华为HCIP认证静态路由配置详解
冰镇阔落
本文讲述了华为HCIP认证静态路由配置。分享给大家供大家参考,具体如下:
静态路由
一、基本配置
下一跳写法:
ip route-static x.x.x.x ab y.y.y.y
注:x.x.x.x 指目标网段;ab为目标网段的子网掩码位数,华为设备可以写子网掩码的具体形式,也可以简写;y.y.y.y指下一跳接口IP地址。
出接口写法:
ip route-static x.x.x.x ab gm/m/m
注:x.x.x.x、ab与下一跳写法相同,均为目标网段和子网掩码;gm/m/m为出接口的接口名称。
二、汇总
当目标为一些连续子网,且基于相同的路径进行访问时,可以将这些目标网段进行汇总,以达到减少路由条目数量的作用。
举例:
ip route-static 1.1.0.0 22 12.1.1.2
三、黑洞
由于汇总后的网络中实际上会有一些网段并未被设定,此时若其他设备访问这些未被设定的网段会出现有去无回的现象。为了避免产生黑洞现象,我们需要合理的地址规划和汇总设定来减少黑洞的范围。
四、缺省
缺省路由是一条不限定目标的路由。当路由器查询完本地所有的直连、静态、动态路由后,如果依旧没有可达路径,则会选择使用缺省路由进行访问。
五、负载均衡
当一条路由达到同一个目标时,若存在多条相似的路径,则可以将流量进行拆分后在多条路径中同时传输。
注:流量拆分时,并不是有多少条路径就拆分成多少份;而是按照每条路径的带宽进行等比例拆分,带宽大的路径传输的份额更多。
六、空接口
当汇总后产生的路由黑洞与缺省路由相遇后必然会产生环路。为了避免产生环路,我们在产生黑洞的路由器上配置到达汇总后地址的空接口路由来进行防环。
例如:
ip route-static 1.1.0.0 22 null 0
七、浮动静态路由
在直连的两台路由器间若直连线有两条,则我们可以通过修改路由的优先级(优先级越小越优)使两条线路中一条线路为主要线路,另一条为备用线路,达到路径备份的作用。
例如:
ip route-statci 1.1.0.0 22 13.1.1.2 preference 61
华为设备中静态路由的默认优先级为60,当备份线路的静态路由优先级大于60,则不会加到路由表中,只会作为备份进行使用。
八、ACL–访问控制列表
匹配规则:
自上而下逐一匹配,上条匹配按上条执行,不再查看下条,末尾隐含允许所有。
标准ACL:2000-2999,仅关注源IP,靠近目标处调用;
扩展ACL:3000-3999,关注源、目IP,源、目端口号,协议号
基于MAC地址的ACL:4000-4999
标准ACL:
[r3]acl 2000 [r3-acl-basic-2000]rule permit source 192.168.1.1 0.0.0.0 [r3-acl-basic-2000]quit [r3]interface g0/0/2 [r3-GigabitEthernet0/0/2]traffic-filter inbound acl 2000
扩展ACL:
编号写法: [Huawei]acl 3000 [Huawei-acl-adv-3000]rule deny ip source 192.168.1.1 0 destination 192.168.1.2 0 拒绝telnet rule deny tcp source 192.168.1.1 0 destination 192.168.1.2 0 destination-port eq 23 命名写法: [Huawei]acl name a 3001 [Huawei-acl-adv-a]rule deny ip source 192.168.1.1 0 destination 192.168.1.2 0
九、NAT
华为的设备中不需要在边界路由器上定义各个接口的方向,但NAT仍要在边界路由器上进行配置。
私有的IPV4地址:10.0.0.0/8 、172.16.0.0/16 -172.31.0.0/16 、192.168.0.0/24 -192.168.255.0/24
一对多:将多个本地地址和一个全局地址进行转换;所有的本地地址转换为同一个全局地址,但使用不同的源端口号来区分,映射关系为单次映射;由于端口号数量有限,所以更适用于家庭和小型局域网。
例如:
[Huawei]acl 2004 [Huawei-acl-basic-2004]rule permit source 192.168.1.0 0.0.0.255 [Huawei-acl-basic-2004]quit [Huawei]interface g0/0/2 [Huawei-GigabitEthernet0/0/2]nat outbound 2004 [Huawei-GigabitEthernet0/0/2]quit [Huawei]
一对一(静态):固定的将一个私有和一个公有地址进行转换
例如:
[Huawei]interface g0/0/1 [Huawei-GigabitEthernet0/0/1]nat static global 56.1.1.3 inside 192.168.1.10
端口映射:将一个公有地址的固定端口和一个私有地址的固定端口形成映射。
例如:
[Huawei]interface g0/0/1 [Huawei-GigabitEthernet0/0/1]nat server protocol tcp global current-interface te lnet inside 192.168.1.8 telnet Warning:The port 23 is well-known port. If you continue it may cause function fa ilure. Are you sure to continue?[Y/N]:y [Huawei-GigabitEthernet0/0/1]
多对多:存在静态和动态两种情况
静态:假设全局公有地址存在10个,那额内网中最先出来的10个私有地址与这10个公有地址建立一对一映射,当这10个私有地址不再收发流量一定时间后刷新记录,然后再重新映射到最先出来的设备。
动态:假设全局公有地址存在10个,最先出来的65535个数据包占用第一个公有地址的所有端口;第二批出来的65535个数据包占用第二个公有地址的所有端口,按照这种方式循环占有公有地址的端口号。
静态路由综合实验
拓扑图:
实验要求:
1:R4为ISP,只能配置IP地址,不能再进行其他任何配置;
2:R1-R3为内网,地址为192.168.1.0/24,合理分配;
3:PC可以通过不同的域名来访问内网的两台服务器,两台服务器为不同的公有地址;
4:内网的PC可以正常访问外网PC;
5:R2与R3之间浮动静态路由备份路径;
6:R4 telnet R3 实际登录到 R1;
7:减少路由条目数量,避免环路;
实验思路:
首先,通过实验要求来进行分析;
R4为ISP,R1-R3为内网,需要基于特定的IP地址进行合理规划,这两点要求按照要求配置IP地址即可;
完成IP地址配置后,开始实现内网全网可达。从左至右,即R1配置缺省路由指向R2,R2配置缺省路由指向R3,R3配置缺省路由指向R4;从右至左,即R2配置静态获取R2左侧未知的网段,R3配置静态获取R3左侧未知的网段。在R2-R3之间的缺省路由和静态路由需要在备份路径设置同样的路由但备份路径的路由优先级需要大于主路径的优先级,以实现浮动静态路由备份的功能。完成这些配置后即可实现内网的全网可达。
此时还有第3、4、6、7条实验要求未实现。
针对第4条要求,我们只需要在边界路由器R3上配置一个一对多的NAT即可实现。
针对第3条要求,我们需要在R3上配置两条一对一的NAT,使用两个漂浮公有地址对应到两个内网的服务器地址;并在外网的DNS服务器上添加两条域名解析后,才能实现外网PC通过不同的域名来访问两台内网服务器。
针对第6条要求,我们需要先在R1上开启telnet功能,然后在R3上配置端口映射,让物理接口的公有地址中特定的端口来进行特定的telnet服务,不再为内网其他设备服务。配置完端口映射后可以在R4上进行telnet测试。
针对第7条妖气,在配置静态路由时,未知的环回网段可以将汇总后的IP地址作为目标网段来配置静态路由,更加方便配置;在有汇总的路由器上写一条汇总后的地址指向该路由器的空接口可以用于避免环路的产生。
实验配置:
R1:
[r1]display current-configuration [V200R003C00] # sysname r1 # snmp-agent local-engineid 800007DB03000000000000 snmp-agent # clock timezone China-Standard-Time minus 08:00:00 # portal local-server load portalpage.zip # drop illegal-mac alarm # set cpu-usage threshold 80 restore 75 # dhcp enable # ip pool 1 gateway-list 192.168.1.33 network 192.168.1.32 mask 255.255.255.224 dns-list 8.8.8.8 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http # firewall zone Local priority 15 # interface GigabitEthernet0/0/0 ip address 192.168.1.1 255.255.255.252 # interface GigabitEthernet0/0/1 ip address 192.168.1.33 255.255.255.224 dhcp select global # interface GigabitEthernet0/0/2 # interface NULL0 # ip route-static 0.0.0.0 0.0.0.0 192.168.1.2 # user-interface con 0 authentication-mode password user-interface vty 0 4 authentication-mode password user privilege level 15 set authentication password cipher %$%$3Tl1V/6=9Z{'Mz({*k}Y,.TJ3SXj+)M76E6UY17~ m|0L.TM,%$%$ user-interface vty 16 20 # wlan ac # return [r1]
R2:
[r2]display current-configuration [V200R003C00] # sysname r2 # snmp-agent local-engineid 800007DB03000000000000 snmp-agent # clock timezone China-Standard-Time minus 08:00:00 # portal local-server load portalpage.zip # drop illegal-mac alarm # set cpu-usage threshold 80 restore 75 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http # firewall zone Local priority 15 # interface GigabitEthernet0/0/0 ip address 192.168.1.2 255.255.255.252 # interface GigabitEthernet0/0/1 ip address 192.168.1.9 255.255.255.252 # interface GigabitEthernet0/0/2 ip address 192.168.1.5 255.255.255.252 # interface NULL0 # interface LoopBack0 ip address 192.168.1.65 255.255.255.240 # interface LoopBack1 ip address 192.169.1.81 255.255.255.240 # ip route-static 0.0.0.0 0.0.0.0 192.168.1.6 ip route-static 0.0.0.0 0.0.0.0 192.168.1.10 preference 61 ip route-static 192.168.1.32 255.255.255.224 192.168.1.1 ip route-static 192.168.1.64 255.255.255.224 NULL0 # user-interface con 0 authentication-mode password user-interface vty 0 4 user-interface vty 16 20 # wlan ac # return [r2]
R3:
[r3]display current-configuration [V200R003C00] # sysname r3 # snmp-agent local-engineid 800007DB03000000000000 snmp-agent # clock timezone China-Standard-Time minus 08:00:00 # portal local-server load portalpage.zip # drop illegal-mac alarm # set cpu-usage threshold 80 restore 75 # acl number 2001 rule 5 permit source 192.168.1.0 0.0.0.255 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http # firewall zone Local priority 15 # interface GigabitEthernet0/0/0 ip address 192.168.1.10 255.255.255.252 # interface GigabitEthernet0/0/1 ip address 192.168.1.6 255.255.255.252 # interface GigabitEthernet0/0/2 ip address 12.1.1.1 255.255.255.0 traffic-filter inbound acl 2000 nat static global 12.1.1.3 inside 192.168.1.34 netmask 255.255.255.255 nat static global 12.1.1.4 inside 192.168.1.35 netmask 255.255.255.255 nat server protocol tcp global current-interface telnet inside 192.168.1.1 teln et nat outbound 2001 # interface NULL0 # interface LoopBack0 ip address 192.168.1.97 255.255.255.240 # interface LoopBack1 ip address 192.168.1.113 255.255.255.240 # ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 ip route-static 192.168.1.0 255.255.255.252 192.168.1.5 ip route-static 192.168.1.0 255.255.255.252 192.168.1.9 preference 61 ip route-static 192.168.1.32 255.255.255.224 192.168.1.5 ip route-static 192.168.1.32 255.255.255.224 192.168.1.9 preference 61 ip route-static 192.168.1.64 255.255.255.224 192.168.1.5 ip route-static 192.168.1.64 255.255.255.224 192.168.1.9 preference 61 ip route-static 192.168.1.96 255.255.255.224 NULL0 # user-interface con 0 authentication-mode password user-interface vty 0 4 user-interface vty 16 20 # wlan ac # return [r3]
R4:
[r4]display current-configuration [V200R003C00] # sysname r4 # snmp-agent local-engineid 800007DB03000000000000 snmp-agent # clock timezone China-Standard-Time minus 08:00:00 # portal local-server load portalpage.zip # drop illegal-mac alarm # set cpu-usage threshold 80 restore 75 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http # firewall zone Local priority 15 # interface GigabitEthernet0/0/0 ip address 12.1.1.2 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 1.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/2 # interface NULL0 # user-interface con 0 authentication-mode password user-interface vty 0 4 user-interface vty 16 20 # wlan ac # return [r4]
Server 1:
Server 的IP地址需要自己手工配置并保存。
选择一个文件夹作为http服务的文件根目录,并启动该服务。
Server 2:
与Server 1的配置相同,区别在于IP地址不同,存放不同的文件夹作为根目录,方便后期测试便于区分。
PC 1:
在PC1的网关路由器上配置DHCP服务,只需要在PC1上选择IPV4配置方式为DHCP并应用即可,由于设备的原因,自动获取的IP地址不会直接显示,此时需要在命令行界面输入ipconfig查看PC1的IP地址。
PC 3:
外网PC3的设置与内网PC1的设置方式相同,区别仅在于IP地址需要手工配置为该网段的主机地址;
DNS:
DNS服务器的IP地址也需要手工配置,并且设定域名解析服务并开启该服务,否则外网PC不能通过域名访问内网服务器。
Client 2:
注:Client 1不做使用。
华为的ENSP模拟器中PC并没有浏览器的功能,只能通过Client来访问http服务,同时IP地址也需要手工配置。
实验结果测试:
要求3:PC可以通过不同的域名来访问内网的两台服务器,两台服务器为不同的公有地址
www.a.com 对应的公有地址为12.1.1.3,转换为私有地址为 192.168.1.34
www.b.com 对应的公有地址为12.1.1.4,转换为私有地址为192.168.1.35
要求4:内网PC可以访问外网PC
外网PC的IP地址手工配置为1.1.1.10
要求5:
要求6:R4 telnet R3 实际登录到R1
R3的接口IP为12.1.1.1,由于R1的telnet用户权限设置为15(最高等级),故R4登录后可以做任何任何配置;
以上为华为HCIP静态路由部分比较重要也是比较基础的内容,所有的思路和地址规划仅供参考。