华为AR2220系列路由器HCNA考证实验配置学习笔记
sys 按Tab键会补全命令 system-view 进入系统视图,可以配置系统
sysn R1 给设备命名R1 (全部命令sysname R1)
user-interface console 0 进入console 0 口再进行本地管理配置
authentication-mode aaa 将认证模式设为AAA认证模式,就是要用户名和密码的模式
aaa 进入aaa模式,再开始设置
local-user wangw password cipher huawei123 创建用户名wangw密码huawei123的用户
local-user wangw privilege level 4 给用户wangw 4级权限
quit 退出AAA视图
interface g0/0/0 进入G0/0/0接口,再对这个接口进行配置
ip address 172.16.10.1 24 配置IP 172.16.10.1 掩码24位
display ip interface brief 查看接口IP
display ip routing-table 查看路由表
------------------------------
IP地址
A类单播地址0-127(1-126可用,0、127被保留)
B类单播地址128-191
C类单播地址192-223
D类组播地址224-239
E类科研用
VLSM:可变长子网掩码,在没有VLSM时,我们的网络中的掩码只有三种/8、/16、/24.有了VLSM后,就可以根据主机位来合理分配掩码了。如192.168.1.0/30--255.255.255.252
子网掩码不能为32和31,因为没有主机的可用IP,31的IP被网络位和广播地址用了
有2台电脑就要用30位的子网掩码
配置 vty远程管理协议telnet明文协议和ssh密文协议,vty可以配置多个帐户管理,console只有一个管理口
user-interface vty 0 4 进入vty配置
authentication-mode aaa 用AAA模式认证
aaa 进入AAA视图
local-user wangw-r1 password cipher huawei123 配置用户名和密码
local-user wangw-r1 privilege level 2 配置权限
local-user wangw-r1 service-type telnet 配置用户类型为telnet
quit 退出
------------------------
配置SSH远程管理
stelnet serveer enable 开启SSH服务
rsa local-key-pair create 创建密匙
y
1024 密匙长度默认是512改为1024
authentication-mode aaa 用AAA模式认证
aaa进入AAA视图
local-user wangw-ssh password cipher huawei123
local-user wangw-ssh privilege level 4
local-user wangw-ssh sercive-type ssh 配置用户类型 ssh
quit
user-interface vty 0 4进入vty视图 vty默认是只允许telnet登陆
protocol inbound ssh 开启允许ssh协议登陆
ssh user wangw-ssh authentication-type all 定义SSH认证模式为所有
------------------------------
客户端上如果是第一次使用SSH就要用下面的命令
ssh client first-time enable
再开始SSH远程主机
stelnet 12.1.1.8
再输入用户名
接收密匙y
密码
------------------
设备文件管理
系统文件:包含设备的操作系统,在用户模式下输入dir查看
配置文件:设备的配置命令,配置又分为运行配置文件和启动配置文件
display current-configuration 查看运行配置文件
display saved-configuration 查看启动配置文件
当运行配置文件保存后,再启动上次保存的运行配置文件就变成了启动配置文件vrpcfg.zip
管理文件协议:ftp,tftp
ftp server enable 开启ftp服务
aaa 进入aaa模式
local-user wangwftp password cipher huawei123
local-user wangwftp privilege level 3
local-user wangwftp service-type ftp
local-user wangwftp ftp-directory flash: 设置FTP访问文件目录
quit
----------
ftp 172.16.1.2
下载一个文件
get statemach.efs 123.efs下载statemach.efs保存在本地名123.efs
上传文件到服务器
put sslvpn.zip 321.zip 上传sslvpn.zip到服务器改名为321.zip
再dir查看是否成功
=========================
ICMP协议:英特网信息管理协议,它提供对网络运行状态进行检测的工具,通过这个协议收集网络的相关信息。
ping
tracerounte(tracert)可以跟踪网络中从源节点到目标节点中间经过的所有三层节点信息
-------------
直连路由Direct:与路由器相连的端口配了IP地址并打开了,就会产生直连路由
静态路由static
ip route-static 172.16.3.0 24 g0/0/0 172.16.1.2 目标地址和掩码172.16.3.0 24 出接口g0/0/0 下一跳172.16.1.2
ip route-static 172.16.1.0 24 g0/0/0 172.16.2.2 回程路由
等价路由,在同一个路由器上的2个接口路由给另一网段
ip route-static 23.1.1.0 24 g0/0/1 12.1.1.2路由给同一网段2个结口2个下一跳
ip route-static 23.1.1.0 24 g0/0/0 21.1.1.2
display ip routing-table
浮动静态路由:高带宽链路成为主链路,低带宽成为备份链路
路由选举规则:比较掩码长度,越长越优,比较路由优先级越小越优,比较路由开销值越小越优。
ip route-static 23.1.1.0 24 g0/0/0 21.1.1.2
ip route-static 23.1.1.0 24 s1/0/0 12.1.1.2 preference 61 改S口的优先级61比静态路由的60大,当主链路undo了,另一条才能用
缺省静态路由
ip route-static 0.0.0.0 0 g0/0/0 12.1.1.2
============================================
RIP协议:路由信息协议,(使用UDP发报文)在路由上开启RIP,宣告自己的直连网段进RIP,RIP会将这些直连网段封装成RIP协议报文,发送给邻居路由器,这样邻居路由器间就互相学习到对方的网段信息,实现网络互通。
rip
rip 100
network 12.0.0.0 在每个路由器上宣告自己的不同网段,是主类网段不是网址
RIP是按跳数计算的开销值的,最大跳数是15,如果达到16就会认为路由不可达
display rip 查看
RIP定时器:更新定时器30S,老化定时器180S,垃圾回收定时器120S
RIP定时器是可以修改的
rip 进入RIP
timers rip 10 60 40 修改时间 更新10老化60垃圾40
设置静默接口,就是关闭掉一个边缘接口,不向外发送RIP报文,当对端设置没有开启RIP的时候,这边接它的端口就要开启静默接口
silent-interface g0/0/1
RIP单播更新网络内有没开启RIP的设备时,开启了RIP可以设置单独交换RIP报文
R1
rip
network 100.0.0.0
peer 100.1.1.1 对端接口IP地址,就是单播给对端不用广播发送
silent-interface g0/0/0 还要把这个接口设置静默接口,关闭广播组播报文
R2
rip
network 100.0.0.0
peer 100.1.1.2 对端接口IP地址,就是单播给对端接口
silent-interface g0/0/0
RIPv2 能获取对端明细的路由,华为开启V2时就关闭了自动汇总,就能收到明细路由了
rip 开启RIP
version 2 版本2
network 12.0.0.0 宣告网段有几接口就宣告几个网段
RIP自动汇总:
当子网路由传递到主类网段边界的时候,路由器会将子网路由汇总为主类网段再发送出去
RIPv2认证:明文接口认证,密文接口认证
明文认证接口
interface g0/0/0
rip authentication-mode simple cipher huawei123
interface g0/0/1
rip authentication-mode md5 nonstandard cipher huawei123 1 密文huawei123 密文编号1
RIP手工汇总,可以提高网络的稳定性
interface g0/0/0 在接口下汇总
rip summary-address 10.1.0.0 255.255.252.0
不同RIP运行的,让R1(运行的是V1)发送V2报文给R2,让R2(运行的是V2)发送V1报文给R1
interface g0/0/0
version 1
------------------------------
OSPF配置 优先级 10 显示的是明细路由
ospf 100 配置OSPF 100进程号
area 0 配置区域 0
network 12.1.1.0 0.0.0.255 宣告自己有的网段加反掩码
quit
display ospf peer 查看OSPF邻居
display ip routing-table 查看路由表
display ip routing-table protocol ospf 查看OSPF的路由表
修改OSPF的router-id
ospf 100 router-id 1.1.1.1 修改
reset ospf process 重启OSPF进程才生效
调整OSPF的基准带宽,达到更改COST花费值的作用
ospf 100
bandwidth-reference 10000 将基准带宽改为万兆
OSPF的静默接口配置,设置成静默接口后,该接口不能向外发送广播组播单播报文
ospf 100
silent-interface g0/0/1 将g0/0/1接口设置为静默接口
修改OSPF计时器,在接口下改
interface g0/0/0
ospf timer hello 20
ospf timer dead 60将死亡时间改为了60秒
调整OSPF的DR和BDR
display ospf peer 查看OSPF进程可以看到DR和BDR
在R1上查看
DR是R2,BDR是R1,要想让R1成为DR把优先级改高没用,要把对方改低就行了
R2
ospf dr-priority 0将R2的DR优先级改为0了就行了
ospf认证:接口认证和区域认证
interface g0/0/0
ospf authentiction-mode md5 1 cipher huawei123 接口认证
区域认证
ospf 100
area 0
authentiction-mode md5 1 cipher huawei123
----------------------
ACL访问控制列表
R1的接口IP是G0是1.1.1.100,G1是20.1.1.100
PC1是10.1.1.1 PC2是20.1.1.1,PC3是20.1.1.2现在要PC1不能访问PC2和PC3,但可以访问10.1.1.100
R1
acl 2000
rule deny source 10.1.1.1 0
quit
再在接口G1上去调用这个ACL2000
interface f0/0/1
traffic-filter outbound acl 2000 在G0接口上调用ACL 2000
quit
扩展ACL
R1的接口IP是G0是1.1.1.100,G1是20.1.1.100
PC1是10.1.1.1 PC2是20.1.1.1,PC3是20.1.1.2现在要PC1不能访问PC3,但可以访问10.1.1.100 PC2
acl 3000
rule deny ip source 10.1.1.1 0 destination 20.1.1.1 0
quit
调用这个ACL,在2个接口都可以调用
interface g0/0/0
traffic-filter inbound acl 3000
quit
==============================
NAT技术,NAT网络地址转换协议,实现公私网的互访
从私网到公网:报文经过部署了NAT的路由时,路由将报文中的SIP由私网IP转换为公网IP
从公网到私网:报文经过部署了NAT的路由时,路由将报文中的DIP由公网IP转换成私网IP
NAT分源NAT(静态NAT,动态NAT,NAPT,easy-IP),目的NAT
配置静态NAT 现实中很少用
nat static enable 开启静态NAT
nat static globall 12.1.1.1 inside 10.1.1.1
display nat session all 查看NAT的转换表项
配置动态NAT
nat address-group 0 12.1.1.1 12.1.1.3 定义公网的IP地址池
再定义私网地址池 用ACL
acl 2000
rule permit source 10.1.1.1 0.0.0.0
rule permit source 10.1.1.2 0.0.0.0
rule permit source 10.1.1.3 0.0.0.0
再将私网地址池与公网地址池绑定
nat outbound 2000 address-group 0 no-pat
-------------------------------------------
NAPT的实现,是多对一的地址转换
nat address-group 0 12.1.1.1 12.1.1.1 公网地址池
acl 2000
rule permit source 10.1.1.1 0.0.0.0
rule permit source 10.1.1.2 0.0.0.0
rule permit source 10.1.1.3 0.0.0.0
quit
int g0/0/1
nat outbound 2000 address-group 0 这就是NAPT不要后面的no-pat
display nat session all 查看NAT的转换表项
---------------------
easy-IP的配置
先用ACL配置私设多地址池
acl 2000
rule permit source 10.1.1.1 0.0.0.0
rule permit source 10.1.1.2 0.0.0.0
rule permit source 10.1.1.3 0.0.0.0
再进入路由器外网接口
interface g0/0/1
nat outbound 2000
display nat session all查看NAT的转换表项
=============================================
PPPoE和ethernet FR PPP在同一层为2层
3个控制协议:链路控制协议(LCP),PPP的认证协议,网络层控制协议(NCP)
在串行链路上PPP基础配置,服务器端
aaa 进入三A
local-user huawei password simple hello 创建用户名huawei密码明文hello
local-user huawei servicetype ppp 用户类型ppp
interface serial 1/0 进入串口
link-protocol ppp 串口的封装方式
ppp authentication-mode pap 认证方式pap
ip address 10.1.1.1 30
quit
在被认证方,客户端
interface serial 1/0
link-protocol ppp
ppp pap local-user huawei password simple hello 认证用户名和密码PAP方式
ip address 10.1.1.2 30
quit
另一种认证方式,CHAP加密方式
服务端
aaa
local-user huawei password cipher hello创建用户和密码是密文
local-user huawei service-type ppp 用户类型ppp
interface serial 0
link-protocol ppp
ppp authentication-mode chap 认证方式CHAP
ip address 10.1.1.1 30
客户端
interface serial 0
link-protocol ppp
ppp chap user huawei
ppp chap password cipher hello
ip address 10.1.1.2 30
------------
使用IPCP协商IP地址
interface serial 0
link-protocol ppp
ip address 10.1.1.2 30
remote address 10.1.1.1
----
interface serial 0
link-protocol ppp
ip address ppp-negotiate 使用PPP协商地址
-----------------------------------------------
举例WAN口GE1连接外网
LAN口连接内网,内网的网段是192.167.1.0/24
内网用户获取IP的方式:DHCP(动态获取IP)
一、WAN配置
配置pppoe拨号接口
system 进入系统视图
interface dialer 1 创建并进入dialer接口
dialer user abc 启动共享DCC功能
dialer bundle 1
dialer number 1 autodia 配置拨号失败时将dialer接口状态转为Down
配置两种认证方式PAP,CHAP
ppp chap user user1 配置CHAP认证方式的用户名
ppp chap psaaword cipher huawei123 配置CHAP认证方式的密码
ppp pap local-user user1 password cipher huawei123 配置PAP认证方式的用户名和密码
tcp adjust-mss 1200 配置接口的TCP最大报文段长度为1200字节
ip address ppp-negotiate 配置IP地址使用PPP协商地址
ppp ipcp dns admit-any
quit
interface g0/0/1 进入WAN口(GE1)建立PPPOE会话
pppoe-client dial-bundle-number 1 dia-bundle-number 编号要和diale bundle 编号一致
quit
配置默认路由
ip route-static 0.0.0.0 0.0.0.0 dialer 1
配置NAT功能
acl number 3000
rule permit ip
quit
interface dialer 1
nat outbound 3000
quit
二、LAN配置
配置接口IP和DHCP服务器
LAN口是二层接口不能直接配置IP,由于它默认属于VLAN1,需要为其创建VLANIF接口再配置IP
dhcp enable 开启DHCP
interface vlanif 1 开启VLANIF接口,并配置IP和子网掩码
ip address 192.168.1.1 255.255.255.0
dhcp select interface 启用接口地址池方式的DHCP服务器功能
dhcp server dns-list 114.114.114.114 配置DNS服务器为公共的DNS
return
举例二:
#
interface Dialer1
link-protocol ppp
ppp chap user 88888888@163.gd
ppp chap password cipher %@%@ACy|,1prkAKm:FDSODr3,.MS%@%@
ppp pap local-user 88888888@163.gd password cipher %@%@z;/Q.,<t[Xik_%5Y4Xr#
,.X-%@%@
ppp ipcp dns admit-any
ppp ipcp dns request
tcp adjust-mss 1200
ip address ppp-negotiate
dialer user arweb
dialer bundle 1
dialer-group 4
nat outbound 2999
#
acl number 2999
rule 5 permit
#
interface GigabitEthernet0/0/0
ip address 172.16.1.1 255.255.255.0
#
interface GigabitEthernet0/0/1
pppoe-client dial-bundle-number 1
ip address dhcp-alloc
#
==============================================
DHCP是一个C/S架构的协议,DHCP协议让客户端从服务端获取IP地址和网络信息
客户端 DHCP discover报文 寻找DHCP服务器
服务端DHCP offer报文 向客户端发送IP地址
客户端DHCP requst报文 告知服务器选择哪个IP
服务器DHCP ack 报文,告知IP地址合法可用
dhcp enable 全局开启DHCP
ip pool dhcp 设置DHCP地址池名
network 10.1.1.0 mask 255.255.255.0 网段
gateway-list 10.1.1.1 网关
dns-list 10.1.1.1 DNS
lease day 2 租期2天
display this 查看
quit
进入连接终端的接口开启DHCP服务
interface 0/0/0
dhcp select global 就可以了
DHCP续约:租期过了50%时客户端向服务器发送DHCP request
DHCP中续DHCP-server,DHCP-relay当网络内有多个网段需要使用DHCP服务时,可以用DHCP-relay技术实现集中管理
DHCPrelay的工作机制,配置DHCPrelay后,客户端通过广播DHCP discover报文发给DHCPrelay,DHCPrelay在收到客户端
的discover报文后,将discover报文重新封装,SIP封装为接收报文的IP,DIP封装为DHCPserver的接口IP,然后将discover
报文通过单播方式发向DHCPserver.DHCPsever在收到DHCPrelay发来的discover报文后,通过单播方式向relay回复DHCPoffer
.DHCPrelay接收到sever发来的DHCPoffer报文后,将以单播offer报文转发给客户端。
第一步:配置DHCP server全局开启,在server上配置客户端对应的DHCP地址池,然后在接口调用
第二步:配置DHCP relay,在relay连接客户端的接口上开启DHCPrelay功能,然后指定DHCPserver的IP地址
dhcp enable 开启全局DHCP
ip poor dhcp1建立DHCP地址池1
network 10.1.1.0 mask 255.255.255.0
gateway-list 10.1.1.1
dns-list 10.1.1.1
lease day 2
display this
quit
ip poor dhcp2 建立DHCP地址池2
network 20.1.1.0 mask 255.255.255.0
gateway-list 20.1.1.1
dns-list 20.1.1.1
lease day 2
display this
quit
再在G0/0/2上调用DHCP地址池
interface g0/0/2
dhcp select global
quit
--------------
再配置DHCP中续设备
先配好接口IP
dhcp enable 全局开启
interface g0/0/0
dhcp select relay
dhcp relay server-ip 12.1.1.2 指定服务器地址接口
quit
再进入G0/0/1
interface g0/0/1
dhcp select relay
dhcp relay server-ip 12.1.1.2
quit
再配2条静态路由,现在R2上是没有10.1.1.0 和20.1.1.0的路由
ip route-static 10.1.1.0 24 g0/0/2 12.1.1.1
ip route-static 20.1.1.0 24 g0/0/1 12.1.1.1
==================
链路聚合:是将多条物理链路逻辑地捆绑成一条链路的技术,通过这种方式提高网络带宽,并且成本最低。一般部署在核心结点,以便提升整个网络的数据吞吐量。
两种方式:手工负载分担方式、LACP方式(有主备分链路)
手工负载分担方式的配置
interface Eth-Trunk 12 进入trunk链路建编号12
trunkport Ethernet 0/0/1 to 0/0/3 将0/0/1-0/0/3添加进trunk链路
两台交换机都设一样,Eth-Trunk成员接口不能再配置其它业务,成员接口最多8个,接口必须为缺省类型。
--------------
LACP链路聚合
interface Eth-Trunk 12 进入Eth-Trunk 12链路
mode lacp-static 改模式为LACP方式
trunkport Ethernet 0/0/1 to 0/0/3 将接口划入eth-trunk
quit
display eth-trunk 12检查 现在3条链路都是被选择状态Selected ,这与要求不同,我们要求2条Active,1条backup备分
改LSW1设备优先级改成主设备 system priority 改小
lacp priority 100 改成100
这样主设备可以决定哪条链路活跃和备分,改主设备接口的优先级为100
interface e0/0/1
lacp priority 100
interface e0/0/2
lacp priority 100
quit
display eth-trunk 12 我们看到还是3条都是活跃的,我们看到max active-linknumber:8 我们将最大娄底为2
interface eth-trunk 12
max active-linknumber 2
quit
display eth-trunk 12 现在就是2条active1条backup
lacp preempt enable抢占开启,这样主备才能切换,切换时间为30S
---------------------
VLAN技术能够隔离广播域
vlan 10 创建VLAN 10
vlan 20 创建VLAN 20
display vlan summary 查看vlan
interface e0/0/1
port link-type access
port default vlan 10
quit
interface e0/0/2
port link-type access 将接口类型改为access接入接口, 华为交换机默认接口类型为hybrid
port default vlan 20
display port vlan active 查看VLAN的接口
interface e0/0/3
port link-type trunk 将接口设置为trunk
port trunk allow-pass vlan all 允许所有VLAN通过
配置hybrid
改接口类型,先删掉以前的类型
undo port trunk allow-pass vlan all
undo port link-type trunk
再创建VLAN
批量创建VLAN vlan batch
vlan batch 30 40 50 60
display vlan summary
再配接口和打标记不打标记的
interface e0/0/3
port link-type hybrid
port hybrid tagged vlan 10 30 50
port hybrid untagged vlan 20 40 60
display this
display port vlan active
---------------------------
配置单臂路由,那个主接口限制了带宽,现在一般不用了,小型网络还有存在
一个路由器和一个二层交换机再配置几个VLAN,二层交换机不能让VLAN互通,这时要配置路由来通信
先PC的IP,再配置二层交换机
vlan 10
vlan 20
interface e0/0/2
port link-type access
port default vlan 10
interface e0/0/3
port link-type access
port default vlan 20
再将交换机连接路由器的接口配置成trunk
interface e0/0/1
port link-type trunk
port trunk allow-pass vlan all
display port vlan active
配置路由器连接交换机的这个接口,将这个接口划2个子接口来让2个VLAN通信
interface g0/0/0.10 创建子接口10
dotlq termination vid 10 将这个子接口关联vlan10
ip add 10.1.1.100 24再配置对应VLAN10的IP地址
quit
interface g0/0/0.20
dotlq termination vid 20
ip add 20.1.1.100 24
quit
display ip interface brief 查看接口IP
查的都是正常的,现在还是不通,华为的子接口默认是没有开启广播功能的
interface g0/0/0.10
arp broadcast enable 开启子接口接收和发送报文的功能
interface g0/0/0.20
arp broadcast enable
------------------------------------------------
综合实验
交换部分:
1、将SW1-SW2间的e0/0/5、e0/0/6配置为手工方式的eth-trunk,链路编号为eth-trunk12
2、将SW1,SW2,SW2,SW4间的所有链路配置为trunk
3、在SW1-4上创建vlan10,vlan20,vlan11,vlan12
4、在SW1,SW2,SW3,SW4上开启STP协议
5、将SW1设置不所有VLAN的根交换机,将SW2设置为所有VLAN的备份根交换机
6、将PC3,PC4划入vlan10、将PC7、PC8划入vlan20
路由部分:
1.IP地址规划如下:
vlan10--10.1.10.0/24
vlan20--10.1.20.0/24
vlan11--10.1.11.0/24
vlan12--10.1.12.0/24
R1-R2---12.1.1.0/24
R2-Client2--20.1.1.0/24
2.将SW1设置为vlan10.vlan20的网关,IP地址为vlan对应网段的最后一个可用IP
3.将SW2设置为vlan10.vlan20的备份网关,IP地址为vlan对应网段的倒数第二个可用IP
4.将SW1的e0/0/1接口划入vlan11,并这vlan11配置对应网段的第一个可用IP
5.将SW2的e0/0/1接口划入vlan12,并为vlan12配置对应网段的第一个可用IP
6.将R1的g0/0/0接口IP配置为10.1.11.0/24网段的最后一个可用IP
7.将R1的g0/0/1接口IP配置为10.1.12.0/24网段的最后一个可用IP
8.配置R1-R2相连接口的IP地址,R1配置网段第一个可用IP,R2配置网段第二个可用IP
9.配置R2-Client2相连接口的IP地址,Client2配置网段第一个可用IP,R2配置网段最后一个可用IP
10.在SW1,SW2,R1间运行OSPF 100,将vlan10,vlan20,vlan11,vlan12对应网段宣告进area 0
11.在R1上添加缺省静态路由,将下一跳指向R2
12.在R1上将缺省静态路由发布进OSPF 100
13.在R1-R2间运行OSPF 200,将R1-R2间网段以及R2-Client2间网段宣告进area 0
访问控制部分:
1.在R1上配置PAT,让vlan10.vlan20内的所有主机共用12.1.1.10/24这个IP访问S1
2.要求vlan10内的主机可以访问Client2的web服务,但不能访问Client2的ftp服务
vlan20内的主机可以访问Client2的ftp服务,但不能访问Client2的web服务
其余流量不做限制
SW1.SW2
sys
interface Eth-Trunk 12
trunkport e0/0/5 to 0/0/6
quit
在SW2上重复
-----------
SW1,SW2
interface eth-trunk 12
port link-type trunk
port trunk allow-pass vlan all
interface e0/0/3
port link-type trunk
port trunk allow-pass vlan all
interface e0/0/4
port link-type trunk
port trunk allow-pass vlan all
quit
SW3,SW4
system
interface e0/0/3
port link-type trunk
port trunk allow-pass vlan all
interface e0/0/4
port link-type trunk
port trunk allow-pass vlan all
quit
----------------
vlan batch 10 20 11 12
display vlan summary 检查
-------------------
华为默认开启了MSTP,现在改一下模式
stp mode stp
display stp 检查
-------------------
SW1
stp priority 0 将SW1优先级改为0,就是根交换机了
SW2
stp priority 4096 将SW2优先级改为4096,就是备用的根交换机了
-------------------
SW3
interface e0/0/1
port link-type access
port default vlan 10
interface e0/0/2
port link-type access
port default vlan 20
SW4
interface e0/0/1
port link-type access
port default vlan 10
interface e0/0/2
port link-type access
port default vlan 20
display port vlan active 检查
================================================
SW1
interface vlanif 10
ip add 10.1.10.254 24
interface vlanif 20
ip add 10.1.20.254 24
SW2
interface vlanif 10
ip add 10.1.10.253 24
interface vlanif 20
ip add 10.1.20.253 24
---------------------
SW1
interface e0/0/1
port link-type access
port default vlan 11
quit
interface vlanif 11
ip add 10.1.11.1 24
SW2
interface e0/0/2
port link-type access
port default vlan 12
quit
interface vlanif 12
ip add 10.1.12.1 24
---------------------
R1
interface g0/0/0
ip add 10.1.11.254 24
interface g0/0/1
ip add 10.1.12.254 24
interface g0/0/2
ip add 12.1.1.1 24
R2
system
interface g0/0/2
ip add 12.1.1.2 24
Client2
20.1.1.1
20.1.1.254
R2
interface g0/0/0
ip add 20.1.1.254 24
------------------------
SW1SW2R1
ospf 100
area 0
network 10.1.11.0 0.0.0.255
network 10.1.10.0 0.0.0.255
network 10.1.20.0 0.0.0.255
quit
SW2
ospf 100
area 0
network 10.1.12.0 0.0.0.255
network 10.1.10.0 0.0.0.255
network 10.1.20.0 0.0.0.255
R1
ospf 100
area 0
network 10.1.11.0 0.0.0.255
network 10.1.12.0 0.0.0.255
quit
display ospf peer
-----------
ip route-static 0.0.0.0 0 12.1.1.2
--------------------
ospf 100
default-route-advertise 发布静态路由
quit
--------------------
R1
ospf 200
area 0
network 12.1.1.0 0.0.0.255
R2
ospf 200
area 0
network 12.1.1.0 0.0.0.255
network 20.1.1.0 0.0.0.255
quit
===============================
访问控制
配公网地址
R1
nat address-group 0 12.1.1.10 12.1.1.10
用ACL定义私网地址
acl 2000
rule permit source 10.1.10.0 0.0.0.255
rule permit source 10.1.20.0 0.0.0.255
调用接口
interface g0/0/2
nat outbound 2000 address-group 0
quit
--------------
acl 3000
rule permit tcp source 10.1.10.0 0.0.0.255 destination 20.1.1.1 0 destination-port eq 80
display this
rule 10 deny tcp source 10.1.10.0 0.0.0.255 destination 20.1.1.1 0 destination-port eq 21
rule permit tcp source 10.1.20.0 0.0.0.255 destination 20.1.1.1 0 destination-port eq 21
rule deny tcp source 10.1.20.0 0.0.0.255 destination 20.1.1.1 0 destination-port eq 80
quit
调用
interface g0/0/2
traffic-filter outbound acl 3000
quit