学习之前先看看常用命令:
查看当前设备端口配置的ip地址 display ip interface brief 可以是端口设置的ip也可以是vlan划分的ip
华为有些不支持端口直接设置ip的情况下我们一般是把ip设置在vlan上面
display interface brief显示路由器上所有接口的信息
display vlan display vlan100 查看vlan里面划分了哪些端口
display link-layer-discovery protocol neighbors interface g1/2/0/25 verbose 用来显示25口的邻居信息,verbose是展示更详细的信息。
display link-layer neighbor list",意为显示链路层邻居列表。
display link-layer neighbor interface g0/0/1 查看特定的口的邻居信息
路由器设置DHCP
ip address 192.168.10.1 255.255.255.0
dhcp enable
#
ip pool for10
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 114.114.114.114
#
int GigabitEthernet0/0/0
dhcp select global 
华为划分Vlan的方法
假设划分两个vlan
vlan batch 10 20 30 创建vlan
interface GigabitEthernet 0/0/1 进入1接口
port link-type access 设置接口类型
port default vlan 10 划分到vlan10
interface GigabitEthernet 0/0/2 进入2接口
port link-type access 设置接口类型
port default vlan 10 划分到vlan20
display vlan//查看vlan
三层互联
vlan隔离:把广播和故障,可以隔离。同时,正常的通信也被隔离了。
vlan互连:用三层交换机作网关,把不同vlan之间的正常通信连通。
步骤:
第一步:把两个交换机互连的接口配置为trunk
第二步:在三层交换机创建vlan
第三步:给vlan接口配上ip,作为pc的网关
LSW1下面这个交换机
interface GigabitEthernet 0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20允许通过指定 VLAN 的数据流通过 Trunk 口
LSW2上面这个交换机 trunk是成对存在的
interface GigabitEthernet 0/0/1
port lint-type trunk
port trunk allow-pass vlan 10 20 允许通过指定 VLAN 的数据流通过 Trunk 口
创建俩vlan 进入vlan然后给vlan添加两个IP地址作为网关
vlan batch 10 20
interface Vlanif 10
ip address 192.168.10.1 255.255.255.0
interface Vlanif 20
ip address 192.168.20.1 255.255.255.0静态路由
ip route-static 192.168.1.0 24 10.0.0.1目的网段 子网掩码 下一跳地址
ip route-static 17.16.1.0 24 10.0.0.2 目的网段 子网掩码 下一跳地址三层交换机 Vlan间通信
确认实验环境
一、本次实验需要使用到以下设备和工具:
1 台三层交换机(例如华为 S5720 系列)
2 台 PC(或者其他设备)
二、配置 VLAN
在三层交换机上配置 VLAN 100 和 VLAN 200:
vlan 100
description VLAN 100
vlan 200
description VLAN 200
三、配置接口
将三层交换机的端口 0/0/1 分别配置为 VLAN 100 和 VLAN 200 的成员端口:
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
interface GigabitEthernet0/0/2
port link-type access
port default vlan 200
四、配置 IP 地址
分别为 VLAN 100 和 VLAN 200 配置 IP 地址:
interface Vlanif100
ip address 192.168.10.1 255.255.255.0
interface Vlanif200
ip address 172.16.10.1 255.255.255.0
五、测试
现在可以在 PC1 和 PC2 上进行测试。在 PC1 上打开命令提示符,执行以下命令:
ping 192.168.2.2
如果一切正常,PC1 将能够 ping 通 PC2。这是因为 PC1 和 PC2 分别位于 VLAN 100 和 VLAN 200 中,它们之间的通信需要经过三层交换机进行路由转发。通过配置 VLAN 和接口,三层交换机能够正常地将数据包转发到正确的 VLAN 中,并将数据包路由到目标设备。
总之,三层交换机可以通过配置 VLAN 和接口来实现 VLAN 转发和路由转发,从而实现不同 VLAN 之间的通信。在实现 VLAN 转发时,需要正确配置 VLAN 和接口,并确保路由转发的正常运行。DNS配置
就是在dhcp接口上配置好一条命令即可
dhcp server dns-list 192.168.1.100 
access和trunk
在华为交换机中,Access 端口和 Trunk 端口是两种不同的端口类型,它们的作用和用途各不相同。一般来说,Access 端口用于连接本端设备的主机或其他网络终端设备,而 Trunk 端口则用于连接本端设备和其他交换机之间的链路。
具体来说,Access 端口和 Trunk 端口的使用场景和特点如下:
Access 端口
Access 端口通常用于连接本端设备的主机或其他网络终端设备,它的特点是:
只能加入一个 VLAN,即只能属于一个 VLAN;
默认情况下,端口上发送和接收的数据包都是未标记的(untagged);
可以使用 port default vlan 命令来设置默认的 VLAN,将端口上未打标签的数据包都归属到该 VLAN 中。
例如,将端口 GigabitEthernet 0/0/1 配置为 Access 端口,并将其加入到 VLAN 10 中,可以使用以下命令:
[~Huawei]interface GigabitEthernet 0/0/1
[~Huawei-GigabitEthernet0/0/1] port link-type access
[~Huawei-GigabitEthernet0/0/1] port default vlan 10
[~Huawei-GigabitEthernet0/0/1] quit
Trunk 端口
Trunk 端口通常用于连接本端设备和其他交换机之间的链路,它的特点是:
可以加入多个 VLAN,即可以属于多个 VLAN;
默认情况下,端口上发送和接收的数据包都是已标记的(tagged);
可以使用 port trunk allow-pass vlan 命令来设置允许通过的 VLAN,将端口上已打标签的数据包都归属到允许通过的 VLAN 中。
例如,将端口 GigabitEthernet 0/0/2 配置为 Trunk 端口,并允许通过 VLAN 10 和 VLAN 20 的数据包,可以使用以下命令:
[~Huawei]interface GigabitEthernet 0/0/2
[~Huawei-GigabitEthernet0/0/2] port link-type trunk
[~Huawei-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 20
[~Huawei-GigabitEthernet0/0/2] quit
需要注意的是,Access 端口和 Trunk 端口的选择要根据实际网络需求来确定。如果需要连接主机或其他网络终端设备,应该选择 Access 端口;如果需要连接其他交换机或实现多个 VLAN 之间的通信,应该选择 Trunk 端口。
单臂路由
CODE:
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en //关闭提示信息
Info: Information center is disabled.
[Huawei]vlan 10 //创建vlan10
[Huawei-vlan10]q
[Huawei]vlan 20 //创建vlan20
[Huawei-vlan20]q
[Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]port link-type trunk //改端口的属性,改成trunk口
[Huawei-Ethernet0/0/1]port trunk allow-pass vlan 10 20 //允许vlan10和20通过
[Huawei-Ethernet0/0/1]int e0/0/2
[Huawei-Ethernet0/0/2]port link-type access //改端口的属性,改成access口
[Huawei-Ethernet0/0/2]port default vlan 10 //允许vlan10的数据通过,也就是设她的缺省valn为vlan10
[Huawei-Ethernet0/0/2]q
[Huawei]int e0/0/3
[Huawei-Ethernet0/0/3]port link-type access //改端口的属性,改成access口
[Huawei-Ethernet0/0/3]port default vlan 20 //允许vlan20的数据通过,也就是设她的缺省valn为vlan20
4.进入R7进行配置
The device is running!
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0.1 //进入g0/0/0.1的子接口
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 10 //给子接口封装dot1q协议,设置vlan10数据可以通过
[Huawei-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24 //给子接口配上ip
[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable //启动ARP的广播功能
[Huawei-GigabitEthernet0/0/0.1]q
[Huawei]int g0/0/0.2 //进入g0/0/0.2的子接口
[Huawei-GigabitEthernet0/0/0.2]dot1q termination vid 20 //给子接口封装dot1q协议,设置vlan20数据可以通过
[Huawei-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24 //给子接口配上ip
[Huawei-GigabitEthernet0/0/0.2]arp broadcast enable //启动ARP的广播功能
[Huawei-GigabitEthernet0/0/0.2]q
1.设置可以通过的vlan要是子接口对应所属的vlan
2.子接口配置的IP地址要是对应pc的网关。
3.ARP功能一定要启用,因为配置ARP 是因为路由器的接口是隔离广播域的,每个接口都是一个广播域,而ARP报文是在一个广播域里面泛洪,所以要开启ARP。
通过pc的ip地址找到他的接入层ip和接入到这个pc的接口
假设这台pc是192.168.1.1,从我们配置的规则来说192.168.254是网关(根据自己配置的为准)。
telnet远程登录这个网关,在这个汇聚交换机中查询arp表筛选出192.168.1.1的信息
从而可以得出这个pc的MAC地址和接口,从这里我之接可以看到接口是G0/0/0口上来的。然后查询这个0口的邻居地址
发现这个0口的邻居是个华为5700的交换机端口是G0/0/3 ip是xxxxxxx(由于我这里没划分vlan就没配置ip,你就当这里有)。
然后通过邻居给的ip进行telnet登录到这个接入层交换机中。在这个交换机中通过之前查到的MAC地址进行查询PC(192.168.1.1)这个是从哪个交换机出去的。
发现是从接入层G0/0/1口连接的,然后进入这个1口进行dis this 或者display current-configuration 看看这个1口是access还是trunk口(access下面连接设备,trunk指的是下面还有交换机)。
ACL
目的过滤用于控制进入或离开网络设备的流量。也就是他可以让你原本通的ip设置为不通。像门卫一样你想让谁过就让谁过。
实验背景
在VLAN的基础上进行,已经使用了三层交换机让不通VLAN也能相互通信了。现在要做的就是让VLAN10还是能ping通VLAN20
但是要隔离VLAN30(pc1 ping不通 pc3)
acl name one_to_two advance 名字后面跟着是简单管理还是复杂管理advance是高级控制
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
拒接命令,填写源地址和目标地址,就是不要10网段的往30网段走。
rule permit ip source any destination any #允许任何源IP地址和目标IP地址之间的所有流量通过。这条规则将允许所有不受限制的网络流量通过防火墙,
注意:第二条不会覆盖第一条的命令。
进入到10到30的必经之路口也就是0/0/1口
int G0/0/1
traffic-filter inbound acl name one_to_two
"traffic-filter inbound acl name one_to_two" 命令将会在GigabitEthernet 0/0/1接口上应用名为"one_to_two"的ACL,用于控制该接口的入站流量。display
display acl all #查看CAL的所有规则
NAT技术
网络地址转换
acl 2000 #设置一个ACL用来筛选什么样子的数据包要进行数据转换
rule permit source 192.168.1.0 0.0.0.255
nat address-group 1 64.1.1.2 64.1.1.9 开始地址池和结束地址池,编号1
进入出站口G0/0/0
nat outbound 2000 address-group 1 设置出站规则2000和限定地址池的数量(数量也可以不写)
静态NAT
ip route-static 200.200.200.0 24 119.1.1.2
nat server global 119.1.1.123 inside 172.168.0.1
telnet远程登录
先配置两边的IP地址保证能通
单密码认证的telnet
//在系统视图下开启Telnet服务我的设备默认就是开启的,你也可以先看看display telnet server status
telnet server enable
user-interface vty 0 4 //进入虚拟用户设置允许登录数量5个
authentication-mode password //选择密码模式
set authentication password cipher zxc111 //设置密码,密码为密文模式
user privilege level 1 //设置登录者的权限AAA认证的telnet
telnet server enable
user-interface vty 0 4 //进入虚拟用户设置允许登录数量5个
authentication-mode aaa //在此前的操作和上述一模一样
quit
aaa //在系统视图下进入AAA界面进行配置
local-user admin password cipher zxc111 privilege level 3 账户admin 密码zxc111 权限为3号权限
local-user admin service-type telnet //设置接入的类型为Telnet中小型综合性实验
LSW2 先给接入层交换机划分好vlan
vlan batch 20 30
interface Ethernet0/0/1
port link-type access
port default vlan 20
interface Ethernet0/0/2
port link-type access
port default vlan 30
interface Ethernet 0/0/3
port link-type trunk
port trunk allow-pass vlan 20 30LSW3汇聚层交换机
system-view
[Huawei]dhcp enable #开启dhcp
[Huawei]vlan batch 10 20 30 40
[Huawei]interface Vlanif 10
[Huawei-Vlanif10]ip address 192.168.10.254 #设置网关
[Huawei-Vlanif10]dhcp select interface
[Huawei-Vlanif10] dhcp server dns-list 172.16.100.1 设置dns地址
[Huawei-Vlanif10]q
[Huawei]interface Vlanif 20
[Huawei-Vlanif20]ip address 192.168.20.254
[Huawei-Vlanif20]dhcp select interface
[Huawei-Vlanif20] dhcp server dns-list 172.16.100.1
[Huawei-Vlanif20]q
[Huawei]interface Vlanif 30
[Huawei-Vlanif30]ip address 192.168.30.254
[Huawei-Vlanif30]dhcp select interface
[Huawei-Vlanif30] dhcp server dns-list 172.16.100.1
[Huawei-Vlanif30]q
[Huawei]interface Vlanif 40
[Huawei-Vlanif40]ip address 172.16.100.254 24
[Huawei-Vlanif40]quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type trunk
[Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan all把LSW2的vlan10划分上然后上口trunk下口access记得放行vlan10(过于重复我就不写代码了)
配置DNS服务器
记得DNS配置好了域名解析后要点击启动服务
配置内网路由器和汇聚层交换机的ip
路由:配置一个10.10.10.1的ip 24子网掩码
交换机想要在0/0/4配置ip有两种选择:
1要么开启三层路由功能就可以之接进行ip address
2要么就创建一个vlan 然后再vlanif里面配置ip,然后把这个vlan跟端口绑定就可以了。
我这里选择第二种(看我操作)
vlan 100
port link-type access
port default vlan 100
这样就可以了。
后面内网访问外面先写个默认路由[Huawei]ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
路由器:配置0/0/1口外网ip 64.1.1.1内网路由器的配置
[Huawei]ip route-static 0.0.0.0 0.0.0.0 64.1.1.10
[Huawei]ip route-static 192.168.0.0 255.255.0.0 10.10.10.2
[Huawei]ip route-static 172.16.100.0 255.255.255.0 10.10.10.2
写一下出网的限制
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[Huawei]nat address-group 1 64.1.1.5 64.1.1.5 写一下地址组,就一个64.1.1.5ip
[Huawei]interface GigabitEthernet 0/0/1进入出网口(就是内网路由连接外面的口)
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 把acl 2000的ip转成地址池组的ip 64.1.1.5
然后在AR2配置一个静态路由指向9.9.9.9 然后给这个路由器配置好网关后就可以ping通了
还有一个要求是PC1只能走内网不可以访问互联网,这里我们给他写一个acl配置(看我操作)
acl name jujue
rule 2001 deny ip source 192.168.10.0 0.0.0.255
interface GigabitEthernet 0/0/0
traffic-filter inbound acl name jujue
链路聚合
interface Eth-Trunk 12 创建聚合后面是编号
trunkport GigabitEthernet 0/0/2 填写要聚合的端口
trunkport GigabitEthernet 0/0/2 填写要聚合的端口
display eth-trunk 12 查看12的链路聚合
load-balance <负载类型> 这是链路聚合多条线路的负载分担方式(就是考虑走哪条线)
具体有这几种类型
[jh5-Eth-Trunk12]load-balance ?
dst-ip According to destination IP hash arithmetic
dst-mac According to destination MAC hash arithmetic
src-dst-ip According to source/destination IP hash arithmetic
src-dst-mac According to source/destination MAC hash arithmetic
src-ip According to source IP hash arithmetic
src-mac According to source MAC hash arithmetic
链路聚合分为LACP(链路聚合控制协议)模式和手动模式
