华为datacom-HCIA学习笔记汇总2.0
华为datacom-HCIA
第四弹
OSPF
动态路由
距离矢量路由协议
只关心距离和方向
RIP、BGP
链路状态路由协议
传递链路状态信息
OSPF、IS-IS
OSPF工作原理
1、发送Hello报文,建立邻居关系
2、泛洪链路状态信息LSA,形成统一的链路状态数据库LSDB
3、运行SPF算法,得出最优路由、加入路由表
OSPF五种报文
hello报文
建立维护邻居关系
DD报文
数据库描述报文---描述数据库信息
LSR报文
链路状态请求报文---请求链路状态信息
LSU报文
链路状态更新报文---更新链路状态信息
LSAck报文
链路状态确认报文---确认收到的链路状态信息
OSPF邻居状态机
down状态
关闭状态:没有任何报文的交互
init状态
收到hello报文,但是hello报文里面不包含自己的路由器标识router-id
2-way状态
邻居关系建立成功,收到的hello报文里包含自己的router-id
exstart状态
发送空的DD报文
exchange状态
交互真实的报文
loading状态
交互LSR/LSU/LSAck报文
full状态
建立邻接关系,所有链路状态同步完成
router-id:路由器标识
手工配置
ospf router-id x.x.x.x
自动生成
loopback接口地址最大
interface LoopBack 0
物理接口最大成为router-id
不可被抢占,一旦形成,不可修改(除非重置ospf进程,才能生效)
reset ospf 1 process
Router ID选举规则
手动配置OSPF路由器的Router ID(建议手动配置)
如果没有手动配置Router ID,则路由器使用Loopback接口中最大的IP地址作为Router ID
如果没有配置Loopback接口,则路由器使用物理接口中最大的IP地址作为Router ID
OSPF区域
骨干区域
area 0
非骨干区域
通信原则
非骨干区域必须与骨干区域相连
为什么划分区域
LSA泛洪,方便管理
怎么划分区域
基于路由器接口划分区域
划分区域后,根据路由器所连接区域的情况,可划分两种路由器角色:
区域内部路由器(Internal Router):该类设备的所有接口都属于同一个OSPF区域。
区域边界路由器(Area Border Router):该类设备接口分别连接两个及两个以上的不同区域。
OSPF基础配置
只有一个骨干区域的情况
1、设置router-id
ospf router-id1.1.1.1
2、进入ospf进程
ospf
默认进入ospf进程1
3、进入区域0
area 0
4、宣告网段
network 直连网段 反掩码
系统界面:undo info-center enable
关闭信息提示
display ospf peer brief
DR:指定路由器
将所有信息进行汇总,在讲所有信息转发
BDR:备份指定路由器
将所有信息进行备份
DR other:其他路由器
DR Other之间只能建立邻居关系。发送hello报文
DR Other与DR 之间建立邻接关系,进行LSA泛洪
display ospf 1 interface g0/0/0
查看端口角色
DR与BDR选举规则
先比较优先级,优先级越大越优先
默认优先级为1
修改:接口下
ospf dr-priority
ospf priority 0-255
改为0没有选举权限,为DRother
比较Router ID,Router ID越大越优先
一旦被选举不可被抢占
华为datacom-HCIA
华为datacom-HCIA 1
1. 第四弹 5
1.1. OSPF认证 5
1.1.1. 基于接口认证 5
1.1.1.1. 接口认证更优先 6
1.1.1.2. [R2]interface g0/0/1 6
1.1.1.3. [R2-g0/0/1]ospf authentication-mode simple huawei 6
1.1.1.3.1. 明文认证 6
1.1.1.4. [R2-g0/0/1]ospf authentication-mode md5 1 cipher huawei 6
1.1.1.4.1. MD5认证 6
1.1.2. 基于区域认证 6
1.1.2.1. ospf 1 7
1.1.2.2. area 0 7
1.1.2.3. authentication-mode simple cipher huawei 7
1.2. OSPF选路 7
1.2.1. 标准:优先级、子网掩码、开销值 7
1.2.2. cost=带宽参考值(100MB/S)/接口带宽 7
1.2.3. 路由传递的入方向,接口开销之和 7
1.2.4. 修改cost值方式 7
1.2.4.1. 1、修改带宽参考值 7
1.2.4.1.1. [Huawei-ospf-1]bandwidth-reference x 8
1.2.4.2. 2、修改一个接口 8
1.2.4.2.1. [Huawei-GigabitEthernet0/0/0] ospf cost cost 8
1.3. 命令 8
2. 第五弹 9
2.1. WLAN原理与配置 10
2.1.1. Virtual Local Area Network虚拟局域网 10
2.2. VLAN 10
2.2.1. 虚拟局域网 10
2.2.2. 将一个物理局域网,在逻辑上划分成多个小的局域网 10
2.2.3. 通过在交换机上配置VLAN,可以实现,在同一个VLAN的用户可以相互通信,不同vlan的用户被二层隔离 11
2.2.4. 作用:隔离广播域 11
2.2.5. 交换机通过Tag区分不同的VLAN ID 11
2.3. VLAN数据帧格式 11
2.3.2. DMAC SMAC Type Data FCS 11
2.3.2.1. 没有携带Tag的帧 12
2.3.3. DMAC SMAC Tag Type Data FCS(帧尾) 12
2.3.3.1. 携带Tag的帧 12
2.3.3.2. Tag 4字节 12
2.3.3.3. TPID 12
2.3.3.3.1. 标签协议标识:0x8100,代表vlan tag 12
2.3.3.4. TCI 12
2.3.3.4.1. Pri:优先级,用于服务质量 13
2.3.3.4.2. CFI:是否支持令牌环网络 13
2.3.3.5. VLAN ID 13
2.3.3.5.1. 12bit 13
2.3.4. Tag 14
2.3.4.1. VLAN标签长4个字节,直接添加在以太网帧头中,IEEE802.1Q文档对VLAN标签作出了说明 14
2.3.4.2. TPID:Tag Protocol Identifier,2字节,固定取值,0x8100,是IEEE定义的新类型,表明这是一个携带802.1Q标签的帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃 14
2.3.4.3. TCI:Tag Control Information,2字节。帧的控制信息,详细说明如下 14
2.3.4.3.1. Priority:3比特,表示帧的优先级,取值范围为0~7,值越大优先级越高。当交换机阻塞时,优先发送优先级高的数据帧 14
2.3.4.3.2. CFI:Canonical Format Indicator,1比特。CFI表示MAC地址是否是经典格式。CFI为0说明是经典格式,CFI为1表示为非经典格式。用于区分以太网帧、FDDI(Fiber Distributed Digital Interface)帧和令牌环网帧。在以太网中,CFI的值为0 14
2.3.4.3.3. VLAN Identifier:VLAN ID,12比特,在X7系列交换机中,可配置的VLAN ID取值范围为0~4095,但是0和4095在协议中规定为保留的VLAN ID,不能给用户使用 15
2.3.4.4. 在现有的交换网络环境中,以太网的帧有两种格式 15
2.3.4.4.1. 没有加上VLAN标记的标准以太网帧(untagged frame);有VLAN标记的以太网帧(tagged frame) 15
2.4. 链路类型 15
2.4.1. access类型 15
2.4.1.1. 接入链路 16
2.4.1.1.1. 连接主机和交换机 16
2.4.2. trunk链路 16
2.4.2.1. 干道链路 16
2.4.2.1.1. 交换机与交换机之间 17
2.4.3. hybrid链路 17
2.4.3.1. 混合链路,华为专有 17
2.4.3.2. 手动定义对于tag的处理动作 17
2.5. PVID 17
2.5.1. 端口 VLAN ID 17
2.5.2. 默认情况下,每个端口的vlan id都是1 18
2.6. 端口收发规则 18
2.6.1. access端口 18
2.6.1.1. 接收规则 18
2.6.1.1.1. 收到一个不带tag字段的数据帧,添加上tag字段,VLAN ID的取值为本端口PVID的值 18
2.6.1.2. 发送规则 18
2.6.1.2.1. 查看数据帧的VLAN ID和本端口的PVID是否相同,相同去掉tag发送,不同丢掉 19
2.6.2. trunk端口 19
2.6.2.1. 发送规则 19
2.6.2.1.1. 1、首先查看数据帧的VLAN ID是否在允许通过列表中 19
2.6.2.1.2. 2、 19
2.6.2.2. 接收规则 20
2.6.2.2.1. 1、收到一个不带tag的数据帧,添加tag字段,VLAN ID取值为本端口的值,然后查看允许通过列表 20
2.6.2.2.2. 2、收到一个带tag的数据帧,查看允许通过列表 21
2.6.3. hybrid端口 21
2.6.3.1. 发送规则 21
2.6.3.1.1. 查看VLAN ID是否在允许通过列表 22
2.6.3.2. 接收规则 23
2.6.3.2.1. 1、收到一个不带tag的数据帧,打上本端口的PVID,查看允许通过列表 23
2.6.3.2.2. 2、收到一个带tag的数据帧,查看允许通过列表 23
2.7. 命令配置 24
2.7.1. 创建VLAN 24
2.7.1.1. 创建一个VLAN 24
2.7.1.1.1. vlan batch 10 25
2.7.1.2. 创建多个vlan 25
2.7.1.2.1. vlan batch 10 20 30 25
2.7.1.3. 创建多个连续的vlan 25
2.7.1.3.1. vlan batch 10 to 50 25
2.7.2. access 25
2.7.2.1. 1、进入接口 26
2.7.2.1.1. interface e0/0/1 26
2.7.2.2. 2。设置链路类型 26
2.7.2.2.1. [Huawei-Ethernet0/0/4]port link-type access 26
2.7.2.3. 3、设置所属的VLAN ID 26
2.7.2.3.1. [Huawei-Ethernet0/0/4]port default vlan 20 26
2.7.3. trunk 26
2.7.3.1. 1、进入接口 27
2.7.3.2. 2、设置链路类型 27
2.7.3.2.1. [Huawei-Ethernet0/0/1]port link-type trunk 27
2.7.3.3. 3、设置允许通过VLAN 27
2.7.3.4. 4、更改PVID 27
2.7.4. hybrid 27
第四弹
OSPF认证
基于接口认证
接口认证更优先
[R2]interface g0/0/1
[R2-g0/0/1]ospf authentication-mode simple huawei
明文认证
[R2-g0/0/1]ospf authentication-mode md5 1 cipher huawei
MD5认证
基于区域认证
ospf 1
area 0
authentication-mode simple cipher huawei
OSPF选路
标准:优先级、子网掩码、开销值
cost=带宽参考值(100MB/S)/接口带宽
路由传递的入方向,接口开销之和
修改cost值方式
1、修改带宽参考值
[Huawei-ospf-1]bandwidth-reference x
2、修改一个接口
[Huawei-GigabitEthernet0/0/0] ospf cost cost
命令
第五弹
WLAN原理与配置
Virtual Local Area Network虚拟局域网
VLAN
虚拟局域网
将一个物理局域网,在逻辑上划分成多个小的局域网
通过在交换机上配置VLAN,可以实现,在同一个VLAN的用户可以相互通信,不同vlan的用户被二层隔离
作用:隔离广播域
交换机通过Tag区分不同的VLAN ID
VLAN数据帧格式
DMAC SMAC Type Data FCS
没有携带Tag的帧
DMAC SMAC Tag Type Data FCS(帧尾)
携带Tag的帧
Tag 4字节
TPID
标签协议标识:0x8100,代表vlan tag
TCI
Pri:优先级,用于服务质量
CFI:是否支持令牌环网络
VLAN ID
12bit
2^12=4096个
取值范围:0~4095
可用:1~4094
Tag
VLAN标签长4个字节,直接添加在以太网帧头中,IEEE802.1Q文档对VLAN标签作出了说明
TPID:Tag Protocol Identifier,2字节,固定取值,0x8100,是IEEE定义的新类型,表明这是一个携带802.1Q标签的帧。如果不支持802.1Q的设备收到这样的帧,会将其丢弃
TCI:Tag Control Information,2字节。帧的控制信息,详细说明如下
Priority:3比特,表示帧的优先级,取值范围为0~7,值越大优先级越高。当交换机阻塞时,优先发送优先级高的数据帧
CFI:Canonical Format Indicator,1比特。CFI表示MAC地址是否是经典格式。CFI为0说明是经典格式,CFI为1表示为非经典格式。用于区分以太网帧、FDDI(Fiber Distributed Digital Interface)帧和令牌环网帧。在以太网中,CFI的值为0
VLAN Identifier:VLAN ID,12比特,在X7系列交换机中,可配置的VLAN ID取值范围为0~4095,但是0和4095在协议中规定为保留的VLAN ID,不能给用户使用
在现有的交换网络环境中,以太网的帧有两种格式
没有加上VLAN标记的标准以太网帧(untagged frame);有VLAN标记的以太网帧(tagged frame)
链路类型
access类型
接入链路
连接主机和交换机
trunk链路
干道链路
交换机与交换机之间
hybrid链路
混合链路,华为专有
手动定义对于tag的处理动作
PVID
端口
默认情况下,每个端口的vlan id都是1
端口收发规则
access端口
接收规则
收到一个不带tag字段的数据帧,添加上tag字段,VLAN ID的取值为本端口PVID的值
发送规则
查看数据帧的VLAN ID和本端口的PVID是否相同,相同去掉tag发送,不同丢掉
trunk端口
发送规则
1、首先查看数据帧的VLAN ID是否在允许通过列表中
2、
(1)在允许通过列表中,则查看数据帧的VLAN ID和本端口的PVID是否相同
相同则去掉tag发送
不同则带着tag发送
(2)不在列表中,直接丢弃
接收规则
1、收到一个不带tag的数据帧,添加tag字段,VLAN ID取值为本端口的值,然后查看允许通过列表
如果VLAN ID在允许通过列表
如果不在则丢弃
2、收到一个带tag的数据帧,查看允许通过列表
如果VLAN ID在允许通过列表则正常接收
如果不在则丢弃
hybrid端口
发送规则
查看VLAN ID是否在允许通过列表
VLAN ID不在允许列表中,直接丢弃
VLAN ID在允许列表中
VLAN ID在Untagged列表中,去掉tag发送
VLAN ID在Taggged列表中,带Tag直接发送
VLAN ID不在任何列表中,就直接丢弃
接收规则
1、收到一个不带tag的数据帧,打上本端口的PVID,查看允许通过列表
如果允许则正常接收
如果不允许则丢弃
2、收到一个带tag的数据帧,查看允许通过列表
如果允许则正常接收
如果不允许则丢弃
命令配置
创建VLAN
创建一个VLAN
vlan batch 10
创建多个vlan
vlan batch 10 20 30
创建多个连续的vlan
vlan batch 10 to 50
access
1、进入接口
interface e0/0/1
2。设置链路类型
[Huawei-Ethernet0/0/4]port link-type access
3、设置所属的VLAN ID
[Huawei-Ethernet0/0/4]port default vlan 20
trunk
1、进入接口
2、设置链路类型
[Huawei-Ethernet0/0/1]port link-type trunk
3、设置允许通过VLAN
4、更改PVID
hybrid
华为datacom-HCIA笔记
1. 第六弹 7
1.1. RIP 7
1.1.1. 版本 7
1.1.1.1. v1 8
1.1.1.2. v2 8
1.1.2. 配置格式 8
1.1.2.1. 1、进入RIP进程 8
1.1.2.2. 2、设置版本2 8
1.1.2.2.1. version 2 8
1.1.2.3. 3、宣告网段 9
1.1.2.3.1. 13.1.1.0---13.0.0.0 9
1.1.2.3.2. 129.1.1.0---129.1.0.0 9
1.1.2.3.3. 193.1.1.0---193.1.1.0 9
1.2. STP 9
1.2.1. 生成树协议 10
1.2.2. 为了提高网络可靠性,采用冗余链路 10
1.2.2.1. 产生环路 10
1.2.2.2. 产生环路的原因 10
1.2.2.2.1. 广播风暴 10
1.2.2.2.2. MAC地址表震荡(MAC地址表漂移) 11
1.2.3. STP的作用 11
1.2.3.1. 在保证网络可靠的情况下,解决环路问题 11
1.2.4. STP解决环路的原理 11
1.2.4.1. 阻塞端口 11
1.2.4.1.1. 在正常情况下,阻塞端口自动关闭,不进行数据转发,当链路故障,阻塞主动进行数据转发 12
1.2.5. 工作过程 12
1.2.5.1. 选举根交换机 12
1.2.5.1.1. 网桥ID=优先级+MAC地址 12
1.2.5.1.2. 选举规则 13
1.2.5.2. 选举根端口 13
1.2.5.2.1. 非根交换机到达根交换机最优端口 13
1.2.5.2.2. 比较规则 13
1.2.5.3. 选举指定端口 14
1.2.5.3.1. 指定端口:每一条链路到达根交换机的最优端口 14
1.2.5.3.2. 最优端口: 15
1.2.5.3.3. 根交换机上的端口都是指定端口 15
1.2.5.3.4. 比较规则 15
1.2.5.4. 得出阻塞接口 15
1.2.5.4.1. 比较路径开销 15
1.2.6. STP类型 15
1.2.6.1. STP生成树协议 16
1.2.6.2. RSTP快速生成树协议 16
1.2.6.3. MSTP多实例生成树协议 16
1.2.6.4. 查看 display stp 16
1.2.7. 修改STP类型 16
1.2.7.1. stp mode stp 16
1.2.8. 查看端口状态 16
1.2.8.1. display stp brief 16
1.2.8.2. alte discarding 阻塞端口,丢弃状态 17
1.2.9. STP端口状态 17
1.2.9.1. disabled 关闭状态 17
1.2.9.2. blocking:阻塞状态 17
1.2.9.3. listening:侦听状态 17
1.2.9.3.1. 等15秒 17
1.2.9.4. learning:学习状态 17
1.2.9.4.1. 等15秒 18
1.2.9.5. forwarding:转发状态 18
1.2.10. 报文收敛时间,速度慢 18
1.2.11. BPDU 18
1.2.11.1. 桥接协议数据单元 18
1.2.11.1.1. BPDU包含桥ID、路径开销、端口ID、计时器等参数 18
1.2.11.2. 配置BPDU 18
1.2.11.2.1. 选举根交换机根端口指定端口 阻塞端口 18
1.2.11.2.2. 周期性发送,每隔两秒接收一次 19
1.2.11.3. TCN BPDU 19
1.2.11.3.1. 感知拓扑发生变化,通知拓扑变化信息 19
1.2.12. 根桥故障 19
1.2.12.1. 非根桥会在BPDU老化之后开始根桥的重新选举 19
1.2.12.1.1. 在稳定的STP拓扑里,非根桥会定期收到来自根桥的BPDU报文。如果根桥发生了故障,停止发送BPDU报文,下游交换机就无法收到来自根桥的BPDU报文。如果下游交换机一直收不到BPDU报文,Max Age定时器就会超时(Max Age的默认值为20秒),从而导致已经收到的BPDU报文失效,此时,非根交换机会互相发送配置BPDU报文,重新选举新的根桥。根桥故障会导致50秒左右的恢复时间,恢复时间约等于Max Age加上两倍的Forward Delay收敛时间 20
1.2.13. 直连链路故障 21
1.2.13.1. SWB检测到直连链路物理故障后,会将预备端口转换为根端口 21
1.2.13.1.1. 此例中,SWA和SWB使用了两条链路互连,其中一条是主用链路,另外一条是备份链路。生成树正常收敛之后,如果SWB检测到根端口的链路发生物理故障,则其Alternate端口会迁移到Listening、Learning、Forwarding状态,经过两倍的Forward Delay后恢复到转发状态 22
1.2.13.2. SWB新的根端口会在30 秒后恢复到转发状态 22
1.2.14. 非直连链路故障 22
1.2.14.1.1. 本例中,SWB与SWA之间的链路发生了某种故障(非物理层故障),SWB因此一直收不到来自SWA的BPDU报文。等待Max Age定时器超时后,SWB会认为根桥SWA不再有效,并认为自己是根桥,于是开始发送自己的BPDU报文给SWC,通知SWC自己作为新的根桥。在此期间,由于SWC的Alternate端口再也不能收到包含原根桥ID的BPDU报文。其Max Age定时器超时后,SWC会切换Alternate端口为指定端口并且转发来自其根端口的BPDU报文给SWB。所以,Max Age定时器超时后,SWB、SWC几乎同时会收到对方发来的BPDU。经过STP重新计算后,SWB放弃宣称自己是根桥并重新确定端口角色。非直连链路故障后,由于需要等待Max Age加上两倍的Forward Delay时间,端口需要大约50秒才能恢复到转发状态 23
1.2.14.2. 非直连链路故障后,SWC的预备端口恢复到转发状态大约需要50秒。 24
1.2.15. 拓扑改变导致MAC地址表错误 24
1.2.16. 拓扑改变导致MAC地址表变化 24
1.3. 链路聚合 24
1.3.1. 1、手动链路聚合 24
1.3.1.1. interface Eth-Trunk 1 24
1.3.1.2. 加入链路 25
1.3.1.2.1. [SW1-Eth-Trunk1]trunkport e0/0/1 25
1.3.2. 2、LACP模式 25
1.3.2.1. interface Eth-Trunk 1 25
1.3.2.2. 更改模式为LACP模式 25
1.3.2.2.1. [SW1-Eth-Trunk1]mode lacp-static 25
1.3.2.3. 加入链路 26
1.3.2.4. 设置系统优先级 26
1.3.2.4.1. [SW1]lacp priority 200 26
1.3.2.4.2. 越小越优先,选出主动端 26
1.3.2.5. 更改最大活动接口 26
1.3.2.5.1. [SW1-Eth-Trunk1]max active-linknumber 2 26
1.3.2.6. 更改接口优先级 26
1.3.2.6.1. [SW1-Ethernet0/0/3]lacp priority 200 26
1.3.2.7. 开启抢占功能 26
1.3.2.7.1. [SW1-Eth-Trunk1]lacp preempt enable 27
1.3.2.8. 设置抢占延时 27
1.3.2.8.1. [SW1-Eth-Trunk1]lacp preempt delay 10 27
1.3.2.9. 设置负载分担模式 27
1.3.2.9.1. [SW1-Eth-Trunk1]load-balance src-dst-mac 27
1.3.2.10. 查看聚合接口的状态 27
1.3.2.10.1. [SW1-Eth-Trunk1]display interface Eth-Trunk 1 27
1.3.2.11. 查看聚合接口的状态 27
1.3.2.11.1. display eth-trunk 1 28
2. 0712 28
2.1. 访问控制列表ACL 28
2.1.1. 根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等 28
2.1.2. ACL分类 28
2.1.2.1. 基本ACL 29
2.1.2.1.1. 2000-2999 29
2.1.2.2. 高级ACL 29
2.1.2.2.1. 3000-3999 30
2.1.2.3. 二层ACL 30
2.1.2.3.1. 4000-4999 30
2.1.3. 基本ACL配置 31
2.1.3.1. [RTA]acl 2000 31
2.1.3.2. [RTA-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255 31
2.1.3.3. [RTA]interface GigabitEthernet 0/0/0 31
2.1.3.4. [RTA-GigabitEthernet 0/0/0]traffic-filter outbound acl 2000 31
2.1.3.4.1. 出方向流量控制 31
2.1.3.5. deny用来指定拒绝符合条件的数据包,permit用来指定允许符合条件的数据包 31
2.1.4. 通配符 31
2.1.4.1. 0可以匹配 31
2.1.4.2. 1任意匹配 31
2.1.5. 实验配置 32
2.1.5.2. [AR2]acl 2000 32
2.1.5.3. [AR2-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255 32
2.1.5.4. [AR2]int g0/0/0 32
2.1.5.5. [AR2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 32
2.1.6. 顺序是从上往下进行的 32
2.1.7. 默认顺序从5开始 32
2.2. 网络地址转换NAT 32
2.2.1. 私网IP地址 33
2.2.1.1. A类:10.0.0.0 ~ 10.255.255.255 33
2.2.1.2. B类:172.16.0.0 ~ 172.31.255.255 33
2.2.1.3. C类:192.168.0.0 ~ 192.168.255.255 33
2.2.2. 前言 33
2.2.2.1. 一方面NAT缓解了IPv4地址短缺的问题,另一方面NAT技术让外网无法直接与使用私有地址的内网进行通信,提升了内网的安全 33
2.2.3. 部署在连接内网和外网的网关设备上 33
2.2.4. 分类 34
2.2.4.1. 静态NAT 34
2.2.4.1.1. 私网ip与公网ip的一对一映射 34
2.2.4.1.2. 不节省IP 34
2.2.4.1.4. 静态NAT配置示例 35
2.2.4.2. 动态NAT 36
2.2.4.2.1. 私网ip与公网ip的一对一的转换 36
2.2.4.2.2. 不节省ip 36
2.2.4.2.3. 地址池 36
2.2.4.2.5. 动态NAT配置示例 37
2.2.4.3. NAPT 38
2.2.4.3.1. 网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。 38
2.2.4.3.2. 私网ip与公网ip多对一的转换 38
2.2.4.3.3. 多个不同的私网地址ip地址对应到一个公网ip地址的不同端口 38
2.2.4.3.4. 节省ip 38
2.2.4.3.5. NAPT配置示例 38
2.2.4.4. Easy-IP 39
2.2.4.4.1. Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口 39
2.2.4.4.2. 私网ip地址转换成边界网关设备的出接口IP地址的不同端口 39
2.2.4.4.3. Easy IP配置示例 39
2.2.5. NAT Server 40
2.2.5.1. NAT Server配置示例 40
第六弹
RIP
版本
v1
v2
配置格式
1、进入RIP进程
2、设置版本2
version 2
3、宣告网段
13.1.1.0---13.0.0.0
129.1.1.0---129.1.0.0
193.1.1.0---193.1.1.0
STP
生成树协议
为了提高网络可靠性,采用冗余链路
产生环路
产生环路的原因
广播风暴
网络中的主机会收到相同的数据帧、设备宕机
MAC地址表震荡(MAC地址表漂移)
造成数据无法正常转发
STP的作用
在保证网络可靠的情况下,解决环路问题
STP解决环路的原理
阻塞端口
在正常情况下,阻塞端口自动关闭,不进行数据转发,当链路故障,阻塞主动进行数据转发
工作过程
选举根交换机
网桥ID=优先级+MAC地址
越小越优先
优先级默认32768
修改优先级,修改为4096的倍数
stp priority
选举规则
比较网桥ID(先比较优先级,后比较MAC地址)
越小越优先
选举根端口
非根交换机到达根交换机最优端口
比较规则
比较路径开销值
比较对端设备的网桥ID
比较对端的端口ID
端口ID=端口优先级+端口编号
端口优先级128
修改优先级,修改为16的倍数
越小越优先
比较本端口的端口ID
选举指定端口
指定端口:每一条链路到达根交换机的最优端口
最优端口:
根交换机上的端口都是指定端口
比较规则
比较路径开销
比较链路两段的网桥ID
比较链路两段的端口ID
得出阻塞接口
比较路径开销
STP类型
STP生成树协议
RSTP快速生成树协议
MSTP多实例生成树协议
查看
修改STP类型
stp mode stp
查看端口状态
display stp brief
alte discarding 阻塞端口,丢弃状态
STP端口状态
disabled 关闭状态
blocking:阻塞状态
listening:侦听状态
等15秒
learning:学习状态
等15秒
forwarding:转发状态
报文收敛时间,速度慢
BPDU
桥接协议数据单元
BPDU包含桥ID、路径开销、端口ID、计时器等参数
配置BPDU
选举根交换机根端口指定端口 阻塞端口
周期性发送,每隔两秒接收一次
TCN BPDU
感知拓扑发生变化,通知拓扑变化信息
根桥故障
非根桥会在BPDU老化之后开始根桥的重新选举
在稳定的STP拓扑里,非根桥会定期收到来自根桥的BPDU报文。如果根桥发生了故障,停止发送BPDU报文,下游交换机就无法收到来自根桥的BPDU报文。如果下游交换机一直收不到BPDU报文,Max Age定时器就会超时(Max Age的默认值为20秒),从而导致已经收到的BPDU报文失效,此时,非根交换机会互相发送配置BPDU报文,重新选举新的根桥。根桥故障会导致50秒左右的恢复时间,恢复时间约等于Max Age加上两倍的Forward Delay收敛时间
直连链路故障
SWB检测到直连链路物理故障后,会将预备端口转换为根端口
此例中,SWA和SWB使用了两条链路互连,其中一条是主用链路,另外一条是备份链路。生成树正常收敛之后,如果SWB检测到根端口的链路发生物理故障,则其Alternate端口会迁移到Listening、Learning、Forwarding状态,经过两倍的Forward Delay后恢复到转发状态
SWB新的根端口会在30 秒后恢复到转发状态
非直连链路故障
本例中,SWB与SWA之间的链路发生了某种故障(非物理层故障),SWB因此一直收不到来自SWA的BPDU报文。等待Max Age定时器超时后,SWB会认为根桥SWA不再有效,并认为自己是根桥,于是开始发送自己的BPDU报文给SWC,通知SWC自己作为新的根桥。在此期间,由于SWC的Alternate端口再也不能收到包含原根桥ID的BPDU报文。其Max Age定时器超时后,SWC会切换Alternate端口为指定端口并且转发来自其根端口的BPDU报文给SWB。所以,Max Age定时器超时后,SWB、SWC几乎同时会收到对方发来的BPDU。经过STP重新计算后,SWB放弃宣称自己是根桥并重新确定端口角色。非直连链路故障后,由于需要等待Max Age加上两倍的Forward Delay时间,端口需要大约50秒才能恢复到转发状态
非直连链路故障后,SWC的预备端口恢复到转发状态大约需要50秒。
拓扑改变导致MAC地址表错误
拓扑改变导致MAC地址表变化
链路聚合
1、手动链路聚合
interface Eth-Trunk 1
加入链路
[SW1-Eth-Trunk1]trunkport e0/0/1
2、LACP模式
interface Eth-Trunk 1
更改模式为LACP模式
[SW1-Eth-Trunk1]mode lacp-static
加入链路
设置系统优先级
[SW1]lacp priority 200
越小越优先,选出主动端
更改最大活动接口
[SW1-Eth-Trunk1]max active-linknumber 2
更改接口优先级
[SW1-Ethernet0/0/3]lacp priority 200
开启抢占功能
[SW1-Eth-Trunk1]lacp preempt enable
设置抢占延时
[SW1-Eth-Trunk1]lacp preempt delay 10
设置负载分担模式
[SW1-Eth-Trunk1]load-balance src-dst-mac
查看聚合接口的状态
[SW1-Eth-Trunk1]display interface Eth-Trunk 1
查看聚合接口的状态
display eth-trunk 1
0712
访问控制列表ACL
根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等
ACL分类
基本ACL
2000-2999
源IP地址等
高级ACL
3000-3999
源IP地址,目的IP地址,源端口 目的端口
二层ACL
4000-4999
源MAC地址 目的MAC地址 以太网帧协议类型
基本ACL配置
[RTA]acl 2000
[RTA-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[RTA]interface GigabitEthernet 0/0/0
[RTA-GigabitEthernet 0/0/0]traffic-filter outbound acl 2000
出方向流量控制
deny用来指定拒绝符合条件的数据包,permit用来指定允许符合条件的数据包
通配符
0可以匹配
1任意匹配
实验配置
[AR2]acl 2000
[AR2-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
顺序是从上往下进行的
默认顺序从5开始
网络地址转换NAT
私网IP地址
A类:10.0.0.0 ~ 10.255.255.255
B类:172.16.0.0 ~ 172.31.255.255
C类:192.168.0.0 ~ 192.168.255.255
前言
一方面NAT缓解了IPv4地址短缺的问题,另一方面NAT技术让外网无法直接与使用私有地址的内网进行通信,提升了内网的安全
部署在连接内网和外网的网关设备上
分类
静态NAT
私网ip与公网ip的一对一映射
不节省IP
静态NAT配置示例
动态NAT
私网ip与公网ip的一对一的转换
不节省ip
地址池
动态NAT配置示例
NAPT
网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。
私网ip与公网ip多对一的转换
多个不同的私网地址ip地址对应到一个公网ip地址的不同端口
节省ip
NAPT配置示例
Easy-IP
Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口
私网ip地址转换成边界网关设备的出接口IP地址的不同端口
Easy IP配置示例
NAT Server
NAT Server配置示例
腾讯云开发者
