华为 1+X 网络系统运维与建设中级实操模拟题
小汐睡着了 2024-06-21 08:07:04 阅读 51
目
实验拓扑
配置中的注意事项:(针对新手)
实验目的
实验要求
实验步骤
一、搭建实验拓扑
二、配置主机名称
三、配置链路聚合
四、VLAN 配置
五、配置 RSTP 协议
六、配置 IP 地址
七、配置 VRRP 协议。
八、配置 OSPF 协议
九、配置 PAP 和 CHAP 认证
十、配置静态路由
十一、配置 DHCP【动态主机配置协议,用于给终端设备分配 IP 地址 】 服务
十二、配置 NAT
十三、配置 ACL
十四、配置 telnet 网管
十五、配置 SNMPv2/SNMPv3 协议 ,可选练习。
实验总结
链路聚合LACP模式:
VLAN 配置:
配置 VRRP 协议:
配置 PAP 和 CHAP 认证
配置认证方:
配置 NAT
配置ACL
实验拓扑
配置中的注意事项:(针对新手)
dis this 查看当前模式的所有配置。
ospf 邻居无法正常建立的常见原因:
1、设备间相连的接口地址和掩码配置错误
2、network 命令配置错误的地址
vlan , trunk ,eth-trunk,ip 的配置要100%正确。
运行ospf协议的设备上可使用 dis ip int brief。
实验目的
完成所有配置且正确实验要求
1、配置主机名称 2、 配置链路聚合 3、VLAN 配置 表如下:4、 配置 RSTP 协议 5、配置 IP 地址 表如下:
6、配置 VRRP 协议 7、配置 OSPF 协议 8、 配置 PAP 和 CHAP 认证 9、 配置静态路由 10、配置 DHCP 服务 11、配置 NAT
12、配置 ACL
13、配置 telnet 网管
14、配置 SNMPv2/SNMPv3 协议
15、保存所有设备配置,保存拓扑文件
实验步骤
一、搭建实验拓扑
如上图所示
二、配置主机名称
1、根据拓扑图配置设备主机名,配置如下 <Huawei>system-view [Huawei]sysname Acc02 <Huawei>system-view [Huawei]sysname Acc01 <Huawei>system-view [Huawei]sysname Agg01 <Huawei>system-view [Huawei]sysname Agg02 <Huawei>system-view [Huawei]sysname Core1 <Huawei>system-view [Huawei]sysname Core2 <Huawei>system-view [Huawei]sysname HZ-XiaoYuan-Edge <Huawei>system-view [Huawei]sysname SH-XiaoYuan-Edge <Huawei>system-view [Huawei]sysname HZ-EDU-Edge三、配置链路聚合
1、 在Agg01和Agg02的互联的链路使用Lacp配置链路聚合,只允许存在一条活动链路。 要求 Lag id 为 1。 [Agg01]int Eth-Trunk 1 [Agg01-Eth-Trunk1]mode lacp-static [Agg01-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/5 [Agg01-Eth-Trunk1]max active-linknumber 1 [Agg02]int Eth-Trunk 1 [Agg02-Eth-Trunk1]mode lacp-static [Agg02-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/5[Agg02-Eth-Trunk1]max active-linknumber 1 2、 在 Agg01 上使用 dis eth-trunk 1 查看只要存在一条“Selected”的链路即可。
四、VLAN 配置
1、 在 Acc01,Acc02 创建 vlan10,20。 [Acc02]vlan batch 10 20 [Acc01]vlan batch 10 20 2、 在 Agg01,Agg02 创建 vlan10,vlan20,vlan100,vlan200。注意 Agg01 不用创建 vlan200,Agg02 不用创建 Vlan100。 [Agg01]vlan batch 10 20 100 [Agg02]vlan batch 10 20 200 3、 根据 VLAN 配置表,将 eth-trunk 和交换机互联的链路配置为 Trunk 以及主机加入到对应 VLAN 中。 在 Acc02 上配置 trunk,并将连接 PC 的端口加入到 VLAN。 [Acc02]int g0/0/1 [Acc02-GigabitEthernet0/0/1] port link-type trunk [Acc02-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 [Acc02-GigabitEthernet0/0/1] undo port trunk allow-pass vlan 1 [Acc02]int g0/0/2 [Acc02-GigabitEthernet0/0/2] port link-type trunk [Acc02-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20 [Acc02-GigabitEthernet0/0/2] undo port trunk allow-pass vlan 1 [Acc02]int e0/0/1 [Acc02-Ethernet0/0/1] port link-type access [Acc02-Ethernet0/0/1] port default vlan 10 [Acc02]int e0/0/2 [Acc02-Ethernet0/0/2] port link-type access [Acc02-Ethernet0/0/2] port default vlan 20 在 Acc01 上配置 trunk,并将连接 PC 的端口加入到对应的 VLAN。 [Acc01]int g0/0/1 [Acc01-GigabitEthernet0/0/1] port link-type trunk [Acc01-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 [Acc01-GigabitEthernet0/0/1] undo port trunk allow-pass vlan 1 [Acc01]int g0/0/2 [Acc01-GigabitEthernet0/0/2] port link-type trunk [Acc01-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20 [Acc01-GigabitEthernet0/0/2] undo port trunk allow-pass vlan 1 [Acc01]int e0/0/1 [Acc01-Ethernet0/0/1] port link-type hybrid [Acc01-Ethernet0/0/1] port hybrid pvid vlan 10 [Acc01-Ethernet0/0/1] port hybrid untagged vlan 10 [Acc01]int e0/0/2 [Acc01-Ethernet0/0/2] port link-type hybrid [Acc01-Ethernet0/0/2] port hybrid pvid vlan 20 [Acc01-Ethernet0/0/2] port hybrid untagged vlan 20 在 Agg01 上配置,注意 G0/0/1 和 G0/0/2 不允许 vlan1 通过。 [Agg01-GigabitEthernet0/0/1] port link-type trunk [Agg01-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 [Agg01-GigabitEthernet0/0/1] undo port trunk allow-pass vlan 1 [Agg01]int g0/0/2 [Agg01-GigabitEthernet0/0/2] port link-type trunk [Agg01-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20 [Agg01-GigabitEthernet0/0/2] undo port trunk allow-pass vlan 1 [Agg01-Eth-Trunk1]int eth-trunk 1 [Agg01-Eth-Trunk1] port link-type trunk [Agg01-Eth-Trunk1] port trunk allow-pass vlan 10 20 将 Agg01 的 G0/0/6 端口加入到 VLAN100,端口类型为 Access。 [Agg01]int g0/0/6 [Agg01-GigabitEthernet0/0/6] port link-type access [Agg01-GigabitEthernet0/0/6] port default vlan 100 在 Agg02 上配置,注意 G0/0/1 和 G0/0/2 不允许 vlan1 通过。 [Agg02]int g0/0/1 [Agg02-GigabitEthernet0/0/1] port link-type trunk [Agg02-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20 [Agg02-GigabitEthernet0/0/1] undo port trunk allow-pass vlan 1 [Agg02]int g0/0/2 [Agg02-GigabitEthernet0/0/2] port link-type trunk [Agg02-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20 [Agg02-GigabitEthernet0/0/2] undo port trunk allow-pass vlan 1 [Agg02-Eth-Trunk1]int eth-trunk 1 [Agg02-Eth-Trunk1] port link-type trunk [Agg02-Eth-Trunk1] port trunk allow-pass vlan 10 20 将 Agg02 的 G0/0/6 端口加入到 VLAN200,端口类型为 Access。 [Agg02]int g0/0/6 [Agg02-GigabitEthernet0/0/6] port link-type access [Agg02-GigabitEthernet0/0/6] port default vlan 200五、配置 RSTP 协议
1、Agg01,Agg02,Acc01,Acc02 运行 RSTP 协议,将 Agg01 配置为根桥,优先级为 4096,Agg02 配置为备份根桥,优先级为 8192。RSTP默认的优先级32768 [Agg01]stp mode rstp [Agg01]stp priority 4096 [Agg02]stp mode rstp [Agg02]stp priority 8192 [Acc01]stp mode rstp [Acc02]stp mode rstp 在 Acc01,Acc02 上使用 dis stp biref 查看 RP 【根端口】端口和 AP 【指定端口中的备份端口】端口,如下输出表示正常。
2、将交换机连接 PC 的端口配置为边缘端口,可以快速进入到转发状态,并在 Acc01,Acc02 上启用 BPDU 防护功能。 [Acc02]stp bpdu-protection [Acc02]int e0/0/1 [Acc02-Ethernet0/0/1]stp edged-port enable [Acc02]int e0/0/2 [Acc02-Ethernet0/0/2]stp edged-port enable [Acc01]stp bpdu-protection [Acc01]int e0/0/1 [Acc01-Ethernet0/0/1]stp edged-port enable [Acc01]int e0/0/2 [Acc01-Ethernet0/0/2]stp edged-port enable
在 Acc01,Acc02 使用 dis stp brief 查看是否生效,如图表示正常。
3、 将 Acc02 和 Agg02 的 相应接口 的 RSTP 开销修改为 200000,将 Acc01 和 Agg01 的 相应接口 的 RSTP 开销修改为 200000,并开启环路防护功能。 [Acc01]int g0/0/2 [Acc01-GigabitEthernet0/0/2]stp cost 200000 [Acc01-GigabitEthernet0/0/2]stp loop-protection [Acc02]int g0/0/2 [Acc02-GigabitEthernet0/0/2]stp cost 200000 [Acc02-GigabitEthernet0/0/2]stp loop-protection 4、在 Agg01 和 Agg02 的 G0/0/6 端口上启用 STP 的根防护功能。 [Agg01]int g0/0/6 [Agg01-GigabitEthernet0/0/6]stp root-protection [Agg02]int g0/0/6 [Agg02-GigabitEthernet0/0/6]stp root-protection
六、配置 IP 地址
[Agg01]int Vlanif 10
[Agg01-Vlanif10]ip address 192.168.10.1 24
[Agg01]int Vlanif 20
[Agg01-Vlanif20]ip address 192.168.20.1 24
[Agg01]int Vlanif 100
[Agg01-Vlanif100]ip address 10.1.100.1 30
[Agg01]int LoopBack 0
[Agg01-LoopBack0]ip address 1.1.1.1 32
[Agg02]int Vlanif 10
[Agg02-Vlanif10]ip address 192.168.10.2 24
[Agg02]int Vlanif 20
[Agg02-Vlanif20]ip address 192.168.20.2 24
[Agg02]int Vlanif 200
[Agg02-Vlanif200]ip address 10.1.200.1 30
[Agg02]int LoopBack 0
[Agg02-LoopBack0]ip address 2.2.2.2 32
[Core1]int g0/0/0
[Core1-GigabitEthernet0/0/0]ip address 10.1.100.2 30
[Core1]int g0/0/1
[Core1-GigabitEthernet0/0/1]ip address 10.1.12.1 30
[Core1]int g0/0/2
[Core1-GigabitEthernet0/0/2]ip address 10.1.22.1 30
[Core1]int LoopBack 0
[Core1-LoopBack0]ip address 3.3.3.3 32
[Core2]int g0/0/0
[Core2-GigabitEthernet0/0/0]ip address 10.1.200.2 30
[Core2]int g0/0/1
[Core2-GigabitEthernet0/0/1]ip address 10.1.12.2 30
[Core2]int g0/0/2
[Core2-GigabitEthernet0/0/2]ip address 10.1.33.1 30
[Core2]int LoopBack 0
[Core2-LoopBack0]ip address 4.4.4.4 32
[HZ-XiaoYuan-Edge]int g0/0/0
[HZ-XiaoYuan-Edge-GigabitEthernet0/0/0]ip address 10.1.22.2 30
[HZ-XiaoYuan-Edge]int g0/0/1
[HZ-XiaoYuan-Edge-GigabitEthernet0/0/1]ip address 10.1.33.2 30
[HZ-XiaoYuan-Edge]int g0/0/2
[HZ-XiaoYuan-Edge-GigabitEthernet0/0/2]ip address 172.16.1.1 30
[HZ-XiaoYuan-Edge]int s1/0/0
[HZ-XiaoYuan-Edge-Serial1/0/0]ip address 202.1.1.1 30
[HZ-XiaoYuan-Edge]int LoopBack 0
[HZ-XiaoYuan-Edge-LoopBack0]ip address 5.5.5.5 32
[SH-XiaoYuan-Edge]int g0/0/0
[SH-XiaoYuan-Edge-GigabitEthernet0/0/0]ip address 192.168.30.254 24
[SH-XiaoYuan-Edge]int g0/0/1
[SH-XiaoYuan-Edge-GigabitEthernet0/0/1]ip address 172.16.1.2 30
[SH-XiaoYuan-Edge]int LoopBack 0
[SH-XiaoYuan-Edge-LoopBack0]ip address 6.6.6.6 32
[HZ-EDU-Edge]int s1/0/1
[HZ-EDU-Edge-Serial1/0/1]ip address 202.1.1.2 30
[HZ-EDU-Edge]int g0/0/0
[HZ-EDU-Edge-GigabitEthernet0/0/0]ip address 8.8.8.1 24
七、配置 VRRP 协议。
1、在 Agg01 和 Agg02 上配置 VRRP 协议,Vlan10 的 vrid 为 1,Vlan20 的 vrid 为 2,Vlan10 虚拟网关地址为 192.168.10.254/20.254。 2、Agg01 为 VLAN10 主网关,Vlan20 的备份网关,Agg02 为 VLAN20 主网关,优 VLAN10 的 备份网关。主网关的优先级均为 120。 3、为了防止上行链路失效,当 Agg01 和 Agg02 的 G0/0/6 接口失效,则主网关优先级自己下降 30,当链路恢复,启用抢夺功能,抢夺延迟为 10s。 4、为了保证安全性,启动 VRRP 认证,vrid1 使用 md5 认证,密码为 huawei, vrid2 使用明文认 证,密码为 huawei。 [Agg01]int Vlanif 10 [Agg01-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.254 [Agg01-Vlanif10] vrrp vrid 1 priority 120 [Agg01-Vlanif10] vrrp vrid 1 authentication-mode md5 huawei [Agg01-Vlanif10] vrrp vrid 1 track interface g0/0/6 reduced 30 [Agg01-Vlanif10] vrrp vrid 1 preempt-mode timer delay 10 [Agg02]int Vlanif 10 [Agg02-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.254 [Agg02-Vlanif10] vrrp vrid 1 authentication-mode md5 huawei [Agg01]int Vlanif 20 [Agg01-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.254 [Agg01-Vlanif20] vrrp vrid 2 authentication-mode simple huawei[Agg02]int Vlanif 20 [Agg02-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.254 [Agg02-Vlanif20] vrrp vrid 2 priority 120 [Agg02-Vlanif20] vrrp vrid 2 authentication-mode simple huawei [Agg02-Vlanif20] vrrp vrid 2 track interface g0/0/6 reduced 30 [Agg02-Vlanif20] vrrp vrid 2 preempt-mode timer delay 10 在 Agg01 和 Agg02 上使用 dis vrrp brief 查看配置,如下输出代表正常。
八、配置 OSPF 协议
在 Agg01,Agg02,Core1 ,Core2,HZ-XiaoYuan-Edge,SH-XiaoYuan-Edge 上配置 OSPF 协议, 配置为骨干区域,进程号为 1,配置每台设备的全局 router id 为 loopback0 接口的地址,并作为 OSPF 协议的 router id,所有接口采用精确宣告的方式。 1、将 Agg01 的 vlanif10, vlanif20, vlanif100,loopback0 加入到 ospf 进程 1 中。 [Agg01] ospf 1 router-id 1.1.1.1 [Agg01-ospf-1] area 0 [Agg01-ospf-1-area-0.0.0.0] network 192.168.10.1 0.0.0.0 [Agg01-ospf-1-area-0.0.0.0] network 192.168.20.1 0.0.0.0 [Agg01-ospf-1-area-0.0.0.0] network 10.1.100.1 0.0.0.0 [Agg01-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0 2、将 Agg02 的 vlanif10, vlanif20, vlanif200,loopback0 加入到 ospf 进程 1 中。 [Agg02] ospf 1 router-id 2.2.2.2 [Agg02-ospf-1] a 0 [Agg02-ospf-1-area-0.0.0.0] network 192.168.10.2 0.0.0.0 [Agg02-ospf-1-area-0.0.0.0] network 192.168.20.2 0.0.0.0 [Agg02-ospf-1-area-0.0.0.0] network 10.1.200.1 0.0.0.0 [Agg02-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0 3、将 Core1,Core2 的所有接口加入到 ospf 进程 1。 [Core1] ospf 1 router-id 3.3.3.3 [Core1-ospf-1] area 0 [Core1-ospf-1-area-0.0.0.0] network 10.1.100.2 0.0.0.0 [Core1-ospf-1-area-0.0.0.0] network 10.1.22.1 0.0.0.0 [Core1-ospf-1-area-0.0.0.0] network 10.1.12.1 0.0.0.0 [Core1-ospf-1-area-0.0.0.0] network 3.3.3.3 0.0.0.0 [Core2] ospf 1 router-id 4.4.4.4 [Core2-ospf-1] area 0 [Core2-ospf-1-area-0.0.0.0] network 10.1.33.1 0.0.0.0 [Core2-ospf-1-area-0.0.0.0] network 10.1.12.2 0.0.0.0 [Core2-ospf-1-area-0.0.0.0] network 10.1.200.2 0.0.0.0 [Core2-ospf-1-area-0.0.0.0] network 4.4.4.4 0.0.0.0 4、将 HZ-XiaoYuan-Edge 的 G0/0/0,G0/01,G0/0/2 接口和 loopback0 接口加入到 ospf 进程 1 中。 [HZ-XiaoYuan-Edge] ospf 1 router-id 5.5.5.5 [HZ-XiaoYuan-Edge-ospf-1] a 0 [HZ-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 10.1.22.2 0.0.0.0 [HZ-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 10.1.33.2 0.0.0.0 [HZ-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 172.16.1.1 0.0.0.0 [HZ-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 5.5.5.5 0.0.0.0 5、将 SH-XiaoYuan-Edge 的 G0/0/0,GE0/0/1 和 loopback0 接口加入到 OSPF 进程 1 中。 [SH-XiaoYuan-Edge] ospf 1 router-id 6.6.6.6 [SH-XiaoYuan-Edge-ospf-1] a 0 [SH-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 192.168.30.254 0.0.0.0 [SH-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 172.16.1.2 0.0.0.0 [SH-XiaoYuan-Edge-ospf-1-area-0.0.0.0] network 6.6.6.6 0.0.0.0 6、配置 OSPF 区域认证,认证方式为 md5,密钥号为 1,加密方式为 ciper,密码为 Huawei。 [Agg01] ospf 1 [Agg01-ospf-1] a 0 [Agg01-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei [Agg02] ospf 1 [Agg02-ospf-1] a 0 [Agg02-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei [Core1] ospf 1 [Core1-ospf-1] a 0 [Core1-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei [Core2] ospf 1 [Core2-ospf-1] a 0 [Core2-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei [HZ-XiaoYuan-Edge] ospf 1 [HZ-XiaoYuan-Edge-ospf-1] a 0 [HZ-XiaoYuan-Edge-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei [SH-XiaoYuan-Edge] ospf 1 [SH-XiaoYuan-Edge-ospf-1] a 0 [SH-XiaoYuan-Edge-ospf-1-area-0.0.0.0] authentication-mode md5 1 cipher Huawei 7、配置 HZ-XiaoYuan-edge 的 G0/0/0 接口的优先级为最高,使其成为 DR【指定路由器】。 [HZ-XiaoYuan-Edge]int g0/0/0 [HZ-XiaoYuan-Edge-GigabitEthernet0/0/0] ospf dr-priority 255 使用 dis ospf peer g0/0/0 查看 DR 是否为 10.1.22.2,下图表示正常。8、在 Agg01,Agg02 上将 Vlanif10 和 Vlanif20 的 OSPF 开销修改为 100,将 Core2 和 HZ-XiaoYuan-Edge 之间的链路 OSPF 开销修改为 100。 [Agg01]int Vlanif 10 [Agg01-Vlanif10] ospf cost 100 [Agg01]int Vlanif 20 [Agg01-Vlanif20] ospf cost 100 [Agg02]int Vlanif 10 [Agg02-Vlanif10] ospf cost 100 [Agg02]int Vlanif 20 [Agg02-Vlanif20] ospf cost 100 [HZ-XiaoYuan-Edge]int g0/0/1 [HZ-XiaoYuan-Edge-GigabitEthernet0/0/1] ospf cost 100 [Core2]int g0/0/2 [Core2-GigabitEthernet0/0/2]ospf cost 100 在 Agg01 或者 Agg02 使用 dis ospf int vlanif10/20 查看开销是否为 100。
9、将 HZ-XiaoYuan-Edge 的 G0/0/2 和 SH-XiaoYuan-Edge 的 G0/0/1 的链路配置为 P2P 链路。
[HZ-XiaoYuan-Edge]int g0/0/2 [HZ-XiaoYuan-Edge-GigabitEthernet0/0/2]ospf network-type p2p [SH-XiaoYuan-Edge]int g0/0/1 [SH-XiaoYuan-Edge-GigabitEthernet0/0/1]ospf network-type p2p
在 HZ-XiaoYuan-Edge 或者 SH-XiaoYuan-Edge 上使用 dis ospf int g0/0/1 查看是否为 P2P 。
九、配置 PAP 和 CHAP 认证
1、配置 PAP 认证,HZ-XiaoYuan-Edge 作为认证方,HZ-EDU-Edge 作为被认证方,用户名为 user1, 密码为 Huawei@123, 密码模式为 simple。 [HZ-XiaoYuan-Edge]aaa [HZ-XiaoYuan-Edge-aaa] local-user user1 password cipher Huawei@123 // [HZ-XiaoYuan-Edge-aaa] local-user user1 service-type ppp [HZ-XiaoYuan-Edge]int s1/0/0 [HZ-XiaoYuan-Edge-Serial1/0/0] ppp authentication-mode pap [HZ-EDU-Edge]int s1/0/1 [HZ-EDU-Edge-Serial1/0/1] ppp pap local-user user1 password simple Huawei@123 2、配置 CHAP 认证,HZ-EDU-Edge作为认证方,HZ-XiaoYuan-Edge 作为被认证方,用户名为 user2, 密码为 Huawei,密码模式为 cipher. [HZ-EDU-Edge]aaa [HZ-EDU-Edge-aaa] local-user user2 password cipher Huawei [HZ-EDU-Edge-aaa] local-user user2 service-type ppp [HZ-EDU-Edge]int s1/0/1 [HZ-EDU-Edge-Serial1/0/1] ppp authentication-mode chap [HZ-XiaoYuan-Edge]int s1/0/0 [HZ-XiaoYuan-Edge-Serial1/0/0] ppp chap user user2 [HZ-XiaoYuan-Edge-Serial1/0/0] ppp chap password cipher Huawei十、配置静态路由
1、在 HZ-XiaoYuan-Edge 配置静态路由,使得能访问 PC5,下一跳为 HZ-EDU-Edge,并配置缺省路由访问其他外部网络。 [HZ-XiaoYuan-Edge] ip route-static 8.8.8.0 24 202.1.1.2 [HZ-XiaoYuan-Edge] ip route-static 0.0.0.0 0 202.1.1.2 2、在 HZ-EDU-Edge 上配置静态路由使得教育网能访问校园网所有存在 PC 的网段,访问校园网其他网段时采用缺省路由。 [HZ-EDU-Edge] ip route-static 192.168.10.0 24 202.1.1.1 [HZ-EDU-Edge] ip route-static 192.168.20.0 24 202.1.1.1 [HZ-EDU-Edge] ip route-static 192.168.30.0 24 202.1.1.1 [HZ-EDU-Edge] ip route-static 0.0.0.0 0 202.1.1.1 3、在 HZ-XiaoYuan-Edge 引入静态路由到 OSPF 网络中,开销类型为 1,默认为类型 2. [HZ-XiaoYuan-Edge] ospf 1 [HZ-XiaoYuan-Edge-ospf-1] import-route static type 1十一、配置 DHCP【动态主机配置协议,用于给终端设备分配 IP 地址 】 服务
1、在 Agg02 上的 vlanif20 接口上 启用基于接口地址池 的 DHCP 服务,为 PC2 动态分配地址,DNS 为 8.8.8.8。 [Agg02] dhcp enable [Agg02]int Vlanif 20 [Agg02-Vlanif20] dhcp select interface [Agg02-Vlanif20] dhcp server dns-list 8.8.8.8 在 PC2 上设置通过 DHCP 获取 IP 地址。 我喜欢先切换为静态应用后再切换为DHCP以应用后再命令行查看ip
2、在 SH-XiaoYuan-Edge 上 配置基于全局地址池 的 DHCP 服务,为 PC4 提供动态地址分配服务。 网关为 192.168.30.254,DNS 为 8.8.8.8. [SH-XiaoYuan-Edge] dhcp enable [SH-XiaoYuan-Edge] ip pool edu [SH-XiaoYuan-Edge-ip-pool-edu] network 192.168.30.0 mask 255.255.255.0 [SH-XiaoYuan-Edge-ip-pool-edu] gateway-list 192.168.30.254 [SH-XiaoYuan-Edge-ip-pool-edu] dns-list 8.8.8.8 [SH-XiaoYuan-Edge]int g0/0/0 [SH-XiaoYuan-Edge-GigabitEthernet0/0/0] dhcp select global 在 PC4 上设置 DHCP 获取地址,并查看 PC4 获得的地址信息。
十二、配置 NAT
1、 在 HZ-XiaoYuan-Edge 上配置 NAPT,使用 202.1.1.10-202.1.1.20 做为地址池,VLAN10, VLAN20 主机提供上网服务,需要能 ping 通 8.8.8.8,要求 ACL 编号为 2000,要求 address-group 为 1。 [HZ-XiaoYuan-Edge] nat address-group 1 202.1.1.10 202.1.1.20 [HZ-XiaoYuan-Edge]acl 2000 [HZ-XiaoYuan-Edge-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255 [HZ-XiaoYuan-Edge-acl-basic-2000] rule permit source 192.168.20.0 0.0.0.255 [HZ-XiaoYuan-Edge]int s1/0/0 [HZ-XiaoYuan-Edge-Serial1/0/0] nat outbound 2000 address-group 1 在PC1上ping 8.8.8.8,能ping通正常。
2、 在 HZ-XiaoYuan-Edge 上配置 easy ip,为 192.168.30.0/24 网段的用户提供上网服务,PC4 能 ping 通 8.8.8.8,要求 ACL 编号为 2001。 [HZ-XiaoYuan-Edge]acl 2001 [HZ-XiaoYuan-Edge-acl-basic-2001] rule permit source 192.168.30.0 0.0.0.255 [HZ-XiaoYuan-Edge]int s1/0/0 [HZ-XiaoYuan-Edge-Serial1/0/0] nat outbound 2001 3、在 Agg01 上配置 telnet 功能,将 Agg01 的 loopback0 接口映射到公网,让 HZ-EDU-Edeg 使 用源地址 8.8.8.1 telnet 203.1.1.1 能管理到 Agg01。 [HZ-XiaoYuan-Edge]int s1/0/0 [HZ-XiaoYuan-Edge-Serial1/0/0]nat server protocol tcp global 203.1.1.1 23 inside 1.1.1.1 23 4、 在 Agg01 上配置 telnet 登录服务,认证方式为密码认证,登录密码为 Huawei,使用 cipher 加密密码,登录级别 3。 [Agg01]user-interface vty 0 4 [Agg01-ui-vty0-4] authentication-mode password [Agg01-ui-vty0-4] set authentication password cipher Huawei [Agg01-ui-vty0-4] user privilege level 3 在 HZ-EDU-Edge 上测试是否能登录 Agg01。
5、 在 Agg02 配置 FTP 功能,将 Agg02 的 loopabck0 地址映射到公网,让 HZ-EDU-Edege 使用 源地址 8.8.8.1 通过访问 ftp 203.1.1.1 访问到 Agg02。Agg02 的 ftp 用户名为 ftp,密码为 Huawei,ftp 用户级别为 3。 在 Agg02 配置 FTP 服务 [Agg02]ftp server enable [Agg02]aaa [Agg02-aaa] local-user ftp password cipher huawei [Agg02-aaa] local-user ftp privilege level 3 [Agg02-aaa] local-user ftp service-type ftp [Agg02-aaa] local-user ftp ftp-directory flash: 在 HZ-XiaoYuan-Edge 配置 NAT Server. [HZ-XiaoYuan-Edge]int s1/0/0 [HZ-XiaoYuan-Edge-Serial1/0/0] nat server protocol tcp global 203.1.1.1 ftp inside 2.2.2.2 ftp 在 HZ-EDU-Edge 使用 ftp -a 8.8.8.1 203.1.1.1 登录 Agg02 的 ftp 服务,也可以用 Client1 访问.
6、 校园网有一台 WEB 服务器 Server1,希望 Client1 能通过 http:// 203.1.1.2 访问到Server1 的内网地址为 192.168.20.10。 [HZ-XiaoYuan-Edge]int s1/0/0 [HZ-XiaoYuan-Edge-Serial1/0/0] nat server protocol tcp global 203.1.1.280 inside 192.168.20.10 80 在 Client1 上测试是否能访问 Web Server。【如果Client1 直接访问 Web Server失败了,则在Web Server1上启动HttpServer,如第一张图所示】
十三、配置 ACL
1、在 HZ-XiaoYuan-Edge 上配置高级 ACL,不允许 PC3 ping 通 8.8.8.8,要求 ACL 编号为 3000。 [HZ-XiaoYuan-Edge]acl 3000 [HZ-XiaoYuan-Edge-acl-adv-3000] rule deny icmp source 192.168.10.20 0.0.0.0 destination 8.8.8.8 0.0.0.0 [HZ-XiaoYuan-Edge]int g0/0/0 [HZ-XiaoYuan-Edge-GigabitEthernet0/0/0] traffic-filter inbound acl 3000 [HZ-XiaoYuan-Edge]int g0/0/1 [HZ-XiaoYuan-Edge-GigabitEthernet0/0/1] traffic-filter inbound acl 3000 在 PC1 上 ping 8.8.8.8 依然可以 ping 通 8.8.8.8 ,在 PC3 上无法 ping 通 8.8.8.8。
十四、配置 telnet 网管
在SH-XiaoYuan-Edge上配置telnet功能,使用aaa认证,登录用户为telnet,密码为Huawei@123. 密码 cipher 模式加密,登录级别为 15,并只允许 Agg01 的 1.1.1.1 登录 SH-XiaoYuan-Edge 的 6.6.6.6. 其他设备均无法登录设备,要求 ACL 编号为 3000。 [SH-XiaoYuan-Edge]acl 3000 [SH-XiaoYuan-Edge-acl-basic-3000] rule permit tcp source 1.1.1.1 0.0.0.0 destination 6.6.6.6 0.0.0.0 [SH-XiaoYuan-Edge]aaa [SH-XiaoYuan-Edge-aaa] local-user telnet password cipher Huawei@123 [SH-XiaoYuan-Edge-aaa] local-user telnet service-type telnet [SH-XiaoYuan-Edge-aaa] local-user telnet privilege level 15 [SH-XiaoYuan-Edge]user-interface vty 0 4 [SH-XiaoYuan-Edge-ui-vty0-4] authentication-mode aaa [SH-XiaoYuan-Edge-ui-vty0-4] acl 3000 inbound在Agg01上使用源地址1.1.1.1登录SH-XiaoYuan-Edge的6.6.6.6,其他设备均无法登录。
在 Core2 上测试,无法登录。
十五、配置 SNMPv2/SNMPv3 协议 ,可选练习。
在 Core1 上配置 SNMPv3 上协议,创建用户组 usergroup 在 usergroup 组下创建用户 user,认证密码为 Huawei@123, 认证算法选择 md5,加密密码 为 Huawei@123,加密算法为 AES128, 向 NMS 主机 5.5.5.5 发送告警信息,UDP 端口 162, 发送 trap 报文的列表名为 trapnms2, 主体名为 user ,发送 trap 报文的源 地址为 loopback0 接口。 Core1 部署 SNMPV3 配置如下,使用 loopback0 接口地址发送 SNMPv3 报文。 snmp-agent snmp-agent sys-info version v3 启用SNMPv3 snmp-agent trap source LoopBack0 指定向网管系统发送报文的源地址 snmp-agent group v3 usergroup privacy 命令解释: 创建 SNMPv3 用户组 usergroup, privacy 对报文进行认证和加密,authentication 对报文进行认证不 加密。 snmp-agent usm-user v3 user usergroup authentication-mode md5 Huawei@123 privacy-mode aes128 Huawei@123 命令解释: 创建 SNMP 用户并绑定用户组,user 为用户,usergroup 为用户组,并设置认证密码和加密密码。 配置告警功能 snmp-agent target-host trap-paramsname trapnms2 v3 securityname user privacy 命令解释: snmp-agent target-host trap-paramsname :命令用于配置 Trap 报文的发送参数信息 trap-paramsname :发送 trap 报文的列表名,可以自定义,此处为 trapnms2 securityname :发送 trap 报文的主体名,使用 SNMPv3 时为用户名, 此处为 user privacy :认证并加密 trap 报文 ,authentication 认证 trap 报文,不加密,根据题意配置。 snmp-agent target-host trap-hostname nms address 5.5.5.5 trap-paramsname trapnms2 命令解释: Trap-hostname 设置网管主机名,自定义,如果题目有要求就按要求配置。 Address : 配置网管主机的 IP 地址,根据题目要求设置 trap-paramsname :配置向网管主机发送 trap 报文的列表名。 snmp-agent trap enable 启用发送 trap 报文用于告警,配置完毕。 在 Core2 上配置 SNMPv2 协议,读团体字 Huawei12#$,写团体字 Huawei@123,向 NMS 主机 5.5.5.5 发送告警信息,UDP 端口 162,发送 trap 报文的 列表名为 Core2 , 主体名为 Core2snmp ,发送 trap 报文的源地址为 Loopabck0 接口。 SNMPv2c 的配置,使用 Loopback0 接口地址发送 SNMP 报文。 snmp-agent snmp-agent sys-info version v2c snmp-agent community read Huawei12#$ 设置 SNMPv2c 的读团体字,根据题意设置 snmp-agent community write Huawei@123 设置 SNMPv2c 的写团体字,根据题意设置 注意读/写 团体字 根据题意配置,无需都配置 snmp-agent trap source Loopback0 指定 SNMP 通信源地址 (没要求可以不配) snmp-agent target-host trap-paramsname Core2 v2c securityname Core2snmp 命令解释: trap-paramsname 配置发送 trap 报文的列表名,自定义或者看题目要求 securityname 配置发送 trap 报文的主体名,自定义或者看题目要求 snmp-agent target-host trap-hostname nms address 5.5.5.5 udp-port 162 trap paramsname Core2 命令解释: trap-hostname 配置网管主机名,自定义或者看题目要求 trap-paramsname 配置发送给网管主机的 trap 报文的列表名,和上一条命令保持一致。 udp-port 配置和网管主机对接的端口号,默认为 UDP 162 snmp-agent trap enable 启用发送 trap 报文用于告警,配置完毕。实验总结
链路聚合LACP模式:
采用LACP协议的一种链路聚合模式。设备间通过链路聚合控制协议数据单元(Link Aggregation Control Protocol Data Unit,LACPDU)进行交互,通过协议协商确保对端是同一台设备、同一个聚合接口的成员接口。
[Agg01]dis eth-trunk 1中的显示内容:
Preempt Delay 抢占延迟 Hash arithmetic 哈希算法
VLAN 配置:
[Acc01-Ethernet0/0/1] port hybrid pvid vlan 10 //给该端口配置pvid,从终端角度来讲,相当于将该端口划入VLAN10 [Acc01-Ethernet0/0/1] port hybrid untagged vlan 10 //配置Hybrid类型接口加入的VLAN,这些VLAN的帧以Untagged方式通过接口 undo port hybrid vlan //用来删除Hybrid类型接口加入的VLAN 交换机和路由器之间的连接方式: 1)access方式 交换机与路由器连接的接口使用access接口。这是因为路由器中的消息也不带VLAN标签,就像终端一样,保证路由器的数据能够进入交换机领域,数据由路由器进入交换机是会被打上默认标签,接着按照交换机间VLAN的规则行走。 解释二:华为配置为例,三层交换机作为网关,想要与路由器进行通信。由于交换机上行接口不能直接进行IP配置,此时需要将交换机接口设置为access口,路由点上绑定相应的vlan,再进行IP地址的配置。 2)trunk方式 通常用在 单臂路由,路由器下行接口与交换机的接口类型为trunk口。 单臂路由是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。 3)no switch 在华为配置上是undo switch(关闭交换功能),当交换机需要开启三层口功能,想要能和路由器一样直接配置IP地址时,就需要采用no switch连接方式。配置 VRRP 协议:
通过在冗余网关间共享虚拟MAC和IP地址,保证数据转发时并不是转给某一个具体网关的IP,而是把数据转发给虚拟网关的IP,因此,不论哪一个路由器成为主路由,都不会影响数据通信。通过组播协议对数据端口进行监控,一旦检测数据转发的端口坏掉,主路由器会停发HELLO包,备路由器提升为主路由,实现数据的稳定高效转发。配置 PAP 和 CHAP 认证
配置认证方:
这里仅介绍缺省域下AAA本地认证的配置方式。执行命令aaa, 进入AAA视图。
执行命令local-user user-name password, 创建本地帐号,并配置本地账号的登录密码。
执行命令local-user user-name service-type ppp, 配置本地用户使用的服务类型为PPP。
执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入指定的接口视图。
执行命令ppp authentication-mode pap [ [ call-in ] domain domain-name ],配置PPP认证方式为PAP。
缺省情况下,PPP协议不进行认证。
如果配置domain domain-name,则指定的域必须已经通过命令domain(AAA视图)创建。
PAP认证时,密码会在网络中以明文形式传输,存在安全风险。推荐使用CHAP认证。
配置被认证方:
执行命令system-view, 进入系统视图。
执行命令interface interface-type interface-number, 进入指定的接口视图。
执行命令ppp pap local-user username password { cipher | simple } password, 配置本地被对端以PAP方式认证时本地发送的PAP用户名和密码。
配置的用户名和密码要和认证方配置的用户名和密码一致。
缺省情况下,对端采用PAP认证时,本地设备发送的用户名和口令均为空。
配置 NAT
[Agg02-aaa] local-user ftp ftp-directory flash: “ftp-directory flash:”:这是指定FTP用户的根目录的命令部分。"ftp-directory"表示设置FTP目录,"flash:"是指定的根目录路径,它表明FTP用户的根目录将位于设备的flash存储器上。
配置ACL
{permit | deny} {protocol} {source} {source_port} {destination} {destination_port}
{permit | deny}
:指定允许或拒绝特定协议流量通过。{protocol}
:指定要匹配的协议,如IP、TCP、UDP等。{source}
:指定源IP地址或源IP地址范围。{source_port}
:指定源端口,可选。{destination}
:指定目标IP地址或目标IP地址范围。{destination_port}
:指定目标端口,可选。
注意:
在ACL规则中,0.0.0.0
不是子网掩码,而是用于表示匹配任意子网的通配符。
在给定的ACL规则中:
rule deny icmp source 192.168.10.20 0.0.0.0 destination 8.8.8.8 0.0.0.0
source 192.168.10.20 0.0.0.0
指定要匹配的源IP地址范围,其中0.0.0.0
表示任意源IP地址。destination 8.8.8.8 0.0.0.0
指定要匹配的目标IP地址范围,同样,0.0.0.0
表示任意目标IP地址。
使用0.0.0.0
作为通配符,使得该ACL规则适用于任意的源IP地址和目标IP地址,无论具体子网如何划分。
需要注意的是,一些网络设备或系统可能使用不同的表示方式,如使用any
或any/0
来表示任意子网。因此,具体命令的语法和表示方式可能会依赖于设备和操作系统的要求。在实际配置中,请参考设备的官方文档或命令参考手册来确定正确的匹配方式。
自己写的可能有手误,请各位伙伴们不吝赐教。
上一篇: 2024年了,Fedora和Ubuntu,哪个更适合工程师使用?
下一篇: Ubuntu搭建Pytorch环境(Anaconda、Cuda、cuDNN、Pytorch、Python、Pycharm、Jupyter)
本文标签
声明
本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。