hcna筆記數(shù)通方向

1、目錄第一章 VRP操作根底1VRP 根底MiniUsb串口連接交換機(jī)的方法2eNSP 入門3命令行根底1 ?eNSP中路由開啟后記住 port 第三方軟件連接該路由方法:用戶視圖文件系統(tǒng)視圖系統(tǒng)sys 接口視圖接口 interface GigabitEthernet 0/0/0協(xié)議視圖路由display hotkey 顯示功能鍵display clock顯示時間clock timezone CST add 8設(shè)置時區(qū)先設(shè)時區(qū)再設(shè)時間clock datetime 設(shè)置時間header login information #?內(nèi)容header shell information登錄前信息登錄后信息

2、格式同上Ctrl+ 能夠退出查看該信息用戶權(quán)限15命令權(quán)限3?為 console 口配置 password : ?user-interface console 0. 進(jìn)入至U相應(yīng)口 ?authentication-mode password；認(rèn)證模式為 passwork?set authentication password cipher huawei ;設(shè)置 password路由器不須要為 vty telnet設(shè)置 password ?user-interface vty 0 4?其他同上user privilege level 3;用戶命令等級3 治理員PS : console 不用dis

3、 history-command;顯示歷史命令為接口配置2個IP地址限路由system-viewHuaweiinterface gigabitethernet 0/0/0Huawei-GigabitEthernet0/0/0interface loopback 0.環(huán)回接口邏輯接口治理網(wǎng)口配置：注意：華為交換機(jī)有單獨的治理網(wǎng)口,不占用機(jī)器配置表中的網(wǎng)口interface MEth0/0/1 令行根底2云配置：udp 入口1綁定vmware 僅主機(jī)網(wǎng)卡出口 2要彳p port映射1 -2雙向2 1雙向display version查看路由器根本信息display interface Gigabi

4、tEthernet 0/0/0查看接口狀態(tài)信息display ip interface brief查看全部接口的IP簡要信息.含IP地址display ip routing-table查看路由表display current-configuration查看當(dāng)前的配置內(nèi)存中display saved-configuration查看保存白配置Flash中dir flash:查看Flash中的文件save保存配置文件reboot重新啟動設(shè)備telnet實驗參照上面命令3A認(rèn)證不同用戶不同password user-interface vty 0 4authentication-mode aaa ;差

5、另1J passworduser privilege level 15aaalocal-user admin password cipher huawei ;建用戶并給 passwordlocal-user admin privilege level 15local-user admin service-type telnet; 類型telnet登錄后使用dis users 可查看當(dāng)前登錄用戶抓包能夠分析出 telnet 的 password "Follow TCP Stream 文件系統(tǒng)根底cd改變文件夾more 查看文件內(nèi)容copy 復(fù)制copy flash:/拷貝根文件夾需加f

6、lash下的配置文件到當(dāng)前文件夾move 移動delete 刪除rename 改名undelete恢復(fù)回收站的文件pwd顯示路徑mkdir 創(chuàng)立文件夾rmdir 刪除文件夾format 格式化fixdisk修復(fù)文件系統(tǒng)save 生成display saved顯示保存配置display cur 顯示當(dāng)前配置設(shè)備復(fù)位reset saved刪除保存配置 + reboot第一次Ncompare configuration比擬配置文件差異刪除/永久刪除文件delete /unreserveddir /all可查看回收站的文件恢復(fù)刪除的文件undelete徹底刪除回收站中的文件reset recycle-

7、bin載入不同的配置文件;更改啟動配置文件dis startup .查看開機(jī)信息,當(dāng)中有載入配置文件的路徑 startup saved-configuration flash:/比擬當(dāng)前配置與下次啟動的配置compare configuration系統(tǒng)治理1路由器做為client :ftp FTPserver地址get下載文件到ftpput 上傳文件到ftpTFTP相關(guān)get 系統(tǒng)治理2第二章靜態(tài)路由路由原理、靜態(tài)路由根本配置路由的來源：直連路由：鏈路層發(fā)現(xiàn)的路由 direct 治理員手工增加：靜態(tài)路由static 路由器協(xié)議學(xué)到的路由：動態(tài)路由(ospf rip )靜態(tài)路由特點：優(yōu)：實現(xiàn)簡單

8、,精確限制,不占資源缺：不適用大型網(wǎng)絡(luò),網(wǎng)絡(luò)變更須要手動改dis ip routing-table ;查看路由表,直連 11條目的 經(jīng)過本路由出口下一跳下一路由入口9 .靜態(tài)路由深入分析優(yōu)先級pre :直連最大 0OSPF靜態(tài)度量值cost ：同一路由下.選擇最小開銷多因素的路徑以上參數(shù).值越小,優(yōu)先級越高匹配原那么：目的地址和路由表的掩碼做與.再比擬路由中的目的地址優(yōu)先挑掩碼大的做匹配下一跳寫法：點對點：能夠省略下一跳；以太網(wǎng)：能夠省略出接口；dis fib ;終于探納的路由表遞歸查tU 帶 R標(biāo)志：經(jīng)過中間屢次查詢.終于到達(dá)目的地址缺省路由：網(wǎng)關(guān) ；目的和子網(wǎng)掩碼都為 0的路由,上互聯(lián)網(wǎng)都

9、有這條10 .負(fù)載分擔(dān)、路由備份雙線路負(fù)載2條線路同一時候工作：平時2條靜態(tài)方向不同的路由表,能夠到達(dá)負(fù)載的作用；浮動路由路由備份,平時僅僅有一條線路工作：通過當(dāng)中一條設(shè)置成低優(yōu)先級增加路由時加 preference 的路由,變成浮動路由表中看不到,出問題才出現(xiàn);查看某一目的路由的具體信息第三章 RIP11 .動態(tài)路由協(xié)議根底常見的動態(tài)路由協(xié)議有：RIP : Routing Information Protocol .路由信息協(xié)議.OSPF : Open Shortest Path First .開放式最短路徑優(yōu)先.ISIS : Intermediate System to Intermedi

10、ate System,中間系統(tǒng)到中間系統(tǒng).BGP : Border Gateway Protocol ,邊界網(wǎng)關(guān)協(xié)議.分類：自治系統(tǒng)內(nèi)部的路由協(xié)議 IGP : RIPv1/v2 、OSPF、ISIS自治系統(tǒng)之間的路由協(xié)議一一EGP: BGP單播,組播不同路由協(xié)議不能直接互相學(xué)習(xí),但能夠通過路由引入來導(dǎo)入不同的協(xié)議簡介及根本配置度量值：跳；最多不能夠超過15跳2個路由學(xué)習(xí)時,更新是一個方向.學(xué)回后的路由指向是相反方向:UDP : 520port 工作在應(yīng)用層RIP 根本配置rip僅僅支持主類網(wǎng)絡(luò)必須寫成rip 1;進(jìn)入相關(guān)進(jìn)程silent-interface GigabitEthernet0/0

11、/0.靜默關(guān)閉某接口發(fā)送第四章 OSPF根本原理及根本配置開放式最短路徑優(yōu)先OSPF 鏈路狀態(tài)路由協(xié)議無環(huán)路 收斂快擴(kuò)展性好支持認(rèn)證OSPF報文封裝在IP報文中,協(xié)議號為 89.OSPF工作原理：路由通過 LSA泛洪收集到路由數(shù)據(jù)庫 LSDB 通過 SPF算法依據(jù)自身算出最短路由交換的不是路由表,而是數(shù)據(jù)庫hello報文建立鄰居關(guān)系鄰接同步數(shù)據(jù)庫,full狀態(tài)OSPF區(qū)域：分區(qū)域為了減小數(shù)據(jù)大小配置方法：ospfarea 0 .進(jìn)入到0區(qū)域代表網(wǎng)段；把該路由器上地址為網(wǎng)段的接口應(yīng)用ospf,有2個方向就要有2個networkdis ospf peer brief ;查看ospf鄰居信息第七章問

12、限制列表35 .根本ACL介紹ACL是用來實現(xiàn)流識別功能的.ACL Access Control List ,可限制列表是定義好的一組規(guī)那么的集合,通經(jīng)常使用于：標(biāo)識感興趣網(wǎng)絡(luò)流量 過濾經(jīng)過路由器的數(shù)據(jù)包分類：根本ACL: 20002999 報文的源IP地址高級ACL: 30003999 報文白源IP地址、目的IP地址、報文優(yōu)先級、IP承載的協(xié)議類型及特性 等三、四層信息配置ACL的過程：實際上就是告訴路由器同意或者拒絕某些數(shù)據(jù)包ACL難點：通配符、語句順序、方向性單臺：同意來自主機(jī)的IP數(shù)據(jù)包通過拒絕自主機(jī)的IP數(shù)據(jù)包通過多臺：同意來自IP地址為10. X . X. X 即IP地址的第一個字

13、節(jié)為 10 的主機(jī)的數(shù)據(jù)包通過.樣例:同意來自的IP數(shù)據(jù)包通過;掩碼位反過來簡單的 0和25.復(fù)雜復(fù)雜寫的話主是相應(yīng)機(jī)器數(shù)32 - 1 = 31特殊的通配符掩碼0關(guān)心位255不關(guān)心位Xsource any =permit某一具體主機(jī)ACL順序匹配：一但匹配成功,后面的列表將不再檢查比擬苛刻的放前面 未命中規(guī)那么一條都不匹配：不同模塊處理不一樣.假設(shè)是轉(zhuǎn)發(fā)模塊.那么轉(zhuǎn)發(fā)數(shù)據(jù)包；假設(shè)是telnet模塊,那么不同意；假設(shè)是路由過濾,不同意路由通過.禁止-思路PS:最后一條,96應(yīng)該是100樣例：acl 2000 rule int gi0/0/0 ; 進(jìn)入相關(guān)接口traffic-filter inbo

14、und acl 2000;應(yīng)用到相關(guān)接口dis acl 2000.查看dis traffic-filter applied-record;查看接口方向應(yīng)用了哪個列表36 .根本ACL應(yīng)用案例禁止 telnet:user-interface vty 0 4; 進(jìn)至U vtyacl 2999 inbound .應(yīng)用到該接口,和物理接口有差異rule primit ; ACL 中加這名是由于, ACL匹配未成功后.telnet模塊.不同意通過數(shù)據(jù)包.a參數(shù).以指定IP源telnet時間限制：time-range work-time 9:0 to 18:00 working-day 6.定義 a wo

15、rk-time 星期一至U六acl 2001rule deny time-range worktime; 上班時間不同意上網(wǎng)rule permit禁止學(xué)習(xí)某路由表；rip 1. 進(jìn)到相關(guān)ripfilter-policy 過濾策略 2000 export ;2000 為定義的 acl . export代表向外公布；import代表我要學(xué)習(xí)自己主動讓匹配寬松的放前面,苛刻的放后面acl 2200 match-order auto37 .高級ACLacl number 3000 ; 高級;同意全部機(jī)器TCP 問目標(biāo)機(jī)器的www效勞;拒絕全部的IP協(xié)議包括icmp 許可traffic-filter i

16、nbound acl 3000;進(jìn)入 port .并應(yīng)用ACL放置位置根本ACL盡可能靠近目的高級ACL盡可能靠近源內(nèi)能夠ping 外,外不能夠 ping 內(nèi)ping 分析：去類型為：echo 回類型為：echo-reply acl number 3000rule 5 deny icmp icmp-type echorule 10 permit iptraffic-filter inbound acl 3000內(nèi)能夠telnet 外,外不能夠telnet 內(nèi)tcp三次握手,第一個包不帶 ack位rule 8 permit tcp tcp-flag ack; 放行帶 ack 的rule 9 de

17、ny tcp ;拒絕不帶 ack 的第八章網(wǎng)絡(luò)地址轉(zhuǎn)換38 .靜態(tài)NAT、動態(tài)NAT靜態(tài)nat和外網(wǎng)地址一一相應(yīng),n -n不能降低公網(wǎng)地址;環(huán)回口配置int lookback 1.要上網(wǎng)的路由需加的路由表靜態(tài)nat配置int gi0/0/1;進(jìn)入外網(wǎng)接口公網(wǎng)IP ,不一定是接口IP特點：發(fā)包源IP地址轉(zhuǎn)換 收包目的IP地址轉(zhuǎn)換dis nat static ; 查看靜態(tài) nat動態(tài)nat配置int gi0/0/1;進(jìn)入外網(wǎng)接口acl 2000 ; 定義acl編號;地址范圍內(nèi)網(wǎng);外網(wǎng)地址范圍nat outbound 2000 address-group 1 no-pat.先內(nèi)后外 no-pat 不

18、彳port 轉(zhuǎn)換特點：100對50僅僅能節(jié)省局部地址dis nat session all ; 顯示 nat 轉(zhuǎn)換情況、NATserverNAPT or PAT port 地址轉(zhuǎn)換：動態(tài)port轉(zhuǎn)換設(shè)置同動態(tài)NATnat outbound 2000 address-group 1;先內(nèi)后外 與動態(tài) NAT 差異:no-patEasy IP 配置家庭使用,沒有固定IPnat outbound 2000;僅僅指定源 IPport映射第一-1一章交換根底、VLAN原理和配置簡單vlan配置vlan 10.創(chuàng)立 valndis vlandis port vlan ; 接口 vlan 狀態(tài)int eth

19、0/0/0port type-link access ; 接 口類型port default vlan 10;配置Accessport 在收到數(shù)據(jù)后會增加 VLAN Tag . VLAN ID 和port的PVID 同樣.Accessport 在轉(zhuǎn)發(fā)數(shù)據(jù)前會移除 VLAN Tag .當(dāng)Trunkport 收到幀時,假設(shè)該幀不包括Tag ,將打上port的PVID ;假設(shè)該幀包括 Tag ,那么不改變.當(dāng)Trunkport 發(fā)送幀時.該幀的VLAN ID在Trunk的同意發(fā)送列表中：假設(shè)與port的PVID trunk2 端pvid必須同樣,默認(rèn)是 1 同樣時.那么剝離 Tag發(fā)送；假設(shè)與por

20、t的PVID不同一時候,那么直接 發(fā)送.vlan batch 10 20 30 ;批量 10 to 30(10 , 11.12.)30配置Trunkint gi0/0/1port link-type trunkport trunk allow-pass vlan all; 同意通過的 vlanport trunk pvid vlan 1;改變 pvid ,默認(rèn)是 1dis port vlan active ;查看trunk接口是否打標(biāo)記,T or UPS:取消 Trunkundo port trunk allow-pass vlan allport trunk allow-pass vlan

21、1port link-type access接口port能夠連不管什么設(shè)備第一-k三章VLAN 間路由、VRRP58 .單臂路由實現(xiàn) VLAN 間路由每一個vlan 一個物理連接一條線交換機(jī)與路由2根線有幾個 VLAN就有幾根線PS :缺點交換機(jī)端：該端配置和客戶port同樣路由端：僅僅需配IP 網(wǎng)關(guān)單臂路由將交換機(jī)和路由器之間的鏈路配置為Trunk鏈路.而且在路由器上創(chuàng)立子接口以支持VLAN路由.交換機(jī)端：配置trunkVLAN端口類型總結(jié)端n鬢型接收幄(IN)發(fā)送苞(OUT)不帶有TAG帶 TiTAGaccess!打上本拿口71.后,接 收檢查該岫所攜帶的MD是 否與接DP* 口相同是：接

22、收否：丟棄剝離TAG后土投送TRUNK打上祟口加力,并峙吉事PVI 口是否為接口允許的VLAN ID是：直接接收否：夫拜檢查讀幢所攜帝的是 否為接口允評的VLAN ID是：且接接收否；丟棄檢查該幀所攜帶的S0是否為接口允許的VLAN ID否二丟棄是；冽檢與諼幢所攜芾的VID 是否馬橫口PVID相同 是利芭TAG后,發(fā)送香-直凄發(fā)法HYBRID4同 TRUNK同TRUNK府古誄帆所攜帶的VID是否為接口允許的VLAN IDS：丟棄是：那么J檢查是否配置錄1離TAG是:剝離TAG后,發(fā)送杳一立堂發(fā)送_A路由器端：RTAinterface GigabitEthernet0/0/;定義子接口RTA-G

23、igabitEthernet0/0/dot1q termination vid 2.分配 VLAN;配置網(wǎng)關(guān)RTA-GigabitEthernet0/0/arp broadcast enable.開啟 ARP 播送59 .三層交換實現(xiàn) VLAN 間路由2層+路由器 路由配虛擬portvlan 和網(wǎng)關(guān) SWAinterface vlanif 2; 2 同相關(guān) VLAN 號;網(wǎng)關(guān)PS :該地址不能在其他 VLAN網(wǎng)段中出現(xiàn)復(fù)雜模式：三層接二層(帶治理)中間設(shè)置成trunk ,三層也要建和二層相關(guān)VLAN.int vlanif 放在三層上.第一十四章交換機(jī)port技術(shù)63鏈路聚合(手工模式) SWA

24、interface Eth-Trunk 1 ISWA-Eth-Trunk1interface GigabitEthernet0/0/1SWA-GigabitEthernet0/0/1eth-trunk 1ISWA-GigabitEthernet0/0/1interface GigabitEthernet0/0/2SWA-GigabitEthernet0/0/2eth-trunk 1 dis eth-trunk 1PS: trunkport下做鏈路聚合方法：先做鏈路聚合,然后在int eth-trunk數(shù)字下做Trunk72.防火墻技術(shù)依照防火墻實現(xiàn)的方式.一般把防火墻分為例如以下幾類：包過濾防火墻：簡單.每一個包都要檢查.缺乏靈活性.策略多影響性能 代理型防火墻：平安,但不方便,針對性強 代理.不通用 狀態(tài)檢測防火墻：基于連接狀態(tài),結(jié)合以上 2種防火墻的長處僅僅防網(wǎng)絡(luò)層和傳輸層.不防應(yīng)用層比方站點漏洞.防外不防內(nèi)；防火墻的平安區(qū)域：Local 100 網(wǎng)網(wǎng)Trust 85 外網(wǎng)DMZ 50WEBserver 高能夠問低,低不能夠問高配置思路配置平安區(qū)域和平安域間.將接口增加平安區(qū)域.配置ACL.在平安域間配置基于ACL的包過濾.1 .在AR2200 上配置平安區(qū)域和平安域間system-