精华内容
下载资源
问答
  • eNSP华为基本配置命令

    万次阅读 多人点赞 2019-08-03 20:35:33
    undo shutdown 启动IP地址(华为交换机默认开启,不需要再次开启) 配置自动退出超时时间: [Huawei]user-interface console 0 进入console唯一端口 [Huaw:ei-ui-console0]idle-timeout 1440设置分钟 防止弹出信息...

    1. 熟悉华为

    • < Huawei > 用户视图
    • < Huawei >system-viem
    • [ Huawei ]系统视图
    • [Huawei]interface Ethernet 0/0/1 进入接口
      在这里插入图片描述
    • [Huawei-thernet 0/0/1] 接口视图
    • quit 返回上一视图
    • ctrl+z 直接返回用户视图
    • 帮助

    ? 获取帮助信息
    TAB补全
    命令简写

    • 切换语言模式(支持中英文两种语言模式Chinese/English)

    • < Huawei> language-mode Chinese
      Change language mode, confirm? [Y/N] y

    • < Huawei > display version 查看VRP系统版本

    • < Huawei > display elabel 查看设备型号

    • [Huawei]sysname switch 修改主机名
      [Switch]

    • 配置明文console 口令:
      [switch]user-interface console 0 进入console 0 唯一端口
      [switch-ui-console0]authentication-mode password 启用密码
      [switch-ui-console0]set authentication password simple 123 设置密码为123
       quit 退出系统视图
       quit 退出用户视图

    • < switch >display current-configuration 查看配置信息

    • 配置密文console 口令:
      [switch]user-interface console 0 进入console 0 唯一端口
      [switch-ui-console0]authentication-mode password 启用密码
      [switch-ui-console0]set authentication password cipher 123 设置密码为123
       Simple 明文
       Cipher 密文

    • 取消密码:
      [Switch-ui-console0]undo set authentication password

    • 配置交换机IP地址
      [Switch]interface Vlanif 1 接口1
      [Switch-Vlanif1]IP address 192.168.1.100 24
      [Switch-Vlanif1]undo shutdown 启动IP地址(华为交换机默认开启,不需要再次开启)

    • 配置自动退出超时时间:
      [Huawei]user-interface console 0 进入console唯一端口
      [Huaw:ei-ui-console0]idle-timeout 1440设置分钟

    • 防止弹出信息干扰命令:
      < Huawei >undo terminal monitor 设置用户视图
      [Huawei]undo info-center enable 设置系统视图

    • 保存配置信息:
      < switch >save

    • 重启:
      < switch >reboot

    • 恢复出厂设置:

    < s1 >reset saved-configuration
    输入y确认恢复出厂
    < s1>reboot
    N 不保存
    Y 确认重启
    在这里插入图片描述

    • 禁用接口与启用接口:
      [Huawei]interface GigabitEthernet 0/0/2 进入端口号
      [Huawei-GigabitEthernet0/0/2]shutdown 禁用0/0/2端口
      [Huawei-GigabitEthernet0/0/2]undo shutdown启用0/0/2端口

    • 什么是路由?

    路由器指的是负责在不同网络之间转发数据的设备,当到达目标的路径很复杂时,由路由器决定最佳路径,路由器也为直连网络的主机充当“网关”角色。

    • 配置路由接口ip地址:
      [Huawei]interface GigabitEthernet 0/0/0 进入端口
      [Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 255.255.255.0 配置ip地址
    • display ip routing-table 查看路由表
      在这里插入图片描述

    • 配置路由器远程管理
      [R1]user-interface vty 0 4定义远程管理终端数量
      [R1-ui-vty0-4]user privilege level 3定义用户级别
      [R1-ui-vty0-4]authentication-mode aaa启用aaa认证
      [R1-ui-vty0-4]aaa进入aaa认证视图
      [R1-aaa]local-user jjj password cipher 123定义远程管理的用户名及密码
      [R1-aaa]local-user jjj service- type telnet定义用Telnet协议远程管理

    • 远程连接
      在这里插入图片描述


    • netstat –nao 查看打开的端口

    2. 虚拟局域网

    • VLAN原理
      –分割广播域,一个vlan就是一个广播域
      –把端口加入不同的vlan

    • VLAN帧格式
      –当数据帧进入交换机时,交换机需要为数据帧加标签
      –交换机对数据帧加标签的方法为ieee802.1q
      –在da和type之间加12bit的标签(4096)
      –当数据帧从交换机发出去前,需要为数据帧去标签

    • pvid:port vlan id 端口所在的vlan的编号
      所有的端口都必须有一个pvid

    • access端口模式
      pc----(access)交换机

    • 特点:
      数据帧进入交换机加标签
      数据帧出去的时候脱标签

    3. vlan基本命令

    • vlan的作用

    分隔广播域,提高网络性能,提高网络安全性。

    • 交换机端口的三种模式:

    access 接入端口 pc–交换机 发送数据帧脱标签(802.1q)
    trunk 中继链路 交换机–交换机 发送数据帧带标签
    (数据帧所在vlan和trunk端口所在vlan相同)
    hybrid 手动模式 任意情况 灵活控制数据帧

    [sw1]vlan 3 [2-4094] //创建一个vlan
    [sw1-vlan3]description sales //为此vlan添加描述(可选)
    [sw1]vlan batch 18 20 28 //创建多个不连续vlan
    [sw1]vlan batch 8 to 16 //创建多个连续的vlan
    [sw1]display vlan //显示vlan信息
    [sw1]undo vlan 3 //删除一个vlan
    [sw1]undo vlan batch 18 20 28 //删除多个不连续vlan
    [sw1]undo vlan batch 8 to 16 //删除多个连续的vlan

    [sw1]display port vlan //显示端口模式和所在vlan

    access 端口模式

    交换机(access) ------- PC
    [sw1]int e0/0/1
    [sw1-Ethernet0/0/1]port link-type access //修改端口模式为access
    [sw1-Ethernet0/0/1]port default vlan 10 //把端口加入vlan

    [sw1]port-group 1 //创建端口组
    [sw1-port-group-1]group-member e0/0/2 to e0/0/8 //添加端口组成员
    [sw1]port-group group-member e0/0/2 to e0/0/8 //添加端口组成员一个意思

    将接口GE0/0/1加入到VLAN 10

    [sw1] vlan 10
    [sw1] port gigabitethernet 0/0/1 (如果是多个连续端口,用XX to XX)
    

    [sw1-port-group-1]port link-type access //修改端口模式为access
    [sw1-port-group-1]port default vlan 10 //把默认端口修改为VLAN10

    trunk端口模式

    交换机(trunk)-------(trunk)交换机
    trunk端口的默认动作:带标签发送数据帧,除非trunk端口所在vlan和数据帧所在vlan相同.

    [sw1]int e0/0/4
    [sw1-Ethernet0/0/4]display this //查看端口配置
    [sw1-Ethernet0/0/4]undo port default vlan //还原端口到默认vlan
    [sw1-Ethernet0/0/4]port link-type trunk
    [sw1-Ethernet0/0/4]port trunk allow-pass vlan 10 20 //允许vlan10,20数据通过
    [sw1-Ethernet0/0/4]port trunk allow-pass vlan all //允许所有vlan通过
    [sw1-Ethernet0/0/4]port trunk pvid vlan 10 //把trunk端口加入vlan10

    hybrid端口模式

    access模式 pc—交换机

    从端口进入交换机 — 加标签
    从交换机端口发出 — 脱标签

    trunk模式 交换机–交换机

    从端口进入交换机 —不脱标签
    从交换机端口发出 —不脱标签

    hybrid模式

    随意控制数据帧加不加标签

    [sw1-Ethernet0/0/1]port link-type hybrid //更改端口为混合模式
    [sw1-Ethernet0/0/1]port hybrid pvid vlan 10 //把hybrid端口加入vlan
    [sw1-Ethernet0/0/1]port hybrid tagged vlan 10 //发送数据帧时为vlan10加标签
    [sw1-Ethernet0/0/2]port hybrid untagged vlan 10 //发送数据帧时为vlan10不加标签

    • 使用hybrid模式模拟trunk效果:

    1.创建vlan:sw1,sw2
    vlan batch 10 20

    2.设置连接pc机的端口:sw1,sw2
    int e0/0/1
    port link-type hybrid
    port hybrid pvid vlan 10
    port hybrid untagged vlan 10
    int e0/0/2
    port link-type hybrid
    port hybrid pvid vlan 20
    port hybrid untagged vlan 20

    3.设置交换机相连的端口:sw1,sw2
    int e0/0/3
    port link-type hybrid
    port hybrid tagged vlan 10 20

    4. 生成树协议 spanning tree protocol

    根网桥 — 根端口 — 指定端口(剩下的端口就是阻塞端口)

    1. 每个广播域中,选择一个根网桥。
    2. 每个非根网桥上,选择一个根端口(有且只有一个)
    3. 每根线上,选择一个指定端口(有且只有一个)

    网桥优先级:0-65535
    缺省值:32768
    步长:4096
    32768/4096=8

    每个广播域中,选择一个根网桥:比小
    网桥ID=网桥优先级+网桥mac地址

    • 此端口到达根网桥的路径成本最低
      1000M=20000M
      100M=200000M

    • 跟此端口直连的交换机的网桥ID最小

    • 端口标识最小
      端口标识=端口优先级+端口号
      端口优先级:
      范围:0-240
      默认值:128
      步长:16
      端口号:e0/0/1 e0/1/0

    1. 选择根网桥
      网桥ID最小(mac地址最小)
    2. 选择根端口(每个非根网桥)
      根网桥路径成本最低
      直连网桥ID最小(比别人)
      端口标识最小
    3. 选择指定端口(每根线)
      根网桥所在端口都是指定端口
      端口所在交换机到根网桥成本最低
      端口所在交换机网桥ID最小(比自己)
      端口标识最小

    < Huawei >display stp brief --查看端口信息
    display stp – 查看开销值

    修改优先级:(越小优先级越高、默认:60)
    ip route-static 0.0.0.0 0 192.168.13.2 preference 61

    cost:开销值
    ALTE:阻塞端口
    ROOT:根端口
    DESI:指定端口
    DISCARDING:丢弃
    FORWARDING:转发

    桥协议数据单:BPDU

    [S1]stp enable|disable --启用或禁用生成树协议
    [S1]stp mode stp | rstp | mstp --更改生成树模式

    stp 普通生成树
    rstp 快速生成树
    mstp 生成树模式(默认模式)

    多生成树 mstp
    为网络生成多个逻辑拓扑,多条路,并指定允许哪些VLAN通过

    1. 配置交换机相连的端口为trunk:s1,s2,s3
      port-group 1
      group-member e0/0/3 e0/0/4
      port link-type trunk
      port trunk allow-pass vlan all
    2. 交换机和pc机相连的端口禁用生成树功能:s1,s2,s3
      quit
      vlan batch 10 20
      port-group 2
      group-member e0/0/1 e0/0/2
      stp disable 关闭生成数协议可能导致网络不通(看情况设置)
      y
    3. 创建VLAN并把相应的接口加入:s1,s2,s3
      quit
      int e0/0/1
      port link-type access
      port default vlan 10
      int e0/0/2
      port link-type access
      port default vlan 20
    4. 配置生成区域,配置两个生成树实例:s1,s2,s3
      quit
      stp region-configuration --进入生成树区域配置
      region-name jjj --设置区域名称
      instance 1 vlan 10 --创建第一条路,允许VLAN10通过
      instance 2 vlan 20 --创建第二条路,允许VLAN20通过
      active region-configuration --激活区域
    5. 指定每条路的根网桥:s1,s2
      quit

    stp instance 1 priority 4096 --设置s2为第一条路的主根
    stp instance 2 priority 8192 --设置s2为第二条路的备根
    stp instance 2 priority 8192 --设置s2为第二条路的备根
    stp instance 1 priority 4096 --设置s2为第一条路的主根

    5. DHCP服务器

    ipconfig /renew --重新获取
    ipconfig /release --手动释放

    配置基于全局模式的DHCP服务器

    1. [R1]dhcp enable --启用DHCP功能
    2. [R1]ip pool kk --创建地址池
      [R1-ip-pool-kk]network 192.168.1.0 mask 24 --指明网段和掩码
      [R1-ip-pool-kk]gateway-list 192.168.1.1 --指明网关
      [R1-ip-pool-kk]dns-list 202.106.0.20 --指明dns服务器地址
      [R1-ip-pool-kk]lease day 0 hour 1 minute 30 --指明租约
      [R1-ip-pool-kk]excluded-ip-address 192.168.1.100 192.168.1.254 --指明排除的地址范围
    3. [R1]int e0/0/0
      [R1-Ethernet0/0/0]ip address 192.168.1.1 24 路由器配置网关
      [R1-Ethernet0/0/0]dhcp select global --启用DHCP全局模式

    [进入地址池视图] static-bind ip-address ip-address mac-address mac-address 将地址池中的IP地址与MAC地址绑定

    配置基于端口模式的DHCP服务器

    [R1]dhcp enable --启用DHCP功能
    [R1]int e0/0/0
    [R1-Ethernet0/0/0]ip address 192.168.1.1 24 --客户端口的ip
    [R1-Ethernet0/0/0]dhcp select interface --启用DHCP接口模式

    配置中继代理服务器

    [Huawei]dhcp enable --启用DHCP功能
    [Huawei]int e0/0/0 --进入跟客户端相连的端口
    [Huawei-Ethernet0/0/0]dhcp select relay --启用中继代理模式
    [Huawei-Ethernet0/0/0]dhcp relay server-ip 192.168.2.1 --指明DHCP服务器地址

    查看DHCP 地址池已分配IP地址,租期等

    display ip pool命令用来查看设备上已配置的地址池信息。指定地址池名称可以查看指定地址池的信息,也可以查看具体地址的状态及租期情况。
    所有视图下查看

    通过 display ip pool命令用来查看设备上已经配置的IP地址池信息。

    • display ip pool

    命令格式

    • display ip pool [ { interface interface-pool-name | name ip-pool-name } [ start-ip-address [ end-ip-address ] | all | conflict | expired | used ] ]

    查看名称为“pool1”的IP地址池信息

    • display ip pool name pool1

    Pool-name : pool1
    Pool-No : 2
    Lease : 3 Days 0 Hours 0 Minutes
    Domain-name : -
    DNS-server0 : 10.10.10.5
    DNS-server1 : 10.10.10.6
    NBNS-server0 : 20.20.20.5
    Netbios-type : -
    Status : Unlocked
    Gateway-0 : 10.10.10.10
    Network : 10.1.1.0
    Mask : 255.255.255.0
    VPN instance : –

    Start          End        Total   Used  Idle(Expired)  	Conflict  Disable
    10.10.10.1  10.10.10.254   253      0     253(0)            0       0
    

    display ip pool命令输出信息描述
    Pool-name – IP地址池名称。该参数可以通过命令ip pool(系统视图)配置。
    Pool-No --地址池索引值。
    Lease --地址池租期。该参数可以通过命令lease配置。
    Domain-name --域名。该参数可以通过命令domain-name配置。
    DNS-server0 --DNS服务器地址,目前IP地址池下最多可以配置8个DNS服务器,数字0、1分别表示配置的第一个和第二个DNS服务器地址。该参数可以通过命令dns-list配置。
    NBNS-server0 --NetBIOS服务器地址,目前一个地址池下最多可以配置8个NetBOIS服务器,数字0表示配置的第一个NetBOIS服务器地址。该参数可以通过命令nbns-list配置。
    Netbios-type --NetBIOS类型。该参数可以通过命令netbios-type配置。
    Position --地址池位置。
    Status --地址池的状态。该参数可以通过命令lock(IP地址池视图)配置。
    Gateway-0 --网关地址,目前一个地址池下最多可以配置8个网关,数字0表示配置的第一个网关地址。该参数可以通过命令gateway-list配置。
    Network --地址池网段。
    Mask --地址池网段掩码。该参数可以通过命令network(IP地址池视图)配置。
    VPN instance --VPN实例名称。该参数可以通过命令vpn-instance(IP地址池视图)配置。
    Start --地址池的起始IP地址。
    End --地址池的结束IP地址。
    Total --地址池中IP地址总数。Total = Used + Idle(Expired) + Conflict + Disable。
    Used --地址池中已经使用的IP地址数量。
    Idle(Expired) --地址池中空闲的IP地址数量。
    Conflict --地址池中冲突的IP地址数量。
    Disable --地址池中禁用的IP地址数量。

    6. 虚拟路由冗余协议VRRP(Virtual Router Redundancy Protocol)

    VRRP的特性

    • VRRP:virtual router redundancy protocol 虚拟 路由器 冗余 协议

    • 作用:在一个网段的 多个网关之间,形成一个虚拟路由器,
      从而实现增强网关的稳定性

    • 原理:在多个真实的网关(接口)上运行VRRP 以后,多个网关之间会互相发送VRRP的(通告)报文,从而进行网关设备角色的选举

    角色:
    master:主网关
    用来真正的转发用户发送的数据包;
    在一个网段中,永远只有一个

    backup: 备份网关
    平时不转发用户数据, 仅仅是监控(被动监控)主网关设备的状态。
    如果主网关挂掉,则直接将自己升级为主网关;如果主网关没有挂掉,则一直保持backup状态;
    在一个网段中,可以有多个。

    • 选举原则:

      首先比较vrrp优先级,越大越好;默认值是100
      其次比较网关接口IP地址,越大越好

    • 配置 :在网关接口上配置

    • 虚拟ip设置:
      vrrp vrid 10 virtual-ip 192.168.1.254

    • 优先级设置:
      vrrp vrid 10 priority 200

    配置原则 :确保主备网关之间的vrrp 的相关配置,必须完全相同;除了优先级(主网关的优先级大于备份网关的 即可 )
    配置命令:
    interface g0/0/x – 进入网关接口
    ip address x.x.x.x mask – 网关和子网掩码
    vrrp vrid {数字} virtual - ip y.y.y.y

    vrid :virtual router ID ,虚拟 路由器 名字
    数字:即阿拉伯数字,表示的是路由器的名字;同一个网段中的多个网关形成虚拟路由器的名字,必须相同
    y.y.y.y :表示的是vrrp 虚拟网关的ip 地址;改地址是需要配置在终端客户设备上的。

    • 验证与测试

    display vrrp --查看VRRP 的详细信息
    网关的状态
    虚拟网关的名字
    虚拟网关Ip
    网关的优先级 ,默认是100

    display vrrp brief – 查看VRRP的简要信息
    网关的状态
    虚拟网关的名字
    虚拟网关Ip

    [R1]display vrrp
    GigabitEthernet0/0/1 | Virtual Router 2 --真实网关接口 | 虚拟网关接口
    State : Master --设备状态为master ,主设备
    Virtual IP : 192.168.7.250 --虚拟路由器IP地址
    Master IP : 192.168.7.253 --主设备master 的IP地址
    PriorityRun : 200 --当前运行的优先级
    PriorityConfig : 200 --设置的优先级
    MasterPriority : 200 --master设备的优先级
    Preempt : YES Delay Time : 0 s --抢占功能开启,抢占时间 0秒
    TimerRun : 1 s --master发送vrrp 报文周期: 1秒一次
    TimerConfig : 1 s --设置的vrrp 报文周期: 1秒
    Auth type : NONE --认证类型:无
    Virtual MAC : 0000-5e00-0102 --虚拟网关的Mac地址
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2020-05-31 21:53:48 UTC-08:00 --创建时间
    Last change time : 2020-05-31 21:53:52 UTC-08:00 --最后更改时间

    链路跟踪

    为了确保让内网运行的VRRP协议可以感知到外网链路的变化,所以我们在运行VRRP的网关接口上,配置VRRP的链路跟踪:

    跟踪外网链路的状态:
    如果外网链路状态UP,则保持VRRP的配置的优先级;
    如果外网链路状态Down,则主动降低在网关接口上发送出去的VRRP报文中包含的优先级,从而实现:让自己变成backup,对方设备变成了master。

    配置:仅仅需要在主网关的接口上配置
    配置命令:

    interface g0/0/x --该接口表示的是主网关;
    vrrp vrid 10 track interface g0/0/2 reduced 190 (200-190) --路由跟踪
    当g0/0/2接口的状态变为down的时候,从g0/0/0 接口发送出去的报文优先级就变成了200-190 ,即10。

    • 角色抢占(默认开启)

    int g0/0/x --该接口表示的是主网关
    vrrp vrid 10 preempt-mode disable --关闭备份网关的抢占功能
    undo vrrp vrid 10 preempt-mode --开启备份网关的抢占功能

    int g0/0/x
    vrrp vrid 10 preempt-mode timer delay 10 --设置抢占延迟时间10秒(默认为0秒)

    认证加密

    为了确保同一个网段内部多个网关之间的主网关身份不被恶意的抢占,所以我们可以通过加密认证的方式实现上述安全需求。

    • 配置原则:同网段中,所有启用vrrp 的网关接口,配置认证时候(主网关,备份网关):
    1. 命令必须完全相同
    2. 认证模式必须相同;

      MD5:该模式下,密码是经过加密的;
      simple:该模式下,密码没有经过加密;

    3. 认证密码必须相同;
    • 配置命令:

    interface g0/0/x
    vrrp vrid 10 authentication-mode md5 password

    • vrrp 与stp 在一起的设计原则:
      同一个VLAN 的stp 根交换机 一定要与 同VLAN 中的vrrp 的主网关 在同一个设备上。
      一个主机从哪个网关去往其他网段,是由vrrp 决定的。
      一个主机去往自己的网关的路径,是由stp 决定的。

    display vrrp
    display vrrp brief
    display ip interface brief --查看设备接口的ip相关信息
    vrrp报文:112

    • vrrp常见故障(多个master)
    1. 确保3层ip地址互通
    2. vrrpd vrid要相同
    3. vrrp的虚拟ip地址要相同
    4. vrrp的认证要成功

    待续…

    展开全文
  • eNSP配置命令

    2020-11-23 16:06:23
    分为用户模式,系统模式[huawei] 注意善于用 tab补全键 + ? 1,进入系统模式:sys 2,更名:sys name jsf 3,退出系统模式:ctrl+z / quit ...6,配置网口ip地址: int g0/0/0 ip addr 192.168.1.2 2

    分为用户模式,系统模式[huawei]
    注意善于用 tab补全键 + ?

    1,进入系统模式:sys
    2,更名:sys name jsf
    3,退出系统模式:ctrl+z / quit
    4,保存配置以便下次以当前的配置启动:
    在用户模式下:save all test.cfg
    startup saved-configuration test.cfg
    5,显示各网口ip地址及up/down状态:dis ip int brief
    6,配置网口ip地址: int g0/0/0
    ip addr 192.168.1.2 24
    7,查看路由表:dis ip routing-table

    展开全文
  • 华为eNSP防火墙基本配置命令

    万次阅读 多人点赞 2019-01-11 11:23:43
    VRP系统命令采用分级保护方式,命令被划分为参观级、监控级、配置级、管理级4个级别。 参观级:网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(包括:Telnet客户端、SSH、Rlogin)等,该...

    VRP命令行

    VRP系统命令采用分级保护方式,命令被划分为参观级、监控级、配置级、管理级4个级别。

    • 参观级:网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(包括:Telnet客户端、SSH、Rlogin)等,该级别命令不允许进行配置文件保存的操作。
    • 监控级:用于系统维护、业务故障诊断等,包括display、debugging命令,该级别命令不允许进行配置文件保存的操作。
    • 配置级:业务配置命令,包括路由、各个网络层次的命令,这些用于向用户提供直接网络服务。
    • 管理级:关系到系统基本运行,系统支撑模块的命令,这些命令对业务提供支撑作用,包括文件系统、FTP、TFTP、Xmodem下载、配置文件切换命令、备板控制命令、用户管理命令、命令级别设置命令、系统内部参数设置命令等。

    防火墙基本配置流程

    防火墙基本配置流程

    • 配置网络:使网路互联互通
    • 配置对象:管理所有策略的共用元素
    • 配置策略:进行网络安全防护和流量管理

    配置接口模式

    ①进入系统视图
    system-view

    ②进入接口视图
    interface interface_type interface_number

    ③配置三层以太网接口或者二层以太网接口

    • 配置三层以太网接口
      ip address ip-address {mask | mask-length}
    • 配置二层以太网接口
      portswitch

    配置安全区域

    ①进入系统视图
    system-view

    ②创建安全区域(或进入已存在的安全区域),并进入相应的安全区域视图
    firewall zone [name] zone_name

    • 安全区域已经存在:不必配置关键字name,直接进入安全区域视图
    • 安全区域不存在:需要配置关键字name,进入安全区域视图

    ③若是自建的安全区域,则需要配置安全区域的安全级别
    set priority security-priority

    注:系统预定义了4个安全区域:local(100)、trust(85)、dmz(50)、untrust(5)。


    将接口加入安全区域

    ①进入系统视图
    system-view

    ②进入相应的安全区域视图
    firewall zone [name] zone_name

    ③将接口加入安全区域
    add interface interface-type interfae-number


    配置防火墙安全策略

    ①进入安全策略视图
    security-policy

    ②创建安全策略规则,并进入安全策略规则视图
    rule name rule-name

    ③配置安全则略规则的源安全区域和目的安全区域(本文只是展示安全策略的一部分,更详细的部分在后面继续展示)
    source-zone {zone-name & <1-6> | any}
    destination-zone {zone-name & <1-6> | any}

    ④配置对匹配流量的包过滤动作
    action {permit | deny}


    配置路由

    • 配置静态路由
      ①进入系统视图
      system-view

      ②增加一条静态路由
      ip route-static ip-address{mask | mask-length} {interface-type interface-number | next-ip-address} [preference value] [reject | blockhole]

    • 配置缺省路由
      ①进入系统视图
      system-view

      ②配置缺省路由
      ip route-static 0.0.0.0 {0.0.0.0 | 0} {interface-type interface-number | next-ip-address} [preference value] [reject | blockhole]


    设置地址集和服务集

    ①地址集
    ip address-set address-set-name type [object | group]
    address 0 192.168.5.2 0
    address 1 192.168.5.3 0
    address 2 192.168.5.6 0

    ②服务集
    ip service-set service-set-name type [object | group]
    service prorocol tcp destination-port 80
    service protocol tcp destination-port 8080
    service protocol tcp destination-port 8443

    注:

    • 可用 display predefined-service 查看预定义服务的详细信息
    • 当type为group时,可以添加地址集和服务集作为成员
    展开全文
  • DHCP(Dynamic Host Configuration Protocol)传送主机所需要的配置信息,快速、动态获取IP地址

    DHCP(Dynamic Host Configuration Protocol)传送主机所需要的配置信息,快速、动态获取IP地址。
    1.DHCP discover:由客户端广播来查找可用的服务器。
    源Source:0.0.0.0 ————>>目标Destination:255.255.255.255
    是广播地址,PC不知道服务器地址,PC刚开始没有地址。
    三层交换机、路由器、家用路由器、Linux都可作为DHCP服务器。
    用户发送的第一个DHCP服务器使用不同的MAC地址来区分不同的PC
    使用UDP协议,DHCP使用68和67端口。
    2.DHCP Offer:服务器用来响应客户端的DHCP Discover报文,并制定相应的配置参数。
    3.DHCP requset :由客户端发送给服务器来请求配置参数或者请求配置确认或者续借租期。客户端广播使用服务器分配给的地址,由用户发向服务器的广播报文,目的是用来通知其他服务器是否使用服务器分配给的地址。同时该报文还有续租的作用。
    4.DHCP ACK:服务器到客户端,含有包括IP地址的配置参数。服务器确认报文。
    5.DHCP Decline:当客户端发现地址已经被使用时,用来通知服务器。
    6.DHCP Inform:客户端已经有IP地址时用它向服务器请求其他配置参数。
    7.DHCP NAK:由服务器发给客户端来表明客户端的地址请求不正确或者租期过期。
    8.DHCP Decline:客户端要释放地址时用来通知服务器。

    DHCP租期:合理有效的使用IP地址。分配给客户端的IP地址都是有租期的,当租期到50%的时刻,Client会自动发送DHCP Request单播报文,DHCP Server发送DHCP ACK报文;当租期到87.5%的时刻,Client发送DHCP Request广播报文,DHCP Server发送DHCP ACK报文。

    无法上网的解决方法:
    修改本地网卡MAC地址,只是修改系统注册表的MAC地址,实际的硬件网卡并未修改。
    在“本地连接”图标上单击右键,选择“属性”,会弹出一个“本地连接属性”的对话框;单击“配置”按钮,选择“高级”,选中左栏“属性”中“Network Address”(“网络地址,“本地管理地址”,Intel网卡用“Locally Administered Address”)
    释放IP地址:ipcoonfig /release
    重新获取IP地址:ipcoonfig /renew
    自动获取IP

    一、DHCP Global 全局配置地址池

    在这里插入图片描述

    (一)修改与客户端相连的接口

    system-view #进入系统视图
    [Huawei]sysname R1 #重命名为R1
    [R1]interface gi 0/0/0
    [R1-GigabitEthernet0/0/0]ip address 192.168.1.1 24 #配置接口IP地址

    (二)配置DHCP地址池

    [R1]dhcp enable #开启DHCP分配IP地址功能
    [R1]ip pool qq #配置一个名为qq的地址池
    [R1-ip-pool-qq]network 192.168.1.0 mask 255.255.255.0 #配置192.168.1.0网段
    [R1-ip-pool-qq]gateway-list 192.168.1.1 #配置网关
    [R1-ip-pool-qq]dns-list 192.168.1.1 8.8.8.8 #配置主DNS和备份DNS
    [R1-ip-pool-qq]display this #查看DHCP配置

    [R1]interface gi 0/0/0 #进入和用户相连的接口配置
    [R1-GigabitEthernet0/0/0]dhcp select global
    #使用本地全局配置的地址池分配IP地址
    save #保存配置

    (三)自动获取IP

    设置自动获取IP
    DHCP自动分配IP

    二、高级DHCP配置

    DHCP高级拓扑图
    防止用户手动配置添加IP地址;用户私自加入家用路由器插入LAN口,搭建Linux虚拟机,配置DHCP服务。家用的路由器会给其他用户分配IP地址而无法上网。

    [R1]ip pool qq #进入名为qq的地址池
    [R1-ip-pool-qq]dis this
    [R1-ip-pool-qq]lease day ?
    INTEGER<0-999> Day, from 0 to 999
    [R1-ip-pool-qq]lease day 0 hour 20 #修改租期为0天20小时

    [R1]ip pool qq
    [R1-ip-pool-qq]static-bind ip-address 192.168.1.200 mac-address 5489-982D-399A
    Error:The static-MAC is exist in this IP-pool.
    #错误原因是终端PC2已经自动获取到了IP地址,释放IP地址:ipcoonfig /release
    [R1-ip-pool-qq]static-bind ip-address 192.168.1.200 mac-address 5489-982D-399A
    #为固定的MAC地址分配固定的IP地址
    ipcoonfig /renew
    DHCP
    [R1-ip-pool-qq]excluded-ip-address 192.168.1.250 192.168.1.254
    #排除IP地址250-254用于固定IP地址配置

    DHCP调试命令
    [R1]display ip pool #显示IP地址
    [R1]display ip pool name qq used #显示已经分配的IP地址的使用情况
    DHCP使用情况
    reset ip pool name qq used #重置分配记录

    三、DHCP interface 基于接口的DHCP

    简单便捷,默认和接口所在的网段是同一个网段,路由器接口的IP地址作为DHCP用户的网关。
    system
    [R1]interface gi0/0/0
    [R1-GigabitEthernet0/0/0]dis this
    [V200R003C00]

    interface GigabitEthernet0/0/0
    ip address 192.168.1.1 255.255.255.0
    dhcp select global

    return
    [R1-GigabitEthernet0/0/0]undo dhcp select global #取消上次配置的global
    [R1]undo ip pool qq #取消名为qq的地址池

    system
    [R1]int gi0/0/0
    [R1-GigabitEthernet0/0/0]dhcp select interface #基于接口的DCHP
    [R1-GigabitEthernet0/0/0]dhcp server dns-list 119.29.29.29 #DHCP配置DNS
    [R1-GigabitEthernet0/0/0]dis this

    interface GigabitEthernet0/0/0
    ip address 192.168.1.1 255.255.255.0
    dhcp select interface
    dhcp server dns-list 119.29.29.29

    return

    四、DHCP relay (dhcp 中继)

    把广播包中继成单播继续发送到服务器获取IP地址。
    DHCP中继拓扑

    (一)配置access和VLAN

    [SW2]vlan 10
    [SW2]interface e0/0/1
    [SW2-Ethernet0/0/1]port link-type access
    [SW2-Ethernet0/0/1]port default vlan 10
    [SW2]interface gi0/0/1
    [SW2-GigabitEthernet0/0/1]port link-type trunk
    [SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10

    [SW3]interface e0/0/1
    [SW3-Ethernet0/0/1]port link-type access
    [SW3-Ethernet0/0/1]port default vlan 20
    [SW3]interface gi0/0/1
    [SW3-GigabitEthernet0/0/1]port link-type trunk
    [SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 20

    [SW1]interface gi0/0/2
    [SW1-GigabitEthernet0/0/2]port link-type trunk
    [SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 10
    [SW1]interface gi0/0/3
    [SW1-GigabitEthernet0/0/3]port link-type trunk
    [SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 20
    dis port vlan #查看接口vlan配置
    dis port vlan
    Port Link Type PVID Trunk VLAN List
    GigabitEthernet0/0/1 hybrid 1 -
    GigabitEthernet0/0/2 trunk 1 1 10
    GigabitEthernet0/0/3 trunk 1 1 20

    (二)在核心VLAN配置SVI地址作为用户的网关,实现VLAN间路由

    [SW1]vlan batch 10 20 800
    [SW1]interface vlan 10
    [SW1-Vlanif10]ip address 192.168.10.1 24 #作为VLAN10 用户的网关

    [SW1]interface vlan 20
    [SW1-Vlanif20]ip address 192.168.20.1 24

    [SW1]interface gi0/0/1
    [SW1-GigabitEthernet0/0/1]port link-type access
    #接PC、路由器、服务器的接口一般用access
    [SW1-GigabitEthernet0/0/1]port default vlan 800
    [SW1]interface vlan 800
    [SW1-Vlanif800]ip address 192.168.254.1 24
    [SW1]dis ip interface brief
    Vlanif10 192.168.10.1/24 up up
    Vlanif20 192.168.20.1/24 up up
    Vlanif800 192.168.254.1/24 up up

    [R1]interface gi0/0/0
    [R1-GigabitEthernet0/0/0]ip address 192.168.254.2 24
    [R1]ip route-static 0.0.0.0 0 192.168.254.1 #添加缺省路由作为路由器的网关

    (三)在路由器上R1配置DHCP

    [R1]ip pool vlan_10
    [R1-ip-pool-vlan_10]network 192.168.10.0 mask 24
    [R1-ip-pool-vlan_10]gateway-list 192.168.10.1
    [R1-ip-pool-vlan_10]dns-list 119.29.29.29
    [R1]ip pool vlan_20
    [R1-ip-pool-vlan_20]network 192.168.20.0 mask 24
    [R1-ip-pool-vlan_20]gateway-list 192.168.20.1
    [R1-ip-pool-vlan_20]dns-list 119.29.29.29
    dis current-configuration #查看所有配置情况

    [R1]interface gi0/0/0
    [R1-GigabitEthernet0/0/0]dhcp select global #使用全局配置模式
    [R1-GigabitEthernet0/0/0]dis this
    [V200R003C00]

    interface GigabitEthernet0/0/0
    ip address 192.168.254.2 255.255.255.0
    dhcp select global

    return

    [SW1]dhcp enable #开启DHCP功能
    [SW1]interface vlan 10
    [SW1-Vlanif10]dhcp select relay #开启DHCP的relay功能
    [SW1-Vlanif10]dhcp relay server-ip 192.168.254.2 #使用DHCP单播IP地址
    [SW1-Vlanif10]dis this

    interface Vlanif10
    ip address 192.168.10.1 255.255.255.0
    dhcp select relay
    dhcp relay server-ip 192.168.254.2

    return

    [SW1]interface vlan 20
    [SW1-Vlanif20]dhcp select relay
    [SW1-Vlanif20]dhcp relay server-ip 192.168.254.2
    [SW1-Vlanif20]dis this

    interface Vlanif20
    ip address 192.168.20.1 255.255.255.0
    dhcp select relay
    dhcp relay server-ip 192.168.254.2

    return
    在这里插入图片描述

    五、DHCP Snooping

    接入层技术,防止非法的DHCP服务器接入影响。
    DHCP-snooping拓扑图
    [R1]interface gi0/0/0
    [R1-GigabitEthernet0/0/0]dis this
    [V200R003C00]

    interface GigabitEthernet0/0/0
    ip address 192.168.1.1 255.255.255.0
    dhcp select global

    return

    [R2]interface gi0/0/0
    [R2-GigabitEthernet0/0/0]ip address 192.168.21.1 24
    [R2]dhcp enable
    [R2]interface gi0/0/0
    [R2-GigabitEthernet0/0/0]dhcp select interface
    [R2-GigabitEthernet0/0/0]dhcp server dns-list 8.8.8.8

    接入层交换机,开启dhcp snooping功能后,VLAN的所有的接口默认都是非信任接口,非信任接口收到的DHCP回馈offer报文都会丢弃。
    [SW1]dhcp enable
    [SW1]dhcp snooping enable #启用dhcp snooping
    [SW1]dhcp snooping enable vlan 1 #所有VLAN1接口启用dhcp snooping

    把上联接口设置为信任接口,接收DCHP服务器地址。
    [SW1]interface gi0/0/1
    [SW1-GigabitEthernet0/0/1]dhcp snooping trusted

    展开全文
  • 华为虚拟机eNSP命令大全(所有命令)

    万次阅读 多人点赞 2019-09-19 20:50:37
    连入接口命令 interface IP地址、子网掩码配置命令 ip address 接口IP信息查看命令 display ip interface brief IPv4路由表信息查询命令 display ip routing–table 配置完成退回视图界面命令 return 命令自动补全...
  • ENSP配置DHCP 动态主机自动分配IP地址

    千次阅读 2020-06-24 17:36:40
    通过配置DHCP(动态主机配置协议)给不同网段的主机自动分配IP地址,并且通过单臂路由,静态路由与默认路由的配置实现全网通。
  • ensp企业部门ip地址划分

    千次阅读 2020-04-25 15:08:13
    假设一台主机对应一个部门,根据每个部门人数不同划分子网,将地址信息(ip地址,子网掩码,网关地址)配置到对应的PC上。 研发部(100人):IP地址 10.0.8.1-10.0.8.100子网掩码255.255.240.0 网关10.0.8.254 技术部...
  • ENSP最基础的命令

    2020-07-08 18:09:31
    system-view 进入系统视图 ...[R1-GigabitEthernet0/0/0]ip address 192.168.1.1 24 配置IP地址 [R1-GigabitEthernet0/0/0]ping 192.168.1.2 用PING测试相互的连通性 [R1] Header shell information “hello!
  • 华为eNSP简介与常用命令大全

    千次阅读 2021-01-03 23:38:48
    华为eNSP常用命令大全 一.华为eNSP简介 eNSP(Enterprise Network Simulation Platform)是一款由华为提供的免费的、可扩展的、图形化操作的网络仿真工具平台,主要对企业网络路由器、交换机进行软件仿真,完美呈现...
  • ensp配置命令列表汇总持续更新...

    万次阅读 2018-10-10 22:16:05
    分为用户模式&lt;huawei&gt;,系统模式[huawei] 注意善于用 tab补全键 + ?...4,保存配置以便下次以当前的配置启动:  在用户模式下:save all test.cfg  startup saved-configuration...
  • eNSP命令大全(所有命令)

    千次阅读 2021-01-13 20:26:44
    连入接口命令 interface IP地址、子网掩码配置命令 ip address 接口IP信息查看命令 display ip interface brief IPv4路由表信息查询命令 display ip routing–table 配置完成退回视图界面命令 return 命令自动补全...
  • ensp ethernet端口配置ip问题

    万次阅读 多人点赞 2018-12-05 22:42:04
    ethernet端口的意思是百兆以太网卡,不是所有的eth端口都可以配置ip,只有三层口才可以配置ip,书上是默认了eth端口是三层口才配置ip.【书上只是示例,建议你把二层三层这种基本知识理解透彻,尽信书则不如无书】 ...
  • ensp 静态路由配置详细命令

    千次阅读 多人点赞 2020-08-21 16:36:18
    ** eNSP基础篇 ** 一、静态路由配置 画出拓扑图,并标注出划分的地址和相关信息...[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24(给接口配上对应 的IP地址) [Huawei-GigabitEthernet0/0/0]quit (退出0/0
  • 华为路由器交换机eNSP配置命令

    千次阅读 2020-11-14 23:49:00
    华为交换机基础配置命令参考 交换机可以隔离冲突域,路由器可以隔离广播域,这两种设备在企业网络中应用越来越广泛。随着越来越多的终端接入到网络中,网络设备的负担也越来越重,这时网络设备可以通过华为专有的VRP...
  • eNSP软件模拟DHCP协议分配IP地址

    千次阅读 2020-06-24 17:24:01
    实验结果:通过在主机上,用ipconfig命令查看或的IP地址,再用抓包工具看DHCP规则模 式。 实验步骤: 1. 打开eNSP软件,绘制拓扑图。 2.开始配置路由器与交换机。 路由器AR1配置 <Huawei>system-view
  • 华为模拟器eNSP安装及常见命令总结

    千次阅读 2020-04-27 15:47:11
    VRP系统常用命令3. telnet协议简介/实验演示 1. eNSP软件安装建议 ensp安装以管理员的身份进行安装 安装的时候不要更改路径(最好不更改)刚开始安装好ensp不要运行 首先打开Virtual Box删除里面所有的虚拟机然后...
  • 华为模拟器 eNSP 基本配置命令

    千次阅读 2020-07-23 19:59:46
    一、开启路由器 system-view [Huawei]sysname r1 //修改设备名称 二、查看配置命令 [r1]display current-configuration //查看当前生效的配置 [r1]display this //查看当前位置的配置
  • ensp-熟悉常用ip命令(第二天)

    千次阅读 2020-07-22 17:35:58
    熟悉常用的IP相关命令 基本配置 R1命令行界面: system-view 进入系统视图模式 sysname R1 修改设备主机名R1 quit 退出当前模式 save y 保存当前配置 配置路由器接口IP: int g0/0/0 使用interface命令进入路由器...
  • ensp 常用命令

    2020-11-26 10:54:20
    ensp 基础命令 system-view 进入系统视图模式(默认的是用户视图< Huawei >...ip address + ip地址 + 子网掩码 (给接口添加对应的IP) undo + 你配置过的命令 (就可以删除你配置过的命令) ...
  • ensp常用命令

    万次阅读 多人点赞 2018-11-22 00:02:48
    华为模拟器eNSP常用命令 最近一段了解网络协议,使用了华为模拟器eNSP搭建了几个路由实验,分享一下在搭建过程中,经常使用的命令. 路由器命令行常用命令:  1. system-view  进入系统视图,默认我们打开命令行...
  • 通过eNSP模拟器用DHCP动态主机配置协议——统一发配管理IP地址** 一、华为eNSP模拟器的基础配置命令 用户模式 可以查看所有的设备参数 system-view 键入系统视图命令 [Huawei] 系统模式 可以对设备进行管理 [Huawei...
  • eNSP常用查看命令

    万次阅读 多人点赞 2019-04-06 12:57:17
    display ip int brief 查看接口ip地址 display interface brief 查看接口的简要信息 display current-configuration 显示当前配置文件 display current-configuration 关键词(查看关键词的配置) display saved...
  • 目录前言一、修改设备名称...以上就是本次计算机网络华为eNSP模拟器实验的VRP通用路由平台介绍,篇幅较长,感谢您的阅读和支持,若有表述或代码中有不当之处,望指出!您的指出和建议能给作者带来很大的动力!!! ...
  • 华为eNSP常用命令

    2021-04-22 10:33:31
    华为eNSP常用命令
  • ensp基础命令

    2020-11-04 19:23:33
    ensp基础命令 system-view 命令用来使用户从用户视图进入系统视图。 quit 命令用来从当前视图退回到较低级别视图,如果是用户视图,则退出系统。 undo 在配置命令前面加undo可以取消这条配置命令。 undo ...
  • 华为Ensp常用命令

    2021-07-15 11:11:46
    华为Ensp常用命令 命令 作用 sys 进入系统模式 vlan 11 创建vlan11 int g0/0/1 进入端口 port link-type access 设置端口类型为access port default vlan 10 将端口加入到vlan10中 dis mac-...
  • 地址表:设备名接口IP地址子网掩码默认网关PC1172.16.100+学号后两位.10255.255.255.0172.16.100+学号后两位.1PC2172.16.200+学号后两位.10255.255.255.0172.16.200+学号后两位.1ARG0/0/0172.16.100+学号后两位.1255...
  • 左边交换机优先级设置为10002、在三层交换机/路由器上面(1)IP地址配置(2)静态路由配置(3)默认路由配置二、单臂路由配置三、DHCP服务四、DHCP中继五、NAT(网络地址转换技术)vrrp(虚拟路由冗余协议

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,204
精华内容 881
关键字:

ensp配置ip地址命令