2020-07-24
第一章:ensp及vrp基础操作
1:基础命令时钟设置:
clock datetime 12:00:00 2020-5-4时区设置:clock timezone bj add 8:00:00配置在用户登录前显示的标题信息:header login information “hello”配置在用户登录后显示的标题信息:header shell information “welcome”查看路由器的当前配置:display current-configuration查看路由器的当前保存配置:display save-configuration查看接口信息:display interface g0/0/0查看当前目录:pwd显示当前目录下的文件信息:dir查看文本文件的具体内容:more修改用户当前界面的工作目录:cd创建新的目录:mkdir删除目录:rmdir复制文件:copy恢复删除的文件:undelete彻底删除回收站中的文件:reset recycle-bin查看路由表:display ip routing-table查看接口简要配置信息:display ip interface brief用户等级 命令等级 名称 0 0 访问级 1 0and1 监控级 2 0,1and2 配置级 3 0,1,2and3 管理级用户界面类型 编号 console 0 vty 0-4 2:telnet的两种认证方式实验telnet端口号:23ftp端口号:21(控制端口) 20(数据端口)telnet远程登陆---------password〈huawei〉system-view[huawei]interface g0/0/0[huawei-GigabitEthernet0/0/0]ip address 10.1.1.1 24ping命令检测设备之间是否连通?[AR3]user-interface vty 0 4[AR3-ui-vty0-4]authentication-mode passwordplease configure the login password(maxinum length 16):huawei实验检验:〈AR2〉telnet 10.1.1.254设置用户等级(默认0级)[AR3-ui-vty0-4]user privilege level 15默认情况下vty用户为参观级telnet远程登陆------------aaaaaa的配置:[666]aaa[666-aaa]local-user guoji password cipher 111 privilege level 2[666-aaa]local-user guoji service-type telnet[666]user-interface vty 0 4[666-ui-vty0-4]authentication-mode aaa查看已登陆用户信息:display users-----------telnet使用明文传输不安全-----------stelnet使用密文传输安全ssh:基于tcp协议22号端口 3:stelnet实验1、构建拓扑配置地址:2、SSH服务器:对称加密:加密解密密钥可以互相推导,加密效率高,密钥的传输安全问题 DES 3DES非对称加密:公钥(公开) 私钥(私钥) 加密效率低,密钥的传输不存在安全问题 RSA第一步:创建主机密钥对[R2]rsa local-key-pair create[R2]user-interface vty 0 4[R2-ui-vty0-4]authentication-mode aaa[R2-ui-vty0-4]protocol inbound ssh[R2]aaa[R2-aaa]local-user heyuan password cipher 666[R2-aaa]local-user heyuan service-type sshR2-aaa]local-user heyuan privilege level 15创建SSH用户:[R2]ssh user heyuan authentication-type password开启SSH功能[R2]stelnet server enable客户端:[client]ssh client first-time enable[client ]stelnet 10.1. 1. 2下载公钥,下载成功,用户名密码登录 4:文件系统管理及ftp备份或下载文件实验ftp服务器的配置命令:ls 查看ftp服务器的目录内容:list从服务器下载文件:[R1-ftp]get test.txt从服务器上传文件:[R1-ftp]put new.txt配置路由器为ftp server1:[R1]ftp server enable2: 配置ftp参数:设置用户名、密码,设置文件夹目录,访问目录,设置用户等级,设置服务器类型ftp[R1]aaa[R1-aaa]local-user hang password cipher 123[R1-aaa]local-user hang ftp-directory flash[R1-aaa]local-user hang service-type ftp[R1-aaa]local-user hang privilege level 153:实验认证:界面参数,选择上传的文件 第二章:交换机配置基础 5:交换机配置基础1:单工(电视、广播)全双工(同时进行收发-电话)半双工(不能同时进行收发-对讲机)2:[SW2]interface e0/0/1关闭自动协商:[SW2-Ethernet0/0/1]undo negotiation auto [SW2-Ethernet0/0/1]duplex full[SW2-Ethernet0/0/1]speed 100[W2-Ethernet0/0/1]description ha3: ARP原理:地址解析协议 IP—MA 静态和动态动态ARP–广播—10.1.1.1静态ARP:管理员手工添加 (防止ARP欺骗) 第三章:vlan 6 vlan接入链路access主要内容:1:ARP代理2:交换机工作、VLAN基本原理3:access trunk hybrid1:查看ARP表:display arp all2:ARP协议工作经常黑客利用[AR1]arp static 10.1.1 .1 5489-98c7-50c63:接口下:arp-proxy enable1:广播域——能接收广播的区域 物理层—— 集线第、中继器 一个广播域 2层——网桥、交换机 一个广播域 3层——路由器 隔离广播 每个口对应广播域冲突域——争夺资源物理层——集线器、中继器2层——网桥 交换机 隔离冲突3层——路由器 隔离冲突1:VLAN tag——12bit VLAN ID 0-4095(0,4095保留)没有加上VLAN标记的标准以太网帧(untaggedframe);有VLAN标记的以太网帧(tagged frame)PVID即Port VLAN ID,代表端口的缺省VLAN。交换机从对端设备收到的帧有可能是Untagged的数据帧,但所有以太网帧在交换机中都是以Tagged的形式来被处理和转发的,因此交换机必须给端口收到的Untagged数据帧添加上Tag。为了实现此目的,必须为交换机配置端口的缺省VLAN。当该端口收到Untagged数据帧时,交换机将给它加上该缺省VLAN的VLAN Tag1:创建VLAN方法:[sw1]vlan 10[sw1]vlan batch 10 20[sw1]vlan batch 10 to 202:接口划入VLAN:[sw1]interface e0/0/1[sw1-Ethernet0/0/1]port link-type access[sw1-Ethernet0/0/1]portdefault vlan 10显示当前视图配置信息:display thisAccess端口收发数据帧的规则如下:如果该端口收到对端设备发送的帧是untagged(不带VLAN标签),交换机将强制加上该端口的PVID。如果该端口收到对端设备发送的帧是tagged(带VLAN标签),交换机会检查该标签内的VLAN ID。 当VLAN ID与该端口的PVID相同时,接收该报文。 当VLAN ID与该端口的PVID不同时,丢弃该报文。Access端口发送数据帧时,总是先剥离帧的Tag,然后再发送。Access端口发往对端设备的以太网帧永远是不带标签的帧。 7:vlan干道链路trunktrunk链路:[sw2]interface e0/0/1[sw2-Ethernet0/0/1]port link-type trunk[sw2-Ethernet0/0/1]port trunk allow-pass vlan all修改trunk接口PVID 为VLAN 10: [swl-Ethernet0/0/5]port trunk pvid vlan 10显示端口VLAN:[sw1-Ethernet0/0/5]display port vlan 8:access、trunk接口转发规则access接口收发规则:当接收到对端设备发送的带Tag的数据帧时,检查VLAN ID是否在允许通过的VLAN ID列表中。如果VLAN ID在接口允许通过的VLAN ID列表中,则接收该报文。否则丢弃该报文。端口发送数据帧时,当VLAN ID与端口的PVID相同,且是该端口允许通过的VLAN ID时去掉Tag,发送该报文。当VLAN ID与端口的PVID不同,且是该端口允许通过的VLAN ID时,保持原有Tag,发送该报文。trunk端口收发数据帧的规则如下:当接收到对端设备发送的不带Tag的数据帧时,会添加该端口的PVID,如果PVID在允许通过的VLAN ID列表中,则接收该报文,否则丢弃该报文。 9:hybrid接口规则实验hybrid——连接普通终端设备的接入链路,又可以连接交换机的干道链路规则:1、收到数据帧:是否有tag?没有标签,则标记上hybrid接口的PVID有标签,判断接口是否允许VLAN通过,----不允许丢弃、允许通过2、发出数据帧:判断hybrid接口属性是untagged 还是tagged?如果是untagged,先剥离帧VLAN标签,再发送如果是tagged ,直接发送连接PC端的:interface Ethernet0/0/2port link-type hybrid (默认)port hybrid pvid vlan 10 ——access 把接口划入VLAN 10port hybrid untagged vlan 10 接口发出去的帧去掉VLAN10中间干道——交换机连接交换机[sw1-Ethernet0/0/1]port hybrid tagged vlan 10 20[sw1-Ethernet0/0/1]port hybrid untagged vlan 10 2010:vlan间路由——单臂路由(access、trunk)1:单臂路由:第一步划分VLAN[swl]vlan batch 10 20 30interface GigabitEthernet0/0/1port link-type accessport default vlan 10interface GigabitEthernet0/0/2port link-type accessport default vlan 20interface GigabitEthernet0/0/3port link-type accessport default vlan 30interface GigabitEthernet0/0/4port link-type trunkport trunk allow-pass vlan 10 20 30路由器:interface GigabitEthernet0/0/0.10dotlq termination vid 10(dot1Q处理VLAN 10 标签)ip address 192.168.1.254 255.255.255.0arp broadcast enable(开启ARP广播功能)interface GigabitEthernet0/0/0.20dotlq termination vid 20ip address 192.168.2.254 255.255.255.0arp broadcast enableinterface GigabitEthernet0/0/0.30ip address 192.168.3.254 255.255.255.0arp broadcast enable 11:vlan间路由——单臂路由(hybrid)所有接口使用hybrid接口interface GigabitEthernet0/0/1port hybrid pvid vlan 10port hybrid untagged vlan 10interface GigabitEthernet0/0/2port hybrid pvid vlan 20port hybrid untagged vlan 20interface GigabitEthernet0/0/3port hybrid pvid vlan 30port hybrid untagged vlan 30interface GigabitEthernet0/0/4port hybrid tagged vlan 10 20 30 12:vlan间路由——虚接口虚拟接口配置地址:interface Vlanif 10ip address 192.168.1.254 255.255.255.0interface Vlanif 20ip address 192.168.2.254 255.255.255.0interface Vlanif 30ip address 192.168.3.254 255.255.255.0查看路由表:display IP routing-table 13:其他交换技术——gvrp注册协议GARP(Generic Attribute Registration Protocol) ,全称是通用属性注册协议,它为处于同一个交换网内的交换机之间提供了一种分发、传播、注册某种信息(WLAN属性、组播地址等)的手段。手动配置的VLAN是静态VLAN通过GVRP创建的VLAN是动态VLAN配置GVRP时必须先在系统视图下使能GVRP,然后在接口视图下使能GVRP。在全局视图下执行gvrp命令, 全局使能GVRP功能。在接口视图下执行gvrp命令,在端口上使能GVRP功能。执行gvrp registration 〈mode〉命令,配置端口的注册模式。可以配置为Normal、Fixed和Forbidden。默认情况下,接口的注册模式为Normal模式interface Ethernet0/0/1port link-type trunkport trunk allow-pass vlan all[sw2]gvrp 开启GVRP协议[sw2-Ethernet0/0/1]gvrp 开启GVRP协议[sw2-Ethernet0/0/1]gvrp registration normal 默认gvrp基于接口控制Normal:传送静态、动态Fixed:只能传静态Forbidden:不能传送任何静态,动态14:其他交换技术——gvrp注册协议单项注册1:交换间做trunk链路:interface e0/0/1port link-type trunkport trunk allow-pass ylan all2:SW1创建VLAN10、20,把接口划入VLAN中:interface Ethernet0/0/1port link-type accessport default vlan 10interface Ethernet0/0/2port link-type accessport default vlan 203:GVRP启动命令:系统视图:GVRP[swl]:GVRP接口视图:GVPR[sw1-Ethernet0/0/1]gvrp单向注册:GVRP的注册协议的三种模式:1:normal模式:允许接口动态注册、注销VIAN,传播动态VLAN和静态VLAN2:fixed 模式:禁止该接口动态注册和注销VLAN,只传播静态VLAN3:forbidden 模式:禁止该接口动态注册和注销VLAN,不传播除去VLAN1的任何VLAN 15:其他交换技术——smart link创建smart link 组1:[sw1]smart-link group 1 开启smart link 功能:[sw1-smlk-group-1]smart-link enable 关闭接口下面的STP 生成树协议(默认开启)interface Ethernet0/0/1stp disableinterface Ethernet0/0/2stp disablesmart-link group 1smart-link enableport Etherneto/0/1 master 配置e/0/0/1为主接口port Ethernet0/0/2 slave 配置e/0/0/1为备份接口配置回切功能:[sw1]smart-link group 1[swl-smlk-group-1]restore enable 开启回切功能[sw1-smlk-group-1]timer wtr 30 回切时间30S (默认60S)监控链路:SW2monitor-link group 1port Ethernet0/0/2 uplinkport Ethernet0/0/1 downlink 116:其他交换技术-链路聚合-手工负载分担链路聚合:在ARG3系列路由器和X7系列交换机上默认最多为8条1:只能删除不包含任何成员口的Eth-Trunk口2:把接口加入Eth-Trunk口时, 二层Eth-Trunk口的成员口必须是二层接口,三层Eth-Trunk口的成员口必须是三层接口3:一个Eth-Trunk口最多可以加入8个成员口4:加入Eth-Trunk口的接口必须是hybrid接口(默认的接口类型)5:一个Eth-Trunk口不能充当其他Eth-Trunk口的成员口6:一个以太接口只能加入一个Eth-Trunk口。如果把一个以太接口加入另一个Eth-Trunk口,必须先把该以太接口从当前所属的Eth-Trunk口中删除7:一个Eth-Trunk口的成员口类型必须相同。例如,一个快速以太口(FE口)和一个千兆以太口(GE口)不能加入同一个Eth-Trunk8:位于不同接口板(LPU)上的以太口可以加入同一个Eth-Trunk口。如果一个对端接口直接和本端Eth-Trunk口的一个成员口相连,该对端接口也必须加入一个Eth-Trunk口。否则两端无法通信9.:如果成员口的速率不同,速率较低的接口可能会拥塞,报文可能会被丢弃10:接口加入Eth-Trunk口后,Eth-Trunk口学习MAC地址,成员口不再学习[swl]interface Eth-Trunk 1[sw1-Eth-Trunk1]mode manual load-balance[swl]interface g0/0/2[sw1-GigabitEthernet0/0/2]eth-trunk 1[swl]interface g0/0/3[sw1-GigabitEthernet0/0/3]eth-trunk 1[swa]display interface eth-trunk 1 17:其他交换技术——lacp1:eth-trunk手工负载分担LACP——静态交换机系统优先级:system priority 32768端口优先级:port priority 32768使用优先级——值越低优先级越高,选择活动端口端口状态默认都是活动selected[swl]interface Eth-Trunk 1[swl-Eth-Trunk]max active-linknumber 2 第四章:stp 18:stp根桥的选举STP工作原理:1:选举一个根桥:桥ID:优先级+MAC(优先级默认32768,都是4096的倍数)(优先级数值越小,优先级越高)根桥优先级一样:才比较MAC,MAC地址数值小的作为跟桥每个非根交换机选举一个根端口每个网段选举一个指定端口阻塞非根、非指定端口 19:stp根端口和指定端口的选举每个非根交换机选举一个根端口:1:比较端口到跟桥的路径开销值,小的(近的)对应根端口2:发送端桥ID (对端的桥ID), 先比较优先级,数值小(优先级高)对应的端口是根端口,如果优先级一样,再比较MAC,小的对应端口就是跟端口。3:上述规则不能适用,比较端口的对端ID(优先级+编号)优先级数值小,优先级高,对应端口就是根端口优先级一样,比较编号,编号小对应端口就是根端口运行STP交换机的每个端口都有一个端口ID,端口ID由端口优先级和端口号构成。端口优先级取值范围是0到240,步长为16,即取值必须为16的整数倍。缺省情况下,端口优先级是128。端口ID(port ID)可以用来确定端口角色如果两个或两个以上的端口连接到同一台交换机上,则选择发送者PID最小的那个端口作为根端口如果两个或两个以上的端口通过Hub连接到同一台交换机的同一个接口上,则选择本交换机的这些端口中的PID最小的作为根端口每个网段选举一个指定端口:(把自己放到网段中间去看接口)A、到根交换机的cost值小的,作为指定端口B、比较端口所在交换机的桥IDC、比较端口ID阻塞非根、非指定端口 20:stp习题讲解BPDU 两种类型:配置BPDU:0x00:STP的Configuration BPDUTCN BPDU 0x80:STP的TCN BPDU(Topology Change Notification BPDU) 21:rstp实验体验根交换机:[sw1]stp root primary备份交换机:[sw1]stp root secondary边缘端口:stp edge-port enable所有端口设置为边缘端口:stp edge-port defaultalte端口是root端口的备份back端口是desi端口的备份 22:mstp的实验体验配置域名为abc:region-name abc 版本修订号 1:revision-level 1 将VLAN10 加入实例1:instance 1 vlan 10 将VLAN20 加入实例2:instance 2 vlan 20 激活配置:active region-configuration SW2:[sw2]STP instance 1 root primary 配置此交换机为实例1的主根[sw2]stp instance 2 root secondary 配置此交换机为实例2的备份根SW3[sw3]STP instance 2 root primary 配置此交换机为实例2的主根[sw3]stp instance 1 root secondary 配置此交换机为实例1的备份根 第五章:rip路由 23:rip基本理论和配置思科:10.2.2.2 source 10.1.1.1华为命令:ping -a 10.1.1.1 10.2.2.2RIP V1 广播地址255.255.255.0 路由信息里不携带掩码,网络号和metric值,只发布汇总后的路由,默认开始自动汇总,且无法关闭,也不支持手动汇总。不支持认证RIP V2 组播地址224.0.0.9 路由信息里携带掩码、下一跳地址信息。RIP支持自动汇总,默认也开启,并且可以关闭,支持手动汇总。支持认证;明文和MD5华为设备上,接口下面开启了水平分割功能手动路由汇总:[R3-GigabitEthernet0/0/0]rip summary-address 3.3.0.0 255.255.252.0 24:rip版本兼容、定时器、修改优先级查看协议默认配置参数:display default-parameter rip 在RIP,没有指定版本,接口默认情况下能接收v1和v2报文,但发送V1指定版本V1,只能接收和发送V1指定版本V2,只能接收和发送V2路由配置相同RIP版本查看RIP发布数据库中所有激活路由:display rip 1 database 定时器: 更新周期默认30秒,超时计时器180秒,垃圾收集计时器(清理路由)120秒RIP—timer调整路由优先级:RIPpreference 《1-255》 25:rip抑制端口和单播更新抑制接口和单播更新:抑制接口:禁止接口发送更新报文—undo RIP OUTPUT 或者silent-interface单播更新:RIP使用单播发送更新报文 26:rip与不连续子网连续子网:相连的网属于同一个主网不连续子网:相同主网下的子网被另一主网分割v1不支持不连续 —使用从地址使得网络连续v2支持不连续—可以关闭自动汇总,undo summary