華爲網絡設備基本配置

本次博文是經過一個大型的實驗拓補進行展開的，使朋友們可以掌握Cisco設備與華爲設備的區別，博文中所涉及的網絡原理與Cisco設備一致，只是命令有所區別而已！

1、華爲設備的知識點

想要配置華爲的網絡設備，那麼如下基礎的知識點是必需要掌握的：

• （1）鏈路聚合概述；
• （2）成員接口；
• （3）鏈路聚合模式；
• （4）活動接口與非活動接口；
• （5）主動端與被動端；
• （6）負載均衡模式；

下面詳細介紹這幾個重要的知識點：

（1）鏈路聚合概述

鏈路聚合（link aggregation）是將多個物理接口當作一個邏輯接口，以增長帶寬和提供線路冗餘。鏈路聚合的帶寬理論上至關於所包含的物理接口帶寬總和，很是適用於企業核心網絡中，同時參與捆綁的某個成員接口或鏈路損壞，不影響聚合鏈路的正常工做，提供了冗餘性。華爲設備支持的鏈路聚合協議是LACP（link aggregation control protocol）。在華爲設備中，由多個物理接口捆綁成邏輯接口，該接口被稱爲Eth-Trunk接口。鏈路聚合相關的標準由802.3ad定義。

（2）成員接口

將成員接口加入Eth-Trunk時，須要注意如下問題：
1）每一個Eth-Trunk接口下最多能夠包含8個成員接口；
2）成員接口不能單獨配置任何功能和靜態MAC地址；
3）成員接口加入Eth-Trunk時，必須爲默認的hybrid類型接口（該類型是華爲設備默認的接口類型）；
4）Eth-Trunk接口不能嵌套，即成員接口不能是Eth-Trunk；
5）一個以太網接口只能加入一個Eth-Trunk接口，若是須要加入其它Eth-Trunk接口，必須先退出原來的Eth-Trunk接口；
6）一個Eth-Trunk接口中的成員接口必須是同一類型，即FE口和GE口不能加入同一個Eth-Trunk接口。
7）能夠將不一樣接口板上的以太網接口加入同一個Eth-Trunk。
8）若是本地設備使用了Eth-Trunk，與成員接口直連的對端接口也必須捆綁爲Eth-Trunk接口，這樣兩端才能正常通訊。
9）當成員接口的速率不一致時，實際使用中速率小的接口可能會出現擁塞，致使丟包。
10）當成員接口加入Eth-Trunk後，學習MAC地址時是按照Eth-Trunk來學習的，而不是按照成員接口來學習的。

（3）鏈路聚合模式

華爲網絡設備支持的鏈路聚合模式有手工負載分擔模式和靜態LACP模式：

• 手工負載分擔模式：該模式中沒有LACP協議報文的參與，全部的配置均由手工完成，如加入多個成員接口。該模式下全部接口均處於轉發狀態，實現鏈路的負載分擔。它支持的負載分擔方式包括目的MAC、源MAC、源MAC異或目的MAC、源IP、目的IP、源IP異或目的IP。手工負載模式一般應用於對端設備不支持LSCP協議的狀況下。
• 靜態LACP模式：該模式是線路兩端利用LACP協議進行協商，從而肯定活動接口和非活動接口的鏈路聚合方式，在該模式下，建立Eth-Trunk、加入Eth-Trunk成員接口須要手工完成，而肯定活動接口和非活動接口由LACP協議進行協商。靜態LACP模式也稱爲M : N模式。這種方式能夠實現鏈路負載分擔和冗餘備份的雙重功能。在鏈路聚合組中M條鏈路處於活動狀態，轉發數據並負載分擔，而另外N條鏈路 處於非活動狀態，不轉發數據，當M條鏈路中有鏈路出現故障時，系統會自動從N條備份鏈路中選擇優先級最高的接替故障鏈路，並開始轉發數據。

注意：靜態LACP模式與手工負載分擔模式的主要區別爲靜態LACP模式能夠有備份鏈路，而手工負載分擔模式中全部成員接口均處於轉發狀態，分擔負載流量，除非線路故障。

（4）活動接口與非活動接口

• 處於活動狀態並負責轉發數據的接口稱爲活動接口；
• 處於非活動狀態並禁止轉發數據的接口被稱爲非活動接口；

在靜態LACP模式中能夠配置活動接口數量的上限以及下限，活動接口和非活動接口通常不須要人爲干預。

根據配置的工做模式不一樣，角色分工以下：

• 手工負載分擔模式：正常狀況下，全部接口都屬於活動接口，除非這些接口出現鏈路故障。
• 靜態LACP模式：M條鏈路對應的接口爲活動接口並負責轉發數據，N條鏈路對應的接口爲非活動接口並負責冗餘備份。

（5）主動端與被動端

在靜態LACP模式下，聚合組兩端的設備中，須要選擇一端爲主動端，而另外一端爲被動端。一般狀況下，LACP優先級較高的一端爲主動端，LACP優先級較低的一端爲被動端。若是優先級同樣，那麼一般選擇MAC地址小的一段爲主動端。（優先級的數值越小，優先級越高）。

區分主動端與被動端的目的是保證兩端設備最終確認的活動接口一致，不然兩端都按照本端各自的接口優先級來選擇活動接口，最終兩端所肯定的活動接口頗有可能不一致，聚合鏈路也就沒法創建。如圖所示：

SwitchA選擇上面的兩個接口爲活動接口，而SwitchB選擇下面的兩個接口爲活動接口，由於SwitchA的優先級比較高，因此最終的活動接口兩端都以SwitchA爲準，所以應首先肯定主動端，被動端按照主動端側的接口優先級來選擇活動接口。

（6）負載均衡模式

鏈路聚合的主要做用是提升帶寬以及增長冗餘，而廣泛的作法就是在多條物理鏈路上實行負載分擔。

經常使用的負載分擔模式包括：

• dst-ip（目的IP地址）模式：從目的IP地址、出端口的TCP/UDP端口號中分別選擇指定位的3bit數值進行異或運算，根據運算結果選擇Eth-Trunk表中對應的出接口。
• dst-mac（目的MAC地址）模式：從目的MAC地址、VLAN ID、以太網類型及入端口信息中分別指定位的3bit數值進行異或運算，根據運算結果選擇Eth-Trunk表中對應的出接口。
• src-ip（源IP地址）模式：從源IP地址、入端口的TCP/UDP端口號中分別指定位的3bit數值進行異或運算，根據運算結果選擇Eth-Trunk表中對應的出接口。
• src-mac（源MAC地址）模式：從源MAC地址、VLAN ID、以太網類型及入端口信息中分別指定位的3bit數值進行異或運算，根據運算結果選擇Eth-Trunk表中對應的出接口。
• src-dst-ip（源IP地址與目的IP地址的異或）模式：對目的IP地址、源IP地址兩種負載分擔模式的運算結果進行異或運算，根據運算結果選擇Eth-Trunk表中對應的出接口。
• src-dst-mac（源MAC地址與目的MAC地址的異或）模式：對目的MAC地址、源MAC地址、VLAN ID、以太網類型及入端口信息中分別選擇指定位的3bit數值進行異或運算，根據運算結果選擇Eth-Trunk表中對應的出接口。

2、實驗拓補

原理掌握明白以後，那麼接下來咱們開始經過一個大型的實驗拓補來說解一下華爲設備的命令，實驗拓補以下：

（1）實驗需求：

1）鏈路聚合
S1和S2使用鏈路聚合將兩條物理鏈路組成一個邏輯鏈路，用於實現鏈路負載分擔和備份，設置S1爲LCAP主動端，要求邏輯鏈路基於目的MAC方式進行負載分擔；
2）VALN及VLAN間路由
要求全部VLAN客戶端和服務器之間互通；
3）OSPF和RIP部分
R二、R三、S一、S2使用OSPF；R三、R四、R5開啓RIP；
4）路由重分發
要求OSPF與RIP進行充分發，實現能夠相互通訊；
5）NAT及訪問控制
要求192.168.20~21.0/24網段的主機不能夠訪問互聯網，服務器以202.106.0.200地址發佈到互聯網，互聯網用戶PC1能夠經過這個地址訪問服務器！

該拓撲圖涉及的命令以下：

• 鏈路聚合；
• vlan劃分；
• 單臂路由及三層交換；
• OSPF及RIP的動態路由配置；
• 路由重分發；
• PAT及靜態NAT的配置；
• 基本ACL及高級ACL配置；

（2）案例實施

1）pc、server自行配置IP地址

2）配置鏈路聚合

華爲的鏈路聚合主要經過LACP進行實現。在配置時，須要指定優先級、工做模式、負載均衡模式以及所需的成員接口。

S1的配置以下：

<Huawei>system-view                              //進入系統視圖模式
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info enable                         //關閉回顯信息，避免打亂
Info: Information center is disabled.
[Huawei]sysname S1                                //配置設備名稱爲S1
[S1]lacp priority 1000                                //設置S1設備的系統LACP優先級
[S1]interface Eth-Trunk 12                        //建立鏈路聚合邏輯接口，名稱爲 Eth-Trunk 12 
[S1-Eth-Trunk12]mode lacp-static              //配置靜態LACP模式
[S1-Eth-Trunk12]load-balance dst-mac      //配置負載均衡模式爲目標MAC地址
[S1-Eth-Trunk12]trunkport GigabitEthernet 0/0/2           //添加成員接口G0/0/2
Info: This operation may take a few seconds. Please wait for a moment...done.
[S1-Eth-Trunk12]trunkport GigabitEthernet 0/0/3           //添加成員接口G0/0/3
Info: This operation may take a few seconds. Please wait for a moment...done.
[S1-Eth-Trunk12]quit                                                     //退回系統視圖模式

注意：LACP優先級值越小，優先級越高。默認狀況下，系統LACP優先級的值爲32768。在兩端設備中選擇系統LACP優先級較小的一端做爲主動端，若是LACP優先級值相同，則選擇MAC地址較小的一端做爲主動端。

S2的配置以下：

<Huawei>system-view 
[Huawei]undo info enable 
Info: Information center is disabled.
[Huawei]sysname S2
[S2]interface Eth-Trunk 12
[S2-Eth-Trunk12]mode lacp-static 
[S2-Eth-Trunk12]trunkport GigabitEthernet 0/0/2
Info: This operation may take a few seconds. Please wait for a moment...done.
[S2-Eth-Trunk12]trunkport GigabitEthernet 0/0/3
Info: This operation may take a few seconds. Please wait for a moment...done.
[S2-Eth-Trunk12]quit
//因爲配置命令與S1設備差很少，這裏就很少作解釋了

3）配置VLAN間路由

VLAN之間的路由主要經過S1和S2實現，須要注意的是，即便S1和S2上面的接口都是trunk模式，也須要建立相應的VLAN，由於交換機收到來自某VLAN的數據包時，若是它自己沒有改VLAN時，那麼將會丟棄該數據包。

S1的配置以下：

[S1]vlan batch 10 to 13                            //一次性建立VLAN10~VLAN13
Info: This operation may take a few seconds. Please wait for a moment...done.
[S1]interface Eth-Trunk 12                      //進入鏈路聚合接口
[S1-Eth-Trunk12]port link-type trunk           //配置鏈路聚合接口模式爲trunk
[S1-Eth-Trunk12]port trunk allow-pass vlan all    //trunk鏈路容許全部VLAN經過
[S1-GigabitEthernet0/0/4]int g0/0/4
[S1-GigabitEthernet0/0/5]port link-type trunk                //鏈路聚合模式爲trunk
[S1-GigabitEthernet0/0/5]port trunk allow-pass vlan all       //容許全部VLAN經過
[S1-GigabitEthernet0/0/4]int g0/0/5
[S1-GigabitEthernet0/0/5]port link-type trunk
[S1-GigabitEthernet0/0/5]port trunk allow-pass vlan all
[S1-GigabitEthernet0/0/5]int vlan 10                  //進入VLAN10
[S1-Vlanif10]ip add 192.168.10.1 24                  //設置IP地址
[S1-Vlanif10]int vlan 11
[S1-Vlanif11]ip add 192.168.11.1 24
[S1-Vlanif11]quit

注意：華爲設備的Trunk通道默認不容許除VLAN1之外的全部VLAN，而Cisco設備默認則容許全部VLAN經過。因此在配置華爲設備時，在配置完成基本的Trunk配置後，必定要加上容許相關VLAN經過Trunk的命令。

S2的配置以下：

[S2]vlan batch 10 to 13
Info: This operation may take a few seconds. Please wait for a moment...done.
[S2]interface eth-trunk 12
[S2-Eth-Trunk12]port link-type trunk
[S2-Eth-Trunk12]port trunk allow-pass vlan all
[S2-Eth-Trunk12]interface g0/0/4
[S2-GigabitEthernet0/0/4]port link-type trunk
[S2-GigabitEthernet0/0/4]port trunk allow-pass vlan all
[S2-GigabitEthernet0/0/4]interface g0/0/5
[S2-GigabitEthernet0/0/5]port link-type trunk
[S2-GigabitEthernet0/0/5]port trunk allow-pass vlan all
[S2-GigabitEthernet0/0/5]int vlan 12
[S2-Vlanif12]ip add 192.168.12.1 24
[S2-Vlanif12]int vlan 13
[S2-Vlanif13]ip add 192.168.13.1 24
[S2-Vlanif13]quit
//與S1 命令基本一致，這裏就很少作解釋了！

SW1的配置以下：

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info enable 
Info: Information center is disabled.
[Huawei]sysname sw1
[sw1]vlan 10
[sw1-vlan10]interface g0/0/1
[sw1-GigabitEthernet0/0/1]port link-type trunk
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw1-GigabitEthernet0/0/1]int g0/0/2                  
[sw1-GigabitEthernet0/0/2]port link-type access       //配置端口模式爲access
[sw1-GigabitEthernet0/0/2]port default vlan 10         //接口加入VLAN 10
[sw1-GigabitEthernet0/0/2]quit

SW2的配置以下：

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info enable 
Info: Information center is disabled.
[Huawei]sysname  sw2 
[sw2]vlan 11
[sw2-vlan11]interface g0/0/1
[sw2-GigabitEthernet0/0/1]port link-type trunk
[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw2-GigabitEthernet0/0/1]int g0/0/2    
[sw2-GigabitEthernet0/0/2]port link-type access 
[sw2-GigabitEthernet0/0/2]port default vlan 11
[sw2-GigabitEthernet0/0/2]quit

SW3的配置以下：

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info enable 
Info: Information center is disabled.
[Huawei]sysname  sw3
[sw3]vlan 12
[sw3-vlan12]interface g0/0/1
[sw3-GigabitEthernet0/0/1]port link-type trunk
[sw3-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw3-GigabitEthernet0/0/1]interface g0/0/2
[sw3-GigabitEthernet0/0/2]port link-type access 
[sw3-GigabitEthernet0/0/2]port default vlan 12
[sw3-GigabitEthernet0/0/2]quit

SW4的配置以下：

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info enable 
Info: Information center is disabled.
[Huawei]sysname  sw4
[sw4]vlan 13
[sw4-vlan13]interface g0/0/1
[sw4-GigabitEthernet0/0/1]port link-type trunk
[sw4-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw4-GigabitEthernet0/0/1]interface g0/0/2
[sw4-GigabitEthernet0/0/2]port link-type access 
[sw4-GigabitEthernet0/0/2]port default vlan 13
[sw4-GigabitEthernet0/0/2]quit

4）配置單臂路由

華爲的單臂路由與Cisco幾乎沒有差異。主要有兩項配置，一項是交換機與路由器之間的Trunk配置，另一項是路由器的子接口配置及關聯相應的VLAN。

R4的配置以下：

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info enable 
Info: Information center is disabled.
[Huawei]sysname R4
[R4]int g0/0/0
[R4-GigabitEthernet0/0/0]ip add 192.168.101.2 24
[R4-GigabitEthernet0/0/0]int g0/0/1.1              //進入子接口
[R4-GigabitEthernet0/0/1.1]ip add 192.168.20.1 24          //子接口配置IP地址
[R4-GigabitEthernet0/0/1.1]dot1q termination vid 20       //使子接口與vlan 20關聯
[R4-GigabitEthernet0/0/1.1]arp broadcast enable            //子接口打開ARP廣播
[R4-GigabitEthernet0/0/1.1]int g0/0/1.2
[R4-GigabitEthernet0/0/1.2]ip add 192.168.21.1 24
[R4-GigabitEthernet0/0/1.2]dot1q termination vid 21
[R4-GigabitEthernet0/0/1.2]arp broadcast enable
[R4-GigabitEthernet0/0/1.2]int g0/0/2
[R4-GigabitEthernet0/0/2]ip add 192.168.102.1 24
[R4-GigabitEthernet0/0/2]quit

SW5的配置以下：

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info enable 
Info: Information center is disabled.
[Huawei]sysname sw5
[sw5]vlan 20
[sw5-vlan20]vlan 21                                      //VLAN也能夠一個一個的建立
[sw5-vlan21]int g0/0/1
[sw5-GigabitEthernet0/0/1]port link-type trunk 
[sw5-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw5-GigabitEthernet0/0/2]int g0/0/2
[sw5-GigabitEthernet0/0/3]port link-type access
[sw5-GigabitEthernet0/0/3]port default vlan 20
[sw5-GigabitEthernet0/0/2]int g0/0/3
[sw5-GigabitEthernet0/0/3]port link-type access
[sw5-GigabitEthernet0/0/3]port default vlan 21

5）配置OSPF與RIP

華爲的RIP配置與Cisco命令幾乎一致，注意把no變成undo便可；配置OSPF時與Cisco不一樣，它不是一條network命令同時宣告網絡和區域，而是在某個區域下的子模式宣告相應的網絡。

S1的配置以下：

[S1]vlan 50
[S1-vlan50]int g0/0/1
[S1-GigabitEthernet0/0/1]port link-type access
[S1-GigabitEthernet0/0/1]port default vlan 50               //物理接口加入VLAN
[S1-GigabitEthernet0/0/1]int vlan 50
[S1-Vlanif50]ip add 192.168.50.10 24
[S1-Vlanif50]ospf 1                //進入OSPF進程
[S1-ospf-1]area 0                   //進入區域0
[S1-ospf-1-area-0.0.0.0]network 0.0.0.0 255.255.255.255               //簡單起見，宣告全部網段
[S1-ospf-1-area-0.0.0.0]quit

注意：在配置OSPF時，若是想要指定router-id，能夠在進入進程模式時追加router-id，如[S1] ospf 1 router-id 1.1.1.1 。另外，華爲三層交換機的二層接口沒有直接提高爲三層接口的命令，相似於Cisco下的no switchport命令。因此在作VLAN間路或者和路由器直連時，只能配置VLAN虛接口，物理接口與VLAN作個綁定！

S2的配置以下：

[S2]vlan 60
[S2-vlan60]int g0/0/1
[S2-GigabitEthernet0/0/1]port link-type access
[S2-GigabitEthernet0/0/1]port default vlan 60
[S2-GigabitEthernet0/0/1]int vlan 60
[S2-Vlanif60]ip add 192.168.60.10 24
[S2-Vlanif60]ospf 1
[S2-ospf-1]area 0
[S2-ospf-1-area-0.0.0.0]network 0.0.0.0 255.255.255.255

R2的配置以下：

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info enable 
Info: Information center is disabled.
[Huawei]sysname R2
[R2]int g4/0/0
[R2-GigabitEthernet4/0/0]ip add 202.106.0.10 24
[R2-GigabitEthernet4/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 192.168.50.1 24
[R2-GigabitEthernet0/0/1]int g0/0/2
[R2-GigabitEthernet0/0/2]ip add 192.168.60.1 24
[R2-GigabitEthernet0/0/2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.100.1 24
[R2-GigabitEthernet0/0/0]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]netw    
[R2-ospf-1-area-0.0.0.0]network 192.168.50.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 192.168.60.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 192.168.100.0 0.0.0.255   
//注意這裏OSPF就不能夠聲明全部網段了，不然實驗外網與內網通訊就沒有意義了！
[R2-ospf-1-area-0.0.0.0]quit

R3的配置以下：

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info enable
Info: Information center is disabled.
[Huawei]sysname R3
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 192.168.100.2 24
[R3-GigabitEthernet0/0/0]int  g0/0/1
[R3-GigabitEthernet0/0/1]ip add 192.168.101.1 24
[R3-GigabitEthernet0/0/1]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 192.168.100.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]rip                         //進入RIP進程模式，默認進程ID爲1
[R3-rip-1]version 2                                      //指定RIP版本
[R3-rip-1]undo summary                             //關閉RIP的自動彙總
[R3-rip-1]network 192.168.101.0                //宣告網段
[R3-rip-1]quit

注意：在Cisco的IOS中配置RIP時，及能夠經過標準的類宣告網絡，也能夠根據實際網絡來宣告。好比：10.1.1.1/24，那麼在宣告時，命令10.1.1.0和命令10.0.0.0均可以，可是Cisco將其糾正爲10.0.0.0（爲標準的宣告方式）。在華爲設備中，只能以標準的方式宣告RIP網絡。即根據主類的掩碼來宣告！

R4的配置以下：

[R4]rip
[R4-rip-1]version 2
[R4-rip-1]undo summary 
[R4-rip-1]network 192.168.101.0
[R4-rip-1]network 192.168.20.0
[R4-rip-1]network 192.168.21.0
[R4-rip-1]network 192.168.102.0

R5的配置以下：

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info enable 
Info: Information center is disabled.
[Huawei]sysname R5
[R5]int g0/0/0
[R5-GigabitEthernet0/0/0]ip add 192.168.102.2 2
[R5-GigabitEthernet0/0/0]int g0/0/1
[R5-GigabitEthernet0/0/1]ip add 10.0.0.1 24
[R5-GigabitEthernet0/0/1]rip
[R5-rip-1]version 2
[R5-rip-1]undo summary 
[R5-rip-1]network 192.168.102.0
[R5-rip-1]network 10.0.0.0

6）配置路由重分發

華爲設備的路由重發分是經過import-route命令實現的，無論導入的是什麼協議，都要就上進程ID號，和Cisco同樣，若是把A協議導入B協議中，那麼首先要進入Ｂ的路由進程中，執行導入Ａ的命令，反之同理！

R3的配置以下：

[R3]ospf 1 
[R3-ospf-1]import-route rip 1                        //進入OSPF進程宣告RIP進程
[R3-ospf-1]rip
[R3-rip-1]import-route ospf 1                      //進入RIP宣告OSPF進程
[R3-rip-1]quit

R2的配置以下：

[R2]ip route-static 0.0.0.0 0.0.0.0 202.106.0.1
//真實環境中，內網鏈接外網的服務器確定是一條默認路由
[R2]ospf 1
[R2-ospf-1]default-route-advertise
//宣告默認路由（前提是有默認路由）

7）配置NAT及訪問控制

華爲的NAT轉換直接配置在外部接口模式下，須要轉換的內部流量經過ACL抓取，而轉換後的內部全局地址經過配置NAT組實現。

R2的配置以下：

[R2]nat address-group 1 202.106.0.100 202.106.0.100          //定義NAT組（池）
[R2]acl 2000                     //編寫編號爲2000的acl規則
[R2-acl-basic-2000]rule 0 permit source 192.168.50.0 0.0.0.25
[R2-acl-basic-2000]rule 10 permit source 192.168.60.0 0.0.0.255
[R2-acl-basic-2000]rule 20 permit source 192.168.10.0 0.0.0.255
[R2-acl-basic-2000]rule 30 permit source 192.168.11.0 0.0.0.255
[R2-acl-basic-2000]rule 40 permit source 192.168.12.0 0.0.0.255
[R2-acl-basic-2000]rule 50 permit source 192.168.13.0 0.0.0.255
//容許源地址訪問，固然能夠作路由彙總少寫一些！
[R2-acl-basic-2000]int g4/0/0
[R2-GigabitEthernet4/0/0]nat outbound 2000 address-group 1
//定義PAT，將acl容許的地址映射到地址池中
[R2-GigabitEthernet4/0/0]nat server global 202.106.0.200 inside 10.0.0.10
//定義靜態NAT，一對一！
[R2-GigabitEthernet4/0/0]quit
[R2]acl 3000
[R2-acl-adv-3000]rule 0 deny ip source 192.168.20.0 0.0.0.255
[R2-acl-adv-3000]rule 10 deny ip source 192.168.21.0 0.0.0.255 destination 20.0.0.0 0.0.0.255 destination eq80
//定義編號爲3000的acl，拒絕源地址，能夠加上目標地址和端口
[R2-acl-adv-3000]int g4/0/0
[R2-GigabitEthernet4/0/0]traffic-filter inbound acl 3000
//接口應用編號爲3000的acl

注意：華爲的ACL與Cisco相似，分別分爲基本與高級，相似於Cisco的標準和擴展。其中基本的編號爲2000~2999嗎，高級的編號爲3000~3999。rule後面的編號表示ACL規則的生效順序！

R1 的配置以下：

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info enable 
Info: Information center is disabled.
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 202.106.0.1 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 20.0.0.1 24
//注意，R1只配置IP地址便可！

配置完成以後，能夠自行進行驗證，本次博文只是爲了儘量的展現命令而已！

3、經常使用的排錯命令

[S1]display current-configuration      //查看當前設備的全部配置
[S1]display ip routing-table               //查看路由表
[S1]display vlan                            //查看vlan信息
[S1]display ip interface brief        //查看接口狀態
[S1]display current-configuration interface vlan 10
//查看某一個接口的當前配置信息
[S1]display nat session all              //查看NAT轉換條目
[S1]display ospf peer brief              //查看OSPF鄰居信息
[S1]display acl all                            //查看ACL信息
[S1]display eth-trunk 12               //查看鏈路聚合信息

———————— 本文至此結束，感謝閱讀 ————————