HCNP知识点
dhcp-relay,dhcp-snooping,BFD,super-vlan,vlan高级配置,Hybrid混合接口管理,SSH,MSTP,Trunk,ospf详解,BGP,IS-IS,MPLS-vpn,组播,防火墙,QOS,运维监控应用软件,linux,企业无线网WLAN AC AP等。
ping -a 1.1.1.1 2.2.2.2 ping原端地址和目地端地址
ping -c 100 -a 1.1.1.1 2.2.2.2 -c:ping 100 个报文后结束
华为
[LSW1-port-group] port-group group-member g0/0/1 to g0/0/10
H3C
[H3C]interface range Ten-GigabitEthernet 1/0/29 Ten-GigabitEthernet 1/0/30 H3C
H3C
清楚配置 reset saved-configuration Y在查看配置是否备清楚 ---- reboot 重启 N Y
堆叠(华为/stack H3C/IRF 锐捷/VSU)
BFD(防堆叠分裂)
聚合-镜像-路由
高级DHCP
DHCP获取ip四种报文常用
电脑发送DISCOVER报文请求>广播→
←dhcp服务器/交换机回复offer报文
电脑发送request请求报文租期→
←dhcp服务器/交换机回复ACK确认报文
B=1广播 B=0单播
dhcp request : 由用户发向服务器的广播报文,目地是用来通知其他服务器是否使用服务器分配的ip地址。同时该报文还有续租作用。
dhcp另外四种报文
DHCP DECLINE : 当客户端发现地址已经被使用,用来通知服务器。
DHCP INFORM : 客户端已经有ip 地址时用他请求其他的配置参数。
DHCP NAK : 有服务器发送给客户端来表名客户端不的地址请求不正确挥着租期已过,
DHCP RELEASE : 客户端要释放ip地址用来通知服务器。
dhcp
display ip pool 显示ip地址池详细信息
display ip pool name 192 used 显示已经分配ip地址的使用情况
<Huawei>reset ip pool name 192 used 重置分配记录
<全局dhcp和接口dhcp>
R1
[dhcp]dhcp enable
ip pool 192
[dhcp-ip-pool-192]gateway-list 192.168.0.1
[dhcp-ip-pool-192]network 192.168.0.0 mask 255.255.255.0
[dhcp-ip-pool-192]dns-list 8.8.8.8
[dhcp-ip-pool-192]lease day hour/unlimited day:租约时间 unlimited:永久不限制 hour:小时
[dhcp-ip-pool-192]static-bind ip-address 192.168.0.200 mac-address 50EB-7168-B069
[Huawei-ip-pool-192]excluded-ip-address ip 192.168.0.2 192.168.0.250 排除这段地址
ip pool 10
[dhcp-ip-pool-10]network 10.1.1.0 mask 255.255.255.0
[dhcp-GigabitEthernet0/0/0]ip address 10.1.1.1 255.255.255.0 指定dhcp的地址
[dhcp-GigabitEthernet0/0/0]dhcp select global/interface
ip route-static 0.0.0.0 0.0.0.0 10.1.1.254 配置默认路由dhcp的报文才能通过
AR1客户端
[AR1-GigabitEthernet0/0/0]ip address 192.168.0.1 255.255.255.0
[AR1-GigabitEthernet0/0/0]dhcp select relay中继 交换机vlanif口也可做中继
[AR1-GigabitEthernet0/0/0]dhcp relay server-ip 10.1.1.1
[AR1-GigabitEthernet0/0/0]ip address dhcp-alloc
DHCP中继relay
AR1
dhcp enable
ip pool 10
[DHCP-ip-pool-10] gateway-list 192.168.10.2
[DHCP-ip-pool-10]network 192.168.10.0 mask 255.255.255.0
[DHCP-ip-pool-10]lease day 2 hour 0 minute 0
[DHCP-ip-pool-10] dns-list 8.8.8.8
#
ip pool 20
[DHCP-ip-pool-10] gateway-list 192.168.20.2
[DHCP-ip-pool-10] network 192.168.20.0 mask 255.255.255.0
[DHCP-ip-pool-10] lease day 2 hour 0 minute 0
[DHCP-ip-pool-10] dns-list 8.8.8.8
#
[DHCP-GigabitEthernet0/0/0] ip address 192.168.254.2 255.255.255.0
[DHCP-GigabitEthernet0/0/0] dhcp select global
#
核心交换机
vlan batch 10 20 800
dhcp enable
[sw1-Vlanif10]interface Vlanif10
[sw1-Vlanif10]ip address 192.168.10.1 255.255.255.0
[sw1-Vlanif10]dhcp select relay
[sw1-Vlanif10] dhcp relay server-ip 192.168.254.2 路由器接口ip
#
[sw1-Vlanif20]interface Vlanif20
[sw1-Vlanif20] ip address 192.168.20.1 255.255.255.0
[sw1-Vlanif20]dhcp select relay
[sw1-Vlanif20]dhcp relay server-ip 192.168.254.2 路由器接口ip
#
[sw1-Vlanif800]interface Vlanif 800
[sw1-Vlanif800]ip address 192.168.254.1 255.255.255.0
[sw1-Vlanif800]interface GigabitEthernet0/0/1
[sw1-Vlanif800] port link-type access
[sw1-Vlanif800] port default vlan 800
#
[sw1-GigabitEthernet0/0/1] port link-type access
[sw1-GigabitEthernet0/0/1] port default vlan 800
#
[sw1-GigabitEthernet0/0/2]interface GigabitEthernet0/0/2
[sw1-GigabitEthernet0/0/2]port link-type trunk
[sw1-GigabitEthernet0/0/2] port trunk allow-pass vlan 10
#
[sw1-GigabitEthernet0/0/3]interface GigabitEthernet0/0/3
[sw1-GigabitEthernet0/0/3] port link-type trunk
[sw1-GigabitEthernet0/0/3] port trunk allow-pass vlan 20
#
两台二层交换机上行端口分别配置access口
交换机dhcp snooping监测原理
*一旦针对某vlan 启用dhcp snooping监听功能,那么该vlan的所有端口默认都是非信任端口。非信任接口收到dhcp的offer报文就会直接丢弃*
*交换机启用snooping监听功能,非法dhcp服务器将会被拦截*
接入交换机
dhcp enable
dhcp snooping enable
dhcp snooping enable vlan 20
#
interface GigabiEthernet0/0/1 将被信任的端口
dhcp snooping trusted
BFD冗余双向转发检测
[HUAWEI]dis bfd session all 查看bfd状态
BFD会话有四种状态:Down、Init、Up和AdminDown。
BFD本身起不到做用,一般用于调用,结合vrrp ospf bgp协议,静态路由
bfd全局模式配置
R1
bfd 1 bind peer-ip 12.1.1.2 source -ip 12.1.1.1 配置bfd组1
discriminator local 1本地标识1 标识需要互相对称
remote 2远端标识2
commit 确认提交
ip rouce-static 2.2.2.0 24 12.1.1.2 tracert bfd-session 1
R2
bfd 1 bind peer-ip 12.1.1.1 source -ip 12.1.1.2 配置bfd组1
discriminator local 2
remote 1
commit 确认提交
ip rouce-static 1.1.1.0 24 12.1.1.1 tracert bfd-session 1
端口安全
开启端口安全好处可以防止用户私自接路由器hab小型设备,造成网络出问题
开启端口安全,该接口只允许一个mac地址统信,
[Huawei-GigabitEthernet0/0/5]port-security enable 开启端口安全
[Huawei-GigabitEthernet0/0/5]port-security max-mac-num 2 端口允许两个mac地址通过,带三个就不行了
[Huawei-GigabitEthernet0/0/1]port-security mac-address sticky 开启mac地址自动 黏贴功能,第一个用户的mac地址会自动黏贴到该接口
[Huawei-GigabitEthernet0/0/1]port-security mac-address sticky 5489-9845-3829 vlan 10端口添加mac和vlan
端口镜像
作用:①方便管理维护查看网络流量
用来配合IDS,堡垒机等安全设备使用
服务器的数据通过交换机启用的端口镜像会把数据复制一份给堡垒机
模拟拓扑
将G0/0/2口配置为观察接口
注意:1口为观察组
[sw]observe-port 1 interface GigabitEthernet 0/0/2
将从g0/0/1口进去和出来的流量复制一份发给观察组1
[sw-GigabitEthernet0/0/1]port-mirroring to observe-port 1 both
vlan高级配置
sw4
[sw4] interface GigabitEthernet0/0/1
[sw4] port link-type trunk
[sw4] port trunk allow-pass vlan 10 20
#
[sw4]interface GigabitEthernet0/0/2
[sw4] port link-type access
[sw4] port default vlan 10
[sw4]interface GigabitEthernet0/0/3
[sw4] port link-type access
[sw4] port default vlan 20
sw3
[sw3] interface GigabitEthernet0/0/1
[sw3] port hybrid untagged vlan 10 20
[sw3] mac-vlan enable
#
[sw3] interface GigabitEthernet0/0/2
[sw3] port link-type trunk
[sw3] port trunk allow-pass vlan 10 20
基于mac地址的vlan
[sw3-vlan10]mac-vlan mac-address 0000-0000-0001
[sw3-vlan20]mac-vlan mac-address 0000-0000-0002
[sw3-GigabitEthernet0/0/1] port hybrid untagged vlan 10 20 配置混合接口
[sw3-GigabitEthernet0/0/1]mac-vlan enable 启用基于mac地址学习vlan功能
vlan高级配置基于ip子网划分vlan
[sw3-vlan10] ]ip-subnet-vlan ip 192.168.10.0 255.255.255.0
[sw3-vlan20] ]ip-subnet-vlan ip 192.168.20.0 255.255.255.0
[sw3-GigabitEthernet0/0/1] port hybrid untagged vlan 10 20 配置混合接口
[sw3-GigabitEthernet0/0/1]ip-subnet-vlan enable 启用基于ip地址划分vlan功能
supervlan:超级vlan也称vlan聚合
作用:对于酒店,小区住户,以及运营商和高效共建的校园网等等用户秘籍度较高的地方实现二层隔离,防止病毒扩散和攻击,提高网络稳定性,
可以将每个房间设置为一个vlan,这样每个房间一个ip地址段,IP地址会浪费,使用超级super-vlan将多个vlan使用相同的ip网段 和网关,节约ip地址。
实验要求:配置super-vlan使不同vlan的ip在同一网段,
interface LoopBack0 下面四台电脑都可以ping通9.9.9.9外网
ip address 9.9.9.9 255.255.255.0
vlan batch 10 20 30
[interface Vlanif30] ip address 192.168.1.1 255.255.255.0
vlan 30
将vlan30定义聚合vlan
将vlan10 20 定义vlan30的子vlan
[interface GigabitEthernet0/0/1] port link-type access
[interface GigabitEthernet0/0/1] port default vlan 10
#
[interface GigabitEthernet0/0/2] port link-type access
[interface GigabitEthernet0/0/2] port default vlan 10
#
[interface GigabitEthernet0/0/3]
[interface GigabitEthernet0/0/3] port link-type access
[interface GigabitEthernet0/0/3] port default vlan 20
#
[interface GigabitEthernet0/0/4] port link-type access
[interface GigabitEthernet0/0/4] port default vlan 20
相同vlan端口隔离
将4口设置为隔离端口,并加入隔离组1(默认都会加入隔离组1 隔离组共1-64)
注意:同一台交换机相同端口组的端口不能互访
同一台交换机两个端口配置不同组号可以互访
[interface GigabitEthernet0/0/1] port link-type access
[interface GigabitEthernet0/0/1] port default vlan 10
[interface GigabitEthernet0/0/1] port-isolate enable group 1 端口隔离默认是组1
#
[interface GigabitEthernet0/0/3] port link-type access
[interface GigabitEthernet0/0/3] port default vlan 10
#
[interface GigabitEthernet0/0/4] port link-type access
[interface GigabitEthernet0/0/4]port default vlan 10
[interface GigabitEthernet0/0/4] port-isolate enable group 1 端口隔离默认是组1
#
[interface GigabitEthernet0/0/5] port link-type access
[interface GigabitEthernet0/0/5] port default vlan 10
SSH配置
[Huawei-aaa]local-user aa password cipher song123 privilege level 3
[Huawei-aaa]local-user aa service-type ssh
[Huawei-aaa]local-user aa privilege level 3
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]protocol inbound ssh
[Huawei-ui-vty0-4]authentication-mode aaa
[Huawei]stelnet server enable
路由基础
数字越小优先级越高,数字大的优先级在路由表中不显示作为备份。
▶对于同一条路由(掩码长度一致)
1.优先级和metric / cost都一样,都放入路由表,执行负载均衡。
2.优先级不同时,只将优先级小的放入路由表(优先级大的作为备份路由)
3.优先级相同,metric / cost不同,路由表中只存放metric值小的路由(metric / cost 大的作为备份路由)
先比优先级,在比metric
▶ 不同的路由表(掩码长度不一致)
全部放到路由表
优先级:区分不同种路由协议之间的可信度(小)
(度量值):区分同种路由协议的可信度
▶ 数据包的选路
不同的优先级,不同的掩码,在路由表里都显示,数据包选择掩码最长的匹配原则发包。
AS(自治系统):一个逻辑管理域1-65535
IGP(内部网关协议):运行在一个AS内部的路由选择协议rip ospf isis
EGP(外部网关协议):运行在AS和AS之间的路由选择协议BGP(边界网关协议)
传递路由的精准性,准确性
1 有类别:发送路由更新时不携带子网掩码信息,不精准 ripv1
2 无类别:发送路由更新时要携带子网掩码信息,精准 ripv2 ospf isis eigrp BGP
▶ 浮动路由
ip route-static 192.168.1.0 255.255.255.0 10.0.12.1
ip route-static 192.168.1.0 255.255.255.0 10.0.12.1 路由优先级
▶ 缺省路由
ip route-static 0.0.0.0 0 x.x.x.x 某内网ip
OSPF
IGP:开放最短路径有线协议/内部网关洗衣
RIP OSPF IS-IS 总称IGP
rip - udp 协议号520
ospf - 封装ip层,协议号89
bgp - tcp 协议号179
is-is 二层 协议号14/15
0.0.0.255 通配符掩码
information-center enable 查看ospf形成邻居的几个状态
dis cu conf ospf 查看ospf配置
dis ospf int 查看ospf接口配置
dis ospf peer brief 查看邻居简要信息
ospf enable area 12 接口开启ospf
dis ip routing-table protocol ospf 查看通过ospf得到的路由表
dis fib
init : 初始化状态,开始交互hello报文
two-way: 路由器双方都得到对方的route-id
exstart:准备交互DBD描述报文,同时选举DR和DBR
exchange: 交互DBD描述报文
loading:加载状态,请求对方完整路由
fill: 完全临街状态,双方数据库同步
OSPF ,DR和BDR选举
DR:指定路由器
BDR:备份路由器
作用和目的:为了减少MA(多路访问 multi-access)环境,不必要的ospf报文的发送,减少链路带宽的占用,路由会自动选举DR和BDR
DR和BDR选举规则:接口优先级+route id,越大越优先。
不抢占规则:DR和BDR 一旦选举成功,则不会再次选举。(除非重启)
优先级为0表示直接不参与DR和BDR的选举权。
OSPF 五种报文
hello:发送自身route-id。
DBD:数据库照耀信息(目录)
LSR :链路状态请求,请求某链路的详细路由信息
LSU :链路状态更新对方请求的回应报文
LSack:链路状态确认
OSPF:
Hello报文
邻居发现:使能了OSPF功能的接口会周期性地发送Hello报文,与网络中其他收到Hello报文的路由器协商报文中的指定参数,决定是否建立邻居关系。
建立双向通信:如果路由器发现收到的Hello报文的邻居列表中有自己Router ID,则认为已经和对端建立了双向通信,邻居关系建立。
指定DR和BDR:Hello报文包含DR优先级和Router ID等信息,每台路由器将自己选出的DR和BDR写入Hello报文的DR和BDR字段中,然后进行DR和BDR的选举,详细的选举原则和过程请参见DR和BDR选举。
保活:在建立邻居关系后,使能OSPF功能的接口仍周期性地发送Hello报文维护邻居关系,如果在一定的时间间隔内没有收到邻居发来的Hello报文,则中断邻居关系。
DD报文
两台路由器在邻接关系初始化时,DD报文(Database Description packet)用来协商主从关系,此时报文中不包含LSA的Header。在两台路由器交换DD报文的过程中,一台为Master,另一台为Slave。由Master规定起始序列号,每发送一个DD报文序列号加1,Slave方使用Master的序列号作为确认。
邻接关系建立之后,路由器使用DD报文描述本端路由器的LSDB,进行数据库同步。DD报文里包括LSDB中每一条LSA的Header(LSA的Header可以唯一标识一条LSA),即所有LSA的摘要信息。LSA Header只占一条LSA的整个数据量的一小部分,这样可以减少路由器之间的协议报文流量。对端路由器根据LSA Header就可以判断出是否已有这条LSA。
LSR报文
两台路由器互相交换过DD报文之后,需要发送LSR报文(Link State Request packet)向对方请求更新LSA。LSR报文里包括所需要的LSA的摘要信息。
LSU报文(Link State Update packet)用来向对端路由器发送其所需要的LSA或者泛洪本端更新的LSA,其报文内容是多条完整的LSA的集合。为了实现泛洪的可靠性传输,需要LSAck报文对其进行确认,对没有收到确认报文的LSA进行重传,重传的LSA是直接发送到邻居的。
LSAck报文(Link State Acknowledgment packet)用来对接收到的LSU报文进行确认,内容是需要确认的LSA的Header。一个LSAck报文可对多个LSA进行确认。
MSTP原理
多生成树协议,(华为交换机默认运行MSTP)工作原理:将多个lan捆绑在一起,运行在一个stp里面,不同实列间的stp互相独立。
