《常考网络工程师华为基础配置命令总结.docx》由会员分享,可在线阅读,更多相关《常考网络工程师华为基础配置命令总结.docx(17页珍藏版)》请在课桌文档上搜索。
1、华为基础配置命令总结telnetserverenableuser-interfacevtyO4protocolinboundtelnetauthentication-modeaaa/开启telnet功能开启登录端口0-4通过telnet协议登录认证方式为aaaaaa启用aaalocal-useradminl23passwordadminl23local-useradminl23service-typetelnetlocal-useradminl23privilegelevel15配置用户名和密码用户用于telnet用户等级为15dhcpenable启用dhcp服务ippool1/创建IP地址池
2、1network+网络地址mask+掩码dns-list+dns的IP地址gateway-list+ip地址excludcd-ip-address+ip地址Iesae+数字domian-namc+名字配置地址池范围配置网关保留IP地址配置租用时间域名配置VlaniflO接口下的客户端从全局地址池ippool1中获取IP地址interfacevalnif10ipaddress+ip地址+子网掩码dhcpselectglobal/interface配置VIan网关全局或接口用dhcp服务ACL访问控制列表time-rangeworkday+时间to时间workding-day/配置时间段,周一到周
3、五的什么时间到什么时间ac12000/启用编号为2000的ac1rulepermitsource+ip地址+反掩码time-rangeworkday只允许ip可访问ruledeny拒绝interface+接口进入接口acl2000inbound在接口上应用acl高级ACLRouterJacl3000创建高级ACLRouter-ad-adv-3000rule10denyipsource192.168.1.00.0.0.255destination192.168.3.1000写拒绝条目Routerintg002在接口上应用ACLRouter-GigabitEthcrnet002traffic-fi
4、lteroutboundacl3000NAT地址转换nataddress-group12.2.2.1002.2.2.200配置NAT地址池1nataddress-group22.2.2.802.2.2.83/配置NAT地址池2acl2000rule5permitsource192.168.20.00.0.0.255/设置ac12000编号为5的规则,允许上述源地址通过acl2001rule5permitsource10.0.0.00.0.0.255设置acl2000编号为5的规则,允许上述源地址通过interface+接口进入接口natoutbound2000address-group1no-
5、pat将设置acl2000匹配的源地址,转换为地址池1的地址,并不开启端口NATnatoutbound2001address-group2将设置acl2001匹配的源地址,转换为地址池2的地址静态NATnatstaticglobal122.1.2.2inside192.168.1.2一对一的地址映射122是外部192.是内部外在前内在后natstaticenable进入接口,应用在接口上iproute-static0.0.0.0013.1.1.2NATServer在路由器上配置NATServer将内网服务器192.168.1.10的80端口映射的公网地址122.1.2.1的80端口natser
6、verprotocoltcpglobal122.1.2.1WwWinSide192.168.1.1080配置步骤1. interface+接口2. ipaddress+外网ip地址+子网掩码3. natserverprotocoltcpglobal外网ip地址+80inside内网ip地址+80将外网的ip地址的80端口映射到内网ip地址的80端口动态NAT配置步骤L配置公网地址池nataddress-group112.1.1.212.1.1.10第一个L是名字2 .创建ACLacl2000rule10permitsource192.168.1.00.0.0.2553 .去应用到接口上去nat
7、outbound2000address-group1no-pat将ac12000与address-group1进行匹配转换,no-pat表示不进行端口转换端口NATAR1nataddress-group112.1.1.212.1.1.2只配置了一个地址ARI-GigabitEtherne10/0/1natoutbound2000address-group1注意没有加no-patEasyIPinterface+接口natoutbound2000直接在端口上配置,将acl2000上的直接转换为端口上的IP地址配置VRRP1.创建VRRP备份组配置虚拟ip地址coreswl上配置coreswlint
8、erfacevlanif10coreswl-VlaniflOcoreswl-VlaniflOvrrpvrid10virtual-ip192.168.10.254配置虚拟ip地址coreswl-Vlanif10vrrpvrid10priority120优先级越大越优,最大255coreswl-VlaniflOvrrpvrid10preempt-modetimerdelay20抢占延时(0表示立即抢占)coreswl-Vlanif10qvrrpvrid10preempt-modetimerdisable非抢占模式vrrpmaster设备周期性向backup设备发送224.0.0.18的保活报文AR
9、Iload-balancesrc-ip基于源IP的负载均衡,它不是基于单个包去做的负载均衡ARIiproute-static0.0.0.0013.1.1.2preference100调动优先级,优先级越小越优BFD应用bfd开启BFDquit退出配置Rl与R2之间的BFDsessionRl上:bfdbfdR2bindpeerip+R2的ip地址source-ip+Rl的ip地址R2上的配置地址与之相反discriminatorlocal11创建本地标识符discriminatorremote22创建远端标识符commit使用commit关键字是BFD生效quit退出iproute-static
10、+2.2.2.02412.1.1.2trackbfd-sessionbfdRlR2配置静态路由且跟踪bfdRlR2,即当12.1.1.1与12.LL2通信失败时,配置的这条静态路由会从路由表中删除displaybfdsessionall查看BFD状态使用单臂回声方式实现BFD,只在Rl配置BFD检测即可,R2不用做配置步骤:bfd全局下开启bfdq退出全局bfd123bindpeer-ip12.1.1.2source-ip12.1.1.1one-arm-echo创建bfd单臂回声会话discriminatorlocal123本地会话号(类似于本地AS号)可以一样也可以不一样*bfdsessio
11、n-namebindpeer-ippeer-ipvpninstancevpn-instance-nameinterfaceinterface-typeinterface-numbersource-ipip-addressOnC-arm-echo,创建单臂回声功能的BFD会话。缺省情况下,未创建单臂回声功能的BFD会话*/总结:AR1ARlbfd1命名为1AR1AR1bfd1bindARlbfd1bindpeer-ip12.1.1.2source-ip12.1.1.1auto检测对端的设备IP自己的设备IPauto是自动协商/BFD生效命令ARl-bfd-session-1commitDXbfd
12、1bindpeer-ip12.1.1.1source-ip12.1.1.2auto这个两边都要写ARIiproute-static0.0.0.0012.1.1.2trackbfd-session1跟踪PFD,当此条Pfd不通是,这条路由就删掉配置RlP协议rip1version2将本地路由器连接的网络宣告到rip 1进程中,只能network+网络地址宣告主类网络配置OSPF协议ospf1area0主要区域0network+网络地址+反掩码将本地路由器连接的网络宣告到OSPf1进程中displayospfpeerbrief查看邻居建立的关系filter-policy+acl的编号import通
13、过指定访问控制列表ACL来对要加入到路由表的信息进行过滤例如:ospf1filter-policy2000importimport-routedirect将直连路由引入到OSPF网络中filter-policy2000exportrip1通过指定访问控制列表ACL2000来对引入OSPF的RIP路由信息进行过滤场景1:通过配置R3的OSPF路由发布策略,仅发布生产网段和办公室网段,不发布财务专网,以防止公司总部其他网段或分公司对财务专网的访问配置地址前缀列表3to2(R3上)ipip-prefix3to2index10permit10.1.0.024办公室网段ipip-prefix3to2in
14、dex20permit10.5.0.024生产网段配置发布策略,引用地址前缀列表3to2进行过滤(R3上)ospf 1area 0network 192. 168. 23. 0 0. 0. 0. 255filter-policy ip-prefix 3to2 export static配置BGP R3bgp 100 R3-bgppeer34. 1. 1. 2 as-number200R4bgp 200 R4-bgppecr R4-bgppeer34. 1. 1. 1 as-number45. 1. 1. 2 as-number100200R5bgp 200R5-bgppeer45. 1. 1.
15、 1 as-number200R4display bgp peer查看通过bgp是否学到路由表示ipv4单播路由网段+掩码在bgp内要手动导入路由(手动宣告)R5-bgpipv4-familyunicastR5-bgp-af-ipv4network200.1.1.024将网段宣告到bgp200的进程里,这样R4就可以通过ibgp学到路由将bgp的路由引入OSPf内R3ospf1R3-ospf-limport-routebgp在R3上敲命令,引入bgp路由还可以引入:bgpBorderGatewayProtocol(BGP)routesdirectConnectedroutesisisInter
16、mediateSystemtoIntermediateSystem(IS-IS)routeslimitLimitthenumberofroutesimportedintoOSPFospfOpenShortestPathFirst(OSPF)routesripRoutingInformationProtocol(RIP)routesstaticStaticroutesunrUserNetworkRoutes2.现在要将ospf的路由引入bgp内(将去100.1.1.0网段的路由引入R5)在bgplOO内引入了 ospf进程1的将下一跳设置成自己,是将所R3bgp100路由R3-bgpimport
17、-routeospf12.在R4上R4bgp200R4-bgppeer45.1.1.2next-hop-local有的下一跳改成自己next-hop-invariableSendoriginalnexthopforroutesadvertisedtothepeernext-hop-localSpecifylocaladdressasthenexthopofroutesadvertisedtothepeerIPSecVPN配置步骤:1 .配置网络可达2 .配置ACL识别兴趣流3 .创建安全提议IPScc安全提议4 .创建安全策略5 .应用安全策略第一步略配置ACL10 permit source
18、 192. 168. 10. 0 0. 0. 0. 255Rlacl2000Rl-acl-basic-2000rule将ACL应用到出接口Rl-GigabitEthernetO/O/2intg002Rl-GigabitEthernetOO2natoutbound2000acl3000Rl-acl-adv-3000rule10permitipsource192.168.10.00.0.0.255destination192.168.20.00.0.0.255第一个是源,第二个是目的R2acl3000对端也配置ACL3000R2-ac1-adv-3000rule10permitipsource19
19、2.168.20.00.0.0.255destinationl92.168.10.00.0.0.255创建安全提议:RIipsecproposalcd命名为cd,ipsecproposal:IPSeC提议Rl-ipsec-proposal-cdespauthentication-algorithmmd5配置加密算法为md5还有其他加密:shalUseHMAC-SHA1-96algorithmsha2-256UseSHA2256algorithmsha2-384UseSHA2384algorithmsha2-512UseSHA2_512algorithmsm3UseSM3algorithmUse
20、HMAC-MD5-96algorithmmd5Rl-ipsec-proposal-cdespencryption-algorithmdes配置认证算法为des数据加密一般用对称加密算法Rldisplayipsecproposal查看命令3desUse3DES对称加密算法aes-128UseAES-128aes-192UseAES-192aes-256UseAES_256desUseDESsmlUseSMlPleasepressENTERtoexecutecommandR2上也要配置IPSecproposalR2ipsecproposalbjR2-ipsec-proposal-bjespauth
21、entication-algorithmmd5R2-ipsec-proposal-bjespencryption-algorithmdesR2-ipsec-proposal-bjq手动方式配置安全策略手工配置RIipsecpolicychengdu10manualchcngdu,方式为手动Rl-ipsec-policy-manual-chcngdu-10securityacl3000的流量配置IPSEC策略包含acl3000Rl-ipsec-policy-manual-chengdu-10proposalcd采用ipsec提议CdRl-ipsec-policy-manual-chcngdu-1
22、0tunnellocal100.1.1.1配置隧道本地地址Rl-ipsec-policy-manual-chengdu-10tunnelremote200.1.1.1址配置隧道远端地R1-ipsec-po1icy-manua1-chcngdu-10saspiinboundesp54321编号为54321配置入方向SARl-ipsec-policy-manual-chcngdu-10sastring-keyinboundespcipherTQY配置入方向SA的认证密钥为TQYRl-ipsec-policy-manual-chengdu-10saspioutboundesp12345配置出方向SA
23、编号为54321Rl-ipsec-policy-manual-chengdu-10sastring-keyoutboundespcipherTQY/配置入方向SA的认证密钥为TQY在接口上应用IPSCC策略:Rlintg002Rl-GigabitEthcrnetO/O/2ipsecpolicychengdu在出接口上应用配置VRRP实现网关冗余与切换交换机MasterVRRP配置interfacevlanif10vrrpvrid10virtual-ip192.168.10.254配置VrrP虚拟路由器10,虚拟网关IP地址192.168.10.254vrrp vrid 10 priority
24、120虚拟路由器10的优先级设置为120默认优先级100vrrpvrid10preempt-modetimedelay20抢占延时设置为20秒交换机BaCkUPVRRP配置interfacevlanif10vrrpvrid10viryual-ip192.168.10.254配置VrrP虚拟路由器10,虚拟网关IP地址192.168.10display vrrp brief查看vrrp状态配置策略路由(数据分流):Stcpl:配置ACL,匹配流量aclnumber2010rule10permitsource192.168.10.00.0.0.255aclnumber2020rule10permi
25、tsource192.168.20.00.0.0.255Step2:流分类(将acl要匹配的流量分类,例如哪个网段走电信,哪个网段走联通先分好类)trafficclassifier+名字if-matchacl2010trafficclassifier+名字if-mathacl2020StCP3:流行为(将分好类的流,定义行为,就是要往哪个接口走,或是拒绝流,或是允许流)trafficbehavior+名字redirctip-nexthop+ip地址一般这个ip地址自身设备的ip地址deny拒绝permit允许Step4:流策略(将流分类和流行为连在一起)trafficpolicy+名字名字是自
26、己取得classifier+流分类名behavior+流行为名Stcp5:在入接口应用策略路由interface+接口traffic-policy+流分类名inbound配置Eth-Trunk:interfaceEth-trunk1modelacp-staticmaxactive-linknumber2trunkportg00eth-trunk1最大激活链路数量为2把物理接口g00l加入逻辑接口组配置多生成树:stpenablestpmodemstpstpregion-configurationregion-name1instance10vlan10instance20vlan20active
27、region-configuration进入配置模板域名为1的域创建实例MSTIl和实例MSTI2/MSTPinstance用来区分VLAN用的不同的实例可以设置不同的优先级来实现根桥负载的功能stpinstance10rootprimarystpinstance20rootsecondarystppathcost-standardlegacystpinstance2cost20000销值配置为20000o成为Master成为B端口路径开销计算方法为华为计算方法/GEl/0/2在实例MSTI2中的路径开stpedged-portenablestpbpdu-protectionstproot-p
28、rotection/GE1/0/1为边缘端口配置BPDU保护启动根保护配置NQA:场景:电信12.1.1.1联通23.1.1.2nqatest-instancerooticmp定期发送ICMP检测网络出口是否正常test-typeicmpfrequency10probe-coint2destination-addressipv412.1.1.1startnowiproute-static0.0.0.023.1.1.2iproute-static0.0.0.012.1.1.1preference10tracknqarooticmp/配置两条默认路由,分别指向电信和联通,用户主要通过电信出口访问互
29、联网,如果电信挂了,切换到联通出口无线认证配置:L配置ATM接口interface atm +接 口编号pvc voip 1/35map ppp virtual-template 10quitstandby interface CelIUar+接口/仓U建PVC (ATM虚电路)配置PVC上的pppoA映射退出创建虚拟接口配置APN与网络的连接方式apnprofile3gprofileapnwcdmainterface celIuar +接口 mode wcdma wcdma-only dialer enable-circular apn -profile 3gprofilequit配置3Gm
30、odem使用轮询DCC功能配置3GCellUlar接口绑定APN模板敏捷分布式组网:1 .创建AP组,用于将配置相同的AP都加入同一AP组wlan这里以ap-groupl为例子ap-groupnameap-grouplquit2 .创建域管理模板,在域管理模板下配置AC的国家代码并在AP组下引用域管理模板regulatory-domain-profiIenamedefultcountry-codeCNAC的国家代码为中国quitap-groupnameap-grouplregulatory-domain-profiIenamedefultquitquitcapwapsourceinterfac
31、e+源接口在AC上离线导入中心AP和RU,并将其加入AP组uap-group1”中。假设中心AP的MAC地址为68a8-2845-62fd,命名为Centra1_AP,RU的MAC地址为fcb6-9897-c520和fcb6-9897-ca40,分别命名为ru_l和ru_2ACwlanACwIan-viewapauth-modemac-authAC-wIan-viewap-id0ap-mac68a8-2845-62fdAC-wlan-ap-Oap-nameCentraLAPWarning:ThisoperationmaycauseAPreset.Continue?YN:yap-groupap-
32、grouplquitACwIan-viewap-id1ap-macfcb6-9897-c520AC-wlan-ap-lap-nameru_lWarning:ThisoperationmaycauseAPreset.Continue?YN:yAC-wlan-ap-lap-groupap-group1quit#将AP上电后,当执行命令displayapall查看到AP的“State”字段为“nor”时,表示AP正常上线。displayapall3 .创建名为“wlan-nct”的安全模板,并配置安全策略。举例中以配置WPA-WPA2+PSK+AES的安全策略为例,密码为“al234567,实际配置
33、中请根据实际情况,配置符合实际要求的安全策略。ACwIan-viewsecurity-profilenamewlan-netACwlan-sec-prof-wla11-netsecuritywpa-wpa2pskpass-phraseal234567aesquit#创建名为rtwlan-netw的SSID模板,并配置SSlD名称为“wlan-nct”AC-wIan-viewssid-profilenamewlan-netAC-wlan-ssid-prof-wlan-netssidwlan-net这里是设置SSlD名称的AC-wlan-ssid-prof-wlan-netquit创建名为“wla
34、n-net”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板和SSID模板vap-profile name wlan-net AC-wlan-vap-prof-wlan-net AC-wlan-vap-prof-wlan-net AC-wlan-vap-prof-wlan-net 板AC-wlan-vap-prof-wlan-net 模板AC-wlan-vap-prof-wlan-netforward-mode tunnel service-vlan vlan-id 101 security-profile wlan-netssid-profile wlan-netquit应
35、用安全模应用SSID#配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板“wlan-net”的配置。ACwIan-viewap-groupnameap-grouplAC-wlan-ap-group-ap-group1vap-profilewlan-netwlan1radio0AC-wlan-ap-group-ap-grouplvap-profilewlan-netwlan1radio1AC-wlan-ap-group-ap-grouplquitdisplayvapssidwlan-net/displaystationssidwlannet/可以查看到用户已经接入到无线网络wlan-
36、netw中知识点:场景1.无线WLAN需要覆盖的区域分为:室外操场/广场、学术报告厅、学生宿舍、中小型办公室为确保覆盖效果最佳,应选用哪些AP室外AP、高密AP、分布式AP、墙面AP实现用户无线漫游,要配置:AC或无线控制器为了满足网络安全法,用户上网及NAT日志信息至少保存个月,应当部署:日志审计场景2.校总部与分校通过IPSeCVPN互联,IKE密钥协商阶段一般通过协议进行安全密钥交换IPSeC封装有和两种模式,其中模式需要封装新的IP头AH、传输、隧道隧道IPSec协议AHESPIKE功能数据完整性和源认证数据加密密钥生成和分发代表协议MD5、 SHADES、 3DES、 AESDH原始
37、报文:原来的IP头ITCPI数据I传输模式:原来的IP头IAHITCPI数据I隧道模式:新的IP头IAH原来的IP头ITCPI数据存储系统可以通过RAID技术来提升和数据读写性能/性能、数据安全性简述存储系统1和存储系统2的区别,各有什么优劣势,一般用你于什么场景或业务答:存储系统LFC-SAN存储系统2:IP-SANFC-SAN成本更高,小块数据吞吐能力更强,一般用于数据业务IPTAN成本更低,支持的带宽较大,一般用于音视频等数据量大,对带宽要求高的业务场景3:如果DHCP服务器跟客户机不在同一网段,客户机不能获取IP地址,原因是,要解决这个问题可以使用答:DHCPdiscover是广播报文
38、,广播不能跨网段通信,DHCP服务器不能收到客户机的报文,故不呢个正常分配IP地址DHCP中继技术公司部分用户反馈不能正常上网,经排查发现,192网段地址的用户能正常上网,不能正常上网的用户获取的IP地址为10网段的,但DHCP服务器没有配置10网段的地址池,出现这个问题发原因是?入口解决?答:网络中私接路由器,且开启了DHCP功能,部分用户从私接路由器获得了IP地址交换机开启DHCPS,将连接用户的接口设置为UntrUSt场景4:大二层组网(1)校园网采用大二层组网结构,信息中心计划对核心交换机采用堆叠技术,请简述堆叠技术的优点和缺点优点:逻辑上变为一台设备,简化网络管理提升系统可靠性,避免
39、单点故障配合链路聚合等技术,防止接口被生成树阻塞,提升链路利用率缺点:堆叠技术是私有协议,不支持跨厂商设备堆叠系统升级会造成业务中断多台设备堆叠,只有一个主控处于工作状态,存在资源浪费(2)网络试运行一段时间后,在二层网络中发现了大量的广播报文,影响网络的性能。网络管理员在接入层交换机做了如下配置解决了问题:intg003broadcast-suppression80quit问题:简述以上配置的功能答:默认情况下,不对广播流量进行抑制。当广播流量所占该端口传输能力的80%时,系统将会丢弃超出限制的报文,从而使广播流量所占的流量比例降低到限定的范围,保证网络业务的正常运行场景5:从算法原则、适用范围、功能特性三个方面简述RlP和OSPF的区别答:(1)RIP使用距离矢量算法,通过学习其他路由器发布的路由表信息,生成路由表。OSPF首先获取全网的拓扑信息,然后利用SPF最短路径优先算法,生成路由表(2) RIP一般适用于中小型网络OSPF适用于中大型网络(3) RIP和OSPF都是动态路由协议,可以根据拓扑变化更新路由表。RIP配置简单,功能也相对简单,收敛速度慢,易形成环路OSPF支持层次化组网,网络优化、等价负载均衡、报文加密等功能
