零基础华为认证HCNA配置命令

用户视图
<Huawei>？
显示VRP版本
<Huawei>display version
系统视图
<Huawei>system-view
[Huawei]
更改路由器名称
[Huawei]sysname R1
退出系统视图
[Huawei]quit
ctr+Z
查看命令后面的参数
<R1>clock ?
显示时间
<R1>display clock
设置时区
<R1>clock timezone BJ add 08:00
设置时间
<R1>clock datetime 11:20:10 2017-12-09
配置路由器接口
[R1]interface Vlanif 1
[R1-Vlanif1]ip address 192.168.80.254 255.255.255.0
添加多个地址
[R1-Vlanif1]ip address 192.168.8.252 24 sub
查看接口配置
[R1-Vlanif1]display this
删除接口所有地址
[R1-Vlanif1]undo ip address
删除特定地址
[R1-Vlanif1]undo ip address 192.168.8.252 24 sub
关闭端口
[R1-Vlanif1]shutdown
启用接口
[R1-Vlanif1]undo shutdown
登录路由器的提示语
[R1]header login information "This is officel Router"
进去路由器的提示语
[R1]header shell information "Welcome to Huawei router VRP lab" 配置Console口登录认证方式
[R1]user-interface console ?
[R1]user-interface console 0
[R1-ui-console0]authentication-mode password
Please configure the login password (maximum length 6):huawei 重设密码
[R1-ui-console0]set authentication password cipher 91xueit
设置登录超时的时间
[R1-ui-console0]idle-timeout 20
[R1-ui-console0]display this
设置用户级别为3
[R1-ui-console0]user privilege level 3
配置路由器允许telnet远程管理
[R1]user-interface vty 0 ?
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):51cto [R1-ui-vty0-4]idle-timeout 10
设置telnet用户级别为2
[R1-ui-vty0-4]user privilege level 2
查看连接过来的用户
[R1]display users
查看全部用户接口
[R1]display user-interface
命令分级
0 级网络诊断命令 ping tracert telnet 等
1 级系统维护命令 display current-configuration
2 级配置命令 sysname R1
3 级设计系统基本运行的命令文件系统 FTP 配置文件切换用户管理命令
连接到路由器的用户分级
0-15级
0级别用户执行0级别命令
1级别用户执行0、1级别命令
2级别用户执行0、1、2级别命令
3-15级别用户执行0、1、2、3级别的命令
通过console口用户级别是3级
通过telnet接口用户级别是0级
恢复telnet默认用户级别
[R11-ui-vty0-4]undo user privilege level
使用用户名和密码验证用户 AAA身份验证
AAA是验证、授权和记账（Authentication、Authorization、Accounting）三个英文单词
han 用户级别1
admin 用户级别3
创建用户的命令
[R11]aaa
[R11-aaa]local-user admin password cipher privilege level 3 [R11-aaa]local-user admin service-type telnet
创建一个用户级别是1的用户
[R11-aaa]local-user han password cipher
[R11-aaa]local-user han privilege level 1
[R11-aaa]local-user han service-type telnet
创建一个用户允许console连接
[R11-aaa]local-user admin1 password cipher 91xueit@com privilege level 3 [R11-aaa]local-user admin service-type terminal
显示创建的用户
[R11-aaa]display local-user
显示aaa的配置
[R11-aaa]display this
更改telnet接口身份验证模式为aaa
[R11]user-interface vty 0 4
[R11-ui-vty0-4]authentication-mode aaa
查看连接过来的用户
设置
文件管理
列出当前目录中的文件和文件夹
<RA>dir
创建文件夹
<RA>dir flash:/backup/
拷贝文件到backup目录
<RA>copy vrpcfg.zip flash:/backup/vrpcfgbackup.zip
将vrp1.zip移动到backup目录
<RA>move vrp1.zip flash:/backup/vrp1.zip
切换到backup目录
<RA>cd backup/
查看所在的目录
<RA>pwd
flash:/backup
使用move在同一个目录下相当于重命名
<RA>move vrp1.zip vrp2.zip
重命名的命令
<RA>rename vrp2.zip vrp3.zip
删除文件，实质上放到回收站
<RA>delete vrp2.zip
还可以加参数看到删除的文件，带中括号的就是删除的文件
<RA>dir /all
Directory of flash:/backup/
Idx Attr Size(Byte) Date Time(LMT) FileName
0 -rw- 787 Jan 09 2018 23:01:21 vrpcfgbackup.zip
1 -rw- 783 Jan 09 2018 23:14:3
2 [vrp2.zip]
恢复删除的文件
<RA>undelete vrp2.zip
彻底删除且不带提示不能恢复了
<RA>delete /unreserved /force vrp2.zip
清空回收站
<RA>reset recycle-bin
把flash中的文件备份到计算机TFTP服务
UDP 69端口不可靠传输
把flash中的文件上传到TFTP
<RA>tftp 192.168.80.1 put flash:/vrpcfg.zip vrpcfg.zip
把TFTP服务器上的文件下载到flash的backup目录
<RA>tftp 192.168.80.1 get vrpcfg2.zip flash:/backup/vrpcfg2.zip
把flash中的文件拷贝到FTP
TCP的21端口
支持身份验证可靠传输 TCP
<RA>ftp 192.168.80.1
User(192.168.80.1:(none)):hanlg
从FTP下载
[RA-ftp]get worklog.txt flash:/backup/worklog2.txt
上传到FTP
[RA-ftp]put vrpcfg.zip vrpcfg.zip
设置系统启动文件
设置系统启动文件
<RA>startup system-software
指定保存配置的文件
<RA>startup saved-configuration vrpcfg1.zip
查看下次启动使用的系统文件和配置文件以及当前使用的系统文件和配置文件<RA>display startup
重启路由器
reboot
实验1：静态路由
<AR1>display ip routing-table
[AR2]ip route-static 192.168.1.0 24 172.16.1.2
跟踪数据包路径
tracert 192.168.1.2
显示全部路由
[AR2]display ip routing-table
只显示静态路由
[AR2]display ip routing-table protocol static
添加路由下一跳可以写到达目标网络的沿途中的地址
删除路由
[AR1]undo ip route-static 192.168.1.0 24
[AR1]undo ip route-static 192.168.1.0 24 172.16.1.1
[AR1]ip route-static 192.168.1.0 24 172.16.1.2
点到点链路静态路由下一跳可以写出口
AR1]ip route-static 192.168.1.0 24 Serial 2/0/0
路由器上两张表
路由表和转发表
显示转发表
[AR1]display fib
添加到某个主机的静态路由
[AR1]ip route-static 192.168.1.3 32 Serial 2/0/0
网络规划和路由汇总
CIDR可以汇总2个4个8个连续的子网
全球最大的网段
0.0.0.0 0.0.0.0
0.0.0.0/0
默认路由
[R1]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
[R1]ip route-static 0.0.0.0 0 10.0.0.2
添加静态路由
[AR1]ip route-static 172.16.1.0 24 172.16.0.2
[AR1]ip route-static 172.16.1.0 255.255.255.0 172.16.0.2 显示全部路由
[AR1]display ip routing-table
只显示静态路由
[AR1]display ip routing-table protocol static
删除静态路由
[AR1]undo ip route-static 172.16.1.0 24
静态路由缺点
网络中增加网段删除网段修改网段不会自动更新路由
配置RIP协议
[AR1]rip ？
[AR1]rip 1
[AR1-rip-1]network 192.168.0.0
[AR1-rip-1]network 10.0.0.0
显示RIP协议学到的路由
<AR1>display ip routing-table protocol rip
显示RIP协议学到的路由
<AR4>display rip 1 route
显示运行RIP协议的接口
<AR4>display rip 1 interface
查看RIP协议活动
<AR4>terminal monitor
<AR4>terminal debugging
显示所有接口发送和接收的RIP包
<AR4>debugging rip 1 packet
只显示G0/0/0接口发送和接收的RIP包
<AR4>debugging rip 1 packet GigabitEthernet 0/0/0
关闭所有诊断输出
<AR4>undo debugging all
创建不连续子网实验环境
删除配置文件
<AR1>delete vrpcfg.zip
重启路由
<AR1>reboot
n
y
[Huawei]sysname AR1
[AR1]vlan 2
[AR1-vlan2]quit
[AR1]port-group vlan2ports
[AR1-port-group-vlan2ports]group-member Ethernet 0/0/4 to Ethernet 0/0/7 [AR1-port-group-vlan2ports]port link-type access
[AR1-port-group-vlan2ports]port default vlan 2
[AR1]interface Vlanif 2
[AR1-Vlanif2]ip address 192.168.10.65 26
[AR1-GigabitEthernet0/0/0]ip address 172.16.0.1 30
[AR1]rip
[AR1-rip-1]version 2
[AR1-rip-1]network 192.168.10.0
[AR1-rip-1]network 172.16.0.0
默认时在有类网络的边界自动汇总，但可以关闭汇总。

undo summary关闭汇总。

如果接口启用水平分割、毒性发转，则不进行汇总，除非使用“summary always”命令。

[AR1-GigabitEthernet0/0/0]undo rip split-horizon
关闭自动汇总支持不连续子网
[AR1]rip
[AR1-rip-1]undo summary
人工汇总
[AR1-GigabitEthernet0/0/0]rip summary-address 192.168.10.0 255.255.255.128
OSPF
显示邻居
[R1]display ospf peer
查看链路状态数据库
<R1>display ospf lsdb
查看链路状态数据库详细信息
<R1>display ospf lsdb router
查看路由表
<R1>display ip routing-table
查看运行OSPF协议的接口
<R1>display ospf interface
显示OSPF学到的路由
<R1>display ospf 1 routing
<R1>display ip routing-table protocol ospf
启用RIP协议
[AR1]rip ？
[AR1]rip 1
[AR1-rip-1]network 192.168.0.0
[AR1-rip-1]network 10.0.0.0
显示RIP协议配置
[AR1-rip-1]display this
[V200R003C00]
#
rip 1
network 192.168.0.0
network 10.0.0.0
#
return
查看RIP协议学到的路由
<AR1>display ip routing-table protocol rip
验证RIP协议健壮性
显示RIP协议数据库
<AR4>display rip 1 database
---------------------------------------------------
Advertisement State : [A] - Advertised
[I] - Not Advertised/Withdraw
---------------------------------------------------
10.0.0.0/8, cost 0, ClassfulSumm
10.0.0.0/8, cost 1, [A], nexthop 10.0.2.1
10.0.1.0/24, cost 1, [A], nexthop 10.0.2.1
10.0.2.0/24, cost 0, [A], Rip-interface
10.0.3.0/24, cost 1, [A], nexthop 10.0.2.1
10.0.4.0/24, cost 2, [A], nexthop 10.0.2.1
10.0.5.0/24, cost 3, [A], nexthop 10.0.2.1
192.168.0.0/24, cost 3, ClassfulSumm
192.168.0.0/24, cost 3, [A], nexthop 10.0.2.1
192.168.1.0/24, cost 0, ClassfulSumm
192.168.1.0/24, cost 0, [A], Rip-interface
显示RIP协议学到的路由
<AR1>display ip routing-table protocol rip
显示RIP 1的配置
<AR4>display rip 1
显示RIP协议学到的路由
<AR4>display rip 1 route
显示运行RIP协议的接口
<AR4>display rip 1 interface
<AR4>terminal monitor
<AR4>terminal debugging
显示所有接口发送和接收的RIP包
<AR4>debugging rip 1 packet
只显示G0/0/0接口发送和接收的RIP包
<AR4>debugging rip 1 packet GigabitEthernet 0/0/0
关闭所有诊断输出
<AR4>undo debugging all
默认时在有类网络的边界自动汇总，但可以关闭汇总。

undo summary关闭汇总。

如果接口启用水平分割、毒性发转，则不进行汇总，除非使用 [AR1-rip-1] summary always 命令[AR1-GigabitEthernet0/0/0]undo rip split-horizon
关闭自动汇总支持不连续子网
[AR1]rip
[AR1-rip-1]undo summary
人工汇总
[AR1-GigabitEthernet0/0/0]rip summary-address 192.168.10.0 255.255.255.128
配置RIPv2简单验证
[AR3-GigabitEthernet0/0/0]rip authentication-mode simple huawei
RouterID配置
全局配置
[R1]display route id
更改全局router ID
[R1]router id 2.2.2.1
使之生效
<R1>reset ospf process
配置OSPF协议指定的router id优先被使用，如果配置OSPF没有指定router id使用全局的router ID
Network
可以跟接口所在网段
[R1-ospf-1-area-0.0.0.1]network 172.16.0.16 0.0.0.3
接口的地址
[R1-ospf-1-area-0.0.0.0]network 172.16.0.17 0.0.0.0
如果接口在同一个区域area，并且能够合并
[R1-ospf-1-area-0.0.0.1] network 172.16.0.0 0.0.255.255
配置被动接口
[R1]ospf 1
[R1-ospf-1]silent-interface Vlanif 1
[R1-ospf-1]undo silent-interface Vlanif 1
如果被动接口多，可以先将所有接口设置成被动接口
[R1-ospf-1]silent-interface all
在开放特定端口
[R1-ospf-1]undo silent-interface Serial 2/0/0
设置以太网接口Hello报发送周期Timer时间
[R1]interface Vlanif 1
[R1-Vlanif1]ospf timer hello 20
[R1-Vlanif1]ospf timer dead 80
<R1>display ospf interface Vlanif 1
更改路由器接口的默认开销
默认开销以太网是1 广域网是48
[R1]interface Serial 2/0/0
[R1-Serial2/0/0]ospf cost 500
指定接口DR优先级
[R3-GigabitEthernet0/0/0]ospf dr-priority 100
在区域边界路由器对某区域进行路由汇总
[R3-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0 255.255.255.0 cost 10
OSPF
显示邻居
[R1]display ospf peer
查看链路状态数据库
<R1>display ospf lsdb
查看链路状态数据库详细信息
<R1>display ospf lsdb router
查看路由表
<R1>display ip routing-table
查看运行OSPF协议的接口
<R1>display ospf interface
显示OSPF学到的路由
<R1>display ospf 1 routing
<R1>display ip routing-table protocol ospf
配置被动接口
[R1]ospf 1
[R1-ospf-1]silent-interface Vlanif 1
[R1-ospf-1]undo silent-interface Vlanif 1
设置以太网接口Hello报发送周期Timer时间
[R1]interface Vlanif 1
[R1-Vlanif1]ospf timer hello 20
[R1-Vlanif1]ospf timer dead 80
<R1>display ospf interface Vlanif 1
更改路由器接口的默认开销
默认开销以太网是1 广域网是48
[R1]interface Serial 2/0/0
[R1-Serial2/0/0]ospf cost 500
指定接口DR优先级
[R3-GigabitEthernet0/0/0]ospf dr-priority 100 <R3>reset ospf process
可以将静态路由引入到动态路由
将RIP引入到OSPF
将OSPF引入到RIP
[R2-rip-1]version 2
[R2-rip-1]undo summary
[R2]ospf 1
[R2-ospf-1]import-route rip 1 cost 5
[R2]rip 1
[R2-rip-1]import-route ospf 1 cost 10
[R2]rip 1
[R2-rip-1]undo import-route ospf 1
[R2-rip-1]default-route originate
[R2-rip-1]quit
[R2]ospf 1
[R2-ospf-1]undo import-route rip 1
[R2-ospf-1]default-route-advertise always [R2-ospf-1]quit
[S1]display interface brief
设置交换机的管理接口
[S1]interface Vlanif 1
[S1-Vlanif1]ip address 192.168.0.1 24
[S1]user-interface vty 0 4
[S1-ui-vty0-4]authentication-mode password
[S1-ui-vty0-4]set authentication password cipher todd
[S1-ui-vty0-4]user privilege level 3
[S1]display interface brief
显示MAC地址表
[S1]display mac-address vlan 1
配置交换机端口安全
1.限制交换机接口连接计算机的数量
[S1]interface Ethernet 0/0/5
[S1-Ethernet0/0/5]port-security enable
[S1-Ethernet0/0/5]port-security protect-action shutdown
[S1-Ethernet0/0/5]port-security max-mac-num 1
2.指定交换机接口连接的MAC地址
[S1]interface Ethernet 0/0/3
[S1-Ethernet0/0/3]port-security enable
[S1-Ethernet0/0/3]port-security protect-action shutdown
[S1-Ethernet0/0/3]port-security mac-address sticky
[S1-Ethernet0/0/3]port-security mac-address sticky 5489-981F-22FB vlan 1 再次查看MAC地址表，你会发现绑定的MAC
[S1]display mac-address vlan 1
清除交换机接口的全部配置
[S1]clear configuration interface Ethernet 0/0/3
批量绑定交换机端口和MAC地址
[S1]port-group vlan1port
[S1-port-group-vlan1port]group-member Ethernet 0/0/1 to Ethernet 0/0/22 [S1-port-group-vlan1port]port-security enable
[S1-port-group-vlan1port]port-security protect-action shutdown
[S1-port-group-vlan1port]port-security mac-address sticky
显示生成树端口状态
[S1]display stp brief
禁用生成树
[S1]stp disable
启用生成树
[S1]stp enable
显示网桥MAC地址
<Huawei>display bridge mac-address
显示生成树
[Huawei]display stp
显示生成树接口状态
[Huawei]display stp brief
指定优先级
指定根交换机
[Huawei]stp priority 0
指定备用根交换机
[Huawei]stp priority 4096 --是4096的倍数
或者
[Huawei]undo stp priority
[Huawei]stp root primary 主
[Huawei]stp root secondary 备用
更改接口开销查看下行设备根端口的变化
[Huawei]interface Ethernet 0/0/1
[Huawei-Ethernet0/0/1]stp cost 2
更改上游设备的BID查看下行交换机根端口变化
[Huawei]stp priority 8192
查看接口PID
<Huawei>display stp interface GigabitEthernet 0/0/2 [Huawei-GigabitEthernet0/0/1]stp port priority 64
什么是VLAN
VLAN等价图
跨交换机的VLAN 交换机之间的连接需要配置成干道链路
干道链路可以通过多个VLAN帧带帧标记
接计算机的接口通常属于某个VLAN 访问接口 access
一个交换机多个VLAN
跨交换机的VLAN
VLAN间路由 1.单臂路由 2.三层交换
显示VLAN信息
[S1]display vlan
创建VLAN 2
[S1]vlan 2
把某个端口指定到VLAN 2
[S1]interface Ethernet 0/0/13
[S1-Ethernet0/0/13]port link-type access
[S1-Ethernet0/0/13]port default vlan 2
定义端口组批量管理端口
[S1]port-group vlan2ports
定义组成员
[S1-port-group-vlan2ports]group-member Ethernet 0/0/13 to Ethernet 0/0/22 [S1-port-group-vlan2ports]port link-type access
[S1-port-group-vlan2ports]port default vlan 2
显示创建的端口组
[S1]display port-group
vlan2ports
创建跨交换机的VLAN
在每个交换机上创建VLAN
将交换机之间的连接链路设置成干道链路
将交换机接口指定到相应的VLAN
[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]port link-type trunk
[S1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
1-5 VLAN 1
6-10 VLAN 2
11-22 VLAN3
[S2]port-group vlan1port
[S2-port-group-vlan1port]group-member Ethernet 0/0/1 to Ethernet 0/0/5 [S2-port-group-vlan1port]port link-type access
[S2-port-group-vlan1port]port default vlan 1
[S2]port-group vlan2port
[S2-port-group-vlan2port]port link-type access
[S2-port-group-vlan2port]port default vlan 2
[S2]interface GigabitEthernet 0/0/1
[S2-GigabitEthernet0/0/1]port link-type trunk
[S2-GigabitEthernet0/0/1]port trunk allow-pass vlan all
显示接口所属的VLAN
<S3>display port vlan
配置干道允许哪些VLAN通过
[S2-GigabitEthernet0/0/1]undo port trunk allow-pass vlan all
[S2-GigabitEthernet0/0/1]port trunk allow-pass vlan 2
[S2-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
启用gvrp 全局启用
[S2]gvrp
干道接口启用
[S2-GigabitEthernet0/0/1]gvrp
<S4>display gvrp status
<S2>display vlan summary
单臂路由器
三层交换实现VLAN间路由
混合端口
单臂路由器
路由器接干道链路
交换机干道接口默认VLAN使用路由器的物理接口作为网关
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.1 24
其他VLAN使用子接口
[R1]interface GigabitEthernet 0/0/0.3
[R1-GigabitEthernet0/0/0.3]dot1q termination vid 3
[R1-GigabitEthernet0/0/0.3]ip address 192.168.3.1 24
[R1-GigabitEthernet0/0/0.3]arp broadcast enable
[R1-GigabitEthernet0/0/0.3]undo shutdown
配置hybrid 端口1
[S1]port-group vlan10
[S1-port-group-vlan10]group-member Ethernet 0/0/1 to Ethernet 0/0/5 [S1-port-group-vlan10]port link-type hybrid
[S1-port-group-vlan10]port hybrid pvid vlan 10
[S1-Ethernet0/0/5]port hybrid untagged vlan 10 20 30
[S1]port-group vlan20
[S1-port-group-vlan20]group-member Ethernet 0/0/6 to Ethernet 0/0/10 [S1-port-group-vlan20]port link-type hybrid
[S1-port-group-vlan20]port hybrid pvid vlan 20
[S1-port-group-vlan20]port hybrid untagged vlan 20 10
[S1]port-group vlan30
[S1-port-group-vlan30]group-member Ethernet 0/0/11 to Ethernet 0/0/22 [S1-port-group-vlan30]port link-type hybrid
[S1-port-group-vlan30]port hybrid pvid vlan 30
[S1-port-group-vlan30]port hybrid untagged vlan 10 30
在连接交换机的链路上需要带VLAN标记
[S1]clear configuration interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]undo shutdown
[S1-GigabitEthernet0/0/1]port link-type hybrid
[S1-GigabitEthernet0/0/1]port hybrid tagged vlan 10 20 30
镜像端口监控其他端口流量
配置Ethernet 0/0/2接口监控Ethernet 0/0/1接口的出入流量
[Huawei]observe-port interface Ethernet 0/0/2
[Huawei-Ethernet0/0/1]mirror to observe-port both
[Huawei-Ethernet0/0/1]und mirror both
接口添加到VLAN
[R1]interface Ethernet 0/0/5
[R1-Ethernet0/0/5]port link-type access
[R1-Ethernet0/0/5]port default vlan 3
[R1]acl ?
INTEGER<2000-2999> Basic access-list(add to current using rules)
INTEGER<3000-3999> Advanced access-list(add to current using rules) INTEGER<4000-4999> Specify a L2 acl group
ipv6 ACL IPv6
name Specify a named ACL
number Specify a numbered ACL
[R1]time-range zhongwu 12:00 to 14:00 daily
[R1]acl 2000
[R1-acl-basic-2000]rule 10 permit source 192.168.2.0 0.0.0.255
[R1-acl-basic-2000]rule 20 permit source 192.168.1.0 0.0.0.255 time-range zhongwu [R1-acl-basic-2000]rule 30 deny source any
[R1-acl-basic-2000]display this
[V200R003C00]
#
acl number 2000
rule 10 permit source 192.168.2.0 0.0.0.255
rule 20 permit source 192.168.1.0 0.0.0.255 time-range zhongwu
rule 30 deny
#
return
查看ACL 2000
[R1]display acl 2000
Basic ACL 2000, 3 rules
Acl's step is 5
rule 10 permit source 192.168.2.0 0.0.0.255
rule 20 permit source 192.168.1.0 0.0.0.255 time-range zhongwu(Inactive)
rule 30 deny
查看所有的ACL
[R1]display acl all
将ACL绑定到接口
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
实战2：向ACL中插入和删除rule
PC4不允许访问Internet
[R1-acl-basic-2000]rule 5 deny source 192.168.2.3 0.0.0.0
PC2什么时候都允许访问Internet
[R1-acl-basic-2000]rule 15 permit source 192.168.1.3 0
删除rule
[R1-acl-basic-2000]undo rule 15
一个接口的一个方向只能绑定一个ACL
取消接口上绑定的ACL
[R1-GigabitEthernet0/0/0]undo traffic-filter inbound
删除ACL
[R1]undo acl 2000
接口绑定的ACL依然绑定但不起作用
实战3：使用ACL保护路由器安全
定义ACL只允许192.168.2.3能够telnet路由进行配置
[R1]acl 2010
[R1-acl-basic-2010]rule permit source 192.168.2.3 0
[R1-acl-basic-2010]rule deny source any
将ACL绑定到telnet接口
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):91xueit
[R1-ui-vty0-4]user privilege level 3
[R1-ui-vty0-4]acl 2010 inbound
定义高级ACL
[R1-acl-adv-3000]rule 10 deny ip destination 192.168.1.0 0.0.0.255 source 192.168.2.0 0.0.0.255
[R1-acl-adv-3001]rule 30 permit udp destination any destination-port eq 53 source 192.168.1.0 0.0.0.255
[R1-acl-adv-3001]rule 20 permit tcp destination any destination-port eq 80 source 192.168.1.0 0.0.0.255
[R1-acl-adv-3001]rule 40 deny ip destination any source any
[R1-acl-adv-3001]rule 15 permit icmp source 192.169.1.0 0.0.0.255 destination any
[R1-acl-adv-3002]rule permit ip destination 192.168.0.0 0.0.255.255 source 192.168.3.0 0.0.0.255
[R1-acl-adv-3002]rule deny ip
静态NAT
NAT网络地址转换
静态NAT 在路由器上将公网IP地址和私网IP地址一一对应
不节省公网IP地址
配置步骤
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]nat static global 12.2.2.4 inside 192.168.1.2 netmask
255.255.255.255
<R1>display nat static
删除静态映射
[R1-GigabitEthernet0/0/0]undo nat static global 12.2.2.4 inside 192.168.1.2 netmask 255.255.255.255
Easy IP 也是NAPT
使用路由器公网地址做地址转换不需要定义公网地址池
1.定义允许NAPT的内网网段 ACL
[R1]acl 2000
[R1-acl-basic-2000]rule 1 permit source 192.168.2.0 0.0.0.255
[R1-acl-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255
2.在外网接口配置NAPT
[R1-GigabitEthernet0/0/0]nat outbound 2000
NAPT
需要定义一个公网地址池
[R1]nat address-group 1 12.2.2.10 12.2.2.20
2.定义允许NAPT的内网网段
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.2.0 0.0.0.255
[R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
3.在外网接口配置NAPT
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat
端口映射
使用另外的地址做端口映射
[R1-GigabitEthernet0/0/0]nat server protocol tcp global 12.2.2.4 80 inside 192.168.3.2 www
使用路由器公网接口的地址做端口映射
[R1-GigabitEthernet0/0/0]nat server protocol tcp global current-interface www inside 192.168.3.3 www
静态映射不能使用连接Internet的接口公网地址
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]nat static global 12.2.2.4 inside 192.168.1.2 netmask
255.255.255.255
<R1>display nat static。