来源:蜘蛛抓取(WebSpider)
时间:2018-05-15 13:16
标签:
华为手机忘记开机密码
笔记夲开机后不进入程序怎么笔记夲电脑开机办_百度知道
笔记夲开机后不进入程序怎么笔记夲电脑开机办
笔记夲开机后不进入程序怎么笔记夲电脑开机办
我有更好的答案
如果您说的是开不了机,是与您关机前的不当操作有关系吧?比如:玩游戏、看视频、操作大的东西、使用电脑时间长造成的卡引起的吧?或下载了不合适的东西、或删除了系统文件、或断电关机等,故障不会无缘无故的发生吧?开机马上按F8不动到高级选项出现在松手,选“最近一次的正确配置”回车修复,还不行按F8进入安全模式还原一下系统或重装系统(如果重装也是这样,建议还是检修一下去,如果可以进入安全模式,说明你安装了不合适的东西,将出事前下载的不合适东西全部卸载,或还原系统或重装,如果您的电脑是Win8,进不了系统是进不了安全模式的,只有重装了)。 确实不可以就重装系统吧,如果自己重装不了,到维修那里找维修的人帮助您。 一个是放半天或一天有时会自己恢复,另一个就是重装系统了。 只要注意自己的电脑不卡机、蓝屏、突然关机,开机就不会这样了。 有问题请您追问我。
采纳率:89%
能把问题描述清楚吗?
为您推荐:
其他类似问题
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。华为HCNA教程(笔记)
时间: 22:41:17
&&&& 阅读:854
&&&& 评论:
&&&& 收藏:0
第一章 VRP操作基础
MiniUsb串口连接交换机的方法
3命令行基础(1)
eNSP中路由开启后(记住port)---第三方软件连接该路由方法:telnet 127.0.0.1 port
用户视图(文件)—–系统视图(系统sys)——接口视图(接口 interface GigabitEthernet 0/0/0)——协议视图(路由)
display hotkey
显示功能键
display clock
clock timezone CST add 8
设置时区(先设时区再设时间)
clock datetime
header login information #
登录前信息
header shell information
登录后信息(格式同上)Ctrl+]
能够退出查看该信息
用户权限15
为console口配置password:
user-interface console 0
;进入到相应口
authentication-mode password
;认证模式为passwork
set authentication passw设置password(路由器不须要)
为vty(telnet)设置password
user-interface vty 0 4
user privilege level 3;用户命令等级3(管理员)PS:console不用
dis history-command;显示历史命令
为接口配置2个IP地址(限路由)
system-view
[Huawei]interface gigabitethernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.0.12.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0]interface loopback 0
;环回接口(逻辑接口)
[Huawei-LoopBack0]ip address 1.1.1.1 32
管理网口配置:
注意:华为交换机有单独的管理网口,不占用机器配置表中的网口
interface MEth0/0/1 //标识有ETH的单独的RJ45网口
ip address 192.168.5.250 24 //设置管理网口的ip地址和掩码
汇聚交换机管理IP配置网关vlanif已在核心交换机内
在汇聚交换机中新加和核心交换机中同样vlanif 。并分配IP(网段同网关)
4.命令行基础(2)
云配置:udp (入口)1---绑定vmware仅主机网卡(出口)2
要做port映射
display version
查看路由器基本信息
display interface GigabitEthernet 0/0/0
查看接口状态信息
display ip interface brief
查看全部接口的IP简要信息,含IP地址
display ip routing-table
查看路由表
display current-configuration
查看当前的配置(内存中)
display saved-configuration
查看保存的配置(Flash中)
dir flash:
查看Flash中的文件
保存配置文件
重新启动设备
telnet实验(參照上面命令)
3A认证(不同用户不同password)
user-interface vty 0 4
authentication-mode aaa
;差别password
user privilege level 15
local-user admin passw建用户并给password
local-user admin privilege level 15
local-user admin service-type telnet
telnet登录后使用dis users 可查看当前登录用户
抓包能够分析出telnet的password“Follow TCP Stream”
5.VRP文件系统基础
改变文件夹
more 查看文件内容
copy flash:/vrpcfg.zip
vrpcfg.zip
(拷贝根文件夹“需加flash”下的配置文件到当前文件夹)
delete 删除
rename 改名
undelete 恢复回收站的文件
pwd显示路径
创建文件夹
删除文件夹
format 格式化
fixdisk 修复文件系统
save 生成cfg.zip
saved显示保存配置
display cur 显示当前配置
reset saved 删除保存配置
第一次N ========== 设备复位
compare configuration 比較配置文件差别
删除/永久删除文件
delete /unreserved
(dir /all 可查看回收站的文件)
恢复删除的文件
彻底删除回收站中的文件
recycle-bin
载入不同的配置文件
dis startup
;查看开机信息。当中有载入配置文件的路径
startup saved-configuration flash:/a.zip
;更改启动配置文件
比較当前配置与下次启动的配置
compare configuration
6.VRP系统管理(1)
路由器做为client :
ftp (FTPserver地址)
get vrp.cc
下载文件到ftp
put vrp.zip
上传文件到ftp
tftp 10.0.1.184 put(get) vrpcfg.zip
7.VRP系统管理(2)
第二章 静态路由
8.IP路由原理、静态路由基本配置
路由的来源:
直连路由:链路层发现的路由(direct)
管理员手工增加:静态路由
(static)
路由器协议学到的路由:动态路由 (ospf rip)
静态路由特点:
优:实现简单。精确控制。不占资源
缺:不适用大型网络,网络变更须要手动改
dis ip routing-table
;查看路由表,直连11条
ip route-static 192.168.23.0 24 Serial 1/0/0 192.168.12.2
经过(本路由出口)
下一跳(下一路由入口)
9.静态路由深入分析
优先级pre:直连最大0 ----OSPF---静态
度量值cost:同一路由下,选择最小开销(多因素)的路径
以上參数,值越小。优先级越高
匹配原则:目的地址和路由表的掩码做与,再比較路由中的“目的地址”---优先挑掩码大的做匹配
下一跳写法:
点对点:能够省略下一跳;
以太网:能够省略出接口;
dis fib 。终于採纳的路由表
递归查询(带R标志):经过中间多次查询,终于到达目的地址
缺省路由:0.0.0.0 0.0.0.0
;目的和子网掩码都为0的路由,上互联网都有这条
10.负载分担、路由备份
双线路负载(2条线路同一时候工作):平时2条静态方向不同的路由表,能够达到负载的作用。
浮动路由(路由备份,平时仅仅有一条线路工作):通过当中一条设置成低优先级(增加路由时加preference)的路由,变成浮动(路由表中看不到)。出问题才出现
dis ip routing-table 192.168.4.0 verbose
。查看某一目的路由的具体信息
第三章 RIP
11.动态路由协议基础
常见的动态路由协议有:
RIP:Routing Information Protocol,路由信息协议。
OSPF:Open Shortest Path First,开放式最短路径优先。
ISIS: Intermediate System to Intermediate System,中间系统到中间系统。
BGP:Border Gateway Protocol,边界网关协议。
自治系统内部的路由协议—— IGP:RIPv1/v2、OSPF、ISIS
自治系统之间的路由协议 —— EGP:BGP
单播,组播
不同路由协议不能直接互相学习。但能够通过路由引入来导入不同的协议
12.RIP简介及基本配置
度量值:跳。最多不能够超过15跳
2个路由学习时,更新是一个方向,学回后的路由指向是相反方向
RIP1.0 : UDP:520port
工作在应用层
RIP 基本配置
network 10.0.0.0仅仅支持主类网络
10.0.1.254
必须写成10.0.0.0
;进入相关进程
silent-interface GigabitEthernet0/0/0
;静默(关闭)某接口发送
第四章 OSPF
20.OSPF基本原理及基本配置
开放式最短路径优先(OSPF)
链路状态路由协议
OSPF报文封装在IP报文中,协议号为89。
OSPF工作原理:路由通过LSA泛洪---收集到路由数据库(LSDB)---通过SPF算法---依据自身算出最短路由
(交换的不是路由表,而是数据库)
hello报文建立邻居关系---邻接(同步数据库。full状态)
OSPF区域:分区域为了减小数据大小
配置方法:
area 0;进入到0区域
network 10.1.1.0 0.0.0.255(代表10.1.1.0网段)把该路由器上地址为10.1.1.X 网段的接口应用ospf,有2个方向就要有2个network
同等 10.1.0.0 0.0.255.255
同等 0.0.0.0 255.255.255.255
dis ospf peer brief
。查看ospf邻居信息
第七章 訪问控制列表
35.基本ACL介绍
ACL是用来实现流识别功能的。
ACL(Access Control List。訪问控制列表)是定义好的一组规则的集合,通经常使用于:
标识感兴趣网络流量
过滤经过路由器的数据包
报文的源IP地址
报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性等三、四层信息
配置ACL的过程:实际上就是告诉路由器同意或者拒绝某些数据包
ACL难点:通配符、语句顺序、方向性
source 10.1.1.1 0.0.0.0
同意来自10.1.1.1主机的IP数据包通过
deny source 10.1.1.2 0.0.0.0
拒绝自10.1.1.2主机的IP数据包通过
source 10.0.0.0
0.255.255.255
同意来自IP地址为10.×.×.×(即IP地址的第一个字节为10)的主机的数据包通过。
同意来自10.0.0.0/255.255.255.0的IP数据包通过
rule 5 permit
source 10.0.0.0
;掩码位反过来(简单的0和25。复杂)
复杂255.224.0.0
写的话主是 0.31.255.255
224相应机器数32-1=31
特殊的通配符掩码
255 不关心位X
1.permit source any
= permit source 0.0.0.0
255.255.255.255
source 172.30.16.29 0
某一具体主机
source 172.30.16.29 0.0.0.0
ACL顺序匹配:一但匹配成功。后面的列表将不再检查(比較苛刻的放前面)
未命中规则(一条都不匹配):不同模块处理不一样。假设是转发模块。则转发数据包;假设是telnet模块,则不同意;假设是路由过滤,不同意路由通过。
禁止192.168.1.1-192.168.1.100思路
PS:最后一条,96应该是100
rule………………..
int gi0/0/0进入相关接口
traffic-filter inbound acl 2000 ;应用到相关接口
dis acl 2000 。查看
dis traffic-filter applied-record ;查看接口(方向)应用了哪个列表
36.基本ACL应用案例
禁止telnet :
user-interface vty 0 4 ;进到vty
acl 2999 inbound
。应用到该接口,和物理接口有差别
ACL中加这名是由于,ACL匹配未成功后,telnet模块,不同意通过数据包
telnet -a 10.2.2.1 192.168.12.1
。-a參数,以指定IP源telnet
时间控制:
time-range work-time 9:0 to 18:00 working-day 6
。定义“work-time” 星期一到六
rule deny time-range worktime ;上班时间不同意上网
rule permit
禁止学习某路由表;
进到相关rip
filter-policy(过滤策略) 为定义的acl ,export 代表向外公布。import代表我要学习
自己主动让匹配宽松的放前面,苛刻的放后面
acl 2200 match-order auto
37.高级ACL
acl number 3000高级
rule 5 permit tcp destination 172.2.0.250 0 destination-port eq www
。同意全部机器TCP訪问目标机器的www 服务
rule 10 deny ip destination 172.2.0.250 0 ;拒绝全部的IP协议(包括icmp)訪问
traffic-filter inbound acl 3000;进入port。并应用
ACL放置位置
基本ACL尽可能靠近目的
高级ACL尽可能靠近源
内能够ping外,外不能够ping内(ping 分析: 去类型为:echo
回类型为:echo-reply)
acl number 3000
rule 5 deny icmp icmp-type echo
rule 10 permit ip
traffic-filter inbound acl 3000
内能够telnet外。外不能够telnet内(tcp三次握手。第一个包不带ack位)
rule 8 permit tcp tcp-flag ack
;放行带ack的
rule 9 deny tcp 。拒绝不带ack的
第八章 网络地址转换
38.静态NAT、动态NAT
静态nat 和外网地址一一相应,n–n
不能降低公网地址;
环回口配置
int lookback 1
192.168.1.1
ip route-static 0.0.0.0 0 gi0/0/1 61.0.0.2
;要上网的路由需加的路由表
静态nat配置
int gi0/0/1
。进入外网接口
nat static global 61.0.0.11(公网IP。不一定是接口IP) inside 192.168.1.1
特点:发包源IP地址转换
收包目的IP地址转换
查看静态nat
动态nat配置
int gi0/0/1
;进入外网接口
acl 2000 ;定义acl编号
rule permit 192.168.1.0 0.0.0.255
。地址范围内网
nat address-group 1 61.0.0.11 61.0.0.20 ;外网地址范围
nat outbound 2000 address-group 1 no-pat
;先内后外 no-pat 不做port转换
特点:100对50
仅仅能节省部分地址
d显示 nat 转换情况
39.PAT、NATserver
NAPT or PAT (port地址转换)
:动态port转换
设置同动态NAT
nat outbound 2000 address-group 1
;先内后外 与动态NAT差别:no-pat
Easy IP 配置 (家庭使用,没有固定IP)
nat outbound 2000
;仅仅指定源IP
nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080
第一十一章 交换基础、VLAN
50.VLAN原理和配置
简单vlan配置
;创建 valn
dis port vlan ;接口vlan状态
int eth0/0/0
port type-link access
;接口类型
port default vlan 10
Accessport在收到数据后会增加VLAN Tag,VLAN ID和port的PVID同样。
Accessport在转发数据前会移除VLAN Tag。
当Trunkport收到帧时,假设该帧不包括Tag。将打上port的PVID;假设该帧包括Tag,则不改变。
当Trunkport发送帧时,该帧的VLAN ID在Trunk的同意发送列表中:若与port的PVID(trunk2端pvid必须同样。默认是1)同样时,则剥离Tag发送;若与port的PVID不同一时候,则直接发送。
vlan batch
10 20 30 批量10 to 30
(10,11,12.…………30)
int gi0/0/1
port link-type trunk
port trunk allow-pass
;同意通过的vlan
port trunk pvid vlan 1
;改变pvid ,默认是1
di查看trunk接口是否打标记,T or U
PS:取消Trunk
undo port trunk
allow-pass vlan all
port trunk allow-pass vlan 1
port link-type access
51.Hybrid接口
訪port能够连不论什么设备
第一十三章 VLAN间路由、VRRP
58.单臂路由实现VLAN间路由
每一个vlan一个物理连接(一条线)
交换机与路由2根线(有几个VLAN就有几根线)
交换机端:该端配置和“客户port”同样
路由端:仅仅需配IP(网关)
将交换机和路由器之间的链路配置为Trunk链路,而且在路由器上创建子接口以支持VLAN路由。
交换机端:配置trunk
路由器端:
[RTA]interface GigabitEthernet0/0/1.1
。定义子接口
[RTA-GigabitEthernet0/0/1.1]dot1q termination vid 2
。分配VLAN
[RTA-GigabitEthernet0/0/1.1]ip address 192.168.2.254 24
。配置网关
[RTA-GigabitEthernet0/0/1.1]arp broadcast enable
。开启ARP广播
59.三层交换实现VLAN间路由
2层+路由器
路由配虚拟portvlan
[SWA]interface vlanif 2
; 2同相关VLAN号
[SWA-Vlanif2]ip address 192.168.2.254 24 ;网关PS:该地址不能在其他VLAN网段中出现
复杂模式:三层接二层(带管理)
中间设置成trunk,三层也要建和二层相关VLAN,int vlanif放在三层上。
第一十四章 交换机port技术
63链路聚合(手工模式)
[SWA]interface Eth-Trunk 1
[SWA-Eth-Trunk1]interface GigabitEthernet0/0/1
[SWA-GigabitEthernet0/0/1]eth-trunk 1
[SWA-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2
[SWA-GigabitEthernet0/0/2]eth-trunk 1
dis eth-trunk 1
;查看链路
PS: trunkport下做链路聚合方法:先做链路聚合,然后在int eth-trunk 数字下做Trunk
72.防火墙技术
依照防火墙实现的方式,一般把防火墙分为例如以下几类:
包过滤防火墙:简单,每一个包都要检查。缺乏灵活性,策略多影响性能
代理型防火墙:安全,但不方便,针对性强(http代理),不通用
状态检測防火墙:基于连接状态。结合以上2种防火墙的长处
仅仅防网络层和传输层。不防应用层(比方站点漏洞)。
防外不防内;
防火墙的安全区域:
Local(100网网)----Trust(85外网)
-----DMZ(50WEBserver)
高能够訪问低,低不能够訪问高
配置安全区域和安全域间。
将接口增加安全区域。
在安全域间配置基于ACL的包过滤。
1.在AR2200上配置安全区域和安全域间
system-view
[Huawei] firewall zone trust
[Huawei-zone-trust] priority 15
[Huawei-zone-trust] quit
[Huawei] firewall zone untrust
[Huawei-zone-untrust] priority 1
[Huawei-zone-untrust] quit
[Huawei] firewall interzone trust untrust
。配置(进入)域间
[Huawei-interzone-trust-untrust] firewall enable
。开启该域间的防火墙
[Huawei-interzone-trust-untrust] quit
2.在AR2200上将接口增加安全区域
int gi0/0/1
zone OUTSIDE
;相关接口增加到相关区域(华为防火墙:假设不增加的话,与之相连的PC不能訪问该port。和路由有差别)
PS:以上另外等价方法
firewall zone trust ;进入相关区域
add int gi0/0/1 ;增加相关port
dis firewall session all
;查看防火墙的全部会话信息
3.在AR2200上配置ACL (同意外网能够telnet内网)
rule permit tcp destination 192.168.1.100 0 destination-port eq 23 ;同意telnet
firewall interzone INSIDE OUTSIDE 。进入相关域间
packet-filter 3001 inbound;应用相关acl
FTP的主动(FTP本身),被动(client)模式
内网訪问外网FTP。FTP主动模式(PORT)不能传数据(经常外网FTPserver訪问不了。FTP下载软件要改成被动模式),但被动模式(PASV)能够訪问
ASPF配置工作在应用层,检測http、FTP等,能够为这些协议打开放行通道
firewall interzone INSIDE OUTSIDE;进入到相关区域
detect aspf all ;开启检測
标签:原文地址:http://www.cnblogs.com/mengfanrong/p/5172211.html
&&国之画&&&& &&&&chrome插件
版权所有 京ICP备号-2
迷上了代码!安卓手机上有道云笔记的密码忘记怎么处理
您可以到这个网易通行证的帮助中心,在线找回密码。
或者联系网易通行证的客服,通过电话人工帮助您找回。希望这个回答对您有帮助。
在网页里重置或联系网易客服
先挽尊你的描述清除通知在下载内容里面删找清楚有没恶意软件下载把软件卸载最后一策: 刷机
在网页版重置就可以了。跟网易邮箱是同一个密码的。
感谢您为社区的和谐贡献力量请选择举报类型
经过核实后将会做出处理感谢您为社区和谐做出贡献
确定要取消此次报名,退出该活动?
请输入私信内容:当前位置: >>
华为HCDP学习笔记
华为 HCDP 学习笔记一、华为 HCDP IERN 学习笔记 ....................................................................................................... 1 1、OSPF 路由协议基础(OSPF 基本配置) .......................................................................... 1 2、理解 OSPF 邻居与邻接关系( OSPF 网络类型(NBMA、P2MP) ) ............................. 2 3、理解 OSPF 邻居与邻接关系( Virtual Link) .................................................................. 4 4、 理解 OSPF 邻居与邻接关系(OSPF 网络类型(P2P、Broadcast) ) ........................... 5 5、 OSPF 协议报文和链路状态通告 ..................................................................................... 6 6、 建立 OSPF 邻居与邻接关系 ............................................................................................ 8 7、计算 OSPF 区域内路由 .................................................................................................... 10 8、 OSPF 区域间路由 ........................................................................................................... 10 9、OSPF 区域间路由(Vlink) ............................................................................................. 11 10、 OSPF 区域间路由(区域间汇聚) ............................................................................. 12 11、OSPF 外部路由 ............................................................................................................... 13 12、OSPF 特殊区域 ............................................................................................................... 15 13、BGP 工作原理 ................................................................................................................. 17 14、BGP 路径选择 ................................................................................................................. 18 15、 Next-Hop ....................................................................................................................... 19 16、BGP 路由汇聚 ................................................................................................................. 20 17、BGP 路由策略(1 2) .................................................................................................... 22 18、BGP 路由策略(3 4) ................................................................................................. 24 19、 BGP 路由策略(5 6 ).................................................................................................... 26 20、BGP 路由策略(7 8 9 10 11 ) ............................................................................................ 27 21、 BGP 路由策略(BGP 路由过滤) .................................................................................. 28 22、 BGP 反射 ....................................................................................................................... 30 23、 BGP 联盟 ....................................................................................................................... 32 二、华为 HCDP IESN 学习笔记 ..................................................................................................... 34 1、 VLAN 1 ............................................................................................................................. 34 2、 VLAN 2 (Hybrid) ........................................................................................................ 35 3、 VLAN 3 (Mux VLAN) .................................................................................................. 36 4、 VLAN 4(Super VLAN) .................................................................................................. 38 5、 VLAN 5(VLAN Mapping) ............................................................................................. 39 6、 VLAN 6(端口隔离) ..................................................................................................... 39 7、 QinQ 配置 ....................................................................................................................... 40 8、STP ..................................................................................................................................... 42 9、RSTP................................................................................................................................... 43 10、MSTP ............................................................................................................................... 44 11、 802.1x 原理与配置 ....................................................................................................... 45 12、 DHCP Snooping ............................................................................................................. 46 13、 DHCP 原理 .................................................................................................................... 48 三、华为 HCDP IESN 学习笔记 ..................................................................................................... 50 1、 (华为安全技术)USG 防火墙产品基本功能特性与配置 ............................................. 50 2、防火墙的基本功能........................................................................................................... 51 3、Qos 分类与标记 .............................................................................................................. 53 4、流量的监管....................................................................................................................... 54 5、流量整形........................................................................................................................... 55�一、华为 HCDP IERN 学习笔记1、OSPF 路由协议基础(OSPF 基本配置)OSPF的基本配置 [R4]router id 4.4.4.4 [R4]ospf [R4-ospf-1] [R4-ospf-1]area 0 [R4-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0 [R4-ospf-1-area-0.0.0.0]network 14.1.1.4 0.0.0.0 [R1]ospf 1 router-id 1.1.1.1 [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 [R1-ospf-1-area-0.0.0.0]network 14.1.1.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]area 1 [R1-ospf-1-area-0.0.0.1]network 12.1.1.1 0.0.0.0 [R2]ospf 1 router-id 2.2.2.2 [R2-ospf-1]area 1 [R2-ospf-1-area-0.0.0.1]network 0.0.0.0 255.255.255.255 [R3]ospf 1 router-id 3.3.3.3 [R3-ospf-1]area 1 [R3-ospf-1-area-0.0.0.1]network 3.3.3.3 0.0.0.0 [R3-ospf-1-area-0.0.0.1]network 23.1.1.3 0.0.0.01 / 57�查看OSPF路由: [R4]display ip routing-table protocol ospf2、理解 OSPF 邻居与邻接关系( OSPF 网络类型(NBMA、 P2MP) )1、修改OSPF的网络类型: [R1-Serial1/0/0]ospf network-type ? broadcast nbma p2mp p2p Specify OSPF broadcast network Specify OSPF NBMA network Specify OSPF point-to-multipoint network Specify OSPF point-to-point network [R1-Serial1/0/0]ospf network-type broadcast [R1-Serial1/0/0]fr map ip 123.1.1.2 102 broadcast [R1-Serial1/0/0]fr map ip 123.1.1.3 103 broadcast [R2-Serial1/0/0]ospf network-type broadcast [R2-Serial1/0/0]fr map ip 123.1.1.1 201 broadcast [R3-Serial1/0/0]fr map ip 123.1.1.1 301 broadcast [R3-Serial1/0/0]ospf network-type p2p 一端是Broadcast,另一端是P2P,可以建立OSPF邻居关系,但无路由P2MP [R1-Serial1/0/0]ospf network-type p2mp 一端是P2MP,另一端是Broadcast(Hello Time=30s)可以建立OSPF邻居关系,但无路由 一端是P2MP,另一端是是P2P(Hello Time=30s)可以建立OSPF邻居关系,而有路由 没有任何2层封装接口默认的OSPF网络类型是P2MP,只能手工将接口配置为P2MP的OSPF网络型2 / 57�自动建立OSPF邻居关系,不选举DR和BDR 2、工作在NBMA中的OSPF: [R1]interface s1/0/0 [R1-Serial1/0/0] link-protocol fr [R1-Serial1/0/0] undo fr inarp [R1-Serial1/0/0] fr map ip 123.1.1.2 102 broadcast [R1-Serial1/0/0] fr map ip 123.1.1.3 103 broadcast [R1-Serial1/0/0] ip address 123.1.1.1 255.255.255.0 [R2-Serial1/0/0] link-protocol fr [R2-Serial1/0/0] undo fr inarp [R2-Serial1/0/0] fr map ip 123.1.1.1 201 broadcast [R2-Serial1/0/0] ip address 123.1.1.2 255.255.255.0 [R3-Serial1/0/0]interface Serial1/0/0 [R3-Serial1/0/0] link-protocol fr [R3-Serial1/0/0] undo fr inarp [R3-Serial1/0/0] fr map ip 123.1.1.1 301 broadcast [R3-Serial1/0/0] ip address 123.1.1.3 255.255.255.0 当串行接口被封装为FR时,在参与OSPF进程时,默认的OSPF网络类型是NBMA(Non-Broadcast Multiple Access,非广播多路访问) NMBA的OSPF网络类型不能使用Hello包自动发现邻居,必须手工指定邻居 [R1]ospf 1 [R1-ospf-1]peer 123.1.1.2 [R1-ospf-1]peer 123.1.1.3 [R2/3-ospf-1]peer 123.1.1.1 手工指定OSPF邻居之后,OSPF使用单播的Hello包建立OSPF邻居关系 在华为设备中必须双向指定OSPF邻居 在NBMA的OSPF网络类型中,选举DR和BDR,需要手工调整DR [R1]interface s1/0/0 [R1-Serial1/0/0]ospf dr-priority 10 [R2/3-Serial1/0/0]ospf dr-priority 0 &R2&reset ospf process [R2-Serial1/0/0]fr map ip 123.1.1.3 201 [R3-Serial1/0/0]fr map ip 123.1.1.2 3013 / 57�3、理解 OSPF 邻居与邻接关系( Virtual Link)配置虚链路(Vlink): [R1]ospf 1 [R1-ospf-1]area 1 [R1-ospf-1-area-0.0.0.1]vlink-peer 3.3.3.3 [R3]ospf 1 [R3-ospf-1]area 1 [R3-ospf-1-area-0.0.0.1]vlink-peer 1.1.1.1 查看vlink状态 [R1]display ospf vlink4 / 57�4、 理解 OSPF 邻居与邻接关系(OSPF 网络类型(P2P、 Broadcast) )1、在R1上查看S1/0/0接口 串行接口的数据链路层的封装默认类型是PPP时,参与到OSPF 进程时的默认OSPF网络类型是P2P OSPF网络类型为P2P时,形成邻居关系之后直接形成邻接关系 2、在R3上查看G0/0/0接口 以太网接口参与到OSPF进程时默认OSPF网络类型是Broadcast DRother与DRother只能形成邻居关系; DRother与DR和BDR,以及DR与BDR之间形成邻接关系5 / 57�5、 OSPF 协议报文和链路状态通告1、OSPF报文结构 2、OSPF报头格式 3、配置OSPF的认证 [R1-Serial3/0/0]ospf authentication-mode simple cipher 123456 [R4-Serial1/0/0]ospf authentication-mode simple plain 、LSA报头 5、LSA类型――区域内路由的计算 1)Type 1 LSA:Router LSA 区域内的每个OSPF路由器为每个区域的所有接口产生一条Type 1 LSA; 在区域内泛洪; 查看1类LSA:[R4]display ospf lsdb [router] [x.x.x.x] Advertsing Router(通告路由器):使用自己的Router-ID表示; Link State ID(LS ID):使用自己的Router-ID表示; Link State Age(LS Age):3600s Sequence Number:序列号。LSA的起源者每30分钟,重新泛洪自己的LSA,而且序列号加1 Link count(链路数量) (1)Loopback使用一个Link表示,Link内部如下: Link ID:使用Loopback接口的IP地址表示; Data:使用Loopback接口的子网掩码; Link Type:环回接口使用Stubnet(末稍)表示,表明接口无OSPF邻居 Metric:表示接口的成本。环回接口使用0; Priority:环回接口使用中(Medium) (2)P2P/P2MP的OSPF网络类型的接口在1类LSA中使用2个Link count表示。 一个Link Count用于描述接口上邻居 Link ID:邻居的Router-ID Data:邻居的接口IP地址; Link Type:P2P 另一个Link Cout用于描述接口的状态信息: Link ID:接口的子网; Data:接口的子网掩码6 / 57�Link Type:使用Stubnet(末稍)表示 Metrci:接口的成本 Priority:Low (3)Broadcast和NBMA的OSPF网络类型的接口在1类LSA中使用1个Link Count表示 Link ID: DR的接口IP地址 Data: 自己的接口IP地址 Link Type: TransNet(中转网络) Metric : 接口的成本 2)Type 2 LSA:Network LSA 由DR产生2类LSA,在整个区域内泛洪 [R4]display ospf lsdb network LS Type:Network LS ID:DR接口IP地址 Adv Router:DR的Router-id ... ... Network Mask: Priority:low Attached Router(相关的路由器):多路访问的网络中的所有OSPF路由器列表 6、LSA类型――区域间路由计算 由ABR(Area Broder Router,区域边界路由器)产生,整个AS内泛洪 [R4]display ospf lsdb summary Type: Sum-Net LS ID:路由前缀 ... ... Network Mask:前缀的子网掩码 7、LSA类型――外部路由计算 [R3]ospf 1 [R3-ospf-1]import rip 1 type {1 | 2} tag [tag值] cost [cost值] 1)Type 4 LSA(ASBR-Summary LSA) 用于告诉非ASBR所在区域的OSPF路由器如何到达ASBR [R4]display ospf lsdb asbr Type : Sum-Asbr LS ID:ASBR的Router-ID Adv Router:本区域的ABR ... ... 2)Type 5 LSA(AS-External-LSA) 用于告诉OSPF的AS中的所有路由器存在的外部路由 [R3]display ospf lsdb ase7 / 57�Type: ExternalLS ID:外部路由前缀 Adv Router:ASBR的Router-ID ... Net mask :外部路由的子网掩码 Metric:默认是1 E type(外部路由类型):1表示计算OSPF内部路径成本,2表示不计算OSPF内部路径成本。默 认是2 Forwarding Address:0.0.0.0 Tag : 16、 建立 OSPF 邻居与邻接关系1、Hello包内容 1)Network Mask(网络掩码): 在Broadcast和NBMA网络类型中要求网络掩码必须匹配, 否则无法建立邻居关系,P2P和P2MP不需要Hello中的网络掩码匹配。 2)Hello Interval: 在Broadcast和P2P网络类型中默认的Hello Interval=10s; NBMA和P2MP网络类型中默认的Hello Interval=30s 建立OSPF邻居关系的OSPF路由器的Hello Interval必须匹配 3)Option(选项): (默认E位被置位,表示能够支持外部路由能力;NP表示是否支持NSSA) 4)Priority(优先级): 默认值=1 5)Router Dead Interval(路由器死亡间隔) 默认是Hello Interval的4倍 在Broadcast和P2P网络类型中默认的Router Dead Interval=40s; NBMA和P2MP网络类型中默认的Router Dead Interval=120s 建立OSPF邻居关系的OSPF路由器的Router Dead Interval必须匹配 6)DR IP Address 7)BDR IP Address8 / 57�8)Active Neighbor(活动邻居) 2、验证Hello包合法性 1)Network Mask(网络掩码) 2)Hello Interval: 3)Option(选项): 5)Router Dead Interval(路由器死亡间隔) 2、邻居状态变换(邻居关系) 1)Down:这是邻居的初始状态,表示没有从邻居收到任何信息。 在NBMA网络上,此状态下仍然可以向静态配置的邻居发送Hello报文, 发送间隔为PollInterval,通常和RouterDeadInterval间隔相同。 2)Attempt:此状态只在NBMA网络上存在,表示没有收到邻居的任何 信息,但是已经周期性的向邻居发送报文,发送间隔为HelloInterval。 如果RouterDeadInterval间隔内未收到邻居的Hello报文,则转为Down状态。 3)Init:在此状态下,路由器已经从邻居收到了Hello报文,但是自己不 在所收到的Hello报文的邻居列表中,表示尚未与邻居建立双向通信关系。 在此状态下的邻居要被包含在自己所发送的Hello报文的邻居列表中。 2-WayReceived:此事件表示路由器发现与邻居的双向通信已经开始( 发现自己在邻居发送的Hello报文的邻居列表中)。Init状态下产生此事件之后,如果需要和邻 居建立邻接关系则进入ExStart状态,开始数据库同步 过程,如果不能与邻居建立邻接关系则进入2-Way。 4)2-Way:在此状态下,双向通信已经建立,但是没有与邻居建立邻接关系。这是建立邻接关 系以前的最高级状态。 1-WayReceived:此事件表示路由器发现自己没有在邻居发送Hello报文的邻居列表中,通常是 由于对端邻居重启造成的。 3、查看OSPF邻居 [R4]display ospf peer [brief] 4、邻居状态变换(邻接) 5)ExStart(预启动):这是形成邻接关系的第一个步骤,邻居状态变成此状态以后,路由器 开始向邻居发送DD报文。主从关系是在此状态下形成的;初始DD序列号是在此状态下决定的。 在此状态下发送的DD报文不包含链路状态描述。 6)Exchange(交换):此状态下路由器相互发送包含链路状态信息摘要(LSA Header)的DD 报文,描述本地LSDB的内容。 7)Loading(加载):相互发送LS Request报文请求LSA,发送LS Update通告LSA。 8)Full:两路由器的LSDB已经同步。 查看OSPF错误(排错) [R4]display ospf error9 / 57�7、计算 OSPF 区域内路由配置接口成本: [R1]interface s1/0/0 [R1-Serial1/0/0]ospf cost 30 修改OSPF参考带宽(默认是100Mbps)(AS内每个OSPF路由器必须拥有相同的参考带宽) [R4]ospf 1 [R4-ospf-1]bandwidth-reference ? INTEGER&1-& The reference bandwidth (Mbits/s)8、 OSPF 区域间路由1、区域间路由 2、区域间环路 为了避免区域间的环路,OSPF规定不允许直接在两个非骨干区域之间发布路由信息, 只允许在一个区域内部或者在骨干区域和非骨干区域之间发布路由信息。因此,每 个区域边界路由器(ABR)都必须连接到骨干区域。 3、Network-Summary LSA(3类LSA) 4、配置Virtual Link10 / 57�9、OSPF 区域间路由(Vlink)1、区域间路由 2、区域间环路 为了避免区域间的环路,OSPF规定不允许直接在两个非骨干区域之间发布路由信息,只允许在 一个区域内部或者在骨干区域和非骨干区域之间发布路由信息。 因此, 每个区域边界路由器 (ABR) 都必须连接到骨干区域。 3、Network-Summary LSA(3类LSA) 4、配置Virtual Link(Vlink工作在Area 0) Virtual Link可以用于未与Area 0直接连接的一个非骨干区域,还可以用于连接两个被分别的 骨干区域在以上的区域设计中,Area 1、2、3都与骨干区域直接连接,使用Area 2作为中转域 配置Virtual Link,以作为备份链路 [R1]ospf 1 [R1-ospf-1]area 2 [R1-ospf-1-area-0.0.0.2]vlink-peer 3.3.3.3 [R3]ospf 1 [R3-ospf-1]area 2 [R3-ospf-1-area-0.0.0.2]vlink-peer 1.1.1.1 [R1]display ospf vlink [R1]interface s2/0/0 [R1-Serial2/0/0]ospf cost 200 通过Vlink建立的OSPF邻居,Vlink接口默认Hello Time=10s;Router Dead Interval Time=40s OSPF网络类型是Virtual,Cost=到达Vlink Peer物理链路成本总和 5、配置区域间路由汇聚 1)在R4上创建4个环回接口,默认4个明细路由 [R4]interface lo10 [R4-LoopBack10]ip address 172.16.0.1 2411 / 57�[R4-LoopBack10]interface lo11 [R4-LoopBack11]ip address 172.16.1.1 24 [R4-LoopBack11]interface lo12 [R4-LoopBack12]ip address 172.16.2.1 24 [R4-LoopBack12]interface lo13 [R4-LoopBack13]ip address 172.16.3.1 24 2)将环回接口参与到OSPF进程中 [R4-LoopBack13]ospf 1 [R4-ospf-1]area 1 [R4-ospf-1-area-0.0.0.1]network 172.16.0.0 0.0.255.255 3)配置OSPF汇聚(OSPF不支持自动汇聚,不支持在区域内汇聚(因为区域内LSDB相同)) 区域间的路由只能够在ABR上配置汇聚: [R1]ospf 1 [R1-ospf-1]area 1 [R1-ospf-1-area-0.0.0.1]abr-summary 172.16.0.0 255.255.252.010、 OSPF 区域间路由(区域间汇聚)配置Vlink: [R1]ospf 1 [R1-ospf-1]area 1 [R1-ospf-1-area-0.0.0.1]vlink-peer 3.3.3.3 [R3-ospf-1]area 1 [R3-ospf-1-area-0.0.0.1]vlink-peer 1.1.1.1 在ABR上配置OSPF区域间汇聚 [R4]interface lo10 [R4-LoopBack10]ip address 172.16.0.1 24 [R4-LoopBack10]interface lo11 [R4-LoopBack11]ip address 172.16.1.1 24 [R4-LoopBack11]interface lo1212 / 57�[R4-LoopBack12]ip address 172.16.2.1 24 [R4-LoopBack12]interface lo13 [R4-LoopBack13]ip address 172.16.3.1 24 [R4-LoopBack13]ospf 1 [R4-ospf-1]area 0 [R4-ospf-1-area-0.0.0.0]network 172.16.0.0 0.0.255.255 [R1]ospf 1 [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]abr-summary 172.16.0.0 255.255.252.0 100 [R3-ospf-1]area 0 [R3-ospf-1-area-0.0.0.0]abr-summary 172.16.0.0 255.255.252.0 50 通过以上配置, R5能够得到汇总路由, 而R2无法得到汇总路由,因为R2所在的Area 1是Virtual Link的中转区域(Transit Area,中转区域)。11、OSPF 外部路由1、引入外部路由 [R3]ospf 1 [R3-ospf-1]import rip 1 [R3-ospf-1]rip 1 [R3-rip-1]import ospf 1 2、Route-Type (1、2) 如果通过两个ASBR得到相同的OSPF外部路由,Route-type 1优选于Route-Type 2; 3、FA(Forwarding Address,转发地址) 在非NSSA中产生FA的条件: 1)与外部路由器连接的接口必须参与到OSPF进程 2)接口的OSPF网络类型必须是Broadcast或NBMA 3)接口不能被配置为Slient-interface13 / 57�[R3]ospf 1 [R3-ospf-1]area 1 [R3-ospf-1-area-0.0.0.1]network 35.1.1.3 0.0.0.0 [R3-ospf-1-area-0.0.0.1]interface s3/0/0 [R3-Serial3/0/0]ospf network-type broadcast 配置OSPF接口为静默接口: [R3-ospf-1]silent-interface s3/0/0 [R3-ospf-1]import-route rip 1 type 1 [R4]ip route-static 35.1.1.0 24 14.1.1.1 preference 5 [R4]display ospf lsdb ase 5.5.5.5 OSPF Process 1 with Router ID 4.4.4.4 Link State DatabaseType Ls id Adv rtr Ls age Len Options seq# chksum Net mask TOS 0 E type Tag Priority: External : 5.5.5.5 : 3.3.3.3 : 133 : 36 : E :
: 0x97ea : 255.255.255.255 : 2 : 1 : Medium Metric: 1Forwarding Address : 35.1.1.514 / 57�12、OSPF 特殊区域1、Stub Area(末稍区域)(不接受和产生4、5类LSA) 1)在R4启用环回接口,并引入到OSPF中,模拟外部路由。 [R4]interface lo10 [R4-LoopBack10]ip address 40.40.40.40 32 [R4]ospf 1 [R4-ospf-1]import-route direct 2)配置Stub Area [R1]ospf 1 [R1-ospf-1]area 1 [R1-ospf-1-area-0.0.0.1]stub [R2-ospf-1-area-0.0.0.1]stub [R3-ospf-1-area-0.0.0.1]stub 3) OSPF Stub Area中的ABR会自动下发默认路由到Stub Area中的其它路由器 (默认Cost=1) , 修改默认路由器的默认成本: [R1-ospf-1-area-0.0.0.1]default-cost 10 4)配置Stub Area注意事项: (1)骨干区域(Area 0)不能配置为Stub Area; (2)被配置为Stub Area的非骨干区域不能为Vlink的中转区域; (3)Stub Area如果存在两个以上的ABR,可能会产生次优路径; 2、配置Totally Stubby Area(完全末稍区域)(不接受和产生3、4、5类LSA,除一条LS ID 为0.0.0.0的LSA(默认路由) [R1]ospf 1 [R1-ospf-1]area 1 [R1-ospf-1-area-0.0.0.1]stub no-summary [R2-ospf-1-area-0.0.0.1]stub [R3-ospf-1-area-0.0.0.1]stub 3、NSSA(Not So Stubby Area,非完全末稍区域)15 / 57�1)引入外部路由 [R3-rip-1]ospf 1 [R3-ospf-1]import rip 1 2)配置NSSA [R1-ospf-1-area-0.0.0.1]undo stub [R1-ospf-1-area-0.0.0.1]nssa [R2-ospf-1-area-0.0.0.1]undo stub [R2-ospf-1-area-0.0.0.1]nssa [R3-ospf-1-area-0.0.0.1]undo stub [R3-ospf-1-area-0.0.0.1]nssa [R2]display ospf lsdb nssa 5.5.5.5 3)7转5 ABR(R1)实现LSA 7转5工作,当区域中存在两个或者两个以上的ABR时,Router-ID最大的执 行7转5在执行7转5的过程中,FA保持不变,用于防止产生次优路径 4)ABR自动下放默认路由(7类LSA),默认的Cost=1,Type=2 5)用于下放7类LSA的默认路由器(默认已经下放) [R1-ospf-1-area-0.0.0.1]nssa default-route-advertise 6)使用no-import-route [R1]ospf 1 [R1-ospf-1]import rip 1 [R1-ospf-1-area-0.0.0.1]nssa no-import-route 7)使用no-summary(不接收3、4、5类LSA,产生一条3类LSA的默认路由) [R1-ospf-1-area-0.0.0.1]nssa no-import-route no-summary16 / 57�13、BGP 工作原理BGP的基本配置: 1、在R4与R1之间使用物理接口建立eBGP邻居关系 [R4]bgp 4 [R4-bgp]peer 14.1.1.1 as-number 123 [R1]bgp 123 [R1-bgp]peer 14.1.1.4 as-number 4 [R4]bgp 4 [R4-bgp]network 4.4.4.4 32 2、在R1与R3之间使用环回接口建立iBGP邻居关系保证R1与R3之间Lo0的IGP可达性(OSPF) [R1]bgp 123 [R1-bgp]peer 3.3.3.3 as-number 123 [R3]bgp 123 [R3-bgp]peer 1.1.1.1 as-number 123 配置连接建立的源地址: [R1-bgp]peer 3.3.3.3 connect-interface lo0 [R3-bgp]peer 1.1.1.1 connect-interface lo0 修改下一跳属性 [R1-bgp]peer 3.3.3.3 next-hop-local [R3-bgp]peer 1.1.1.1 next-hop-local 3、 在R3与R5之间使用环回接口建立eBGP邻居关系保证R3与R5之间Lo0的IGP可达性 (静态路由) [R3]ip route-static 5.5.5.5 32 35.1.1.5 [R3]ip route-static 5.5.5.5 32 53.1.1.5 [R5]ip route-static 3.3.3.3 32 35.1.1.3 [R5]ip route-static 3.3.3.3 32 53.1.1.3 [R3]bgp 123 [R3-bgp]peer 5.5.5.5 as-number 5 [R3-bgp]peer 5.5.5.5 connect-interface lo0 [R3-bgp]peer 5.5.5.5 ebgp-max-hop [R5]bgp 5 [R5-bgp]peer 3.3.3.3 as-number 123 [R5-bgp]peer 3.3.3.3 connect-interface lo017 / 57�[R5-bgp]peer 3.3.3.3 ebgp-max-hop 2 &R4&terminal monitor &R4&terminal debugging &R4&debugging tcp packet &R4&debugging bgp event &R1&display tcp status &R1&display bgp peer &R1&display ip routing-table 查看TCP连接 查看BGP邻居状态列表 查看IP路由表&R1&display bgp routing-table 查看BGP路由表通告BGP路由 [R4]bgp 4 [R4-bgp]network 4.4.4.4 32 [R1-bgp]import-route ospf 114、BGP 路径选择1、优选协议首选值(PrefVal)最高的路由。 2、优选本地优先级(Local_Pref)最高的路由。 3、依次优选手动聚合路由、自动聚合路由、network命令引入的路由、import-4、route命令 引入的路由、从对等体学习的路由。 4、优选AS路径(AS_Path)最短的路由。 5、依次优选Origin类型为IGP、EGP、Incomplete的路由。 6、对于来自同一个AS的路由,优选MED(Multi Exit Discriminator)值最低的路由。 7、依次优选EBGP路由、IBGP路由、LocalCross路由、RemoteCross路由。 8、优选到BGP下一跳IGP Metric值较小的路由。 9、优选Cluster List最短的路由。 10、优选Router ID最小的路由器发布的路由。18 / 57�说明: 如果路由携带Originator_ID属性,选路过程中将比较Originator ID的大小(不再比 较Router ID),并优选12、Originator ID最小的路由。 11、优选从具有较小IP地址的对等体学来的路由。15、 Next-Hop1、BGP在向EBGP邻居通告路由时,或者将本地发布的BGP路由通告给IBGP邻居时,下一跳属性 是本地BGP与对端连接的端口地址(Connect-interface,用于建立BGP邻居的IP地址)。 RTC将18.0.0.0/8的BGP路由通告给RTA时,NEXT-HOP属性是10.0.0.2 RTC将18.0.0.0/8的BGP路由通告给RTD时,NEXT-HOP属性是10.0.0.2 2、对于多路访问的网络(广播网或NBMA网络),下一跳情况有所不同:如图所示,RTC在向RTA 通告路由20.0.0.0/8时, 发现本地端口10.0.0.2同此路由的下一跳10.0.0.3(指在RTC路由表中此路由的下一跳)为同 一子网,将使用10.0.0.3作为向EBGP通告路由的下一跳,而不是10.0.0.2。 [RTC]ip route-static 20.0.0.0 8 10.0.0.3 [RTC]bgp 200 [RTC-bgp]import static [RTC]ip route-static 20.0.0.0 8 g0/0/0 使用此静态路由配置时,RTA从RTC接收到BGP路由20.0.0.0/8的下一跳是10.0.0.2 3、BGP在向IBGP通告从其它EBGP得到的路由时,不改变路由的下一跳属性,而直接传递给IBGP 邻居。 RTD从RTC接收到17.0.0.0/8的下一跳是10.0.0.1 RTB从RTA接收到18.0.0.0/8的下一跳是10.0.0.2,但是对于RTB来说该下一跳(10.0.0.2) 不可达,导致路由不被优选解决方案: 在RTA上针对RTB这个BGP PEER使用next-hop-local命令 [RTA-bgp]peer 21.0.0.1 next-hop-local19 / 57�16、BGP 路由汇聚自动聚合(默认关闭的) [R1-bgp]network 4.4.4.4 32 [R1-bgp]summary automatic 以上配置不会导致4.4.4.4/32被自动聚合 自动聚合仅针对使用Import-route引入的路由才能生效 [R1-bgp]un network 4.4.4.4 32 [R1-bgp]import-route ospf 1 自动聚合仅传递汇聚的BGP路由,抑制明细的传播(s) BGP自动聚合只能聚合本地注入到BGP的路由,不能聚合从BGP邻居接收到的路由 手工聚合 1)在R4建立4个环回接口,模拟4条明细路由 [R4]interface lo10 [R4-LoopBack10]ip address 172.16.0.1 24 [R4-LoopBack10]interface lo11 [R4-LoopBack11]ip address 172.16.1.1 24 [R4-LoopBack11]interface lo12 [R4-LoopBack12]ip address 172.16.2.1 24 [R4-LoopBack12]interface lo13 [R4-LoopBack13]ip address 172.16.3.1 24 2)将明细路由引入到BGP [R4]acl 2000 [R4-acl-basic-2000]rule 10 permit source 172.16.0.0 0 [R4-acl-basic-2000]rule 20 permit source 172.16.1.0 0 [R4-acl-basic-2000]rule 30 permit source 172.16.2.0 0 [R4-acl-basic-2000]rule 40 permit source 172.16.3.0 0 [R4]route-policy lo permit node 10 [R4-route-policy]if-match acl 2000 [R4-bgp]import direct route-policy lo 3)配置手工聚合20 / 57�对BGP本地路由进行聚合。通常情况下,手动聚合的优先级高于自动聚合的优先级。缺省情况下 手动聚合后会把明细路由和聚合路由一起发布。 [R4-bgp]aggregate 172.16.0.0 16 [R4-bgp]summary automatic [R4-bgp]display bgp routing-table 172.16.0.0 16 手工聚合可以聚合本地注入到BGP路由表中或者是从BGP邻居学习的路由: [R3]bgp 236 [R3-bgp]aggregate 172.16.0.0 22 使用detail-suppressed参数抑制明细路由的传播: [R3-bgp]aggregate 172.16.0.0 22 detail-suppressed 聚合路由使用原子聚合(Atomic-aggregate)属性用于表示聚合路由丢弃了明细路由的属性 配置BGP路由手聚合的属性的继承 1)使用AS-SET参数,配置聚合路由携带明细路由的所有AS集 [R3-bgp]aggregate 172.16.0.0 22 detail-suppressed as-set 2)聚合路由继承明细中最差的起源属性 改变BGP聚合路由的属性 1)使用origin-policy参数。使用特定明细路由的属性作为聚合路由的属性 [R3]acl 2001 [R3-acl-basic-2001]rule 10 permit source 172.16.1.0 0 [R3]route-policy OP permit node 10 [R3-route-policy]if-match acl 2001 [R3-bgp]aggregate 172.16.0.0 22 detail-suppressed as-set origin-policy OP 2)使用attribute-policy参数。使用给定的属性作为聚合路由的属性 [R3]route-policy AP permit node 10 [R3-route-policy]apply origin egp 100 [R3-bgp]aggregate 172.16.0.0 22 detail-suppressed as-set origin-policy OP attribute-policy AP 使用 suppress-policy仅抑制特定的明细路由 [R3]acl 2002 [R3-acl-basic-2002]rule permit source 172.16.0.0 0 [R3-acl-basic-2002]rule permit source 172.16.1.0 0 [R3]route-policy SP permit node 10 [R3-route-policy]if-match acl 2002 [R3-bgp]aggregate 172.16.0.0 22 detail-suppressed as-set attribute-policy AP suppress-policy SP21 / 57�17、BGP 路由策略(1 2)默认时R1通过R2到达50.50.50.50/32,55.55.55.55/32 默认时R3通过R6到达40.40.40.40/32,44.44.44.44/32 BGP选路原则1:首选值(PrefVal) 1)属性特点:华为VRP私有; 2)传播范围:本地BGP路由器生效,不传播给任何BGP邻居 3)作用:影响本地BGP路由器路径选择 4)默认值=0,越大越优先 5)策略应用方向:可应用于EBGP和IBGP邻居的入站方向(import) 6)配置: 40.40.40.40/32与50.50.50.50/32之间的流量必须通过R2到达; 44.44.44.44/32与55.55.55.55/32之间的流量必须通过R6到达; 基于邻居配置首选值: [R3-bgp]peer 2.2.2.2 preferred-value 20 基于特定路由配置首选值: [R3-acl-basic-2000]rule 10 permit source 40.40.40.40 0 [R3]route-policy PV permit node 10 [R3-route-policy]if-match acl 2000 [R3-route-policy]apply preferred-value 20 [R3]route-policy PV permit node 20 [R3]bgp 236 [R3-bgp]peer 2.2.2.2 route-policy PV import [R1]acl 2000 [R1-acl-basic-2000]rule 10 permit source 55.55.55.55 0 [R1]route-policy PV permit node 10 [R1-route-policy]if-match acl 2000 [R1-route-policy]apply preferred-value 60 [R1-route-policy]route-policy PV permit node 20 [R1-route-policy]bgp 14 [R1-bgp]peer 16.1.1.6 route-policy PV import22 / 57�BGP选路原则2:Local-Preference(本地优先级) 1)属性特点:公认随意; 2)传播范围:一个AS内; 3)作用:用于告诉自己的IBGP邻居,如何离开 本地AS 4)默认值=100,越大越优先 5)策略应用方向: 可以应用于IBGP邻居的出方向和入方向; 还可以应用于EBGP邻居的入方向; 6)配置: 40.40.40.40/32与50.50.50.50/32之间的流量必须通过R2到达; 44.44.44.44/32与55.55.55.55/32之间的流量必须通过R6到达; 配置默认的Local-Preference: [R2]bgp 236 [R2-bgp]default local-preference 200 [R2]acl 2001 [R2-acl-basic-2001]rule 10 permit source 40.40.40.40 0 [R2]route-policy LP permit node 10 [R2-route-policy]if-match acl 2001 [R2-route-policy]apply local-preference 200 [R2]route-policy LP permit node 20 [R2]bgp 236 [R2-bgp]peer 3.3.3.3 route-policy LP export [R1]acl 2001 [R1-acl-basic-2001]rule 10 permit source 55.55.55.55 0 [R1]route-policy LP permit node 10 [R1-route-policy]if-match acl 2001 [R1-route-policy]apply local-preference 600 [R1-route-policy]route-policy LP permit node 20 [R1-route-policy]bgp 14 [R1-bgp]peer 16.1.1.6 route-policy LP import23 / 57�18、BGP 路由策略(34)默认时R1通过R2到达50.50.50.50/32,55.55.55.55/32 默认时R3通过R6到达40.40.40.40/32,44.44.44.44/32 BGP选路原则3: 手工聚合&自动聚合&本地Network&本地Import&从对等体学习到 1)从对等体学习到的路由: [R4]interface lo100 [R4-LoopBack100]ip address 172.16.100.100 16 [R4-LoopBack100]ospf network-type broadcast [R4-LoopBack100]bgp 14 [R4-bgp]network 172.16.0.0 16 [R4-bgp]ospf 1 [R4-ospf-1-area-0.0.0.0]network 172.16.100.100 0.0.0.0 2)从本地通过Import命令引入的路由: [R1]acl 2000 [R1-acl-basic-2000]rule 10 permit source 172.16.0.0 0 [R1-route-policy]if-match acl 2000 [R1-route-policy]bgp 14 [R1-bgp]import ospf 1 route-policy A 3)从本地通过Network命令宣告的路由: [R1]bgp 14 [R1-bgp]network 172.16.0.0 16 4)从本地自动聚合产生的路由 [R1]acl 2001 [R1-acl-basic-2001]rule 10 permit source 172.16.100.0 0 [R1]route-policy B permit node 10 [R1-route-policy]if-match acl 2001 [R1]bgp 14 [R1-bgp]import direct route-policy B [R1-bgp]summary automatic24 / 57�5)从本地手工聚合产生的路由 [R1]bgp 14 [R1-bgp]aggregate 172.16.0.0 16BGP选路原则4:AS-PATH 1)属性特点:公认必遵; 2)传播范围:无范围限制; 3)作用:用于列举出经过的AS序列 4)无默认值,AS越短越优先 5)策略应用方向: 可以应用于IBGP邻居的出方向和入方向; 还可以应用于EBGP邻居的出方向和入方向; 6)配置: 40.40.40.40/32与50.50.50.50/32之间的流量必须通过R2到达; 44.44.44.44/32与55.55.55.55/32之间的流量必须通过R6到达; [R6]acl 2003 [R6-acl-basic-2003]rule 10 permit source 40.40.40.40 0 [R6-acl-basic-2003]route-policy AS permit node 10 [R6-route-policy]if-match acl 2003 [R6-route-policy]apply as-path 100 200 additive [R6-route-policy]route-policy AS permit node 20 [R6-route-policy]bgp 236 [R6-bgp]peer 3.3.3.3 route-policy AS export [R1]acl number 2003 [R1-acl-basic-2003]rule 10 permit source 55.55.55.55 0 [R1-acl-basic-2003]route-policy AS permit node 10 [R1-route-policy]if-match acl 2003 [R1-route-policy]apply as-path 100 overwrite [R1-route-policy]route-policy AS permit node 20 [R1-route-policy]bgp 14 [R1-bgp]peer 16.1.1.6 route-policy AS import25 / 57�19、 BGP 路由策略(56)默认时R1通过R2到达50.50.50.50/32,55.55.55.55/32 默认时R3通过R6到达40.40.40.40/32,44.44.44.44/32 BGP选路原则5:Origin(起源) 1)属性特点:公认必遵; 2)传播范围:无范围限制; 3)作用:用于表示如何注入到BGP路由中 4)Network(i);Import-route(?);EGP(e) ;i&e&? 5)策略应用方向: 可以应用于IBGP邻居的出方向和入方向; 还可以应用于EBGP邻居的出方向和入方向; 6)配置: BGP选路原则6:MED 1)属性特点:可选的非过渡; 2)传播范围:到达下一个AS; 3)作用:用于告诉自己的EBGP邻居如何进入本地AS 4)默认值来自于IGP的Cost(直连路由和静态路由都是0)越小越优先 5)策略应用方向: 可以应用于IBGP邻居的出方向和入方向; 还可以应用于EBGP邻居的出方向和入方向; 6)配置: 40.40.40.40/32与50.50.50.50/32之间的流量必须通过R2到达; 44.44.44.44/32与55.55.55.55/32之间的流量必须通过R6到达; [R3]acl number 2004 [R3-acl-basic-2004]rule 10 permit source 40.40.40.40 0 [R3]route-policy MED permit node 10 [R3-route-policy]if-match acl 2004 [R3-route-policy]apply cost 20 [R3]route-policy MED permit node 20 [R3-route-policy]bgp 23626 / 57�[R3-bgp]peer 6.6.6.6 route-policy MED import [R2]acl 2005 [R2-acl-basic-2005]rule 10 permit source 55.55.55.55 0 [R2]route-policy MED permit node 10 [R2-route-policy]if-match acl 2005 [R2-route-policy]apply cost 20 [R2]route-policy MED permit node 20 [R2-route-policy]bgp 236 [R2-bgp]peer 12.1.1.1 route-policy MED export20、BGP 路由策略(7 8 9 10 11 )默认时R1通过R2到达50.50.50.50/32,55.55.55.55/32 默认时R3通过R6到达40.40.40.40/32,44.44.44.44/32 BGP选路原则7:EBGP邻居优选于IBGP邻居学习到路由 BGP选路原则8:优选Next-Hop地址的IGP成本低 BGP选路原则9:Cluster-List越短越优先 BGP选路原则10:Originator ID越小越优先,如果无Originator ID,则Router-ID越小越优 先; BGP选路原则11:Peer命令所配置IP地址越小越优先配置BGP负载匀衡(当选路原则8(优选Next-Hop地址的IGP成本低)之前的所有原则都相同时 的路径才能够被负载匀衡) [R1]bgp 14 [R1-bgp]maximum load-balancing ebgp 2 [R3-bgp]maximum load-balancing ibgp 2 [R3-GigabitEthernet0/0/0]ospf cost 4827 / 57�21、 BGP 路由策略(BGP 路由过滤)1、AS-PATH Filter 1)配置AS-PATH属性列表中携带5的所有BGP路由被过滤 [R4]ip as-path-filter 1 deny 5 [R4]bgp 14 [R4-bgp]peer 1.1.1.1 as-path-filter 1 import AS-PATH Filter包含一条隐式的拒绝所有语句 [R4]ip as-path-filter 1 permit 236 [R4]display ip as-path-filter 1 2)配置AS-PATH属性列表中以236开始的所有BGP路由被过滤 [R4]ip as-path-filter 2 deny ^236 [R4]ip as-path-filter 2 permit .* [R4]bgp 14 [R4-bgp]peer 1.1.1.1 as-path-filter 2 import 3)配置AS-PATH属性列表中以6结束的所有BGP路由被过滤 [R4]ip as-path-filter 3 deny 5$ [R4]ip as-path-filter 3 permit .* [R4]bgp 14 [R4-bgp]peer 1.1.1.1 as-path-filter 3 import 4)配置AS-PATH属性列表中包含36或5的所有BGP路由被过滤 [R4]ip as-path-filter 4 deny 36|5 [R4]ip as-path-filter 4 permit .* [R4]bgp 14 [R4-bgp]peer 1.1.1.1 as-path-filter 4 import 2、Community 1)在R5通告路由50.50.50.50/32时,携带Community为5:50;28 / 57�通告路由55.55.55.55/32时,携带Community为5:55 [R5]acl 2001 [R5-acl-basic-2001]rule 10 permit source 50.50.50.50 0 [R5]acl 2002 [R5-acl-basic-2002]rule 10 permit source 55.55.55.55 0 [R5]route-policy A permit node 10 [R5-route-policy]if-match acl 2001 [R5-route-policy]apply community 5:50 [R5]route-policy A permit node 20 [R5-route-policy]if-match acl 2002 [R5-route-policy]apply community 5:55 [R5-route-policy]bgp 5 [R5-bgp]peer 35.1.1.3 route-policy A export [R5-bgp]peer 35.1.1.3 advertise-community [R3]display bgp routing-table community [R3]bgp 236 [R3-bgp]peer 2.2.2.2 advertise-community [R3-bgp]peer 6.6.6.6 advertise-community [R2]bgp 236 [R2-bgp]peer 12.1.1.1 advertise-community [R6]bgp 236 [R6-bgp]peer 16.1.1.1 advertise-community 2)基于Community配置路由策略 [R2]ip community-filter 1 permit 5:50 [R2]ip community-filter 1 permit 5:55 [R2]route-policy R2 permit node 10 [R2-route-policy]if-match community-filter 1 [R2-route-policy]apply community 236:2 additive [R2]route-policy R2 permit node 20 [R2-bgp]peer 12.1.1.1 route-policy R2 export [R6]ip community-filter 1 permit 5:50 [R6]ip community-filter 1 permit 5:55 [R6]route-policy R6 permit node 10 [R6-route-policy]if-match community-filter 1 [R6-route-policy]apply community 236:6 [R6-route-policy]bgp 236 [R6-bgp]peer 16.1.1.1 route-policy R6 export [R1]ip community-filter 10 permit [R1]route-policy R1 permit node 10 [R1-route-policy]if-match community-filter 10236:6 [R1-route-policy]apply local-preference 60029 / 57{additive}[R6-route-policy]route-policy R6 permit node 20�[R1-route-policy]route-policy R1 permit node 20 [R1-route-policy]bgp 14 [R1-bgp]peer 16.1.1.6 route-policy R1 import22、 BGP 反射配置BGP对等体组: [R1]bgp 1236 [R1-bgp]group IBGP internal [R1-bgp]peer IBGP connect-interface lo0 [R1-bgp]peer IBGP next-hop-local [R1-bgp]peer 2.2.2.2 group IBGP [R1-bgp]peer 6.6.6.6 group IBGP 1、RR(路由反射器)规则 从非客户机IBGP对等体学到的路由,发布给此RR的所有客户机。 从客户机学到的路由,发布给此RR的所有非客户机和客户机(发起此路由的客户机除外)。 从EBGP对等体学到的路由,发布给所有的非客户机和客户机(即所有的BGP邻居)。 2、配置RR [R2]bgp 1236 [R2-bgp]peer 3.3.3.3 reflect-client [R3]bgp 1236 [R3-bgp]peer 6.6.6.6 reflect-client 3、Originator ID: 1)Originator_ID属性长4字节,可选非过渡属性,属性类型为9 ,是由路由反射器(RR)产 生的,携带了本地AS内部路由发起者的Router ID。 2)当一条路由第一次被RR反射的时候,RR将Originator_ID属性加入这条路由,标识这条路由 的始发路由器。如果一条路由中已经存在了 Originator_ID属性,则RR将不会创建新的Originator_ID。 3)当其它BGP Speaker接收到这条路由的时候,将比较收到的Originator_ID和本地的Router30 / 57�ID,如果两个ID相同,BGP Speaker会忽略掉这条路由,不做处理。 [R6]bgp 1236 [R6-bgp]peer 3.3.3.3 preferred-value 3 [R6]bgp 1236 [R6-bgp]peer 1.1.1.1 reflect-client &R1&debugging bgp update Jul 23 :21.463.1-05:13 R1 RM/6/RMDEBUG: BGP.Public : Error identified while receiving UPDATE message from the peer 6.6.6.6 and ignored Reason: (ORIGINATORID equal to RouterID).4、Cluster-List 1)Cluster_List是可选非过渡属性,属性类型编码为10。 2)Cluster_List由路由反射器产生。 3)当RR在它的客户机之间或客户机与非客户机之间反射路由时,RR会把本地 Cluster_ID添加到Cluster_List的前面。 4)当RR接收到一条更新路由时,RR会检查Cluster_List。如果Cluster_List中已经有本地 Cluster_ID,丢弃该路由;如果没有本地Cluster_ID,将其加入Cluster_List,然后反射该 更新路由。 [R6-bgp]peer 2.2.2.2 group IBGP [R6-bgp]peer 2.2.2.2 reflect-client &R2&debugging bgp update &R2& Jul 23 :17.788.1-05:13 R2 RM/6/RMDEBUG:BGP.Public : Error identified whilereceiving UPDATE message from the peer 6.6.6.6 and ignored Reason:(Received CLUSTERLIST Valuegreater than allowed loop count of ClusterID of the speaker).31 / 57�23、 BGP 联盟联盟内的EBGP会话在一方面遵循路由通告的部分IBGP规则,在另一方面又遵循路由通告的部分 EBGP规则。 如:在发送更新的时候,NEXP_HOP、MED和LOCAL_PREF被保留,而AS-PATH被修改。 对于外部邻居来说(联盟外的的对等体),成员AS拓扑是不可见的。也就是说,在发向EBGP邻居 的更新消息中,已经剥去了联盟内被修改的AS_PATH。从其他的自治系统来看,联盟就像单个AS 一样。 配置联盟: [R1]un bgp 1236 [R1]bgp 65001 [R1-bgp]confederation id 1236 [R1-bgp]confederation peer-as 65002 [R1-bgp]peer 14.1.1.4 as-number 4 [R1-bgp]peer 2.2.2.2 as-number 65001 [R1-bgp]peer 2.2.2.2 connect-interface lo0 [R1-bgp]peer 2.2.2.2 next-hop-local [R1-bgp]peer 6.6.6.6 as-number 65002 [R1-bgp]peer 6.6.6.6 connect-interface lo0 [R1-bgp]peer 6.6.6.6 ebgp-max-hop [R1-bgp]peer 6.6.6.6 next-hop-local [R6]bgp 65002 [R6-bgp]confederation id 1236 [R6-bgp]confederation peer-as 65001 [R6-bgp]peer 1.1.1.1 as-number 65001 [R6-bgp]peer 1.1.1.1 connect-interface lo0 [R6-bgp]peer 1.1.1.1 ebgp-max-hop [R6-bgp]peer 3.3.3.3 as-number 65002 [R6-bgp]peer 3.3.3.3 connect-interface lo032 / 57�[R2]bgp 65001 [R2-bgp]confederation id 1236 [R2-bgp]confederation peer-as 65002 [R2-bgp]peer 1.1.1.1 as-number 65001 [R2-bgp]peer 1.1.1.1 connect-interface lo0 [R2-bgp]peer 3.3.3.3 as-number 65002 [R2-bgp]peer 3.3.3.3 connect-interface lo0 [R2-bgp]peer 3.3.3.3 ebgp-max-hop [R3]bgp 65002 [R3-bgp]confederation id 1236 [R3-bgp]confederation peer-as 65001 [R3-bgp]peer 2.2.2.2 as-number 65001 [R3-bgp]peer 2.2.2.2 connect-interface lo00 [R3-bgp]peer 2.2.2.2 next-hop-local [R3-bgp]peer 2.2.2.2 ebgp-max-hop [R3-bgp]peer 6.6.6.6 as-number 65002 [R3-bgp]peer 6.6.6.6 connect-interface lo0 [R3-bgp]peer 6.6.6.6 next-hop-local [R3-bgp]peer 35.1.1.5 as-number 533 / 57�二、华为 HCDP IESN 学习笔记1、 VLAN 1&SW1&display vlan [vlan_ID] 默认已经存在VLAN 1; &SW1&display port vlan [interface] 默认所有端口的PVID都是VLAN 1, 默认Link-type是Hybrid 1、创建VLAN [SW1]vlan batch 1 to 4 [SW1-vlan2]description ENG 2、将交换机端口划分到特定的VLAN [SW1]interface g0/0/1 [SW1-GigabitEthernet0/0/1]port link-type access [SW1-GigabitEthernet0/0/1]port default vlan 1 [SW1]interface g0/0/2 [SW1-GigabitEthernet0/0/2]port link-type access [SW1-GigabitEthernet0/0/2]port default vlan 2 [SW1]interface g0/0/3 [SW1-GigabitEthernet0/0/3]port link-type access [SW1-GigabitEthernet0/0/3]vlan 334 / 57�[SW1-vlan3]port g0/0/3 [SW2]vlan 2 [SW2]interface g0/0/4 [SW2-GigabitEthernet0/0/4]port link-type access [SW2]interface g0/0/5 [SW2-GigabitEthernet0/0/5]port link-type access [SW2-GigabitEthernet0/0/5]port default vlan 2 3、在交换机之间配置Trunk [SW1]interface g0/0/13 [SW1-GigabitEthernet0/0/13]port link-type trunk [SW1-GigabitEthernet0/0/13]port trunk pvid vlan 1 [SW1-GigabitEthernet0/0/13]port trunk allow-pass vlan all 创建连续和VLAN [SW3]vlan batch 1 to 4 [SW4]vlan batch 1 to 42、 VLAN 2 (Hybrid)需求: Server能够被所有的Client访问, 但是只有在同一VLAN的Client之间可以互相访问, 不同VLAN 的Client之间不能相互访问 1)配置连接PC的端口为Hybrid类型 [SW1]vlan batch 1 to 4 [SW1]interface g0/0/1 [SW1-GigabitEthernet0/0/1]port link-type hybrid [SW1-GigabitEthernet0/0/1]port hybrid pvid vlan 1 [SW1-GigabitEthernet0/0/1]port hybrid untagged vlan 3 [SW1]interface g0/0/2 [SW1-GigabitEthernet0/0/2]port hybrid pvid vlan 2 [SW1-GigabitEthernet0/0/2]port hybrid untagged vlan 2 to 3 [SW1-GigabitEthernet0/0/2]interface g0/0/335 / 57�[SW1-GigabitEthernet0/0/3]port hybrid pvid vlan 3 [SW1-GigabitEthernet0/0/3]port hybrid untagged vlan 1 to 3 [SW2]interface g0/0/4 [SW2-GigabitEthernet0/0/4]port hybrid untagged vlan 3 2)配置交换机之间的链路为Hybrid类型 [SW1]interface g0/0/9 [SW1-GigabitEthernet0/0/9]port hybrid untagged vlan 3 [SW1-GigabitEthernet0/0/9]port hybrid tagged vlan 2 [SW2]vlan batch 1 to 4 [SW2]interface g0/0/9 [SW2-GigabitEthernet0/0/5]port link-type access [SW2-GigabitEthernet0/0/5]port default vlan 2 [SW2]interface g0/0/5 [SW2-GigabitEthernet0/0/9]port link-type trunk [SW2-GigabitEthernet0/0/9]port trunk allow-pass vlan all3、 VLAN 3 (Mux VLAN)&SW1&display vlan [vlan_ID] 默认已经存在VLAN 1; &SW1&display port vlan [interface] 默认所有端口的PVID都是VLAN 1,36 / 57�默认Link-type是Hybrid CLIENT 1和CLIENT4和Server能够相互通信; CLIENT 2和CLIENT 5只能与SERVER相互通信;CLIENT 2和CLIENT 5之间不能相互通信; 配置MUX VLAN [SW1]vlan batch 10 20 3 [SW1]vlan 3 [SW1-vlan3]mux-vlan [SW1-vlan3]subordinate group 10 [SW1-vlan3]subordinate separate 20 [SW1]port-group 1 [SW1-port-group-1]group-member g0/0/1 to g0/0/5 [SW1-port-group-1]port link-type access [SW1]interface g0/0/1 [SW1-GigabitEthernet0/0/1]port default vlan 10 [SW1-GigabitEthernet0/0/1]port mux-vlan enable [SW1-GigabitEthernet0/0/1]interface g0/0/2 [SW1-GigabitEthernet0/0/2]port default vlan 20 [SW1-GigabitEthernet0/0/2]port mux-vlan enable [SW1]interface g0/0/3 [SW1-GigabitEthernet0/0/3]port default vlan 3 [SW1-GigabitEthernet0/0/3]port mux-vlan enable [SW1]interface g0/0/4 [SW1-GigabitEthernet0/0/4]port default vlan 10 [SW1-GigabitEthernet0/0/4]port mux-vlan enable [SW1]interface g0/0/5 [SW1-GigabitEthernet0/0/5]port default vlan 20 [SW1-GigabitEthernet0/0/5]port mux-vlan enable37 / 57�4、 VLAN 4(Super VLAN)配置Super VLAN: [SW3-GigabitEthernet0/0/1/13/23]port trunk allow-pass vlan 1 to 4 [SW3]undo interface vlan 1 [SW3]vlan 10 [SW3-vlan10]aggregate-vlan [SW3-vlan10]access-vlan 1 to 3 [SW3]interface vlan 10 [SW3-Vlanif10]ip address 192.168.1.254 24 [SW3-Vlanif10]arp-proxy inter-sub-vlan-proxy enable38 / 57�5、 VLAN 5(VLAN Mapping)配置VLAN-MAPPING [SW1-GigabitEthernet0/0/13]qinq vlan-translation enable [SW1-GigabitEthernet0/0/13]port vlan-mapping vlan 100 map-vlan 2 [SW4]vlan 100 [SW3]vlan 100 [SW3-GigabitEthernet0/0/13]port vlan-mapping vlan 2 map-vlan 100 [SW4-GigabitEthernet0/0/24]port vlan-mapping vlan 2 map-vlan 100 [SW2]interface g0/0/24 [SW2-GigabitEthernet0/0/24]qinq vlan-translation enable [SW2-GigabitEthernet0/0/24]port vlan-mapping vlan 100 map-vlan 26、 VLAN 6(端口隔离)39 / 57�[SW1]interface g0/0/1 [SW1-GigabitEthernet0/0/1]port-isolate enable [SW1]interface g0/0/2 [SW1-GigabitEthernet0/0/2]port-isolate enable7、 QinQ 配置1、在SW1和SW2上将连接主机的端口划分到特定的VLAN 2、在SW1和SW2上将连接到ISP的端口配置为Trunk 3、在SW3和SW4上配置基于端口的QinQ: [SW3]interface g0/0/1340 / 57�[SW3-GigabitEthernet0/0/13]port link-type dot1q-tunnel [SW3]vlan 10 [SW3-vlan10]port g0/0/13 [SW3-vlan10]interface g0/0/1 [SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 [SW4]interface g0/0/24 [SW4-GigabitEthernet0/0/24]port link-type dot1q-tunnel [SW4]vlan 10 [SW4-vlan10]port g0/0/24 [SW4-vlan10]interface g0/0/1 [SW4-GigabitEthernet0/0/1]port link-type trunk [SW4-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 配置灵活QinQ [SW3-GigabitEthernet0/0/13]port link-type hybrid [SW3-GigabitEthernet0/0/13]port hybrid untagged vlan 10 [SW3-GigabitEthernet0/0/13]qinq vlan-translation enable [SW3-GigabitEthernet0/0/13]port vlan-stacking vlan 1 to 3 stack-vlan 10 [SW4-GigabitEthernet0/0/24]port link-type hybrid [SW4-GigabitEthernet0/0/24]port hybrid untagged vlan 10 [SW4-GigabitEthernet0/0/24]qinq vlan-translation enable [SW4-GigabitEthernet0/0/24]port vlan-stacking vlan 1 to 3 stack-vlan 1041 / 57�8、STP[SW1/2/3/4]stp mode stp STP(IEEE 802.1D)的基本计算过程: 1、选举根网桥/根交换机 BID(Bridge Identifier,桥标识符)最小的成为根网桥/根交换机 BID=Bridge Priority(2 Byte,默认是32768)+ Bridge Mac Address(6 Byte) 首先比较优先级,如果优先级相同则比较MAC地址,值越小越优先。 交换机之间通过交换BPDU(Bridge Protocol Data Unit,桥协议数据单元) 决定BID的大小。 &SW4&display stp 2、在非根交换机上选择根端口(Root Port,RP) 端口默认成本: 100Mbps=Gbps=20000 根端口是指从一个非根交换机到根交换机总开销最小的路径所经过的本地端口。 这个最小的总开 销值称为交换机的根路径开销(Root Path Cost)。如果这样的端口有多个,则比较端口上所 连接的上行交换机的交换机标识, 越小越优先, 如果端口上所连接的上行交换机的交换机标识相 同,则比较端口上所连接的上行端口的端口标识(Port Identifier),越小越优先。 端口标识由两部分组成: 一字节长度的端口优先级和一字节长度的端口号。 一字节长度的端口优 先级是可配置的,默认为128。 3、选举网段的指定端口(Designated Port,DP)为每个网段选举指定端口和指定交换机的时 候, 首先比较该网段所连接的端口所属交换机的根路径开销, 越小越优先; 如果根路径开销相同, 则比较所连接的端口所属交换机的交换机标识,越小越优先;如果根路径开销相同,交换机标识42 / 57�也相同,则比较所连接的端口的端口标识,越小越优先。9、RSTP1、RSTP(IEEE 802.1W)的基本计算过程 1)选举根网桥/根交换机(BID最小的交换机成为根交换机) 2)选举非根交换机的根端口(Root Port,RP) 3)选举网段的指定端口(Designated Port,DP) 4)选举预备端口(Alternate Port,AP)和备份端口(Backup Port,BP) 配置RSTP: [SW1-4]stp mode rstp 配置边缘端口(Edge-Port)43 / 57�10、MSTP1、配置交换机的STP模式为MSTP: [SW1-4]stp enable [SW1-4]stp mode mstp 2、配置MSTP Region的配置: [SW1-4]stp region-configuration [SW1-4-mst-region]region-name HCNP [SW1-4-mst-region]revision-level 1 [SW1-4-mst-region]instance 1 vlan 1 to 2 [SW1-4-mst-region]instance 3 vlan 3 [SW1-4-mst-region]active region-configuration 3、配置不同的MSTI以不同交换机作为域根交换机,以实现负载匀衡 [SW3]stp instance 1 root primary [SW3]stp instance 3 root secondary [SW4]stp instance 3 priority 0 [SW4]stp instance 1 priority 409644 / 57�11、 802.1x 原理与配置配置认证方案: 1、使用本地验证数据库中的用户名和密码实现dot1x认证 [SW2]aaa [SW2-aaa]local-user dot1x password cipher 123456 [SW2-aaa]local-user dot1x service-type 8021x 2、使用RADIUS SERVER中的用户名和密码实现dot1x认证 [SW2]radius-server template rd1 [SW2-radius-rd1]radius-server authentication 192.168.10.10 1812 [SW2-radius-rd1]radius-server shared-key cipher 123456 [SW2-radius-rd1]radius-server retransmit 2 3、配置认证方案 [SW2]aaa [SW2-aaa]authentication-scheme web1 [SW2-aaa-authen-web1]authentication-mode radius local none 4、配置认证域 [SW2]aaa [SW2-aaa]domain dot1x [SW2-aaa-domain-dot1x]authentication-scheme web1 [SW2-aaa-domain-dot1x]radius-server rd145 / 57�配置DOT1X的验证: [SW2]dot1x enable [SW2]interface g0/0/5 [SW2-GigabitEthernet0/0/5]dot1x enable [SW2-GigabitEthernet0/0/5]dot1x port-method mac [SW2-GigabitEthernet0/0/5]dot1x max-user 100 [SW2-GigabitEthernet0/0/5]dot1x mac-bypass 查看接口dot1x状态 [SW2]display dot1x interface GigabitEthernet 0/0/5配置VLAN 3作为Guest VLAN [SW2]dot1x enable [SW2-GigabitEthernet0/0/5]interface g0/0/5 [SW2-GigabitEthernet0/0/5]dot1x enable [SW2-GigabitEthernet0/0/5]dot1x port-method port [SW2-GigabitEthernet0/0/5]dot1x guest-vlan 312、 DHCP Snooping将SW1作为DHCP SERVRE为 VLAN 2分配IP地址 [SW1]interface vlan 2 [SW1-Vlanif1]ip address 192.168.2.100 24 [SW1]dhcp enable [SW1]interface vlan 1 [SW1-Vlanif1]dhcp select interface [SW1-Vlanif2]dhcp server dns-list 8.8.8.8 [SW1-Vlanif2]dhcp server lease day 0 hour 12 [SW1-Vlanif2]dhcp server excluded-ip-address 192.168.2.200 192.168.2.254 配置R2作为DHCP CLIENT: [R2]dhcp enable46 / 57�[R2]interface g0/0/1 [R2-GigabitEthernet0/0/1]un ip address [R2-GigabitEthernet0/0/1]ip address dhcp-alloc [SW1-Vlanif2]dhcp server domain-name yinhe.com 将SW1作这DHCP SERVER为VLAN 3分配IP地址 [SW1]interface vlan 3 [SW1-Vlanif3]ip address 192.168.3.100 24 [SW1]dhcp enable [SW1]ip pool VLAN3 [SW1-ip-pool-VLAN3]network 192.168.3.0 mask 24 [SW1-ip-pool-VLAN3]gateway-list 192.168.3.100 [SW1-ip-pool-VLAN3]dns-list 8.8.8.8 [SW1-ip-pool-VLAN3]domain-name yinhe.com [SW1-ip-pool-VLAN3]lease day 0 hour 12 [SW1-ip-pool-VLAN3]excluded-ip-address 192.168.3.200 192.168.3.254 [SW1]interface vlan 3 [SW1-Vlanif3]dhcp select global 配置R3作为DHCP CLIENT [R3]dhcp enable [R3]interface g0/0/1 [R3-GigabitEthernet0/0/1]undo ip address [R3-GigabitEthernet0/0/1]ip address dhcp-alloc 配置R1作为DHCP SERVER为VLAN 2和VLAN 3分配IP地址(配置DHCP Relay) 1)配置接口IP地址: [SW1]vlan 10 [SW1-vlan10]port g0/0/1 [SW1-vlan10]interface vlan 10 [SW1-Vlanif10]ip address 192.168.10.10 24 [SW1]interface vlan 2 [SW1-Vlanif2]ip address 192.168.2.10 24 [SW1]interface vlan 3 [SW1-Vlanif3]ip address 192.168.3.10 24 [R1]interface g0/0/1 [R1-GigabitEthernet0/0/1]ip address 192.168.10.1 24 2)配置R1作为DHCP SERVER [R1]dhcp enable [R1]ip pool vlan2 [R1-ip-pool-vlan2]network 192.168.2.0 mask 24 [R1]ip pool vlan3 [R1-ip-pool-vlan3]network 192.168.3.0 mask 24 [R1-GigabitEthernet0/0/1]dhcp select global 3)配置SW1作为DHCP Relay47 / 57�[SW1]dhcp enable [SW1]dhcp server group R1 [SW1-dhcp-server-group-R1]dhcp-server 192.168.10.1 [SW1-Vlanif2]dhcp select relay [SW1-Vlanif2]dhcp relay server-select R1 [SW1]interface vlan 3 [SW1-Vlanif3]dhcp select relay [SW1-Vlanif3]dhcp relay server-ip 192.168.10.1 4)配置DHCP SERVER默认网关 [R1]ip route-static 0.0.0.0 0.0.0.0 192.168.10.10 [R1]ip route-static 192.168.2.0 24 192.168.10.10 [R1]ip route-static 192.168.3.0 24 192.168.10.1013、 DHCP 原理将SW2配置为非法的DHCP SERVER [SW2]dhcp enable [SW2-Vlanif2]ip add 192.168.12.20 24 [SW2-Vlanif2]dhcp select interface 配置DHCP Snooping [SW1]dhcp enable [SW1]dhcp snooping enable [SW1]dhcp snooping enable vlan 2 [SW1]interface g0/0/1 [SW1-GigabitEthernet0/0/1]dhcp snooping enable [SW1-GigabitEthernet0/0/2]dhcp snooping enable [SW1-GigabitEthernet0/0/3]dhcp snooping enable [SW1-GigabitEthernet0/0/1]dhcp snooping trusted48 / 57�[SW1]interface g0/0/2 [SW1-GigabitEthernet0/0/2]dhcp option82 insert enable [SW1-GigabitEthernet0/0/2]interface g0/0/3 [SW1-GigabitEthernet0/0/3]dhcp option82 insert enableDHCP Snooping的绑定表: [SW1]display dhcp snooping user-bind 配置检查CHADDR检查: [SW1]dhcp snooping check dhcp-chaddr enable vlan 2 to 3 配置GIADD检查 [SW1]dhcp snooping check dhcp-giaddr enable vlan 2 to 3 配置DHCP报文速率: [SW1]dhcp snooping check dhcp-rate enable 20 vlan 2 to 3 配置检查DHCP请求报文 [SW1]dhcp snooping check dhcp-request enable vlan 2 to 3 自动保存DHCP绑定表: [SW1]dhcp snooping user-bind autosave flash:/dhcp_bind_table.tbl 配置静态绑定条目: [SW1]user-bind static ip-address 192.168.2.254 mac-address 101b- interface g0/0/2 vlan 2 [SW1-GigabitEthernet0/0/2]ip source check user-bind enable all49 / 57�三、华为 HCDP IESN 学习笔记1、 (华为安全技术)USG 防火墙产品基本功能特性与配置配置静态黑名单: [FW1]firewall blacklist enable [FW1]firewall blacklist item 192.168.10.50 timeout 2 [FW1]display firewall blacklist item 配置动态黑名单: [FW1]fire
