Eth-Trunk(链路聚合)
用途:增加骨干链路带宽、可靠性。
[S1]int Eth-Trunk number 创建
[S1-Eth-Trunk12]mode lacp-static(支持备份)/manual load-balance(手动汇总)
[S1-Eth-Trunk12]mode lacp-static G0/0/1 to G0/0/2 (定义成员接口)
[S1-Eth-Trunk12]dis eth-trunk (查看配置)
[S1-Eth-Trunk12]load-balance ?(负载分担算法)
dst-ip According to destination IP hash arithmetic 基于目标IP散列算法的DST IP
dst-mac According to destination MAC hash arithmetic 基于目标MAC散列算法的DST MAC
src-dst-ip According to source/destination IP hash arithmetic 基于源/目的IP散列算法的SRC DST IP
src-dst-mac According to source/destination MAC hash arithmetic 基于源/目的MAC散列算法的SRC DST MAC
src-ip According to source IP hash arithmetic 基于源IP哈希算法的SRC IP
src-mac According to source MAC hash arithmetic 基于源MAC散列算法的SRC MAC
dst-mac According to destination MAC hash arithmetic 基于目标MAC散列算法的DST MAC
src-dst-ip According to source/destination IP hash arithmetic 基于源/目的IP散列算法的SRC DST IP
src-dst-mac According to source/destination MAC hash arithmetic 基于源/目的MAC散列算法的SRC DST MAC
src-ip According to source IP hash arithmetic 基于源IP哈希算法的SRC IP
src-mac According to source MAC hash arithmetic 基于源MAC散列算法的SRC MAC
VLAN虚拟局域网
用途:广播域隔离增强网络安全性
配置:
vlan batch 10 to 20(创建vlan)
int g0/0/1
port link-type access(接入模式)
port default vlan 10 (加入相应vlan)
display vlan (查看配置)
trunk干道
用途:不同交换机相同vlan跨交换机工作
配置:
首先配置链路聚合增强可靠性
port link-type trunk
port trunk allow-pass vlan 10 to 20 (放行相应vlan)
vlan间路由三层交换
用途:三层交换机实现互访
配置:
int vlanif 10(虚拟接口,提供3层功能,一般用于vlan网关)
ip add ......
dis cu 查看配置
1.根据规划将主机加入到vlan中
2.交换机之间的链路配置为trunk
3.trunk放行相应的vlan
4.在核心交换机上为每个vlan创建对应的vlanif接口并配置ip,即主机的网关地址
5.正确设置主机的ip、掩码、网关进行测试
MSTP+VRRP+三层交换
用途:网络冗余备份
核心配置:
stp:
stp mode mstp 生成树模式改为快速生成树
stp region-configuration 生成树域配置模式
region-name hcie (域名)
revision-level 1 修订级别
instance 1 vlan 10 实例绑定对应vlan
active region-configuration 激活域配置
stp instance 1 root primary 实例1根桥
stp instance 2 root secondary 实例2备用根桥
vrrp:
int vlanif 10
vrrp vrid 1 virtual-ip 192.168.1.254 虚拟地址
vrrp vrid 1 priority 150 优先级越大越易成为master,缺省100
dis vrrp 查看配置
DHCP应用
首先配置vlanif网关
dhcp enable 全局启用dhcp服务
int vlanif 10
dhcp select interface 基于接口地址池
华为防火墙安全策略配置
默认4个区域(zone)
local 100
trust(信任) 85
un trust(非信任) 5
dmz 50
默认所 有接口不在区域
默认所有安全区域的流量都是拒绝的
telnet服务配置
user-interface vty 0 4
set authentication password cipher huawei@ 123 设置认证密码
user privilege level 15 用户权限级别15最高
ftp server enable 开启ftp服务
aaa 进入aaa视图 aaa配置讲解在进阶实验指导内有
local-user ftp(用户)password cipher ftp(密码)
local-user ftp ftp-directory flash: 登录家目录
local-user privilege level 3 登录权限级别
local-user ftp service-type ftp 账号访问的服务类别为ftp
防火墙配置:
firewall zone trust
add int g0/0/1 端口加入相应的区域
firewall zone un trust
add int g1/0/1
security-policy 进入安全策略
rule name telnet 设置一个规则名称为telnet
source-zone trust 流量来自 源
destination-zone un trust 流量目的访问 定义流量方向
source-address 192.168.1.1 32 报文源地址
destionation-address 192.168.2.10 报文目的地址
service telnet 类型
action permit 放行
防火墙NAT配置
nat address-group internet 定义地址池名称
section 202.1.1.1(起始IP)202.1.1.5(结束IP)
nat-policy 进入nat策略
rule name internet 规则名称
source-zone trust
destination-zone untrust
source-address 源地址
action add 动作
action nat address-group internet 名称
display firewall session table 查看会话表项
防火墙写静态路由,保证有去往目的的路由
总结:1.配置地址池,nat-policy
2.配置安全策略
3.来回路由
公网访问内部FTP服务器
nat server ftp protocol tcp global 202.1.1.10
ftp inside 192.168.1.2 ftp
配置nat server
配置安全策略
防火墙双击热备:
vrrp vrid 1 virtual-ip 192.168.1.254 active (主墙)/standby(备墙)
security-policy 定义安全策略
rule name ospf 名称
source-zone local untrust
destination-zone local untrust
action permit
hrp int G1/0/1(心跳接口) remote 10.1.12.2(远端地址) 定义心跳线
hrp enable
hrp adjust ospf-cost enable 如果是主墙通告开销时按正常计算的通告,如果是备墙则设置为65535
hrp preempt delay 10 抢夺延时
hrp track int G1/0/2 接口跟踪
又是美好的一天继续加油
很傻很天真
很傻很天真