2020-07-24
第一章:ensp及vrp基础操作
1:基础命令
时钟设置:
clock datetime 12:00:00 2020-5-4
时区设置:
clock timezone bj add 8:00:00
配置在用户登录前显示的标题信息:
header login information “hello”
配置在用户登录后显示的标题信息:
header shell information “welcome”
查看路由器的当前配置:
display current-configuration
查看路由器的当前保存配置:
display save-configuration
查看接口信息:
display interface g0/0/0
查看当前目录:
pwd
显示当前目录下的文件信息:
dir
查看文本文件的具体内容:
more
修改用户当前界面的工作目录:
cd
创建新的目录:
mkdir
删除目录:
rmdir
复制文件:
copy
恢复删除的文件:
undelete
彻底删除回收站中的文件:
reset recycle-bin
查看路由表:
display ip routing-table
查看接口简要配置信息:
display ip interface brief
用户等级 命令等级 名称
0 0 访问级
1 0and1 监控级
2 0,1and2 配置级
3 0,1,2and3 管理级
用户界面类型 编号
console 0
vty 0-4
2:telnet的两种认证方式实验
telnet端口号:23
ftp端口号:21(控制端口) 20(数据端口)
telnet远程登陆---------password
〈huawei〉system-view
[huawei]interface g0/0/0
[huawei-GigabitEthernet0/0/0]ip address 10.1.1.1 24
ping命令检测设备之间是否连通?
[AR3]user-interface vty 0 4
[AR3-ui-vty0-4]authentication-mode password
please configure the login password(maxinum length 16):huawei
实验检验:
〈AR2〉telnet 10.1.1.254
设置用户等级(默认0级)
[AR3-ui-vty0-4]user privilege level 15
默认情况下vty用户为参观级
telnet远程登陆------------aaa
aaa的配置:
[666]aaa
[666-aaa]local-user guoji password cipher 111 privilege level 2
[666-aaa]local-user guoji service-type telnet
[666]user-interface vty 0 4
[666-ui-vty0-4]authentication-mode aaa
查看已登陆用户信息:
display users
-----------telnet使用明文传输不安全
-----------stelnet使用密文传输安全
ssh:基于tcp协议22号端口
3:stelnet实验
1、构建拓扑配置地址:
2、SSH服务器:
对称加密:加密解密密钥可以互相推导,加密效率高,密钥的传输安全问题 DES 3DES
非对称加密:公钥(公开) 私钥(私钥) 加密效率低,密钥的传输不存在安全问题 RSA
第一步:创建主机密钥对
[R2]rsa local-key-pair create
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode aaa
[R2-ui-vty0-4]protocol inbound ssh
[R2]aaa
[R2-aaa]local-user heyuan password cipher 666
[R2-aaa]local-user heyuan service-type ssh
R2-aaa]local-user heyuan privilege level 15
创建SSH用户:
[R2]ssh user heyuan authentication-type password
开启SSH功能
[R2]stelnet server enable
客户端:
[client]ssh client first-time enable
[client ]stelnet 10.1. 1. 2
下载公钥,下载成功,用户名密码登录
4:文件系统管理及ftp备份或下载文件实验
ftp服务器的配置命令:
ls 查看ftp服务器的目录内容:list
从服务器下载文件:
[R1-ftp]get test.txt
从服务器上传文件:
[R1-ftp]put new.txt
配置路由器为ftp server
1:[R1]ftp server enable
2: 配置ftp参数:设置用户名、密码,设置文件夹目录,访问目录,设置用户等级,设置服务器类型ftp
[R1]aaa
[R1-aaa]local-user hang password cipher 123
[R1-aaa]local-user hang ftp-directory flash
[R1-aaa]local-user hang service-type ftp
[R1-aaa]local-user hang privilege level 15
3:实验认证:
界面参数,选择上传的文件
第二章:交换机配置基础
5:交换机配置基础
1:单工(电视、广播)
全双工(同时进行收发-电话)
半双工(不能同时进行收发-对讲机)
2:[SW2]interface e0/0/1
关闭自动协商:
[SW2-Ethernet0/0/1]undo negotiation auto
[SW2-Ethernet0/0/1]duplex full
[SW2-Ethernet0/0/1]speed 100
[W2-Ethernet0/0/1]description ha
3: ARP原理:地址解析协议 IP—MA
静态和动态
动态ARP–广播—10.1.1.1
静态ARP:管理员手工添加 (防止ARP欺骗)
第三章:vlan
6 vlan接入链路access
主要内容:
1:ARP代理
2:交换机工作、VLAN基本原理
3:access trunk hybrid
1:查看ARP表:
display arp all
2:ARP协议工作经常黑客利用
[AR1]arp static 10.1.1 .1 5489-98c7-50c6
3:接口下:
arp-proxy enable
1:广播域——能接收广播的区域
物理层—— 集线第、中继器 一个广播域
2层——网桥、交换机 一个广播域
3层——路由器 隔离广播 每个口对应广播域
冲突域——争夺资源
物理层——集线器、中继器
2层——网桥 交换机 隔离冲突
3层——路由器 隔离冲突
1:VLAN tag——12bit VLAN ID 0-4095(0,4095保留)
没有加上VLAN标记的标准以太网帧(untaggedframe);有VLAN标记的以太网帧(tagged frame)
PVID即Port VLAN ID,代表端口的缺省VLAN。交换机从对端设备收到的帧有可能是
Untagged的数据帧,但所有以太网帧在交换机中都是以Tagged的形式来被处理和转发的,因此交换机必须给端口收到的Untagged数据帧添加上Tag。为了实现此目的,必须为交换机配置端口的缺省VLAN。当该端口收到Untagged数据帧时,交换机将给它加上该缺省VLAN的VLAN Tag
1:创建VLAN方法:
[sw1]vlan 10
[sw1]vlan batch 10 20
[sw1]vlan batch 10 to 20
2:接口划入VLAN:
[sw1]interface e0/0/1
[sw1-Ethernet0/0/1]port link-type access
[sw1-Ethernet0/0/1]portdefault vlan 10
显示当前视图配置信息:display this
Access端口收发数据帧的规则如下:如果该端口收到对端设备发送的帧是untagged(不带VLAN标签),交换机将强制加上该端口的PVID。如果该端口收到对端设备发送的帧是tagged(带VLAN标签),交换机会检查该标签内的VLAN ID。 当VLAN ID与该端口的
PVID相同时,接收该报文。 当VLAN ID与该端口的PVID不同时,丢弃该报文。Access端口发送数据帧时,总是先剥离帧的Tag,然后再发送。Access端口发往对端设备的以太网帧永远是不带标签的帧。
7:vlan干道链路trunk
trunk链路:
[sw2]interface e0/0/1
[sw2-Ethernet0/0/1]port link-type trunk
[sw2-Ethernet0/0/1]port trunk allow-pass vlan all
修改trunk接口PVID 为VLAN 10: [swl-Ethernet0/0/5]port trunk pvid vlan 10
显示端口VLAN:
[sw1-Ethernet0/0/5]display port vlan
8:access、trunk接口转发规则
access接口收发规则:
当接收到对端设备发送的带Tag的数据帧时,检查VLAN ID是否在允许通过的VLAN ID列
表中。如果VLAN ID在接口允许通过的VLAN ID列表中,则接收该报文。否则丢弃该报
文。
端口发送数据帧时,当VLAN ID与端口的PVID相同,且是该端口允许通过的VLAN ID时去掉Tag,发送该报文。
当VLAN ID与端口的PVID不同,且是该端口允许通过的VLAN ID时,保持原有Tag,发送
该报文。
trunk端口收发数据帧的规则如下:
当接收到对端设备发送的不带Tag的数据帧时,会添加该端口的PVID,如果PVID在允许
通过的VLAN ID列表中,则接收该报文,否则丢弃该报文。
9:hybrid接口规则实验
hybrid——连接普通终端设备的接入链路,又可以连接交换机的干道链路
规则:
1、收到数据帧:
是否有tag?
没有标签,则标记上hybrid接口的PVID
有标签,判断接口是否允许VLAN通过,----不允许丢弃、允许通过
2、发出数据帧:
判断hybrid接口属性是untagged 还是tagged?
如果是untagged,先剥离帧VLAN标签,再发送
如果是tagged ,直接发送
连接PC端的:
interface Ethernet0/0/2
port link-type hybrid (默认)
port hybrid pvid vlan 10 ——access 把接口划入VLAN 10
port hybrid untagged vlan 10 接口发出去的帧去掉VLAN10
中间干道——交换机连接交换机
[sw1-Ethernet0/0/1]port hybrid tagged vlan 10 20
[sw1-Ethernet0/0/1]port hybrid untagged vlan 10 20
10:vlan间路由——单臂路由(access、trunk)
1:单臂路由:
第一步划分VLAN
[swl]vlan batch 10 20 30
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
interface GigabitEthernet0/0/3
port link-type access
port default vlan 30
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10 20 30
路由器:
interface GigabitEthernet0/0/0.10
dotlq termination vid 10(dot1Q处理VLAN 10 标签)
ip address 192.168.1.254 255.255.255.0
arp broadcast enable(开启ARP广播功能)
interface GigabitEthernet0/0/0.20
dotlq termination vid 20
ip address 192.168.2.254 255.255.255.0
arp broadcast enable
interface GigabitEthernet0/0/0.30
ip address 192.168.3.254 255.255.255.0
arp broadcast enable
11:vlan间路由——单臂路由(hybrid)
所有接口使用hybrid接口
interface GigabitEthernet0/0/1
port hybrid pvid vlan 10
port hybrid untagged vlan 10
interface GigabitEthernet0/0/2
port hybrid pvid vlan 20
port hybrid untagged vlan 20
interface GigabitEthernet0/0/3
port hybrid pvid vlan 30
port hybrid untagged vlan 30
interface GigabitEthernet0/0/4
port hybrid tagged vlan 10 20 30
12:vlan间路由——虚接口
虚拟接口配置地址:
interface Vlanif 10
ip address 192.168.1.254 255.255.255.0
interface Vlanif 20
ip address 192.168.2.254 255.255.255.0
interface Vlanif 30
ip address 192.168.3.254 255.255.255.0
查看路由表:
display IP routing-table
13:其他交换技术——gvrp注册协议
GARP(Generic Attribute Registration Protocol) ,全称是通用属性注册协议,它为处于同一个交换网内的交换机之间提供了一种分发、传播、注册某种信息(WLAN属性、组播地址等)的手段。
手动配置的VLAN是静态VLAN
通过GVRP创建的VLAN是动态VLAN
配置GVRP时必须先在系统视图下使能GVRP,
然后在接口视图下使能GVRP。
在全局视图下执行gvrp命令, 全局使能GVRP功能。
在接口视图下执行gvrp命令,在端口上使能GVRP功能。
执行gvrp registration 〈mode〉命令,配置端口的注册模式。
可以配置为Normal、Fixed和Forbidden。默认情况下,接口的注册模式为Normal模式
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
[sw2]gvrp 开启GVRP协议
[sw2-Ethernet0/0/1]gvrp 开启GVRP协议
[sw2-Ethernet0/0/1]gvrp registration normal 默认
gvrp基于接口控制
Normal:传送静态、动态
Fixed:只能传静态
Forbidden:不能传送任何静态,动态
14:其他交换技术——gvrp注册协议单项注册
1:交换间做trunk链路:
interface e0/0/1
port link-type trunk
port trunk allow-pass ylan all
2:SW1创建VLAN10、20,把接口划入VLAN中:
interface Ethernet0/0/1
port link-type access
port default vlan 10
interface Ethernet0/0/2
port link-type access
port default vlan 20
3:GVRP启动命令:
系统视图:GVRP
[swl]:GVRP
接口视图:GVPR
[sw1-Ethernet0/0/1]gvrp
单向注册:
GVRP的注册协议的三种模式:
1:normal模式:允许接口动态注册、注销VIAN,传播动态VLAN和静态VLAN
2:fixed 模式:禁止该接口动态注册和注销VLAN,只传播静态VLAN
3:forbidden 模式:禁止该接口动态注册和注销VLAN,不传播除去VLAN1的任何VLAN
15:其他交换技术——smart link
创建smart link 组1:
[sw1]smart-link group 1
开启smart link 功能:
[sw1-smlk-group-1]smart-link enable
关闭接口下面的STP 生成树协议(默认开启)
interface Ethernet0/0/1
stp disable
interface Ethernet0/0/2
stp disable
smart-link group 1
smart-link enable
port Etherneto/0/1 master 配置e/0/0/1为主接口
port Ethernet0/0/2 slave 配置e/0/0/1为备份接口
配置回切功能:
[sw1]smart-link group 1
[swl-smlk-group-1]restore enable 开启回切功能
[sw1-smlk-group-1]timer wtr 30 回切时间30S (默认60S)
监控链路:
SW2
monitor-link group 1
port Ethernet0/0/2 uplink
port Ethernet0/0/1 downlink 1
16:其他交换技术-链路聚合-手工负载分担
链路聚合:
在ARG3系列路由器和X7系列交换机上默认最多为8条
1:只能删除不包含任何成员口的Eth-Trunk口2:把接口加入Eth-Trunk口时, 二层Eth-Trunk口的成员口必须是二层接口,三层Eth-Trunk口的成员口必须是三层接口
3:一个Eth-Trunk口最多可以加入8个成员口4:加入Eth-Trunk口的接口必须是hybrid接口(默认的接口类型)
5:一个Eth-Trunk口不能充当其他Eth-Trunk口的成员口
6:一个以太接口只能加入一个Eth-Trunk口。如果把一个以太接口加入另一个Eth-Trunk口,必须先把该以太接口从当前所属的Eth-Trunk口中删除
7:一个Eth-Trunk口的成员口类型必须相同。例如,一个快速以太口(FE口)和一个千兆以太口(GE口)不能加入同一个Eth-Trunk
8:位于不同接口板(LPU)上的以太口可以加入同一个Eth-Trunk口。如果一个对端接口直接和本端Eth-Trunk口的一个成员口相连,该对端接口也必须加入一个Eth-Trunk口。否则两端无法通信
9.:如果成员口的速率不同,速率较低的接口可能会拥塞,报文可能会被丢弃
10:接口加入Eth-Trunk口后,Eth-Trunk口学习MAC地址,成员口不再学习
[swl]interface Eth-Trunk 1
[sw1-Eth-Trunk1]mode manual load-balance
[swl]interface g0/0/2
[sw1-GigabitEthernet0/0/2]eth-trunk 1
[swl]interface g0/0/3
[sw1-GigabitEthernet0/0/3]eth-trunk 1
[swa]display interface eth-trunk 1
17:其他交换技术——lacp
1:eth-trunk
手工负载分担
LACP——静态
交换机系统优先级:system priority 32768
端口优先级:port priority 32768
使用优先级——值越低优先级越高,选择活动端口
端口状态默认都是活动selected
[swl]interface Eth-Trunk 1
[swl-Eth-Trunk]max active-linknumber 2
第四章:stp
18:stp根桥的选举
STP工作原理:
1:选举一个根桥:
桥ID:优先级+MAC
(优先级默认32768,都是4096的倍数)
(优先级数值越小,优先级越高)
根桥优先级一样:才比较MAC,MAC地址数值小的作为跟桥
每个非根交换机选举一个根端口
每个网段选举一个指定端口
阻塞非根、非指定端口
19:stp根端口和指定端口的选举
每个非根交换机选举一个根端口:
1:比较端口到跟桥的路径开销值,小的(近的)对应根端口
2:发送端桥ID (对端的桥ID), 先比较优先级,数值小(优先级高)对应的端口是根端口,如果优先级一样,再比较MAC,小的对应端口就是跟端口。
3:上述规则不能适用,比较端口的对端ID(优先级+编号)
优先级数值小,优先级高,对应端口就是根端口
优先级一样,比较编号,编号小对应端口就是根端口
运行STP交换机的每个端口都有一个端口ID,端口ID由端口优先级和端口号构成。端口优先级取值范围是0到240,步长为16,即取值必须为16的整数倍。缺省情况下,端口优先级是128。端口ID(port ID)可以用来确定端口角色
如果两个或两个以上的端口连接到同一台交换机上,则选择发送者PID最小的那个端口作为根端口
如果两个或两个以上的端口通过Hub连接到同一台交换机的同一个接口上,则选择本交换机的这些端口中的PID最小的作为根端口
每个网段选举一个指定端口:
(把自己放到网段中间去看接口)
A、到根交换机的cost值小的,作为指定端口
B、比较端口所在交换机的桥ID
C、比较端口ID
阻塞非根、非指定端口
20:stp习题讲解
BPDU 两种类型:
配置BPDU:0x00:
STP的Configuration BPDU
TCN BPDU 0x80:
STP的TCN BPDU(Topology Change Notification BPDU)
21:rstp实验体验
根交换机:
[sw1]stp root primary
备份交换机:
[sw1]stp root secondary
边缘端口:
stp edge-port enable
所有端口设置为边缘端口:
stp edge-port default
alte端口是root端口的备份
back端口是desi端口的备份
22:mstp的实验体验
配置域名为abc:
region-name abc
版本修订号 1:
revision-level 1
将VLAN10 加入实例1:
instance 1 vlan 10
将VLAN20 加入实例2:
instance 2 vlan 20
激活配置:
active region-configuration
SW2:
[sw2]STP instance 1 root primary 配置此交换机为实例1的主根
[sw2]stp instance 2 root secondary 配置此交换机为实例2的备份根
SW3
[sw3]STP instance 2 root primary 配置此交换机为实例2的主根
[sw3]stp instance 1 root secondary 配置此交换机为实例1的备份根
第五章:rip路由
23:rip基本理论和配置
思科:
10.2.2.2 source 10.1.1.1
华为命令:
ping -a 10.1.1.1 10.2.2.2
RIP V1 广播地址255.255.255.0 路由信息里不携带掩码,网络号和metric值,只发布汇总后的路由,默认开始自动汇总,且无法关闭,也不支持手动汇总。
不支持认证
RIP V2 组播地址224.0.0.9 路由信息里携带掩码、下一跳地址信息。RIP支持自动汇总,默认也开启,并且可以关闭,支持手动汇总。
支持认证;明文和MD5
华为设备上,接口下面开启了水平分割功能
手动路由汇总:
[R3-GigabitEthernet0/0/0]
rip summary-address 3.3.0.0 255.255.252.0
24:rip版本兼容、定时器、修改优先级
查看协议默认配置参数:
display default-parameter rip
在RIP,没有指定版本,接口默认情况下能接收v1和v2报文,但发送V1
指定版本V1,只能接收和发送V1
指定版本V2,只能接收和发送V2
路由配置相同RIP版本
查看RIP发布数据库中所有激活路由:
display rip 1 database
定时器: 更新周期默认30秒,超时计时器180秒,垃圾收集计时器(清理路由)120秒
RIP—timer
调整路由优先级:RIP
preference 《1-255》
25:rip抑制端口和单播更新
抑制接口和单播更新:
抑制接口:禁止接口发送更新报文—undo RIP OUTPUT 或者silent-interface
单播更新:RIP使用单播发送更新报文
26:rip与不连续子网
连续子网:相连的网属于同一个主网
不连续子网:相同主网下的子网被另一主网分割
v1不支持不连续 —使用从地址使得网络连续
v2支持不连续—可以关闭自动汇总,undo summary
27:总结
水平分割–RIP从某个接口接收到路由信息,不会从该接口再发给邻居设备
触发更新–路由发生变化时,运行RIP的设备会立即向邻居设备发送更新报文,而不必等待定更新,从而缩短了网络收敛时间。在华为设备上没有命令能主动关闭触发更新
毒性反转–RIP从某个接口收到路由信息后,将该路由的开销设置为16(即该路由不可达),并从原接口发回邻居设备。华为设备的毒性反转默认是关闭的
附加度量值:
rip metricin——用于接收到路由后,给其增加一个附加度量值,在加入路由表中,使得路由表中的度量值发生变化
RIP metricout——用用自身路由的发布,发布时增加一个附加度量值,但本地的路由表中的度量值不会变化
第六章:ospf
28:ospf单区域、多区域
area 0.0.0.0
network 172.16.3.0 0.0.0.255
network 172.16.20.00.0.0.255
network 172.16.30.0 0.0.0.255
display ospf interface
查看邻居状态:
[R1]display ospf peer
查看OSPF路由:
display ip routing-table protocol ospf
查看OSPF的LSDB(链路状态数据库):
display ospf lsdb
29:ospf区域认证
ospf 认证:
支持两种认证方式:区域认证、链路认证
区域认证: 在路由OSPF进程下进行
链路认证: 在路由设备接口下进行 (针对某个邻居)
原则:口令和认证模式一样
同时配置了接口认证和区域认证,优先使用接口认证建立邻居。
每种认证方式又分简单验证模式、MD5验证和key chain验证。
30:OSPF的 router ID
1、路由器的身份证
2、华为设备上有全局的routerID(公共routerID,我们OSPF可以用,BGP可以用)
3、router id
A、手工配置的routerID优先级最高
B、如果有1oopback 接口,选举逻辑口地址大的作为router id
C、没有逻辑口,选举物理接口地址大的。
当且仅当被选为routerID的接口IP地址被修改或者删除了,才会触发重新选择(匹配以上规则)
router ID改变以后,通过重启路由进程或者重启路由设备,才会重新选举。
全局的routerID --对路由路由协议都可以用
某个路由协议的router-ID可以单独设置的,可以和全局的router ID不一样
31:ospf的route id重叠
[R1]router id 1.1.1.1
[R1]ospf 1 ?
router-id ospf private router ID 私有
私有router ID 没有配置,默认使用全局下的router ID
[Rl]ospf 1 router-id 1.1.2.2
用户视图下 重置OSPF的路由进程:
reset OSPF process
32:ospf路径开销、优先级和计时器
Type: Broadcast
Timers: Hello 10 Dead 40
Type:P2MP
Timers: Hello 30 Dead 120
Type:P2P
Timers: Hello 10 Dead 40
Type: NBMA
Timers: Hello 30 ,Dead 120
33:路由引入
rip:距离矢量
ospf:链路状态
获得路由信息的途径:
1、把直连路由引入到OSPF—引入直连
2、把OSPF引入到RIP–引入OSPF
3、RIP开销基于跳数 范围小 0-15
4、OSPF开销基于带宽 范围大
RIP开销基于跳数 范围小 0-15
OSPF开销基于带宽 范围大
手工配置开销:
[R1-rip-1]import-route ospf 1 cost 5
[R1-OSPF-1]import-route RIP 1
发布默认路由:
0.0.0.0 0.0.0.0
当路由器无法精确匹配路由时,按默认进行转发(出口网关)
减少本地路由表的大小,节约设备资源
RIP协议引入默认:
[R1-rip-1]default-route originate
OSPF引入默认:
[R1-ospf-1]default-route-advertise always
第七章:vrrp
34:vrrp基本原理
HSRP 思科私有–VIP地址不能配置物理接口地址,不存在地址拥有者
VRRP——虚拟路由器冗余协议——容错
高可用——可靠、稳定、可用
[R2-Ethernet1/0/1]vrrp vrid 1 virtual-ip 172.16.1.254
[R3-Ethernet1/0/1]vrrp vrid 1 virtual-ip 172.16.1.254
VRRP master选举规则:
1、根据VRRP的优先级进行选举,默认100(0-255,0被系统保留,255保留给IP的地址拥有者使用 1-254),数值越大,优先级越高。
2、如果优先级一样,比较接口的IP地址,较大的成为master
R3因为接口地址大成为了master
R2成为backup
[R2-Ethernetl/0/1]vrrp vrid l priority 120
display vrrp brief
Preempt :YES 抢占模式默认是开启的
当virtual IP 如果和路由器的物理接口地址配置一样时,该路由器成为地址拥有者,此路由器的VRRP优先级255。
第八章:ACL
35:基本ACL
思科设备——命名访问控制列表
华为设备:
ACL 访问控制列表
基本——基于源地址的控制,编号2000-2999
高级——基于源地址、目标地址、源端口、目标端口、协议,编号3000-3999
列表:一系列规则rule构成,rule-ID手工指定、默认5、10、15、 20.
从rule-id小的编号开始匹配,一旦成功执行,后续规则就无效了。
36:基于ACL应用到物理层接口和应用到上层应用的区别
创建基本列表:
ACL 2000-2999
rule permit/deny source 1.1.1.0 0.0.0.255
创建:
acl number 2000
rule 5 deny source 192.168.1.1 0
应用:
interface gO/0/0
traffic-filter inbound acl 2000
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length16):huawei
[R1-ui-vty0-4]ac1 2000 inbound
acl number 2000
rule 5 deny source 192.168.1.1 0
rule 10 permit source 192.168.1.3 0
控制列表应用到上层服务(应用层服务)-默认deny
应用到硬件(物理接口、VLAN接口)-默认permit
第九章:广域网技术
37:HDLC和PPP协议理论
控制字段8bit
1 2 3 4 5 6 7 8
I帧 0 N(s) P N (R)
S帧 1 0 S1 S2
U帧 1 1
HDLC有三种类型的帧:
信息帧(I帧) 用于传送有效信息或数据,通常简称为I帧。
监控顿 (S顿) 用于差错控制和流量控制,通常称为S帧。S帧的标志是控制字段的前两个比特位为“10”。S
帧不带信息字段,只有6个字节即48个比特。
无编号帧(帧)简称U帧。U帧用于提供对链路的建立、拆除以及多种控制功能。
PPP 首部 ip 数据报 尾部
7E(标志位1B)FF(地址1B)03(控制1B)协议(2B)信息部分(不超过1500字节)FCS(2B)7E(1B)
HDLC是面向位的,PPP面向字节的
38:PPP的PAP认证
客户端一被认证
interface Serial4/0/0
link-protocol PPP
ppp pap local-user Rlhuawei password cipher 666
服务器一认证
authentication-scheme huawei-1
local-user admin password cipher 666
local-user admin service-type http
local-user r1huawei password cipher 666
local-user r1huawei service-type PPP
39:FR帧中继协议原理
帧中继 frame relay FR 是一种面向链接的数据链路层技术
VC virtual circuit 虚拟电路
PVX permanent 永久虚链路
SVC(Switched Virtual Circuit)交换虚电路
DTE data terminal equipient 数据终端设备–用户侧
DCE data circuit-terminal equipment 数据通信设备–数据电路终结设备–网络设备如帧中继交换机
DLCI data link connection identifier 数据链路连接标识
inverse ARP 反向ARP
LMI(Local Management Interface)本地管理接口
第十章:DHCP
40:DHCP接口地址池
基于接口的地址池
接口所在的网段作为接口地址池分配地址的范围
地址范围–接口的IP所在的网段
[R1]dhcp enable
[R1-GigabitEthernet0/0/0]dhcp select interface
[R1-GigabitEthernet0/0/0]dhcp server lease day 2
[R1-GigabitEthernet0/0/0]dhcp server excluded-ip-address 192.168.1.200 192.168.1.252
[R1-GigabitEthernet0/0/0]dhcp server dns-list 8.8.8.8 114.114.114.114
ipconfig
display ip pool
41:DHCP全局地址池
[R1]ip pool p1
[R1-ip-pool-p1]network 192,168.1.0
[R1-ip-pool-p1]lease day 2
[R1-ip-pool-p1]gateway-list 192.168.1.254
[R1-ip-pool-p1]dns-list 8.8.8.8
[R1-ip-pool-p1]excluded-ip-address 192.168.1.250 192.168.1.253
[R1-g0/0/0]dhcp select globle
41:DHCP中继代理
哪个接口丢掉广播(三层设备隔离广播),哪个接口上配置中继代理
R1
interface Ethernet1/0/1
ip address 10.1.1.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 100.1.1.1 (DHCP服务器)
第十一章:虚拟专用网络技术
42:GRE理论
GRE封装报文时,封装前的报文称为净荷,封装前的报文协议称为乘客协议,然后GRE会封装GRE头部,GRE成为封装协议,也叫运载协议,最后负责对封装后的报文进行转发的协议称为传输协议。
GRE封装和解封装报文的过程如下:
1.设备从连接私网的接口接收到报文后,检查报文头中的目的IP地址字段,在路由表查找出接口,如果发现出接口是隧道接口,则将报文发送给隧道模块进行处理。
2.隧道模块接收到报文后首先根据乘客协议的类型和当前GRE隧道配置的校验和参数,对报文进行GRE封装,即添加GRE报文头。
3.然后,设备给报文添加传输协议报文头,即IP报文头。该IP报文头的源地址就是隧道源地址,目的地址就是隧道目的地址。
4.最后,设备根据新添加的IP报文头目的地址,在路由表中查找相应的出接口,并发送报文。之后,封装后的报文将在公网中传输。
5.接收端设备从连接公网的接口收到报文后,首先分析IP报文头,如果发现协议类型字段的值为47,表示协议为GRE,于是出接口将报文交给GRE模块处理。GRE模块去掉IP报文头和GRE报文头,并根据GRE报文头的协议类型字段,发现此报文的乘客协议为私网中运行的协议,于是将报文交给该协议处理。
GRE本身并不支持加密,因而通过GRE隧道传输的流量是不加密的。将IPSec技术与GRE相结合,可以先建立GRE隧道对报文进行GRE封装,然后再建立IPSec隧道对报文进行加密,以保证报文传输的完整性和私密性。
43:IPsec手工方式建立SA
1、配置感兴趣流
[R1]acl number 3000
[R1-acl-adv-3000]rule 5 permit ip source 192.168.1.0 0.0.0
destination 192.168.2.0 0.0.0.255
2、定义安全提议 --对数据的加密和认证
[Rl]ipsec proposal 1
[R1-ipsec-proposal-1]esp authentication-algorithm md5
[R1-ipsec-proposal-1]esp encryption-algorithm 3des
3、创建了IPsec 策略
ipsec policy huawei 10 manual
security acl 3000
proposal 1
tunnel local 200.1.1.1
tunnel remote 200.1.2.2
sa spi inbound esp 123456
sa string-key inbound esp simple huawei
sa spi outbound esp 654321
sa string-key outbound esp simple huawei
44:GRE over IPsec
NAT 静态
动态
NAPT
easy IP
NAT server
VPN 就是穿过公网建立私有网络的技术。
GRE 支持广播(组播)、支持非IP协议
没有加密功能
IPsec-隧道–不支持广播、只支持IP协议
加密ESP 认证
RIP --组播或者广播
OSPF-组播
GRE over IPsec
第十二章:IPv6
45:IPv6基础配置及eui-64规则
没有DHCP服务时,允许节点自动配置IP机制
链路本地地址(私有)
EUI-64
规则:根据接口MAC加上固定前缀生成一个IPV6
Mac地址长度48–全球唯一
前24厂商ID 24位扩展ID
48bitMAC地址扩展长64位再组合一个64bit的前缀组成IPV6.
1、以太网接口用自己的MAC生成后64bit
loopback 接口借用设备的以太网接口(接口号最小的)MAC生成后64bit
2、ipv6 address 2001:3:fd::64 eui-64
Hardware address is 00e0-fc83-0812
生成规则:
MAC地址的前24和后24用FFFE分开
00e0-fc----FFFE------83-0812
第一个字节第7位进反转后形成后64bit
00e0-fc----FFFE------83-0812
0000 0010
00e0-fc----FFFE------83-0812
2001:3:FD:0:02E0:FCFF:FE83:812
46:RIPng
1、ipv6 RIPng (RIP next generation)
RIPv2进行了扩展
距离矢量路由算法,RIPng 大于15跳,目标不可达。
使用UDP端口号521 IPv4 RIP协议端口号520
组播地址:FF02::9/8 IPv2使用的是组播地址224.0.0.9
ipv6强制使用安全协议:
AH
ESP
MAC 48bit
24 厂商
2、ospf
在IPv4 中使用是OSPFv2
在IPv6 中使用是OSPFv3 (不再提供认证机制)
routerID Area 32bit
IPV6提供安全协议 AH ESP