ospf
ospf 1——area 1——network 10.0.1.0 0.0.0.255
开启ospf的nssa
ospf——area 1——nssa
ospf——area 1——nssa no-summary(禁止ARB传输多余的lsa)
查看ospf的链路状态数据库
isis
isis 1——is-level level-2——network-entity 10.0000.0000.0001.00(虚拟的网络实体名)——端口下开启int g0/0/0——isis enable 1
ospf和isis互通重发布
区域边界路由上ospf 1——import-routeos isis 1 cost 1000(isis的lsa开销值可以不指定cost)——isis 1——import-route ospf 1 cost 10
静态路由
ip route-static 10.0.0.1(目标ip或网段) 32(子网掩码) 10.0.2.1(下一条入接口地址)
查看链路开销值
调整链路上的lsa开销值
增加链路开销值
查看路由上所有接口信息
做路由地址前缀然后进行发布策略
ip ip-prefix 123 index 10 permit 10.0.2 32——ospf——filter-policy ip-prefix 123 export static——import-route static
回环地址
ipsecvpn配置
(定义保护流)acl number 3000——rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255(源ip段+反掩码+目标ip段)——(创建IPsec安全提议)ipsec proposal 1——esp authentication-algorithm md5(认证算法)——esp encryption-algorithm aes-128(加密算法)——(创建IKE安全提议)ike proposal 5——encryption-algorithm aes-cbc-128(加密)——authentication-algorithm md5(认证)——dh group14(秘钥交换)——(创建IKE等体)ike peer spub v1——ike-proposal 5(调用安全ike提议)——pre-shared-key cipher huawei(弄一个密码)——remote-address 192.168.10.2(对端入接口ip)——(创建ipsec规则把ipsec提议、acl规则调进去)ipsec policy map1 10 isakmp(”map1“自定义名字)——ike-peer spub——proposal 1——security acl 3000——(端口下启用ipc规则)int g0/0/0——ipsec policy map1
对端路由做同样操作,注意安全提议的加密,认证算法要一致
gre-ipsec-vpn配置
(创建vpn专用tunnel口)int t0/0/0——ip add 12.2.2.1 24(创建虚拟ip)——tunnel-protocol gre(vpn类型)——source 202.138.163.1(隧道源真实ip)——destination 202.138.162.1(隧道目地真实ip)——对应另一个隧道路由器做同样操作,做好之后ping虚拟ip可以通信,然后进行ipsec加密——(创建ipsec认证)ipsec proposal cao(cao随意命名)——esp authentication-algorithm sha1(sha1可以?查看更改类型)——esp encryption-algorithm aes-128(aes-128可以?查看更改类型)——(创建ipsec安全提议)ike proposal 5——authentication-algorithm sha1——encryption-algorithm aes-cbc-128——dh group14——(创建IKE等体)ike peer cao v1——ike-proposal 5——pre-shared-key cipher Huawei——(创建ipsec模板)ipsec profile cao——proposal cao——ike-peer cao——(在隧道tunnel口下开启ipsec加密数据流)int t0/0/0——ipsec profile cao——对应隧道对端路由器做同样的ipsec加密数据流,注意ipsec认证之类两边要一样——最后开启ospf功能让路由之间互相学习路由表(隧道两端路由的ospf公告的网段是虚拟ip网段)
L2tpvpn配置
{在笔记本上做会导致wifi和网卡的默认网关冲突导致连接失败的问题,解决办法连上wifi后随便配置一个静态网址然后不给网关,去另一个连接云的网卡上写上静态ip+下一条的ip网关就可以解决(win7regedit打开注册表,找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters,新建DWORD值32位,名称为ProhibitIpSec,取值为1,修改完成后重启PC。)}
(路由上启用l2tp功能)l2tp enable——(配置IP地址池,用于设备为接入PC分配私网IP地址)ip pool cao(cao随便命名)——gateway-list 192.168.1.1(ip为vpn地址)——network 192.168.1.0 mask 24——(配置认证)——aaa——local-user huawei password cipher huawei123(名字密码自己设置到时候登录用自己配置的)——local-user huawei privilege level 0(仅允许拨号)——local-user huawei service-type ppp(仅允许ppp协议)——(配置虚拟PPP用户的用户名和密码,PPP验证方式和IP地址)——interface Virtual-Template 1(进入l2tp虚拟接口模板1可以自定义)——ppp authentication-mode chap——remote address pool cao——ip address 192.168.1.1 255.255.255.0——(设置一个L2TP组并配置相关属性)l2tp-group 1——undo tunnel authentication(关闭身份校验否则win7系统连接不上vpn)——allow l2tp virtual-template 1(开启l2tp的模板)——客户机vpn拨号的时候类型改为l2tp的认证
dsvpn操作
客户端:int t0/0/0——ip add 10.1.1.1 24(隧道虚拟ip)——tunnel-protocol gre p2mp(配置隧道模式为MGRE)——source g0/0/0(隧道源接口真实ip)——nhrp entry 10.1.1.2 192.168.1.2 register(配置NHRP地址映射表第一个ip服务端隧道ip第二个ip为服务端接口ip)——nhrp shortcut(开启shortcut功能)
服务端:int t0/0/0——ip add 10.1.1.2 24——tunnel-protocol gre p2mp——source g0/0/0——nhrp redirect(开启nhrp redirect功能)——nhrp entry multicast dynamic(动态注册的分支加入NHRP组播成员表)
ntp操作(前提设备之间能互相通信)
主设备:ntp-service refclock-master 2(给一个优先级)——ntp-service authentication enable(开启ntp功能)——ntp-service authentication-keyid 42 authentication-mode md5 hello(做同步的keyid号和协商口令)——ntp-service reliable authentication-keyid 42
副设备:ntp-service authentication enable——ntp-service authentication-keyid 42 authentication-mode md5 hello——ntp-service reliable authentication-keyid 42——ntp-service unicast-server 10.2.2.2 authentication-keyid 42(ip地址为主设备的ip)
vgmp-hrp高可用冗余防火墙
(IP配置好,注意两块云代表了两个防火墙所以连接的真实网卡要不一样,内网网段要跟相对应的云的真实网卡一个网段,外网随便设置网段)
主防火墙:Int g1/0/0——ip add 10.1.1.66 24——int g1/0/1——ip add 10.1.2.88 24——int g1/0/2——ip add 192.168.1.1 24——q——firewall zone trust——add int g1/0/0——q——firewall zone untrust——add int g1/0/1——q——firewall zone dmz(添加vrrp的簇)——add int g1/0/2——q——int g1/0/0——vrrp vrid 1 virtual-ip 10.1.1.111 24 active(活跃的状态虚拟的vrrp地址与左边一个网段)——int g1/0/1——vrrpvrid 2 virtual-ip 10.1.2.222 24 active(活跃的状态虚拟的vrrp地址与右边一个网段)——q——hrp int g1/0/2 remote 192.168.1.2(开启心跳线ip为对端地址)——hrp enable(开启hrp功能)——(当hvp心跳线同步好的时候去主防火墙(M)上做配置这样副防火墙(S)也能同步到M的所有状态)Security-policy——rule name ping(名字随便)——source-zone trust(内部访问外部)——source-zone untrust——action permimt(允许通过)
副防火墙:Int g1/0/0——ip add 10.1.1.77 24——int g1/0/1——ip add 10.1.2.99 24——int g1/0/2——ip add 192.168.1.2 24——q——firewall zone trust——add int g1/0/0——q——firewall zone untrust——add int g1/0/1——q——firewall zone dmz(添加vrrp的簇)——add int g1/0/2——q——int g1/0/0——vrrp vrid 1 virtual-ip 10.1.1.111 24 standby(备份的状态虚拟的vrrp地址与防火墙1的ip一样)——int g1/0/1——vrrpvrid 2 virtual-ip 10.1.2.222 24 standby(备份的状态虚拟的vrrp地址与防火墙1的ip一样)——q——hrp int g1/0/2 remote 192.168.1.1(开启心跳线ip为对端地址)——hrp enable(开启hrp功能)
bfd双向转发检测协议
BFP 双向转发检测机制
全网统一的快速定位故障的检测机制
这种机制与介质无关,协议无关
BFD 基于UDP报文封装 端口号3784
报文周期1000ms
BFD 需要建立连接会话:依靠上层应用建立的关系
@静态建立会话-手动
@动态建立会话-自动
配置思路:
1,建立物理链路连通
2,全局启动BFD功能
3,建立BFD会话连接
—配置本端标识符
—配置远端标识符
4,激活BFD配置
5,将BFD和响应应用结合起来
display bfd session all
===========================================================
AR1
#启用BFD
bfd
quit
#创建本端IP与对端IP的BFD会话
bfd 1 bind peer-ip 192.168.1.253(对端IP) source-ip 192.168.1.252(本地IP)
discriminator local 16 //本地标识符
discriminator remote 17 //对端标识符
commit //激活BFD配置
#配合VRRP使用
interface GigabitEthernet0/0/1
ip address 192.168.1.252 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 200
vrrp vrid 1 track bfd-session 16 //在VRRP里跟踪BFD会话的本地标识符
vrrp vrid 1 authentication-mode md5 12345
#
—————————————————————————————-
AR2
#启用BFD
bfd
quit
#
bfd 1 bind peer-ip 192.168.1.252 source-ip 192.168.1.253
discriminator local 17
discriminator remote 16
commit
#配合VRRP使用
interface GigabitEthernet0/0/1
ip address 192.168.1.253 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 200
vrrp vrid 1 track bfd-session 17
vrrp vrid 1 authentication-mode md5 12345
#
===========================================================
BFD与静态路由结合使用
#启用BFD
bfd
quit
#
bfd 1 bind peer-ip 192.168.1.252 source-ip 192.168.1.253
discriminator local 17
discriminator remote 16
commit
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.1 track bfd-session 1