華爲網絡設備基本配置

1、華爲網絡設備的鏈路聚合的相關概念總攬：

一、鏈路聚合是什麼？
二、成員接口有什麼限制？
三、鏈路聚合的工做模式有哪些？
四、活動接口與非活動接口的概念。
五、主動端與被動端的概念。
六、負載均衡模式有哪幾種？

一、鏈路聚合是什麼？
.
鏈路聚合（link aggregation）是將多個物理接口當作一個邏輯接口，以增長帶寬和提供線路冗餘。鏈路聚合的帶寬理論上至關於所包含的物理接口帶寬總和，很是適用於企業核心網絡中，同時參與捆綁的某個成員接口或鏈路損壞，不影響聚合鏈路的正常工做，提供了冗餘性。華爲設備支持的鏈路聚合協議是LACP（link aggregation control protocol）。在華爲設備中，由多個物理接口捆綁成邏輯接口，該接口被稱爲Eth-Trunk接口。
.
二、成員接口有什麼限制？

將成員接口加入Eth-Trunk時，須要注意如下問題：

• 每一個Eth-Trunk接口下最多能夠包含8個成員接口；
• 成員接口不能單獨配置任何功能和靜態MAC地址；
• 成員接口加入Eth-Trunk時，必須爲默認的hybrid類型接口（該類型是華爲設備默認的接口類型）；
• Eth-Trunk接口不能嵌套，即成員接口不能是Eth-Trunk；
• 一個以太網接口只能加入一個Eth-Trunk接口，若是須要加入其它Eth-Trunk接口，必須先退出原來的Eth-Trunk接口；
• 一個Eth-Trunk接口中的成員接口必須是同一類型，即FE口和GE口不能加入同一個Eth-Trunk接口。
• 能夠將不一樣接口板上的以太網接口加入同一個Eth-Trunk。
• 若是本地設備使用了Eth-Trunk，與成員接口直連的對端接口也必須捆綁爲Eth-Trunk接口，這樣兩端才能正常通訊。
• 當成員接口的速率不一致時，實際使用中速率小的接口可能會出現擁塞，致使丟包。
• 當成員接口加入Eth-Trunk後，學習MAC地址時是按照Eth-Trunk來學習的，而不是按照成員接口來學習的。

三、鏈路聚合的工做模式有哪些？
.

華爲網絡設備支持的鏈路聚合模式有手工負載分擔模式和靜態LACP模式：

• 手工負載分擔模式：該模式中沒有LACP協議報文的參與，全部的配置均由手工完成，如加入多個成員接口。該模式下全部接口均處於轉發狀態，實現鏈路的負載分擔。它支持的負載分擔方式寶庫目的MAC、源MAC、源MAC異或目的MAC、源IP、目的IP、源IP異或目的IP。手工負載模式一般應用於對端設備不支持LSCP協議的狀況下。
• 靜態LACP模式：該模式是線路兩端利用LACP協議進行協商，從而肯定活動接口和非活動接口的鏈路聚合方式，在該模式下，建立Eth-Trunk、加入Eth-Trunk成員接口須要手工完成，而肯定活動接口和非活動接口由LACP協議進行協商。靜態LACP模式也稱爲M : N模式。這種方式能夠實現鏈路負載分擔和冗餘備份的雙重功能。在鏈路聚合組中M條鏈路處於活動狀態，轉發數據並負載分擔，而另外N條鏈路 處於非活動狀態，不轉發數據，當M條鏈路中有鏈路出現故障時，系統會自動從N條備份鏈路中選擇優先級最高的接替故障鏈路，並開始轉發數據。

靜態LACP模式與手工負載分擔模式的主要區別爲靜態LACP模式能夠有備份鏈路，而手工負載分擔模式中全部成員接口均處於轉發狀態，分擔負載流量，除非線路故障。
.
四、活動接口與非活動接口的概念。
.
處於活動狀態並負責轉發數據的接口稱爲活動接口。相反，處於非活動狀態並禁止轉發數據的接口被稱爲非活動接口en。活動接口和非活動接口通常不須要人爲干預，在靜態LACP模式中能夠配置活動接口數量的上限以及下限。
.

根據配置的工做模式不一樣，角色分工以下：

• 手工負載分擔模式：正常狀況下，全部接口都屬於活動接口，除非這些接口出現鏈路故障。
• 靜態LACP模式：M條鏈路對應的接口爲活動接口並負責轉發數據，N條鏈路對應的接口爲非活動接口並負責冗餘備份。

五、主動端與被動端的概念。
.
在靜態LACP模式下，聚合組兩端的設備中，須要選擇一端爲主動端，而另外一端爲被動端。一般狀況下，LACP優先級較高的一端爲主動端，LACP優先級較低的一端爲被動端。若是優先級同樣，那麼一般選擇MAC地址小的一段爲主動端。（優先級的數值越小，優先級越高）。
.
區分主動端與被動端的目的是保證兩端設備最終確認的活動接口一致，不然兩端都按照本端各自的接口優先級來選擇活動接口，最終兩端所肯定的活動接口頗有可能不一致，聚合鏈路也就沒法創建。以下所示：

SwitchA選擇上面的兩個接口爲活動接口，而SwitchB選擇下面的兩個接口爲活動接口，由於SwitchA的優先級比較高，因此最終的活動接口兩端都以SwitchA爲準，所以應首先肯定主動端，被動端按照主動端側的接口優先級來選擇活動接口。
.
六、負載均衡模式有哪幾種？
.
鏈路聚合的主要做用是提升帶寬以及增長冗餘，而廣泛的作法就是在多條物理鏈路上實行負載分擔。

經常使用的負載分擔模式包括：

• dst-ip（目的IP地址）模式：從目的IP地址、出端口的TCP/UDP端口號中分別選擇指定位的3bit數值進行異或運算，根據運算結果選擇Eth-Trunk表中對應的出接口。
• dst-mac（目的MAC地址）模式：從目的MAC地址、VLAN ID、以太網類型及入端口信息中分別指定位的3bit數值進行異或運算，根據運算結果選擇Eth-Trunk表中對應的出接口。
• src-ip（源IP地址）模式：從源IP地址、入端口的TCP/UDP端口號中分別指定位的3bit數值進行異或運算，根據運算結果選擇Eth-Trunk表中對應的出接口。
• src-mac（源MAC地址）模式：從源MAC地址、VLAN ID、以太網類型及入端口信息中分別指定位的3bit數值進行異或運算，根據運算結果選擇Eth-Trunk表中對應的出接口。
• src-dst-ip（源IP地址與目的IP地址的異或）模式：對目的IP地址、源IP地址兩種負載分擔模式的運算結果進行異或運算，根據運算結果選擇Eth-Trunk表中對應的出接口。
• src-dst-mac（源MAC地址與目的MAC地址的異或）模式：對目的MAC地址、源MAC地址、VLAN ID、以太網類型及入端口信息中分別選擇指定位的3bit數值進行異或運算，根據運算結果選擇Eth-Trunk表中對應的出接口。

2、華爲網絡設備配置命令：
這裏從一個大型的網絡拓撲圖的配置提及，將華爲網絡設備的基礎配置命令寫下來，能夠下載我提供的拓撲圖：https://pan.baidu.com/s/1GHXSRZv0Ha730osgI03qeQ&shfl=sharepset
提取碼：38t2 ，該拓撲圖不以實用性爲目的，而是以涉及更多的配置命令及技術爲目的。網絡拓撲圖以下：

該拓撲圖涉及的命令以下：

• 鏈路聚合
• vlan劃分
• 單臂路由及三層交換
• OSPF及RIP的動態路由配置
• 路由重分發
• PAT及靜態NAT的配置
• 基本ACL及高級ACL配置

網絡拓撲分析：

一、OSPF和RIP部分：
.
R2爲公司的網關路由器，R1模擬公網路由器，因此不可配置去往公司內部的路由。公司內網使用了兩種動態路由協議，RIP和OSPF，R2的GE0/0/0、GE0/0/1兩個接口和SW一、SW2使用了OSPF動態路由，屬於area0。R2的GE0/0/2以及R3和R4 都是用了動態路由協議RIP。因此須要在R2路由器上進行路由重分發。從而使不一樣的路由協議相互學習。R2做爲網關路由器，須要有一條默認路由指向公網，而且須要將這條默認路由重分發到OSPF及RIP協議裏。
.
二、鏈路聚合：
.
SW1和SW2使用鏈路聚合將兩條物理鏈路聚合成一條邏輯鏈路，用於實現負載分擔和備份。設置SW1爲LACP主動端，邏輯鏈路基於MAC方式進行負載分擔。

三、NAT及ACL：
.
模擬內網中192.168.10.0/24和192.168.11.0/24這兩個網段不能夠鏈接公網，因此須要設置ACL。Windows server 2016搭建一個web服務器，使用靜態NAT發佈到公網，使win 7 客戶端能夠訪問到web服務器。
.
四、公司內部全部的網段都是192.168.X.0/24的網段。
.
第一部分的配置：
.
第一部分首先從R2路由器的GE0/0/0和GE0/0/1開始往下配置，依次配置路由器接口IP地址、OSPF、三層交換機的接口、vlan、鏈路聚的配置、二層交換機的接口配置以及劃分vlan，最終測試最下面的PC是否能夠ping通路由器的GE0/0/0接口（須要在配置完OSPF後纔可ping通）。
.
R2路由器配置以下：

<R2>un ter mo           <!--關閉日誌提示消息（很煩人的一個東西）-->
<R2>sys                     <!--進入系統視圖-->
[R2]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2               <!--配置一個指向公網的默認路由-->
[R2]int g0/0/0                   <!--進入該接口-->
[R2-GigabitEthernet0/0/0]ip add 192.168.7.2 24 <!--配置接口IP，默認接口處於開啓狀態，因此不用開啓接口-->
[R2-GigabitEthernet0/0/0]int g0/0/1             <!--進入該接口-->
[R2-GigabitEthernet0/0/1]ip add 192.168.8.2 24               <!--配置接口IP-->
[R2-GigabitEthernet0/0/1]ospf 10                          <!--進入OSPF進程，指定進程號爲10-->
[R2-ospf-10]area 0                               <!--進入area0 區域-->
[R2-ospf-10-area-0.0.0.0]net 192.168.7.0 0.0.0.255           <!--宣告相應網段-->
[R2-ospf-10-area-0.0.0.0]net 192.168.8.0 0.0.0.255            <!--宣告相應網段-->
[R2-ospf-10-area-0.0.0.0]quit              <!--退出area 0區域-->
[R2-ospf-10]default-route-advertise         <!--注入一條默認路由（前提是該路由器有默認）-->

SW1配置以下：

<SW1>un ter mo              <!--關閉日誌提示消息-->
<SW1>sys                      <!--進入系統視圖-->
[SW1]vlan ba 2 to 8               <!--建立vlan2到vlan8-->
[SW1]in vlan 7                        <!--進入vlan7-->
[SW1-Vlanif7]ip add 192.168.7.1 24             <!--給vlan配置IP地址-->
[SW1-Vlanif7]in vlan 2                           <!--進入vlan2-->
[SW1-Vlanif2]ip add 192.168.2.254 24               <!--給vlan配置IP地址-->
[SW1-Vlanif2]in vlan 3                                <!--進入vlan3-->
[SW1-Vlanif3]ip add 192.168.3.254 24                   <!--給vlan配置IP地址-->
[SW1-Vlanif3]in vlan 4                         <!--進入vlan4-->
[SW1-Vlanif4]ip add 192.168.4.254 24                    <!--給vlan配置IP地址-->
[SW1-Vlanif4]in g0/0/1                              <!--進入接口g0/0/1-->
[SW1-GigabitEthernet0/0/1]port link-type access             <!--更改接口類型爲access-->
[SW1-GigabitEthernet0/0/1]port default vlan 7              <!--將接口添加到vlan 7-->
<!--由於華爲的三層交換機不能夠直接在物理接口配置IP地址，
因此只能把IP配在vlan，而後將物理接口添加到VLAN中-->
[SW1-GigabitEthernet0/0/1]lacp pri 1000                  <!--更改該交換機的LACP優先級-->
[SW1]int Eth-Trunk 12               <!--建立鏈路聚合邏輯接口，指定ID爲12-->
[SW1-Eth-Trunk12]mode lacp-static                <!--配置靜態LACP模式-->
[SW1-Eth-Trunk12]load-balance dst-mac          <!--配置負載均衡模式爲目標MAC地址-->
[SW1-Eth-Trunk12]trunkport g0/0/23                     <!--添加成員接口g0/0/23-->
[SW1-Eth-Trunk12]trunkport g0/0/24                          <!--添加成員接口g0/0/24-->
[SW1-Eth-Trunk12]port link-type trunk                    <!--配置鏈路聚合模式爲trunk-->
[SW1-Eth-Trunk12]port trunk allow-pass vlan all           
<!--容許全部vlan經過，華爲設備默認不容許除vlan1之外的因此vlan經過，因此要手動容許。-->
[SW1-Eth-Trunk12]in g0/0/2                        <!--進入g0/0/2接口-->
[SW1-GigabitEthernet0/0/2]port link-type trunk               <!--配置接口類型爲trunk-->
[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan all           <!--容許全部vlan經過-->
[SW1-GigabitEthernet0/0/2]in g0/0/3           <!--進入g0/0/3接口-->
[SW1-GigabitEthernet0/0/3]port link-type trunk            <!--配置接口類型爲trunk-->
[SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan all            <!--容許全部vlan經過-->
[SW1]ospf 10                       <!--配置OSPF-->
[SW1-ospf-10]area 0                  <!--進入area 0-->
[SW1-ospf-10-area-0.0.0.0]net 192.168.2.0 0.0.0.255         <!--將全部直連網段聲明-->
[SW1-ospf-10-area-0.0.0.0]net 192.168.3.0 0.0.0.255
[SW1-ospf-10-area-0.0.0.0]net 192.168.4.0 0.0.0.255
[SW1-ospf-10-area-0.0.0.0]net 192.168.7.0 0.0.0.255

SW2配置以下：

<SW2>un ter mo                         <!--關閉日誌消息-->
<SW2>sys                      <!--進入系統視圖-->
[SW2]vlan ba 2 to 8            <!--建立vlan-->
[SW2]in vlan 8                 <!--進入vlan8-->
[SW2-Vlanif8]ip add 192.168.8.1 24                 <!--給vlan配置IP地址-->
[SW2-Vlanif8]in vlan 6              <!--進入vlan6-->
[SW2-Vlanif6]ip add 192.168.6.254 24                  <!--給vlan配置IP地址-->
[SW2-Vlanif6]in vlan 5               <!--進入vlan5-->
[SW2-Vlanif5]ip add 192.168.5.254 24                  <!--給vlan配置IP地址-->
[SW2-Vlanif5]in g0/0/1                 <!--進入接口g0/0/1-->
[SW2-GigabitEthernet0/0/1]port link-type access           <!--將接口類型改成access-->
[SW2-GigabitEthernet0/0/1]port default vlan 8             <!--將接口添加到vlan8-->
[SW2]int Eth-Trunk 12             <!--建立聚合鏈路，以便與SW1對應-->
[SW2-Eth-Trunk12]mode lacp-static               <!--配置靜態LACP模式-->
[SW2-Eth-Trunk12]trunkport g0/0/23               <!--添加成員接口g0/0/23-->
[SW2-Eth-Trunk12]trunkport g0/0/24               <!--添加成員接口g0/0/24-->
[SW2-Eth-Trunk12]port link-type trunk                <!--將接口類型改成trunk-->
[SW2-Eth-Trunk12]port trunk allow-pass vlan all        <!--容許全部vlan經過-->
[SW2-Eth-Trunk12]in g0/0/2                  <!--進入g0/0/2接口-->
[SW2-GigabitEthernet0/0/2]port link-type trunk           <!--配置接口類型爲trunk-->
[SW2-GigabitEthernet0/0/2]port trunk allow-pass vlan all           <!--容許全部vlan經過-->
[SW2-GigabitEthernet0/0/2]in g0/0/3                     <!--進入g0/0/3接口-->
[SW2-GigabitEthernet0/0/3]port link-type trunk              <!--配置接口類型爲trunk-->
[SW2-GigabitEthernet0/0/3]port trunk allow-pass vlan all          <!--容許全部vlan經過-->
[SW2]ospf 10                           <!--配置OSPF-->
[SW2-ospf-10]area 0                 <!--進入area 0-->
[SW2-ospf-10-area-0.0.0.0]net 192.168.8.0 0.0.0.255                  <!--將全部直連網段聲明-->
[SW2-ospf-10-area-0.0.0.0]net 192.168.5.0 0.0.0.255
[SW2-ospf-10-area-0.0.0.0]net 192.168.6.0 0.0.0.255

SW4配置以下：

SW4>undo ter mo                <!--關閉日誌消息-->
<SW4>sys                 <!--進入系統視圖-->
[SW4]vlan ba 2 to 8             <!--建立vlan，其實這裏只建立vlan2和vlan3就能夠了-->
[SW4]in g0/0/1                   <!--進入該接口-->
[SW4-GigabitEthernet0/0/1]port link-type trunk           <!--配置接口類型爲trunk-->
[SW4-GigabitEthernet0/0/1]port trunk allow-pass vlan all          <!--容許全部vlan經過-->
[SW4-GigabitEthernet0/0/1]in g0/0/3          <!--進入該接口-->
[SW4-GigabitEthernet0/0/3]port link-type access                <!--將接口類型改成access-->
[SW4-GigabitEthernet0/0/3]port default vlan 2                 <!--將接口添加到vlan2-->
[SW4-GigabitEthernet0/0/3]in g0/0/2                  <!--進入該接口-->
[SW4-GigabitEthernet0/0/2]port link-type access                  <!--將接口類型改成access-->
[SW4-GigabitEthernet0/0/2]port default vlan 3                 <!--將接口添加到vlan3-->

SW5配置以下：

<SW5>undo ter mo                <!--關閉日誌消息-->
<SW5>sys                      <!--進入系統視圖-->
[SW5]vlan 4                  <!--建立vlan4-->
[SW5-vlan4]quit
[SW5]in g0/0/1             <!--進入該接口-->
[SW5-GigabitEthernet0/0/1]port link-type trunk         <!--配置接口類型爲trunk-->
[SW5-GigabitEthernet0/0/1]port trunk allow-pass vlan all             <!--容許全部vlan經過-->
[SW5-GigabitEthernet0/0/1]in g0/0/2               <!--進入該接口--> 
[SW5-GigabitEthernet0/0/2]port link-type access         <!--將接口類型改成access-->
[SW5-GigabitEthernet0/0/2]port default vlan 4                 <!--將接口添加到vlan4-->
因爲SW六、SW7和SW5的配置相比起來沒有太大的差異，都是改一下接口類型，建立相應的vlan，將接口添加到vlan中，trunk接口容許全部vlan的信息經過，因此，SW6和SW7就不寫註釋了，相應的註釋能夠參考SW5的配置。

SW6配置以下：

<SW6>undo ter mo
<SW6>sys
[SW6]vlan 5
[SW6-vlan5]in g0/0/1
[SW6-GigabitEthernet0/0/1]port link-type trunk 
[SW6-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[SW6-GigabitEthernet0/0/1]in g0/0/2
[SW6-GigabitEthernet0/0/2]port link-type access 
[SW6-GigabitEthernet0/0/2]port default vlan 5

SW7配置以下：

<SW7>un ter mo
<SW7>sys
[SW7]vlan 6
[SW7-vlan6]in g0/0/1
[SW7-GigabitEthernet0/0/1]port link-type trunk 
[SW7-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[SW7-GigabitEthernet0/0/1]in g0/0/2
[SW7-GigabitEthernet0/0/2]port link-type access 
[SW7-GigabitEthernet0/0/2]port default vlan 6
通過以上配置，下面的網絡部分已經通了，能夠自行使用PC進行ping測試。

.
第二部分的配置：
.
第二部分開始配置R2路由器的GE0/0/2接口到R4路由器及下面的交換機，首先配置R2路由器的GE0/0/2接口IP並配置RIP，進行OSPF和RIP的路由重分發，配置R3的接口IP及RIP路由，最後配置R4的接口IP、單臂路由及RIP路由。
.
R2路由器配置以下：

[R2]in g0/0/2                    <!--進入該接口--> 
[R2-GigabitEthernet0/0/2]ip add 192.168.12.1 24                 <!--配置接口IP-->
[R2-GigabitEthernet0/0/2]rip                  <!--進入RIP-->
[R2-rip-1]ver 2                     <!--開啓RIP版本2-->
[R2-rip-1]undo summary                     <!--關閉路由自動彙總-->
[R2-rip-1]net 192.168.12.0                    <!--聲明網段信息-->
[R2-rip-1]import-route ospf 10                 <!--充分發OSPF路由信息-->
[R2-rip-1]default-route originate              <!--注入默認路由，前提是本設備有默認路由-->
[R2-rip-1]ospf 10                  <!--進入OSPF-->
[R2-ospf-10]import-route rip 1                      <!--重分發RIP路由信息，默認RIP進程號爲1-->

R3路由器配置以下：

<R3>undo ter mo                        <!--關閉日誌信息-->
<R3>sys              <!--進入系統視圖-->
[R3]in g0/0/0                   <!--進入該接口-->
[R3i-GigabitEthernet0/0/0]ip add 192.168.12.2 24                     <!--配置接口IP-->
[R3-GigabitEthernet0/0/0]in g0/0/1                         <!--進入該接口-->
[R3-GigabitEthernet0/0/1]ip add 192.168.13.1 24                <!--配置接口IP-->
[R3-GigabitEthernet0/0/1]rip             <!--進入RIP-->
[R3-rip-1]ver 2                   <!--指定RIP版本爲2-->
[R3-rip-1]un sum                 <!--關閉路由自動彙總-->
[R3-rip-1]net 192.168.12.0              <!--聲明相應的直連網段-->
[R3i-rip-1]net 192.168.13.0

R4路由器配置以下：

<R4>un ter mo           <!--關閉日誌信息-->
<R4>sys                    <!--進入系統視圖-->
[R4]in g0/0/1              <!--進入該接口-->
[R4-GigabitEthernet0/0/1]ip add 192.168.13.2 24            <!--配置接口IP-->
[R4-GigabitEthernet0/0/1]in g0/0/0.10                   <!--配置單臂路由-->
[R4-GigabitEthernet0/0/0.10]ip add 192.168.10.1 24               <!--配置子接口的IP地址-->
[R4-GigabitEthernet0/0/0.10]dot ter vid 10                    <!--子接口和vlan  10 關聯-->
[R4-GigabitEthernet0/0/0.10]arp bro ena                         <!--子接口打開ARP廣播-->
[R4-GigabitEthernet0/0/0.10]in g0/0/0.11                    <!--進入子接口g0/0/0.11-->
[R4-GigabitEthernet0/0/0.11]ip add 192.168.11.1 24              <!--配置子接口的IP地址-->
[R4-GigabitEthernet0/0/0.11]dot1q ter vid 11                   <!--子接口和vlan  11 關聯-->
[R4-GigabitEthernet0/0/0.11]arp broadcast enable                   <!--子接口打開ARP廣播-->
[R4]rip                            <!--進入RIP-->
[R4-rip-1]ver 2                  <!--指定RIP版本爲2-->
[R4-rip-1]un sum                 <!--關閉路由自動彙總-->
[R4-rip-1]net 192.168.13.0                 <!--聲明直連網段-->
[R4-rip-1]net 192.168.10.0
[R4-rip-1]net 192.168.11.0

SW3交換機配置以下：

<SW3>un ter mo                     <!--關閉日誌信息-->
<SW3>sys                    <!--進入系統視圖-->
[SW3]vlan ba 10 to 11               <!--建立響應vlan-->
[SW3]in g0/0/1                   <!--進入該接口-->                
[SW3-GigabitEthernet0/0/1]port link-type trunk                   <!--將接口模式改成trunk-->
[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 to 11 <!--容許相應vlan經過，「10 to  11」也可換成「all」-->
[SW3-GigabitEthernet0/0/1]in g0/0/2             <!--進入該接口-->
[SW3-GigabitEthernet0/0/2]port link-type access                 <!--將接口模式改成access-->
[SW3-GigabitEthernet0/0/2]port default vlan 10                   <!--將接口添加到vlan 10-->
[SW3-GigabitEthernet0/0/2]in g0/0/3             <!--進入該接口-->
[SW3-GigabitEthernet0/0/3]port link-type access                  <!--將接口模式改成access-->
[SW3-GigabitEthernet0/0/3]port default vlan 11              <!--將接口添加到vlan 11-->

通過上面的配置，下面這些網絡就所有搞定了，能夠自行使用PC機進行ping測試。
.

第三部分的配置：
如今就須要配置Internet部分了，從R2路由器的GE3/0/0接口開始配置，首先配置該接口的IP地址，而後在配置Internet路由器R1的相應接口IP地址，注意，Internet路由器R1不可配置路由表，但依然要求全部內網能夠ping通win 7客戶端，由於在實際中，公司內部的私網地址不可能在公網上進行路由，公網上的路由器也不可能配置路由表直接指向公司內部，這就須要用到了NAT。爲了引出ACL的配置方法，就指定PC5和PC6不能夠和公網進行通訊，剩下的均可以。
.
R2路由器配置以下：

[R2]in g3/0/0                   <!--進入該接口-->
[R2-GigabitEthernet3/0/0]ip add 200.0.0.1 24            <!--配置接口IP-->
[R2-GigabitEthernet3/0/0]quit                      <!--退出該接口-->
[R2]nat address-group 1 200.0.0.100 200.0.0.100                      <!--配置NAT組-->
[R2]acl 2000                      <!--編寫編號爲2000的基本ACL-->
[R2-acl-basic-2000]rule 0 per source any                      <!--容許全部源地址經過-->
[R2-acl-basic-2000]quit                      <!--退出-->
[R2]acl 3000                          <!--編寫編號爲3000的高級ACL-->
[R2-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.1.255 destination 200.0.0.0 0.0.0.255
<!--拒絕某個地址訪問指定地址，「192.168.10.0」是一個彙總後的地址，從反掩碼能夠看出-->
[R2-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.1.254 destination 201.0.0.0 0.0.0.255
<!--拒絕某個地址訪問指定地址-->
[R2-acl-adv-3000]quit                      <!--退出-->
[R2]in g3/0/0                      <!--進入鏈接Internet的接口-->
[R2-GigabitEthernet3/0/0]nat outbound 2000 address-group 1   <!--NAT轉換，2000爲ACL-->
[R2-GigabitEthernet3/0/0]nat server global 200.0.0.200 inside 192.168.2.10 
<!--配置NAT映射，將內網服務器映射爲公網IP「200.0.0.200」-->
[R2-GigabitEthernet3/0/0]quit                      <!--退出-->
[R2]in g0/0/2                      <!--進入該接口-->
[R2-GigabitEthernet0/0/2]traffic-filter inbound acl 3000      <!--應用拒絕的ACL-->

R1路由器配置以下：

<!--給接口配相應的IP地址，耐心快消耗沒了，就不註釋了-->
<R1>sys
[R1]in g0/0/0
[R1-GigabitEthernet0/0/0]ip add 200.0.0.2 24
[R1-GigabitEthernet0/0/0]in g0/0/1
[R1-GigabitEthernet0/0/1]ip add 201.0.0.1 24

如今全部配置均以完成，自行配置win7和win server 2016進行測試吧，注意，win7和內網進行ping測試或訪問Windows server 2016的服務時，須要ping內網映射出來的地址和服務器映射出的公網地址，而不是內網服務器的真實地址。
附帶一些用於排錯的命令：
.

[R2]display current-configuration              <!--查看當前設備的全部配置-->
[R2]display ip routing-table               <!--查看路由表-->
[SW1]display vlan               <!--查看vlan信息-->
[SW1]display ip interface brief                              <!--查看接口狀態-->
[SW1]display current-configuration interface vlan 2 <!--查看某一個接口的當前配置信息-->
[R2]display nat session all               <!--查看NAT轉換條目-->
[R2]display ospf peer brief                              <!--查看OSPF鄰居信息-->
[R2]display acl all                  <!--查看ACL信息-->
[SW1]display eth-trunk 12                            <!--查看鏈路聚合信息-->

該網絡拓撲圖需知道如下幾個知識點：

• 即便某些交換機上並無相應vlan的客戶端，但依然要建立相應vlan，如上面拓撲圖中的SW1和SW2，由於當交換機收到來自某vlan的數據包時，若是他沒有該vlan，那麼將丟棄該數據包，可是若是中間通過了路由器，那就不同了。
• 華爲的trunk通道默認不容許除vlan 1之外的全部vlan通訊，而Cisco設備的trunk默認容許全部vlan通訊，因此在配置華爲設備時，在配置完基本的trunk配置後，必定要加上容許相關vlan經過trunk的命令。
• 在配置鏈路聚合時，LACP的優先級值越小，優先級越高，默認狀況下，系統LACP優先級爲32768。在兩端設備中選擇LACP優先級較小的一端做爲主動端，若是系統LACP優先級相同，則選擇MAC地址較小的一端做爲主動端。
• 在配置OSPF是，若是想要指定router-id，能夠在進入進程模式時追加router-id，如將R2的router-id設置爲1.1.1.1 ：「[R2]ospf 10 router-id 1.1.1.1」。
• 華爲三層交換機的二層接口沒有直接提高爲三層接口的命令，如Cisco中的「no switchport」，因此在和路由器直連時，只能配置vlan虛接口，而後將物理接口添加到vlan中。
• 在華爲中，只能以標準的方式宣告RIP網絡，如網段進行子網劃分後爲「10.10.5.0/24」，在宣告網段時，也只能宣告爲「10.0.0.0」，可是須要注意，若是網絡中有通過子網劃分的網絡，那麼必定要使用RIP的版本2（默認爲1），而且關閉自動彙總。
• 華爲的NAT轉換直接配置在外部接口模式下，須要轉換的內部流量須要經過ACL來定義，而轉換後的內部全局地址經過配置NAT組來實現。
• 華爲的ACL與Cisco基本類似，華爲的ACL分爲基本和高級兩種，相似於Cisco的標準和擴展。其中基本的編號爲2000~2999，高級的編號爲3000~3999，rule命令字後面能夠加編號，也能夠省略，默認每一個rule之間相隔5個數，由於ACL的規則是匹配即停，因此這樣使爲了方便之後更改rule時，能夠插入到某個rule以前。