码迷,mamicode.com
首页 > 其他好文 > 详细

华为、华三学习

时间:2018-11-14 01:05:26      阅读:208      评论:0      收藏:0      [点我收藏+]

标签:local   toc   本地缓存   指定   手工   inter   splay   logs   ext   

一、通过远程连接路由器交换机

【R1】interface vty 0 4

【R1-ui-vty0-4】authentication-mode password

【R1-ui-vty0-4】set authentication password simple 密码  //simple是明文,密文是cipher

【R1-ui-vty0-4】user privilege level 3  //3为用户级别管理(“0”为参观,“1”为监控,“2”为配置,“3-15”为管理级别)

二、配置命令

1、vlan

创建VLAN:vlan batch 11 to 14  //创建VLAN11到14

端口加入VLAN:port link-type access

        prot default vlan 10  //吧接口加入vlan10

端口设置为Trunk:port link-type trunk

2、链路聚合

lacp priority 100 

interface Eth-Trunk 1

mode laco-static

load-balance- dst-mac

trunk-prot 接口类型 接口名称  //例如trunk-prot G 0/0/11

prot link-type trunk

port trunk allow-pass vlan all

3、静态路由

ip route-static 目标网段 子网掩码 下一条地址

4、ospf

进入ospf协议配置route-ip:ospf 100 route-ip

进入区域:area 0

宣告:network

5、rip

进入:rip

版本:version

宣告:network

6、路由重分发

import 协议 协议号  //例如:import ospf 110

注入默认路由:default-route-advertice  //ospf注入--前提是自己有默认路由

       default-route originate  //rip注入默认路由

7、acl

进入acl:acl  2000  2000-2999为基本acl

在acl里创建规则:rule  0  permit source  源ip段  通配符掩码(反掩码)

8、nat 

配置地址池:nat  address-group  1 起始ip 结束ip

nat outvbound 2000 address-group 1  //nat转换,调用acl200和nat组1

内网服务器映射:nat server global 外网ip inside 内网ip

9、display查看

  1. 查看VLAN信息:display vlan
  2. 查看接口状态:dispkay ip interface brief
  3. 查看某个借口配置信息:display current-configuration interface 接口名称
  4. 查看nat条目:display nat session all
  5. 查看ospf邻居:display ospf peer brief
  6. 查看ACL信息:display acl all

三、Hybrid

1、接口配置Hybrid:port link-type hybrid

2、配置PVID: port hybrid pvid vlan 1    //配置hybrid 接口的pvid为1

3、配置tag:port hybrid tagged  vlan 1 2 //配置hybrid的tagged列表有vlan 1和vlan 2

4、配置untag:port hybrid untag  vlan 1 to vlan 2 //配置hybrid的untag列表有vlan1和vlan2

5、mstp:

  1. stp mode mstp  //设置stp的模式为mstp
  2. stp region-configuration  //进入stp的配置视图
  3. region-name 名字  //配置stp的名字
  4. revision-level 1  //配置版本等级
  5. instance 1 vlan 10  //讲vlan10加入到生成树实例1
  6. active region-configuration  //激活stp配置
  7. 在系统视图:stp instance 1 root primany(secondary)  //配置此交换机为实例1的主(备)根

四、BGP

1、进入bgp:bgp AS号

2、配置router-id:router-id ip地址

3、配置邻居:peer  邻居的IP  as-number 邻居的AS号

4、通告bgp路由

  •   network 网段 掩码
  • import 协议 协议号  //和重分发一样,例如:import ospf 110

5、ebgp多跳:peer  邻居的IP  ebgp-max-hop 2  //将ebgp的TTL修改为2

6、环回口作为邻居的需求:peer 3.3.3.3 connect-interface LoopBack0  //指定bgp邻居3.3.3.3是LoopBack0的IP地址

7、修改IBGP的下一条邻居为自己:peer  邻居ip  next-hop-local

8、BGP属性分类有4大类:公有必遵、公认任意、可选过度、可选非过度

9、BGP属性介绍:

  1. Origin属性
    • Origin属性属于共有必尊,用来定义路径信息的来源
    • IGP ( i ):优先级最高,通过network命令注入的BGP路由表路由,其中Origin属性为igp。
    • EGP(e):优先级次之,通过EGP得到的路由信息,其Origin属性为EGP。
    • incomplete(?):优先级最低,通过其他方式学习到的路由信息;例如,BGP通过import-route命令引入的路由
  2. AS-PATH:AS路径列表记录了所经过的AS号;它以相反的顺序列出了一条前缀先后所经过的AS,最后一个AS放置在该列表的开始处。AS-path主要目的是为AS域间路由选择提供环路防止机制。
  3. Next-hop(吓一跳)属性:记录了下一跳信息。
  4. Local-Pref属性表示bgp路由“离开”时的优先级

    • if-match  acl  2000  //匹配acl2000
    • apply  local-preference  200  //如果满足acl 2000,修改Local-Pref为200
    • router-policy test permit node 20  //创建路由策略test,节点为20,下图为节点的解释
    • 技术分享图片
    • peer  邻居IP  router-policy  test  import  //应用策略
  5. MED用于判断流量“进入”的优先级

     

    • if-match  acl  2000  //匹配acl2000
    • apply  cost  100  //如果满足acl 2000,修改MED属性为100
    • router-policy test permit node 20  //创建路由策略test,节点为20
    • 【router-policy】apply  cost
    • peer  邻居IP  router-policty  test  export

10、查看bgp邻居:display bgp peer 

11、查看bgp路由:display bgp routing-table  //在查询结果中,“*”代表有效,“>”代表最优;

BGP选路规则:https://www.cnblogs.com/-xuan/p/9939519.html

五、华为防火墙

1、三种模式

  • 路由模式
  • 透明模式
  • 混合模式

2、安全策略

  1. 创建规则
    • 规则由条件、动作、配置文件、和选项构成
  2. 添加条件:条件是匹配某条规则的依据
  3. 动作是防火墙对于匹配的流量所采取的处理方式
  4. 选项是一些附加功能

3、AAA认证

  • 验证(Authentication):哪些用户可以访问服务器;
  • 授权(Authorization):具有访问权限的用户可以做哪些服务,有什么权限; 
  • 记账(Accounting):如何对正在使用的网络资源的用户进行审计。

4、远程管理

  1. telnet
    • 系统试图开启telnet:telnet server enable
    • 进入接口开启接口管理模式:service-manage enable
    • 允许接口被远程Telnet:service-manage telnet permit
    • 进入安全区域:firewall zone trust
    • 将接口加入安全区域:add interface 接口名称
    • 配置允许Telnet数据包进入
      • security-policy      //进入安全策略
        rule name Allow     //配置规则名字为Allow
        source-zone trust      //原区域为trust
        destination-zone local   //目标区域为local
        action permit    //动作为允许
        
    • 配置认证模式

      • user-interface vty 0 4           //进入vty 
        authentication-mode aaa        //配置认证模式为AAA
        protocal inbound telnet          //允许Telnet虚拟终端
        
    • 配置AAA的本地账号密码    

      • aaa          //进入AAA     
        manager-user demo        //账号为demo
        passwoed cipher demo@1234       //密码为demo@1234 
        service-type telnet        //配置服务类型
        level 3        //用户权限
  2. web
    • 进入接口配置允许http和HTTPS
      • 1 service-manage http permit
        2 service-manage https permit
      • 进入安全区域:firewall zone trust
      • 将接口加入安全区域:add interface 接口名称
      • 系统视图:web-manager security enable    //后便可以跟端口号,默认为8443;不带security是http协议。
      • 配置安全区域允许流量
        • 1 security-policy      //进入安全策略
          2 rule name Allow     //配置规则名字为Allow
          3 source-zone trust      //原区域为trust
          4 destination-zone local   //目标区域为local
          5 action permit    //动作为允许
      • 配置AAA的本地账号密码

        • 1 aaa          //进入AAA     
          2 manager-user demo        //账号为demo
          3 passwoed     //进入交互模式输入密码
          4 service-type web        //配置服务类型
          5 level 3        //用户权限
      • https://IP地址:8443  
  3. ssh
    • 进入接口开启ssh访问:service-manage ssh permit
    • 进入安全区域:firewall zone trust
    • 将接口加入安全区域:add interface 接口名称
    • 配置允许流浪访问
      •   
        1 security-policy      //进入安全策略
        2 rule name Allow     //配置规则名字为Allow
        3 source-zone trust      //原区域为trust
        4 destination-zone local   //目标区域为local
        5 action permit    //动作为允许
      • rsa local-key-pair create   //直接回车
      • 配置认证方式
        • 1 user-interface vty 0 4           //进入vty 
          2 authentication-mode aaa        //配置认证模式为AAA
          3 protocal inbound ssh          //允许ssh
      • 配置账号密码
        • ssh user test        //配置ssh的用户名为tets
          ssh user test authentication-type password    //配置认证方式
          ssh user test service-type stelnet        //配置服务类型
      • 开启AAA认证
        • 1 aaa        //进入AAA认证
          2 manager-user test        //创建test用户
          3 password cipher test@123    //配置密码
          4 service-type ssh        //配置服务类型
          5 level 3   //配置用户管理级别
      • stelnet server enable    //开启ssh

5、查看状态化信息表:display firewall session table

六、防火墙NAT

1、五种源地址转换

  • NAT No-PAt:多对多,只能转换源IP,不能转换端口;
  • NAPT:多对一,可以转换源IP和源端口,但是转换后的IP不能是外网接口IP;
  • Easy-IP:多对一,可以转换源IP和端口,但是转换后的IP只能是外网接口IP;
  • Smart NAT:智能转换,通过一个预留的外网IP进行NAPT转换,而其他的公网地址进行NAT No-PAT转换;
  • 三元组:将源IP和源端口转换固定公网IP和端口,主要作用用于外部访问局域网的P2P应用。

2、Server-map表:用来记录内网访问外网的数据,使访问外网的信息可以回来

3、Nat No-Pat配置

  • 接口加入域
    1 Firewall zone trust        //进入trust域
    2 add interface 接口        //将接口加入trust域        # trust为安全域,外网加入untrust
  • 配置安全策略
    security-policy        //进入安全策略
    rule name sec_1        //创建一个安全策略的规则,名字叫“sec_1”
    source-zone trust       //设置源区域为trust
    destination-zone untrust        //设置目标区域为untrust
    action permit        //动作设置为允许

     

  • 创建NAT组
    nat address-group natgroup        //创建一个nat组名字为natgroup
    section 0 起始IP 结束IP                //创建地址池里边的公网IP
    mode no-pat local                      //模式设置为no-pat,local表示只对本区域有效

     

  • 配置Nat策略
    nat-policy                //进入nat策略
    rule name nat_1        //创建一个名字叫nat_1的nat规则
    source-zone trust        //设置源区域为zong
    destination-zone untrust //设置目标区域为untrust
    action nat address-group nat_1         //动作为nat,调用nat地址组nat_1

     

  • 为了不让路由环路,还需要配置黑洞路由

4、配置NAPT

  • 接口加入域
    1 Firewall zone trust        //进入trust域
    2 add interface 接口        //将接口加入trust域        # trust为安全域,外网加入untrust
  • 配置安全策略
    security-policy        //进入安全策略
    rule name sec_1        //创建一个安全策略的规则,名字叫“sec_1”
    source-zone trust       //设置源区域为trust
    destination-zone untrust        //设置目标区域为untrust
    action permit        //动作设置为允许
  • 创建NAT组
    nat address-group natgroup        //创建一个nat组名字为natgroup
    section 0 起始IP 结束IP                //创建地址池里边的公网IP
    mode pat                     //模式设置为pat
  •  配置Nat策略

    nat-policy                //进入nat策略
    rule name nat_1        //创建一个名字叫nat_1的nat规则
    source-zone trust        //设置源区域为zong
    destination-zone untrust //设置目标区域为untrust
    action nat address-group nat_1         //动作为nat,调用nat地址组nat_1
  •  配置黑洞路由

5、配置Easy-IP

  • 配置安全策略
    security-policy        //进入安全策略
    rule name sec_1        //创建一个安全策略的规则,名字叫“sec_1”
    source-zone trust       //设置源区域为trust
    destination-zone untrust        //设置目标区域为untrust
    action permit        //动作设置为允许
  •  配置Nat策略

    nat-policy                //进入nat策略
    rule name nat_1        //创建一个名字叫nat_1的nat规则
    source-zone trust        //设置源区域为zong
    destination-zone untrust //设置目标区域为untrust
    action nat easy-ip        //动作为nat,调用nat地址组nat_1

6、Nat-server

  • 配置安全策略
    security-policy        //进入安全策略
    rule name sec_1        //创建一个安全策略的规则,名字叫“sec_1”
    source-zone trust       //设置源区域为trust
    destination-zone untrust        //设置目标区域为untrust
    service ftp            //配置条件为Ftp action permit //动作设置为允许
  • 配置Ftp应用测检测  //默认开启
    firewall interzone trust untrust 
    detect ftp

     

  • 配置Nat server
    nat server natserver_ftp protocol tcp global 要转换的全局地址 21 inside 内网地址 21          //创建一个nat-server目的地址转换策略,策略名字叫natserver_ftp,协议为tcp协议,转换后的外网IP,21使ftp的端口,内网IP,ftp端口
    如果nat-server的最后加上no-reverse,就是标识不希望内网服务器主动访问互联网

     

  • 配置黑洞路由

display firewall session table    //查看会话表

displaay firewall server-map    // 查看Server-map表    标识Reverse为反向条目(就是回来的信息)

displsy nat-policy rule natpolicy    //查看名为natpolicy的NAT策略

七、双机热备

 1、VRRP(virtual Router Redundancy protocol):虚拟路由冗余协议

  • 热备模式:一台转发数据,一台备份,但是会同步Server-map表
  • 负载均衡模式:两台同时转发数据,又互为备份,又同步server-map

2、Vrrp和Hsrp区别:https://www.cnblogs.com/-xuan/p/9945071.html

3、VGMP

1、报文

  • hrp interface 接口 remote 1.1.1.1      //hrp用于指定心跳链路的接口,带 remote 1.1.1.1表示封装UDP报文,并发送单播报文,1.1.1.1为心跳线对端IP;如果不带,则发送组播

2、hrp enable    //开启双机热备

3、备份模式

  • 自动备份:hrp auto-sync
  • 手工备份:hrp sync [ config | connection-status ]    //在用户模式执行
  • 快速备份:hrp mirror session enable

4、配置

  1. 先配置区域,内网加入trust,外网加入untrust,心跳线加入DMZ区域
  2. 配置安全策略
    secuirty-policy    //配置安全策略
    rule name permit_heat        //创建一个规则
    source-zone local        //源区域为local
    destinaton-zone dmz        //目标区域为dmz
    action permit        //动作为允许
    
    
    rule name permit_trust_untrust        //创建一个规则
    source-zone trust     //源区域为trust
    destinaton-zone untrust        //目标区域为untrust
    action permit        //动作为允许

     

  3. 配置Vrrp备份组
    1 进入要备份的接口
    2 vrrp vrid 1 virtual-ip 虚拟IP active        //配置vrrp的状态为active  (两边都要做配置,另外一边为standby)
    3 配置心跳线接口
    4 hrp interface 心跳线接口 remote 心跳线对端IP

     

  4. 启用双机热备
    hrp enable
  5. 配置备份模式
    hrp auto-sync

display hrp state    //查看双机热备状态信息

display hrp interface    //查看心跳线接口状态

display secuity-police rule permit_trust_untrust    //查看安全规则

display firewall session table    //查看会话表

八、防火墙应用层过滤

1)、文件类型过滤

  • 内容识别:
    1. 应用:承载文件的传输协议,如HTTP,ftp,SMTP,smb
    2. 方向:文件的传输方向,如上传或下载
    3. 类型:文件的实际类型,手动更改后缀名还是识别为文件的源类型
    4. 扩展名:文件的扩展名类型
  • 处理动作
    1. 允许:默认动作,允许文件传输
    2. 告警:允许传输,同时记录日志
    3. 阻断:阻断文件传输,记录日志

2)、内容过滤

  • 应用层协议的内容,如论坛发帖内容,邮件正文、标题内容,共享文件名字内容
  • 处理动作
    1. 告警:识别出关键字后,允许传输文件内容,同时记录日志
    2. 阻断:识别出关键字后,拒绝传输文件内容,记录日
    3. 按权重操作:每个关键字都配置一个权重值,每当匹配到关键字后,将根据关键字匹配次数进行权重值得累加,如果累加后的权重值大于或等于“警告阈值”并且小于“阻断阈值”,将执行警告动作;如果累加后权重值结果大于或等于“阻断阈值”,将执行“阻断动作”

3)、url过滤

  • 黑名单:防火墙将收到的URL请求数据与黑名单进行匹配,如果匹配成功,则拒绝请求,并向发送者发送错误页面
  • 白名单:防火墙将收到的URL请求数据与白名单进行匹配,如果匹配成功,则允许用户的请求
  • URL分类查询:包括自定义分类和预定义分类,
    1. 自定义分类:由用户自己定义
    2. 预定义分类:系统定义好的分类;预定义分类分为两种查询方式
      1. 本地缓存查询:防火墙收到一个URL请求,首先会在自己的缓存中查询URL对应的分类,如果查询到对应的分类,则按照该URL分类配置的动作进行处理,如果为拒绝,向发送者发送Web界面
      2. 如果本地缓存查询不到,则向远程分类服务器查询  
    • 一个URL分类可以包含若干个URL,一个URL可以属于多个分类
  • 动作:
    1. 允许:允许用户访问URL
    2. 告警:允许用户访问URL,记录日志
    3. 阻断:拒绝URL访问,记录日志

4)、提交配置文件:engine configuration commit

5)、配置

  1. 配置DNS:
    1 dns resolv        //配置DNS解析
    2 dns server 8.8.8.8        //配置DNS服务器
  2. 文件过滤:

                   配置内容过滤文件
    1 profile type file-block name filetype_filter        //配置文件类型过滤,配置文件filetype_filter
     2 rule name rule1        //配置第一个规则,名字叫rule1
     3 file-type pre-defined name DOC PPT         //过滤的文件类型为DOC、PPT
     4 application all                //所有应用都执行文件类型过滤
     5 direction uoload            //检查流量的方将为上传
     6 action block                  //动作为阻止
     7 
     8 rule name ruil2        //配置第二个规则,名字叫rule2
     9 file-type pre-defined name MP3 AVI         //过滤的文件类型为MP3,AVI
    10 application all                //所有应用都执行文件类型过滤
    11 direction download         //检查流量的方将为下载
    • 关联策略

                安全策略关联文件类型过滤
      security-policy                  //进入安全策略
      rule name rule_1                //进入规则rule_1
      profile file-block filetype_filter                //关联filetype_filter
    • 提交配置文件:engine configuration commit
  3.   内容过滤
                          配置关键字组

    1
    keywork-group name jimi //创建一个关键字组“jimi” 2 pre-defined-keyword name confidentiality weight 1 //调用系统预定义关键字confidentiality(机密),设置权重为1 3 pre-defined-keyword name bank-card-number weight 1 //调用系统预定义关键字bank-card-number (银行卡号),设置权重为1 4 user-defined-keyword name 订单 //配置关键字组中的规则,名称为订单 5 expression match-mode text 订单 //配置匹配模式为文本,包含的指定字关键字“订单” 6 weight 1 //权重1
                     配置内容过滤
    1 profile type data-filter name data_filter    //创建一个内容过滤,名字为data_filter
    2 rule name rule1           //创建一个规则,名字为rule1
    3 keyword-group name jimi         //调用关键字组
    4 file-type all        //文件类型为所有类型
    5 applicaton all       //应用为所有应用
    6 direction upload        //方向为上传
    7 action block                //动作为阻止
                          安全策略和内容过滤关联
    1 security-policy                    //进入安全策略
    2 rule name rule_2                //进入规则rule_2
    3 profile date-filter data_filter           //匹配内容过滤出文件data_filter
    • 提交配置文件:engine configuration commit
  4. URL过滤:CN和SN是描述信息,CID是分类目录的大分类,SID是小分类 
     1 country CN
     2 url-filter query timeout time 3 action allow
     3 display url-filter category pre-defined        //查看预定义分类ID
     4 
     5                         配置URL过滤配置文件
     6 profile type url-filter name url_filter         //创建一个url过滤,名字为url_filter
     7 category pre-defined subcategory-id  125 action block        //修改预定义子类sid编号125匹配动作为拒绝
     8 
     9 
    10                         在安全策略中应用关联
    11 security-policy
    12 rule name 3
    13 profile url-filter url_filter
    • 提交配置文件:engine configuration commit

九、HCl

1)、策略路由

  • 接口策略路由:在接口设置下配置,作用到达改接口的报文;
  • 本地策略路由:在系统视图下配置,对本机的报文进行策略路由。

2)、配置步骤

  1. 创建route-policy
  2. 定义Route-policy的if-match子句
  3. 定义Route-policy的apply子句
  4. 使能/禁止本地策略路由
  5. 使能/禁止借口策略路由

3)、相关配置

acl number 3000        //进入高级ACL,编号范围3000~3999
rule 0 permit ip source  源地址网段  子网掩码        //抓取得网段
policy-based-route a1 permit node 10        //配置策略路由a1的节点10(节点的概念在BGP有描述)
if-match acl 3000        //如果匹配acl3000
apply ip-address next-hop 8.8.8.8        //则执行动作,下一条指向8.8.8.8 
policy-based-route a1 permit node 20        //配置nat策略a1的节点20
interface Vlan-interfacel
ip policy-based-route a1            //借口调用nat策略a1

 

十、HCL的irf2典型应用

1)、irf的优点

  • 简化管理
  • 高可靠性
  • 强大的网络扩展能力

2)、基本概念

  1. 角色
    • Master:负责管理irf
    • Slave:作为Master的备用
  2. irf端口:一种用于irf的逻辑接口,为IRF-port和IRF-port2,需要和物理接口绑定
  3. irf物理端口:irf物理端口可能是irf专用接口、以太网接口或者光口
  4. irf合并:两个irf稳定运行,通过物理连接和必要的配置,形成一个环,这个过程称为合并
  5. irf分裂:一个irf形成后,由于链路故障,irf中俩相邻的成员设备物理上不通,一个irf变成2个,称为分裂
  6. 成员优先级:默认均为1,越大越有可能成为irf的Master

3)、运行模式:irf的运行模式分为irf模式和独立模式,设备出厂默认为独立运行模式,若在下次启动前没有修改,会延用本次的运行模式;若在本次运行中修改,则下次重启生效

4)、配置方式:分为预配方式和非预配方式

5)、角色选举

  1. 当前Master有限
  2. 成员优先级大的优先
  3. 运行时间长优先
  4. 桥MAC地址小优先

6)、多irf检测

  1. LACP MAD
  2. BFD MAD
  3. ARP MAD

7)、配置步骤

  1. 先修改其中一台的成员编号
    1 system-view
    2 irf member 1 renumber 2        //把默认的编号1修改为2

     

  2. 设备断电后,修改主的优先级为5,并将irf端口与物理接口绑定
    1 irf member 1 priority 5        //将主的优先级设置为5
    2 # 进入物理接口,将借口shutdown
    3 irf-port 1/2        //进入逻辑接口1/2,另外一台设别的逻辑借口必须是2/1
    4 port group interfacr 物理接口的名称        //将逻辑接口与物理接口绑定
    5 # 开起物理接口,保存配置
    6 # 然后进入另外一台设备做相同的逻辑接口与物理接口绑定配置

     

  3. 两台设备激活irf:irf-port-configuration active
  4. 配置链路聚合可以在主设备上进行:
     1 interface bridge-aggregation 2        //进入链路聚合端口
     2 link-aggregation mode dynamic        //配置链路聚合模式为动态
     3 mad enable        //开起MAD
     4 一直回车
     5 
     6 
     7                            在链路聚合中添加成员端口
     8 #进入与逻辑端口绑定的两个接口,如第一台的1/0端口   1/1/0,第二台的1/0端口  2/1/0 ,其中第一位为设备编号
     9 port link-aggregation group 2        //将此接口加入链路聚合端口
    10 
    11 
    12 # 其他与此两台设备连接的接口也需要配置链路聚合,然后将与irf连接的端口加入链路聚合端口

     

8)、查看

  1. display irf    //查看irf配置信息
  2. display irf configuation  //查看irf的端口信息
  3. display irf topology    //查看irf的拓扑信息
  4. display mad    //查看mad状态
  5. display mad verbose    //查看mad的详细信息
  6. display link-aggregation verbose    //查看LACP的链路聚合信息

  

 完

 

华为、华三学习

标签:local   toc   本地缓存   指定   手工   inter   splay   logs   ext   

原文地址:https://www.cnblogs.com/-xuan/p/9937863.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!