1、 配置Console口登录认证功能的举例
HUB所有端口构成一个广播域、冲突域
SWITCH所有端口在一个广播域,每个端口是一个冲突域
RouterA的Console口与用户侧主机HostA相连。要求用户从Console口登录时输入正确的密码才能登录成功
操作步骤
<Huawei>sys
[Huawei]user-interface con 0
[Huawei-ui-console0]authentication-mode password
Please configure the login password (maximum length 16):123
[Huawei-ui-console0]set authentication password cipher ***
配置完成后,使用quit命令断开HostA与RouterA的连接。当HostA再次通过Console口登录RouterA时,输入密码huawei后,进入用户视图则表示配置成功。
二、配置VLANIF接口实现VLAN间通信示例
路由器的二层接口Eth2/0/1和Eth2/0/2分别和PC相连,PC1和PC2属于不同的网段。
通过配置不同的VLAN,将二层的广播报文限制在各VLAN内;通过配置VLANIF接口,VLAN间可以经VLANIF三层接口路由转发报文,实现VLAN间的通信。
图1VLANIF接口实现VLAN间通信
Router的配置
sysname Router
vlan batch 10 20 //创建VLAN
interface Vlanif10 //创建VLANIF接口
ip address 10.10.10.1 255.255.255.0 //相同VLAN内PC终端的网关地址
interface Vlanif20
ip address 20.20.20.1 255.255.255.0
interface Ethernet2/0/1
port link-type access //和PC终端相连,接口类型为Access
port default vlan 10 //接口加入VLAN
interface Ethernet2/0/2
port link-type access
port default vlan 20
return
验证配置结果
PC1和PC2可以互相ping通
配置注意事项
· 位于不同VLAN的PC终端网段不同。
· 路由器和PC终端相连的接口为二层接口,且接口类型为Access类型。
· PC终端上配置网关地址,网关地址为相应VLANIF接口的IP地址。
· VLANIF接口的编号和VLAN ID保持一致
三、配置子接口实现VLAN间通信示例
组网需求
交换机通过Trunk类型接口和Router的Eth1/0/0相连,通过Access类型接口和PC相连,PC1加入VLAN 10,PC2加入VLAN 20。
路由器的Eth1/0/0上创建两个子接口,分别配置IP作为两个VLAN的网关地址,封装采用802.1Q方式,实现VLAN间互通。
图1子接口实现VLAN间通信
SWITCH
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
ROUTER
Router的配置
sysname Router
interface Ethernet1/0/0.1
control-vid 1 dot1q-termination //标识终结子接口,终结类型为802.1Q
dot1q termination vid 10 //处理VLAN ID为10的报文
ip address 10.10.10.1 255.255.255.0 //VLAN 10的网关地址
arp broadcast enable // 接口可以处理ARP广播报文
interface Ethernet1/0/0.2
control-vid 2 dot1q-termination
dot1q termination vid 20 //处理VLAN ID为20的报文
ip address 20.20.20.1 255.255.255.0 //VLAN 20的网关地址
arp broadcast enable
Return
验证配置结果
PC1和PC2可以互相ping通
配置注意事项
· 交换机的下行接口连接终端,为Access类型;交换机的上行接口连接设备,为Trunk类型。
· PC上配置网关地址,网关地址为相应子接口的IP地址。
· 子接口使能ARP广播功能。
· 子接口封装的VLAN ID,和PC终端所在VLAN保持一致。
· 关闭提示undo info-center enable
初次调试华为交换机,可每次都会自动跳出信息Mar 24 2011 23:06:28-05:13 Quidway DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.191.3.1 configurations have been changed. The current change number is 94,the change loop count is 0, and the maximum number of records is 4095.
四、配置路由器、交换机DHCP功能
组网需求
Router作为DHCP服务器为网段10.10.1.0/24中的客户端动态分配IP地址,该地址池网段分为两个子网网段:10.10.1.0/25和10.10.1.128/25。路由器的两个以太网接口GE0/0/0和GE0/0/1的地址分别为10.10.1.1/25和10.10.1.129/25。10.10.1.0/25网段内的地址租用期限为10天12小时,DNS服务器地址为10.10.1.2,出口网关的地址为10.10.1.1。10.10.1.128/25网段内的地址租用期限为5天,DNS服务器地址为10.10.1.2,出口网关的地址为10.10.1.129。
图1配置DHCP Server功能组网图
操作步骤
Router上的配置
dhcp enable //使能dhcp功能
ip pool ip-pool1
gateway-list 10.10.1.1 //配置网关地址
network 10.10.1.0 mask 255.255.255.128 //配置全局地址池可动态分配的IP地址范围
excluded-ip-address 10.10.1.2 //配置地址池中10.10.1.2不参与自动分配
excluded-ip-address 10.10.1.4 //配置地址池中10.10.1.4不参与自动分配
dns-list 10.10.1.2 //配置DHCP客户端使用的DNS服务器的IP地址
lease day 10 hour 12 minute 0 //配置IP地址租期为10天12小时
ip pool ip-pool2
gateway-list 10.10.1.129 //配置网关地址
network 10.10.1.128 mask 255.255.255.128 //配置全局地址池可动态分配的IP地址范围
dns-list 10.10.1.2 //配置DHCP客户端使用的DNS服务器的IP地址
lease day 5 hour 0 minute 0 //配置IP地址租期为5天
domain-name huawei.com //配置域名为huawei.com
interface GigabitEthernet0/0/0
ip address 10.10.1.1 255.255.255.128
dhcp select global //接口工作在全局地址池模式
interface GigabitEthernet0/0/1
ip address 10.10.1.129 255.255.255.128
dhcp select global //接口工作在全局地址池模式
检查配置结果
在Router上使用命令display ip pool,可以查看IP地址池配置情况。
交换机DHCP配置
sysname Huawei
#
vlan batch 100
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
dhcp enable
#
diffserv domain default
#
drop-profile default
#
ip pool v100
gateway-list 192.168.1.254
network 192.168.1.0 mask 255.255.255.0
excluded-ip-address 192.168.1.1
dns-list 8.8.8.8
#
interface Vlanif1
#
interface Vlanif100
ip address 192.168.1.1 255.255.255.0
dhcp select global
#
interface MEth0/0/1
#
interface Ethernet0/0/1
port link-type access
port default vlan 100
#
interface Ethernet0/0/2
port link-type access
port default vlan 100
操作步骤
Router的配置
#
sysname Router //修改设备名称
#
acl number 2000 //配置允许进行NAT转换的内网地址段192.168.0.0/24
rule 5 permit source 192.168.0.0 0.0.0.255
#
interface Ethernet0/0/1
ip address 192.168.0.1 255.255.255.0 //配置内网网关地址
#
interface GigabitEthernet0/0/1
ip address 200.100.1.2 255.255.255.0
nat outbound 2000 //在出接口GE0/0/1上做Easy IP 方式的NAT
#
ip route-static 0.0.0.0 0.0.0.0 200.100.1.1 //配置默认路由,保证出接口到对端路由可达
#
配置注意事项
· 配置ACL,确定对哪些网段进行NAT转换。
· 在出接口视图下配置NAT转换,注意转换方向。
配置通过NAT地址池方式访问Internet
组网需求
如图1所示,内网用户通过路由器的NAT地址池方式来访问Internet。
图1配置通过NAT地址池方式访问Internet
配置Router。
vlan batch 100
acl number 2000 //配置允许进行NAT转换的内网地址段
rule 5 permit source 192.168.20.0 0.0.0.255
nat address-group 1 202.169.10.100 202.169.10.200 //配置NAT地址池
interface vlanif100 //配置内网网关的IP地址
ip address 192.168.20.1 255.255.255.0
interface Ethernet2/0/0
port link-type access
port default vlan 100
interface GigabitEthernet3/0/0
ip address 202.169.10.1 255.255.255.0
nat outbound 2000 address-group 1 //在出接口上配置NAT Outbound
ip route-static 0.0.0.0 0.0.0.0 202.169.10.2 //配置默认路由
验证配置结果。
# 执行命令display nat outbound,查看NAT Outbound的配置信息。
# 内网用户可以通过路由器的NAT地址池方式来访问Internet。
六、服务器地址映射配置
组网需求
如图1所示,内网用户通过路由器的NAT地址转换功能来访问Internet,并且向外网用户提供www服务。
图1配置通过NAT对外提供www服务
操作步骤
配置Router。
vlan batch 100
acl number 2000 //配置允许进行NAT转换的内网地址段
rule 5 permit source 192.168.20.0 0.0.0.255
interface vlanif100 //配置内网网关的IP地址
ip address 192.168.20.1 255.255.255.0
interface Ethernet2/0/0
port link-type access
port default vlan 100
interface GigabitEthernet3/0/0
ip address 202.169.10.1 255.255.255.0
nat outbound 2000 address-group 1 //在出接口上配置NAT Outbound
nat server protocol tcp global 202.169.10.103 www inside 192.168.20.2 8080 //在出接口上配置内网服务器192.168.20.2的www服务
nat address-group 1 202.169.10.100 202.169.10.200 //配置NAT地址池
ip route-static 0.0.0.0 0.0.0.0 202.169.10.2 //配置默认路由
验证配置结果。
# 执行命令display nat outbound,查看NAT Outbound的配置信息。
# 执行命令display nat server,查看Nat Server配置信息。
# 外网用户能正常使用内网的WWW服务。
配置注意事项
配置NAT Server用的global地址不能是NAT Outbound地址池中的地址。