文章目录
- 1. 熟悉华为
- 2. 虚拟局域网
- 3. vlan基本命令
- access 端口模式
- trunk端口模式
- hybrid端口模式
- 4. 生成树协议 spanning tree protocol
- 5. DHCP服务器
- 配置基于全局模式的DHCP服务器
- 配置基于端口模式的DHCP服务器
- 配置中继代理服务器
- 6. 虚拟路由冗余协议VRRP(Virtual Router Redundancy Protocol)
- VRRP的特性
- 链路跟踪
- 认证加密
1. 熟悉华为
- < Huawei > 用户视图
- < Huawei >system-viem
- [ Huawei ]系统视图
- [Huawei]interface Ethernet 0/0/1 进入接口
文章图片
- [Huawei-thernet 0/0/1] 接口视图
- quit 返回上一视图
- ctrl+z 直接返回用户视图
- 帮助
? 获取帮助信息
?TAB补全
?命令简写
- 切换语言模式(支持中英文两种语言模式Chinese/English)
- < Huawei> language-mode Chinese
Change language mode, confirm? [Y/N] y
- < Huawei > display version 查看VRP系统版本
- [Huawei]sysname switch 修改主机名
[Switch]
- 配置明文console 口令:
[switch]user-interface console 0 进入console 0 唯一端口
[switch-ui-console0]authentication-mode password 启用密码
[switch-ui-console0]set authentication password simple 123 设置密码为123
? quit 退出系统视图
? quit 退出用户视图
- < switch >display current-configuration 查看配置信息
- 配置密文console 口令:
[switch]user-interface console 0 进入console 0 唯一端口
[switch-ui-console0]authentication-mode password 启用密码
[switch-ui-console0]set authentication password cipher 123 设置密码为123
? Simple 明文
? Cipher 密文
- 取消密码:
[Switch-ui-console0]undo set authentication password
- 配置交换机IP地址
[Switch]interface Vlanif 1 接口1
[Switch-Vlanif1]IP address 192.168.1.100 24
[Switch-Vlanif1]undo shutdown 启动IP地址(华为交换机默认开启,不需要再次开启)
- 配置自动退出超时时间:
[Huawei]user-interface console 0 进入console唯一端口
[Huaw:ei-ui-console0]idle-timeout 1440设置分钟
- 防止弹出信息干扰命令:
< Huawei >undo terminal monitor 设置用户视图
[Huawei]undo info-center enable 设置系统视图
- 保存配置信息:
< switch >save
- 重启:
< switch >reboot
- 恢复出厂设置:
< s1 >reset saved-configuration
输入y确认恢复出厂
< s1>reboot
N 不保存
Y 确认重启
文章图片
- 禁用接口与启用接口:
[Huawei]interface GigabitEthernet 0/0/2 进入端口号
[Huawei-GigabitEthernet0/0/2]shutdown 禁用0/0/2端口
[Huawei-GigabitEthernet0/0/2]undo shutdown启用0/0/2端口
- 什么是路由?
路由器指的是负责在不同网络之间转发数据的设备,当到达目标的路径很复杂时,由路由器决定最佳路径,路由器也为直连网络的主机充当“网关”角色。
- 配置路由接口ip地址:
[Huawei]interface GigabitEthernet 0/0/0 进入端口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 255.255.255.0 配置ip地址 - display ip routing-table 查看路由表
文章图片
- 配置路由器远程管理
[R1]user-interface vty 0 4定义远程管理终端数量
[R1-ui-vty0-4]user privilege level 3定义用户级别
[R1-ui-vty0-4]authentication-mode aaa启用aaa认证
[R1-ui-vty0-4]aaa进入aaa认证视图
[R1-aaa]local-user jjj password cipher 123定义远程管理的用户名及密码
[R1-aaa]local-user jjj service- type telnet定义用Telnet协议远程管理
- 远程连接
文章图片
- netstat –nao 查看打开的端口
- VLAN原理
–分割广播域,一个vlan就是一个广播域
–把端口加入不同的vlan
- VLAN帧格式
–当数据帧进入交换机时,交换机需要为数据帧加标签
–交换机对数据帧加标签的方法为ieee802.1q
–在da和type之间加12bit的标签(4096)
–当数据帧从交换机发出去前,需要为数据帧去标签
- pvid:port vlan id 端口所在的vlan的编号
所有的端口都必须有一个pvid
- access端口模式
pc----(access)交换机
- 特点:
数据帧进入交换机加标签
数据帧出去的时候脱标签
- vlan的作用
分隔广播域,提高网络性能,提高网络安全性。
- 交换机端口的三种模式:
access 接入端口 pc–交换机 发送数据帧脱标签(802.1q)[sw1]vlan 3 [2-4094] //创建一个vlan
trunk 中继链路 交换机–交换机 发送数据帧带标签
(数据帧所在vlan和trunk端口所在vlan相同)
hybrid 手动模式 任意情况 灵活控制数据帧
[sw1-vlan3]description sales //为此vlan添加描述(可选)
[sw1]vlan batch 18 20 28 //创建多个不连续vlan
[sw1]vlan batch 8 to 16 //创建多个连续的vlan
[sw1]display vlan //显示vlan信息
[sw1]undo vlan 3 //删除一个vlan
[sw1]undo vlan batch 18 20 28 //删除多个不连续vlan
[sw1]undo vlan batch 8 to 16 //删除多个连续的vlan
[sw1]display port vlan //显示端口模式和所在vlan
access 端口模式 交换机(access) ------- PC
[sw1]int e0/0/1
[sw1-Ethernet0/0/1]port link-type access //修改端口模式为access
[sw1-Ethernet0/0/1]port default vlan 10 //把端口加入vlan
[sw1]port-group 1 //创建端口组
[sw1-port-group-1]group-member e0/0/2 to e0/0/8 //添加端口组成员
[sw1]port-group group-member e0/0/2 to e0/0/8 //添加端口组成员一个意思
[sw1-port-group-1]port link-type access //修改端口模式为access
[sw1-port-group-1]port default vlan 10 //把默认端口修改为VLAN10
trunk端口模式 交换机(trunk)-------(trunk)交换机
trunk端口的默认动作:带标签发送数据帧,除非trunk端口所在vlan和数据帧所在vlan相同.
[sw1]int e0/0/4
[sw1-Ethernet0/0/4]display this //查看端口配置
[sw1-Ethernet0/0/4]undo port default vlan //还原端口到默认vlan
[sw1-Ethernet0/0/4]port link-type trunk
[sw1-Ethernet0/0/4]port trunk allow-pass vlan 10 20 //允许vlan10,20数据通过
[sw1-Ethernet0/0/4]port trunk allow-pass vlan all //允许所有vlan通过
[sw1-Ethernet0/0/4]port trunk pvid vlan 10 //把trunk端口加入vlan10
hybrid端口模式 access模式 pc—交换机
从端口进入交换机 — 加标签trunk模式 交换机–交换机
从交换机端口发出 — 脱标签
从端口进入交换机 —不脱标签hybrid模式
从交换机端口发出 —不脱标签
随意控制数据帧加不加标签[sw1-Ethernet0/0/1]port link-type hybrid //更改端口为混合模式
[sw1-Ethernet0/0/1]port hybrid pvid vlan 10 //把hybrid端口加入vlan
[sw1-Ethernet0/0/1]port hybrid tagged vlan 10 //发送数据帧时为vlan10加标签
[sw1-Ethernet0/0/2]port hybrid untagged vlan 10 //发送数据帧时为vlan10不加标签
- 使用hybrid模式模拟trunk效果:
1.创建vlan:sw1,sw2
vlan batch 10 20
2.设置连接pc机的端口:sw1,sw2
int e0/0/1
port link-type hybrid
port hybrid pvid vlan 10
port hybrid untagged vlan 10
int e0/0/2
port link-type hybrid
port hybrid pvid vlan 20
port hybrid untagged vlan 20
3.设置交换机相连的端口:sw1,sw24. 生成树协议 spanning tree protocol
int e0/0/3
port link-type hybrid
port hybrid tagged vlan 10 20
根网桥 — 根端口 — 指定端口(剩下的端口就是阻塞端口)
- 每个广播域中,选择一个根网桥。
- 每个非根网桥上,选择一个根端口(有且只有一个)
- 每根线上,选择一个指定端口(有且只有一个)
网桥优先级:0-65535每个广播域中,选择一个根网桥:比小
缺省值:32768
步长:4096
32768/4096=8
网桥ID=网桥优先级+网桥mac地址
- 此端口到达根网桥的路径成本最低
1000M=20000M
100M=200000M
- 跟此端口直连的交换机的网桥ID最小
- 端口标识最小
端口标识=端口优先级+端口号
端口优先级:
范围:0-240
默认值:128
步长:16
端口号:e0/0/1 e0/1/0
- 选择根网桥
网桥ID最小(mac地址最小) - 选择根端口(每个非根网桥)
根网桥路径成本最低
直连网桥ID最小(比别人)
端口标识最小 - 选择指定端口(每根线)
根网桥所在端口都是指定端口
端口所在交换机到根网桥成本最低
端口所在交换机网桥ID最小(比自己)
端口标识最小
< Huawei >display stp brief --查看端口信息修改优先级:(越小优先级越高、默认:60)
display stp – 查看开销值
ip route-static 0.0.0.0 0 192.168.13.2 preference 61
cost:开销值桥协议数据单:BPDU
ALTE:阻塞端口
ROOT:根端口
DESI:指定端口
DISCARDING:丢弃
FORWARDING:转发
[S1]stp enable|disable --启用或禁用生成树协议
[S1]stp mode stp | rstp | mstp --更改生成树模式
stp 普通生成树多生成树 mstp
rstp 快速生成树
mstp 生成树模式(默认模式)
为网络生成多个逻辑拓扑,多条路,并指定允许哪些VLAN通过
- 配置交换机相连的端口为trunk:s1,s2,s3
port-group 1
group-member e0/0/3 e0/0/4
port link-type trunk
port trunk allow-pass vlan all - 交换机和pc机相连的端口禁用生成树功能:s1,s2,s3
quit
vlan batch 10 20
port-group 2
group-member e0/0/1 e0/0/2
stp disable 关闭生成数协议可能导致网络不通(看情况设置)
y - 创建VLAN并把相应的接口加入:s1,s2,s3
quit
int e0/0/1
port link-type access
port default vlan 10
int e0/0/2
port link-type access
port default vlan 20 - 配置生成区域,配置两个生成树实例:s1,s2,s3
quit
stp region-configuration --进入生成树区域配置
region-name jjj --设置区域名称
instance 1 vlan 10 --创建第一条路,允许VLAN10通过
instance 2 vlan 20 --创建第二条路,允许VLAN20通过
active region-configuration --激活区域 - 指定每条路的根网桥:s1,s2
quit
stp instance 1 priority 4096 --设置s2为第一条路的主根5. DHCP服务器
stp instance 2 priority 8192 --设置s2为第二条路的备根
stp instance 2 priority 8192 --设置s2为第二条路的备根
stp instance 1 priority 4096 --设置s2为第一条路的主根
ipconfig /renew --重新获取
ipconfig /release --手动释放
配置基于全局模式的DHCP服务器
- [R1]dhcp enable --启用DHCP功能
- [R1]ip pool kk --创建地址池
[R1-ip-pool-kk]network 192.168.1.0 mask 24 --指明网段和掩码
[R1-ip-pool-kk]gateway-list 192.168.1.1 --指明网关
[R1-ip-pool-kk]dns-list 202.106.0.20 --指明dns服务器地址
[R1-ip-pool-kk]lease day 0 hour 1 minute 30 --指明租约
[R1-ip-pool-kk]excluded-ip-address 192.168.1.100 192.168.1.254 --指明排除的地址范围 - [R1]int e0/0/0
[R1-Ethernet0/0/0]ip address 192.168.1.1 24 路由器配置网关
[R1-Ethernet0/0/0]dhcp select global --启用DHCP全局模式
[R1]int e0/0/0
[R1-Ethernet0/0/0]ip address 192.168.1.1 24 --客户端口的ip
[R1-Ethernet0/0/0]dhcp select interface --启用DHCP接口模式
配置中继代理服务器 [Huawei]dhcp enable --启用DHCP功能
[Huawei]int e0/0/0 --进入跟客户端相连的端口
[Huawei-Ethernet0/0/0]dhcp select relay --启用中继代理模式
[Huawei-Ethernet0/0/0]dhcp relay server-ip 192.168.2.1 --指明DHCP服务器地址
6. 虚拟路由冗余协议VRRP(Virtual Router Redundancy Protocol)
VRRP的特性
- VRRP:virtual router redundancy protocol 虚拟 路由器 冗余 协议
- 作用:在一个网段的 多个网关之间,形成一个虚拟路由器,
从而实现增强网关的稳定性
- 原理:在多个真实的网关(接口)上运行VRRP 以后,多个网关之间会互相发送VRRP的(通告)报文,从而进行网关设备角色的选举
角色:
master:主网关
用来真正的转发用户发送的数据包;
在一个网段中,永远只有一个
backup: 备份网关
平时不转发用户数据, 仅仅是监控(被动监控)主网关设备的状态。
如果主网关挂掉,则直接将自己升级为主网关;如果主网关没有挂掉,则一直保持backup状态;
在一个网段中,可以有多个。
- 选举原则:
首先比较vrrp优先级,越大越好;默认值是100
其次比较网关接口IP地址,越大越好
- 配置 :在网关接口上配置
- 虚拟ip设置:
vrrp vrid 10 virtual-ip 192.168.1.254
- 优先级设置:
vrrp vrid 10 priority 200
配置原则 :确保主备网关之间的vrrp 的相关配置,必须完全相同;除了优先级(主网关的优先级大于备份网关的 即可 )
配置命令:
interface g0/0/x – 进入网关接口
ip address x.x.x.x mask – 网关和子网掩码
vrrp vrid {数字} virtual - ip y.y.y.y
vrid :virtual router ID ,虚拟 路由器 名字
数字:即阿拉伯数字,表示的是路由器的名字;同一个网段中的多个网关形成虚拟路由器的名字,必须相同
y.y.y.y :表示的是vrrp 虚拟网关的ip 地址;改地址是需要配置在终端客户设备上的。
- 验证与测试
display vrrp --查看VRRP 的详细信息
网关的状态
虚拟网关的名字
虚拟网关Ip
网关的优先级 ,默认是100
display vrrp brief – 查看VRRP的简要信息
网关的状态
虚拟网关的名字
虚拟网关Ip
[R1]display vrrp链路跟踪 为了确保让内网运行的VRRP协议可以感知到外网链路的变化,所以我们在运行VRRP的网关接口上,配置VRRP的链路跟踪:
GigabitEthernet0/0/1 | Virtual Router 2 --真实网关接口 | 虚拟网关接口
State : Master --设备状态为master ,主设备
Virtual IP : 192.168.7.250 --虚拟路由器IP地址
Master IP : 192.168.7.253 --主设备master 的IP地址
PriorityRun : 200 --当前运行的优先级
PriorityConfig : 200 --设置的优先级
MasterPriority : 200 --master设备的优先级
Preempt : YES Delay Time : 0 s --抢占功能开启,抢占时间 0秒
TimerRun : 1 s --master发送vrrp 报文周期: 1秒一次
TimerConfig : 1 s --设置的vrrp 报文周期: 1秒
Auth type : NONE --认证类型:无
Virtual MAC : 0000-5e00-0102 --虚拟网关的Mac地址
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2020-05-31 21:53:48 UTC-08:00 --创建时间
Last change time : 2020-05-31 21:53:52 UTC-08:00 --最后更改时间
跟踪外网链路的状态:配置:仅仅需要在主网关的接口上配置:
如果外网链路状态UP,则保持VRRP的配置的优先级;
如果外网链路状态Down,则主动降低在网关接口上发送出去的VRRP报文中包含的优先级,从而实现:让自己变成backup,对方设备变成了master。
配置命令:
interface g0/0/x --该接口表示的是主网关;
vrrp vrid 10 track interface g0/0/2 reduced 190 (200-190) --路由跟踪
当g0/0/2接口的状态变为down的时候,从g0/0/0 接口发送出去的报文优先级就变成了200-190 ,即10。
- 角色抢占(默认开启)
int g0/0/x --该接口表示的是主网关
vrrp vrid 10 preempt-mode disable --关闭备份网关的抢占功能
undo vrrp vrid 10 preempt-mode --开启备份网关的抢占功能
int g0/0/x认证加密 为了确保同一个网段内部多个网关之间的主网关身份不被恶意的抢占,所以我们可以通过加密认证的方式实现上述安全需求。
vrrp vrid 10 preempt-mode timer delay 10 --设置抢占延迟时间10秒(默认为0秒)
- 配置原则:同网段中,所有启用vrrp 的网关接口,配置认证时候(主网关,备份网关):
- 命令必须完全相同
- 认证模式必须相同;
MD5:该模式下,密码是经过加密的;
simple:该模式下,密码没有经过加密;
- 认证密码必须相同;
- 配置命令:
interface g0/0/x
vrrp vrid 10 authentication-mode md5 password
- vrrp 与stp 在一起的设计原则:
同一个VLAN 的stp 根交换机 一定要与 同VLAN 中的vrrp 的主网关 在同一个设备上。
一个主机从哪个网关去往其他网段,是由vrrp 决定的。
一个主机去往自己的网关的路径,是由stp 决定的。
display vrrp
display vrrp brief
display ip interface brief --查看设备接口的ip相关信息
vrrp报文:112
- vrrp常见故障(多个master)
- 确保3层ip地址互通
- vrrpd vrid要相同
- vrrp的虚拟ip地址要相同
- vrrp的认证要成功