Bootstrap

ENSP命令-2

1.查看mac地址表
display mac-address
2.vlan的基本配置
1)创建vlan
[Huawei]vlan 2 创建vlan (2-4094)
[Huawei]vlan batch 10 20 30 创建多个不连续的vlan
[Huawei]vlan batch 10 to 20 创建多个连续的vlan
2)删除vlan
[Huawei]undo vlan 2 删除单个vlan
[Huawei]undo vlan batch 10 20 30 删除多个不连续的vlan
[Huawei]undo vlan batch 10 to 20 删除多个连续的vlan
3)端口加入vlan
配置access接口:
[Huawei]vlan 2 创建vlan (2-4094)
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access 接口的链路类型为access 模式
[Huawei-GigabitEthernet0/0/1]port default vlan 10 将接口加入vlan10
配置trunk接口:
[Huawei]vlan 2 创建vlan (2-4094)
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type trunk 接口的链路类型为trunk 模式
[Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan all 允许所有vlan数据通过
配置Hybrid接口:
接口发送数据帧时,会剥离标签
[SW1]vlan batch 5 10 创建vlan 5 10
[SW1]interface e0/0/1 进入接口e0/0/1
[SW1-GigabitEthernet0/0/1]port link-type hybrid 接口模式改为hybrid
[SW1-GigabitEthernet0/0/1]port hybrid pvid vlan 5 接口的pvid修改为5
[SW1-GigabitEthernet0/0/1]port hybrid untagged vlan 5 允许vlan5通过,但是会剥离标签

接口发送数据帧时,允许携带标签通过
[SW2]interface g0/0/1 进入接口g0/0/1
[SW2-GigabitEthernet0/0/1]port link-type hybrid 接口模式改为hybrid
[SW2-GigabitEthernet0/0/1]port hybrid tagged vlan 5 10 允许vlan5 和10携带标签通过
4)将多个端口加入vlan
创建临时端口组
[SW1]vlan batch 10 20 30 创建vlan 10 20 30
[SW1] port-group group-member g0/0/1 g0/0/2 创建临时端口组
[SW1-port-group] port link-type access 将接口的类型改为access
[SW1-port-group] port default vlan 10 将接口加入vlan10
创建永久端口组
[SW1] port-group 2 创建永久端口组
[SW1-port-group-2] group-member eth0/0/3 to eth0/0/5 在永久端口组中加入接口
[SW1-port-group-2] port link-type access 将接口的类型改为access
[SW1-port-group-2] port default vlan 20 将接口加入vlan20
5)查看vlan的信息
[Huawei]display vlan 查看vlan的信息
display port vlan 显示端口vlan信息
display cur 显示当前运行的所有配置

3.STP的基础命令
[SW1]stp mode stp 工作模式改为STP (华为交换机默认开机运行的是MSTP)
[SW1]stp priority 4096 设置交换机的STP优先级为4096
[SW1]display stp 显示交换机的stp详细信息

4.MSTP的配置
[SW2]stp mode mstp 启用mstp协议
[SW2]stp region-configuration 创建区域
[SW2-mst-region]region-name ted 定义区域名为ted
[SW2-mst-region]instance 1 vlan 10 指定vlan与实例的对应关系
[SW2-mst-region]active region-configuration 激活区域配置
[SW2]stp instance 1 priority 4096 配置优先级让s1成为根网桥
display stp brief 查看STP的接口信息

5.Eth-Trunk链路聚合配置
[SW1]display eth-trunk 1 显示链路聚合信息
1)手工配置
[SW1]interface eth-trunk 1 创建并进入 eth-trunk 1
[SW1-Eth-Trunk1]mode manual load-balance 配置手工模式
[SW1-Eth-Trunk1]trunkport g0/0/1 加入成员端口
[SW1-Eth-Trunk1]trunkport g0/0/2 加入成员端口
[SW1-Eth-Trunk1]port link-type trunk 配置 eth-trunk 类型为 trunk
[SW1-Eth-Trunk1]port trunk allow-pass vlan 10 20 允许所有的 vlan
2)LACP模式
[SW1]lacp priority 100 配置lacp的系统优先级(越小越优先)
[SW1]interface eth-trunk 1 创建链路聚合组1
[SW1-Eth-Trunk1]mode lacp-static 链路聚合的工作模式是lacp
[SW1-Eth-Trunk1]trunkport g 0/0/1 to 0/0/3 在链路聚合组中添加成员接口
[SW1-Eth-Trunk1]port link-type trunk 设置trunk模式
[SW1-Eth-Trunk1]port trunk allow-pass vlan 10 20 允许vlan10 20 流量通过
[SW1-Eth-Trunk1]max active-linknumber 2 设置活动端口的上限阈值为2
[SW1-Eth-Trunk1]lacp preempt enable 开启抢占功能

6.静态路由配置
[R1]ip route-static 192.168.4.0 255.255.255.0 192.168.2.2 静态路由配置
目标网段 子网掩码 下一跳地址
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.2.1 默认路由配置
display ip routing-table 查看路由表
display ip routing-table 192.168.2.1 查看路由去往192.168.2.1的路由

7.VLAN终结—单臂路由
[R1]interface GigabitEthernet0/0/0.10 进入子接口
[R1-G0/0/0.10]dot1q termination vid 10 配置vlan终结
[R1-G0/0/0.10]ip address 10.10.10.254 255.255.255.0 配置ip地址
[R1-G0/0/0.10]arp broadcast enable 开启arp 广播

8.VLANIF虚接口
[SW1]vlan 10 创建vlan10
[SW1]interface vlanif 10 进入vlanif10虚接口
[SW1-vlanif10] ip address 192.168.10.254 24 配置vlanif10虚接口IP地址和子网掩码

9.VLAN聚合配置
[SW1]vlan 10 创建vlan10
[SW1-vlan10]aggregate-vlan 配置vlan10为聚合vlan(超级vlan)
[SW1-vlan10]access-vlan 2 to 4 在聚合vlan10中添加子vlan2/3/4
[SW1]interface vlanif 10 进入vlanif 10
[SW1-Vlanif10]ip address 192.168.10.254 24 配置vlanif10虚接口的IP地址
[SW1-Vlanif10]arp-proxy inter-sub-vlan-proxy enable 在vlanif10下开启vlan间-arp代理

10.端口隔离
[SW1]port-group group-member g0/0/1 g0/0/2 创建临时端口组
[SW1-port-group]port-isolate enable group 1 启用端口隔离
[SW1]display port-isolate group all 查看端口隔离配置

11.浮动路由
[R1]ip route-static 192.168.4.0 24 192.168.2.2 配置静态路由
[R1]ip route-static 192.168.4.0 24 192.168.3.2 preference 70 配置静态路由并指定优先级

12.VRRP配置
display vrrp 查看vrrp详细信息
[R1]display vrrp brief 查看简要信息

[R1]int g0/0/0 进入接口
[R1-GigabitEthernet0/0/0]ip add 192.168.1.251 24 配置IP地址
[R1-GigabitEthernet0/0/0]vrrp vrid 10 virtual-ip 192.168.1.254 创建组号,指定虚拟网关IP地址
[R1-GigabitEthernet0/0/0]vrrp vrid 10 priority 130 在备份组10中,指定R1这台设备的优先级为130

配置上行链路跟踪
[R1-GigabitEthernet0/0/0]vrrp vrid 10 track interface g0/0/1 reduced 50

VRRP认证
1)明文认证
[R1]interface GigabitEthernet 0/0/0
[R1-G0/0/0]vrrp vrid 1 authentication-mode simple HCIE 设置认证模式为明文认证密码为HCIE
2)MD5加密认证
[R1]interface GigabitEthernet 0/0/0
[R1-G0/0/0]vrrp vrid 1 authentication-mode md5 HCIE 设置认证模式为密文认证密码为HCIE

13.BFD(双向转发检测)
[SW1]bfd 开启BFD功能
[SW1-bfd]quit 退出
[SW1]bfd tedu bind peer-ip 192.168.10.252 在系统视图下创建BFD会话,绑定对端IP地址
[SW1-bfd-session-tedu]discriminator local 1 配置本地标识符
[SW1-bfd-session-tedu]discriminator remote 2 配置远端标识符
[SW1-bfd-session-tedu]min-rx-interval 100 配置接收报文间隔时间(100毫秒)
[SW1-bfd-session-tedu]min-tx-interval 100 配置发送报文间隔时间(100毫秒)
[SW1-bfd-session-tedu]commit //提交
<display bfd session all 查看bfd会话

OSPF+BFD联动
ospf 1
bfd all-interfaces enable ospf区域内所有接口开启bfd功能
bfd all-interfaces min-rx-interval 10 min-tx-interval 10 detect-multiplier 3 frr-binding 区域内所有接口最小接收和发送间隔为10ms,且以3倍速率绑定所有接口
int g0/0/0 ospf bfd enable 接口调用ospf协议内bfd功能
ospf bfd min-rx-interval 10 min-tx-interval 10 detect-multiplier 3 frr-binding 在接口上面调用ospf协议内bfd配置参数

14.DHCP配置
1)基于全局的DHCP
[R1]dhcp enable 开启DHCP功能
[R1]ip pool ted 创建DHCP地址池
[R1-ip-pool-tedu]network 192.168.1.0 mask 24 配置可分配的地址段
[R1-ip-pool-tedu]gateway-list 192.168.1.254 配置网关地址
[R1-ip-pool-tedu]dns-list 8.8.8.8 配置DNS地址
[R1-ip-pool-tedu]lease day 1 配置租期
[R1-ip-pool-tedu]quit
[R1]int g0/0/0
[R1-G0/0/0]ip address 192.168.1.254 24 此接口IP地址和网关地址一致
[R1-G0/0/0]dhcp select global 在接口下开启基于全局的DHCP
[R1-ip-pool-tedu]excluded-ip-address 192.168.1.250 192.168.1.253 地址排除,排除的IP地址不做dhcp分发
[R1-ip-pool-tedu]static-bind ip-address 192.168.1.2 mac-address xxxx-xxxx-xxxx 从DHCP服务器上自动获取固定的IP地址
reset ip pool name ted all 重置基于全局的IP地址池,回收IP地址
display ip pool name ted all 查看全局IP地址池中全部地址信息
display ip pool name ted used 查看全局IP地址池中已分发的IP地址
2)基于接口的DHCP
[R1]dhcp enable 开启dhcp功能
[R1]int g0/0/0
[R1-G0/0/0]ip address 192.168.1.254 24 配置IP地址和子网掩码
[R1-G0/0/0]dhcp select interface 开启基于接口的dhcp 功能
[R1-G0/0/0]dhcp server dns-list 8.8.8.8 配置DNS
[R1-G0/0/0]dhcp server lease day 1 配置租期
[R1-G0/0/0]dhcp server excluded-ip-address 192.168.1.250 192.168.1.253 地址排除,排除的IP地址不做dhcp分发
reset ip pool interface GigabitEthernet0/0/0 all 基于接口的IP地址池,把发出去的IP地址都回收
[R1]display ip pool interface GigabitEthernet0/0/0 used 查看接口地址池中已分发的IP地址
[R1]display ip pool interface GigabitEthernet0/0/0 all 查看接口地址池中全部地址信息
3)DHCP中继
[R1-zj]dhcp enable /开启dhcp 功能
[R1-zj]int g0/0/0
[R1-zj-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1-zj-GigabitEthernet0/0/0]dhcp select relay 设置DHCP中继接口模式:relay
[R1-zj-GigabitEthernet0/0/0]dhcp relay server-ip 10.10.10.20 指定DHCP中继接口的DHCP服务器地址
4)DHCP Snooping
配置DHCP Snooping
[sw1]dhcp enable 开启dhcp功能
[sw1]dhcp snooping enable 开启dhcp snooping功能
[sw1]port-group group-member g0/0/1 g0/0/2
[sw1-port-group]dhcp snooping enable 开启dhcpsnooping
[sw1-port-group]dhcp snooping check dhcp-chaddr enabl 开启地址一致性检测,检测二层mac和dhcp发现报文中的mac地址是否一致
[SW1]int g0/0/4
[SW1-GigabitEthernet0/0/4]dhcp snooping trusted 在连接合法dhcp服务器的接口上,开启信任接口
配置端口安全(动态安全MAC)
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port-security enable 开启端口安全
[Huawei-GigabitEthernet0/0/1]port-security max-mac-num 2 允许学习2个mac地址
[Huawei]display mac-address security 查看安全动态mac地址表
配置端口安全(粘性MAC:Sticky MAC)
[Huawei-GigabitEthernet0/0/1]port-security enable 开启端口安全
[Huawei-GigabitEthernet0/0/1]port-security mac-address sticky 开启Sticky MAC
[Huawei]dis mac-address sticky 查看Sticky MAC地址表

15.ACL(访问控制列表)
1)基本ACL配置
[R1]acl 2000 创建基本ACL
[R1-acl-basic-2000]rule 10 deny source 192.168.1.0 0.0.0.255 创建规则10 拒绝 源ip为192.168.1.0/24的数据报文
[R1-acl-basic-2000]step 10 修改规则号步长值为10(默认步长值为5)
[R1]int g0/0/0
[R1-G0/0/0]traffic-filter outbound acl 2000 在g0/0/0的出方向按照acl 2000的规则要求过滤流量
[R1]display acl all 查看acl
[R1]display traffic-filter applied-record 查看acl调用信息
2)高级ACL配置
[R1]acl 3000
[R1-acl-adv-3000]rule 10 permit tcp source 192.168.1.2 0 destination 192.168.3.1 0 destination-port eq www
规则10 允许 源ip192.168.1.2 访问目的主机192.168.3.1的www服务器
[R1-acl-adv-3000]rule 20 permit ip source 192.168.1.2 0.0.0.0 destination 192.168.2.0 0.0.0.255
规则20 允许 源ip192.168.1.2 这台主机访问192.168.2.0/24所有主机的所有服务
[R1-acl-adv-3000]rule 30 deny ip source 192.168.1.2 0.0.0.0 destination any
规则30 拒绝源ip:192.168.1.2 访问任何其他主机
[R1-acl-adv-3000]undo rule 10 删除规则10
[R1-acl-adv-3000]rule 10 permit icmp source 192.168.1.2 0 destination 192.168.3.1 0
规则10 允许源ip:192.168.1.2通过icmp访问192.168.3.1 ,拒绝192.168.1.2访问3.1的其他任何服务
3)基本ACL之Telnet
配置Telnet远程
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode password
[R2-ui-vty0-4]protocol inbound all
Please configure the login password (maximum length 16):HCIE
配置基本ACL
[R2]acl 2000
[R2-acl-basic-2000]rule 10 permit source 192.168.1.254 0
[R2-acl-basic-2000]quit
[R2]user-interface vty 0 4
[R2-ui-vty0-4]acl 2000 inbound 在vty虚接口调用acl

16.NAT
1)静态NAT 配置
[R1]int g0/0/1 进入g/0/0/1的接口
[R1-GigabitEthernet0/0/1]nat static global 100.1.1.2 inside 192.168.1.1
在出口设备的出接口上做静态NAT配置,公网IP:100.1.1.2 私有ip:192.168.1.1

2)动态NAT配置
[R1]nat address-group 1 100.1.1.2 100.1.1.4 创建NAT公网地址池
[R1]acl 2000 创建基本ACL
[R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
让acl 2000 抓取的内网地址段,192.168.1.0/24 绑定公网地址池 address-group 1
no-pat:不做端口转换,只转换IP地址

3)NAPT之NAT地址池
[R1]nat address-group 1 100.1.1.2 100.1.1.4 创建NAT公网地址池
[R1]acl 2000 创建基本ACL
[R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 配置NAPT之地址池nat

4)NAPT之easy-ip
[R1]acl 2000 创建基本acl
[R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255 定义acl
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 让acl 2000 定义的内网地址段,利用出接口IP地址来做nat 转换

5)NAT Server
[R1]nat address-group 1 100.1.1.2 100.1.1.4 创建NAT公网地址池
[R1]acl 2000
[R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
利用地址池里面的公网IP给acl 2000定义的私有IP地址做nat转换
配置服务器映射
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 100.1.1.6 80 inside 192.168.1.100 80
将私有IP:192.168.1.100的80端口映射给公网IP:100.1.1.6的80端口,让外网主机通过100.1.1.6访问到我们的内网服务器
[R1-GigabitEthernet0/0/1]nat server protocol icmp global 100.1.1.6 inside 192.168.1.100
让外网主机ping 通200.1.1.5(做nat-server -icmp 绑定)
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 100.1.1.6 21 inside 192.168.1.200 21
将私有IP:192.168.1.20的21端口映射给公有IP:200.1.1.5的21的端口,让外网主机能够通过200.1.1.5:21 访问到企业内网FTP服务器
[R1]nat alg ftp enabl 开启FTP协议的NAT ALG功能

dis nat outbound 查看信息
dis nat server 查询nat server 转换表信息
dis nat session all 查看nat会话表

;