華為、華三學習
一、通過遠端連線路由器交換機
【R1】interface vty 0 4
【R1-ui-vty0-4】authentication-mode password
【R1-ui-vty0-4】set authentication password simple 密碼 //simple是明文,密文是cipher
【R1-ui-vty0-4】user privilege level 3 //3為使用者級別管理(“0”為參觀,“1”為監控,“2”為配置,“3-15”為管理級別)
二、配置命令
1、vlan
建立VLAN:vlan batch 11 to 14 //建立VLAN11到14
埠加入VLAN:port link-type access
prot default vlan 10 //吧介面加入vlan10
埠設定為Trunk:port link-type trunk
2、鏈路聚合
lacp priority 100
interface Eth-Trunk 1
mode laco-static
load-balance- dst-mac
trunk-prot 介面型別 介面名稱 //例如trunk-prot G 0/0/11
prot link-type trunk
port trunk allow-pass vlan all
3、靜態路由
ip route-static 目標網段 子網掩碼 下一條地址
4、ospf
進入ospf協議配置route-ip:ospf 100 route-ip
進入區域:area 0
宣告:network
5、rip
進入:rip
版本:version
宣告:network
6、路由重分發
import 協議 協議號 //例如:import ospf 110
注入預設路由:default-route-advertice //ospf注入--前提是自己有預設路由
default-route originate //rip注入預設路由
7、acl
進入acl:acl 2000 2000-2999為基本acl
在acl裡建立規則:rule 0 permit source 源ip段 萬用字元掩碼(反掩碼)
8、nat
配置地址池:nat address-group 1 起始ip 結束ip
nat outvbound 2000 address-group 1 //nat轉換,呼叫acl200和nat組1
內網伺服器對映:nat server global 外網ip inside 內網ip
9、display檢視
- 檢視VLAN資訊:display vlan
- 檢視介面狀態:dispkay ip interface brief
- 檢視某個藉口配置資訊:display current-configuration interface 介面名稱
- 檢視nat條目:display nat session all
- 檢視ospf鄰居:display ospf peer brief
- 檢視ACL資訊:display acl all
三、Hybrid
1、介面配置Hybrid:port link-type hybrid
2、配置PVID: port hybrid pvid vlan 1 //配置hybrid 介面的pvid為1
3、配置tag:port hybrid tagged vlan 1 2 //配置hybrid的tagged列表有vlan 1和vlan 2
4、配置untag:port hybrid untag vlan 1 to vlan 2 //配置hybrid的untag列表有vlan1和vlan2
5、mstp:
- stp mode mstp //設定stp的模式為mstp
- stp region-configuration //進入stp的配置檢視
- region-name 名字 //配置stp的名字
- revision-level 1 //配置版本等級
- instance 1 vlan 10 //講vlan10加入到生成樹例項1
- active region-configuration //啟用stp配置
- 在系統檢視:stp instance 1 root primany(secondary) //配置此交換機為例項1的主(備)根
四、BGP
1、進入bgp:bgp AS號
2、配置router-id:router-id ip地址
3、配置鄰居:peer 鄰居的IP as-number 鄰居的AS號
4、通告bgp路由
- network 網段 掩碼
- import 協議 協議號 //和重分發一樣,例如:import ospf 110
5、ebgp多跳:peer 鄰居的IP ebgp-max-hop 2 //將ebgp的TTL修改為2
6、環回口作為鄰居的需求:peer 3.3.3.3 connect-interface LoopBack0 //指定bgp鄰居3.3.3.3是LoopBack0的IP地址
7、修改IBGP的下一條鄰居為自己:peer 鄰居ip next-hop-local
8、BGP屬性分類有4大類:公有必遵、公認任意、可選過度、可選非過度
9、BGP屬性介紹:
- Origin屬性
- Origin屬性屬於共有必尊,用來定義路徑資訊的來源
- IGP ( i ):優先順序最高,通過network命令注入的BGP路由表路由,其中Origin屬性為igp。
- EGP(e):優先順序次之,通過EGP得到的路由資訊,其Origin屬性為EGP。
- incomplete(?):優先順序最低,通過其他方式學習到的路由資訊;例如,BGP通過import-route命令引入的路由
- AS-PATH:AS路徑列表記錄了所經過的AS號;它以相反的順序列出了一條字首先後所經過的AS,最後一個AS放置在該列表的開始處。AS-path主要目的是為AS域間路由選擇提供環路防止機制。
- Next-hop(嚇一跳)屬性:記錄了下一跳資訊。
-
Local-Pref屬性表示bgp路由“離開”時的優先順序
- if-match acl 2000 //匹配acl2000
- apply local-preference 200 //如果滿足acl 2000,修改Local-Pref為200
- router-policy test permit node 20 //建立路由策略test,節點為20,下圖為節點的解釋
- peer 鄰居IP router-policy test import //應用策略
-
MED用於判斷流量“進入”的優先順序
- if-match acl 2000 //匹配acl2000
- apply cost 100 //如果滿足acl 2000,修改MED屬性為100
- router-policy test permit node 20 //建立路由策略test,節點為20
- 【router-policy】apply cost
- peer 鄰居IP router-policty test export
10、檢視bgp鄰居:display bgp peer
11、檢視bgp路由:display bgp routing-table //在查詢結果中,“*”代表有效,“>”代表最優;
BGP選路規則:https://www.cnblogs.com/-xuan/p/9939519.html
五、華為防火牆
1、三種模式
- 路由模式
- 透明模式
- 混合模式
2、安全策略
- 建立規則
- 規則由條件、動作、配置檔案、和選項構成
- 新增條件:條件是匹配某條規則的依據
- 動作是防火牆對於匹配的流量所採取的處理方式
- 選項是一些附加功能
3、AAA認證
- 驗證(Authentication):哪些使用者可以訪問伺服器;
- 授權(Authorization):具有訪問許可權的使用者可以做哪些服務,有什麼許可權;
- 記賬(Accounting):如何對正在使用的網路資源的使用者進行審計。
4、遠端管理
- telnet
- 系統試圖開啟telnet:telnet server enable
- 進入介面開啟介面管理模式:service-manage enable
- 允許介面被遠端Telnet:service-manage telnet permit
- 進入安全區域:firewall zone trust
- 將介面加入安全區域:add interface 介面名稱
- 配置允許Telnet資料包進入
-
security-policy //進入安全策略 rule name Allow //配置規則名字為Allow source-zone trust //原區域為trust destination-zone local //目標區域為local action permit //動作為允許
-
-
配置認證模式
-
user-interface vty 0 4 //進入vty authentication-mode aaa //配置認證模式為AAA protocal inbound telnet //允許Telnet虛擬終端
-
-
配置AAA的本地賬號密碼
-
aaa //進入AAA manager-user demo //賬號為demo passwoed cipher [email protected] //密碼為[email protected] service-type telnet //配置服務型別 level 3 //使用者許可權
-
- web
- 進入介面配置允許http和HTTPS
-
1 service-manage http permit 2 service-manage https permit
- 進入安全區域:firewall zone trust
- 將介面加入安全區域:add interface 介面名稱
- 系統檢視:web-manager security enable //後便可以跟埠號,預設為8443;不帶security是http協議。
- 配置安全區域允許流量
-
1 security-policy //進入安全策略 2 rule name Allow //配置規則名字為Allow 3 source-zone trust //原區域為trust 4 destination-zone local //目標區域為local 5 action permit //動作為允許
-
-
配置AAA的本地賬號密碼
-
1 aaa //進入AAA 2 manager-user demo //賬號為demo 3 passwoed //進入互動模式輸入密碼 4 service-type web //配置服務型別 5 level 3 //使用者許可權
-
- https://IP地址:8443
-
- 進入介面配置允許http和HTTPS
- ssh
- 進入介面開啟ssh訪問:service-manage ssh permit
- 進入安全區域:firewall zone trust
- 將介面加入安全區域:add interface 介面名稱
- 配置允許流浪訪問
-
1 security-policy //進入安全策略 2 rule name Allow //配置規則名字為Allow 3 source-zone trust //原區域為trust 4 destination-zone local //目標區域為local 5 action permit //動作為允許
- rsa local-key-pair create //直接回車
- 配置認證方式
-
1 user-interface vty 0 4 //進入vty 2 authentication-mode aaa //配置認證模式為AAA 3 protocal inbound ssh //允許ssh
-
- 配置賬號密碼
-
ssh user test //配置ssh的使用者名稱為tets ssh user test authentication-type password //配置認證方式 ssh user test service-type stelnet //配置服務型別
-
- 開啟AAA認證
-
1 aaa //進入AAA認證 2 manager-user test //建立test使用者 3 password cipher [email protected]123 //配置密碼 4 service-type ssh //配置服務型別
5 level 3 //配置使用者管理級別
-
- stelnet server enable //開啟ssh
-
5、檢視狀態化資訊表:display firewall session table
六、防火牆NAT
1、五種源地址轉換
- NAT No-PAt:多對多,只能轉換源IP,不能轉換埠;
- NAPT:多對一,可以轉換源IP和源埠,但是轉換後的IP不能是外網介面IP;
- Easy-IP:多對一,可以轉換源IP和埠,但是轉換後的IP只能是外網介面IP;
- Smart NAT:智慧轉換,通過一個預留的外網IP進行NAPT轉換,而其他的公網地址進行NAT No-PAT轉換;
- 三元組:將源IP和源埠轉換固定公網IP和埠,主要作用用於外部訪問區域網的P2P應用。
2、Server-map表:用來記錄內網訪問外網的資料,使訪問外網的資訊可以回來
3、Nat No-Pat配置
- 介面加入域
1 Firewall zone trust //進入trust域 2 add interface 介面 //將介面加入trust域 # trust為安全域,外網加入untrust
- 配置安全策略
security-policy //進入安全策略 rule name sec_1 //建立一個安全策略的規則,名字叫“sec_1” source-zone trust //設定源區域為trust destination-zone untrust //設定目標區域為untrust action permit //動作設定為允許
- 建立NAT組
nat address-group natgroup //建立一個nat組名字為natgroup section 0 起始IP 結束IP //建立地址池裡邊的公網IP mode no-pat local //模式設定為no-pat,local表示只對本區域有效
- 配置Nat策略
nat-policy //進入nat策略 rule name nat_1 //建立一個名字叫nat_1的nat規則 source-zone trust //設定源區域為zong destination-zone untrust //設定目標區域為untrust action nat address-group nat_1 //動作為nat,呼叫nat地址組nat_1
- 為了不讓路由環路,還需要配置黑洞路由
4、配置NAPT
- 介面加入域
1 Firewall zone trust //進入trust域 2 add interface 介面 //將介面加入trust域 # trust為安全域,外網加入untrust
- 配置安全策略
security-policy //進入安全策略 rule name sec_1 //建立一個安全策略的規則,名字叫“sec_1” source-zone trust //設定源區域為trust destination-zone untrust //設定目標區域為untrust action permit //動作設定為允許
- 建立NAT組
nat address-group natgroup //建立一個nat組名字為natgroup section 0 起始IP 結束IP //建立地址池裡邊的公網IP mode pat //模式設定為pat
-
配置Nat策略
nat-policy //進入nat策略 rule name nat_1 //建立一個名字叫nat_1的nat規則 source-zone trust //設定源區域為zong destination-zone untrust //設定目標區域為untrust action nat address-group nat_1 //動作為nat,呼叫nat地址組nat_1
- 配置黑洞路由
5、配置Easy-IP
- 配置安全策略
security-policy //進入安全策略 rule name sec_1 //建立一個安全策略的規則,名字叫“sec_1” source-zone trust //設定源區域為trust destination-zone untrust //設定目標區域為untrust action permit //動作設定為允許
-
配置Nat策略
nat-policy //進入nat策略 rule name nat_1 //建立一個名字叫nat_1的nat規則 source-zone trust //設定源區域為zong destination-zone untrust //設定目標區域為untrust action nat easy-ip //動作為nat,呼叫nat地址組nat_1
6、Nat-server
- 配置安全策略
security-policy //進入安全策略 rule name sec_1 //建立一個安全策略的規則,名字叫“sec_1” source-zone trust //設定源區域為trust destination-zone untrust //設定目標區域為untrust
service ftp //配置條件為Ftp action permit //動作設定為允許 - 配置Ftp應用測檢測 //預設開啟
firewall interzone trust untrust detect ftp - 配置Nat server
nat server natserver_ftp protocol tcp global 要轉換的全域性地址 21 inside 內網地址 21 //建立一個nat-server目的地址轉換策略,策略名字叫natserver_ftp,協議為tcp協議,轉換後的外網IP,21使ftp的埠,內網IP,ftp埠
如果nat-server的最後加上no-reverse,就是標識不希望內網伺服器主動訪問網際網路 - 配置黑洞路由
display firewall session table //檢視會話表
displaay firewall server-map // 檢視Server-map表 標識Reverse為反向條目(就是回來的資訊)
displsy nat-policy rule natpolicy //檢視名為natpolicy的NAT策略
七、雙機熱備
1、VRRP(virtual Router Redundancy protocol):虛擬路由冗餘協議
- 熱備模式:一臺轉發資料,一臺備份,但是會同步Server-map表
- 負載均衡模式:兩臺同時轉發資料,又互為備份,又同步server-map
2、Vrrp和Hsrp區別:https://www.cnblogs.com/-xuan/p/9945071.html
3、VGMP
1、報文
- hrp interface 介面 remote 1.1.1.1 //hrp用於指定心跳鏈路的介面,帶 remote 1.1.1.1表示封裝UDP報文,併發送單播報文,1.1.1.1為心跳線對端IP;如果不帶,則傳送組播
2、hrp enable //開啟雙機熱備
3、備份模式
- 自動備份:hrp auto-sync
- 手工備份:hrp sync [ config | connection-status ] //在使用者模式執行
- 快速備份:hrp mirror session enable
4、配置
- 先配置區域,內網加入trust,外網加入untrust,心跳線加入DMZ區域
- 配置安全策略
secuirty-policy //配置安全策略 rule name permit_heat //建立一個規則 source-zone local //源區域為local destinaton-zone dmz //目標區域為dmz action permit //動作為允許 rule name permit_trust_untrust //建立一個規則 source-zone trust //源區域為trust destinaton-zone untrust //目標區域為untrust action permit //動作為允許
- 配置Vrrp備份組
1 進入要備份的介面 2 vrrp vrid 1 virtual-ip 虛擬IP active //配置vrrp的狀態為active (兩邊都要做配置,另外一邊為standby) 3 配置心跳線介面 4 hrp interface 心跳線介面 remote 心跳線對端IP
- 啟用雙機熱備
hrp enable - 配置備份模式
hrp auto-sync
display hrp state //檢視雙機熱備狀態資訊
display hrp interface //檢視心跳線介面狀態
display secuity-police rule permit_trust_untrust //檢視安全規則
display firewall session table //檢視會話表
八、防火牆應用層過濾
1)、檔案型別過濾
- 內容識別:
-
- 應用:承載檔案的傳輸協議,如HTTP,ftp,SMTP,smb
- 方向:檔案的傳輸方向,如上傳或下載
- 型別:檔案的實際型別,手動更改字尾名還是識別為檔案的源型別
- 副檔名:檔案的副檔名型別
- 處理動作
-
- 允許:預設動作,允許檔案傳輸
- 告警:允許傳輸,同時記錄日誌
- 阻斷:阻斷檔案傳輸,記錄日誌
2)、內容過濾
- 應用層協議的內容,如論壇發帖內容,郵件正文、標題內容,共享檔名字內容
- 處理動作
-
- 告警:識別出關鍵字後,允許傳輸檔案內容,同時記錄日誌
- 阻斷:識別出關鍵字後,拒絕傳輸檔案內容,記錄日
- 按權重操作:每個關鍵字都配置一個權重值,每當匹配到關鍵字後,將根據關鍵字匹配次數進行權重值得累加,如果累加後的權重值大於或等於“警告閾值”並且小於“阻斷閾值”,將執行警告動作;如果累加後權重值結果大於或等於“阻斷閾值”,將執行“阻斷動作”
3)、url過濾
- 黑名單:防火牆將收到的URL請求資料與黑名單進行匹配,如果匹配成功,則拒絕請求,並向傳送者傳送錯誤頁面
- 白名單:防火牆將收到的URL請求資料與白名單進行匹配,如果匹配成功,則允許使用者的請求
- URL分類查詢:包括自定義分類和預定義分類,
-
- 自定義分類:由使用者自己定義
- 預定義分類:系統定義好的分類;預定義分類分為兩種查詢方式
- 本地快取查詢:防火牆收到一個URL請求,首先會在自己的快取中查詢URL對應的分類,如果查詢到對應的分類,則按照該URL分類配置的動作進行處理,如果為拒絕,向傳送者傳送Web介面
- 如果本地快取查詢不到,則向遠端分類伺服器查詢
-
- 一個URL分類可以包含若干個URL,一個URL可以屬於多個分類
- 動作:
-
- 允許:允許使用者訪問URL
- 告警:允許使用者訪問URL,記錄日誌
- 阻斷:拒絕URL訪問,記錄日誌
4)、提交配置檔案:engine configuration commit
5)、配置
- 配置DNS:
1 dns resolv //配置DNS解析 2 dns server 8.8.8.8 //配置DNS伺服器
-
檔案過濾:
配置內容過濾檔案1 profile type file-block name filetype_filter //配置檔案型別過濾,配置檔案filetype_filter 2 rule name rule1 //配置第一個規則,名字叫rule1 3 file-type pre-defined name DOC PPT //過濾的檔案型別為DOC、PPT 4 application all //所有應用都執行檔案型別過濾 5 direction uoload //檢查流量的方將為上傳 6 action block //動作為阻止 7 8 rule name ruil2 //配置第二個規則,名字叫rule2 9 file-type pre-defined name MP3 AVI //過濾的檔案型別為MP3,AVI 10 application all //所有應用都執行檔案型別過濾 11 direction download //檢查流量的方將為下載
-
關聯策略
安全策略關聯檔案型別過濾security-policy //進入安全策略 rule name rule_1 //進入規則rule_1 profile file-block filetype_filter //關聯filetype_filter - 提交配置檔案:engine configuration commit
-
- 內容過濾
配置關鍵字組
1 keywork-group name jimi //建立一個關鍵字組“jimi” 2 pre-defined-keyword name confidentiality weight 1 //呼叫系統預定義關鍵字confidentiality(機密),設定權重為1 3 pre-defined-keyword name bank-card-number weight 1 //呼叫系統預定義關鍵字bank-card-number (銀行卡號),設定權重為1 4 user-defined-keyword name 訂單 //配置關鍵字組中的規則,名稱為訂單 5 expression match-mode text 訂單 //配置匹配模式為文字,包含的指定字關鍵字“訂單” 6 weight 1 //權重1配置內容過濾1 profile type data-filter name data_filter //建立一個內容過濾,名字為data_filter 2 rule name rule1 //建立一個規則,名字為rule1 3 keyword-group name jimi //呼叫關鍵字組 4 file-type all //檔案型別為所有型別 5 applicaton all //應用為所有應用 6 direction upload //方向為上傳 7 action block //動作為阻止
安全策略和內容過濾關聯1 security-policy //進入安全策略 2 rule name rule_2 //進入規則rule_2 3 profile date-filter data_filter //匹配內容過濾出檔案data_filter
- 提交配置檔案:engine configuration commit
- URL過濾:CN和SN是描述資訊,CID是分類目錄的大分類,SID是小分類
1 country CN 2 url-filter query timeout time 3 action allow 3 display url-filter category pre-defined //檢視預定義分類ID 4 5 配置URL過濾配置檔案 6 profile type url-filter name url_filter //建立一個url過濾,名字為url_filter 7 category pre-defined subcategory-id 125 action block //修改預定義子類sid編號125匹配動作為拒絕 8 9 10 在安全策略中應用關聯 11 security-policy 12 rule name 3 13 profile url-filter url_filter
- 提交配置檔案:engine configuration commit
九、HCl
1)、策略路由
- 介面策略路由:在介面設定下配置,作用到達改介面的報文;
- 本地策略路由:在系統檢視下配置,對本機的報文進行策略路由。
2)、配置步驟
- 建立route-policy
- 定義Route-policy的if-match子句
- 定義Route-policy的apply子句
- 使能/禁止本地策略路由
- 使能/禁止藉口策略路由
3)、相關配置
acl number 3000 //進入高階ACL,編號範圍3000~3999
rule 0 permit ip source 源地址網段 子網掩碼 //抓取得網段
policy-based-route a1 permit node 10 //配置策略路由a1的節點10(節點的概念在BGP有描述)
if-match acl 3000 //如果匹配acl3000
apply ip-address next-hop 8.8.8.8 //則執行動作,下一條指向8.8.8.8
policy-based-route a1 permit node 20 //配置nat策略a1的節點20
interface Vlan-interfacel
ip policy-based-route a1 //藉口呼叫nat策略a1
十、HCL的irf2典型應用
1)、irf的優點
- 簡化管理
- 高可靠性
- 強大的網路擴充套件能力
2)、基本概念
- 角色
- Master:負責管理irf
- Slave:作為Master的備用
- irf埠:一種用於irf的邏輯介面,為IRF-port和IRF-port2,需要和物理介面繫結
- irf物理埠:irf物理埠可能是irf專用介面、乙太網介面或者光口
- irf合併:兩個irf穩定執行,通過物理連線和必要的配置,形成一個環,這個過程稱為合併
- irf分裂:一個irf形成後,由於鏈路故障,irf中倆相鄰的成員裝置物理上不通,一個irf變成2個,稱為分裂
- 成員優先順序:預設均為1,越大越有可能成為irf的Master
3)、執行模式:irf的執行模式分為irf模式和獨立模式,裝置出廠預設為獨立執行模式,若在下次啟動前沒有修改,會延用本次的執行模式;若在本次執行中修改,則下次重啟生效
4)、配置方式:分為預配方式和非預配方式
5)、角色選舉
- 當前Master有限
- 成員優先順序大的優先
- 執行時間長優先
- 橋MAC地址小優先
6)、多irf檢測
- LACP MAD
- BFD MAD
- ARP MAD
7)、配置步驟
- 先修改其中一臺的成員編號
1 system-view 2 irf member 1 renumber 2 //把預設的編號1修改為2
- 裝置斷電後,修改主的優先順序為5,並將irf埠與物理介面繫結
1 irf member 1 priority 5 //將主的優先順序設定為5 2 # 進入物理介面,將藉口shutdown 3 irf-port 1/2 //進入邏輯介面1/2,另外一臺設別的邏輯藉口必須是2/1 4 port group interfacr 物理介面的名稱 //將邏輯介面與物理介面繫結 5 # 開起物理介面,儲存配置 6 # 然後進入另外一臺裝置做相同的邏輯介面與物理介面繫結配置
- 兩臺裝置啟用irf:irf-port-configuration active
- 配置鏈路聚合可以在主裝置上進行:
1 interface bridge-aggregation 2 //進入鏈路聚合埠 2 link-aggregation mode dynamic //配置鏈路聚合模式為動態 3 mad enable //開起MAD 4 一直回車 5 6 7 在鏈路聚合中新增成員埠 8 #進入與邏輯埠繫結的兩個介面,如第一臺的1/0埠 1/1/0,第二臺的1/0埠 2/1/0 ,其中第一位為裝置編號 9 port link-aggregation group 2 //將此介面加入鏈路聚合埠 10 11 12 # 其他與此兩臺裝置連線的介面也需要配置鏈路聚合,然後將與irf連線的埠加入鏈路聚合埠
8)、檢視
- display irf //檢視irf配置資訊
- display irf configuation //檢視irf的埠資訊
- display irf topology //檢視irf的拓撲資訊
- display mad //檢視mad狀態
- display mad verbose //檢視mad的詳細資訊
- display link-aggregation verbose //檢視LACP的鏈路聚合資訊
完