H3C基础笔记

 

产品介绍

路由器

• 高端
  SR8802  SR8805 SR8808 SR8812
• 开放多核心
  SR6602 SR6608
• 多业务开放路由器
  MSR20-1X MSR20 MSR30  MSR50
• ER系列路由器　ER3260 ER5100　ER3100

交换机

• 核心交换
  S7500 S7500E S9500
• 全千兆交换机
  S5100-SI/EI S5500SI/EI S5510 S5600
• 智能二层交换机
  S3100-S1/EI S3600-SI/EI S3610 E系列
• SMB交换机　　S1000/1200  S1500L/E CS2100 S5000P/E
   

远程连接网络设备命令行接口方式

1. 　　console　　  （本地）
2. 　　AUX　　       （基本不用）
3. 　　telnet　　     （远程明文传输不安全）
4. 　　ssh　　　　 （远程密文传输比较安全）
5. 　　异步串口　　（串行接口）

命令视图模式

• 用户试图
  • 　　查看系统的硬件和系统的信息
• 系统视图
• 路由协议视图
• 接口视图
• 用户界面视图

H3C的comware访问级别

0　　访问级　    ：简单测试命令ping debgging

1　　监控级　　：具有完整查看命令和测试命令

2　　系统级　　：修改网络设备的配置权限

3　　管理级　　：设备支撑业务的操作

基本查看命令

display history-commadn　　查看历史命令

display version　　查看版本信息

display current-configuration　　查看当前配置

display interface　　显示接口信息

display ip interface brief　　 查看接口状态与配置信息

display diagnostic-information 　　显示系统运行统计信息

 

配置TELNET服务

sys

int e0/0

ip add 192.168.10.254 24

undo sh

q

telnet server enable　　开启telnet

user-inter vty 0 4

authentication-mode password　　选择认证方式

set authentication password  cipher admin@123　　设置登录密码

user privilege level 3　　　　设置用户级别

q

local-user admin　　创建用户

password cipher admin@123　　配置密码

service-type telnet 　　设置服务类型

level 3　　设置用户等级

 

super password cipher admin@123  //配置超级密码

 

配置RIP（两台路由器）

sys

sys R1

int  e0/0

ip add 10.10.10.1 24

un sh

int loo0

ip add 1.1.1.1 32

rip

ver 2

undo summary

network 1.0.0.0

network 10.10.10.0

-------------------------------------------------------

sys

sys R2

int  e0/0

ip add 20.20.20.1 24

un sh

int loo0

ip add 2.2.2.2 32　　//配置回环口

rip

ver 2　　　　　　　　//使用版本2

undo summary　　　　//关闭路由汇总

network 2.0.0.0　　　　//宣告

network 20.20.20.0

----------------------------------

单臂路由配置（一个物理接口配置多个逻辑上的子接口）

vlan间互访

int g 0/0.10

ip add 10.1.1.1 24

vlan-type dot1q vid 10

int g 0/0.20

ip add 20.1.1.1 24

vlan-type dot1q vid 20

下连一台二层交换机需要使用一个接口开启trunk，配置vlan 10 20 ，pc网关指向子接口

×注意：vlan1 默认不打标记，可以通过trunk传输

×三层交换可以在每vlan配置IP，也可以实现互访，利用转发引擎

×在路由器做路由也可以

配置路由条目

ip route-static 目的网络地址 目的掩码 下一跳地址或出接口  preference 优先级

目的IP地址和mask都是0为默认路由

消除路由环路：ip route-static 10.0.0.0 24 null0　　　　路由器之间互相指定

×静态路由必须配置所有网段路由，静态路由默认优先级为60

×浮动静态路由：主路由优先级低，备份路由优先级高

×静态路由的负载分担：两台静态路由的优先级一样，基于流进行LSB

 

路由基础

• 路由度量值（metric）
• ospf　　带宽
• rip　　　　hop
• 静态　　无metric消耗

　　路由协议：RIP OSPF BGP

　　可路由协议： IP IPX

• 动态路由协议的分类：　

　　　　RIP  BGP

• 距离矢量路由协议：

　　　　OSPF ISIS

• RIP路由信息协议：距离矢量路由协议基于UDP520建立连接

1. 路由毒化
2. 水平分割
3. 定义最大的metric值
4. 抑制时间
5. 触发更新
6. 最大跳数为15跳

RIP计时器：

　　路由更新时间 30秒

　　无效时间180秒

　　抑制时间180秒

　　刷新时间240秒

RIP-V1有类的路由协议　

1. 　　缺点：不支持VLSM和CIDR，发送的路由更新中不携带子网掩码，不支持认证，广播更新
2. 　　有类协议：基于A、B、C类
3. 　　无类协议：不基于A、B、C类
4.        无法开启路由汇总

RIP-V2

1. 　　支持VLSM和CIDR，无类路由协议
2. 　　发送的路由更新中携带子网掩码
3. 　　支持明文和MD5认证
4. 　　使用组播更新224.0.0.9

RIP配置：

进入系统视图，创建RIP进程，进入RIP的配置视图

rip 1　　

version 2　　//使用rip版本2

undo summary　　//关闭路由汇总

network 10.0.0.0　　　　//接口启用rip协议

silent-interface loopback 0 　　//配置抑制状态，只接受不发送arp报文

quit

int e 0　　/进入接口

rip split-horizon　　//配置水平分割

rip poison-reverse　　//配置毒性逆转

rip authentiction-mode simple admin　　//配置rip认证

dis rip 1　　//查看rip信息

terminal debuggin　　//开启dug

debugging rip packet　　//查看debugg信息

**rip防环机制：路由毒化、水平分割、毒性逆转、抑制时间、出发更新、最大跳数

 

OSPF(开放最短路径优先)

•  OSPF只传播对端设备不具备的路由信息
• 使用IP协议89建立连接
• 使用组播地址进行路由更新：224.0.0.5 224.0.0.6

OSPF包类型

1. Hello包（hello时间10s，死亡时间40s，区域ID，认证类型、密钥，stup fang）
2. DBD数据库状态请求报文
3. LSR链路状态更新报文
4. LSU链路状态更新报文
5. LSAck链路状态确认报文

OSPF的组件：

1. 邻居表
2. 拓扑表
3. 路由表
4. LSDB链路状态数据库
5. SPF Tree

OSPF的算法：SPF 　　Dijikstra

OSPF工作过程：寻找邻居，建立邻接关系，链路状态传递，计算路由

OSPF的Route-ID（身份全网唯一）

RID选举：

1、手工指定RID

2、选择本地loopback接口地址最大

3、没有loopback，选取物理地址最大的

DR、BDR选举

• OSPF的接口默认优先级默认为1
• 选取RID最大的
• 接口优先级为0，将不参与选举

*OSPF每隔30分钟更新（flood），保持LSDB中的LSA永远最新的

OSPF区域

1、骨干区域

2、非骨干区域（普通区域）

OSPF基本配置命令

 rotue id 1.1.1.1　　配置route-id（手工指定）

ospf 1　　　　　　启动ospf进程

area 0　　配置ospf区域　（多区域必须有区域0）

net 1.1.1.1 0.0.0.0　　接口上启动ospf

network 10.1.1.0 0.0.0.255 

q

reset ospf 1　　重启ospf（用户视图）

修改接口ospf优先级

int e 0/0

ospf dr-prority  255  配置优先级

ospf cost 10　　配置cost值（默认为10）

*cost=10^8/接口带宽

 

dis ospf peer　　查看邻居表

dis ospf lsdb　　查看 链路状态数据库

dis ospf routing  ospf路由信息

dis ospf br　　查看调试信息

 

ACL访问控制列表

使用范围

• 防火墙
• NAT
• Qos
• 路由策略过滤
• 按需拨号

针对包过滤，允许或丢弃

ACL应用与接口下，进出口过滤

 

默认隐含通过规则（可修改为deny，permit）

 ACL反掩码：0检查1忽略

 ACL匹配原则

1. config顺序匹配
2. auto 休闲级匹配

a、匹配IP地址的子网掩码最长的，IP地址范围最小的（0越多的）

b、匹配二层地址的掩码最长的

c、匹配端口范围越小的

 

 访问控制列表标识

 

H3C配置启动包过滤防火墙功能

firewall enable

firewall default {permit|deny}　　//默认permit

基本ACL

acl number 2000

rule 0 deny source 2.2.2.2 0  　　//基本只能对源限制

rule deny source 1.1.1.1 0

 interface Ethernet 0/1/1

firewall packet-filter 2000 inbound

interface Ethernet 0/1/0

firewall packet-filter 2000 outbound

 

PBR（控制流量的走向）

PBR的deny让数据包安装默认的路由规则进行转发，

PBR配置

[R1]policy-based-route PBR permit node 10　　//建立一个PBR    或

[R1-pbr-PBR-10]if-match acl 3000　　//应用一个匹配　　　　与

[R1-pbr-PBR-10]apply ip-address next-hop 1.1.1.1  //匹配apply，指定下一跳

*PBR应用的接口是流量进入的接口

ping -s 1000　　指定ping包的大小

ping -r IP  查看记录由节点出去的IP地址

 

NAT

基本NAT(静态NAT一对一)

acl number 2000　　

rule 0 permit source 10.0.0.0 0.0.0.255　　//建立ACL进行匹配

nat address-group 1 198.76.28.11 198.76.28.20  //建立NAT地址池

int e 0/1　

nat outbound 2000 address-group 1 no-pat　　　//NAT应用到接口

no-pat(不使用端口地址转换)

 

NAPT(动态态NAT多对多)

acl number 2000　　

rule 0 permit source 10.0.0.0 0.0.0.255　　//建立ACL进行匹配

nat address-group 1 198.76.28.11 198.76.28.20  //建立NAT地址池

int e 0/1　

nat outbound 2000 address-group 1

 

Easy IP（思科PAT，一对多）

acl number 2000　　

rule 0 permit source 10.0.0.0 0.0.0.255　　//建立ACL进行匹配

int e 0/0

nat outbound 2000

 

NAT Server（静态映射）

int e 0/0 　　进入外网接口

nat server protocol tcp global 198.1.1.1（外网） 80 inside 10.1.1.1(内网) 8080

 

NAT ALG（应用层程序转换）

dis nat all|session　　显示地址转换信息

reset nat session　清除地址转换连接