華為配置課件v1

1、華為配置課程內(nèi)容第一節(jié) 交換配置第二節(jié) WAN配置第三節(jié) 路由配置第四節(jié) ACL NAT配置配置基礎(chǔ)知識(shí)介紹VRP( Versatile Routing Platform，通用路由平臺(tái) ) 是華為3Com公司數(shù)據(jù)通信產(chǎn)品的通用網(wǎng)絡(luò)操作系統(tǒng)平臺(tái) 用戶視圖，類似cisco的用戶模式 輸入 system-view 回車進(jìn)入系統(tǒng)視圖Quidway 系統(tǒng)視圖，類似cisco的全局配置模式交換機(jī)配置命令舉例 大括號(hào)中的選項(xiàng)為單選項(xiàng)，斜體字部分為自定義的參數(shù)值Quidwaysuper password password 修改特權(quán)模式口令Quidwaysysname switch_name 命名交換機(jī)(或路Q

2、uidwayinterface ethernet 0/1 進(jìn)入接口視圖Quidwayquit 退出系統(tǒng)視圖Quidway-Ethernet0/1duplex half|full|auto 配置接口雙工工Quidway-Ethernet0/1speed 10|100|auto 配置接口速率Quidway-Ethernet0/1flow-control 開啟流控制Quidway-Ethernet0/1mdi across|normal|auto 配置MDI/MDIXQuidway-Ethernet0/1shutdown/undo shutdown 關(guān)閉/重啟端口交換機(jī)基本配置VLAN基本配置VLA

3、N基本配置命令(以Quidway S3026為例) 步驟1創(chuàng)建并進(jìn)入VLAN配置模式Quidwayvlan 3Quidwayundo vlan 3 刪除一個(gè)VLAN步驟2給VLAN增加/刪除以太網(wǎng)接口Quidway-vlan3port ethernet 0/1 to ethernet 0/4步驟3將本接口加入到指定VLAN id Quidwayinterface Ethernet0/2Quidway-Ethernet0/2port access vlan 3 步驟4設(shè)置端口工作方式Quidway-Ethernet0/2port link-type access|trunk|hybrid 注：h

4、ybrid和trunk的區(qū)別在于trunk只允許缺省VLAN的報(bào)文發(fā)送時(shí)不打標(biāo)簽，而hybrid允許多個(gè)VLAN報(bào)文發(fā)送時(shí)不打標(biāo)簽。以太網(wǎng)通道配置 端口聚合（以太網(wǎng)通道）配置命令配置端口聚合Quidwaylink-aggregation ethernet 0/7 to ethernet 0/10 ingress|both Port_num1為端口聚合組的起始端口號(hào)，Port_num2為終止端口號(hào) ingress為接口入負(fù)荷分擔(dān)方式，both為接口出負(fù)荷分擔(dān)方式。STP基本配置 STP基本配置命令Quidwaystp enable|disable 開啟/關(guān)閉 STP 功能，默認(rèn)關(guān)閉，開啟后所有端

5、口都參與STP 計(jì)算。Quidwayinterface Ethernet0/3 Quidway-Ethernet0/3stp disable 關(guān)閉指定接口上的STP功能，如某些網(wǎng)絡(luò)不存在環(huán)路可以關(guān)閉STP。Vlan間路由配置在多層交換機(jī)上的配置步驟1創(chuàng)建vlan,并將特定的斷口劃分到相應(yīng)vlan中S3526vlan 2S3526port e0/1 to e0/10步驟2配置vlan間路由時(shí)的路由點(diǎn)S3526interface vlan-interface 2S3526ip address 注：vlan 2中的pc的網(wǎng)關(guān)地址應(yīng)該設(shè)置成/24華為配置課程內(nèi)容第一節(jié) 交換配置第二節(jié) WAN配置第三節(jié)

6、 路由配置第四節(jié) ACL NAT配置路由器基本配置命令舉例 Quidwaysysname router_name -命名路由器(或交換機(jī))Quidwaydelete -刪除Flash ROM中的配置Quidwaysave -將配置寫入Flash ROMQuidwayinterface serial 0 -進(jìn)入接口配置模式Quidway-Serial0quit -退出接口模式到系統(tǒng)視圖Quidway-Serial0shutdown/undo shutdown -關(guān)閉/重啟接口Quidwayip address ip_address subnet_mask -接口配置IP地址和子網(wǎng)掩碼Quidwa

7、ydisplay version -顯示VRP版本號(hào)Quidwaydisplay current-configuration -顯示系統(tǒng)運(yùn)行配置信息Quidwaydisplay interfaces -顯示接口配置信息Quidwaydisplay ip routing -顯示路由表Quidwayping ip_address -測(cè)試網(wǎng)絡(luò)連通性Quidwaytracert ip_address -測(cè)試數(shù)據(jù)包從主機(jī)到目的地所經(jīng)過的網(wǎng)關(guān)Quidwaydebug all -打開所有調(diào)試信息Quidwayundo debug all -關(guān)閉所有調(diào)試信息路由器基本配置PPP配置命令 封裝PPP協(xié)議 Qui

8、dwayinterface serial 0 Quidway-Serial0link-protocol ppp 設(shè)置驗(yàn)證類型 Quidway-Serial0ppp authentication-mode pap|chap 配置用戶列表 Quidwaylocal-user username password simple|cipher passwordPPP 基本配置PAP驗(yàn)證配置：主驗(yàn)證方： 配置用戶列表 Quidwaylocal-user username password simple|cipher password 啟用PPP PAP認(rèn)證 Quidway-Serial0ppp authe

9、ntication-mode pap被驗(yàn)證方： 配置發(fā)送的用戶名密碼 Quidway-Serial0ppp pap local-user username password simple|cipher passwordPAP 驗(yàn)證配置CHAP驗(yàn)證配置：主驗(yàn)證方： 配置被驗(yàn)證方用戶列表 Quidwaylocal-user username password simple|cipher password Quidway- Serial0ppp chap host hostname 配置本地名稱 啟用PPP CHAP認(rèn)證 Quidway-Serial0ppp authentication-mode

10、chap被驗(yàn)證方： 配置主驗(yàn)證方用戶列表 Quidwaylocal-user username password simple|cipher password Quidway- Serial0ppp chap user username 配置本地名稱 CHAP 驗(yàn)證配置MP配置命令步驟1封裝MP協(xié)議Quidwayinterface serial 0Quidway-Serial0ppp mp步驟2建立用戶與虛擬模板的對(duì)應(yīng)關(guān)系Quidwayppp mp user username bind virtual-template number 步驟3配置虛擬接口模板Quidwayinterface vi

11、rtual-template number步驟4設(shè)置虛擬模板最大綁定數(shù)(1-100)Quidwayppp mp max-bind numberPPP Multilink 配置幀中繼配置命令步驟1封裝幀中繼協(xié)議：IETF、Cisco兼容Quidwayinterface serial 0Quidway-Serial0link-protocol fr mfr|ietf|nonstandard 步驟2配置幀中繼接口類型Quidway-Serial0fr interface-type dte|dce|nni NNI為幀中繼交換機(jī)之間的接口。若配為DCE或NNI，則須先使能fr switching。步驟3

12、配置LMI協(xié)議類型Quidway-Serial0fr lmi type q933a|ansi|cisco-compatible步驟4配置Inverse ARP動(dòng)態(tài)映射Quidway-Serial0fr inarp ip|ipx dlci_number步驟5配置一條本地虛電路號(hào)Quidway-Serial0fr dlci dlci_number或者建立本地DLCI到對(duì)端協(xié)議地址的映射Quidway-Serial0fr map ip|ipx protocol-address dlci dlci_number 步驟6創(chuàng)建并進(jìn)入子接口配置模式（可選）Quidwayinterface type numb

13、er.subinterface_number幀中繼配置華為配置課程內(nèi)容第一節(jié) 交換配置第二節(jié) WAN配置第三節(jié) 路由配置第四節(jié) ACL NAT配置靜態(tài)路由配置命令 Quidwayip route ip_address subnet_mask interface_name|gateway_address preference preference_value reject|black_bone命令說明 reject：任何去往該目的地的報(bào)文均被丟棄，通知源主機(jī)不可達(dá)。black_bone：任何去往該目的地的報(bào)文均被丟棄，不通知源主機(jī)。當(dāng)只有下一跳的接口是PPP或HDLC接口才能寫interface

14、_name，如Serial0，否則只能寫gateway_address(下一跳地址)。命令舉例Quidwayip route 16 Quidwayip route Quidwayip route 配置缺省路由。靜態(tài)路由配置RIP協(xié)議配置命令 步驟1啟動(dòng)并進(jìn)入RIP配置模式Quidwayrip步驟2在指定網(wǎng)絡(luò)上使能RIPQuidway-ripnetwork network_number|all步驟3（可選）配置報(bào)文的定點(diǎn)傳送Quidway-rippeer ip_address步驟4 （可選）指定RIP版本及傳送方式Quidway-Ethernet0rip version 1|2 bcast|mc

15、ast步驟5 （可選）指定接口工作狀態(tài)(同rip input,rip output)Quidway-Serial0rip work步驟6 （可選）配置RIP-2路由聚合Quidway-ripauto-summary步驟7 （可選）配置RIP-2認(rèn)證Quidway-Serial0rip authentication simple password 配置RIP2明文認(rèn)證密碼Quidway-Serial0rip authentication md5 key-string string 配置RIP-2 MD5密文認(rèn)證密碼串Quidway-Serial0rip authentication md5 ty

16、pe nonstandard-compatible|usual 指定MD5類型RIP協(xié)議配置RIP查看命令RIP查看命令顯示RIP配置信息Quidwaydisplay rip打開RIP調(diào)試開關(guān)Quidwaydebugging rip packet將調(diào)試信息輸出到PCQuidwayinfo-center console何時(shí)需要運(yùn)行OSPF協(xié)議網(wǎng)絡(luò)的規(guī)模網(wǎng)絡(luò)中的路由器在10臺(tái)以上；中等或大規(guī)模的網(wǎng)絡(luò)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)為網(wǎng)狀，并且任意兩臺(tái)路由器之間都互通的需求其它特殊的需求要求路由變化時(shí)能夠快速收斂，要求路由協(xié)議自身的網(wǎng)絡(luò)開銷盡量降低對(duì)路由器自身的要求運(yùn)行OSPF協(xié)議時(shí)對(duì)路由器的CPU的處

17、理能力及內(nèi)存的大小都有一定的要求，性能很低的路由器不推薦使用OSPF協(xié)議配置OSPF協(xié)議劃分區(qū)域劃分區(qū)域的基本原則按照自然的地區(qū)或者行政單位劃分按照網(wǎng)絡(luò)中的高端路由器來劃分按照IP地址的規(guī)律一些制約條件區(qū)域的規(guī)模與骨干區(qū)域連通ABR的處理能力啟動(dòng)OSPF協(xié)議的基本配置OSPF配置命令步驟1配置Router IDQuidwayrouter id ip_address步驟2啟用OSPF協(xié)議Quidwayospf enable步驟3配置當(dāng)前接口所屬的OSPF區(qū)域Quidway-Serial0ospf enable area area_idOSPF路由聚合區(qū)域間路由聚合Quidwayospf enab

18、leQuidway -ospfabr-summary mask area 1注：本命令只在ABR上才有效OSPF 路由引入路由引入（重發(fā)布）在ASBR上引入靜態(tài)路由的配置Quidwayospf enableQuidway -ospfimport-route static type 2 cost 10 tag 1OSPF STUB區(qū)域配置Stub區(qū)域配置Quidwayospf enableQuidway -ospfstub cost 20 area 8注：Area 8內(nèi)的所有路由器都要配置以上命令，“cost 20”是指向stub區(qū)域內(nèi)發(fā)送的缺省路由cost值為20。顯示OSPF的調(diào)試信息deb

19、ugging ospf eventdebugging ospf lsadebugging ospf packetdebugging ospf spf顯示OSPF的運(yùn)行狀態(tài)display ospfdisplay ospf errordisplay ospf interfacedisplay ospf peer華為配置課程內(nèi)容第一節(jié) 交換配置第二節(jié) WAN配置第三節(jié) 路由配置第四節(jié) ACL NAT配置以太網(wǎng)訪問列表主要作用:在整個(gè)網(wǎng)絡(luò)中分布實(shí)施接入安全性Internet服務(wù)器部門 A部門 BIntranet訪問列表對(duì)到達(dá)端口的數(shù)據(jù)包進(jìn)行分類，并打上不同的動(dòng)作標(biāo)記訪問列表作用于交換機(jī)的所有端口訪問列

20、表的主要用途：包過濾鏡像流量限制流量統(tǒng)計(jì)分配隊(duì)列優(yōu)先級(jí)流分類通常選擇數(shù)據(jù)包的包頭信息作為流分類項(xiàng)2層流分類項(xiàng)以太網(wǎng)幀承載的數(shù)據(jù)類型源/目的MAC地址以太網(wǎng)封裝格式Vlan ID入/出端口3/4層流分類項(xiàng)協(xié)議類型源/目的IP地址源/目的端口號(hào)DSCPIP 數(shù)據(jù)包過濾IP headerTCP headerApplication-level headerData應(yīng)用程序和數(shù)據(jù)源/目的端口號(hào)源/目的IP地址L3/L4過濾應(yīng)用網(wǎng)關(guān)TCP/IP包過濾元素訪問控制列表的構(gòu)成Rule（訪問控制列表的子規(guī)則）Time-range（時(shí)間段機(jī)制）ACL=rules + time-range（訪問控制列表由一系列規(guī)則

21、組成，有必要時(shí)會(huì)和時(shí)間段結(jié)合）訪問控制列表策略:ACL1策略:ACL2策略:ACL3.策略:ACLN時(shí)間段的相關(guān)配置在系統(tǒng)視圖下，配置時(shí)間段:time-range time-name start-time to end-time days-of-the-week from start- date to end-date 在系統(tǒng)視圖下，刪除時(shí)間段:undo time-range time-name start-time to end-time days-of-the-week from start- date to end-date 假設(shè)管理員需要在從2002年12月1日上午8點(diǎn)到2003年1月

22、1日下午18點(diǎn)的時(shí)間段內(nèi)實(shí)施安全策略，可以定義時(shí)間段名為denytime，具體配置如下: Quidwaytime-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003 定義訪問控制列表 在系統(tǒng)視圖下，定義ACL并進(jìn)入訪問控制列表視圖:acl number acl-number | name acl-name basic | advanced | interface | link match-order config | auto 在系統(tǒng)視圖下，刪除ACL:undo acl number acl-number | name acl-nam

23、e | all 命名規(guī)則：可以用a到z的英文字母組成的名字(不超過32個(gè)字母)，也可以用1-1999的數(shù)字進(jìn)行標(biāo)示數(shù)字范圍：1-99 基本 100-199 高級(jí) 1000-1999 接口 200-299 二層 300-399 用戶自定義基本訪問控制列表的規(guī)則配置在基本訪問控制列表視圖下，配置相應(yīng)的規(guī)則rule rule-id permit | deny source source-addr source-wildcard | any fragment time-range time-range-name 在基本訪問控制列表視圖下，刪除一條子規(guī)則undo rule rule-id source

24、fragment time-range 高級(jí)訪問控制列表的規(guī)則配置在高級(jí)訪問控制列表視圖下，配置相應(yīng)的規(guī)則rule rule-id permit | deny protocol source source-addr source-wildcard | any destination dest-addr dest-mask | any soure-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type icmp-code established precedence precedenc

25、e tos tos | dscp dscp fragment time-range time-range-name 在高級(jí)訪問控制列表視圖下，刪除一條子規(guī)則undo rule rule-id source destination soure-port destination-port precedence tos | dscp fragment time-range 端口操作符及語法TCP/UDP協(xié)議支持的端口操作符及語法操作符及語法含義eq portnumber等于portnumbergt portnumber大于portnumberlt portnumber小于portnumberneq

26、portnumber不等于portnumberrange portnumber1portnumber2介于端口號(hào)portnumber1和portnumber2之間接口訪問控制列表的規(guī)則配置在接口訪問控制列表視圖下，配置相應(yīng)的規(guī)則rule rule-id permit | deny interface interface-name | interface-type interface-num | any time-range time-range-name 在接口訪問控制列表視圖下，刪除一條子規(guī)則undo rule rule-id二層訪問控制列表的規(guī)則配置在二層訪問控制列表視圖下，配置相應(yīng)的規(guī)則

27、rule rule-id permit | deny protocol cos vlan-pri ingress source-vlan-id source-mac-addr source-mac-wildcard interface interface-name | interface-type interface-num | any egress dest-mac-addr dest-mac-wildcard interface interface-name | interface-type interface-num | any time-range time-range-name 在二

28、層訪問控制列表視圖下，刪除一條子規(guī)則undo rule rule-id自定義訪問控制列表的規(guī)則配置在自定義訪問控制列表視圖下，配置相應(yīng)的規(guī)則rule rule-id permit | deny rule-string rule-mask offset & time-range time-range-name 在自定義訪問控制列表視圖下，刪除一條子規(guī)則undo rule rule-id用戶自定義訪問控制列表的數(shù)字標(biāo)識(shí)取值范圍為300399規(guī)則匹配原則一條訪問控制列表往往會(huì)由多條規(guī)則組成，這樣在匹配一條訪問控制列表的時(shí)候就存在匹配順序的問題。在華為系列交換機(jī)產(chǎn)品上，支持下列兩種匹配順序：Config：指定