华为数通边学边记
命令行:
<> 用户视图模式,配置基本参数,调试命令,权限较小
[ ] 系统视图模式,可以做高级配置
? 帮助信息 int? 提示出完整命令
tab 补全命令
ctrl + Z 回到用户模式
system-view 进入系统视图 sy
quit 退出当前模式或接口 qu+tab
undo 原来的命令 取消一项参数设置
<> save 保存配置
<> dir /all 查看硬盘文件 / 所有文件
<> copy 复制
<> mkdir 新建目录
<> rmdir 删除目录
<> cd cd ..
<> unzip 解压
<> more 查看文件内容
<> move 移动
<> rename 改名
<> delete ** /unreserved 删除 / 彻底删除
<> undelete 恢复删除
<> reset re 清空回收站
<> startup saved-conf flash:/*** 指定启动文件
<> reset saved-configuration 清空配置文件
<> reboot 重启
display 在任务模式都可以使用,more 回车跑行,空格翻页,任意键中断 dis
通过web管理交换机
http server load S2700-V100R005C01SPC100.web.zip 加载web配置操作系统
http server enable 启动web 配置服务
int vlanif 1 给交换机配置ip地址 用于管理
ip address 192.168.31.85 24
web登陆默认的用户名和密码:admin admin (可用dis cu 查看默认密码)
Telnet 功能:
[R1] aaa 进入AAA模式
local-user aa privilege level 3 password cipher 123 建一个aa用户,权限为3,密码123
local-user aa service-type telnet 指定aa用户服务类型为telnet
qu
user-interface vty 0 4 允许同时5个人同时使用
authentication-mode aaa
新版telnet必须加指令:
- protocol inbound telnet
SSH功能:
[Huawei]aaa
[Huawei-aaa]local-user ssh privilege level 3 password cipher aa
[Huawei-aaa]local-user aa service-type ssh
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]protocol inbound ssh
[Huawei-ui-vty0-4]authentication-mode aaa
[Huawei]stelnet server enable
为console 口设置密码:
方式A:密码验证
user-interface con 0
authentication-mode password
set authentication password cipher abc
设置完成后,quit 退出后 再尝试登陆
方式B:使用用户名和密码形式验证
user-interface con 0
authentication-mode aaa
aaa 进入aaa
local-user gebi privilege level 3 password simple laowang
配置用户名gebi 权限级别3级 密码laowang
local-user gebi service-type terminal
指定gebi帐户服务器类型是terminal
常用命令
<> undo info-center enable 关闭信息中心,防止弹出日志
un in en
[ ] sysname 名称 为设备命名 (需要系统视图模式) 简写 sy
[ ] display this 查看当前配置 简写dis thi
[ ] interface e0/0/0 进入接口e0/0/0 简写int
[ ] ip address 192.168.1.1 24 为接口配置IP 掩码
[ ] shutdown 进入接品,关闭、禁止该接口
< > reset saved-configuration 清空配置信息
< > startup saved-configuration vrpcfg.zip 指定下一次启动加载的配置文件
< > startup system-software ******.cc 指定系统软件
language-mode chinese 改变语言为中文提示 需按Y确认
dis ip int brief 查看路由器接口摘要信息 常用
dis ip rou 查看路由器路由表
dis mac-add 查看交换机MAC表
dis cu 显示当前所有的配置
dis saved-configuration 显示保存的配置
dis tcp status 查看ICP连接状态
dis version 查看系统软件版本号
dis memory-usage 查看内存状态
dis mac-address 查看MAC配置表
dis port vlan active
dir /all 查看flash内所有文件(包括回收站)
reset recycle-bin 删除回收站文件
clear configuration interface g0/0/10 清除接口所有配置
reset saved-configuration 重新初始化交换机
DHCP
1、简单DHCP,基于接口的配置:
[ ] dhcp enable 允许DHCP服务(全局启用)
[ ] int initerface e0/0/0
[ ] dhcp select interface 开启DHCP
[ ] dhcp server dns-list 114.114.114.114 8.8.8.8 配置DNS
2、DHCP中继relay:
广播包则中继变成单播,发送到DHCP服务器。
[Huawei-Vlanif10] DHCP select relay
[Huawei-Vlanif10]DHCP relay server-ip 12.1.1.1
3、DHCP snooping:防止非法的DHCP服务器 在接入层交换机使用。
[Huawei]dhcp snooping enable
[Huawei]int e0/0/2
[Huawei-Ethernet0/0/2]dhcp snooping trusted
DHCP 调试命令:
[ ] dis ip pool 查看DHCP地址池信息
[ ] dis ip pool interface **** used ***为pool名称不能简写
[ ] reset ip pool interface *** used
* 需首先配置好端口的IP地址
excluded-ip-address 192.168.10.2 192.168.10.19 保留/排除 地址段
reset ip pool name 2L 192.168.9.254 192.168.9.254 清空分配过的IP 地址
static-bind ip-address 192.168.9.88 mac-address 5489-986f-1dff 静态绑定
dis dhcp snooping user-bind all 接入层交换机显示dhcp映射表
ip source check user-bind enable 开启IP 源地址检查功能
dhcp server ?
路由器:
int e0/0/0
ip add 192.168.31.1 24
dhcp select global 配置dhcp选择从全局分配地址
dhcp enable 启用dhcp 功能
ip pool qq 创建地址池qq
gateway-list 192.168.31.1 网关
network 192.168.31.0 mask 255.255.255.0 ip和掩码
dns-list 114.114.114.114 192.168.31.1 DNS
启用loopback接口:
[R2] int loopback 0
静态路由:
[ ] ip route-static 192.168.2.0 24 12.1.1.2 去192.168.2.0网段走12.1.1.2接口
目标网段 / 掩码 下一跳地址
[ ] dis ip r 显示路由表
缺省(默认)路由:缺省路由是替补路由,当其它路由不可达时才会使用,适合边缘路由器。
[ ] ip route-static 0.0.0.0 0 12.1.1.2
环回接口:逻辑虚拟接口,模拟服务器,网络,用于测试。
[ ] int loopback 0 启用0号环回接口 ,模拟一个网络。(范围:0.-1023)
[R1] dis cu 查看所有配置
[R1] dis ip int b 查看所有接口
[R1] dis ip rou 查看路由表
当接口down掉后,路由表消失,配置还存在
[R1] ip route-static 172.16.1.0 24 23.1.1.2 preference 55 配置静态路由,优先级55
[R2] ip route-static 192.168.1.0 24 23.1.1.1 preference 55
RIP动态路由:
[R1] rip 1 启用rip1进程
[R1] version 2 启用第2版协议,版本不同不兼容
[R1] network 192.168.1.0 宣告直连网段,需要是主类网络(A类,B类,C类)
[R1] dis rip 1 route 查看rip1路由
[R1] dis rip 1 neighbor 查看路由邻居
RIP加密:路由器之间都需配置才能学习路由表
int xxx
rip authentication-mode md5 usual abc123
路由汇总:减小大型网络路由器的路由表
R3:
[R3] int gi 0/0/0
[R3-GI0/0/0] rip summary-address 3.3.0.0 255.255.252.0 掩码包括三个子网段
RIP静默接口:减少发向用户(非路由器)的RIP报文
[R x ] RIP 1
silent-interface e0/0/0 (e0/0/0接口通常是接用户的接口)
OSPF基本配置:
[R1] ospf 1 启动OSPF进程1
[R1-OSPF-1] area 0 进入区域0
[R1-OSPF-1-AREA-0.0.0.0] network 192.168.1.0 0.0.0.255 宣告直连网段,IP地址接反掩码
[R1-OSPF-1-AREA-0.0.0.0] network 12.1.1.0 0.0.0.255
[R4] 可以使用接口地址进行精确宣告工作网段
ospf1
area 0.0.0.0
network 34.1.1.4 0.0.0.0
network 4.4.4.4 0.0.0.0
重置OSPF
reset ospf process 重置OSPF进程
FTP
[R1] ftp server enable 开启FTP
[R1] set default ftp-directory flash: 设置FTP主目录
[R1] aaa 设置FTP验证
[R1-aaa] local-user lisi privilege level 3 password cipher 12345
[R1-aaa] local-user lisi service-type ftp
FTP 12.1.1.1 登录FTP
[ftp] get R1.ZIP 下载文件
[ftp] put R2.ZIP 传输文件
Vlan
[Huawei] vlan 10 创建VLAN10
[Huawei] int g0/0/1 进入接口
[Huawei-GigabitEthernet0/0/1] port link-type access 指定接口类型
[Huawei-GigabitEthernet0/0/1] port default vlan 10 指定接口VLAN组
批量划入VLAN
[Huawei] port-group group-member gi0/0/4 to g0/0/20 指定接口组
[Huawei-port-group] port link-type access 指定接口类型
[Huawei-port-group] port default vlan 20
[ ] vlan batch 10 20 30 批量创建VLAN
[ ] dis port vlan active 显示VLAN配置
vlan高级配置:
查看vlan状态命令:
[Huwaei] display port vlan | exclude hy
简写:dis port vlan | ex hy
查看HYbird接口状态:
[Huwaei] dis port vlan active
基于MAC的vlan
[SW2]vlan batch 10 20 创建VLAN 10 20
[SW2-vlan10]mac-vlan mac-address 0000-0000-0001 在vlan 10中指定mac
[SW2-vlan20]mac-vlan mac-address 0000-0000-0002 在vlan 20中指定mac
[SW2-GigabitEthernet0/0/1]port hybrid untagged vlan 10 20 检测VLAN 10 20
[SW2-GigabitEthernet0/0/1]mac-vlan enable 对接口开启MAC vlan
基于MAC的vlan
[SW2]VLAN 10
[SW2-vlan10]ip-subnet-vlan IP 192.168.10.0 24 vlan10的网段
[SW2]VLAN 20
[SW2-vlan20]ip-subnet-vlan IP 192.168.20.0 24 vlan20的网段
[SW2-vlan20]INT GI 0/0/1
[SW2-GigabitEthernet0/0/1]port hybrid untagged vlan 10 20
[SW2-GigabitEthernet0/0/1]ip-subnet-vlan enable
超级VLAN:
[Huawei]vlan 30
[Huawei-vlan30]aggregate-vlan
[Huawei-vlan30]access-vlan 10 20
[Huawei-vlan30]int vlanif 30
[Huawei-Vlanif30]ip address 192.168.1.1 24
相同VLAN端口隔离:相同的隔离组不能通信,
[Huawei]vlan 10
[Huawei]port-group group-member gi 0/0/1 to gi 0/0/4
[Huawei-port-group]port link-type access
[Huawei-port-group]port default vlan 10
[Huawei-GigabitEthernet0/0/1]port-isolate enable group 1 将接口划入隔离组1
[Huawei-GigabitEthernet0/0/4]port-isolate enable group 1
trunk
[Huawei] int g0/0/4
[Huawei-GigabitEthernet0/0/4] port link-type trunk
[Huawei-GigabitEthernet0/0/4] port trunk allow-pass vlan all
华为trunk默认不允许VLAN通信
[Huawei-GigabitEthernet0/0/4] port trunk pvid vlan 10 修改本征vlan(PVID)
HYbird 接口:
hybird接口当作ACCESS口
[SW1]vlan 10
[SW1-GigabitEthernet0/0/1]port hybrid pvid vlan 10
[SW1-GigabitEthernet0/0/1]port hybrid untagged vlan 10
[SW1-GigabitEthernet0/0/1]undo port hybrid untagged vlan 1
hybird接口当作TRUNK口
SW1
[SW1-GigabitEthernet0/0/2]PORT hybrid tagged VLAN 10
SW2
[SW2-GigabitEthernet0/0/1]port hybrid tagged VLAN 10
HYbird接口特殊用法:实现VLAN间互通
[SW1]VLAN batch 10 20 30
[SW1-GigabitEthernet0/0/1]port hybrid pvid vlan 30
[SW1-GigabitEthernet0/0/1]port hybrid untagged vlan 10 20 30
[SW1-GigabitEthernet0/0/2]port hybrid pvid vlan 10
[SW1-GigabitEthernet0/0/2]port hybrid untagged vlan 10 30
[SW1-GigabitEthernet0/0/3]port hybrid pvid vlan 20
[SW1-GigabitEthernet0/0/3]port hybrid untagged vlan 20 30
单臂路由:
Vlan的虚拟子接口网关:
[Huawei]int e0/0/0.1 创建子接口.1
[Huawei-Ethernet0/0/0.1]ip add 192.168.10.1 24 子接口配置IP地址
[Huawei-Ethernet0/0/0.1]dot1q termination vid 10 和vlan 10 关联
[Huawei-Ethernet0/0/0.1]arp broadcast enable 开启ARP广播功能
为不同的网段配置路由协议。
SVI:
[SW1]int Vlanif 10 创建虚拟接口vlanif 10 (svi)
[SW1-Vlanif10]ip address 192.168.10.1 24 指定IP地址
ACL访问控制列表: 应用于不同的网段
同网段 可用端口隔离:port-isolate enable group 1
基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。
在R2上设置ACL拒绝PC1访问172.16.10.0网段
[R2]acl 2000 启用基本acl
[R2-acl-basic-2000]rule deny source 192.168.10.1 0.0.0.0 设置一条拒绝规则
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在g0/0/1口启用ACL2000规则
[R2]dis acl 2000 查看ACL状态
在R2上设置ACL拒绝192.168.10.0网段PING地址172.16.10.0,但允许HTTP访问
[R2]acl 3000
[R2-acl-adv-3000]rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0.0.0.0
[R2]int g0/0/01
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 3000
[R2]dis acl 3000
Advanced ACL 3000, 1 rule
Acl’s step is 5
rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0 (7 matches)
NAT网络地址转换:
[Huawei]ip route-static 0.0.0.0 0 12.1.1.6
[Huawei]INT G0/0/1
dis nat session all 查看NAT转换缓存列表
静态NAT(一对一) :
[Huawei-GigabitEthernet0/0/1]NAT static global 12.1.1.2 inside 192.168.1.2
允许192.168.1.2 转换为公网地址12.1.1.2访问外网(包括所有协议和端口)
easy ip nat
** (一对多,对应一个或多个网段范围):**(常用)
[Huawei]acl 2000 启用ACL2000
[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 匹配192.168.1.0网段
[Huawei]int g0/0/1 进入公网接口
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 NAT调用ACL 2000 匹配网段
使用公网地址池NAT:
(可以自定义转换的公网地址,支持多个公网地址,支持更多用户)
[Huawei]nat address-group 1 12.1.1.2 12.1.1.3 地址池不能包含公网接口地址
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 地址池与ACL池匹配
端口映射:(常用)
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.5 80 inside 192.168.1.200 80
将内网192.168.1.200的80端口映射成12.1.1.5的80端口
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.5 21 inside 192.168.1.200 21
映射FTP端口
[Huawei-GigabitEthernet0/0/1]nat server protocol icmp global 12.1.1.5 inside 192.168.1.200
允许外网PING服务器192.168.1.200
VRRP:
双路由VRRP:
MASTER
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.10.1
[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 105
BACKUP
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.10.1
[sw1]dis vrrp brief
可选配置:
跟踪上连接口
[R1-GigabitEthernet0/0/0]vrrp vrid 1 track interface gi 0/0/1
配置VRRP认证
vrrp vrid 1 authentication-mode simple 123
双核心交换机VRRP:
[sw1]int vlanif 10
[sw1-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.1
[sw1-Vlanif10]vrrp vrid 1 priority 105
[SW2]int vlanif 10
[Huawei-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.1
[sw1]dis vrrp brief
VLAN20
[sw2-vlan20]int vlanif 20
[sw2-Vlanif20]ip address 192.168.20.253 24
[sw2-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.1
[sw2-Vlanif20]vrrp vrid 2 priority 105
eth-trunk 二层链路聚合:
(交换机TRUNK和ACCESS口)
[SW1]int Eth-Trunk 1 创建捆绑组1
[SW1-Eth-Trunk1]mode manual load-balance 手工负载分担(默认)
[SW1-Eth-Trunk1]int gi 0/0/1
[SW1-GigabitEthernet0/0/1]eth-trunk 1 四个接口依次执行
[SW1]dis eth-trunk 1 检查捆绑状态
[SW2]int Eth-Trunk 1
[SW2-Eth-Trunk1]trunkport gi 0/0/1 to 0/0/4 将多个接口加入捆绑组1
[SW1-Eth-Trunk1]load-balance ? 修改负载模式
dst-ip According to destination IP hash arithmetic
dst-mac According to destination MAC hash arithmetic
src-dst-ip According to source/destination IP hash arithmetic
src-dst-mac According to source/destination MAC hash arithmetic
src-ip According to source IP hash arithmetic
src-mac According to source MAC hash arithmetic
eth-trunk 三层链路聚合
(路由器之间,需提升聚合端口为三层接口)
[R1]int Eth-Trunk 1
[R1-Eth-Trunk1]undo portswitch 将二层交换接口提升为三层接口
[R1-Eth-Trunk1]ip address 12.1.1.1 24
[R1-Eth-Trunk1]int gi 0/0/1
[R1-GigabitEthernet0/0/1]eth-trunk 1
[R1-GigabitEthernet0/0/1]int gi 0/0/2
[R1-GigabitEthernet0/0/2]eth-trunk 1
路由之间配置路由协议,使PC间可以通信
三层交换机聚合:
将接口捆绑加入VLAN,配置vlanif 的ip地址
[SW1]int Eth-Trunk 1
[SW1-Eth-Trunk1]trunkport gi 0/0/1 0/0/2
[SW1]vlan 10
[SW1]int Eth-Trunk 1
[SW1-Eth-Trunk1]port link-type acc
[SW1-Eth-Trunk1]port default vlan 10
[SW1]int vlanif 10
[SW1-Vlanif10]ip address 12.1.1.1 24
核心交换机与路由器链路聚合
[SW1]vlan 10
[SW1]int Eth-Trunk 1
[SW1-Eth-Trunk1]trunkport gi 0/0/1 0/0/2
[SW1-Eth-Trunk1]port link-type access
[SW1-Eth-Trunk1]port default vlan 10
[SW1-vlan10]int vlanif 10
[SW1-Vlanif10]ip address 12.1.1.1 24
[R1]int Eth-Trunk 1
[R1-Eth-Trunk1]undo portswitch
[R1-Eth-Trunk1]trunkport gi 0/0/0 0/0/1
[R1-Eth-Trunk1]ip address 12.1.1.2 24
LACP 模式链路聚合:
二层链路聚合:(交换机TRUNK和ACCESS口)
[SW1]int Eth-Trunk 1 创建捆绑组1
[SW1-Eth-Trunk1]mode manual load-balance 手工负载分担(默认)
[SW1-Eth-Trunk1]int gi 0/0/1
[SW1-GigabitEthernet0/0/1]eth-trunk 1 四个接口依次执行
[SW1]dis eth-trunk 1 检查捆绑状态
[SW2]int Eth-Trunk 1
[SW2-Eth-Trunk1]trunkport gi 0/0/1 to 0/0/4 将多个接口加入捆绑组1
[SW1-Eth-Trunk1]load-balance ? 修改负载模式
dst-ip According to destination IP hash arithmetic
dst-mac According to destination MAC hash arithmetic
src-dst-ip According to source/destination IP hash arithmetic
src-dst-mac According to source/destination MAC hash arithmetic
src-ip According to source IP hash arithmetic
src-mac According to source MAC hash arithmetic
STP:
核心交换机配置为根桥:
[SW1] stp priority 0 设置核心交换机STP优先级为0,默认32768.
接入层用户接口配置为边缘端品,使接口收敛迅速:
[Huawei] port-group group-member e0/0/2 to e0/0/22 群组端口
[Huawei-port-group] stp edged-port enable
mstp:.
mstp: 各交换机使用相同配置每台交换机不同区域不同实例独立运行RSTP
[SW1]stp region-configuration
[SW1-mst-region]region-name aa 配置区域名称
[SW1-mst-region]instance 1 vlan 10 20 30 将VLAN 10 20 30 划入实例1
[SW1-mst-region]instance 2 vlan 40 50 60
[SW1-mst-region]active region-configuration 激活配置,使之生效
VLAN数据分流
实例1:
[SW1]STP instance 1 priority 0
[SW2]stp instance 2 priority 4096
实例2:
[SW1]STP instance 2 priority 4096
[SW2]stp instance 2 priority 0
BFD:
静态路由调用BFD
R1:
bfd 1 bind peer-ip 12.1.1.2 source-ip 12.1.1.1
discriminator local 1 本地
discriminator remote 2 对端
commit
[R1]ip route-static 2.2.2.0 255.255.255.0 12.1.1.2 preference 55 track bfd-session 1
#
R2:
bfd 1 bind peer-ip 12.1.1.1 source-ip 12.1.1.2
discriminator local 2
discriminator remote 1
commit
[R2] ip route-static 1.1.1.0 255.255.255.0 12.1.1.1 preference 55 track bfd-session 1
#
调试命令:
[R1]dis bfd session static
[R1]dis bfd session static verbose
OSPF下启用BFD检测路由链路
[R1-ospf-1]dis thi
#
ospf 1
bfd all-interfaces enable 在OSPF进程下启用全部接口的BFD
area 0.0.0.0
network 1.1.1.0 0.0.0.255
network 12.1.1.0 0.0.0.255
VRRP使用BFD检测上行链路
[R1]bfd rs bind peer-ip 21.1.1.3 source-ip 21.1.1.1 auto
[R1-Ethernet0/0/0]vrrp vrid 1 track bfd-session session-name rs
[R3]bfd rs bind peer-ip 21.1.1.1 source-ip 21.1.1.3 auto
端口安全:
[Huawei-GigabitEthernet0/0/1]port-security enable 开启端口安全
[Huawei-GigabitEthernet0/0/1]port-security max-mac-num 2 允许MAC数量
[Huawei-GigabitEthernet0/0/1]port-security mac-address sticky 开启MAC绑定
[Huawei-GigabitEthernet0/0/1]port-security mac-address sticky 5489-981c-6e9a vlan 1 添加mac地址
端口镜像:
[Huawei]observe-port 1 interface gi 0/0/3 设置观察端口
[Huawei]int gi 0/0/2
[Huawei-GigabitEthernet0/0/2]port-mirroring to observe-port 1 both 将接口数据镜像给观察组1
IP-PREFIX
a. ip ip-prefix FILTER index 10 permit 1.1.1.0 24
该ip-prefix为精确匹配,只有1.1.1.1/24才能permit
b. ip ip-prefix FILTER index 10 permit 1.1.1.0 24 less-equal 32
掩码范围在24-32之间的网络1.1.1.0才能permit
c. ip ip-prefix FILTER index 10 permit 1.1.1.0 24 greater-equal 26
掩码范围在26-32之间的网络1.1.1.0才能permit
d. ip ip-prefix FILTER index 10 permit 1.1.1.0 24 greater-equal 26 less-equal 32
掩码范围在26-32之间的网络1.1.1.0才能permit
e. ip ip-prefix FILTER index 10 permit 0.0.0.0 8 less-equal 32
所有掩码长度在8到32的路由都被permit