HCIP 思维笔记模板_ProcessOn思维导图、流程图

第一课：网络的基本概念

OSI参考7层模型：下层处理不了的问题交给上层解决

7.应用层

6.表示层

5.会话层

4.传输层

3.网络层

2.数据链路层（差错检测）

1.物理层

TCP/IP模型

4.应用层 OSI合并（应用层/表示层/会话层）

作用：规范传输介质的标准-网线，光纤

无法实现：差错检测

3.传输层（TCP差错检测; UDP无法纠错）

作用：实现一个设备上不同应用的区分2.按照不同的协议进行纠错

无法实现：无法实现应用级别不同服务的区分，2.有可能无法实现纠错

2.网络层

1.网络接口层

局域网：私网、内网

广域网：：连接到运营商的网络

第二课：数据封装+传输介质

数据传输的形式

电路交换：传输效率低

报文交换：在数据之外，加上能够标识接收者以及发送者的信息

分组交换：依旧进行报文交换，不过将每个数据的大小进行定义

报头：没到下一层需要在数据前加一层报头，也称之“：数据封装

1.数据在应用层：数据（date）

2.数据从应用层到传输层；数据封装后称之为：段（segment）

3.数据从传输层到网络层，数据封装后称之为：包（packet）

4.数据从网络层到数据链路层，数据封装后称之为：帧（frame）

5.数据从网络层到物理层，数据封装后称之为：位（bit）

数据封装的目的就是让数据能够传输到应用层，其中其他数据是无用的

数据接收到以后，在应用层开始从下网上进行解封装

传输介质：实现设备的链接

双绞线线序：传输距离：（100米）

光纤（单模/多模）和双绞线传输距离更远/广域网一般都是使用光纤

串口电缆

第三课：数据链路层+MAC地址

以太网帧机构

数据链路层需要封装；前面加Eth Header 后方加 FCS

如果数据进行封装是，基于E2和802.3标准，此时我们称之为是一个以太网数据帧

E2和802.3作用：定义帧头和帧尾的格式。

E2（功能简单）

MAC地址：物理地址：网卡地址；每个设备出场时，烧录到网卡芯片当中，出厂

D.MAC：目的mac，接收者的mac信息

S.MAC：源mac，接受这的mac信息

FCS:

Type：

第一作用：标识公有化协议

第二作用：分辨是什么样的帧

802.3

Lenght:标识data长度

LLc:逻辑连路控制

Control:0x03(保留字段)

SNAP：子网服务接入点（私有化）包含Org code （机构标识）Type；私有则会打开

发送者的动作：

有发送者田总源目mac信息，以及type字段标识上层协议，以及CRC检验，数值填充至FCS，信息都填充

接收者的动作：

首先看目的的MAC，是否是自己的MAC地址，如果不是丢弃，如果是，则进行下一步

将数据进行CRC检验，比对FCS字段，如果不同则丢弃，如果相同，进行下一步

查看tpye字段，交由type字段标识的上层协议处理数据链路层工作结束

封装数据需要加字节

802.3 （MTU）

公装：21字节

私装：26字节

data数据：38-1492B

E2:（MTU）

固定：18字节

data数据：46-1500B

MTU：最大传输单元

数据不够最小值46，自动补够

进位

第四课：MAC地址+网络层

MAC地址

MAC地址也叫物理地址

物理链路：不是直连

前24位由厂商决定，后24位由供应商分配。总共48bit；

MAC地址是16进制；12个16进制数

MAC地址概念

MAC单播：通信形式上，点对点，单对单的通信，数据分装时候，源MAC地址和目前MAC地址都是单播MADC，则为单播地址；单播MAC；从高位向低位（从左往右）第8位为0，且一定为0 其他随意

MAC组播：通信形式上。是对多点，单对多的通信，

组播MAC；从高位向低位（从左往右）第8位为1，且一定为0 其他随意

广播:通信形式：点对所有，单对所有的通信，广而博之

广播MAC地址；从高位向低位全部为1.也全部为F

A：目的为单播MAC

B：目的为组播MAC

C：目的为广播MAC

网络层

IP报文

英文

长度：20-60B

分片

超过MTU。进行数据分割

乱序：分片发送会出现乱序的情况，由Fragment offset确认顺寻

DF =0：可以分片，DF=1 无法分片；即使设置不可分片单没有超过MTU一九可以通过

protocol：标识协议

time to live（TTL）：生存时间；每经过一个三层设备就会减1；减到0就会丢弃

环路：数据进行无休止的转发（进行错误配置）

防止出现次情况；防环机制就是TTL

首部检验和（Header Checksum）

检验数据的完整性

第五课：IP地址+VLSM

IP地址；（全局范围内的访问；通过路由器经过供应商访问其他的设备）

二进制换算

存在特殊地址无法使用

0.0.0.0------------0.255.255.255

1.未指定的地址

2.路由层面，全网所有的地址

127.0.0.0---------127.255.255.255 // 环回地址

用于设.0备内部的TCP/IP协议栈使用的

私网 // 公网

公网地址：唯一性，全世界范围内的唯一，付费使用，申请

私网地址：所有组织机构，都任意使用的，不用申请，

子网掩码

子网掩码+IP地址对应为网段

需要将IP地址和子网掩码转换为二进制

二进制全为1则为网络位‘ 子网掩码对应为0，则为主机位

主机位存在两个无法使用（全为1；全为0）

各网段配置的相关地址

VLSM-————可变长子网掩码

二进制后网络位向主机位借位

作业——1.先球子网的最大值，该子网可以曼珠该地址最打的数量

优先分批人数最多的IP（研发部）

第二个分配项目部

第三个为市场部

财务部

第六课：CIDR与ICMP

CIDR：无类域间路由 /超网

将多个小的子网，用一个相对更大的地址范围进行该阔，以此实现表象的优化

超网划分

将多个IP地址全部转化为二进制；后续从高位向低位进行比对，位数相同原封不动进行取值，一旦不同的情况，停止比对，后方全部取值为0，即便后方还有相同的数字

上方多个网段后划分的超网为：0000.1010.0000.0001.0000.00为相同 10.1.0.0/22

子网掩码：0000.1010.0000.0001.0000.0000.0000.0000/255.255.252.0

练习作业

10.1.0.0/21

10.1

255.255.248.0

ICMP：（Internet Control Message Protocol 因特网报文控制协议）

ICMP用来传递差错/控制/查询信息

同网段通信时可以直接通信；

1.通信时，发送端的主机会使用对方的IP地址+自己的掩码进行计算，算出对方的网络地址

2.计算之后，将对方的网络和自己的网络的网络进行对比，相同，则认为在同一网段，不同，则任务不在同一网段

跨网段通信时是不可以直接通信的；

ping是ICMP协议中一种应用

Tracert _ICMP中的一种应用（跟踪路由）

通过向目标发送不同IP生存时间 (TTL) 值的“Internet控制消息协议 (ICMP)”回应数据包，Tracert诊断程序确定到目标所采取的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的 TTL 递减 1。数据包上的 TTL 减为 0 时，路由器应该将“ICMP 已超时”的消息发回源系统

第七课：ICMP+ARP

一般情况下没有开启回送不可达报文

ICMP：3.5层协议，网络层协议

Echo Reply：

网络不可达：

主机不可达：

协议不可达：

端口不可达：

重定向：PC 访问服务器，但还是需要访问网关，网关会给主机重回一次ICMP重定向报文

Echo Request：

TTL 超时： 11 0

ARP协议

1.会检测对方IP地址和自己是否在同一网段

比如：网络地址——自己的IP S-IP+自己的掩码

对方IP D-IP+自己的掩码

相同进行下一步

2.借用ARP协议实现该操作（获取对方IP多对应的MAC地址）

接受到ARP报文后，会回复单播的ARP应答

APR协议在二层，二层ARP封装中包括：

sender-ip：自己的IP

sender -mac:自己的MAC

target-ip :询问IP地址

target-mac 他人的MAC：00-00-00-00-00-00

广播域：广播报文所能传递的范围

交换机的所有端口同一个广播域

路由器每个接口都是一个广播域

广播报文是无法穿越路由器的三层接口的

收到对方的ARP协议报文后就会在自己的电脑生成一个ARP的动态ARP表缓存,老化时间20分钟

免费ARP：可以用来探测IP地址是否冲突

第八课：传输层协议

传输层：实现："端到端"的服务，应用到应用；

数据发送

数据回发

虚拟端口：传输层的端口范围 = 0-65535【端口范围】

端口

端口类型

0-1023端口：知名端口，提前保留出的端口

TCP协议：FTP服务【20/21】SSH【22】 Telnet服务【23】 HTTP服务【80】 HTTPS【443】

UDP协议：DNS服务【52】 DHCP协议【67/78】

大于1024随机端口:随机高端口

TPC：传输控制协议——面向链接的协议

链接

正式发送数据之前，提前建立好一种虚拟的”点到点“式的连接= 单播模式

只能适用于单播通信，无法和多人连接

可以给与简历好的连接，灵活的对接下来的数据传递进行控制

优点：

传输一些文件，稳定性和支持性很好

感知上层数据的大小，自带分片功能

缺点：

无法很好的满足即时性的业务要求

TPC报文

报文头部

Header ength：头部长度

Windows:窗口，流量控制

五元组：

S-IP:源IP

D-IP:目标IP

protocol:协议号

Soutce port:源端口

Destination Port:目标端口

TCP的三次握手

TCP可以通过三次握手建立可靠连接；连接建立完毕之前是不会传输数据的

C/S架构: 还存在其他的架构

发起方：客户端（client）

响应方：服务器（server）

第一次：

1.首先发送报文，在报文中的SYN（同步位：想与对方建立连接）的字段中为1；

2.然后在Seqyebce Number（序列号）：填充一个随机

第二次：

1.将SYN：置为“1”；Seqyebce Number(序列号)重新填充一个随机

2.然后报文中的大“ACK”置为“1”

3.然后 Acknowledge Number（确认号码）在Seqyebce Number(序列号)的基础上“+1 发送

第三次：

1.发送大ACK“1”；

2. 在第一次发送Seqyebce Number的随机上+1再次发回

3.且 Acknowledge Number 第二次上+1基础上发送；Seqyebce Number在第二次的基础上发送

4.SNY：为0

TCP传输过程：

数据最大值+1

传输确认机制：

三次握手中，小ack = 对方的seq +1

数据传输是，小ack = 对方所传递的数据的最大值+1

TCP流量控制

Maximum segment size (最大段长度）；mms:最大报文段长度

mms =1460;是基于 TCP 协议的数据最大长度

TCP:关闭（全双工需要双方应答）

第一次：FIN 置为1标识开启关闭；seq（序列号）随机填充a, ack （确认号）填充 b。发送

第二次：服务器收到报文后，seq发送 b，ack发送 PC端的seq a+1 关闭

第三次：服务FIN为1到PC，且seq为 b，ack a+1;

第四次：PC发送回来seq = a+1, ack= b+1

UDP: 用户数据包协议——面向无连接的协议

Soutce port:源端口

Destination Port:目标端口

length：长度

保证数据的传输，但是UDP无法对于传输的数据进行控制，如果想对数据的此时需要借用应用层

优点：

可以很好地满足即时性的要求；对于时间要求比较高

缺点：

无法保证数据的传递性

对于上层的数据，“全盘接受”；如果上层数据过大，超过MTU大小，UDP是没有分片机制，需要依托上层网络层分片机制；用于相对较小的流量

Soutce port:源端口

第九课：设备管理+路由基础

eNSP是使用VRP平台提供

VRP

VRP：VRP (Versatile Routing Platform)即通用路由平台，是华为在通信领域多年的研究经验结晶，是华为所有基于IP/ATM构架的数据通信产品操作系统平台。运行VRP操作系统的华为产品包括路由器、局域网交换机、ATM交换机、拨号访问服务器、IP电话网关、电信级综合业务接入平台、智能业务选择网关，以及专用硬件防火墙等。核心交换平台基于IP或ATM

初次使用串口连接后使用真机；笔记本软件连接后命令界面会提示是否停止自动化配置
cioso设备连接会提示是否开启自动化配置；需要输入Y or N
如果同意自动化，就一直输入Y or N进行配置

命令行视图

用户视图：<xxxxxxx>

系统视图：[xxxxxxxx]

接口视图：[Huawei -GigabitEthernet0/0/0]

协议视图：[Huawei-ospf-10]

常用命令：

？——当前可以配置的命令

system - view(简写：sy)——从用户视图切换到系统视图

quit(q):从当前视图退回到上一个视图

Ctrl+z: 从当前视图直接退回到用户视图

interface 端口（简写：int 端口简写 g0/0/0）:进入端口视图

display（简写dis）: 查看命令

brief(简写：br):查看命令后方填写；可以查看简要信息

dis ip interface brief（查看简要端口地址）

ip address ：进入端口配置IP地址

display this （简写：dis th）：现在当前端口的配置

undp ip address ():取消当前端口IP地址

display current -configuration(简写：dis cu) :查看设备当前配置

user privilege level 3 ：修改端口等级命令

sysname:修改名称

display ip interface briref:查看当前全部端口的状态

display ip routing-table ：查看路由表

shutdown：进入端口后输入命令可以关闭次端口

ip route-static 0.0.0.0 0 12.1.1.1:配置静态路由

undo ip route -statci 0.0.0.0 0 12.1.1.2（需要写完整的ip加下一跳）：删除静态路由

int lo 0 ：端口处输入可以设置回环口

ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 ?: 可以查看下方参数

preference：设置路由的优先级，0优先级最高

开局调试：

本地管理：使用console口进行连接

使用本地的软件xshell CRT

远程管理SSH【22】 Telnet服务【23】；基于传输层之上的应用层的协议

开启Telnet服务:

需要在连接端的服务器上开启user interface vty 0 4

0 4 意思就是最多可以五个用户管理

管理模式存在两种：一种3a(aaa):无用户模式; 一种password

选择password后输入密码。

输入密码后在另外一个路由器上输入telnet 对方IP地址可以进入

如果不设置用户等级，一般默认为0级，是无法访问对方的系统视图

aaa:认证能不能做授权审计/计费

SSH：可以结合aaa使用

被管理方需要配置后才可以使用Telnet其他服务器管理。

用于的等级

路由基础

路由表

寻址转发时查询路由表，更具路由进行具体的转发

路由标查看命令：display ip routing-table

路由标中的public为公共的含义

IP地址后方mask掩码32为主机路由，可以标识一个精确的IP地址

Ping127.0.0.1抓路径包是不会有任何数据显示

255.255.255.255可以在大网段中全部强制接受

路由表的形成：

1.直连路由：physical 和 Protocol 状态全为UP

线路直连，可以在cmd中使用命令：display ip interface briref

查看后可以在physical中查看端口是否是 UP 还是down，

协议Protocol（协议）状态当配置端口后就会从down变成UP

配置完成后会在路由表中自动会在路由表生成网络地址主机路由广播地址

shutdown：进入端口后输入命令可以关闭次端口

第十课：静态路由

路由表信息

Destination:目的网址

Mask: 掩码

proto: 协议

Direct：直连

pre: 优先级（值越小，优先级越高）直连最高优先级

cost（开销）:pre和cost一致都会进行加表

Flage（）：

NextHop(下一跳)：下一个路由的端口地址

interface:设备的出接口，自己的设备应该从那个接口发出去

static：静态

路由加表：

会把最优路线加表中

如果目的地网络及掩码信息不一致，则都会加表，如果一致的情况下，才会进行比较

优先值:越小越优

直连路由/静态路由 cost 都等于 0

路由查表;

本地如果有多个可以匹配的路由的时候，会按照掩码

0.0.0.0/0：默认路由/缺省路由

如果一条路由的目的地与掩码全部为00，则代表这是一条默认路由，匹配所有的IP地址

当有IP为0000时候，这是最劣的情况

ARP代理

浮动静态路由【路由备份】

0.0.0.0：路由器配置缺省路由后可以通过运营商访问所有公网地址

浮动路由指：一条路由存在两个IP，另外一条路由自动隐藏一条不通时，自动路由表自动浮现另外一条

路由备份：当一条路由无法通讯，自动切换到另外一条

负载均衡两条线路不一样的带宽，不能存在负载均衡

可以通过环回口设置：

配置端口后，在端口处输入int lo 0 设置

设置preference的值

静态路由的缺点

静态路由无法感知到接口的状态

第十一课：OSPF（上）

动态路由

通过在设备商运行魔种协议，通过这个协议自动交互路由信息

OSPF：开放式最短路径优

IGP协议：内部网关协议

AS内：自治系统

网络系统=网络架构；统一的管理者构建的网络系统，叫做一个AS

公用AS：网络设备，申请一个AS号

私有AS：不需要申请

运行相同的IGP协议，策略比较单一

OSPF协议和 IS-IS协议是在内部网关中使用

EGP协议：外部网关协议

OSPF需要了解所有的设备信息

1.建立邻居//邻接关系

2.同步LSA，构建LSDB

3.使用的算法是SPF算法

OSPF参数

LSA：链路状态通告

LSDB：链路状态数据库 / / 存放SLA

Cost（开销）：

e:10M

f:100M

g:1000M

第十二课：OSPF（下）

OSPF报文

OSPF报文分钟在IP报文中，协议号为89

Header

44：代表OSPF的长度

1.HELLO

2.DD：DD报文为单播报文

3.LSR

4.LSU

5.LSACK

TTL为：1；设置为在一个广播域内传递

OSPF报文在一个广播域内进行传播

OSPF配置的几个参数：

ospf的 process-ID (进程号)：可以在同一设备中多开osfp进程；本设备标识OSPF进程的，互相不影响，数据不共享；进程号：本地有效，仅仅在本地标识；1-65535的一个数字

router -id （路由器ID）：共享信息时的路由的ID标识，不能同一个ID

RID：产生的两种方式：

1.人为配置

2.自动产生：系统的router-id——设备自动产生的router-id。整台设备第一个UP的接口会成为router id,同时UP的话，会选择一个大的IP地址标识

RID特点：一旦确认，除非设备重置或者OSPF进行重置，否者不会改变

OSPF的area区域号：区域号相同，则为相同区域

LAS：同步的前提条件——相同区域

骨干区域：区域0——OSPF必须要有的区域

OSPF建立关系需要借助接口：

network——宣告

第一种宣告：

区域下宣告

反掩码：255.255.255.255-255.255.255.0=0.0.0.255

第二种宣告：

接口下宣告ospf ebable 10 area 0

前提：必须先保证全局开启了ospf协议，建立了该进程，床去区域为0

OSPF命令

ospf ？:查看ospf相关设置参数

ospf 10 router-id ?: 进入路由器id

display ospf peer :查看OSPF相邻设备

display router id:查看目前设备的 router id

reset ospf process：重置路由器的OSPF协议

area 0：设置RID的骨干区域

netword +接口信息 + 反掩码：宣告

undo network:取消宣告

ospf ebable 10 area 0：宣告进程10中区域0; 10就是进程号，0就是区域号

dis ospf int g0//0/0:查看当前端口下OSPF状态

OSPF的7种状态（当前IOSPF协议与其他设备的OSPF协议处于什么状态）

Down:没有邻居就是down

Lnit：收到邻居发来的Hello包，但是收到Hello包中的邻居字段没有自己

2-way ：收到邻居发来的Hello包的邻居列表中有自己，建立邻居关系

Exstaart

发送DD报文（此处DD报文不包含LSA头部信息）作用决定主从关系（Router-ID大的为主路由器，小的为从路由器）确定序列号保证报文交互的可靠性比较MTU（可选，缺省不比较）MTU对邻居建立的影响1、主的MTU值比从设备的MTU值小；两端都会停留在Exstart状态2、主的MTU值比从设备的MTU值大；从设备会停留在Exchange状态，主设备停留在Exstart状态3、两端有一段未开启MTU值检测，则两端可以建立邻居

Exchange

通过交换DD报文，交换LSA头部信息
具体的交互流程
上述Exstart状态决定出主从关系后，即从设备此时收到了主设备发来的空的DD报文
从设备使用主的序列号发送DD报文来回应主（此时DD报文包含LSA头部信息）
主也通过DD报文发送自己的LSA头部信息，并将序列号加1
从又使用主的序列号回应主；一直循环，直到主与从的M位都不置位（或者说只要有一侧有未传递的LSA头，就会一直循坏）

Loading

通过上述获得的LSA头部信息，来确定自己需要哪些LSA
具体实现方式
通过发送LSR请求、发送自己的LSA完整信息（LSU）给对方、发送LSACK确认信息来完成LSDB同步

Full

LSDB同步完成，建立邻接关系

OSPF配置流程：

1： interface g0/0/0

2： ip address IP地址加MASK

3：配置环回口：interface looBack 0；添加回环口地址 IP address IP 加MASK

4.

第十三课：交换基础

OSPF补充知识

DR（指定路由器）；BDR（备份路由器）

设备运行OSPF后，所有设备状态为DR-OTHER

选举之前会先选举BDR后，如果没有更好的DR就升级为DR

选举DR BDR时间：

1.知道网络中所有的路由器

2.没有进行数据库交互之前

选举DR BDR——越大越优

1.在HELLO报文中的接口优先级，默认为1. 区间：0-255.越大越优

认为可以修改优先级为0后，可以不参与选举

选举时间为40S。即使优先级最大，但未在时间内，也不会成为DR

2.如果都是默认的情况，需要对比HELLO报文中的RID

在每一个广播域下会选举一个BDR和DR，一个广播域下必须要有DR

交换技术

网桥：虽然网桥不是路由器，但仍然使用一个路由表作为传输数据的根据；
记录总端的mac地址，生成一张mac地址表
接口有限；一般只有两个接口。隔绝两个区域的冲突域

交换机：接口数量多，4/8/24/48接口；每一个接口都是一个冲突域，硬件的改良，转发的数据更快，数据连路层产品；也可以生成一张mac表

第十四课：VLAN

交换机

交换机每一个端口都是独立逻辑的处理单元，每一个端口都可以隔绝冲突域，

交换机接口具备自动协商的行为:

可以实现工作方式/端口速率的协商——向小兼容

交换机工作方式：可以实现定向发送

交换机启动时，需要启动生成树协议后才算启动完毕

交换机存在一张动态MAC地址表

自动学习：记录接口收到的源MAC，每一个接口都会记录接口一下的相关数据，如果其端口关闭，端口下的所有的动态mac数据将会全部消失；入接口信息

当A接口发送数据时，会记录封装中的源MAC地址，如查看没有目标MADC地址的情况下，会进行泛洪处理

MAC动态地址表会存在老化时间（300S）5分钟，没有收到其他MAC地址对于它的数据，和它向其他设备发送的数据

PC电脑端如果移动位置到新的位置发送数据，将会覆盖原有的MAC动态地址

交换机的所有接口，即使划分不同网段，但依旧会存在广播域的情况，会进行泛洪

交换机命令:

dis mac-address：查看mac地址表

dis vlan : 查看vlan

vlan + 编号：创建vlan区域

int g0/0/0:进入端口

端口加 ?: 可以查看端口类型

port link-type access：更改端口为access端口

port default vlan 10：划分端口进入vlan10

端口下 port link-type trunk :设置端口为trunk

端口下 port trunk allow-pass vlan 10 20(all):放行VLAN 10 20 通过；可以输入all;放行所有vlan通过

hybrid tagged vlan 2 3 100 :允许次端口下 2 3 100

port hybrid untagged vlan 3 100:此端口可以设置可以 vlan 3 100 通过 ;当通过次端口时剥离 vlan 3 100的tag

port hybrid pvid vlan 3:次端口更改为VLAN 3

系统视图下：dis port vlan：查看所有端口下端口类型

系统视图下 vlan batch ：创建vlan区域

系统视图下：intface g0/0/1 ？：可以查看到此端口下可以输入的子端口有多少

路由器的子端口下 dot1q ?

路由器的子端口下 dot1q termination vid 2:终结此结构下的TAG标签

（子）端口下 arp broadcast enable：开启arp广播获取功能

系统视图下 int vlanif 3：在三层交换机上配置虚拟的vlan

VLAN：虚拟局域网

解决广播域传递的问题

可以将一个多接口的交换机，多个端口划分成一个VLAN，实现广播域隔离

数据进入一号端口后：通过二层数据链路层报文中的Tag打标签来标识不同的VLAN；数据通过网线进入后，交换机内部会对数据进行处理，打上相应的Tag标签

Tag报文以及相关参数含义

TPID:相当于数据存在标签的

VLAN ID (0-4094):VLAN标识简称VID

PVID：VLAN编号

交换机接口的三种类型

access: 接入类型——PC 服务器

图二

trunk:能让连接在不同交换机上的相同VLAN中的主机互通。

处理逻辑

默认情况下放行VLAN 1

hybrid ：华为交换机默认为hybrid

1.tag:保留原有的TAG字段发送
2.untag:弹出tag字段发送

1.即使端口设置port hybrid pvid vlan 3，查看此端口也为VLAN3，但也不会运行VlAN3de的数据通过

pvid ：

第十五课：VLAN间路由

一般都是不同网段的端口划分vlan，但不同网段的vlan也存在数据访问的情况，实现部署不同网段vlan以后也可以跨网段进行通信

第一种方法

第二种方法：单臂路由

系统视图下：intface g0/0/1 ？：可以查看到此端口下可以输入的子端口有多少

路由器的子端口下 dot1q ?

路由器的子端口下 dot1q termination vid 2:终结此结构下的TAG标签

当此端口存在子接口的情况下，priticol为down也是正常的情况

（子）端口下输入 arp broadcast enable：必须要开启apr获取地址功能

第三种方法三层交换

进入三层交换机，然后输入int vlanif 后续相关的网段都在vlan if下

另外一个端口配置成vlanif3

第十六课：生成树协议

接入式交换机：连接终端

环形组网=泛洪；二层没有TTL，一直循环，尽可能少的堵塞端口，实现无环路径

BPDU报文

PID：固定号、

PVI: 0:代表STP 2 RSTP 3： MSTP

BPDUType

Flage：标志位

Root ID(重要)：根桥的ID

RPC(重要)：根的路径开销

Bridge ID(重要)；桥ID

Port ID(重要)；接口ID号

Message Age：根桥首发，后续经过一个设备+1

Max Age：最大的经过的设备，超过此参数丢弃

Hello Time：2S：每两秒向外发送标识根桥正常状态

Fwd Delay：超时时间

选举 ROOT（根桥）

比较BID = 优先级16位+mac(交换机背板mac)48位-MAC地址越小，就会被选举根桥，优先级默认为32768-配置4096的倍数

可以手动将性能最好的交换机设置为0选举为根桥；第二好的设置为4096

选举根端口

比较入方向的根路径开销 RPC

开销越小，越容易选举为根端口

存在无法无法选举根端口的情况下，则选举其他的端口来计算四年cost（开销）

选定指定端口

根桥上所有的端口都是指定端口

每个链路上只能有一个指定端口

当根桥选举成功，后续选举根端口后成功，再在链路上选举一个指定端口后，剩下的端口将会被堵塞

选举优先：

先比较根路径开销；再次对比桥ID；比较自身的PID（接口ID）

剩下端口

剩下的端口全部自动堵塞

STP的端口状态

STP人为修改根桥后，端口会进行更改，但数据不会马上进行更改，因为其他的设备不知道根桥已经进行改变

Disabled: 端口状态为down；不处理BPDU报文

Listening：过度状态，开始生成树协议计算，端口可以接受发送BPDU，但不转发用户流量

Learning：过渡状态，简历无环的MAC地址转发表，不转发用户流量

Forwarding：端口可以接受发送BPDU，也转发用户流量，只有根端口或指定端口才能进入Forwarding状态

Blocking ：端口仅仅接受并处理BPDU，不转发用户流量

当出现地址改变的情况下，当一个端口发生改变会出现TCN BPDU报文——通知拓扑改变

第十七课：链路聚合+ACL

链路聚合相关概念

运行再生成树（STP）协议之上；多根链路=不堵塞

其他名称：端口聚合链路捆绑

多根链路逻辑上的捆绑在一起，当STP进行拓扑计算时，此时会按照聚合之后的链路进行计算。

应用场景图

提升带宽

提高网络的高可用性

负载分担

链路聚合模式

手工负载分担模式：不支持跨设备聚合——华为私有模式

两条线路均可以正常数据转发，分担负载流量

LACP模式：支持跨设备聚合 E-Tewk

一条线路数据正常，另外一条线路备份

图例

命令配置

配置的负载分担方式:

src-ip：配置Eth-Trunk接口基于源IP地址进行负载分担

dst-ip ：配置Eth-Trunk接口基于目的IP地址进行负载分担

src-mac：配置Eth-Trunk接口基于源MAC地址进行负载分担

dst-mac：配置Eth-Trunk接口基于目的MAC地址进行负载分担

src-dst-mac：配置Eth-Trunk接口基于源IP地址与目的IP地址进行负载分担

src-dst-mac：配置Eth-Trunk接口基于源MAC地址与目的MAC地址进行负载分担

二层链路聚合

查看链路聚合信息

三层链路聚合配置

BW的含义：带宽；Maximal:最大 Current：当前

Maximal表示嘴的带宽，Current参数当被关闭一条后，就会现在目前的带宽

链路聚合和堆叠的区别

链路聚合是针对链路，堆叠是针对设备

ACL（访问控制列表）

控制 ”能通“/”不能通“

列表：抓捕名单/抓捕计划

1.根据匹配条件匹配数据

2.根据匹配的数据定义动作——permit 允许/ deny：拒绝

应用场景

ACL分类

一般情况下使用基本ACL和高级ACL，二层ACL技术很少使用

ACL可以通过编号去区分

基本ACL：只能匹配数据的源IP地址

高级ACL：匹配五元组信息

规则

一个ACL列表中，可以定义多个不同的规则，然后根据不同的规则执行具体的动作

接口：接受到数据：入接口/入方向——inbound

接口：发送该数据：出接口/出方向——outbound

未来想要ACL生效，必须在某个即可偶下将其挂接

ACL配置的思路

1.定义ACL匹配的参数

2.定义匹配参数的动作

3.将ACL挂接到某个接口下

如果不配置，默认为5；并且以5的倍速递增

存在两条配置命令，优先会按照第一条路径操作

华为中接口调用时，默认会有一条命令permit any ——只有没拒绝，就是能通的

同一个接口同方向不能挂载两个ACL

ACL配置命令

ACL ?:查看ACL下方参数

ACL 2000: 基本ACL

rule deny source 192.168.1.100（可以输入网段）+通配符掩码：禁止source 后方输入IP地址（源地址IP）192.168.1.100 0.0.0.0；可以表示一个精准的IP

接口下 traffice -filter inbound acl：完成ACL配置第三步；挂接端口

acl 3999
rule deny icmp（也可以写1）：可以在端口下过滤ICMP协议，但不影响端口使用

第十八课：DHCP+NAT+PPPOE

DHCP作用：为主机分配地址参数

DNS：域名解析服务

手动配置：重复性/地址冲突/容易出错

动态配置：服务器和客户端之间运行DHCP

报文类型

DHCP DISCOVER: 客户端用来寻找DHCP服务器

DHCP OFFER；DHCP服务器用来响应DHCP DISCOVER报文，此报文携带了各种配置的信息

DHCP：Request:客户端请求配置确认，或者续借租期

DHCP ACK: 服务器对接REQUEST报文的确认响应

DHCP NAK：服务器对REQUEST报文的拒绝响应

DHC RELEASE：客户端要释放地址时用来通知服务器

DHCP配置命令

在路由器上配置IP后；系统视图dhcp enable :开启DHCP功能

接口下 dhcp sevre dns -list 8.8.8.8

端口下 dhcp server static -bind ip-address 10.1.1.17 mac -addresss +5489-987A-24B（格式删除其中某横杠）:可以绑定DHCP下自动分配的某一个IP地址

DHCP地址分配是从大向小的分配

NAT

网络地址转换技术NAT

静态NAT

动态NAT

NAT动态会在地址池中放置IP，后续如果IP地址后，其他终端也可以进行使用

一本书放在图书馆后，借看后还回，其他人也可以正常查看此书籍

缺点：随着计算机的数量增多，在地址池涉及的IP地址也回增多

NAPT

网络地址端口转换（建立公网IP地址池）

Easy IP（携带公网地址端口一起转）

NAT服务器

NAT命令

nat sever protocol tcp glpbal current- interface 23 inside 192.168.1.10.23

PPPoE

pppoE报文

点对点的协议性质

PPPIE一般配置的就是PPPOE服务器和PPPOE客户端

HDLC

LCP

NCP

第十九课：网络管理和运维

网络管理的基本功能

配置管理

性能管理

故障管理

安全管理

计费管理

传统管理方式

当规模较小时，CLI或Web方式是常见的网络管理方式

网络管理通过HTTPS/ Telnet/Console等方式登录设备后，对设备逐一管理

web管理方式

CLI管理方式

SNMP（简单网络协议）

是广泛应用于TCP/IP网络的网络管理标准协议，SNMP提供了一种通过运行网络股那里软件的中心计算机（即网络管理工作站）来管理设备的办法

特点

简单：SNMP次啊用轮询机制，提供最基本的功能集，适合小型/快速/低价格的环境使用，而且SNMP以UDP报文为承载，因而收到绝大数设备支持

强大：SNMP的目标是通管理信息在任意两点传送，以比那与管理员在网络上的任何节点检索信息，进行故障排查

SNMP参数

NMS:在网络中扮演管理者的角色

Agent:被管理设备中的一个代理进程，用于维护被管理设备的信息数据并响应NMS的请求

Managed object：值被管理对象，每一个设备可能包含多个被管理对象。

MIB：是一个数据库

OID：就是被管理设备的路径

OLD树结构：能够表示具体的设备，按照树状结构

esight网络管理平台是华为的企业网络管理；https://e.huawei.com/cn/products/esight/network-management

SNMP v1和SNMP v2的操作类型

Get：

GetNext

Set

Response

Trap:告警操作

GetBulk

Infore:告警会主动通知的报警

SNMP V1

SNMP v2

管理软件：SnmpB

SNMP命令

系统视图 snmp-agent sys-- info ?:只要命令中出现snmp-agent 就表示开启snmp

系统视图 snmp-agent sys-- info versiong v1 :可以修改目前使用的snmp的版本

系统视图 snmp agent trap ?：可以查看所有告警的参数

第二十课：交换基础（上）

交换机和路由器的区别

路由器：路由表转发

交换机：MAC地址转发

交换机的转发行为（单播/组播/广播都是名词）

泛洪：除开收到数据的接口后，其他接口全部发送一份

转发：接口收到数据后，查询MAC地址标，进行转发数据

丢弃：

广播：当物理MAC为全F为广播

单播：物理MAC第八位为0为单播帧 16进制转2进制查看

组播：物理MAC第八位为1为组播

交换机和路由器的具体操作

1.交换机在开始会在自己的内部生成一张空的MAC地址表

2.当存在终端需要通讯时，会封装帧

3.交换机收到报文后解开头部封装，查看D-ip在同一网段的IP地址将不会触发路由功能

4.电脑会在ARP缓存中查看是否存在，如果未存在将会在报头中封装ARP广播

5.交换机在二层收到报文后会存在两个动作，
1.学：将收到数据的源接口记录到自己的MAC地址当中
2.转：交换机解封装后查看ARP广播后进行泛洪，其他主机收到不是自己的数据进行丢弃

6.其他是D-IP主机的设备收到数据是自己的情况下会回复ARP报文（报文中包含D-IP和S-IP信息）。交换机会学习到当前接口的相关MAC地址和接口数据

学习MAC地址

目标主机回复

在SW中存在数据的转发后就可以学到到动态的mac地址，类型为dynamic（动态mac，如果此接口五分钟不继续发送数据，此数据将会老化）

当某一个接口中的接口down后，此接口的相关mac地址数据全部将老化

当接口又重新恢复交换机连接口，由于STP协议的原因会有一个30S秒的数据LEARNING 转变为 FORWARDING；才可以恢复连接

常用命令

系统视图 dis mac-address // 查看MAC地址

系统视图 undo mac -address + mac 地址：删除某一个mac地址

系统视图 undo mac -address ：删除所有的MAC地址

系统视图 stp edged -port default // 开启边缘特性特性，使端口不参与生成树收敛，直接进入转发模式

系统视图 vlan 10 或者 vlan batch（后面可填写连续） 10 20 30

vlan batch 10 to 30:就意为着从10一直连续到30创建VLAN

系统视图 undo vlan batch 10 20 或者 undo vlan batch 10 to 20：取消连续或者非连续的vlan

vlan视图 description sales ：给vlan增加一个描述

接口下 port link-type access：更改此接口的类型为Access

接口下 port dufault vlan 10 ：更改此端口为vlan 10

系统视图 display port vlan 查看交换机下所有接口的配置情况

系统视图 clear configuration interface G0/0/0:清空接口下所有配置；清空后需要开启使用 undo shutdown命令

端口下 port trunk allow-pass vlan ：添加放行Vlan列表

系统视图 port-group 1 ：添加接口组

接口组下 group-namber g0/0/1 to g0/0/10: 选择接口组下方的接口

系统视图 lldp（链路层链路发现协议(LLDP)）enble // 开启lldp

系统视图 display lldp neighbor brief // 查看邻居设备

系统视图 display mac-address 5489-8930-4370;可以查看到此mac地址的接口

VLAN的原理

所有的交换机的所有的接口默认在vlan 1

路由器可以接受广播，但无法转播广播

同一个交换机下，所有终端设置不同网段的情况下，虽然无法通信，但广播依旧可以接收。会消耗设备资源；划分VLAN可以隔离广播域，让其其他设备不会收到ARP报文；跨VLAN无法进行泛洪

在电脑发出帧时会存在一个没有携带TAG的帧。后续会在字段中添加上tag帧

交换机即使不做任何配置，也会配置Vlan 1;技术交换机不管接口类型，进入交换机之前就会被打上TAG

TAG帧的参数

0X8100P：类型 802.1

PRI：用在Qos(f服务质量，IE课程); 区分用户的等级，数值越大优先级越高

CFI：以太网的标识：要么1 要么 0

VLAN ID(12b)：用来填充当前属于什么vlan；也用来判断当前的vlan 可以配置的时1-4094

链路的类型

Access端口：接入链路，只能承载单一vlan数据

1.接受数据

查看是否携带tag

如果携带，查看TAG是否和当前vlan相同；相同接受，不同丢弃

未携带，打上一个当前接口的vlan

2.发送数据：

对比数据携带的额lvan ID和出接口的pvid是否相同

如果相同，则剥离tag,发送原始帧出去

如果不同，则丢弃

Trunk ：干道链路；可以承载多个vlan数据

1.接受数据

查看是否携带TAG

如果携带，查看放行列表是否允许，如果允许，直接受到护具到交换机内，如果不允许，则丢弃

如果未携带（原始帧）；打上一个TAG， VLAN ID和接口PVID（默认取值1）取值相同，再查看放行列表是否允许通过，不允许丢弃

2.发送数据

查看放行列表：

如果允许放行，还要查看VLAN ID是否和接口的PVID相同,如果相同，剥离TAG，发送原始帧出去，如果不同，则直接发出去

特别注意：tunk接口如果放行所有，这里所有指本地减缓及创建的所有vlan

hybrid：混杂模式；既可以连接终端，也可以连接交换机

1.Hybrid面向终端时

port link-type hybrid //将接口配置为hybrid模式，默认就是这个
port hybrid pvid vlan 10 //相当于access的default vlan 10
port hybrid untagged vlan 10 //相当于access接口发送数据时剥离tag

2.当hybrid面对交换机时:

port hybrid tagged vlan 10 //相当于trunk的放行列表
port hybrid pvid vlan 10 //相当于trunk的pvid

一般来说所有的接口都是默认配置的，所以一般来说不安全，需要暂停VLAN

计算机包括相关的三层设备均无法识别带有TAG的帧，只能识别原始帧

作业

可以在核心交换机上使用 display lldp neighbor brief 查看邻居设备

第二十一课：交换基础（下）

华为 LLDP（链路层链路发现协议(LLDP) 思科CDP具有同样的效果

三层封装S DP D MAC PC2

ARP缓存找PC2的MAC地址，但是没有找到
发送ARP，request去寻找PC2的MAC地址（广播）

Voice VLAN应用（IP电话）

配置IP电话的接口必须配置成语音接口

通过配置Voice VLAN可以区分语音流量和业务流量

华为的交换机要配置语音模式，必须接口是hybrid模式

语音VLAN可以在划分的VLAN中选取一个作为语音网段

VLAN间路由

二层交换机是用来隔绝广播域的

单臂路由

要配置单臂，使用场景

1.trunk+子接口模式

单臂路由配置命令

sw

AR

interface g0/0/.10 // .10没有任何意义，只是一个编号

dotlq termination vid 10 //让其能够识别到TAG帧头的命令命令用来配置子接口Dot1q终结的单层VLAN ID。

arp broadcast enable //开启ARP广播；说明如果终结子接口未配置arp broadcast enable，一不能主动发送arp广播报文，二会直接将IP报文丢弃不进行转发

nterface g0/0/.20 // 开启第二个子接口

数据包的流转

ping 192.168.20.1 -c 1 //只ping1个包

三层交换机

在面对接口端是终端还有三层接口的时候需要配置Acc接口

案例2 (华为MUX-VLAN对标思科的PVLAN)

1.首先创建若干VLAN

2.选出一个VLAN做主VLAN

3.选出1个VLAN做隔离VLAN

4.选出若干VLAN做互通VLAN

主VLAN：所有的vlan都可以进行正常访问、

隔离VLAN：隔离VLAN只能访问主VLAN

配置命令：

VLAN视图 Mux-vlan；设置此VLAN为主LVAN

主VLAN视图 subordinate separate 200 300: // 创建隔离VLAN

主VLAN视图 subordinate group 300 400 // 选取300和400做为互通VLAN

接口下 port mux-vlan enable：将接口更改能MUX-VLAN可以使用

重点知识

1.若两个接口都启动MUX-VLAN功能，则使用MUX-VLAN的定义进行互访

2.若两个接口有一个或者全都没有使用MUX-VLAN功能，则依靠普通的VLAN的进行转发

3.MUX-VLAN只有本地有限，跨交换机无效（同一个局域网存在两个交换机那么必须两个交换机必须要使用一样的配置且所有接口必须都开启MAX-VLAN功能）

结构图

第二十二课：端口隔离+ARP代理+聚合VLAN+QinQ

端口隔离

VLAN可以用的编号：1~4094

配置隔离的命令

port group 1:设置端口组

互通组视图 group -member -g0/0/0 tog0/0/3：添加端口到端口组

port-isolate enable group group 1

配置单向隔离命令

am isolate g0/0/4:只能4口给5口发送信息；5口不能给4口发送信息

端口隔离原理

1.配置相同隔离组编号的端口之间不能互通

2.配置了隔离组的端口可以访问没有配置隔离的端口

3.配置了不同隔离组编号的端口之间可以互访

特殊使用方法-单向隔离

ARP代理

1.当这个接口收到ARP request以后，会根据ARP中的目的IP查找路由表
2.根据路由表的出接口，再次封装arp request报文，传递出这个ARP请求

配置APR代理命令

路由器端口 ARP-proxy enable ：开起ARP代理

ARP request报文的5个元素

1,报文类型：request

2. 源MAC

3.源IP

4.目的MAC

5.目的IP

VLAN内的ARP代理

interface Vlanif 10 ip address 192.168.1.254 255.255.255.0

arp-proxy inner-sub-vlan -proxy enble

通过三层交换机的机制来进行配置
同网段之间不需要

VLAN间的ARP代理

用于解决相同VLAN，不同用户隔离的

传统的网络部署中，经常因为IP地址匮乏，不够用导致使用VLSM技术，将地址分割成若干个小的网段分配给不同部门使用，来进行IP网段的隔离

聚合VLAN(当网络掩码越长时，浪费额IP地址就会越多)

原理：

1.创建若干个VLAN 10 20 30

2.指定一个聚合VLAN 30

3.指定若干个子VLAN 10 20

a 作为聚合VLAN，只能配置VLANIF作为各个VLAN的网关地址

b 所有子VLAN都可以和聚合VLAN进行互访

c 所有子VLAN之间不能进行二层互访

vlan聚合配置命令

vlan 30 // 进入vlan 30视图

aggregate-vlan // 配置聚合vlan

access-vlan 10 20 // 配置子vlan 成员

用于解决super-vlan的子vlan之间的互通问题

interface vlanif30

ip addres 192.168.1.254 255.255.255.0

arp-proxy inter-sub-vlan-proxy enable // 开起vlan间的arp代理功能

QinQ(802.1q)

拓展VLAN空间的技术，在原有的vlan上再进行封装一个VLAN tag

配置命令：

interface g0/0/1:进入接口

port link-type access

port d v 10

两个交换机的接口配置未Access 和trunk

进行配置vlan100-vlan200

两个交换机配置一个100 和200

第二十三课：灵活QinQ+端口安全+端口镜像

灵活QinQ图例

灵活QinQ配置命令

[接口下] port link-type hybrid :将接口配置为hybrid模式

[接口下] port hybrid untagged vlan 100 200:拆除 100 200的VLAN TAG

[接口下] qinq vlan-translation enable：使能接口VLAN转换功能

[接口下] port vlan-stacking vlan 10 stack-vlan 100:将遇到的vlan 10变成vlan 100

端口安全

ARP泛洪攻击

ARP欺骗攻击

同一终端设备不停的更改自己的MAC地址向交换机发送ARP报文，导致交换机MAC地址表不停的进行学习和记录

每秒钟钟岛上4000+报文；且原MAC地址不一样，接口down掉，MAC地址表迅速老化

MAC地址老化为（300秒），MAC地址形成一张CMA表表示放在内存中的，内存会存在溢出，卡顿的情况，交换机无法进行正常工作

端口安全操作

基于出现的ARP攻击的情况下，将接口下设置可以学习MAC地址数量

配置的安全端口默认是不会老化的，但可以通过命令设置强制老化时间，默认检测时间为1分钟检测一次

绝对老化：老化时间可能会超过5分钟

配置命令

[接口下] port-security enable ：开起端口安全功能；开启后，学习到的MAC地址会转化为安全MAC地址，一旦形成MAC表项，这个接口地址只能允许存在一个安全MAC地址表项

[接口下] port -security max-mac-mum 2:增加安全表项为2

[接口下] port-security aging-time 5 : 设置安全端口强制老化时间为5分钟

[接口下] port-security aging-time 5 absolute:给老化时间设置一种模式，absolute：绝对老化时间

[接口下] port-security aging-time 5 inactivuty：相对老化时间

MAC地址绑定

将接口绑定为固定的MADC地址，但是如果下面的终端很多的情况下，工作量巨大

stick

会在自己的交换机上生成一个一个文件进行存储

stick的安全MAC表项是没有老化时间的，也不能手动修改

sticku安全MAC地址数量，和端口安全的最大数量一致

这部分MAC地址表项会保存在Flash当中，不会因为机器重启而丢失

配置命令

【接口下】port-security mac-address +MAC地址：绑定接口MAC地址

【接口下】port-security mac-address sticky：基于粘滞的安全静态的MAC地址表项

【接口下】port-security protect-action :选择超限学习的惩罚动作

接口状态

protect

restrict

shutdown

端口镜像

定义

这种技术常用于审计监控，抓包等场景，将端口中的报文进行复制一份到其他的指定端口，其他的端口连接到审计的设备

镜像端口/源端口：提供复制的端口，也就是源端口

观察端口：接受源端口报文的端口

三种技术

SPAN(switch,port,anslyzer): 本地端口镜像

RSPAN ：二层远端端口镜像

ERSPAN ：三层远程端口镜像

本地端口镜像配置命令（SPAN）

配置观察端口

【switch】observe-port 1 interface gigabitethernet 0/0/2 :将0/0/2端口配置为观察端口

配置本地端口镜像端口

【switch】【端口下】port-mirriring to observe-port inbound:设置镜像端口，且把数据发送inbound（进入数据）

【switch】【端口下】port-mirriring to observe-port outbound:设置镜像端口，将出数据复制

【switch】【端口下】return

二层远程端口镜像（RSPAN）

交换的三种转发行为

泛洪：

转发：

丢弃:源进源出的数据会被丢弃

三层远程端口镜像（ERSPAN ）

配置命令

首先必须建立路由器的OSPF邻居关系

【路由器系统页面】observe-server destomation-ip 192.168.2.1 source-ip1.1.1.1: source IP无所谓，不需要回传知道数据；指定PC6为远端端口观察服务器

【AR1-G0/0/0接口】mirror to observe-server both ：将端口绑定到观察服务器

第二十四课：数据包捕获+STP

数据包捕获

数据包捕获配置命令（企业桥接手段）

【系统视图下】capture -packet interface gigabitEthernet 0/0/0 destinationfile 1.cap ：将g0/0/0的流量捕获出来存放在flash终，文件名为1.cap

【系统视图下】tftp

STP

定义

因为在二层冗余的网络中，由于交换机的转发行为，在二层网络中造成环路的想象，而环路会带来：

二层环路

1.广播风暴

2.MAC地址表飘移（震荡）

3：接受重复的数据帧

三层环路

STP术语

根桥：为了房子和破除网络中的环路，STP工作使用的一个参考点生成树的大脑

桥ID：桥优先级（缺省值32768，且必须是4096的倍数）+背板MAC地址

root ID:指根桥的桥ID（更多的是从BPDU报文中看到）

非根桥：除了根桥意外的交换机都叫做非根桥，也叫做非根桥交换机

端口ID：就是指PID，端口优先级+端口编号，（缺省值为128.且必须是16的倍数+）

RPC：root path cost：根路径开销

根端口：非根交换机上去往根端口最近的端口（用来接受根桥发来的BPDU）

指定端口：会在每一条链路上选出一个指定端口，用来发送BPDU

BUDU：桥协议单元，是STP工资的唯一报文

STP常用命令

【系统视图】display vridge mac-address // 查看交换机的背板MAC地址(华为交换机每个接口都为一个MAC地址)

【系统视图】stp mode //修改交换机生成树协议

【系统视图】 stp timer hello 300 // 修改本交换机的BPDU报文发送间隔

【接口下】stp port priority 16 // 修改接口的STP的优先级

【系统视图】stp priority 0 // 修改桥优先级

【系统视图】stp timer max-age ?：修改BUDU老化时间

STP相关知识

STP路径计算方式

IEEE802.1标准方式（2W）

为什么桥优先级是4096的倍数

STP报文

报文信息

Port Identifier:端口ID 0x8002(16进制表示)=128.2

Root Identifier : 根桥ID 默认32768

Root Bridge Cost:根桥开销

Message age（消息寿命）:最大跳数，每经过一台交换机就会+1.最大20S

Hello Time: BPDU多久时间发送一次默认2秒

Forward Delay:转发时延默认15秒

交换机的信息介绍

图例

STP根桥选举步骤

1.每一个根桥ID都默认为32768，然后比较MAC，MAC前6位为OUI（厂家标识符）

2.如果根桥ID一样的情况下，对比MAC地址第7位大小决定根桥

STP的工作流程

1.选取根桥

根桥的选举使用桥ID来选举（每个交换机都会向相邻的交换机发送BPDU报文）

相比较优先级，数值越小，越优先，优先级比较不出来，那么比较交换机的背板MAC地址，越小越优

2.在每个非根交换机上选取根端口（RP）

选举原则：非根交换机的接受到最好的BPDU的接口为根端口

如何评判好的BPDU

A:root id :选举根桥后，BPDU一样，无法选举

B: PRC(Root Path Cost)：// 从接口收到的BPDU中细带的RPC数值越小越优

C: sender BID // 对比端口发来的优先级和背板MAC

D :sender PID

E: local PID

3.在每条链路上选取一个指定端口（DP）

在交换机选举出根端口以后，将会自己为所有的DP接口计算出一个未来需要发送的BPDU参数

1.root id 根桥的ID

2.rpc // 自己达到根桥的RPC

3.sender BID // 自己的桥ID

4.sender PID // 自己认为的DP接口的PID

这个参数准备完成，这个链路上的两个接口都会发出认为自己是DP接口的BPDU，将会进行PK，收到BPDU后，比较之后，认为自己的BPDU更好的话，那么DP接口不会改变角色，收到对端BPDU后，比较之后，认为自己的BPDU不够优秀，那么DP接口会改变为AP（阻塞）

第二十五课：RSTP

STP补充知识

STP的端口状态

disable // 没有开起STP的端口，或者关闭接口也处于disable状态，该状态不处理任何BPDU

istening // 接受BPDU报文，不学习MAC地址，不转发数据

learning // 接受BPDU报文，发送BPDU报文，学习MAC地址，不转发数据

forwarding // 接受BPDU报文，发送BPDU报文，学习MAC地址，转发数据

blocking // 接受BPDU报文，不发送BPDU报文，不学习MAC地址，不转发数据

listening→learning 需要一个转发延时，15S

learning→forwarding 需要一个转发时延，15S

STP的几个计时器

hello time // 2S一次（BPDU的发送频率）

max age // 20S 老化时间（20S没有收到上游发送的BPDU，就会造反）

forwarding delay // 转发时延 15S

message age 每转发一次+1，默认最大不超过20跳

拓扑变化

当交换机发生拓扑变化，会发送TCN BPDU报文给根桥

途径的交换机会给原始交换机回应 TCA BPDU报文，兵器将TCN BPDU报文转发给根桥，根桥收到TCN BPDU后，会发送TC TCA BPDU给原始交换机，并将沿途交换机的MAC地址老化时间强制修改为15S

STP缺点：

网络拓扑收敛较慢（STP从初始状态到完全收敛至少需要30S）

STP的拓扑变更机制

快速生成树协议

802.1D：STP

802.1W：RSTP

802.1S : MSTP

RSTP

RSTP改进区域

端口角色的重新划分

1.备份端口（Backup Port）// 给DP端口做备份

2.预备端口（Alternate Port）// 给RP端口做备份 (后续堵塞端口)

端口状态进行优化

discarding
learning
forwarding

RSTP的快速收敛机制

1.P/A机制

1.双方进行发送BPDU报文进行PK，置位P/A yes进行对比
2.胜出的一方继续置位P/A，
3.失败一方置位A，但不置位B进行确认发送BPDU报文

2.根端口快速切换机制

AP为RP做备份的情况，RP中断后，AP直接开起，不需要转发延时状态更改

3.次级BPDU立即处理，配合P/A机制

阻塞端口收到次级BPDU，会立刻发送BUDU,且从AP到DP，重新P/A置位

4.EP（边缘端口）后方连接的PC电脑

【接口视图】stp edged-enble // 开起此端口为边缘端口，不会进行STP收敛工作

RSTP报文

报文

第二十六课：STP保护

补充知识

RSTP和STP从原理流程上讲，实际是一样的：
1、选择根桥。
2、非根交换机选取根端口
3、每条链路上选取指定端口
4、剩下的就是阻塞端口
实际上两个协议最终的目的都是为了破除环路以及链路备份。I

P/A机制

在BPDu报文中的flags字段中，使用proposal和agreement置位来进行P/A协商。
8bit:
1、TCA //在RSTP中这个字段无效
2、agreement //P/A机制中的A，
3、forwarding //转发状态
4、learning //学习状态
5、role //端口角色 (2bit) RPDPBPAP
6、 proposal //P/A机制中的P，用来协商
7、TC // 拓扑改变后发送TC-BPDU，用来将沿途交换机的MAC地址以及ARP表老化

什么情况下处理P/A机制

端口为指定端口

端口状态为discarding

链路状态为点到点

华为在事项STP时参考了RSTP的相关功能

1、端口状态的优化

2、端口角色的优化

3、对于AP接口的优化，可以处理次级BPDU了

4、可以支持EP端口（端口配置为边缘端口后，UP之后立即进入转发状态）

EP（边缘端口）

1、当配置了边缘端口，那么该端口默认情况下不进行BPDU收敛工作

2、当端口UP后，会理科进入到转发状态，事项快速转发

注意事项

1.当边缘端口收到BPDU后，该端口变成普通端口，进行生成树收敛工作

2.边缘端口虽然不会进行BPDU收敛工作，但是边缘端口会定期发送BPDU

3.当检测到自己发出的BPDU从其他边缘端口收进来时，会判断为环路，然后2个边缘端口会变成普通端口，进行生成树收敛工作

次优路径：放着更好的路线不走，选择更差的链路路线

STP保护

BPDU保护（出现的原因）

由于边缘端口存在一定的风险，当外接了支持生成树功能的交换机以后，可能会对网络导致
1.网络中断
2.根桥移主，产生次优路径
3.会对网络产生频繁的震荡

解决办法

第一种：BPDU保护

作用对象：配置在边缘端口（EP），其他的端口没有效果

作用原理：当边缘端口配置了BPDU保护以后，边缘端口在收到BPDU后，该接口会进入err-down状态
端口状态会变成discarding

配置命令

【接口下】stp edged-port enable // 接口下开起边缘端口特性

【系统视图】stp bpdu-protection // 全局开起针对边缘端口的BPDU的保护功能

【系统视图】error-down auto-recovery cause interval 30 // error-down状态自动恢复

第二种：根端口保护

作用对象：所有的普通的端口

作用原理：如果一个接口没有开起边缘端口特性，那么这个接口就无法使用BPDU保护功能来房子STP共攻击，根保护功能可以强制一个接口永远是指定端口，房子周围的交换机成为根桥，当一个端口开起了根保护以后，一旦收到了BPDU，那么接口角色不变，接口状态更改为discarding

配置命令

【接口下】stp root-protection // 在接口视图下配置根保护功能

恢复：当接口不在收到BPDU后，将会进入到正常的STP收敛过程，理论上经过2个转发延时恢复

第三种：环路保护

现象：在一家形成环路的交换网络中，由于网络延时或单项故障，导致一根端口无法收到上游的BPDU，那么接口老化以后，RP转化为DP。接口变味discarding状态，经过2个转发延时后，变为forwardding状态，将导致网络中出现环路

作用：为了防止这种环路，对根端口开起环路保护后，在无法收到上游的BPDU后，改端口变成DP端口，并且保持discarding状态，环路保护可以在根端口和预备端口开启

配置命令

【接口下】stp loop-protection 在根端口下配置环路i保护

恢复

当该端口再次受到上有的BPDU后，恢复

第四种：TC-BPDU泛洪保护

配置命令

【接口下】 stp testrition enable // 开启TC-BPDU泛洪保护

【系统视图】 stp tc-protection threshold 5在单位时间内只能接受5次

【系统视图】 stp tc-protection interval 10 针对TC-BPDU保护功能单位时间为10S

以上三条命令的含义：在全局配置TC-BPDU保护在10秒钟之内只能接受5次，然后再接口下开起TC-BPDU保护功能

老化时间

STP老化时间为20S

RSTP的老化时间为18S

第二十七课：MSTP VRRP

RSTP// STP存在的缺点

1.次优路径

2.链路不能负载分担

3.部分VLAN路径不通

MSTP（多实例生成树协议）

协议：IEEE

STP:802.1D

RSTP // 802.1W

MSTP // 802.1S

802.1T又叫做dot1t,式交换机用来计算接口RPC的

优点：既可以快速收敛，有提供了多个冗余路径，时间多VLAN的负载均衡

配置命令

【系统视图】STP MODE MSTP 家谱换季缺省就是MSTP

首先需要MST规划一个域，属于这个域的MST配置要完全一样

【系统视图】 stp region-configuration // 进入MSTP域配置视图

【MST域视图下】region-name hawei // 配置MST 域名名字

注释：如果名字忘记配置，将会以交换机背板MAC地址作为MST名字

【MST域视图下】revision-level 1 // 0-6535 配置MST域修订级别

接下来要在MST域内配置MSTI,配置实例（树）

【MST域视图下】instance 1 vlan 10 // 创建实例1，将VLAN 10放入实例

【MST域视图下】instance 2 vlan 20 // 创建实例2，将VLAN 20放入实例

缺省状态下， MST会将所有VLAN放入instance 0中

【MST域视图下】 active region-configuration // 激活以上所有配置

通过dis this查看不到，不会立刻生效

注释：所有交换机虽然配置了相同的MST配置，但是要在交换机之间配置trunk链路，计算MSTP

【系统视图下】instance 1 root primary // 把交换机1配置成实例1的根桥

【系统视图下】stp instance 1priority 0 和上面命令一个作用

【系统视图下】instance 2 root primary // 把交换机2配置成实例2的根桥

【SW2系统视图下】stp instance 1 root secondary // 把交换机2配置成实例1的备份根桥

【SW2系统视图下】stp instance 2 root primary // 把交换机2配置成实例2的根桥

【SW1系统视图下】stp instance 2 root secondary // 把交换机1配置成实例2的备份根桥

查看命令

【SW1系统视图】display stp instance 1 brief // 查看某个实例（树）的接口角色和状态情况

【SW1系统视图】display stp region-configuration // 查看该交换机MSTP相关参数

VRRP

VRRP基本信息描述

VRRP能够在不改变组网的情况下，将多台路由器虚拟成一个虚拟路由器，通过配置虚拟路由器的IP地址为默认网关，实现网关的备份

协议版本：VRRPV2(常用)和VRRPV3

VRRPV2适用于IPV4;VRRPV3适用于IPV4;IPV6

报文：Adcertisement报文；其目的IP地址为；224.0.0.18；目的MAC地址为；01-00-5e-00-01-12;协议号为112

配置命令

【SW1系统视图】interface vlanif 10 // 三层交换机上配置VLANIF

【SW1-VLANIF10系统视图】ip address 192.168.10.253 24 // 配置VLAN IF的I地址

【SW2系统视图】interface vlanif 10// 三层交换机上配置VLANIF

【SW2-VLANIF10系统视图】ip address 192.168.10.252 24 // 配置VLAN IF的I地址

配置VRRP

注释：配置联合MSTP一起参考，因为VLAN10的主根在SW1，所以VLAN10的网关master建议配置在SW1上

【SW1-VLANIF10系统视图】 vrrp vrid 1 virtual-ip 192.168.10.254 // 在SW1的VLAN IF10接口上开起VRRP

【SW1-VLANIF10系统视图】 vrrp vrid 1 priority 105 // 配置优先级，数值要比SW2的高

【SW2-VLANIF10系统视图】 vrrp vrid 1 virtual-ip 192.168.10.254 //在SW2的VLAN IF10接口上开起VRRP

注释：SW2上的VLAN10的vrrp优先级缺省为100，比SW1的105小，所以不需要额外配置

【SW1】display vrrp brief //查看当前设备的VRRP的主备情况

单臂回声

【SW1】BFD // 开起路由器的BFD功能

【SW1】BFD bind peer - ip 12.1.1.2 source-ip 12.1.1.1 auto commit // 在交换机1中配置BFD

【R1】BFD bind peer - ip 12.1.1.1 source-ip 12.1.1.2 auto commit // 在路由器R1配置BFD

【SW1】display bfd session all //查看当前BFD状态

接下来配置VRRP与BFD联动

【SW1-VLANIF10系统视图】VRRP vrid 1 track bfd-session session-name2 // 配置vrrp与BFD的联动，当BFD失效后，该VRRP组优先级会减去20

图例

VRRP查看参数

第二十八课：综合实验

实验结构图例

实验要求：

二层/三层架构要求

配置全部命令

二层配置

第一步：配置S1和S2链路聚合命令

S1交换机的配置命令

【S1】interface Eth-Trunk 12 // 创建Eth-Trunk接口并进入Eth-Trunk接口视图

【S1-Eth-Trunk12】 mode manual load-balance // 更改模式为手动负载分担模式

【S1-Eth-Trunk12】 load-balancec src-mac // 配置Eth-Trunk接口基于源MAC地址进行负载分担

【S1-Eth-Trunk12】 trunkport GigabitEthernet 0/0/1 0/0/2 // 将0/01和0/0/2加入到Eth-trunk成员当中

S2交换机的配置命令

【S2】interface Eth-Trunk 12 // 创建Eth-Trunk接口并进入Eth-Trunk接口视图

【S2-Eth-Trunk12】 mode manual load-balance // 更改模式为手动负载分担模式

【S2-Eth-Trunk12】 load-balancec src-mac // 配置Eth-Trunk接口基于源MAC地址进行负载分担

【S2-Eth-Trunk12】 trunkport GigabitEthernet 0/0/1 0/0/2 // 将0/01和0/0/2加入到Eth-trunk成员当中

验证查看命令

【S2】display eth-trunk //查看eth-trunk相关信息

【S1-Eth-Trunk12】mode manual load-balance // 更改模式为手动负载分担模式

第二步：配置S1和S2和S3和S4的VLAN

补充信息

注释：首先查看需不需要配置VLAN需要确认是中间有没有路由器

基础vlan信息配置

【S1】vlan batch 100 101 200 // 配置S1vlan 100 101 200

【S2】vlan batch 100 101 200 // 配置S2vlan 100 101 200

【S3】vlan batch 100 101 200 // 配置S3vlan 100 101 200

【S4】vlan batch 100 101 200 // 配置S4vlan 100 101 200

配置Access / trunk信息

SW1配置

S1-G5口操作

【S1-GigabitEthernet0/0/5】port link-type trunk // 改变vlan模式为trunk

【S1-GigabitEthernet0/0/5】port trunk allow-pass vlan all // 放行所有vlan

【S1-GigabitEthernet0/0/5】undo port trunk allow-pass vlan 1 // 拒绝Vlan1通行

S1-G4口操作

【S1-GigabitEthernet0/0/4】port link-type trunk // 改变vlan模式为trunk

【S1-GigabitEthernet0/0/4】port trunk allow-pass vlan all // 放行所有vlan

【S1-GigabitEthernet0/0/4】undo port trunk allow-pass vlan 1 // 拒绝Vlan1通行

S1-G3口操作

【S1-GigabitEthernet0/0/3】port link-type trunk // 改变vlan模式为trunk

【S1-GigabitEthernet0/0/3】port trunk allow-pass vlan all // 放行所有vlan

【S1-GigabitEthernet0/0/3】undo port trunk allow-pass vlan 1 // 拒绝Vlan1通行

S1-Eth-Trunk12操作

【S1-Eth-Trunk】port link-type trunk // 改变vlan模式为trunk

【S1-Eth-Trunk】port trunk allow-pass vlan all // 放行所有vlan

【S1-Eth-Trunk】undo port trunk allow-pass vlan 1 // 拒绝Vlan1通行

SW2配置

S2-G4口操作

【S2-GigabitEthernet0/0/4】port link-type trunk // 改变vlan模式为trunk

【S2-GigabitEthernet0/0/4】port trunk allow-pass vlan all // 放行所有vlan

【S2-GigabitEthernet0/0/4】undo port trunk allow-pass vlan 1 // 拒绝Vlan1通行

S2-G5口操作

【S2-GigabitEthernet0/0/5】port link-type trunk // 改变vlan模式为trunk

【S2-GigabitEthernet0/0/5】port trunk allow-pass vlan all // 放行所有vlan

【S2-GigabitEthernet0/0/5】undo port trunk allow-pass vlan 1 // 拒绝Vlan1通行

S2-G3口操作

【S2-GigabitEthernet0/0/3】port link-type trunk // 改变vlan模式为trunk

【S2-GigabitEthernet0/0/3】port trunk allow-pass vlan all // 放行所有vlan

【S2-GigabitEthernet0/0/3】undo port trunk allow-pass vlan 1 // 拒绝Vlan1通行

S2-Eth-Trunk12操作

【S2-Eth-Trunk】port link-type trunk // 改变vlan模式为trunk

【S2-Eth-Trunk】port trunk allow-pass vlan all // 放行所有vlan

【S2-Eth-Trunk】undo port trunk allow-pass vlan 1 // 拒绝Vlan1通行

SW3配置

S3-G4口操作

【S3-GigabitEthernet0/0/4】port link-type trunk // 改变vlan模式为trunk

【S3-GigabitEthernet0/0/4】port trunk allow-pass vlan all // 放行所有vlan

【S3-GigabitEthernet0/0/4】undo port trunk allow-pass vlan 1 // 拒绝Vlan1通行

S3-G1口操作

【S3-GigabitEthernet0/0/1】port link-type access // 改变vlan模式为access

【S3-GigabitEthernet0/0/1】port default vlan 100 //给予vlan为100

S3-G3口操作

【S3-GigabitEthernet0/0/3】port link-type trunk // 改变vlan模式为trunk

【S3-GigabitEthernet0/0/3】port trunk allow-pass vlan all // 放行所有vlan

【S3-GigabitEthernet0/0/3】undo port trunk allow-pass vlan 1 // 拒绝Vlan1通行

SW4配置

S4-G3口操作

【S4-GigabitEthernet0/0/3】port link-type trunk // 改变vlan模式为trunk

【S4-GigabitEthernet0/0/3】port trunk allow-pass vlan all // 放行所有vlan

【S4-GigabitEthernet0/0/3】undo port trunk allow-pass vlan 1 // 拒绝Vlan1通行

S4-G4口操作

【S4-GigabitEthernet0/0/4】port link-type trunk // 改变vlan模式为trunk

【S4-GigabitEthernet0/0/4】port trunk allow-pass vlan all // 放行所有vlan

【S4-GigabitEthernet0/0/4】undo port trunk allow-pass vlan 1 // 拒绝Vlan1通行

S4-G1口操作

【S3-GigabitEthernet0/0/1】port link-type access // 改变vlan模式为access

【S3-GigabitEthernet0/0/1】port default vlan 101 //给予vlan为101

第三步：配置S1和S2和S3和S4的MSTP

注释：华为交换机默认就是MSTP

MSTP配置

SW1配置命令

【S1】stp region-configuration // 进入MST域视图

【S1-mst-region】region-name HUAWEI // 配置域名为HUAWEI

【S1-mst-region】revision-level 12 // 修订级别

【S1-mst-region】instance 10 vlan 100 //将vlan100放入到实例10中

【S1-mst-region】instance 20 vlan 101 //将vlan101放入实例20中

【S1-mst-region】active region-configuration // 激活配置

【S1-mst-region】 dis this // 查看配置是否正常

SW2配置命令

【S2】stp region-configuration // 进入MST域视图

【S2-mst-region】region-name HUAWEI // 配置域名为HUAWEI

【S2-mst-region】revision-level 12 // 修订级别

【S2-mst-region】instance 10 vlan 100 //将vlan100放入到实例10中

【S2-mst-region】instance 20 vlan 101 //将vlan101放入实例20中

【S2-mst-region】active region-configuration // 激活配置

SW3配置命令

【S3】stp region-configuration // 进入MST域视图

【S3-mst-region】region-name HUAWEI // 配置域名为HUAWEI

【S3-mst-region】revision-level 12 // 修订级别

【S3-mst-region】instance 10 vlan 100 //将vlan100放入到实例10中

【S3-mst-region】instance 20 vlan 101 //将vlan101放入实例20中

【S3-mst-region】active region-configuration // 激活配置

SW4配置命令

【S4】stp region-configuration // 进入MST域视图

【S4-mst-region】region-name HUAWEI // 配置域名为HUAWEI

【S4-mst-region】revision-level 12 // 修订级别

【S4-mst-region】instance 10 vlan 100 //将vlan100放入到实例10中

【S4-mst-region】instance 20 vlan 101 //将vlan101放入实例20中

【S4-mst-region】active region-configuration // 激活配置

设置S1作为实例10的主根，S2作为实例10的备份根，S2作为实例20的主根，S1作为实例20的备份根

SW1配置命令

【S1】stp instance 10 root primary // 将实例10作为主根

【S1】stp instance 20 root secondart // 将实例20作为备份根

SW2配置命令

【S2】stp instance 10 root secondart //将实例10作为备份根

【S2】stp instance 20 root primary //将实例20作为主根

第四步：配置EP端口

交换机EP全局模式开起

SW1配置

【S1】stp edged-port default //配置全局EP端口模式

SW2配置

【S2】stp edged-port default //配置全局EP端口模式

SW3配置

【S3】stp edged-port default //配置全局EP端口模式

SW4配置

【S4】stp edged-port default //配置全局EP端口模式

取消交换机互联接口配置（对方能够发送BPDU报文的交换机线路才需要关闭，路由器无法发送BPDU）

SW1配置

【S1-Eth-Trunk12】stp edged-port disable // 关闭聚合链路EP接口模式

【S1-G0/0/4】stp edged-port disable // 关闭G4EP接口模式

【S1-G0/0/3】stp edged-port disable // 关闭G3EP接口模式

SW2配置

【S2-Eth-Trunk12】stp edged-port disable // 关闭聚合链路EP接口模式

【S2-G0/0/4】stp edged-port disable // 关闭G4EP接口模式

【S2-G0/0/3】stp edged-port disable // 关闭G3EP接口模式

SW3配置

【S3-G0/0/4】stp edged-port disable // 关闭G4EP接口模式

【S3-G0/0/3】stp edged-port disable // 关闭G3EP接口模式

SW4配置

【S4-G0/0/4】stp edged-port disable // 关闭G4EP接口模式

【S4-G0/0/3】stp edged-port disable // 关闭G3EP接口模式

第五步：AR1和AR2单臂路由器配置

AR1配置

.100子接口配置

【AR1】interface g0/0/0.100 // 创建.100子接口

【AR1-G0/0/0.100】dotlq termination vid100 // 接口Dot1q终结的单层VLAN ID 100

【AR1-G0/0/0.100】ip address 10.1.100.252 24 // 给.100子接口配置IP地址

【AR1-G0/0/0.100】arp broadcast enable // 开起子接口ARP广播

.101子接口配置

【AR1】interface g0/0/0.101 // 创建.101子接口

【AR1-G0/0/0.101】dotlq termination vid101 // 接口Dot1q终结的单层VLAN ID 101

【AR1-G0/0/0.101】ip address 10.1.101.252 24 // 给.100子接口配置IP地址

【AR1-G0/0/0.101】arp broadcast enable // 开起子接口ARP广播

AR2配置

.100子接口配置

【AR2】 interface g0/0/0.100 // 创建.100子接口

【AR2-G0/0/0.100】dotlq termination vid100 // 接口Dot1q终结的单层VLAN ID 100

【AR2-G0/0/0.100】ip address 10.1.100.253 24 // 给.100子接口配置IP地址

【AR2-G0/0/0.100】arp broadcast enable // 开起子接口ARP广播

.101子接口配置

【AR2】interface g0/0/0.101 // 创建.101子接口

【AR2-G0/0/0.101】dotlq termination vid101 // 接口Dot1q终结的单层VLAN ID 101

【AR2-G0/0/0.101】ip address 10.1.101.253 24 // 给.101子接口配置IP地址

【AR2-G0/0/0.101】arp broadcast enable // 开起子接口ARP广播

第六步：配置AR1和AR2的ARRP

AR1配置

.100子接口

【AR1-.100】vrrp vrid 1 virtual-ip 10.1.100.254 // 命令用来创建VRRP备份组并为备份组指定虚拟IP地址

【AR1-.100】vrrp vrid priority 105 // 设置vrrp优先级

【AR1-.100】vrrp vrid 1 perrmpt-mode timer delay 60 // 设置抢占延迟为60秒 // 配置抢占延迟（避免出现黑洞）

.101子接口

【AR1-.101】vrrp vrid 2 virtual-ip 10.1.100.254 // 命令用来创建VRRP备份组并为备份组指定虚拟IP地址

AR2配置

.100子接口

【AR2-.100】vrrp vrid 1 virtual-ip 10.1.100.254 // 命令用来创建VRRP备份组并为备份组指定虚拟IP地址

.101子接口

【AR2-.101】

【AR1-.100】vrrp vrid 1 virtual-ip 10.1.100.254 // 命令用来创建VRRP备份组并为备份组指定虚拟IP地址

【AR1-.100】vrrp vrid priority 105 // 设置vrrp优先级

【AR1-.100】vrrp vrid 1 perrmpt-mode timer delay 60 // 设置抢占延迟为60秒 // 配置抢占延迟（避免出现黑

第七步：配置专线服务提供商QinQ

配置命令

ISP-1配置

【ISP-1】vlan 1000 // 创建VLAN 1000

G0/0/24接口

【ISP-1-G0/0/24】port link-type dot1q-tunnel

【ISP-1-G0/0/24】port default vlan 1000

G0/0/1接口

【ISP-1-G0/0/1】 port link-type trunk

【ISP-1-G0/0/1】port trunk allow-pass vlan 1000

ISP-2配置

【ISP-2】vlan 1000 // 创建VLAN 1000

G0/0/1接口

【ISP-2-G0/0/1】port link-type trunk

【ISP-2-G0/0/1】port trunk allow-pass vlan 1000

G0/0/24接口

【ISP-2-G0/0/24】port link-type dot1q-tunnel

【ISP-2-G0/0/24】port default vlan 1000

S2配置

【S2-G0/024】 port link-type access

【S2-G0/024】port default vlan 200

第八步：配置MUX-VLAN

S5 -MUX-vlan

【S5】vlan batch 200 201 202

【S5】vlan 200

【S5-vlan200】mux-vlan

【S5-vlan200】subordinate group 201 202

S5-vlan 配置

G0/0/24---VLAN配置

【S5-G0/024】port link access

【S5-G0/024】port default vlan 200

【S5-G0/024】port mux-vlan enable

G0/0/3---VLAN配置

【S5-G0/0/3】port link access

【S5-G0/0/3】port default vlan 201

【S5-G0/0/3】port mux-clan enable

G0/0/4---VLAN配置

【S5-G0/0/4】port link access

【S5-G0/0/4】port default vlan 202

【S5-G0/0/4】port mux-vlan enable

G0/0/1---VLAN配置

【S5-G0/0/1】port link access

【S5-G0/0/1】port default vlann 200

【S5-G0/0/1】port mux-vlan enable

第九步：AR1/AR2/AR3/AR4/GW进行地址配置

第一步：配置AR2/GW/AR3/AR4；IP地址

AR2

【AR2】int g0/0/0.200 // 创建一个200的子接口

【AR2.G0/0/0.200】dot1q terminbation vid 200

【AR2.G0/0/0.200】ip address 10.1.234.2 24

【AR2.G0/0/0.200】arp broadcast enable

GW

【GW-0/0/0】ip address 10.1.234.1 24

AR3

【AR3-G0/0/0】ip address 10.1.234.3 24

AR4

【AR4-G0/0/0】ip address 10.1.234.4 24

第十步：配置研发楼1和2无法互访

S8.

整体配置

【S8】vlan 102 // 配置vlan 102

【S8】port -group-1 \\创建端口组

【S8-port-group-1】group-member g0/01 to g0/0/3 // 将g0/0/1 g0/0/2 g0/0/3添加到端口1组

【S8-port-group-1】port lingk-type access

【S8-port-group-1】port default vlan 102

【S8.G0/0/2】

【S8.G0/0/2】port -isolate enable group 1 //隔离组在一个组内的是无法正常访问的

【S8.G0/0/1】

【S8.G0/0/3】port -isolate enable group 1 //隔离组在一个组内的是无法正常访问的

AR3

【AR3-G0/0/1】ip address 10.1.102.254 // 设置研发部的出口网关

三层配置

第一步：AR1\AR2\AR3\AR4\GW 5台路由器运行OSPF协议

注释：

AR1 IP设置

【AR1-G0/0/1】ip address 12.1.1.1 24 // 设置接口G1的IP地址

【AR1-G0/0/2】ip address 60.30.1.1 24 // 设置接口G2的IP地址

OSPF

AR1

【AR1】ospf 100 router-id 1.1.1.1

【AR1-ospf--100】area 0 // 创建区域号为0

【AR1-ospf--100--area--0.0.0.0】network 12.1.1.1 0.0.0.0

【AR1-ospf--100--area--0.0.0.0】network 10.1.100.252 0.0.0.0

【AR1-ospf--100--area--0.0.0.0】network 10.1.101.252 0.0.0.0

AR2 IP设置

【AR2-G0/0/1】ip address 12.1.1.2 24 // 设置接口G1的IP地址

【AR2-G0/0/2】ip address 70.30.1.1 24 // 设置接口G1的IP地址

OSPF

【AR2】OSPF 100 router-id 2.2.2.2

【AR2-OSPF-100-area-0.0.0.0】network 10.1.100.253 0.0.0.0

【AR2-OSPF-100-area-0.0.0.0】network 10.1.101.253 0.0.0.0

【AR2-OSPF-100-area-0.0.0.0】network 10.1.234.2 0.0.0.0

【AR2-OSPF-100-area-0.0.0.0】network 12.1.1.2 0.0.0.0

静默接口

AR1配置

【AR1】ospf 100

【AR1-OSPF-1】silent-interface GigabitEthernet 0/0/0.100 // 命令用来禁止接口接收和发送OSPF报文

【AR1-OSPF-1】silent-interface GigabitEthernet 0/0/0.101 // 命令用来禁止接口接收和发送OSPF报文

AR2配置

【AR1】ospf 100

【AR1-OSPF-1】silent-interface GigabitEthernet 0/0/0.100 // 命令用来禁止接口接收和发送OSPF报文

【AR1-OSPF-1】silent-interface GigabitEthernet 0/0/0.101 // 命令用来禁止接口接收和发送OSPF报文

第二步：业务楼和研发楼路由器合理配置

OSPF基本配置

AR3

【AR3】ospf 100 router-id 3.3.3.3

【AR3-OSPF-100】area 0

【AR3-OSPF-100-area-0.0.0.0】network 10.1.234.3 0.0.0.0

【AR3-OSPF-100-area-0.0.0.0】network 10.1.102.254 0.0.0.0

AR4

【AR4-g0/0/1】ip address 10.1.13.254 24

【AR4】ospf 100 router-id 4.4.4.4

【AR3-OSPF-100】area 0

【AR3-OSPF-100-area-0.0.0.0】network 10.1.234.4 0.0.0.0

【AR3-OSPF-100-area-0.0.0.0】network 10.1.103.254 0.0.0.0

GW

【GW-G0/0/0】 ip address 1.1.234.1 24

【GW-G0/0/2】ip address 80.3.1.1 24

【GW】ospf 100 router-id 5.5.5.5

【GW-ospf-100】 area 0

【GW-OSPF-100-area-0.0.0.0】netwoek 10.1.234.1 0.0.0.0

AR3和AR4是在MUX-VLAN里面需要继续配置合理性

【AR3】int g0/0/3

【AR3- g0/0/3】ospf dr-priority 0 配置路由器的优先级，用于选举OSPF网络中的DR .0不参与选举DR

【AR4】int g0/0/0

【AR4- g0/0/0】ospf dr-priority 0 配置路由器的优先级，用于选举OSPF网络中的DR 0不参与选举DR

【AR2 】int g0/0/0.200

【AR2 g0/0/0.200】ospf dr-priority 255

【GW】int g0/0/0

【GW-g0/0/0】ospf dr-priority 254

第三步: ISP-ACC配置

E0/0/1接口

【ISP-ACC】vlan batch 2000 2001

【ISP-ACC -E0/01】port link-type accesss

【ISP-ACC -E0/01】port default vlan 2000

E0/0/3接口

【ISP-ACC -E0/01】port link-type accesss

【ISP-ACC -E0/01】port default vlan 2000

E0/0/2接口

【ISP-ACC -E0/02】port link-type accesss

【ISP-ACC -E0/02】port default vlan 2001

E0/0/4接口

【ISP-ACC -E0/01】port link-type accesss

ISP-ACC -E0/04】port default vlan 2001

第四步：inter-1和inter-2配置

inter-1

【inter-1-g0/0/0】ip address 60.30.1.2 24

【inter-1】int LoopBack 0

【inter-1- LoopBack0】ip address 8.8.8.8 32

inter-2

【inter-2-g0/0/0】ip address 70.30.1.2 24

【inter-2】int LoopBack 0

【inter-2- LoopBack0】ip address 8.8.8.8 32

inter-3

【inter-3-g0/0/2】ip address 80.30.1.2 24

【inter-3】int LoopBack 0

【inter-3- LoopBack0】ip address 8.8.8.8 32

第五步：inter网络最优配置

AR1

【AR1】bfd // 开启BFD

【AR1】bfd 1 bind peer-ip 60.3.1.2 interface gigabitEthernet 0/0/2 one arm-echo // 开启bfd 1 用单臂回声我的G/0/0/2接口去探测的对端的绑定IP地址为60.3.1.2 每一秒钟用G0/0/2接口去ping 60.3.1.2这个接口，Ping通就是正常up，反之失败就down

【AR1-bfd-session-1】discriminator local 1 // 配置本地标识符

【AR1-bfd-session-1】commit // 提交

【AR1】display bfd session all :查看bfd端口状态

【AR1】ip route-static 0.0.0.0 0.0.0.0 60.30.1.2 track bfd -session 1 // track 用来联动bdf是否为up。如为UP前方生效，down为失效

【AR1】display bfd session all // 查看显示所有BFD会话的状态

【AR1】ospf-100

【AR1-ospf-100】 default-route-advertise // 只要路由表中存在缺省路由，就会被引入到OSPF当中

AR2

【AR2】bfd // 启用BFD

【AR2】bfd 1 bind peer-ip 70.30.1.2 interface GigabitEthERNET 0/02 one-arm -echo

【AR2-bfd-session1】discriminator local 1

【AR2-bfd-session1】 commit

配置静态路由

【AR2】ip route-static 0.0.0.0 0.0.0.0 70.30.1.2 track bfd-session 1

【AR2】ospf-100

【AR2-ospf-100】 default-route-advertise // 只要路由表中存在缺省路由，就会被引入到OSPF当中

GW

【GW】bfd // 启用BFD

【GW】bfd 1 bind peer-ip 80.30.1.2 interface GigabitEthERNET 0/02 one-arm -echo

【GW-bfd-session1】discriminator local 1

【GW-bfd-session1】 commit

配置静态路由

【GW】ip route-static 0.0.0.0 0.0.0.0 80.30.1.2 track bfd-session 1

【GW】ospf-100

【GW-ospf-100】 default-route-advertise // 只要路由表中存在缺省路由，就会被引入到OSPF当中

因为当Inter-2出现问题，AR2会走AR1也会走GW的情况需要再次设置

【AR2】interface g0/0/0.200

【AR2-g0/0/0.200】ospf cost 30

查看路由器的接口情况；display ip routing-table 0.0.0.0

目前对于R3还存在问题

AR2

【AR2】OSPF 100

【AR2-OSPF 100】default-route-advertise type 1 cost 20

AR1

【AR2】OSPF 100

【AR2-OSPF 100】default-route-advertise type 1 cost 20

注释：默认下发的缺省路由的类型是为2，将类型改成1后会累加内部的cost

第六步：配置AR1\AR2\GW的esay ip 技术,实现所有终端和服务器可以访问internet(8.8.8.8)

AR1

【AR1】acl 2000

【AR1-acl-basic-2000】rule permit

【AR1-g0/0/2】nat outbound 2000

AR2

【AR2】acl 2000

【AR2-acl-basic-2000】rule permit

【AR2-g0/0/2】nat outbound 2000

GW

【AR2】acl 2000

【AR2-acl-basic-2000】rule permit

【AR2-g0/0/2】nat outbound 2000

第七步：VRRP和bfd的联动

AR1

【AR1-G0/0/0.100】vrrp vrid 1 track bfd-session 1

AR2

【AR2-G0/0/0.101】vrrp vrid 2 track bfd-session 1

VRRP的优先级配置

【AR1】

【AR1】vrrp vrid 1track bfd-session 1 reduced 21 //更改切换备份的参数值

【AR1】bfd 2 bind peer-ip 12.1.1.2 source-ip 12.1.1.1 auto

【AR1-bfd-session-2】commit

【AR2】

【AR2】vrrp vrid 1track bfd-session 1 reduced 21 //更改切换备份的参数值

【AR2】bfd 2 bind peer-ip 12.1.1.1 source-ip 12.1.1.2 auto

【AR2】-bfd-session-2】commit

【AR1-G0/0/0.101】

【AR1-G0/0/0.101】vrrp vrid 2track bfd-session name 2 increased 20

【AR1-G0/0/0.100】

【AR1-G0/0/0.101】vrrp vrid 2track bfd-session name 2 increased 21

【AR1-G0/0/0.101】

【AR1-G0/0/0.101】bfd 3 bind peer-ip 10.1.101.253 auto

【AR2】-bfd-session-3】commit

异常知识点

1.缺省路由

2.路由黑洞

3.免费ARP

4.宣告知识

1.精确宣告 network 12.1.1.1 0.0.0.0

2.网段宣告 network 12.1.1.0 0.0.0.255

5.ISP-ACC

双运营商的情况下，下方一般会放置2台堆叠的交换机，一个运营商插一个真实的交换机上面，vlan 隔绝，避免运营商之间的泛洪问题

6.回环口

7.默认路由

第二十九课：堆叠

堆叠图例

园区/学校

堆叠聚合技术

堆叠的定义

堆叠是指将多台支持堆叠特性的交换机通过堆叠线缆链接在一起，从逻辑层面上编程一台交换机，作为一个整体进行数据转发

不同品牌的堆叠技术

思科

1.stackwise // 思科智能堆叠

2.VSS // virtual switch system 虚拟交换系统

华为

1.istack // intelligent stack 智能堆叠

2.CSS // cluster Switch system 集群交换系统

华三

1.IRF // interlligent resilient frame 智能弹性架构

堆叠的连线方式

1.堆叠卡堆叠 // 专用的拓展堆叠卡，使用专用的堆叠线缆链接进行堆叠

2.业务口堆叠 // 用网线或者光纤进行堆叠

堆叠之前建议查询“交换机堆叠助手” 查看是否可以堆叠，如何堆叠，使用什么线缆堆叠

堆叠的基础概念

1.主交换机为master // 提供VRP系统，以及转发功能

2.备交换机backup // 只提供转发功能

当主交换机挂了，备交换机直接成为主交换机

当备交换机挂了，从交换机直接成功备交换机

3.从交换机slave // 只提供转发功能

当从交换机挂了，那么会收敛拓扑，继续稳定运行

角色的选举

a . 当前主的设备有限，不具备抢占

当该架构已经存在主，备关系，新加设备角色为从，不进行选举

b.成员优先级大的（华为优先级为100【越大越=优】，H3C默认优先级为1）

c.系统运行的时间较长的（当前两项无法选举的情况，谁开机的时间越长，谁就成主）

d.看mac 地址越小的优先

堆叠接口

1.堆叠逻辑接口；每台交换机只有两个逻辑堆叠接口

2.堆叠屋里接口；每台交换机可以有多个堆叠物理接口

注释：两台交换机堆叠，必须要OA交叉联想，逻辑即可1和逻辑接口相连

堆叠链路类型

串行堆叠：若干台交换机串联，一般用于物理距离较远的堆叠场景

图例

环形堆叠：首尾相连，形成环状，一般用于企业机房内场景

图例

slot id

举例说明：一般交换机比如S5700，接口编号G0/0/1

0：槽位号

0：板卡号

1：接口号

注释：slot叫做槽位号，对于将窑堆叠的交换机，槽位号不能相同，所以必须要进行修改，一般master会保留slot=0拓展，以上只针对盒式交换机istack堆叠通用办法，对于Css框式交换机另有解决办法

注释2：框式交换机最多只能2台堆叠，采用CSS-ID的办法来解决以上问题

举例：当一台交换机的CSS-ID=1时，那么堆叠后的接口为G1/0/0/1

1: CSS-ID代表哪一台物理交换机

0：槽位号

0：板卡号

1：接口编号

堆叠域

每个堆叠系统，就是一个堆叠域，默认堆叠域ID=0

堆叠分裂

在堆叠系统稳定运行后，如果交换机之间的堆叠链路断开或者故障，那么将会出现2个堆叠系统，那么这个过程就叫做堆叠分裂

会分类出一个一模一样的配置，影响网络结构

为了避免分裂出现网络故障，堆叠会使用MAD来做多主检测

MAD（mult-active-detection）

HC3：有四种检测方式（LACP-MAD // BFD-MAD // ARP-MAD ND-MAD）

华为：两种检测方式（直连检测 // 代理检测）

注释：如果MAD检测到多Master,那么就会进行比较，弱势的一方变成recovery状态（所有的物理接口全部为down状态）

H3C处理思路

1.首先确认接口

将XG0/51放入逻辑接口1

将XG0/52放入逻辑接口2

4台交换机首尾相连，形成环路堆叠

2.首先预配置

改slot-id

将Master交换机优先级调高

配置命令

首先预配置

2.1改slot-id
[SW2]irfmember1renumber2//将G1/0/X改成G2/o/X，然后saveforce强制保存后重启reboot

2.2将master交换机的优先级调高
[SW1jirfmember1priority32//规划SW1为master，将优先级改为32，取值范围1~32越大越优

2.3将所有需要绑定逻辑接口的物理接口手动shutdown
[SW4]interfacerangeTen-GigabitEthernet4/0/51Ten-GigabitEthernet4/0/52
[sw4-if-range]shutdown

2.4以上操作完成后，记住所有交换机要进行强制保存！！！！
【save force】

2.5把物理接口绑定逻辑接口
[SW1]jirf-port 1/1
[SW1-irf-port1/1]portgroupinterfaceTen-GigabitEthernet1/0/51
[SW1]irf-port1/2
[SW1-irf-port1/2]portgroup interfaceTen-GigabitEthernet1/0/52

2.6 将所有的堆叠物理线路拆除，然后将物理堆叠接口手动开起，激活配置，然后强制保存

【SW1】irf-port-configuration active

【SW1】save force

2.7 然后从SW1开始，一台一台的联系，千万不要连多了

a,优先级较低的交换机会重启，主交换机不会重启

b,弱势交换机重启后，配置会被主交换机覆盖

2.8 可以查看到的信息的命令

dis irf

前面显示+号表示是哪台设备登录的

display irf configuration

查看详细接口信息

display irf link

2.9配置LACP-MAD

配置图例和命令

[SW1jinterfaceBridge-Aggregation1000
[SW1-Bridge-Aggregation1000jlink-aggregationmodedynami
[SW1-Bridge-Aggregation1000]madenable
interfaceGigabitEthernet1/o/1
port link-typetrunk
porttrunkpermitvlanall
portlink-aggregationgroup10o0

SW5配置MAD

配置图例

[SW5jinterfaceBridge-Aggregation1000
[SW5-Bridge-Aggregation100ojlink-aggregation mode dynamic
[SW5interface rangeGigabitEthernet 1/0/1toGigabitEthernet 1/0/4
[Sw5-if-range]portlink-aggregationgroup1000
port link-type trunk
port trunk permit vlan all

华为堆叠的流程

1.不要连线，先把该配置的配置完成，save完成

1.1 把槽位号改好

1.2 把Master的优先级配置好

1.3 把物理接口绑定逻辑接口

1.4 把所有的配置保存好，所有的交换机下电

1.5 连接物理线路，按照逻辑接口交叉连接

1.6 按照Master>backuo>slave的顺序，逐个上电开机，一般是前一台运行稳定后，再上电下一台设备、

注释：除了Mster设备意外的其他设备建议清空配置以后在加入堆叠

第三十课：DHCP

DHCP基础工作过程

图例1(DHCP基本工作过程1)

当存在计算机无IP需要获取DHCP地址时

1.终端设备：向自己的二层广播域发送DHCP Discover（广播）进行询问

2.DHCP服务器：DHCP Server收到DHCP Discover消息，把准备提供的IP地址携带在DHCP Offer消息中，并吧消息发送给客户端

3.终端设备：收到的所有的Offer中选择接受第一个到达的Offer，并向相应的DHCP Server发送DHCP Request消息，表示自己愿意接受该Offer

4.DHCP服务器：确认在提供阶段所提供的IP地址是否可以分配给客户端，如果可以，则发送DHCP ACK消息，表示IP地址分配成功，如果不可以，则发送DHCO Nak消息，表示IP地址分配失败

终端设备：如果收到了DHCP Ack消息，就可以开始使用分配的IP地址了，如果收到了DHCO Nak消息，则表示IP地址获取失败，需要重新计入发现阶段

注释：一般PC收到消息只会有16S的信息进行回复，超出则发送NaK

图例2(DHCP基本工作过程2)

图例2

当存在计算机存在IP需要续租DHCP地址时

1.终端设备：当租约期过了1/2的时间后，发送DHCP Request(请求续租)单播消息，希望续租IP地址

2.终端设备：如果在租约期过了7/8的时候还未收到DHCP Server的回应，则再次发送DHCP Request的广播消息，希望续租IP地址

3.DHCP Server :重新开始租约的计时，并发送DHCP Ack单播消息

4.终端设备：如果在租约期到期之前收到了DHCP Ack消息，则说明续租成功，可继续使用获取的IP地址，否则说明续租失败，不能继续使用所获得的IP地址

DHCP配置命令

图例

配置命令

DHCP基本配置

AR1

【AR1】dhcp enable // 开起全局DHCP功能

【AR1】int g0/0/0 // 进入G0/0/0

【AR1-G0/0/0】dhcp select interface //开启接口DHCP池功能，会将吃端口的IP作为下方终端的网关，且会根据吃网段下放IP给到终端设备

【AR1-G0/0/0】dhcp server dns-list 1.1.1.1 // 从DHCP中获取DNS

AR3

【AR3】ip pool dhcp // 进入地址池

【AR3-ip-pool-dhcp 】network 192.168.1.0 mask 24 // 在地址池中设置IP

【AR3-ip-pool-dhcp 】gateway-list 192.168.1.254 // 配置DHCP池wang

【AR3-ip-pool-dhcp 】lease day 8 hour 8 minute 8 //设置租期为8天8小时8秒

【AR3-G0/0/0】dhcp select global // 用于开启接口采用全局地址池的DHCP Server功能

DHCP中继（当前的DHCP广播域无法穿透到三层时）

图例

当DHCP在R3上时，P1的DHCP报文广播无法到达，需要在R1上设置中继，那个接口为网关就找那个接口上配置中继

配置命令

【AR1-G0/0/0】dhcp select relay // 开启DHCP中继功能

【AR1-G0/0/0】dhcp relay server-ip 23.1.1.3 // 将dhcp指向真正的DHCP服务器

很多企业存在隐藏DHCP服务器，可以进行多次中继（最多16条）

优点

1.保护DHCP服务器

静态地址绑定（适用于特殊使用者电脑）

【AR3】ip pool dhcp // 进入dhcp池

【AR3-ip-pool-dhcp】static-bind ip-address 192.168.1.100 mac-address xxxx-xxxx-xxxx 绑定ip到MAC地址

【AR3-ip-pool-dhcp】reset ip pool name DHCP 192.168.1.253 // 释放IP地址

DHCP抓包

在Wireshark抓DHCP包需要筛选bootp(DHCO报文协议)，

DHCP采用UDP，原接口必须为68，目标接口为67

DHCP协议抓包

凡是PC发出的报文都是：Request

凡是服务器发出的报文都是：Reply

Hops：代表被中继的次数

Transaction ID: 区分Discover报文方向

Second elapsed:此IP使用时长

unicast：单播

Broadcast：广播

Bootp flags 第一位置1为广播，第一位置0为单播

offer报文中的your(client) IP address :为下发的IP地址

Relay agent IP address :中继代理IP地址

Client MAC address ：PC端的MAC地址

Client hardware address padding:00000000:填充字段

option :可以携带的东西

DHCP攻击

DHCP饿死攻击

仿冒DHCP Server攻击

DHCP中间人攻击

第三十一课：DHCP snooping

DHCP攻击

DHCP饿死攻击

攻击原理：攻击者持续大量地向DHCP Server申请IP地址，直到耗尽DHCP Server地址池中的IP地址，导致DHCP不能只能给用户分配

chaddr：client端的物理MAC地址

当DHCP配置IP地址的时候是依靠MAC地址表来分配的IP地址进行依据；

攻击者会大量发送Disvover报文中并修改chaddr字段

仿冒DHCP Server攻击

DHCP中间人攻击

DHCP snooping

定义

一种安全特性，保护DHCP客户端从合法的DHCP获取地址

特性

1.DHCP snooping 一定是配置在交换机上，无法配置在路由器上

2.DHCP snooping 一定要配置在接入层交换机上，面向终端接口才会有作用

基本原理

snooping 绑定表

当DHCP服务器在给客户端回ACK报文时，该接口生成snooping绑定表

DHCP攻击及snooping防护措施

防御饿死了攻击

可以开起DHCP请求消息中数据链路层MAC和报文中chaddr字段一致性检查（如果不一致，就会认为是攻击，丢弃报文）

配置命令

【S1】dhcp enable // 开起DHCP功能

【S1】dhcp snooping enable // 开起DHCP snooping 功能

【S1】dhcp snooping check dhcp-chaddr enable vlan 1 //在全局视图开起chaddr一致性检查

【S1-g0/0/1}】dhcp snooping check dhcp-chaddr enable // 在接口下开起DHCP 一致性检查

变异了的饿死攻击

对于这种变异的饿死攻击是没有机制可以预防的，但是我们可以通过指定改接客欧生产的snooping表项来闲置个数

配置命令

【S1-g0/0/1}】 DHCP snooping max-user-number ？ //此接口可以接受多少个终端

DHCP客户端伪造DHCP报文攻击

开启DHCP请求消息报文和snooping 绑定表匹配查询功能

消息报文

配置命令

【S1-G0/0/1】dhcp snooping check dhcp-requset enable // 绑定请求消息的报文

非DHCP客户端伪造DHCP报文攻击

自己替别人发送续租报文

配置命令

【S1-G0/0/1】dhcp snooping sticky-mac // 开启设备基于DHCP snooping表项粘滞功能的mac地址表学习机制，默认关闭，且不予转发，设置后此接口只能使用DHCP功能

DHCP报文泛洪攻击

攻击计算机自己替自己发送租期报文，一秒钟发送几千个请求报文，其他正常续租的计算机无法及时处理

配置命令

【S1】display dhcp statistics // 开起

配置防护命令

配置每个接口接受DHCP报文的频率

【S1】dhcp snoop check dhcp-rate enable // 开起全局接口处理DHCP报文的频率功能

【S1】dhcp snooping check dhcp-rate ?（10） // 每秒钟能够处理多少DHCP的报文数量为10个

仿冒DHCP server攻击

攻击原因：攻击者仿冒DHCP Server，向客户端分配错误的IP地址及提供错误的网关地址等参数，导致客户端无法正常访问网络

图例

防范措施：

信任接口：靠近DHCP ser的设置为信任接口

非信任接口：其他接口全部为非信任接口

5.1 非信任接口收到DHCP请求消息时，只能转发给信任接口。
信任接口收到DHCP响应消息时，直接关弃。
5.2 信任接口收到DHCP请求消息时，只能发给其他信任接口，如果没有，则丢弃。
信任接口收到DHCP响应消息时，只能给非信任接口。

注释：在交换机中开启了DHCP snooping功能后，那么所有的接口默认都会成为非信任接口

配置命令

【SW1-G0/0/0】dhcp snooping trusted // 将该端口配置为DHCP snooping 信任端口

中间人攻击

为了避免中间人攻击的情况，可以在SW上部署动态ARP检测DAI

配置命令

【SW】arp-dhcp-snooping-detect enable// 开启基于dhcp snooping表象的ARP检测

第三十二课：OSPF

图例

OSPF的邻居建立过程

环境：AR1

IP地址：12.1.1.1 24 环回接口1.1.1.1 32

环境：AR2

IP地址：12.1.1.2 24 环回接口2.2.2.2 32

报文经过

第一步：双方相互发送状态（down）

1.首先是AR1发送到AR2Hello包 Hello包（DR=空.邻居=空）邻居状态为：down

2.同时AR2也会发送Hello包到AR1 Hello包（DR=空，邻居=空）邻居状态为：down

第二步：回发Hello 包状态（init）

1.AR1收到hello发送AR2包含对方的root ID Hello包（DR=空.邻居=AR2）状态为：init

2.AR2收到hello发送AR1包含对方的root ID Hello包（DR=空.邻居=AR1）状态为：init

第三步：双方接受两次的Hello包信息以后状态（2-way）

1.注释：中间还需要发送很多的Hello包，原因：是否需要和邻居路由器建立邻接关系

2.且2-way状态是不会进行传送LSA的，两台交换机都为2-WAY时，两台交换机均为小弟

3.判断是否建立的条件：网络类型

4.当一个接口开始发送Hello包后，此接口就会从down状态，变成为waiting转态，等待的时间就为40S，等待的就是DR和BDR的选举

第四步：两台路由器同事发出DD报文同事认为自己的主状态（ExStart）

1.2台路由器分别发送DD报文的同时立刻更改邻居状态为（ExStart），init=1 m=1 ms=1 开始选举主从，其中M取决于后续是否还有摘要信息，2台路由器都认为自己是主人，此时邻居状态为（ExStart）

报文信息

第五步：继续发送DD包进行选举状态（Exchange）

1.从路由器：路由器发送携带DD摘要的报文.DD包，seq=y,i=0,M=0,MS=0，立刻从（ExStart）变成（Exchange）

2.主路由器：还没有发送DD摘要报文之前依旧是ExStart状态，后续主路由器发送自己的摘要，立刻更改状态为（Exchange）

3.从路由器: 看到DD报文:Seq=Y+1,i=0,M=0,M=1,

第六步：当最后一个DBD报文发送后状态（Loading）

1.从路由器：当从路由器收到最后一个LSA摘要后，立刻改变状态为Loading状态，等待同步，同步完成后会给主路由器发送最后一个DD报文Seq=Y+1

2.主路由器：从路由器收到DD摘要后，发送LSR，之后发送DD报文给主路由器，这个DD报文没有摘要，init=0 m=0 ms=0为了告知主路由器摘要已经交换完毕，此时主路由器为loading

第七步：路由器之间更新LSU后，回复LASCK，后置位为FULL 状态（FULL）

第八步：总结

当路由器发送了第一个DD报文后，从2way变成exstart用米选举主从
当从路由器认态，发送第一个DD携带LSA摘要报文后，从路由器变成exchange
当主路由器发送完LSR后，给从路由器发送DD携带LSA摘要报文后，主路由器变为exchange，
此时从路由器由于收到了主路由器的最后一个DD摘要报文，所以从路由器变为
当从路由器交换完1sa摘要后，会给主路由器发送一个空DD报文，m=0，用来帮助主路由器进入1oading。
LSRLSU和邻居状态的变化无关，当LSU全部发送完毕后，会发送LSACK作为确认，使路由器进入到EULL状态

DD报文的作用

1.选举主从

2.传递摘要信息

3.摘要传递完毕，将对方置位loading

OSPF报文的确认机制

1.hello包

2.DD ：seq序列号来做隐式确认

R2➡R1；第一个DD用来选主从，此时的SEQ:129

R1➡R2; 第一个DD用来选主从, 此时的SEQ；124

此时以上2个SEQ是没有任何关联性的

R1➡R2; 第二个DD，认怂，自己是从路由器，此时SEQ: 129

此时的SEQ会使用和R2给R1发送的第一个DD报文的SEQ

R2➡R1 第二个DD，自己仍然是主路由器，发送了LSR后会给从路由器发送DD摘要，此时的SEQ为129+1=130

R1➡R2 R最后一个DD，从路由器认LSA摘要全部交换完毕，发送空DD帮助主路由器进入loading状态，此时空DD的SEQ =129 +1

3.LSR // 使用LSU确认

4.LSU

5.LSACK // 本身就是一个确认报文，确认所有的LSU同步完成

DD报文的参数

DD报文中的MTU

DD报文中的第一个字段就是MTU，正常来说，OSPF邻居简历是要求2个接口的MTU值一致，否则无法建立邻接，但是华为在实现邻居建立过程中，对于MTU的检测默认是忽略的，所以MUT值对于华为设备不影响（友商默认情况下是检查MTU的）

可以开启MTU配置检测

【AR1-G0/0/0】ospf mtu-enable // 开启MTU同等值检测

当主路由（1700）设置MTU的值大于从路由器（1600），则双方都卡在Exstar状态

当主路由（1500）设置MTU的值小于从路由器（1600），则双方都卡在Exstar状态，从路由器在Exchange ，主路由器在Exstar

DD报文中的M

DD报文的M置为1表示后续还有LSA的摘要信息，0表示后续没有LSA的摘要信息

DR与BDR的作用

作用

DR与BDR选举

选举规则：DR/BDR的选举是基于接口的

接口的DR优先级越大越优先（默认为1，0~255）

接口的DR优先级相等时，Router ID越大越优先

1.减少邻接关系

减少OSPF协议流量

第三十三课：OSPF网络类型+LSDB同步原则

网络类型和是否建立邻居关系

图例

P2P（点对点）网络类型

当数据链路层协议为PPP（点对点协议）或HDLC（高级数据链路控制协议）时，OSPF默认认为是P2P网络。这种类型的网络通常用于连接两个路由器的接口，如WAN连接。

hello时间为10S ，dead时间为40S

不需要选举DR和BDR

直接建立FULL关系

所有的报文通过224.0.0.5组播更新

Broadcast （广播多路访问）网络类型

当网络中存在多个路由器接口连接到同一个广播介质上时，如以太网，OSPF会将该网络视为Broadcast类型。

NBMA （非广播多路访问）网络类型

1.当OSPF链路工作于帧中继、ATM或FR时，其OSPF链路的网络类型为NBMA

2.如果需要建立NBMA网络类型的邻居，需要使用peer ip来指定单播邻居，只有指定的单播邻居IP，才能够发出HELLO报文

3.所有的报文通过单播的方式发送

4.hello时间为30S,dead时间为120S

5.DR和任何角色都要建立FULL，BDR和任何校色都需要建立FLL，小弟之间不需要建立FULL

P2MP （点对多点）网络类型（常用于DSVPN场景）

P2MP是一种网络通信架构，主要用于一个源点向多个目标点同时发送数据。这种架构在多种网络场景中均有应用，如广播和多点视频会议

hello时间是30S，Dead时间为120S

不需要选举DR和BDR

之间建立FULL

HELLO报文通过224.0.0.5组播更新，其他的所有报文通过单播更新

接口重要知识点

DR需要和其他的接口建立FULL关系

BDR需要和其他接口建立FULL关系

Drother和Drother建立2-way关系

有两个地址跟新地址： 224.0.0.5 224.0.06

所有设备使用单播形式交互DD和LSR报文

所有设备固定使用组播地址224.0.0.5交互hello报文

场景1（当AR1突然重新宣告一个新的IP地址情况）

LSU和LSACK比较特殊

1.小弟发送更新LSU报文通过224.0.0.6发送给DR和BDR

2.DR通过224.0.0.5发送给其他的小弟和BDR，

3.小弟收到DR的LSU报文后，通过224.0.0.6发送ACK

4.BDR收到DR的LSU报文后，通过224..0.5发送ACK

场景2（当AR4（老大）突然宣告一个新的IP地址）

1.老大直接发送新的LSU报文到224.0.0.5

2.老二（BDR）直接在224.0.0.5上回复ACK

3.小弟和小弟之间在224.0.0.6上回复ACK

场景3（当BDR（老二）突然宣告一个新的IP地址）

1.老二直接发送新的LSU报文到224.0.0.5

2.老大（BD）直接在224.0.0.5上回复ACK

3.小弟和小弟之间在224.0.0.6上回复ACK

注释：DR和BDR一直在监听224.0.0.5和224.0.0.6
小弟只是监听224.0.0.5

其他情况

1.当网络类型不一样，但HELLO包中其他参数一样，状态可以到2-way阶段，但无法达到FULL

OSPF基础命令

【AR1】display ospf intface g0/0/0 // 查看接口下OSPF的状态

图例

proority:1 // 优先级

Timers:：HELLO 10 // 每10秒钟发送一次HELLO报文

Dead 40 // 连接失效时间为40秒

POLL 120 // 每120秒单播一次试探一次邻居是否正常

Retransmit 5 // LSA的重发送时间

Transmit Delay 1 // 传输的时延

LSDB同步原则

COST计算

接口的Cost的计算方式：参考值除以接口带宽

如果计算结果大于0小于2 那么Cost = 1
大于等于2小于3 那么cost = 2

接口COST修改

第一种方式

【AR1-G0/0/0】OSPF COST 1000 // 修改次接口的参考值为1000

第二种方式

【AR1-OSFP-1】bandwidth-reference 2000 // 修改参考值

OSPF的度量方式

累计cost = G1+G3+lock

静默接口

配置了静默接口的接口，指挥生成LSA，不会收发OSPF报文

配置命令

【AR1-OSPF-1】silent-interface all 所有接口设置静默接口所有接口无法建立邻居

【AR1-OSPF-1】undo silent-interface g0/0/0 //取消g0的静默接口 //可以正常建立邻居

场景

当运营商建立OSPF的情况下，不想让其他公司建立OSPF，出口的接口会设置静默接口

LSDB的同步原则

比较

1.比较LSA中没有的进行获取

2.比较LSA更优的更新

OSPF更新方式

1.触发更新

一旦稳定的OSPF中出现新的宣告，那么就会更新一条新的LSU

LSU中包含新的LSA的摘要信息

2.周期更新

每一条LSA都有一个条老化时间，当老化时间达到3600S时，将删除LSA

始发的路由器会在1800S，会对次LSA发送周期更新

LSA种类

1类LSA:Router LSA

2类LSA:Network LSA

3类LSA:Network summary LSA

4类LSA: ASBR summary link states

5类LSA: AS external link states

其他LSA:6类(组播OSPF)8类9类(OSPF3)10类11类(MPLS)

LSA的头部信息

LSA age // LSA的老化时间

option // 用来描述特殊区域的

Ls Type // LSA类型 router-1sa代表1类LSA，叫做路由器LSA

LINK State ID // LSA的名字不同类型的LSA取值不同

ADvertise ROUTER // 通告者发出该LSA的路由器router-id

SEQ // 序列号用来比较LSA新旧

Chechsum // LSA新旧校验和用来比较LSA新

Length // 长度

LSA的三要素（如何确定一条唯一的SLA）

Ls Type

LINK State ID

ADvertise ROUTER

OSPF收到一条LSA后流程

图例

没有这条LSA

过期——直接丢弃

没过期——接受

1.加入LSDB中，返回LSACK确认

2.泛洪

3.运行SPF算出最优路径

有这条LSA

比较

1.序列号——越大越优

2.校验和 ——越大越优

3.老化时间

1.选择拥有最大生存时间的LSA，即3600S（当触发更新发送给对方3600秒表示删除次LSA）

2.如果老化时间差别多于15Min.选择老化时间小的（越小越新）

对方更优

1.加入LSDB中，反馈ACK确认

2.泛洪

3.玉兴SPF，选出最优路径

自己更优

发送自己的给对方

第三十四课：OSPF域内路由计算

域内

指OSPF区域内部，OSPF的区域划分

骨干区域

非骨干区域

OSPF是链路状态路由协议，基础知识

1.泛洪的是LSA：Link State Advertise, LSA本身不是报文，他需要基于LSU报文传递，存放至LSDB中

2.当路由器运行的OSPF协议，接口宜告到OSPF进程当中，那么该接口的IP地址，子网掩码，以及其他的一些信息，都会生成链路状态

一类LSA（LSA：链路通告状态信息）

当路由器的一个接口宣告进了OSPF，那么这个接口就会生成链路状态，存放到LSA当中；每个路由器都会生成二个1类LSA，用来描述自身的直连链路状态

查看LSDB信息命令

【AR1】display ospf lsdb // 查看当前LSDB中的LAS信息

【AR1】display ospf lsdb router 1.1.1.1 // 查看吃接口更加细致的信息

在1类LSA当中，使用4种1ink-type来描述链路状态：

1、当link-type为stubNet：用来描述一条路由信息的（叶子节点）

LinkID:,12.1.1.0 // 用来描述这条路电信息的网络号
DATA : 255.255.255.0 // 用来描述这条路由信息的网络掩码
Metric:1562 // 用来描述该路由器达到目标网络的开销值

2、当Link-type为p-2-P：用于描述直连链路上网络类型为P2P或者P2MP的邻居信息（树干信息）

Link ID: 22.2.2 // 用来描述该邻居的router-id
Data ：12.1.1.1 // 用来描述直连到该邻居接口的IP地址
Metric 1562 // 用来描述该路由器达到该邻居的开销值

图例描述

查看OSPF计算命令

display ospf routing // 查看最短路径树命令

如果存在直连路由器和OSPF的加入路由器路由表的情况，直连路由优先级为0，OSPF为10

3、当iink-type为TransNet：用来描述直连链路上网络类型为广插播或者NBMA所产生的伪节点的信息（树干）

Link ID:192.168.1.2 // 用来描述伪节点的router-id，用DR的接口IP来充Data:192.168.1.2 // 用来描自身直连伪节点的接口IP地址
Metric：1 // 用来描述自身到达伪节点的开销值

4、vlink ;用来描述网络类型为虚链路的邻居信息

link-id // 用来描述虚链路的邻居信息

data // 用来描述自身直连该邻居接口的IP

metric // 用来描述自身到达该虚链路的开销值

在二类LSA当中

当网络类型为广播或者NBMA时，DR会产生2类LSA，来描述伪节点信息
2类LSA既描述树干信息，也描述了叶子信息

当link Type 为 Network（伪节点）

Type :Network // LSA类型，用network来标识2类LSA，用来描述伪节点的信息
Ls id 192.168.1.4 // LSA名字，在不同类型的LSA中取值不同，2类LSA用DR的接口IP地址充当
Advrtr ：4.4.4.4 // 通告者，DR所在路由器的router-id来标识
Ls age ：1165 // 老化时间
Len ： 36 // 报文长度
Options ：E // 特殊区域标识
seq# ：8888884 // 序列号
chksum ：ex5a6e // 校验和
Net mask ：255.255.255.0 // 2类LSA不仅可以标识邻居信息（树干信息），同时也可以描述路由信息（叶子）
Priority Low
Attached Router 2.2.2.2 // 用来描述树于信息的，描述该伪节点直连的邻居信息
Attached Router 3.3.3.3 // 用来描述树干信息的，描述该伪节点直连的邻居信息
AttachedRouter 4.4.4.4 // 用来描述树干信息的，描述该伪节点直连的邻居信息

第三十五课：域间路由计算

环境前提

1、注释：当一个ISPF区域邻居建立完毕，并且LSA泛洪完毕之后，所有路由器产生的1类LSA，和广播网络产生的2类LSA，将会在改区域内进行泛洪和同步（所有改区域的路由器会同步这个区域内的所有的1类LSA和2类LSA）

2、1类LSA和2类LSA作为链路状态，在一个区域进行泛洪，泛洪结束后，每个路由器都会以自己为根，计算出最短路径

树干画图

1.伪节点到达任何的邻居的开销（cost）都为 0

OSPF域间路由

OSPF区域设计原则

骨干域间

1.1 骨干区域有且只能有一个

1.2非骨干区域必须和骨干区域相连

1.3多区域，必须有骨干区域

骨干非骨干

1.区域编号为0，为骨干区域

2.区域编号为非0，为非骨干区域

每个区域都会维护一个独立的LSDB

1.区域内的1类和2类不会传递到其他区域

2.每个区域都会维护自己独立的SPF树

三类LSA（Sum-Net）