0


华为 1+X 网络系统运维与建设中级实操模拟题

实验拓扑

配置中的注意事项:(针对新手)

dis this 查看当前模式的所有配置。

ospf 邻居无法正常建立的常见原因:

1、设备间相连的接口地址和掩码配置错误

2、network 命令配置错误的地址

vlan , trunk ,eth-trunk,ip 的配置要100%正确。

运行ospf协议的设备上可使用 dis ip int brief。

实验目的

完成所有配置且正确

实验要求

1、配置主机名称

2、
配置链路聚合

3、VLAN 配置

表如下:

4、
配置 RSTP 协议

5、配置 IP 地址

表如下:

6、配置 VRRP 协议

7、配置 OSPF 协议

8、
配置 PAP 和 CHAP 认证

9、
配置静态路由

10、配置 DHCP 服务

11、配置 NAT

12、配置 ACL

13、配置 telnet 网管

14、配置 SNMPv2/SNMPv3 协议

15、保存所有设备配置,保存拓扑文件

实验步骤

一、搭建实验拓扑

如上图所示

二、配置主机名称

1、根据拓扑图配置设备主机名,配置如下

<Huawei>system-view

[Huawei]sysname Acc02

<Huawei>system-view

[Huawei]sysname Acc01

<Huawei>system-view

[Huawei]sysname Agg01

<Huawei>system-view

[Huawei]sysname Agg02

<Huawei>system-view

[Huawei]sysname Core1

<Huawei>system-view

[Huawei]sysname Core2

<Huawei>system-view

[Huawei]sysname HZ-XiaoYuan-Edge

<Huawei>system-view

[Huawei]sysname SH-XiaoYuan-Edge

<Huawei>system-view

[Huawei]sysname HZ-EDU-Edge

三、配置链路聚合

1、 在Agg01和Agg02的互联的链路使用Lacp配置链路聚合,只允许存在一条活动链路。

要求 Lag id 为 1。

[Agg01]int Eth-Trunk 1

[Agg01-Eth-Trunk1]mode lacp-static

[Agg01-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/5

[Agg01-Eth-Trunk1]max active-linknumber 1

[Agg02]int Eth-Trunk 1

[Agg02-Eth-Trunk1]mode lacp-static

[Agg02-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/5
[Agg02-Eth-Trunk1]max active-linknumber 1

2、 在 Agg01 上使用 dis eth-trunk 1 查看只要存在一条“Selected”的链路即可。

四、VLAN 配置

1、 在 Acc01,Acc02 创建 vlan10,20。

[Acc02]vlan batch 10 20

[Acc01]vlan batch 10 20

2、 在 Agg01,Agg02 创建 vlan10,vlan20,vlan100,vlan200。注意 Agg01 不用创建 vlan200,Agg02 不用创建 Vlan100。

[Agg01]vlan batch 10 20 100

[Agg02]vlan batch 10 20 200

3、 根据 VLAN 配置表,将 eth-trunk 和交换机互联的链路配置为 Trunk 以及主机加入到对应 VLAN 中。

在 Acc02 上配置 trunk,并将连接 PC 的端口加入到 VLAN。

[Acc02]int g0/0/1

[Acc02-GigabitEthernet0/0/1] port link-type trunk

[Acc02-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20

[Acc02-GigabitEthernet0/0/1] undo port trunk allow-pass vlan 1

[Acc02]int g0/0/2

[Acc02-GigabitEthernet0/0/2] port link-type trunk

[Acc02-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20

[Acc02-GigabitEthernet0/0/2] undo port trunk allow-pass vlan 1

[Acc02]int e0/0/1

[Acc02-Ethernet0/0/1] port link-type access

[Acc02-Ethernet0/0/1] port default vlan 10

[Acc02]int e0/0/2

[Acc02-Ethernet0/0/2] port link-type access

[Acc02-Ethernet0/0/2] port default vlan 20

在 Acc01 上配置 trunk,并将连接 PC 的端口加入到对应的 VLAN。

[Acc01]int g0/0/1

[Acc01-GigabitEthernet0/0/1] port link-type trunk

[Acc01-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20

[Acc01-GigabitEthernet0/0/1] undo port trunk allow-pass vlan 1

[Acc01]int g0/0/2

[Acc01-GigabitEthernet0/0/2] port link-type trunk

[Acc01-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20

[Acc01-GigabitEthernet0/0/2] undo port trunk allow-pass vlan 1

[Acc01]int e0/0/1

[Acc01-Ethernet0/0/1] port link-type hybrid

[Acc01-Ethernet0/0/1] port hybrid pvid vlan 10

[Acc01-Ethernet0/0/1] port hybrid untagged vlan 10

[Acc01]int e0/0/2

[Acc01-Ethernet0/0/2] port link-type hybrid

[Acc01-Ethernet0/0/2] port hybrid pvid vlan 20

[Acc01-Ethernet0/0/2] port hybrid untagged vlan 20

在 Agg01 上配置,注意 G0/0/1 和 G0/0/2 不允许 vlan1 通过。

[Agg01-GigabitEthernet0/0/1] port link-type trunk

[Agg01-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20

[Agg01-GigabitEthernet0/0/1] undo port trunk allow-pass vlan 1

[Agg01]int g0/0/2

[Agg01-GigabitEthernet0/0/2] port link-type trunk

[Agg01-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20

[Agg01-GigabitEthernet0/0/2] undo port trunk allow-pass vlan 1

[Agg01-Eth-Trunk1]int eth-trunk 1

[Agg01-Eth-Trunk1] port link-type trunk

[Agg01-Eth-Trunk1] port trunk allow-pass vlan 10 20

将 Agg01 的 G0/0/6 端口加入到 VLAN100,端口类型为 Access。

[Agg01]int g0/0/6

[Agg01-GigabitEthernet0/0/6] port link-type access

[Agg01-GigabitEthernet0/0/6] port default vlan 100

在 Agg02 上配置,注意 G0/0/1 和 G0/0/2 不允许 vlan1 通过。

[Agg02]int g0/0/1

[Agg02-GigabitEthernet0/0/1] port link-type trunk

[Agg02-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20

[Agg02-GigabitEthernet0/0/1] undo port trunk allow-pass vlan 1

[Agg02]int g0/0/2

[Agg02-GigabitEthernet0/0/2] port link-type trunk

[Agg02-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20

[Agg02-GigabitEthernet0/0/2] undo port trunk allow-pass vlan 1

[Agg02-Eth-Trunk1]int eth-trunk 1

[Agg02-Eth-Trunk1] port link-type trunk

[Agg02-Eth-Trunk1] port trunk allow-pass vlan 10 20

将 Agg02 的 G0/0/6 端口加入到 VLAN200,端口类型为 Access。

[Agg02]int g0/0/6

[Agg02-GigabitEthernet0/0/6] port link-type access

[Agg02-GigabitEthernet0/0/6] port default vlan 200

五、配置 RSTP 协议

1、Agg01,Agg02,Acc01,Acc02 运行 RSTP 协议,将 Agg01 配置为根桥,优先级为 4096,Agg02配置为备份根桥,优先级为 8192。RSTP默认的优先级32768

[Agg01]stp mode rstp

[Agg01]stp priority 4096

[Agg02]stp mode rstp

[Agg02]stp priority 8192

[Acc01]stp mode rstp

[Acc02]stp mode rstp

在 Acc01,Acc02 上使用 dis stp biref 查看 RP 【根端口】端口和 AP 【指定端口中的备份端口】端口,如下输出表示正常。

2、将交换机连接 PC 的端口配置为边缘端口,可以快速进入到转发状态,并在 Acc01,Acc02 上启用 BPDU 防护功能。

[Acc02]stp bpdu-protection

[Acc02]int e0/0/1

[Acc02-Ethernet0/0/1]stp edged-port enable

[Acc02]int e0/0/2

[Acc02-Ethernet0/0/2]stp edged-port enable

[Acc01]stp bpdu-protection

[Acc01]int e0/0/1

[Acc01-Ethernet0/0/1]stp edged-port enable

[Acc01]int e0/0/2

[Acc01-Ethernet0/0/2]stp edged-port enable

在 Acc01,Acc02 使用 dis stp brief 查看是否生效,如图表示正常。

3、 将 Acc02 和 Agg02 的相应接口的 RSTP 开销修改为 200000,将 Acc01 和 Agg01 的相应接口的 RSTP 开销修改为 200000,并开启环路防护功能。

[Acc01]int g0/0/2

[Acc01-GigabitEthernet0/0/2]stp cost 200000

[Acc01-GigabitEthernet0/0/2]stp loop-protection

[Acc02]int g0/0/2

[Acc02-GigabitEthernet0/0/2]stp cost 200000

[Acc02-GigabitEthernet0/0/2]stp loop-protection

4、在 Agg01 和 Agg02 的 G0/0/6 端口上启用 STP 的根防护功能。

[Agg01]int g0/0/6

[Agg01-GigabitEthernet0/0/6]stp root-protection

[Agg02]int g0/0/6

[Agg02-GigabitEthernet0/0/6]stp root-protection

六、配置 IP 地址

[Agg01]int Vlanif 10

[Agg01-Vlanif10]ip address 192.168.10.1 24

[Agg01]int Vlanif 20

[Agg01-Vlanif20]ip address 192.168.20.1 24

[Agg01]int Vlanif 100

[Agg01-Vlanif100]ip address 10.1.100.1 30

[Agg01]int LoopBack 0

[Agg01-LoopBack0]ip address 1.1.1.1 32

[Agg02]int Vlanif 10

[Agg02-Vlanif10]ip address 192.168.10.2 24

[Agg02]int Vlanif 20

[Agg02-Vlanif20]ip address 192.168.20.2 24

[Agg02]int Vlanif 200

[Agg02-Vlanif200]ip address 10.1.200.1 30

[Agg02]int LoopBack 0

[Agg02-LoopBack0]ip address 2.2.2.2 32

[Core1]int g0/0/0

[Core1-GigabitEthernet0/0/0]ip address 10.1.100.2 30

[Core1]int g0/0/1

[Core1-GigabitEthernet0/0/1]ip address 10.1.12.1 30

[Core1]int g0/0/2

[Core1-GigabitEthernet0/0/2]ip address 10.1.22.1 30

[Core1]int LoopBack 0

[Core1-LoopBack0]ip address 3.3.3.3 32

[Core2]int g0/0/0

[Core2-GigabitEthernet0/0/0]ip address 10.1.200.2 30

[Core2]int g0/0/1

[Core2-GigabitEthernet0/0/1]ip address 10.1.12.2 30

[Core2]int g0/0/2

[Core2-GigabitEthernet0/0/2]ip address 10.1.33.1 30

[Core2]int LoopBack 0

[Core2-LoopBack0]ip address 4.4.4.4 32

[HZ-XiaoYuan-Edge]int g0/0/0
[HZ-XiaoYuan-Edge-GigabitEthernet0/0/0]ip address 10.1.22.2 30

[HZ-XiaoYuan-Edge]int g0/0/1
[HZ-XiaoYuan-Edge-GigabitEthernet0/0/1]ip address 10.1.33.2 30

[HZ-XiaoYuan-Edge]int g0/0/2
[HZ-XiaoYuan-Edge-GigabitEthernet0/0/2]ip address 172.16.1.1 30

[HZ-XiaoYuan-Edge]int s1/0/0
[HZ-XiaoYuan-Edge-Serial1/0/0]ip address 202.1.1.1 30

[HZ-XiaoYuan-Edge]int LoopBack 0
[HZ-XiaoYuan-Edge-LoopBack0]ip address 5.5.5.5 32

[SH-XiaoYuan-Edge]int g0/0/0
[SH-XiaoYuan-Edge-GigabitEthernet0/0/0]ip address 192.168.30.254 24

[SH-XiaoYuan-Edge]int g0/0/1
[SH-XiaoYuan-Edge-GigabitEthernet0/0/1]ip address 172.16.1.2 30

[SH-XiaoYuan-Edge]int LoopBack 0
[SH-XiaoYuan-Edge-LoopBack0]ip address 6.6.6.6 32

[HZ-EDU-Edge]int s1/0/1
[HZ-EDU-Edge-Serial1/0/1]ip address 202.1.1.2 30

[HZ-EDU-Edge]int g0/0/0
[HZ-EDU-Edge-GigabitEthernet0/0/0]ip address 8.8.8.1 24

七、配置 VRRP 协议。

1、在 Agg01 和 Agg02 上配置 VRRP 协议,Vlan10 的 vrid 为 1,Vlan20 的 vrid 为 2,Vlan10

虚拟网关地址为 192.168.10.254/20.254。

2、Agg01 为 VLAN10 主网关,Vlan20 的备份网关,Agg02 为 VLAN20 主网关,优 VLAN10 的

备份网关。主网关的优先级均为 120。

3、为了防止上行链路失效,当 Agg01 和 Agg02 的 G0/0/6 接口失效,则主网关优先级自己下降

30,当链路恢复,启用抢夺功能,抢夺延迟为 10s。

4、为了保证安全性,启动 VRRP 认证,vrid1 使用 md5 认证,密码为 huawei, vrid2 使用明文认

证,密码为 huawei。

[Agg01]int Vlanif 10

[Agg01-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.254

[Agg01-Vlanif10] vrrp vrid 1 priority 120

[Agg01-Vlanif10] vrrp vrid 1 authentication-mode md5 huawei

[Agg01-Vlanif10] vrrp vrid 1 track interface g0/0/6 reduced 30

[Agg01-Vlanif10] vrrp vrid 1 preempt-mode timer delay 10

[Agg02]int Vlanif 10

[Agg02-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.254

[Agg02-Vlanif10] vrrp vrid 1 authentication-mode md5 huawei

[Agg01]int Vlanif 20

[Agg01-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.254

[Agg01-Vlanif20] vrrp vrid 2 authentication-mode simple huawei

[Agg02]int Vlanif 20

[Agg02-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.254

[Agg02-Vlanif20] vrrp vrid 2 priority 120

[Agg02-Vlanif20] vrrp vrid 2 authentication-mode simple huawei

[Agg02-Vlanif20] vrrp vrid 2 track interface g0/0/6 reduced 30

[Agg02-Vlanif20] vrrp vrid 2 preempt-mode timer delay 10

在 Agg01 和 Agg02 上使用 dis vrrp brief 查看配置,如下输出代表正常。

八、配置 OSPF 协议

在 Agg01,Agg02,Core1 ,Core2,HZ-XiaoYuan-Edge,SH-XiaoYuan-Edge 上配置 OSPF 协议, 配置为骨干区域,进程号为 1,配置每台设备的全局 router id 为 loopback0 接口的地址,并作为 OSPF 协议的 router id,所有接口采用精确宣告的方式。

1、将 Agg01 的 vlanif10, vlanif20, vlanif100,loopback0 加入到 ospf 进程 1 中。

[Agg01] ospf 1 router-id 1.1.1.1

[Agg01-ospf-1] area 0

[Agg01-ospf-1-area-0.0.0.0] network 192.168.10.1 0.0.0.0

[Agg01-ospf-1-area-0.0.0.0] network 192.168.20.1 0.0.0.0

[Agg01-ospf-1-area-0.0.0.0] network 10.1.100.1 0.0.0.0

[Agg01-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0

2、将 Agg02 的 vlanif10, vlanif20, vlanif200,loopback0 加入到 ospf 进程 1 中。

[Agg02] ospf 1 router-id 2.2.2.2

[Agg02-ospf-1] a 0

[Agg02-ospf-1-area-0.0.0.0] network 192.168.10.2 0.0.0.0

[Agg02-ospf-1-area-0.0.0.0] network 192.168.20.2 0.0.0.0

[Agg02-ospf-1-area-0.0.0.0] network 10.1.200.1 0.0.0.0

[Agg02-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0

3、将 Core1,Core2 的所有接口加入到 ospf 进程 1。

[Core1] ospf 1 router-id 3.3.3.3

[Core1-ospf-1] area 0

[Core1-ospf-1-area-0.0.0.0] network 10.1.100.2 0.0.0.0

[Core1-ospf-1-area-0.0.0.0] network 10.1.22.1 0.0.0.0

[Core1-ospf-1-area-0.0.0.0] network 10.1.12.1 0.0.0.0

[Core1-ospf-1-area-0.0.0.0] network 3.3.3.3 0.0.0.0

[Core2] ospf 1 router-id 4.4.4.4

[Core2-ospf-1] area 0

[Core2-ospf-1-area-0.0.0.0] network 10.1.33.1 0.0.0.0

[Core2-ospf-1-area-0.0.0.0] network 10.1.12.2 0.0.0.0

[Core2-ospf-1-area-0.0.0.0] network 10.1.200.2 0.0.0.0

[Core2-ospf-1-area-0.0.0.0] network 4.4.4.4 0.0.0.0

4、将 HZ-XiaoYuan-Edge 的 G0/0/0,G0/01,G0/0/2 接口和 loopback0 接口加入到 ospf 进程 1 中。

[HZ-XiaoYuan-Edge] ospf 1 router-id 5.5.5.5

[HZ-XiaoYuan-Edge-ospf-1] a 0

[HZ-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 10.1.22.2 0.0.0.0

[HZ-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 10.1.33.2 0.0.0.0

[HZ-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 172.16.1.1 0.0.0.0

[HZ-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 5.5.5.5 0.0.0.0

5、将 SH-XiaoYuan-Edge 的 G0/0/0,GE0/0/1 和 loopback0 接口加入到 OSPF 进程 1 中。

[SH-XiaoYuan-Edge] ospf 1 router-id 6.6.6.6

[SH-XiaoYuan-Edge-ospf-1] a 0

[SH-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 192.168.30.254 0.0.0.0

[SH-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 172.16.1.2 0.0.0.0

[SH-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 6.6.6.6 0.0.0.0

6、配置 OSPF 区域认证,认证方式为 md5,密钥号为 1,加密方式为 ciper,密码为 Huawei。

[Agg01] ospf 1

[Agg01-ospf-1] a 0

[Agg01-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei

[Agg02] ospf 1

[Agg02-ospf-1] a 0

[Agg02-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei

[Core1] ospf 1

[Core1-ospf-1] a 0

[Core1-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei

[Core2] ospf 1

[Core2-ospf-1] a 0

[Core2-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei

[HZ-XiaoYuan-Edge] ospf 1

[HZ-XiaoYuan-Edge-ospf-1] a 0

[HZ-XiaoYuan-Edge-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei

[SH-XiaoYuan-Edge] ospf 1

[SH-XiaoYuan-Edge-ospf-1] a 0

[SH-XiaoYuan-Edge-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei

7、配置 HZ-XiaoYuan-edge 的 G0/0/0 接口的优先级为最高,使其成为 DR【指定路由器】。

[HZ-XiaoYuan-Edge]int g0/0/0

[HZ-XiaoYuan-Edge-GigabitEthernet0/0/0] ospf dr-priority 255

使用 dis ospf peer g0/0/0 查看 DR 是否为 10.1.22.2,下图表示正常。

8、在 Agg01,Agg02 上将 Vlanif10 和 Vlanif20 的 OSPF 开销修改为 100,将 Core2 和 HZ-XiaoYuan-Edge 之间的链路 OSPF 开销修改为 100。

[Agg01]int Vlanif 10

[Agg01-Vlanif10] ospf cost 100

[Agg01]int Vlanif 20

[Agg01-Vlanif20] ospf cost 100

[Agg02]int Vlanif 10

[Agg02-Vlanif10] ospf cost 100

[Agg02]int Vlanif 20

[Agg02-Vlanif20] ospf cost 100

[HZ-XiaoYuan-Edge]int g0/0/1

[HZ-XiaoYuan-Edge-GigabitEthernet0/0/1] ospf cost 100

[Core2]int g0/0/2

[Core2-GigabitEthernet0/0/2]ospf cost 100

在 Agg01 或者 Agg02 使用 dis ospf int vlanif10/20 查看开销是否为 100。

9、将 HZ-XiaoYuan-Edge 的 G0/0/2 和 SH-XiaoYuan-Edge 的 G0/0/1 的链路配置为 P2P 链路。

[HZ-XiaoYuan-Edge]int g0/0/2

[HZ-XiaoYuan-Edge-GigabitEthernet0/0/2]ospf network-type p2p

[SH-XiaoYuan-Edge]int g0/0/1

[SH-XiaoYuan-Edge-GigabitEthernet0/0/1]ospf network-type p2p

在 HZ-XiaoYuan-Edge 或者 SH-XiaoYuan-Edge 上使用 dis ospf int g0/0/1 查看是否为 P2P 。

九、配置 PAP 和 CHAP 认证

1、配置 PAP 认证,HZ-XiaoYuan-Edge 作为认证方,HZ-EDU-Edge 作为被认证方,用户名为 user1, 密码为 Huawei@123, 密码模式为 simple。

[HZ-XiaoYuan-Edge]aaa

[HZ-XiaoYuan-Edge-aaa] local-user user1 password cipher Huawei@123 //

[HZ-XiaoYuan-Edge-aaa] local-user user1 service-type ppp

[HZ-XiaoYuan-Edge]int s1/0/0

[HZ-XiaoYuan-Edge-Serial1/0/0] ppp authentication-mode pap

[HZ-EDU-Edge]int s1/0/1

[HZ-EDU-Edge-Serial1/0/1] ppp pap local-user user1 password simple Huawei@123

2、配置 CHAP 认证,HZ-EDU-Edge作为认证方,HZ-XiaoYuan-Edge 作为被认证方,用户名为 user2, 密码为 Huawei,密码模式为 cipher.

[HZ-EDU-Edge]aaa

[HZ-EDU-Edge-aaa] local-user user2 password cipher Huawei

[HZ-EDU-Edge-aaa] local-user user2 service-type ppp

[HZ-EDU-Edge]int s1/0/1

[HZ-EDU-Edge-Serial1/0/1] ppp authentication-mode chap

[HZ-XiaoYuan-Edge]int s1/0/0

[HZ-XiaoYuan-Edge-Serial1/0/0] ppp chap user user2

[HZ-XiaoYuan-Edge-Serial1/0/0] ppp chap password cipher Huawei

十、配置静态路由

1、在 HZ-XiaoYuan-Edge 配置静态路由,使得能访问 PC5,下一跳为 HZ-EDU-Edge,并配置缺省路由访问其他外部网络。

[HZ-XiaoYuan-Edge] ip route-static 8.8.8.0 24 202.1.1.2

[HZ-XiaoYuan-Edge] ip route-static 0.0.0.0 0 202.1.1.2

2、在 HZ-EDU-Edge 上配置静态路由使得教育网能访问校园网所有存在 PC 的网段,访问校园网其他网段时采用缺省路由。

[HZ-EDU-Edge] ip route-static 192.168.10.0 24 202.1.1.1

[HZ-EDU-Edge] ip route-static 192.168.20.0 24 202.1.1.1

[HZ-EDU-Edge] ip route-static 192.168.30.0 24 202.1.1.1

[HZ-EDU-Edge] ip route-static 0.0.0.0 0 202.1.1.1

3、在 HZ-XiaoYuan-Edge 引入静态路由到 OSPF 网络中,开销类型为 1,默认为类型 2.

[HZ-XiaoYuan-Edge] ospf 1

[HZ-XiaoYuan-Edge-ospf-1] import-route static type 1

十一、配置 DHCP【动态主机配置协议,用于给终端设备分配 IP 地址 】 服务

1、在 Agg02 上的 vlanif20 接口上启用基于接口地址池的 DHCP 服务,为 PC2 动态分配地址,DNS 为 8.8.8.8。

[Agg02] dhcp enable

[Agg02]int Vlanif 20

[Agg02-Vlanif20] dhcp select interface

[Agg02-Vlanif20] dhcp server dns-list 8.8.8.8

在 PC2 上设置通过 DHCP 获取 IP 地址。

我喜欢先切换为静态应用后再切换为DHCP以应用后再命令行查看ip

2、在 SH-XiaoYuan-Edge 上配置基于全局地址池的 DHCP 服务,为 PC4 提供动态地址分配服务。网关为 192.168.30.254,DNS 为 8.8.8.8.

[SH-XiaoYuan-Edge] dhcp enable

[SH-XiaoYuan-Edge] ip pool edu

[SH-XiaoYuan-Edge-ip-pool-edu] network 192.168.30.0 mask 255.255.255.0

[SH-XiaoYuan-Edge-ip-pool-edu] gateway-list 192.168.30.254

[SH-XiaoYuan-Edge-ip-pool-edu] dns-list 8.8.8.8

[SH-XiaoYuan-Edge]int g0/0/0

[SH-XiaoYuan-Edge-GigabitEthernet0/0/0] dhcp select global

在 PC4 上设置 DHCP 获取地址,并查看 PC4 获得的地址信息。

十二、配置 NAT

1、 在 HZ-XiaoYuan-Edge 上配置 NAPT,使用 202.1.1.10-202.1.1.20 做为地址池,VLAN10,

VLAN20 主机提供上网服务,需要能 ping 通 8.8.8.8,要求 ACL 编号为 2000,要求 address-group 为 1。

[HZ-XiaoYuan-Edge] nat address-group 1 202.1.1.10 202.1.1.20

[HZ-XiaoYuan-Edge]acl 2000

[HZ-XiaoYuan-Edge-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255

[HZ-XiaoYuan-Edge-acl-basic-2000] rule permit source 192.168.20.0 0.0.0.255

[HZ-XiaoYuan-Edge]int s1/0/0

[HZ-XiaoYuan-Edge-Serial1/0/0] nat outbound 2000 address-group 1

在PC1上ping 8.8.8.8,能ping通正常。

2、 在 HZ-XiaoYuan-Edge 上配置 easy ip,为 192.168.30.0/24 网段的用户提供上网服务,PC4 能

ping 通 8.8.8.8,要求 ACL 编号为 2001。

[HZ-XiaoYuan-Edge]acl 2001

[HZ-XiaoYuan-Edge-acl-basic-2001] rule permit source 192.168.30.0 0.0.0.255

[HZ-XiaoYuan-Edge]int s1/0/0

[HZ-XiaoYuan-Edge-Serial1/0/0] nat outbound 2001

3、在 Agg01 上配置 telnet 功能,将 Agg01 的 loopback0 接口映射到公网,让 HZ-EDU-Edeg 使

用源地址 8.8.8.1 telnet 203.1.1.1 能管理到 Agg01。

[HZ-XiaoYuan-Edge]int s1/0/0

[HZ-XiaoYuan-Edge-Serial1/0/0]nat server protocol tcp global 203.1.1.1 23

inside 1.1.1.1 23

4、 在 Agg01 上配置 telnet 登录服务,认证方式为密码认证,登录密码为 Huawei,使用 cipher 加密密码,登录级别 3。

[Agg01]user-interface vty 0 4

[Agg01-ui-vty0-4] authentication-mode password

[Agg01-ui-vty0-4] set authentication password cipher Huawei

[Agg01-ui-vty0-4] user privilege level 3

在 HZ-EDU-Edge 上测试是否能登录 Agg01。

5、 在 Agg02 配置 FTP 功能,将 Agg02 的 loopabck0 地址映射到公网,让 HZ-EDU-Edege 使用

源地址 8.8.8.1 通过访问 ftp 203.1.1.1 访问到 Agg02。Agg02 的 ftp 用户名为 ftp,密码为

Huawei,ftp 用户级别为 3。

在 Agg02 配置 FTP 服务

[Agg02]ftp server enable

[Agg02]aaa

[Agg02-aaa] local-user ftp password cipher huawei

[Agg02-aaa] local-user ftp privilege level 3

[Agg02-aaa] local-user ftp service-type ftp

[Agg02-aaa] local-user ftp ftp-directory flash:

在 HZ-XiaoYuan-Edge 配置 NAT Server.

[HZ-XiaoYuan-Edge]int s1/0/0

[HZ-XiaoYuan-Edge-Serial1/0/0] nat server protocol tcp global 203.1.1.1

ftp inside 2.2.2.2 ftp

在 HZ-EDU-Edge 使用 ftp -a 8.8.8.1 203.1.1.1 登录 Agg02 的 ftp 服务,也可以用 Client1 访问. ​​​​​​​

6、 校园网有一台 WEB 服务器 Server1,希望 Client1 能通过 http:// 203.1.1.2 访问到Server1 的内网地址为 192.168.20.10。

[HZ-XiaoYuan-Edge]int s1/0/0

[HZ-XiaoYuan-Edge-Serial1/0/0] nat server protocol tcp global 203.1.1.280 inside 192.168.20.10 80

在 Client1 上测试是否能访问 Web Server。【如果Client1 直接访问 Web Server失败了,则在Web Server1上启动HttpServer,如第一张图所示】

十三、配置 ACL

1、在 HZ-XiaoYuan-Edge 上配置高级 ACL,不允许 PC3 ping 通 8.8.8.8,要求 ACL 编号为 3000。

[HZ-XiaoYuan-Edge]acl 3000

[HZ-XiaoYuan-Edge-acl-adv-3000] rule deny icmp source 192.168.10.20 0.0.0.0

destination 8.8.8.8 0.0.0.0

[HZ-XiaoYuan-Edge]int g0/0/0

[HZ-XiaoYuan-Edge-GigabitEthernet0/0/0] traffic-filter inbound acl 3000

[HZ-XiaoYuan-Edge]int g0/0/1

[HZ-XiaoYuan-Edge-GigabitEthernet0/0/1] traffic-filter inbound acl 3000

在 PC1 上 ping 8.8.8.8 依然可以 ping 通 8.8.8.8 ,在 PC3 上无法 ping 通 8.8.8.8。

十四、配置 telnet 网管

在SH-XiaoYuan-Edge上配置telnet功能,使用aaa认证,登录用户为telnet,密码为Huawei@123.

密码 cipher 模式加密,登录级别为 15,并只允许 Agg01 的 1.1.1.1 登录 SH-XiaoYuan-Edge 的 6.6.6.6. 其他设备均无法登录设备,要求 ACL 编号为 3000。

[SH-XiaoYuan-Edge]acl 3000

[SH-XiaoYuan-Edge-acl-basic-3000] rule permit tcp source 1.1.1.1 0.0.0.0

destination 6.6.6.6 0.0.0.0

[SH-XiaoYuan-Edge]aaa

[SH-XiaoYuan-Edge-aaa] local-user telnet password cipher Huawei@123

[SH-XiaoYuan-Edge-aaa] local-user telnet service-type telnet

[SH-XiaoYuan-Edge-aaa] local-user telnet privilege level 15

[SH-XiaoYuan-Edge]user-interface vty 0 4

[SH-XiaoYuan-Edge-ui-vty0-4] authentication-mode aaa

[SH-XiaoYuan-Edge-ui-vty0-4] acl 3000 inbound

在Agg01上使用源地址1.1.1.1登录SH-XiaoYuan-Edge的6.6.6.6,其他设备均无法登录。

在 Core2 上测试,无法登录。

十五、配置 SNMPv2/SNMPv3 协议 ,可选练习。

在 Core1 上配置 SNMPv3 上协议,创建用户组 usergroup

在 usergroup 组下创建用户 user,认证密码为 Huawei@123, 认证算法选择 md5,加密密码

为 Huawei@123,加密算法为 AES128, 向 NMS 主机 5.5.5.5 发送告警信息,UDP 端口 162,发送 trap

报文的列表名为 trapnms2, 主体名为 user,发送 trap 报文的源地址为 loopback0 接口。

Core1 部署 SNMPV3 配置如下,使用 loopback0 接口地址发送 SNMPv3 报文。

snmp-agent

snmp-agent sys-info version v3 启用SNMPv3

snmp-agent trap source LoopBack0 指定向网管系统发送报文的源地址

snmp-agent group v3 usergroup privacy

命令解释:

创建 SNMPv3 用户组 usergroup, privacy 对报文进行认证和加密,authentication 对报文进行认证不

加密。

snmp-agent usm-user v3 user usergroup authentication-mode md5 Huawei@123

privacy-mode aes128 Huawei@123

命令解释:

创建 SNMP 用户并绑定用户组,user 为用户,usergroup 为用户组,并设置认证密码和加密密码。

**配置告警功能 **

snmp-agent target-host trap-paramsname trapnms2 v3 securityname user privacy

命令解释:

snmp-agent target-host trap-paramsname :命令用于配置 Trap 报文的发送参数信息

trap-paramsname :发送 trap 报文的列表名,可以自定义,此处为 trapnms2

securityname :发送 trap 报文的主体名,使用 SNMPv3 时为用户名, 此处为 user

privacy :认证并加密 trap 报文 ,authentication 认证 trap 报文,不加密,根据题意配置。

snmp-agent target-host trap-hostname nms address 5.5.5.5 trap-paramsname

trapnms2

命令解释:

Trap-hostname 设置网管主机名,自定义,如果题目有要求就按要求配置。

Address : 配置网管主机的 IP 地址,根据题目要求设置

trap-paramsname :配置向网管主机发送 trap 报文的列表名。

snmp-agent trap enable 启用发送 trap 报文用于告警,配置完毕。在 Core2 上配置 SNMPv2 协议,读团体字 Huawei12#$,写团体字 Huawei@123,向 NMS 主机

5.5.5.5 发送告警信息,UDP 端口 162,发送 trap 报文的列表名为 Core2,主体名为 Core2snmp,发送

trap 报文的源地址为 Loopabck0 接口。

SNMPv2c 的配置,使用 Loopback0 接口地址发送 SNMP 报文。

snmp-agent

snmp-agent sys-info version v2c

snmp-agent community read Huawei12#$ 设置 SNMPv2c 的读团体字,根据题意设置

snmp-agent community write Huawei@123 设置 SNMPv2c 的写团体字,根据题意设置

注意读/写 团体字 根据题意配置,无需都配置

snmp-agent trap source Loopback0 指定 SNMP 通信源地址 (没要求可以不配)

snmp-agent target-host trap-paramsname Core2 v2c securityname Core2snmp

命令解释:

trap-paramsname 配置发送 trap 报文的列表名,自定义或者看题目要求

securityname 配置发送 trap 报文的主体名,自定义或者看题目要求

snmp-agent target-host trap-hostname nms address 5.5.5.5 udp-port 162 trap

paramsname Core2

命令解释:

trap-hostname 配置网管主机名,自定义或者看题目要求

trap-paramsname 配置发送给网管主机的 trap 报文的列表名,和上一条命令保持一致。

udp-port 配置和网管主机对接的端口号,默认为 UDP 162

snmp-agent trap enable 启用发送 trap 报文用于告警,配置完毕。

实验总结

链路聚合LACP模式:

采用LACP协议的一种链路聚合模式。设备间通过链路聚合控制协议数据单元(Link Aggregation Control Protocol Data Unit,LACPDU)进行交互,通过协议协商确保对端是同一台设备、同一个聚合接口的成员接口。

[Agg01]dis eth-trunk 1中的显示内容:

Preempt Delay 抢占延迟 Hash arithmetic 哈希算法

VLAN 配置:

[Acc01-Ethernet0/0/1] port hybrid pvid vlan 10 //给该端口配置pvid,从终端角度来讲,相当于将该端口划入VLAN10

[Acc01-Ethernet0/0/1] port hybrid untagged vlan 10 //配置Hybrid类型接口加入的VLAN,这些VLAN的帧以Untagged方式通过接口

undo port hybrid vlan //用来删除Hybrid类型接口加入的VLAN

交换机和路由器之间的连接方式:

1)access方式

交换机与路由器连接的接口使用access接口。这是因为路由器中的消息也不带VLAN标签,就像终端一样,保证路由器的数据能够进入交换机领域,数据由路由器进入交换机是会被打上默认标签,接着按照交换机间VLAN的规则行走。

解释二:华为配置为例,三层交换机作为网关,想要与路由器进行通信。由于交换机上行接口不能直接进行IP配置,此时需要将交换机接口设置为access口,路由点上绑定相应的vlan,再进行IP地址的配置。

2)trunk方式

通常用在
单臂路由,路由器下行接口与交换机的接口类型为trunk口。

单臂路由是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。

3)no switch

在华为配置上是undo switch(关闭交换功能),当交换机需要开启三层口功能,想要能和路由器一样直接配置IP地址时,就需要采用no switch连接方式。

配置 VRRP 协议:

通过在冗余网关间共享虚拟MAC和IP地址,保证数据转发时并不是转给某一个具体网关的IP,而是把数据转发给虚拟网关的IP,因此,不论哪一个路由器成为主路由,都不会影响数据通信。通过组播协议对数据端口进行监控,一旦检测数据转发的端口坏掉,主路由器会停发HELLO包,备路由器提升为主路由,实现数据的稳定高效转发。

配置 PAP 和 CHAP 认证

配置认证方:

这里仅介绍缺省域下AAA本地认证的配置方式。
执行命令aaa,
进入AAA视图。
执行命令local-user user-name password,
创建本地帐号,并配置本地账号的登录密码。
执行命令local-user user-name service-type ppp,
配置本地用户使用的服务类型为PPP。

执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入指定的接口视图。
执行命令ppp authentication-mode pap [ [ call-in ] domain domain-name ],配置PPP认证方式为PAP。

缺省情况下,PPP协议不进行认证。
如果配置domain domain-name,则指定的域必须已经通过命令domain(AAA视图)创建。
PAP认证时,密码会在网络中以明文形式传输,存在安全风险。推荐使用CHAP认证。

配置被认证方:

执行命令system-view,
进入系统视图。

执行命令interface interface-type interface-number,
进入指定的接口视图。

执行命令ppp pap local-user username password { cipher | simple } password,
配置本地被对端以PAP方式认证时本地发送的PAP用户名和密码。

配置的用户名和密码要和认证方配置的用户名和密码一致。

缺省情况下,对端采用PAP认证时,本地设备发送的用户名和口令均为空。

配置 NAT

[Agg02-aaa] local-user ftp ftp-directory flash:

  • “ftp-directory flash:”:这是指定FTP用户的根目录的命令部分。"ftp-directory"表示设置FTP目录,"flash:"是指定的根目录路径,它表明FTP用户的根目录将位于设备的flash存储器上。

配置ACL

{permit | deny} {protocol} {source} {source_port} {destination} {destination_port}

  • {permit | deny}:指定允许或拒绝特定协议流量通过。
  • {protocol}:指定要匹配的协议,如IP、TCP、UDP等。
  • {source}:指定源IP地址或源IP地址范围。
  • {source_port}:指定源端口,可选。
  • {destination}:指定目标IP地址或目标IP地址范围。
  • {destination_port}:指定目标端口,可选。

注意:

在ACL规则中,

0.0.0.0

不是子网掩码,而是用于表示匹配任意子网的通配符。

在给定的ACL规则中:

rule deny icmp source 192.168.10.20 0.0.0.0 destination 8.8.8.8 0.0.0.0
  • source 192.168.10.20 0.0.0.0指定要匹配的源IP地址范围,其中0.0.0.0表示任意源IP地址。
  • destination 8.8.8.8 0.0.0.0指定要匹配的目标IP地址范围,同样,0.0.0.0表示任意目标IP地址。

使用

0.0.0.0

作为通配符,使得该ACL规则适用于任意的源IP地址和目标IP地址,无论具体子网如何划分。

需要注意的是,一些网络设备或系统可能使用不同的表示方式,如使用

any

any/0

来表示任意子网。因此,具体命令的语法和表示方式可能会依赖于设备和操作系统的要求。在实际配置中,请参考设备的官方文档或命令参考手册来确定正确的匹配方式。

自己写的可能有手误,请各位伙伴们不吝赐教。

标签: 网络 华为

本文转载自: https://blog.csdn.net/2301_76274559/article/details/131560267
版权归原作者 小汐睡着了 所有, 如有侵权,请联系我们删除。

“华为 1+X 网络系统运维与建设中级实操模拟题”的评论:

还没有评论