vlan做二层互通

交换网络基础

交换机工作在数据链路层 ，通过MAC 地址转发数据帧

交换机在接受到一个主机的广播后，会以广播的形式从其他接口发送出去，这个过程叫做泛洪。

交换机在从广播中学习的 mac地址与对应的链接接口，写入mac表中

dis  mac-address   查看mac表

路由器是隔离广播的，路由器的每一个端口是一个广播域 

交换机的转发行为有：

　　1 泛洪

　　在这些情况下进行泛洪：

　　　　1 广播

　　　　2 未知的单播帧

　　　　3组播帧

　　2 转发

　　　　1对已知的单播帧

　　3 丢弃

VLAN技术：

　　在同一个广播域内，在逻辑上对广播的隔离， ---- 虚拟本地局域网

　　不同的vlan之间是不能相互访问的

　　vlan的标识id 范围0-4095  其中 0 与4095 不能用是保留的 

　　对于vlan的配置在交换的的接口上，该接口配置的是vlan几，上面接的主机就是属于vlan几的 ， 

　　这个当主机报文发送到交换机接口上，交换机会在报文上封装一个tag的标识来标识vlan的id

链路类型：

　　用户主机与交换机之间的链路成为接入链路 ----Access  ， 这只能让一种vlan通过 

　　交换机与交换机之间的链路为干道链路 trunk

　　trunk链路可以让多个vlan 通过。

PVID： 表示端口所属的vlan

 

默认情况下，华为交换机的所有接口都属于VLAN1,PVID为1。 所以默认vlan1 是可以相互通信的

端口类型：

　　ACCESS： 

 

 

 

　　access 在收到数据后会根据设置的pvid 添加对应的vlan tag  ，在转发时会移除报文中的tag

 

 

 

 

 

 

 

VLAN可以集中配置，配置命令为vlan batch 2to10,这个命令是用来创建多个vlan ， 如VLAN2、3、4一直到10的连续VLAN。Vlan  2 4 5 或者vlan batch 2 4 5这条命令是集中创建VLAN2、 VLAN4 、VLAN5。两种命令不可混淆。

  [] dis  vlan    查看vlan

　

 

 

 

 

 

 

交换机TRUNK口默认是允许VLAN1通过的。实际现网工作中如果没有VLAN1建议使用undo port trunk allow pass vlan 1命令，不允许VLAN1通过。这样可以使得数据传输更加安全。

PVID的作用就是决定通过该trunk接口的时候是是否携带TAG，如果VLAN ID和PVID相同，则是untag的，否则就是带tag的。TRUNK接口是否可以通过某个VLAN的数据，是根据允许VLAN 决定的，和PVID无关。

当Trunk接口收到帧时，如果该帧没有tag，则根据自己的pvid 打上tag， 若有tag，则不变

当Trunk 接口发送帧时，该帧含有vlan id ，同时这vlan在trunk允许发送下，与该端口的pvid 相同，则会剥离tag发送， 若不同则不变，直接发送

 

 vlan在分割广播域的同时也会限制不同的vlan间的主机进行二层通信，那么我们就需要vlan间路由，让其在三层上通信

交换机配置VLANIF接口，配置命令为interface vlanif XX。XX对应创建的VLAN，例如VLAN1的VLANIF接口配置就是interface vlanif 1。VLANIF接口的作用就是启用虚拟三层接口，实现VLAN 间的路由通信功能。

每个vlan创建一个vlanif接口作为网关

[]  int  vlanif  10  创建一个vlanif   10 对应着vlan id

 ----》 ip  address  10.1.1.254 24   配置IP地址

stp协议

  

 

在二层交换机通过多条链路互连时，虽然能提升网络的可靠性，但也会带来环路问题， 由于环路问题可能造成

　　1 广播风暴

　　2 占用网络资源 ，造成平凡的丢包现象

　　3 造成mac地址表震荡

 

 

stp 协议就是实现在二层的防环 ，他可以通过吧环路中的一个端口阻塞，如果当链路有断的，他会自动将阻塞的端口转为转发状态，进而实现一个链路的备份

 

stp的工作原理：

 

1 选一个交换机作为根桥，就如根一样， 那么其他的交换机就是非根桥，

2 在每个非根桥上会选着一个根端口，一般是选择靠近根桥的端口，作为接受根桥发出的指令

3 在每个链路上会选着一个指定端口， 用于发送指令的，根桥上的端口都是指定端口

4 阻塞非根，非阻塞端口

根桥的选择：

　　一开始交换机都会认为自己是根桥，向外发送自己的根id，

　　根id 由优先级 + mac地址组成 ， 默认优先级值为32768  ，优先值的设定范围是 0-65535 在设定优先值时，必须都是4096的倍数

　　比较时，先比较优先级 ，优先级越小的就是根桥，在优先级相同，比较mac地址小的 就是根桥。

根端口的选举：

　　

 

选择离根桥进的端口为根端口比较一下值：

　　1 端口到根桥路径的开销值，值越小越优先成为根端口

　　2 比较上游交换机的BID 值， 值越小越优先成为根端口

　　3 比较对端端口的pid  （有优先级和 序号组成，优先值默认128  ） 值越小越优先

　　4 当对端pid 比较不出来 ，比较本端的pid ，值越小越优先

在非根桥上只有一个根端口

指定端口的选择：

 

1 根桥上都是指定端口， 用来发生指令的

2 在非根桥上通过以下来比较：

　　1 该端口到根桥的路径开销值

　　2 根据BID  ，非根桥的bid 值小的  越优先是指定端口

　　3 根据pid 比较

 

端口的状态有5中：

　　disable： 关闭状态

　　blocking = discarding  表示被阻塞状态， 这时端口只能接受stp数据包，不能向外发送包

　　listening      这状态 表示可以向外发送数据包了

　　learning      可以进行学习

　　forwarding： 可以正常工作 ，转发了

每 次状态的转变延迟15s 时间

 如 从阻塞状态 到forwarding状态 需要30s 时间 

 

根桥会每隔2s 发送一次BPDU 数据包， 如果非根桥有20s 没有收到BPDU 那么会认为根桥出现故障，进行重新选举根桥

三个时间  点：  20s    30s    50s   

 

配置命令：

[] stp  mode stp 

　　配置中stp有三种模式 mstp  ， tstp （快速stp）  ， stp    默认是 mstp

[]  dis  stp  brief    查看

[]   dis   stp     查看详细 信息

[]  stp  process

[]  stp  priority   4096   设置优先级 （bid 是 4096 的倍数）

ACL 访问控制列表

　　acl：可以通过定义规则来控制允许或拒绝流量的通过

　　　　可以根据需求定义过滤条件以及匹配条件来执行相应的动作

ACL 分类：

 

基础的acl 只能对源ip地址 进行过滤 设定规则

高级ACL  可以对源ip  目的ip  端口 进行规则设定

 

dis  th   进行查看

1设定acl  

2 配置acl 规则   rule  deny  source   192.168.1.0   0.0.0.255   （这里这个与反掩码不同，是通配符）

3 进入接口视图 进行规则匹配： traffic-filter  outbound  acl  2000    （outbound  表示 出方向流量 ， inbound 表示入方向的流量）

rule   permit  source   any      允许所有的  

dis  acl   2000   查看规则详情

 

通配符 0.0.0.0   表示指定一个ip地址    destination-port  eq  21  ：  对21 端口也就是ftp 服务进行规则设定

NAT 网络地址转换 

 

 

NAT 一般是部署在链接内网格外网的网关设备上， 通过不私有地址转化为公有地址，在公网上通信

NAT 的主要目的就是为了节省ip地址

NAT 的转化设定一般分为：

　　静态转化：静态转化是一对一 静态指定的，  这样其实不能实现对ip地址节省的目的

　　动态转化： 是动态从地址池中 进行挑选的  

　　　　NAPT:

　　　　Easy  ip： 应用于小型网络 ，他没有设定地址池， 直接将 网关设备的出接口的地址作为转化的地址

 

 

 

 

配置：

 

 

1 先设定ip 资源池：  nat  address-group  1   200.10.10.1    200.10.10.200

2 配置acl  规则

3 进入链接外网的出接口视图下  进行 nat  与acl 匹配   no-pat   表示：

 

NAT 服务器： 映射 把内网地址映射出去，可以让外网 访问内网地址

 

 

 

ipv6地址介绍

ipv6 主要是解决 ipv4 地址不够用情况， i

ipv6 一共128 位  分为8段 ，每段有4个16进制数 组成

 

 

由于ipv6 地址写起来麻烦所以支持省写

 ipv6 分类：

 

全球单播地址： 相当于公网地址 

FE80：：/10 链路本地地址， 是不需要配置 在同属一段的链路上是可以互通的 类似于私有地址

FF00：：/8  组播地址，相当于 224.0.0.1   -------》 FF00::1 

 

 

 

HDLC协议是比较较低的ppp协议，不支持认证

 

 

 

ppp协议是串行接口的一种协议用于远距离传输，但传输慢，一般用于广域网链路，

 

两个组件：

　　链路控制协议： 用于建立，拆除和监控ppp链路，

　　网络层控制协议： 是用于进行协商的

 

 

 

 

link-protocol   ppp     修改端口模式为ppp  ppp协议是默认的

 

认证模式有两种：

　　PAP：用户名密码都是明文发送的 ， 只有两次交互报文

　　CHAP: 是加密传输的 ，认证服务器会向被认证服务器发 两个数 通过与密码进行计算后得的值，传回给认证服务器进行认证

 

ip地址的协商，避免冲突

 

配置：

 

 

ppp 协议可以给对端指派一个ip地址：

在被认证服务器上

ip address  ppp-nego..

 在认证服务器： remote  address   192.168.1.2    协商指派ip

DHCP协议

dhcp服务器是为大量主机分配ip地址，并能够集中管理。

dhcp报文主要应用有四种：

 

dhcp工作原理：

 

1 pc 发送discover广播报文 发现 dhcp服务器

2 dhcp服务器 单播发送offer报文， 为pc主机分发ip地址

3 pc 发送request 广播也是告知其他dhcp服务器自己已经接受了ip

4 dhcp单播发送ack 

配置：

地址池： 路由器支持两种地址池：

　　1 全局地址池：

　　2 接口地址池： 是分配与该接口ip地址通以网段的ip

dhcp租期：

　　约期为1天， 当约期达到50% 时，客户端会发送更新ip地址租约，进行续约

　　当约期达到87.5% 时，还没收到服务器的响应，客户端会重新发送广播报，进程ip申请

 

配置：

 

 

在客户端完成ip分配后会在发送3个request 报文，防止ip冲突 ，------免费arp

telent协议

 tenlent用于远程管理

 

vty虚拟接口用于远程管理接口  ，默认 0  4   配置5个接口允许5个人同时进行连接

认证模式有个两种：

1 AAA ： 设定用户名 密码 ， 可以针对用户进行权限设定

2 password ： 通过密码就可以进行认证

aaa认证：

[]AAA

--local-user  huawei  password cipher huawei   设定用户名密码

---local-user  huawei  service-type  telnet   协议类型

--- local-user  huawei  privilege   level  3   设定用户权限

 

user-interface   vty  0  4  设定 vty接口

authentication-mode  aaa    认证模式设定

 

将三层接口转为二层接口：

portswitch   进入接口视图下配置 ， 二层接口不可配置ip地址

undo  portswitch   转为三次接口

ftp 协议

 

配置：

【】ftp server enable   启动ftp服务

 [] aaa    开始设定aaa认证

----local-user  huawei  password  cipher  huawei 

----local-user  huawei service-type  ftp

----  local-user huawei  ftp-directory  flash:         直接回车默认是桌面共享

------local-user  huawei  privilege   3   用户权限

 

<> dir   查看桌面文件

【】ftp   1.1.1.2  

  get  文件名  下载文件到本桌面

  put   文件名   上传文件

 

 

 

ia 阶段结课