hcna笔记数通方向.docx
- 文档编号:13291621
- 上传时间:2023-06-12
- 格式:DOCX
- 页数:17
- 大小:734.67KB
hcna笔记数通方向.docx
《hcna笔记数通方向.docx》由会员分享,可在线阅读,更多相关《hcna笔记数通方向.docx(17页珍藏版)》请在冰点文库上搜索。
hcna笔记数通方向
华为HCNA教程(笔记)
第一章 VRP操作基础
1VRP基础
MiniUsb串口连接交换机得方法
2eNSP入门
3命令行基础
(1)
eNSP中路由开启后(记住port)---第三方软件连接该路由方法:
telnet127、0、0、1port
用户视图(文件)—–系统视图(系统sys)——接口视图(接口interfaceGigabitEthernet0/0/0)——协议视图(路由)
displayhotkey显示功能键
displayclock显示时间
clocktimezoneCSTadd8设置时区(先设时区再设时间)
clockdatetime设置时间
headerlogininformation#
内容
登录前信息
headershellinformation登录后信息(格式同上)Ctrl+]能够退出查瞧该信息
用户权限15命令权限3
为console口配置password:
user-interfaceconsole0。
进入到相应口
authentication-modepassword;认证模式为passwork
setauthenticationpasswordcipherhuawei;设置password(路由器不须要)
为vty(telnet)设置password
user-interfacevty04
其她同上
userprivilegelevel3;用户命令等级3(管理员)PS:
console不用
dishistory-command;显示历史命令
为接口配置2个IP地址(限路由)
system-view
[Huawei]interfacegigabitethernet0/0/0
[Huawei-GigabitEthernet0/0/0]ipaddress10、0、12、1255、255、255、0
[Huawei-GigabitEthernet0/0/0]interfaceloopback0。
环回接口(逻辑接口)
[Huawei-LoopBack0]ipaddress1、1、1、132
管理网口配置:
注意:
华为交换机有单独得管理网口,不占用机器配置表中得网口
interfaceMEth0/0/1//标识有ETH得单独得RJ45网口
ipaddress192、168、5、25024//设置管理网口得ip地址与掩码
汇聚交换机管理IP配置网关vlanif已在核心交换机内
在汇聚交换机中新加与核心交换机中同样vlanif。
并分配IP(网段同网关)
4、命令行基础
(2)
云配置:
udp(入口)1---绑定vmware仅主机网卡(出口)2
要做port映射
1-2双向2-1双向
displayversion
查瞧路由器基本信息
displayinterfaceGigabitEthernet0/0/0
查瞧接口状态信息
displayipinterfacebrief
查瞧全部接口得IP简要信息。
含IP地址
displayiprouting-table
查瞧路由表
displaycurrent-configuration
查瞧当前得配置(内存中)
displaysaved-configuration
查瞧保存得配置(Flash中)
dirflash:
查瞧Flash中得文件
save
保存配置文件
reboot
重新启动设备
telnet实验(參照上面命令)
3A认证(不同用户不同password)
user-interfacevty04
authentication-modeaaa;差别password
userprivilegelevel15
aaa
local-useradminpasswordcipherhuawei;建用户并给password
local-useradminprivilegelevel15
local-useradminservice-typetelnet;类型
telnet登录后使用disusers可查瞧当前登录用户
抓包能够分析出telnet得password“FollowTCPStream”
5、VRP文件系统基础
cd改变文件夹
more查瞧文件内容
copy复制copyflash:
/vrpcfg、zipvrpcfg、zip(拷贝根文件夹“需加flash”下得配置文件到当前文件夹)
move移动
delete删除
rename改名
undelete恢复回收站得文件
pwd显示路径
mkdir创建文件夹
rmdir删除文件夹
format格式化
fixdisk修复文件系统
save生成cfg、zip
displaysaved显示保存配置
displaycur显示当前配置
resetsaved删除保存配置+reboot第一次N ========== 设备复位
compareconfiguration比較配置文件差别
删除/永久删除文件
delete/unreserved(dir/all可查瞧回收站得文件)
恢复删除得文件
undelete
彻底删除回收站中得文件
resetrecycle-bin
载入不同得配置文件
disstartup。
查瞧开机信息,当中有载入配置文件得路径
startupsaved-configurationflash:
/a、zip;更改启动配置文件
比較当前配置与下次启动得配置
compareconfiguration
6、VRP系统管理
(1)
路由器做为client:
ftp(地址)
getvrp、cc下载文件到ftp
putvrp、zip上传文件到ftp
TFTP相关
tput(get)vrpcfg、zip
7、VRP系统管理
(2)
第二章 静态路由
8、IP路由原理、静态路由基本配置
路由得来源:
直连路由:
链路层发现得路由(direct)
管理员手工增加:
静态路由(static)
路由器协议学到得路由:
动态路由(ospfrip)
静态路由特点:
优:
实现简单,精确控制,不占资源
缺:
不适用大型网络,网络变更须要手动改
disiprouting-table;查瞧路由表,直连11条
iproute-static192、168、23、024Serial1/0/0192、168、12、2
目得经过(本路由出口)下一跳(下一路由入口)
9、静态路由深入分析
优先级pre:
直连最大0----OSPF---静态
度量值cost:
同一路由下。
选择最小开销(多因素)得路径
以上參数。
值越小,优先级越高
匹配原则:
目得地址与路由表得掩码做与。
再比較路由中得“目得地址”---优先挑掩码大得做匹配
下一跳写法:
点对点:
能够省略下一跳;
以太网:
能够省略出接口;
disfib;终于採纳得路由表
递归查询(带R标志):
经过中间多次查询。
终于到达目得地址
缺省路由:
0、0、0、00、0、0、0网关;目得与子网掩码都为0得路由,上互联网都有这条
10、负载分担、路由备份
双线路负载(2条线路同一时候工作):
平时2条静态方向不同得路由表,能够达到负载得作用;
浮动路由(路由备份,平时仅仅有一条线路工作):
通过当中一条设置成低优先级(增加路由时加preference)得路由,变成浮动(路由表中瞧不到),出问题才出现
disiprouting-table192、168、4、0verbose;查瞧某一目得路由得具体信息
第三章 RIP
11、动态路由协议基础
常见得动态路由协议有:
RIP:
RoutingInformationProtocol。
路由信息协议。
OSPF:
OpenShortestPathFirst。
开放式最短路径优先。
ISIS:
IntermediateSystemtoIntermediateSystem,中间系统到中间系统。
BGP:
BorderGatewayProtocol,边界网关协议。
分类:
自治系统内部得路由协议——IGP:
RIPv1/v2、OSPF、ISIS
自治系统之间得路由协议——EGP:
BGP
单播,组播
不同路由协议不能直接互相学习,但能够通过路由引入来导入不同得协议
12、RIP简介及基本配置
度量值:
跳;最多不能够超过15跳
2个路由学习时,更新就是一个方向。
学回后得路由指向就是相反方向
RIP1、0:
UDP:
520port工作在应用层
RIP基本配置
rip
network10、0、0、0;仅仅支持主类网络10、0、1、254必须写成10、0、0、0
rip1;进入相关进程
silent-interfaceGigabitEthernet0/0/0。
静默(关闭)某接口发送
第四章 OSPF
20、OSPF基本原理及基本配置
开放式最短路径优先(OSPF)
链路状态路由协议
无环路
收敛快
扩展性好
支持认证
OSPF报文封装在IP报文中,协议号为89。
OSPF工作原理:
路由通过LSA泛洪---收集到路由数据库(LSDB)---通过SPF算法---依据自身算出最短路由(交换得不就是路由表,而就是数据库)
hello报文建立邻居关系---邻接(同步数据库,full状态)
OSPF区域:
分区域为了减小数据大小
配置方法:
ospf
area0。
进入到0区域
network10、1、1、00、0、0、255(代表10、1、1、0网段);把该路由器上地址为10、1、1、X网段得接口应用ospf,有2个方向就要有2个network
同等10、1、0、00、0、255、255同等0、0、0、0255、255、255、255
disospfpeerbrief;查瞧ospf邻居信息
第七章 訪问控制列表
35、基本ACL介绍
ACL就是用来实现流识别功能得。
ACL(AccessControlList,訪问控制列表)就是定义好得一组规则得集合,通经常使用于:
标识感兴趣网络流量
过滤经过路由器得数据包
分类:
基本ACL:
2000~2999报文得源IP地址
高级ACL:
3000~3999报文得源IP地址、目得IP地址、报文优先级、IP承载得协议类型及特性等三、四层信息
配置ACL得过程:
实际上就就是告诉路由器同意或者拒绝某些数据包
ACL难点:
通配符、语句顺序、方向性
单台:
rule10permitsource10、1、1、10、0、0、0
同意来自10、1、1、1主机得IP数据包通过
rule10denysource10、1、1、20、0、0、0
拒绝自10、1、1、2主机得IP数据包通过
多台:
rule10permitsource10、0、0、00、255、255、255
同意来自IP地址为10、×、×、×(即IP地址得第一个字节为10)得主机得数据包通过。
样例:
同意来自10、0、0、0/255、255、255、0得IP数据包通过
rule5permitsource10、0、0、00、0、0、255;掩码位反过来(简单得0与25。
复杂)
复杂255、224、0、0写得话主就是0、31、255、255224相应机器数32-1=31
特殊得通配符掩码 0关心位255不关心位X
1、permitsourceany
=permitsource0、0、0、0255、255、255、255
=permit
2、permitsource172、30、16、290某一具体主机
=permitsource172、30、16、290、0、0、0
ACL顺序匹配:
一但匹配成功,后面得列表将不再检查(比較苛刻得放前面)
未命中规则(一条都不匹配):
不同模块处理不一样。
假设就是转发模块。
则转发数据包;假设就是telnet模块,则不同意;假设就是路由过滤,不同意路由通过。
禁止192、168、1、1-192、168、1、100思路
PS:
最后一条,96应该就是100
样例:
acl2000
rule………………、、
intgi0/0/0;进入相关接口
traffic-filterinboundacl2000;应用到相关接口
disacl2000。
查瞧
distraffic-filterapplied-record;查瞧接口(方向)应用了哪个列表
36、基本ACL应用案例
禁止telnet:
user-interfacevty04;进到vty
acl2999inbound。
应用到该接口,与物理接口有差别
ruleprimit;ACL中加这名就是由于,ACL匹配未成功后。
telnet模块。
不同意通过数据包
telnet-a10、2、2、1192、168、12、1。
-a參数。
以指定IP源telnet
时间控制:
time-rangework-time9:
0to18:
00working-day6。
定义“work-time”星期一到六
acl2001
ruledenytime-rangeworktime;上班时间不同意上网
rulepermit
禁止学习某路由表;
rip1。
进到相关rip
filter-policy(过滤策略)2000export;2000为定义得acl。
export代表向外公布;import代表我要学习
自己主动让匹配宽松得放前面,苛刻得放后面
acl2200match-orderauto
37、高级ACL
aclnumber3000;高级
rule5permittcpdestination172、2、0、2500destination-porteqwww
;同意全部机器TCP訪问目标机器得www服务
rule10denyipdestination172、2、0、2500;拒绝全部得IP协议(包括icmp)訪问
traffic-filterinboundacl3000;进入port。
并应用
ACL放置位置
基本ACL尽可能靠近目得
高级ACL尽可能靠近源
内能够ping外,外不能够ping内(ping分析:
去类型为:
echo回类型为:
echo-reply)
aclnumber3000
rule5denyicmpicmp-typeecho
rule10permitip
traffic-filterinboundacl3000
内能够telnet外,外不能够telnet内(tcp三次握手,第一个包不带ack位)
rule8permittcptcp-flagack;放行带ack得
rule9denytcp;拒绝不带ack得
第八章 网络地址转换
38、静态NAT、动态NAT
静态nat与外网地址一一相应,n–n不能降低公网地址;
环回口配置
intlookback1
ipadd192、168、1、1
iproute-static0、0、0、00gi0/0/161、0、0、2。
要上网得路由需加得路由表
静态nat配置
intgi0/0/1;进入外网接口
natstaticglobal61、0、0、11(公网IP,不一定就是接口IP)inside192、168、1、1
特点:
发包源IP地址转换收包目得IP地址转换
disnatstatic;查瞧静态nat
动态nat配置
intgi0/0/1;进入外网接口
acl2000;定义acl编号
rulepermit192、168、1、00、0、0、255;地址范围内网
nataddress-group161、0、0、1161、0、0、20;外网地址范围
natoutbound2000address-group1no-pat。
先内后外no-pat不做port转换
特点:
100对50仅仅能节省部分地址
disnatsessionall;显示nat转换情况
39、PAT、NATserver
NAPTorPAT(port地址转换) :
动态port转换
设置同动态NAT
natoutbound2000address-group1;先内后外与动态NAT差别:
no-pat
EasyIP配置 (家庭使用,没有固定IP)
natoutbound2000;仅仅指定源IP
port映射
natserverprotocoltcpglobal202、10、10、1192、168、1、18080
第一十一章 交换基础、VLAN
50、VLAN原理与配置
简单vlan配置
vlan10。
创建valn
disvlan
disportvlan;接口vlan状态
inteth0/0/0
porttype-linkaccess;接口类型
portdefaultvlan10;配置
Accessport在收到数据后会增加VLANTag。
VLANID与port得PVID同样。
Accessport在转发数据前会移除VLANTag。
当Trunkport收到帧时,假设该帧不包括Tag,将打上port得PVID;假设该帧包括Tag,则不改变。
当Trunkport发送帧时。
该帧得VLANID在Trunk得同意发送列表中:
若与port得PVID(trunk2端pvid必须同样,默认就是1)同样时。
则剥离Tag发送;若与port得PVID不同一时候,则直接发送。
vlanbatch102030;批量10to30(10,11。
12、…………30)
配置Trunk
intgi0/0/1
portlink-typetrunk
porttrunkallow-passvlanall;同意通过得vlan
porttrunkpvidvlan1;改变pvid,默认就是1
disportvlanactive;查瞧trunk接口就是否打标记,TorU
PS:
取消Trunk
undoporttrunkallow-passvlanall
porttrunkallow-passvlan1
portlink-typeaccess
51、Hybrid接口
訪port能够连不论什么设备
第一十三章 VLAN间路由、VRRP
58、单臂路由实现VLAN间路由
每一个vlan一个物理连接(一条线)
交换机与路由2根线(有几个VLAN就有几根线)PS:
缺点
交换机端:
该端配置与“客户port”同样
路由端:
仅仅需配IP(网关)
单臂路由
将交换机与路由器之间得链路配置为Trunk链路。
而且在路由器上创建子接口以支持VLAN路由。
交换机端:
配置trunk
路由器端:
[RTA]interfaceGigabitEthernet0/0/1、1;定义子接口
[RTA-GigabitEthernet0/0/1、1]dot1qterminationvid2。
分配VLAN
[RTA-GigabitEthernet0/0/1、1]ipaddress192、168、2、25424;配置网关
[RTA-GigabitEthernet0/0/1、1]arpbroadcastenable。
开启ARP广播
59、三层交换实现VLAN间路由
2层+路由器路由配虚拟portvlan与网关
[SWA]interfacevlanif2;2同相关VLAN号
[SWA-Vlanif2]ipaddress192、168、2、25424;网关PS:
该地址不能在其她VLAN网段中出现
复杂模式:
三层接二层(带管理)
中间设置成trunk,三层也要建与二层相关VLAN。
intvlanif放在三层上。
第一十四章 交换机port技术
63链路聚合(手工模式)
[SWA]interfaceEth-Trunk1
[SWA-Eth-Trunk1]interfaceGigabitEthernet0/0/1
[SWA-GigabitEthernet0/0/1]eth-trunk1
[SWA-GigabitEthernet0/0/1]interfaceGigabitEthernet0/0/2
[SWA-GigabitEthernet0/0/2]eth-trunk1
diseth-trunk1;查瞧链路
PS:
trunkport下做链路聚合方法:
先做链路聚合,然后在inteth-trunk数字下做Trunk
72、防火墙技术
依照防火墙实现得方式。
一般把防火墙分为例如以下几类:
包过滤防火墙:
简单。
每一个包都要检查。
缺乏灵活性。
策略多影响性能
代理型防火墙:
安全,但不方便,针对性强(http代理)。
不通用
状态检測防火墙:
基于连接状态,结合以上2种防火墙得长处
仅仅防网络层与传输层。
不防应用层(比方站点漏洞)。
防外不防内;
防火墙得安全区域:
Local(100网网)----Trust(85外网)
-----DMZ(50WEBserver)
高能够訪问低,低不能够訪问高
配置思路
配置安全区域与安全域间。
将接口增加安全区域。
配置ACL。
在安全域间配置基于ACL得包过滤。
1、在AR2200上配置安全区域与安全域间
system-view
[Huawei]firewallzonetrust
[Huawei-zone-trust]priority15
[Huawei-zone-trust]quit
[Huawei]firewallzoneuntrust
[Huawei-zone-untrust]priority1
[Huawei-zone-untrust]quit
[Huawei]firewallinterzonetrustuntrust。
配置(进入)域间
[Huawei-interzone-trust-untrust]firewallenable。
开启该域间得防火墙
[Huawei-interzone-trust-untrust]quit
2、在AR2200上将接口增加安全区域
intgi0/0/1
zoneOUT
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- hcna 笔记 方向