A实验典型实例样稿

fi

一、静态路由配置实例：

试验目标：将拓扑图网络设备和节点，实现网络互通。

1、计划PC和路由器各接口IP地址；

2、配置路由器和PCIP地址，并测试直连路由是否经过：

[R1-GigabitEthernet0/0/0]ipaddress 192.168.1.2 24 //IP地址设置

[R1]displayip routing-table //查询R1路由表蓝色表示辅助指令

[R1]displayip interface brief //查询路由器接口IP设置是否正确

注：其它接口同理！

3、静态路由配置（给路由器添加路由）：

[R2]iproute-static 192.168.1.0 24 12.1.1.1 //静态默认路由配置：在R2路由添加192.168.1.0网络，出

接口是12.1.1.1（R2下一跳）

[R2]undoip route-static 192.168.1.0 24 12.1.1.1 //删除指令

[R3]interfaceLoopBack 0 //进入环回接口环回接口：模拟路由器上其它网络号

[R3-LoopBack0]ipaddress 3.3.3.3 24 //设置环回接口IP地址

4、默认路由配置：

默认路由：不知道往哪里去数据包全部交给默认路由。（不安全、应用在边界路由即连接路由器）

实际环境中会有很多环回接口，若是全部使用静态路由话，那么配置工作量会很大，所以引用默认路由处理该问题。

[R1]iproute-static 0.0.0.0 0.0.0.0 12.1.1.2 //或0.0.0.0012.1.1.2

[R2]iproute-static 0.0.0.0 0 .0.0.0 23.1.1.2

问题：

1、为何要在边界路由器上默认路由?

答：因为企业职员要上网，运行默认路由这台路由器，全部会把不知道往哪里数据包往互联网上扔！

Thecurrent configuration will be written to the device.

Are you sure to continue? (y/n)[n]:y <R2>save//保留路由器配置

Itwill take several minutes to save configuration file, pleasewait.......

Configurationfile had been saved successfully

Note:The configuration file will take effect after being activated

静态路由负载分担

图：静态路由负载分担拓扑图配置地址后，使用静态路由抵达网络号2.2.2.0/24。达成自由选路功效

[R5]iproute-static 2.2.2.0 24 56.1.1.2
[R5]iproute-static 2.2.2.0 24 56.1.2.2
[R5]iproute-static 2.2.2.0 24 56.1.3.2

二、rip动态路由实例

试验目标：经过rip动态路由协议配置，使下图设备全网互通

[R1]rip // 开启rip进程

[R1-rip-1]
[R1-rip-1]network1.0.0.0 //宣告直连主类网络（因为1.1.1.1是A类地址）

[R1-rip-1]network12.0.0.0

[R2]rip
[R2-rip-1]
[R2-rip-1]network2.0.0.0
[R2-rip-1]network23.0.0.0

[R3]rip [R2-rip-1]network12.0.0.0

[R3-rip-1]network3.0.0.0 [R3-rip-1]network 23.0.0.0 [R3-rip-1]

修改成版本RIPv2方法：[R3-rip-1]version2 //注意要将网络中全部运行rip路由器改成统一版本

工作原理：运行rip路由器，每过30秒会把自己完整路由表发送给邻居（相邻路由器），而且发出去

时候以跳数加+1发出去。（收到邻居发来路由表以后，先检验自己路由表假如有就学习，没有就丢弃）

Rip路由协议通常使用在中小型网络，路由器15台以内.

问题：处理路由环路措施？

3、水平分割

4、路由中毒/毒性翻转/路由毒化

5、Rip计时器

（以上方法全部是rip路由协议默认启用）

即使更改成版本2RIPv2能够处理不连续子网问题，不过会使路由表变大。为了提升路由器性能需要进行路由手动汇总！

[R1-GigabitEthernet0/0/0]ripsummary-address 172.16.0.0 255.255.252.0 （掩码需要进行换算）

前提是R1路由器有以下环回接口：

172.16.1.1 172.16.2.1 172.16.3.1 将这三个IP地址换算出子网掩码

RIP支持接口明文验证和密文验证

明文：密码123

密文：

nonstandard 国际标准加密算法。 Usual华为私有加密算法。

三、OSPF动态路由协议

[R1]ospf1 //开启ospf进程，进程号为1，进程号只含有当地意义（即只区分目前R1路由器进程号）

[R1-ospf-1]

[R1]ospf1 router-id 1.1.1.1 //在ospf进程后能够加router-id参数<R1>resetospf process //重启OSPF进程，（手动指定OSPFrouter-id参数后，需要重启router-id）

[R1-ospf-1]area0 //进入区域0，也叫主干区域

[R1-ospf-1-area-0.0.0.0]

[R1-ospf-1-area-0.0.0.0]network1.1.1.1 0.0.0.0 //宣告直连网络（地址）进区域0

[R1-ospf-1-area-0.0.0.0]network12.1.1.0 0.0.0.255 //宣告直连网络进区域0,0.0.0.255是反掩码（匹配

IP地址范围）

R2路由器同理

Router-id:用来标识一台运行OSPF协议路由器，而且该标识使用点分十进制来表示，且几乎全部OSPF报

文中全部会携带router-id.

注意：假如一开始开启OSPF进程，没有配置router-id，那么OSPF路由器会自己选举Router-id.

区域只针对接口

四、端口聚合技术实例

[SW1]interfaceEth-Trunk 1 //创建一个汇聚组

[SW1-Eth-Trunk1]
[SW1-GigabitEthernet0/0/1]eth-trunk1 //将端口GE0/0/1添加进汇聚组eth-trunk1 [SW1-GigabitEthernet0/0/2]eth-trunk1 //将端口GE0/0/2添加进汇聚组eth-trunk1

[SW1-GigabitEthernet0/0/3]eth-trunk1 //将端口GE0/0/3添加进汇聚组eth-trunk1

SW2交换机配置同理
[SW2-GigabitEthernet0/0/3]displaycurrent-configuration //任意模式下检验配置是否成功

修改交换机接口速率

五、VLAN试验配置实例

1、单一VLAN

[SW1]vlan10

[SW1]vlan20 //创建vlan10和vlan20

[SW1-GigabitEthernet0/0/2]portlink-type access //设定该接口类型为access

[SW1-GigabitEthernet0/0/2]portdefault vlan 10 //设定该接口只能经过vlan10标签数据包

SW1-GigabitEthernet0/0/3]portlink-type access //设定该接口类型为access

[SW1-GigabitEthernet0/0/3]portdefault vlan 20 //设定该接口只能经过vlan20标签数据包

[SW1-GigabitEthernet0/0/1]portlink-type trunk //设定该接口类型为trunk[SW1-GigabitEthernet0/0/1]porttrunk allow-pass vlan ? //

INTEGER<1-4094> VLAN ID // 同行vlan标签号

all All // all表示全部VLAN标签

[SW1-GigabitEthernet0/0/1]porttrunk allow-pass vlan all //该接口全部VLAN数据包全部通行

SW2交换机配置同理

2、VLAN间路由配置实例

（单臂路由）

[SW1]vlan10
[SW1]vlan20
[SW1-GigabitEthernet0/0/2]portlink-type access [SW1-GigabitEthernet0/0/2]port default vlan 10

[SW1-GigabitEthernet0/0/3]portlink-type access [SW1-GigabitEthernet0/0/3]port default vlan 20

[SW1-GigabitEthernet0/0/1]portlink-type trunk //该接口类型为trunk

[SW1-GigabitEthernet0/0/1]porttrunk allow-pass vlan all //许可全部VLAN数据包经过

[R1]interfaceGigabitEthernet 0/0/0.? //查询能够设置子接口编号

<1-4096> GigabitEthernet interface subinterface number [R1]interfaceGigabitEthernet 0/0/0.1 //进入路由器子接口

[R1-GigabitEthernet0/0/0.1]dot1qtermination vid 10 //该接口用来识别VLAN10

[R1-GigabitEthernet0/0/0.1]arpbroadcast enable // 打开arp广播

[R1-GigabitEthernet0/0/0.1]ipaddress 192.168.1.2 24 //设置子接口IP地址

[R1-GigabitEthernet0/0/0.2]dot1qtermination vid 20 [R1-GigabitEthernet0/0/0.2]arp broadcast enable
[R1-GigabitEthernet0/0/0.2]ipaddress 192.168.2.2 24

[SW1]vlan10
[SW1]vlan20 //创建vlan10和vlan20

[SW1-GigabitEthernet0/0/1]portlink-type access //设定该接口类型为access

[SW1-GigabitEthernet0/0/1]portdefault vlan 10 //设定该接口只能经过vlan10标签数据包

[SW1-GigabitEthernet0/0/2]portlink-type access //设定该接口类型为access

[SW1-GigabitEthernet0/0/2]portdefault vlan 20 //设定该接口只能经过vlan20标签数据包

[SW1]interfaceVlanif 10 //进入SW1交换机VLAN10接口

[SW1-Vlanif10]ipaddress 192.168.1.2 24 //设定该VLAN接口IP地址

[SW1]interfaceVlanif 20 //进入SW1交换机VLAN10接口

[SW1-Vlanif10]ipaddress 192.168.2.2 24 //设定该VLAN接口IP地址

六、VRRP虚拟路由冗余协议（公有协议）

[R2-GigabitEthernet0/0/1]vrrpvrid 1 virtual-ip 192.168.1.100//虚拟网关配置IP地址和实施OSPF路由协议以后：

[R2-GigabitEthernet0/0/1]vrrpvrid 1 priority 105 //设置R2路由器该接口优先级为105

（使该路由器成为主路由，R3假如优先级低于R2.那么R3则成为从路由）,vrrp路由器默认优先级为100。

[R3-GigabitEthernet0/0/1]vrrpvrid 1 virtual-ip 192.168.1.100 //配置虚拟网关1地址

[R2]displayvrrp //查询VRRP虚拟路由情况

[R2-GigabitEthernet0/0/1]shutdown //关闭路由器接口

[R2-GigabitEthernet0/0/1]undoshutdown /打开路由器接口

[R2-GigabitEthernet0/0/1]vrrpvrid 1 track interface GigabitEthernet 0/0/0 //上行链路跟踪，

一旦接口GE0/0/0出现故障，则路由器优先级会降低10即150-10=95，这么R3就会变成主路由

****************************************************************************************

因为以上配置在正常情况下，会照成从路由器R3资源浪费。所以要配置出两个虚拟网关：
[R3-GigabitEthernet0/0/1]vrrpvrid 2 virtual-ip 192.168.1.200 //配置虚拟网关2地址

[R3-GigabitEthernet0/0/1]vrrpvrid 2 priority 105 //设置优先级为105

[R3-GigabitEthernet0/0/1]vrrpvrid 2 track interface GigabitEthernet 0/0/0 //上行链路跟踪

[R2-GigabitEthernet0/0/1]vrrpvrid 2 virtual-ip 192.168.1.200 //在R2接口设置虚拟网关2地址。

默认优先级为100使R2成为从路由

六、网络安全管理-防火墙基础配置

<Huawei>displaycurrent-configuration \\查询路由器、交换机或防火墙设备配置信息

<FW1>displayfirewall packet-filter default all \\查询防火墙区域间规则

[FW1]displayfirewall session table \\查看防火墙会话表项（临时会话表项）

[FW1]firewallzone trust \\进入trust区域（路由器信任区域）

[FW1-zone-trust]addinterface GigabitEthernet 0/0/2 \\将GE0/0/2接口加入trust区域

[FW1]firewallzone dmz
[FW1-zone-dmz]addinterface GigabitEthernet 0/0/3 \\将GE0/0/3接口加入dmz区域

[FW1]firewallzone untrust
[FW1-zone-untrust]addinterface GigabitEthernet 0/0/1 \\将GE0/0/1接口加入untrust区域

*************************************************************************需求一：许可用户区域能够访问企业服务器区域，而服务器区域不能访问用户区域：

[FW1]firewallpacket-filter default permit interzone dmz trust direction outbound //更改DMZ和trust之间在outbound数据流中为permit

//outbound：优先级高访问优先级低数据流，permit：许可

*****************************************************************************需求二：使用AR1路由器telnet到防火墙(因为模拟器PC不支持telnet功效，所以使用路由器替换)

[FW1]firewallpacket-filter default permit interzone local untrust direction inbound
//更改local和trust之间在inbound数据流中为permit

[FW1-ui-vty0-4]authentication-mode? aaa Authentication use aaa //AAA认证登录[FW1]user-interfacevty 0 4 //开启telnet功效，并同时许可5个用户telnet到该防火墙中

password Authentication use password of user terminal interface //自定义输入密码来登录

[FW1-ui-vty0-4]authentication-modeaaa //使用AAA认证登录，默认账户和密码：adminAdmin@123

根据以上方法已经能够经过路由器telnet到防火墙中,但企业中不提倡使用超级用户，现在需要

设定一个特定账户和密码进行telnet

[FW1-ui-vty0-4]aaa

[FW1-aaa]local-userlewis ?
access-limit Access limit

level Configure user privilege
password String of plain-text password
service-type Service types for authorized users
state Activate/block the user(s)
valid-period Indicate user valid period
-instance Specify a VPN-Instance
[FW1-aaa]local-userlewis password cipher 123 //配置特定telnet账户和密码：lewis 123

域内互访过滤策略

要求：不许可财务部和技术部门之间PC互访

[FW1]policyzone trust //进入trust区域域内访问过滤策略

[FW1-policy-zone-trust-1]policysource 192.168.1.1 0.0.0.0 //源地址source[FW1-policy-zone-trust]policy1 //创建第一个策略

//192.168.1.00.0.0.255 控制网络之间访问

[FW1-policy-zone-trust-1]policy destination 192.168.2.1 0.0.0.0 //目标地址 destination

//192.168.2.00.0.0.255 控制网络之间访问

[FW1-policy-zone-trust-1]actiondeny//该动作策略不许可源地址（或网络）和目标地址（或网络）无法访

问
[FW1-policy-zone-trust-1]actionpermit//该动作策略许可源地址和目标地址互访

域间互访过滤策略

要求：互联网上用户CLIENT1访问到企业服务器CLIENT1
非法理论处理思绪：
1、经过防火墙配置许可untrust区域访问DMZ企业服务器；
2、因为AR1路由器没有172.68.1.0/24网络路由表，所以需要在AR1设置默认路由；
3、因为防火墙FW1没有202.1.1.0/24网络路由表，所以需要在FW1设置默认路由；
实际：不现实！！！因为AR1是互联网上路由器，无法配置，另外现实当中不可能把untrust到DMZ之间流量全部放开；
正确处理措施是：放开untrust到DMZ中ICMP WWW FTP协议包

第一步：创建服务集，并放入服务类型；
[FW1]ipservice-set luyuedeserver type object //创建名为luyuedeserver服务集

[FW1-object-service-set-luyuedeserver]service0 protocol icmp //将第一个服务放入服务集中，服务为：

ICMP

[FW1-object-service-set-luyuedeserver]service1 protocol tcp destination-port 80

//将第二个服务放入服务集中，服务为www即：TCP协议80端口
[FW1-object-service-set-luyuedeserver]service2 protocol tcp destination-port 21

//将第三个服务放入服务集中，服务为FTP即：TCP协议21端口第二步：开启策略
[FW1]policyinterzone untrust dmz inbound

//针对untrust和dmzinbound 数据流区域

[FW1-policy-interzone-dmz-untrust-inbound]policy10 //编写防火墙编号为10策略

[FW1-policy-interzone-dmz-untrust-inbound-10]policyservice service-set luyuedeserver

//将该luyuedeserver服务集放入该区域中（untrust和dmzinbound 数据流区域）

[FW1-policy-interzone-dmz-untrust-inbound-10]policydestination 172.68.1.2 0.0.0.0

[FW1-policy-interzone-dmz-untrust-inbound-10]actionpermit //许可访问//指定访问网络号或主机地址，这里经过反掩码进行正确IP地址匹配.只许可访问172.68.1.2这台server

注意：因为FTP有两个端口21（控制端口）和20（数据端口）所以需要做一下配置[FW1]firewallinterzone dmz untrust //进入dmz和untrust之间区域

[FW1-interzone-dmz-untrust]detectftp //只要是FTP数据包全部放行

[FW1-interzone-dmz-untrust]detect?

activex-blocking Indicate ActiveX blocking

dns Indicate the DNS protocol

ftp Indicate the File Transfer Protocol

h323 Indicate the H.323 protocol

java-blocking Indicate Java blocking

mgcp Indicate the Media Gateway Control Protocol

mms Indicate the MMS protocol

msn Indicate MSN

nat Configure the information about network address and

protocoltranslation from IPv6 clients to IPv4

servers(NAT)

netbios Indicate the NetBIOS protocol

pptp Indicate the Point-to-Point Tunnel Protocol

qq Indicate QQ

sip Indicate the Session Initiation Protocol rtsp Indicate the Real Time Streaming Protocol

user-defined Indicate defined by user sqlnet Indicate the SQL*NET protocol

七、网络安全管理-NAT技术