① [Quidway] user-interface vty 0
② [Quidway-ui-vty0] authentication-mode password(设置认证方法为密码验证方法)
③ [Quidway-ui-vty0] set authentication password simple xxxx (xxxx 是欲设置的该Telnet 用户登录口令)
④ [Quidway-ui-vty0] user privilege level 3(缺省情况下,从VTY用户界面登录后可以访问的命令级别为0级。需要将用户的权限设置为3,这用户可以进入系统视图进行操作,否则只有0级用户的权限)
ü 路由器:默认状态下是允许任何终端用户登岸的
⑤ local-user b service-type admin password simple b(允许特定用户b以密码b远程登录)
2. Debug
ü 交换机
① terminal monitor(打开屏幕输出开关)
② terminal debugging(打开屏幕输出开关)
③ debug xxxxxx(输入需要调试的对象内容)
ü 路由器
① info-center enable(开启syslog功能)
② 输出信息
? info-center console 输出信息至控制台上(利用console线)
? info-center monitor 输出信息至终端上(利用telnet)
③ debug xxxxxx(输入需要调试的对象内容)
3. 数据链路
ü PPP与MP
① [Router] local-user b service-type ppp password simple b(对端用户b)
② [Router] ppp mp b bind Virtual-Template1(捆绑用户b到vt1)
③ [Router] interface Serial0
④ [Router-Serial0] link-protocol ppp
⑤ [Router-Serial0] ppp authentication-mode pap
⑥ [Router-Serial0] ppp mp
(使能mp)
⑦ [Router-Serial0] ppp pap local-user a password simple a(送往对端的用户名和密码)
⑧ [Router-Serial1] interface Virtual-Template1(进入vt1口)
⑨ [Router-Virtual-template1] ip address 30.1.1.2 255.255.255.0(配置ip地址)
故障之一:链路始终不能转为Up 状态。
故障排除:
可能是由于PPP 验证参数配置不正确,导致PPP 验证失败。
打开PPP 的调试开关,会看到LCP 协商成功并转为Up 状态后进行PAP 或CHAP 协商,然后LCP 转为Down 状态。
故障之二:物理链路不能转为Up 状态。
故障排除:
可以执行display interface type number 命令来查看接口当前状态。
故障之三:链路UP,且LCP,IPCP均已OPENED,但Ping不到对方。
故障排除:
Router-id可以配置为与本路由器一个接口的IP地址相同,需要细致的是:不能有任何两台路由器的Router ID是完全相同的。
? 查看对端配置,是否利用了remote address 为本端分配了地址
在本端配置IP地址,或者在对端分配IP地址,然后使用shutdown/un shutdown命令讲端口复位
ü FR
| interface Serial0 |
||
| [Router-Serial0] |
clock DTECLK1 |
配置时钟 |
| [Router-Serial0] |
link-protocol frame-relay |
链路协议FR |
| [Router-Serial0] |
fr dlci 100 |
配置DLCI |
| [Router-Serial0] |
fr map ip 10.110.42.40 dlci 100 |
地址映射 |
| [Router-Serial0] |
ip address 10.110.42.41 255.255.248.0 |
故障排除:
查看物理线路是否正常。
查看对端设置装备摆设是否正常运行。
故障之二:物理层已经处于UP 状态,但链路层协议处于DOWN 状态。
故障排除:
ü DHCP Relay:交换机和路由器上的配置不一样,需要细致,另外在where配置relay是很重要的,通俗一点讲:relay需要在VLAN网关端口上配置,别的地方配置没用H3CTE考试内容总结。
要是两台设置装备摆设直连,查看本地设置装备摆设和对端设置装备摆设是否配置成一端是帧中继DTE接口类型,一端是帧中继DCE 接口类型。
实际运行中可能每每需要引入自治系统外部路由(其他协议如BGP或静态路由)。
要是以上查看都已经通过,可以打开帧中继LMI 消息的监视开关,看状态请求报文与状态报文是否一一对应。⑤ 实际上,这种配置是通过 hybrid 端口的 pvid 来唯一的表现一个端口,接收端口通过是否将 vlan 设置为 untagged vlan,来控制是否与 pvid vlan 为 该 vlan 的端口互通。查看协商两端接口上配置的安全策略中的ACL 内容是否相容。
故障之三:链路层协议处于UP 状态,但不能ping 通对方。
故障排除:
查看两端设置装备摆设是否都为对端配置(或产生)了正确的地址映射。
查看路由表,是否有到达对端的路由。
ü 拨号
| ① 在全局模式下配置拨号用户 | ||
| [Router] |
local-user user0 service-type ppp password simple pass0 |
为拨号用户建立用户名和密码; 并非每个用户都需要一个用户名和密码,只建一个用户密码,N个用户可以同时利用. |
| ② 配置拨号用户的触发条件和地址池 | ||
| [Router] |
dialer-rule 1 ip permit |
设定控制DDR呼叫发生的数据报文的条件 |
| [Router] |
ip pool 1 192.168.1.100 192.168.1.105 |
拨号用户的地址池 |
| ③ 配置同/异步拨号口 | ||
| [Router] |
interface Async0 |
|
| [Router-Async0] |
async mode protocol |
|
| baudrate 57600 |
||
| link-protocol ppp |
||
| dialer enable-circular |
使能拨号 | |
| dialer-group 1 |
引用控制DDR呼叫发生的数据报文的条件 | |
| dialer circular-group 0 |
引用dialer0口拨号参数 | |
| ④ 配置拨号虚接口 | ||
| [Router] |
interface Dialer0 |
建立dialer口 |
| [Router-Dialer0] |
link-protocol ppp |
|
| ppp authentication-mode pap |
Pap验证 | |
| ip address 192.168.1.254 255.255.255.0 |
||
| remote address pool 1 |
地址池1 | |
| dialer enable-circular |
使能拨号 | |
| dialer-group 1 |
切合规则的拨号 | |
| ⑤ 配置路由 | ||
| [Router] |
ip route-static 192.168.1.1 255.255.255.255 Dialer 0 preference 60 |
配置直连路由 |
对于同步拨号,其接口必需是同步拨号接口;对于异步拨号,要是采用同/异步接口(即Serial接口),则必需先利用命令physical-mode asynchronous命令把该接口设置为异步口,同时采用命令modem设置Modem拨号属性;
对于异步接口(即Async接口),直接采用modem命令设置Modem拨号属性。
4. 路由协议
ü RIP
故障之一:在物理相连正常的情况下收不到更新报文
故障排除可能是下列缘故原由
相应的接口上RIP 没有运行如执行了undo rip work 命令或该接口未通
过network 命令使能对端路由器上配置的是组播方法如执行了rip version 2 multicast 命令但在本地路由器上没有配置组播方法
ü OSPF
故障之一:是否已经配置了Router ID
利用命令router id Router-id
? 用命令dis cur interface观察接口上是否没有配置ip地址,而是用命令ip address ppp-negotitate配置了IP地址协商。
故障之二: 查看OSPF协议是否已成功地被激活
利用命令ospf enable启动协议的运行。(1) 在LAC 端,LNS 的地址设置不正确。
故障之三: 查看需要运行OSPF的接口是否已配置属于特定的区域
利用命令ospf enable area area_id 将接口配置属于特定区域。可通过命令 display ospf interface interfacename来查看该接口是否已经配置成功。
故障之四: 查看是否已正确地引入了所需要的外部路由。
查看两端LMI 协议类型配置是否相同。要是需要,是否已经通过命令import 配置了引入。
故障之五: 查看是否互连的路由器网络类型一致。
NBMA和p2mp的,必需在接口下配置:[Router-Serial0]ospf peer 20.1.1.2
|
ospf网络类型 |
链路层协议 |
| p2p |
PPP |
| NBMA |
fr,x25,HDLC |
| p2mp |
无 |
| broadcast |
Ethernet |
| [Router] |
bgp 100 |
使能bpg,自治系统号100 |
| [Router-bgp] |
undo synchronization |
配置非同步 |
| [Router-bgp] |
network 20.1.1.0 mask 255.255.255.0 |
发布的路由是20.1.1.0/24 |
| [Router-bgp] |
network 30.1.1.0 mask 255.255.255.0 |
发布的路由是30.1.1.0/24 |
| [Router-bgp] |
peer 20.1.1.2 as-number 100 |
配置IBGP邻居 |
| [Router-bgp] |
peer 20.1.1.2 next-hop-local |
在向IBGP邻居发布路由时已自己的接口地址为下一跳 |
| [Router-bgp] |
peer 30.1.1.2 as-number 200 |
配置EBGP邻居 |
5. 安全VPN与拨号
ü IPSEC
| ① 配置IKE,应与对端配置相一致 | ||
| [Router] |
ike pre-shared-key abc remote 202.38.160.2 |
配置IKE,利用预共享密钥的认证办法,其中的abc是密钥,202.38.1.2是对端的地址 |
| ② 配置ACL,所定义的数据流应与对端数据流互为镜像 | ||
| [Router] |
acl 100 match-order auto |
配置acl 100 |
| [Router-acl-101] |
rule normal permit ip source 172.16.0.0 0.0.255.255 destination 172.17.0.0 0.0.255.255 |
配置本端内网到对端内网的acl策略 |
| [Router-acl-101] |
rule normal permit ip source 172.17.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255 |
配置对端内网到本端内网的acl策略 |
| [Router-acl-101] |
rule normal deny ip source any destination any |
克制其他任何报文 |
| ③ 创建安全发起,应与对端配置相一致 | ||
| [Router] |
ipsec proposal l2tptrans |
创建名为l2tptrans的安全发起 |
| [Router-ipsec-proposal-l2tptrans] |
encapsulation-mode tunnel |
报文的封装形式采用隧道模式 |
| esp-new authentication-algorithm sha1-hmac-96 |
安全协议选择sha1-hmac-96 | |
| ④ 创建安全策略 | ||
| [Router] |
ipsec policy l2tpmap 10 isakmp |
创建一条安全策略,协商方法为ISAKMP |
| [Router-ipsec-policy-l2tpmap] |
security acl 100 |
引用访问列表 |
| proposal l2tptrans |
引用l2tptrans安全发起 | |
| tunnel remote 202.38.160.2 |
设置对端地址 | |
| ⑤ 在接口上应用安全策略 | ||
| [Router] |
interface Serial0 |
进入串口0口 |
| [Router-Serial0] |
link-protocol ppp |
封装ppp链路层协议 |
| [Router-Serial0] |
ip address 202.38.160.1 255.255.255.0 |
配置ip地址 |
| [Router-Serial0] |
ipsec policy l2tpmap |
在接口上应用相应的安全策略 |
故障之一:非法用户身份信息
故障排除:用户身份信息是发起IPSec 通信的用户用来标识自己的数据。在实际应用中我们可以通过用户身份标识实现对不同的数据流建立不同的安全通道进行保护。目前我们是通过用户的IP 地址来标识用户。
可以看到调试信息:
got NOTIFY of type INVALID_ID_INFORMATION
或者
drop message from A.B.C.D due to notification type
INVALID_ID_INFORMATION
打开帧中继LMI 消息的监视开关的命令请参见debugging fr lmi 命令。建议用户将两端的ACL 配置成互为镜像的。ACL 镜像的含义请参考IPSec 配置中“配置访问控制列表”内容。
故障之二:发起不匹配
故障排除:
可以看到调试信息:
got NOTIFY of type NO_PROPOSAL_CHOSEN
或者:
drop message from A.B.C.D due to notification type NO_PROPOSAL_CHOSEN
协商双方没有可以匹配的发起。对于阶段1,查看IKE proposal 是否有与对方匹配的。对于阶段2 协商,查看双方接口上应用的IPsec 安全策略的参数是否匹配,引用的IPsec 安全发起的协议、加密算法和验证算法是否有匹配的。
故障之三:无法建立安全通道
故障排除:实际应用中有时会发现在不稳定的网络状态下,安全通道无法建立或者存在安全通道却无法通信,而且查看双方的ACL 的配置正确,也有匹配的发起。
(4) 要是是本端逼迫挂断了相连,而由于网络传输等缘故原由,对端还没有收到相应的Disconnect 报文,此时立即发起了一个隧道相连,会连不上,因为对方必需相隔一定的时间才能侦测到链路被挂断。解决办法:
? 利用display ike sa 命令查看双方是否都已建立阶段1 的SA。
? 利用display ipsec sa policy 命令查看接口上的安全策略是否已建立了IPSec SA。
? 根据以上两步的结果查看,要是有一方存在的SA 在另一方不存在的情况,利用reset ike sa 命令清除错误存在的SA,重新发起协商。
ü L2TP
| LAC |
| ① 全局模式下配置L2TP的验证 | ||
| Router] |
local-user vpdnuser@huawei.com service-type ppp password simple Hello |
配置用户名和密码 |
| [Router] |
l2tp enable |
使能l2tp |
| [Router] |
l2tp match-order domain-dnis |
先查域名再查被叫号码 |
| [Router] |
l2tp domain suffix-separator @ |
配置后缀为@ |
| [Router] |
aaa-enable |
使能aaa |
| [Router] |
aaa authentication-scheme ppp default local |
ppp认证方法本地 |
| [Router] |
aaa authentication-scheme login default local |
login认证方法本地 |
| [Router] |
aaa accounting-scheme optional |
计费可选 |
| ② 配置L2TP隧道,该出配置应该与LNS端相对应 | ||
| [Router] |
l2tp-group 1 |
进入l2tp-group 1 |
| [Router-l2tp1] |
start l2tp ip 202.38.160.2 domain huawei.com |
配置LNS的ip和域名 |
| tunnel name lac-end |
本地name lac-end | |
| tunnel password simple quidway |
隧道验证密码quidway | |
| LNS | ||
| ③ 全局模式下配置L2TP验证和给用户设立的用户名和密码 | ||
| [Router] |
local-user vpdnuser@huawei.com service-type ppp password simple Hello |
配置用户名和密码 |
| [Router] |
l2tp enable |
使能l2tp |
| [Router] |
ip pool 1 192.168.0.2 192.168.0.100 |
配置地址池 |
| [Router] |
aaa-enable |
使能aaa |
| [Router] |
aaa authentication-scheme ppp default local |
ppp认证方法本地 |
| [Router] |
aaa authentication-scheme login default local |
login认证方法本地 |
| [Router] |
aaa accounting-scheme optional |
计费可选 |
| ④ 配置链路端口地址,该端口地址LAC端能够路由到就可以,用于建立L2TP隧道 | ||
| [Router] |
interface Serial0 |
进入串口0口 |
| [Router-Serial0] |
link-protocol ppp |
封装ppp链路层协议 |
| [Router-Serial0] |
ip address 202.38.160.2 255.255.255.0 |
配置ip地址 |
| ⑤ 配置虚接口模板,紧要用于给用户对端分配IP,从而与用户建立虚联接 | ||
| [Router] |
interface Virtual-Template1 |
进入vt口 |
| [Router-Virtual-Template1] |
link-protocol ppp |
封装ppp协议 |
| ppp authentication-mode pap |
ppp验证方法是pap | |
| remote address pool 1 |
给对端分配ip地址池1 | |
| ip address 192.168.0.1 255.255.255.0 |
配置ip地址 | |
| ⑥ 配置L2TP隧道,该出配置应当与LAC端相对应 | ||
| [Router] |
l2tp-group 1 |
进入l2tp-group 1 |
| [Router-l2tp1] |
allow l2tp virtual-template 1 remote lac-end |
接受lac-end过来的呼叫并将其捆绑在vt1口上 |
| tunnel name lns-end |
隧道名字是lns-end | |
| tunnel password simple quidway |
隧道验证密码是quidway | |
VPN 排错之前,请先确认LAC 与LNS 都已在公共网上,并实现正确连通。
故障之一:用户登录失败
故障排除:用户登录失败紧要有以下几种缘故原由。
? Tunnel 建立失败,Tunnel 不能建立的缘故原由有:
该命令是协议正常运行的前提H3CTE考试内容总结。
(2) LNS(通常为路由器)端没有设置可以接收该隧道对端的L2TP 组,具体可以查看allow 命令的说明。
(3) Tunnel 验证不通过,要是配置了验证,应该保证双方的隧道密码一致H3CTE考试内容总结。
这种情况一般是安全通道建立好以后,有一方的路由器重启造成的。
? PPP 协商不通过,可能缘故原由有:
(1) LAC端设置的用户名与密码有误,或者是LNS 端没有设置相应的用户。
(2) LNS 端不能分配地址,比如地址池设置的较小,或没有进行设置。
(3) 密码验证类型不一致。如Windows 2000 所创建的VPN 相连缺省的验证类型为MSCHAP,要是对端不支持MSCHAP,建议改为CHAP。
故障之二:数据传输失败,在建立相连后数据不能传输,如Ping 不通对端。
故障排除:可能有如下缘故原由。
? 用户设置的地址有误:一般情况下,由LNS 分配地址,而用户也可以指定自己的地址H3CTE考试内容总结。要是指定的地址和LNS 所要分配的地址不属于同一个网段,就会发生这种情况,建议由LNS 统一分配地址。
? 网络拥挤:Internet 主干网产生拥挤,丢包现象严重。L2TP 是基于UDP(用户数据报文)进行传输的,UDP 不对报文进行不对控制;要是是在线路质量不稳定的情况下进行L2TP 应用,有可能会产生Ping 不通对端的情况H3CTE考试内容总结。
ü
ü GRE
① interface Tunnel0
进入tunnel0口
② [Router-Tunnel0] link-protocol tunnel
封装协议为tunnel
③ [Router-Tunnel0] ip address 1.1.1.1 255.255.255.0
配置ip地址
④ [Router-Tunnel0] source 10.1.1.1
源地址
⑤ [Router-Tunnel0] destination 20.1.1.2
目标地址
1. 交换
① 端口配置为 hybrid状态
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]port link-type hybrid
② 设置端口的pvid等于该端口所属的vlan
[Switch-Ethernet0/1]port hybrid pvid vlan 10
③ 在上行口E0/10上允许vlan10以tagged形式送出,别的为untagged
[SwitchA-Ethernet0/10]port hybrid vlan 10 tagged
④ 将希望可以互通的端口的pvid vlan,设置为untagged vlan,这样从该端口发出的广播帧就可以到达本端口
Switch-Ethernet0/1]port hybrid vlan 40 50 60 untagged
要是不一一对应,说明物理层数据收发不正确,请查看物理层的问题。
故障之一:
Trunk端口不能和isolate-user-vlan同时配置;Hybrid端口可以和isolate-user-vlan同时配置。但要是缺省VLAN是在isolate-user-vlan中建立了映射的VLAN,则不允许修订缺省VLAN ID,只有在解除映射后才能进行修订。
故障之二:
本Hybrid端口或Trunk端口的缺省VLAN ID和相连的对端交换机的Hybrid端口或Trunk端口的缺省VLAN ID必需一致,否则报文将不能正确传输。
故障之三:
Trunk口与Hybrid口不能同时利用在一台交换机上
2. 应用
ü DHCP
ü DHCP Server:这个的配置没有什么难度,别配错了就行
? dhcp server forbidden-ip 192.168.1.1 192.168.1.1
? 使路由器作DHCP服务器
dhcp enable
? 定义DHCP服务器的地址池
dhcp server ip-pool 1
network 192.168.1.0 mask 255.255.255.0
? 定义DHCP地址池中的网关
gateway-list 192.168.1.1
? 定义DHCP地址过期时间段
expired day 7 hour 0 minute 0
查看本地设置装备摆设和对端设置装备摆设是否都封装了帧中继协议。路由器上的relay配置为ip relay-address xxx.xxx.xxx.xxx,以下的配置用于交换机:
? 定义一个DHCP server
[SwitchA]dhcp-server 0 ip 192.168.0.10
? 创建(进入vlan10)
[SwitchA]vlan 10
? 将E0/1-E0/10加入到vlan10
[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10
? 创建(进入)vlan10的虚接口
[SwitchA]interface Vlan-interface 10
? 给vlan10的虚接口配置IP地址
[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0
? 指定vlan10下面的用户利用DHCP server0分配的地址
[SwitchA-Vlan-interface10]dhcp-server 0
ü 802.1x
① 在系统配置模式下配置802.1x认证
? [SwitchA]dot1x(在系统视图下开启802.1X功能,默认为基于MAC的认证方法)
? [SwitchA]dot1x interface eth 0/1 to eth 0/10(在E0/1-E0/10端口上开启802.1X功能,要是dot1x interface后面不加具体的端口,便是指所有的端口都开启802.1X)
② 配置radius认证
? [SwitchA]radius scheme radius1(设置认证方法为radius)
? [SwitchA-radius-radius1]primary authentication 127.0.0.1 1645(设置主认证服务器为本地,端口号1645)
? [SwitchA-radius-radius1]primary accounting 127.0.0.1 1646(设置主计费服务器为本地,端口号1646)
? [SwitchA]domain Huawei(这里本地用户认证采用自建域huawei)
? [SwitchA-isp-huawei]radius-scheme radius1(在域中引用认证方案radius1)
③ 配置本地用户
? [SwitchA]local-user test@huawei(设置本地用户名test@huawei)
? [SwitchA-user-test@huawei]password simple test(设置用户密码)
? [SwitchA-user-test@huawei]service-type lan-access(设置用户接入类型为802.1X)
? [SwitchA-user-test@huawei]state active(激活该用户)
喜欢 
顶
难过
囧
围观
无聊
