配置VLAN
作用:实现了再二层交换机进行广播域的划分,完美地解决了路由器划分广播域存在的困难。
优点:1 有效控制广播域范围2 增强局域网的安全性 3.灵活构建虚拟工作组。4.增强网络的健壮性。
类型:1基于端口的vlan划分(主流)2..MAC地址..3..协议..4..子网..
最大编号4096
Access链路类型端口:只允许默认VLAN的以太网帧通过的端口(单交换机环境/交换机与PC相连的端口)。
Trunk:不对VLAN标签进行剥离操作的端口。
Hybrid:可以接受和发送多个VLAN的数据帧,同时还能够指定对任何VLAN帧进行剥离标签操作。
[SWA]vlan 10 创建vlan,系统视图
[SWA-vlan 10]port E1/0/1 将制定端口加入到当前VLAN中,vlan视图
[SWA]interface E1/0/24
[SWA-E1/0/24]port link-type trunk/hybrid 配置端口的链路类型为Trunk类型 以太网端口视图
[SWA-E1/0/24]port trunk permit vlan 10 20/all 允许指定的VLAN通过当前Trunk端口,以太网端口视图
[SWA-E..]port hybrid vlan 10 20 untagged,允许vlan..报文以untagged方式通过
[SWA-E..]port trunk/hybrid pvid vlan 10设置..端口的缺省VLAN, 以太网端口视图.
[SWA]display vlan(10)/interface e1/0/1 查看..vlan信息,任意视图
生成树协议STP-由IEEE协会制定,用于在局域网中消除数据链路层物理环路的协议,标准名为802.1D。将环路网络结构修剪成无环路的树型网络结构
作用:通过阻断冗余链路来消除桥接网络中可能存在的路径回环,当前路径发生故障时,激活冗余备份链路,恢复网络连通性
通过在桥之间交换BPDU(桥协议数据单元),来保证设备完成生成树的计算过程 。
配置BPDU报文包含以下重要信息
根桥ID(RootID)由根桥优先级和MAC地址组成,用于根桥选举,先比较优先级,小者为优,后比较MAC小者为优。
根路径开销(RootPathCost)如果是根桥,其值为0,非根桥则为到达根桥的最短路径上所有路径开销的和。
指定桥ID(DesignatedBridgeID) 由桥优先级和MAC地址组成
指定端口ID( DesignatedPortID )由端口优先级和端口索引号组成,作用:决定端口角色(开销和上游指定桥ID都相同的情况下)
端口状态:1未启用STP功能的端口, Disabled, 不收发BPDU报文,接收或转发数据
2 非指定端口或根端口,Blocking, 接收但不发送BPDU,不接收或转发数据
3 Listening, 接收并发送BPDU,不接收或转发数据
4 Learning, 接收并发送BPDU,不接收或转发数据
5指定端口或根端口,Forwarding, 接收并发送BPDU,接收并转发数据
RSTP-STP协议的优化版,具备STP的所有功能,不同处:当一个端口被选为根/指定端口后,RSTP减少了端口从阻塞到转发的时延,尽可能快地恢复网络连通性,提供更好的用户服务。
实现快速的3个方面:1端口被选为根端口2指定端口是非边缘端口3指定端口是边缘端口
MSTP(多生成树协议)作用(也是STP RSTP缺点) 1将多个VLAN捆绑到一个实例,每个实例生成独立的生成树2在多条Trunk链路上实现VLAN级负载分担。
RSTP/MSTP 只有Discarding-Learning-Forwarding状态。
[SWA] stp enable/disable 开启/关闭生成树功能,系统视图。
[SWA] stp mode {stp/rstp/mstp}设置工作模式,系统视图,默认为mstp
[SWA] stp priority 0 配置SWA的优先级,使其成为根桥,默认32768
[SWA E1/0/1] (undo) stp edged-port enable (取消)配置..为边缘端口,作用:在网络拓扑变化时,能无时延地从阻塞状态到转发状态。
配置链路聚合 优点:1增加链路带宽2提供链路可靠性 原理:聚合后链路基于流进行负载分担 分类:1静态聚合-双方系统间不使用聚合协议来协商链路信息(没有聚合协议报文占用宽带,没有兼容性要求,常用于小型局域网) 2动态聚合- 双方系统间使用聚合协议来协商链路信息 LACP(链路聚合控制协议)是一种基于IEEE802.3ad标准的、能够实现链路动态聚合的协议 [SWA] interface bridge-aggregation 1-创建聚合端口,(并进入二层聚合端口视图,聚合端口编号为1),系统视图 [SWA] interface E1/0/1 [SWA E..]port link-aggregation group 1-把物理端口加入到创建的聚合组中,接口视图 IP路由原理 路由是指导IP报文发送的路径信息 路由表是路由器转发报文的判断依据,包含要素:1目的地址/网络掩码2出接口3下一跳地址4度量值 路由的来源:1直连路由-开销小,配置简单,无需人工维护。只能发现本接口所属网段的路由。2手工配置的静态路由-无开销,配置简单,需人工维护,适合简单拓扑结构的网络。 3路由协议发现的路由-开销大,配置复杂,无需人工维护,适合复杂拓扑结构的网络。 路由的度量:1跳数(RIP)2链路宽带(OSPF)3链路延迟4..使用率5..可信度6..MTU 路由环路会使数据转发形成死循环,不能到达目的地。原因:配置错误或协议缺陷 [Router] display ip routing-table(1.1.1.1) 查看ip路由器摘要信息(一条具体的路由),任意视图 [Router] display ip routing-table statistics 查看综合统计信息,任意视图 直连路由,是指路由器接口直接相连的网段的路由,优先级/开销为0 Vlan间路由 1不适当的..,路由器与每个VLAN建立一条物理连接,浪费大量的端口 2用802.1Q和子接口实现..,路由器只需要一个物理端口就可以,节省物理端口和线缆。Trunk链路需承担所有VLAN间路由数据,因此要选择带宽较高的链路。 3用三层交换机..,转发引擎速率高,吞吐量大,避免延迟和不稳定,成本相对低。 静态路由 优点1手动配置,可精确控制路由选择,改进网络性能2无动态协议开销,不占链路带宽 [RTA] ip route-static 10.3.0.0 255.255.255.0 10.2.0.2 目的IP 掩码 下一跳IP 静态路由的配置,系统视图 默认路由(优先级60),又称缺省路由,是在没有找到匹配的路由表示才使用的路由。能减少路由表数量,节省路由表空间,加快路由匹配速度 ip route-static 0.0.0.0 0.0.0.0 10.0.1.0 路由备份:到相同目的地址的下一跳和优先级都不同,优先级高的为主,低的为备 负载分担:到相同目的地址的下一跳不同,但优先级相同,到目的地的流量将均匀分布 黑洞路由, ip route-static 10.0.0.0 255.255.255.0 null 消除环路,实际上是丢弃此报文,避免环路的产生 路由协议基础 路由协议-路由器用来计算、维护网络路由信息的协议,通常有一定的算法,工作在传输层或应用层。 常见的路由协议有RIP、OSPF、BGP等 可路由协议-可被路由器转发的协议,工作在网络层。常见的可路由协议有IP、IPX等 原理/工作过程:网络中所有路由器须实现相同的某种路由协议并已经启动该协议 1邻居发现,路由器通过发送广播报文或发送给指定的路由器邻居以主动把自己介绍给网段内的其它路由器。2路由交换,每台路由器将自己已知的路由相关信息发给相邻路由器。3路由计算,每台路由器运行某种算法,计算出最终的路由来。 4路由维护,,路由器之间通过周期性地发送协议报文来维护邻居信息。 分类:外部网关协议(EGP)-BGP,内部网关协议(IGP)-RIP/OSPF/IS-IS,距离矢量路由协议-RIP/BGP, 链路状态路由协议OSPF/IS-IS 衡量路由协议的主要指标:1协议计算的正确性2路由收敛速度3协议占用系统开销4协议自身的安全性5协议适用网络规模 RIP(优先级100) RIP协议适用于中小型网络,分为RIPv1(有类别路由协议,协议报文中不携带掩码信息,不支持VLSM,只支持以广播方式发布协议报文-系统和网络开销大,交换子网时有时发生错误)和RIPv2(无类别/带掩码/支持组播/支持VLSM和CIDR/明文认证/MD5密文认证-安全) RIP协议基于UDP传输,端口号520 更新时间-30s 老化时间-180s(时间内若没更新,度量值设置为无穷大16,从路由表撤消) Garbage-collect-120s(从度量值变为16开始,到从路由表被删除时间) RIP路由协议环路避免机制:1路由毒化-路由器主动把路由表中发生故障的路由项以度量值无穷大(lnf)的形式通告给RIP邻居.2水平分割(默认开启)-RIP路由器从某个接口学到的路由,不会再从该接口发回给邻居路由器.3毒性逆转-RIP从某个接口学到路由后,将该路由的度量值设置为16,并从原接口发回邻居路由器.4定义最大度量值-16.5抑制时间-当一条路由度度量值变为16时,该路由进入抑制状态,期间只有来自同一邻居且度量值小于16的路由更新才会被路由器接收,取代不可达路由.6触发更新-当路由表中路由信息产生改变时,路由器不必等到更新周期到来,而立即发送路由更新给相邻路由器. [RTA]rip (process-id,可不指定,系统自动选用RIP进程1)- 创建RIP进程并进入RIP视图,系统视图 [RTA-rip]network 1.1.1.1-指定..网段接口使能rip,0.0.0.0-所有端口 [Router-rip-1] silent-interface { all | interface-type interface-number }-配置接口工作在抑制状态 (undo)rip split-horizon(水平分割)/ poison-reverse (毒性逆转) [RTA-rip]version {1|2}-指定RIP全局版本 或接口视图下指定接口说运行..rip version{1|2[broadcast|multicast]} [RTA-rip]undo summary-关闭RIPv2自动路由聚合功能,默认开.关闭后能使RIPv2想向外发布子网路由和主机路由,而不是按照自然掩码发布网段路由。 [Router-Ethernet1/0] rip authentication-mode { md5 { rfc2082 password | rfc2453 password } | simple password } 启动认证并指定认证类型,接口视图 若学习到了目的网段跟实际网络不一致,原因是RIPv1协议报文 RIP的缺陷:1以跳数评估的路由并非最优路径2最大跳数16导致网络尺度小3收敛速度慢4更新发送全部路由表浪费网络资源 OSPF 优先级10 OSPF(开放最短路径优先)是IETF 开发的基于链路状态的自治系统内部路由协议,仅传播对端设备不具备的路由信息,网络收敛迅速,并有效避免了网络资源浪费,直接工作于IP层之上,IP协议号为89,以组播地址发送协议包 OSPF协议工作过程四个阶段:寻找邻居、建立邻接关系、链路状态信息传递(路由器交互LSA-链路状态公告,最终形成LSDB-链路状态数据库)、计算路由(用SPF-最短路径优先算法) LSA有11类,第1~5和7常用。1描述区域内部与路由器直连的链路的信息(包括链路类型,Cost等) 2由DR生成,描述其在该网络上连接的所有路由器以及网段掩码信息,只在区域内部传播 3由ABR生成,将所连接区域内部的链路信息以子网的形式传播到邻区域 4由ABR生成,格式与Type3相同,描述的目标网络是一个ASBR的Router ID 5由ASBR产生,描述到AS外部的路由信息 [RTA]router id 1.1.1.1-配置Router id,系统视图 [RTA]ospf 1-启动ospf,进程号为1,系统视图 [RTA-ospf-1](undo)area 0(可以以点分十进制表示)-ospf路由器必须至少属于一个区域,启动后应先划分区域,区域视图 [RTA-ospf-1-area-0.0.0.0](undo)network 1.1.1.1 0.0.0.0-在指定端口上启动OSPF,网络地址 掩码,区域视图 [RTA]interface E0/0;[RTA-E0/0]ospf dr-priority 0-配置接口优先级(undo恢复默认),接口视图 [RTA-E0/0]ospf cost 10-配置接口cost(undo恢复默认),接口视图 边缘区域是指人为定义的一些特殊区域,它们在逻辑中位于OSPF区域的边缘,只与骨干区域相连。 Stub区域-不存在4/5 LSA Totally Stub区域-不存在3/4/5 NSSA区域-没5,允许7注入 [H3C]display ospf peer(邻居)/lsdb(链路状态数据库)/routing(路由表信息)/brief(摘要)/interface(接口信息)/error(出错信息)/routing-table(全局路由表) ACL(访问控制列表)是用来实现数据包识别功能的 分类:2000~2999基本ACL-只根据报文的源IP地址信息制定规则 3000~3999高级ACL根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则 4000~4999二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则 5000~5999 用户自定义ACL可以根据任意位置的任意字串制定匹配规则 配置ACL过滤包-4步: 1[RTA]firewall enable-启动包过滤防火墙 [RTA]firewall default {permit/deny}默认permit,设置防火墙的默认过滤方式 2[RTA]acl number 2001-设置合适ACL分类,此为基本ACL 3创建规则,设置匹配条件及相应动作permit/deny-[sysname-acl-basic-2000] rule [ rule-id ] { deny | permit } [ fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-name ] 如[RTA-acl-basic-2001]rule deny source 192.168.0.2 0.0.0.0 高级:[sysname-acl-adv-3000] rule [ rule-id ] { deny | permit } protocol [ destination { dest-addr dest-wildcard | any } | destination-port operator port1 [ port2 ] established | fragment | source { sour-addr sour-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-name] 如禁止从PCA到网络..2.0/24的FTP数据流[H3C-acl-adv-3001]rule deny tcp source 192.168.0.2 0.0.0.0 destination 192.168.2.1 0.0.0.255 destination-port eq ftp [H3C-acl-adv-3001]rule permit ip source..destination.. 二层:[sysname-acl-ethernetframe-3000] rule [ rule-id ] { deny | permit } [ cos vlan-pri | dest-mac dest-addr dest-mask | lsap lsap-code lsap-wildcard | source-mac sour-addr source-mask | time-range time-name] 4在路由器的接口应用ACL,并指明是对入/出接口的报文进行过滤 [sysname-Serial2/0 ] firewall packet-filter { acl-number | name acl-name } { inbound | outbound }如[RTA-E0/0] firewall packet-filter 2001 inbound [RTA]display acl 2001-查看ACL的统计信息 [RTA]display firewall-statistics all-查看所有的防火墙的统计信息 因篇幅问题不能全部显示,请点此查看更多更全内容