华为设备简单入门
华为设备
VRP
是华为数据通信产品的通用网络操作平台,可通过它对设备进行操作
输入命令时,若不记得,可通过命令行获取相关提示,也可通过快捷键进行简化输入
视图
-
用户视图
默认进入设备显示为用户视图
-
系统视图
通过 system-view 进入
-
接口视图
通过 int 接口 进入
-
ACL视图
-
VLAN视图
-
OSPF视图
-
AAA视图
-
退出
quit 命令用于从任意视图退回上一个视图
return 这是立刻退回至用户视图
操作
重命名
在系统视图下:sysname RENAME
设置系统时钟
// 在用户视图下
// 为保证与其他设备协调工作需要配置系统时钟
clock datetime 12:00:00 2020-02-02 // 时间
clock timezone BJ add 08:00:00 // 时区
查看信息
display version // 查看版本信息
display current-configuration // 查看当前配置
display mac-address // 查看 mac 地址
保存配置
save
切换语言
// 用户视图下
language-mode [English, Chinese]
设置标题
header login information 信息 // 载入时信息
header shell information 信息 // 远程时信息
历史命令
// 使用上箭头或 ctrl+p 可访问上一命令
// 使用下箭头或 ctrl+n 可访问下一命令
// 默认保存10条命令
// 显示历史命令
display history-command
undo
- 可用于恢复默认配置
- 可用于禁用某些功能
- 可用于删除某些配置
// 恢复默认名称
undo sysname
// 禁用信息显示
undo in en
// 删除接口配置
undo ip address
恢复出厂设置
reset saved-configuration
重启
reboot
取消干扰信息
undo terminal monitor
mac 地址
// 添加 mac 地址
// MAC-Address mac 地址
// e0/0/0 自定义接口
// VlanID 自定义 vlanid
mac-address static MAC-Address e0/0/0 vlan VlanID
// 清除
reset arp all
登录管理
Console 接口登录
永不超时
user-interface console 0 // 进入 console 接口
idle-timeout 0 // 超时时间为 0 即 永不超时
密码认证
user-interface console 0
authentication-mode password // 验证模式 密码认证
set authentication password simple 123456 // 设置验证密码 简单密码 123456
AAA认证
user-interface console 0
authentication-mode aaa // 验证模式 AAA认证
quit
aaa // 进入 aaa 模式
local-user admin password simple 123456 // 本地用户 admin 密码 简单密码 123456
local-user admin password cipher 123456 // 本地用户 admin 密码 密文密码 123456
local-user admin service-type terminal // 本地用户 admin 服务类型 终端
远程登录
// 开启 Telnet
telnet server enable
Telnet 方式
password 登录
user-interface vty 0 4
authentication-mode password // 认证模式 password
set authentication passowrd simple 123456 // 设置 认证 密码 简单密码 123456
user privilege level 2 // 用户等级 2
idle-timeout 15 // 断连时间 15 分
AAA 登录
aaa
// 本地用户 admin 密码密文 123456 等级 2
local-user admin passowrd cipher 123456 privilege level 2
// 本地用户 admin 登录方式 telnet
local-user admin service-type telent
quit
user-interface vty 0 4
authentication-mode aaa // 认证模式 aaa
quit
远程 IP
// 远程管理 ip
int vlanif 1
ip add 192.168.1.254 24
// pc
192.168.1.1 24
STelnet 方式
// 开启 ssh 服务
stelnet server enable
// 配置远程管理ip
int vlanif 1
ip add 192.168.1.254 24
// 生成本地 rsa 秘钥对
rsa local-key-pair create
// ssh 首次认证
ssh cl fi en
// ssh 用户验证类型 password
ssh user admin authentication-type password
// ssh 用户服务类型 stelnet
ssh user admin service-type stelnet
AAA 登录
aaa
// 本地用户 admin 密码密文 123456 等级 2
local-user admin passowrd cipher 123456 privilege level 2
// 本地用户 admin 登录方式 ssh
local-user admin service-type ssh
quit
user-interface vty 0 4
authentication-mode aaa // 认证模式 aaa
protocol inbound ssh // 仅支持 ssh 协议
quit
// ssh用户端首次认证
ssh client first-time enable
命令级别
- 0 参观级 只能进行如诊断工具命令(ping,tracert),部分 display 命令
- 1 监控级 主要用于系统维护,业务故障诊断,包括部分display,debugging命令
- 2 配置级 主要用于业务配置,包括路由,各个网络层次命令,可向用户提供直接网络服务
- 3 - 15 为管理级,涉及系统基本运行,系统支撑模块等
配置接口
接口组
// 组内配置会自动为组成员配置
port-group 1 // 创建接口组 1
group-member e0/0/2 to e0/0/8 // 划分组成员为 e0/0/2 - e0/0/8 即 2,3,4,5,6,7,8 接口
接口模式
// access 普通模式 只能在某个 vlan 中通信
// trunk 中继器模式 可在任意 vlan 中通信
int e0/0/1
port link-type access // 接口模式为 access
port link-type trunk // 接口模式为 trunk
接口带宽
// 接口每秒传输数据量
int e0/0/1
// 10Mbit/s
// 100Mbit/s
// Auto 自协商
speed 10 | 100 | Auto
// 关闭自协商
// 先关闭自协商再手动指定接口速率
undo negotiation auto
接口双工模式
// 接口协商模式不一致会导致异常
int e0/0/1
// full 全双工 同时收发数据
// half 半双工 同时只能接收或发送数据一个操作
duplex full | half
// 先关闭自协商再手动指定
配置 trunk
interface g0/0/1 // 进入接口
port link-type trunk // 接口模式为 trunk
port trunk allow-pass vlan VlanId | all // all 为通过所有vlan, VlanId 为指定 vlan,多个vlan以空格隔开
vlan 配置
查看 vlan
display vlan
创建 vlan
vlan VlanId // VlanId 自定义vlanid 1 ~ 4094
description VLANNAME // VLANNAME 自定义的 vlan 名称
undo vlan VlanId // 删除vlan
vlan batch 10 20 30 // 创建 10,20,30 vlan
vlan batch 10 to 30 // 创建 10 ~ 30 vlan
分配 vlan
interface E0/0/1 // 进入接口
port link-type access // 接口模式设为 access
port default vlan 10 // 划分到 vlan 10 中
port-grpup 1 // 创建接口组 1
group-member e0/0/5 to e0/0/8 // 组成员为 e0/0/5 - e0/0/8 .... 5,6,7,8
port link-type access // 组成员接口模式设为 access
port default vlan 10 // 组成员划分到 vlan 10 中
链路聚合
又称接口汇聚,指两台交换机之间物理上多个接口链接起来,将多条链路聚合为一条逻辑链路
从而增加链路宽带,使链路之间可以互相冗余备份
interface eth-trunk 1 // 创建 id 为 1 的 eth-trunk 聚合接口
quit
interface g0/0/1
eth-trunk 1 // 加入 g/0/01 到 eth-trunk 1 中
// 添加完毕成员后
// eth-trunk 接口下
port link-type trunk // 设置接口链路类型为 trunk
// 在聚合接口下添加成员
trunkport g0/0/1
trunkport g0/0/1 to g0/0/2
// 删除用 undo
STP (Spanning Tree Protocol)
即生成树协议
可将有环路的物理拓扑变为无环路的逻辑拓扑,从而为网络提供安全机制,使得冗余拓扑中不会产生交换环路问题
// 三层交换机
// 首先需要创建 vlan
// 划分接口给 vlan
// 所有与其他交换机相连接口需要做 trunk 放通划分 vlan
// 二层交换机
// 建立 vlan
// 客户机接口划分默认 vlan
// 与三层交换机相连接口做 trunk 放通 vlan
// 开启 STP
// 系统视图下
// 交换机都要配置
// stp 开启
stp enable
// stp 模式 stp
stp mode stp
// // 指定根交换机
// 配置优先级
// 系统视图下
// 优先级为 0
// 优先级值在 0 ~ 65535 默认 32768
// 要求设为 4096 倍数
stp priority 0
// 使用命令
// 系统视图下
// 需要先删除配置优先级
// 根交换机
stp root primary
// 备用根交换机
stp root secondary
// //
RSTP(Rapid Spanning Tree Protocol)
即快速生成树协议
发生网络故障时,STP 的网络拓扑结构会发生变化,网络收敛需要较长时间
RSTP 改进了 STP,收敛速度可缩短至一秒内
与 STP 配置基本相同
不同点:
// 系统视图下
stp enable
// stp mode stp 变更
stp mode rstp
// 配置边缘接口
// 接口视图下
// 将该接口设置为边缘接口
// 节省接口从初始启动到转发状态的时间间隔
// 默认不参与生成树计算
// 不经历转发延迟
// 关闭或激活不触发 RSTP 拓扑变更
// 通常将与终端设备连接的接口设置
stp edged-port enable
DHCP(Dynamic Host Configuration Protocol)
即动态主机配置协议
可有规划的划分 IP 地址,也可避免用户私设 IP 引起的地址冲突
三层交换机提供 DHCP 技术,能动态分配 IP 地址及 DNS 服务地址等网络参数
可以使得用户零配置上网
// 二层交换机
// 首先创建 vlan
// 一个 vlan 代表一个地址池范围
// 然后划分接口配置默认 vlan
// 进入与三层交换机相连的接口做 trunk 并放通 vlan
// // 三层交换机
// 创建 vlan
// 进入与二层交换机相连的接口做 trunk 并放通 vlan
// 开启 DHCP
// 系统视图下
dhcp enable
// 系统视图下
// 建立地址池 V10 V10 为自定义的合法地址池名称
ip pool V10
// 发布网段 10.10.10
// 掩码 255.0.0.0
network 10.10.10.0 mask 255.0.0.0
// 配置网关
gateway-list 10.10.10.254
// 设置租期为 8 天
lease 8
// dns 服务器 5.5.5.5
dns-list 5.5.5.5
// 进入 vlan 视图
// 为 vlan 配置对应的网关地址及掩码
// 配置设备指定接口采取全局地址
// vlan 视图下
// dhcp 配置选择 全局配置
dhcp select global
// dhcp 配置选择 接口配置
// 接口配置与全局配置基本相同
// 此 dhcp 配置在接口中
dhcp select interface
// //
// 保留地址
// 保留了 5 - 15 这个范围的 IP 地址
excluded-ip-address 10.10.10.5 10.10.10.15
VRRP (Virtual Router Redundancy Protocol)
即虚拟路由器冗余协议
是一种选择协议,可将虚拟路由器责任动态分配至局域网内的一台 VRRP 路由器
控制虚拟路由器 IP 地址的 VRRP 路由器为 Master 路由器,负责将数据包进行分发
一旦 Master 不可用,可提供动态的故障转移机制
由 Backup 路由器代替 Master路由器故障时的工作
允许虚拟路由器的 IP 地址作为 终端主机的默认第一跳路由
优势为更高的默认路由的可用性,无须在终端主机上配置动态路由或路由发现协议
// 二层交换机
// 创建 vlan
// 划分接口默认 vlan
// 与 三层交换机 相连的接口配置 trunk 放通 vlan
// // 三层交换机
// 创建 vlan
// 与 二层交换机 相连的接口配置 trunk 放通 vlan
// 配置 vlan 的 IP 地址
// 配置 VRRP
// vlan 视图下
// 配置虚拟接口 IP
// 与当前 vlan ip 同段
// 一台虚拟路由器可拥有多个 IP 地址
// vrid 虚拟路由器的标识,相同的 vrid 的路由器组成一台虚拟 Master 路由器
vrrp vrid 1 virtual-ip 192.168.100.254
// 配置优先级
// 根据优先级确定虚拟路由器中每台路由器的地位
vrrp vrid 1 priority 150
// 配置抢占模式和延迟时间
// 非抢占模式
// Master 无故障, Backup 即使优先级比 Master 高也不会成为 Master
// 抢占模式
// Backup 优先级比 Master 高,则代替 Master
vrrp vrid 1 preempt-mode timer delay 5
// 将 g/0/23 配置为跟踪接口
vrrp vrid 1 track interface g0/0/23
// 查看 VRRP 服务
display vrrp brief
// 1 为 vrrp id
display vrrp 1
// //
查看路由
// 查看路由表
display ip routing-table
单臂路由
划分 vlan 之后,vlan 是无法互通的,但是使用单臂路由可以解决此问题。
// 首先交换机划分 vlan
// 划分接口默认 vlan
// 与路由器相连接口进行 trunk 放通 vlan
// 假设路由器与交换机连接的接口是 g0/0/0
// 创建子接口
int g0/0/0.1
// 配置 ip 地址
// 封装 802.1Q 协议
// 假设当前接口对应的 vlan 是 vlan 10
dot1q termination vid 10
// 开启 arp 广播
// 不配置会导致子接口不主动发送 arp 报文
// 以及对外转发 ip 报文
arp broadcast enable
静态路由
适用于规模较小,不经常变动,简单的网络环境
// 首先配置交换机
// 创建 vlan 并划分接口默认 vlan
// 配置 vlan 的 ip 地址
// 路由器配置相连接口 ip
// 添加 静态路由
// 所有不能直达的网络都需要添加静态路由
ip route-static 目标网段 掩码 下一跳地址
默认路由
默认路由与静态路由配置基本相同。
唯一不同的就是路由的配置。
ip rou 0.0.0.0 0.0.0.0 下一跳地址
浮动路由
就是路由器之间多个接口相连,并配置接口优先级。
配置与静态,默认路由基本相同。
ip rou 目标网段 掩码 下一跳地址
ip rou 目标网段 掩码 下一跳地址 pr 权重
动态路由 RIP
配置基本相同。
// 系统视图下
// 进入 rip 视图
rip
// 切换版本 2
v 2
// 自动汇总
summary always
// 发布网段 (需要根据掩码)
// 如 掩码 255.0.0.0
// 则 发布 x.0.0.0
net x.x.x.x
OSPF
首先配置完毕相关接口及IP。
单域
// 系统视图下
// 1 是 ospf 进程号
ospf 1
// 0 是区域号 0 是骨干区域
area 0
// 发布网段
// 网段需要根据掩码
net x.x.x.x 反码
多域
与单域配置基本相同,只是需要划分多个 OSPF 区域。
需要注意,路由器相连接口需要划分到一个区域。
// 系统视图下
ospf 1
area 0
// 发布当前区域的网段
net x.x.x.x 反码
// 切换区域
area 1
// 发布当前区域的网段
net x.x.x.x 反码
路由重分发
大型网络中,有时有多种路由协议共存,此时需要进行路由重分发。
// 首先完成相关路由配置
// 假设 Router 左侧为 RIP 协议
// 右侧为 OSPF 协议
// 左右路由分别是 1.1.1.1 和 2.2.2.2
// 因为 左侧为 RIP 协议
// 因此需要先配置 RIP 发布 1.1.1.0 的网段
// 右侧 OSPF 协议相同
// Router 中
// 进入 rip 中
// 导入 ospf 1 的路由
import-route ospf 1
// 进入 ospf
// 导入 rip 1 的路由
import-route rip 1
网络安全
接口安全
// 接口视图下
// 开启接口安全
port-security enable
// 设置当前接口只能由 MAC 地址 MAC-ADDRESS 的设备访问
port-security mac-address sticky MAC-ADDRESS
// 设置安全 MAC 地址最大数为 1
port-security max-mac-num 1
// 设置其他非安全 MAC 地址数据帧处理动作为 关闭接口
port-security protect-action shutdown
// 设置安全 MAC 地址老化时间为 300s
port-security aging-time 300
访问控制列表(Access Control List)
由一系列规则组成的集合,通过规则对报文分类处理。
通常由若干条 deny(拒绝) | permit(允许) 语句组成。
基本访问控制列表
范围只能在 2000 - 2999。
// 系统视图下
acl 2000
// 规则 拒绝 源 IP地址 反码
// deny 拒绝 permit 允许
rule deny source IP-ADDRESS MASK
// 接口视图下
// 传输过滤 输出 规则 2000
// outbound 输出
// inbound 输入
traffic-fillter outbound acl 2000
高级访问控制列表
范围 3000 - 3999。
需要尽量应用在靠近源地址的接口,允许某个网段后需要拒绝其他网段。
对于 FTP 须指定 FTP(21)和 FTP-DATA(20)。
// 系统视图下
acl 3000
// 规则 id5 拒绝 tcp 源 IP-ADDRESS 反码 访问目标 IP-ADDRESS 反码 目标端口 范围 20 21
rule 5 deny tcp source IP-ADDRESS MASK destination IP-ADDRESS MASK destination-port range 20 21
//规则 id10 允许 tcp 源 IP-ADDRESS 反码 访问目标 IP-ADDRESS 反码 目标端口 等于 80
// gt 大于
// lt 小于
rule 10 permit tcp source IP-ADDRESS MASK destination IP-ADDRESS MASK destination-port eq 80
网络地址转换(Network Address Translation)
将企业内部的自定义私有 IP 转换为可识别的公网 IP。
华为设备简单入门
http://localhost:8080/archives/a040619e-50ac-41b0-a1fd-0fa1c0aa9a73