华为HCNA实验典型实例.docx
- 文档编号:26805591
- 上传时间:2023-06-22
- 格式:DOCX
- 页数:26
- 大小:3.83MB
华为HCNA实验典型实例.docx
《华为HCNA实验典型实例.docx》由会员分享,可在线阅读,更多相关《华为HCNA实验典型实例.docx(26页珍藏版)》请在冰豆网上搜索。
华为HCNA实验典型实例
fi
一、静态路由的配置实例:
实验目的:
将拓扑图网络设备和节点,实现网络互通。
1、规划PC和路由器各接口IP地址;
2、配置路由器和PC的IP地址,并测试直连路由是否通过:
[R1-GigabitEthernet0/0/0]ipaddress192。
168.1.25424//IP地址设置
[R1]displayiprouting-table//查询R1的路由表蓝色表示辅助指令
[R1]displayipinterfacebrief//查询路由器接口IP设置是否正确
注:
其他接口同理!
3、静态路由的配置(给路由器添加路由):
[R2]iproute-static192。
168.1.02412。
1。
1。
1//静态默认路由配置:
在R2路由添加192.168.1。
0网络,出接口是12.1.1。
1(R2的下一跳)
[R2]undoiproute-static192。
168。
1。
02412。
1。
1.1//删除指令
[R1]iproute—static23。
1.1.02412.1.1.2
[R3]iproute-static12.1。
1。
02423。
1.1。
1
[R3]iproute-static192.168.1.02423。
1。
1。
1
[R3]interfaceLoopBack0//进入环回接口环回接口:
模拟路由器上的其他网络号
[R3—LoopBack0]ipaddress3。
3.3。
324//设置环回接口IP地址
4、默认路由的配置:
默认路由:
不知道往哪里去的数据包都交给默认路由。
(不安全、应用在边界路由即连接外网的路由器)
实际环境中会有很多环回接口,若是都使用静态路由的话,那么配置的工作量会非常大,因此引用默认路由解决该问题.
[R1]iproute—static0.0。
0.00.0。
0。
012.1.1。
2//或0。
0。
0.0012。
1。
1.2
[R2]iproute—static0.0。
0.00。
0.0.023.1。
1.2
问题:
1、为什么要在边界路由器上默认路由?
答:
因为企业员工要上网,运行默认路由的这台路由器,都会把不知道往哪里的数据包往互联网上扔!
Thecurrentconfigurationwillbewrittentothedevice. Areyousuretocontinue? (y/n)[n]: y Itwilltakeseveralminutestosaveconfigurationfile,pleasewait...。 。 .. Configurationfilehadbeensavedsuccessfully Note: Theconfigurationfilewilltakeeffectafterbeingactivated 静态路由的负载分担 如图: 静态路由负载分担拓扑图配置地址后,使用静态路由到达网络号2。 2.2.0/24。 达到自由选路功能 [R5]iproute—static2.2。 2。 02456。 1.1。 2 [R5]iproute—static2。 2。 2。 02456。 1.2.2 [R5]iproute—static2.2。 2.02456。 1。 3。 2 二、rip动态路由实例 实验目的: 通过rip动态路由协议配置,使下图设备全网互通 [R1]rip//启动rip进程 [R1-rip-1] [R1—rip—1]network1.0.0.0//宣告直连的主类网络(因为1。 1.1.1是A类地址) [R1—rip—1]network12。 0。 0.0 [R2]rip [R2-rip-1] [R2—rip—1]network2。 0。 0.0 [R2—rip-1]network23。 0。 0.0 [R2—rip-1]network12。 0。 0。 0 [R3]rip [R3-rip-1] [R3-rip—1]network3。 0.0。 0 [R3—rip-1]network23。 0。 0.0 修改成版本RIPv2的方法: [R3—rip-1]version2//注意要将网络中的所有运行rip路由器改成统一版本 工作原理: 运行rip的路由器,每过30秒会把自己完整的路由表发送给邻居(相邻的路由器),并且发出去的时候以跳数加+1发出去。 (收到邻居发来的路由表以后,先检查自己的路由表如果有就学习,没有就丢弃) Rip路由协议通常使用在中小型网络,路由器限制15台以内。 问题: 解决路由环路的办法? 1、触发更新,用来避免环路 2、限制跳数 3、水平分割 4、路由中毒/毒性翻转/路由毒化 5、Rip计时器 (以上方法都是rip路由协议默认启用的) 虽然更改成版本2RIPv2可以解决不连续子网问题,但是会使路由表变大。 为了提高路由器性能需要进行路由手动汇总! [R1-GigabitEthernet0/0/0]ripsummary-address172.16。 0。 0255.255.252.0(掩码需要进行换算) 前提是R1路由器有以下环回接口: 172.16。 1.1172。 16.2。 1172。 16。 3。 1将这三个IP地址换算出子网掩码 RIP支持接口明文验证和密文验证 明文: 密码123 密文: nonstandard国际标准加密算法。 Usual华为私有加密算法。 三、OSPF动态路由协议 [R1]ospf1//启动ospf进程,进程号为1,进程号只具有本地意义(即只区别当前R1路由器的进程号) [R1-ospf-1] [R1]ospf1router—id1。 1。 1.1//在ospf进程后可以加router—id的参数 [R1—ospf—1]area0//进入区域0,也叫主干区域 [R1—ospf-1-area-0.0。 0。 0] [R1—ospf—1—area-0。 0。 0.0]network1。 1。 1.10。 0.0。 0//宣告直连网络(地址)进区域0 [R1-ospf—1-area—0。 0。 0。 0]network12.1.1。 00.0.0。 255//宣告直连网络进区域0,0。 0。 0.255是反掩码(匹配IP地址的范围) R2路由器同理 Router-id: 用来标识一台运行OSPF协议的路由器,并且该标识使用点分十进制来表示,且几乎所有的OSPF报文中都会携带router-id. 注意: 如果一开始启动OSPF进程,没有配置router-id,那么OSPF路由器会自己选举Router-id。 区域只针对接口 四、端口聚合技术实例 [SW1]interfaceEth-Trunk1//创建一个汇聚组 [SW1-Eth—Trunk1] [SW1—GigabitEthernet0/0/1]eth—trunk1//将端口GE0/0/1添加进汇聚组eth—trunk1 [SW1—GigabitEthernet0/0/2]eth—trunk1//将端口GE0/0/2添加进汇聚组eth—trunk1 [SW1—GigabitEthernet0/0/3]eth—trunk1//将端口GE0/0/3添加进汇聚组eth—trunk1 SW2交换机配置同理 [SW2-GigabitEthernet0/0/3]displaycurrent—configuration//任意模式下检查配置是否成功 修改交换机接口速率 五、VLAN实验配置实例 1、单一VLAN [SW1]vlan10 [SW1]vlan20//创建vlan10和vlan20 [SW1-GigabitEthernet0/0/2]portlink—typeaccess//设定该接口类型为access [SW1—GigabitEthernet0/0/2]portdefaultvlan10//设定该接口只能通过vlan10标签的数据包 SW1—GigabitEthernet0/0/3]portlink—typeaccess//设定该接口类型为access [SW1—GigabitEthernet0/0/3]portdefaultvlan20//设定该接口只能通过vlan20标签的数据包 [SW1—GigabitEthernet0/0/1]portlink—typetrunk//设定该接口类型为trunk [SW1-GigabitEthernet0/0/1]porttrunkallow—passvlan? // INTEGER〈1-4094〉VLANID//同行的vlan标签号 allAll//all表示所有的VLAN标签 [SW1—GigabitEthernet0/0/1]porttrunkallow—passvlanall//该接口所有的VLAN数据包都通行 SW2交换机配置同理 2、VLAN间路由配置实例 (单臂路由) [SW1]vlan10 [SW1]vlan20 [SW1—GigabitEthernet0/0/2]portlink—typeaccess [SW1—GigabitEthernet0/0/2]portdefaultvlan10 [SW1-GigabitEthernet0/0/3]portlink—typeaccess [SW1-GigabitEthernet0/0/3]portdefaultvlan20 [SW1—GigabitEthernet0/0/1]portlink—typetrunk//该接口类型为trunk [SW1-GigabitEthernet0/0/1]porttrunkallow—passvlanall//允许所有VLAN数据包通过 [R1]interfaceGigabitEthernet0/0/0。 ? //查询可以设置的子接口编号 <1-4096〉GigabitEthernetinterfacesubinterfacenumber [R1]interfaceGigabitEthernet0/0/0.1//进入路由器子接口 [R1—GigabitEthernet0/0/0.1]dot1qterminationvid10//该接口用来识别VLAN10 [R1-GigabitEthernet0/0/0.1]arpbroadcastenable//打开arp广播 [R1—GigabitEthernet0/0/0.1]ipaddress192。 168.1.25424//设置子接口IP地址 [R1—GigabitEthernet0/0/0。 2]dot1qterminationvid20 [R1-GigabitEthernet0/0/0.2]arpbroadcastenable [R1—GigabitEthernet0/0/0。 2]ipaddress192.168.2。 25424 2、VLAN间路由配置实例 (三层交换机的VLAN间路由) [SW1]vlan10 [SW1]vlan20//创建vlan10和vlan20 [SW1—GigabitEthernet0/0/1]portlink-typeaccess//设定该接口类型为access [SW1—GigabitEthernet0/0/1]portdefaultvlan10//设定该接口只能通过vlan10标签的数据包 [SW1-GigabitEthernet0/0/2]portlink—typeaccess//设定该接口类型为access [SW1-GigabitEthernet0/0/2]portdefaultvlan20//设定该接口只能通过vlan20标签的数据包 [SW1]interfaceVlanif10//进入SW1交换机的VLAN10接口 [SW1-Vlanif10]ipaddress192。 168。 1.25424//设定该VLAN接口IP地址 [SW1]interfaceVlanif20//进入SW1交换机的VLAN10接口 [SW1-Vlanif10]ipaddress192。 168.2.25424//设定该VLAN接口IP地址 六、VRRP虚拟路由冗余协议(公有协议) 配置IP地址和执行OSPF路由协议之后: [R2-GigabitEthernet0/0/1]vrrpvrid1virtual—ip192.168。 1.100//虚拟网关 [R2-GigabitEthernet0/0/1]vrrpvrid1priority105//设置R2路由器该接口的的优先级为105 (使该路由器成为主路由,R3如果优先级低于R2.那么R3则成为从路由),vrrp路由器默认优先级为100。 [R3—GigabitEthernet0/0/1]vrrpvrid1virtual-ip192.168。 1.100//配置虚拟网关1的地址 [R2]displayvrrp//查询VRRP虚拟路由情况 [R2-GigabitEthernet0/0/1]shutdown//关闭路由器接口 [R2-GigabitEthernet0/0/1]undoshutdown/打开路由器接口 [R2-GigabitEthernet0/0/1]vrrpvrid1trackinterfaceGigabitEthernet0/0/0//上行链路跟踪, 一旦接口GE0/0/0出现故障,则路由器优先级会降低10即150—10=95,这样R3就会变成主路由 **************************************************************************************** 由于以上配置在正常情况下,会照成从路由器R3的资源浪费。 因此要配置出两个虚拟网关: [R3-GigabitEthernet0/0/1]vrrpvrid2virtual—ip192。 168.1。 200//配置虚拟网关2的地址 [R3—GigabitEthernet0/0/1]vrrpvrid2priority105//设置优先级为105 [R3—GigabitEthernet0/0/1]vrrpvrid2trackinterfaceGigabitEthernet0/0/0//上行链路跟踪 [R2—GigabitEthernet0/0/1]vrrpvrid2virtual-ip192.168.1。 200//在R2接口设置虚拟网关2地址。 默认优先级为100使R2成为从路由 六、网络安全管理—防火墙的基本配置 〈Huawei〉displaycurrent—configuration\\查询路由器、交换机或防火墙的设备配置信息 〈FW1〉displayfirewallpacket—filterdefaultall\\查询防火墙的区域间规则 [FW1]displayfirewallsessiontable\\查看防火墙的会话表项(临时会话表项) [FW1]firewallzonetrust\\进入trust区域(路由器信任区域) [FW1-zone-trust]addinterfaceGigabitEthernet0/0/2\\将GE0/0/2接口加入trust区域 [FW1]firewallzonedmz [FW1-zone-dmz]addinterfaceGigabitEthernet0/0/3\\将GE0/0/3接口加入dmz区域 [FW1]firewallzoneuntrust [FW1—zone-untrust]addinterfaceGigabitEthernet0/0/1\\将GE0/0/1接口加入untrust区域 ************************************************************************* 需求一: 允许用户区域可以访问企业服务器区域,而服务器区域不能访问用户区域: [FW1]firewallpacket—filterdefaultpermitinterzonedmztrustdirectionoutbound //更改DMZ与trust之间在outbound数据流中为permit //outbound: 优先级高访问优先级低的数据流,permit: 允许 ***************************************************************************** 需求二: 使用AR1路由器telnet到防火墙(由于模拟器的PC不支持telnet功能,因此使用路由器代替) [FW1]firewallpacket-filterdefaultpermitinterzonelocaluntrustdirectioninb ound //更改local与trust之间在inbound数据流中为permit [FW1]user—interfacevty04//开启telnet功能,并同时允许5个用户telnet到该防火墙中 [FW1—ui—vty0—4]authentication-mode? aaaAuthenticationuseaaa//AAA认证登录 passwordAuthenticationusepasswordofuserterminalinterface//自定义输入密码来登录 [FW1-ui-vty0-4]authentication—modeaaa//使用AAA认证登录,默认账户和密码: adminAdmin@123 按照以上方法已经可以通过路由器telnet到防火墙中,但企业中不提倡使用超级用户,现在需要 设定一个特定账户和密码进行telnet [FW1-ui-vty0—4]aaa [FW1-aaa]local—userlewis? access—limitAccesslimit acl-numberConfigureACLnumber ftp—directorySetuserFTPdirectorypermitted idle-cutConfigureidlecut l2tp-ipConfigurebindingipofl2tpforuser levelConfigureuserprivilege passwordStringofplain-textpassword service-typeServicetypesforauthorizedusers stateActivate/blocktheuser(s) valid-periodIndicateuservalidperiod vpn-instanceSpecifyaVPN-Instance [FW1-aaa]local—userlewispasswordcipher123//配置特定telnet账户和密码: lewis123 域内互访过滤策略 要求: 不允许财务部和技术部门之间的PC互访 域内访问过滤策略 [FW1]policyzonetrust//进入trust区域 [FW1-policy—zone—trust]policy1//创建第一个策略 [FW1-policy—zone—trust—1]policysource192。 168.1。 10.0。 0。 0//源地址source //192。 168.1.00.0.0。 255控制网络之间的访问 [FW1—policy-zone—trust—1]policydestination192。 168。 2.10.0。 0.0//目的地址destination //192。 168.2。 00。 0.0.255控制网络之间的访问 [FW1—policy-zone-trust-1]actiondeny//该动作策略不允许源地址(或网络)和目的地址(或网络)无法访问 [FW1—policy—zone—trust-1]actionpermit//该动作策略允许源地址和目的地址互访 Web管理登录账户和密码: admin/Admin@123 域间互访过滤策略 要求: 互联网上的用户CLIENT1访问到企业服务器CLIENT1 非法理论解决思路: 1、通过防火墙配置允许untrust区域访问DMZ企业服务器; 2、因为AR1路由器没有172。 68。 1.0/24网络的的路由表,因此需要在AR1设置默认路由; 3、因为防火墙FW1没有202。 1.1。 0/24网络的的路由表,因此需要在FW1设置默认路由; 实际: 不现实! ! ! 因为AR1是互联网上的路由器,无法配置,另外现实当中不可能把untrust到DMZ之间的流量全部放开; 正确的解决办法是: 放开untrust到DMZ中的ICMPWWWFTP协议包 要求: 互联网上的用户CLIENT1访问到企业服务器CLIENT1 第一步: 创建服务集,并放入服务类型; [FW1]ipservice-setluyuedeservertypeobject//创建名为luyuedeserver的服务集 [FW1—object-service-set—luyuedeserver]service0protocolicmp//将第一个服务放入服务集中,服务为: ICMP [FW1—object—service—set—luyuedeserver]service1protocoltcpdestination-port80 //将第二个服务放入服务集中,服务为www即: TCP协议的80端口 [FW1-object-service—set-luyuedeserver]service2protocoltcpdestination-port21 //将第三个服务放入服务集中,服务为FTP即: TCP协议的21端口 第二步: 开启策略 [FW1]policyinterzoneuntrustdmzinbound //针对untrust和dmz的inbound数据流区域 [FW1—policy—interzone—dm
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 HCNA 实验 典型 实例