1. 化为路由器基本配置命令
交换机命令
~~~~~~~~~~
[Quidway]dis cur ;显示当前配置
[Quidway]display current-configuration ;显示当前配置
[Quidway]display interfaces ;显示接口信息
[Quidway]display vlan all ;显示路由信息
[Quidway]display version ;显示版本信息
[Quidway]super password ;修改特权用户密码
[Quidway]sysname ;交换机命名
[Quidway]interface ethernet 0/1 ;进入接口视图
[Quidway]interface vlan x ;进入接口视图
[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ;配置VLAN的IP地址
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ;静态路由=网关
[Quidway]rip ;三层交换支持
[Quidway]local-user ftp
[Quidway]user-interface vty 0 4 ;进入虚拟终端
[S3026-ui-vty0-4]authentication-mode password ;设置口令模式
[S3026-ui-vty0-4]set authentication-mode password simple 222 ;设置口令
[S3026-ui-vty0-4]user privilege level 3 ;用户级别
[Quidway]interface ethernet 0/1 ;进入端口模式
[Quidway]int e0/1 ;进入端口模式
[Quidway-Ethernet0/1]plex {half|full|auto} ;配置端口工作状态
[Quidway-Ethernet0/1]speed {10|100|auto} ;配置端口工作速率
[Quidway-Ethernet0/1]flow-control ;配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} ;配置端口平接扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ;设置端口工作模式
[Quidway-Ethernet0/1]port access vlan 3 ;当前端口加入到VLAN
[Quidway-Ethernet0/2]port trunk permit vlan {ID|All} ;设trunk允许的VLAN
[Quidway-Ethernet0/3]port trunk pvid vlan 3 ;设置trunk端口的PVID
[Quidway-Ethernet0/1]undo shutdown ;激活端口
[Quidway-Ethernet0/1]shutdown ;关闭端口
[Quidway-Ethernet0/1]quit ;返回
[Quidway]vlan 3 ;创建VLAN
[Quidway-vlan3]port ethernet 0/1 ;在VLAN中增加端口
[Quidway-vlan3]port e0/1 ;简写方式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 ;在VLAN中增加端口
[Quidway-vlan3]port e0/1 to e0/4 ;简写方式
[Quidway]monitor-port <interface_type interface_num> ;指定镜像端口
[Quidway]port mirror <interface_type interface_num> ;指定被镜像端口
[Quidway]port mirror int_list observing-port int_type int_num ;指定镜像和被镜像
[Quidway]description string ;指定VLAN描述字符
[Quidway]description ;删除VLAN描述字符
[Quidway]display vlan [vlan_id] ;查看VLAN设置
[Quidway]stp {enable|disable} ;设置生成树,默认关闭
[Quidway]stp priority 4096 ;设置交换机的优先级
[Quidway]stp root {primary|secondary} ;设置为根或根的备份
[Quidway-Ethernet0/1]stp cost 200 ;设置交换机端口的花费
[Quidway]link-aggregation e0/1 to e0/4 ingress|both ; 端口的聚合
[Quidway]undo link-aggregation e0/1|all ; 始端口为通道号
[SwitchA-vlanx]isolate-user-vlan enable ;设置主vlan
[SwitchA]isolate-user-vlan <x> secondary <list> ;设置主vlan包括的子vlan
[Quidway-Ethernet0/2]port hybrid pvid vlan <id> ;设置vlan的pvid
[Quidway-Ethernet0/2]port hybrid pvid ;删除vlan的pvid
[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged ;设置无标识的vlan
如果包的vlan id与PVId一致,则去掉vlan信息. 默认PVID=1。
所以设置PVID为所属vlan id, 设置可以互通的vlan为untagged.
----------------------------------------
路由器命令
~~~~~~~~~~
[Quidway]display version ;显示版本信息
[Quidway]display current-configuration ;显示当前配置
[Quidway]display interfaces ;显示接口信息
[Quidway]display ip route ;显示路由信息
[Quidway]sysname aabbcc ;更改主机名
[Quidway]super passwrod 123456 ;设置口令
[Quidway]interface serial0 ;进入接口
[Quidway-serial0]ip address <ip> <mask|mask_len> ;配置端口IP地址
[Quidway-serial0]undo shutdown ;激活端口
[Quidway]link-protocol hdlc ;绑定hdlc协议
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222
[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugging hdlc all serial0 ;显示所有信息
[Quidway]debugging hdlc event serial0 ;调试事件信息
[Quidway]debugging hdlc packet serial0 ;显示包的信息
静态路由:
[Quidway]ip route-static <ip><mask>{interface number|nexthop}[value][reject|blackhole]
例如:
[Quidway]ip route-static 129.1.0.0 16 10.0.0.2
[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]ip route-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
动态路由:
[Quidway]rip ;设置动态路由
[Quidway]rip work ;设置工作允许
[Quidway]rip input ;设置入口允许
[Quidway]rip output ;设置出口允许
[Quidway-rip]network 1.0.0.0 ;设置交换路由网络
[Quidway-rip]network all ;设置与所有网络交换
[Quidway-rip]peer ip-address ;
[Quidway-rip]summary ;路由聚合
[Quidway]rip version 1 ;设置工作在版本1
[Quidway]rip version 2 multicast ;设版本2,多播方式
[Quidway-Ethernet0]rip split-horizon ;水平分隔
[Quidway]router id A.B.C.D ;配置路由器的ID
[Quidway]ospf enable ;启动OSPF协议
[Quidway-ospf]import-route direct ;引入直联路由
[Quidway-Serial0]ospf enable area <area_id> ;配置OSPF区域
标准访问列表命令格式如下:
acl <acl-number> [match-order config|auto] ;默认前者顺序匹配。
rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:
[Quidway]acl 10
[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rule normal deny source any
扩展访问控制列表配置命令
配置TCP/UDP协议的扩展访问列表:
rule {normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination <ip wild>|any}
[operate]
配置ICMP协议的扩展访问列表:
rule {normal|special}{permit|deny}icmp source {<ip wild>|any]destination {<ip wild>|any]
[icmp-code] [logging]
扩展访问控制列表操作符的含义
equal portnumber ;等于
greater-than portnumber ;大于
less-than portnumber ;小于
not-equal portnumber ;不等
range portnumber1 portnumber2 ;区间
扩展访问控制列表举例
[Quidway]acl 101
[Quidway-acl-101]rule deny souce any destination any
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www
[Quidway]firewall enable
[Quidway]firewall default permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound
地址转换配置举例
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 101 ;内部指定主机可以进入e0
[Quidway-acl-101]rule deny ip source any destination any
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]quit
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound
[Quidway]acl 102 ;外部特定主机和大于1024端口的数据包允许进入S0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than
1024
[Quidway-acl-102]quit
[Quidway]int s0
[Quidway-Serial0]firewall packet-filter 102 inbound ;设202.38.160.1是路由器出口IP。
[Quidway-Serial0]nat outbound 101 interface ;是Easy ip,将acl 101允许的IP从本接口出时变换源地址。
内部服务器地址转换配置命令(静态nat):
nat server global <ip> [port] inside <ip> port [protocol] ;global_port不写时使用inside_port
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.2 telnet tcp
[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.3 www tcp
设有公网IP:202.38.160.101~202.38.160.103 可以使用。 ;对外访问(原例题)
[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1 ;建立地址池
[Quidway]acl 1
[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255 ;指定允许的内部网络
[Quidway-acl-1]rule deny source any
[Quidway-acl-1]int serial 0
[Quidway-Serial0]nat outbound 1 address-group pool1 ;在s0口从地址池取出IP对外访问
[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP设置:
[Quidway-s0]link-protocol ppp ;默认的协议
PPP验证:
主验方:pap|chap
[Quidway]local-user q2 password {simple|cipher} hello ;路由器1
[Quidway]interface serial 0
[Quidway-serial0]ppp authentication-mode {pap|chap}
[Quidway-serial0]ppp chap user q1 ;pap时,没有此句
pap被验方:
[Quidway]interface serial 0 ;路由器2
[Quidway-serial0]ppp pap local-user q2 password {simple|cipher} hello
chap被验方:
[Quidway]interface serial 0 ;路由器2
[Quidway-serial0]ppp chap user q2 ;自己路由器名
[Quidway-serial0]local-user q1 password {simple|cipher} hello ;对方路由器名
帧中继frame-relay (二分册6-61)
[q1]fr switching
[q1]int s1
[q1-Serial1]ip address 192.168.34.51 255.255.255.0
[q1-Serial1]link-protocol fr ;封装帧中继协议
[q1-Serial1]fr interface-type dce
[q1-Serial1]fr dlci 100
[q1-Serial1]fr inarp
[q1-Serial1]fr map ip 192.168.34.52 dlci 100
[q2]int s1
[q2-Serial1]ip address 192.168.34.52 255.255.255.0
[q2-Serial1]link-protocol fr
[q2-Serial1]fr interface-type dte
[q2-Serial1]fr dlci 100
[q2-Serial1]fr inarp
[q2-Serial1]fr map ip 192.168.34.51 dlci 100
帧中继监测
[q1]display fr lmi-info[]interface type number]
[q1]display fr map
[q1]display fr pvc-info[serial interface-number][dlci dlci-number]
[q1]display fr dlci-switch
[q1]display fr interface
[q1]reset fr inarp-info
[q1]debugging fr all[interface type number]
[q1]debugging fr arp[interface type number]
[q1]debugging fr event[interface type number]
[q1]debugging fr lmi[interface type number]
启动ftp服务:
[Quidway]local-user ftp password {simple|cipher} aaa service-type ftp
2. 华为网关配置命令
方法:
华为路由器交换机配置命令:计算机命令
PCAlogin:root;使用root用户
password:linux;口令是linux
#shutdown-hnow;关机
#init0;关机
#logout;用户注销
#login;用户登录
#ifconfig;显示IP地址
#ifconfigeth0netmask;设置IP地址
#ifconfigeht0netmaskdown;禁用IP地址
#routeadd0.0.0.0gw;设置网关
#routedel0.0.0.0gw;删除网关
#routeadddefaultgw;设置网关
#routedeldefaultgw;删除网关
#route;显示网关
#ping;发ECHO包
#telnet;远程登录
华为路由器交换机配置命令:交换机命令
[Quidway]discur;显示当前配置
[Quidway]displaycurrent-configuration;显示当前配置
[Quidway]displayinterfaces;显示接口信息
[Quidway]displayvlanall;显示路由信息
[Quidway]displayversion;显示版本信息
[Quidway]superpassword;修改特权用户密码
[Quidway]sysname;交换机命名
[Quidway]interfaceethernet0/1;进入接口视图
[Quidway]interfacevlanx;进入接口视图
[Quidway-Vlan-interfacex]ipaddress10.65.1.1255.255.0.0;配置VLAN的IP地址
[Quidway]iproute-static0.0.0.00.0.0.010.65.1.2;静态路由=网关
[Quidway]rip;三层交换支持
[Quidway]local-userftp
[Quidway]user-interfacevty04;进入虚拟终端
[S3026-ui-vty0-4]authentication-modepassword;设置口令模式
[S3026-ui-vty0-4]setauthentication-modepasswordsimple222;设置口令
[S3026-ui-vty0-4]userprivilegelevel3;用户级别
[Quidway]interfaceethernet0/1;进入端口模式
[Quidway]inte0/1;进入端口模式
[Quidway-Ethernet0/1]plex{halffullauto};配置端口工作状态
[Quidway-Ethernet0/1]speed{10100auto};配置端口工作速率
[Quidway-Ethernet0/1]flow-control;配置端口流控
[Quidway-Ethernet0/1]mdi{acrossautonormal};配置端口平接扭接
[Quidway-Ethernet0/1]portlink-type{trunkaccesshybrid};设置端口工作模式
[Quidway-Ethernet0/1]portaccessvlan3;当前端口加入到VLAN
[Quidway-Ethernet0/2]porttrunkpermitvlan{IDAll};设trunk允许的VLAN
[Quidway-Ethernet0/3]porttrunkpvidvlan3;设置trunk端口的PVID
[Quidway-Ethernet0/1]undoshutdown;激活端口
[Quidway-Ethernet0/1]shutdown;关闭端口
[Quidway-Ethernet0/1]quit;返回
[Quidway]vlan3;创建VLAN
[Quidway-vlan3]portethernet0/1;在VLAN中增加端口
[Quidway-vlan3]porte0/1;简写方式
[Quidway-vlan3]portethernet0/1toethernet0/4;在VLAN中增加端口
[Quidway-vlan3]porte0/1toe0/4;简写方式
[Quidway]monitor-port;指定镜像端口
[Quidway]portmirror;指定被镜像端口
[Quidway]portmirrorint_listobserving-portint_typeint_num;指定镜像和被镜像
[Quidway]descriptionstring;指定VLAN描述字符
[Quidway]description;删除VLAN描述字符
[Quidway]displayvlan[vlan_id];查看VLAN设置
[Quidway]stp{enabledisable};设置生成树,默认关闭
[Quidway]stppriority4096;设置交换机的优先级
[Quidway]stproot{primarysecondary};设置为根或根的备份
[Quidway-Ethernet0/1]stpcost200;设置交换机端口的花费
[Quidway]link-aggregatione0/1toe0/4ingressboth;端口的聚合
[Quidway]undolink-aggregatione0/1all;始端口为通道号
[SwitchA-vlanx]isolate-user-vlanenable;设置主vlan
[SwitchA]isolate-user-vlansecondary;设置主vlan包括的子vlan
[Quidway-Ethernet0/2]porthybridpvidvlan;设置vlan的pvid
[Quidway-Ethernet0/2]porthybridpvid;删除vlan的pvid
[Quidway-Ethernet0/2]porthybridvlanvlan_id_listuntagged;设置无标识的vlan
如果包的vlanid与PVId一致,则去掉vlan信息.默认PVID=1。
所以设置PVID为所属vlanid,设置可以互通的vlan为untagged.
华为路由器交换机配置命令:路由器命令
[Quidway]displayversion;显示版本信息
[Quidway]displaycurrent-configuration;显示当前配置
[Quidway]displayinterfaces;显示接口信息
[Quidway]displayiproute;显示路由信息
[Quidway]sysnameaabbcc;更改主机名
[Quidway]superpasswrod123456;设置口令
[Quidway]interfaceserial0;进入接口
[Quidway-serial0]ipaddress;配置端口IP地址
[Quidway-serial0]undoshutdown;激活端口
[Quidway]link-protocolhdlc;绑定hdlc协议
[Quidway]user-interfacevty04
[Quidway-ui-vty0-4]authentication-modepassword
[Quidway-ui-vty0-4]setauthentication-modepasswordsimple222
[Quidway-ui-vty0-4]userprivilegelevel3
[Quidway-ui-vty0-4]quit
[Quidway]debugginghdlcallserial0;显示所有信息
[Quidway]debugginghdlceventserial0;调试事件信息
[Quidway]debugginghdlcpacketserial0;显示包的信息
华为路由器交换机配置命令:静态路由:
[Quidway]iproute-static{interfacenumbernexthop}[value][rejectblackhole]
例如:
[Quidway]iproute-static129.1.0.01610.0.0.2
[Quidway]iproute-static129.1.0.0255.255.0.010.0.0.2
[Quidway]iproute-static129.1.0.016Serial2
[Quidway]iproute-static0.0.0.00.0.0.010.0.0.2
华为路由器交换机配置命令:动态路由:
[Quidway]rip;设置动态路由
[Quidway]ripwork;设置工作允许
[Quidway]ripinput;设置入口允许
[Quidway]ripoutput;设置出口允许
[Quidway-rip]network1.0.0.0;设置交换路由网络
[Quidway-rip]networkall;设置与所有网络交换
[Quidway-rip]peerip-address;
[Quidway-rip]summary;路由聚合
[Quidway]ripversion1;设置工作在版本1
[Quidway]ripversion2multicast;设版本2,多播方式
[Quidway-Ethernet0]ripsplit-horizon;水平分隔
[Quidway]routeridA.B.C.D;配置路由器的ID
[Quidway]ospfenable;启动OSPF协议
[Quidway-ospf]import-routedirect;引入直联路由
[Quidway-Serial0]ospfenablearea;配置OSPF区域
华为路由器交换机配置命令:标准访问列表命令格式如下:
acl[match-orderconfigauto];默认前者顺序匹配。
rule[normalspecial]{permitdeny}[sourcesource-addrsource-wildcardany]
例:
[Quidway]acl10
[Quidway-acl-10]rulenormalpermitsource10.0.0.00.0.0.255
[Quidway-acl-10]rulenormaldenysourceany
华为路由器交换机配置命令:扩展访问控制列表配置命令
配置TCP/UDP协议的扩展访问列表:
rule{normalspecial}{permitdeny}{tcpudp}source{any}destinationany}
[operate]
配置ICMP协议的扩展访问列表:
rule{normalspecial}{permitdeny}icmpsource{any]destination{any]
[icmp-code][logging]
华为路由器交换机配置命令:扩展访问控制列表操作符的含义
equalportnumber;等于
greater-thanportnumber;大于
less-thanportnumber;小于
not-equalportnumber;不等
rangeportnumber1portnumber2;区间
华为路由器交换机配置命令:扩展访问控制列表举例[Quidway]acl101
[Quidway-acl-101]
[Quidway-acl-101]-typeecho
[Quidway-acl-101]-typeecho-reply
[Quidway]acl102
[Quidway-acl-102]rulepermitipsource10.0.0.10.0.0.0destination202.0.0.10.0.0.0
[Quidway-acl-102]
[Quidway]acl103
[Quidway-acl-103].0.0.10.0.0.0destination-portequalftp
[Quidway-acl-103].0.0.20.0.0.0destination-portequalwww
[Quidway]firewallenable
[Quidway]firewalldefaultpermitdeny
[Quidway]inte0
[Quidway-Ethernet0]firewallpacket-filter101inboundoutbound
华为路由器交换机配置命令:地址转换配置举例
[Quidway]firewallenable
[Quidway]firewalldefaultpermit
[Quidway]acl101;内部指定主机可以进入e0
[Quidway-acl-101]
[Quidway-acl-101]rulepermitipsource129.38.1.10destinationany
[Quidway-acl-101]rulepermitipsource129.38.1.20destinationany
[Quidway-acl-101]rulepermitipsource129.38.1.30destinationany
[Quidway-acl-101]rulepermitipsource129.38.1.40destinationany
[Quidway-acl-101]quit
[Quidway]inte0
[Quidway-Ethernet0]firewallpacket-filter101inbound
[Quidway]acl102;外部特定主机和大于1024端口的数据包允许进入S0
[Quidway-acl-102]
[Quidway-acl-102]rulepermittcpsource202.39.2.30destination202.38.160.10
[Quidway-acl-102].38.160.10destination-portgreat-than
1024
[Quidway-acl-102]quit
[Quidway]ints0
[Quidway-Serial0]firewallpacket-filter102inbound;设202.38.160.1是路由器出口IP。
[Quidway-Serial0]natoutbound101interface;是Easyip,将acl101允许的IP从本接口出时变换源地址。
华为路由器交换机配置命令:内部服务器地址转换配置命令(静态nat):
natserverglobal[port]insideport[protocol];global_port不写时使用inside_port
[Quidway-Serial0]natserverglobal202.38.160.1inside129.38.1.1ftptcp
[Quidway-Serial0]natserverglobal202.38.160.1inside129.38.1.2telnettcp
[Quidway-Serial0]natserverglobal202.38.160.1inside129.38.1.3wwwtcp
设有公网IP:202.38.160.101~202.38.160.103可以使用。;对外访问(原例题)
[Quidway]nataddress-group202.38.160.101202.38.160.103pool1;建立地址池
[Quidway]acl1
[Quidway-acl-1]rulepermitsource10.110.10.00.0.0.255;指定允许的内部网络
[Quidway-acl-1]ruledenysourceany
[Quidway-acl-1]intserial0
[Quidway-Serial0]natoutbound1address-grouppool1;在s0口从地址池取出IP对外访问
[Quidway-Serial0]natserverglobal202.38.160.101inside10.110.10.1ftptcp
[Quidway-Serial0]natserverglobal202.38.160.102inside10.110.10.2wwwtcp
[Quidway-Serial0]natserverglobal202.38.160.1028080inside10.110.10.3wwwtcp
[Quidway-Serial0]natserverglobal202.38.160.103inside10.110.10.4smtpudp
华为路由器交换机配置命令:PPP设置:
[Quidway-s0]link-protocolppp;默认的协议
华为路由器交换机配置命令:PPP验证:
主验方:papchap
[Quidway]local-userq2password{simplecipher}hello;路由器1
[Quidway]interfaceserial0
[Quidway-serial0]pppauthentication-mode{papchap}
[Quidway-serial0]pppchapuserq1;pap时,没有此句
华为路由交换机配置命令:pap被验方:
[Quidway]interfaceserial0;路由器2
[Quidway-serial0]ppppaplocal-userq2password{simplecipher}hello
华为路由器交换机配置命令:chap被验方:
[Quidway]interfaceserial0;路由器2
[Quidway-serial0]pppchapuserq2;自己路由器名
[Quidway-serial0]local-userq1password{simplecipher}hello;对方路由器名
帧中继frame-relay(二分册6-61)
[q1]frswitching
[q1]ints1
[q1-Serial1]ipaddress192.168.34.51255.255.255.0
[q1-Serial1]link-protocolfr;封装帧中继协议
[q1-Serial1]frinterface-typedce
[q1-Serial1]frdlci100
[q1-Serial1]frinarp
[q1-Serial1]frmapip192.168.34.52dlci100
[q2]ints1
[q2-Serial1]ipaddress192.168.34.52255.255.255.0
[q2-Serial1]link-protocolfr
[q2-Serial1]frinterface-typedte
[q2-Serial1]frdlci100
[q2-Serial1]frinarp
[q2-Serial1]frmapip192.168.34.51dlci100
华为路由器交换机配置命令:帧中继监测
[q1]displayfrlmi-info[]interfacetypenumber]
[q1]displayfrmap
[q1]displayfrpvc-info[serialinterface-number][dlcidlci-number]
[q1]displayfrdlci-switch
[q1]displayfrinterface
[q1]resetfrinarp-info
[q1]debuggingfrall[interfacetypenumber]
[q1]debuggingfrarp[interfacetypenumber]
[q1]debuggingfrevent[interfacetypenumber]
[q1]debuggingfrlmi[interfacetypenumber]
华为路由器交换机配置命令:启动ftp服务:
[Quidway]local-userftppassword{simplecipher}aaaservice-typeftp
[Quidway]ftpserverenable 路由器交换机
交换机命令
[Quidway]super password 修改特权用户密码
[Quidway]sysname 交换机命名
[Quidway]interface ethernet 0/1 进入接口视图
[Quidway]interface vlan x 进入接口视图
[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 静态路由=网关
[Quidway]user-interface vty 0 4
[S3026-ui-vty0-4]authentication-mode password
[S3026-ui-vty0-4]set authentication-mode password simple 222
[S3026-ui-vty0-4]user privilege level 3
[Quidway-Ethernet0/1]plex {half|full|auto} 配置端口双工工作状态
[Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率
[Quidway-Ethernet0/1]flow-control 配置端口流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} 配置端口MDI/MDIX状态平接或扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 设置接口工作模式
(access(缺省)不支持802.1q帧的传送,而trunk支持(用于Switch间互连),hybrid和trunk的区别在于trunk 只允许缺省VLAN的报文发送时不打标签,而hybrid允许多个VLAN报文发送时不打标签。 )
[Quidway-Ethernet0/1]shutdown 关闭/重起接口
[Quidway-Ethernet0/2]quit 退出系统视图
------------------------------------
[Quidway]vlan 3 创建/删除一个VLAN/进入VLAN模式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在当前VLAN增加/删除以太网接口
[Quidway-Ethernet0/2]port access vlan 3 将当前接口加入到指定VLAN
[Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 设trunk允许的VLAN
[Quidway-Ethernet0/2]port trunk pvid vlan 3 设置trunk端口的PVID
[Quidway]monitor-port 指定和清除镜像端口
[Quidway]port mirror 指定和清除被镜像端口
[Quidway]port mirror int_list observing-port int_type int_num 指定镜像和被镜像
[Quidway]description string 指定VLAN描述字符
[Quidway]description 删除VLAN描述字符
[Quidway]display vlan [vlan_id] 查看VLAN设置
[Quidway]stp {enable|disable} 开启/关闭生成树,默认关闭
[Quidway]stp priority 4096 设置交换机的优先级
[Quidway]stp root {primary|secondary} 设置交换机为根或根的备份
[Quidway-Ethernet0/1]stp cost 200 设置交换机端口的花费
[SwitchA-vlanx]isolate-user-vlan enable 设置主vlan
[SwitchA]Isolate-user-vlan secondary 设置主vlan包括的子vlan
[Quidway-Ethernet0/2]port hybrid pvid vlan 设置vlan的pvid
[Quidway-Ethernet0/2]port hybrid pvid 删除vlan的pvid
[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged 设置无标识的vlan
如果包的vlan id与PVId一致,则去掉vlan信息. 默认PVID=1。
所以设置PVID为所属vlan id, 设置可以互通的vlan为untagged.
端口聚合配置命令
[Quidway]link-aggregation ethernet 0/7 to ethernet 0/10 {ingress|both} 配置端口聚合
Port_num1为端口聚合组的起始端口号,Port_num2为终止端口号,ingress为接口入负荷分担方式,both为接口出入双向负荷分担方式。
[SwitchA]display link-aggregation ethernet0/1
[SwitchA]undo link-aggregation all
------------------------------------
路由器命令
[Quidway]display version 显示版本信息
[Quidway]display current-configuration 显示当前配置
[Quidway]display interfaces 显示接口信息
[Quidway]display ip route 显示路由信息
[Quidway]sysname aabbcc 更改主机名
[Quidway]super passwrod 123456 设置口令
[Quidway]interface serial0 进入接口
[Quidway-serial0]ip address
[Quidway-serial0]undo shutdown 激活端口
[Quidway]link-protocol hdlc 绑定hdlc协议
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222
[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugging hdlc all serial0 显示所有信息
[Quidway]debugging hdlc event serial0 调试事件信息
[Quidway]debugging hdlc packet serial0 显示包的信息
静态路由:
[Quidway]ip route-static {interface number|nexthop}[value][reject|blackhole]
例如:
[Quidway]ip route-static 129.1.0.0 16 10.0.0.2
[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]ip route-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
动态路由:
[Quidway]rip
[Quidway]rip work
[Quidway]rip input
[Quidway]rip output
[Quidway-rip]network 1.0.0.0 ;可以all
[Quidway-rip]network 2.0.0.0
[Quidway-rip]peer ip-address
[Quidway-rip]summary
[Quidway]rip version 1
[Quidway]rip version 2 multicast
[Quidway-Ethernet0]rip split-horizon ;水平分隔
[Quidway]router id A.B.C.D 配置路由器的ID
[Quidway]ospf enable 启动OSPF协议
[Quidway-ospf]import-route direct 引入直联路由
[Quidway-Serial0]ospf enable area
配置OSPF区域
标准访问列表命令格式如下:
acl [match-order config|auto] 默认前者顺序匹配。
rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:
[Quidway]acl 10
[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rule normal deny source any
扩展访问控制列表配置命令
配置TCP/UDP协议的扩展访问列表:
rule {normal|special}{permit|deny}{tcp|udp}source {|any}destination |any}
[operate]
配置ICMP协议的扩展访问列表:
rule {normal|special}{permit|deny}icmp source {|any]destination {|any]
[icmp-code] [logging]
扩展访问控制列表操作符的含义
equal portnumber 等于
greater-than portnumber 大于
less-than portnumber 小于
not-equal portnumber 不等
range portnumber1 portnumber2 区间
扩展访问控制列表举例
[Quidway]acl 101
[Quidway-acl-101]rule deny souce any destination any
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www
[Quidway]firewall enable
[Quidway]firewall default permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound
地址转换配置举例
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 101
[Quidway-acl-101]rule deny ip source any destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway]acl 102
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than
1024
[Quidway-Ethernet0]firewall packet-filter 101 inbound
[Quidway-Serial0]firewall packet-filter 102 inbound
[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1
[Quidway]acl 1
[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255
[Quidway-acl-1]rule deny source any
[Quidway-acl-1]int serial 0
[Quidway-Serial0]nat outbound 1 address-group pool1
[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP配置命令
[Quidway-Serial0]link-protocol ppp 封装PPP协议
[Quidway-Serial0]ppp authentication-mode {pap|chap} 设置验证类型
证类型
[Quidway]local-user username password {simple|cipher} password 配置用户列表
PPP验证:
主验方:pap|chap
[Quidway]local-user u2 password {simple|cipher} aaa
[Quidway]interface serial 0
[Quidway-serial0]ppp authentication-mode {pap|chap}
[Quidway-serial0]ppp chap user u1 //pap时,不用此句
pap被验方:
[Quidway]interface serial 0
[Quidway-serial0]ppp pap local-user u2 password {simple|cipher} aaa
chap被验方:
[Quidway]interface serial 0
[Quidway-serial0]ppp chap user u1
[Quidway-serial0]local-user u2 password {simple|cipher} aaa
3. 路由器交换机的配置命令:详细的来
路由器支持的命令:
路由器显示命令:
router#show run ;显示配置信息
router#show interface ;显示接口信息
router#show ip route ;显示路由信息
router#show cdp nei ;显示邻居信息
router#reload ;重新起动
路由器口令设置:
router>enable ;进入特权模式
router#config terminal ;进入全局配置模式
router(config)#hostname <hostname> ;设置交换机的主机名
router(config)#enable secret xxx ;设置特权加密口令
router(config)#enable password xxb ;设置特权非密口令
router(config)#line console 0 ;进入控制台口
router(config-line)#line vty 0 4 ;进入虚拟终端
router(config-line)#login ;要求口令验证
router(config-line)#password xx ;设置登录口令xx
router(config)#(Ctrl+z) ; 返回特权模式
router#exit ;返回命令
路由器配置:
router(config)#int s0/0 ;进入Serail接口
router(config-if)#no shutdown ;激活当前接口
router(config-if)#clock rate 64000 ;设置同步时钟
router(config-if)#ip address <ip> <netmask> ;设置IP地址
router(config-if)#ip address <ip> <netmask> second ;设置第二个IP
router(config-if)#int f0/0.1 ;进入子接口
router(config-subif.1)#ip address <ip> <netmask> ;设置子接口IP
router(config-subif.1)#encapsulation dot1q <n> ;绑定vlan中继协议
router(config)#config-register 0x2142 ;跳过配置文件
router(config)#config-register 0x2102 ;正常使用配置文件
router#reload ;重新引导
路由器文件操作:
router# running-config startup-config ;保存配置
router# running-config tftp ;保存配置到tftp
router# startup-config tftp ;开机配置存到tftp
router# tftp flash: ;下传文件到flash
router# tftp startup-config ;下载配置文件
ROM状态:
Ctrl+Break ;进入ROM监控状态
rommon>confreg 0x2142 ;跳过配置文件
rommon>confreg 0x2102 ;恢复配置文件
rommon>reset ;重新引导
rommon> xmodem:<sname> flash:<dname> ;从console传输文件
rommon>IP_ADDRESS=10.65.1.2 ;设置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0 ;设置路由器掩码
rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP服务器IP
rommon>TFTP_FILE=c2600.bin ;指定下载的文件
rommon>tftpdnld ;从tftp下载
rommon>dir flash: ;查看闪存内容
rommon>boot ;引导IOS
静态路由:
ip route <ip-address> <subnet-mask> <gateway> ;命令格式
router(config)#ip route 2.0.0.0 255.0.0.0 1.1.1.2 ;静态路由举例
router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 ;默认路由举例
动态路由:
router(config)#ip routing ;启动路由转发
router(config)#router rip ;启动RIP路由协议。
router(config-router)#network <netid> ;设置发布路由
router(config-router)#negihbor <ip> ;点对点帧中继用。
帧中继命令:
router(config)#frame-relay switching ;使能帧中继交换
router(config-s0)#encapsulation frame-relay ;使能帧中继
router(config-s0)#fram-relay lmi-type cisco ;设置管理类型
router(config-s0)#frame-relay intf-type DCE ;设置为DCE
router(config-s0)#frame-relay dlci 16 ;
router(config-s0)#frame-relay local-dlci 20 ;设置虚电路号
router(config-s0)#frame-relay interface-dlci 16 ;
router(config)#log-adjacency-changes ;记录邻接变化
router(config)#int s0/0.1 point-to-point ;设置子接口点对点
router#show frame pvc ;显示永久虚电路
router#show frame map ;显示映射
基本访问控制列表:
router(config)#access-list <number> permit|deny <source_ip> <wild|any>
router(config)#interface <interface> ;default:deny any
router(config-if)#ip access-group <number> in|out ;default:out
例1:
router(config)#access-list 1 deny host 10.65.1.1
router(config)#access-list 1 permit any
router(config)#int f0/0
router(config-if)#ip access-group 4 in
例2:
router(config)#access-list 4 permit 10.8.1.1
router(config)#access-list 4 deny 10.8.1.0 0.0.0.255
router(config)#access-list 4 permit 10.8.0.0 0.0.255.255
router(config)#access-list 4 deny 10.0.0.0 0.255.255.255
router(config)#access-list 4 permit any
router(config)#int f0/1
router(config-if)#ip access-group 4 in
扩展访问控制列表:
access-list <number> permit|deny icmp <S_IP wild> <D_IP wild>[type]
access-list <number> permit|deny tcp <S_IP wild> <D_IP wild>[port]
例1:
router(config)#access-list 101 deny icmp any 10.64.0.2 0.0.0.0 echo
router(config)#access-list 101 permit ip any any
router(config)#int s0/0
router(config-if)#ip access-group 101 in
例2:
router(config)#access-list 102 deny tcp any 10.65.0.2 0.0.0.0 eq 80
router(config)#access-list 102 permit ip any any
router(config)#interface s0/1
router(config-if)#ip access-group 102 out
删除访问控制例表:
router(config)#no access-list 102
router(config-if)#no ip access-group 101 in
路由器的nat配置
Router(config-if)#ip nat inside ;当前接口指定为内部接口
Router(config-if)#ip nat outside ;当前接口指定为外部接口
Router(config)#ip nat inside source static [p] <私有IP><公网IP> [port]
Router(config)#ip nat inside source static 10.65.1.2 60.1.1.1
Router(config)#ip nat inside source static tcp 10.65.1.3 80 60.1.1.1 80
Router(config)#ip nat pool p1 60.1.1.1 60.1.1.20 255.255.255.0
Router(config)#ip nat inside source list 1 pool p1
Router(config)#ip nat inside destination list 2 pool p2
Router(config)#ip nat inside source list 2 interface s0/0 overload
Router(config)#ip nat pool p2 10.65.1.2 10.65.1.4 255.255.255.0 type rotary
Router#show ip nat translation
rotary 参数是轮流的意思,地址池中的IP轮流与NAT分配的地址匹配。
overload参数用于PAT 将内部IP映射到一个公网IP不同的端口上。
外部网关协议配置
routerA(config)#router bgp 100
routerA(config-router)#network 19.0.0.0
routerA(config-router)#neighbor 8.1.1.2 remote-as 200
配置PPP验证:
RouterA(config)#username <RouterB> password <word>
RouterA(config)#int s0
RouterA(config-if)#ppp authentication {chap|pap}
4. 路由配置命令
只有CISCO路由器的命令
路由器显示命令:
router#show run ;显示配置信息
router#show interface ;显示接口信息
router#show ip route ;显示路由信息
router#show cdp nei ;显示邻居信息
router#reload ;重新起动
路由器口令设置:
router>enable ;进入特权模式
router#config terminal ;进入全局配置模式
router(config)#hostname ;设置交换机的主机名
router(config)#enable secret xxx ;设置特权加密口令
router(config)#enable password xxb ;设置特权非密口令
router(config)#line console 0 ;进入控制台口
router(config-line)#line vty 0 4 ;进入虚拟终端
router(config-line)#login ;要求口令验证
router(config-line)#password xx ;设置登录口令xx
router(config)#(Ctrl+z) ; 返回特权模式
router#exit ;返回命令
路由器配置:
router(config)#int s0/0 ;进入Serail接口
router(config-if)#no shutdown ;激活当前接口
router(config-if)#clock rate 64000 ;设置同步时钟
router(config-if)#ip address ;设置IP地址
router(config-if)#ip address second ;设置第二个IP
router(config-if)#int f0/0.1 ;进入子接口
router(config-subif.1)#ip address ;设置子接口IP
router(config-subif.1)#encapsulation dot1q ;绑定vlan中继协议
router(config)#config-register 0x2142 ;跳过配置文件
router(config)#config-register 0x2102 ;正常使用配置文件
router#reload ;重新引导
路由器文件操作:
router# running-config startup-config ;保存配置
router# running-config tftp ;保存配置到tftp
router# startup-config tftp ;开机配置存到tftp
router# tftp flash: ;下传文件到flash
router# tftp startup-config;下载配置文件
ROM状态:
Ctrl+Break ;进入ROM监控状态
rommon>confreg 0x2142 ;跳过配置文件
rommon>confreg 0x2102 ;恢复配置文件
rommon>reset ;重新引导
rommon> xmodem: flash: ;从console传输文件
rommon>IP_ADDRESS=10.65.1.2 ;设置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0 ;设置路由器掩码
rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP服务器IP
rommon>TFTP_FILE=c2600.bin ;指定下载的文件
rommon>tftpdnld ;从tftp下载
rommon>dir flash: ;查看闪存内容
rommon>boot ;引导IOS
静态路由:
ip route ;命令格式
router(config)#ip route 2.0.0.0 255.0.0.0 1.1.1.2 ;静态路由举例
router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 ;默认路由举例
动态路由:
router(config)#ip routing ;启动路由转发
router(config)#router rip ;启动RIP路由协议。
router(config-router)#network ;设置发布路由
router(config-router)#negihbor ;点对点帧中继用。
帧中继命令:
router(config)#frame-relay switching ;使能帧中继交换
router(config-s0)#encapsulation frame-relay ;使能帧中继
router(config-s0)#fram-relay lmi-type cisco ;设置管理类型
router(config-s0)#frame-relay intf-type DCE ;设置为DCE
router(config-s0)#frame-relay dlci 16 ;
router(config-s0)#frame-relay local-dlci 20 ;设置虚电路号
router(config-s0)#frame-relay interface-dlci 16 ;
router(config)#log-adjacency-changes ;记录邻接变化
router(config)#int s0/0.1 point-to-point ;设置子接口点对点
router#show frame. pvc ;显示永久虚电路
router#show frame. map ;显示映射
基本访问控制列表:
router(config)#access-list permit|deny
router(config)#interface ;default:deny any
router(config-if)#ip access-group in|out ;default:out
例1:
router(config)#access-list 4 permit 10.8.1.1
router(config)#access-list 4 deny 10.8.1.0 0.0.0.255
router(config)#access-list 4 permit 10.8.0.0 0.0.255.255
router(config)#access-list 4 deny 10.0.0.0 0.255.255.255
router(config)#access-list 4 permit any
router(config)#int f0/0
router(config-if)#ip access-group 4 in
扩展访问控制列表:
access-list permit|deny icmp <DESTINATIONIP
wild>[type]
access-list permit|deny tcp <DESTINATIONIP
wild>[port]
例3:
router(config)#access-list 101 deny icmp any 10.64.0.2 0.0.0.0 echo
router(config)#access-list 101 permit ip any any
router(config)#int s0/0
router(config-if)#ip access-group 101 in
例3:
router(config)#access-list 102 deny tcp any 10.65.0.2 0.0.0.0 eq 80
router(config)#access-list 102 permit ip any any
router(config)#interface s0/1
router(config-if)#ip access-group 102 out
删除访问控制例表:
router(config)#no access-list 102
router(config-if)#no ip access-group 101 in
路由器的nat配置
Router(config-if)#ip nat inside ;当前接口指定为内部接口
Router(config-if)#ip nat outside ;当前接口指定为外部接口
Router(config)#ip nat inside source static [p] <私有IP><公网IP> [port]
Router(config)#ip nat inside source static 10.65.1.2 60.1.1.1
Router(config)#ip nat inside source static tcp 10.65.1.3 80 60.1.1.1 80
Router(config)#ip nat pool p1 60.1.1.1 60.1.1.20 255.255.255.0
Router(config)#ip nat inside source list 1 pool p1
Router(config)#ip nat inside destination list 2 pool p2
Router(config)#ip nat inside source list 2 interface s0/0 overload
Router(config)#ip nat pool p2 10.65.1.2 10.65.1.4 255.255.255.0 type rotary
Router#show ip nat translation
rotary 参数是轮流的意思,地址池中的IP轮流与NAT分配的地址匹配。
overload参数用于PAT 将内部IP映射到一个公网IP不同的端口上。
外部网关协议配置:
routerA(config)#router bgp 100
routerA(config-router)#network 19.0.0.0
routerA(config-router)#neighbor 8.1.1.2 remote-as 200
配置PPP验证:
RouterA(config)#username password
RouterA(config)#int s0
RouterA(config-if)#ppp authentication {chap|pap}
3.PIX防火墙命令
Pix525(config)#nameif ethernet0 outside security0 ;命名接口和级别
Pix525(config)#interface ethernet0 auto ;设置接口方式
Pix525(config)#interface ethernet1 100full ;设置接口方式
Pix525(config)#interface ethernet1 100full shutdown
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
Pix525(config)#ip address outside 133.0.0.1 255.255.255.252
Pix525(config)#global (if_name) natid ip-ip ;定义公网IP区间
Pix525(config)#global (outside) 1 7.0.0.1-7.0.0.15 ;例句
Pix525(config)#global (outside) 1 133.0.0.1 ;例句
Pix525(config)#no global (outside) 1 133.0.0.1 ;去掉设置
Pix525(config)#nat (if_name) nat_id local_ip [netmark]
Pix525(config)#nat (inside) 1 0 0
内网所有主机(0代表0.0.0.0)可以访问global 1指定的外网。
Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
内网172.16.5.0/16网段的主机可以访问global 1指定的外网。
Pix525(config)#route if_name 0 0 gateway_ip [metric] ;命令格式
Pix525(config)#route outside 0 0 133.0.0.1 1 ;例句
Pix525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1 ;例句
Pix525(config)#static (inside, outside) 133.0.0.1 192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址。
Pix525(config)#static (dmz, outside) 133.0.0.1 172.16.0.8
中间区域ip地址172.16.0.8,访问外部时被翻译成133.0.0.1全局地址
5. 静态nat配置命令
1)在R1上将192.168.0.10映射到201.1.1.2,将192.168.0.20映射到201.1.1.3
静态映射有唯一对应的关系,这也提供了外网到内网主机的访问途径,即如果外网主机想访问内网的192.168.0.10,只要访问201.1.1.2即可。
通过静态NAT,可以把内网服务器发布到外网。
tarena-R1(config)#ip nat inside source static 192.168.0.10 201.1.1.2
tarena-R1(config)#ip nat inside source static 192.168.0.20 201.1.1.3
2)在R1上配置NAT内、外端口
tarena-R1(config)#interface f0/0
tarena-R1(config-if)#ip nat inside
tarena-R1(config-if)#interface f0/1
tarena-R1(config-if)#ip nat outside
3)分别在两台PC机上测试到外网主机的通信
PC1测试如下所示:
PC>ipconfig
FastEthernet0 Connection:(default port)
Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CC
IP Address......................: 192.168.0.10
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.0.1
PC>ping 200.1.1.10
Pinging 200.1.1.10 with 32 bytes of data:
Request timed out.
Request timed out.
Reply from 200.1.1.10: bytes=32 time=1ms TTL=126
Reply from 200.1.1.10: bytes=32 time=0ms TTL=126
Ping statistics for 200.1.1.10:
Packets: Sent = 4, Received = 2, Lost = 2 (50% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
PC>
6. 如何配置NAT
一、 NAT简介
NAT的功能就是指将使用私有地址的网络与公用网络INTERNET相连,使用私有地址的内部网络通过NAT路由器发送数据时,私有地址将被转化为合法注册的IP地址从而可以与INTERNET上的其他主机进行通讯。
NAT路由器被置于内部网和INTERNET的边界上并且在把数据包发送到外部网络前将数据包的源地址转换为合法的IP地址。当多个内部主机共享一个合法IP地址时,地址转换是通过端口多路复用即改变外出数据包的源端口并进行端口映射完成。
二、 NAT工作过程
假设某公司申请DDN专线时,电信提供的合法地址为61.138.0.93/30,61.128.0.94/30,公司内部网络地址为192.168.0.0/24,路由器局域口地址192.168.0.254/24,广域口地址61.138.0.93/30,
当192.168.0.1/24这台计算机向INTERNET上的服务器202.98.0.66发出请求,则相应的操作过程如下:
⑴内部主机192.168.0.1/24的用户发出到INTERNET上主机202.98.0.66的连接请求;
⑵边界路由器从内部主机接到第一个数据包时会检查其NAT映射表,如果还没有为该地址建立地址转换映射,路由器便决定为该地址进行地址转换,路由器为该内部地址192.168.0.1到合法IP地址61.138.0.93的映射,同时附加端口信息,以区别与内部其他主机的映射。
⑶边界路由器用合法IP地址61.138.0.93及某端口号来替换内部IP地址192.168.0.1和对应的端口号,并转发该数据包。
⑷INTERNET服务器202.98.0.66接到该数据包,并以该包的地址(61.138.0.93)来对内部主机192.168.0.1作出应答。
⑸当边界路由器接受到目的地址为61.138.0.93的数据包时路由器将使用该IP地址、端口号从NAT的映射表中查找出对应的内部地址和端口号,然后将数据包的目的地址转化为内部地址192.168.0.1,并将数据包发送到该主机。对于每一个请求路由器都重复2-5的步骤。
三、路由器NAT功能配置
以上面的假设为例,分别说明在CISCO、3COM路由器下配置NAT功能
一CISCO路由器
以CISCO2501为例,要求其IOS为11.2版本以上
cisco2501#conf t
cisco2501(config)# int e0
cisco2501(config-if)# ip address 192.168.0.254 255.255.255.0
cisco2501(config-if)# ip nat inside
(指定e0口为与内部网相连的内部端口)
cisco2501(config-if)#int s0
cisco2501(config-if)#encapsulation ppp
(指定封装方式为PPP)
cisco2501(config-if)#ip address 61.138.0.93 255.255.255.252
cisco2501(config-if)# ip nat outside
(指定s0为与外部网络相连的外部端口)
cisco2501(config-if)#exit
cisco2501(config)# bandwidth 128
(指定网络带宽128k)
cisco2501(config)# ip route 0.0.0.0 0.0.0.0 Serial0
(指定缺省路由)
cisco2501(config)# ip nat pool a 61.138.0.93 61.138.0.93 netmask 255.255.255.252
(指定内部合法地址池,起始地址,结束地址为合法IP 61.138.0.93)
cisco2501(config)# access-list 1 permit 192.168.0.0 0.0.0.255
(定义一个标准的access-list规则,以允许哪些内部地址可以进行地址转换)
cisco2501(config)# ip nat inside source list 1 pool a overload
(设置内部地址与合法IP地址间建立地址转换)
cisco2501(config)#end
cisco2501#wr
二3COM路由器
以3COM OCBN8832为例,要求其SOFTWARE VERSION为11.0版本以上
以root注册,进行如下配置:
⑴配置局域网端口
[1] EnterpriseOS #setdefault !1 -ip netaddress=192.168.0.254 255.255.255.0
[2] EnterpriseOS #setdefault !! -path control =enable (激活路由器局域口PATH)
[3] EnterpriseOS #setdefault !1 -port control=enable (激活路由器局域口PORT)
⑵配置广域网串行端口
[4] EnterpriseOS #setdefault !3 -path linetype=leased (指明该端口使用的通信线路类型)
[5] EnterpriseOS #setdefault !4 -port owner=ppp (指明该端口的使用者)
[6] EnterpriseOS #setdefault !4 -ip netaddress=61.138.0.93 255.255.255.252
[7] EnterpriseOS #setdefault !4 -nat addressmap 192.168.0.0/24 61.138.0.93 outbound
(指定将192.168.0.0/24内部主机使用的IP地址转换成61.138.0.93)
[8] EnterpriseOS #setdault !4 -nat control=enable (启用NAT服务)
[9] EnterpriseOS #setdault !3 -path control=enable
[10]EnterpriseOS #setdault !4 -port control=enalbe
⑶配置缺省路由
[11]EnterpriseOS #setdault -ip control=router (激活路由器的路由功能)
[12]EnterpriseOS #add -ip route 0.0.0.0 0.0.0.0 !4
7. 防火墙的配置命令是什么
1、nameif
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。
使用命令:
PIX525(config)#
PIX525(config)#
PIX525(config)#nameifethernet2dmzsecurity50
2、interface
配置以太口工作状态,常见状态有:auto、100full、shutdown。
auto:设置网卡工作在自适应状态。
100full:设置网卡工作在100Mbit/s,全双工状态。
shutdown:设置网卡接口关闭,否则为激活。
命令:
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#
3、ipaddress
配置网络接口的IP地址
4、global
指定公网地址范围:定义地址池。
Global命令的配置语法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmarkglobal_mask]:表示全局ip地址的网络掩码。
5、nat
地址转换命令,将内网的私有ip转换为外网公网ip。
6、route
route命令定义静态路由。
语法:
route(if_name)00gateway_ip[metric]
7、static
配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:
static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
8、conit
管道conit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。
语法:
conitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
9、访问控制列表ACL
访问控制列表的命令与couit命令类似
10、侦听命令fixup
作用是启用或禁止一个服务或协议,
通过指定端口设置PIX防火墙要侦听listen服务的端口。
11、telnet
当从外部接口要telnet到PIX防火墙时,telnet数据流需要用vpn隧道ipsec提供保护或
在PIX上配置SSH,然后用SSHclient从外部到PIX防火墙。
12、显示命令:
showinterface;查看端口状态。
showstatic;查看静态地址映射。
showip;查看接口ip地址。
showconfig;查看配置信息。
showrun;显示当前配置信息。
writeterminal;将当前配置信息写到终端。
showcpuusage;显示CPU利用率,排查故障时常用。
showtraffic;查看流量。
showblocks;显示拦截的数据包。
showmem;显示内存
13、DHCP服务
PIX具有DHCP服务功能。
8. 华为路由器如何配置NAT
华为路由器NAT经典配置
NAT概述
早期的NAT是指BasicNAT,BasicNAT在技术上实现比较简单,只支持地址转换,不支持端口转换。因此,BasicNAT只能解决内网主机访问外网问题,无法解决IP地址短缺问题。后期的NAT主要是指网络地址端口转换NAPT(NetworkAddress PortTranslation),NAPT既支持地址转换也支持端口转换,并允许多台内网主机共享一个外网IP地址访问外网,因此NAPT可以有效的改善IP地址短缺现象。
Basic NAT
BasicNAT方式只转换IP地址,不转换TCP/UDP协议的端口号,属于一对一的转换,一个外网IP地址只能被一个内网用户使用。下图描述了BasicNAT的基本原理。
Basic NAT实现过程
1.内网HostA访问外网Server,向Router发送一个源IP地址为10.1.1.1的报文。
2.当Router收到报文后,做BasicNAT转换。Router根据报文的源IP地址查找NAT转换关系表,看是否有相关的转换记录(10.1.1.11.1.1.1)。如果有转换记录,则将报文的源IP地址10.1.1.1转换成1.1.1.1后,转发给外网Server;如果没有转换记录,在进行源IP地址转换的同时,还会在NAT转换关系表中新增一条该会话的转换记录(正反向)。
3.外网Server给内网HostA转换后的外网IP地址1.1.1.1发送回应报文。报文到达Router后,Router根据报文的目的IP地址查找NAT转换关系表,将报文的目的IP地址1.1.1.1转换成10.1.1.1后,转发给内网HostA。
4.内网HostB访问外网Server的转换过程和内网HostA访问外网Server的转换过程类似。由于BasicNAT不转换端口号,所以HostA和HostB分别用不同的外网IP地址访问Server。
NAPT
NAPT方式既转换IP地址,也转换TCP/UDP协议的端口号,属于多对一的转换。NAPT通过使用“IP地址+端口号”的形式,使多个内网用户共用一个外网IP地址访问外网,因此NAPT也可以称为“多对一地址转换”或“地址复用”。下图描述了NAPT的基本原理。
NAPT实现过程
1.内网HostA访问外网Server,向Router发送一个源IP地址为10.1.1.1,端口号为10的报文。
2.Router收到报文后,做NAPT转换。Router根据报文的源IP地址和端口号查找NAT转换关系表,看是否有相关的转换记录(10.1.1.1:101.1.1.1:30)。如果有转换记录,则将报文的源IP地址10.1.1.1转换成1.1.1.1,端口号10转换成30后,转发给外网Server;如果没有转换记录,在进行源IP地址和端口号转换的同时,还会在NAT转换关系表中新增一条该会话的转换记录(正反向)。
3.外网Server给内网HostA转换后的外网IP地址1.1.1.1发送回应报文。Router根据回应报文中的目的IP地址和端口号查找NAT转换关系表,将报文的目的IP地址1.1.1.1转换成10.1.1.1,端口号30转换成10后,转发给内网HostA。
4.内网HostB访问外网Server的转换过程和内网HostA访问外网Server的转换过程类似。由于NAPT可以转换端口号,所以HostA和HostB可以共用同一个外网IP地址1.1.1.1访问Server。
NAT分类
NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能。根据转换过程中IP地址或端口号的转换规则是否已事先确定,可以将NAT分为动态NAT和静态NAT。
动态NAT
动态NAT是指内部网络和外部网络之间的地址映射关系在转换时动态产生。动态NAT也指NATOutbound,常用于内部网络有大量用户需要访问外部网络的组网场景。动态NAT分为地址池方式的动态NAT和EasyIP方式的动态NAT。
静态NAT
静态NAT是指外部网络和内部网络之间的地址映射关系由配置事先确定,常用于外网用户需要访问内网服务器提供的一些服务的组网场景。静态NAT分为NATStatic和NATServer。两者都可以对外网提供服务,但是在内网主动访问外网的地址转换中,两者略有不同,具体差异如下:
1.NATServer对于内网主动访问外网的情况不做端口转换,仅做地址转换,即当报文的源IP地址匹配NAT Server规则里的内网IP地址时,不论端口号是多少,都会转换报文的源IP地址。
2.NATStatic对于内网主动访问外网的情况既做端口转换,也做地址转换,即只有当报文的源IP地址和端口号同时匹配NATStatic规则里的内网IP地址和端口号时,才会转换报文的源IP地址和端口号。
配置内网主机访问外网示例
组网需求
某公司A区和B区的内网用户通过路由器和Internet相连,A区和B区的内网用户都有访问外网Internet的需求。公司为A区用户规划的外网IP地址较多,A区用户希望使用外网地址池中(2.2.2.100~2.2.2.200)的地址和A区内部主机的地址(网段为192.168.20.0/24)进行一对一转换后,访问Internet。公司为B区用户规划的外网IP地址较少,B区用户希望使用外网地址池中的地址(2.2.2.80~2.2.2.83)和B区内部主机的地址(网段为10.0.0.0/24)进行一对多转换后,访问Internet。公司为路由器WAN侧接口规划的外网IP地址为2.2.2.1/24,对端运营商侧IP地址为2.2.2.2/24。
配置思路
配置内网主机访问外网的思路如下:
1.配置接口IP地址、缺省路由,实现内部主机和外网Internet之间路由可达。
2.在WAN侧接口下为A区用户配置不带端口转换的NATOutbound,实现A区内部主机经过一对一地址转换后访问外网Internet。
3.在WAN侧接口下为B区用户配置带端口转换的NATOutbound,实现B区内部主机经过一对多地址转换后访问外网Internet。
操作步骤
1. 在Router上配置接口IP地址
system-view
[Huawei] sysnameRouter
[Router] vlan 100
[Router-vlan100]quit
[Router] interfacevlanif 100
[Router-Vlanif100]ip address 192.168.20.1 24
[Router-Vlanif100]quit
[Router] interfaceethernet 2/0/0
[Router-Ethernet2/0/0]port link-type access
[Router-Ethernet2/0/0]port default vlan 100
[Router-Ethernet2/0/0]quit
[Router] vlan 200
[Router-vlan200]quit
[Router] interfacevlanif 200
[Router-Vlanif200]ip address 10.0.0.1 24
[Router-Vlanif200]quit
[Router] interfaceethernet 2/0/1
[Router-Ethernet2/0/1]port link-type access
[Router-Ethernet2/0/1]port default vlan 200
[Router-Ethernet2/0/1]quit
[Router] interfacegigabitethernet 3/0/0
[Router-GigabitEthernet3/0/0]ip address 2.2.2.1 24
[Router-GigabitEthernet3/0/0]quit
2.在Router上配置缺省路由,指定下一跳地址为2.2.2.2
[Router] iproute-static 0.0.0.0 0.0.0.0 2.2.2.2
3.在Router上配置不带端口转换的NATOutbound
在Router上配置不带端口转换的NATOutbound
[Router] nataddress-group 1 2.2.2.100 2.2.2.200
[Router] acl 2000
[Router-acl-basic-2000]rule 5 permit source 192.168.20.0 0.0.0.255
[Router-acl-basic-2000]quit
[Router] interfacegigabitethernet 3/0/0
[Router-GigabitEthernet3/0/0]nat outbound 2000 address-group 1 no-pat
[Router-GigabitEthernet3/0/0]quit
4.在Router上配置带端口转换的NATOutbound
[Router] nataddress-group 2 2.2.2.80 2.2.2.83
[Router] acl 2001
[Router-acl-basic-2001]rule 5 permit source 10.0.0.0 0.0.0.255
[Router-acl-basic-2001]quit
[Router] interfacegigabitethernet 3/0/0
[Router-GigabitEthernet3/0/0]nat outbound 2001 address-group 2
[Router-GigabitEthernet3/0/0]quit
[Router] quit
5. 验证配置结果
#在Router上执行命令displaynat outbound,查看地址池配置。
display nat outbound
NAT OutboundInformation:
-----------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
-----------------------------------------------------------------
GigabitEthernet3/0/0 2000 1 no-pat
GigabitEthernet3/0/0 2001 2 pat
-----------------------------------------------------------------
Total : 2
#在Router上执行命令ping,验证内网可以访问Internet。
ping-a 192.168.20.1 2.2.2.2
PING 2.2.2.2: 56data bytes, press CTRL_C to break
Reply from2.2.2.2: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from2.2.2.2: bytes=56 Sequence=2 ttl=255 time=1 ms
Reply from2.2.2.2: bytes=56 Sequence=3 ttl=255 time=1 ms
Reply from2.2.2.2: bytes=56 Sequence=4 ttl=255 time=1 ms
Reply from2.2.2.2: bytes=56 Sequence=5 ttl=255 time=1 ms
-- 2.2.2.2 pingstatistics ---
5 packet(s)transmitted
5 packet(s)received
0.00% packetloss
round-trip min/avg/max = 1/1/2 ms
配置外网主机访问内网服务器示例
组网需求
公司的内网部署了一台服务器,公司外部网络Internet上的一台主机希望能通过一个外网IP地址访问该服务器。公司为该服务器规划的内网IP地址为192.168.0.2/24,外网IP地址为2.2.2.3/24。路由器的WAN侧接口的IP地址为2.2.2.1/24,LAN侧网关IP地址为192.168.0.1/24,对端运营商侧IP地址为2.2.2.2/24,外网主机IP地址为1.1.1.1/24。
配置思路
配置外网主机访问内网服务器的思路如下:
1.配置接口IP地址、缺省路由,实现内网服务器和外网主机之间路由可达。
2.在WAN侧接口下配置NATStatic,实现外网主机使用外网IP地址2.2.2.3访问内网服务器。
操作步骤
1.在Router上配置接口IP地址
system-view
[Huawei] sysnameRouter
[Router] interfacegigabitethernet 2/0/0
[Router-GigabitEthernet2/0/0]ip address 2.2.2.1 24
[Router-GigabitEthernet2/0/0]quit
[Router] interfacegigabitethernet 1/0/0
[Router-GigabitEthernet1/0/0]ip address 192.168.0.1 24
[Router-GigabitEthernet1/0/0]quit
2.在Router上配置缺省路由,指定下一跳地址为2.2.2.2
[Router] iproute-static 0.0.0.0 0.0.0.0 2.2.2.2
3.在Router的WAN侧接口GE2/0/0上配置一对一的静态NAT
[Router] interfacegigabitethernet 2/0/0
[Router-GigabitEthernet2/0/0]nat static global 2.2.2.3 inside 192.168.0.2
[Router-GigabitEthernet2/0/0]quit
[Router] quit
4.验证配置结果
在Router上执行displaynat static命令查看地址池映射关系。
display nat static
Static NatInformation:
Interface :GigabitEthernet2/0/0
Global IP/Port : 2.2.2.3/----
Inside IP/Port : 192.168.0.2/----
Protocol : ----
VPNinstance-name : ----
Acl number : ----
Vrrp id : ----
Netmask :255.255.255.255
Description :----
Total : 1
9. 路由器nat配置命令
1. 什么是NAT?
NAT即Network Address Translation,它可以让那些使用私有地址的内部网络连接到Internet或其它IP网络上。NAT路由器在将内部网络的数据包发送到公用网络时,在IP包的报头把私有地址转换成合法的IP地址。
2.在NAT实验中需要理解的术语:
1) 内部局部地址(Inside Local):在内部网络中分配给主机的私有IP地址。
2) 内部全局地址(Inside Global):一个合法的IP地址,它对外代表一个或多个内部局部IP地址。
3) 外部全局地址(Outside Global):由其所有者给外部网络上的主机分配的IP地址。
4) 外部局部地址(Outside Local):外部主机在内部网络中表现出来的IP地址。
3.NAT的优点和缺点:
NAT的优点:
(1) 对于那些家庭用户或者小型的商业机构来说,使用NAT可以更便宜,更有效率地接入Internet。
(2) 使用NAT可以缓解目前全球IP地址不足的问题。
(3) 在很多情况下,NAT能够满足安全性的需要。
(4) 使用NAT可以方便网络的管理,并大大提高了网络的适应性。
NAT的缺点:
(1) NAT会增加延迟,因为要转换每个数据包包头的IP地址,自然要增加延迟.
(2) NAT会使某些要使用内嵌地址的应用不能正常工作.
4.NAT的工作原理:
当内部网络中的一台主机想传输数据到外部网络时,它先将数据包传输到NAT路由器上,路由器检查数据包的报头,获取该数据包的源IP信息,并从它的NAT映射表中找出与该IP匹配的转换条目,用所选用的内部全局地址(全球唯一的IP地址)来替换内部局部地址,并转发数据包。
当外部网络对内部主机进行应答时,数据包被送到NAT路由器上,路由器接收到目的地址为内部全局地址的数据包后,它将用内部全局地址通过NAT映射表查找出内部局部地址,然后将数据包的目的地址替换成内部局部地址,并将数据包转发到内部主机。
5.NAT配置中的常用命令:
ip nat {inside|outside}:接口配置命令。以在至少一个内部和一个外部接口上启用NAT。
ip nat inside source static local-ip global-ip:全局配置命令。在对内部局部地址使用静态地址转换时,用该命令进行地址定义。
access-list access-list-number {permit|deny} local-ip-address:使用该命令为内部网络定义一个标准的IP访问控制列表。
ip nat pool pool-name start-ip end-ip netmask netmask [type rotary]:使用该命令为内部网络定义一个NAT地址池。
ip nat inside source list access-list-number pool pool-name [overload]:使用该命令定义访问控制列表与NAT内部全局地址池之间的映射。
ip nat outside source list access-list-number pool pool-name [overload]:使用该命令定义访问控制列表与NAT外部局部地址池之间的映射。
ip nat inside destination list access-list-number pool pool-name:使用该命令定义访问控制列表与终端NAT地址池之间的映射。
show ip nat translations:显示当前存在的NAT转换信息。
show ip nat statistics:查看NAT的统计信息。
show ip nat translations verbose:显示当前存在的NAT转换的详细信息。
debug ip nat:跟踪NAT操作,显示出每个被转换的数据包。
Clear ip nat translations *:删除NAT映射表中的所有内容。