hcna笔记数通方向

hcna笔记数通方向RevisedbyBLUEontheafternoonofDecember12,2020.第一章VRP操作基础1VRP基础MiniUsb串口连接交换机的方法2eNSP入门3命令行基础（1）用户视图（文件）系统视图（系统sys）接口视图（接口interfaceGigabitEthernet0/0/0）一一协议视图（路由）displayhotkey显示功能键displayclock显示时间clocktimezoneCSTadd8设置时区（先设时区再设时间）clockdatetime设置时间headerlogininformation#内容登录前信息headershellinformation登录后信息（格式同上）Ctrl+能够退出査看该信息用户权限15命令权限3?为console口配置password：user-interfaceconsole0。进入到相应IIauthentication-modepassword:认证模式为passworksetauthenticationpasswordcipherhuawei;设置password（路由器不须要）为vty（telnet）passworduser-interfacevty04其他同上userprivilegelevel3：用户命令等级3（管理员）PS：console不用dishistory-command:显示历史命令为接口配置2个IP地址管理网口配置:汇聚交换机管理IP配置网关vlanif已在核心交换机内在汇聚交换机中新加和核心交换机中同样vlanifo并分配IP（网段同网关）4.命令行基础（2）云配置：udp（入口）1绑泄vmware仅主机网卡（岀口）2要做port映射1-2双向2-1双向displayversion查看路由器基本信息displayinterfaceGigabitEthernet0/0/0查看接口状态信息displayipinterfacebrief査看全部接口的IP简要信息含IP地址displayiproutingtable査看路由表displaycurrent-configuration査看、勺前的配置（内存中）displaysaved-configuration査看保存的配宜（Flash中）dirflash:查看Flash中的文件save保存配宜文件reboot重新启动设备telnet实验（参照上而命令）3A认证（不同用户不同password）user-interfacevty04authentication-modeaaa:差另ljpassworduserprivilegelevel15aaalocal-useradminpasswordcipherhuawei;建用户并给passwordlocal-useradminprivilegelevel151ocal-useradminservice-typetelnet:类型telnet登录后使用disusers可査看当前登录用户抓包能够分析出telnet的passwordFollowTCPStream文件系统基础cd改变文件夹more査看文件内容copy复制copyflash：/（拷贝根文件夹“需加flash下的配置文件到当前文件夹）move移动delete删除rename改名undelete恢复回收站的文件pwd显示路径mkdir创建文件夹rmdir删除文件夹format格式化fixdisk修复文件系统save生成displaysaved显示保存配宜displaycur显示当前配置resetsaved删除保存配置+reboot第一次N=设备复位compareconfiguration比较配置文件差别删除/永久删除文件delete/unreserved(dir/all可查看回收站的文件)恢复删除的文件undelete彻底删除回收站中的文件resetrecycle-bin载入不同的配置文件disstartup。查看开机信息，当中有载入配置文件的路径startupsaved-configurationflash：/；更改启动配置文件比较当前配程与I次启动的配lt?compareconfiguration系统管理(1)路由器做为client:ftp（FTPserver地址）getI、载文件到ftp?put上传文件到ftp系统管理（2）第二章静态路由路由原理、静态路由基本配置路由的来源：直连路由：链路层发现的路由（direct）管理员手工增加：静态路由（static）路由器协议学到的路由：动态路由（ospfrip）静态路由特点：9. 优：实现简单，稱确控制，不占资源缺：不适用大型网络，网络变更须要手动改disiprouting-table；查看路由表，直连11条静态路由深入分析优先级pre：直连最大00SPF静态度量值cost：同一路由下。选择最小开销（多因素）的路径以上参数。值越小，优先级越高匹配原则：目的地址和路由表的掩码做与。再比较路由中的“目的地址”优先挑掩码大的做匹配下一跳写法：点对点：能够省略下一跳:以太网：能够省略出接口:disfib:终于采纳的路由表递归查询（带R标志）：经过中间多次查询。终于到达目的地址负载分担、路由备份双线路负载（2条线路同一时候工作）：平时2条静态方向不同的路由表，能够达到负载的作用：浮动路由（路由备份，平时仅仅有一条线路工作）：通过当中一条设豊成低优先级（增加路由时加preference）的路由，变成浮动（路由表中看不到），出问题才出现第三章RIP动态路由协议基础常见的动态路由协议有：RIP：RoutingInformationProtocolo路由信息协议。OSPF：OpenShortestPathFirst开放式最短路径优先。ISIS：IntermediateSystemtoIntermediateSystem,中间系统到中间系统BGP：BorderGatewayProtocols边界网关协议。分类：自治系统内部的路由协议IGP：RIPvl/v2.OSPF、ISIS单播，组播不同路由协议不能直接互相学习，但能够通过路由引入来导入不同的协议简介及基本配置度量值:跳；最多不能够超过15跳2个路由学习时，更新是一个方向。学回后的路由指向是相反方向:UDP：520port工作在应用层RIP基本配置rip1:进入相关进程？silent-interfaceGigabitEtherne10/0/0。静默（关闭）某接口发送第四章OSPF基本原理及基本配置开放式最短路径优先（0SPF）链路状态路由协议无环路收敛快扩展性好支持认证0SPF报文封装在IP报文中，协议号为89o0SPF工作原理：路由通过LSA泛洪收集到路由数据库（LSDB）通过SPF算法依据自身算出最短路由（交换的不是路由表，而是数据库）hello报文建立邻居关系邻接（同步数据库，full状态）0SPF区域：分区域为了减小数据大小disospfpeerbrief:査看ospf邻居信息第七章访问控制列表35.基本ACL介绍ACL是用来实现流识别功能的。ACL（AccessControlList,访问控制列表）是定义好的一组规则的集合，通经常使用于：标识感兴趣网络流量过滤经过路由器的数据包分类：基本ACL：20002999报文的源IP地址髙级ACL：30003999报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性等三、四层信息配置ACL的过程：实际上就是告诉路由器同意或者拒绝某些数据包ACL难点：通配符、语句顺序、方向性单台：多台：样例：特殊的通配符掩码ACL顺序匹配：一但匹配成功，后而的列表将不再检查（比较苛刻的放前而）未命中规则（一条都不匹配）：不同模块处理不一样。假设是转发模块。则转发数据包；假设是telnet模块，则不同意;假设是路由过滤，不冋意路由通过。PS：最后一条，96应该是100样例：acl2000ruleintgi0/0/0;进入相关接口traffic-filterinboundacl2000:应用到相关接口disacl2000。查看?distraffic-filterapplied-record；查看接口（方向）应用了哪个列表基本ACL应用案例禁止telnet:user-interfacevty04:进到vtyacl2999inbound冏用到该接口，和物理接口有差别ruleprimit;ACL中加这名是由于,ACL匹配未成功后。telnet模块。不同意通过数据包时间控制：time-rangework-time9:0to18:00working-day6上义work-time星期一到六acl2001ruledenytime-rangeworktime:上班时间不同意上网rulepermit禁I上学习某路由表：rip1o进到相关ripfilter-policy（过滤策略）2000export;2000为定义的acl。export代表向外公布；import代表我要学习自己主动让匹配宽松的放前面，苛刻的放后而?acl2200match-orderauto高级ACLtraffic-filterinboundacl3000：进入port0并应用ACL放置位置基本ACL尽可能靠近目的?髙级ACL尽可能靠近源内能够ping外，外不能够ping内（ping分析：去类型为：echo回类型为：echo-reply）aclnumber3000rule5denyicmpicmp-typeechorule10permitiptraffic-filterinboundacl3000内能够telnet外，外不能够telnet内（tcp三次握手，第一个包不带ack位）rule8permittcptcp-flagack；放彳亍带ack的rule9denytcp；拒绝不带ack的第八章网络地址转换3&静态NAT.动态NAT静态nat和外网地址一一相应，n-n不能降低公网地址：环回口配置静态nat配置动态nat配置nNATserverNAPTorPAT（port地址转换）：动态port转换设置同动态NATnatoutbound2000address-group1:先内后外与动态NAT差别：no-patEasyIP配置（家庭使用，没有固左IP）natoutbound2000:仅仅指左源IPport映射第一十一章交换基础、VLAN原理和配置筒单vlan配置vlan10。创建valndisvlandisportvlan；接I1vlan状态inteth0/0/0porttype-linkaccess；接】类型portdefaultvlan10；配置.Accessport在收到数据后会增加VLANTagoVLANID和port的PVID同样。Accessport在转发数拯前会移除VLANTa当Trunkport收到帧时，假设该帧不包括Tag,将打上port的PVID：假设该帧包括Tag,则不改变。当Trunkport发送帧时。该帧的VLANID任Trunk的同意发送列表中：若与port的PVID（trunk2端pvid必须同样，默认是1）同样时。则剥离Tag发送：若与port的PVID不同一时候，则直接发送。vlanbatch102030;批量10to30（10,11。12.30）配置Trunkintgi0/0/1portlink-typetrunkporttrunkallow-passvlanall；同意通过的vlanporttrunkpvidvlan1:改变pvid，默认是1disportvlanactive;査看trunk接1是否打标记，TorUPS：取消Trunkundoporttrunkallow-passvlanallporttrunkallow-passvlanlportlinktypeaccess接口访port能够连不论什么设备第一三章VLAN间路由、VRRP5&单臂路由实现VLAN间路由每一个vlan个物理连接（一条线）交换机与路由2根线（有几个VLAN就有几根线）PS：缺点交换机端：该端配置和“客户port”同样路由端：仅仅需配IP（网关）单臂路由将交换机和路由器之间的链路配置为Trunk链路。而且在路由器上创建子接口以支持VLAN路由。交换机端：配置trunk?59.三层交换实现VLAN间路由复杂模式：三层接二层（带管理）中间设jit成trunk,三层也要建和二层相关VLAN。intvlanif放在三层上。第一十四章交换机port技术63链路聚合（手工模式）1SWAinterfaceEth-Trunk1SWA-Eth-TrunkllinterfaceGigabitEthernet0/0/1.SWA-GigabitEthernetO/O/leth-trunk1SWA-GigabitEthernetO/O/1.interfaceGigabitEthernetO/O/2SWA-GigabitEtherne10/0/2eth-trunk1diseth-trunk1；查看链路PS：trunkport卜做链路聚合方法：先做链路聚合，然后在inteth-trunk数字下做Trunk72.防火墙技术依照防火墙实现的方式。一般把防火墙分为例如以下几类：包过滤防火墙：简单。每一个包都要检查。缺乏灵活性。策略多影响性能代理型防火墙：安全，但不方便，针对性强（http代理）。不通用状态检测防火墙：基于连接状态，结合以上2种防火墙的长处仅仅防网络层和传输层。不防应用层（比方站点漏洞）。防外不防内：防火墙的安全区域：Local（100网网）Trust（85外网）DMZ（50WEBserver）髙能够访问低，低不能够访问高配置思路配置女全区域和安全域间将接口增加安全区域。配置ACL。在安全域间配程基于ACL的包过滤。1在AR2200_h配置安全区域和安全域间system-viewHuawei.firewallzonetrustHuawei-zone-trustpriority15Huawei-zone-trust.quitHuaweifirewallzoneuntrustHuawei-zone-untrustpriority1.Huawei-zone-untrustquitHuawei,firewallinterzonetrustuntrusto配置（进入）域间-Huawei-interzone-trust-untrustfirewallenable。开启该域间的防火墙LHuawei-interzone-trust-untrustquit2.在AR2200上将接口增加安全区域intgiO/O/lzoneOUTSIDE:相关接口增加到相关区域（华为防火墙：假设不增加的话。与之相连的PC不能访问该port,和路由有差别）PS：以上另外等价方法firewallzonetrust；进入相关区域addintgiO/O/1o增加相关portPS：disfirewallsessionall:查看防火墙的全部会话信息3.在AR2200上配置ACLFTP的主动（FTP本身），彼动（client）模式内网访问外网FTP。FTP主动模式（PORT）不能传数据（经常外网FTPserver访问不了，FTP下载软件要改成被动模式），但被动模式（PASV）能够访问ASPF配置工作在应用层，检测http、FTP等，能够为这些协议打开放行通道firewallinterzoneINSIDEOUTSIDE：进入到相关区域detectaspfall:开启检测