络的的路由表,因此需要在FW1设置默认路由;
实际:
不现实!
!
!
因为AR1是互联网上的路由器,无法配置,另外现实当中不可能把untrust到DMZ之间的流量全部放开;
正确的解决办法是:
放开untrust到DMZ中的ICMPWWWFTP协议包
要求:
互联网上的用户CLIENT1访问到企业服务器CLIENT1
第一步:
创建服务集,并放入服务类型;
[FW1]ipservice-setluyuedeservertypeobject//创建名为luyuedeserver的服务集
[FW1-object-service-set-luyuedeserver]service0protocolicmp//将第一个服务放入服务集中,服务为:
ICMP
[FW1-object-service-set-luyuedeserver]service1protocoltcpdestination-port80
//将第二个服务放入服务集中,服务为www即:
TCP协议的80端口
[FW1-object-service-set-luyuedeserver]service2protocoltcpdestination-port21
//将第三个服务放入服务集中,服务为FTP即:
TCP协议的21端口
第二步:
开启策略
[FW1]policyinterzoneuntrustdmzinbound
//针对untrust和dmz的inbound数据流区域
[FW1-policy-interzone-dmz-untrust-inbound]policy10//编写防火墙编号为10的策略
[FW1-policy-interzone-dmz-untrust-inbound-10]policyserviceservice-setluyuedeserver
//将该luyuedeserver服务集放入该区域中(untrust和dmz的inbound数据流区域)
//指定访问的网络号或主机地址,这里通过反掩码进行精确IP地址匹配.只允许访问这台server
[FW1-policy-interzone-dmz-untrust-inbound-10]actionpermit//允许访问
注意:
由于FTP有两个端口21(控制端口)和20(数据端口)因此需要做一下配置
[FW1]firewallinterzonedmzuntrust//进入dmz和untrust之间的区域
[FW1-interzone-dmz-untrust]detectftp//只要是FTP的数据包都放行
[FW1-interzone-dmz-untrust]detect?
activex-blockingIndicateActiveXblocking
dnsIndicatetheDNSprotocol
ftpIndicatetheFileTransferProtocol
h323IndicatetheH.323protocol
icqIndicateICQprotocol
ilsIndicatetheILSprotocol
ipv6Configureinternetprotocolversion6
java-blockingIndicateJavablocking
mgcpIndicatetheMediaGatewayControlProtocol
mmsIndicatetheMMSprotocol
msnIndicateMSN
nat64Configuretheinformationaboutnetworkaddressand
protocoltranslationfromIPv6clientstoIPv4
servers(NAT64)
netbiosIndicatetheNetBIOSprotocol
pptpIndicatethePoint-to-PointTunnelProtocol
qqIndicateQQ
rtspIndicatetheRealTimeStreamingProtocol
sipIndicatetheSessionInitiationProtocol
sqlnetIndicatetheSQL*NETprotocol
user-definedIndicatedefinedbyuser
七、网络安全管理-NAT技术
升级会员 