图片失效,完整配置示例,见文档:华为ensp配置示例,含配置操作文档word及能在ensp软件上运行的配置示例.zip
目录
1.2.2如是动态dhcp则电脑不需要设置ip,可以在三层交换机上设置dhcp服务(或者使用路由器的dhcp)
(1)电脑终端与交换机之间的链接
1.1电脑终端连接电脑终端
1.1.1单网卡设备相连
如是单网卡电脑设备,直接设置相同网络段ip 即可实现互联,(可以不设置网关地址)
1.1.2多网卡设备相连
如是多网卡设备,网卡不直接相连,则需要配置路由策略,可以设置静态路由,或者配置动态路由策略。(动态ip配置,需要dhcp服务,见路由器动态策略设置)
1.2电脑连接交换机
1.2.1如是静态ip,则手动设置电脑ip、掩码、网关
- 设置电脑ip
- 配置交换机
<Huawei>sys
[Huawei]vlan 30
[Huawei]int g0/0/4
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 30
[Huawei-GigabitEthernet0/0/4]q
[Huawei]int Vlanif 30 #三层交换机,设置虚拟接口地址,进行联通性测试
[Huawei-Vlanif30]ip address 192.168.3.254 255.255.255.0
- 进行连通性测试
[Huawei-Vlanif30]ping 192.168.3.1
PING 192.168.3.1: 56 data bytes, press CTRL_C to break
Reply from 192.168.3.1: bytes=56 Sequence=1 ttl=128 time=60 ms
Reply from 192.168.3.1: bytes=56 Sequence=2 ttl=128 time=10 ms
1.2.2如是动态dhcp则电脑不需要设置ip,可以在三层交换机上设置dhcp服务(或者使用路由器的dhcp)
- (A)dhcp配置----核心交换机接口地址池配置(接入层交换机》》核心交换机,使用核心交换分配dhcp)
.接入层交换机配置
sysname LSW1
undo info-center enable
vlan batch 10 20
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
interface Ethernet0/0/2
port link-type access
port default vlan 10
interface Ethernet0/0/3
port link-type access
port default vlan 20
- (B).核心交换机配置
sysname LSW2
undo info-center enable
vlan batch 10 20
dhcp enable
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
1.2.3划分vlan,设置交换机端口接入类型
- 单个端口,配置vlan
vlan 10
interface Ethernet0/0/2
port link-type access
port default vlan 10
- 同时创建多个vlan
vlan batch 10 20 30
- 多个端口同时配置vlan
[Huawei]vlan 10
[Huawei-vlan10]q
[Huawei]port-group 10
[Huawei-port-group-10]group-member e0/0/1 to e0/05 将所有成员组号加入到组中
[Huawei-port-group-10]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 10 设置vlan
注:
1、在同一个二层交换机,相同vlan,可以相互访问
2、两个二层交换机连接到汇聚同一个汇聚交换机上,分别在不同交换机上创建同一个vlan,实现相互访问
3、在同一个三层交换上,不同vlan,可以通过配置vlanif,实现互通。因为三层交互机有路由,不同子网间通过路由进行访问
`1.3多个交换机相连(接入层>>汇聚层>>核心层)
1、如都是三层交换机,可以配置port link-type为access,创建vlan和对应vlanif,此时通过路由表,各个交换机可以进行交互访问。(注:需配置回程路由,要包含路由器的回程,和终端所在网络的回程。可以是静态的路由,或配置动态路由)
2、如都是三层交换机,也可以配置端口port link-type 为trunk,连接的端口,需要设置vlan、放行设置的vlan、并配置vlanif(注:需配置回程路由,要包含路由器的回程,和终端所在网络的回程。可以是静态的路由,或者动态路由)
具体配置见《交换机访问配置.topo》
1.4交换机其他常见配置
1.4.1 mac静态地址绑定
[hexin]int g0/0/3
[hexin-GigabitEthernet0/0/3]port-security enable
[hexin-GigabitEthernet0/0/3]port-security protect-action shutdown
[hexin-GigabitEthernet0/0/3]port-security mac-address sticky
[hexin-GigabitEthernet0/0/3]q
将mac绑定到指定端口(ip 限制没有起到作用,联通后可以更换ip)
[hexin]user-bind static ip-address 192.168.60.2 mac-address 5489-98DB-09FF interface GigabitEthernet 0/0/3
注:
Mac地址,5489-98DB-09FF是原来是 54-89-98-DB-09-FF,配置在交换机上,需要做处理,去掉第1和最后一个横杆
1.4.2 vlan划分
批量vlan创建vlan batch 10 20
单个vlan 10
1.4.3链路聚合与负载
参见以太网链路聚合——ensp_ensp链路聚合_计网2班-冯志远的博客-优快云博客
- 手工模式:
交换机1配置
[Huawei]sysname sw1
[sw1]int Eth-Trunk 1
[sw1-Eth-Trunk1]trunkport e 0/0/1 to 0/0/3
[sw1-Eth-Trunk1]q
[sw1]dis eth-trunk
交换机2配置
[Huawei]sysname sw2
[sw2]int Eth-Trunk 1
[sw2-Eth-Trunk1]trunkport e 0/0/1 to 0/0/3
测试,断开换机1和交换2中间其中一条链接,立马可能ping不通,但是过一会,再访问,发现可以访问。(链路恢复要1分钟左右?)
- Lacp模式:
交换机3
[Huawei]sysname sw3
[sw3]int eth
[sw3]int Eth-Trunk 1
[sw3]mode lacp-static 设置lacp模式
[sw3-Eth-Trunk1]trunkport g 0/0/1 to 0/0/3
[sw2-Eth-Trunk1]least active-linknumber 2 最小活动连接数目
[sw2-Eth-Trunk1]max active-linknumber 2 最大活动连接数目
[sw3-Eth-Trunk1]lacp preempt enable 开启LACP抢占功能
[sw3-Eth-Trunk1]lacp preempt delay 10
[sw3] lacp priority 3000 将SW3作为LACP主动端
[sw3-Eth-Trunk1]int g0/0/1
[sw3-GigabitEthernet0/0/1]lacp priority 4000 将 g0/0/1作为备用端口
交换机4
[Huawei]sysname sw4
[sw4]int Eth-Trunk 1
[sw4]mode lacp-static 设置lacp模式
[sw4-Eth-Trunk1]trunkport g 0/0/1 to 0/0/3
[sw4-Eth-Trunk1]least active-linknumber 2
[sw4-Eth-Trunk1]max active-linknumber 2
[sw4-Eth-Trunk1]lacp preempt enable
[sw4-Eth-Trunk1]lacp preempt delay 10
[sw4-GigabitEthernet0/0/1]lacp priority 4000 将 g0/0/1作为备用端口
进入相应端口,关闭一个端口是,可以发现端口已切换,关闭两个端口是,不满足设定条件,则链路不通
Display eth-trunk 1查看聚合链路配置情况
1.4.4端口管理(端口组设置、端口隔离)
创建端口组,设置组内隔离,隔离组内的成员不可以通讯
(但创建了vlan对应的vlanif,并设置组员后,则产生了路由表记录 ,同一个网段不可以通讯,不同网段通过路由可以通讯,可以通过设置port-isolate mode all隔离三层模式,进行所有隔离)
- 端口组设置
[Huawei]vlan 10
[Huawei-vlan10]q
[Huawei]port-group 10
[Huawei-port-group-10]group-member e0/0/1 to e0/05 将所有成员组号加入到组中
[Huawei-port-group-10]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 10 设置vlan
- 端口隔离
[Huawei-port-group-10]port-isolate enable group 50 设置组内隔离,各个组员将不可以访问
port-isolate mode all
display port-isolate group 50 查看设置的隔离组成员
1.4.5其他常用命令
- 一清除当前端口配置
sys
Int g0/0/0 进入端口
Undo shutdown 重启端口(如需关闭端口,直接执行shutdown)
Quit
Save 保存配置当前端口操作配置
Save all保存所有配置
- 二、清除整个交换机或路由器配置的命令
需要在用户视图下执行reset saved-configuration命令
Reboot重启
- 关闭信息中心输出
undo info-center enable
- 清空端口配置信息
clear configuration interface g0/0/1
这样可以重新设置port link-type,从access修改为trunk
int g0/0/1 重新进入端口
port link-type trunk
undo shutdown重启端口
(2)交换机连接路由器
2.1交换机直接连接路由器
将交换机直接连接路由器后,配置路由器接口ip地址,配置pc电脑ip地址在同一个网段,则路由器和电脑可以直接通讯。
即交换机上,无需配置,配置路由,电脑ip即可访问。
2.2两个交换机级联后,再连接路由器
交换机级联后,再连接路由器,设置方法与单个交换机直接连接路由器相同。原理是交换机相当于一根网线,设置设备在同一个网络号段,设备间即可实现通讯。
即两个交换机都无需配置,配置路由器接口ip地址 电脑ip地址即可访问。
2.3两个交换机级联后,再连接两个级联路由器
配置方式与与交换级联相同,不过需要在两个路由器间配置回程路由。
- 路由器1的配置
[Huawei]sysname r1
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip address 192.168.30.254 24
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ip address 192.168.20.254 24
[r1]ip route-static 192.168.10.0 24 192.168.30.10
[r1]ping 192.168.10.10
PING 192.168.10.10: 56 data bytes, press CTRL_C to break
Reply from 192.168.10.10: bytes=56 Sequence=1 ttl=127 time=50 ms
Reply from 192.168.10.10: bytes=56 Sequence=2 ttl=127 time=70 ms
- 路由器2配置
[Huawei]sys r2
[r2]int g0/0/1
[r2-GigabitEthernet0/0/1]ip ad
[r2-GigabitEthernet0/0/1]ip address 192.168.10.254 24
[r2-GigabitEthernet0/0/1]q
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip ad
[r2-GigabitEthernet0/0/0]ip address 192.168.30.10 24
[r2]ip route-static 192.168.20.0 24 192.168.30.254 设置回程路由
[r2]ping 192.168.20.10
PING 192.168.20.10: 56 data bytes, press CTRL_C to break
Request time out
Reply from 192.168.20.10: bytes=56 Sequence=2 ttl=127 time=50 ms
2.4路由器常见配置
2.4.1路由器静态路由配置
[r1] display ip routing-table 查看路由器路由表的指令
[r1] ip route-static 192.168.3.0 24 192.168.2.2 目标网段 下一跳
[r1] display ip routing-table protocol static 查看路由表中通过静态写的路由
[r1] undo ip route-static 192.168.3.0 255.255.255.0 192.168.2.2 —删除静态路由指令
2.4.2路由器dhcp分配ip
参见:【ENSP配置】DHCP三种模式(全局地址池、接口地址池、中继)
https://blog.youkuaiyun.com/hongmo2020/article/details/131317342
1、配置dhcp服务(全局地址池方式)(路由器-交换-pc连接,使用全局地址池,根据接口网关地址和地址池自动关联接口进行分配)
[Huawei]int g0/0/0 进入要设置的接口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.10.1 24 设置网关地址
[Huawei-GigabitEthernet0/0/0]q
[Huawei]dhcp enable 开启dhcp服务
[Huawei]ip pool for10 创建dhcp 服务for10
[Huawei-ip-pool-for10]network 192.168.10.0 mask 255.255.255.0 设置地址段
[Huawei-ip-pool-for10]gateway-list 192.168.10.1
[Huawei-ip-pool-for10]dns-list 114.114.114.114 8.8.8.8
[Huawei-ip-pool-for10]q
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]dhcp select global
如需要配置多个子网络,也是同样的
查看ip pool
ip pool for10
display this
其他
excluded-ip-address 192.168.20.2 192.168.20.100 排除那些不需要分配的ip
lease day 0 hour 12 设定租期
[R2-ip-pool-GlobalPool]static-bind ip-address 10.0.23.3 mac-address 00e0-fc6f-6d1f 静态mac地址绑定
(2)dhcp配置--接口dhcp服务,(接口地址池方式)(路由器-交换-pc连接,使用接口分配dhcp)
<Huawei>system-view //进入系统视图
[Huawei]sysname R1 //修改名称为R1
[R1]undo info-center enable //关闭信息中心功能
[R1]dhcp enable //开启DHCP功能
[R1]interface Ethernet 0/0/0 //进入Ethernet 0/0/0接口
[R1-Ethernet0/0/0]ip address 192.168.10.254 255.255.255.0 //配置接口Ethernet 0/0/0地址
[R1-Ethernet0/0/0]dhcp select interface //DHCP接口地址池模式
[R1-Ethernet0/0/0]dhcp server dns-list 8.8.8.8 //配置DNS服务器
[R1-Ethernet0/0/0]dhcp server excluded-ip-address 192.168.10.1 192.168.10.200 //配置接口地址池中不参与自动分配的IP地址范围
[R1-Ethernet0/0/0]dhcp server lease day 0 hour 12 minute 0 //配置DHCP服务器接口地址池中IP地址的租用有效期限,缺省情况下,IP地址的租期为1天。
(4)刷新arp表
reset arp all
reset arp static
display arp 查看ARP表项
display arp network 192.168.50.0 24 查看指定网段ARP表项
arp expire-time 1800
[HUAWEI-Vlanif100] arp expire-time 1800
display current-configuration | include arp //查看设备上已配置的动态ARP表项的老化时间
(5)dhcp配置----核心交换机接口地址池配置(核心交换机-接入层交换机,使用核心交换分配dhcp)
5.1.接入层交换机LSW5配置
sysname LSW5
undo info-center enable
vlan batch 10 20
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
interface Ethernet0/0/2
port link-type access
port default vlan 10
interface Ethernet0/0/3
port link-type access
port default vlan 20
5.2.核心交换机LSW4配置
sysname LSW4
undo info-center enable
vlan batch 10 20
dhcp enable
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
dhcp select interface
dhcp server dns-list 8.8.8.8
6、DHCP中继配置
当DHCP服务器和客户端不在同一个网段的时候,就需要DHCP中继器,这个中继器起到一个转发的作用。
1.接入层交换机LSW9配置
sysname LSW9
undo info-center enable
vlan batch 100 200
interface Ethernet0/0/2
port link-type access
port default vlan 100
interface Ethernet0/0/3
port link-type access
port default vlan 200
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 200
1.核心交换机LSW8配置(DHCP中继器)
(1)三层交换机LSW8互联vlan配置:
sysname LSW8
undo info-center enable
vlan batch 100 200
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 200
interface Vlanif100
ip address 192.168.100.254 255.255.255.0
interface Vlanif200
ip address 192.168.200.254 255.255.255.0
(2)路由协议配置
vlan 60
interface Vlanif60
ip address 10.3.3.1 255.255.255.0
interface GigabitEthernet0/0/1
port link-type access
port default vlan 60
ospf 1 //OSPF协议,创建进程1
area 0.0.0.0 //区域0
network 192.168.100.0 0.0.0.255
network 192.168.200.0 0.0.0.255
network 10.3.3.0 0.0.0.255
(3)DHCP中继器配置:
dhcp enable
interface Vlanif100
dhcp select relay
dhcp relay server-ip 10.3.3.2
interface Vlanif200
dhcp select relay
dhcp relay server-ip 10.3.3.2
1.路由器R3配置(DHCP服务器)
sysname R3
undo info-center enable
dhcp enable
(1)路由协议配置:
interface GigabitEthernet0/0/1
ip address 10.3.3.2 255.255.255.0
ospf 1
area 0.0.0.0
network 10.3.3.0 0.0.0.255
(2)创建两个地址池
ip pool renshi
gateway-list 192.168.100.254
network 192.168.100.0 mask 255.255.255.0
dns-list 8.8.8.8
ip pool caiwu
gateway-list 192.168.200.254
network 192.168.200.0 mask 255.255.255.0
dns-list 8.8.8.8
interface GigabitEthernet0/0/1
dhcp select global
2.4.3路由器动态路由
2.4.3.1动态路由ospf
OSPF路由协议 OSPF :全称“开放式最短路径优先”协议,Open Shortest Path First。是一种链路状态路由协议,适用于中大型网络。它使用开销(Cost)作为度量参数,每台参与OSPF路由的路由器都会通过Dijkstra算法计算出去往各个远端网段的最优路径(最短径数)。计算出的结果保存在LSDB(Link State Database,链路状态数据库)中,在同一个OSPF域中,同一个区域中的LSDB都是相同的。在OSPF的区域(Area)概念中,每个OSPF域中都有一个骨干区域(Arera 0),并且其他区域都会与Area 0直接相连(否则需要额外配置)。
参见 https://blog.youkuaiyun.com/lu749477932/article/details/131231123
- Ar1路由器配置
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad
[Huawei-GigabitEthernet0/0/0]ip address 192.168.10.254 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 10.10.10.1 24
[Huawei]ospf 1 router-id 0.0.0.1 建立ospf
[Huawei-ospf-1]area 0.0.0.0 设定骨干区域
[Huawei-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 宣告网络
[Huawei-ospf-1-area-0.0.0.0]network 10.10.10.0 0.0.0.255 宣告网络
- Ar2路由器配置
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.10.10.254 24
[Huawei-GigabitEthernet0/0/1]ip address 10.10.20.1 24
[Huawei]ospf 2 router-id 0.0.0.2 设置ospf
[Huawei-ospf-2]area 0.0.0.0 进入区域0
[Huawei-ospf-2-area-0.0.0.0]network 10.10.10.254 0.0.0.255 宣告网络
[Huawei-ospf-2]area 0.0.0.2进入区域2
[Huawei-ospf-2-area-0.0.0.2]network 10.10.20.0 0.0.0.255 宣告网络
- Ar3路由器配置
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.10.20.254 24
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.20.254 24
[Huawei]ospf 2 router-id 0.0.0.3
[Huawei-ospf-2-area-0.0.0.2]network 10.10.20.254 0.0.0.255
[Huawei-ospf-2-area-0.0.0.2]network 192.168.20.254 0.0.0.255
ospf其他常用命令
1、查看邻居信息摘要 dis ospf peer bri
2、查看OSPF路由表 dis ip rout pro ospf
3、查看接口信息摘要 dis ip int bri
2.4.4路由器acl控制
路由器上acl拦截:
- 192.168.1.10和服务器不能互相访问
[Huawei]acl 2000 设置acl
[Huawei-acl-basic-2000]rule deny source 192.168.1.10 0 拦截制定ip和服务器不能相互访问
Huawei-acl-basic-2000]q
[Huawei]int g0/0/0 指定拦截接口
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 调用拦截规则
注:也可以指定ip,如rule deny ip source 192.168.1.10 0 destination 192.168.4.1 0 //拒绝192.168.1.10到达192.168.4.1服务器
- 配置192.168.1.20 ping不通访问服务器,但服务器ping通访问192.168.1.20
Huawei]acl 3001
[Huawei-acl-adv-3001]rule 5 deny icmp source 192.168.4.1 0 destination 192.168.1
.20 0 icmp-type echo-reply禁止服务器响应pc ping包
[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
- 配置客户端不能tcp连接服务器
[Huawei]acl 3002
[Huawei-acl-adv-3002]rule deny tcp source 192.168.1.6 0.0.0.0 destination 192.168.4.1 0.0.0.0 拒绝tcp访问,但是ping icmp可以访问
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3002
2.4.5路由器QOS流量控制
- 路由器1配置
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 172.16.10.1 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]ip route-static 192.168.10.0 24 172.16.10.254 设置静态路由
- 路由器r2配置
<Huawei>sys
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.10.254 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 172.16.10.254 24
[Huawei]acl number 2000 配置访问控制列表
[Huawei-acl-basic-2000]rule permit source 192.168.10.1 0.0.0.255
[Huawei-acl-basic-2000]q
[Huawei]traffic classifier cc 流量分类
[Huawei-classifier-cc]if-match acl 2000 #流量分类,绑定acl列表
[Huawei-classifier-cc]q
[Huawei]traffic behavior cc #配置相关动作behavior
[Huawei-behavior-cc]car cir 2000 #限制2M的带宽
[Huawei]traffic policy cc 配置策略policy
[Huawei-trafficpolicy-cc]classifier cc behavior cc #绑定分类流量和相关动作
[Huawei-trafficpolicy-cc]q
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-policy cc outbound #将策略cc应用到出接口上
[Huawei-GigabitEthernet0/0/0]q
[Huawei]display traffic-policy applied-record
整个设置过程:
建立访问控制表》
流量分类,绑定控制表》
建立流量行为,限制带宽》配置策略》
在策略上,进行流量分类绑定,流量行为》
将策略,应用到指定端口
2.4.6生成树
- Stp已基本弃用
不看
- Rstp快速生成树
https://cloud.tencent.com/developer/article/2295654
eNSP模拟器网络实验:STP基本操作命令及交换实现RSTP实例 - 简书
- Mstp多生成树
https://blog.youkuaiyun.com/Sword_of_despair/article/details/131045506
华为s57300默认开启多生成树
2.4.7 网络地址转换nat转换
访问外网时,我们一般不能在对方路由器上配置回程信息,因此内外ip因缺少回程路由,可能不能和外网互相访问 (可以配置缺省路由,让内外访问外网,但是却不能让外网访问内网)
参见 华为 eNSP 实验-静态NAT、动态NAT、NAT Server配置 - 知乎
配置说明:
在路由器AR1上,配置,将192.168网段地址,通过nat转换后,访问AR2
因为默认情况下,我们不能在AR2 isp供应商上配置回程路由,所以我们在AR1上进行转换配置,有以下方式:
- 1、配置静态 nat
这种方式,外网ip可以通过125.171.0.10与内外电脑互通。
注意需125.171.0.10,已在外网AR2配置。(适用于对方配合调试,如对方企业网管配合,在他的路由器上添加路由)
R1 的配置:
方式1:直接在接口下配置 nat
#
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.252
description Link_Internet
nat static global 125.171.0.10 inside 192.168.30.2 netmask 255.255.255.255
#
方式2:在全局下配置 nat
#
nat static global 125.171.0.10 inside 192.168.30.2 netmask 255.255.255.255
#
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.252
description Link_Internet
nat static enable
#
- 2、配置动态 nat
把 PC1、PC2、PC3 的内网 IP(192.168.10.2、192.168.20.2、192.168.30.2)动态 nat 映射到公网 IP(1.2.3.10-1.2.3.20)。
注意:1.2.3.10-1.2.3.20已在AR2上配置回程路由信息,所以5.5.5.5可以通过转换ip(适用于对方配合调试,如对方企业网管配合,在他的路由器上添加路由)
R1的配置:
#【ar2】acl number 2000
rule 10 permit source 192.168.10.0 0.0.0.255 rule 20 permit source 192.168.20.0 0.0.0.255 rule 30 permit source 192.168.30.0 0.0.0.255 #【ar2】nat address-group 1 1.2.3.10 1.2.3.20
#【ar2】interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.252 description Link_Internet nat outbound 2000 address-group 1 #- 3、配置 Easy IP
假设 R1 的 GigabitEthernet0/0/1 的地址不是固定IP地址(DHCP 动态获取或 PPPoE 拨号获取),此时需要配置Easy IP 。
注意,此种方式,没有使用固定ip 125.171.0.10所以只能内网访问外网,外网无法访问内网。
3.1 新增配置
修改 R1 的配置:
[R1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 [R1-GigabitEthernet0/0/1]nat outbound 2000- 4、配置 NAT Server
注意,此种方式可以指定ip 125.171.0.10 并指定访问端口,可以试下内外互相访问指定端口。(适用于对方配合调试,如对方企业网管配合,在他的路由器上添加路由地址125.171.0.10,有回程路由才可以互相访问)
R1 的配置:
#interface GigabitEthernet0/0/1 ip address 1.1.1.1 255.255.255.252 description Link_Internet nat server protocol tcp global 125.171.0.10 www inside 192.168.30.100 www#指定开放端口方式的命令行,如下:
nat server protocol tcp global 125.171.0.10 8080 inside 192.168.30.10 80
2.4.8 路由隔离
1、在同一个路由表的路由,可以相互通讯
2、可以在路由器可以,新建路由表,与主路由表区分开,子路由表上的信息,如不在主路由表上,则不可以相互访问
单臂路由:(一个接口进行复用,创建多个逻辑子接口,只有物理接口可以开关,逻辑接口不能单独开关)
2.1 设置vlan 10(即对应交换机上的vlan 10)的配置信息,如下
int g0/0/0.10 设置子接口
ip address 100.1.1.254 24 配置接口路由ip
dot1q termination vid 10 剥离从交换机传过来的vlan 10标签
arp broadcast enable开启arp广播
2.2 设置vlan 20的配置信息,如下
[r1-GigabitEthernet0/0/0.10]int g0/0/0.20
[r1-GigabitEthernet0/0/0.20]dot1q termination vid 20
[r1-GigabitEthernet0/0/0.20]ip address 100.2.2.254 24
[r1-GigabitEthernet0/0/0.20]arp broadcast enable
2.3 路由隔离
[r1]ip vpn-instance server 创建子vpn路由表
[r1-vpn-instance-server]route-distinguisher 10:10 设置隔离vlan 10
[r1-vpn-instance-server]int g0/0/0.10 进入10接口
[r1-GigabitEthernet0/0/0.10]ip binding vpn-instance server 绑定vpn-instance
[r1-GigabitEthernet0/0/0.10]ip address 100.1.1.254 24 重新设定ip
[r1-GigabitEthernet0/0/0.10]display ip routing-table vpn-instance sever 查看配置的路由表
2.4.9给路由器配置dns
给路由器设置dns
[R1]dns resolve
[R1]dns server 114.114.114.114
设置NAT,使 PC1 可以上网
[R1]acl 2000[R1-acl-basic-2000]rule 5 permit source 192.168.10.0 0.0.0.255[R1-acl-basic-2000]int g0/0/0[R1-GigabitEthernet0/0/0]nat outbound 2000[R1-GigabitEthernet0/0/0]quit设置默认静态路由
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.137.1(3)路由器连接防火墙
3.1、本地电脑连接防火墙
- 通过网卡桥接方式
默认账户admin
默认密码 Admin@123 修改后,为huawei@123
<USG6000V1>sys #进入系统视图
[USG6000V1]sys NGFW #配置设备名称
[NGFW]dis ip int brief #显示虚拟接口对应的IP地址与使用状态
[NGFW]int g0/0/0 #进入端口GE0/0/0
[NGFW-GigabitEthernet0/0/0]ip add 192.168.1.53 24 #端口出配置IP地址
[NGFW-GigabitEthernet0/0/0]service-manage all permit #开启服务器管理员权限
[NGFW-GigabitEthernet0/0/0]dis ip int brief
3.2、防火墙连接配置示例(可连互联网)
参见https://codeantenna.com/a/Quv8z1PnqI
路由器上外网,参见 eNSP 桥接本地网卡连接外网_ensp怎么连接外网_Tom Ma.的博客-优快云博客
- 交换机,无需配置接口地址,无需配置vlan
- 防火墙配置
- 配置接口地址,与路由器配置接口地址方式一致,略过
- 配置默认路由
[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 64.1.1.10 #配置去往外网的默认路由(缺省路由)。
- 配置各个接口的 信任区域
配置安全域:
[FW1]firewall zone trust #进入信任域。
[FW1-zone-trust]add in g1/0/1 #添加内网接口。
[FW1]firewall zone untrust #进入非信任域。
[FW1-zone-untrust]add interface g1/0/3 #添加外网接口。
[FW1]firewall zone dmz #进入服务器区域。
[FW1-zone-dmz]add in g1/0/2 #添加接口。
- 信任区到外网区域安全策略(配置内网到外网的安全策略)
配置安全策略:
[FW1]security-policy #进入安全策略的配置。
[FW1-policy-security]rule name shangwang #定义策略名称为shangwang。
[FW1-policy-security-rule-shangwang]source-zone trust #源区域为内网区域。
[FW1-policy-security-rule-shangwang]destination-zone untrust #目的区域为外网区域。
[FW1-policy-security-rule-shangwang]action permit #动作放行。
- 内网到dmz安全策略(配置服务器安全策略)
[FW1]security-policy #进入安全策略的配置。
[FW1-policy-security]rule name fwq #定义策略名称为fwq。
[FW1-policy-security-rule-fwq]source-zone trust #源区域为内网区域。
[FW1-policy-security-rule-fwq]destination-zone dmz #目的区域为服务器区域。
[FW1-policy-security-rule-fwq]action permit #动作放行。
- 内网到外网nat转换(配置内网到外网ip地址转换nat)
Nat策略:
[FW1]nat-policy #进入nat配置。
[FW1-policy-nat]rule name shangwang #nat策略名称为shangwang。
[FW1-policy-nat-rule-shangwang]source-zone trust #源区域为内网。
[FW1-policy-nat-rule-shangwang]destination-zone untrust #目的区域为外网。
[FW1-policy-nat-rule-shangwang]action source-nat easy-ip #执行地址转换,源ip转换为出接口ip。
- 路由器配置
- 配置默认路由
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
- 配置上网口acl
Acl 2000
rule 10 permit source 6.6.6.0 0.0.0.255
rule 20 permit source 64.1.1.0 0.0.0.255
rule 5 permit source 192.168.10.0 0.0.0.255 #无用,可以删除,因为地址已经被防火墙nat转化了,出口在64.1.1.0
- 配置nat上网接口规则,允许指定ip上网
interface GigabitEthernet0/0/2
ip address 192.168.1.80 255.255.255.0
nat outbound 2000
- 路由器配置dns
dns resolve
dns server 114.114.114.114
3.3、防火墙常见配置
- 添加信任区域
[USG6000V1]firewall zone trust 进入信任区域
[USG6000V1-zone-untrust]add int g1/0/1添加信任端口
将防火墙的GE1/0/1接口加入Untrust 区域
[USG6000V1]firewall zone untrust #进入untrust区域
[USG6000V1-zone-untrust]add int g1/0/1
[USG6000V1-zone-untrust]q
- 添加不信任区域
配置ip_deny的地址集
[USG6000V1]ip address-set ip_deny type object
将不允许通过防火墙的IP地址加入ip_deny的地址集
[USG6000V1-object-address-set-ip_deny]address 192.168.5.2 0
[USG6000V1-object-address-set-ip_deny]address 192.168.5.3 0
[USG6000V1-object-address-set-ip_deny]address 192.168.5.3 0
[USG6000V1-object-address-set-ip_deny]address 192.168.5.6 0
[USG6000V1-object-address-set-ip_deny]q
创建不允许通过防火墙IP转发策略
[USG6000V1]security-policy //安全策略
[USG6000V1-policy-security]rule name policy_deny
[USG6000V1-policy-security-rule-policy_deny]source-address address-set ip_deny
[USG6000V1-policy-security-rule-policy_deny]action deny
[USG6000V1-policy-security-rule-policy_deny]q
创建允许属于192.168.5.0/24这个网段的IP地址通过防火墙的转发策略
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name polity_permit
[USG6000V1-policy-security-rule-polity_permit]source-address 192.168.5.0 24
[USG6000V1-policy-security-rule-polity_permit]action permit
[USG6000V1-policy-security-rule-polity_permit]q
3.4、设备通讯规则
1、两台设备进行通讯,要么在同一个网络号,要么通过三层设备,如路由器、交换机进行转发,才能通讯。
子网汇总后,子网通过修改子网掩码,保持和母网段一致,则子网和母网络,就在同一个网络号,可以直接通讯。
2、路由器协议介绍
https://www.luyouqi.com/shezhi/12986.html
3、二层交换机内,不同vlan不能直接通讯,即使他们的网段号一致
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
