华为datacom-HCIA

华为datacom-HCIA 1

1. 第四弹 4

1.1. OSPF 4

1.1.1. 动态路由 5

1.1.1.1. 距离矢量路由协议 5

1.1.1.1.1. 只关心距离和方向 5

1.1.1.2. 链路状态路由协议 5

1.1.1.2.1. 传递链路状态信息 5

1.2. OSPF工作原理 5

1.2.1. 1、发送Hello报文，建立邻居关系 5

1.2.2. 2、泛洪链路状态信息LSA，形成统一的链路状态数据库LSDB 5

1.2.3. 3、运行SPF算法，得出最优路由、加入路由表 5

1.3. OSPF五种报文 5

1.3.1. hello报文 5

1.3.1.1. 建立维护邻居关系 5

1.3.2. DD报文 5

1.3.2.1. 数据库描述报文---描述数据库信息 5

1.3.3. LSR报文 5

1.3.3.1. 链路状态请求报文---请求链路状态信息 5

1.3.4. LSU报文 6

1.3.4.1. 链路状态更新报文---更新链路状态信息 6

1.3.5. LSAck报文 6

1.3.5.1. 链路状态确认报文---确认收到的链路状态信息 6

1.4. OSPF邻居状态机 6

1.4.1. down状态 6

1.4.1.1. 关闭状态：没有任何报文的交互 6

1.4.2. init状态 6

1.4.2.1. 收到hello报文，但是hello报文里面不包含自己的路由器标识router-id 6

1.4.3. 2-way状态 6

1.4.3.1. 邻居关系建立成功，收到的hello报文里包含自己的router-id 6

1.4.4. exstart状态 6

1.4.4.1. 发送空的DD报文 6

1.4.5. exchange状态 6

1.4.5.1. 交互真实的报文 6

1.4.6. loading状态 6

1.4.6.1. 交互LSR/LSU/LSAck报文 6

1.4.7. full状态 6

1.4.7.1. 建立邻接关系，所有链路状态同步完成 7

1.5. router-id:路由器标识 7

1.5.1. 手工配置 7

1.5.1.1. ospf router-id x.x.x.x 7

1.5.2. 自动生成 7

1.5.2.1. loopback接口地址最大 7

1.5.2.1.1. interface LoopBack 0 7

1.5.2.2. 物理接口最大成为router-id 7

1.5.3. 不可被抢占，一旦形成，不可修改（除非重置ospf进程，才能生效） 7

1.5.3.1. reset ospf 1 process 7

1.5.4. Router ID选举规则 7

1.5.4.1. 手动配置OSPF路由器的Router ID（建议手动配置） 7

1.5.4.2. 如果没有手动配置Router ID，则路由器使用Loopback接口中最大的IP地址作为Router ID 7

1.5.4.3. 如果没有配置Loopback接口，则路由器使用物理接口中最大的IP地址作为Router ID 7

1.6. OSPF区域 7

1.6.1. 骨干区域 7

1.6.1.1. area 0 7

1.6.2. 非骨干区域 8

1.6.3. 通信原则 8

1.6.3.1. 非骨干区域必须与骨干区域相连 8

1.6.4. 为什么划分区域 8

1.6.4.1. LSA泛洪，方便管理 8

1.6.5. 怎么划分区域 8

1.6.5.1. 基于路由器接口划分区域 8

1.6.6. 划分区域后，根据路由器所连接区域的情况，可划分两种路由器角色： 8

1.6.6.1. 区域内部路由器（Internal Router）：该类设备的所有接口都属于同一个OSPF区域。 8

1.6.6.2. 区域边界路由器（Area Border Router）：该类设备接口分别连接两个及两个以上的不同区域。 8

1.7. OSPF基础配置 8

1.7.1. 只有一个骨干区域的情况 8

1.7.1.1. 1、设置router-id 8

1.7.1.1.1. ospf router-id1.1.1.1 8

1.7.1.2. 2、进入ospf进程 8

1.7.1.2.1. ospf 8

1.7.1.3. 3、进入区域0 9

1.7.1.3.1. area 0 9

1.7.1.4. 4、宣告网段 9

1.7.1.4.1. network 直连网段 反掩码 9

1.8. 系统界面：undo info-center enable 9

1.8.1. 关闭信息提示 9

1.9. display ospf peer brief 9

1.10. DR：指定路由器 9

1.10.1. 将所有信息进行汇总，在讲所有信息转发 9

1.11. BDR：备份指定路由器 9

1.11.1. 将所有信息进行备份 9

1.12. DR other：其他路由器 9

1.13. DR Other之间只能建立邻居关系。发送hello报文 9

1.14. DR Other与DR 之间建立邻接关系，进行LSA泛洪 9

1.15. display ospf 1 interface g0/0/0 9

1.15.1. 查看端口角色 9

1.16. DR与BDR选举规则 9

1.16.1. 先比较优先级，优先级越大越优先 9

1.16.1.1. 默认优先级为1 9

1.16.2. 修改：接口下 10

1.16.2.1. ospf dr-priority 10

1.16.3. ospf priority 0-255 10

1.16.3.1. 改为0没有选举权限，为DRother 10

1.16.4. 比较Router ID，Router ID越大越优先 10

1.16.5. 一旦被选举不可被抢占 10

第四弹

OSPF

动态路由

距离矢量路由协议

只关心距离和方向

RIP、BGP

链路状态路由协议

传递链路状态信息

OSPF、IS-IS

OSPF工作原理

1、发送Hello报文，建立邻居关系

2、泛洪链路状态信息LSA，形成统一的链路状态数据库LSDB

3、运行SPF算法，得出最优路由、加入路由表

OSPF五种报文

hello报文

建立维护邻居关系

DD报文

数据库描述报文---描述数据库信息

LSR报文

链路状态请求报文---请求链路状态信息

LSU报文

链路状态更新报文---更新链路状态信息

LSAck报文

链路状态确认报文---确认收到的链路状态信息

OSPF邻居状态机

down状态

关闭状态：没有任何报文的交互

init状态

收到hello报文，但是hello报文里面不包含自己的路由器标识router-id

2-way状态

邻居关系建立成功，收到的hello报文里包含自己的router-id

exstart状态

发送空的DD报文

exchange状态

交互真实的报文

loading状态

交互LSR/LSU/LSAck报文

full状态

建立邻接关系，所有链路状态同步完成

router-id:路由器标识

手工配置

ospf router-id x.x.x.x

自动生成

loopback接口地址最大

interface LoopBack 0

物理接口最大成为router-id

不可被抢占，一旦形成，不可修改（除非重置ospf进程，才能生效）

reset ospf 1 process

Router ID选举规则

手动配置OSPF路由器的Router ID（建议手动配置）

如果没有手动配置Router ID，则路由器使用Loopback接口中最大的IP地址作为Router ID

如果没有配置Loopback接口，则路由器使用物理接口中最大的IP地址作为Router ID

OSPF区域

骨干区域

area 0

非骨干区域

通信原则

非骨干区域必须与骨干区域相连

为什么划分区域

LSA泛洪，方便管理

怎么划分区域

基于路由器接口划分区域

划分区域后，根据路由器所连接区域的情况，可划分两种路由器角色：

区域内部路由器（Internal Router）：该类设备的所有接口都属于同一个OSPF区域。

区域边界路由器（Area Border Router）：该类设备接口分别连接两个及两个以上的不同区域。

OSPF基础配置

只有一个骨干区域的情况

1、设置router-id

ospf router-id1.1.1.1

2、进入ospf进程

ospf

默认进入ospf进程1

3、进入区域0

area 0

4、宣告网段

network 直连网段 反掩码

系统界面：undo info-center enable

关闭信息提示

display ospf peer brief

DR：指定路由器

将所有信息进行汇总，在讲所有信息转发

BDR：备份指定路由器

将所有信息进行备份

DR other：其他路由器

DR Other之间只能建立邻居关系。发送hello报文

DR Other与DR 之间建立邻接关系，进行LSA泛洪

display ospf 1 interface g0/0/0

查看端口角色

DR与BDR选举规则

先比较优先级，优先级越大越优先

默认优先级为1

修改：接口下

ospf dr-priority

ospf priority 0-255

改为0没有选举权限，为DRother

比较Router ID，Router ID越大越优先

一旦被选举不可被抢占

华为datacom-HCIA

华为datacom-HCIA 1

1. 第四弹 5

1.1. OSPF认证 5

1.1.1. 基于接口认证 5

1.1.1.1. 接口认证更优先 6

1.1.1.2. [R2]interface g0/0/1 6

1.1.1.3. [R2-g0/0/1]ospf authentication-mode simple huawei 6

1.1.1.3.1. 明文认证 6

1.1.1.4. [R2-g0/0/1]ospf authentication-mode md5 1 cipher huawei 6

1.1.1.4.1. MD5认证 6

1.1.2. 基于区域认证 6

1.1.2.1. ospf 1 7

1.1.2.2. area 0 7

1.1.2.3. authentication-mode simple cipher huawei 7

1.2. OSPF选路 7

1.2.1. 标准：优先级、子网掩码、开销值 7

1.2.2. cost=带宽参考值（100MB/S）/接口带宽 7

1.2.3. 路由传递的入方向，接口开销之和 7

1.2.4. 修改cost值方式 7

1.2.4.1. 1、修改带宽参考值 7

1.2.4.1.1. [Huawei-ospf-1]bandwidth-reference x 8

1.2.4.2. 2、修改一个接口 8

1.2.4.2.1. [Huawei-GigabitEthernet0/0/0] ospf cost cost 8

1.3. 命令 8

2. 第五弹 9

2.1. WLAN原理与配置 10

2.1.1. Virtual Local Area Network虚拟局域网 10

2.2. VLAN 10

2.2.1. 虚拟局域网 10

2.2.2. 将一个物理局域网，在逻辑上划分成多个小的局域网 10

2.2.3. 通过在交换机上配置VLAN，可以实现，在同一个VLAN的用户可以相互通信，不同vlan的用户被二层隔离 11

2.2.4. 作用：隔离广播域 11

2.2.5. 交换机通过Tag区分不同的VLAN ID 11

2.3. VLAN数据帧格式 11

2.3.2. DMAC SMAC Type Data FCS 11

2.3.2.1. 没有携带Tag的帧 12

2.3.3. DMAC SMAC Tag Type Data FCS（帧尾） 12

2.3.3.1. 携带Tag的帧 12

2.3.3.2. Tag 4字节 12

2.3.3.3. TPID 12

2.3.3.3.1. 标签协议标识：0x8100，代表vlan tag 12

2.3.3.4. TCI 12

2.3.3.4.1. Pri：优先级，用于服务质量 13

2.3.3.4.2. CFI：是否支持令牌环网络 13

2.3.3.5. VLAN ID 13

2.3.3.5.1. 12bit 13

2.3.4. Tag 14

2.3.4.1. VLAN标签长4个字节，直接添加在以太网帧头中，IEEE802.1Q文档对VLAN标签作出了说明 14

2.3.4.2. TPID：Tag Protocol Identifier，2字节，固定取值，0x8100，是IEEE定义的新类型，表明这是一个携带802.1Q标签的帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃 14

2.3.4.3. TCI：Tag Control Information，2字节。帧的控制信息，详细说明如下 14

2.3.4.3.1. Priority：3比特，表示帧的优先级，取值范围为0～7，值越大优先级越高。当交换机阻塞时，优先发送优先级高的数据帧 14

2.3.4.3.2. CFI：Canonical Format Indicator，1比特。CFI表示MAC地址是否是经典格式。CFI为0说明是经典格式，CFI为1表示为非经典格式。用于区分以太网帧、FDDI（Fiber Distributed Digital Interface）帧和令牌环网帧。在以太网中，CFI的值为0 14

2.3.4.3.3. VLAN Identifier：VLAN ID，12比特，在X7系列交换机中，可配置的VLAN ID取值范围为0～4095，但是0和4095在协议中规定为保留的VLAN ID，不能给用户使用 15

2.3.4.4. 在现有的交换网络环境中，以太网的帧有两种格式 15

2.3.4.4.1. 没有加上VLAN标记的标准以太网帧（untagged frame）；有VLAN标记的以太网帧（tagged frame） 15

2.4. 链路类型 15

2.4.1. access类型 15

2.4.1.1. 接入链路 16

2.4.1.1.1. 连接主机和交换机 16

2.4.2. trunk链路 16

2.4.2.1. 干道链路 16

2.4.2.1.1. 交换机与交换机之间 17

2.4.3. hybrid链路 17

2.4.3.1. 混合链路，华为专有 17

2.4.3.2. 手动定义对于tag的处理动作 17

2.5. PVID 17

2.5.1. 端口 VLAN ID 17

2.5.2. 默认情况下，每个端口的vlan id都是1 18

2.6. 端口收发规则 18

2.6.1. access端口 18

2.6.1.1. 接收规则 18

2.6.1.1.1. 收到一个不带tag字段的数据帧，添加上tag字段，VLAN ID的取值为本端口PVID的值 18

2.6.1.2. 发送规则 18

2.6.1.2.1. 查看数据帧的VLAN ID和本端口的PVID是否相同，相同去掉tag发送，不同丢掉 19

2.6.2. trunk端口 19

2.6.2.1. 发送规则 19

2.6.2.1.1. 1、首先查看数据帧的VLAN ID是否在允许通过列表中 19

2.6.2.1.2. 2、 19

2.6.2.2. 接收规则 20

2.6.2.2.1. 1、收到一个不带tag的数据帧，添加tag字段，VLAN ID取值为本端口的值，然后查看允许通过列表 20

2.6.2.2.2. 2、收到一个带tag的数据帧，查看允许通过列表 21

2.6.3. hybrid端口 21

2.6.3.1. 发送规则 21

2.6.3.1.1. 查看VLAN ID是否在允许通过列表 22

2.6.3.2. 接收规则 23

2.6.3.2.1. 1、收到一个不带tag的数据帧，打上本端口的PVID，查看允许通过列表 23

2.6.3.2.2. 2、收到一个带tag的数据帧，查看允许通过列表 23

2.7. 命令配置 24

2.7.1. 创建VLAN 24

2.7.1.1. 创建一个VLAN 24

2.7.1.1.1. vlan batch 10 25

2.7.1.2. 创建多个vlan 25

2.7.1.2.1. vlan batch 10 20 30 25

2.7.1.3. 创建多个连续的vlan 25

2.7.1.3.1. vlan batch 10 to 50 25

2.7.2. access 25

2.7.2.1. 1、进入接口 26

2.7.2.1.1. interface e0/0/1 26

2.7.2.2. 2。设置链路类型 26

2.7.2.2.1. [Huawei-Ethernet0/0/4]port link-type access 26

2.7.2.3. 3、设置所属的VLAN ID 26

2.7.2.3.1. [Huawei-Ethernet0/0/4]port default vlan 20 26

2.7.3. trunk 26

2.7.3.1. 1、进入接口 27

2.7.3.2. 2、设置链路类型 27

2.7.3.2.1. [Huawei-Ethernet0/0/1]port link-type trunk 27

2.7.3.3. 3、设置允许通过VLAN 27

2.7.3.4. 4、更改PVID 27

2.7.4. hybrid 27

第四弹

OSPF认证

基于接口认证

接口认证更优先

[R2]interface g0/0/1

[R2-g0/0/1]ospf authentication-mode simple huawei

明文认证

[R2-g0/0/1]ospf authentication-mode md5 1 cipher huawei

MD5认证

基于区域认证

ospf 1

area 0

authentication-mode simple cipher huawei

OSPF选路

标准：优先级、子网掩码、开销值

cost=带宽参考值（100MB/S）/接口带宽

路由传递的入方向，接口开销之和

修改cost值方式

1、修改带宽参考值

[Huawei-ospf-1]bandwidth-reference x

2、修改一个接口

[Huawei-GigabitEthernet0/0/0] ospf cost cost

命令

第五弹

WLAN原理与配置

Virtual Local Area Network虚拟局域网

VLAN

虚拟局域网

将一个物理局域网，在逻辑上划分成多个小的局域网

通过在交换机上配置VLAN，可以实现，在同一个VLAN的用户可以相互通信，不同vlan的用户被二层隔离

作用：隔离广播域

交换机通过Tag区分不同的VLAN ID

VLAN数据帧格式

DMAC SMAC Type Data FCS

没有携带Tag的帧

DMAC SMAC Tag Type Data FCS（帧尾）

携带Tag的帧

Tag 4字节

TPID

标签协议标识：0x8100，代表vlan tag

TCI

Pri：优先级，用于服务质量

CFI：是否支持令牌环网络

VLAN ID

12bit

2^12=4096个

取值范围：0~4095

可用：1~4094

Tag

VLAN标签长4个字节，直接添加在以太网帧头中，IEEE802.1Q文档对VLAN标签作出了说明

TPID：Tag Protocol Identifier，2字节，固定取值，0x8100，是IEEE定义的新类型，表明这是一个携带802.1Q标签的帧。如果不支持802.1Q的设备收到这样的帧，会将其丢弃

TCI：Tag Control Information，2字节。帧的控制信息，详细说明如下

Priority：3比特，表示帧的优先级，取值范围为0～7，值越大优先级越高。当交换机阻塞时，优先发送优先级高的数据帧

CFI：Canonical Format Indicator，1比特。CFI表示MAC地址是否是经典格式。CFI为0说明是经典格式，CFI为1表示为非经典格式。用于区分以太网帧、FDDI（Fiber Distributed Digital Interface）帧和令牌环网帧。在以太网中，CFI的值为0

VLAN Identifier：VLAN ID，12比特，在X7系列交换机中，可配置的VLAN ID取值范围为0～4095，但是0和4095在协议中规定为保留的VLAN ID，不能给用户使用

在现有的交换网络环境中，以太网的帧有两种格式

没有加上VLAN标记的标准以太网帧（untagged frame）；有VLAN标记的以太网帧（tagged frame）

链路类型

access类型

接入链路

连接主机和交换机

trunk链路

干道链路

交换机与交换机之间

hybrid链路

混合链路，华为专有

手动定义对于tag的处理动作

PVID

端口

默认情况下，每个端口的vlan id都是1

端口收发规则

access端口

接收规则

收到一个不带tag字段的数据帧，添加上tag字段，VLAN ID的取值为本端口PVID的值

发送规则

查看数据帧的VLAN ID和本端口的PVID是否相同，相同去掉tag发送，不同丢掉

trunk端口

发送规则

1、首先查看数据帧的VLAN ID是否在允许通过列表中

2、

（1）在允许通过列表中，则查看数据帧的VLAN ID和本端口的PVID是否相同

相同则去掉tag发送

不同则带着tag发送

（2）不在列表中，直接丢弃

接收规则

1、收到一个不带tag的数据帧，添加tag字段，VLAN ID取值为本端口的值，然后查看允许通过列表

如果VLAN ID在允许通过列表

如果不在则丢弃

2、收到一个带tag的数据帧，查看允许通过列表

如果VLAN ID在允许通过列表则正常接收

如果不在则丢弃

hybrid端口

发送规则

查看VLAN ID是否在允许通过列表

VLAN ID不在允许列表中，直接丢弃

VLAN ID在允许列表中

VLAN ID在Untagged列表中，去掉tag发送

VLAN ID在Taggged列表中，带Tag直接发送

VLAN ID不在任何列表中，就直接丢弃

接收规则

1、收到一个不带tag的数据帧，打上本端口的PVID，查看允许通过列表

如果允许则正常接收

如果不允许则丢弃

2、收到一个带tag的数据帧，查看允许通过列表

如果允许则正常接收

如果不允许则丢弃

命令配置

创建VLAN

创建一个VLAN

vlan batch 10

创建多个vlan

vlan batch 10 20 30

创建多个连续的vlan

vlan batch 10 to 50

access

1、进入接口

interface e0/0/1

2。设置链路类型

[Huawei-Ethernet0/0/4]port link-type access

3、设置所属的VLAN ID

[Huawei-Ethernet0/0/4]port default vlan 20

trunk

1、进入接口

2、设置链路类型

[Huawei-Ethernet0/0/1]port link-type trunk

3、设置允许通过VLAN

4、更改PVID

hybrid

华为datacom-HCIA笔记

1. 第六弹 7

1.1. RIP 7

1.1.1. 版本 7

1.1.1.1. v1 8

1.1.1.2. v2 8

1.1.2. 配置格式 8

1.1.2.1. 1、进入RIP进程 8

1.1.2.2. 2、设置版本2 8

1.1.2.2.1. version 2 8

1.1.2.3. 3、宣告网段 9

1.1.2.3.1. 13.1.1.0---13.0.0.0 9

1.1.2.3.2. 129.1.1.0---129.1.0.0 9

1.1.2.3.3. 193.1.1.0---193.1.1.0 9

1.2. STP 9

1.2.1. 生成树协议 10

1.2.2. 为了提高网络可靠性，采用冗余链路 10

1.2.2.1. 产生环路 10

1.2.2.2. 产生环路的原因 10

1.2.2.2.1. 广播风暴 10

1.2.2.2.2. MAC地址表震荡（MAC地址表漂移） 11

1.2.3. STP的作用 11

1.2.3.1. 在保证网络可靠的情况下，解决环路问题 11

1.2.4. STP解决环路的原理 11

1.2.4.1. 阻塞端口 11

1.2.4.1.1. 在正常情况下，阻塞端口自动关闭，不进行数据转发，当链路故障，阻塞主动进行数据转发 12

1.2.5. 工作过程 12

1.2.5.1. 选举根交换机 12

1.2.5.1.1. 网桥ID=优先级+MAC地址 12

1.2.5.1.2. 选举规则 13

1.2.5.2. 选举根端口 13

1.2.5.2.1. 非根交换机到达根交换机最优端口 13

1.2.5.2.2. 比较规则 13

1.2.5.3. 选举指定端口 14

1.2.5.3.1. 指定端口：每一条链路到达根交换机的最优端口 14

1.2.5.3.2. 最优端口： 15

1.2.5.3.3. 根交换机上的端口都是指定端口 15

1.2.5.3.4. 比较规则 15

1.2.5.4. 得出阻塞接口 15

1.2.5.4.1. 比较路径开销 15

1.2.6. STP类型 15

1.2.6.1. STP生成树协议 16

1.2.6.2. RSTP快速生成树协议 16

1.2.6.3. MSTP多实例生成树协议 16

1.2.6.4. 查看 display stp 16

1.2.7. 修改STP类型 16

1.2.7.1. stp mode stp 16

1.2.8. 查看端口状态 16

1.2.8.1. display stp brief 16

1.2.8.2. alte discarding 阻塞端口，丢弃状态 17

1.2.9. STP端口状态 17

1.2.9.1. disabled 关闭状态 17

1.2.9.2. blocking：阻塞状态 17

1.2.9.3. listening：侦听状态 17

1.2.9.3.1. 等15秒 17

1.2.9.4. learning：学习状态 17

1.2.9.4.1. 等15秒 18

1.2.9.5. forwarding：转发状态 18

1.2.10. 报文收敛时间，速度慢 18

1.2.11. BPDU 18

1.2.11.1. 桥接协议数据单元 18

1.2.11.1.1. BPDU包含桥ID、路径开销、端口ID、计时器等参数 18

1.2.11.2. 配置BPDU 18

1.2.11.2.1. 选举根交换机根端口指定端口 阻塞端口 18

1.2.11.2.2. 周期性发送，每隔两秒接收一次 19

1.2.11.3. TCN BPDU 19

1.2.11.3.1. 感知拓扑发生变化，通知拓扑变化信息 19

1.2.12. 根桥故障 19

1.2.12.1. 非根桥会在BPDU老化之后开始根桥的重新选举 19

1.2.12.1.1. 在稳定的STP拓扑里，非根桥会定期收到来自根桥的BPDU报文。如果根桥发生了故障，停止发送BPDU报文，下游交换机就无法收到来自根桥的BPDU报文。如果下游交换机一直收不到BPDU报文，Max Age定时器就会超时（Max Age的默认值为20秒），从而导致已经收到的BPDU报文失效，此时，非根交换机会互相发送配置BPDU报文，重新选举新的根桥。根桥故障会导致50秒左右的恢复时间，恢复时间约等于Max Age加上两倍的Forward Delay收敛时间 20

1.2.13. 直连链路故障 21

1.2.13.1. SWB检测到直连链路物理故障后，会将预备端口转换为根端口 21

1.2.13.1.1. 此例中，SWA和SWB使用了两条链路互连，其中一条是主用链路，另外一条是备份链路。生成树正常收敛之后，如果SWB检测到根端口的链路发生物理故障，则其Alternate端口会迁移到Listening、Learning、Forwarding状态，经过两倍的Forward Delay后恢复到转发状态 22

1.2.13.2. SWB新的根端口会在30 秒后恢复到转发状态 22

1.2.14. 非直连链路故障 22

1.2.14.1.1. 本例中，SWB与SWA之间的链路发生了某种故障（非物理层故障），SWB因此一直收不到来自SWA的BPDU报文。等待Max Age定时器超时后，SWB会认为根桥SWA不再有效，并认为自己是根桥，于是开始发送自己的BPDU报文给SWC，通知SWC自己作为新的根桥。在此期间，由于SWC的Alternate端口再也不能收到包含原根桥ID的BPDU报文。其Max Age定时器超时后，SWC会切换Alternate端口为指定端口并且转发来自其根端口的BPDU报文给SWB。所以，Max Age定时器超时后，SWB、SWC几乎同时会收到对方发来的BPDU。经过STP重新计算后，SWB放弃宣称自己是根桥并重新确定端口角色。非直连链路故障后，由于需要等待Max Age加上两倍的Forward Delay时间，端口需要大约50秒才能恢复到转发状态 23

1.2.14.2. 非直连链路故障后，SWC的预备端口恢复到转发状态大约需要50秒。 24

1.2.15. 拓扑改变导致MAC地址表错误 24

1.2.16. 拓扑改变导致MAC地址表变化 24

1.3. 链路聚合 24

1.3.1. 1、手动链路聚合 24

1.3.1.1. interface Eth-Trunk 1 24

1.3.1.2. 加入链路 25

1.3.1.2.1. [SW1-Eth-Trunk1]trunkport e0/0/1 25

1.3.2. 2、LACP模式 25

1.3.2.1. interface Eth-Trunk 1 25

1.3.2.2. 更改模式为LACP模式 25

1.3.2.2.1. [SW1-Eth-Trunk1]mode lacp-static 25

1.3.2.3. 加入链路 26

1.3.2.4. 设置系统优先级 26

1.3.2.4.1. [SW1]lacp priority 200 26

1.3.2.4.2. 越小越优先，选出主动端 26

1.3.2.5. 更改最大活动接口 26

1.3.2.5.1. [SW1-Eth-Trunk1]max active-linknumber 2 26

1.3.2.6. 更改接口优先级 26

1.3.2.6.1. [SW1-Ethernet0/0/3]lacp priority 200 26

1.3.2.7. 开启抢占功能 26

1.3.2.7.1. [SW1-Eth-Trunk1]lacp preempt enable 27

1.3.2.8. 设置抢占延时 27

1.3.2.8.1. [SW1-Eth-Trunk1]lacp preempt delay 10 27

1.3.2.9. 设置负载分担模式 27

1.3.2.9.1. [SW1-Eth-Trunk1]load-balance src-dst-mac 27

1.3.2.10. 查看聚合接口的状态 27

1.3.2.10.1. [SW1-Eth-Trunk1]display interface Eth-Trunk 1 27

1.3.2.11. 查看聚合接口的状态 27

1.3.2.11.1. display eth-trunk 1 28

2. 0712 28

2.1. 访问控制列表ACL 28

2.1.1. 根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等 28

2.1.2. ACL分类 28

2.1.2.1. 基本ACL 29

2.1.2.1.1. 2000-2999 29

2.1.2.2. 高级ACL 29

2.1.2.2.1. 3000-3999 30

2.1.2.3. 二层ACL 30

2.1.2.3.1. 4000-4999 30

2.1.3. 基本ACL配置 31

2.1.3.1. [RTA]acl 2000 31

2.1.3.2. [RTA-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255 31

2.1.3.3. [RTA]interface GigabitEthernet 0/0/0 31

2.1.3.4. [RTA-GigabitEthernet 0/0/0]traffic-filter outbound acl 2000 31

2.1.3.4.1. 出方向流量控制 31

2.1.3.5. deny用来指定拒绝符合条件的数据包，permit用来指定允许符合条件的数据包 31

2.1.4. 通配符 31

2.1.4.1. 0可以匹配 31

2.1.4.2. 1任意匹配 31

2.1.5. 实验配置 32

2.1.5.2. [AR2]acl 2000 32

2.1.5.3. [AR2-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255 32

2.1.5.4. [AR2]int g0/0/0 32

2.1.5.5. [AR2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 32

2.1.6. 顺序是从上往下进行的 32

2.1.7. 默认顺序从5开始 32

2.2. 网络地址转换NAT 32

2.2.1. 私网IP地址 33

2.2.1.1. A类：10.0.0.0 ~ 10.255.255.255 33

2.2.1.2. B类：172.16.0.0 ~ 172.31.255.255 33

2.2.1.3. C类：192.168.0.0 ~ 192.168.255.255 33

2.2.2. 前言 33

2.2.2.1. 一方面NAT缓解了IPv4地址短缺的问题，另一方面NAT技术让外网无法直接与使用私有地址的内网进行通信，提升了内网的安全 33

2.2.3. 部署在连接内网和外网的网关设备上 33

2.2.4. 分类 34

2.2.4.1. 静态NAT 34

2.2.4.1.1. 私网ip与公网ip的一对一映射 34

2.2.4.1.2. 不节省IP 34

2.2.4.1.4. 静态NAT配置示例 35

2.2.4.2. 动态NAT 36

2.2.4.2.1. 私网ip与公网ip的一对一的转换 36

2.2.4.2.2. 不节省ip 36

2.2.4.2.3. 地址池 36

2.2.4.2.5. 动态NAT配置示例 37

2.2.4.3. NAPT 38

2.2.4.3.1. 网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。 38

2.2.4.3.2. 私网ip与公网ip多对一的转换 38

2.2.4.3.3. 多个不同的私网地址ip地址对应到一个公网ip地址的不同端口 38

2.2.4.3.4. 节省ip 38

2.2.4.3.5. NAPT配置示例 38

2.2.4.4. Easy-IP 39

2.2.4.4.1. Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口 39

2.2.4.4.2. 私网ip地址转换成边界网关设备的出接口IP地址的不同端口 39

2.2.4.4.3. Easy IP配置示例 39

2.2.5. NAT Server 40

2.2.5.1. NAT Server配置示例 40

第六弹

RIP

版本

v1

v2

配置格式

1、进入RIP进程

2、设置版本2

version 2

3、宣告网段

13.1.1.0---13.0.0.0

129.1.1.0---129.1.0.0

193.1.1.0---193.1.1.0

STP

生成树协议

为了提高网络可靠性，采用冗余链路

产生环路

产生环路的原因

广播风暴

网络中的主机会收到相同的数据帧、设备宕机

MAC地址表震荡（MAC地址表漂移）

造成数据无法正常转发

STP的作用

在保证网络可靠的情况下，解决环路问题

STP解决环路的原理

阻塞端口

在正常情况下，阻塞端口自动关闭，不进行数据转发，当链路故障，阻塞主动进行数据转发

工作过程

选举根交换机

网桥ID=优先级+MAC地址

越小越优先

优先级默认32768

修改优先级，修改为4096的倍数

stp priority

选举规则

比较网桥ID（先比较优先级，后比较MAC地址）

越小越优先

选举根端口

非根交换机到达根交换机最优端口

比较规则

比较路径开销值

比较对端设备的网桥ID

比较对端的端口ID

端口ID=端口优先级+端口编号

端口优先级128

修改优先级，修改为16的倍数

越小越优先

比较本端口的端口ID

选举指定端口

指定端口：每一条链路到达根交换机的最优端口

最优端口：

根交换机上的端口都是指定端口

比较规则

比较路径开销

比较链路两段的网桥ID

比较链路两段的端口ID

得出阻塞接口

比较路径开销

STP类型

STP生成树协议

RSTP快速生成树协议

MSTP多实例生成树协议

查看

修改STP类型

stp mode stp

查看端口状态

display stp brief

alte discarding 阻塞端口，丢弃状态

STP端口状态

disabled 关闭状态

blocking：阻塞状态

listening：侦听状态

等15秒

learning：学习状态

等15秒

forwarding：转发状态

报文收敛时间，速度慢

BPDU

桥接协议数据单元

BPDU包含桥ID、路径开销、端口ID、计时器等参数

配置BPDU

选举根交换机根端口指定端口 阻塞端口

周期性发送，每隔两秒接收一次

TCN BPDU

感知拓扑发生变化，通知拓扑变化信息

根桥故障

非根桥会在BPDU老化之后开始根桥的重新选举

在稳定的STP拓扑里，非根桥会定期收到来自根桥的BPDU报文。如果根桥发生了故障，停止发送BPDU报文，下游交换机就无法收到来自根桥的BPDU报文。如果下游交换机一直收不到BPDU报文，Max Age定时器就会超时（Max Age的默认值为20秒），从而导致已经收到的BPDU报文失效，此时，非根交换机会互相发送配置BPDU报文，重新选举新的根桥。根桥故障会导致50秒左右的恢复时间，恢复时间约等于Max Age加上两倍的Forward Delay收敛时间

直连链路故障

SWB检测到直连链路物理故障后，会将预备端口转换为根端口

此例中，SWA和SWB使用了两条链路互连，其中一条是主用链路，另外一条是备份链路。生成树正常收敛之后，如果SWB检测到根端口的链路发生物理故障，则其Alternate端口会迁移到Listening、Learning、Forwarding状态，经过两倍的Forward Delay后恢复到转发状态

SWB新的根端口会在30 秒后恢复到转发状态

非直连链路故障

本例中，SWB与SWA之间的链路发生了某种故障（非物理层故障），SWB因此一直收不到来自SWA的BPDU报文。等待Max Age定时器超时后，SWB会认为根桥SWA不再有效，并认为自己是根桥，于是开始发送自己的BPDU报文给SWC，通知SWC自己作为新的根桥。在此期间，由于SWC的Alternate端口再也不能收到包含原根桥ID的BPDU报文。其Max Age定时器超时后，SWC会切换Alternate端口为指定端口并且转发来自其根端口的BPDU报文给SWB。所以，Max Age定时器超时后，SWB、SWC几乎同时会收到对方发来的BPDU。经过STP重新计算后，SWB放弃宣称自己是根桥并重新确定端口角色。非直连链路故障后，由于需要等待Max Age加上两倍的Forward Delay时间，端口需要大约50秒才能恢复到转发状态

非直连链路故障后，SWC的预备端口恢复到转发状态大约需要50秒。

拓扑改变导致MAC地址表错误

拓扑改变导致MAC地址表变化

链路聚合

1、手动链路聚合

interface Eth-Trunk 1

加入链路

[SW1-Eth-Trunk1]trunkport e0/0/1

2、LACP模式

interface Eth-Trunk 1

更改模式为LACP模式

[SW1-Eth-Trunk1]mode lacp-static

加入链路

设置系统优先级

[SW1]lacp priority 200

越小越优先，选出主动端

更改最大活动接口

[SW1-Eth-Trunk1]max active-linknumber 2

更改接口优先级

[SW1-Ethernet0/0/3]lacp priority 200

开启抢占功能

[SW1-Eth-Trunk1]lacp preempt enable

设置抢占延时

[SW1-Eth-Trunk1]lacp preempt delay 10

设置负载分担模式

[SW1-Eth-Trunk1]load-balance src-dst-mac

查看聚合接口的状态

[SW1-Eth-Trunk1]display interface Eth-Trunk 1

查看聚合接口的状态

display eth-trunk 1

0712

访问控制列表ACL

根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等

ACL分类

基本ACL

2000-2999

源IP地址等

高级ACL

3000-3999

源IP地址，目的IP地址，源端口 目的端口

二层ACL

4000-4999

源MAC地址 目的MAC地址 以太网帧协议类型

基本ACL配置

[RTA]acl 2000

[RTA-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255

[RTA]interface GigabitEthernet 0/0/0

[RTA-GigabitEthernet 0/0/0]traffic-filter outbound acl 2000

出方向流量控制

deny用来指定拒绝符合条件的数据包，permit用来指定允许符合条件的数据包

通配符

0可以匹配

1任意匹配

实验配置

[AR2]acl 2000

[AR2-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255

[AR2]int g0/0/0

[AR2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

顺序是从上往下进行的

默认顺序从5开始

网络地址转换NAT

私网IP地址

A类：10.0.0.0 ~ 10.255.255.255

B类：172.16.0.0 ~ 172.31.255.255

C类：192.168.0.0 ~ 192.168.255.255

前言

一方面NAT缓解了IPv4地址短缺的问题，另一方面NAT技术让外网无法直接与使用私有地址的内网进行通信，提升了内网的安全

部署在连接内网和外网的网关设备上

分类

静态NAT

私网ip与公网ip的一对一映射

不节省IP

静态NAT配置示例

动态NAT

私网ip与公网ip的一对一的转换

不节省ip

地址池

动态NAT配置示例

NAPT

网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。

私网ip与公网ip多对一的转换

多个不同的私网地址ip地址对应到一个公网ip地址的不同端口

节省ip

NAPT配置示例

Easy-IP

Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口

私网ip地址转换成边界网关设备的出接口IP地址的不同端口

Easy IP配置示例

NAT Server

NAT Server配置示例