2、链路聚合
百科链路聚合:https://baike.baidu.com/item/%E9%93%BE%E8%B7%AF%E8%81%9A%E5%90%88/8626060?fr=aladdin
https://blog.csdn.net/cisco_eigrp/article/details/79971773
静态聚合和动态聚合模式
# 创建二层聚合端口1。
[DeviceA] interface bridge-aggregation 1
[DeviceA-Bridge-Aggregation1] link-aggregation mode dynamic(动态聚合模式才需要此命令)
[DeviceA-Bridge-Aggregation1] quit
# 将以太网端口Ethernet1/0/1至Ethernet1/0/3加入聚合组1。
[DeviceA] interface ethernet 1/0/1
[DeviceA-Ethernet1/0/1] port link-aggregation group 1
[DeviceA-Ethernet1/0/1] interface ethernet 1/0/2
[DeviceA-Ethernet1/0/2] port link-aggregation group 1
[DeviceA-Ethernet1/0/2] interface ethernet 1/0/3
[DeviceA-Ethernet1/0/3] port link-aggregation group 1
DeviceB 如上
配置完成后,interface Bridge-Aggregation1这条语句将使前面配置的trunk失效!!!!!链路聚合实际上是多条线路聚合为一条,这将改变原有trunk线路,还有拓扑,具体变动得具体设计。
要验证试验一就必须将此条语句no掉(输入 no interface Bridge-Aggregation1)或者加入:
[DeviceA] interface bridge-aggregation 1
port link-type trunk
port trunk pemit vlan X X X
测试:
聚合口配置完成后只要有当中的一条线路还能通畅,同网段主机间就可以ping通,ping -t为无限ping,ping -n 1000为ping1000次
3、 DHCP服务器动态分配地址
DHCP服务器(Switch A)为网段10.1.1.0/24中的客户端动态分配IP地址,该地址池网段分为两个子网网段:10.1.1.0/25和10.1.1.128/25;Switch A的两个VLAN接口,VLAN接口1和VLAN接口2的地址分别为10.1.1.1/25和10.1.1.129/25;10.1.1.0/25网段内的地址租用期限为10天12小时,域名后缀为aabbcc.com,DNS服务器地址为10.1.1.2/25,WINS服务器地址为10.1.1.4/25,网关的地址为10.1.1.126/25;10.1.1.128/25网段内的地址租用期限为5天,域名后缀为aabbcc.com,DNS服务器地址为10.1.1.2/25,无WINS服务器地址,网关的地址为10.1.1.254/25。10.1.1.0/25网段与10.1.1.128/25网段的域名后缀、DNS服务器地址相同,可以只配置10.1.1.0/24网段的域名后缀和DNS服务器地址,10.1.1.0/25网段与10.1.1.128/25网段继承10.1.1.0/24网段的配置。开启Switch A的伪服务器检测功能,方便管理员从系统日志中查找伪服务器信息。
SW1和SW2与SW间的接口均为trunk口,SW1和SW2可以不用(当只接一台电脑时):
具体拓扑如下:
作为DHCP服务器的Switch A为网段10.1.1.0/24中的客户端动态分配IP地址,该地址池网段分为两个子网网段:10.1.1.0/25和10.1.1.128/25;
Switch A的两个VLAN接口,VLAN接口1和VLAN接口2的地址分别为10.1.1.1/25和10.1.1.129/25;
10.1.1.0/25网段内的地址租用期限为10天12小时,域名后缀为aabbcc.com,DNS服务器地址为10.1.1.2/25,WINS服务器地址为10.1.1.4/25,网关的地址为10.1.1.126/25;
10.1.1.128/25网段内的地址租用期限为5天,域名后缀为aabbcc.com,DNS服务器地址为10.1.1.2/25,无WINS服务器地址,网关的地址为10.1.1.254/25。
10.1.1.0/25网段与10.1.1.128/25网段的域名后缀、DNS服务器地址相同,可以只配置10.1.1.0/24网段的域名后缀和DNS服务器地址,10.1.1.0/25网段与10.1.1.128/25网段继承10.1.1.0/24网段的配置。
开启Switch A的伪服务器检测功能,方便管理员从系统日志中查找伪服务器信息。
# 使能DHCP服务。
[SwitchA] dhcp enable
# 配置不参与自动分配的IP地址(DNS服务器、WINS服务器和网关地址)。
[SwitchA] dhcp server forbidden-ip 10.1.1.2
[SwitchA] dhcp server forbidden-ip 10.1.1.4
[SwitchA] dhcp server forbidden-ip 10.1.1.126
[SwitchA] dhcp server forbidden-ip 10.1.1.254
[SwitchA] dhcp server forbidden-ip 10.1.1.1
[SwitchA] dhcp server forbidden-ip 10.1.1.129
# 配置伪服务器检测功能。
[SwitchA] dhcp server detect
# 配置DHCP地址池1的属性(地址池范围、网关、WINS服务器地址、地址租用期限)。
[SwitchA] dhcp server ip-pool 1
[SwitchA-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.128
[SwitchA-dhcp-pool-1] gateway-list 10.1.1.126
[SwitchA-dhcp-pool-1] expired day 10 hour 12
[SwitchA-dhcp-pool-1] nbns-list 10.1.1.4
[SwitchA-dhcp-pool-1] domain-name aabbcc.com
[SwitchA-dhcp-pool-1] dns-list 10.1.1.2
[SwitchA-dhcp-pool-1] quit
# 配置DHCP地址池2的属性(地址池范围、地址租用期限、网关)。
[SwitchA] dhcp server ip-pool 2
[SwitchA-dhcp-pool-2] network 10.1.1.128 mask 255.255.255.128
[SwitchA-dhcp-pool-2] expired day 5
[SwitchA-dhcp-pool-2] gateway-list 10.1.1.254
[SwitchA-dhcp-pool-2] nbns-list 10.1.1.4
[SwitchA-dhcp-pool-2] domain-name aabbcc.com
[SwitchA-dhcp-pool-2] dns-list 10.1.1.2
[SwitchA-dhcp-pool-2] quit
开启伪服务器检测功能后,Switch A记录所有DHCP服务器的信息,包括合法的DHCP服务器。管理员需要从系统日志中查找伪DHCP服务器。当Switch A发现网络中的其它DHCP服务器时,会记录如下所示的日志信息。
%Apr 30 08:07:51:896 2000 H3C DHCPS/4/DHCPS_LOCAL_SERVER:
Local DHCP server information: Server IP (detected by DHCP server) =
10.1.1.5, DHCP server interface = Vlan-interface1
Source client information: DHCP message type = DHCPREQUEST, DHCP
client hardware address = 000f-e200-000b
#
dhcp server ip-pool 1
network 10.1.1.0 mask 255.255.255.128
gateway-list 10.1.1.126
nbns-list 10.1.1.4
expired day 10 hour 12
domain-name aabbcc.com
dns-list 10.1.1.2
#
dhcp server ip-pool 2
network 10.1.1.128 mask 255.255.255.128
gateway-list 10.1.1.254
nbns-list 10.1.1.4
domain-name aabbcc.com
dns-list 10.1.1.2
expired day 5
#
dhcp server forbidden-ip 10.1.1.2
dhcp server forbidden-ip 10.1.1.4
dhcp server forbidden-ip 10.1.1.126
dhcp server forbidden-ip 10.1.1.254
dhcp server forbidden-ip 10.1.1.1
dhcp server forbidden-ip 10.1.1.129
dhcp server detect
#
dhcp enable
#
如果DHCP服务器的地址池中没有足够的可供分配的IP地址,则服务器无法为客户端分配地址,服务器不会将父地址池中的IP地址分配给客户端。故在本例中,建议从VLAN接口1申请IP地址的客户端数目不要超过122个;从VLAN接口2申请IP地址的客户端不要超过124个。
DHCP服务器与客户端在同一网段的情况下,如果服务器的接口视图下配置了dhcp select server global-pool subaddress命令,即支持从地址分配,即DHCP服务器与客户端在同一网段,当DHCP服务器为客户端分配IP地址时,优先从与服务器接口(与客户端相连的接口)的主IP地址在同一网段的地址池中选择地址分配给客户端,如果该地址池中没有可供分配的IP地址,则从与服务器接口的从IP地址在同一网段的地址池中选择地址分配给客户端。如果接口有多个从IP地址,则从第一个从IP地址开始依次匹配。如果未指定本参数,则只能从与服务器接口的主IP地址在同一网段的地址池中选择地址分配给客户端。
支持从地址分配,即DHCP服务器与客户端在同一网段,当DHCP服务器为客户端分配IP地址时,优先从与服务器接口(与客户端相连的接口)的主IP地址在同一网段的地址池中选择地址分配给客户端,如果该地址池中没有可供分配的IP地址,则从与服务器接口的从IP地址在同一网段的地址池中选择地址分配给客户端。如果接口有多个从IP地址,则从第一个从IP地址开始依次匹配。如果未指定本参数,则只能从与服务器接口的主IP地址在同一网段的地址池中选择地址分配给客户端。
Gateway为网关路由器,必须使用路由器,Sever以及Client用主机,SwitchA和SwitchB可为二层或三层交换机均可。
图越看越不想做。。。
两个服务器用真机,所有连接线接入SwitchA或者同域交换机,配置DHCP服务器的交换机二层或者三层均可,配好接口地址,至于路由器作为主机自动获取地址,我还不会
DHCP 获取169.254网段地址,原因:https://blog.51cto.com/hccing/1585966
具体原因是因为我没有在交换机之间的口配置成trunk口:https://www.cnblogs.com/boshen-hzb/p/9900814.html
4.OSPF
在一个OSPF自治系统中ABR的配置情况。Router A 、Router B运行在area 0;Router B、Router C运行在area 1,Router B为ABR
Router A配置
#
//设置router-id,与loopback 0的IP地址一致
router-id 1.1.1.1
#
interface GigabitEthernet0/0
ip address 20.2.2.1 255.255.255.252
#
interface GigabitEthernet0/1
ip address 10.1.1.1 255.255.255.0
#
interface Loopback0
ip address 1.1.1.1 255.255.255.255
#
//启动OSPF进程,创建区域0,并在接口使能OSPF
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 20.2.2.0 0.0.0.255
#
Router B 配置
#
router-id 2.2.2.2
#
interface GigabitEthernet0/0
ip address 20.2.2.2 255.255.255.252
#
interface GigabitEthernet0/1
combo enable copper
ip address 30.3.3.1 255.255.255.252
#
interface Loopback0
ip address 2.2.2.2 255.255.255.255
#
//启动OSPF进程,创建区域0和区域1,并将接口加入到不同的区域中
ospf 1
area 0.0.0.0
network 20.2.2.0 0.0.0.255
area 0.0.0.1
network 30.3.3.0 0.0.0.255
#
Router C 配置
#
router-id 3.3.3.3
#
interface GigabitEthernet0/0
ip address 30.3.3.2 255.255.255.252
#
interface GigabitEthernet0/1
ip address 40.4.4.1 255.255.255.0
#
interface Loopback0
ip address 3.3.3.3 255.255.255.255
#
//启动OSPF进程,创建区域1,在接口上使能OSPF
ospf 1
area 0.0.0.1
network 30.3.3.0 0.0.0.255
network 40.4.4.0 0.0.0.255
#
1)Router id 最好配置成和loopback接口地址相同。若没有手工指定router id ,路由器会从当前接口的IP地址中自动选择一个。
2)注意在ABR上要将接口加入到不同的区域中。
3)PC机网关必须设为路由器对应接口地址
display ospf routing 命令查看路由器的OSPF 路由表:
display ospf peer 命令查看路由器OSPF 邻居状态:
RouterA和RouterC均为BDR(备份路由器),RouterB为DR(根路由器)。
display ip routing-table 命令查看路由器全局路由表:
RouterA和RouterC均为INTER(域内路由),RouterB为INTRA(域间路由),后缀为32位的更精确的主机自主生成的主机路由,24位的为管理员配置的网络路由。
5、NAT
https://baike.baidu.com/item/nat/320024?fr=aladdin
内网用户通过路由器的NAT地址池转换来访问Internet,并且向外网用户提供www服务。
设备清单:MSR系列路由器1台,PC 1 台
MSR1 配置
#
//用户NAT的地址池
nat address-group 1 202.100.1.3 202.100.1.6
#
//配置允许进行NAT转换的内网地址段
acl number 2000
rule 0 permit source 192.168.0.0 0.0.0.255
rule 1 deny
#
interface GigabitEthernet0/0
port link-mode route
//在出接口上进行NAT转换
nat outbound 2000 address-group 1
//在出接口上配置内网服务器192.168.0.2的www服务
nat server protocol tcp global 202.100.1.3 www inside 192.168.0.2 www
ip address 202.100.1.2 255.255.255.0
#
interface GigabitEthernet0/1
port link-mode route
//内网网关
ip address 192.168.0.1 255.255.255.0
#
//配置默认路由
ip route-static 0.0.0.0 0.0.0.0 202.100.1.1
#
我的配置:
[ROUTER]nat address-group 1
[ROUTER-address-group-1]address 202.100.1.3 202.100.1.6
[ROUTER]acl basic 2000
[ROUTER-acl-ipv4-basic-2000]rule 0 permit source 192.168.0.0 0.0.0.255
[ROUTER-acl-ipv4-basic-2000]rule 1 deny
[ROUTER-acl-ipv4-basic-2000]interface GigabitEthernet0/0
[ROUTER-GigabitEthernet0/0]port link-mode route
[ROUTER-GigabitEthernet0/0]nat outbound 2000 address-group 1
[ROUTER]interface GigabitEthernet0/1
[ROUTER-GigabitEthernet0/1]nat server protocol tcp global 202.100.1.3 inside 192.168.0.2
[ROUTER-GigabitEthernet0/1]ip ad
[ROUTER-GigabitEthernet0/1]ip address 192.168.0.1 255.255.255.0
[ROUTER-GigabitEthernet0/1]ip route-static 0.0.0.0 0.0.0.0 202.100.1.1
(直连路由可以不需要这条命令,非直连网络必须要这条命令网络才可以通畅)
在出接口做NAT转换。
内网ping外网,分别在代表内外网的主机上抓包,如果外网也可以ping通内网,是因为网络直连或者是有路由协议,正常情况下外网无法得悉内网地址,也就无从ping起
由上图可知,地址池中地址作为转换地址连通外网,说明nat转换配置成功
内网主机正常
6、VRRP
两台路由器RTA、RTB加入两个vrrp组,实现冗余备份,同时实现负载分担。
IP地址说明:
(如图所示:RTA与RTC之间为192.168.1.0/24网段,RTC与RTB之间为192.168.2.0/24网段)
RTA: E0/0: 172.10.1.1/16 E0/1: 192.168.1.1/24
RTB: E0/0: 172.10.1.2/16 E0/1: 192.168.2.1/24
RTC: E0/0: 192.168.1.2/24 E0/1: 192.168.2.2/24
Vrrp虚接口1: 172.10.2.1
Vrrp虚接口2: 172.10.3.1
1.配置PC1的IP地址:172.10.1.6/16, 默认网关指向172.10.2.1
2.配置PC2的IP地址:172.10.1.7/16, 默认网关指向172.10.3.1
RTA配置
#
interface GigabitEthernet0/0
port link-mode route
ip address 172.10.1.1 255.255.0.0
vrrp vrid 1 virtual-ip 172.10.2.1
vrrp vrid 1 priority 150
vrrp vrid 2 virtual-ip 172.10.3.1
#
interface GigabitEthernet0/1
port link-mode route
ip address 192.168.1.1 255.255.255.0
#
rip 1
network 172.10.0.0
network 192.168.1.0
RTB配置
#
interface GigabitEthernet0/0
port link-mode route
ip address 172.10.1.2 255.255.0.0
vrrp vrid 1 virtual-ip 172.10.2.1
vrrp vrid 2 virtual-ip 172.10.3.1
vrrp vrid 2 priority 150
#
interface GigabitEthernet0/1
port link-mode route
ip address 192.168.2.1 255.255.255.0
#
rip 1
network 172.10.0.0
network 192.168.2.0
RTC配置
#
interface GigabitEthernet 0/0
ip address 192.168.1.2 255.255.255.0
#
interface GigabitEthernet 0/1
ip address 192.168.2.2 255.255.255.0
#
interface LoopBack1
ip address 192.168.8.8 255.255.255.255
#
rip
network 192.168.1.0
network 192.168.2.0
network 192.168.8.0
结果分析
1 配置完成后,从PC1上tracert RTC上的Loopback1接口,数据包经过RTA到达RTC,从PC2上tracert RTC的Loopback1接口,数据包经过RTB到达RTC。
2当shutdown掉RTA的E0/0端口后查看RTB的vrrp信息,可以看到,此时两个vrrp的虚拟网关均为在RTB侧。
报告:
出现可以ping通却无法tracert的情况,百度后得知需要敲以下两条命令方可。
[RTC]ip ttl-expires enable 差错控制报文ttl为0则错误,丢包
[RTC]ip unreachables enable
ip unreachables enable命令用来开启设备的ICMP目的不可达报文的发送功能。undo ip unreachables命令用来关闭设备的ICMP目的不可达报文的发送功能。
缺省情况下,ICMP目的不可达报文发送功能处于关闭状态。
ip ttl-expires enable命令用来开启设备的ICMP超时报文的发送功能。undo ip ttl-expires命令用来关闭设备的ICMP超时报文的发送功能。
缺省情况下,ICMP超时报文发送功能处于关闭状态。
需要注意的是,关闭ICMP超时报文发送功能后,设备不会再发送“TTL超时”ICMP差错报文,但“重组超时”ICMP差错报文仍会正常发送