hcna笔记数通方向.docx

资源描述

hcna笔记数通方向.docx

《hcna笔记数通方向.docx》由会员分享，可在线阅读，更多相关《hcna笔记数通方向.docx（17页珍藏版）》请在冰豆网上搜索。

hcna笔记数通方向.docx

hcna笔记数通方向

第一章　VRP操作基础?

1VRP基础2

4.命令行基础

（2）3

文件系统基础4

系统管理

（1）5

系统管理

（2）6

第二章　静态路由?

路由原理、静态路由基本配置6

第三章　RIP7

第四章　OSPF8

基本原理及基本配置8

第七章　访问控制列表9

第八章　网络地址转换13

第一十一章　交换基础、VLAN14

第一十三章　VLAN间路由、VRRP15

第一十四章　交换机port技术?

63链路聚合（手工模式）16

华为HCNA教程（笔记）

第一章　VRP操作基础?

1VRP基础

MiniUsb串口连接交换机的方法

2eNSP入门

3命令行基础

（1）?

eNSP中路由开启后（记住port）－－－第三方软件连接该路由方法：

telnetport

用户视图（文件）—–系统视图（系统sys）——接口视图（接口interfaceGigabitEthernet0/0/0）——协议视图（路由）

displayhotkey显示功能键?

displayclock显示时间?

clocktimezoneCSTadd8设置时区（先设时区再设时间）?

clockdatetime设置时间

headerlogininformation#?

内容

登录前信息

headershellinformation登录后信息（格式同上）Ctrl+]能够退出查看该信息

用户权限15命令权限3?

为console口配置password：

user-interfaceconsole0。

进入到相应口?

authentication-modepassword；认证模式为passwork?

setauthenticationpasswordcipherhuawei;设置password（路由器不须要）

为vty（telnet）设置password?

user-interfacevty04?

其他同上?

userprivilegelevel3；用户命令等级3（管理员）PS：

console不用

dishistory-command；显示历史命令

为接口配置2个IP地址（限路由）?

system-view?

[Huawei]interfacegigabitethernet0/0/0?

[Huawei-GigabitEthernet0/0/0]ipaddress?

[Huawei-GigabitEthernet0/0/0]interfaceloopback0。

环回接口（逻辑接口）?

[Huawei-LoopBack0]ipaddress32

管理网口配置：

注意：

华为交换机有单独的管理网口，不占用机器配置表中的网口?

interfaceMEth0/0/1令行基础

（2）

云配置：

udp（入口）1－－－绑定vmware仅主机网卡（出口）2?

要做port映射?

1－2双向2－1双向

displayversion?

查看路由器基本信息?

displayinterfaceGigabitEthernet0/0/0?

查看接口状态信息?

displayipinterfacebrief?

查看全部接口的IP简要信息。

含IP地址?

displayiprouting-table?

查看路由表?

displaycurrent-configuration?

查看当前的配置（内存中）?

displaysaved-configuration?

查看保存的配置（Flash中）?

dirflash:

查看Flash中的文件?

save?

保存配置文件?

reboot?

重新启动设备

telnet实验（参照上面命令）?

3A认证（不同用户不同password）?

user-interfacevty04?

authentication-modeaaa；差别password?

userprivilegelevel15?

aaa?

local-useradminpasswordcipherhuawei;建用户并给password?

local-useradminprivilegelevel15?

local-useradminservice-typetelnet；类型

telnet登录后使用disusers可查看当前登录用户

抓包能够分析出telnet的password“FollowTCPStream”

文件系统基础

cd改变文件夹

more查看文件内容

copy复制copyflash:

/（拷贝根文件夹“需加flash”下的配置文件到当前文件夹）

move移动

delete删除

rename改名

undelete恢复回收站的文件

pwd显示路径

mkdir创建文件夹

rmdir删除文件夹

format格式化

fixdisk修复文件系统

save生成

displaysaved显示保存配置

displaycur显示当前配置

resetsaved删除保存配置+reboot第一次Ｎ　　　＝＝＝＝＝＝＝＝＝＝　　设备复位

compareconfiguration比较配置文件差别

删除/永久删除文件?

delete/unreserved（dir/all可查看回收站的文件）?

恢复删除的文件?

undelete?

彻底删除回收站中的文件?

resetrecycle-bin

载入不同的配置文件?

disstartup。

查看开机信息，当中有载入配置文件的路径?

startupsaved-configurationflash:

/；更改启动配置文件

比较当前配置与下次启动的配置?

compareconfiguration

系统管理

（1）

路由器做为client:

ftp（FTPserver地址）

get下载文件到ftp?

put上传文件到ftp

TFTP相关?

tftpput（get）

系统管理

（2）

第二章　静态路由?

路由原理、静态路由基本配置

路由的来源：

直连路由：

链路层发现的路由（direct）?

管理员手工增加：

静态路由（static）?

路由器协议学到的路由：

动态路由（ospfrip）

静态路由特点：

优：

实现简单，精确控制，不占资源?

缺：

不适用大型网络，网络变更须要手动改

disiprouting-table；查看路由表，直连11条

iproute-static24Serial1/0/0?

目的经过（本路由出口）下一跳（下一路由入口）

9.静态路由深入分析?

优先级pre：

直连最大0－－－－OSPF－－－静态?

度量值cost：

同一路由下。

选择最小开销（多因素）的路径

以上参数。

值越小，优先级越高

匹配原则：

目的地址和路由表的掩码做与。

再比较路由中的“目的地址”－－－优先挑掩码大的做匹配

下一跳写法：

点对点：

能够省略下一跳；?

以太网：

能够省略出接口；

disfib；终于采纳的路由表

递归查询（带R标志）：

经过中间多次查询。

终于到达目的地址

缺省路由：

网关；目的和子网掩码都为0的路由，上互联网都有这条

10.负载分担、路由备份?

双线路负载（2条线路同一时候工作）：

平时2条静态方向不同的路由表，能够达到负载的作用；

浮动路由（路由备份，平时仅仅有一条线路工作）：

通过当中一条设置成低优先级（增加路由时加preference）的路由，变成浮动（路由表中看不到），出问题才出现

disiprouting-tableverbose；查看某一目的路由的具体信息

第三章　RIP

11.动态路由协议基础

常见的动态路由协议有：

RIP：

RoutingInformationProtocol。

路由信息协议。

OSPF：

OpenShortestPathFirst。

开放式最短路径优先。

ISIS：

IntermediateSystemtoIntermediateSystem，中间系统到中间系统。

BGP：

BorderGatewayProtocol，边界网关协议。

分类：

自治系统内部的路由协议——IGP：

RIPv1/v2、OSPF、ISIS?

自治系统之间的路由协议——EGP：

BGP

单播，组播

不同路由协议不能直接互相学习，但能够通过路由引入来导入不同的协议

简介及基本配置

度量值：

跳；最多不能够超过15跳

2个路由学习时，更新是一个方向。

学回后的路由指向是相反方向

：

UDP：

520port工作在应用层

RIP基本配置?

rip?

network;仅仅支持主类网络必须写成

rip1；进入相关进程?

silent-interfaceGigabitEthernet0/0/0。

静默（关闭）某接口发送

第四章　OSPF

基本原理及基本配置

开放式最短路径优先（OSPF）?

链路状态路由协议?

无环路?

收敛快?

扩展性好?

支持认证

OSPF报文封装在IP报文中，协议号为89。

OSPF工作原理：

路由通过LSA泛洪－－－收集到路由数据库（LSDB）－－－通过SPF算法－－－依据自身算出最短路由（交换的不是路由表，而是数据库）

hello报文建立邻居关系－－－邻接（同步数据库，full状态）

OSPF区域：

分区域为了减小数据大小

配置方法：

ospf?

area0。

进入到0区域?

network（代表网段）;把该路由器上地址为网段的接口应用ospf,有2个方向就要有2个network

同等同等

disospfpeerbrief；查看ospf邻居信息

第七章　访问控制列表

35.基本ACL介绍?

ACL是用来实现流识别功能的。

ACL（AccessControlList，访问控制列表）是定义好的一组规则的集合，通经常使用于:

标识感兴趣网络流量?

过滤经过路由器的数据包

分类：

基本ACL：

2000～2999报文的源IP地址?

高级ACL：

3000～3999报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性等三、四层信息

配置ACL的过程：

实际上就是告诉路由器同意或者拒绝某些数据包

ACL难点：

通配符、语句顺序、方向性

单台：

rule10permitsource?

同意来自主机的IP数据包通过?

rule10denysource?

拒绝自主机的IP数据包通过

多台：

rule10permitsource?

同意来自IP地址为10.×.×.×（即IP地址的第一个字节为10）的主机的数据包通过。

样例：

同意来自/的IP数据包通过?

rule5permitsource；掩码位反过来（简单的0和25。

复杂）?

复杂写的话主是224相应机器数32－1＝31

特殊的通配符掩码?

0关心位255不关心位X?

sourceany?

=permitsource?

=permit?

source0某一具体主机?

=permitsource

ACL顺序匹配：

一但匹配成功，后面的列表将不再检查（比较苛刻的放前面）?

未命中规则（一条都不匹配）：

不同模块处理不一样。

假设是转发模块。

则转发数据包；假设是telnet模块，则不同意;假设是路由过滤，不同意路由通过。

禁止－思路

PS：

最后一条，96应该是100

样例：

acl2000?

rule………………..?

intgi0/0/0;进入相关接口?

traffic-filterinboundacl2000；应用到相关接口

disacl2000。

查看?

distraffic-filterapplied-record；查看接口（方向）应用了哪个列表

36.基本ACL应用案例

禁止telnet：

user-interfacevty04；进到vty?

acl2999inbound。

应用到该接口，和物理接口有差别

ruleprimit;ACL中加这名是由于，ACL匹配未成功后。

telnet模块。

不同意通过数据包

telnet-a。

－a参数。

以指定IP源telnet

时间控制：

time-rangework-time9:

0to18:

00working-day6。

定义“work-time”星期一到六?

acl2001?

ruledenytime-rangeworktime；上班时间不同意上网?

rulepermit

禁止学习某路由表；?

rip1。

进到相关rip?

filter-policy（过滤策略）2000export;2000为定义的acl。

export代表向外公布；import代表我要学习

自己主动让匹配宽松的放前面，苛刻的放后面?

acl2200match-orderauto

37.高级ACL?

aclnumber3000;高级?

rule5permittcpdestination0destination-porteqwww?

；同意全部机器TCP访问目标机器的www服务?

rule10denyipdestination0；拒绝全部的IP协议（包括icmp）访问

traffic-filterinboundacl3000；进入port。

并应用

ACL放置位置

基本ACL尽可能靠近目的?

高级ACL尽可能靠近源

内能够ping外，外不能够ping内（ping分析：

去类型为：

echo回类型为：

echo-reply）?

aclnumber3000?

rule5denyicmpicmp-typeecho?

rule10permitip?

traffic-filterinboundacl3000

内能够telnet外，外不能够telnet内（tcp三次握手，第一个包不带ack位）?

rule8permittcptcp-flagack；放行带ack的?

rule9denytcp；拒绝不带ack的

第八章　网络地址转换

38.静态NAT、动态NAT

静态nat和外网地址一一相应，n–n不能降低公网地址；

环回口配置?

intlookback1?

ipadd

iproute-static0gi0/0/1。

要上网的路由需加的路由表

静态nat配置?

intgi0/0/1；进入外网接口?

natstaticglobal（公网IP，不一定是接口IP）inside?

特点：

发包源IP地址转换收包目的IP地址转换?

disnatstatic;查看静态nat

动态nat配置?

intgi0/0/1；进入外网接口?

acl2000;定义acl编号?

rulepermit；地址范围内网?

nataddress-group1；外网地址范围?

natoutbound2000address-group1no-pat。

先内后外no-pat不做port转换?

特点：

100对50仅仅能节省部分地址?

disnatsessionall;显示nat转换情况

、NATserver

NAPTorPAT（port地址转换）?

：

动态port转换?

设置同动态NAT?

natoutbound2000address-group1；先内后外与动态NAT差别：

no-pat

EasyIP配置?

（家庭使用，没有固定IP）?

natoutbound2000；仅仅指定源IP

port映射?

natserverprotocoltcpglobalwwwinside8080

第一十一章　交换基础、VLAN

原理和配置?

简单vlan配置?

vlan10。

创建valn?

disvlan?

disportvlan；接口vlan状态?

inteth0/0/0?

porttype-linkaccess；接口类型?

portdefaultvlan10；配置

Accessport在收到数据后会增加VLANTag。

VLANID和port的PVID同样。

Accessport在转发数据前会移除VLANTag。

当Trunkport收到帧时，假设该帧不包括Tag，将打上port的PVID；假设该帧包括Tag，则不改变。

当Trunkport发送帧时。

该帧的VLANID在Trunk的同意发送列表中：

若与port的PVID（trunk2端pvid必须同样，默认是1）同样时。

则剥离Tag发送；若与port的PVID不同一时候，则直接发送。

vlanbatch102030;批量10to30（10，11。

12.…………30）

配置Trunk?

intgi0/0/1?

portlink-typetrunk?

porttrunkallow-passvlanall；同意通过的vlan?

porttrunkpvidvlan1；改变pvid,默认是1

disportvlanactive;查看trunk接口是否打标记，TorU

PS：

取消Trunk?

undoporttrunkallow-passvlanall?

porttrunkallow-passvlan1?

portlink-typeaccess

接口

访port能够连不论什么设备

第一十三章　VLAN间路由、VRRP

58.单臂路由实现VLAN间路由

每一个vlan一个物理连接（一条线）?

交换机与路由2根线（有几个VLAN就有几根线）PS：

缺点?

交换机端：

该端配置和“客户port”同样?

路由端：

仅仅需配IP（网关）

单臂路由

将交换机和路由器之间的链路配置为Trunk链路。

而且在路由器上创建子接口以支持VLAN路由。

交换机端：

配置trunk?

路由器端：

[RTA]interfaceGigabitEthernet0/0/；定义子接口?

[RTA-GigabitEthernet0/0/]dot1qterminationvid2。

分配VLAN?

[RTA-GigabitEthernet0/0/]ipaddress24；配置网关?

[RTA-GigabitEthernet0/0/]arpbroadcastenable。

开启ARP广播

59.三层交换实现VLAN间路由

2层+路由器路由配虚拟portvlan和网关?

[SWA]interfacevlanif2；2同相关VLAN号?

[SWA-Vlanif2]ipaddress24；网关PS：

该地址不能在其他VLAN网段中出现

复杂模式：

三层接二层（带管理）?

中间设置成trunk，三层也要建和二层相关VLAN。

intvlanif放在三层上。

第一十四章　交换机port技术?

63链路聚合（手工模式）

[SWA]interfaceEth-Trunk1?

[SWA-Eth-Trunk1]interfaceGigabitEthernet0/0/1?

[SWA-GigabitEthernet0/0/1]eth-trunk1?

[SWA-GigabitEthernet0/0/1]interfaceGigabitEthernet0/0/2?

[SWA-GigabitEthernet0/0/2]eth-trunk1

diseth-trunk1；查看链路

PS:

trunkport下做链路聚合方法：

先做链路聚合，然后在inteth-trunk数字下做Trunk

72.防火墙技术

依照防火墙实现的方式。

一般把防火墙分为例如以下几类：

包过滤防火墙：

简单。

每一个包都要检查。

缺乏灵活性。

策略多影响性能?

代理型防火墙：

安全，但不方便，针对性强（http代理）。

不通用?

状态检测防火墙：

基于连接状态，结合以上2种防火墙的长处

仅仅防网络层和传输层。

不防应用层（比方站点漏洞）。

防外不防内；

防火墙的安全区域：

Local（100网网）－－－－Trust（85外网）?

－－－－－DMZ（50WEBserver）?

高能够访问低，低不能够访问高

配置思路?

配置安全区域和安全域间。

将接口增加安全区域。

配置ACL。

在安全域间配置基于ACL的包过滤。

1.在AR2200上配置安全区域和安全域间?

system-view?

[Huawei]firewallzonetrust?

[Huawei-zone-trust]priority15?

[Huawei-zone-trust]quit?

[Huawei]firewallzoneuntrust?

[Huawei-zone-untrust]priority1?

[Huawei-zone-untrust]quit?

[Huawei]firewallinterzonetrustuntrust。

配置（进入）域间?

[Huawei-interzone-trust-untrust]firewallenable。

开启该域间的防火墙?

[Huawei-interzone-trust-untrust]quit

2.在AR2200上将接口增加安全区域?

intgi0/0/1?

zoneOUTSIDE；相关接口增加到相关区域（华为防火墙：

假设不增加的话。

与之相连的PC不能访问该port，和路由有差别）

PS：

以上另外等价方法?

firewallzonetrust；进入相关区域?

addintgi0/0/1。

增加相关port

PS：

disfirewallsessionall；查看防火墙的全部会话信息

3.在AR2200上配置ACL?

（同意外网能够telnet内网）?

acl3001?

rulepermittcpdestination0destination-porteq23；同意telnet?

firewallinterzoneINSIDEOUTSIDE。

进入相关域间?

packet-filter3001inbound；应用相关acl

FTP的主动（FTP本身），被动（client）模式

内网访问外网FTP。

FTP主动模式（PORT）不能传数据（经常外网FTPserver访问不了，FTP下载软件要改成被动模式），但被动模式（PASV）能够访问

ASPF配置工作在应用层，检测http、FTP等，能够为这些协议打开放行通道?

firewallinterzoneINSIDEOUTSIDE；进入到相关区域?

detectaspfall；开启检测

展开阅读全文