1.0.0 企业网络结构介绍
网络定义:
多个终端设备和一些网络传输设备,通过这些网络传输介质连接到一块,这
样的一个范围里面实现通信或者实现服务的应用,这种形式称为网络。
公司网、学校网、校园网、企业网:
内部网络(本地的企业网络)。
远程访问渠道:
用upscc ,mpls ,拨号方式远程传输,专线,物理线路。
安全性:加密。
小型企业网络:
满足用户对资源访问需求,较强灵活性,减少部署维护成本,要考虑到业务的重要性,缺少冗余机制、可靠性不高、容易中断。
大型企业网络设计的基本思想:
大型企业有许多重要的流量-->要考虑到链路的冗余-->考虑业务-->私密性的信息-->层次化的设置(以保证安全性)。
局域网:
连接到一个网络里面进行通信,只能实现本地通信。
广域网:
不同的局域网连接在一起,范围有可能是不同的城市之间,甚至不同的国家之间。
城域网:
相对局域网较小的范围,一个城市(省)里面,网络连接到一起。
小型网络简单,无层次划分;大型网络复杂,有层次划分。
1.1.1 传输介质简介
传输介质:
路由,交换机之间,连接的介质。
在共享式网络中可能会出现信号冲突现象(应用同轴电缆传输数据):
导致整个网络中只能由一个人来发送数据,如果多人一起发送数据会发生信号冲突,
会发生丢包现象。(发之前先听一下,看看整个网络中是否有人在通讯)。
共享网络冲突域解决方法:
采用载波侦听多路访问、冲突检测技术(简称:CSMA/CD)。
方法总结:先听后发,边发边听,冲突停发,随机延迟后重发。
以太网的最大包长和最小包长:
最大包长1518byte,其中三层数据1500byte(称为MTU),只是一个规定而言。
最小包长64byte。
(原因:如果A主机发送的帧很小,很快完成帧的发送,而两台冲突主机相距很远。在主机A发送的帧传输到B的前一刻,B开始发送帧。这样,当A的帧到达B时,B测到冲突,于是发送冲突信号。假如在B的冲突信号传输到A之前,A的帧已经发送完毕,那么A将检测不到冲突而误认为已发送成功,因此必须有最小包长的限制。)
半双公:模式下只有一台设备进行发送,信息的单向传递(例如:冲突域)。
全双工: 双方可以同时通信。
1.1.2 分层模型介绍及以太帧结构
数据通信协议的定义:
决定数据的格式和传输的一组规则或者一组惯例(例如两个人说话要用同种语言)
协议为什么要分层:
降低网络设计的复杂性(例如一个公司的不同部门,来实现不同的工作互不干扰)
意义:
可以相对独立于具体的通信线路和通信硬件接口的差别
可以相对独立于具体用户应用要求的不同
简化了相关的网络操作;提供了不同厂商之间的兼容性;
促进了标准化工作;结构上进行了分层;易于学习和操作。
各个层次独立,一层的变化不会影响到邻层
分层模型--OSI七层(开放系统互连参考模型):
应用层(APDU):为应用程序提供网络服务,用户接口
HTTP/Telnet
表示层(PPDU):数据格式化,加密、解密 ASCL/EBCDLC/JPEG
会话层(SPDU):对应用会话的管理和同步 操作系统/应用读取
传输层(数据段):可靠与不可靠的传输,传输前的查错校验、流控 TCP/UDP
网络层(数据包):IP地址寻址和路由选择 IP
数据链路层(数据帧):用MAC地址访问媒介、查错校验与修正
802.3/802.2/HDLC/FC/PPP
物理层(比特流):比特流传输 EIA//TIA-232
分层模型的作用:
为了解决异种网络互联时所遇到的兼容性问题
各层之间是独立的,互连网络中各实体采用什么样的协议是没有限制的,只要不改变向上层提供的服务和相邻的接口就可以。
分层的优点:
将服务、接口和协议这三个概念明确区分开来
服务:某一层为上一层提供一些服务
接口:上层如何使用下层的服务
协议:如何实现本层的协议
以太网中数据帧的结构:
Ethernet_ll{Leng/Type>=1536(0X0600)}
D.MAC--S.MAC--Type--Data--FCS
IEEE802.3{Leng/Type<=1500(0X05DC)}
D.MAC--S.MAC--Length--LLC--SNAP--Data--FCS
D.MAC(目的MAC地址) S.MAC(源MAC地址) Type(数据帧类型)
Data(要发送的数据) FCS(校验)
以太网中数据帧转发的过程:
当主机接收到的数据帧所包含的目的MAC地址是自己的,会把以太网封装剥掉后送往上层协议。
MAC地址:
是由两部分组成,分别是供应商代码和序列号。其中前24位代表该供应商的代码,由IEEE管理和分配。剩下24位序列号由厂商自己配。
1.1.3 ip编址
ip报文头部(20-60b):
Ip包头格式:
版本:ipv4 ipv6
总长度=首部长度+数据长度
数据分片重组:标识符,标志,段偏移量
TTL生命周期:防止数据在路由器中无限循环下去(ip防环)
协议号:udp是17 tcp是6 icmp是1
可选项:40字节
Ip编址:
Ipv4:二进制
Ipv6:十六进制
Ip地址类型:
IP地址分类:
A类:0.0.0.0~172.255.255.225
/8
B类:178.0.0.0~191.255.255.255
/16
C类:192.0.0.0~223.255.255.255
/24
D类:224.0.0.0~239.255.255.255
组播
E类:240.0.0.0~255.255.255.255
保留
私有地址:
10.0.0.0-10.255.255.255
/8
172.16.0.0-172.31.255.255
/16
192.168.0.0-192.168.255.255
/24
特殊地址:
172.0.0.0~172.255.255.255
测试
0.0.0.0
未指定
255.255.255.255
广播
变长子网掩码vlsm:
好处:
节约ip地址空间
缩减网络流量
优化网络性能
简化管理
更为灵活的形成大覆盖范围的网络
坏处:增加路由表的大小
注意:使用vlsm时,所采用的路由协议必须能够支持它,这些路由协议包括RIPv2、OSPF、EIGRP、BGP
子网划分方法:
无类域间路由cidr:
找到相同bit位,将齐划分到一个路由
减少路由表规模,提高路由可拓展性。
网关:
用来转发来自不同网段之间的数据包。
1.1.4 ICMP协议
ICMP协议 控制报文协议
用来在网络设备间传递各种差错和控制查询信息,对于收集各种网络信息、诊断和排除各种网络故障具有至关重要的作用。
ICMP重定向报文(控制主机)
解决路由次尤问题
路由产生 主机处理
ICMP 差错检测(产生报文方式:ping)
ICMP Echo Request和ICMP Echo Reply:
分别用来查询和响应某些信息,进行差错检测。
ICMP错误报告:当网络设备无法访问目标时,会自动发送ICMP目的不可达报文到发送端设备
ICMP数据包格式:
type表示消息类型,code表示同一消息类型中的不同信息
ICMP消息类型和编码类型:
ICMP应用-ping
ICMP Echo Request ICMP Echo Reply
ICMP应用-Tracert
显示数据包在网络传输过程中所经过的每一跳
1.1.5 ARP协议
数据链路层在进行数据封装时,需要目的MAC地址
arp通过目的ip地址获取目的mac地址
arp报文不能穿越路由器,不能被转发到其他广播域
一台网络设备要发送数据给另一台设备时,必须知道对方的IP地址。但是,仅有IP地址是不够的,因为ip数据报文必须封装成帧才能通过数据联络层进行发送,而数据帧必须包含目的MAC地址,因此发送端还必须获取到目的MAC地址。每一个网络设备在数据封装前都要获取吓一跳MAC地址。IP地址由网络层来提供,MAC地址通过ARP协议来获取。ARP协议是tcp/ip协议族中重要组成部分,ARP能够通过IP地址发现目标设备的MAC地址,从而实现数据联络层的可达性。
请求时MAC地址全为0
1.5.2 ARP代理及免费ARP
代理ARP:
位于不同网络的设备在不配置网关的情况下,能够通过ARP代理实现互相通信
ARP代理在华为设备中默认关闭
主机没配网关,路由找到目的主机,向源主机发送网关mac地址(ARP Reply包),让源主机认为找到目的主机mac
int g0/0/0
arp-proxy enable //开启
免费ARP:
可以用来探测IP地址是否冲突
用ARP请求,若是无回应,则IP地址可以用
网络设备在什么时候会发送ARP request?在发包之前
网络设备生麽时候会产生免费ARP?在重新配置ip地址后
1.1.6 传输层协议tcp udp
传输控制协议tcp(可靠,先建立连接)
用户数据包协议udp(不可靠,不用创建连接)
端口号:
FTP 21、20(文件传输协议)
HTTP 80(网页)
Telnet 23(远程管理)
SMTP 25
端口号用来区分不同网络服务
0-1023知名端口号 1024-65535动态端口号
序列号:0~2^32-1范围内,数据段标记,用于到目的端对到达包的重组
urg:紧急指针有效位,与16位紧急指针配合使用
ack:确认序列号有效位,表明该数据包包含确认信息
psh:通知接收端立即将数据提交给用户进程,不在缓存中停留,等待更多的数据
rst:为1时,请求重新建立TCP连接
syn:为1时,请求建立连接
fin:为1时,数据发送完毕,请求断开连接
TCP三次握手建立可靠连接
请求建立连接(syn) 接收请求确认(ack) 发送确认(ack)
tcp四次握手断开连接
请求断开(fin)接收确认 (双方都进行一次)
因为全双工模式,双方确认后断开
1.1.7 数据转发过程
数据包在相同网段内或者不同网段之间转发所依据的原理基本一样
tcp封装:当主机建立了到达目的地的tcp连接后,便开始对应用层数据进行封装
ip封装,查找路由:主机必须拥有到达目的地址的路由
ARP:通过ARP缓存表找到吓一跳MAC地址,如果没有,发送ARP请求
数据帧转发:如果主机工作在半双工,会用csma/cd来检测链路空闲
全双工会直接转发
用前导码进入同步状态,定界符指示帧的开始
同一个冲突域里的设备都会接收到主机a发送的数据帧
只有网关RTA会处理该数据帧,并继续转发
数据包的转发:网关检查是否具有到达目的网络的路由条目
如果存在转发路径,则为数据包添加一个新的二层帧头和帧尾,并继续转发
数据帧解封装:RTB以服务器的MAC地址作为目的MAC地址继续转发
服务器接收到该数据帧后,发现该目的的mac是自己的mac,于是会继续处理数据帧
数据包解封装:服务器检查数据包的目的ip地址,发现目的ip与自己的IP地址相同
服务器剥掉数据包的ip头部后会送往上层协议tcp继续进行处理
数据段解封装:服务器监察室TCP头部的目的端口,然后将数据段发送给应用层的HTTP协议进行处理
2.2.1 VRP基础
vrp:(Versatile Routing Platform)华为公司数据通信产品的通用操作系统品台
主机之间通信:
物理层设备:发送直连电信号
以太网线、串口线、中继放大器(hub:远距离放大信号)
二层设备-交换机:拥有二层,与完整一层功能
网络接口卡(NIC)、网桥
-Bridge、交换机-Switch
二层地址-MAC:交换机采用静态动态的方法生成交换表(cam表),利用交换表,根据主机的MAC地址转发数据报文
三成设备--路由器:路由器采用静态或动态方式生产路由表,利用路由表,根据数据包的三层目的IP地址转发数据报文拥有完整一二层功能
路由器:可以分割广播域
冲突域:在以太网中,当多个节点同时传输数据时,从多个设备发出的帧将会碰撞,在物理介质上相遇,彼此数据都会被破坏,这样的共享介质网段就叫冲突域。
广播域:广播帧传输的网络范围,一般是路由器来设定边界(路由不转发广播)
设备管理接口:AR路由器 S交换机
参数配置:
很多终端模拟程序都能发起Console连接,例如可以使用超级终端程序连接到VRP操作系统。如果初次启动,需要设置登陆密码,在缺少超级终端的计算机上,可以
使用putty或Secure CRT程序发起Console连接
2.2.2 命令行基础
设备初始话启动:
Do you want to stop Auto-Config?[y/n] y
命令行视图:
用户视图:
系统视图:[Huawei](进入命令system-view)
接口视图:接口配置
协议视图:路由配置
基本配置步骤:
[Huawei]sysname * 设备配置名称
配置系统时钟:
clock timezone xjl add 8:00 设置所在时区
clock datatime 设置当前时间和日期
clock daylight-saving-time 设置采用夏时制(几乎不用)
配置标题消息:
header login intformation “ ”
配置在用户登陆前显示的标题消息
header shell intformation “ ”
配置在用户登陆后显示的标题消息
命令等级:
command-privilege level 3 viem user save
用户界面:
Console 编号0
VTY 编号0-4
配置用户界面命令:
[Huawei]user-interface console 0
(进入配置)
idle-timeout 0设置超时时间
screen-length 设置制定终端屏幕临时显示行数
history-command max-size 设置历史命令缓冲区大小
配置登陆权限:
user-interface vty 0
user privilege lexel 0配置指定用户界面下的用户级别
set authentication password cipher huawei配置本地认证密码
配置接口IP地址:
interface g0/0/0
ip address 10.0.12.1 255.255.255.0
interface loopback 0
ip address 1.1.1.1 32
2.2.3 文件系统基础
基本的查询命令:
-rw-
文件
drw- 文件夹
目录操作:
cd 。。返回上个目录
文件操作:
复制:copy 文件名 路径
移动:move 文件名 路径
重命名:rename 原文件名 更改后文件名
配置文件管理:
ram 内存(虚拟内存)
Flash/SD卡 (物理存储空间)
设备启动时,会加载保存的配置文件到RAM,做为当前配置文件
reboot重启
save 保存当前配置信息
display current-configuration查看当前配置文件
display saved-configuration 查看保存的配置文件
系统启动文件
查看系统启动配置参数 display startup
配置系统下次启动时间使用配置文件 startup saved-configuration 配置文件名
比较当前配置与下次启动配置 compare configuration
清除下次启动时加载的配置文件 reset saved-configuration
存储设备
SDRAM
内存
Flash
存储vrp系统文件
NVRAM
存储配置文件,可擦写
SD Card
以上内容可以放在sd卡上,启动的时候修改一下路径
USB
与sd卡功能一样
存储设备修复
fixdisk 储存设备名称:
fixdisk Flash:
储存设备格式化
format 储存设备名称:
2.2.4 VRP系统管理
网络设备升级和备份系统文件或配置文件时,会用到FTP TFTP
升级VRP
随着VRP版本更新,其支持的特性也越来越多,可以更具需求更新vrp版本
文件传输
网络设备可以从服务器获取VRP系统文件,也可以将日志文件,配置文件保存到
服务器作为备份
文件传输协议
常用协议FTP(TCP) TFTP(UDP)
VRP系统文件更新配置
与FTP服务器连通
查看剩余储存空间
删除原来的,注意备份原来的
上传备份:put 文件名
从FTP服务器获取VRP
ftp 10.1.1.2
User(10.1.1.2:(none)):用户名
Enter password:
[ftp]get 系统文件名
指定下次启动时加载的VRP
startup system-software 系统文件名
从TFTP服务器获取VRP
tftp 10.1.1.2
get 系统文件名
确认更新成功
display version 查看版本信息
3.3.1 交换网络基础
小型交换网络
交换机工作在数据联络层,转发数据帧
交换机转发行为
泛洪(Flooding)
1)
组播帧
2)
广播帧
3)
单播帧
不知道是谁
未知单播
转发(Forwarding)
丢弃(Discarding)
交换机初始状态
交换机MAC地址表为空
学习MAC地址
交换机将收到的数据帧的源MAC地址和对应接口记录到MAC地址表中
转发数据帧
当数据帧的目的MAC地址不在MAC表中吗,或者目的MAC地址为广播地址时,
交换机会泛洪该帧
目标主机回复
交换机更具MAC地址表将目标的回复信息单播转发给源主机
基本配置
不能协商的交换机可以以下配置
int g0/0/0
undo negotiation auto
speed 100
duplex full
3.3.2 STP原理与配置
冗余链路会给交换机带来环路风险,导致广播风暴。生成树协议STP可以提高性能,防
止环路
二层交换网络
交换级之间通过多条链路互联时,虽然能提升网络可靠性,但同时也会带来环路问
题。
广播风暴
环路会引起广播风暴
网络中的主机会收到重复数据帧 (网络层有TTL,数据链路层无法丢弃)
MAC地址表震荡
环路会引起MAC地址表震荡(在多个口记录同一个mac源地址)
STP操作
1)
选举一个根桥(ROOT)
2)
每个非根交换机选举一个根端口(RP)
3)
每个段选举一个指定端口(DP)
4)
阻塞非根、非指定端口(ALTE)
每个STP网络中,都会存在一个根网桥,其它交换机叫非根网桥。根网桥或者交换机位于整个逻辑树的根部,时STP网络的逻辑中心,非根桥时根桥的下游设备
跟端口是非根交换机去往根桥路径最优的端口,在一个运行STP协议的交换机上最多只有一个根端口,但根桥上没有根端口。
指定端口时交换机向所有网段转发配置BODU的端口,每个网段有且只有最多一个指定端口。一般情况下,根巧的每个端口总是指点端口。(起初都会发送,稳定情况下只有根网桥发送BPDU)
根桥选举
起初每个人都认为自己是根桥
STP中根桥的选举依据的时桥ID,桥ID由16位的桥先级和48位MAC地址构成。
桥先级可以配置范围0-65535,默认32768.优先级最高的设备(桥ID最小)会被选
举为根桥。如果优先级相同,则会比较MAC。MAC越小优先级月高。
根端口选举
非根交换机在选举跟端口时分别依据该端口的跟路径开销、对端BID、对端PID和
本二端PID
RPC Root Path Cost
PID 优先级(0-240/128)+端口号
端口状态转换
1)
端口初始化使能
2)
端口被选举为根端口或者指定端口
3)
端口不再是根端口或指定端口
4)
forward delay计时器超时
5)
端口禁用或链路失效
Forwarding:转发状态。端口既可以转发用户流量,也可以转发BPDU报文,只有端口或者指定端口才能进入Forwarding状态
Learning:学习状态。端口可根据收到的用户流量构建MAC地址表,但不能转发用户流量。增加Learning状态是为了防止临时环路
Listening:侦听状态。端口可以转发BPDU报文,但不能转发用户流量
Blocking:阻塞状态。端口仅仅能接收并处理BPDU,不能转发BPDU,也不能转发用户流量。此状态是预备端口的最终状态。
Disabled:禁用状态。端口既不能处理和转发BPDU报文,也不能转发用户流量。
BPDU
BPDU详细参数
计时器
配置BPDU报文每经过一个交换机,Message Age都加一
如果Message Age大于Max Age:20,非根桥会丢弃该配置BPDU
根桥故障
非根桥会在BPDU老化之后开始根桥的重新选举
时间是Max Age+2倍Forward Delay=50s左右
直连链路故障
SWB检测到直连链路物理故障后,会将预备端口转换为根端口
SWB的预备端口会在30秒后恢复到转发状态(2倍的转发延迟时间)
非直连链路故障
故障后,预备端口恢复到转发状态大约需要50秒
拓扑改变导致MAC地址表错误
MAC地址表项的默认老化时间300s,在这段时间不能改变,导致无法成功转发数据。(发送TCN TCA TC)
TCN过程
STP配置
STP模式
[Huawei]STP mode stp 默认模式是MSTP生成树使用802.3封装协议
交换机优先级
[SWA]stp priority 4096
配置路径开销
[SWC]stp pathcost-standard ?
dotld-1998
IEEE
802.1D-1998
dotlt
IEEE
802.1T
[SWC]interface GigabitEthernet 0/0/1
[SWC-GigabitEthernet0/0/1]stp cost 2000
配置验证
display stp
3.3.3 RSTP原理与配置
STP能够解决环路问题,但是收敛慢,IEEE于2001年发布的802.1w标准定义了快速生
成树协议RSTP,RSTP在STP基础上进行了改进,实现了网络拓扑快速收敛
RSTP端口角色
Backup
Backup端口作为指定端口的备份,提供了另外一条从根桥到非根桥的备份链路。
Alternate
Alternate端口作为根端口的备份端口,提供了从指定桥到根桥的第一条备份路径。
RSTP边缘端口
边缘端口不接收处理配置BPDU,不参与RSTP运算,状态For
端口状态
RST BPDU
Port Role=
00
Unknown
01
Alternate/Backup Port
10
Root Port
11
Designated Port
STP的配置BPDU中Flag字段的中间6位在RSTP中得到了应用
非根桥设备无论设备是否接收到更网桥发送的配置BPDU,都会按照Hello Timer规
定的时间间隔发送配置BPDU
STP中非根桥只有收到上游设备发送过来的配置BPDU,才会发送配置BPDU
RSTP收敛过程
每一台交换机启动RSTP后,都认为自己时“根桥”,并且发送RST BPDU。所有端口都为指定端口,处于Discarding状态。
交换机互相发送Proposal置位的RSTBPDU
优先级高的收到BID优先级低的RSTBPDU,会忽略。
若交换机收到了更优的RSTBPDU,于是停止发送RSTBPDU,并且开始执行同步。设置下游指定端口为Discarding状态
阻塞所有非边缘端口之后,SWB将会发送一个Agreement置位的RSTBPDU。端口确认为根端口,并且处于Forwarding状态。
当优先级高的SWA收到Agreement置位的RSTBPDU后,指定端口立即从Discarding迁移到Forwarding
P/A进程向下游继续 传递,SWB和SWC会继续进行收敛
链路故障/根桥失效
交换机因此收不到上游交换机发送的RST BPDU。在故障产生之后,交换机将会使用P/A机制重新协商。
在STP中,当出现链路故障或根桥失效导致交换机收不到BPDU时,交换机需要等Max Age时间后才能确认出现故障。而在RSTP中,如果交换机端口在连续三次Hello Timer规定的时间间隔内没有收到上游交换机发送的RST BPDU,便会确认本端口和对端端口的通信失败,从而需要初始化P/A进程去重新调整端口角色。
RSTP拓扑变化处理
其它交换设备收到RSTBPDU后,清空说有其他端口学习到的MAC地址,除了收到RST BPDU的端口,
STP兼容
运行RSTP的交换设备在某端口上接收到运行STP的交换设备发出的配置BPDU,会把该端口转换到STP工作模式。
配置STP模式
[SWA]stp mode rstp
//执行后该交换机所有端口都工作在RSTP模式
配置边缘端口
[SWA-GigabitEthernet0/0/3]stp edge-port enable
边缘端口可以由Disabled直接转到Forwarding状态,不经历延时。
Sx7系列交换机默认所有端口都工作在非边缘端口
根保护
[SWA]interface GigabitEthernet 0/0/1
[SWA-GigabitEthernet0/0/1]stp root-protection
根保护功能确保了根桥的指定端口不会因为一下网络问题而改变端口角色。
BPDU保护
[SWc]stp bpdu-protection
配置BPDU保护功能后,如果边缘端口收到BPDU报文,边缘端口会被立即关闭,
并通知网管系统。被关闭的边缘端口只能通过管理员手动恢复。
*配置边缘端口都要设置BPDU保护
环路保护
[SWC-GigabitEthernet0/0/1]stp loop-protection
跟端口如果长时间收不到来自上游的BPDF,则进入Discarding状态,避免网络中形成环路
配置验证
[SWC]display stp interface GigabitEthernet 0/0/1
4.4.0 IP路由基础
自制系统(as):
由同一个机构管理、使用统一路由策略的路由器的集合。
路由选路:
路由器负责为数据包选择一条最优路径,并进行转发。
IP路由表
路由表中包含了路由可以达到的目的网络。目的网络在路由表中不存在的数据包会被丢弃。
最长匹配原则:
路由表中如果有多个匹配目的的路由条目,则路由器会选择掩码最长的条目。
路由优先级
路由器转发数据包
路由器需要知道吓一跳和出接口才能将数据转发出去
4.1静态路由基础
静态路由引用场景
静态路由是指由管理员手动配置和维护的路由
静态路由配置
[RTP]ip route-static 192.168.1.0 255.255.255.0 10.0.12.1
[RTP]ip route-static 192.168.1.0 255.255.255.0 Serial 1/0/0
[RTP]ip route-static 192.168.1.0 24 Serial 1/0/0
静态路由
在串行接口上,可以通过指定吓一跳地址或出接口来配置静态路由。
在广播型接口(如以太网接口)上配置静态路由,必须要指定吓一跳地址
负载分担
[RTP]ip route-static 192.168.1.0 255.255.255.0 10.0.12.1
[RTP]ip route-static 192.168.1.0 255.255.255.0 2 v0.0.12.1
静态路由支持到达同一目的地的等价负载分担
配置验证
display ip routing table
路由备份
[RTP]ip route-static 192.168.1.0 255.255.255.0 10.0.12.1
[RTP]ip route-static 192.168.1.0 255.255.255.0 2 v0.0.12.1 preference 100
浮动静态路由在网络中主路由失效情况下,会加入到路由表并承担数据转发业务
缺省路由(最不优先 )
[RTP]ip route-static 0.0.0.0 0.0.0.0 10.0.12.2
[RTP]ip route-static 0.0.0.0 10..0.12.2 GigabitEthernet 0/0/0
4.4.2 距离矢量路由协议-RIP
动态路由协议基础
动态路由协议:动态学习路由,根据某种规则建立路由转发的协议,并能够根据网络变化作出相应调整的协议。
分类:
IGP协议:链路状态协议(ospf,isis)和距离矢量协议(RIP)
EGP协议: BGP协议
路由选择算法的步骤
向其它路由器传递路由信息;
接收其它路由器的路由信息;
更据收到的路由信息计算出到每个目的网络的最优路径,并由此生产路由选择
表;
对网络拓扑图的变化及时的作出反正,生成新的路由选择表,同时把拓扑变化信息向其它路由宣告。
距离矢量路由选择协议
发现路由
路由器从邻居那获得非直连网络路由信息
路由器每经过特定时间周期向邻居发送自己的路由表
路由信息协议RIP
配置简单 易于维护 适合小型网络
RIP工作原理
路由器运行RIP后,会首先发送路由更新请求,收到请求的路由器会发送自己的RIP路由进行响应,
网络稳定后,路由器会周期性(30s)发送路由更新信息
RIP配置
[AR1]RIP 1
[AR1-rip-1]net 10.0.0.0
RIP计时器
RIP-度量
RIP使用跳数作为度量值来衡量到达目的网络距离
缺省情况下,直连网络的路由跳数为0.当路由器发送路由更新时,会把度量值加1,。RIP规定超过15跳为网络不可达。
RIPv1 vs RIPv2
RIPv1
是有类别路由协议,不支持VLSM和CIDR
以广播的形式发送报文
不支持认证
RIPv2
为无类别路由协议,支持VLSM,支持路由聚合与CIDR
支持以广播或者组播(224.0.0.9)方式发送报文。
支持明文认证和MD5密文认证
配置
[AR1]rip
[AR1-rip-1]version 1
RIPv1报文格式(UDP:520)
RIPv2-认证
RIPv2支持对协议报文进行认证,认证方式有明文认证和MD5认证两种。
5.5 .0 DHCP原理与配置
分配ip地址等网络参数,减少工作量,避免网址冲突。
DHCP应用场景
为大量主机分配IP地址,并能集中管理
大型网络中(手动工作量大、配置容易冲突)、小型网络中(可以采用手工)
DHCP报文类型
DHCP DISCOVER
客户端用来寻找DHCP服务器
DHCP OFFER
DHCP服务器用来响应DHCP DISCOVER报文,此报文携带了各种配置信息
DHCP REQUEST
客户端请求配置确认,或者续借租期(DHCP多台负载,广播自己使用哪个DHCP的ip)
DHCP ACK
服务器对EEQUEST报文的确认响应
DHCP NAK
服务器对EEQUEST报文的拒绝响应。(服务器没有找到租约记录)
DHCP RELEASE
客户端要释放地址时用来通知服务器
地址池
ARG3系列路由器支持两种地址池:全局地址池和接口地址池
接口优先全局
DHCP工作原理
主机
DHCP服务器
|————1DHCP Discover(广播)—————>|
|<———2DHCP Offer(单播)—————————|
|————3DHCP Request(广播)——————>|
|<———4DHCP ACK(单播)———————————|
DHCP租期更新
主机
DHCP服务器
|———1DHCP Request(单播,续租)—>|
|<——2 DHCP ACK(单播)——————————|
ip租约期限到达50%时,DHCP客户端会请求更新IP地址租约。
DHCP重绑定
主机
DHCP服务器
|———1DHCP Request(单播,续租)—>|
50%租约剩余
|———2DHCP Request(广播)———————>|
12.5%租约剩余
|<——3 DHCP ACK(NAK单播)———————|
DHCP客户端在租约期限到达87.5%时,还没收到服务器响应,会申请重新绑定ip
IP地址释放
如果IP租约到期前都没有收到服务器响应,客户端停止使用此IP地址
如果DHCP客户端不再使用分配的IP地址,也可以主动向DHCP服务器发送DHCP RELEASE报文,释放该地址
DHCP接口地址池配置
[Huawei]dhcp enable
[Huawei]interface GigabitEthernet0/0/0
[Huawei]ip address 10.1.1.254 24
[Huawei-GigabitEthernet0/0/0]dhcp select interface
[Huawei-GigabitEthernet0/0/0]dhcp server dns-list 8.8.8.8
[Huawei-GigabitEthernet0/0/0]dhcp server excluded-ip-address 10.1.1.2
[Huawei-GigabitEthernet0/0/0]dhcp server lease day 3
[Huawei-GigabitEthernet0/0/0]undo shu
DHCP全局地址池配置
[Huawei]interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 1.1.1.254 24
[Huawei-GigabitEthernet0/0/0]undo shu
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]dhcp enable
[Huawei]ip pool poolname
[Huawei-ip-pool-poolname]network 1.1.1.0 mask 24
[Huawei-ip-pool-poolname]gateway-list 1.1.1.1
[Huawei-ip-pool-poolname]lease day 10
[Huawei-ip-pool-poolname]quit
[Huawei]interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0]dhcp select global
[Huawei-GigabitEthernet0/0/0]undo shu
5.5.1FTP文件传输协议
FTP的应用
FTP提供了一种在服务器和客户机之间上传下载的有效方式
FTP传输文件的过程
使用FTP传输数据时,需要在服务器和客户机之间建立控制连接和数据连接
FTP建立过程
使用FTP进行文件传输时,会使用两个TCP连接。FTP服务器开启21号端口,等待FTP客户端发送连接请求。FTP客户端随机开启端口,向服务器发送建立连接的亲求。控制连接用于在服务器和客户端之间传输控制命令。
第二个连接是FTP客户端和FTP服务器间的数据连接。服务器使用TCP的20端口号与客户端建立数据连接。通常情况下,服务器主动建立或中断数据链接。
FTP传输模式
定义了数据在客户端和服务器之间的传输格式
ADCLL模式用于传输文本。发送端的在发送前被转换成ASCLL码格式之后进行传输,接收端收到之后再将其转换成字符。
二进制模式常用于发送图片和程序文件。发送端在发送这些文件时无需转换格式,即可传输。
FTP配置
服务器端
[Huawei]ftp server enable//打开
[Huawei]set default ftp-directory flash: //访问目录
[Huawei]aaa
[Huawei-aaa]local-user huawei password cipher huawei//用户
[Huawei-aaa]local-user huawei service-type ftp
//用户服务
[Huawei-aaa]local-user huawei ftp-directory flash:
//用户目录(优先)
[Huawei-aaa]local-user huawei access-limit 200
//访问限制
[Huawei-aaa]local-user huawei idle-timeout 0 0
//永不超时
[Huawei-aaa]local-user huawei privilege level 3
//访问级别
客户端
ftp 172.16.1.1
User(172.16.1.1:(none)):huawei
Enter password:
[FTP]get yrp.cc
5.5.2Telnet SSH原理与配置
Telnet SSH应用场景
可以通过终端对本地和远程的网络设备进行集中管理。(暴走3层通信)
Telnet连接
客户端和服务器基于tcp链接来传输命令
以客户端/服务器模式运行。Telnet基于TCP协议,服务器端口号默认23,服务器通过该端口与客户端建立Telnet连接
认证模式
认证模式
模式
AAA
AAA认证
Password
登录时只通过密码实现认证
Telnet配置
[Huawei]interface Enternet 2/0/0
[Huawei-Enternet2/0/0]ip address 10.1.1.1 24
password认证
[huawei]user-interface vty 0 4
//最大15个
[Huawei-ui-vty0-4]authentication-mode password
//认证方式
[Huawei-ui-vty0-4]set authentication password cipher huawei
[Huawei-ui-vty0-4]protocol inbound telent
//接入方式telnet SHH
[Huawei-ui-vty0-4]user privilege level 3
//权限等级默认为0
AAA认证
[huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode AAA
//认证方式
[Huawei-ui-vty0-4]local-user telent password cipher telent //创建用户密码
[Huawei-ui-vty0-4]protocol inbound telent
//接入方式telnet SHH
[Huawei-ui-vty0-4]user privilege level 3
//继承AAA的权限等级
SSH(Secure Shell)
服务器端
rsa local-key-pair create
//产生本地RSA主机密钥对,初始有密钥对不需要配置,查看display rsa local-key-pair public
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
stelnet server enable
//打开SSH服务,服务器端口TCP 22
aaa
local-user ssh password cipher ssh
local-user ssh service-type ssh
local-user ssh privilege level 3
//创建AAA用户
客户端
stelnet server enable
ssh client first-time enable
//第一次进入没有保存密钥对,输入这条命令,不需要验证密钥对
stelnet 10.1.13.1
6.1.1链路聚合
链路聚合
链路聚合能够提高链路带宽,增强网络可用性,支持负载分担。
可以是路由器、可以是交换机、可以一端是交换机一端是路由器。
链路聚合模式
手工负载分担模式
全部转发数据,分担负载流量
LACP模式
部分链路处于备份状态
数据流控制
Eth-Trunk链路两端相连的数量、速率、双工方式、流控方式必须一致。
二层链路聚合配置
[SWA]interface Eth-Trunk 1
[SWA-Eth-Trunk1]interface GigabitEthernet0/0/1
[SWA-GigabitEthernet0/0/1]eth-trunk 1
[SWA-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2
[SWA-GigabitEthernet0/0/2]eth-trunk 1
[SWA-Eth-Trunk1]max active-linknumber 2
//最大传输接口,多余接口处于备份状态
inter q0/0/1
undo eth-thunk
//取消链路接口
inter Eth-Trunk 1
mode manual
load-balance
//手工负载 (lacp-static静态)
dis this
查看display interface eth-trunk 1
三成链路聚合配置
[RTA]interface Eth-Trunk 1
[RTA-Eth-Trunk1]undo portswitch
[RTA-Eth-Trunk1]ip address 100.1.1.1 24
[RTA-Eth-Trunk1]quit
[RTA-Eth-Trunk1]trunkport GigabitEthernet0/0/1
//将接口加入以太trunk
[RTA-Eth-Trunk1]interface GigabitEthernet0/0/2
//进入接口加入trunk
[RTA-GigabitEthernet0/0/2]eth-trunk 1
6.1.2.1VLAN原理与配置
VLAN能够隔离广播域
VLAN帧格式
链路类型
用户主机和交换机之间的链路为接入链路 Trunk
交换机与交换机之间的链路为干道链路
Access
PVID
PVID表示端口在缺省情况下所属的VLAN
缺省情况下,X7系列交换机每个端口的PVID是1
端口类型-Access
Acces端口在收到数据后会添加VLANTag,VLANID和端口的PVID相同。
Access端口在转发数据前会移除VLANTag。
端口类型-Trunk
当Trunk端口收到帧时,如果该帧不包含Tag,将打上端口的PVID1;如果该帧包
含Tag,则不改变。
当Trunk端口发送帧时,该帧的VLANID在Trunk的允许发送列表中:若与端口的
PVID相同时,则剥离Tag发送;若与端口的PVID不同时,则直接发送。
端口类型-Hybrid
Hybrid端口即可以连接主机,又可以连接交换机。
Hybrid端口可以以Tagged或Untagged方式加入VLAN。
VLAN划分方法
基于端口的VLAN划分方法在实际中最为常见
6.1.2.2VLAN原理与配置
vlan 20
//创建vlan
interface Ethernet 0/0/1
//进入接口
port link-type access
//设置接口模式
port default vlan 10
//加入vlan
vlan batch 1 to 100
//批量创建vlan(1-4094)
interface Ethernet 0/0/1
//进入接口
port link-type trunk
//设置trunk链路
port trunk allow-pass vlan all
//允许全部vlan通过,不写all默认是允许vlan1
display port vlan
//查看配置信息
6.1.2.3 VLAN原理与配置-Hybrid端口配置实验
port default vlan 1
//还原默认vlan1
dis this
//查看当前配置
undo port link-type
//还原接口配置
undo port trunk allow-pass vlan all
port trunk allow-pass vlan 1
//还原trunk
port link-type hybrid
//设置端口类型
port hybrid tagged vlan 10 20 100
//trunk上允许vlan通过
port hybrid untagged vlan 10 20 100
//在连接客户端,允许部分vlan通信,包括自己
interface Ethernet0/0/1
port link-type hybrid
//设置接口类型
port hybrid pvid vlan 10
Voice VLAN应用 语音vlan(不是NA重点 )
通过配置VoicVLAN可以区分语音流量和业务流量,使语音流量优于业务流量,从而为语音流量提供服务保证。
vlan 2
//创建vlan2-4094
voice-vlan 2 enable
voice-vlan mode auto
q
voice-vlan mac-address 0011-2200-0000 mask ffff-ff00-0000
display voice1-vlan status
6.1.3GARP和GVRP
GARP应用
GARP通过在交换机之间交互GARP报文来注册、注销、和传播交换机的属性。
GARP本身仅仅是一种协议规范,并不是作为一个实体在交换机中存在。目前主用的GARP应用为GVRP(vlan层)和GMRP(组播地址)
GARP报文结构
GARP PDU消息以列表的形式来承载属性
GARP消息-Join、Leave、Leave All
当一个交换机希望其它交换机注册自己的属性信息时,将对外发送join消息。
当一个交换机希望其它交换机注销自己的属性信息时,将对外发送leave消息。
交换机发送Leave All消息,用来注销所有的属性。
GVRP应用
GVRP协议可以实现VLAN的自动注册和注销。
GVRP,称为VLAN注册协议。GVRP基于GARP的工作机制,是GARP的一种应用。
GVRP用来维护交换机中的VLAN动态注册信息,并传播该信息到其它的交换机中。
GVRP单向注册
在SWA上创建静态VLAN2,通过VLAN属性的单向注册,SWB和SWC会学习到动态VLAN2,并将相应端口自动加入到VLAN2中。
SWB的G0/0/2端口没有接收Join消息,不会被加入到VLAN2中。
GARP单向注销(同注册)
注册模式-Normal
交换机端口默认为Normal模式,允许静态和动态VLAN注册,同时会发送静态VLAN
和动态VLAN的声明消息.
注册模式-Fixed
不允许动态VLAN在端口上注册或者注销,且只发送静态vlan声明消息.
注册模式-Forbidden
不允许动态VLAN在端口上进行注册,同时删除端口上除了vlan1外所有VLAN.
GVRP配置
[SWA]gvrp
//全局打开gvrp
[SWAinterface G0/0/1
[SWA-GigabitEthernet0/0/1] port link-type trunk
[SWA-GigabitEthernet0/0/1] port trunk allow-pass vlan all
[SWA-GigabitEthernet0/0/1] gvrp
//接口开启gvrp
[SWA-GigabitEthernet0/0/1] gvrp registration fixed
//修改模式(默认Normal)
配置验证
display gvrp status
//状态信息
display gvrp statistics
//统计信息
6.1.4VLAN间路由
VLAN路由-每个VLAN一个物理连接(可扩展性差)
在二层交换上配置VLAN。每一个VLAN使用一条独占的物理链路连接到路由器的
一个接口上。
VLAN路由-单臂路由
将交换机和路由器的链路配置为Trunk链路,并且在路由器上创建子接口以支持
VLAN路由。
单臂路由配置
interface g0/0/0.10
//进入子接口
dotlq termination vid 10
//子接口vlan
ip add 10.1.10.254 24
//子接口ip
arp broadcast enable
//开启广播功能
VLAN路由-三层交换
为每个VLAN创建一个VLANIF接口作为网关。
三层交换配置
interface vlanif 10
ip add 10.1.10.254 24
7.2.1帧中继原理与配置
帧中继网络的属性:
(1)帧中继网络是一个分组交换网络。
(2)传送方式是一步模式(统计复用)使得网络的利用率提高。
帧中继网络:
DCE
DTE
企业总部------------------------------------>企业分支
DCE:客户运营商的设备叫做数据终端设备。
DTE:
虚链路(VC)类型:
PVC:永久虚链路
SVC:交换虚链路
备注:帧中继链路都是面向连接的。
当DTE发送一个数据帧它是如何通过这个网络将帧发送到DCE的:
在帧中继设备上有一个帧中继的交换表包含:入接口和入接口的DLCI;出接口和出接口的DLCI。
DLCI:数据链路连接标识符,用于标识一条虚链路。
LMI协商过程
本地管理接口LMI协议通过状态查询报文和状态应答报文维护帧中继的链路状态和PVC状态。
DCE-----------------------------------------------DTE
<-----------------------------------------
(查看)状态查询信息
----------------------------------------->
(回应)状态应答消息
----------------------------------------->
决定链路状态和PVC状态
LMI(在DCE和DTE之间有LMI--本地管理接口)的作用:进行链路状态的查询和维护,DCE通过LMI协议学习DTE的DLCI号。
延伸--->二层链路:以太网、PPP、HDLC、FR(对于PPP、HDLC链路来讲一条链路只接纳两个设备(二层地址都不重要);对于以太网来讲一个以太网网络可以同时接入多个设备,发送一个数据包给目标地址必须要带上向应的MAC地址;FR的链路里边也是一个多路接入的设备,必须要带有一个对应的MAC地址来标识。----IP和MAC地址的一个正确的关系ARP协议)
延伸映射--->IP和MAC地址的一个正确的关系ARP协议。
--->本端的DLCI和远端IP的映射关系(静态映射、动态方式)。
Inverse ARP协商过程
逆向地址解析协议(Inverse ARP)的主要功能是获取虚链路对端设备的IP地址。
帧中继和水平分割
RTB通告给RTA一条路由信息,但由于水平分割机制,RTA不能通过接口收此路由信息的Serial1/0/0接口将此路由信息转发给RTC。
帧中继子接口
在一个物理接口上配置多个子接口,每个子接口使用一条虚链路连接到对端的路由器,这样就可以解决水平分割带来的问题(多点子接口、点对点子接口)。
帧中继配置-动态映射-实验:
一、实验拓扑图:
二、实验目的:
进一步认识帧中继:
一个点对点的子接口R1--R2 12.1.1.X
一个多点子接口R1--R3,R4连接 134.1.1.X
R1 102;R2 201--->用Inverse ARP做映射
R1 103;R3 301--->用static MAC映射
R1 104;R4 401
三、实验过程:
R1上先封装中继:
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[R1]inter s0/0/0
[R1-Serial0/0/0]link-protocol fr
Warning: The encapsulation protocol of the link will be changed.
Continue? [Y/N]:y
在R1上启一个子接口(s0/0/0.1)与R2连接(点对点的子接口)
[R1-Serial0/0/0]q
[R1]inter s0/0/0.1 p2p
[R1-Serial0/0/0.1]ip address 12.1.1.1 24
[R1-Serial0/0/0.1]q
[R1]
再配第二个子接口(s0/0/0.2)这时要配置点对多点
[R1]inter s0/0/0.2 p2mp
[R1-Serial0/0/0.2]ip address 134.1.1.1 24
[R1-Serial0/0/0.2]
做静态映射打上broadcast预示可以发送组播包和广播包
[R1-Serial0/0/0.2]fr map ip 134.1.1.3 103 broadcast
[R1-Serial0/0/0.2]
[R1-Serial0/0/0.2]fr map ip 134.1.1.4 104 broadcast
[R1-Serial0/0/0.2]
R2的配置:
先将封装类型变成FR(帧中继)
sys
Enter system view, return user view with Ctrl+Z.
[R2]interface s0/0/1
[R2-Serial0/0/1]link-protocol fr
Warning: The encapsulation protocol of the link will be changed.
Continue? [Y/N]:y
[R2-Serial0/0/1]ip address 12.1.1.2 24
[R2-Serial0/0/1]
R3的配置:
先将封装类型变成FR(帧中继)
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R3
[R3]inter s0/0/2
[R3-Serial0/0/2]link-protocol fr
Warning: The encapsulation protocol of the link will be changed.
Continue? [Y/N]:y
[R3-Serial0/0/2]
关闭逆向帧中继
[R3-Serial0/0/2]undo fr inarp
[R3-Serial0/0/2]
做一个静态映射
[R3-Serial0/0/2]fr map ip 134.1.1.1 301 broadcast
[R3-Serial0/0/2]
R4的配置:
先将封装类型变成FR(帧中继)
sys
[Huawei]
[Huawei]sysname R4
[R4]inter s0/0/3
[R4-Serial0/0/3]link-protocol fr
Warning: The encapsulation protocol of the link will be changed.
Continue? [Y/N]:y
[R4-Serial0/0/3]
关闭逆向帧中继
[R4-Serial0/0/3]undo fr inarp
[R4-Serial0/0/3]
做一个静态映射
[R4-Serial0/0/3]fr map ip 134.1.1.1 401 broadcast
[R4-Serial0/0/3]
测试:先看FR的映射信息
R4:
[R4-Serial0/0/3]Q
[R4]display fr map-info
Map Statistics for interface Serial0/0/3 (DTE)
DLCI = 401, IP 134.1.1.1, Serial0/0/3
create time = 2017/12/20 17:47:31, status = ACTIVE
encapsulation = ietf, vlink = 2, broadcast
[R4]
[R4]display fr pvc-info
PVC statistics for interface Serial0/0/3 (DTE, physical UP)
DLCI = 401, USAGE = LOCAL (000000100), Serial0/0/3
create time = 2017/12/20 17:44:37, status = ACTIVE
InARP = Disable
in BECN = 0, in FECN = 0
in packets = 12, in bytes = 360
out packets = 4, out bytes = 120
DLCI = 401, USAGE = LOCAL (00000100), Serial0/0/3
create time = 2017/12/20 17:47:31, status = ACTIVE
InARP = Disable
in BECN = 0, in FECN = 0
in packets = 1, in bytes = 1313131
out packets = 1, out bytes = 30
7.2.2 PPPoE原理与配置
前言
数字用户线路DSL(Digital Subscriber Line)是以电话线为传输介质的传输数字信号的技术,人们通常把所有的DSL技术统称为xDSL,x代表不同种类的数字用户线路技术。目前比较流行的宽带接入技术方式为ADSL,ADSL是非对称DSL技术,使用的是PPPoE(PPP over Ethernet)协议。
PPPoE协议通过在以太网上提供点到点的连接,建立PPP会话,使得以太网中主机能够连接到远端的宽带接入服务器上。PPPoE具有适用范围广、安全性高、计费方便等特点。
DSL应用场景
DSLAM:把数字信号分离出来传到BRAS。
BRAS:宽带接入设备,面向宽带网络应用的一个接入网关(他是ISP的接入层的一个设备)认证也是通过BRAS来接入认证服务器来进行一个对用户的认证。
(1)数字用户线路DSL是以......
(2)PPPoE客户端如何发现PPPoE服务器
(3)我如何利用PPP协议服务器来完成一个对客户端的认证
(4)PPPoE报文
(5)PPPoE的建立过程
(6)PPPoE的协商报文
(7)PPPoE的发现阶段---》进入PPP的协商阶段
(8)PPPoE的会话终结阶段
(9)PPPoE会话的建立过程
PPPoE的协商阶段PADI、PADO、PADR、PADS
PPP链路的协商过程LCP Negotiation、Challenge、Response、Success/Failure、NCP Negotiation
PPPoE的配置
(1)PPPoE的服务器配置
(2)PPPoE的客户端配置(主要掌握)
[RTA]dialer-rule
[RTA-dialer-rule]dialer-rule 1 ip permit
[RTA-dialer-rule]quite
[RTA]interface dialer 1
[RTA-Dialer1]dialer user enterprise--》必须要配置的,这个命令的含义:
[RTA-Dialer1]dialer-group 1
[RTA-Dialer1]dialer bundle 1
[RTA-Dialer1]ppp chap user enterprise@huawei
[RTA-Dialer1]ppp chap jpassword cipher huawei
[RTA-Dialer1]ip address ppp-negotiate
实验
一、实验拓扑图:
GE0/0/0 GE0/0/0
R1--------------------------------R2
二、实验目的:
R1作为PPPoE的Clint,R2作为PPPoE的服务器。
三、实验过程:
先配R2:
服务器的配置:
sys
sysname R2
1、ip pool
[R2]ip pool pppoepool
Info:It's successful to create an IP address pool.
[R2-ip-pool-pppoepool]network 12.1.1.0 mask 255.255.255.0
[R2-ip-pool-pppoepool]gateway-list 12.1.1.2
[R2-ip-pool-pppoepool]q
2、aaa-user、password
[R2]aaa
[R2-aaa]local-user huawei password cipher huawei
Info: Add a new user.
[R2-aaa]local-user huawei service-type ppp
[R2-aaa]q
[R2]
3、找个接口来接收客户端的接入virtul-template和接入的接口相绑定。
7.2.3网络地址转换
NAT应用场景
企业或家庭所使用的网络位私有网络,使用的是私有地址;运营商维护的网络位公有网络,使用的是公有地址。采用私有的数据包不能在公网中被路由。
NAT一般部署在连接内网和外网的网关设备上。
静态NAT
静态NAT实现了私有地址和公有地址的一对一映射。
一个公网IP只会分配给唯一且固定的内网主机。
动态NAT
动态nat基于地址池来实现私有地址和公有地址的转换。
NAPT
网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。
Easy IP
Easy ip允许讲多个内部地址映射到网关出接口上的不同端口。
静态NAT配置
[RTA-Serial1/0/0]nat static global 202.10.10.2 inside 192.168.1.2 //配在连接外网端口
[RAT]display nat static
配置验证
动态NAT配置
[RTA]nat address-group 1 200.10.10.1 200.10.10.200
//nat地址池
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
//允许内网地址
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0
//连接外网接口
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat
//nat匹配acl
[RAT]display nat address-group 1
地址池配置验证
[RAT]display nat outbound
出端口配置验证
*no-pat 不做端口转换,只做IP地址转换。建议不要配置,不然同一个进程只能使
用一个IP地址
Easy IP配置
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
//允许内网地址
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0
//连接外网接口
[RTA-Serial1/0/0]nat outbound 2000
//无地址池nat匹配acl
*出接口号的IP为外网IP
NAT服务器配置
[RTA-Serial1/0/0]nat sever protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080
[RTA]display nat server
Global
IP/Port
203.10.10.1 80(www)
Inside
IP/Port
192.168.1.1 8080
7.2.4企业无线解决方案
建立3g网络连接
system-view
[Huawei]interface cellular 0/0/0
//进入接口
[Huawei-cellular0/0/0]ip address ppp-negotiate
//ip通过ppp协商
[Huawei-cellular0/0/0]profile create 1 static 3GNET
//静态连接3g
[Huawei-cellular0/0/0]mode wcdma wcdma-precedence
//连接电信网络
[Huawei-cellular0/0/0]quit
设置拨号控制中心
[Huawei]dialer-rule
[Huawei-dialer-rule]dialer 1 ip permit
//ip数据触发网络拨号
[Huawei-dialer-rule]quit
[Huawei]interface cellular 0/0/0
[Huawei-cellular0/0/0]dialer enable-circular
//轮询DCC(还有一种共享DCC)
[Huawei-cellular0/0/0]dialer-group 1
[Huawei-cellular0/0/0]dialer number *99#
//*98# #777
配置验证
display interface cellular 0/0/0
(接口状态,协议状态都up,ip是否获取)
配置NAT角色和静态路由
[Huawei]acl number 3002
[Huawei-acl-adv-3002]rule 5 permit ip source 192.168.1.0 0.0.255
[Huawei-acl-adv-3002]quit
[Huawei]interface cellular 0/0/0
//外网接口
[Huawei-acl-adv-3002]nat outbound 3002
//接口匹配acl NAT
[Huawei-acl-adv-3002]quit
[Huawei]ip route-static 0.0.0.0 0 cellular 0/0/0
//静态缺省路由
配置验证:
display nat outbound
8.3.0访问控制列表ACL
ACL引用场景
通过定义规则允许或拒绝流量的通过。
根据需求来定义过滤的条件以及匹配条件后所执行的动作。
ACL分类
高级ACL控制ip流量,二层ACL控制非ip流量。
基本ACL配置
[RTA]acl 2000
//acl name oklab-acl basic
[RTA-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[RTA]interface GigabitEthernet 0/0/0
[RTA-GigabitEthernet 0/0/0]traffic-filter outbound acl 2000
display acl all
display acl 2000
display traffic-filter applied-record
高级ACL配置
高级ACL能够依据源/目的IP地址、源/目的端口号、网络层及传输层协议以及ip
流量分类和TCP标记值等各种参数(SYN|ACK|FIN等)进行报文过滤。
[RTA]acl 3000
[RTA-acl-basic-3000]rule deny source 192.168.1.0 0.0.0.255
destination 172.16.10.1 0.0.0.0 destination eq 21
[RTA-acl-basic-3000]rule deny source 192.168.2.0 0.0.0.255
destination 172.16.10.2 0.0.0.0
[RTA-acl-basic-3000]rule permit ip
[RTA]interface GigabitEthernet 0/0/0
[RTA-GigabitEthernet 0/0/0]traffic-filter outbound acl 3000
*destination目的
192.168.1.1 0 代表主机
ACL应用-NAT
[RTA]nat address-group 1 202.110.10.8 202.110.10.15
[RTA]nat address-group 2 202.155.60.1 202.155.60.30
[RTA]acl 2000
[RTA-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[RTA-acl-basic-2000]acl 2001
[RTA-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[RTA-acl-basic-2000]interface GigabitEthernet 0/0/0
[RTA-GigabitEthernet0/0/0]nat outbound 2000 address-group 1
[RTA-GigabitEthernet0/0/0]nat outbound 2001 address-group 2
8.3.1AAA
AAA:Authentication(认证)、Authorization(授权)和Accounting(计费)
认证:
认证:验证用户是否可以获得网络访问的权限。
AAA支持的认证方式有:不认证,本地认证,远端认证。
授权:
授权:授权用户可以访问或使用网络上的那些服务。
AAA支持的认证方式有:不授权,本地授权,远端授权。
计费:
计费:记录用户使用网络资源的情况。
AAA支持的计费方式有:不计费,远端计费。
AAA域
AAA可以通过域来对用户进行管理,不同的域可以关联不同的认证、授权和计费方案
AAA配置
user-interface vty 0 4
authentication-mode aaa
aaa
local-user localuser password cipher wang
super password cipher 1a.wang
local-user localuser privilege level 15
local-user localuser service-type ssh
[Huawei]aaa
[Huawei-aaa]authentication-scheme auth1
[Huawei-aaa-authen-auth1]authentication-mode local
[Huawei-aaa-authen-auth1]quit
[Huawei-aaa]domain huawei
[Huawei-aaa-domain-huawei]authentication-scheme auth1
[Huawei-aaa-domain-huawei]authentication-scheme auth2
[Huawei-aaa-authen-auth1]quit
8.3.2VPN原理与配置
ipv4缺少安全性,针对ipv6安全性设计出IPSec,但并未应用到ipv6,目前用在VPN上IPSec VPN
企业对网络安全性的要求日益提升,而传统的TCP/IP协议缺乏有效的安全认证和保密机制。IPSec(Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证IP数据报文在网络上传输的机密性、完整性和防重性。
IPSec架构
IPSec不是一个单独的协议,它通过AH和ESP这两个安全协议来实现IP数据包的安全传送。(AH用的不多,主要用ESP)
IKE协议提供秘钥协商,建立和维护安全联盟SA等服务。
安全联盟SA
两种建立SA的方法1.手动2.IKE自动(推荐IKE自动建立,配置简单,而且安全)
安全联盟定义了IPSec对等体间讲使用的数据封装模式、认证和加密算法、秘钥等参数
安全联盟是单向的,两个对等体之间的双向通信,至少需要两个SA
IPSec传输模式
IPSec VPN配置步奏
配置网络可达
配置ACL识别兴趣流
创建安全提议
创建安全策略
应用安全策略
IPsec VPN配置
[RTA]ip route-static 10.1.2.0 24 20.1.1.2
//网络可达
[RTA]acl number 3001
//ACL
[RTA-acl-adv-3001]rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[RTA]ipsec proposal xjl-proposal
//IPsec提案,有默认提案tran1
[RTA-ipsec-proposal-xjl-proposal]esp authentication-algorithm sha1
//修改,默认值
配置验证
display ipsec proposal
*IPsec VPN对等体配置的安全提议参数必须一致。
手动配置policy安全策略
[RTA]ipsec policy xjl-policy 10 manual
[RTA-ipsec-policy-manual-xjl-policy-10]security acl 3000
//感兴趣流
[RTA-ipsec-policy-manual-xjl-policy-10]proposal xjl-proposal
//安全提案
[RTA-ipsec-policy-manual-xjl-policy-10]tunnel remote 202.100.1.1
//远端加密点
[RTA-ipsec-policy-manual-xjl-policy-10]tunnel local 61.128.1.1
//本端加密点
[RTA-ipsec-policy-manual-xjl-policy-10]sa spi outbound esp 54321
[RTA-ipsec-policy-manual-xjl-policy-10]sa spi inbound esp 12345
[RTA-ipsec-policy-manual-xjl-policy-10]sa string-key outbuund esp simle xjl123
[RTA-ipsec-policy-manual-xjl-policy-10]sa string-key inbuund esp simle xjl321
*远端相反
自动秘钥policy配置安全策略
配置IKE对等体
[RTA]ike peer spub v1
[RTA-ike-peer-spub]pre-shared-key simlie huawei
[RTA-ike-peer-spub]remote-address 202.100.1.1
动态协商安全策略
[RTA]ipsec policy xjl-policy 10 manual
[RTA-ipsec-policy-manual-xjl-policy-10]security acl 3000
//感兴趣流
[RTA-ipsec-policy-manual-xjl-policy-10]proposal xjl-proposal
//安全提案
[RTA-ipsec-policy-manual-xjl-policy-10]ike-peer spub
应用安全策略
[RTA]interface gigabitethernet 1/0/0
[RTA-gigabitethernet1/0/0]ipsec policy xjl-policy
*分别引用该端组策略
8.3.3GER原理与配置
IPsec 用于在两个端点之间提供和安全的ip通信,但只能加密传播单播数据
,无法加密和传输语言视频,动态路由协议信息等组播数据流量。
通用路由封装协议GRE提供了将一种协议的报文封装在另一种协议报文中的机制,是一种隧道封装技术,可以封装组播数据,配合IPsec结合使用,从而保证语言视
频等主播业务的安全。
GRE隧道扩展了受跳数限制的路由协议的工作范围,支持企业灵活设计网络拓扑。
首先通过GRE(没有安全功能)对报文进行封装,然后再由IPsec对封装后的报文
进行加密和传输。
GRE报文结构
GRE在封装数据时,会添加GRE头部信息,还会添加新的传输协议头部信息。
Keepalive检测
keepalive检测功能用于检测隧道对端是否可达。
默认关闭,有必要启用。
GRE配置
[RTA]interface Tunnel 0/0/1
[RTA-Tunnel0/0/1]ip address 40.1.1.1 24
[RTA-Tunnel0/0/1]tunnel-protocol gre
[RTA-Tunnel0/0/1]source 20.1.1.1
//本端地址
[RTA-Tunnel0/0/1]destination 20.1.1.2
//远端地址
[RTA-Tunnel0/0/1]quit
[RTA]ip router-static 10.1.2.0 24 Tunnel 0/0/1
Keepalive检测配置
[RTA]interface Tunnel 0/0/1
[RTA-Tunnel0/0/1]keepalive period 3
9.4.0 SNMP原理与配置
简单网络管理协议,可以实现对不同类型和不同厂商的网络设备进行统一管理,大大提升了网络管理的效率。
SNMP用来在网络管理系统NMS和被管理设备之间传输管理信息。
端口号为udp162
SNMP架构
SNMP包括NMS,Agent和MIB等。
Agent是被管理设备中的一个代理进程。
MIB是一个数据库,它包含了被管理设备所维护的变量。
SNMP版本
缺省也是v2c
SNMP配置
[RTA]snmp-agent
//被管理设备使能
[RTA]snmp-agent sys-info version v2c
//版本
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 20.1.1.1
0
//acl
[RTA-acl-basic-2000]q
[RTA]snmp-agent community read huawei acl 2000
//读权限
[RTA]snmp-agent community write huaweiread acl 2000
//写权限两个值不能相同
[RTA]snmp-agent trap enable
//发生事件后上传
[RTA]snmp-agent trap source GigabitEthernet0/0/1
//发送路径
配置验证 display snmp-agent sys-info
9.4.1E-Sight简介
eSight是华为面向企业市场推出的新一代网络运维管理系统,能支持多厂商设备管理
eSight的功能特性
支持多种业务的灵活管理,提供全面的基础网络管理、网元管理、业务管理和系统管理等功能。
SLA管理:创建任务,用这些任务去监控网络的食言情况,丢包情况,抖动情况,来查看给用户提供的服务是不是满足与用户签订的协议。
NTA:网络流量分析器,管理组件可以对网络中的数据进行取证和分析,及时发现网络中的异常流量。提供全网流量概览,能够多维度、实现展现全网流量动态。提供向导式自定义报表能力,用户可以灵活定制所关注的流量报表。
WLAM:将有线网络和无线网络一体化管理方案,实现对企业WLAN网络的监控、配置管理、故障诊断等管理功能。
MIB管理:SNMP
配置文件管理:可以对设备的配置文件进行管理,包括对设备配置文件进行导入、备份、恢复等操作。
10.5.0 IPV6基础介绍
IETF在20世纪90年代提出了下一代互联网协议IPv6,IPv6支持几乎无限的地址空间。IPv6使用全新的地址配置方式,使配置更加简单。IPv6还采用了全新的报文格式,提高了报文处理的效率、安全性,也能更好的支持QoS(服务质量)。
IPv6地址
IPv4地址空间已经消耗殆尽,近乎无限的地址空间是IPv6的最大优势。
IPv6基本报头
IPv4区分数据流为五元组:源目IP,源目端,协议
IPv6区分数据流为三元组:源目IPv6,Flow Label
IPv6的基本报头在IPv4报头的基础上,增加了流标签域,去除一下冗余字段,使
报文头的处理更为简单、高效。
IPv6扩展报头
IPv6扩展报头是跟在IPV6基本报头后面的可选报头,可以有一个或多个。
报头种类:路由
逐跳
目的选项
认证
安全封装静载
分片
IPv6地址格式
地址长度为128比特,每16比特划分为一段,每段由4个十六进制数表示,并用
冒号隔开。(冒号分16进制)
IPv6前缀------->网络位
接口标识------->主机位
IPv6地址压缩格式
每一组中的前导0都可以省略
地址中包含的连续全为0的组,可以用双冒号“::”来代替。
IPv6地址分类
IPv6地址分为单播地址、任播地址、组播地址三种类型。
私有地址
Site-local 站点,本地→FEC0::/10
已经被收回
Unique local 唯一,本地→FC::/7
RFC3879
IPv6单播地址
全球路由 子网ID 接口ID(可分配)
全球单播地址带有固定前缀,类似于IPv4中的公网地址。
链路本地单播地址前缀为FE80::/10,类似于IPv4中的169.254.X.X。
IPv6组播地址
所有IPv6组播地址都以FF开始
IPv6为需要使用组播发送数据的协议预留了一下组播组。
OSPF:FF02::5
FF02::6
Riping:FF02::9
IPv6任播地址
用来标识一组网络接口,在给对个主机或者节点提供相同服务时提供冗余和负载分担。
IPv6无状态地址自动配置
网络节点向连接的路由器发送RS,请求地址前缀信息。
路由器通过发送路由器通告RA,回复地址前缀信息。
[Huawei]ipv6
[Huawei]inter g0/0/0
[Huawei-GigabitEthernet0/0/0]ipv6 enable
[Huawei-GigabitEthernet0/0/0]ipv6 address 2000::1 64
[Huawei2]ipv6
[Huawei2]inter g0/0/0
[Huawei2-GigabitEthernet0/0/0]ipv6 enable
[Huawei2-GigabitEthernet0/0/0]ipv6 address auto global
[Huawei2-GigabitEthernet0/0/0]ipv6 address auto global default
//以获取地址的接口
ip作为缺省下一跳,即网关。
display ipv6 interface g0/0/0
EUI-64规范
将FFFE插入MAC地址前24位与后24位之间,并将第7位的0改为1即可生产接口ID。
在接口开启ipv6后会自动生成一个link-local地址,遵循EUI-64.
IPv6无状态地址DAD检查
当借口配置IPv6地址时,DAD用来在本地链路范围内检测将要使用的IPv6地址是
否唯一。
10.5.1IPv6路由基础
RIPng
RIPng发送路由更新的目的地址为组播地址ff02::9/8。
RIPng中的路由条目吓一跳地址是0::0或者链路本地地址。
RIPng报文格式
RIP -->UDP520
RIPng-->UDP521
Commard:1.请求报文
2.响应报文(会周期更新)
RIPng的路由表项中包含目的IPv6地址、路由标记、前缀长度以及度量值。
RIPng配置
[RTA]ipv6
//默认没有打开
[RTA-GigabitEthernet0/0/0]ipv6 enable
[RTA-GigabitEthernet0/0/0]ipv6 address auto link-local
[RTA-GigabitEthernet0/0/0]ripng 1 enable
//进程
[ARL]in lo0
[RTA-LoopBack0]ipv6 enable
[RTA-LoopBack0]ipv6 address 2001:1::1/64
[RTA-LoopBack0]ripng 1 enable
配置验证:display ripng
OSPFv3
ff02::5是为OSPFv3路由协议预留的IPv6组播地址。
OSPFv3中的路由条目吓一跳地址是链路本地地址。
DR&BDR
Router在OSPFv3中必须手动配置
在NBMA和广播型网络中OSPFv3选举DR和BDR的过程与OSPFv2相似。
基于链路运行
OSPFv2是基于网络运行的,OSPFv3的实现是基于链路的。
OSPFv3认证
OSPFv3协议本身不提供认证功能,而是通过使用IPv6提供的安全机制来保证OSPFv3报文的合法性。
OSPFv3配置
[RTA]ipv6
[RTA]ospffv3 1
//如果不写进程号,默认为1
[RTA-ospfv3-1]router-id 1.1.1.1
[RTA]interface g0/0/0
[RTA-GigabitEthernet0/0/0]ipv6 enable
[RTA-GigabitEthernet0/0/0]ipv6 address fe80::1 link-local
[RTA-GigabitEthernet0/0/0]ospfv3 1 area 0.0.0.0
[RTA]interface LoopBack 0
[RTA-LoopBack0]ipv6 enable
[RTA-LoopBack0]ipv6 address 2001:1::1/64
[RTA-LoopBack0]ospfv3 1 area 0
修改优先级
[AR2-GigabitEthernet0/0/0]ospfv3 dr-priority 100
重置进程
reset ospfv3 1
验证display ospfv3
display ospfv3 peer
(verbose)
//邻居关系(详细信息)
display ipv6 routing-table protocol ospfv3
//路由表
Ping ipv6 ****
10.5.2 DHCP的原理与配置
DHCPv6基本概念
DHCPv6能够为主机分配IPv6地址以及其他网络配置参数,并能够实现这些参数的集中管理。
客户端发送请求报文向DHCPv6服务器申请IPv6地址,目的地址为组播地址
ff02::1:2
DUID用来标识一台DHCPv6服务器或客户端。//display dhcpv6 duid DUID基于mac地址生成
DHCPv6有状态自动分配
路由通告RA中的M和O位被置为1.
*M置为1代表使用有状态获取ipv6,O置为1代表除了地址以外的配置也是通过有状态自动配置。
Solicit请求信息
Adervertise通告信息
DHCPv6无状态自动分配
DHCPv6配置
[RTA]dhcpv6 duid ll
//ll代表由mac地址生成,llt代表由mac地址和时间生成DUID,一般情况下不用配置。
[Y/N]y
[RTA]dhcpv6 pool pooll
[RTA-dhcpv6-pool-pooll]address prefix 3000::/64
//分配的网段
[RTA-dhcpv6-pool-pooll]excluded-address 3000::1
//禁止分配的ip
[RTA-dhcpv6-pool-pooll]dns-server 4000::1
//dns
[RTA-dhcpv6-pool-pooll]dns-domain name Huawei.com
//域名
[RTA]ipv6
[RTA]interface GigabitEthernet 0/0/0
[RTA-GigabitEthernet0/0/0]ipv6 enable
[RTA-GigabitEthernet0/0/0]ipv6 address 3000::1/64
[RTA]dhcp enable
[RTA]interface GigabitEthernet 0/0/0
[RTA-GigabitEthernet0/0/0]dhcpv6 server pooll
Display dhcpv6 pool