H3CNE學(xué)習(xí)筆記-增強版

1/38H3CNE學(xué)習(xí)筆記-增強版目錄一、概述 11.華三交換路由及操作系統(tǒng)介紹 12.基本命令行的介紹 12.1命令視圖： 12.2配置如下 22.3命令行級別 22.4命令幫助特性和思科相似 22.5.命令行歷史記錄功能 22.6.分頁顯示 2二、命令配置 31常用命令 31.1常用設(shè)備管理命令 31.2常用信息查看命令 31.3配置遠程登入 32網(wǎng)絡(luò)設(shè)備文件管理 42.1．網(wǎng)絡(luò)設(shè)備文件系統(tǒng)的介紹： 42.2．網(wǎng)絡(luò)設(shè)備的存儲 42.3．文件系統(tǒng)的操作 42.4．配置文件的介紹 52.5．使用ftp下載或者上傳文件和使用TFTP上傳或者下載文件。 52.6．指定啟動文件 52.7．重啟設(shè)備 52.8．網(wǎng)絡(luò)設(shè)備軟件維護基礎(chǔ) 53網(wǎng)絡(luò)設(shè)備基本調(diào)試連通性 53.1．網(wǎng)絡(luò)連通性 53.2．系統(tǒng)調(diào)試 64配置局域網(wǎng)交換vlan 64.1．以太網(wǎng) 64.2．vlan虛擬局域網(wǎng) 6三、配置 71.vlan的基本配置 72.配置Trunk端口 73.配置Hybrid端口 74.vlan的查看命令 7四、STP和RSTP、MSTP協(xié)議 81.STP生成樹協(xié)議 81.1.概述 81.2.STP選舉過程 82.RSTP 93.MSTP 94.STP\RSTP\MSTP比較 9五、交換機端口安全技術(shù) 91.802.1X的基本原理和配置 91.1.端口接入控制方法 101.2.配置： 102.端口隔離技術(shù)以及配置 103.端口綁定技術(shù)及其配置 104.交換機配置鏈路聚合 114.1.配置鏈路聚合 114.2.鏈路聚合分類 114.3.LACP 114.4.靜態(tài)聚合配置 114.5.子網(wǎng)劃分 115.H3CDNS服務(wù) 125.1.H3C設(shè)備DNS功能實現(xiàn)方法 125.2.配置DNS服務(wù)器 125.3.配置DNS代理 125.4.域名解析的顯示和維護 126.H3CFTP服務(wù) 126.1.ftp 126.2.TFTP 136.3.配置 137.H3CDHCP服務(wù) 137.1DHCP 137.2配置 14六、IPV6 151.概述 152.IPV6地址分類 153.ipV6鄰居發(fā)現(xiàn)協(xié)議 154.配置 16七、h3c路由 161.路由概述 162.h3c的靜態(tài)和直鏈路由 172.1.直鏈路由 172.2.配置靜態(tài)路由 172.3vlan間路由 172.4.配置默認路由 183.路由協(xié)議 183.1.路由協(xié)議概述 183.2.動態(tài)路由協(xié)議在協(xié)議棧中的位置 183.3.動態(tài)路由協(xié)議的基本原理 183.4.IGP和EGP 193.5.距離矢量協(xié)議和鏈路狀態(tài)協(xié)議 193.6.衡量路由協(xié)議的主要指標(biāo) 193.7.H3C路由協(xié)議之rip 193.8.h3c路由協(xié)議之OSPF 20八、路由過濾器 221.H3C之ACL 221.1.ACL概述 221.2ACL的原理 221.3.ACL的分類 231.4.ACL配置 232.H3C之NAT 242.1概述 242.2.BasicNAT 242.3.NAPT 242.4.Easyip 242.5.NATServer: 252.6.ALG 252.7.NAT的信息顯示和調(diào)試 25九、廣域網(wǎng)協(xié)議 251.H3C之HDLC 251.1.概述 251.2.HDLC協(xié)議特點 261.3.HDLC協(xié)議使用的限制： 261.4.HDLC狀態(tài)檢測 261.5.配置HDLC 262.H3C之PPP協(xié)議 262.1.概述 262.2ppp的特點 262.3.PPP協(xié)議組成及作用 272.4.ppp會話 272.5.pap驗證 272.6.CHAP驗證 272.7.PAP和CHAP對比 272.8.ppp的pap驗證 272.9.ppp的查看和顯示 283.H3C之PPPMP鏈路捆綁 283.1概述 283.2.PPPMP實現(xiàn)方式： 283.3.配置 294.H3C之幀中繼 294.1概述 294.2幀中繼協(xié)議的特點： 294.3幀中繼虛電路 304.4.幀中繼數(shù)據(jù)鏈路標(biāo)識 304.5幀中繼地址映射 304.6幀中繼廠商網(wǎng)絡(luò)： 304.6FR的服務(wù)質(zhì)量 314.7幀中繼與RIP協(xié)議 315.ISDN和DCC 315.1ISDN概述 315.2ISDN和OSI參考模型 325.3DCC 32

1/382/38一、概述1.華三交換路由及操作系統(tǒng)介紹路由器主要工作在：物理層，數(shù)據(jù)鏈路層，網(wǎng)絡(luò)層，當(dāng)然也有其他層的協(xié)議。路由與交換機的發(fā)展趨勢：路由和交換的融合、多業(yè)務(wù)功能的融合。路由與交換分類：1按照功能和性能可分為：高端，中斷，低端路由或交換。2按照設(shè)備所在的網(wǎng)絡(luò)位置分為：核心，匯聚，接入。H3C路由產(chǎn)品線：高端核心路由器：SR8802SR8805SR8808SR8812開發(fā)多核路由器：SR6602SR6606多業(yè)務(wù)開放路由器：H3CMSR20.1XH3CMSR20H3CMSR30H3CMSR60ER系列路由器：H3CER3100H3CER3260H3CER5100H3CER5200H3交換機產(chǎn)品線核心交換機：H3CS7500H3CS7500EH3CS9500全千兆智能交換機：H3CS5100-S1/E1H3CS5500-S1/E1H3CS5510H3CS5600智能二層/三層交換機：H3CS3100-S1/E1H3CS3600-S1/E1H3CS3610H3CE系列SMB交換機：H3CS1000/1200H3CS1500L/EH3CS2100H3CS5000P/EComware系統(tǒng)H3C網(wǎng)絡(luò)設(shè)備使用的操作系統(tǒng)軟件是H3CComware。H3C網(wǎng)絡(luò)設(shè)備操作系統(tǒng)Comware的特點.支持IPV4和IPV6多協(xié)議.支持多CPU.路由和交換功能融合.高可靠性和彈性擴展.靈活的裁減和定制功能H3C網(wǎng)絡(luò)設(shè)備操作系統(tǒng)Comware的作用：.Comware是設(shè)備運行的網(wǎng)絡(luò)操作系統(tǒng)，H3C產(chǎn)品的核心軟件平臺.對硬件驅(qū)動和低層操作操作系統(tǒng)進行屏蔽與封裝.集成了豐富的鏈路層協(xié)議、以太網(wǎng)交換、ip路由及轉(zhuǎn)發(fā)、安全等功能模塊.制定了軟硬件接口標(biāo)準規(guī)范，對第三方廠商提供開放平臺與接口2.基本命令行的介紹2.1命令視圖：用戶視圖=====相對于思科的enable用戶模式：是進入系統(tǒng)后的默認模式:可查看啟動后的基本運行，配置，統(tǒng)計信息。系統(tǒng)視圖=====相對于思科的全局配置模式config：在這里可配置全局通用參數(shù)。路由視圖=====相對于思科的路由協(xié)議配置模式，如OSPF等，：在這可以配置路由協(xié)議參數(shù)。接口視圖=====相對于思科的接口模式，interface:在這里可以配置接口的參數(shù)，如IP地址啊，模式等。用戶視圖=====相對用思科的配置一些登入設(shè)備的接口參數(shù)，如console等。2.2配置如下<H3C> //用戶視圖<H3C>systen-view //進入系統(tǒng)視圖[H3C] //系統(tǒng)視圖，與用戶視圖不同的是，前面框起來的符號不同，由<>變成了[][H3C]interfaceGigabitEthernet0/0 //進入千兆以太網(wǎng)0/0接口視圖下[H3C-GigabitEthernet0/0]descriptionto_mypc //對此接口進行描述用途[H3C-GigabitEthernet0/0]ipadd //配置接口的IP地址[H3C-GigabitEthernet0/0]quit //退回到系統(tǒng)視圖[H3C]user-interfacevty04 //同時進入VTY用戶視圖，可以配置五個用戶的配置信息就是0到42.3命令行級別訪問級（0級）：包括網(wǎng)絡(luò)診斷工具命令（如ping,tracert）、從本設(shè)備出發(fā)訪問外部設(shè)備的命令（如telnet）等。該級別命令不允許進行配置文件保存的操作監(jiān)控級（1級）：用戶系統(tǒng)維護、業(yè)務(wù)故障診斷等，包括display,debugging命令，該級別命令不允許對系統(tǒng)配置文件保存的操作系統(tǒng)級（2級）：業(yè)務(wù)配置命令。包括各個層次網(wǎng)絡(luò)協(xié)議的配置命令等管理級（3級）：關(guān)系到系統(tǒng)基本運行、系統(tǒng)支撐模塊的命令。包括文件系統(tǒng)、FTP\TFTP配置文件切換命令、電源控制命令、備板控制命令、用戶管理命令級別設(shè)置命令、系統(tǒng)內(nèi)部參數(shù)設(shè)置命令等。2.4命令幫助特性和思科相似<h3c>? //則是顯示該視圖下的所有命令和簡單描述和思科的相似[h3c]interfacevlan? //則可以在下面列出在這命令下，后面可以輸入的一些命令或者參數(shù)<h3c>displayversion //可以在這里按<Tab>鍵補充出來和思科的一樣2.5.命令行歷史記錄功能<h3c>displayhistory-command //查看歷史命令記錄在默認情況下為用戶保留10條記錄<h3c>history-commandmax-size //設(shè)置用戶界面歷史命令緩沖區(qū)的容量翻閱和調(diào)用歷史記錄中的某條命令用法和思科的一樣，每條命令最大長度為256個字符。2.6.分頁顯示按<space>鍵：繼續(xù)顯示下一屏信息。按<Enter>鍵；繼續(xù)顯示下一行信息。按<ctrl+c>鍵：停止顯示和命令執(zhí)行。二、命令配置1常用命令1.1常用設(shè)備管理命令[h3c]sysnamexxx //配置設(shè)備名稱<h3c>clockdatetime //配置系統(tǒng)時間<h3c>displayclock //顯示系統(tǒng)時間[h3c]header //配置歡迎提示信息1.2常用信息查看命令<h3c>displayversion //查看版本信息<h3c>displaycurrent-configuration //查看當(dāng)前配置<h3c>displayinterface //顯示接口信息<h3c>displayipinterfacebrief //顯示接口IP狀況與配置信息<h3c>displaydiagnostic-information //顯示系統(tǒng)運行統(tǒng)計信息1.3配置遠程登入配置與網(wǎng)絡(luò)相連端口的ip地址（或者交換機管理VLAN地址）使能telnet服務(wù)器端功能[h3c]telnetserverenable進入VTY用戶界面視圖，設(shè)置驗證方式[h3c]user-interfacevty0 //表示進入0用戶設(shè)置，也可以同時設(shè)置5個，則04進入VTP用戶界面視圖，設(shè)置驗證方式[h3c-ui-vty0]authentication-mode{none|password|scheme} //這里支持3種驗證方式：none表示不驗證password表示使用單純的密碼驗證scheme表示使用用戶名和密碼驗證，登入時需要輸入用戶名和密碼如果選擇了password驗證方式，則須配置一個驗證密碼，并可以在用戶界面視圖下配置通過本用戶界面登入后的用戶級別設(shè)置登入密碼和用戶級別[h3c-ui-vty0]setauthenticationpassword{cipher|simple}密碼 //這里cipher表示使用算術(shù)密碼；simple表示明文的簡單密碼。[h3c-ui-vty0]userprivilegelevel級別 //這里級別是0到3如果選擇了scheme驗證方式，則系統(tǒng)默認采用本地用戶數(shù)據(jù)庫中的用戶信息進行驗證，因此須配置本地用戶名\密碼、用戶級別等信息，用戶服務(wù)類型選擇為telnet,供遠程登入驗證使用創(chuàng)建用戶\配置密碼、設(shè)置服務(wù)類型，設(shè)置用戶級別[h3c]local-user用戶名[h3c-luser-xxx]password{cipher|simple}密碼...這里cipher表示使用算術(shù)密碼simple表示明文的簡單密碼[h3c-luser-xxx]service-typetelnet...服務(wù)類型為telnet[h3c-luser-xxx]level級別...這里級別是0到3客戶端登入的話就安裝遠程登入的方法，用DOC命令也可以，如登入過程中提示：Alluserinterfacesareused,pleasetrylater!,就說明系統(tǒng)允許登入的telnet用戶數(shù)已經(jīng)達到上限，請待其他用戶釋放以后再連接。2網(wǎng)絡(luò)設(shè)備文件管理2.1．網(wǎng)絡(luò)設(shè)備文件系統(tǒng)的介紹：網(wǎng)絡(luò)設(shè)備文件系統(tǒng)：設(shè)備以文件的方式對運行所需的數(shù)據(jù)進行存儲，網(wǎng)絡(luò)設(shè)備通過文件系統(tǒng)管理這些文件主要文件：應(yīng)用程序文件：Comware操作系統(tǒng)在特定設(shè)備上的特定版本的實體程序文件稱為應(yīng)用程序文件，也稱為映像，這種文件的擴展名為.bin配置文件：系統(tǒng)將用戶對設(shè)備的所有配置以命令的方式保存成文本文件，稱為配置文件，這種文件的擴展名為.cfg日志文件：系統(tǒng)在運行中產(chǎn)生的文本日志可以存儲在文本格式的日志文件中，稱為日志文件2.2．網(wǎng)絡(luò)設(shè)備的存儲ROM（BootROM程序）Flach（應(yīng)用程序文件\起始配置文件saved-configuration\日志文件）RAM（運行的操作系統(tǒng)、運行中的配置current-consiguration）ROM（read-onlymemory,只讀存儲器）：用于存儲BootROM程序。BootROM程序是一個微縮的引導(dǎo)程序，主要任務(wù)是查找應(yīng)用程序文件并引導(dǎo)到操作系統(tǒng)，在應(yīng)用程序文件或配置文件出現(xiàn)故障時提供一種恢復(fù)手段。Flach存儲器（快閃存儲器）：用于存儲應(yīng)用程序文件、保存的配置文件和運行中產(chǎn)生的日志文件等，默認情況下，網(wǎng)絡(luò)設(shè)備從Flach存儲器讀取應(yīng)用程序文件和配置文件進行引導(dǎo)。Flach存儲器的形式是多樣的，根據(jù)設(shè)備型號不同，可能是CF(compactFlach)卡、內(nèi)置Flach存儲器等。RAM（random-accessmemory,隨機訪問存儲器）只用于系統(tǒng)運行中的隨機存儲，系統(tǒng)關(guān)閉后或重啟，信息會丟失。2.3．文件系統(tǒng)的操作目錄的操作文件操作存儲設(shè)備操作（格式化、恢復(fù)、拔插等）、在把出設(shè)備時必須卸載設(shè)備，不能熱拔插?；謴?fù)存儲設(shè)備空間：fixdiskdevice-name(device-name是設(shè)備名稱)數(shù)據(jù)會丟失。格式化存儲設(shè)備：formatdevice-name(device-name是設(shè)備名稱)。掛載存儲設(shè)備：mountdevice-name(device-name是設(shè)備名稱，如Flach默認情況下已經(jīng)掛載)。卸載存儲設(shè)備：umountdevice-name(device-name是設(shè)備名稱)。設(shè)備文件操作系統(tǒng)的提示方式:防止粗心而發(fā)生的，不可恢復(fù)等操作。fileprompt{aler|quiet}(aler表示提示，quiet表示不提示，默認情況下是aler提示)。2.4．配置文件的介紹配置文件：配置文件是以文本格式保存的命令，默認配置并不出現(xiàn)在配置文件中。可以指定啟動時使用哪個配置文件。分為：起始配置與當(dāng)前配置起始配置文件（saved-configuration）：設(shè)備啟動時根據(jù)讀取的配置文件進行初始化工作當(dāng)前配置文件（current-configuration）：也就是起始配置文件與啟動后用戶對設(shè)備執(zhí)行的增量配置的疊加，存在臨時存儲器中，設(shè)備重啟后數(shù)據(jù)丟失網(wǎng)絡(luò)設(shè)備可以保存多個配置文件，大部分H3C網(wǎng)絡(luò)設(shè)備支持配置文件的Main/backup及主配置和備用，當(dāng)主的配置損壞或丟失時，可以使用備用配置文件配置文件的操作：<h3c>save //保存配置<h3c>resetsaved-configuration //擦除配置<h3c>startupsaved-configurationfilename(filename表示文件名) //設(shè)置下次啟動的配置文件<h3c>backupstartup-configurationtodest-addrfilename //備份下次啟動配置文件<h3c>restorestartup-configurationfromsrc-addrfilename //恢復(fù)下次啟動配置文件配置文件的顯示與維護：<h3c>displaysaved-configuration //查看保存的配置文件<h3c>displaystartup //查看系統(tǒng)啟動配置文件<h3c>displaycurrent-configuration //查看當(dāng)前生效的配置<h3c-ui-vty0>displaythis //查看當(dāng)前視圖下生效的配置2.5．使用ftp下載或者上傳文件和使用TFTP上傳或者下載文件。詳細內(nèi)容請參看《H3CNE上策第186頁》2.6．指定啟動文件<h3c>boot-loaderfilefile-url //指定下次啟動加載的應(yīng)用程序文件<h3c>displayboot-loade r //顯示下次啟動加載的應(yīng)用程序文件2.7．重啟設(shè)備<h3c>reboot //重啟系統(tǒng)<h3c>schedulerebootat時間 //開啟設(shè)備時重啟功能，并指定重啟的具體時間<h3c>schedulerebootdelay時間 //開啟設(shè)備定時重啟功能，并指定重啟的等待時延<h3c>displayschedulereboot //顯示設(shè)備的重啟時間2.8．網(wǎng)絡(luò)設(shè)備軟件維護基礎(chǔ)3網(wǎng)絡(luò)設(shè)備基本調(diào)試連通性3.1．網(wǎng)絡(luò)連通性使用ping實現(xiàn)測試。ping報文中有EchoRequest回波請求和EchoReoly回波響應(yīng)。ping中有豐富的參數(shù)（H3CNE上策第202頁）。asource-ip指定請求的源地址。使用tracert檢測網(wǎng)絡(luò)連通性：用戶可以查看到報文從源設(shè)備傳送到目的設(shè)備所經(jīng)過的路由器，當(dāng)出現(xiàn)故障時，可以分析出現(xiàn)故障的網(wǎng)絡(luò)節(jié)點。<h3c>tracert3.2．系統(tǒng)調(diào)試系統(tǒng)調(diào)試概述：對于設(shè)備所支持的各種協(xié)議和特性，系統(tǒng)基本上都提供了相應(yīng)的調(diào)試功能，幫助用戶錯誤進行診斷和定位<h3c>terminalmonitor //開啟控制臺系統(tǒng)信息的監(jiān)視功能默認是處于開啟狀態(tài)<h3c>terminaldebugging //打開調(diào)試信息的屏幕輸出開關(guān)控制是否在某個用戶屏幕上顯示調(diào)試信息<h3c>debuggingmodule-name //打開模塊調(diào)試開關(guān)，module-name是相關(guān)的協(xié)議模塊信息，如RIP,ATM等<h3c>displaydebugging //顯示調(diào)試開關(guān)4配置局域網(wǎng)交換vlan4.1．以太網(wǎng)共享式以太網(wǎng)：所有的終端主機都處于同一個沖突域中，局域網(wǎng)中的所有接入終端共享總線帶寬HUb就是典型的設(shè)備，設(shè)備間利用csma/cd機制來避免沖突。交換機以太網(wǎng)：每個接口就是一個沖突域。網(wǎng)橋和交換機是典型的設(shè)備，網(wǎng)橋和二層交換機遵循的協(xié)議是IEEE802.1D。交換機傳輸數(shù)據(jù)是依靠MAC地址，然而交換機開始沒MAC地址是以廣播方式發(fā)數(shù)據(jù)的，所以占用了好多帶寬，MAC地址的學(xué)習(xí)來避免這種情況。有MAC地址情況下發(fā)數(shù)據(jù)是以單播發(fā)。交換機在學(xué)習(xí)MAC地址的時候必須遵循一下原則:一個MAC地址只能被一個端口學(xué)習(xí)。一個端口可以學(xué)習(xí)多個MAC地址。4.2．vlan虛擬局域網(wǎng)優(yōu)點隔離了交換機上的廣播增強了局域網(wǎng)的安全性靈活構(gòu)建虛擬工作組不受地理位置的限制不同交換機相同VLAN可以通信。隔離廣播方法可以通過路由器來隔離廣播利用交換機的VLAN來隔離廣播注意：每個VLAN就是一個廣播域，不同VLAN是不能通信的，必須使用3層技術(shù)設(shè)備來通信。交換機用VLAN標(biāo)簽來區(qū)分不同VLAN的以太網(wǎng)幀，IEEE在802.1Q中定義了幀格式，在原始幀上加了4個字節(jié)的802.1Q標(biāo)簽Access鏈路類型端口：這種端口只允許一個默認vlan的以太網(wǎng)幀通過，在收到以太網(wǎng)幀后后打VLAN標(biāo)簽，轉(zhuǎn)發(fā)出時又剝離標(biāo)簽。對終端主機是透明的，一般用于不需要識別802.1Q協(xié)議的設(shè)備，如終端主機，路由器，交換機客戶端接口等。Trunk鏈路型端口，可以接收和發(fā)送多個VLAN的數(shù)據(jù)幀，且在接收和發(fā)送過程中不對幀中的標(biāo)簽做任何操作，一般用在交換機與交換機連接之間。Hybrid鏈路類型端口：允許多個VLAN的以太網(wǎng)幀不帶標(biāo)簽，比如：當(dāng)PA,PB都能和PC聯(lián)通，但是PA和PB不能通時就可以使用Hybrid。三、配置1.vlan的基本配置[switch]vlanvlan-id //創(chuàng)建VLAN并進入VLAN視圖[switch-vlan10]portinterface-list//將指定端口加入到當(dāng)前vlan中2.配置Trunk端口[switch-Ethernet1/0/1]portlink-typetrunk //配置端口的鏈路類型為Trunk類型[switch-Ethernet1/0/1]porttrunkpermitvlan{vlan-id-list|all} //允許指定的vlan通過當(dāng)前Trunk端口，在默認情況下，Trunk端口只允許默認VLAN和VLAN1的數(shù)據(jù)幀通過，這里可以指定那些VLAN或者ALLvlan[switch-Ethernet1/0/1]porttrunkpvidvlanvlan-id //設(shè)置Trunk端口的默認VLAN3.配置Hybrid端口[switch-Ethernet1/0/1]portlink-typehybrid //配置端口的鏈路類型為Hybrid類型[switch-Ethernet1/0/1]porthybridvlanvlan-id-list{tagged|untagged}...{tagged|untagged} //允許指定的VLAN通過當(dāng)前Hybrid端口，這里設(shè)置剝離標(biāo)致和不剝離標(biāo)記。[switch-Ethernet1/0/1]porthybridpvidvlanvlan-id //設(shè)置Hybrid端口的缺省vlan注意：默認情況只允許VLAN1通過，Trunk端口不能直接被設(shè)置為Hybrid端口，只能先設(shè)置為ACCESS端口，再設(shè)為Hybrid端口。4.vlan的查看命令<switch>displayvlan //查看所有VLAN<switch>displayvlan10 //查看某個vlan參數(shù)<switch>displayinterfaceethernet0/1 //查看接口參數(shù)或者屬于哪個vlan四、STP和RSTP、MSTP協(xié)議詳細內(nèi)容《H3CNE上策第244頁開始》1.STP生成樹協(xié)議1.1.概述stpspanningtreeprotocol是用于在局域網(wǎng)中消除數(shù)據(jù)鏈路層物理環(huán)路的協(xié)議，交換BPDU來保證設(shè)備完成樹的計算過程，根據(jù)IEEE802.1D制定。stp的作用：通過邏輯上阻斷冗余鏈路來消除橋接網(wǎng)絡(luò)中可能存在的路徑回環(huán)當(dāng)前路徑發(fā)生故障時激活冗余備份鏈路，恢復(fù)網(wǎng)絡(luò)的連通性BPDU在STP協(xié)議中分為兩類配置BPDU：用來進行生成樹計算和維護生成樹拓撲的報文TCNBPDU:當(dāng)拓撲結(jié)構(gòu)發(fā)生變化時，用來通知相關(guān)設(shè)備網(wǎng)絡(luò)拓撲結(jié)構(gòu)發(fā)生變化的報文配置BPDU的生成和傳遞有以下重要信息參數(shù)跟網(wǎng)橋ID（RootID）跟路徑開銷(RootPathCost)指定橋ID(DesignatedBridgeID)指定端口ID(DesignatedPortID)1.2.STP選舉過程選舉根網(wǎng)橋：比較網(wǎng)橋ID最小為根網(wǎng)橋。網(wǎng)橋ID=網(wǎng)橋優(yōu)先級（默認32768，范圍1-65535）+網(wǎng)橋MAC地址。指定端口角色：根端口（所有非根網(wǎng)橋必須選擇一個路徑開銷最小（一致時選擇端口ID最小的）的端口為根端口）；指定端口（根橋上所有端口為指定端口）每一個物理網(wǎng)段必須選擇出個根路徑開銷最小的橋為指定橋，連接指定橋的端口為指定端口。選擇最低的網(wǎng)橋ID、選擇最低的根路徑成本。非根端口、指定端口的其它端口為BLock狀態(tài)。STP端口狀態(tài)：Disable：不啟用STP（不收發(fā)BPDU、收發(fā)數(shù)據(jù)幀）Blocking：啟用STP（收不發(fā)BPDU，不收發(fā)數(shù)據(jù)幀）Listening：（收發(fā)BPDU，不收發(fā)數(shù)據(jù)幀）Learning：（收發(fā)BPDU，不收發(fā)數(shù)據(jù)幀，學(xué)習(xí)建立MAC地址表）Forwarding：（收發(fā)BPDU、收發(fā)數(shù)據(jù)幀）。BPDUHello時間2s。Max-age時間20s。Forwarding時間15s。50秒后可以轉(zhuǎn)發(fā)數(shù)據(jù)。STP的不足：1端口從阻塞狀態(tài)進入轉(zhuǎn)發(fā)狀態(tài)必須經(jīng)歷兩倍的ForwardingDelay時間2如果網(wǎng)絡(luò)中的拓撲結(jié)構(gòu)變化頻繁，網(wǎng)絡(luò)會頻繁地失去連通性2.RSTP快速生成樹協(xié)議--RapidSpanningTreeprotocol,是STP的優(yōu)化版，具備STP的所以功能，可以快速收斂。是IEEE802.1W定義3.MSTP多生成樹協(xié)議--MultipleSpanningTreeprotocol將多個VLAN指定轉(zhuǎn)發(fā)端口的優(yōu)先，來在多條Trunk鏈路上實現(xiàn)VLAN級負載均衡。是IEEE802.1S定義4.STP\RSTP\MSTP比較STPRSTPMSTP解決環(huán)路故障并實現(xiàn)冗余備份YYY快速收斂NYY形成多顆生成樹現(xiàn)實負載分擔(dān)NNY另外，RSTP和MSTP的端口狀態(tài)，從STP的5種變成了3種配置：1H3交換機在默認情況下是處于關(guān)閉狀態(tài)的，可以在系統(tǒng)視圖下開啟生成樹功能。[Switch]stpenable2如果不需要STP開啟，則可關(guān)閉[Switch]stpdisable3在開啟STP協(xié)議后，所以端口都默認參與生成樹計算?？梢愿鶕?jù)不同的連接來選擇，一般客戶端連接端口可以把STP運算關(guān)閉[Switch-Ethenet0/1]stpdisable4配置當(dāng)前配置的優(yōu)先級；來指定根橋[switch]stp[instanceinstance-id]prioritypriority優(yōu)先級數(shù)0125配置端口為邊緣端口，一般用在直接與用戶終端相連?？梢詷O快的STP收斂[Switch-Ethenet0/1]stpedged-portenable6查看STP協(xié)議的全局狀態(tài)<switch>displaystp五、交換機端口安全技術(shù)1.802.1X的基本原理和配置IEEE802.1X標(biāo)準是一種基于端口的網(wǎng)絡(luò)接入控制（portBasednetworkaccesscontrol）協(xié)議。起源于802.11無線網(wǎng)絡(luò)接入安全協(xié)議標(biāo)準上提出的，控制了有線接入用戶的權(quán)利802.1X為典型的客戶端/服務(wù)器B/S體系結(jié)構(gòu)，包括3個實體：客戶端（Supolicantsystem）設(shè)備端(Authenticatorsystem)以及認證服務(wù)器（Authenticatorserversystem）客戶端：安裝與802.1x客戶端軟件的用戶終端設(shè)備?？蛻舳税l(fā)起認證，必須支持EAPOL（基于局域網(wǎng)的可擴展認證協(xié)議）設(shè)備端：通常為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備，它為客戶端提供接入局域網(wǎng)接口，也可以是本地認證服務(wù)，因為認證功能已經(jīng)集成在這設(shè)備上，由于信息數(shù)據(jù)庫分散在設(shè)備上，不易于管理，適合客戶端數(shù)量不多的情況下認證服務(wù)器：能夠?qū)τ脩魧崿F(xiàn)進行認證，授權(quán)，計費功能，也稱為遠程集認證服務(wù)器；設(shè)備端把用戶端信息發(fā)送到此服務(wù)器上，此服務(wù)再對用戶數(shù)據(jù)庫進行查找，反饋給設(shè)備端，用戶信息是集中管理的，維護管理方便，適合較大型的網(wǎng)絡(luò)1.1.端口接入控制方法包括：基于端口的認證方式、基于MAC的認證方式基于端口的認證方式：只要該端口下的第一個用戶認證成功后，其他接入用戶無須認證就可使用網(wǎng)絡(luò)，當(dāng)?shù)谝粋€用戶下線后，其他用戶也會被拒絕再使用網(wǎng)絡(luò)基于MAC地址的認證方式：該端口下的所以有接入用戶都需要單獨認證，當(dāng)某個用戶掉線，不影響其他用戶默認情況下，802.1x在端口上進行接入控制方式為基于MAC地址的認證方式1.2.配置：開啟全局的802.1X特性[switch]dot1X開啟端口的802.1X特性[switch]dot1Xinterfaceinterface-list添加本地接入用戶并設(shè)置相關(guān)參數(shù)[switch]local-useruser-name[switch-lusal-localuser]service-typelan-access[switch-lusal-localuser]password｛cipher|simple｝password注意：必須同時開啟全局和端口，才能在端口上生效PC客戶端驗證只需要用到802.1X認證客戶端軟件，按照提示輸入帳號，密碼即可2.端口隔離技術(shù)以及配置為了實現(xiàn)報文之間的二層隔離，可以將端口放入不同的VLAN，但是這樣會讓費有限的VLAN資源，所以采用端口隔離特性可以實現(xiàn)同一個VLAN內(nèi)端口之間的隔離配置.SI交換機不支持，EI交換機支持此技術(shù)。將指定端口加入到隔離組中，端口成為隔離組的普通成員[switch-ethernet1/0/1]port-isolateenable將指定端口加入到隔離組中，端口成為隔離組的上行端口[switch-ethernet1/0/1]port-isolateuplink-port隔離組中的普通成員不能通信，而普通成員和上行端口之間可以通信。交換機中所以隔離端口都在同一個隔離組中。3.端口綁定技術(shù)及其配置通過"MAC+IP+端口"綁定功能，可以實現(xiàn)設(shè)備對轉(zhuǎn)發(fā)報文的過濾控制，提高了安全性。操作的結(jié)果如下如果報文中的源MAC，源IP與所接口所設(shè)定的MAC\IP相同，端口將轉(zhuǎn)發(fā)該報文。。不同時候，端口丟棄該報文。也可以設(shè)置單項的MAC地址或IP地址，也可雙向全需符合設(shè)置。配置靜態(tài)綁定表項;可一項綁定，也可雙向，看需求[switch-ethernet1/0/1]user-bindip地址MAC地址4.交換機配置鏈路聚合4.1.配置鏈路聚合鏈路聚合：是多個物理以太網(wǎng)鏈路聚合在一起形成一個邏輯上的聚合端口組。有以下優(yōu)點：增加鏈路帶寬：通過把數(shù)據(jù)流分散在聚合組中各個成員端口，實現(xiàn)了流量負載，有效的增加了交換機的鏈路帶寬。提供鏈路的可靠性:某些端口出現(xiàn)故障，聚合組及時把數(shù)據(jù)流從其他端口傳輸4.2.鏈路聚合分類靜態(tài)聚合：雙方設(shè)備不需要啟用聚合協(xié)議，如一方不支持聚合，或雙方的聚合不兼容，則可以使用靜態(tài)聚合方式。優(yōu)點是：沒有聚合協(xié)議報文占用帶寬，對雙方聚合協(xié)議沒有兼容性要求。適用與小型局域網(wǎng)動態(tài)聚合：在動態(tài)聚合方式下，雙方系統(tǒng)使用LACP協(xié)議來協(xié)商鏈路信息，交互聚合組中成員端口狀態(tài)4.3.LACPlinkaggregationcontrolprotocol,鏈路聚合控制協(xié)議是一中基于IEEE802.3ad標(biāo)準的協(xié)議，它通過LACPDU來與對端交換信息。4.4.靜態(tài)聚合配置SI軟件不支持，EI支持。[switch]interfacebridge-aggregationinterface-nuber //創(chuàng)建聚合端口在3600-ei的命令link-aggregationgroupxmodestatics/manu...[switch-ethernet1/0/1]portlink-aggregationgroupnumber //將以太網(wǎng)端口加入聚合組中<switch>displaylink-aggregationsummary //查看聚合鏈路的屬性。來顯示和維護4.5.子網(wǎng)劃分TCP/IP網(wǎng)絡(luò)用IP地址來標(biāo)識各個節(jié)點。為了解決分類IP地址帶來的地址浪費，就需要使用子網(wǎng)劃分（subnetting）的方法對地址進行有效利用。是IETF提出的解決方法。VLAM(Variablelengthsubnetmask可變長子網(wǎng)掩碼)允許使用多個子網(wǎng)掩碼劃分子網(wǎng)。使組織的IP地址空間得到更有效的利用。CIDR（無類域間路由）無類域間路由斜線表示法：/275.H3CDNS服務(wù)5.1.H3C設(shè)備DNS功能實現(xiàn)方法靜態(tài)域名解析：手工建立域名和ip地址之間的對應(yīng)關(guān)系。當(dāng)用戶使用域名解析時，系統(tǒng)查找靜態(tài)域名解析表，從中獲取域名對應(yīng)的IP地址動態(tài)域名解析：由設(shè)備查詢DNS域名服務(wù)器。由DNS域名服務(wù)器完成解析。DNS代理：設(shè)備對DNS解析進行中繼5.2.配置DNS服務(wù)器在路由器上配置靜態(tài)DNS域名解析，可以加快解析速度。配置的要點是建立域名和IP地址之間的映射表如果網(wǎng)絡(luò)中有域名服務(wù)器，可以在路由器上配置DNS動態(tài)域名解析。步驟如下:[router]iphosthostnameip-addressIP地址 //配置域名映射關(guān)系[router]dnsresolve //開啟動態(tài)域名解析功能。[router]dnsserverip-address //在系統(tǒng)視圖下指定域名服務(wù)器[router]dnsdomaindomain-name為了使用方便，可以在系統(tǒng)視圖下配置域名后綴列表,配置完成后，路由器發(fā)送DNS請求時會自動把域名加上所配置的后綴。5.3.配置DNS代理如果DNS服務(wù)器和客戶端不在同一個子網(wǎng)，則可以在路由器上做DNS代理。代理路由器，使客戶端與服務(wù)器之間交互報文，完成跨越子網(wǎng)的域名解析。[router]dnsproxyenable //在系統(tǒng)視圖下開啟DNS代理[router]dnsserverip-address //配置指定的域名服務(wù)器5.4.域名解析的顯示和維護[router]displayiphost //顯示靜態(tài)域名解析表[router]displaydnsserver{dynamic} //顯示域名服務(wù)器信息[router]displaydnsdynamic-host //顯示動態(tài)域名緩存區(qū)的信息[router]displaydnsproxytable //顯示DNS代理信息6.H3CFTP服務(wù)《H3CNE下策第335頁開始》6.1.ftpfiletransferprotocol,文件傳輸協(xié)議使用TCP傳輸，使用端口20來傳輸數(shù)據(jù)，21來控制傳輸進程。傳輸模式2種ASCLL模式是默認的文件傳輸模式，本地文件轉(zhuǎn)換成標(biāo)準的ASCLL碼再傳輸，適用于傳輸文本文件二進制流模式也稱為圖像文件傳輸模式，文件按照比特流的方式傳輸，適用于傳輸程序文件6.2.TFTPtrivialfiletransferprotocol,簡單文件傳輸協(xié)議不需要復(fù)雜的交互認證，承載在UDP協(xié)議上，使用端口69，僅提供簡單的文件傳輸功能(上傳和下載)又客戶端發(fā)起。6.3.配置配置FTP客戶端，可以建立設(shè)備與FTP服務(wù)器的連接訪問服務(wù)器上的文件<router>ftpserver-address //在用戶視圖下直接登入遠程FTP服務(wù)器[ftp]disremotefile[localfile] //查詢遠程FTP服務(wù)器上的目錄/文件[ftp]getremotefile[localfile] //下載FTPF服務(wù)器上的文件,指定要下載的文件的文件名和下載到本地后的文件名[ftp]bye //斷開與遠程FTP服務(wù)器的連接其他常用命令：[ftp]binary //設(shè)置FTP文件傳輸?shù)?，模式為二進制流模式[ftp]pwd //顯示遠程FTP服務(wù)器上的工作路徑[ftp]cdpathname //切換FTP服務(wù)器上的工作路徑[ftp]putlocalfile[remotefile] //上傳本地文件到遠程FTP服務(wù)器上[router]ftpserverenable //配置路由器作為FTP服務(wù)器端創(chuàng)建本地用戶并進入用戶視圖，設(shè)置用戶密碼，設(shè)置服務(wù)類型為FTP和指定訪問的目錄[router]local-useruser-name[router-luser-user]password｛cipher\simple｝密碼[router-luser-user]service-typeftp[ftp-directorydirectory]TFTP客戶端配置<router>tftpserver-address{get\put\sget}source-filename[destination-filename][soerce{ipsource-ip-address\interfaceinterfaceinterface-typenumber}]server-address:tftp服務(wù)器的IP地址或者主機名source-filename:源文件名destination-filename:目標(biāo)文件名get:表示普通下載文件操作PUT：表示上傳文件操作sget:表示安全下載文件操作7.H3CDHCP服務(wù)7.1DHCPDHCP:(Dynamichostconfigurationprotocol,動態(tài)主機配置協(xié)議)是從BOOTP協(xié)議發(fā)展而來，其作用是動態(tài)獲取主機的IP地址和其他信息，dhcp報文采用UDP封裝服務(wù)器多偵聽的端口號是67，客戶端自動獲取的端口號是68。是客戶端與服務(wù)器B/S的模式。DHCP服務(wù)器：提供網(wǎng)絡(luò)設(shè)置參數(shù)給DHCP客戶端。DHCP中繼：在DHCP服務(wù)器和客戶端之間轉(zhuǎn)發(fā)跨網(wǎng)段DHCP報文的設(shè)備。一般是路由器或者多層交換機設(shè)備DHCP客戶端：通過到服務(wù)器上自動獲取網(wǎng)絡(luò)配置參數(shù)的一臺主機或者設(shè)備DHCP地址分配方式：手工分配：根據(jù)需求，管理員為少數(shù)固定IP的客戶端分配固定永久給該客戶使用的IP地址自動分配：服務(wù)器為客戶端動態(tài)分配租期為無限長的IP地址?？蛻舳酸尫藕螅摰刂方o其他用戶使用動態(tài)分配：DHCP服務(wù)器為客戶端分配具有一定有效期限的IP地址，如果客戶端沒有及時續(xù)約，到達期限后，此地址才給其他用戶獲取。ip地址動態(tài)獲取過程：發(fā)現(xiàn)階段，提供階段，選擇階段，確認階段DHCP中繼原理：先客戶端廣播個包給DHCP中繼，中繼再單播給DHCP服務(wù)器。服務(wù)器再返回一個單播包給中繼，中繼再廣播給客戶端。7.2配置dhcp服務(wù)器的配置[router]dhcpenable //在系統(tǒng)視圖下啟動DHCP服務(wù)[router]dhcpserviceip-poolxxxx //在系統(tǒng)視圖下創(chuàng)建DHCP地址池[router-dhcp-pool-0]networkIP網(wǎng)段網(wǎng)段掩碼 //在地址池里面配置地址范圍[router-dhcp-pool-0]gateway-listip-adress //配置為DHCP客戶端分配的網(wǎng)關(guān)地址[router-dhcp-pool-0]dns-listip-address //配置DHCP為客戶端分配的DNS服務(wù)器地址[router]dhcpserverforbidden-iplow-ip-address[high-ip-address] //配置DHCP地址池中不參與自動分配的ip地址。[router-dhcp-pool-0]expires{dayday[hourhour[minuteminute]]\unlimited} //配置DHCP的ip地址租用有效期dayday:天數(shù)范圍是0-365hourhour:小時數(shù)0-23minuteminute:分鐘數(shù)，0-59unlimited:有效期限為無限長顯示和維護[router]displaydhcpserverfree-ip //顯示DHCP地址池的可用地址信息[router]displaydhcpserverstatistics //顯示DHCP服務(wù)器的統(tǒng)計信息[router]displaydhcpserverforbidden-ip //顯示DHCP地址池中不參與自動分配的IP地址信息H3C設(shè)備的DHCP中繼配置適用于客戶端和DHCP服務(wù)器不在同一子網(wǎng)的情況下[router]dhcpenable //開啟DHCP服務(wù)[router]dhcprelayserver-groupgroup-idipip-address //配置DHCP服務(wù)器組中的DHCP服務(wù)器的ip地址[router-ethernet0/1]dhcpselectrelay //配置接口工作在DHCP中繼模式，客戶來源接口[router-ethernet0/1]dhcprelayserver-selectgroup-id //配置接口與DHCP組關(guān)聯(lián)中繼顯示和維護[router]displaydhcprelay{all\interfaceinterface-typeinterface-nuber} //顯示接口對應(yīng)的DHCP服務(wù)器組的信息[router]displaydhcprelayserver-group{group-id\all} //顯示DHCP服務(wù)器組中服務(wù)器的IP地址[router]displaydhcprelaystatistics[server-group{group-id\all}] //顯示DHCP中繼的相關(guān)報文統(tǒng)計信息六、IPV61.概述IPV6的優(yōu)點：幾乎無限的地址空間，3.4x10*38個地址，終端用戶無須任何配置；IPV6地址表示方法：冒號16進制表示法，16位一段，共8段；為了縮短書寫長度，可以用壓縮表示，段內(nèi)前導(dǎo)“0”壓縮，全“0”段壓縮每段中的前導(dǎo)0可以去掉，但保證每段至少有一個數(shù)字如：2001:0410:0000:0001:0000:0000:0000:45ff可以壓縮為：2001:410:0:1:0:0:0:45ff一個多連續(xù)的段內(nèi)各位全0時，可以用：：壓縮表示，只允許一個：：如2001:0410:0000:0001:0000:0000:0000:45ff可以為：2001:410:0:1::45ffipV6地址構(gòu)成：沒有類的概念。1234：5678：90AB:CDEF:ABCD:EF01:2345:6789/64前面是前綴這是接口標(biāo)識符前綴長度.前綴：作用和IPV4地址中的網(wǎng)絡(luò)部分類似，用于標(biāo)識這個地址屬于哪個網(wǎng)絡(luò).接口標(biāo)識符：與IPV4地址中的主機部分類似，用于標(biāo)識這個地址在網(wǎng)絡(luò)中的具體位置。.前綴長度：作用類似于IPV4地址中的子網(wǎng)掩碼，用來確定地址中哪一部分是前綴，哪一部分是接口標(biāo)識符2.IPV6地址分類單播地址：與IPV4中單播含義類似，只能分配給一個接口上。組播地址：與IPV4中組播含義類似,標(biāo)識為FF00::/8任播地址：新的地址類型，數(shù)據(jù)包傳給所識別的一組地址中距離最近的接口。是從單播地址中分配的單播地址又劃分為：未指定地址：不能分配給任何節(jié)點。表示目前暫無地址，地址前綴為::/128環(huán)回地址：單播地址中::1稱為環(huán)回地址，不能分配給接口。它的作用和IPV4中的回環(huán)地址相同，節(jié)點通過給自己發(fā)IPV6報文來測試協(xié)議是否工作正常鏈路本地地址：用于鏈路本地節(jié)點之間的通信。前綴表示為FE80::/10站點本地地址：與IPV4版本中的私有地址類似。實際應(yīng)用中少用.前綴標(biāo)識為FEC0::/10全球單播地址：與IPV4中的公有地址類似。全球單播地址由IANA,internet地址分配機構(gòu)，負責(zé)進行統(tǒng)一分配。前綴標(biāo)識為2000::/3ieeeeui-64在接口標(biāo)識符中間插入FFFE。如0012-3400-ABCD=0212-34FF-FE00-ABCD還要設(shè)置U/L位。在2進制位左數(shù)第七位插一個1。3.ipV6鄰居發(fā)現(xiàn)協(xié)議作用：主機無須任何配置就可以連通網(wǎng)絡(luò)所實現(xiàn)的功能有：地址解析，路由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)，地址自動分配，其他的地址重復(fù)檢測等。地址解析：在IPV6網(wǎng)絡(luò)中來解析同一鏈路上鄰居節(jié)點的鏈路層的地址，來進行二層通信。與IPV4中的ARP相似。路由器發(fā)現(xiàn)/前綴：是指主機獲得路由器及所在網(wǎng)絡(luò)的前綴，以及其他配置參數(shù)。地址自動分配：主機根據(jù)路由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)所獲取的信息，自動配置IPV6地址。主機啟動時，以鏈路本地組播地址FF02::2來向路由器請求配置信息路由器接收后，以所以節(jié)點組播地址FF02::1來回復(fù)。以便所以節(jié)點都能收到這個消息4.配置[rat]ipv6 //開啟IPV6報文轉(zhuǎn)發(fā)功能[RAT-ethernet0/1]ipv6addressFE80::1link-local //配置接口使用IPV6鏈路本地地址FE80::1[RAT-ethernet0/1]ipv6addressautolink-local //使用EUL-64自動生成的鏈路地址[art-ethetnet0/1]ipv6address2001::1/64 //配置接口使用IPV6全球單播地址2001::1/64；或者加eui-64配置接口使用EUL-64格式的全球單播地址[rat]displayipv6interface //接口IPV6地址查看命令七、h3c路由1.路由概述1.