hcna重点笔记数通方向.doc

目录 第一章　VRP操作基础  1VRP基础 2 4.命令行基础(2) 3 5.VRP文件系统基础 4 6.VRP系统管理(1) 5 7.VRP系统管理(2) 6 第二章　静态路由  8.IP路由原理、静态路由基本配置 6 第三章　RIP 7 第四章　OSPF 8 20.OSPF基本原理及基本配置 8 第七章　訪问控制列表 9 第八章　网络地址转换 13 第一十一章　交换基础、VLAN 14 第一十三章　VLAN间路由、VRRP 15 第一十四章　交换机port技术  63链路聚合(手工模式) 16 华为HCNA教程（笔记） 第一章　VRP操作基本  1VRP基本 MiniUsb串口连接互换机办法 2eNSP入门 3命令行基本(1)  eNSP中路由启动后（记住port）－－－第三方软件连接该路由办法：telnet 127.0.0.1 port 顾客视图（文献）—–系统视图（系统sys）——接口视图（接口 interface GigabitEthernet 0/0/0）——合同视图（路由） display hotkey 显示功能键  display clock 显示时间  clock timezone CST add 8 设立时区（先设时区再设时间）  clock datetime 设立时间 header login information #  内容 登录前信息 header shell information 登录后信息（格式同上）Ctrl+] 可以退出查看该信息 顾客权限15 命令权限3  为console口配备password：  user-interface console 0 。进入到相应口  authentication-mode password ；认证模式为passwork  set authentication password cipher huawei ;设立password（路由器不须要） 为vty（telnet）设立password  user-interface vty 0 4  其她同上  user privilege level 3；顾客命令级别3（管理员）PS：console不用 dis history-command；显示历史命令 为接口配备2个IP地址（限路由）  system-view  [Huawei]interface gigabitethernet 0/0/0  [Huawei-GigabitEthernet0/0/0]ip address 10.0.12.1 255.255.255.0  [Huawei-GigabitEthernet0/0/0]interface loopback 0 。环回接口（逻辑接口）  [Huawei-LoopBack0]ip address 1.1.1.1 32 管理网口配备：  注意：华为互换机有单独管理网口，不占用机器配备表中网口  interface MEth0/0/1 //标记有ETH单独RJ45网口  ip address 192.168.5.250 24 //设立管理网口ip地址和掩码 汇聚互换机管理IP配备网关vlanif已在核心互换机内 在汇聚互换机中新加和核心互换机中同样vlanif 。并分派IP（网段同网关） 4.命令行基本(2) 云配备：udp （入口）1－－－绑定vmware仅主机网卡（出口）2  要做port映射  1－2 双向 2－1 双向 display version  查看路由器基本信息  display interface GigabitEthernet 0/0/0  查看接口状态信息  display ip interface brief  查看所有接口IP简要信息。含IP地址  display ip routing-table  查看路由表  display current-configuration  查看当前配备（内存中）  display saved-configuration  查看保存配备（Flash中）  dir flash:  查看Flash中文献  save  保存配备文献  reboot  重新启动设备 telnet实验（參照上面命令）  3A认证（不同顾客不同password）  user-interface vty 0 4  authentication-mode aaa ；差别password  user privilege level 15  aaa  local-user admin password cipher huawei ;建顾客并给password  local-user admin privilege level 15  local-user admin service-type telnet ；类型 telnet登录后使用dis users 可查看当前登录顾客 抓包可以分析出telnetpassword“Follow TCP Stream” 5.VRP文献系统基本 cd 变化文献夹 more 查看文献内容 copy 复制 copy flash:/vrpcfg.zip vrpcfg.zip （拷贝根文献夹“需加flash”下配备文献到当前文献夹） move 移动 delete 删除 rename 改名 undelete 恢复回收站文献 pwd显示途径 mkdir 创立文献夹 rmdir 删除文献夹 format 格式化 fixdisk 修复文献系统 save 生成cfg.zip display saved显示保存配备 display cur 显示当前配备 reset saved 删除保存配备 + reboot 第一次Ｎ　　　＝＝＝＝＝＝＝＝＝＝　　设备复位 compare configuration 比較配备文献差别 删除/永久删除文献  delete /unreserved （dir /all 可查看回收站文献）  恢复删除文献  undelete  彻底删除回收站中文献  reset recycle-bin 载入不同配备文献  dis startup 。查看开机信息，当中有载入配备文献途径  startup saved-configuration flash:/a.zip ；更改启动配备文献 比較当前配备与下次启动配备  compare configuration 6.VRP系统管理(1) 路由器做为client : ftp (FTPserver地址) get vrp.cc 下载文献到ftp  put vrp.zip 上传文献到ftp TFTP有关  tftp 10.0.1.184 put（get） vrpcfg.zip 7.VRP系统管理(2) 第二章　静态路由  8.IP路由原理、静态路由基本配备 路由来源：  直连路由：链路层发现路由（direct）  管理员手工增长：静态路由 （static）  路由器合同学到路由：动态路由 （ospf rip） 静态路由特点：  优：实现简朴，精准控制，不占资源  缺：不合用大型网络，网络变更须要手动改 dis ip routing-table ；查看路由表，直连11条 ip route-static 192.168.23.0 24 Serial 1/0/0 192.168.12.2  目 通过（本路由出口） 下一跳（下一路由入口） 9.静态路由进一步分析  优先级pre：直连最大0 －－－－OSPF－－－静态  度量值cost：同一路由下。选取最小开销（多因素）途径 以上參数。值越小，优先级越高 匹配原则：目地址和路由表掩码做与。再比較路由中“目地址”－－－优先挑掩码大做匹配 下一跳写法：  点对点：可以省略下一跳；  以太网：可以省略出接口； dis fib ；终于採纳路由表 递归查询（带R标志）：通过中间多次查询。终于到达目地址 缺省路由：0.0.0.0 0.0.0.0 网关 ；目和子网掩码都为0路由，上互联网均有这条 10.负载分担、路由备份  双线路负载（2条线路同一时候工作）：平时2条静态方向不同路由表，可以达到负载作用； 浮动路由（路由备份，平时仅仅有一条线路工作）：通过当中一条设立成低优先级（增长路由时加preference）路由，变成浮动（路由表中看不到），出问题才浮现 dis ip routing-table 192.168.4.0 verbose ；查看某一目路由详细信息 第三章　RIP 11.动态路由合同基本 常用动态路由合同有：  RIP：Routing Information Protocol。路由信息合同。  OSPF：Open Shortest Path First。开放式最短途径优先。 ISIS： Intermediate System to Intermediate System，中间系统到中间系统。 BGP：Border Gateway Protocol，边界网关合同。 分类：  自治系统内部路由合同—— IGP：RIPv1/v2、OSPF、ISIS  自治系统之间路由合同 —— EGP：BGP 单播，组播 不同路由合同不能直接互相学习，但可以通过路由引入来导入不同合同 12.RIP简介及基本配备 度量值：跳；最多不可以超过15跳 2个路由学习时，更新是一种方向。学回后路由指向是相反方向 RIP1.0 ： UDP：520port 工作在应用层 RIP 基本配备  rip  network 10.0.0.0 ;仅仅支持主类网络 10.0.1.254 必要写成10.0.0.0 rip 1 ；进入有关进程  silent-interface GigabitEthernet0/0/0 。静默（关闭）某接口发送 第四章　OSPF 20.OSPF基本原理及基本配备 开放式最短途径优先（OSPF）  链路状态路由合同  无环路  收敛快  扩展性好  支持认证 OSPF报文封装在IP报文中，合同号为89。 OSPF工作原理：路由通过LSA泛洪－－－收集到路由数据库（LSDB）－－－通过SPF算法－－－根据自身算出最短路由 （互换不是路由表，而是数据库） hello报文建立邻居关系－－－邻接（同步数据库，full状态） OSPF区域：分区域为了减小数据大小 配备办法：  ospf  area 0。进入到0区域  network 10.1.1.0 0.0.0.255（代表10.1.1.0网段） ;把该路由器上地址为10.1.1.X 网段接口应用ospf,有2个方向就要有2个network 同等 10.1.0.0 0.0.255.255 同等 0.0.0.0 255.255.255.255 dis ospf peer brief ；查看ospf邻居信息 第七章　訪问控制列表 35.基本ACL简介  ACL是用来实现流辨认功能。 ACL（Access Control List，訪问控制列表）是定义好一组规则集合，通经常使用于:  标记感兴趣网络流量  过滤通过路由器数据包 分类：  基本ACL：～2999 报文源IP地址  高档ACL：3000～3999 报文源IP地址、目IP地址、报文优先级、IP承载合同类型及特性等三、四层信息 配备ACL过程：事实上就是告诉路由器批准或者回绝某些数据包 ACL难点：通配符、语句顺序、方向性 单台：  rule 10 permit source 10.1.1.1 0.0.0.0  批准来自10.1.1.1主机IP数据包通过  rule 10 deny source 10.1.1.2 0.0.0.0  回绝自10.1.1.2主机IP数据包通过 多台：  rule 10 permit source 10.0.0.0 0.255.255.255  批准来自IP地址为10.×.×.×（即IP地址第一种字节为10）主机数据包通过。 样例： 批准来自10.0.0.0/255.255.255.0IP数据包通过  rule 5 permit source 10.0.0.0 0.0.0.255 ；掩码位反过来（简朴0和25。复杂）  复杂255.224.0.0 写话主是 0.31.255.255 224相应机器数32－1＝31 特殊通配符掩码 0 关怀位 255 不关怀位X  1.permit source any  = permit source 0.0.0.0 255.255.255.255  = permit  2.permit source 172.30.16.29 0 某一详细主机  = permit source 172.30.16.29 0.0.0.0 ACL顺序匹配：一但匹配成功，背面列表将不再检查（比較苛刻放前面）  未命中规则（一条都不匹配）：不同模块解决不同样。 假设是转发模块。则转发数据包；假设是telnet模块，则不批准;假设是路由过滤，不批准路由通过。 禁止192.168.1.1－192.168.1.100思路   PS：最后一条，96应当是100 样例：  acl   rule………………..  int gi0/0/0 ;进入有关接口  traffic-filter inbound acl ；应用到有关接口 dis acl 。查看  dis traffic-filter applied-record ；查看接口（方向）应用了哪个列表 36.基本ACL应用案例 禁止telnet ：  user-interface vty 0 4 ；进到vty  acl 2999 inbound 。应用到该接口，和物理接口有差别 rule primit ；ACL中加这名是由于，ACL匹配未成功后。telnet模块。不批准通过数据包 telnet -a 10.2.2.1 192.168.12.1 。－a參数。以指定IP源telnet 时间控制：  time-range work-time 9:0 to 18:00 working-day 6 。定义“work-time” 星期一到六  acl   rule deny time-range worktime ；上班时间不批准上网  rule permit 禁止学习某路由表；  rip 1 。 进到有关rip  filter-policy（过滤方略） export ;为定义acl 。export 代表向外发布；import代表我要学习 自己积极让匹配宽松放前面，苛刻放背面  acl 2200 match-order auto 37.高档ACL  acl number 3000 ;高档  rule 5 permit tcp destination 172.2.0.250 0 destination-port eq www  ；批准所有机器TCP訪问目的机器www 服务  rule 10 deny ip destination 172.2.0.250 0 ；回绝所有IP合同（涉及icmp）訪问 traffic-filter inbound acl 3000；进入port。并应用 ACL放置位置 基本ACL尽量接近目  高档ACL尽量接近源 内可以ping外，外不可以ping内（ping 分析： 去类型为：echo 回类型为：echo-reply）  acl number 3000  rule 5 deny icmp icmp-type echo  rule 10 permit ip  traffic-filter inbound acl 3000 内可以telnet外，外不可以telnet内（tcp三次握手，第一种包不带ack位）  rule 8 permit tcp tcp-flag ack ；放行带ack  rule 9 deny tcp ；回绝不带ack 第八章　网络地址转换 38.静态NAT、动态NAT 静态nat 和外网地址一一相应，n–n 不能减少公网地址； 环回口配备  int lookback 1  ip add 192.168.1.1 ip route-static 0.0.0.0 0 gi0/0/1 61.0.0.2 。要上网路由需加路由表 静态nat配备  int gi0/0/1 ；进入外网接口  nat static global 61.0.0.11（公网IP，不一定是接口IP） inside 192.168.1.1  特点：发包源IP地址转换 收包目IP地址转换  dis nat static ;查看静态nat 动态nat配备  int gi0/0/1 ；进入外网接口  acl ;定义acl编号  rule permit 192.168.1.0 0.0.0.255 ；地址范畴内网  nat address-group 1 61.0.0.11 61.0.0.20 ；外网地址范畴  nat outbound address-group 1 no-pat 。先内后外 no-pat 不做port转换  特点：100对50 仅仅能节约某些地址  dis nat session all ;显示 nat 转换状况 39.PAT、NATserver NAPT or PAT （port地址转换） ：动态port转换  设立同动态NAT  nat outbound address-group 1 ；先内后外 与动态NAT差别：no-pat Easy IP 配备 （家庭使用，没有固定IP）  nat outbound ；仅仅指定源IP port映射  nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080 第一十一章　互换基本、VLAN 50.VLAN原理和配备  简朴vlan配备  vlan 10 。创立 valn  dis vlan  dis port vlan ；接口vlan状态  int eth0/0/0  port type-link access ；接口类型  port default vlan 10 ；配备 Accessport在收到数据后会增长VLAN Tag。VLAN ID和portPVID同样。  Accessport在转发数据前会移除VLAN Tag。 当Trunkport收到帧时，假设该帧不涉及Tag，将打上portPVID；假设该帧涉及Tag，则不变化。  当Trunkport发送帧时。该帧VLAN ID在Trunk批准发送列表中：若与portPVID（trunk2端pvid必要同样，默认是1）同样时。则剥离Tag发送；若与portPVID不同一时候，则直接发送。 vlan batch 10 20 30 ；批量10 to 30 （10，11。12.…………30） 配备Trunk  int gi0/0/1  port link-type trunk  port trunk allow-pass vlan all ；批准通过vlan  port trunk pvid vlan 1 ；变化pvid ,默认是1 dis port vlan active ;查看trunk接口与否打标记，T or U PS：取消Trunk  undo port trunk allow-pass vlan all  port trunk allow-pass vlan 1  port link-type access 51.Hybrid接口 訪port可以连无论什么设备 第一十三章　VLAN间路由、VRRP 58.单臂路由实现VLAN间路由 每一种vlan一种物理连接（一条线）  互换机与路由2根线（有几种VLAN就有几根线） PS：缺陷  互换机端：该端配备和“客户port”同样  路由端：仅仅需配IP（网关） 单臂路由 将互换机和路由器之间链路配备为Trunk链路。并且在路由器上创立子接口以支持VLAN路由。 互换机端：配备trunk  路由器端：  [RTA]interface GigabitEthernet0/0/1.1 ；定义子接口  [RTA-GigabitEthernet0/0/1.1]dot1q termination vid 2 。分派VLAN  [RTA-GigabitEthernet0/0/1.1]ip address 192.168.2.254 24 ；配备网关  [RTA-GigabitEthernet0/0/1.1]arp broadcast enable 。启动ARP广播 59.三层互换实现VLAN间路由 2层+路由器 路由配虚拟portvlan 和网关  [SWA]interface vlanif 2 ； 2同有关VLAN号  [SWA-Vlanif2]ip address 192.168.2.254 24 ；网关PS：该地址不能在其她VLAN网段中浮现 复杂模式：三层接二层（带管理）  中间设立成trunk，三层也要建和二层有关VLAN。int vlanif放在三层上。 第一十四章　互换机port技术  63链路聚合(手工模式) [SWA]interface Eth-Trunk 1  [SWA-Eth-Trunk1]interface GigabitEthernet0/0/1  [SWA-GigabitEthernet0/0/1]eth-trunk 1  [SWA-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2  [SWA-GigabitEthernet0/0/2]eth-trunk 1 dis eth-trunk 1 ；查看链路 PS：trunkport下做链路聚合办法：先做链路聚合，然后在int eth-trunk 数字下做Trunk 72.防火墙技术 依照防火墙实现方式。普通把防火墙分为例如如下几类：  包过滤防火墙：简朴。每一种包都要检查。缺少灵活性。方略多影响性能  代理型防火墙：安全，但不以便，针对性强（http代理）。不通用  状态检測防火墙：基于连接状态，结合以上2种防火墙长处 仅仅防网络层和传播层。不防应用层（比喻站点漏洞）。  防外不防内； 防火墙安全区域： Local（100网网）－－－－Trust（85外网）  －－－－－DMZ（50WEBserver）  高可以訪问低，低不可以訪问高 配备思路  配备安全区域和安全域间。 将接口增长安全区域。  配备ACL。  在安全域间配备基于ACL包过滤。 1.在AR2200上配备安全区域和安全域间  system-view  [Huawei] firewall zone trust  [Huawei-zone-trust] priority 15  [Huawei-zone-trust] quit  [Huawei] firewall zone untrust  [Huawei-zone-untrust] priority 1  [Huawei-zone-untrust] quit  [Huawei] firewall interzone trust untrust 。配备（进入）域间  [Huawei-interzone-trust-untrust] firewall enable 。启动该域间防火墙  [Huawei-interzone-trust-untrust] quit 2.在AR2200上将接口增长安全区域  int gi0/0/1  zone OUTSIDE ；有关接口增长到有关区域（华为防火墙：假设不增长话。与之相连PC不能訪问该port，和路由有差别） PS：以上此外等价办法  firewall zone trust ；进入有关区域  add int gi0/0/1 。增长有关port PS： dis firewall session all ；查看防火墙所有会话信息 3.在AR2200上配备ACL （批准外网可以telnet内网）  acl 3001  rule permit tcp destination 192.168.1.100 0 destination-port eq 23 ；批准telnet  firewall interzone INSIDE OUTSIDE 。进入有关域间  packet-filter 3001 inbound；应用有关acl FTP积极（FTP自身），被动（client）模式 内网訪问外网FTP。FTP积极模式（PORT）不能传数据（经常外网FTPserver訪问不了，FTP下载软件要改成被动模式），但被动模式（PASV）可以訪问 ASPF配备工作在应用层，检測http、FTP等，可觉得这些合同打开放行通道  firewall interzone INSIDE OUTSIDE；进入到有关区域  detect aspf all ；启动检測