#1 ip地址设置
ip add 192.168.1.1 255.255.255.0
ip add 192.168.1.2 255.255.255.0
#2 DHCP
交换机上配置
system-view //进入系统配置
dhcp enable
int g0/0/1 //接入接口管理
dhcp select interface //配置dncp选择接口
#3 DNS域名系统
int g0/0/1
dhcp server dns-list 10.244.1.100 //配置dns服务器
#4 路由交换
display ip routing-table 100.100.100.100 //查看到100.100.100.100的路由表
ip route-static 192.168.3.1 255.255.255.0 192.168.2.10 //正向路由
ip route-static 192.168.1.1 255.255.255.0 192.168.2.1 //回程路由
#4虚拟局域网vlan
交换机的接口模式
access:只需要链接1个vlan,用来连接终端,电脑,打印机
trunk:需要连接多个vlan,用来连接其他交换机
hybird:
display vlan //查看vlan
vlan 10 //创建vlan 10
int g0/0/1
port link-type access //设置0/0/1接口模式
port default vlan 10 //将该接口放进vlan 10
port-group 1 //创建端口组
group-member g0/0/2 g0/0/3 //添加接口成员
port link-type access
port default vlan 20
#4.1 三层交换技术
int g/0/0/3 //与交换机链接的接口
port link-type trunk
port trunk allow-pass vlan all //允许所有vlan通过,可以单独放通 vlan 10,vlan 20
int vlan 20
ip address 192.168.20.254 255.255.255.0 //设置vlan 20 网关地址
#5路由原理
#5.1 OSPF
ospf 1 1.1.1.1//启动ospf
area 0 //创建一个区域0
network 1.1.1.0 0.0.0.255 // 宣告从那些接口发送hello包
network 192.168.2.0 0.0.0.255 //该路由器有两个直连网段,把两个网段都宣告进去
//两个路由器也需要
#5.2 rip
rip 1
version 2 //版本2
network 192.168.2.0
OSPF 和 IS-IS 是计算路由
BGP 是传递路由
路由迭代=多次查表
#6路由引入
用于两边不同的路由协议,例如ospf/rip,公共路由称为ASBR
将公共路由使用引入,如ospf 引入rip 或 rip 引入ospf
eg:在ASBR上分别操作
在ospf引入rip:
Huawei-ospf-1\]import-route rip 1 cost 123 在rip引入ospf: \[Huawei-rip-1\]import-route ospf 1 cost 3 #7路由优先级 \[Huawei-ospf-1\]preference ase 14 #8路由引入 1、动态路由协议之间的路由引入 2、引入直连路由到动态路由协议 \[Huawei-ospf-1\]import-route direct cost 666 3、引入静态路由到动态路由协议 \[Huawei-ospf-1\]import-route static cost 666 #9单臂路由 AR 配置 \[Huawei\]int g0/0/0.20 //新建g0/0/0 的虚拟接口 \[Huawei-GigabitEthernet0/0/0.20\]dot1q termination vid 20 //虚拟接口指定vlan20 \[Huawei-GigabitEthernet0/0/0.20\]arp broadcast enable //开启ARP广播 \[Huawei-GigabitEthernet0/0/0.20\]ip address 2.2.2.254 255.255.255.0 //配置vlan20 的网关地址 #10 ACL 访问控制列表 1、创建一个访问控制规则 2、调用这个规则 基本acl:2000-2999 高级acl:3000-3999 二层acl:4000-4999 用户自定义acl:5000-5999 用户acl:6000-6999 acl 2000 //数字型 acl name test advance //命名型 rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 //通配符掩码 rule permit ip source any destination any dis this 在数据的必经之路进行调用 int g0/0/1 traffic-filter inbound acl name test #11 NAT 网络地址转换 (动态) acl name neiwang basic rule permit source 192.168.0.0 0.0.255.255 //192.168开头的地址都需要做转换 nat address-group 1 64.1.1.2 64.1.1.6 //做一个NAT地址池 int g/0/01 //进入出接口 nat outbound 2999 address-group 1 //将acl 2999允许的地址转换成,地址池为1 的地址 ------- nat outbound 是内部pc访问互联网的,源地址转换 nat server 是内部地址映射出互联网的,服务器对外发布,目标地址转换 ------- #12 静态NAT 服务器发布 1、AR1 需要有到200.200.200.200 的路由 ip route-static 200.200.200.0 255.255.255.0 119.1.1.2 2、做静态NAT int g0/0/1 nat server protocol tcp global 119.1.1.123 www inside 172.16.0.1 8080 //将内网服务器172.16.0.1 的80端口映射到共有地址119.1.1.123的8080端口 #13 如何远程管理网络设备 telnet user-interface vty 0 4 //5个远程管理 authentication-mode aaa //用户名+密码 aaa local-user testuser password cipher 123456 local-user testuser privilege lecel 15 local-user testuser service-type telnet telnet server enable dispaly domain name default_admin display aaa offline-record all #综合题 1、网络中有三个不同部门,均可自动获取地址 2、各部门可互相访问,也可访问内部服务器172.16.100.1 3、PC1不允许访问互联网,PC2和PC3可以访问互联网 4、内网服务器对外发布的地址为64.1.1.3,互联网用户可以访问这台服务器 5、内网服务器的域名是www.zhynet.net,各PC可以通过域名访问 --------------------------------------------------------------- 1、LSW2不用做配置 2、LSW3,配两个access,一个truck 创建两个vlan 3、LSW1,创建4个vlan vlan 配置地址(网关) 打开dhcp,配置dns dhcp enable int vlan 20 dhcp select interface dhcp server dns-list 172.16.100.1 //几个接口都需要配置dns 接口配置 4、核心交换和路由之间的地址,配置通就可以 交换机需要先配置vlan100,再配置ip地址 5、路由器AR1: 出去的路由:0.0.0.0 0.0.0.0 64.1.1.10 回来的路由:192.168.0.0 255.255.0.0 10.10.10.2 //包含所有192.168段的ip 服务器的路由:172.16.10.0 255.255.255.0 10.10.10.2 做NAT,先做ACL acl 2000 rule permit source 192.168.0.0 0.0.255.255 nat address-group 1 64.1.1.5 64.1.1.5 //地址池 到出接口 nat outbound 2000 address-group 1 ----缺少了8.8.8.8 的配置部分---- 使用acl限制某段vlan访问互联网 acl 2001 rule deny source 192.168.10.0 0.0.0.255 rule permit source any int g0/0/0 traffic-filter inbound acl 2001 映射出去 nat server global 64.1.1.3 inside 172.16.100.1 ---end--- ipv6 int g0/0/0 ipv6 enable ipv6 add 2000::2 64 ipv6 route-static 2000:: 64 2001::1 ipv6 route-static :增加一条路由信息 2000:: 64 目标网段,增加去往2000段的路由信息 2001::1 下一条,去往2000段的数据包,应交交给谁,交给2001::1 默认网关:功能是邦族不同网段的用户来转发数据,(路由器、三层交换机、防火墙) ### 子网划分基本过程 在主机号划分一个子网号,所以主机号=子网号+主机号' 192.168.1.0 192.168.1.00000000 1个网络位有 2种形式,可以划分2个子网 2个网络位有 4种形式,可以划分4个子网 3个网络位有 8种形式,可以划分8个子网(第一位是 128 第二位是 64 第三位是 32) -------000(0)、001(32)、010(64)、011(96)、100(128)、101(160)、110(192)、111(224) 还有4个、5个.... 应用1:某主机ip地址是210.33.5.68 子网掩码是255.255.255.128,求他的网络地址 25位网络号 应用2:某A类网络20.0.0.0 的子网掩码为255.224.0.0,请确认可以划分的子网个数,写出每个子网的子网号 8个子网个数 128+64+32= 224 000(0) ---- 20.0.0.0/11 ---- 20.0.0.0-20.31.255.255 001(32) ---- 20.32.0.0/11 ---- 20.32.0.0-20.63.255.255 010(64) ---- 20.64.0.0/11 ---- 20.64.0.0-20.95.255.255 011(96) ---- 20.96.0.0/11 ---- 20.96.0.0-20.127.255.255 100(128) ---- 20.128.0.0/11 ---- 20.128.0.0-20.159.255.255 101(160) ---- 20.160.0.0/11 ---- 20.160.0.0-20.191.255.255 110(192) ---- 20.192.0.0/11 ---- 20.192.0.0-20.223.255.255 111(224) ---- 20.224.0.0/11 ---- 20.240.0.0-20.255.255.255 应用3:将某C网200.161.30.0划分成4个子网,请计算出每个子网的有效的主机ip地址和对应的子网掩码 200.161.30.00 00 0000 24+2=26 (128+64=192) 所以子网掩码 255.255.255.192 去网络号,和广播地址 00(0) 200.161.30.0/26 200.161.30.1-200.161.30.62 01(64) 200.161.30.64/26 200.161.30.65-200.161.30.127 10(128) 200.161.30.128/26 200.161.30.129-200.161.30.191 11(192) 200.161.30.192/26 200.161.30.193-200.161.30.254 应用4:某公司申请到的网络地址为192.3.2.0,现要划分5个子公司,最大的一个子公司有28台计算机,每个子公司在一个子网中,则 (1)子网掩码 (2)5个子公司的网络地址分别是 同应用2类似 ------------------------------------ 1.企业私接小路由器带来的问题? 有时无法正常联通网络,DHCP的问题 通过vlan实现故障隔离 通过DHCP snooping禁止私设服务器的DHCP报文 交换机上设置 dhcp enable dhcp snooping enable vlan 1 dhcp snooping enable dhcp snooping trusted interface g0/0/24 //设置受信任接口 通过ACL访问控制列表,禁止用户区域DHCP服务器报文 dhcp协议,两个端口号,客户端68,服务器67 用ACL,禁止源端口是67的从用户的接口进入网络 acl 3000 rule deny udp source any source-port eq 67 rule pemeit ip 在各个接口上做,可以用批量的方式,进入1口-10口 traffic-filter inbound acl 3000 2.小路由器是怎样是网络出问题的? 由DHCP功能造成 什么叫DHCP:动态主机配置协议 什么作用:集中管理与下发地址 DHCP 的配置 int g0/0/0 ip address 192.168.1.1 255.255.255.0 dhcp enable ip pool dhcp network 192.168.1.0 255.255.255.0 配置dhcp下发的地址网段 gateway-list 192.168.1.1 dns-list 8.8.8.8 int g0/0/0 dhcp select global //选择dhcp由全局地址池发布 3.怎么解决 ------------------------------------ vlan概念:局域网(泛指) vlan的作用:隔离广播域(常用vlan分割方式:接口、MAC、网络) vlan常用配置 ------------------------------------ 0.1什么是交换机 0.2什么是二层交换机 0.3什么是三层交换机 1、三层交换机作用 2、三层交换机常用配置 3、环路、私接小路由等常见故障排查(可选) 1、网络会卡顿。主机多,广播包多了,与自己无关的广播也会多,消耗带宽、cpu、内存 2、网络故障频发 三层交换机,配上vlan,vlan是一种隔离技术 1、隔离广播 2、隔离故障 vlan典型做法 1、先用vlan把用户隔离开,隔离的广播,是故障,是不好的包 2、再用网关把他们连通,连通的是正常的通信 把三层交换机配置成用户的网关,三层功能,就是帮助不同网络做数据转发的功能,也叫路由 ------------------------------------ 不同网段之间的通信,如1.1.1.1 ping 2.2.2.2 1、PCa 通过对比网络位,判断PCb 是否同网段,发现PCb不是同网段 2、不是同网段,先把数据包交给网关,查看自己的网关是谁,是1.254 3、用arp 解析出1.254 的mac地址,数据包的目标mac写在网关的mac,能实现数据包交给网关 4、网关收到数据包,查看目标ip,查看路由表,知道应该从g/0/0/1发出,数据包的目标mac改成目标pc的mac ------------------------------------ 1、防火墙功能和应用实例 2、防火墙工作原理和配置 防火墙的接口类型 1、路由模式(3层口) 物理口可以直接配ip,类似路由器 2、交换模式 物理口不能直接配ip,类似交换机,可以配vlan trunk 1、防火墙的安全策略,没有允许这个pc出去 1.1把接口加入安全域 防火墙有这几个安全区 信任区:我的内网 非信任区:外网 DMZ区:中间区域,服务器区88071 firewall zone trust add int g1/0/1 //添加信任区域的接口 firewall zone untrust add int g1/0/2 //添加非信任区域的接口 1.2 做放行策略 从信任区域,访问非信任,允许 Security-policy //进入安全策略 rule name shangwang //新建一个规则 source-zone trust // destination-zone untrust action permit 2、内网主机是私网ip,私网ip不能访问外网 用nat,网络地址转换,把私网ip转成公网ip nat-policy rule name shangwang source-zone trust destination-zone untrust action source-nat easy-ip 做地址转换,转成成出口ip 回程路由:数据包如何回来 ------------------------------------ 一个防火墙项目的实例 安全域配置 安全域添加接口 firewall zone trust add interface g1/0/1 firewall zone dmz add interface g1/0/2 安全策略 security-policy rule name test1 source-zone dmz source-zone untrust action permit NAT策略 nat-policy rule name dianxin source-zone trust destination-zone untrust action source-nat easy-ip 开启web管理 web-manger enable int g0/0/0 ip add 192.168.100.1 24 service-manger ping permit server-manger enable server-manger https permit ------------------------------------ 防火墙侧操作 int g1/0/1 ip address 192.168.1.254 24 --做安全域(trust、untrust、DMZ) --做安全策略 1、内网主机,访问防火墙本身,能通 security-policy rule name neiwang-to-fw //创建一个安全规则,名字叫neiwang-to-fw source-zone trust //来自内网 destination-zone local //去往防火墙本身 action permit //允许 service-manger ping permit //允许ping 2、内网主机,要上网,要访问外网,能通 安全策略:允许数据包从trust(内网)到UNtrust(外网) NAT:要把私网ip,出去的时候,转成公网ip 路由:让防火墙,拥有去往6.6.6.6的路由表 security-policy rule name neiwang-to-internet source-zone trust destination-zone untrust action permit nat-policy rule name dianxin source-zone trust destination-zone untrust action source-nat easy-ip ip router-static 0.0.0.0 0 64.1.1.10 默认路由(缺省路由) ------------------------------------ 故障排查思路 1、分段:通过正常状态下应有的数据流(出、入方向),逐段进行分析,找到异常的点,由近到远 2、分层:从协议最底层开始排查,一直到最高层,由硬到软 3、替换:可替换的有:线缆、接口、插槽、配置、软件、硬件、客户端...... ------------------------------------ 网络故障排查专题--服务器访问异常 1、客户端访问服务器的通信原理 2、常见故障排除实例 客户端访问服务器 1、用dns把oa.test.com解析成了64.1.1.3 2、我把访问的网站的数据包,送到了路由器 3、路由器配了一个端口映射,把64.1.1.3:8060变成了172.16.60.60:80 4、路由器接下来,要把访问网站的数据表送到172.16.60.60 ,查路由表 排查思路 1、熟悉通信原理 2、分段排查,分步骤检查 2.1 dns、端口映射、去往服务器路由、服务器本身服务是否正常、服务器给访客回包、安全策略 ------------------------------------ 网络故障排查专题--环路故障 1、环路故障案例 2、如何判断网络故障是由环路引起 3、如何防范环路故障 1、为什么环路,就会断网 环路,导致网络中产生大量的广播包(每秒几千万个),俗称广播风暴 2、当网络故障的时候,如何判断是不是由于环路引起的 查看mac地址表,是否存在mac地址震荡 mac地址表:交换机上的一个转发表项,记录下每个电脑的mac,和交换机的接口的对应关系 display mac-address //查看mac地址表 mac地址表的信息,是如何产生的? 当交换机的某个接口,比如1口,收到一个数据包,查看这个数据包的源mac地址(不如A) 自动更新mac地址表,记录下来 A----1 一旦发生环路,这个mac地址表就会变的不正常 mac地址震荡 mac地址翻滚 MAC地址漂移 同一个mac地址,在不同接口来回变化。断定环路,只有环路才会出现,同一个数据包,从不同的接口进入交换机 如何判断: 1、小网络,交换机灯 2、大网络,mac地址表,是否有震荡 实际问题,怎么解决 开生成树。生成树是一个防环技术,一旦产生环路,会阻塞到接口 生成树保护功能 bpdu guard 实现,底下用户犯错,连环,自动关闭掉他的端口 1、把连接用户的接口设置为边缘端口 int g0/0/1 stp edged-port enable 2、开启bpdu 保护,实现用户自己连环,交换机直接关端口 stp bpdu-protection ------------------------------------ 1、缺省路由 0.0.0.0 0.0.0.0 1.1.1.2 所有目标都走1.1.1.2 这个接口 2、路由递归,也称为路由迭代,需要多次查询,,需要避免出现路由递归,增加了维护的技术难度 3、浮动路由,去往一个目标有多条路径,一主一备 ip route-static 20.0.0.0 30 10.1.1.2 //默认是60 ip route-static 20.0.0.0 30 10.1.2.2 preference 70 4、路由汇总 把一条路由所有成员路由放在一起 192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 192.168.0.0/12 汇总起来,用这个路由来代替上面的路由,可以汇总就汇总,可以减低工作量,也可以减少路由器的开销 汇总计算,看网络位部分有多少位是一样的 5、路由汇总会引发什么问题,可能会引起环路 解决:ip route-static 10.1.0.0 16 0 null0 黑洞路由 ------------------------------------ 动态路由 ospf 1 1.1.1.1 选择的流程:掩码、协议优先级(preference)、cost(由带宽决定)、 OSPF的三个步骤 1、建立邻居,收集链路状态信息形成邻接(邻居表) display ospf peer brief 2、用收集到的lsa表,作为原材料,计算路由(状态链路信息) display ospf lsdb 3、有路由了() display ip routing-table protocol ospf OSPF网络类型:P2P、BMA(广播式多路访问)、NBMA(非广播式多路访问)、P2MP(点到多点) DR/BDR DR的选举规则,通过优先级 display ospf interface g0/0/1 Priority:1 OSPF多区域 ABR 区域边界路由器 ASBR 用作路由引入的 ------------------------------------ 生成树stp 1、选出根桥:每个交换机运行了stp,有一个桥id,桥id最小的交换机为根桥 display valn 1 2、选出根端口:每个非根桥上,选出一个根端口,收到bpdu最优的端口 display stp brief //查看stp 摘要信息,Role 为 ROOT 则为最优的端口 3、选出制定端口:一个接口,发出的bpdu,比收到的bpdu,更优,是指定端口 DP 4、阻塞其他端口 ------------------------------------ 链路聚合 手动 interface eth-trunk 1 int g0/0/1 eth-trunk 1 display eth-truck 1 LACP 动态链路聚合 interface eth-trunk 1 mode lacp max active-linknumber 2 trunkport g0/0/1 to 0/0/3 port link-type trunk port trunk allow-pass vlan 10 20 lacp priority 30000 //配置优先级,设置成主动设备