ENSP上各类基础协议的配置
之前在思科的PT模拟器上学习基础的网络协议,此次学高级的网络配置,转用到ensp,在ensp上学习了基础的协议的配置,作个笔记,之后查阅web
配置接口IP
# [Huawei]interface GigabitEthernet 0/0/0 # 可简写以下 [Huawei]int g0/0/0 # ip address 具体IP 十进制掩码 [Huawei-GigabitEthernet0/0/0]ip add 10.0.13.3 24
取消某个协议和接口IP
已知R1配置了RIP协议,如今要取消使用RIP协议,先显示rip的信息,记住 RIP process 这个ID号数据库
[R1]display rip
Public VPN-instance
RIP process : 1
RIP version : 2
Preference : 100
Checkzero : Enabled
Default-cost : 0
Summary : Disabled服务器 ……网络
# undo 协议 进程号 [R1]undo rip 1
接口配置了IP以后,进入该接口使用以下命令取消IP的设置tcp
[Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]undo ip address
环回地址
完成网络规划以后,为了方便管理,会为每一台路由器建立一个loopback 接口,并在该接口上单独指定一个IP 地址做为管理地址,管理员会使用该地址对路由器远程登陆(telnet ),若是使用接口的地址,一旦接口shutdown了就不能远程登录了,环回虚拟地址永远不会shutdown掉。环回地址和各接口的地址不在同一个网段ide
[Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 24 [Huawei-GigabitEthernet0/0/0]quit [Huawei]int LoopBack ? <0-1023> LoopBack interface number [Huawei]int LoopBack 1 [Huawei-LoopBack1]ip add 192.168.2.1 24
PC>ping 192.168.2.1svg
Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break
From 192.168.2.1: bytes=32 seq=1 ttl=255 time=16 ms
From 192.168.2.1: bytes=32 seq=2 ttl=255 time=16 ms
From 192.168.2.1: bytes=32 seq=3 ttl=255 time=15 ms
From 192.168.2.1: bytes=32 seq=4 ttl=255 time=16 ms
From 192.168.2.1: bytes=32 seq=5 ttl=255 time=16 msoop— 192.168.2.1 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 15/15/16 ms学习
静态路由
目标是为了使PC1能ping通PC2ui
每一个接口和主机都设好IP以后,R1中只有自身两个接口和PC1的IP段,没有其它网段了,因此就没法到达PC2,要使两个PC能通,就得在每一个路由器上指定某个目标网络的下一条地址(接口),这样每次都能在下一跳的路由器上寻找到目标主机的方向,双向都配置才能有去有回
# ip route-static 目标网段 目标网段掩码 下一跳地址 [R1]ip route-static 192.168.3.0 255.255.255.0 10.0.13.3 # R3要配置两个方向的静态路由,不然只能单向传递 [R3]ip route-static 192.168.3.0 255.255.255.0 192.168.1.2 [R3]ip route-static 192.168.2.0 255.255.255.0 10.0.13.1 [R2]ip route-static 192.168.2.0 255.255.255.0 192.168.1.1
RIP协议
使R1和R2之间能ping通,下面只配置R3,R1和R2的配置与R2相似,都是只加自身接口的网段
[R3]rip [R3-rip-1]version 2 # 使用第2版本的 [R3-rip-1]network 192.168.1.0 [R3-rip-1]network 10.0.0.0 # [R3-rip-1]undo summary # 关闭自动汇总 [R3]display rip # 查看rip协议信息
注意:添加的网络地址使用的是默认的五类地址,如172.18.10.0/24也要写成172.16.0.0,192.168.43.1/24写成192.168.0.0,
不能将10.0.13.0/24写成10.0.13.0
OSPF协议
ospf协议比rip协议稳定,收敛速度快,且容易管理.在OSPF单区域中,每台路由器都要收集其余全部路由器的链路状态信息,若是网路规模不断扩大,链路状态信息也会随之不断的增多,这将使得单台路由器上链路状态数据库很是庞大,致使路由器负担加剧,也不便于维护管理。为了解决上述问题,OSPF协议能够将整个自治系统划分为不一样的区域(Area)。下面配置多区域的OSPF,1.0和2.0网段在区域0,3.0和4.0在区域1,最后实现PC1能ping通PC2
# 假设每一个接口和主机都配置好了IP # ospf 进程 [R1]ospf 1 [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255 [R2]ospf 1 [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]quit [R2]ospf 1 [R2-ospf-1]area 1 [R2-ospf-1-area-0.0.0.1]network 192.168.3.0 0.0.0.255 [R3]ospf 1 [R3-ospf-1]area 1 [R3-ospf-1-area-0.0.0.1]ne [R3-ospf-1-area-0.0.0.1]network 192.168.3.0 0.0.0.255 [R3-ospf-1-area-0.0.0.1]network 192.168.4.0 0.0.0.255
DHCP基本服务
AR4配置DHCP服务,使PC3能自动获取IP,地址池分为接口地址池(interface)和全局地址池(global),接口地址池的优先级比全局地址池的优先级高
使用全局地址池的方式配置DHCP服务
# 为路由器接口分配IP [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 24 [Huawei-GigabitEthernet0/0/0]quit # 开启DHCP服务 [Huawei]dhcp enable # 定义一个IP池,名字叫作zhongxiaohang [Huawei]ip pool zhongxiaohang # 设置网段和子网掩码 [Huawei-ip-pool-zhongxiaohang]network 192.168.1.0 mask 24 # 设置网关 [Huawei-ip-pool-zhongxiaohang]gateway-list 192.168.1.1 # 设置DNS服务器地址 [Huawei-ip-pool-zhongxiaohang]dns-list 8.8.8.8 # 设置保留地址,能够是具体一个ip,也能够是范围的ip [Huawei-ip-pool-zhongxiaohang]excluded-ip-address 192.168.1.5 192.168.1.20 # 设置租期,三天后就过时,以后就得从新获取 [Huawei-ip-pool-zhongxiaohang]lease day 3 [Huawei-ip-pool-zhongxiaohang]quit [Huawei]int g0/0/0 # 指定接口采用全局地址池为客户端分配IP地址 [Huawei-GigabitEthernet0/0/0]dhcp select global
若一个路由器接上多个端口,并要为各个端口下的主机分配IP,要在每一个端口都配上采用全局地址
下面使用接口地址池的方式配置DHCP服务
[Huawei]int g0/0/0 # 指定接口采用接口地址池为客户端分配IP地址 [Huawei-GigabitEthernet0/0/0]dhcp select interface [Huawei-ip-pool-zhongxiaohang]dhcp server dns-list 8.8.8.8 [Huawei-ip-pool-zhongxiaohang]dhcp server excluded-ip-address 192.168.1.5 192.168.1.20 [Huawei-GigabitEthernet0/0/0]dhcp server lease day 3
获取的IP地址和接口是同一个网段
PC3点击基础配置中IPv4配置的DHCP以后,点右下角的应用,再在命令行中敲ipconfig命令就能够看到有IP地址了
DHCP中继配置
R7做为DHCP服务器,为三台PC提供IP地址
# 假设路由器的各个接口都配置好了IP,也配置了路由协议(ospf或rip)使R5能ping通R7 # R7开启基本的DHCP服务和配置地址池 [R7]dhcp enable [R7]ip pool zhongxiaohang [R7-ip-pool-zhongxiaohang]gateway-list 192.168.1.1 [R7-ip-pool-zhongxiaohang]network 192.168.1.0 mask 255.255.255. [R7-ip-pool-zhongxiaohang]dns-list 8.8.8.8 [R7-ip-pool-zhongxiaohang]excluded-ip-address 192.168.1.120 192.168.1.254 [R7-ip-pool-zhongxiaohang]quit [R7]int g0/0/0 [R7-GigabitEthernet0/0/0]dhcp select global # 开启dhcp服务 [R5]dhcp enable # 中继设备配置dhcp组 [R5]dhcp server group zhong # 组中添加dhcp服务器的地址 [R5-dhcp-server-group-zhong]dhcp-server 192.168.3.2 [R5-dhcp-server-group-zhong]quit # 打开链接本地的接口 [R5]int g0/0/0 # 启动dhcp中继 [R5-GigabitEthernet0/0/0]dhcp select relay # 映射该中继到dhcp组 [R5-GigabitEthernet0/0/0]dhcp relay server-select zhong
ACL访问控制列表
| 分类 | 编号范围 | 参数 |
|---|---|---|
| 标准ACL | 2000~2999 | 源IP地址等 |
| 扩展ACL | 3000~3999 | 源IP地址、目的IP地址、源端口、目的端口等 |
| 二层ACL | 4000~4999 | 源MAC地址、目的MAC地址、以太帧协议类型等 |
标准ACL
[AR1]acl 2000 # 拒绝网段,注意这里的0.0.0.255不是反掩码,0表明不可变,1表明可变 [AR1-acl-basic-2000]rule 5 deny source 192.168.1.0 0.0.0.255 # 容许网段,rule能够加步长,也能够不加,不加默认步长增加为5 [AR1-acl-basic-2000]rule 10 permit source 192.168.2.0 0.0.0.255 [AR1]int g0/0/0 # 将该控制列表应用到该接口,应用方式为outbound [AR1-GigabitEthernet 0/0/0]traffic-filter outbound acl 2000 # 查看应用到接口的配置是否成功 [AR1]display acl 2000
扩展ACL
[AR1-acl-adv-3000]acl 3000 # 拒绝某个网段访问某个具体IP [AR1-acl-adv-3000]rule deny tcp source 192.168.2.0 0.0.0.255 destination 59.42.106.13 0.0.0.0 # 拒绝某个网段访问某个IP的21端口 [AR1-acl-adv-3000]rule deny tcp source 192.168.2.0 0.0.0.255 destination 59.4 2.106.14 0.0.0.0 destination-port eq 21 [AR1-acl-adv-3000]quit [AR1]int g0/0/0 # 将该控制列表应用到该接口,应用方式为outbound [AR1-GigabitEthernet 0/0/0]traffic-filter outbound acl 3000 # 查看应用到接口的配置是否成功 [AR1]display acl 3000
静态NAT
为下面的接口配置了IP,配置动态路由协议时不加192.168.1.0网段,此时PC1 ping 不通PC3,为PC1映射一个公网地址,以后就能够ping通PC3了
# 配置动态路由协议只加外部端口的网段 [AR1]rip [AR1-rip-1]version 2 [AR1-rip-1]network 59.0.0.0 [AR1-rip-1]quit # 进入链接外网的接口配置地址映射 [AR1]int g0/0/1 [AR1-GigabitEthernet0/0/1]nat static global 59.42.106.13 inside 192.168.1.2 [AR1-GigabitEthernet0/0/1]nat static global 59.42.106.14 inside 192.168.1.3 # 查看是否配置成功 [AR1]display nat static
动态NAT
拓扑图和静态nat的拓扑图一致,目标也一致
# 配置动态路由协议只加外部端口的网段 [AR1]rip [AR1-rip-1]version 2 [AR1-rip-1]network 59.0.0.0 [AR1-rip-1]quit # 建立地址池 [AR1]nat address-group 1 59.42.106.13 59.42.106.15 # 建立标准访问控制列表 [AR1-acl-basic-2001]rule 5 permit source 192.168.1.0 0.0.0.255 [AR1-acl-basic-2001]quit [AR1]int g0/0/1 # 将标准访问控制列表和地址池造成映射 [AR1-GigabitEthernet0/0/1]nat outbound 2001 address-group 1 no-pat # 查看是否配置成功 [AR1]display nat address-group 1
VLAN配置
各主机和所属VLAN的状况以下,要实现各vlan之间隔离,只能ping同一个vlan中的主机
# 建立vlan 2和3 [LSW1]vlan 2 [LSW1-vlan2]vlan 3 [LSW1-vlan3]quit # 查看vlan信息 [LSW1]display vlan # 设置交换机链接PC的口的工做方式为access,并设定所属VLAN [LSW1]int e0/0/1 [LSW1-Ethernet0/0/1]port link-type access # 将端口加入valn2 [LSW1-Ethernet0/0/1]port default vlan 2 [LSW1-Ethernet0/0/1]quit [LSW1]int e0/0/2 [LSW1-Ethernet0/0/2]port link-type access [LSW1-Ethernet0/0/2]port default vlan 3 [LSW1-Ethernet0/0/2]quit # 两台交换机相互链接的接口的工做方式为trunk,并设置容许经过的多个VLAN [LSW1]int e0/0/11 [LSW1-Ethernet0/0/11]port link-type trunk [LSW1-Ethernet0/0/11]port trunk allow-pass vlan 2 [LSW1-Ethernet0/0/11]port trunk allow-pass vlan 3 [LSW2]vlan 2 [LSW2-vlan2]vlan 3 [LSW2-vlan3]quit [LSW2]int e0/0/1 [LSW2-Ethernet0/0/1]port link-type access [LSW2-Ethernet0/0/1]port default vlan 3 [LSW2-Ethernet0/0/1]quit [LSW2]int e0/0/2 [LSW2-Ethernet0/0/2]port link-type access [LSW2-Ethernet0/0/2]port default vlan 2 [LSW2-Ethernet0/0/2]quit [LSW2]int e0/0/11 [LSW2-Ethernet0/0/11]port link-type trunk [LSW2-Ethernet0/0/11]port trunk allow-pass vlan 2 [LSW2-Ethernet0/0/11]port trunk allow-pass vlan 3
VLAN配置IP
# 批量建立范围vlan 2和3 [LSW1]vlan batch 2 3 [LSW1]interface vlanif 2 [LSW1-Vlanif2]ip address 192.168.1.1 [LSW1-Vlanif2]quit [LSW1]interface vlanif 3 [LSW1-Vlanif3]ip address 192.168.2.1 [LSW1-Vlanif3]quit
FTP服务
首先保证数据可达,如配置了ospf服务,接口IP等
传文件时可使用ftp服务,通常会对日志文件进行备份,能够经过该方式进行备份保存,下面使用两个路由器,一个做为客户端,一个做为服务端,服务端配置FTP服务,客户端无需配置直接链接,FTP服务使用20和21端口,21做为传输控制信息的端口,20做为数据传输的端口
# 开启ftp服务 [Rserver]ftp server enable # 设置ftp服务的根目录 [Rserver]set default ftp-directory flash:/ # 进入aaa视图,AAA认证模式 [Rserver]aaa # 设置用户zhong,密码模式为cipher加密模式,密码12345678 [Rserver-aaa]local-user zhong password cipher 12345678 # 设置该用户的服务类型为ftp服务 [Rserver-aaa]local-user zhong service-type ftp # 设置该用户的ftp服务的访问目录为 flash:/ [Rserver-aaa]local-user zhong ftp-directory flash:/ # 设置该用户的最大链接数 [Rserver-aaa]local-user zhong access-limit 200 # 设置该用户无操做时的超时时间 [Rserver-aaa]local-user zhong idle-timeout 0 0 # 设置访问级别,3为管理员权限 [Rserver-aaa]local-user zhong privilege level 3
# 客户端链接,链接服务器地址 [Rclient]ftp 192.168.1.1 # 输入用户名:zhong # 输入密码(无回显):12345678 # 以后能够对目录下的文件操做,如拷贝get\上传put # 列出该目录下的文件 [Rclient-ftp]dir
telnet服务
首先保证数据可达,如配置了ospf服务,接口IP等
配置了该服务的路由器以后,远程主机能够远程对路由器进行链接管理配置,链接可使用物理接口,也可使用虚拟逻辑接口loopback,下面使用的都是接口的方式
下面使用vty的方式登录
# 设置最大为5个用户 [Rserver]user-interface vty 0 4 # 设置密码的加密方式为cipher,密码为12345678 [Rserver-ui-vty0-4]set authentication password cipher 12345678
# 链接服务器的地址 [R1]telnet 192.168.1.2 # 输入密码以后 #成功登录到服务器 <Rserver> # 退出 <Rserver>quit
下面使用AAA认证模式配置telnet服务
[Rserver]aaa [Rserver-aaa]local-user zhong password cipher 12345678 [Rserver-aaa]local-user zhong service-type telnet [Rserver-aaa]local-user zhong privilege level 3 [Rserver-aaa]quit [Rserver]user-interface vty 0 4 # 设置认证方式 [Rserver-ui-vty0-4]authentication-mode aaa [Rserver-ui-vty0-4]quit
# 链接服务器的地址 [R1]telnet 192.168.1.2 # 输入帐号:zhong # 输入密码(无回显):12345678 #成功登录到服务器 <Rserver> # 退出 <Rserver>quit
链路聚合
使用三层模型时,核心交换机的一个接口的带宽速率有限,通常状况下能够买更好的硬件和更好的线路来提高网络的带宽,可是这样要付出高额的费用,且不灵活。可使用链路聚合技术提升带宽,在两个设备链接时,可使用多个实际物理接口相链接,而后配置这几个接口聚合为一个逻辑接口,这样数据传输时就能够同时使用这几个物理接口,速率等于几个接口的速率之总和。
链路聚合模式有两种,手工负载分担模式、LACP模式
- 手工负载分担模式:多个接口合并为一个逻辑接口,都承担数据传输。某个接口挂掉,剩下的接口平均分担
- LACP模式:最多n-1个接口和并为一个逻辑接口,承担数据传输,剩下的一个或多个接口做为备份接口,若某一个接口down掉了,该接口就能够开始数据传输工做。提升了可靠性
注意:配置链路聚合(Eth-Trunk)时,成员接口两端相链接的物理接口的数量、速率、双工方式、流控方式必须一致
Eht-Trunk的配置有两种,二层链路(默认)和三层链路
- 二层链路:建立eth-trunk以后,在该模式下直接添加端口做为成员端口
- 三层链路:建立eth-trunk以后,使用
undo portswitch命令将二层链路装变为三层链路,在该模式下直接添加ip地址最为成员端口(如ip add 192.168.1.2),退出该模式后,进入某个接口,使用命令eth-trunk 1将该接口加入到eth-trunk1下面
使用手工负载分担模式配置
# 建立,编号为1 [LSW1]interface Eth-Trunk 1 # 添加接口 [LSW1-Eth-Trunk1]trunkport e0/0/1 [LSW1-Eth-Trunk1]trunkport e0/0/2 [LSW1-Eth-Trunk1]trunkport e0/0/3 [LSW1-Eth-Trunk1]quit # 查看是否配置成功 [LSW1]display interface Eth-Trunk 1
使用LACP模式配置
[LSW1]interface Eth-Trunk 2 [LSW1-Eth-Trunk2]mode lacp-static [LSW1-Eth-Trunk2]trunkport e0/0/1 [LSW1-Eth-Trunk2]trunkport e0/0/2 [LSW1-Eth-Trunk2]trunkport e0/0/3 [LSW1-Eth-Trunk2]quit # 设置优先级,数字越小优先级就越高。优先级高的做为主动方,主动方可决定哪些接口处于活动状态 [LSW1]lacp priority 100 [LSW1]interface Eth-Trunk 2 # 设置最大的链路数量为2,剩下的一个就能够做为备份链路 [LSW1-Eth-Trunk2]max active-linknumber 2 [LSW1-Eth-Trunk2]quit # 查看是否配置成功,这里会看到都是down的,由于LSW2还没配置 [LSW1]display interface Eth-Trunk 1
# LSW2的配置和LSW的配置同样,再查看时各接口就都up状态了