华为datacom-HCIA笔记

1. 第六弹 7

1.1. RIP 7

1.1.1. 版本 7

1.1.1.1. v1 8

1.1.1.2. v2 8

1.1.2. 配置格式 8

1.1.2.1. 1、进入RIP进程 8

1.1.2.2. 2、设置版本2 8

1.1.2.2.1. version 2 8

1.1.2.3. 3、宣告网段 9

1.1.2.3.1. 13.1.1.0---13.0.0.0 9

1.1.2.3.2. 129.1.1.0---129.1.0.0 9

1.1.2.3.3. 193.1.1.0---193.1.1.0 9

1.2. STP 9

1.2.1. 生成树协议 10

1.2.2. 为了提高网络可靠性，采用冗余链路 10

1.2.2.1. 产生环路 10

1.2.2.2. 产生环路的原因 10

1.2.2.2.1. 广播风暴 10

1.2.2.2.2. MAC地址表震荡（MAC地址表漂移） 11

1.2.3. STP的作用 11

1.2.3.1. 在保证网络可靠的情况下，解决环路问题 11

1.2.4. STP解决环路的原理 11

1.2.4.1. 阻塞端口 11

1.2.4.1.1. 在正常情况下，阻塞端口自动关闭，不进行数据转发，当链路故障，阻塞主动进行数据转发 12

1.2.5. 工作过程 12

1.2.5.1. 选举根交换机 12

1.2.5.1.1. 网桥ID=优先级+MAC地址 12

1.2.5.1.2. 选举规则 13

1.2.5.2. 选举根端口 13

1.2.5.2.1. 非根交换机到达根交换机最优端口 13

1.2.5.2.2. 比较规则 13

1.2.5.3. 选举指定端口 14

1.2.5.3.1. 指定端口：每一条链路到达根交换机的最优端口 14

1.2.5.3.2. 最优端口： 15

1.2.5.3.3. 根交换机上的端口都是指定端口 15

1.2.5.3.4. 比较规则 15

1.2.5.4. 得出阻塞接口 15

1.2.5.4.1. 比较路径开销 15

1.2.6. STP类型 15

1.2.6.1. STP生成树协议 16

1.2.6.2. RSTP快速生成树协议 16

1.2.6.3. MSTP多实例生成树协议 16

1.2.6.4. 查看 display stp 16

1.2.7. 修改STP类型 16

1.2.7.1. stp mode stp 16

1.2.8. 查看端口状态 16

1.2.8.1. display stp brief 16

1.2.8.2. alte discarding 阻塞端口，丢弃状态 17

1.2.9. STP端口状态 17

1.2.9.1. disabled 关闭状态 17

1.2.9.2. blocking：阻塞状态 17

1.2.9.3. listening：侦听状态 17

1.2.9.3.1. 等15秒 17

1.2.9.4. learning：学习状态 17

1.2.9.4.1. 等15秒 18

1.2.9.5. forwarding：转发状态 18

1.2.10. 报文收敛时间，速度慢 18

1.2.11. BPDU 18

1.2.11.1. 桥接协议数据单元 18

1.2.11.1.1. BPDU包含桥ID、路径开销、端口ID、计时器等参数 18

1.2.11.2. 配置BPDU 18

1.2.11.2.1. 选举根交换机根端口指定端口 阻塞端口 18

1.2.11.2.2. 周期性发送，每隔两秒接收一次 19

1.2.11.3. TCN BPDU 19

1.2.11.3.1. 感知拓扑发生变化，通知拓扑变化信息 19

1.2.12. 根桥故障 19

1.2.12.1. 非根桥会在BPDU老化之后开始根桥的重新选举 19

1.2.12.1.1. 在稳定的STP拓扑里，非根桥会定期收到来自根桥的BPDU报文。如果根桥发生了故障，停止发送BPDU报文，下游交换机就无法收到来自根桥的BPDU报文。如果下游交换机一直收不到BPDU报文，Max Age定时器就会超时（Max Age的默认值为20秒），从而导致已经收到的BPDU报文失效，此时，非根交换机会互相发送配置BPDU报文，重新选举新的根桥。根桥故障会导致50秒左右的恢复时间，恢复时间约等于Max Age加上两倍的Forward Delay收敛时间 20

1.2.13. 直连链路故障 21

1.2.13.1. SWB检测到直连链路物理故障后，会将预备端口转换为根端口 21

1.2.13.1.1. 此例中，SWA和SWB使用了两条链路互连，其中一条是主用链路，另外一条是备份链路。生成树正常收敛之后，如果SWB检测到根端口的链路发生物理故障，则其Alternate端口会迁移到Listening、Learning、Forwarding状态，经过两倍的Forward Delay后恢复到转发状态 22

1.2.13.2. SWB新的根端口会在30 秒后恢复到转发状态 22

1.2.14. 非直连链路故障 22

1.2.14.1.1. 本例中，SWB与SWA之间的链路发生了某种故障（非物理层故障），SWB因此一直收不到来自SWA的BPDU报文。等待Max Age定时器超时后，SWB会认为根桥SWA不再有效，并认为自己是根桥，于是开始发送自己的BPDU报文给SWC，通知SWC自己作为新的根桥。在此期间，由于SWC的Alternate端口再也不能收到包含原根桥ID的BPDU报文。其Max Age定时器超时后，SWC会切换Alternate端口为指定端口并且转发来自其根端口的BPDU报文给SWB。所以，Max Age定时器超时后，SWB、SWC几乎同时会收到对方发来的BPDU。经过STP重新计算后，SWB放弃宣称自己是根桥并重新确定端口角色。非直连链路故障后，由于需要等待Max Age加上两倍的Forward Delay时间，端口需要大约50秒才能恢复到转发状态 23

1.2.14.2. 非直连链路故障后，SWC的预备端口恢复到转发状态大约需要50秒。 24

1.2.15. 拓扑改变导致MAC地址表错误 24

1.2.16. 拓扑改变导致MAC地址表变化 24

1.3. 链路聚合 24

1.3.1. 1、手动链路聚合 24

1.3.1.1. interface Eth-Trunk 1 24

1.3.1.2. 加入链路 25

1.3.1.2.1. [SW1-Eth-Trunk1]trunkport e0/0/1 25

1.3.2. 2、LACP模式 25

1.3.2.1. interface Eth-Trunk 1 25

1.3.2.2. 更改模式为LACP模式 25

1.3.2.2.1. [SW1-Eth-Trunk1]mode lacp-static 25

1.3.2.3. 加入链路 26

1.3.2.4. 设置系统优先级 26

1.3.2.4.1. [SW1]lacp priority 200 26

1.3.2.4.2. 越小越优先，选出主动端 26

1.3.2.5. 更改最大活动接口 26

1.3.2.5.1. [SW1-Eth-Trunk1]max active-linknumber 2 26

1.3.2.6. 更改接口优先级 26

1.3.2.6.1. [SW1-Ethernet0/0/3]lacp priority 200 26

1.3.2.7. 开启抢占功能 26

1.3.2.7.1. [SW1-Eth-Trunk1]lacp preempt enable 27

1.3.2.8. 设置抢占延时 27

1.3.2.8.1. [SW1-Eth-Trunk1]lacp preempt delay 10 27

1.3.2.9. 设置负载分担模式 27

1.3.2.9.1. [SW1-Eth-Trunk1]load-balance src-dst-mac 27

1.3.2.10. 查看聚合接口的状态 27

1.3.2.10.1. [SW1-Eth-Trunk1]display interface Eth-Trunk 1 27

1.3.2.11. 查看聚合接口的状态 27

1.3.2.11.1. display eth-trunk 1 28

2. 0712 28

2.1. 访问控制列表ACL 28

2.1.1. 根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等 28

2.1.2. ACL分类 28

2.1.2.1. 基本ACL 29

2.1.2.1.1. 2000-2999 29

2.1.2.2. 高级ACL 29

2.1.2.2.1. 3000-3999 30

2.1.2.3. 二层ACL 30

2.1.2.3.1. 4000-4999 30

2.1.3. 基本ACL配置 31

2.1.3.1. [RTA]acl 2000 31

2.1.3.2. [RTA-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255 31

2.1.3.3. [RTA]interface GigabitEthernet 0/0/0 31

2.1.3.4. [RTA-GigabitEthernet 0/0/0]traffic-filter outbound acl 2000 31

2.1.3.4.1. 出方向流量控制 31

2.1.3.5. deny用来指定拒绝符合条件的数据包，permit用来指定允许符合条件的数据包 31

2.1.4. 通配符 31

2.1.4.1. 0可以匹配 31

2.1.4.2. 1任意匹配 31

2.1.5. 实验配置 32

2.1.5.2. [AR2]acl 2000 32

2.1.5.3. [AR2-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255 32

2.1.5.4. [AR2]int g0/0/0 32

2.1.5.5. [AR2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 32

2.1.6. 顺序是从上往下进行的 32

2.1.7. 默认顺序从5开始 32

2.2. 网络地址转换NAT 32

2.2.1. 私网IP地址 33

2.2.1.1. A类：10.0.0.0 ~ 10.255.255.255 33

2.2.1.2. B类：172.16.0.0 ~ 172.31.255.255 33

2.2.1.3. C类：192.168.0.0 ~ 192.168.255.255 33

2.2.2. 前言 33

2.2.2.1. 一方面NAT缓解了IPv4地址短缺的问题，另一方面NAT技术让外网无法直接与使用私有地址的内网进行通信，提升了内网的安全 33

2.2.3. 部署在连接内网和外网的网关设备上 33

2.2.4. 分类 34

2.2.4.1. 静态NAT 34

2.2.4.1.1. 私网ip与公网ip的一对一映射 34

2.2.4.1.2. 不节省IP 34

2.2.4.1.4. 静态NAT配置示例 35

2.2.4.2. 动态NAT 36

2.2.4.2.1. 私网ip与公网ip的一对一的转换 36

2.2.4.2.2. 不节省ip 36

2.2.4.2.3. 地址池 36

2.2.4.2.5. 动态NAT配置示例 37

2.2.4.3. NAPT 38

2.2.4.3.1. 网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。 38

2.2.4.3.2. 私网ip与公网ip多对一的转换 38

2.2.4.3.3. 多个不同的私网地址ip地址对应到一个公网ip地址的不同端口 38

2.2.4.3.4. 节省ip 38

2.2.4.3.5. NAPT配置示例 38

2.2.4.4. Easy-IP 39

2.2.4.4.1. Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口 39

2.2.4.4.2. 私网ip地址转换成边界网关设备的出接口IP地址的不同端口 39

2.2.4.4.3. Easy IP配置示例 39

2.2.5. NAT Server 40

2.2.5.1. NAT Server配置示例 40

第六弹

RIP

版本

v1

v2

配置格式

1、进入RIP进程

2、设置版本2

version 2

3、宣告网段

13.1.1.0---13.0.0.0

129.1.1.0---129.1.0.0

193.1.1.0---193.1.1.0

STP

生成树协议

为了提高网络可靠性，采用冗余链路

产生环路

产生环路的原因

广播风暴

网络中的主机会收到相同的数据帧、设备宕机

MAC地址表震荡（MAC地址表漂移）

造成数据无法正常转发

STP的作用

在保证网络可靠的情况下，解决环路问题

STP解决环路的原理

阻塞端口

在正常情况下，阻塞端口自动关闭，不进行数据转发，当链路故障，阻塞主动进行数据转发

工作过程

选举根交换机

网桥ID=优先级+MAC地址

越小越优先

优先级默认32768

修改优先级，修改为4096的倍数

stp priority

选举规则

比较网桥ID（先比较优先级，后比较MAC地址）

越小越优先

选举根端口

非根交换机到达根交换机最优端口

比较规则

比较路径开销值

比较对端设备的网桥ID

比较对端的端口ID

端口ID=端口优先级+端口编号

端口优先级128

修改优先级，修改为16的倍数

越小越优先

比较本端口的端口ID

选举指定端口

指定端口：每一条链路到达根交换机的最优端口

最优端口：

根交换机上的端口都是指定端口

比较规则

比较路径开销

比较链路两段的网桥ID

比较链路两段的端口ID

得出阻塞接口

比较路径开销

STP类型

STP生成树协议

RSTP快速生成树协议

MSTP多实例生成树协议

查看

修改STP类型

stp mode stp

查看端口状态

display stp brief

alte discarding 阻塞端口，丢弃状态

STP端口状态

disabled 关闭状态

blocking：阻塞状态

listening：侦听状态

等15秒

learning：学习状态

等15秒

forwarding：转发状态

报文收敛时间，速度慢

BPDU

桥接协议数据单元

BPDU包含桥ID、路径开销、端口ID、计时器等参数

配置BPDU

选举根交换机根端口指定端口 阻塞端口

周期性发送，每隔两秒接收一次

TCN BPDU

感知拓扑发生变化，通知拓扑变化信息

根桥故障

非根桥会在BPDU老化之后开始根桥的重新选举

在稳定的STP拓扑里，非根桥会定期收到来自根桥的BPDU报文。如果根桥发生了故障，停止发送BPDU报文，下游交换机就无法收到来自根桥的BPDU报文。如果下游交换机一直收不到BPDU报文，Max Age定时器就会超时（Max Age的默认值为20秒），从而导致已经收到的BPDU报文失效，此时，非根交换机会互相发送配置BPDU报文，重新选举新的根桥。根桥故障会导致50秒左右的恢复时间，恢复时间约等于Max Age加上两倍的Forward Delay收敛时间

直连链路故障

SWB检测到直连链路物理故障后，会将预备端口转换为根端口

此例中，SWA和SWB使用了两条链路互连，其中一条是主用链路，另外一条是备份链路。生成树正常收敛之后，如果SWB检测到根端口的链路发生物理故障，则其Alternate端口会迁移到Listening、Learning、Forwarding状态，经过两倍的Forward Delay后恢复到转发状态

SWB新的根端口会在30 秒后恢复到转发状态

非直连链路故障

本例中，SWB与SWA之间的链路发生了某种故障（非物理层故障），SWB因此一直收不到来自SWA的BPDU报文。等待Max Age定时器超时后，SWB会认为根桥SWA不再有效，并认为自己是根桥，于是开始发送自己的BPDU报文给SWC，通知SWC自己作为新的根桥。在此期间，由于SWC的Alternate端口再也不能收到包含原根桥ID的BPDU报文。其Max Age定时器超时后，SWC会切换Alternate端口为指定端口并且转发来自其根端口的BPDU报文给SWB。所以，Max Age定时器超时后，SWB、SWC几乎同时会收到对方发来的BPDU。经过STP重新计算后，SWB放弃宣称自己是根桥并重新确定端口角色。非直连链路故障后，由于需要等待Max Age加上两倍的Forward Delay时间，端口需要大约50秒才能恢复到转发状态

非直连链路故障后，SWC的预备端口恢复到转发状态大约需要50秒。

拓扑改变导致MAC地址表错误

拓扑改变导致MAC地址表变化

链路聚合

1、手动链路聚合

interface Eth-Trunk 1

加入链路

[SW1-Eth-Trunk1]trunkport e0/0/1

2、LACP模式

interface Eth-Trunk 1

更改模式为LACP模式

[SW1-Eth-Trunk1]mode lacp-static

加入链路

设置系统优先级

[SW1]lacp priority 200

越小越优先，选出主动端

更改最大活动接口

[SW1-Eth-Trunk1]max active-linknumber 2

更改接口优先级

[SW1-Ethernet0/0/3]lacp priority 200

开启抢占功能

[SW1-Eth-Trunk1]lacp preempt enable

设置抢占延时

[SW1-Eth-Trunk1]lacp preempt delay 10

设置负载分担模式

[SW1-Eth-Trunk1]load-balance src-dst-mac

查看聚合接口的状态

[SW1-Eth-Trunk1]display interface Eth-Trunk 1

查看聚合接口的状态

display eth-trunk 1

0712

访问控制列表ACL

根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等

ACL分类

基本ACL

2000-2999

源IP地址等

高级ACL

3000-3999

源IP地址，目的IP地址，源端口 目的端口

二层ACL

4000-4999

源MAC地址 目的MAC地址 以太网帧协议类型

基本ACL配置

[RTA]acl 2000

[RTA-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255

[RTA]interface GigabitEthernet 0/0/0

[RTA-GigabitEthernet 0/0/0]traffic-filter outbound acl 2000

出方向流量控制

deny用来指定拒绝符合条件的数据包，permit用来指定允许符合条件的数据包

通配符

0可以匹配

1任意匹配

实验配置

[AR2]acl 2000

[AR2-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255

[AR2]int g0/0/0

[AR2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

顺序是从上往下进行的

默认顺序从5开始

网络地址转换NAT

私网IP地址

A类：10.0.0.0 ~ 10.255.255.255

B类：172.16.0.0 ~ 172.31.255.255

C类：192.168.0.0 ~ 192.168.255.255

前言

一方面NAT缓解了IPv4地址短缺的问题，另一方面NAT技术让外网无法直接与使用私有地址的内网进行通信，提升了内网的安全

部署在连接内网和外网的网关设备上

分类

静态NAT

私网ip与公网ip的一对一映射

不节省IP

静态NAT配置示例

动态NAT

私网ip与公网ip的一对一的转换

不节省ip

地址池

动态NAT配置示例

NAPT

网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。

私网ip与公网ip多对一的转换

多个不同的私网地址ip地址对应到一个公网ip地址的不同端口

节省ip

NAPT配置示例

Easy-IP

Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口

私网ip地址转换成边界网关设备的出接口IP地址的不同端口

Easy IP配置示例

NAT Server

NAT Server配置示例