H3CNE學習筆記V6.0（二）

三、配置局域網交換機      16%
MAC映射表的建立
交換機會把廣播、組播和未知單播幀從所有其他端口發送出去（除了接收到幀的端口）
端口的類型：
vlan 的標籤
在進入交換機端口時，附加缺省VLAN標籤
出交換機端口時，去掉VLAN標籤
Hybrid端口和Trunk端口的不同之處在於：
Hybrid端口允許多個VLAN的以太網幀不帶標籤
Trunk端口只允許缺省VLAN的以太網幀不帶標籤
表1-3 端口收發報文的處理（接入分冊VLAN配置）
小結：T和H只接收VLAN ID在端口允許通過的VLAN ID列表裏的報文，沒有Tag，則打上TAG；T在發送時：當VLAN ID與缺省VLAN ID相同且是該端口允許通過的VLAN ID時：去掉Tag，發送該報文；當VLAN ID與缺省VLAN ID不同，且是該端口允許通過的VLAN ID時：保持原有Tag，發送該報文；H在發送時：當報文中攜帶的VLAN ID是該端口允許通過的VLAN ID時，發送該報文，並可以通過port hybrid vlan命令配置端口在發送該VLAN（包括缺省VLAN）的報文時是否攜帶Tag
關閉生成樹功能：stp disable
關於802.1x及其驗證的特點
設備不僅支持協議所規定的基於端口的接入認證方式，還對其進行了擴展、優化，支持基於MAC的接入控制方式。
當採用基於端口的接入控制方式時，只要該端口下的第一個用戶認證成功後，其它接入用戶無須認證就可使用網絡資源，但是當第一個用戶下線後，其它用戶也會被拒絕使用網絡。
採用基於MAC的接入控制方式時，該端口下的所有接入用戶均需要單獨認證，當某個用戶下線時，也只有該用戶無法使用網絡。
dot1x的配置：
[SWA]dot1x
[SWA]dot1x inte**ce ethernet1/0/1
[SWA]local-user localuser
[SWA-luser-localuser]password ** hello
[SWA-luser-localuser]service-type lan-access
端口隔離的配置：
[SWA]inte**ce ethernet1/0/2
[SWA-Ethernet1/0/2] port-isolate enable
[SWA]inte**ce ethernet1/0/3
[SWA-Ethernet1/0/3] port-isolate enable
[SWA]inte**ce ethernet1/0/4
[SWA-Ethernet1/0/4] port-isolate enable
[SWA]inte**ce ethernet1/0/1
[SWA-Ethernet1/0/1] port-isolate uplink-port
聚合端口的配置：
[SWA] inte**ce bridge-aggregation 1
[SWA-Ethernet1/0/1] port link-aggregation group 1
[SWA] inte**ce bridge-aggregation 2 port Ethernet1/0/1
STP端口不穩定的中間狀態
Listening,Learning
關於STP協議:
橋ID由橋優先級（BridgePriority）和橋MAC地址（BridgeMacAddress）組成
橋ID小的橋被選舉爲根橋
根橋上的所有端口爲指定端口（ Designated Port ）
在非根橋上選舉根路徑開銷（ RootPathCost）最小的端口爲根端口（Root Port）
每個物理段選出根路徑開銷最小的橋作爲指定橋（ Designated Bridge），連接指定橋的端口爲指定端口
不是根端口和指定端口的其餘端口被STP置爲阻塞狀態
根路徑開銷（ RootPathCost）是到達根的路徑上所有鏈路開銷（Cost）的代數和
配置橋優先級的命令：
配置當前設備的優先級
[Switch]stp [instance instance-di] priority priority
STP端口狀態的判斷：
交換機上的端口在啓動stp協議後，存在的五種狀態：
   · 阻塞(blocking) - 該端口被阻塞，接收但不發送BPDU，不接收或轉發數據
   · **(listening) - 該端口正在等待接收bpdu數據包，bpdu可能告知該端口重新回到阻塞狀態。接收併發送BPDU，不接收或轉發數據
   · 學習(learning) - 該端口正在向其轉發數據庫中添加地址。接收併發送BPDU，不接收或轉發數據
   · 轉發(forwarding) - 該端口正在轉發數據包。接收併發送BPDU，接收並轉發數據
   · 失效(disabled) - 該端口只是相應網管消息，並且必須先轉到阻塞狀態。不收發BPDU報文，接收或轉發數據
   端口可以轉換的狀態：
   · 從初始化(交換機啓動)到阻塞狀態(blocking)
   · 從阻塞狀態(blocking)到**(listening)或失效狀態(disabled)
   · 從**狀態(listening)到**(learning)或失效狀態(disabled)
   · 從**狀態(listening)到轉發(forwarding)或失效狀態(disabled)
   · 從轉發狀態(forwarding到失效狀態(disabled)
   · 從失效狀態(disabled)到阻塞狀態(blocking)
---------------------------------------------------------------------------
四、高級TCP/IP知識        14%
A類地址的範圍
範圍從 1.0.0.1 到 126.255.255.254 的單址廣播 IP 地址。第一個八位字節指明網絡，後三個八位字節指明網絡上的主機。
注意我說的只是可用IP
網絡地址和廣播地址我沒有寫上
是1.0.0.0  126.255.255.255
VLSM與標準子網劃分的區別:
允許使用多個子網掩碼劃分子網
使組織的IP地址空間得到更有效的利用
UDP和TCP頭部的共同字段
TCP:Source Port 、Destination Port 、Sequence Number、Checksun、data
UTP:Source Port 、Destination Port 、Length、Checksun、data
FQDN：
域名的根域用“.”表示，以點號結尾的域名稱爲完全合格域名FQDN（Full Qualified Domain Name)
DNS採用的傳輸層協議：
DNS系統採用客戶機/服務器架構，使用的傳輸層協議爲TCP或UDP，服務器端口號53
一般客戶機與本地DNS域名服務器之間的查詢交互採用的就是遞歸查詢方式
一般本地域名服務器發送至根域名服務器的查詢採用的就是迭代查詢
FTP數據連接包括、主動被動的區別
主動方式也稱爲PORT方式，在建立數據連接的過程中，由服務器主動發起連接，因此被稱爲主動方式；被動方式也稱爲PASV方式，在整個過程中，由於服務器總是被動接收客戶端的數據連接，因此被稱爲被動方式
DHCP協議：
在DHCP客戶端的IP地址租約期限達到一半時間時，DHCP客戶端會向爲它分配IP地址的DHCP服務器單播發送DHCP-REQUEST報文，以進行IP租約的更新。如果客戶端可以繼續使用此IP地址，則DHCP服務器迴應DHCP-ACK報文，通知DHCP客戶端已經獲得新IP租約；如果此IP地址不可以再分配給該客戶端，則DHCP服務器迴應DHCP-NAK報文，通知DHCP客戶端不能獲得新的租約。
如果在租約的一半時間進行的續約操作失敗，DHCP客戶端會在租約期限達到7/8時，廣播發送DHCP-REQUEST報文進行續約。DHCP服務器的處理方式同上，不再贅述。
對於RELAY過來的，DHCP SERVER是要進行PING探測不錯。可是同時客戶端也進行ARP檢測，如果ARP檢測到地址衝突，會給服務器發送DELINE報文，指示此IP已經被佔用，並且會申請新的IP。
DHCP配置：
[Router] dhcp enable
[Router] server forbidden-ip 192.168.1.10
[Router] server forbidden-ip 192.168.1.254
[Router] dhcp server ip-pool 0
[Router-dhcp-pool-0] network 192.168.1.0 mask 255.255.255.0
[Router-dhcp-pool-0] gateway-list 192.168.1.254
[Router-dhcp-pool-0] dns-list 192.168.1.10
[Router-dhcp-pool-0] expired day 5
IPv6 壓縮表達式：
冒號十六進制表示法,16位一段，共8段
爲了縮短書寫長度，可以用壓縮表示:
段內前導 “0”壓縮
全“0”段壓縮
鄰居發現協議:
主機無須任何配置就可以連通網絡
鄰居發現協議所實現的功能包括有
地址解析
與IPv4中的ARP類似
路由器發現/前綴發現
用於發現網絡中的路由器及前綴，有利於自動配置
地址自動配置
全新的功能，用於自動生成地址
其它
地址重複檢測等
ARP代理配置:
[Switch-Vlan-inte**ce1] proxy-arp enable
--------------------------------------------------------------------------------
五、配置IP路由            22%
路由的掩碼長度與匹配的先後順序、優先級、COST：
優先級值越小越優先；COST越小越好；掩碼長度越大、範圍越小就越先選
等值路由：目的網段相同，路由優先級相同，下一跳不同的路由
直連路由的下一跳是自己接口的IP，靜態的不能是本設備的端口IP
display ip routing-table statistics命令用來顯示公網路由表或***路由表中的綜合路由統計信息。路由的綜合信息包括路由總數目、路由協議添加/刪除路由數目、有deleted標誌而未刪除的路由、active路由、被釋放的路由數目。
ICMP 和 IP:
在網絡中，ICMP報文將作爲IP層數據報的數據，封裝在IP數據報中進行傳輸，如圖13.5所示。但ICMP並不是高層協議，而仍被視爲網絡層協議。
距離失量路由協議的特徵：
1、週期性的廣播更新
2、所發送的內容爲自己的路由表
3、發送只傳遞給自己的鄰居
4、它是一種基於流言的路由協議
鏈路狀態路由協議的特徵：
1、所發送的是自己鄰居端口的狀態，而不是整個路由表
2、觸發式更新
3、採用組播發送
4、路由表的獲得是經過自己計算得來的
靜態路由和策略路由的cost分別爲0、1  所以只能是是動態路由。
路由類型
默認優先級
直連      0
OSPF內部路由 10
IS-IS    15
靜態
60
RIP路由    100
OSPF外部路由 150
IBGP        255
EBGP        255
BGP路由      256
除直連路由（DIRECT）外，各種路由的優先級都可由用戶手工進行配置。另外，每條靜態路由的優先級都可以不相同。
指定出接口還是指定下一跳地址要視具體情況而定，下一跳地址不能爲本地接口IP地址，否則路由不會生效。對於Null0和Loopback接口，配置了出接口就不再配置下一跳地址。
NULL0是路由器上的一個虛擬端口，也被稱爲丟棄端口。所有到達該端口的數據被直接丟棄。
雙ISP接入路由自動判斷出口地址,比如有電信和網通線路各一條,要實現對電信IP的網站訪問時，走電信的那條線；訪問網通網站的時候走網通的那條線，當然是可以互爲備份,但並非普通的線路備份，而是要根據訪問網站的IP地址讓路由器來判斷是走網通線出去還是走電信線出去.至於路由表，應該是遵循最優路徑，只有一條路由!
路由表的來源
路由表中的路由通常可分爲以下三類：
a:鏈路層協議發現的路由（也稱爲接口路由或直連路由）
b:由網絡管理員手工配置的靜態路由
c:動態路由協議發現的路由
路由協議的工作過程包括：交換路由信息、計算路由、維護更新路由
RIP使用UDP 520端口，傳輸的RIP數據包用於進行路由更新。
RIP-1是有類別路由協議（Classful Routing Protocol），它只支持以廣播方式發佈協議報文。RIP-1的協議報文無法攜帶掩碼信息，它只能識別A、B、C類這樣的自然網段的路由，因此RIP-1不支持不連續子網（Discontiguous Subnet）。
RIPv2是一種無類別路由協議（Classless Routing Protocol）。
RIPv2協議報文中攜帶掩碼信息，支持VLSM（可變長子網掩碼）和CIDR。
RIPv2支持以組播方式發送路由更新報文，組播地址爲224.0.0.9，減少網絡與系統資源消耗。
RIPv2支持對協議報文進行驗證，並提供明文驗證和MD5驗證兩種方式，增強安全性。
RIP-1和2都能學習到自然分類網段和非自然分類網段，但是1發送的只能是自然分類網段
summary命令用來使能RIP-2自動路由聚合功能，聚合後的路由以使用自然掩碼的路由形式發佈，減小了路由表的規模。undo summary命令用來關閉自動路由聚合功能，以便將所有子網路由廣播出去。
缺省情況下，RIP-2自動路由聚合功能處於使能狀態。
使能RIP-2自動路由聚合功能可以減小路由表規模，提高大型網絡的可擴展性和效率。
RIP在缺省情況下每隔30秒向相鄰路由器發送本地路由表
network 0.0.0.0命令用來在所有接口上使能RIP。
路由聚合：同一自然網段內的不同子網的路由在向外其它網段發送時聚合成一條自然掩碼的路由發送
查看RIP的debugging信息：<RTA>debugging rip 1 packet
RIP通過以下機制來避免路由環路的產生：
a:計數到無窮（Counting to infinity）：將度量值等於16的路由定義爲不可達（infinity）。在路由環路發生時，某條路由的度量值將會增加到16，該路由被認爲不可達。
b:水平分割（Split Horizon）：RIP從某個接口學到的路由，不會從該接口再發回給鄰居路由器。這樣不但減少了帶寬消耗，還可以防止路由環路。
c:毒性逆轉（Poison Reverse）：RIP從某個接口學到路由後，將該路由的度量值設置爲16（不可達），並從原接口發回鄰居路由器。利用這種方式，可以清除對方路由表中的無用信息。
d:觸發更新（Triggered Updates）：RIP通過觸發更新來避免在多個路由器之間形成路由環路的可能，而且可以加速網絡的收斂速度。一旦某條路由的度量值發生了變化，就立刻向鄰居路由器發佈更新報文，而不是等到更新週期的到來。
RIP定時器：
RIP受四個定時器的控制，分別是Update、Timeout、Suppress和Garbage-Collect。
a： Update定時器，定義了發送路由更新的時間間隔。
b：Timeout定時器，定義了路由老化時間。如果在老化時間內沒有收到關於某條路由的更新報文，則該條路由在路由表中的度量值將會被設置爲16。
c： Suppress定時器，定義了RIP路由處於抑制狀態的時長。當一條路由的度量值變爲16時，該路由將進入抑制狀態。在被抑制狀態，只有來自同一鄰居且度量值小於16的路由更新纔會被路由器接收，取代不可達路由。
d：Garbage-Collect定時器，定義了一條路由從度量值變爲16開始，直到它從路由表裏被刪除所經過的時間。在Garbage-Collect時間內，RIP以16作爲度量值向外發送這條路由的更新，如果Garbage-Collect超時，該路由仍沒有得到更新，則該路由將從路由表中被徹底刪除。  120s
OSPF的常用語、配置
AS下 劃分區域area、LSA、LSDB
DR（Designated Router，指定路由器）：所有路由器都只將信息發送給DR，由DR將網絡鏈路狀態發送出去。
BDR（Backup Designated Router，備份指定路由器）：當DR失效後，BDR會立即成爲DR
DR Other：既不是DR也不是BDR的路由器，DR Other僅與DR和BDR之間建立鄰接關係，DR Other之間不交換任何路由信息。
----------------------------------------------
DR/BDR選舉過程：
DR和BDR是由同一網段中所有的路由器根據路由器優先級、Router ID通過Hello報文選舉出來的，只有優先級大於0的路由器才具有選舉資格。
進行DR/BDR選舉時每臺路由器將自己選出的DR寫入Hello報文中，發給網段上的每臺運行OSPF協議的路由器。當處於同一網段的兩臺路由器同時宣佈自己是DR時，路由器優先級高者勝出。如果優先級相等，則Router ID大者勝出。如果一臺路由器的優先級爲0，則它不會被選舉爲DR或BDR。
需要注意的是：只有在廣播或NBMA類型接口才會選舉DR，在點到點或點到多點類型的接口上不需要選舉DR；
             DR是某個網段中的概念，是針對路由器的接口而言的。某臺路由器在一個接口上可能是DR，在另一個接口上有可能是B網段中已經存在的DR/BDR成爲新的DR/BDR。
             DR並不一定就是路由器優先級最高的路由DR，或者是DR Other。
             路由器的優先級可以影響DR/BDR的選舉過程，但是當DR/BDR已經選舉完畢，就算一臺具有更高優先級的路由器變爲有效，也不會替換該器接口；同理，BDR也並不一定就是路由器優先級次高的路由器接口。
ospf dr-priority命令用來設置接口的DR優先級。undo ospf dr-priority命令用來恢復缺省情況。
缺省情況下，接口的DR優先級爲1。
接口的DR優先級決定了該接口在選舉DR/BDR時所具有的資格，數值越大，優先級越高。優先級高的在選舉權發生衝突時被首先考慮。如果一臺設備的優先級爲0，則它不會被選舉爲DR或BDR。
設備不支持在Null接口、Loopback接口上配置DR優先級。
----------------------------------------------------
ospf 數據封裝在ip包中，協議號是89（十進制），和tcp（6），udp（17）是並列的。
OSPF有五種類型的協議報文：Hello、DD、LSR、LSU、LSAck
LSA類型： Router LSA、 Network LSA、Summary LSA、AS External LSA、 NSSA External LSA
ABR（區域邊界路由）
一個路由器可以屬於不同的區域，但是一個網段（鏈路）只能屬於一個區域，或者說每個運行OSPF的接口必須指明屬於哪一個區域
一臺運行OSPF協議路由器，每一個OSPF進程必須存在自己的Router ID（路由器ID）。
路由器的一個接口只能屬於某一個OSPF進程。
只有在同一個區域的OSPF路由才能建立鄰居和鄰接關係
是在AS內選DR還是在AREA內選的DR：是在相同地網段中，即AREA
OSPF永久組地址：224.0.0.5
配置：
system-view
--router id ip-address
ospf [ process-id | router-id router-id | ***-instance instance-name ] *
description description
area area-id
description description
network ip-address wildcard-mask（配置區域所包含的網段並在指定網段的接口上使能OSPF）