ensp常用基础指令

描述vlan

description用来给vlan加定义信息

description Technical//技术部vlan

ip绑定mac

int e0/0/3
port-sercurity enable
port-sercur mac-address strick
port-sercur mac-address strick 1234-4567-ABCD vlan 10 //在valn10上启用

STP

①使冗余端口置于“阻塞状态”
②网络中的计算机在通信时，只有一条链路生效
③当这个链路出现故障时，将处于“阻塞状态”的端口重新打开，从而确保网络连接稳定可靠
STP的优先级越小，优先级越高，最小0，最大4096

开启STP

stp enable
stp mode stp

配置STP优先级

stp priority 0  //配置成为主根交换机
stp priority 4096  //配置成为备份根交换机

还有另一种方法

stp root primary    //主根交换机
stp root secondary  //备份根交换机

配置边缘端口

配置为边缘端口，以加速网络的收敛,缩短收敛的时间，减少了对网络通信的影响

int e0/0/10
stp edged-port enable

RSTP

开启rstp

stp mode rstp 

优先级

stp priority 0  //配置成为主根交换机
stp priority 4096  //配置成为备份根交换机

还有另一种方法

stp root primary    //主根交换机
stp root secondary  //备份根交换机

配置边缘端口

配置为边缘端口，以加速网络的收敛,缩短收敛的时间，减少了对网络通信的影响

int e0/0/10
stp edged-port enable

静态路由

配置静态路由

ip route-static 目标网段 子网掩码 下一跳地址
ip route-static 172.16.1.0 24 20.20.20.10

在 R1 上配置目的网段为主机 PC2 所在网段的静态路由，即目的 IP 地址为 172.16.1.0，
掩码 255.255.255.0 即 24 位。对于 R1 而言，要发送数据到主机 PC2，则必须先发送给 R2，
所以 R2 即为 R1 的下一跳路由，R2 与 R1 所在的直连链路上的物理接口的 IP 地址即为下一
跳 IP 地址，即 20.20.20.10。

查看路由表

display ip routing-table

浮动路由

定义：指配置两条静态路由，默认选取链路质量优（带宽大的）作为主路径，当主路径出现故障时，由带宽较小的备份路径顶替主路经，浮动路由站在同一时刻，数据只会由一条链路代为转发。。 优先级越小越优先
静态路由的默认优先级是60

[R1]ip route-static 0.0.0.0 0.0.0.0 10.10.10.10
[R2]ip route-static 0.0.0.0 0.0.0.0 10.10.10.1

浮动路由，优先级设为100，做备用。

[R1]ip route-static 0.0.0.0 0.0.0.0 20.20.20.10 preference 100
[R2]ip route-static 0.0.0.0 0.0.0.0 20.20.20.1 preference 100

OSPF动态路由协议

Area 0 是骨干区域、核心区域，Area 1、2 等是常规区域，其他常规区域都必须与此相连。

创建并运行

配置
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255

network 直连网段 反掩码

单臂路由

单臂路由（router-on-a-stick）是指在路由器的一个接口上通过配置子接口（或“逻辑接口”，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通。
单臂详解

易错点
1 交换机和路由器相连的端口属性要设置为Trunk且运行所有vlan通过；
2 和路由器直接相连的接口（不是子接口）不能设置IP；
3 路由器的子接口要记得开启arp广播请求；
4 主机ip和子接口ip地址（所对应的网关地址）不能重复。

[Huawei]system-view
[Huawei]sysname SW1
[SW1]vlan batch 10 20
[SW1] port-group group-member Ethernet 0/0/2 to Ethernet 0/0/10
[SW1-port-group]port link-type access
[SW1-port-group]port default vlan 10
[SW1-port-group]quit
[SW1] port-group group-member Ethernet 0/0/11 to Ethernet 0/0/20 
[SW1-port-group]port link-type access
[SW1-port-group]port default vlan 20
[SW1-port-group]quit
[SW1]interface Ethernet0/0/1
[SW1-Ethernet0/0/1]port link-type trunk
[SW1]interface Ethernet0/0/1
[SW1-Ethernet0/0/1]port trunk allow-pass vlan 10 20

<Huawei>system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0.1
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 10
[R1-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/0.1]arp broadcast enable
[R1-GigabitEthernet0/0/0.1]quit
[R1]interface GigabitEthernet 0/0/0.2
[R1-GigabitEthernet0/0/0.2]dot1q termination vid 20
[R1-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24
[R1-GigabitEthernet0/0/0.2]arp broadcast enable

dot1q终结模式是指在网络设备（如交换机、路由器）上配置一个接口，用于接收和处理使用IEEE 802.1Q协议进行标记的VLAN数据帧。

IEEE 802.1Q是一种VLAN标记协议，通过在以太网帧的头部添加额外的标记字段来标识不同的VLAN。当网络中的数据帧经过支持802.1Q的交换机时，交换机会根据帧头部的标记字段将数据帧发送到相应的VLAN。

而dot1q终结模式则是在网络设备上配置特定的接口，使其能够接收并解析带有VLAN标记的数据帧，并按照相应的VLAN进行处理。这样，设备就能够将不同VLAN之间的数据进行隔离和转发。

通过配置dot1q终结模式，网络设备可以实现多个虚拟局域网（VLAN）之间的隔离和通信，提供更灵活和可靠的网络架构。

ARP（Address Resolution Protocol）是一种用于将IP地址解析为MAC地址的协议。当主机需要与目标主机通信时，首先需要知道目标主机的MAC地址。主机会通过发送ARP请求广播来获取目标主机的MAC地址，然后将该MAC地址添加到自己的ARP缓存中，以便后续通信。

在命令中，[R1-GigabitEthernet0/0/0.10] 表示进入到接口 GigabitEthernet0/0/0 的子接口 VLAN 10 的配置模式。”arp broadcast enable” 则是启用该接口上的 ARP 广播功能，允许该接口发送 ARP 请求广播。

vlanif

分VLAN后，同一VLAN内的用户可以互相通信，但是属于不同VLAN的用户不能直接通信。为了实现VLAN间通信，可通过配置逻辑的三层接口（VLANIF接口）来实现。当交换机需要与网络层的设备通信时，可以在交换机上创建基于VLAN的逻辑接口，即VLANIF接口。VLANIF接口属于逻辑接口，逻辑接口是指物理上不存在且需要通过配置建立的接口。
VLANIF接口是网络层接口，创建VLANIF接口前要先创建了对应的VLAN，才可以配置IP地址。借助VLANIF接口，交换机就能与其它网络层的设备互相通信。

vrrp

虚拟路由冗余协议VRRP（Virtual Router Redundancy Protocol）通过把几台路由设备联合组成一台虚拟的路由设备，将虚拟路由设备的IP地址作为用户的默认网关实现与外部网络通信。当网关设备发生故障时，VRRP机制能够选举新的网关设备承担数据流量，从而保障网络的可靠通信。

配置VRRP协议

vrrp vrid 备份组号 virtual-ip 虚拟ip

[R1]interface G0/0/0
[R1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254

[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254

设置优先级
vrrp的优先级越大越优先，默认是100。使R1 成为 Master， R2 为 Backup

[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 110

配置上行接口监视

在 R1 上配置上行接口监视，监视上行接口 G0/0/1，当此接口断掉时，裁剪优先级 60，
使优先级变为 50，小于 R2 的优先级 100。

[R1-GigabitEthernet0/0/0]vrrp vrid 1 track interface GigabitEthernet 0/0/1 reduced 60

基于VRRP的双出口负载均衡

为内部计算机指定两个网关，使内部流量通过不同的路由器转发。网关可以使用多个VRRP组来实现

配置VRRP路由协议

//R1配置
[R1]interface G0/0/0
[R1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.253
[R1-GigabitEthernet0/0/0] vrrp vrid 2 virtual-ip 192.168.1.254

R2配置
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.253
[R2-GigabitEthernet0/0/0]vrrp vrid 2 virtual-ip 192.168.1.254

设置优先级
优先级默认100，配置优先级使R1成为组1的master路由，R2成为组2的master路由

[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 110
[R2-GigabitEthernet0/0/0] vrrp vrid 2 priority 110

监视上行端口

[R1-GigabitEthernet0/0/0]vrrp vrid 1 track interface GigabitEthernet 0/0/1 reduced 60

[R2-GigabitEthernet0/0/0]vrrp vrid 1 track interface GigabitEthernet 0/0/2 reduced 60

链路聚合

两台交换机间的链路进行汇聚，提高网络传输质量

配置

创建Eth-Trunk 1 接口，指定为手工负载分担模式

[SW1]interface Eth-Trunk 1
[SW1-Eth-Trunk1]mode manual load-balance
[SW1]quit

将端口加入接口

[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] eth-trunk 1
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] eth-trunk 1

批量加入

[SW1]interface Eth-Trunk 1
[SW1]trunkport g0/0/1 g0/0/3

PAP认证

配置ppp的pap认证

认证端配置
R1 路由器作为认证端，需要配置本端 PPP 协议的认证方式为 PAP。执行 aaa 命令，进入
AAA 视图，配置 PAP 认证所使用的用户名密码。

[R1]aaa
[R1-aaa]local-user jan16 password cipher 123456
[R1-aaa]local-user jan16 service-type ppp
[R1-aaa]int s4/0/0
[R1-Serial4/0/0]link-protocol ppp
[R1-Serial4/0/0]ppp authentication-mode pap

对端配置pap认证

[R2]int s4/0/0
[R2-Serial4/0/0]link-protocol ppp
[R2-Serial4/0/0]ppp pap local-user Jan16 password cipher 123456

CHAP认证

配置ppp的CHAP认证

认证方

[R1]aaa
[R1-aaa]local-user Jan16 password cipher 123456
[R1-aaa]local-user Jan16 service-type ppp
[R1]interface Serial 4/0/0
[R1-Serial4/0/0]link-protocol ppp
[R1-Serial4/0/0]ppp authentication-mode chap

被认证方

[R2]int s4/0/0
[R2-Serial4/0/0]link-protocol ppp
[R2-Serial4/0/0]ppp chap user Jan16
[R2-Serial4/0/0]ppp chap password 123456

PPPoE认证

拨号上网

①修改 ISP 路由器的设备名，并配置 Loopback1 接口的 IP；
[Huawei]system-view
[Huawei]sysname ISP
[ISP] interface LoopBack1
[ISP-LoopBack1] ip address 10.10.10.1 255.255.255.0
②配置 PPPoE 地址池，通过使用全局地址池给对端分配地址，实现 PPPoE Server 为
PPPoE Client 动态分配 IP 地址。
[ISP]ip pool pppoe
[ISP-ip-pool-pppoe]gateway-list 20.20.20.1
[ISP-ip-pool-pppoe]network 20.20.20.0 mask 255.255.255.0
③配置 PPPoE 认证用户，实现 PPPoE Server 对用户主机的认证。
[ISP]aaa
[ISP-aaa]local-user r1 password cipher 123456
[ISP-aaa]local-user r1 privilege level 0
[ISP-aaa]local-user r1 service-type ppp
④配置虚拟接口模板 VT，本端 PPPoE 协议对对端设备的认证方式为 CHAP。
[ISP]interface Virtual-Template 1
[ISP-Virtual-Template1]ppp authentication-mode chap
[ISP-Virtual-Template1]remote address pool pppoe
[ISP-Virtual-Template1]ip address 20.20.20.1 255.255.255.0
⑤启用 PPPoE Server 功能，在以太网接口 G0/0/0 上启用 PPPoE Server 功能。
[ISP]interface GigabitEthernet 0/0/0
[ISP-GigabitEthernet0/0/0]pppoe-server bind Virtual-Template 1
（2）配置 PPPoE 客户端
①修改 R1 路由器的设备名，并配置 G0/0/1 接口的 IP 作为内网用户的网关；
[Huawei]system-view
[Huawei]sysname R1
[R1]int G0/0/1
[R1-GigabitEthernet0/0/1] ip address 192.168.10.254 255.255.255.0
②配置 Dialer 接口。
[R1]interface Dialer0
[R1-Dialer0]ppp chap user r1
[R1-Dialer0]ppp chap password cipher 123456
[R1-Dialer0]tcp adjust-mss 1200
[R1-Dialer0]ip address ppp-negotiate
[R1-Dialer0]dialer user isp
[R1-Dialer0]dialer bundle 1
[R1-Dialer0]dialer-group 1
③建立 PPPoE 会话
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0] pppoe-client dial-bundle-number 1
④配置 NAT 转换，配置局域网用户通过 NAT 转换将私网地址转换为公网地址，进行拨
号上网。
[R1]acl number 3000
[R1-acl-adv-3000] rule 5 permit ip source 192.168.10.0 0.0.0.255
[R1-acl-adv-3000]quit
[R1]interface Dialer0
[R1-Dialer0]nat outbound 3000
⑤配置到 PPPoE Server 的静态路由
[R1] ip route-static 0.0.0.0 0 dialer 1

ACL访问控制列表

ACL用来过滤数据包

配置ACL

创建ACL允许，源为192.168.30.0的报文通过，应用到G0/0/2上。
华为默认全部允许

[SW1]acl 2000
[SW1-acl-basic-2000]rule permit source 192.168.30.0 0.0.0.255
[SW1-acl-basic-2000]rule deny 
[SW1]int G0/0/2
[SW1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000

拒绝包源网段为192.168.40.0的报文通过，规则应用到g0/0/1上

[SW1]acl 2001
[SW1-acl-basic-2001]rule deny source 192.168.40.0 0.0.0.255
[SW1]int G0/0/1
[SW1-GigabitEthernet0/0/1]traffic-filter outbound acl 2001

扩展ACL

[R1]acl 3000

//配置了ACL的第5条规则，允许源IP地址为192.168.10.1的TCP流量通过，目的端口为80（HTTP）。
[R1-acl-adv-3000]rule 5 permit tcp source 192.168.10.1 0 destination-port eq www

[R1-acl-adv-3000]rule 10 deny ip
[R1]int G0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

这组命令的作用是配置了一个ACL，允许源IP地址为192.168.10.1的HTTP流量通过，而拒绝其他所有IP流量通过。然后，将该ACL应用到了GigabitEthernet0/0/1接口的出流量中。这样，从该接口发送出去的数据包都会被ACL过滤，只有符合规则的HTTP流量才能通过。
在这个语句中，

rule表示ACL规则的关键字，5表示规则的编号。permit表示该规则允许匹配的流量通过，tcp表示该规则适用于TCP协议。source 192.168.10.1 0表示源IP地址为192.168.10.1，destination-port eq www表示目的端口为80（HTTP）。

静态nat发布官网

网络地址转换，主要将私有地址转换成公网地址。形成映射关系

[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat static global 16.16.16.1 inside 192.168.1.1

nat static global 公网ip inside 内部ip

动态nat访问互联网

动态 NAT 转换需要有多个公网 IP 地址，在路由器中将公网 IP 地址配置为 NAT 地址池，并建立 ACL 列表匹配内部地址。在出口
路由器的 G0/0/1 上应用 NAT 转换即可。
动态NAT基于地址池来实现私有地址和公有地址的转换，转换是随机的
配置地址池

[R1]nat address-group 1 16.16.16.1 16.16.16.5

创建ACL

[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255

nat绑定acl
在 G0/0/1 接口下使用 nat outbound 命令将 ACL2000 与地址池相关联，使得 ACL 中规
定的地址可以使用地址池进行地址转换。

[R1-acl-basic-2000]int G0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat   //不使用pat模式

端口多路复用（Port address Translation,PAT）是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，Port Address Translation）.采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。

验证

向外网发送包后，使用disaplay nat session all查看

使用静态NAPT发布官网

（通俗的讲）它们都是地址转换，NAPT与NAT的区别在于 NAT是一对一转换，NAPT是多对一转换。通俗来说NAT是一个内部地址转换成一个外部地址进行通信的，而NAPT是多个内部地址使用同一地址不同端口转换成外部地址进行通信的。
NAPT允许多个私网地址转换到同一个公有地址的不同端口，私网利用端口号来区分。
简单来说：NAPT发送数据的时候会在源地址和目标地址上加上端口号（比如源地址：192.168.1.2:1010，目标地址：200.1.1.2:1020），回来的数据也是一样。

配置静态NAPT

[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 16.16.16.1 80 inside 192.168.1.1 80

easyIP

利用端口号来识别不用的私网地址，NAPT的特例。直接将内网私有地址转换为出接口的公网IP地址。
Easy IP 是 NAT 的其中一种方式，主要用于内部计算机共享公网 IP 地址访问互联网。

配置动态NAT

创建ACL

[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255

在 G0/0/1 接口下使用 nat outbound 命令配置 Easy-IP 特性，直接使用接口 IP 地址作为 NAT 转换后的地址

[R1-acl-basic-2000]int G0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000

ipv6

格式

IPv6地址总长度为128比特，分为8组，每组为4个十六进制数的形式，每组十六进制数间用冒号分隔。
例如：FC00:0000:130F:0000:0000:09C0:876A:130B

掩码

IPv6的掩码使用“前缀长度”来表示，如：
FC00:0:130F::9C0:876A:130B/64
代表这个地址的前缀长度是64，也就是掩码长度为64位

缩写

每组中的前导“0”都可以省略，上述地址可以写为：FC00:0:130F:0:0:9C0:876A:130B。
地址中包含的连续两个或多个均为0的组，可以用双冒号“::”来代替：FC00:0:130F::9C0:876A:130B
需要注意的是，在一个IPv6地址中只能使用一次双冒号“::”

分类

全球单播地址
全球唯一的单播地址，类似于IPv4的公网IP
地址范围是2000::/3
唯一本地地址
相当于IPv4的私网ip，在Internet不可路由。
IPv4的私网ip是为了节省地址，而IPv6主要为了安全（和Internet隔离），或者暂时没申请到地址临时使用。
地址范围是FC00::/7
链路本地地址
当一个节点启动IPv6协议栈时，启动时节点的每个接口会自动配置一个链路本地地址。
这种机制使得两个连接到同一链路的IPv6节点不需要做任何配置就可以通信。
地址范围是FE80::/10
链路本地地址可以使用EUI64自动生成
特殊地址
0:0:0:0:0:0:0:1/128 或者::1/128。
与IPv4中的127.0.0.1作用相同，用于本地回环，发往::/1的数据包实际上就是发给本地，可用于本地协议栈回环测试。
0:0:0:0:0:0:0:0/128 或者::/128。
该地址作为某些报文的源地址，比如作为重复地址检测时发送的邻居请求报文（NS）的源地址，或者DHCPv6初始化过程中客户端所发送的请求报文的源地址。

ipv6配置静态路由

启用ipv6

[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ipv6 enable

添加ip地址
地址2020:0:0:0:0:0:1，缩写为2020::1，掩码长度64位，4*16=64，所以掩码是2020

[R2-GigabitEthernet0/0/0]ipv6 address 2020::1/64

配置静态路由

在R1上配置静态路由到PC2所在网段，目标网段为2020::0，掩码为64，下一跳地址为2001::2

[R1]ipv6 route-static 2020:: 64 2001::2

DHCP