实验拓扑
配置中的注意事项:(针对新手)
dis this 查看当前模式的所有配置。
ospf 邻居无法正常建立的常见原因:
1、设备间相连的接口地址和掩码配置错误
2、network 命令配置错误的地址
vlan , trunk ,eth-trunk,ip 的配置要100%正确。
运行ospf协议的设备上可使用 dis ip int brief。
实验目的
完成所有配置且正确
实验要求
1、配置主机名称
2、
配置链路聚合
3、VLAN 配置
表如下:
4、
配置 RSTP 协议
5、配置 IP 地址
表如下:
6、配置 VRRP 协议
7、配置 OSPF 协议
8、
配置 PAP 和 CHAP 认证
9、
配置静态路由
10、配置 DHCP 服务
11、配置 NAT
12、配置 ACL
13、配置 telnet 网管
14、配置 SNMPv2/SNMPv3 协议
15、保存所有设备配置,保存拓扑文件
实验步骤
一、搭建实验拓扑
如上图所示
二、配置主机名称
1、根据拓扑图配置设备主机名,配置如下
<Huawei>system-view
[Huawei]sysname Acc02
<Huawei>system-view
[Huawei]sysname Acc01
<Huawei>system-view
[Huawei]sysname Agg01
<Huawei>system-view
[Huawei]sysname Agg02
<Huawei>system-view
[Huawei]sysname Core1
<Huawei>system-view
[Huawei]sysname Core2
<Huawei>system-view
[Huawei]sysname HZ-XiaoYuan-Edge
<Huawei>system-view
[Huawei]sysname SH-XiaoYuan-Edge
<Huawei>system-view
[Huawei]sysname HZ-EDU-Edge
三、配置链路聚合
1、 在Agg01和Agg02的互联的链路使用Lacp配置链路聚合,只允许存在一条活动链路。
要求 Lag id 为 1。
[Agg01]int Eth-Trunk 1
[Agg01-Eth-Trunk1]mode lacp-static
[Agg01-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/5
[Agg01-Eth-Trunk1]max active-linknumber 1
[Agg02]int Eth-Trunk 1
[Agg02-Eth-Trunk1]mode lacp-static
[Agg02-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/5
[Agg02-Eth-Trunk1]max active-linknumber 1
2、 在 Agg01 上使用 dis eth-trunk 1 查看只要存在一条“Selected”的链路即可。
四、VLAN 配置
1、 在 Acc01,Acc02 创建 vlan10,20。
[Acc02]vlan batch 10 20
[Acc01]vlan batch 10 20
2、 在 Agg01,Agg02 创建 vlan10,vlan20,vlan100,vlan200。注意 Agg01 不用创建 vlan200,Agg02 不用创建 Vlan100。
[Agg01]vlan batch 10 20 100
[Agg02]vlan batch 10 20 200
3、 根据 VLAN 配置表,将 eth-trunk 和交换机互联的链路配置为 Trunk 以及主机加入到对应 VLAN 中。
在 Acc02 上配置 trunk,并将连接 PC 的端口加入到 VLAN。
[Acc02]int g0/0/1
[Acc02-GigabitEthernet0/0/1] port link-type trunk
[Acc02-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20
[Acc02-GigabitEthernet0/0/1] undo port trunk allow-pass vlan 1
[Acc02]int g0/0/2
[Acc02-GigabitEthernet0/0/2] port link-type trunk
[Acc02-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20
[Acc02-GigabitEthernet0/0/2] undo port trunk allow-pass vlan 1
[Acc02]int e0/0/1
[Acc02-Ethernet0/0/1] port link-type access
[Acc02-Ethernet0/0/1] port default vlan 10
[Acc02]int e0/0/2
[Acc02-Ethernet0/0/2] port link-type access
[Acc02-Ethernet0/0/2] port default vlan 20
在 Acc01 上配置 trunk,并将连接 PC 的端口加入到对应的 VLAN。
[Acc01]int g0/0/1
[Acc01-GigabitEthernet0/0/1] port link-type trunk
[Acc01-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20
[Acc01-GigabitEthernet0/0/1] undo port trunk allow-pass vlan 1
[Acc01]int g0/0/2
[Acc01-GigabitEthernet0/0/2] port link-type trunk
[Acc01-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20
[Acc01-GigabitEthernet0/0/2] undo port trunk allow-pass vlan 1
[Acc01]int e0/0/1
[Acc01-Ethernet0/0/1] port link-type hybrid
[Acc01-Ethernet0/0/1] port hybrid pvid vlan 10
[Acc01-Ethernet0/0/1] port hybrid untagged vlan 10
[Acc01]int e0/0/2
[Acc01-Ethernet0/0/2] port link-type hybrid
[Acc01-Ethernet0/0/2] port hybrid pvid vlan 20
[Acc01-Ethernet0/0/2] port hybrid untagged vlan 20
在 Agg01 上配置,注意 G0/0/1 和 G0/0/2 不允许 vlan1 通过。
[Agg01-GigabitEthernet0/0/1] port link-type trunk
[Agg01-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20
[Agg01-GigabitEthernet0/0/1] undo port trunk allow-pass vlan 1
[Agg01]int g0/0/2
[Agg01-GigabitEthernet0/0/2] port link-type trunk
[Agg01-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20
[Agg01-GigabitEthernet0/0/2] undo port trunk allow-pass vlan 1
[Agg01-Eth-Trunk1]int eth-trunk 1
[Agg01-Eth-Trunk1] port link-type trunk
[Agg01-Eth-Trunk1] port trunk allow-pass vlan 10 20
将 Agg01 的 G0/0/6 端口加入到 VLAN100,端口类型为 Access。
[Agg01]int g0/0/6
[Agg01-GigabitEthernet0/0/6] port link-type access
[Agg01-GigabitEthernet0/0/6] port default vlan 100
在 Agg02 上配置,注意 G0/0/1 和 G0/0/2 不允许 vlan1 通过。
[Agg02]int g0/0/1
[Agg02-GigabitEthernet0/0/1] port link-type trunk
[Agg02-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20
[Agg02-GigabitEthernet0/0/1] undo port trunk allow-pass vlan 1
[Agg02]int g0/0/2
[Agg02-GigabitEthernet0/0/2] port link-type trunk
[Agg02-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20
[Agg02-GigabitEthernet0/0/2] undo port trunk allow-pass vlan 1
[Agg02-Eth-Trunk1]int eth-trunk 1
[Agg02-Eth-Trunk1] port link-type trunk
[Agg02-Eth-Trunk1] port trunk allow-pass vlan 10 20
将 Agg02 的 G0/0/6 端口加入到 VLAN200,端口类型为 Access。
[Agg02]int g0/0/6
[Agg02-GigabitEthernet0/0/6] port link-type access
[Agg02-GigabitEthernet0/0/6] port default vlan 200
五、配置 RSTP 协议
1、Agg01,Agg02,Acc01,Acc02 运行 RSTP 协议,将 Agg01 配置为根桥,优先级为 4096,Agg02配置为备份根桥,优先级为 8192。RSTP默认的优先级32768
[Agg01]stp mode rstp
[Agg01]stp priority 4096
[Agg02]stp mode rstp
[Agg02]stp priority 8192
[Acc01]stp mode rstp
[Acc02]stp mode rstp
在 Acc01,Acc02 上使用 dis stp biref 查看 RP 【根端口】端口和 AP 【指定端口中的备份端口】端口,如下输出表示正常。
2、将交换机连接 PC 的端口配置为边缘端口,可以快速进入到转发状态,并在 Acc01,Acc02 上启用 BPDU 防护功能。
[Acc02]stp bpdu-protection
[Acc02]int e0/0/1
[Acc02-Ethernet0/0/1]stp edged-port enable
[Acc02]int e0/0/2
[Acc02-Ethernet0/0/2]stp edged-port enable
[Acc01]stp bpdu-protection
[Acc01]int e0/0/1
[Acc01-Ethernet0/0/1]stp edged-port enable
[Acc01]int e0/0/2
[Acc01-Ethernet0/0/2]stp edged-port enable
在 Acc01,Acc02 使用 dis stp brief 查看是否生效,如图表示正常。
3、 将 Acc02 和 Agg02 的相应接口的 RSTP 开销修改为 200000,将 Acc01 和 Agg01 的相应接口的 RSTP 开销修改为 200000,并开启环路防护功能。
[Acc01]int g0/0/2
[Acc01-GigabitEthernet0/0/2]stp cost 200000
[Acc01-GigabitEthernet0/0/2]stp loop-protection
[Acc02]int g0/0/2
[Acc02-GigabitEthernet0/0/2]stp cost 200000
[Acc02-GigabitEthernet0/0/2]stp loop-protection
4、在 Agg01 和 Agg02 的 G0/0/6 端口上启用 STP 的根防护功能。
[Agg01]int g0/0/6
[Agg01-GigabitEthernet0/0/6]stp root-protection
[Agg02]int g0/0/6
[Agg02-GigabitEthernet0/0/6]stp root-protection
六、配置 IP 地址
[Agg01]int Vlanif 10
[Agg01-Vlanif10]ip address 192.168.10.1 24
[Agg01]int Vlanif 20
[Agg01-Vlanif20]ip address 192.168.20.1 24
[Agg01]int Vlanif 100
[Agg01-Vlanif100]ip address 10.1.100.1 30
[Agg01]int LoopBack 0
[Agg01-LoopBack0]ip address 1.1.1.1 32
[Agg02]int Vlanif 10
[Agg02-Vlanif10]ip address 192.168.10.2 24
[Agg02]int Vlanif 20
[Agg02-Vlanif20]ip address 192.168.20.2 24
[Agg02]int Vlanif 200
[Agg02-Vlanif200]ip address 10.1.200.1 30
[Agg02]int LoopBack 0
[Agg02-LoopBack0]ip address 2.2.2.2 32
[Core1]int g0/0/0
[Core1-GigabitEthernet0/0/0]ip address 10.1.100.2 30
[Core1]int g0/0/1
[Core1-GigabitEthernet0/0/1]ip address 10.1.12.1 30
[Core1]int g0/0/2
[Core1-GigabitEthernet0/0/2]ip address 10.1.22.1 30
[Core1]int LoopBack 0
[Core1-LoopBack0]ip address 3.3.3.3 32
[Core2]int g0/0/0
[Core2-GigabitEthernet0/0/0]ip address 10.1.200.2 30
[Core2]int g0/0/1
[Core2-GigabitEthernet0/0/1]ip address 10.1.12.2 30
[Core2]int g0/0/2
[Core2-GigabitEthernet0/0/2]ip address 10.1.33.1 30
[Core2]int LoopBack 0
[Core2-LoopBack0]ip address 4.4.4.4 32
[HZ-XiaoYuan-Edge]int g0/0/0
[HZ-XiaoYuan-Edge-GigabitEthernet0/0/0]ip address 10.1.22.2 30
[HZ-XiaoYuan-Edge]int g0/0/1
[HZ-XiaoYuan-Edge-GigabitEthernet0/0/1]ip address 10.1.33.2 30
[HZ-XiaoYuan-Edge]int g0/0/2
[HZ-XiaoYuan-Edge-GigabitEthernet0/0/2]ip address 172.16.1.1 30
[HZ-XiaoYuan-Edge]int s1/0/0
[HZ-XiaoYuan-Edge-Serial1/0/0]ip address 202.1.1.1 30
[HZ-XiaoYuan-Edge]int LoopBack 0
[HZ-XiaoYuan-Edge-LoopBack0]ip address 5.5.5.5 32
[SH-XiaoYuan-Edge]int g0/0/0
[SH-XiaoYuan-Edge-GigabitEthernet0/0/0]ip address 192.168.30.254 24
[SH-XiaoYuan-Edge]int g0/0/1
[SH-XiaoYuan-Edge-GigabitEthernet0/0/1]ip address 172.16.1.2 30
[SH-XiaoYuan-Edge]int LoopBack 0
[SH-XiaoYuan-Edge-LoopBack0]ip address 6.6.6.6 32
[HZ-EDU-Edge]int s1/0/1
[HZ-EDU-Edge-Serial1/0/1]ip address 202.1.1.2 30
[HZ-EDU-Edge]int g0/0/0
[HZ-EDU-Edge-GigabitEthernet0/0/0]ip address 8.8.8.1 24
七、配置 VRRP 协议。
1、在 Agg01 和 Agg02 上配置 VRRP 协议,Vlan10 的 vrid 为 1,Vlan20 的 vrid 为 2,Vlan10
虚拟网关地址为 192.168.10.254/20.254。
2、Agg01 为 VLAN10 主网关,Vlan20 的备份网关,Agg02 为 VLAN20 主网关,优 VLAN10 的
备份网关。主网关的优先级均为 120。
3、为了防止上行链路失效,当 Agg01 和 Agg02 的 G0/0/6 接口失效,则主网关优先级自己下降
30,当链路恢复,启用抢夺功能,抢夺延迟为 10s。
4、为了保证安全性,启动 VRRP 认证,vrid1 使用 md5 认证,密码为 huawei, vrid2 使用明文认
证,密码为 huawei。
[Agg01]int Vlanif 10
[Agg01-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.254
[Agg01-Vlanif10] vrrp vrid 1 priority 120
[Agg01-Vlanif10] vrrp vrid 1 authentication-mode md5 huawei
[Agg01-Vlanif10] vrrp vrid 1 track interface g0/0/6 reduced 30
[Agg01-Vlanif10] vrrp vrid 1 preempt-mode timer delay 10
[Agg02]int Vlanif 10
[Agg02-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.254
[Agg02-Vlanif10] vrrp vrid 1 authentication-mode md5 huawei
[Agg01]int Vlanif 20
[Agg01-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.254
[Agg01-Vlanif20] vrrp vrid 2 authentication-mode simple huawei
[Agg02]int Vlanif 20
[Agg02-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.254
[Agg02-Vlanif20] vrrp vrid 2 priority 120
[Agg02-Vlanif20] vrrp vrid 2 authentication-mode simple huawei
[Agg02-Vlanif20] vrrp vrid 2 track interface g0/0/6 reduced 30
[Agg02-Vlanif20] vrrp vrid 2 preempt-mode timer delay 10
在 Agg01 和 Agg02 上使用 dis vrrp brief 查看配置,如下输出代表正常。
八、配置 OSPF 协议
在 Agg01,Agg02,Core1 ,Core2,HZ-XiaoYuan-Edge,SH-XiaoYuan-Edge 上配置 OSPF 协议, 配置为骨干区域,进程号为 1,配置每台设备的全局 router id 为 loopback0 接口的地址,并作为 OSPF 协议的 router id,所有接口采用精确宣告的方式。
1、将 Agg01 的 vlanif10, vlanif20, vlanif100,loopback0 加入到 ospf 进程 1 中。
[Agg01] ospf 1 router-id 1.1.1.1
[Agg01-ospf-1] area 0
[Agg01-ospf-1-area-0.0.0.0] network 192.168.10.1 0.0.0.0
[Agg01-ospf-1-area-0.0.0.0] network 192.168.20.1 0.0.0.0
[Agg01-ospf-1-area-0.0.0.0] network 10.1.100.1 0.0.0.0
[Agg01-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
2、将 Agg02 的 vlanif10, vlanif20, vlanif200,loopback0 加入到 ospf 进程 1 中。
[Agg02] ospf 1 router-id 2.2.2.2
[Agg02-ospf-1] a 0
[Agg02-ospf-1-area-0.0.0.0] network 192.168.10.2 0.0.0.0
[Agg02-ospf-1-area-0.0.0.0] network 192.168.20.2 0.0.0.0
[Agg02-ospf-1-area-0.0.0.0] network 10.1.200.1 0.0.0.0
[Agg02-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0
3、将 Core1,Core2 的所有接口加入到 ospf 进程 1。
[Core1] ospf 1 router-id 3.3.3.3
[Core1-ospf-1] area 0
[Core1-ospf-1-area-0.0.0.0] network 10.1.100.2 0.0.0.0
[Core1-ospf-1-area-0.0.0.0] network 10.1.22.1 0.0.0.0
[Core1-ospf-1-area-0.0.0.0] network 10.1.12.1 0.0.0.0
[Core1-ospf-1-area-0.0.0.0] network 3.3.3.3 0.0.0.0
[Core2] ospf 1 router-id 4.4.4.4
[Core2-ospf-1] area 0
[Core2-ospf-1-area-0.0.0.0] network 10.1.33.1 0.0.0.0
[Core2-ospf-1-area-0.0.0.0] network 10.1.12.2 0.0.0.0
[Core2-ospf-1-area-0.0.0.0] network 10.1.200.2 0.0.0.0
[Core2-ospf-1-area-0.0.0.0] network 4.4.4.4 0.0.0.0
4、将 HZ-XiaoYuan-Edge 的 G0/0/0,G0/01,G0/0/2 接口和 loopback0 接口加入到 ospf 进程 1 中。
[HZ-XiaoYuan-Edge] ospf 1 router-id 5.5.5.5
[HZ-XiaoYuan-Edge-ospf-1] a 0
[HZ-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 10.1.22.2 0.0.0.0
[HZ-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 10.1.33.2 0.0.0.0
[HZ-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 172.16.1.1 0.0.0.0
[HZ-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 5.5.5.5 0.0.0.0
5、将 SH-XiaoYuan-Edge 的 G0/0/0,GE0/0/1 和 loopback0 接口加入到 OSPF 进程 1 中。
[SH-XiaoYuan-Edge] ospf 1 router-id 6.6.6.6
[SH-XiaoYuan-Edge-ospf-1] a 0
[SH-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 192.168.30.254 0.0.0.0
[SH-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 172.16.1.2 0.0.0.0
[SH-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 6.6.6.6 0.0.0.0
6、配置 OSPF 区域认证,认证方式为 md5,密钥号为 1,加密方式为 ciper,密码为 Huawei。
[Agg01] ospf 1
[Agg01-ospf-1] a 0
[Agg01-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei
[Agg02] ospf 1
[Agg02-ospf-1] a 0
[Agg02-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei
[Core1] ospf 1
[Core1-ospf-1] a 0
[Core1-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei
[Core2] ospf 1
[Core2-ospf-1] a 0
[Core2-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei
[HZ-XiaoYuan-Edge] ospf 1
[HZ-XiaoYuan-Edge-ospf-1] a 0
[HZ-XiaoYuan-Edge-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei
[SH-XiaoYuan-Edge] ospf 1
[SH-XiaoYuan-Edge-ospf-1] a 0
[SH-XiaoYuan-Edge-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei
7、配置 HZ-XiaoYuan-edge 的 G0/0/0 接口的优先级为最高,使其成为 DR【指定路由器】。
[HZ-XiaoYuan-Edge]int g0/0/0
[HZ-XiaoYuan-Edge-GigabitEthernet0/0/0] ospf dr-priority 255
使用 dis ospf peer g0/0/0 查看 DR 是否为 10.1.22.2,下图表示正常。
8、在 Agg01,Agg02 上将 Vlanif10 和 Vlanif20 的 OSPF 开销修改为 100,将 Core2 和 HZ-XiaoYuan-Edge 之间的链路 OSPF 开销修改为 100。
[Agg01]int Vlanif 10
[Agg01-Vlanif10] ospf cost 100
[Agg01]int Vlanif 20
[Agg01-Vlanif20] ospf cost 100
[Agg02]int Vlanif 10
[Agg02-Vlanif10] ospf cost 100
[Agg02]int Vlanif 20
[Agg02-Vlanif20] ospf cost 100
[HZ-XiaoYuan-Edge]int g0/0/1
[HZ-XiaoYuan-Edge-GigabitEthernet0/0/1] ospf cost 100
[Core2]int g0/0/2
[Core2-GigabitEthernet0/0/2]ospf cost 100
在 Agg01 或者 Agg02 使用 dis ospf int vlanif10/20 查看开销是否为 100。
9、将 HZ-XiaoYuan-Edge 的 G0/0/2 和 SH-XiaoYuan-Edge 的 G0/0/1 的链路配置为 P2P 链路。
[HZ-XiaoYuan-Edge]int g0/0/2
[HZ-XiaoYuan-Edge-GigabitEthernet0/0/2]ospf network-type p2p
[SH-XiaoYuan-Edge]int g0/0/1
[SH-XiaoYuan-Edge-GigabitEthernet0/0/1]ospf network-type p2p
在 HZ-XiaoYuan-Edge 或者 SH-XiaoYuan-Edge 上使用 dis ospf int g0/0/1 查看是否为 P2P 。
九、配置 PAP 和 CHAP 认证
1、配置 PAP 认证,HZ-XiaoYuan-Edge 作为认证方,HZ-EDU-Edge 作为被认证方,用户名为 user1, 密码为 Huawei@123, 密码模式为 simple。
[HZ-XiaoYuan-Edge]aaa
[HZ-XiaoYuan-Edge-aaa] local-user user1 password cipher Huawei@123 //
[HZ-XiaoYuan-Edge-aaa] local-user user1 service-type ppp
[HZ-XiaoYuan-Edge]int s1/0/0
[HZ-XiaoYuan-Edge-Serial1/0/0] ppp authentication-mode pap
[HZ-EDU-Edge]int s1/0/1
[HZ-EDU-Edge-Serial1/0/1] ppp pap local-user user1 password simple Huawei@123
2、配置 CHAP 认证,HZ-EDU-Edge作为认证方,HZ-XiaoYuan-Edge 作为被认证方,用户名为 user2, 密码为 Huawei,密码模式为 cipher.
[HZ-EDU-Edge]aaa
[HZ-EDU-Edge-aaa] local-user user2 password cipher Huawei
[HZ-EDU-Edge-aaa] local-user user2 service-type ppp
[HZ-EDU-Edge]int s1/0/1
[HZ-EDU-Edge-Serial1/0/1] ppp authentication-mode chap
[HZ-XiaoYuan-Edge]int s1/0/0
[HZ-XiaoYuan-Edge-Serial1/0/0] ppp chap user user2
[HZ-XiaoYuan-Edge-Serial1/0/0] ppp chap password cipher Huawei
十、配置静态路由
1、在 HZ-XiaoYuan-Edge 配置静态路由,使得能访问 PC5,下一跳为 HZ-EDU-Edge,并配置缺省路由访问其他外部网络。
[HZ-XiaoYuan-Edge] ip route-static 8.8.8.0 24 202.1.1.2
[HZ-XiaoYuan-Edge] ip route-static 0.0.0.0 0 202.1.1.2
2、在 HZ-EDU-Edge 上配置静态路由使得教育网能访问校园网所有存在 PC 的网段,访问校园网其他网段时采用缺省路由。
[HZ-EDU-Edge] ip route-static 192.168.10.0 24 202.1.1.1
[HZ-EDU-Edge] ip route-static 192.168.20.0 24 202.1.1.1
[HZ-EDU-Edge] ip route-static 192.168.30.0 24 202.1.1.1
[HZ-EDU-Edge] ip route-static 0.0.0.0 0 202.1.1.1
3、在 HZ-XiaoYuan-Edge 引入静态路由到 OSPF 网络中,开销类型为 1,默认为类型 2.
[HZ-XiaoYuan-Edge] ospf 1
[HZ-XiaoYuan-Edge-ospf-1] import-route static type 1
十一、配置 DHCP【动态主机配置协议,用于给终端设备分配 IP 地址 】 服务
1、在 Agg02 上的 vlanif20 接口上启用基于接口地址池的 DHCP 服务,为 PC2 动态分配地址,DNS 为 8.8.8.8。
[Agg02] dhcp enable
[Agg02]int Vlanif 20
[Agg02-Vlanif20] dhcp select interface
[Agg02-Vlanif20] dhcp server dns-list 8.8.8.8
在 PC2 上设置通过 DHCP 获取 IP 地址。
我喜欢先切换为静态应用后再切换为DHCP以应用后再命令行查看ip
2、在 SH-XiaoYuan-Edge 上配置基于全局地址池的 DHCP 服务,为 PC4 提供动态地址分配服务。网关为 192.168.30.254,DNS 为 8.8.8.8.
[SH-XiaoYuan-Edge] dhcp enable
[SH-XiaoYuan-Edge] ip pool edu
[SH-XiaoYuan-Edge-ip-pool-edu] network 192.168.30.0 mask 255.255.255.0
[SH-XiaoYuan-Edge-ip-pool-edu] gateway-list 192.168.30.254
[SH-XiaoYuan-Edge-ip-pool-edu] dns-list 8.8.8.8
[SH-XiaoYuan-Edge]int g0/0/0
[SH-XiaoYuan-Edge-GigabitEthernet0/0/0] dhcp select global
在 PC4 上设置 DHCP 获取地址,并查看 PC4 获得的地址信息。
十二、配置 NAT
1、 在 HZ-XiaoYuan-Edge 上配置 NAPT,使用 202.1.1.10-202.1.1.20 做为地址池,VLAN10,
VLAN20 主机提供上网服务,需要能 ping 通 8.8.8.8,要求 ACL 编号为 2000,要求 address-group 为 1。
[HZ-XiaoYuan-Edge] nat address-group 1 202.1.1.10 202.1.1.20
[HZ-XiaoYuan-Edge]acl 2000
[HZ-XiaoYuan-Edge-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255
[HZ-XiaoYuan-Edge-acl-basic-2000] rule permit source 192.168.20.0 0.0.0.255
[HZ-XiaoYuan-Edge]int s1/0/0
[HZ-XiaoYuan-Edge-Serial1/0/0] nat outbound 2000 address-group 1
在PC1上ping 8.8.8.8,能ping通正常。
2、 在 HZ-XiaoYuan-Edge 上配置 easy ip,为 192.168.30.0/24 网段的用户提供上网服务,PC4 能
ping 通 8.8.8.8,要求 ACL 编号为 2001。
[HZ-XiaoYuan-Edge]acl 2001
[HZ-XiaoYuan-Edge-acl-basic-2001] rule permit source 192.168.30.0 0.0.0.255
[HZ-XiaoYuan-Edge]int s1/0/0
[HZ-XiaoYuan-Edge-Serial1/0/0] nat outbound 2001
3、在 Agg01 上配置 telnet 功能,将 Agg01 的 loopback0 接口映射到公网,让 HZ-EDU-Edeg 使
用源地址 8.8.8.1 telnet 203.1.1.1 能管理到 Agg01。
[HZ-XiaoYuan-Edge]int s1/0/0
[HZ-XiaoYuan-Edge-Serial1/0/0]nat server protocol tcp global 203.1.1.1 23
inside 1.1.1.1 23
4、 在 Agg01 上配置 telnet 登录服务,认证方式为密码认证,登录密码为 Huawei,使用 cipher 加密密码,登录级别 3。
[Agg01]user-interface vty 0 4
[Agg01-ui-vty0-4] authentication-mode password
[Agg01-ui-vty0-4] set authentication password cipher Huawei
[Agg01-ui-vty0-4] user privilege level 3
在 HZ-EDU-Edge 上测试是否能登录 Agg01。
5、 在 Agg02 配置 FTP 功能,将 Agg02 的 loopabck0 地址映射到公网,让 HZ-EDU-Edege 使用
源地址 8.8.8.1 通过访问 ftp 203.1.1.1 访问到 Agg02。Agg02 的 ftp 用户名为 ftp,密码为
Huawei,ftp 用户级别为 3。
在 Agg02 配置 FTP 服务
[Agg02]ftp server enable
[Agg02]aaa
[Agg02-aaa] local-user ftp password cipher huawei
[Agg02-aaa] local-user ftp privilege level 3
[Agg02-aaa] local-user ftp service-type ftp
[Agg02-aaa] local-user ftp ftp-directory flash:
在 HZ-XiaoYuan-Edge 配置 NAT Server.
[HZ-XiaoYuan-Edge]int s1/0/0
[HZ-XiaoYuan-Edge-Serial1/0/0] nat server protocol tcp global 203.1.1.1
ftp inside 2.2.2.2 ftp
在 HZ-EDU-Edge 使用 ftp -a 8.8.8.1 203.1.1.1 登录 Agg02 的 ftp 服务,也可以用 Client1 访问.
6、 校园网有一台 WEB 服务器 Server1,希望 Client1 能通过 http:// 203.1.1.2 访问到Server1 的内网地址为 192.168.20.10。
[HZ-XiaoYuan-Edge]int s1/0/0
[HZ-XiaoYuan-Edge-Serial1/0/0] nat server protocol tcp global 203.1.1.280 inside 192.168.20.10 80
在 Client1 上测试是否能访问 Web Server。【如果Client1 直接访问 Web Server失败了,则在Web Server1上启动HttpServer,如第一张图所示】
十三、配置 ACL
1、在 HZ-XiaoYuan-Edge 上配置高级 ACL,不允许 PC3 ping 通 8.8.8.8,要求 ACL 编号为 3000。
[HZ-XiaoYuan-Edge]acl 3000
[HZ-XiaoYuan-Edge-acl-adv-3000] rule deny icmp source 192.168.10.20 0.0.0.0
destination 8.8.8.8 0.0.0.0
[HZ-XiaoYuan-Edge]int g0/0/0
[HZ-XiaoYuan-Edge-GigabitEthernet0/0/0] traffic-filter inbound acl 3000
[HZ-XiaoYuan-Edge]int g0/0/1
[HZ-XiaoYuan-Edge-GigabitEthernet0/0/1] traffic-filter inbound acl 3000
在 PC1 上 ping 8.8.8.8 依然可以 ping 通 8.8.8.8 ,在 PC3 上无法 ping 通 8.8.8.8。
十四、配置 telnet 网管
在SH-XiaoYuan-Edge上配置telnet功能,使用aaa认证,登录用户为telnet,密码为Huawei@123.
密码 cipher 模式加密,登录级别为 15,并只允许 Agg01 的 1.1.1.1 登录 SH-XiaoYuan-Edge 的 6.6.6.6. 其他设备均无法登录设备,要求 ACL 编号为 3000。
[SH-XiaoYuan-Edge]acl 3000
[SH-XiaoYuan-Edge-acl-basic-3000] rule permit tcp source 1.1.1.1 0.0.0.0
destination 6.6.6.6 0.0.0.0
[SH-XiaoYuan-Edge]aaa
[SH-XiaoYuan-Edge-aaa] local-user telnet password cipher Huawei@123
[SH-XiaoYuan-Edge-aaa] local-user telnet service-type telnet
[SH-XiaoYuan-Edge-aaa] local-user telnet privilege level 15
[SH-XiaoYuan-Edge]user-interface vty 0 4
[SH-XiaoYuan-Edge-ui-vty0-4] authentication-mode aaa
[SH-XiaoYuan-Edge-ui-vty0-4] acl 3000 inbound
在Agg01上使用源地址1.1.1.1登录SH-XiaoYuan-Edge的6.6.6.6,其他设备均无法登录。
在 Core2 上测试,无法登录。
十五、配置 SNMPv2/SNMPv3 协议 ,可选练习。
在 Core1 上配置 SNMPv3 上协议,创建用户组 usergroup
在 usergroup 组下创建用户 user,认证密码为 Huawei@123, 认证算法选择 md5,加密密码
为 Huawei@123,加密算法为 AES128, 向 NMS 主机 5.5.5.5 发送告警信息,UDP 端口 162,发送 trap
报文的列表名为 trapnms2, 主体名为 user,发送 trap 报文的源地址为 loopback0 接口。
Core1 部署 SNMPV3 配置如下,使用 loopback0 接口地址发送 SNMPv3 报文。
snmp-agent
snmp-agent sys-info version v3 启用SNMPv3
snmp-agent trap source LoopBack0 指定向网管系统发送报文的源地址
snmp-agent group v3 usergroup privacy
命令解释:
创建 SNMPv3 用户组 usergroup, privacy 对报文进行认证和加密,authentication 对报文进行认证不
加密。
snmp-agent usm-user v3 user usergroup authentication-mode md5 Huawei@123
privacy-mode aes128 Huawei@123
命令解释:
创建 SNMP 用户并绑定用户组,user 为用户,usergroup 为用户组,并设置认证密码和加密密码。
**配置告警功能 **
snmp-agent target-host trap-paramsname trapnms2 v3 securityname user privacy
命令解释:
snmp-agent target-host trap-paramsname :命令用于配置 Trap 报文的发送参数信息
trap-paramsname :发送 trap 报文的列表名,可以自定义,此处为 trapnms2
securityname :发送 trap 报文的主体名,使用 SNMPv3 时为用户名, 此处为 user
privacy :认证并加密 trap 报文 ,authentication 认证 trap 报文,不加密,根据题意配置。
snmp-agent target-host trap-hostname nms address 5.5.5.5 trap-paramsname
trapnms2
命令解释:
Trap-hostname 设置网管主机名,自定义,如果题目有要求就按要求配置。
Address : 配置网管主机的 IP 地址,根据题目要求设置
trap-paramsname :配置向网管主机发送 trap 报文的列表名。
snmp-agent trap enable 启用发送 trap 报文用于告警,配置完毕。在 Core2 上配置 SNMPv2 协议,读团体字 Huawei12#$,写团体字 Huawei@123,向 NMS 主机
5.5.5.5 发送告警信息,UDP 端口 162,发送 trap 报文的列表名为 Core2,主体名为 Core2snmp,发送
trap 报文的源地址为 Loopabck0 接口。
SNMPv2c 的配置,使用 Loopback0 接口地址发送 SNMP 报文。
snmp-agent
snmp-agent sys-info version v2c
snmp-agent community read Huawei12#$ 设置 SNMPv2c 的读团体字,根据题意设置
snmp-agent community write Huawei@123 设置 SNMPv2c 的写团体字,根据题意设置
注意读/写 团体字 根据题意配置,无需都配置
snmp-agent trap source Loopback0 指定 SNMP 通信源地址 (没要求可以不配)
snmp-agent target-host trap-paramsname Core2 v2c securityname Core2snmp
命令解释:
trap-paramsname 配置发送 trap 报文的列表名,自定义或者看题目要求
securityname 配置发送 trap 报文的主体名,自定义或者看题目要求
snmp-agent target-host trap-hostname nms address 5.5.5.5 udp-port 162 trap
paramsname Core2
命令解释:
trap-hostname 配置网管主机名,自定义或者看题目要求
trap-paramsname 配置发送给网管主机的 trap 报文的列表名,和上一条命令保持一致。
udp-port 配置和网管主机对接的端口号,默认为 UDP 162
snmp-agent trap enable 启用发送 trap 报文用于告警,配置完毕。
实验总结
链路聚合LACP模式:
采用LACP协议的一种链路聚合模式。设备间通过链路聚合控制协议数据单元(Link Aggregation Control Protocol Data Unit,LACPDU)进行交互,通过协议协商确保对端是同一台设备、同一个聚合接口的成员接口。
[Agg01]dis eth-trunk 1中的显示内容:
Preempt Delay 抢占延迟 Hash arithmetic 哈希算法
VLAN 配置:
[Acc01-Ethernet0/0/1] port hybrid pvid vlan 10 //给该端口配置pvid,从终端角度来讲,相当于将该端口划入VLAN10
[Acc01-Ethernet0/0/1] port hybrid untagged vlan 10 //配置Hybrid类型接口加入的VLAN,这些VLAN的帧以Untagged方式通过接口
undo port hybrid vlan //用来删除Hybrid类型接口加入的VLAN
交换机和路由器之间的连接方式:
1)access方式
交换机与路由器连接的接口使用access接口。这是因为路由器中的消息也不带VLAN标签,就像终端一样,保证路由器的数据能够进入交换机领域,数据由路由器进入交换机是会被打上默认标签,接着按照交换机间VLAN的规则行走。
解释二:华为配置为例,三层交换机作为网关,想要与路由器进行通信。由于交换机上行接口不能直接进行IP配置,此时需要将交换机接口设置为access口,路由点上绑定相应的vlan,再进行IP地址的配置。
2)trunk方式
通常用在
单臂路由,路由器下行接口与交换机的接口类型为trunk口。
单臂路由是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。
3)no switch
在华为配置上是undo switch(关闭交换功能),当交换机需要开启三层口功能,想要能和路由器一样直接配置IP地址时,就需要采用no switch连接方式。
配置 VRRP 协议:
通过在冗余网关间共享虚拟MAC和IP地址,保证数据转发时并不是转给某一个具体网关的IP,而是把数据转发给虚拟网关的IP,因此,不论哪一个路由器成为主路由,都不会影响数据通信。通过组播协议对数据端口进行监控,一旦检测数据转发的端口坏掉,主路由器会停发HELLO包,备路由器提升为主路由,实现数据的稳定高效转发。
配置 PAP 和 CHAP 认证
配置认证方:
这里仅介绍缺省域下AAA本地认证的配置方式。
执行命令aaa,
进入AAA视图。
执行命令local-user user-name password,
创建本地帐号,并配置本地账号的登录密码。
执行命令local-user user-name service-type ppp,
配置本地用户使用的服务类型为PPP。
执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入指定的接口视图。
执行命令ppp authentication-mode pap [ [ call-in ] domain domain-name ],配置PPP认证方式为PAP。
缺省情况下,PPP协议不进行认证。
如果配置domain domain-name,则指定的域必须已经通过命令domain(AAA视图)创建。
PAP认证时,密码会在网络中以明文形式传输,存在安全风险。推荐使用CHAP认证。
配置被认证方:
执行命令system-view,
进入系统视图。
执行命令interface interface-type interface-number,
进入指定的接口视图。
执行命令ppp pap local-user username password { cipher | simple } password,
配置本地被对端以PAP方式认证时本地发送的PAP用户名和密码。
配置的用户名和密码要和认证方配置的用户名和密码一致。
缺省情况下,对端采用PAP认证时,本地设备发送的用户名和口令均为空。
配置 NAT
[Agg02-aaa] local-user ftp ftp-directory flash:
- “ftp-directory flash:”:这是指定FTP用户的根目录的命令部分。"ftp-directory"表示设置FTP目录,"flash:"是指定的根目录路径,它表明FTP用户的根目录将位于设备的flash存储器上。
配置ACL
{permit | deny} {protocol} {source} {source_port} {destination} {destination_port}
{permit | deny}
:指定允许或拒绝特定协议流量通过。{protocol}
:指定要匹配的协议,如IP、TCP、UDP等。{source}
:指定源IP地址或源IP地址范围。{source_port}
:指定源端口,可选。{destination}
:指定目标IP地址或目标IP地址范围。{destination_port}
:指定目标端口,可选。
注意:
在ACL规则中,
0.0.0.0
不是子网掩码,而是用于表示匹配任意子网的通配符。
在给定的ACL规则中:
rule deny icmp source 192.168.10.20 0.0.0.0 destination 8.8.8.8 0.0.0.0
source 192.168.10.20 0.0.0.0
指定要匹配的源IP地址范围,其中0.0.0.0
表示任意源IP地址。destination 8.8.8.8 0.0.0.0
指定要匹配的目标IP地址范围,同样,0.0.0.0
表示任意目标IP地址。
使用
0.0.0.0
作为通配符,使得该ACL规则适用于任意的源IP地址和目标IP地址,无论具体子网如何划分。
需要注意的是,一些网络设备或系统可能使用不同的表示方式,如使用
any
或
any/0
来表示任意子网。因此,具体命令的语法和表示方式可能会依赖于设备和操作系统的要求。在实际配置中,请参考设备的官方文档或命令参考手册来确定正确的匹配方式。
自己写的可能有手误,请各位伙伴们不吝赐教。
版权归原作者 小汐睡着了 所有, 如有侵权,请联系我们删除。