HCNA.docx

HCNA.docx

《HCNA.docx》由会员分享，可在线阅读，更多相关《HCNA.docx（37页珍藏版）》请在冰豆网上搜索。

HCNA

这两个数值相加除以两遍1024等于1.01，在乘8=8.08M，然后和100兆（对应数值是12.5M）

VRP：

华为设备的操作系统（通用路由平台）

1.查看交换机当前配置的所有信息：

[Huawei]discurrent-configuration

@命令行基础1：

表示处于用户视图

system-view表示进入系统视图

[Huawei]intg0/0/0表示进入接口视图

Ctrl+z等价return：

表示退回到用户视图

[Huawei]sysnameR1表示给设备命名为R1

clocktimezoneCTSadd8：

添加时区中国是东八区

clockdatetime13:

27:

552016-9-20：

表示在用户视图下修改时间（修改时间先修改时区）

disclock表示在用户视图下查看当前时间

配置标题信息：

[AR1]headerlogininformation"Welcome"：

表示登陆前提示

[AR1]headershellinformation"Thanks"：

表示登陆后提示

[AR1]user-interfacevty04

[AR1-ui-vty0-4]表示进入用户虚拟终端连接（就是Telnet设备）

进入后设置用户等级：

假设为：

管理级

[AR1-ui-vty0-4]userprivilegelevel3

通过虚拟终端连接设备设置密码：

[AR1-ui-vty0-4]authentication-modepassword

Pleaseconfiguretheloginpassword（maximumlength16）:

sdty-cc

通过console口连接设备设置密码：

首先console口视图：

[AR1]user-interfaceconsole0

接着设置密码：

[AR1-ui-console0]authentication-modepassword

Pleaseconfiguretheloginpassword（maximumlength16）:

sdty-cc

设置屏保时间:

[AR1-ui-vty0-4]idle-timeout01（0分1秒）虚拟终端连接下（Telnet）

[AR1-ui-console0]idle-timeout10通过console口连接

设置历史命令条数（按上下键显示的使用过的命令）

[AR1-ui-console0]history-commandmax-size20

[AR1-ui-vty0-4]history-commandmax-size20

配置接口IP地址：

1.进入接口视图：

[AR1]intg0/0/0

2.配置IP地址[AR1-GigabitEthernet0/0/0]ipadd10.1.1.124

3.查看所有接口IP配置信息：

[AR1]disipintbrief

4.[R1-ui-console0]screen-length24设置显示多少行

5.清空配置信息：

resetsaved-configuration

@命令行基础2：

[AR1]disversion显示路由器基本信息

在虚拟终端连接下（Telnet）：

aaa认证模式（可以给远程用户设置自己的名字和密码用来访问同一台设备。

）password认证模式（所有用户使用同一个密码，不需要设置名字）

1.进入虚拟终端连接视图：

[AR1]user-interfacevty04

2.设置认证模式[AR1-ui-vty0-4]authentication-modeaaa

3.进入aaa模式下视图：

[AR1]aaa

4.设置用户名和密码：

[AR1-aaa]local-userzhangsaipasswordciphersdty-cc

5.设置该用户的用户等级：

[AR1-aaa]local-userzhangSaiprivilegelevel15

6.设置该用户的用作啥服务：

[AR1-aaa]local-userzhangsaiservice-typetelnet

@配置静态路由：

主机A想访问主机B，但是由于不在一个网段，需要路由过去：

[AR1]iproute-static10.1.2.22410.1.3.2

其中10.1.2.224是主机A想访问的主机B的IP地址；

10.1.3.1是路由器AR2的g0/0/0端口的IP地址，这样主机A

Ping指令：

ping10.1.2.2就可以通了。

但是主机B访问不到主机A，如果想互相通信，需要在主机B添加到A的静态路由：

[AR2]iproute-static10.1.1.12410.1.3.1

@删除静态路由：

[AR2]undoiproute-static10.1.1.12410.1.3.1

Stelnet是一种加密的远程操作

1.先产生密钥证书（RSA证书）：

[AR1]rsalocal-key-paircreate

2.进入vty视图：

[AR1]user-interfacevty04

3.设置远程协议：

[AR1-ui-vty0-4]protocolinboundssh

4.进入aaa认证模式并且设置服务类型（把Telnet改为ssh）：

[AR1]aaa

[AR1-aaa]local-userzhangsaiservice-typessh

[AR1-aaa]local-userzhangsaipasswordsdty-cc

5.设置ssh的user和密码模式：

[AR1]sshuserzhangSaiauthentication-typepassword

[AR1]sshuserzhangSaiservice-typestelnet（交换机）

6.查看ssh用户信息和服务状态：

[AR1]dissshuser-information

[AR1]dissshserverstatus

7.打开stelnet服务（默认是disable）：

[AR1]stelnetserverenable

8.在客户端（需要远程的设备）设置：

[AR2]sshclientfirst-timeenable

9.执行远程操作：

[AR2]stelnet10.1.1.1

Stelnet在H3C上配置

使用SSH+密码认证（基本SSH配置方法）

注：

在用户使用SSH登录交换机时，交换机对所要登录的用户使用密码对其进行身份验证

生成RSA和DSA密钥对

[H3C]public-keylocalcreatersa

[H3C]public-keylocalcreatedsa

设置用户接口上的认证模式为AAA，并让用户接口支持SSH协议

[H3C]user-interfacevty04

[H3C-ui-vty0-4]authentication-modescheme

[H3C-ui-vty0-4]protocolinboundssh

创建用户admin，设置认证密码为sdty-cc登录协议为SSH，能访问的命令级别为3

[H3C]local-useradmin

[H3C-luser-admin]passwordciphersdty-cc

[H3C-luser-admin]service-typesshlevel3

指定用户admin的认证方式为password

[H3C]sshuseradminauthentication-typepassword

一个基本的SSH配置就结束了，配置完成后即可使用SSH登录工具进行连接交换机

@VRP文件系统基础：

1.dirflash查看设备里面的文件

2.查看当前目录：

pwd

3.显示当前目录下的文件信息：

dir

4.查看文本文件的具体内容：

moredhcp-duid.txt

5.跳转到某个文件夹下：

cddhcp

6.创建新的文件目录:

mkdiraaa

7.删除目录：

rmdiraaa（只能删除空目录）

删除非空目录：

deletevrpcfg.zip

8.返回根目录：

cd/

9.返回上一级目录：

cd..

9.重命名文件：

renamevrpcfg.zipa.zip

10.文件复制：

copyflash:

/vrpcfg.zipvrpcfg.zip

11.移动文件到另一个文件夹下：

movea.zipflash:

/

@核心交换机方面的配置—命令：

1.把核心交换机某个端口划分到VLAN800下

1）创建VLAN800：

[core_SW1]vlan800

2）修改端口类型：

[core_SW1-GigabitEthernet0/0/3]port

link-typeaccess

3）把端口划分到某个VLAN：

[core_SW1-GigabitEthernet0/0/3]portdefaultvlan800

4）给VLAN端口分配IP地址：

[core_SW1]intVlanif10

[core_SW1-Vlanif10]ipaddress192.168.10.124

5）给某个端口设置端口类型：

trunk并且允许多个VLAN通过

interfaceGigabitEthernet0/0/2

portlink-typetrunk

porttrunkallow-passvlan20to30

利用acl访问控制列别限制VLAN之间通信

1）创建acl列表：

[core_SW1]acl3000

2）设置访问限制：

[core_SW1-acl-adv-3000]ruledenyipsource192.168.20.10.0.0.254destination19

2.168.30.10.0.0.254

3）在系统视图下将acl下发到vlan接口下：

[core_SW1]traffic-filtervlan20inboundacl3000

4）这样20.1就ping不通30.1，但是30.1可以ping通20.1

@静态路由配置和IP路由原理：

下一跳：

下一个路由器的借口IP地址

路由的优先级：

当存在多个路由来源时，具有高优先级的路由被激活（数值越小，优先级越高）

路由优先级有内外之分，如果外部优先级相同，比较内部优先级

路由的度量值：

（仅限于相同路由协议）

@动态路由协议：

1.基础：

常见的路由协议：

分类：

1）距离矢量路由协议（基于距离矢量算法）

RIP：

路由信息协议

BGP：

边界网关协议

2）链路状态路由协议（基于SPF：

shortpathfirst算法）

OSPF：

开放式最短路径优先

ISIS：

中间系统到中间系统

2.自治系统（AutonomousSystem）：

由同一个技术管理机构管理，使用统一选路策略的一些路由器集合

自治系统系统内部的路由协议——RIP，ISIS，OSPF

自治系统之间的路由协议——BGP

3.路由协议之间的互相操作：

1）路由器学习路由信息，基于同一种路由协议

2）不同路由协议如果想互相学习路由信息，需要引入（import-route）操作

3）最经常使用的路由是：

静态路由和直接路由有时也会引入其他路由协议的路由

@RIP路由协议：

1.RIP度量值：

1）使用跳数作为度量值和衡量到达目的网络的距离

2）缺省情况下，直连网络的路由跳数为0.当路由器发送路由更新时，会把度量值加1,。

3）RIP规定超过15跳为网络不可达

2.RIP配置

1）[R1]rip1（数字1不影响，可以随便取值）

2）[R1-rip-1]version2（RIP协议版本：

两个版本1和2，普遍用2）

3）[R1-rip-1]network172.168.0.0

IP地址为主网络地址：

A类：

10.0.0.0-127.0.0.0

B类：

128.X.0.0-191.X.0.0

C类：

192.X.X.0-223.X.X.0

3.RIP协议的环路问题

1）环路起因：

2）环路避免：

水平分割和毒性反转（需要配置，二者同时配置的话，前者会被自动终结）

水平分割：

[R1-GigabitEthernet0/0/0]ripsplit-horizon

毒性反转：

[R1-GigabitEthernet0/0/0]rippoison-reverse

@OSPF协议（开放式最短路径优先）

1.优点：

无环路，收敛快，扩展性好，支持认证

2.OSPF开销：

（支持线性叠加）

计算公式：

带宽参考值/接口带宽

3.ospf区域

4.ospf配置

1）进入ospf视图：

[R1]ospf

2）进入区域0（主干区域，必不可少）：

[R1-ospf-1]area0

3）宣告两边接口地址的路由信息：

[R1-ospf-1-area-0.0.0.0]network10.1.12.00.0.0.255（通配符掩码）

通配符掩码：

0表示不变，1表示可变

例如：

172.168.1.0/240.0.0.255表示前三位172.168.1不变，0可变，地址范围是：

172.168.1.0—172.168.1.255

5.router_ID：

如果设备存在多个逻辑接口地址（loopback），会选择最大的地址

如果没有逻辑地址，就会选择最大的物理接口地址

接口配置的IP地址的顺序会影响router_ID

router_ID确定顺序：

1）[R1]ospf1router_ID1.1.1.1

2）[R1]routerID1.1.1.1

3）最大loopback地址

4）最大物理接口地址

静态路由特别篇：

AR1到AR4的静态路由：

需要AR1，AR2，AR3分别添加到AR4的静态路由

回程路由同理

5.OSPF认证：

（配置接口认证的优先级高于区域认证方式）

1）区域认证：

2）接口认证：

在边界路由器上公告默认路由，可以获得路由信息

R1是边界路由器，添加默认路由后，区域0内的其他路由器都可以获得外网的路由信息，前提是外网路由器添加了到达这几个路由器的静态路由，公告默认路由后作用是代替每台路由器添加回城的静态路由。

[R1-ospf-1]default-route-advertisealways

@DHCP原理：

DHCP服务器能够为大量主机分配IP地址，并能够集中管理

可以部署的设备：

路由器，Windows和Linux系统的主机等

一：

DHCP配置：

基于接口地址池的DHCP：

1.启动DHCP功能：

[R1]dhcpenable

2.选择接口模式：

[R1-GigabitEthernet0/0/0]dhcpselectinterface

3.设置DNS的地址：

[R1-GigabitEthernet0/0/0]dhcpserverdns-list192.168.100.100

4.设置DHCP服务器的作业时间：

[R1-GigabitEthernet0/0/0]dhcpserverleaseday1hour4minute30

5.设置域名：

[R1-GigabitEthernet0/0/0]dhcpserverdomain-name

6.设置IP地址，使它不被分配给主机

[R1-GigabitEthernet0/0/0]dhcpserverexcluded-ip-address192.168.1.200192.168.1

.210

配置基于全局地址池的DHCP

1.启动DHCP功能：

[R1]dhcpenable

2.设置地址池：

[Huawei]ippooldhcp_name

3.公告网段：

[Huawei-ip-pool-dhcp_name]network192.168.1.0mask24

4.设置网关：

[Huawei-ip-pool-dhcp_name]gateway-list192.168.1.1

5.设置DNS地址：

[Huawei-ip-pool-dhcp_name]dns-list192.168.100.100

6.设置有效时间：

[Huawei-ip-pool-dhcp_name]leaseunlimited

7.设置域名：

[Huawei-ip-pool-dhcp_name]domain-name

8.设置全局模式：

[Huawei-GigabitEthernet0/0/0]dhcpselectglobal

9.配置接口IP地址：

[Huawei-GigabitEthernet0/0/0]的address192.168.2.124

二．DHCP中继配置

（一）DHCP_server配置：

采用全局配配置

（二）DHCP_relay配置

1.开启dhcp功能：

[dhcp_relay]dhcpenable

2.开启DHCP代理服务：

接口下

[dhcp_relay-GigabitEthernet0/0/1]dhcpselectrelay

3.设置要代理的DHCP服务器的IP地址

[dhcp_relay-GigabitEthernet0/0/1]dhcprelayserver-ip192.168.12.1

4.添加路由信息：

利用RIP协议或者ospf协议或者静态路由均可

@ACL访问控制列表：

1．ACL的分类

2．ACL的配置

（1）基本ACL的配置：

两个路由器AR1和AR2已经添加过静态路由，两端的电脑是可以ping通的。

主机一IP：

192.168.1.3主机二IP：

192.168.1.2主机三IP：

192.168.2.2

现在要想禁止主机二访问主机三，在AR1配置：

1.进入ACL：

[R1]acl2000

2.设置匹配规则：

[R1-acl-basic-2000]ruledenysource192.168.1.20.0.0.2通配符掩码，0表示不变位，1表示可变位

这条命令：

允许192.168.1.0和192.168.1.2通过

3.将ACL规则下发到接口上：

[R1-GigabitEthernet0/0/0]traffic-filterinboundacl2000

由于源IP是主机二，所以对于AR1的接口0来说数据包是进入的，用inbound，对于接口1来说，数据包是发出去的，所以用outbound

2.高级ACL

1）ping指令基于ICMP（Internet控制报文协议）

主机A

主机B

PingB，发送echo请求

B回复Aping指令，发送reply

2）Telnet指令基于TCP/IP（主要是TCP）

TCP协议三次握手：

①发送SYN

AR1②回复SYN，ACKAR2

③回复ACK

@NAT转换：

部署在连接内网和外网的设备上

一.静态ＮＡＴ

（一）：

静态ＮＡＴ的特点

1．静态ＮＡＴ实现了私有地址和公有地址的一对一映射。

2．一个公网ＩＰ只会分配给一个固定的内网主机

3.不能减少公网ＩＰ地址的使用

4.内网可以ping通外网，外网也可以ping通内网

（二）：

静态ＮＡＴ的配置

私有IP地址：

A类：

10.X.X.X

B类：

172.16.X.X—172.31.X.X

C类：

192.168.X.X

NAT配置：

在边界路由器AR2的公网接口g0/0/1上配置

[AR2-GigabitEthernet0/0/1]natstaticglobal61.0.0.11inside192.168.1.1

2．动态ＮＡＴ

1.创建地址池：

[AR2]nataddress-group161.0.0.1061.0.0.20

2.创建acl：

[AR2]acl3000

3.[AR2-acl-adv-3000]rulepermitipsource192.168.1.00.0.0.255

4.[AR2-GigabitEthernet0/0/0]natoutbound3000address-group1no-pat

5.需要在边界路由器上添加到外网的路由

5.查看地址匹配情况：

[AR2]disnatsessionall

3．PAT（端口地址转换）

配置时候只需要把

[AR2-GigabitEthernet0/0/0]natoutbound3000address-group1no-pat

里的address-group1no-pat去掉

特别篇：

将多个端口划分到同一个vlan中：

1.创建vlan：

[SW5500-EI]vlan20

2.创建端口组：

[SW5500-EI]port-groupss

3.加入端口：

[SW5500-EI-port-group-ss]group-memberg0/0/2tog0/0/3

4.设置端口类型：

[SW5500-EI-GigabitEthernet0/0/2]portlink-typeaccess

5.划分到vlan中：

[SW5500-EI-port-group-ss]portdefaultvlan20

H3C方法：

1.[H3C]vlan10

2.[H3C-VLAN10]portg0/0/1tog0/0/3

@NTP协议（不重要）

1.NTP从时间协议和ICMP时间戳报文演变而来。

用于时间校准

2.应用于分布式时间服务器和客户端之间，实现客户端和服务器的时间同步，使所有设备的时钟基本保持一致

3.NTP协议基于UDP进行传输，使用端口号：

123

1.AR1的配置

[AR1]ntp-serviceenable

[AR1]ntp-servicerefclock-master2

2.AR2的配置

[AR2]ntp-serviceunicast-server192.168.1.1

3.AR3的配置

[AR3]ntp-serviceunicast-peer192.168.2.2

@交换基础、VLAN

一、VLAN原理和配置

1、链路类型

Access：

接入链路，用户主机和交换机之间的链路

Trunk：

干道链路，交换机和交换机之间的链路

3.VLAN间路由和

4.

1.单臂路由实现VLAN间路由

配置：

路由器配置：

[Huawei]intg0/0/0.10

[Huawei-GigabitEthernet0/0/0.10]dot1qterminationvid10

[Huawei-GigabitEthernet0/0/0