静态路由
格式:
[R1] ip route 目标网段子网掩码下一跳/ 出接口
命令配置:
[R1]ip route 192.168.3.0 24 192.168.2.2 ( 也可采用出接口S0/2/0 )
或:
[R1]ip route 192.168.3.0 24 s0/2/0
查看路由表
[r1]disp ip routing-table
Destination/Mask Proto Pre Cost NextHop Interface 127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0 127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0 192.168.1.0/24 Direct 0 0 192.168.1.251 Eth0/1/0 192.168.1.251/32 Direct 0 0 127.0.0.1 InLoop0 192.168.2.0/24 Direct 0 0 192.168.2.1 S0/2/0 192.168.2.1/32 Direct 0 0 127.0.0.1 InLoop0 192.168.2.2/32 Direct 0 0 192.168.2.2 S0/2/0 192.168.3.0/24 Static 60 0 192.168.2.2 S0/2/0
●默认路由(特殊的静态路由)
[R1]ip route-static 0.0.0.0 0 192.168.2.2
OSPF 协议
OSPF的配置
[R1]router id 1.1.1.1 标识一台OSPF路由器
ospf 1 启动OSPF协议,进程号为1
area 1 在区域1运行
net 192.168.1.1 0.0.0.0 指定相应的接口参于OSPF
net 192.168.2.1 0.0.0.0
[sw3610]ospf 1
[sw3610-ospf-1]silent-interface vlan 1
[sw3610-ospf-1]silent-interface vlan 2
interface Serial0/0
ospf cost 64 修改OSPF的接口开销
OSPF的调试
[R1]disp ospf peer 查看OSPF邻居
disp ospf brief
disp ospf interface
disp ospf lsdb 查看OSPF数据库
disp ip routing-table 查看路由表
补充:
1. 在100M以上的网络中,修改OSPF开销的计算公式。(每台R上都修改)
R1] ospf 1
bandwidth-reference 10000 修改COST计算公式为:COST=10000M/带宽
2. 在点到点的以太网络中,将接口类型由broadcast,改为p2p,可以禁止DR选举,加快OSPF的收敛速度。
[R1]int E0/1/0
ospf network-type broadcast 以太网接口默认类型
p2p
路由优先级------ 管理距离
用来标识路由的可信度,又称为路由优先级。
如果一条路由从多种方式(静态、RIP、OSPF)学到,路由处理进程将根据路由优先级的大小来确定把那一条路由写进路由表。
访问控制列表ACL
1. 基本访问列表:编号2000-2999
[r2] firewall enable 启用防火墙功能
[r2] acl number 2000
[r2-acl-basic-2000] rule deny source 192.168.1.0 0.0.0.255
[r2]int S0/2/0
[r2-Serial0/2/0] firewall packet-filter 2000 inbound
[r1]ping -a 192.168.1.1 192.168.2.2
结果:192.168.1.1不能访问192.168.2.2,也不能访问192.168.3.1 。
192.168.0.1 都可以访问。
2. 高级访问列表:编号3000-3999
[R2]firewall enable
[R2]acl number 3000
[r2-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.2.2 0.0.0.0 destination-port eq 23
[r2]int S0/2/0
[r2-Serial0/2/0] firewall packet-filter 3000 inbound
结果:192.168.1.1可以ping通192.168.2.2,但不能telnet 192.168.2.2。
192.168.0.1 都可以访问。
网络地址转换NAT
NAT的基础:配置路由
1.默认路由(必须)
[r1]ip route 0.0.0.0 0.0.0.0 123.1.1.6
2. 静态路由或动态路由(可选)
当内网有三层交换机,存在非直连网段时,需要配置静态路由或OSPF, 来学习内网路由.
一.动态转换,实现共享上网。
1.定义内部需要转换的源地址(私有IP)。
[r1]acl number 2000
[r1-acl-basic-2000]rule permit source 172.16.1.0 0.0.0.255
[r1-acl-basic-2000]rule permit source 172.16.2.0 0.0.0.255
[r1-acl-basic-2000]rule permit source 172.16.3.0 0.0.0.255
[r1-acl-basic-2000]rule permit source 172.16.11.0 0.0.0.255
2. 定义地址池(公有IP ).
[r1]nat address-group 1 123.1.1.1 123.1.1.1
3. 动态转换。
[r1]int g0/1/1
[r1-GigabitEthernet0/1/1]nat outbound 2000 address-group 1
测试:
[sw2]ping -a 172.16.1.251 200.1.1.1
PING 200.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 200.1.1.1: bytes=56 Sequence=1 ttl=254 time=1 ms
Reply from 200.1.1.1: bytes=56 Sequence=2 ttl=254 time=10 ms
Reply from 200.1.1.1: bytes=56 Sequence=3 ttl=254 time=5 ms
Reply from 200.1.1.1: bytes=56 Sequence=4 ttl=254 time=1 ms
Reply from 200.1.1.1: bytes=56 Sequence=5 ttl=254 time=5 ms
二、配置静态映射,对外提供公用服务。
[r1]int g0/1/1
[r1-GigabitEthernet0/1/1]nat server protocol tcp global 123.1.1.2 80inside 172.16.10.1 80
nat server protocol tcp global 123.1.1.2 23inside 172.16.1.251 23
Login authentication
Username:h3c
Password:
S5600系列交换机典型配置举例 2.1.1 静态路由典型配置 1. 组网需求 (1)需求分析 某小型公司办公网络需要任意两个节点之间能够互通,网络结构简单、稳定, 用户希望最大限度利用现有设备。用户现在拥有的设备不支持动态路由协议。 根据用户需求及用户网络环境,选择静态路由实现用户网络之间互通。 (2)网络规划 根据用户需求,设计如图2-1所示网络拓扑图。 图2-1 静态路由配置举例组网图 2. 配置步骤 交换机上的配置步骤: # 设置以太网交换机Switch A的静态路由。
[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1 # 设置以太网交换机Switch C的静态路由。
华为S3700策略路由实验 By kevinxiaop, 2012/11/1 拓扑如下: 10.1.1.10/24 要求在SW1上用策略路由,实现10.1.1.0/24网段与外部网络(10.2.2.1)的互通。 Vlan和vlanif的配置略。 路由配置: SW2上配置10.1.1.0/24的静态路由 ip route-static 10.1.1.0 24 172.31.1.2 PC上配置网关为10.1.1.1,或添加到10.2.2.0/24的静态路由 route add 10.2.2.0 mask 255.255.255.0 10.1.1.1 策略路由配置 由于S3700不支持ip local policy-based-route命令,因此不能实现本地策略路由。 下面采用流策略配置实现转发报文的策略路由。 在SW1上: acl 2000 rule 10 permit source 10.1.1.0 0.0.0.255 quit traffic classifier test if-match acl 2000 quit traffic behavior test redirect ip-nexthop 172.31.1.1
statistic enable quit traffic policy test classifier test behavior test quit 在物理接口E0/0/24上应用流策略 int ether 0/0/24 traffic-policy test inbound 在PC上测试ping 10.2.2.1,OK。 在VLAN 100上应用流策略 vlan 100 traffic-policy test inbound 在PC上测试ping 10.2.2.1,OK。 在SW1上ping 10.2.2.1是不通的,因为没有到10.2.2.1的路由。 在PC上ping测试的截图: 注意,这里ping 10.2.2.1的TTL为254,是对的。而ping 10.1.1.1反而多了1跳,这是受到流策略的影响,报文先被转发到了172.31.1.1,然后根据SW2的路由表又转发回来才被10.1.1.1接收到。同时,172.31.1.1会给SW1发一个ICMP重定向报文。
通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(E t h e r n e t0/0):[M S R20-20]i n t e r f a c e E t h e r n e t0/0 [M S R20-20 2、使用动态分配地址的方式为局域网中的P C分配地址[M S R20-20]d h c p s e r v e r i p-p o o l 1 [M S R20-20-d h c p-p o o l-1]n e t w o r k2 4 [M S R20-20 [M S R20-20 3、配置n a t [M S R20-20]n a t a d d r e s s-g r o u p1公网I P公网I P [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 0.0.0外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词:MSR;console; 一、组网需求: 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。 二、组网图: 三、配置步骤:
实验6-3:配置策略路由(PBR) 【实验目的】: 在本次实验中,你将使策略路由(PBR)最大化的操纵数据包的处理。 在完成本次实验之后,你需要完成下列任务: ?配置策略路由(PBR) 【实验拓扑】: BBR2 BBR1 F0/0 . 2 .1 F0/0 10.254.0.254 OSPF S1/0 S1/0 172.31.x.3 172.31.xx. 1 10 2 –
注意:图中x为所在机架编号,y为路由器编号。 【实验关心】: 假如出现任何问题,能够向在值的辅导老师提出并请求提供关心。 【命令列表】: 【任务一】:配置PBR 配置PRB实验的目的是为了展示能够在配置任意路径中的作用,而不是路由器正常的路由选择过程。那个实验的目的是假设你想操纵源地址为内部路由器(PxR3和PxR4)环回接口的数据包。通常,数据包从PxR3的环回接口,走出你的实验机架,首先到达PxR1,然后是骨干路由器。类似,数据从PxR3的环回接口,走回你的实验机架,首先到达PxR2然后是骨干路由器。
在那个实验中,你需要强制源地址为PxR3的环回接口的数据包先通过PxR1然后到达PxR2,最后达到骨干路由器。源地址为PxR4的环回接口的数据包先通过PxR2,然后到达PxR1,最后达到骨干路由器。 实验过程: 第一步:在OSPF路由配置模式下删除重分布列表。因此BBR2将可不能拥有你的环回接口路由。 第二步:在两个边界路由器上,创建一个ACL 2去匹配直接连接的内路路由器的环回接口。 P1R1#show access-lists Standard IP access list 1 10 permit 10.200.200.0, wildcard bits 0.0.0.255 (10 matches) Standard IP access list 2 10 permit 10.1.0.0, wildcard bits 0.0.255.255 (88 matches) P1R1# 第三步:在边界路由器上,PxR1和PxR2上,创建一个Route-map。参考在第一步中设置的ACL,匹配源地址为内部路由器的环回接
H3C路由器NAT典型配置案列(史上最详细)神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 NAT典型配置举例 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户使用外网地址访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址到外网地址之间的一对一静态地址转换映射。
There are 1 outbound static NAT mappings. IP-to-IP: Local IP : Global IP : Interfaces enabled with static NAT: There are 1 interfaces enabled with static NAT. Interface: GigabitEthernet1/2 # 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) Responder: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) State: ICMP_REPLY Application: INVALID Start time: 2012-08-16 09:30:49 TTL: 27s Interface(in) : GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes Total sessions found: 1 内网用户通过NAT地址访问外网(地址不重叠) 1. 组网需求
H3C路由器设置 1. 端口映射 如某公司内网有做游戏或者其他服务机器,需要外网的机器访问时,需要设置端口映射 内部机器:192.168.2.223 外网IP:61.190.38.198 需要做端口映射:在NAT配置中设置 2. 内网中的PC通过域名访问内部的服务器 内部服务器IP:192.168.3.2(VLAN3) TCP端口:80和3777 内部PC机:192.168.2.0/24和192.168.1.0/24(VLAN2和VLN1) 命令配置: Acl number 3400 Rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 80 Rule 5 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 3777
Rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 80 Rule 15 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 3777 Interface vlan-interface 3 Nat outbound 3400 注:acl的子网掩码和子网掩码是相反的,192.168.1.0/24的子网掩码是255.255.255.0 则acl的子网掩码是0.0.0.255 3. IP和MAC地址绑定 防止ARP欺骗 1) arp扫描:ARP防攻击 2) 固化 4. 互联网访问控制 1) 设置时间
操作手册 IP路由分册 IPv6 静态路由目录 目录 第1章 IPv6静态路由配置......................................................................................................1-1 1.1 IPv6静态路由简介.............................................................................................................1-1 1.1.1 IPv6静态路由属性及功能........................................................................................1-1 1.1.2 IPv6缺省路由..........................................................................................................1-1 1.2 配置IPv6静态路由.............................................................................................................1-2 1.2.1 配置准备..................................................................................................................1-2 1.2.2 配置IPv6静态路由...................................................................................................1-2 1.3 IPv6静态路由显示和维护..................................................................................................1-2 1.4 IPv6静态路由典型配置举例(路由应用).........................................................................1-3 1.5 IPv6静态路由典型配置举例(交换应用).........................................................................1-5
RG上的配置: interface FastEthernet1/0 ip address 10.1.1.1 255.0.0.0 ip policy route-map ruijie interface FastEthernet1/1 ip address 192.168.6.5 255.255.255.0 interface Serial1/2 ip address 172.16.7.5 255.255.255.0 ip route 0.0.0.0 0.0.0.0 FastEthernet1/1 ip route 0.0.0.0 0.0.0.0 Serial1/2 ip route 10.0.0.0 255.0.0.0 FastEthernet1/0 access-list 1 permit 10.1.0.0 0.0.255.255 access-list 2 permit 10.2.0.0 0.0.255.255 route-map ruijie permit 10 match ip address 1 set ip default next-hop 192.168.6.6 route-map ruijie permit 20 match ip address 2 set ip default next-hop 172.16.7.7 interface Loopback0 ip address 119.1.1.1 255.255.255.0 interface FastEthernet0/1 No swichport ip address 192.168.6.6 255.255.255.0 ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 interface Loopback0 ip address 119.1.1.1 255.255.255.0
telnet 防火墙IP地址 用户名 密码 --进入普通用户权限-- --在此命令下可输入一般命令-- --可用?看有哪些命令和命令的作用-- system-view --进入超级管理员权限界面-- --此提示符下可输绝大部分命令-- --(极少数需要在com终端输入)-- quit --退出当前状态,返回上一级-- 一般命令(不一定要把命令写全) display current 展示当前配置 acl number 3050 进入访问控制列表3050号 rule 66 permit ip ........ 在当前访问控制表增加或修改规则66号 rule的具体用法可用rule ?一步步显示出来,亦可参考我原写的命令 我原配置需要涉及的部分 1.ip和mac绑定,绑定方法具体看一下参数文件你就可明白 2.策略号3050 在该条策略中如有permit就是允许你指定的ip或ip段上网 3.策略号3051和305作用是限流 在该策略号具体用法可参考其中的rule规则 最后是save 否则一重启这些改动就会无效 sH3C路由器 ##################################################################### 1、system-view 进入系统视图模式 2、sysname R1 为设备命名为R1 3、display ip routing-table 显示当前路由表 4、 language-mode Chinese|English 中英文切换 5、interface Ethernet 0/0 进入以太网端口视图
6、 ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口 9、 quit 退出当前视图模式 10、 ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由 11、 ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默认的路由 H3C S3100 Switch H3C S3600 Switch H3C MSR 20-20 Router ##################################################################### 1、调整超级终端的显示字号; 2、捕获超级终端操作命令行,以备日后查对; 3、 language-mode Chinese|English 中英文切换; 4、复制命令到超级终端命令行,粘贴到主机; 5、交换机清除配置 :
重分布、路由策略综合实验 知识链接: stub area:不可以包含ASBR.不接收外部路由信息(LSA类型5),如果要到达外部AS的话就使用标记为0.0.0.0的默认路由.好处是可以减少路由表的条目.stub area没有虚链路(virtual link)穿越它们 totally stubby area:Cisco私有,不接收外部路由信息和路由汇总信息(LSA类型3,4和5).不可以包含ASBR.如果要到达外部AS的话就使用标记为0.0.0.0的默认路由.好处是最小化路由表条目 not-so-stubby area(NSSA):NSSA是OSPF RFC的补遗.定义了特殊的LSA类型7.提供类似stub area和totally stubby area的优点,可以包含的有ASBR stub area和totally stub area不可以包含的有ASBR,但是假如你想使用ASBR,又想使其具有stub area 和totally stub area的优点(减少路由表条目)的话,就可以采用NSSA. NSSA的ASBR将产生只存在于NSSA中的LSA类型7,然后ABR将LSA类型7转换成LSA类型5.使用default-information-originate参数创建一条area 0到NSSA的默认路由.并且类型5的LSA将不会进入NSSA(类似stub area) OSPF是基于无类的路由协议,它不会进行自动汇总.手动在ABR上做IA route summarization的命令如下: Router(config-router)#area [area-id] range [address] [mask] 在ASBR上做external route summarization的命令如下: Router(config-router)#summary-address [address] [mask] [not-advertise] [tag tag]
ICT企业网关H3C路由器配置实例 以下是拱墅检查院企业网关的配置实例。路由器是选H3C MRS20-10(ICG2000),具体配置的内容是: PPP+DHCP+NAT+WLAN [H3C-Ethernet0/2] # version 5.20, Beta 1605 # sysname H3C # domain default enable system # dialer-rule 1 ip permit # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable
# dhcp server ip-pool 1 network 192.168.1.0 mask 255.255.255.0 gateway-list 192.168.1.1 dns-list 202.101.172.35 202.101.172.46 # acl number 2001 rule 1 permit source 192.168.1.0 0.0.0.255 # wlan service-template 1 crypto ssid h3c-gsjcy authentication-method open-system cipher-suite wep40 wep default-key 1 wep40 pass-phrase 23456 service-template enable # wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11
H3C SR8800-X 核心路由器 策略路由配置指导
目录 1 简介 (1) 2 配置前提 (1) 3 使用限制 (1) 4 IPv4 策略路由配置举例 (1) 4.1 组网需求 (1) 4.2 配置思路 (2) 4.3 使用版本 (2) 4.4 配置步骤 (2) 4.5 验证配置 (3) 4.6 配置文件 (3) 4.7 组网需求 (4) 4.8 配置思路 (5) 4.9 使用版本 (5) 4.10 配置步骤 (5) 4.11 验证配置 (6) 4.12 配置文件 (6) 5 相关资料 (7)
1 简介 本文档介绍了策略路由的配置举例。 普通报文是根据目的IP 地址来查找路由表转发的,策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由可以基于到达报文的源地址、目的地址、IP 优先级、协议类型等字段灵活地进行路由选择。 2 配置前提 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文假设您已了解策略路由特性。 3 使用限制 ?本设备只支持转发策略路由。转发策略路由只对接口接收的报文起作用,指导其转发,对本地产生的报文不起作用; ?配置重定向到下一跳时,不能将IPv4 规则重定向到IPv6 地址,反之亦然。 4 IPv4 策略路由配置举例 4.1 组网需求 如图1 所示,缺省情况下,Device的接口GigabitEthernet 3/0/1 上收到的所有访问Server的报文根据路由表转发的下一跳均为10.4.1.2。 现要求在Device 上配置IPv4 策略路由,对于访问Server 的报文实现如下要求: (1) 首先匹配接口GigabitEthernet 3/0/1 上收到的源IP 地址为10.2.1.1 的报文,将该报文的下一 跳重定向到10.5.1.2; (2) 其次匹配接口GigabitEthernet 3/0/1 上收到的HTTP 报文,将该报文的下一跳重定向到 10.3.1.2。 图1 IPv4 策略路由特性典型配置组网图
1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、 language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、 port link-type Access|Trunk|Hybrid 设置端口访问模式 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口 9、 quit 退出当前视图模式 10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan 中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器 ##################################################################### ################# 1、system-view 进入系统视图模式 2、sysname R1 为设备命名为R1 3、display ip routing-table 显示当前路由表 4、 language-mode Chinese|English 中英文切换 5、interface Ethernet 0/0 进入以太网端口视图 6、 ip address 配置IP地址和子网掩码 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口 9、 quit 退出当前视图模式 10、 ip route-static description To.R2 配置静态路由 11、 ip route-static description To.R2 配置默认的路由 H3C S3100 Switch H3C S3600 Switch H3C MSR 20-20 Router ##################################################################### ##################### 1、调整超级终端的显示字号; 2、捕获超级终端操作命令行,以备日后查对; 3、 language-mode Chinese|English 中英文切换; 4、复制命令到超级终端命令行,粘贴到主机;
version 5.20, Release 2104P02, Basic # sysname H3C # nat address-group 27 122.100.84.202 122.100.84.202 # # domain default enable system # dns resolve dns proxy enable # telnet server enable # dar p2p signature-file cfa0:/p2p_default.mtd # port-security enable # # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # dhcp server ip-pool 1 network 192.168.201.0 mask 255.255.255.0 gateway-list 192.168.201.1 dns-list 202.106.0.20 202.106.46.151 # # user-group system # local-user admin password cipher .]@USE=*8 authorization-attribute level 3 service-type telnet # interface Aux0 async mode flow link-protocol ppp
interface Cellular0/0 async mode protocol link-protocol ppp # interface Ethernet0/0 port link-mode route nat outbound address-group 27 ip address 122.100.84.202 255.255.255.202 # interface Ethernet0/1 port link-mode route ip address 192.168.201.1 255.255.255.0 # interface NULL0 # # ip route-static 0.0.0.0 0.0.0.0 122.100.84.201 # dhcp enable # load xml-configuration # user-interface con 0 user-interface tty 13 user-interface aux 0 user-interface vty 0 4 authentication-mode scheme user privilege level 3 set authentication password simple###¥¥¥# return [H3C]
实例1 站点-站点IPSEC VPN+NA T+策略路由配置 要求: (1)网络10.2.2.0/24 与10.1.1.0/2通信使用VPN (2)网络10.2.2.0/24 、10.1.1.0/2与Internet通信使用NA T 1.R1的配置 hostname r1 ! ! crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco123 address 200.1.1.2 ! ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! crypto map mymap 10 ipsec-isakmp set peer 200.1.1.2 set transform-set myset match address 100 ! interface Ethernet0/0 ip address 10.2.2.1 255.255.255.0 ip nat inside ip virtual-reassembly half-duplex !
interface Ethernet0/1 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map mymap ! ip route 0.0.0.0 0.0.0.0 100.1.1.2 ! ip nat inside source route-map nonat interface Ethernet0/1 overload ! access-list 100 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 120 permit ip 10.2.2.0 0.0.0.255 any ! route-map nonat permit 10 match ip address 120 ! 2.R3的配置: hostname r3 ! crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco123 address 100.1.1.1 ! ! crypto ipsec transform-set myset esp-des esp-md5-hmac ! crypto map mymap 10 ipsec-isakmp set peer 100.1.1.1 set transform-set myset match address 100 ! interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface Ethernet0/1 ip address 200.1.1.2 255.255.255.0 ip nat outside crypto map mymap
H3C路由器常用基本配置命令 [Quidway]sysname router_name 命名路由器(或交换机) [Quidway]delete 删除Flash ROM中的配置 [Quidway]save 将配置写入Flash ROM [Quidway]interface serial 0 进入接口配置模式 [Quidway]quit 退出接口模式到系统视图 [Quidway]shutdown/undo shutdown 关闭/重启接口 [Quidway]ip address ip_address subnet_mask 为接口配置IP地址和子网掩码 [Quidway]display version 显示VRP版本号 [Quidway]display current-configuration 显示系统运行配置信息 [Quidway]display interfaces 显示接口配置信息 [Quidway]display ip routing 显示路由表 [Quidway]ping ip_address 测试网络连通性
[Quidway]tracert ip_address 测试数据包从主机到目的地所经过的网关 [Quidway]debug all 打开所有调试信息 [Quidway]undo debug all 关闭所有调试信息 [Quidway]info-center enable 开启调试信息输出功能 [Quidway]info-center console dubugging 将调试信息输出到PC [Quidway]info-center monitor dubugging 将调试信息输出到Telnet终端或哑终端 换机配置命令举例(大括号{}中的选项为单选项,斜体字部分为参数值 [Quidway]super password password 修改特权模式口令 [Quidway]sysname switch_name 命名交换机(或路 [Quidway]interface ethernet 0/1 进入接口视图 [Quidway]quit 退出系统视图 [Quidway-Ethernet0/1]duplex {half|full|auto} 配置接口双工工
实验路由策略 一实验拓扑图1 实验一 实验要求:原本网络使用EIGRP现在要求用OSPF来发现网络拓扑。 实验分析:要是网络平滑过渡可先将OSPF配置好,然后理由改变EIGRP的管理距离使OSPF替换EIGRP进路由表,等到全网为OSPF后,去掉EIGRP. 实验操作及结果:首先全网为EIGRP如下 r1#show ip route 192.168.12.0/30 is subnetted, 1 subnets C 192.168.12.0 is directly connected, Serial0/0 192.168.23.0/30 is subnetted, 1 subnets D 192.168.23.0 [90/2681856] via 192.168.12.2, 00:01:48, Serial0/0 C 192.168.1.0/24 is directly connected, Ethernet3/0 D 192.168.3.0/24 [90/2707456] via 192.168.12.2, 00:00:13, Serial0/0 r2#show ip route
192.168.12.0/30 is subnetted, 1 subnets C 192.168.12.0 is directly connected, Serial0/0 192.168.23.0/30 is subnetted, 1 subnets C 192.168.23.0 is directly connected, Serial0/2 D 192.168.1.0/24 [90/2195456] via 192.168.12.1, 00:02:56, Serial0/0 D 192.168.3.0/24 [90/2195456] via 192.168.23.2, 00:01:16, Serial0/2 r3#show ip route 192.168.12.0/30 is subnetted, 1 subnets D 192.168.12.0 [90/2681856] via 192.168.23.1, 00:01:21, Serial0/0 192.168.23.0/30 is subnetted, 1 subnets C 192.168.23.0 is directly connected, Serial0/0 D 192.168.1.0/24 [90/2707456] via 192.168.23.1, 00:01:21, Serial0/0 C 192.168.3.0/24 is directly connected, Ethernet3/0 现在在每个路由器都配置OSPF能发现都建立邻居,但没进路由表r1#show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 192.168.23.1 0 FULL/ - 00:00:32 192.168.12.2 Serial0/0 r2#show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 192.168.23.2 0 FULL/ - 00:00:35 192.168.23.2 Serial0/2 192.168.12.1 0 FULL/ - 00:00:31 192.168.12.1 Serial0/0 r3#show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 192.168.23.1 0 FULL/ - 00:00:32 192.168.23.1 Serial0/0 r1#show ip route 192.168.12.0/30 is subnetted, 1 subnets C 192.168.12.0 is directly connected, Serial0/0 192.168.23.0/30 is subnetted, 1 subnets D 192.168.23.0 [90/2681856] via 192.168.12.2, 00:01:48, Serial0/0 C 192.168.1.0/24 is directly connected, Ethernet3/0 D 192.168.3.0/24 [90/2707456] via 192.168.12.2, 00:00:13, Serial0/0