网络 路由器基本协议配置
直连路由:
使用路由器连接不同网段:
[Huawei]undo info-center enable //关日志
[Huawei]interface gigabitEthernet0/0/0 //进入0号接口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //配置ip
[Huawei-GigabitEthernet0/0/0]in g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei]display ip interface brief //检查设备所有的ip地址配置情况之后每个pc再配置对应网段的网关即可全网互通
[Huawei]display ip routing-table //检查路由表
ICMP internet控制报文协议,可以反馈网络中比如是否联通,花费时间等信息
Ping -t 持续ping
Ping -l 1000 将ping包大小修改为1000字节
路由器是依靠路由表转发数据
路由表的产生方式:
1, 直连路由,路由器接口配置好ip并开启则自动产生
2, 静态路由,由管理员手工配置,添加所要前往的地址
语法格式:ip route-static 目标网段地址 子网掩码 下一跳
静态路由:
第一台路由器:
[Huawei]ip route-static 192.168.3.0 24 192.168.2.2 //添加静态路由
使该路由设备可以前往3网段,下一跳地址是2.2
[Huawei]ip route-static 192.168.4.0 24 192.168.2.2
[Huawei]display ip routing-table | include /24 //查看路由表,已经
多出了3.0网段的路由
display ip interface brief //查看ip配置情况
第二台路由器:
[Huawei]ip route-static 192.168.1.0 24 192.168.2.1 //添加静态路由
使该路由设备可以前往1网段,下一跳地址是2.1
默认路由:
默认路由 是一种特殊的静态路由 可以匹配任意网络,专门用于从内部网络访问海量的外部设备
[Huawei]in vlan 1
[Huawei-Vlanif1]ip add 100.0.0.10 8
两台路由器的g0/0/2口也按图配置ip,配置步骤此处省略。
[r1]ip route-static 0.0.0.0 0 100.0.0.10 //配置默认路由,可以访问
任意网络
[r1]ospf
[r1-ospf-1]default-route-advertise //发布默认路由,相当于宣告,然后下面的三层交换就就可以学习到该默认路由
三层交换机:
system-view //进入系统视图
[Huawei]undo info-center enable //关日志
[Huawei]vlan batch 2 3 //创建vlan2与3
[Huawei]display vlan //检查
[Huawei]interface GigabitEthernet 0/0/2 //进2口
[Huawei-GigabitEthernet0/0/2]port link-type access //配置接口类型为access
[Huawei-GigabitEthernet0/0/2]port default vlan 2 //把2口加入vlan2
[Huawei-GigabitEthernet0/0/2]in g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access //配置接口类型为access
[Huawei-GigabitEthernet0/0/3]port default vlan 3 //把3口加入vlan3
路由器的接口可以直接配置ip,但是三层交换机不行,需要在vlan接口配置
三层交换机接口配置ip思路:
1, 创建对应vlan
2, 进入vlan配置ip
3, 再把打算配置ip的物理接口加入该vlan
[Huawei]interface Vlanif 1 //进入vlan1的接口
[Huawei-Vlanif1]ip address 192.168.1.254 24 //配置ip,该ip可以作为vlan1的网关
[Huawei-Vlanif1]interface Vlanif 2 //进入vlan2的接口
[Huawei-Vlanif2]ip address 192.168.2.254 24 //配置ip,该ip可以作为vlan2的网关
[Huawei-Vlanif2]interface Vlanif 3 //进入vlan3的接口
[Huawei-Vlanif3]ip address 192.168.3.254 24 //配置ip,该ip可以作为vlan3的网关
动态路由:
基于某种路由协议实现
动态路由特点: 减少了管理任务
[Huawei]ospf //进入ospf动态路由协议视图
[Huawei-ospf-1]area 0 //定义区域0,整个网络的第一个ospf区域
[Huawei-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 //依次宣告自身所直连的网段
[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
然后到路由器配置:
[Huawei]ospf
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.5.0 0.0.0.255
配置结束后,可以按以下方式查看ospf配置结果
[Huawei]ospf
[Huawei-ospf-1]display this //查看ospf配置
[Huawei]display ip routing-table | in /24 //或者使用查看路由表命令
传输层作用:
传输层提供端到端的连接,定义了端口号
传输层协议:TCP(Transmission Control Protocol)
传输控制协议
可靠的、面向连接的协议
传输效率低
TCP的握手机制:
三次握手 SYN(打算与对方建立连接)— ACK(确认)+ SYN—ACK
四次断开 FIN(打算与对方断开连接)— ACK— FIN—ACK
使用了TCP的服务名称以及端口号:
UDP(User Datagram Protocol):用户数据报协议
不可靠的、无连接的服务
传输效率高
使用了UDP的服务名称以及端口号:
ACL 访问控制列表
可以控制网络设备传输数据的工具
在相同接口的相同方向,同一时刻只能应用一个acl列表
基本ACL:
基于源IP地址过滤数据包
列表号是2000~2999
反掩码使用规则:
0 匹配 255不匹配
比如这样写 192.168.0.1 0.0.0.255 那么192.168.0.100来了就会执行acl规则,因为0.0.0.255是只要匹配192.168.0.1的前三位,192.168.0.100的前三位与之一致,如果是192.168.1.100来了就不执行。
禁止主机PC2与PC1通信,而允许所有其他的流量
[Huawei]acl 2000 //创建acl 列表号是2000
[Huawei-acl-basic-2000]rule deny source 192.168.2.1 0.0.0.0 //创建规则拒绝源地址是192.168.2.1的数据通过
[Huawei-acl-basic-2000]undo rule 5 //如果写错,就删除,5是第一个规则的号码,可以使用display this查看当前列表中有多少个规则,每个规则的号码都是多少。
[Huawei-acl-basic-2000]in g0/0/1 //进入1口
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 //定义过滤数据是入方向,并应用之前创建的acl2000
[Huawei-GigabitEthernet0/0/1]display acl all //查看所有的acl
允许主机pc2与pc1互通,而禁止其他设备访问pc1。可以删除acl2000中的规则重新写,也可以新建acl列表
[Huawei-GigabitEthernet0/0/1]acl 2001 //创建新acl,列表号是2001
[Huawei-acl-basic-2001]rule permit source 192.168.2.1 0 //创建规则,允许2.1通过
[Huawei-acl-basic-2001]rule deny source any //拒绝所有设备通过
[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound //在接口取消之前的acl2000
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2001 //应用新的acl
高级ACL:
基于源IP地址、目的IP地址、源端口、目的端口、协议过滤数据包
列表号是3000~3999
禁止2.1访问1.1的ftp
[Huawei]acl 3000 //创建(进入)acl3000
[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination 192.168.1.1 0 destination-port eq 21 //拒绝2.1访问1.1的tcp的21端口
[Huawei-acl-adv-3000]in g0/0/1 //进入1接口
[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound //取消之前的acl
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //启用新acl3000,此时测试2.1已经无法访问1.1的ftp,但是可以访问网站
禁止2.2访问1.1的www如何做到?
[Huawei-GigabitEthernet0/0/1]acl 3000 //重新回到acl3000里
[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination
192.168.1.1 0 destination-port eq 80 //拒绝2.2访问1.1的tcp的80端口 ,此时测试2.2已经无法访问1.1的网站,但是可以访问ftp
NAT (Network Address Translation),网络地址转换:
通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上。
NAT的优点:
节省公有合法IP地址、处理地址重叠、增加安全
NAT的缺点:
延迟增大、配置和维护的复杂性
私有ip地址范围:
A 10.0.0.0~10.255.255.255
B 172.16.0.0~172.31.255.255
C 192.168.0.0~192.168.255.255
特殊地址:
127.0.0.1 本机回环
169.254.xxx.xxx 无效的临时地址
Ipv4 32位长度 42亿+的地址空间
ipv6 128位长度 几乎无限的地址空间
NAT地址转换:
pc3不配置网关。
配置路由器:
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 100.0.0.1 8
[Huawei-GigabitEthernet0/0/1]in g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.2.254 24
静态转换: 1对1 1台内部主机可以利用1个公网ip访问外部网络,通常有服务器设备发布服务到外网时使用,双向通信
Easy ip : 多对1 多台内部主机可以利用1个公网ip访问外部网络,通常办公室环境使用,单向通信
在路由器配置静态nat :
[Huawei]in g0/0/1 //进入外网接口
[Huawei-GigabitEthernet0/0/1]nat static global 100.0.0.2 inside 192.168.2.1 //使用静态nat技术,将内部的2.1与外部的公网地址100.0.0.2进行相互转换
[Huawei-GigabitEthernet0/0/1]nat static global 100.0.0.3 inside 192.168.2.2 //之后效果是2.1与2.2可以利用外网地址ping通100.0.0.10,反之,100.0.0.10也可以ping通2.1与2.2的公网地址
在路由器配置easy ip,让所有的内部主机仅仅利用唯一的一个公网地址100.0.0.1访问外网:
[Huawei]acl 2000 //通过acl定义允许访问外网的设备
[Huawei-acl-basic-2000]rule permit source any //这里放行所有设备
[Huawei-acl-basic-2000]in g0/0/1 //进入1接口
[Huawei-GigabitEthernet0/0/1]undo nat static global 100.0.0.3 inside 192.168.2.2 //删除已有的静态nat
[Huawei-GigabitEthernet0/0/1]undo nat static global 100.0.0.2 inside 192.168.2.1
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 //应用nat
[Huawei-GigabitEthernet0/0/1]undo nat outbound 2000 //如果nat无效,删除重新配置即可之后效果是2.1与2.2可以利用外网地址ping通100.0.0.10,反之,100.0.0.10不可以ping通2.1与2.2的外网地址
根据私网出去生成的随机端口来接受公网回来的信息。
VRRP是虚拟路由冗余协议:
VRRP能够在不改变组网的情况下,将多台路由器虚拟成一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关,实现网关的备份
VRRP组成员角色
主(Master)路由器
备份(Backup)路由器
虚拟(Virtual)路由器
sys
[Huawei]sysname sw1 //修改主机名为sw1
[sw1]undo info-center enable //关闭日志
[sw1]in vlan 1 //进入vlan1
[sw1-Vlanif1]ip add 192.168.1.252 24 //配置ip
[sw1]vlan 2 //创建vlan2
[sw1-vlan2]in vlan 2 //进入vlan2接口
[sw1-Vlanif2]ip add 192.168.2.2 24 //配置ip
[sw1-Vlanif2]in g0/0/2 //进入2口
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 2 //将2口加入vlan2
另外一台s5700
sys
[Huawei]sysname sw2
[sw2]undo info-center enable
[sw2]in vlan 1
[sw2-Vlanif1]ip add 192.168.1.253 24
[sw2]vlan 3
[sw2-vlan3]in vlan 3
[sw2-Vlanif3]ip add 192.168.3.2 24
[sw2-Vlanif3]in g0/0/2
[sw2-GigabitEthernet0/0/2]port link-type access
[sw2-GigabitEthernet0/0/2]port default vlan 3
路由器配置:
[Huawei]in g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.2.1 24
[Huawei-GigabitEthernet0/0/0]in g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.3.1 24
[Huawei-GigabitEthernet0/0/1]in g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 192.168.4.254 24
display ip interface brief
然后分别在路由器与三层交换机上配置ospf
[Huawei]ospf
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
[sw1]ospf
[sw1-ospf-1]area 0
[sw1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[sw2]ospf
[sw2-ospf-1]area 0
[sw2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[sw2-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
在三层交换机配置vrrp
[sw1]in vlan 1 //vrrp需要在接口中配置,进入vlan接口
[sw1-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254 //开启vrrp功能,组号是1,虚拟设备的ip是1.254
display vrrp brief //查看vrrp状态
[sw1-Vlanif1]vrrp vrid 1 priority 105 //修改vrrp优先级,默认值是100,越高越优先成为主
[sw2]in vlan 1 //另外这台设备配置一样的内容
[sw2-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254
display vrrp brief
通过配置实现vrrp的负载均衡:
1, 所有交换机修改主机名sw1~sw4,所有交换机创建vlan2
[Huawei]sysname sw1 //第1台s5700交换机(左)
[sw1]vlan 2
[Huawei]sysname sw2 //第2台s5700交换机
[sw2]vlan 2
[Huawei]sysname sw3 //第1台s3700交换机(左)
[sw3]vlan 2
[Huawei]sysname sw4 //第2台s3700交换机
[sw4]vlan 2
2, 将所有链路修改为trunk
[sw1]port-group 1
[sw1-port-group-1]group-member GigabitEthernet 0/0/1 to
GigabitEthernet 0/0/3
[sw1-port-group-1]port link-type trunk
[sw1-port-group-1]port trunk allow-pass vlan all
[sw2]port-group 1
[sw2-port-group-1]group-member GigabitEthernet 0/0/1 to
GigabitEthernet 0/0/3
[sw2-port-group-1]port link-type trunk
[sw2-port-group-1]port trunk allow-pass vlan all
[sw3]port-group 1
[sw3-port-group-1]group-member Ethernet 0/0/1 Ethernet 0/0/2
[sw3-port-group-1]port link-type trunk
[sw3-port-group-1]port trunk allow-pass vlan all
[sw4]port-group 1
[sw4-port-group-1]group-member Ethernet 0/0/1 Ethernet 0/0/2
[sw4-port-group-1]port link-type trunk
[sw4-port-group-1]port trunk allow-pass vlan all
然后按图配置三层交换机的ip
[sw1]in vlan 1
[sw1-Vlanif1]ip add 192.168.1.252 24
[sw1-Vlanif1]in vlan 2
[sw1-Vlanif2]ip add 192.168.2.252 24
[sw2]in vlan 1
[sw2-Vlanif1]ip add 192.168.1.253 24
[sw2-Vlanif1]in vlan 2
[sw2-Vlanif2]ip add 192.168.2.253 24
如果要实现vrrp的负载均衡,需要按下列思路进行配置
Sw1 vlan1 主 vlan2备份
Sw2 vlan1 备份 vlan2 主
[sw1]in vlan 1
[sw1-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254 //配置vlan1的vrrp
[sw1-Vlanif1]vrrp vrid 1 priority 105 //为了成为vlan1的主,修改了优先级
[sw1-Vlanif1]in vlan 2
[sw1-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.254 //vlan2仅仅开启vrrp功能即可
[sw2]in vlan 1
[sw2-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254 //vlan1仅仅开启vrrp功能即可
[sw2-Vlanif1]in vlan 2
[sw2-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.254 //配置vlan2的vrrp
[sw2-Vlanif2]vrrp vrid 2 priority 105 //为了成为vlan2的主,修改了优先级
[sw2-Vlanif2]dis vrrp brief //查看结果,一主一备即可