华为HCNA实验典型实例

1、fi一、 静态路由的配置实例：实验目的：将拓扑图网络设备和节点，实现网络互通。1、 规划PC和路由器各接口IP地址；2、 配置路由器和PC的IP地址，并测试直连路由是否通过：R1-GigabitEthernet0/0/0ip address 54 24 /IP地址设置 R1display ip routing-table /查询R1的路由表 蓝色表示 辅助指令R1display ip interface brief /查询路由器接口IP设置是否正确 注： 其他接口同理！3、 静态路由的配置（给路由器添加路由）：R2ip route-static 2

2、4 /静态默认路由配置：在R2路由添加网络，出接口是 （R2的下一跳）R2undo ip route-static 24 /删除指令R1ip route-static 24 R3ip route-static 24 R3ip route-static 24 R3interface LoopBack 0 /进入环回接口 环回接口：模拟路由器上的其他网络号R3-LoopBack0ip addr

3、ess 24 /设置环回接口IP地址4、 默认路由的配置：默认路由：不知道往哪里去的数据包 都交给默认路由。（不安全、应用在边界路由 即连接外网的路由器）实际环境中会有很多环回接口，若是都使用静态路由的话，那么配置的工作量会非常大，因此引用 默认路由 解决该问题。 R1ip route-static /或 0R2ip route-static 0 .0.0.0 问题：1、 为什么要在边界路由器上默认路由?答：因为企业员工要上网，运行默认路由的这台路由器，都会把不知道

4、往哪里的数据包往互联网上扔！save /保存路由器配置 The current configuration will be written to the device. Are you sure to continue? (y/n)n:y It will take several minutes to save configuration file, please wait. Configuration file had been saved successfully Note: The configuration file will take effect after being activ

5、ated静态路由的负载分担 如图：静态路由负载分担拓扑图配置地址后，使用静态路由到达网络号 /24 。达到自由选路功能R5ip route-static 24 R5ip route-static 24 R5ip route-static 24 二、 rip动态路由实例实验目的：通过rip动态路由协议配置，使下图设备全网互通R1rip / 启动rip进程R1-rip-1R1-rip-1network /宣告直连的主类网络（因为是A类地址）R1-rip-1ne

6、twork R2ripR2-rip-1R2-rip-1network R2-rip-1network R2-rip-1network R3ripR3-rip-1R3-rip-1network R3-rip-1network 修改成版本RIPv2的方法：R3-rip-1version 2 /注意要将网络中的所有运行rip路由器改成统一版本工作原理：运行rip的路由器 ，每过30秒 会把自己完整的路由表发送给邻居（相邻的路由器），并且发出去的时候以跳数加+1发出去。 （收到邻居发来的路由表以后，先检查自己的

7、路由表 如果有就学习，没有就丢弃） Rip路由协议通常使用在中小型网络， 路由器限制15台以内.问题： 解决路由环路的办法？1、 触发更新，用来避免环路2、 限制跳数3、 水平分割4、 路由中毒/毒性翻转 /路由毒化5、 Rip计时器 （以上方法都是rip路由协议默认启用的）虽然更改成版本2RIPv2可以解决不连续子网问题，但是会使路由表变大。为了提高路由器性能 需要进行路由手动汇总！R1-GigabitEthernet0/0/0rip summary-address （掩码需要进行换算）前提是R1路由器有以下环回接口： 1

8、 将这三个IP地址换算出 子网掩码 RIP支持接口 明文验证 和 密文验证明文：密码123 密文：nonstandard 国际标准 加密算法。 Usual 华为私有加密算法。三、OSPF动态路由协议R1ospf 1 /启动ospf进程，进程号为1， 进程号只具有本地意义（即 只区别当前R1路由器的进程号） R1-ospf-1R1ospf 1 router-id /在ospf进程后 可以加router-id的参数reset ospf process /重启OSPF进程，（手动指定OSPF的router-id参数后，需要重启router-id

9、）R1-ospf-1area 0 /进入区域0，也叫主干区域R1-ospf-1-area-R1-ospf-1-area-network /宣告直连网络（地址）进区域0 R1-ospf-1-area-network 55 /宣告直连网络进区域0, 55是反掩码（匹配IP地址的范围）R2路由器同理Router-id:用来标识一台运行OSPF协议的路由器，并且该标识使用点分十进制来表示，且几乎所有的OSPF报文中都会携带router-id.注意：如果一开始启动OSPF进程，没有配置

10、router-id，那么OSPF路由器会自己选举Router-id.区域只针对接口四、 端口聚合技术实例SW1interface Eth-Trunk 1 /创建一个汇聚组SW1-Eth-Trunk1SW1-GigabitEthernet0/0/1eth-trunk 1 /将端口GE0/0/1 添加进汇聚组eth-trunk 1 SW1-GigabitEthernet0/0/2eth-trunk 1 /将端口GE0/0/2 添加进汇聚组eth-trunk 1 SW1-GigabitEthernet0/0/3eth-trunk 1 /将端口GE0/0/3 添加进汇聚组eth-trunk 1 SW2

11、交换机配置同理SW2-GigabitEthernet0/0/3display current-configuration /任意模式下检查配置是否成功修改交换机接口速率五、 VLAN实验配置实例1、单一VLANSW1vlan 10 SW1vlan 20 /创建vlan10 和vlan 20SW1-GigabitEthernet0/0/2port link-type access /设定该接口类型为accessSW1-GigabitEthernet0/0/2port default vlan 10 /设定该接口只能通过vlan 10标签的数据包SW1-GigabitEthernet0/0/3po

12、rt link-type access /设定该接口类型为accessSW1-GigabitEthernet0/0/3port default vlan 20 /设定该接口只能通过vlan 20标签的数据包SW1-GigabitEthernet0/0/1port link-type trunk /设定该接口类型为trunk SW1-GigabitEthernet0/0/1port trunk allow-pass vlan ? / INTEGER VLAN ID / 同行的vlan 标签号 all All / all表示 所有的VLAN标签 SW1-GigabitEthernet0/0/1po

13、rt trunk allow-pass vlan all /该接口所有的VLAN数据包都通行SW2交换机配置同理2、VLAN间路由配置实例 （ 单臂路由）SW1vlan 10SW1vlan 20SW1-GigabitEthernet0/0/2port link-type access SW1-GigabitEthernet0/0/2port default vlan 10SW1-GigabitEthernet0/0/3port link-type access SW1-GigabitEthernet0/0/3port default vlan 20SW1-GigabitEthernet0/0/

14、1port link-type trunk /该接口类型为trunkSW1-GigabitEthernet0/0/1port trunk allow-pass vlan all /允许所有VLAN数据包通过R1interface GigabitEthernet 0/0/0.? /查询可以设置的子接口编号 GigabitEthernet interface subinterface numberR1interface GigabitEthernet 0/0/0.1 /进入路由器子接口R1-GigabitEthernet0/0/0.1dot1q termination vid 10 /该接口用来识

15、别VLAN 10R1-GigabitEthernet0/0/0.1arp broadcast enable / 打开arp广播R1-GigabitEthernet0/0/0.1ip address 54 24 /设置子接口IP地址R1-GigabitEthernet0/0/0.2dot1q termination vid 20R1-GigabitEthernet0/0/0.2arp broadcast enableR1-GigabitEthernet0/0/0.2ip address 54 242、 VLAN间路由配置实例 (三层交换机的VLAN间路

16、由)SW1vlan 10 SW1vlan 20 /创建vlan10 和vlan 20SW1-GigabitEthernet0/0/1port link-type access /设定该接口类型为accessSW1-GigabitEthernet0/0/1port default vlan 10 /设定该接口只能通过vlan 10标签的数据包SW1-GigabitEthernet0/0/2port link-type access /设定该接口类型为accessSW1-GigabitEthernet0/0/2port default vlan 20 /设定该接口只能通过vlan 20标签的数据包

17、SW1interface Vlanif 10 /进入SW1交换机的VLAN 10接口SW1-Vlanif10ip address 54 24 /设定该VLAN接口IP地址SW1interface Vlanif 20 /进入SW1交换机的VLAN 10接口SW1-Vlanif10ip address 54 24 /设定该VLAN接口IP地址六、VRRP虚拟路由冗余协议（公有协议）配置IP地址和执行OSPF路由协议之后：R2-GigabitEthernet0/0/1vrrp vrid 1 virtual-ip 00 /虚拟网关R2-

18、GigabitEthernet0/0/1vrrp vrid 1 priority 105 /设置R2路由器该接口的的优先级为 105（使该路由器成为主路由，R3如果优先级低于R2.那么R3则成为 从路由）,vrrp路由器默认优先级为100 。R3-GigabitEthernet0/0/1vrrp vrid 1 virtual-ip 00 /配置虚拟网关1 的地址R2display vrrp /查询VRRP虚拟路由情况R2-GigabitEthernet0/0/1shutdown /关闭路由器接口R2-GigabitEthernet0/0/1undo shutdown /打

19、开路由器接口R2-GigabitEthernet0/0/1vrrp vrid 1 track interface GigabitEthernet 0/0/0 /上行链路跟踪，一旦接口GE0/0/0出现故障，则路由器优先级会降低 10 即150-10=95 ，这样R3就会变成主路由*由于以上配置在正常情况下，会照成从路由器R3的资源浪费。 因此要配置出两个虚拟网关：R3-GigabitEthernet0/0/1vrrp vrid 2 virtual-ip 00 /配置虚拟网关2 的地址R3-GigabitEthernet0/0/1vrrp vrid 2 priority 1

20、05 /设置优先级为 105R3-GigabitEthernet0/0/1vrrp vrid 2 track interface GigabitEthernet 0/0/0 /上行链路跟踪R2-GigabitEthernet0/0/1vrrp vrid 2 virtual-ip 00 /在R2接口设置虚拟网关2地址。 默认优先级为100 使R2成为从路由六、网络安全管理-防火墙的基本配置display current-configuration 查询路由器、交换机或防火墙的设备配置信息display firewall packet-filter default all 查

21、询防火墙的区域间规则FW1display firewall session table 查看防火墙的会话表项 （临时会话表项）FW1firewall zone trust 进入trust区域（路由器信任区域）FW1-zone-trustadd interface GigabitEthernet 0/0/2 将GE0/0/2接口加入trust区域FW1firewall zone dmz FW1-zone-dmzadd interface GigabitEthernet 0/0/3 将GE0/0/3接口加入 dmz 区域FW1firewall zone untrust FW1-zone-untru

22、stadd interface GigabitEthernet 0/0/1 将GE0/0/1接口加入untrust区域*需求一：允许用户区域可以访问企业服务器区域，而服务器区域不能访问用户区域：FW1firewall packet-filter default permit interzone dmz trust direction outbound /更改DMZ与trust之间在outbound数据流中 为permit /outbound：优先级高访问优先级低的数据流， permit：允许*需求二：使用AR1路由器telnet到防火墙(由于模拟器的PC不支持telnet功能，因此使用路由器代

23、替)FW1firewall packet-filter default permit interzone local untrust direction inbound /更改local与trust之间在inbound 数据流中 为permitFW1user-interface vty 0 4 /开启telnet功能，并同时允许5个用户telnet到该防火墙中FW1-ui-vty0-4authentication-mode ? aaa Authentication use aaa /AAA认证登录 password Authentication use password of user ter

24、minal interface /自定义输入密码来登录 FW1-ui-vty0-4authentication-mode aaa /使用AAA认证登录， 默认账户和密码：admin Admin123 按照以上方法已经可以通过路由器telnet到防火墙中,但企业中不提倡使用超级用户，现在需要设定一个特定账户和密码进行telnetFW1-ui-vty0-4aaaFW1-aaalocal-user lewis ? access-limit Access limit acl-number Configure ACL number ftp-directory Set user FTP directory

25、 permitted idle-cut Configure idle cut l2tp-ip Configure binding ip of l2tp for user level Configure user privilege password String of plain-text password service-type Service types for authorized users state Activate/block the user(s) valid-period Indicate user valid period vpn-instance Specify a V

26、PN-Instance FW1-aaalocal-user lewis password cipher 123 /配置特定telnet账户和密码：lewis 123域内互访过滤策略要求：不允许财务部和技术部门之间的PC互访域内访问过滤策略FW1policy zone trust /进入trust区域FW1-policy-zone-trustpolicy 1 /创建第一个策略FW1-policy-zone-trust-1policy source /源地址source / 55 控制网络之间的访问FW1-policy-z

27、one-trust-1policy destination /目的地址 destination / 55 控制网络之间的访问 FW1-policy-zone-trust-1action deny /该动作策略 不允许 源地址（或网络）和目的地址（或网络）无法访问FW1-policy-zone-trust-1action permit /该动作策略 允许源地址和目的地址互访Web管理登录账户和密码：admin/Admin123 域间互访过滤策略要求： 互联网上的用户CLIENT1 访问到企业服务器CLIENT1非法理论解

28、决思路：1、通过防火墙配置 允许untrust区域访问DMZ企业服务器； 2、因为AR1路由器没有/24网络的的路由表，因此需要在AR1设置默认路由； 3、因为防火墙FW1没有/24网络的的路由表，因此需要在FW1设置默认路由；实际： 不现实！ 因为AR1是互联网上的路由器，无法配置，另外现实当中不可能把untrust到DMZ之间的流量全部放开；正确的解决办法是：放开untrust到DMZ中的 ICMP WWW FTP协议包要求： 互联网上的用户CLIENT1 访问到企业服务器CLIENT1第一步：创建服务集，并放入服务类型；FW1ip service-s

29、et luyuedeserver type object /创建名为luyuedeserver的服务集FW1-object-service-set-luyuedeserverservice 0 protocol icmp /将第一个服务放入服务集中，服务为：ICMPFW1-object-service-set-luyuedeserverservice 1 protocol tcp destination-port 80 /将第二个服务放入服务集中，服务为www 即：TCP协议的80端口FW1-object-service-set-luyuedeserverservice 2 protocol

30、tcp destination-port 21 /将第三个服务放入服务集中，服务为FTP 即：TCP协议的21端口第二步：开启策略FW1policy interzone untrust dmz inbound /针对untrust和dmz的 inbound 数据流区域 FW1-policy-interzone-dmz-untrust-inboundpolicy 10 /编写防火墙编号为10的策略FW1-policy-interzone-dmz-untrust-inbound-10policy service service-set luyuedeserver/将该luyuedeserver服务集放入该区域中（untrust和dmz的 inbound 数据流区域 ）FW1-policy-interzone-dmz-untrust-inbound-10policy destination /指定访问的网络号或主机地址， 这里通过反掩码进行精确IP地址匹配.只允许访问这台serverFW1-