华为NA课程笔记3-局域网内服务（上）

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/nplbnb12/article/details/84989097

一、DHCP原理与配置

1、DHCP（Dynamic Host Configuration Protocol动态主机配置协议），自动分配IP地址等网络参数。

2、DHCP部分报文

DHCP DISCOVER    客户端用来寻找DHCP服务器

DHCP OFFER       DHCP服务器用来相应DHCP DISCOVER报文，此报文携带各种配置信息

DHCP REQUEST     客户端请求配置确认，或者续借租期

DHCP ACK         服务器对REQUEST报文的确认响应

DHCP NAK         服务器对REQUEST报文的拒绝响应

DHCP RELEASE      客户端需要释放地址时发送的报文

3、地址池

AR系列路由器支持两种地址池：全局地址池和接口地址池

4、DHCP工作原理

（1）客户端发送DHCP DISCOVER（广播），寻找DHCP服务器

（2）DHCP服务器发送DHCP OFFER（单播），包含了配置信息

（3）客户端发送DHCP REQUEST（广播）

（4）DHCP服务器发送DHCP ACK（单播），客户端获得IP地址

（5）当IP租约期限达到50%时，客户端发送DHCP REQUEST（单播）报文，请求IP地址租约更新；DHCP服务器发送DHCP ACK（单播）报文，确认。如果，DHCP客户端在租约期限到达87.5%时，还没收到DHCP服务器响应，会发送DHCP REQUEST（广播），申请重绑定IP，DHCP服务器回复DHCP ACK（单播）确认

（6）IP地址释放，如果IP租约到期，都没有收到服务器响应，客户端停止使用IP地址；如果DHCP客户端不再使用分配的IP地址，也可以主动发送DHCP RELEASE报文，释放该IP地址。

5、DHCP全局地址池配置

路由器、交换机、PC等绝大部分设备都可以提供DHCP服务

路由器配置示例：

dhcp enable           全局开启DHCP

ip pool pool2           创建全局地址池，命名为pool2

  network 1.1.1.0 mask 24    设置网段和子网掩码信息

  gateway-list 1.1.1.1         设置网关信息

  lease day 10               IP地址租约10天

  quit

int g0/0/1

  ip address 1.1.1.1 24        配置接口地址

  dhcp select global          在指定端口启用全局地址池

三层交换机配置实验：

LSW1三层交换机作为DHCP服务器，PC1、PC2通过DHCP获取地址，PC3配置静态地址192.168.30.100，网关192.168.30.1，MCS1配置静态地址192.168.20.4，网关192.168.20.1，vlan 20中的192.168.20.1～192.168.20.10要保留给服务器使用

（1）配置VLAN和vlan-if，配置各个接口端口类型

vlan batch 10 20 30

int g0/0/1

  port link-type access

  port default vlan 10

int g0/0/2

  port link-type access

  port default vlan 20

int g0/0/3

  port link-type access

  port default vlan 30

dis port vlan active

int vlan 10

ip address 192.168.10.1 24

int vlan 20

ip address 192.168.30.1 24

int vlan 30

ip address 192.168.30.1 24

（2）配置DHCP地址池

dhcp 10

ip pool pool10

  network 192.168.10.0 mask 24

  gateway-list 192.168.10.1

  dns-list 202.202.202.202 8.8.8.8

  lease day 0 hour 2 minute 0  

dis th

ip pool pool20

  network 192.168.20.0 mask 24

  gateway-list 192.168.20.1

  dns-list 202.202.202.202 8.8.8.8

  lease day 0 hour 2 minute 0

  excluded-ip-address 192.168.20.2 192.168.20.10      排除掉的可以是单个地址，也可以是一个范围（第一个是起始地址，第二个是结束地址），多个范围可以分开写；注意网关IP已经分配，不用排除。

  dis th

（3）在vlan-if下绑定地址池

int vlan 10

 dhcp select global

int vlan 20

 dhcp select global

（4）PC端查看地址等信息已经正确获取：

 

dis ip pool name pool20

 

二、VRRP

1、VRRP（虚拟路由器备份协议）主要是为了网关的冗余，它描述了一个动态选举协议，该协议从一组VRRP路由器中选举一个主路由器（Master），并将Master管理到一个虚拟路由器，作为所连接网段的网关。

2、虚拟ID和虚拟IP地址

vrrp中同一个组的vrrp-id相同，State标识主从，Vertual IP就是虚拟的IP地址即网关，取相同值，Master IP是主的实际端口IP；PriorityRun是现在运行的优先级，取值1-254，默认100 ，PriorityConfig是配置的优先级，TimerRun是现在的交换信息的间隔。其中，当虚拟IP和Master IP设置相同时，PriorityRun就是255。

3、VRRP配置实验

拓扑图：

（1）配置LSW1各个接口

vlan 10

port-group group-member g0/0/1 g0/0/2 g0/0/11 g0/0/12

  port link-type access

  port default vlan 10

（2）配置路由器各个端口地址：

R1:

int g0/0/0

 ip address 192.168.10.11 24

int g0/0/1

 ip address 172.16.13.11 24

R2:

int g0/0/0

 ip address 192.168.10.12 24

int g0/0/1

 ip address 172.16.23.12 24

R3:

int g0/0/1

 ip address 172.16.13.3 24

int g0/0/2

 ip address 172.16.23.3 24

int e0/0/0

 ip address 172.16.30.1 24

（3）配置RIP

R1:

rip

version 2

undo sum

network 192.168.10.0

network 172.16.0.0

R2:

rip

version 2

undo sum

network 192.168.10.0

network 172.16.0.0

R3:

rip

version 2

undo sum

network 172.16.0.0

RIP配置完成后，将PC1网关临时配置成192.168.10.11，PC1可以ping通PC3

（3）配置VRRP

R1:

int g0/0/0

  vrrp vrid 10 virtual-ip 192.168.10.1    配置vrid为10，virtual-ip为192.168.10.1

  vrrp vrid 10 priority 200             配置优先级200

R2:

int g0/0/0

  vrrp vrid 10 virtual-ip 192.168.10.1    配置vrid为10，virtual-ip为192.168.10.1

  vrrp vrid 10 priority 150            配置优先级150

配置完成后，虚拟网关可以ping通：

PC1网关设置成192.168.10.1，使用-t参数持续PING PC3，在这个过程中，shutdown掉R1的G0/0/0端口，可以看到ping只有短暂的不通：

 

如果shutdown掉R1的G0/0/1端口，也是只会有短暂的中断，tracert结果如下：

可以发现，还是先到的R1，然后再返回到R2出去。通过配置跟踪上行端口，解决这个问题。

R1:

int g0/0/0                                 

 vrrp vrid 10 track interface g0/0/1 reduced 100   配置跟踪g0/0/1端口，当g0/0/1端口断掉，优先级减少100.

 dis vrrp 10

一般跟踪上行端口，只用配置在主路由器上就可以了。

 

三、AAA简介

1、AAA是Authentication（认证）、Authorizationn（授权）和Accounting（计费）的简称，它提供了认证、授权、计费三种安全功能。AAA可以通过多种协议来实现，目前华为设备支持基于RADIUS（Remote Authentication Dial-In User Service）协议或HWTACACS（Huawei Terminal Access Controller Access Control System）协议来实现AAA。

2、AAA支持的认证方式：不认证、本地认证、远端认证

AAA支持的授权：不授权、本地授权、远端授权

AAA支持的计费：不计费、远端计费

AAA可以通过域来对用户进行管理，不通的域可以关联不通的认证、授权和计费方案

3、AAA本地配置

aaa         进入AAA配置

authentication-scheme auth1    配置授权模板，名称为auth1

authentication-mode local       配置本地授权

quit

authorization-scheme auth2     配置认证模板，名称为auth2

authorization-mode local       配置本地认证

quit

domain huawei                创建域，名称为huawei

authentication-scheme auth1     在域中，引用授权模板auth1

authorization-scheme auth2      在域中，引用认证模板auth2

  quit   

local-user huawei password cipher huawei123  创建用户huawei，密码huawei123

local-user huawei service-type telnet ssh       设置服务类型

local-user huawei privilege level 15            设置权限等级（0-15）



user-interface vty 0 4                       进入用户接口配置

  authentication-mode aaa                  启用aaa认证