最全的HCIA-R&S實驗筆記指南
ARP代理
實驗:如下配置兩臺PC,要求實現兩臺PC的互相通信。
為PC各自配置IP,網關設置為G0/0/0口和G0/0/1接口的IP 配置AR3的接口IP,并開啟相關的服務 [R1-GigabitEthernet0/0/0]undoinfoen//不會提示信息 [R1-GigabitEthernet0/0/0]arp-proxyenable//開啟ARP代理 [R1-GigabitEthernet0/0/1]arp-proxyenable [R1-GigabitEthernet0/0/1]disipintbri//查看所有的接口信息,檢查IP地址是否配上以及接口是否雙up InterfaceIPAddress/MaskPhysicalProtocol GigabitEthernet0/0/0192.168.10.254/24upup GigabitEthernet0/0/1192.168.20.254/24upup [R1-GigabitEthernet0/0/1]disarpall//查看ARP表項 #在PC上做連通性測試
可以通過配置網關實現互通,網關地址為路由器與PC接口的IP
通過ARP代理實現互通,需要改變子網掩碼使不同網段的IP處于同一網段,如本題中的可以將子網掩碼修改為255.255.192.0,即可不通過網關實現互通
劃分VLAN
實驗:如下圖配置PC的IP地址,需求相同VLAN可以互通,不同VLAN不能互通。
[SW1]disvlan//查看VLAN [SW1]vlanbatch1020//創建VLAN10、VLAN20 [SW1]inte0/0/2 [SW1-Ethernet0/0/2]portlink-typeaccess//設置接口類型為Access [SW1-Ethernet0/0/2]portdefaultvlan10//默認劃分進VLAN10 #同樣方法配置e0/0/3接口,劃分進VLAN20 [SW1]intg0/0/1//進入g0/0/1接口 [SW1-GigabitEthernet0/0/1]portlink-typetrunk//配置接口類型為Trunk [SW1-GigabitEthernet0/0/1]porttrunkallow-passvlan1020//設置允許通過的VLAN為1020,VLAN1默認允許通過 #SW2相同的配置 #做連通性測試
hybrid
按照如下拓撲,配置相關IP地址。需求:
不同樓層的HR部門和市場部門實現部門內部通信
兩部門之間不允許通信
IT部門可以訪問任意部門
[SW1]vlanbatch102030//創建VLAN10、20、30 [SW1]disvlan//查看是否創建 [SW1]inte0/0/3//進入e0/0/3接口 [SW1-Ethernet0/0/3]porthybriduntaggedvlan2030//設置允許通信的VLAN [SW1-Ethernet0/0/3]porthybridpvidvlan20//設置PVID [SW1-Ethernet0/0/3]disth//查看當前接口下的命令 #同樣方法配置e0/0/2接口 porthybridpvidvlan10 porthybriduntaggedvlan1030 #配置e0/0/4接口 porthybridpvidvlan30 porthybriduntaggedvlan102030 #配置e/0/1接口 porthybridtaggedvlan102030 默認PVID是VLAN1 #SW2同樣的配置 #進行連通性測試
VLAN間路由
單臂路由
把PC劃分到相應的VLAN
把g0/0/1接口配置成trunk,并允許所有VLAN通過
配置路由器的子接口配置IP地址
子接口配置VLAN ID封裝(dot1q termination vid 10)
接口開啟arp廣播(arp broadcast enable)
如下拓撲圖,為PC配置IP地址。配置單臂路由,實現PC間互通。
#先給PC配置相應的IP地址,網關254 [SW1]vlanbatch102030//創建VLAN [SW1]disvlan//查看VLAN是否創建成功 [SW1]intg0/0/2//進入g0/0/2接口 [SW1-GigabitEthernet0/0/2]portlink-typeaccess//配置接口類型為access [SW1-GigabitEthernet0/0/2]portdefaultvlan10//劃分默認VLAN #同樣的方法配置g0/0/3、g0/0/4接口 #配置trunk接口,并允許所有VLAN通過 [SW1]intg0/0/1 [SW1-GigabitEthernet0/0/1]portlink-typetrunk//配置接口類型為trunk [SW1-GigabitEthernet0/0/1]porttrunkallvlanall//允許所有VLAN通過 #在R1上配置子接口 [R1]intg0/0/0.1//配置子接口 [R1-GigabitEthernet0/0/0.1]ipadd192.168.10.25424//為子接口配置IP #同樣方法配置其他子接口 [R1]disipintbr//查看所有接口詳細信息 #封裝VLAN號 [R1]intg0/0/0.1 [R1-GigabitEthernet0/0/0.1]dot1qterminationvid10//指定vid,即這個接口對應的VLANID [R1-GigabitEthernet0/0/0.1]arpbroadcastenable//開啟ARP的廣播功能 #同樣方法配置其他的子接口 #進行連通性測試
三層交換
實驗:如下拓撲圖,配置相應IP地址。配置三層交換,使PC間互通。
[SW1]intVlanif10//創建VLAN10 [SW1-Vlanif10]ipadd192.168.10.25424//配置IP地址 [SW1-Vlanif10]intvlanif20 [SW1-Vlanif20]ipadd192.168.20.25424 [SW1-Vlanif20]intvlanif30 [SW1-Vlanif30]ipadd192.168.30.25424 #進行連通性測試
STP配置
SW1:4c1f-cc5c-74c7
SW2:4c1f-cc2d-7013
SW3:4c1f-cc80-7370
SW4:4c1f-cc6f-1691
選舉根橋
交換BPDU,比較BPDU,相同
比較MAC地址,SW2的MAC最小,選舉為根橋
選舉根端口
比較路徑開銷,SW1在1號線路到達根橋路徑開銷最小,所以SW1的1接口為RP(同理SW3的1接口、SW4的1接口都為RP)
如果路徑開銷相同,比較BID(優先級、MAC地址)
如果BID也相同,則比較PID(優先級、端口號)
選舉指定端口
在網絡上(每條線路上)選舉指定端口
根橋開銷為0,所以SW2的1、2、3接口都為DP
4號線路上走1、3線路開銷相同,比較BID(優先級、MAC地址),SW1的MAC地址小,則SW1的2接口為DP,SW3的3接口為AP
5號線路上走2、3線路開銷相同,比較BID(優先級、MAC地址),SW4的MAC地址小,則SW4的2接口為DP,SW3的2接口為AP
#查看MAC地址 [SW1]disstp//查看MAC地址 [SW1]disstpbri//查看SW1的STP MSTIDPortRoleSTPStateProtection 0Ethernet0/0/1ROOTFORWARDINGNONE 0Ethernet0/0/2DESIFORWARDINGNONE #Ethernet0/0/1為RP,FORWARDING為正常轉發數據,Ethernet0/0/2為DP [SW2]disstpbri//查看SW2的STP MSTIDPortRoleSTPStateProtection 0Ethernet0/0/1DESIFORWARDINGNONE 0Ethernet0/0/2DESIFORWARDINGNONE 0Ethernet0/0/3DESIFORWARDINGNONE 0Ethernet0/0/4DESIFORWARDINGNONE 0Ethernet0/0/5DESIFORWARDINGNONE [SW3]disstpbri//查看SW3的STP MSTIDPortRoleSTPStateProtection 0Ethernet0/0/1ROOTFORWARDINGNONE 0Ethernet0/0/2ALTEDISCARDINGNONE 0Ethernet0/0/3ALTEDISCARDINGNONE #Ethernet0/0/1為RP,數據正常轉發,Ethernet0/0/2和Ethernet0/0/3為AP,DISCARDING端口關閉,不轉發數據 [SW4]disstpbri//查看SW4的STP MSTIDPortRoleSTPStateProtection 0Ethernet0/0/1ROOTFORWARDINGNONE 0Ethernet0/0/2DESIFORWARDINGNONE
拓展:使SW1為根橋,SW3位次根橋
[SW1]stprootprimary//使SW1成為主根橋 [SW1]disstp//查看cost優先級為0 [SW3]stprootsecondary//使SW3成為次根橋 [SW3]disstp//查看cost優先級為4096 #增長為12次方增長,下一個是8192,一次類推 [SW1]inte0/0/1 [SW1-Ethernet0/0/1]stpcost?//修改接口開銷 INTEGER<1-200000000>Portpathcost [SW1-Ethernet0/0/1]stpcost55
靜態路由協議
實驗:如下拓撲,按照圖上要求配置IP。
#配置本地環回口地址 [R1]intLoopBack1 [R1-LoopBack1]ipad4.4.4.432 #R1上的靜態路由配置 iproute-static2.2.2.2255.255.255.255192.168.12.2 iproute-static3.3.3.3255.255.255.255192.168.13.3 iproute-static4.4.4.4255.255.255.255192.168.12.2preference10 iproute-static4.4.4.4255.255.255.255192.168.13.3preference100 iproute-static192.168.24.0255.255.255.0192.168.12.2 iproute-static192.168.34.0255.255.255.0192.168.12.2 #R2上的靜態路由配置 iproute-static1.1.1.1255.255.255.255192.168.12.1 iproute-static3.3.3.3255.255.255.255192.168.12.1 iproute-static4.4.4.4255.255.255.255192.168.24.4 iproute-static192.168.13.0255.255.255.0192.168.12.1 iproute-static192.168.34.0255.255.255.0192.168.24.4 #R3上的靜態路由配置 iproute-static1.1.1.1255.255.255.255192.168.13.1 iproute-static2.2.2.2255.255.255.255192.168.13.1 iproute-static4.4.4.4255.255.255.255192.168.34.4 iproute-static192.168.12.0255.255.255.0192.168.13.1 iproute-static192.168.24.0255.255.255.0192.168.34.4 #R4上的靜態路由配置 iproute-static1.1.1.1255.255.255.255192.168.34.3preference10 iproute-static2.2.2.2255.255.255.255192.168.24.2 iproute-static3.3.3.3255.255.255.255192.168.34.3 iproute-static192.168.12.0255.255.255.0192.168.34.3preference10 iproute-static192.168.12.0255.255.255.0192.168.24.2 iproute-static192.168.13.0255.255.255.0192.168.34.3preference10 #進行連通性測試,Tracer跟蹤查看數據轉發路徑
save保存配置,重啟后配置依舊生效
用戶視圖下執行reset saved-configuration(清空所有配置),然后reboot重啟
動態路由協議
RIP配置
實驗:如圖配置IP地址
#配置環回接口地址與物理接口地址 [R1]intLoopBack1 [R1-LoopBack1]ipad1.1.1.124 [R1-LoopBack1]intg0/0/0 [R1-GigabitEthernet0/0/0]ipad12.1.1.124 #相同方法配置其他路由器 #配置RIP,對外宣告主網(宣告的為自身已知的主網) [R1]rip1 [R1-rip-1]network1.0.0.0 [R1-rip-1]network12.0.0.0 #相同方法配置其他路由器 #連通性測試
#配置RIP認證方式 [R1]intg0/0/0 [R1-GigabitEthernet0/0/0]ripauthentication-modesimplecipherhuawei [R1-GigabitEthernet0/0/0]q [R1]
RIP環路
網絡發生故障時,RIP網絡有可能會產生環路
環路避免:
水平分割:路由器從某個接口學到的路由,不會從該接口再發回給領居路由
毒性逆轉:路由從某個接口學到路由后,將該路由的跳數設置為16,并從原接收接口發回給領居路由器
觸發更新:當路由信息發生變化時,立即向鄰居設備發送觸發更新報文(避免環路產生)
#RIP配置 [R1]rip//進入RIP協議視圖 [R1-rip-1]version2//更改V2的版本 [R1-rip-1]network10.0.0.0//對外宣告主網 #配置Metricin(度量值) [R1]intg0/0/0 [R1-GigabitEthernet0/0/0]ripmetricin2//更改進接口的度量值 [R1-GigabitEthernet0/0/0]ripmetricout2//更改出接口的度量值 #水平分割&毒性逆轉 [R1-GigabitEthernet0/0/0]ripsplit-horizon//配置水平分割,默認開啟 [R1-GigabitEthernet0/0/0]rippoison-reverse//配置毒性逆轉,默認開啟 #當兩個特性都配置時,只有毒性逆轉會生效 #配置RIP報文的收發 [R1-GigabitEthernet0/0/0]undoripoutput//禁止發送RIP報文 [R1-GigabitEthernet0/0/0]undoripinput//禁止接收RIP報文 #抑制接口,命令優先級大于ripin/output [R1]rip//進入接口視圖 [R1-rip-1]silent-interfaceg0/0/0//抑制接口,只接受RIP報文,不發送
OSPF
實驗一:如圖配置IP,配置OSPF,要求R1、R2、R3互通。
#R1 [R1]ospf1//指定OSPF的進程號1 [R1-ospf-1]area0//進入骨干區域 [R1-ospf-1-area-0.0.0.0]network12.1.1.00.0.0.255//宣告網段 [R1-ospf-1-area-0.0.0.0]net1.1.1.10.0.0.0//宣告精確地址 #R2 [R2]ospf1 [R2-ospf-1]area0 [R2-ospf-1-area-0.0.0.0]net2.2.2.20.0.0.0 [R2-ospf-1-area-0.0.0.0]net12.1.1.20.0.0.0 [R2-ospf-1-area-0.0.0.0]net23.1.1.2 [R2-ospf-1-area-0.0.0.0]net23.1.1.20.0.0.0 #查看鄰居關系 [R1]disospfpeerbri//查看鄰居關系 #R3 [R3]ospf [R3-ospf-1]area0 [R3-ospf-1-area-0.0.0.0]net3.3.3.30.0.0.0 [R3-ospf-1-area-0.0.0.0]net23.1.1.30.0.0.0 #連通性測試
指定Router-id
#如果沒有手動指定router-id會自動選取 [R2]routerid12.1.1.2//手動指定Router-IDresetospfprocess//重新啟動OSPF進程 [R2]disospfpeerbri//查看鄰居關系,Router-ID變成了指定的12.1.1.2 [R2]disospfintg0/0/0//查看接口下的OSPF
OSPF單區域
如圖配置IP地址,需求使用OSPF配置,實現全網互通。
配置OSPF
#R1 [R1]ospfrouter-id1.1.1.1//手動指定Router-id [R1-ospf-1]area0//進入骨干區域 [R1-ospf-1-area-0.0.0.0]net1.1.1.10.0.0.0//精確宣告1.1.1.1 [R1-ospf-1-area-0.0.0.0]net172.16.1.2540.0.0.0//精確宣告172.16.1.254 [R1-ospf-1-area-0.0.0.0]net172.16.13.10.0.0.0//精確宣告172.16.13.1 [R1-ospf-1-area-0.0.0.0]net172.16.12.10.0.0.0//精確宣告172.16.12.1 #R2 [R2]ospfrouter-id2.2.2.2 [R2-ospf-1]area0 [R2-ospf-1-area-0.0.0.0]net2.2.2.20.0.0.0 [R2-ospf-1-area-0.0.0.0]net172.16.2.2540.0.0.0 [R2-ospf-1-area-0.0.0.0]net172.16.23.20.0.0.0 [R2-ospf-1-area-0.0.0.0]net172.16.12.20.0.0.0 #R3 [R3]ospfrouter-id3.3.3.3 [R3-ospf-1]area0 [R3-ospf-1-area-0.0.0.0]net3.3.3.30.0.0.0 [R3-ospf-1-area-0.0.0.0]net172.16.3.2540.0.0.0 [R3-ospf-1-area-0.0.0.0]net172.16.23.30.0.0.0 [R3-ospf-1-area-0.0.0.0]net172.16.13.30.0.0.0 [R1]discuconfospf//查看OSPF的所有配置 [R1]disospfpeerbri//查看OSPF的鄰居狀態 [R1]disiprouting-tableprotocolospf//查看OSPF學習到的路由表 #連通性測試
OSPF多區域
OSPF多區域配置,需求全網互通
配置OSPF
#R1 [R1]ospfrouter-id1.1.1.1//手動指定Router-id [R1-ospf-1]area0//進入骨干區域 [R1-ospf-1-area-0.0.0.0]net1.1.1.10.0.0.0//精確宣告1.1.1.1 [R1-ospf-1-area-0.0.0.0]net172.16.1.2540.0.0.0//精確宣告172.16.1.254 [R1-ospf-1-area-0.0.0.0]net172.16.13.10.0.0.0//精確宣告172.16.13.1 [R1-ospf-1-area-0.0.0.0]net172.16.12.10.0.0.0//精確宣告172.16.12.1 #R2 [R2]ospfrouter-id2.2.2.2 [R2-ospf-1]area0 [R2-ospf-1-area-0.0.0.0]net2.2.2.20.0.0.0 [R2-ospf-1-area-0.0.0.0]net172.16.2.2540.0.0.0 [R2-ospf-1-area-0.0.0.0]net172.16.23.20.0.0.0 [R2-ospf-1-area-0.0.0.0]net172.16.12.20.0.0.0 [R2-ospf-1-area-0.0.0.0]q [R2-ospf-1]area1 [R2-ospf-1-area-0.0.0.1]net172.16.24.20.0.0.0 #R3 [R3]ospfrouter-id3.3.3.3 [R3-ospf-1]area0 [R3-ospf-1-area-0.0.0.0]net3.3.3.30.0.0.0 [R3-ospf-1-area-0.0.0.0]net172.16.3.2540.0.0.0 [R3-ospf-1-area-0.0.0.0]net172.16.23.30.0.0.0 [R3-ospf-1-area-0.0.0.0]net172.16.13.30.0.0.0 [R3-ospf-1-area-0.0.0.0]q [R3-ospf-1]area2 [R3-ospf-1-area-0.0.0.2]net172.16.35.30.0.0.0 #R4 [R4]ospf1//進入OSPF進程 [R4-ospf-1]area1//進入區域1 [R4-ospf-1-area-0.0.0.1]net4.4.4.40.0.0.0//精確宣告IP地址 [R4-ospf-1-area-0.0.0.1]net172.16.24.40.0.0.0 #R5 [R5]ospf1 [R5-ospf-1]area2//進入區域2 [R5-ospf-1-area-0.0.0.2]net5.5.5.50.0.0.0//精確宣告 [R5-ospf-1-area-0.0.0.2]net172.16.35.50.0.0.0 #顯示當前學習到的LSA信息 [R2]disospflsdb//查看連接的數據庫 #連通性測試
OSPF開銷&認證
#修改cost值 [R1]interfaceGigabitEthernet0/0/0 [R1-GigabitEthernet0/0/0]ospfcost20 #修改帶寬 [R1]ospf [R1-ospf-1]bandwidth-reference10000 #基于接口認證 [R1]interfaceGigabitEthernet0/0/0 [R1-GigabitEthernet0/0/0]ospfauthentication-modemd51cipherhuawei
HDLC配置
如圖配置IP地址,使用HDLC接口調用配置接口。
#R1修改端口協議 [R1]ints1/0/0 [R1-Serial1/0/0]link-protocolhdlc//修改為hdlc協議 #R2修改端口協議 [R2]ints1/0/0 [R2-Serial1/0/0]link-protocolhdlc #配置環回口地址 [R1]intlo1 [R1-LoopBack1]ipad12.1.1.132//配置環回口地址 [R1]ints1/0/0 [R1-Serial1/0/0]ipaddressunnumberedinterfaceLoopBack1//接口借用 #添加靜態路由 [R1]iproute-static12.1.1.030s1/0/0 #連通性測試
PPP
PAP認證
如圖拓撲,配置IP地址,配置PPP的PAP認證。
[R1]ints1/0/0 [R1-Serial1/0/0]pppauthentication-modepap//PPP認證模式修改為PAP #AAA認證 [R1]aaa [R1-aaa]local-userbadpasswordcipherhuawei123//配置用戶名和密碼 [R1-aaa]local-userbadservice-typeppp//配置用戶用于PPP #R2上配置 [R2]ints1/0/0 [R2-Serial1/0/0]ppppaplocal-userbadpasswordcipherhuawei123//被認證方認證 #連通性測試
Chap認證
如圖配合IP地址,配置PPP的Chap認證。
R1、R2配置接口IP地址
#配置Chap認證 [R1]ints1/0/0 [R1-Serial1/0/0]pppauthentication-modechap #配置AAA認證 [R1]aaa [R1-aaa]local-userbadpasswordcipherhuawei123//配置用戶名和密碼 [R1-aaa]local-userbadservice-typeppp//配置用戶用于PPP # [R2]ints1/0/0 [R2-Serial1/0/0]pppchapuserbad [R2-Serial1/0/0]pppchappasswordcipherhuawei123 #連通性測試
PPPoE配置
PPPoE Server配置步驟
創建Dialer接口并通過配置IP地址
配置PAP認證
綁定撥號接口
查看被分配的IP地址
如下拓撲,配置PPPoE,使PC與PPPoE Server互通
PPPoE Server配置
#創建并配置虛擬模板 [PPPoEServer]intVirtual-Template1//創建虛擬模板 [PPPoEServer-Virtual-Template1]ipad100.100.100.25424//虛擬模板配置IP地址 [PPPoEServer-Virtual-Template1]pppipcpdns8.8.8.8//配置DNS #創建并配置地址池 [PPPoEServer]ippoolpppoe//創建地址池 [PPPoEServer-ip-pool-pppoe]network100.100.100.0mask24//分配網段 [PPPoEServer-ip-pool-pppoe]gateway-list100.100.100.254//設置網關 #虛擬模板調用地址池并配置認證 [PPPoEServer]intVirtual-Template1//進入虛擬模板接口 [PPPoEServer-Virtual-Template1]remoteaddresspoolpppoe//調用地址池 [PPPoEServer-Virtual-Template1]pppauthentication-modepap//配置認證模式 #物理接口綁定虛擬模板接口 [PPPoEServer]intg0/0/0 [PPPoEServer-GigabitEthernet0/0/0]pppoe-serverbindvirtual-template1//物理接口綁定虛擬模板 #配置AAA認證 [PPPoEServer]aaa [PPPoEServer-aaa]local-userbadpasswordcipherhuawei123 [PPPoEServer-aaa]local-userbadservice-typeppp
PPPoE Client配置
#創建Dialer接口并通過配置IP地址 [PPPoEClient]intDialer1//創建Dialer接口 [PPPoEClient-Dialer1]dialeruserbad//指定Dialer用戶(可配可不配) [PPPoEClient-Dialer1]dialerbundle1//接口綁定 [PPPoEClient-Dialer1]ipadppp-negotiate//通過鄰居分配獲得IP地址 [PPPoEClient-Dialer1]pppipcpdnsrequest//配置接受DNS服務器 #配置PAP認證 [PPPoEClient-Dialer1]ppppaplocal-userbadpasswordcipherhuawei123 #綁定撥號接口 [PPPoEClient]intg0/0/1 [PPPoEClient-GigabitEthernet0/0/1]pppoe-clientdial-bundle-number1 #查看被分配的IP地址,進行連通性測試 [PPPoEClient]ping100.100.100.254 #客戶端物理接口配置IP地址并配置靜態路由 [PPPoEClient]iproute-static0.0.0.00Dialer1 [PPPoEClient]intg0/0/0 [PPPoEClient-GigabitEthernet0/0/0]ipad192.168.43.25424 #PPPoE服務器配置靜態路由(實際情況中無需配置靜態路由) [PPPoEServer]iproute-static0.0.0.00100.100.100.253 #PC上連通性測試
DHCP配置
如下拓撲,配置DHCP,使PC1與PC2自動獲取IP地址
配置接口地址池
配合全局地址池
配置DHCP,使兩臺PC獲得不同網段的IP地址
接口地址池
[DHCPServer]dhcpenable//開啟DHCP服務 [DHCPServer]intg0/0/0 [DHCPServer-GigabitEthernet0/0/0]ipad192.168.43.25424//配置地址 [DHCPServer-GigabitEthernet0/0/0]dhcpselectinterface//接口調用 [DHCPServer-GigabitEthernet0/0/0]dhcpserverdns-list8.8.8.8//配置DNS [DHCPServer-GigabitEthernet0/0/0]dhcpserverexcluded-ip-address192.168.43.244192.168.43.253//不參與分配的IP地址 [DHCPServer-GigabitEthernet0/0/0]dhcpserverleaseday3//IP地址租約 #PC使用DHCP獲取IP地址,查看IP地址
全局地址池
[DHCPServer]dhcpenable//開啟DHCP服務 [DHCPServer]ippoolbad//創建全局地址池 [DHCPServer-ip-pool-bad]net192.168.43.0mask24//添加一個網段 [DHCPServer-ip-pool-bad]gateway-list192.168.43.254//配置網關 [DHCPServer-ip-pool-bad]dns-list114.114.114.114//配置DNS [DHCPServer-ip-pool-bad]excluded-ip-address192.168.43.250192.168.43.253//不參與分配的IP地址 [DHCPServer-ip-pool-bad]leaseday5//IP地址租約時間 [DHCPServer-ip-pool-bad]disippool//查看地址池的相關信息 #將接口使用本地地址池 [DHCPServer]intg0/0/0 [DHCPServer-GigabitEthernet0/0/0]dhcpselectglobal//調用本地的地址池 [DHCPServer-GigabitEthernet0/0/0]ipad192.168.43.25424//接口添加IP地址(與地址池的地址同一網段) #PC查看獲取的IP地址
拓展:兩臺PC分配不同網段的IP(此處的配置是繼續上面的實驗)
方法一:配置單臂路由,配置子接口
#交換機上的配置 [SW1]vlan10 [SW1-vlan10]vlan20 [SW1-vlan20]intg0/0/2 [SW1-GigabitEthernet0/0/2]portlink-typeaccess [SW1-GigabitEthernet0/0/2]portdefaultvlan10 [SW1-GigabitEthernet0/0/2]intg0/0/3 [SW1-GigabitEthernet0/0/3]portlink-typeaccess [SW1-GigabitEthernet0/0/3]portdefaultvlan20 [SW1-GigabitEthernet0/0/3]intg0/0/1 [SW1-GigabitEthernet0/0/1]portlink-typetrunk [SW1-GigabitEthernet0/0/1]porttrunkallow-passvlan1020 #路由器上配置 [DHCPServer]intg0/0/0 [DHCPServer-GigabitEthernet0/0/0]undodhcpselectglobal//刪除DHCP的配置 [DHCPServer-GigabitEthernet0/0/0]undoipadd//刪除IP地址 #配置子接口 [DHCPServer]intg0/0/0.1 [DHCPServer-GigabitEthernet0/0/0.1]dot1qterminationvid10//封裝VLANID [DHCPServer-GigabitEthernet0/0/0.1]arpbroadcastenable//開啟ARP轉發 [DHCPServer-GigabitEthernet0/0/0.1]ipadd192.168.43.25424//配置IP地址 [DHCPServer-GigabitEthernet0/0/0.1]intg0/0/0.2 [DHCPServer-GigabitEthernet0/0/0.2]dot1qterminationvid20 [DHCPServer-GigabitEthernet0/0/0.2]arpbroadcastenable [DHCPServer-GigabitEthernet0/0/0.2]ipadd192.168.53.25424 #查看地址池 [DHCPServer]disippool #創建地址池 [DHCPServer]ippoolboy [DHCPServer-ip-pool-boy]net192.168.53.0mask24//分配的網段 [DHCPServer-ip-pool-boy]gateway-list192.168.53.254//網關 [DHCPServer-ip-pool-boy]leaseday3//IP地址租約 [DHCPServer-ip-pool-boy]dns-list8.8.8.8//DNS服務器 [DHCPServer-ip-pool-boy]excluded-ip-address192.168.53.200192.168.53.253//不參與分配的IP地址 #查看地址池 [DHCPServer]disippool #接口調用地址池 [DHCPServer]intg0/0/0.1 [DHCPServer-GigabitEthernet0/0/0.1]dhcpselectglobal//調用全局地址池 [DHCPServer-GigabitEthernet0/0/0.1]intg0/0/0.2 [DHCPServer-GigabitEthernet0/0/0.2]dhcpselectglobal//調用地址池 #PC查看獲取的IP地址
方法二:DHCP中繼
#配置DHCP中繼 [SW1]dhcpenable [SW1]intVlanif10 [SW1-Vlanif10]dhcpselectrelay [SW1-Vlanif10]dhcprelayserver-ip192.168.43.254//DHCP服務器的出接口地址 [SW1-Vlanif10]q [SW1]intVlanif20 [SW1-Vlanif20]dhcpselectrelay [SW1-Vlanif20]dhcprelayserver-ip192.168.43.254
AAA
配置AAA步驟:
起aaa(aaa)
配置本地用戶和密碼(local-user bad password cipher huawei@123)
應用的服務類型(local-user bad service-type telnet)
設置權限(local-user bad privilege level 5)
允許同時登錄的用戶數量(user-interface vty 0 4)
修改認證模式(authentication-mode aaa)
配置Telnet和Stelnet登錄
[AC1]telnetserverenable//開啟Telnet服務 [AC1]aaa//配置aaa [AC1-aaa]local-userbadpasswordcipherhuawei@123//創建用戶并設置密碼 [AC1-aaa]local-userbadservice-typetelnet//設置賬戶類型 [AC1-aaa]local-userbadprivilegelevel5//設置等級 Warning:Thisoperationmayaffectonlineusers,areyousuretochangetheuserprivilegelevel?[Y/N]y [AC1-aaa]q [AC1]user-interfacevty04 [AC1-ui-vty0-4]protocolinboundall//允許登錄接入用戶類型的協議 [AC1-ui-vty0-4]authentication-modeaaa//修改aaa認證模式 [AC1-ui-vty0-4]returntelnet192.168.43.120//Telnet登錄
Stelnet登錄
#生本地rsa密鑰 [FWQ]rsalocal-key-paircreate//創建密鑰 Thekeynamewillbe:Host %RSAkeysdefinedforHostalreadyexist. Confirmtoreplacethem?(y/n)[n]:y//y確認 Therangeofpublickeysizeis(512~2048). NOTES:Ifthekeymodulusisgreaterthan512, Itwilltakeafewminutes. Inputthebitsinthemodulus[default=512]:512//密鑰長度 Generatingkeys... #配置AAA認證 [FWQ]aaa [FWQ-aaa]local-userbadpasswordcipherhuawei@123//創建用戶及密碼 [FWQ-aaa]local-userbadservice-typessh//配置用戶允許登錄方式 [FWQ-aaa]local-userbadprivilegelevel5//設置賬戶等級 [FWQ-aaa]q [FWQ]user-interfacevty04//配置允許用戶登錄 [FWQ-ui-vty0-4]authentication-modeaaa//用戶登錄的方式 [FWQ-ui-vty0-4]protocolinboundssh//允許通過ssh登錄 #在系統視圖下創建一個用戶,指定ssh登錄方式為密碼登錄 [FWQ]sshuserbadauthentication-typepassword//配置密碼登錄 [FWQ]stelnetserverenable//開啟Stelnet服務
客戶端配置
#開啟首次認證 [KH]sshclientfirst-timeenable #Stelnet登錄 [KH]stelnet2.2.2.29 Pleaseinputtheusername:bad//用戶名 Trying2.2.2.29... PressCTRL+Ktoabort Connectedto2.2.2.29... Theserverisnotauthenticated.Continuetoaccessit?(y/n)[n]:y//y確認 Apr220202028-08:00KH%%01SSH/4/CONTINUE_KEYEXCHANGE(l)[0]:Theserverhadnotbeenauthenticatedintheprocessofexchangingkeys.Whendecidingwhethertocontinue,theuserchoseY. [KH] Savetheserver'spublickey?(y/n)[n]:y//y確認 Theserver'spublickeywillbesavedwiththename2.2.2.29.Pleasewait... Apr220202030-08:00KH%%01SSH/4/SAVE_PUBLICKEY(l)[1]:Whendecidingwhethertosavetheserver'spublickey2.2.2.29,theuserchoseY. [KH] Enterpassword://密碼
ACL配置
基本ACL配置
acl2000 ruledenysource192.168.1.00.0.0.255 interfaceGigabitEthernet0/0/0 traffic-filteroutboundacl2000//出方向調用2000規則
高級ACL配置
acl3000 #拒絕192.168.1.0網段主機訪問172.16.10.1的FTP(21端口) ruledenytcpsource192.168.1.00.0.0.255destination172.16.10.10.0.0.0destination-porteq21 #拒絕192.168.2.0主機訪問172.16.10.2的所有服務 ruledenytcpsource192.168.2.00.0.0.255destination172.16.10.20.0.0.0 rulepermitip//允許其它,默認為拒絕 traffic-filteroutboundacl3000//接口出方向調用此ACL
實驗:如下拓撲圖,配置IP地址,配置RIP,使PC間互通,通過配置ACL,阻止PC互通。
AR2上配置ACL
[AR2]acl2000 [AR2-acl-basic-2000]ruledenysource192.168.1.00.0.0.255//配置ACL [AR2-acl-basic-2000]rulepermit//放行其他的IP [AR2-acl-basic-2000]q [AR2]intg0/0/0 [AR2-GigabitEthernet0/0/0]traffic-filterinboundacl2000//接口入方向調用ACL
ACL控制訪問FTP服務器
[AR3]acl3000//配置ACL #禁止192.168.1.0訪問192.168.2.100的FTP服務器 [AR3-acl-adv-3000]ruledenytcpsource192.168.1.00.0.0.255destination192.168.2.1000destination-porteq21 [AR3-acl-adv-3000]q [AR3]intg0/0/0 [AR3-GigabitEthernet0/0/0]traffic-filterinboundacl3000//接口入方向調用ACL
NAT配置
如下拓撲,完成相關IP地址配置,完成相關需求。
靜態NAT
[R1]intg0/0/0 [R1-GigabitEthernet0/0/0]natstaticglobal202.169.10.3inside172.16.1.1//建立公網地址與私網地址的映射關系
Easy IP
#刪除靜態NAT [R1]intg0/0/0 [R1-GigabitEthernet0/0/0]undonatstaticglobal202.169.10.3inside172.16.1.1 #調用ACL [R1]acl2000//配置ACL [R1-acl-basic-2000]rulepermit//配置允許所有通過 [R1-acl-basic-2000]q [R1]intg0/0/0 [R1-GigabitEthernet0/0/0]natoutbound2000//接口調用ACL [R1-GigabitEthernet0/0/0]q [R1]disnatoutbound//查看
動態NAT
#刪除EasyIP配置 [R1]intg0/0/0 [R1-GigabitEthernet0/0/0]undonatoutbound2000 [R1-GigabitEthernet0/0/0]q [R1]undoacl2000 #創建公網地址池 #創建名為1范圍為202.169.10.2-202.169.10.50的地址池 [R1]nataddress-group1202.169.10.2202.169.10.50 #創建名為2范圍為202.169.10.100-202.169.10.200的地址池 [R1]nataddress-group2202.169.10.100202.169.10.200 #配置ACL [R1]acl2000 [R1-acl-basic-2000]rulepermitsource172.16.1.00.0.0.255 [R1-acl-basic-2000]q [R1]acl2001 [R1-acl-basic-2001]rulepermitsource172.17.1.00.0.0.255 #公網地址池調用ACL [R1]intg0/0/0 [R1-GigabitEthernet0/0/0]natoutbound2000address-group1no-pat [R1-GigabitEthernet0/0/0]natoutbound2001address-group2no-pat #查看地址池 [R1]disnatoutbound NATOutboundInformation: ----------------------------------------------------------------------- InterfaceAclAddress-group/IP/InterfaceType ----------------------------------------------------------------------- GigabitEthernet0/0/020001no-pat GigabitEthernet0/0/020012no-pat ----------------------------------------------------------------------- Total:2
NAT Server
#刪除動態NAT配置 [R1]intg0/0/0 [R1-GigabitEthernet0/0/0]undonatoutbound2000address-group1no-pat [R1-GigabitEthernet0/0/0]undonatoutbound2001address-group2no-pat [R1-GigabitEthernet0/0/0]q [R1]undoacl2000 [R1]undoacl2001 #重新配置ACL,并調用 [R1]acl2000 [R1-acl-basic-2000]rulepermit [R1-acl-basic-2000]q [R1]intg0/0/0 [R1-GigabitEthernet0/0/0]natoutbound2000
配置NAT Server
#配置ftp端口映射 [R1]intg0/0/0 [R1-GigabitEthernet0/0/0]natserverprotocoltcpglobalcurrent-interfaceftpinside172.16.1.3ftp
來源:https://blog.csdn.net/qq_45668124/article/details/105776541
審核編輯:劉清
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
路由器
+關注
關注
22文章
3737瀏覽量
114005 -
VLAN技術
+關注
關注
0文章
45瀏覽量
6400 -
STP
+關注
關注
0文章
42瀏覽量
10285 -
VLAN通信
+關注
關注
0文章
18瀏覽量
5652 -
TCP調試
+關注
關注
0文章
3瀏覽量
3893
發布評論請先 登錄
相關推薦
R&;amp;amp;S SMC100A射頻信號源的主要特點及應用分析
此類儀器靈活且功能廣泛,適合維修和維護實驗室。 因小巧尺寸及輕量化設計,R&;amp;S?SMC100A 也非常適合現場應用或培訓及教育環境。
發表于 12-08 09:46
?1493次閱讀
R&;amp;amp;S RTB2000數字示波器的功能特點及應用分析
R&;amp;S RTB2000數字示波器以 10 為性能參數標志(10 位 ADC、10 Msample 存儲和 10.1“ 觸屏),并結合智能操作理念,適用于大學實驗室、開發
發表于 12-08 09:58
?1927次閱讀
R&;amp;amp;S ZNLE矢量網絡分析儀的主要特點及應用優勢
R&;amp;S?ZNLE 矢量網絡分析儀契合“Measurements as easy as ABC”的標語: 易于配置、易于校準、易于測量。 聞名遐邇的優質設計、創新的用戶界面以及緊湊尺寸使
發表于 12-09 09:29
?1404次閱讀
R&;amp;amp;S FSC3臺式頻譜分析儀的主要特點及應用范圍
羅德與施瓦茨的R&;amp;S?FSC是一款高性價比,小體積的臺式頻譜分析儀,它具備羅德與施瓦茨一貫的高品質,可以滿足所有重要的頻譜分析任務。R&;
發表于 12-09 09:41
?1070次閱讀
R&;amp;amp;S FSL6臺式信號分析儀的功能特點及應用范圍
R&;amp;S?FSL 是一款多功能而且經濟實用的信號分析儀。R&;amp;S?F
發表于 12-09 09:46
?1288次閱讀
DS21S07AE/T&R DS21S07AE/T&R - (Maxim Integrated) - 接口 - 信號端接器
電子發燒友網為你提供()DS21S07AE/T&R相關產品參數、數據手冊,更有DS21S07AE/T&
發表于 11-15 20:40
DS2108S+T&;R DS2108S+T&;R - (Maxim Integrated) - 接口 - 信號端接器
電子發燒友網為你提供()DS2108S+T&;R相關產品參數、數據手冊,更有DS2108S+T&;R的引腳圖、接線圖、封裝手冊、中文資料、英文資料,DS2108
發表于 11-15 20:49
DS21T07S+T&;R DS21T07S+T&;R - (Maxim Integrated) - 接口 - 信號端接器
電子發燒友網為你提供()DS21T07S+T&;R相關產品參數、數據手冊,更有DS21T07S+T&;R的引腳圖、接線圖、封裝手冊、中文資料、英文資料,DS21T07
發表于 11-15 20:54
DS2188S/T&R DS2188S/T&R - (Maxim Integrated) - 專用 IC
電子發燒友網為你提供()DS2188S/T&R相關產品參數、數據手冊,更有DS2188S/T&
發表于 11-16 20:13
DS12R885S-33+T&;R 時鐘/定時 - 實時時鐘
電子發燒友網為你提供Maxim(Maxim)DS12R885S-33+T&;R相關產品參數、數據手冊,更有DS12R885S-33+T&;R的引腳圖、接線圖、封裝手冊、中文
發表于 11-18 22:20
DS12R885S-5+T&;R 時鐘/定時 - 實時時鐘
電子發燒友網為你提供Maxim(Maxim)DS12R885S-5+T&;R相關產品參數、數據手冊,更有DS12R885S-5+T&;R的引腳圖、接線圖、封裝手冊、中文資料
發表于 11-18 22:21
DS2175S+T&;R 接口 - 電信
電子發燒友網為你提供Maxim(Maxim)DS2175S+T&;R相關產品參數、數據手冊,更有DS2175S+T&;R的引腳圖、接線圖、封裝手冊、中文資料、英文資料,DS
發表于 01-14 19:05
DS1259S+T&;R PMIC - 電池管理
電子發燒友網為你提供Maxim(Maxim)DS1259S+T&;R相關產品參數、數據手冊,更有DS1259S+T&;R的引腳圖、接線圖、封裝手冊、中文資料、英文資料,DS
發表于 01-31 19:40
詳細的HCIA-R&;amp;S實驗筆記分享
比較路徑開銷,SW1在1號線路到達根橋路徑開銷最小,所以SW1的1接口為RP(同理SW3的1接口、SW4的1接口都為RP)
發表于 07-18 10:28
?461次閱讀
工商網監
評論