Telnet^
1、进入远程登录接口(vty)
2、配置认证模式(null / 密码 / aaa)
1 | [R1]telnet server enable |
telnet 用户登录的权限默认是 0—-查看权限,若需要管理、配置需要提权
1 | [R2-ui-vty0-4]user privilege level 3 用户登录权限等级改为3 |
1 | <Huawei>display mac-address 查看MAC地址表 |
相同网段通信ARP流程与交换机工作原理全过程:
PC1,PC2 IP 和MAC
PC1和PC2互通
首先PC1产生数据,传输层封装TCP/UDP,网络层封装IP;源IP1.1 目的IP1.2;
到达数据链路层时,封装帧头和帧尾;源MAC01;
PC1封装目的MAC时,会首先查看它的ARP表项(arp-a):发现表项中关于1.2的mac是未知的;于是产生一个ARP广播请求;(广播)
请求消息首先到达交换机,交换机便开始学习源MAC01和接口GE0/0/1的关系;然后放入到交换机的MAC地址表中;(学习)
交换机根据广播帧(FF:FF:FF:FF:FF:FF)进行泛洪动作,会把该帧从交换机的各个接口发出去;(泛洪)
PC2收到该帧,对它进行解封装,得到1.1的MAC是01,记录到自己的ARP表项中;同时发现1.1在请求自己的MAC;便以单播的形式回复;消息到达交换机;(单播)
交换机学习MAC02和端口GE0/0/2的关系,放入到交换机MAC地址表中;(学习)
根据目的MAC01,查找MAC地址表发现,01对应的GE0/0/1接口,便从1口转发发送给PC1;(转发)
PC1解封装,最后得到1.2的MAC为02,至此得到了想要的MAC。
相同网段通信ARP流程与交换机工作原理—关键要素
1.源终端设备 产生数据;一系列封装:
应用层(产生数据)(Data)—>传输层(封装TCP/UDP)(数据段)—>网络层(封装IP,包括了源IP和目的IP)(数据包)—>数据链路层(数据帧)–从端口发送至交换机
2.封装目的MAC时,查看ARP表项:
(1)目的MAC未知—>ARP广播—>泛洪
(2)目的MAC已知—–>单播——>转发
3.消息到达交换机:
*学习动作:学习源MAC与接口关系,放入MAC地址表中
(1)广播帧/未知单播帧:泛洪动作:把该帧从交换机的各个接口(除刚刚接收该帧的口)发送出去
(2)单播帧:转发动作:根据MAC地址表,从目的MAC对应的接口转发出去;
4.所有接收到消息的终端设备 –> 解封装;
数据帧[得知 源 MAC]–>[解封IP]–>数据包[得到 源 的IP]
*得到新鲜MAC—>记录到自己的ARP表项中
(1)检查其中的目的MAC:是自己的MAC—>请求,需回复;
不是自己的MAC—>将数据包丢弃
小问答:
一、(封装的过程是在哪里发生的?)
在发送此数据的设备
二、(交换机的MAC地址表和终端的ARP表项是一个东西吗?)
不是。
ARP表项 包含 IP地址 和其对应的 MAC地址;
MAC地址表 包含 MAC地址 和其对应的 端口。
静态路由配置^
静态路由配置–网络拓扑图
大体思路:
1.配PC
2.配路由接口
3.配静态路径
1 | R2: |
#ip route-static 目的网段 掩码 出接口 下一跳
#[XX]dis ip routing-table #查看IP路由表
1、数据封装/解封装定义
封装:应用层–>物理层;数据–>二进制数
解封装:物理层–>应用层;二进制数–>数据
2、OSI 模型 TCP/IP 协议栈具体内容
OSI:应用层,表示层,
3、应用层作用,协议内容及端口号(5种以上)
作用:产生数据;
Http:超文本传输(TCP 80)
Https:超文本传输安全(TCP 443)
FTP:文件传输(TCP 20/21)
TFTP:简单文件传输(UDP 69)
Pop3:邮局协议(TCP 110)
Smtp:简单邮件传输(TCP 25)
DNS:域名解析(TCP/UDP 53)
Dhcp:动态IP配置(UDP 67/68)
Telnet:远程登录(TCP 23)
Ssh:安全远程登录(TCP 22)
4、网络层,传输层作用,包含协议及每种协议的作用
传输层:作用:数据分段–>识别上层协议–>根据数据需求封装传输层协议
协议:TCP,UDP
网络层:作用:数据包分片(防止数据过大 MTU-1500B)–>路由寻址和寻路–>实现不同网段通信
5、(TCP可靠性机制、应用UDP场景)
TCP:三次握手—>确认号确认机制—>滑动窗口机制—>四次挥手
UDP场景:延迟要求低,不在意数据泄露
6、网络层、传输层如何识别上层协议?
网络层:协议号(Procotol)使用 tcp-6 / udp-17
传输层:端口号:大小16bit;一共2^16=65536种可能性,能取的0-65535;
7、园区网三层架构:
接入层,汇聚层,核心层
8.网络组成四要素:
1 | [R1]info-center enable 信息中心开启 |
Tab:自动补齐
1 | [R1-GigabitEthernet0/0/0]dis this 查看当前接口下关系 |
1 | display ip routing-table 查看ip路由表 |
127.0.0.0/8 本地环回网段
127.0.0.1 本地环回地址测试本地网卡连通性
Win+R 运行界面:cmd—打开黑窗口 route print 路由打印
关于ARP协议提升:
PC封装数据—>判断是否在同一网段:
同:PC直接请求目的IP地址的MAC地址;
不同:PC 请求本机所配置网关 IP 地址对应的MAC地址
路由器工作原理:
1.解封装—解掉帧头帧尾–(路由器是三层设备需要看网络层信息)
2.转发动作—路由器收到数据—根据目的IP查路由表转发(默认将路由器直连网段加入路由表)
3.重新封装/重写—-封装新的帧头、帧尾
*路由表的查看:
Destination/MaskProtoPreCostFlags NextHopInterface
NextHop(下一跳)
通不通:
1.看每台设备的路由表–大体看出来–默认加直连网段
2.确定数据流 源IP地址—
静态路由:
ip route-static 目的网段 掩码 出接口 下一跳
ip route-static 目的网段 掩码 下一跳
ip route-static 目的网段 掩码 出接口
OSPF 实验^
要素:
设备:PC1,PC2,R1,R2,R3
大体思路:
1.配PC
2.配路由接口
3.进入OSPF界面,进程1
选择区域
net(连接)相连网段
R1:
sys
sys R1
un in en
int g0/0/0
ip a 192.168.1.254 24
int g0/0/1
ip a 12.1.1.1 24
ospf
area 0
net 192.168.1.0 0.0.0.255
net 12.1.1.0 0.0.0.255
R2:
sys
sys R2
un in en
int g0/0/1
ip a 12.1.1.2 24
int g0/0/2
ip a 23.1.1.2 24
ospf
area 0
net 12.1.1.0 0.0.0.255
area 2
net 23.1.1.0 0.0.0.255
R3:
sys
sys R3
un in en
int g0/0/0
ip a 192.168.2.254 24
int g0/0/2
ip a 23.1.1.3 24
ospf
area 2
net 192.168.2.0 0.0.0.255
net 23.1.1.0 0.0.0.255
检查:
dis os pe br #查看OSPF邻居关系
1.交换机工作原理
学习—>泛洪(MAC表)—>转发
学习动作:学习源MAC与接口关系,放入MAC地址表中;
泛洪动作:接收到广播帧/未知单播帧时从每个端口(除接收端口外)发送
转发动作:接收到单播帧时根据MAC地址表,从目的MAC对应端口转发
2.路由器工作原理
解封装—>转发(IP路由表)—>重新封装
解封装:解除帧头帧尾
转发动作:根据目的IP查路由表转发
重封装:封装新的帧头帧尾
3.ARP协议作用,工作原理,如何获取对端MAC地址
根据IP地址寻找目的MAC地址;
发送数据前检查自己的arp缓存表(记录了IP与MAC地址对应关系)是否存在目的IP对应的MAC,有则作为目的MAC封装进数据帧中
PC封装数据—>判断是否在同一网段:
同:PC直接请求目的IP地址的MAC地址;
不同:PC 请求本机所配置网关 IP 地址对应的MAC地址
4.TCP IP 协议栈中每层作用及协议
应用层:HTTP ftp pop3 tftp telnet ssh 产生数据
传输层:TCP UDP 数据分段,再根据需求封装传输层协议(端口号)
网络层:ARP IP 包分片,路由寻址和选路
数据链路层:以太网(以太Ⅱ,IEEE802.3) 广域网 封装链路层协议,识别上层协议
1.交换机工作原理
学习动作 泛洪动作 转发动作
学习动作:学习MAC与接口关系放入MAC表
泛洪动作:收到未知单播帧/广播帧时从每一个端口发送出去
转发动作:收到单播帧时根据目的MAC从对应端口转发出去
2.路由器工作原理
解封装 转发动作 重新封装
解封装:解除帧头帧尾
转发动作:根据目的IP查路由表转发
重封装:重新封装新的帧头帧尾
3.ARP协议作用,工作原理,如何获取对端MAC地址
作用:根据目的IP寻找目的MAC
工作原理:发送数据时查看arp缓存表,若存在目的IP对应MAC则封装进数据帧中
如何?:检查是否在同一网段:同:直接请求目的IP对应MAC;不同:请求网关IP对应MAC
4.TCP IP 协议栈中每层作用及协议
应用层:产生数据:
Http:TCP 80
Https:TCP 443
Ftp:TCP 20/21
Tftp:UDP 69
Pop3:TCP 110
Telnet:TCP 23
Ssh:TCP 22
传输层:数据分段–根据数据需求封装传输层协议(端口号-识别应用层协议)
TCP
UDP
网络层:数据包分片–路由寻址和选路–实现不同网段通信 (协议号-识别传输层协议:TCP-6 UDP-17_)
IP
ARP
数据链路层:封装帧头帧尾(包括数据链路层协议)–实现同网段通信 (识别上层协议)
以太网协议(以太网Ⅱ帧、IEEE802.3帧)
广域网协议
物理层:数据帧转换为二进制数
浮动静态路由^
R1:
sys
sys R1
un in en
int g0/0/0
ip a 192.168.1.254 24
int g0/0/1
ip a 12.1.1.1 24
int e0/0/1
ip a 23.1.1.2 24
ip route-static 192.168.2.1 24 g0/0/1 12.1.1.2 preference 50
ip route-static 192.168.2.1 24 e0/0/1 12.1.1.2
R2:
sys
sys R2
un in en
int g0/0/1
ip a 12.1.1.2 24
int g0/0/2
ip a 192.168.2.254 24
int e0/0/1
ip a 23.1.1.3 24
ip route-static 192.168.1.1 24 g0/0/1 12.1.1.1 preference 50
ip route-static 192.168.1.1 24 e0/0/1 12.1.1.1
#ip route-static 目的IP 掩码 出接口 下一跳 优先级 50(静态默认60,优先级越小越优先)
只跟下一跳问题:存在迭代查询现象:到达目的网段需要查多次路由表
查询速度慢,可能丢包
只跟出接口:默认不可通信(点到点环境除外)
如何互通?开启arp代理:当某个接口开启arp代理功能后,代理目的IP地址回复MAC地址
前提:该接口可以与目的IP地址能互通
dis arp all 查看ARP缓存表
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]arp-proxy enable 开启arp代理
默认路由/缺省路由:
目的网段为0.0.0.0/0的路由 代表所有网段
注意事项:切记不要互指下一跳为对方
Tracert 路径跟踪
路由表比较规则:
1.掩码长度,越长(精确)越优先
2.Pre 优先级:越小越优先
直连-0 OSPF(内部)-10 isisp-15 静态-60 rip-100 OSPF(外部)-150 bgp-255
3.Cost 度量:开销,跳数 越小越优先
等价路由:目的网段,掩码,优先级相同的多条路由、
[R1]ip route-static 192.168.2.0 24 g0/0/1 12.1.1.2 preference 50 修改优先级
静态路由不足之处:不适用于中大型网络;灵活性差
RIP:路由信息协议
OSPF:开放式最短路径优先
ISIS:中间系统-中间系统
BGP:边界网关协议
按照协议特性:
1.距离矢量路由协议 只关心距离和方向,传递的是路由(BGP,RIP)
2.链路状态路由协议 传递链路状态信息,形成相同的数据库(地图)
OSPF—LSA(链路状态通告)
ISIS—–LSP(链路状态PDU(协议数据单元))
按照运行范围(AS:自治区域系统)
AS:运行相同路由协议路由器的集合
ASBR:AS边界路由器(处于多个AS之间的路由器)
IGP(内部网关协议)-运行在AS内的路由协议 - RIP\OSPF\ISIS
EGP(外部网关协议)-运行在AS间的路由协议 - BGP
OSPF:开放式最短路径优先
定位:动态路由协议;链路状态:传递链路状态信息;IGP
工作原理:
1、发送Hello建立邻居关系
2、进行LSA(链路状态通告)的泛洪,形成相同LSDB(链路状态数据库)
3、运行SPF(最短路径优先)算法,得出最优路由
问题:随着路由器、链路数量的增多,LSDB随着增大、路由表增大,查表速度降低,转发效率降低
如何解决:划分区域(area)
区域分类:骨干区域:area 0;
非骨干区域:area 1;
区域部署原则:非骨干区域之间通信,必须与骨干区域相连
区域划分;基于接口划分;
区域边界路由器:ABR(至少有一个区域是骨干区域)
OSPF 配置:
1.进入OSPF进程(进程号默认是1)
2.进入路由器所属区域
3.宣告区域内的直连网段(反掩码)
[R1]ospf
[R1-ospf-1]area 0
[R1]display ospf peer brief 查看OSPF对端简要信息
Router ID:路由器标识:
手工配置优先:[R1]ospf 1(进程号) router-id 1.1.1.1(标识名)
默认第一个在路由器配置的IP地址为路由器router id
You need to restart the OSPF process to validate the new router ID.如果之前存在router id,修改后需要重置OSPF进程
Warning: The OSPF process will be reset. Continue? [Y/N]:y
邻居状态—Full 收敛完成状态
OSPF 优先级:10
OSPF 度量值:开销
ospf接口开销cost = 带宽参考值(100Mb/s) /接口带宽;不足1取1 【GE口千兆 E口百兆】
ospf路由总开销 = 路由器到达目的网段,出方向接口开销之和
如何修改接口cost?
1、修改带宽参考值
[R3-ospf-1]bandwidth-reference ?
INTEGER<1-2147483648> The reference bandwidth (Mbits/s)
[R3-ospf-1]bandwidth-reference 10000
2、直接修改接口cost
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ospf ? #<65535>
[R3-GigabitEthernet0/0/0]ospf cost 5
OSPF 与优先级
R1:
sys
sys R1
un in en
int g0/0/0
ip a 12.1.1.1 24
int g0/0/1
ip a 192.168.1.254 24
q
os 1 ro 1.1.1.1
area 1
net 192.168.1.0 0.0.0.255
net 12.1.1.0 0.0.0.255
R2:
sys
sys R2
un in en
int g0/0/0
ip a 12.1.1.2 24
int g0/0/1
ip a 23.1.1.2 24
q
os 1 ro 2.2.2.2
ar 1
net 12.1.1.0 0.0.0.255
ar 0
net 23.1.1.0 0.0.0.255
int g0/0/1
ospf cost 6
R3:
sys
sys R3
un in en
int g0/0/1
ip a 23.1.1.3 24
int g0/0/2
ip a 34.1.1.3 24
q
os 1 ro 3.3.3.3
ar 0
net 23.1.1.0 0.0.0.255
net 34.1.1.0 0.0.0.255
R4:
sys
sys R4
un in en
int g0/0/2
ip a 34.1.1.4 24
int g0/0/3
ip a 45.1.1.4 24
int g0/0/0
ip a 47.1.1.4 24
q
os 1 ro 4.4.4.4
ar 0
net 34.1.1.0 0.0.0.255
ip route-static 200.1.1.0 24 g0/0/3 45.1.1.5 preference 50
ip route-static 200.1.1.0 24 g0/0/0 47.1.1.7
ospf
default-route-advertise always
R5:
sys
sys R5
un in en
int g0/0/3
ip a 45.1.1.5 24
int g0/0/0
ip a 56.1.1.5 24
q
os 100 ro 5.5.5.5
ar 0
net 56.1.1.0 0.0.0.255
ip route-static 192.168.1.0 24 g0/0/3 45.1.1.4
R7:
sys
sys R7
un in en
int g0/0/0
ip a 47.1.1.7 24
int g0/0/1
ip a 67.1.1.7 24
q
os 100 ro 7.7.7.7
ar 0
net 67.1.1.0 0.0.0.255
ip route-static 192.168.1.0 24 g0/0/0 47.1.1.4
R6:
sys
sys R6
un in en
int g0/0/0
ip a 56.1.1.6 24
int g0/0/1
ip a 67.1.1.6 24
int g0/0/2
ip a 200.1.1.254 24
q
os 100 ro 6.6.6.6
ar 0
net 56.1.1.0 0.0.0.255
net 67.1.1.0 0.0.0.255
net 200.1.1.0 0.0.0.255
ip route-static 192.168.1.0 24 g0/0/0 56.1.1.5 preference 40
ip route-static 192.168.1.0 24 g0/0/1 67.1.1.7
OSPF原理:
1.发送Hello报文 建立邻居关系
2.进行LSA泛洪,同步LSDB数据库
3.运行SPF算法,得出最优路由
静态配置中
只跟下一跳问题:迭代查询现象:到达目的网段需查多次路由表,查速慢,可能丢包;
只跟出接口问题:默认不可通信(点到点除外)
如何互通:开启ARP代理:某接口开启ARP代理后,代理目的IP地址回复MAC地址(前提是该接口可以与目的IP地址互通)
路由表比较规则
1、掩码长度 越长越优先
2、优先级 越小越优先
3、度量:开销 跳数 越小越优先
OSPF配置:
1.进入OSPF进程
2.进入路由所属区域
3.宣告直连网段
动态路由分类:
协议 运行范围
距离矢量 RIP BGP
链路状态 OSPF ISIS
内部网关 IGP RIP OSPF ISIS
外部网关 EGP BGP
OSPF 报文实验^
OSPF 报文消息(Open Shortest Path First)
Hello 建立、维护邻居关系
DBD/DD报文:数据库描述报文 描述本地链路状态数据库信息(LSA摘要)
LSR:链路状态请求报文 请求所缺少的LSA的详细信息
LSU:链路状态更新报文 更新所请求LSA的详细信息
LSACK:链路状态确认报文 确认接收到的LSA
R1:
sys
sys R1
un in en
os 1 ro 1.1.1.1
ar 0
int g0/0/0
ip a 12.1.1.1 24
os en 1 ar 0
R2:
sys
sys R2
un in en
int g0/0/0
ip a 12.1.1.2 24
q
os 1 ro 2.2.2.2
ar 0
net 12.1.1.2 0.0.0.0
两个验证
第一个验证:
R1:
sys
sys R1
un in en
int g0/0/0
ip a 1.1.1.1 24
q
os 1 ro 1.1.1.1
ar 0
net 1.1.1.1 0.0.0.0
q
q
int g0/0/0
os au md 1 pl hcie
R2:
sys
sys R2
un in en
int g0/0/0
ip a 1.1.1.2 24
q
os 1 ro 2.2.2.2
ar 0
net 1.1.1.2 0.0.0.0
au md 1 pl hcie
结果:验证一是通的
第二个验证:
R1:
sys
sys R1
un in en
int g0/0/0
ip a 1.1.1.1 24
q
os 1 ro 1.1.1.1
ar 0
net 1.1.1.1 0.0.0.0
au md 1 pl huawei
q
q
int g0/0/0
os au simple pl bossay
R2:
sys
sys R2
un in en
int g0/0/0
ip a 1.1.1.2 24
q
os 1 ro 2.2.2.2
ar 0
net 1.1.1.2 0.0.0.0
au m 1 p huawei
q
q
int g0/0/0
os au s p bossay
OSPF Header
Auth Type: Simple password (1)
Auth Data (Simple): bossay
结果:
接口认证优先于区域认证
原因:
OSPF区域基于接口划分
loopback接口:环回接口 可以配置IP地址—模拟网段
[R3]int loopback ?
<0-1023> LoopBack interface number
[R3]int loopback 0
[R3-LoopBack0]ip address 3.3.3.3 32
在广播型多路访问环境下,LSA泛洪过多,占用大量带宽资源
如何解决:选举DR(指定路由器)
路由器都向DR进行LSA泛洪,由DR将LSA向其他路由器泛洪其他路由器之间,不在进行LSA泛洪
为了保证DR可靠,选举出BDR(备份DR)
非DR/BDR的路由—DRother
DR/BDR选举规则(可能的多路访问环境必定选BR/BDR:40s:先选两个BDR,再升一个为DR):
1、先比较路由器优先级(默认值1),越大越优先
【优先级0–不参与DR/BDR选举】
2、router id 越大越优先
DR:123.1.1.4 BDR: 123.1.1.2 MTU: 0
[R1-GigabitEthernet0/0/0]ospf dr-priority ?
INTEGER<0-255> Router priority value
[R1-GigabitEthernet0/0/0]ospf dr-priority 100
DR/BDR抢占规则:DR具有不可抢占性
DR/BDR/DRother关系:
邻居关系(DRother-DRother):hello-建立/维护邻居关系
邻接关系(DR/BDR-DRother)(DR/BDR):hello-建立/维护邻居关系 + 进行LSA泛洪
[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]area 0
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 12.1.1.1 24
[R1-GigabitEthernet0/0/0]ospf enable 1 area 0
*[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 12.1.1.2 0.0.0.0 宣告地址
OSPF Process 1 with Router ID 1.1.1.1
Peer Statistic Information
OSPF Process 1 with Router ID 1.1.1.1
Neighbors
Area 0.0.0.0 interface 12.1.1.1(GigabitEthernet0/0/0) ‘s neighbors
Router ID: 2.2.2.2 Address: 12.1.1.2
State: Full Mode:Nbr is Master Priority:100
DR: 12.1.1.2 BDR: 12.1.1.1 MTU: 0
………………
OSPF 报文消息(Open Shortest Path First)
Hello 建立、维护邻居关系
DBD/DD报文:数据库描述报文 描述本地链路状态数据库信息(LSA摘要)
LSR:链路状态请求报文 请求所缺少的LSA的详细信息
LSU:链路状态更新报文 更新所请求LSA的详细信息
LSACK:链路状态确认报文 确认接收到的LSA
Warning: The OSPF process will be reset. Continue? [Y/N]:y
抓包:OSPF基于IP封装,协议号89
更新:采用组播更新,更新地址:224.0.0.5、224.0.0.6
IP规划:
A: 0.0.0.0-127.255.255.255
B: 128.0.0.0- 191.255.255.255
C: 192.0.0.0223.255.255.255
可以在主机上配置的地址
D: 224.0.0.0-239.255.255.255
组播地址
E: 240.0.0.0- 255.255.255.255
保留地址/实验地址
OSPF Header (ospf头部字段)
Version: 2 版本号:2,主要用于IPV4路由获取
Message Type: Hello Packet (1) 消息类型(什么报文):Hello报文(代号为1)
Packet Length: 48 数据包长度:48bit
Source OSPF Router: 1.1.1.1 源Router ID字段:1.1.1.1 【Router ID 必须唯一】
Area ID: 0.0.0.0 区域号:0(骨干区域)
Checksum: 0xdc8f 校验和
Auth Type: Null (0) 认证类型:无
Auth Data (none): 0000000000000000 认证数据
OSPF Hello Packet (OSPF Hello 报文 — 建立并维护邻居关系)
Network Mask: 255.255.255.0 网络掩码
Hello Interval [sec]: 10 Hello间隔:10s (心跳更新间隔)
Options: 0x02 选项字段
Router Priority: 1 路由器优先级(用于选举DR和BDR)
Router Dead Interval [sec]: 40 路由器失效时间:40s (心跳失效时间)
Designated Router: 12.1.1.2 指定路由器(DR)
Backup Designated Router: 12.1.1.1 备份指定路由器(BDR)
Active Neighbor: 2.2.2.2 活跃的邻居
Hello 报文成立条件:
1、Router ID 必须唯一
2、区域ID 必须相同
3、认证类型、认证数据 必须相同
4、网络掩码必须相同
5、hello timer,dead timer 必须相同
6、选项字段必须相同
认证方式:
基于区域的认证:区域内所有路由器配置
基于接口的认证
认证类型:
不认证、明文认证、MD5密文认证
认证数据:认证密码
接口的认证:
[R1-GigabitEthernet0/0/0]ospf authentication-mode ?
[R1-GigabitEthernet0/0/0]ospf authentication-mode md5 ?
INTEGER<1-255> Key ID
[R1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 ?
STRING<1-255>/<20-392> The password (key)
cipher Encryption type (Cryptogram)
plain Encryption type (Plain text)
[R1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher huawei
[R1-GigabitEthernet0/0/0]undo ospf authentication-mode
区域的认证:
[R1-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher bossay
手工修改Hello时间和死亡时间:
[R1-GigabitEthernet0/0/0]ospf timer hello 5
[R1-GigabitEthernet0/0/0]ospf timer dead 10
undo ospf timer hello
邻居关系建立标志:
收到hello报文中,发现本路由器的router id(活跃的邻居字段中)
邻居状态机制(OSPF邻居状态机)
Down 开启OSPF但无报文交互
Init 收到的Hello中,没有发现自己的router id
2Way 收到的hello中,发现自己的router id(邻居关系建立标志)
Exstart 进行主从关系的选举,保证DBD报文可靠
Exchange 进行DBD报文的交互
Loading 进行LSR/LSU/LSACK报文的交互
Full 运行SPF算法,得出最优路由(邻接关系建立标志)
Interface MTU: 0 接口MTU
Options: 0x02 选项字段
DB Description:0x07 DBD描述字段
{
…. .1.. = (I) Init: Set 是否为第一个DBD报文(1是第一个; 0不是第一个)
…. ..1. = (M) More: Set 更多位 后续是否还有DBD报文(1:是;0:否)
…. …1 = (MS) Master: Yes 主从位(1:主 ;0:从0)
}
DD Sequence: 277 DBD序列号(DBD报文)
何时一直卡在2way:当两台路由器都为DRother路由器
为什么要保证DBD可靠?
1、OSPF由IP封装,IP无可靠性机制;
2、Hello 周期性 无需保障
3、LLL相互保证可靠
4、因此 Exstract 选举主从保证DBD可靠
如何保证DBD可靠?
1.互发空DBD报文选举主从(router id越大越优先)
2.从照主序列号发送含LSA摘要的DBD报文;主序列号+1回复;
3.从比主多一个DBD报文,目的保证主最后一个DBD报文的可靠
什么时候会卡在Exchange????
包交换有问题,发出DBD后没有收到LSACK
MTU:最大传输单元 1500B
在OSPF协议中默认MTU不进行协商,也可开启MTU协商
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0] ospf mtu-enable
1.OSPF 工作原理
发送Hello报文,建立邻居关系
进行LSA泛洪,形成相同LSDB
运行SPF算法,得出最优路由
2.Ospf 更新方式
基于IP封装,协议号89
组播,更新地址224.0.0.5,224.0.0.6
3.OSPF五种报文消息
Hello 建立并维护邻居关系
DBD 发送数据库概要
LSR 数据库补全请求
LSU 数据库更新信息
LSACK 确认补全数据库
4.OSPF划分区域原因,部署原则
LSDB随链路增多而增大,路由表增大,查表转发速率降低
原则:非骨干区域间通信需与骨干区域相连
5.OSPF选举DR/BDR的原因,如何选举
防止LSA泛洪过多占用带宽
选举:先比较路由器优先级,在比较router id优先级(均越大越优先)
6.OSPF什么是邻居关系、什么是邻接关系
邻居:DRother之间,只建立维护邻居关系
邻接:DR/BDR-DRother以及DR-BDR之间,建立维护邻居关系并LSA泛洪
7.OSPF邻居关系建立的条件,标志
条件:
router id 唯一
区域 相同
认证类型和认证数据 相同
网络掩码 相同
hello timer,dead timer 相同
选项字段 相同
标志:收到的Hello中发现自己的router id(2-Way)
8.OSPF 状态机分别作用
Down 开OSPF,无交互
Init hello 无 router id
2-Way hello 有 router id
Exstart 选主从,保DBD可靠
Exchange DBD交互
Loading LSR\LSU\LSACT交互
Full 运行SPF算法,得出最优路由
9.如何保证DBD可靠?
互发空DBD,根据router id大选主从
从照主序列号发送含LSA摘要DBD,主序列号+1回复;
从比主多一报文以保证主最后一DBD可靠
10.何时卡2-Way
ospf dr pri 0 接口优先级改为0 不参与DR/BDR选举
dis ospf pe br 看看在哪个状态机
reset ospf process 重置OSPF进程
11.何时卡Exstart(State: ExStart)
int g0/0/0
ospf mtu-enable
mtu 1400
VLAN间路由练习^
R3:
sys
sys R3
un in en
int g0/0/0
ip a 192.168.3.254 24
int g0/0/1
ip a 23.1.1.3 24
q
v b 10 20 40
LSW2:
sys
sys SW2
un in en
v b 10 20 40
int v 10
ip a 192.168.1.254 24
int v 20
ip a 192.168.2.254 24
int v 40
ip a 23.1.1.2 24
int g0/0/1
port link-type trunk
po tr a v 10 20 40
po tr pvid vl 40
[SW2]interface Vlanif 10
[SW2-Vlanif10]ip address 192.168.1.254 24
[SW2]interface Vlanif 20
[SW2-Vlanif10]ip address192.168.2.254 24
[SW1]int g0/0/5
[SW1-GigabitEthernet0/0/5]port link-type trunk
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 10 20
[SW1-GigabitEthernet0/0/5]port trunk pvid vlan 100
[SW1]vlan batch 20 30
display vlan
display port vlan
二层技术:
VLAN:虚拟局域网
为什么要有VLAN?
交换机工作原理:学习,泛洪,转发
广播域:能收到广播消息的范围/区域
交换机默认所有接口都在同一个广播域
广播域大–占用带宽资源,安全性低;
VLAN作用:隔离广播域
如何实现隔离?交换机为数据打上Tag,利用Tag区分不同VLAN
不带tag数据(untagged)
帧头(DMAC<–SMAC type)|ip(SIP–>DIP)|tcp/udp|data|帧尾
携带tag数据(tagged)
帧头(DMAC<–SMAC|tag(4bytes)|type)|ip(SIP–>DIP)|tcp/udp|data|帧尾
Tag=4B
1.Type 类型 0X8100-802.1Q标准—-vlan
2.PRI 优先级 用于QOS (服务质量)
3.CFI MAC地址是否支持经典格式
4.VID(12bits 2^12=4096vlan 范围:0-4095 能用的:1-4094) VLAN标识
VLAN 对于tag不同处理动作–端口处理类型
Access:接入链路:只允许一个vlan通过 交换机–终端设备
Trunk: 干道链路:允许多个vlan通过 交换机–交换机
Hybrid:混合链路:手工定义允许通过的vlan及vlan通过时的动作 默认类型
VLAN配置:
创建单个vlan:[SW1]vlan 10 –> [SW1-vlan10]
描述备注vlan:[SW1-vlan10]description HR
创建多个vlan:[SW1]vlan batch 20 30
创建连续vlan:[SW1]vlan batch 40 to 100
查看vlan:[sw1]display vlan
查看端口和vlan关系:display port vlan
Access配置:1. 进入接口 2. 端口链路类型-access 3. 端口所属的vlan
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 10
Trunk配置:1. 进入接口 2. 端口链路类型-trunk 3. trunk端口允许通过的vlan
[SW1]int g0/0/5
[SW1-GigabitEthernet0/0/5]port link-type trunk
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 10 20
*[SW1-GigabitEthernet0/0/5]undo port trunk allow-pass vlan 1 删除vlan1
[SW1-GigabitEthernet0/0/5]port trunk pvid vlan 100 修改trunk接口pvid
删除命令 倒着删
看到
Hybrid配置:
tagged:携带标记
untagged:不携带标记
[SW1]int g0/0/6
[SW1-GigabitEthernet0/0/6]port link-type hybrid
[SW1-GigabitEthernet0/0/6]port hybrid untagged vlan 30
[SW1-GigabitEthernet0/0/6]port hybrid pvid vlan 30
Tag的处理:允许列表下,不带标记打标记,相同标记去标转发,不同标记A丢T转
{
Access:(不带标记打标记,相同标记去标转发,不同标记直接丢弃)
入:不带标记,打上PVID
出:PVID比较,同就去标记转发,不同就丢弃
Trunk:
出:允许列表下,不同标记直接转发,相同标记去标转发
入:允许列表下,不带标记打标记,带着标记直接转发
Hybrid:
出:允许列表下,手工定义允许通过的vlan及通过时动作
入:在满足允许列表前提下,收到数据带标记,直接转发;收到数据不带标记,打上该接口的pvid的标记
}
三层交换机=路由器(IP+静态+动态) +二层交换机(vlan stp)集合
三层交换机物理接口无法配置IP地址(交换机接口默认二层接口)
如何在交换机上配置IP地址?
1、将二层接口转换为三层接口
[SW2]int g0/0/5
[SW2-GigabitEthernet0/0/5]undo portswitch 删除端口交换功能
2、在交换机上配置vlan虚拟接口 vlanif
[SW2]interface Vlanif 10
[SW2-Vlanif10]ip address 192.168.1.254 24
[SW2]interface Vlanif 20
[SW2-Vlanif10]ip address192.168.2.254 24
交换机出来的数据一定带标记,路由器不带
(1)全程带标记 trunk
(2)出来去标记,进入打标记 access hybrid
配置实验:配置思路 先二层(聚合 vlan stp)再三层(vlan if 静态 OSPF)
每配置完一个技术——-验证是否正确
Vlan:dis port vlan dis vlan
Vlanif ip地址:dis ip int brief
配置完毕两端IP地址测试直连连通性:ping 对端地址
静态:dis ip ro
Ospf:dis ospf pe br (full状态) dis ip ro
将静态路由引入到ospf中,参考命令如下:
[R3]ospf 1
[R3-ospf-1]import-route static
ospf 外部路由 150
单臂路由:
Dot1q=802.1q 0x8100k
[R6]int g0/0/0.1 开启子接口
[R6-GigabitEthernet0/0/0.1]ip address 192.168.5.254 24 接口IP
[R6-GigabitEthernet0/0/0.1]dot1q termination vid 50 允许通过的vlan
[R6-GigabitEthernet0/0/0.1]arp broadcast enable 子接口默认广播功能没开
链路聚合:
产生背景:为了提升网络可靠性,增大带宽
单板可靠—多冗余
设备可靠—双冗余
链路可靠—多链路
STP:生成树协议
阻塞端口
如何在保证可靠前提下,提升带宽,减少丢包
定义:将多条物理链路聚合成一条聚合链路(eth-trunk)
模式:
手工链路聚合模式:聚合链路中的所有链路都参数据的转发
1、创建聚合接口
2、将物理接口加入聚合接口
SW1:
sys
sys SW1
un in en
int Eth-Trunk 1
q
int g0/0/1
eth-trunk 1
q
int g0/0/2
eth-trunk 1
q
int g0/0/3
eth-trunk 1
或者
int Eth-Trunk 1
trunkport g0/0/1
trunkport g0/0/2
trunkport g0/0/3
或者
int Eth-Trunk 1
trunkport g 0/0/1 to 0/0/3
dis eth-trunk 1 查看聚合接口1
LACP链路聚合模式:存在备份链路: M:N备份 M-活跃链路 N-非活跃链路
LACP:链路聚合控制协议
设备之间发送LACPDU:链路聚合控制协议数据单元
要素:
LACPDU:设备系统优先级
MАC
接口优先级
接口编号
如何选举活跃链路:在两台交换机之间选举出主动端
先比LACP系统优先级(32768),越小越优先
再比MAC:越小越优先
在主动端设备上选举活跃链路:
先比LACP接口优先级(32768),越小越优先
再比接口编号:越小越优先
SW3:
sys
sys SW3
un in en
int eth-trunk 2 创建聚合接口
mode lacp-static 改为LACP模式
max active-linknumber 3 配置最大活跃链路数量
lacp preempt enable (默认抢占关闭)开启抢占
lacp preempt delay 10 配置抢占延迟(s)
trunkport g 0/0/1 to 0/0/4 将物理接口加入聚合接口
lacp priority 4000 修改lacp系统优先级
int g0/0/2
lacp priority 40000 修改LACP接口优先级
q
dis eth-trunk 2
SW4:
sys
sys SW4
un in en
int eth 2
mode lacp-static
max active- 3
lacp preempt enable
//lacp pr en
la pr de 10
tr g 0/0/1 to 0/0/4
int g0/0/2
lacp priority 40000
STP:生成树协议(在保证可靠的前提下,解决环路问题)
产生原因:
二层环境为了保证可靠性,采用双冗余设备环形连接方式—环路问题
问题:广播风暴—>设备宕机
MAC地址表震荡—->数据转发丢包
原理:阻塞端口-拓扑稳定时,阻塞端口处于阻塞状态,当链路出现故障时,阻塞端口自动开启,开始转发数据。
应用场景:二层交换网络—交换机默认运行STP
STP模式:
STP:生成树协议
RSTP:快速生成树协议
MSTP:多实例生成树协议
[SW2]display stp 查看STP(默认MSTP模式)
[SW3]display stp brief 查看STP简要信息
[sw2]stp mode stp 修改为stp模式
[sw2]display int g0/0/2 查看端口
STP 工作原理—阻塞端口如何选出来的?
根-选举根交换机(根桥)
—–网桥ID:
定义:运行STP协议的交换机唯一标识
组成:网桥优先级(默认32768,4096倍数,越小越优先)+MAC地址
比较网桥ID:(先比较优先级、在比较mac地址,越小越优先)
[SW2]stp priority 4096 修改优先级
干:根端口
定义:非根交换机到达根交换机最优的端口
比较规则:
1、根路径开销 802.1t 10M=2000000 100M=200000 1000M=20000 10GM=2000
链路聚合简要介绍:
背景:设备之间存在多条链路时,由于STP(生成树)的存在,实际只会有一条链路转发流量,设备间链路带宽无法得到提升。
用途:不进行硬件升级的前提下增加链路带宽
链路聚合基本术语/概念:
• 聚合组(Link Aggregation Group,LAG):若干条链路捆绑在一起所
形成的的逻辑链路。每个聚合组唯一对应着一个逻辑接口,这个逻辑接
口又被称为链路聚合接口或Eth-Trunk接口。
• 成员接口和成员链路:组成Eth-Trunk接口的各个物理接口称为成员接
口。成员接口对应的链路称为成员链路。
• 活动接口和活动链路:活动接口又叫选中(Selected)接口,是参与数
据转发的成员接口。活动接口对应的链路被称为活动链路(Active link)
• 非活动接口和非活动链路:又叫非选中(Unselected)接口,是不参与
转发数据的成员接口。非活动接口对应的链路被称为非活动链路
(Inactive link)。
• 聚合模式 :根据是否开启LACP(Link Aggregation Control Protocol,
链路聚合控制协议),链路聚合可以分为手工模式和LACP模式。
• 其他概念:活动接口上限阈值和活动接口下限阈值。
链路聚合(手工和lacp)
SW1:
sys 进入管理模式
sys SW1 命名(SW1)
un in en 取消信息中心提醒
int e 1 创建聚合接口,编号为1
t g 0/0/1 to 0/0/4 将物理接口g0/0/1到0/0/4加入聚合接口
q
dis eth 1 查看聚合接口1
SW2:
sys
sys SW2
un in en
int e 1
t g 0/0/1 to 0/0/4
q
dis eth 1
SW3:
sys
sys SW3
un in en
int e 2 创建聚合接口,编号为2
mo la 将此聚合接口改为LACP模式
m ac 3 配置最大活跃链路数量:3
la pr en (默认关闭)开启LACP抢占模式
lacp pr de 10 配置抢占延迟(s)
t g 0/0/1 to 0/0/4 将物理接口加入聚合接口
lacp pri 4000 修改lacp优先级(抢占主动端)
int g0/0/2 进入 GE0/0/2 接口
lacp pri 40000 修改LACP接口优先级(默认32768,改大使其变为备用链路)
q
dis eth 2 查看聚合接口 2
SW4:
sys
sys SW4
un in en
int e 2
mo la
m ac 3
lacp pr en
lacp pr de 10
t g 0/0/1 to 0/0/4
int g0/0/2
lacp pri 40000
q
dis eth 2
STP
1.环路问题导致的现象
广播风暴—>设备宕机
MAC地址表震荡—->数据转发丢包
生成树协议(作用:在保证可靠的前提下,解决环路问题)
原理:阻塞端口-拓扑稳定时,阻塞端口处于阻塞状态,当链路出现故障时,阻塞端口自动开启,开始转发数据。
STP模式:
STP:生成树协议
RSTP:快速生成树协议
MSTP:多实例生成树协议
STP报文–BPDU(桥协议数据单元)
Protocol Identifier: Spanning Tree Protocol (0x0000) 协议标识符:生成树协议
Protocol Version Identifier: Spanning Tree (0) 协议版本标识符:生成树(0)
BPDU Type: Configuration (0x00) BPDU类型:Confiquration
配置BPDU:进行STP角色计算、维护拓扑;(1:请求知道啦!0:相安无事)
TCN BPDU(拓扑变化 BPDU):通告拓扑变化(1:拓扑变化啦!0:相安无事)
BPDU flags: 0x00 BPDU标志
0… …= Topology Change Acknowledgment: No TCA:拓扑变化确认
…0 = Topology Change: No TC:拓扑变化(老化MAC地址,学习新MAC地址,阻塞端口进入转发状态)(1:可以老化MAC地址啦!0:相安无事)
Root Identifier: 4096 /0/ 4c:1f:cc:b9:3f:59 根标识符(根网桥ID)
Root Path Cost: 0 根路径开销
Bridge Identifier: 4096 /0/ 4c:1f:cc:b9:3f:59 本交换机网桥ID
Port identifier: 0x8002 端口标ID:0x8002
Message Age: 0 消息寿命(BPTU存放时间,最多20秒)
Max Age: 20 最大寿命
Hello Time: 2 发送间隔
Forward Delay: 15 发送延迟
STP:(越小越优先)
根:根据网桥ID:先看网桥优先级,再看MAC地址优先级
根端口:非根交换机到达根交换机最优的端口:
1、根路径开销 (802.1t)
2、对端交换机的网桥ID
3、对端端口ID 端口优先级+端口编号 默认128 16倍数
4、本端端口ID 端口优先级+端口编号
指定端口 :每一条链路到达根交换机最优的端口
1、根路径开销
2、两端交换机的网桥ID
3、本端端口ID
5种STP端口状态:
禁用(Disable):该接口不能收发BPDU,也不能收发业务数据帧,例如接口为down
阻塞(Blocking):该接口被STP阻塞。处于阻塞状态的接口不能发送BPDU,但是会持续侦听BPDU,而且不能收发业务数据帧,也不会进行MAC地址学习
侦听(Listening):当接口处于该状态时,表明STP初步认定该接口为根接口或指定接口,但接口依然处于STP计算的过程中,此时接口可以收发BPDU,但是不能收发业务数据帧,也不会进行MAC地址学习
学习(Learning):当接口处于该状态时,会侦听业务数据帧(但是不能转发业务数据帧),并且在收到业务数据帧后进行MAC地址学习
转发(Forwarding):处于该状态的接口可以正常地收发业务数据帧,也会进行BPDU处理。接口的角色需是根接口或指定接口才能进入转发状态
6.STP故障恢复时间
直接30s,间接50s.
MSTP练习^
sys
sys SW2
un in en
stp mo ms
st re
re HW
rev 1
ins 1 vlan 10
ins 2 vlan 20
ac re
stp ins 1 ro pr
stp ins 2 ro se
sys
sys SW3
un in en
stp mo ms
st re
re HW
rev 1
ins 1 vlan 10
ins 2 vlan 20
ac re
stp ins 2 ro pr
stp ins 1 ro se
sys
sys SW1
un in en
int g0/0/1
p l a
p d v 10
int g0/0/2
p l a
p d v 10
int g0/0/3
p l a
p d v 20
int g0/0/4
p l a
p d v 20
MSTP练习^
sys
sys SW1
un in en
v b 10 20
int g0/0/1
p l a
p d v 10
int g0/0/2
p l a
p d v 10
int g0/0/3
p l a
p d v 20
int g0/0/4
p l a
p d v 20
int g0/0/5
p l t
p t a v 10 20
int g0/0/7
p l t
p t a v 10 20
q
stp mode mstp
stp re
re HW
rev 1
ins 1 v 10 30
ins 2 v 20 40
ac re
sys
sys SW2
un in en
v b 30 40
int g0/0/1
p l a
p d v 30
int g0/0/2
p l a
p d v 30
int g0/0/3
p l a
p d v 40
int g0/0/4
p l a
p d v 40
int g0/0/5
p l t
p t a v 30 40
int g0/0/7
p l t
p t a v 30 40
q
stp mode mstp
stp re
re HW
rev 1
ins 1 v 10 30
ins 2 v 20 40
ac re
sys
sys SW3
un in en
v b 3 4 10 20 30 40
int g0/0/5
p l t
p t a v 10 20 30 40
int g0/0/7
p l t
p t a v 10 20 30 40
int g0/0/5
p l t
p t a v 10 20 30 40
int g0/0/7
p l t
p t a v 10 20 30 40
int g0/0/3
p l t
p t a v 3 4 10 20 30 40
int e 1
mo la
m ac 2
lacp pr en
lacp pr de 10
t g 0/0/1 to 0/0/3
lacp pri 2000
int g0/0/2
lacp pri 30000
int v 3
ip a 35.1.1.3 24
int v 10
ip a 192.168.1.254 24
int v 30
ip a 192.168.3.254 24
q
ospf 1 ro 3.3.3.3
ar 1
net 35.1.1.3 0.0.0.0
net 192.168.1.254 0.0.0.0
net 192.168.3.254 0.0.0.0
q
q
stp mode mstp
stp re
re HW
rev 1
ins 1 v 10 30
ins 2 v 20 40
ac re
stp ins 1 roo pr
stp ins 2 roo se
sys
sys SW4
un in en
v b 3 4 10 20 40
int g0/0/5
p l t
p t a v 10 20 30 40
int g0/0/7
p l t
p t a v 10 20 30 40
int g0/0/4
p l t
p t a v 3 4 10 20 30 40
int e 1
mo la
m ac 2
lacp pr en
lacp pr de 10
t g 0/0/1 to 0/0/3
int g0/0/2
lacp pri 30000
int v 4
ip a 45.1.1.4 24
int v 20
ip a 192.168.2.254 24
int v 40
ip a 192.168.4.254 24
q
os 1 ro 4.4.4.4
ar 1
net 45.1.1.4 0.0.0.0
net 192.168.2.254 0.0.0.0
net 192.168.4.254 0.0.0.0
q
q
stp mode mstp
stp re
re HW
rev 1
ins 1 v 10 30
ins 2 v 20 40
ac re
stp ins 2 roo pr
stp ins 1 roo se
sys
sys SW5
un in en
v b 3 4 10 20 30 40
int v 3
ip a 35.1.1.5 24
int v 4
ip a 45.1.1.5 24
int g0/0/1
p l t
p t a v 3 4 10 20 30 40
int g0/0/2
p l t
p t a v 3 4 10 20 30 40
os 1 ro 5.5.5.5
ar 1
net 35.1.1.5 0.0.0.0
net 192.168.2.254 0.0.0.0
总结
0.配PC
IP地址:192.168.1.1
子网掩码:255.255.255.0
网关:192.168.1.254
0.交换机/路由器初始化:
sys
sys R1/ SW1
un in en
2.链路聚合:
int e 1
mo lacp
max act 3
la pr en
tr g 0/0/1 to 0/0/4
lacp preempt delay 20 抢占延迟20s
2.(1).链路聚合主动端优先级2000:
la pri 2000
(2)选举非活跃链路:(似乎也是主动端配就好了)
int g0/0/3
la pri 40000
2.(N).链路聚合检查:
q
dis eth 1
3.vlan
v b 10 20 30 40
3.(1).与PC相接(与PC最近的交换机):
int g0/0/1
p l a
p d v 10
int g0/0/2
p l a
p d v 10
int g0/0/3
p l a
p d v 20
int g0/0/4
p l a
p d v 20
3.(2).与上位交换机相接(通常是与带链路聚合的上位):
int g0/0/5
p l t
p t a v 10 20 30 40
int g0/0/7
p l t
p t a v 10 20 30 40
3.(3).带链路聚合的上位交换机与(2)中交换机相接:
int g0/0/5
p l t
p t a v 10 20 30 40
int g0/0/7
p l t
p t a v 10 20 30 40
int e 1
p l t
p t a v 10 20 30 40
3.(4).链路聚合vlan(与3.3有所重复):
int e 1
p l t
p t a v 10 20 30 40
3.(N).vlan检查:
q
dis port vlan
4.STP:
stp mo mstp
stp region-configuration
reg HW
re 1
ins 1 v 10 30
ins 2 v 20 40
act reg
4.(1).STP实例主/副根配置:
stp ins 1 root pr
stp ins 2 root se
4.(2).连接PC接口开启边缘端口功能,并开启边缘端口保护功能
int g0/0/1
stp edged-port enable
int g0/0/2
stp edged-port enable
int g0/0/3
stp edged-port enable
int g0/0/4
stp edged-port enable
q
stp bpdu-protection
—或—-
port-group 1
group-member g0/0/3
group-member g0/0/4
group-member g0/0/5
group-member g0/0/6
stp edged-port enable
q
stp bpdu-protection
4.(3)接口开启根保护
int g0/0/8
stp root-protection
4.(4)开启TC BPDU防攻击,规定时间内处理的阈值调整为n
stp tc-protection threshold 3
5.vlanif IP地址配置(上位交换机朝向顶层交换机的配置)
v b 3 10 20
int g0/0/6
p l a
p d v 3
qint
int v 3
ip a 15.1.1.1 24
q
#ping 15.1.1.5 顶层交换机朝向上位交换机的接口
int v 10
ip a 192.168.1.254 24
int v 20
ip a 192.168.2.254 24
6.VRRP
int v 10 #一个vlanif配一次
vr vr 1 vir 192.168.1.101 (必须是vlan x 相同网段)
6.(1)VRRP主备优先级配置,大为主,100为缺省不用配
vrrp vrid 1 priority 120
6.(2)跟踪上行链路接口,若g0/0/x连接的链路坏掉,让其自动降级,默认降10
vrrp vrid 1 track interface g0/0/6 reduced 30
6.(N)检查VRRP
dis vrrp brief
7.单臂路由
interface GigabitEthernet0/0/1.1
dot1q termination vid 30
ip address 192.168.3.254 255.255.255.0
arp broadcast enable
interface GigabitEthernet0/0/1.2
dot1q termination vid 40
ip address 192.168.4.254 255.255.255.0
arp broadcast enable
8.OSPF(顶层路由器)(顶层交换机没有接口配置)
int g0/0/0
ip a 35.1.1.5 24
int g0/0/1
ip a 45.1.1.5 24
os 1 ro 1.1.1.1
ar 1
net 35.1.1.5 0.0.0.0
net 45.1.1.5 0.0.0.0
q
q
#dis ospf peer brief
VRRP 虚拟路由冗余协议
作用概括:实现网关备份,解决多个网关间冲突问题,提高网络可靠性
使用范围:三层(网络层)设备接口可部署
定义:多物理路由虚拟成一虚拟路由;
由多物理路由器共同维护;
虚拟路由IP变为终端网关
相关名词解释:
VRID【virtuality router id】:虚拟路由标识符
VIP【virtual-ip】:虚拟路由IP(由所有VRRP路由共同维护)【配置时指定】
VMAC:虚拟路由MAC地址【(0000-5e 00-01 xx),其中xx为VRID】
保留 VRRP vrid
VRRP路由成员身分:
Master路由(只有一台):进行网关数据转发和报文转发任务。
1.在每一个VRRP组中,只有Master路由器才会响应针对虚拟IP地址的ARP Request。
2.Master路由器会以一定的时间间隔周期性地发送VRRP报文,以便通知同一个VRRP组中的Backup路由器关于自己的存活情况。
Backup路由(备份路由器):1.备份网关数据 2.Master故障时升变为Master接替转发
实时侦听Master路由器发送出来的VRRP报文,随时准备接替Master路由器的工作。
成员选举规则:
1.优先级:1-默认100-254 越大越优先【当物理路由IP地址与维护的IP地址为同一个IP地址时该路由器优先级自动修改为255】【Master挂了就向Backup发送优先级为0的通告报文,此时Backup将不在等待失效时间,直接变Master/竞选Master】
2.接口IP:1-默认100-254 越大越优先
3.认证模式不一会出现多个主的现象
成员抢占规则:(抢占功能默认开启,开启后可被随时抢占(即Master可及时变化))
1.优先级:默认100 越大越优先
主备切换规则:
1.VRRP协议中定义两个定时器:
Adver_interval定时器: Master发送VRRP通告报文时间周期,缺省值为1秒。
Master_down定时器:超时即意味着Master挂了,Backup设备监听该定时器超时后,会升变为Master状态。
Master_Down定时器计算公式如下:
MASTER_DOWN = (3* ADVER_INTERVAL) +Skew_time (偏移时间)【大约三秒】
其中,Skew_Time= (256-Priority) /256
2.主路由器不在运行VRRP时,发送优先为0的vrrp报文,备设备切换为主设备
3.备设备收到优先级低的VRRP报文时,备设备切换为主设备
VRRP配置:
1.进接口—-配IP
2.进接口—
[R1-GigabitEthernet0/0/0] vrrp vrid 1 virtual-ip 192.168.1.100
接口进入VRRP模式–虚拟路由标识符编号为1—虚拟IP 192.168.1.100
#查看 VRRP 简要信息
[R1]display vrrp brief
#查看 VRP 信息
[R1]display vrrp
#删除进程1
[R1-GigabitEthernet0/0/0]undo vrrp vrid 1
*修改某接口VRRP–指定虚拟路由标识符优先级
[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 120
*某接口–身份验证模式–md5密文认证–密码
[R1-GigabitEthernet0/0/0]vrrp vrid 1 authentication-mode md5 huawei
某接口出现故障时优先级减小
[R1-GigabitEthernet0/0/0]vrrp vrid 1 track interface g0/0/2 reduced 30
###ping XXX.XXX.XXX.XXX -t 一直ping
VRRP协议
报文:基于IP协议封装,协议号112
更新方式:采用组播更新 224.0.0.18
虚拟路由器冗余协议版本2,包类型1(广告)
虚拟Rtr ID: 1
优先级:120(非默认备份优先级)
Addr Count: 1
Auth Type: No Authentication (0)
Adver Int: 1
校验和:Oxa4ef[正确]
[校验和状态:Good]
IP地址:192.168.1.100
拓扑名:VRRP
R1:
sys
sys R1
un in en
int g0/0/0
ip a 192.168.1.253
vr vr 1 vir 192.168.1.100
vr vr 1 pri 120
vr vr 1 au m huawei
R2:
sys
sys R2
un in en
int g0/0/0
ip a 192.168.1.254
vr vr 1 vir 192.168.1.100
vr vr 1 au m huawei
VRRP状态机
Initialize (初始状态)、
Master (活动状态)、
Backup (备份状态)。
I:收到Startup(pri=?)——-> SHO
=255 —->M 收到优先级比自己大的报文 —->B
<255 —->B
设置抢占延迟(让让OSPF)
[R1-GigabitEthernet0/0/0]vrrp vrid 1 preempt-mode timer delay 40
VRRP STP 主应在同一交换机
拓扑名:VRRP下午
R1:
sys
sys R1
un in en
int g0/0/2
ip a 13.1.1.1 24
int g0/0/0
ip a 192.168.1.253 24
vr vr 1 vir 192.168.1.100
vrrp vr 1 pri 120
vr vr 1 au m huawei
vrrp vr 1 pr ti de 40
vrrp vr 1 tr int g0/0/2 re 30
q
os 1 ro 1.1.1.1
ar 0
net 192.168.1.253 0.0.0.0
net 13.1.1.1 0.0.0.0
dis cu
R2:
sys
sys R2
un in en
int g0/0/2
ip a 23.1.1.2 24
int g0/0/0
ip a 192.168.1.254 24
vr vr 1 vir 192.168.1.100
vr vr 1 au m huawei
vrrp vr 1 pr ti de 40
q
os 1 ro 2.2.2.2
ar 0
net 23.1.1.2 0.0.0.0
net 192.168.1.254 0.0.0.0
dis cu
R3:
sys
sys R3
un in en
int g0/0/0
ip a 192.168.3.254 24
int g0/0/1
ip a 23.1.1.3 24
int g0/0/2
ip a 13.1.1.3 24
q
os 1 ro 3.3.3.3
ar 0
net 13.1.1.3 0.0.0.0
net 23.1.1.3 0.0.0.0
net 192.168.3.254 0.0.0.0
dis cu
二层技术:
VLAN:虚拟局域网
为什么要有VLAN?
交换机工作原理:学习,泛洪,转发
广播域:能收到广播消息的范围/区域
交换机默认所有接口都在同一个广播域
广播域大–占用带宽资源,安全性低;
VLAN作用:隔离广播域
如何实现隔离?交换机为数据打上Tag,利用Tag区分不同VLAN
不带tag数据(untagged)
帧头(DMAC<–SMAC type)|ip(SIP–>DIP)|tcp/udp|data|帧尾
携带tag数据(tagged)
帧头(DMAC<–SMAC|tag(4bytes)|type)|ip(SIP–>DIP)|tcp/udp|data|帧尾
Tag=4B
1.Type 类型 0X8100-802.1Q标准—-vlan
2.PRI 优先级 用于QOS (服务质量)
3.CFI MAC地址是否支持经典格式
4.VID(12bits 2^12=4096vlan 范围:0-4095 能用的:1-4094) VLAN标识
VLAN 对于tag不同处理动作–端口处理类型
Access:接入链路:只允许一个vlan通过 交换机–终端设备
Trunk: 干道链路:允许多个vlan通过 交换机–交换机
Hybrid:混合链路:手工定义允许通过的vlan及vlan通过时的动作 默认类型
VLAN配置:
创建单个vlan:[SW1]vlan 10 –> [SW1-vlan10]
描述备注vlan:[SW1-vlan10]description HR
创建多个vlan:[SW1]vlan batch 20 30
创建连续vlan:[SW1]vlan batch 40 to 100
查看vlan:[sw1]display vlan
查看端口和vlan关系:display port vlan
Access配置:1. 进入接口 2. 端口链路类型-access 3. 端口所属的vlan
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 10
Trunk配置:1. 进入接口 2. 端口链路类型-trunk 3. trunk端口允许通过的vlan
[SW1]int g0/0/5
[SW1-GigabitEthernet0/0/5]port link-type trunk
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 10 20
*[SW1-GigabitEthernet0/0/5]undo port trunk allow-pass vlan 1 删除vlan1
[SW1-GigabitEthernet0/0/5]port trunk pvid vlan 100 修改trunk接口pvid
删除命令 倒着删
看到
Hybrid配置:
tagged:携带标记
untagged:不携带标记
[SW1]int g0/0/6
[SW1-GigabitEthernet0/0/6]port link-type hybrid
[SW1-GigabitEthernet0/0/6]port hybrid untagged vlan 30
[SW1-GigabitEthernet0/0/6]port hybrid pvid vlan 30
Tag的处理:允许列表下,不带标记打标记,相同标记去标转发,不同标记A丢T转
{
Access:(不带标记打标记,相同标记去标转发,不同标记直接丢弃)
入:不带标记,打上PVID
出:PVID比较,同就去标记转发,不同就丢弃
Trunk:
出:允许列表下,不同标记直接转发,相同标记去标转发
入:允许列表下,不带标记打标记,带着标记直接转发
Hybrid:
出:允许列表下,手工定义允许通过的vlan及通过时动作
入:在满足允许列表前提下,收到数据带标记,直接转发;收到数据不带标记,打上该接口的pvid的标记
}
三层交换机=路由器(IP+静态+动态) +二层交换机(vlan stp)集合
三层交换机物理接口无法配置IP地址(交换机接口默认二层接口)
如何在交换机上配置IP地址?
1、将二层接口转换为三层接口
[SW2]int g0/0/5
[SW2-GigabitEthernet0/0/5]undo portswitch 删除端口交换功能
2、在交换机上配置vlan虚拟接口 vlanif
[SW2]interface Vlanif 10
[SW2-Vlanif10]ip address 192.168.1.254 24
[SW2]interface Vlanif 20
[SW2-Vlanif10]ip address192.168.2.254 24
交换机出来的数据一定带标记,路由器不带
(1)全程带标记 trunk
(2)出来去标记,进入打标记 access hybrid
配置实验:配置思路 先二层(聚合 vlan stp)再三层(vlan if 静态 OSPF)
每配置完一个技术——-验证是否正确
Vlan:dis port vlan dis vlan
Vlanif ip地址:dis ip int brief
配置完毕两端IP地址测试直连连通性:ping 对端地址
静态:dis ip ro
Ospf:dis ospf pe br (full状态) dis ip ro
将静态路由引入到ospf中,参考命令如下:
[R3]ospf 1
[R3-ospf-1]import-route static
ospf 外部路由 150
单臂路由:
Dot1q=802.1q 0x8100k
[R6]int g0/0/0.1 开启子接口
[R6-GigabitEthernet0/0/0.1]ip address 192.168.5.254 24 接口IP
[R6-GigabitEthernet0/0/0.1]dot1q termination vid 50 允许通过的vlan
[R6-GigabitEthernet0/0/0.1]arp broadcast enable 子接口默认广播功能没开
链路聚合:
产生背景:为了提升网络可靠性,增大带宽
单板可靠—多冗余
设备可靠—双冗余
链路可靠—多链路
STP:生成树协议
阻塞端口
如何在保证可靠前提下,提升带宽,减少丢包
定义:将多条物理链路聚合成一条聚合链路(eth-trunk)
模式:
手工链路聚合模式:聚合链路中的所有链路都参数据的转发
1、创建聚合接口
2、将物理接口加入聚合接口
SW1:
sys
sys SW1
un in en
int Eth-Trunk 1
q
int g0/0/1
eth-trunk 1
q
int g0/0/2
eth-trunk 1
q
int g0/0/3
eth-trunk 1
或者
int Eth-Trunk 1
trunkport g0/0/1
trunkport g0/0/2
trunkport g0/0/3
或者
int Eth-Trunk 1
trunkport g 0/0/1 to 0/0/3
dis eth-trunk 1 查看聚合接口1
LACP链路聚合模式:存在备份链路: M:N备份 M-活跃链路 N-非活跃链路
LACP:链路聚合控制协议
设备之间发送LACPDU:链路聚合控制协议数据单元
要素:
LACPDU:设备系统优先级
MАC
接口优先级
接口编号
如何选举活跃链路:在两台交换机之间选举出主动端
先比LACP系统优先级(32768),越小越优先
再比MAC:越小越优先
在主动端设备上选举活跃链路:
先比LACP接口优先级(32768),越小越优先
再比接口编号:越小越优先
SW3:
sys
sys SW3
un in en
int eth-trunk 2 创建聚合接口
mode lacp-static 改为LACP模式
max active-linknumber 3 配置最大活跃链路数量
lacp preempt enable (默认抢占关闭)开启抢占
lacp preempt delay 10 配置抢占延迟(s)
trunkport g 0/0/1 to 0/0/4 将物理接口加入聚合接口
lacp priority 4000 修改lacp系统优先级
int g0/0/2
lacp priority 40000 修改LACP接口优先级
q
dis eth-trunk 2
SW4:
sys
sys SW4
un in en
int eth 2
mode lacp-static
max active- 3
lacp preempt enable
//lacp pr en
la pr de 10
tr g 0/0/1 to 0/0/4
int g0/0/2
lacp priority 40000
STP:生成树协议(在保证可靠的前提下,解决环路问题)
产生原因:
二层环境为了保证可靠性,采用双冗余设备环形连接方式—环路问题
问题:广播风暴—>设备宕机
MAC地址表震荡—->数据转发丢包
原理:阻塞端口-拓扑稳定时,阻塞端口处于阻塞状态,当链路出现故障时,阻塞端口自动开启,开始转发数据。
应用场景:二层交换网络—交换机默认运行STP
STP模式:
STP:生成树协议
RSTP:快速生成树协议
MSTP:多实例生成树协议
[SW2]display stp 查看STP(默认MSTP模式)
[SW3]display stp brief 查看STP简要信息
[sw2]stp mode stp 修改为stp模式
[sw2]display int g0/0/2 查看端口
STP 工作原理—阻塞端口如何选出来的?
根-选举根交换机(根桥)
—–网桥ID:
定义:运行STP协议的交换机唯一标识
组成:网桥优先级(默认32768,4096倍数,越小越优先)+MAC地址
比较网桥ID:(先比较优先级、在比较mac地址,越小越优先)
[SW2]stp priority 4096 修改优先级
干:根端口(RP)
定义:非根交换机到达根交换机最优的端口
比较规则:
1、根路径开销 802.1t 10M=2000000 100M=200000 1000M=20000 10GM=2000
根路径开销RPC(root path cost):根桥到达该设备沿途交换机入方向每个接口cost值之和
(根交换机上所有端口都叫指定端口)
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]stp cost 200000 修改接口cost
2、对端交换机的网桥ID
3、对端端口ID 端口优先级+端口编号 默认128 16倍数
[SW1-GigabitEthernet0/0/2]stp port priority 16 修改STP接口优先级
4.本端端口ID 端口优先级+端口编号
枝:指定端口(DP)
定义:每一条链路到达根交换机最优的端口
比较规则:
1、根路径开销
2、两端交换机的网桥ID
3、本端端口ID
阻塞端口(BP,block port;AP):阻塞端口
Role(端口角色:)
DESI: 指定
ROOT:根
ALTE:预备
BPDU:STP报文
STP State(状态):
Discarding:丢弃
Learning:学习
Forwording:提出
STP:(越小越优先)
根:根据网桥ID:先看网桥优先级,再看MAC地址优先级
根端口:非根交换机到达根交换机最优的端口:
1、根路径开销
2、对端交换机的网桥ID
3、对端端口ID 端口优先级+端口编号 默认128 16倍数
4、本端端口ID 端口优先级+端口编号
指定端口 :每一条链路到达根交换机最优的端口
1、根路径开销
2、两端交换机的网桥ID
3、本端端口ID
STP报文–BPDU(桥协议数据单元)
Protocol Identifier: Spanning Tree Protocol (0x0000) 协议标识符:生成树协议
Protocol Version Identifier: Spanning Tree (0) 协议版本标识符:生成树(0)
BPDU Type: Configuration (0x00) BPDU类型:Confiquration
配置BPDU:进行STP角色计算、维护拓扑;(1:请求知道啦!0:相安无事)
TCN BPDU(拓扑变化 BPDU):通告拓扑变化(1:拓扑变化啦!0:相安无事)
BPDU flags: 0x00 BPDU标志
0… …= Topology Change Acknowledgment: No TCA:拓扑变化确认
…0 = Topology Change: No TC:拓扑变化(老化MAC地址,学习新MAC地址,阻塞端口进入转发状态)(1:可以老化MAC地址啦!0:相安无事)
Root Identifier: 4096 /0/ 4c:1f:cc:b9:3f:59 根标识符(根网桥ID)
Root Path Cost: 0 根路径开销
Bridge Identifier: 4096 /0/ 4c:1f:cc:b9:3f:59 本交换机网桥ID
Port identifier: 0x8002 端口标ID:0x8002
Message Age: 0 消息寿命(BPTU存放时间,最多20秒)
Max Age: 20 最大寿命
Hello Time: 2 发送间隔
Forward Delay: 15 发送延迟
STP端口状态:
禁用(Disable):该接口不能收发BPDU,也不能收发业务数据帧,例如接口为down
阻塞(Blocking):该接口被STP阻塞。处于阻塞状态的接口不能发送BPDU,但是会持续侦听BPDU,而且不能收发业务数据帧,也不会进行MAC地址学习
侦听(Listening):当接口处于该状态时,表明STP初步认定该接口为根接口或指定接口,但接口依然处于STP计算的过程中,此时接口可以收发BPDU,但是不能收发业务数据帧,也不会进行MAC地址学习
学习(Learning):当接口处于该状态时,会侦听业务数据帧(但是不能转发业务数据帧),并且在收到业务数据帧后进行MAC地址学习
转发(Forwarding):处于该状态的接口可以正常地收发业务数据帧,也会进行BPDU处理。接口的角色需是根接口或指定接口才能进入转发状态
禁用:不能收发BPDU,不能收发业务数据帧;接口Down
阻塞:只收不发BPDU,不能收发业务数据帧;不学MAC
侦听:可以收发BPDU,不能收发业务数据帧,不学MAC;初步认定接口类型;15s转发延迟:1.加速老化MAC地址表(正常MAC地址表老化时间:300s)2.避免临时环路
学习:侦听业务数据帧1,收到业务数据帧后学MAC;15s转发延迟:加速mac地址学习
转发:收发BPDU,收发业务数据帧;接口的角色需是根接口或指定接口才能进入转发状态
STP 拓扑维护
直接故障:阻塞端口所在交換机链路发生故障,阻塞端口恢复至少需要30s
TCN:拓扑变更通知
间接故障:
阻塞端口恢复至少需要50s
20sBPDU才超时
STP模式缺点:收敛速度慢
改进模式:
RSTP:快速生成树协议
RSTP相对于STP改进:
STP:802.1D
RSTP:802.1W(2001年)
改进点1:端口角色
RSTP
根端口
指定端口
替代端口(Alternate)以后将成为根端口,作为根端口的备份
备份端口(Backup)以后将成为指定端口,作为指定端口的备份
改进点2:端口状态
RSTP
Discarding状态:不转发用户流量也不学习MAC地址;
学习(Learning):不转发用户流量但是学习MAC地址;
转发(Forwarding):既转发用户流量又学习MAC地址。
改进点3:报文BPDU改进
STP BPDU:配置BPDU
RSTP BPDU:RST BPDU
Protocol Identifier: Spanning Tree Protocol (0x0000)
Protocol Version Identifier: Rapid Spanning Tree
BPDU Type: Rapid/Multiple Spanning Tree (0x02)
BPDU flags: ox7d, Agreement, Forwarding, Learning, Port Role: Designated, Topology Change
0… …. = Topology Change Acknowledgment: No 拓扑变化确认位
.1.. …. = Agreement: Yes 同意位
..1. …. = Forwarding: Yes 转发位
…1 …. = Learning: Yes 学习位
…. 11..= Port Role: Designated (3) 端口角色(10根端口 01替代端口/备份端口 00保留 11指定端口
…. ..0. = Proposal: No 提议/协商位
….. …1 = Topology Change: Yes 拓扑变化位
>Root Identifier: 32768 /0/ 4c:1f:cc:3d:13:34 根网桥ID
Root Path Cost: 0 根路径开销
Bridge Identifier: 32768 /0 / 4c:1f:cc:3d:13:34 本交换机网桥ID
Port identifier: 0x8001 端口标识
Message Age: 0 消息寿命
Max Age: 20 最大寿命
Hello Time: 2 发送间隔
Forward Delay: 15 转发延迟
Version 1 Length: 0 版本1长度
改进点4:BPDU处理动作
(1)BPDU发送
在STP中由根桥发送配置BPDU,交换机收到根桥发送的配置BPDU后,才会向下游发送配置BPDU,收敛慢,计算复杂
在RSTP中,无论非根桥设备是否收到根桥发送BPDU,都会向下游交换机发送BPDU
(2)判断根桥/链路故障
在STP中,根据max age (20s)超时判定
在RSTP中,根据超时时间(hello*3倍),超时判定
(3)次等BPDU的处理
在STP中,只能由指定端口处理此等BPDU
在RSTP中,当接口收到BPDU后,和本地缓存表中BPDU进行比较,若优于收到BPDU,则将更有BPDU从该接口返回
收敛机制改进(仅限于单交换机设备上)
根端口快速切换:当根端口出现故障时,替代端口可以快速切换为根端口,端口状态换为转发状态
指定端口快速切换:当指定端口出现故障时,备份端口可以快速切换为指定端口,端口状态切换为转发状态
边缘端口机制:
定义:交换机连接终端设备的端口可以生成边缘端口
作用:边缘端口不参与STP计算,会直接进入转发状态
特点:当边缘端口收到bpdu,该端口转为STP普通端口,重新进行STP计算
配置:[SW3]int g0/0/3
[SW3-GigabitEthernet0/0/3]stp edged-port enable
P/A机制(提议/同意机制):
如何用命令修改主根/备份根
[SW1]stp root primary
[SW2]stp root secondary
RSTP故障恢复:
SW1与SW3之间的链路故障,SW3的g0/0/2口开启tewell计时器并向SW2发送tc位置位的BPDU(计时器发送后停止发送),并老化所有MAC,学习新MAC地址;SW2收到后tc位置位的BPDU后老化除接收口以外的MAC地址,向SW1发送tc位置位的BPDU,学习新MAC地址,以此类推。
保护机制:
1.BPDU保护/边缘端口保护:从边缘端口收到RST BPDU后,该端口进入down状态
[SW3]stp bpdu-protection
2.根保护/指定端口保护
一旦启用根保护功能的指定端口,收到优先级更高的RST BPDU时,端口将进入Discarding状态,不再转发报文。经过一段时间(通常为两倍的Forward Delay) ,如果端口一直没有再收到优先级较高的RST BPDU,端口会自动恢复到正常的Forwarding状态。
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]stp root-protection 开启根保护
3.环路保护
在启动了环路保护功能后,如果根端口或Alternate端口长时间收不到来自上游设备的BPDU报文时,则向网管发出通知信息(此时根端口会进入Discarding状态,角色切换为指定端口) ,而Alternate端口则会一直保持在Discarding状态(角色也会切换为指定端口) ,不转发报文,从而不会在网络中形成环路。
[SW3]int g0/0/5
[SW3-GigabitEthernet0/0/5]stp loop-protection
防TC-BPDU攻击/TC BPDU保护
启用防TC-BPDU报文攻击功能后,在单位时间内,交换设备处理TC BPDU报文的次数可配置。如果在单位时间(2s)内,交换设备在收到TC BPDU报文数量大于配置的阈值(3次),那么设备只会处理阈值指定的次数。
[SW3]stp tc-protection 开启TC BPDU保护
[SW3]stp tc-protection threshold 2 修改tc bpdu接收的阈值
MSTP:多实例生成树
单个RSTP不足之处:
1、无法实现流量的负载分担
2、次优路径问题
定义:MSTP可以将一个或多个VLAN映射到一个实例(实例),再基于实例计算生成树,映射到同一个实例的VLAN共享同一棵生成的树。每一个实例都是单独RSTP。
原理—名词认知:
MST Region (Multiple Spanning Tree Region,多生成树域),也可简称MST域
同一个MST域的设备具有下列特点:
都启动了MSTP.
具有相同的域名。
具有相同的VLAN到生成树实例映射配置。
具有相同的MSTP修订级别配置。
MSTI (Multiple Spanning Tree Instance,多生成树实例):
一个MST域内可以生成多棵生成树,每棵生成树都称为一个MSTI
MSTI使用Instance ID标识,华为设备取值为0~4094
Instance0是缺省存在的,而且缺省时,华为交换机上所有的VLAN都映射到了Instance0。
CST (Common Spanning Tree,公共生成树)
IST (Internal Spanning Tree,内部生成树);IST是一个特殊的MSTI, MSTI的Instance ID为0。
CIST (Common and Internal Spanning Tree,公共和内部生成树);通过生成树协议计算生成的,连接一个交换网络内所有交换设备的单生成树。
SST (Single Spanning Tree,单生成树)
总根(CIST Root)
是CIST的根桥
域根(Regional Root)
分为IST域根和MSTI域根
IST域根,在MST域中IST生成树中距离总根最近的交换设备是IST域根
MSTI域根是每个多生成树实例的树根
主桥(Master Bridge)
是IST Master,它是域内距离总根最近的交换设备
如果总根在MST域中,则总根为该域的主桥。
MSTP中定义的所有端口角色包括:
根端口、指定端口、Alternate端口、Backup端口 Master端口、域边缘端口和边缘端口。
Master端口是特殊的边缘端口。
[SW2]stp mode mstp 模式修改为MSTP
[SW2]stp region-configuration 进入stp域配置
[SW2-mst-reqion]reqion-name HW 修改域名称
[SW2-mst-region]revision-level 1 修改域修订等级
[SW2-mst-region]instance 1 vlan 10 实例关联vlan
[SW2-mst-region]instance 2 vlan 20
[SW2-mst-region]active region-configuration 激活域配置
[SW2]stp instance 1 root primary
[SW2]stp instance 2 root secondary 配置实例主根和备份根
stp mode mstp
stp re
re HW
rev 1
ins 1 v 10 30
ins 2 v 20 40
ac re
stp ins 2 roo pr
stp ins 1 roo se
[SW2]port-group 1
[SW2-port-group-1]group-member g0/0/1
[SW2-port-group-1]group-member g0/0/2
[SW2-port-group-1]group-member g0/0/3
[SW2-port-group-1]group-member g0/0/4
[SW2-port-group-1]stp edged-port enable
display ospf peer brief
display ip int br
display ip routing-table
ACL 访问控制列表
产生背景:为了提升网络的安全性,控制数据的转发,需要流量控制工具
作用:能够对于报文进行区分和匹配;流量控制工具
工作原理
动作:permit:允许 deny:拒绝
匹配条件:帧头(Dmac–Smac)|IP(Sip-Dip)|tcp/udp(Sport-Dport)|data|帧尾
匹配顺序:按照rule编号从上到下依次匹配
默认动作:允许所有—ACL对于数据的处理
基本ACL 2000-2999 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。
高级ACL 3000-3999 可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。
二层ACL 4000-4999 使用报文的以太网帧头信息来定义规则,如根据源MAC地址、目的MAC地址、二层协议类型等。
用户自定义ACL 5000-5999 使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。
用户ACL 6000-6999 既可使用IPv4报文的源IP地址或源UCL (User Control List)组,也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。
基本ACL配置:
创建ACL:
[R3]acl 2001
[R3-acl-basic-2001]rule deny source 192.168.1.0 0.0.0.255 拒绝源是192.168.1.0的数据
调用ACL:
[R3]int g0/0/2
[R3-GigabitEthernet0/0/2]traffic-filter outbound acl 2001
高级ACL:
创建ACL:
[R2]acl 3000
[R2-acl-adv-3000]rule deny tcp source 192.168.1.1.0 destination 192.168.2.2 0 destination-port eq www
调用ACL:
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
NAT
在网络边界设备上(路由器、防火墙),将数据中的私网地址和公网地址进行转换
NAT分类:
静态NAT 1对1转换 1个私有IP地址转换为固定的某1个公有IP地址
动态NAT 多对多转换 多个私有IP地址基于公网地址池进行转换
NAPT(网络地址端口转换)多对1转换 多个私有IP地址转换为一个/多个公网IP地址(利用端口号区分不同的私有IP地址)
[R5]ospf
[R5-ospf-1]default-route-advertise always 自动下发缺省路由
[R5]int g0/0/0
[R5-GigabitEthernet0/0/0]nat static global 100.1.1.100 inside 192.168.1.1
静态内网连接全局公网
NAPT配置:
[R5]acl 2000 定义出要转换的内网数据
[R5-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[R5]nat address-group 1 100.1.1.50 100.1.1.51 创建公网地址池
[R5]int g0/0/0 将内网数据和公网地址池进行映射
[R5-GigabitEthernet0/0/0]nat outbound 2000 address-group 1
动态NAT配置:
[R5]int g0/0/0 将内网数据和公网地址池进行映射
[R5-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat
easy-ip:
将多个私有IP地址转换为公网出接口的IP地址
[R5]ACL 2001 定义出要转换的内网数据
[R5-acl-basic-2001]rule permit source 192.168.3.00.0.0.255
[R5]int g0/0/0 将内网数据和接口进行映射
[R5-GigabitEthernet0/0/0]nat outbound 2001