151-5197-5087
扬州华为授权服务中心
当前位置:网站首页 > 网络设备调试 正文 网络设备调试

华为网络设备配置

2024-12-05 23:08:11 网络设备调试 33 ℃ 0 评论

图片失效,完整配置示例,见文档:华为ensp配置示例,含配置操作文档word及能在ensp软件上运行的配置示例.zip

目录

(1)电脑终端与交换机之间的链接

1.1电脑终端连接电脑终端

1.1.1单网卡设备相连

1.1.2多网卡设备相连

1.2电脑连接交换机

1.2.1如是静态ip,则手动设置电脑ip、掩码、网关

1.2.2如是动态dhcp则电脑不需要设置ip,可以在三层交换机上设置dhcp服务(或者使用路由器的dhcp)

1.2.3划分vlan,设置交换机端口接入类型

`1.3多个交换机相连(接入层>>汇聚层>>核心层)

1.4交换机其他常见配置

1.4.1 mac静态地址绑定

1.4.2 vlan划分

1.4.3链路聚合与负载

1.4.4端口管理(端口组设置、端口隔离)

1.4.5其他常用命令

(2)交换机连接路由器

2.1交换机直接连接路由器

2.2两个交换机级联后,再连接路由器

2.3两个交换机级联后,再连接两个级联路由器

2.4路由器常见配置

2.4.1路由器静态路由配置

2.4.2路由器dhcp分配ip

2.4.3路由器动态路由

2.4.3.1动态路由ospf

2.4.4路由器acl控制

2.4.5路由器QOS流量控制

2.4.6生成树

2.4.7 网络地址转换nat转换

2.4.8 路由隔离

2.4.9给路由器配置dns

(3)路由器连接防火墙

3.1、本地电脑连接防火墙

3.2、防火墙连接配置示例(可连互联网)

3.3、防火墙常见配置

3.4、设备通讯规则


(1)电脑终端与交换机之间的链接

1.1电脑终端连接电脑终端

1.1.1单网卡设备相连

如是单网卡电脑设备,直接设置相同网络段ip 即可实现互联,(可以不设置网关地址)

1.1.2多网卡设备相连

如是多网卡设备,网卡不直接相连,则需要配置路由策略,可以设置静态路由,或者配置动态路由策略。(动态ip配置,需要dhcp服务,见路由器动态策略设置)

1.2电脑连接交换机

1.2.1如是静态ip,则手动设置电脑ip、掩码、网关

  1. 设置电脑ip

  1. 配置交换机

<Huawei>sys

[Huawei]vlan 30

[Huawei]int g0/0/4

[Huawei-GigabitEthernet0/0/4]port link-type access

[Huawei-GigabitEthernet0/0/4]port default vlan 30

[Huawei-GigabitEthernet0/0/4]q

[Huawei]int Vlanif 30 #三层交换机,设置虚拟接口地址,进行联通性测试

[Huawei-Vlanif30]ip address 192.168.3.254 255.255.255.0

  1. 进行连通性测试

[Huawei-Vlanif30]ping 192.168.3.1

  PING 192.168.3.1: 56  data bytes, press CTRL_C to break

    Reply from 192.168.3.1: bytes=56 Sequence=1 ttl=128 time=60 ms

Reply from 192.168.3.1: bytes=56 Sequence=2 ttl=128 time=10 ms

1.2.2如是动态dhcp则电脑不需要设置ip,可以在三层交换机上设置dhcp服务(或者使用路由器的dhcp)

  1. (A)dhcp配置----核心交换机接口地址池配置(接入层交换机》》核心交换机,使用核心交换分配dhcp)

.接入层交换机配置

sysname LSW1

undo info-center enable

vlan batch 10 20

interface Ethernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 10 20

interface Ethernet0/0/2

 port link-type access

 port default vlan 10

interface Ethernet0/0/3

 port link-type access

 port default vlan 20

  1. (B).核心交换机配置

sysname LSW2

undo info-center enable

vlan batch 10 20

dhcp enable

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 10 20

interface Vlanif10

 ip address 192.168.10.254 255.255.255.0

 dhcp select interface

 dhcp server dns-list 8.8.8.8

interface Vlanif20

 ip address 192.168.20.254 255.255.255.0

 dhcp select interface

 dhcp server dns-list 8.8.8.8

1.2.3划分vlan,设置交换机端口接入类型

  1. 单个端口,配置vlan

vlan 10

interface Ethernet0/0/2

 port link-type access

 port default vlan 10

  1. 同时创建多个vlan

vlan batch 10 20 30

  1. 多个端口同时配置vlan

[Huawei]vlan 10

[Huawei-vlan10]q

[Huawei]port-group 10

[Huawei-port-group-10]group-member e0/0/1 to e0/05 将所有成员组号加入到组中

[Huawei-port-group-10]port link-type access

[Huawei-GigabitEthernet0/0/2]port default vlan 10 设置vlan

注:

1、在同一个二层交换机,相同vlan,可以相互访问

2、两个二层交换机连接到汇聚同一个汇聚交换机上,分别在不同交换机上创建同一个vlan,实现相互访问

3、在同一个三层交换上,不同vlan,可以通过配置vlanif,实现互通。因为三层交互机有路由,不同子网间通过路由进行访问

`1.3多个交换机相连(接入层>>汇聚层>>核心层)

1、如都是三层交换机,可以配置port link-type为access,创建vlan和对应vlanif,此时通过路由表,各个交换机可以进行交互访问。(注:需配置回程路由,要包含路由器的回程,和终端所在网络的回程。可以是静态的路由,或配置动态路由)

2、如都是三层交换机,也可以配置端口port link-type 为trunk,连接的端口,需要设置vlan、放行设置的vlan、并配置vlanif(注:需配置回程路由,要包含路由器的回程,和终端所在网络的回程。可以是静态的路由,或者动态路由)

具体配置见《交换机访问配置.topo》

1.4交换机其他常见配置

1.4.1 mac静态地址绑定

[hexin]int g0/0/3

[hexin-GigabitEthernet0/0/3]port-security enable

[hexin-GigabitEthernet0/0/3]port-security protect-action shutdown

[hexin-GigabitEthernet0/0/3]port-security mac-address sticky

[hexin-GigabitEthernet0/0/3]q

将mac绑定到指定端口(ip 限制没有起到作用,联通后可以更换ip)

[hexin]user-bind static ip-address 192.168.60.2 mac-address 5489-98DB-09FF interface GigabitEthernet 0/0/3

注:

Mac地址,5489-98DB-09FF是原来是 54-89-98-DB-09-FF,配置在交换机上,需要做处理,去掉第1和最后一个横杆

1.4.2 vlan划分

批量vlan创建vlan batch 10 20

单个vlan 10

1.4.3链路聚合与负载

参见以太网链路聚合——ensp_ensp链路聚合_计网2班-冯志远的博客-CSDN博客

  1. 手工模式:

交换机1配置

[Huawei]sysname sw1

[sw1]int Eth-Trunk 1

[sw1-Eth-Trunk1]trunkport e 0/0/1 to 0/0/3

[sw1-Eth-Trunk1]q

[sw1]dis eth-trunk

交换机2配置

[Huawei]sysname sw2

[sw2]int Eth-Trunk 1

[sw2-Eth-Trunk1]trunkport e 0/0/1 to 0/0/3

测试,断开换机1和交换2中间其中一条链接,立马可能ping不通,但是过一会,再访问,发现可以访问。(链路恢复要1分钟左右?)

  1. Lacp模式:

交换机3

[Huawei]sysname sw3

[sw3]int eth 

[sw3]int Eth-Trunk 1

[sw3]mode lacp-static 设置lacp模式

[sw3-Eth-Trunk1]trunkport g 0/0/1 to 0/0/3

[sw2-Eth-Trunk1]least active-linknumber 2 最小活动连接数目

[sw2-Eth-Trunk1]max active-linknumber 2 最大活动连接数目

[sw3-Eth-Trunk1]lacp preempt enable  开启LACP抢占功能

[sw3-Eth-Trunk1]lacp preempt delay 10

[sw3] lacp priority 3000 将SW3作为LACP主动端

[sw3-Eth-Trunk1]int g0/0/1

[sw3-GigabitEthernet0/0/1]lacp priority 4000 将 g0/0/1作为备用端口

交换机4

[Huawei]sysname sw4

[sw4]int Eth-Trunk 1

[sw4]mode lacp-static 设置lacp模式

[sw4-Eth-Trunk1]trunkport g 0/0/1 to 0/0/3

[sw4-Eth-Trunk1]least active-linknumber 2

[sw4-Eth-Trunk1]max active-linknumber 2

[sw4-Eth-Trunk1]lacp preempt enable

[sw4-Eth-Trunk1]lacp preempt delay 10

[sw4-GigabitEthernet0/0/1]lacp priority 4000 将 g0/0/1作为备用端口

进入相应端口,关闭一个端口是,可以发现端口已切换,关闭两个端口是,不满足设定条件,则链路不通

Display eth-trunk 1查看聚合链路配置情况

1.4.4端口管理(端口组设置、端口隔离)

创建端口组,设置组内隔离,隔离组内的成员不可以通讯

(但创建了vlan对应的vlanif,并设置组员后,则产生了路由表记录 ,同一个网段不可以通讯,不同网段通过路由可以通讯,可以通过设置port-isolate mode all隔离三层模式,进行所有隔离)

  1. 端口组设置

[Huawei]vlan 10

[Huawei-vlan10]q

[Huawei]port-group 10

[Huawei-port-group-10]group-member e0/0/1 to e0/05 将所有成员组号加入到组中

[Huawei-port-group-10]port link-type access

[Huawei-GigabitEthernet0/0/2]port default vlan 10 设置vlan

  1. 端口隔离

[Huawei-port-group-10]port-isolate enable group 50  设置组内隔离,各个组员将不可以访问

port-isolate mode all

display port-isolate group 50 查看设置的隔离组成员

1.4.5其他常用命令

  1. 一清除当前端口配置

sys

Int g0/0/0 进入端口

Undo shutdown 重启端口(如需关闭端口,直接执行shutdown)

Quit

Save 保存配置当前端口操作配置

Save all保存所有配置

  1. 二、清除整个交换机或路由器配置的命令

需要在用户视图下执行reset saved-configuration命令

Reboot重启

  1. 关闭信息中心输出

undo info-center enable

  1. 清空端口配置信息

clear configuration interface g0/0/1

这样可以重新设置port link-type,从access修改为trunk

int g0/0/1 重新进入端口

port link-type trunk

undo shutdown重启端口

(2)交换机连接路由器

2.1交换机直接连接路由器

将交换机直接连接路由器后,配置路由器接口ip地址,配置pc电脑ip地址在同一个网段,则路由器和电脑可以直接通讯。

即交换机上,无需配置,配置路由,电脑ip即可访问。

2.2两个交换机级联后,再连接路由器

交换机级联后,再连接路由器,设置方法与单个交换机直接连接路由器相同。原理是交换机相当于一根网线,设置设备在同一个网络号段,设备间即可实现通讯。

即两个交换机都无需配置,配置路由器接口ip地址 电脑ip地址即可访问。

2.3两个交换机级联后,再连接两个级联路由器

配置方式与与交换级联相同,不过需要在两个路由器间配置回程路由。

  1. 路由器1的配置

[Huawei]sysname r1

[r1]int g0/0/0

[r1-GigabitEthernet0/0/0]ip address 192.168.30.254 24

[r1]int g0/0/1

[r1-GigabitEthernet0/0/1]ip address 192.168.20.254 24

[r1]ip route-static 192.168.10.0 24 192.168.30.10

[r1]ping 192.168.10.10

  PING 192.168.10.10: 56  data bytes, press CTRL_C to break

    Reply from 192.168.10.10: bytes=56 Sequence=1 ttl=127 time=50 ms

    Reply from 192.168.10.10: bytes=56 Sequence=2 ttl=127 time=70 ms

  1. 路由器2配置

[Huawei]sys r2

[r2]int g0/0/1

[r2-GigabitEthernet0/0/1]ip ad  

[r2-GigabitEthernet0/0/1]ip address 192.168.10.254 24

[r2-GigabitEthernet0/0/1]q

[r2]int g0/0/0

[r2-GigabitEthernet0/0/0]ip ad  

[r2-GigabitEthernet0/0/0]ip address 192.168.30.10 24

[r2]ip route-static 192.168.20.0 24 192.168.30.254 设置回程路由

[r2]ping 192.168.20.10

  PING 192.168.20.10: 56  data bytes, press CTRL_C to break

    Request time out

    Reply from 192.168.20.10: bytes=56 Sequence=2 ttl=127 time=50 ms

2.4路由器常见配置

2.4.1路由器静态路由配置

[r1]  display ip routing-table     查看路由器路由表的指令 

[r1] ip route-static  192.168.3.0 24 192.168.2.2    目标网段 下一跳 

[r1] display ip routing-table protocol static     查看路由表中通过静态写的路由

[r1] undo ip route-static 192.168.3.0 255.255.255.0 192.168.2.2 —删除静态路由指令

2.4.2路由器dhcp分配ip

参见:【ENSP配置】DHCP三种模式(全局地址池、接口地址池、中继)

https://blog.csdn.net/hongmo2020/article/details/131317342

1、配置dhcp服务(全局地址池方式)(路由器-交换-pc连接,使用全局地址池,根据接口网关地址和地址池自动关联接口进行分配)

[Huawei]int g0/0/0 进入要设置的接口

[Huawei-GigabitEthernet0/0/0]ip address 192.168.10.1 24 设置网关地址

[Huawei-GigabitEthernet0/0/0]q

[Huawei]dhcp enable 开启dhcp服务

[Huawei]ip pool for10 创建dhcp 服务for10

[Huawei-ip-pool-for10]network 192.168.10.0 mask 255.255.255.0 设置地址段

[Huawei-ip-pool-for10]gateway-list 192.168.10.1

[Huawei-ip-pool-for10]dns-list 114.114.114.114 8.8.8.8

[Huawei-ip-pool-for10]q

[Huawei]int g0/0/0

[Huawei-GigabitEthernet0/0/0]dhcp select global

 如需要配置多个子网络,也是同样的

查看ip pool

ip pool for10

display this

其他

 excluded-ip-address 192.168.20.2 192.168.20.100 排除那些不需要分配的ip

 lease day 0 hour 12 设定租期

[R2-ip-pool-GlobalPool]static-bind ip-address 10.0.23.3 mac-address 00e0-fc6f-6d1f 静态mac地址绑定

(2)dhcp配置--接口dhcp服务,(接口地址池方式)(路由器-交换-pc连接,使用接口分配dhcp)

<Huawei>system-view  //进入系统视图

[Huawei]sysname R1   //修改名称为R1

[R1]undo info-center enable  //关闭信息中心功能

[R1]dhcp enable //开启DHCP功能

[R1]interface Ethernet 0/0/0   //进入Ethernet 0/0/0接口

[R1-Ethernet0/0/0]ip address 192.168.10.254 255.255.255.0 //配置接口Ethernet 0/0/0地址

[R1-Ethernet0/0/0]dhcp select interface  //DHCP接口地址池模式

[R1-Ethernet0/0/0]dhcp server dns-list 8.8.8.8  //配置DNS服务器

[R1-Ethernet0/0/0]dhcp server excluded-ip-address 192.168.10.1 192.168.10.200  //配置接口地址池中不参与自动分配的IP地址范围

 [R1-Ethernet0/0/0]dhcp server lease day 0 hour 12 minute 0 //配置DHCP服务器接口地址池中IP地址的租用有效期限,缺省情况下,IP地址的租期为1天。

(4)刷新arp表

reset arp all

 reset arp static

  display arp 查看ARP表项

 display arp network  192.168.50.0 24 查看指定网段ARP表项

 arp expire-time 1800

 [HUAWEI-Vlanif100] arp expire-time 1800

 display current-configuration | include arp //查看设备上已配置的动态ARP表项的老化时间

(5)dhcp配置----核心交换机接口地址池配置(核心交换机-接入层交换机,使用核心交换分配dhcp)

5.1.接入层交换机LSW5配置

sysname LSW5

undo info-center enable

vlan batch 10 20

interface Ethernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 10 20

interface Ethernet0/0/2

 port link-type access

 port default vlan 10

interface Ethernet0/0/3

 port link-type access

 port default vlan 20

5.2.核心交换机LSW4配置

sysname LSW4

undo info-center enable

vlan batch 10 20

dhcp enable

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 10 20

interface Vlanif10

 ip address 192.168.10.254 255.255.255.0

 dhcp select interface

 dhcp server dns-list 8.8.8.8

interface Vlanif20

 ip address 192.168.20.254 255.255.255.0

 dhcp select interface

 dhcp server dns-list 8.8.8.8

6、DHCP中继配置

当DHCP服务器和客户端不在同一个网段的时候,就需要DHCP中继器,这个中继器起到一个转发的作用。

1.接入层交换机LSW9配置

sysname LSW9

undo info-center enable

vlan batch 100 200

interface Ethernet0/0/2

 port link-type access

 port default vlan 100

interface Ethernet0/0/3

 port link-type access

 port default vlan 200

interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 100 200

1.核心交换机LSW8配置(DHCP中继器)

(1)三层交换机LSW8互联vlan配置:

sysname LSW8

undo info-center enable

vlan batch 100 200

interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 100 200

interface Vlanif100

 ip address 192.168.100.254 255.255.255.0

interface Vlanif200

 ip address 192.168.200.254 255.255.255.0

(2)路由协议配置

vlan 60

interface Vlanif60

 ip address 10.3.3.1 255.255.255.0

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 60

ospf 1  //OSPF协议,创建进程1

 area 0.0.0.0 //区域0

  network 192.168.100.0 0.0.0.255

  network 192.168.200.0 0.0.0.255

  network 10.3.3.0 0.0.0.255

(3)DHCP中继器配置:

dhcp enable

interface Vlanif100

dhcp select relay

 dhcp relay server-ip 10.3.3.2

interface Vlanif200

dhcp select relay

 dhcp relay server-ip 10.3.3.2

1.路由器R3配置(DHCP服务器)

sysname R3

undo info-center enable

dhcp enable

(1)路由协议配置:

interface GigabitEthernet0/0/1

 ip address 10.3.3.2 255.255.255.0

ospf 1

 area 0.0.0.0

  network 10.3.3.0 0.0.0.255

(2)创建两个地址池

ip pool renshi

 gateway-list 192.168.100.254

 network 192.168.100.0 mask 255.255.255.0

 dns-list 8.8.8.8

ip pool caiwu

 gateway-list 192.168.200.254

 network 192.168.200.0 mask 255.255.255.0

 dns-list 8.8.8.8

interface GigabitEthernet0/0/1

dhcp select global

2.4.3路由器动态路由

2.4.3.1动态路由ospf

 OSPF路由协议 OSPF :全称开放式最短路径优先协议,Open Shortest Path First。是一种链路状态路由协议,适用于中大型网络。它使用开销(Cost)作为度量参数,每台参与OSPF路由的路由器都会通过Dijkstra算法计算出去往各个远端网段的最优路径(最短径数)。计算出的结果保存在LSDBLink State Database,链路状态数据库)中,在同一个OSPF域中,同一个区域中的LSDB都是相同的。在OSPF的区域(Area)概念中,每个OSPF域中都有一个骨干区域(Arera 0),并且其他区域都会与Area 0直接相连(否则需要额外配置)。

参见 https://blog.csdn.net/lu749477932/article/details/131231123

  1. Ar1路由器配置

<Huawei>sys

[Huawei]int g0/0/0

[Huawei-GigabitEthernet0/0/0]ip ad 

[Huawei-GigabitEthernet0/0/0]ip address 192.168.10.254 24

[Huawei-GigabitEthernet0/0/0]q

[Huawei]int g0/0/1      

[Huawei-GigabitEthernet0/0/1]ip address 10.10.10.1 24

[Huawei]ospf 1 router-id 0.0.0.1 建立ospf

[Huawei-ospf-1]area 0.0.0.0 设定骨干区域

[Huawei-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 宣告网络

[Huawei-ospf-1-area-0.0.0.0]network 10.10.10.0 0.0.0.255 宣告网络

  1. Ar2路由器配置

<Huawei>sys

[Huawei]int g0/0/0

[Huawei-GigabitEthernet0/0/0]ip address 10.10.10.254 24

[Huawei-GigabitEthernet0/0/1]ip address 10.10.20.1 24

[Huawei]ospf 2 router-id 0.0.0.2 设置ospf

[Huawei-ospf-2]area 0.0.0.0 进入区域0

[Huawei-ospf-2-area-0.0.0.0]network 10.10.10.254 0.0.0.255 宣告网络

[Huawei-ospf-2]area 0.0.0.2进入区域2

[Huawei-ospf-2-area-0.0.0.2]network 10.10.20.0 0.0.0.255  宣告网络

  1. Ar3路由器配置

<Huawei>sys

[Huawei]int g0/0/0      

[Huawei-GigabitEthernet0/0/0]ip address 10.10.20.254 24

[Huawei]int g0/0/1

[Huawei-GigabitEthernet0/0/1]ip address 192.168.20.254 24

[Huawei]ospf 2 router-id 0.0.0.3

[Huawei-ospf-2-area-0.0.0.2]network 10.10.20.254 0.0.0.255      

[Huawei-ospf-2-area-0.0.0.2]network 192.168.20.254 0.0.0.255

ospf其他常用命令

1、查看邻居信息摘要 dis ospf peer bri

2、查看OSPF路由表 dis ip rout pro ospf

3、查看接口信息摘要 dis ip int bri

2.4.4路由器acl控制

路由器上acl拦截:

  1. 192.168.1.10和服务器不能互相访问

[Huawei]acl 2000 设置acl

[Huawei-acl-basic-2000]rule deny source 192.168.1.10 0 拦截制定ip和服务器不能相互访问

Huawei-acl-basic-2000]q

[Huawei]int g0/0/0 指定拦截接口

[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 调用拦截规则

注:也可以指定ip,如rule deny ip source 192.168.1.10 0 destination 192.168.4.1 0 //拒绝192.168.1.10到达192.168.4.1服务器

  1. 配置192.168.1.20  ping不通访问服务器,但服务器ping通访问192.168.1.20

Huawei]acl 3001

[Huawei-acl-adv-3001]rule 5 deny icmp source 192.168.4.1 0 destination 192.168.1

.20 0 icmp-type echo-reply禁止服务器响应pc ping包

[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 3000

  1. 配置客户端不能tcp连接服务器

[Huawei]acl 3002

[Huawei-acl-adv-3002]rule deny tcp source 192.168.1.6 0.0.0.0 destination 192.168.4.1 0.0.0.0 拒绝tcp访问,但是ping icmp可以访问

[Huawei]int g0/0/0

[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3002

2.4.5路由器QOS流量控制

  1. 路由器1配置

<Huawei>sys

Enter system view, return user view with Ctrl+Z.

[Huawei]int g0/0/0      

[Huawei-GigabitEthernet0/0/0]ip address 172.16.10.1 24

[Huawei-GigabitEthernet0/0/0]q

[Huawei]ip route-static 192.168.10.0 24 172.16.10.254 设置静态路由

  1. 路由器r2配置

<Huawei>sys

[Huawei]int g0/0/1

[Huawei-GigabitEthernet0/0/1]ip address 192.168.10.254 24

[Huawei-GigabitEthernet0/0/1]q

[Huawei]int g0/0/0      

[Huawei-GigabitEthernet0/0/0]ip address 172.16.10.254 24

[Huawei]acl number 2000 配置访问控制列表

[Huawei-acl-basic-2000]rule permit source 192.168.10.1 0.0.0.255

[Huawei-acl-basic-2000]q

[Huawei]traffic classifier cc 流量分类

[Huawei-classifier-cc]if-match acl 2000 #流量分类,绑定acl列表

[Huawei-classifier-cc]q

[Huawei]traffic behavior cc   #配置相关动作behavior

[Huawei-behavior-cc]car cir 2000 #限制2M的带宽

[Huawei]traffic policy cc   配置策略policy

[Huawei-trafficpolicy-cc]classifier cc behavior cc #绑定分类流量和相关动作

[Huawei-trafficpolicy-cc]q

[Huawei]int g0/0/0

[Huawei-GigabitEthernet0/0/0]traffic-policy cc outbound  #将策略cc应用到出接口上

[Huawei-GigabitEthernet0/0/0]q

[Huawei]display traffic-policy applied-record

整个设置过程:

建立访问控制表》

流量分类,绑定控制表》

建立流量行为,限制带宽》配置策略》

在策略上,进行流量分类绑定,流量行为》

将策略,应用到指定端口

2.4.6生成树

  1. Stp已基本弃用

不看

  1. Rstp快速生成树

https://cloud.tencent.com/developer/article/2295654

eNSP模拟器网络实验:STP基本操作命令及交换实现RSTP实例 - 简书

  1. Mstp多生成树

https://blog.csdn.net/Sword_of_despair/article/details/131045506

华为s57300默认开启多生成树

2.4.7 网络地址转换nat转换

访问外网时,我们一般不能在对方路由器上配置回程信息,因此内外ip因缺少回程路由,可能不能和外网互相访问 (可以配置缺省路由,让内外访问外网,但是却不能让外网访问内网)

参见 华为 eNSP 实验-静态NAT、动态NAT、NAT Server配置 - 知乎

配置说明:

在路由器AR1上,配置,将192.168网段地址,通过nat转换后,访问AR2

因为默认情况下,我们不能在AR2 isp供应商上配置回程路由,所以我们在AR1上进行转换配置,有以下方式:

  1. 1、配置静态 nat

这种方式,外网ip可以通过125.171.0.10与内外电脑互通。

注意需125.171.0.10,已在外网AR2配置。(适用于对方配合调试,如对方企业网管配合,在他的路由器上添加路由)

R1 的配置:

方式1:直接在接口下配置 nat

#

interface GigabitEthernet0/0/1

 ip address 1.1.1.1 255.255.255.252

 description Link_Internet

 nat static global 125.171.0.10 inside 192.168.30.2 netmask 255.255.255.255

#

方式2:在全局下配置 nat

#

nat static global 125.171.0.10 inside 192.168.30.2 netmask 255.255.255.255

#

interface GigabitEthernet0/0/1

 ip address 1.1.1.1 255.255.255.252

 description Link_Internet

 nat static enable

#

  1. 2、配置动态 nat

把 PC1、PC2、PC3 的内网 IP(192.168.10.2、192.168.20.2、192.168.30.2)动态 nat 映射到公网 IP(1.2.3.10-1.2.3.20)。

注意:1.2.3.10-1.2.3.20已在AR2上配置回程路由信息,所以5.5.5.5可以通过转换ip(适用于对方配合调试,如对方企业网管配合,在他的路由器上添加路由)

R1的配置:

#
ar2acl number 2000  
 rule 10 permit source 192.168.10.0 0.0.0.255 
 rule 20 permit source 192.168.20.0 0.0.0.255 
 rule 30 permit source 192.168.30.0 0.0.0.255 
#
ar2nat address-group 1 1.2.3.10 1.2.3.20
#
ar2interface GigabitEthernet0/0/1
 ip address 1.1.1.1 255.255.255.252 
 description Link_Internet
 nat outbound 2000 address-group 1 
#

  1. 3、配置 Easy IP

假设 R1 的 GigabitEthernet0/0/1 的地址不是固定IP地址(DHCP 动态获取或 PPPoE 拨号获取),此时需要配置Easy IP 。

注意,此种方式,没有使用固定ip 125.171.0.10所以只能内网访问外网,外网无法访问内网。

3.1 新增配置

修改 R1 的配置:

[R1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 
[R1-GigabitEthernet0/0/1]nat outbound 2000

  1. 4、配置 NAT Server

注意,此种方式可以指定ip  125.171.0.10 并指定访问端口,可以试下内外互相访问指定端口。(适用于对方配合调试,如对方企业网管配合,在他的路由器上添加路由地址125.171.0.10,有回程路由才可以互相访问)

R1 的配置:

#
interface GigabitEthernet0/0/1
 ip address 1.1.1.1 255.255.255.252
 description Link_Internet
 nat server protocol tcp global 125.171.0.10 www inside 192.168.30.100 www
#

指定开放端口方式的命令行,如下:

nat server protocol tcp global 125.171.0.10 8080 inside 192.168.30.10 80

2.4.8 路由隔离

1、在同一个路由表的路由,可以相互通讯

2、可以在路由器可以,新建路由表,与主路由表区分开,子路由表上的信息,如不在主路由表上,则不可以相互访问

单臂路由:(一个接口进行复用,创建多个逻辑子接口,只有物理接口可以开关,逻辑接口不能单独开关)

2.1 设置vlan 10(即对应交换机上的vlan 10)的配置信息,如下

int g0/0/0.10  设置子接口

ip address 100.1.1.254 24 配置接口路由ip

dot1q termination vid 10 剥离从交换机传过来的vlan 10标签

arp broadcast enable开启arp广播

2.2 设置vlan 20的配置信息,如下

[r1-GigabitEthernet0/0/0.10]int g0/0/0.20

[r1-GigabitEthernet0/0/0.20]dot1q termination vid 20

[r1-GigabitEthernet0/0/0.20]ip address 100.2.2.254 24

[r1-GigabitEthernet0/0/0.20]arp broadcast enable

2.3 路由隔离

[r1]ip vpn-instance server  创建子vpn路由表

[r1-vpn-instance-server]route-distinguisher 10:10 设置隔离vlan 10

[r1-vpn-instance-server]int g0/0/0.10 进入10接口

[r1-GigabitEthernet0/0/0.10]ip binding vpn-instance server 绑定vpn-instance

[r1-GigabitEthernet0/0/0.10]ip address 100.1.1.254 24 重新设定ip

[r1-GigabitEthernet0/0/0.10]display ip routing-table vpn-instance sever 查看配置的路由表

2.4.9给路由器配置dns

给路由器设置dns

[R1]dns resolve

[R1]dns server 114.114.114.114

设置NAT,使 PC1 可以上网

[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.10.0 0.0.0.255
[R1-acl-basic-2000]int g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000
[R1-GigabitEthernet0/0/0]quit

设置默认静态路由

[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.137.1

(3)路由器连接防火墙

3.1、本地电脑连接防火墙

  1. 通过网卡桥接方式

默认账户admin

默认密码 Admin@123 修改后,为huawei@123

<USG6000V1>sys  #进入系统视图

[USG6000V1]sys NGFW   #配置设备名称

[NGFW]dis ip int brief   #显示虚拟接口对应的IP地址与使用状态

[NGFW]int g0/0/0    #进入端口GE0/0/0

[NGFW-GigabitEthernet0/0/0]ip add 192.168.1.53 24  #端口出配置IP地址

[NGFW-GigabitEthernet0/0/0]service-manage  all permit  #开启服务器管理员权限

[NGFW-GigabitEthernet0/0/0]dis ip int brief

3.2、防火墙连接配置示例(可连互联网)

参见https://codeantenna.com/a/Quv8z1PnqI

路由器上外网,参见 eNSP 桥接本地网卡连接外网_ensp怎么连接外网_Tom Ma.的博客-CSDN博客

  1. 交换机,无需配置接口地址,无需配置vlan

  1. 防火墙配置
  1. 配置接口地址,与路由器配置接口地址方式一致,略过

  1. 配置默认路由

[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 64.1.1.10 #配置去往外网的默认路由(缺省路由)。

  1. 配置各个接口的 信任区域

配置安全域:

[FW1]firewall zone trust #进入信任域。

[FW1-zone-trust]add in g1/0/1 #添加内网接口。

[FW1]firewall zone untrust #进入非信任域。

[FW1-zone-untrust]add interface g1/0/3 #添加外网接口。

[FW1]firewall zone dmz #进入服务器区域。

[FW1-zone-dmz]add in g1/0/2 #添加接口。

  1. 信任区到外网区域安全策略(配置内网到外网的安全策略)

配置安全策略:

[FW1]security-policy #进入安全策略的配置。

[FW1-policy-security]rule name shangwang #定义策略名称为shangwang

[FW1-policy-security-rule-shangwang]source-zone trust #源区域为内网区域。

[FW1-policy-security-rule-shangwang]destination-zone untrust #目的区域为外网区域。

[FW1-policy-security-rule-shangwang]action permit #动作放行。

  1. 内网到dmz安全策略(配置服务器安全策略)

[FW1]security-policy #进入安全策略的配置。

[FW1-policy-security]rule name fwq #定义策略名称为fwq

[FW1-policy-security-rule-fwq]source-zone trust #源区域为内网区域。

[FW1-policy-security-rule-fwq]destination-zone dmz #目的区域为服务器区域。

[FW1-policy-security-rule-fwq]action permit #动作放行。

  1. 内网到外网nat转换(配置内网到外网ip地址转换nat

Nat策略:

[FW1]nat-policy #进入nat配置。

[FW1-policy-nat]rule name shangwang #nat策略名称为shangwang

[FW1-policy-nat-rule-shangwang]source-zone trust #源区域为内网。

[FW1-policy-nat-rule-shangwang]destination-zone untrust #目的区域为外网。

[FW1-policy-nat-rule-shangwang]action source-nat easy-ip #执行地址转换,源ip转换为出接口ip

  1. 路由器配置

  1. 配置默认路由

ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

  1. 配置上网口acl

Acl 2000

 rule 10 permit source 6.6.6.0 0.0.0.255

rule 20 permit source 64.1.1.0 0.0.0.255

rule 5 permit source 192.168.10.0 0.0.0.255 #无用,可以删除,因为地址已经被防火墙nat转化了,出口在64.1.1.0

  1. 配置nat上网接口规则,允许指定ip上网

interface GigabitEthernet0/0/2

 ip address 192.168.1.80 255.255.255.0

 nat outbound 2000

  1. 路由器配置dns

dns resolve

dns server 114.114.114.114

3.3、防火墙常见配置

  1. 添加信任区域

[USG6000V1]firewall zone trust 进入信任区域

[USG6000V1-zone-untrust]add int g1/0/1添加信任端口

将防火墙的GE1/0/1接口加入Untrust 区域

[USG6000V1]firewall  zone untrust    #进入untrust区域

[USG6000V1-zone-untrust]add int g1/0/1

[USG6000V1-zone-untrust]q

  1. 添加不信任区域

配置ip_deny的地址集

[USG6000V1]ip address-set  ip_deny  type   object

将不允许通过防火墙的IP地址加入ip_deny的地址集

[USG6000V1-object-address-set-ip_deny]address 192.168.5.2  0

[USG6000V1-object-address-set-ip_deny]address 192.168.5.3  0

[USG6000V1-object-address-set-ip_deny]address 192.168.5.3  0

[USG6000V1-object-address-set-ip_deny]address 192.168.5.6  0

[USG6000V1-object-address-set-ip_deny]q

创建不允许通过防火墙IP转发策略

[USG6000V1]security-policy  //安全策略

[USG6000V1-policy-security]rule   name   policy_deny

[USG6000V1-policy-security-rule-policy_deny]source-address  address-set   ip_deny

[USG6000V1-policy-security-rule-policy_deny]action   deny

[USG6000V1-policy-security-rule-policy_deny]q

创建允许属于192.168.5.0/24这个网段的IP地址通过防火墙的转发策略

[USG6000V1]security-policy

[USG6000V1-policy-security]rule  name polity_permit

[USG6000V1-policy-security-rule-polity_permit]source-address  192.168.5.0  24

[USG6000V1-policy-security-rule-polity_permit]action permit

[USG6000V1-policy-security-rule-polity_permit]q

3.4、设备通讯规则

1、两台设备进行通讯,要么在同一个网络号,要么通过三层设备,如路由器、交换机进行转发,才能通讯。

子网汇总后,子网通过修改子网掩码,保持和母网段一致,则子网和母网络,就在同一个网络号,可以直接通讯。

2、路由器协议介绍

https://www.luyouqi.com/shezhi/12986.html

3、二层交换机内,不同vlan不能直接通讯,即使他们的网段号一致

版权说明:如非注明,本站文章均为 扬州驻场服务-网络设备调试-监控维修-南京泽同信息科技有限公司 原创,转载请注明出处和附带本文链接

请在这里放置你的在线分享代码
«    2024年12月    »
1
2345678
9101112131415
16171819202122
23242526272829
3031
控制面板
您好,欢迎到访网站!
  查看权限
网站分类
搜索
最新留言
    文章归档
    网站收藏
    友情链接