一、基本概念

要对设备进行配置，首先需要访问设备，而通常可以使用以下及种方式访问设备，但如果是第一次设置就必须采用下面的第一种方式：通过设备的Console（控制台）端口。

当使用这种方式时，我们通常是采用“运行了终端仿真软件的微型计算机”连接，而最简单易得的终端仿真软件就是Windows操作系统中自带的“超级终端”。设备自带的Console连接线，一端是连接在设备的Console口；而另一端则连接在PC的COM口上。因此要连接时，需将端口属性的配置为以下参数，在Windows超级终端中，串口属性对话框设置如下：

二、网络设备常规配置

通常有两种不同的配置文件，如下所示。

运行配置：当前的活动配置，表示为current-configuration；

启动配置：备份配置，表示为saved-configuration。

我们在可以通过如下命令把内存中的当前配置保存到启动配置中，以便在设备重新启动时运行。直接使用save命令就可以保存到缺省的存储器中成为启动配置文件。

查看命令 display

<HUAWEI>display current-configuration           //显示当前配置

基本命令

<HUAWEI>system-view                     //进入系统视图

[HUAWEI]sysname R1                      //设备命名为R1

[R1]interface gigabitethernet 0/0/1              //进入端口视图（设备编号是按插槽、卡、端口的顺序来编号的）

[R1- Gigabitethernet 0/0/1]quit                    //退出到系统视图

三、GVRP、VLAN、STP、链路聚合的配置请自行参考讲义。

【视频回看地址】

2019希赛网-网络工程师网络课堂：

https://www.educity.cn/zhibo/v349360.html

四、路由器DHCP的配置请自行参考讲义。

【视频回看地址】

2019希赛网-网络工程师网络课堂：

https://www.educity.cn/zhibo/v349360.html

五、静态路由、默认路由

那么路由器表是如何形成的呢？（设备的自动发现、静态路由、动态路由）。

静态路由是由网络规划者根据网络拓扑，使用命令在路由器上配置的路由信息，这些静态路由信息指导报文发送，静态路由方式也不需要路由器进行计算，但是它完全依赖于网络规划者，当网络规模较大或网络拓扑经常发生改变时，网络管理员需要做的工作将会非常复杂并且容易产生错误。

华为路由器配置静态路由的话，首先需要进入系统视图，然后执行命令ip route-static ip-address mask nexthop-address。

默认路由也叫做缺省路由，就是在没有找到匹配的路由表项时候才使用的路由。在路由表中，默认路由以到网络0.0.0.0 0.0.0.0的路由形式出现，0.0.0.0作为目的网络号，后面的0.0.0.0作为子网掩码。

六、动态路由

在一个AS内部传递更新的IGP路由协议有RIP，EIGRP，OSPF，IS-IS，可以在AS之间传递更新的路由协议目前只有BGP4。

一条路由比其他的路由拥有更高优先级的概念叫做管理距离AD。主要是比较不同路由协议有多条路径到达目的网络的参数，AD值越小，就表示这条路由可信度级别就越高。

华为的：

直连路由：0； OSPF：10、静态路由：60；RIP：100。

RIP协议的特点：

（1）只和相邻路由器交换信息。

（2）交换的信息是本路由器知道的全部信息，也就是自己的路由表。具体的内容就是：我到本自治系统中所有网络的最短距离，已经到每个网络应经过的下一跳路由器。

（3）每隔30秒发整张路由表的副表给邻居路由器。

RIP协议存在的一个问题就是路由环路问题。解决办法有：

最大度量值：RIP协议设置最大度量值为16跳。

水平分隔：从一个方向学来的路由信息，不能再放入发回那个方向的路由更新包，并又发回那个方向。

路由中毒：可以通知自己的邻居路由器该路由已经失效。

反向下毒：保证所有的邻居被下毒，会向毒源的方向反向下毒。

保持时间：准备对别人下毒之前，被别人抢先一步发送过来更新包。保持时间就是路由器学习到某个网段出现故障时，使得自己路由表里关于该网段的路由变成DOWN之后，还要保持一段时间，防止被别人更新。

触发更新：等30秒太长，要求发现故障立即通知邻居。

注意：RIPv1和v2版本的区别，RIPv1是有类别路由协议，它只支持以广播方式发布协议报文。RIPv1的协议报文无法携带掩码信息，它只能识别A、B、C类这样的标准分类网段的路由，RIPv2是一种无类别路由协议。使用224.0.0.9的组播地址。支持MD5认证。

OSPF协议的工作流程：

（1）寻找邻居： OSPF路由器周期性（默认10秒）的从其启动OSPF协议的每一个接口以组播地址224.0.0.5发送HELLO包，以寻找邻居。为了跟踪和识别每台邻居路由器，OSPF协议定义了Router ID。这个ID可以是路由器所有物理接口上配置的最大的IP地址。但是物理接口由于线路等原因可能会从UP状态变成DOWN状态。为了稳定起见，我们可以在运行OSPF路由器上配置回环接口Loopback，loopback接口是一种纯软件性质的虚拟接口。loopback接口创建后物理层状态和链路层协议永远处于UP状态。这个接口的地址会优先于物理接口的地址成为路由器的标识，这个回环接口是逻辑接口，他不会变成DOWN状态。

另外，可以通过router-id命令进行配置，配置的Router ID可以不是设备上的地址。

（2）建立邻接关系：邻接关系可以想象成一条点到点的虚链路，是在一些邻居路由器之间构成的。只有建立了可靠邻接关系的路由器才相互传递链路状态信息。

在广播型结构中需要选举DR和BDR，网络中的所有路由器将与指定路由器DR和备份指定路由器BDR同时形成邻接关系，DR和BDR的选举过程：首先路由器会相互比较他们的优先级，优先级高的会成为DR，第二高的会成为BDR，如果一个路由器的优先级被设置为0，表示不具备选举资格，所有启动OSPF协议的路由器会向组播地址224.0.0.5发送HELLO数据包。而当其他路由器需要向DR和BDR路由器发送链路状态更新信息时，使用的地址是224.0.0.6

（3）链路状态信息传递：OSPF路由器将建立描述网络链路状况的LSA（链路状态公告），建立邻接关系的OSPF路由器之间将交互LSA，最终形成包含网络完整链路状态信息的LSDB（链路状态数据库）。

（4）计算路由：获得了完整的链路状态数据库LSDB后，OSPF区域中的每个路由器将会对该区域的网络结构有相同的认识，随后各路由器将根据LSDB的信息用SPF算法独立计算出路由。

评估一台路由器到另外一台路由器的开销COST。OSPF协议是根据路由器的每一个接口指定的度量值来决定最短路径，这里的度量值就是接口指定的开销。一条路由的开销就是沿着到达目的网络路径上所有路由器的出接口的开销总和。

COST值和接口带宽密切相关。路由器的接口开销是根据公式100/带宽（Mbps）计算得到的。这个是默认的，可以修改这个基本值。计算完毕后，路由器会把路由加入到OSPF路由表中。

为了使OSPF能用于规模很大的网络，OSPF将一个自治系统再划分为若干个更小的范围，叫做区域。划分区域的好处，就是利用洪泛法交换链路状态信息的范围限定在一个区域而不是整个的自治系统，减少了网络的通信量。在上层的区域叫做主干区域。主干区域的标识符规定为0.0.0.0。其作用是连通其他在下层的区域。

所以划分区域后，OSPF自治系统内的通信划分为3种类型：

（1）区域内通信：在同一个区域内的路由器之间的通信。

（2）区域间通信：不同区域的路由器之间的通信。

（3）区域外部通信：OSPF域内路由器和另外一个自治系统内的路由器之间的通信。

BGP对网络拓扑结构没有限制，其特点包括：

（1）路径矢量协议：BGP实现自治系统间通信，传播网络的可达信息。BGP用的是路径矢量协议，其路由信息携带了所经过的全部AS路径列表。接收路由信息的BGP路由器就可以很明确的知道此路由信息是否源于自己的AS。如果是来源于自己的AS，那么BGP路由就会丢弃此条路由，避免产生环路。

（2）可靠的路由更新机制：BGP路由信息的传输采用了可靠地TCP协议，用的是179端口。

（3）增量更新：在邻居关系建立后，BGP路由器会将自己的全部路由信息通告给邻居。此后，如果路由表有变化，那么只把增量部分发给邻居，就可以大大减少BGP传播路由所占的带宽，有利于在因特网上传播大量的路由信息，降低路由器CPU和内存资源的损耗。

（4）周期性的Keepalive：维持邻居关系的稳定性。

（5）更强大的BGP属性：BGP通过比较路由携带的属性，来完成路由选择、环路避免等工作。

（6）EBGP和IBGP。

（7）BGP支持无类型编制（CIDR）及VLSM方式。通告的所有网络都以网络前缀加子网掩码的方式表示。

（8）路由聚集。BGP允许发送方把路由信息聚集在一起，用一个条目来表示多个相关的目的网络，以节约网络带宽。

（9）BGP还允许接收方对报文进行鉴别和认证，以验证发送方的身份。

【视频回看地址】

2019希赛网-网络工程师网络课堂：

https://www.educity.cn/zhibo/v349360.html

七、三层交换机配置

三层交换机的路由模块上定义与VLAN数量相当的逻辑接口，并让这些接口和VLAN对应，为这些接口分配IP地址就可以了。例如：

[Quidway]interface Vlanif 10

[Quidway-Vlanif2]ip address 192.168.0.1 255.255.255.0

【视频回看地址】

2019希赛网-网络工程师网络课堂：

https://www.educity.cn/zhibo/v349360.html

八、ACL和NAT配置

访问控制列表用来限制使用者或设备，达到控制网络流量，解决拥塞，提高安全性等。在IP网络中，可以使用的访问列表一般有基础访问列表（华为ACL的编号为为2000-2999）、高级访问列表（ACL编号是3000-3999）两种。

基础访问列表：

acl [number] acl-number（2000-2999）[match-order] {auto | config}

rule [rule-id] permit | deny source IP地址 反向子网掩码

高级访问列表：

acl [number] acl-number（3000-3999） [match-order] {auto | config}

rule [rule-id] permit | deny  {protocol} source 源IP地址 反掩码 destination 目的IP地址 反掩码 destination-port eq 端口号

高级访问控制列表应该尽量放置在接近数据流的源的地方，基础的访问控制列表应该尽量放置在接近数据流的目的地方。

基于时间的访问列表是在原来基础访问列表和高级访问列表中加入有效的时间范围来更合理有效地控制网络的。然后在原来的各种访问列表的基础上应用它即可。

注意：有些华为S系列交换机的设备配置ACL不能直接在接口下配置ACL来应用。那么就需要先配ACL，然后配流分类（traffic classifier tc1），将ACL和流分类绑定，再配流行为（traffic behavior tb1），接着配置流策略（traffic policy tp1），最后把策略应用到接口下，让ACL生效。

另外也需要注意在防火墙中应用ACL的配置。

NAT转换配置参考讲义。

【视频回看地址】

2019希赛网-网络工程师网络课堂：

https://www.educity.cn/zhibo/v349360.html

九、IPSEC VPN

IPSec协议框架：

1）认证头协议AH不能加密，只对数据报进行验证、保证报文的完整性。AH的缺陷就是在于不能对数据加密，第二就是不能穿越NAT网络，AH模式无法与NAT一起运行。

2）IPsec封装安全负载（ESP）：封装安全有效载荷协议ESP：具有加密性、既可以保证数据包的机密性，验证又保证了数据包在传输过程中的完整性（ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5或SHA1来实现数据完整性。）

3）密钥管理协议（IKE）：不管是AH还是ESP，对IP包执行安全保护的时候，最终需要先建立一个IPSEC SA（IPSEC安全联盟），在之前还有一个IKE SA。

IPSec有两种操作模式：传输模式和隧道模式。

传输模式把整个传输层报文段都保护起来。因此只能保证原IP包数据部分的安全性。在使用传输模式的时候，所有加密、解密和协商操作都是在主机系统去完成。

隧道模式是对整个IP数据包提供安全传输机制。是在一个IP数据报的后面和前面都添加一些控制字段，构成IPsec数据报。在隧道模式中，两个安全网关运行IPsec协议，对他们之间要加密的数据达成一致，再运用AH或ESP对数据进行保护。

具体配置流程：

1，配置安全ACL：定义哪些数据流需要获得安全服务，其他数据流不提供安全服务。

2，配置安全提议：安全提议保存IPSEC提供安全服务时准备使用的一组特定参数：包括安全协议、加密、验证算法、工作模式等等，以便IPSEC通信双方协商各种安全参数。IPSEC安全网关必须具有相同的安全提议才可以就安全参数协商一致。

一个安全策略通过引用一个或多个安全提议来确定采用的安全协议、算法和封装形式，在安全策略引用安全提议之前，需要先建立安全提议。

3，配置IKE：IKE默认采用的是预共享密钥方式。配置预共享密钥之前需要先确定IKE交换过程中安全保护的强度，主要包括身份验证方法、加密算法等等。

IKE的配置任务：

（1）配置IKE提议：在安全网关之间执行IKE协商初期，双方首先协商保护IKE协商本身的安全参数，这一协商通过交换IKE提议实现的。IEK提议描述了希望在IKE协商过程中使用的安全参数、包括验证算法、加密算法等，保护IKE交换时的通信。

（2）配置IKE对等体：本端安全网关配置的对端安全网关IP地址一定要和对端相同。

4，配置安全策略：安全策略规定了对什么样的数据流采用了什么样的安全提议。

5，在接口应用安全策略。

十、PPP和DCC配置

PPP协议中提供了一整套方案来解决链路建立、维护、拆除、上层协议协商、认证等问题。具体包含这样几个部分：链路控制协议LCP、网络控制协议NCP、认证协议（PAP和CHAP）。

PPP MP为了增加带宽，还可以把多个PPP链路绑在一起，形成一个捆绑，当做是一个逻辑链路（MP链路）。作用是提高带宽，还可以结合拨号控制中心DCC动态调整带宽，在带宽不足的情况下再自动接通一条链路。实现多条链路的负载均衡、多条链路相互备份等。

配置请直接参考讲义：

十一：IPV6配置

【视频回看地址】

2019希赛网-网络工程师网络课堂：

https://www.educity.cn/zhibo/v349360.html

具体参考讲义的案例。

策略路由是按照数据包的源地址、报文长度、端口号等信息来进行路由。是一种更灵活的路由机制。策略路由是对传统IP路由机制的有效增强。具体参考讲义的案例。