华为HCIP之静态路由
静态路由
一、基本配置
下一跳写法:
ip route-static x.x.x.x ab y.y.y.y
注:x.x.x.x 指目标网段;ab为目标网段的子网掩码位数,华为设备可以写子网掩码的具体形式,也可以简写;y.y.y.y指下一跳接口IP地址。
出接口写法:
ip route-static x.x.x.x ab gm/m/m
注:x.x.x.x、ab与下一跳写法相同,均为目标网段和子网掩码;gm/m/m为出接口的接口名称。
二、汇总
当目标为一些连续子网,且基于相同的路径进行访问时,可以将这些目标网段进行汇总,以达到减少路由条目数量的作用。
举例:
ip route-static 1.1.0.0 22 12.1.1.2
三、黑洞
由于汇总后的网络中实际上会有一些网段并未被设定,此时若其他设备访问这些未被设定的网段会出现有去无回的现象。为了避免产生黑洞现象,我们需要合理的地址规划和汇总设定来减少黑洞的范围。
四、缺省
缺省路由是一条不限定目标的路由。当路由器查询完本地所有的直连、静态、动态路由后,如果依旧没有可达路径,则会选择使用缺省路由进行访问。
五、负载均衡
当一条路由达到同一个目标时,若存在多条相似的路径,则可以将流量进行拆分后在多条路径中同时传输。
注:流量拆分时,并不是有多少条路径就拆分成多少份;而是按照每条路径的带宽进行等比例拆分,带宽大的路径传输的份额更多。
六、空接口
当汇总后产生的路由黑洞与缺省路由相遇后必然会产生环路。为了避免产生环路,我们在产生黑洞的路由器上配置到达汇总后地址的空接口路由来进行防环。
例如:
ip route-static 1.1.0.0 22 null 0
七、浮动静态路由
在直连的两台路由器间若直连线有两条,则我们可以通过修改路由的优先级(优先级越小越优)使两条线路中一条线路为主要线路,另一条为备用线路,达到路径备份的作用。
例如:
ip route-statci 1.1.0.0 22 13.1.1.2 preference 61
华为设备中静态路由的默认优先级为60,当备份线路的静态路由优先级大于60,则不会加到路由表中,只会作为备份进行使用。
八、ACL–访问控制列表
匹配规则:
自上而下逐一匹配,上条匹配按上条执行,不再查看下条,末尾隐含允许所有。
标准ACL:2000-2999,仅关注源IP,靠近目标处调用;
扩展ACL:3000-3999,关注源、目IP,源、目端口号,协议号
基于MAC地址的ACL:4000-4999
标准ACL:
[r3]acl 2000
[r3-acl-basic-2000]rule permit source 192.168.1.1 0.0.0.0
[r3-acl-basic-2000]quit
[r3]interface g0/0/2
[r3-GigabitEthernet0/0/2]traffic-filter inbound acl 2000
扩展ACL:
编号写法:[Huawei]acl 3000[Huawei-acl-adv-3000]rule deny ip source 192.168.1.1 0 destination 192.168.1.2 0拒绝telnetrule deny tcp source 192.168.1.1 0 destination 192.168.1.2 0 destination-port eq 23
命名写法:[Huawei]acl name a 3001[Huawei-acl-adv-a]rule deny ip source 192.168.1.1 0 destination 192.168.1.2 0
九、NAT
华为的设备中不需要在边界路由器上定义各个接口的方向,但NAT仍要在边界路由器上进行配置。
私有的IPV4地址:10.0.0.0/8 、172.16.0.0/16 -172.31.0.0/16 、192.168.0.0/24 -192.168.255.0/24
一对多:将多个本地地址和一个全局地址进行转换;所有的本地地址转换为同一个全局地址,但使用不同的源端口号来区分,映射关系为单次映射;由于端口号数量有限,所以更适用于家庭和小型局域网。
例如:
[Huawei]acl 2004
[Huawei-acl-basic-2004]rule permit source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2004]quit
[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/2]nat outbound 2004
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]
一对一(静态):固定的将一个私有和一个公有地址进行转换
例如:
[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1]nat static global 56.1.1.3 inside 192.168.1.10
端口映射:将一个公有地址的固定端口和一个私有地址的固定端口形成映射。
例如:
[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global current-interface te
lnet inside 192.168.1.8 telnet
Warning:The port 23 is well-known port. If you continue it may cause function fa
ilure.
Are you sure to continue?[Y/N]:y
[Huawei-GigabitEthernet0/0/1]
多对多:存在静态和动态两种情况
静态:假设全局公有地址存在10个,那额内网中最先出来的10个私有地址与这10个公有地址建立一对一映射,当这10个私有地址不再收发流量一定时间后刷新记录,然后再重新映射到最先出来的设备。
动态:假设全局公有地址存在10个,最先出来的65535个数据包占用第一个公有地址的所有端口;第二批出来的65535个数据包占用第二个公有地址的所有端口,按照这种方式循环占有公有地址的端口号。
静态路由综合实验
拓扑图:
实验要求:
1:R4为ISP,只能配置IP地址,不能再进行其他任何配置;
2:R1-R3为内网,地址为192.168.1.0/24,合理分配;
3:PC可以通过不同的域名来访问内网的两台服务器,两台服务器为不同的公有地址;
4:内网的PC可以正常访问外网PC;
5:R2与R3之间浮动静态路由备份路径;
6:R4 telnet R3 实际登录到 R1;
7:减少路由条目数量,避免环路;
实验思路:
首先,通过实验要求来进行分析;
R4为ISP,R1-R3为内网,需要基于特定的IP地址进行合理规划,这两点要求按照要求配置IP地址即可;
完成IP地址配置后,开始实现内网全网可达。从左至右,即R1配置缺省路由指向R2,R2配置缺省路由指向R3,R3配置缺省路由指向R4;从右至左,即R2配置静态获取R2左侧未知的网段,R3配置静态获取R3左侧未知的网段。在R2-R3之间的缺省路由和静态路由需要在备份路径设置同样的路由但备份路径的路由优先级需要大于主路径的优先级,以实现浮动静态路由备份的功能。完成这些配置后即可实现内网的全网可达。
此时还有第3、4、6、7条实验要求未实现。
针对第4条要求,我们只需要在边界路由器R3上配置一个一对多的NAT即可实现。
针对第3条要求,我们需要在R3上配置两条一对一的NAT,使用两个漂浮公有地址对应到两个内网的服务器地址;并在外网的DNS服务器上添加两条域名解析后,才能实现外网PC通过不同的域名来访问两台内网服务器。
针对第6条要求,我们需要先在R1上开启telnet功能,然后在R3上配置端口映射,让物理接口的公有地址中特定的端口来进行特定的telnet服务,不再为内网其他设备服务。配置完端口映射后可以在R4上进行telnet测试。
针对第7条妖气,在配置静态路由时,未知的环回网段可以将汇总后的IP地址作为目标网段来配置静态路由,更加方便配置;在有汇总的路由器上写一条汇总后的地址指向该路由器的空接口可以用于避免环路的产生。
实验配置:
R1:
[r1]display current-configuration
[V200R003C00]
#sysname r1
#snmp-agent local-engineid 800007DB03000000000000snmp-agent
#clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#drop illegal-mac alarm
#set cpu-usage threshold 80 restore 75
#
dhcp enable
#
ip pool 1gateway-list 192.168.1.33 network 192.168.1.32 mask 255.255.255.224 dns-list 8.8.8.8
#
aaa authentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$local-user admin service-type http
#
firewall zone Localpriority 15
#
interface GigabitEthernet0/0/0ip address 192.168.1.1 255.255.255.252
#
interface GigabitEthernet0/0/1ip address 192.168.1.33 255.255.255.224 dhcp select global
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.1.2
#
user-interface con 0authentication-mode password
user-interface vty 0 4authentication-mode passworduser privilege level 15set authentication password cipher %$%$3Tl1V/6=9Z{'Mz({*k}Y,.TJ3SXj+)M76E6UY17~
m|0L.TM,%$%$
user-interface vty 16 20
#
wlan ac
#
return
[r1]
R2:
[r2]display current-configuration
[V200R003C00]
#sysname r2
#snmp-agent local-engineid 800007DB03000000000000snmp-agent
#clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#drop illegal-mac alarm
#set cpu-usage threshold 80 restore 75
#
aaa authentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$local-user admin service-type http
#
firewall zone Localpriority 15
#
interface GigabitEthernet0/0/0ip address 192.168.1.2 255.255.255.252
#
interface GigabitEthernet0/0/1ip address 192.168.1.9 255.255.255.252
#
interface GigabitEthernet0/0/2ip address 192.168.1.5 255.255.255.252
#
interface NULL0
#
interface LoopBack0ip address 192.168.1.65 255.255.255.240
#
interface LoopBack1ip address 192.169.1.81 255.255.255.240
#
ip route-static 0.0.0.0 0.0.0.0 192.168.1.6
ip route-static 0.0.0.0 0.0.0.0 192.168.1.10 preference 61
ip route-static 192.168.1.32 255.255.255.224 192.168.1.1
ip route-static 192.168.1.64 255.255.255.224 NULL0
#
user-interface con 0authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return
[r2]
R3:
[r3]display current-configuration
[V200R003C00]
#sysname r3
#snmp-agent local-engineid 800007DB03000000000000snmp-agent
#clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#drop illegal-mac alarm
#set cpu-usage threshold 80 restore 75
#
acl number 2001 rule 5 permit source 192.168.1.0 0.0.0.255
#
aaa authentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$local-user admin service-type http
#
firewall zone Localpriority 15
#
interface GigabitEthernet0/0/0ip address 192.168.1.10 255.255.255.252
#
interface GigabitEthernet0/0/1ip address 192.168.1.6 255.255.255.252
#
interface GigabitEthernet0/0/2ip address 12.1.1.1 255.255.255.0 traffic-filter inbound acl 2000nat static global 12.1.1.3 inside 192.168.1.34 netmask 255.255.255.255nat static global 12.1.1.4 inside 192.168.1.35 netmask 255.255.255.255nat server protocol tcp global current-interface telnet inside 192.168.1.1 teln
etnat outbound 2001
#
interface NULL0
#
interface LoopBack0ip address 192.168.1.97 255.255.255.240
#
interface LoopBack1ip address 192.168.1.113 255.255.255.240
#
ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
ip route-static 192.168.1.0 255.255.255.252 192.168.1.5
ip route-static 192.168.1.0 255.255.255.252 192.168.1.9 preference 61
ip route-static 192.168.1.32 255.255.255.224 192.168.1.5
ip route-static 192.168.1.32 255.255.255.224 192.168.1.9 preference 61
ip route-static 192.168.1.64 255.255.255.224 192.168.1.5
ip route-static 192.168.1.64 255.255.255.224 192.168.1.9 preference 61
ip route-static 192.168.1.96 255.255.255.224 NULL0
#
user-interface con 0authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return
[r3]
R4:
[r4]display current-configuration
[V200R003C00]
#sysname r4
#snmp-agent local-engineid 800007DB03000000000000snmp-agent
#clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#drop illegal-mac alarm
#set cpu-usage threshold 80 restore 75
#
aaa authentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$local-user admin service-type http
#
firewall zone Localpriority 15
#
interface GigabitEthernet0/0/0ip address 12.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
user-interface con 0authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return
[r4]
Server 1:
Server 的IP地址需要自己手工配置并保存。
选择一个文件夹作为http服务的文件根目录,并启动该服务。
Server 2:
与Server 1的配置相同,区别在于IP地址不同,存放不同的文件夹作为根目录,方便后期测试便于区分。
PC 1:
在PC1的网关路由器上配置DHCP服务,只需要在PC1上选择IPV4配置方式为DHCP并应用即可,由于设备的原因,自动获取的IP地址不会直接显示,此时需要在命令行界面输入ipconfig查看PC1的IP地址。
PC 3:
外网PC3的设置与内网PC1的设置方式相同,区别仅在于IP地址需要手工配置为该网段的主机地址;
DNS:
DNS服务器的IP地址也需要手工配置,并且设定域名解析服务并开启该服务,否则外网PC不能通过域名访问内网服务器。
Client 2:
注:Client 1不做使用。
华为的ENSP模拟器中PC并没有浏览器的功能,只能通过Client来访问http服务,同时IP地址也需要手工配置。
实验结果测试:
要求3:PC可以通过不同的域名来访问内网的两台服务器,两台服务器为不同的公有地址
www.a.com 对应的公有地址为12.1.1.3,转换为私有地址为 192.168.1.34
www.b.com 对应的公有地址为12.1.1.4,转换为私有地址为192.168.1.35
要求4:内网PC可以访问外网PC
外网PC的IP地址手工配置为1.1.1.10
要求5:
要求6:R4 telnet R3 实际登录到R1
R3的接口IP为12.1.1.1,由于R1的telnet用户权限设置为15(最高等级),故R4登录后可以做任何任何配置;
以上为华为HCIP静态路由部分比较重要也是比较基础的内容,所有的思路和地址规划仅供参考。
华为HCIP之静态路由相关推荐
- 华为设备ENSP静态路由的配置实战
华为设备ENSP静态路由的配置 1. 实验网络拓扑 2. 实验需求: 1) 使用华为模拟器ENSP 2) 将两台PC机ping通 3. 实验步骤: 1) ...
- 计算机静态路由命令,华为计算机路由器静态路由配置命令.doc
华为路由器静态路由配置命令 4.6.1 ip route 配置或删除静态路由. [ no ] ip route ip-address { mask | mask-length } { interfac ...
- 华为eNSP:静态路由
华为eNSP:静态路由 一.拓扑图搭建 二.IP地址的配置 三.静态路由配置 四.查看和测试 (1)查看 (2)测试 一.拓扑图搭建 PC1:IP如下图所示 PC2:IP如下图所示 二.IP地址的配置 ...
- 华为5720设置静态路由不通_如何设置静态路由与网关?一文了解清楚
前几天,弱电君发布防火墙与交换机如何对接上网的内容,有一些朋友反映,想了解下网关与静态路由的设置,以及如何设置内外网同时访问,那么今天我们来来彻底了解这两个内容,这个也是弱电项目中经常容易遇到的. 一 ...
- 华为5720设置静态路由不通_静态路由理论知识详解
一.简介 静态路由是一种需要管理员手工配置的特殊路由. 静态路由在不同网络环境中有不同的目的: 当网络结构比较简单时,只需配置静态路由就可以使网络正常工作. 在复杂网络环境中,配置静态路由可以改进网络 ...
- 【eNSP 华为模拟器】静态路由小实验
静态路由小实验 一.实验概述 二.实验过程 三.实验结果 一.实验概述 静态路由是由用户管理员在路由器中手动配置的固定路由,因为是人工配置的,所以当网络的拓扑结构或链路的状态发生变化时,需要我们手动修 ...
- 华为5720设置静态路由不通_【干货分享】交换机与路由器在环路中的处理机制了解一下!...
点击蓝字关注我们 - 今天小盟带大家来讨论一下 交换机与路由器在环路中的处理机制 - 01 基础配置 1---如图配置路由器各接口地址,AR-2为PC-1的网关路由器 2---AR-1配置静态默认路由 ...
- ensp 路由表_华为模拟器ensp——静态路由实验
交换机lsw2: vlan 101 interface Vlanif1 ip address 10.13.45.254 255.255.255.128 interface Vlanif101 ip a ...
- 静态路由知识华为eNSP实践
静态路由知识&华为eNSP实践 静态路由: 路由加表: 查路由表: 静态路由实践 网络拓扑图 主机配置: AR1配置: 实验效果: 补充: 静态路由: 最优的加入表中 路由加表: 如果目的地网 ...
最新文章
- 成功入职字节跳动!2021年冲刺年薪40w
- ubuntu mysql 安装
- 为 springboot 添加 debug功能
- Google 的开源技术protobuf 简介与例子
- python微博评论爬虫_详解用python写网络爬虫-爬取新浪微博评论 基于Python的新浪微博爬虫研究...
- 实验一 框架的选择及其原因
- 信用卡是超前消费的一种手段
- JSTL核心标签超详细
- 陕西2020行政区划调整_陕西2020行政区划调整
- 快速实现win11恢复win10系统 分享无损恢复win10系统
- gps面积测量仪手机版下载安装_手机gps面积测量仪
- 内蒙古自治区鄂尔多斯市谷歌高清卫星地图下载
- 二代测序(Next generation sequencing)介绍
- android手机视频编辑,美册视频编辑剪辑制作
- C语言中delay的用法
- rrpp协议如何修改_RRPP配置注意事项
- #R语言# 生成随机数
- Layer For Mobile
- Android开源库V - Layout:淘宝、天猫都在用的UI框架,赶紧用起来吧!
- mc服务器如何修改密码,mc服务器密码设置密码