1. 化為路由器基本配置命令
交換機命令
~~~~~~~~~~
[Quidway]dis cur ;顯示當前配置
[Quidway]display current-configuration ;顯示當前配置
[Quidway]display interfaces ;顯示介面信息
[Quidway]display vlan all ;顯示路由信息
[Quidway]display version ;顯示版本信息
[Quidway]super password ;修改特權用戶密碼
[Quidway]sysname ;交換機命名
[Quidway]interface ethernet 0/1 ;進入介面視圖
[Quidway]interface vlan x ;進入介面視圖
[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;靜態路由=網關
[Quidway]rip ;三層交換支持
[Quidway]local-user ftp
[Quidway]user-interface vty 0 4 ;進入虛擬終端
[S3026-ui-vty0-4]authentication-mode password ;設置口令模式
[S3026-ui-vty0-4]set authentication-mode password simple 222 ;設置口令
[S3026-ui-vty0-4]user privilege level 3 ;用戶級別
[Quidway]interface ethernet 0/1 ;進入埠模式
[Quidway]int e0/1 ;進入埠模式
[Quidway-Ethernet0/1]plex {half|full|auto} ;配置埠工作狀態
[Quidway-Ethernet0/1]speed {10|100|auto} ;配置埠工作速率
[Quidway-Ethernet0/1]flow-control ;配置埠流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置埠平接扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;設置埠工作模式
[Quidway-Ethernet0/1]port access vlan 3 ;當前埠加入到VLAN
[Quidway-Ethernet0/2]port trunk permit vlan {ID|All} ;設trunk允許的VLAN
[Quidway-Ethernet0/3]port trunk pvid vlan 3 ;設置trunk埠的PVID
[Quidway-Ethernet0/1]undo shutdown ;激活埠
[Quidway-Ethernet0/1]shutdown ;關閉埠
[Quidway-Ethernet0/1]quit ;返回
[Quidway]vlan 3 ;創建VLAN
[Quidway-vlan3]port ethernet 0/1 ;在VLAN中增加埠
[Quidway-vlan3]port e0/1 ;簡寫方式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 ;在VLAN中增加埠
[Quidway-vlan3]port e0/1 to e0/4 ;簡寫方式
[Quidway]monitor-port <interface_type interface_num> ;指定鏡像埠
[Quidway]port mirror <interface_type interface_num> ;指定被鏡像埠
[Quidway]port mirror int_list observing-port int_type int_num ;指定鏡像和被鏡像
[Quidway]description string ;指定VLAN描述字元
[Quidway]description ;刪除VLAN描述字元
[Quidway]display vlan [vlan_id] ;查看VLAN設置
[Quidway]stp {enable|disable} ;設置生成樹,默認關閉
[Quidway]stp priority 4096 ;設置交換機的優先順序
[Quidway]stp root {primary|secondary} ;設置為根或根的備份
[Quidway-Ethernet0/1]stp cost 200 ;設置交換機埠的花費
[Quidway]link-aggregation e0/1 to e0/4 ingress|both ; 埠的聚合
[Quidway]undo link-aggregation e0/1|all ; 始埠為通道號
[SwitchA-vlanx]isolate-user-vlan enable ;設置主vlan
[SwitchA]isolate-user-vlan <x> secondary <list> ;設置主vlan包括的子vlan
[Quidway-Ethernet0/2]port hybrid pvid vlan <id> ;設置vlan的pvid
[Quidway-Ethernet0/2]port hybrid pvid ;刪除vlan的pvid
[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged ;設置無標識的vlan
如果包的vlan id與PVId一致,則去掉vlan信息. 默認PVID=1。
所以設置PVID為所屬vlan id, 設置可以互通的vlan為untagged.
----------------------------------------
路由器命令
~~~~~~~~~~
[Quidway]display version ;顯示版本信息
[Quidway]display current-configuration ;顯示當前配置
[Quidway]display interfaces ;顯示介面信息
[Quidway]display ip route ;顯示路由信息
[Quidway]sysname aabbcc ;更改主機名
[Quidway]super passwrod 123456 ;設置口令
[Quidway]interface serial0 ;進入介面
[Quidway-serial0]ip address <ip> <mask|mask_len> ;配置埠IP地址
[Quidway-serial0]undo shutdown ;激活埠
[Quidway]link-protocol hdlc ;綁定hdlc協議
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222
[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugging hdlc all serial0 ;顯示所有信息
[Quidway]debugging hdlc event serial0 ;調試事件信息
[Quidway]debugging hdlc packet serial0 ;顯示包的信息
靜態路由:
[Quidway]ip route-static <ip><mask>{interface number|nexthop}[value][reject|blackhole]
例如:
[Quidway]ip route-static 129.1.0.0 16 10.0.0.2
[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]ip route-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
動態路由:
[Quidway]rip ;設置動態路由
[Quidway]rip work ;設置工作允許
[Quidway]rip input ;設置入口允許
[Quidway]rip output ;設置出口允許
[Quidway-rip]network 1.0.0.0 ;設置交換路由網路
[Quidway-rip]network all ;設置與所有網路交換
[Quidway-rip]peer ip-address ;
[Quidway-rip]summary ;路由聚合
[Quidway]rip version 1 ;設置工作在版本1
[Quidway]rip version 2 multicast ;設版本2,多播方式
[Quidway-Ethernet0]rip split-horizon ;水平分隔
[Quidway]router id A.B.C.D ;配置路由器的ID
[Quidway]ospf enable ;啟動OSPF協議
[Quidway-ospf]import-route direct ;引入直聯路由
[Quidway-Serial0]ospf enable area <area_id> ;配置OSPF區域
標准訪問列表命令格式如下:
acl <acl-number> [match-order config|auto] ;默認前者順序匹配。
rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:
[Quidway]acl 10
[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rule normal deny source any
擴展訪問控制列表配置命令
配置TCP/UDP協議的擴展訪問列表:
rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any}
[operate]
配置ICMP協議的擴展訪問列表:
rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any]
[icmp-code] [logging]
擴展訪問控制列表操作符的含義
equal portnumber ;等於
greater-than portnumber ;大於
less-than portnumber ;小於
not-equal portnumber ;不等
range portnumber1 portnumber2 ;區間
擴展訪問控制列表舉例
[Quidway]acl 101
[Quidway-acl-101]rule deny souce any destination any
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www
[Quidway]firewall enable
[Quidway]firewall default permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound
地址轉換配置舉例
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 101 ;內部指定主機可以進入e0
[Quidway-acl-101]rule deny ip source any destination any
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]quit
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound
[Quidway]acl 102 ;外部特定主機和大於1024埠的數據包允許進入S0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than
1024
[Quidway-acl-102]quit
[Quidway]int s0
[Quidway-Serial0]firewall packet-filter 102 inbound ;設202.38.160.1是路由器出口IP。
[Quidway-Serial0]nat outbound 101 interface ;是Easy ip,將acl 101允許的IP從本介面出時變換源地址。
內部伺服器地址轉換配置命令(靜態nat):
nat server global <ip> [port] inside <ip> port [protocol] ;global_port不寫時使用inside_port
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.2 telnet tcp
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.3 www tcp
設有公網IP:202.38.160.101~202.38.160.103 可以使用。 ;對外訪問(原例題)
[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1 ;建立地址池
[Quidway]acl 1
[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255 ;指定允許的內部網路
[Quidway-acl-1]rule deny source any
[Quidway-acl-1]int serial 0
[Quidway-Serial0]nat outbound 1 address-group pool1 ;在s0口從地址池取出IP對外訪問
[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP設置:
[Quidway-s0]link-protocol ppp ;默認的協議
PPP驗證:
主驗方:pap|chap
[Quidway]local-user q2 password {simple|cipher} hello ;路由器1
[Quidway]interface serial 0
[Quidway-serial0]ppp authentication-mode {pap|chap}
[Quidway-serial0]ppp chap user q1 ;pap時,沒有此句
pap被驗方:
[Quidway]interface serial 0 ;路由器2
[Quidway-serial0]ppp pap local-user q2 password {simple|cipher} hello
chap被驗方:
[Quidway]interface serial 0 ;路由器2
[Quidway-serial0]ppp chap user q2 ;自己路由器名
[Quidway-serial0]local-user q1 password {simple|cipher} hello ;對方路由器名
幀中繼frame-relay (二分冊6-61)
[q1]fr switching
[q1]int s1
[q1-Serial1]ip address 192.168.34.51 255.255.255.0
[q1-Serial1]link-protocol fr ;封裝幀中繼協議
[q1-Serial1]fr interface-type dce
[q1-Serial1]fr dlci 100
[q1-Serial1]fr inarp
[q1-Serial1]fr map ip 192.168.34.52 dlci 100
[q2]int s1
[q2-Serial1]ip address 192.168.34.52 255.255.255.0
[q2-Serial1]link-protocol fr
[q2-Serial1]fr interface-type dte
[q2-Serial1]fr dlci 100
[q2-Serial1]fr inarp
[q2-Serial1]fr map ip 192.168.34.51 dlci 100
幀中繼監測
[q1]display fr lmi-info[]interface type number]
[q1]display fr map
[q1]display fr pvc-info[serial interface-number][dlci dlci-number]
[q1]display fr dlci-switch
[q1]display fr interface
[q1]reset fr inarp-info
[q1]debugging fr all[interface type number]
[q1]debugging fr arp[interface type number]
[q1]debugging fr event[interface type number]
[q1]debugging fr lmi[interface type number]
啟動ftp服務:
[Quidway]local-user ftp password {simple|cipher} aaa service-type ftp
2. 華為網關配置命令
方法:
華為路由器交換機配置命令:計算機命令
PCAlogin:root;使用root用戶
password:linux;口令是linux
#shutdown-hnow;關機
#init0;關機
#logout;用戶注銷
#login;用戶登錄
#ifconfig;顯示IP地址
#ifconfigeth0netmask;設置IP地址
#ifconfigeht0netmaskdown;禁用IP地址
#routeadd0.0.0.0gw;設置網關
#routedel0.0.0.0gw;刪除網關
#routeadddefaultgw;設置網關
#routedeldefaultgw;刪除網關
#route;顯示網關
#ping;發ECHO包
#telnet;遠程登錄
華為路由器交換機配置命令:交換機命令
[Quidway]discur;顯示當前配置
[Quidway]displaycurrent-configuration;顯示當前配置
[Quidway]displayinterfaces;顯示介面信息
[Quidway]displayvlanall;顯示路由信息
[Quidway]displayversion;顯示版本信息
[Quidway]superpassword;修改特權用戶密碼
[Quidway]sysname;交換機命名
[Quidway]interfaceethernet0/1;進入介面視圖
[Quidway]interfacevlanx;進入介面視圖
[Quidway-Vlan-interfacex]ipaddress10.65.1.1255.255.0.0;配置VLAN的IP地址
[Quidway]iproute-static0.0.0.00.0.0.010.65.1.2;靜態路由=網關
[Quidway]rip;三層交換支持
[Quidway]local-userftp
[Quidway]user-interfacevty04;進入虛擬終端
[S3026-ui-vty0-4]authentication-modepassword;設置口令模式
[S3026-ui-vty0-4]setauthentication-modepasswordsimple222;設置口令
[S3026-ui-vty0-4]userprivilegelevel3;用戶級別
[Quidway]interfaceethernet0/1;進入埠模式
[Quidway]inte0/1;進入埠模式
[Quidway-Ethernet0/1]plex{halffullauto};配置埠工作狀態
[Quidway-Ethernet0/1]speed{10100auto};配置埠工作速率
[Quidway-Ethernet0/1]flow-control;配置埠流控
[Quidway-Ethernet0/1]mdi{acrossautonormal};配置埠平接扭接
[Quidway-Ethernet0/1]portlink-type{trunkaccesshybrid};設置埠工作模式
[Quidway-Ethernet0/1]portaccessvlan3;當前埠加入到VLAN
[Quidway-Ethernet0/2]porttrunkpermitvlan{IDAll};設trunk允許的VLAN
[Quidway-Ethernet0/3]porttrunkpvidvlan3;設置trunk埠的PVID
[Quidway-Ethernet0/1]undoshutdown;激活埠
[Quidway-Ethernet0/1]shutdown;關閉埠
[Quidway-Ethernet0/1]quit;返回
[Quidway]vlan3;創建VLAN
[Quidway-vlan3]portethernet0/1;在VLAN中增加埠
[Quidway-vlan3]porte0/1;簡寫方式
[Quidway-vlan3]portethernet0/1toethernet0/4;在VLAN中增加埠
[Quidway-vlan3]porte0/1toe0/4;簡寫方式
[Quidway]monitor-port;指定鏡像埠
[Quidway]portmirror;指定被鏡像埠
[Quidway]portmirrorint_listobserving-portint_typeint_num;指定鏡像和被鏡像
[Quidway]descriptionstring;指定VLAN描述字元
[Quidway]description;刪除VLAN描述字元
[Quidway]displayvlan[vlan_id];查看VLAN設置
[Quidway]stp{enabledisable};設置生成樹,默認關閉
[Quidway]stppriority4096;設置交換機的優先順序
[Quidway]stproot{primarysecondary};設置為根或根的備份
[Quidway-Ethernet0/1]stpcost200;設置交換機埠的花費
[Quidway]link-aggregatione0/1toe0/4ingressboth;埠的聚合
[Quidway]undolink-aggregatione0/1all;始埠為通道號
[SwitchA-vlanx]isolate-user-vlanenable;設置主vlan
[SwitchA]isolate-user-vlansecondary;設置主vlan包括的子vlan
[Quidway-Ethernet0/2]porthybridpvidvlan;設置vlan的pvid
[Quidway-Ethernet0/2]porthybridpvid;刪除vlan的pvid
[Quidway-Ethernet0/2]porthybridvlanvlan_id_listuntagged;設置無標識的vlan
如果包的vlanid與PVId一致,則去掉vlan信息.默認PVID=1。
所以設置PVID為所屬vlanid,設置可以互通的vlan為untagged.
華為路由器交換機配置命令:路由器命令
[Quidway]displayversion;顯示版本信息
[Quidway]displaycurrent-configuration;顯示當前配置
[Quidway]displayinterfaces;顯示介面信息
[Quidway]displayiproute;顯示路由信息
[Quidway]sysnameaabbcc;更改主機名
[Quidway]superpasswrod123456;設置口令
[Quidway]interfaceserial0;進入介面
[Quidway-serial0]ipaddress;配置埠IP地址
[Quidway-serial0]undoshutdown;激活埠
[Quidway]link-protocolhdlc;綁定hdlc協議
[Quidway]user-interfacevty04
[Quidway-ui-vty0-4]authentication-modepassword
[Quidway-ui-vty0-4]setauthentication-modepasswordsimple222
[Quidway-ui-vty0-4]userprivilegelevel3
[Quidway-ui-vty0-4]quit
[Quidway]debugginghdlcallserial0;顯示所有信息
[Quidway]debugginghdlceventserial0;調試事件信息
[Quidway]debugginghdlcpacketserial0;顯示包的信息
華為路由器交換機配置命令:靜態路由:
[Quidway]iproute-static{interfacenumbernexthop}[value][rejectblackhole]
例如:
[Quidway]iproute-static129.1.0.01610.0.0.2
[Quidway]iproute-static129.1.0.0255.255.0.010.0.0.2
[Quidway]iproute-static129.1.0.016Serial2
[Quidway]iproute-static0.0.0.00.0.0.010.0.0.2
華為路由器交換機配置命令:動態路由:
[Quidway]rip;設置動態路由
[Quidway]ripwork;設置工作允許
[Quidway]ripinput;設置入口允許
[Quidway]ripoutput;設置出口允許
[Quidway-rip]network1.0.0.0;設置交換路由網路
[Quidway-rip]networkall;設置與所有網路交換
[Quidway-rip]peerip-address;
[Quidway-rip]summary;路由聚合
[Quidway]ripversion1;設置工作在版本1
[Quidway]ripversion2multicast;設版本2,多播方式
[Quidway-Ethernet0]ripsplit-horizon;水平分隔
[Quidway]routeridA.B.C.D;配置路由器的ID
[Quidway]ospfenable;啟動OSPF協議
[Quidway-ospf]import-routedirect;引入直聯路由
[Quidway-Serial0]ospfenablearea;配置OSPF區域
華為路由器交換機配置命令:標准訪問列表命令格式如下:
acl[match-orderconfigauto];默認前者順序匹配。
rule[normalspecial]{permitdeny}[sourcesource-addrsource-wildcardany]
例:
[Quidway]acl10
[Quidway-acl-10]rulenormalpermitsource10.0.0.00.0.0.255
[Quidway-acl-10]rulenormaldenysourceany
華為路由器交換機配置命令:擴展訪問控制列表配置命令
配置TCP/UDP協議的擴展訪問列表:
rule{normalspecial}{permitdeny}{tcpudp}source{any}destinationany}
[operate]
配置ICMP協議的擴展訪問列表:
rule{normalspecial}{permitdeny}icmpsource{any]destination{any]
[icmp-code][logging]
華為路由器交換機配置命令:擴展訪問控制列表操作符的含義
equalportnumber;等於
greater-thanportnumber;大於
less-thanportnumber;小於
not-equalportnumber;不等
rangeportnumber1portnumber2;區間
華為路由器交換機配置命令:擴展訪問控制列表舉例[Quidway]acl101
[Quidway-acl-101]
[Quidway-acl-101]-typeecho
[Quidway-acl-101]-typeecho-reply
[Quidway]acl102
[Quidway-acl-102]rulepermitipsource10.0.0.10.0.0.0destination202.0.0.10.0.0.0
[Quidway-acl-102]
[Quidway]acl103
[Quidway-acl-103].0.0.10.0.0.0destination-portequalftp
[Quidway-acl-103].0.0.20.0.0.0destination-portequalwww
[Quidway]firewallenable
[Quidway]firewalldefaultpermitdeny
[Quidway]inte0
[Quidway-Ethernet0]firewallpacket-filter101inboundoutbound
華為路由器交換機配置命令:地址轉換配置舉例
[Quidway]firewallenable
[Quidway]firewalldefaultpermit
[Quidway]acl101;內部指定主機可以進入e0
[Quidway-acl-101]
[Quidway-acl-101]rulepermitipsource129.38.1.10destinationany
[Quidway-acl-101]rulepermitipsource129.38.1.20destinationany
[Quidway-acl-101]rulepermitipsource129.38.1.30destinationany
[Quidway-acl-101]rulepermitipsource129.38.1.40destinationany
[Quidway-acl-101]quit
[Quidway]inte0
[Quidway-Ethernet0]firewallpacket-filter101inbound
[Quidway]acl102;外部特定主機和大於1024埠的數據包允許進入S0
[Quidway-acl-102]
[Quidway-acl-102]rulepermittcpsource202.39.2.30destination202.38.160.10
[Quidway-acl-102].38.160.10destination-portgreat-than
1024
[Quidway-acl-102]quit
[Quidway]ints0
[Quidway-Serial0]firewallpacket-filter102inbound;設202.38.160.1是路由器出口IP。
[Quidway-Serial0]natoutbound101interface;是Easyip,將acl101允許的IP從本介面出時變換源地址。
華為路由器交換機配置命令:內部伺服器地址轉換配置命令(靜態nat):
natserverglobal[port]insideport[protocol];global_port不寫時使用inside_port
[Quidway-Serial0]natserverglobal202.38.160.1inside129.38.1.1ftptcp
[Quidway-Serial0]natserverglobal202.38.160.1inside129.38.1.2telnettcp
[Quidway-Serial0]natserverglobal202.38.160.1inside129.38.1.3wwwtcp
設有公網IP:202.38.160.101~202.38.160.103可以使用。;對外訪問(原例題)
[Quidway]nataddress-group202.38.160.101202.38.160.103pool1;建立地址池
[Quidway]acl1
[Quidway-acl-1]rulepermitsource10.110.10.00.0.0.255;指定允許的內部網路
[Quidway-acl-1]ruledenysourceany
[Quidway-acl-1]intserial0
[Quidway-Serial0]natoutbound1address-grouppool1;在s0口從地址池取出IP對外訪問
[Quidway-Serial0]natserverglobal202.38.160.101inside10.110.10.1ftptcp
[Quidway-Serial0]natserverglobal202.38.160.102inside10.110.10.2wwwtcp
[Quidway-Serial0]natserverglobal202.38.160.1028080inside10.110.10.3wwwtcp
[Quidway-Serial0]natserverglobal202.38.160.103inside10.110.10.4smtpudp
華為路由器交換機配置命令:PPP設置:
[Quidway-s0]link-protocolppp;默認的協議
華為路由器交換機配置命令:PPP驗證:
主驗方:papchap
[Quidway]local-userq2password{simplecipher}hello;路由器1
[Quidway]interfaceserial0
[Quidway-serial0]pppauthentication-mode{papchap}
[Quidway-serial0]pppchapuserq1;pap時,沒有此句
華為路由交換機配置命令:pap被驗方:
[Quidway]interfaceserial0;路由器2
[Quidway-serial0]ppppaplocal-userq2password{simplecipher}hello
華為路由器交換機配置命令:chap被驗方:
[Quidway]interfaceserial0;路由器2
[Quidway-serial0]pppchapuserq2;自己路由器名
[Quidway-serial0]local-userq1password{simplecipher}hello;對方路由器名
幀中繼frame-relay(二分冊6-61)
[q1]frswitching
[q1]ints1
[q1-Serial1]ipaddress192.168.34.51255.255.255.0
[q1-Serial1]link-protocolfr;封裝幀中繼協議
[q1-Serial1]frinterface-typedce
[q1-Serial1]frdlci100
[q1-Serial1]frinarp
[q1-Serial1]frmapip192.168.34.52dlci100
[q2]ints1
[q2-Serial1]ipaddress192.168.34.52255.255.255.0
[q2-Serial1]link-protocolfr
[q2-Serial1]frinterface-typedte
[q2-Serial1]frdlci100
[q2-Serial1]frinarp
[q2-Serial1]frmapip192.168.34.51dlci100
華為路由器交換機配置命令:幀中繼監測
[q1]displayfrlmi-info[]interfacetypenumber]
[q1]displayfrmap
[q1]displayfrpvc-info[serialinterface-number][dlcidlci-number]
[q1]displayfrdlci-switch
[q1]displayfrinterface
[q1]resetfrinarp-info
[q1]debuggingfrall[interfacetypenumber]
[q1]debuggingfrarp[interfacetypenumber]
[q1]debuggingfrevent[interfacetypenumber]
[q1]debuggingfrlmi[interfacetypenumber]
華為路由器交換機配置命令:啟動ftp服務:
[Quidway]local-userftppassword{simplecipher}aaaservice-typeftp
[Quidway]ftpserverenable 路由器交換機
交換機命令
[Quidway]super password 修改特權用戶密碼
[Quidway]sysname 交換機命名
[Quidway]interface ethernet 0/1 進入介面視圖
[Quidway]interface vlan x 進入介面視圖
[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 靜態路由=網關
[Quidway]user-interface vty 0 4
[S3026-ui-vty0-4]authentication-mode password
[S3026-ui-vty0-4]set authentication-mode password simple 222
[S3026-ui-vty0-4]user privilege level 3
[Quidway-Ethernet0/1]plex {half|full|auto} 配置埠雙工工作狀態
[Quidway-Ethernet0/1]speed {10|100|auto} 配置埠工作速率
[Quidway-Ethernet0/1]flow-control 配置埠流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} 配置埠MDI/MDIX狀態平接或扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 設置介面工作模式
(access(預設)不支持802.1q幀的傳送,而trunk支持(用於Switch間互連),hybrid和trunk的區別在於trunk 只允許預設VLAN的報文發送時不打標簽,而hybrid允許多個VLAN報文發送時不打標簽。 )
[Quidway-Ethernet0/1]shutdown 關閉/重起介面
[Quidway-Ethernet0/2]quit 退出系統視圖
------------------------------------
[Quidway]vlan 3 創建/刪除一個VLAN/進入VLAN模式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在當前VLAN增加/刪除乙太網介面
[Quidway-Ethernet0/2]port access vlan 3 將當前介面加入到指定VLAN
[Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 設trunk允許的VLAN
[Quidway-Ethernet0/2]port trunk pvid vlan 3 設置trunk埠的PVID
[Quidway]monitor-port 指定和清除鏡像埠
[Quidway]port mirror 指定和清除被鏡像埠
[Quidway]port mirror int_list observing-port int_type int_num 指定鏡像和被鏡像
[Quidway]description string 指定VLAN描述字元
[Quidway]description 刪除VLAN描述字元
[Quidway]display vlan [vlan_id] 查看VLAN設置
[Quidway]stp {enable|disable} 開啟/關閉生成樹,默認關閉
[Quidway]stp priority 4096 設置交換機的優先順序
[Quidway]stp root {primary|secondary} 設置交換機為根或根的備份
[Quidway-Ethernet0/1]stp cost 200 設置交換機埠的花費
[SwitchA-vlanx]isolate-user-vlan enable 設置主vlan
[SwitchA]Isolate-user-vlan secondary 設置主vlan包括的子vlan
[Quidway-Ethernet0/2]port hybrid pvid vlan 設置vlan的pvid
[Quidway-Ethernet0/2]port hybrid pvid 刪除vlan的pvid
[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged 設置無標識的vlan
如果包的vlan id與PVId一致,則去掉vlan信息. 默認PVID=1。
所以設置PVID為所屬vlan id, 設置可以互通的vlan為untagged.
埠聚合配置命令
[Quidway]link-aggregation ethernet 0/7 to ethernet 0/10 {ingress|both} 配置埠聚合
Port_num1為埠聚合組的起始埠號,Port_num2為終止埠號,ingress為介面入負荷分擔方式,both為介面出入雙向負荷分擔方式。
[SwitchA]display link-aggregation ethernet0/1
[SwitchA]undo link-aggregation all
------------------------------------
路由器命令
[Quidway]display version 顯示版本信息
[Quidway]display current-configuration 顯示當前配置
[Quidway]display interfaces 顯示介面信息
[Quidway]display ip route 顯示路由信息
[Quidway]sysname aabbcc 更改主機名
[Quidway]super passwrod 123456 設置口令
[Quidway]interface serial0 進入介面
[Quidway-serial0]ip address
[Quidway-serial0]undo shutdown 激活埠
[Quidway]link-protocol hdlc 綁定hdlc協議
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222
[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugging hdlc all serial0 顯示所有信息
[Quidway]debugging hdlc event serial0 調試事件信息
[Quidway]debugging hdlc packet serial0 顯示包的信息
靜態路由:
[Quidway]ip route-static {interface number|nexthop}[value][reject|blackhole]
例如:
[Quidway]ip route-static 129.1.0.0 16 10.0.0.2
[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]ip route-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
動態路由:
[Quidway]rip
[Quidway]rip work
[Quidway]rip input
[Quidway]rip output
[Quidway-rip]network 1.0.0.0 ;可以all
[Quidway-rip]network 2.0.0.0
[Quidway-rip]peer ip-address
[Quidway-rip]summary
[Quidway]rip version 1
[Quidway]rip version 2 multicast
[Quidway-Ethernet0]rip split-horizon ;水平分隔
[Quidway]router id A.B.C.D 配置路由器的ID
[Quidway]ospf enable 啟動OSPF協議
[Quidway-ospf]import-route direct 引入直聯路由
[Quidway-Serial0]ospf enable area
配置OSPF區域
標准訪問列表命令格式如下:
acl [match-order config|auto] 默認前者順序匹配。
rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:
[Quidway]acl 10
[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rule normal deny source any
擴展訪問控制列表配置命令
配置TCP/UDP協議的擴展訪問列表:
rule {normal|special}{permit|deny}{tcp|udp}source {|any}destination |any}
[operate]
配置ICMP協議的擴展訪問列表:
rule {normal|special}{permit|deny}icmp source {|any]destination {|any]
[icmp-code] [logging]
擴展訪問控制列表操作符的含義
equal portnumber 等於
greater-than portnumber 大於
less-than portnumber 小於
not-equal portnumber 不等
range portnumber1 portnumber2 區間
擴展訪問控制列表舉例
[Quidway]acl 101
[Quidway-acl-101]rule deny souce any destination any
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www
[Quidway]firewall enable
[Quidway]firewall default permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound
地址轉換配置舉例
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 101
[Quidway-acl-101]rule deny ip source any destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway]acl 102
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than
1024
[Quidway-Ethernet0]firewall packet-filter 101 inbound
[Quidway-Serial0]firewall packet-filter 102 inbound
[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1
[Quidway]acl 1
[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255
[Quidway-acl-1]rule deny source any
[Quidway-acl-1]int serial 0
[Quidway-Serial0]nat outbound 1 address-group pool1
[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP配置命令
[Quidway-Serial0]link-protocol ppp 封裝PPP協議
[Quidway-Serial0]ppp authentication-mode {pap|chap} 設置驗證類型
證類型
[Quidway]local-user username password {simple|cipher} password 配置用戶列表
PPP驗證:
主驗方:pap|chap
[Quidway]local-user u2 password {simple|cipher} aaa
[Quidway]interface serial 0
[Quidway-serial0]ppp authentication-mode {pap|chap}
[Quidway-serial0]ppp chap user u1 //pap時,不用此句
pap被驗方:
[Quidway]interface serial 0
[Quidway-serial0]ppp pap local-user u2 password {simple|cipher} aaa
chap被驗方:
[Quidway]interface serial 0
[Quidway-serial0]ppp chap user u1
[Quidway-serial0]local-user u2 password {simple|cipher} aaa
3. 路由器交換機的配置命令:詳細的來
路由器支持的命令:
路由器顯示命令:
router#show run ;顯示配置信息
router#show interface ;顯示介面信息
router#show ip route ;顯示路由信息
router#show cdp nei ;顯示鄰居信息
router#reload ;重新起動
路由器口令設置:
router>enable ;進入特權模式
router#config terminal ;進入全局配置模式
router(config)#hostname <hostname> ;設置交換機的主機名
router(config)#enable secret xxx ;設置特權加密口令
router(config)#enable password xxb ;設置特權非密口令
router(config)#line console 0 ;進入控制台口
router(config-line)#line vty 0 4 ;進入虛擬終端
router(config-line)#login ;要求口令驗證
router(config-line)#password xx ;設置登錄口令xx
router(config)#(Ctrl+z) ; 返回特權模式
router#exit ;返回命令
路由器配置:
router(config)#int s0/0 ;進入Serail介面
router(config-if)#no shutdown ;激活當前介面
router(config-if)#clock rate 64000 ;設置同步時鍾
router(config-if)#ip address <ip> <netmask> ;設置IP地址
router(config-if)#ip address <ip> <netmask> second ;設置第二個IP
router(config-if)#int f0/0.1 ;進入子介面
router(config-subif.1)#ip address <ip> <netmask> ;設置子介面IP
router(config-subif.1)#encapsulation dot1q <n> ;綁定vlan中繼協議
router(config)#config-register 0x2142 ;跳過配置文件
router(config)#config-register 0x2102 ;正常使用配置文件
router#reload ;重新引導
路由器文件操作:
router# running-config startup-config ;保存配置
router# running-config tftp ;保存配置到tftp
router# startup-config tftp ;開機配置存到tftp
router# tftp flash: ;下傳文件到flash
router# tftp startup-config ;下載配置文件
ROM狀態:
Ctrl+Break ;進入ROM監控狀態
rommon>confreg 0x2142 ;跳過配置文件
rommon>confreg 0x2102 ;恢復配置文件
rommon>reset ;重新引導
rommon> xmodem:<sname> flash:<dname> ;從console傳輸文件
rommon>IP_ADDRESS=10.65.1.2 ;設置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0 ;設置路由器掩碼
rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP伺服器IP
rommon>TFTP_FILE=c2600.bin ;指定下載的文件
rommon>tftpdnld ;從tftp下載
rommon>dir flash: ;查看快閃記憶體內容
rommon>boot ;引導IOS
靜態路由:
ip route <ip-address> <subnet-mask> <gateway> ;命令格式
router(config)#ip route 2.0.0.0 255.0.0.0 1.1.1.2 ;靜態路由舉例
router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 ;默認路由舉例
動態路由:
router(config)#ip routing ;啟動路由轉發
router(config)#router rip ;啟動RIP路由協議。
router(config-router)#network <netid> ;設置發布路由
router(config-router)#negihbor <ip> ;點對點幀中繼用。
幀中繼命令:
router(config)#frame-relay switching ;使能幀中繼交換
router(config-s0)#encapsulation frame-relay ;使能幀中繼
router(config-s0)#fram-relay lmi-type cisco ;設置管理類型
router(config-s0)#frame-relay intf-type DCE ;設置為DCE
router(config-s0)#frame-relay dlci 16 ;
router(config-s0)#frame-relay local-dlci 20 ;設置虛電路號
router(config-s0)#frame-relay interface-dlci 16 ;
router(config)#log-adjacency-changes ;記錄鄰接變化
router(config)#int s0/0.1 point-to-point ;設置子介面點對點
router#show frame pvc ;顯示永久虛電路
router#show frame map ;顯示映射
基本訪問控制列表:
router(config)#access-list <number> permit|deny <source_ip> <wild|any>
router(config)#interface <interface> ;default:deny any
router(config-if)#ip access-group <number> in|out ;default:out
例1:
router(config)#access-list 1 deny host 10.65.1.1
router(config)#access-list 1 permit any
router(config)#int f0/0
router(config-if)#ip access-group 4 in
例2:
router(config)#access-list 4 permit 10.8.1.1
router(config)#access-list 4 deny 10.8.1.0 0.0.0.255
router(config)#access-list 4 permit 10.8.0.0 0.0.255.255
router(config)#access-list 4 deny 10.0.0.0 0.255.255.255
router(config)#access-list 4 permit any
router(config)#int f0/1
router(config-if)#ip access-group 4 in
擴展訪問控制列表:
access-list <number> permit|deny icmp <S_IP wild> <D_IP wild>[type]
access-list <number> permit|deny tcp <S_IP wild> <D_IP wild>[port]
例1:
router(config)#access-list 101 deny icmp any 10.64.0.2 0.0.0.0 echo
router(config)#access-list 101 permit ip any any
router(config)#int s0/0
router(config-if)#ip access-group 101 in
例2:
router(config)#access-list 102 deny tcp any 10.65.0.2 0.0.0.0 eq 80
router(config)#access-list 102 permit ip any any
router(config)#interface s0/1
router(config-if)#ip access-group 102 out
刪除訪問控制例表:
router(config)#no access-list 102
router(config-if)#no ip access-group 101 in
路由器的nat配置
Router(config-if)#ip nat inside ;當前介面指定為內部介面
Router(config-if)#ip nat outside ;當前介面指定為外部介面
Router(config)#ip nat inside source static [p] <私有IP><公網IP> [port]
Router(config)#ip nat inside source static 10.65.1.2 60.1.1.1
Router(config)#ip nat inside source static tcp 10.65.1.3 80 60.1.1.1 80
Router(config)#ip nat pool p1 60.1.1.1 60.1.1.20 255.255.255.0
Router(config)#ip nat inside source list 1 pool p1
Router(config)#ip nat inside destination list 2 pool p2
Router(config)#ip nat inside source list 2 interface s0/0 overload
Router(config)#ip nat pool p2 10.65.1.2 10.65.1.4 255.255.255.0 type rotary
Router#show ip nat translation
rotary 參數是輪流的意思,地址池中的IP輪流與NAT分配的地址匹配。
overload參數用於PAT 將內部IP映射到一個公網IP不同的埠上。
外部網關協議配置
routerA(config)#router bgp 100
routerA(config-router)#network 19.0.0.0
routerA(config-router)#neighbor 8.1.1.2 remote-as 200
配置PPP驗證:
RouterA(config)#username <RouterB> password <word>
RouterA(config)#int s0
RouterA(config-if)#ppp authentication {chap|pap}
4. 路由配置命令
只有CISCO路由器的命令
路由器顯示命令:
router#show run ;顯示配置信息
router#show interface ;顯示介面信息
router#show ip route ;顯示路由信息
router#show cdp nei ;顯示鄰居信息
router#reload ;重新起動
路由器口令設置:
router>enable ;進入特權模式
router#config terminal ;進入全局配置模式
router(config)#hostname ;設置交換機的主機名
router(config)#enable secret xxx ;設置特權加密口令
router(config)#enable password xxb ;設置特權非密口令
router(config)#line console 0 ;進入控制台口
router(config-line)#line vty 0 4 ;進入虛擬終端
router(config-line)#login ;要求口令驗證
router(config-line)#password xx ;設置登錄口令xx
router(config)#(Ctrl+z) ; 返回特權模式
router#exit ;返回命令
路由器配置:
router(config)#int s0/0 ;進入Serail介面
router(config-if)#no shutdown ;激活當前介面
router(config-if)#clock rate 64000 ;設置同步時鍾
router(config-if)#ip address ;設置IP地址
router(config-if)#ip address second ;設置第二個IP
router(config-if)#int f0/0.1 ;進入子介面
router(config-subif.1)#ip address ;設置子介面IP
router(config-subif.1)#encapsulation dot1q ;綁定vlan中繼協議
router(config)#config-register 0x2142 ;跳過配置文件
router(config)#config-register 0x2102 ;正常使用配置文件
router#reload ;重新引導
路由器文件操作:
router# running-config startup-config ;保存配置
router# running-config tftp ;保存配置到tftp
router# startup-config tftp ;開機配置存到tftp
router# tftp flash: ;下傳文件到flash
router# tftp startup-config;下載配置文件
ROM狀態:
Ctrl+Break ;進入ROM監控狀態
rommon>confreg 0x2142 ;跳過配置文件
rommon>confreg 0x2102 ;恢復配置文件
rommon>reset ;重新引導
rommon> xmodem: flash: ;從console傳輸文件
rommon>IP_ADDRESS=10.65.1.2 ;設置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0 ;設置路由器掩碼
rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP伺服器IP
rommon>TFTP_FILE=c2600.bin ;指定下載的文件
rommon>tftpdnld ;從tftp下載
rommon>dir flash: ;查看快閃記憶體內容
rommon>boot ;引導IOS
靜態路由:
ip route ;命令格式
router(config)#ip route 2.0.0.0 255.0.0.0 1.1.1.2 ;靜態路由舉例
router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 ;默認路由舉例
動態路由:
router(config)#ip routing ;啟動路由轉發
router(config)#router rip ;啟動RIP路由協議。
router(config-router)#network ;設置發布路由
router(config-router)#negihbor ;點對點幀中繼用。
幀中繼命令:
router(config)#frame-relay switching ;使能幀中繼交換
router(config-s0)#encapsulation frame-relay ;使能幀中繼
router(config-s0)#fram-relay lmi-type cisco ;設置管理類型
router(config-s0)#frame-relay intf-type DCE ;設置為DCE
router(config-s0)#frame-relay dlci 16 ;
router(config-s0)#frame-relay local-dlci 20 ;設置虛電路號
router(config-s0)#frame-relay interface-dlci 16 ;
router(config)#log-adjacency-changes ;記錄鄰接變化
router(config)#int s0/0.1 point-to-point ;設置子介面點對點
router#show frame. pvc ;顯示永久虛電路
router#show frame. map ;顯示映射
基本訪問控制列表:
router(config)#access-list permit|deny
router(config)#interface ;default:deny any
router(config-if)#ip access-group in|out ;default:out
例1:
router(config)#access-list 4 permit 10.8.1.1
router(config)#access-list 4 deny 10.8.1.0 0.0.0.255
router(config)#access-list 4 permit 10.8.0.0 0.0.255.255
router(config)#access-list 4 deny 10.0.0.0 0.255.255.255
router(config)#access-list 4 permit any
router(config)#int f0/0
router(config-if)#ip access-group 4 in
擴展訪問控制列表:
access-list permit|deny icmp <DESTINATIONIP
wild>[type]
access-list permit|deny tcp <DESTINATIONIP
wild>[port]
例3:
router(config)#access-list 101 deny icmp any 10.64.0.2 0.0.0.0 echo
router(config)#access-list 101 permit ip any any
router(config)#int s0/0
router(config-if)#ip access-group 101 in
例3:
router(config)#access-list 102 deny tcp any 10.65.0.2 0.0.0.0 eq 80
router(config)#access-list 102 permit ip any any
router(config)#interface s0/1
router(config-if)#ip access-group 102 out
刪除訪問控制例表:
router(config)#no access-list 102
router(config-if)#no ip access-group 101 in
路由器的nat配置
Router(config-if)#ip nat inside ;當前介面指定為內部介面
Router(config-if)#ip nat outside ;當前介面指定為外部介面
Router(config)#ip nat inside source static [p] <私有IP><公網IP> [port]
Router(config)#ip nat inside source static 10.65.1.2 60.1.1.1
Router(config)#ip nat inside source static tcp 10.65.1.3 80 60.1.1.1 80
Router(config)#ip nat pool p1 60.1.1.1 60.1.1.20 255.255.255.0
Router(config)#ip nat inside source list 1 pool p1
Router(config)#ip nat inside destination list 2 pool p2
Router(config)#ip nat inside source list 2 interface s0/0 overload
Router(config)#ip nat pool p2 10.65.1.2 10.65.1.4 255.255.255.0 type rotary
Router#show ip nat translation
rotary 參數是輪流的意思,地址池中的IP輪流與NAT分配的地址匹配。
overload參數用於PAT 將內部IP映射到一個公網IP不同的埠上。
外部網關協議配置:
routerA(config)#router bgp 100
routerA(config-router)#network 19.0.0.0
routerA(config-router)#neighbor 8.1.1.2 remote-as 200
配置PPP驗證:
RouterA(config)#username password
RouterA(config)#int s0
RouterA(config-if)#ppp authentication {chap|pap}
3.PIX防火牆命令
Pix525(config)#nameif ethernet0 outside security0 ;命名介面和級別
Pix525(config)#interface ethernet0 auto ;設置介面方式
Pix525(config)#interface ethernet1 100full ;設置介面方式
Pix525(config)#interface ethernet1 100full shutdown
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
Pix525(config)#ip address outside 133.0.0.1 255.255.255.252
Pix525(config)#global (if_name) natid ip-ip ;定義公網IP區間
Pix525(config)#global (outside) 1 7.0.0.1-7.0.0.15 ;例句
Pix525(config)#global (outside) 1 133.0.0.1 ;例句
Pix525(config)#no global (outside) 1 133.0.0.1 ;去掉設置
Pix525(config)#nat (if_name) nat_id local_ip [netmark]
Pix525(config)#nat (inside) 1 0 0
內網所有主機(0代表0.0.0.0)可以訪問global 1指定的外網。
Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
內網172.16.5.0/16網段的主機可以訪問global 1指定的外網。
Pix525(config)#route if_name 0 0 gateway_ip [metric] ;命令格式
Pix525(config)#route outside 0 0 133.0.0.1 1 ;例句
Pix525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1 ;例句
Pix525(config)#static (inside, outside) 133.0.0.1 192.168.0.8
表示內部ip地址192.168.0.8,訪問外部時被翻譯成133.0.0.1全局地址。
Pix525(config)#static (dmz, outside) 133.0.0.1 172.16.0.8
中間區域ip地址172.16.0.8,訪問外部時被翻譯成133.0.0.1全局地址
5. 靜態nat配置命令
1)在R1上將192.168.0.10映射到201.1.1.2,將192.168.0.20映射到201.1.1.3
靜態映射有唯一對應的關系,這也提供了外網到內網主機的訪問途徑,即如果外網主機想訪問內網的192.168.0.10,只要訪問201.1.1.2即可。
通過靜態NAT,可以把內網伺服器發布到外網。
tarena-R1(config)#ip nat inside source static 192.168.0.10 201.1.1.2
tarena-R1(config)#ip nat inside source static 192.168.0.20 201.1.1.3
2)在R1上配置NAT內、外埠
tarena-R1(config)#interface f0/0
tarena-R1(config-if)#ip nat inside
tarena-R1(config-if)#interface f0/1
tarena-R1(config-if)#ip nat outside
3)分別在兩台PC機上測試到外網主機的通信
PC1測試如下所示:
PC>ipconfig
FastEthernet0 Connection:(default port)
Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CC
IP Address......................: 192.168.0.10
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.0.1
PC>ping 200.1.1.10
Pinging 200.1.1.10 with 32 bytes of data:
Request timed out.
Request timed out.
Reply from 200.1.1.10: bytes=32 time=1ms TTL=126
Reply from 200.1.1.10: bytes=32 time=0ms TTL=126
Ping statistics for 200.1.1.10:
Packets: Sent = 4, Received = 2, Lost = 2 (50% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
PC>
6. 如何配置NAT
一、 NAT簡介
NAT的功能就是指將使用私有地址的網路與公用網路INTERNET相連,使用私有地址的內部網路通過NAT路由器發送數據時,私有地址將被轉化為合法注冊的IP地址從而可以與INTERNET上的其他主機進行通訊。
NAT路由器被置於內部網和INTERNET的邊界上並且在把數據包發送到外部網路前將數據包的源地址轉換為合法的IP地址。當多個內部主機共享一個合法IP地址時,地址轉換是通過埠多路復用即改變外出數據包的源埠並進行埠映射完成。
二、 NAT工作過程
假設某公司申請DDN專線時,電信提供的合法地址為61.138.0.93/30,61.128.0.94/30,公司內部網路地址為192.168.0.0/24,路由器局域口地址192.168.0.254/24,廣域口地址61.138.0.93/30,
當192.168.0.1/24這台計算機向INTERNET上的伺服器202.98.0.66發出請求,則相應的操作過程如下:
⑴內部主機192.168.0.1/24的用戶發出到INTERNET上主機202.98.0.66的連接請求;
⑵邊界路由器從內部主機接到第一個數據包時會檢查其NAT映射表,如果還沒有為該地址建立地址轉換映射,路由器便決定為該地址進行地址轉換,路由器為該內部地址192.168.0.1到合法IP地址61.138.0.93的映射,同時附加埠信息,以區別與內部其他主機的映射。
⑶邊界路由器用合法IP地址61.138.0.93及某埠號來替換內部IP地址192.168.0.1和對應的埠號,並轉發該數據包。
⑷INTERNET伺服器202.98.0.66接到該數據包,並以該包的地址(61.138.0.93)來對內部主機192.168.0.1作出應答。
⑸當邊界路由器接受到目的地址為61.138.0.93的數據包時路由器將使用該IP地址、埠號從NAT的映射表中查找出對應的內部地址和埠號,然後將數據包的目的地址轉化為內部地址192.168.0.1,並將數據包發送到該主機。對於每一個請求路由器都重復2-5的步驟。
三、路由器NAT功能配置
以上面的假設為例,分別說明在CISCO、3COM路由器下配置NAT功能
一CISCO路由器
以CISCO2501為例,要求其IOS為11.2版本以上
cisco2501#conf t
cisco2501(config)# int e0
cisco2501(config-if)# ip address 192.168.0.254 255.255.255.0
cisco2501(config-if)# ip nat inside
(指定e0口為與內部網相連的內部埠)
cisco2501(config-if)#int s0
cisco2501(config-if)#encapsulation ppp
(指定封裝方式為PPP)
cisco2501(config-if)#ip address 61.138.0.93 255.255.255.252
cisco2501(config-if)# ip nat outside
(指定s0為與外部網路相連的外部埠)
cisco2501(config-if)#exit
cisco2501(config)# bandwidth 128
(指定網路帶寬128k)
cisco2501(config)# ip route 0.0.0.0 0.0.0.0 Serial0
(指定預設路由)
cisco2501(config)# ip nat pool a 61.138.0.93 61.138.0.93 netmask 255.255.255.252
(指定內部合法地址池,起始地址,結束地址為合法IP 61.138.0.93)
cisco2501(config)# access-list 1 permit 192.168.0.0 0.0.0.255
(定義一個標準的access-list規則,以允許哪些內部地址可以進行地址轉換)
cisco2501(config)# ip nat inside source list 1 pool a overload
(設置內部地址與合法IP地址間建立地址轉換)
cisco2501(config)#end
cisco2501#wr
二3COM路由器
以3COM OCBN8832為例,要求其SOFTWARE VERSION為11.0版本以上
以root注冊,進行如下配置:
⑴配置區域網埠
[1] EnterpriseOS #setdefault !1 -ip netaddress=192.168.0.254 255.255.255.0
[2] EnterpriseOS #setdefault !! -path control =enable (激活路由器局域口PATH)
[3] EnterpriseOS #setdefault !1 -port control=enable (激活路由器局域口PORT)
⑵配置廣域網串列埠
[4] EnterpriseOS #setdefault !3 -path linetype=leased (指明該埠使用的通信線路類型)
[5] EnterpriseOS #setdefault !4 -port owner=ppp (指明該埠的使用者)
[6] EnterpriseOS #setdefault !4 -ip netaddress=61.138.0.93 255.255.255.252
[7] EnterpriseOS #setdefault !4 -nat addressmap 192.168.0.0/24 61.138.0.93 outbound
(指定將192.168.0.0/24內部主機使用的IP地址轉換成61.138.0.93)
[8] EnterpriseOS #setdault !4 -nat control=enable (啟用NAT服務)
[9] EnterpriseOS #setdault !3 -path control=enable
[10]EnterpriseOS #setdault !4 -port control=enalbe
⑶配置預設路由
[11]EnterpriseOS #setdault -ip control=router (激活路由器的路由功能)
[12]EnterpriseOS #add -ip route 0.0.0.0 0.0.0.0 !4
7. 防火牆的配置命令是什麼
1、nameif
設置介面名稱,並指定安全級別,安全級別取值范圍為1~100,數字越大安全級別越高。
使用命令:
PIX525(config)#
PIX525(config)#
PIX525(config)#nameifethernet2dmzsecurity50
2、interface
配置以太口工作狀態,常見狀態有:auto、100full、shutdown。
auto:設置網卡工作在自適應狀態。
100full:設置網卡工作在100Mbit/s,全雙工狀態。
shutdown:設置網卡介面關閉,否則為激活。
命令:
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#
3、ipaddress
配置網路介面的IP地址
4、global
指定公網地址范圍:定義地址池。
Global命令的配置語法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):表示外網介面名稱,一般為outside。
nat_id:建立的地址池標識(nat要引用)。
ip_address-ip_address:表示一段ip地址范圍。
[netmarkglobal_mask]:表示全局ip地址的網路掩碼。
5、nat
地址轉換命令,將內網的私有ip轉換為外網公網ip。
6、route
route命令定義靜態路由。
語法:
route(if_name)00gateway_ip[metric]
7、static
配置靜態IP地址翻譯,使內部地址與外部地址一一對應。
語法:
static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
8、conit
管道conit命令用來設置允許數據從低安全級別的介面流向具有較高安全級別的介面。
語法:
conitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
9、訪問控制列表ACL
訪問控制列表的命令與couit命令類似
10、偵聽命令fixup
作用是啟用或禁止一個服務或協議,
通過指定埠設置PIX防火牆要偵聽listen服務的埠。
11、telnet
當從外部介面要telnet到PIX防火牆時,telnet數據流需要用vpn隧道ipsec提供保護或
在PIX上配置SSH,然後用SSHclient從外部到PIX防火牆。
12、顯示命令:
showinterface;查看埠狀態。
showstatic;查看靜態地址映射。
showip;查看介面ip地址。
showconfig;查看配置信息。
showrun;顯示當前配置信息。
writeterminal;將當前配置信息寫到終端。
showcpuusage;顯示CPU利用率,排查故障時常用。
showtraffic;查看流量。
showblocks;顯示攔截的數據包。
showmem;顯示內存
13、DHCP服務
PIX具有DHCP服務功能。
8. 華為路由器如何配置NAT
華為路由器NAT經典配置
NAT概述
早期的NAT是指BasicNAT,BasicNAT在技術上實現比較簡單,只支持地址轉換,不支持埠轉換。因此,BasicNAT只能解決內網主機訪問外網問題,無法解決IP地址短缺問題。後期的NAT主要是指網路地址埠轉換NAPT(NetworkAddress PortTranslation),NAPT既支持地址轉換也支持埠轉換,並允許多台內網主機共享一個外網IP地址訪問外網,因此NAPT可以有效的改善IP地址短缺現象。
Basic NAT
BasicNAT方式只轉換IP地址,不轉換TCP/UDP協議的埠號,屬於一對一的轉換,一個外網IP地址只能被一個內網用戶使用。下圖描述了BasicNAT的基本原理。
Basic NAT實現過程
1.內網HostA訪問外網Server,向Router發送一個源IP地址為10.1.1.1的報文。
2.當Router收到報文後,做BasicNAT轉換。Router根據報文的源IP地址查找NAT轉換關系表,看是否有相關的轉換記錄(10.1.1.11.1.1.1)。如果有轉換記錄,則將報文的源IP地址10.1.1.1轉換成1.1.1.1後,轉發給外網Server;如果沒有轉換記錄,在進行源IP地址轉換的同時,還會在NAT轉換關系表中新增一條該會話的轉換記錄(正反向)。
3.外網Server給內網HostA轉換後的外網IP地址1.1.1.1發送回應報文。報文到達Router後,Router根據報文的目的IP地址查找NAT轉換關系表,將報文的目的IP地址1.1.1.1轉換成10.1.1.1後,轉發給內網HostA。
4.內網HostB訪問外網Server的轉換過程和內網HostA訪問外網Server的轉換過程類似。由於BasicNAT不轉換埠號,所以HostA和HostB分別用不同的外網IP地址訪問Server。
NAPT
NAPT方式既轉換IP地址,也轉換TCP/UDP協議的埠號,屬於多對一的轉換。NAPT通過使用「IP地址+埠號」的形式,使多個內網用戶共用一個外網IP地址訪問外網,因此NAPT也可以稱為「多對一地址轉換」或「地址復用」。下圖描述了NAPT的基本原理。
NAPT實現過程
1.內網HostA訪問外網Server,向Router發送一個源IP地址為10.1.1.1,埠號為10的報文。
2.Router收到報文後,做NAPT轉換。Router根據報文的源IP地址和埠號查找NAT轉換關系表,看是否有相關的轉換記錄(10.1.1.1:101.1.1.1:30)。如果有轉換記錄,則將報文的源IP地址10.1.1.1轉換成1.1.1.1,埠號10轉換成30後,轉發給外網Server;如果沒有轉換記錄,在進行源IP地址和埠號轉換的同時,還會在NAT轉換關系表中新增一條該會話的轉換記錄(正反向)。
3.外網Server給內網HostA轉換後的外網IP地址1.1.1.1發送回應報文。Router根據回應報文中的目的IP地址和埠號查找NAT轉換關系表,將報文的目的IP地址1.1.1.1轉換成10.1.1.1,埠號30轉換成10後,轉發給內網HostA。
4.內網HostB訪問外網Server的轉換過程和內網HostA訪問外網Server的轉換過程類似。由於NAPT可以轉換埠號,所以HostA和HostB可以共用同一個外網IP地址1.1.1.1訪問Server。
NAT分類
NAT是將IP數據報文頭中的IP地址轉換為另一個IP地址的過程,主要用於實現內部網路(私有IP地址)訪問外部網路(公有IP地址)的功能。根據轉換過程中IP地址或埠號的轉換規則是否已事先確定,可以將NAT分為動態NAT和靜態NAT。
動態NAT
動態NAT是指內部網路和外部網路之間的地址映射關系在轉換時動態產生。動態NAT也指NATOutbound,常用於內部網路有大量用戶需要訪問外部網路的組網場景。動態NAT分為地址池方式的動態NAT和EasyIP方式的動態NAT。
靜態NAT
靜態NAT是指外部網路和內部網路之間的地址映射關系由配置事先確定,常用於外網用戶需要訪問內網伺服器提供的一些服務的組網場景。靜態NAT分為NATStatic和NATServer。兩者都可以對外網提供服務,但是在內網主動訪問外網的地址轉換中,兩者略有不同,具體差異如下:
1.NATServer對於內網主動訪問外網的情況不做埠轉換,僅做地址轉換,即當報文的源IP地址匹配NAT Server規則里的內網IP地址時,不論埠號是多少,都會轉換報文的源IP地址。
2.NATStatic對於內網主動訪問外網的情況既做埠轉換,也做地址轉換,即只有當報文的源IP地址和埠號同時匹配NATStatic規則里的內網IP地址和埠號時,才會轉換報文的源IP地址和埠號。
配置內網主機訪問外網示例
組網需求
某公司A區和B區的內網用戶通過路由器和Internet相連,A區和B區的內網用戶都有訪問外網Internet的需求。公司為A區用戶規劃的外網IP地址較多,A區用戶希望使用外網地址池中(2.2.2.100~2.2.2.200)的地址和A區內部主機的地址(網段為192.168.20.0/24)進行一對一轉換後,訪問Internet。公司為B區用戶規劃的外網IP地址較少,B區用戶希望使用外網地址池中的地址(2.2.2.80~2.2.2.83)和B區內部主機的地址(網段為10.0.0.0/24)進行一對多轉換後,訪問Internet。公司為路由器WAN側介面規劃的外網IP地址為2.2.2.1/24,對端運營商側IP地址為2.2.2.2/24。
配置思路
配置內網主機訪問外網的思路如下:
1.配置介面IP地址、預設路由,實現內部主機和外網Internet之間路由可達。
2.在WAN側介面下為A區用戶配置不帶埠轉換的NATOutbound,實現A區內部主機經過一對一地址轉換後訪問外網Internet。
3.在WAN側介面下為B區用戶配置帶埠轉換的NATOutbound,實現B區內部主機經過一對多地址轉換後訪問外網Internet。
操作步驟
1. 在Router上配置介面IP地址
system-view
[Huawei] sysnameRouter
[Router] vlan 100
[Router-vlan100]quit
[Router] interfacevlanif 100
[Router-Vlanif100]ip address 192.168.20.1 24
[Router-Vlanif100]quit
[Router] interfaceethernet 2/0/0
[Router-Ethernet2/0/0]port link-type access
[Router-Ethernet2/0/0]port default vlan 100
[Router-Ethernet2/0/0]quit
[Router] vlan 200
[Router-vlan200]quit
[Router] interfacevlanif 200
[Router-Vlanif200]ip address 10.0.0.1 24
[Router-Vlanif200]quit
[Router] interfaceethernet 2/0/1
[Router-Ethernet2/0/1]port link-type access
[Router-Ethernet2/0/1]port default vlan 200
[Router-Ethernet2/0/1]quit
[Router] interfacegigabitethernet 3/0/0
[Router-GigabitEthernet3/0/0]ip address 2.2.2.1 24
[Router-GigabitEthernet3/0/0]quit
2.在Router上配置預設路由,指定下一跳地址為2.2.2.2
[Router] iproute-static 0.0.0.0 0.0.0.0 2.2.2.2
3.在Router上配置不帶埠轉換的NATOutbound
在Router上配置不帶埠轉換的NATOutbound
[Router] nataddress-group 1 2.2.2.100 2.2.2.200
[Router] acl 2000
[Router-acl-basic-2000]rule 5 permit source 192.168.20.0 0.0.0.255
[Router-acl-basic-2000]quit
[Router] interfacegigabitethernet 3/0/0
[Router-GigabitEthernet3/0/0]nat outbound 2000 address-group 1 no-pat
[Router-GigabitEthernet3/0/0]quit
4.在Router上配置帶埠轉換的NATOutbound
[Router] nataddress-group 2 2.2.2.80 2.2.2.83
[Router] acl 2001
[Router-acl-basic-2001]rule 5 permit source 10.0.0.0 0.0.0.255
[Router-acl-basic-2001]quit
[Router] interfacegigabitethernet 3/0/0
[Router-GigabitEthernet3/0/0]nat outbound 2001 address-group 2
[Router-GigabitEthernet3/0/0]quit
[Router] quit
5. 驗證配置結果
#在Router上執行命令displaynat outbound,查看地址池配置。
display nat outbound
NAT OutboundInformation:
-----------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
-----------------------------------------------------------------
GigabitEthernet3/0/0 2000 1 no-pat
GigabitEthernet3/0/0 2001 2 pat
-----------------------------------------------------------------
Total : 2
#在Router上執行命令ping,驗證內網可以訪問Internet。
ping-a 192.168.20.1 2.2.2.2
PING 2.2.2.2: 56data bytes, press CTRL_C to break
Reply from2.2.2.2: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from2.2.2.2: bytes=56 Sequence=2 ttl=255 time=1 ms
Reply from2.2.2.2: bytes=56 Sequence=3 ttl=255 time=1 ms
Reply from2.2.2.2: bytes=56 Sequence=4 ttl=255 time=1 ms
Reply from2.2.2.2: bytes=56 Sequence=5 ttl=255 time=1 ms
-- 2.2.2.2 pingstatistics ---
5 packet(s)transmitted
5 packet(s)received
0.00% packetloss
round-trip min/avg/max = 1/1/2 ms
配置外網主機訪問內網伺服器示例
組網需求
公司的內網部署了一台伺服器,公司外部網路Internet上的一台主機希望能通過一個外網IP地址訪問該伺服器。公司為該伺服器規劃的內網IP地址為192.168.0.2/24,外網IP地址為2.2.2.3/24。路由器的WAN側介面的IP地址為2.2.2.1/24,LAN側網關IP地址為192.168.0.1/24,對端運營商側IP地址為2.2.2.2/24,外網主機IP地址為1.1.1.1/24。
配置思路
配置外網主機訪問內網伺服器的思路如下:
1.配置介面IP地址、預設路由,實現內網伺服器和外網主機之間路由可達。
2.在WAN側介面下配置NATStatic,實現外網主機使用外網IP地址2.2.2.3訪問內網伺服器。
操作步驟
1.在Router上配置介面IP地址
system-view
[Huawei] sysnameRouter
[Router] interfacegigabitethernet 2/0/0
[Router-GigabitEthernet2/0/0]ip address 2.2.2.1 24
[Router-GigabitEthernet2/0/0]quit
[Router] interfacegigabitethernet 1/0/0
[Router-GigabitEthernet1/0/0]ip address 192.168.0.1 24
[Router-GigabitEthernet1/0/0]quit
2.在Router上配置預設路由,指定下一跳地址為2.2.2.2
[Router] iproute-static 0.0.0.0 0.0.0.0 2.2.2.2
3.在Router的WAN側介面GE2/0/0上配置一對一的靜態NAT
[Router] interfacegigabitethernet 2/0/0
[Router-GigabitEthernet2/0/0]nat static global 2.2.2.3 inside 192.168.0.2
[Router-GigabitEthernet2/0/0]quit
[Router] quit
4.驗證配置結果
在Router上執行displaynat static命令查看地址池映射關系。
display nat static
Static NatInformation:
Interface :GigabitEthernet2/0/0
Global IP/Port : 2.2.2.3/----
Inside IP/Port : 192.168.0.2/----
Protocol : ----
VPNinstance-name : ----
Acl number : ----
Vrrp id : ----
Netmask :255.255.255.255
Description :----
Total : 1
9. 路由器nat配置命令
1. 什麼是NAT?
NAT即Network Address Translation,它可以讓那些使用私有地址的內部網路連接到Internet或其它IP網路上。NAT路由器在將內部網路的數據包發送到公用網路時,在IP包的報頭把私有地址轉換成合法的IP地址。
2.在NAT實驗中需要理解的術語:
1) 內部局部地址(Inside Local):在內部網路中分配給主機的私有IP地址。
2) 內部全局地址(Inside Global):一個合法的IP地址,它對外代表一個或多個內部局部IP地址。
3) 外部全局地址(Outside Global):由其所有者給外部網路上的主機分配的IP地址。
4) 外部局部地址(Outside Local):外部主機在內部網路中表現出來的IP地址。
3.NAT的優點和缺點:
NAT的優點:
(1) 對於那些家庭用戶或者小型的商業機構來說,使用NAT可以更便宜,更有效率地接入Internet。
(2) 使用NAT可以緩解目前全球IP地址不足的問題。
(3) 在很多情況下,NAT能夠滿足安全性的需要。
(4) 使用NAT可以方便網路的管理,並大大提高了網路的適應性。
NAT的缺點:
(1) NAT會增加延遲,因為要轉換每個數據包包頭的IP地址,自然要增加延遲.
(2) NAT會使某些要使用內嵌地址的應用不能正常工作.
4.NAT的工作原理:
當內部網路中的一台主機想傳輸數據到外部網路時,它先將數據包傳輸到NAT路由器上,路由器檢查數據包的報頭,獲取該數據包的源IP信息,並從它的NAT映射表中找出與該IP匹配的轉換條目,用所選用的內部全局地址(全球唯一的IP地址)來替換內部局部地址,並轉發數據包。
當外部網路對內部主機進行應答時,數據包被送到NAT路由器上,路由器接收到目的地址為內部全局地址的數據包後,它將用內部全局地址通過NAT映射表查找出內部局部地址,然後將數據包的目的地址替換成內部局部地址,並將數據包轉發到內部主機。
5.NAT配置中的常用命令:
ip nat {inside|outside}:介面配置命令。以在至少一個內部和一個外部介面上啟用NAT。
ip nat inside source static local-ip global-ip:全局配置命令。在對內部局部地址使用靜態地址轉換時,用該命令進行地址定義。
access-list access-list-number {permit|deny} local-ip-address:使用該命令為內部網路定義一個標準的IP訪問控制列表。
ip nat pool pool-name start-ip end-ip netmask netmask [type rotary]:使用該命令為內部網路定義一個NAT地址池。
ip nat inside source list access-list-number pool pool-name [overload]:使用該命令定義訪問控制列表與NAT內部全局地址池之間的映射。
ip nat outside source list access-list-number pool pool-name [overload]:使用該命令定義訪問控制列表與NAT外部局部地址池之間的映射。
ip nat inside destination list access-list-number pool pool-name:使用該命令定義訪問控制列表與終端NAT地址池之間的映射。
show ip nat translations:顯示當前存在的NAT轉換信息。
show ip nat statistics:查看NAT的統計信息。
show ip nat translations verbose:顯示當前存在的NAT轉換的詳細信息。
debug ip nat:跟蹤NAT操作,顯示出每個被轉換的數據包。
Clear ip nat translations *:刪除NAT映射表中的所有內容。