华为HCNA实验典型实例 - 图文
更新时间:2024-04-16 11:30:02 阅读量: 综合文库 文档下载
- 华为hcna实验指南推荐度:
- 相关推荐
fi
一、 静态路由的配置实例:
实验目的:将拓扑图网络设备和节点,实现网络互通。
1、 2、
规划PC和路由器各接口IP地址;
配置路由器和PC的IP地址,并测试直连路由是否通过:
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //IP地址设置
[R1]display ip routing-table //查询R1的路由表 蓝色表示 辅助指令 [R1]display ip interface brief //查询路由器接口IP设置是否正确
注: 其他接口同理!
3、 静态路由的配置(给路由器添加路由):
[R2]ip route-static 192.168.1.0 24 12.1.1.1 //静态默认路由配置:在R2路由添加192.168.1.0网络,出接口是 12.1.1.1(R2的下一跳)
[R2]undo ip route-static 192.168.1.0 24 12.1.1.1 //删除指令 [R1]ip route-static 23.1.1.0 24 12.1.1.2 [R3]ip route-static 12.1.1.0 24 23.1.1.1 [R3]ip route-static 192.168.1.0 24 23.1.1.1
[R3]interface LoopBack 0 //进入环回接口 环回接口:模拟路由器上的其他网络号 [R3-LoopBack0]ip address 3.3.3.3 24 //设置环回接口IP地址 4、
默认路由的配置:
默认路由:不知道往哪里去的数据包 都交给默认路由。(不安全、应用在边界路由 即连接外网的路由器)
实际环境中会有很多环回接口,若是都使用静态路由的话,那么配置的工作量会非常大,因此引用 默认路由 解决该问题。
[R1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 //或 0.0.0.0 012.1.1.2 [R2]ip route-static 0.0.0.0 0 .0.0.0 23.1.1.2
问题: 1、
为什么要在边界路由器上默认路由?
答:因为企业员工要上网,运行默认路由的这台路由器,都会把不知道往哪里的数据包往互联网上扔!
The current configuration will be written to the device. Are you sure to continue? (y/n)[n]:y
It will take several minutes to save configuration file, please wait....... Configuration file had been saved successfully
Note: The configuration file will take effect after being activated
静态路由的负载分担
如图:静态路由负载分担拓扑图配置地址后,使用静态路由到达网络号 2.2.2.0/24 。达到自由选路功能 [R5]ip route-static 2.2.2.0 24 56.1.1.2 [R5]ip route-static 2.2.2.0 24 56.1.2.2 [R5]ip route-static 2.2.2.0 24 56.1.3.2
二、 rip动态路由实例
实验目的:通过rip动态路由协议配置,使下图设备全网互通
[R1]rip // 启动rip进程
[R1-rip-1]
[R1-rip-1]network 1.0.0.0 //宣告直连的主类网络(因为1.1.1.1是A类地址) [R1-rip-1]network 12.0.0.0
[R2]rip [R2-rip-1]
[R2-rip-1]network 2.0.0.0 [R2-rip-1]network 23.0.0.0 [R2-rip-1]network 12.0.0.0
[R3]rip [R3-rip-1]
[R3-rip-1]network 3.0.0.0 [R3-rip-1]network 23.0.0.0
修改成版本RIPv2的方法:[R3-rip-1]version 2 //注意要将网络中的所有运行rip路由器改成统一版本 工作原理:运行rip的路由器 ,每过30秒 会把自己完整的路由表发送给邻居(相邻的路由器),并且发出去的时候以跳数加+1发出去。 (收到邻居发来的路由表以后,先检查自己的路由表 如果有就学习,没有就丢弃)
Rip路由协议通常使用在中小型网络, 路由器限制15台以内. 问题: 解决路由环路的办法? 1、 2、 3、 4、 5、
触发更新,用来避免环路 限制跳数 水平分割
路由中毒/毒性翻转 /路由毒化 Rip计时器
(以上方法都是rip路由协议默认启用的)
虽然更改成版本2RIPv2可以解决不连续子网问题,但是会使路由表变大。为了提高路由器性能 需要进行路由手动汇总!
[R1-GigabitEthernet0/0/0]rip summary-address 172.16.0.0 255.255.252.0 (掩码需要进行换算) 前提是R1路由器有以下环回接口:
172.16.1.1 172.16.2.1 172.16.3.1 将这三个IP地址换算出 子网掩码 RIP支持接口 明文验证 和 密文验证 明文:密码123
密文:
nonstandard 国际标准 加密算法。 Usual 华为私有加密算法。
三、OSPF动态路由协议
[R1]ospf 1 //启动ospf进程,进程号为1, 进程号只具有本地意义(即 只区别当前R1路由器的进程号) [R1-ospf-1]
[R1]ospf 1 router-id 1.1.1.1 //在ospf进程后 可以加router-id的参数
[R1-ospf-1]area 0 //进入区域0,也叫主干区域 [R1-ospf-1-area-0.0.0.0]
[R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 //宣告直连网络(地址)进区域0
[R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255 //宣告直连网络进区域0, 0.0.0.255是反掩码(匹配IP地址的范围)
R2路由器同理
Router-id:用来标识一台运行OSPF协议的路由器,并且该标识使用点分十进制来表示,且几乎所有的OSPF报文中都会携带router-id.
注意:如果一开始启动OSPF进程,没有配置router-id,那么OSPF路由器会自己选举Router-id.
区域只针对接口
四、 端口聚合技术实例
[SW1]interface Eth-Trunk 1 //创建一个汇聚组
[SW1-Eth-Trunk1]
[SW1-GigabitEthernet0/0/1]eth-trunk 1 //将端口GE0/0/1 添加进汇聚组eth-trunk 1 [SW1-GigabitEthernet0/0/2]eth-trunk 1 //将端口GE0/0/2 添加进汇聚组eth-trunk 1 [SW1-GigabitEthernet0/0/3]eth-trunk 1 //将端口GE0/0/3 添加进汇聚组eth-trunk 1 SW2交换机配置同理
[SW2-GigabitEthernet0/0/3]display current-configuration //任意模式下检查配置是否成功
修改交换机接口速率
五、 VLAN实验配置实例
1、单一VLAN
[SW1]vlan 10
[SW1]vlan 20 //创建vlan10 和vlan 20
[SW1-GigabitEthernet0/0/2]port link-type access //设定该接口类型为access
[SW1-GigabitEthernet0/0/2]port default vlan 10 //设定该接口只能通过vlan 10标签的数据包
SW1-GigabitEthernet0/0/3]port link-type access //设定该接口类型为access
[SW1-GigabitEthernet0/0/3]port default vlan 20 //设定该接口只能通过vlan 20标签的数据包
[SW1-GigabitEthernet0/0/1]port link-type trunk //设定该接口类型为trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan ? //
INTEGER<1-4094> VLAN ID // 同行的vlan 标签号 all All // all表示 所有的VLAN标签 [SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //该接口所有的VLAN数据包都通行 SW2交换机配置同理
2、VLAN间路由配置实例
( 单臂路由)
[SW1]vlan 10 [SW1]vlan 20
[SW1-GigabitEthernet0/0/2]port link-type access [SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/3]port link-type access [SW1-GigabitEthernet0/0/3]port default vlan 20
[SW1-GigabitEthernet0/0/1]port link-type trunk //该接口类型为trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //允许所有VLAN数据包通过
[R1]interface GigabitEthernet 0/0/0.? //查询可以设置的子接口编号 <1-4096> GigabitEthernet interface subinterface number [R1]interface GigabitEthernet 0/0/0.1 //进入路由器子接口
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 10 //该接口用来识别VLAN 10 [R1-GigabitEthernet0/0/0.1]arp broadcast enable // 打开arp广播
[R1-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24 //设置子接口IP地址
[R1-GigabitEthernet0/0/0.2]dot1q termination vid 20 [R1-GigabitEthernet0/0/0.2]arp broadcast enable
[R1-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24
2、 VLAN间路由配置实例
(三层交换机的VLAN间路由)
[SW1]vlan 10
[SW1]vlan 20 //创建vlan10 和vlan 20
[SW1-GigabitEthernet0/0/1]port link-type access //设定该接口类型为access
[SW1-GigabitEthernet0/0/1]port default vlan 10 //设定该接口只能通过vlan 10标签的数据包
[SW1-GigabitEthernet0/0/2]port link-type access //设定该接口类型为access
[SW1-GigabitEthernet0/0/2]port default vlan 20 //设定该接口只能通过vlan 20标签的数据包
[SW1]interface Vlanif 10 //进入SW1交换机的VLAN 10接口
[SW1-Vlanif10]ip address 192.168.1.254 24 //设定该VLAN接口IP地址
[SW1]interface Vlanif 20 //进入SW1交换机的VLAN 10接口
[SW1-Vlanif10]ip address 192.168.2.254 24 //设定该VLAN接口IP地址
六、VRRP虚拟路由冗余协议(公有协议)
配置IP地址和执行OSPF路由协议之后:
[R2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 192.168.1.100 //虚拟网关
[R2-GigabitEthernet0/0/1]vrrp vrid 1 priority 105 //设置R2路由器该接口的的优先级为 105 (使该路由器成为主路由,R3如果优先级低于R2.那么R3则成为 从路由),vrrp路由器默认优先级为100 。
[R3-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 192.168.1.100 //配置虚拟网关1 的地址 [R2]display vrrp //查询VRRP虚拟路由情况
[R2-GigabitEthernet0/0/1]shutdown //关闭路由器接口 [R2-GigabitEthernet0/0/1]undo shutdown /打开路由器接口
[R2-GigabitEthernet0/0/1]vrrp vrid 1 track interface GigabitEthernet 0/0/0 //上行链路跟踪, 一旦接口GE0/0/0出现故障,则路由器优先级会降低 10 即150-10=95 ,这样R3就会变成主路由
**************************************************************************************** 由于以上配置在正常情况下,会照成从路由器R3的资源浪费。 因此要配置出两个虚拟网关:
[R3-GigabitEthernet0/0/1]vrrp vrid 2 virtual-ip 192.168.1.200 //配置虚拟网关2 的地址 [R3-GigabitEthernet0/0/1]vrrp vrid 2 priority 105 //设置优先级为 105
[R3-GigabitEthernet0/0/1]vrrp vrid 2 track interface GigabitEthernet 0/0/0 //上行链路跟踪 [R2-GigabitEthernet0/0/1]vrrp vrid 2 virtual-ip 192.168.1.200 //在R2接口设置虚拟网关2地址。 默认优先级为100 使R2成为从路由
六、网络安全管理-防火墙的基本配置
[FW1]firewall zone trust \\\\进入trust区域(路由器信任区域) [FW1-zone-trust]add interface GigabitEthernet 0/0/2 \\\\将GE0/0/2接口加入trust区域
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 0/0/3 \\\\将GE0/0/3接口加入 dmz 区域
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet 0/0/1 \\\\将GE0/0/1接口加入untrust区域 *************************************************************************
需求一:允许用户区域可以访问企业服务器区域,而服务器区域不能访问用户区域:
[FW1]firewall packet-filter default permit interzone dmz trust direction outbound //更改DMZ与trust之间在outbound数据流中 为permit
//outbound:优先级高访问优先级低的数据流, permit:允许
***************************************************************************** 需求二:使用AR1路由器telnet到防火墙(由于模拟器的PC不支持telnet功能,因此使用路由器代替) [FW1]firewall packet-filter default permit interzone local untrust direction inb ound
//更改local与trust之间在inbound 数据流中 为permit
[FW1]user-interface vty 0 4 //开启telnet功能,并同时允许5个用户telnet到该防火墙中 [FW1-ui-vty0-4]authentication-mode ?
aaa Authentication use aaa //AAA认证登录
password Authentication use password of user terminal interface //自定义输入密码来登录 [FW1-ui-vty0-4]authentication-mode aaa //使用AAA认证登录, 默认账户和密码:admin Admin@123 按照以上方法已经可以通过路由器telnet到防火墙中,但企业中不提倡使用超级用户,现在需要 设定一个特定账户和密码进行telnet
[FW1-ui-vty0-4]aaa
[FW1-aaa]local-user lewis ? access-limit Access limit
acl-number Configure ACL number
ftp-directory Set user FTP directory permitted idle-cut Configure idle cut
l2tp-ip Configure binding ip of l2tp for user level Configure user privilege
password String of plain-text password
service-type Service types for authorized users state Activate/block the user(s) valid-period Indicate user valid period vpn-instance Specify a VPN-Instance
[FW1-aaa]local-user lewis password cipher 123 //配置特定telnet账户和密码:lewis 123
域内互访过滤策略
要求:不允许财务部和技术部门之间的PC互访
域内访问过滤策略
[FW1]policy zone trust //进入trust区域
[FW1-policy-zone-trust]policy 1 //创建第一个策略
[FW1-policy-zone-trust-1]policy source 192.168.1.1 0.0.0.0 //源地址source //192.168.1.0 0.0.0.255 控制网络之间的访问
[FW1-policy-zone-trust-1]policy destination 192.168.2.1 0.0.0.0 //目的地址 destination //192.168.2.0 0.0.0.255 控制网络之间的访问 [FW1-policy-zone-trust-1]action deny //该动作策略 不允许 源地址(或网络)和目的地址(或网络)无法访问
[FW1-policy-zone-trust-1]action permit //该动作策略 允许源地址和目的地址互访
Web管理登录账户和密码:admin/Admin@123
域间互访过滤策略
要求: 互联网上的用户CLIENT1 访问到企业服务器CLIENT1 非法理论解决思路:
1、通过防火墙配置 允许untrust区域访问DMZ企业服务器;
2、因为AR1路由器没有172.68.1.0/24网络的的路由表,因此需要在AR1设置默认路由; 3、因为防火墙FW1没有202.1.1.0/24网络的的路由表,因此需要在FW1设置默认路由;
实际: 不现实!!! 因为AR1是互联网上的路由器,无法配置,另外现实当中不可能把untrust到DMZ之间的流量全部放开;
正确的解决办法是:放开untrust到DMZ中的 ICMP WWW FTP协议包
要求: 互联网上的用户CLIENT1 访问到企业服务器CLIENT1 第一步:创建服务集,并放入服务类型;
[FW1]ip service-set luyuedeserver type object //创建名为luyuedeserver的服务集
[FW1-object-service-set-luyuedeserver]service 0 protocol icmp //将第一个服务放入服务集中,服务为:ICMP
[FW1-object-service-set-luyuedeserver]service 1 protocol tcp destination-port 80 //将第二个服务放入服务集中,服务为www 即:TCP协议的80端口
[FW1-object-service-set-luyuedeserver]service 2 protocol tcp destination-port 21 //将第三个服务放入服务集中,服务为FTP 即:TCP协议的21端口 第二步:开启策略
[FW1]policy interzone untrust dmz inbound //针对untrust和dmz的 inbound 数据流区域
[FW1-policy-interzone-dmz-untrust-inbound]policy 10 //编写防火墙编号为10的策略
[FW1-policy-interzone-dmz-untrust-inbound-10]policy service service-set luyuedeserver //将该luyuedeserver服务集放入该区域中(untrust和dmz的 inbound 数据流区域 )
[FW1-policy-interzone-dmz-untrust-inbound-10]policy destination 172.68.1.2 0.0.0.0 //指定访问的网络号或主机地址, 这里通过反掩码进行精确IP地址匹配.只允许访问172.68.1.2这台server [FW1-policy-interzone-dmz-untrust-inbound-10]action permit //允许访问
注意:由于FTP有两个端口21(控制端口)和20(数据端口) 因此需要做一下配置 [FW1]firewall interzone dmz untrust //进入 dmz 和 untrust之间的区域 [FW1-interzone-dmz-untrust]detect ftp //只要是FTP的数据包都放行
[FW1-interzone-dmz-untrust]detect ? activex-blocking Indicate ActiveX blocking dns Indicate the DNS protocol ftp Indicate the File Transfer Protocol h323 Indicate the H.323 protocol icq Indicate ICQ protocol ils Indicate the ILS protocol
ipv6 Configure internet protocol version 6
java-blocking Indicate Java blocking
mgcp Indicate the Media Gateway Control Protocol mms Indicate the MMS protocol msn Indicate MSN
nat64 Configure the information about network address and protocol translation from IPv6 clients to IPv4 servers (NAT64)
netbios Indicate the NetBIOS protocol
pptp Indicate the Point-to-Point Tunnel Protocol qq Indicate QQ
rtsp Indicate the Real Time Streaming Protocol sip Indicate the Session Initiation Protocol sqlnet Indicate the SQL*NET protocol user-defined Indicate defined by user
正在阅读:
华为HCNA实验典型实例 - 图文04-16
白灰窑安全操作规程03-08
铁佛镇2010年上半年平安创建工作总结04-07
定期租船合同 - 纽约土产格式 NYPE 1946(中文)06-08
面包的基础知识及原理 - 图文11-04
第四章课后习题103-16
天津市2015年“社会山杯”环境教育优秀教案《寡人之于国也》12-07
1001005-0066-00 - 66kV油浸式三相双绕组站用电力变压器技术规范通用部分11-08
聚乙烯醇薄膜的生产工艺现状及其前景03-18
药厂实习的日记例文10-29
- 必修一物理寒假作业
- 2019-201X年5月大学生入党积极分子思想汇报-word范文模板(3页)
- 药物分析习题五
- 重拾应用意识 体会数学价值(沈建军)
- 2017全国高校辅导员结构化面试题集及参考答案
- 广东徐闻县实验中学2014届高三第二次月测地理试题
- 今天你共鸣了么?
- 2018-2019正能量读后感1000字-推荐word版(6页)
- 2018年中国截切型盖板针布行业专题研究分析报告目录
- 中国移动业务处理流程大全
- 公文写作常用词汇和句子集锦2016
- ARM课程设计说明书
- 教师资格证教育学论文
- 中考试卷分析
- 环境监测试卷(五)
- 党风廉政建设广播稿1
- 快速制作香香宫煮麻辣烫教程
- 《国际金融学》习题
- 文明施工保障措施方案
- 春兰维修资料故障代码
- 华为
- 实例
- 典型
- 实验
- 图文
- HCNA
- 2018 年专技人员公需科目考试试题及答案
- 现代杂文的先声--论陈冷时评对现代杂文形成的贡献
- 贵州省2010年中职单报高职试卷及答案
- 《中华人民共和国草原法》行政处罚自由裁量标准(试用)
- 7实验七:AD、DA转换
- 程文婷三年级奥数差倍问题
- 社会治安稳定应急预案
- 常用医学英语词根汇总
- LNG加注站工作人员考试试题及答案
- 行政事业单位内部控制工作指引 - 图文
- 2018年中国浙江省海洋能现状调研及市场前景预测(目录) - 图文
- 聚沙方成塔,集腋而成裘,文言知识积累很重要 - 图文
- 抓管理 降成本 增效益 促发展
- 深圳职业技术学院2004-2005学年度
- 《马克思主义哲学》第08章在线测试试题及答案
- 新增医嘱目录
- 初中英语-形容词副词练习题-专题复习
- 2014人教版五年级语文下册导学案全册
- 《专业技术职务资格评审表》填表说明
- 海南省汽车租赁公司名录2018版875家