華為HCNA教程（筆記）

第一章　VRP操作基礎
1VRP基礎

MiniUsb串口連接交換機的方法

2eNSP入門

3命令行基礎(1)
eNSP中路由開啟后（記住port）－－－第三方軟件連接該路由方法：telnet 127.0.0.1 port

用戶視圖（文件）—–系統視圖（系統sys）——接口視圖（接口 interface GigabitEthernet 0/0/0）——協議視圖（路由）

display hotkey 顯示功能鍵
display clock 顯示時間
clock timezone CST add 8 設置時區（先設時區再設時間）
clock datetime 設置時間

header login information #
內容

登錄前信息

header shell information 登錄后信息（格式同上）Ctrl+] 能夠退出查看該信息

用戶權限15 命令權限3
為console口配置password：
user-interface console 0 。進入到相應口
authentication-mode password ；認證模式為passwork
set authentication password cipher huawei ;設置password（路由器不須要）

為vty（telnet）設置password
user-interface vty 0 4
其他同上
user privilege level 3；用戶命令等級3（管理員）PS：console不用

dis history-command；顯示歷史命令

為接口配置2個IP地址（限路由）
system-view
[Huawei]interface gigabitethernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.0.12.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0]interface loopback 0 。環回接口（邏輯接口）
[Huawei-LoopBack0]ip address 1.1.1.1 32

管理網口配置：
注意：華為交換機有單獨的管理網口，不占用機器配置表中的網口
interface MEth0/0/1 //標識有ETH的單獨的RJ45網口
ip address 192.168.5.250 24 //設置管理網口的ip地址和掩碼

匯聚交換機管理IP配置網關vlanif已在核心交換機內

在匯聚交換機中新加和核心交換機中同樣vlanif 。並分配IP（網段同網關）

4.命令行基礎(2)

雲配置：udp （入口）1－－－綁定vmware僅主機網卡（出口）2
要做port映射
1－2 雙向 2－1 雙向

display version
查看路由器基本信息
display interface GigabitEthernet 0/0/0
查看接口狀態信息
display ip interface brief
查看全部接口的IP簡要信息。含IP地址
display ip routing-table
查看路由表
display current-configuration
查看當前的配置（內存中）
display saved-configuration
查看保存的配置（Flash中）
dir flash:
查看Flash中的文件
save
保存配置文件
reboot
重新啟動設備

telnet實驗（參照上面命令）
3A認證（不同用戶不同password）
user-interface vty 0 4
authentication-mode aaa ；差別password
user privilege level 15
aaa
local-user admin password cipher huawei ;建用戶並給password
local-user admin privilege level 15
local-user admin service-type telnet ；類型

telnet登錄后使用dis users 可查看當前登錄用戶

抓包能夠分析出telnet的password“Follow TCP Stream”

5.VRP文件系統基礎

cd 改變文件夾

more 查看文件內容

copy 復制 copy flash:/vrpcfg.zip vrpcfg.zip （拷貝根文件夾“需加flash”下的配置文件到當前文件夾）

move 移動

delete 刪除

rename 改名

undelete 恢復回收站的文件

pwd顯示路徑

mkdir 創建文件夾

rmdir 刪除文件夾

format 格式化

fixdisk 修復文件系統

save 生成cfg.zip

display saved顯示保存配置

display cur 顯示當前配置

reset saved 刪除保存配置 + reboot 第一次Ｎ　　　＝＝＝＝＝＝＝＝＝＝　　設備復位

compare configuration 比較配置文件差別

刪除/永久刪除文件
delete /unreserved （dir /all 可查看回收站的文件）
恢復刪除的文件
undelete
徹底刪除回收站中的文件
reset recycle-bin

載入不同的配置文件
dis startup 。查看開機信息，當中有載入配置文件的路徑
startup saved-configuration flash:/a.zip ；更改啟動配置文件

比較當前配置與下次啟動的配置
compare configuration

6.VRP系統管理(1)

路由器做為client :

ftp (FTPserver地址)

get vrp.cc 下載文件到ftp
put vrp.zip 上傳文件到ftp

TFTP相關
tftp 10.0.1.184 put（get） vrpcfg.zip

7.VRP系統管理(2)

第二章　靜態路由
8.IP路由原理、靜態路由基本配置

路由的來源：
直連路由：鏈路層發現的路由（direct）
管理員手工增加：靜態路由 （static）
路由器協議學到的路由：動態路由 （ospf rip）

靜態路由特點：
優：實現簡單，精確控制，不占資源
缺：不適用大型網絡，網絡變更須要手動改

dis ip routing-table ；查看路由表，直連11條

ip route-static 192.168.23.0 24 Serial 1/0/0 192.168.12.2
目的 經過（本路由出口） 下一跳（下一路由入口）

9.靜態路由深入分析
優先級pre：直連最大0 －－－－OSPF－－－靜態
度量值cost：同一路由下。選擇最小開銷（多因素）的路徑

以上參數。值越小，優先級越高

匹配原則：目的地址和路由表的掩碼做與。再比較路由中的“目的地址”－－－優先挑掩碼大的做匹配

下一跳寫法：
點對點：能夠省略下一跳；
以太網：能夠省略出接口；

dis fib ；終於採納的路由表

遞歸查詢（帶R標志）：經過中間多次查詢。終於到達目的地址

缺省路由：0.0.0.0 0.0.0.0 網關 ；目的和子網掩碼都為0的路由，上互聯網都有這條

10.負載分擔、路由備份
雙線路負載（2條線路同一時候工作）：平時2條靜態方向不同的路由表，能夠達到負載的作用；

浮動路由（路由備份，平時僅僅有一條線路工作）：通過當中一條設置成低優先級（增加路由時加preference）的路由，變成浮動（路由表中看不到），出問題才出現

dis ip routing-table 192.168.4.0 verbose ；查看某一目的路由的具體信息

第三章　RIP

11.動態路由協議基礎

常見的動態路由協議有：
RIP：Routing Information Protocol。路由信息協議。
OSPF：Open Shortest Path First。開放式最短路徑優先。

ISIS： Intermediate System to Intermediate System，中間系統到中間系統。

BGP：Border Gateway Protocol，邊界網關協議。

分類：
自治系統內部的路由協議—— IGP：RIPv1/v2、OSPF、ISIS
自治系統之間的路由協議 —— EGP：BGP

單播，組播

不同路由協議不能直接互相學習，但能夠通過路由引入來導入不同的協議

12.RIP簡介及基本配置

度量值：跳；最多不能夠超過15跳

2個路由學習時，更新是一個方向。學回后的路由指向是相反方向

RIP1.0 ： UDP：520port 工作在應用層

RIP 基本配置
rip
network 10.0.0.0 ;僅僅支持主類網絡 10.0.1.254 必須寫成10.0.0.0

rip 1 ；進入相關進程
silent-interface GigabitEthernet0/0/0 。靜默（關閉）某接口發送

第四章　OSPF

20.OSPF基本原理及基本配置

開放式最短路徑優先（OSPF）
鏈路狀態路由協議
無環路
收斂快
擴展性好
支持認證

OSPF報文封裝在IP報文中，協議號為89。

OSPF工作原理：路由通過LSA泛洪－－－收集到路由數據庫（LSDB）－－－通過SPF算法－－－依據自身算出最短路由 （交換的不是路由表，而是數據庫）

hello報文建立鄰居關系－－－鄰接（同步數據庫，full狀態）

OSPF區域：分區域為了減小數據大小

配置方法：
ospf
area 0。進入到0區域
network 10.1.1.0 0.0.0.255（代表10.1.1.0網段） ;把該路由器上地址為10.1.1.X 網段的接口應用ospf,有2個方向就要有2個network

同等 10.1.0.0 0.0.255.255 同等 0.0.0.0 255.255.255.255

dis ospf peer brief ；查看ospf鄰居信息

第七章　訪問控制列表

35.基本ACL介紹
ACL是用來實現流識別功能的。

ACL（Access Control List，訪問控制列表）是定義好的一組規則的集合，通經常使用於:
標識感興趣網絡流量
過濾經過路由器的數據包

分類：
基本ACL：2000～2999 報文的源IP地址
高級ACL：3000～3999 報文的源IP地址、目的IP地址、報文優先級、IP承載的協議類型及特性等三、四層信息

配置ACL的過程：實際上就是告訴路由器同意或者拒絕某些數據包

ACL難點：通配符、語句順序、方向性

單台：
rule 10 permit source 10.1.1.1 0.0.0.0
同意來自10.1.1.1主機的IP數據包通過
rule 10 deny source 10.1.1.2 0.0.0.0
拒絕自10.1.1.2主機的IP數據包通過

多台：
rule 10 permit source 10.0.0.0 0.255.255.255
同意來自IP地址為10.×.×.×（即IP地址的第一個字節為10）的主機的數據包通過。

樣例：

同意來自10.0.0.0/255.255.255.0的IP數據包通過
rule 5 permit source 10.0.0.0 0.0.0.255 ；掩碼位反過來（簡單的0和25。復雜）
復雜255.224.0.0 寫的話主是 0.31.255.255 224相應機器數32－1＝31

特殊的通配符掩碼 0 關心位 255 不關心位X
1.permit source any
= permit source 0.0.0.0 255.255.255.255
= permit
2.permit source 172.30.16.29 0 某一具體主機
= permit source 172.30.16.29 0.0.0.0

ACL順序匹配：一但匹配成功，后面的列表將不再檢查（比較苛刻的放前面）
未命中規則（一條都不匹配）：不同模塊處理不一樣。

假設是轉發模塊。則轉發數據包；假設是telnet模塊，則不同意;假設是路由過濾，不同意路由通過。

禁止192.168.1.1－192.168.1.100思路

PS：最后一條，96應該是100

樣例：
acl 2000
rule………………..
int gi0/0/0 ;進入相關接口
traffic-filter inbound acl 2000 ；應用到相關接口

dis acl 2000 。查看
dis traffic-filter applied-record ；查看接口（方向）應用了哪個列表

36.基本ACL應用案例

禁止telnet ：
user-interface vty 0 4 ；進到vty
acl 2999 inbound 。應用到該接口，和物理接口有差別

rule primit ; ACL中加這名是由於，ACL匹配未成功后。telnet模塊。不同意通過數據包

telnet -a 10.2.2.1 192.168.12.1 。－a參數。以指定IP源telnet

時間控制：
time-range work-time 9:0 to 18:00 working-day 6 。定義“work-time” 星期一到六
acl 2001
rule deny time-range worktime ；上班時間不同意上網
rule permit

禁止學習某路由表；
rip 1 。 進到相關rip
filter-policy（過濾策略） 2000 export ;2000為定義的acl 。export 代表向外公布；import代表我要學習

自己主動讓匹配寬松的放前面，苛刻的放后面
acl 2200 match-order auto

37.高級ACL
acl number 3000 ;高級
rule 5 permit tcp destination 172.2.0.250 0 destination-port eq www
；同意全部機器TCP訪問目標機器的www 服務
rule 10 deny ip destination 172.2.0.250 0 ；拒絕全部的IP協議（包括icmp）訪問

traffic-filter inbound acl 3000；進入port。並應用

ACL放置位置

基本ACL盡可能靠近目的
高級ACL盡可能靠近源

內能夠ping外，外不能夠ping內（ping 分析： 去類型為：echo 回類型為：echo-reply）
acl number 3000
rule 5 deny icmp icmp-type echo
rule 10 permit ip
traffic-filter inbound acl 3000

內能夠telnet外，外不能夠telnet內（tcp三次握手，第一個包不帶ack位）
rule 8 permit tcp tcp-flag ack ；放行帶ack的
rule 9 deny tcp ；拒絕不帶ack的

第八章　網絡地址轉換

38.靜態NAT、動態NAT

靜態nat 和外網地址一一相應，n–n 不能降低公網地址；

環回口配置
int lookback 1
ip add 192.168.1.1

ip route-static 0.0.0.0 0 gi0/0/1 61.0.0.2 。要上網的路由需加的路由表

靜態nat配置
int gi0/0/1 ；進入外網接口
nat static global 61.0.0.11（公網IP，不一定是接口IP） inside 192.168.1.1
特點：發包源IP地址轉換 收包目的IP地址轉換
dis nat static ;查看靜態nat

動態nat配置
int gi0/0/1 ；進入外網接口
acl 2000 ;定義acl編號
rule permit 192.168.1.0 0.0.0.255 ；地址范圍內網
nat address-group 1 61.0.0.11 61.0.0.20 ；外網地址范圍
nat outbound 2000 address-group 1 no-pat 。先內后外 no-pat 不做port轉換
特點：100對50 僅僅能節省部分地址
dis nat session all ;顯示 nat 轉換情況

39.PAT、NATserver

NAPT or PAT （port地址轉換） ：動態port轉換
設置同動態NAT
nat outbound 2000 address-group 1 ；先內后外 與動態NAT差別：no-pat

Easy IP 配置 （家庭使用，沒有固定IP）
nat outbound 2000 ；僅僅指定源IP

port映射
nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080

第一十一章　交換基礎、VLAN

50.VLAN原理和配置
簡單vlan配置
vlan 10 。創建 valn
dis vlan
dis port vlan ；接口vlan狀態
int eth0/0/0
port type-link access ；接口類型
port default vlan 10 ；配置

Accessport在收到數據后會增加VLAN Tag。VLAN ID和port的PVID同樣。
Accessport在轉發數據前會移除VLAN Tag。

當Trunkport收到幀時，假設該幀不包括Tag，將打上port的PVID；假設該幀包括Tag，則不改變。
當Trunkport發送幀時。該幀的VLAN ID在Trunk的同意發送列表中：若與port的PVID（trunk2端pvid必須同樣，默認是1）同樣時。則剝離Tag發送；若與port的PVID不同一時候，則直接發送。

vlan batch 10 20 30 ; 批量10 to 30 （10，11。12.…………30）

配置Trunk
int gi0/0/1
port link-type trunk
port trunk allow-pass vlan all ；同意通過的vlan
port trunk pvid vlan 1 ；改變pvid ,默認是1

dis port vlan active ;查看trunk接口是否打標記，T or U

PS：取消Trunk
undo port trunk allow-pass vlan all
port trunk allow-pass vlan 1
port link-type access

51.Hybrid接口

訪port能夠連不論什么設備

第一十三章　VLAN間路由、VRRP

58.單臂路由實現VLAN間路由

每一個vlan一個物理連接（一條線）
交換機與路由2根線（有幾個VLAN就有幾根線） PS：缺點
交換機端：該端配置和“客戶port”同樣
路由端：僅僅需配IP（網關）

單臂路由

將交換機和路由器之間的鏈路配置為Trunk鏈路。而且在路由器上創建子接口以支持VLAN路由。

交換機端：配置trunk
路由器端：
[RTA]interface GigabitEthernet0/0/1.1 ；定義子接口
[RTA-GigabitEthernet0/0/1.1]dot1q termination vid 2 。分配VLAN
[RTA-GigabitEthernet0/0/1.1]ip address 192.168.2.254 24 ；配置網關
[RTA-GigabitEthernet0/0/1.1]arp broadcast enable 。開啟ARP廣播

59.三層交換實現VLAN間路由

2層+路由器 路由配虛擬portvlan 和網關
[SWA]interface vlanif 2 ； 2同相關VLAN號
[SWA-Vlanif2]ip address 192.168.2.254 24 ；網關PS：該地址不能在其他VLAN網段中出現

復雜模式：三層接二層（帶管理）
中間設置成trunk，三層也要建和二層相關VLAN。int vlanif放在三層上。

第一十四章　交換機port技術
63鏈路聚合(手工模式)

[SWA]interface Eth-Trunk 1
[SWA-Eth-Trunk1]interface GigabitEthernet0/0/1
[SWA-GigabitEthernet0/0/1]eth-trunk 1
[SWA-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2
[SWA-GigabitEthernet0/0/2]eth-trunk 1

dis eth-trunk 1 ；查看鏈路

PS: trunkport下做鏈路聚合方法：先做鏈路聚合，然后在int eth-trunk 數字下做Trunk

72.防火牆技術

依照防火牆實現的方式。一般把防火牆分為例如以下幾類：
包過濾防火牆：簡單。每一個包都要檢查。缺乏靈活性。策略多影響性能
代理型防火牆：安全，但不方便，針對性強（http代理）。不通用
狀態檢測防火牆：基於連接狀態，結合以上2種防火牆的長處

僅僅防網絡層和傳輸層。不防應用層（比方站點漏洞）。
防外不防內；

防火牆的安全區域：

Local（100網網）－－－－Trust（85外網）
－－－－－DMZ（50WEBserver）
高能夠訪問低，低不能夠訪問高

配置思路
配置安全區域和安全域間。

將接口增加安全區域。
配置ACL。
在安全域間配置基於ACL的包過濾。

1.在AR2200上配置安全區域和安全域間
system-view
[Huawei] firewall zone trust
[Huawei-zone-trust] priority 15
[Huawei-zone-trust] quit
[Huawei] firewall zone untrust
[Huawei-zone-untrust] priority 1
[Huawei-zone-untrust] quit
[Huawei] firewall interzone trust untrust 。配置（進入）域間
[Huawei-interzone-trust-untrust] firewall enable 。開啟該域間的防火牆
[Huawei-interzone-trust-untrust] quit

2.在AR2200上將接口增加安全區域
int gi0/0/1
zone OUTSIDE ；相關接口增加到相關區域（華為防火牆：假設不增加的話。與之相連的PC不能訪問該port，和路由有差別）

PS：以上另外等價方法
firewall zone trust ；進入相關區域
add int gi0/0/1 。增加相關port

PS： dis firewall session all ；查看防火牆的全部會話信息

3.在AR2200上配置ACL （同意外網能夠telnet內網）
acl 3001
rule permit tcp destination 192.168.1.100 0 destination-port eq 23 ；同意telnet
firewall interzone INSIDE OUTSIDE 。進入相關域間
packet-filter 3001 inbound；應用相關acl

FTP的主動（FTP本身），被動（client）模式

內網訪問外網FTP。FTP主動模式（PORT）不能傳數據（經常外網FTPserver訪問不了，FTP下載軟件要改成被動模式），但被動模式（PASV）能夠訪問

ASPF配置工作在應用層，檢測http、FTP等，能夠為這些協議打開放行通道
firewall interzone INSIDE OUTSIDE；進入到相關區域
detect aspf all ；開啟檢測