ENSP上各種基礎協議的配置

玩家_名獄發表於2020-09-27

以前在思科的PT模擬器上學習基礎的網路協議,這次學高階的網路配置,轉用到ensp,在ensp上學習了基礎的協議的配置,做個筆記,以後查閱

配置介面IP

# [Huawei]interface GigabitEthernet 0/0/0  # 可簡寫如下
[Huawei]int g0/0/0
# ip address 具體IP 十進位制掩碼
[Huawei-GigabitEthernet0/0/0]ip add 10.0.13.3 24

取消某個協議和介面IP

已知R1配置了RIP協議,現在要取消使用RIP協議,先顯示rip的資訊,記住 RIP process 這個ID號

[R1]display rip
Public VPN-instance
RIP process : 1
RIP version : 2
Preference : 100
Checkzero : Enabled
Default-cost : 0
Summary : Disabled

​ ……

# undo 協議 程式號
[R1]undo rip 1

介面配置了IP之後,進入該介面使用如下命令取消IP的設定

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]undo ip address

環回地址

完成網路規劃之後,為了方便管理,會為每一臺路由器建立一個loopback 介面,並在該介面上單獨指定一個IP 地址作為管理地址,管理員會使用該地址對路由器遠端登入(telnet ),如果使用介面的地址,一旦介面shutdown了就不能遠端登陸了,環回虛擬地址永遠不會shutdown掉。環回地址和各介面的地址不在同一個網段

環回地址拓撲圖

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 24 
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]int LoopBack ?
  <0-1023>  LoopBack interface number
[Huawei]int LoopBack 1
[Huawei-LoopBack1]ip add 192.168.2.1 24

PC>ping 192.168.2.1

Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break
From 192.168.2.1: bytes=32 seq=1 ttl=255 time=16 ms
From 192.168.2.1: bytes=32 seq=2 ttl=255 time=16 ms
From 192.168.2.1: bytes=32 seq=3 ttl=255 time=15 ms
From 192.168.2.1: bytes=32 seq=4 ttl=255 time=16 ms
From 192.168.2.1: bytes=32 seq=5 ttl=255 time=16 ms

— 192.168.2.1 ping statistics —
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 15/15/16 ms

靜態路由

目標是為了使PC1能ping通PC2

靜態路由拓撲圖

每個介面和主機都設好IP之後,R1中只有自身兩個介面和PC1的IP段,沒有其它網段了,所以就無法到達PC2,要使兩個PC能通,就得在每個路由器上指定某個目標網路的下一條地址(介面),這樣每次都能在下一跳的路由器上尋找到目標主機的方向,雙向都配置才能有去有回

# ip route-static 目標網段 目標網段掩碼 下一跳地址
[R1]ip route-static 192.168.3.0 255.255.255.0 10.0.13.3

# R3要配置兩個方向的靜態路由,否則只能單向傳遞
[R3]ip route-static 192.168.3.0 255.255.255.0 192.168.1.2
[R3]ip route-static 192.168.2.0 255.255.255.0 10.0.13.1
 
[R2]ip route-static 192.168.2.0 255.255.255.0 192.168.1.1

RIP協議

使R1和R2之間能ping通,下面只配置R3,R1和R2的配置與R2類似,都是隻加自身介面的網段

RIP協議拓撲圖

[R3]rip	
[R3-rip-1]version 2  # 使用第2版本的
[R3-rip-1]network 192.168.1.0
[R3-rip-1]network 10.0.0.0
# [R3-rip-1]undo summary  # 關閉自動彙總

[R3]display rip  # 檢視rip協議資訊

注意:新增的網路地址使用的是預設的五類地址,如172.18.10.0/24也要寫成172.16.0.0,192.168.43.1/24寫成192.168.0.0,不能將10.0.13.0/24寫成10.0.13.0

OSPF協議

ospf協議比rip協議穩定,收斂速度快,且容易管理.在OSPF單區域中,每臺路由器都要收集其他所有路由器的鏈路狀態資訊,如果網路規模不斷擴大,鏈路狀態資訊也會隨之不斷的增多,這將使得單臺路由器上鍊路狀態資料庫非常龐大,導致路由器負擔加重,也不便於維護管理。為了解決上述問題,OSPF協議可以將整個自治系統劃分為不同的區域(Area)。下面配置多區域的OSPF,1.0和2.0網段在區域0,3.0和4.0在區域1,最後實現PC1能ping通PC2

OSPF拓撲圖

# 假設每個介面和主機都配置好了IP
# ospf 程式
[R1]ospf 1	
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255

[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]quit
[R2]ospf 1
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]network 192.168.3.0 0.0.0.255

[R3]ospf 1
[R3-ospf-1]area 1
[R3-ospf-1-area-0.0.0.1]ne	
[R3-ospf-1-area-0.0.0.1]network 192.168.3.0 0.0.0.255
[R3-ospf-1-area-0.0.0.1]network 192.168.4.0 0.0.0.255

DHCP基本服務

AR4配置DHCP服務,使PC3能自動獲取IP,地址池分為介面地址池(interface)和全域性地址池(global),介面地址池的優先順序比全域性地址池的優先順序高

DHCP拓撲圖

使用全域性地址池的方式配置DHCP服務

# 為路由器介面分配IP
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0]quit
# 開啟DHCP服務
[Huawei]dhcp enable
# 定義一個IP池,名字叫做zhongxiaohang
[Huawei]ip pool zhongxiaohang
# 設定網段和子網掩碼
[Huawei-ip-pool-zhongxiaohang]network 192.168.1.0 mask  24
# 設定閘道器
[Huawei-ip-pool-zhongxiaohang]gateway-list 192.168.1.1
# 設定DNS伺服器地址
[Huawei-ip-pool-zhongxiaohang]dns-list 8.8.8.8
# 設定保留地址,可以是具體一個ip,也可以是範圍的ip
[Huawei-ip-pool-zhongxiaohang]excluded-ip-address 192.168.1.5 192.168.1.20
# 設定租期,三天後就過期,之後就得重新獲取
[Huawei-ip-pool-zhongxiaohang]lease day 3
[Huawei-ip-pool-zhongxiaohang]quit
[Huawei]int g0/0/0
# 指定介面採用全域性地址池為客戶端分配IP地址
[Huawei-GigabitEthernet0/0/0]dhcp select global

若一個路由器接上多個埠,並要為各個埠下的主機分配IP,要在每個埠都配上採用全域性地址

下面使用介面地址池的方式配置DHCP服務

[Huawei]int g0/0/0
# 指定介面採用介面地址池為客戶端分配IP地址
[Huawei-GigabitEthernet0/0/0]dhcp select interface
[Huawei-ip-pool-zhongxiaohang]dhcp server dns-list 8.8.8.8
[Huawei-ip-pool-zhongxiaohang]dhcp server excluded-ip-address 192.168.1.5 192.168.1.20
[Huawei-GigabitEthernet0/0/0]dhcp server lease day 3

獲取的IP地址和介面是同一個網段

PC3點選基礎配置中IPv4配置的DHCP之後,點右下角的應用,再在命令列中敲ipconfig命令就可以看到有IP地址了

DHCP中繼配置

R7作為DHCP伺服器,為三臺PC提供IP地址

DHCP中繼配置拓撲圖

# 假設路由器的各個介面都配置好了IP,也配置了路由協議(ospf或rip)使R5能ping通R7
# R7開啟基本的DHCP服務和配置地址池
[R7]dhcp enable 
[R7]ip pool zhongxiaohang
[R7-ip-pool-zhongxiaohang]gateway-list 192.168.1.1
[R7-ip-pool-zhongxiaohang]network 192.168.1.0 mask 255.255.255.	
[R7-ip-pool-zhongxiaohang]dns-list 8.8.8.8	
[R7-ip-pool-zhongxiaohang]excluded-ip-address 192.168.1.120 192.168.1.254
[R7-ip-pool-zhongxiaohang]quit
[R7]int g0/0/0
[R7-GigabitEthernet0/0/0]dhcp select global

# 開啟dhcp服務
[R5]dhcp enable
# 中繼裝置配置dhcp組
[R5]dhcp server group zhong
# 組中新增dhcp伺服器的地址
[R5-dhcp-server-group-zhong]dhcp-server 192.168.3.2
[R5-dhcp-server-group-zhong]quit
# 開啟連線本地的介面
[R5]int g0/0/0
# 啟動dhcp中繼
[R5-GigabitEthernet0/0/0]dhcp select relay
# 對映該中繼到dhcp組
[R5-GigabitEthernet0/0/0]dhcp relay server-select zhong

ACL訪問控制列表

分類編號範圍引數
標準ACL2000~2999源IP地址等
擴充套件ACL3000~3999源IP地址、目的IP地址、源埠、目的埠等
二層ACL4000~4999源MAC地址、目的MAC地址、以太幀協議型別等
標準ACL
[AR1]acl 2000
# 拒絕網段,注意這裡的0.0.0.255不是反掩碼,0代表不可變,1代表可變
[AR1-acl-basic-2000]rule 5 deny source 192.168.1.0  0.0.0.255
# 允許網段,rule可以加步長,也可以不加,不加預設步長增長為5
[AR1-acl-basic-2000]rule 10 permit source 192.168.2.0  0.0.0.255
[AR1]int g0/0/0
# 將該控制列表應用到該介面,應用方式為outbound
[AR1-GigabitEthernet 0/0/0]traffic-filter outbound acl 2000
# 檢視應用到介面的配置是否成功
[AR1]display acl 2000
擴充套件ACL
[AR1-acl-adv-3000]acl 3000
# 拒絕某個網段訪問某個具體IP
[AR1-acl-adv-3000]rule deny tcp source 192.168.2.0 0.0.0.255 destination 59.42.106.13 0.0.0.0
# 拒絕某個網段訪問某個IP的21埠
[AR1-acl-adv-3000]rule deny tcp source 192.168.2.0 0.0.0.255 destination 59.4
2.106.14 0.0.0.0 destination-port eq 21
[AR1-acl-adv-3000]quit
[AR1]int g0/0/0
# 將該控制列表應用到該介面,應用方式為outbound
[AR1-GigabitEthernet 0/0/0]traffic-filter outbound acl 3000
# 檢視應用到介面的配置是否成功
[AR1]display acl 3000

靜態NAT

為下面的介面配置了IP,配置動態路由協議時不加192.168.1.0網段,此時PC1 ping 不通PC3,為PC1對映一個公網地址,之後就可以ping通PC3了

靜態NAT拓撲圖

# 配置動態路由協議只加外部埠的網段
[AR1]rip	
[AR1-rip-1]version 2
[AR1-rip-1]network 59.0.0.0
[AR1-rip-1]quit
# 進入連線外網的介面配置地址對映
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat static global 59.42.106.13 inside 192.168.1.2
[AR1-GigabitEthernet0/0/1]nat static global 59.42.106.14 inside 192.168.1.3
# 檢視是否配置成功
[AR1]display nat static

動態NAT

拓撲圖和靜態nat的拓撲圖一致,目標也一致

# 配置動態路由協議只加外部埠的網段
[AR1]rip	
[AR1-rip-1]version 2
[AR1-rip-1]network 59.0.0.0
[AR1-rip-1]quit
# 建立地址池
[AR1]nat address-group 1 59.42.106.13 59.42.106.15
# 建立標準訪問控制列表
[AR1-acl-basic-2001]rule 5 permit source 192.168.1.0 0.0.0.255
[AR1-acl-basic-2001]quit
[AR1]int g0/0/1
# 將標準訪問控制列表和地址池形成對映
[AR1-GigabitEthernet0/0/1]nat outbound 2001 address-group 1 no-pat
# 檢視是否配置成功
[AR1]display nat address-group 1

VLAN配置

各主機和所屬VLAN的情況如下,要實現各vlan之間隔離,只能ping同一個vlan中的主機

VLAN拓撲圖

# 建立vlan 2和3
[LSW1]vlan 2
[LSW1-vlan2]vlan 3
[LSW1-vlan3]quit
# 檢視vlan資訊
[LSW1]display vlan
# 設定交換機連線PC的口的工作方式為access,並設定所屬VLAN
[LSW1]int e0/0/1
[LSW1-Ethernet0/0/1]port link-type access
# 將埠加入valn2
[LSW1-Ethernet0/0/1]port default vlan 2
[LSW1-Ethernet0/0/1]quit
[LSW1]int e0/0/2	
[LSW1-Ethernet0/0/2]port link-type access 
[LSW1-Ethernet0/0/2]port default vlan 3
[LSW1-Ethernet0/0/2]quit
# 兩臺交換機相互連線的介面的工作方式為trunk,並設定允許通過的多個VLAN
[LSW1]int e0/0/11
[LSW1-Ethernet0/0/11]port link-type trunk 	
[LSW1-Ethernet0/0/11]port trunk allow-pass vlan 2
[LSW1-Ethernet0/0/11]port trunk allow-pass vlan 3

[LSW2]vlan 2
[LSW2-vlan2]vlan 3
[LSW2-vlan3]quit
[LSW2]int e0/0/1	
[LSW2-Ethernet0/0/1]port link-type access 
[LSW2-Ethernet0/0/1]port default vlan 3
[LSW2-Ethernet0/0/1]quit
[LSW2]int e0/0/2	
[LSW2-Ethernet0/0/2]port link-type access 
[LSW2-Ethernet0/0/2]port default vlan 2
[LSW2-Ethernet0/0/2]quit
[LSW2]int e0/0/11
[LSW2-Ethernet0/0/11]port link-type trunk 
[LSW2-Ethernet0/0/11]port trunk allow-pass vlan 2
[LSW2-Ethernet0/0/11]port trunk allow-pass vlan 3

VLAN配置IP

# 批量建立範圍vlan 2和3
[LSW1]vlan batch 2 3
[LSW1]interface vlanif 2
[LSW1-Vlanif2]ip address 192.168.1.1
[LSW1-Vlanif2]quit
[LSW1]interface vlanif 3
[LSW1-Vlanif3]ip address 192.168.2.1
[LSW1-Vlanif3]quit

FTP服務

首先保證資料可達,如配置了ospf服務,介面IP等

傳檔案時可以使用ftp服務,一般會對日誌檔案進行備份,可以通過該方式進行備份儲存,下面使用兩個路由器,一個作為客戶端,一個作為服務端,服務端配置FTP服務,客戶端無需配置直接連線,FTP服務使用20和21埠,21作為傳輸控制資訊的埠,20作為資料傳輸的埠

# 開啟ftp服務
[Rserver]ftp server enable
# 設定ftp服務的根目錄
[Rserver]set default ftp-directory flash:/
# 進入aaa檢視,AAA認證模式
[Rserver]aaa
# 設定使用者zhong,密碼模式為cipher加密模式,密碼12345678
[Rserver-aaa]local-user zhong password cipher 12345678
# 設定該使用者的服務型別為ftp服務
[Rserver-aaa]local-user zhong service-type ftp
# 設定該使用者的ftp服務的訪問目錄為 flash:/
[Rserver-aaa]local-user zhong ftp-directory flash:/
# 設定該使用者的最大連線數
[Rserver-aaa]local-user zhong access-limit 200
# 設定該使用者無操作時的超時時間
[Rserver-aaa]local-user zhong idle-timeout 0 0
# 設定訪問級別,3為管理員許可權
[Rserver-aaa]local-user zhong privilege level 3
# 客戶端連線,連線伺服器地址
[Rclient]ftp 192.168.1.1
# 輸入使用者名稱:zhong
# 輸入密碼(無回顯):12345678
# 之後可以對目錄下的檔案操作,如拷貝get\上傳put
# 列出該目錄下的檔案
[Rclient-ftp]dir

telnet服務

首先保證資料可達,如配置了ospf服務,介面IP等

配置了該服務的路由器之後,遠端主機可以遠端對路由器進行連線管理配置,連線可以使用物理介面,也可以使用虛擬邏輯介面loopback,下面使用的都是介面的方式

下面使用vty的方式登陸

# 設定最大為5個使用者
[Rserver]user-interface vty 0 4
# 設定密碼的加密方式為cipher,密碼為12345678
[Rserver-ui-vty0-4]set authentication password cipher 12345678
# 連線伺服器的地址
[R1]telnet 192.168.1.2
# 輸入密碼之後
#成功登陸到伺服器
<Rserver>
# 退出
<Rserver>quit

下面使用AAA認證模式配置telnet服務

[Rserver]aaa
[Rserver-aaa]local-user zhong password cipher 12345678
[Rserver-aaa]local-user zhong service-type telnet
[Rserver-aaa]local-user zhong privilege level 3
[Rserver-aaa]quit
[Rserver]user-interface vty 0 4
# 設定認證方式
[Rserver-ui-vty0-4]authentication-mode aaa
[Rserver-ui-vty0-4]quit
# 連線伺服器的地址
[R1]telnet 192.168.1.2
# 輸入賬號:zhong
# 輸入密碼(無回顯):12345678
#成功登陸到伺服器
<Rserver>
# 退出
<Rserver>quit

鏈路聚合

使用三層模型時,核心交換機的一個介面的頻寬速率有限,一般情況下可以買更好的硬體和更好的線路來提升網路的頻寬,但是這樣要付出高額的費用,且不靈活。可以使用鏈路聚合技術提高頻寬,在兩個裝置連線時,可以使用多個實際物理介面相連線,然後配置這幾個介面聚合為一個邏輯介面,這樣資料傳輸時就可以同時使用這幾個物理介面,速率等於幾個介面的速率之總和。

鏈路聚合模式有兩種,手工負載分擔模式、LACP模式

  • 手工負載分擔模式:多個介面合併為一個邏輯介面,都承擔資料傳輸。某個介面掛掉,剩下的介面平均分擔
  • LACP模式:最多n-1個介面和併為一個邏輯介面,承擔資料傳輸,剩下的一個或多個介面作為備份介面,若某一個介面down掉了,該介面就可以開始資料傳輸工作。提高了可靠性

注意:配置鏈路聚合(Eth-Trunk)時,成員介面兩端相連線的物理介面的數量、速率、雙工方式、流控方式必須一致

Eht-Trunk的配置有兩種,二層鏈路(預設)和三層鏈路

  • 二層鏈路:建立eth-trunk之後,在該模式下直接新增埠作為成員埠
  • 三層鏈路:建立eth-trunk之後,使用undo portswitch命令將二層鏈路裝變為三層鏈路,在該模式下直接新增ip地址最為成員埠(如ip add 192.168.1.2),退出該模式後,進入某個介面,使用命令eth-trunk 1將該介面加入到eth-trunk1下面

鏈路聚合拓撲圖

使用手工負載分擔模式配置

# 建立,編號為1
[LSW1]interface Eth-Trunk 1
# 新增介面
[LSW1-Eth-Trunk1]trunkport e0/0/1
[LSW1-Eth-Trunk1]trunkport e0/0/2
[LSW1-Eth-Trunk1]trunkport e0/0/3
[LSW1-Eth-Trunk1]quit
# 檢視是否配置成功
[LSW1]display interface Eth-Trunk 1

使用LACP模式配置

[LSW1]interface Eth-Trunk 2
[LSW1-Eth-Trunk2]mode lacp-static
[LSW1-Eth-Trunk2]trunkport  e0/0/1
[LSW1-Eth-Trunk2]trunkport  e0/0/2
[LSW1-Eth-Trunk2]trunkport  e0/0/3
[LSW1-Eth-Trunk2]quit
# 設定優先順序,數字越小優先順序就越高。優先順序高的作為主動方,主動方可決定哪些介面處於活動狀態
[LSW1]lacp priority 100
[LSW1]interface Eth-Trunk 2
# 設定最大的鏈路數量為2,剩下的一個就可以作為備份鏈路
[LSW1-Eth-Trunk2]max active-linknumber 2
[LSW1-Eth-Trunk2]quit
# 檢視是否配置成功,這裡會看到都是down的,因為LSW2還沒配置
[LSW1]display interface Eth-Trunk 1
# LSW2的配置和LSW的配置一樣,再檢視時各介面就都up狀態了

相關文章