hcna笔记数通方向.docx

1、hcna笔记数通方向第一章VRP操作基础?1VRP基础MiniUsb串口连接交换机的方法2eNSP入门3命令行基础(1)?eNSP中路由开启后（记住port）第三方软件连接该路由方法：用户视图（文件）系统视图（系统sys）接口视图（接口 interface GigabitEthernet 0/0/0）协议视图（路由）display hotkey 显示功能键?display clock 显示时间?clock timezone CST add 8 设置时区（先设时区再设时间）?clock datetime 设置时间header login information #?内容登录前信息header s

2、hell information 登录后信息（格式同上）Ctrl+ 能够退出查看该信息用户权限15 命令权限3?为console口配置password：?user-interface console 0 。进入到相应口?authentication-mode password ；认证模式为passwork?set authentication password cipher huawei ;设置password（路由器不须要）为vty（telnet）设置password?user-interface vty 0 4?其他同上?user privilege level 3；用户命令等级3（管理员

3、）PS：console不用dis history-command；显示历史命令为接口配置2个IP地址（限路由）?system-view?Huaweiinterface gigabitethernet 0/0/0?Huawei-GigabitEthernet0/0/0interface loopback 0 。环回接口（逻辑接口）?管理网口配置：?注意：华为交换机有单独的管理网口，不占用机器配置表中的网口?interface MEth0/0/1 令行基础(2)云配置：udp （入口）1绑定vmware仅主机网卡（出口）2?要做port映射?12 双向 21 双向display version?查

4、看路由器基本信息?display interface GigabitEthernet 0/0/0?查看接口状态信息?display ip interface brief?查看全部接口的IP简要信息。含IP地址?display ip routing-table?查看路由表?display current-configuration?查看当前的配置（内存中）?display saved-configuration?查看保存的配置（Flash中）?dir flash:?查看Flash中的文件?save?保存配置文件?reboot?重新启动设备telnet实验（参照上面命令）?3A认证（不同用户不同p

5、assword）?user-interface vty 0 4?authentication-mode aaa ；差别password?user privilege level 15?aaa?local-user admin password cipher huawei ;建用户并给password?local-user admin privilege level 15?local-user admin service-type telnet ；类型telnet登录后使用dis users 可查看当前登录用户抓包能够分析出telnet的password“Follow TCP Stream”文件

6、系统基础cd 改变文件夹more 查看文件内容copy 复制 copy flash:/ （拷贝根文件夹“需加flash”下的配置文件到当前文件夹）move 移动delete 删除rename 改名undelete 恢复回收站的文件pwd显示路径mkdir 创建文件夹rmdir 删除文件夹format 格式化fixdisk 修复文件系统save 生成display saved显示保存配置display cur 显示当前配置reset saved 删除保存配置 + reboot 第一次设备复位compare configuration 比较配置文件差别删除/永久删除文件?delete /unres

7、erved （dir /all 可查看回收站的文件）?恢复删除的文件?undelete?彻底删除回收站中的文件?reset recycle-bin载入不同的配置文件?dis startup 。查看开机信息，当中有载入配置文件的路径?startup saved-configuration flash:/ ；更改启动配置文件比较当前配置与下次启动的配置?compare configuration系统管理(1)路由器做为client :ftp (FTPserver地址)get 下载文件到ftp?put 上传文件到ftpTFTP相关?（get） 系统管理(2)第二章静态路由?路由原理、静态路由基本配置

8、路由的来源：?直连路由：链路层发现的路由（direct）?管理员手工增加：静态路由 （static）?路由器协议学到的路由：动态路由 （ospf rip）静态路由特点：?优：实现简单，精确控制，不占资源?缺：不适用大型网络，网络变更须要手动改dis ip routing-table ；查看路由表，直连11条目的 经过（本路由出口） 下一跳（下一路由入口）9.静态路由深入分析?优先级pre：直连最大0 OSPF静态?度量值cost：同一路由下。选择最小开销（多因素）的路径以上参数。值越小，优先级越高匹配原则：目的地址和路由表的掩码做与。再比较路由中的“目的地址”优先挑掩码大的做匹配下一跳写法：?

9、点对点：能够省略下一跳；?以太网：能够省略出接口；dis fib ；终于采纳的路由表递归查询（带R标志）：经过中间多次查询。终于到达目的地址缺省路由：网关 ；目的和子网掩码都为0的路由，上互联网都有这条10.负载分担、路由备份?双线路负载（2条线路同一时候工作）：平时2条静态方向不同的路由表，能够达到负载的作用；浮动路由（路由备份，平时仅仅有一条线路工作）：通过当中一条设置成低优先级（增加路由时加preference）的路由，变成浮动（路由表中看不到），出问题才出现；查看某一目的路由的具体信息第三章RIP11.动态路由协议基础常见的动态路由协议有：?RIP：Routing Informatio

10、n Protocol。路由信息协议。?OSPF：Open Shortest Path First。开放式最短路径优先。ISIS： Intermediate System to Intermediate System，中间系统到中间系统。BGP：Border Gateway Protocol，边界网关协议。分类：?自治系统内部的路由协议 IGP：RIPv1/v2、OSPF、ISIS?自治系统之间的路由协议 EGP：BGP单播，组播不同路由协议不能直接互相学习，但能够通过路由引入来导入不同的协议简介及基本配置度量值：跳；最多不能够超过15跳2个路由学习时，更新是一个方向。学回后的路由指向是相反方向

11、 ： UDP：520port 工作在应用层RIP 基本配置?rip?仅仅支持主类网络必须写成rip 1 ；进入相关进程?silent-interface GigabitEthernet0/0/0 。静默（关闭）某接口发送第四章OSPF基本原理及基本配置开放式最短路径优先（OSPF）?链路状态路由协议?无环路?收敛快?扩展性好?支持认证OSPF报文封装在IP报文中，协议号为89。OSPF工作原理：路由通过LSA泛洪收集到路由数据库（LSDB）通过SPF算法依据自身算出最短路由 （交换的不是路由表，而是数据库）hello报文建立邻居关系邻接（同步数据库，full状态）OSPF区域：分区域为了减小数

12、据大小配置方法：?ospf?area 0。进入到0区域?（代表网段） ;把该路由器上地址为网段的接口应用ospf,有2个方向就要有2个network同等同等dis ospf peer brief ；查看ospf邻居信息第七章访问控制列表35.基本ACL介绍?ACL是用来实现流识别功能的。ACL（Access Control List，访问控制列表）是定义好的一组规则的集合，通经常使用于:?标识感兴趣网络流量?过滤经过路由器的数据包分类：?基本ACL：20002999 报文的源IP地址?高级ACL：30003999 报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性等三、四层信

13、息配置ACL的过程：实际上就是告诉路由器同意或者拒绝某些数据包ACL难点：通配符、语句顺序、方向性单台：?同意来自主机的IP数据包通过?拒绝自主机的IP数据包通过多台：?同意来自IP地址为10.（即IP地址的第一个字节为10）的主机的数据包通过。样例：同意来自的IP数据包通过?；掩码位反过来（简单的0和25。复杂）?复杂写的话主是相应机器数32131特殊的通配符掩码?0 关心位 255 不关心位X? source any?= permit?某一具体主机?ACL顺序匹配：一但匹配成功，后面的列表将不再检查（比较苛刻的放前面）?未命中规则（一条都不匹配）：不同模块处理不一样。假设是转发模块。则转发

14、数据包；假设是telnet模块，则不同意;假设是路由过滤，不同意路由通过。禁止思路?PS：最后一条，96应该是100样例：?acl 2000?rule.?int gi0/0/0 ;进入相关接口?traffic-filter inbound acl 2000 ；应用到相关接口dis acl 2000 。查看?dis traffic-filter applied-record ；查看接口（方向）应用了哪个列表36.基本ACL应用案例禁止telnet ：?user-interface vty 0 4 ；进到vty?acl 2999 inbound 。应用到该接口，和物理接口有差别rule primi

15、t ; ACL中加这名是由于，ACL匹配未成功后。telnet模块。不同意通过数据包。a参数。以指定IP源telnet时间控制：?time-range work-time 9:0 to 18:00 working-day 6 。定义“work-time” 星期一到六?acl 2001?rule deny time-range worktime ；上班时间不同意上网?rule permit禁止学习某路由表；?rip 1 。 进到相关rip?filter-policy（过滤策略） 2000 export ;2000为定义的acl 。export 代表向外公布；import代表我要学习自己主动让匹配

16、宽松的放前面，苛刻的放后面?acl 2200 match-order auto37.高级ACL?acl number 3000 ;高级?；同意全部机器TCP访问目标机器的www 服务?；拒绝全部的IP协议（包括icmp）访问traffic-filter inbound acl 3000；进入port。并应用ACL放置位置基本ACL尽可能靠近目的?高级ACL尽可能靠近源内能够ping外，外不能够ping内（ping 分析： 去类型为：echo 回类型为：echo-reply）?acl number 3000?rule 5 deny icmp icmp-type echo?rule 10 perm

17、it ip?traffic-filter inbound acl 3000内能够telnet外，外不能够telnet内（tcp三次握手，第一个包不带ack位）?rule 8 permit tcp tcp-flag ack ；放行带ack的?rule 9 deny tcp ；拒绝不带ack的第八章网络地址转换38.静态NAT、动态NAT静态nat 和外网地址一一相应，nn 不能降低公网地址；环回口配置?int lookback 1?。要上网的路由需加的路由表静态nat配置?int gi0/0/1 ；进入外网接口?（公网IP，不一定是接口IP）特点：发包源IP地址转换 收包目的IP地址转换?dis

18、 nat static ;查看静态nat动态nat配置?int gi0/0/1 ；进入外网接口?acl 2000 ;定义acl编号?；地址范围内网?；外网地址范围?nat outbound 2000 address-group 1 no-pat 。先内后外 no-pat 不做port转换?特点：100对50 仅仅能节省部分地址?dis nat session all ;显示 nat 转换情况、NATserverNAPT or PAT （port地址转换）?：动态port转换?设置同动态NAT?nat outbound 2000 address-group 1 ；先内后外 与动态NAT差别：no

19、-patEasy IP 配置?（家庭使用，没有固定IP）?nat outbound 2000 ；仅仅指定源IPport映射?第一十一章交换基础、VLAN原理和配置?简单vlan配置?vlan 10 。创建 valn?dis vlan?dis port vlan ；接口vlan状态?int eth0/0/0?port type-link access ；接口类型?port default vlan 10 ；配置Accessport在收到数据后会增加VLAN Tag。VLAN ID和port的PVID同样。?Accessport在转发数据前会移除VLAN Tag。当Trunkport收到帧时，假设

20、该帧不包括Tag，将打上port的PVID；假设该帧包括Tag，则不改变。?当Trunkport发送帧时。该帧的VLAN ID在Trunk的同意发送列表中：若与port的PVID（trunk2端pvid必须同样，默认是1）同样时。则剥离Tag发送；若与port的PVID不同一时候，则直接发送。vlan batch 10 20 30 ; 批量10 to 30 （10，11。12.30）配置Trunk?int gi0/0/1?port link-type trunk?port trunk allow-pass vlan all ；同意通过的vlan?port trunk pvid vlan 1 ；

21、改变pvid ,默认是1dis port vlan active ;查看trunk接口是否打标记，T or UPS：取消Trunk?undo port trunk allow-pass vlan all?port trunk allow-pass vlan 1?port link-type access接口访port能够连不论什么设备第一十三章VLAN间路由、VRRP58.单臂路由实现VLAN间路由每一个vlan一个物理连接（一条线）?交换机与路由2根线（有几个VLAN就有几根线） PS：缺点?交换机端：该端配置和“客户port”同样?路由端：仅仅需配IP（网关）单臂路由将交换机和路由器之间的

22、链路配置为Trunk链路。而且在路由器上创建子接口以支持VLAN路由。交换机端：配置trunk?路由器端：?RTAinterface GigabitEthernet0/0/ ；定义子接口?RTA-GigabitEthernet0/0/dot1q termination vid 2 。分配VLAN?；配置网关?RTA-GigabitEthernet0/0/arp broadcast enable 。开启ARP广播59.三层交换实现VLAN间路由2层+路由器 路由配虚拟portvlan 和网关?SWAinterface vlanif 2 ； 2同相关VLAN号?；网关PS：该地址不能在其他VLAN

23、网段中出现复杂模式：三层接二层（带管理）?中间设置成trunk，三层也要建和二层相关VLAN。int vlanif放在三层上。第一十四章交换机port技术?63链路聚合(手工模式)SWAinterface Eth-Trunk 1?SWA-Eth-Trunk1interface GigabitEthernet0/0/1?SWA-GigabitEthernet0/0/1eth-trunk 1?SWA-GigabitEthernet0/0/1interface GigabitEthernet0/0/2?SWA-GigabitEthernet0/0/2eth-trunk 1dis eth-trunk

24、1 ；查看链路PS: trunkport下做链路聚合方法：先做链路聚合，然后在int eth-trunk 数字下做Trunk72.防火墙技术依照防火墙实现的方式。一般把防火墙分为例如以下几类：?包过滤防火墙：简单。每一个包都要检查。缺乏灵活性。策略多影响性能?代理型防火墙：安全，但不方便，针对性强（http代理）。不通用?状态检测防火墙：基于连接状态，结合以上2种防火墙的长处仅仅防网络层和传输层。不防应用层（比方站点漏洞）。?防外不防内；防火墙的安全区域：Local（100网网）Trust（85外网）?DMZ（50WEBserver）?高能够访问低，低不能够访问高配置思路?配置安全区域和安全域

25、间。将接口增加安全区域。?配置ACL。?在安全域间配置基于ACL的包过滤。1.在AR2200上配置安全区域和安全域间?system-view?Huawei firewall zone trust?Huawei-zone-trust priority 15?Huawei-zone-trust quit?Huawei firewall zone untrust?Huawei-zone-untrust priority 1?Huawei-zone-untrust quit?Huawei firewall interzone trust untrust 。配置（进入）域间?Huawei-interzo

26、ne-trust-untrust firewall enable 。开启该域间的防火墙?Huawei-interzone-trust-untrust quit2.在AR2200上将接口增加安全区域?int gi0/0/1?zone OUTSIDE ；相关接口增加到相关区域（华为防火墙：假设不增加的话。与之相连的PC不能访问该port，和路由有差别）PS：以上另外等价方法?firewall zone trust ；进入相关区域?add int gi0/0/1 。增加相关portPS： dis firewall session all ；查看防火墙的全部会话信息3.在AR2200上配置ACL?（同

27、意外网能够telnet内网）?acl 3001?；同意telnet?firewall interzone INSIDE OUTSIDE 。进入相关域间?packet-filter 3001 inbound；应用相关aclFTP的主动（FTP本身），被动（client）模式内网访问外网FTP。FTP主动模式（PORT）不能传数据（经常外网FTPserver访问不了，FTP下载软件要改成被动模式），但被动模式（PASV）能够访问ASPF配置工作在应用层，检测http、FTP等，能够为这些协议打开放行通道?firewall interzone INSIDE OUTSIDE；进入到相关区域?detect aspf all ；开启检测