H3CNE学习笔记

根据 H3CNE 考试题库来学习 NE 的知识点 并做了如下笔记 术语 BPDU 桥协议数据单元 Bridge Protocol Data Unit IGP Interior Gateway Protocol 内部网关协议 EGP Exterior Gateway Protocol 外部网关协议 MDI 介质有关接口 Media Dependent Interface PC 机 路由器 MDIX 交换机 集线器接入口 交换机 集线器级联口 笔记 一 计算机网络基础 10 光纤多模和单模的区别 根据传输点模数的不同 光纤可分为单模光纤和多模光纤 所谓 模 是指以一定角速度 进入光纤的一束光 单模光纤采用固体激光器做光源 多模光纤则采用发光二极管做光源 多模光纤允许多束光在光纤中同时传播 从而形成模分散 因为每一个 模 光进入光纤的角 度不同它们到达另一端点的时间也不同 这种特征称为模分散 模分散技术限制了多模 光纤的带宽和距离 因此 多模光纤的芯线粗 传输速度低 距离短 整体的传输性能差 但其成本比较低 一般用于建筑物内或地理位置相邻的环境下 单模光纤只能允许一束光 传播 所以单模光纤没有模分散特性 因而 单模光纤的纤芯相应较细 传输频带宽 容 量大 传输距离长 但因其需要激光源 成本较高 FTP 使用的端口号 控制端口一般为 21 而数据端口不一定是 20 这和 FTP 的应用模式 有关 如果是主动模式 应该为 20 如果为被动模式 由服务器端和客户端协商而定 TFTP 采用的端口号 69 SSH 22 TELNET 23 DNS 53 电路交换和分组交换的区别与联系 电路 基于电话网的电话 延迟小 透明传输 带 宽固定 网络资源利用率低 初始连接建立慢分组 以分组为单位存储转发 多路复用 网络资源利用率高 延迟大 实时性差 设备功能复杂 分组交换的理解 分组交换网是继电路交换网和报文交换网之后一种新型交换网络 它主要用于数据通信 分组交换是一种存储转发的交换方式 它将用户的报文划分成一定长度的分组 以分组为 存储转发 因此 它比电路交换的利用率高 比报文交换的时延要小 而具有实时通信的 能力 分组交换利用统计时分复用原理 将一条数据链路复用成多个逻辑信道 最终构成 一条主叫 被叫用户之间的信息传送通路 称之为虚电路 V C 实现数据的分组传送 网络延迟包括 传播延迟 交换延迟 介质访问延迟 队列延迟 路由的分类及常用协议 按照是否手工操作分类 静态 静态路由 默认路由 浮动静态路由 动态 RIP IGRP EIGRP ISIS OSPF BGP 动态路由中的分类 距离矢量 RIP IGRP 链路状态 OSPF ISIS 混合型 EIGRP 路径矢量 BGP OSI 参考模型的优点 开放的标准化接口 多厂商兼容性 易于理解 学习和更新协议标准 实现模块化工程 降低了开发实现的复杂度 便于故障排除 OSI 中加密是哪一层的功能 表示层 处理数据格式 数据加密等 SPX 属于 OSI 哪一层 IPX SPX 协议组的 SPX 在传输层 IPX 在网络层 DNS 工作在 OSI 的哪一层 应用层 互联端口的 MDI 类型设置为 across 应该用什么网线连 输入 mdi auto 就是启用 Auto MDI MDIX 自适应功能 输入 mdi across 就是使用 mdix 连接 模式 输入 mdi normal 就是使用常规的 mdi 连接模式 以太网的传输距离 单模光纤可达 5KM 广域网接口的描述 V 25 和 V 35 V 25DTE 支持同步和异步两种方式 异步方式下最高速率为 115200bps 同步方式下最高速率为 64000bps V 35DTE 只能工作在同步方式下 同步方式下最大速率 2Mbps 二 H3C 网络设备入门 10 指定下次启动使用的操作系统软件的命令 boot loader display starup 显示用于本次及下次启动的配置文件名 进入 BootROM 的方式 Press Ctrl B to enter extended boot menu 回收站相关命令 若要从回收站中彻底删除该文件 请使用 reset recycle bin 命令 关闭信息中心功能命令 UNDO INFO CENTER ENABLE 查看回收站里的文件 dir all 关掉 debugging 命令 undo debugging all 开启控制台对系统信息的监视功能 terminal monitor 打开调试信息的屏幕输出开关 terminal debugging 打开模块调试开关 debugging modul name 显示调试开关 displaying debugging 路由器的特点 主要工作在 OSI 模型的物理层 数据链路层和网络层 根据网络层信息进行路由转发 提供丰富的接口类型 支持丰富的链路层协议 支持多种路由协议 命令级别 访问级 0 级 网络诊断工具命令 从本设备出发访问外部设备的命令 监控级 1 级 用于系统维护 业务故障诊断的命令 系统级 2 级 业务配置命令 管理级 3 级 关系到系统基本运行 系统支撑模块的命令 切换优先级的命令 super 命令用来使用户从当前用户级别切换到指定的用户级别 使用本命令时如果不指定 level 参数 会使用户从当前级别切换到级别 3 使用本命令从高用户级别切换到用户低级 别时不需要认证而直接切换到指定级别 用户级别指登录用户的分类 共划分为 4 个级别 与命令级别对应 不同级别的用户登录后 只能使用等于或低于自己级别的命令 检测线路 MTU 用什么参数 ping 目的地址 ping f ping ip 支持 IPv4 协议 不指定该参数时 也表示支持 IPv4 协议 a source ip 指定 ICMP 回显请求 ECHO REQUEST 报文的源 IP 地址 该地址必须是 设备上已配置的合法 IP 地址 不指定该参数时 ICMP 回显请求报文的源 IP 地址是该报文 出接口的主 IP 地址 c count 指定 ICMP 回显请求报文的发送次数 取值范围为 1 4294967295 缺省值为 5 f 将长度大于接口 MTU 的报文直接丢弃 即不允许对发送的 ICMP 回显请求报文进行分 片 h ttl 指定 ICMP 回显请求报文中的 TTL 值 取值范围为 1 255 缺省值为 255 i interface type interface number 指定发送 ICMP 回显请求报文的接口的类型和编号 不指 定该参数时 将根据目的 IP 查找路由表或者转发表来确定发送 ICMP 回显请求报文的接口 m interval 指定发送 ICMP 回显请求报文的时间间隔 取值范围为 1 65535 单位为毫 秒 缺省值为 200 毫秒 如果在 timeout 时间内收到目的主机的响应报文 则下次 ICMP 回显请求报文的发送时间 间隔为报文的实际响应时间与 interval 之和 如果在 timeout 时间内没有收到目的主机的响应报文 则下次 ICMP 回显请求报文的发送时 间间隔为 timeout 与 interval 之和 n 对 host 参数不进行域名解析 不指定该参数时 如果 host 参数表示的是目的端的主机 名 则设备会对 host 进行域名解析 p pad 指定 ICMP 回显请求报文的 PAD 字段的填充值 为 1 8 位的 16 进制数 取值范 围为 0 ffffffff 如果指定的参数不够 8 位 则会在首部补 0 使填充值达到 8 位 比如将 pad 设置为 0 x2f 则会重复使用 0 x0000002f 去填充报文 以使发送报文的总长度达到设备 要求值 缺省情况下 填充值从 0 x01 开始 逐渐递增 直到 0 xff 然后又从 0 x01 开始循 环 形如 0 x010203 feff01 直至发送报文的总长度达到设备要求值 q 只显示统计信息 不指定该参数时 系统将显示包括统计信息在内的全部信息 r 记录路由 详细介绍请参见操作手册 不指定该参数时 系统不记录路由 s packet size 指定发送的 ICMP 回显请求报文的长度 不包括 IP 和 ICMP 报文头 取值 范围为 20 8100 单位为字节 缺省值为 56 字节 t timeout 指定 ICMP 回显应答 ECHO REPLY 报文的超时时间 发送 ICMP 回显请求 报文 timeout 后还没有收到 ICMP 回显应答报文 则认为 ICMP 回显应答报文超时 取值范 围为 0 65535 单位为毫秒 缺省值为 2000 毫秒 tos tos 指定 ICMP 回显请求报文中的 ToS Type of Service 服务类型 域的值 取值范 围为 0 255 缺省值为 0 v 显示接收到的非回显应答的 ICMP 报文 不指定该参数时 系统不显示非回显应答的 ICMP 报文 vpn instance vpn instance name 指定 MPLS VPN 的实例名称 是一个长度为 1 31 个字 符的字符串 区分大小写 如果需要检查 MPLS VPN 中的两个节点是否可达 则需要通过 该参数指定节点所在的 MPLS VPN 实例 需要注意的是 S3610到目的为 0 PORT UNREACHABLE 三 配置局域网交换机 16 MAC 映射表的建立 交换机会把广播 组播和未知单播帧从所有其他端口发送出去 除了接收到帧的端口 端口的类型 vlan 的标签 在进入交换机端口时 附加缺省 VLAN 标签 出交换机端口时 去掉 VLAN 标签 Hybrid 端口和 Trunk 端口的不同之处在于 Hybrid 端口允许多个 VLAN 的以太网帧不带标签 Trunk 端口只允许缺省 VLAN 的以太网帧不带标签 表 1 3 端口收发报文的处理 接入分册 VLAN 配置 小结 T 和 H 只接收 VLAN ID 在端口允许通过的 VLAN ID 列表里的报文 没有 Tag 则 打上 TAG T 在发送时 当 VLAN ID 与缺省 VLAN ID 相同且是该端口允许通过的 VLAN ID 时 去掉 Tag 发送该报文 当 VLAN ID 与缺省 VLAN ID 不同 且是该端口允许通过 的 VLAN ID 时 保持原有 Tag 发送该报文 H 在发送时 当报文中携带的 VLAN ID 是 该端口允许通过的 VLAN ID 时 发送该报文 并可以通过 port hybrid vlan 命令配置端口在 发送该 VLAN 包括缺省 VLAN 的报文时是否携带 Tag 关闭生成树功能 stp disable 关于 802 1x 及其验证的特点 设备不仅支持协议所规定的基于端口的接入认证方式 还对其进行了扩展 优化 支持基 于 MAC 的接入控制方式 当采用基于端口的接入控制方式时 只要该端口下的第一个用户认证成功后 其它接入用 户无须认证就可使用网络资源 但是当第一个用户下线后 其它用户也会被拒绝使用网络 采用基于 MAC 的接入控制方式时 该端口下的所有接入用户均需要单独认证 当某个用 户下线时 也只有该用户无法使用网络 dot1x 的配置 SWA dot1x SWA dot1x interface ethernet1 0 1 SWA local user localuser SWA luser localuser password simple hello SWA luser localuser service type lan access 端口隔离的配置 SWA interface ethernet1 0 2 SWA Ethernet1 0 2 port isolate enable SWA interface ethernet1 0 3 SWA Ethernet1 0 3 port isolate enable SWA interface ethernet1 0 4 SWA Ethernet1 0 4 port isolate enable SWA interface ethernet1 0 1 SWA Ethernet1 0 1 port isolate uplink port 聚合端口的配置 SWA interface bridge aggregation 1 SWA Ethernet1 0 1 port link aggregation group 1 SWA interface bridge aggregation 2 port Ethernet1 0 1 STP 端口不稳定的中间状态 Listening Learning 关于 STP 协议 桥 ID 由桥优先级 BridgePriority 和桥 MAC 地址 BridgeMacAddress 组成 桥 ID 小的桥被选举为根桥 根桥上的所有端口为指定端口 Designated Port 在非根桥上选举根路径开销 RootPathCost 最小的端口为根端口 Root Port 每个物理段选出根路径开销最小的桥作为指定桥 Designated Bridge 连接指定桥的端口 为指定端口 不是根端口和指定端口的其余端口被 STP 置为阻塞状态 根路径开销 RootPathCost 是到达根的路径上所有链路开销 Cost 的代数和 配置桥优先级的命令 配置当前设备的优先级 Switch stp instance instance di priority priority STP 端口状态的判断 交换机上的端口在启动 stp 协议后 存在的五种状态 阻塞 blocking 该端口被阻塞 接收但不发送 BPDU 不接收或转发数据 监听 listening 该端口正在等待接收 bpdu 数据包 bpdu 可能告知该端口重新回到阻塞状 态 接收并发送 BPDU 不接收或转发数据 学习 learning 该端口正在向其转发数据库中添加地址 接收并发送 BPDU 不接收或转 发数据 转发 forwarding 该端口正在转发数据包 接收并发送 BPDU 接收并转发数据 失效 disabled 该端口只是相应网管消息 并且必须先转到阻塞状态 不收发 BPDU 报 文 接收或转发数据 端口可以转换的状态 从初始化 交换机启动 到阻塞状态 blocking 从阻塞状态 blocking 到监听 listening 或失效状态 disabled 从监听状态 listening 到监听 learning 或失效状态 disabled 从监听状态 listening 到转发 forwarding 或失效状态 disabled 从转发状态 forwarding 到失效状态 disabled 从失效状态 disabled 到阻塞状态 blocking 四 高级 TCP IP 知识 14 A 类地址的范围 范围从 1 0 0 1 到 126 255 255 254 的单址广播 IP 地址 第一个八位字节指明网络 后三 个八位字节指明网络上的主机 注意我说的只是可用 IP 网络地址和广播地址我没有写上 是 1 0 0 0 126 255 255 255 VLSM 与标准子网划分的区别 允许使用多个子网掩码划分子网 使组织的 IP 地址空间得到更有效的利用 UDP 和 TCP 头部的共同字段 TCP Source Port Destination Port Sequence Number Checksun data UTP Source Port Destination Port Length Checksun data FQDN 域名的根域用 表示 以点号结尾的域名称为完全合格域名 FQDN Full Qualified Domain Name DNS 采用的传输层协议 DNS 系统采用客户机 服务器架构 使用的传输层协议为 TCP 或 UDP 服务器端口号 53 一般客户机与本地 DNS 域名服务器之间的查询交互采用的就是递归查询方式 一般本地域名服务器发送至根域名服务器的查询采用的就是迭代查询 FTP 数据连接包括 主动被动的区别 主动方式也称为 PORT 方式 在建立数据连接的过程中 由服务器主动发起连接 因此被 称为主动方式 被动方式也称为 PASV 方式 在整个过程中 由于服务器总是被动接收客 户端的数据连接 因此被称为被动方式 DHCP 协议 在 DHCP 客户端的 IP 地址租约期限达到一半时间时 DHCP 客户端会向为它分配 IP 地址 的 DHCP 服务器单播发送 DHCP REQUEST 报文 以进行 IP 租约的更新 如果客户端可 以继续使用此 IP 地址 则 DHCP 服务器回应 DHCP ACK 报文 通知 DHCP 客户端已经获 得新 IP 租约 如果此 IP 地址不可以再分配给该客户端 则 DHCP 服务器回应 DHCP NAK 报文 通知 DHCP 客户端不能获得新的租约 如果在租约的一半时间进行的续约操作失败 DHCP 客户端会在租约期限达到 7 8 时 广 播发送 DHCP REQUEST 报文进行续约 DHCP 服务器的处理方式同上 不再赘述 对于 RELAY 过来的 DHCP SERVER 是要进行 PING 探测不错 可是同时客户端也进行 ARP 检测 如果 ARP 检测到地址冲突 会给服务器发送 DELINE 报文 指示此 IP 已经被 占用 并且会申请新的 IP DHCP 配置 Router dhcp enable Router server forbidden ip 192 168 1 10 Router server forbidden ip 192 168 1 254 Router dhcp server ip pool 0 Router dhcp pool 0 network 192 168 1 0 mask 255 255 255 0 Router dhcp pool 0 gateway list 192 168 1 254 Router dhcp pool 0 dns list 192 168 1 10 Router dhcp pool 0 expired day 5 IPv6 压缩表达式 冒号十六进制表示法 16 位一段 共 8 段 为了缩短书写长度 可以用压缩表示 段内前导 0 压缩 全 0 段压缩 邻居发现协议 主机无须任何配置就可以连通网络 邻居发现协议所实现的功能包括有 地址解析 与 IPv4 中的 ARP 类似 路由器发现 前缀发现 用于发现网络中的路由器及前缀 有利于自动配置 地址自动配置 全新的功能 用于自动生成地址 其它 地址重复检测等 ARP 代理配置 Switch Vlan interface1 proxy arp enable 五 配置 IP 路由 22 路由的掩码长度与匹配的先后顺序 优先级 COST 优先级值越小越优先 COST 越小越好 掩码长度越大 范围越小就越先选 等值路由 目的网段相同 路由优先级相同 下一跳不同的路由 直连路由的下一跳是自己接口的 IP 静态的不能是本设备的端口 IP display ip routing table statistics 命令用来显示公网路由表或 VPN 路由表中的综合路由统计 信息 路由的综合信息包括路由总数目 路由协议添加 删除路由数目 有 deleted 标志而 未删除的路由 active 路由 被释放的路由数目 ICMP 和 IP 在网络中 ICMP 报文将作为 IP 层数据报的数据 封装在 IP 数据报中进行传输 如图 13 5 所示 但 ICMP 并不是高层协议 而仍被视为网络层协议 距离失量路由协议的特征 1 周期性的广播更新 2 所发送的内容为自己的路由表 3 发送只传递给自己的邻居 4 它是一种基于流言的路由协议 链路状态路由协议的特征 1 所发送的是自己邻居端口的状态 而不是整个路由表 2 触发式更新 3 采用组播发送 4 路由表的获得是经过自己计算得来的 静态路由和策略路由的 cost 分别为 0 1 所以只能是是动态路由 路由类型默认优先级 直连 0 OSPF 内部路由 10 IS IS 15 静态 60 RIP 路由 100 OSPF 外部路由 150 IBGP 255 EBGP 255 BGP 路由 256 除直连路由 DIRECT 外 各种路由的优先级都可由用户手工进行配置 另外 每条静 态路由的优先级都可以不相同 指定出接口还是指定下一跳地址要视具体情况而定 下一跳地址不能为本地接口 IP 地址 否则路由不会生效 对于 Null0 和 Loopback 接口 配置了出接口就不再配置下一跳地址 NULL0 是路由器上的一个虚拟端口 也被称为丢弃端口 所有到达该端口的数据被直接丢 弃 双 ISP 接入路由自动判断出口地址 比如有电信和网通线路各一条 要实现对电信 IP 的网站 访问时 走电信的那条线 访问网通网站的时候走网通的那条线 当然是可以互为备份 但 并非普通的线路备份 而是要根据访问网站的 IP 地址让路由器来判断是走网通线出去还是 走电信线出去 至于路由表 应该是遵循最优路径 只有一条路由 路由表的来源 路由表中的路由通常可分为以下三类 a 链路层协议发现的路由 也称为接口路由或直连路由 b 由网络管理员手工配置的静态路由 c 动态路由协议发现的路由 路由协议的工作过程包括 交换路由信息 计算路由 维护更新路由 RIP 使用 UDP 520 端口 传输的 RIP 数据包用于进行路由更新 RIP 1 是有类别路由协议 Classful Routing Protocol 它只支持以广播方式发布协议报文 RIP 1 的协议报文无法携带掩码信息 它只能识别 A B C 类这样的自然网段的路由 因 此 RIP 1 不支持不连续子网 Discontiguous Subnet RIPv2 是一种无类别路由协议 Classless Routing Protocol RIPv2 协议报文中携带掩码信息 支持 VLSM 可变长子网掩码 和 CIDR RIPv2 支持以组播方式发送路由更新报文 组播地址为 224 0 0 9 减少网络与系统资源消 耗 RIPv2 支持对协议报文进行验证 并提供明文验证和 MD5 验证两种方式 增强安全性 RIP 1 和 2 都能学习到自然分类网段和非自然分类网段 但是 1 发送的只能是自然分类网 段 summary 命令用来使能 RIP 2 自动路由聚合功能 聚合后的路由以使用自然掩码的路由形 式发布 减小了路由表的规模 undo summary 命令用来关闭自动路由聚合功能 以便将所 有子网路由广播出去 缺省情况下 RIP 2 自动路由聚合功能处于使能状态 使能 RIP 2 自动路由聚合功能可以减小路由表规模 提高大型网络的可扩展性和效率 RIP 在缺省情况下每隔 30 秒向相邻路由器发送本地路由表 network 0 0 0 0 命令用来在所有接口上使能 RIP 路由聚合 同一自然网段内的不同子网的路由在向外其它网段发送时聚合成一条自然掩码 的路由发送 查看 RIP 的 debugging 信息 debugging rip 1 packet RIP 通过以下机制来避免路由环路的产生 a 计数到无穷 Counting to infinity 将度量值等于 16 的路由定义为不可达 infinity 在路由环路发生时 某条路由的度量值将会增加到 16 该路由被认为不可达 b 水平分割 Split Horizon RIP 从某个接口学到的路由 不会从该接口再发回给邻居路 由器 这样不但减少了带宽消耗 还可以防止路由环路 c 毒性逆转 Poison Reverse RIP 从某个接口学到路由后 将该路由的度量值设置为 16 不可达 并从原接口发回邻居路由器 利用这种方式 可以清除对方路由表中的无用 信息 d 触发更新 Triggered Updates RIP 通过触发更新来避免在多个路由器之间形成路由环 路的可能 而且可以加速网络的收敛速度 一旦某条路由的度量值发生了变化 就立刻向 邻居路由器发布更新报文 而不是等到更新周期的到来 RIP 定时器 RIP 受四个定时器的控制 分别是 Update Timeout Suppress 和 Garbage Collect a Update 定时器 定义了发送路由更新的时间间隔 b Timeout 定时器 定义了路由老化时间 如果在老化时间内没有收到关于某条路由的更 新报文 则该条路由在路由表中的度量值将会被设置为 16 c Suppress 定时器 定义了 RIP 路由处于抑制状态的时长 当一条路由的度量值变为 16 时 该路由将进入抑制状态 在被抑制状态 只有来自同一邻居且度量值小于 16 的路由更 新才会被路由器接收 取代不可达路由 d Garbage Collect 定时器 定义了一条路由从度量值变为 16 开始 直到它从路由表里被 删除所经过的时间 在 Garbage Collect 时间内 RIP 以 16 作为度量值向外发送这条路由的 更新 如果 Garbage Collect 超时 该路由仍没有得到更新 则该路由将从路由表中被彻底 删除 120s OSPF 的常用语 配置 AS 下 划分区域 area LSA LSDB DR Designated Router 指定路由器 所有路由器都只将信息发送给 DR 由 DR 将网络 链路状态发送出去 BDR Backup Designated Router 备份指定路由器 当 DR 失效后 BDR 会立即成为 DR DR Other 既不是 DR 也不是 BDR 的路由器 DR Other 仅与 DR 和 BDR 之间建立邻接关 系 DR Other 之间不交换任何路由信息 DR BDR 选举过程 DR 和 BDR 是由同一网段中所有的路由器根据路由器优先级 Router ID 通过 Hello 报文选 举出来的 只有优先级大于 0 的路由器才具有选举资格 进行 DR BDR 选举时每台路由器将自己选出的 DR 写入 Hello 报文中 发给网段上的每台 运行 OSPF 协议的路由器 当处于同一网段的两台路由器同时宣布自己是 DR 时 路由器 优先级高者胜出 如果优先级相等 则 Router ID 大者胜出 如果一台路由器的优先级为 0 则它不会被选举为 DR 或 BDR 需要注意的是 只有在广播或 NBMA 类型接口才会选举 DR 在点到点或点到多点类型的 接口上不需要选举 DR DR 是某个网段中的概念 是针对路由器的接口而言的 某台路由器在一个接口上可能是 DR 在另一个接口上有可能是 B 网段中已经存在的 DR BDR 成为新的 DR BDR DR 并不一定就是路由器优先级最高的路由 DR 或者是 DR Other 路由器的优先级可以影响 DR BDR 的选举过程 但是当 DR BDR 已经选举完毕 就算一 台具有更高优先级的路由器变为有效 也不会替换该器接口 同理 BDR 也并不一定就是 路由器优先级次高的路由器接口 ospf dr priority 命令用来设置接口的 DR 优先级 undo ospf dr priority 命令用来恢复缺省情 况 缺省情况下 接口的 DR 优先级为 1 接口的 DR 优先级决定了该接口在选举 DR BDR 时所具有的资格 数值越大 优先级越高 优先级高的在选举权发生冲突时被首先考虑 如果一台设备的优先级为 0 则它不会被选 举为 DR 或 BDR 设备不支持在 Null 接口 Loopback 接口上配置 DR 优先级 ospf 数据封装在 ip 包中 协议号是 89 十进制 和 tcp 6 udp 17 是并列的 OSPF 有五种类型的协议报文 Hello DD LSR LSU LSAck LSA 类型 Router LSA Network LSA Summary LSA AS External LSA NSSA External LSA ABR 区域边界路由 一个路由器可以属于不同的区域 但是一个网段 链路 只能属于一个区域 或者说每个 运行 OSPF 的接口必须指明属于哪一个区域 一台运行 OSPF 协议路由器 每一个 OSPF 进程必须存在自己的 Router ID 路由器 ID 路由器的一个接口只能属于某一个 OSPF 进程 只有在同一个区域的 OSPF 路由才能建立邻居和邻接关系 是在 AS 内选 DR 还是在 AREA 内选的 DR 是在相同地网段中 即 AREA OSPF 永久组地址 224 0 0 5 配置 system view router id ip address ospf process id router id router id vpn instance instance name description description area area id description description network ip address wildcard mask 配置区域所包含的网段并在指定网段的接口上使能 OSPF 六 配置安全的分支网络 12 deny ip 是不是 deny 了 PING icmp 在匹配 deny ip 的规则后 ICMP 就不通 包括 echo 和 echo reply 因为 ICMP 报文将作为 IP 层数据报的数据 封装在 IP 数据报中进行传输 Easy IP 如果地址转换命令不带 address group 参数 即仅使用 nat outbound acl number 命令 则实 现了 easy ip 的特性 地址转换时 直接使用接口的 IP 地址作为转换后的地址 利用访问 控制列表控制哪些地址可以进行地址转换 不用预先配置地址池 工作原理与普通 NAPT 相同 是 NAPT 的一种特例 适用于拨号接入 Internet 或动态获得 IP 地址的场合 TCP WWW SMTP FTP POP2 POP3 BGP TELNET UDP DNS RIP SNMP TFTP NAPT 将访问控制列表和 NAT 地址池关联时 如果选择 no pat 参数 则表示只转换数据包的 IP 地址而不使用端口信息 即不使用 NAPT 功能 如果不选择 no pat 参数 则启用 NAPT 功能 缺省情况是启用 NAPT 网络地址端口转换 NAT 的配置 配置地址池和访问控制列表 允许 10 110 10 0 24 网段进行地址转换 h3c nat address group 1 202 38 160 101 202 38 160 105 h3c acl number 2001 h3c acl basic 2001 rule permit source 10 110 10 0 0 0 0 255 h3c acl basic 2001 rule deny source 10 110 0 0 0 0 255 255 h3c acl basic 2001 quit h3c interface gigabitethernet 3 0 h3c gigabitethernet3 0 nat outbound 2001 address group 1 Nat Server NAT Server 配置命令 nat server protocol pro type global global addr global port inside host addr host port 进入接口模式视图 RTA interface Ethernet0 1 在出接口上将私网服务器地址和公网地址做一对一 NAT 映射绑定 RTA Ethernet0 1 nat server protocol tcp global 198 76 28 11 telnet inside 10 0 0 1 telnet 查看 NAT 报文转换的数量 display acl 七 广域网接入和互联 16 Frame Relay 帧中继用 DLCI 标识虚电路 DLCI 只具有本地意义 不具备全局意义 帧中继地址映射是把对端设备的协议地址与对端设备的帧中继地址 本地的 DLCI 关联 起来 映射可以通过静态配置或 Inverse ARP 建立 通过 Inverse ARP 可以自动发现对端路由器的网络地址 从而简化了帧中继的配置 帧中继网络用户接口上最多可支持 1024 条虚电路 其中用户可用的 DLCI 范围是 16 1007 根据虚电路建立的不同方式 可以将虚电路分为两种类型 永久虚电路 PVC 和交换虚 电路 SVC 手工设置产生的虚电路称为永久虚电路 通过协议协商产生的虚电路称为交 换虚电路 这种虚电路由协议自动创建和删除 目前在帧中继中使用最多的方式是永久虚 电路方式 即手工配置虚电路方式 对于 DTE 侧设备 永久虚电路的状态完全由 DCE 侧设备决定 对于 DCE 侧设备 永久 虚电路的状态由网络来决定 在两台网络设备直接连接的情况下 DCE 侧设备的虚电路状 态是由设备管理员来设置的 在系统中 虚电路的个数和状态是在设置地址映射的同时设 置的 也可以用 fr dlci 命令配置 DCE DTE CSU DSU 1 CSU DSU 是什么 CSU Channel Service Unit 通道服务单元 把终端用户和本地数字电话环路相连的数 字接口设备 通常它和 DSU 统称为 CSU DSU DSU Data Service Unit 数据服务单元 指的是用于数字传输中的一种设备 它能够把 DTE 设备上的物理层接口适配到 T1 或者 E1 等通信设施上 数据业务单元也负责信号计时 等功能 它通常与 CSU 信道业务单元 一起提及 称作 CSU DSU CSU 通道服务单元 把终端用户和本地数字电话环路相连的数字接口设备 通常它和 DSU 统称为 CSU DSU DSU 数据业务单元 指的是用于数字传输中的一种设备 它能够把 DTE 设备上的物理 层接口适配到 T1 或者 E1 等通信设施上 数据业务单元也负责信号计时等功能 它通常与 CSU 信道业务单元 一起提及 称作 CSU DSU DCE 数据通信设备或者数据电路终端设备 该设备和其与通信网络的连接构成了网络 终端的用户网络接口 它提供了到网络的一条物理连接 转发业务量 并且提供了一个用 于同步 DCE 设备和 DTE 设备之间数据传输的时钟信号 调制解调器和接口卡都是 DCE 设 备的例子 DTE 数据终端设备 指的是位于用户网络接口用户端的设备 它能够作为信源 信宿 或同时为二者 数据终端设备通过数据通信设备 例如 调制解调器 连接到一个数据网 络上 并且通常使用数据通信设备产生的时钟信号 数据终端设备包括计算机 协议翻译 器以及多路分解器等设备 HDLC 的特性 对于任何一种比特流都可透明传输 较高的数据链路传输效率 所有的帧 包括响应帧 都有 FCS 传输可靠性高 用统一的帧格式来实现传输 HDLC 的另一个重要功能是流量控制 换句话说 一旦接收端收到数据 便能立即进行传 输 HDLC 具有两种不同的实现方式 高级数据链路控制正常响应模式即 HDLC NRM 又称为 SDLC 和 HDLC 链路访问过程平衡 LAPB 其中第二种使用更为普遍 HDLC 是 X 25 栈的一部分 HDLC 协议使用限制 只支持点到点连接 不支持点到多点 只能工作于同步方式 不支持验证 缺乏安全性 不支持 IP 地址协商 在 MSR 路由器上 希望把 HDLC 协议的 Keepalive 报文时间调整为 20 秒 缺省值为 10 在接口视图下 使用命令 timer hold 20 链路控制协议 Link Control Protocol 简称 LCP 主要用来建立 拆除和监控数据链路 网络控制协议 Network Control Protocol 简称 NCP 主要用来协商在该数据链路上所传 输的数据包的格式与类型 PPP 运行过程如下 1 在开始建立 PPP 链路时 先进入到 Establish 阶段 2 在 Establish 阶段 PPP 链路进行 LCP 协商 协商内容包括工作方式 是 SP 还是 MP 验证方式和最大接收单元 MRU Maximum Receive Unit 等 LCP 在协商成功