eNSP-learn

Telnet^

1、进入远程登录接口(vty)
2、配置认证模式(null / 密码 / aaa)

[R1]telnet server enable
[R2]user-interface vty 0 4   进入远程登录接口(vty)，允许五个用户同时登录
[R2-ui-vty0-4] authentication-mode password 认证模式改为密码认证
[R2-ui-vty0-4]set authentication password simple/cipher xx 设置明文/密文显示の密码xx

telnet 用户登录的权限默认是 0—-查看权限，若需要管理、配置需要提权

[R2-ui-vty0-4]user privilege level 3  用户登录权限等级改为3

[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]mtu 1200   修改mtu

1	<Huawei>display mac-address 查看MAC地址表

相同网段通信ARP流程与交换机工作原理全过程：

PC1,PC2 IP 和MAC
PC1和PC2互通

首先PC1产生数据，传输层封装TCP/UDP，网络层封装IP；源IP1.1 目的IP1.2；

到达数据链路层时，封装帧头和帧尾；源MAC01；

PC1封装目的MAC时，会首先查看它的ARP表项（arp-a)：发现表项中关于1.2的mac是未知的；于是产生一个ARP广播请求；（广播）

请求消息首先到达交换机，交换机便开始学习源MAC01和接口GE0/0/1的关系；然后放入到交换机的MAC地址表中；（学习）

交换机根据广播帧（FF:FF:FF:FF:FF:FF)进行泛洪动作，会把该帧从交换机的各个接口发出去；（泛洪）

PC2收到该帧，对它进行解封装，得到1.1的MAC是01，记录到自己的ARP表项中；同时发现1.1在请求自己的MAC；便以单播的形式回复；消息到达交换机；（单播）

交换机学习MAC02和端口GE0/0/2的关系，放入到交换机MAC地址表中；（学习）

根据目的MAC01，查找MAC地址表发现，01对应的GE0/0/1接口，便从1口转发发送给PC1；（转发)

PC1解封装，最后得到1.2的MAC为02，至此得到了想要的MAC。

相同网段通信ARP流程与交换机工作原理—关键要素

1.源终端设备产生数据；一系列封装：
应用层（产生数据）(Data)—>传输层（封装TCP/UDP）(数据段)—>网络层（封装IP，包括了源IP和目的IP）(数据包)—>数据链路层(数据帧)–从端口发送至交换机

2.封装目的MAC时，查看ARP表项：
（1）目的MAC未知—>ARP广播—>泛洪
（2）目的MAC已知—–>单播——>转发

3.消息到达交换机：
*学习动作：学习源MAC与接口关系，放入MAC地址表中

（1）广播帧/未知单播帧：泛洪动作：把该帧从交换机的各个接口（除刚刚接收该帧的口）发送出去
（2）单播帧：转发动作：根据MAC地址表，从目的MAC对应的接口转发出去；

4.所有接收到消息的终端设备 –> 解封装；
数据帧[得知源 MAC]–>[解封IP]–>数据包[得到源的IP]
*得到新鲜MAC—>记录到自己的ARP表项中
（1）检查其中的目的MAC：是自己的MAC—>请求，需回复；
不是自己的MAC—>将数据包丢弃

小问答：

一、（封装的过程是在哪里发生的？）
在发送此数据的设备

二、（交换机的MAC地址表和终端的ARP表项是一个东西吗？）
不是。
ARP表项包含 IP地址和其对应的 MAC地址；
MAC地址表包含 MAC地址和其对应的端口。

静态路由配置^

静态路由配置–网络拓扑图

大体思路：
1.配PC
2.配路由接口
3.配静态路径

R2：
sys
sys R2
un in en
int g0/0/0
ip a 192.168.1.254 24
int g0/0/1
ip address 23.1.1.2 24
ip route-static 192.168.2.0 24 g0/0/1 23.1.1.3 

R3：
sys
sys R3
un in en
int g0/0/0
ip a 192.168.2.254 24
int g0/0/1
ip a 23.1.1.3 24
ip route-static 192.168.1.0 24 g0/0/1 23.1.1.2

#ip route-static 目的网段掩码出接口下一跳
#[XX]dis ip routing-table #查看IP路由表

1、数据封装/解封装定义
封装：应用层–>物理层；数据–>二进制数
解封装：物理层–>应用层；二进制数–>数据

2、OSI 模型 TCP/IP 协议栈具体内容
OSI：应用层，表示层，

3、应用层作用，协议内容及端口号（5种以上）
作用：产生数据；
Http：超文本传输（TCP 80）
Https：超文本传输安全（TCP 443）
FTP：文件传输（TCP 20/21）
TFTP：简单文件传输（UDP 69）
Pop3：邮局协议（TCP 110）
Smtp：简单邮件传输（TCP 25）
DNS：域名解析（TCP/UDP 53）
Dhcp：动态IP配置（UDP 67/68）
Telnet：远程登录（TCP 23）
Ssh：安全远程登录（TCP 22）

4、网络层，传输层作用,包含协议及每种协议的作用
传输层：作用：数据分段–>识别上层协议–>根据数据需求封装传输层协议
协议：TCP，UDP
网络层：作用：数据包分片（防止数据过大 MTU-1500B）–>路由寻址和寻路–>实现不同网段通信

5、(TCP可靠性机制、应用UDP场景)
TCP：三次握手—>确认号确认机制—>滑动窗口机制—>四次挥手
UDP场景：延迟要求低，不在意数据泄露

6、网络层、传输层如何识别上层协议？
网络层：协议号（Procotol）使用 tcp-6 / udp-17
传输层：端口号：大小16bit；一共2^16=65536种可能性，能取的0-65535；

7、园区网三层架构：
接入层，汇聚层，核心层

8.网络组成四要素：

1 2	[R1]info-center enable 信息中心开启 [R1]undo info-center enable 关闭信息中心开启

Tab：自动补齐

1 2	[R1-GigabitEthernet0/0/0]dis this 查看当前接口下关系 [R1]display ip interface brief 查看ip地址和接口简要关系

1	display ip routing-table 查看ip路由表

127.0.0.0/8 本地环回网段
127.0.0.1 本地环回地址测试本地网卡连通性

Win+R 运行界面：cmd—打开黑窗口 route print 路由打印

关于ARP协议提升：

PC封装数据—>判断是否在同一网段：
同：PC直接请求目的IP地址的MAC地址；
不同：PC 请求本机所配置网关 IP 地址对应的MAC地址

路由器工作原理：

1.解封装—解掉帧头帧尾–（路由器是三层设备需要看网络层信息）
2.转发动作—路由器收到数据—根据目的IP查路由表转发（默认将路由器直连网段加入路由表）
3.重新封装/重写—-封装新的帧头、帧尾

*路由表的查看：
Destination/MaskProtoPreCostFlags NextHopInterface
NextHop（下一跳）

通不通：
1.看每台设备的路由表–大体看出来–默认加直连网段
2.确定数据流源IP地址—

静态路由：
ip route-static 目的网段掩码出接口下一跳
ip route-static 目的网段掩码下一跳
ip route-static 目的网段掩码出接口

OSPF 实验^

要素：
设备：PC1，PC2，R1，R2，R3

大体思路：
1.配PC
2.配路由接口
3.进入OSPF界面，进程1
选择区域
net(连接)相连网段

R1：
sys
sys R1
un in en
int g0/0/0
ip a 192.168.1.254 24
int g0/0/1
ip a 12.1.1.1 24

ospf
area 0
net 192.168.1.0 0.0.0.255
net 12.1.1.0 0.0.0.255

R2:
sys
sys R2
un in en
int g0/0/1
ip a 12.1.1.2 24
int g0/0/2
ip a 23.1.1.2 24

ospf
area 0
net 12.1.1.0 0.0.0.255

area 2
net 23.1.1.0 0.0.0.255

R3:
sys
sys R3
un in en
int g0/0/0
ip a 192.168.2.254 24
int g0/0/2
ip a 23.1.1.3 24

ospf
area 2
net 192.168.2.0 0.0.0.255
net 23.1.1.0 0.0.0.255

检查：
dis os pe br #查看OSPF邻居关系

1.交换机工作原理

学习—>泛洪(MAC表)—>转发
学习动作:学习源MAC与接口关系,放入MAC地址表中;
泛洪动作:接收到广播帧/未知单播帧时从每个端口(除接收端口外)发送
转发动作:接收到单播帧时根据MAC地址表，从目的MAC对应端口转发

2.路由器工作原理

解封装—>转发(IP路由表)—>重新封装
解封装:解除帧头帧尾
转发动作:根据目的IP查路由表转发
重封装:封装新的帧头帧尾

3.ARP协议作用,工作原理,如何获取对端MAC地址

根据IP地址寻找目的MAC地址;

发送数据前检查自己的arp缓存表(记录了IP与MAC地址对应关系)是否存在目的IP对应的MAC,有则作为目的MAC封装进数据帧中

PC封装数据—>判断是否在同一网段：
同：PC直接请求目的IP地址的MAC地址；
不同：PC 请求本机所配置网关 IP 地址对应的MAC地址

4.TCP IP 协议栈中每层作用及协议

应用层:HTTP ftp pop3 tftp telnet ssh 产生数据
传输层:TCP UDP 数据分段,再根据需求封装传输层协议(端口号)
网络层:ARP IP 包分片,路由寻址和选路
数据链路层:以太网(以太Ⅱ,IEEE802.3) 广域网封装链路层协议,识别上层协议

1.交换机工作原理

学习动作泛洪动作转发动作

学习动作：学习MAC与接口关系放入MAC表
泛洪动作：收到未知单播帧/广播帧时从每一个端口发送出去
转发动作：收到单播帧时根据目的MAC从对应端口转发出去

2.路由器工作原理

解封装转发动作重新封装

解封装：解除帧头帧尾
转发动作：根据目的IP查路由表转发
重封装：重新封装新的帧头帧尾

3.ARP协议作用,工作原理,如何获取对端MAC地址

作用：根据目的IP寻找目的MAC
工作原理：发送数据时查看arp缓存表，若存在目的IP对应MAC则封装进数据帧中
如何？：检查是否在同一网段：同：直接请求目的IP对应MAC；不同：请求网关IP对应MAC

4.TCP IP 协议栈中每层作用及协议

应用层：产生数据：
Http：TCP 80
Https：TCP 443
Ftp：TCP 20/21
Tftp：UDP 69
Pop3：TCP 110
Telnet：TCP 23
Ssh：TCP 22

传输层：数据分段–根据数据需求封装传输层协议（端口号-识别应用层协议）
TCP
UDP

网络层：数据包分片–路由寻址和选路–实现不同网段通信 (协议号-识别传输层协议：TCP-6 UDP-17_)
IP
ARP

数据链路层：封装帧头帧尾（包括数据链路层协议）–实现同网段通信（识别上层协议）
以太网协议（以太网Ⅱ帧、IEEE802.3帧）
广域网协议

物理层：数据帧转换为二进制数

浮动静态路由^

R1：
sys
sys R1
un in en
int g0/0/0
ip a 192.168.1.254 24
int g0/0/1
ip a 12.1.1.1 24
int e0/0/1
ip a 23.1.1.2 24

ip route-static 192.168.2.1 24 g0/0/1 12.1.1.2 preference 50
ip route-static 192.168.2.1 24 e0/0/1 12.1.1.2

R2:
sys
sys R2
un in en
int g0/0/1
ip a 12.1.1.2 24
int g0/0/2
ip a 192.168.2.254 24
int e0/0/1
ip a 23.1.1.3 24

ip route-static 192.168.1.1 24 g0/0/1 12.1.1.1 preference 50
ip route-static 192.168.1.1 24 e0/0/1 12.1.1.1

#ip route-static 目的IP 掩码出接口下一跳优先级 50（静态默认60，优先级越小越优先）

只跟下一跳问题：存在迭代查询现象：到达目的网段需要查多次路由表
查询速度慢，可能丢包

只跟出接口：默认不可通信（点到点环境除外）
如何互通？开启arp代理：当某个接口开启arp代理功能后，代理目的IP地址回复MAC地址
前提：该接口可以与目的IP地址能互通

dis arp all 查看ARP缓存表

[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]arp-proxy enable 开启arp代理

默认路由/缺省路由：
目的网段为0.0.0.0/0的路由代表所有网段
注意事项：切记不要互指下一跳为对方
Tracert 路径跟踪

路由表比较规则：
1.掩码长度，越长（精确）越优先
2.Pre 优先级：越小越优先
直连-0 OSPF(内部)-10 isisp-15 静态-60 rip-100 OSPF(外部)-150 bgp-255
3.Cost 度量：开销，跳数越小越优先

等价路由：目的网段，掩码，优先级相同的多条路由、

[R1]ip route-static 192.168.2.0 24 g0/0/1 12.1.1.2 preference 50 修改优先级

静态路由不足之处：不适用于中大型网络；灵活性差

RIP:路由信息协议
OSPF:开放式最短路径优先
ISIS:中间系统-中间系统
BGP:边界网关协议

按照协议特性：
1.距离矢量路由协议只关心距离和方向，传递的是路由（BGP，RIP）
2.链路状态路由协议传递链路状态信息，形成相同的数据库（地图）
OSPF—LSA（链路状态通告）
ISIS—–LSP（链路状态PDU（协议数据单元））

按照运行范围（AS：自治区域系统）
AS：运行相同路由协议路由器的集合
ASBR：AS边界路由器（处于多个AS之间的路由器）
IGP（内部网关协议）-运行在AS内的路由协议 - RIP\OSPF\ISIS
EGP（外部网关协议）-运行在AS间的路由协议 - BGP

OSPF：开放式最短路径优先

定位：动态路由协议；链路状态：传递链路状态信息；IGP
工作原理：
1、发送Hello建立邻居关系
2、进行LSA（链路状态通告）的泛洪，形成相同LSDB（链路状态数据库）
3、运行SPF（最短路径优先）算法，得出最优路由

问题：随着路由器、链路数量的增多，LSDB随着增大、路由表增大，查表速度降低，转发效率降低
如何解决：划分区域（area）
区域分类：骨干区域：area 0；
非骨干区域：area 1；
区域部署原则：非骨干区域之间通信，必须与骨干区域相连
区域划分；基于接口划分；
区域边界路由器：ABR（至少有一个区域是骨干区域）

OSPF 配置：
1.进入OSPF进程（进程号默认是1）
2.进入路由器所属区域
3.宣告区域内的直连网段（反掩码）

[R1]ospf
[R1-ospf-1]area 0
[R1]display ospf peer brief 查看OSPF对端简要信息

Router ID：路由器标识：
手工配置优先：[R1]ospf 1（进程号） router-id 1.1.1.1（标识名）
默认第一个在路由器配置的IP地址为路由器router id
You need to restart the OSPF process to validate the new router ID.如果之前存在router id，修改后需要重置OSPF进程
reset ospf process
Warning: The OSPF process will be reset. Continue? [Y/N]:y
邻居状态—Full 收敛完成状态

OSPF 优先级：10
OSPF 度量值：开销
ospf接口开销cost = 带宽参考值（100Mb/s） /接口带宽；不足1取1 【GE口千兆 E口百兆】
ospf路由总开销 = 路由器到达目的网段，出方向接口开销之和

如何修改接口cost？
1、修改带宽参考值
[R3-ospf-1]bandwidth-reference ?
INTEGER<1-2147483648> The reference bandwidth (Mbits/s)
[R3-ospf-1]bandwidth-reference 10000
2、直接修改接口cost
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ospf ? #<65535>
[R3-GigabitEthernet0/0/0]ospf cost 5

OSPF 与优先级

R1：
sys
sys R1
un in en
int g0/0/0
ip a 12.1.1.1 24
int g0/0/1
ip a 192.168.1.254 24
q
os 1 ro 1.1.1.1
area 1
net 192.168.1.0 0.0.0.255
net 12.1.1.0 0.0.0.255

R2:
sys
sys R2
un in en
int g0/0/0
ip a 12.1.1.2 24
int g0/0/1
ip a 23.1.1.2 24
q
os 1 ro 2.2.2.2
ar 1
net 12.1.1.0 0.0.0.255

ar 0
net 23.1.1.0 0.0.0.255

int g0/0/1
ospf cost 6

R3:
sys
sys R3
un in en
int g0/0/1
ip a 23.1.1.3 24
int g0/0/2
ip a 34.1.1.3 24
q
os 1 ro 3.3.3.3
ar 0
net 23.1.1.0 0.0.0.255
net 34.1.1.0 0.0.0.255

R4:
sys
sys R4
un in en
int g0/0/2
ip a 34.1.1.4 24
int g0/0/3
ip a 45.1.1.4 24
int g0/0/0
ip a 47.1.1.4 24
q
os 1 ro 4.4.4.4
ar 0
net 34.1.1.0 0.0.0.255

ip route-static 200.1.1.0 24 g0/0/3 45.1.1.5 preference 50
ip route-static 200.1.1.0 24 g0/0/0 47.1.1.7

ospf
default-route-advertise always

R5:
sys
sys R5
un in en
int g0/0/3
ip a 45.1.1.5 24
int g0/0/0
ip a 56.1.1.5 24
q
os 100 ro 5.5.5.5
ar 0
net 56.1.1.0 0.0.0.255

ip route-static 192.168.1.0 24 g0/0/3 45.1.1.4

R7:
sys
sys R7
un in en
int g0/0/0
ip a 47.1.1.7 24
int g0/0/1
ip a 67.1.1.7 24
q
os 100 ro 7.7.7.7
ar 0
net 67.1.1.0 0.0.0.255

ip route-static 192.168.1.0 24 g0/0/0 47.1.1.4

R6:
sys
sys R6
un in en
int g0/0/0
ip a 56.1.1.6 24
int g0/0/1
ip a 67.1.1.6 24
int g0/0/2
ip a 200.1.1.254 24
q
os 100 ro 6.6.6.6
ar 0
net 56.1.1.0 0.0.0.255
net 67.1.1.0 0.0.0.255
net 200.1.1.0 0.0.0.255

ip route-static 192.168.1.0 24 g0/0/0 56.1.1.5 preference 40
ip route-static 192.168.1.0 24 g0/0/1 67.1.1.7

OSPF原理：

1.发送Hello报文建立邻居关系
2.进行LSA泛洪，同步LSDB数据库
3.运行SPF算法，得出最优路由

静态配置中
只跟下一跳问题：迭代查询现象：到达目的网段需查多次路由表，查速慢，可能丢包；
只跟出接口问题：默认不可通信（点到点除外）
如何互通：开启ARP代理：某接口开启ARP代理后，代理目的IP地址回复MAC地址（前提是该接口可以与目的IP地址互通）

路由表比较规则
1、掩码长度越长越优先
2、优先级越小越优先
3、度量：开销跳数越小越优先

OSPF配置：

1.进入OSPF进程
2.进入路由所属区域
3.宣告直连网段

动态路由分类：
协议运行范围

距离矢量 RIP BGP
链路状态 OSPF ISIS

内部网关 IGP RIP OSPF ISIS
外部网关 EGP BGP

OSPF 报文实验^

OSPF 报文消息(Open Shortest Path First)
Hello 建立、维护邻居关系
DBD/DD报文：数据库描述报文描述本地链路状态数据库信息（LSA摘要）
LSR：链路状态请求报文请求所缺少的LSA的详细信息
LSU：链路状态更新报文更新所请求LSA的详细信息
LSACK：链路状态确认报文确认接收到的LSA

R1：
sys
sys R1
un in en
os 1 ro 1.1.1.1
ar 0
int g0/0/0
ip a 12.1.1.1 24
os en 1 ar 0

R2:
sys
sys R2
un in en
int g0/0/0
ip a 12.1.1.2 24
q
os 1 ro 2.2.2.2
ar 0
net 12.1.1.2 0.0.0.0

两个验证

第一个验证：
R1：
sys
sys R1
un in en
int g0/0/0
ip a 1.1.1.1 24
q
os 1 ro 1.1.1.1
ar 0
net 1.1.1.1 0.0.0.0

q
q
int g0/0/0
os au md 1 pl hcie

R2:
sys
sys R2
un in en
int g0/0/0
ip a 1.1.1.2 24
q
os 1 ro 2.2.2.2
ar 0
net 1.1.1.2 0.0.0.0

au md 1 pl hcie

ospf reset process

结果：验证一是通的

第二个验证：

R1：
sys
sys R1
un in en
int g0/0/0
ip a 1.1.1.1 24
q
os 1 ro 1.1.1.1
ar 0
net 1.1.1.1 0.0.0.0

au md 1 pl huawei

q
q
int g0/0/0
os au simple pl bossay

R2:
sys
sys R2
un in en
int g0/0/0
ip a 1.1.1.2 24
q
os 1 ro 2.2.2.2
ar 0
net 1.1.1.2 0.0.0.0

au m 1 p huawei

q
q
int g0/0/0
os au s p bossay

OSPF Header
Auth Type: Simple password (1)
Auth Data (Simple): bossay

结果：
接口认证优先于区域认证
原因：
OSPF区域基于接口划分

loopback接口：环回接口可以配置IP地址—模拟网段

[R3]int loopback ?
<0-1023> LoopBack interface number
[R3]int loopback 0
[R3-LoopBack0]ip address 3.3.3.3 32

在广播型多路访问环境下，LSA泛洪过多，占用大量带宽资源
如何解决：选举DR（指定路由器）
路由器都向DR进行LSA泛洪,由DR将LSA向其他路由器泛洪其他路由器之间，不在进行LSA泛洪
为了保证DR可靠，选举出BDR（备份DR）
非DR/BDR的路由—DRother

DR/BDR选举规则（可能的多路访问环境必定选BR/BDR：40s：先选两个BDR，再升一个为DR）：
1、先比较路由器优先级(默认值1)，越大越优先
【优先级0–不参与DR/BDR选举】
2、router id 越大越优先

DR:123.1.1.4 BDR: 123.1.1.2 MTU: 0

[R1-GigabitEthernet0/0/0]ospf dr-priority ?
INTEGER<0-255> Router priority value
[R1-GigabitEthernet0/0/0]ospf dr-priority 100

DR/BDR抢占规则：DR具有不可抢占性

DR/BDR/DRother关系：
邻居关系(DRother-DRother)：hello-建立/维护邻居关系
邻接关系(DR/BDR-DRother)(DR/BDR)：hello-建立/维护邻居关系 + 进行LSA泛洪

[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]area 0
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 12.1.1.1 24
[R1-GigabitEthernet0/0/0]ospf enable 1 area 0

*[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 12.1.1.2 0.0.0.0 宣告地址

display ospf peer brief
OSPF Process 1 with Router ID 1.1.1.1
Peer Statistic Information

display ospf peer
OSPF Process 1 with Router ID 1.1.1.1
Neighbors
Area 0.0.0.0 interface 12.1.1.1(GigabitEthernet0/0/0) ‘s neighbors
Router ID: 2.2.2.2 Address: 12.1.1.2
State: Full Mode:Nbr is Master Priority:100
DR: 12.1.1.2 BDR: 12.1.1.1 MTU: 0
………………

reset ospf process
Warning: The OSPF process will be reset. Continue? [Y/N]:y

抓包：OSPF基于IP封装，协议号89
更新：采用组播更新，更新地址：224.0.0.5、224.0.0.6

IP规划:
A: 0.0.0.0-127.255.255.255
B: 128.0.0.0- 191.255.255.255
C: 192.0.0.0223.255.255.255
可以在主机上配置的地址
D: 224.0.0.0-239.255.255.255
组播地址
E: 240.0.0.0- 255.255.255.255
保留地址/实验地址

OSPF Header (ospf头部字段）
Version: 2 版本号：2，主要用于IPV4路由获取
Message Type: Hello Packet (1) 消息类型(什么报文)：Hello报文(代号为1)
Packet Length: 48 数据包长度：48bit
Source OSPF Router: 1.1.1.1 源Router ID字段：1.1.1.1 【Router ID 必须唯一】
Area ID: 0.0.0.0 区域号：0（骨干区域）
Checksum: 0xdc8f 校验和
Auth Type: Null (0) 认证类型：无
Auth Data (none): 0000000000000000 认证数据

OSPF Hello Packet （OSPF Hello 报文 — 建立并维护邻居关系）
Network Mask: 255.255.255.0 网络掩码
Hello Interval [sec]: 10 Hello间隔：10s （心跳更新间隔）
Options: 0x02 选项字段
Router Priority: 1 路由器优先级（用于选举DR和BDR）
Router Dead Interval [sec]: 40 路由器失效时间：40s （心跳失效时间）
Designated Router: 12.1.1.2 指定路由器（DR)
Backup Designated Router: 12.1.1.1 备份指定路由器（BDR）
Active Neighbor: 2.2.2.2 活跃的邻居

Hello 报文成立条件：
1、Router ID 必须唯一
2、区域ID 必须相同
3、认证类型、认证数据必须相同
4、网络掩码必须相同
5、hello timer，dead timer 必须相同
6、选项字段必须相同

认证方式：
基于区域的认证：区域内所有路由器配置
基于接口的认证

认证类型：
不认证、明文认证、MD5密文认证

认证数据：认证密码

接口的认证:
[R1-GigabitEthernet0/0/0]ospf authentication-mode ?
[R1-GigabitEthernet0/0/0]ospf authentication-mode md5 ?
INTEGER<1-255> Key ID

[R1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 ?
STRING<1-255>/<20-392> The password (key)
cipher Encryption type (Cryptogram)
plain Encryption type (Plain text)
[R1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher huawei

[R1-GigabitEthernet0/0/0]undo ospf authentication-mode

区域的认证:
[R1-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher bossay

手工修改Hello时间和死亡时间：
[R1-GigabitEthernet0/0/0]ospf timer hello 5
[R1-GigabitEthernet0/0/0]ospf timer dead 10

undo ospf timer hello

邻居关系建立标志：
收到hello报文中，发现本路由器的router id（活跃的邻居字段中）

邻居状态机制（OSPF邻居状态机）
Down 开启OSPF但无报文交互
Init 收到的Hello中，没有发现自己的router id
2Way 收到的hello中，发现自己的router id（邻居关系建立标志）
Exstart 进行主从关系的选举，保证DBD报文可靠
Exchange 进行DBD报文的交互
Loading 进行LSR/LSU/LSACK报文的交互
Full 运行SPF算法，得出最优路由（邻接关系建立标志）

Interface MTU: 0 接口MTU
Options: 0x02 选项字段
DB Description：0x07 DBD描述字段
{
…. .1.. = (I) Init: Set 是否为第一个DBD报文（1是第一个； 0不是第一个）
…. ..1. = (M) More: Set 更多位后续是否还有DBD报文（1：是；0：否）
…. …1 = (MS) Master: Yes 主从位（1：主；0：从0）
}
DD Sequence: 277 DBD序列号（DBD报文）

何时一直卡在2way：当两台路由器都为DRother路由器

为什么要保证DBD可靠？
1、OSPF由IP封装，IP无可靠性机制；
2、Hello 周期性无需保障
3、LLL相互保证可靠
4、因此 Exstract 选举主从保证DBD可靠

如何保证DBD可靠？
1.互发空DBD报文选举主从(router id越大越优先)
2.从照主序列号发送含LSA摘要的DBD报文；主序列号+1回复；
3.从比主多一个DBD报文,目的保证主最后一个DBD报文的可靠

什么时候会卡在Exchange？？？？
包交换有问题，发出DBD后没有收到LSACK

MTU：最大传输单元 1500B
在OSPF协议中默认MTU不进行协商，也可开启MTU协商
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0] ospf mtu-enable

1.OSPF 工作原理
发送Hello报文，建立邻居关系
进行LSA泛洪，形成相同LSDB
运行SPF算法，得出最优路由

2.Ospf 更新方式
基于IP封装，协议号89
组播，更新地址224.0.0.5，224.0.0.6

3.OSPF五种报文消息
Hello 建立并维护邻居关系
DBD 发送数据库概要
LSR 数据库补全请求
LSU 数据库更新信息
LSACK 确认补全数据库

4.OSPF划分区域原因，部署原则
LSDB随链路增多而增大，路由表增大，查表转发速率降低
原则：非骨干区域间通信需与骨干区域相连

5.OSPF选举DR/BDR的原因，如何选举
防止LSA泛洪过多占用带宽
选举：先比较路由器优先级，在比较router id优先级（均越大越优先）

6.OSPF什么是邻居关系、什么是邻接关系
邻居：DRother之间，只建立维护邻居关系
邻接：DR/BDR-DRother以及DR-BDR之间，建立维护邻居关系并LSA泛洪

7.OSPF邻居关系建立的条件，标志
条件：
router id 唯一
区域相同
认证类型和认证数据相同
网络掩码相同
hello timer，dead timer 相同
选项字段相同

标志：收到的Hello中发现自己的router id（2-Way）

8.OSPF 状态机分别作用
Down 开OSPF，无交互
Init hello 无 router id
2-Way hello 有 router id
Exstart 选主从，保DBD可靠
Exchange DBD交互
Loading LSR\LSU\LSACT交互
Full 运行SPF算法，得出最优路由

9.如何保证DBD可靠？
互发空DBD，根据router id大选主从
从照主序列号发送含LSA摘要DBD，主序列号+1回复；
从比主多一报文以保证主最后一DBD可靠

10.何时卡2-Way
ospf dr pri 0 接口优先级改为0 不参与DR/BDR选举
dis ospf pe br 看看在哪个状态机

reset ospf process 重置OSPF进程
11.何时卡Exstart（State： ExStart）
int g0/0/0
ospf mtu-enable
mtu 1400

VLAN间路由练习^

R3：
sys
sys R3
un in en

int g0/0/0
ip a 192.168.3.254 24
int g0/0/1
ip a 23.1.1.3 24
q

v b 10 20 40

LSW2:
sys
sys SW2
un in en

v b 10 20 40

int v 10
ip a 192.168.1.254 24
int v 20
ip a 192.168.2.254 24
int v 40
ip a 23.1.1.2 24

int g0/0/1
port link-type trunk
po tr a v 10 20 40
po tr pvid vl 40

[SW2]interface Vlanif 10
[SW2-Vlanif10]ip address 192.168.1.254 24
[SW2]interface Vlanif 20
[SW2-Vlanif10]ip address192.168.2.254 24

[SW1]int g0/0/5
[SW1-GigabitEthernet0/0/5]port link-type trunk
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 10 20
[SW1-GigabitEthernet0/0/5]port trunk pvid vlan 100

[SW1]vlan batch 20 30

display vlan
display port vlan

二层技术：

VLAN：虚拟局域网
为什么要有VLAN？
交换机工作原理：学习，泛洪，转发
广播域：能收到广播消息的范围/区域
交换机默认所有接口都在同一个广播域
广播域大–占用带宽资源，安全性低；
VLAN作用：隔离广播域
如何实现隔离？交换机为数据打上Tag，利用Tag区分不同VLAN

不带tag数据（untagged）
帧头(DMAC<–SMAC type)|ip(SIP–>DIP)|tcp/udp|data|帧尾

Tag=4B
1.Type 类型 0X8100-802.1Q标准—-vlan
2.PRI 优先级用于QOS (服务质量)
3.CFI MAC地址是否支持经典格式
4.VID(12bits 2^12=4096vlan 范围：0-4095 能用的：1-4094) VLAN标识

VLAN 对于tag不同处理动作–端口处理类型
Access：接入链路：只允许一个vlan通过交换机–终端设备
Trunk：干道链路：允许多个vlan通过交换机–交换机
Hybrid：混合链路：手工定义允许通过的vlan及vlan通过时的动作默认类型

VLAN配置：
创建单个vlan：[SW1]vlan 10 –> [SW1-vlan10]
描述备注vlan：[SW1-vlan10]description HR
创建多个vlan：[SW1]vlan batch 20 30
创建连续vlan：[SW1]vlan batch 40 to 100
查看vlan：[sw1]display vlan
查看端口和vlan关系：display port vlan

Access配置：1. 进入接口 2. 端口链路类型-access 3. 端口所属的vlan
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 10

Trunk配置：1. 进入接口 2. 端口链路类型-trunk 3. trunk端口允许通过的vlan
[SW1]int g0/0/5
[SW1-GigabitEthernet0/0/5]port link-type trunk
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 10 20
*[SW1-GigabitEthernet0/0/5]undo port trunk allow-pass vlan 1 删除vlan1
[SW1-GigabitEthernet0/0/5]port trunk pvid vlan 100 修改trunk接口pvid

删除命令倒着删
看到回车

Hybrid配置：
tagged：携带标记
untagged：不携带标记
[SW1]int g0/0/6
[SW1-GigabitEthernet0/0/6]port link-type hybrid
[SW1-GigabitEthernet0/0/6]port hybrid untagged vlan 30
[SW1-GigabitEthernet0/0/6]port hybrid pvid vlan 30

Tag的处理：允许列表下，不带标记打标记，相同标记去标转发，不同标记A丢T转
{
Access：（不带标记打标记，相同标记去标转发，不同标记直接丢弃）
入：不带标记，打上PVID
出：PVID比较，同就去标记转发，不同就丢弃
Trunk：
出：允许列表下，不同标记直接转发，相同标记去标转发
入：允许列表下，不带标记打标记，带着标记直接转发
Hybrid：
出：允许列表下，手工定义允许通过的vlan及通过时动作
入：在满足允许列表前提下，收到数据带标记，直接转发；收到数据不带标记，打上该接口的pvid的标记
}

三层交换机=路由器(IP+静态+动态) +二层交换机(vlan stp)集合

三层交换机物理接口无法配置IP地址（交换机接口默认二层接口）
如何在交换机上配置IP地址?
1、将二层接口转换为三层接口
[SW2]int g0/0/5
[SW2-GigabitEthernet0/0/5]undo portswitch 删除端口交换功能
2、在交换机上配置vlan虚拟接口 vlanif
[SW2]interface Vlanif 10
[SW2-Vlanif10]ip address 192.168.1.254 24
[SW2]interface Vlanif 20
[SW2-Vlanif10]ip address192.168.2.254 24

交换机出来的数据一定带标记，路由器不带
（1）全程带标记 trunk
（2）出来去标记，进入打标记 access hybrid

配置实验:配置思路先二层（聚合 vlan stp）再三层（vlan if 静态 OSPF)
每配置完一个技术——-验证是否正确
Vlan：dis port vlan dis vlan
Vlanif ip地址：dis ip int brief
配置完毕两端IP地址测试直连连通性：ping 对端地址
静态：dis ip ro
Ospf：dis ospf pe br (full状态) dis ip ro

将静态路由引入到ospf中，参考命令如下：
[R3]ospf 1
[R3-ospf-1]import-route static
ospf 外部路由 150

单臂路由：
Dot1q=802.1q 0x8100k

[R6]int g0/0/0.1 开启子接口
[R6-GigabitEthernet0/0/0.1]ip address 192.168.5.254 24 接口IP
[R6-GigabitEthernet0/0/0.1]dot1q termination vid 50 允许通过的vlan
[R6-GigabitEthernet0/0/0.1]arp broadcast enable 子接口默认广播功能没开

链路聚合：
产生背景：为了提升网络可靠性，增大带宽
单板可靠—多冗余
设备可靠—双冗余
链路可靠—多链路

STP：生成树协议
阻塞端口
如何在保证可靠前提下，提升带宽，减少丢包
定义：将多条物理链路聚合成一条聚合链路（eth-trunk）

模式：
手工链路聚合模式：聚合链路中的所有链路都参数据的转发
1、创建聚合接口
2、将物理接口加入聚合接口

SW1：
sys
sys SW1

un in en

int Eth-Trunk 1
q
int g0/0/1
eth-trunk 1
q
int g0/0/2
eth-trunk 1
q
int g0/0/3
eth-trunk 1
或者
int Eth-Trunk 1
trunkport g0/0/1
trunkport g0/0/2
trunkport g0/0/3
或者
int Eth-Trunk 1

trunkport g 0/0/1 to 0/0/3

dis eth-trunk 1 查看聚合接口1

LACP链路聚合模式：存在备份链路: M:N备份 M-活跃链路 N-非活跃链路
LACP：链路聚合控制协议
设备之间发送LACPDU：链路聚合控制协议数据单元

要素：
LACPDU:设备系统优先级
MАC
接口优先级
接口编号

如何选举活跃链路：在两台交换机之间选举出主动端
先比LACP系统优先级（32768），越小越优先
再比MAC：越小越优先

在主动端设备上选举活跃链路：
先比LACP接口优先级（32768），越小越优先
再比接口编号：越小越优先

SW3：
sys
sys SW3
un in en
int eth-trunk 2 创建聚合接口
mode lacp-static 改为LACP模式
max active-linknumber 3 配置最大活跃链路数量
lacp preempt enable （默认抢占关闭）开启抢占
lacp preempt delay 10 配置抢占延迟(s)
trunkport g 0/0/1 to 0/0/4 将物理接口加入聚合接口

lacp priority 4000 修改lacp系统优先级

int g0/0/2
lacp priority 40000 修改LACP接口优先级

q
dis eth-trunk 2

SW4:
sys
sys SW4
un in en
int eth 2
mode lacp-static
max active- 3
lacp preempt enable
//lacp pr en
la pr de 10
tr g 0/0/1 to 0/0/4

int g0/0/2
lacp priority 40000

STP：生成树协议（在保证可靠的前提下，解决环路问题）
产生原因：
二层环境为了保证可靠性，采用双冗余设备环形连接方式—环路问题
问题：广播风暴—>设备宕机
MAC地址表震荡—->数据转发丢包

原理：阻塞端口-拓扑稳定时，阻塞端口处于阻塞状态，当链路出现故障时，阻塞端口自动开启，开始转发数据。

应用场景：二层交换网络—交换机默认运行STP

STP模式：
STP：生成树协议
RSTP：快速生成树协议
MSTP：多实例生成树协议

[SW2]display stp 查看STP（默认MSTP模式）
[SW3]display stp brief 查看STP简要信息
[sw2]stp mode stp 修改为stp模式
[sw2]display int g0/0/2 查看端口

STP 工作原理—阻塞端口如何选出来的？

根-选举根交换机（根桥）
—–网桥ID：
定义：运行STP协议的交换机唯一标识
组成：网桥优先级（默认32768，4096倍数，越小越优先）+MAC地址
比较网桥ID：(先比较优先级、在比较mac地址，越小越优先)

[SW2]stp priority 4096 修改优先级

干：根端口
定义：非根交换机到达根交换机最优的端口
比较规则:
1、根路径开销 802.1t 10M=2000000 100M=200000 1000M=20000 10GM=2000

链路聚合简要介绍：

背景：设备之间存在多条链路时，由于STP（生成树）的存在，实际只会有一条链路转发流量，设备间链路带宽无法得到提升。
用途：不进行硬件升级的前提下增加链路带宽

链路聚合基本术语/概念：
• 聚合组（Link Aggregation Group，LAG）：若干条链路捆绑在一起所
形成的的逻辑链路。每个聚合组唯一对应着一个逻辑接口，这个逻辑接
口又被称为链路聚合接口或Eth-Trunk接口。
• 成员接口和成员链路：组成Eth-Trunk接口的各个物理接口称为成员接
口。成员接口对应的链路称为成员链路。
• 活动接口和活动链路：活动接口又叫选中（Selected）接口，是参与数
据转发的成员接口。活动接口对应的链路被称为活动链路（Active link）
• 非活动接口和非活动链路：又叫非选中（Unselected）接口，是不参与
转发数据的成员接口。非活动接口对应的链路被称为非活动链路
（Inactive link）。
• 聚合模式：根据是否开启LACP（Link Aggregation Control Protocol，
链路聚合控制协议），链路聚合可以分为手工模式和LACP模式。
• 其他概念：活动接口上限阈值和活动接口下限阈值。

链路聚合（手工和lacp）

SW1:
sys 进入管理模式
sys SW1 命名（SW1）
un in en 取消信息中心提醒

int e 1 创建聚合接口，编号为1
t g 0/0/1 to 0/0/4 将物理接口g0/0/1到0/0/4加入聚合接口

q
dis eth 1 查看聚合接口1

SW2:
sys
sys SW2
un in en

int e 1
t g 0/0/1 to 0/0/4

q
dis eth 1

SW3:
sys
sys SW3
un in en

int e 2 创建聚合接口，编号为2
mo la 将此聚合接口改为LACP模式
m ac 3 配置最大活跃链路数量：3
la pr en (默认关闭)开启LACP抢占模式
lacp pr de 10 配置抢占延迟(s)

t g 0/0/1 to 0/0/4 将物理接口加入聚合接口

lacp pri 4000 修改lacp优先级（抢占主动端）

int g0/0/2 进入 GE0/0/2 接口
lacp pri 40000 修改LACP接口优先级(默认32768，改大使其变为备用链路)

q
dis eth 2 查看聚合接口 2

SW4:
sys
sys SW4
un in en

int e 2
mo la
m ac 3
lacp pr en
lacp pr de 10

t g 0/0/1 to 0/0/4

int g0/0/2
lacp pri 40000

q
dis eth 2

STP

1.环路问题导致的现象
广播风暴—>设备宕机
MAC地址表震荡—->数据转发丢包

生成树协议（作用：在保证可靠的前提下，解决环路问题）
原理：阻塞端口-拓扑稳定时，阻塞端口处于阻塞状态，当链路出现故障时，阻塞端口自动开启，开始转发数据。

STP模式：
STP：生成树协议
RSTP：快速生成树协议
MSTP：多实例生成树协议

STP报文–BPDU（桥协议数据单元）
Protocol Identifier: Spanning Tree Protocol (0x0000) 协议标识符:生成树协议
Protocol Version Identifier: Spanning Tree (0) 协议版本标识符:生成树(0)
BPDU Type: Configuration (0x00) BPDU类型：Confiquration
配置BPDU：进行STP角色计算、维护拓扑；（1：请求知道啦！0：相安无事）
TCN BPDU(拓扑变化 BPDU)：通告拓扑变化（1：拓扑变化啦！0：相安无事）
BPDU flags: 0x00 BPDU标志
0… …= Topology Change Acknowledgment: No TCA:拓扑变化确认
…0 = Topology Change: No TC：拓扑变化（老化MAC地址，学习新MAC地址，阻塞端口进入转发状态）（1：可以老化MAC地址啦！0：相安无事）
Root Identifier: 4096 /0/ 4c:1f:cc:b9:3f:59 根标识符（根网桥ID）
Root Path Cost: 0 根路径开销
Bridge Identifier: 4096 /0/ 4c:1f:cc:b9:3f:59 本交换机网桥ID
Port identifier: 0x8002 端口标ID:0x8002
Message Age: 0 消息寿命（BPTU存放时间，最多20秒）
Max Age: 20 最大寿命
Hello Time: 2 发送间隔
Forward Delay: 15 发送延迟

STP：（越小越优先）
根：根据网桥ID：先看网桥优先级，再看MAC地址优先级
根端口：非根交换机到达根交换机最优的端口：
1、根路径开销（802.1t）
2、对端交换机的网桥ID
3、对端端口ID 端口优先级+端口编号默认128 16倍数
4、本端端口ID 端口优先级+端口编号
指定端口：每一条链路到达根交换机最优的端口
1、根路径开销
2、两端交换机的网桥ID
3、本端端口ID

5种STP端口状态：
禁用(Disable)：该接口不能收发BPDU,也不能收发业务数据帧,例如接口为down
阻塞(Blocking)：该接口被STP阻塞。处于阻塞状态的接口不能发送BPDU,但是会持续侦听BPDU,而且不能收发业务数据帧,也不会进行MAC地址学习
侦听（Listening)：当接口处于该状态时,表明STP初步认定该接口为根接口或指定接口,但接口依然处于STP计算的过程中,此时接口可以收发BPDU,但是不能收发业务数据帧,也不会进行MAC地址学习
学习（Learning）：当接口处于该状态时，会侦听业务数据帧（但是不能转发业务数据帧),并且在收到业务数据帧后进行MAC地址学习
转发(Forwarding)：处于该状态的接口可以正常地收发业务数据帧,也会进行BPDU处理。接口的角色需是根接口或指定接口才能进入转发状态

6.STP故障恢复时间
直接30s，间接50s.

MSTP练习^

sys
sys SW2
un in en

stp mo ms
st re
re HW
rev 1
ins 1 vlan 10
ins 2 vlan 20
ac re
stp ins 1 ro pr
stp ins 2 ro se

sys
sys SW3
un in en

stp mo ms
st re
re HW
rev 1
ins 1 vlan 10
ins 2 vlan 20
ac re
stp ins 2 ro pr
stp ins 1 ro se

sys
sys SW1
un in en

int g0/0/1
p l a
p d v 10
int g0/0/2
p l a
p d v 10
int g0/0/3
p l a
p d v 20
int g0/0/4
p l a
p d v 20

MSTP练习^

sys
sys SW1
un in en

v b 10 20

int g0/0/1
p l a
p d v 10
int g0/0/2
p l a
p d v 10
int g0/0/3
p l a
p d v 20
int g0/0/4
p l a
p d v 20

int g0/0/5
p l t
p t a v 10 20
int g0/0/7
p l t
p t a v 10 20

q
stp mode mstp
stp re
re HW
rev 1
ins 1 v 10 30
ins 2 v 20 40

ac re

sys
sys SW2
un in en

v b 30 40

int g0/0/1
p l a
p d v 30
int g0/0/2
p l a
p d v 30
int g0/0/3
p l a
p d v 40
int g0/0/4
p l a
p d v 40

int g0/0/5
p l t
p t a v 30 40
int g0/0/7
p l t
p t a v 30 40

q
stp mode mstp
stp re
re HW
rev 1
ins 1 v 10 30
ins 2 v 20 40

ac re

sys
sys SW3
un in en

v b 3 4 10 20 30 40

int g0/0/5
p l t
p t a v 10 20 30 40
int g0/0/7
p l t
p t a v 10 20 30 40

int g0/0/3
p l t
p t a v 3 4 10 20 30 40

int e 1
mo la
m ac 2
lacp pr en
lacp pr de 10

t g 0/0/1 to 0/0/3

lacp pri 2000

int g0/0/2
lacp pri 30000

int v 3
ip a 35.1.1.3 24
int v 10
ip a 192.168.1.254 24
int v 30
ip a 192.168.3.254 24

q
ospf 1 ro 3.3.3.3
ar 1
net 35.1.1.3 0.0.0.0
net 192.168.1.254 0.0.0.0
net 192.168.3.254 0.0.0.0

q
q
stp mode mstp
stp re
re HW
rev 1
ins 1 v 10 30
ins 2 v 20 40
ac re

stp ins 1 roo pr
stp ins 2 roo se

sys
sys SW4
un in en

v b 3 4 10 20 40

int g0/0/5
p l t
p t a v 10 20 30 40
int g0/0/7
p l t
p t a v 10 20 30 40

int g0/0/4
p l t
p t a v 3 4 10 20 30 40

int e 1
mo la
m ac 2
lacp pr en
lacp pr de 10

t g 0/0/1 to 0/0/3

int g0/0/2
lacp pri 30000

int v 4
ip a 45.1.1.4 24
int v 20
ip a 192.168.2.254 24
int v 40
ip a 192.168.4.254 24

q
os 1 ro 4.4.4.4
ar 1
net 45.1.1.4 0.0.0.0
net 192.168.2.254 0.0.0.0
net 192.168.4.254 0.0.0.0

q
q
stp mode mstp
stp re
re HW
rev 1
ins 1 v 10 30
ins 2 v 20 40
ac re

stp ins 2 roo pr
stp ins 1 roo se

sys
sys SW5
un in en

v b 3 4 10 20 30 40

int v 3
ip a 35.1.1.5 24
int v 4
ip a 45.1.1.5 24

int g0/0/1
p l t
p t a v 3 4 10 20 30 40
int g0/0/2
p l t
p t a v 3 4 10 20 30 40

os 1 ro 5.5.5.5
ar 1
net 35.1.1.5 0.0.0.0
net 192.168.2.254 0.0.0.0

总结
0.配PC
IP地址：192.168.1.1
子网掩码：255.255.255.0
网关：192.168.1.254

0.交换机/路由器初始化：
sys
sys R1/ SW1
un in en

2.链路聚合：
int e 1
mo lacp
max act 3
la pr en
tr g 0/0/1 to 0/0/4
lacp preempt delay 20 抢占延迟20s
2.(1).链路聚合主动端优先级2000：
la pri 2000
(2)选举非活跃链路：（似乎也是主动端配就好了）
int g0/0/3
la pri 40000

2.(N).链路聚合检查：
q
dis eth 1

3.vlan
v b 10 20 30 40

3.(1).与PC相接（与PC最近的交换机）：
int g0/0/1
p l a
p d v 10
int g0/0/2
p l a
p d v 10
int g0/0/3
p l a
p d v 20
int g0/0/4
p l a
p d v 20

3.(2).与上位交换机相接（通常是与带链路聚合的上位）：
int g0/0/5
p l t
p t a v 10 20 30 40
int g0/0/7
p l t
p t a v 10 20 30 40

3.(3).带链路聚合的上位交换机与(2)中交换机相接：
int g0/0/5
p l t
p t a v 10 20 30 40
int g0/0/7
p l t
p t a v 10 20 30 40

int e 1
p l t
p t a v 10 20 30 40

3.(4).链路聚合vlan（与3.3有所重复）：
int e 1
p l t
p t a v 10 20 30 40

3.(N).vlan检查：
q
dis port vlan

4.STP：
stp mo mstp
stp region-configuration
reg HW
re 1
ins 1 v 10 30
ins 2 v 20 40
act reg

4.(1).STP实例主/副根配置：
stp ins 1 root pr
stp ins 2 root se

4.(2).连接PC接口开启边缘端口功能,并开启边缘端口保护功能
int g0/0/1
stp edged-port enable
int g0/0/2
stp edged-port enable
int g0/0/3
stp edged-port enable
int g0/0/4
stp edged-port enable

q
stp bpdu-protection
—或—-
port-group 1
group-member g0/0/3
group-member g0/0/4
group-member g0/0/5
group-member g0/0/6
stp edged-port enable

q
stp bpdu-protection

4.(3)接口开启根保护
int g0/0/8
stp root-protection

4.(4)开启TC BPDU防攻击,规定时间内处理的阈值调整为n
stp tc-protection threshold 3

5.vlanif IP地址配置（上位交换机朝向顶层交换机的配置）
v b 3 10 20

int g0/0/6
p l a
p d v 3

qint
int v 3
ip a 15.1.1.1 24

q
#ping 15.1.1.5 顶层交换机朝向上位交换机的接口

int v 10
ip a 192.168.1.254 24
int v 20
ip a 192.168.2.254 24

6.VRRP
int v 10 #一个vlanif配一次
vr vr 1 vir 192.168.1.101 (必须是vlan x 相同网段)

6.(1)VRRP主备优先级配置，大为主，100为缺省不用配
vrrp vrid 1 priority 120

6.(2)跟踪上行链路接口，若g0/0/x连接的链路坏掉，让其自动降级，默认降10
vrrp vrid 1 track interface g0/0/6 reduced 30

6.(N)检查VRRP
dis vrrp brief

7.单臂路由
interface GigabitEthernet0/0/1.1
dot1q termination vid 30
ip address 192.168.3.254 255.255.255.0
arp broadcast enable

interface GigabitEthernet0/0/1.2
dot1q termination vid 40
ip address 192.168.4.254 255.255.255.0
arp broadcast enable

8.OSPF（顶层路由器）（顶层交换机没有接口配置）
int g0/0/0
ip a 35.1.1.5 24
int g0/0/1
ip a 45.1.1.5 24

os 1 ro 1.1.1.1
ar 1
net 35.1.1.5 0.0.0.0
net 45.1.1.5 0.0.0.0

q
q
#dis ospf peer brief

VRRP 虚拟路由冗余协议

作用概括：实现网关备份，解决多个网关间冲突问题，提高网络可靠性

使用范围：三层（网络层）设备接口可部署

定义：多物理路由虚拟成一虚拟路由；
由多物理路由器共同维护；
虚拟路由IP变为终端网关

相关名词解释：
VRID【virtuality router id】：虚拟路由标识符
VIP【virtual-ip】：虚拟路由IP（由所有VRRP路由共同维护）【配置时指定】
VMAC：虚拟路由MAC地址【(0000-5e 00-01 xx)，其中xx为VRID】
保留 VRRP vrid
VRRP路由成员身分：
Master路由（只有一台）：进行网关数据转发和报文转发任务。
1.在每一个VRRP组中，只有Master路由器才会响应针对虚拟IP地址的ARP Request。
2.Master路由器会以一定的时间间隔周期性地发送VRRP报文，以便通知同一个VRRP组中的Backup路由器关于自己的存活情况。
Backup路由（备份路由器）：1.备份网关数据 2.Master故障时升变为Master接替转发
实时侦听Master路由器发送出来的VRRP报文,随时准备接替Master路由器的工作。

成员选举规则：
1.优先级：1-默认100-254 越大越优先【当物理路由IP地址与维护的IP地址为同一个IP地址时该路由器优先级自动修改为255】【Master挂了就向Backup发送优先级为0的通告报文，此时Backup将不在等待失效时间，直接变Master/竞选Master】
2.接口IP：1-默认100-254 越大越优先
3.认证模式不一会出现多个主的现象

成员抢占规则：（抢占功能默认开启，开启后可被随时抢占（即Master可及时变化））
1.优先级：默认100 越大越优先

主备切换规则：
1.VRRP协议中定义两个定时器:
Adver_interval定时器： Master发送VRRP通告报文时间周期，缺省值为1秒。
Master_down定时器：超时即意味着Master挂了，Backup设备监听该定时器超时后，会升变为Master状态。

Master_Down定时器计算公式如下:
MASTER_DOWN = (3* ADVER_INTERVAL) +Skew_time (偏移时间)【大约三秒】
其中，Skew_Time= (256-Priority) /256

2.主路由器不在运行VRRP时，发送优先为0的vrrp报文，备设备切换为主设备
3.备设备收到优先级低的VRRP报文时,备设备切换为主设备

VRRP配置：
1.进接口—-配IP
2.进接口—
[R1-GigabitEthernet0/0/0] vrrp vrid 1 virtual-ip 192.168.1.100
接口进入VRRP模式–虚拟路由标识符编号为1—虚拟IP 192.168.1.100
#查看 VRRP 简要信息
[R1]display vrrp brief
#查看 VRP 信息
[R1]display vrrp
#删除进程1
[R1-GigabitEthernet0/0/0]undo vrrp vrid 1
*修改某接口VRRP–指定虚拟路由标识符优先级
[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 120
*某接口–身份验证模式–md5密文认证–密码
[R1-GigabitEthernet0/0/0]vrrp vrid 1 authentication-mode md5 huawei
某接口出现故障时优先级减小
[R1-GigabitEthernet0/0/0]vrrp vrid 1 track interface g0/0/2 reduced 30

###ping XXX.XXX.XXX.XXX -t 一直ping

VRRP协议
报文：基于IP协议封装，协议号112
更新方式：采用组播更新 224.0.0.18

虚拟路由器冗余协议版本2，包类型1(广告)
虚拟Rtr ID: 1
优先级:120(非默认备份优先级)
Addr Count: 1
Auth Type: No Authentication (0)
Adver Int: 1
校验和:Oxa4ef[正确]
[校验和状态:Good]
IP地址:192.168.1.100

拓扑名：VRRP
R1：
sys
sys R1
un in en

int g0/0/0
ip a 192.168.1.253

vr vr 1 vir 192.168.1.100
vr vr 1 pri 120

vr vr 1 au m huawei

R2：
sys
sys R2
un in en

int g0/0/0
ip a 192.168.1.254

vr vr 1 vir 192.168.1.100

vr vr 1 au m huawei

VRRP状态机
Initialize (初始状态)、
Master (活动状态)、
Backup (备份状态)。

I:收到Startup（pri=?)——-> SHO
=255 —->M 收到优先级比自己大的报文 —->B
<255 —->B

设置抢占延迟（让让OSPF）
[R1-GigabitEthernet0/0/0]vrrp vrid 1 preempt-mode timer delay 40

VRRP STP 主应在同一交换机

拓扑名：VRRP下午
R1：
sys
sys R1
un in en

int g0/0/2
ip a 13.1.1.1 24

int g0/0/0
ip a 192.168.1.253 24
vr vr 1 vir 192.168.1.100
vrrp vr 1 pri 120
vr vr 1 au m huawei
vrrp vr 1 pr ti de 40
vrrp vr 1 tr int g0/0/2 re 30

q
os 1 ro 1.1.1.1
ar 0
net 192.168.1.253 0.0.0.0
net 13.1.1.1 0.0.0.0

dis cu

R2：
sys
sys R2
un in en

int g0/0/2
ip a 23.1.1.2 24

int g0/0/0
ip a 192.168.1.254 24
vr vr 1 vir 192.168.1.100
vr vr 1 au m huawei
vrrp vr 1 pr ti de 40

q
os 1 ro 2.2.2.2
ar 0
net 23.1.1.2 0.0.0.0
net 192.168.1.254 0.0.0.0

dis cu

R3:
sys
sys R3
un in en

int g0/0/0
ip a 192.168.3.254 24
int g0/0/1
ip a 23.1.1.3 24
int g0/0/2
ip a 13.1.1.3 24

q
os 1 ro 3.3.3.3
ar 0
net 13.1.1.3 0.0.0.0
net 23.1.1.3 0.0.0.0
net 192.168.3.254 0.0.0.0

dis cu

二层技术：

不带tag数据（untagged）
帧头(DMAC<–SMAC type)|ip(SIP–>DIP)|tcp/udp|data|帧尾

Access配置：1. 进入接口 2. 端口链路类型-access 3. 端口所属的vlan
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 10

删除命令倒着删
看到回车

三层交换机=路由器(IP+静态+动态) +二层交换机(vlan stp)集合

交换机出来的数据一定带标记，路由器不带
（1）全程带标记 trunk
（2）出来去标记，进入打标记 access hybrid

将静态路由引入到ospf中，参考命令如下：
[R3]ospf 1
[R3-ospf-1]import-route static
ospf 外部路由 150

单臂路由：
Dot1q=802.1q 0x8100k

链路聚合：
产生背景：为了提升网络可靠性，增大带宽
单板可靠—多冗余
设备可靠—双冗余
链路可靠—多链路

STP：生成树协议
阻塞端口
如何在保证可靠前提下，提升带宽，减少丢包
定义：将多条物理链路聚合成一条聚合链路（eth-trunk）

模式：
手工链路聚合模式：聚合链路中的所有链路都参数据的转发
1、创建聚合接口
2、将物理接口加入聚合接口

SW1：
sys
sys SW1

un in en

int Eth-Trunk 1
q
int g0/0/1
eth-trunk 1
q
int g0/0/2
eth-trunk 1
q
int g0/0/3
eth-trunk 1
或者
int Eth-Trunk 1
trunkport g0/0/1
trunkport g0/0/2
trunkport g0/0/3
或者
int Eth-Trunk 1

trunkport g 0/0/1 to 0/0/3

dis eth-trunk 1 查看聚合接口1

LACP链路聚合模式：存在备份链路: M:N备份 M-活跃链路 N-非活跃链路
LACP：链路聚合控制协议
设备之间发送LACPDU：链路聚合控制协议数据单元

要素：
LACPDU:设备系统优先级
MАC
接口优先级
接口编号

如何选举活跃链路：在两台交换机之间选举出主动端
先比LACP系统优先级（32768），越小越优先
再比MAC：越小越优先

在主动端设备上选举活跃链路：
先比LACP接口优先级（32768），越小越优先
再比接口编号：越小越优先

lacp priority 4000 修改lacp系统优先级

int g0/0/2
lacp priority 40000 修改LACP接口优先级

q
dis eth-trunk 2

SW4:
sys
sys SW4
un in en
int eth 2
mode lacp-static
max active- 3
lacp preempt enable
//lacp pr en
la pr de 10
tr g 0/0/1 to 0/0/4

int g0/0/2
lacp priority 40000

原理：阻塞端口-拓扑稳定时，阻塞端口处于阻塞状态，当链路出现故障时，阻塞端口自动开启，开始转发数据。

应用场景：二层交换网络—交换机默认运行STP

STP模式：
STP：生成树协议
RSTP：快速生成树协议
MSTP：多实例生成树协议

[SW2]display stp 查看STP（默认MSTP模式）
[SW3]display stp brief 查看STP简要信息
[sw2]stp mode stp 修改为stp模式
[sw2]display int g0/0/2 查看端口

STP 工作原理—阻塞端口如何选出来的？

[SW2]stp priority 4096 修改优先级

干：根端口（RP）
定义：非根交换机到达根交换机最优的端口
比较规则:
1、根路径开销 802.1t 10M=2000000 100M=200000 1000M=20000 10GM=2000
根路径开销RPC(root path cost)：根桥到达该设备沿途交换机入方向每个接口cost值之和
（根交换机上所有端口都叫指定端口）

[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]stp cost 200000 修改接口cost

2、对端交换机的网桥ID
3、对端端口ID 端口优先级+端口编号默认128 16倍数

[SW1-GigabitEthernet0/0/2]stp port priority 16 修改STP接口优先级

4.本端端口ID 端口优先级+端口编号

枝：指定端口（DP）
定义：每一条链路到达根交换机最优的端口
比较规则:
1、根路径开销
2、两端交换机的网桥ID
3、本端端口ID

阻塞端口（BP，block port；AP）：阻塞端口

Role（端口角色：）
DESI: 指定
ROOT：根
ALTE：预备

BPDU：STP报文

STP State（状态）：
Discarding:丢弃
Learning:学习
Forwording：提出

STP：（越小越优先）
根：根据网桥ID：先看网桥优先级，再看MAC地址优先级
根端口：非根交换机到达根交换机最优的端口：
1、根路径开销
2、对端交换机的网桥ID
3、对端端口ID 端口优先级+端口编号默认128 16倍数
4、本端端口ID 端口优先级+端口编号
指定端口：每一条链路到达根交换机最优的端口
1、根路径开销
2、两端交换机的网桥ID
3、本端端口ID

STP端口状态：
禁用(Disable)：该接口不能收发BPDU,也不能收发业务数据帧,例如接口为down
阻塞(Blocking)：该接口被STP阻塞。处于阻塞状态的接口不能发送BPDU,但是会持续侦听BPDU,而且不能收发业务数据帧,也不会进行MAC地址学习
侦听（Listening)：当接口处于该状态时,表明STP初步认定该接口为根接口或指定接口,但接口依然处于STP计算的过程中,此时接口可以收发BPDU,但是不能收发业务数据帧,也不会进行MAC地址学习
学习（Learning）：当接口处于该状态时，会侦听业务数据帧（但是不能转发业务数据帧),并且在收到业务数据帧后进行MAC地址学习
转发(Forwarding)：处于该状态的接口可以正常地收发业务数据帧,也会进行BPDU处理。接口的角色需是根接口或指定接口才能进入转发状态

禁用：不能收发BPDU，不能收发业务数据帧；接口Down
阻塞：只收不发BPDU，不能收发业务数据帧；不学MAC
侦听：可以收发BPDU，不能收发业务数据帧，不学MAC；初步认定接口类型；15s转发延迟：1.加速老化MAC地址表（正常MAC地址表老化时间：300s）2.避免临时环路
学习：侦听业务数据帧1，收到业务数据帧后学MAC；15s转发延迟：加速mac地址学习
转发：收发BPDU，收发业务数据帧；接口的角色需是根接口或指定接口才能进入转发状态

STP 拓扑维护
直接故障：阻塞端口所在交換机链路发生故障，阻塞端口恢复至少需要30s
TCN：拓扑变更通知
间接故障：
阻塞端口恢复至少需要50s
20sBPDU才超时

STP模式缺点：收敛速度慢

改进模式：
RSTP：快速生成树协议
RSTP相对于STP改进：
STP：802.1D
RSTP：802.1W（2001年）

改进点1：端口角色
RSTP
根端口
指定端口
替代端口(Alternate)以后将成为根端口，作为根端口的备份
备份端口(Backup)以后将成为指定端口，作为指定端口的备份

改进点2：端口状态
RSTP
Discarding状态：不转发用户流量也不学习MAC地址；
学习(Learning)：不转发用户流量但是学习MAC地址；
转发(Forwarding)：既转发用户流量又学习MAC地址。

改进点3：报文BPDU改进
STP BPDU：配置BPDU
RSTP BPDU：RST BPDU

Protocol Identifier: Spanning Tree Protocol (0x0000)
Protocol Version Identifier: Rapid Spanning Tree
BPDU Type: Rapid/Multiple Spanning Tree (0x02)
BPDU flags: ox7d, Agreement, Forwarding, Learning, Port Role: Designated, Topology Change
0… …. = Topology Change Acknowledgment: No 拓扑变化确认位
.1.. …. = Agreement: Yes 同意位
..1. …. = Forwarding: Yes 转发位
…1 …. = Learning: Yes 学习位
…. 11..= Port Role: Designated (3) 端口角色（10根端口 01替代端口/备份端口 00保留 11指定端口
…. ..0. = Proposal: No 提议/协商位
….. …1 = Topology Change: Yes 拓扑变化位
>Root Identifier: 32768 /0/ 4c:1f:cc:3d:13:34 根网桥ID
Root Path Cost: 0 根路径开销
Bridge Identifier: 32768 /0 / 4c:1f:cc:3d:13:34 本交换机网桥ID
Port identifier: 0x8001 端口标识
Message Age: 0 消息寿命
Max Age: 20 最大寿命
Hello Time: 2 发送间隔
Forward Delay: 15 转发延迟
Version 1 Length: 0 版本1长度

改进点4：BPDU处理动作
（1）BPDU发送
在STP中由根桥发送配置BPDU，交换机收到根桥发送的配置BPDU后，才会向下游发送配置BPDU,收敛慢,计算复杂
在RSTP中,无论非根桥设备是否收到根桥发送BPDU，都会向下游交换机发送BPDU
（2）判断根桥/链路故障
在STP中，根据max age (20s)超时判定
在RSTP中，根据超时时间(hello*3倍），超时判定
（3）次等BPDU的处理
在STP中，只能由指定端口处理此等BPDU
在RSTP中，当接口收到BPDU后,和本地缓存表中BPDU进行比较，若优于收到BPDU，则将更有BPDU从该接口返回

收敛机制改进（仅限于单交换机设备上）
根端口快速切换：当根端口出现故障时，替代端口可以快速切换为根端口，端口状态换为转发状态
指定端口快速切换：当指定端口出现故障时，备份端口可以快速切换为指定端口，端口状态切换为转发状态
边缘端口机制：
定义：交换机连接终端设备的端口可以生成边缘端口
作用：边缘端口不参与STP计算，会直接进入转发状态
特点：当边缘端口收到bpdu，该端口转为STP普通端口，重新进行STP计算
配置：[SW3]int g0/0/3
[SW3-GigabitEthernet0/0/3]stp edged-port enable

P/A机制（提议/同意机制）：

如何用命令修改主根/备份根
[SW1]stp root primary
[SW2]stp root secondary

RSTP故障恢复：
SW1与SW3之间的链路故障，SW3的g0/0/2口开启tewell计时器并向SW2发送tc位置位的BPDU（计时器发送后停止发送），并老化所有MAC，学习新MAC地址；SW2收到后tc位置位的BPDU后老化除接收口以外的MAC地址，向SW1发送tc位置位的BPDU，学习新MAC地址，以此类推。

保护机制：
1.BPDU保护/边缘端口保护：从边缘端口收到RST BPDU后，该端口进入down状态
[SW3]stp bpdu-protection

2.根保护/指定端口保护
一旦启用根保护功能的指定端口，收到优先级更高的RST BPDU时，端口将进入Discarding状态，不再转发报文。经过一段时间(通常为两倍的Forward Delay) ，如果端口一直没有再收到优先级较高的RST BPDU，端口会自动恢复到正常的Forwarding状态。
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]stp root-protection 开启根保护

3.环路保护
在启动了环路保护功能后，如果根端口或Alternate端口长时间收不到来自上游设备的BPDU报文时，则向网管发出通知信息(此时根端口会进入Discarding状态,角色切换为指定端口) ，而Alternate端口则会一直保持在Discarding状态（角色也会切换为指定端口) ，不转发报文，从而不会在网络中形成环路。
[SW3]int g0/0/5
[SW3-GigabitEthernet0/0/5]stp loop-protection

防TC-BPDU攻击/TC BPDU保护
启用防TC-BPDU报文攻击功能后，在单位时间内，交换设备处理TC BPDU报文的次数可配置。如果在单位时间(2s)内，交换设备在收到TC BPDU报文数量大于配置的阈值(3次)，那么设备只会处理阈值指定的次数。
[SW3]stp tc-protection 开启TC BPDU保护
[SW3]stp tc-protection threshold 2 修改tc bpdu接收的阈值

MSTP:多实例生成树
单个RSTP不足之处：
1、无法实现流量的负载分担
2、次优路径问题

定义：MSTP可以将一个或多个VLAN映射到一个实例(实例),再基于实例计算生成树,映射到同一个实例的VLAN共享同一棵生成的树。每一个实例都是单独RSTP。
原理—名词认知：
MST Region (Multiple Spanning Tree Region,多生成树域），也可简称MST域
同一个MST域的设备具有下列特点:
都启动了MSTP.
具有相同的域名。
具有相同的VLAN到生成树实例映射配置。
具有相同的MSTP修订级别配置。

MSTI (Multiple Spanning Tree Instance，多生成树实例)：
一个MST域内可以生成多棵生成树,每棵生成树都称为一个MSTI
MSTI使用Instance ID标识，华为设备取值为0~4094
Instance0是缺省存在的,而且缺省时,华为交换机上所有的VLAN都映射到了Instance0。

CST (Common Spanning Tree，公共生成树）
IST (Internal Spanning Tree,内部生成树)；IST是一个特殊的MSTI, MSTI的Instance ID为0。
CIST (Common and Internal Spanning Tree,公共和内部生成树）；通过生成树协议计算生成的,连接一个交换网络内所有交换设备的单生成树。
SST (Single Spanning Tree，单生成树）

总根(CIST Root)
是CIST的根桥
域根（Regional Root)
分为IST域根和MSTI域根
IST域根，在MST域中IST生成树中距离总根最近的交换设备是IST域根
MSTI域根是每个多生成树实例的树根
主桥（Master Bridge）
是IST Master，它是域内距离总根最近的交换设备
如果总根在MST域中,则总根为该域的主桥。

MSTP中定义的所有端口角色包括：
根端口、指定端口、Alternate端口、Backup端口 Master端口、域边缘端口和边缘端口。
Master端口是特殊的边缘端口。

[SW2]stp mode mstp 模式修改为MSTP
[SW2]stp region-configuration 进入stp域配置
[SW2-mst-reqion]reqion-name HW 修改域名称
[SW2-mst-region]revision-level 1 修改域修订等级
[SW2-mst-region]instance 1 vlan 10 实例关联vlan
[SW2-mst-region]instance 2 vlan 20
[SW2-mst-region]active region-configuration 激活域配置
[SW2]stp instance 1 root primary
[SW2]stp instance 2 root secondary 配置实例主根和备份根

stp mode mstp
stp re
re HW
rev 1
ins 1 v 10 30
ins 2 v 20 40
ac re

stp ins 2 roo pr
stp ins 1 roo se

[SW2]port-group 1
[SW2-port-group-1]group-member g0/0/1
[SW2-port-group-1]group-member g0/0/2
[SW2-port-group-1]group-member g0/0/3
[SW2-port-group-1]group-member g0/0/4
[SW2-port-group-1]stp edged-port enable

display ospf peer brief

display ip int br

display ip routing-table

ACL 访问控制列表

产生背景：为了提升网络的安全性，控制数据的转发，需要流量控制工具

作用：能够对于报文进行区分和匹配；流量控制工具

工作原理
动作：permit：允许 deny：拒绝

匹配条件：帧头(Dmac–Smac)|IP(Sip-Dip)|tcp/udp(Sport-Dport)|data|帧尾

匹配顺序：按照rule编号从上到下依次匹配
默认动作：允许所有—ACL对于数据的处理

基本ACL 2000-2999 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。
高级ACL 3000-3999 可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。
二层ACL 4000-4999 使用报文的以太网帧头信息来定义规则，如根据源MAC地址、目的MAC地址、二层协议类型等。
用户自定义ACL 5000-5999 使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。
用户ACL 6000-6999 既可使用IPv4报文的源IP地址或源UCL (User Control List)组,也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。

基本ACL配置：

创建ACL：
[R3]acl 2001
[R3-acl-basic-2001]rule deny source 192.168.1.0 0.0.0.255 拒绝源是192.168.1.0的数据

调用ACL：
[R3]int g0/0/2
[R3-GigabitEthernet0/0/2]traffic-filter outbound acl 2001

高级ACL：
创建ACL：
[R2]acl 3000
[R2-acl-adv-3000]rule deny tcp source 192.168.1.1.0 destination 192.168.2.2 0 destination-port eq www
调用ACL：
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

NAT
在网络边界设备上(路由器、防火墙)，将数据中的私网地址和公网地址进行转换

NAT分类：
静态NAT 1对1转换 1个私有IP地址转换为固定的某1个公有IP地址
动态NAT 多对多转换多个私有IP地址基于公网地址池进行转换
NAPT（网络地址端口转换）多对1转换多个私有IP地址转换为一个/多个公网IP地址（利用端口号区分不同的私有IP地址）

[R5]ospf
[R5-ospf-1]default-route-advertise always 自动下发缺省路由

[R5]int g0/0/0
[R5-GigabitEthernet0/0/0]nat static global 100.1.1.100 inside 192.168.1.1
静态内网连接全局公网

NAPT配置：
[R5]acl 2000 定义出要转换的内网数据
[R5-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[R5]nat address-group 1 100.1.1.50 100.1.1.51 创建公网地址池
[R5]int g0/0/0 将内网数据和公网地址池进行映射
[R5-GigabitEthernet0/0/0]nat outbound 2000 address-group 1

动态NAT配置：
[R5]int g0/0/0 将内网数据和公网地址池进行映射
[R5-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat

easy-ip：
将多个私有IP地址转换为公网出接口的IP地址
[R5]ACL 2001 定义出要转换的内网数据
[R5-acl-basic-2001]rule permit source 192.168.3.00.0.0.255

[R5]int g0/0/0 将内网数据和接口进行映射
[R5-GigabitEthernet0/0/0]nat outbound 2001