本文仅做新手简单的快速入门参考,仅用于一般简单常见的应用场景搭建,以帮助了解基本的华为设备互通配置。更多复杂场景是需要更加深入的学习的,详细原理方面请百度,本文仅简单本文示例相关必要的基础原理,只适合有基本网络基础的小白参考。
ENSP模拟器和示例场景拓扑下载连接:https://chrisxs.com/kdy/#s/9D4C4gtw
本文的示例场景分为:
- 三层见换机VLAN间通讯+DHCP
-
三层交换机+路由器:实现三层交换机给下级设备终端以DHCP方式分配IP,并与路由器互通,并实现局域网内所有设备的VLAN互通和外网通讯
-
三层交换机+防火墙:实现三层交换机给下级设备终端以DHCP方式分配IP,由防火墙配置内外网互通,并实现局域网内所有设备的VLAN互通和外网通讯
DHCP配置这一部分是以上两个场景前提,是必做的配置。路由器和防火墙场景,是分开的,不是三种设备都混合在一起。
关于示例:建议仅参考本文图片布置模拟器内设备即可,直接调用本文下载的示例文件的话都是已经配置好的,仅作为你配置有问题时候参考,不建议代替重新布置模拟环境
前提基础命令
- 切换系统视图(一般都是在这个视图才能开始配置):
system-view - 退出当前视图:
quit - 保存配置:
save - 更改设备名:
system-name 设备名称 - 显示当前接口或者视图的信息
display this
DHCP配置
模拟环境示例
– 交换机3台
– 电脑4台
基本操作思路
- 首选把VLAN 10 VLAN20配置互通
- 在三层交换机开启dhcp功能
- 创建地址池
- 在网关接口启用dhcp
访问一个网站比如百度,习惯用网址。
互联网上,任可通信,都需要知道目标主机的ip地址
dns服务器,作用就是帮助我们把网址转换为ip地址
如114.114.114.114
配置命令流程
配置交换机VLAN相互通信
在实际中,如果SW2和SW3只是普通交换机,则不需要在SW2和SW3做VLAN TRUNK配置,仅需在SW3配置地址池和VLANIF的转发即可。这里的做法是为了适合以后扩展所以预设值为全是三层交换机,所以看起来比较复杂,如果看不明白照着做即可,效果是差不多的
- VLAN10配置(图中交换机SW2)
| vlan batch 10 | |
| interface GigabitEthernet0/0/3 | |
| port link-type trunk | |
| port trunk allow-pass vlan 10 | |
| interface GigabitEthernet0/0/1 | |
| port link-type access | |
| port default vlan 10 | |
| interface GigabitEthernet0/0/2 | |
| port link-type access | |
| port default vlan 10 |
- VLAN20配置(图中交换机SW3)
| vlan batch 20 | |
| interface GigabitEthernet0/0/3 | |
| port link-type trunk | |
| port trunk allow-pass vlan 20 | |
| interface GigabitEthernet0/0/1 | |
| port link-type access | |
| port default vlan 20 | |
| interface GigabitEthernet0/0/1 | |
| port link-type access | |
| port default vlan 20 |
在网关三层交换机创建和配置VLAN、开启dhcp功能(图中SW1)
| vlan batch 10 20 | |
| interface GigabitEthernet0/0/1 | |
| port link-type trunk | |
| port trunk allow-pass vlan 10 20 | |
| interface GigabitEthernet0/0/2 | |
| port link-type trunk | |
| port trunk allow-pass vlan 10 20 |
- 开启DHCP服务
dhcp enable
- VLANIF接口10创建地址池
| interface Vlanif10 | |
| ip address 192.168.1.254 255.255.255.0 | |
| dhcp select global | |
| ip pool a | |
| gateway-list 192.168.1.254 | |
| network 192.168.1.0 mask 255.255.255.0 | |
| dns-list 114.114.114.114 |
VLANIF接口20创建地址池
| interface Vlanif20 | |
| ip address 192.168.2.254 255.255.255.0 | |
| dhcp select global | |
| ip pool b | |
| gateway-list 192.168.2.254 | |
| network 192.168.2.0 mask 255.255.255.0 | |
| dns-list 114.114.114.114 |
命令解释
| ip pool 2F //创建一个地址池,名字叫2F | |
| gateway-list 192.168.20.1 //配置网关 | |
| network192.168.20.0 mask 255.255.255.0 //分配地址段 | |
| excluded-ip-address192.168.20.43 192.168.20.253 //排除一些地址,不会再给主机分配 | |
| static-bindip-address192.168.20.40 mac-address e0d5-ed7·06e0 //MAC静态绑定 | |
| static-bindip-address192.168.20.41mac-address b42e-9911-fdf9 | |
| lease day 0 hour 8 minute 0 //租约 | |
| dns-list 58.20.127.170 114.114.114.114 //可以配置两台dns服务器 |
验证测试
- PC1 PC2 PC3 PC4分别都能够自动获取IP地址,VLAN 10 的 PC1 PC2网段为:
192.168.1.x,VLAN20 的 PC3 PC4网段为:192.168.2.x - VLAN 10和VLAN 20的计算机互相PING,能通则为成功
路由器
模拟环境示例
基于上一个示例,加入以下设备:
- 电脑一台:用于模拟在互联网的某个IP的设备
- 路由器(AR2):仅用作模拟宽带运营商接收端
- 路由器(AR1):用于模拟真实路由,处理内外网通信
配置命令流程
交换机配置(图中SW1)
- 为交换机配置VLAN和该VLAN的IP,以便交换机和路由直接能通信(由于这个型号的交换机无法直接在接口配置地址,因此这里
interface GigabitEthernet0/0/3是配置了VLAN接口的地址)
| vlan 100 | |
| interface GigabitEthernet0/0/3 | |
| port link-type access | |
| port default vlan 100 |
| interface Vlanif100 | |
| ip address 10.10.10.1 255.255.255.0 |
- 配置交换机的路由表
10.10.10.2下一跳,即路由器
ip route-static 0.0.0.0 0.0.0.0 10.10.10.2
路由配置
- interface GigabitEthernet0/0/0已经连接了交换机(SW1),把这个接口设置成路由IP(图中AR1):
| interface GigabitEthernet0/0/0 | |
| ip address 10.10.10.2 255.255.255.0 |
interface GigabitEthernet0/0/1已经连接了模拟的运营商设备(图中AR2),跟该设备(图中AR2)一个网段的地址(图中AR1):
| interface GigabitEthernet0/0/1 | |
| ip address 64.1.1.1 255.255.255.0 |
- 设置路由的IP(图中AR2):
| interface GigabitEthernet0/0/0 | |
| ip address 64.1.1.10 255.255.255.0 | |
| interface GigabitEthernet0/0/1 | |
| ip address 6.6.6.1 255.255.255.0 |
- 配置路由表(图中AR1)
ip route-static 0.0.0.0 0.0.0.0 64.1.1.10
- 配置回程路由表(图中AR1)
| ip route-static 192.168.1.0 24 10.10.10.1 | |
| ip route-static 192.168.2.0 24 10.10.10.1 |
配置NAT(图中AR1)
| acl 2000 | |
| rule permit source 192.168.1.0 0.0.0.255 | |
| rule permit source 192.168.2.0 0.0.0.255 | |
| interface GigabitEthernet0/0/1 | |
| nat outbound 2000 |
流程总结
- 配置路由
1.1. 添加去往互联网的路由
1.2. 添加回程路由 -
配置NAT
2.1. 设置哪些数据包需要做地址转换,源地址为192.168.1.×和192.168.2.×的数据包
2.2. 设置从路由器的哪个接口(外网)发出数据包的时候,需要做地址转换
2.3. 设置哪些数据包需要做地址转换,源地址为192.168.1.×和192.168.2.×的数据包
| acl2000 | |
| rule permit source 192.168.1.0 0.0.0.255 | |
| rule permit source 192.168.2.0 0.0.0.255 |
acl访问控制列表,需要做nat的数据包,2000,是acl的编号。一个设备可能有多个acl,用编号来区分,acl的掩码是反掩码0.0.0.255
验证测试
- PC1 PC2 PC3 PC4随意一台电脑PING 通6.6.6.6的外网设备即为成功
防火墙
参考上一个示例,把AR1路由删除换成防火墙即可
模拟环境示例
配置命令流程
设置用户名与密码
- 默认用户名:admin
- 默认密码:Admin@123
配置接口IP
- 内网口
| interface GigabitEthernet1/0/1 | |
| ip address 10.10.10.2 255.255.255.0 |
- 外网口
| interface GigabitEthernet1/0/2 | |
| ip address 64.1.1.1 255.255.255.0 |
配置路由表
- 外网路由表
ip route-static 0.0.0.0 0.0.0.0 64.1.1.10
- 内网回程路由表
| ip route-static 192.168.1.0 24 10.10.10.1 | |
| ip route-static 192.168.2.0 24 10.10.10.1 |
配置安全域
- 信任域
把以下接口加入信任域
| firewall zone trust | |
| add interface GigabitEthernet1/0/1 |
- 非信任域
把以下外网接口加入非信任域
| firewall zone untrust | |
| add interface GigabitEthernet1/0/2 |
安全策略配置
| security-policy | |
| rule name wan | |
| source-zone trust | |
| destination-zone untrust | |
| action permit |
NAT策略配置
| nat-policy | |
| rule name wan | |
| source-zone trust | |
| destination-zone untrust | |
| action source-nat easy-ip //对原地址进行转换 |
开启防火墙图形化管理界面
桥接电脑和ENSP模拟器
- 新建一个cloud 如下连接到当前实体计算机的网卡
-
在防火墙的端口配置跟被实体计算机网卡同一网段的IP,这里以实体计算机为192.168.31.X网段与防火墙g1/0/3接口为例:
| interface GigabitEthernet1/0/3 | |
| ip address 192.168.31.33 255.255.255.0 |
- 把桥接接口加入信任域
| firewall zone trust | |
| add interface GigabitEthernet1/0/3 |
-
打开接口的允许管理权限
interface GigabitEthernet1/0/3
service-manage enable -
先开启PING权限测试实体计算机是否可以对防火墙ping通:
service-manage ping permit,如果配置正确,到为止,实体计算机已经可以PING通防火墙 -
接着打开该接口对防火墙的HTTPS权限:
service-manage https permit -
创建安全管理规则(以下规则示例名为:manager)
| security-policy | |
| rule name manager |
- 配置该规则的信任源和目标,并对规则允许放行
| source-zone trust | |
| destination-zone local | |
| action permit |
- 配置完成,现在在实体计算机打开浏览器输入:
https://防火墙IP:8443测试,如果配置正确,则会出现以下登录界面,默认账号密码等同防火墙命令行的登录账号密码
WEB界面的简单配置示范
禁止局域网中某一台主机上网
这里以禁止局域网中192.168.1.10这台计算机为例
- 新建一个安全策略,大致流程如下图
– 配置好策略名称
- 源地址这里新建一个名为财务的主机地址
-
配置该策略的目标地址
-
动作选择禁止
-
把该安全策略优先(优先等级)顺序,置顶
验证测试
- 使用本拓扑原有的
192.168.1.x网段中其中一台虚拟计算机网卡地址配置手动改成:
| 192.168.1.10 | |
| 255.255.255.0 | |
| 192.168.1.254 |
- ping 本拓扑中的模拟外网设备
6.6.6.6,配置成功的话是ping不通的:
-
再次求证,先把该计算机该回非
192.168.1.10的地址,测试是否能ping通6.6.6.6,ping通则为正常成功
[toc]