1、HCTE 笔记HCTE 笔记Ospf peer记得配!ISP回RTD的路由要配!L2tp若采用域名方式,应配成:start l2tp ip ip-address domain domain-name再加上: l2tp domain suffix-separator 一路由器基本操作 display processes cpu display version二系统管理1 Bootrom与VRP的升级启动AAA 服务器aaa-enable打开计费选择开关aaa accounting-scheme optional设置对login 采用本地验证aaa authentication-scheme lo
2、gin default local2 VRP提供ftp server服务,同时实行aaa验证,但不计费,同上面的配置。另外添加一个ftp用户即可:local ftptest serv ftp pass simple ftptest启动ftp:ftp enable ftp server默认没有安装,需自行安装3 Ping ip c count t timeout s packatsize ip-address显示各调试开关的状态display debugging三接口配置设置统计接口流量的时间间隔 flow-interval minutes 缺省情况下,minutes 的值为5 分钟接口的配置过
3、程,应从底层到高层进行相关的配置:如果该接口是物理接口,需要明确其连接情况、接口工作方式及相关工作参数。 如果该接口是广域网接口,则需要配置和相连的对端接口约定好链路层协议以及工作参数等。 配置该接口的网络协议(如IP 协议)地址。 配置通过该接口能达到的目的网络的静态路由,或者配置动态路由协议在该接口上的工作参数。 如果该接口支持拨号,则需要配置DCC 工作参数以及对Modem 的管理等。 如果该接口在备份中心作为主接口或备用接口,则需要配置有关的备份中心工作参数。 如果需要在该接口上建立防火墙,则需要进行相关的报文过滤或地址转换等参数配置。显示接口当前运行状态和统计信息display in
4、terfaces type number display interfaces brief清除接口统计信息(系统视图下) reset counters interface type number 关闭接口(接口视图下) shutdown重启接口(接口视图下) undo shutdown以太接口:考虑接口速率不匹配的问题,特别是强制速率造成不匹配,观察错误报率Ethernet 0: Warning-the link partner do not support 100M modeEthernet 0: Warning-the link partner may not support 10M mo
5、de两条信息都是在用户执行速率选择命令或连接网线时输出在控制台上的,mtu和封装格式必须一致!设置MTU mtu size设置发送报文的帧格式send-frame-type ethernet_ii | ethernet_snap缺省的发送报文的帧格式为Ethernet_II。允许接口自环loopback 有些接口故障就是这个,注意,默认不设。禁止接口自环undo loopback广域网接口配置:1.异步串口配置:设置同/异步串口工作在异步方式physical-mode async设置异步串口工作在拨号方式modem in | out 对于异步串口,可以用modem 命令来使能拨号设置异步串口的
6、链路层协议link-protocol slip | ppp设置异步串口的波特率baudrate baudrate 缺省值为9600 bps当异步串口作专线使用时,波特率的设置必须与对端设备相同。Modem下可以不同,因为速率由modem协商获得。设置异步串口采用协议方式建立链路async mode protocol设置异步串口采用流方式建立链路async mode flow设置异步串口采用哑终端接入方式建立链路async mode tty系统缺省选择协议方式建立链路。Mtu sizeLoopback2.同步串口配置可以工作在DTE 和DCE 两种方式,一般情况下,同步串口作为DTE设备,接受D
7、CE 设备提供的时钟。设置链路层协议link-protocol fr | hdlc | lapb | ppp | sdlc | x25 使用NRZI 编码格式code nrzi 默认不使用,使用nrz编码。设置同步串口的波特率baudrate baudrate两个同步串口相连时,线路上的波特率由DCE 侧决定,因此当同步串口工作在DCE 方式下,需要设置波特率;如果作为DTE 设备使用,则不需要配置波特率。同步串口的缺省波特率为64000 bps。选择工作时钟选择DCE 侧同步串口时钟clock dceclk选择DTE 侧同步串口时钟clock dteclk1 | dteclk2 | dtec
8、lk3 | dteclk4 DCE 侧同步串口缺省时钟选择为dceclk,DTE 侧同步串口缺省时钟选择为dteclk3允许翻转DTE 侧同步串口的发送时钟信号invert transmit-clock设置同步串口工作在半双工模式reverse-rtsloopback设置keepalive 报文发送周期timer hold seconds当串口使用HDLC 链路层协议时,链路两端设备设置的keepalive 周期必须相等。ISDN接口配置:3逻辑接口配置 dialer接口 mfr接口 loopback接口 创建Loopback 接口并进入Loopback 接口视图interface loopb
9、ack number在Loopback 接口上可以配置32 位的子网掩码,即子网掩码可以为255.255.255.255。而且这个带有32 位子网掩码的IP 地址可以通过路由协议向外发布。在配置Loopback 接口的IP 地址时,最好配置32 位掩码的主机地址, 这样既可以节约地址,也可以满足其它接口借用地址的需求。子接口以太网,帧中继,x.25可以有自己的子接口帧中继:4-5创建并进入广域网子接口interface serial number.sub-number multipoint | point-to-point虚拟接口:virtual-template 用于VPN和MP中。四链路层
10、协议配置ppp/mp配置ppp的配置过程;配置接口的链路层协议为PPP配置PPP 验证方式及用户名、用户口令配置PPP 的AAA 验证及计费参数配置接口的链路层协议为PPPlink-protocol ppp配置PPP 验证方式及用户名、用户口令分为pap,chap两种方式:配置PAP 验证验证端ppp authentication-mode paplocal-user pppuser service-type ppp password simple pppuserpass被验证端:ppp pap local-user pppuser password simple pppuserpass若要双
11、向认证,两边同时进行这种配置。配置CHAP验证:验证端:ppp authentication-mode chapppp chap user yanzhenlocal-user beiyanzhen service-type ppp password simple 1111被验证端:ppp chap user benyanzhenlocal-user yazhen service-type ppp password simple 1111配置PPP 的AAA 验证及计费参数使能AAA aaa-enable配置AAA 的PPP 验证方法aaa authentication-scheme ppp d
12、efault |list-name method1 | method2 | . 配置AAA 的本地优先验证aaa authentication-scheme local-first在接口上设置AAA 对PPP 的验证方法ppp authentication-mode chap | pap default | list-namemp配置步骤:mp用户绑定方式必须双向认证!创建虚模板接口并配置虚模板接口工作参数 配置物理接口工作在MP 方式并将将物理接口捆绑至虚模板接口 配置MP协议参数创建并进入MP 虚模板接口interface virtual-template number 然后进行一般接口配
13、置。物理接口; 配置接口的链路层协议为PPP link-protocol ppp配置接口工作在MP 方式ppp mp将物理接口绑定到虚模板接口ppp mp interface virtual-template interface-number根据用户名或终端标识符捆绑根据验证的用户名进行捆绑ppp mp binding-mode authentication将PPP 用户和虚模板接口相关联ppp mp user user-name bind virtual-template number 其中username为对端发送过来的用户名。Ppp/mp配置实例:采用用户名绑定方式,这种情况两个物理接口
14、的验证方式必须一致,若采用接口直接绑定(有可能是用户绑定中两种验证发送的用户名不同,其中只有chap的方式通过pap没有通过,也就是只有chap的那一条正常工作,正说明这一点),即在物理接口中:ppp mp interface virtual 1 此时验证方式可以是不同的,试验的结果。路由器a:adis cur Now create configuration. Current configuration ! version 1.74 local-user b service-type ppp password simple test chap时两端密码必须一致! ppp mp user b
15、bind Virtual-Template1 /*此处user为对端发送user */ firewall enable sysname a ! interface Serial0 link-protocol ppp ppp authentication-mode chap ppp mp ppp chap user a ! interface Serial1 link-protocol ppp ppp authentication-mode chap ppp mp ppp chap user a ! interface Virtual-Template1 link-protocol ppp ip
16、 address 10.1.1.1 255.255.255.0 ! return路由器b; version 1.74 local-user a service-type ppp password simple test ppp mp user a bind Virtual-Template1 firewall enable sysname b ! interface Serial0 clock DTECLK1 link-protocol ppp ppp authentication-mode chap ppp mp ppp chap user b ! interface Serial1 clo
17、ck DTECLK1 link-protocol ppp ppp authentication-mode chap ppp mp ppp chap user b ! return帧中继配置DLCI为表示虚链路的局部标识,DLCI与协议地址的映射。DLCI 161007,所以可认为本地DLCI 就是对端设备的“帧中继地址”。不同物理接口上相同的DLCI 并不表示是同一个虚连接。必须在同步方式下工作。帧中继的配置包括: 配置接口的链路层协议为帧中继 配置帧中继接口的终端类型 配置帧中继LMI 协议类型 配置帧中继LMI 协议相关参数 配置帧中继地址映射 配置帧中继本地虚电路号 配置帧中继子接口 配
18、置帧中继PVC 交换 配置多链路帧中继(FRF.16) 看手册更好!实例:DCE端:version 1.74 firewall enable sysname a fr switching /*要设置DCE必须使能 fr switching */ ! interface Serial0 link-protocol fr ip address 10.1.1.1 255.255.255.0 fr interface-type DCE fr map ip 10.1.1.1 dlci 20 fr dlci 20 quit ! returnDTE端: version 1.74 firewall enabl
19、e sysname b ! interface Serial0 clock DTECLK1 link-protocol fr ip address 10.1.1.2 255.255.255.0 ! return注意:fr中,常要用到静态路由,fr只是作为一种连接两个串口的方式,应将自己的路由指向对端地址,两端地址必须在同一子网中。如两个router中各有另外的网段,这时候就加上静态路由,以使网段间通信。五网络协议DHCP配置:DHCP 服务器可根据不同需求提供三种IP 地址分配策略:手工分配:特定server 自动分配:永久拥有 动态分配:租借方式可设置dhcp中继方式让远端使用本地dhcp服
20、务。步骤:启动/关闭DHCP 服务 创建DHCP 地址池 配置DHCP 地址池的地址范围 配置DHCP 地址池中不参与自动分配的IP 地址 配置DHCP 客户端的出口网关路由器的IP 地址 Ducp enable创建DHCP 地址池或进入DHCP 地址池视图 dhcp server ip-pool pool-nameDHCP 服务器中的地址池以“树”状结构进行组织。树根是自然网段的地址,每个分支是该网段的子网地址,叶节点是手工绑定的客户机地址。配置静态绑定的IP 地址static-bind ip-address ip-address mask netmask 配置静态绑定的客户端MAC 地址s
21、tatic-bind mac-address mac-address命令static-bind ip-address、static-bind mac-address 必须配合使用,并且都不具备叠加功能,即最新配置会覆盖旧配置。配置动态分配的IP 地址范围network ip-address mask netmask dhcp server forbidden-ip low-ipaddress high-ipaddress 不参与dhcp的IP即手工配置了的如serverMAC 绑定的优先级比禁用的高配置DHCP 客户端的出口网关地址gateway-list ip-address1 ip-add
22、ress2 ip-address8 当指定多个出口网关地址时,需要在gateway-list 命令中连续配置两个以上的地址,而不是多次使用该命令,因为新出口网关地址会覆盖旧地址,而不是地址叠加。DHCP中继所有经过的3层设备都要加入中继命令。IP 辅助地址就是指DHCP 服务器的地址增加接口IP辅助地址 ip relay-address ip-addressDHCP服务器必须有同一网段的地址池,并且有到这一网段的路由。NAT配置私有,公有地址转变,实现 与之间的一个转换过程。地址转换的配置包括: 配置地址池 配置访问控制列表和地址池的关联 配置访问控制列表和接口的关联(EASY IP 特性)
23、配置内部服务器 配置地址转换的有效时间定义一个地址池nat address-group start-addr end-addr pool-name每个地址池中的地址必须是连续的,每个地址池内最多可定义64 个地址配置访问控制列表和地址池关联定义访问控制列表 acl number 用于定义内部地址范围下面的在出口接口上配置:增加访问控制列表和地址池关联nat outbound acl-number address-group pool-name增加访问控制列表和接口关联nat outbound acl-number interface它是指在地址转换的过程中直接使用接口的IP 地址作为转换后的源
24、地址增加一个内部服务器:nat server global global-addr global-port | any | domain |ftp | pop2 | pop3 | smtp | telnet | www inside inside-addr inside-port | any | domain | ftp | pop2 | pop3 | smtp |telnet | www protocol-number | ip | icmp | tcp | udp 例:nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp配置
25、地址转换的有效时间nat aging-time tcp | udp | icmp seconds六 路由协议Rip协议 16跳限制RIP 基本配置包括: 启动RIP rip 在指定网络上使能RIP network Ip-address 只在指定工作段工作,所以必须加入 配置邻居路由器 peer ipaddress 工作于非广播网时必须指定。 指定接口的RIP 版本 rip virtion 默认1,只接受1,2广播报文,不接受2的组播报文 rip版本不对也有错误指定接口工作: rip work 加上!缺省是有的,但有时最好是加上。禁用RIP-2 自动聚合路由功能 undo summary!Rip
26、2 支持验证配置RIP-2 的明文认证字rip authentication-mode simple password配置RIP-2 MD5 认证的认证字rip authentication-mode md5 key-string string配置RIP-2 MD5 认证的报文类型rip authentication-mode md5 type nonstandard-compatible | usual OSPF协议Router id Ospf enable ospf enable area area-id 指定接口所在的区域ospf network-type broadcast | nbm
27、a | p2mp |p2p 配置OSPF 接口的网络类型ospf peer ip-address 指定NBMA 接口的邻居以及隧道邻居也需要,同时Hello-timer,dead timer,区域号,链路类型必须一致。设置接口在选举“指定路由器”时的优先级ospf dr-priority value 默认1,大的值当选。创建并配置虚连接vlink peer-id router-id transit-area area-id hello-timerseconds retransmit-timer seconds transit-delayseconds dead-timer secondsdis
28、play ospf aseospf ase和ospf的路由信息是分开的。display ospf peer !display ospf routingdisplay ospf vlinkBGP配置Bgp需引入路由才能工作。Bgp as-numbernetwork ip-address mask address-mask route-policy policy-name 配置本地BGP 发送网络peer peer-address as-number as-number 配置指定对等体的AS号peer peer-address next-hop-local 配置对等体发布路由时将自身地址作为下一跳
29、import protocol更多如路由过虑等等看手册.七 组播八 安全aaa认证使能AAA aaa-enableaaa authentication-scheme login efault localaaa authentication-scheme local-firstaaa accounting-scheme-scheme ptional 即使无法实施计费,也不会挂断用户一定要!Ip pool pool-number low-ip-address high-ip-address 配置本地IP 地址池 0-99 为PPP 用户分配IP 地址remote address ip-addres
30、s | pool pool-number 配置用户及口令local-user user-name password simple | cipher password ftp用户?看手册!ACL建立并控制列表的匹配顺序 acl acl-number match-order config | auto rule normal | special permit | deny source source-addr source-wildcard | any rule normal | special permit | deny pro-number source source-addrsource-wildcard | any source-port operator port1 port2 destinationdest-addr de
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 