网络工程师——常见技术与配置命令

网络工程师——常见技术与配置命令

• VLAN的配置与管理

  vlan 100 → 创建 VLAN 100 

  vlan batch  100 101 102 → 批量创建 VLAN ，一次创建了 3 个

  vlan batch  100 to  109 → 批量创建 VLAN ，一次性创建 10 个

  undo vlan 100 → 删除 VLAN 100 

  undo vlan  batch 100 101 102 → 批量删除 VLAN 

  interface gi0/0/0 

  port link-type access → 接口配置为 access 

  port default vlan 10  → 接口加入 vlan 10 

  interface gi0/0/1 

  port link-type trunk  → 接口配置为 trunk

  port trunk allow-pass vlan all  →允许接口通过所有的 VLAN 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

• STP的配置与管理

  stp mode  mstp  → 配置 STP 的模式为 MSTP 

  stp  region-configuration → 进入 MSTP 的配置模式

  region-name HCIE → 设置 MSTP 的域名是 HCIE 

  instance  1 vlan 10 → 创建生成树实例 1 ，关联 VLAN 10

  instance  2 vlan  20 → 创建生成树实例 2 ，关联 VLAN 20

  active region-configuration  → 激活 MSTP 的配置

  stp instance  **  priority   &&  → 修改实例** ** 的优先级为 &&
1
2
3
4
5
6
7
8
9
10
11
12
13

• 链路捆绑的配置与管理

  ++静态链路捆绑 ++

  interface  eth-trunk  1 → 创建链路捆绑形成的逻辑接口

  mode  manual  load-balance → 指定 链路捆绑的 模式为“手动负载均衡模式”，也就是静态的模式

  trunkport  gi0/0/1 → 将端口Gi0/0/1 捆绑到 eth-trunk 1

  trunkport  gi0/0/2 → 将端口 Gi0/0/2 捆绑到 eth-trunk 2 

  quit
1
2
3
4
5
6
7
8
9

++动态链路捆绑++

  interface  eth-trunk  2 → 创建链路捆绑形成的逻辑接口

  mode  lacp  → 指定 链路捆绑的 模式为“lacp”，也就是动态的模式

  trunkport  gi0/0/1 → 将端口Gi0/0/1 捆绑到 eth-trunk 1

  trunkport  gi0/0/2 → 将端口 Gi0/0/2 捆绑到 eth-trunk 2 

  quit

  lcap priority   0 → 将设备的 LACP 优先级，设置为 0 。默认是 32768 ， 数值越小越好；

  interface gi0/0/1 

  lacp priority  9 → 将成员端口的 LACP 优先级，设置为 9 ，默认是 32768 ， 数值越小越好

  quit

  interface  eth-trunk 1

  lacp  preempt  enable → 开启接口的 LACP 抢占功能，默认是关闭的
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

• 静态路由的配置与管理

  ip  route-static  { 网段}   {掩码}   {下一跳IP地址}
1

例如：

  ip  route-static   192.168.1.0    24   192.168.12.2 
1

特殊的路由：默认路由

  ip  route-static   0.0.0.0   0   192.168.99.1 
1

修改静态路由的优先级，默认是60

  ip rouet-static   192.168.88.0   24  192.168.66.2    preference  100 → 修改该路由的优先级为 100 
1

• DHCP的配置命令

  —配置DHCP服务器

启动DHCP功能
创建DHCP地址池
指定接口模式为 global

例如：

dhcp enable 
ip pool {名字} 
network {网段} mask {掩码}
gateway-list {网关IP}
dns-list {dns服务器}

interface gi0/0/* -> 接收 dhcp 报文的端口
   dhcp select global



@只有主网关设备，才有资格配置为 dhcp 中继

例如：
dhcp enable 
interface vlanif ** -> 某个 vlan 的网关接口
ip address {地址}  {掩码}
dhcp select relay  -> 指定 dhcp 的模式为是“中继”
dhcp relay server-ip x.x.x.x -> 指定 dhcp 服务器的IP地址
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

• VRRP 的配置与管理

  #在同网段的,多个互通的网关接口上,配置：

  interface  gi0/0/1 

    vrrp vrid   10  virtual-ip   192.168.10.254 → 指定虚拟路由器10，虚拟网关为 192.168.10.254

    vrrp  vrid  10 priority   200 → 修改 VRRP 的优先级是 200，默认是100

    vrrp  vrid   10  authentication-mode  md5  HCIE→设置 VRRP 的密文认证，密码是HCIE

    vrrp  vrid   10  track  interface  gi0/0/1  reduced  110  → 接口Gi0/0/1断开后，优先级降低 110
1
2
3
4
5
6
7
8
9

• ACL的配置与管理

  acl {id}   

    rule  {规则号}   {动作}    {规则}
1
2
3

例如：

++基本ACL配置++

  acl  2000  → ACL 的名字是 2000，取值范围是 2000~2999 ， 这个范围表示都是“基本ACL”

    rule  10  deny   192.168.1.0   0.0.0.255
1
2
3

++高级ACL配置++

  acl 3000 → ACL 的名字是 3000，取值范围是 3000~3999 ， 这个范围表示都是“高级ACL”

    rule  10  deny   icmp  source  192.168.1.1  0.0.0.0   destination  192.168.2.0  0.0.0.255
1
2
3

++将ACL在端口上进行调用++

  interface  gi0/0/0 

    traffic-filter  inbound  acl 2000  
1
2
3

• NAT的配置与管理

  ++动态PAT++

  acl  2000   → 匹配源IP地址为 192.168.1.0/24 网段中的主机

    rule  10  permit  source  192.168.1.0  0.0.0.255 

    quit 

  nat  address-group   1   200.1.1.1   200.1.1.5  → NAT的地址池  1 中，包含了5个公网IP地址

  interface  gi0/0/0 → 连接外网的接口

  nat outbound  2000  address-group   1   → 在Gi0/0/0 发送出去的并且满足 ACL 2000 的，都被转换为地址池 1 中的公网IP地址

1
2
3
4
5
6
7
8
9
10
11
12

++EasyIP配置++

  就是在原来“动态PAT”的基础上，去掉 address-group ，如下： 

  interface gi0/0/0 

  nat  outbound  2000 

  
1
2
3
4
5
6
7

++nat server 配置++

  interface  gi0/0/0 → 连接外网的接口

  nat  server  protocol  tcp  global 200.1.1.10   23  inside  192.168.1.66  23 → 外网设备远程登录 200.1.1.10 的 23 端口的时候，会将该流量转换到内网的 192.168.1.66 的 23 端口上去，实现对该设备的远程登录。
1
2
3

• OSPF的配置与管理

  ++基本配置++

  ospf  1  router-id  1.1.1.1  → 启用 OSPF 进程1 ，设置该设备的 router-id 为 1.1.1.1

    area  0  → 进入区域 0 

      network   192.168.1.0  0.0.0.255  → 将设备上的 192.168.1.0/24 网段宣告进入到 OSPF 协议

  ++重启 OSPF 进程 +++

  reset  ospf process  → 选择  Y 
1
2
3
4
5
6
7
8
9

++进入 “非直连”的路由，进入到 OSPF 协议++

  ospf  1 

    import-route  {路由的类型}  

  例如： 

    ospf  1 

      import-route  static  → 将路由表中的“静态路由”，导入到“OSPF协议”
1
2
3
4
5
6
7
8
9

++设置 OSPF STUB 区域++

  ospf  1 

    area  1 

      stub → 将区域 1  设置为 stub 区域
1
2
3
4
5

++设置OSPF NSSA 区域 ++

  ospf  1

    area  2 

      nssa  → 将区域  2 设置为 nssa 区域 
1
2
3
4
5

++让 OSPF 产生默认路由++

    ospf  1 

      default-route-advertise   
1
2
3

++ 建立 OSPF 虚链路 ++

ospf 1 

  area  34

    vlink-peer   5.5.5.5  → 5.5.5.5 是对端设备的 router-id 
1
2
3
4
5

++配置 OSPF 区域之间的路由汇总++

ospf 1 → 配置该汇总的设备，是区域 10 的 ABR

    area  10  → 对区域 10 中的路由，进行汇总

      abr-summary   {网段}   {掩码}  
1
2
3

++配置 OSPF 区域之间的路由汇总++

  ospf 1   → 配置该汇总的设备是 ASBR 

    asbr-summary   {网段}   {掩码}  
1
2
3

++OSPF通过 route-policy 过滤++

当我们在OSPF 路由器上，通过 import-route 引入路由的时候，可以结合 route-policy  使用， 
1

该工具可以匹配我们感兴趣的路由，抓取之后我们可以选择“允许”导入路由，也可以选择“拒绝”

导入路由。route-policy 的组成，和 ACL 的组成是类似的，都有：

名字，规则， 动作，规则号（节点号）

并且当 route-plicy 中存在多个条目的时候，也是按照“编号”从小到大的顺序依次执行，有一个条目

匹配失败的话，后面的条目就不再匹配了。这一点和 ACL 是相同的，并且最后都存在一个默认的“拒绝所有”。

例如： 在导入众多的静态路由的时候，只有 192.168.1.0/24 这个静态路由不允许导入成功，其他的静态路由，都是成功的。

  acl  2000 → 匹配我们要抓的路由： 192.168.1.0 /24  

    rule  10 permit  source  192.168.1.0  0.0.0.255

    quit 

  route-policy ABC deny node 10  → 该策略条目是要：匹配 ACL 2000 的路由，并拒绝

    if-match  acl  2000

    quit

  route-policy  ABC  permit  node 20 → 该策略条目是要：没有条目，也就是匹配所有。并允许

    quit 

  ospf  1 

    import-route  static    route-policy  ABC → 在将静态路由导入到 OSPF 时，检查策略 ABC
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

++OSPF 通过 filter 过滤区域之间的路由++

首先，该命令只能用来过滤“区域之间的路由”，不能过滤“外部路由”

其次，该命令只能在 ABR 上配置，在其他设备上配置，是没有任何意义的。
1
2
3

例如：当很多路由，从区域 0 出来，想要进入到 区域 56 的时候，我们干掉路由 192.168.3.0/24 ，

其他的路由条目，都允许。

  acl  2003 → 抓取路由 192.168.3.0/24 干掉，并允许其他所有的路由

    rule  10  deny   source  192.168.3.0   0.0.0.255

    rule   20 permit  source  any 

    quit 

  ospf  1 

    area  56

      filter   2003  import  → 进入区域 56 的时候，通过 ACL 2003 进行过滤。
1
2
3
4
5
6
7
8
9
10
11
12
13

• IPv6的配置与管理

  ++配置接口的IPv6地址++

  ipv6 → 系统视图开启设备的IPv6功能

  interface  gi0/0/0

  ipv6 enable 

  ipv6 address  2001:12::1 64 

  quit 
1
2
3
4
5
6
7
8
9

++查看设备的IPv6 接口IP地址++

  display  ipv6  interface  brief  
1

++配置IPv6的静态路由++

  ipv6  route-static   {ivp6 网段}  {掩码}  {下一跳IPv6地址}

  例如： 

  ipv6  route-static  2001:56::  64   2001:12
1
2
3
4
5

++配置IPv6的动态路由协议之 OSPFv3++

  ospfv3  1   → 启用 OSPFv3  进程 1 

    router-id  1.1.1.1  → 手动指定设备的 router-id 

    quit 

  interface  gi0/0/0

    ospfv3   1   area  0  → 对该端口启用 OSPFv3 进程1 ， 并将该端口宣告进入到区域 0 
1
2
3
4
5
6
7
8
9

• WLAN的配置与管理

  ++配置DHCP服务器中的 AC 服务器地址++

  ip  pool  {名字}

    option  43  sub-option  3  ascii  192.168.210.1  → 其中的 option 43 sub-option 3 ，表示的就是 AC 服务器的IP地址 

1
2
3
4

++查看 AP 的 MAC 地址和IP地址 ++

  display   system  information  → 查看设备的“系统信息”，查看其中的 System  MAC 

  display   ip   interface  brief → 查看其中的  vlanif  1 的 IP 地址 

1
2
3
4

++配置 AC ，实现 AP 的自动注册++

1.配置AC的IP地址和路由

  vlan  200

    quit 

  interface  gi0/0/10

  port link-type access

  port default  vlan 200

  quit 

  interface vlanif 200

  ip address  192.168.200.1 254

  quit 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

2 . 启用AC 的 AP 注册功能

    capwap  source  interface  vlanif 200
1

1. 在 AC 上添加 AP 的 MAC 地址

      wlan 

        ap-id  11  mac-address  **-**- 
1
2
3

4.查看 AP 的注册状态

    display   ap  all  → 显示的 state 字段，必须是 nor 才是正确的
1

5.创建 AP 使用的密码文件，并将密码设置为 1234567890.

    wlan 

    security-profile  name  HCIE

      security  wpa2  psk  pass-phrase   1234567890.   aes 

      quit 
1
2
3
4
5
6
7

6.创建 AP 使用的“无线名”文件，并将“无线名”设置为 gebilaowang

    wlan 

    ssid-profile  name ABC

      ssid   gebilaowang

      quit 
1
2
3
4
5
6
7

7.创建 AP 使用的虚拟配置文件，并将之前的密码文件、“无线名”文件、属于的 VLAN ，进行关联

    vap-profile  name  ap-1 

      ssid-profile  ABC

      security-profile  HCIE

      service-vlan  vlan-id  101

      quit 
1
2
3
4
5
6
7
8
9

8.将 AP 的虚拟配置文件，加载到 ap-group “neibu” 中

    ap-group   name   neibu

      vap-profile   ap-1    wlan  1  radio   0  
1
2
3

9.将AP加入到创建的 ap-group “neibu”中

    wlan 

      ap-id  11

        ap-group   neibu

        quit
        
1
2
3
4
5
6
7
8