华为笔记
第二章华为综合实验
- 每个eth-trunk接口下最多可以包含8个成员接口(默认hybrid接口)
- 一个eth-trunk 接口中的成员接口必须是同一类型(FE和CE不能同时加入eth-trunk)
- 成员接口速率不一致时,速率不同可能出现拥塞,导致丢包
4.在华为中RIP宣告网络号只能以标准方式宣告既10.0.0.0(标准)
第三章交换技术
1.Hybid 是一个工作在二层的接口技术,可以对数据帧打vlan标签或不打标签
2.Vlan:划分不同广播域,vlan中主机可以通信,vlan与vlan之间不能通信
3.华为交换机接口默认为hybrid接口(可以实现access接口功能 也可以实现trunk功能)
4.不借助三层设备便可实现跨vlan通信访问,可以实现二层的隔离与互通
MSTP:实现负载均衡
Mstp三种端口状态:
Forwarding状态:端口转发用户流量,有接收/发送BPDU报文
Learing:过渡不转发用户流量,有接收/发送BPDU报文
Discrding:接收BPDU报文
Mstp配置
[sw1]stp mode mstp 改成mstp模式
[sw1]stp region-configuration 进入mstp模式
[sw1-mst-region]region-name huawei 配置域名
[sw1-mst-region]revision-level 1 配置版本等级
[sw1-mst-region]instance 1 vlan 10 将vlan10加入实例1
[sw1-mst-region]instance 2 vlan 20 将vlan20加入实例2
[sw1-mst-region]active region-configuration **配置
Info: This operation may take a few seconds. Please wait for a moment...done.
[sw1-mst-region]quit
[sw1]stp instance 1 root primary 配置是实例1主根
[sw1]stp instance 2 root secondary 配置是实例1备根
第四章BGP
- BGP邻居关系类型:
IBGP中大致可以分为两种邻居关系:IBGP EBGP
IBGP:同一个AS内部的关系:要打标记,设OSPF,把ospf重分发到BGP中
EBGP:AS与AS之间的关系
AS号相同的就是IBGP不同的就是EBGP
[R1]bgp 100 进入bgp 本端AS号为100
[R1-bgp]router-id 1.1.1.1 设router id
[R1-bgp]peer 12.1.1.2 as-number 200 和12.1.1.2建立邻居关系(AS不同EBGP)
[R2]ospf 100 进入ospf
[R2-ospf-100]area 0 进入area0区域
[R2-ospf-100-area-0.0.0.0]network 14.1.1.0 0.0.0.255 宣告网络号
[R2]bgp 200 进入bgp 本端AS号为200
[R2-bgp]router-id 2.2.2.2 设router id
[R2-bgp]peer 14.1.1.4 as-number 200于14.1.1.4建立邻居关系(AS相同 IBGP)
[R2-bgp]peer 14.1.1.4 next-hop-local 打标记
[R2-bgp]import-route ospf 100 把ospf重分发到BGP中
第五章华为防火墙
在ENSP实验时,不能使用g0/0/0接口(拼不通)
1.华为防火墙三种工作模式:路由模式,透明模式,混合模式
2.华为防火墙区域划分
(1)Trust区域:优先级85 内部网路
(2)Dmz区域:优先级50 介于trust UNtrust 区域之间
(3)Untrust区域:优先级5 外部网络
(4)Local区域:优先级100 本地区域,防火墙本身
3.防火墙的inbound outbound
(1)入方向inbound:数据由低安全区域向高安全区域如:trust区域(优先级85)向untrust区域(优先级5)
(2)出方向:outbound:数据由高安全区域向低安全区域如:dmz区域(优先级50)向trust区域(优先级85)
4.安全策略:默认情况下所有区域间通信都被拒绝包括outbound区域,必须通过配置安全策略放行所需流量
5.防火墙默认情况下特点:
(1)接口没有加入域之前不能转发报文
(2)在USG6000系列防火墙默认是没有安全策略的,不管什么区域之间互相访问,都必须配置安全策略,除非是同一区域报文传送
远程管理telnet
################# 接口配置和打开Telnet服务####
<USG6000V1>sys
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.32.10 24配置接口IP地址
[USG6000V1-GigabitEthernet0/0/0]q
[USG6000V1]telnet service enable 打开防火墙Telnet功能
配置防火墙允许远程管理
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage en 配置接口管理
[USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit 允许Telnet
[USG6000V1-GigabitEthernet0/0/0]q
#########将接口加入trust安全区域#######
[USG6000V1]firewall zone trust 进入trust区域
[USG6000V1-zone-trust]add interface G 0/0/0 将接口加入trust区域
配置安全策略
为什么要配?
Telnet流量属于防火墙自身流量,
如果是CRT连接过来是trust到local区,由低到高,所哟要配策略
[USG6000V1]security-policy 配置域间包过滤
[USG6000V1-policy-security]rule name allow_telnet 配置规则用telnet访问
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust 用trust区域
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local 访问local区域
[USG6000V1-policy-security-rule-allow_telnet]action permit 允许访问
[USG6000V1-policy-security-rule-allow_telnet]q
[USG6000V1-policy-security]q
配置认证模块
[USG6000V1]user-interface vty 0 4 进入vty模式
[USG6000V1-ui-vty0-4]authentication-mode aaa 三a
[USG6000V1-ui-vty0-4]protocol inbound telnet 从低访问高(inbound)用telnet
[USG6000V1-ui-vty0-4]q
[USG6000V1]aaa
[USG6000V1-aaa]manager-user bdqn 用户名
[USG6000V1-aaa-manager-user-bdqn]password cipher [email protected] 密码
[USG6000V1-aaa-manager-user-bdqn]service-type telnet 服务类型
[USG6000V1-aaa-manager-user-bdqn]level 3 用户级别
[USG6000V1-aaa-manager-user-bdqn]q
#####验证测试######
CRT 配置192.168.32.10 Telnet
第六章NAT
1.NAT分类:
No-PAT:类似于Cisco动态地址转换,只转换源ip地址不转换端口号,属于多对多转换,适应于上网用户少,公网地址不够情况下。
NAPT:类似于Cisco的PAT转换,即转换源地址又转换源端口,转换后地址不能是外网接口ip地址,属于多对一或多对多,节约ip地址,使用场景多。
出口接口地址(Easy-IP):即转换源地址又转换源端口,属于多对一,节约ip地址,适应于没有额外公网地址。
- 黑洞路由:no-PAT要配,NAPT要配 Easy-IP不用配
NPAT配置命令
把接口加入各自区域
[FW1]firewall zone trust 进入trust区域
[FW1-zone-trust]add int g1/0/1 把内网接口加入trust区
[FW1]firewall zone untrust 进入untrust区域
[FW1-zone-untrust]add int g1/0/0 把外网接口加入untrust区域
配置安全策略
[FW1]security-policy 进入策略
[FW1-policy-security]rule name trust_untrust 取名
[FW1-policy-security-rule-trust_untrust]source-zone trust 指定条件trust区域
[FW1-policy-security-rule-trust_untrust]destination-zone untrust 访问untrust区域
[FW1-policy-security-rule-trust_untrust]source-address 192.168.1.0 24 指定条件192.168.1.0网段转换
[FW1-policy-security-rule-trust_untrust]action permit 允许
配置NAT地址组,地址组中地址对应公网地址
[FW1]nat address-group natgroup 配置NAT地址组,取名
[FW1-address-group-natgroup]section 0 202.96.1.10 202.96.1.11 转换的两个地址
[FW1-address-group-natgroup]mode pat 指定模式PAT(NPAT)
配置NAT策略
[FW1]nat-policy 进入NAT
[FW1-policy-nat]rule name natpolicy 取名
[FW1-policy-nat-rule-natpolicy]source-zone trust 指定条件 trust区域
[FW1-policy-nat-rule-natpolicy]destination-zone untrust 访问untrust区域
[FW1-policy-nat-rule-natpolicy]source-address 192.168.1.0 24 指定条件192.168.1.0网段转换
[FW1-policy-nat-rule-natpolicy]action nat address-group natgroup
黑洞路由(对转换后的地址)
[FW1]ip route-static 202.96.1.10 32 NULL 0
[FW1]ip route-static 202.96.1.11 32 NULL 0
配置NO-PAT(模式改了就变成no-pat)
[FW1-address-group-natgroup]mode no-pat local
第七章双机热备
VRRP概述:用来解决网关单点故障的路由协议,可以在路由器中提供网关冗余,也可以在防火墙中作双机热备。
配置VRRP
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 192.168.10.100 active
[FW1-GigabitEthernet1/0/0]int g1/0/2
[FW1-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 192.168.20.100 active
[FW1-GigabitEthernet1/0/2]q
[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 192.168.10.100 standby
[FW2-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 192.168.20.100 standby
[FW2-GigabitEthernet1/0/2]q
置心跳接口(对方的ip地址)
[FW1-GigabitEthernet1/0/2]q
[FW1]hrp int g1/0/1 remote 172.168.1.2
[FW2-GigabitEthernet1/0/2]q
[FW2]hrp int g1/0/2 remote 172.168.1.1
开启hrp 配置备份方式
[FW1]hrp enable 开启双机热备
HRP_S[FW1]hrp auto-sync 备份
HRP_S[FW2]dis hrp state 查看信息状态