共分为A.B.C.D.E五类:

类别 地址范围 二进制表示范围

单个子网可用

的主机数

(除0网段地址

和1广播之外)
A

1-126 (1.0.0.1-126.255.255.254可用)

 

127.0.0.1属于环回地址,保留用于测试,不能被分配使用

10.0.0.0-10.255.255.255是私网地址

 00000001-01111110

2**24-2=

16777214
B

128-191 (128.0.0.1-191.255.255.254可用)

 

172.16.0.0-172.31.255.255是私网地址

169.254.X.X保留用于找不到可用DHCP服务器时分配使用

 10000000-10111111

2**16-2=

65534
C

192-223 (192.0.0.1-223.255.255.254可用)

 

192.168.0.0-192.168.255.255是私网地址

 11000000-11011111

2**8-2=

254
D 224-239 (224.0.0.1-239.255.255.254)组播 11100000-11101111  
E 240-255 (240.0.0.1-255.255.255.254)保留 11110000-11111111  

  方法:

  1)确定子网掩码 

  2) 确定网段中的第一个可用ip地址及网段最后一个可用地址

  3)如果一个子网段是原来网络的1/2,则子网掩码往后移1位;如果一个子网段是原来网络的1/4,则子网掩码往后移2位;如果一个子网段是原来网络的1/8,则子网掩码往后移3位,以此类推.

  实例演示记忆: 

  注意:如果某一个网段的子网掩码比默认的子网掩码长,就是其下属的子网;如果该子网的子网掩码比默认的子网掩码要短,则是超网supernet. 

  路由汇总的实质是将子网进行与运算,得到相同的网络部位.可以使用以下示例记忆: 

  共分4层:应用层—–传输层—–Internet网络层—–网络接口层

  用户视图:查看运行状态及其他信息等.

  系统视图:配置设备的系统参数及全局相关参数.

  接口视图:配置接口相关参数.

  协议视图:配置路由协议相关. 

  1. <Huawei>system-view		     #进入系统视图命令
  2. [Huawei]sysname R1			#sysname更改路由器的名字
  3. [R1]
  4. <R1>display version			#显示操作系统版本
  5. <R1>?      			           	#查看可用命令
  6. <R1>display clock			#显示时间
  7. <R1>clock timezone BJ add 08:00	#更改时区
  8. <R1>clock datetime 22:36:54 2019-10-17	#设置时间	
  9. <R1>display clock 
  10. 2019-10-17 22:36:58
  11. Thursday
  12. Time Zone(BJ) : UTC+08:00
  13. # 设置设备当前日期和时间为2012年1月1日0时0分0秒。格式如下
  14. <Huawei> clock datetime 0:0:0 2012-01-01
  15. # 设置时区
  16. <Huawei> clock timezone BJ add 08:00:00

  注意:路由器上的交换模块接口,默认都属于vlanif1,且交换模块不可配置直接配置IP地址,需把接口加入vlanif_ID. 

  AR路由器上路由和交换模块的逻辑图如下:

  配置命令示例:

  1. [R1]interface Vlanif 1
  2. [R1-Vlanif1]ip address 192.168.1.254 24
  3. [R1-Vlanif1]ip address 192.168.2.254 24 sub		#配置第二个ip地址,注意要不同网段
  4. [R1-Vlanif1]undo ip address 192.168.2.254 24 sub	#删除IP地址
  5. [R1-Vlanif1]undo shutdown
  6. [R1]interface Ethernet 0/0/0
  7. [R1-Ethernet0/0/0]port link-type access		     #指定以太网接口是接计算机的

  配置console口:

  1. [R1]user-interface console 0
  2. [R1-ui-console0]authentication-mode password
  3. Please configure the login password (maximum length 16):123456		#输入密码即是登陆密码
  4. [R1-ui-console0]idle-timeout 5		#设置超时时间为5分钟
  5. [R1-ui-console0]display this		#显示单个接口的具体配置信息
  6. [V200R003C00]
  7. #
  8. user-interface con 0
  9.  authentication-mode password
  10.  set authentication password cipher %$%$8hQgDg@_5</g\!.Y28kT,$!_:={c8ZQ_P**B;s0o
  11. m@tR$!b,%$%$
  12. user-interface vty 0 4
  13. user-interface vty 16 20
  14. #
  15. return
  16. #########重设console口的密码
  17. Password:
  18. <R1>system-view 
  19. Enter system view, return user view with Ctrl+Z.
  20. [R1]user-interface console 0
  21. [R1-ui-console0]set authentication password cipher 123		#重设为123
  22. [R1-ui-console0]undo authentication-mode			#不设置密码,清空密码认证

  配置telnet(非加密端口,传输层协议tcp+23):

  1. <R1>system-view
  2. Enter system view, return user view with Ctrl+Z.
  3. [R1]telnet server enable                      #使能Telnet服务器功能
  4. [R1]telnet server port 23                    #配置Telnet服务器端口号
  5. [R1]user-interface vty 0 4
  6. [R1-ui-vty0-4]user privilege level 4
  7. [R1-ui-vty0-4]undo user privilege level        #还原缺省值级别命令
  8. [R1]user-interface ?
  9.   INTEGER<0,129-149>   The first user terminal interface to be configured
  10.   console              Primary user terminal interface		#超级终端
  11.   current              The current user terminal interface		
  12.   maximum-vty          The maximum number of VTY users, the default value is 5
  13.   tty                  The asynchronous serial user terminal interface 
  14.   vty                  The virtual user terminal interface 	#虚拟接口
  15. [R1]user-interface vty 0 4		#0 4意思是最大允许同时0,1,2,3,4共5个人telnet链接
  16. [R1-ui-vty0-4]authentication-mode password			#注意这是单单console口的密码
  17. Please configure the login password (maximum length 16):123456
  18. [R1-ui-vty0-4]idle-timeout 2			#设置超时时间
  19. [R1-ui-vty0-4]user privilege level 15		#设置telnet登录进来的等级
  20. [R1-ui-vty0-4]undo user privilege level 15	#取消等级
  21. [R1-ui-vty0-4]set authentication password cipher 123		#重设密码为123
  22. <R1>display users				#查看链接到路由器的用户,或下面也是一样的
  23. <R1>display user-interface

  配置用户名和密码验证(即 AAA ,authentication身份验证,authorization授权验证,accounting账户记账)步骤:

  1)进入aaa模式创建用户名和密码.

  2)指定此用户进行哪一种服务的aaa验证(默认admin存在).

  3)进入接口模式(console或telnet虚拟接口),指定验证模式为aaa.  

  1. <R1>system-view 
  2. Enter system view, return user view with Ctrl+Z.
  3. [R1]aaa
  4. [R1-aaa]local-user test password cipher 123456		#增加用户和设置加密的密码
  5. Info: Add a new user.
  6. [R1-aaa]local-user test privilege level 15			#设置test用户级别
  7. [R1-aaa]local-user test service-type ?				#查看用户可用的验证类型接入方式
  8.   8021x     802.1x user
  9.   bind      Bind authentication user
  10.   ftp       FTP user
  11.   http      Http user
  12.   ppp       PPP user
  13.   ssh       SSH user
  14.   sslvpn    Sslvpn user
  15.   telnet    Telnet  user
  16.   terminal  Terminal user
  17.   web       Web authentication user
  18.   x25-pad   X25-pad user
  19. [R1-aaa]local-user test service-type telnet			#指定用户可以使用telnet和console,取消都是使用undo
  20. [R1-aaa]local-user test service-type terminal    #注意,同时配置console和telnet使用aaa验证,可能只有一个生效
  21. [R1-aaa]display local-user 
  22.   ----------------------------------------------------------------------------
  23.   User-name                      State  AuthMask  AdminLevel  
  24.   ----------------------------------------------------------------------------
  25.   test                           A      M         15         
  26.   admin                          A      H         -          #<===缺省已经存在一个admin用户允许进行aaa验证
  27.   ----------------------------------------------------------------------------
  28.   Total 2 user(s)
  1. <Huawei> system-view
  2. [Huawei] interface gigabitethernet 0/0/0
  3. [Huawei-GigabitEthernet0/0/0] ip address 10.0.0.1 24
  4. [Huawei-GigabitEthernet0/0/0] quit
  5. [Huawei] aaa    #配置aaa认证
  6. [Huawei-aaa] local-user admin password irreversible-cipher 123456
  7. [Huawei-aaa] local-user admin privilege level 15
  8. [Huawei-aaa] local-user admin service-type http
  9. [Huawei-aaa] quit
  10. [Huawei] http server enable			#使能http网管功能
  11. [Huawei] quit				#输入接口IP地址即可登录,如https://10.0.0.1
  12. <Huawei> display http server		#查看信息

  网络畅通的条件:数据包有去有回.

  路由器上2张重要的表: 路由表转发表

  1. [Huawei]display ip routing-table           #显示所有路由表
  2. [Huawei]display fib         #显示FIB表信息

  使用静态路由协议,路由器需要知道除自己直连的网段的路由外的所有路由表怎么走,才能让数据包有去有回.没有直连的网段,需手工添加静态路由表.

  1. # 配置路由器使用IP地址作为下一跳地址静态路由
  2. [Huawei]ip route-static 192.168.6.0 255.255.255.0 192.168.4.1	#下一跳地址是192.168.4.1
  3. [Huawei]display ip routing-table		#显示所有路由表
  4. [Huawei]display ip routing-table protocol static	#仅仅显示静态路由表
  5. [Huawei]undo ip route-static 192.168.4.1		#删除路由表不用加下一跳地址
  6. # 使用路由器的出接口地址接口号作为路由器下一跳的地址(串口/广域网接口最好使用接口编号作为下一条地址,以太网最好使用IP地址作为下一跳,节省查询路由表的开销),serial串口/广域网接口是点到点链路,使用ppp封装.
  7. [Huawei]ip route-static 172.16.1.0 24 serial 2/0/0    #指定路由器的出接口为下一跳地址
  8. [Huawei]display ip routing-table           #显示所有路由表

  配置主机路由:主机路由指定的特定的主机地址,子网掩码是全1,即255.255.255.255  

  1. [Huawei]ip route-static 192.168.2.1 32 172.168.2.1	
  2. [Huawei]display fib			
  3. [Huawei]display ip routing-table

  注意:默认路由的优先级是最低的,子网掩码为1的位越多,优先级越高.  

  等价路由,转发数据时按照1:1转发.  

  1. [Huawei]ip route-static 192.168.3.0 24 192.168.0.2
  2. [Huawei]ip route-static 192.168.3.0 24 192.168.1.2
  3. [Huawei]display ip routing-table protocol static

  浮动路由:即主备关系,主线断,备线顶上.(值越小,优先级越高)  

  1. [Huawei]ip route-static 192.168.6.0 24 172.16.0.2 ?
  2.   description   Add or delete description of unicast static route
  3.   inherit-cost  Inherit the cost of the iterated route
  4.   permanent     Specifies route permanent
  5.   preference    Specifies route preference
  6.   tag           Specifies route tag
  7.   track         Specify track object
  8.   <cr>          Please press ENTER to execute command 
  9. [Huawei]ip route-static 192.168.6.0 24 172.16.0.2 pre	
  10. [Huawei]ip route-static 192.168.6.0 24 172.16.0.2 preference ?
  11.   INTEGER<1-255>  Preference value range
  12. [Huawei]ip route-static 192.168.6.0 24 172.16.0.2 preference 120		#设置备用路由线路优先级为120
  13. [Huawei]display ip routing-table protocol static				#直连路由优先级最高,备用路由在主路由表失效时失效

  RIP协议版本的区别:

  1)RIPv1:通过广播方式255.255.255.255 FF-FF-FF-FF-FF-FF发现邻居和通告路由表信息;不带子网掩码,支持等长子网,不支持变长子网,不支持路由手动汇总;不支持认证.

  2)RIPv2:通过多播地址224.0.0.9发现邻居和更新路由表信息;带子网掩码,支持等长和变长子网,支持手动路由汇总;支持认证,有明文和MD5两种认证方式 ;

  RIP协议几个计时器:

  1)每隔30秒发送更新路由表信息给对方.

  2)失效计时器是180秒,跳数超过16跳不可达.

  3)垃圾搜集计时器:失效的路由,过了120秒,从路由表彻底删除. 

  常用配置命令: 

  1. [Huawei]rip 1		#1代表进程ID
  2. [Huawei-rip-1]network 10.0.0.0		#通告本网段路由信息
  3. [Huawei-rip-1]network 192.168.1.0
  4. [Huawei-rip-1]version ?
  5.   INTEGER<1-2>  Version of RIP process
  6. [Huawei-rip-1]version 2			#使用版本2可以使路由表带有更为精确的子网掩码信息
  7. [Huawei-rip-1]summary always			#默认总是自动汇总(接口如果启用了水平分割和毒性逆转需同时执行此命令才会自动汇总)
  8. [Huawei-rip-1]undo summary				#关闭自动汇总,可支持不连续子网
  9. [Huawei]interface GigabitEthernet 0/0/0		#在接口视图下进行手工汇总
  10. [Huawei-GigabitEthernet0/0/0]rip summary-address 192.168.10.0 255.255.255.128
  11. <Huawei>display rip 1 route			#显示此进程的路由信息
  12. <Huawei>display rip 1 database			#显示rip 1进程数据信息
  13. <Huawei>display ip routing-table protocol rip	#查看rip协议学到的路由信息
  14. <Huawei>display rip 1 interface			#查看正在运行rip协议的接口的相关信息
  15. <Huawei>terminal monitor #查看rip协议活动信息
  16. <Huawei>terminal debugging
  17. <Huawei>debugging rip 1 packet	
  18. <Huawei>debugging rip 1 packet GigabiEthernet 0/0/0	#查看接口发送和接收的rip数据包
  19. <Huawei>undo debugging all	#关闭诊断
  1. <Huawei> system-view
  2. [Huawei] interface gigabitethernet 1/0/0
  3. [Huawei-GigabitEthernet1/0/0] rip authentication-mode ?		#查看rip协议支持的认证方式
  4. [Huawei-GigabitEthernet1/0/0] rip authentication-mode hmac-sha256 cipher admin@huawei 255

  ospf:开放式最短优先动态路由协议,针对ipv4使用的是ospf VERSION2;针对ospf ipv6使用的是ospf VERSION3;ospf支持区域.  

  ospf协议的5种报文:

  1)问候数据包(hello包),发现并建立邻居关系.

  2)数据库描述数据包(database description),向邻居给出自己的链路状态数据库中的所有链路状态的摘要信息.

  3)链路状态请求数据包(Link State Request,即LSR).

  4)链路状态更新数据包(Link State Update,即LSU),使用泛洪的方法对全网更新链路状态.此种数据包的信息最复杂,也是ospf最核心的部分.路由器使用这种数据包将其链路状态信息通告给邻居路由器.在ospf中,只有LSU需要显示确认信息.

  5)链路状态确认数据包(Link State Acknonwledegement,LSAck),对LSU进行确认.

 

  来源:华为官方文档.

  1. #####RouterA的配置文件
  2. #
  3.  sysname RouterA
  4. #
  5. router id 1.1.1.1    #<===router id一般使用路由器的环回地址,且全网唯一(一般需先配置环回接口IP地址)
  6. #
  7. interface GigabitEthernet1/0/0
  8.  ip address 192.168.0.1 255.255.255.0
  9. #
  10. interface GigabitEthernet2/0/0    #<===接口的网络类型须一致(接口视图下查看网络类型ospf network-type ?)
  11.  ip address 192.168.1.1 255.255.255.0
  12. #
  13. ospf 1        #<===ospf的进程号
  14.  area 0.0.0.0    #<===配置区域id,链路两端的ospf区域id须一致
  15.   network 192.168.0.0 0.0.0.255
  16.  area 0.0.0.1
  17.   network 192.168.1.0 0.0.0.255
  18. #
  19. return
  20. ######RouterB的配置文件
  21.  
  22. #
  23.  sysname RouterB
  24. #
  25. router id 2.2.2.2
  26. #
  27. interface GigabitEthernet1/0/0
  28.  ip address 192.168.0.2 255.255.255.0
  29. #
  30. interface GigabitEthernet2/0/0
  31.  ip address 192.168.2.1 255.255.255.0
  32. #
  33. ospf 1
  34.  area 0.0.0.0
  35.   network 192.168.0.0 0.0.0.255
  36.  area 0.0.0.2
  37.   network 192.168.2.0 0.0.0.255
  38. #
  39. return
  40. ######RouterC的配置文件
  41.  
  42. #
  43.  sysname RouterC
  44. #
  45. router id 3.3.3.3
  46. #
  47. interface GigabitEthernet1/0/0
  48.  ip address 192.168.1.2 255.255.255.0
  49. #
  50. interface GigabitEthernet2/0/0
  51.  ip address 172.16.1.1 255.255.255.0
  52. #
  53. ospf 1
  54.  area 0.0.0.1
  55.   network 192.168.1.0 0.0.0.255
  56.   network 172.16.1.0 0.0.0.255
  57. #
  58. return
  59. ######RouterD的配置文件
  60.  
  61. #
  62.  sysname RouterD
  63. #
  64. router id 4.4.4.4
  65. #
  66. interface GigabitEthernet1/0/0
  67.  ip address 192.168.2.2 255.255.255.0
  68. #
  69. interface GigabitEthernet2/0/0
  70.  ip address 172.17.1.1 255.255.255.0
  71. #
  72. ospf 1
  73.  area 0.0.0.2
  74.   network 192.168.2.0 0.0.0.255
  75.   network 172.17.1.0 0.0.0.255
  76. #
  77. return
  78. ######RouterE的配置文件
  79.  
  80. #
  81.  sysname RouterE
  82. #
  83. router id 5.5.5.5
  84. #
  85. interface GigabitEthernet2/0/0
  86.  ip address 172.16.1.2 255.255.255.0
  87. #
  88. ospf 1
  89.  area 0.0.0.1
  90.   network 172.16.1.0 0.0.0.255
  91. #
  92. return
  93. ######RouterF的配置文件
  94.  
  95. #
  96.  sysname RouterF
  97. #
  98. router id 6.6.6.6
  99. #
  100. interface GigabitEthernet2/0/0
  101.  ip address 172.17.1.2 255.255.255.0
  102. #
  103. ospf 1
  104.  area 0.0.0.2
  105.   network 172.17.1.0 0.0.0.255
  106. #
  107. return

  常用的查看配置和诊断命令:

  1. [RouterA] display ospf peer		#显示邻居ospf信息
  2. [RouterA] display ospf routing	#显示本机的ospf路由信息
  3. [RouterA] display ospf lsdb		#显示本机链路状态ospf lsdb数据库信息
  4. [RouterA] display ip routing-table	#显示所有路由表信息
  5. [RouterA] display ospf interface	#查看运行ospf协议的接口
  6. [RouterA] display ospf 1 routing	#显示ospf学到的路由信息
  7. [RouterA] display router id			#显示本机router id
  1. [Huawei]interface LoopBack ?
  2. <0-1023> LoopBack interface number
  3. [Huawei]interface LoopBack 0
  4. [Huawei-LoopBack0]ip address 1.1.1.1 24    #<===一般使用环回接口的IP地址作为router id,此id号全网唯一
  5. [Huawei]router id 1.1.1.1    #<===如果router id改变,则各个协议需运行reset命令才会使新的router id生效
  6. Info: Router ID has been modified, please reset the relative protocols manually
  7. to update the Router ID.
  8. [Huawei]display router id
  9. RouterID:1.1.1.1
  1. #####hello包时间
  2. [Huawei]ospf 1
  3. [Huawei-ospf-1]undo silent-interface all			#取消所有的被动接口
  4. [Huawei]interface Vlanif 1
  5. [Huawei-Vlanif1]ospf timer hello 60
  6. [Huawei-Vlanif1]ospf timer dead 80
  7. [Huawei-Vlanif1]display ospf interface vlanif 1		#查看接口hello包信息
  8. #####设置接口开销
  9. [Huawei]interface GigabitEthernet 0/0/
  10. Huawei-GigabitEthernet0/0/0]ospf cost 500
  11. [Huawei]display ip routing-table protocol ospf
  1. [Huawei]ospf 1
  2. [Huawei-ospf-1]preference ?
  3.   INTEGER<1-255>  Preference value
  4.   ase             AS external link states
  5.   route-policy    Route policy
  6. [Huawei-ospf-1]preference 70
  7. [Huawei-ospf-1]display ip routing-table

  在接口视图下配置DR的优先级,值越大,优先级越高,被选为DR的可能性就越大.

  1. <Huawei> system-view
  2. [Huawei] interface gigabitethernet 1/0/0
  3. [Huawei-GigabitEthernet1/0/0] ospf dr-priority 8

  注意:

  1)交换机及路由器上的所有交换模块的接口缺省默认都属于vlanif1网段,且只有vlanif1可以配置管理IP地址,其他物理端口不可配置IP地址,三层交换机只有虚拟接口vlanif可以配置ip地址.
  2)vlanif1属于全局管理地址及多播包,如BPDU报文传送使用到的vlan,所以,vlan1一般不对外使用,只用来管理交换机和交换机自身发送和接收其他交换机的数据包.
  3)交换机通过构建mac地址表,利用mac地址转发数据帧.

  1. <Huawei>system-view 
  2. Enter system view, return user view with Ctrl+Z.
  3. [Huawei-Vlanif1]ip address 192.168.1.254 24
  4. [Huawei-Vlanif1]display ip interface brief		#显示接口信息
  5. <Huawei>display mac-address		#查看mac地址缓存信息
  6. ######配置交换机端口安全(1.只允许一个mac地址访问,限制交换机连接计算机的数量;2.指定允许访问的mac地址)
  7. <Huawei>system-view 
  8. Enter system view, return user view with Ctrl+Z.
  9. [Huawei]interface Ethernet 0/0/1
  10. [Huawei-Ethernet0/0/1]port-security enable		#使能端口安全
  11. [Huawei-Ethernet0/0/1]port-security protect-action ?
  12.   protect   Discard packets
  13.   restrict  Discard packets and warning
  14.   shutdown  Shutdown
  15. [Huawei-Ethernet0/0/1]port-security protect-action shutdown	#端口保护触发时为关闭端口(恢复需手动undo shutdown)
  16. [Huawei-Ethernet0/0/1]port-security ?
  17.   aging-time      Aging time
  18.   enable          Enable port security
  19.   mac-address     Mac address			#绑定mac
  20.   max-mac-num     Maximum mac address can learn	#限制数量
  21.   protect-action  Action if beyond the limit
  22. [Huawei-Ethernet0/0/1]port-security max-mac-num 1  #限制端口最大连接数量
  23. [Huawei-Ethernet0/0/1]display this
  24. #
  25. interface Ethernet0/0/1
  26.  port-security enable
  27.  port-security protect-action shutdown
  28. #
  29. return
  30. ######指定交换机绑定计算机的mac地址进行链接(在上面基础上,限制接口数量除外)
  31. [Huawei-Ethernet0/0/1]port-security mac-address sticky
  32. [Huawei-Ethernet0/0/1]port-security mac-address sticky 5489-9892-156A vlan 1	#注意使用问号查看mac书写格式
  33. [Huawei-Ethernet0/0/1]display mac-address
  34. [Huawei-Ethernet0/0/1]display this
  35. ######清空交换机某个接口的所有配置(清空后接口是shutdown了)
  36. [Huawei]clear configuration interface Ethernet 0/0/1
  37. Warning: All configurations of the interface will be cleared, and its state will
  38.  be shutdown. Continue? [Y/N] :y
  39. [Huawei]interface Ethernet 0/0/1
  40. [Huawei-Ethernet0/0/1]display this
  41. #
  42. interface Ethernet0/0/1
  43.  shutdown
  44. #
  45. return
  46. ######批量绑定交换机接口和mac地址(创建定义端口组)
  47. [Huawei]port-group vlanport		#定义端口组名称(名称随意给)
  48. [Huawei-port-group-vlanport]group-member Ethernet 0/0/1 to Ethernet 0/0/6	#把端口加入端口组
  49. [Huawei-port-group-vlanport]port-security enable 		#开启交换机端口安全
  50. [Huawei-port-group-vlanport]port-security protect-action shutdown
  51. [Huawei-port-group-vlanport]port-security mac-address sticky		#绑定mac地址(sticky是静态绑定,不是动态)
  52. [Huawei-port-group-vlanport]display mac-address

  缺省情况下,所有华为交换机都开启了生成树stp协议,查看生成树协议相关信息使用以下命令.  

  1. [Huawei]display stp brief 
  2.  MSTID  Port                        Role  STP State     Protection
  3.    0    Ethernet0/0/1               DESI  FORWARDING      NONE
  4. [Huawei]stp disable 			#关闭生成树协议
  5. Warning: The global STP state will be changed. Continue? [Y/N]y
  6. Info: This operation may take a few seconds. Please wait for a moment...done.
  7. [Huawei]stp enable 		#开启生成树协议
  8. Warning: The global STP state will be changed. Continue? [Y/N]y

  1)选择根网桥root bridge:依据网桥bridgeID最低优先(网桥优先级默认32768+mac地址大小),网桥的bridageID可更改.

  2)在每一个非根桥选择一个到根网桥最近的端口最为根端口root ports(根桥与非根桥通信的端口):依据1.根路径成本cost最低 2.直连网桥的bridgeID最小 3.直连网桥的端口ID最小.
  3)在每一个网段选择一个指定端口designated ports:根桥上的所有端口都是指定端口;非根桥上的指定端口依据:根路径成本最低;端口所在网桥的bridgeID最小;直连网桥的端口ID最小.

  4)剩下的就是阻塞端口.

  1. #####查看交换机mac(每个交换机对应一个基本的mac地址,然后每个端口独有一个mac地址)
  2. [Huawei]display bridge mac-address 
  3. System bridge MAC address: 4c1f-cc50-2baa
  4. [Huawei]display stp		#查看全局设置
  5. #####设置网桥ID优先级
  6. [Huawei]stp priority ?
  7.   INTEGER<0-61440>  Bridge priority, in steps of 4096		#4096的倍数
  8. [Huawei]stp priority 0		#网桥ID最小的为根交换机
  9. #####或
  10. [Huawei]stp root ?
  11.   primary    Primary root switch		#根交换机
  12.   secondary  Secondary root switch		#备用
  13. [Huawei]stp root primary			#这条命令也可以设置交换机为根交换机
  14. ######更改端口开销,重新选择根端口命令(在离根最近的交换机上更改)
  15. [Huawei]interface Ethernet 0/0/2
  16. [Huawei-Ethernet0/0/2]stp cost ?
  17.   INTEGER<1-200000000>  Port path cost
  18. [Huawei-Ethernet0/0/2]stp cost 2000			#取消使用undo
  19. ######如果开销一样,就比较网桥的briageID或mac地址
  20. ######更改交换机的PID,重新选举根端口(接口模式下配置,在上游交换机更改)
  21. [Huawei-Ethernet0/0/2]stp port priority ?
  22.   INTEGER<0-240>  Port priority, in steps of 16
  23. [Huawei-Ethernet0/0/2]stp port priority 192 

  生成树经历的5种状态:

  1.禁用disable

  2.阻塞blocking(只接收BPDU)

  3.侦听listening(构建拓扑,选举根桥 根端口 指定端口)

  4.学习learning(构建mac地址表)

  5.转发forwarding发送和接收数据

  1. ######vlan配置
  2. [Huawei]display vlan		#默认所有接口都属于vlan1中
  3. [Huawei]vlan batch 2 3		#连续创建多个vlan
  4. [Huawei-Ethernet0/0/1]display this
  5. #
  6. interface Ethernet0/0/1
  7.  port link-type access
  8.  port default vlan 2
  9. [Huawei-Ethernet0/0/2]display this
  10. #
  11. interface Ethernet0/0/2
  12.  port link-type access
  13.  port default vlan 3
  14. [Huawei-Vlanif2]display this
  15. #
  16. interface Vlanif2
  17.  ip address 192.168.1.254 255.255.255.0
  18. [Huawei-Vlanif3]display this 
  19. #
  20. interface Vlanif3
  21.  ip address 192.168.2.254 255.255.255.0
  22. ######创建端口组,将多个端口同时加入到端口组,然后指定属于某个vlan
  23. [Huawei]port-group vlan2_ports			#组名随意定
  24. [Huawei-port-group-vlan2_ports]group-member Ethernet 0/0/3 to Ethernet 0/0/10	#将端口加入端口组
  25. [Huawei-port-group-vlan2_ports]display this
  26. [Huawei-port-group-vlan2_ports]port link-type access
  27. [Huawei-port-group-vlan2_ports]port default vlan 2		#统一指定接口属于某vlan
  1. [Huawei]interface Ethernet 0/0/11
  2. [Huawei-Ethernet0/0/11]port link-type trunk
  3. [Huawei-Ethernet0/0/11]port trunk allow-pass vlan 2 3		#允许某vlan通过
  4. [Huawei-Ethernet0/0/11]port trunk allow-pass vlan all		#允许所有vlan通过

  如下图:华为交换机需在两端交换机配置,即在LSW5和LSW8开启GVRP功能,并创建相同的vlan,即可实现vlan间的注册和注销.  

  以下命令在LSW5和LSW8同时配置即可.

  1. # 使能全局GVRP功能。
  2. <Huawei> system-view
  3. [Huawei] gvrp
  4. # 使能接口Ethernet2/0/0的GVRP功能。
  5. <Huawei> system-view
  6. [Huawei] interface ethernet 2/0/0
  7. [Huawei-Ethernet2/0/0] port link-type trunk
  8. [Huawei-Ethernet2/0/0] gvrp

  1. ######交换机配置
  2. [Huawei]interface Ethernet 0/0/3
  3. [Huawei-Ethernet0/0/3]port link-type trunk
  4. [Huawei-Ethernet0/0/3]port trunk allow-pass vlan all
  5. ######路由器配置
  6. [Huawei]interface GigabitEthernet 0/0/3
  7. [Huawei-GigabitEthernet0/0/1]ip address 192.168.0.1 24
  8. [Huawei]interface GigabitEthernet 0/0/1.1		#子接口名称随意给
  9. [Huawei-GigabitEthernet0/0/1.1]dot1q termination vid 2		#将子接口和vlan2绑定
  10. [Huawei-GigabitEthernet0/0/1.1]ip address 192.168.1.254 24	#配置ip地址
  11. [Huawei-GigabitEthernet0/0/1.1]arp broadcast enable		#启用arp广播支持
  12. [Huawei-GigabitEthernet0/0/1.1]undo shutdown

  华为三层交换机默认开启三层转发,只需配置好IP地址和干道链路trunk即可实现vlan之间的通信.  

  1. [Huawei]vlan batch 21 22
  2. [Huawei]interface Vlanif 21
  3. [Huawei-Vlanif21]ip address 192.168.2.254 24
  4. [Huawei]interface vlanif 22
  5. [Huawei-Vlanif22]ip address 192.168.1.254 24
  6. [Huawei]interface Ethernet 0/0/22
  7. [Huawei-Ethernet0/0/22]port link-type access
  8. [Huawei-Ethernet0/0/22]port default vlan 22
  9. [Huawei]interface Ethernet 0/0/21
  10. [Huawei-Ethernet0/0/21]port link-type access
  11. [Huawei-Ethernet0/0/21]port default vlan 21

   acl分类:

  1)标准acl:基于源地址控制;基于时间控制;默认允许所有规则(隐藏的;而思科隐藏的acl规则是拒绝所有).

  2)高级acl:基于源IP地址和目标IP地址进行过滤;基于端口和协议过滤;基于时间.

  acl使用步骤:

  1)定义acl编号及对应的过滤规则.

  2)将acl编号绑定到接口应用.

  1. [Huawei]acl ?
  2.   INTEGER<2000-2999>  Basic access-list(add to current using rules)	#标准acl
  3.   INTEGER<3000-3999>  Advanced access-list(add to current using rules)	#高级扩展acl
  4.   INTEGER<4000-4999>  Specify a L2 acl group		#数据链路层的访问控制列表
  5.   INTEGER<5000-5999>  User defined access-list
  6.   ipv6                ACL IPv6 
  7.   name                Specify a named ACL
  8.   number              Specify a numbered ACL

  注意:acl的规则rule步长编号为5,即最小为5,然后10,一次类推;同一方向的acl规则只允许绑定一个编号. 

  1. ######配置基于源地址的acl的
  2. [Huawei-acl-basic-2000]rule 10 permit source 192.168.2.0 0.0.0.255	#10是编号顺序,生效规则是从小到大
  3. ######配置生效时间段
  4. [Huawei]time-range test 12:00 to 20:00 daily		#定义时间段,test是这个时间段的名字
  5. [Huawei-acl-basic-2000]rule 20 permit source 192.168.3.0 0.0.0.255 time-range test	#调用生效时间段
  6. [Huawei-acl-basic-2000]rule 30 deny source any	#最后拒绝所有,后面还隐藏一条允许所有
  7. [Huawei-acl-basic-2000]display this		#查看配置信息
  8. #
  9. acl number 2000
  10.  rule 10 permit source 192.168.2.0 0.0.0.255
  11.  rule 20 permit source 192.168.3.0 0.0.0.255 time-range test
  12.  rule 30 deny
  13. <Huawei>display acl all
  14. ######将acl规则绑定到接口,数据出去/进来时候检查
  15. [Huawei]interface GigabitEthernet 0/0/1
  16. [Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000	#出去的时候检查
  17. ######测试的时候有可能需要更改时间为现在时间
  18. <Huawei>clock datetime 12:00:00 2019-01-01
  19. ######在acl中插入/删除规则(注意编号决定生效顺序),删除使用undo
  20. [Huawei]acl 2000
  21. [Huawei-acl-basic-2000]rule 5 deny source 192.168.2.3 0.0.0.0

  注意:高级acl在书写之前需考虑acl的生效位置,在哪个接口哪个方向过滤;还要注意高级acl的数量.

  高级acl书写格式: 

  1. [R1-acl-adv-3001] rule 10 deny ip destination 192.168.1.0 0.0.0.255 source 192.168.2.0 0.0.0.255
  2. [R1-acl-adv-3001] rule 20 permit udp destination any destination-port eq 53 source 192.168.1.0 0.0.0.255
  3. [R1-acl-adv-3001] rule 30 40 deny ip destination any source any
  4. [R1-acl-adv-3001] rule 40 permit icmp source 192.168.2.0 0.0.0.255 destination any
  5. [R1-acl-adv-3001] rule 50 permit ip destination 192.168.0.0 0.0.255.255 source 192.168.3.0 0.0.0.255
  6. [R1-acl-adv-3001] rule deny ip

  注意:华为交换机acl规则和华为路由器acl规则有区别. 

  华为交换机acl规则配置步骤:

  1) 定义acl

  2)定义流分流

  3) 定义流行为

  4) 创建流策略,绑定流分流和流行为

  5) 在vlanif接口,流量入方向应用流策略

  1. ######定义acl
  2. [Huawei-acl-adv-3001] display this
  3. acl number 3001
  4. rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
  5. rule 20 permit ip 
  6. ######定义流分类(流分类名称随意给,一般和vlan编号对应),并且将流分类和acl对应编号绑定
  7. [Huawai] traffic classifier class1
  8. [Huawai-classifier-class1] if-match acl 3001
  9. [Huawai-classifier-class1] quit
  10. ######定义流行为(流行为的名称一般和vlan号对应)
  11. [Huawai] traffic behavior behavior1
  12. [Huawai-behavior-behavior1] permit
  13. [Huawai-behavior-behavior1] quit
  14. ######创建流策略(流策略的编号一般和vlan号对应),将流分类和流行为绑定
  15. [Huawai] traffic policy policy1
  16. [Huawai-trafficpolicy-policy1] classifier class1 behavior behavior1
  17. [Huawai-trafficpolicy-policy1] quit
  18. ######将流策略编号绑定到vlanif接口应用
  19. [Huawai] interface vlanif 1
  20. [Huawai-vlan1] traffic-policy policy1 inbound

  静态nat指的是将公网IP地址与私网IP地址一对一转换.

  1. [R1] interface GagabitEthernet 0/0/0
  2. [R1-GagabitEthernet 0/0/0] nat global 137.1.1.3 inside 192.168.1.2 netmask 255.255.255.255
  3. <R1>display nat static

  动态nat指的是将私网地址对应公网IP地址池随机转换.(已被使用的公网IP不能再重复被其他内网IP转换使用) 

  1. ######定义公网地址池
  2. [R1] nat address-group 1 122.2.2.2 122.2.2.10
  3. ######定义acl规则
  4. [R1] acl 2000
  5. [R1-acl-basic-2000] rule 10 permit source 192.168.2.0 0.0.0.255
  6. [R1-acl-basic-2000] rule 20 permit source 192.168.1.0 0.0.0.255
  7. ######在外网接口应用NAPT
  8. [R1] interface GigabitEthernet 0/0/0
  9. [R1-GigabitEthernet 0/0/0] nat outbound 2000 address-group 1 (no-pat)	#no-pat是指端口不转换,视情况添加

  easy nat指的是PAT,将一个公网地址对应多个私网地址,进行地址和端口转换,也是现在用到的. 

  1. ######定义acl规则
  2. [R1] acl 2000
  3. [R1-acl-basic-2000] rule 10 permit source 192.168.2.0 0.0.0.255
  4. [R1-acl-basic-2000] rule 20 permit source 192.168.1.0 0.0.0.255
  5. ######在外网接口应用PAT
  6. [R1] interface GigabitEthernet 0/0/0
  7. [R1-GigabitEthernet 0/0/0] nat outbound 2000

  作用:将公网IP地址某个端口映射到内网IP地址及其某个端口.

  注意:公网接口需配置nat server.

  1. [R1-GigabitEthernet 0/0/0] nat server protocol tcp global 12.2.2.2 80 inside 192.168.1.2 www
  2. [R1-GigabitEthernet 0/0/0] nat server protocol tcp global current-interface www inside 192.168.1.2 www  #current-interface指的是当前接口

  不同的vlan,配置不同的地址池即可.

  1. [Router] dhcp enable
  2. [Router] ip pool pool1
  3. [Router-ip-pool-pool1] network 10.1.1.0 mask 255.255.255.0	#dhcp服务器所在子网
  4. [Router-ip-pool-pool1] dns-list 10.1.1.2		#dns
  5. [Router-ip-pool-pool1] gateway-list 10.1.1.1	#网关
  6. [Router-ip-pool-pool1] excluded-ip-address 10.1.1.2 10.1.1.3	#排除分配的IP地址
  7. [Router-ip-pool-pool1] lease unlimited		#租期不受限制
  8. [Router-ip-pool-pool1] static-bind ip-address 10.1.1.4 mac-address dcd2-fc96-e4c0 #静态分配 
  9. [Router-ip-pool-pool1] quit
  10. [Router] interface gigabitethernet 1/0/0
  11. [Router-GigabitEthernet1/0/0] dhcp select global	#接口模式使能dhcp服务器功能
  12. [Router-GigabitEthernet1/0/0] quit
  13. [Router] display ip pool name pool1    #显示地址池信息 
  1. [Router] interface vlanif 10
  2. [Router-Vlanif10] dhcp select interface
  3. [Router-Vlanif10] dhcp server lease day 30
  4. [Router-Vlanif10] dhcp server domain-name huawei.com
  5. [Router-Vlanif10] dhcp server dns-list 10.1.1.2
  6. [Router-Vlanif10] dhcp server excluded-ip-address 10.1.1.2
  7. [Router-Vlanif10] dhcp server static-bind ip-address 10.1.1.100 mac-address 286e-d488-b684
  8. [Router-Vlanif10] quit
  9. [Router] display ip pool interface vlanif10

  1. [RouterA] dhcp enable
  2. [RouterA] interface vlanif 100
  3. [RouterA-Vlanif100] ip address 10.20.20.1 24
  4. [RouterA-Vlanif100] dhcp select relay 
  5. [RouterA-Vlanif100] dhcp relay server-ip 10.10.20.2
  6. [RouterA-Vlanif100] quit
  7. [RouterA] display dhcp relay interface vlanif 100

 

版权声明:本文为blog-tim原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/blog-tim/p/11801943.html