H3C S5600系列交换机典型配置举例
S5600系列交换机典型配置举例
2.1.1 静态路由典型配置
1. 组网需求
(1)需求分析
某小型公司办公网络需要任意两个节点之间能够互通,网络结构简单、稳定,
用户希望最大限度利用现有设备。用户现在拥有的设备不支持动态路由协议。
根据用户需求及用户网络环境,选择静态路由实现用户网络之间互通。
(2)网络规划
根据用户需求,设计如图2-1所示网络拓扑图。
图2-1 静态路由配置举例组网图
2. 配置步骤
交换机上的配置步骤:
# 设置以太网交换机Switch A的静态路由。
[SwitchA] ip route-static 1.1.3.0 255.255.255.0 1.1.2.2
[SwitchA] ip route-static 1.1.4.0 255.255.255.0 1.1.2.2
[SwitchA] ip route-static 1.1.5.0 255.255.255.0 1.1.2.2
# 设置以太网交换机Switch B的静态路由。
[SwitchB] ip route-static 1.1.2.0 255.255.255.0 1.1.3.1
[SwitchB] ip route-static 1.1.5.0 255.255.255.0 1.1.3.1
[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1
# 设置以太网交换机Switch C的静态路由。
[SwitchC] ip route-static 1.1.1.0 255.255.255.0 1.1.2.1
[SwitchC] ip route-static 1.1.4.0 255.255.255.0 1.1.3.2
主机上的配置步骤:
# 在主机A上配缺省网关为1.1.5.1,具体配置略。
# 在主机B上配缺省网关为1.1.4.1,具体配置略。
# 在主机C上配缺省网关为1.1.1.1,具体配置略。
至此图中所有主机或以太网交换机之间均能两两互通。
2.1.2 RIP典型配置
1. 组网需求
(1)需求分析
某小型公司办公网络需要任意两个节点之间能够互通,网络规模比较小。需要
设备自动适应网络拓扑变化,降低人工维护工作量。
根据用户需求及用户网络环境,选择RIP路由协议实现用户网络之间互通。(2)网络规划
根据用户需求,设计如图2-2所示网络拓扑图。
设备接口IP地址设备接口IP地址
Switch A Vlan-int1110.11.2.1/24Switch B Vlan-int1110.11.2.2/24
Vlan-int2155.10.1.1/24Vlan-int3196.38.165.1/24 Switch C Vlan-int1110.11.2.3/24
Vlan-int4117.102.0.1/16
图2-2 RIP典型配置组网图
2. 配置步骤
说明:
以下的配置,只列出了与RIP相关的操作。在进行下列配置之前,请先确保以太网链路层能够正常工作,且各VLAN接口IP地址已经配置完成。
(1)配置Switch A
# 配置RIP。
[SwitchA] rip
[SwitchA-rip] network 110.11.2.0
[SwitchA-rip] network 155.10.1.0
(2)配置Switch B
# 配置RIP。
[SwitchB] rip
[SwitchB-rip] network 196.38.165.0
[SwitchB-rip] network 110.11.2.0
(3)配置Switch C
# 配置RIP。
[SwitchC] rip
[SwitchC-rip] network 117.102.0.0
[SwitchC-rip] network 110.11.2.0
2.1.3 OSPF的DR典型配置
1. 组网需求
(1)需求分析
某用户网络链路类型为广播型网络,通过OSPF实现网络之间互通。由于网络
中设备性能有差异,希望DR/BDR由性能较高的设备承担,优化网络处理速度。
对于网络中性能较低的设备,禁止其参加DR/BDR选举。
根据用户需求及其网络环境,通过修改接口优先级实现用户需求。
(2)网络规划
根据用户需求,设计如图2-3所示网络拓扑图。
设备接口IP地址Router
Switch A Vlan-int1 196.1.1.1/24 1.1.1.1
Switch B Vlan-int1 196.1.1.2/24 2.2.2.2
Switch C Vlan-int1 196.1.1.3/24 3.3.3.3
Switch D Vlan-int1 196.1.1.4/24 4.4.4.4 图2-3 配置OSPF的DR选择组网图
2. 配置步骤
# 配置Switch A
[SwitchA] interface Vlan-interface 1
[SwitchA-Vlan-interface1] ip address 196.1.1.1 255.255.255.0 [SwitchA-Vlan-interface1] ospf dr-priority 100
[SwitchA-Vlan-interface1] quit
[SwitchA] router id 1.1.1.1
[SwitchA] ospf
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 196.1.1.0 0.0.0.255 # 配置Switch B
[SwitchB] interface Vlan-interface 1
[SwitchB-Vlan-interface1] ip address 196.1.1.2 255.255.255.0 [SwitchB-Vlan-interface1] ospf dr-priority 0
[SwitchB-Vlan-interface1] quit
[SwitchB] router id 2.2.2.2
[SwitchB] ospf
[SwitchB-ospf-1] area 0
[SwitchB-ospf-1-area-0.0.0.0] network 196.1.1.0 0.0.0.255 # 配置Switch C
[SwitchC] interface Vlan-interface 1
[SwitchC-Vlan-interface1] ip address 196.1.1.3 255.255.255.0 [SwitchC-Vlan-interface1] ospf dr-priority 2
[SwitchC-Vlan-interface1] quit
[SwitchC] router id 3.3.3.3
[SwitchC] ospf
[SwitchC-ospf-1] area 0
[SwitchC-ospf-1-area-0.0.0.0] network 196.1.1.0 0.0.0.255
# 配置Switch D
[SwitchD] interface Vlan-interface 1
[SwitchD-Vlan-interface1] ip address 196.1.1.4 255.255.255.0 [SwitchD-Vlan-interface1] quit
[SwitchD] router id 4.4.4.4
[SwitchD] ospf
[SwitchD-ospf-1] area 0
[SwitchD-ospf-1-area-0.0.0.0] network 196.1.1.0 0.0.0.255
在Switch A上运行display ospf peer来显示OSPF邻居,注意Switch A有三个
邻居。
每个邻居的状态都是full,这意味着Switch A与它的每个邻居都形成了邻接
(Switch A和Switch C必须与网络中的所有交换机形成邻接,才能分别充当网
络的DR和BDR)。Switch A是网络中的DR,而Switch C是BDR。其它所有
的邻居都是DRother(这意味着它们既不是DR,也不是BDR)。
# 将Switch B的优先级改为200
[SwitchB] interface Vlan-interface 1
[SwitchB-Vlan-interface1] ospf dr-priority 200
在Switch A上运行display ospf peer来显示OSPF邻居,注意Switch B的优先
级变为200;但它并不是DR。
只有当现在的DR不在网络上了后,DR才会改变。关掉Switch A,在Switch D
上运行display ospf peer命令可显示邻居,注意本来是BDR的Switch C成为了
DR,并且Switch B现在成为了BDR。
若网络中所有的交换机被移走后又重新加入,Switch B就被选为DR(优先级为
200),Switch A成为了BDR(优先级为100)。关掉所有的交换机再重新启动,
这个操作会带来一个新的DR/BDR选择。
2.1.4 OSPF虚连接配置
1. 组网需求
(1)需求分析
用户网络运行OSPF实现网络互通。网络分为三个区域,一个骨干区域,两个
普通区域(Area 1、Area 2)。其中某普通区域(Area 2)无法与骨干区域直接相
连,只能通过另外一个普通区域(Area 1)接入。用户希望无法与骨干区域直
接连接的普通区域(Area 2)能够与另外两个区域互通。
根据用户需求及用户网络环境,选择虚连接来实现普通区域(Area 2)与骨干
区域之间的连接。
(2)网络规划
根据用户需求,设计如图2-4所示网络拓扑图。
设备接口IP地址Router ID
Switch A Vlan-int1 196.1.1.2/24 1.1.1.1
Vlan-int2 197.1.1.2/24 -
Switch B Vlan-int1 152.1.1.1/24 2.2.2.2
Vlan-int2 197.1.1.1/24 -
图2-4 配置OSPF虚链路组网图
2. 配置步骤
(1)配置OSPF基本功能
# 配置Switch A。
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] ip address 196.1.1.2 255.255.255.0 [SwitchA-Vlan-interface1] quit
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 197.1.1.2 255.255.255.0 [SwitchA-Vlan-interface2] quit
[SwitchA] router id 1.1.1.1
[SwitchA] ospf
[SwitchA-ospf-1] area 0
[SwitchA-ospf-1-area-0.0.0.0] network 196.1.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.0] quit
[SwitchA-ospf-1] area 1
[SwitchA-ospf-1-area-0.0.0.1] network 197.1.1.0 0.0.0.255
[SwitchA-ospf-1-area-0.0.0.1] quit
[SwitchA-ospf-1] quit
# 配置Switch B。
[SwitchB] interface Vlan-interface 1
[SwitchB-Vlan-interface1] ip address 152.1.1.1 255.255.255.0 [SwitchB-Vlan-interface1] quit
[SwitchB] interface Vlan-interface 2
[SwitchB-Vlan-interface2] ip address 197.1.1.1 255.255.255.0 [SwitchB-Vlan-interface2] quit
[SwitchB] router id 2.2.2.2
[SwitchB] ospf
[SwitchB-ospf-1] area 1
[SwitchB-ospf-1-area-0.0.0.1] network 197.1.1.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.1] quit
[SwitchB-ospf-1] area 2
[SwitchB-ospf-1-area-0.0.0.2] network 152.1.1.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.2] quit
# 显示Switch A的OSPF路由表。
[SwitchA] display ospf routing
OSPF Process 1 with Router ID 1.1.1.1
Routing Tables
Routing for Network
Destination Cost Type
NextHop AdvRouter Area
196.1.1.0/24 10 Stub
196.1.1.2 1.1.1.1 0.0.0.0
197.1.1.0/24 10
Net 197.1.1.1 2.2.2.2 0.0.0.1
Total Nets: 2
Intra Area: 2 Inter Area: 0 ASE: 0 NSSA: 0
说明:
由于Area2没有与Area0直接相连,所以Switch A的路由表中没有Area2中的路由。
(2)配置虚连接。
# 配置Switch A。
[SwitchA] ospf
[SwitchA-ospf-1] area 1
[SwitchA-ospf-1-area-0.0.0.1] vlink-peer 2.2.2.2
[SwitchA-ospf-1-area-0.0.0.1] quit
[SwitchA-ospf-1] quit
# 配置Switch B。
[SwitchB-ospf-1] area 1
[SwitchB-ospf-1-area-0.0.0.1] vlink-peer 1.1.1.1
[SwitchB-ospf-1-area-0.0.0.1] quit
# 显示Switch A的OSPF路由表。
[SwitchA]display ospf routing
OSPF Process 1 with Router ID 1.1.1.1
Routing Tables
Routing for Network
Destination Cost Type
NextHop AdvRouter Area
196.1.1.0/24 10 Stub
196.1.1.2 1.1.1.1 0.0.0.0
197.1.1.0/24 10
Net 197.1.1.1 2.2.2.2 0.0.0.1
152.1.1.0/24 20 SNet
197.1.1.1 2.2.2.2 0.0.0.0
Total Nets: 3
Intra Area: 2 Inter Area: 1 ASE: 0 NSSA: 0
可以看到,Switch A已经学到了Area2的路由152.1.1.0/24。
2.1.5 配置BGP联盟属性
1. 组网需求
(1)需求分析
某用户拥有一个大型AS,AS中运行BGP协议。随着AS规模的增长,IBGP
对等体数量激增,用于BGP通信的网络资源亦随之增加。用户希望不影响设备
工作性能条件下,削减IBGP对等体数量,降低BGP对设备CPU和网络资源
的消耗。
根据用户需求,选择应用BGP自治系统联盟属性实现用户需求。
(2)网络规划
根据用户需求,设计如图2-5所示网络拓扑图。
设备接口IP地址
Switch A Vlan-int 10 172.68.10.1/24
Vlan-int 50 10.1.1.1/24
Switch B Vlan-int 10 172.68.10.2/24
Switch C Vlan-int 10 172.68.10.3/24
Vlan-int 20 172.68.1.1/24
Vlan-int 30 156.10.1.1/24
Switch D Vlan-int 20 172.68.1.2/24
Switch E Vlan-int 30 156.10.1.2/24
Vlan-int 40 8.1.1.1/24
图2-5 配置自治系统联盟的组网图
(3)配置策略
●将AS 100划分为三个子自治系统,分别为AS 1001,AS 1002,AS 1003;
●AS 1001,AS 1002,AS 1003之间运行EBGP;
●AS 1001,AS 1002,AS 1003内部建立全连接,运行IBGP;
●AS 100,AS 200之间运行EBGP。
2. 配置步骤
# 配置Switch A。
[SwitchA] bgp 1001
[SwitchA-bgp] network 10.1.1.0 255.255.255.0
[SwitchA-bgp] confederation id 100
[SwitchA-bgp] confederation peer-as 1002 1003
[SwitchA-bgp] group confed1002 external
[SwitchA-bgp] peer 172.68.10.2 group confed1002 as-number 1002
[SwitchA-bgp] group confed1003 external
[SwitchA-bgp] peer 172.68.10.3 group confed1003 as-number 1003 [SwitchA-bgp] quit
# 配置Switch B。
[SwitchB] bgp 1002
[SwitchB-bgp] confederation id 100
[SwitchB-bgp] confederation peer-as 1001 1003
[SwitchB-bgp] group confed1001 external
[SwitchB-bgp] peer 172.68.10.1 group confed1001 as-number 1001 [SwitchB-bgp] group confed1003 external
[SwitchB-bgp] peer 172.68.10.3 group confed1003 as-number 1003
# 配置Switch C。
[SwitchC] bgp 1003
[SwitchC-bgp] confederation id 100
[SwitchC-bgp] confederation peer-as 1001 1002
[SwitchC-bgp] group confed1001 external
[SwitchC-bgp] peer 172.68.10.1 group confed1001 as-number 1001 [SwitchC-bgp] group confed1002 external
[SwitchC-bgp] peer 172.68.10.2 group confed1002 as-number 1002 [SwitchC-bgp] group ebgp200 external
[SwitchC-bgp] peer 156.10.1.2 group ebgp200 as-number 200 [SwitchC-bgp] group ibgp1003 internal
[SwitchC-bgp] peer 172.68.1.2 group ibgp1003
# 配置Switch D。
[SwitchD] bgp 1003
[SwitchD-bgp] confederation id 100
[SwitchD-bgp] group ibgp1003 internal
[SwitchD-bgp] peer 172.68.1.1 group ibgp1003
# 配置Switch E。
[SwitchE] bgp 200
[SwitchE-bgp] network 8.1.1.0 255.255.255.0
[SwitchE-bgp] group ebgp100 external
[SwitchE-bgp] peer 156.10.1.1 group ebgp100 as-number 100 [SwitchE-bgp] quit
# 显示Switch E的BGP路由表。
[SwitchE] display bgp routing
Flags: # - valid ^ - active I - internal
D - damped H - history S - aggregate suppressed
Dest/Mask Next-Hop Med Local-pref Origin Path
--------------------------------------------------------------------------
#^ 8.1.1.0/24 0.0.0.0 0 100 IGP
#^ 10.1.1.0/24 156.10.1.1 0 100 IGP 1 00
Routes total: 2
# 显示Switch A的BGP路由表。
[SwitchA] display bgp routing
Flags: # - valid ^ - active I - internal
D - damped H - history S - aggregate suppressed
Dest/Mask Next-Hop Med Local-pref Origin Path --------------------------------------------------------------------------
I 8.1.1.0/24 156.10.1.2 0 100 IGP (1003) 200
#^ 10.1.1.0/24 0.0.0.0 0 100 IGP
Routes total: 2
根据显示信息可以看出,子自治系统信息仅在联盟内部通告。处于联盟外部的
自治系统的设备(例如Switch E)将联盟作为一个自治系统,不能学习联盟内
部的子自治系统信息。
2.1.6 配置BGP路由反射器
1. 组网需求
(1)需求分析
某用户拥有一个大型AS,AS中运行BGP协议。随着AS规模的增长,IBGP
对等体数量激增,用于BGP通信的网络资源亦随之增加。用户希望不影响设备
工作性能条件下,削减IBGP对等体数量,降低BGP对设备CPU和网络资源
的消耗。另外,该AS中,IBGP对等体之间连接采用部分互联。
根据用户需求和用户网络环境,选择BGP路由反射器方案满足用户需求。
(2)网络规划
根据用户需求,设计如图2-6所示网络拓扑图。
设备接口IP地址
Switch A Vlan-int 100 1.1.1.1/8
Vlan-int 2 192.1.1.1/24
Switch B Vlan-int 2 192.1.1.2/24
Vlan-int 3 193.1.1.2/24
Switch C Vlan-int 3 193.1.1.1/24
Vlan-int 4 194.1.1.1/24
Switch D Vlan-int 4 194.1.1.2/24
图2-6 配置BGP路由反射器的组网图
(3)配置策略
●AS 100与AS 200对等体之间运行EBGP,通告1.0.0.0/8网段;
●AS 200中对等体之间运行IBGP,AS网络拓扑采用星型拓扑结构;中央设备作为路由反射器,其他设备作为客户机。
2. 配置步骤
(1)配置Switch A
[SwitchA] interface Vlan-interface 2
[SwitchA-Vlan-interface2] ip address 192.1.1.1 255.255.255.0 [SwitchA-Vlan-interface2] interface Vlan-interface 100
[SwitchA-Vlan-interface100] ip address 1.1.1.1 255.0.0.0
[SwitchA-Vlan-interface100] quit
[SwitchA] bgp 100
[SwitchA-bgp] group ex external
[SwitchA-bgp] peer 192.1.1.2 group ex as-number 200
[SwitchA-bgp] network 1.0.0.0 255.0.0.0
(2)配置Switch B
# 配置VLAN接口的IP地址。
[SwitchB] interface Vlan-interface 2
[SwitchB-Vlan-interface2] ip address 192.1.1.2 255.255.255.0 [SwitchB-Vlan-interface2] quit
[SwitchB] interface Vlan-interface 3
[SwitchB-Vlan-interface3] ip address 193.1.1.2 255.255.255.0 [SwitchB-Vlan-interface3] quit
# 配置BGP对等体。
[SwitchB] bgp 200
[SwitchB-bgp] group ex external
[SwitchB-bgp] peer 192.1.1.1 group ex as-number 100
[SwitchB-bgp] group in internal
[SwitchB-bgp] peer 193.1.1.1 group in
(3)配置Switch C
# 配置VLAN接口的IP地址。
[SwitchC] interface Vlan-interface 3
[SwitchC-Vlan-interface3] ip address 193.1.1.1 255.255.255.0 [SwitchC-Vlan-interface3] quit
[SwitchC] interface vlan-Interface 4
[SwitchC-Vlan-interface4] ip address 194.1.1.1 255.255.255.0 [SwitchC-Vlan-interface4] quit
# 配置BGP对等体及路由反射器。
[SwitchC] bgp 200
[SwitchC-bgp] group rr internal
[SwitchC-bgp] peer rr reflect-client
[SwitchC-bgp] peer 193.1.1.2 group rr
[SwitchC-bgp] peer 194.1.1.2 group rr
(4)配置Switch D
# 配置VLAN接口的IP地址。
[SwitchD] interface Vlan-interface 4
[SwitchD-Vlan-interface4] ip address 194.1.1.2 255.255.255.0 [SwitchD-Vlan-interface4] quit
# 配置BGP对等体。
[SwitchD] bgp 200
[SwitchD-bgp] group in internal
[SwitchD-bgp] peer 194.1.1.1 group in
在Switch B上用display bgp routing命令查看BGP路由表。注意:Switch B已
知道了网络1.0.0.0的存在。
在Switch D上用display bgp routing命令查看BGP路由表。注意:Switch D也
知道网络1.0.0.0的存在。
2.1.7 配置BGP路径选择
1. 组网需求
(1)需求分析
某用户网络由两个AS组成,两个AS通过BGP实现网络互通,其中一个AS
运行OSPF。
用户需求:控制从AS 200到AS 100的数据转发路径。
根据用户需求,可在如下方案中任选其一:
●选择BGP的MED属性控制数据从AS 200到AS 100时的转发路径;
●选择BGP的LOCAL_PREF属性控制数据从AS 200到AS 100时的转发路径。
(2)网络规划
根据用户需求,设计如图2-7所示网络拓扑图。
设备接口IP地址
Switch A Vlan-int 101 1.1.1.1/8
Vlan-int 2 192.1.1.1/24
Vlan-int 3 193.1.1.1/24
Switch B Vlan-int 2 192.1.1.2/24
Vlan-int 4 194.1.1.2/24
Switch C Vlan-int 3 193.1.1.2/24
Vlan-int 5 195.1.1.2/24
Switch D Vlan-int 4 194.1.1.1/24
Vlan-int 5 195.1.1.1/24
图2-7 配置BGP路径选择的组网图
(3)配置策略
●AS 100与AS 200对等体之间运行EBGP,通告1.0.0.0/8网段;
●AS 200运行OSPF实现网络互通;
●Switch D与Switch B,Switch D与 Switch C对等体之间运行IBGP;
●在Switch A上应用路由策略,修改发布的路由信息MED属性,控制Switch D发出的数据进入AS 100时转发路径为:Switch D-Switch C-Switch A。
●在Switch C上应用路由策略,修改发布路由信息的LOCAL_PREF属性,控制Switch D发出的数据进入AS 100时转发路径为:Switch D-Switch C-Switch A。
2. 配置步骤
(1)配置Switch A
# 配置VLAN接口的IP地址
[SwitchA] interface Vlan-interface 2
[SwitchA-Vlan-interface2] ip address 192.1.1.1 255.255.255.0 [SwitchA-Vlan-interface2] quit
[SwitchA] interface Vlan-interface 3
[SwitchA-Vlan-interface3] ip address 193.1.1.1 255.255.255.0 [SwitchA-Vlan-interface3] quit
[SwitchA] interface Vlan-interface 101
[SwitchA-Vlan-interface101] ip address 1.1.1.1 255.0.0.0
[SwitchA-Vlan-interface101] quit
# 启动BGP。
[SwitchA] bgp 100
# 通告1.0.0.0/8网段路由信息。
[SwitchA-bgp] network 1.0.0.0
# 配置对等体。
[SwitchA-bgp] group ex192 external
[SwitchA-bgp] peer 192.1.1.2 group ex192 as-number 200
[SwitchA-bgp] group ex193 external
[SwitchA-bgp] peer 193.1.1.2 group ex193 as-number 200
[SwitchA-bgp] quit
# 创建ACL 2000,允许目的地址为1.0.0.0/8的路由信息通过。
[SwitchA] acl number 2000
[SwitchA-acl-basic-2000] rule permit source 1.0.0.0 0.255.255.255 [SwitchA-acl-basic-2000] rule deny source any
[SwitchA-acl-basic-2000] quit
# 创建路由策略apply_med_50,匹配模式为允许,如果路由信息通过ACL 2000
的过滤,则设置其MED值为50。
[SwitchA] route-policy apply_med_50 permit node 10
[SwitchA-route-policy] if-match acl 2000
[SwitchA-route-policy] apply cost 50
[SwitchA-route-policy] quit
# 创建路由策略apply_med_100,匹配模式为允许,如果路由信息通过ACL 2000
的过滤,则设置其MED值为100。
[SwitchA] route-policy apply_med_100 permit node 10
[SwitchA-route-policy] if-match acl 2000
[SwitchA-route-policy] apply cost 100
[SwitchA-route-policy] quit
# 对发布给对等体组ex193(对等体193.1.1.2)的路由信息应用路由策略
apply_med_50;对发布给对等体组ex192(对等体192.1.1.2)的路由信息应用路
由策略apply_med_100。
[SwitchA] bgp 100
[SwitchA-bgp] peer ex193 route-policy apply_med_50 export
[SwitchA-bgp] peer ex192 route-policy apply_med_100 export
(2)配置Switch B
# 配置VLAN接口IP地址。
[SwitchB] interface vlan 2
[SwitchB-Vlan-interface2] ip address 192.1.1.2 255.255.255.0 [SwitchB-Vlan-interface2] quit
[SwitchB] interface Vlan-interface 4
[SwitchB-Vlan-interface4] ip address 194.1.1.2 255.255.255.0 [SwitchB-Vlan-interface4] quit
# 配置OSPF。
[SwitchB] ospf
[SwitchB-ospf-1] area 0
[SwitchB-ospf-1-area-0.0.0.0] network 194.1.1.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] network 192.1.1.0 0.0.0.255
[SwitchB-ospf-1-area-0.0.0.0] quit
[SwitchB-ospf-1] quit
# 启动BGP,创建对等体组,并向对等体组添加对等体。
[SwitchB] bgp 200
[SwitchB-bgp] undo synchronization
[SwitchB-bgp] group ex external
[SwitchB-bgp] peer 192.1.1.1 group ex as-number 100
[SwitchB-bgp] group in internal
[SwitchB-bgp] peer 194.1.1.1 group in
[SwitchB-bgp] peer 195.1.1.2 group in
(3)配置Switch C
# 配置VLAN接口IP地址。
[SwitchC] interface Vlan-interface 3
[SwitchC-Vlan-interface3] ip address 193.1.1.2 255.255.255.0 [SwitchC-Vlan-interface3] quit
[SwitchC] interface Vlan-interface 5
[SwitchC-Vlan-interface5] ip address 195.1.1.2 255.255.255.0 [SwitchC-Vlan-interface5] quit
# 启动OSPF。
[SwitchC] ospf
[SwitchC-ospf-1] area 0
[SwitchC-ospf-1-area-0.0.0.0] network 193.1.1.0 0.0.0.255 [SwitchC-ospf-1-area-0.0.0.0] network 195.1.1.0 0.0.0.255 [SwitchC-ospf-1-area-0.0.0.0] quit
[SwitchC-ospf-1] quit
# 启动BGP,创建对等体组,并向对等体组添加对等体。
[SwitchC] bgp 200
[SwitchC-bgp] undo synchronization
[SwitchC-bgp] group ex external
[SwitchC-bgp] peer 193.1.1.1 group ex as-number 100 [SwitchC-bgp] group in internal
[SwitchC-bgp] peer 195.1.1.1 group in
[SwitchC-bgp] peer 194.1.1.2 group in
(4)配置Switch D
# 配置VLAN接口IP地址。
[SwitchD] interface Vlan-interface 4
[SwitchD-Vlan-interface4] ip address 194.1.1.1 255.255.255.0 [SwitchD-Vlan-interface4] quit
[SwitchD] interface Vlan-interface 5
[SwitchD-Vlan-interface5] ip address 195.1.1.1 255.255.255.0 [SwitchD-Vlan-interface5] quit
# 启动OSPF。
[SwitchD] ospf
[SwitchD-ospf-1] area 0
[SwitchD-ospf-1-area-0.0.0.0] network 194.1.1.0 0.0.0.255 [SwitchD-ospf-1-area-0.0.0.0] network 195.1.1.0 0.0.0.255 [SwitchD-ospf-1-area-0.0.0.0] network 4.0.0.0 0.255.255.255 [SwitchD-ospf-1-area-0.0.0.0] quit
[SwitchD-ospf-1] quit
# 启动BGP,创建对等体组,并向对等体组添加对等体。[SwitchD] bgp 200
[SwitchD-bgp] undo synchronization
[SwitchD-bgp] group in internal
[SwitchD-bgp] peer 195.1.1.2 group in
[SwitchD-bgp] peer 194.1.1.2 group in
●为使配置生效,所有的BGP邻居需要运行reset bgp all命令。
●通过上述配置后,由于Switch C学到的路由1.0.0.0的MED属性比Switch B学到的更小,Switch D优选来自Switch C的路由1.0.0.0。
●如果在配置Switch A时,不配置Switch A的MED属性,而在Switch C
上配置本地优先级如下:
# 创建ACL 2000,允许目的地址为1.0.0.0/8的路由信息通过。
[SwitchC] acl number 2000
[SwitchC-acl-basic-2000] rule permit source 1.0.0.0 0.255.255.255 [SwitchC-acl-basic-2000] rule deny source any
[SwitchC-acl-basic-2000] quit
# 创建路由策略localpref,节点序号为10,匹配模式为允许,如果路由信息通
过ACL 2000的过滤,则设置其本地优先级为200。
[SwitchC] route-policy localpref permit node 10
[SwitchC-route-policy] if-match acl 2000
[SwitchC-route-policy] apply local-preference 200
[SwitchC-route-policy] quit
# 创建路由策略localpref,节点序号为20,匹配模式为允许,设置路由信息本
地优先级值为100。
[SwitchC] route-policy localpref permit node 20
[SwitchC-route-policy] apply local-preference 100
[SwitchC-route-policy] quit
# 对从对等体193.1.1.1(Switch A)接收的路由信息应用路由策略localpref。[SwitchC] bgp 200
[SwitchC-bgp] peer 193.1.1.1 route-policy localpref import
此时,由于Switch C学到的路由1.0.0.0的LOCAL_PREF属性值为200,比Switch
B学到的路由1.0.0.0的LOCAL_PREF属性值(Switch B没有配置LOCAL_PREF
属性,默认为100)更大,Switch D依然优选来自Switch C的路由1.0.0.0。
CMSR系列路由器IPsec典型配置举例V
C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]
1?简介 本文档介绍IPsec的典型配置举例。
2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本
本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。
H3C IRF堆叠典型配置举例
典型配置举例一IRF检测方式)1.1.1 IRF典型配置举例(LACP MAD 1. 组网需求现的接入需求。由于公司人员激增,接入层交换机提供的端口 数目已经不能满足PC 需要在保护现有投资的基础上扩展端口接入数量,并要求网络易管理、易维护。组网图2. 典型配置组网图(LACP MAD1-13 IRF检测方式)图 3. 配置思路 Device A提供的接入端口数目已经不能满足网络需求,需要另外增加一台设备?Device B。(本文以两台设备组成IRF为例,在实际组网中可以根据需要,将多台设备组成IRF,配置思路和配置步骤与本例类似) 鉴于第二代智能弹性架构IRF技术具有管理简便、网络扩展能力强、可靠性高等?优点,所以本例使用IRF技术构建接入层(即在Device A和Device B上配置IRF功能)。 为了防止万一IRF链路故障导致IRF分裂、网络中存在两个配置冲突的IRF,需?要启用MAD 检测功能。因为接入层设备较多,我们采用LACP MAD检测。 4. 配置步骤 为便于区分,下文配置中假设IRF形成前Device A的系统名称为DeviceA,Device B的系统名称为Device B;中间设备Device C的系统名称为DeviceC。 (1)配置设备编号 # Device A保留缺省编号为1,不需要进行配置。 。2上将设备的成员编号修改为Device B在#
H3C S5600系列交换机典型配置举例
S5600系列交换机典型配置举例 2.1.1 静态路由典型配置 1. 组网需求 (1)需求分析 某小型公司办公网络需要任意两个节点之间能够互通,网络结构简单、稳定, 用户希望最大限度利用现有设备。用户现在拥有的设备不支持动态路由协议。 根据用户需求及用户网络环境,选择静态路由实现用户网络之间互通。 (2)网络规划 根据用户需求,设计如图2-1所示网络拓扑图。 图2-1 静态路由配置举例组网图 2. 配置步骤 交换机上的配置步骤: # 设置以太网交换机Switch A的静态路由。
[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1 # 设置以太网交换机Switch C的静态路由。
防火墙双机热备配置案例
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。 配置要点 ?设置HA心跳口属性 ?设置除心跳口以外的其余通信接口属于VRID2 ?指定HA的工作模式及心跳口的本地地址和对端地址 ?主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 ?主墙 a)配置HA心跳口地址。 ①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。 点击“确定”按钮保存配置。
华为路由器静态路由配置命令
华为路由器静态路由配置命令 4.6.1 ip route 配置或删除静态路由。 [ no ] ip route ip-address { mask | mask-length } { interfacce-name | gateway-address } [ preference preference-value ] [ reject | blackhole ] 【参数说明】 ip-address和mask为目的IP地址和掩码,点分十进制格式,由于要求掩码32位中‘1’必须是连续的,因此点分十进制格式的掩码可以用掩码长度mask-length来代替,掩码长度为掩码中连续‘1’的位数。 interfacce-name指定该路由的发送接口名,gateway-address为该路由的下一跳IP地址(点分十进制格式)。 preference-value为该路由的优先级别,范围0~255。 reject指明为不可达路由。 blackhole指明为黑洞路由。 【缺省情况】 系统缺省可以获取到去往与路由器相连子网的子网路由。在配置静态路由时如果不指定优先级,则缺省为60。如果没有指明reject或blackhole,则缺省为可达路由。 【命令模式】 全局配置模式 【使用指南】 配置静态路由的注意事项: 当目的IP地址和掩码均为0.0.0.0时,配置的缺省路由,即当查找路由表失败后,根据缺省路由进行包的转发。 对优先级的不同配置,可以灵活应用路由管理策略,如配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担;如果指定不同优先级,则可实现路由备份。 在配置静态路由时,既可指定发送接口,也可指定下一跳地址,到底采用哪种方法,需要根据实际情况而定:对于支持网络地址到链路层地址解析的接口或点到点接口,指定发送接口即可;对于NBMA接口,如封装X.25或帧中继的接口、拨号口等,支持点到多点,这时除了配置IP路由外,还需在链路层建立二次路
H3C MSR系列路由器IPsec典型配置举例(V7)
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: ?通过L2TP隧道访问Corporate network。 ?用IPsec对L2TP隧道进行数据加密。 ?采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。 3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址
# 配置接口GigabitEthernet2/0/1的IP地址。
Cisco交换机配置实例双机热备
Cisco交换机配置实例(双机热备) Cisco交换机6509配置实例(双机热备) 1.设置时间 switch#config t switch(config)#clock timezone GMT8;配置时区 switch(config)#clock set13:30:2131JAN2004;配置交换机时间2.设置主机名及密码 Switch#congfig t Switch(config)#hostname6506a 6506a(config)#enable password cisco 6506a(config)#enable secret cisco 6506a(config)#line con0 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#line vty015 6506a(config-line)#login 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#^z 6506a#show running-config
6506a#copy running-config startup-config 6506a#show startup-config 6506a#show bootvar 6506a#dir bootflash: 6506a#copy system:running-config nvram:startup-config 6506a#show fabric status 6506a#show hardware 3.配置vlan 6506a#config t 6506a(config)#vlan301 6506a(config-vlan)#name hexinxitong 6506a(config)#vlan302 6506a(config-vlan)#name callcenter 6506a(config)#vlan303 6506a(config-vlan)#name kuaijicaiwu 6506a(config)#vlan304 6506a(config-vlan)#name guojiyewu 6506a(config)#vlan305 6506a(config-vlan)#name guanlixitong 6506a(config)#vlan306 6506a(config-vlan)#name ceshihuanjing 6506a(config)#vlan307
华为AR1220路由器配置参数实际应用实例解说一
华为AR1220路由器配置参数实际应用实例解说一 1. 配置参数 [GZ]dis cu [V200R001C00SPC200] //路由器软件版本,可从官方网站下载 # sysname GZ //路由器名字GZ ftp server enable //ftp 服务开通以便拷贝出配置文件备份 # voice # http server port 1025 //http undo http server enable # drop illegal-mac alarm # l2tp aging 0 # vlan batch 10 20 30 40 50 //本路由器设置的VLAN ID # igmp global limit 256 # multicast routing-enable //开启组播 #
dhcp enable //全局下开启DHCP服务然后在各VLAN上开启单独的DHCP # ip vpn-instance 1 ipv4-family # acl number 2000 rule 10 permit # acl number 2001 //以太网访问规则列表。 rule 6 permit source 172.23.68.0 0.0.0.255 //允许此网段访问外网 rule 7 permit source 172.23.69.0 0.0.0.255 //允许此网段访问外网 rule 8 permit source 172.23.65.0 0.0.0.3 //允许此网段的前三个IP访问外网rule 9 deny //不允许其他网段访问外网 # acl number 3000 //此规则并未应用 rule 40 permit ip source 172.23.65.0 0.0.0.255 destination 172.23.69.0 0.0.0.25 5 # acl number 3001//定义两个网段主机互不访问,学生不能访问65网段。 rule 5 deny ip source 172.23.65.0 0.0.0.255 destination 172.23.68.0 0.0.0.255 rule 10 deny ip source 172.23.68.0 0.0.0.255 destination 172.23.65.0 0.0.0.255 # aaa //默认视图窗口定义本地登录帐号和密码
H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
H3C路由器配置实例
通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(E t h e r n e t0/0):[M S R20-20]i n t e r f a c e E t h e r n e t0/0 [M S R20-20 2、使用动态分配地址的方式为局域网中的P C分配地址[M S R20-20]d h c p s e r v e r i p-p o o l 1 [M S R20-20-d h c p-p o o l-1]n e t w o r k2 4 [M S R20-20 [M S R20-20 3、配置n a t [M S R20-20]n a t a d d r e s s-g r o u p1公网I P公网I P [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 0.0.0外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词:MSR;console; 一、组网需求: 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。 二、组网图: 三、配置步骤:
华为路由器dhcp简单配置实例
华为路由器dhcp简单配置实例 session 1 DHCP的工作原理 DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述。DHCP有3个端口,其中UDP67和UDP68为正常的DHCP 服务端口,分别作为DHCP Server和DHCP Client的服务端口;546号端口用于DHCPv6 Client,而不用于DHCPv4,是为DHCP failover服务,这是需要特别开启的服务,DHCP failover是用来做“双机热备”的。 DHCP协议采用UDP作为传输协议,主机发送请求消息到DHCP服务器的67号端口,DHCP服务器回应应答消息给主机的68号端口,DHCP的IP地址自动获取工作原理及详细步骤如下: 1、DHCP Client以广播的方式发出DHCP Discover报文。 2、所有的DHCP Server都能够接收到DHCP Client发送的DHCP Discover报文,所有的DHCP Server都会给出响应,向DHCP Client发送一个DHCP Offer报文。DHCP Offer报文中“Your(Client) IP Address”字段就是DHCP Server 能够提供给DHCP Client使用的IP地址,且DHCP Server会将自己的IP地址放在“option”字段中以便DHCP Client 区分不同的DHCP Server。DHCP Server在发出此报文后会存在一个已分配IP地址的纪录。 3、DHCP Client只能处理其中的一个DHCP Offer报文,一般的原则是DHCP Client处理最先收到的DHCP Offer报文。DHCP Client会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP Server的IP地址和需要的IP地址。 4、DHCP Server收到DHCP Request报文后,判断选项字段中的IP地址是否与自己的地址相同。如果不相同,DHCP Server不做任何处理只清除相应IP地址分配记录;如果相同,DHCP Server就会向DHCP Client响应一个DHCP ACK 报文,并在选项字段中增加IP地址的使用租期信息。 5、DHCP Client接收到DHCP ACK报文后,检查DHCP Server分配的IP地址是否能够使用。如果可以使用,则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程;如果DHCP Client发现分配的IP地址已经被使用,则DHCP Client向DHCPServer发出DHCP Decline报文,通知DHCP Server禁用这个IP地址,然后DHCP Client 开始新的地址申请过程。 6、DHCP Client在成功获取IP地址后,随时可以通过发送DHCP Release报文释放自己的IP地址,DHCP Server收到DHCP Release报文后,会回收相应的IP地址并重新分配。
史上最详细H3C路由器NAT典型配置案例
神马CCIE, H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 NAT典型配置举例 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户使用外网地址访问In ternet 。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址到外网地址之间的一对一静态地址转换映射。
There are 1 in terfaces en abled with static NAT.
In terface: GigabitEthernet1/2 Total sessi ons found: 1 内网用户通过 NAT 地址访问外网(地址不重叠) 1. 组网需求 ? 某公司内网使用的IP 地址为。 ? 该公司拥有和两个外网 IP 地址。 需要实现,内部网络中网段的用户可以访问 In ternet ,其它网段的用户不能访问 In ternet 使用的外网地址为和。 2. 组网图 #通过以下显示命令,可以看到 [Router] display nat sessi on verbose In itiator: Source IP/port: ID: -/-/ Protocol: ICMP(1) Resp on der: Source IP/port: ID: -/-/ Protocol: ICMP(1) State: ICMP_REPLY Applicatio n: INVALID Start time: 2012-08-16 09:30:49 Interface(in): GigabitEthernet1/1 In terface(out): GigabitEthernet1/2 In itiator->Resp on der: Resp on der- >ln itiator: Host 访问某外网服务器时生成 Desti nati on IP/port: Desti nati on IP/port: TTL: 27s 5 packets 5 packets NAT 会话信息。 VPN in sta nce/VLAN ID/VLL VPN in sta nce/VLAN ID/VLL 420 bytes 420 bytes
H3C IPv6 静态路由配置
操作手册 IP路由分册 IPv6 静态路由目录 目录 第1章 IPv6静态路由配置......................................................................................................1-1 1.1 IPv6静态路由简介.............................................................................................................1-1 1.1.1 IPv6静态路由属性及功能........................................................................................1-1 1.1.2 IPv6缺省路由..........................................................................................................1-1 1.2 配置IPv6静态路由.............................................................................................................1-2 1.2.1 配置准备..................................................................................................................1-2 1.2.2 配置IPv6静态路由...................................................................................................1-2 1.3 IPv6静态路由显示和维护..................................................................................................1-2 1.4 IPv6静态路由典型配置举例(路由应用).........................................................................1-3 1.5 IPv6静态路由典型配置举例(交换应用).........................................................................1-5
IPSec配置案例
防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 1 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与Eudemon 进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中,我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 1.1 组网图 图1IKE点到点网络典型组网图 1.2 组网需求 ●PC1与PC2之间进行安全通信,在FWA与FWB之间使用IKE自动协 商建立安全通道。 ●在FWA和FWB上均配置序列号为10的IKE提议。 ●为使用pre-shared key验证方法的提议配置验证字。 ●FWA与FWB均为固定公网地址 1.3 适用产品、版本 设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200
软件版本:V2R1及以上实验版本Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.4 配置思路和步骤 1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由 3)定义用于包过滤和加密的数据流 4) 域间通信规则 5)配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 1.5 配置过程和解释(关键配置) 配置FWA: 1)配置到达PC2的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255 [FWA-acl-adv-3001]quit 3)配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound
[史上完整]H3C路由器NAT典型配置案例解析
H3C路由器NAT典型配置案列(史上最详细) 神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 1.11 NAT典型配置举例 1.11.1 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
华为 浮动静态路由路径备份配置实例
华为浮动静态路由路径备份配置实例 作者:救世主220 实验日期:2015.7.3 实验拓扑如下: AR1配置: [AR1]dis current-configuration [V200R003C00] # sysname AR1 # interface GigabitEthernet0/0/0 ip address 100.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.0.21.1 255.255.255.0 # interface LoopBack0 ip address 1.1.1.1 255.255.255.0 ospf network-type broadcast # ospf 1 router-id 1.1.1.1 import-route direct area 0.0.0.0 network 1.1.1.1 0.0.0.0 network 10.0.21.1 0.0.0.0 # ip route-static 3.3.3.0 255.255.255.0 100.1.1.2 preference 10 ip route-static 10.0.23.0 255.255.255.0 100.1.1.2 preference 10
注意:AR1上g0/0/0 断开前后AR1路由表变化 AR2配置: [AR2]dis current-configuration [V200R003C00] # sysname AR2 # interface GigabitEthernet0/0/0 ip address 100.1.1.2 255.255.255.0 #
路由器-GRE-Over-IPSec典型配置
路由器-GRE-Over-IPSec典型配置 【需求】 分部1和分部2通过野蛮IPSec的方式连接到中心,采用GRE-Over-IPSec的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。 【组网图】
【验证】 1、中心上的ike sa 状态: disp ike sa connection-id peer flag phase doi ---------------------------------------------------------- 4 202.101.3.2 RD 1 IPSEC 5 202.101.3.2 RD 2 IPSEC 2 202.101.2.2 RD 1 IPSEC 3 202.101.2.2 RD 2 IPSEC flag meaning RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT 2、中心上的IPSec sa状态:
disp ipsec sa =============================== Interface: Serial2/0/0 path MTU: 1500 =============================== ----------------------------- IPsec policy name: "center" sequence number: 10 mode: isakmp ----------------------------- connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.2.2 flow: (72 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.2.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 1168206412 (0x45a16a4c) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887434028/3365 max received sequence-number: 33 udp encapsulation used for nat traversal: N [outbound ESP SAs] spi: 2150942891 (0x8034c8ab) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433260/3365 max sent sequence-number: 36 udp encapsulation used for nat traversal: N ----------------------------- IPsec policy name: "center" sequence number: 20 mode: isakmp ----------------------------- connection id: 4 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: 202.101.1.2 remote address: 202.101.3.2 flow: (73 times matched) sour addr: 202.101.1.2/255.255.255.255 port: 0 protocol: GRE dest addr: 202.101.3.2/255.255.255.255 port: 0 protocol: GRE [inbound ESP SAs] spi: 2624895419 (0x9c74b9bb) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa remaining key duration (bytes/sec): 1887433796/3385 max received sequence-number: 35 udp encapsulation used for nat traversal: N [outbound ESP SAs]