华为信息通信技术-HCIA
一、路由
1.1 静态路由
静态路由配置:
如图,静态路由如果想要配置PC1与PC2相通,则需要指定一条抵达PC2的路由,并且保证有来有回:
R1:
system-view
sysname R1
interface e0/0/0
ip address 10.1.1.1 24
interface e0/0/1
ip address 20.1.1.1 24
display ip interface brief
q
ip route-static 30.1.1.0 24 20.1.1.2
ip route-static 40.1.1.0 24 20.1.1.2
R2:
system-view
sysname R2
interface e0/0/0
ip address 20.1.1.2 24
interface e0/0/1
ip address 30.1.1.1 24
display ip interface brief
q
ip route-static 10.1.1.0 24 20.1.1.1
ip route-static 40.1.1.0 24 30.1.1.2
R3:
system-view
sysname R3
interface e0/0/0
ip address 30.1.1.2 24
interface e0/0/1
ip address 40.1.1.1 24
display ip interface brief
q
ip route-static 20.1.1.0 24 30.1.1.1
ip route-static 10.1.1.0 24 30.1.1.1
拓展:当接口使用串行线连接的时候,配置静态路由时下一条可以换成出接口(自身出接口):
ip route-static 10.1.1.0 24 Serial 0/0/0
调试命令:
#查看接口IP
display ip interface brief
#查看路由表
display ip routing-table
#查看主要配置
display this
#查看所有配置
display current-configuration
#删除静态路由
undo ip route-static 40.1.1.0 255.255.255.0 20.1.1.2
1.2 缺省路由
· 缺省路由是一种特殊的路由,当报文没有在路由表中找到匹配的具体路由表项时才使用的路由。如果报文的目的地址不能与路由表的任何的目的地址相匹配,那么该报文将选取缺省路由进行转发,缺省路由是“替补”。
· 缺省路由在路由表中的形式为0.0.0.0/0,缺省路由也被叫做默认路由。
· 缺省路由一般用于企业的网络出口,配置一条缺省路由让出口设备能够转发前往internet上任意地址的IP报文。
R1:
system-view
sysname R1
interface e0/0/0
ip address 192.168.5.1 24
interface e0/0/1
ip address 12.1.1.1 24
q
ip route-static 0.0.0.0 0 12.1.1.2
R2:
system-view
sysname R2
interface e0/0/0
ip address 12.1.1.2 24
interface g0/0/0
ip address 7.7.7.1 24
interface e0/0/1
ip address 9.9.9.1 24
q
ip route-static 192.168.5.0 24 12.1.1.1
以上现网系统中是运营商是不会配置路由到企业内部的,需要使用其他手段实现,后面会介绍。
学员思考:针对上述拓扑
如果有两个运营商,去往外网的流量如果实现主备?
可以在配置一条缺省路由到另一个运营商,配置较高的优先级
ip route-static 0.0.0.0 0 13.1.1.2 preference 65
1.3 等价路由和浮动路由
1.3.1 等价路由
等价路由指的是来源相同、开销相同的路由(两个路由条目指向的目的网段相同,但是具备不同的下一跳地址),路由转发会将流量分布到多条路径上。
· 路由表中存在等价路由之后,前往该目的网段的IP报文路由器会通过所有有效的接口、下一跳转发,这种转发行为被称为负载分担。
R1:
system-view
sysname R1
interface g0/0/0
ip address 10.1.1.1 24
interface g0/0/1
ip address 20.1.1.1 30
interface g0/0/2
ip address 30.1.1.1 30
q
ip route-static 40.1.1.0 24 20.1.1.2
ip route-static 40.1.1.0 24 30.1.1.2
R2:
system-view
sysname R2
interface g0/0/0
ip address 40.1.1.1 24
interface g0/0/1
ip address 20.1.1.2 30
interface g0/0/2
ip address 30.1.1.2 30
q
ip route-static 10.1.1.0 24 20.1.1.1
ip route-static 10.1.1.0 24 30.1.1.1
1.3.2 浮动路由
· 静态路由支持配置时手动指定优先级,可以通过配置目的地址/掩码相同、优先级不同、下一跳不同的静态路由,实现转发路径的备份。
· 浮动路由主要是用于路由的备份,保证链路故障时提供备份路由。主用路由下一跳可达时备份路由不会出现在路由表。
R1通过指定其中一条路由优先级为75以达到备用:
system-view
sysname R1
interface e0/0/0
ip address 192.168.5.1 24
interface e0/0/1
ip address 12.1.1.1 24
interface g0/0/0
ip address 13.1.1.1 24
q
ip route-static 0.0.0.0 0 12.1.1.2
ip route-static 0.0.0.0 0 13.1.1.3 preference 70
R2:
system-view
sysname R2
interface e0/0/0
ip address 12.1.1.2 24
interface LoopBack 0
ip address 7.7.7.7 24
q
ip route-static 192.168.5.0 24 12.1.1.1
R3:
system-view
sysname R3
interface e0/0/0
ip address 13.1.1.3 24
interface LoopBack 0
ip address 7.7.7.7 24
q
ip route-static 192.168.5.0 24 13.1.1.1
可以尝试关闭R1的e0/0/0、g0/0/0模拟故障后查看链路是否起到备份作用。
1.3.3 路由汇总
此时配置静态路由可以直接汇总:
ip route-static 192.168.0.0 16 xx.xx.xx.xx
如下top:
引发环路:此时如果有PC产生数据包目的地址是192.168.100.2的报文,报文交给网关之后到达R1,它会通过缺省路由0.0.0.0 0 192.168.12.2匹配到并发出,当发到R2之后R2又通过路由192.168.0.0 16 192.168.12.1发回来,R1又通过缺省路由0.0.0.0 0 192.168.12.2匹配到并发出,这样往返一直到数据包TTL值耗尽才丢弃。
解决方案:
- 基于一系列连续的、有规律的IP网段,如果需计算相应的汇总路由,且确保得出的汇总路由刚好“囊括”上述IP网段, 则需保证汇总路由的掩码长度尽可能长。如以如果内网IP网段是192.168.1.0/24~192.168.6.0/24上R2回来的路由可以配置成:
此时就可以用路由汇总:
| IP | 二进制 | |
|---|---|---|
| 192.168.1.0/24 | 192.168.00000001.00000000 | |
| 192.168.2.0/24 | 192.168.00000010.00000000 | |
| ...... | ...... | |
| 192.168.6.0/24 | 192.168.00000110.00000000 |
此时,R2上的路由可以写成:
ip route-static 192.168.0.0 21 192.168.12.1
- 在R1上配置路由用于丢弃,避免环路:
ip route-static 192.168.0.0 16 NULL 0
如果被匹配到将会被丢弃。
1.4 OSPF路由
1.4.1 单区域ospf
1.4.1.1 快速搭建
需求:1 配置单区域OSPF 确保全网互通
2 针对R1-R2 之间的链路,确保R1选举为DR。
3 假设R1-R2之间带宽较低,确保1.1互访2.2 的数据优先经R3 转发。
第1题:
R1:
system-view
undo info-center enable
interface e0/0/0
ip address 12.1.1.1 24
interface e0/0/1
ip address 13.1.1.2 24
interface loopback0
ip address 1.1.1.1 32
q
ospf 1 router-id 1.1.1.1
area 0
network 12.1.1.1 0.0.0.0
network 13.1.1.2 0.0.0.0
network 1.1.1.1 0.0.0.0
R2:
system-view
undo info-center enable
interface e0/0/0
ip address 12.1.1.2 24
interface e0/0/1
ip address 23.1.1.1 24
interface loopback0
ip address 2.2.2.2 32
q
ospf 1 router-id 2.2.2.2
area 0
network 12.1.1.2 0.0.0.0
network 23.1.1.1 0.0.0.0
network 2.2.2.2 0.0.0.0
R3:
system-view
undo info-center enable
interface e0/0/0
ip address 13.1.1.1 24
interface e0/0/1
ip address 23.1.1.2 24
interface loopback0
ip address 3.3.3.3 32
q
ospf 1 router-id 3.3.3.3
area 0
network 3.3.3.3 0.0.0.0
network 13.1.1.1 0.0.0.0
network 23.1.1.2 0.0.0.0
第2题:
调大R1 e0/0/0接口的优先级(默认都是1):
interface e0/0/0
ospf dr-priority 2
改完之后重启接口即可。
第3题:
调大接口开销,让他走R3:
R1 :
interface e0/0/0
ospf cost 3
R1 :
intterface e0/0/0
ospf cost 3
1.4.1.2 基础配置命令
-
(系统视图)创建并运行OSPF进程
[Huawei] ospf [ process-id | router-id router-id ]porcess-id用于标识OSPF进程,默认进程号为1。OSPF支持多进程,在同一台设备上可以运行多个不同的OSPF进程, 它们之间互不影响,彼此独立。router-id用于手工指定设备的ID号。如果没有通过命令指定ID号,系统会从当前接口 的IP地址中自动选取一个作为设备的ID号。
-
(OSPF视图)创建并进入OSPF区域
[Huawei-ospf-1] area area-idarea命令用来创建OSPF区域,并进入OSPF区域视图。 area-id可以是十进制整数或点分十进制格式。采取整数形式时,取值范围是0~4294967295。
-
(OSPF区域视图)指定运行OSPF的接口
[Huawei-ospf-1-area-0.0.0.0] network network-address wildcard-masknetwork命令用来指定运行OSPF协议的接口和接口所属的区域。network-address为接口所在的网段地址。wildcard- mask为IP地址的反码,相当于将IP地址的掩码反转(0变1,1变0),例如0.0.0.255表示掩码长度24 bit。生产中建议精准匹配,直接写0.0.0.0。
-
(接口视图)配置OSPF接口开销
[Huawei-GigabitEthernet0/0/0] ospf cost cost
ospf cost命令用来配置接口上运行OSPF协议所需的开销。缺省情况下,OSPF会根据该接口的带宽自动计算其开销值 cost取值范围是1~65535。
-
(OSPF视图)设置OSPF带宽参考值
[Huawei-ospf-1] bandwidth-reference valuebandwidth-reference命令用来设置通过公式计算接口开销所依据的带宽参考值。value取值范围是1~2147483648, 单位是Mbit/s,缺省值是100Mbit/s。
-
(接口视图)设置接口在选举DR时的优先级
[Huawei-GigabitEthernet0/0/0] ospf dr-priority priorityospf dr-priority命令用来设置接口在选举DR时的优先级。priority值越大,优先级越高,取值范围是0~255。
1.4.2 多区域ospf
1.4.2.1 快速搭建
需求:按照多区域配置全网互通。
1.5 单臂路由
单臂路由是指在路由器的一个接口上通过配置子接口(逻辑接口)的方式,实现属于不同VLAN且位于不同网段的用户之间的互通。
交换机配置vlan和trunk,LSW1:
vlan batch 10 20
interface Ethernet0/0/2
port link-type access
port default vlan 10
interface Ethernet0/0/3
port link-type access
port default vlan 20
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
配置路由器子接口终结的 VLAN 并开启子接口的 ARP 广播功能:
interface GigabitEthernet0/0/0.10
dot1q termination vid 10
ip address 192.168.10.254 255.255.255.0
arp broadcast enable
interface GigabitEthernet0/0/0.20
dot1q termination vid 20
ip address 192.168.20.254 255.255.255.0
arp broadcast enable
二、其它配置
2.1 DHCP
2.1.1. 基于接口的DHCP:
R1:
system-view
undo info-center enable
sysname R1
dhcp enable
interface e0/0/0
ip address 10.10.10.254 24
dhcp select interface
dhcp server dns-list 114.114.114.114
# dhcp server excluded-ip-address 10.10.10.1 10.10.10.128
# dhcp server lease day 0 hour 1 minute 0
2.2.2 基于全局的DHCP:
R1:
system-view
undo info-center enable
sysname R1
dhcp enable
interface e0/0/0
ip address 10.10.10.254 24
q
ip pool 1
network 10.10.10.0 mask 24
gateway-list 10.10.10.254
dns-list 114.114.114.114
# lease day 0 hour 1 minute 0
interface e0/0/0
dhcp select global
2.2 telnet
R1:
system-view
undo info-center enable
sysname R1
telnet server enable
interface e0/0/0
ip address 10.10.10.254 24
q
aaa
local-user huawei password cipher Huawei@123
local-user huawei privilege level 15
local-user huawei service-type telnet
q
user-interface vty 0 4
authentication-mode aaa
该方式登陆时密码可以被抓取到,不安全:
2.3 ssh
模拟器router路由器不支持,要用AR2220:
R2:
system-view
sysname R2
undo info-center enable
interface g0/0/0
ip address 10.10.10.254 24
q
stelnet server enable
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
q
aaa
local-user huawei password cipher Huawei@123
local-user huawei privilege level 15
local-user huawei service-type ssh
#部分VRP系统有差异,需要参考设备说明,部分还需要敲如下指令,模拟器不用:
rsa local-key-pair create #->y-->2048
ssh user huawei authentication-type all
ssh server-source all-interface
R1:
system-view
sysname R1
undo info-center enable
interface g0/0/0
ip address 10.10.10.1 24
使用R1登录测试:
[R1]ssh client first-time enable #首次登录需要敲
[R1]stelnet 10.10.10.254
Please input the username:huawei
Trying 10.10.10.254 ...
Press CTRL+K to abort
Connected to 10.10.10.254 ...
The server is not authenticated. Continue to access it? (y/n)[n]:Y
Save the server's public key? (y/n)[n]:Y
The server's public key will be saved with the name 10.10.10.254. Please wait...
Enter password:
-----------------------------------------------------------------------------
User last login information:
-----------------------------------------------------------------------------
Access Type: SSH
IP-Address : 127.0.0.1 ssh
Time : 2024-03-04 16:18:26-08:00
-----------------------------------------------------------------------------
<R2>
也可以桥接到真机使用SecureCRT登录:
命令总结:
[Huawei]ssh client first-time enable //网管服务器备份配置文件依赖该功能
[Huawei]stelnet server enable //使能SSH服务
[Huawei]rsa local-key-pair create //创建本地rsa密钥对
[Huawei]ssh server publickey rsa
[Huawei] ssh server permit interface all //允许所有接口访问SSH服务。
[Huawei] ssh server-source -i Loopback //配置SSH服务只监听在管理口上,不要全部接口都监听,配置以后仅有环回口能远程登录成功,其他接口IP访问22端口不通。
配置VTY用户界面的支持协议类型、认证方式和用户级别
[Huawei] user-interface vty 0 4 //进入VTY视图下
[Huawei -ui-vty0-4] authentication-mode aaa //配置VTY用户界面认证方式为AAA认证
[Huawei -ui-vty0-4] protocol inbound ssh //配置VTY用户界面支持的协议为SSH,默认情况下即SSH,可以不执行这条命令都行
[Huawei -ui-vty0-4] user privilege level 15 //配置VTY用户界面的级别为15
AAA视图下创建账号
[Huawei]aaa //进入aaa视图
[Huawei-aaa]local-user admin password irreversible-cipher Admin@123 //创建用户admin,密码为Admin@123,因为第一次登录强制要求修改,所以先使用临时密码,等SSH配置完成登录成功后修改为规划的密码
[Huawei-aaa]local-user admin privilege level 15 //设置admin用户的权限级别为15级
[Huawei-aaa]local-user admin service-type ssh //指定admin用户的服务类型为ssh
2.4 ACL
拓扑描述:
1 R1 作为所有PC的网关。
2 财务部用户:192.168.1.0/24
市场部用户:192.168.2.0/24
server1:HTTP 服务器地址为7.7.7.7/24
PC2:192.168.1.2
PC4:192.168.2.2
PC5:(由路由器模拟)192.168.1.3
注意事项:注意:模拟器中路由器Router 配置ACL不生效,
需采用AR2220配置。
需求:
1 PC1、PC3 自动获取ip地址。
2 配置静态路由使得全网互通。
3 R2上面启用Telnet服务,方便远程管理。
用户名:aa 密码:Huawei@123
4 拒绝财务部和市场部用户互访。
5 在R2上配置ACL仅允许PC5 远程telnet控制。
6 在R2上配置ACL拒绝PC2 访问Server1 的HTTP服务,但可以ping通。
7 在R1上配置ACL拒绝PC4 ping Server1 但可以访问其HTTP服务。
R1:
#配置接口地址和DHCP
system-view
undo info-center enable
sysname R1
dhcp enable
interface g0/0/0
ip address 192.168.1.1 24
dhcp select interface
dhcp server dns-list 114.114.114.114
q
interface g0/0/1
ip address 192.168.2.1 24
dhcp select interface
dhcp server dns-list 114.114.114.114
q
interface g0/0/2
ip address 12.1.1.1 24
dhcp select interface
dhcp server dns-list 114.114.114.114
q
#配置缺省路由
ip route-static 0.0.0.0 0 12.1.1.2
#配置ACL拒绝财务部和市场部用户互访。
#创建
acl number 3000
rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
acl number 3001
rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#用到端口上
interface GigabitEthernet0/0/0
traffic-filter inbound acl 3000
interface GigabitEthernet0/0/1
traffic-filter inbound acl 3001
#在R1上配置ACL拒绝PC4 ping Server1 但是可以访问HTTP服务
acl 3006
rule 5 deny icmp source 192.168.2.2 0 destination 7.7.7.7 0
interface g0/0/2
traffic-filter outbound acl 3006
R2:
#配置接口地址以及静态路由
system-view
undo info-center enable
sysname R2
interface g0/0/0
ip address 12.1.1.2 24
interface g0/0/1
ip address 7.7.7.1 24
q
ip route-static 192.168.1.0 24 12.1.1.1
ip route-static 192.168.2.0 24 12.1.1.1
#配置telnet
aaa
local-user aa privilege level 2 password cipher Huawei@123
local-user aa service-type telnet
user-interface vty 0 4
authentication-mode aaa
#配置ACL允许PC5远程telnet
acl number 3010
rule 5 permit ip source 192.168.1.3 0
rule 10 deny ip (选配)
user-interface vty 0 4
acl 3010 inbound
# 注意 acl用在vty接口下,用来匹配范围,默认拒绝所有
#在R2上配置ACL拒绝pc2访问server1的http服务,但可以ping通
acl 3011
rule 5 deny tcp source 192.168.1.2 0 destination 7.7.7.7 0 destination-port eq www
interface GigabitEthernet0/0/0
traffic-filter inbound acl 3011
PC5:
system-view
undo info-center enable
sysname PC5
interface e0/0/0
ipaddress 192.168.1.3
ip route-static 12.1.1.0 255.255.255.0 192.168.1.1
2.5 NAT
2.5.1 静态NAT
• 静态NAT:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对 一映射。
• 支持双向互访:私有地址访问Internet经过出口设备NAT转换时,会被转换成对应的公有地址。同时,外部 网络访问内部网络时,其报文中携带的公有地址(目的地址)也会被NAT设备转换成对应的私有地址。
先配置好接口地址:
AR1
system-view
undo info-center enable
sysname AR1
interface g0/0/0
ip address 192.168.1.1 24
interface g0/0/1
ip address 12.1.1.1 24
AR2
system-view
undo info-center enable
sysname AR2
interface g0/0/1
ip address 12.1.1.2 24
interface g0/0/0
ip address 7.7.7.1 24
interface g0/0/2
ip address 6.6.6.1 24
AR1配置缺省路由使得数据包默认从GE0/0/1口出去:
ip route-static 0.0.0.0 0 12.1.1.2
再在AR1 g0/0/1接口配置静态NAT用于转化。
interface g0/0/1
nat static global 12.1.1.3 inside 192.168.1.2
验证:
(1)此时pc1的地址是192.168.1.2,它从AR1路由器的GE0/0/1接口出去之后会变成12.1.1.3,所以它是可以访问外网6.6.6.6和7.7.7.7的。但是其它PC就不行。
(2)在PC1的接口抓包,发现外部设备ping 12.1.1.3时PC1可以收到数据包。
2.5.2 动态NAT
• 动态NAT:静态NAT严格地一对一进行地址映射,这就导致即便内网主机长时间离线或者不发送数据时,与之对应的公有 地址也处于使用状态。为了避免地址浪费,动态NAT提出了地址池的概念:所有可用的公有地址组成地址池。
• 当内部主机访问外部网络时临时分配一个地址池中未使用的地址,并将该地址标记为“In Use”。当该主机不再访问外部 网络时回收分配的地址,重新标记为“Not Use”。
该方式不对端口进行转换,地址利用率不高,一般不用,做了解即可。
还是用静态NAT那个top图做演示:
AR1:
先删除静态NAT
[AR1-GigabitEthernet0/0/1]undo nat static global 12.1.1.3 inside 192.168.1.2 net mask 255.255.255.255
(1)创建NAT地址池
[AR1]nat address-group 0 12.1.1.10 12.1.1.15
# 配置公有地址范围,其中0为地址池编号,12.1.1.10、12.1.1.15分别为地址池起始地址、结束地址。
(2)配置地址转换的ACL规则
[AR1]acl 2000
[AR1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
#配置基础ACL,匹配需要进行动态转换的源地址范围。
(3)接口视图下配置带地址池的NAT Outbound
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 0 no-pat
# 接口下关联ACL与地址池进行动态地址转换,no-pat参数指定不进行端口转换
只要源地址能被那条ACL命中它就可以访问外部网络。
2.5.3 NAPT
• 动态NAT选择地址池中的地址进行地址转换时不会转换端口号,即No-PAT(No-Port Address Translation,非端口地址 转换),公有地址与私有地址还是1:1的映射关系,无法提高公有地址利用率。
• NAPT(Network Address and Port Translation,网络地址端口转换):从地址池中选择地址进行地址转换时不仅转换IP 地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:n映射,可以有效提高公有地址利用率。
配置步骤和NAT一摸一样,也是先创建NAT地址池、ACL规则、接口视图下配置带地址池的NAT Outbound,只是最后一步不带 no-pat参数。
还是用原来的top图,接上面的动态NAT:
AR1:
删除动态NAT的最后一步“接口视图下配置带地址池的NAT Outbound”并重新配置:
[AR1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 0 no-pat
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 0
2.5.4 Easy IP
• Easy IP:实现原理和NAPT相同,同时转换IP地址、传输层端口,区别在于Easy IP没有地址池的概念,使用接口地址作为 NAT转换的公有地址。
• Easy IP适用于不具备固定公网IP地址的场景:如通过DHCP、PPPoE拨号获取公网地址,可以直接使用获取到的动态地址进行转换。
所以它不需要配置NAT地址池,只需要创建ACL之后用到出接口上即可。
继续以上的top以及配置:
AR1:
# 删除接口 NAT outbound
[AR1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 0
[AR1-GigabitEthernet0/0/1]quit
# 取消之前创建的NAT地址池
[AR1]undo nat address-group 0
# 直接把ACL使用到NAT outbound上就完成
[AR1]interface g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000
2.5.5 NAT Server
• NAT Server:指定[公有地址:端口]与[私有地址:端口]的一对一映射关系,将内网服务器映射到公网,当私有 网络中的服务器需要对公网提供服务时使用。
• 外网主机主动访问[公有地址:端口]实现对内网服务器的访问。
这个也很简单,既不需要NAT地址池,也不需要ACL,就需要在出接口做映射即可。
AR1:
[AR1]interface g0/0/1
[AR1-GigabitEthernet0/0/1] nat server protocol tcp global current-interface www inside 192.168.1.5 www
# 在AR1上配置NAT Server将内网服务器192.168.1.5的80端口映射到路由器出口的GE0/0/1接口地址12.1.1.1的80端口。
此时外部访问出口地址的80端口将会帮忙转到内网192.168.1.5的80端口。
2.5.6 拓展
调试命令:
dis nat session all
dis nat address-group
三、广域网技术
• 随着经济全球化与数字化变革加速,企业规模不断扩大,越来越多的分支机构出现在不同的地域。 每个分支的网络被认为一个LAN(Local Area Network,局域网),总部和各分支机构之间通信 需要跨越地理位置。因此,企业需要通过WAN(Wide Area Network,广域网)将这些分散在不 同地理位置的分支机构连接起来,以便更好地开展业务。
• 广域网技术的发展,伴随着带宽不断的升级:早期出现的X.25只能提供64 kbit/s的带宽,其后 DDN(Digital Data Network,数字数据网)和FR(Frame Relay,帧中继)提供的带宽提高到2 Mbit/s,SDH(Synchronous Digital Hierachy,同步数字结构)和ATM(Asynchronous Transfer Mode,异步传输模式)进一步把带宽提升到10 Gbit/s,最后发展到当前以IP为基础的 10 Gbit/s甚至更高带宽的广域网络。
• 本课程主要讲解广域网技术基础概述以及PPP(Point-to-Point Protocol ,点对点协议)原理与相 关应用。
3.1 PPP协议
3.1.1 概述
• PPP(Point-to-Point Protocol,点到点协议)是一种常见的广域网数据链路层协议,主要用于在全双工的链 路上进行点到点的数据传输封装。
• PPP提供了安全认证协议族PAP(Password Authentication Protocol,密码验证协议)和CHAP(Challenge Handshake Authentication Protocol,挑战握手认证协议)。
• PPP协议具有良好的扩展性,例如,当需要在以太网链路上承载PPP协议时,PPP可以扩展为PPPoE。
• PPP协议提供LCP(Link Control Protocol,链路控制协议),用于各种链路层参数的协商,例如最大接收单 元,认证模式等。
• PPP协议提供各种NCP(Network Control Protocol,网络控制协议),如IPCP(IP Control Protocol ,IP控 制协议),用于各网络层参数的协商,更好地支持了网络层协议。
3.1.2 PPP链路建立流程
• PPP链路的建立有三个阶段的协商过程,链路层协商、认证协商(可选)和网络层协商。
▫ 链路层协商:通过LCP报文进行链路参数协商,建立链路层连接。
▫ 认证协商(可选):通过链路建立阶段协商的认证方式进行链路认证。
▫ 网络层协商 :通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。
3.3.3 PPP基本配置
- 配置接口封装PPP协议
[Huawei-Serial4/0/0] link-protocol ppp
在接口视图下,将接口封装协议改为ppp,华为串行接口默认封装协议为ppp。
- 配置协商超时时间间隔
[Huawei-Serial4/0/0] ppp timer negotiate seconds
在PPP LCP协商过程中,本端设备会向对端设备发送LCP协商报文,如果在指定协商时间间隔内没有收到对端的应答报文,则重新发送。可以不配置使用默认。
3.1.3 PPP认证模式
• 链路协商成功后,进行认证协商(此过程可选)。认证协商有两种模式,PAP和CHAP。
• PAP认证双方有两次握手。协商报文以明文的形式在链路上传输。
PAP认证配置命令
-
配置验证方以PAP方式认证对端
[Huawei-Serial4/0/0] ppp authentication-mode pap配置验证方以PAP方式认证对端,首先需要通过AAA将被验证方的用户名和密码加入本地用户列表,然后选择认证模式。
-
配置被验证方以PAP方式被对端认证
[Huawei-Serial4/0/0] ppp pap local-user user-name password { cipher | simple } password配置本地被对端以PAP方式验证时,本地发送PAP用户名和口令。
3.1.4 NCP地址协商
• PPP认证协商后,双方进入NCP协商阶段,协商在数据链路上所传输的数据包的格式与类型。以常见的IPCP 协议为例,它分为静态IP地址协商和动态IP地址协商。
• 静态IP地址协商需要手动在链路两端配置IP地址。
• 动态IP地址协商支持PPP链路一端为对端配置IP地址。
3.1.5 PPP场景搭建
R1:
#基础配置
system-view
undo info-center enable
#静态ip地址协商
interface s4/0/0
ip address 12.1.1.1 24
#如果配置动态ip地址协商,如下配置让请求对端给自己分配地址
interface s4/0/0
undo ip address
ip address ppp-negotiate
#(1)PAP认证方配置
aaa
local-user guojie password cipher Huawei@123
local-user guojie service-type ppp
interface Serial4/0/0
ppp authentication-mode pap
#(2)CHAP认证方配置
aaa
local-user luguojie password cipher Huawei@123
local-user luguojie service-type ppp
interface Serial4/0/0
ppp authentication-mode CHAP
R2:
#基础配置
system-view
undo info-center enable
#静态ip地址协商
interface s4/0/0
ip address 12.1.1.2 24
#如果配置动态ip地址协商,如下配置给对端分配什么IP地址
interface s4/0/0
ip add 12.1.1.2 24
#给对端分配IP
remote address 12.1.1.1
#也可以先创建地址池,然后使用地址池里的IP分配给对端,因为对端可能有多个设备
remote address pool <poolname>
#(1)PAP被认证方配置
int s4/0/0
ppp pap local-user guojie password cipher Huawei@123
#(2)CHAP被认证方配置
int s4/0/0
ppp chap user luguojie
ppp chap password cipher Huawei@123
调试命令:
display interface s4/0/0
3.2 PPPoE
3.2.1 PPPoE概述
• PPPoE(PPP over Ethernet,以太网承载PPP协议)是一种把PPP帧封装到以太网帧中的链路层协议。PPPoE 可以使以太网网络中的多台主机连接到远端的宽带接入服务器。
• PPPoE集中了PPP和Ethernet两个技术的优点。既有以太网的组网灵活优势,又可以利用PPP协议实现认证、 计费等功能。
应用场景:
• PPPoE实现了在以太网上提供点到点的连接。PPPoE客户端与PPPoE服务器端之间建立PPP会话,封装PPP数 据报文,为以太网上的主机提供接入服务,实现用户控制和计费,在企业网络与运营商网络中应用广泛。
• PPPoE的常见应用场景有家庭用户拨号上网、企业用户拨号上网等。
会话建立:
3.2.2 PPPoE基础配置
-
通过拨号规则来配置发起PPPoE会话的条件
[Huawei] dialer-rul -
配置拨号接口用户名,此用户名必须与对端服务器用户名相同
[Huawei-Dialer1] dialer user username -
将接口置于一个拨号访问组
[Huawei-Dialer1] dialer-group group-number -
指定当前拨号接口使用的拨号绑定
[Huawei-Dialer1] dialer-bundle number
- 将物理端口与dialer-bundle进行绑定
[Huawei-Ethernet0/0/0] pppoe-client dial-bundle-number numb
3.2.3 PPPoE快速搭建
描述:企业内网和运营商网络如上图所示,中间交换机
模拟运营商传输设备。公网IP段:12.1.1.0/24。内网IP
段:192.168.1.0/24。PPPOE 拨号采用PAP认证,
用户名:aa 密码:Huawei@123
实验要求:
1 出口采用PPPOE拨号接入运营商(公网地址自动获取)。
2 R1作为内网用户的网关,内网用户自动获取IP地址。
3 所有用户都可以访问外网
R1:
#配置接口IP
system-view
undo info-center enable
sysname R1
dhcp enable
interface g0/0/0
ip address 192.168.1.1 24
dhcp select interface
dhcp server dns-list 114.114.114.114
#以太网无法使用PPP,需要创建拨号接口之后捆绑以太网口来使用
interface dialer 1
link-protocol ppp
ppp pap local-user guojie password cipher Huawei@123
ip address ppp-negotiate
dialer user guojie
dialer bundle 2
tcp adjust-mss 1200
#进入以太网接口捆绑拨号接口
interface g0/0/1
pppoe-client dial-bundle-number 2
# 创建ACL用于匹配内网让指定IP上网
acl number 2001
rule 5 permit source 192.168.1.0 0.0.0.255
# 在拨号接口上运用ACL
int dialer 1
nat outbound 2001
#配置一条默认路由出外网
ip route-static 0.0.0.0 0.0.0.0 Dialer 1
R2:
system-view
sysname R2
undo info-center enable
interface g0/0/1
ip address 9.9.9.9 24
q
#创建地址池,用于给ppp客户端推送地址
ip pool POOL1
network 12.1.1.0 mask 255.255.255.0
q
interface Virtual-Template 1
ppp authentication-mode pap
remote address pool POOL1
ip address 12.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/2
pppoe-server bind Virtual-Template 1
#
aaa
local-user guojie password cipher Huawei@123
local-user guojie service-type ppp
调试命令:
调试命令:
display interface Dialer 1
display pppoe-client session summary
display ip interface brief
四、vlan间路由
4.1 物理接口
这种方式占用物理接口
4.2 子接口
4.3 vlanif
五、WLAN基础
步骤一:网络互通
LSW1:
# 基本以及网络配置
system-view
sysname Core_SW
undo info-center enable
dhcp enable
vlan batch 20 100
interface vlanif 20
ip address 192.168.20.1 255.255.255.0
dhcp select global
interface g 0/0/4
port link-type access
port default vlan 100
port-group group-member g0/0/1 g0/0/2
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 20 100
q
#配置 dhcp 这里是用于给pc分配IP
ip pool vlan20
network 192.168.20.0 mask 255.255.255.0
gateway-list 192.168.20.1
dns-list 8.8.8.8
AC:
system-view
undo info-center enable
sysname AC
vlan batch 100
# 这里配置的dhcp它是给ap分配的地址
dhcp enable
interface vlanif 100
ip address 192.168.100.1 255.255.255.0
dhcp select interface
interface g0/0/1
port link-type access
port default vlan 100
以上配置完成之后AP就可以拿到192.168.100.0网段的地址:
步骤二:AP上线
AC:
capwap source interface Vlanif 100 (这里设置管理vlan,我们这里用的是vlan100)
此时AP还不能上线,应为没有授权,可以使用如下命令查看未授权的名单:
或者使用如下命令查看未授权记录:
上面的看到的mac地址如果确认是企业内部AP设备的mac,那么就可以把他加入AC,使用如下方法:
[AC]wlan
[AC-wlan-view]ap-confirm all
Info: Confirm AP completely. Success count: 2. Failure count: 0. (这里提示有两个AP加入成功)
如果存在其它设备,并且设备未知不可信的话,可以使用如下选加可信AP:
[AC-wlan-view] ap-confirm mac 00e0-fcfd-2220
敲完就可以看见上线的ap了:
创建ap组,并把ap加入组内,方便批量管理:
[AC] wlan (进入wlan视图)
[AC-wlan-view] ap-group name Group_D (创建ap组)
Info: This operation may take a few seconds. Please wait for a moment.done.
[AC-wlan-ap-group-Group_D] q (退出组)
[AC-wlan-view] ap-id 0 (进入ap,id要选择需要操作的ap id)
[AC-wlan-ap-0] ap-group Group_D
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:Y (这里提示ap设备会被重置,选择确认)
Info: This operation may take a few seconds. Please wait for a moment.. done.
#下面使用同样步骤把AP 1也加入到组Group_D当中
[AC-wlan-ap-0] q
[AC-wlan-view] ap-id 1
[AC-wlan-ap-1] ap-group Group_D
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:Y
Info: This operation may take a few seconds. Please wait for a moment.. done.
[AC-wlan-ap-1]
可以看见ap从default组变到了Group_D组:
如上看见对应AP加入之后再添加WLAN业务。
# 创建安全模板
[AC] wlan
[AC-wlan-view] security-profile name A (这里创建一个名为A的安全模板)
[AC-wlan-sec-prof-A] security wpa-wpa2 psk pass-phrase 12345678 aes (配置该安全模板wifi密码为12345678)
Warning: The current password is too simple. For the sake of security, you are advised to set a password containing at least two of the following: lowercase letters a to z, uppercase letters A to Z, digits, and special characters. Continue? [Y/N]:Y (这里提示密码过于简单,确认即可)
# 船舰ssid模板
[AC] wlan
[AC-wlan-view] ssid-profile name B (这里创建名为B的ssid模板,就是wifi的名称)
[AC-wlan-ssid-prof-B] ssid GuoJie (给wifi取个名称)
# 船舰虚拟ap并使用上面的安全模板和ssid模板
[AC] wlan
[AC-wlan-view]vap-profile name C (创建名为C的虚拟ap)
[AC-wlan-vap-prof-C] forward-mode direct-forward (转发方式为直连转发)
[AC-wlan-vap-prof-C] service-vlan vlan 20 (业务vlan,即那些终端设备接入AP之后进入vlan 20)
[AC-wlan-vap-prof-C] ssid-profile B (运用ssid模板B)
[AC-wlan-vap-prof-C] security-profile A (运用安全模板A)
[AC]wlan
[AC-wlan-view] ap-group name Group_D
[AC-wlan-ap-group-Group_D] vap-profile C wlan 1 radio all (ap-group和vap做关联)
上面的配置做完ap就开始发射信号了:
六、链路聚合
6.1 概念
随着业务的发展和园区网络规模的不断扩大,用户对于网络的带宽、可靠性要求越来越高。 传统解决方案通过升级设备方式提高网络带宽,同时通过部署冗余链路并辅以STP (Spanning Tree Protocol,生成树协议)协议实现高可靠。传统解决方案存在灵活度低、 故障恢复时间长、配置复杂等缺点。
6.1.1 手工模式
• 手工模式: Eth-Trunk的建立、成员接口的加入均由手动配置,双方系统之间不使用LACP进行协商。
• 正常情况下所有链路都是活动链路,该模式下所有活动链路都参与数据的转发,平均分担流量,如果某条活动链路故障, 链路聚合组自动在剩余的活动链路中平均分担流量。
• 当聚合的两端设备中存在一个不支持LACP协议时,可以使用手工模式。
sw1(默认就是手工负载分担模式):
[sw1] interface Eth-Trunk 1
[sw1-Eth-Trunk1] mode manual load-balance
[sw1-Eth-Trunk1] trunkport Ethernet 0/0/2 0/0/1
sw2好像配置一边就可以了,但是方便回来也能负载的话可以也配置一下:
[sw2] interface Eth-Trunk 1
[sw2-Eth-Trunk1] mode manual load-balance
[sw2-Eth-Trunk1] trunkport Ethernet 0/0/2 0/0/1
该模式如果对端链路异常由于没有交互它无法感知。只能通过物理接口感知。
6.1.2 LACP 模式
• LACP模式:采用LACP协议的一种链路聚合模式。设备间通过链路聚合控制协议数据单元(Link Aggregation Control Protocol Data Unit,LACPDU)进行交互,通过协议协商确保对端是同一台设备、同一个聚合接口的成员接口。
• LACPDU报文中包含设备优先级、MAC地址、接口优先级、接口号等。
• LACP模式下,两端设备所选择的活动接口数目必须保持一致,否则链路聚合组就无法建立。此时 可以使其中一端成为主动端,另一端(被动端)根据主动端选择活动接口。
• 通过系统LACP优先级确定主动端,值越小优先级越高
• 选出主动端后,两端都会以主动端的接口优先级来选择活动接口,优先级高的接口将优先被选为 活动接口。接口LACP优先级值越小,优先级越高。
sw1:
[sw1] interface Eth-Trunk 1
[sw1-Eth-Trunk1] mode lacp-static
[sw1-Eth-Trunk1] trunkport Ethernet 0/0/1 0/0/2
sw2:
[sw2] interface Eth-Trunk 1
[sw2-Eth-Trunk1] mode lacp-static
[sw2-Eth-Trunk1] trunkport Ethernet 0/0/1 0/0/2
-
创建链路聚合组 创建Eth-Trunk接口,并进入Eth-Trunk接口视图。
[Huawei-Eth-Trunk1] mode {lacp | manual load-balance } -
配置链路聚合模式 Mode lacp配置链路聚合模式为lacp模式。
[Huawei-GigabitEthernet0/0/1] eth-trunk trunk-idmode manual load-balance配置链路聚合模式为手工模式。 注意:需要保持两端链路聚合模式一致。
-
将接口加入链路聚合组中(以太网接口视图)
[Huawei-GigabitEthernet0/0/1] eth-trunk trunk-id -
将接口加入链路聚合组中(Eth-Trunk视图)
[Huawei-Eth-Trunk1] trunkport interface-type { interface-number} -
使能允许不同速率端口加入同一Eth-Trunk接口的功能
[Huawei-Eth-Trunk1] mixed-rate link enable省情况下,设备未使能允许不同速率端口加入同一Eth-Trunk接口的功能,只能相同速率的接口加入到同一个Eth- Trunk接口中。 注意:该功能仅部分型号设备支持,如部分路由器则不支持。
-
配置系统LACP优先级.
[Huawei] lacp priority priority系统LACP优先级值越小优先级越高,缺省情况下,系统LACP优先级为32768。
-
配置接口LACP优先级。
[Huawei-GigabitEthernet0/0/1] lacp priority priority在接口视图下配置接口LACP优先级。缺省情况下,接口的LACP优先级是32768。接口优先级取值越小,接口的LACP 优先级越高。 只有在接口已经加入到链路聚合中才可以配置该命令。
-
配置最大活动接口数。
[Huawei-Eth-Trunk1] max active-linknumber {number} -
配置最小活动接口数。
[Huawei-Eth-Trunk1] least active-linknumber {number}本端和对端设备的活动接口数下限阈值可以不同,手动模式、LACP模式都支持配置最小活动接口数。 配置最小活动接口数目的是为了保证最小带宽,当前活动链路数目小于下限阈值时,Eth-Trunk接口的状态转为Down。
6.2 三层聚合
二层交换机配置完成聚合之后就可以进入Eth-trunk视图配置trunk后允许对应vlan通过之后使用,三层设备路由器也可以使用,但是一般交换机上用的多,下面配置三层设备案例:
AR1(就多了一个把二层口提升为三层口的配置):
[AR1] interface Eth-Trunk 1
[AR1-Eth-Trunk1] undo portswitch
[AR1-Eth-Trunk1] mode lacp-static
[AR1-Eth-Trunk1] trunkport GigabitEthernet 0/0/0 0/0/1
AR2:
[AR2]interface Eth-Trunk 1
[AR2-Eth-Trunk1]undo portswitch
[AR2-Eth-Trunk1]mode lacp-static
[AR2-Eth-Trunk1]trunkport GigabitEthernet 0/0/1 0/0/0
配置IP来使用:
[AR1]interface Eth-Trunk 1
[AR1-Eth-Trunk1]ip address 192.168.10.1 255.255.255.0
七、ssh远程
[Huawei] stelnet server enable
[Huawei] rsa local-key-pair create
[Huawei] ssh server publickey rsa
[Huawei] ssh server permit interface all
[Huawei] ssh server-source -i Loopback 0
[Huawei] user-interface vty 0 4
[Huawei-ui-vty0-4] authentication-mode aaa
[Huawei-ui-vty0-4] protocol inbound ssh
[Huawei-ui-vty0-4] user privilege level 3
# 创建账号
[Huawei] aaa
[Huawei-aaa] local-user userid01 password irreversible-cipher Admin@Huawei
[Huawei-aaa] local-user userid01 service-type ssh
[Huawei-aaa] local-user userid01 level 3 #也可能是local-user userid01 privilege level 3