远程连接访问控制

Cisco

Console配置

Enable password cisco：明码

enable secret cisco：加密密码

Telnet 配置

Username aaa password aaa

line vty 0 4

login local

transport input telnet

SSH配置

username aaa privilege 1 password aaa

ip domain name acme.org

hostname aaa

crypto key generate rsa

ip ssh maxstartups 5

ip ssh logging events

line vty 0 4

login local

transport input ssh

router#ssh –l aaa xx.xx.xx.xx（远程登录）

常见配置错误分析与排错

1、 Telent 登录失败的故障分析与排除

1、 查看VTY用户界面视图是否允许支持Telnet

2、 查看是否是登录上限：

3、 查看是否存在ACL

4、 查看VTY用户界面图示下是否设置登录密码

5、 如果用AAA验证方式，查看用户名密码是否正确

6、 查看网络是否连通

2、 SSH登录失败的故障分析与排除

1、 查看VTY用户界面视图是否允许支持ssh

2、查看是否是登录上限

3、查看是否存在ACL

5、如果用AAA验证方式，查看用户名密码是否正确

6、查看网络是否连通

7、查看服务有无开启

8、查看是否设置域名

9、查看认证是否开启

10、查看设备名称是否需要修改

华为

Console配置

交换机Console口初始密码

user-interface con 0

authentication-mode aaa

user privilege level 15

aaa

local-user aaa password cipher aaa

local-user aaa privilege level 15

Telnet 配置

user-interface vty 0 4

authentication-mode aaa

user privilege level 15

history-command max-size 20 设置历史缓冲区

idle-timeout 20 0 设置用户超时时间

screen-length 30 设置终端屏幕显示的行数

aaa

local-user aaa password cipher aaa

local-user aaa privilege level 15

local-user aaa service-type telnet terminal

STelnet配置

Stelnet(secure telnet)是基于SSH的协议，在传输过程中客户端和服务端之间需要经过协商，建立安全传输连接，以确保在登录和远程交换机配置与管理中的数据传输安全

R1：

user-interface vty 0 4

authentication-mode aaa

user privilege level 15

protocol inbound ssh

aaa

local-user aaa password cipher aaa

local-user aaa privilege level 15

local-user aaa service-type terminal ssh

quit

ssh user aaa authentication-type password 认证方式为PASSWORD

stelnet server enable 开启服务

R2:

ssh client first-time enable 第一次登录需要下载密钥

stelnet xx.xx.xx.xx

HTTPWeb网管登录

常见配置错误分析与排错

3、 Telent 登录失败的故障分析与排除

查看VTY用户界面视图是否允许支持Telnet

查看是否是登录上限：display user-interface maximum-vty

查看是否存在ACL

查看VTY用户界面图示下是否设置登录密码

如果用AAA验证方式，查看用户名密码是否正确

查看网络是否连通

查看服务有无开启

4、 STelnet登录失败的故障分析与排除

查看VTY用户界面视图是否允许支持ssh

查看是否是登录上限：display user-interface maximum-vty

查看是否存在ACL

查看VTY用户界面图示下是否设置登录密码

如果用AAA验证方式，查看用户名密码是否正确

查看网络是否连通

查看服务有无开启

企业网园区架构

核心层

分布层

接入层

接口及以太网链路配置与管理

接口分类

1、 管理接口（Console）

2、 物理接口(百兆以太网接口、千兆以太网接口…)

3、 逻辑接口（Loopback接口、Null接口、Tunnel接口…）

Cisco

华为

Set flow-stat interval 400 全局配置接口的流量统计时间间隔，取值范围为10---600

Description xxx 接口信息描述

Display interface brief 查看各接口状态和配置的简要信息。

Vlan

Vlan(virtual local area network )的中文名字叫虚拟局域网：是一组逻辑上的设备和用户，在计算机网络中，可以将一个二层设备划分为多个不同的广播域根据IEEE802.1Q协议定义VLAN在数据帧中是通过VID字段信息来标识，VID是一个12位的二进制字段信息，也就是说最多可以标识2的12次方个valn，其中0和4095是协议保留的不启用，其中1—1005的vlan是普通valn，提供正常vlan的功能，1006—4094的valn是扩展vlan，提供部分valn功能，一般所有厂家的交换机默认所有交换机都属于VLAN1.

Vxlan(virtual extensible lan)虚拟可扩展局域网，普通VLAN的个数为4096远远不能满足大规模云计算的数据中心的需求，所以才开发了VXLAN

VLAN 有以下优点：(1) 控制网络的广播问题：每一个VLAN是一个广播域，一个VLAN上的广播不会扩散到另一VLAN；(2) 简化网络管理：当VLAN中的用户位置移动时，网络管理员只需设置几条命令即可；(3) 提高网络的安全性：VLAN 能控制广播；VLAN 之间不能直接通信。定义交换机的端口在什么 VLAN 上的常用方法有：(1) 基于端口的 VLAN ：管理员把交换机某一端口指定为某一 VLAN 的成员；(2) 基于 MAC 地址的 VLAN ：交换机根据节点的 MAC 地址，决定将其放置于哪个 VLAN 中。

Catalyst交换机最多支持4096个vlan。

VLAN划分方式

根据端口划分:基于端口的VLAN

根据MAC划分: 基于MAC的VLAN

根据IP进行划分: 基于IP子网的VLAN

根据协议划分: 基于协议的VLAN

根据几种划分依据组合进行划分: 基于策略的VLAN

Cisco

Vlan

Name vlanx

Int vlan x

Ip add xx.xx.xx.xx xx.xx.xx.xx

Interface gig0/0

Sw moa cc

Sw acc vlan x

私用vlan

定义：在有些情况下，管理员希望隔离位于交换机同一VLAN中的终端设备之间的通信，同时还不希望将这些设备划分进不同的IP子网中，因为划分多个IP子网会使IP地址遭到浪费。私有VLAN中的端口属于孤立端口（Lsolated）杂合端口（promiscuous）团体端口（community）

孤立端口：可以与杂合端口通信

杂合端口：可与孤立、团体端口通信

团体端口：可以与杂合、团体端口通信

辅助私用VLAN：每个辅助VLAN都是主VLAN的附庸VLAN，它们会被映射给主VLAN，而每台设备都会与辅助VLAN相连。

辅助VLAN的类型：

团体VLAN：可以与团体VLAN中的其他端口通信，也可与主VLAN中的杂合端口通信

孤立VLAN：孤立端口不能与孤立VLAN中的其他端口通信，只能与杂合端口通信，每个PVLAN中只能由一个孤立VLAN

配置案例：

VLAN 200

Private-vlan isolated 设置为孤立VLAN

VLAN 201

Private-vlan community 设置为团体VLAN

VLAN 100

Private-vlan primary 设置为主VLAN

Private-vlan association 201 202 关联辅助VLAN

Interface fastethernet 0/24

Switchport mode private-vlan promiscuous 将二层端口设置为杂合端口

Switchport private-vlan mapping 100 200,200 将杂合端口映射到私有VLAN

Switchport mode private-vlan host 将二层端口设置为主机端口

Switchport private-vlan host-assciation 100 201

华为

Vlan x

Interface vlanif x

Ip add xx.xx.xx.xx xx.xx.xx.xx

interface GigabitEthernet 0/0/1

port link-type access

port default vlan 1

Mux VLAN（multiplex vlan）基本原理

定义：MUX VLAN 提供了一种在VLAN 的端口间进行二层流量隔离的机制。

特点：

1、 主VLAN可以与任何从VLAN间直接二层tongxin

2、 任何不同的从VLAN（包括隔离型从VLAN和互通型从VLAN）之间不能直接二层通信

3、 互通型从VLAN内部可以进行二层通信。隔离型从VLAN内部的用户间不能直接通信，起到在同一个VLAN内实现用户互相隔离的目的。

Mux VLAN:分为Principal vlan(主VLAN，所属端口：主端口) 和Subordinate valn(从VLAN)，Subordinate valn又分为Separate vlan(隔离型从VLAN 所属端口：隔离型从端口) 和Group vlan(互通型从VLAN 互通型从端口)

配置案例：

sys

[Huawei]vlan batch 2 to 4

[Huawei]vlan 2

[Huawei-vlan2]mux-vlan 设置为主VLAN

[Huawei-vlan2]subordinate group 3 将VLAN3设置为互通

[Huawei-vlan2]subordinate separate 4 将VLAN4设置为隔离型

[Huawei-vlan2]int g0/0/1

[Huawei-GigabitEthernet0/0/1]port link-type access

[Huawei-GigabitEthernet0/0/1]port default vlan 2

[Huawei-GigabitEthernet0/0/1]port mux-vlan enable

[Huawei-GigabitEthernet0/0/1]int g0/0/2

[Huawei-GigabitEthernet0/0/2]port link-type access

[Huawei-GigabitEthernet0/0/2]port mux-vlan en

[Huawei-GigabitEthernet0/0/2]int g0/0/3

[Huawei-GigabitEthernet0/0/3]port link-type access

[Huawei-GigabitEthernet0/0/3]port default vlan 4

[Huawei-GigabitEthernet0/0/3]port mux-vlan enable

注意：互通VLAN下的端口可以直接通信，隔离VLAN下的端口不能通信，从VLAN都可以与主VLAN通信

QinQ技术（802.1Q-in-802.1Q）

VLAN都是单标签封装，QinQ技术是一项可以在原有标签头基础上再增加一层标签，实现双VLAN标签的目的。注意，启用了双标签技术的交换机端口具有添加和剥离外层VLAN标签的双重功能。

基本封装：是将进入一个端口的所有流行全部封装一个相同的外层VLAN标签，是一种基于端口的封装方式。

配置案例：

[Huawei]sysname sw1

[sw1]vlan batch 100 200

[sw1]int g0/0/2

[sw1-GigabitEthernet0/0/2]port link-type dot1q-tunnel

[sw1-GigabitEthernet0/0/2]port default vlan 100

[sw1-GigabitEthernet0/0/3]port link-type dot1q-tunnel

[sw1-GigabitEthernet0/0/3]port default vlan 200

[sw1-GigabitEthernet0/0/3]int g0/0/1

[sw1-GigabitEthernet0/0/1]port link-type trunk

[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 200

[sw1-GigabitEthernet0/0/1]qinq protocol 9100

sys

[Huawei]sysname sw2

[sw2]vlan batch 100 200

[sw2]int g0/0/2

[sw2-GigabitEthernet0/0/2]port link-type do

[sw2-GigabitEthernet0/0/2]port default vlan 100

[sw2-GigabitEthernet0/0/2]int g0/0/3

[sw2-GigabitEthernet0/0/3]port link-type dot1q-tunnel

[sw2-GigabitEthernet0/0/3]port default vlan 200

[sw2-GigabitEthernet0/0/3]int g0/0/1

[sw2-GigabitEthernet0/0/1]port link-type trunk

[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 200

[sw2-GigabitEthernet0/0/1]qinq protocol 9100

灵活封装：是对封装一种更灵活的实现，是基于端口封装与基于VLAN封装的结合方式。除了实现所有基本封装功能外，灵活封装对于同一个端口接受的数据还可以根据不同的内层VLAN标签执行外层标签封装。主要分为三类：

1、 基于VLAN ID 的灵活封装

2、 基于802.1P优先级的灵活封装

3、 基于流策略的灵活封装

QinQ映射：对数据帧中的VLAN标签进行替换，最根本的不同就是QinQ映射是在路由子接口上应用的，而VLAN映射是在物理端口上应用的。

VLAN聚合

定义：VLAN聚合，只在super-VLAN 接口上配置IP 地址，而不必为每个sub-VLAN 分配IP 地址。所有sub-VLAN 共用IP 网段，解决了IP 地址资源浪费的问题。

注意：super-VLAN 必须是三层VLANIF接口，但不能有交换机端口成员，各个Sub-VLAN成员同处Super-VLAN的VLANIF接口IP地址所在的一个IP子网中，必须有交换机端口成员，但都不能配置三层的VLANIF接口。在Super-VLAN的VLANIF接口上默认了Sub-VLAN间的ARP代理功能。

配置案例：

[Huawei]int gig 0/0/2

[Huawei-GigabitEthernet0/0/2]port link-type access

[Huawei-GigabitEthernet0/0/2]int g0/0/3

[Huawei-GigabitEthernet0/0/3]port link-type access

[Huawei-GigabitEthernet0/0/3]int g0/0/4

[Huawei-GigabitEthernet0/0/4]port link-type access

[Huawei-GigabitEthernet0/0/4]int g0/0/5

[Huawei-GigabitEthernet0/0/5]port link-type access

[Huawei-GigabitEthernet0/0/5]vlan2

[Huawei-vlan2]port GigabitEthernet 0/0/2 0/0/3

[Huawei-vlan2]vlan 3

[Huawei-vlan3]port GigabitEthernet 0/0/5 0/0/4

[Huawei-vlan3]vlan 4

[Huawei-vlan4]aggregate-vlan

[Huawei-vlan4]access-vlan 2 to 3 关联vlan 2-3

[Huawei-vlan4]int vlan 4

[Huawei-Vlanif4]ip add 100.100.100.100 255.2555.255.0

[Huawei-Vlanif4]arp-proxy inner-sub-vlan-proxy en 开启ARP代理

VLAN Mapping

定义：VLAN Mapping 也叫做VLAN translation，可以实现在用户VLAN ID（私有VLAN）和运营商VLAN ID(业务VLAN,也可以说是公有VLAN)之间相互转换的一个功能。

配置案例：

端口安全

CISCO

Switchport port-securit 开启端口安全

Switchport port-security mac-address xx-xx-xx 静态绑定MAC

Switchport port-security maximum x 限制此端口允许通过的MAC个数

华为

port-security enable 开启端口安全

port-security mac-address sticky

port-security mac-address sticky xx-xx-xx vlan x静态绑定MAC

port-security max-mac-num x 最大学习数

Trunk

Trunk 技术使得在一条物理线路上可以传送多个 VLAN 的信息。

有两种常见的帧标记技术：ISL （Inter-Switch Link 交换机间链路）和 802.1Q。ISL 技术在原有的帧上重新加了一个帧头，并重新生成了帧较验序列（FCS），ISL 是思科特有的技术，因此不能在 Cisco 交换机和非Cisco 交换机之间使用。而 802.1Q 技术在原有帧的源 MAC 地址字段后插入标记字段，同时用新的 FCS 字段替代了原有的 FCS 字段，该技术是国际标准，得到所有厂家的支持。

Cisco

switch mode { trunk | dynamic desirable | dynamic auto }trunk:这个设置将端口置为永久 trunk 模式，封装类型由"switchport trunkencapsulation" 命令决定dynamic desirable：端口主动变为 trunk，如果另一端为 negotiate、dynamicdesirable 、dynamic auto 将成功协商dynamic auto： 被动协商，如果另一端为 negotiate、dynamic desirable 将成功协商

如果想把接口配置为negotiate，使用：S1(config-if)#switchport trunk encapsulation ｛ isl | dot1q ｝S1(config-if)#switchport mode trunkS1(config-if)#no switchport negotiate如果想把接口配置为nonegotiate，使用：S1(config-if)#switchport trunk encapsulation ｛ isl | dot1q ｝S1(config-if)#switchport mode trunkS1(config-if)#switchport nonegotiate如果想把接口配置为desirable，使用：S1(config-if)#switchport mode dynamic desirableS1(config-if)#switchport trunk encapsulation ｛ negotiate | isl | dot1q ｝如果想把接口配置为auto，使用：S1(config-if)#switchport mode dynamic autoS1(config-if)#switchport trunk encapsulation ｛ negotiate | isl | dot1q ｝

华为

端口模式：port link-type trunk

EtherChannel

EtherChannel（以太通道）是由Cisco公司开发的，应用于交换机之间的多链路捆绑技术。它的基本原理是：将两个设备间多条快速以太或千兆以太物理链路捆绑在一起组成一条逻辑链路，从而达到带宽倍增的目的。除了增加带宽外，EtherChannel还可以在多条链路上均衡分配流量，起到负载分担的作用；在一条或多条链路故障时，只要还有链路正常，流量将转移到其他的链路上，整个过程在几毫秒内完成，从而起到冗余的作用，增强了网络的稳定性和安全性。 EtherChannel中， 负载在各个链路上的分布可以根据源IP地址、 目的IP地址、源MAC地址、目的MAC地址、源IP地址和目的IP地址组合、源MAC地址和目的MAC地址组合等来进行分布。两台交换机之间是否形成EtherChannel也可以用协议自动协商。目前有两个协商协议：PAGP和LACP，前者是CISCO专有的协议，而LACP是公共的标准。

Cisco

interface port-channel 1//以上是创建以太通道，要指定一个唯一的通道组号，组号的范围是1～6的正整数。

interface f0/13channel-group 1 mode oninterface f0/14channel-group 1 mode on//以上将物理接口指定到已创建的通道中。int port-channel 1switchport mode trunkspeed 100duplex full//以上配置通道中的物理接口的属性interface port-channel 1interface f0/13channel-group 1 mode oninterface f0/14channel-group 1 mode onint port-channel 1switchport mode trunkspeed 100duplex fullport-channel load-balance dst-macport-channel load-balance dst-mac//以上是配置EtherChannel的负载平衡方式，命令格式为"port-channel load-balance负载平衡的方式有：dst-ip、dst-mac、src-dst-ip、src-dst-mac等。（3） 查看etherchannel信息S1#show etherchannel summaryEtherChannel 已经形成，"SU"表示 EtherChannel 正常，如果显示为"SD"，把EtherChannel 接口关掉重新开启。（4） 配置 PAGP 或者 LAGP我们这里进行如下配置：interface range f0/13 -14channel-group 1 mode desirableinterface range f0/13 -14channel-group 1 mode desirableshow etherchannel summary可以看到 etherchannel 协商成功。注意应在链路的两端都进行检查，确认两端都形成以太通道才行。

华为

system-view

interface Eth-Trunk 1

mode manual l

mode manual load-balance

trunkport GigabitEthernet 0/0/1 to 0/0/3

port link-type trunk

load-balance src-dst-mac

display eth-trunk 1

VTP(CISCO)

VTP（VLAN Trunk Protocol）提供了一种用于在交换机上管理 VLAN 的方法，该协议使得我们可以一个或者几个中央点（Server）上创建、修改、删除 VLAN， VLAN 信息通过 Trunk链路自动扩散到其他交换机，任何参与 VTP 的交换机就可以接受这些修改，所有交换机保持相同的 VLAN 信息。VTP 被组织成管理域（VTP Domain）,相同域中的交换机能共享 VLAN 信息。根据交换机在 VTP 域中的作用不同，VTP 可以分为三种模式：（1） 服务器模式(Server)：在 VTP 服务器上能创建、修改、删除 VLAN，同时这些信息会通告给域中的其他交换机。默认情况下，交换机是服务器模式。每个 VTP 域必须至少有一台服务器，域中的 VTP 服务器可以有多台。（2） 客户机模式(Client)：VTP 客户机上不允许创建、修改、删除 VLAN，但它会监听来自其他交换机的 VTP 通告并更改自己的 VLAN 信息。接收到的 VTP 信息也会在 Trunk链路上向其他交换机转发，因此这种交换机还能充当 VTP 中继。（3） 透明模式(Transparent)：这种模式的交换机不参与 VTP。可以在这种模式的交换机上创建、修改、删除 VLAN，但是这些 VLAN 信息并不会通告给其他交换机，它也不接受其他交换机的 VTP 通告而更新自己的 VLAN 信息。然而需要注意的是，它会通过Trunk 链路转发接收到的 VTP 通告从而充当了 VTP 中继的角色，因此完全可以把该交换机看成是透明的

GVRP（华为）

GVRP(GVRP VLAN Registration Protocol ,VLAN注册协议)：通过它只需在其中一个交换机上创建所需的VLAN,然后通过自动注册功能在网络中其他交换机中自动创建所需的VLAN，大大减轻了网络管理员的工作量，也减少了错误出现的几率。

GVRP注册功能仅可在连接网络设备的TRUNK端口上使能，所以用户计算机所连接的端口仍不能通过GVRP功能自动加入到所需的VLAN中，仍需要采取手动配置。

消息类型

在应用实体之间的信息交互过程中主要还有三类消息起作用，分别为Join消息、Leave消息、LeaveALL消息。

1、 Join（加入）消息：当一个GVRP应用实体通过希望其他设备注册自己的属性信息时，对外发送Join消息，当收到其他实体发来的Jion消息，或本设备静态配置了某些属性，需要其他GVRP应用实体进行注册时，也会向外发送Jion消息。

2、 Leve（注销）消息：当一个GVRP应用实体希望其他设备注销自己的某个属性时，它将对外发送Leve消息：当收到其他实体的Leve消息注销某些属性，或静态注销了某些属性后，也会向外发送Leve消息

3、 LeveALL(全部注销)消息：每个应用实体启用后，将同时启用leaveALL定时器，当该定时器超时后应用实体将对外发送LeveALL消息。LeveALL消息用来注销所有属性，以使其他应用实体重新注册本实体上所有的属性信息，以此来周期性地清除网络中的垃圾属性（例如某个属性已经被删除，但由于设备突然断电，并没有发生Leave消息来通知其他实体注销此属性）

注册模式

1、 Normal 模式：允许该该端口动态注册、注销VLAN、传播动态VLAN和静态VLAN消息，这是最常用的一种动态注册模式，也是唯一一种具有动态注册VLAN功能的模式

2、 Fixed模式：禁止该端口动态注册、注销VLAN，只传播静态VLAN信息，不传播动态VLAN信息，也就是说被设置为Fixed模式的TRUNK端口，即使允许所有VLAN通过，实际通过的VLAN也只能时手动创建的那部分。

3、 Forbidden 模式：禁止该端口动态注册、注销VLAN、不传播除VLAN1以为的任何的VLAN信息。也就是说被配置的Forbidden模式 的TRUNK端口，即使允许所有的VLAN通过，实际通过的VLAN也只能时VLAN1

华为交换机缺省GVRP参数配置

配置案例：

sys

[Huawei-GigabitEthernet0/0/1]port link-type trunk

[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all

[Huawei-GigabitEthernet0/0/1]gvrp

[Huawei-GigabitEthernet0/0/1]gvrp registration normal

STP

STP定义了一个在扩展网络中可以延伸到所有交换机的树形结构。STP只允许存在一条活动的（active）路径,并同时阻塞其他冗余路径。

交换环路会带来三个问题：广播风暴、同一帧的多个拷贝、交换机 CAM 表不稳定。

STP 基本思路是阻断一些交换机接口，构建一棵没有环路的转发树。STP 利用 BPDU(Bridge Protocol Data Unit)和其他交换机进行通信，从而确定哪个交换机该阻断哪个接口。

为了在网络中形成一个没有环路的拓扑，网络中的交换机要进行以下三个步骤：（1）举根桥、（2）选取根口、（3）选取指定口。这些步骤中，哪个交换机能获胜将取决于以下因素（按顺序进行）：

（1） 最低的根桥 ID（网桥优先级 MAC 地址：交换机的默认优先级为 32768）；（2） 最低的根路径代价；（3） 最低发送者桥 ID；（4） 最低发送者端口 ID。

交换机的端口要经过几种状态：

禁用（Disable）

阻塞（Blocking）

监听状态(Listening)

学习状态（Learning）

最后是转发状态(Forwarding)。

RSTP

RSTP 中接口分为边界接口（Edge Port）、点到点接口（Point-to-Point Port）、共享接口（Share Port）。如果接口上配置了 spanning portfast，接口就为边界接口；如果接口是半双工，接口就为共享接口；如果接口是全双工，接口就为点到点接口。在接口上指明类型有利于 RSTP 的运行。

丢弃（Discarding）

学习状态（Learning）

转发状态(Forwarding)

Postfast：当计算机接入时， 接口立即进入Listening 状态，随后经过 Learning，最后才成为 Forwarding，这期间需要 30 秒的时间。这对于有些场合是不可忍受的可以配置 portfast 特性，使得计算机一接入，接口立即进入 Forwarding。S1(config-if)#spanning-tree portfast

Uplinkfast：没有配置 uplinkfast 时，交换机如果能直接检测到接口上的链路故障，阻塞端口会立即进入 Listen 状态，这样 30 秒就能进入 Forward 状态。然而如果 sw1 和 sw2之间存在一个 Hub，sw 1上的接口故障了，sw1将无法直接检测到故障，sw1 只能等待 10个周期没有收到 sw2 的 BPDU（每个周期 2 秒），20 秒中后，sw1 的接口才进入 Listen 状态，这样总共 50 秒才就能进入 Forward 状态。所以 STP 重新收敛的时间通常需要 30—50 秒。

S1(config)#spanning-tree backbonefastSTP 保护：sw 将从 f0/15 收到 S3 发送的更优的 BPDU，然而由于该接口上配置Root guard，sw 的接口进入阻断状态。

sw(config-if)#spanning-tree guard root

Cisco

Pvst

Spanning-tree mode rapid-pvst

Spanning-tree vlan x root primary 或 spanning-tree vlan x pri 0

Spanning-tree vlan x root sercondary 或 spanning-tree vlan x pri 4096

Mstp

Spanning-tree mode mst

Spanning-tree mst configuration

Name xxx

Revision 1

Instance 1 vlan x,x,x,x

Instance 2 vlan x,x,x,x

Spanning-tree mst 1 root primary 或 spanning-tree mst 1 pri 0

Spanning-tree mst 2 root sercondary 或 spanning-tree mst 2 pri 4096

华为

两种度量：

1、 ID:STP中的ID包括：BID(Bridge ID 桥ID)和PID(Port ID 端口ID)

2、 路径开销

三个选举要素：

1、 跟桥

2、 跟端口

3、 指定端口

四个比较原则

1、 跟桥ID

2、 累计根路径开销

3、 发送者BID

4、 发送端口PID

STP/RSTP配置

Stp

System-view

Stp mode stp

Stp root (primary | secondary) 设置交换机为根桥或备份跟桥

stp enable 全局下开启STP

stp pathxost-standard legacy 使网络内的所有交换机设备的端口路径开销使用相同的计算方法（华为私有）

端口模式下：stp disable 连接计算机的端口去掉stp

Stp cost xxxx 修改接口COSR值

Rstp

System-view

Sysname switchA

Stp mode rstp

Stp root primary

Stp root secondary

端口模式下：stp edged-port enable 配置为边缘端口

Stp bpdu-filter enable 配置BPDU过滤

MSTP配置

System-view

Sysname switchA

Stp region-configuration

Region-name RG1

Instance 1 vlan 2 to 10

Instance 2 vlan 11 to 20

Active region-configuration

Stp instance 1 root primary 配置为的根桥

Stp instance 2 root seconadary 配置为备份根桥

在园区网中实施高可用性和冗余性

拥有高可用性的网络可以为用户访问所有设备的路径和关键服务器提供可供替换的方案，高可用性方案绝不仅仅指添加冗余设备。它意味着网络设计人员在了解故障点的基础上才对网络进行设计和规划，以便在这些故障点出现问题时能够使用可替换的解决方案。

理解高可用性

高可用性是确保整个网络能过快速复原的技术，旨在增强IP网络的可用性。用户对网络应用的访问必须跨越不同的网段，从企业骨干网到企业边缘，在到服务提供商边缘，最后穿越服务提供商核心网。所有网段必须具有足够快速的复原能力，使用户和网络服务感受不到曾经发生的任何问题。

SNMP

SNMP（简单网络管理协议）由一组网络管理的标准组成

一、Snmp版本：V1、V2定义在RFC1157中，其中定义了下列5种基本的SNMP消息，网络管理器可以利用这些消息来被管理设备中的代理请求数据

1、 GET REQUEST （获得请求）：用于向代理请求指定MIB变量的值

2、 GET NEXT REQUEST (获得下一个请求)：用于初始的GET REQUEST之后，用于请求表格或列表中的下一个对象

3、 SET REQUEST(设置请求)：用来设置代理上的一个MIB变量

4、 GET RESPONSE(获得响应)：代理用其来相应管理器发出的GET REQUEST 或GET NEXT REQUEST 消息

5、 TRAP（陷阱）：代理用其向管理器主动发出告警。当发生特定事件时，代理会发送TRAP消息，比如设备状态的变更、设备或组成部分发生故障、代理初始化或重启等。

二、基于团体的SNMPV2定义在RFC1901中，这是最常见的SNMP实施版本。SNMPV2C部署了SNMPV1中定义的管理框架，也就是用户需要通过读/写团体字符串来获得管理访问权限。

SNMPV2中引入了以下两个新的消息类型。

GET BULK REQUEST (获取批量请求)：在请求大量数据时（比如请求表格），该消息减少了重复的请求和相应消息，增强了性能

INFORM REQUEST(信息请求)：向SNMP管理器通告特定事件，与SNMP Trap消息不同的是，Trap消息是未经请求而主动发送的，而NMS则是通过向请求设备返回INFORM RESPONSE （信息相应）消息，来回复INFORM REQUEST消息的。

SNMPV2中添加了的数据类型：64位计数器，这是因为32位计数器很快会由于快速网络接口而过时。

三、SNMPV3定义在RFC3410-3415中，这个版本为了保护被管理设备间传输重要数据的安全性，而添加了一些保护机制。

SNMP中引入了下列三个安全级别。

NOAUTHNOPRIV：不需要认证，不提供隐私性（加密）

AUTHNOPRIV:基于HMAC-MD5或HMAC-SHA的认证。不提供加密。

AUTHPRIV：除了认证之外，还将CBC-DES加密算法用作隐私性协议

Cisco

Access-list 100 permit ip 10.1.1.0 0.0.0.255 any

Snmp-server community cisco RO 100

Snmp-server community xyz123 RW 100

Snmp-server trap 10.1.1.50

华为

IP服务水平协议

对于客户来说。网络已经变得越来越重要，任何因故障造成的中断或性能下降都会对其收益造成恶劣的影响。因此企业需要某种形式的IP服务可预见性。SLA是网络服务提供商与其客户之间的合约，或者是网络部门与内部企业客户之间达成的共识。SLA可以为客户提供某种形式的保障，用来确保用于体验的水平。

主要功能：

边缘到边缘的网络可用性监测

网络性能检测和网络性能的可见度

VOIP/视频和VPN检测

IP服务网络健康状态的准备或评估

MPLS网络检测。

网络运营的故障排除。

通过以下数据统计：、

网络延迟和相应时间

丢包状态统计

网络抖动和语音质量评分

端到端网络连通性

配置案例：

Cisco

Ip sla monitor 11 使其能够相应这个消息。

Type echo prot ipicmpecho xx.xx.xx.xx source-int fa0/1

Frequency 10 10秒一次

Exit

Ip sla monitor schedule 11 life forever start-time now

Track 1 ip sla 11 reachability

华为

RPR(路由处理器冗余性 Cisco)

版本：

RPR

RPR

配置：

redundancy

mode rpr-plus ：配置RPR

状态化故障倒换（SSO Cisco）

配置：

redundancy

mode sso ：配置sso

FHRP(首跳冗余性协议 First Hop Redundancy Protocols )

提供了默认网关的冗余性，其方法是让一台路由器充当活跃的网关路由器，而另一台或多台其他的路由器则处于备用模式。

HSRP（热备份路由协议 Cisco）

它可以提供网关的冗余性，且无需在子网内的终端设备上进行任何额外的配置。HSRP协议配置在一组路由器之间，这些路由器将会共同工作，对于局域网中的主机来说他们就是一个虚拟路由器。

管理员需要把虚拟路由器的IP地址配置为该网段中的主机的默认网关。

HSRP提供了一种机制，来判断哪台路由器应该充当活跃角色而转发流量。

HSRP状态

配置案例：

Interface vlan 10

Ip address 10.1.1.2 255.255.255.0

Standby 10 ip 10.1.1.1

Standby 10 priority 110 默认值是0，优先级越高，越优先

Standby 10 preempt 启动抢占机制

Standby 10 track xx decrement xx配置追踪变量

VRRP(虚拟路由器冗余性协议)

Cisco

与HSRP相比，主要加入了一些特性并于IEEE兼容，可以实现一主多备

配置案例：

Interface vlan 1

Ip address 10.0.2.1 255.255.255.0

Vrrp 1 ip 10.0.2.254

Vrrp 1 timers advertise msec 500 更改计时器，计时器参数指明设备作为主用路由器的公告间隔时间

Vrrp 1 priority 90 设置优先级

Vrrp 1 timers learn 作为备有路由器的学习状态

GLBP(CISCO)

最多支持1024个组（HSRP最多支持16个）

一个AVG、若干AVF，AVG负责负载分担AVF和AVG之间的流量

虚拟IP地址与AVG和AVF的真实IP地址不同

每组中的每个AVF/AVG有一个虚拟MAC

使用224.0.0.102发送HELLO数据包

只可以追踪对象访问控制列表

访问控制列表

ACL

标准

检查源地址

通常允许、拒绝的是完整的协议

扩展

检查源地址和目的地址

通常允许、拒绝的是某个特定的协议

进方向和出方向

注意：

访问列表的编号指明了使用何种协议的访问列表

每个端口、每个方向、每条协议只能对应于一条访问列表

访问列表的内容决定了数据的控制顺序

具有严格限制条件的语句应放在访问列表所有语句的最上面

在访问列表的最后有一条隐含声明：deny any－每一条正确的访问列表都至少应该有一条允许语句

先创建访问列表，然后应用到端口上

访问列表不能过滤由路由器自己产生的数据

Cisco

标准访问列表 (1 to 99) 检查 IP 数据包的源地址

access-list access-list-number {permit|deny} source [mask]

ip access-group access-list-number { in | out }

扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口

access-list access-list-number { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ] [ established ] [log]

配置案例：

access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21

access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20

其它访问列表编号范围表示不同协议的访问列表

华为

按功能划分的ACL

注意：华为设备在最后都会有一条默认的permit any any Cisco设备默认为deny any any 这一点要特别注意

配置案例：

基本ACL：

[Huawei]acl number 2100

[Huawei-acl-basic-2100]acl name test1 2001 命名

[Huawei-acl-basic-test1]rule 5 deny source 192.168.1.1 0 设置生效顺序及规则

[Huawei-acl-basic-test1]int g0/0/1

[
       Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2001 应用到端口

高级ACL：

基于时间：

[Huawei]time-range satime 10:05 to 10:07 working-day 规定时间段

[Huawei]acl 3002

[Huawei-acl-adv-3002]rule 5 deny ip source 192.168.1.10 0.0.0.255 destination 192.168.1.253 0.0.0.0 time-range satime 基于源、目的IP地址，调用时间段

[Huawei-acl-adv-3002]int g0/0/5

[Huawei-GigabitEthernet0/0/5]traffic-filter inbound acl 3002

基于端口：

[Huawei]acl 3333

[Huawei-acl-adv-3333]rule deny udp destination-port eq 2222 source 192.168.1.11 0.0.0.255 destination 192.168.1.253 0.0.0.0

[Huawei-acl-adv-3333]int g0/0/6

[Huawei-GigabitEthernet0/0/6]traffic-filter inbound acl 3333

ROUTER-MAP

VLAN-MAP

DHCP

动态主机配置协议（DHCP）允许设备动态获得地址信息。

DHCP在RFC2131中定义，实际是基于BOOTP的。安建立在客户/服务器模型上并定义了两个组件：

服务器：传送主机配置信息。

客户：请求并获得主机配置信息。

DHCP提供下面的优点：

它减少了设备上的配置量

它减少了配置错误的可能性

它通过集中IP寻址信息从而提供了更多的控制

当请求地址信息时，DHCP客户经历4个过程：

1.客户端产生dhcpdiscover广播以发现在局域网段上有哪些DHCP服务器。

2.网络中的所有DHCP服务器用dhcpoffer单播信息回应客户端，向客户端提供IP地址信息。如果客户端从多如服务器接受到住处，它选择一个（通常情况下是第一个）

3.在选择一个提供后，客户端向相应的服务器回应一条dhcprequest信息，告诉服务器它需要使用服务器提供的地址信息。如果只有一个服务器并且服务器的信息和客户配置冲突，客户将回应一条dhcpdecline信息。

4.DHCP服务器回应dhcpack作为客户端的确认，表明它接收到dhcprequest信息，客户接收地址信息。

注意：服务器也能回应dhcpnack，告诉客户端提供不再有效，客户需要重新请求地址信息。这在服务器产生dhcpoffer信息后，如果客户端的dhcprequest回应不及时就会发生。

Cisco

DHCP包含两种类型的设备：服务器与客户端，IOS路由器支持这两种功能。

服务器负责为客户端分配地址信息。

客户端从服务器请求地址信息。

配置案例：

r1(config)#ip dhcp excluded-address 192.168.10.1 禁止192.168.10.1自动分配

r1(config)#ip dhcp excluded-address 192.168.10.2禁止192.168.10.2自动分配

r1(config)#ip dhcp pool DHCP

r1(dhcp-config)#network 192.168.10.0 255.255.255.0

r1(dhcp-config)#domain-name hongtuit.com

r1(dhcp-config)#dns-server 202.103.24.68 202.103.24.69

r1(dhcp-config)#default-router 192.168.10.254 网关

r1(dhcp-config)#lease 5 租期

华为

组播

组播特点：

解决了网络中用户数量不确定的问题，一份信息,多个接收者。

相同的组播数据流在每一条链路上最多仅有一份

组播优势：

减轻服务器和CPU负荷

减少了链路带宽资源的占用

减轻了网络设备的负载

组播劣势：

尽力投递:报文丢失是不可避免的。因此组播应用程序不能依赖组播网络进行可靠性保证，必须针对组播网络的这个特点进行特别设计。"可靠组播"目前仍然处于研究阶段。

没有拥塞避免机制: 缺少TCP窗口机制和慢启动机制，组播可能会出现拥塞。如果可能的话，组播应用程序应该尝试检测并避免拥塞。

报文重复: 某些组播协议的特殊机制（如Assert机制和SPT切换机制）可能会造成偶尔的数据包的重复。组播应用程序应该容忍这种现象。

报文失序 : 同样组播协议有的时候会造成报文到达的次序错乱，组播应用程序必须自己采用某种手段进行纠正（比如缓冲池机制等）。

组播实施的条件：

硬件设施：

1.组播服务器

2.支持组播分发的网络

3.能接收组播流的客户端

软件技术：

1.必须存在组播地址

2.必须有多播路由协议的支持

3.客户端必须能自由加入或离开多播组

预留常用的组播地址：

Cisco

ip multicast-routing

int e0/1

ip pim sparse-mode

int loo0

ip pim sparse-mode

ip pim bsr-candidate Loopback0ip pim rp-candidate Loopback0

华为

System-view

Sysname XXX

Dhcp enable(启动DHCP服务)

Ip pool 1(配置地址池)

Network 10.1.1.0 mask 255.255.255.0(地址池范围)

Dns-list 10.1.1.2 (DNS地址)

Gateway-list 10.1.1.1 (网关)

Excluded-ip-address 10.1.1.4(剔除地址)

Lease day 10 (租期)

Interface vlanif 10

Ip add 10.1.1.129 255.255.255.0

Dhcp select global

NTP（地址转换）静态 NAT ：这种 NAT 能够在本地地址和全局地址之间进行一对一的映射。 NAT 时，必须为网络中的每台主机提供一个公有因特网 E 地址 。

动态 NAT： 它能够将未注册的 IP 地址映射到注册 IP 地址池中的一个地址。不像使用静态NAT 那样，你无需静态地配置路由器，使其将每个内部地址映射到一个外部地址，但必须有足够的公有因特网 IP 地址，让连接到因特网的主机都能够同时发送和接收分组。NAT 重载这是最常用的 NAT 类型。

NAT 重载也是动态 NAT ，它利用源端口将多个非注册IP 地址映射到一个注册 IP 地址(多对一)。 那么，宫的独特之处何在呢?它也被称为端口地址特换 (PAT)。通过使用 PAT (NAT 重载)，只需使用一个全局 1 地址，就可将数千名用户连接到因特网，这是不是很酷?因特网 IP 地址之所以还未耗尽，真正的原因就在于使用了 NAT重载。

Cisco

静态NAT:

ip nat inside source static 10.1.1.1 170.46.2.2interface EthernetXip address 10.1.1.10 255.255.255.0ip nat insideinterface SerialXip address 170.46.2.1 255.255.255.0i p nat outside

动态NAT：

ip nat pool todd 170.168.2.3 170.168.2.254netmask 255.255.255.0ip nat inside source 1ist 1 pool toddinterface Ethernet0

ip address 10.1.1.10 255.255.255.0ip nat insideinterface Serial0ip address 170.168.2.1 255.255.255.0ip nat outsideaccess-list 1 permit 10.1.1.0 0.0.0.255命令 ip nat inside source list 1 pool todd 让路由器这样做:将与 access-list 1 匹配的 IP 地址转换为 IPNAT 地址池 todd 中的一个可用地址。在这里，不同于出于安全考虑而过滤数据流，访问控制列表并非用来禁止或允许数据流通过，而用于指定感兴趣的数据流。如果数据流与访问控制列表匹配(即为感兴趣的数据流)，则将其交给 NAT 进程进行转换。这是访问控制列表的一种常见用途，访问控制列表并非总是用于在接口处阻断数据流。

NAT重载：

这个示例将演示如何配置内部全局地址重载，这是当今使用的典型 NATo 除非需要进行静态映射(如映射到服务器 )，否则很少使用静态 NAT 和动态 NAT。下面是一个 PAT 配置示例:ip nat pool globalnet 170.168.2.1 170.168.2.1 netmask 255.255.255.0ip nat inside source list 1 pool globalnet overloadinterface EthernetOjOip address 10.1.1.10 255.255.255.0ip nat insideinterface SerialOjOip address 170.168.2.1 255.255.255.0ip nat outsideaccess-list 1 permit 10.1.1.0 0.0.0.255相比于前面的动态 NAT 配置，该配置唯一不同的地方是，地址池只包含一个 IP 地址，且命令 ipnat inside source 末尾包含关键字 overload 。在这个示例中，注意到地址池只包含一个 IP 地址，它是外部接口的 E 地址。这适合只从 ISP 获取一个 IP 地址的家庭或小型办公室配置 NAT 重载。然而，如果有其他地址，如 170.168.2.2 ，也可使用它，这适合大型网络，在这种环境中，可能有很多内部用户需要同时访问困特网，必须重载多个公有 IP 地址。

验证：

Router#show ip nat translations查看 IPNAT 转换条目时，可能看到很多包含同一个目标地址的转换条目，这通常是由于有很多到同一台服务器的连接。另外，还可使用命令 debug ip nat 来验证 NAT 配置。在该命令的每个调试输出行中，都包含发送地址、转换条目和目标地址:Router#debug ip nat

华为