ensp随笔

VRP系统有三种视图
（1）用户视图(<>)
（2）系统视图([])
system-view
（3）接口视图
在系统视图的基础上，interface 接口号（interface e0/0/0）

1.返回命令：
q(quit)（返回上一级视图）
return(直接返回用户视图)

2.查看命令：
display current-configuration
Dispaly+命令

3.删除命令
undo terminal monitor //清除提示
[HUAWEI]#clear configuration int g0/0/0 //清除端口一的所有配置

vlan:实现多个网段的之间的互通（三层交换机）
Vlan的划分：
0.进入系统视图
undo terminal monitor

system-view
1.创建vlan(如：创建多个vlan)
vlan batch 10 20 30
2.进入到相对应的端口中，把端口划进vlan(如：vlan10)
int e0/0/1 #进入端口e0/0/1
3.改变端口类型
port link-type access #把端口类型改为access
4.将端口划进相对应的Vlan
port default vlan 10 回车
在按q
5.查看创建好的Vlan
display vlan

Vlan的设置：
int Vlanif 10 #进入到vlan10中
ip address 192.168.10.1 24 #配置端口的ip(pc机的网关)地址，后面可接子网掩码或掩码位

acl:实现不同部门不能互访
访问控制列表（ACL）的配置：
1.创建ACL规则
acl 3000 #编号3000及以上不仅能匹配源ip,还能匹配目标ip,源端口，目标端口等
2. 加入规则
rule deny icmp source 192.168.10.1 0.0.0.255 destination 192.168.30.2 0
#禁止192.168.10.1网段ping192.168.30.2主机（也可改一下换成网段）
rule deny tcp source 192.168.10.2 0 destination 192.168.20.3 0 destination-port eq 21
#禁止192.168.2 使用ftp协议访问192.168.20.3（端口21）
rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
#禁止192.168.20.0网段访问192.168.30.0网段
3.查看已设置的ACL规则
dis acl all
4.删除acl规则(选)
undo acl 3000 #删除编号为3000的acl规则
注：
（1）一个接口的同一个方向，只能调用一个 acl
（2）一个 acl 里面可以有多个rule 规则，从上到下依次执行
（3） 数据包一旦被某 rule 匹配，就不再继续向下匹配了

5.创建流分类
traffic classifier VLAN #创建名为VLAN的流分类

6.将ACL与流分类关联
if-match acl 3000 #将acl与流分类关联（命令可能有点问题）

7.创建流行为
traffic behavior VLAN #创建名为VLAN的流行为
deny #配置流行为为拒绝报文通过
q(quit) #退出

8.创建流策略
traffic policy VLAN #创建名为VLAN的流策略

9.将流分类与流行为VLAN关联
classifier VLAN behavior VLAN #关联
q #退出

10.全局应用流策略
traffic-policy VLAN global inbound #全局应用流策略

dhcp:ip的自动分配
1.进入AR2路由
2.关闭系统提示（选）
undo terminal monitor

3.进入系统视图
system-view

4.开启DHCP服务
dhcp enable

5.进入相对应的端口（如：GE0/0/0）有几个端口使用就要配置几次
int gi 0/0/0

6.配置端口ip
ip add 192.168.10.1 24

7.配置接口采用全局地址池为客户端分配ip
dhcp select global

8.其他端口进行同样设置

9.创建dhcp池
ip pool test1 #创建一个名为test1的dhcp池

配置地址租期（选）
lease day 10 #租期为10天

设置dhcp不能分配的ip(选)
excluded-ip-address 192.168.10.2 192.168.10.10
#dhcp不能分配192.168.10.2 192.168.10.10这两个ip

10.设置池的范围
network 192.168.10.0 mask 24

11.设置dhcp的网关
gateway-list 192.168.10.1

12.设置dhcp的dns
dns-list 8.8.8.8

13.同理其他端口的dhcp池
14.查看地址池的配置
dispiay ip pool

ensp 防火墙（ Firewall 600）
默认：
name: admin
passwd: Admin@123
1.改密码（按y）
密码: admin@123
2.进入系统视图
system-view
将g0/0/1端口划进zone域中
firewall zone trust
add interface g0/0/1
q
3.进入接口1
int g0/0/1
4.给此端口配置ip
ip ad 192.168.3.2 24
设置允许访问
service-manage all permit
q
设置策略
security-policy
rule name test
source-zone any
destination-zone any //到那里去
q
q
ip route-static 0.0.0.0 0.0.0.0 网关ip
查看接入的ip
display ip routing-table

加入其他的网段到允许网段中
ip route-static 其他网段 防火墙网关ip
如：ip route-static 192.168.10.0 24 192.168.6.1

路由中设置
ip route-static 0.0.0.0 0.0.0.0 防火墙网关ip
ip route-static 0.0.0.0 0.0.0.0 路由器网关ip
ip route-static 192.168.10.0 24 路由器网关ip
ip route-static 192.168.20.0 24 路由器网关ip
display ip routing-table

交换机中
ip route-static 0.0.0.0 0.0.0.0 交换机网关ip
display ip routing-table