第六章常用网络设备知识及配置

6.1 华为路由器基本配置

路由器负责不同网络之间的数据包转发，是连接内网与外网的枢纽。本节从最基础的配置环境搭建开始，逐步深入到静态路由、 DHCP、 NAT等核心功能。

6.1.1 配置环境搭建

一、Console线连接方法

1.物理连接：将Console线（通常为RJ45转DB9或USB接口）的一端连接到路由器的Console口，另一端连接到计算机的串口或USB口（需安装USB转串口驱动）。

2.终端软件设置：打开终端软件（如SecureCRT、 Putty、Xshell），选择正确的串口号，设置参数：

波特率：9600

数据位：8

停止位： 1

奇偶校验：无

流量控制：无

连接验证 ：接通路由器电源，终端窗口应显示设备启动信息，回车后出现命令行提示符<Huawei> ，表示连接成功。

二、远程登录配置

Telnet和SSH是后续远程管理的常用方式，但Telnet明文传输密码，建议优先使用SSH。

配置 Telnet （适用于内网调试 ）：

<Huawei> system-view

$Huawei$ telnet server enable

$Huawei$ user-interface vty 0 4

$Huawei-ui-vty0-4$ authentication-mode password

$Huawei-ui-vty0-4$ set authentication password cipher huawei@123

$Huawei-ui-vty0-4$ user privilege level 3

$Huawei-ui-vty0-4$ protocol inbound telnet

$Huawei-ui-vty0-4$ quit

配置 SSH （推荐 ）：

$Huawei$ stelnet server enable

$Huawei$ rsa local-key-pair create # 生成RSA密钥对

$Huawei$ user-interface vty 0 4

$Huawei-ui-vty0-4$ authentication-mode aaa

$Huawei-ui-vty0-4$ protocol inbound ssh

$Huawei-ui-vty0-4$ quit

$Huawei$ aaa

$Huawei-aaa$ local-user admin password cipher admin@123

$Huawei-aaa$ local-user admin service-type ssh

$Huawei-aaa$ local-user admin privilege level 3

$Huawei-aaa$ quit

三、命令行界面的基本操作

模式切换 ：

用户视图 <Huawei> ：查看基本信息，不可配置。

系统视图 $Huawei$ ：输入 system-view 进入，可配置全局参数。

接口视图 $Huawei-GigabitEthernet0/0/0$ ：输入 interface g0/0/0 进入，配置接口。

协议视图 $Huawei-ospf-1$ ：配置动态路由等协议。

帮助命令 ：

? ：显示当前视图下所有命令。

命令? ：显示该命令的参数选项（如 display ? ）。

命令参数? ：查看参数详情。

Tab键：自动补全命令。

配置保存 / 恢复：

保存配置： <Huawei> save ，输入文件名（默认）并确认。

查看当前配置： display current-configuration 。

查看已保存的配置： display saved-configuration 。

恢复出厂设置： reset saved-configuration 后重启。

6.1.2 基础配置操作

一、设备命名

<Huawei> system-view

$Huawei$ sysname R1 # 将设备命名为R1

R1

二、管理员密码配置

Console 密码：

$R1$ user-interface console 0

$R1-ui-console0$ authentication-mode password

$R1-ui-console0$ set authentication password cipher console@123

$R1-ui-console0$ quit

特权密码（进入系统视图密码） ：华为设备默认无需特权密码，但

可配置用户级别密码。

三、接口IP配置

$R1$ interface GigabitEthernet0/0/0

$R1-GigabitEthernet0/0/0$ ip address 192.168.1.1 24 #配置内网接口IP

$R1-GigabitEthernet0/0/0$ description Link-to-LAN #添加描述便于识别

$R1-GigabitEthernet0/0/0$ undo shutdown #确保接口开启（默认开启）

$R1-GigabitEthernet0/0/0$ quit

$R1$ interface GigabitEthernet0/0/1

$R1-GigabitEthernet0/0/1$ ip address 202.106.0.2 24 #配置外网接口IP

$R1-GigabitEthernet0/0/1$ description Link-to-Internet

四、静态路由配置

静态路由适用于小型网络或指定特定路径，是企业网常用方式。

$R1$ ip route-static 192.168.2.0 24 10.1.1.2

去往192.168.2.0/24的下一跳为10.1.1.2

$R1$ ip route-static 0.0.0.0 0 202.106.0.1 # 默认路由指向外网网关

命令详解 ：ip route-static 目标网络掩码 {下一跳IP | 出接口} 。

6.1.3 核心功能配置

一、DHCP服务配置

为单位内部终端自动分配IP地址，避免手动配置的繁琐。

$R1$ dhcp enable #全局开启DHCP服务

$R1$ ip pool LAN-POOL #创建地址池

$R1-ip-pool-LAN-POOL$ network 192.168.1.0 mask 255.255.255.0 #分配网段

$R1-ip-pool-LAN-POOL$ gateway-list 192.168.1.1 #网关

$R1-ip-pool-LAN-POOL$ dns-list 114.114.114.114 8.8.8.8 #DNS服务器

$R1-ip-pool-LAN-POOL$ lease day 7 #租期7天

$R1-ip-pool-LAN-POOL$ quit

$R1$ interface GigabitEthernet0/0/0

$R1-GigabitEthernet0/0/0$ dhcp select global #接口应用全局地址池

二、NAT转换配置

内网访问外网时需要将私有IP转换为公网IP。

配置 ACL 匹配内网段 ：

$R1$ acl number 2000

$R1-acl-basic-2000$ rule permit source 192.168.1.0 0.0.0.255

$R1-acl-basic-2000$ quit

在出接口配置 NAT ：

$R1$ interface GigabitEthernet0/0/1

$R1-GigabitEthernet0/0/1$ nat outbound 2000 #匹配ACL 2000的流量进行NAT

三、ACL访问控制列表配置

限制特定IP或端口的访问，增强内网安全。例如：仅允许<192.168.1.100>远程登录路由器。

$R1$ acl number 3000 #高级ACL

$R1-acl-adv-3000$ rule permit tcp source 192.168.1.100 0 destination 192.168.1.1 0 destination-port eq 22

$R1-acl-adv-3000$ rule deny tcp source any destination 192.168.1.1 0 destination-port eq 22

$R1-acl-adv-3000$ quit

$R1$ user-interface vty 0 4

$R1-ui-vty0-4$ acl 3000 inbound # VTY接口应用ACL

四、完整配置实例：单位分支机构接入

场景：某分支机构需要连接总部，内网为<192.168.10.0>/24，出口路由器连接运营商网关<100.64.0.1>。

sysname Branch-Router

dhcp enable

ip pool office

network 192.168.10.0 mask 255.255.255.0

gateway-list 192.168.10.1

dns-list 114.114.114.114

interface GigabitEthernet0/0/0

ip address 192.168.10.1 24

dhcp select global

interface GigabitEthernet0/0/1

ip address 100.64.0.2 24

nat outbound 2000

acl number 2000

rule permit source 192.168.10.0 0.0.0.255

ip route-static 0.0.0.0 0 100.64.0.1

stelnet server enable

aaa

local-user admin password cipher Admin@123

local-user admin privilege level 3

local-user admin service-type ssh

user-interface vty 0 4

authentication-mode aaa

protocol inbound ssh

return

6.2 华为交换机基本配置

交换机负责局域网内数据帧的转发，是连接终端、服务器和路由器的核心设备。VLAN划分、端口配置是日常维护的重点。

6.2.1 配置环境搭建

一、Console线连接

与路由器完全相同，使用Console线连接交换机Console口，终端软件设置相同。

二、远程登录配置

与路由器类似，可配置Telnet或SSH。交换机通常更关注VLAN管理，远程登录配置命令基本一致。

三、命令行界面操作（与路由器的差异说明）

交换机命令行体系与路由器同源（VRP系统），多数命令通用。

差异点 ：

交换机更侧重二层功能（VLAN、 MAC、端口），

路由器侧重三层（路由协议、 NAT）。

交换机有专门的VLAN视图和端口聚合视图。

四、配置文件的保存与导出

保存： save

导出：可通过TFTP将配置文件备份到服务器。

<Switch> tftp <192.168.1.100> put vrpcfg.zip switch_config_backup.zip

6.2.2 基础配置操作

一、设备命名

<Huawei> system-view

Huawei\] sysname SW-CORE \[SW-CORE

二、管理员密码配置

参考路由器部分，配置Console和VTY密码。

三、端口配置

开启 / 关闭端口 ：

$SW-CORE$ interface GigabitEthernet0/0/1

$SW-CORE-GigabitEthernet0/0/1$ shutdown #关闭端口

$SW-CORE-GigabitEthernet0/0/1$ undo shutdown #开启端口

配置速率和双工模式：

$SW-CORE-GigabitEthernet0/0/1$ speed 100 # 强制100Mbps

$SW-CORE-GigabitEthernet0/0/1$ duplex full # 全双工

通常情况下建议保持自动协商（ auto ），避免协商失败。

四、端口故障的基础排查命令

查看端口状态： display interface brief，快速查看所有端口物理状态（Up/Down）。

查看端口详细信息： display interface GigabitEthernet0/0/1，含错包统计、流量等。

查看MAC地址表： display mac-address，了解设备连接情况。

6.2.3 核心功能配置

一、VLAN划分与配置

VLAN用于隔离广播域，不同部门划分不同VLAN，提升安全性和管理效率。

创建 VLAN ：

$SW-CORE$ vlan batch 10 20 30 # 批量创建VLAN 10,20,30

配置 Access 端口（连接终端）：

$SW-CORE$ interface GigabitEthernet0/0/1

$SW-CORE-GigabitEthernet0/0/1$ port link-type access

$SW-CORE-GigabitEthernet0/0/1$ port default v lan 10 #该端口划分到VLAN 10

配置 Trunk 端口（连接交换机或路由器）：

$SW-CORE$ interface GigabitEthernet0/0/24

$SW-CORE-GigabitEthernet0/0/24$ port link-type trunk

$SW-CORE-GigabitEthernet0/0/24$ port trunk allow-pass v lan 10 20 30

允许哪些VLAN通过

二、VLAN间路由配置

不同VLAN之间通信需要三层接口。在核心交换机上配置VLANIF接口作为各VLAN的网关。

$SW-CORE$ interface Vlanif 10

$SW-CORE-Vlanif10$ ip address 192.168.10.1 24

$SW-CORE$ interface Vlanif 20

$SW-CORE-Vlanif20$ ip address 192.168.20.1 24

此时，各VLAN内的终端将网关指向对应VLANIF地址，即可实现VLAN间路由。

三、端口聚合配置

将多个物理端口捆绑成一条逻辑链路，增加带宽和冗余。

$SW-CORE$ interface Eth-Trunk 1 # 创建聚合口

$SW-CORE-Eth-Trunk1$ mode lacp-static # 静态LACP模式

$SW-CORE-Eth-Trunk1$ trunk port GigabitEthernet0/0/1 # 添加成员端口

$SW-CORE-Eth-Trunk1$ trunk port GigabitEthernet0/0/2

$SW-CORE-Eth-Trunk1$ port link-type trunk

$SW-CORE-Eth-Trunk1$ port trunk allow-pass v lan 10 20 30

四、配置实例：部门网络隔离

场景：财务部（VLAN 10）、技术部（VLAN 20）分别使用独立网段，通过核心交换机互访。

sysname SW-CORE

vlan batch 10 20

interface Vlanif10

ip address 192.168.10.1 24

interface Vlanif20

ip address 192.168.20.1 24

interface GigabitEthernet0/0/1

port link-type access

port default v lan 10

interface GigabitEthernet0/0/2

port link-type access

port default v lan 20

interface GigabitEthernet0/0/24

port link-type trunk

port trunk allow-pass v lan 10 20

return

6.3 联想网域防火墙配置

联想网域（网御）防火墙是国内常见的安全设备，采用Web管理界面为主、串口为辅的配置方式，通过USB电子钥匙进行管理员认证是其特色。

6.3.1 配置环境搭建

一、初始连接与Web登录

1.物理连接：用交叉线将管理主机与防火墙的eth0口连接（随机附送交叉线）。

2.管理主机 IP 设置：将主机IP设为<10.10.10.99/24>（防火墙出厂默认管理IP为

<10.10.10.250>/24）。

3.安装 USB 电子钥匙驱动 ：

插入随防火墙附带的USB电子钥匙前，先运行光盘中 key 目录下的 INSTDRV 安装驱动。

提示"退出请重新插锁"后，插入电子钥匙，系统自动安装驱动。

4.安装管理员登录程序：运行光盘 key 目录下的 ikeyc.exe ，输入默认PIN码 12345678 ，认证通过后程序图标显示在任务栏。

5.登录 Web 界面：打开IE浏览器（需取消代理），访问 https://10.10.10.250:8888 ，通过管理员登录程序认证后，弹出防火墙管理界面。

二、Console配置方法

当网络不通或需要紧急恢复时，可使用Console线连接防火墙的Console口，设置超级终端（波特率9600，数据位8，停止位1，无流控），默认账号 administrator ，密码与Web登录相同。

三、设备初始化设置

修改管理员密码 ：首次登录后立即修改。

管理 IP 修改：点击" 网络配置" →" 网络设备" →"物理设备"，选择eth0接口，修改IP地址以适应内网规划。

管理主机地址添加 ：点击"系统配置" →"管理配置" →"管理主机"，添加允许管理防火墙的IP地址。

6.3.2 基础安全配置

一、区域划分

联想网域防火墙默认包含三个区域：

信任区（ Trust ）：连接内网，默认允许访问其他区域。

非信任区（ Untrust ）：连接外网，默认受严格限制。

DMZ 区：连接对外服务器，可被外网访问。

可在" 网络配置" →" 区域"中自定义区域。

二、接口配置

将物理接口绑定到相应区域并设置IP：

点击" 网络配置" →" 网络设备" →"物理设备"。
选择接口（如eth0），点击"编辑"。
设置IP地址和掩码，选择安全区域（如Trust），勾选"启用"和"允许管理"（开启ping和Web管理权限）。

三、默认安全策略配置

联想网域防火墙默认策略为"拒绝所有"，需手动添加允许规则：

允许 Trust 访问 Untrust （内网访问外网）：

源区域：Trust

目的区域： Untrust

服务：any

动作：允许

拒绝所有其他访问 ：默认已存在一条全拒绝规则，确保未显式允许的流量被阻断。

6.3.3 核心功能配置

一、ACL访问控制列表配置

联想网域防火墙通过"安全策略"实现ACL功能。

点击"安全策略" →"策略配置"。
点击"新增"，配置规则：

名称： Deny_Finance_to_Internet

源区域：Trust

源地址： <192.168.10.0/24>（财务部）

目的区域： Untrust

服务：、

动作：拒绝

生效时间：工作时间（可设）。日志记录：开启

二、NAT转换配置

源 NAT （内网访问外网 ）：

点击"NAT配置" →"源NAT"。
新增规则：

源区域：Trust

源地址：内网网段

出接口：连接外网的接口

转换方式： PAT（端口地址转换）

目的NAT（端口映射）：将内网服务器发布到公网。

点击"NAT配置" →" 目的NAT"。
新增规则：

公网IP：<202.106.0.2>

公网端口：80

私网IP： <192.168.1.100>

私网端口：80

协议：TCP

三、端口映射配置实例

将内网Web服务器<192.168.1.100>的80端口发布到公网：

外网接口IP：<202.106.0.2>

映射规则：访问<202.106.0.2>:80 转换为 <192.168.1.100>:80

四、入侵防御配置

1.点击"安全策略" →"入侵防御"。

2.启用IPS功能，选择防护策略模板（如"服务器保护"或"客户端保护"）。

3.在安全策略中引用IPS配置。

五、单位场景配置实例：分支机构防火墙

场景：分支机构内网<192.168.10.0>/24，通过防火墙接入互联网，需限制P2P下载。

接口配置：eth0接内网（Trust），eth1接外网（Untrust）

安全策略：

允许Trust访问Untrust（、、DNS）

拒绝Trust访问Untrust的BT、迅雷等P2P端口（可定义服务组）

NAT：源NAT PAT转换

日志：记录所有拒绝流量

6.4 天融信防火墙配置

天融信防火墙是国内市场占有率较高的安全产品，其命令行功能强大，同时提供Web管理界面。本节聚焦Web配置，并与联想网域进行对比说明。

6.4.1 配置环境搭建

一、Web管理界面登录

1.物理连接：用网线连接防火墙的管理口（通常为MGMT或Eth0）与电脑。

2.设置管理主机 IP ：防火墙默认管理IP通常为<192.168.1.1/24>（具体见产品手册），将电脑IP设为同网段如<192.168.1.100>。

3.浏览器登录：输入 https://192.168.1.1 ，默认账号 admin ，默认密码见设备标签（首次登录强制修改）。

二、设备初始化设置

修改管理员密码 ：首次登录强制修改。

管理接口 IP 修改：在" 网络" →"接口"中修改管理口IP。

管理员权限分级 ：天融信支持多级管理员权限，可在"系统" →"管理员"中创建只读用户、审计员等。

三、与联想网域防火墙的差异

认证方式 ：联想采用USB电子钥匙硬件认证，天融信为账号密码。

界面风格 ：联想侧重策略树，天融信采用菜单式布局。

默认规则 ：两者均默认拒绝，但天融信提供"快速向导"简化初始配置。

6.4.2 基础安全配置

一、区域划分

天融信防火墙预定义区域：Trust、 Untrust、 DMX（ DMZ）。可自定义区域。

路径：" 网络" →" 区域"，点击"新建"，设置名称、优先级。

二、接口配置

将物理接口绑定到区域并配置IP：

1.路径：" 网络" →"接口"，点击接口进入编辑。

2.设置：

IP地址/掩码： <192.168.1.1/24>

安全区域：Trust

管理方式：勾选、PING（允许Web管理及ping测试）

三、管理员权限分级配置

路径："系统" →"管理员" →"新建"。

设置用户名、密码，选择角色：

系统管理员：完全控制

配置管理员：可修改配置

审计员：仅查看日志

四、默认安全策略配置

天融信策略配置在"安全策略" →"策略"中。

允许 Trust 访问 Untrust ：

名称：Trust_to_Untrust

源区域：Trust

目的区域： Untrust

源地址：any

目的地址：any

服务：、、DNS

动作：允许

状态：启用

拒绝所有 ：系统默认有一条全拒绝策略，优先级最低。

6.4.3 核心功能配置

一、ACL规则配置

天融信的ACL通过安全策略实现，可精细化控制源/目的IP、服务、时间。

示例：禁止 192.168.10.0/24 在工作时 间访问视频网站 ：

源区域：Trust

源地址： <192.168.10.0/24>（需先创建地址对象）

目的区域： Untrust

服务：、（视频网站域名需通过URL过滤实现）

时间：每周一至周五 09:00-18:00

动作：拒绝

二、NAT配置

天融信的NAT配置在"NAT策略"中。

源 NAT （ PAT ）：

规则名称：SNAT_PAT

源区域：Trust

目的区域： Untrust

转换类型：源地址转换

出接口：WAN口

转换方式：使用出接口IP（ PAT）

目的 NAT （端口映射 ）：

规则名称：Web_Server

入接口：WAN口

目的IP：<202.106.0.2>（公网IP）

目的端口：80

转换后IP： <192.168.1.100>

转换后端口：80

协议：TCP

三、VPN配置

天融信支持IPSec VPN和SSL VPN。

IPSec VPN****配置要点 ：

创建IKE提议（加密算法、认证算法、 DH组）。
创建IPSec提议。
配置对端信息（对端IP、预共享密钥）。
定义感兴趣流（ACL）。

SSL VPN：适用于移动办公，用户通过浏览器登录，访问内网资源。

四、日志审计配置

1. 本地日志 ：在"系统" →" 日志"中查看，可配置日志级别。

2. 远程日志 ：在"系统" →" 日志" →" 日志服务器"中配置服务器IP，将日志发送至集中日志平台。

五、配置步骤及注意事项

步骤：

先配置接口和区域。
配置地址对象、服务对象（便于复用）。
配置安全策略（从上到下顺序匹配，常用策略放前面）。
配置NAT。
配置VPN、 IPS等高级功能。
测试连通性，查看日志确认策略生效。

注意事项 ：

修改管理接口IP后，需用新IP重新登录。

策略修改后及时点击"保存配置"，防止重启丢失。

开启IPS可能影响转发性能，按需启用。

6.5 故障排查与日常维护

网络设备运行中难免出现故障，掌握标准化的排查思路和常用命令，可快速恢复业务。

6.5.1 路由器/交换机常见故障排查

一、故障排查思路

1.确认故障范围：是个别终端、某个网段还是全网故障？

2.物理层检查：接口指示灯、线缆连接。

3.链路层检查： MAC地址表、VLAN配置。

4.网络层检查： IP配置、路由表、连通性测试。

5.策略检查：ACL、防火墙规则是否阻断。

二、核心命令及解决方法

故障类型	排查命令	解决方法
端口 down	display interface brief	检查物理连接、强制速率/双工匹配、更换端口
路由不通	display ip routing-table	确认路由表存在且正确；检查下一跳连通性
VLAN 通信异常	display vlan、display mac-address	确认端口在正确VLAN、Trunk允许VLAN、VLANIF配置
远程登录失败	display telnet server status、display ssh server status	确认服务开启、VTY接口认证配置、ACL限制
IP 地址冲突	display arp	include 冲突IP`
环路导致网络卡顿	display trapbuffer查看环路告警，display interface查看端口流量异常激增	启用STP，物理上排查环路链路

三、故障案例：VLAN间无法通信

现象：VLAN 10的PC（ <192.168.10.2>）无法ping通VLAN 20的PC（ <192.168.20.2>）。

排查步骤 ：

1.确认PC网关配置正确：VLAN10网关应为<192.168.10.1>。

2.在核心交换机上执行 display interface Vlanif10 ，确认VLANIF接口状态Up。

3.执行 display ip routing-table ，确认有直连路由。

4.在两台PC上分别ping网关，确认到网关连通。

5.执行 display arp ，确认学到PC的MAC地址。

6.若以上均正常，检查交换机端口配置，确认两台PC所在端口均在各自VLAN内。

6.5.2 防火墙故障排查与日常维护

一、常见故障排查

故障类型	排查思路	核心命令/操作
策略不生效	检查策略顺序、源/目的区域、地址对象、服务对象是否匹配；查看策略命中计数	天融信：display security-policy session-statistics；联想：查看策略日志
网络不通	分段测试：ping防火墙接口、ping下一跳、ping远端	ping、tracert，逐段定位
NAT 不生效	确认NAT规则顺序、出接口选择、转换模式	查看会话表：display session table，观察转换前后地址
日志异常	检查日志级别、磁盘空间、日志服务器连通性	display logbuffer、查看日志存储配置