华为网络设备基本配置

时间 2019-11-06

标签华为网络设备基本配置繁體版

原文原文链接

1、华为网络设备的链路聚合的相关概念总揽：web

一、链路聚合是什么？
二、成员接口有什么限制？
三、链路聚合的工做模式有哪些？
四、活动接口与非活动接口的概念。
五、主动端与被动端的概念。
六、负载均衡模式有哪几种？服务器

一、链路聚合是什么？
.
链路聚合（link aggregation）是将多个物理接口当作一个逻辑接口，以增长带宽和提供线路冗余。链路聚合的带宽理论上至关于所包含的物理接口带宽总和，很是适用于企业核心网络中，同时参与捆绑的某个成员接口或链路损坏，不影响聚合链路的正常工做，提供了冗余性。华为设备支持的链路聚合协议是LACP（link aggregation control protocol）。在华为设备中，由多个物理接口捆绑成逻辑接口，该接口被称为Eth-Trunk接口。
.
二、成员接口有什么限制？网络

将成员接口加入Eth-Trunk时，须要注意如下问题：session

每一个Eth-Trunk接口下最多能够包含8个成员接口；

成员接口不能单独配置任何功能和静态MAC地址；

成员接口加入Eth-Trunk时，必须为默认的hybrid类型接口（该类型是华为设备默认的接口类型）；

Eth-Trunk接口不能嵌套，即成员接口不能是Eth-Trunk；

一个以太网接口只能加入一个Eth-Trunk接口，若是须要加入其它Eth-Trunk接口，必须先退出原来的Eth-Trunk接口；

一个Eth-Trunk接口中的成员接口必须是同一类型，即FE口和GE口不能加入同一个Eth-Trunk接口。

能够将不一样接口板上的以太网接口加入同一个Eth-Trunk。

若是本地设备使用了Eth-Trunk，与成员接口直连的对端接口也必须捆绑为Eth-Trunk接口，这样两端才能正常通讯。

当成员接口的速率不一致时，实际使用中速率小的接口可能会出现拥塞，致使丢包。

当成员接口加入Eth-Trunk后，学习MAC地址时是按照Eth-Trunk来学习的，而不是按照成员接口来学习的。

三、链路聚合的工做模式有哪些？
.负载均衡

华为网络设备支持的链路聚合模式有手工负载分担模式和静态LACP模式：ide

手工负载分担模式：该模式中没有LACP协议报文的参与，全部的配置均由手工完成，如加入多个成员接口。该模式下全部接口均处于转发状态，实现链路的负载分担。它支持的负载分担方式宝库目的MAC、源MAC、源MAC异或目的MAC、源IP、目的IP、源IP异或目的IP。手工负载模式一般应用于对端设备不支持LSCP协议的状况下。

静态LACP模式：该模式是线路两端利用LACP协议进行协商，从而肯定活动接口和非活动接口的链路聚合方式，在该模式下，建立Eth-Trunk、加入Eth-Trunk成员接口须要手工完成，而肯定活动接口和非活动接口由LACP协议进行协商。静态LACP模式也称为M : N模式。这种方式能够实现链路负载分担和冗余备份的双重功能。在链路聚合组中M条链路处于活动状态，转发数据并负载分担，而另外N条链路处于非活动状态，不转发数据，当M条链路中有链路出现故障时，系统会自动从N条备份链路中选择优先级最高的接替故障链路，并开始转发数据。

静态LACP模式与手工负载分担模式的主要区别为静态LACP模式能够有备份链路，而手工负载分担模式中全部成员接口均处于转发状态，分担负载流量，除非线路故障。
.
四、活动接口与非活动接口的概念。
.
处于活动状态并负责转发数据的接口称为活动接口。相反，处于非活动状态并禁止转发数据的接口被称为非活动接口en。活动接口和非活动接口通常不须要人为干预，在静态LACP模式中能够配置活动接口数量的上限以及下限。
.学习

根据配置的工做模式不一样，角色分工以下：测试

手工负载分担模式：正常状况下，全部接口都属于活动接口，除非这些接口出现链路故障。

静态LACP模式：M条链路对应的接口为活动接口并负责转发数据，N条链路对应的接口为非活动接口并负责冗余备份。

五、主动端与被动端的概念。
.
在静态LACP模式下，聚合组两端的设备中，须要选择一端为主动端，而另外一端为被动端。一般状况下，LACP优先级较高的一端为主动端，LACP优先级较低的一端为被动端。若是优先级同样，那么一般选择MAC地址小的一段为主动端。（优先级的数值越小，优先级越高）。
.
区分主动端与被动端的目的是保证两端设备最终确认的活动接口一致，不然两端都按照本端各自的接口优先级来选择活动接口，最终两端所肯定的活动接口颇有可能不一致，聚合链路也就没法创建。以下所示：

SwitchA选择上面的两个接口为活动接口，而SwitchB选择下面的两个接口为活动接口，由于SwitchA的优先级比较高，因此最终的活动接口两端都以SwitchA为准，所以应首先肯定主动端，被动端按照主动端侧的接口优先级来选择活动接口。
.
六、负载均衡模式有哪几种？
.
链路聚合的主要做用是提升带宽以及增长冗余，而广泛的作法就是在多条物理链路上实行负载分担。ui

经常使用的负载分担模式包括：日志

dst-ip（目的IP地址）模式：从目的IP地址、出端口的TCP/UDP端口号中分别选择指定位的3bit数值进行异或运算，根据运算结果选择Eth-Trunk表中对应的出接口。

dst-mac（目的MAC地址）模式：从目的MAC地址、VLAN ID、以太网类型及入端口信息中分别指定位的3bit数值进行异或运算，根据运算结果选择Eth-Trunk表中对应的出接口。

src-ip（源IP地址）模式：从源IP地址、入端口的TCP/UDP端口号中分别指定位的3bit数值进行异或运算，根据运算结果选择Eth-Trunk表中对应的出接口。

src-mac（源MAC地址）模式：从源MAC地址、VLAN ID、以太网类型及入端口信息中分别指定位的3bit数值进行异或运算，根据运算结果选择Eth-Trunk表中对应的出接口。

src-dst-ip（源IP地址与目的IP地址的异或）模式：对目的IP地址、源IP地址两种负载分担模式的运算结果进行异或运算，根据运算结果选择Eth-Trunk表中对应的出接口。

src-dst-mac（源MAC地址与目的MAC地址的异或）模式：对目的MAC地址、源MAC地址、VLAN ID、以太网类型及入端口信息中分别选择指定位的3bit数值进行异或运算，根据运算结果选择Eth-Trunk表中对应的出接口。

2、华为网络设备配置命令：
这里从一个大型的网络拓扑图的配置提及，将华为网络设备的基础配置命令写下来，能够下载我提供的拓扑图：https://pan.baidu.com/s/1GHXSRZv0Ha730osgI03qeQ&shfl=sharepset
提取码：38t2 ，该拓扑图不以实用性为目的，而是以涉及更多的配置命令及技术为目的。网络拓扑图以下：

该拓扑图涉及的命令以下：

链路聚合

vlan划分

单臂路由及三层交换

OSPF及RIP的动态路由配置

路由重分发

PAT及静态NAT的配置

基本ACL及高级ACL配置

网络拓扑分析：

一、OSPF和RIP部分：
.
R2为公司的网关路由器，R1模拟公网路由器，因此不可配置去往公司内部的路由。公司内网使用了两种动态路由协议，RIP和OSPF，R2的GE0/0/0、GE0/0/1两个接口和SW一、SW2使用了OSPF动态路由，属于area0。R2的GE0/0/2以及R3和R4 都是用了动态路由协议RIP。因此须要在R2路由器上进行路由重分发。从而使不一样的路由协议相互学习。R2做为网关路由器，须要有一条默认路由指向公网，而且须要将这条默认路由重分发到OSPF及RIP协议里。
.
二、链路聚合：
.
SW1和SW2使用链路聚合将两条物理链路聚合成一条逻辑链路，用于实现负载分担和备份。设置SW1为LACP主动端，逻辑链路基于MAC方式进行负载分担。

三、NAT及ACL：
.
模拟内网中192.168.10.0/24和192.168.11.0/24这两个网段不能够链接公网，因此须要设置ACL。Windows server 2016搭建一个web服务器，使用静态NAT发布到公网，使win 7 客户端能够访问到web服务器。
.
四、公司内部全部的网段都是192.168.X.0/24的网段。
.
第一部分的配置：
.
第一部分首先从R2路由器的GE0/0/0和GE0/0/1开始往下配置，依次配置路由器接口IP地址、OSPF、三层交换机的接口、vlan、链路聚的配置、二层交换机的接口配置以及划分vlan，最终测试最下面的PC是否能够ping通路由器的GE0/0/0接口（须要在配置完OSPF后才可ping通）。
.
R2路由器配置以下：

<R2>un ter mo           <!--关闭日志提示消息（很烦人的一个东西）-->
<R2>sys                     <!--进入系统视图-->
[R2]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2               <!--配置一个指向公网的默认路由-->
[R2]int g0/0/0                   <!--进入该接口-->
[R2-GigabitEthernet0/0/0]ip add 192.168.7.2 24 <!--配置接口IP，默认接口处于开启状态，因此不用开启接口-->
[R2-GigabitEthernet0/0/0]int g0/0/1             <!--进入该接口-->
[R2-GigabitEthernet0/0/1]ip add 192.168.8.2 24               <!--配置接口IP-->
[R2-GigabitEthernet0/0/1]ospf 10                          <!--进入OSPF进程，指定进程号为10-->
[R2-ospf-10]area 0                               <!--进入area0 区域-->
[R2-ospf-10-area-0.0.0.0]net 192.168.7.0 0.0.0.255           <!--宣告相应网段-->
[R2-ospf-10-area-0.0.0.0]net 192.168.8.0 0.0.0.255            <!--宣告相应网段-->
[R2-ospf-10-area-0.0.0.0]quit              <!--退出area 0区域-->
[R2-ospf-10]default-route-advertise         <!--注入一条默认路由（前提是该路由器有默认）-->

SW1配置以下：

<SW1>un ter mo              <!--关闭日志提示消息-->
<SW1>sys                      <!--进入系统视图-->
[SW1]vlan ba 2 to 8               <!--建立vlan2到vlan8-->
[SW1]in vlan 7                        <!--进入vlan7-->
[SW1-Vlanif7]ip add 192.168.7.1 24             <!--给vlan配置IP地址-->
[SW1-Vlanif7]in vlan 2                           <!--进入vlan2-->
[SW1-Vlanif2]ip add 192.168.2.254 24               <!--给vlan配置IP地址-->
[SW1-Vlanif2]in vlan 3                                <!--进入vlan3-->
[SW1-Vlanif3]ip add 192.168.3.254 24                   <!--给vlan配置IP地址-->
[SW1-Vlanif3]in vlan 4                         <!--进入vlan4-->
[SW1-Vlanif4]ip add 192.168.4.254 24                    <!--给vlan配置IP地址-->
[SW1-Vlanif4]in g0/0/1                              <!--进入接口g0/0/1-->
[SW1-GigabitEthernet0/0/1]port link-type access             <!--更改接口类型为access-->
[SW1-GigabitEthernet0/0/1]port default vlan 7              <!--将接口添加到vlan 7-->
<!--由于华为的三层交换机不能够直接在物理接口配置IP地址，
因此只能把IP配在vlan，而后将物理接口添加到VLAN中-->
[SW1-GigabitEthernet0/0/1]lacp pri 1000                  <!--更改该交换机的LACP优先级-->
[SW1]int Eth-Trunk 12               <!--建立链路聚合逻辑接口，指定ID为12-->
[SW1-Eth-Trunk12]mode lacp-static                <!--配置静态LACP模式-->
[SW1-Eth-Trunk12]load-balance dst-mac          <!--配置负载均衡模式为目标MAC地址-->
[SW1-Eth-Trunk12]trunkport g0/0/23                     <!--添加成员接口g0/0/23-->
[SW1-Eth-Trunk12]trunkport g0/0/24                          <!--添加成员接口g0/0/24-->
[SW1-Eth-Trunk12]port link-type trunk                    <!--配置链路聚合模式为trunk-->
[SW1-Eth-Trunk12]port trunk allow-pass vlan all           
<!--容许全部vlan经过，华为设备默认不容许除vlan1之外的因此vlan经过，因此要手动容许。-->
[SW1-Eth-Trunk12]in g0/0/2                        <!--进入g0/0/2接口-->
[SW1-GigabitEthernet0/0/2]port link-type trunk               <!--配置接口类型为trunk-->
[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan all           <!--容许全部vlan经过-->
[SW1-GigabitEthernet0/0/2]in g0/0/3           <!--进入g0/0/3接口-->
[SW1-GigabitEthernet0/0/3]port link-type trunk            <!--配置接口类型为trunk-->
[SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan all            <!--容许全部vlan经过-->
[SW1]ospf 10                       <!--配置OSPF-->
[SW1-ospf-10]area 0                  <!--进入area 0-->
[SW1-ospf-10-area-0.0.0.0]net 192.168.2.0 0.0.0.255         <!--将全部直连网段声明-->
[SW1-ospf-10-area-0.0.0.0]net 192.168.3.0 0.0.0.255
[SW1-ospf-10-area-0.0.0.0]net 192.168.4.0 0.0.0.255
[SW1-ospf-10-area-0.0.0.0]net 192.168.7.0 0.0.0.255

SW2配置以下：

<SW2>un ter mo                         <!--关闭日志消息-->
<SW2>sys                      <!--进入系统视图-->
[SW2]vlan ba 2 to 8            <!--建立vlan-->
[SW2]in vlan 8                 <!--进入vlan8-->
[SW2-Vlanif8]ip add 192.168.8.1 24                 <!--给vlan配置IP地址-->
[SW2-Vlanif8]in vlan 6              <!--进入vlan6-->
[SW2-Vlanif6]ip add 192.168.6.254 24                  <!--给vlan配置IP地址-->
[SW2-Vlanif6]in vlan 5               <!--进入vlan5-->
[SW2-Vlanif5]ip add 192.168.5.254 24                  <!--给vlan配置IP地址-->
[SW2-Vlanif5]in g0/0/1                 <!--进入接口g0/0/1-->
[SW2-GigabitEthernet0/0/1]port link-type access           <!--将接口类型改成access-->
[SW2-GigabitEthernet0/0/1]port default vlan 8             <!--将接口添加到vlan8-->
[SW2]int Eth-Trunk 12             <!--建立聚合链路，以便与SW1对应-->
[SW2-Eth-Trunk12]mode lacp-static               <!--配置静态LACP模式-->
[SW2-Eth-Trunk12]trunkport g0/0/23               <!--添加成员接口g0/0/23-->
[SW2-Eth-Trunk12]trunkport g0/0/24               <!--添加成员接口g0/0/24-->
[SW2-Eth-Trunk12]port link-type trunk                <!--将接口类型改成trunk-->
[SW2-Eth-Trunk12]port trunk allow-pass vlan all        <!--容许全部vlan经过-->
[SW2-Eth-Trunk12]in g0/0/2                  <!--进入g0/0/2接口-->
[SW2-GigabitEthernet0/0/2]port link-type trunk           <!--配置接口类型为trunk-->
[SW2-GigabitEthernet0/0/2]port trunk allow-pass vlan all           <!--容许全部vlan经过-->
[SW2-GigabitEthernet0/0/2]in g0/0/3                     <!--进入g0/0/3接口-->
[SW2-GigabitEthernet0/0/3]port link-type trunk              <!--配置接口类型为trunk-->
[SW2-GigabitEthernet0/0/3]port trunk allow-pass vlan all          <!--容许全部vlan经过-->
[SW2]ospf 10                           <!--配置OSPF-->
[SW2-ospf-10]area 0                 <!--进入area 0-->
[SW2-ospf-10-area-0.0.0.0]net 192.168.8.0 0.0.0.255                  <!--将全部直连网段声明-->
[SW2-ospf-10-area-0.0.0.0]net 192.168.5.0 0.0.0.255
[SW2-ospf-10-area-0.0.0.0]net 192.168.6.0 0.0.0.255

SW4配置以下：

SW4>undo ter mo                <!--关闭日志消息-->
<SW4>sys                 <!--进入系统视图-->
[SW4]vlan ba 2 to 8             <!--建立vlan，其实这里只建立vlan2和vlan3就能够了-->
[SW4]in g0/0/1                   <!--进入该接口-->
[SW4-GigabitEthernet0/0/1]port link-type trunk           <!--配置接口类型为trunk-->
[SW4-GigabitEthernet0/0/1]port trunk allow-pass vlan all          <!--容许全部vlan经过-->
[SW4-GigabitEthernet0/0/1]in g0/0/3          <!--进入该接口-->
[SW4-GigabitEthernet0/0/3]port link-type access                <!--将接口类型改成access-->
[SW4-GigabitEthernet0/0/3]port default vlan 2                 <!--将接口添加到vlan2-->
[SW4-GigabitEthernet0/0/3]in g0/0/2                  <!--进入该接口-->
[SW4-GigabitEthernet0/0/2]port link-type access                  <!--将接口类型改成access-->
[SW4-GigabitEthernet0/0/2]port default vlan 3                 <!--将接口添加到vlan3-->

SW5配置以下：

<SW5>undo ter mo                <!--关闭日志消息-->
<SW5>sys                      <!--进入系统视图-->
[SW5]vlan 4                  <!--建立vlan4-->
[SW5-vlan4]quit
[SW5]in g0/0/1             <!--进入该接口-->
[SW5-GigabitEthernet0/0/1]port link-type trunk         <!--配置接口类型为trunk-->
[SW5-GigabitEthernet0/0/1]port trunk allow-pass vlan all             <!--容许全部vlan经过-->
[SW5-GigabitEthernet0/0/1]in g0/0/2               <!--进入该接口--> 
[SW5-GigabitEthernet0/0/2]port link-type access         <!--将接口类型改成access-->
[SW5-GigabitEthernet0/0/2]port default vlan 4                 <!--将接口添加到vlan4-->
因为SW六、SW7和SW5的配置相比起来没有太大的差异，都是改一下接口类型，建立相应的vlan，将接口添加到vlan中，trunk接口容许全部vlan的信息经过，因此，SW6和SW7就不写注释了，相应的注释能够参考SW5的配置。

SW6配置以下：

<SW6>undo ter mo
<SW6>sys
[SW6]vlan 5
[SW6-vlan5]in g0/0/1
[SW6-GigabitEthernet0/0/1]port link-type trunk 
[SW6-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[SW6-GigabitEthernet0/0/1]in g0/0/2
[SW6-GigabitEthernet0/0/2]port link-type access 
[SW6-GigabitEthernet0/0/2]port default vlan 5

SW7配置以下：

<SW7>un ter mo
<SW7>sys
[SW7]vlan 6
[SW7-vlan6]in g0/0/1
[SW7-GigabitEthernet0/0/1]port link-type trunk 
[SW7-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[SW7-GigabitEthernet0/0/1]in g0/0/2
[SW7-GigabitEthernet0/0/2]port link-type access 
[SW7-GigabitEthernet0/0/2]port default vlan 6
通过以上配置，下面的网络部分已经通了，能够自行使用PC进行ping测试。

.
第二部分的配置：
.
第二部分开始配置R2路由器的GE0/0/2接口到R4路由器及下面的交换机，首先配置R2路由器的GE0/0/2接口IP并配置RIP，进行OSPF和RIP的路由重分发，配置R3的接口IP及RIP路由，最后配置R4的接口IP、单臂路由及RIP路由。
.
R2路由器配置以下：

[R2]in g0/0/2                    <!--进入该接口--> 
[R2-GigabitEthernet0/0/2]ip add 192.168.12.1 24                 <!--配置接口IP-->
[R2-GigabitEthernet0/0/2]rip                  <!--进入RIP-->
[R2-rip-1]ver 2                     <!--开启RIP版本2-->
[R2-rip-1]undo summary                     <!--关闭路由自动汇总-->
[R2-rip-1]net 192.168.12.0                    <!--声明网段信息-->
[R2-rip-1]import-route ospf 10                 <!--充分发OSPF路由信息-->
[R2-rip-1]default-route originate              <!--注入默认路由，前提是本设备有默认路由-->
[R2-rip-1]ospf 10                  <!--进入OSPF-->
[R2-ospf-10]import-route rip 1                      <!--重分发RIP路由信息，默认RIP进程号为1-->

R3路由器配置以下：

<R3>undo ter mo                        <!--关闭日志信息-->
<R3>sys              <!--进入系统视图-->
[R3]in g0/0/0                   <!--进入该接口-->
[R3i-GigabitEthernet0/0/0]ip add 192.168.12.2 24                     <!--配置接口IP-->
[R3-GigabitEthernet0/0/0]in g0/0/1                         <!--进入该接口-->
[R3-GigabitEthernet0/0/1]ip add 192.168.13.1 24                <!--配置接口IP-->
[R3-GigabitEthernet0/0/1]rip             <!--进入RIP-->
[R3-rip-1]ver 2                   <!--指定RIP版本为2-->
[R3-rip-1]un sum                 <!--关闭路由自动汇总-->
[R3-rip-1]net 192.168.12.0              <!--声明相应的直连网段-->
[R3i-rip-1]net 192.168.13.0

R4路由器配置以下：

<R4>un ter mo           <!--关闭日志信息-->
<R4>sys                    <!--进入系统视图-->
[R4]in g0/0/1              <!--进入该接口-->
[R4-GigabitEthernet0/0/1]ip add 192.168.13.2 24            <!--配置接口IP-->
[R4-GigabitEthernet0/0/1]in g0/0/0.10                   <!--配置单臂路由-->
[R4-GigabitEthernet0/0/0.10]ip add 192.168.10.1 24               <!--配置子接口的IP地址-->
[R4-GigabitEthernet0/0/0.10]dot ter vid 10                    <!--子接口和vlan  10 关联-->
[R4-GigabitEthernet0/0/0.10]arp bro ena                         <!--子接口打开ARP广播-->
[R4-GigabitEthernet0/0/0.10]in g0/0/0.11                    <!--进入子接口g0/0/0.11-->
[R4-GigabitEthernet0/0/0.11]ip add 192.168.11.1 24              <!--配置子接口的IP地址-->
[R4-GigabitEthernet0/0/0.11]dot1q ter vid 11                   <!--子接口和vlan  11 关联-->
[R4-GigabitEthernet0/0/0.11]arp broadcast enable                   <!--子接口打开ARP广播-->
[R4]rip                            <!--进入RIP-->
[R4-rip-1]ver 2                  <!--指定RIP版本为2-->
[R4-rip-1]un sum                 <!--关闭路由自动汇总-->
[R4-rip-1]net 192.168.13.0                 <!--声明直连网段-->
[R4-rip-1]net 192.168.10.0
[R4-rip-1]net 192.168.11.0

SW3交换机配置以下：

<SW3>un ter mo                     <!--关闭日志信息-->
<SW3>sys                    <!--进入系统视图-->
[SW3]vlan ba 10 to 11               <!--建立响应vlan-->
[SW3]in g0/0/1                   <!--进入该接口-->                
[SW3-GigabitEthernet0/0/1]port link-type trunk                   <!--将接口模式改成trunk-->
[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 to 11 <!--容许相应vlan经过，“10 to  11”也可换成“all”-->
[SW3-GigabitEthernet0/0/1]in g0/0/2             <!--进入该接口-->
[SW3-GigabitEthernet0/0/2]port link-type access                 <!--将接口模式改成access-->
[SW3-GigabitEthernet0/0/2]port default vlan 10                   <!--将接口添加到vlan 10-->
[SW3-GigabitEthernet0/0/2]in g0/0/3             <!--进入该接口-->
[SW3-GigabitEthernet0/0/3]port link-type access                  <!--将接口模式改成access-->
[SW3-GigabitEthernet0/0/3]port default vlan 11              <!--将接口添加到vlan 11-->

通过上面的配置，下面这些网络就所有搞定了，能够自行使用PC机进行ping测试。
.

第三部分的配置：
如今就须要配置Internet部分了，从R2路由器的GE3/0/0接口开始配置，首先配置该接口的IP地址，而后在配置Internet路由器R1的相应接口IP地址，注意，Internet路由器R1不可配置路由表，但依然要求全部内网能够ping通win 7客户端，由于在实际中，公司内部的私网地址不可能在公网上进行路由，公网上的路由器也不可能配置路由表直接指向公司内部，这就须要用到了NAT。为了引出ACL的配置方法，就指定PC5和PC6不能够和公网进行通讯，剩下的均可以。
.
R2路由器配置以下：

[R2]in g3/0/0                   <!--进入该接口-->
[R2-GigabitEthernet3/0/0]ip add 200.0.0.1 24            <!--配置接口IP-->
[R2-GigabitEthernet3/0/0]quit                      <!--退出该接口-->
[R2]nat address-group 1 200.0.0.100 200.0.0.100                      <!--配置NAT组-->
[R2]acl 2000                      <!--编写编号为2000的基本ACL-->
[R2-acl-basic-2000]rule 0 per source any                      <!--容许全部源地址经过-->
[R2-acl-basic-2000]quit                      <!--退出-->
[R2]acl 3000                          <!--编写编号为3000的高级ACL-->
[R2-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.1.255 destination 200.0.0.0 0.0.0.255
<!--拒绝某个地址访问指定地址，“192.168.10.0”是一个汇总后的地址，从反掩码能够看出-->
[R2-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.1.254 destination 201.0.0.0 0.0.0.255
<!--拒绝某个地址访问指定地址-->
[R2-acl-adv-3000]quit                      <!--退出-->
[R2]in g3/0/0                      <!--进入链接Internet的接口-->
[R2-GigabitEthernet3/0/0]nat outbound 2000 address-group 1   <!--NAT转换，2000为ACL-->
[R2-GigabitEthernet3/0/0]nat server global 200.0.0.200 inside 192.168.2.10 
<!--配置NAT映射，将内网服务器映射为公网IP“200.0.0.200”-->
[R2-GigabitEthernet3/0/0]quit                      <!--退出-->
[R2]in g0/0/2                      <!--进入该接口-->
[R2-GigabitEthernet0/0/2]traffic-filter inbound acl 3000      <!--应用拒绝的ACL-->

R1路由器配置以下：

<!--给接口配相应的IP地址，耐心快消耗没了，就不注释了-->
<R1>sys
[R1]in g0/0/0
[R1-GigabitEthernet0/0/0]ip add 200.0.0.2 24
[R1-GigabitEthernet0/0/0]in g0/0/1
[R1-GigabitEthernet0/0/1]ip add 201.0.0.1 24

如今全部配置均以完成，自行配置win7和win server 2016进行测试吧，注意，win7和内网进行ping测试或访问Windows server 2016的服务时，须要ping内网映射出来的地址和服务器映射出的公网地址，而不是内网服务器的真实地址。
附带一些用于排错的命令：
.

[R2]display current-configuration              <!--查看当前设备的全部配置-->
[R2]display ip routing-table               <!--查看路由表-->
[SW1]display vlan               <!--查看vlan信息-->
[SW1]display ip interface brief                              <!--查看接口状态-->
[SW1]display current-configuration interface vlan 2 <!--查看某一个接口的当前配置信息-->
[R2]display nat session all               <!--查看NAT转换条目-->
[R2]display ospf peer brief                              <!--查看OSPF邻居信息-->
[R2]display acl all                  <!--查看ACL信息-->
[SW1]display eth-trunk 12                            <!--查看链路聚合信息-->

该网络拓扑图需知道如下几个知识点：

即便某些交换机上并无相应vlan的客户端，但依然要建立相应vlan，如上面拓扑图中的SW1和SW2，由于当交换机收到来自某vlan的数据包时，若是他没有该vlan，那么将丢弃该数据包，可是若是中间通过了路由器，那就不同了。

华为的trunk通道默认不容许除vlan 1之外的全部vlan通讯，而Cisco设备的trunk默认容许全部vlan通讯，因此在配置华为设备时，在配置完基本的trunk配置后，必定要加上容许相关vlan经过trunk的命令。

在配置链路聚合时，LACP的优先级值越小，优先级越高，默认状况下，系统LACP优先级为32768。在两端设备中选择LACP优先级较小的一端做为主动端，若是系统LACP优先级相同，则选择MAC地址较小的一端做为主动端。

在配置OSPF是，若是想要指定router-id，能够在进入进程模式时追加router-id，如将R2的router-id设置为1.1.1.1 ：“[R2]ospf 10 router-id 1.1.1.1”。

华为三层交换机的二层接口没有直接提高为三层接口的命令，如Cisco中的“no switchport”，因此在和路由器直连时，只能配置vlan虚接口，而后将物理接口添加到vlan中。

在华为中，只能以标准的方式宣告RIP网络，如网段进行子网划分后为“10.10.5.0/24”，在宣告网段时，也只能宣告为“10.0.0.0”，可是须要注意，若是网络中有通过子网划分的网络，那么必定要使用RIP的版本2（默认为1），而且关闭自动汇总。

华为的NAT转换直接配置在外部接口模式下，须要转换的内部流量须要经过ACL来定义，而转换后的内部全局地址经过配置NAT组来实现。

华为的ACL与Cisco基本类似，华为的ACL分为基本和高级两种，相似于Cisco的标准和扩展。其中基本的编号为2000~2999，高级的编号为3000~3999，rule命令字后面能够加编号，也能够省略，默认每一个rule之间相隔5个数，由于ACL的规则是匹配即停，因此这样使为了方便之后更改rule时，能够插入到某个rule以前。