華為HCNA實(shí)驗(yàn)典型實(shí)例_第1頁
華為HCNA實(shí)驗(yàn)典型實(shí)例_第2頁
華為HCNA實(shí)驗(yàn)典型實(shí)例_第3頁
華為HCNA實(shí)驗(yàn)典型實(shí)例_第4頁
華為HCNA實(shí)驗(yàn)典型實(shí)例_第5頁
已閱讀5頁,還剩20頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、精選優(yōu)質(zhì)文檔-傾情為你奉上fi一、 靜態(tài)路由的配置實(shí)例:實(shí)驗(yàn)?zāi)康模簩⑼負(fù)鋱D網(wǎng)絡(luò)設(shè)備和節(jié)點(diǎn),實(shí)現(xiàn)網(wǎng)絡(luò)互通。1、 規(guī)劃PC和路由器各接口IP地址;2、 配置路由器和PC的IP地址,并測試直連路由是否通過:R1-GigabitEthernet0/0/0ip address 54 24 /IP地址設(shè)置 R1display ip routing-table /查詢R1的路由表 藍(lán)色表示 輔助指令R1display ip interface brief /查詢路由器接口IP設(shè)置是否正確 注: 其他接口同理!3、 靜態(tài)路由的配置(給路由器添加路由):R2ip route-static

2、 24 /靜態(tài)默認(rèn)路由配置:在R2路由添加網(wǎng)絡(luò),出接口是 (R2的下一跳)R2undo ip route-static 24 /刪除指令R1ip route-static 24 R3ip route-static 24 R3ip route-static 24 R3interface LoopBack 0 /進(jìn)入環(huán)回接口 環(huán)回接口:模擬路由器上的其他網(wǎng)絡(luò)號R3-Loo

3、pBack0ip address 24 /設(shè)置環(huán)回接口IP地址4、 默認(rèn)路由的配置:默認(rèn)路由:不知道往哪里去的數(shù)據(jù)包 都交給默認(rèn)路由。(不安全、應(yīng)用在邊界路由 即連接外網(wǎng)的路由器)實(shí)際環(huán)境中會(huì)有很多環(huán)回接口,若是都使用靜態(tài)路由的話,那么配置的工作量會(huì)非常大,因此引用 默認(rèn)路由 解決該問題。 R1ip route-static /或 0R2ip route-static 0 .0.0.0 問題:1、 為什么要在邊界路由器上默認(rèn)路由?答:因?yàn)槠髽I(yè)員工要上網(wǎng),運(yùn)行默認(rèn)路由

4、的這臺路由器,都會(huì)把不知道往哪里的數(shù)據(jù)包往互聯(lián)網(wǎng)上扔!<R2>save /保存路由器配置 The current configuration will be written to the device. Are you sure to continue? (y/n)n:y It will take several minutes to save configuration file, please wait. Configuration file had been saved successfully Note: The configuration file will take e

5、ffect after being activated靜態(tài)路由的負(fù)載分擔(dān) 如圖:靜態(tài)路由負(fù)載分擔(dān)拓?fù)鋱D配置地址后,使用靜態(tài)路由到達(dá)網(wǎng)絡(luò)號 /24 。達(dá)到自由選路功能R5ip route-static 24 R5ip route-static 24 R5ip route-static 24 二、 rip動(dòng)態(tài)路由實(shí)例實(shí)驗(yàn)?zāi)康模和ㄟ^rip動(dòng)態(tài)路由協(xié)議配置,使下圖設(shè)備全網(wǎng)互通R1rip / 啟動(dòng)rip進(jìn)程R1-rip-1R1-rip-1network /宣告直連的主類網(wǎng)絡(luò)(因?yàn)?/p>

6、是A類地址)R1-rip-1network R2ripR2-rip-1R2-rip-1network R2-rip-1network R2-rip-1network R3ripR3-rip-1R3-rip-1network R3-rip-1network 修改成版本RIPv2的方法:R3-rip-1version 2 /注意要將網(wǎng)絡(luò)中的所有運(yùn)行rip路由器改成統(tǒng)一版本工作原理:運(yùn)行rip的路由器 ,每過30秒 會(huì)把自己完整的路由表發(fā)送給鄰居(相鄰的路由器),并且發(fā)出去的時(shí)候以跳數(shù)加+1發(fā)出

7、去。 (收到鄰居發(fā)來的路由表以后,先檢查自己的路由表 如果有就學(xué)習(xí),沒有就丟棄) Rip路由協(xié)議通常使用在中小型網(wǎng)絡(luò), 路由器限制15臺以內(nèi).問題: 解決路由環(huán)路的辦法?1、 觸發(fā)更新,用來避免環(huán)路2、 限制跳數(shù)3、 水平分割4、 路由中毒/毒性翻轉(zhuǎn) /路由毒化5、 Rip計(jì)時(shí)器 (以上方法都是rip路由協(xié)議默認(rèn)啟用的)雖然更改成版本2RIPv2可以解決不連續(xù)子網(wǎng)問題,但是會(huì)使路由表變大。為了提高路由器性能 需要進(jìn)行路由手動(dòng)匯總!R1-GigabitEthernet0/0/0rip summary-address (掩碼需要進(jìn)行換算)前提是R1

8、路由器有以下環(huán)回接口: 將這三個(gè)IP地址換算出 子網(wǎng)掩碼 RIP支持接口 明文驗(yàn)證 和 密文驗(yàn)證明文:密碼123 密文:nonstandard 國際標(biāo)準(zhǔn) 加密算法。 Usual 華為私有加密算法。三、OSPF動(dòng)態(tài)路由協(xié)議R1ospf 1 /啟動(dòng)ospf進(jìn)程,進(jìn)程號為1, 進(jìn)程號只具有本地意義(即 只區(qū)別當(dāng)前R1路由器的進(jìn)程號) R1-ospf-1R1ospf 1 router-id /在ospf進(jìn)程后 可以加router-id的參數(shù)<R1>reset ospf process /重啟OSPF進(jìn)程,(手動(dòng)

9、指定OSPF的router-id參數(shù)后,需要重啟router-id)R1-ospf-1area 0 /進(jìn)入?yún)^(qū)域0,也叫主干區(qū)域R1-ospf-1-area-R1-ospf-1-area-network /宣告直連網(wǎng)絡(luò)(地址)進(jìn)區(qū)域0 R1-ospf-1-area-network 55 /宣告直連網(wǎng)絡(luò)進(jìn)區(qū)域0, 55是反掩碼(匹配IP地址的范圍)R2路由器同理Router-id:用來標(biāo)識一臺運(yùn)行OSPF協(xié)議的路由器,并且該標(biāo)識使用點(diǎn)分十進(jìn)制來表示,且?guī)缀跛械腛SPF報(bào)文中都會(huì)

10、攜帶router-id.注意:如果一開始啟動(dòng)OSPF進(jìn)程,沒有配置router-id,那么OSPF路由器會(huì)自己選舉Router-id.區(qū)域只針對接口四、 端口聚合技術(shù)實(shí)例SW1interface Eth-Trunk 1 /創(chuàng)建一個(gè)匯聚組SW1-Eth-Trunk1SW1-GigabitEthernet0/0/1eth-trunk 1 /將端口GE0/0/1 添加進(jìn)匯聚組eth-trunk 1 SW1-GigabitEthernet0/0/2eth-trunk 1 /將端口GE0/0/2 添加進(jìn)匯聚組eth-trunk 1 SW1-GigabitEthernet0/0/3eth-trunk 1

11、/將端口GE0/0/3 添加進(jìn)匯聚組eth-trunk 1 SW2交換機(jī)配置同理SW2-GigabitEthernet0/0/3display current-configuration /任意模式下檢查配置是否成功修改交換機(jī)接口速率五、 VLAN實(shí)驗(yàn)配置實(shí)例1、單一VLANSW1vlan 10 SW1vlan 20 /創(chuàng)建vlan10 和vlan 20SW1-GigabitEthernet0/0/2port link-type access /設(shè)定該接口類型為accessSW1-GigabitEthernet0/0/2port default vlan 10 /設(shè)定該接口只能通過vlan 1

12、0標(biāo)簽的數(shù)據(jù)包SW1-GigabitEthernet0/0/3port link-type access /設(shè)定該接口類型為accessSW1-GigabitEthernet0/0/3port default vlan 20 /設(shè)定該接口只能通過vlan 20標(biāo)簽的數(shù)據(jù)包SW1-GigabitEthernet0/0/1port link-type trunk /設(shè)定該接口類型為trunk SW1-GigabitEthernet0/0/1port trunk allow-pass vlan ? / INTEGER<1-4094> VLAN ID / 同行的vlan 標(biāo)簽號 all A

13、ll / all表示 所有的VLAN標(biāo)簽 SW1-GigabitEthernet0/0/1port trunk allow-pass vlan all /該接口所有的VLAN數(shù)據(jù)包都通行SW2交換機(jī)配置同理2、VLAN間路由配置實(shí)例 ( 單臂路由)SW1vlan 10SW1vlan 20SW1-GigabitEthernet0/0/2port link-type access SW1-GigabitEthernet0/0/2port default vlan 10SW1-GigabitEthernet0/0/3port link-type access SW1-GigabitEthernet0

14、/0/3port default vlan 20SW1-GigabitEthernet0/0/1port link-type trunk /該接口類型為trunkSW1-GigabitEthernet0/0/1port trunk allow-pass vlan all /允許所有VLAN數(shù)據(jù)包通過R1interface GigabitEthernet 0/0/0.? /查詢可以設(shè)置的子接口編號 <1-4096> GigabitEthernet interface subinterface numberR1interface GigabitEthernet 0/0/0.1 /進(jìn)入路

15、由器子接口R1-GigabitEthernet0/0/0.1dot1q termination vid 10 /該接口用來識別VLAN 10R1-GigabitEthernet0/0/0.1arp broadcast enable / 打開arp廣播R1-GigabitEthernet0/0/0.1ip address 54 24 /設(shè)置子接口IP地址R1-GigabitEthernet0/0/0.2dot1q termination vid 20R1-GigabitEthernet0/0/0.2arp broadcast enableR1-GigabitEthernet

16、0/0/0.2ip address 54 242、 VLAN間路由配置實(shí)例 (三層交換機(jī)的VLAN間路由)SW1vlan 10 SW1vlan 20 /創(chuàng)建vlan10 和vlan 20SW1-GigabitEthernet0/0/1port link-type access /設(shè)定該接口類型為accessSW1-GigabitEthernet0/0/1port default vlan 10 /設(shè)定該接口只能通過vlan 10標(biāo)簽的數(shù)據(jù)包SW1-GigabitEthernet0/0/2port link-type access /設(shè)定該接口類型為accessSW1-Gi

17、gabitEthernet0/0/2port default vlan 20 /設(shè)定該接口只能通過vlan 20標(biāo)簽的數(shù)據(jù)包SW1interface Vlanif 10 /進(jìn)入SW1交換機(jī)的VLAN 10接口SW1-Vlanif10ip address 54 24 /設(shè)定該VLAN接口IP地址SW1interface Vlanif 20 /進(jìn)入SW1交換機(jī)的VLAN 10接口SW1-Vlanif10ip address 54 24 /設(shè)定該VLAN接口IP地址六、VRRP虛擬路由冗余協(xié)議(公有協(xié)議)配置IP地址和執(zhí)行OSPF路由協(xié)議之后:R2-Gig

18、abitEthernet0/0/1vrrp vrid 1 virtual-ip 00 /虛擬網(wǎng)關(guān)R2-GigabitEthernet0/0/1vrrp vrid 1 priority 105 /設(shè)置R2路由器該接口的的優(yōu)先級為 105(使該路由器成為主路由,R3如果優(yōu)先級低于R2.那么R3則成為 從路由),vrrp路由器默認(rèn)優(yōu)先級為100 。R3-GigabitEthernet0/0/1vrrp vrid 1 virtual-ip 00 /配置虛擬網(wǎng)關(guān)1 的地址R2display vrrp /查詢VRRP虛擬路由情況R2-GigabitEtherne

19、t0/0/1shutdown /關(guān)閉路由器接口R2-GigabitEthernet0/0/1undo shutdown /打開路由器接口R2-GigabitEthernet0/0/1vrrp vrid 1 track interface GigabitEthernet 0/0/0 /上行鏈路跟蹤,一旦接口GE0/0/0出現(xiàn)故障,則路由器優(yōu)先級會(huì)降低 10 即150-10=95 ,這樣R3就會(huì)變成主路由*由于以上配置在正常情況下,會(huì)照成從路由器R3的資源浪費(fèi)。 因此要配置出兩個(gè)虛擬網(wǎng)關(guān):R3-GigabitEthernet0/0/1vrrp vrid 2 virtual-ip 192.168.1

20、.200 /配置虛擬網(wǎng)關(guān)2 的地址R3-GigabitEthernet0/0/1vrrp vrid 2 priority 105 /設(shè)置優(yōu)先級為 105R3-GigabitEthernet0/0/1vrrp vrid 2 track interface GigabitEthernet 0/0/0 /上行鏈路跟蹤R2-GigabitEthernet0/0/1vrrp vrid 2 virtual-ip 00 /在R2接口設(shè)置虛擬網(wǎng)關(guān)2地址。 默認(rèn)優(yōu)先級為100 使R2成為從路由六、網(wǎng)絡(luò)安全管理-防火墻的基本配置<Huawei>display current-co

21、nfiguration 查詢路由器、交換機(jī)或防火墻的設(shè)備配置信息<FW1>display firewall packet-filter default all 查詢防火墻的區(qū)域間規(guī)則FW1display firewall session table 查看防火墻的會(huì)話表項(xiàng) (臨時(shí)會(huì)話表項(xiàng))FW1firewall zone trust 進(jìn)入trust區(qū)域(路由器信任區(qū)域)FW1-zone-trustadd interface GigabitEthernet 0/0/2 將GE0/0/2接口加入trust區(qū)域FW1firewall zone dmz FW1-zone-dmzadd int

22、erface GigabitEthernet 0/0/3 將GE0/0/3接口加入 dmz 區(qū)域FW1firewall zone untrust FW1-zone-untrustadd interface GigabitEthernet 0/0/1 將GE0/0/1接口加入untrust區(qū)域*需求一:允許用戶區(qū)域可以訪問企業(yè)服務(wù)器區(qū)域,而服務(wù)器區(qū)域不能訪問用戶區(qū)域:FW1firewall packet-filter default permit interzone dmz trust direction outbound /更改DMZ與trust之間在outbound數(shù)據(jù)流中 為permit

23、/outbound:優(yōu)先級高訪問優(yōu)先級低的數(shù)據(jù)流, permit:允許*需求二:使用AR1路由器telnet到防火墻(由于模擬器的PC不支持telnet功能,因此使用路由器代替)FW1firewall packet-filter default permit interzone local untrust direction inbound /更改local與trust之間在inbound 數(shù)據(jù)流中 為permitFW1user-interface vty 0 4 /開啟telnet功能,并同時(shí)允許5個(gè)用戶telnet到該防火墻中FW1-ui-vty0-4authentication-mode

24、 ? aaa Authentication use aaa /AAA認(rèn)證登錄 password Authentication use password of user terminal interface /自定義輸入密碼來登錄 FW1-ui-vty0-4authentication-mode aaa /使用AAA認(rèn)證登錄, 默認(rèn)賬戶和密碼:admin Admin123 按照以上方法已經(jīng)可以通過路由器telnet到防火墻中,但企業(yè)中不提倡使用超級用戶,現(xiàn)在需要設(shè)定一個(gè)特定賬戶和密碼進(jìn)行telnetFW1-ui-vty0-4aaaFW1-aaalocal-user lewis ? access-

25、limit Access limit acl-number Configure ACL number ftp-directory Set user FTP directory permitted idle-cut Configure idle cut l2tp-ip Configure binding ip of l2tp for user level Configure user privilege password String of plain-text password service-type Service types for authorized users state Acti

26、vate/block the user(s) valid-period Indicate user valid period vpn-instance Specify a VPN-Instance FW1-aaalocal-user lewis password cipher 123 /配置特定telnet賬戶和密碼:lewis 123域內(nèi)互訪過濾策略要求:不允許財(cái)務(wù)部和技術(shù)部門之間的PC互訪域內(nèi)訪問過濾策略FW1policy zone trust /進(jìn)入trust區(qū)域FW1-policy-zone-trustpolicy 1 /創(chuàng)建第一個(gè)策略FW1-policy-zone-trust-1po

27、licy source /源地址source / 55 控制網(wǎng)絡(luò)之間的訪問FW1-policy-zone-trust-1policy destination /目的地址 destination / 55 控制網(wǎng)絡(luò)之間的訪問 FW1-policy-zone-trust-1action deny /該動(dòng)作策略 不允許 源地址(或網(wǎng)絡(luò))和目的地址(或網(wǎng)絡(luò))無法訪問FW1-policy-zone-trust-1action permit /該動(dòng)作策略

28、允許源地址和目的地址互訪 Web管理登錄賬戶和密碼:admin/Admin123 域間互訪過濾策略要求: 互聯(lián)網(wǎng)上的用戶CLIENT1 訪問到企業(yè)服務(wù)器CLIENT1非法理論解決思路:1、通過防火墻配置 允許untrust區(qū)域訪問DMZ企業(yè)服務(wù)器; 2、因?yàn)锳R1路由器沒有/24網(wǎng)絡(luò)的的路由表,因此需要在AR1設(shè)置默認(rèn)路由; 3、因?yàn)榉阑饓W1沒有/24網(wǎng)絡(luò)的的路由表,因此需要在FW1設(shè)置默認(rèn)路由;實(shí)際: 不現(xiàn)實(shí)! 因?yàn)锳R1是互聯(lián)網(wǎng)上的路由器,無法配置,另外現(xiàn)實(shí)當(dāng)中不可能把untrust到DMZ之間的流量全部放開;正確的解決辦法是:放開unt

29、rust到DMZ中的 ICMP WWW FTP協(xié)議包要求: 互聯(lián)網(wǎng)上的用戶CLIENT1 訪問到企業(yè)服務(wù)器CLIENT1第一步:創(chuàng)建服務(wù)集,并放入服務(wù)類型;FW1ip service-set luyuedeserver type object /創(chuàng)建名為luyuedeserver的服務(wù)集FW1-object-service-set-luyuedeserverservice 0 protocol icmp /將第一個(gè)服務(wù)放入服務(wù)集中,服務(wù)為:ICMPFW1-object-service-set-luyuedeserverservice 1 protocol tcp destination-por

30、t 80 /將第二個(gè)服務(wù)放入服務(wù)集中,服務(wù)為www 即:TCP協(xié)議的80端口FW1-object-service-set-luyuedeserverservice 2 protocol tcp destination-port 21 /將第三個(gè)服務(wù)放入服務(wù)集中,服務(wù)為FTP 即:TCP協(xié)議的21端口第二步:開啟策略FW1policy interzone untrust dmz inbound /針對untrust和dmz的 inbound 數(shù)據(jù)流區(qū)域 FW1-policy-interzone-dmz-untrust-inboundpolicy 10 /編寫防火墻編號為10的策略FW1-policy-interzone-dmz-untrust-inbound-10policy service service-set luyuedeserver/將該luyuedeserver服務(wù)集放入該區(qū)域中(untrust和dmz的 inbound 數(shù)據(jù)流區(qū)域 )FW1-policy-interzone-dmz-untrust-inbound-10policy destination /指定訪問的網(wǎng)絡(luò)號或主機(jī)地址, 這里通過反掩碼進(jìn)行精確IP地址匹配.只允許訪問這臺serverFW

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論