華為HCIP認證靜態(tài)路由配置詳解

發(fā)布時間：2020-05-09 15:02:56 作者：冰鎮(zhèn)闊落

這篇文章主要介紹了華為HCIP認證靜態(tài)路由配置,詳細分析了華為HCIP認證靜態(tài)路由配置具體原理、步驟、配置命令與操作注意事項,需要的朋友可以參考下

本文講述了華為HCIP認證靜態(tài)路由配置。分享給大家供大家參考，具體如下：

靜態(tài)路由

一、基本配置

下一跳寫法：

ip route-static  x.x.x.x  ab y.y.y.y

注：x.x.x.x 指目標網(wǎng)段；ab為目標網(wǎng)段的子網(wǎng)掩碼位數(shù)，華為設(shè)備可以寫子網(wǎng)掩碼的具體形式，也可以簡寫；y.y.y.y指下一跳接口IP地址。

出接口寫法：

ip route-static x.x.x.x ab gm/m/m

注：x.x.x.x、ab與下一跳寫法相同，均為目標網(wǎng)段和子網(wǎng)掩碼；gm/m/m為出接口的接口名稱。

二、匯總

當目標為一些連續(xù)子網(wǎng)，且基于相同的路徑進行訪問時，可以將這些目標網(wǎng)段進行匯總，以達到減少路由條目數(shù)量的作用。

舉例：

ip route-static 1.1.0.0 22 12.1.1.2

三、黑洞

由于匯總后的網(wǎng)絡(luò)中實際上會有一些網(wǎng)段并未被設(shè)定，此時若其他設(shè)備訪問這些未被設(shè)定的網(wǎng)段會出現(xiàn)有去無回的現(xiàn)象。為了避免產(chǎn)生黑洞現(xiàn)象，我們需要合理的地址規(guī)劃和匯總設(shè)定來減少黑洞的范圍。

四、缺省

缺省路由是一條不限定目標的路由。當路由器查詢完本地所有的直連、靜態(tài)、動態(tài)路由后，如果依舊沒有可達路徑，則會選擇使用缺省路由進行訪問。

五、負載均衡

當一條路由達到同一個目標時，若存在多條相似的路徑，則可以將流量進行拆分后在多條路徑中同時傳輸。

注：流量拆分時，并不是有多少條路徑就拆分成多少份；而是按照每條路徑的帶寬進行等比例拆分，帶寬大的路徑傳輸?shù)姆蓊~更多。

六、空接口

當匯總后產(chǎn)生的路由黑洞與缺省路由相遇后必然會產(chǎn)生環(huán)路。為了避免產(chǎn)生環(huán)路，我們在產(chǎn)生黑洞的路由器上配置到達匯總后地址的空接口路由來進行防環(huán)。

例如：

ip route-static 1.1.0.0 22 null 0

七、浮動靜態(tài)路由

在直連的兩臺路由器間若直連線有兩條，則我們可以通過修改路由的優(yōu)先級（優(yōu)先級越小越優(yōu)）使兩條線路中一條線路為主要線路，另一條為備用線路，達到路徑備份的作用。

例如：

ip route-statci 1.1.0.0 22 13.1.1.2 preference 61

華為設(shè)備中靜態(tài)路由的默認優(yōu)先級為60，當備份線路的靜態(tài)路由優(yōu)先級大于60，則不會加到路由表中，只會作為備份進行使用。

八、ACL–訪問控制列表

匹配規(guī)則：

自上而下逐一匹配，上條匹配按上條執(zhí)行，不再查看下條，末尾隱含允許所有。

標準ACL：2000-2999，僅關(guān)注源IP，靠近目標處調(diào)用；
擴展ACL：3000-3999，關(guān)注源、目IP，源、目端口號，協(xié)議號
基于MAC地址的ACL：4000-4999

標準ACL：

[r3]acl 2000
[r3-acl-basic-2000]rule permit source 192.168.1.1 0.0.0.0
[r3-acl-basic-2000]quit 
[r3]interface g0/0/2
[r3-GigabitEthernet0/0/2]traffic-filter inbound acl 2000

擴展ACL：

編號寫法：


  [Huawei]acl 3000
    [Huawei-acl-adv-3000]rule deny ip source 192.168.1.1 0 destination 192.168.1.2 0
    拒絕telnet
    rule deny tcp source 192.168.1.1 0 destination 192.168.1.2 
    0 destination-port eq 23
命名寫法：

	[Huawei]acl name a 3001
    [Huawei-acl-adv-a]rule deny ip source 192.168.1.1 0 destination 192.168.1.2 0

九、NAT

華為的設(shè)備中不需要在邊界路由器上定義各個接口的方向，但NAT仍要在邊界路由器上進行配置。

私有的IPV4地址：10.0.0.0/8 、172.16.0.0/16 -172.31.0.0/16 、192.168.0.0/24 -192.168.255.0/24

一對多：將多個本地地址和一個全局地址進行轉(zhuǎn)換；所有的本地地址轉(zhuǎn)換為同一個全局地址，但使用不同的源端口號來區(qū)分，映射關(guān)系為單次映射；由于端口號數(shù)量有限，所以更適用于家庭和小型局域網(wǎng)。

例如：

[Huawei]acl 2004
[Huawei-acl-basic-2004]rule permit source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2004]quit 
[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/2]nat outbound 2004
[Huawei-GigabitEthernet0/0/2]quit 
[Huawei]

一對一（靜態(tài)）：固定的將一個私有和一個公有地址進行轉(zhuǎn)換

例如：

[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1]nat static global 56.1.1.3 inside 192.168.1.10

端口映射：將一個公有地址的固定端口和一個私有地址的固定端口形成映射。

例如：

[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global current-interface te
lnet inside 192.168.1.8 telnet 
Warning:The port 23 is well-known port. If you continue it may cause function fa
ilure.
Are you sure to continue?[Y/N]:y
[Huawei-GigabitEthernet0/0/1]

多對多：存在靜態(tài)和動態(tài)兩種情況

靜態(tài)：假設(shè)全局公有地址存在10個，那額內(nèi)網(wǎng)中最先出來的10個私有地址與這10個公有地址建立一對一映射，當這10個私有地址不再收發(fā)流量一定時間后刷新記錄，然后再重新映射到最先出來的設(shè)備。

動態(tài)：假設(shè)全局公有地址存在10個，最先出來的65535個數(shù)據(jù)包占用第一個公有地址的所有端口；第二批出來的65535個數(shù)據(jù)包占用第二個公有地址的所有端口，按照這種方式循環(huán)占有公有地址的端口號。

靜態(tài)路由綜合實驗

拓撲圖：

在這里插入圖片描述

實驗要求：

1：R4為ISP，只能配置IP地址，不能再進行其他任何配置；
2：R1-R3為內(nèi)網(wǎng)，地址為192.168.1.0/24，合理分配；
3：PC可以通過不同的域名來訪問內(nèi)網(wǎng)的兩臺服務(wù)器，兩臺服務(wù)器為不同的公有地址；
4：內(nèi)網(wǎng)的PC可以正常訪問外網(wǎng)PC；
5：R2與R3之間浮動靜態(tài)路由備份路徑；
6：R4 telnet R3 實際登錄到 R1；
7：減少路由條目數(shù)量，避免環(huán)路；

實驗思路：

首先，通過實驗要求來進行分析；

R4為ISP，R1-R3為內(nèi)網(wǎng)，需要基于特定的IP地址進行合理規(guī)劃，這兩點要求按照要求配置IP地址即可；

完成IP地址配置后，開始實現(xiàn)內(nèi)網(wǎng)全網(wǎng)可達。從左至右，即R1配置缺省路由指向R2，R2配置缺省路由指向R3，R3配置缺省路由指向R4；從右至左，即R2配置靜態(tài)獲取R2左側(cè)未知的網(wǎng)段，R3配置靜態(tài)獲取R3左側(cè)未知的網(wǎng)段。在R2-R3之間的缺省路由和靜態(tài)路由需要在備份路徑設(shè)置同樣的路由但備份路徑的路由優(yōu)先級需要大于主路徑的優(yōu)先級，以實現(xiàn)浮動靜態(tài)路由備份的功能。完成這些配置后即可實現(xiàn)內(nèi)網(wǎng)的全網(wǎng)可達。

此時還有第3、4、6、7條實驗要求未實現(xiàn)。

針對第4條要求，我們只需要在邊界路由器R3上配置一個一對多的NAT即可實現(xiàn)。

針對第3條要求，我們需要在R3上配置兩條一對一的NAT，使用兩個漂浮公有地址對應(yīng)到兩個內(nèi)網(wǎng)的服務(wù)器地址；并在外網(wǎng)的DNS服務(wù)器上添加兩條域名解析后，才能實現(xiàn)外網(wǎng)PC通過不同的域名來訪問兩臺內(nèi)網(wǎng)服務(wù)器。

針對第6條要求，我們需要先在R1上開啟telnet功能，然后在R3上配置端口映射，讓物理接口的公有地址中特定的端口來進行特定的telnet服務(wù)，不再為內(nèi)網(wǎng)其他設(shè)備服務(wù)。配置完端口映射后可以在R4上進行telnet測試。

針對第7條妖氣，在配置靜態(tài)路由時，未知的環(huán)回網(wǎng)段可以將匯總后的IP地址作為目標網(wǎng)段來配置靜態(tài)路由，更加方便配置；在有匯總的路由器上寫一條匯總后的地址指向該路由器的空接口可以用于避免環(huán)路的產(chǎn)生。

實驗配置：

R1:

[r1]display current-configuration 
[V200R003C00]
#
 sysname r1
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
 drop illegal-mac alarm
#
 set cpu-usage threshold 80 restore 75
#
dhcp enable
#
ip pool 1
 gateway-list 192.168.1.33 
 network 192.168.1.32 mask 255.255.255.224 
 dns-list 8.8.8.8 
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 192.168.1.1 255.255.255.252 
#
interface GigabitEthernet0/0/1
 ip address 192.168.1.33 255.255.255.224 
 dhcp select global
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.1.2
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
 authentication-mode password
 user privilege level 15
 set authentication password cipher %$%$3Tl1V/6=9Z{'Mz({*k}Y,.TJ3SXj+)M76E6UY17~
m|0L.TM,%$%$
user-interface vty 16 20
#
wlan ac
#
return
[r1]

R2:

[r2]display current-configuration 
[V200R003C00]
#
 sysname r2
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
 drop illegal-mac alarm
#
 set cpu-usage threshold 80 restore 75
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 192.168.1.2 255.255.255.252 
#
interface GigabitEthernet0/0/1
 ip address 192.168.1.9 255.255.255.252 
#
interface GigabitEthernet0/0/2
 ip address 192.168.1.5 255.255.255.252 
#
interface NULL0
#
interface LoopBack0
 ip address 192.168.1.65 255.255.255.240 
#
interface LoopBack1
 ip address 192.169.1.81 255.255.255.240 
#
ip route-static 0.0.0.0 0.0.0.0 192.168.1.6
ip route-static 0.0.0.0 0.0.0.0 192.168.1.10 preference 61
ip route-static 192.168.1.32 255.255.255.224 192.168.1.1
ip route-static 192.168.1.64 255.255.255.224 NULL0
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return
[r2]

R3:

[r3]display current-configuration 
[V200R003C00]
#
 sysname r3
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
 drop illegal-mac alarm
#
 set cpu-usage threshold 80 restore 75
#
acl number 2001  
 rule 5 permit source 192.168.1.0 0.0.0.255 
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 192.168.1.10 255.255.255.252 
#
interface GigabitEthernet0/0/1
 ip address 192.168.1.6 255.255.255.252 
#
interface GigabitEthernet0/0/2
 ip address 12.1.1.1 255.255.255.0 
 traffic-filter inbound acl 2000
 nat static global 12.1.1.3 inside 192.168.1.34 netmask 255.255.255.255
 nat static global 12.1.1.4 inside 192.168.1.35 netmask 255.255.255.255
 nat server protocol tcp global current-interface telnet inside 192.168.1.1 teln
et
 nat outbound 2001
#
interface NULL0
#
interface LoopBack0
 ip address 192.168.1.97 255.255.255.240 
#
interface LoopBack1
 ip address 192.168.1.113 255.255.255.240 
#
ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
ip route-static 192.168.1.0 255.255.255.252 192.168.1.5
ip route-static 192.168.1.0 255.255.255.252 192.168.1.9 preference 61
ip route-static 192.168.1.32 255.255.255.224 192.168.1.5
ip route-static 192.168.1.32 255.255.255.224 192.168.1.9 preference 61
ip route-static 192.168.1.64 255.255.255.224 192.168.1.5
ip route-static 192.168.1.64 255.255.255.224 192.168.1.9 preference 61
ip route-static 192.168.1.96 255.255.255.224 NULL0
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return
[r3]

R4:

[r4]display current-configuration 
[V200R003C00]
#
 sysname r4
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
 drop illegal-mac alarm
#
 set cpu-usage threshold 80 restore 75
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 12.1.1.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 1.1.1.1 255.255.255.0 
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return
[r4]

Server 1:

在這里插入圖片描述